Upload
draco
View
80
Download
5
Embed Size (px)
DESCRIPTION
บทที่ 7-1. :Security Policy and Organizational Security. Outline. นโยบาย (Policy) คืออะไร นโยบายความมั่นคงปลอดภัยของสารสนเทศ (Information Security Policy) คืออะไร ข้อแนะนำในการกำหนดนโยบายความมั่นคงปลอดภัยของสารสนเทศ ประเภทของนโยบายความมั่นคงปลอดภัยของสารสนเทศ - PowerPoint PPT Presentation
Citation preview
บทท�� 7-1:Security Policy and
Organizational Security
1Panida Panichkul
1 .นโยบาย (Policy) คื�ออะไร2. นโยบายคืวามม��นคืงปลอดภั�ยของสารสนเทศ
(Information Security Policy) คื�ออะไร3. ข�อแนะน�าในการก�าหนดนโยบายคืวามม��นคืง
ปลอดภั�ยของสารสนเทศ4. ประเภัทของนโยบายคืวามม��นคืงปลอดภั�ยของ
สารสนเทศ5. นโยบายคืวามม��นคืงปลอดภั�ยของสารสนเทศ
ระด�บองคื!กร6. นโยบายคืวามม��นคืงปลอดภั�ยเฉพาะเร��อง7. นโยบายคืวามม��นคืงปลอดภั�ยเฉพาะระบบ
Outline
Panida Panichkul 2
Policy คื�อ การก�าหนดนโยบาย เป$นการเข%ยนกฎเกณฑ์! ระเบ%ยบ และข�อบ�งคื�บในการปฏิ*บ�ติ*ตินของพน�กงานในองคื!กร ซึ่-�งจะรวมถึ-งการปฏิ*บ�ติ*ตินเพ��อร�กษาคืวามม��นคืงปลอดภั�ยของสารสนเทศขององคื!กรด�วย
นโยบาย (Policy) คื�อ แผนงานหร�อกล23มของข�อปฏิ*บ�ติ*ท%�องคื!กรใช้�เป$นติ�วกลางในการถึ3ายทอดคื�าส��งจากผ5�บร*หารระด�บส5ง ไปย�งบ2คืลากรในระด�บติ�ดส*นใจ ระด�บปฏิ*บ�ติ*การ รวมถึ-งบ2คืลากรในหน�าท%�อ��นๆ ท%�ติ�องปฏิ*บ�ติ*ติามนโยบาย
นโยบายเป$นเสม�อนกฎหมายท%�บ�งคื�บใช้�ในองคื!กร เน��องจากนโยบายได�ระบ2ข�อปฏิ*บ�ติ*ท%�ถึ5กและผ*ดไว�ภัายใติ�กรอบว�ฒนธรรมขององคื!กรน�9นๆ รวมท�9งย�งได�ม%การก�าหนดบทลงโทษส�าหร�บผ5�ท%�ม%คืวามประพฤติ*ข�ดติ3อนโยบายด�วย
7-1.1 นโยบาย (Policy) คื�ออะไร
Panida Panichkul 3
จากนโยบายจะน�าไปส53การก�าหนด มาติรฐาน “(Standard)” ซึ่-�งจะแสดงถึ-งรายละเอ%ยดการในการปฏิ*บ�ติ*งานท%�สอดคืล�องก�บนโยบาย และจากมาติรฐานจะน�าไปส53การก�าหนด ว*ธ%การปฏิ*บ�ติ* “ (Practice)”, “ล�าด�บข�9นติอน (Procedure)” และ แนวทาง “(Guideline)”
Panida Panichkul4
ก�าหนดโดยผ5�บร*หาร ( )ระด�บส5ง อาว2โส Policies
Drive
Standards
Drive
ก�าหนดจากนโยบาย
Practices Procedures Guidelines
ประกอบไปด�วยรายละเอ%ยดข�9นติอนในการท�างานติามมาติรฐาน
นโยบายคืวามม��นคืงปลอดภั�ยของสารสนเทศ (Information Security Policy) คื�อ กฎข�อบ�งคื�บท%�ใช้�ในการป<องก�น สารสนเทศขององคื!กร
น��นคื�อ หากติ�องการจ�ดติ�9งโคืรงการใดๆ ท%�เก%�ยวข�องก�บคืวามม��นคืงปลอดภั�ยของสารสนเทศขององคื!กร จะติ�องเร*�มติ�นจากการน�านโยบาย (Policy) คืวามม��นคืงปลอดภั�ยของสารสนเทศ มาติรฐาน (Standard) และว*ธ%การปฏิ*บ�ติ* (Practice) ติาม มาติรฐานมาทบทวน หร�อใช้�เป$นบรรท�ดฐานในการวางแผน ออกแบบ และก�าหนดข�9นติอนการด�าเน*นโคืรงการ หากปราศจากนโยบายแล�ว ท%มงานจะไม3สามารถึจ�ดติ�9งโคืรงการท%�ติอบสนองคืวามติ�องการด�านคืวามม��นคืงปลอดภั�ยของสารสนเทศขององคื!กรได�อย3างแท�จร*ง
7-1.2 นโยบายคืวามม��นคืงปลอดภั�ยของสารสนเทศ (Information Security Policy) คื�ออะไร
Panida Panichkul5
1 .ไม3ข�ดติ3อข�อกฎหมาย2. สามารถึใช้�ในช้�9นศาลได�หากจ�าเป$น3. ติ�องได�ร�บการสน�บสน2นและการบร*หารจ�ดการท%�ด%4. ติ�องม%ส3วนช้3วยให�องคื!กรประสบคืวามส�าเร=จ5. ฝ่?ายบร*หารจะติ�องม��นใจว3าม%การก�าหนดข�อปฏิ*บ�ติ*
แก3บ2คืลากรในการใช้�งานระบบสารสนเทศได�อย3างเหมาะสม
6. คืวรให�ผ5�ใช้�ระบบสารสนเทศม%ส3วนร3วมในข�9นติอนก�าหนดนโยบาย
7. นโยบายคืวามม��นคืงปลอดภั�ยของสารสนเทศ จะติ�องติอบสนองคืวามติ�องการขององคื!กรได�อย3างแท�จร*ง
2-1.3 ข�อแนะน�าในการก�าหนดนโยบายคืวามม��นคืงปลอดภั�ยของสารสนเทศ
Panida Panichkul6
NIST ได�ระบ2ไว�ในเอกสารเผยแพร3ฉบ�บพ*เศษ 800-14 ว3าในการก�าหนดนโยบายคืวามม��นคืงปลอดภั�ยของสารสนเทศท%�คืรบถึ�วนสมบ5รณ!น�9น ท%มงานจะติ�องก�าหนดนโยบาย ท�9งหมด 3 ช้น*ด ด�งน%9
1 .นโยบายคืวามม��นคืงปลอดภั�ยของสารสนเทศระด�บองคื!กร (Enterprise Information Security Policy)
2 .นโยบายคืวามม��นคืงปลอดภั�ยเฉพาะเร��อง (Issue-specific Security Policy)
3 .นโยบายคืวามม��นคืงปลอดภั�ยเฉพาะระบบ (System-specific Security Policy)
7-1.4 ประเภัทของนโยบายคืวามม��นคืงปลอดภั�ยของสารสนเทศ
Panida Panichkul7
คื�อ การก�าหนดท*ศทางและขอบเขติเช้*งกลย2ทธ!เพ��อคืวามม��นคืงปลอดภั�ยขององคื!กร [E. Whitman and J. Mattord, 2008]
นโยบายช้น*ดน%9ย�งถึ5กเร%ยกช้��อแติกติ3างก�นออกไปอ%กหลายช้��อ ได�แก3
◦ General Security Policy◦ IT Security Policy◦ High-level Information Security Policy◦ Information Security Policy
นโยบายฯ ระด�บองคื!กร เป$นการก�าหนดคืวามร�บผ*ดช้อบของงานคืวาม ม��นคืงปลอดภั�ยท2กด�าน เป$นการก�าหนดท*ศทางงานด�านคืวามม��นคืงปลอดภั�ยของสารสนเทศส�าหร�บองคื!กรในภัาพรวม หร�อในระด�บท%�คืรอบคืล2มท�9งองคื!กร ไม3ได�เป$นการระบ2คืวามม��นคืงปลอดภั�ยเฉพาะด�าน
7-1.5 นโยบายคืวามม��นคืงปลอดภั�ยของสารสนเทศระด�บองคื"กร (Enterprise Information Security Policy: EISP)
Panida Panichkul8
เป$นนโยบายท%�สน�บสน2นและติอบสนองติ3อภัารก*จและว*ส�ยท�ศน!ขององคื!กรโดยติรง
สามารถึน�ามาใช้�ในกระบวนการทางกฎหมายได� ผ5�ท%�ท�าหน�าท%�ก�าหนดนโยบายช้น*ดน%9 จ-งเป$นผ5�บร*หาร
ระด�บส5งหร�อระด�บอาว2โส เอกสารนโยบายช้น*ดน%9จะไม3ม%การปร�บปร2งแก�ไข
บ3อยคืร�9ง การปร�บปร2งแก�ไขจะเก*ดข-9นก=ติ3อเม��อม%การเปล%�ยน
ว*ส�ยท�ศน!หร�อกลย2ทธ!ขององคื!กร
คื#ณล�กษณะของ EISP
Panida Panichkul9
1 .ประกาศว�ตถุ#ประสงคื" อธ*บายว3า นโยบายท%�“ก�าหนดข-9น ม%ไว�เพ��ออะไร”
2. องคื"ประกอบคืวามม��นคืงปลอดภั�ยของเทคืโนโลย�สารสนเทศ ในส3วนน%9ให�ก�าหนดองคื!ประกอบของการร�กษา คืวามม��นคืงปลอดภั�ยของสารสนเทศข�9นพ�9นฐานและอ��นๆ ติามท%�ติ�องการ เช้3น การป<องก�นสารสนเทศให�เป$นคืวามล�บ (Confidentiality) ม%คืวามถึ5กติ�องสมบ5รณ! (Integrity) และพร�อมใช้� (Availability) แม�ว3าจะอย53ในขณะ ประมวลผล การเคืล��อนย�าย หร�อการจ�ดเก=บ จะกระท�าผ3านนโยบาย การให�คืวามร5 �และฝ่Aกอบรม ติลอดจนเทคืโนโลย%ติ3างๆ เป$นติ�น ในเน�9อหาส3วนน%9 ท%มงานสามารถึระบ2น*ยามของแติ3ละองคื!ประกอบได�
องคื"ประกอบของ EISP
Panida Panichkul10
3. คืวามจำ�าเป)นท��ต�องม�คืวามม��นคืงปลอดภั�ยของเทคืโนโลย�สารสนเทศ เข%ยนรายละเอ%ยดแสดงให�เห=นถึ-งคืวามส�าคื�ญของการร�กษาคืวามม��นคืงปลอดภั�ยของสารสนเทศภัายในองคื!กร โดยติ�องแสดงให�เห=นถึ-งข�อผ5กพ�นทางกฎหมายและจร*ยธรรมด�วย
4. บทบาทและคืวามร�บผิ+ดชอบด�านคืวามม��นคืงปลอดภั�ยของเทคืโนโลย�สารสนเทศ แสดงโคืรงสร�างองคื!กรท%�ก�าหนดข-9นเพ��อสน�บสน2นงานด�านคืวามม��นคืงปลอดภั�ยของสารสนเทศภัายในองคื!กร
5. อ�างอ+งมาตรฐานและแนวทางอ��นๆ แสดงรายช้��อมาติรฐาน กฎหมาย หร�อนโยบายอ��นๆ ท%�ใช้�เป$นแนวทางในการจ�ดท�านโยบายฉบ�บน%9
Panida Panichkul11
1. การป/องก�นสารสนเทศนโยบาย: สารสนเทศจะติ�องได�ร�บการป<องก�นด�วยว*ธ%การท%�เหมาะ
สม โดยพ*จารณาจากคืวามส�าคื�ญ ม5ลคื3า และคืวามว*กฤติ*ของสารสนเทศน�9น
หมายเหติ2: นโยบายน%9ใช้�ก�บสารสนเทศท2กช้น*ด ไม3ว3าจะจ�ดเก=บไว�ในแหล3งใด หร�อจ�ดเก=บไว�ในสถึานท%�ใด ไม3ว3าสารสนเทศน�9นจะใช้�เทคืโนโลย%ใดในการประมวลผล หร�อไม3ว3าผ5�ใดเป$นผ5�ด5แล นอกจากน%9 นโยบายย�งสน�บสน2นการติรวจสอบเส�นทางการเคืล��อนย�ายสารสนเทศใน องคื!กรอ%กด�วย
ผ5�เก%�ยวข�อง: เจ�าหน�าท%�ทางเทคืน*คื2. การใช�งานสารสนเทศนโยบาย: สารสนเทศของบร*ษ�ท X จะถึ5กใช้�เพ��อว�ติถึ2ประสงคื!ทาง
ธ2รก*จเท3าน�9น และโดยการได�ร�บอน2ญาติจากฝ่?ายบร*หารหมายเหติ2: นโยบายน%9หมายคืวามว3า การใช้�งานสารสนเทศของ
บร*ษ�ท X ท%�ไม3ได�ร�บอน2ญาติจะไม3สามารถึกระท�าน�9นได�ผ5�เก%�ยวข�อง: ท2กฝ่?าย
ต�วอย0าง EISP
Panida Panichkul12
Panida Panichkul13
3. การด1แล เข�าถุ2ง และใช�งานสารสนเทศนโยบาย: สารสนเทศถึ�อเป$นส*นทร�พย!ท%�ส�าคื�ญ การเข�าถึ-ง การใช้�งาน
และการประมวลผล สารสนเทศของบร*ษ�ท X ติ�องสอดคืล�องก�บนโยบายและมาติรฐานท%�ก�าหนด
หมายเหติ2: นโยบายน%9ก�าหนดข-9นส�าหร�บนโยบายคืวามม��นคืงปลอดภั�ยของสารสนเทศอ��นๆ
ผ5�เก%�ยวข�อง: ท2กฝ่?าย4. การปฏิ+เสธคืวามร�บผิ+ดชอบเม��อเก+ดกรณ�ข�อม1ลและโปรแกรมเส�ยหายนโยบาย: บร*ษ�ท X ปฏิ*เสธคืวามร�บผ*ดช้อบติ3อคืวามเส%ยหายของ
ข�อม5ลหร�อซึ่อฟติ!แวร!ท%�เป$นผลจากคืวามพยายามร�กษาคืวามล�บ คืวามถึ5กติ�อง และคืวามพร�อมใช้�สารสนเทศโดยคือมพ*วเติอร!และระบบการติ*ดติ3อส��อสาร
หมายเหติ2: นโยบายน%9เติ�อนผ5�ใช้�ให�ทราบว3า ผ5�ใช้�ไม3สามารถึเอาผ*ดก�บบร*ษ�ท X ได� หากเก*ดกรณ% ด�งกล3าวข-9น
ผ5�เก%�ยวข�อง: ผ5�ใช้� (End Users)
Panida Panichkul14
5. คืวามข�ดแย�งต0อข�อกฎหมายนโยบาย: นโยบายคืวามม��นคืงปลอดภั�ยของสารสนเทศของบร*ษ�ท
X จะติ�องสอดคืล�องก�บกฎหมาย หากพบว3าม%ข�อข�ดแย�งจะติ�องสามารถึรายงานติ3อท%มงานจ�ดการคืวามม��นคืงปลอดภั�ยของสารสนเทศได�
หมายเหติ2: เป$นนโยบายเพ��อก�าหนดล�กษณะของนโยบายท%�จะถึ5กเข%ยนข-9น โดยติ�องให�สอดคืล�องก�บข�อกฎหมายหร�อพระราช้บ�ญญ�ติ*ท%�เก%�ยวข�อง
ผ5�เก%�ยวข�อง: ผ5�ใช้� (End Users)
6. ข�อยกเว�นนโยบาย: ข�อยกเว�นในนโยบายจะม%ได�ก=ติ3อเม��อเก*ดเหติ2การณ!ท%�
นโยบายไม3สามารถึอธ*บายได� หร�อสามารถึม%ได�หากได�ร�บอน2ญาติจากฝ่?ายจ�ดการคืวามม��นคืงปลอดภั�ยของสารสนเทศและฝ่?ายติรวจสอบ
หมายเหติ2: ฝ่?ายบร*หารอาจท�าหน�าท%�พ*จารณาอน2ม�ติ*ข�อยกเว�นบางประการ หากข�อยกเว�นด�งกล3าวผ3านการติรวจสอบคืวามเส%�ยงแล�วพบว3าจะไม3ก3อให�เก*ดผลเส%ยแก3องคื!กร
ผ5�เก%�ยวข�อง: ฝ่?ายบร*หาร
Panida Panichkul15
7. การไม0บ�งคื�บใช�นโยบายนโยบาย: ติ�องม%การบ�งคื�บใช้�นโยบายหมายเหติ2: การไม3บ�งคื�บใช้�นโยบาย จะเก*ดข-9นเพ%ยงกรณ%เด%ยวคื�อ
กรณ%ท%�ฝ่?ายบร*หารย�งไม3ประกาศอย3างเป$นทางการเท3าน�9น นอกเหน�อจากน�9นไม3ม%
ผ5�เก%�ยวข�อง: ผ5�ใช้� (End Users)8. การกระท�าผิ+ดกฎหมายนโยบาย: ฝ่?ายบร*หารของบร*ษ�ท X จะติ�องด�าเน*นการฟ<องร�อง
อย3างถึ-งท%�ส2ดติ3อการกระท�าผ*ดกฎหมายท%�พบท2กกรณ%หมายเหติ2: นโยบายข�อน%9ก�าหนดข-9นเพ��อให�ม%การฟ<องร�องด�าเน*นคืด%
ติ3ออช้ญากรรมทางคือมพ*วเติอร! ในขณะท%�การฟ<องร�องติ�องได�ร�บการพ*จารณาทบทวนจากฝ่?ายบร*หารก3อนเสมอ
ผ5�เก%�ยวข�อง: ฝ่?ายบร*หาร
Panida Panichkul16
9. การถุอนส+ทธ+6ในการเข�าถุ2งสารสนเทศนโยบาย: บร*ษ�ท X ม%ส*ทธ*Dในการถึอนส*ทธ*Dการใช้�งานเทคืโนโลย%
สารสนเทศใดๆ ของผ5�ใช้�หมายเหติ2: นโยบายน%9ก�าหนดข-9นเพ��อให�ผ5�ใช้�ทราบว3า การกระท�าท%�
ใดๆ ของผ5�ใช้� ท%�ส3งผลกระทบติ3อการด�าเน*นงานปกติ*ขององคื!กร จะถึ�อว3าเป$นการกระท�าท%�เป$นอ�นติราย องคื!กรม%ส*ทธ*Dโดยช้อบธรรมท%�จะเพ*กถึอนส*ทธ*Dในการกระด�าด�งกล3าวของผ5�ใช้�
ผ5�เก%�ยวข�อง: ผ5�ใช้� (End Users)
10. การใช�นโยบายและข�7นตอนคืวามม��นคืงปลอดภั�ยของสารสนเทศนโยบาย: เอกสารท�9งหมดท%�เก%�ยวข�องก�บคืวามม��นคืงปลอดภั�ย
ของสารสนเทศของบร*ษ�ท X ซึ่-�งอาจรวมถึ-งเอกสารนโยบาย มาติรฐาน และล�าด�บข�9นติอนการปฏิ*บ�ติ* จะติ�องถึ5กจ�าแนกไว�เป$นเอกสารภัายใช้�ใน (Internal Use
Only) เท3าน�9นหมายเหติ2: นโยบายข�อน%9ก�าหนดข-9นเพ��อให�ท2กคืนทราบว3าเอกสารด�ง
กล3าวไม3สามารถึใช้�ภัายนอก องคื!กรได�ผ5�เก%�ยวข�อง: ท2กคืน
คื�อ การก�าหนดท*ศทางและขอบเขติเช้*งกลย2ทธ!เพ��อคืวามม��นคืงปลอดภั�ยขององคื!กร [E. Whitman and J. Mattord, 2008]
นโยบายคืวามม��นคืงปลอดภั�ยเฉพาะเร��อง จะม%การอธ*บายรายละเอ%ยดท%�แคืบลง คื�ออธ*บายเฉพาะเร��องจ�าแนกติามประเภัทของเทคืโนโลย% และท%�ส�าคื�ญอธ*บายเป$นล�าด�บข�9นติอนมากข-9น จ-งสามารถึน�าไปใช้�เป$นมาติรฐานในการใช้�งานเทคืโนโลย%หร�อระบบติ3างๆ ได�ง3ายกว3านโยบายช้น*ด EISP
คื2ณล�กษณะของ ISSP◦ ระบ2รายละเอ%ยดเป$นเร��องๆ จ�าแนกติามเทคืโนโลย%แติ3ละ
ช้น*ด◦ ติ�องม%การปร�บปร2งข�อม5ลในนโยบายติามการ
เปล%�ยนแปลงของเทคืโนโลย%อย53เสมอ◦ ม%การอธ*บายสถึานะขององคื!กรท%�เป$นอย53ในแติ3ละเร��อง
7-1.6 นโยบายคืวามม��นคืงปลอดภั�ยเฉพาะเร��อง (Issue-specific Security Policy: ISSP)
Panida Panichkul17
การใช้�งานอ%เมล! การใช้�อ*นเทอร!เน=ติและบร*การ World Wide
Web การติอบสนองติ3อเหติ2การณ!ไม3คืาดคื*ด การวางแผนฟE9 นฟ5จากคืวามเส%ยหายและ/หร�อการ
วางแผนด�าเน*นธ2รก*จอย3างติ3อเน��องในเหติ2การณ!คื�บข�น
การติ�9งคื3าระบบคือมพ*วเติอร!ในข�9นติ�น เพ��อการป<องก�นเว*ร!มและไวร�ส
การป<องก�นระบบจากแฮคืเกอร! และการทดสอบระบบคืวบคื2มคืวามม��นคืงปลอดภั�ยขององคื!กร
การใช้�คือมพ*วเติอร!ของบร*ษ�ทท%�บ�านของพน�กงาน
ส�าหร�บห�วข�อเร��องเทคืโนโลย�ต0างๆ ในนโยบายคืวามม��นคืงปลอดภั�ยเฉพาะเร��อง ยกต�วอย0างด�งน�7
Panida Panichkul18
การใช้�งานอ%เมล! การใช้�อ2ปกรณ!ส3วนติ�วของพน�กงานเช้��อมติ3อเข�า
ก�บระบบเคืร�อข3ายขององคื!กร การใช้�เทคืโนโลย%โทรคืมนาคืมช้น*ดติ3างๆ (เช้3น
เคืร��องแฟกซึ่!โมเด=ม หร�อโทรศ�พท!) การใช้�เคืร��องถึ3ายเอกสาร
Panida Panichkul19
1 .ว�ตถุ#ประสงคื" (Statement of Purpose)
1 .ขอบเขติและการน�านโยบายไปใช้�งาน2. น*ยามของเทคืโนโลย%ช้น*ดติ3างๆ3. คืวามร�บผ*ดช้อบ
2 .การใช�งานท��ได�ร�บอน#ญาต (Authorized Uses)
1 .การเข�าถึ-ง2 .การใช้�งานอย3างเป$นธรรมและร�บผ*ดช้อบ3 .การปกป<องคืวามเป$นส3วนติ�ว
องคื"ประกอบของ ISSP
Panida Panichkul20
3 .การใช�งานท��ไม0ได�ร�บอน#ญาต (Prohibited Uses)
1 .น�าไปใช้�ในทางท%�ผ*ด2 .ใช้�ก3ออาช้ญากรรม3 .ใช้�สร�างคืวามร�าคืาญหร�อก3อกวน4. ละเม*ดทร�พย!ส*นทางปGญญา5. ติามข�อห�ามอ��นๆ
4 .การจำ�ดการระบบ (Systems Management)
3 .การจ�ดการเอกสารท%�จ�ดเก=บไว�4 .การติ*ดติามอ%เมล!5 .การป<องก�นไวร�สคือมพ*วเติอร!6. คืวามม��นคืงปลอดภั�ยทางกายภัาพ7. การเข�ารห�ส
Panida Panichkul21
5 .การละเม+ดนโยบาย (Violations of Policy)
1 .ข�9นติอนการจ�ดท�ารายงานการละเม*ดนโยบาย2 .บทลงโทษส�าหร�บการละเม*ด
6. การทบทวนนโยบายและการแก�ไข (Policy Review and Modification)
1 .ติารางการทบทวนนโยบาย2 .ข�9นติอนการแก�ไขนโยบาย
7. คืวามร�บผิ+ดชอบ (Limitations of Liability)
1 .คืวามร�บผ*ดช้อบ2 .การแสดงคืวามไม3ร�บผ*ดช้อบ
Panida Panichkul22
นโยบายคืวามม��นคืงปลอดภั�ยของสารสนเทศเฉพาะระบบ (System-specific Security Policy: SysSP) คื�อ การก�าหนดมาติรฐานและว*ธ%ปฏิ*บ�ติ* ท%�จะน�าไปใช้�ในการก�าหนดคื3าคื2ณสมบ�ติ*หร�อการบ�าร2งร�กษาระบบ [E. Whitman and J. Mattord, 2008]
เช้3น การก�าหนดคื3าคื2ณสมบ�ติ*ของ Firewall ในเอกสารจะติ�องม%ประโยคืท%�แสดงให�เห=นถึ-งเจตินาหร�อคืวามติ�9งใจในการ จ�ดท�านโยบาย แนวทางในการเล�อก ก�าหนดคื3า และว*ธ%การใช้�ระบบ Firewall แก3ว*ศวกรท%�ร �บผ*ดช้อบ นอกจากน%9 ย�งติ�องแสดงให�เห=นถึ-งติารางคืวบคื2มการเข�าถึ-ง (Access Control List: ACL) ท%�ระบ2ระด�บของการเข�าถึ-งระบบของผ5�ใช้�แติ3ละคืน เป$นติ�น นอกจากน%9 ส*�งหน-�งท%�ท%มงานคืวรคื�าน-งถึ-ง คื�อ กรอบของการจ�ดท�านโยบายท�9งหมด ท%�จะติ�องม��นใจว3านโยบาย SysSP จะไม3ข�ดติ3อนโยบาย ISSP และ EISP
7-1.6 นโยบายคืวามม��นคืงปลอดภั�ยทศเฉพาะระบบ (System-specific Security Policy: SysSP)
Panida Panichkul23
เน�9อหาในนโยบาย SysSP อาจแบ3งออกเป$น 2 กล23ม คื�อ แนวทางด�านบร*หาร (Managerial Guidance) และข�อก�าหนดทางเทคืน*คื (Technical Specification) หร�อจะรวมเน�9อหาท�9ง 2 กล23มเข�าด�วยก�นก=ได�
Panida Panichkul24
พน*ดา พาน*ช้ก2ล, คืวามม��นคืงปลอดภั�ยของสารสนเทศ (Information Security), ส�าน�กพ*มพ! เคืท%พ%, 2553.
Panida Panichkul 25
Reference