Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
การบรหารจดการความม นคงปลอดภยระบบสารสนเทศ
ตามมาตรฐาน ISO/IEC 27001:2013
Information Security Management according to
ISO/IEC 27001 : 2013
อนสร พฒนะราช
Anusorn Pattanarach
สารนพนธนCเปนสวนหน งของการศกษา หลกสตรวทยาศาสตรมหาบณฑต สาขาวชาความม นคงทางระบบสารสนเทศ
คณะวทยาการและเทคโนโลยสารสนเทศ มหาวทยาลยเทคโนโลยมหานคร
ปการศกษา 2558
I
หวขอ การบรหารจดการความม นคงปลอดภยระบบสารสนเทศ ตามมาตรฐาน ISO/IEC 27001:2013 กรณศกษา
บรษท สยาม ฮตาช เอลลเวเตอร จากด
ช�อนกศกษา นางสาวอนสร พฒนะราช
รหสนกศกษา 5617810008
หลกสตร วทยาศาสตรมหาบณฑต สาขาความม นคงทางระบบสารสนเทศ
ปการศกษา 2558
อาจารยท�ปรกษา ผศ.ดร. วรพล ลลาเกยรตสกล
บทคดยอ
โครงงานการบรหารจดการความเส ยง และการสรางความม นคงปลอดภยสารสนเทศใหกบองคกรตามมาตรฐาน ISO 27001:2013 ขององคกรกรณศกษา บรษท สยาม ฮตาช เอลลเวเตอร จากด จดทาข?นเพ อศกษามาตรฐานดงกลาว และเพ อจดทารางนโยบายความม นคงระบบสารสนเทศ พรอมท ?งนาไปประยกตใชวเคราะหความเส ยงและจดทาแผนบรหารจดการความเส ยงท องคกรมอยอยางเหมาะสม
ผลลพธท ไดองคกรสามารถนาไปพฒนากระบวนการทางานดานระบบเทคโนโลยสารสนเทศท มความม นคงปลอดภยได และสามารถพฒนาตอยอดเพ อนาไปขอเขารบการตรวจสอบมาตรฐานตอไป
II
กตตกรรมประกาศ
โครงงานนพฒนาสาเรจลลวงได โดยไดรบการสนบสนนและการใหคาปรกษาเก#ยวกบแนวทางการศกษาคนควา จากทานอาจารย ผศ.ดร. วรพล ลลาเกยรตสกล และทานอาจารย ดร. บรรจง หะรงษ ผจดทาโครงงานขอขอบพระคณทานท งสองเปนอยางย#งท#ไดสละเวลาอนมคาในการใหคาแนะนาอนเปนประโยชนตอการจดทาโครงานนมาโดยตลอด และขอขอบพระคณคณาจารยทกทานในภาควชาเทคโนโลยสารสนเทศ มหาวทยาลยเทคโนโลยมหานคร ท#ไดใหความรความเขาใจ และถายทอดประสบการณอนมคาย#งทางดานความม #นคงปลอดภยของระบบสารสนเทศ รวมท งขอบคณครอบครวและเพ#อนท#เปนกาลงใจในการทาโครงงานนสาเรจได
ท#สาคญย#ง คอการไดรบการสนบสนนจาก คณทาสโอะ โออช รองประธานกรรมการบรษท และคณภากร วงศวราวภทร ผจดการท #วไปฝายไอท ของบรษท สยาม ฮตาช เอลลเวเตอร จากด ท#ไดสนบสนนอนญาตใหนาองคกรมาเปนกรณศกษาสาหรบโครงงานนเปนอยางด ทางผจดทาตองขอขอบคณทกทานเปนอยางสงมา ณ โอกาสน
อนสร พฒนะราช
10 พฤษพาคม 2559
III
สารบญ
หนา
บทคดยอ 33............................................................................................................................... I
กตตกรรมประกาศ 33 ................................................................................................................. II
สารบญ 33 ................................................................................................................................ III
สารบญรป 33 ............................................................................................................................ V
สารบญตาราง 33........................................................................................................................ VI
บทท� 1 บทนา33 ....................................................................................................................... 1 1.1 ปญหาและแรงจงใจ ........................................................................................... 1 1.2 วตถประสงคของโครงงาน ................................................................................ 1 1.3 ขอบเขตโครงงาน................................................................................................ 3 1.4 ประโยชนท�คาดวาจะไดรบ.................................................................................. 4 1.5 แผนการดาเนนงาน............................................................................................ 4 บทท# 2 ทฤษฎท#เก#ยวของ .................................................................................................... 6
2.1 องคประกอบพ.นฐานความปลอดภยสารสนเทศ................................................... 6 2.2 ระบบการจดการความม #นคงปลอดภยสารสนเทศ................................................ 7 2.3 การบรหารและจดการความเส#ยง ....................................................................... 10 2.4 การวเคราะหความเส#ยง .................................................................................... 11 บทท# 3 วธการดาเนนการ..................................................................................................... 14
3.1 ข .นตอนในการดาเนนการ ................................................................................. 14 3.2 รายละเอยดข .นตอนการดาเนนการ ................................................................... 15 3.3 รายละเอยดทรพยสนในหองเคร#องแมขาย.......................................................... 15 3.4 โครงสรางองคกร .............................................................................................. 18 3.5 การประเมนความเส#ยง ...................................................................................... 18 3.6 วธปฏบตตอความเส#ยงดานสารสนเทศ................................................................ 25 3.7 รายการควบคมความม #นคงสารสนเทศของ ISO 27001:2013.............................. 26 บทท# 4 ผลการดาเนนโครงงาน.............................................................................................. 27
4.1 ผลการประเมนความเส�ยงกอนดาเนนโครงการ.................................................... 28
4.1.2 ผลการประเมนความเส�ยงทรพยสนประเภทซอฟทแวร.......................... 52
4.1.3 ผลการประเมนความเส�ยงทรพยสนประเภทสารสนเทศ........................ 70
4.1.4 ผลการประเมนความเส�ยงทรพยสนประเภทผใหบรการ........................ 73
IV
4.1.5 ผลการประเมนความเส�ยงทรพยสนประเภทบคคลากร......................... 74
4.2 สรปจานวนความเส�ยงกอนการดาเนนโครงงาน................................................... 77
4.3 การบรหารจดการความเส�ยง.............................................................................. 78
4.4 สรปผลการประเมนความเส�ยงทรพยสน หลงดาเนนการโครงงาน........................... 78
4.4.1 ผลการประเมนความเส�ยงประเภทฮารดแวร ........................................ 105
4.4.2 ผลการประเมนความเส�ยงทรพยสนประเภทซอฟทแวร.......................... 126
4.4.3 ผลการประเมนความเส�ยงทรพยสนประเภทสารสนเทศ ........................ 145
4.4.4 ผลการประเมนความเส�ยงทรพยสนประเภทผใหบรการ ......................... 149
4.4.5 ผลการประเมนความเส�ยงทรพยสนประเภทผใหบรการ.......................... 150
4.5 สรปจานวนความเส�ยงหลงการดาเนนโครงการ.................................................... 153
บทท# 5 สรปผลการดาเนนโครงงาน................................................................ ……………… 154
ตารางสรปการประยกตใชงาน ………………………………………………………….……….. 155
เอกสารอางอง …………………………………………………………………………………… 186
ภาคผนวก ………………………………………………………………………………….…… 187
Information Security Policy……………………………..………………….………… 188
V
สารบญรป
รปท# 2.1 ISO 27000 Family ………….………………………………………………… 7
รปท# 2.2 องคประกอบของความเส#ยง …………………………………………………… 11
รปท# 3.1 ลาดบข .นตอนการดาเนนการ …………………………………………………… 14
รปท# 3.1 ลาดบข .นตอนการดาเนนการ …………………………………………………… 14
รปท# 3.2 โครงสรางองคกร ………………………………………………………………….. 18
รปท# 4.1 แผนภมแสดงสรปจานวนความเส#ยงกอนการดาเนนโครงงาน …………………. 77
รปท# 4.2 แผนภมแสดงสรปจานวนความเส#ยงกอนการดาเนนโครงงาน …………………. 153
รปท# 5.1 แผนภมเปรยบเทยบความเส#ยงกอนและหลงดาเนนโครงงาน ………………….. 154
VI
สารบญตาราง
ตารางท# 1.1 ตารางการดาเนนโครงงาน 1…..………………………………………………….. 4
ตารางท# 1.2 ตารางการดาเนนโครงงาน 2 ..…………………………………………………… 5
ตารางท# 3.1 รายการทรพยสนในหองเคร#องแมขาย ………………………………………….. 17
ตารางท# 3.2 ระดบโอกาสการเกดความเส#ยง (Likelihood)…………………………………… 19
ตารางท# 3.3 ระดบผลกระทบ (Impact) ……………………………………………………… 20
ตารางท# 3.4 ระดบผลกระทบดานการเงน ( Financial )……………………………………… 20
ตารางท# 3.5 ระดบผลกระทบดานช#อเส#ยง (Reputation ) …………………………………… 21
ตารางท# 3.6 ระดบผลกระทบดานการใหบรการ ( Operation ) ……………………………... 22
ตารางท# 3.7 ระดบผลกระทบดานกฏหมาย ( Compliant ) ………………………………….. 23
ตารางท# 3.8 ความสมพนธเกณฑการประเมนระดบความเส#ยง ........................................... 24
ตารางท# 3.9 ระดบความเส#ยงท#องคกรยอมรบ (Risk Appetite)………………………….…. 24
ตารางท# 4.1 ความสมพนธเกณฑการประเมนระดบความเส#ยง ........................................ 27
ตารางท# 4.2 ตารางประเมนความเส#ยงทรพยสนประเภทฮารดแวร …………………………… 28
ตารางท# 4.3 ตารางประเมนความเส#ยงทรพยสนประเภทซอฟทแวร …………………………. 52
ตารางท# 4.4 ตารางประเมนความเส#ยงทรพยสนประเภทสารสนเทศ …………………………. 70
ตารางท# 4.5 ตารางประเมนความเส#ยงทรพยสนประเภทผใหบรการ …………………………. 73
ตารางท# 4.6 ตารางประเมนความเส#ยงทรพยสนประเภทบคคลากร ………………………….. 74
ตารางท# 4.7 ตารางสรปจานวนความเส#ยงกอนการดาเนนโครงการ ………………………….. 77
ตารางท# 4.8 ตารางสรปผลการดาเนนการในการบรหารจดการความเส#ยง …………………… 78
VII
ตารางท# 4.9 ตารางผลการประเมนความเส#ยงทรพยสนประเภทฮารดแวร หลงดาเนนการโครงงาน…… 105
ตารางท# 4.10 ตารางผลการประเมนความเส#ยงทรพยสนประเภทซอฟทแวร หลงดาเนนการโครงงาน 126
ตารางท# 4.11 ตารางผลการประเมนความเส#ยงทรพยสนประเภทสารสนเทศ หลงดาเนนการโครงงาน 145
ตารางท# 4.12 ตารางผลการประเมนความเส#ยงทรพยสนประเภทผใหบรการ หลงดาเนนการโครงงาน 149
ตารางท# 4.13 ตารางผลการประเมนความเส#ยงทรพยสนประเภทผใหบรการ หลงดาเนนการโครงงาน 150
ตารางท# 4.14 ตารางสรปจานวนความเส#ยงกอนการดาเนนโครงการ ………………………… 153
ตารางท# 5.1 ตารางสรปผลการประเมนความเส#ยงกอนการจดทา .......................................... 154
ตารางท# 5.1 ตารางแสดงการประยกตการใชงาน (Statement Of Applicability : SOA) ……... 155
1
บทท� 1
บทนา
ในโลกปจจบนเทคโนโลยสารสนเทศเขามามบทบาทสาคญกบการดาเนนงานตางๆ ขององคกร
เพ$มมากข%น ท %งในดานการผลต ควบคมการดาเนนงาน ควบคมการบรหารจดการระบบงานตางๆ การ
ตดตอส$อสาร และการจดเกบขอมล เพ$อทาใหการดาเนนงานขององคกร เปนไปอยางมประสทธภาพ
สะดวกรวดเรวและลดความผดพลาดในการทางาน แตอยางไรกตามการเปล$ยนแปลงทางดาน
เทคโนโลยสารสนเทศท$มความกาวหนาอยางมากและรวดเรว ทาใหระบบเทคโนโลยสารสนเทศมความ
เส$ยงตอความม $นคงปลอดภยตอระบบเพ$มมากข%น ดงน %นองคกรตางๆ จงมความจาเปนท$จะตองสราง
นโยบายรกษาความม $นคงปลอดภยระบบสารสนเทศเพ$อปองกนภยคกคามท$จะเกดข%น จากการลวง
ละเมดของท %งผไมประสงคด หรอจากผใชงานเทคโนโลยสารสนเทศเอง ซ$งอาจสงผลใหเกดความ
เสยหายตอการดาเนนงาน การใหบรการ ช$อเสยงและภาพลกษณขององคกรได
ดงน %นเพ$อใหองคกรมความม $นคงปลอดภยในระบบสารสนเทศจากภยคกคามตางๆ จงควร
กาหนดนโยบายท$สาคญและจดทามาตรฐานดานความม $นคงปลอดภยของระบบสารสนเทศ ท %งน%เพ$อ
ลดปญหาอนอาจเกดจากภยคกคามดานตางๆ ใหไดมากท$สด ดวยการการศกษาและพฒนานโยบาย
การรกษาความม $นคงปลอดภยระบบเทคโนโลยสารสนเทศ โดยอางองตามมาตรฐาน ISO/IEC 27001:
2013ซ$งเปนมาตรฐานสากล เพ$อใหองคกรสามารถดาเนนกจกรรมทางธรกจไปไดอยางตอเน$องและ
ปลอดภย นอกจากน%ยงชวยปองกนกระบวนการทางธรกจจากความเส$ยงหากเกดภยรายแรง เชน
แผนดนไหว วาตะภย อทกภย เปนตน และความเสยหายของขอมล
1.1 ปญหาและแรงจงใจ
บรษท สยามฮตาช เอลลเวเตอร จากด ดาเนนกจการเก$ยวกบ การผลต การขาย การตดต %ง และ
การใหบรการหลงการขายลฟท บนไดเล$อน และทางเล$อน การดาเนนกจการของบรษทไดมการนา
ระบบเทคโนโลยสารสนเทศเขามาใชงานแทบทกสวนงาน เพ$อใหการดาเนนงานมประสทธภาพและ
พฒนาธรกจใหกาวหนา และย $งยนย$งข%นไป ดงน %นระบบสารสนเทศจงมความสาคญอยางย$งตอการ
ดาเนนธรกจ บรษทตระหนกถงความสาคญและการรกษาความม $นคงปลอดภยของระบบสารสนเทศ
2
เปนอยางดแตยงไมมมนโยบายรกษาการความม $นคงปลอดภยของระบบสารสนเทศอยางเปนทางการ
หรอการเตรยมความพรอมสาหรบแกปญหาทางดานความปลอดภยท$อาจเกดข%นในองคกร ซ$งจะมผล
ตอการดาเนนกจการไดอยางตอเน$อง และสงผลใหลกคาขาดความเช$อม $นในท$สด ดงน %นผจดทาจง
เลงเหนปญหาและความสาคญในจดน% จงไดมแนวคดท$จะจดทาระบบการจดการความม $นคงปลอดภย
ของระบบสารสนเทศตามมาตรฐาน ISO/IEC 27001: 2013เพ$อยกระดบมาตรฐานระบบสารสนเทศของ
องคกรใหม $นปลอดภยตามมาตรฐานสากล ซ$งจะกอใหเกดประสทธภาพและประสทธผลภายในองคกร
ในกรณศกษาน%จะศกษาในสวนของ Data Center เทาน %น
1.2 วตถประสงคของโครงงาน
การบรหารจดการความม $นคงปลอดภยระบบสารสนเทศตามมาตรฐาน ISO/IEC 27001:2013ม
วตถประสงคในการดาเนนงานดงน%
1. เพ$อพฒนาและปรบปรงนโยบายการรกษาความม $นคงปลอดภยของระบบสารสนเทศท$มให
เปนทางการและใหไดตามมาตรฐาน ISO/IEC 27001:2013
2. เพ$อตรวจสอบภยคกคามและชองโหวตางๆ ท$อาจกอใหเกดความเส$ยงตอองคกร
3. เพ$อหาแนวทางในการแกไขปญหาและลดความเส$ยงของระบบสารสนเทศขององคกร
4. เพ$อใหสามารถนานโยบายการรกษาความม $นคงปลอดภยของระบบสารสนเทศมาใชงานได
จรง และเหมาะสมกบองคกร
5. เพ$อเพ$มประสทธภาพและกระบวนการ ดานการรกษาความม $นคงปลอดภยระบบสารสนเทศ
ใหเปนไปอยางมระบบมากย$งข%น
6. เพ$อใชเปนเคร$องมอชวยในการตดสนใจของผบรหาร ในการวางแผนดานระบบสารสนเทศ
เพ$อใหธรกจขององคกรสามารถดาเนนงานไดอยางตอเน$องและปลอดภย
3
1.3 ขอบเขตของโครงงาน
1.3.1 ขอบเขตของโครงงาน 1
1. ศกษาโครงสรางและระบบการทางานขององคกรดานการรกษาความม $นคงปลอดภยระบบสารสนเทศ
2. รวบรวมขอมลของระบบสารสนเทศ โดยกาหนดขอบเขตเฉพาะในสวนของData Center
3. จดทารายการทรพยสนในสวนท$เก$ยวของกบขอมลสารสนเทศขององคกร
(Inventory information assets) โดยเลอกจดทาในหองเคร$องแมขาย 4. วเคราะหและประเมนความเส$ยงของระบบสารสนเทศท$ใชงานในปจจบน โดยใช
หลกเกณทตามมาตรฐานISO/IEC 27001 : 2013 5. จดทาเอกสารแสดงการประยกตใชงาน Statement of Applicability (SOA) 6. จดทารายงานเพ$อสรปผลการประเมนความเส$ยง 7. กาหนดแนวทางในการจดการความเส$ยง
1.3.2 ขอบเขตของโครงงาน 2
1. ฝกอบรมภายในองคกรเพ$อสรางองคความรดานความม $นคงปลอดภยสารสนเทศและการบรหารและจดการทรพยากรหองเคร$องแมขาย
2. ประสานงานกบสวนท$มความเก$ยวของและเสนอวธการจดการความเส$ยงทางความม $นคงปลอดภยสารสนเทศโดยระบวตถประสงค, วธการดาเนนงาน, ระยะเวลา, ผรบผดชอบหรอผท $เก$ยวของและหนาท$ความรบผดชอบในการดาเนนการเพ$อใหบรรลวตถประสงคท$กาหนดไว
3. ดาเนนการตามแผนบรหารจดการความเส$ยงพรอมเฝาระวง, ตดตามผลและวเคราะหความเส$ยงท$เหลออยรวมถงความเส$ยงท$อยในระดบท$สามารถยอมรบได
4. ทาการประเมนความเส$ยงหลงการดาเนนโครงงานเพ$อวดประสทธผลของการจดทานโยบายดานความม $นคงปลอดภยสารสนเทศของศนยขอมล
5. สรปผลการดาเนนการของโครงงาน 2
4
1.4 ประโยชนท�คาดวาจะไดรบ
1.4.1 องคกรมการนาเอามาตรฐาน ISO 27001:2013มาประยกตใชตามความเหมาะสม
ของการดาเนนธรกจและมนโยบายดานความม $นคงปลอดภยสารสนเทศท$จาเปนและ
สอดคลองกบมาตรฐานและบรบทขององคกร
1.4.2 องคกรไดรบทราบถงความเส$ยง, มาตรการและแนวทางในการแกไขปรบปรงตอไป
1.4.3 ผบรหารและพนกงานขององคกรไดรบทราบและตระหนกถงความเส$ยงท$อาจม
ผลกระทบเกดข%นรวมถงมความรความเขาใจดานความม $นคงปลอดภยสารสนเทศ
มากย$งข%น
1.5 แผนการดาเนนงาน
1.5.1 โครงงาน 1 มแผนการดาเนนการดงตารางท$ 1.1 ตารางท� 1.1 ตารางการดาเนนโครงงาน 1
แผนการทางานแตละสปดาห สงหาคม กนยายน ตลาคม พฤศจกายน
1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1. ขออนมตผบรหารเพ$อจดทาโครงงาน
2. ศกษาคนควาและรวบรวมขอมล - ศกษามาตราฐาน ISO - ศกษาและรวบรวมขอมลขององคกร - กาหนดขอบเขต
3. จดทารายการทรพยสน
4. วเคราะหและประเมนความเส$ยง 5. จดทาเอกสารรายการควบคมStatement of Applicability
(SOA)
6. สรปผลและจดทารายงาน โครงการ 1
5
1.5.2 โครงงาน 2
มแผนการดาเนนการดงตารางท$ 1.2
ตารางท� 1.2 ตารางการดาเนนโครงงาน 2
แผนการทางานแตละสปดาห มกราคม กมภาพนธ มนาคม เมษายน
1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4
1. ฝกอบรมแกบคลากรภายในองคกร 2. ดาเนนการตามแผนการจดการความเส$ยง
3. ประเมนความเส$ยงท$คงเหลอ 4. จดทานโยบายดานความม $นคงปลอดภยระบบสารสนเทศ
5. สรปผลและจดทารายงานโครงการ 2
6
บทท� 2
ทฤษฏท�เก�ยวของ
2.1 องคประกอบพ�นฐานความปลอดภยสารสนเทศ (Information Security)
สารสนเทศ เปนทรพยสนสาคญทางธรกจ ท�ตองดแลรกษาและปองกนใหมความม �นคงปลอดภยเปน
อยางด การท�จะบอกไดวาสารสนเทศน +นมความปลอดภยหรอไมน +น ทาไดโดยการวเคราะห
องคประกอบหลกท +ง 3 ดานคอ ความลบ (Confidentiality) ความถกตอง(Integrity) และความพรอมใช
งาน (Availability) วามอยครบหรอไม ถาขาดคณสมบตดานใดดานหน�ง แสดงวาสารสนเทศน +นไมม
ความปลอดภย
ดงน +นการรกษาความปลอดภยจงเปนการปองกนและรกษาองคประกอบหลกท +ง 3 ดาน
ดงตอไปน+
1. การรกษาความลบ (Confidentiality) หมายถง การทาใหสารสนเทศสามารถเขาถงหรอเปดเผยไดเฉพาะผท�ไดรบอนญาตเทาน +น กลไกในการควบคมการรกษาความลบของ
สารสนเทศน +นสามารถทาไดโดยการควบคมการเขาถงระบบ เชน การกาหนดสทธ Iผใชงาน
การปองกนการเขาถงเคร�องแมขาย การเขาถงขอมลโดยตรงดวยการเขารหสลบ
2. การรกษาความถกตอง (Integrity) หมายถง การรกษาความถกตองครบถวนสมบรณ
ของสารสนเทศท +งในสวนของเน+อหา และจากแหลงท�มา ไมใหถกแกไข เปล�ยนแปลง หรอ
ทาลายในระหวางรบสงเอกสาร โดยผท�ไมไดรบอนญาตเพ�อใหสารสนเทศน +นเช�อถอได
3. ความพรอมใช (Availability) หมายถง การทาใหระบบสารสนเทศสามารถตอบสนอง
ความตองการใชงานจากผมสทธเขาถงขอมลไดทกเม�อท�ตองการ ตองมการควบคมไมให
ระบบลมเหลวและสามารถใชงานไดอยางตอเน�อง
7
2.2 ระบบการจดการความม �นคงปลอดภยสารสนเทศ
การสรางความม �นคงปลอดภยสารสนเทศ เพ�อปกปองการดาเนนธระกจใหเปนไปอยางตอเน�องและเสรมสรางความม �นใจของลกคา ตลอดจนผถอหน พนกงานน +น จาเปนตองมกระบวนการในการดาเนนการ ซ�งกระบวนการตางๆ ไดกาหนดไวเปนมาตรฐานสากล ซ�งมอยหลายมาตรฐาน เชน COBIT, ITILL, ISO/IEC 27001, ISO/IEC ISO/IEC 27002
สาหรบมาตรฐานท�เก�ยวของกบการรกษาความม �นคงปลอดภยสารสนเทศน +นมหลากหลายมาตราฐาน ดงน +นจงมการจดใหเปนหมวดหม ซ�งเรยกวามาตรฐานชดISO/IEC 27000 ซ�งประกอบดวยมาตรฐานยอยๆ ดงน+
รปท�2.1 ISO 27000 Family IS0 27000 : Fundamentals and Vocabulary
• มวตถประสงคเพ�อแสดงศพทและนยาม (Vocabulary and Definitions) ท�ใชในมาตรฐานน �นคอศพทบญญต (Terminology) ท +งหลายท�ใชในมาตรฐานการจดการดานความม �นคงปลอดภยสารสนเทศ (Information Security Management Standards- ISMS)
8
ISO 27001 :ISMS Requirements • เปนมาตรฐานท�จาเปนของระบบสารสนเทศ ISMS ไดแกคณลกษณะเฉพาะ
(Specification) ซ�งองคกรท +งหลายจะตองขอรบ "ใบรบรอง" (Certificate) จากหนวยงานภายนอกวาไดม "การปฏบตตามขอกาหนด (Compliance)" เหลาน+แลวอยางเปนทางการ
• ISO 27001:2005ISO 27001 เวอรช �นแรกประกาศใชในป 2005 (ISO 27001:2005) และไดพฒนาอยางตอเน�องเพ�อใหเหมาะสมกบเทคโนโลยท�เปล�ยนไป และไดประกาศใชเวอรช �นลาสดในป 2013(ISO 27001 : 2013 )
• ISO 27001 : 2013เปนการนา ISO 27001:2005 มาปรบใหมความยดหยน และนาไปสการจดการความเส�ยงท�มประสทธภาพมากข+น โดยเฉพาะมาตราการควบคมในภาคผนวก A (Annex A :Reference control objectives and controls) ประกอบดวย 14 วตถประสงค (Controls Objectives) ต +งแต A5 ถง A18 และ 114 มาตรการควบคม (Controls)
ISO 27002 : 17799 Code of Practice • ISO 27002 จะเปนช�อเรยกใหมของ ISO 17799 ซ�งเดมเรยกวา "BS 7799 Part 1"
เปนมาตรฐานแสดงหลกปฏบตสาหรบ ISM (Code of practice for Information Security Management) ท�อธบายวตถประสงคของระเบยบวธการควบคมดาน IS ท +งหลายอยางละเอยดและแสดงรายการวธปฏบตท�ดท�สดของการควบคมความม �นคงปลอดภย (Best-practice security controls)
ISO 27003 : ISMS Implementation Guidelines • ISO 27003 จะเปนแนวทางประยกตใชมาตรฐาน (Implementation guide)
ISO 27004 : ISM Measurements • ISO 27004 จะเปนมาตรฐานการวด ISM เพ�อท�จะชวยวดประสทธภาพหรอ
ประเมนผลท�เกดจากการนา ISMS ไปใช
ISO 27005 : ISMS Risk Management • ISO 27005 เปนมาตรฐาน "การบรหารจดการความเส�ยงดาน IS (Information
Security Risk Management)" ซ�งจะมาแทนท�มาตรฐานเดมไดแก "BS 7799 Part 3"
9
ISO 27006 : ISMS Accreditation Guidelines • ISO 27006 จะเปนแนวทางปฏบตสาหรบกระบวนการออกใบรบรอง (Certification process) หรอการลงทะเบยน (Registration process) .ใหกบหนวยงานท�เก�ยวของ (ISMS certification/registration bodies)
หากพดถงมาตรฐานการบรหารความม �นคงปลอดภยสาหรบสารสนเทศแลว ปจจบนมาตรฐาน ISO/IEC 27001ไดรบความนยมอยางแพรหลายเน�องจากประกอบดวยกระบวนการ Plan-Do-Check-Act และใชแนวทางการประเมนความเส�ยงมาประกอบการพจารณาหาวธการหรอมาตรการเพ�อปองกนลดความเส�ยงและรกษาทรพยสนสารสนเทศท�มคาขององคกรใหมความม �นคงปลอดภยในระดบท�เหมาะสม กระบวนการจดทาระบบบรหารจดการความม �นคงปลอดภยสารสนเทศ ม 4 ข +นตอน คอ PDCA ซ�งมรายละเอยดดงน+
1. กาหนดระบบบรหารจดการความม �นคงปลอดภย (Plan)
• การกาหนดขอบการจดทาระบบบรหารจดการความม �นคงปลอดภยสารสนเทศ • กาหนดรปแบบและวธการประเมนความเส�ยงภย • ระบความเส�ยง • วเคราะหและประเมนความเส�ยง • กาหนดมาตรการควบคมความเส�ยง • ขออนมตผบรหารเก�ยวกบความเส�ยงท�ไมมมาตรการควบคม • ขออนมตผบรหารเพ�อลงมอปฏบตและดาเนนการ • จดทาเอกสารแนวทางในการประยกตใช (Statement of Applicability : SOA)
2. ลงมอปฏบตและดาเนนการระบบบรหารจดการความม �นคงปลอดภย (Do)
• กาหนดแผนการจดการความเส�ยง • ปฏบตตามแผนการจดการความเส�ยง • ดาเนนการตามมาตรการควบคมท�เลอกใช • กาหนดการช+วดประสทธภาพของมาตรการควบคม • จดฝกอบรมใหตระหนกถงการรกษาความปลอดภย
10
3. เฝาระวงและทบทวนระบบบรหารจดการความม �นคงปลอดภย (Check)
• การเฝาระวง และตรวจจบขอผดพลาดของการปฏบตตามมาตรการควบคมท�เลอกใช • ประเมนประสทธภาพการการปฏบตตามมาตรการควบคม • ปรบปรงแผนการปฏบตการ เพ�อปองกนขอผดพลาดท�ตรวจพบ • บนทกการปฏบตและเหตการณท�มผลกระทบตอประสทธภาพการทางานระบบความ
ม �นคงปลอดภยสารสนเทศ
4. บารงรกษาและปรบปรงระบบบรหารจดการความม �นคงปลอดภย (Act)
• แกไขความไมสอดคลองและการดาเนนการ • ปรบปรงเพ�มเตมอยางตอเน�อง • ตรวจสอบการปรบปรงท�ทาไปแลวน +นบรรลตามวตถประสงคหรอไม
2.3 การบรหารและจดการความเส�ยง (Risk Management)
มาตรฐานความม �นคงปลอดภยสารสนเทศ ISO 27001 กาหนดใหมกระบวนการในการบรหารจดการความเส�ยงเปนหน�งในขอบงคบท�สาคญท�มผลตอความสาเรจและประสทธภาพของระบบรกษาความม �นคงปลอดภยสารสนเทศ แตมาตรฐาน ISO 27001 น +นมไดมการระบถงวธการจดการความเส�ยงแตอยางใด ซ�งเปนการเปดกวางใหแตละองคกรสามารถเลอกใชวธการประเมนความเส�ยงท�แตกตางกนออกไป เพ�อใหเหมาะสมตามลกษณะการดาเนนธรกจ ขนาดขององคกร และนโยบายของผบรหารของแตละองคกร ท +งน+ในอนกรมมาตรฐาน ISO 27000 มมาตรฐานการประเมนความเส�ยงในความม �นคงสารสนเทศรวมอยดวยน �นคอ ISO 27005 : 2011 Information technology – Security techniques – Information security risk management ความเส�ยง (Risk) คอ เหตการณท�มโอกาสเกดข+นไดและทาใหเกดความเสยหายตอทรพยสนสารสนเทศขององคกร องคประกอบของความเส�ยง ในดานการรกษาความม �นคงปลอดภยสารสนเทศน +นความเส�ยงประกอบดวย 2 สวนคอ
1. ภยคกคาม (Threat) 2. ชองโหว (Vulnerability)
11
ภยคกคาม (Threat) คอสถานการณหรอการกระทาท�ไมพงประสงคท�เกดข +นแลว เปนเหตให
ระบบสารสนเทศเสยหายหรอเปนอปสรรคขดขวางใหกระบวนการทางานระบบสารสนเทศไมสามารถใหบรการไดตามปกตไมวาจะเกดจากเจตนาหรอไมกตาม ท +งน+ภยคกคามน +นอาจเกดจากภยธรรมชาตหรอการกระทาของมนษย เชน อคคภย, วาตภย, อทกภย, จลาจล, แฮกเกอรเปนตน
ชองโหว (Vulnerability) คอจดออนของระบบสารสนเทศซ�งจะถกภยคกคามใชประโยชนจากจดออนน+เพ�อโจมต หรอสรางความเสยหายใหเกดข+นกบระบบสารสนเทศ เชน ชองโหวของระบบปฏบตการท�ไมไดอพเดทแพตซใหทนสมย เปนชองทางใหถกโจมตจากไวรส
รปท�2.2 องคประกอบของความเส�ยง 2.4 การวเคราะหความเส�ยง (Risk Analysis)
กระบวนการบรหารจดการความเส�ยงตามมาตรฐานความม �นคงปลอดภยสารสนเทศ ISO 27001:2013 ประกอบดวย 2 สวนหลกๆ คอ
1. การประเมนความเส�ยง (Risk Assessment) 2. การจดการความเส�ยง (Risk Treatment)
การประเมนความเส�ยง (Risk Assessment) การกาหนดเหตการณความเส�ยงท�มโอกาสเกดข+นเปนการวดระดบของผลกระทบหากเหตการณความเส�ยงน +นเกดข+นจรงกบองคประกอบดานความม �นคงปลอดภยสารสนเทศ 3 ประการ คอ การรกษาความลบ, การรกษาความถกตองสมบรณ และการพรอมใชงาน ซ�งข +นตอนในการประเมนความเส�ยงมดงน+
ภยคกคาม ความเส�ยง ชองโหว
12
1. การระบปจจยเส�ยง (Risk Identification) ซ�งเกดจากการศกษาและวเคราะหจากวตถประสงคและเปาหมายขององคกรท�สอดคลองกบภารกจ (Mission) แบงออกเปน 2 ระดบคอ
1.1 วตถประสงคระดบองคกร (Entity level objectives) คอวตถประสงคท�เกดข+นจากวสยทศนและแผนกลยทธขององคกร
1.2 วตถประสงคระดบกจกรรม (Activity level objectives) คอวตถประสงคของการดาเนนงานหรอปฏบตการของภาคสวนภายในองคกรซ�งตองมความสอดคลองกบวตถประสงคระดบองคกร
2. การวดและประเมนความเส�ยง (Risk Measurement) คอการศกษาปจจยหรอ
องคประกอบท�เก�ยวของกบความเส�ยงน +นคออะไร และเส�ยงอยางไร ท +งดานการดาเนนงาน, งบประมาณและการดาเนนกลยทธ ซ�งการวเคราะหน+จะดถงสาเหต (Cause) ของการเกดความเส�ยงน +นวามโอกาสเกด (Opportunity) มากนอยเพยงใดและเม�อเกดความเส�ยงน +นแลวมผลกระทบ (Effect) มากนอยเพยงใดซ�งผลกระทบจะแสดงใหเหนในดานการเงน, ผรบบรการ, บคลากร, ระยะเวลาและความสาเรจของสวนท�เก�ยวของ
3. การจดลาดบความเส�ยง (Risk Prioritization) เม�อมการเปรยบเทยบความเส�ยงในเร�องโอกาสและผลกระทบแลวจะตองมการจดลาดบวา ความเส�ยงน +นมความสาคญเพยงใด โดยการจดลาดบความเส�ยงจากมากไปหานอยซ�งมข +นตอนการวเคราะหดงน+
3.1 ประเมนระดบความสาคญจากปจจยเส�ยง คอการประเมนวาปจจยท�ทาใหเกดความเส�ยงน +น หากเกดข+นแลวจะมผลกระทบตอองคกรมากนอยเพยงใด
3.2 ประเมนความเส�ยงท�ปจจยเส�ยงจะเกดข+น คอการพจารณาวาปจจยเส�ยงท�เรยงลาดบความสาคญแลวน +นมโอกาสเกดข+นมากนอยเพยงใด
3.3 ใชเทคนควเคราะหความเส�ยงท�เหมาะสมซ�งอาจเปนการกาหนดคาความเส�ยงในรปตวเลข
การจดการความเส�ยง (Risk Treatment)
ผลจากการวเคราะห, ระบปจจยและจดลาดบความเส�ยงท�มความสาคญตอความม �นคงปลอดภยสารสนเทศขององคกรแลวน +นจะตองมการพจารณาหาวธหรอแนวทางในการกาหนดกจกรรมในการเขามาควบคมแกไขเพ�อปองกนหรอลดความเส�ยงน +นโดยการเลอกใชตวควบคมจาก ISO 27001 ซ�งแนะนาไวม 4 ทางคอ
1. การหลกเล�ยงความเส�ยง (Avoidance Risk) คอการหลกเล�ยงความเส�ยงโดยยกเลกกระบวนการทางานหรอทรพยสนท�กอใหเกดความเส�ยงข+นซ�งมกจะกระทาเม�อการแกไขความเส�ยงดวยวธการอ�นน +นไมคมกบผลประโยชนท�ไดจากการทางานดวยกระบวนการหรอทรพยสนน +นๆ
13
2. การลดความเส�ยง (Reduction Risk) คอเปนการหาวธในการควบคมแกไขความเส�ยงใหลดลงมาอยในระดบท�องคกรสามารถยอมรบไดซ�งในมาตรฐาน ISO 27001 กมวธการในการแกไขควบคมความเส�ยงไวใหสามารถเลอกใชไดอยางเหมาะสม
3. การถายโอนความเส�ยง (Transferring Risk) คอในบางองคกรอาจขาดความรความเขาใจหรอบคลากรท�รบผดชอบในดานความม �นคงปลอดภยสารสนเทศซ�งถอวาเปนความเส�ยงท�สาคญสามารถวาจางบรษทหรอผเช�ยวชาญภายนอกในรปแบบของผรบจางชวง (Outsourcing service) ใหเปนผดาเนนการบรหารความเส�ยงแทนองคกรไดโดยใชการรบประกน (Service Assurance) หรอการจดทาสญญาการใหบรการ (Service License Agreement : SLA) ท�ครอบคลมความเส�ยงขององคกรท�ประเมนไวไดดงน +นความเส�ยงขององคกรจงถกโอนใหแกผรบจางชวงน +นแทน
4. การยอมรบความเส�ยง (Acceptable Risk) คอการท�องคกรพจารณาแลวพบวาการดาเนนการแกไขควบคมความเส�ยงน +นไมเหมาะสม, ไมสามารถกระทาไดในทางปฏบตหรอไมคมคา เชน คาใชจายในการดาเนนการแกไขควบคมมมลคาสงกวามลคาของขอมลและทรพยสนท�จะทาการปกปองท +งน+ข+นอยกบดลยพนจของผบรหาร
14
บทท� 3
วธการดาเนนงาน
3.1 ข �นตอนการดาเนนการ
รปท� 3.1 ลาดบข �นตอนการดาเนนการ
จดทานโยบายความม�นคงปลอดภยระบบสาระสนเทศ
ประเมนและสรปความเส�ยงท�เหลออย ภายหลงการดาเนนการตามการบรหารความเส�ยง
ปฏบตตามแผนการบรหารจดการความเส�ยง
จดทาแผนปฏบต ตามแนวทางการบรหารจดการความเส�ยงท�กาหนด
สรปผลการประเมนความเส�ยง และกาหนดแนวทางการบรหารจดการความเส�ยง
ประเมนความเส�ยงท�เก�ยวของกบสารสนเทศตามขอบเขตท�กาหนดไว
ระบความเส�ยงตามขอบเขตท�กาหนด
กาหนดขอบเขตในการสรางความม�นคงปลอดภยสารสนเทศ
ศกษาและรวบรวมขอมลบรบทองคกร
จดเตรยม มาตรฐาน, ขอกาหนด และทฤษฎตางๆท�เก�ยวของ
15
3.2 รายละเอยดของข �นตอนการดาเนนการ 3.2.1 จดเตรยมขอมลจากการศกษาในช �นเรยนและมาตรฐาน, ขอกาหนดรวมถงทฤษฎตางๆ ท)
เก)ยวของ • หลกการและทฤษฎตามบทท) 2
• หลกวชาการจากการศกษาในช �นเรยน
• เอกสารมาตรฐาน ISO 27001:2013, ISO 27002:2013, ISO 27005
3.2.2 ศกษาและรวบรวมขอมลบรบทองคกร• ศกษาจากประสบการณทางานระบบสารสนเทศภายในหองเคร)องแมขายและสมภาษณผบรหาร
3.2.3 กาหนดขอบเขตในการสรางความม )นคงปลอดภยสารสนเทศ• ปรกษาหารอรวมกบผบรหารในการกาหนดขอบเขตท)เหมาะสมและองคกรไดรบประโยชน
3.2.4 ประเมนความเส)ยงท)เก)ยวของกบสารสนเทศตามขอบเขตท)กาหนดไว• จดทารายการทรพยสนในหองเคร)องแมขาย • 3.2.5 จดทาตารางการประเมนความเส)ยงซ)งสอดคลองกบทฤษฎและหลกการท)เก)ยวของกอนการจดการความเส)ยง
3.2.6 สรปผลการประเมนความเส)ยงและกาหนดแนวทางการบรหารจดการความเส)ยง 3.2.7 จดทาแนวทางปฏบตดานความม )นคงปลอดภยสารสนเทศตามแนวทางการบรหารจดการ
ความเส)ยง 3.2.8 ประเมนและสรปความเส)ยงท)เหลออยภายหลงการดาเนนการตามการบรหารจดการความ
เส)ยง
3.3 รายการทรพยสนในหองเคร�องแมขายของบรษท (Asset inventory) รายการทรพยสนในหองเคร)องแมขายมรายการดงตารางท) 3.1
ประเภททรพยสน รายการ รหสทรพยสน รายละเอยดทรพยสน
Hardware Server
HW-001 Mail Server HW-002 ERP Server Production HW-003 Work Flow & Digital Filing Server HW-004 Backup Server HW-005 Anti Virus & WSUS Server
16
ประเภททรพยสน รายการ รหสทรพยสน รายละเอยดทรพยสน
Hardware
Server
HW-006 PLM Server HW-007 CAD-CAM Server HW-008 File Sharing Server HW-009 Internet Log Server
Network
HW-010 Lease Line Router no.1 HW-011 Lease Line Router no.2 HW-012 Lease Line Router no.3 HW-013 ADSL Router HW-014 Core Switch no. 1 HW-015 Core Switch no. 2 HW-016 Distribute Switch Factory A HW-017 Distribute Switch Factory B HW-018 Distribute Switch Factory C
HW-019 Access Switch for Internet Café Supporting Equipment HW-020 Air Conditioner No.1 HW-021 Air Conditioner No.2 HW-022 UPS for Server Rack
Software Operating System
SW-001 Windows Server 2003 SW-002 Windows Server 2008 SW-003 Windows Server 2012 SW-004 Linux Ubuntu SW-005 Unix AIX
17
ประเภททรพยสน รายการ รหสทรพยสน รายละเอยดทรพยสน
Software Application
SW-006 Mail Server SW-007 WorkFlow Server SW-008 Digital Filing Server SW-009 Manufacturing Knowledge SW-010 CAD-CAM Server SW-011 AntiVirus Server SW-012 WSUS Server SW-013 SQL Server
Information Digital Information
IN-001 E-mail Data
IN-002 Workflow Data
IN-003 Digital Filing Data
IN-004 ERP Data
IN-005 Log Data
IN-006 CAD-CAM Data
IN-007 Design Data
Service Provider SE-001 Telecommunication Service Provider
SE-002 Network Service Provider
SE-003 Application Service Provider
People Human
PE-001 Top Executive
PE-002 Manager
PE-003 Developer
PE-004 System Administrator
PE-005 User
ตารางท� 3.1 รายการทรพยสนในหองเคร)องแมขาย
18
3.4 โครงสรางองคกร (Organization chart)]
บรษท สยาม ฮตาช เอลลเวเตอร จากด มโครงสรางองคกรตามรปท) 3.2
รปท� 3.2 โครงสรางองคกร
3.5 การประเมนความเส�ยง
การประเมนความเส�ยง คอการคานวณโอกาสท)จะเกดเหตการณท)นาไปสความเสยหายสารสนเทศขององคกร เพ)อใหทราบถงระดบความสาคญของแตละความเส)ยงท)อาจเกดข�น ซ)งจะทาใหอนสงผลใหมแผนงานรองรบความเส)ยงน �นๆ อยางถกตองและเหมาะสมตามลาดบ
คาของความเส�ยง (Risk Value) = โอกาสเกด (Likelihood) x ผลกระทบ (Impact )
ในโครงงานน�การประเมนความเส)ยงผจดทาไดปรกษาหารอกบผบรหารซ)งประยกตใชตามหลกเกณฑท)ระบไวใน ISO 27005:2011 และประกาศคณะกรรมการธรกรรมทางอเลกทรอนกส เร)อง ประเภทของธรกรรมทางอเลกทรอนกส และหลกเกณฑการประเมนระดบผลกระทบของธรกรรมทางอเลกทรอนกสตามวธการแบบปลอดภย พ.ศ. ๒๕๕๕ ไดดงน�
Chairman of Company
President
Executive Vice
President
Design Innovation QA Prodution Procurement IT
IT DevelopmentNetwork &Security
Admin
19
3.5.1 หลกเกณฑการประเมนคาความเส�ยง
3.5.1.1 เกณฑท�ใชในการประเมนระดบโอกาสการเกดเหตการณ (Likelihood Assessment)
การประเมนโอกาสเกดเหตการณมประเดนในการพจารณาดงน[ - จานวนการเกดเหตการณในอดต
- การจดการชองโหวหรอจดออนของระบบสารสนเทศ - การอบรมสรางความเขาใจและความตระหนกในการสรางความม gนคงปลอดภยสารสนเทศ
แบงเปน 5 ระดบคอ
ประเดนพจารณา
ระดบคะแนน สงมาก สง ปานกลาง ตgา ตgามาก (5) (4) (3) (2) (1)
จานวนการเกดเหตการณทgในอดตโดยเฉลgย
1 คร [งหรอมากกวา ตอ เดอน
ไมเกน 5 คร [ง ตอ1 ป
1 คร [งตอ1 ป 1 คร [ง ตอ 2-3 ป
1 คร [ง ตอ 5 ปข[นไป
การจดการความเสgยงของระบบสารสนเทศ
พบความเสgยง แตไมมการควบคม
พบความเสgยง มการควบคม แตไมมการตดตามเฝาระวง
พบความเสgยง มการควบคมและตดตามเฝาระวงบางสวน
พบความเสgยง มการควบคมและตดตามเฝาระวง
ไมพบชองโหว หรอจดออน
การสรางความตระหนกในความม gนคงปลอดภยสารสนเทศ
ไมมการอบรมและไมเผยแพรขอมลขาวสาร
ไมมการอบรม แตมการเผยแพรขอมลขาวสาร
มการอบรมและเผยแพรขอมลขาวสาร 1 ป/คร [ง
มการอบรม และเผยแพรขอมลขาวสาร 6เดอน/คร [ง
มการอบรม เผยแพรขอมลขาวสารอยางตอเนgอง 3เดอน
ตารางท� 3.2 ระดบโอกาสการเกดความเส)ยง (Likelihood)
20
3.5.1.2 เกณฑท�ใชในการประเมนระดบของผลกระทบ (Impact)
การประเมนระดบของผลกระทบแบงเปน 5 ระดบคอ
คะแนน ระดบโอกาสการเกด 5 มากท)สด 4 มาก 3 ปานกลาง 2 นอย 1 นอยท)สด
ตารางท� 3.3 ระดบผลกระทบ (Impact)
เกณฑท�ใชในการประเมนระดบของผลกระทบ มท �งหมด 4 ดานคอ
3.5.1.2.1 กระทบดานการเงน ( Financial ) พจารณาจากมลคาของทรพยสนในปจจบนทgไดรบผลกระทบจากเหตการณความเสgยงน [นเพgอการซอมแซม, เปลgยน, ซ[อ, กอสรางรวมถงการเสยโอกาสทางการคาและการแขงขนดงตารางทg 3.4
ระดบผลกระทบ
ระดบคะแนน
ดานการเงน(Financial)
มากท)สด 5 ผลกระทบสงมากมผลตอความอยรอดขององคกรมมลคาความเสยหายในวงเงนมากกวา 1 ลานบาท
มาก 4 ผลกระทบสงมผลตอการประมาณงบประมาณมมลคาความเสยหายในวงเงนมากกวา 5 แสน แตไมเกน 1 ลานบาท
ปานกลาง 3 ผลกระทบปานกลางมผลตอการประมาณงบประมาณเลกนอยมมลคาความเสยหายในวงเงนมากกวา 2 แสน แตไมเกน 5แสน
บาท
นอย 2 ผลกระทบนอยไมมผลกระทบตอการประมาณงบประมาณมมลคาความเสยหายในวงเงนมากกวา 1 แสน แตไมเกน 2แสนบาท
นอยท)สด 1 ไมมผลกระทบดานการเงนอาจอยภายในงบประมาณการมมลคา
ความเสยหายไมเกน 1แสนบาท
ตารางท� 3.4 ระดบผลกระทบดานการเงน ( Financial )
21
3.5.1.2.2 ผลกระทบดานช�อเส�ยง (Reputation )
พจารณาจากชgอเสยงทgสญเสยไปอนเกดจากความเสยหายตอทรพยสนขององคกร โดยกาหนดคาผลกระทบเชงคณภาพดงตารางทg 3.5
ระดบผลกระทบ ระดบคะแนน ดานช�อเส�ยง (Reputation )
มากท)สด 5 สงผลกระทบช)อเสยงและความนาเช)อถอขององคกรอยางรนแรง จนมการแพรกระจายขาวเชงลบผานส)อสาธารณะทกรปแบบ
มาก 4 กระทบช)อเสยงและความนาเช)อถอขององคกรสงโดยมการทา
รายงานตอผบรหารระดบสงขององคกร
ปานกลาง 3 กระทบช)อเสยงและความนาเช)อถอขององคกรปานกลาง เปนการรองเรยนหรอแนะนาโดยตรง ผานทางโทรศพท หรอจดหมาย
นอย 2 กระทบช)อเสยง หรอความนาเช)อถอขององคกรนอย เปนการแพร
ขาวเชงลบภายในองคกร
นอยท)สด 1 สงผลกระทบตอช)อเสยงหรอความนาเช)อถอขององคกรนอยมาก
หรอไมกระทบ
ตารางท� 3.5 ระดบผลกระทบดานช�อเส�ยง (Reputation )
22
3.5.1.2.3 ผลกระทบดานการใหบรการ ( Operation )
พจารณาจากกระบวนการทางานและการดาเนนธรกจทgหยดชะงกอนเนgองมาจากผลกระทบทgเกดข[นตอทรพยสนทgเกgยวของดงตารางทg 3.6
ระดบผลกระทบ ระดบคะแนน ดานการใหบรการ(Operation)
มากท)สด 5 กระทบตอกระบวนการทางานของท �งองคกร หรอระบบงานท)สาคญมากกวา 2 ช )วโมง หรอบางสวนเปนระยะเวลามากกวา 1 วน
มาก 4 กระทบตอกระบวนการทางานของท �งองคกร หรอระบบงานท)สาคญบางระบบไมเกน 2 ช )วโมง หรอบางสวนเปนระยะเวลามากกวา 4 ช )วโมง
ปานกลาง 3 กระทบตอกระบวนการทางานของท �งองคกร หรอระบบงานท)สาคญบางระบบไมเกน 1 ช )วโมง หรอบางสวนเปนระยะเวลาไมเกน 4 ช )วโมง
นอย 2 กระทบตอกระบวนการทางานของท �งองคกร หรอระบบงานท)สาคญบางระบบระยะเวลาไมเกน 30 นาท หรอบางสวนเปนระยะเวลาไมเกน2 ช )วโมง
นอยท)สด 1
ไมมผลกระทบตอกระบวนการทางานของท �งองคกร หรอระบบงานท)สาคญ หรอกระทบการทางานของบางสวนขององคกรเปนระยะเวลา ไมเกน 30 นาท
ตารางท� 3.6 ระดบผลกระทบดานการใหบรการ ( Operation )
23
3.5.1.2.4 ผลกระทบดานกฏหมาย( Compliant )
พจารณาจากระดบความสาคญของกฎหมายซgงจะทาใหบรษทไดรบผลกระทบตามระดบความสาคญของกฎหมายดงตารางทg 3.7
ระดบผลกระทบ ระดบคะแนน ดานกฏหมาย ( Compliant)
มากท)สด 5 มความเก)ยวของกบกฎหมายแหงราชอาณาจกรไทย
มาก 4 มความเก)ยวของกบสญญากบคคา หรอ ลกคา หรอขดตอนโยบายขององคกรท)แกไขไดยาก
ปานกลาง 3 ขดตอนโยบายและแนวปฏบตท )วไป ในระดบองคกร
นอย 2 ขดตอนโยบายและแนวปฏบตเฉพาะกลมงาน
นอยท)สด 1 ไมมผลตอการปฏบตตามกฎหมาย ระเบยบ และขอบงคบท)เก)ยวของ
ตารางท� 3.7 ระดบผลกระทบดานกฏหมาย ( Compliant )
3.5.2 การจดระดบความเส�ยง (Risk evaluation)
การจดระดบความเส)ยงดวยหลกการกาหนดคาตวเลขและสมการจากการประเมนโอกาสเกดเหตการณและผลกระทบ (Matrix with predefined value) ซ)งจะไดสมการและตารางท) 3.8 ดงน�
ระดบความเส ยง (Risk value) = ระดบโอกาสเกด (Likelihood) x ระดบผลกระทบ (Impact) การประเมนความเส�ยงจากระดบความเส�ยง คาระดบความเส)ยงท) 1 – 4 หมายถงความเส)ยงต)ามาก (Very low)
คาระดบความเส)ยงท) 5 - 9 หมายถงความเส)ยงต)า (Low)
คาระดบความเส)ยงท) 10 – 16 หมายถงความเส)ยงปานกลาง (Medium)
คาระดบความเส)ยงท) 17- 25 หมายถงความเส)ยงสง (High)
24
ผลกร
ะทบ(Im
pact)
สงมาก 5 10 15 20 25
สง 4 8 12 16 20
ปานกลาง 3 6 9 12 15
นอย 2 4 6 8 10
นอยมาก 1 2 3 4 5
นอยมาก นอย ปานกลาง สง สงมาก
โอกาส(Likelihood)
ตารางท� 3.8 ความสมพนธเกณฑการประเมนระดบความเส)ยง (Risk Assessment Matrix)
เม)อประเมนคาและจดระดบความเส)ยงไดแลว ผลท)ไดจงนามาจดกลมความเส)ยงโดยการเปรยบเทยบกบหลกเกณฑความเส)ยงท)ยอมรบได
ระดบความเส�ยง ความหมาย
ต)ามาก (1-4) ระดบความเส)ยงท)องคกรยอมรบ (Acceptable) อาจมมาตรการท)มอยแลวปองกนหรอไมกได
ต)า (5-9) ระดบความเส)ยงท)องคกรสามารถยอมรบไดแตตองมการควบคมเพ)อปองกนไมใหความเส)ยงมคาสงข�นไปยงระดบท)ไมสามารถยอมรบได
ปานกลาง (10-16) ระดบความเส)ยงท)องคกรไมสามารถยอมรบไดโดยตองจดการความเส)ยง เพ)อใหอยในระดบท)สามารถยอมรบไดตอไป
สงมาก (17-25) ระดบความเส)ยงท)องคกรไมสามารถยอมรบได และจาเปนตองเรงจดการความเส)ยงจนกระท )งใหอยในระดบท)สามารถยอมรบไดทนท
ตารางท� 3.9 ระดบความเส)ยงท)องคกรยอมรบ (Risk Appetite)
25
3.6 วธปฏบตตอความเส�ยงดานสารสนเทศ (Risk Treatment Process)
เปนการระบถงวธปฏบตและดาเนนการตอความเสgยงทgประเมนแลวน [นตามหลกเกณฑดงน[ • ลดความเส�ยง (Reduction risk) คอการจดทาตวควบคมตามมาตรฐาน ISO/IEC 27002 ในการนามาลดความเสgยงทgประเมนไดตามความเหมาะสมกบทรพยสนทgเกgยวของโดยคานงถงปจจยในการเลอกตวควบคมมาประยกตใชงานดงน[
• คาใชจายทgตองใชในการควบคมเพgอลดความเสgยงเปรยบเทยบความคมคากบความเสยหายจากความเสgยงน [น
• ระยะเวลาในการดาเนนการ
• ความตองการพ[นฐานเชนซอฟทแวร, ฮารดแวร, สาธารณปโภคตางๆทgจาเปนตอตวควบคมน [น
• ยอมรบความเส�ยง (Acceptable risk) ในกรณทgความเสgยงน [นสรางความเสยหายเปนไปตามเกณฑการยอมรบความเสgยง จาเปนตองระบหวขอในการยอมรบเพgอคงความเสgยงน [นไวดงน[
• ระบหลกเกณฑและเหตผลในการยอมรบความเสgยงน [น • จดทาแผนการเพgอบรรเทาความเสยหายจากความเสgยงน [น • ประกาศช[แจงและรบฟงขอเสนอแนะจากหนวยงานทgเกgยวของท [งภายในและภายนอกองคกรเพgอได
รบทราบและนามาปรบปรงแผนการบรรเทาความเสยหายจากความเสgยงน [น
• หลกเล�ยงความเส�ยง (Avoidance risk) ในกรณทgความเสgยงน [นเกgยวของกบกระบวนการทางานและการดาเนนธรกจทgสาคญมากผลกระทบน [นอยในระดบความสาคญทg 5 – 9 องคกรจะทาการหลกเลgยงความเสgยงเพgอไมใหความเสgยงน [นเกดผลกระทบซgงองคกรสามารถรองรบการลงทนและการบรหารจดการได
• โอนความเส�ยง (Transferable risk) ในกรณทgความเสgยงน [นอยในระดบปานกลาง – สงและองคกรไมสามารถรองรบการลงทนและบรหารจดการไดโดยตรงองคกรจะมการจดหาหรอจดจางหนวยงานภายนอกเชนคคา, รานคา, ผผลต, ผจาหนายทรพยสนน [นในการโอนความเสgยงใหบรหารจดการเชนการทาสญญาการเปลgยนอปกรณ (Advance Replacement Agreement) หรอการทาประกน (Assurance) โดยจดทาและควบคมดวยการทาสญญาการใหบรการ (Service License Agreement) เปนตน
26
3.7 รายการควบคมความม �นคงปลอดภยของ ISO 27001:2013
ในการเลอกตวควบคมเพ)อลดความเส)ยงน �นมการกาหนดแนวทางและวธปฏบตเพ)อใหเปนไปตามขอกาหนดของ ISO/IEC 27001:2013 Annex Aซ)งประกอบดวยหวขอหลกดงน�
A5. นโยบายความม )นคงปลอดภยสารสนเทศ (Information Security Policy) A6. โครงสรางความม )นคงปลอดภยสารสนเทศ (organization of Information Security) A7. ความม )นคงปลอดภยสาหรบบคลากร (Human Resource Security) A8. การบรหารจดการทรพยสน (Asset Management) A9. การควบคมการเขาถง (Access Control) A10. การเขารหสขอมล (Cryptography) A11. ความม )นคงปลอดภยทางกายภาพและสภาพแวดลอม (Physical and
environmental Security) A12. ความม )นคงปลอดภยสาหรบการดาเนนการ (Operations Security) A13. ความม )นคงปลอดภยสาหรบการส)อสารขอมล (Communications security) A14. การจดหา การพฒนา และการบารงรกษาระบบ (System acquisition, development
and maintenance) A15. ความสมพนธกบผขาย ผใหบรการภายนอก (Supplier relationships) A16. การบรหารจดการเหตการณความม )นคงปลอดภยสารสนเทศ (Information Security
Incident Management) A17. ประเดนดานความม )นคงปลอดภยสารสนเทศของการบรหารจดการเพ)อสรางความ
ตอเน)องทธรกจ (Information security aspects of business continuity management)
A18. ความสอดคลอง (Compliance) อบเขตและรปแบบการคานวณระดบความเส)ยง (Define risk methodology) จดทาทะเบยนบรหารจดการทรพยสน (Asset management) ระบการคกคามและชองโหวของทรพยสนประเมนผลกระทบและโอกาสเกดเหตการณคานวณระดบความเส)ยง 3.8 สรปทายบท
ในบทน�ผจดทาไดมการจดเตรยมทฤษฎและวธการปฏบตในการวเคราะหและประเมนความเส)ยง โดยไดทาการปรกษาหารอกบผบรหาร เพ)อแลกเปล)ยนและทาความเขาใจเพ)อนามาประยกตใชงานอยางเหมาะสมกบวสยทศน, บรบทองคกร, และลกษณะการดาเนนธรกจซ)งจะเร)มวเคราะหความเส)ยงของระบบสารสนเทศขององคกรในบทถดไป
27
บทท� 4
ผลการดาเนนงาน
ผจดทาไดใชขอมลทรพยสนและบรบทขององคกรบรษทสยาม ฮตาช เอลลเวเตอรจากดจากการเกบรวบรวมขอมลในบทท&ผานมาซ&งจะมการประเมนความเส&ยงจานวน 2 คร ,งเพ&อแสดงใหเหนความเปล&ยนแปลงขององคกรไดแกกอนการเร&มโครงงานและหลงจากส,นสดโครงงานเพ&อวดผลการจดทาโครงงานน,
การประเมนความเส&ยงตอไปน,จะใชเกณฑการคานวณระดบความเส&ยงดงตารางท& 4.1
และระดบความเส&ยงจากคะแนนท&คานวณไดดงตารางท& 4.2 การประเมนความเส�ยงจากระดบความเส�ยง
คาระดบความเส�ยงท� 1 – 4 หมายถงความเส�ยงต�ามาก (Very low)
คาระดบความเส�ยงท� 5 - 9 หมายถงความเส�ยงต�า (Low)
คาระดบความเส�ยงท� 10 – 16 หมายถงความเส�ยงปานกลาง (Medium)
คาระดบความเส�ยงท� 17- 25 หมายถงความเส�ยงสง (High)
ผลกร
ะทบ(Im
pact)
สงมาก 5 10 15 20 25
สง 4 8 12 16 20
ปานกลาง 3 6 9 12 15
นอย 2 4 6 8 10
นอยมาก 1 2 3 4 5
นอยมาก นอย ปานกลาง สง สงมาก
โอกาส(Likelihood)
ตารางท� 4.1 ความสมพนธเกณฑการประเมนระดบความเส�ยง (Risk Assessment Matrix)
4.1 ผลการประเมนความเส�ยงกอนดาเนนโครงการ
4.1.1 ผลการประเมนความเส�ยงทรพยสนประเภทฮารดแวร
ภยคกคาม (Threat)
F O R C
1 Hardware Mail Server อปกรณชารดเสยหาย ไมมกระบวนการการบารงรกษา และเฝาระวงตดตาม
4 5 1 1 2 ปานกลาง A 11.2.4 จดทาแผนการซอมบารง หรอทาสญญาการซอมบารงกบผจาหนายอปกรณ พรอมม SLA
2 Hardware Mail Server ถกขโมย สญหายหรอถกทาลาย ไมมการปองกน-ควบคมการเขาถงทางกายภาพ
4 5 1 1 1 ตCา A 11.1.1, A 11.1.2, A 11.1.3, A 11.1.4,A 11.1.6, A 11.2.1
ตดต GงในหองเครCองแมขาย ซCงมการแยกออกจากพGนทCการทางานอยางชดเจน มกาแพงร Gวรอบขอบชด มมาตรการควบคมการเขาออกหองเครCองแมขาย ซCงเขาออกไดเฉพาะผทCไดรบอนญาต โดยมเจาหนาทCรกษาความปลอดภย ประต 3 ช Gน มการตดต Gง Access Control และกลองวงจรปดตรวจจบความเคลCอนไหว พรอมท Gงมการตรวจสอบอยเสมอ
3 Hardware Mail Server อปกรณไมสามารถใหบรการไดอยางเนCอง
การลมเหลวของกระแสไฟฟา 1 5 1 1 3 ปานกลาง A 11.2.2 มการตดต GงเครCองสารองไฟ ทCสามารถสารองไฟใหได 4 ช Cวโมง
ระดบเส�ยง มาตรการ
ควบคม
แผนการจดการความเส�ยงปจจบน
ตารางท� 4.2 ตารางประเมนความเสCยงทรพยสนประเภทฮารดแวรลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability) ผลการทบดานตางๆ โอกาส
28
ภยคกคาม (Threat)
F O R C
ระดบเส�ยง มาตรการ
ควบคม
แผนการจดการความเส�ยงปจจบนลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability) ผลการทบดานตางๆ โอกาส
4 Hardware Mail Server ทรพยากรระบบไมเพยงพอตอการใชงาน
ไมมกระบวนการเฝาระวงและตรวจสอบ ทรพยากรระบบของระบบ
2 5 1 2 2 ปานกลาง A 12.1.3 มกระบวนการตรวจสอบและประเมนระดบการทางานของ CPU, Memory, Storage และ Network Utilization ท Gงในปจจบนและประเมนอตราการใชงานในอนาคต
5 Hardware ERP Server Production อปกรณชารดเสยหาย ไมมกระบวนการการบารงรกษา และเฝาระวงตดตาม
4 5 1 1 1 ตCา A 11.2.4 จดทาแผนการซอมบารง หรอทาสญญาการซอมบารงกบผจาหนายอปกรณ พรอมม SLA
6 Hardware ERP Server Production ถกขโมย สญหายหรอถกทาลาย ไมมการปองกน-ควบคมการเขาถงทางกายภาพ
4 5 1 1 1 ตCา A 11.1.1, A 11.1.2, A 11.1.3, A 11.1.4,A 11.1.6, A 11.2.1
ตดต GงในหองเครCองแมขาย ซCงมการแยกออกจากพGนทCการทางานอยางชดเจน มกาแพงร Gวรอบขอบชด มมาตรการควบคมการเขาออกหองเครCองแมขาย ซCงเขาออกไดเฉพาะผทCไดรบอนญาต โดยมเจาหนาทCรกษาความปลอดภย ประต 3 ช Gน มการตดต Gง Access Control และกลองวงจรปดตรวจจบความเคลCอนไหว พรอมท Gงมการตรวจสอบอยเสมอ
7 Hardware ERP Server Production
อปกรณไมสามารถใหบรการไดอยางเนCอง
การลมเหลวของกระแสไฟฟา 1 5 1 1 3 ปานกลาง A 11.2.2 มการตดต GงเครCองสารองไฟ ทCสามารถสารองไฟใหได 4 ช Cวโมง
29
ภยคกคาม (Threat)
F O R C
ระดบเส�ยง มาตรการ
ควบคม
แผนการจดการความเส�ยงปจจบนลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability) ผลการทบดานตางๆ โอกาส
8 Hardware ERP Server Production ทรพยากรระบบไมเพยงพอตอการใชงาน
ไมมกระบวนการเฝาระวงและตรวจสอบ ทรพยากรระบบของระบบ
2 5 1 1 1 ตCา A 12.1.3 มกระบวนการตรวจสอบและประเมนระดบการทางานของ CPU, Memory, Storage และ Network Utilization ท Gงในปจจบนและประเมนอตราการใชงานใน9 Hardware WorkFlow & Digital
Filing Serverอปกรณชารดเสยหาย ไมมกระบวนการการบารงรกษา
และเฝาระวงตดตาม
4 5 1 1 2 ปานกลาง A 11.2.4 จดทาแผนการซอมบารง หรอทาสญญาการซอมบารงกบผจาหนายอปกรณ พรอมม SLA
10 Hardware WorkFlow & Digital Filing Server
ถกขโมย สญหายหรอถกทาลาย ไมมการปองกน-ควบคมการเขาถงทางกายภาพ
4 5 1 3 1 ตCา A 11.1.1, A 11.1.2, A 11.1.3, A 11.1.4,A 11.1.6, A 11.2.1
ตดต GงในหองเครCองแมขาย ซCงมการแยกออกจากพGนทCการทางานอยางชดเจน มกาแพงร Gวรอบขอบชด มมาตรการควบคมการเขาออกหองเครCองแมขาย ซCงเขาออกไดเฉพาะผทCไดรบอนญาต โดยมเจาหนาทCรกษาความปลอดภย ประต 3 ช Gน มการตดต Gง Access Control และกลองวงจรปดตรวจจบความเคลCอนไหว พรอมท Gงมการตรวจสอบอยเสมอ
11 Hardware WorkFlow & Digital Filing Server
อปกรณไมสามารถใหบรการไดอยางเนCอง
การลมเหลวของกระแสไฟฟา 1 5 1 1 3 ปานกลาง A 11.2.2 มการตดต GงเครCองสารองไฟ ทCสามารถสารองไฟใหได 4 ช Cวโมง
30
ภยคกคาม (Threat)
F O R C
ระดบเส�ยง มาตรการ
ควบคม
แผนการจดการความเส�ยงปจจบนลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability) ผลการทบดานตางๆ โอกาส
12 Hardware WorkFlow & Digital Filing Server
ประสทธภาพการทางานของระบบลดลง ทรพยากรระบบไมเพยงพอตอการใชงาน
2 4 1 1 4 ปานกลาง A 12.1.3 มกระบวนการตรวจสอบและประเมนระดบการทางานของ CPU, Memory, Storage และ Network Utilization ท Gงในปจจบนและประเมนอตราการใชงานในอนาคต
13 Hardware Backup Server อปกรณชารดเสยหาย ไมมกระบวนการการบารงรกษา และเฝาระวงตดตาม
1 5 1 3 3 ปานกลาง A 11.2.4 จดทาแผนการซอมบารง หรอทาสญญาการซอมบารงกบผจาหนายอปกรณ พรอมม SLA
14 Hardware Backup Server ถกขโมย สญหายหรอถกทาลาย ไมมการปองกน-ควบคมการเขาถงทางกายภาพ
1 5 1 1 1 ตCา A 11.1.1, A 11.1.2, A 11.1.3, A 11.1.4,A 11.1.6, A 11.2.1
ตดต GงในหองเครCองแมขาย ซCงมการแยกออกจากพGนทCการทางานอยางชดเจน มกาแพงร Gวรอบขอบชด มมาตรการควบคมการเขาออกหองเครCองแมขาย ซCงเขาออกไดเฉพาะผทCไดรบอนญาต โดยมเจาหนาทCรกษาความปลอดภย ประต 3 ช Gน มการตดต Gง Access Control และกลองวงจรปดตรวจจบความเคลCอนไหว พรอมท Gงมการตรวจสอบอยเสมอ
15 Hardware Backup Server อปกรณไมสามารถใหบรการไดอยางเนCอง
การลมเหลวของกระแสไฟฟา 1 5 1 1 3 ปานกลาง A 11.2.2 มการตดต GงเครCองสารองไฟ ทCสามารถสารองไฟใหได 4 ช Cวโมง
31
ภยคกคาม (Threat)
F O R C
ระดบเส�ยง มาตรการ
ควบคม
แผนการจดการความเส�ยงปจจบนลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability) ผลการทบดานตางๆ โอกาส
16 Hardware Backup Server ประสทธภาพการทางานของระบบลดลง ทรพยากรระบบไมเพยงพอตอการใชงาน
1 4 1 1 2 ตCา A 12.1.3 มกระบวนการตรวจสอบและประเมนระดบการทางานของ CPU, Memory, Storage และ Network Utilization ท Gงในปจจบนและประเมนอตราการใชงานในอนาคต
17 Hardware Anti Virus & WSUS Server
อปกรณชารดเสยหาย ไมมกระบวนการการบารงรกษา และเฝาระวงตดตาม
2 2 1 1 3 ตCา A 11.2.4 จดทาแผนการซอมบารง หรอทาสญญาการซอมบารงกบผจาหนายอปกรณ พรอมม SLA
18 Hardware Anti Virus & WSUS Server
ถกขโมย สญหายหรอถกทาลาย ไมมการปองกน-ควบคมการเขาถงทางกายภาพ
2 2 1 1 1 ตCามาก A 11.1.1, A 11.1.2, A 11.1.3, A 11.1.4,A 11.1.6, A 11.2.1
ตดต GงในหองเครCองแมขาย ซCงมการแยกออกจากพGนทCการทางานอยางชดเจน มกาแพงร Gวรอบขอบชด มมาตรการควบคมการเขาออกหองเครCองแมขาย ซCงเขาออกไดเฉพาะผทCไดรบอนญาต โดยมเจาหนาทCรกษาความปลอดภย ประต 3 ช Gน มการตดต Gง Access Control และกลองวงจรปดตรวจจบความเคลCอนไหว พรอมท Gงมการตรวจสอบอยเสมอ
19 Hardware Anti Virus & WSUS Server
อปกรณไมสามารถใหบรการไดอยางเนCอง
การลมเหลวของกระแสไฟฟา 1 1 1 1 4 ตCามาก A 11.2.2 มการตดต GงเครCองสารองไฟ
32
ภยคกคาม (Threat)
F O R C
ระดบเส�ยง มาตรการ
ควบคม
แผนการจดการความเส�ยงปจจบนลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability) ผลการทบดานตางๆ โอกาส
20 Hardware Anti Virus & WSUS Server
ประสทธภาพการทางานของระบบลดลง ทรพยากรระบบไมเพยงพอตอการใชงาน
1 1 1 1 3 ตCามาก A 12.1.3 มกระบวนการตรวจสอบและประเมนระดบการทางานของ CPU, Memory, Storage และ Network Utilization ท Gงในปจจบนและประเมนอตราการใชงานในอนาคต
21 Hardware PLM Server อปกรณชารดเสยหาย ไมมกระบวนการการบารงรกษา และเฝาระวงตดตาม
4 5 1 1 2 ปานกลาง A 11.2.4 จดทาแผนการซอมบารง หรอทาสญญาการซอมบารงกบผจาหนายอปกรณ พรอมม SLA
22 Hardware PLM Server ถกขโมย สญหายหรอถกทาลาย ไมมการปองกน-ควบคมการเขาถงทางกายภาพ
4 5 1 1 1 ตCา A 11.1.1, A 11.1.2, A 11.1.3, A 11.1.4,A 11.1.6, A 11.2.1
ตดต GงในหองเครCองแมขาย ซCงมการแยกออกจากพGนทCการทางานอยางชดเจน มกาแพงร Gวรอบขอบชด มมาตรการควบคมการเขาออกหองเครCองแมขาย ซCงเขาออกไดเฉพาะผทCไดรบอนญาต โดยมเจาหนาทCรกษาความปลอดภย ประต 3 ช Gน มการตดต Gง Access Control และกลองวงจรปดตรวจจบความเคลCอนไหว พรอมท Gงมการตรวจสอบอยเสมอ
23 Hardware PLM Server อปกรณไมสามารถใหบรการไดอยางเนCอง
การลมเหลวของกระแสไฟฟา 1 5 1 1 3 ปานกลาง A 11.2.2 มการตดต GงเครCองสารองไฟ ทCสามารถสารองไฟใหได 4 ช Cวโมง
33
ภยคกคาม (Threat)
F O R C
ระดบเส�ยง มาตรการ
ควบคม
แผนการจดการความเส�ยงปจจบนลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability) ผลการทบดานตางๆ โอกาส
24 Hardware PLM Server ประสทธภาพการทางานของระบบลดลง ทรพยากรระบบไมเพยงพอตอการใชงาน
2 5 1 1 2 ปานกลาง A 12.1.3 มกระบวนการตรวจสอบและประเมนระดบการทางานของ CPU, Memory, Storage และ Network Utilization ท Gงในปจจบนและประเมนอตราการใชงานในอนาคต
25 Hardware CAD-CAM Server อปกรณชารดเสยหาย ไมมกระบวนการการบารงรกษา และเฝาระวงตดตาม
3 5 1 1 2 ปานกลาง A 11.2.4 จดทาแผนการซอมบารง หรอทาสญญาการซอมบารงกบผจาหนายอปกรณ พรอมม SLA
26 Hardware CAD-CAM Server ถกขโมย สญหายหรอถกทาลาย ไมมการปองกน-ควบคมการเขาถงทางกายภาพ
2 5 1 1 1 ตCา A 11.1.1, A 11.1.2, A 11.1.3, A 11.1.4,A 11.1.6, A 11.2.1
ตดต GงในหองเครCองแมขาย ซCงมการแยกออกจากพGนทCการทางานอยางชดเจน มกาแพงร Gวรอบขอบชด มมาตรการควบคมการเขาออกหองเครCองแมขาย ซCงเขาออกไดเฉพาะผทCไดรบอนญาต โดยมเจาหนาทCรกษาความปลอดภย ประต 3 ช Gน มการตดต Gง Access Control และกลองวงจรปดตรวจจบความเคลCอนไหว พรอมท Gงมการตรวจสอบอยเสมอ
27 Hardware CAD-CAM Server อปกรณไมสามารถใหบรการไดอยางเนCอง
การลมเหลวของกระแสไฟฟา 1 5 1 1 3 ปานกลาง A 11.2.2 มการตดต GงเครCองสารองไฟ
34
ภยคกคาม (Threat)
F O R C
ระดบเส�ยง มาตรการ
ควบคม
แผนการจดการความเส�ยงปจจบนลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability) ผลการทบดานตางๆ โอกาส
28 Hardware CAD-CAM Server ประสทธภาพการทางานของระบบลดลง ทรพยากรระบบไมเพยงพอตอการใชงาน
1 5 1 1 2 ปานกลาง A 12.1.3 มกระบวนการตรวจสอบและประเมนระดบการทางานของ CPU, Memory, Storage และ Network Utilization ท Gงในปจจบนและประเมนอตราการใชงานในอนาคต
29 Hardware File Sharing Server อปกรณชารดเสยหาย ไมมกระบวนการการบารงรกษา และเฝาระวงตดตาม
2 5 1 2 2 ปานกลาง A 11.2.4 จดทาแผนการซอมบารง หรอทาสญญาการซอมบารงกบผจาหนายอปกรณ พรอมม SLA
30 Hardware File Sharing Server ถกขโมย สญหายหรอถกทาลาย ไมมการปองกน-ควบคมการเขาถงทางกายภาพ
2 5 1 2 1 ตCา A 11.1.1, A 11.1.2, A 11.1.3, A 11.1.4,A 11.1.6, A 11.2.1
ตดต GงในหองเครCองแมขาย ซCงมการแยกออกจากพGนทCการทางานอยางชดเจน มกาแพงร Gวรอบขอบชด มมาตรการควบคมการเขาออกหองเครCองแมขาย ซCงเขาออกไดเฉพาะผทCไดรบอนญาต โดยมเจาหนาทCรกษาความปลอดภย ประต 3 ช Gน มการตดต Gง Access Control และกลองวงจรปดตรวจจบความเคลCอนไหว พรอมท Gงมการตรวจสอบอยเสมอ
31 Hardware File Sharing Server อปกรณสญหาย ขาดกระบวนการบรหารจดการทรพย
2 5 1 2 1 ตCา A 8.1.1, A 8.1.2, A 8.1.3
มการจดทาทะเบยนทรพยสน ระบผรบผดชอบ
35
ภยคกคาม (Threat)
F O R C
ระดบเส�ยง มาตรการ
ควบคม
แผนการจดการความเส�ยงปจจบนลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability) ผลการทบดานตางๆ โอกาส
32 Hardware File Sharing Server อปกรณไมสามารถใหบรการไดอยางเนCอง
การลมเหลวของกระแสไฟฟา 1 5 1 1 3 ปานกลาง A 11.2.2 มการตดต GงเครCองสารองไฟ ทCสามารถสารองไฟใหได 4 ช Cวโมง
33 Hardware File Sharing Server ประสทธภาพการทางานของระบบลดลง ทรพยากรระบบไมเพยงพอตอการใชงาน
1 5 1 2 3 ปานกลาง A 12.1.3 มกระบวนการตรวจสอบและประเมนระดบการทางานของ CPU, Memory, Storage และ Network Utilization ท Gงในปจจบนและประเมนอตราการใชงานในอนาคต
34 Hardware Internet Log Server อปกรณชารดเสยหาย ไมมกระบวนการการบารงรกษา และเฝาระวงตดตาม
1 1 1 5 3 ปานกลาง A 11.2.4 จดทาแผนการซอมบารง หรอทาสญญาการซอมบารงกบผจาหนายอปกรณ พรอมม SLA
35 Hardware Internet Log Server ถกขโมย สญหายหรอถกทาลาย ไมมการปองกน-ควบคมการเขาถงทางกายภาพ
1 1 1 5 1 ตCา A 11.1.1, A 11.1.2, A 11.1.3, A 11.1.4,A 11.1.6, A 11.2.1
ตดต GงในหองเครCองแมขาย ซCงมการแยกออกจากพGนทCการทางานอยางชดเจน มกาแพงร Gวรอบขอบชด มมาตรการควบคมการเขาออกหองเครCองแมขาย ซCงเขาออกไดเฉพาะผทCไดรบอนญาต โดยมเจาหนาทCรกษาความปลอดภย ประต 3 ช Gน มการตดต Gง Access Control และกลองวงจรปดตรวจจบความเคลCอนไหว พรอมท Gงมการตรวจสอบอยเสมอ
36
ภยคกคาม (Threat)
F O R C
ระดบเส�ยง มาตรการ
ควบคม
แผนการจดการความเส�ยงปจจบนลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability) ผลการทบดานตางๆ โอกาส
36 Hardware Internet Log Server อปกรณไมสามารถใหบรการไดอยางเนCอง
การลมเหลวของกระแสไฟฟา 1 1 1 5 3 ปานกลาง A 11.2.2 มการตดต GงเครCองสารองไฟ
37 Hardware Internet Log Server ประสทธภาพการทางานของระบบลดลง ทรพยากรระบบไมเพยงพอตอการใชงาน
1 1 1 1 3 ตCามาก A 12.1.3 มกระบวนการตรวจสอบและประเมนระดบการทางานของ CPU, Memory, Storage และ Network Utilization ท Gงในปจจบนและประเมนอตราการใชงานในอนาคต
38 Hardware Lease Line Router No.1
อปกรณชารดเสยหาย ไมมกระบวนการการบารงรกษา และเฝาระวงตดตาม
1 5 1 3 1 ตCา A 11.2.4 จดทาแผนการซอมบารง หรอทาสญญาการซอมบารงกบผจาหนายอปกรณ พรอมม SLA
39 Hardware Lease Line Router No.1
ถกขโมย สญหายหรอถกทาลาย ไมมการปองกน-ควบคมการเขาถงทางกายภาพ
1 5 1 1 1 ตCา A 11.1.1, A 11.1.2, A 11.1.3, A 11.1.4,A 11.1.6, A 11.2.1
ตดต GงในหองเครCองแมขาย ซCงมการแยกออกจากพGนทCการทางานอยางชดเจน มกาแพงร Gวรอบขอบชด มมาตรการควบคมการเขาออกหองเครCองแมขาย ซCงเขาออกไดเฉพาะผทCไดรบอนญาต โดยมเจาหนาทCรกษาความปลอดภย ประต 3 ช Gน มการตดต Gง Access Control และกลองวงจรปดตรวจจบความเคลCอนไหว พรอมท Gงมการตรวจสอบอยเสมอ
37
ภยคกคาม (Threat)
F O R C
ระดบเส�ยง มาตรการ
ควบคม
แผนการจดการความเส�ยงปจจบนลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability) ผลการทบดานตางๆ โอกาส
40 Hardware Lease Line Router No.1
อปกรณไมสามารถใหบรการไดอยางตอเนCอง
สญญาณลมเหลว 1 5 1 1 1 ตCา A 13.1.2 จดทาสญญาการใหบรการ (SLA) ทCมความยนยนมาตรฐานการบรการทCสอดคลองกบขอกาหนดความม Cนคงสารสนเทศขององคกร
41 Hardware Lease Line Router No.1
อปกรณไมสามารถใหบรการไดอยางตอเนCอง
การลมเหลวของกระแสไฟฟา 1 5 1 1 3 ปานกลาง A 11.2.2 มการตดต GงเครCองสารองไฟ ทCสามารถสารองไฟใหได 4 ช Cวโมง
42 Hardware Lease Line Router No.1
ทรพยากรระบบไมเพยงพอตอการใชงาน
เนCองจากขาดการตรวจสอบทรพยากรระบบ
1 5 1 1 1 ตCา A 12.1.3 มกระบวนการตรวจสอบและประเมนระดบการทางานของ CPU, Memory, Storage และ Network Utilization ท Gงในปจจบนและประเมนอตราการใชงานในอนาคต
43 Hardware Lease Line Router No.1
อปกรณถกแกไขคาอปกรณโดยไมไดรบอนญาต
โปรโตคอลทCใชในการเขาถงระบบไมปลอดภย
1 5 1 1 5 สง A 9.4.2 กาหนดใหใชโปรโตคอลทCมความปลอดภยในการเขาถงขอมล
44 Hardware Lease Line Router No.1
อปกรณถกสวมสทธในการเขาใชงาน ผดแลระบบไมมการ Logout หลงจากการเขาใชงาน
1 5 1 1 4 สง A 11.2.9 กาหนดใหระบบตดการใชงาน เมCอผใชงานไมไดใชงานระบบมาระยะเวลาหนCง
45 Hardware Lease Line Router No.1
ไมสามารถตรวจสอบการใชงานยอนหลงได
ไมมการเกบ Log 1 1 1 5 1 ตCา A 12.4.1 กาหนดใหมการบนทก Log แสดงขอมลการใชงานระบบ
38
ภยคกคาม (Threat)
F O R C
ระดบเส�ยง มาตรการ
ควบคม
แผนการจดการความเส�ยงปจจบนลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability) ผลการทบดานตางๆ โอกาส
46 Hardware Lease Line Router No.2
อปกรณชารดเสยหาย ไมมกระบวนการการบารงรกษา และเฝาระวงตดตาม
1 5 1 1 1 ตCา A 11.2.4 จดทาแผนการซอมบารง หรอทาสญญาการซอมบารงกบผจาหนายอปกรณ พรอมม SLA
47 Hardware Lease Line Router No.2
ถกขโมย สญหายหรอถกทาลาย ไมมการปองกน-ควบคมการเขาถงทางกายภาพ
1 5 1 1 2 ปานกลาง A 11.1.1, A 11.1.2, A 11.1.3, A 11.1.4,A 11.1.6, A 11.2.1
ตดต GงในหองเครCองแมขาย ซCงมการแยกออกจากพGนทCการทางานอยางชดเจน มกาแพงร Gวรอบขอบชด มมาตรการควบคมการเขาออกหองเครCองแมขาย ซCงเขาออกไดเฉพาะผทCไดรบอนญาต โดยมเจาหนาทCรกษาความปลอดภย ประต 3 ช Gน มการตดต Gง Access Control และกลองวงจรปดตรวจจบความเคลCอนไหว พรอมท Gงมการตรวจสอบอยเสมอ
48 Hardware Lease Line Router No.2
อปกรณไมสามารถใหบรการไดอยางตอเนCอง
สญญาณลมเหลว 1 5 1 1 1 ตCา A 13.1.2 จดทาสญญาการใหบรการ (SLA) ทCมความยนยนมาตรฐานการบรการทCสอดคลองกบขอกาหนดความม Cนคงสารสนเทศขององคกร
49 Hardware Lease Line Router No.2
อปกรณไมสามารถใหบรการไดอยางตอเนCอง
การลมเหลวของกระแสไฟฟา 1 5 1 1 3 ปานกลาง A 11.2.2 มการตดต GงเครCองสารองไฟ ทCสามารถสารองไฟใหได 4 ช Cวโมง
39
ภยคกคาม (Threat)
F O R C
ระดบเส�ยง มาตรการ
ควบคม
แผนการจดการความเส�ยงปจจบนลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability) ผลการทบดานตางๆ โอกาส
50 Hardware Lease Line Router No.2
ทรพยากรระบบไมเพยงพอตอการใชงาน
เนCองจากขาดการตรวจสอบทรพยากรระบบ
1 5 1 1 1 ตCา A 12.1.3 มกระบวนการตรวจสอบและประเมนระดบการทางานของ CPU, Memory, Storage และ Network Utilization ท Gงในปจจบนและประเมนอตราการใชงานในอนาคต
51 Hardware Lease Line Router No.2
อปกรณถกแกไขคาอปกรณโดยไมไดรบอนญาต
โปรโตคอลทCใชในการเขาถงระบบไมปลอดภย
1 5 1 1 4 สง A 9.4.2 กาหนดใหใชโปรโตคอลทCมความปลอดภยในการเขาถงขอมล
52 Hardware Lease Line Router No.2
อปกรณถกสวมสทธในการเขาใชงาน ผดแลระบบไมมการ Logout หลงจากการเขาใชงาน
1 5 1 1 3 ปานกลาง A 11.2.9 กาหนดใหระบบตดการใชงาน เมCอผใชงานไมไดใชงานระบบมาระยะเวลาหนCง
53 Hardware Lease Line Router No.2
ไมสามารถตรวจสอบการใชงานยอนหลงได
ไมมการเกบ Log 1 1 1 5 1 ตCา A 12.4.1 กาหนดใหมการบนทก Log แสดงขอมลการใชงานระบบ
54 Hardware Lease Line Router No.3
อปกรณชารดเสยหาย ไมมกระบวนการการบารงรกษา และเฝาระวงตดตาม
1 5 1 3 2 ปานกลาง A 11.2.4 จดทาแผนการซอมบารง หรอทาสญญาการซอมบารงกบผจาหนายอปกรณ พรอมม SLA
40
ภยคกคาม (Threat)
F O R C
ระดบเส�ยง มาตรการ
ควบคม
แผนการจดการความเส�ยงปจจบนลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability) ผลการทบดานตางๆ โอกาส
55 Hardware Lease Line Router No.3
ถกขโมย สญหายหรอถกทาลาย ไมมการปองกน-ควบคมการเขาถงทางกายภาพ
1 5 1 1 1 ตCา A 11.1.1, A 11.1.2, A 11.1.3, A 11.1.4,A 11.1.6, A 11.2.1
ตดต GงในหองเครCองแมขาย ซCงมการแยกออกจากพGนทCการทางานอยางชดเจน มกาแพงร Gวรอบขอบชด มมาตรการควบคมการเขาออกหองเครCองแมขาย ซCงเขาออกไดเฉพาะผทCไดรบอนญาต โดยมเจาหนาทCรกษาความปลอดภย ประต 3 ช Gน มการตดต Gง Access Control และกลองวงจรปดตรวจจบความเคลCอนไหว พรอมท Gงมการตรวจสอบอยเสมอ
56 Hardware Lease Line Router No.3
อปกรณไมสามารถใหบรการไดอยางตอเนCอง
สญญาณลมเหลว 1 5 1 1 4 สง A 13.1.2 จดทาสญญาการใหบรการ (SLA) ทCมความยนยนมาตรฐานการบรการทCสอดคลองกบขอกาหนดความม Cนคงสารสนเทศขององคกร
57 Hardware Lease Line Router No.3
อปกรณไมสามารถใหบรการไดอยางตอเนCอง
การลมเหลวของกระแสไฟฟา 1 5 1 1 3 ปานกลาง A 11.2.2 มการตดต GงเครCองสารองไฟ ทCสามารถสารองไฟใหได 4 ช Cวโมง
58 Hardware Lease Line Router No.3
ทรพยากรระบบไมเพยงพอตอการใชงาน
เนCองจากขาดการตรวจสอบทรพยากรระบบ
1 5 1 1 2 ปานกลาง A 12.1.3 มกระบวนการตรวจสอบและประเมนระดบการทางานของ CPU, Memory, Storage และ Network Utilization ท Gงในปจจบนและประเมนอตราการใชงานในอนาคต
41
ภยคกคาม (Threat)
F O R C
ระดบเส�ยง มาตรการ
ควบคม
แผนการจดการความเส�ยงปจจบนลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability) ผลการทบดานตางๆ โอกาส
59 Hardware Lease Line Router No.3
อปกรณถกแกไขคาอปกรณโดยไมไดรบอนญาต
โปรโตคอลทCใชในการเขาถงระบบไมปลอดภย
1 5 1 1 1 ตCา A 9.4.2 กาหนดใหใชโปรโตคอลทCมความปลอดภยในการเขาถงขอมล
60 Hardware Lease Line Router No.3
อปกรณถกสวมสทธในการเขาใชงาน ผดแลระบบไมมการ Logout หลงจากการเขาใชงาน
1 5 1 1 1 ตCา A 11.2.9 กาหนดใหระบบตดการใชงาน เมCอผใชงานไมไดใชงานระบบมาระยะเวลาหนCง
61 Hardware Lease Line Router No.3
ไมสามารถตรวจสอบการใชงานยอนหลงได
ไมมการเกบ Log 1 1 1 5 1 ตCา A 12.4.1 กาหนดใหมการบนทก Log แสดงขอมลการใชงานระบบ
62 Hardware ADSL Router อปกรณชารดเสยหาย ไมมกระบวนการการบารงรกษา และเฝาระวงตดตาม
1 1 1 1 3 ตCามาก A 11.2.4 จดทาแผนการซอมบารง หรอทาสญญาการซอมบารงกบผจาหนายอปกรณ พรอมม SLA
63 Hardware ADSL Router ถกขโมย สญหายหรอถกทาลาย ไมมการปองกน-ควบคมการเขาถงทางกายภาพ
1 1 1 1 2 ตCามาก A 11.1.1, A 11.1.2, A 11.1.3, A 11.1.4,A 11.1.6, A 11.2.1
ตดต GงในหองเครCองแมขาย ซCงมการแยกออกจากพGนทCการทางานอยางชดเจน มกาแพงร Gวรอบขอบชด มมาตรการควบคมการเขาออกหองเครCองแมขาย ซCงเขาออกไดเฉพาะผทCไดรบอนญาต โดยมเจาหนาทCรกษาความปลอดภย ประต 3 ช Gน มการตดต Gง Access Control และกลองวงจรปดตรวจจบความเคลCอนไหว พรอมท Gงมการตรวจสอบอยเสมอ
42
ภยคกคาม (Threat)
F O R C
ระดบเส�ยง มาตรการ
ควบคม
แผนการจดการความเส�ยงปจจบนลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability) ผลการทบดานตางๆ โอกาส
64 Hardware ADSL Router อปกรณไมสามารถใหบรการไดอยางตอเนCอง
สญญาณลมเหลว 1 1 1 1 4 ตCามาก A 11.2.2 มการตดต GงเครCองสารองไฟ ทCสามารถสารองไฟใหได 4 ช Cวโมง
65 Hardware ADSL Router อปกรณไมสามารถใหบรการไดอยางตอเนCอง
การลมเหลวของกระแสไฟฟา 1 1 1 1 4 ตCามาก A 13.1.2 จดทาสญญาการใหบรการ (SLA) ทCมความยนยนมาตรฐานการบรการทCสอดคลองกบขอกาหนดความม Cนคงสารสนเทศขององคกร
66 Hardware Core Switch No.1 อปกรณชารดเสยหาย ไมมกระบวนการการบารงรกษา และเฝาระวงตดตาม
3 5 1 1 2 ปานกลาง A 11.2.4 จดทาแผนการซอมบารง หรอทาสญญาการซอมบารงกบผจาหนายอปกรณ พรอมม SLA
67 Hardware Core Switch No.1 ถกขโมย สญหายหรอถกทาลาย ไมมการปองกน-ควบคมการเขาถงทางกายภาพ
3 5 1 1 1 ตCา A 11.1.1, A 11.1.2, A 11.1.3, A 11.1.4,A 11.1.6, A 11.2.1
ตดต GงในหองเครCองแมขาย ซCงมการแยกออกจากพGนทCการทางานอยางชดเจน มกาแพงร Gวรอบขอบชด มมาตรการควบคมการเขาออกหองเครCองแมขาย ซCงเขาออกไดเฉพาะผทCไดรบอนญาต โดยมเจาหนาทCรกษาความปลอดภย ประต 3 ช Gน มการตดต Gง Access Control และกลองวงจรปดตรวจจบความเคลCอนไหว พรอมท Gงมการตรวจสอบอยเสมอ
43
ภยคกคาม (Threat)
F O R C
ระดบเส�ยง มาตรการ
ควบคม
แผนการจดการความเส�ยงปจจบนลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability) ผลการทบดานตางๆ โอกาส
68 Hardware Core Switch No.1 อปกรณไมสามารถใหบรการไดอยางตอเนCอง
การลมเหลวของกระแสไฟฟา 1 5 1 1 3 ปานกลาง A 11.2.2 มการตดต GงเครCองสารองไฟ ทCสามารถสารองไฟใหได 4 ช Cวโมง
69 Hardware Core Switch No.1 อปกรณถกแกไขคาอปกรณโดยไมไดรบอนญาต
โปรโตคอลทCใชในการเขาถงระบบไมปลอดภย
1 5 1 1 5 สง A 9.4.2 กาหนดใหใชโปรโตคอลทCมความปลอดภยในการเขาถงขอมล
70 Hardware Core Switch No.1 อปกรณถกสวมสทธในการเขาใชงาน ผดแลระบบไมมการ Logout หลงจากการเขาใชงาน
1 1 1 1 2 ปานกลาง A 11.2.9 กาหนดใหระบบตดการใชงาน เมCอผใชงานไมไดใชงานระบบมาระยะเวลาหนCง
71 Hardware Core Switch No.1 ไมสามารถตรวจสอบการใชงานยอนหลงได
ไมมการเกบ Log 1 1 1 2 4 ตCา A 12.4.1 กาหนดใหมการบนทก Log แสดงขอมลการใชงานระบบ
72 Hardware Core Switch No.2 อปกรณชารดเสยหาย ไมมกระบวนการการบารงรกษา และเฝาระวงตดตาม
3 5 1 1 2 ปานกลาง A 11.2.4 จดทาแผนการซอมบารง หรอทาสญญาการซอมบารงกบผจาหนายอปกรณ พรอมม SLA
44
ภยคกคาม (Threat)
F O R C
ระดบเส�ยง มาตรการ
ควบคม
แผนการจดการความเส�ยงปจจบนลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability) ผลการทบดานตางๆ โอกาส
73 Hardware Core Switch No.2 ถกขโมย สญหายหรอถกทาลาย ไมมการปองกน-ควบคมการเขาถงทางกายภาพ
3 5 1 1 1 ตCา A 11.1.1, A 11.1.2, A 11.1.3, A 11.1.4,A 11.1.6, A 11.2.1
ตดต GงในหองเครCองแมขาย ซCงมการแยกออกจากพGนทCการทางานอยางชดเจน มกาแพงร Gวรอบขอบชด มมาตรการควบคมการเขาออกหองเครCองแมขาย ซCงเขาออกไดเฉพาะผทCไดรบอนญาต โดยมเจาหนาทCรกษาความปลอดภย ประต 3 ช Gน มการตดต Gง Access Control และกลองวงจรปดตรวจจบความเคลCอนไหว พรอมท Gงมการตรวจสอบอยเสมอ
74 Hardware Core Switch No.2 อปกรณไมสามารถใหบรการไดอยางตอเนCอง
การลมเหลวของกระแสไฟฟา 1 5 1 1 3 ปานกลาง A 11.2.2 มการตดต GงเครCองสารองไฟ ทCสามารถสารองไฟใหได 4 ช Cวโมง
75 Hardware Core Switch No.2 อปกรณถกแกไขคาอปกรณโดยไมไดรบอนญาต
โปรโตคอลทCใชในการเขาถงระบบไมปลอดภย
1 5 1 1 4 สง A 9.4.2 กาหนดใหใชโปรโตคอลทCมความปลอดภยในการเขาถงขอมล
76 Hardware Core Switch No.2 อปกรณถกสวมสทธในการเขาใชงาน ผดแลระบบไมมการ Logout หลงจากการเขาใชงาน
1 5 1 1 5 สง A 11.2.9 กาหนดใหระบบตดการใชงาน เมCอผใชงานไมไดใชงานระบบมาระยะเวลาหนCง
77 Hardware Core Switch No.2 ไมสามารถตรวจสอบการใชงานยอนหลงได
ไมมการเกบ Log 1 1 1 2 2 ตCามาก A 12.4.1 กาหนดใหมการบนทก Log แสดงขอมลการใชงานระบบ
45
ภยคกคาม (Threat)
F O R C
ระดบเส�ยง มาตรการ
ควบคม
แผนการจดการความเส�ยงปจจบนลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability) ผลการทบดานตางๆ โอกาส
78 Hardware Distribute Switch Factory A
อปกรณชารดเสยหาย ไมมกระบวนการการบารงรกษา และเฝาระวงตดตาม
1 4 1 3 3 ปานกลาง A 11.2.4 จดทาแผนการซอมบารง หรอทาสญญาการซอมบารงกบผจาหนายอปกรณ พรอมม SLA
79 Hardware Distribute Switch Factory A
ถกขโมย สญหายหรอถกทาลาย ไมมการปองกน-ควบคมการเขาถงทางกายภาพ
1 4 1 1 2 ตCา A 11.1.1, A 11.1.2, A 11.1.3, A 11.1.4,A 11.1.6, A 11.2.1
ตดต GงในหองเครCองแมขาย ซCงมการแยกออกจากพGนทCการทางานอยางชดเจน มกาแพงร Gวรอบขอบชด มมาตรการควบคมการเขาออกหองเครCองแมขาย ซCงเขาออกไดเฉพาะผทCไดรบอนญาต โดยมเจาหนาทCรกษาความปลอดภย ประต 3 ช Gน มการตดต Gง Access Control และกลองวงจรปดตรวจจบความเคลCอนไหว พรอมท Gงมการตรวจสอบอยเสมอ
80 Hardware Distribute Switch Factory A
อปกรณไมสามารถใหบรการไดอยางตอเนCอง
การลมเหลวของกระแสไฟฟา 1 5 1 1 3 ปานกลาง A 11.2.2 มการตดต GงเครCองสารองไฟ
81 Hardware Distribute Switch Factory A
อปกรณถกแกไขคาอปกรณโดยไมไดรบอนญาต
โปรโตคอลทCใชในการเขาถงระบบไมปลอดภย
1 4 1 1 5 สง A 9.4.2 กาหนดใหใชโปรโตคอลทCมความปลอดภยในการเขาถงขอมล
82 Hardware Distribute Switch Factory A
อปกรณถกสวมสทธในการเขาใชงาน ผดแลระบบไมมการ Logout หลงจากการเขาใชงาน
1 4 1 1 5 สง A 11.2.9 กาหนดใหระบบตดการใชงาน เมCอผใชงานไมไดใชงานระบบมาระยะเวลาหนCง
46
ภยคกคาม (Threat)
F O R C
ระดบเส�ยง มาตรการ
ควบคม
แผนการจดการความเส�ยงปจจบนลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability) ผลการทบดานตางๆ โอกาส
83 Hardware Distribute Switch Factory A
ไมสามารถตรวจสอบการใชงานยอนหลงได
ไมมการเกบ Log 1 1 1 2 2 ตCามาก A 12.4.1 กาหนดใหมการบนทก Log แสดงขอมลการใชงานระบบ
84 Hardware Distribute Switch Factory B
อปกรณชารดเสยหาย ไมมกระบวนการการบารงรกษา และเฝาระวงตดตาม
1 4 1 3 3 ปานกลาง A 11.2.4 จดทาแผนการซอมบารง หรอทาสญญาการซอมบารงกบผจาหนายอปกรณ พรอมม SLA
85 Hardware Distribute Switch Factory B
ถกขโมย สญหายหรอถกทาลาย ไมมการปองกน-ควบคมการเขาถงทางกายภาพ
1 4 1 1 2 ตCา A 11.1.1, A 11.1.2, A 11.1.3, A 11.1.4,A 11.1.6, A 11.2.1
ตดต GงในหองเครCองแมขาย ซCงมการแยกออกจากพGนทCการทางานอยางชดเจน มกาแพงร Gวรอบขอบชด มมาตรการควบคมการเขาออกหองเครCองแมขาย ซCงเขาออกไดเฉพาะผทCไดรบอนญาต โดยมเจาหนาทCรกษาความปลอดภย ประต 3 ช Gน มการตดต Gง Access Control และกลองวงจรปดตรวจจบความเคลCอนไหว พรอมท Gงมการตรวจสอบอยเสมอ
86 Hardware Distribute Switch Factory B
อปกรณไมสามารถใหบรการไดอยางตอเนCอง
การลมเหลวของกระแสไฟฟา 1 5 1 1 3 ปานกลาง A 11.2.2 มการตดต GงเครCองสารองไฟ
87 Hardware Distribute Switch Factory B
อปกรณถกแกไขคาอปกรณโดยไมไดรบอนญาต
โปรโตคอลทCใชในการเขาถงระบบไมปลอดภย
1 4 1 1 5 สง A 9.4.2 กาหนดใหใชโปรโตคอลทCมความปลอดภยในการเขาถงขอมล
47
ภยคกคาม (Threat)
F O R C
ระดบเส�ยง มาตรการ
ควบคม
แผนการจดการความเส�ยงปจจบนลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability) ผลการทบดานตางๆ โอกาส
88 Hardware Distribute Switch Factory B
อปกรณถกสวมสทธในการเขาใชงาน ผดแลระบบไมมการ Logout หลงจากการเขาใชงาน
1 4 1 1 5 สง A 11.2.9 กาหนดใหระบบตดการใชงาน เมCอผใชงานไมไดใชงานระบบมาระยะเวลาหนCง
89 Hardware Distribute Switch Factory B
ไมสามารถตรวจสอบการใชงานยอนหลงได
ไมมการเกบ Log 1 1 1 2 2 ตCามาก A 12.4.1 กาหนดใหมการบนทก Log แสดงขอมลการใชงานระบบ
90 Hardware Distribute Switch Factory C
อปกรณชารดเสยหาย ไมมกระบวนการการบารงรกษา และเฝาระวงตดตาม
1 4 1 3 3 ปานกลาง A 11.2.4 จดทาแผนการซอมบารง หรอทาสญญาการซอมบารงกบผจาหนายอปกรณ พรอมม SLA91 Hardware Distribute Switch
Factory Cถกขโมย สญหายหรอถกทาลาย ไมมการปองกน-ควบคมการ
เขาถงทางกายภาพ1 4 1 1 2 ตCา A 11.1.1,
A 11.1.2, A 11.1.3, A 11.1.4,A 11.1.6, A 11.2.1
ตดต GงในหองเครCองแมขาย ซCงมการแยกออกจากพGนทCการทางานอยางชดเจน มกาแพงร Gวรอบขอบชด มมาตรการควบคมการเขาออกหองเครCองแมขาย ซCงเขาออกไดเฉพาะผทCไดรบอนญาต โดยมเจาหนาทCรกษาความปลอดภย ประต 3 ช Gน มการตดต Gง Access Control และกลองวงจรปดตรวจจบความเคลCอนไหว พรอมท Gงมการตรวจสอบอยเสมอ
92 Hardware Distribute Switch Factory C
อปกรณไมสามารถใหบรการไดอยางตอเนCอง
การลมเหลวของกระแสไฟฟา 1 5 1 1 3 ปานกลาง A 11.2.2 มการตดต GงเครCองสารองไฟ
93 Hardware Distribute Switch Factory C
อปกรณถกแกไขคาอปกรณโดยไมไดรบอนญาต
โปรโตคอลทCใชในการเขาถงระบบไมปลอดภย
1 4 1 1 5 สง A 9.4.2 กาหนดใหใชโปรโตคอลทCมความปลอดภยในการเขาถงขอมล
48
ภยคกคาม (Threat)
F O R C
ระดบเส�ยง มาตรการ
ควบคม
แผนการจดการความเส�ยงปจจบนลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability) ผลการทบดานตางๆ โอกาส
94 Hardware Distribute Switch Factory C
อปกรณถกสวมสทธในการเขาใชงาน ผดแลระบบไมมการ Logout หลงจากการเขาใชงาน
1 4 1 1 5 สง A 11.2.9 กาหนดใหระบบตดการใชงาน เมCอผใชงานไมไดใชงานระบบมาระยะเวลาหนCง
95 Hardware Distribute Switch Factory C
ไมสามารถตรวจสอบการใชงานยอนหลงได
ไมมการเกบ Log 1 1 1 2 2 ตCามาก A 12.4.1 กาหนดใหมการบนทก Log แสดงขอมลการใชงานระบบ
96 Hardware Access Switch for Internet Café
อปกรณชารดเสยหาย ไมมกระบวนการการบารงรกษา และเฝาระวงตดตาม
1 1 1 1 1 ตCามาก A 11.2.4 จดทาแผนการซอมบารง หรอทาสญญาการซอมบารงกบผจาหนายอปกรณ พรอมม SLA
97 Hardware Access Switch for Internet Café
ถกขโมย สญหายหรอถกทาลาย ไมมการปองกน-ควบคมการเขาถงทางกายภาพ
1 1 1 1 1 ตCามาก A 11.1.1, A 11.1.2, A 11.1.3, A 11.1.4,A 11.1.6, A 11.2.1
ตดต GงในหองเครCองแมขาย ซCงมการแยกออกจากพGนทCการทางานอยางชดเจน มกาแพงร Gวรอบขอบชด มมาตรการควบคมการเขาออกหองเครCองแมขาย ซCงเขาออกไดเฉพาะผทCไดรบอนญาต โดยมเจาหนาทCรกษาความปลอดภย ประต 3 ช Gน มการตดต Gง Access Control และกลองวงจรปดตรวจจบความเคลCอนไหว พรอมท Gงมการตรวจสอบอยเสมอ
98 Hardware Access Switch for Internet Café
อปกรณไมสามารถใหบรการไดอยางตอเนCอง
การลมเหลวของกระแสไฟฟา 1 1 1 1 1 ตCามาก A 11.2.2 มการตดต GงเครCองสารองไฟ
49
ภยคกคาม (Threat)
F O R C
ระดบเส�ยง มาตรการ
ควบคม
แผนการจดการความเส�ยงปจจบนลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability) ผลการทบดานตางๆ โอกาส
99 Hardware Access Switch for Internet Café
อปกรณถกแกไขคาอปกรณโดยไมไดรบอนญาต
โปรโตคอลทCใชในการเขาถงระบบไมปลอดภย
1 1 1 1 1 ตCามาก A 9.4.2 กาหนดใหใชโปรโตคอลทCมความปลอดภยในการเขาถงขอมล
100 Hardware Access Switch for Café อปกรณถกสวมสทธในการเขาใชงาน ผดแลระบบไมมการ Logout หลงจากการเขาใชงาน
1 1 1 2 1 ตCามาก A 11.2.9 กาหนดใหระบบตดการใชงาน เมCอผใชงานไมไดใชงานระบบมาระยะเวลาหนCง
101 Hardware Air Conditioner No.1 อปกรณชารดเสยหาย ไมมกระบวนการการบารงรกษา และเฝาระวงตดตาม
1 1 1 1 2 ตCามาก A 11.2.4 จดทาแผนการซอมบารง หรอทาสญญาการซอมบารงกบผจาหนายอปกรณ
102 Hardware Air Conditioner No.1 อปกรณไมสามารถใหบรการไดอยางตอเนCอง
การลมเหลวของกระแสไฟฟา 1 5 1 1 3 ปานกลาง A 11.2.2 รองขอการตดต Gงแหลงจายไฟฟาจาก 2 แหลงจาย จากฝายสานกงาน
103 Hardware Air Conditioner No.1 ถกขโมย สญหายหรอถกทาลาย ไมมการปองกน-ควบคมการเขาถงทางกายภาพ
2 4 1 1 2 ตCา A 11.2.4 มกระบวนการตรวจสอบและควบคมอณภมใหเหมาะสม ซCงอยระหวาง 20-24 C
104 Hardware Air Conditioner No.2 อปกรณชารดเสยหาย ไมมกระบวนการการบารงรกษา และเฝาระวงตดตาม
1 1 1 1 1 ตCามาก A 11.2.4 จดทาแผนการซอมบารง หรอทาสญญาการซอมบารงกบผจาหนายอปกรณ
105 Hardware Air Conditioner No.2 อปกรณไมสามารถใหบรการไดอยางตอเนCอง
การลมเหลวของกระแสไฟฟา 1 5 1 1 3 ปานกลาง A 11.2.2 รองขอการตดต Gงแหลงจายไฟฟาจาก 2 แหลงจาย จากฝายสานกงาน
106 Hardware Air Conditioner No.2 ถกขโมย สญหายหรอถกทาลาย ไมมการปองกน-ควบคมการเขาถงทางกายภาพ
2 4 1 1 1 ตCามาก A 11.2.4 มกระบวนการตรวจสอบและควบคมอณภมใหเหมาะสม ซCงอยระหวาง 20-24 C
107 Hardware UPS for Server Rack อปกรณชารดเสยหาย ไมมกระบวนการการบารงรกษา และเฝาระวงตดตาม
3 4 1 1 3 ปานกลาง A 11.2.4 จดทาแผนการซอมบารง หรอทาสญญาการซอมบารงกบผจาหนายอปกรณ
50
ภยคกคาม (Threat)
F O R C
ระดบเส�ยง มาตรการ
ควบคม
แผนการจดการความเส�ยงปจจบนลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability) ผลการทบดานตางๆ โอกาส
108 Hardware UPS for Server Rack ถกขโมย สญหายหรอถกทาลาย ไมมการปองกน-ควบคมการเขาถงทางกายภาพ
3 4 2 3 2 ตCา A 11.1.2 มมาตรการควบคมการเขาออกหองศนยขอมล โดยมเจาหนาทCรกษาความปลอดภย ประต 3 ช Gน พรอมท Gงตดต Gงกลองวงจรปด
109 Hardware UPS for Server Rack อปกรณไมสามารถใหบรการไดอยางตอเนCอง
การลมเหลวแหลงจายกระแสไฟฟา
1 5 1 1 4 สง จดหาแหลงจายไฟฟา ใหมอยางนอย 2 แหลง
51
4.1.2 ผลการประเมนความเส�ยงทรพยสนประเภทซอฟทแวร
ภยคกคาม (Threat)
F O R C
110 Software Windows Server 2003 ถกเขาถงโดยผไมไดรบอนญาต ขาดนโยบายการต ,งรหสผาน (password) ท4เหมาะสม
1 4 1 3 3 ปานกลาง A 9.4.3 กาหนดนโยบายบรหารจดการบญชรายช4อผใชงาน กาหนดนโยบายการต ,งรหสผาน และบงคบใชรหสผานท4ยากตอการคาดเดายาวอยางนอย 8 ตวอกษร ผสมท ,งอกษรพมพเลก-ใหญ, สญลกษณ และตวเลขอยางนอย 3 อยาง และเปล4ยนรหสผานทก 90 วน
111 Software Windows Server 2003 ถกเขาถงโดยผไมมสทธ Nใชงาน ไมมการถอดสทธ N เม4อมการเปล4ยนแปลงหนาท4รบผดชอบ
1 4 1 3 4 ปานกลาง A 9.2.1, A 9.2.5, A 9.2.6
ทาการทบทวนสทธ Nของผใชงานในระบบตามระยะเวลาท4กาหนด และลบหรอถอดถอนสทธ Nทนทท4มการลาออก หรอเปล4ยนหนาท4รบผดชอบ
112 Software Windows Server 2003 คนไมมสทธ Nเขาไปแกไขระบบ ผดแลระบบไมทาการ Logout หลงการใชงาน
1 4 1 3 4 ปานกลาง A 9.4.2 กาหนดนโยบายการเขา และออกจากระบบ โดยใหมการ Logout อตโนมต
113 Software Windows Server 2003 ไวรสคอมพวเตอรแพรกระจาย Scan Engine และ Virus Definition ของซอฟทแวร Anti-Virus ไมอพเดท
1 5 1 3 3 ปานกลาง A 12.2 ตดต ,งซอฟทแวรปองกนไวรส Update definition ใหลาสดเสมอ มกระบวนการตรวจสอบ รวมท ,งมมาตรการกคนหากเกดการแพรกระจายจากโปรแกรมไมประสงคด และสรางความตระหนกกบผท 4เก4ยวของ
โอกาส ระดบเส�ยง มาตรการ
ควบคม
แผนการจดการความเส�ยงปจจบน
ตารางท� 4.3 ตารางประเมนความเส4ยงทรพยสนประเภทซอฟทแวรลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability) ผลการทบดานตางๆ
52
ภยคกคาม (Threat)
F O R C
โอกาส ระดบเส�ยง มาตรการ
ควบคม
แผนการจดการความเส�ยงปจจบนลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability) ผลการทบดานตางๆ
114 Software Windows Server 2003
ถกโจมตจนไมสามารถใหบรการได ไมมกระบวนการในการตดตามปรบปรง Security Patch ใหทนสมย
1 5 1 1 5 สง A 12.6.1 กาหนดนโยบายอพเดทแพทชและเฝาระวงการอพเดทแพทชใหลาสดเสมอ และทาการ Hardening ตามขอแนะนาและมาตรฐาน ของไมโครซอฟท
115 Software Windows Server 2003
การแกไขคาตดต ,ง (Configuration) ผดพลาด ทาใหระบบทางานผดพลาด
ไมมเอกสารคมอการใชงาน 1 5 1 1 3 ปานกลาง A 12.1.1 ไมมเอกสารคมอการใชงาน เชน System Guide, Admin Guide, User Guide และ Maintenance Guide เปนตน
116 Software Windows Server 2003
ระบบไมสามารถใหบรการหรอทางานผดพลาด หลงจากการปรบปรงเปล4ยนแปลง
ไมมระบบสาหรบทดสอบแยกกบระบบจรง
1 5 2 3 3 ปานกลาง A 12.1.2, A 12.1.4
บงคบใชมาตรการบรหารจดการความเปล4ยนแปลง (Change Management) จดใหมระบบสาหรบทดสอบแยกกบระบบจรง
117 Software Windows Server 2003
การละเมดลขสทธ Nซอฟทแวร ไมมกระบวนการบรหารจดการซอฟตแวรลขสทธ N
1 1 5 5 3 ปานกลาง A 12.6.2 มการทบทวนการตดต ,งซอฟทแวรตามสทธ Nท4ไดรบ และปองกนการตดต ,งซอฟทแวรโดยไมไดรบอนญาต การจดเกบหรอปองกนแผนซอฟทแวร รวมถงการสรางความตระหนกตอโทษของการกระทาความผด
53
ภยคกคาม (Threat)
F O R C
โอกาส ระดบเส�ยง มาตรการ
ควบคม
แผนการจดการความเส�ยงปจจบนลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability) ผลการทบดานตางๆ
118 Software Windows Server 2008 ถกเขาถงโดยผไมไดรบอนญาต ขาดนโยบายการต ,งรหสผาน (password) ท4เหมาะสม
1 5 1 2 3 ปานกลาง A 9.4.3 กาหนดนโยบายบรหารจดการบญชรายช4อผใชงาน กาหนดนโยบายการต ,งรหสผาน และบงคบใชรหสผานท4ยากตอการคาดเดายาวอยางนอย 8 ตวอกษร ผสมท ,งอกษรพมพเลก-ใหญ, สญลกษณ และตวเลขอยางนอย 3 อยาง และเปล4ยนรหสผานทก 90 วน
119 Software Windows Server 2008 ถกเขาถงโดยผไมมสทธ Nใชงาน ไมมการถอดสทธ N เม4อมการเปล4ยนแปลงหนาท4รบผดชอบ
1 5 1 3 3 ปานกลาง A 9.2.1, A 9.2.5, A 9.2.6
ทาการทบทวนสทธ Nของผใชงานในระบบตามระยะเวลาท4กาหนด และลบหรอถอดถอนสทธ Nทนทท4มการลาออก หรอเปล4ยนหนาท4รบผดชอบ
120 Software Windows Server 2008 คนไมมสทธ Nเขาไปแกไขระบบ ผดแลระบบไมทาการ Logout หลงการใชงาน
1 5 1 3 3 ปานกลาง A 9.4.2 กาหนดนโยบายการเขา และออกจากระบบ โดยใหมการ Logout อตโนมต
121 Software Windows Server 2008
ไวรสคอมพวเตอรแพรกระจาย Scan Engine และ Virus Definition ของซอฟทแวร Anti-Virus ไมอพเดท
1 5 1 1 3 ปานกลาง A 12.2 ตดต ,งซอฟทแวรปองกนไวรส Update definition ใหลาสดเสมอ มกระบวนการตรวจสอบ รวมท ,งมมาตรการกคนหากเกดการแพรกระจายจากโปรแกรมไมประสงคด และสรางความตระหนกกบผท 4เก4ยวของ
122 Software Windows Server 2008
ถกโจมตจนไมสามารถใหบรการได ไมมกระบวนการในการตดตามปรบปรง Security Patch ใหทนสมย
1 5 1 1 3 ปานกลาง A 12.6.1 กาหนดนโยบายอพเดทแพทชและเฝาระวงการอพเดทแพทชใหลาสดเสมอ และทาการ Hardening ตามขอแนะนาและมาตรฐาน ของไมโครซอฟท
54
ภยคกคาม (Threat)
F O R C
โอกาส ระดบเส�ยง มาตรการ
ควบคม
แผนการจดการความเส�ยงปจจบนลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability) ผลการทบดานตางๆ
123 Software Windows Server 2008
การแกไขคาตดต ,ง (Configuration) ผดพลาด ทาใหระบบทางานผดพลาด
ไมมเอกสารคมอการใชงาน 1 5 1 1 3 ปานกลาง A 12.1.1 ไมมเอกสารคมอการใชงาน เชน System Guide, Admin Guide, User Guide และ Maintenance Guide เปนตน
124 Software Windows Server 2008
ระบบไมสามารถใหบรการหรอทางานผดพลาด หลงจากการปรบปรงเปล4ยนแปลง
ไมมระบบสาหรบทดสอบแยกกบระบบจรง
1 5 1 1 4 สง A 12.1.2, A 12.1.4
บงคบใชมาตรการบรหารจดการความเปล4ยนแปลง (Change Management) จดใหมระบบสาหรบทดสอบแยกกบระบบจรง
125 Software Windows Server 2008
การละเมดลขสทธ Nซอฟทแวร ไมมกระบวนการบรหารจดการซอฟตแวรลขสทธ N
1 5 1 1 3 ปานกลาง A 12.6.2 มการทบทวนการตดต ,งซอฟทแวรตามสทธ Nท4ไดรบ และปองกนการตดต ,งซอฟทแวรโดยไมไดรบอนญาต การจดเกบหรอปองกนแผนซอฟทแวร รวมถงการสรางความตระหนกตอโทษของการกระทาความผด
126 Software Windows Server 2012 ถกเขาถงโดยผไมไดรบอนญาต ขาดนโยบายการต ,งรหสผาน (password) ท4เหมาะสม
1 5 1 2 3 ปานกลาง A 9.4.3 กาหนดนโยบายบรหารจดการบญชรายช4อผใชงาน กาหนดนโยบายการต ,งรหสผาน และบงคบใชรหสผานท4ยากตอการคาดเดายาวอยางนอย 8 ตวอกษร ผสมท ,งอกษรพมพเลก-ใหญ, สญลกษณ และตวเลขอยางนอย 3 อยาง และเปล4ยนรหสผานทก 90 วน
55
ภยคกคาม (Threat)
F O R C
โอกาส ระดบเส�ยง มาตรการ
ควบคม
แผนการจดการความเส�ยงปจจบนลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability) ผลการทบดานตางๆ
127 Software Windows Server 2012 ถกเขาถงโดยผไมมสทธ Nใชงาน ไมมการถอดสทธ N เม4อมการเปล4ยนแปลงหนาท4รบผดชอบ
1 5 1 3 3 ปานกลาง A 9.2.1, A 9.2.5, A 9.2.6
ทาการทบทวนสทธ Nของผใชงานในระบบตามระยะเวลาท4กาหนด และลบหรอถอดถอนสทธ Nทนทท4มการลาออก หรอเปล4ยนหนาท4รบผดชอบ
128 Software Windows Server 2012 คนไมมสทธ Nเขาไปแกไขระบบ ผดแลระบบไมทาการ Logout หลงการใชงาน
1 5 1 3 3 ปานกลาง A 9.4.2 กาหนดนโยบายการเขา และออกจากระบบ โดยใหมการ Logout อตโนมต
129 Software Windows Server 2012
ไวรสคอมพวเตอรแพรกระจาย Scan Engine และ Virus Definition ของซอฟทแวร Anti-Virus ไมอพเดท
1 5 1 1 3 ปานกลาง A 12.2 ตดต ,งซอฟทแวรปองกนไวรส Update definition ใหลาสดเสมอ มกระบวนการตรวจสอบ รวมท ,งมมาตรการกคนหากเกดการแพรกระจายจากโปรแกรมไมประสงคด และสรางความตระหนกกบผท 4เก4ยวของ
130 Software Windows Server 2012
ถกโจมตจนไมสามารถใหบรการได ไมมกระบวนการในการตดตามปรบปรง Security Patch ใหทนสมย
1 5 1 1 3 ปานกลาง A 12.6.1 กาหนดนโยบายอพเดทแพทชและเฝาระวงการอพเดทแพทชใหลาสดเสมอ และทาการ Hardening ตามขอแนะนาและมาตรฐาน ของไมโครซอฟท
131 Software Windows Server 2012
การแกไขคาตดต ,ง (Configuration) ผดพลาด ทาใหระบบทางานผดพลาด
ไมมเอกสารคมอการใชงาน 1 5 1 1 3 ปานกลาง A 12.1.1 ไมมเอกสารคมอการใชงาน เชน System Guide, Admin Guide, User Guide และ Maintenance Guide เปนตน
132 Software Windows Server 2012
ระบบไมสามารถใหบรการหรอทางานผดพลาด หลงจากการปรบปรงเปล4ยนแปลง
ไมมระบบสาหรบทดสอบแยกกบระบบจรง
1 5 1 1 4 สง A 12.1.2, A 12.1.4
บงคบใชมาตรการบรหารจดการความเปล4ยนแปลง (Change Management) จดใหมระบบสาหรบทดสอบแยกกบระบบจรง
56
ภยคกคาม (Threat)
F O R C
โอกาส ระดบเส�ยง มาตรการ
ควบคม
แผนการจดการความเส�ยงปจจบนลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability) ผลการทบดานตางๆ
133 Software Windows Server 2012
การละเมดลขสทธ Nซอฟทแวร ไมมกระบวนการบรหารจดการซอฟตแวรลขสทธ N
1 5 1 1 3 ปานกลาง A 12.6.2 มการทบทวนการตดต ,งซอฟทแวรตามสทธ Nท4ไดรบ และปองกนการตดต ,งซอฟทแวรโดยไมไดรบอนญาต การจดเกบหรอปองกนแผนซอฟทแวร รวมถงการสรางความตระหนกตอโทษของการกระทาความผด
134 Software Linux ubuntu ถกเขาถงโดยผไมไดรบอนญาต ขาดนโยบายการต ,งรหสผาน (password) ท4เหมาะสม
1 1 1 2 2 ต4ามาก A 9.4.3 กาหนดนโยบายบรหารจดการบญชรายช4อผใชงาน กาหนดนโยบายการต ,งรหสผาน และบงคบใชรหสผานท4ยากตอการคาดเดายาวอยางนอย 8 ตวอกษร ผสมท ,งอกษรพมพเลก-ใหญ, สญลกษณ และตวเลขอยางนอย 3 อยาง และเปล4ยนรหสผานทก 90 วน
135 Software Linux ubuntu ถกเขาถงโดยผไมมสทธ Nใชงาน ไมมการถอดสทธ N เม4อมการเปล4ยนแปลงหนาท4รบผดชอบ
1 1 1 2 2 ต4ามาก A 9.2.1, A 9.2.5, A 9.2.6
ทาการทบทวนสทธ Nของผใชงานในระบบตามระยะเวลาท4กาหนด และลบหรอถอดถอนสทธ Nทนทท4มการลาออก หรอเปล4ยนหนาท4รบผดชอบ
136 Software Linux ubuntu คนไมมสทธ Nเขาไปแกไขระบบ ผดแลระบบไมทาการ Logout หลงการใชงาน
1 1 1 2 2 ต4ามาก A 9.4.2 กาหนดนโยบายการเขา และออกจากระบบ โดยใหมการ Logout อตโนมต
57
ภยคกคาม (Threat)
F O R C
โอกาส ระดบเส�ยง มาตรการ
ควบคม
แผนการจดการความเส�ยงปจจบนลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability) ผลการทบดานตางๆ
137 Software Linux ubuntu ไวรสคอมพวเตอรแพรกระจาย Scan Engine และ Virus Definition ของซอฟทแวร Anti-Virus ไมอพเดท
1 1 1 2 1 ต4ามาก A 12.2 ตดต ,งซอฟทแวรปองกนไวรส Update definition ใหลาสดเสมอ มกระบวนการตรวจสอบ รวมท ,งมมาตรการกคนหากเกดการแพรกระจายจากโปรแกรมไมประสงคด และสรางความตระหนกกบผท 4เก4ยวของ
138 Software Linux ubuntu ถกโจมตจนไมสามารถใหบรการได ไมมกระบวนการในการตดตามปรบปรง Security Patch ใหทนสมย
1 1 1 2 2 ต4ามาก A 12.6.1 กาหนดนโยบายอพเดทแพทชและเฝาระวงการอพเดทแพทชใหลาสดเสมอ และทาการ Hardening ตามขอแนะนาและมาตรฐาน ของไมโครซอฟท
139 Software Linux ubuntu การแกไขคาตดต ,ง (Configuration) ผดพลาด ทาใหระบบทางานผดพลาด
ไมมเอกสารคมอการใชงาน 1 1 1 2 2 ต4ามาก A 12.1.1 ไมมเอกสารคมอการใชงาน เชน System Guide, Admin Guide, User Guide และ Maintenance Guide เปนตน
140 Software Linux ubuntu ระบบไมสามารถใหบรการหรอทางานผดพลาด หลงจากการปรบปรงเปล4ยนแปลง
ไมมระบบสาหรบทดสอบแยกกบระบบจรง
1 1 1 2 2 ต4ามาก A 12.1.2, A 12.1.4
บงคบใชมาตรการบรหารจดการความเปล4ยนแปลง (Change Management) จดใหมระบบสาหรบทดสอบแยกกบระบบจรง
141 Software Linux ubuntu การละเมดลขสทธ Nซอฟทแวร ไมมกระบวนการบรหารจดการซอฟตแวรลขสทธ N
1 1 1 5 2 ปานกลาง A 12.6.2 มการทบทวนการตดต ,งซอฟทแวรตามสทธ Nท4ไดรบ และปองกนการตดต ,งซอฟทแวรโดยไมไดรบอนญาต การจดเกบหรอปองกนแผนซอฟทแวร รวมถงการสรางความตระหนกตอโทษของการกระทาความผด
58
ภยคกคาม (Threat)
F O R C
โอกาส ระดบเส�ยง มาตรการ
ควบคม
แผนการจดการความเส�ยงปจจบนลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability) ผลการทบดานตางๆ
142 Software Unix AIX ถกเขาถงโดยผไมไดรบอนญาต ขาดนโยบายการต ,งรหสผาน (password) ท4เหมาะสม
1 5 1 4 3 ปานกลาง A 9.4.3 กาหนดนโยบายบรหารจดการบญชรายช4อผใชงาน กาหนดนโยบายการต ,งรหสผาน และบงคบใชรหสผานท4ยากตอการคาดเดายาวอยางนอย 8 ตวอกษร ผสมท ,งอกษรพมพเลก-ใหญ, สญลกษณ และตวเลขอยางนอย 3 อยาง และเปล4ยนรหสผานทก 90 วน
143 Software Unix AIX ถกเขาถงโดยผไมมสทธ Nใชงาน ไมมการถอดสทธ N เม4อมการเปล4ยนแปลงหนาท4รบผดชอบ
1 5 1 3 3 ปานกลาง A 9.2.1, A 9.2.5, A 9.2.6
ทาการทบทวนสทธ Nของผใชงานในระบบตามระยะเวลาท4กาหนด และลบหรอถอดถอนสทธ Nทนทท4มการลาออก หรอเปล4ยนหนาท4รบผดชอบ
144 Software Unix AIX การใชงานเกนสทธท4ถกตอง ขาดกระบวนการกาหนดสทธท4ถกตองเหมาะสม
1 5 1 3 3 ปานกลาง A 9.2.3, A 9.2.4
กาหนดกระบวนการขออนมตใชงานระบบเปนลายลกษณอกษร และบนทกไวเปนหลกฐาน
145 Software Unix AIX คนไมมสทธ Nเขาไปแกไขระบบ ผดแลระบบไมทาการ Logout หลงการใชงาน
1 5 1 3 2 ต4า A 9.4.2 กาหนดนโยบายการเขา และออกจากระบบ โดยใหมการ Logout อตโนมต
146 Software Unix AIX ไวรสคอมพวเตอรแพรกระจาย Scan Engine และ Virus Definition ของซอฟทแวร Anti-Virus ไมอพเดท
1 5 1 4 1 ต4า A 12.2 ตดต ,งซอฟทแวรปองกน Update definition ใหลาสดเสมอ มกระบวนการตรวจสอบ รวมท ,งมมาตรการกคนหากเกดการแพรกระจายจากโปรแกรมไมประสงคด และสรางความตระหนกกบผท 4เก4ยวของ
59
ภยคกคาม (Threat)
F O R C
โอกาส ระดบเส�ยง มาตรการ
ควบคม
แผนการจดการความเส�ยงปจจบนลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability) ผลการทบดานตางๆ
147 Software Unix AIX ถกโจมตจนไมสามารถใหบรการได ไมมกระบวนการในการตดตามปรบปรง Security Patch ใหทนสมย
1 5 1 4 1 ต4า A 12.6.1 กาหนดนโยบายอพเดทแพทชและเฝาระวงการอพเดทแพทชใหลาสดเสมอ และทาการ Hardening ตามขอแนะนาและมาตรฐาน ของไมโครซอฟท
148 Software Unix AIX การแกไขคาตดต ,ง (Configuration) ผดพลาด ทาใหระบบทางานผดพลาด
ไมมเอกสารคมอการใชงาน 1 5 1 4 2 ปานกลาง A 12.1.1 ไมมเอกสารคมอการใชงาน เชน System Guide, Admin Guide, User Guide และ Maintenance Guide เปนตน
149 Software Unix AIX ระบบไมสามารถใหบรการหรอทางานผดพลาด หลงจากการปรบปรงเปล4ยนแปลง
ไมมระบบสาหรบทดสอบแยกกบระบบจรง
1 5 1 4 2 ปานกลาง A 12.1.2, A 12.1.4
บงคบใชมาตรการบรหารจดการความเปล4ยนแปลง (Change Management) จดใหมระบบสาหรบทดสอบแยกกบระบบจรง
150 Software Unix AIX การละเมดลขสทธ Nซอฟทแวร ไมมกระบวนการบรหารจดการซอฟตแวรลขสทธ N
1 1 5 5 1 ต4า A 12.6.2 มการทบทวนการตดต ,งซอฟทแวรตามสทธ Nท4ไดรบ และปองกนการตดต ,งซอฟทแวรโดยไมไดรบอนญาต การจดเกบหรอปองกนแผนซอฟทแวร รวมถงการสรางความตระหนกตอโทษของการกระทาความผด
60
ภยคกคาม (Threat)
F O R C
โอกาส ระดบเส�ยง มาตรการ
ควบคม
แผนการจดการความเส�ยงปจจบนลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability) ผลการทบดานตางๆ
151 Software Mail Server ถกเขาถงโดยผไมไดรบอนญาต ขาดนโยบายการต ,งรหสผาน (password) ท4เหมาะสม
4 5 3 5 3 ปานกลาง A 9.4.3 กาหนดนโยบายบรหารจดการบญชรายช4อผใชงาน กาหนดนโยบายการต ,งรหสผาน และบงคบใชรหสผานท4ยากตอการคาดเดายาวอยางนอย 8 ตวอกษร ผสมท ,งอกษรพมพเลก-ใหญ, สญลกษณ และตวเลขอยางนอย 3 อยาง และเปล4ยนรหสผานทก 90 วน
152 Software Mail Server ถกเขาถงโดยผไมมสทธ Nใชงาน ไมมการถอดสทธ N เม4อมการเปล4ยนแปลงหนาท4รบผดชอบ
4 4 2 5 2 ต4า A 9.2.1, A 9.2.5, A 9.2.6
ทาการทบทวนสทธ Nของผใชงานในระบบตามระยะเวลาท4กาหนด และลบหรอถอดถอนสทธ Nทนทท4มการลาออก หรอเปล4ยนหนาท4รบผดชอบ
153 Software Mail Server การใชงานเกนสทธท4ถกตอง ขาดกระบวนการกาหนดสทธท4ถกตองเหมาะสม
1 4 2 5 2 ต4า A 9.2.3, A 9.2.4
กาหนดกระบวนการขออนมตใชงานระบบเปนลายลกษณอกษร และบนทกไวเปนหลกฐาน
154 Software Mail Server อเมลสงไมถงปลายทาง รบสงลาชา ระบบทางานผดพลาด หรอถกทาลายจากโปรแกรมท4ไมประสงคด
Scan Engine และ Virus Definition ของซอฟทแวร Anti-Virus ไมอพเดท
1 5 2 4 2 ปานกลาง A 12.2 ตดต ,งซอฟทแวรปองกน Update definition ใหลาสดเสมอ มกระบวนการตรวจสอบ รวมท ,งมมาตรการกคนหากเกดการแพรกระจายจากโปรแกรมไมประสงคด และสรางความตระหนกกบผท4เก4ยวของ155 Software Mail Server ถกโจมตจนไมสามารถใหบรการได ไมมกระบวนการในการตดตาม
ปรบปรง Security Patch ใหทนสมย1 5 2 4 2 ปานกลาง A 12.6.1 กาหนดนโยบายอพเดทแพทชและเฝา
ระวงการอพเดทแพทชใหลาสดเสมอ และทาการปรบปรงตามขอแนะนาและมาตรฐาน ของเจาของผลตภณฑ
61
ภยคกคาม (Threat)
F O R C
โอกาส ระดบเส�ยง มาตรการ
ควบคม
แผนการจดการความเส�ยงปจจบนลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability) ผลการทบดานตางๆ
156 Software Mail Server ทาการแกไขคาตดต ,ง (Configuration) ผดพลาด ทาใหระบบทางานผดพลาด
ไมมเอกสารคมอการใชงาน 1 5 1 3 2 ปานกลาง A 12.1.1 ไมมเอกสารคมอการใชงาน เชน System Guide, Admin Guide, User Guide และ Maintenance Guide เปนตน
157 Software Mail Server ไมสามารถตรวจสอบการใชงานยอนหลงได
ไมมกระบวนการจดเกบเกบ Log 1 1 1 5 3 ปานกลาง A 12.4.1 กาหนดใหมการบนทก Log แสดงขอมลการใชงานระบบ
158 Software Mail Server ระบบไมสามารถใหบรการหรอทางานผดพลาด หลงจากการปรบปรงเปล4ยนแปลง
ไมมระบบสาหรบทดสอบแยกกบระบบจรง
1 5 1 2 3 ปานกลาง A 12.1.2, A 12.1.4
บงคบใชมาตรการบรหารจดการความเปล4ยนแปลง (Change Management) จดใหมระบบสาหรบทดสอบแยกกบระบบจรง
159 Software Mail Server ระบบถกแฮก มการเขาถงโดยพอรตท4ไมปลอดภย 4 5 1 1 5 สง A 9.4.2 จดทาแผนปรบปรงการเขาถงระบบดวยพอรตท4มความปลอดภย
160 Software Mail Server การละเมดลขสทธ Nซอฟทแวร ไมมกระบวนการบรหารจดการซอฟตแวรลขสทธ N
4 5 1 1 3 ปานกลาง A 12.6.2 มการทบทวนการตดต ,งซอฟทแวรตามสทธ Nท4ไดรบ และปองกนการตดต ,งซอฟทแวรโดยไมไดรบอนญาต การจดเกบหรอปองกนแผนซอฟทแวร รวมถงการสรางความตระหนกตอโทษของการกระทาความผด
62
ภยคกคาม (Threat)
F O R C
โอกาส ระดบเส�ยง มาตรการ
ควบคม
แผนการจดการความเส�ยงปจจบนลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability) ผลการทบดานตางๆ
161 Software WorkFlow Server ถกเขาถงโดยผไมไดรบอนญาต ขาดนโยบายการต ,งรหสผาน (password) ท4เหมาะสม
4 5 2 3 2 ปานกลาง A 9.4.3 กาหนดนโยบายบรหารจดการบญชรายช4อผใชงาน กาหนดนโยบายการต ,งรหสผาน และบงคบใชรหสผานท4ยากตอการคาดเดายาวอยางนอย 8 ตวอกษร ผสมท ,งอกษรพมพเลก-ใหญ, สญลกษณ และตวเลขอยางนอย 3 อยาง และเปล4ยนรหสผานทก 90 วน
162 Software WorkFlow Server ถกเขาถงโดยผไมมสทธ Nใชงาน ไมมการถอดสทธ N เม4อมการเปล4ยนแปลงหนาท4รบผดชอบ
4 5 2 3 2 ปานกลาง A 9.2.1, A 9.2.5, A 9.2.6
ทาการทบทวนสทธ Nของผใชงานในระบบตามระยะเวลาท4กาหนด และลบหรอถอดถอนสทธ Nทนทท4มการลาออก หรอเปล4ยนหนาท4รบผดชอบ
163 Software WorkFlow Server การใชงานเกนสทธท4ถกตอง ขาดกระบวนการกาหนดสทธท4ถกตองเหมาะสม
4 5 2 3 2 ปานกลาง A 9.2.3, A 9.2.4
กาหนดกระบวนการขออนมตใชงานระบบเปนลายลกษณอกษร และบนทกไวเปนหลกฐาน
164 Software WorkFlow Server ระบบถกแฮก มการเขาถงโดยพอรตท4ไมปลอดภย 4 5 2 3 5 สง A 9.4.2 จดทาแผนปรบปรงการเขาถงระบบดวยพอรตท4มความปลอดภย
165 Software WorkFlow Server ทาการแกไขคาตดต ,ง (Configuration) ผดพลาด ทาใหระบบทางานผดพลาด
ไมมเอกสารคมอการใชงาน 1 5 2 3 1 ต4า A 12.1.1 ไมมเอกสารคมอการใชงาน เชน System Guide, Admin Guide, User Guide และ Maintenance Guide เปนตน
166 Software WorkFlow Server ไมสามารถตรวจสอบการใชงานยอนหลงได
ไมมกระบวนการจดเกบเกบ Log 1 1 1 4 2 ต4า A 12.4.1 กาหนดใหมการบนทก Log แสดงขอมลการใชงานระบบ
63
ภยคกคาม (Threat)
F O R C
โอกาส ระดบเส�ยง มาตรการ
ควบคม
แผนการจดการความเส�ยงปจจบนลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability) ผลการทบดานตางๆ
167 Software WorkFlow Server ระบบไมสามารถใหบรการหรอทางานผดพลาด หลงจากการปรบปรงเปล4ยนแปลง
ไมมระบบสาหรบทดสอบแยกกบระบบจรง
1 5 1 2 2 ปานกลาง A 12.1.2, A 12.1.4
บงคบใชมาตรการบรหารจดการความเปล4ยนแปลง (Change Management) จดใหมระบบสาหรบทดสอบแยกกบระบบจรง
168 Software WorkFlow Server การละเมดลขสทธ Nซอฟทแวร ไมมกระบวนการบรหารจดการซอฟตแวรลขสทธ N
5 1 3 5 2 ปานกลาง A 12.6.2 มการทบทวนการตดต ,งซอฟทแวรตามสทธ Nท4ไดรบ และปองกนการตดต ,งซอฟทแวรโดยไมไดรบอนญาต การจดเกบหรอปองกนแผนซอฟทแวร รวมถงการสรางความตระหนกตอโทษของการกระทาความผด
169 Software Digital Filing Server ถกเขาถงโดยผไมไดรบอนญาต ขาดนโยบายการต ,งรหสผาน (password) ท4เหมาะสม
4 3 2 3 2 ต4า A 9.4.3 กาหนดนโยบายบรหารจดการบญชรายช4อผใชงาน กาหนดนโยบายการต ,งรหสผาน และบงคบใชรหสผานท4ยากตอการคาดเดายาวอยางนอย 8 ตวอกษร ผสมท ,งอกษรพมพเลก-ใหญ, สญลกษณ และตวเลขอยางนอย 3 อยาง และเปล4ยนรหสผานทก 90 วน
170 Software Digital Filing Server ถกเขาถงโดยผไมมสทธ Nใชงาน ไมมการถอดสทธ N เม4อมการเปล4ยนแปลงหนาท4รบผดชอบ
4 3 2 3 2 ต4า A 9.2.1, A 9.2.5, A 9.2.6
ทาการทบทวนสทธ Nของผใชงานในระบบตามระยะเวลาท4กาหนด และลบหรอถอดถอนสทธ Nทนทท4มการลาออก หรอเปล4ยนหนาท4รบผดชอบ
64
ภยคกคาม (Threat)
F O R C
โอกาส ระดบเส�ยง มาตรการ
ควบคม
แผนการจดการความเส�ยงปจจบนลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability) ผลการทบดานตางๆ
171 Software Digital Filing Server การใชงานเกนสทธท4ถกตอง ขาดกระบวนการกาหนดสทธท4ถกตองเหมาะสม
4 3 2 3 2 ต4า A 9.2.3, A 9.2.4
กาหนดกระบวนการขออนมตใชงานระบบเปนลายลกษณอกษร และบนทกไวเปนหลกฐาน
172 Software Digital Filing Server ถกโจมตจนไมสามารถใหบรการได ไมมกระบวนการในการตดตามปรบปรง Security Patch ใหทนสมย
1 5 1 1 1 ต4า A 12.6.1 กาหนดนโยบายอพเดทแพทชและเฝาระวงการอพเดทแพทชใหลาสดเสมอ และทาการ Hardening ตามขอแนะนาและมาตรฐาน ของไมโครซอฟท
173 Software Digital Filing Server ทาการแกไขคาตดต ,ง (Configuration) ผดพลาด ทาใหระบบทางานผดพลาด
ไมมเอกสารคมอการใชงาน 1 5 1 2 2 ปานกลาง A 12.1.1 ไมมเอกสารคมอการใชงาน เชน System Guide, Admin Guide, User Guide และ Maintenance Guide เปนตน
174 Software Digital Filing Server การละเมดลขสทธ Nซอฟทแวร ไมมกระบวนการบรหารจดการซอฟตแวรลขสทธ N
1 1 3 5 2 ปานกลาง A 12.6.2 มการทบทวนการตดต ,งซอฟทแวรตามสทธ Nท4ไดรบ และปองกนการตดต ,งซอฟทแวรโดยไมไดรบอนญาต การจดเกบหรอปองกนแผนซอฟทแวร 175 Software Manufacturing
Knowlegdeถกเขาถงโดยผไมไดรบอนญาต ขาดนโยบายการต ,งรหสผาน (password)
ท4เหมาะสม5 5 2 3 2 ปานกลาง A 9.4.3 กาหนดนโยบายบรหารจดการบญชรายช4อ
ผใชงาน กาหนดนโยบายการต ,งรหสผาน และบงคบใชรหสผานท4ยากตอการคาดเดายาวอยางนอย 8 ตวอกษร ผสมท ,งอกษรพมพเลก-ใหญ, สญลกษณ และตวเลขอยางนอย 3 อยาง และเปล4ยนรหสผานทก 90 วน
65
ภยคกคาม (Threat)
F O R C
โอกาส ระดบเส�ยง มาตรการ
ควบคม
แผนการจดการความเส�ยงปจจบนลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability) ผลการทบดานตางๆ
176 Software Manufacturing Knowlegde
ถกเขาถงโดยผไมมสทธ Nใชงาน ไมมการถอดสทธ N เม4อมการเปล4ยนแปลงหนาท4รบผดชอบ
5 5 2 3 2 ปานกลาง A 9.2.1, A 9.2.5, A 9.2.6
ทาการทบทวนสทธ Nของผใชงานในระบบตามระยะเวลาท4กาหนด และลบหรอถอดถอนสทธ Nทนทท4มการลาออก หรอเปล4ยนหนาท4รบผดชอบ
177 Software Manufacturing Knowlegde
การใชงานเกนสทธท4ถกตอง ขาดกระบวนการกาหนดสทธท4ถกตองเหมาะสม
5 5 2 3 2 ปานกลาง A 9.2.3, A 9.2.4
กาหนดกระบวนการขออนมตใชงานระบบเปนลายลกษณอกษร และบนทกไวเปนหลกฐาน
178 Software Manufacturing Knowlegde
ระบบถกแฮก มการเขาถงโดยพอรตท4ไมปลอดภย 5 5 3 4 5 สง A 9.4.2 กาหนดใหมการเขาถงระบบดวยพอรตท4มความปลอดภย
179 Software Manufacturing Knowlegde
ทาการแกไขคาตดต ,ง (Configuration) ผดพลาด ทาใหระบบทางานผดพลาด
ทาการแกไขคาตดต ,ง (Configuration) ผดพลาด ทาใหระบบทางานผดพลาด
4 5 1 2 2 ปานกลาง A 12.1.1 ไมมเอกสารคมอการใชงาน เชน System Guide, Admin Guide, User Guide และ Maintenance Guide เปนตน
180 Software Manufacturing Knowlegde
การละเมดลขสทธ Nซอฟทแวร ไมมกระบวนการบรหารจดการซอฟตแวรลขสทธ N
5 1 5 5 2 ปานกลาง A 12.6.2 มการทบทวนการตดต ,งซอฟทแวรตามสทธ Nท4ไดรบ และปองกนการตดต ,งซอฟทแวรโดยไมไดรบอนญาต การจดเกบหรอปองกนแผนซอฟทแวร รวมถงการสรางความตระหนกตอโทษของการกระทาความผด
66
ภยคกคาม (Threat)
F O R C
โอกาส ระดบเส�ยง มาตรการ
ควบคม
แผนการจดการความเส�ยงปจจบนลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability) ผลการทบดานตางๆ
181 Software CAD-CAM Server ถกเขาถงโดยผไมไดรบอนญาต ขาดนโยบายการต ,งรหสผาน (password) ท4เหมาะสม
5 5 2 3 2 ปานกลาง A 9.4.3 กาหนดนโยบายบรหารจดการบญชรายช4อผใชงาน กาหนดนโยบายการต ,งรหสผาน และบงคบใชรหสผานท4ยากตอการคาดเดายาวอยางนอย 8 ตวอกษร ผสมท ,งอกษรพมพเลก-ใหญ, สญลกษณ และตวเลขอยางนอย 3 อยาง และเปล4ยนรหสผานทก 90 วน
182 Software CAD-CAM Server ถกเขาถงโดยผไมมสทธ Nใชงาน ไมมการถอดสทธ N เม4อมการเปล4ยนแปลงหนาท4รบผดชอบ
5 5 2 3 2 ปานกลาง A 9.2.1, A 9.2.5, A 9.2.6
ทาการทบทวนสทธ Nของผใชงานในระบบตามระยะเวลาท4กาหนด และลบหรอถอดถอนสทธ Nทนทท4มการลาออก หรอเปล4ยนหนาท4รบผดชอบ
183 Software CAD-CAM Server การใชงานเกนสทธท4ถกตอง ขาดกระบวนการกาหนดสทธท4ถกตองเหมาะสม
5 5 2 3 2 ปานกลาง A 9.2.3, A 9.2.4
กาหนดกระบวนการขออนมตใชงานระบบเปนลายลกษณอกษร และบนทกไวเปนหลกฐาน
184 Software CAD-CAM Server ทาการแกไขคาตดต ,ง (Configuration) ผดพลาด ทาใหระบบทางานผดพลาด
ไมมเอกสารคมอการใชงาน 4 5 1 2 1 ต4า A 12.6.1 กาหนดนโยบายอพเดทแพทชและเฝาระวงการอพเดทแพทชใหลาสดเสมอ และทาการ Hardening ตามขอแนะนาและมาตรฐาน ของไมโครซอฟท
67
ภยคกคาม (Threat)
F O R C
โอกาส ระดบเส�ยง มาตรการ
ควบคม
แผนการจดการความเส�ยงปจจบนลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability) ผลการทบดานตางๆ
185 Software CAD-CAM Server การละเมดลขสทธ Nซอฟทแวร ไมมกระบวนการบรหารจดการซอฟตแวรลขสทธ N
5 1 5 5 2 ปานกลาง A 12.6.2 มการทบทวนการตดต ,งซอฟทแวรตามสทธ Nท4ไดรบ และปองกนการตดต ,งซอฟทแวรโดยไมไดรบอนญาต การจดเกบหรอปองกนแผนซอฟทแวร รวมถงการสรางความตระหนกตอโทษของการกระทาความผด
186 Software Aniti Virus Server ไมสามารถใหบรการได Anti virus Definition ท4ทนสมยได
ไมมกระบวนการในการตดตามเฝาระวง
2 2 1 2 2 ต4ามาก A 12.2.1 ตดต ,งซอฟทแวรปองกน Update definition ใหลาสดเสมอ มกระบวนการตรวจสอบ รวมท ,งมมาตรการกคนหากเกดการแพรกระจายจากโปรแกรมไมประสงคด และสรางความตระหนกกบผท4เก4ยวของ
187 Software Aniti Virus Server ทาการแกไขคาตดต ,ง (Configuration) ผดพลาด ทาใหระบบทางานผดพลาด
ไมมเอกสารคมอการใชงาน 2 2 1 2 2 ต4ามาก A 12.1.1 ไมมเอกสารคมอการใชงาน เชน System Guide, Admin Guide, User Guide และ Maintenance Guide เปนตน
188 Software Aniti Virus Server การละเมดลขสทธ Nซอฟทแวร ไมมกระบวนการบรหารจดการซอฟตแวรลขสทธ N
2 1 1 5 2 ปานกลาง A 12.6.2 มการทบทวนการตดต ,งซอฟทแวรตามสทธ Nท4ไดรบ และปองกนการตดต ,งซอฟทแวรโดยไมไดรบอนญาต การจดเกบหรอปองกนแผนซอฟทแวร รวมถงการสรางความตระหนกตอโทษของการกระทาความผด
68
ภยคกคาม (Threat)
F O R C
โอกาส ระดบเส�ยง มาตรการ
ควบคม
แผนการจดการความเส�ยงปจจบนลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability) ผลการทบดานตางๆ
189 Software WSUS Server ทาการแกไขคาตดต ,ง (Configuration) ผดพลาด ทาใหระบบทางานผดพลาด
ไมมเอกสารคมอการใชงาน 1 2 1 2 2 ต4ามาก A 12.1.1 ไมมเอกสารคมอการใชงาน เชน System Guide, Admin Guide, User Guide และ Maintenance Guide เปนตน
190 Software WSUS Server การละเมดลขสทธ Nซอฟทแวร ไมมกระบวนการบรหารจดการซอฟตแวรลขสทธ N
1 1 1 5 1 ต4า A 12.6.2 มการทบทวนการตดต ,งซอฟทแวรตามสทธ Nท4ไดรบ และปองกนการตดต ,งซอฟทแวรโดยไมไดรบอนญาต การจดเกบหรอปองกนแผนซอฟทแวร รวมถงการสรางความตระหนกตอโทษของการกระทาความผด
191 Software SQL Server ถกโจมตจนไมสามารถใหบรการได ไมมกระบวนการในการตดตามปรบปรง Security Patch ใหทนสมย
1 5 1 1 2 ปานกลาง A 12.6.1 กาหนดนโยบายอพเดทแพทชและเฝาระวงการอพเดทแพทชใหลาสดเสมอ และทาการ Hardening ตามขอแนะนาและมาตรฐาน ของไมโครซอฟท
192 Software SQL Server ทาการแกไขคาตดต ,ง (Configuration) ผดพลาด ทาใหระบบทางานผดพลาด
ไมมเอกสารคมอการใชงาน 1 5 1 1 3 ปานกลาง A 12.1.1 ไมมเอกสารคมอการใชงาน เชน System Guide, Admin Guide, User Guide และ Maintenance Guide เปนตน
193 Software SQL Server การละเมดลขสทธ Nซอฟทแวร ไมมกระบวนการบรหารจดการซอฟตแวรลขสทธ N
2 1 5 5 2 ปานกลาง A 12.6.2 มการทบทวนการตดต ,งซอฟทแวรตามสทธ Nท4ไดรบ และปองกนการตดต ,งซอฟทแวรโดยไมไดรบอนญาต การจดเกบหรอปองกนแผนซอฟทแวร รวมถงการสรางความตระหนกตอโทษของการกระทาความผด
69
4.1.3 ผลการประเมนความเส�ยงทรพยสนประเภทสารสนเทศ
ภยคกคาม (Threat)
F O R C
194 Information E-mail Data ขอมล mailbox สญหาย ไมมระบบสารองขอมลท(ด 5 5 2 3 สง A 12.3.1 จดทาแผนสารองขอมล และมการจดเกบส(อบนทกในlสถานท(ท( พรอมท <งมการตรวจสอบอยเสมอ
195 Information E-mail Data ขอมลร (วไหลจากการถกดกจบระหวางการรบ-สง
ผใชงานขาดความรความเขาใจเร(องการปองกนขอมลร (วไหล
5 1 2 2 ปานกลาง A 18.1.5 สรางความรความเขาใจการปองกนขอมลร (วไหลและตระหนกถงความสาคญในการเขารหสขอมลท(สาคญทกคร <งกอนสงเมล
196 Information E-mail Data ขอมลมเน<อหาละเมดกฎหมาย และขอกาหนดขององคกร
ผใชงานขาดความรความเขาใจในกฏหมายท(เก(ยวของ
1 1 1 5 ปานกลาง A 18.1.3 สรางความรความเขาใจในเร(องกฎหมายท(เก(ยวของ และกาหนดบทลงโทษทางวนยสาหรบผท(ละเมด
197 Information E-mail Data ขอมลร (วไหล จากการนาขอมลจรงไปใชในการทดสอบ
ดแลระบบขาดความตระหนกในการใชขอมลสาหรบการทดสอบ
5 1 1 3 ปานกลาง A 14.3.1 ผดแลระบบจะตองคดเลอกขอมลจรงเทาท(จาเปนเทาน <น เพ(อนาไปทดสอบระบบ และตองขออนมตจากผบงคบบญชาทกคร <ง
198 Information Workflow Data ขอมลสญหาย ไมมระบบสารองขอมลท(ด 5 5 2 3 สง A 12.3.1 จดทาแผนสารองขอมล และมการจดเกบส(อบนทกในlสถานท(ท( พรอมท <งมการตรวจสอบอยเสมอ
199 Information Workflow Data ขอมลร (วไหล จากการนาส(อบนทกขอมลกลบมาใชงานใหม
ขาดกระบวนการทาลายขอมลในส(อบนทกขอมลกอนนากลบมาใชงานใหม หรอเลกใชงาน
5 1 2 3 สง A 8.3.2 จดทาแผนการทาลายขอมลในส(อบนทกขอมลทกคร <งกอนท(จะนากลบมาใชงานใหม หรอเลกใชงาน
ผลการทบดานตางๆ ระดบเส�ยง มาตรการ
ควบคม
แผนการจดการความเส�ยงปจจบน
ตารางท� 4.4 ตารางประเมนความเส(ยงทรพยสนประเภทสารสนเทศลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability)
70
ภยคกคาม (Threat)
F O R C
ผลการทบดานตางๆ ระดบเส�ยง มาตรการ
ควบคม
แผนการจดการความเส�ยงปจจบนลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability)
200 Information Workflow Data ถกเขาถง และแกไข เปล(ยนแปลง โดยผไมมสทธ Sใชงาน
ไมมการถอดสทธ S เม(อมการเปล(ยนแปลงหนาท(รบผดชอบ
5 5 2 3 ต(า A 9.2.1, A 9.2.5, A 9.2.6
ทาการทบทวนสทธ Sของผใชงานในระบบตามระยะเวลาท(กาหนด และลบหรอถอดถอนสทธ Sทนทท(มการลาออก หรอเปล(ยนหนาท(รบผดชอบ
201 Information Workflow Data ขอมลร (วไหล จากการนาขอมลจรงไปใชในการทดสอบ
ดแลระบบขาดความตระหนกในการใชขอมลสาหรบการทดสอบ
5 1 2 3 ต(า A 14.3.1 ผดแลระบบจะตองคดเลอกขอมลจรงเทาท(จาเปนเทาน <น เพ(อนาไปทดสอบระบบ และตองขออนมตจากผบงคบบญชาทกคร <ง
202 Information Digital Filing Data ขอมลสญหาย ไมมระบบสารองขอมลท(ด 5 5 2 3 สง A 12.3.1 จดทาแผนสารองขอมล และมการจดเกบส(อบนทกในlสถานท(ท( พรอมท <งมการตรวจสอบอยเสมอ
203 Information Digital Filing Data ขอมลร (วไหล จากการนาส(อบนทกขอมลกลบมาใชงานใหม
ขาดกระบวนการทาลายขอมลในส(อบนทกขอมลกอนนากลบมาใชงานใหม หรอเลกใชงาน
4 3 2 3 ต(า A 8.3.2 จดทาแผนการทาลายขอมลในส(อบนทกขอมลทกคร <งกอนท(จะนากลบมาใชงานใหม หรอเลกใชงาน
204 Information Digital Filing Data ถกเขาถง และแกไข เปล(ยนแปลง โดยผไมมสทธ Sใชงาน
ไมมการถอดสทธ S เม(อมการเปล(ยนแปลงหนาท(รบผดชอบ
4 4 2 3 ต(า A 9.2.1, A 9.2.5, A 9.2.6
ทาการทบทวนสทธ Sของผใชงานในระบบตามระยะเวลาท(กาหนด และลบหรอถอดถอนสทธ Sทนทท(มการลาออก หรอเปล(ยนหนาท(รบผดชอบ
205 Information Digital Filing Data ขอมลร (วไหล จากการนาขอมลจรงไปใชในการทดสอบ
ดแลระบบขาดความตระหนกในการใชขอมลสาหรบการทดสอบ
4 2 2 2 ต(า A 14.3.1 ผดแลระบบจะตองคดเลอกขอมลจรงเทาท(จาเปนเทาน <น เพ(อนาไปทดสอบระบบ และตองขออนมตจากผบงคบบญชาทกคร <ง
71
ภยคกคาม (Threat)
F O R C
ผลการทบดานตางๆ ระดบเส�ยง มาตรการ
ควบคม
แผนการจดการความเส�ยงปจจบนลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability)
206 Information ERP Data ขอมลสญหาย ไมมระบบสารองขอมลท(ด 5 5 2 1 สง A 12.3.1 จดทาแผนสารองขอมล และมการจดเกบส(อบนทกในlสถานท(ท( พรอมท <งมการตรวจสอบอยเสมอ
207 Information ERP Data ขอมลร (วไหล จากการนาส(อบนทกขอมลกลบมาใชงานใหม
ขาดกระบวนการทาลายขอมลในส(อบนทกขอมลกอนนากลบมาใชงานใหม หรอเลกใชงาน
5 3 2 4 ปานกลาง A 8.3.2 จดทาแผนการทาลายขอมลในส(อบนทกขอมลทกคร <งกอนท(จะนากลบมาใชงานใหม หรอเลกใชงาน
208 Information ERP Data ถกเขาถง และแกไข เปล(ยนแปลง โดยผไมมสทธ Sใชงาน
ไมมการถอดสทธ S เม(อมการเปล(ยนแปลงหนาท(รบผดชอบ
5 4 2 4 ปานกลาง A 9.2.1, A 9.2.5, A 9.2.6
ทาการทบทวนสทธ Sของผใชงานในระบบตามระยะเวลาท(กาหนด และลบหรอถอดถอนสทธ Sทนทท(มการลาออก หรอเปล(ยนหนาท(รบผดชอบ
209 Information ERP Data ขอมลร (วไหล จากการนาขอมลจรงไปใชในการทดสอบ
ดแลระบบขาดความตระหนกในการใชขอมลสาหรบการทดสอบ
5 2 2 4 ปานกลาง A 14.3.1 ผดแลระบบจะตองคดเลอกขอมลจรงเทาท(จาเปนเทาน <น เพ(อนาไปทดสอบระบบ และตองขออนมตจาก
210 Information Log Data ขอมลสญหาย ไมมระบบสารองขอมล 1 1 1 5 ปานกลาง A 12.3.1 จดทาแผนสารองขอมล และมการจดเกบส(อบนทกในlสถานท(ท( พรอมท <งมการ
211 Information Log Data ถกเขาถง และแกไข เปล(ยนแปลง โดยผไมมสทธ Sใชงาน
ไมมการถอดสทธ S เม(อมการเปล(ยนแปลงหนาท(รบผดชอบ
1 1 1 5 ปานกลาง A 9.2.1, A 9.2.5, A 9.2.6
ทาการทบทวนสทธ Sของผใชงานในระบบตามระยะเวลาท(กาหนด และลบหรอถอดถอนสทธ Sทนทท(มการลาออก หรอเปล(ยน212 Information Log Data เวลาขอมล Log ไมถกตองชดเจน เวลาท(บนทก คาไมตรงกบแหลง
อางองท(ไดมาตรฐานสากล1 1 1 5 สง A 12.4.4 ตดต <ง NTP Server และจดทาแผนการ
ตรวจสอบ พรอมท <งเฝาระวงความถกตองของเวลาใหตรงกบแหลงอางองท(ไดมาตราฐาน
72
4.1.4 ผลการประเมนความเส�ยงทรพยสนประเภทผใหบรการ
ภยคกคาม (Threat)
F O R C
213 Service Telecommunication Service Providor
การบรการหยดชะงก เน%องจากสญญาเชาใชหมดอาย หรอผดขอตกลงในสญญาบรการ
ไมมกระบวนการตรวจสอบอายสญญา และ ดาเนนการตอสญญากอนสญญาหมดอาย
1 5 1 4 ปานกลาง A 15.1.1,A 15.1.3
จดทาแผนการตรวจสอบอายสญญาบรการอยางนอยปละคร ?ง และดาเนนการตออายสญญากอนสญญาหมดอาย
214 Service Telecommunication Service Providor
ความไมรบผดชอบ หรอไมปฏบตตามขอตกลงของผใหบรการ ไมวาจะเปนดานคณภาพ หรอการตดตามงาน
ไมมการตรวจสอบผลการดาเนนการตามสญญา (Contract)
4 5 1 4 ปานกลาง A 15.2.1 จดทาแผนการตดตาม ทบทวนและตรวจประเมนการใหบรการทกๆ 3 เดอน
215 Service Telecommunication Service Providor
ถกเปดเผยขอมล หรอขอมลร %วไหล ไมมการจดทาสญญาไมเปดเผยขอมล 5 3 1 4 ปานกลาง A 15.1.2 มการจดทาสญญาไมเปดเผยขอมลกบผใหบรการภายนอก
216 Service Network Service Providor
ความไมรบผดชอบ หรอไมปฏบตตามขอตกลงของผใหบรการ ไมวาจะเปนดานคณภาพ หรอการตดตามงาน
ไมมการตรวจสอบผลการดาเนนการตามสญญา (Contract)
4 5 1 4 ปานกลาง A 15.2.1 จดทาแผนการตดตาม ทบทวนและตรวจประเมนการใหบรการทกๆ 3 เดอน
217 Service Network Service Providor
ถกเปดเผยขอมล หรอขอมลร %วไหล ไมมการจดทาสญญาไมเปดเผยขอมล 5 3 1 4 ปานกลาง A 15.1.2 มการจดทาสญญาไมเปดเผยขอมลกบผใหบรการภายนอก
218 Service Application Service ความไมรบผดชอบ หรอไมปฏบตตามขอตกลงของผใหบรการ ไมวาจะเปนดานคณภาพ หรอการตดตามงาน
ไมมการตรวจสอบผลการดาเนนการตามสญญา (Contract)
4 5 1 4 ปานกลาง A 15.2.1 จดทาแผนการตดตาม ทบทวนและตรวจประเมนการใหบรการทกๆ 3 เดอน
219 Service Application Service ถกเปดเผยขอมล หรอขอมลร %วไหล ไมมการจดทาสญญาไมเปดเผยขอมล 5 3 1 4 ปานกลาง A 15.1.2 มการจดทาสญญาไมเปดเผยขอมลกบผใหบรการภายนอก
ระดบเส�ยง มาตรการ
ควบคม
แผนการจดการความเส�ยงปจจบน
ตารางท� 4.5 ตารางประเมนความเส%ยงทรพยสนประเภทผใหบรการลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability) ผลการทบดานตางๆ
73
4.1.5 ผลการประเมนความเส�ยงทรพยสนประเภทบคคลากร
ภยคกคาม (Threat)
F O R C
220 People Top Executive ใชงานระบบสารสนเทศผดพลาด ขาดความเขาใจและความตระหนกในการใชงาน
1 1 1 3 ปานกลาง A 7.2.1 อบรมสรางความรความเขาใจและความตระหนกในการใชงานสารสนเทศท6มความม 6นคงปลอดภย
221 People Top Executive ละเมดนโยบายความม 6นคงสารสนเทศ เน6องจากละเลย หรอโดยจงใจ
ความรความเขาใจในนโยบายความม 6นคงสารสนเทศ
1 1 1 3 ปานกลาง A 5.1.1, A 7.2.2
จดนโยบายความม 6นคงสารสนเทศเปนลายลกษณอกษร ซ6งวาดวยระเบยบปฏบต ขอบงคบ พรอมท Eงบทลงโทษ ซ6งอนมตโดยผบรหารท6มอานาจ และเผยแพร ส6อสารกบผเก6ยวของ
222 People Manager ใชงานระบบสารสนเทศผดพลาด ขาดความเขาใจและความตระหนกในการใชงาน
1 1 1 3 ปานกลาง A 7.2.1 อบรมสรางความรความเขาใจและความตระหนกในการใชงานสารสนเทศท6มความม 6นคงปลอดภย
223 People Manager ละเมดนโยบายความม 6นคงสารสนเทศ เน6องจากละเลย หรอโดยจงใจ
ความรความเขาใจในนโยบายความม 6นคงสารสนเทศ
1 1 1 3 ปานกลาง A 5.1.1, A 7.2.2
จดนโยบายความม 6นคงสารสนเทศเปนลายลกษณอกษร ซ6งวาดวยระเบยบปฏบต ขอบงคบ พรอมท Eงบทลงโทษ ซ6งอนมตโดยผบรหารท6มอานาจ และเผยแพร ส6อสารกบผเก6ยวของ
ระดบเส�ยง มาตรการ
ควบคม
แผนการจดการความเส�ยงปจจบน
ตารางท� 4.6 ตารางประเมนความเส6ยงทรพยสนประเภทบคคลากรลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability) ผลการทบดานตางๆ
74
ภยคกคาม (Threat)
F O R C
ระดบเส�ยง มาตรการ
ควบคม
แผนการจดการความเส�ยงปจจบนลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability) ผลการทบดานตางๆ
224 People Developer ใชงานระบบสารสนเทศผดพลาด ขาดความเขาใจและความตระหนกในการใชงาน
1 1 1 3 ปานกลาง A 7.2.1 อบรมสรางความรความเขาใจและความตระหนกในการใชงานสารสนเทศท6มความม 6นคงปลอดภย
225 People Developer ละเมดนโยบายความม 6นคงสารสนเทศ เน6องจากละเลย หรอโดยจงใจ
ความรความเขาใจในนโยบายความม 6นคงสารสนเทศ
1 1 1 3 ปานกลาง A 5.1.1, A 7.2.2
จดนโยบายความม 6นคงสารสนเทศเปนลายลกษณอกษร ซ6งวาดวยระเบยบปฏบต ขอบงคบ พรอมท Eงบทลงโทษ ซ6งอนมตโดยผบรหารท6มอานาจ และเผยแพร ส6อสารกบผเก6ยวของ
226 People System Administrator ใชงานระบบสารสนเทศผดพลาด ขาดความเขาใจและความตระหนกในการใชงาน
1 1 1 3 ปานกลาง A 7.2.1 อบรมสรางความรความเขาใจและความตระหนกในการใชงานสารสนเทศท6มความม 6นคงปลอดภย
227 People System Administrator ละเมดนโยบายความม 6นคงสารสนเทศ เน6องจากละเลย หรอโดยจงใจ
ความรความเขาใจในนโยบายความม 6นคงสารสนเทศ
1 1 1 3 ปานกลาง A 5.1.1, A 7.2.2
จดนโยบายความม 6นคงสารสนเทศเปนลายลกษณอกษร ซ6งวาดวยระเบยบปฏบต ขอบงคบ พรอมท Eงบทลงโทษ ซ6งอนมตโดยผบรหารท6มอานาจ และเผยแพร ส6อสารกบผเก6ยวของ
228 People System Administrator ผดแลระบบปฏบตเกนขอบเขต หรอละเลยหนาท6 โดยไมไดรบอนญาต หรอไมไดเจตนา
ไมมการกาหนดหนาท6 ความรบผดชอบ ใหชดเจน
1 1 1 2 ต6า A 6.1.1, A 6.2.2
มการกาหนดหนาท6 ความรบผดชอบ ใหชดเจน
75
ภยคกคาม (Threat)
F O R C
ระดบเส�ยง มาตรการ
ควบคม
แผนการจดการความเส�ยงปจจบนลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability) ผลการทบดานตางๆ
229 People User ใชงานระบบสารสนเทศผดพลาด ขาดความเขาใจและความตระหนกในการใชงาน
1 1 1 3 ปานกลาง A 7.2.1 อบรมสรางความรความเขาใจและความตระหนกในการใชงานสารสนเทศท6มความม 6นคงปลอดภย
230 People User ละเมดนโยบายความม 6นคงสารสนเทศ เน6องจากละเลย หรอโดยจงใจ
ความรความเขาใจในนโยบายความม 6นคงสารสนเทศ
1 1 1 3 ปานกลาง A 5.1.1, A 7.2.2
จดนโยบายความม 6นคงสารสนเทศเปนลายลกษณอกษร ซ6งวาดวยระเบยบปฏบต ขอบงคบ พรอมท Eงบทลงโทษ ซ6งอนมตโดยผบรหารท6มอานาจ และเผยแพร ส6อสารกบผเก6ยวของ
76
4.2 สรปจานวนความเส�ยงกอนการดาเนนโครงงาน
สรปจานวนความเส�ยงกอนการดาเนนโครงการตามตารางท� 4.7
ระดบความเส�ยง สง ปานกลาง ต�า ต�ามาก รวม
จานวนความเส�ยง 26 120 54 30 230
ตารางท� 4.7 ตารางสรปจานวนความเส�ยงกอนการดาเนนโครงงาน
รปท� 4.1 แผนภมแสดงสรปจานวนความเส�ยงกอนการดาเนนโครงงาน
0
20
40
60
80
100
120
สง ปานกลาง ต�า ต�ามาก
จานวนความเส�ยง
77
4.3 การบรหารจดการความเส�ยง
หลงจากทมการประเมนและวเคราะหความเสยงในคร �งแรกน �น ผจดทาไดนารายการทมความเสยงสงและปานกลางมาประมวลและรวบรวม เพอระบแผนบรหารจดการความเสยงน �น พรอมสถานะ การดาเนนการทเกยวของ ดงตารางท 4.8 ซงจะมรายละเอยดเพมเตมไดแก• Control หมายถง ตวควบคมตาม ISO 27001:2013 Annex A• RTP (Risk Treatment Process) หมายถง แผนการจดการความเสยง
ตารางท� 4.8 ตารางสรปผลการดาเนนการในการบรหารจดการความเสยง
Sq. Threat
1 HW Lease Line Router No.1
อปกรณถกแกไขคาอปกรณโดยไมไดรบอนญาต
โปรโตคอลทใชในการเขาถงระบบไมปลอดภย
สง A 9.4.2 กาหนดใหใชโปรโตคอลทมความปลอดภยในการเขาถงขอมล
Reduction แลวเสรจ 100% IT, Network Service Provider
2 HW Lease Line Router No.1
อปกรณถกสวมสทธในการเขาใชงาน
ผดแลระบบไมมการ Logout หลงจากการเขาใชงาน
สง A 11.2.9 กาหนดใหระบบตดการใชงาน เมอผใชงานไมไดใชงานระบบมาระยะเวลาหนง
Reduction แลวเสรจ 100% IT, Network Service Provider
3 HW Lease Line Router No.2
อปกรณถกแกไขคาอปกรณโดยไมไดรบอนญาต
โปรโตคอลทใชในการเขาถงระบบไมปลอดภย
สง A 9.4.2 กาหนดใหใชโปรโตคอลทมความปลอดภยในการเขาถงขอมล
Reduction แลวเสรจ 100% IT, Network Service Provider
4 HW Lease Line Router No.3
อปกรณไมสามารถใหบรการไดอยางตอเนอง
สญญาณลมเหลว สง A 13.1.2 จดทาสญญาการใหบรการ (SLA) ทมความยนยนมาตรฐานการบรการทสอดคลองกบขอกาหนดความม นคงสารสนเทศขององคกร
Reduction แลวเสรจ 100% IT
Asset Vulnerability RTP Status Progress ResponibleType Risk
Response
Risk
Level
Control RTP
78
Sq. ThreatAsset Vulnerability RTP Status Progress ResponibleType Risk Response
Risk Level
Control RTP
5 HW Core Switch No.1 อปกรณถกแกไขคาอปกรณโดยไมไดรบอนญาต
โปรโตคอลทใชในการเขาถงระบบไมปลอดภย
สง A 9.4.2 กาหนดใหใชโปรโตคอลทมความปลอดภยในการเขาถงขอมล
Reduction แลวเสรจ 100% IT
6 HW Core Switch No.2 อปกรณถกแกไขคาอปกรณโดยไมไดรบอนญาต
โปรโตคอลทใชในการเขาถงระบบไมปลอดภย
สง A 9.4.2 กาหนดใหใชโปรโตคอลทมความปลอดภยในการเขาถงขอมล
Reduction แลวเสรจ 100% IT, Network Service Provider
7 HW Core Switch No.2 อปกรณถกสวมสทธในการเขาใชงาน
ผดแลระบบไมมการ Logout หลงจากการเขาใชงาน
สง A 11.2.9 กาหนดใหระบบตดการใชงาน เมอผใชงานไมไดใชงานระบบมาระยะเวลาหนง
Reduction แลวเสรจ 100% IT, Network Service Provider
8 HW Distribute Switch Factory A
อปกรณถกแกไขคาอปกรณโดยไมไดรบอนญาต
โปรโตคอลทใชในการเขาถงระบบไมปลอดภย
สง A 9.4.2 กาหนดใหใชโปรโตคอลทมความปลอดภยในการเขาถงขอมล
Reduction แลวเสรจ 100% IT, Network Service Provider
9 HW Distribute Switch Factory A
อปกรณถกสวมสทธในการเขาใชงาน
ผดแลระบบไมมการ Logout หลงจากการเขาใชงาน
สง A 11.2.9 กาหนดใหระบบตดการใชงาน เมอผใชงานไมไดใชงานระบบมาระยะเวลาหนง
Reduction แลวเสรจ 100% IT, Network Service Provider10 HW Distribute Switch
Factory Bอปกรณถกแกไขคาอปกรณโดยไมไดรบอนญาต
โปรโตคอลทใชในการเขาถงระบบไมปลอดภย
สง A 9.4.2 กาหนดใหใชโปรโตคอลทมความปลอดภยในการเขาถงขอมล
Reduction แลวเสรจ 100% IT, Network Service Provider11 HW Distribute Switch
Factory Bอปกรณถกสวมสทธในการเขาใชงาน
ผดแลระบบไมมการ Logout หลงจากการเขาใชงาน
สง A 11.2.9 กาหนดใหระบบตดการใชงาน เมอผใชงานไมไดใชงานระบบมาระยะเวลาหนง
Reduction แลวเสรจ 100% IT, Network Service Provider12 HW Distribute Switch
Factory Cอปกรณถกแกไขคาอปกรณโดยไมไดรบอนญาต
โปรโตคอลทใชในการเขาถงระบบไมปลอดภย
สง A 9.4.2 กาหนดใหใชโปรโตคอลทมความปลอดภยในการเขาถงขอมล
Reduction แลวเสรจ 100% IT, Network Service Provider
13 HW Distribute Switch Factory C
อปกรณถกสวมสทธในการเขาใชงาน
ผดแลระบบไมมการ Logout หลงจากการเขาใชงาน
สง A 11.2.9 กาหนดใหระบบตดการใชงาน เมอผใชงานไมไดใชงานระบบมาระยะเวลาหนง
Reduction แลวเสรจ 100% IT, Network Service Provider
79
Sq. ThreatAsset Vulnerability RTP Status Progress ResponibleType Risk Response
Risk Level
Control RTP
14 HW UPS for Server Rack
อปกรณไมสามารถใหบรการไดอยางตอเนอง
การลมเหลวแหลงจายกระแสไฟฟา
สง จดหาแหลงจายไฟฟา ใหมอยางนอย 2 แหลง
Reduction กาลงดาเนนการ
5% ฝายบรหารและ IT
15 SW Windows Server 2003
ถกโจมตจนไมสามารถใหบรการไดไมมกระบวนการในการตดตามปรบปรง Security Patch ใหทนสมย
สง A 12.6.1 กาหนดนโยบายอพเดทแพทชและเฝาระวงการอพเดทแพทชใหลาสดเสมอ และทาการ Hardening ตามขอแนะนาและมาตรฐาน ของไมโครซอฟท
Reduction แลวเสรจ 100% IT
16 SW Windows Server 2008
ระบบไมสามารถใหบรการหรอทางานผดพลาด หลงจากการปรบปรงเปลยนแปลง
ไมมระบบสาหรบทดสอบแยกกบระบบจรง
สง A 12.1.2, A 12.1.4
บงคบใชมาตรการบรหารจดการความเปลยนแปลง (Change Management) จดใหมระบบสาหรบทดสอบแยกกบระบบจรง
Reduction แลวเสรจ 100% IT
17 SW Windows Server 2012
ระบบไมสามารถใหบรการหรอทางานผดพลาด หลงจากการปรบปรงเปลยนแปลง
ไมมระบบสาหรบทดสอบแยกกบระบบจรง
สง A 12.1.2, A 12.1.4
บงคบใชมาตรการบรหารจดการความเปลยนแปลง (Change Management) จดใหมระบบสาหรบทดสอบแยกกบระบบจรง
Reduction แลวเสรจ 100% IT
18 SW Mail Server ระบบถกแฮก มการเขาถงโดยพอรตทไมปลอดภย
สง A 9.4.2 จดทาแผนปรบปรงการเขาถงระบบดวยพอรตทมความปลอดภย
Reduction กาลงดาเนนการ
10% IT
19 SW WorkFlow Server ระบบถกแฮก มการเขาถงโดยพอรตทไมปลอดภย
สง A 9.4.2 จดทาแผนปรบปรงการเขาถงระบบดวยพอรตทมความปลอดภย
Reduction กาลงดาเนนการ
10% IT
20 SW Manufacturing Knowlegde
ระบบถกแฮก มการเขาถงโดยพอรตทไมปลอดภย
สง A 9.4.2 กาหนดใหมการเขาถงระบบดวยพอรตทมความปลอดภย
Avoid กาลงดาเนนการ
70% IT
21 INF E-mail Data ขอมล mailbox สญหาย ไมมระบบสารองขอมลทด สง A 12.3.1 จดทาแผนสารองขอมล และมการจดเกบสอบนทกในlสถานทท พรอมท �งมการตรวจสอบอยเสมอ
Reduction แลวเสรจ 100% IT
80
Sq. ThreatAsset Vulnerability RTP Status Progress ResponibleType Risk Response
Risk Level
Control RTP
22 INF Workflow Data ขอมลสญหาย ไมมระบบสารองขอมลทด สง A 12.3.1 จดทาแผนสารองขอมล และมการจดเกบสอบนทกในlสถานทท พรอมท �งมการตรวจสอบอยเสมอ
Reduction แลวเสรจ 100% IT
23 INF Workflow Data ขอมลร วไหล จากการนาสอบนทกขอมลกลบมาใชงานใหม
ขาดกระบวนการทาลายขอมลในสอบนทกขอมลกอนนากลบมาใชงานใหม หรอเลกใชงาน
สง A 8.3.2 จดทาแผนการทาลายขอมลในสอบนทกขอมลทกคร �งกอนทจะนากลบมาใชงานใหม หรอเลกใชงาน
24 INF Digital Filing Data
ขอมลสญหาย ไมมระบบสารองขอมลทด สง A 12.3.1 จดทาแผนสารองขอมล และมการจดเกบสอบนทกในlสถานทท พรอมท �งมการตรวจสอบอยเสมอ
Reduction แลวเสรจ 100% IT
25 INF ERP Data ขอมลสญหาย ไมมระบบสารองขอมลทด สง A 12.3.1 จดทาแผนสารองขอมล และมการจดเกบสอบนทกในlสถานทท พรอมท �งมการตรวจสอบอยเสมอ
Reduction แลวเสรจ 100% IT
26 INF Log Data เวลาขอมล Log ไมถกตองชดเจน
เวลาทบนทก คาไมตรงกบแหลงอางองทไดมาตรฐานสากล
สง A 12.4.4 ตดต �ง NTP Server และจดทาแผนการตรวจสอบ พรอมท �งเฝาระวงความถกตองของเวลาใหตรงกบแหลงอางองทไดมาตราฐาน
Reduction แลวเสรจ 100% IT
27 HW Mail Server อปกรณชารดเสยหาย ไมมกระบวนการการบารงรกษา และเฝาระวงตดตาม
ปานกลาง A 11.2.4 จดทาแผนการซอมบารง หรอทาสญญาการซอมบารงกบผจาหนายอปกรณ พรอมม SLA
Reduction แลวเสรจ 100% IT
28 HW Mail Server อปกรณไมสามารถใหบรการไดอยางเนอง
การลมเหลวของกระแสไฟฟา ปานกลาง A 11.2.2 มการตดต �งเครองสารองไฟ ทสามารถสารองไฟใหได 4 ช วโมง
Reduction แลวเสรจ 100% IT
81
Sq. ThreatAsset Vulnerability RTP Status Progress ResponibleType Risk Response
Risk Level
Control RTP
29 HW Mail Server ทรพยากรระบบไมเพยงพอตอการใชงาน
ไมมกระบวนการเฝาระวงและตรวจสอบ ทรพยากรระบบของระบบ
ปานกลาง A 12.1.3 มกระบวนการตรวจสอบและประเมนระดบการทางานของ CPU, Memory, Storage และ Network Utilization ท �งในปจจบนและประเมนอตราการใชงานในอนาคต
Reduction แลวเสรจ 100% IT
30 HW ERP Server Production
อปกรณไมสามารถใหบรการไดอยางเนอง
การลมเหลวของกระแสไฟฟา ปานกลาง A 11.2.2 มการตดต �งเครองสารองไฟ ทสามารถสารองไฟใหได 4 ช วโมง
Reduction แลวเสรจ 100% IT
31 HW WorkFlow & Digital Filing Server
อปกรณชารดเสยหาย ไมมกระบวนการการบารงรกษา และเฝาระวงตดตาม
ปานกลาง A 11.2.4 จดทาแผนการซอมบารง หรอทาสญญาการซอมบารงกบผจาหนายอปกรณ พรอมม SLA
Reduction แลวเสรจ 100% IT
32 HW WorkFlow & Digital Filing Server
อปกรณไมสามารถใหบรการไดอยางเนอง
การลมเหลวของกระแสไฟฟา ปานกลาง A 11.2.2 มการตดต �งเครองสารองไฟ ทสามารถสารองไฟใหได 4 ช วโมง
Reduction แลวเสรจ 100% IT
33 HW WorkFlow & Digital Filing Server
ประสทธภาพการทางานของระบบลดลง
ทรพยากรระบบไมเพยงพอตอการใชงาน
ปานกลาง A 12.1.3 มกระบวนการตรวจสอบและประเมนระดบการทางานของ CPU, Memory, Storage และ Network Utilization ท �งในปจจบนและประเมนอตราการใชงานในอนาคต
Reduction แลวเสรจ 100% IT
34 HW Backup Server อปกรณชารดเสยหาย ไมมกระบวนการการบารงรกษา และเฝาระวงตดตาม
ปานกลาง A 11.2.4 จดทาแผนการซอมบารง หรอทาสญญาการซอมบารงกบผจาหนายอปกรณ พรอมม SLA
Avoid แลวเสรจ 100% IT
35 HW Backup Server อปกรณไมสามารถใหบรการไดอยางเนอง
การลมเหลวของกระแสไฟฟา ปานกลาง A 11.2.2 มการตดต �งเครองสารองไฟ ทสามารถสารองไฟใหได 4 ช วโมง
Reduction แลวเสรจ 100% IT
82
Sq. ThreatAsset Vulnerability RTP Status Progress ResponibleType Risk Response
Risk Level
Control RTP
36 HW PLM Server อปกรณชารดเสยหาย ไมมกระบวนการการบารงรกษา และเฝาระวงตดตาม
ปานกลาง A 11.2.4 จดทาแผนการซอมบารง หรอทาสญญาการซอมบารงกบผจาหนายอปกรณ พรอมม SLA
Reduction แลวเสรจ 100% IT
37 HW PLM Server อปกรณไมสามารถใหบรการไดอยางเนอง
การลมเหลวของกระแสไฟฟา ปานกลาง A 11.2.2 มการตดต �งเครองสารองไฟ ทสามารถสารองไฟใหได 4 ช วโมง
Reduction แลวเสรจ 100% IT
38 HW PLM Server ประสทธภาพการทางานของระบบลดลง
ทรพยากรระบบไมเพยงพอตอการใชงาน
ปานกลาง A 12.1.3 มกระบวนการตรวจสอบและประเมนระดบการทางานของ CPU, Memory, Storage และ Network Utilization ท �งในปจจบนและประเมนอตราการใชงานในอนาคต
Reduction แลวเสรจ 100% IT
39 HW CAD-CAM Server อปกรณชารดเสยหาย ไมมกระบวนการการบารงรกษา และเฝาระวงตดตาม
ปานกลาง A 11.2.4 จดทาแผนการซอมบารง หรอทาสญญาการซอมบารงกบผจาหนายอปกรณ พรอมม SLA
Reduction แลวเสรจ 100% IT
40 HW CAD-CAM Server อปกรณไมสามารถใหบรการไดอยางเนอง
การลมเหลวของกระแสไฟฟา ปานกลาง A 11.2.2 มการตดต �งเครองสารองไฟ Reduction แลวเสรจ 100% IT
41 HW CAD-CAM Server ประสทธภาพการทางานของระบบลดลง
ทรพยากรระบบไมเพยงพอตอการใชงาน
ปานกลาง A 12.1.3 มกระบวนการตรวจสอบและประเมนระดบการทางานของ CPU, Memory, Storage และ Network Utilization ท �งในปจจบนและประเมนอตราการใชงานในอนาคต
Reduction แลวเสรจ 100% IT
83
Sq. ThreatAsset Vulnerability RTP Status Progress ResponibleType Risk Response
Risk Level
Control RTP
42 HW File Sharing Server
อปกรณชารดเสยหาย ไมมกระบวนการการบารงรกษา และเฝาระวงตดตาม
ปานกลาง A 11.2.4 จดทาแผนการซอมบารง หรอทาสญญาการซอมบารงกบผจาหนายอปกรณ พรอมม SLA
Reduction แลวเสรจ 100% IT
43 HW File Sharing Server
อปกรณไมสามารถใหบรการไดอยางเนอง
การลมเหลวของกระแสไฟฟา ปานกลาง A 11.2.2 มการตดต �งเครองสารองไฟ ทสามารถสารองไฟใหได 4 ช วโมง
Reduction แลวเสรจ 100% IT
44 HW File Sharing Server
ประสทธภาพการทางานของระบบลดลง
ทรพยากรระบบไมเพยงพอตอการใชงาน
ปานกลาง A 12.1.3 มกระบวนการตรวจสอบและประเมนระดบการทางานของ CPU, Memory, Storage และ Network Utilization ท �งในปจจบนและประเมนอตราการใชงานในอนาคต
Reduction แลวเสรจ 100% IT
45 HW Internet Log Server
อปกรณชารดเสยหาย ไมมกระบวนการการบารงรกษา และเฝาระวงตดตาม
ปานกลาง A 11.2.4 จดทาแผนการซอมบารง หรอทาสญญาการซอมบารงกบผจาหนายอปกรณ พรอมม SLA
Reduction กาลงดาเนนการ
50% IT
46 HW Internet Log Server
อปกรณไมสามารถใหบรการไดอยางเนอง
การลมเหลวของกระแสไฟฟา ปานกลาง A 11.2.2 มการตดต �งเครองสารองไฟ Reduction แลวเสรจ 100% IT
47 HW Lease Line Router No.1
อปกรณไมสามารถใหบรการไดอยางตอเนอง
การลมเหลวของกระแสไฟฟา ปานกลาง A 11.2.2 มการตดต �งเครองสารองไฟ ทสามารถสารองไฟใหได 4 ช วโมง
Reduction แลวเสรจ 100% IT
84
Sq. ThreatAsset Vulnerability RTP Status Progress ResponibleType Risk Response
Risk Level
Control RTP
48 HW Lease Line Router No.2
ถกขโมย สญหายหรอถกทาลาย
ไมมการปองกน-ควบคมการเขาถงทางกายภาพ
ปานกลาง A 11.1.1, A 11.1.2, A 11.1.3, A 11.1.4,A 11.1.6, A 11.2.1
ตดต �งในหองเครองแมขาย ซงมการแยกออกจากพ�นทการทางานอยางชดเจน มกาแพงร �วรอบขอบชด มมาตรการควบคมการเขาออกหองเครองแมขาย ซงเขาออกไดเฉพาะผทไดรบอนญาต โดยมเจาหนาทรกษาความปลอดภย ประต 3 ช �น มการตดต �ง Access Control และกลองวงจรปดตรวจจบความเคลอนไหว พรอมท �งมการตรวจสอบอยเสมอ
Reduction แลวเสรจ 100% IT
49 HW Lease Line Router No.2
อปกรณไมสามารถใหบรการไดอยางตอเนอง
การลมเหลวของกระแสไฟฟา ปานกลาง A 11.2.2 มการตดต �งเครองสารองไฟ ทสามารถสารองไฟใหได 4 ช วโมง
Reduction แลวเสรจ 100% IT
50 HW Lease Line Router No.2
อปกรณถกสวมสทธในการเขาใชงาน
ผดแลระบบไมมการ Logout หลงจากการเขาใชงาน
ปานกลาง A 11.2.9 กาหนดใหระบบตดการใชงาน เมอผใชงานไมไดใชงานระบบมาระยะเวลาหนง
Reduction แลวเสรจ 100% IT
51 HW Lease Line Router No.3
อปกรณชารดเสยหาย ไมมกระบวนการการบารงรกษา และเฝาระวงตดตาม
ปานกลาง A 11.2.4 จดทาแผนการซอมบารง หรอทาสญญาการซอมบารงกบผจาหนายอปกรณ พรอมม SLA
Reduction แลวเสรจ 100% IT
52 HW Lease Line Router No.3
อปกรณไมสามารถใหบรการไดอยางตอเนอง
การลมเหลวของกระแสไฟฟา ปานกลาง A 11.2.2 มการตดต �งเครองสารองไฟ ทสามารถสารองไฟใหได 4 ช วโมง
Reduction แลวเสรจ 200% IT
85
Sq. ThreatAsset Vulnerability RTP Status Progress ResponibleType Risk Response
Risk Level
Control RTP
53 HW Lease Line Router No.3
ทรพยากรระบบไมเพยงพอตอการใชงาน
เนองจากขาดการตรวจสอบทรพยากรระบบ
ปานกลาง A 12.1.3 มกระบวนการตรวจสอบและประเมนระดบการทางานของ CPU, Memory, Storage และ Network Utilization ท �งในปจจบนและประเมนอตราการใชงานในอนาคต
Reduction กาลงดาเนนการ
90% IT
54 HW Core Switch No.1 อปกรณชารดเสยหาย ไมมกระบวนการการบารงรกษา และเฝาระวงตดตาม
ปานกลาง A 11.2.4 จดทาแผนการซอมบารง หรอทาสญญาการซอมบารงกบผจาหนายอปกรณ พรอมม SLA
Reduction แลวเสรจ 100% IT
55 HW Core Switch No.1 อปกรณไมสามารถใหบรการไดอยางตอเนอง
การลมเหลวของกระแสไฟฟา ปานกลาง A 11.2.2 มการตดต �งเครองสารองไฟ ทสามารถสารองไฟใหได 4 ช วโมง
Reduction แลวเสรจ 100% IT
56 HW Core Switch No.1 อปกรณถกสวมสทธในการเขาใชงาน
ผดแลระบบไมมการ Logout หลงจากการเขาใชงาน
ปานกลาง A 11.2.9 กาหนดใหระบบตดการใชงาน เมอผใชงานไมไดใชงานระบบมาระยะเวลาหนง
Reduction แลวเสรจ 100% IT
57 HW Core Switch No.2 อปกรณชารดเสยหาย ไมมกระบวนการการบารงรกษา และเฝาระวงตดตาม
ปานกลาง A 11.2.4 จดทาแผนการซอมบารง หรอทาสญญาการซอมบารงกบผจาหนายอปกรณ พรอมม SLA
Reduction แลวเสรจ 100% IT
58 HW Core Switch No.2 อปกรณไมสามารถใหบรการไดอยางตอเนอง
การลมเหลวของกระแสไฟฟา ปานกลาง A 11.2.2 มการตดต �งเครองสารองไฟ ทสามารถสารองไฟใหได 4 ช วโมง
Reduction แลวเสรจ 100% IT
59 HW Distribute Switch Factory A
อปกรณชารดเสยหาย ไมมกระบวนการการบารงรกษา และเฝาระวงตดตาม
ปานกลาง A 11.2.4 จดทาแผนการซอมบารง หรอทาสญญาการซอมบารงกบผจาหนายอปกรณ พรอมม SLA
Reduction แลวเสรจ 100% IT
86
Sq. ThreatAsset Vulnerability RTP Status Progress ResponibleType Risk Response
Risk Level
Control RTP
60 HW Distribute Switch Factory A
อปกรณไมสามารถใหบรการไดอยางตอเนอง
การลมเหลวของกระแสไฟฟา ปานกลาง A 11.2.2 มการตดต �งเครองสารองไฟ Reduction แลวเสรจ 100% IT
61 HW Distribute Switch Factory B
อปกรณชารดเสยหาย ไมมกระบวนการการบารงรกษา และเฝาระวงตดตาม
ปานกลาง A 11.2.4 จดทาแผนการซอมบารง หรอทาสญญาการซอมบารงกบผจาหนายอปกรณ พรอมม SLA
Reduction แลวเสรจ 100% IT
62 HW Distribute Switch Factory B
อปกรณไมสามารถใหบรการไดอยางตอเนอง
การลมเหลวของกระแสไฟฟา ปานกลาง A 11.2.2 มการตดต �งเครองสารองไฟ Reduction แลวเสรจ 100% IT
63 HW Distribute Switch Factory C
อปกรณชารดเสยหาย ไมมกระบวนการการบารงรกษา และเฝาระวงตดตาม
ปานกลาง A 11.2.4 จดทาแผนการซอมบารง หรอทาสญญาการซอมบารงกบผจาหนายอปกรณ พรอมม SLA
Reduction แลวเสรจ 100% IT
64 HW Distribute Switch Factory C
อปกรณไมสามารถใหบรการไดอยางตอเนอง
การลมเหลวของกระแสไฟฟา ปานกลาง A 11.2.2 มการตดต �งเครองสารองไฟ Reduction แลวเสรจ 100% IT
65 HW Air Conditioner No.1
อปกรณไมสามารถใหบรการไดอยางตอเนอง
การลมเหลวของกระแสไฟฟา ปานกลาง A 11.2.2 รองขอการตดต �งแหลงจายไฟฟาจาก 2 แหลงจาย จากฝายสานกงาน
Reduction กาลงดาเนนการ
5% ฝายบรหารและ IT
66 HW Air Conditioner No.2
อปกรณไมสามารถใหบรการไดอยางตอเนอง
การลมเหลวของกระแสไฟฟา ปานกลาง A 11.2.2 รองขอการตดต �งแหลงจายไฟฟาจาก 2 แหลงจาย จากฝายสานกงาน
Reduction กาลงดาเนนการ
5% ฝายบรหารและ IT
67 HW UPS for Server Rack
อปกรณชารดเสยหาย ไมมกระบวนการการบารงรกษา และเฝาระวงตดตาม
ปานกลาง A 11.2.4 จดทาแผนการซอมบารง หรอทาสญญาการซอมบารงกบผจาหนายอปกรณ
Reduction แลวเสรจ 100% IT
87
Sq. ThreatAsset Vulnerability RTP Status Progress ResponibleType Risk Response
Risk Level
Control RTP
68 SW Windows Server 2003
ถกเขาถงโดยผไมไดรบอนญาต ขาดนโยบายการต �งรหสผาน (password) ทเหมาะสม
ปานกลาง A 9.4.3 กาหนดนโยบายบรหารจดการบญชรายชอผใชงาน กาหนดนโยบายการต �งรหสผาน และบงคบใชรหสผานทยากตอการคาดเดายาวอยางนอย 8 ตวอกษร ผสมท �งอกษรพมพเลก-ใหญ, สญลกษณ และตวเลขอยางนอย 3 อยาง และเปลยน
Avoid แลวเสรจ 100% IT
69 SW Windows Server 2003
ถกเขาถงโดยผไมมสทธ xใชงาน ไมมการถอดสทธ x เมอมการเปลยนแปลงหนาทรบผดชอบ
ปานกลาง A 9.2.1, A 9.2.5, A 9.2.6
ทาการทบทวนสทธ xของผใชงานในระบบตามระยะเวลาทกาหนด และลบหรอถอดถอนสทธ xทนททมการลาออก หรอเปลยนหนาทรบผดชอบ
Avoid แลวเสรจ 100% IT
70 SW Windows Server 2003
คนไมมสทธ xเขาไปแกไขระบบ ผดแลระบบไมทาการ Logout หลงการใชงาน
ปานกลาง A 9.4.2 กาหนดนโยบายการเขา และออกจากระบบ โดยใหมการ Logout อตโนมต
Avoid แลวเสรจ 100% IT
71 SW Windows Server 2003
ไวรสคอมพวเตอรแพรกระจาย Scan Engine และ Virus Definition ของซอฟทแวร Anti-Virus ไมอพเดท
ปานกลาง A 12.2 ตดต �งซอฟทแวรปองกนไวรส Update definition ใหลาสดเสมอ มกระบวนการตรวจสอบ รวมท �งมมาตรการกคนหากเกดการแพรกระจายจากโปรแกรมไมประสงคด และสรางความตระหนกกบผทเกยวของ
Avoid แลวเสรจ 100% IT
72 SW Windows Server 2003
การแกไขคาตดต �ง (Configuration) ผดพลาด ทาใหระบบทางานผดพลาด
ไมมเอกสารคมอการใชงาน ปานกลาง A 12.1.1 ไมมเอกสารคมอการใชงาน เชน System Guide, Admin Guide, User Guide และ Maintenance Guide เปนตน
Avoid แลวเสรจ 100% IT
88
Sq. ThreatAsset Vulnerability RTP Status Progress ResponibleType Risk Response
Risk Level
Control RTP
73 SW Windows Server 2003
ระบบไมสามารถใหบรการหรอทางานผดพลาด หลงจากการปรบปรงเปลยนแปลง
ไมมระบบสาหรบทดสอบแยกกบระบบจรง
ปานกลาง A 12.1.2, A 12.1.4
บงคบใชมาตรการบรหารจดการความเปลยนแปลง (Change Management) จดใหมระบบสาหรบทดสอบแยกกบระบบจรง
Avoid แลวเสรจ 100% IT
74 SW Windows Server 2003
การละเมดลขสทธ xซอฟทแวร ไมมกระบวนการบรหารจดการซอฟตแวรลขสทธ x
ปานกลาง A 12.6.2 มการทบทวนการตดต �งซอฟทแวรตามสทธ xทไดรบ และปองกนการตดต �งซอฟทแวรโดยไมไดรบอนญาต การจดเกบหรอปองกนแผนซอฟทแวร รวมถงการสรางความตระหนกตอโทษของการกระทาความผด
Avoid แลวเสรจ 100% IT
75 SW Windows Server 2008
ถกเขาถงโดยผไมไดรบอนญาต ขาดนโยบายการต �งรหสผาน (password) ทเหมาะสม
ปานกลาง A 9.4.3 กาหนดนโยบายบรหารจดการบญชรายชอผใชงาน กาหนดนโยบายการต �งรหสผาน และบงคบใชรหสผานทยากตอการคาดเดายาวอยางนอย 8 ตวอกษร ผสมท �งอกษรพมพเลก-ใหญ, สญลกษณ และตวเลขอยางนอย 3 อยาง และเปลยนรหสผานทก 90 วน
Reduction แลวเสรจ 100% IT
76 SW Windows Server 2008
ถกเขาถงโดยผไมมสทธ xใชงาน ไมมการถอดสทธ x เมอมการเปลยนแปลงหนาทรบผดชอบ
ปานกลาง A 9.2.1, A 9.2.5, A 9.2.6
ทาการทบทวนสทธ xของผใชงานในระบบตามระยะเวลาทกาหนด และลบหรอถอดถอนสทธ xทนททมการลาออก หรอเปลยนหนาทรบผดชอบ
Reduction แลวเสรจ 100% IT
89
Sq. ThreatAsset Vulnerability RTP Status Progress ResponibleType Risk Response
Risk Level
Control RTP
77 SW Windows Server 2008
คนไมมสทธ xเขาไปแกไขระบบ ผดแลระบบไมทาการ Logout หลงการใชงาน
ปานกลาง A 9.4.2 กาหนดนโยบายการเขา และออกจากระบบ โดยใหมการ Logout อตโนมต
Reduction แลวเสรจ 100% IT
78 SW Windows Server 2008
ไวรสคอมพวเตอรแพรกระจาย Scan Engine และ Virus Definition ของซอฟทแวร Anti-Virus ไมอพเดท
ปานกลาง A 12.2 ตดต �งซอฟทแวรปองกนไวรส Update definition ใหลาสดเสมอ มกระบวนการตรวจสอบ รวมท �งมมาตรการกคนหากเกดการแพรกระจายจากโปรแกรมไมประสงคด และสรางความตระหนกกบผทเกยวของ
Reduction แลวเสรจ 100% IT
79 SW Windows Server 2008
ถกโจมตจนไมสามารถใหบรการไดไมมกระบวนการในการตดตามปรบปรง Security Patch ใหทนสมย
ปานกลาง A 12.6.1 กาหนดนโยบายอพเดทแพทชและเฝาระวงการอพเดทแพทชใหลาสดเสมอ และทาการ Hardening ตามขอแนะนาและมาตรฐาน ของไมโครซอฟท
Reduction แลวเสรจ 100% IT
80 SW Windows Server 2008
การแกไขคาตดต �ง (Configuration) ผดพลาด ทาใหระบบทางานผดพลาด
ไมมเอกสารคมอการใชงาน ปานกลาง A 12.1.1 ไมมเอกสารคมอการใชงาน เชน System Guide, Admin Guide, User Guide และ Maintenance Guide เปนตน
Reduction กาลงดาเนนการ
30% IT
81 SW Windows Server 2008
การละเมดลขสทธ xซอฟทแวร ไมมกระบวนการบรหารจดการซอฟตแวรลขสทธ x
ปานกลาง A 12.6.2 มการทบทวนการตดต �งซอฟทแวรตามสทธ xทไดรบ และปองกนการตดต �งซอฟทแวรโดยไมไดรบอนญาต การจดเกบหรอปองกนแผนซอฟทแวร รวมถงการสรางความตระหนกตอโทษของการกระทาความผด
Reduction แลวเสรจ 100% IT
90
Sq. ThreatAsset Vulnerability RTP Status Progress ResponibleType Risk Response
Risk Level
Control RTP
82 SW Windows Server 2012
ถกเขาถงโดยผไมไดรบอนญาต ขาดนโยบายการต �งรหสผาน (password) ทเหมาะสม
ปานกลาง A 9.4.3 กาหนดนโยบายบรหารจดการบญชรายชอผใชงาน กาหนดนโยบายการต �งรหสผาน และบงคบใชรหสผานทยากตอการคาดเดายาวอยางนอย 8 ตวอกษร ผสมท �งอกษรพมพเลก-ใหญ, สญลกษณ และตวเลขอยางนอย 3 อยาง และเปลยนรหสผานทก 90 วน
Reduction แลวเสรจ 100% IT
83 SW Windows Server 2012
ถกเขาถงโดยผไมมสทธ xใชงาน ไมมการถอดสทธ x เมอมการเปลยนแปลงหนาทรบผดชอบ
ปานกลาง A 9.2.1, A 9.2.5, A 9.2.6
ทาการทบทวนสทธ xของผใชงานในระบบตามระยะเวลาทกาหนด และลบหรอถอดถอนสทธ xทนททมการลาออก หรอเปลยนหนาทรบผดชอบ
Reduction แลวเสรจ 100% IT
84 SW Windows Server 2012
คนไมมสทธ xเขาไปแกไขระบบ ผดแลระบบไมทาการ Logout หลงการใชงาน
ปานกลาง A 9.4.2 กาหนดนโยบายการเขา และออกจากระบบ โดยใหมการ Logout อตโนมต
Reduction แลวเสรจ 100% IT
85 SW Windows Server 2012
ไวรสคอมพวเตอรแพรกระจาย Scan Engine และ Virus Definition ของซอฟทแวร Anti-Virus ไมอพเดท
ปานกลาง A 12.2 ตดต �งซอฟทแวรปองกนไวรส Update definition ใหลาสดเสมอ มกระบวนการตรวจสอบ รวมท �งมมาตรการกคนหากเกดการแพรกระจายจากโปรแกรมไมประสงคด และสรางความตระหนกกบผทเกยวของ
Reduction แลวเสรจ 100% IT
91
Sq. ThreatAsset Vulnerability RTP Status Progress ResponibleType Risk Response
Risk Level
Control RTP
86 SW Windows Server 2012
ถกโจมตจนไมสามารถใหบรการไดไมมกระบวนการในการตดตามปรบปรง Security Patch ใหทนสมย
ปานกลาง A 12.6.1 กาหนดนโยบายอพเดทแพทชและเฝาระวงการอพเดทแพทชใหลาสดเสมอ และทาการ Hardening ตามขอแนะนาและมาตรฐาน ของไมโครซอฟท
Reduction แลวเสรจ 100% IT
87 SW Windows Server 2012
การแกไขคาตดต �ง (Configuration) ผดพลาด ทาใหระบบทางานผดพลาด
ไมมเอกสารคมอการใชงาน ปานกลาง A 12.1.1 ไมมเอกสารคมอการใชงาน เชน System Guide, Admin Guide, User Guide และ Maintenance Guide เปนตน
Reduction กาลงดาเนนการ
5% IT
88 SW Windows Server 2012
การละเมดลขสทธ xซอฟทแวร ไมมกระบวนการบรหารจดการซอฟตแวรลขสทธ x
ปานกลาง A 12.6.2 มการทบทวนการตดต �งซอฟทแวรตามสทธ xทไดรบ และปองกนการตดต �งซอฟทแวรโดยไมไดรบอนญาต การจดเกบหรอปองกนแผนซอฟทแวร รวมถงการสรางความตระหนกตอโทษของการกระทาความผด
Reduction แลวเสรจ 100% IT
89 SW Linux ubuntu การละเมดลขสทธ xซอฟทแวร ไมมกระบวนการบรหารจดการซอฟตแวรลขสทธ x
ปานกลาง A 12.6.2 มการทบทวนการตดต �งซอฟทแวรตามสทธ xทไดรบ และปองกนการตดต �งซอฟทแวรโดยไมไดรบอนญาต การจดเกบหรอปองกนแผนซอฟทแวร รวมถงการสรางความตระหนกตอโทษของการกระทาความผด
Reduction แลวเสรจ 100% IT
90 SW Unix AIX ถกเขาถงโดยผไมไดรบอนญาต ขาดนโยบายการต �งรหสผาน (password) ทเหมาะสม
ปานกลาง A 9.4.3 กาหนดนโยบายบรหารจดการบญชรายชอผใชงาน กาหนดนโยบายการต �งรหสผาน และ
Reduction แลวเสรจ 100% IT
92
Sq. ThreatAsset Vulnerability RTP Status Progress ResponibleType Risk Response
Risk Level
Control RTP
91 SW Unix AIX ถกเขาถงโดยผไมมสทธ xใชงาน ไมมการถอดสทธ x เมอมการเปลยนแปลงหนาทรบผดชอบ
ปานกลาง A 9.2.1, A 9.2.5, A 9.2.6
ทาการทบทวนสทธ xของผใชงานในระบบตามระยะเวลาทกาหนด และลบหรอถอดถอนสทธ xทนททมการลาออก หรอเปลยนหนาทรบผดชอบ
Reduction แลวเสรจ 100% IT
92 SW Unix AIX การใชงานเกนสทธทถกตอง ขาดกระบวนการกาหนดสทธทถกตองเหมาะสม
ปานกลาง A 9.2.3, A 9.2.4
กาหนดกระบวนการขออนมตใชงานระบบเปนลายลกษณอกษร และบนทกไวเปนหลกฐาน
Reduction แลวเสรจ 100% IT
93 SW Unix AIX การแกไขคาตดต �ง (Configuration) ผดพลาด ทาใหระบบทางานผดพลาด
ไมมเอกสารคมอการใชงาน ปานกลาง A 12.1.1 ไมมเอกสารคมอการใชงาน เชน System Guide, Admin Guide, User Guide และ Maintenance Guide เปนตน
Reduction แลวเสรจ 100% IT
94 SW Unix AIX ระบบไมสามารถใหบรการหรอทางานผดพลาด หลงจากการปรบปรงเปลยนแปลง
ไมมระบบสาหรบทดสอบแยกกบระบบจรง
ปานกลาง A 12.1.2, A 12.1.4
บงคบใชมาตรการบรหารจดการความเปลยนแปลง (Change Management) จดใหมระบบสาหรบทดสอบแยกกบระบบจรง
Reduction แลวเสรจ 100% IT
95 SW Mail Server ถกเขาถงโดยผไมไดรบอนญาต ขาดนโยบายการต �งรหสผาน (password) ทเหมาะสม
ปานกลาง A 9.4.3 กาหนดนโยบายบรหารจดการบญชรายชอผใชงาน กาหนดนโยบายการต �งรหสผาน และบงคบใชรหสผานทยากตอการคาดเดายาวอยางนอย 8 ตวอกษร ผสมท �งอกษรพมพเลก-ใหญ, สญลกษณ และตวเลขอยางนอย 3 อยาง และเปลยนรหสผานทก 90 วน
Reduction แลวเสรจ 100% IT
93
Sq. ThreatAsset Vulnerability RTP Status Progress ResponibleType Risk Response
Risk Level
Control RTP
96 SW Mail Server อเมลสงไมถงปลายทาง รบสงลาชา ระบบทางานผดพลาด หรอถกทาลายจากโปรแกรมทไมประสงคด
Scan Engine และ Virus Definition ของซอฟทแวร Anti-Virus ไมอพเดท
ปานกลาง A 12.2 ตดต �งซอฟทแวรปองกน Update definition ใหลาสดเสมอ มกระบวนการตรวจสอบ รวมท �งมมาตรการกคนหากเกดการแพรกระจายจากโปรแกรมไมประสงคด และสรางความตระหนกกบผทเกยวของ
Reduction แลวเสรจ 100% IT
97 SW Mail Server ถกโจมตจนไมสามารถใหบรการไดไมมกระบวนการในการตดตามปรบปรง Security Patch ใหทนสมย
ปานกลาง A 12.6.1 กาหนดนโยบายอพเดทแพทชและเฝาระวงการอพเดทแพทชใหลาสดเสมอ และทาการปรบปรงตามขอแนะนาและมาตรฐาน ของเจาของผลตภณฑ
Reduction แลวเสรจ 100% IT
98 SW Mail Server ทาการแกไขคาตดต �ง (Configuration) ผดพลาด ทาใหระบบทางานผดพลาด
ไมมเอกสารคมอการใชงาน ปานกลาง A 12.1.1 ไมมเอกสารคมอการใชงาน เชน System Guide, Admin Guide, User Guide และ Maintenance Guide เปนตน
Reduction แลวเสรจ 100% IT
99 SW Mail Server ไมสามารถตรวจสอบการใชงานยอนหลงได
ไมมกระบวนการจดเกบเกบ Log
ปานกลาง A 12.4.1 กาหนดใหมการบนทก Log แสดงขอมลการใชงานระบบ
Reduction แลวเสรจ 100% IT
100 SW Mail Server ระบบไมสามารถใหบรการหรอทางานผดพลาด หลงจากการปรบปรงเปลยนแปลง
ไมมระบบสาหรบทดสอบแยกกบระบบจรง
ปานกลาง A 12.1.2, A 12.1.4
บงคบใชมาตรการบรหารจดการความเปลยนแปลง (Change Management) จดใหมระบบสาหรบทดสอบแยกกบระบบจรง
Reduction แลวเสรจ 100% IT
94
Sq. ThreatAsset Vulnerability RTP Status Progress ResponibleType Risk Response
Risk Level
Control RTP
101 SW Mail Server การละเมดลขสทธ xซอฟทแวร ไมมกระบวนการบรหารจดการซอฟตแวรลขสทธ x
ปานกลาง A 12.6.2 มการทบทวนการตดต �งซอฟทแวรตามสทธ xทไดรบ และปองกนการตดต �งซอฟทแวรโดยไมไดรบอนญาต การจดเกบหรอปองกนแผนซอฟทแวร รวมถงการสรางความตระหนกตอโทษของการกระทาความผด
Reduction แลวเสรจ 100% IT
102 SW WorkFlow Server ถกเขาถงโดยผไมไดรบอนญาต ขาดนโยบายการต �งรหสผาน (password) ทเหมาะสม
ปานกลาง A 9.4.3 กาหนดนโยบายบรหารจดการบญชรายชอผใชงาน กาหนดนโยบายการต �งรหสผาน และบงคบใชรหสผานทยากตอการคาดเดายาวอยางนอย 8 ตวอกษร ผสมท �งอกษรพมพเลก-ใหญ, สญลกษณ และตวเลขอยางนอย 3 อยาง และเปลยนรหสผานทก 90 วน
Reduction แลวเสรจ 100% IT
103 SW WorkFlow Server ถกเขาถงโดยผไมมสทธ xใชงาน ไมมการถอดสทธ x เมอมการเปลยนแปลงหนาทรบผดชอบ
ปานกลาง A 9.2.1, A 9.2.5, A 9.2.6
ทาการทบทวนสทธ xของผใชงานในระบบตามระยะเวลาทกาหนด และลบหรอถอดถอนสทธ xทนททมการลาออก หรอเปลยนหนาทรบผดชอบ
Reduction แลวเสรจ 100% IT
104 SW WorkFlow Server การใชงานเกนสทธทถกตอง ขาดกระบวนการกาหนดสทธทถกตองเหมาะสม
ปานกลาง A 9.2.3, A 9.2.4
กาหนดกระบวนการขออนมตใชงานระบบเปนลายลกษณอกษร และบนทกไวเปนหลกฐาน
Reduction แลวเสรจ 100% IT
95
Sq. ThreatAsset Vulnerability RTP Status Progress ResponibleType Risk Response
Risk Level
Control RTP
105 SW WorkFlow Server ระบบไมสามารถใหบรการหรอทางานผดพลาด หลงจากการปรบปรงเปลยนแปลง
ไมมระบบสาหรบทดสอบแยกกบระบบจรง
ปานกลาง A 12.1.2, A 12.1.4
บงคบใชมาตรการบรหารจดการความเปลยนแปลง (Change Management) จดใหมระบบสาหรบทดสอบแยกกบระบบจรง
Reduction แลวเสรจ 100% IT
106 SW WorkFlow Server การละเมดลขสทธ xซอฟทแวร ไมมกระบวนการบรหารจดการซอฟตแวรลขสทธ x
ปานกลาง A 12.6.2 มการทบทวนการตดต �งซอฟทแวรตามสทธ xทไดรบ และปองกนการตดต �งซอฟทแวรโดยไมไดรบอนญาต การจดเกบหรอปองกนแผนซอฟทแวร รวมถงการสรางความตระหนกตอโทษของการกระทาความผด
Reduction แลวเสรจ 100% IT
107 SW Digital Filing Server
ทาการแกไขคาตดต �ง (Configuration) ผดพลาด ทาใหระบบทางานผดพลาด
ไมมเอกสารคมอการใชงาน ปานกลาง A 12.1.1 ไมมเอกสารคมอการใชงาน เชน System Guide, Admin Guide, User Guide และ Maintenance Guide เปนตน
Reduction แลวเสรจ 100% IT
108 SW Digital Filing Server
การละเมดลขสทธ xซอฟทแวร ไมมกระบวนการบรหารจดการซอฟตแวรลขสทธ x
ปานกลาง A 12.6.2 มการทบทวนการตดต �งซอฟทแวรตามสทธ xทไดรบ และปองกนการตดต �งซอฟทแวรโดยไมไดรบอนญาต การจดเกบหรอปองกนแผนซอฟทแวร รวมถงการสรางความตระหนกตอโทษของการกระทาความผด
Reduction แลวเสรจ 100% IT
109 SW Manufacturing Knowlegde
ถกเขาถงโดยผไมไดรบอนญาต ขาดนโยบายการต �งรหสผาน (password) ทเหมาะสม
ปานกลาง A 9.4.3 กาหนดนโยบายบรหารจดการบญชรายชอผใชงาน กาหนดนโยบายการต �งรหสผาน และ
Reduction แลวเสรจ 100% IT
96
Sq. ThreatAsset Vulnerability RTP Status Progress ResponibleType Risk Response
Risk Level
Control RTP
110 SW Manufacturing Knowlegde
ถกเขาถงโดยผไมมสทธ xใชงาน ไมมการถอดสทธ x เมอมการเปลยนแปลงหนาทรบผดชอบ
ปานกลาง A 9.2.1, A 9.2.5, A 9.2.6
ทาการทบทวนสทธ xของผใชงานในระบบตามระยะเวลาทกาหนด และลบหรอถอดถอนสทธ xทนททมการลาออก หรอเปลยนหนาทรบผดชอบ
Reduction แลวเสรจ 100% IT
111 SW Manufacturing Knowlegde
การใชงานเกนสทธทถกตอง ขาดกระบวนการกาหนดสทธทถกตองเหมาะสม
ปานกลาง A 9.2.3, A 9.2.4
กาหนดกระบวนการขออนมตใชงานระบบเปนลายลกษณอกษร และบนทกไวเปนหลกฐาน
Reduction แลวเสรจ 100% IT
112 SW Manufacturing Knowlegde
ทาการแกไขคาตดต �ง (Configuration) ผดพลาด ทาใหระบบทางานผดพลาด
ทาการแกไขคาตดต �ง (Configuration) ผดพลาด ทาใหระบบทางานผดพลาด
ปานกลาง A 12.1.1 ไมมเอกสารคมอการใชงาน เชน System Guide, Admin Guide, User Guide และ Maintenance Guide เปนตน
Reduction แลวเสรจ 100% IT
113 SW Manufacturing Knowlegde
การละเมดลขสทธ xซอฟทแวร ไมมกระบวนการบรหารจดการซอฟตแวรลขสทธ x
ปานกลาง A 12.6.2 มการทบทวนการตดต �งซอฟทแวรตามสทธ xทไดรบ และปองกนการตดต �งซอฟทแวรโดยไมไดรบอนญาต การจดเกบหรอปองกนแผนซอฟทแวร รวมถงการสรางความตระหนกตอโทษของการกระทาความผด
Reduction แลวเสรจ 100% IT
97
Sq. ThreatAsset Vulnerability RTP Status Progress ResponibleType Risk Response
Risk Level
Control RTP
114 SW CAD-CAM Server ถกเขาถงโดยผไมไดรบอนญาต ขาดนโยบายการต �งรหสผาน (password) ทเหมาะสม
ปานกลาง A 9.4.3 กาหนดนโยบายบรหารจดการบญชรายชอผใชงาน กาหนดนโยบายการต �งรหสผาน และบงคบใชรหสผานทยากตอการคาดเดายาวอยางนอย 8 ตวอกษร ผสมท �งอกษรพมพเลก-ใหญ, สญลกษณ และตวเลขอยางนอย 3 อยาง และเปลยนรหสผานทก 90 วน
Reduction แลวเสรจ 100% IT
115 SW CAD-CAM Server ถกเขาถงโดยผไมมสทธ xใชงาน ไมมการถอดสทธ x เมอมการเปลยนแปลงหนาทรบผดชอบ
ปานกลาง A 9.2.1, A 9.2.5, A 9.2.6
ทาการทบทวนสทธ xของผใชงานในระบบตามระยะเวลาทกาหนด และลบหรอถอดถอนสทธ xทนททมการลาออก หรอเปลยนหนาทรบผดชอบ
Reduction แลวเสรจ 100% IT
116 SW CAD-CAM Server การใชงานเกนสทธทถกตอง ขาดกระบวนการกาหนดสทธทถกตองเหมาะสม
ปานกลาง A 9.2.3, A 9.2.4
กาหนดกระบวนการขออนมตใชงานระบบเปนลายลกษณอกษร และบนทกไวเปนหลกฐาน
Reduction แลวเสรจ 100% IT
117 SW CAD-CAM Server การละเมดลขสทธ xซอฟทแวร ไมมกระบวนการบรหารจดการซอฟตแวรลขสทธ x
ปานกลาง A 12.6.2 มการทบทวนการตดต �งซอฟทแวรตามสทธ xทไดรบ และปองกนการตดต �งซอฟทแวรโดยไมไดรบอนญาต การจดเกบหรอปองกนแผนซอฟทแวร รวมถงการสรางความตระหนกตอโทษของการกระทาความผด
Reduction แลวเสรจ 100% IT
98
Sq. ThreatAsset Vulnerability RTP Status Progress ResponibleType Risk Response
Risk Level
Control RTP
118 SW Aniti Virus Server การละเมดลขสทธ xซอฟทแวร ไมมกระบวนการบรหารจดการซอฟตแวรลขสทธ x
ปานกลาง A 12.6.2 มการทบทวนการตดต �งซอฟทแวรตามสทธ xทไดรบ และปองกนการตดต �งซอฟทแวรโดยไมไดรบอนญาต การจดเกบหรอปองกนแผนซอฟทแวร รวมถงการสรางความตระหนกตอโทษของการกระทาความผด
Reduction แลวเสรจ 100% IT
119 SW SQL Server ถกโจมตจนไมสามารถใหบรการไดไมมกระบวนการในการตดตามปรบปรง Security Patch ใหทนสมย
ปานกลาง A 12.6.1 กาหนดนโยบายอพเดทแพทชและเฝาระวงการอพเดทแพทชใหลาสดเสมอ และทาการ Hardening ตามขอแนะนาและมาตรฐาน ของไมโครซอฟท
Reduction แลวเสรจ 100% IT
120 SW SQL Server ทาการแกไขคาตดต �ง (Configuration) ผดพลาด ทาใหระบบทางานผดพลาด
ไมมเอกสารคมอการใชงาน ปานกลาง A 12.1.1 ไมมเอกสารคมอการใชงาน เชน System Guide, Admin Guide, User Guide และ Maintenance Guide เปนตน
Reduction กาลงดาเนนการ
50% IT, Service Provider
121 SW SQL Server การละเมดลขสทธ xซอฟทแวร ไมมกระบวนการบรหารจดการซอฟตแวรลขสทธ x
ปานกลาง A 12.6.2 มการทบทวนการตดต �งซอฟทแวรตามสทธ xทไดรบ และปองกนการตดต �งซอฟทแวรโดยไมไดรบอนญาต การจดเกบหรอปองกนแผนซอฟทแวร รวมถงการสรางความตระหนกตอโทษของการกระทาความผด
Reduction แลวเสรจ 100% IT
122 INF E-mail Data ขอมลร วไหลจากการถกดกจบระหวางการรบ-สง
ผใชงานขาดความรความเขาใจเรองการปองกนขอมลร วไหล
ปานกลาง A 18.1.5 สรางความรความเขาใจการปองกนขอมลร วไหลและตระหนกถงความสาคญในการเขารหสขอมลทสาคญทกคร �งกอนสงเมล
Reduction แลวเสรจ 100% IT
99
Sq. ThreatAsset Vulnerability RTP Status Progress ResponibleType Risk Response
Risk Level
Control RTP
123 INF E-mail Data ขอมลมเน�อหาละเมดกฎหมาย และขอกาหนดขององคกร
ผใชงานขาดความรความเขาใจในกฏหมายทเกยวของ
ปานกลาง A 18.1.3 สรางความรความเขาใจในเรองกฎหมายทเกยวของ และกาหนดบทลงโทษทางวนยสาหรบผทละเมด
Reduction แลวเสรจ 100% IT
124 INF E-mail Data ขอมลร วไหล จากการนาขอมลจรงไปใชในการทดสอบ
ดแลระบบขาดความตระหนกในการใชขอมลสาหรบการทดสอบ
ปานกลาง A 14.3.1 ผดแลระบบจะตองคดเลอกขอมลจรงเทาทจาเปนเทาน �น เพอนาไปทดสอบระบบ และตองขออนมตจากผบงคบบญชาทกคร �ง
Reduction แลวเสรจ 100% IT
125 INF ERP Data ขอมลร วไหล จากการนาสอบนทกขอมลกลบมาใชงานใหม
ขาดกระบวนการทาลายขอมลในสอบนทกขอมลกอนนากลบมาใชงานใหม หรอเลกใชงาน
ปานกลาง A 8.3.2 จดทาแผนการทาลายขอมลในสอบนทกขอมลทกคร �งกอนทจะนากลบมาใชงานใหม หรอเลกใชงาน
Reduction แลวเสรจ 100% IT
126 INF ERP Data ถกเขาถง และแกไข เปลยนแปลง โดยผไมมสทธ xใชงาน
ไมมการถอดสทธ x เมอมการเปลยนแปลงหนาทรบผดชอบ
ปานกลาง A 9.2.1, A 9.2.5, A 9.2.6
ทาการทบทวนสทธ xของผใชงานในระบบตามระยะเวลาทกาหนด และลบหรอถอดถอนสทธ xทนททมการลาออก หรอเปลยนหนาทรบผดชอบ
Reduction แลวเสรจ 100% IT
127 INF ERP Data ขอมลร วไหล จากการนาขอมลจรงไปใชในการทดสอบ
ดแลระบบขาดความตระหนกในการใชขอมลสาหรบการทดสอบ
ปานกลาง A 14.3.1 ผดแลระบบจะตองคดเลอกขอมลจรงเทาทจาเปนเทาน �น เพอนาไปทดสอบระบบ และตองขออนมตจากผบงคบบญชาทกคร �ง
Reduction แลวเสรจ 100% IT
128 INF Log Data ขอมลสญหาย ไมมระบบสารองขอมล ปานกลาง A 12.3.1 จดทาแผนสารองขอมล และมการจดเกบสอบนทกในlสถานทท พรอมท �งมการตรวจสอบอยเสมอ
Reduction กาลงดาเนนการ
100% IT
100
Sq. ThreatAsset Vulnerability RTP Status Progress ResponibleType Risk Response
Risk Level
Control RTP
129 INF Log Data ถกเขาถง และแกไข เปลยนแปลง โดยผไมมสทธ xใชงาน
ไมมการถอดสทธ x เมอมการเปลยนแปลงหนาทรบผดชอบ
ปานกลาง A 9.2.1, A 9.2.5, A 9.2.6
ทาการทบทวนสทธ xของผใชงานในระบบตามระยะเวลาทกาหนด และลบหรอถอดถอนสทธ xทนททมการลาออก หรอเปลยนหนาทรบผดชอบ
Reduction แลวเสรจ 100% IT
130 SE Telecommunication Service Providor
การบรการหยดชะงก เนองจากสญญาเชาใชหมดอาย หรอผดขอตกลงในสญญาบรการ
ไมมกระบวนการตรวจสอบอายสญญา และ ดาเนนการตอสญญากอนสญญาหมดอาย
ปานกลาง A 15.1.1,A 15.1.3
จดทาแผนการตรวจสอบอายสญญาบรการอยางนอยปละคร �ง และดาเนนการตออายสญญากอนสญญาหมดอาย
Reduction แลวเสรจ 100% IT
131 SE Telecommunication Service Providor
ความไมรบผดชอบ หรอไมปฏบตตามขอตกลงของผใหบรการ ไมวาจะเปนดานคณภาพ หรอการตดตามงาน
ไมมการตรวจสอบผลการดาเนนการตามสญญา (Contract)
ปานกลาง A 15.2.1 จดทาแผนการตดตาม ทบทวนและตรวจประเมนการใหบรการทกๆ 3 เดอน
Reduction แลวเสรจ 100% IT
132 SE Telecommunication Service Providor
ถกเปดเผยขอมล หรอขอมลร วไหล
ไมมการจดทาสญญาไมเปดเผยขอมล
ปานกลาง A 15.1.2 มการจดทาสญญาไมเปดเผยขอมลกบผใหบรการภายนอก
Reduction แลวเสรจ 100% IT, Service Provider
133 SE Network Service Providor
ความไมรบผดชอบ หรอไมปฏบตตามขอตกลงของผใหบรการ ไมวาจะเปนดานคณภาพ หรอการตดตามงาน
ไมมการตรวจสอบผลการดาเนนการตามสญญา (Contract)
ปานกลาง A 15.2.1 จดทาแผนการตดตาม ทบทวนและตรวจประเมนการใหบรการทกๆ 3 เดอน
Reduction แลวเสรจ 100% IT
134 SE Network Service Providor
ถกเปดเผยขอมล หรอขอมลร วไหล
ไมมการจดทาสญญาไมเปดเผยขอมล
ปานกลาง A 15.1.2 มการจดทาสญญาไมเปดเผยขอมลกบผใหบรการภายนอก
Reduction แลวเสรจ 100% IT, Network Service Provider
101
Sq. ThreatAsset Vulnerability RTP Status Progress ResponibleType Risk Response
Risk Level
Control RTP
135 SE Application Service
ความไมรบผดชอบ หรอไมปฏบตตามขอตกลงของผใหบรการ ไมวาจะเปนดานคณภาพ หรอการตดตามงาน
ไมมการตรวจสอบผลการดาเนนการตามสญญา (Contract)
ปานกลาง A 15.2.1 จดทาแผนการตดตาม ทบทวนและตรวจประเมนการใหบรการทกๆ 3 เดอน
Reduction แลวเสรจ 100% IT
136 SE Application Service
ถกเปดเผยขอมล หรอขอมลร วไหล
ไมมการจดทาสญญาไมเปดเผยขอมล
ปานกลาง A 15.1.2 มการจดทาสญญาไมเปดเผยขอมลกบผใหบรการภายนอก
Reduction แลวเสรจ 100% IT, Service Provider
137 PE Top Executive ใชงานระบบสารสนเทศผดพลาด
ขาดความเขาใจและความตระหนกในการใชงาน
ปานกลาง A 7.2.1 อบรมสรางความรความเขาใจและความตระหนกในการใชงานสารสนเทศทมความม นคงปลอดภย
Reduction แลวเสรจ 100% IT
138 PE Top Executive ละเมดนโยบายความม นคงสารสนเทศ เนองจากละเลย หรอโดยจงใจ
ความรความเขาใจในนโยบายความม นคงสารสนเทศ
ปานกลาง A 5.1.1, A 7.2.2
จดนโยบายความม นคงสารสนเทศเปนลายลกษณอกษร ซงวาดวยระเบยบปฏบต ขอบงคบ พรอมท �งบทลงโทษ ซงอนมตโดยผบรหารทมอานาจ และเผยแพร สอสารกบผเกยวของ
Reduction แลวเสรจ 100% IT
139 PE Manager ใชงานระบบสารสนเทศผดพลาด
ขาดความเขาใจและความตระหนกในการใชงาน
ปานกลาง A 7.2.1 อบรมสรางความรความเขาใจและความตระหนกในการใชงานสารสนเทศทมความม นคงปลอดภย
Reduction แลวเสรจ 100% IT
140 PE Manager ละเมดนโยบายความม นคงสารสนเทศ เนองจากละเลย หรอโดยจงใจ
ความรความเขาใจในนโยบายความม นคงสารสนเทศ
ปานกลาง A 5.1.1, A 7.2.2
จดนโยบายความม นคงสารสนเทศเปนลายลกษณอกษร ซงวาดวยระเบยบปฏบต ขอบงคบ พรอมท �งบทลงโทษ ซงอนมตโดยผบรหารทมอานาจ และเผยแพร สอสารกบผเกยวของ
Reduction แลวเสรจ 100% IT
102
Sq. ThreatAsset Vulnerability RTP Status Progress ResponibleType Risk Response
Risk Level
Control RTP
141 PE Developer ใชงานระบบสารสนเทศผดพลาด
ขาดความเขาใจและความตระหนกในการใชงาน
ปานกลาง A 7.2.1 อบรมสรางความรความเขาใจและความตระหนกในการใชงานสารสนเทศทมความม นคงปลอดภย
Reduction แลวเสรจ 100% IT
142 PE Developer ละเมดนโยบายความม นคงสารสนเทศ เนองจากละเลย หรอโดยจงใจ
ความรความเขาใจในนโยบายความม นคงสารสนเทศ
ปานกลาง A 5.1.1, A 7.2.2
จดนโยบายความม นคงสารสนเทศเปนลายลกษณอกษร ซงวาดวยระเบยบปฏบต ขอบงคบ พรอมท �งบทลงโทษ ซงอนมตโดยผบรหารทมอานาจ และเผยแพร สอสารกบผเกยวของ
Reduction แลวเสรจ 100% IT
143 PE System Administrator
ใชงานระบบสารสนเทศผดพลาด
ขาดความเขาใจและความตระหนกในการใชงาน
ปานกลาง A 7.2.1 อบรมสรางความรความเขาใจและความตระหนกในการใชงานสารสนเทศทมความม นคงปลอดภย
Reduction แลวเสรจ 100% IT
144 PE System Administrator
ละเมดนโยบายความม นคงสารสนเทศ เนองจากละเลย หรอโดยจงใจ
ความรความเขาใจในนโยบายความม นคงสารสนเทศ
ปานกลาง A 5.1.1, A 7.2.2
จดนโยบายความม นคงสารสนเทศเปนลายลกษณอกษร ซงวาดวยระเบยบปฏบต ขอบงคบ พรอมท �งบทลงโทษ ซงอนมตโดยผบรหารทมอานาจ และเผยแพร สอสารกบผเกยวของ
Reduction แลวเสรจ 100% IT
145 PE User ใชงานระบบสารสนเทศผดพลาด
ขาดความเขาใจและความตระหนกในการใชงาน
ปานกลาง A 7.2.1 อบรมสรางความรความเขาใจและความตระหนกในการใชงานสารสนเทศทมความม นคงปลอดภย
Reduction แลวเสรจ 100% IT
103
Sq. ThreatAsset Vulnerability RTP Status Progress ResponibleType Risk Response
Risk Level
Control RTP
146 PE User ละเมดนโยบายความม นคงสารสนเทศ เนองจากละเลย หรอโดยจงใจ
ความรความเขาใจในนโยบายความม นคงสารสนเทศ
ปานกลาง A 5.1.1, A 7.2.2
จดนโยบายความม นคงสารสนเทศเปนลายลกษณอกษร ซงวาดวยระเบยบปฏบต ขอบงคบ พรอมท �งบทลงโทษ ซงอนมตโดยผบรหารทมอานาจ และเผยแพร สอสารกบผเกยวของ
Reduction แลวเสรจ 100% IT
104
4.4 สรปผลการประเมนความเส�ยงทรพยสน หลงดาเนนการโครงงาน
4.4.1 ผลการประเมนความเส�ยงประเภทฮารดแวร หลงดาเนนการโครงงาน
ภยคกคาม (Threat)F O R C
1 Hardware Mail Server อปกรณชารดเสยหาย ไมมกระบวนการการบารงรกษา และเฝาระวงตดตาม
4 5 1 1 1 ต0า A 11.2.4 จดทาแผนการซอมบารง หรอทาสญญาการซอมบารงกบผจาหนายอปกรณ พรอมม SLA
2 Hardware Mail Server ถกขโมย สญหายหรอถกทาลาย ไมมการปองกน-ควบคมการเขาถงทางกายภาพ
4 5 1 1 1 ต0า A 11.1.1, A 11.1.2, A 11.1.3, A 11.1.4,A 11.1.6, A 11.2.1
ตดต Gงในหองเคร0องแมขาย ซ0งมการแยกออกจากพGนท0การทางานอยางชดเจน มกาแพงร Gวรอบขอบชด มมาตรการควบคมการเขาออกหองเคร0องแมขาย ซ0งเขาออกไดเฉพาะผท0ไดรบอนญาต โดยมเจาหนาท0รกษาความปลอดภย ประต 3 ช Gน มการตดต Gง Access Control และกลองวงจรปดตรวจจบความเคล0อนไหว พรอมท Gงมการตรวจสอบอยเสมอ
3 Hardware Mail Server อปกรณไมสามารถใหบรการไดอยางเน0อง
การลมเหลวของกระแสไฟฟา 1 5 1 1 1 ต0า A 11.2.2 มการตดต Gงเคร0องสารองไฟ ท0สามารถสารองไฟใหได 4 ช 0วโมง
4 Hardware Mail Server ทรพยากรระบบไมเพยงพอตอการใชงาน
ไมมกระบวนการเฝาระวงและตรวจสอบ ทรพยากรระบบของระบบ
2 5 1 2 1 ต0ามาก A 12.1.3 มกระบวนการตรวจสอบและประเมนระดบการทางานของ CPU, Memory, Storage และ Network Utilization ท Gงในปจจบนและประเมนอตราการใชงานในอนาคต
แผนการจดการความเส�ยงปจจบน
ตารางท0 4.9 ตารางผลการประเมนความเส0ยงทรพยสนประเภทฮารดแวร หลงดาเนนการโครงงานระดบความ
เส�ยง
ผลการทบดานตางๆ โอกาสลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability) มาตรการ
ควบคม
105
ภยคกคาม (Threat)F O R C
มาตรการ
ควบคม
แผนการจดการความเส�ยงปจจบนระดบความ
เส�ยง
ผลการทบดานตางๆ โอกาสลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability)
5 Hardware ERP Server Production
อปกรณชารดเสยหาย ไมมกระบวนการการบารงรกษา และเฝาระวงตดตาม
4 5 1 1 1 ต0า A 11.2.4 จดทาแผนการซอมบารง หรอทาสญญาการซอมบารงกบผจาหนายอปกรณ พรอมม SLA
6 Hardware ERP Server Production
ถกขโมย สญหายหรอถกทาลาย ไมมการปองกน-ควบคมการเขาถงทางกายภาพ
4 5 1 1 1 ต0า A 11.1.1, A 11.1.2, A 11.1.3, A 11.1.4,A 11.1.6, A 11.2.1
ตดต Gงในหองเคร0องแมขาย ซ0งมการแยกออกจากพGนท0การทางานอยางชดเจน มกาแพงร Gวรอบขอบชด มมาตรการควบคมการเขาออกหองเคร0องแมขาย ซ0งเขาออกไดเฉพาะผท0ไดรบอนญาต โดยมเจาหนาท0รกษาความปลอดภย ประต 3 ช Gน มการตดต Gง Access Control และกลองวงจรปดตรวจจบความเคล0อนไหว พรอมท Gงมการตรวจสอบอยเสมอ
7 Hardware ERP Server Production
อปกรณไมสามารถใหบรการไดอยางเน0อง
การลมเหลวของกระแสไฟฟา 1 5 1 1 1 ต0า A 11.2.2 มการตดต Gงเคร0องสารองไฟ ท0สามารถสารองไฟใหได 4 ช 0วโมง
8 Hardware ERP Server Production
ทรพยากรระบบไมเพยงพอตอการใชงาน
ไมมกระบวนการเฝาระวงและตรวจสอบ ทรพยากรระบบของระบบ
2 5 1 1 1 ต0า A 12.1.3 มกระบวนการตรวจสอบและประเมนระดบการทางานของ CPU, Memory, Storage และ Network Utilization ท Gงในปจจบนและประเมนอตราการใชงานในอนาคต
9 Hardware WorkFlow & Digital Filing Server
อปกรณชารดเสยหาย ไมมกระบวนการการบารงรกษา และเฝาระวงตดตาม
4 4 1 1 2 ต0า A 11.2.4 จดทาแผนการซอมบารง หรอทาสญญาการซอมบารงกบผจาหนายอปกรณ พรอมม SLA
106
ภยคกคาม (Threat)F O R C
มาตรการ
ควบคม
แผนการจดการความเส�ยงปจจบนระดบความ
เส�ยง
ผลการทบดานตางๆ โอกาสลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability)
10 Hardware WorkFlow & Digital Filing Server
ถกขโมย สญหายหรอถกทาลาย ไมมการปองกน-ควบคมการเขาถงทางกายภาพ
4 5 1 3 1 ต0า A 11.1.1, A 11.1.2, A 11.1.3, A 11.1.4,A 11.1.6, A 11.2.1
ตดต Gงในหองเคร0องแมขาย ซ0งมการแยกออกจากพGนท0การทางานอยางชดเจน มกาแพงร Gวรอบขอบชด มมาตรการควบคมการเขาออกหองเคร0องแมขาย ซ0งเขาออกไดเฉพาะผท0ไดรบอนญาต โดยมเจาหนาท0รกษาความปลอดภย ประต 3 ช Gน มการตดต Gง Access Control และกลองวงจรปดตรวจจบความเคล0อนไหว พรอมท Gงมการตรวจสอบอยเสมอ
11 Hardware WorkFlow & Digital Filing Server
อปกรณไมสามารถใหบรการไดอยางเน0อง
การลมเหลวของกระแสไฟฟา 1 5 1 1 1 ต0า A 11.2.2 มการตดต Gงเคร0องสารองไฟ ท0สามารถสารองไฟใหได 4 ช 0วโมง
12 Hardware WorkFlow & Digital Filing Server
ประสทธภาพการทางานของระบบลดลง
ทรพยากรระบบไมเพยงพอตอการใชงาน
2 4 1 1 1 ต0ามาก A 12.1.3 มกระบวนการตรวจสอบและประเมนระดบการทางานของ CPU, Memory, Storage และ Network Utilization ท Gงในปจจบนและประเมนอตราการใชงานในอนาคต
13 Hardware Backup Server อปกรณชารดเสยหาย ไมมกระบวนการการบารงรกษา และเฝาระวงตดตาม
1 1 1 1 1 ต0ามาก A 11.2.4 จดทาแผนการซอมบารง หรอทาสญญาการซอมบารงกบผจาหนายอปกรณ พรอมม SLA
107
ภยคกคาม (Threat)F O R C
มาตรการ
ควบคม
แผนการจดการความเส�ยงปจจบนระดบความ
เส�ยง
ผลการทบดานตางๆ โอกาสลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability)
14 Hardware Backup Server ถกขโมย สญหายหรอถกทาลาย ไมมการปองกน-ควบคมการเขาถงทางกายภาพ
1 5 1 1 1 ต0า A 11.1.1, A 11.1.2, A 11.1.3, A 11.1.4,A 11.1.6, A 11.2.1
ตดต Gงในหองเคร0องแมขาย ซ0งมการแยกออกจากพGนท0การทางานอยางชดเจน มกาแพงร Gวรอบขอบชด มมาตรการควบคมการเขาออกหองเคร0องแมขาย ซ0งเขาออกไดเฉพาะผท0ไดรบอนญาต โดยมเจาหนาท0รกษาความปลอดภย ประต 3 ช Gน มการตดต Gง Access Control และกลองวงจรปดตรวจจบความเคล0อนไหว พรอมท Gงมการตรวจสอบอยเสมอ
15 Hardware Backup Server อปกรณไมสามารถใหบรการไดอยางเน0อง
การลมเหลวของกระแสไฟฟา 1 1 1 1 1 ต0ามาก A 11.2.2 มการตดต Gงเคร0องสารองไฟ ท0สามารถสารองไฟใหได 4 ช 0วโมง
16 Hardware Backup Server ประสทธภาพการทางานของระบบลดลง
ทรพยากรระบบไมเพยงพอตอการใชงาน
1 4 1 1 1 ต0ามาก A 12.1.3 มกระบวนการตรวจสอบและประเมนระดบการทางานของ CPU, Memory, Storage และ Network Utilization ท Gงในปจจบนและประเมนอตราการใชงานในอนาคต
17 Hardware Anti Virus & WSUS Server
อปกรณชารดเสยหาย ไมมกระบวนการการบารงรกษา และเฝาระวงตดตาม
2 1 1 1 3 ต0า A 11.2.4 จดทาแผนการซอมบารง หรอทาสญญาการซอมบารงกบผจาหนายอปกรณ พรอมม SLA
108
ภยคกคาม (Threat)F O R C
มาตรการ
ควบคม
แผนการจดการความเส�ยงปจจบนระดบความ
เส�ยง
ผลการทบดานตางๆ โอกาสลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability)
18 Hardware Anti Virus & WSUS Server
ถกขโมย สญหายหรอถกทาลาย ไมมการปองกน-ควบคมการเขาถงทางกายภาพ
2 2 1 1 1 ต0ามาก A 11.1.1, A 11.1.2, A 11.1.3, A 11.1.4,A 11.1.6, A 11.2.1
ตดต Gงในหองเคร0องแมขาย ซ0งมการแยกออกจากพGนท0การทางานอยางชดเจน มกาแพงร Gวรอบขอบชด มมาตรการควบคมการเขาออกหองเคร0องแมขาย ซ0งเขาออกไดเฉพาะผท0ไดรบอนญาต โดยมเจาหนาท0รกษาความปลอดภย ประต 3 ช Gน มการตดต Gง Access Control และกลองวงจรปดตรวจจบความเคล0อนไหว พรอมท Gงมการตรวจสอบอยเสมอ
19 Hardware Anti Virus & WSUS Server
อปกรณไมสามารถใหบรการไดอยางเน0อง
การลมเหลวของกระแสไฟฟา 1 1 1 1 4 ต0ามาก A 11.2.2 มการตดต Gงเคร0องสารองไฟ
20 Hardware Anti Virus & WSUS Server
ประสทธภาพการทางานของระบบลดลง
ทรพยากรระบบไมเพยงพอตอการใชงาน
1 1 1 1 2 ต0ามาก A 12.1.3 มกระบวนการตรวจสอบและประเมนระดบการทางานของ CPU, Memory, Storage และ Network Utilization ท Gงในปจจบนและประเมนอตราการใชงานในอนาคต
21 Hardware PLM Server อปกรณชารดเสยหาย ไมมกระบวนการการบารงรกษา และเฝาระวงตดตาม
4 4 1 1 2 ต0า A 11.2.4 จดทาแผนการซอมบารง หรอทาสญญาการซอมบารงกบผจาหนายอปกรณ พรอมม SLA
109
ภยคกคาม (Threat)F O R C
มาตรการ
ควบคม
แผนการจดการความเส�ยงปจจบนระดบความ
เส�ยง
ผลการทบดานตางๆ โอกาสลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability)
22 Hardware PLM Server ถกขโมย สญหายหรอถกทาลาย ไมมการปองกน-ควบคมการเขาถงทางกายภาพ
4 5 1 1 1 ต0า A 11.1.1, A 11.1.2, A 11.1.3, A 11.1.4,A 11.1.6, A 11.2.1
ตดต Gงในหองเคร0องแมขาย ซ0งมการแยกออกจากพGนท0การทางานอยางชดเจน มกาแพงร Gวรอบขอบชด มมาตรการควบคมการเขาออกหองเคร0องแมขาย ซ0งเขาออกไดเฉพาะผท0ไดรบอนญาต โดยมเจาหนาท0รกษาความปลอดภย ประต 3 ช Gน มการตดต Gง Access Control และกลองวงจรปดตรวจจบความเคล0อนไหว พรอมท Gงมการตรวจสอบอยเสมอ
23 Hardware PLM Server อปกรณไมสามารถใหบรการไดอยางเน0อง
การลมเหลวของกระแสไฟฟา 1 5 1 1 1 ต0า A 11.2.2 มการตดต Gงเคร0องสารองไฟ ท0สามารถสารองไฟใหได 4 ช 0วโมง
24 Hardware PLM Server ประสทธภาพการทางานของระบบลดลง
ทรพยากรระบบไมเพยงพอตอการใชงาน
2 5 1 1 1 ต0า A 12.1.3 มกระบวนการตรวจสอบและประเมนระดบการทางานของ CPU, Memory, Storage และ Network Utilization ท Gงในปจจบนและประเมนอตราการใชงานในอนาคต
25 Hardware CAD-CAM Server อปกรณชารดเสยหาย ไมมกระบวนการการบารงรกษา และเฝาระวงตดตาม
3 4 1 1 2 ต0า A 11.2.4 จดทาแผนการซอมบารง หรอทาสญญาการซอมบารงกบผจาหนายอปกรณ พรอมม SLA
110
ภยคกคาม (Threat)F O R C
มาตรการ
ควบคม
แผนการจดการความเส�ยงปจจบนระดบความ
เส�ยง
ผลการทบดานตางๆ โอกาสลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability)
26 Hardware CAD-CAM Server ถกขโมย สญหายหรอถกทาลาย ไมมการปองกน-ควบคมการเขาถงทางกายภาพ
2 5 1 1 1 ต0า A 11.1.1, A 11.1.2, A 11.1.3, A 11.1.4,A 11.1.6, A 11.2.1
ตดต Gงในหองเคร0องแมขาย ซ0งมการแยกออกจากพGนท0การทางานอยางชดเจน มกาแพงร Gวรอบขอบชด มมาตรการควบคมการเขาออกหองเคร0องแมขาย ซ0งเขาออกไดเฉพาะผท0ไดรบอนญาต โดยมเจาหนาท0รกษาความปลอดภย ประต 3 ช Gน มการตดต Gง Access Control และกลองวงจรปดตรวจจบความเคล0อนไหว พรอมท Gงมการตรวจสอบอยเสมอ
27 Hardware CAD-CAM Server อปกรณไมสามารถใหบรการไดอยางเน0อง
การลมเหลวของกระแสไฟฟา 1 5 1 1 1 ต0า A 11.2.2 มการตดต Gงเคร0องสารองไฟ
28 Hardware CAD-CAM Server ประสทธภาพการทางานของระบบลดลง
ทรพยากรระบบไมเพยงพอตอการใชงาน
1 5 1 1 1 ต0า A 12.1.3 มกระบวนการตรวจสอบและประเมนระดบการทางานของ CPU, Memory, Storage และ Network Utilization ท Gงในปจจบนและประเมนอตราการใชงานในอนาคต
29 Hardware File Sharing Server อปกรณชารดเสยหาย ไมมกระบวนการการบารงรกษา และเฝาระวงตดตาม
2 3 1 2 2 ต0า A 11.2.4 จดทาแผนการซอมบารง หรอทาสญญาการซอมบารงกบผจาหนายอปกรณ พรอมม SLA
111
ภยคกคาม (Threat)F O R C
มาตรการ
ควบคม
แผนการจดการความเส�ยงปจจบนระดบความ
เส�ยง
ผลการทบดานตางๆ โอกาสลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability)
30 Hardware File Sharing Server ถกขโมย สญหายหรอถกทาลาย ไมมการปองกน-ควบคมการเขาถงทางกายภาพ
2 5 1 2 1 ต0า A 11.1.1, A 11.1.2, A 11.1.3, A 11.1.4,A 11.1.6, A 11.2.1
ตดต Gงในหองเคร0องแมขาย ซ0งมการแยกออกจากพGนท0การทางานอยางชดเจน มกาแพงร Gวรอบขอบชด มมาตรการควบคมการเขาออกหองเคร0องแมขาย ซ0งเขาออกไดเฉพาะผท0ไดรบอนญาต โดยมเจาหนาท0รกษาความปลอดภย ประต 3 ช Gน มการตดต Gง Access Control และกลองวงจรปดตรวจจบความเคล0อนไหว พรอมท Gงมการตรวจสอบอยเสมอ
31 Hardware File Sharing Server อปกรณสญหาย ขาดกระบวนการบรหารจดการทรพย
2 5 1 2 1 ต0า A 8.1.1, A 8.1.2, A 8.1.3
มการจดทาทะเบยนทรพยสน ระบผรบผดชอบ
32 Hardware File Sharing Server อปกรณไมสามารถใหบรการไดอยางเน0อง
การลมเหลวของกระแสไฟฟา 1 5 1 1 1 ต0า A 11.2.2 มการตดต Gงเคร0องสารองไฟ ท0สามารถสารองไฟใหได 4 ช 0วโมง
33 Hardware File Sharing Server ประสทธภาพการทางานของระบบลดลง
ทรพยากรระบบไมเพยงพอตอการใชงาน
1 5 1 2 1 ต0า A 12.1.3 มกระบวนการตรวจสอบและประเมนระดบการทางานของ CPU, Memory, Storage และ Network Utilization ท Gงในปจจบนและประเมนอตราการใชงานในอนาคต
34 Hardware Internet Log Server อปกรณชารดเสยหาย ไมมกระบวนการการบารงรกษา และเฝาระวงตดตาม
1 1 1 5 1 ต0า A 11.2.4 จดทาแผนการซอมบารง หรอทาสญญาการซอมบารงกบผจาหนายอปกรณ พรอมม SLA
112
ภยคกคาม (Threat)F O R C
มาตรการ
ควบคม
แผนการจดการความเส�ยงปจจบนระดบความ
เส�ยง
ผลการทบดานตางๆ โอกาสลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability)
35 Hardware Internet Log Server ถกขโมย สญหายหรอถกทาลาย ไมมการปองกน-ควบคมการเขาถงทางกายภาพ
1 1 1 5 1 ต0า A 11.1.1, A 11.1.2, A 11.1.3, A 11.1.4,A 11.1.6, A 11.2.1
ตดต Gงในหองเคร0องแมขาย ซ0งมการแยกออกจากพGนท0การทางานอยางชดเจน มกาแพงร Gวรอบขอบชด มมาตรการควบคมการเขาออกหองเคร0องแมขาย ซ0งเขาออกไดเฉพาะผท0ไดรบอนญาต โดยมเจาหนาท0รกษาความปลอดภย ประต 3 ช Gน มการตดต Gง Access Control และกลองวงจรปดตรวจจบความเคล0อนไหว พรอมท Gงมการตรวจสอบอยเสมอ
36 Hardware Internet Log Server อปกรณไมสามารถใหบรการไดอยางเน0อง
การลมเหลวของกระแสไฟฟา 1 1 1 1 1 ต0ามาก A 11.2.2 มการตดต Gงเคร0องสารองไฟ
37 Hardware Internet Log Server ประสทธภาพการทางานของระบบลดลง
ทรพยากรระบบไมเพยงพอตอการใชงาน
1 1 1 1 3 ต0ามาก A 12.1.3 มกระบวนการตรวจสอบและประเมนระดบการทางานของ CPU, Memory, Storage และ Network Utilization ท Gงในปจจบนและประเมนอตราการใชงานในอนาคต
38 Hardware Lease Line Router No.1
อปกรณชารดเสยหาย ไมมกระบวนการการบารงรกษา และเฝาระวงตดตาม
1 5 1 1 1 ต0า A 11.2.4 จดทาแผนการซอมบารง หรอทาสญญาการซอมบารงกบผจาหนายอปกรณ พรอมม SLA
113
ภยคกคาม (Threat)F O R C
มาตรการ
ควบคม
แผนการจดการความเส�ยงปจจบนระดบความ
เส�ยง
ผลการทบดานตางๆ โอกาสลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability)
39 Hardware Lease Line Router No.1
ถกขโมย สญหายหรอถกทาลาย ไมมการปองกน-ควบคมการเขาถงทางกายภาพ
1 5 1 1 1 ต0า A 11.1.1, A 11.1.2, A 11.1.3, A 11.1.4,A 11.1.6, A 11.2.1
ตดต Gงในหองเคร0องแมขาย ซ0งมการแยกออกจากพGนท0การทางานอยางชดเจน มกาแพงร Gวรอบขอบชด มมาตรการควบคมการเขาออกหองเคร0องแมขาย ซ0งเขาออกไดเฉพาะผท0ไดรบอนญาต โดยมเจาหนาท0รกษาความปลอดภย ประต 3 ช Gน มการตดต Gง Access Control และกลองวงจรปดตรวจจบความเคล0อนไหว พรอมท Gงมการตรวจสอบอยเสมอ
40 Hardware Lease Line Router No.1
อปกรณไมสามารถใหบรการไดอยางตอเน0อง
สญญาณลมเหลว 1 5 1 1 1 ต0า A 13.1.2 จดทาสญญาการใหบรการ (SLA) ท0มความยนยนมาตรฐานการบรการท0สอดคลองกบขอกาหนดความม 0นคงสารสนเทศขององคกร
41 Hardware Lease Line Router No.1
อปกรณไมสามารถใหบรการไดอยางตอเน0อง
การลมเหลวของกระแสไฟฟา 1 5 1 1 1 ต0า A 11.2.2 มการตดต Gงเคร0องสารองไฟ ท0สามารถสารองไฟใหได 4 ช 0วโมง
42 Hardware Lease Line Router No.1
ทรพยากรระบบไมเพยงพอตอการใชงาน
เน0องจากขาดการตรวจสอบทรพยากรระบบ
1 5 1 1 1 ต0า A 12.1.3 มกระบวนการตรวจสอบและประเมนระดบการทางานของ CPU, Memory, Storage และ Network Utilization ท Gงในปจจบนและประเมนอตราการใชงานในอนาคต
43 Hardware Lease Line Router No.1
อปกรณถกแกไขคาอปกรณโดยไมไดรบอนญาต
โปรโตคอลท0ใชในการเขาถงระบบไมปลอดภย
1 5 1 1 1 ต0า A 9.4.2 กาหนดใหใชโปรโตคอลท0มความปลอดภยในการเขาถงขอมล
114
ภยคกคาม (Threat)F O R C
มาตรการ
ควบคม
แผนการจดการความเส�ยงปจจบนระดบความ
เส�ยง
ผลการทบดานตางๆ โอกาสลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability)
44 Hardware Lease Line Router No.1
อปกรณถกสวมสทธในการเขาใชงาน
ผดแลระบบไมมการ Logout หลงจากการเขาใชงาน
1 5 1 1 1 ต0า A 11.2.9 กาหนดใหระบบตดการใชงาน เม0อผใชงานไมไดใชงานระบบมาระยะเวลาหน0ง
45 Hardware Lease Line Router No.1
ไมสามารถตรวจสอบการใชงานยอนหลงได
ไมมการเกบ Log 1 1 1 5 1 ต0า A 12.4.1 กาหนดใหมการบนทก Log แสดงขอมลการใชงานระบบ
46 Hardware Lease Line Router No.2
อปกรณชารดเสยหาย ไมมกระบวนการการบารงรกษา และเฝาระวงตดตาม
1 5 1 3 1 ต0า A 11.2.4 จดทาแผนการซอมบารง หรอทาสญญาการซอมบารงกบผจาหนายอปกรณ พรอมม SLA
47 Hardware Lease Line Router No.2
ถกขโมย สญหายหรอถกทาลาย ไมมการปองกน-ควบคมการเขาถงทางกายภาพ
1 5 1 1 1 ต0า A 11.1.1, A 11.1.2, A 11.1.3, A 11.1.4,A 11.1.6, A 11.2.1
ตดต Gงในหองเคร0องแมขาย ซ0งมการแยกออกจากพGนท0การทางานอยางชดเจน มกาแพงร Gวรอบขอบชด มมาตรการควบคมการเขาออกหองเคร0องแมขาย ซ0งเขาออกไดเฉพาะผท0ไดรบอนญาต โดยมเจาหนาท0รกษาความปลอดภย ประต 3 ช Gน มการตดต Gง Access Control และกลองวงจรปดตรวจจบความเคล0อนไหว พรอมท Gงมการตรวจสอบอยเสมอ
48 Hardware Lease Line Router No.2
อปกรณไมสามารถใหบรการไดอยางตอเน0อง
สญญาณลมเหลว 1 5 1 1 1 ต0า A 13.1.2 จดทาสญญาการใหบรการ (SLA) ท0มความยนยนมาตรฐานการบรการท0สอดคลองกบขอกาหนดความม 0นคงสารสนเทศขององคกร
115
ภยคกคาม (Threat)F O R C
มาตรการ
ควบคม
แผนการจดการความเส�ยงปจจบนระดบความ
เส�ยง
ผลการทบดานตางๆ โอกาสลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability)
49 Hardware Lease Line Router No.2
อปกรณไมสามารถใหบรการไดอยางตอเน0อง
การลมเหลวของกระแสไฟฟา 1 5 1 1 1 ต0า A 11.2.2 มการตดต Gงเคร0องสารองไฟ ท0สามารถสารองไฟใหได 4 ช 0วโมง
50 Hardware Lease Line Router No.2
ทรพยากรระบบไมเพยงพอตอการใชงาน
เน0องจากขาดการตรวจสอบทรพยากรระบบ
1 5 1 1 1 ต0า A 12.1.3 มกระบวนการตรวจสอบและประเมนระดบการทางานของ CPU, Memory, Storage และ Network Utilization ท Gงในปจจบนและประเมนอตราการใชงานในอนาคต
51 Hardware Lease Line Router No.2
อปกรณถกแกไขคาอปกรณโดยไมไดรบอนญาต
โปรโตคอลท0ใชในการเขาถงระบบไมปลอดภย
1 5 1 1 1 ต0า A 9.4.2 กาหนดใหใชโปรโตคอลท0มความปลอดภยในการเขาถงขอมล
52 Hardware Lease Line Router No.2
อปกรณถกสวมสทธในการเขาใชงาน
ผดแลระบบไมมการ Logout หลงจากการเขาใชงาน
1 5 1 1 1 ต0า A 11.2.9 กาหนดใหระบบตดการใชงาน เม0อผใชงานไมไดใชงานระบบมาระยะเวลาหน0ง
53 Hardware Lease Line Router No.2
ไมสามารถตรวจสอบการใชงานยอนหลงได
ไมมการเกบ Log 1 1 1 5 1 ต0า A 12.4.1 กาหนดใหมการบนทก Log แสดงขอมลการใชงานระบบ
54 Hardware Lease Line Router No.3
อปกรณชารดเสยหาย ไมมกระบวนการการบารงรกษา และเฝาระวงตดตาม
1 4 1 3 2 ต0า A 11.2.4 จดทาแผนการซอมบารง หรอทาสญญาการซอมบารงกบผจาหนายอปกรณ พรอมม SLA
116
ภยคกคาม (Threat)F O R C
มาตรการ
ควบคม
แผนการจดการความเส�ยงปจจบนระดบความ
เส�ยง
ผลการทบดานตางๆ โอกาสลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability)
55 Hardware Lease Line Router No.3
ถกขโมย สญหายหรอถกทาลาย ไมมการปองกน-ควบคมการเขาถงทางกายภาพ
1 5 1 1 1 ต0า A 11.1.1, A 11.1.2, A 11.1.3, A 11.1.4,A 11.1.6, A 11.2.1
ตดต Gงในหองเคร0องแมขาย ซ0งมการแยกออกจากพGนท0การทางานอยางชดเจน มกาแพงร Gวรอบขอบชด มมาตรการควบคมการเขาออกหองเคร0องแมขาย ซ0งเขาออกไดเฉพาะผท0ไดรบอนญาต โดยมเจาหนาท0รกษาความปลอดภย ประต 3 ช Gน มการตดต Gง Access Control และกลองวงจรปดตรวจจบความเคล0อนไหว พรอมท Gงมการตรวจสอบอยเสมอ
56 Hardware Lease Line Router No.3
อปกรณไมสามารถใหบรการไดอยางตอเน0อง
สญญาณลมเหลว 1 5 1 1 1 ต0า A 13.1.2 จดทาสญญาการใหบรการ (SLA) ท0มความยนยนมาตรฐานการบรการท0สอดคลองกบขอกาหนดความม 0นคงสารสนเทศขององคกร
57 Hardware Lease Line Router No.3
อปกรณไมสามารถใหบรการไดอยางตอเน0อง
การลมเหลวของกระแสไฟฟา 1 5 1 1 1 ต0า A 11.2.2 มการตดต Gงเคร0องสารองไฟ ท0สามารถสารองไฟใหได 4 ช 0วโมง
58 Hardware Lease Line Router No.3
ทรพยากรระบบไมเพยงพอตอการใชงาน
เน0องจากขาดการตรวจสอบทรพยากรระบบ
1 5 1 1 2 ปานกลาง A 12.1.3 มกระบวนการตรวจสอบและประเมนระดบการทางานของ CPU, Memory, Storage และ Network Utilization ท Gงในปจจบนและประเมนอตราการใชงานในอนาคต
59 Hardware Lease Line Router No.3
อปกรณถกแกไขคาอปกรณโดยไมไดรบอนญาต
โปรโตคอลท0ใชในการเขาถงระบบไมปลอดภย
1 5 1 1 1 ต0า A 9.4.2 กาหนดใหใชโปรโตคอลท0มความปลอดภยในการเขาถงขอมล
117
ภยคกคาม (Threat)F O R C
มาตรการ
ควบคม
แผนการจดการความเส�ยงปจจบนระดบความ
เส�ยง
ผลการทบดานตางๆ โอกาสลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability)
60 Hardware Lease Line Router No.3
อปกรณถกสวมสทธในการเขาใชงาน
ผดแลระบบไมมการ Logout หลงจากการเขาใชงาน
1 5 1 1 1 ต0า A 11.2.9 กาหนดใหระบบตดการใชงาน เม0อผใชงานไมไดใชงานระบบมาระยะเวลาหน0ง
61 Hardware Lease Line Router No.3
ไมสามารถตรวจสอบการใชงานยอนหลงได
ไมมการเกบ Log 1 1 1 5 1 ต0า A 12.4.1 กาหนดใหมการบนทก Log แสดงขอมลการใชงานระบบ
62 Hardware ADSL Router อปกรณชารดเสยหาย ไมมกระบวนการการบารงรกษา และเฝาระวงตดตาม
1 1 1 1 3 ต0ามาก A 11.2.4 จดทาแผนการซอมบารง หรอทาสญญาการซอมบารงกบผจาหนายอปกรณ พรอมม SLA
63 Hardware ADSL Router ถกขโมย สญหายหรอถกทาลาย ไมมการปองกน-ควบคมการเขาถงทางกายภาพ
1 1 1 1 1 ต0ามาก A 11.1.1, A 11.1.2, A 11.1.3, A 11.1.4,A 11.1.6, A 11.2.1
ตดต Gงในหองเคร0องแมขาย ซ0งมการแยกออกจากพGนท0การทางานอยางชดเจน มกาแพงร Gวรอบขอบชด มมาตรการควบคมการเขาออกหองเคร0องแมขาย ซ0งเขาออกไดเฉพาะผท0ไดรบอนญาต โดยมเจาหนาท0รกษาความปลอดภย ประต 3 ช Gน มการตดต Gง Access Control และกลองวงจรปดตรวจจบความเคล0อนไหว พรอมท Gงมการตรวจสอบอยเสมอ
64 Hardware ADSL Router อปกรณไมสามารถใหบรการไดอยางตอเน0อง
สญญาณลมเหลว 1 1 1 1 4 ต0ามาก A 11.2.2 มการตดต Gงเคร0องสารองไฟ ท0สามารถสารองไฟใหได 4 ช 0วโมง
118
ภยคกคาม (Threat)F O R C
มาตรการ
ควบคม
แผนการจดการความเส�ยงปจจบนระดบความ
เส�ยง
ผลการทบดานตางๆ โอกาสลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability)
65 Hardware ADSL Router อปกรณไมสามารถใหบรการไดอยางตอเน0อง
การลมเหลวของกระแสไฟฟา 1 1 1 1 4 ต0ามาก A 13.1.2 จดทาสญญาการใหบรการ (SLA) ท0มความยนยนมาตรฐานการบรการท0สอดคลองกบขอกาหนดความม 0นคงสารสนเทศขององคกร
66 Hardware Core Switch No.1 อปกรณชารดเสยหาย ไมมกระบวนการการบารงรกษา และเฝาระวงตดตาม
3 5 1 1 1 ต0า A 11.2.4 จดทาแผนการซอมบารง หรอทาสญญาการซอมบารงกบผจาหนายอปกรณ พรอมม SLA
67 Hardware Core Switch No.1 ถกขโมย สญหายหรอถกทาลาย ไมมการปองกน-ควบคมการเขาถงทางกายภาพ
3 5 1 1 1 ต0า A 11.1.1, A 11.1.2, A 11.1.3, A 11.1.4,A 11.1.6, A 11.2.1
ตดต Gงในหองเคร0องแมขาย ซ0งมการแยกออกจากพGนท0การทางานอยางชดเจน มกาแพงร Gวรอบขอบชด มมาตรการควบคมการเขาออกหองเคร0องแมขาย ซ0งเขาออกไดเฉพาะผท0ไดรบอนญาต โดยมเจาหนาท0รกษาความปลอดภย ประต 3 ช Gน มการตดต Gง Access Control และกลองวงจรปดตรวจจบความเคล0อนไหว พรอมท Gงมการตรวจสอบอยเสมอ
68 Hardware Core Switch No.1 อปกรณไมสามารถใหบรการไดอยางตอเน0อง
การลมเหลวของกระแสไฟฟา 1 5 1 1 1 ต0า A 11.2.2 มการตดต Gงเคร0องสารองไฟ ท0สามารถสารองไฟใหได 4 ช 0วโมง
69 Hardware Core Switch No.1 อปกรณถกแกไขคาอปกรณโดยไมไดรบอนญาต
โปรโตคอลท0ใชในการเขาถงระบบไมปลอดภย
1 5 1 1 1 ต0า A 9.4.2 กาหนดใหใชโปรโตคอลท0มความปลอดภยในการเขาถงขอมล
70 Hardware Core Switch No.1 อปกรณถกสวมสทธในการเขาใชงาน
ผดแลระบบไมมการ Logout หลงจากการเขาใชงาน
1 1 1 1 1 ต0า A 11.2.9 กาหนดใหระบบตดการใชงาน เม0อผใชงานไมไดใชงานระบบมาระยะเวลาหน0ง
119
ภยคกคาม (Threat)F O R C
มาตรการ
ควบคม
แผนการจดการความเส�ยงปจจบนระดบความ
เส�ยง
ผลการทบดานตางๆ โอกาสลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability)
71 Hardware Core Switch No.1 ไมสามารถตรวจสอบการใชงานยอนหลงได
ไมมการเกบ Log 1 1 1 2 2 ต0ามาก A 12.4.1 กาหนดใหมการบนทก Log แสดงขอมลการใชงานระบบ
72 Hardware Core Switch No.2 อปกรณชารดเสยหาย ไมมกระบวนการการบารงรกษา และเฝาระวงตดตาม
3 5 1 1 1 ต0า A 11.2.4 จดทาแผนการซอมบารง หรอทาสญญาการซอมบารงกบผจาหนายอปกรณ พรอมม SLA
73 Hardware Core Switch No.2 ถกขโมย สญหายหรอถกทาลาย ไมมการปองกน-ควบคมการเขาถงทางกายภาพ
3 5 1 1 1 ต0า A 11.1.1, A 11.1.2, A 11.1.3, A 11.1.4,A 11.1.6, A 11.2.1
ตดต Gงในหองเคร0องแมขาย ซ0งมการแยกออกจากพGนท0การทางานอยางชดเจน มกาแพงร Gวรอบขอบชด มมาตรการควบคมการเขาออกหองเคร0องแมขาย ซ0งเขาออกไดเฉพาะผท0ไดรบอนญาต โดยมเจาหนาท0รกษาความปลอดภย ประต 3 ช Gน มการตดต Gง Access Control และกลองวงจรปดตรวจจบความเคล0อนไหว พรอมท Gงมการตรวจสอบอยเสมอ
74 Hardware Core Switch No.2 อปกรณไมสามารถใหบรการไดอยางตอเน0อง
การลมเหลวของกระแสไฟฟา 1 5 1 1 1 ต0า A 11.2.2 มการตดต Gงเคร0องสารองไฟ ท0สามารถสารองไฟใหได 4 ช 0วโมง
75 Hardware Core Switch No.2 อปกรณถกแกไขคาอปกรณโดยไมไดรบอนญาต
โปรโตคอลท0ใชในการเขาถงระบบไมปลอดภย
1 5 1 1 1 ต0า A 9.4.2 กาหนดใหใชโปรโตคอลท0มความปลอดภยในการเขาถงขอมล
76 Hardware Core Switch No.2 อปกรณถกสวมสทธในการเขาใชงาน
ผดแลระบบไมมการ Logout หลงจากการเขาใชงาน
1 5 1 1 2 ปานกลาง A 11.2.9 กาหนดใหระบบตดการใชงาน เม0อผใชงานไมไดใชงานระบบมาระยะเวลาหน0ง
120
ภยคกคาม (Threat)F O R C
มาตรการ
ควบคม
แผนการจดการความเส�ยงปจจบนระดบความ
เส�ยง
ผลการทบดานตางๆ โอกาสลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability)
77 Hardware Core Switch No.2 ไมสามารถตรวจสอบการใชงานยอนหลงได
ไมมการเกบ Log 1 1 1 2 2 ต0ามาก A 12.4.1 กาหนดใหมการบนทก Log แสดงขอมลการใชงานระบบ
78 Hardware Distribute Switch Factory A
อปกรณชารดเสยหาย ไมมกระบวนการการบารงรกษา และเฝาระวงตดตาม
1 3 1 3 2 ต0า A 11.2.4 จดทาแผนการซอมบารง หรอทาสญญาการซอมบารงกบผจาหนายอปกรณ พรอมม SLA
79 Hardware Distribute Switch Factory A
ถกขโมย สญหายหรอถกทาลาย ไมมการปองกน-ควบคมการเขาถงทางกายภาพ
1 4 1 1 1 ต0ามาก A 11.1.1, A 11.1.2, A 11.1.3, A 11.1.4,A 11.1.6, A 11.2.1
ตดต Gงในหองเคร0องแมขาย ซ0งมการแยกออกจากพGนท0การทางานอยางชดเจน มกาแพงร Gวรอบขอบชด มมาตรการควบคมการเขาออกหองเคร0องแมขาย ซ0งเขาออกไดเฉพาะผท0ไดรบอนญาต โดยมเจาหนาท0รกษาความปลอดภย ประต 3 ช Gน มการตดต Gง Access Control และกลองวงจรปดตรวจจบความเคล0อนไหว พรอมท Gงมการตรวจสอบอยเสมอ
80 Hardware Distribute Switch Factory A
อปกรณไมสามารถใหบรการไดอยางตอเน0อง
การลมเหลวของกระแสไฟฟา 1 5 1 1 1 ต0า A 11.2.2 มการตดต Gงเคร0องสารองไฟ
81 Hardware Distribute Switch Factory A
อปกรณถกแกไขคาอปกรณโดยไมไดรบอนญาต
โปรโตคอลท0ใชในการเขาถงระบบไมปลอดภย
1 4 1 1 1 ต0ามาก A 9.4.2 กาหนดใหใชโปรโตคอลท0มความปลอดภยในการเขาถงขอมล
82 Hardware Distribute Switch Factory A
อปกรณถกสวมสทธในการเขาใชงาน
ผดแลระบบไมมการ Logout หลงจากการเขาใชงาน
1 1 1 4 1 ต0ามาก A 11.2.9 กาหนดใหระบบตดการใชงาน เม0อผใชงานไมไดใชงานระบบมาระยะเวลาหน0ง
121
ภยคกคาม (Threat)F O R C
มาตรการ
ควบคม
แผนการจดการความเส�ยงปจจบนระดบความ
เส�ยง
ผลการทบดานตางๆ โอกาสลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability)
83 Hardware Distribute Switch Factory A
ไมสามารถตรวจสอบการใชงานยอนหลงได
ไมมการเกบ Log 1 1 1 2 2 ต0ามาก A 12.4.1 กาหนดใหมการบนทก Log แสดงขอมลการใชงานระบบ
84 Hardware Distribute Switch Factory B
อปกรณชารดเสยหาย ไมมกระบวนการการบารงรกษา และเฝาระวงตดตาม
1 3 1 3 2 ต0า A 11.2.4 จดทาแผนการซอมบารง หรอทาสญญาการซอมบารงกบผจาหนายอปกรณ พรอมม SLA
85 Hardware Distribute Switch Factory B
ถกขโมย สญหายหรอถกทาลาย ไมมการปองกน-ควบคมการเขาถงทางกายภาพ
1 4 1 1 1 ต0ามาก A 11.1.1, A 11.1.2, A 11.1.3, A 11.1.4,A 11.1.6, A 11.2.1
ตดต Gงในหองเคร0องแมขาย ซ0งมการแยกออกจากพGนท0การทางานอยางชดเจน มกาแพงร Gวรอบขอบชด มมาตรการควบคมการเขาออกหองเคร0องแมขาย ซ0งเขาออกไดเฉพาะผท0ไดรบอนญาต โดยมเจาหนาท0รกษาความปลอดภย ประต 3 ช Gน มการตดต Gง Access Control และกลองวงจรปดตรวจจบความเคล0อนไหว พรอมท Gงมการตรวจสอบอยเสมอ
86 Hardware Distribute Switch Factory B
อปกรณไมสามารถใหบรการไดอยางตอเน0อง
การลมเหลวของกระแสไฟฟา 1 5 1 1 1 ต0า A 11.2.2 มการตดต Gงเคร0องสารองไฟ
87 Hardware Distribute Switch Factory B
อปกรณถกแกไขคาอปกรณโดยไมไดรบอนญาต
โปรโตคอลท0ใชในการเขาถงระบบไมปลอดภย
1 4 1 1 1 ต0ามาก A 9.4.2 กาหนดใหใชโปรโตคอลท0มความปลอดภยในการเขาถงขอมล
88 Hardware Distribute Switch Factory B
อปกรณถกสวมสทธในการเขาใชงาน
ผดแลระบบไมมการ Logout หลงจากการเขาใชงาน
1 1 1 4 1 ต0ามาก A 11.2.9 กาหนดใหระบบตดการใชงาน เม0อผใชงานไมไดใชงานระบบมาระยะเวลาหน0ง
122
ภยคกคาม (Threat)F O R C
มาตรการ
ควบคม
แผนการจดการความเส�ยงปจจบนระดบความ
เส�ยง
ผลการทบดานตางๆ โอกาสลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability)
89 Hardware Distribute Switch Factory B
ไมสามารถตรวจสอบการใชงานยอนหลงได
ไมมการเกบ Log 1 1 1 2 2 ต0ามาก A 12.4.1 กาหนดใหมการบนทก Log แสดงขอมลการใชงานระบบ
90 Hardware Distribute Switch Factory C
อปกรณชารดเสยหาย ไมมกระบวนการการบารงรกษา และเฝาระวงตดตาม
1 3 1 3 2 ต0า A 11.2.4 จดทาแผนการซอมบารง หรอทาสญญาการซอมบารงกบผจาหนายอปกรณ พรอมม SLA
91 Hardware Distribute Switch Factory C
ถกขโมย สญหายหรอถกทาลาย ไมมการปองกน-ควบคมการเขาถงทางกายภาพ
1 4 1 1 1 ต0ามาก A 11.1.1, A 11.1.2, A 11.1.3, A 11.1.4,A 11.1.6, A 11.2.1
ตดต Gงในหองเคร0องแมขาย ซ0งมการแยกออกจากพGนท0การทางานอยางชดเจน มกาแพงร Gวรอบขอบชด มมาตรการควบคมการเขาออกหองเคร0องแมขาย ซ0งเขาออกไดเฉพาะผท0ไดรบอนญาต โดยมเจาหนาท0รกษาความปลอดภย ประต 3 ช Gน มการตดต Gง Access Control และกลองวงจรปดตรวจจบความเคล0อนไหว พรอมท Gงมการตรวจสอบอยเสมอ
92 Hardware Distribute Switch Factory C
อปกรณไมสามารถใหบรการไดอยางตอเน0อง
การลมเหลวของกระแสไฟฟา 1 5 1 1 1 ต0า A 11.2.2 มการตดต Gงเคร0องสารองไฟ
93 Hardware Distribute Switch Factory C
อปกรณถกแกไขคาอปกรณโดยไมไดรบอนญาต
โปรโตคอลท0ใชในการเขาถงระบบไมปลอดภย
1 4 1 1 1 ต0ามาก A 9.4.2 กาหนดใหใชโปรโตคอลท0มความปลอดภยในการเขาถงขอมล
94 Hardware Distribute Switch Factory C
อปกรณถกสวมสทธในการเขาใชงาน
ผดแลระบบไมมการ Logout หลงจากการเขาใชงาน
1 1 1 4 1 ต0ามาก A 11.2.9 กาหนดใหระบบตดการใชงาน เม0อผใชงานไมไดใชงานระบบมาระยะเวลาหน0ง
123
ภยคกคาม (Threat)F O R C
มาตรการ
ควบคม
แผนการจดการความเส�ยงปจจบนระดบความ
เส�ยง
ผลการทบดานตางๆ โอกาสลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability)
95 Hardware Distribute Switch Factory C
ไมสามารถตรวจสอบการใชงานยอนหลงได
ไมมการเกบ Log 1 1 1 2 2 ต0ามาก A 12.4.1 กาหนดใหมการบนทก Log แสดงขอมลการใชงานระบบ
96 Hardware Access Switch for Internet Café
อปกรณชารดเสยหาย ไมมกระบวนการการบารงรกษา และเฝาระวงตดตาม
1 1 1 1 1 ต0ามาก A 11.2.4 จดทาแผนการซอมบารง หรอทาสญญาการซอมบารงกบผจาหนายอปกรณ พรอมม SLA
97 Hardware Access Switch for Internet Café
ถกขโมย สญหายหรอถกทาลาย ไมมการปองกน-ควบคมการเขาถงทางกายภาพ
1 1 1 1 1 ต0ามาก A 11.1.1, A 11.1.2, A 11.1.3, A 11.1.4,A 11.1.6, A 11.2.1
ตดต Gงในหองเคร0องแมขาย ซ0งมการแยกออกจากพGนท0การทางานอยางชดเจน มกาแพงร Gวรอบขอบชด มมาตรการควบคมการเขาออกหองเคร0องแมขาย ซ0งเขาออกไดเฉพาะผท0ไดรบอนญาต โดยมเจาหนาท0รกษาความปลอดภย ประต 3 ช Gน มการตดต Gง Access Control และกลองวงจรปดตรวจจบความเคล0อนไหว พรอมท Gงมการตรวจสอบอยเสมอ
98 Hardware Access Switch for Internet Café
อปกรณไมสามารถใหบรการไดอยางตอเน0อง
การลมเหลวของกระแสไฟฟา 1 1 1 1 1 ต0ามาก A 11.2.2 มการตดต Gงเคร0องสารองไฟ
99 Hardware Access Switch for Internet Café
อปกรณถกแกไขคาอปกรณโดยไมไดรบอนญาต
โปรโตคอลท0ใชในการเขาถงระบบไมปลอดภย
1 1 1 1 1 ต0ามาก A 9.4.2 กาหนดใหใชโปรโตคอลท0มความปลอดภยในการเขาถงขอมล
100 Hardware Access Switch for Café
อปกรณถกสวมสทธในการเขาใชงาน
ผดแลระบบไมมการ Logout หลงจากการเขาใชงาน
1 1 1 2 1 ต0ามาก A 11.2.9 กาหนดใหระบบตดการใชงาน เม0อผใชงานไมไดใชงานระบบมาระยะเวลาหน0ง
124
ภยคกคาม (Threat)F O R C
มาตรการ
ควบคม
แผนการจดการความเส�ยงปจจบนระดบความ
เส�ยง
ผลการทบดานตางๆ โอกาสลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability)
101 Hardware Air Conditioner No.1
อปกรณชารดเสยหาย ไมมกระบวนการการบารงรกษา และเฝาระวงตดตาม
1 1 1 1 2 ต0ามาก A 11.2.4 จดทาแผนการซอมบารง หรอทาสญญาการซอมบารงกบผจาหนายอปกรณ
102 Hardware Air Conditioner No.1
อปกรณไมสามารถใหบรการไดอยางตอเน0อง
การลมเหลวของกระแสไฟฟา 1 5 1 1 3 ปานกลาง A 11.2.2 รองขอการตดต Gงแหลงจายไฟฟาจาก 2 แหลงจาย จากฝายสานกงาน
103 Hardware Air Conditioner No.1
ถกขโมย สญหายหรอถกทาลาย ไมมการปองกน-ควบคมการเขาถงทางกายภาพ
2 4 1 1 1 ต0ามาก A 11.2.4 มกระบวนการตรวจสอบและควบคมอณภมใหเหมาะสม ซ0งอยระหวาง 20-24 C
104 Hardware Air Conditioner No.2
อปกรณชารดเสยหาย ไมมกระบวนการการบารงรกษา และเฝาระวงตดตาม
1 1 1 1 1 ต0ามาก A 11.2.4 จดทาแผนการซอมบารง หรอทาสญญาการซอมบารงกบผจาหนายอปกรณ
105 Hardware Air Conditioner No.2
อปกรณไมสามารถใหบรการไดอยางตอเน0อง
การลมเหลวของกระแสไฟฟา 1 5 1 1 3 ปานกลาง A 11.2.2 รองขอการตดต Gงแหลงจายไฟฟาจาก 2 แหลงจาย จากฝายสานกงาน
106 Hardware Air Conditioner No.2
ถกขโมย สญหายหรอถกทาลาย ไมมการปองกน-ควบคมการเขาถงทางกายภาพ
2 4 1 1 1 ต0ามาก A 11.2.4 มกระบวนการตรวจสอบและควบคมอณภมใหเหมาะสม ซ0งอยระหวาง 20-24 C
107 Hardware UPS for Server Rack
อปกรณชารดเสยหาย ไมมกระบวนการการบารงรกษา และเฝาระวงตดตาม
3 4 1 1 2 ต0า A 11.2.4 จดทาแผนการซอมบารง หรอทาสญญาการซอมบารงกบผจาหนายอปกรณ
108 Hardware UPS for Server Rack
ถกขโมย สญหายหรอถกทาลาย ไมมการปองกน-ควบคมการเขาถงทางกายภาพ
3 4 2 3 1 ต0ามาก A 11.1.2 มมาตรการควบคมการเขาออกหองศนยขอมล โดยมเจาหนาท0รกษาความปลอดภย ประต 3 ช Gน พรอมท Gงตดต Gงกลองวงจรปด
109 Hardware UPS for Server Rack
อปกรณไมสามารถใหบรการไดอยางตอเน0อง
การลมเหลวแหลงจายกระแสไฟฟา 1 5 1 1 4 สง จดหาแหลงจายไฟฟา ใหมอยางนอย 2 แหลง
125
4.4.2 ผลการประเมนความเส�ยงทรพยสนประเภทซอฟทแวร หลงดาเนนการโครงงาน
ภยคกคาม (Threat)F O R C
110 Software Windows Server 2003
ถกเขาถงโดยผไมไดรบอนญาต ขาดนโยบายการต ,งรหสผาน (password) ท4เหมาะสม
1 4 1 3 1 ต4ามาก A 9.4.3 กาหนดนโยบายบรหารจดการบญชรายช4อผใชงาน กาหนดนโยบายการต ,งรหสผาน และบงคบใชรหสผานท4ยากตอการคาดเดายาวอยางนอย 8 ตวอกษร ผสมท ,งอกษรพมพเลก-ใหญ, สญลกษณ และตวเลขอยางนอย 3 อยาง และเปล4ยนรหสผานทก 90 วน
111 Software Windows Server 2003
ถกเขาถงโดยผไมมสทธ Nใชงาน ไมมการถอดสทธ N เม4อมการเปล4ยนแปลงหนาท4รบผดชอบ
1 4 1 3 2 ต4า A 9.2.1, A 9.2.5, A 9.2.6
ทาการทบทวนสทธ Nของผใชงานในระบบตามระยะเวลาท4กาหนด และลบหรอถอดถอนสทธ Nทนทท4มการลาออก หรอเปล4ยนหนาท4รบผดชอบ
112 Software Windows Server 2003
คนไมมสทธ Nเขาไปแกไขระบบ ผดแลระบบไมทาการ Logout หลงการใชงาน
1 4 1 3 2 ต4า A 9.4.2 กาหนดนโยบายการเขา และออกจากระบบ โดยใหมการ Logout อตโนมต
113 Software Windows Server 2003
ไวรสคอมพวเตอรแพรกระจาย Scan Engine และ Virus Definition ของซอฟทแวร Anti-Virus ไมอพเดท
1 1 1 1 1 ต4ามาก A 12.2 ตดต ,งซอฟทแวรปองกนไวรส Update definition ใหลาสดเสมอ มกระบวนการตรวจสอบ รวมท ,งมมาตรการกคนหากเกดการแพรกระจายจากโปรแกรมไมประสงคด และสรางความตระหนกกบผท4เก4ยวของ
มาตรการ
ควบคม
แผนการจดการความเส�ยงปจจบนผลการทบดานตางๆ โอกาส ระดบความ
เส�ยง
ตารางท4 4.10 ตารางผลการประเมนความเส4ยงทรพยสนประเภทซอฟทแวร หลงดาเนนการโครงงานลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability)
126
ภยคกคาม (Threat)F O R C
มาตรการ
ควบคม
แผนการจดการความเส�ยงปจจบนผลการทบดานตางๆ โอกาส ระดบความ
เส�ยง
ลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability)
114 Software Windows Server 2003
ถกโจมตจนไมสามารถใหบรการได ไมมกระบวนการในการตดตามปรบปรง Security Patch ใหทนสมย
1 5 1 1 1 ต4า A 12.6.1 กาหนดนโยบายอพเดทแพทชและเฝาระวงการอพเดทแพทชใหลาสดเสมอ และทาการ Hardening ตามขอแนะนาและมาตรฐาน ของไมโครซอฟท
115 Software Windows Server 2003
การแกไขคาตดต ,ง (Configuration) ผดพลาด ทาใหระบบทางานผดพลาด
ไมมเอกสารคมอการใชงาน 1 1 1 1 1 ต4ามาก A 12.1.1 ไมมเอกสารคมอการใชงาน เชน System Guide, Admin Guide, User Guide และ Maintenance Guide เปนตน
116 Software Windows Server 2003
ระบบไมสามารถใหบรการหรอทางานผดพลาด หลงจากการปรบปรงเปล4ยนแปลง
ไมมระบบสาหรบทดสอบแยกกบระบบจรง
1 1 1 1 1 ต4ามาก A 12.1.2, A 12.1.4
บงคบใชมาตรการบรหารจดการความเปล4ยนแปลง (Change Management) จดใหมระบบสาหรบทดสอบแยกกบระบบจรง
117 Software Windows Server 2003
การละเมดลขสทธ Nซอฟทแวร ไมมกระบวนการบรหารจดการซอฟตแวรลขสทธ N
1 1 1 1 1 ต4ามาก A 12.6.2 มการทบทวนการตดต ,งซอฟทแวรตามสทธ Nท4ไดรบ และปองกนการตดต ,งซอฟทแวรโดยไมไดรบอนญาต การจดเกบหรอปองกนแผนซอฟทแวร รวมถงการสรางความตระหนกตอโทษของการกระทาความผด
127
ภยคกคาม (Threat)F O R C
มาตรการ
ควบคม
แผนการจดการความเส�ยงปจจบนผลการทบดานตางๆ โอกาส ระดบความ
เส�ยง
ลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability)
118 Software Windows Server 2008
ถกเขาถงโดยผไมไดรบอนญาต ขาดนโยบายการต ,งรหสผาน (password) ท4เหมาะสม
1 5 1 2 1 ต4า A 9.4.3 กาหนดนโยบายบรหารจดการบญชรายช4อผใชงาน กาหนดนโยบายการต ,งรหสผาน และบงคบใชรหสผานท4ยากตอการคาดเดายาวอยางนอย 8 ตวอกษร ผสมท ,งอกษรพมพเลก-ใหญ, สญลกษณ และตวเลขอยางนอย 3 อยาง และเปล4ยนรหสผานทก 90 วน
119 Software Windows Server 2008
ถกเขาถงโดยผไมมสทธ Nใชงาน ไมมการถอดสทธ N เม4อมการเปล4ยนแปลงหนาท4รบผดชอบ
1 5 1 3 1 ต4า A 9.2.1, A 9.2.5, A 9.2.6
ทาการทบทวนสทธ Nของผใชงานในระบบตามระยะเวลาท4กาหนด และลบหรอถอดถอนสทธ Nทนทท4มการลาออก หรอเปล4ยนหนาท4รบผดชอบ
120 Software Windows Server 2008
คนไมมสทธ Nเขาไปแกไขระบบ ผดแลระบบไมทาการ Logout หลงการใชงาน
1 5 1 3 1 ต4า A 9.4.2 กาหนดนโยบายการเขา และออกจากระบบ โดยใหมการ Logout อตโนมต
121 Software Windows Server 2008
ไวรสคอมพวเตอรแพรกระจาย Scan Engine และ Virus Definition ของซอฟทแวร Anti-Virus ไมอพเดท
1 5 1 1 1 ต4า A 12.2 ตดต ,งซอฟทแวรปองกนไวรส Update definition ใหลาสดเสมอ มกระบวนการตรวจสอบ รวมท ,งมมาตรการกคนหากเกดการแพรกระจายจากโปรแกรมไมประสงคด และสรางความตระหนกกบผท4เก4ยวของ
128
ภยคกคาม (Threat)F O R C
มาตรการ
ควบคม
แผนการจดการความเส�ยงปจจบนผลการทบดานตางๆ โอกาส ระดบความ
เส�ยง
ลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability)
122 Software Windows Server 2008
ถกโจมตจนไมสามารถใหบรการได ไมมกระบวนการในการตดตามปรบปรง Security Patch ใหทนสมย
1 5 1 1 1 ต4า A 12.6.1 กาหนดนโยบายอพเดทแพทชและเฝาระวงการอพเดทแพทชใหลาสดเสมอ และทาการ Hardening ตามขอแนะนาและมาตรฐาน ของไมโครซอฟท
123 Software Windows Server 2008
การแกไขคาตดต ,ง (Configuration) ผดพลาด ทาใหระบบทางานผดพลาด
ไมมเอกสารคมอการใชงาน 1 5 1 1 2 ปานกลาง A 12.1.1 ไมมเอกสารคมอการใชงาน เชน System Guide, Admin Guide, User Guide และ Maintenance Guide เปนตน
124 Software Windows Server 2008
ระบบไมสามารถใหบรการหรอทางานผดพลาด หลงจากการปรบปรงเปล4ยนแปลง
ไมมระบบสาหรบทดสอบแยกกบระบบจรง
1 5 1 1 1 ต4า A 12.1.2, A 12.1.4
บงคบใชมาตรการบรหารจดการความเปล4ยนแปลง (Change Management) จดใหมระบบสาหรบทดสอบแยกกบระบบจรง
125 Software Windows Server 2008
การละเมดลขสทธ Nซอฟทแวร ไมมกระบวนการบรหารจดการซอฟตแวรลขสทธ N
1 5 1 1 1 ต4า A 12.6.2 มการทบทวนการตดต ,งซอฟทแวรตามสทธ Nท4ไดรบ และปองกนการตดต ,งซอฟทแวรโดยไมไดรบอนญาต การจดเกบหรอปองกนแผนซอฟทแวร รวมถงการสรางความตระหนกตอโทษของการกระทาความผด
126 Software Windows Server 2012
ถกเขาถงโดยผไมไดรบอนญาต ขาดนโยบายการต ,งรหสผาน (password) ท4เหมาะสม
1 5 1 2 1 ต4า A 9.4.3 กาหนดนโยบายบรหารจดการบญชรายช4อผใชงาน กาหนดนโยบายการต ,งรหสผาน และบงคบใชรหสผานท4ยากตอการคาดเดายาวอยางนอย 8 ตวอกษร ผสมท ,งอกษรพมพเลก-ใหญ, สญลกษณ และตวเลขอยางนอย 3 อยาง และเปล4ยนรหสผานทก 90 วน
129
ภยคกคาม (Threat)F O R C
มาตรการ
ควบคม
แผนการจดการความเส�ยงปจจบนผลการทบดานตางๆ โอกาส ระดบความ
เส�ยง
ลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability)
127 Software Windows Server 2012
ถกเขาถงโดยผไมมสทธ Nใชงาน ไมมการถอดสทธ N เม4อมการเปล4ยนแปลงหนาท4รบผดชอบ
1 5 1 3 1 ต4า A 9.2.1, A 9.2.5, A 9.2.6
ทาการทบทวนสทธ Nของผใชงานในระบบตามระยะเวลาท4กาหนด และลบหรอถอดถอนสทธ Nทนทท4มการลาออก หรอเปล4ยนหนาท4รบผดชอบ
128 Software Windows Server 2012
คนไมมสทธ Nเขาไปแกไขระบบ ผดแลระบบไมทาการ Logout หลงการใชงาน
1 5 1 3 1 ต4า A 9.4.2 กาหนดนโยบายการเขา และออกจากระบบ โดยใหมการ Logout อตโนมต
129 Software Windows Server 2012
ไวรสคอมพวเตอรแพรกระจาย Scan Engine และ Virus Definition ของซอฟทแวร Anti-Virus ไมอพเดท
1 5 1 1 1 ต4า A 12.2 ตดต ,งซอฟทแวรปองกนไวรส Update definition ใหลาสดเสมอ มกระบวนการตรวจสอบ รวมท ,งมมาตรการกคนหากเกดการแพรกระจายจากโปรแกรมไมประสงคด และสรางความตระหนกกบผท4เก4ยวของ
130 Software Windows Server 2012
ถกโจมตจนไมสามารถใหบรการได ไมมกระบวนการในการตดตามปรบปรง Security Patch ใหทนสมย
1 5 1 1 1 ต4า A 12.6.1 กาหนดนโยบายอพเดทแพทชและเฝาระวงการอพเดทแพทชใหลาสดเสมอ และทาการ Hardening ตามขอแนะนาและมาตรฐาน ของไมโครซอฟท
131 Software Windows Server 2012
การแกไขคาตดต ,ง (Configuration) ผดพลาด ทาใหระบบทางานผดพลาด
ไมมเอกสารคมอการใชงาน 1 5 1 1 2 ปานกลาง A 12.1.1 ไมมเอกสารคมอการใชงาน เชน System Guide, Admin Guide, User Guide และ Maintenance Guide เปนตน
132 Software Windows Server 2012
ระบบไมสามารถใหบรการหรอทางานผดพลาด หลงจากการปรบปรงเปล4ยนแปลง
ไมมระบบสาหรบทดสอบแยกกบระบบจรง
1 5 1 1 1 ต4า A 12.1.2, A 12.1.4
บงคบใชมาตรการบรหารจดการความเปล4ยนแปลง (Change Management) จดใหมระบบสาหรบทดสอบแยกกบระบบจรง
130
ภยคกคาม (Threat)F O R C
มาตรการ
ควบคม
แผนการจดการความเส�ยงปจจบนผลการทบดานตางๆ โอกาส ระดบความ
เส�ยง
ลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability)
133 Software Windows Server 2012
การละเมดลขสทธ Nซอฟทแวร ไมมกระบวนการบรหารจดการซอฟตแวรลขสทธ N
1 5 1 1 1 ต4า A 12.6.2 มการทบทวนการตดต ,งซอฟทแวรตามสทธ Nท4ไดรบ และปองกนการตดต ,งซอฟทแวรโดยไมไดรบอนญาต การจดเกบหรอปองกนแผนซอฟทแวร รวมถงการสรางความตระหนกตอโทษของการกระทาความผด
134 Software Linux ubuntu ถกเขาถงโดยผไมไดรบอนญาต ขาดนโยบายการต ,งรหสผาน (password) ท4เหมาะสม
1 1 1 2 2 ต4ามาก A 9.4.3 กาหนดนโยบายบรหารจดการบญชรายช4อผใชงาน กาหนดนโยบายการต ,งรหสผาน และบงคบใชรหสผานท4ยากตอการคาดเดายาวอยางนอย 8 ตวอกษร ผสมท ,งอกษรพมพเลก-ใหญ, สญลกษณ และตวเลขอยางนอย 3 อยาง และเปล4ยนรหสผานทก 90 วน
135 Software Linux ubuntu ถกเขาถงโดยผไมมสทธ Nใชงาน ไมมการถอดสทธ N เม4อมการเปล4ยนแปลงหนาท4รบผดชอบ
1 1 1 2 2 ต4ามาก A 9.2.1, A 9.2.5, A 9.2.6
ทาการทบทวนสทธ Nของผใชงานในระบบตามระยะเวลาท4กาหนด และลบหรอถอดถอนสทธ Nทนทท4มการลาออก หรอเปล4ยนหนาท4รบผดชอบ
136 Software Linux ubuntu คนไมมสทธ Nเขาไปแกไขระบบ ผดแลระบบไมทาการ Logout หลงการใชงาน
1 1 1 2 2 ต4ามาก A 9.4.2 กาหนดนโยบายการเขา และออกจากระบบ โดยใหมการ Logout อตโนมต
131
ภยคกคาม (Threat)F O R C
มาตรการ
ควบคม
แผนการจดการความเส�ยงปจจบนผลการทบดานตางๆ โอกาส ระดบความ
เส�ยง
ลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability)
137 Software Linux ubuntu ไวรสคอมพวเตอรแพรกระจาย Scan Engine และ Virus Definition ของซอฟทแวร Anti-Virus ไมอพเดท
1 1 1 2 1 ต4ามาก A 12.2 ตดต ,งซอฟทแวรปองกนไวรส Update definition ใหลาสดเสมอ มกระบวนการตรวจสอบ รวมท ,งมมาตรการกคนหากเกดการแพรกระจายจากโปรแกรมไมประสงคด และสรางความตระหนกกบผท4เก4ยวของ
138 Software Linux ubuntu ถกโจมตจนไมสามารถใหบรการได ไมมกระบวนการในการตดตามปรบปรง Security Patch ใหทนสมย
1 1 1 2 2 ต4ามาก A 12.6.1 กาหนดนโยบายอพเดทแพทชและเฝาระวงการอพเดทแพทชใหลาสดเสมอ และทาการ Hardening ตามขอแนะนาและมาตรฐาน ของไมโครซอฟท
139 Software Linux ubuntu การแกไขคาตดต ,ง (Configuration) ผดพลาด ทาใหระบบทางานผดพลาด
ไมมเอกสารคมอการใชงาน 1 1 1 2 2 ต4ามาก A 12.1.1 ไมมเอกสารคมอการใชงาน เชน System Guide, Admin Guide, User Guide และ Maintenance Guide เปนตน
140 Software Linux ubuntu ระบบไมสามารถใหบรการหรอทางานผดพลาด หลงจากการปรบปรงเปล4ยนแปลง
ไมมระบบสาหรบทดสอบแยกกบระบบจรง
1 1 1 2 2 ต4ามาก A 12.1.2, A 12.1.4
บงคบใชมาตรการบรหารจดการความเปล4ยนแปลง (Change Management) จดใหมระบบสาหรบทดสอบแยกกบระบบจรง
141 Software Linux ubuntu การละเมดลขสทธ Nซอฟทแวร ไมมกระบวนการบรหารจดการซอฟตแวรลขสทธ N
1 1 1 5 1 ต4า A 12.6.2 มการทบทวนการตดต ,งซอฟทแวรตามสทธ Nท4ไดรบ และปองกนการตดต ,งซอฟทแวรโดยไมไดรบอนญาต การจดเกบหรอปองกนแผนซอฟทแวร รวมถงการสรางความตระหนกตอโทษของการกระทาความผด
132
ภยคกคาม (Threat)F O R C
มาตรการ
ควบคม
แผนการจดการความเส�ยงปจจบนผลการทบดานตางๆ โอกาส ระดบความ
เส�ยง
ลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability)
142 Software Unix AIX ถกเขาถงโดยผไมไดรบอนญาต ขาดนโยบายการต ,งรหสผาน (password) ท4เหมาะสม
1 5 1 4 1 ต4า A 9.4.3 กาหนดนโยบายบรหารจดการบญชรายช4อผใชงาน กาหนดนโยบายการต ,งรหสผาน และบงคบใชรหสผานท4ยากตอการคาดเดายาวอยางนอย 8 ตวอกษร ผสมท ,งอกษรพมพเลก-ใหญ, สญลกษณ และตวเลขอยางนอย 3 อยาง และเปล4ยนรหสผานทก 90 วน
143 Software Unix AIX ถกเขาถงโดยผไมมสทธ Nใชงาน ไมมการถอดสทธ N เม4อมการเปล4ยนแปลงหนาท4รบผดชอบ
1 5 1 3 1 ต4า A 9.2.1, A 9.2.5, A 9.2.6
ทาการทบทวนสทธ Nของผใชงานในระบบตามระยะเวลาท4กาหนด และลบหรอถอดถอนสทธ Nทนทท4มการลาออก หรอเปล4ยนหนาท4รบผดชอบ
144 Software Unix AIX การใชงานเกนสทธท4ถกตอง ขาดกระบวนการกาหนดสทธท4ถกตองเหมาะสม
1 5 1 3 1 ต4า A 9.2.3, A 9.2.4
กาหนดกระบวนการขออนมตใชงานระบบเปนลายลกษณอกษร และบนทกไวเปนหลกฐาน
145 Software Unix AIX คนไมมสทธ Nเขาไปแกไขระบบ ผดแลระบบไมทาการ Logout หลงการใชงาน
1 3 1 3 2 ต4า A 9.4.2 กาหนดนโยบายการเขา และออกจากระบบ โดยใหมการ Logout อตโนมต
133
ภยคกคาม (Threat)F O R C
มาตรการ
ควบคม
แผนการจดการความเส�ยงปจจบนผลการทบดานตางๆ โอกาส ระดบความ
เส�ยง
ลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability)
146 Software Unix AIX ไวรสคอมพวเตอรแพรกระจาย Scan Engine และ Virus Definition ของซอฟทแวร Anti-Virus ไมอพเดท
1 5 1 1 1 ต4า A 12.2 ตดต ,งซอฟทแวรปองกน Update definition ใหลาสดเสมอ มกระบวนการตรวจสอบ รวมท ,งมมาตรการกคนหากเกดการแพรกระจายจากโปรแกรมไมประสงคด และสรางความตระหนกกบผท4เก4ยวของ
147 Software Unix AIX ถกโจมตจนไมสามารถใหบรการได ไมมกระบวนการในการตดตามปรบปรง Security Patch ใหทนสมย
1 5 1 1 1 ต4า A 12.6.1 กาหนดนโยบายอพเดทแพทชและเฝาระวงการอพเดทแพทชใหลาสดเสมอ และทาการ Hardening ตามขอแนะนาและมาตรฐาน ของไมโครซอฟท
148 Software Unix AIX การแกไขคาตดต ,ง (Configuration) ผดพลาด ทาใหระบบทางานผดพลาด
ไมมเอกสารคมอการใชงาน 1 5 1 2 2 ปานกลาง A 12.1.1 ไมมเอกสารคมอการใชงาน เชน System Guide, Admin Guide, User Guide และ Maintenance Guide เปนตน
149 Software Unix AIX ระบบไมสามารถใหบรการหรอทางานผดพลาด หลงจากการปรบปรงเปล4ยนแปลง
ไมมระบบสาหรบทดสอบแยกกบระบบจรง
1 5 1 2 2 ปานกลาง A 12.1.2, A 12.1.4
บงคบใชมาตรการบรหารจดการความเปล4ยนแปลง (Change Management) จดใหมระบบสาหรบทดสอบแยกกบระบบจรง
150 Software Unix AIX การละเมดลขสทธ Nซอฟทแวร ไมมกระบวนการบรหารจดการซอฟตแวรลขสทธ N
1 1 5 5 1 ต4า A 12.6.2 มการทบทวนการตดต ,งซอฟทแวรตามสทธ Nท4ไดรบ และปองกนการตดต ,งซอฟทแวรโดยไมไดรบอนญาต การจดเกบหรอปองกนแผนซอฟทแวร รวมถงการสรางความตระหนกตอโทษของการกระทาความผด
134
ภยคกคาม (Threat)F O R C
มาตรการ
ควบคม
แผนการจดการความเส�ยงปจจบนผลการทบดานตางๆ โอกาส ระดบความ
เส�ยง
ลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability)
151 Software Mail Server ถกเขาถงโดยผไมไดรบอนญาต ขาดนโยบายการต ,งรหสผาน (password) ท4เหมาะสม
1 4 2 3 2 ต4า A 9.4.3 กาหนดนโยบายบรหารจดการบญชรายช4อผใชงาน กาหนดนโยบายการต ,งรหสผาน และบงคบใชรหสผานท4ยากตอการคาดเดายาวอยางนอย 8 ตวอกษร ผสมท ,งอกษรพมพเลก-ใหญ, สญลกษณ และตวเลขอยางนอย 3 อยาง และเปล4ยนรหสผานทก 90 วน
152 Software Mail Server ถกเขาถงโดยผไมมสทธ Nใชงาน ไมมการถอดสทธ N เม4อมการเปล4ยนแปลงหนาท4รบผดชอบ
1 4 2 3 2 ต4า A 9.2.1, A 9.2.5, A 9.2.6
ทาการทบทวนสทธ Nของผใชงานในระบบตามระยะเวลาท4กาหนด และลบหรอถอดถอนสทธ Nทนทท4มการลาออก หรอเปล4ยนหนาท4รบผดชอบ
153 Software Mail Server การใชงานเกนสทธท4ถกตอง ขาดกระบวนการกาหนดสทธท4ถกตองเหมาะสม
1 3 2 3 2 ต4า A 9.2.3, A 9.2.4
กาหนดกระบวนการขออนมตใชงานระบบเปนลายลกษณอกษร และบนทกไวเปนหลกฐาน
154 Software Mail Server อเมลสงไมถงปลายทาง รบสงลาชา ระบบทางานผดพลาด หรอถกทาลายจากโปรแกรมท4ไมประสงคด
Scan Engine และ Virus Definition ของซอฟทแวร Anti-Virus ไมอพเดท
1 5 2 4 2 ปานกลาง A 12.2 ตดต ,งซอฟทแวรปองกน Update definition ใหลาสดเสมอ มกระบวนการตรวจสอบ รวมท ,งมมาตรการกคนหากเกดการแพรกระจายจากโปรแกรมไมประสงคด และสรางความตระหนกกบผท4เก4ยวของ
135
ภยคกคาม (Threat)F O R C
มาตรการ
ควบคม
แผนการจดการความเส�ยงปจจบนผลการทบดานตางๆ โอกาส ระดบความ
เส�ยง
ลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability)
155 Software Mail Server ถกโจมตจนไมสามารถใหบรการได ไมมกระบวนการในการตดตามปรบปรง Security Patch ใหทนสมย
1 5 2 4 2 ปานกลาง A 12.6.1 กาหนดนโยบายอพเดทแพทชและเฝาระวงการอพเดทแพทชใหลาสดเสมอ และทาการปรบปรงตามขอแนะนาและมาตรฐาน ของเจาของผลตภณฑ
156 Software Mail Server ทาการแกไขคาตดต ,ง (Configuration) ผดพลาด ทาใหระบบทางานผดพลาด
ไมมเอกสารคมอการใชงาน 1 5 1 3 2 ปานกลาง A 12.1.1 ไมมเอกสารคมอการใชงาน เชน System Guide, Admin Guide, User Guide และ Maintenance Guide เปนตน
157 Software Mail Server ไมสามารถตรวจสอบการใชงานยอนหลงได
ไมมกระบวนการจดเกบเกบ Log 1 1 1 5 1 ต4า A 12.4.1 กาหนดใหมการบนทก Log แสดงขอมลการใชงานระบบ
158 Software Mail Server ระบบไมสามารถใหบรการหรอทางานผดพลาด หลงจากการปรบปรงเปล4ยนแปลง
ไมมระบบสาหรบทดสอบแยกกบระบบจรง
1 5 1 2 1 ต4า A 12.1.2, A 12.1.4
บงคบใชมาตรการบรหารจดการความเปล4ยนแปลง (Change Management) จดใหมระบบสาหรบทดสอบแยกกบระบบจรง
159 Software Mail Server ระบบถกแฮก มการเขาถงโดยพอรตท4ไมปลอดภย 4 5 1 1 5 สง A 9.4.2 จดทาแผนปรบปรงการเขาถงระบบดวยพอรตท4มความปลอดภย
160 Software Mail Server การละเมดลขสทธ Nซอฟทแวร ไมมกระบวนการบรหารจดการซอฟตแวรลขสทธ N
4 5 1 1 1 ต4า A 12.6.2 มการทบทวนการตดต ,งซอฟทแวรตามสทธ Nท4ไดรบ และปองกนการตดต ,งซอฟทแวรโดยไมไดรบอนญาต การจดเกบหรอปองกนแผนซอฟทแวร รวมถงการสรางความตระหนกตอโทษของการกระทาความผด
136
ภยคกคาม (Threat)F O R C
มาตรการ
ควบคม
แผนการจดการความเส�ยงปจจบนผลการทบดานตางๆ โอกาส ระดบความ
เส�ยง
ลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability)
161 Software WorkFlow Server ถกเขาถงโดยผไมไดรบอนญาต ขาดนโยบายการต ,งรหสผาน (password) ท4เหมาะสม
4 3 2 3 2 ต4า A 9.4.3 กาหนดนโยบายบรหารจดการบญชรายช4อผใชงาน กาหนดนโยบายการต ,งรหสผาน และบงคบใชรหสผานท4ยากตอการคาดเดายาวอยางนอย 8 ตวอกษร ผสมท ,งอกษรพมพเลก-ใหญ, สญลกษณ และตวเลขอยางนอย 3 อยาง และเปล4ยนรหสผานทก 90 วน
162 Software WorkFlow Server ถกเขาถงโดยผไมมสทธ Nใชงาน ไมมการถอดสทธ N เม4อมการเปล4ยนแปลงหนาท4รบผดชอบ
4 3 2 3 2 ต4า A 9.2.1, A 9.2.5, A 9.2.6
ทาการทบทวนสทธ Nของผใชงานในระบบตามระยะเวลาท4กาหนด และลบหรอถอดถอนสทธ Nทนทท4มการลาออก หรอเปล4ยนหนาท4รบผดชอบ
163 Software WorkFlow Server การใชงานเกนสทธท4ถกตอง ขาดกระบวนการกาหนดสทธท4ถกตองเหมาะสม
4 3 2 3 2 ต4า A 9.2.3, A 9.2.4
กาหนดกระบวนการขออนมตใชงานระบบเปนลายลกษณอกษร และบนทกไวเปนหลกฐาน
164 Software WorkFlow Server ระบบถกแฮก มการเขาถงโดยพอรตท4ไมปลอดภย 4 5 1 1 5 สง A 9.4.2 จดทาแผนปรบปรงการเขาถงระบบดวยพอรตท4มความปลอดภย
165 Software WorkFlow Server ทาการแกไขคาตดต ,ง (Configuration) ผดพลาด ทาใหระบบทางานผดพลาด
ไมมเอกสารคมอการใชงาน 1 5 2 3 1 ต4า A 12.1.1 ไมมเอกสารคมอการใชงาน เชน System Guide, Admin Guide, User Guide และ Maintenance Guide เปนตน
166 Software WorkFlow Server ไมสามารถตรวจสอบการใชงานยอนหลงได
ไมมกระบวนการจดเกบเกบ Log 1 1 1 4 2 ต4า A 12.4.1 กาหนดใหมการบนทก Log แสดงขอมลการใชงานระบบ
137
ภยคกคาม (Threat)F O R C
มาตรการ
ควบคม
แผนการจดการความเส�ยงปจจบนผลการทบดานตางๆ โอกาส ระดบความ
เส�ยง
ลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability)
167 Software WorkFlow Server ระบบไมสามารถใหบรการหรอทางานผดพลาด หลงจากการปรบปรงเปล4ยนแปลง
ไมมระบบสาหรบทดสอบแยกกบระบบจรง
1 5 1 2 1 ต4า A 12.1.2, A 12.1.4
บงคบใชมาตรการบรหารจดการความเปล4ยนแปลง (Change Management) จดใหมระบบสาหรบทดสอบแยกกบระบบจรง
168 Software WorkFlow Server การละเมดลขสทธ Nซอฟทแวร ไมมกระบวนการบรหารจดการซอฟตแวรลขสทธ N
5 1 3 5 1 ต4า A 12.6.2 มการทบทวนการตดต ,งซอฟทแวรตามสทธ Nท4ไดรบ และปองกนการตดต ,งซอฟทแวรโดยไมไดรบอนญาต การจดเกบหรอปองกนแผนซอฟทแวร รวมถงการสรางความตระหนกตอโทษของการกระทาความผด
169 Software Digital Filing Server ถกเขาถงโดยผไมไดรบอนญาต ขาดนโยบายการต ,งรหสผาน (password) ท4เหมาะสม
4 3 2 3 2 ต4า A 9.4.3 กาหนดนโยบายบรหารจดการบญชรายช4อผใชงาน กาหนดนโยบายการต ,งรหสผาน และบงคบใชรหสผานท4ยากตอการคาดเดายาวอยางนอย 8 ตวอกษร ผสมท ,งอกษรพมพเลก-ใหญ, สญลกษณ และตวเลขอยางนอย 3 อยาง และเปล4ยนรหสผานทก 90 วน
170 Software Digital Filing Server ถกเขาถงโดยผไมมสทธ Nใชงาน ไมมการถอดสทธ N เม4อมการเปล4ยนแปลงหนาท4รบผดชอบ
4 3 2 3 2 ต4า A 9.2.1, A 9.2.5, A 9.2.6
ทาการทบทวนสทธ Nของผใชงานในระบบตามระยะเวลาท4กาหนด และลบหรอถอดถอนสทธ Nทนทท4มการลาออก หรอเปล4ยนหนาท4รบผดชอบ
138
ภยคกคาม (Threat)F O R C
มาตรการ
ควบคม
แผนการจดการความเส�ยงปจจบนผลการทบดานตางๆ โอกาส ระดบความ
เส�ยง
ลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability)
171 Software Digital Filing Server การใชงานเกนสทธท4ถกตอง ขาดกระบวนการกาหนดสทธท4ถกตองเหมาะสม
4 3 2 3 2 ต4า A 9.2.3, A 9.2.4
กาหนดกระบวนการขออนมตใชงานระบบเปนลายลกษณอกษร และบนทกไวเปนหลกฐาน
172 Software Digital Filing Server ถกโจมตจนไมสามารถใหบรการได ไมมกระบวนการในการตดตามปรบปรง Security Patch ใหทนสมย
1 5 1 1 1 ต4า A 12.6.1 กาหนดนโยบายอพเดทแพทชและเฝาระวงการอพเดทแพทชใหลาสดเสมอ และทาการ Hardening ตามขอแนะนาและมาตรฐาน ของไมโครซอฟท
173 Software Digital Filing Server ทาการแกไขคาตดต ,ง (Configuration) ผดพลาด ทาใหระบบทางานผดพลาด
ไมมเอกสารคมอการใชงาน 1 5 1 2 1 ต4า A 12.1.1 ไมมเอกสารคมอการใชงาน เชน System Guide, Admin Guide, User Guide และ Maintenance Guide เปนตน
174 Software Digital Filing Server การละเมดลขสทธ Nซอฟทแวร ไมมกระบวนการบรหารจดการซอฟตแวรลขสทธ N
1 1 3 5 1 ต4า A 12.6.2 มการทบทวนการตดต ,งซอฟทแวรตามสทธ Nท4ไดรบ และปองกนการตดต ,งซอฟทแวรโดยไมไดรบอนญาต การจดเกบหรอปองกนแผนซอฟทแวร รวมถงการสรางความตระหนกตอโทษของการกระทาความผด
139
ภยคกคาม (Threat)F O R C
มาตรการ
ควบคม
แผนการจดการความเส�ยงปจจบนผลการทบดานตางๆ โอกาส ระดบความ
เส�ยง
ลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability)
175 Software Manufacturing Knowlegde
ถกเขาถงโดยผไมไดรบอนญาต ขาดนโยบายการต ,งรหสผาน (password) ท4เหมาะสม
4 4 2 3 2 ต4า A 9.4.3 กาหนดนโยบายบรหารจดการบญชรายช4อผใชงาน กาหนดนโยบายการต ,งรหสผาน และบงคบใชรหสผานท4ยากตอการคาดเดายาวอยางนอย 8 ตวอกษร ผสมท ,งอกษรพมพเลก-ใหญ, สญลกษณ และตวเลขอยางนอย 3 อยาง และเปล4ยนรหสผานทก 90 วน
176 Software Manufacturing Knowlegde
ถกเขาถงโดยผไมมสทธ Nใชงาน ไมมการถอดสทธ N เม4อมการเปล4ยนแปลงหนาท4รบผดชอบ
4 4 2 3 2 ต4า A 9.2.1, A 9.2.5, A 9.2.6
ทาการทบทวนสทธ Nของผใชงานในระบบตามระยะเวลาท4กาหนด และลบหรอถอดถอนสทธ Nทนทท4มการลาออก หรอเปล4ยนหนาท4รบผดชอบ
177 Software Manufacturing Knowlegde
การใชงานเกนสทธท4ถกตอง ขาดกระบวนการกาหนดสทธท4ถกตองเหมาะสม
4 4 2 3 2 ต4า A 9.2.3, A 9.2.4
กาหนดกระบวนการขออนมตใชงานระบบเปนลายลกษณอกษร และบนทกไวเปนหลกฐาน
178 Software Manufacturing Knowlegde
ระบบถกแฮก มการเขาถงโดยพอรตท4ไมปลอดภย 4 4 1 1 5 สง A 9.4.2 กาหนดใหมการเขาถงระบบดวยพอรตท4มความปลอดภย
179 Software Manufacturing Knowlegde
ทาการแกไขคาตดต ,ง (Configuration) ผดพลาด ทาใหระบบทางานผดพลาด
ทาการแกไขคาตดต ,ง (Configuration) ผดพลาด ทาใหระบบทางานผดพลาด
4 5 1 2 1 ต4า A 12.1.1 ไมมเอกสารคมอการใชงาน เชน System Guide, Admin Guide, User Guide และ Maintenance Guide เปนตน
140
ภยคกคาม (Threat)F O R C
มาตรการ
ควบคม
แผนการจดการความเส�ยงปจจบนผลการทบดานตางๆ โอกาส ระดบความ
เส�ยง
ลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability)
180 Software Manufacturing Knowlegde
การละเมดลขสทธ Nซอฟทแวร ไมมกระบวนการบรหารจดการซอฟตแวรลขสทธ N
1 1 3 5 1 ต4า A 12.6.2 มการทบทวนการตดต ,งซอฟทแวรตามสทธ Nท4ไดรบ และปองกนการตดต ,งซอฟทแวรโดยไมไดรบอนญาต การจดเกบหรอปองกนแผนซอฟทแวร รวมถงการสรางความตระหนกตอโทษของการกระทาความผด
181 Software CAD-CAM Server ถกเขาถงโดยผไมไดรบอนญาต ขาดนโยบายการต ,งรหสผาน (password) ท4เหมาะสม
1 2 1 3 2 ต4า A 9.4.3 กาหนดนโยบายบรหารจดการบญชรายช4อผใชงาน กาหนดนโยบายการต ,งรหสผาน และบงคบใชรหสผานท4ยากตอการคาดเดายาวอยางนอย 8 ตวอกษร ผสมท ,งอกษรพมพเลก-ใหญ, สญลกษณ และตวเลขอยางนอย 3 อยาง และเปล4ยนรหสผานทก 90 วน
182 Software CAD-CAM Server ถกเขาถงโดยผไมมสทธ Nใชงาน ไมมการถอดสทธ N เม4อมการเปล4ยนแปลงหนาท4รบผดชอบ
1 2 1 3 2 ต4า A 9.2.1, A 9.2.5, A 9.2.6
ทาการทบทวนสทธ Nของผใชงานในระบบตามระยะเวลาท4กาหนด และลบหรอถอดถอนสทธ Nทนทท4มการลาออก หรอเปล4ยนหนาท4รบผดชอบ
183 Software CAD-CAM Server การใชงานเกนสทธท4ถกตอง ขาดกระบวนการกาหนดสทธท4ถกตองเหมาะสม
1 3 2 3 2 ต4า A 9.2.3, A 9.2.4
กาหนดกระบวนการขออนมตใชงานระบบเปนลายลกษณอกษร และบนทกไวเปนหลกฐาน
141
ภยคกคาม (Threat)F O R C
มาตรการ
ควบคม
แผนการจดการความเส�ยงปจจบนผลการทบดานตางๆ โอกาส ระดบความ
เส�ยง
ลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability)
184 Software CAD-CAM Server ทาการแกไขคาตดต ,ง (Configuration) ผดพลาด ทาใหระบบทางานผดพลาด
ไมมเอกสารคมอการใชงาน 1 5 1 1 1 ต4า A 12.6.1 กาหนดนโยบายอพเดทแพทชและเฝาระวงการอพเดทแพทชใหลาสดเสมอ และทาการ Hardening ตามขอแนะนาและมาตรฐาน ของไมโครซอฟท
185 Software CAD-CAM Server การละเมดลขสทธ Nซอฟทแวร ไมมกระบวนการบรหารจดการซอฟตแวรลขสทธ N
1 1 3 5 1 ต4า A 12.6.2 มการทบทวนการตดต ,งซอฟทแวรตามสทธ Nท4ไดรบ และปองกนการตดต ,งซอฟทแวรโดยไมไดรบอนญาต การจดเกบหรอปองกนแผนซอฟทแวร รวมถงการสรางความตระหนกตอโทษของการกระทาความผด
186 Software Aniti Virus Server ไมสามารถใหบรการได Anti virus Definition ท4ทนสมยได
ไมมกระบวนการในการตดตามเฝาระวง
2 2 1 2 2 ต4ามาก A 12.2.1 ตดต ,งซอฟทแวรปองกน Update definition ใหลาสดเสมอ มกระบวนการตรวจสอบ รวมท ,งมมาตรการกคนหากเกดการแพรกระจายจากโปรแกรมไมประสงคด และสรางความตระหนกกบผท4เก4ยวของ
187 Software Aniti Virus Server ทาการแกไขคาตดต ,ง (Configuration) ผดพลาด ทาใหระบบทางานผดพลาด
ไมมเอกสารคมอการใชงาน 2 2 1 2 2 ต4ามาก A 12.1.1 ไมมเอกสารคมอการใชงาน เชน System Guide, Admin Guide, User Guide และ Maintenance Guide เปนตน
142
ภยคกคาม (Threat)F O R C
มาตรการ
ควบคม
แผนการจดการความเส�ยงปจจบนผลการทบดานตางๆ โอกาส ระดบความ
เส�ยง
ลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability)
188 Software Aniti Virus Server การละเมดลขสทธ Nซอฟทแวร ไมมกระบวนการบรหารจดการซอฟตแวรลขสทธ N
2 1 1 5 1 ต4า A 12.6.2 มการทบทวนการตดต ,งซอฟทแวรตามสทธ Nท4ไดรบ และปองกนการตดต ,งซอฟทแวรโดยไมไดรบอนญาต การจดเกบหรอปองกนแผนซอฟทแวร รวมถงการสรางความตระหนกตอโทษของการกระทาความผด
189 Software WSUS Server ทาการแกไขคาตดต ,ง (Configuration) ผดพลาด ทาใหระบบทางานผดพลาด
ไมมเอกสารคมอการใชงาน 2 2 1 2 1 ต4ามาก A 12.1.1 ไมมเอกสารคมอการใชงาน เชน System Guide, Admin Guide, User Guide และ Maintenance Guide เปนตน
190 Software WSUS Server การละเมดลขสทธ Nซอฟทแวร ไมมกระบวนการบรหารจดการซอฟตแวรลขสทธ N
1 1 1 5 1 ต4า A 12.6.2 มการทบทวนการตดต ,งซอฟทแวรตามสทธ Nท4ไดรบ และปองกนการตดต ,งซอฟทแวรโดยไมไดรบอนญาต การจดเกบหรอปองกนแผนซอฟทแวร รวมถงการสรางความตระหนกตอโทษของการกระทาความผด
191 Software SQL Server ถกโจมตจนไมสามารถใหบรการได ไมมกระบวนการในการตดตามปรบปรง Security Patch ใหทนสมย
1 5 1 1 1 ต4า A 12.6.1 กาหนดนโยบายอพเดทแพทชและเฝาระวงการอพเดทแพทชใหลาสดเสมอ และทาการ Hardening ตามขอแนะนาและมาตรฐาน ของไมโครซอฟท
192 Software SQL Server ทาการแกไขคาตดต ,ง (Configuration) ผดพลาด ทาใหระบบทางานผดพลาด
ไมมเอกสารคมอการใชงาน 1 5 1 1 3 ปานกลาง A 12.1.1 ไมมเอกสารคมอการใชงาน เชน System Guide, Admin Guide, User Guide และ Maintenance Guide เปนตน
143
ภยคกคาม (Threat)F O R C
มาตรการ
ควบคม
แผนการจดการความเส�ยงปจจบนผลการทบดานตางๆ โอกาส ระดบความ
เส�ยง
ลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability)
193 Software SQL Server การละเมดลขสทธ Nซอฟทแวร ไมมกระบวนการบรหารจดการซอฟตแวรลขสทธ N
2 1 3 5 1 ต4า A 12.6.2 มการทบทวนการตดต ,งซอฟทแวรตามสทธ Nท4ไดรบ และปองกนการตดต ,งซอฟทแวรโดยไมไดรบอนญาต การจดเกบหรอปองกนแผนซอฟทแวร รวมถงการสรางความตระหนกตอโทษของการกระทาความผด
144
4.4.3 ผลการประเมนความเส�ยงทรพยสนประเภทสารสนเทศ หลงดาเนนการโครงงาน
ภยคกคาม (Threat)F O R C
194 Information E-mail Data ขอมล mailbox สญหาย ไมมระบบสารองขอมลท(ด 5 5 2 3 1 ต(า A 12.3.1 จดทาแผนสารองขอมล และมการจดเกบส(อบนทกในlสถานท(ท( พรอมท =งมการตรวจสอบอยเสมอ
195 Information E-mail Data ขอมลร (วไหลจากการถกดกจบระหวางการรบ-สง
ผใชงานขาดความรความเขาใจเร(องการปองกนขอมลร (วไหล
5 1 2 2 2 ปานกลาง A 18.1.5 สรางความรความเขาใจการปองกนขอมลร (วไหลและตระหนกถงความสาคญในการเขารหสขอมลท(สาคญทกคร =งกอนสงเมล
196 Information E-mail Data ขอมลมเน=อหาละเมดกฎหมาย และขอกาหนดขององคกร
ผใชงานขาดความรความเขาใจในกฏหมายท(เก(ยวของ
1 1 1 5 2 ปานกลาง A 18.1.3 สรางความรความเขาใจในเร(องกฎหมายท(เก(ยวของ และกาหนดบทลงโทษทางวนยสาหรบผท(ละเมด
197 Information E-mail Data ขอมลร (วไหล จากการนาขอมลจรงไปใชในการทดสอบ
ดแลระบบขาดความตระหนกในการใชขอมลสาหรบการทดสอบ
5 1 1 3 1 ต(ามาก A 14.3.1 ผดแลระบบจะตองคดเลอกขอมลจรงเทาท(จาเปนเทาน =น เพ(อนาไปทดสอบระบบ และตองขออนมตจากผบงคบบญชาทกคร =ง
198 Information Workflow Data ขอมลสญหาย ไมมระบบสารองขอมลท(ด 5 5 2 3 1 ต(า A 12.3.1 จดทาแผนสารองขอมล และมการจดเกบส(อบนทกในlสถานท(ท( พรอมท =งมการตรวจสอบอยเสมอ
199 Information Workflow Data ขอมลร (วไหล จากการนาส(อบนทกขอมลกลบมาใชงานใหม
ขาดกระบวนการทาลายขอมลในส(อบนทกขอมลกอนนากลบมาใชงานใหม หรอเลกใชงาน
5 3 2 3 1 ต(า A 8.3.2 จดทาแผนการทาลายขอมลในส(อบนทกขอมลทกคร =งกอนท(จะนากลบมาใชงานใหม หรอเลกใชงาน
แผนการจดการความเส�ยงปจจบนผลการทบดานตางๆ โอกาส ระดบความ
เส�ยง
มาตรการ
ควบคม
ตารางท( 4.11 ตารางผลการประเมนความเส(ยงทรพยสนประเภทสารสนเทศ หลงดาเนนการโครงงานลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability)
145
ภยคกคาม (Threat)F O R C
แผนการจดการความเส�ยงปจจบนผลการทบดานตางๆ โอกาส ระดบความ
เส�ยง
มาตรการ
ควบคม
ลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability)
200 Information Workflow Data ถกเขาถง และแกไข เปล(ยนแปลง โดยผไมมสทธ Sใชงาน
ไมมการถอดสทธ S เม(อมการเปล(ยนแปลงหนาท(รบผดชอบ
4 4 2 3 2 ต(า A 9.2.1, A 9.2.5, A 9.2.6
ทาการทบทวนสทธ Sของผใชงานในระบบตามระยะเวลาท(กาหนด และลบหรอถอดถอนสทธ Sทนทท(มการลาออก หรอเปล(ยนหนาท(รบผดชอบ
201 Information Workflow Data ขอมลร (วไหล จากการนาขอมลจรงไปใชในการทดสอบ
ดแลระบบขาดความตระหนกในการใชขอมลสาหรบการทดสอบ
4 2 2 2 2 ต(า A 14.3.1 ผดแลระบบจะตองคดเลอกขอมลจรงเทาท(จาเปนเทาน =น เพ(อนาไปทดสอบระบบ และตองขออนมตจากผบงคบบญชาทกคร =ง
202 Information Digital Filing Data ขอมลสญหาย ไมมระบบสารองขอมลท(ด 4 5 2 1 1 ต(า A 12.3.1 จดทาแผนสารองขอมล และมการจดเกบส(อบนทกในlสถานท(ท( พรอมท =งมการตรวจสอบอยเสมอ
203 Information Digital Filing Data ขอมลร (วไหล จากการนาส(อบนทกขอมลกลบมาใชงานใหม
ขาดกระบวนการทาลายขอมลในส(อบนทกขอมลกอนนากลบมาใชงานใหม หรอเลกใชงาน
4 3 2 3 2 ต(า A 8.3.2 จดทาแผนการทาลายขอมลในส(อบนทกขอมลทกคร =งกอนท(จะนากลบมาใชงานใหม หรอเลกใชงาน
204 Information Digital Filing Data ถกเขาถง และแกไข เปล(ยนแปลง โดยผไมมสทธ Sใชงาน
ไมมการถอดสทธ S เม(อมการเปล(ยนแปลงหนาท(รบผดชอบ
4 4 2 3 2 ต(า A 9.2.1, A 9.2.5, A 9.2.6
ทาการทบทวนสทธ Sของผใชงานในระบบตามระยะเวลาท(กาหนด และลบหรอถอดถอนสทธ Sทนทท(มการลาออก หรอเปล(ยนหนาท(รบผดชอบ
205 Information Digital Filing Data ขอมลร (วไหล จากการนาขอมลจรงไปใชในการทดสอบ
ดแลระบบขาดความตระหนกในการใชขอมลสาหรบการทดสอบ
4 2 2 2 2 ต(า A 14.3.1 ผดแลระบบจะตองคดเลอกขอมลจรงเทาท(จาเปนเทาน =น เพ(อนาไปทดสอบระบบ และตองขออนมตจากผบงคบบญชาทกคร =ง
146
ภยคกคาม (Threat)F O R C
แผนการจดการความเส�ยงปจจบนผลการทบดานตางๆ โอกาส ระดบความ
เส�ยง
มาตรการ
ควบคม
ลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability)
206 Information ERP Data ขอมลสญหาย ไมมระบบสารองขอมลท(ด 4 5 2 1 1 ต(า A 12.3.1 จดทาแผนสารองขอมล และมการจดเกบส(อบนทกในlสถานท(ท( พรอมท =งมการตรวจสอบอยเสมอ
207 Information ERP Data ขอมลร (วไหล จากการนาส(อบนทกขอมลกลบมาใชงานใหม
ขาดกระบวนการทาลายขอมลในส(อบนทกขอมลกอนนากลบมาใชงานใหม หรอเลกใชงาน
5 3 2 4 1 ต(า A 8.3.2 จดทาแผนการทาลายขอมลในส(อบนทกขอมลทกคร =งกอนท(จะนากลบมาใชงานใหม หรอเลกใชงาน
208 Information ERP Data ถกเขาถง และแกไข เปล(ยนแปลง โดยผไมมสทธ Sใชงาน
ไมมการถอดสทธ S เม(อมการเปล(ยนแปลงหนาท(รบผดชอบ
5 4 2 4 1 ต(า A 9.2.1, A 9.2.5, A 9.2.6
ทาการทบทวนสทธ Sของผใชงานในระบบตามระยะเวลาท(กาหนด และลบหรอถอดถอนสทธ Sทนทท(มการลาออก หรอเปล(ยนหนาท(รบผดชอบ
209 Information ERP Data ขอมลร (วไหล จากการนาขอมลจรงไปใชในการทดสอบ
ดแลระบบขาดความตระหนกในการใชขอมลสาหรบการทดสอบ
5 2 2 4 1 ต(า A 14.3.1 ผดแลระบบจะตองคดเลอกขอมลจรงเทาท(จาเปนเทาน =น เพ(อนาไปทดสอบระบบ และตองขออนมตจากผบงคบบญชาทกคร =ง
210 Information Log Data ขอมลสญหาย ไมมระบบสารองขอมล 1 1 1 5 3 ปานกลาง A 12.3.1 จดทาแผนสารองขอมล และมการจดเกบส(อบนทกในlสถานท(ท( พรอมท =งมการตรวจสอบอยเสมอ
211 Information Log Data ถกเขาถง และแกไข เปล(ยนแปลง โดยผไมมสทธ Sใชงาน
ไมมการถอดสทธ S เม(อมการเปล(ยนแปลงหนาท(รบผดชอบ
1 1 1 5 1 ต(า A 9.2.1, A 9.2.5, A 9.2.6
ทาการทบทวนสทธ Sของผใชงานในระบบตามระยะเวลาท(กาหนด และลบหรอถอดถอนสทธ Sทนทท(มการลาออก หรอเปล(ยนหนาท(รบผดชอบ
147
ภยคกคาม (Threat)F O R C
แผนการจดการความเส�ยงปจจบนผลการทบดานตางๆ โอกาส ระดบความ
เส�ยง
มาตรการ
ควบคม
ลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability)
212 Information Log Data เวลาขอมล Log ไมถกตองชดเจน เวลาท(บนทก คาไมตรงกบแหลงอางองท(ไดมาตรฐานสากล
1 1 1 5 1 ต(า A 12.4.4 ตดต =ง NTP Server และจดทาแผนการตรวจสอบ พรอมท =งเฝาระวงความถกตองของเวลาใหตรงกบแหลงอางองท(ไดมาตราฐาน
148
4.4.4 ผลการประเมนความเส�ยงทรพยสนประเภทผใหบรการ หลงดาเนนการโครงงาน
ภยคกคาม (Threat)F O R C
213 Service Telecommunication Service Providor
การบรการหยดชะงก เน%องจากสญญาเชาใชหมดอาย หรอผดขอตกลงในสญญาบรการ
ไมมกระบวนการตรวจสอบอายสญญา และ ดาเนนการตอสญญากอนสญญาหมดอาย
5 5 1 4 1 ต%า A 15.1.1,A 15.1.3
จดทาแผนการตรวจสอบอายสญญาบรการอยางนอยปละคร ?ง และดาเนนการตออายสญญากอนสญญาหมดอาย
214 Service Telecommunication Service Providor
ความไมรบผดชอบ หรอไมปฏบตตามขอตกลงของผใหบรการ ไมวาจะเปนดานคณภาพ หรอการตดตามงาน
ไมมการตรวจสอบผลการดาเนนการตามสญญา (Contract)
4 5 1 4 1 ต%า A 15.2.1 จดทาแผนการตดตาม ทบทวนและตรวจประเมนการใหบรการทกๆ 3 เดอน
215 Service Telecommunication Service Providor
ถกเปดเผยขอมล หรอขอมลร %วไหล ไมมการจดทาสญญาไมเปดเผยขอมล
5 3 1 4 1 ต%า A 15.1.2 มการจดทาสญญาไมเปดเผยขอมลกบผใหบรการภายนอก
216 Service Network Service Providor
ความไมรบผดชอบ หรอไมปฏบตตามขอตกลงของผใหบรการ ไมวาจะเปนดานคณภาพ หรอการตดตามงาน
ไมมการตรวจสอบผลการดาเนนการตามสญญา (Contract)
4 5 1 4 1 ต%า A 15.2.1 จดทาแผนการตดตาม ทบทวนและตรวจประเมนการใหบรการทกๆ 3 เดอน
217 Service Network Service Providor
ถกเปดเผยขอมล หรอขอมลร %วไหล ไมมการจดทาสญญาไมเปดเผยขอมล
5 3 1 4 1 ต%า A 15.1.2 มการจดทาสญญาไมเปดเผยขอมลกบผใหบรการภายนอก
218 Service Application Service ความไมรบผดชอบ หรอไมปฏบตตามขอตกลงของผใหบรการ ไมวาจะเปนดานคณภาพ หรอการตดตามงาน
ไมมการตรวจสอบผลการดาเนนการตามสญญา (Contract)
4 5 1 4 2 ปานกลาง A 15.2.1 จดทาแผนการตดตาม ทบทวนและตรวจประเมนการใหบรการทกๆ 3 เดอน
219 Service Application Service ถกเปดเผยขอมล หรอขอมลร %วไหล ไมมการจดทาสญญาไมเปดเผยขอมล
5 3 1 4 1 ต%า A 15.1.2 มการจดทาสญญาไมเปดเผยขอมลกบผใหบรการภายนอก
ผลการทบดานตางๆ โอกาส
ตารางท% 4.12 ตารางผลการประเมนความเส%ยงทรพยสนประเภทผใหบรการ หลงดาเนนการโครงงานลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability) ระดบความ
เส�ยง
มาตรการ
ควบคม
แผนการจดการความเส�ยงปจจบน
149
4.4.5 ผลการประเมนความเส�ยงทรพยสนประเภทผใหบรการ หลงดาเนนการโครงงาน
ภยคกคาม (Threat)F O R C
220 People Top Executive ใชงานระบบสารสนเทศผดพลาด ขาดความเขาใจและความตระหนกในการใชงาน
1 1 1 3 2 ต0า A 7.2.1 อบรมสรางความรความเขาใจและความตระหนกในการใชงานสารสนเทศท0มความม 0นคงปลอดภย
221 People Top Executive ละเมดนโยบายความม 0นคงสารสนเทศ เน0องจากละเลย หรอโดยจงใจ
ความรความเขาใจในนโยบายความม 0นคงสารสนเทศ
1 1 1 3 2 ต0า A 5.1.1, A 7.2.2
จดนโยบายความม 0นคงสารสนเทศเปนลายลกษณอกษร ซ0งวาดวยระเบยบปฏบต ขอบงคบ พรอมท Fงบทลงโทษ ซ0งอนมตโดยผบรหารท0มอานาจ และเผยแพร ส0อสารกบผเก0ยวของ
222 People Manager ใชงานระบบสารสนเทศผดพลาด ขาดความเขาใจและความตระหนกในการใชงาน
1 1 1 3 2 ต0า A 7.2.1 อบรมสรางความรความเขาใจและความตระหนกในการใชงานสารสนเทศท0มความม 0นคงปลอดภย
223 People Manager ละเมดนโยบายความม 0นคงสารสนเทศ เน0องจากละเลย หรอโดยจงใจ
ความรความเขาใจในนโยบายความม 0นคงสารสนเทศ
1 1 1 3 4 ปานกลาง A 5.1.1, A 7.2.2
จดนโยบายความม 0นคงสารสนเทศเปนลายลกษณอกษร ซ0งวาดวยระเบยบปฏบต ขอบงคบ พรอมท Fงบทลงโทษ ซ0งอนมตโดยผบรหารท0มอานาจ และเผยแพร ส0อสารกบผเก0ยวของ
224 People Developer ใชงานระบบสารสนเทศผดพลาด ขาดความเขาใจและความตระหนกในการใชงาน
1 1 1 3 4 ปานกลาง A 7.2.1 อบรมสรางความรความเขาใจและความตระหนกในการใชงานสารสนเทศท0มความม 0นคงปลอดภย
มาตรการ
ควบคม
แผนการจดการความเส�ยงปจจบนผลการทบดานตางๆ โอกาส ระดบความ
เส�ยง
ตารางท0 4.13 ตารางผลการประเมนความเส0ยงทรพยสนประเภทผใหบรการ หลงดาเนนการโครงงานลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability)
150
ภยคกคาม (Threat)F O R C
มาตรการ
ควบคม
แผนการจดการความเส�ยงปจจบนผลการทบดานตางๆ โอกาส ระดบความ
เส�ยง
ลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability)
225 People Developer ละเมดนโยบายความม 0นคงสารสนเทศ เน0องจากละเลย หรอโดยจงใจ
ความรความเขาใจในนโยบายความม 0นคงสารสนเทศ
1 1 1 3 4 ปานกลาง A 5.1.1, A 7.2.2
จดนโยบายความม 0นคงสารสนเทศเปนลายลกษณอกษร ซ0งวาดวยระเบยบปฏบต ขอบงคบ พรอมท Fงบทลงโทษ ซ0งอนมตโดยผบรหารท0มอานาจ และเผยแพร ส0อสารกบผเก0ยวของ
226 People System Administrator
ใชงานระบบสารสนเทศผดพลาด ขาดความเขาใจและความตระหนกในการใชงาน
1 1 1 3 4 ปานกลาง A 7.2.1 อบรมสรางความรความเขาใจและความตระหนกในการใชงานสารสนเทศท0มความม 0นคงปลอดภย
227 People System Administrator
ละเมดนโยบายความม 0นคงสารสนเทศ เน0องจากละเลย หรอโดยจงใจ
ความรความเขาใจในนโยบายความม 0นคงสารสนเทศ
1 1 1 3 4 ปานกลาง A 5.1.1, A 7.2.2
จดนโยบายความม 0นคงสารสนเทศเปนลายลกษณอกษร ซ0งวาดวยระเบยบปฏบต ขอบงคบ พรอมท Fงบทลงโทษ ซ0งอนมตโดยผบรหารท0มอานาจ และเผยแพร ส0อสารกบผเก0ยวของ
228 People System Administrator
ผดแลระบบปฏบตเกนขอบเขต หรอละเลยหนาท0 โดยไมไดรบอนญาต หรอไมไดเจตนา
ไมมการกาหนดหนาท0 ความรบผดชอบ ใหชดเจน
1 1 1 2 2 ต0า A 6.1.1, A 6.2.2
มการกาหนดหนาท0 ความรบผดชอบ ใหชดเจน
229 People User ใชงานระบบสารสนเทศผดพลาด ขาดความเขาใจและความตระหนกในการใชงาน
1 1 1 3 4 ปานกลาง A 7.2.1 อบรมสรางความรความเขาใจและความตระหนกในการใชงานสารสนเทศท0มความม 0นคงปลอดภย
151
ภยคกคาม (Threat)F O R C
มาตรการ
ควบคม
แผนการจดการความเส�ยงปจจบนผลการทบดานตางๆ โอกาส ระดบความ
เส�ยง
ลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability)
230 People User ละเมดนโยบายความม 0นคงสารสนเทศ เน0องจากละเลย หรอโดยจงใจ
ความรความเขาใจในนโยบายความม 0นคงสารสนเทศ
1 1 1 3 4 ปานกลาง A 5.1.1, A 7.2.2
จดนโยบายความม 0นคงสารสนเทศเปนลายลกษณอกษร ซ0งวาดวยระเบยบปฏบต ขอบงคบ พรอมท Fงบทลงโทษ ซ0งอนมตโดยผบรหารท0มอานาจ และเผยแพร ส0อสารกบผเก0ยวของ
152
4.5 สรปจานวนความเส�ยงหลงการดาเนนโครงการ
สรปจานวนความเส�ยงหลงการดาเนนโครงการตามตารางท� 4.14
ระดบความเส�ยง สง ปานกลาง ต�า ต�ามาก รวม
จานวนความเส�ยง 4 23 149 54 230
ตารางท� 4.14 ตารางสรปจานวนความเส�ยงกอนการดาเนนโครงการ
รปท� 4.2 แผนภมแสดงสรปจานวนความเส�ยงกอนการดาเนนโครงงาน
0
20
40
60
80
100
120
140
160
สง ปานกลาง ต�า ต�ามาก
จานวนความเส�ยง
153
154
บทท� 5
สรปผลการดาเนนโครงงาน
ในการดาเนนโครงงาน ไดดาเนนการตามข �น ตอนตามขอบเขตโครงงาน 1 โดยมผลสรปใน
การประเมนความเส!ยงดงตาราง 5.1
ตารางท� 5.1 ตารางสรปผลการประเมนความเส�ยงกอนการจดทา
ระดบความเส�ยง สง ปานกลาง ต�า ต�ามาก รวม
จานวนกอนเร�มโครงการ 26 120 54 30 230
จานวนหลงเร�มโครงการ 4 23 149 54 230
รปท� 5.1 แผนภมเปรยบเทยบความเส�ยงกอนและหลงดาเนนโครงงาน
0
20
40
60
80
100
120
140
160
จานวนกอนเร�มโครงการ จานวนหลงเร�มโครงการ
ความเส�ยงสง ความเส�ยงปานกลาง ความเส�ยงต�า ความเส�ยงต�ามาก
5.1 รายงานการแสดงการประยกตใชงาน (Statement of applicability : SOA)
หวขอ มาตรการการควบคม เลอกใชมาตรการ รายละเอยดการใชมาตรการA.5
A.5.1
A.5.1.1 นโยบายสาหรบความม �นคงปลอดภยสารสนเทศ (Policies for information security)
� ฝายไอท จดทานโยบายความม �นคงปลอดภยเทคโนโลยสารสนเทศ เสนอใหผบรหารอนมตและบงคบใชใหมผลกบบคคลากรท >งภายในและภายนอกท�เก�ยวของกบระบบเทคโนโลยสารสนเทศของบรษทฯ โดยมการแจงและประกาศใหทราบโดยท �วกน เพ�อใหการดาเนนกจกรรมตางๆท�เก�ยวของกบระบบเทคโนโลยสารสนเทศเปนไปตามนโยบาย และสรางเสถยรภาพในการดาเนนธรกจของบรษทฯ
A.5.1.2 การทบทวนนโยบายสาหรบการบรหารจดการความม �นคงปลอดภยสารสนเทศ (Review of the policies for information security)
� ฝายไอท ทบทวนนโยบายความม �นคงปลอดภย อยางนอยปละ 1 คร >ง หรอ เม�อมการเปล�ยนแปลงในระบบเทคโนโลยสารสนเทศ และเสนอแกผบรหารเพ�อทาการอนมตและรบรอง และประกาศใหทราบโดยท �วกน เพ�อใหนโยบายมความถกตองเหมาะสมและทนสมยตอกระบวนการและระบบเทคโนโลยสารสนเทศ
นโยบายความม 6นคงปลอดภยสารสนเทศ (Information Security Policy)
ทศทางการบรหารจดการความม 6นคงปลอดภยสารสนเทศ (Management Directions for Information Security)
ตารางท6 5.1 ตารางแสดงการประยกตการใชงาน (Statement Of Applicability : SOA)
155
หวขอ มาตรการการควบคม เลอกใชมาตรการ รายละเอยดการใชมาตรการA.6
A.6.1
A.6.1.1 บทบาทและหนาท�ความรบผดชอบดานความม �นคงปลอดภย( Information security roles and responsibilities)
� ผบรหาร กาหนดบทบาทหนาท�และความรบผดชอบของบคลากรท�มความเก�ยวของกบระบบเทคโนโลยสารสนเทศ ใหสอดคลองกบนโยบายความม �นคงปลอดภยฯ, มาตรฐาน เพ�อเสรมสรางความม �นคงปลอดภยใหกบระบบเทคโนโลยสารสนเทศ
A.6.1.2 การแบงแยกหนาท�ความรบผดชอบ (Segregation of duties)
� ฝายไอท ตองแบงและจดสรรอานาจหนาท�ของบคลากรท�เก�ยวของกบระบบเทคโนโลยสารสนเทศ ใหมความเหมาะสม มใหเกดการใชอานาจหนาท�แบบเบดเสรจสมบรณในกระบวนการทางาน และจดใหมการตรวจสอบภายใน, หรอเฝาตดตามรองรอยกจกรรมตางๆท�เกดข>น เพ�อลดความเส�ยงในดานการเขาถงขอมลโดยไมมสทธ Yสมควร หรอการนาสทธ Yท�ไดไปใชในทางท�ผด ซ�งจะตองทบทวนและตรวจสอบอยางนอย 1 คร >งทก 6 เดอน
A.6.1.3 การตดตอกบหนวยงานผมอานาจ (Contact with authorities)
� ฝายไอท จดทาขอมลการตดตอส�อสารท >งภายในและภายนอก เชน หนวยงานภาครฐ, ผใหบรการตางๆ ท�เก�ยวของกบระบบเทคโนโลยสารสนเทศ ซ�งควรจดทาและทบทวนแกไขเพ�มเตม ทก 3 เดอน หรอเม�อมการเปล�ยนแปลงขอมลการตดตอส�อสาร เพ�อสรางความสะดวกในการตดตอและประสานงานเม�อจาเปน
โครงสรางความม 6นคงปลอดภยสารสนเทศ (organization of Information Security)
โครงสรางภายในองคกร (Internal organization)
156
หวขอ มาตรการการควบคม เลอกใชมาตรการ รายละเอยดการใชมาตรการA.6.1.4 การตดตอกบกลมท�มความสนใจเปนพเศษใน
เร�องเดยวกน (Contact with special interest groups)
� ฝายไอท มการตดตอส�อสารกบกลม หรอองคกรภายนอก ท�มความรความเช�ยวชาญดานความม �นคงปลอดภยของระบบเทคโนโลยสารสนเทศ รบขอมลขาวสารใหทนตอเหตการณดานระบบเทคโนโลยสารสนเทศ เพ�อนาขอมลเหลาน >นมาพฒนากระบวนการดานระบบเทคโนโลยสารสนเทศใหมความเหมาะสม
A.6.1.5 ความม �นคงปลอดภยสารสนเทศกบการบรหารจดการโครงการ (Information security in project management)
A.6.2
A.6.2.1 นโยบายสาหรบอปกรณคอมพวเตอรแบบพกพา (Mobile device policy)
� ฝายไอท กาหนดมาตรฐานสาหรบการใชงานระบบเทคโนโลยสารสนเทศผานทางอปกรณเคล�อนท� โดยใหมความสอดคลองกบนโยบายความม �นคงปลอดภยฯ และตองมการทบทวนปรบปรงใหมความทนสมยและเหมาะสมกบการใชงานอยเสมอ เพ�อปองกนและลดความเส�ยงท�เกดข>นกบการใชงานบนอปกรณเคล�อนท�
A.6.2.2 การปฏบตงานจากระยะไกล (Teleworking) � ฝายไอท ตองจดทานโยบาย และข >นตอนปฏบตสาหรบบคลากรขององคกรท�จาเปนตองปฏบตงานขององคกรจากภายนอกสานกงานหรอจากระยะไกล
อปกรณคอมพวเตอรแบบพกพาและการปฏบตงานจากระยะไกล (Mobile devices and teleworking)
157
หวขอ มาตรการการควบคม เลอกใชมาตรการ รายละเอยดการใชมาตรการA.7
A.7.1
A.7.1.1 การคดเลอก (Screening) � กอนการรบบคลากรเขาทางาน ฝายบคคล ตองดาเนนการตรวจสอบประวตท �วไป, การศกษา และอาชญากรรม และคดกรองผท�จะถกรบเขาทางานหรอรวมงาน ท >งจากส�อออนไลนตางๆและ ทะเบยนอาชญากรรม เพ�อปองกนการความเสยหายของบรษทฯ
A.7.1.2 ขอตกลงและเง�อนไขการจางงาน (Terms and conditions of employment)
� กอนการรบบคลากรเขาทางาน ฝายบคคล ตองทาสญญาการจางงาน สญญาการไมเปดเผยความลบขององคกร โดยใหผท�จะถกรบเขาทางานหรอรวมงานไดลงนามไวเปนหลกฐานสาคญ เพ�อใหบคลากรน >นไดรบทราบและปฏบตตามอยางเครงครด
A.7.2
A.7.2.1 หนาท�ความรบผดชอบของผบรหาร (Management responsibilities)
� ระหวางการจางงาน ผบรหาร ตองกาหนดและกากบดแลใหบคลากรปฏบตตามนโยบายความม �นคงปลอดภยฯ และข >นตอนการทางานของบรษทฯ ท >งการสรางความรความเขาใจและกาหนดหลกการทางานท�สอดคลองกบมาตรฐานและนโยบายความม �นคงปลอดภยระบบเทคโนโลยสารสนเทศ เพ�อสรางประสทธภาพการทางานและลดความเสยหายจากการทางานท�ไมสอดคลองกบนโยบายความม �นคงปลอดภยฯ
ความม 6นคงปลอดภยสาหรบทรพยากรบคคล (Human Resource Security
กอนการจางงาน (Prior to employment)
ระหวางการจางงาน (During employment)
158
หวขอ มาตรการการควบคม เลอกใชมาตรการ รายละเอยดการใชมาตรการA.7.2.2 การสรางความตระหนก การใหความร และ
การฝกอบรมดานความม �นคงปลอดภยสารสนเทศ (Information security awareness, education and training)
� ระหวางการจางงาน ฝายบคคล และ ฝายไอท ตองจดทาการอบรม, ส�อแนะนา หรอเผยแพรขาวสารดานความม �นคงปลอดภยของระบบเทคโนโลยสารสนเทศแกบคลากรใหไดรบทราบเปนประจา เพ�อสรางความรความเขาใจ และสามารถนามาใชในการทางานไดอยางเหมาะสมเพ�อลดความเสยหายท�อาจเกดข>นกบระบบเทคโนโลยสารสนเทศ
A.7.2.3 กระบวนการทางวนย (Disciplinary process) � ผบรหาร ตองกาหนดกระบวนการลงโทษทางวนย สาหรบบคลากรท�ฝาฝน หรอละเมดการปฏบตตามนโยบายความม �นคงปลอดภยฯ, กฎเกณฑและขอบงคบดานความม �นคงปลอดภยของระบบเทคโนโลยสารสนเทศ โดยจะตองแจงขอกาหนดใหบคลากรไดรบทราบ เพ�อเปนมาตรการปองกนมใหบคลากรกระทาความผด ซ�งสงผลตอการดาเนนธรกจและภาพลกษณของบรษท
A.7.3
A.7.3.1 การส>นสดหรอการเปล�ยนหนาท�ความรบผดชอบของการจางงาน (Termination or change of employment responsibilities)
� ฝายบคคล ตองกาหนดกระบวนและข >นตอนปฏบตเม�อมส>นสดการจาง หรอเปล�ยนแปลงหนาท� ใหมความเหมาะสมสอดคลองกบนโยบายความม �นคงปลอดภยฯ และฝายบคคลตองออกเอกสารการยกเลกสทธ Yในการเขาถงทรพยากรดานระบบเทคโนโลยสารสนเทศทนท เพ�อปองกนมใหบคลากรน >นเขาถงทรพยากร ท >งน>กระบวนการท�มความเก�ยวของกบระบบเทคโนโลยสารสนเทศ ฝายไอท จะตองรวมดาเนนการ
การสUนสดหรอการเปล6ยนการจางงาน (Termination and change of employment)
159
หวขอ มาตรการการควบคม เลอกใชมาตรการ รายละเอยดการใชมาตรการA.8
A.8.1
A.8.1.1 บญชทรพยสน (Inventory of assets) � ฝายไอท ฝายบรหาร ฝายบญชตองจดทาบญชควบคมรายการทรพยสน ในสวนของทรพยสนท�หนวยงานมหนาท�รบผดชอบในการจดซ>อจดหา เพ�อใหทราบวามรายการทรพยสนใดท�ตองดแลใหเกดความม �นคงปลอดภย และหากตองการจดหาเพ�ม หรอทดแทน กใหสามารถใชประโยชนจากบญชทรพยสนไดอยางมประสทธภาพ
A.8.1.2 ผถอครองทรพยสน (Ownership of assets) � ฝายไอท ตองระบช�อผรบผดชอบทรพยสนและอปกรณในระบบเทคโนโลยสารสนเทศ ใหมความถกตองเหมาะสม ซ�งตองทบทวนขอมลดงกลาวอยางนอย 1 คร >งตอป หรอเม�อมการเปล�ยนแปลง เพ�อใหม �นใจไดวาทรพยสนและอปกรณเหลาน >นมการควบคมดแล
A.8.1.3 การใชทรพยสนอยางเหมาะสม (Acceptable use of assets)
� ฝายไอท ตองระบระเบยบขอบงคบในการใชงานทรพยสนและอปกรณในระบบเทคโนโลยสารสนเทศ เสนอให ผบรหาร ประกาศใชเปนระเบยบท�มผลบงคบใชกบท >งบคลากรท�เก�ยวของท >งภายใน และภายนอก เพ�อใหการใชงานทรพยสนและอปกรณน >นถกตองเหมาะสม และมผรบผดชอบ
หนาท6ความรบผดชอบตอทรพยสน (Responsibility for Assets)
การบรหารจดการทรพยสน (Asset Management)
160
หวขอ มาตรการการควบคม เลอกใชมาตรการ รายละเอยดการใชมาตรการA.8.1.4 การคนทรพยสน (Return of assets) � ฝายบคคล ตองมเอกสารแจงฝายไอท เม�อมผถกเลกจาง หรอส>นสดการวาจาง
หรอเปล�ยนแปลงหนาท�รบผดชอบ เพ�อเรยกคนทรพยสนของบรษทท�อยในครอบครองหรอรบผดชอบอยท >งในรปแบบสารสนเทศและอปกรณกายภาพ เพ�อปองกนทรพยสนสญหาย และขอมลร �วไหล
A.8.2
A.8.2.1 ช >นความลบของสารสนเทศ (Classification of information)
� เจาของระบบ ตองวางแผนและจดทาระดบช >นความลบและความสาคญของสารสนเทศของตน ใหมความเหมาะสมสอดคลองกบนโยบายความม �นคงปลอดภยสารสนเทศ และเพยงพอกบความตองการเทาท�จาเปน และทบทวนปรบปรงแกไขขอมลน >นอยางนอย 1 คร >งตอป เพ�อลดความเส�ยงดานการเขาถงขอมลสาคญโดยไมมสทธ Y และปองกนขอมลร �วไหล
A.8.2.2 การบงช>สารสนเทศ (Labeling of information) � เจาของระบบ ตองจดทาส�งบงช>วาสารสนเทศของตนน >นอยในระดบช >นความลบและความสาคญในระดบใด รวมถงการกาหนดมาตรฐานและข >นตอนในกระบวนการตางๆท�เก�ยวของกบการเขาถง, การส�อสาร, การเคล�อนยาย และส�อ ใหมความเหมาะสมกบระดบความสาคญของสารสนเทศน >นเอง และสอดคลองกบนโยบายความม �นคงปลอดภยฯ เพ�อใหกจกรรมตางๆท�เกดข>นถกดาเนนการอยางถกตองและเหมาะสม ปองกนขอมลร �วไหล หรอเสยหาย
การจดช Uนความลบของสารสนเทศ (Information classification)
161
หวขอ มาตรการการควบคม เลอกใชมาตรการ รายละเอยดการใชมาตรการA.8.2.3 การจดการทรพยสน (Handling of assets) � เจาของระบบ ตองจดทาส�งบงช>วาสารสนเทศของตนน >นอยในระดบช >นความลบ
และความสาคญในระดบใด รวมถงการกาหนดมาตรฐานและข >นตอนในกระบวนการตางๆท�เก�ยวของกบการเขาถง, การส�อสาร, การเคล�อนยาย และส�อ ใหมความเหมาะสมกบระดบความสาคญของสารสนเทศน >นเอง และสอดคลองกบนโยบายความม �นคงปลอดภยฯ เพ�อใหกจกรรมตางๆท�เกดข>นถกดาเนนการอยางถกตองและเหมาะสม ปองกนขอมลร �วไหล หรอเสยหาย
A.8.3
A.8.3.1 การบรหารจดการส�อบนทกขอมลท�ถอดแยกได (Management of removable media)
� ฝายไอท ตองทานโยบายและทาข >นตอนการบรหารจดการการใชงานส�อบนทกขอมลแบบตางๆท�สามารถพกพาได โดยควบคมการทาสาเนาหรอกอปป>สารสนเทศของบรษทฯ ไปยงส�อบนทกจะตองไดรบอนญาตจาก Management เทาน >น และฝายไอท จะตองลบลาง และทาลายขอมลท�เกดข>นในส�อบนทกเหลาน >นมใหถกนากลบมาใชงานไดอก ซ�งจะตองดาเนนการทนทท�มการรองขอ เพ�อลดความเส�ยงสารสนเทศของบรษทร �วไหล
A.8.3.2 การทาลายส�อบนทกขอมล (Disposal of media)
� ฝายไอท ตองมกระบวนการจดการและข >นตอนการทาลายมงเนนไมใหสามารถกคนสารสนเทศดงกลาวกลบมาไดอก ในส�อบนทกท >งรปแบบ ท�จบตองได และ จบตองไมไดโดยจะตองมเอกสารรบรองการทาลายสารสนเทศเพ�อรองรบการตรวจสอบยอนหลง เพ�อลดความเส�ยงสารสนเทศของบรษทร �วไหล
การจดการส6อบนทกขอมล (Media Handling)
162
หวขอ มาตรการการควบคม เลอกใชมาตรการ รายละเอยดการใชมาตรการA.8.3.3 การขนยายส�อบนทกขอมล (Physical media
transfer)� ฝายไอท ตองทานโยบายและทาข >นตอนการบรหารจดการควบคม โดยกาหนด
วตถประสงคใหชดเจน แจะตองไดรบอนญาตจาก Management เทาน >น
A.9 การควบคมการเขาถง (Access Control)
A.9.1
A.9.1.1 นโยบายควบคมการเขาถง (Access control policy)
� ฝายไอท และ/หรอเจาของระบบ ตองจดทาและบงคบใชนโยบายการจดการควบคมการเขาถงสารสนเทศ ท >งดาน กายภาพ และ บนทกเหตการณใหมความสอดคลองกบขอกาหนด และเหมาะสมกบความสาคญของสารสนเทศและการดาเนนธรกจ โดยเร�มตนต >งแตการวางแผน,กาหนดสทธ Y, ตรวจสอบเฝาระวง และการถอดถอนสทธ Y ซ�งจะตองมการทบทวนอยางนอย 1 คร >งตอป เพ�อลดความเส�ยงในการเขาถงสารสนเทศโดยไมมสทธ Y
A.9.1.2 การเขาถงเครอขายและบรการเครอขาย (Access to networks and network services)
� ฝายไอท ตองควบคมและจดการใหสทธ Yในการเขาถงบรการดานเครอขายระบบเทคโนโลยสารสนเทศ โดยกาหนดนโยบายท�มความสอดคลองกบนโยบายความม �นคงปลอดภยฯ และกระบวนการยนยนตวบคคล และการตรวจสอบสทธ Y ซ�งควรทบทวนปรบปรง เม�อมการเปล�ยนแปลงระบบโครงสรางหรออปกรณ หรออยางนอย 1 คร >งตอป
ความตองการทางธรกจสาหรบการควบคมการเขาถง (Business requirements of access control)
163
หวขอ มาตรการการควบคม เลอกใชมาตรการ รายละเอยดการใชมาตรการA.9.2
A.9.2.1 การลงทะเบยนและการถอดถอนสทธผใชงาน (User registration and de-registration)
� ฝายไอท และหรอเจาของระบบ ตองจดทาข >นตอนและกระบวนการลงทะเบยนผใชงาน, ตรวจสอบและการยกเลกทะเบยน โดยการจดทาเปนเอกสารหรอฟอรมอยางเปนทางการ ท�ประกอบดวยหลกเกณฑ ขอกาหนด นโยบายความม �นคงปลอดภย และลายมอช�อของผใชงาน สามารถสบยอนกลบและยนยนตวบคคลได ซ�งจะตองทบทวนตรวจสอบแบบฟอรม ขอกาหนด หรอนโยบายใหมความทนสมย และปรบปรงเม�อมการเปล�ยนแปลง
A.9.2.2 การจดการสทธการเขาถงของผใชงาน (User access provisioning) (ไมจาเปนตองทา เพราะหวขออ�น cover แลว)
� ฝายไอท และหรอเจาของระบบ ตองจดทาระบบบรหารจดการสทธ Yในระบบ ใหมความเหมาะสมกบบทบาทหนาท�ความรบผดชอบของผใชงาน โดยมงเนนถงการกาหนดสทธ Yเทาท�จาเปน และมการปรบปรง ตรวจสอบทกคร >งท�มการเปล�ยนแปลงหรออยางนอย 1 คร >งตอป เพ�อปองกนการเขาถงสารสนเทศโดยไมมสทธ Y และปองกนการมสทธ Yท�เกนความจาเปน
A.9.2.3 การบรหารจดการสทธการเขาถงตามระดบสทธ (Management of privileged access right)
� ฝายไอท และหรอเจาของระบบ ตองจดทาระบบบรหารจดการสทธ Yในระบบ ใหมความเหมาะสมกบบทบาทหนาท�ความรบผดชอบของผใชงาน โดยมงเนนถงการกาหนดสทธ Yเทาท�จาเปน และมการปรบปรง ตรวจสอบทกคร >งท�มการเปล�ยนแปลงหรออยางนอย 1 คร >งตอป เพ�อปองกนการเขาถงสารสนเทศโดยไมมสทธ Y และปองกนการมสทธ Yท�เกนความจาเปน
การบรหารจดการการเขาถงของผใชงาน (User access management)
164
หวขอ มาตรการการควบคม เลอกใชมาตรการ รายละเอยดการใชมาตรการA.9.2.4 การบรหารจดการขอมลความลบสาหรบการ
พสจนตวตนของผใชงาน (Management of secret authentication information of users)
� ฝายไอท มนโยบายการสงมอบ User และ password ใหผใชงานเปนลายลกษณอกษรและมการปดผนกทกคร >ง เพ�อปองกนการเขาถงระบบโดยไมมสทธ Y
A.9.2.5 การทบทวนสทธการเขาถงของผใชงาน (Review of user access rights)
� ฝายไอท และหรอเจาของระบบ ตองตรวจสอบและทบทวนสทธ Yของผใชงานทกคร >งท�มการเปล�ยนแปลงระบบหรอการทางาน และทบทวนอยางนอย 1 คร >งตอป ในทกอปกรณท�มการควบคมการเขาถงของผใชงาน เพ�อปองกนการเขาถงระบบโดยไมมสทธ Y หรอมสทธ Yเกนจาเปน
A.9.2.6 การถอดถอนหรอปรบปรงสทธการเขาถง (Removal or Adjustment of access rights)
� ฝายไอท และหรอเจาของระบบ ตองจดทาข >นตอนและกระบวนการถอดถอนหรอปรบปรงสทธ โดยการจดทาเปนเอกสารหรอฟอรมอยางเปนทางการ ท�ประกอบดวยหลกเกณฑ ขอกาหนด นโยบายความม �นคงปลอดภย และลายมอช�อของผใชงาน สามารถสบยอนกลบและยนยนตวบคคลได ซ�งจะตองทบทวนตรวจสอบแบบฟอรม ขอกาหนด หรอนโยบายใหมความทนสมย และปรบปรงเม�อมการเปล�ยนแปลง
A.9.3
A.9.3.1 การใชขอมลการพสจนตวตนซ�งเปนขอมลลบ (Use of secret authentication information)
หนาท6ความรบผดชอบของผใชงาน (User responsibilities)
165
หวขอ มาตรการการควบคม เลอกใชมาตรการ รายละเอยดการใชมาตรการ
A.9.4
A.9.4.1 การจากดการเขาถงสารสนเทศ (Information access restriction)
� ฝายไอท และ/หรอเจาของระบบ ตองจดทาระบบบรหารจดการสทธ Yในระบบ ใหมความเหมาะสมกบบทบาทหนาท�ความรบผดชอบของผใชงาน โดยมงเนนถงการกาหนดสทธ Yเทาท�จาเปน และมการปรบปรง ตรวจสอบทกคร >งท�มการเปล�ยนแปลงหรออยางนอย 1 คร >งทก 3 เดอน เพ�อปองกนการเขาถงสารสนเทศโดยไมมสทธ Y และปองกนการมสทธ Yท�เกนความจาเปน
A.9.4.2 ข >นตอนปฏบตสาหรบการลอกอนเขาระบบท�มความม �นคงปลอดภย (Secure log-on procedures)
� ฝายไอท และ/หรอเจาของระบบ ตองบงคบใหผใชงาน เปล�ยน Password Defualt และกาหนดใหมการบงคบเปล�ยนรหสผานทก 90 วน โดยรหสผานจะตองมความซบซอน
A.9.4.3 ระบบบรหารจดการรหสผาน (Password management system)
� ฝายไอท และ/หรอผมอานาจในการสงรหสผานแกผใชงาน ตองมกระบวนการจดการรหสผาน และควบคมข >นตอนการแจงรหสผานไปยงผใชงาน โดยจะตองดาเนนการแจงรหสผานโดยมการลงช�อรบรองการรบรหสผาน และปฏบตตามกฎเกณฑการใชงานรหสผาน รวมถงการจดการDefault Password เพ�อปองกนการเขาถงรหสผานของผใชงานโดยไมมสทธ Y หรอปองกนรหสผานร �วไหล
การควบคมการเขาถงระบบ (System and application access control)
166
หวขอ มาตรการการควบคม เลอกใชมาตรการ รายละเอยดการใชมาตรการA.9.4.4 การใชโปรแกรมอรรถประโยชน (Use of
privileged utility programs)� ฝายไอท ตองควบคมซอฟทแวรอรรถประโยชน (Utilities) ท�มผลตอการควบคม
การทางานของระบบสารสนเทศ เชน Anti-virus ใหมสทธ Yและการทางานท�เหมาะสม โดยการเลอกตดต >งและกาหนดสทธ Yการทางานเทาท�จาเปนท >งระดบผใชงานและระบบปฏบตการ รวมถงเปดการทางานจดเกบ บนทกเหตการณ กจกรรมตางๆท�เกดข>นจากซอฟทแวรน >น ซ�งจะตองตรวจสอบ บนทกเหตการณ กจกรรมท�เกดข>นเพ�อระวงการทางานท�ผดปกต หรอไมตรงกบการควบคม อยางนอย 3 เดอนตอคร >ง เพ�อปองกนมใหซอฟทแวรเปนส�อหรอชองโหวในการคกคามระบบ
A.9.4.5 การควบคมการเขาถงซอรสโคดของโปรแกรม (Access control to program source code)
A.10A.10.1
A.10.1.1 นโยบายการใชมาตรการเขารหสขอมล (Policy on the use of cryptographic controls)
� ฝายไอท ตองตดต >งซอทแวรการเขารหสขอมลสาหรบสารสนเทศท�มความออนไหวเสมอ เชน Notebook
A.10.1.2 การบรหารจดการกญแจ (Key management) � ฝายไอท ตองมกระบวนการจดการและการตรวจสอบอายของ Certificate สาหรบระบบตางๆ อยเสมอ
การเขารหสขอมล (Cryptography)มาตรการเขารหสขอมล (Cryptographic controls)
167
หวขอ มาตรการการควบคม เลอกใชมาตรการ รายละเอยดการใชมาตรการ
A.11
A.11.1
A.11.1.1 ขอบเขตหรอบรเวณโดยรอบทางกายภาพ (Physical security perimeter)
� ฝายอาคาร มการสรางและมาตรการปองกนดานกายภาพของพ>นท�ต >งของบรษท ท�เก�ยวของกบระบบเทคโนโลยสารสนเทศ ตามลาดบช >นของพ>นท�ปฏบตงานไดแก พ>นท�สาธารณะ, พ>นท�สานกงาน และพ>นท�ควบคม ใหมความเหมาะสม เพ�อปองกนการเสยหายของระบบเทคโนโลยสารสนเทศ และการเขาถงพ>นท�โดยไมมสทธ Y
A.11.1.2 การควบคมการเขาออกทางกายภาพ (Physical entry controls)
� ฝายอาคาร มมาตรการปองกนการเขาสพ>นท�ปฏบตงานท >งสามระดบ เชน เจาหนาท�รกษาความปลอดภย 24 ช �วโมง และกลองวงจรปด ตามความเหมาะสม รวมถงฝายสานกงานและฝายไอท ตองมมาตรการตรวจสอบและตดตามผท�เขา-ออกพ>นท�สานกงานและพ>นท�ควบคม ซ�งจะตองทบทวนมาตรการตางๆทกคร >งท�มการเปล�ยนแปลง หรอ 1 คร >งทกป
A.11.1.3 การรกษาความม �นคงปลอดภยสาหรบสานกงาน หองทางาน และอปกรณ (Securing office, room and facilities)
� ฝายอาคาร ตองสรางความปลอดภยใหกบพ>นท�ปฏบตงาน รวมถงการควบคมดานตางๆใหมความเหมาะสม และสอดคลองกบกฎหมาย และขอบงคบเพ�อสขอนามย และรบมอกบเหตการณตางๆ
ความม 6นคงปลอดภยทางกายภาพและสภาพแวดลอม (Physical and environmental Security)
พUนท6ท6ตองการการรกษาความม 6นคงปลอดภย (Secure areas)
168
หวขอ มาตรการการควบคม เลอกใชมาตรการ รายละเอยดการใชมาตรการA.11.1.4 การปองกนตอภยคกคามจากภายนอกและ
สภาพแวดลอม (Protecting against external end environmental threats)
� ฝายอาคาร ตองมมาตรการควบคมและปองกนการคกคามดานกายภาพจากภายนอก หรอสภาพแวดลอม เชน ภยพบต, อคคภย อยางเหมาะสมสอดคลองกบหลกความปลอดภย และกฎหมายขอบงคบ เพ�อลดความเสยหาย และสรางความตอเน�องในการดาเนนธรกจ
A.11.1.5 การปฏบตงานในพ>นท�ท�ตองการการรกษาความม �นคงปลอดภย (Working in secure areas)
� ฝายอาคาร และฝายไอท ตองมมาตรการควบคมการทางานของบคลากรท�เกดข>นในพ>นท�ควบคม เชน หองเคร�องแมขาย หองควบคมไฟฟา โดยกาหนดเปนขอบงคบ และสรางสญลกษณบงช>ระดบของพ>นท�ปฏบตงาน เพ�อใหบคลากรไดรบทราบแนวทางปฏบต และลดความเส�ยงในการเขาถงทรพยากรระบบเทคโนโลยสารสนเทศโดยไมมสทธ Y
A.11.1.6 พ>นท�สาหรบรบสงส�งของ (Delivery and loading areas)
� ฝายอาคาร และฝายไอท มมาตรการและจดสรรพ>นท�สาหรบการใชงานสาธารณะ หรอพ>นท�รบพสดจากภายนอก ใหมความเหมาะสม
A.11.2 อปกรณ (Equipment)
A.11.2.1 การจดต >งและปองกนอปกรณ (Equipment sitting and protection)
� ฝายอาคาร และฝายไอท ตองกาหนดจดท�ต >งของอปกรณในระบบเทคโนโลยสารสนเทศ และมมาตรการในการปองกนการเขาถงท�เหมาะสมกบความสาคญของอปกรณ เพ�อลดความเส�ยงดานการเขาถงอปกรณโดยไมมสทธ Y และปองกนความเสยหายของอปกรณ
169
หวขอ มาตรการการควบคม เลอกใชมาตรการ รายละเอยดการใชมาตรการA.11.2.2 ระบบและอปกรณสนบสนนการทางาน
(Supporting utilities)� ฝายอาคาร และฝายไอท ตองมอปกรณในการสนบสนนการทางานของอปกรณ
ดานระบบเทคโนโลยสารสนเทศใหสามารถทางานไดอยางสมบรณและตอเน�อง และมความเหมาะสมกบคณลกษณะของอปกรณและตรงตามการใชงาน เพ�อใหม �นใจไดวาการดาเนนธรกจของบรษทมประสทธภาพและตอเน�อง
A.11.2.3 ความม �นคงปลอดภยของการเดนสายสญญาณและสายส�อสาร (Cabling security)
� ฝายอาคาร และฝายไอท ตองมการปองกน หรอกาหนดแนวทางการสรางความปลอดภยและประสทธภาพการทางานอยางเหมาะสมเพยงพอแกสายสญญาณการส�อสารแตละประเภท เพ�อปองกนมใหถกดกจบดกฟงและถกทาลาย ซ�งจะตองมการตรวจสอบการปองกน 1 คร >งทกป เพ�อใหม �นใจไดวาสายสญญาณน >นเพยงพอและพรอมสาหรบการใชงาน
A.11.2.4 การบารงรกษาอปกรณ (Equipment maintenance)
� ฝายอาคาร และฝายไอท ตองตรวจสอบและซอมบารงอปกรณในระบบเทคโนโลยสารสนเทศ ใหมความพรอมใชงาน โดยมการจดทาแผนการตรวจสอบบารงรกษาอปกรณ ตามขอแนะนาของผจาหนายหรอผลต อยางนอยปละ 1 คร >ง เพ�อใหม �นใจไดวาอปกรณทางานไดอยางมประสทธภาพและตอเน�อง
A.11.2.5 การนาทรพยสนขององคกรออกนอกสานกงาน (Removal of assets)
� ฝายอาคาร และฝายไอท มการกาหนดใหผท�มความประสงคจะนาอปกรณออกนอกบรษท จะตองไดรบการอนมตเปนลายลกษณอกษรจากผมอานาจกอนเสมอ
170
หวขอ มาตรการการควบคม เลอกใชมาตรการ รายละเอยดการใชมาตรการA.11.2.6 ความม �นคงปลอดภยของอปกรณและ
ทรพยสนท�ใชงานอยภายนอกสานกงาน (Security of equipment and assets off- premises)
� ฝายอาคาร และฝายไอท มการควบคมอปกรณท�ถกใชงานแบบสวนกลาง หรอใชงานภายนอกสถานท�ปฏบตงาน ใหมความม �นคงปลอดภย โดยมการจดทามาตรการและตดต >งการควบคมปองกนการเขาถงสารสนเทศท�อปกรณอยางเหมาะสม เพ�อปองกนการลกลอบขโมยขอมลและถกทาลายเสยหาย
A.11.2.7 ความม �นคงปลอดภยสาหรบการกาจดหรอทาลายอปกรณ หรอการนาอปกรณไปใชงานอยางอ�น (Secure disposal or re-use of equipment)
� ฝายไอท มมาตรการในการควบคมและทาลายสารสนเทศท�อยภายในอปกรณ เม�อมการเลกใชงาน (disposal) หรอการนากลบมาใชใหม (re-use) รวมถงการสงอปกรณซอมแซมภายนอก เพ�อปองกนการร �วไหลของขอมลบรษท
A.11.2.8 อปกรณของผใชงานท�ท>งไวโดยไมมผดแล (Unattended user equipment)
� ฝายไอท มมาตรการควบคมและดแลอปกรณ หรอสารสนเทศในชวงเวลาไมใชงาน เชน มการ Save Screen เม�อไมมการใชงาน, หลงเลกงานอปกรณแบบพกพาหรอสารสนเทศท�สาคญ จะตองจดเกบในท�ปลอดภย เพ�อลดความเส�ยงเร�องการขโมยขอมล หรอขอมลร �วไหล
A.11.2.9 นโยบายโตะทางานปลอดเอกสารสาคญและนโยบายการปองกนหนาจอคอมพวเตอร (Clear desk and clear screen policy)
� ฝายไอท ตองควบคมและสรางความเขาใจแกผใชงานในการระมดระวงปองกนมใหมการวางสารสนเทศท�มความสาคญบนโตะทางาน, ในหนาจอ หรอพ>นท�ทางาน เพ�อลดความเส�ยงเร�องการขโมยขอมล หรอขอมลร �วไหล
171
หวขอ มาตรการการควบคม เลอกใชมาตรการ รายละเอยดการใชมาตรการA.12
A.12.1
A.12.1.1 ข >นตอนการปฏบตงานท�เปนลายลกษณอกษร (Documented operating procedures)
� ฝายไอท ตองจดทาและปรบปรงเอกสารข >นตอนในการทางานดานระบบเทคโนโลยสารสนเทศ โดยจดทาเปนเอกสาร หรอคมอ ซ�งจดเกบไวในท�ปลอดภย ซ�งจะตองทบทวนหรอปรบปรงแกไขทกคร >งท�มการเปล�ยนแปลง เพ�อใหม �นใจไดวากระบวนการบรหารจดการระบบเทคโนโลยสารสนเทศเกดข>นภายใตข >นตอนและวธการเดยวกน
A.12.1.2 การบรหารจดการการเปล�ยนแปลง (Change management)
� เม�อมการเปล�ยนแปลงใดๆเกดข>นในระบบเทคโนโลยสารสนเทศ ฝายไอท หรอผปฏบตงาน จะตองปฏบตตามมาตรฐานการจดการความเปล�ยนแปลง
A.12.1.3 การบรหารจดการขดความสามารถของระบบ (Capacity management)
� ฝายไอท มการบรหารจดการ, วางแผน, เฝาระวง, ประเมน และคาดการณอตราการทางานของอปกรณเครอขายและแมขาย ไดแก ซพย, แรม, พ>นท�จดเกบ โดยการจดทาเปนรายงานการใชงานปจจบน เพ�อใหม �นใจวาระบบสามารถไดอยางเหมาะสมเพยงพอ
A.12.1.4 การแยกสภาพแวดลอมสาหรบการพฒนา การทดสอบ และการใหบรการออกจากกน (Separation of development, testing and operational environments)
� ฝายไอท ตองจดสรรและควบคมการใชทรพยากรระบบเทคโนโลยสารสนเทศ ท�อยในข >นตอนระหวางการพฒนา และเพ�อทดสอบระบบ ออกจากระบบท�ใชงานในกระบวนการทางานจรง เพ�อลดความเส�ยงจากการเสยหายของทรพยากรระบบ และควบคมมใหสารสนเทศร �วไหลในระหวางการทดสอบระบบ
ความม 6นคงปลอดภยสาหรบการดาเนนงาน (Operations Security)
ข Uนตอนการปฏบตงานและหนาท6ความรบผดชอบ (Operational Procedures and Responsibilities)
172
หวขอ มาตรการการควบคม เลอกใชมาตรการ รายละเอยดการใชมาตรการA.12.2
A.12.2.1 มาตรการปองกนโปรแกรมไมประสงคด (Controls against malware)
� ฝายไอท จดทามาตรฐานและข >นตอนในการจดหาซอฟทแวร หรอกาหนดวธการปองกนซอฟทแวรไมพงประสงค โดยการตดต >งซอฟทแวรปองกน หรอกาหนดคาปองกน การ Hardening ในซอฟทแวรหรอระบบปฏบตการอยางเหมาะสม ซ�งมาตรฐานและข >นตอนน>จะตองปรบปรงและแกไขตามการเปล�ยนแปลงระบบ และทนสมยตอการคกคามดานเทคโนโลยสารสนเทศ เพ�อลดความเส�ยงตอการเสยหาย หรอสญหายของสารสนเทศ
A.12.3
A.12.3.1 การสารองขอมล (Information backup) � ฝายไอท มการจดทานโยบายการสารองขอมล และสรางระบบสารองขอมลท�มความเหมาะสมกบทรพยากร, ความสาคญของขอมล และความสะดวกในการเขาถง ท >งภายในและภายนอกสถานท�ซ�งมความปลอดภยดานกายภาพ พรอมท >งดาเนนการทดสอบการกคน อยางนอย 1 คร >งทก 2 เดอน เพ�อสรางความม �นใจวาหากเกดเหตการณไมปกต ขอมลและสารสนเทศจะถกเรยกใชกลบมาไดเพยงพอกบการดาเนนธรกจของบรษทฯ
การปองกนโปรแกรมไมประสงคด (Protection from Malware)
การสารองขอมล (Backup)
173
หวขอ มาตรการการควบคม เลอกใชมาตรการ รายละเอยดการใชมาตรการA.12.4
A.12.4.1 การบนทกขอมลลอกแสดงเหตการณ (Event logging)
� ฝายไอท ตองจดเกบกจกรรมท�เกดข>นโดยผดแลระบบ หรอผมสทธ Yในการดาเนนการท�เก�ยวของกบการทางานของระบบปฏบตการ ใหมความสอดคลองกบนโยบายความม �นคงปลอดภยฯ เพ�อตรวจสอบการทางานของผดแลระบบน >นวาไดปฏบตตามท�แจงขอเปล�ยนแปลงระบบ (Request for Change) หรอไม เพ�อปองกน,ตรวจสอบตดตามการดาเนนการใดๆบนระบบเทคโนโลยสารสนเทศโดยไมมสทธ Y หรอกระทาโดยมชอบ ซ�งจะตองตรวจสอบกจกรรมของผดแลระบบทกคร >งหลงจากส>นสดการเปล�ยนแปลง
A.12.4.2 การปองกนขอมลลอก (Protection of log information)
� ฝายไอท ตองกาหนดมการกาหนดสทธก ารเขาถงขอมลบนทกการเขาออกของระบบ
A.12.4.3 ขอมลลอกกจกรรมของผดแลระบบและเจาหนาท�ปฏบตการระบบ (Administrator and operator logs)
� มการจดเกบ Log ผดแลระบบ หรอผมสทธ Yในการดาเนนการท�เก�ยวของกบการทางานของระบบปฏบตการ ใหมความสอดคลองกบนโยบายความม �นคงปลอดภยฯ เพ�อตรวจสอบการทางานของผดแลระบบน >นวาไดปฏบตตามท�แจงขอเปล�ยนแปลงระบบ (Request for Change) หรอไม เพ�อปองกน,ตรวจสอบตดตามการดาเนนการใดๆบนระบบเทคโนโลยสารสนเทศโดยไมมสทธ Y หรอกระทาโดยมชอบ
การบนทกขอมลลอกและการเฝาระวง (Logging and Monitoring)
174
หวขอ มาตรการการควบคม เลอกใชมาตรการ รายละเอยดการใชมาตรการA.12.4.4 การต >งนาฬกาใหถกตอง (Clock
Synchronization)� มการตดต >งระบบการเทยบเวลาของอปกรณในระบบเทคโนโลยสารสนเทศ ใหม
ความแมนยา โดยใชงานโปรโตคอล NTP กบสถาบนมาตรวทยาแหงชาต อยางนอยทก 6 ช �วโมง เพ�อใหม �นใจไดวาขอมลวนเวลาท�เกดข>นใน Log ของระบบถกตอง ซ�งจะสงผลใหกระบวนการทางาน, วเคราะหขอมลเปนไปอยางถกตองแมนยา
A.12.5
A.12.5.1 การตดต >งซอฟตแวรบนระบบใหบรการ (Installation of software on operational systems)
� มการกาหนดข >นตอนและควบคมการตดต >งซอฟทแวรบนระบบปฏบตการใหมความเหมาะสมกบการใชงานของผใชงานท�เก�ยวของ ตามสทธ Yและเทาท�จาเปน โดยการจดทารายการซอฟทแวรแบงตามความจาเปนและเหมาะสมของผใชงานตามสทธ Yท�ถกกาหนดไว และควบคมมใหมการตดต >งหรอใชงานซอฟทแวรท�เกนความจาเปน
A.12.6
A.12.6.1 การบรหารจดการชองโหวทางเทคนค (Management of technical vulnerabilities)
� มกระบวนการควบคมชองโหวของระบบเทคโนโลยสารสนเทศท�อยในกระบวนการทางานและการดาเนนธรกจ โดยการรวบรวมหาขอมลชองโหวจากการแจงเตอนของเจาของเทคโนโลยน >น หรอใชซอฟทแวรชวยตรวจสอบหาชองโหว หรอคนพบจากการประเมนความเส�ยงท�ผานมา แลวดาเนนการแกไขปรบปรงแกไขชองโหวน >นอยางเหมาะสม
การบรหารจดการชองโหวทางเทคนค (Technical Vulnerability Management)
การควบคมการตดต >งซอฟตแวรบนระบบใหบรการ (Control of operational software)
175
หวขอ มาตรการการควบคม เลอกใชมาตรการ รายละเอยดการใชมาตรการA.12.6.2 การจากดการตดต >งซอฟตแวร (Restrictions
on software installation)� มการกาหนดข >นตอนและควบคมการตดต >งซอฟทแวรบนระบบปฏบตการใหม
ความเหมาะสมกบการใชงานของผใชงานท�เก�ยวของ ตามสทธ Yเทาท�จาเปน และควบคมมใหมการตดต >งหรอใชงานซอฟทแวรท�เกนความจาเปน ซ�งการตดต >งจะดาเนนการโดยเจาหนาท�ฝายไอทเทาน >น
A.12.7
A.12.7.1 มาตรการการตรวจประเมนระบบ (Information systems audit controls)
� มมาตรการในการตรวจสอบระบบอยางนอย 2 คร >งตอป
A.13
A.13.1
A.13.1.1 มาตรการเครอขาย (Network controls) � ฝายไอท มมาตรการบรหารจดการ, วางแผน, จดหา และดาเนนการใหระบบเครอขายสามารถใชงานไดอยางมประสทธภาพ เพยงพอตอการดาเนนธรกจ และมความม �นคงปลอดภย สามารถรบมอและปองกนการคกคามท >งดานกายภาพ และดานเทคนค พรอมท >งมการตดตาม, ทบทวน,ปรบปรงกระบวนการทางานเม�อมการเปล�ยนแปลงอยเสมอ
ความม 6นคงปลอดภยสาหรบการส6อสารขอมล (Communications security)
การบรหารจดการความม 6นคงปลอดภยของเครอขาย (Network Security Management)
ส6งท6ตองพจารณาในการตรวจประเมนระบบ (Information Systems Audit Considerations)
176
หวขอ มาตรการการควบคม เลอกใชมาตรการ รายละเอยดการใชมาตรการA.13.1.2 ความม �นคงปลอดภยสาหรบบรการเครอขาย
(Security of network services)� ฝายไอท มการควบคมและตรวจสอบการใหบรการดานระบบเครอขายท >งจากฝาย
ไอท และผใหบรการภายนอก ใหมความสอดคลองกบนโยบายความม �นคงปลอดภยฯ อนสงผลใหการบรการดานเครอขายท�มประสทธภาพเพยงพอและมความม �นคงปลอดภย ซ�งดาเนนการตรวจสอบและควบคมเปนประจาทกเดอน
A.13.1.3 การแบงแยกเครอขาย (Segregation in networks)
� มการวางแผน ออกแบบ และสรางระบบเครอขาย โดยแบงเครอขายออกเปนสดสวนอยางเหมาะสม เพ�อควบคมการเขาถงเคร�อขายท >งภายในและภายนอกองคกร
A.13.2
A.13.2.1 นโยบายและข >นตอนปฏบตสาหรบการถายโอนสารสนเทศ (Information transfer policies and procedures)
� ยงไมมข >นตอนปฏบตเปนลายลกษณอกษร
A.13.2.2 ขอตกลงสาหรบการถายโอนสารสนเทศ (Agreements on information transfer)
� ยงไมมข >นตอนปฏบตเปนลายลกษณอกษร
A.13.2.3 การสงขอความทางอเลกทรอนกส (Electronic messaging)
� ในเคร�อง PC มการตดต >ง Software Encryption มการใหความรความเขาใจ
การถายโอนสารสนเทศ (Information transfer)
177
หวขอ มาตรการการควบคม เลอกใชมาตรการ รายละเอยดการใชมาตรการA.13.2.4 ขอตกลงการรกษาความลบหรอการไม
เปดเผยความลบ (Confidentiality or non-disclosure agreements)
� มการลงนาม Non-disclosure agreements ทกคร >งเม�อรบพนกงานใหม หรอผใหบรการรายใหม
A.14
A.14.1
A.14.1.1 การวเคราะหและกาหนดความตองการดานความม �นคงปลอดภยสารสนเทศ (Information security requirements analysis and specification)
� ยงไมมข >นตอนปฏบตเปนลายลกษณอกษร
A.14.1.2 ความม �นคงปลอดภยของบรการสารสนเทศบนเครอขายสาธารณะ (Securing application services on public networks)
� มการประเมนการบรการ แตไมไดเขยนขอกาหนดไวเปนลายลกษณอกษร
A.14.1.3 การปองกนธรกรรมของบรการสารสนเทศ (Protecting application services transactions)
� ยงไมมข >นตอนปฏบตเปนลายลกษณอกษร
A.14.2
A.14.2.1 นโยบายการพฒนาระบบใหมความม �นคงปลอดภย (Secure development policy)
� ยงไมมแผนการปฏบต
การจดหา การพฒนา และการบารงรกษาระบบ (System acquisition, development and maintenance)
ความตองการดานความม 6นคงปลอดภยของระบบ (Security requirements of information systems)
ความม 6นคงปลอดภยสาหรบกระบวนการพฒนาและสนบสนน (Security in development and support processes)
178
หวขอ มาตรการการควบคม เลอกใชมาตรการ รายละเอยดการใชมาตรการA.14.2.2 ข >นตอนปฏบตสาหรบควบคมการ
เปล�ยนแปลงระบบ (System Change control procedures)
� ม Change Request เสมอ
A.14.2.3 การทบทวนทางเทคนคตอระบบหลงจากเปล�ยนแปลงโครงสรางพ>นฐานของระบบ (Technical review of applications after operating platform changes)
� มการทบทวน แตไมมข >นตอนการปฏบตเปนลายลกษณอกษร
A.14.2.4 การจากดการเปล�ยนแปลงซอฟตแวรสาเรจรป (Restrictions on changes to software packages)
� มนโยบายควบคมการตดต >ง Software
A.14.2.5 หลกการวศวะกรรมระบบดานความม �นคงปลอดภย (Secure system engineering principles)
� ยงไมมข >นตอนปฏบตเปนลายลกษณอกษร
A.14.2.6 สภาพแวดลอมของการพฒนาระบบท�มความม �นคงปลอดภย (Secure development environment)
� มการแยกระบบ Prodution และ Develop แยกออกจากกน
A.14.2.7 การจางหนวยงานภายนอกพฒนาระบบ (Outsourced development)
� มการตรวจสอบ และมสญญาการจาง
179
หวขอ มาตรการการควบคม เลอกใชมาตรการ รายละเอยดการใชมาตรการA.14.2.8 การทดสอบดานความม �นคงปลอดภยของ
ระบบ (System security testing)� ยงไมมข >นตอนปฏบตเปนลายลกษณอกษร
A.14.2.9 การทดสอบเพ�อรบรองระบบ (System acceptance testing)
� ยงไมมข >นตอนปฏบตเปนลายลกษณอกษร
A.14.3 ขอมลสาหรบการทดทดสอบ (Test data)
A.14.3.1 การปองกนขอมลสาหรบการทดสอบ (Protection of test data)
� มการปฏบต แตยงไมมข >นตอนปฏบตเปนลายลกษณอกษร
A.15
A.15.1
A.15.1.1 นโยบายความม �นคงปลอดภยสารสนเทศดานความสมพนธกบผใหบรการภายนอก (Information security policy for supplier relationships)
� มการกาหนดเร�องการเขาถงทรพยสนในสญญาการจาง และการลงนาม Non-dislosure เสมอ
A.15.1.2 การระบความม �นคงปลอดภยในขอตกลงการใหบรการของผใหบรการภายนอก (Addressing security within supplier agreements)
� มการกาหนดเร�องการเขาถงทรพยสนในสญญาการจาง และการลงนาม Non-dislosure เสมอ
ความม 6นคงปลอดภยสารสนเทศกบความสมพนธกบผใหบรการภายนอก (Information security in supplier relationship
ความสมพนธกบผใหบรการภายนอก (Supplier relationships)
180
หวขอ มาตรการการควบคม เลอกใชมาตรการ รายละเอยดการใชมาตรการA.15.1.3 หวงโซการใหบรการเทคโนโลยสารสนเทศ
และการส�อสารโดยผใหบรการภายนอก (Information and communication technology supply chain)
� ยงไมมข >นตอนปฏบตเปนลายลกษณอกษร
A.15.2
A.15.2.1 การตดตามและทบทวนบรการของผใหบรการภายนอก (Monitoring and review of supplier services)
� มการตดตาม แตยงไมมข >นตอนปฏบตเปนลายลกษณอกษร
A.15.2.2 การบรหารจดการการเปล�ยนแปลงบรการของผใหบรการภายนอก (Managing changes to supplier services)
� ยงไมมข >นตอนปฏบตเปนลายลกษณอกษร
A.16
A.16.1
A.16.1.1 หนาท�ความรบผดชอบและข >นตอนปฏบต (Responsibilities and procedures)
� มนโยบาย Management Inforation Security Incident และม Flow Process ในการปฏบต
การบรหารจดการการใหบรการโดยผใหบรการภายนอก (Supplier service delivery management)
การบรหารจดการเหตการณความม 6นคงปลอดภยสารสนเทศ (Information Security Incident Management)
การบรหารจดการเหตการณความม 6นคงปลอดภยสารสนเทศและการปรบปรง (Management of information security incidents and improvements)
181
หวขอ มาตรการการควบคม เลอกใชมาตรการ รายละเอยดการใชมาตรการA.16.1.2 การรายงานสถานการณความม �นคงปลอดภย
สารสนเทศ (Reporting information security events)
� มนโยบายให IT Support มการ Report Hitachi Helpdesk เสมอ
A.16.1.3 การรายงานจดออนความม �นคงปลอดภยสารสนเทศ (Reporting information security weaknesses)
� มนโยบายใหผใชงานแจงจดออนท�พบกบเจาหนาท� IT การตรวจสอบ คนหาชองโหวผใชงานไมสามารถทาไดหากไมมการอนญาตเปนลายลกษณอกษร
A.16.1.4 การประเมนและตดสนใจตอสถานการณความม �นคงปลอดภยสารสนเทศ (Assessment of and decision on information security events)
� มนโยบาย Management Inforation Security Incident และม Flow Process ในการปฏบต
A.16.1.5 การตอบสนองตอเหตการณความม �นคงปลอดภยสารสนเทศ (Response to information security incidents)
� มนโยบาย Management Inforation Security Incident และม Flow Process ในการปฏบต
A.16.1.6 การเรยนรจากเหตการณความม �นคงปลอดภยสารสนเทศ (Learning from information security incidents)
�
A.16.1.7 การเกบรวบรวมหลกฐาน (Collection of evidence)
� มเกบรวบรวม และสรปจานวนเหตการณท�เกดข>นทกป
182
หวขอ มาตรการการควบคม เลอกใชมาตรการ รายละเอยดการใชมาตรการ
A.17
A.17.1
A.17.1.1 การวางแผนความตอเน�องดานความม �นคงปลอดภยสารสนเทศ (Planning information security continuity)
� มการวางแผนความตอเน�อง
A.17.1.2 การปฏบตเพ�อเตรยมการสรางความตอเน�องดานความม �นคงปลอดภยสารสนเทศ (Implementing information security continuity)
� มการประเมนความเส�ยง และจดทาแผนการลดความเส�ยง
A.17.1.3 การตรวจสอบ การทบทวน และการประเมนความตอเน�องดานความม �นคงปลอดภยสารสนเทศ (Verify, review and evaluate information security continuity)
� มการทบทวนแผนการลดความเส�ยง ประเมนผล
A.17.2
ความตอเน6องดานความม 6นคงปลอดภยสารสนเทศ (Information security continuity)
การเตรยมการอปกรณประมวลผลสารอง (Redundancies)
ประเดนดานความม 6นคงปลอดภยสารสนเทศของการบรหารจดการเพ6อสรางความตอเน6องทางธรกจ (Information security aspects of business continuity Management)
183
หวขอ มาตรการการควบคม เลอกใชมาตรการ รายละเอยดการใชมาตรการA.17.2.1 สภาพความพรอมใชของอปกรณประมวลผล
สารสนเทศ (Availability of information processing facilities)
� มการแผนการบารงรกษา
A.18
A.18.1
A.18.1.1 การระบกฎหมายและความตองการในสญญาจางท�เก�ยวของ (Identification of applicable legislation and contractual requirements)
� มการระบกฏหมายท�เก�ยวของไวในสญญา
A.18.1.2 สทธในทรพยสนทางปญญา (Intellectual property rights)
� มนโยบายในการควบคมหามละเมด
A.18.1.3 การปองกนขอมล (Protection of records) � มนโยบายในการปองกนทรพยสน
A.18.1.4 ความเปนสวนตวและการปองกนขอมลสวนบคคล (Privacy and protection of personal identifiable information)
� มนโยบายในการปองกนขอมลสวนบคคล
ความสอดคลอง (Compliance)
ความสอดคลองกบความตองการดานกฎหมายและในสญญาจาง (Compliance with legal and contractual requirements)
184
หวขอ มาตรการการควบคม เลอกใชมาตรการ รายละเอยดการใชมาตรการA.18.1.5 ระเบยบขอบงคบสาหรบมาตรการเขารหส
ขอมล (Regulation of cryptographic controls)
� มนโยบายในการตดต >ง Software Encryption
A.18.2
A.18.2.1 การทบทวนอยางอสระดานความม �นคงปลอดภยสารสนเทศ (Independent review of information security)
� มการทบทวนเร�องความม �นคงปลอดภย โดยผบรหารดาน IT อยางนอยปละคร >ง หรอเม�อมการเปล�ยนแปลง
A.18.2.2 ความสอดคลองกบนโยบายและมาตรฐานดานความม �นคงปลอดภย (Compliance with security policies and standards)
� มการทบทวนความสอดคลองตามนโยบายความม �นคงปลอดภย โดยผบรหารดาน IT อยางนอยปละคร >ง หรอเม�อมการเปล�ยนแปลง
A.18.2.3 การทบทวนความสอดคลองทางเทคนค (Technical compliance review)
� มการทบทวนความสอดคลอดานเทคนค โดยผบรหารดาน IT ทกคร >งเม�อมการเปล�ยนแปลง
การทบทวนความม 6นคงปลอดภยสารสนเทศ (Information security reviews)
185
186
เอกสารอางอง
[1] ปรญญ เสรพงศ, ระบบการจดการความม �นคงปลอดภยของสารสนเทศ, 2008
[2] International Standard ISO/IEC 27001 First Edition, 2013
[3] International Standard ISO/IEC 27002 Second Edition, 2013
[4] International Standard ISO/IEC 27005 First Edition, 2011
187
ภาคผนวก ก
นโยบายความม �นคงปลอดภยสารสนเทศ
(Siam Hitachi Elevator Security Policy)
������������������������������������ �������������� �������������� �������������� ���������������������������������������������� ���� ��� ��� �� ������� ������������ ��� �� ������� ������������ ��� �� ������� ������������ ��� �� ������� ������������� ��������� ���� !
��������� �
����� ��
� !"#�!$%�&� ������������� ����������������������� ����������������������� ����������������������� ����������������������������������
� �������
��� ��
%'�!� #!$%�&� (������������ ����)�*���)(������������ ����)�*���)(������������ ����)�*���)(������������ ����)�*���)����
� �������
+��� ���
��%� ������ ����������� ����������� ����������� ���������
����������������� ������ ���� ������������ ������
���������� �������� ������������������������������ ��������� ���������� ��������� ��
������ ��� ��� �������� ��� ����� ����� �������� ���� ����� ��������� ���� ��� �� ����
����� ������ ���� ������ ��������� ��������� �����������
��� �� �� �� � ��� ��������� ��� !� ����� ����� ������ ���� ����� �� ������ "����� ���� �����
���������� ����������
���������� � ����� � �������� ��� ������� ��� ������ ��������� �� ����������� ��������
�������������������� ��������� ��������������������������� ���������������������
����� � �� ��� ���� ����� ���� ����������������� �������� �������#� �� ��� ����������
������ ����� �������� ��� ���� ��� ������$��������� ����� �����#� ���� �� ��� �� �� ����� ����
�����"�"� ��������� ���� ������������ ����
%���� ������� ����
��������� &'�(�
)�������� ���� �� ����%�������� �������� ���������� �%���� �� �
�����"��#�
*��������
���� �� ����%�������� )������ � +���"���"��� �
������������������������������������ �������������� �������������� �������������� ���������������������������������������������� ���� ��� ��� �� ������� ������������ ��� �� ������� ������������ ��� �� ������� ������������ ��� �� ������� ������������� ��������� ����!"
��������� �
����� ��
� !"#�!$%�&� ������������� ����������������������� ����������������������� ����������������������� ����������������������������������
� �������
��� ��
%'�!� #!$%�&� (������������ ����)�*���)(������������ ����)�*���)(������������ ����)�*���)(������������ ����)�*���)����
� �������
+��� ���
��%� ������ ����������� ����������� ����������� ���������
���������!�� ����
��������� %� �� %������ ����
&'�(� *�����,-#�,('.� /��� ����������������� ��������
������������������������������������ �������������� �������������� �������������� ���������������������������������������������� ���� ��� ��� �� ������� ������������ ��� �� ������� ������������ ��� �� ������� ������������ ��� �� ������� ������������� ��������� ����!"
��������� �
����� ��
� !"#�!$%�&� ������������� ����������������������� ����������������������� ����������������������� ����������������������������������
� �������
��� ��
%'�!� #!$%�&� (������������ ����)�*���)(������������ ����)�*���)(������������ ����)�*���)(������������ ����)�*���)����
� �������
+��� ���
��%� ������ ����������� ����������� ����������� ���������
��� ���� �������������������
�� ��� ��
������������������ ��� �� ������� �������������� ���� �������������� ��������� ���������
� �� ����������������� ��� � � ��� ��� ������������ ��������� ����� �������� ������������������
�������� ���� ��� � ���� ������� "���� ������ #� ��� ���� ���� ��� ��� �� �������������
�� �������������� ��������� ��������������������������������������� �� �� ������������ ���
�������#� ����������� ����� ��� ������ ���� ����� �� ���� ����� ���� ����������� ������ ����
����� ������0����� ���
�� ���������
���������� ����������� ������� ������� ������ ���� ����� �� ���� ���"������"����������������
������������������������� �������� ����������� ���� �#��� ���� �#��������������� ����������� ����
���� �#� �������� ������ ��������� �#����� ������������������������������������������������� ��
��� �����������
1'2������� ��������� ��)��������"����������������� �������� ������� ����0����� ������
����� �������� �������������� � ������������ ����� ������������
1,2�)������������� ����� ������������������ �� ���� ������ ��������� ��"������� ��������� ��� ���
������ � ������ � �� ���� �� ������ �� � ������ ���������� �������� ��� ����������� ������ ����
����� ����������#�����������#������������������� �������� �����������"���$���� ����� ��� �����
������������������������������������ �������������� �������������� �������������� ���������������������������������������������� ���� ��� ��� �� ������� ������������ ��� �� ������� ������������ ��� �� ������� ������������ ��� �� ������� ������������� ��������� ����!"
��������� �
����� ��
� !"#�!$%�&� ������������� ����������������������� ����������������������� ����������������������� ����������������������������������
� �������
��� ��
%'�!� #!$%�&� (������������ ����)�*���)(������������ ����)�*���)(������������ ����)�*���)(������������ ����)�*���)����
� �������
+��� ���
��%� ������ ����������� ����������� ����������� ���������
132������� ��������� ������ ���#� �������������"����������������"���������� �� ����������
�"���� ��� ����� �� ���� �� ���� ��������� ���� ���� �0������ �� ������ ������ � ������ ����� ��
�������������������������
1.2������� �������� ��"���������������������������� �� �������� ����� �� �� ��������� � �������������
������������ �������������� �� �����
1-2������� �������� ��"�������������������� ����� ����������������������
142�5����#������ ����������� ��� �����0����� ��"����������� �����#������ ������������"����
*�������6�
%� �6�
������������������������������������ �������������� �������������� �������������� ���������������������������������������������� ���� ��� ��� �� ������� ������������ ��� �� ������� ������������ ��� �� ������� ������������ ��� �� ������� ������������� ��������� ����!"
��������� �
����� ��
� !"#�!$%�&� ������������� ����������������������� ����������������������� ����������������������� ����������������������������������
� �������
��� ��
%'�!� #!$%�&� (������������ ����)�*���)(������������ ����)�*���)(������������ ����)�*���)(������������ ����)�*���)����
� �������
+��� ���
��%� ������ ����������� ����������� ����������� ���������
��� ���� ������������ �����
�� �� �� ��������� �
1'2������������������ �� �����0��� ���#� ������������ ����������#������������������#�� ������
���������#����� ����������������#�� ��#����������� �������������� ���#��������������� �#�
���� �������� �#������������� � ��� �#�� ���������� ���#� ��������������������� ������������ ����
���� ��������� �� ���� ��� �� ��� ������ ���� ���� ��� /� ������#� ��� ������ ���� ��� ��
�������� ���� �0���� #� ����"���� ���� ��� "���#� ������� ����#� ���� �� �� � ����� ��� ��� ���
������ �� ����
1,2������������������ ������������������������ �����"�������"���������� ��������� ����
���� �#���������������������#��������"������#� ��������"������#���� $ ���"������#�� ������
���� ���#���� ������������ �������#� �������� ��������� ���������0�������� ��������������
�������������
�� � ����������� �����������
��������� ���������������� �������� ������������������������� ���������� ������ ��������� ��
�������� ���� �� ����� ���� ���������� ��� ��� �� �� ���� ��� ������� � ������� ��� �� ���
���� �����
1'2�78�� ������������
78�� ������������������������"�������� �� �������������������������� ��������� �#�����
�� �� ���������������� ���������������� ������� ��������� � ������� ������������
������������������������������������ �������������� �������������� �������������� ���������������������������������������������� ���� ��� ��� �� ������� ������������ ��� �� ������� ������������ ��� �� ������� ������������ ��� �� ������� ������������� ��������� ����!"
��������� �
����� ��
� !"#�!$%�&� ������������� ����������������������� ����������������������� ����������������������� ����������������������������������
� �������
��� ��
%'�!� #!$%�&� (������������ ����)�*���)(������������ ����)�*���)(������������ ����)�*���)(������������ ����)�*���)����
� �������
+��� ���
��%� ������ ����������� ����������� ����������� ���������
1,2������ ��� ���������� ���
��������� ��� ���������� ������ ����������������������� ���������������� �������������� ����
����� ��������� ����� ������� ��������������� �������������� � ����������������� ���
�8�� �������������
132������� ��������� �����������
������ ��������� ������������������������������������ ����������� ������� ����������� ��
�� ������������������������� ����0����� ��������������� ����8�� �������������
1.2������� ����*��� ��9"�����
������ ����*��� ��9"����������������������������� ������� ����������������� ���� ���������
���������������� ����������� ���� �#��� ���� �#��������������� �� ��������
1-2������� ������� ��9"�����
������ ������� ��9"��������� ������������ �������������� ��� ������ ����*��� �����������
"� �� �� ��������$������� ������ ���� ��� �� �� � �� ������� ������ ���� ���������� ���� ��� ��
��0����� ���
142�5�������������
5��������������������������������������� ������������� ��� �����"�����������������"� �� ����
��������5����������������� ������������ ������������ ������������ �������� ��� ������ ����
��� ����� ���� �����
������������������������������������ �������������� �������������� �������������� ���������������������������������������������� ���� ��� ��� �� ������� ������������ ��� �� ������� ������������ ��� �� ������� ������������ ��� �� ������� ������������� ��������� ����!"
��������� �
����� ��
� !"#�!$%�&� ������������� ����������������������� ����������������������� ����������������������� ����������������������������������
� �������
��� ��
%'�!� #!$%�&� (������������ ����)�*���)(������������ ����)�*���)(������������ ����)�*���)(������������ ����)�*���)����
� �������
+��� ���
��%� ������ ����������� ����������� ����������� ���������
1:2����%���� �� �
�������%���� �� ���������������������������� "�������������� ������� ������� ����������
%���� �� � ��� ������������ ���� ���������� ���� ������ ���� ��� ��� ����� �� � �������#�
������� �������#����������#��������������� �� ������ � ���������� ��������� ����������
1;2�<�����
*�������������������������������������� ������� ���������� ��������� ��������#����� �������#�
� ��#������������������"� �� ��������
�� ������� �������������
3�'������� ��������� ���"�������#����� �������� ��������1,((-$�*�;�,�,#�,('3$*�:�,�,2�
*��������������� ��������� � ��������������� ���� ��� ����� ������������������ ���"��������
���� �������� ����������� ��������� � ��������������������������������� ��� �� �����=������ �����
����� ������������ ����
������ ��������� ����������� )�������� ���� ������ � ���� ��� �"��������
��������
5������������� ��������� ���>���"���������������� ��
<����� �������������� �������� ��������
������������������������������������ �������������� �������������� �������������� ���������������������������������������������� ���� ��� ��� �� ������� ������������ ��� �� ������� ������������ ��� �� ������� ������������ ��� �� ������� ������������� ��������� ����!"
��������� �
����� ��
� !"#�!$%�&� ������������� ����������������������� ����������������������� ����������������������� ����������������������������������
� �������
��� ��
%'�!� #!$%�&� (������������ ����)�*���)(������������ ����)�*���)(������������ ����)�*���)(������������ ����)�*���)����
� �������
+��� ���
��%� ������ ����������� ����������� ����������� ���������
3�,�%��������������������1,((-$�*�;�,�3#�,('3$*�:�,�32�
/������ ��������"� �� ���������� ��������� ��)���������������������� ��� ��� �������� ����
��������������� ���#���������� ����� �������������� ��
����� ������������ ����
!����������������� �� � %�������� ���������������������������������
������ ���� ������� �����������
*���� ���� <����� �����������������
!� "���#����� ����� ���� �
.�'����������� ������������� ����
������ �������������� ����������� ���������������� ������� ����������� ��������� ���#�
��������0����� �#����� ��������������� ������0������������������
����� ������������ ����
������ ��������� ����������� %�������� ���������� �������������� ����
������
.�,�5������������������������������ ����
������ ����� �����������#��������#� ��� ��#�� ����#����� ����� �����������������"� �� ���
������ �������������� �����������
������������������������������������ �������������� �������������� �������������� ���������������������������������������������� ���� ��� ��� �� ������� ������������ ��� �� ������� ������������ ��� �� ������� ������������ ��� �� ������� ������������� ��������� ����!
��������� �
����� ��
� !"#�!$%�&� ������������� ����������������������� ����������������������� ����������������������� ����������������������������������
� �������
��� ��
%'�!� #!$%�&� (������������ ����)�*���)(������������ ����)�*���)(������������ ����)�*���)(������������ ����)�*���)����
� �������
+��� ���
��%� ������ ����������� ����������� ����������� ���������
����� ������������ ����
������ ��������� ����������� %�������� ���������� �������������� ��������
��������������"� �� ��������� �������������� ����
������
������ ����*��� ��9"����� *�������� ������������ ������������� ����
<����� !�������� ��� ������ ���� ��� ����� "� �� ���
���������� ��������� ��������
.�3�)�������������� �� ���������������������� �������������� ����
)�������������� �� ���������������������� �������������� ����1)��2�� ����������������0�����
������� �������� ������������� �����"�����������������
����� ������������ ����
������ ��������� ����������� %�������� ���������������������������
��� �� �������)��#����������� ���� ������� ��
�������������������� ����������������� ����
������ ����
������ ����*��� ��9"����� *�������� �������� � ��������������
������������������������������������ �������������� �������������� �������������� ���������������������������������������������� ���� ��� ��� �� ������� ������������ ��� �� ������� ������������ ��� �� ������� ������������ ��� �� ������� ������������� ��������� !���� "
��������� �
����� ��
� !"#�!$%�&� ������������� ����������������������� ����������������������� ����������������������� ����������������������������������
� �������
��� ��
%'�!� #!$%�&� (������������ ����)�*���)(������������ ����)�*���)(������������ ����)�*���)(������������ ����)�*���)����
� �������
+��� ���
��%� ������ ����������� ����������� ����������� ���������
$� "���#����� ��� ������������� ���� ��%&�����
-�'�<����������� �� ��� ��� ���������� ���������������"�����
������������� �� ��� ��� ���������� ���������������"�������� ��������� ������� ������
�������#������� ���� ����� �������� � ��������"���6�
1�2 ?��������� �� ��� ��� ���� ������ ��������������#� �������� �� � ����� ��������� ��
����� ������� ����
1�2 *����������������������1�������������2��������� �� ��� ��� ���������� ����#�������
������������ �������������
1�2 ����� �0��� ������"����"� ���������� ��������� ��
����� ������������ ����
<����� <����������� �� ��� ��� ���������� ������������"� ��
����������
-�,��������������� ��
+�����0���� ���� ������ ����� ����������#�������� ���� � ����� ������ ���������������
����������� ������� �������
��� ���� ���#� "���� ������ ���� ��� ����� � ����� ��� �������#� ��� � �������� ���� ���������
������ ����� ��������������
������������������������������������ �������������� �������������� �������������� ���������������������������������������������� ���� ��� ��� �� ������� ������������ ��� �� ������� ������������ ��� �� ������� ������������ ��� �� ������� ������������� ��������� ���� !
��������� �
����� ��
� !"#�!$%�&� ������������� ����������������������� ����������������������� ����������������������� ����������������������������������
� �������
��� ��
%'�!� #!$%�&� (������������ ����)�*���)(������������ ����)�*���)(������������ ����)�*���)(������������ ����)�*���)����
� �������
+��� ���
��%� ������ ����������� ����������� ����������� ���������
����� ������������ ����
������ ������� ��9"����� �������� � ��� ���� �� ��������� ��� ������� ���
��������
<����� <���������� ����������"� �� ����������
'� �������� ��� �
'���(������#������� �� � ������)��#������� ��
��������� �� ����������$����� �� ������������"��������������� �� ��������� ������� ������
��������� ��������� ���������������������� �� ��������� ��������"���6�
1�2�*������� ������0�������%�� �� ��������� ���������1�����������2�
1�2������ ����������������������������%����������"����������� � ��������� � ����
����� ������������ ����
5������������� ��0�� � ���� ��� ����� �� ���� ���� ��$����� �� ���� ���
�������������"� �� ����������
������ ������� ��9"����� ������ � ���� ��� ��� ����� �� ���� ���� ��$
����� �� ��������������������"� �� ����������
������������������������������������ �������������� �������������� �������������� ���������������������������������������������� ���� ��� ��� �� ������� ������������ ��� �� ������� ������������ ��� �� ������� ������������ ��� �� ������� ������������� ��������� !���� "
��������� �
����� ��
� !"#�!$%�&� ������������� ����������������������� ����������������������� ����������������������� ����������������������������������
� �������
��� ��
%'�!� #!$%�&� (������������ ����)�*���)(������������ ����)�*���)(������������ ����)�*���)(������������ ����)�*���)����
� �������
+��� ���
��%� ������ ����������� ����������� ����������� ���������
'������ ���� ������������������ ��
*������ ������������������ �������������� ������� ���� ������� �������"� �� ����������
��� �������������������������"� ����@����$ �$���"A������#� �����������������������0����� �
���������� �������������� �����������
����� ������������ ����
������ ������� ��9"����� %�������� � ��� ������� ��� ���� ������� ����
������ � ����������������� ��� ������� �����
'���"���#����� ����*���#������������#����
������������ ���� ������������������ ���� �� �� ��� ������ ���� ��� ������ ��������� ����
��� ��� ���������� �������������� ���� � ������������ �� ��������� ��������"���6�
1�2�*������������������������������� ����������� ���������0����� ����� �������>�
��������������
1�2����� ������� ���� ���� � �����������������������������������������������������
1�2�*��������������������������� ���� �� ������ �%�� �������� � ���� ��������� ���� �������
���������� ��� ����
����� ������������ ����
5������������� ��0�� ����� �������� �� ��������������� �� �������
�������������������"� �� ����������
������������������������������������ �������������� �������������� �������������� ���������������������������������������������� ���� ��� ��� �� ������� ������������ ��� �� ������� ������������ ��� �� ������� ������������ ��� �� ������� ������������� ��������� !���� "
��������� �
����� ��
� !"#�!$%�&� ������������� ����������������������� ����������������������� ����������������������� ����������������������������������
� �������
��� ��
%'�!� #!$%�&� (������������ ����)�*���)(������������ ����)�*���)(������������ ����)�*���)(������������ ����)�*���)����
� �������
+��� ���
��%� ������ ����������� ����������� ����������� ���������
������ ������� ��9"����� ������ � ������� �������� �� ��������
������� �� ��������������������������"� �� ����������
+� ������"���#����
+���� ��� ����#��������,������������*�������
+� �� ������� �� ��� �� ���� ������ � ��"���� ���� ��� ������#� ��� ������� ���� ������ ���#�
�� �� ���#��������������� ���� �����������"���� ��������"���6�
1�2 )������ � ��� ��� ��� �� ���� ��� ��� "���� 1��� ������ �� �������� � ��� ������� ���
������� ����2��
1�2 ��� ������������������ ����"������ �� ������������������ "����1�� �$�������� "���2��
1�2 )����� ������ �� �������� ����������"���� ���1�����8����#�������8����� �����2��
����� ������������ ����
���%���� �� �
������ ������� ��9"�����
������ � ������� ����������
+���"���#����� ������������*��������������-�����������������#�����
����������� ��������������� � ������������������� ������� ��������� ������� ����� �����
�� ������������������� �� ��������"���6�
1�2 *�0��� ���� ��� ������ ���� ��� � ���������� �6� )��� ��� ��0���� ������ ���� ��� �
������������������� ����������������� �������� �����������1�����8����#�����"��������
������������������������������������ �������������� �������������� �������������� ���������������������������������������������� ���� ��� ��� �� ������� ������������ ��� �� ������� ������������ ��� �� ������� ������������ ��� �� ������� ������������� ��������� !���� "
��������� �
����� ��
� !"#�!$%�&� ������������� ����������������������� ����������������������� ����������������������� ����������������������������������
� �������
��� ��
%'�!� #!$%�&� (������������ ����)�*���)(������������ ����)�*���)(������������ ����)�*���)(������������ ����)�*���)����
� �������
+��� ���
��%� ������ ����������� ����������� ����������� ���������
��� "�����������2��
1�2 ���� ����� ����������������� ���6�������������� �������������� ������������������� ����
"� ����� "������������� ������� ��������� �������#������������ ������������� �� ���
������ � ���#� ��� ��� �� � ����� �����1������� ��������� ���������� ����� ����2#�����
��������
1�2 7���� ���6���� ������������������������ ��#������ � �� ����������� ���� ���������
�� � ����� ����������������������� ���� ������ ��1"� ���� ��������� �� �������������� 2��
1�2 %������� 6�*������� ����� �� �������� ��������������� ��+����������������� ���
�������"���������#������������#���������� ����������� �� ����� ��� �����������
����� ������������ ����
���%���� �� � *�0��� ������������� ������� ����������� ����
������ ������� ��9"����� %������� ������ �����
.� ��������� ��� ������� �
.���/��, �0�� ��� ���
��� ������ �� �� ������� ���� ��� ���� ��� ������� �"�� �� "���� ����� �#� ��� ������� �
� ��������� ����������������������� ���������"���� ��������"���6�
(a) 7� ������������������� ���������������������� ���������� ������ "���������� �����
(b) <����� "�����0���� �1����"����#�� ��2#�� ���� � ���#��������������� ���#�������0����
������� ���������
������������������������������������ �������������� �������������� �������������� ���������������������������������������������� ���� ��� ��� �� ������� ������������ ��� �� ������� ������������ ��� �� ������� ������������ ��� �� ������� ������������� ��������� !���� "
��������� �
����� ��
� !"#�!$%�&� ������������� ����������������������� ����������������������� ����������������������� ����������������������������������
� �������
��� ��
%'�!� #!$%�&� (������������ ����)�*���)(������������ ����)�*���)(������������ ����)�*���)(������������ ����)�*���)����
� �������
+��� ���
��%� ������ ����������� ����������� ����������� ���������
(c) 7�������������������� �������� 1������ ���#�� ��2� ���� ������ �� ��������� ��
�� �������� �������������� "�����1��������� ����� ���� 2����"���������� "������
����� ������������ ����
���%���� �� � %�������� ����� ������ � ������� ����� "����
������� �� ��������
.�����#��#��� ��������, �0��
��� ������ �� ������ � �� ���� ��� ������� ���� ������ �� "����� 1��������� ��� �� ���� 2� ���
"���������� "����#�����"������ ������� ��������� ���������>���� "���#����� ���������B��
�� "������� ��������������������� ����
����� ������������ ����
���%���� �� � ������ � ������� ����� "����������� �����������
.���%����� ��������#��#�
7��� ������ ������� ������ ���� 1����#� � ��2� � � ��� ��� �� ��� ���������� �� ���
����������������� ������������������ ��������� �����
��� ��������������� ������������������� �����������8 ��������������1����#���������� "����#�
������������#�� ��2#������������������� ������� �������
����� ������������ ����
������������������������������������ �������������� �������������� �������������� ���������������������������������������������� ���� ��� ��� �� ������� ������������ ��� �� ������� ������������ ��� �� ������� ������������ ��� �� ������� ������������� ��������� !���� "
��������� �
����� ��
� !"#�!$%�&� ������������� ����������������������� ����������������������� ����������������������� ����������������������������������
� �������
��� ��
%'�!� #!$%�&� (������������ ����)�*���)(������������ ����)�*���)(������������ ����)�*���)(������������ ����)�*���)����
� �������
+��� ���
��%� ������ ����������� ����������� ����������� ���������
���%���� �� � ������ � ���� ��� ������� ���� ��� �� ����
��������
)������ ������������������������������������ ���
�8 ��������������
<����� ����������"� �� ����������
1� " ������ ����#
1���" �������*���� �����
*��������������� �� ������������������1�����������)���������� ������2����������� ����
�� ����������* ����� � ��������"�������� ��� ������������������ ���������6�
1�2������ �� ���������������������
1�2�)����������� �� ������� ��������������� ��� ����������
1�2�)�� �� ������� ��������� ����� �������� �����������1����"������� �� ���#������� ���#�
� ��2�
1�2���� ��� ������� ���������������������� ���$�"�����0���� ��
����� ������������ ����
������ ��������� ����������� %�������� ���� ����������
���%���� �� � ���������������� � ������� ����������
5������������� *����������������������������� ����
<����� ����������"� �� ����������
������������������������������������ �������������� �������������� �������������� ���������������������������������������������� ���� ��� ��� �� ������� ������������ ��� �� ������� ������������ ��� �� ������� ������������ ��� �� ������� ������������� ��������� !���� "
��������� �
����� ��
� !"#�!$%�&� ������������� ����������������������� ����������������������� ����������������������� ����������������������������������
� �������
��� ��
%'�!� #!$%�&� (������������ ����)�*���)(������������ ����)�*���)(������������ ����)�*���)(������������ ����)�*���)����
� �������
+��� ���
��%� ������ ����������� ����������� ����������� ���������
�2� "���#����� ����� ���� ��������������������
�2������ ����������������� ��������
�������� ��������������������� ��������� ��������� ��� ������������������������� �
����������� ��������� ����� � ��������"����� ���6�
1�2 )��������� ������� �����#� �� �� ���#� ����� ���#� ���� ����� ���� ������ ���� ����� ��
���� ��
1�2 )��������������������� �������������� � ��������� ��������� ������ ������ �����
�������������������� ��������� ��������� �
1�2 )��������� ���� ��������� ������ ���� ����� �� ������� �� 1��������� ���������� ����
������������������ ���� �� ��������)���� ���������2�
����� ������������ ����
������ ��������� ����������� )������ ������������������������������������ ��
�������� ��
<����� )��� ������ ��������������� ��
��� %*������ �������� *����
���� ����� �������� ��� ��� ������ ���� ����� �� ������� � ��� �� ��� �� ������������� ���
����� ��� ������ ��������"������ ���������$������������������#� ����� �������������� ���
������ ��������� ��������� ���� �#������������ �� ������$��������������������� ����
�� ����� �������� ��������������� ����������� ����
������������������������������������ �������������� �������������� �������������� ���������������������������������������������� ���� ��� ��� �� ������� ������������ ��� �� ������� ������������ ��� �� ������� ������������ ��� �� ������� ������������� ��������� !���� "
��������� �
����� ��
� !"#�!$%�&� ������������� ����������������������� ����������������������� ����������������������� ����������������������������������
� �������
��� ��
%'�!� #!$%�&� (������������ ����)�*���)(������������ ����)�*���)(������������ ����)�*���)(������������ ����)�*���)����
� �������
+��� ���
��%� ������ ����������� ����������� ����������� ���������
$�)������������$�������� ������ ���������� �� ����%�����������!� ����#�5 ���
$��� ��������� ������� �������� ������*�� �9���������!� ����#�5 ��������� ��������)���� �
���������
$������"������� ������ ����8�� ������������
����� ������������ ����
������ ��������� ����������� ���������� �� ���������������������������
������������������������������������ �������������� �������������� �������������� ���������������������������������������������� ���� ��� ��� �� ������� ������������ ��� �� ������� ������������ ��� �� ������� ������������ ��� �� ������� ������������� ��������� !���� !
��������� �
����� ��
� !"#�!$%�&� ������������� ����������������������� ����������������������� ����������������������� ����������������������������������
� �������
��� ��
%'�!� #!$%�&� (������������ ����)�*���)(������������ ����)�*���)(������������ ����)�*���)(������������ ����)�*���)����
� �������
+��� ���
��%� ������ ����������� ����������� ����������� ���������
��� ��� ������#���
����#��/ �� 3���� ����#��3������ /���
��� ������������