˘ˇ ISO/IEC 27001 : 2013 8 9: ; Anusorn Pattanarach¸ารบริหารจัดการ... · ˘ˇ ˙ ˙ ˝ ISO/IEC 27001:2013 Information Security Management according to

การบรหารจดการความม นคงปลอดภยระบบสารสนเทศ

ตามมาตรฐาน ISO/IEC 27001:2013

Information Security Management according to

ISO/IEC 27001 : 2013

อนสร พฒนะราช

Anusorn Pattanarach

สารนพนธนCเปนสวนหน งของการศกษา หลกสตรวทยาศาสตรมหาบณฑต สาขาวชาความม นคงทางระบบสารสนเทศ

คณะวทยาการและเทคโนโลยสารสนเทศ มหาวทยาลยเทคโนโลยมหานคร

ปการศกษา 2558

I

หวขอ การบรหารจดการความม นคงปลอดภยระบบสารสนเทศ ตามมาตรฐาน ISO/IEC 27001:2013 กรณศกษา

บรษท สยาม ฮตาช เอลลเวเตอร จากด

ช�อนกศกษา นางสาวอนสร พฒนะราช

รหสนกศกษา 5617810008

หลกสตร วทยาศาสตรมหาบณฑต สาขาความม นคงทางระบบสารสนเทศ

ปการศกษา 2558

อาจารยท�ปรกษา ผศ.ดร. วรพล ลลาเกยรตสกล

บทคดยอ

โครงงานการบรหารจดการความเส ยง และการสรางความม นคงปลอดภยสารสนเทศใหกบองคกรตามมาตรฐาน ISO 27001:2013 ขององคกรกรณศกษา บรษท สยาม ฮตาช เอลลเวเตอร จากด จดทาข?นเพ อศกษามาตรฐานดงกลาว และเพ อจดทารางนโยบายความม นคงระบบสารสนเทศ พรอมท ?งนาไปประยกตใชวเคราะหความเส ยงและจดทาแผนบรหารจดการความเส ยงท องคกรมอยอยางเหมาะสม

ผลลพธท ไดองคกรสามารถนาไปพฒนากระบวนการทางานดานระบบเทคโนโลยสารสนเทศท มความม นคงปลอดภยได และสามารถพฒนาตอยอดเพ อนาไปขอเขารบการตรวจสอบมาตรฐานตอไป

II

กตตกรรมประกาศ

โครงงานนพฒนาสาเรจลลวงได โดยไดรบการสนบสนนและการใหคาปรกษาเก#ยวกบแนวทางการศกษาคนควา จากทานอาจารย ผศ.ดร. วรพล ลลาเกยรตสกล และทานอาจารย ดร. บรรจง หะรงษ ผจดทาโครงงานขอขอบพระคณทานท งสองเปนอยางย#งท#ไดสละเวลาอนมคาในการใหคาแนะนาอนเปนประโยชนตอการจดทาโครงานนมาโดยตลอด และขอขอบพระคณคณาจารยทกทานในภาควชาเทคโนโลยสารสนเทศ มหาวทยาลยเทคโนโลยมหานคร ท#ไดใหความรความเขาใจ และถายทอดประสบการณอนมคาย#งทางดานความม #นคงปลอดภยของระบบสารสนเทศ รวมท งขอบคณครอบครวและเพ#อนท#เปนกาลงใจในการทาโครงงานนสาเรจได

ท#สาคญย#ง คอการไดรบการสนบสนนจาก คณทาสโอะ โออช รองประธานกรรมการบรษท และคณภากร วงศวราวภทร ผจดการท #วไปฝายไอท ของบรษท สยาม ฮตาช เอลลเวเตอร จากด ท#ไดสนบสนนอนญาตใหนาองคกรมาเปนกรณศกษาสาหรบโครงงานนเปนอยางด ทางผจดทาตองขอขอบคณทกทานเปนอยางสงมา ณ โอกาสน

อนสร พฒนะราช

10 พฤษพาคม 2559

III

สารบญ

หนา

บทคดยอ 33............................................................................................................................... I

กตตกรรมประกาศ 33 ................................................................................................................. II

สารบญ 33 ................................................................................................................................ III

สารบญรป 33 ............................................................................................................................ V

สารบญตาราง 33........................................................................................................................ VI

บทท� 1 บทนา33 ....................................................................................................................... 1 1.1 ปญหาและแรงจงใจ ........................................................................................... 1 1.2 วตถประสงคของโครงงาน ................................................................................ 1 1.3 ขอบเขตโครงงาน................................................................................................ 3 1.4 ประโยชนท�คาดวาจะไดรบ.................................................................................. 4 1.5 แผนการดาเนนงาน............................................................................................ 4 บทท# 2 ทฤษฎท#เก#ยวของ .................................................................................................... 6

2.1 องคประกอบพ.นฐานความปลอดภยสารสนเทศ................................................... 6 2.2 ระบบการจดการความม #นคงปลอดภยสารสนเทศ................................................ 7 2.3 การบรหารและจดการความเส#ยง ....................................................................... 10 2.4 การวเคราะหความเส#ยง .................................................................................... 11 บทท# 3 วธการดาเนนการ..................................................................................................... 14

3.1 ข .นตอนในการดาเนนการ ................................................................................. 14 3.2 รายละเอยดข .นตอนการดาเนนการ ................................................................... 15 3.3 รายละเอยดทรพยสนในหองเคร#องแมขาย.......................................................... 15 3.4 โครงสรางองคกร .............................................................................................. 18 3.5 การประเมนความเส#ยง ...................................................................................... 18 3.6 วธปฏบตตอความเส#ยงดานสารสนเทศ................................................................ 25 3.7 รายการควบคมความม #นคงสารสนเทศของ ISO 27001:2013.............................. 26 บทท# 4 ผลการดาเนนโครงงาน.............................................................................................. 27

4.1 ผลการประเมนความเส�ยงกอนดาเนนโครงการ.................................................... 28

4.1.2 ผลการประเมนความเส�ยงทรพยสนประเภทซอฟทแวร.......................... 52

4.1.3 ผลการประเมนความเส�ยงทรพยสนประเภทสารสนเทศ........................ 70

4.1.4 ผลการประเมนความเส�ยงทรพยสนประเภทผใหบรการ........................ 73

IV

4.1.5 ผลการประเมนความเส�ยงทรพยสนประเภทบคคลากร......................... 74

4.2 สรปจานวนความเส�ยงกอนการดาเนนโครงงาน................................................... 77

4.3 การบรหารจดการความเส�ยง.............................................................................. 78

4.4 สรปผลการประเมนความเส�ยงทรพยสน หลงดาเนนการโครงงาน........................... 78

4.4.1 ผลการประเมนความเส�ยงประเภทฮารดแวร ........................................ 105

4.4.2 ผลการประเมนความเส�ยงทรพยสนประเภทซอฟทแวร.......................... 126

4.4.3 ผลการประเมนความเส�ยงทรพยสนประเภทสารสนเทศ ........................ 145

4.4.4 ผลการประเมนความเส�ยงทรพยสนประเภทผใหบรการ ......................... 149

4.4.5 ผลการประเมนความเส�ยงทรพยสนประเภทผใหบรการ.......................... 150

4.5 สรปจานวนความเส�ยงหลงการดาเนนโครงการ.................................................... 153

บทท# 5 สรปผลการดาเนนโครงงาน................................................................ ……………… 154

ตารางสรปการประยกตใชงาน ………………………………………………………….……….. 155

เอกสารอางอง …………………………………………………………………………………… 186

ภาคผนวก ………………………………………………………………………………….…… 187

Information Security Policy……………………………..………………….………… 188

V

สารบญรป

รปท# 2.1 ISO 27000 Family ………….………………………………………………… 7

รปท# 2.2 องคประกอบของความเส#ยง …………………………………………………… 11

รปท# 3.1 ลาดบข .นตอนการดาเนนการ …………………………………………………… 14

รปท# 3.1 ลาดบข .นตอนการดาเนนการ …………………………………………………… 14

รปท# 3.2 โครงสรางองคกร ………………………………………………………………….. 18

รปท# 4.1 แผนภมแสดงสรปจานวนความเส#ยงกอนการดาเนนโครงงาน …………………. 77

รปท# 4.2 แผนภมแสดงสรปจานวนความเส#ยงกอนการดาเนนโครงงาน …………………. 153

รปท# 5.1 แผนภมเปรยบเทยบความเส#ยงกอนและหลงดาเนนโครงงาน ………………….. 154

VI

สารบญตาราง

ตารางท# 1.1 ตารางการดาเนนโครงงาน 1…..………………………………………………….. 4

ตารางท# 1.2 ตารางการดาเนนโครงงาน 2 ..…………………………………………………… 5

ตารางท# 3.1 รายการทรพยสนในหองเคร#องแมขาย ………………………………………….. 17

ตารางท# 3.2 ระดบโอกาสการเกดความเส#ยง (Likelihood)…………………………………… 19

ตารางท# 3.3 ระดบผลกระทบ (Impact) ……………………………………………………… 20

ตารางท# 3.4 ระดบผลกระทบดานการเงน ( Financial )……………………………………… 20

ตารางท# 3.5 ระดบผลกระทบดานช#อเส#ยง (Reputation ) …………………………………… 21

ตารางท# 3.6 ระดบผลกระทบดานการใหบรการ ( Operation ) ……………………………... 22

ตารางท# 3.7 ระดบผลกระทบดานกฏหมาย ( Compliant ) ………………………………….. 23

ตารางท# 3.8 ความสมพนธเกณฑการประเมนระดบความเส#ยง ........................................... 24

ตารางท# 3.9 ระดบความเส#ยงท#องคกรยอมรบ (Risk Appetite)………………………….…. 24

ตารางท# 4.1 ความสมพนธเกณฑการประเมนระดบความเส#ยง ........................................ 27

ตารางท# 4.2 ตารางประเมนความเส#ยงทรพยสนประเภทฮารดแวร …………………………… 28

ตารางท# 4.3 ตารางประเมนความเส#ยงทรพยสนประเภทซอฟทแวร …………………………. 52

ตารางท# 4.4 ตารางประเมนความเส#ยงทรพยสนประเภทสารสนเทศ …………………………. 70

ตารางท# 4.5 ตารางประเมนความเส#ยงทรพยสนประเภทผใหบรการ …………………………. 73

ตารางท# 4.6 ตารางประเมนความเส#ยงทรพยสนประเภทบคคลากร ………………………….. 74

ตารางท# 4.7 ตารางสรปจานวนความเส#ยงกอนการดาเนนโครงการ ………………………….. 77

ตารางท# 4.8 ตารางสรปผลการดาเนนการในการบรหารจดการความเส#ยง …………………… 78

VII

ตารางท# 4.9 ตารางผลการประเมนความเส#ยงทรพยสนประเภทฮารดแวร หลงดาเนนการโครงงาน…… 105

ตารางท# 4.10 ตารางผลการประเมนความเส#ยงทรพยสนประเภทซอฟทแวร หลงดาเนนการโครงงาน 126

ตารางท# 4.11 ตารางผลการประเมนความเส#ยงทรพยสนประเภทสารสนเทศ หลงดาเนนการโครงงาน 145

ตารางท# 4.12 ตารางผลการประเมนความเส#ยงทรพยสนประเภทผใหบรการ หลงดาเนนการโครงงาน 149

ตารางท# 4.13 ตารางผลการประเมนความเส#ยงทรพยสนประเภทผใหบรการ หลงดาเนนการโครงงาน 150

ตารางท# 4.14 ตารางสรปจานวนความเส#ยงกอนการดาเนนโครงการ ………………………… 153

ตารางท# 5.1 ตารางสรปผลการประเมนความเส#ยงกอนการจดทา .......................................... 154

ตารางท# 5.1 ตารางแสดงการประยกตการใชงาน (Statement Of Applicability : SOA) ……... 155

1

บทท� 1

บทนา

ในโลกปจจบนเทคโนโลยสารสนเทศเขามามบทบาทสาคญกบการดาเนนงานตางๆ ขององคกร

เพ$มมากข%น ท %งในดานการผลต ควบคมการดาเนนงาน ควบคมการบรหารจดการระบบงานตางๆ การ

ตดตอส$อสาร และการจดเกบขอมล เพ$อทาใหการดาเนนงานขององคกร เปนไปอยางมประสทธภาพ

สะดวกรวดเรวและลดความผดพลาดในการทางาน แตอยางไรกตามการเปล$ยนแปลงทางดาน

เทคโนโลยสารสนเทศท$มความกาวหนาอยางมากและรวดเรว ทาใหระบบเทคโนโลยสารสนเทศมความ

เส$ยงตอความม $นคงปลอดภยตอระบบเพ$มมากข%น ดงน %นองคกรตางๆ จงมความจาเปนท$จะตองสราง

นโยบายรกษาความม $นคงปลอดภยระบบสารสนเทศเพ$อปองกนภยคกคามท$จะเกดข%น จากการลวง

ละเมดของท %งผไมประสงคด หรอจากผใชงานเทคโนโลยสารสนเทศเอง ซ$งอาจสงผลใหเกดความ

เสยหายตอการดาเนนงาน การใหบรการ ช$อเสยงและภาพลกษณขององคกรได

ดงน %นเพ$อใหองคกรมความม $นคงปลอดภยในระบบสารสนเทศจากภยคกคามตางๆ จงควร

กาหนดนโยบายท$สาคญและจดทามาตรฐานดานความม $นคงปลอดภยของระบบสารสนเทศ ท %งน%เพ$อ

ลดปญหาอนอาจเกดจากภยคกคามดานตางๆ ใหไดมากท$สด ดวยการการศกษาและพฒนานโยบาย

การรกษาความม $นคงปลอดภยระบบเทคโนโลยสารสนเทศ โดยอางองตามมาตรฐาน ISO/IEC 27001:

2013ซ$งเปนมาตรฐานสากล เพ$อใหองคกรสามารถดาเนนกจกรรมทางธรกจไปไดอยางตอเน$องและ

ปลอดภย นอกจากน%ยงชวยปองกนกระบวนการทางธรกจจากความเส$ยงหากเกดภยรายแรง เชน

แผนดนไหว วาตะภย อทกภย เปนตน และความเสยหายของขอมล

1.1 ปญหาและแรงจงใจ

บรษท สยามฮตาช เอลลเวเตอร จากด ดาเนนกจการเก$ยวกบ การผลต การขาย การตดต %ง และ

การใหบรการหลงการขายลฟท บนไดเล$อน และทางเล$อน การดาเนนกจการของบรษทไดมการนา

ระบบเทคโนโลยสารสนเทศเขามาใชงานแทบทกสวนงาน เพ$อใหการดาเนนงานมประสทธภาพและ

พฒนาธรกจใหกาวหนา และย $งยนย$งข%นไป ดงน %นระบบสารสนเทศจงมความสาคญอยางย$งตอการ

ดาเนนธรกจ บรษทตระหนกถงความสาคญและการรกษาความม $นคงปลอดภยของระบบสารสนเทศ

2

เปนอยางดแตยงไมมมนโยบายรกษาการความม $นคงปลอดภยของระบบสารสนเทศอยางเปนทางการ

หรอการเตรยมความพรอมสาหรบแกปญหาทางดานความปลอดภยท$อาจเกดข%นในองคกร ซ$งจะมผล

ตอการดาเนนกจการไดอยางตอเน$อง และสงผลใหลกคาขาดความเช$อม $นในท$สด ดงน %นผจดทาจง

เลงเหนปญหาและความสาคญในจดน% จงไดมแนวคดท$จะจดทาระบบการจดการความม $นคงปลอดภย

ของระบบสารสนเทศตามมาตรฐาน ISO/IEC 27001: 2013เพ$อยกระดบมาตรฐานระบบสารสนเทศของ

องคกรใหม $นปลอดภยตามมาตรฐานสากล ซ$งจะกอใหเกดประสทธภาพและประสทธผลภายในองคกร

ในกรณศกษาน%จะศกษาในสวนของ Data Center เทาน %น

1.2 วตถประสงคของโครงงาน

การบรหารจดการความม $นคงปลอดภยระบบสารสนเทศตามมาตรฐาน ISO/IEC 27001:2013ม

วตถประสงคในการดาเนนงานดงน%

1. เพ$อพฒนาและปรบปรงนโยบายการรกษาความม $นคงปลอดภยของระบบสารสนเทศท$มให

เปนทางการและใหไดตามมาตรฐาน ISO/IEC 27001:2013

2. เพ$อตรวจสอบภยคกคามและชองโหวตางๆ ท$อาจกอใหเกดความเส$ยงตอองคกร

3. เพ$อหาแนวทางในการแกไขปญหาและลดความเส$ยงของระบบสารสนเทศขององคกร

4. เพ$อใหสามารถนานโยบายการรกษาความม $นคงปลอดภยของระบบสารสนเทศมาใชงานได

จรง และเหมาะสมกบองคกร

5. เพ$อเพ$มประสทธภาพและกระบวนการ ดานการรกษาความม $นคงปลอดภยระบบสารสนเทศ

ใหเปนไปอยางมระบบมากย$งข%น

6. เพ$อใชเปนเคร$องมอชวยในการตดสนใจของผบรหาร ในการวางแผนดานระบบสารสนเทศ

เพ$อใหธรกจขององคกรสามารถดาเนนงานไดอยางตอเน$องและปลอดภย

3

1.3 ขอบเขตของโครงงาน

1.3.1 ขอบเขตของโครงงาน 1

1. ศกษาโครงสรางและระบบการทางานขององคกรดานการรกษาความม $นคงปลอดภยระบบสารสนเทศ

2. รวบรวมขอมลของระบบสารสนเทศ โดยกาหนดขอบเขตเฉพาะในสวนของData Center

3. จดทารายการทรพยสนในสวนท$เก$ยวของกบขอมลสารสนเทศขององคกร

(Inventory information assets) โดยเลอกจดทาในหองเคร$องแมขาย 4. วเคราะหและประเมนความเส$ยงของระบบสารสนเทศท$ใชงานในปจจบน โดยใช

หลกเกณทตามมาตรฐานISO/IEC 27001 : 2013 5. จดทาเอกสารแสดงการประยกตใชงาน Statement of Applicability (SOA) 6. จดทารายงานเพ$อสรปผลการประเมนความเส$ยง 7. กาหนดแนวทางในการจดการความเส$ยง

1.3.2 ขอบเขตของโครงงาน 2

1. ฝกอบรมภายในองคกรเพ$อสรางองคความรดานความม $นคงปลอดภยสารสนเทศและการบรหารและจดการทรพยากรหองเคร$องแมขาย

2. ประสานงานกบสวนท$มความเก$ยวของและเสนอวธการจดการความเส$ยงทางความม $นคงปลอดภยสารสนเทศโดยระบวตถประสงค, วธการดาเนนงาน, ระยะเวลา, ผรบผดชอบหรอผท $เก$ยวของและหนาท$ความรบผดชอบในการดาเนนการเพ$อใหบรรลวตถประสงคท$กาหนดไว

3. ดาเนนการตามแผนบรหารจดการความเส$ยงพรอมเฝาระวง, ตดตามผลและวเคราะหความเส$ยงท$เหลออยรวมถงความเส$ยงท$อยในระดบท$สามารถยอมรบได

4. ทาการประเมนความเส$ยงหลงการดาเนนโครงงานเพ$อวดประสทธผลของการจดทานโยบายดานความม $นคงปลอดภยสารสนเทศของศนยขอมล

5. สรปผลการดาเนนการของโครงงาน 2

4

1.4 ประโยชนท�คาดวาจะไดรบ

1.4.1 องคกรมการนาเอามาตรฐาน ISO 27001:2013มาประยกตใชตามความเหมาะสม

ของการดาเนนธรกจและมนโยบายดานความม $นคงปลอดภยสารสนเทศท$จาเปนและ

สอดคลองกบมาตรฐานและบรบทขององคกร

1.4.2 องคกรไดรบทราบถงความเส$ยง, มาตรการและแนวทางในการแกไขปรบปรงตอไป

1.4.3 ผบรหารและพนกงานขององคกรไดรบทราบและตระหนกถงความเส$ยงท$อาจม

ผลกระทบเกดข%นรวมถงมความรความเขาใจดานความม $นคงปลอดภยสารสนเทศ

มากย$งข%น

1.5 แผนการดาเนนงาน

1.5.1 โครงงาน 1 มแผนการดาเนนการดงตารางท$ 1.1 ตารางท� 1.1 ตารางการดาเนนโครงงาน 1

แผนการทางานแตละสปดาห สงหาคม กนยายน ตลาคม พฤศจกายน

1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1. ขออนมตผบรหารเพ$อจดทาโครงงาน

2. ศกษาคนควาและรวบรวมขอมล - ศกษามาตราฐาน ISO - ศกษาและรวบรวมขอมลขององคกร - กาหนดขอบเขต

3. จดทารายการทรพยสน

4. วเคราะหและประเมนความเส$ยง 5. จดทาเอกสารรายการควบคมStatement of Applicability

(SOA)

6. สรปผลและจดทารายงาน โครงการ 1

5

1.5.2 โครงงาน 2

มแผนการดาเนนการดงตารางท$ 1.2

ตารางท� 1.2 ตารางการดาเนนโครงงาน 2

แผนการทางานแตละสปดาห มกราคม กมภาพนธ มนาคม เมษายน

1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4

1. ฝกอบรมแกบคลากรภายในองคกร 2. ดาเนนการตามแผนการจดการความเส$ยง

3. ประเมนความเส$ยงท$คงเหลอ 4. จดทานโยบายดานความม $นคงปลอดภยระบบสารสนเทศ

5. สรปผลและจดทารายงานโครงการ 2

6

บทท� 2

ทฤษฏท�เก�ยวของ

2.1 องคประกอบพ�นฐานความปลอดภยสารสนเทศ (Information Security)

สารสนเทศ เปนทรพยสนสาคญทางธรกจ ท�ตองดแลรกษาและปองกนใหมความม �นคงปลอดภยเปน

อยางด การท�จะบอกไดวาสารสนเทศน +นมความปลอดภยหรอไมน +น ทาไดโดยการวเคราะห

องคประกอบหลกท +ง 3 ดานคอ ความลบ (Confidentiality) ความถกตอง(Integrity) และความพรอมใช

งาน (Availability) วามอยครบหรอไม ถาขาดคณสมบตดานใดดานหน�ง แสดงวาสารสนเทศน +นไมม

ความปลอดภย

ดงน +นการรกษาความปลอดภยจงเปนการปองกนและรกษาองคประกอบหลกท +ง 3 ดาน

ดงตอไปน+

1. การรกษาความลบ (Confidentiality) หมายถง การทาใหสารสนเทศสามารถเขาถงหรอเปดเผยไดเฉพาะผท�ไดรบอนญาตเทาน +น กลไกในการควบคมการรกษาความลบของ

สารสนเทศน +นสามารถทาไดโดยการควบคมการเขาถงระบบ เชน การกาหนดสทธ Iผใชงาน

การปองกนการเขาถงเคร�องแมขาย การเขาถงขอมลโดยตรงดวยการเขารหสลบ

2. การรกษาความถกตอง (Integrity) หมายถง การรกษาความถกตองครบถวนสมบรณ

ของสารสนเทศท +งในสวนของเน+อหา และจากแหลงท�มา ไมใหถกแกไข เปล�ยนแปลง หรอ

ทาลายในระหวางรบสงเอกสาร โดยผท�ไมไดรบอนญาตเพ�อใหสารสนเทศน +นเช�อถอได

3. ความพรอมใช (Availability) หมายถง การทาใหระบบสารสนเทศสามารถตอบสนอง

ความตองการใชงานจากผมสทธเขาถงขอมลไดทกเม�อท�ตองการ ตองมการควบคมไมให

ระบบลมเหลวและสามารถใชงานไดอยางตอเน�อง

7

2.2 ระบบการจดการความม �นคงปลอดภยสารสนเทศ

การสรางความม �นคงปลอดภยสารสนเทศ เพ�อปกปองการดาเนนธระกจใหเปนไปอยางตอเน�องและเสรมสรางความม �นใจของลกคา ตลอดจนผถอหน พนกงานน +น จาเปนตองมกระบวนการในการดาเนนการ ซ�งกระบวนการตางๆ ไดกาหนดไวเปนมาตรฐานสากล ซ�งมอยหลายมาตรฐาน เชน COBIT, ITILL, ISO/IEC 27001, ISO/IEC ISO/IEC 27002

สาหรบมาตรฐานท�เก�ยวของกบการรกษาความม �นคงปลอดภยสารสนเทศน +นมหลากหลายมาตราฐาน ดงน +นจงมการจดใหเปนหมวดหม ซ�งเรยกวามาตรฐานชดISO/IEC 27000 ซ�งประกอบดวยมาตรฐานยอยๆ ดงน+

รปท�2.1 ISO 27000 Family IS0 27000 : Fundamentals and Vocabulary

• มวตถประสงคเพ�อแสดงศพทและนยาม (Vocabulary and Definitions) ท�ใชในมาตรฐานน �นคอศพทบญญต (Terminology) ท +งหลายท�ใชในมาตรฐานการจดการดานความม �นคงปลอดภยสารสนเทศ (Information Security Management Standards- ISMS)

8

ISO 27001 :ISMS Requirements • เปนมาตรฐานท�จาเปนของระบบสารสนเทศ ISMS ไดแกคณลกษณะเฉพาะ

(Specification) ซ�งองคกรท +งหลายจะตองขอรบ "ใบรบรอง" (Certificate) จากหนวยงานภายนอกวาไดม "การปฏบตตามขอกาหนด (Compliance)" เหลาน+แลวอยางเปนทางการ

• ISO 27001:2005ISO 27001 เวอรช �นแรกประกาศใชในป 2005 (ISO 27001:2005) และไดพฒนาอยางตอเน�องเพ�อใหเหมาะสมกบเทคโนโลยท�เปล�ยนไป และไดประกาศใชเวอรช �นลาสดในป 2013(ISO 27001 : 2013 )

• ISO 27001 : 2013เปนการนา ISO 27001:2005 มาปรบใหมความยดหยน และนาไปสการจดการความเส�ยงท�มประสทธภาพมากข+น โดยเฉพาะมาตราการควบคมในภาคผนวก A (Annex A :Reference control objectives and controls) ประกอบดวย 14 วตถประสงค (Controls Objectives) ต +งแต A5 ถง A18 และ 114 มาตรการควบคม (Controls)

ISO 27002 : 17799 Code of Practice • ISO 27002 จะเปนช�อเรยกใหมของ ISO 17799 ซ�งเดมเรยกวา "BS 7799 Part 1"

เปนมาตรฐานแสดงหลกปฏบตสาหรบ ISM (Code of practice for Information Security Management) ท�อธบายวตถประสงคของระเบยบวธการควบคมดาน IS ท +งหลายอยางละเอยดและแสดงรายการวธปฏบตท�ดท�สดของการควบคมความม �นคงปลอดภย (Best-practice security controls)

ISO 27003 : ISMS Implementation Guidelines • ISO 27003 จะเปนแนวทางประยกตใชมาตรฐาน (Implementation guide)

ISO 27004 : ISM Measurements • ISO 27004 จะเปนมาตรฐานการวด ISM เพ�อท�จะชวยวดประสทธภาพหรอ

ประเมนผลท�เกดจากการนา ISMS ไปใช

ISO 27005 : ISMS Risk Management • ISO 27005 เปนมาตรฐาน "การบรหารจดการความเส�ยงดาน IS (Information

Security Risk Management)" ซ�งจะมาแทนท�มาตรฐานเดมไดแก "BS 7799 Part 3"

9

ISO 27006 : ISMS Accreditation Guidelines • ISO 27006 จะเปนแนวทางปฏบตสาหรบกระบวนการออกใบรบรอง (Certification process) หรอการลงทะเบยน (Registration process) .ใหกบหนวยงานท�เก�ยวของ (ISMS certification/registration bodies)

หากพดถงมาตรฐานการบรหารความม �นคงปลอดภยสาหรบสารสนเทศแลว ปจจบนมาตรฐาน ISO/IEC 27001ไดรบความนยมอยางแพรหลายเน�องจากประกอบดวยกระบวนการ Plan-Do-Check-Act และใชแนวทางการประเมนความเส�ยงมาประกอบการพจารณาหาวธการหรอมาตรการเพ�อปองกนลดความเส�ยงและรกษาทรพยสนสารสนเทศท�มคาขององคกรใหมความม �นคงปลอดภยในระดบท�เหมาะสม กระบวนการจดทาระบบบรหารจดการความม �นคงปลอดภยสารสนเทศ ม 4 ข +นตอน คอ PDCA ซ�งมรายละเอยดดงน+

1. กาหนดระบบบรหารจดการความม �นคงปลอดภย (Plan)

• การกาหนดขอบการจดทาระบบบรหารจดการความม �นคงปลอดภยสารสนเทศ • กาหนดรปแบบและวธการประเมนความเส�ยงภย • ระบความเส�ยง • วเคราะหและประเมนความเส�ยง • กาหนดมาตรการควบคมความเส�ยง • ขออนมตผบรหารเก�ยวกบความเส�ยงท�ไมมมาตรการควบคม • ขออนมตผบรหารเพ�อลงมอปฏบตและดาเนนการ • จดทาเอกสารแนวทางในการประยกตใช (Statement of Applicability : SOA)

2. ลงมอปฏบตและดาเนนการระบบบรหารจดการความม �นคงปลอดภย (Do)

• กาหนดแผนการจดการความเส�ยง • ปฏบตตามแผนการจดการความเส�ยง • ดาเนนการตามมาตรการควบคมท�เลอกใช • กาหนดการช+วดประสทธภาพของมาตรการควบคม • จดฝกอบรมใหตระหนกถงการรกษาความปลอดภย

10

3. เฝาระวงและทบทวนระบบบรหารจดการความม �นคงปลอดภย (Check)

• การเฝาระวง และตรวจจบขอผดพลาดของการปฏบตตามมาตรการควบคมท�เลอกใช • ประเมนประสทธภาพการการปฏบตตามมาตรการควบคม • ปรบปรงแผนการปฏบตการ เพ�อปองกนขอผดพลาดท�ตรวจพบ • บนทกการปฏบตและเหตการณท�มผลกระทบตอประสทธภาพการทางานระบบความ

ม �นคงปลอดภยสารสนเทศ

4. บารงรกษาและปรบปรงระบบบรหารจดการความม �นคงปลอดภย (Act)

• แกไขความไมสอดคลองและการดาเนนการ • ปรบปรงเพ�มเตมอยางตอเน�อง • ตรวจสอบการปรบปรงท�ทาไปแลวน +นบรรลตามวตถประสงคหรอไม

2.3 การบรหารและจดการความเส�ยง (Risk Management)

มาตรฐานความม �นคงปลอดภยสารสนเทศ ISO 27001 กาหนดใหมกระบวนการในการบรหารจดการความเส�ยงเปนหน�งในขอบงคบท�สาคญท�มผลตอความสาเรจและประสทธภาพของระบบรกษาความม �นคงปลอดภยสารสนเทศ แตมาตรฐาน ISO 27001 น +นมไดมการระบถงวธการจดการความเส�ยงแตอยางใด ซ�งเปนการเปดกวางใหแตละองคกรสามารถเลอกใชวธการประเมนความเส�ยงท�แตกตางกนออกไป เพ�อใหเหมาะสมตามลกษณะการดาเนนธรกจ ขนาดขององคกร และนโยบายของผบรหารของแตละองคกร ท +งน+ในอนกรมมาตรฐาน ISO 27000 มมาตรฐานการประเมนความเส�ยงในความม �นคงสารสนเทศรวมอยดวยน �นคอ ISO 27005 : 2011 Information technology – Security techniques – Information security risk management ความเส�ยง (Risk) คอ เหตการณท�มโอกาสเกดข+นไดและทาใหเกดความเสยหายตอทรพยสนสารสนเทศขององคกร องคประกอบของความเส�ยง ในดานการรกษาความม �นคงปลอดภยสารสนเทศน +นความเส�ยงประกอบดวย 2 สวนคอ

1. ภยคกคาม (Threat) 2. ชองโหว (Vulnerability)

11

ภยคกคาม (Threat) คอสถานการณหรอการกระทาท�ไมพงประสงคท�เกดข +นแลว เปนเหตให

ระบบสารสนเทศเสยหายหรอเปนอปสรรคขดขวางใหกระบวนการทางานระบบสารสนเทศไมสามารถใหบรการไดตามปกตไมวาจะเกดจากเจตนาหรอไมกตาม ท +งน+ภยคกคามน +นอาจเกดจากภยธรรมชาตหรอการกระทาของมนษย เชน อคคภย, วาตภย, อทกภย, จลาจล, แฮกเกอรเปนตน

ชองโหว (Vulnerability) คอจดออนของระบบสารสนเทศซ�งจะถกภยคกคามใชประโยชนจากจดออนน+เพ�อโจมต หรอสรางความเสยหายใหเกดข+นกบระบบสารสนเทศ เชน ชองโหวของระบบปฏบตการท�ไมไดอพเดทแพตซใหทนสมย เปนชองทางใหถกโจมตจากไวรส

รปท�2.2 องคประกอบของความเส�ยง 2.4 การวเคราะหความเส�ยง (Risk Analysis)

กระบวนการบรหารจดการความเส�ยงตามมาตรฐานความม �นคงปลอดภยสารสนเทศ ISO 27001:2013 ประกอบดวย 2 สวนหลกๆ คอ

1. การประเมนความเส�ยง (Risk Assessment) 2. การจดการความเส�ยง (Risk Treatment)

การประเมนความเส�ยง (Risk Assessment) การกาหนดเหตการณความเส�ยงท�มโอกาสเกดข+นเปนการวดระดบของผลกระทบหากเหตการณความเส�ยงน +นเกดข+นจรงกบองคประกอบดานความม �นคงปลอดภยสารสนเทศ 3 ประการ คอ การรกษาความลบ, การรกษาความถกตองสมบรณ และการพรอมใชงาน ซ�งข +นตอนในการประเมนความเส�ยงมดงน+

ภยคกคาม ความเส�ยง ชองโหว

12

1. การระบปจจยเส�ยง (Risk Identification) ซ�งเกดจากการศกษาและวเคราะหจากวตถประสงคและเปาหมายขององคกรท�สอดคลองกบภารกจ (Mission) แบงออกเปน 2 ระดบคอ

1.1 วตถประสงคระดบองคกร (Entity level objectives) คอวตถประสงคท�เกดข+นจากวสยทศนและแผนกลยทธขององคกร

1.2 วตถประสงคระดบกจกรรม (Activity level objectives) คอวตถประสงคของการดาเนนงานหรอปฏบตการของภาคสวนภายในองคกรซ�งตองมความสอดคลองกบวตถประสงคระดบองคกร

2. การวดและประเมนความเส�ยง (Risk Measurement) คอการศกษาปจจยหรอ

องคประกอบท�เก�ยวของกบความเส�ยงน +นคออะไร และเส�ยงอยางไร ท +งดานการดาเนนงาน, งบประมาณและการดาเนนกลยทธ ซ�งการวเคราะหน+จะดถงสาเหต (Cause) ของการเกดความเส�ยงน +นวามโอกาสเกด (Opportunity) มากนอยเพยงใดและเม�อเกดความเส�ยงน +นแลวมผลกระทบ (Effect) มากนอยเพยงใดซ�งผลกระทบจะแสดงใหเหนในดานการเงน, ผรบบรการ, บคลากร, ระยะเวลาและความสาเรจของสวนท�เก�ยวของ

3. การจดลาดบความเส�ยง (Risk Prioritization) เม�อมการเปรยบเทยบความเส�ยงในเร�องโอกาสและผลกระทบแลวจะตองมการจดลาดบวา ความเส�ยงน +นมความสาคญเพยงใด โดยการจดลาดบความเส�ยงจากมากไปหานอยซ�งมข +นตอนการวเคราะหดงน+

3.1 ประเมนระดบความสาคญจากปจจยเส�ยง คอการประเมนวาปจจยท�ทาใหเกดความเส�ยงน +น หากเกดข+นแลวจะมผลกระทบตอองคกรมากนอยเพยงใด

3.2 ประเมนความเส�ยงท�ปจจยเส�ยงจะเกดข+น คอการพจารณาวาปจจยเส�ยงท�เรยงลาดบความสาคญแลวน +นมโอกาสเกดข+นมากนอยเพยงใด

3.3 ใชเทคนควเคราะหความเส�ยงท�เหมาะสมซ�งอาจเปนการกาหนดคาความเส�ยงในรปตวเลข

การจดการความเส�ยง (Risk Treatment)

ผลจากการวเคราะห, ระบปจจยและจดลาดบความเส�ยงท�มความสาคญตอความม �นคงปลอดภยสารสนเทศขององคกรแลวน +นจะตองมการพจารณาหาวธหรอแนวทางในการกาหนดกจกรรมในการเขามาควบคมแกไขเพ�อปองกนหรอลดความเส�ยงน +นโดยการเลอกใชตวควบคมจาก ISO 27001 ซ�งแนะนาไวม 4 ทางคอ

1. การหลกเล�ยงความเส�ยง (Avoidance Risk) คอการหลกเล�ยงความเส�ยงโดยยกเลกกระบวนการทางานหรอทรพยสนท�กอใหเกดความเส�ยงข+นซ�งมกจะกระทาเม�อการแกไขความเส�ยงดวยวธการอ�นน +นไมคมกบผลประโยชนท�ไดจากการทางานดวยกระบวนการหรอทรพยสนน +นๆ

13

2. การลดความเส�ยง (Reduction Risk) คอเปนการหาวธในการควบคมแกไขความเส�ยงใหลดลงมาอยในระดบท�องคกรสามารถยอมรบไดซ�งในมาตรฐาน ISO 27001 กมวธการในการแกไขควบคมความเส�ยงไวใหสามารถเลอกใชไดอยางเหมาะสม

3. การถายโอนความเส�ยง (Transferring Risk) คอในบางองคกรอาจขาดความรความเขาใจหรอบคลากรท�รบผดชอบในดานความม �นคงปลอดภยสารสนเทศซ�งถอวาเปนความเส�ยงท�สาคญสามารถวาจางบรษทหรอผเช�ยวชาญภายนอกในรปแบบของผรบจางชวง (Outsourcing service) ใหเปนผดาเนนการบรหารความเส�ยงแทนองคกรไดโดยใชการรบประกน (Service Assurance) หรอการจดทาสญญาการใหบรการ (Service License Agreement : SLA) ท�ครอบคลมความเส�ยงขององคกรท�ประเมนไวไดดงน +นความเส�ยงขององคกรจงถกโอนใหแกผรบจางชวงน +นแทน

4. การยอมรบความเส�ยง (Acceptable Risk) คอการท�องคกรพจารณาแลวพบวาการดาเนนการแกไขควบคมความเส�ยงน +นไมเหมาะสม, ไมสามารถกระทาไดในทางปฏบตหรอไมคมคา เชน คาใชจายในการดาเนนการแกไขควบคมมมลคาสงกวามลคาของขอมลและทรพยสนท�จะทาการปกปองท +งน+ข+นอยกบดลยพนจของผบรหาร

14

บทท� 3

วธการดาเนนงาน

3.1 ข �นตอนการดาเนนการ

รปท� 3.1 ลาดบข �นตอนการดาเนนการ

จดทานโยบายความม�นคงปลอดภยระบบสาระสนเทศ

ประเมนและสรปความเส�ยงท�เหลออย ภายหลงการดาเนนการตามการบรหารความเส�ยง

ปฏบตตามแผนการบรหารจดการความเส�ยง

จดทาแผนปฏบต ตามแนวทางการบรหารจดการความเส�ยงท�กาหนด

สรปผลการประเมนความเส�ยง และกาหนดแนวทางการบรหารจดการความเส�ยง

ประเมนความเส�ยงท�เก�ยวของกบสารสนเทศตามขอบเขตท�กาหนดไว

ระบความเส�ยงตามขอบเขตท�กาหนด

กาหนดขอบเขตในการสรางความม�นคงปลอดภยสารสนเทศ

ศกษาและรวบรวมขอมลบรบทองคกร

จดเตรยม มาตรฐาน, ขอกาหนด และทฤษฎตางๆท�เก�ยวของ

15

3.2 รายละเอยดของข �นตอนการดาเนนการ 3.2.1 จดเตรยมขอมลจากการศกษาในช �นเรยนและมาตรฐาน, ขอกาหนดรวมถงทฤษฎตางๆ ท)

เก)ยวของ • หลกการและทฤษฎตามบทท) 2

• หลกวชาการจากการศกษาในช �นเรยน

• เอกสารมาตรฐาน ISO 27001:2013, ISO 27002:2013, ISO 27005

3.2.2 ศกษาและรวบรวมขอมลบรบทองคกร• ศกษาจากประสบการณทางานระบบสารสนเทศภายในหองเคร)องแมขายและสมภาษณผบรหาร

3.2.3 กาหนดขอบเขตในการสรางความม )นคงปลอดภยสารสนเทศ• ปรกษาหารอรวมกบผบรหารในการกาหนดขอบเขตท)เหมาะสมและองคกรไดรบประโยชน

3.2.4 ประเมนความเส)ยงท)เก)ยวของกบสารสนเทศตามขอบเขตท)กาหนดไว• จดทารายการทรพยสนในหองเคร)องแมขาย • 3.2.5 จดทาตารางการประเมนความเส)ยงซ)งสอดคลองกบทฤษฎและหลกการท)เก)ยวของกอนการจดการความเส)ยง

3.2.6 สรปผลการประเมนความเส)ยงและกาหนดแนวทางการบรหารจดการความเส)ยง 3.2.7 จดทาแนวทางปฏบตดานความม )นคงปลอดภยสารสนเทศตามแนวทางการบรหารจดการ

ความเส)ยง 3.2.8 ประเมนและสรปความเส)ยงท)เหลออยภายหลงการดาเนนการตามการบรหารจดการความ

เส)ยง

3.3 รายการทรพยสนในหองเคร�องแมขายของบรษท (Asset inventory) รายการทรพยสนในหองเคร)องแมขายมรายการดงตารางท) 3.1

ประเภททรพยสน รายการ รหสทรพยสน รายละเอยดทรพยสน

Hardware Server

HW-001 Mail Server HW-002 ERP Server Production HW-003 Work Flow & Digital Filing Server HW-004 Backup Server HW-005 Anti Virus & WSUS Server

16


Hardware

Server

HW-006 PLM Server HW-007 CAD-CAM Server HW-008 File Sharing Server HW-009 Internet Log Server

Network

HW-010 Lease Line Router no.1 HW-011 Lease Line Router no.2 HW-012 Lease Line Router no.3 HW-013 ADSL Router HW-014 Core Switch no. 1 HW-015 Core Switch no. 2 HW-016 Distribute Switch Factory A HW-017 Distribute Switch Factory B HW-018 Distribute Switch Factory C

HW-019 Access Switch for Internet Café Supporting Equipment HW-020 Air Conditioner No.1 HW-021 Air Conditioner No.2 HW-022 UPS for Server Rack

Software Operating System

SW-001 Windows Server 2003 SW-002 Windows Server 2008 SW-003 Windows Server 2012 SW-004 Linux Ubuntu SW-005 Unix AIX

17


Software Application

SW-006 Mail Server SW-007 WorkFlow Server SW-008 Digital Filing Server SW-009 Manufacturing Knowledge SW-010 CAD-CAM Server SW-011 AntiVirus Server SW-012 WSUS Server SW-013 SQL Server

Information Digital Information

IN-001 E-mail Data

IN-002 Workflow Data

IN-003 Digital Filing Data

IN-004 ERP Data

IN-005 Log Data

IN-006 CAD-CAM Data

IN-007 Design Data

Service Provider SE-001 Telecommunication Service Provider

SE-002 Network Service Provider

SE-003 Application Service Provider

People Human

PE-001 Top Executive

PE-002 Manager

PE-003 Developer

PE-004 System Administrator

PE-005 User

ตารางท� 3.1 รายการทรพยสนในหองเคร)องแมขาย

18

3.4 โครงสรางองคกร (Organization chart)]

บรษท สยาม ฮตาช เอลลเวเตอร จากด มโครงสรางองคกรตามรปท) 3.2

รปท� 3.2 โครงสรางองคกร

3.5 การประเมนความเส�ยง

การประเมนความเส�ยง คอการคานวณโอกาสท)จะเกดเหตการณท)นาไปสความเสยหายสารสนเทศขององคกร เพ)อใหทราบถงระดบความสาคญของแตละความเส)ยงท)อาจเกดข�น ซ)งจะทาใหอนสงผลใหมแผนงานรองรบความเส)ยงน �นๆ อยางถกตองและเหมาะสมตามลาดบ

คาของความเส�ยง (Risk Value) = โอกาสเกด (Likelihood) x ผลกระทบ (Impact )

ในโครงงานน�การประเมนความเส)ยงผจดทาไดปรกษาหารอกบผบรหารซ)งประยกตใชตามหลกเกณฑท)ระบไวใน ISO 27005:2011 และประกาศคณะกรรมการธรกรรมทางอเลกทรอนกส เร)อง ประเภทของธรกรรมทางอเลกทรอนกส และหลกเกณฑการประเมนระดบผลกระทบของธรกรรมทางอเลกทรอนกสตามวธการแบบปลอดภย พ.ศ. ๒๕๕๕ ไดดงน�

Chairman of Company

President

Executive Vice

President

Design Innovation QA Prodution Procurement IT

IT DevelopmentNetwork &Security

Admin

19

3.5.1 หลกเกณฑการประเมนคาความเส�ยง

3.5.1.1 เกณฑท�ใชในการประเมนระดบโอกาสการเกดเหตการณ (Likelihood Assessment)

การประเมนโอกาสเกดเหตการณมประเดนในการพจารณาดงน[ - จานวนการเกดเหตการณในอดต

- การจดการชองโหวหรอจดออนของระบบสารสนเทศ - การอบรมสรางความเขาใจและความตระหนกในการสรางความม gนคงปลอดภยสารสนเทศ

แบงเปน 5 ระดบคอ

ประเดนพจารณา

ระดบคะแนน สงมาก สง ปานกลาง ตgา ตgามาก (5) (4) (3) (2) (1)

จานวนการเกดเหตการณทgในอดตโดยเฉลgย

1 คร [งหรอมากกวา ตอ เดอน

ไมเกน 5 คร [ง ตอ1 ป

1 คร [งตอ1 ป 1 คร [ง ตอ 2-3 ป

1 คร [ง ตอ 5 ปข[นไป

การจดการความเสgยงของระบบสารสนเทศ

พบความเสgยง แตไมมการควบคม

พบความเสgยง มการควบคม แตไมมการตดตามเฝาระวง

พบความเสgยง มการควบคมและตดตามเฝาระวงบางสวน

พบความเสgยง มการควบคมและตดตามเฝาระวง

ไมพบชองโหว หรอจดออน

การสรางความตระหนกในความม gนคงปลอดภยสารสนเทศ

ไมมการอบรมและไมเผยแพรขอมลขาวสาร

ไมมการอบรม แตมการเผยแพรขอมลขาวสาร

มการอบรมและเผยแพรขอมลขาวสาร 1 ป/คร [ง

มการอบรม และเผยแพรขอมลขาวสาร 6เดอน/คร [ง

มการอบรม เผยแพรขอมลขาวสารอยางตอเนgอง 3เดอน

ตารางท� 3.2 ระดบโอกาสการเกดความเส)ยง (Likelihood)

20

3.5.1.2 เกณฑท�ใชในการประเมนระดบของผลกระทบ (Impact)

การประเมนระดบของผลกระทบแบงเปน 5 ระดบคอ

คะแนน ระดบโอกาสการเกด 5 มากท)สด 4 มาก 3 ปานกลาง 2 นอย 1 นอยท)สด

ตารางท� 3.3 ระดบผลกระทบ (Impact)

เกณฑท�ใชในการประเมนระดบของผลกระทบ มท �งหมด 4 ดานคอ

3.5.1.2.1 กระทบดานการเงน ( Financial ) พจารณาจากมลคาของทรพยสนในปจจบนทgไดรบผลกระทบจากเหตการณความเสgยงน [นเพgอการซอมแซม, เปลgยน, ซ[อ, กอสรางรวมถงการเสยโอกาสทางการคาและการแขงขนดงตารางทg 3.4

ระดบผลกระทบ

ระดบคะแนน

ดานการเงน(Financial)

มากท)สด 5 ผลกระทบสงมากมผลตอความอยรอดขององคกรมมลคาความเสยหายในวงเงนมากกวา 1 ลานบาท

มาก 4 ผลกระทบสงมผลตอการประมาณงบประมาณมมลคาความเสยหายในวงเงนมากกวา 5 แสน แตไมเกน 1 ลานบาท

ปานกลาง 3 ผลกระทบปานกลางมผลตอการประมาณงบประมาณเลกนอยมมลคาความเสยหายในวงเงนมากกวา 2 แสน แตไมเกน 5แสน

บาท

นอย 2 ผลกระทบนอยไมมผลกระทบตอการประมาณงบประมาณมมลคาความเสยหายในวงเงนมากกวา 1 แสน แตไมเกน 2แสนบาท

นอยท)สด 1 ไมมผลกระทบดานการเงนอาจอยภายในงบประมาณการมมลคา

ความเสยหายไมเกน 1แสนบาท

ตารางท� 3.4 ระดบผลกระทบดานการเงน ( Financial )

21

3.5.1.2.2 ผลกระทบดานช�อเส�ยง (Reputation )

พจารณาจากชgอเสยงทgสญเสยไปอนเกดจากความเสยหายตอทรพยสนขององคกร โดยกาหนดคาผลกระทบเชงคณภาพดงตารางทg 3.5

ระดบผลกระทบ ระดบคะแนน ดานช�อเส�ยง (Reputation )

มากท)สด 5 สงผลกระทบช)อเสยงและความนาเช)อถอขององคกรอยางรนแรง จนมการแพรกระจายขาวเชงลบผานส)อสาธารณะทกรปแบบ

มาก 4 กระทบช)อเสยงและความนาเช)อถอขององคกรสงโดยมการทา

รายงานตอผบรหารระดบสงขององคกร

ปานกลาง 3 กระทบช)อเสยงและความนาเช)อถอขององคกรปานกลาง เปนการรองเรยนหรอแนะนาโดยตรง ผานทางโทรศพท หรอจดหมาย

นอย 2 กระทบช)อเสยง หรอความนาเช)อถอขององคกรนอย เปนการแพร

ขาวเชงลบภายในองคกร

นอยท)สด 1 สงผลกระทบตอช)อเสยงหรอความนาเช)อถอขององคกรนอยมาก

หรอไมกระทบ

ตารางท� 3.5 ระดบผลกระทบดานช�อเส�ยง (Reputation )

22

3.5.1.2.3 ผลกระทบดานการใหบรการ ( Operation )

พจารณาจากกระบวนการทางานและการดาเนนธรกจทgหยดชะงกอนเนgองมาจากผลกระทบทgเกดข[นตอทรพยสนทgเกgยวของดงตารางทg 3.6

ระดบผลกระทบ ระดบคะแนน ดานการใหบรการ(Operation)

มากท)สด 5 กระทบตอกระบวนการทางานของท �งองคกร หรอระบบงานท)สาคญมากกวา 2 ช )วโมง หรอบางสวนเปนระยะเวลามากกวา 1 วน

มาก 4 กระทบตอกระบวนการทางานของท �งองคกร หรอระบบงานท)สาคญบางระบบไมเกน 2 ช )วโมง หรอบางสวนเปนระยะเวลามากกวา 4 ช )วโมง

ปานกลาง 3 กระทบตอกระบวนการทางานของท �งองคกร หรอระบบงานท)สาคญบางระบบไมเกน 1 ช )วโมง หรอบางสวนเปนระยะเวลาไมเกน 4 ช )วโมง

นอย 2 กระทบตอกระบวนการทางานของท �งองคกร หรอระบบงานท)สาคญบางระบบระยะเวลาไมเกน 30 นาท หรอบางสวนเปนระยะเวลาไมเกน2 ช )วโมง

นอยท)สด 1

ไมมผลกระทบตอกระบวนการทางานของท �งองคกร หรอระบบงานท)สาคญ หรอกระทบการทางานของบางสวนขององคกรเปนระยะเวลา ไมเกน 30 นาท

ตารางท� 3.6 ระดบผลกระทบดานการใหบรการ ( Operation )

23

3.5.1.2.4 ผลกระทบดานกฏหมาย( Compliant )

พจารณาจากระดบความสาคญของกฎหมายซgงจะทาใหบรษทไดรบผลกระทบตามระดบความสาคญของกฎหมายดงตารางทg 3.7

ระดบผลกระทบ ระดบคะแนน ดานกฏหมาย ( Compliant)

มากท)สด 5 มความเก)ยวของกบกฎหมายแหงราชอาณาจกรไทย

มาก 4 มความเก)ยวของกบสญญากบคคา หรอ ลกคา หรอขดตอนโยบายขององคกรท)แกไขไดยาก

ปานกลาง 3 ขดตอนโยบายและแนวปฏบตท )วไป ในระดบองคกร

นอย 2 ขดตอนโยบายและแนวปฏบตเฉพาะกลมงาน

นอยท)สด 1 ไมมผลตอการปฏบตตามกฎหมาย ระเบยบ และขอบงคบท)เก)ยวของ

ตารางท� 3.7 ระดบผลกระทบดานกฏหมาย ( Compliant )

3.5.2 การจดระดบความเส�ยง (Risk evaluation)

การจดระดบความเส)ยงดวยหลกการกาหนดคาตวเลขและสมการจากการประเมนโอกาสเกดเหตการณและผลกระทบ (Matrix with predefined value) ซ)งจะไดสมการและตารางท) 3.8 ดงน�

ระดบความเส ยง (Risk value) = ระดบโอกาสเกด (Likelihood) x ระดบผลกระทบ (Impact) การประเมนความเส�ยงจากระดบความเส�ยง คาระดบความเส)ยงท) 1 – 4 หมายถงความเส)ยงต)ามาก (Very low)

คาระดบความเส)ยงท) 5 - 9 หมายถงความเส)ยงต)า (Low)

คาระดบความเส)ยงท) 10 – 16 หมายถงความเส)ยงปานกลาง (Medium)

คาระดบความเส)ยงท) 17- 25 หมายถงความเส)ยงสง (High)

24

ผลกร

ะทบ(Im

pact)

สงมาก 5 10 15 20 25

สง 4 8 12 16 20

ปานกลาง 3 6 9 12 15

นอย 2 4 6 8 10

นอยมาก 1 2 3 4 5

นอยมาก นอย ปานกลาง สง สงมาก

โอกาส(Likelihood)

ตารางท� 3.8 ความสมพนธเกณฑการประเมนระดบความเส)ยง (Risk Assessment Matrix)

เม)อประเมนคาและจดระดบความเส)ยงไดแลว ผลท)ไดจงนามาจดกลมความเส)ยงโดยการเปรยบเทยบกบหลกเกณฑความเส)ยงท)ยอมรบได

ระดบความเส�ยง ความหมาย

ต)ามาก (1-4) ระดบความเส)ยงท)องคกรยอมรบ (Acceptable) อาจมมาตรการท)มอยแลวปองกนหรอไมกได

ต)า (5-9) ระดบความเส)ยงท)องคกรสามารถยอมรบไดแตตองมการควบคมเพ)อปองกนไมใหความเส)ยงมคาสงข�นไปยงระดบท)ไมสามารถยอมรบได

ปานกลาง (10-16) ระดบความเส)ยงท)องคกรไมสามารถยอมรบไดโดยตองจดการความเส)ยง เพ)อใหอยในระดบท)สามารถยอมรบไดตอไป

สงมาก (17-25) ระดบความเส)ยงท)องคกรไมสามารถยอมรบได และจาเปนตองเรงจดการความเส)ยงจนกระท )งใหอยในระดบท)สามารถยอมรบไดทนท

ตารางท� 3.9 ระดบความเส)ยงท)องคกรยอมรบ (Risk Appetite)

25

3.6 วธปฏบตตอความเส�ยงดานสารสนเทศ (Risk Treatment Process)

เปนการระบถงวธปฏบตและดาเนนการตอความเสgยงทgประเมนแลวน [นตามหลกเกณฑดงน[ • ลดความเส�ยง (Reduction risk) คอการจดทาตวควบคมตามมาตรฐาน ISO/IEC 27002 ในการนามาลดความเสgยงทgประเมนไดตามความเหมาะสมกบทรพยสนทgเกgยวของโดยคานงถงปจจยในการเลอกตวควบคมมาประยกตใชงานดงน[

• คาใชจายทgตองใชในการควบคมเพgอลดความเสgยงเปรยบเทยบความคมคากบความเสยหายจากความเสgยงน [น

• ระยะเวลาในการดาเนนการ

• ความตองการพ[นฐานเชนซอฟทแวร, ฮารดแวร, สาธารณปโภคตางๆทgจาเปนตอตวควบคมน [น

• ยอมรบความเส�ยง (Acceptable risk) ในกรณทgความเสgยงน [นสรางความเสยหายเปนไปตามเกณฑการยอมรบความเสgยง จาเปนตองระบหวขอในการยอมรบเพgอคงความเสgยงน [นไวดงน[

• ระบหลกเกณฑและเหตผลในการยอมรบความเสgยงน [น • จดทาแผนการเพgอบรรเทาความเสยหายจากความเสgยงน [น • ประกาศช[แจงและรบฟงขอเสนอแนะจากหนวยงานทgเกgยวของท [งภายในและภายนอกองคกรเพgอได

รบทราบและนามาปรบปรงแผนการบรรเทาความเสยหายจากความเสgยงน [น

• หลกเล�ยงความเส�ยง (Avoidance risk) ในกรณทgความเสgยงน [นเกgยวของกบกระบวนการทางานและการดาเนนธรกจทgสาคญมากผลกระทบน [นอยในระดบความสาคญทg 5 – 9 องคกรจะทาการหลกเลgยงความเสgยงเพgอไมใหความเสgยงน [นเกดผลกระทบซgงองคกรสามารถรองรบการลงทนและการบรหารจดการได

• โอนความเส�ยง (Transferable risk) ในกรณทgความเสgยงน [นอยในระดบปานกลาง – สงและองคกรไมสามารถรองรบการลงทนและบรหารจดการไดโดยตรงองคกรจะมการจดหาหรอจดจางหนวยงานภายนอกเชนคคา, รานคา, ผผลต, ผจาหนายทรพยสนน [นในการโอนความเสgยงใหบรหารจดการเชนการทาสญญาการเปลgยนอปกรณ (Advance Replacement Agreement) หรอการทาประกน (Assurance) โดยจดทาและควบคมดวยการทาสญญาการใหบรการ (Service License Agreement) เปนตน

26

3.7 รายการควบคมความม �นคงปลอดภยของ ISO 27001:2013

ในการเลอกตวควบคมเพ)อลดความเส)ยงน �นมการกาหนดแนวทางและวธปฏบตเพ)อใหเปนไปตามขอกาหนดของ ISO/IEC 27001:2013 Annex Aซ)งประกอบดวยหวขอหลกดงน�

A5. นโยบายความม )นคงปลอดภยสารสนเทศ (Information Security Policy) A6. โครงสรางความม )นคงปลอดภยสารสนเทศ (organization of Information Security) A7. ความม )นคงปลอดภยสาหรบบคลากร (Human Resource Security) A8. การบรหารจดการทรพยสน (Asset Management) A9. การควบคมการเขาถง (Access Control) A10. การเขารหสขอมล (Cryptography) A11. ความม )นคงปลอดภยทางกายภาพและสภาพแวดลอม (Physical and

environmental Security) A12. ความม )นคงปลอดภยสาหรบการดาเนนการ (Operations Security) A13. ความม )นคงปลอดภยสาหรบการส)อสารขอมล (Communications security) A14. การจดหา การพฒนา และการบารงรกษาระบบ (System acquisition, development

and maintenance) A15. ความสมพนธกบผขาย ผใหบรการภายนอก (Supplier relationships) A16. การบรหารจดการเหตการณความม )นคงปลอดภยสารสนเทศ (Information Security

Incident Management) A17. ประเดนดานความม )นคงปลอดภยสารสนเทศของการบรหารจดการเพ)อสรางความ

ตอเน)องทธรกจ (Information security aspects of business continuity management)

A18. ความสอดคลอง (Compliance) อบเขตและรปแบบการคานวณระดบความเส)ยง (Define risk methodology) จดทาทะเบยนบรหารจดการทรพยสน (Asset management) ระบการคกคามและชองโหวของทรพยสนประเมนผลกระทบและโอกาสเกดเหตการณคานวณระดบความเส)ยง 3.8 สรปทายบท

ในบทน�ผจดทาไดมการจดเตรยมทฤษฎและวธการปฏบตในการวเคราะหและประเมนความเส)ยง โดยไดทาการปรกษาหารอกบผบรหาร เพ)อแลกเปล)ยนและทาความเขาใจเพ)อนามาประยกตใชงานอยางเหมาะสมกบวสยทศน, บรบทองคกร, และลกษณะการดาเนนธรกจซ)งจะเร)มวเคราะหความเส)ยงของระบบสารสนเทศขององคกรในบทถดไป

27

บทท� 4

ผลการดาเนนงาน

ผจดทาไดใชขอมลทรพยสนและบรบทขององคกรบรษทสยาม ฮตาช เอลลเวเตอรจากดจากการเกบรวบรวมขอมลในบทท&ผานมาซ&งจะมการประเมนความเส&ยงจานวน 2 คร ,งเพ&อแสดงใหเหนความเปล&ยนแปลงขององคกรไดแกกอนการเร&มโครงงานและหลงจากส,นสดโครงงานเพ&อวดผลการจดทาโครงงานน,

การประเมนความเส&ยงตอไปน,จะใชเกณฑการคานวณระดบความเส&ยงดงตารางท& 4.1

และระดบความเส&ยงจากคะแนนท&คานวณไดดงตารางท& 4.2 การประเมนความเส�ยงจากระดบความเส�ยง

คาระดบความเส�ยงท� 1 – 4 หมายถงความเส�ยงต�ามาก (Very low)

คาระดบความเส�ยงท� 5 - 9 หมายถงความเส�ยงต�า (Low)

คาระดบความเส�ยงท� 10 – 16 หมายถงความเส�ยงปานกลาง (Medium)

คาระดบความเส�ยงท� 17- 25 หมายถงความเส�ยงสง (High)

ผลกร

ะทบ(Im

pact)

สงมาก 5 10 15 20 25

สง 4 8 12 16 20

ปานกลาง 3 6 9 12 15

นอย 2 4 6 8 10

นอยมาก 1 2 3 4 5

นอยมาก นอย ปานกลาง สง สงมาก

โอกาส(Likelihood)

ตารางท� 4.1 ความสมพนธเกณฑการประเมนระดบความเส�ยง (Risk Assessment Matrix)

4.1 ผลการประเมนความเส�ยงกอนดาเนนโครงการ

4.1.1 ผลการประเมนความเส�ยงทรพยสนประเภทฮารดแวร

ภยคกคาม (Threat)

F O R C

1 Hardware Mail Server อปกรณชารดเสยหาย ไมมกระบวนการการบารงรกษา และเฝาระวงตดตาม

4 5 1 1 2 ปานกลาง A 11.2.4 จดทาแผนการซอมบารง หรอทาสญญาการซอมบารงกบผจาหนายอปกรณ พรอมม SLA

2 Hardware Mail Server ถกขโมย สญหายหรอถกทาลาย ไมมการปองกน-ควบคมการเขาถงทางกายภาพ

4 5 1 1 1 ตCา A 11.1.1, A 11.1.2, A 11.1.3, A 11.1.4,A 11.1.6, A 11.2.1

ตดต GงในหองเครCองแมขาย ซCงมการแยกออกจากพGนทCการทางานอยางชดเจน มกาแพงร Gวรอบขอบชด มมาตรการควบคมการเขาออกหองเครCองแมขาย ซCงเขาออกไดเฉพาะผทCไดรบอนญาต โดยมเจาหนาทCรกษาความปลอดภย ประต 3 ช Gน มการตดต Gง Access Control และกลองวงจรปดตรวจจบความเคลCอนไหว พรอมท Gงมการตรวจสอบอยเสมอ

3 Hardware Mail Server อปกรณไมสามารถใหบรการไดอยางเนCอง

การลมเหลวของกระแสไฟฟา 1 5 1 1 3 ปานกลาง A 11.2.2 มการตดต GงเครCองสารองไฟ ทCสามารถสารองไฟใหได 4 ช Cวโมง

ระดบเส�ยง มาตรการ

ควบคม

แผนการจดการความเส�ยงปจจบน

ตารางท� 4.2 ตารางประเมนความเสCยงทรพยสนประเภทฮารดแวรลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability) ผลการทบดานตางๆ โอกาส

28


F O R C


ควบคม

แผนการจดการความเส�ยงปจจบนลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability) ผลการทบดานตางๆ โอกาส

4 Hardware Mail Server ทรพยากรระบบไมเพยงพอตอการใชงาน

ไมมกระบวนการเฝาระวงและตรวจสอบ ทรพยากรระบบของระบบ

2 5 1 2 2 ปานกลาง A 12.1.3 มกระบวนการตรวจสอบและประเมนระดบการทางานของ CPU, Memory, Storage และ Network Utilization ท Gงในปจจบนและประเมนอตราการใชงานในอนาคต

5 Hardware ERP Server Production อปกรณชารดเสยหาย ไมมกระบวนการการบารงรกษา และเฝาระวงตดตาม

4 5 1 1 1 ตCา A 11.2.4 จดทาแผนการซอมบารง หรอทาสญญาการซอมบารงกบผจาหนายอปกรณ พรอมม SLA

6 Hardware ERP Server Production ถกขโมย สญหายหรอถกทาลาย ไมมการปองกน-ควบคมการเขาถงทางกายภาพ

4 5 1 1 1 ตCา A 11.1.1, A 11.1.2, A 11.1.3, A 11.1.4,A 11.1.6, A 11.2.1


7 Hardware ERP Server Production

อปกรณไมสามารถใหบรการไดอยางเนCอง


29


F O R C


ควบคม


8 Hardware ERP Server Production ทรพยากรระบบไมเพยงพอตอการใชงาน


2 5 1 1 1 ตCา A 12.1.3 มกระบวนการตรวจสอบและประเมนระดบการทางานของ CPU, Memory, Storage และ Network Utilization ท Gงในปจจบนและประเมนอตราการใชงานใน9 Hardware WorkFlow & Digital

Filing Serverอปกรณชารดเสยหาย ไมมกระบวนการการบารงรกษา

และเฝาระวงตดตาม


10 Hardware WorkFlow & Digital Filing Server

ถกขโมย สญหายหรอถกทาลาย ไมมการปองกน-ควบคมการเขาถงทางกายภาพ

4 5 1 3 1 ตCา A 11.1.1, A 11.1.2, A 11.1.3, A 11.1.4,A 11.1.6, A 11.2.1





30


F O R C


ควบคม



ประสทธภาพการทางานของระบบลดลง ทรพยากรระบบไมเพยงพอตอการใชงาน


13 Hardware Backup Server อปกรณชารดเสยหาย ไมมกระบวนการการบารงรกษา และเฝาระวงตดตาม


14 Hardware Backup Server ถกขโมย สญหายหรอถกทาลาย ไมมการปองกน-ควบคมการเขาถงทางกายภาพ

1 5 1 1 1 ตCา A 11.1.1, A 11.1.2, A 11.1.3, A 11.1.4,A 11.1.6, A 11.2.1


15 Hardware Backup Server อปกรณไมสามารถใหบรการไดอยางเนCอง


31


F O R C


ควบคม


16 Hardware Backup Server ประสทธภาพการทางานของระบบลดลง ทรพยากรระบบไมเพยงพอตอการใชงาน

1 4 1 1 2 ตCา A 12.1.3 มกระบวนการตรวจสอบและประเมนระดบการทางานของ CPU, Memory, Storage และ Network Utilization ท Gงในปจจบนและประเมนอตราการใชงานในอนาคต

17 Hardware Anti Virus & WSUS Server

อปกรณชารดเสยหาย ไมมกระบวนการการบารงรกษา และเฝาระวงตดตาม




2 2 1 1 1 ตCามาก A 11.1.1, A 11.1.2, A 11.1.3, A 11.1.4,A 11.1.6, A 11.2.1




การลมเหลวของกระแสไฟฟา 1 1 1 1 4 ตCามาก A 11.2.2 มการตดต GงเครCองสารองไฟ

32


F O R C


ควบคม



ประสทธภาพการทางานของระบบลดลง ทรพยากรระบบไมเพยงพอตอการใชงาน

1 1 1 1 3 ตCามาก A 12.1.3 มกระบวนการตรวจสอบและประเมนระดบการทางานของ CPU, Memory, Storage และ Network Utilization ท Gงในปจจบนและประเมนอตราการใชงานในอนาคต

21 Hardware PLM Server อปกรณชารดเสยหาย ไมมกระบวนการการบารงรกษา และเฝาระวงตดตาม


22 Hardware PLM Server ถกขโมย สญหายหรอถกทาลาย ไมมการปองกน-ควบคมการเขาถงทางกายภาพ

4 5 1 1 1 ตCา A 11.1.1, A 11.1.2, A 11.1.3, A 11.1.4,A 11.1.6, A 11.2.1


23 Hardware PLM Server อปกรณไมสามารถใหบรการไดอยางเนCอง


33


F O R C


ควบคม


24 Hardware PLM Server ประสทธภาพการทางานของระบบลดลง ทรพยากรระบบไมเพยงพอตอการใชงาน


25 Hardware CAD-CAM Server อปกรณชารดเสยหาย ไมมกระบวนการการบารงรกษา และเฝาระวงตดตาม


26 Hardware CAD-CAM Server ถกขโมย สญหายหรอถกทาลาย ไมมการปองกน-ควบคมการเขาถงทางกายภาพ

2 5 1 1 1 ตCา A 11.1.1, A 11.1.2, A 11.1.3, A 11.1.4,A 11.1.6, A 11.2.1


27 Hardware CAD-CAM Server อปกรณไมสามารถใหบรการไดอยางเนCอง

การลมเหลวของกระแสไฟฟา 1 5 1 1 3 ปานกลาง A 11.2.2 มการตดต GงเครCองสารองไฟ

34


F O R C


ควบคม


28 Hardware CAD-CAM Server ประสทธภาพการทางานของระบบลดลง ทรพยากรระบบไมเพยงพอตอการใชงาน


29 Hardware File Sharing Server อปกรณชารดเสยหาย ไมมกระบวนการการบารงรกษา และเฝาระวงตดตาม


30 Hardware File Sharing Server ถกขโมย สญหายหรอถกทาลาย ไมมการปองกน-ควบคมการเขาถงทางกายภาพ

2 5 1 2 1 ตCา A 11.1.1, A 11.1.2, A 11.1.3, A 11.1.4,A 11.1.6, A 11.2.1


31 Hardware File Sharing Server อปกรณสญหาย ขาดกระบวนการบรหารจดการทรพย

2 5 1 2 1 ตCา A 8.1.1, A 8.1.2, A 8.1.3

มการจดทาทะเบยนทรพยสน ระบผรบผดชอบ

35


F O R C


ควบคม


32 Hardware File Sharing Server อปกรณไมสามารถใหบรการไดอยางเนCอง


33 Hardware File Sharing Server ประสทธภาพการทางานของระบบลดลง ทรพยากรระบบไมเพยงพอตอการใชงาน


34 Hardware Internet Log Server อปกรณชารดเสยหาย ไมมกระบวนการการบารงรกษา และเฝาระวงตดตาม


35 Hardware Internet Log Server ถกขโมย สญหายหรอถกทาลาย ไมมการปองกน-ควบคมการเขาถงทางกายภาพ

1 1 1 5 1 ตCา A 11.1.1, A 11.1.2, A 11.1.3, A 11.1.4,A 11.1.6, A 11.2.1


36


F O R C


ควบคม


36 Hardware Internet Log Server อปกรณไมสามารถใหบรการไดอยางเนCอง


37 Hardware Internet Log Server ประสทธภาพการทางานของระบบลดลง ทรพยากรระบบไมเพยงพอตอการใชงาน

1 1 1 1 3 ตCามาก A 12.1.3 มกระบวนการตรวจสอบและประเมนระดบการทางานของ CPU, Memory, Storage และ Network Utilization ท Gงในปจจบนและประเมนอตราการใชงานในอนาคต

38 Hardware Lease Line Router No.1





1 5 1 1 1 ตCา A 11.1.1, A 11.1.2, A 11.1.3, A 11.1.4,A 11.1.6, A 11.2.1


37


F O R C


ควบคม



อปกรณไมสามารถใหบรการไดอยางตอเนCอง

สญญาณลมเหลว 1 5 1 1 1 ตCา A 13.1.2 จดทาสญญาการใหบรการ (SLA) ทCมความยนยนมาตรฐานการบรการทCสอดคลองกบขอกาหนดความม Cนคงสารสนเทศขององคกร





ทรพยากรระบบไมเพยงพอตอการใชงาน

เนCองจากขาดการตรวจสอบทรพยากรระบบ



อปกรณถกแกไขคาอปกรณโดยไมไดรบอนญาต

โปรโตคอลทCใชในการเขาถงระบบไมปลอดภย

1 5 1 1 5 สง A 9.4.2 กาหนดใหใชโปรโตคอลทCมความปลอดภยในการเขาถงขอมล


อปกรณถกสวมสทธในการเขาใชงาน ผดแลระบบไมมการ Logout หลงจากการเขาใชงาน

1 5 1 1 4 สง A 11.2.9 กาหนดใหระบบตดการใชงาน เมCอผใชงานไมไดใชงานระบบมาระยะเวลาหนCง


ไมสามารถตรวจสอบการใชงานยอนหลงได

ไมมการเกบ Log 1 1 1 5 1 ตCา A 12.4.1 กาหนดใหมการบนทก Log แสดงขอมลการใชงานระบบ

38


F O R C


ควบคม







1 5 1 1 2 ปานกลาง A 11.1.1, A 11.1.2, A 11.1.3, A 11.1.4,A 11.1.6, A 11.2.1




สญญาณลมเหลว 1 5 1 1 1 ตCา A 13.1.2 จดทาสญญาการใหบรการ (SLA) ทCมความยนยนมาตรฐานการบรการทCสอดคลองกบขอกาหนดความม Cนคงสารสนเทศขององคกร




39


F O R C


ควบคม












1 5 1 1 3 ปานกลาง A 11.2.9 กาหนดใหระบบตดการใชงาน เมCอผใชงานไมไดใชงานระบบมาระยะเวลาหนCง







40


F O R C


ควบคม




1 5 1 1 1 ตCา A 11.1.1, A 11.1.2, A 11.1.3, A 11.1.4,A 11.1.6, A 11.2.1




สญญาณลมเหลว 1 5 1 1 4 สง A 13.1.2 จดทาสญญาการใหบรการ (SLA) ทCมความยนยนมาตรฐานการบรการทCสอดคลองกบขอกาหนดความม Cนคงสารสนเทศขององคกร








41


F O R C


ควบคม





1 5 1 1 1 ตCา A 9.4.2 กาหนดใหใชโปรโตคอลทCมความปลอดภยในการเขาถงขอมล



1 5 1 1 1 ตCา A 11.2.9 กาหนดใหระบบตดการใชงาน เมCอผใชงานไมไดใชงานระบบมาระยะเวลาหนCง




62 Hardware ADSL Router อปกรณชารดเสยหาย ไมมกระบวนการการบารงรกษา และเฝาระวงตดตาม

1 1 1 1 3 ตCามาก A 11.2.4 จดทาแผนการซอมบารง หรอทาสญญาการซอมบารงกบผจาหนายอปกรณ พรอมม SLA

63 Hardware ADSL Router ถกขโมย สญหายหรอถกทาลาย ไมมการปองกน-ควบคมการเขาถงทางกายภาพ

1 1 1 1 2 ตCามาก A 11.1.1, A 11.1.2, A 11.1.3, A 11.1.4,A 11.1.6, A 11.2.1


42


F O R C


ควบคม


64 Hardware ADSL Router อปกรณไมสามารถใหบรการไดอยางตอเนCอง

สญญาณลมเหลว 1 1 1 1 4 ตCามาก A 11.2.2 มการตดต GงเครCองสารองไฟ ทCสามารถสารองไฟใหได 4 ช Cวโมง

65 Hardware ADSL Router อปกรณไมสามารถใหบรการไดอยางตอเนCอง

การลมเหลวของกระแสไฟฟา 1 1 1 1 4 ตCามาก A 13.1.2 จดทาสญญาการใหบรการ (SLA) ทCมความยนยนมาตรฐานการบรการทCสอดคลองกบขอกาหนดความม Cนคงสารสนเทศขององคกร

66 Hardware Core Switch No.1 อปกรณชารดเสยหาย ไมมกระบวนการการบารงรกษา และเฝาระวงตดตาม


67 Hardware Core Switch No.1 ถกขโมย สญหายหรอถกทาลาย ไมมการปองกน-ควบคมการเขาถงทางกายภาพ

3 5 1 1 1 ตCา A 11.1.1, A 11.1.2, A 11.1.3, A 11.1.4,A 11.1.6, A 11.2.1


43


F O R C


ควบคม


68 Hardware Core Switch No.1 อปกรณไมสามารถใหบรการไดอยางตอเนCอง


69 Hardware Core Switch No.1 อปกรณถกแกไขคาอปกรณโดยไมไดรบอนญาต



70 Hardware Core Switch No.1 อปกรณถกสวมสทธในการเขาใชงาน ผดแลระบบไมมการ Logout หลงจากการเขาใชงาน

1 1 1 1 2 ปานกลาง A 11.2.9 กาหนดใหระบบตดการใชงาน เมCอผใชงานไมไดใชงานระบบมาระยะเวลาหนCง

71 Hardware Core Switch No.1 ไมสามารถตรวจสอบการใชงานยอนหลงได




44


F O R C


ควบคม



3 5 1 1 1 ตCา A 11.1.1, A 11.1.2, A 11.1.3, A 11.1.4,A 11.1.6, A 11.2.1


74 Hardware Core Switch No.2 อปกรณไมสามารถใหบรการไดอยางตอเนCอง





76 Hardware Core Switch No.2 อปกรณถกสวมสทธในการเขาใชงาน ผดแลระบบไมมการ Logout หลงจากการเขาใชงาน



ไมมการเกบ Log 1 1 1 2 2 ตCามาก A 12.4.1 กาหนดใหมการบนทก Log แสดงขอมลการใชงานระบบ

45


F O R C


ควบคม


78 Hardware Distribute Switch Factory A





1 4 1 1 2 ตCา A 11.1.1, A 11.1.2, A 11.1.3, A 11.1.4,A 11.1.6, A 11.2.1












46


F O R C


ควบคม





84 Hardware Distribute Switch Factory B





1 4 1 1 2 ตCา A 11.1.1, A 11.1.2, A 11.1.3, A 11.1.4,A 11.1.6, A 11.2.1









47


F O R C


ควบคม








90 Hardware Distribute Switch Factory C


1 4 1 3 3 ปานกลาง A 11.2.4 จดทาแผนการซอมบารง หรอทาสญญาการซอมบารงกบผจาหนายอปกรณ พรอมม SLA91 Hardware Distribute Switch

Factory Cถกขโมย สญหายหรอถกทาลาย ไมมการปองกน-ควบคมการ

เขาถงทางกายภาพ1 4 1 1 2 ตCา A 11.1.1,

A 11.1.2, A 11.1.3, A 11.1.4,A 11.1.6, A 11.2.1









48


F O R C


ควบคม








96 Hardware Access Switch for Internet Café


1 1 1 1 1 ตCามาก A 11.2.4 จดทาแผนการซอมบารง หรอทาสญญาการซอมบารงกบผจาหนายอปกรณ พรอมม SLA



1 1 1 1 1 ตCามาก A 11.1.1, A 11.1.2, A 11.1.3, A 11.1.4,A 11.1.6, A 11.2.1




การลมเหลวของกระแสไฟฟา 1 1 1 1 1 ตCามาก A 11.2.2 มการตดต GงเครCองสารองไฟ

49


F O R C


ควบคม





1 1 1 1 1 ตCามาก A 9.4.2 กาหนดใหใชโปรโตคอลทCมความปลอดภยในการเขาถงขอมล

100 Hardware Access Switch for Café อปกรณถกสวมสทธในการเขาใชงาน ผดแลระบบไมมการ Logout หลงจากการเขาใชงาน

1 1 1 2 1 ตCามาก A 11.2.9 กาหนดใหระบบตดการใชงาน เมCอผใชงานไมไดใชงานระบบมาระยะเวลาหนCง

101 Hardware Air Conditioner No.1 อปกรณชารดเสยหาย ไมมกระบวนการการบารงรกษา และเฝาระวงตดตาม

1 1 1 1 2 ตCามาก A 11.2.4 จดทาแผนการซอมบารง หรอทาสญญาการซอมบารงกบผจาหนายอปกรณ

102 Hardware Air Conditioner No.1 อปกรณไมสามารถใหบรการไดอยางตอเนCอง

การลมเหลวของกระแสไฟฟา 1 5 1 1 3 ปานกลาง A 11.2.2 รองขอการตดต Gงแหลงจายไฟฟาจาก 2 แหลงจาย จากฝายสานกงาน

103 Hardware Air Conditioner No.1 ถกขโมย สญหายหรอถกทาลาย ไมมการปองกน-ควบคมการเขาถงทางกายภาพ

2 4 1 1 2 ตCา A 11.2.4 มกระบวนการตรวจสอบและควบคมอณภมใหเหมาะสม ซCงอยระหวาง 20-24 C

104 Hardware Air Conditioner No.2 อปกรณชารดเสยหาย ไมมกระบวนการการบารงรกษา และเฝาระวงตดตาม

1 1 1 1 1 ตCามาก A 11.2.4 จดทาแผนการซอมบารง หรอทาสญญาการซอมบารงกบผจาหนายอปกรณ

105 Hardware Air Conditioner No.2 อปกรณไมสามารถใหบรการไดอยางตอเนCอง


106 Hardware Air Conditioner No.2 ถกขโมย สญหายหรอถกทาลาย ไมมการปองกน-ควบคมการเขาถงทางกายภาพ

2 4 1 1 1 ตCามาก A 11.2.4 มกระบวนการตรวจสอบและควบคมอณภมใหเหมาะสม ซCงอยระหวาง 20-24 C

107 Hardware UPS for Server Rack อปกรณชารดเสยหาย ไมมกระบวนการการบารงรกษา และเฝาระวงตดตาม

3 4 1 1 3 ปานกลาง A 11.2.4 จดทาแผนการซอมบารง หรอทาสญญาการซอมบารงกบผจาหนายอปกรณ

50


F O R C


ควบคม


108 Hardware UPS for Server Rack ถกขโมย สญหายหรอถกทาลาย ไมมการปองกน-ควบคมการเขาถงทางกายภาพ

3 4 2 3 2 ตCา A 11.1.2 มมาตรการควบคมการเขาออกหองศนยขอมล โดยมเจาหนาทCรกษาความปลอดภย ประต 3 ช Gน พรอมท Gงตดต Gงกลองวงจรปด

109 Hardware UPS for Server Rack อปกรณไมสามารถใหบรการไดอยางตอเนCอง

การลมเหลวแหลงจายกระแสไฟฟา

1 5 1 1 4 สง จดหาแหลงจายไฟฟา ใหมอยางนอย 2 แหลง

51

4.1.2 ผลการประเมนความเส�ยงทรพยสนประเภทซอฟทแวร


F O R C

110 Software Windows Server 2003 ถกเขาถงโดยผไมไดรบอนญาต ขาดนโยบายการต ,งรหสผาน (password) ท4เหมาะสม

1 4 1 3 3 ปานกลาง A 9.4.3 กาหนดนโยบายบรหารจดการบญชรายช4อผใชงาน กาหนดนโยบายการต ,งรหสผาน และบงคบใชรหสผานท4ยากตอการคาดเดายาวอยางนอย 8 ตวอกษร ผสมท ,งอกษรพมพเลก-ใหญ, สญลกษณ และตวเลขอยางนอย 3 อยาง และเปล4ยนรหสผานทก 90 วน

111 Software Windows Server 2003 ถกเขาถงโดยผไมมสทธ Nใชงาน ไมมการถอดสทธ N เม4อมการเปล4ยนแปลงหนาท4รบผดชอบ

1 4 1 3 4 ปานกลาง A 9.2.1, A 9.2.5, A 9.2.6

ทาการทบทวนสทธ Nของผใชงานในระบบตามระยะเวลาท4กาหนด และลบหรอถอดถอนสทธ Nทนทท4มการลาออก หรอเปล4ยนหนาท4รบผดชอบ

112 Software Windows Server 2003 คนไมมสทธ Nเขาไปแกไขระบบ ผดแลระบบไมทาการ Logout หลงการใชงาน

1 4 1 3 4 ปานกลาง A 9.4.2 กาหนดนโยบายการเขา และออกจากระบบ โดยใหมการ Logout อตโนมต

113 Software Windows Server 2003 ไวรสคอมพวเตอรแพรกระจาย Scan Engine และ Virus Definition ของซอฟทแวร Anti-Virus ไมอพเดท

1 5 1 3 3 ปานกลาง A 12.2 ตดต ,งซอฟทแวรปองกนไวรส Update definition ใหลาสดเสมอ มกระบวนการตรวจสอบ รวมท ,งมมาตรการกคนหากเกดการแพรกระจายจากโปรแกรมไมประสงคด และสรางความตระหนกกบผท 4เก4ยวของ

โอกาส ระดบเส�ยง มาตรการ

ควบคม


ตารางท� 4.3 ตารางประเมนความเส4ยงทรพยสนประเภทซอฟทแวรลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability) ผลการทบดานตางๆ

52


F O R C


ควบคม

แผนการจดการความเส�ยงปจจบนลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability) ผลการทบดานตางๆ

114 Software Windows Server 2003

ถกโจมตจนไมสามารถใหบรการได ไมมกระบวนการในการตดตามปรบปรง Security Patch ใหทนสมย

1 5 1 1 5 สง A 12.6.1 กาหนดนโยบายอพเดทแพทชและเฝาระวงการอพเดทแพทชใหลาสดเสมอ และทาการ Hardening ตามขอแนะนาและมาตรฐาน ของไมโครซอฟท


การแกไขคาตดต ,ง (Configuration) ผดพลาด ทาใหระบบทางานผดพลาด

ไมมเอกสารคมอการใชงาน 1 5 1 1 3 ปานกลาง A 12.1.1 ไมมเอกสารคมอการใชงาน เชน System Guide, Admin Guide, User Guide และ Maintenance Guide เปนตน


ระบบไมสามารถใหบรการหรอทางานผดพลาด หลงจากการปรบปรงเปล4ยนแปลง

ไมมระบบสาหรบทดสอบแยกกบระบบจรง

1 5 2 3 3 ปานกลาง A 12.1.2, A 12.1.4

บงคบใชมาตรการบรหารจดการความเปล4ยนแปลง (Change Management) จดใหมระบบสาหรบทดสอบแยกกบระบบจรง


การละเมดลขสทธ Nซอฟทแวร ไมมกระบวนการบรหารจดการซอฟตแวรลขสทธ N

1 1 5 5 3 ปานกลาง A 12.6.2 มการทบทวนการตดต ,งซอฟทแวรตามสทธ Nท4ไดรบ และปองกนการตดต ,งซอฟทแวรโดยไมไดรบอนญาต การจดเกบหรอปองกนแผนซอฟทแวร รวมถงการสรางความตระหนกตอโทษของการกระทาความผด

53


F O R C


ควบคม





1 5 1 3 3 ปานกลาง A 9.2.1, A 9.2.5, A 9.2.6





ไวรสคอมพวเตอรแพรกระจาย Scan Engine และ Virus Definition ของซอฟทแวร Anti-Virus ไมอพเดท




1 5 1 1 3 ปานกลาง A 12.6.1 กาหนดนโยบายอพเดทแพทชและเฝาระวงการอพเดทแพทชใหลาสดเสมอ และทาการ Hardening ตามขอแนะนาและมาตรฐาน ของไมโครซอฟท

54


F O R C


ควบคม








1 5 1 1 4 สง A 12.1.2, A 12.1.4







55


F O R C


ควบคม



1 5 1 3 3 ปานกลาง A 9.2.1, A 9.2.5, A 9.2.6
















1 5 1 1 4 สง A 12.1.2, A 12.1.4


56


F O R C


ควบคม





134 Software Linux ubuntu ถกเขาถงโดยผไมไดรบอนญาต ขาดนโยบายการต ,งรหสผาน (password) ท4เหมาะสม

1 1 1 2 2 ต4ามาก A 9.4.3 กาหนดนโยบายบรหารจดการบญชรายช4อผใชงาน กาหนดนโยบายการต ,งรหสผาน และบงคบใชรหสผานท4ยากตอการคาดเดายาวอยางนอย 8 ตวอกษร ผสมท ,งอกษรพมพเลก-ใหญ, สญลกษณ และตวเลขอยางนอย 3 อยาง และเปล4ยนรหสผานทก 90 วน

135 Software Linux ubuntu ถกเขาถงโดยผไมมสทธ Nใชงาน ไมมการถอดสทธ N เม4อมการเปล4ยนแปลงหนาท4รบผดชอบ

1 1 1 2 2 ต4ามาก A 9.2.1, A 9.2.5, A 9.2.6


136 Software Linux ubuntu คนไมมสทธ Nเขาไปแกไขระบบ ผดแลระบบไมทาการ Logout หลงการใชงาน

1 1 1 2 2 ต4ามาก A 9.4.2 กาหนดนโยบายการเขา และออกจากระบบ โดยใหมการ Logout อตโนมต

57


F O R C


ควบคม


137 Software Linux ubuntu ไวรสคอมพวเตอรแพรกระจาย Scan Engine และ Virus Definition ของซอฟทแวร Anti-Virus ไมอพเดท

1 1 1 2 1 ต4ามาก A 12.2 ตดต ,งซอฟทแวรปองกนไวรส Update definition ใหลาสดเสมอ มกระบวนการตรวจสอบ รวมท ,งมมาตรการกคนหากเกดการแพรกระจายจากโปรแกรมไมประสงคด และสรางความตระหนกกบผท 4เก4ยวของ

138 Software Linux ubuntu ถกโจมตจนไมสามารถใหบรการได ไมมกระบวนการในการตดตามปรบปรง Security Patch ใหทนสมย

1 1 1 2 2 ต4ามาก A 12.6.1 กาหนดนโยบายอพเดทแพทชและเฝาระวงการอพเดทแพทชใหลาสดเสมอ และทาการ Hardening ตามขอแนะนาและมาตรฐาน ของไมโครซอฟท

139 Software Linux ubuntu การแกไขคาตดต ,ง (Configuration) ผดพลาด ทาใหระบบทางานผดพลาด

ไมมเอกสารคมอการใชงาน 1 1 1 2 2 ต4ามาก A 12.1.1 ไมมเอกสารคมอการใชงาน เชน System Guide, Admin Guide, User Guide และ Maintenance Guide เปนตน

140 Software Linux ubuntu ระบบไมสามารถใหบรการหรอทางานผดพลาด หลงจากการปรบปรงเปล4ยนแปลง


1 1 1 2 2 ต4ามาก A 12.1.2, A 12.1.4


141 Software Linux ubuntu การละเมดลขสทธ Nซอฟทแวร ไมมกระบวนการบรหารจดการซอฟตแวรลขสทธ N


58


F O R C


ควบคม


142 Software Unix AIX ถกเขาถงโดยผไมไดรบอนญาต ขาดนโยบายการต ,งรหสผาน (password) ท4เหมาะสม


143 Software Unix AIX ถกเขาถงโดยผไมมสทธ Nใชงาน ไมมการถอดสทธ N เม4อมการเปล4ยนแปลงหนาท4รบผดชอบ

1 5 1 3 3 ปานกลาง A 9.2.1, A 9.2.5, A 9.2.6


144 Software Unix AIX การใชงานเกนสทธท4ถกตอง ขาดกระบวนการกาหนดสทธท4ถกตองเหมาะสม

1 5 1 3 3 ปานกลาง A 9.2.3, A 9.2.4

กาหนดกระบวนการขออนมตใชงานระบบเปนลายลกษณอกษร และบนทกไวเปนหลกฐาน

145 Software Unix AIX คนไมมสทธ Nเขาไปแกไขระบบ ผดแลระบบไมทาการ Logout หลงการใชงาน

1 5 1 3 2 ต4า A 9.4.2 กาหนดนโยบายการเขา และออกจากระบบ โดยใหมการ Logout อตโนมต

146 Software Unix AIX ไวรสคอมพวเตอรแพรกระจาย Scan Engine และ Virus Definition ของซอฟทแวร Anti-Virus ไมอพเดท

1 5 1 4 1 ต4า A 12.2 ตดต ,งซอฟทแวรปองกน Update definition ใหลาสดเสมอ มกระบวนการตรวจสอบ รวมท ,งมมาตรการกคนหากเกดการแพรกระจายจากโปรแกรมไมประสงคด และสรางความตระหนกกบผท 4เก4ยวของ

59


F O R C


ควบคม


147 Software Unix AIX ถกโจมตจนไมสามารถใหบรการได ไมมกระบวนการในการตดตามปรบปรง Security Patch ใหทนสมย

1 5 1 4 1 ต4า A 12.6.1 กาหนดนโยบายอพเดทแพทชและเฝาระวงการอพเดทแพทชใหลาสดเสมอ และทาการ Hardening ตามขอแนะนาและมาตรฐาน ของไมโครซอฟท

148 Software Unix AIX การแกไขคาตดต ,ง (Configuration) ผดพลาด ทาใหระบบทางานผดพลาด


149 Software Unix AIX ระบบไมสามารถใหบรการหรอทางานผดพลาด หลงจากการปรบปรงเปล4ยนแปลง


1 5 1 4 2 ปานกลาง A 12.1.2, A 12.1.4


150 Software Unix AIX การละเมดลขสทธ Nซอฟทแวร ไมมกระบวนการบรหารจดการซอฟตแวรลขสทธ N

1 1 5 5 1 ต4า A 12.6.2 มการทบทวนการตดต ,งซอฟทแวรตามสทธ Nท4ไดรบ และปองกนการตดต ,งซอฟทแวรโดยไมไดรบอนญาต การจดเกบหรอปองกนแผนซอฟทแวร รวมถงการสรางความตระหนกตอโทษของการกระทาความผด

60


F O R C


ควบคม


151 Software Mail Server ถกเขาถงโดยผไมไดรบอนญาต ขาดนโยบายการต ,งรหสผาน (password) ท4เหมาะสม


152 Software Mail Server ถกเขาถงโดยผไมมสทธ Nใชงาน ไมมการถอดสทธ N เม4อมการเปล4ยนแปลงหนาท4รบผดชอบ

4 4 2 5 2 ต4า A 9.2.1, A 9.2.5, A 9.2.6


153 Software Mail Server การใชงานเกนสทธท4ถกตอง ขาดกระบวนการกาหนดสทธท4ถกตองเหมาะสม

1 4 2 5 2 ต4า A 9.2.3, A 9.2.4


154 Software Mail Server อเมลสงไมถงปลายทาง รบสงลาชา ระบบทางานผดพลาด หรอถกทาลายจากโปรแกรมท4ไมประสงคด

Scan Engine และ Virus Definition ของซอฟทแวร Anti-Virus ไมอพเดท

1 5 2 4 2 ปานกลาง A 12.2 ตดต ,งซอฟทแวรปองกน Update definition ใหลาสดเสมอ มกระบวนการตรวจสอบ รวมท ,งมมาตรการกคนหากเกดการแพรกระจายจากโปรแกรมไมประสงคด และสรางความตระหนกกบผท4เก4ยวของ155 Software Mail Server ถกโจมตจนไมสามารถใหบรการได ไมมกระบวนการในการตดตาม

ปรบปรง Security Patch ใหทนสมย1 5 2 4 2 ปานกลาง A 12.6.1 กาหนดนโยบายอพเดทแพทชและเฝา

ระวงการอพเดทแพทชใหลาสดเสมอ และทาการปรบปรงตามขอแนะนาและมาตรฐาน ของเจาของผลตภณฑ

61


F O R C


ควบคม


156 Software Mail Server ทาการแกไขคาตดต ,ง (Configuration) ผดพลาด ทาใหระบบทางานผดพลาด


157 Software Mail Server ไมสามารถตรวจสอบการใชงานยอนหลงได

ไมมกระบวนการจดเกบเกบ Log 1 1 1 5 3 ปานกลาง A 12.4.1 กาหนดใหมการบนทก Log แสดงขอมลการใชงานระบบ

158 Software Mail Server ระบบไมสามารถใหบรการหรอทางานผดพลาด หลงจากการปรบปรงเปล4ยนแปลง


1 5 1 2 3 ปานกลาง A 12.1.2, A 12.1.4


159 Software Mail Server ระบบถกแฮก มการเขาถงโดยพอรตท4ไมปลอดภย 4 5 1 1 5 สง A 9.4.2 จดทาแผนปรบปรงการเขาถงระบบดวยพอรตท4มความปลอดภย

160 Software Mail Server การละเมดลขสทธ Nซอฟทแวร ไมมกระบวนการบรหารจดการซอฟตแวรลขสทธ N


62


F O R C


ควบคม


161 Software WorkFlow Server ถกเขาถงโดยผไมไดรบอนญาต ขาดนโยบายการต ,งรหสผาน (password) ท4เหมาะสม


162 Software WorkFlow Server ถกเขาถงโดยผไมมสทธ Nใชงาน ไมมการถอดสทธ N เม4อมการเปล4ยนแปลงหนาท4รบผดชอบ

4 5 2 3 2 ปานกลาง A 9.2.1, A 9.2.5, A 9.2.6


163 Software WorkFlow Server การใชงานเกนสทธท4ถกตอง ขาดกระบวนการกาหนดสทธท4ถกตองเหมาะสม

4 5 2 3 2 ปานกลาง A 9.2.3, A 9.2.4


164 Software WorkFlow Server ระบบถกแฮก มการเขาถงโดยพอรตท4ไมปลอดภย 4 5 2 3 5 สง A 9.4.2 จดทาแผนปรบปรงการเขาถงระบบดวยพอรตท4มความปลอดภย

165 Software WorkFlow Server ทาการแกไขคาตดต ,ง (Configuration) ผดพลาด ทาใหระบบทางานผดพลาด

ไมมเอกสารคมอการใชงาน 1 5 2 3 1 ต4า A 12.1.1 ไมมเอกสารคมอการใชงาน เชน System Guide, Admin Guide, User Guide และ Maintenance Guide เปนตน

166 Software WorkFlow Server ไมสามารถตรวจสอบการใชงานยอนหลงได

ไมมกระบวนการจดเกบเกบ Log 1 1 1 4 2 ต4า A 12.4.1 กาหนดใหมการบนทก Log แสดงขอมลการใชงานระบบ

63


F O R C


ควบคม


167 Software WorkFlow Server ระบบไมสามารถใหบรการหรอทางานผดพลาด หลงจากการปรบปรงเปล4ยนแปลง


1 5 1 2 2 ปานกลาง A 12.1.2, A 12.1.4


168 Software WorkFlow Server การละเมดลขสทธ Nซอฟทแวร ไมมกระบวนการบรหารจดการซอฟตแวรลขสทธ N


169 Software Digital Filing Server ถกเขาถงโดยผไมไดรบอนญาต ขาดนโยบายการต ,งรหสผาน (password) ท4เหมาะสม

4 3 2 3 2 ต4า A 9.4.3 กาหนดนโยบายบรหารจดการบญชรายช4อผใชงาน กาหนดนโยบายการต ,งรหสผาน และบงคบใชรหสผานท4ยากตอการคาดเดายาวอยางนอย 8 ตวอกษร ผสมท ,งอกษรพมพเลก-ใหญ, สญลกษณ และตวเลขอยางนอย 3 อยาง และเปล4ยนรหสผานทก 90 วน

170 Software Digital Filing Server ถกเขาถงโดยผไมมสทธ Nใชงาน ไมมการถอดสทธ N เม4อมการเปล4ยนแปลงหนาท4รบผดชอบ

4 3 2 3 2 ต4า A 9.2.1, A 9.2.5, A 9.2.6


64


F O R C


ควบคม


171 Software Digital Filing Server การใชงานเกนสทธท4ถกตอง ขาดกระบวนการกาหนดสทธท4ถกตองเหมาะสม

4 3 2 3 2 ต4า A 9.2.3, A 9.2.4


172 Software Digital Filing Server ถกโจมตจนไมสามารถใหบรการได ไมมกระบวนการในการตดตามปรบปรง Security Patch ใหทนสมย


173 Software Digital Filing Server ทาการแกไขคาตดต ,ง (Configuration) ผดพลาด ทาใหระบบทางานผดพลาด


174 Software Digital Filing Server การละเมดลขสทธ Nซอฟทแวร ไมมกระบวนการบรหารจดการซอฟตแวรลขสทธ N

1 1 3 5 2 ปานกลาง A 12.6.2 มการทบทวนการตดต ,งซอฟทแวรตามสทธ Nท4ไดรบ และปองกนการตดต ,งซอฟทแวรโดยไมไดรบอนญาต การจดเกบหรอปองกนแผนซอฟทแวร 175 Software Manufacturing

Knowlegdeถกเขาถงโดยผไมไดรบอนญาต ขาดนโยบายการต ,งรหสผาน (password)

ท4เหมาะสม5 5 2 3 2 ปานกลาง A 9.4.3 กาหนดนโยบายบรหารจดการบญชรายช4อ

ผใชงาน กาหนดนโยบายการต ,งรหสผาน และบงคบใชรหสผานท4ยากตอการคาดเดายาวอยางนอย 8 ตวอกษร ผสมท ,งอกษรพมพเลก-ใหญ, สญลกษณ และตวเลขอยางนอย 3 อยาง และเปล4ยนรหสผานทก 90 วน

65


F O R C


ควบคม


176 Software Manufacturing Knowlegde

ถกเขาถงโดยผไมมสทธ Nใชงาน ไมมการถอดสทธ N เม4อมการเปล4ยนแปลงหนาท4รบผดชอบ

5 5 2 3 2 ปานกลาง A 9.2.1, A 9.2.5, A 9.2.6



การใชงานเกนสทธท4ถกตอง ขาดกระบวนการกาหนดสทธท4ถกตองเหมาะสม

5 5 2 3 2 ปานกลาง A 9.2.3, A 9.2.4



ระบบถกแฮก มการเขาถงโดยพอรตท4ไมปลอดภย 5 5 3 4 5 สง A 9.4.2 กาหนดใหมการเขาถงระบบดวยพอรตท4มความปลอดภย


ทาการแกไขคาตดต ,ง (Configuration) ผดพลาด ทาใหระบบทางานผดพลาด


4 5 1 2 2 ปานกลาง A 12.1.1 ไมมเอกสารคมอการใชงาน เชน System Guide, Admin Guide, User Guide และ Maintenance Guide เปนตน




66


F O R C


ควบคม


181 Software CAD-CAM Server ถกเขาถงโดยผไมไดรบอนญาต ขาดนโยบายการต ,งรหสผาน (password) ท4เหมาะสม


182 Software CAD-CAM Server ถกเขาถงโดยผไมมสทธ Nใชงาน ไมมการถอดสทธ N เม4อมการเปล4ยนแปลงหนาท4รบผดชอบ

5 5 2 3 2 ปานกลาง A 9.2.1, A 9.2.5, A 9.2.6


183 Software CAD-CAM Server การใชงานเกนสทธท4ถกตอง ขาดกระบวนการกาหนดสทธท4ถกตองเหมาะสม

5 5 2 3 2 ปานกลาง A 9.2.3, A 9.2.4


184 Software CAD-CAM Server ทาการแกไขคาตดต ,ง (Configuration) ผดพลาด ทาใหระบบทางานผดพลาด

ไมมเอกสารคมอการใชงาน 4 5 1 2 1 ต4า A 12.6.1 กาหนดนโยบายอพเดทแพทชและเฝาระวงการอพเดทแพทชใหลาสดเสมอ และทาการ Hardening ตามขอแนะนาและมาตรฐาน ของไมโครซอฟท

67


F O R C


ควบคม


185 Software CAD-CAM Server การละเมดลขสทธ Nซอฟทแวร ไมมกระบวนการบรหารจดการซอฟตแวรลขสทธ N


186 Software Aniti Virus Server ไมสามารถใหบรการได Anti virus Definition ท4ทนสมยได

ไมมกระบวนการในการตดตามเฝาระวง

2 2 1 2 2 ต4ามาก A 12.2.1 ตดต ,งซอฟทแวรปองกน Update definition ใหลาสดเสมอ มกระบวนการตรวจสอบ รวมท ,งมมาตรการกคนหากเกดการแพรกระจายจากโปรแกรมไมประสงคด และสรางความตระหนกกบผท4เก4ยวของ

187 Software Aniti Virus Server ทาการแกไขคาตดต ,ง (Configuration) ผดพลาด ทาใหระบบทางานผดพลาด


188 Software Aniti Virus Server การละเมดลขสทธ Nซอฟทแวร ไมมกระบวนการบรหารจดการซอฟตแวรลขสทธ N


68


F O R C


ควบคม


189 Software WSUS Server ทาการแกไขคาตดต ,ง (Configuration) ผดพลาด ทาใหระบบทางานผดพลาด


190 Software WSUS Server การละเมดลขสทธ Nซอฟทแวร ไมมกระบวนการบรหารจดการซอฟตแวรลขสทธ N


191 Software SQL Server ถกโจมตจนไมสามารถใหบรการได ไมมกระบวนการในการตดตามปรบปรง Security Patch ใหทนสมย


192 Software SQL Server ทาการแกไขคาตดต ,ง (Configuration) ผดพลาด ทาใหระบบทางานผดพลาด


193 Software SQL Server การละเมดลขสทธ Nซอฟทแวร ไมมกระบวนการบรหารจดการซอฟตแวรลขสทธ N


69

4.1.3 ผลการประเมนความเส�ยงทรพยสนประเภทสารสนเทศ


F O R C

194 Information E-mail Data ขอมล mailbox สญหาย ไมมระบบสารองขอมลท(ด 5 5 2 3 สง A 12.3.1 จดทาแผนสารองขอมล และมการจดเกบส(อบนทกในlสถานท(ท( พรอมท <งมการตรวจสอบอยเสมอ

195 Information E-mail Data ขอมลร (วไหลจากการถกดกจบระหวางการรบ-สง

ผใชงานขาดความรความเขาใจเร(องการปองกนขอมลร (วไหล

5 1 2 2 ปานกลาง A 18.1.5 สรางความรความเขาใจการปองกนขอมลร (วไหลและตระหนกถงความสาคญในการเขารหสขอมลท(สาคญทกคร <งกอนสงเมล

196 Information E-mail Data ขอมลมเน<อหาละเมดกฎหมาย และขอกาหนดขององคกร

ผใชงานขาดความรความเขาใจในกฏหมายท(เก(ยวของ

1 1 1 5 ปานกลาง A 18.1.3 สรางความรความเขาใจในเร(องกฎหมายท(เก(ยวของ และกาหนดบทลงโทษทางวนยสาหรบผท(ละเมด

197 Information E-mail Data ขอมลร (วไหล จากการนาขอมลจรงไปใชในการทดสอบ

ดแลระบบขาดความตระหนกในการใชขอมลสาหรบการทดสอบ

5 1 1 3 ปานกลาง A 14.3.1 ผดแลระบบจะตองคดเลอกขอมลจรงเทาท(จาเปนเทาน <น เพ(อนาไปทดสอบระบบ และตองขออนมตจากผบงคบบญชาทกคร <ง

198 Information Workflow Data ขอมลสญหาย ไมมระบบสารองขอมลท(ด 5 5 2 3 สง A 12.3.1 จดทาแผนสารองขอมล และมการจดเกบส(อบนทกในlสถานท(ท( พรอมท <งมการตรวจสอบอยเสมอ

199 Information Workflow Data ขอมลร (วไหล จากการนาส(อบนทกขอมลกลบมาใชงานใหม

ขาดกระบวนการทาลายขอมลในส(อบนทกขอมลกอนนากลบมาใชงานใหม หรอเลกใชงาน

5 1 2 3 สง A 8.3.2 จดทาแผนการทาลายขอมลในส(อบนทกขอมลทกคร <งกอนท(จะนากลบมาใชงานใหม หรอเลกใชงาน

ผลการทบดานตางๆ ระดบเส�ยง มาตรการ

ควบคม


ตารางท� 4.4 ตารางประเมนความเส(ยงทรพยสนประเภทสารสนเทศลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability)

70


F O R C


ควบคม

แผนการจดการความเส�ยงปจจบนลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability)

200 Information Workflow Data ถกเขาถง และแกไข เปล(ยนแปลง โดยผไมมสทธ Sใชงาน

ไมมการถอดสทธ S เม(อมการเปล(ยนแปลงหนาท(รบผดชอบ

5 5 2 3 ต(า A 9.2.1, A 9.2.5, A 9.2.6

ทาการทบทวนสทธ Sของผใชงานในระบบตามระยะเวลาท(กาหนด และลบหรอถอดถอนสทธ Sทนทท(มการลาออก หรอเปล(ยนหนาท(รบผดชอบ

201 Information Workflow Data ขอมลร (วไหล จากการนาขอมลจรงไปใชในการทดสอบ


5 1 2 3 ต(า A 14.3.1 ผดแลระบบจะตองคดเลอกขอมลจรงเทาท(จาเปนเทาน <น เพ(อนาไปทดสอบระบบ และตองขออนมตจากผบงคบบญชาทกคร <ง

202 Information Digital Filing Data ขอมลสญหาย ไมมระบบสารองขอมลท(ด 5 5 2 3 สง A 12.3.1 จดทาแผนสารองขอมล และมการจดเกบส(อบนทกในlสถานท(ท( พรอมท <งมการตรวจสอบอยเสมอ

203 Information Digital Filing Data ขอมลร (วไหล จากการนาส(อบนทกขอมลกลบมาใชงานใหม


4 3 2 3 ต(า A 8.3.2 จดทาแผนการทาลายขอมลในส(อบนทกขอมลทกคร <งกอนท(จะนากลบมาใชงานใหม หรอเลกใชงาน

204 Information Digital Filing Data ถกเขาถง และแกไข เปล(ยนแปลง โดยผไมมสทธ Sใชงาน


4 4 2 3 ต(า A 9.2.1, A 9.2.5, A 9.2.6


205 Information Digital Filing Data ขอมลร (วไหล จากการนาขอมลจรงไปใชในการทดสอบ


4 2 2 2 ต(า A 14.3.1 ผดแลระบบจะตองคดเลอกขอมลจรงเทาท(จาเปนเทาน <น เพ(อนาไปทดสอบระบบ และตองขออนมตจากผบงคบบญชาทกคร <ง

71


F O R C


ควบคม

แผนการจดการความเส�ยงปจจบนลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability)

206 Information ERP Data ขอมลสญหาย ไมมระบบสารองขอมลท(ด 5 5 2 1 สง A 12.3.1 จดทาแผนสารองขอมล และมการจดเกบส(อบนทกในlสถานท(ท( พรอมท <งมการตรวจสอบอยเสมอ

207 Information ERP Data ขอมลร (วไหล จากการนาส(อบนทกขอมลกลบมาใชงานใหม


5 3 2 4 ปานกลาง A 8.3.2 จดทาแผนการทาลายขอมลในส(อบนทกขอมลทกคร <งกอนท(จะนากลบมาใชงานใหม หรอเลกใชงาน

208 Information ERP Data ถกเขาถง และแกไข เปล(ยนแปลง โดยผไมมสทธ Sใชงาน


5 4 2 4 ปานกลาง A 9.2.1, A 9.2.5, A 9.2.6


209 Information ERP Data ขอมลร (วไหล จากการนาขอมลจรงไปใชในการทดสอบ


5 2 2 4 ปานกลาง A 14.3.1 ผดแลระบบจะตองคดเลอกขอมลจรงเทาท(จาเปนเทาน <น เพ(อนาไปทดสอบระบบ และตองขออนมตจาก

210 Information Log Data ขอมลสญหาย ไมมระบบสารองขอมล 1 1 1 5 ปานกลาง A 12.3.1 จดทาแผนสารองขอมล และมการจดเกบส(อบนทกในlสถานท(ท( พรอมท <งมการ

211 Information Log Data ถกเขาถง และแกไข เปล(ยนแปลง โดยผไมมสทธ Sใชงาน


1 1 1 5 ปานกลาง A 9.2.1, A 9.2.5, A 9.2.6

ทาการทบทวนสทธ Sของผใชงานในระบบตามระยะเวลาท(กาหนด และลบหรอถอดถอนสทธ Sทนทท(มการลาออก หรอเปล(ยน212 Information Log Data เวลาขอมล Log ไมถกตองชดเจน เวลาท(บนทก คาไมตรงกบแหลง

อางองท(ไดมาตรฐานสากล1 1 1 5 สง A 12.4.4 ตดต <ง NTP Server และจดทาแผนการ

ตรวจสอบ พรอมท <งเฝาระวงความถกตองของเวลาใหตรงกบแหลงอางองท(ไดมาตราฐาน

72

4.1.4 ผลการประเมนความเส�ยงทรพยสนประเภทผใหบรการ


F O R C

213 Service Telecommunication Service Providor

การบรการหยดชะงก เน%องจากสญญาเชาใชหมดอาย หรอผดขอตกลงในสญญาบรการ

ไมมกระบวนการตรวจสอบอายสญญา และ ดาเนนการตอสญญากอนสญญาหมดอาย

1 5 1 4 ปานกลาง A 15.1.1,A 15.1.3

จดทาแผนการตรวจสอบอายสญญาบรการอยางนอยปละคร ?ง และดาเนนการตออายสญญากอนสญญาหมดอาย


ความไมรบผดชอบ หรอไมปฏบตตามขอตกลงของผใหบรการ ไมวาจะเปนดานคณภาพ หรอการตดตามงาน

ไมมการตรวจสอบผลการดาเนนการตามสญญา (Contract)

4 5 1 4 ปานกลาง A 15.2.1 จดทาแผนการตดตาม ทบทวนและตรวจประเมนการใหบรการทกๆ 3 เดอน


ถกเปดเผยขอมล หรอขอมลร %วไหล ไมมการจดทาสญญาไมเปดเผยขอมล 5 3 1 4 ปานกลาง A 15.1.2 มการจดทาสญญาไมเปดเผยขอมลกบผใหบรการภายนอก

216 Service Network Service Providor





ถกเปดเผยขอมล หรอขอมลร %วไหล ไมมการจดทาสญญาไมเปดเผยขอมล 5 3 1 4 ปานกลาง A 15.1.2 มการจดทาสญญาไมเปดเผยขอมลกบผใหบรการภายนอก

218 Service Application Service ความไมรบผดชอบ หรอไมปฏบตตามขอตกลงของผใหบรการ ไมวาจะเปนดานคณภาพ หรอการตดตามงาน



219 Service Application Service ถกเปดเผยขอมล หรอขอมลร %วไหล ไมมการจดทาสญญาไมเปดเผยขอมล 5 3 1 4 ปานกลาง A 15.1.2 มการจดทาสญญาไมเปดเผยขอมลกบผใหบรการภายนอก


ควบคม


ตารางท� 4.5 ตารางประเมนความเส%ยงทรพยสนประเภทผใหบรการลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability) ผลการทบดานตางๆ

73

4.1.5 ผลการประเมนความเส�ยงทรพยสนประเภทบคคลากร


F O R C

220 People Top Executive ใชงานระบบสารสนเทศผดพลาด ขาดความเขาใจและความตระหนกในการใชงาน

1 1 1 3 ปานกลาง A 7.2.1 อบรมสรางความรความเขาใจและความตระหนกในการใชงานสารสนเทศท6มความม 6นคงปลอดภย

221 People Top Executive ละเมดนโยบายความม 6นคงสารสนเทศ เน6องจากละเลย หรอโดยจงใจ

ความรความเขาใจในนโยบายความม 6นคงสารสนเทศ

1 1 1 3 ปานกลาง A 5.1.1, A 7.2.2

จดนโยบายความม 6นคงสารสนเทศเปนลายลกษณอกษร ซ6งวาดวยระเบยบปฏบต ขอบงคบ พรอมท Eงบทลงโทษ ซ6งอนมตโดยผบรหารท6มอานาจ และเผยแพร ส6อสารกบผเก6ยวของ

222 People Manager ใชงานระบบสารสนเทศผดพลาด ขาดความเขาใจและความตระหนกในการใชงาน


223 People Manager ละเมดนโยบายความม 6นคงสารสนเทศ เน6องจากละเลย หรอโดยจงใจ


1 1 1 3 ปานกลาง A 5.1.1, A 7.2.2



ควบคม


ตารางท� 4.6 ตารางประเมนความเส6ยงทรพยสนประเภทบคคลากรลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability) ผลการทบดานตางๆ

74


F O R C


ควบคม


224 People Developer ใชงานระบบสารสนเทศผดพลาด ขาดความเขาใจและความตระหนกในการใชงาน


225 People Developer ละเมดนโยบายความม 6นคงสารสนเทศ เน6องจากละเลย หรอโดยจงใจ


1 1 1 3 ปานกลาง A 5.1.1, A 7.2.2


226 People System Administrator ใชงานระบบสารสนเทศผดพลาด ขาดความเขาใจและความตระหนกในการใชงาน


227 People System Administrator ละเมดนโยบายความม 6นคงสารสนเทศ เน6องจากละเลย หรอโดยจงใจ


1 1 1 3 ปานกลาง A 5.1.1, A 7.2.2


228 People System Administrator ผดแลระบบปฏบตเกนขอบเขต หรอละเลยหนาท6 โดยไมไดรบอนญาต หรอไมไดเจตนา

ไมมการกาหนดหนาท6 ความรบผดชอบ ใหชดเจน

1 1 1 2 ต6า A 6.1.1, A 6.2.2

มการกาหนดหนาท6 ความรบผดชอบ ใหชดเจน

75


F O R C


ควบคม


229 People User ใชงานระบบสารสนเทศผดพลาด ขาดความเขาใจและความตระหนกในการใชงาน


230 People User ละเมดนโยบายความม 6นคงสารสนเทศ เน6องจากละเลย หรอโดยจงใจ


1 1 1 3 ปานกลาง A 5.1.1, A 7.2.2


76

4.2 สรปจานวนความเส�ยงกอนการดาเนนโครงงาน

สรปจานวนความเส�ยงกอนการดาเนนโครงการตามตารางท� 4.7

ระดบความเส�ยง สง ปานกลาง ต�า ต�ามาก รวม

จานวนความเส�ยง 26 120 54 30 230

ตารางท� 4.7 ตารางสรปจานวนความเส�ยงกอนการดาเนนโครงงาน

รปท� 4.1 แผนภมแสดงสรปจานวนความเส�ยงกอนการดาเนนโครงงาน

0

20

40

60

80

100

120

สง ปานกลาง ต�า ต�ามาก

จานวนความเส�ยง

77

4.3 การบรหารจดการความเส�ยง

หลงจากทมการประเมนและวเคราะหความเสยงในคร �งแรกน �น ผจดทาไดนารายการทมความเสยงสงและปานกลางมาประมวลและรวบรวม เพอระบแผนบรหารจดการความเสยงน �น พรอมสถานะ การดาเนนการทเกยวของ ดงตารางท 4.8 ซงจะมรายละเอยดเพมเตมไดแก• Control หมายถง ตวควบคมตาม ISO 27001:2013 Annex A• RTP (Risk Treatment Process) หมายถง แผนการจดการความเสยง

ตารางท� 4.8 ตารางสรปผลการดาเนนการในการบรหารจดการความเสยง

Sq. Threat

1 HW Lease Line Router No.1


โปรโตคอลทใชในการเขาถงระบบไมปลอดภย

สง A 9.4.2 กาหนดใหใชโปรโตคอลทมความปลอดภยในการเขาถงขอมล

Reduction แลวเสรจ 100% IT, Network Service Provider


อปกรณถกสวมสทธในการเขาใชงาน

ผดแลระบบไมมการ Logout หลงจากการเขาใชงาน

สง A 11.2.9 กาหนดใหระบบตดการใชงาน เมอผใชงานไมไดใชงานระบบมาระยะเวลาหนง








อปกรณไมสามารถใหบรการไดอยางตอเนอง

สญญาณลมเหลว สง A 13.1.2 จดทาสญญาการใหบรการ (SLA) ทมความยนยนมาตรฐานการบรการทสอดคลองกบขอกาหนดความม นคงสารสนเทศขององคกร

Reduction แลวเสรจ 100% IT

Asset Vulnerability RTP Status Progress ResponibleType Risk

Response

Risk

Level

Control RTP

78

Sq. ThreatAsset Vulnerability RTP Status Progress ResponibleType Risk Response

Risk Level

Control RTP

5 HW Core Switch No.1 อปกรณถกแกไขคาอปกรณโดยไมไดรบอนญาต




6 HW Core Switch No.2 อปกรณถกแกไขคาอปกรณโดยไมไดรบอนญาต




7 HW Core Switch No.2 อปกรณถกสวมสทธในการเขาใชงาน




8 HW Distribute Switch Factory A









Reduction แลวเสรจ 100% IT, Network Service Provider10 HW Distribute Switch

Factory Bอปกรณถกแกไขคาอปกรณโดยไมไดรบอนญาต




Factory Bอปกรณถกสวมสทธในการเขาใชงาน




Factory Cอปกรณถกแกไขคาอปกรณโดยไมไดรบอนญาต




13 HW Distribute Switch Factory C





79


Risk Level

Control RTP

14 HW UPS for Server Rack


การลมเหลวแหลงจายกระแสไฟฟา

สง จดหาแหลงจายไฟฟา ใหมอยางนอย 2 แหลง

Reduction กาลงดาเนนการ

5% ฝายบรหารและ IT

15 SW Windows Server 2003

ถกโจมตจนไมสามารถใหบรการไดไมมกระบวนการในการตดตามปรบปรง Security Patch ใหทนสมย

สง A 12.6.1 กาหนดนโยบายอพเดทแพทชและเฝาระวงการอพเดทแพทชใหลาสดเสมอ และทาการ Hardening ตามขอแนะนาและมาตรฐาน ของไมโครซอฟท



ระบบไมสามารถใหบรการหรอทางานผดพลาด หลงจากการปรบปรงเปลยนแปลง


สง A 12.1.2, A 12.1.4

บงคบใชมาตรการบรหารจดการความเปลยนแปลง (Change Management) จดใหมระบบสาหรบทดสอบแยกกบระบบจรง





สง A 12.1.2, A 12.1.4



18 SW Mail Server ระบบถกแฮก มการเขาถงโดยพอรตทไมปลอดภย

สง A 9.4.2 จดทาแผนปรบปรงการเขาถงระบบดวยพอรตทมความปลอดภย


10% IT

19 SW WorkFlow Server ระบบถกแฮก มการเขาถงโดยพอรตทไมปลอดภย

สง A 9.4.2 จดทาแผนปรบปรงการเขาถงระบบดวยพอรตทมความปลอดภย


10% IT

20 SW Manufacturing Knowlegde

ระบบถกแฮก มการเขาถงโดยพอรตทไมปลอดภย

สง A 9.4.2 กาหนดใหมการเขาถงระบบดวยพอรตทมความปลอดภย

Avoid กาลงดาเนนการ

70% IT

21 INF E-mail Data ขอมล mailbox สญหาย ไมมระบบสารองขอมลทด สง A 12.3.1 จดทาแผนสารองขอมล และมการจดเกบสอบนทกในlสถานทท พรอมท �งมการตรวจสอบอยเสมอ


80


Risk Level

Control RTP

22 INF Workflow Data ขอมลสญหาย ไมมระบบสารองขอมลทด สง A 12.3.1 จดทาแผนสารองขอมล และมการจดเกบสอบนทกในlสถานทท พรอมท �งมการตรวจสอบอยเสมอ


23 INF Workflow Data ขอมลร วไหล จากการนาสอบนทกขอมลกลบมาใชงานใหม

ขาดกระบวนการทาลายขอมลในสอบนทกขอมลกอนนากลบมาใชงานใหม หรอเลกใชงาน

สง A 8.3.2 จดทาแผนการทาลายขอมลในสอบนทกขอมลทกคร �งกอนทจะนากลบมาใชงานใหม หรอเลกใชงาน

24 INF Digital Filing Data

ขอมลสญหาย ไมมระบบสารองขอมลทด สง A 12.3.1 จดทาแผนสารองขอมล และมการจดเกบสอบนทกในlสถานทท พรอมท �งมการตรวจสอบอยเสมอ


25 INF ERP Data ขอมลสญหาย ไมมระบบสารองขอมลทด สง A 12.3.1 จดทาแผนสารองขอมล และมการจดเกบสอบนทกในlสถานทท พรอมท �งมการตรวจสอบอยเสมอ


26 INF Log Data เวลาขอมล Log ไมถกตองชดเจน

เวลาทบนทก คาไมตรงกบแหลงอางองทไดมาตรฐานสากล

สง A 12.4.4 ตดต �ง NTP Server และจดทาแผนการตรวจสอบ พรอมท �งเฝาระวงความถกตองของเวลาใหตรงกบแหลงอางองทไดมาตราฐาน


27 HW Mail Server อปกรณชารดเสยหาย ไมมกระบวนการการบารงรกษา และเฝาระวงตดตาม

ปานกลาง A 11.2.4 จดทาแผนการซอมบารง หรอทาสญญาการซอมบารงกบผจาหนายอปกรณ พรอมม SLA


28 HW Mail Server อปกรณไมสามารถใหบรการไดอยางเนอง

การลมเหลวของกระแสไฟฟา ปานกลาง A 11.2.2 มการตดต �งเครองสารองไฟ ทสามารถสารองไฟใหได 4 ช วโมง


81


Risk Level

Control RTP

29 HW Mail Server ทรพยากรระบบไมเพยงพอตอการใชงาน


ปานกลาง A 12.1.3 มกระบวนการตรวจสอบและประเมนระดบการทางานของ CPU, Memory, Storage และ Network Utilization ท �งในปจจบนและประเมนอตราการใชงานในอนาคต


30 HW ERP Server Production

อปกรณไมสามารถใหบรการไดอยางเนอง



31 HW WorkFlow & Digital Filing Server









ประสทธภาพการทางานของระบบลดลง




34 HW Backup Server อปกรณชารดเสยหาย ไมมกระบวนการการบารงรกษา และเฝาระวงตดตาม


Avoid แลวเสรจ 100% IT

35 HW Backup Server อปกรณไมสามารถใหบรการไดอยางเนอง



82


Risk Level

Control RTP

36 HW PLM Server อปกรณชารดเสยหาย ไมมกระบวนการการบารงรกษา และเฝาระวงตดตาม



37 HW PLM Server อปกรณไมสามารถใหบรการไดอยางเนอง



38 HW PLM Server ประสทธภาพการทางานของระบบลดลง




39 HW CAD-CAM Server อปกรณชารดเสยหาย ไมมกระบวนการการบารงรกษา และเฝาระวงตดตาม



40 HW CAD-CAM Server อปกรณไมสามารถใหบรการไดอยางเนอง

การลมเหลวของกระแสไฟฟา ปานกลาง A 11.2.2 มการตดต �งเครองสารองไฟ Reduction แลวเสรจ 100% IT

41 HW CAD-CAM Server ประสทธภาพการทางานของระบบลดลง




83


Risk Level

Control RTP

42 HW File Sharing Server













45 HW Internet Log Server




50% IT

46 HW Internet Log Server







84


Risk Level

Control RTP


ถกขโมย สญหายหรอถกทาลาย

ไมมการปองกน-ควบคมการเขาถงทางกายภาพ

ปานกลาง A 11.1.1, A 11.1.2, A 11.1.3, A 11.1.4,A 11.1.6, A 11.2.1

ตดต �งในหองเครองแมขาย ซงมการแยกออกจากพ�นทการทางานอยางชดเจน มกาแพงร �วรอบขอบชด มมาตรการควบคมการเขาออกหองเครองแมขาย ซงเขาออกไดเฉพาะผทไดรบอนญาต โดยมเจาหนาทรกษาความปลอดภย ประต 3 ช �น มการตดต �ง Access Control และกลองวงจรปดตรวจจบความเคลอนไหว พรอมท �งมการตรวจสอบอยเสมอ









ปานกลาง A 11.2.9 กาหนดใหระบบตดการใชงาน เมอผใชงานไมไดใชงานระบบมาระยะเวลาหนง










85


Risk Level

Control RTP



เนองจากขาดการตรวจสอบทรพยากรระบบ



90% IT

54 HW Core Switch No.1 อปกรณชารดเสยหาย ไมมกระบวนการการบารงรกษา และเฝาระวงตดตาม



55 HW Core Switch No.1 อปกรณไมสามารถใหบรการไดอยางตอเนอง



56 HW Core Switch No.1 อปกรณถกสวมสทธในการเขาใชงาน


ปานกลาง A 11.2.9 กาหนดใหระบบตดการใชงาน เมอผใชงานไมไดใชงานระบบมาระยะเวลาหนง


57 HW Core Switch No.2 อปกรณชารดเสยหาย ไมมกระบวนการการบารงรกษา และเฝาระวงตดตาม



58 HW Core Switch No.2 อปกรณไมสามารถใหบรการไดอยางตอเนอง







86


Risk Level

Control RTP




61 HW Distribute Switch Factory B




62 HW Distribute Switch Factory B










65 HW Air Conditioner No.1


การลมเหลวของกระแสไฟฟา ปานกลาง A 11.2.2 รองขอการตดต �งแหลงจายไฟฟาจาก 2 แหลงจาย จากฝายสานกงาน



66 HW Air Conditioner No.2


การลมเหลวของกระแสไฟฟา ปานกลาง A 11.2.2 รองขอการตดต �งแหลงจายไฟฟาจาก 2 แหลงจาย จากฝายสานกงาน



67 HW UPS for Server Rack


ปานกลาง A 11.2.4 จดทาแผนการซอมบารง หรอทาสญญาการซอมบารงกบผจาหนายอปกรณ


87


Risk Level

Control RTP


ถกเขาถงโดยผไมไดรบอนญาต ขาดนโยบายการต �งรหสผาน (password) ทเหมาะสม

ปานกลาง A 9.4.3 กาหนดนโยบายบรหารจดการบญชรายชอผใชงาน กาหนดนโยบายการต �งรหสผาน และบงคบใชรหสผานทยากตอการคาดเดายาวอยางนอย 8 ตวอกษร ผสมท �งอกษรพมพเลก-ใหญ, สญลกษณ และตวเลขอยางนอย 3 อยาง และเปลยน



ถกเขาถงโดยผไมมสทธ xใชงาน ไมมการถอดสทธ x เมอมการเปลยนแปลงหนาทรบผดชอบ

ปานกลาง A 9.2.1, A 9.2.5, A 9.2.6

ทาการทบทวนสทธ xของผใชงานในระบบตามระยะเวลาทกาหนด และลบหรอถอดถอนสทธ xทนททมการลาออก หรอเปลยนหนาทรบผดชอบ



คนไมมสทธ xเขาไปแกไขระบบ ผดแลระบบไมทาการ Logout หลงการใชงาน

ปานกลาง A 9.4.2 กาหนดนโยบายการเขา และออกจากระบบ โดยใหมการ Logout อตโนมต




ปานกลาง A 12.2 ตดต �งซอฟทแวรปองกนไวรส Update definition ใหลาสดเสมอ มกระบวนการตรวจสอบ รวมท �งมมาตรการกคนหากเกดการแพรกระจายจากโปรแกรมไมประสงคด และสรางความตระหนกกบผทเกยวของ



การแกไขคาตดต �ง (Configuration) ผดพลาด ทาใหระบบทางานผดพลาด

ไมมเอกสารคมอการใชงาน ปานกลาง A 12.1.1 ไมมเอกสารคมอการใชงาน เชน System Guide, Admin Guide, User Guide และ Maintenance Guide เปนตน


88


Risk Level

Control RTP




ปานกลาง A 12.1.2, A 12.1.4




การละเมดลขสทธ xซอฟทแวร ไมมกระบวนการบรหารจดการซอฟตแวรลขสทธ x

ปานกลาง A 12.6.2 มการทบทวนการตดต �งซอฟทแวรตามสทธ xทไดรบ และปองกนการตดต �งซอฟทแวรโดยไมไดรบอนญาต การจดเกบหรอปองกนแผนซอฟทแวร รวมถงการสรางความตระหนกตอโทษของการกระทาความผด




ปานกลาง A 9.4.3 กาหนดนโยบายบรหารจดการบญชรายชอผใชงาน กาหนดนโยบายการต �งรหสผาน และบงคบใชรหสผานทยากตอการคาดเดายาวอยางนอย 8 ตวอกษร ผสมท �งอกษรพมพเลก-ใหญ, สญลกษณ และตวเลขอยางนอย 3 อยาง และเปลยนรหสผานทก 90 วน




ปานกลาง A 9.2.1, A 9.2.5, A 9.2.6



89


Risk Level

Control RTP











ปานกลาง A 12.6.1 กาหนดนโยบายอพเดทแพทชและเฝาระวงการอพเดทแพทชใหลาสดเสมอ และทาการ Hardening ตามขอแนะนาและมาตรฐาน ของไมโครซอฟท






30% IT





90


Risk Level

Control RTP







ปานกลาง A 9.2.1, A 9.2.5, A 9.2.6











91


Risk Level

Control RTP









5% IT





89 SW Linux ubuntu การละเมดลขสทธ xซอฟทแวร ไมมกระบวนการบรหารจดการซอฟตแวรลขสทธ x



90 SW Unix AIX ถกเขาถงโดยผไมไดรบอนญาต ขาดนโยบายการต �งรหสผาน (password) ทเหมาะสม

ปานกลาง A 9.4.3 กาหนดนโยบายบรหารจดการบญชรายชอผใชงาน กาหนดนโยบายการต �งรหสผาน และ


92


Risk Level

Control RTP

91 SW Unix AIX ถกเขาถงโดยผไมมสทธ xใชงาน ไมมการถอดสทธ x เมอมการเปลยนแปลงหนาทรบผดชอบ

ปานกลาง A 9.2.1, A 9.2.5, A 9.2.6



92 SW Unix AIX การใชงานเกนสทธทถกตอง ขาดกระบวนการกาหนดสทธทถกตองเหมาะสม

ปานกลาง A 9.2.3, A 9.2.4



93 SW Unix AIX การแกไขคาตดต �ง (Configuration) ผดพลาด ทาใหระบบทางานผดพลาด



94 SW Unix AIX ระบบไมสามารถใหบรการหรอทางานผดพลาด หลงจากการปรบปรงเปลยนแปลง


ปานกลาง A 12.1.2, A 12.1.4



95 SW Mail Server ถกเขาถงโดยผไมไดรบอนญาต ขาดนโยบายการต �งรหสผาน (password) ทเหมาะสม



93


Risk Level

Control RTP

96 SW Mail Server อเมลสงไมถงปลายทาง รบสงลาชา ระบบทางานผดพลาด หรอถกทาลายจากโปรแกรมทไมประสงคด


ปานกลาง A 12.2 ตดต �งซอฟทแวรปองกน Update definition ใหลาสดเสมอ มกระบวนการตรวจสอบ รวมท �งมมาตรการกคนหากเกดการแพรกระจายจากโปรแกรมไมประสงคด และสรางความตระหนกกบผทเกยวของ


97 SW Mail Server ถกโจมตจนไมสามารถใหบรการไดไมมกระบวนการในการตดตามปรบปรง Security Patch ใหทนสมย

ปานกลาง A 12.6.1 กาหนดนโยบายอพเดทแพทชและเฝาระวงการอพเดทแพทชใหลาสดเสมอ และทาการปรบปรงตามขอแนะนาและมาตรฐาน ของเจาของผลตภณฑ


98 SW Mail Server ทาการแกไขคาตดต �ง (Configuration) ผดพลาด ทาใหระบบทางานผดพลาด



99 SW Mail Server ไมสามารถตรวจสอบการใชงานยอนหลงได

ไมมกระบวนการจดเกบเกบ Log

ปานกลาง A 12.4.1 กาหนดใหมการบนทก Log แสดงขอมลการใชงานระบบ


100 SW Mail Server ระบบไมสามารถใหบรการหรอทางานผดพลาด หลงจากการปรบปรงเปลยนแปลง


ปานกลาง A 12.1.2, A 12.1.4



94


Risk Level

Control RTP

101 SW Mail Server การละเมดลขสทธ xซอฟทแวร ไมมกระบวนการบรหารจดการซอฟตแวรลขสทธ x



102 SW WorkFlow Server ถกเขาถงโดยผไมไดรบอนญาต ขาดนโยบายการต �งรหสผาน (password) ทเหมาะสม



103 SW WorkFlow Server ถกเขาถงโดยผไมมสทธ xใชงาน ไมมการถอดสทธ x เมอมการเปลยนแปลงหนาทรบผดชอบ

ปานกลาง A 9.2.1, A 9.2.5, A 9.2.6



104 SW WorkFlow Server การใชงานเกนสทธทถกตอง ขาดกระบวนการกาหนดสทธทถกตองเหมาะสม

ปานกลาง A 9.2.3, A 9.2.4



95


Risk Level

Control RTP

105 SW WorkFlow Server ระบบไมสามารถใหบรการหรอทางานผดพลาด หลงจากการปรบปรงเปลยนแปลง


ปานกลาง A 12.1.2, A 12.1.4



106 SW WorkFlow Server การละเมดลขสทธ xซอฟทแวร ไมมกระบวนการบรหารจดการซอฟตแวรลขสทธ x



107 SW Digital Filing Server

ทาการแกไขคาตดต �ง (Configuration) ผดพลาด ทาใหระบบทางานผดพลาด



108 SW Digital Filing Server






ปานกลาง A 9.4.3 กาหนดนโยบายบรหารจดการบญชรายชอผใชงาน กาหนดนโยบายการต �งรหสผาน และ


96


Risk Level

Control RTP



ปานกลาง A 9.2.1, A 9.2.5, A 9.2.6




การใชงานเกนสทธทถกตอง ขาดกระบวนการกาหนดสทธทถกตองเหมาะสม

ปานกลาง A 9.2.3, A 9.2.4






ปานกลาง A 12.1.1 ไมมเอกสารคมอการใชงาน เชน System Guide, Admin Guide, User Guide และ Maintenance Guide เปนตน






97


Risk Level

Control RTP

114 SW CAD-CAM Server ถกเขาถงโดยผไมไดรบอนญาต ขาดนโยบายการต �งรหสผาน (password) ทเหมาะสม



115 SW CAD-CAM Server ถกเขาถงโดยผไมมสทธ xใชงาน ไมมการถอดสทธ x เมอมการเปลยนแปลงหนาทรบผดชอบ

ปานกลาง A 9.2.1, A 9.2.5, A 9.2.6



116 SW CAD-CAM Server การใชงานเกนสทธทถกตอง ขาดกระบวนการกาหนดสทธทถกตองเหมาะสม

ปานกลาง A 9.2.3, A 9.2.4



117 SW CAD-CAM Server การละเมดลขสทธ xซอฟทแวร ไมมกระบวนการบรหารจดการซอฟตแวรลขสทธ x



98


Risk Level

Control RTP

118 SW Aniti Virus Server การละเมดลขสทธ xซอฟทแวร ไมมกระบวนการบรหารจดการซอฟตแวรลขสทธ x



119 SW SQL Server ถกโจมตจนไมสามารถใหบรการไดไมมกระบวนการในการตดตามปรบปรง Security Patch ใหทนสมย



120 SW SQL Server ทาการแกไขคาตดต �ง (Configuration) ผดพลาด ทาใหระบบทางานผดพลาด



50% IT, Service Provider

121 SW SQL Server การละเมดลขสทธ xซอฟทแวร ไมมกระบวนการบรหารจดการซอฟตแวรลขสทธ x



122 INF E-mail Data ขอมลร วไหลจากการถกดกจบระหวางการรบ-สง

ผใชงานขาดความรความเขาใจเรองการปองกนขอมลร วไหล

ปานกลาง A 18.1.5 สรางความรความเขาใจการปองกนขอมลร วไหลและตระหนกถงความสาคญในการเขารหสขอมลทสาคญทกคร �งกอนสงเมล


99


Risk Level

Control RTP

123 INF E-mail Data ขอมลมเน�อหาละเมดกฎหมาย และขอกาหนดขององคกร

ผใชงานขาดความรความเขาใจในกฏหมายทเกยวของ

ปานกลาง A 18.1.3 สรางความรความเขาใจในเรองกฎหมายทเกยวของ และกาหนดบทลงโทษทางวนยสาหรบผทละเมด


124 INF E-mail Data ขอมลร วไหล จากการนาขอมลจรงไปใชในการทดสอบ


ปานกลาง A 14.3.1 ผดแลระบบจะตองคดเลอกขอมลจรงเทาทจาเปนเทาน �น เพอนาไปทดสอบระบบ และตองขออนมตจากผบงคบบญชาทกคร �ง


125 INF ERP Data ขอมลร วไหล จากการนาสอบนทกขอมลกลบมาใชงานใหม

ขาดกระบวนการทาลายขอมลในสอบนทกขอมลกอนนากลบมาใชงานใหม หรอเลกใชงาน

ปานกลาง A 8.3.2 จดทาแผนการทาลายขอมลในสอบนทกขอมลทกคร �งกอนทจะนากลบมาใชงานใหม หรอเลกใชงาน


126 INF ERP Data ถกเขาถง และแกไข เปลยนแปลง โดยผไมมสทธ xใชงาน

ไมมการถอดสทธ x เมอมการเปลยนแปลงหนาทรบผดชอบ

ปานกลาง A 9.2.1, A 9.2.5, A 9.2.6



127 INF ERP Data ขอมลร วไหล จากการนาขอมลจรงไปใชในการทดสอบ


ปานกลาง A 14.3.1 ผดแลระบบจะตองคดเลอกขอมลจรงเทาทจาเปนเทาน �น เพอนาไปทดสอบระบบ และตองขออนมตจากผบงคบบญชาทกคร �ง


128 INF Log Data ขอมลสญหาย ไมมระบบสารองขอมล ปานกลาง A 12.3.1 จดทาแผนสารองขอมล และมการจดเกบสอบนทกในlสถานทท พรอมท �งมการตรวจสอบอยเสมอ


100% IT

100


Risk Level

Control RTP

129 INF Log Data ถกเขาถง และแกไข เปลยนแปลง โดยผไมมสทธ xใชงาน

ไมมการถอดสทธ x เมอมการเปลยนแปลงหนาทรบผดชอบ

ปานกลาง A 9.2.1, A 9.2.5, A 9.2.6



130 SE Telecommunication Service Providor

การบรการหยดชะงก เนองจากสญญาเชาใชหมดอาย หรอผดขอตกลงในสญญาบรการ


ปานกลาง A 15.1.1,A 15.1.3

จดทาแผนการตรวจสอบอายสญญาบรการอยางนอยปละคร �ง และดาเนนการตออายสญญากอนสญญาหมดอาย





ปานกลาง A 15.2.1 จดทาแผนการตดตาม ทบทวนและตรวจประเมนการใหบรการทกๆ 3 เดอน



ถกเปดเผยขอมล หรอขอมลร วไหล

ไมมการจดทาสญญาไมเปดเผยขอมล

ปานกลาง A 15.1.2 มการจดทาสญญาไมเปดเผยขอมลกบผใหบรการภายนอก

Reduction แลวเสรจ 100% IT, Service Provider

133 SE Network Service Providor





134 SE Network Service Providor





101


Risk Level

Control RTP

135 SE Application Service





136 SE Application Service




Reduction แลวเสรจ 100% IT, Service Provider

137 PE Top Executive ใชงานระบบสารสนเทศผดพลาด

ขาดความเขาใจและความตระหนกในการใชงาน

ปานกลาง A 7.2.1 อบรมสรางความรความเขาใจและความตระหนกในการใชงานสารสนเทศทมความม นคงปลอดภย


138 PE Top Executive ละเมดนโยบายความม นคงสารสนเทศ เนองจากละเลย หรอโดยจงใจ

ความรความเขาใจในนโยบายความม นคงสารสนเทศ

ปานกลาง A 5.1.1, A 7.2.2

จดนโยบายความม นคงสารสนเทศเปนลายลกษณอกษร ซงวาดวยระเบยบปฏบต ขอบงคบ พรอมท �งบทลงโทษ ซงอนมตโดยผบรหารทมอานาจ และเผยแพร สอสารกบผเกยวของ


139 PE Manager ใชงานระบบสารสนเทศผดพลาด




140 PE Manager ละเมดนโยบายความม นคงสารสนเทศ เนองจากละเลย หรอโดยจงใจ


ปานกลาง A 5.1.1, A 7.2.2



102


Risk Level

Control RTP

141 PE Developer ใชงานระบบสารสนเทศผดพลาด




142 PE Developer ละเมดนโยบายความม นคงสารสนเทศ เนองจากละเลย หรอโดยจงใจ


ปานกลาง A 5.1.1, A 7.2.2



143 PE System Administrator

ใชงานระบบสารสนเทศผดพลาด




144 PE System Administrator

ละเมดนโยบายความม นคงสารสนเทศ เนองจากละเลย หรอโดยจงใจ


ปานกลาง A 5.1.1, A 7.2.2



145 PE User ใชงานระบบสารสนเทศผดพลาด




103


Risk Level

Control RTP

146 PE User ละเมดนโยบายความม นคงสารสนเทศ เนองจากละเลย หรอโดยจงใจ


ปานกลาง A 5.1.1, A 7.2.2



104

4.4 สรปผลการประเมนความเส�ยงทรพยสน หลงดาเนนการโครงงาน

4.4.1 ผลการประเมนความเส�ยงประเภทฮารดแวร หลงดาเนนการโครงงาน

ภยคกคาม (Threat)F O R C

1 Hardware Mail Server อปกรณชารดเสยหาย ไมมกระบวนการการบารงรกษา และเฝาระวงตดตาม

4 5 1 1 1 ต0า A 11.2.4 จดทาแผนการซอมบารง หรอทาสญญาการซอมบารงกบผจาหนายอปกรณ พรอมม SLA

2 Hardware Mail Server ถกขโมย สญหายหรอถกทาลาย ไมมการปองกน-ควบคมการเขาถงทางกายภาพ

4 5 1 1 1 ต0า A 11.1.1, A 11.1.2, A 11.1.3, A 11.1.4,A 11.1.6, A 11.2.1

ตดต Gงในหองเคร0องแมขาย ซ0งมการแยกออกจากพGนท0การทางานอยางชดเจน มกาแพงร Gวรอบขอบชด มมาตรการควบคมการเขาออกหองเคร0องแมขาย ซ0งเขาออกไดเฉพาะผท0ไดรบอนญาต โดยมเจาหนาท0รกษาความปลอดภย ประต 3 ช Gน มการตดต Gง Access Control และกลองวงจรปดตรวจจบความเคล0อนไหว พรอมท Gงมการตรวจสอบอยเสมอ

3 Hardware Mail Server อปกรณไมสามารถใหบรการไดอยางเน0อง

การลมเหลวของกระแสไฟฟา 1 5 1 1 1 ต0า A 11.2.2 มการตดต Gงเคร0องสารองไฟ ท0สามารถสารองไฟใหได 4 ช 0วโมง

4 Hardware Mail Server ทรพยากรระบบไมเพยงพอตอการใชงาน


2 5 1 2 1 ต0ามาก A 12.1.3 มกระบวนการตรวจสอบและประเมนระดบการทางานของ CPU, Memory, Storage และ Network Utilization ท Gงในปจจบนและประเมนอตราการใชงานในอนาคต


ตารางท0 4.9 ตารางผลการประเมนความเส0ยงทรพยสนประเภทฮารดแวร หลงดาเนนการโครงงานระดบความ

เส�ยง

ผลการทบดานตางๆ โอกาสลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability) มาตรการ

ควบคม

105


มาตรการ

ควบคม

แผนการจดการความเส�ยงปจจบนระดบความ

เส�ยง

ผลการทบดานตางๆ โอกาสลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability)






4 5 1 1 1 ต0า A 11.1.1, A 11.1.2, A 11.1.3, A 11.1.4,A 11.1.6, A 11.2.1



อปกรณไมสามารถใหบรการไดอยางเน0อง





2 5 1 1 1 ต0า A 12.1.3 มกระบวนการตรวจสอบและประเมนระดบการทางานของ CPU, Memory, Storage และ Network Utilization ท Gงในปจจบนและประเมนอตราการใชงานในอนาคต




106



ควบคม


เส�ยง




4 5 1 3 1 ต0า A 11.1.1, A 11.1.2, A 11.1.3, A 11.1.4,A 11.1.6, A 11.2.1









13 Hardware Backup Server อปกรณชารดเสยหาย ไมมกระบวนการการบารงรกษา และเฝาระวงตดตาม

1 1 1 1 1 ต0ามาก A 11.2.4 จดทาแผนการซอมบารง หรอทาสญญาการซอมบารงกบผจาหนายอปกรณ พรอมม SLA

107



ควบคม


เส�ยง


14 Hardware Backup Server ถกขโมย สญหายหรอถกทาลาย ไมมการปองกน-ควบคมการเขาถงทางกายภาพ

1 5 1 1 1 ต0า A 11.1.1, A 11.1.2, A 11.1.3, A 11.1.4,A 11.1.6, A 11.2.1


15 Hardware Backup Server อปกรณไมสามารถใหบรการไดอยางเน0อง

การลมเหลวของกระแสไฟฟา 1 1 1 1 1 ต0ามาก A 11.2.2 มการตดต Gงเคร0องสารองไฟ ท0สามารถสารองไฟใหได 4 ช 0วโมง

16 Hardware Backup Server ประสทธภาพการทางานของระบบลดลง






108



ควบคม


เส�ยง




2 2 1 1 1 ต0ามาก A 11.1.1, A 11.1.2, A 11.1.3, A 11.1.4,A 11.1.6, A 11.2.1




การลมเหลวของกระแสไฟฟา 1 1 1 1 4 ต0ามาก A 11.2.2 มการตดต Gงเคร0องสารองไฟ





21 Hardware PLM Server อปกรณชารดเสยหาย ไมมกระบวนการการบารงรกษา และเฝาระวงตดตาม


109



ควบคม


เส�ยง


22 Hardware PLM Server ถกขโมย สญหายหรอถกทาลาย ไมมการปองกน-ควบคมการเขาถงทางกายภาพ

4 5 1 1 1 ต0า A 11.1.1, A 11.1.2, A 11.1.3, A 11.1.4,A 11.1.6, A 11.2.1


23 Hardware PLM Server อปกรณไมสามารถใหบรการไดอยางเน0อง


24 Hardware PLM Server ประสทธภาพการทางานของระบบลดลง



25 Hardware CAD-CAM Server อปกรณชารดเสยหาย ไมมกระบวนการการบารงรกษา และเฝาระวงตดตาม


110



ควบคม


เส�ยง


26 Hardware CAD-CAM Server ถกขโมย สญหายหรอถกทาลาย ไมมการปองกน-ควบคมการเขาถงทางกายภาพ

2 5 1 1 1 ต0า A 11.1.1, A 11.1.2, A 11.1.3, A 11.1.4,A 11.1.6, A 11.2.1


27 Hardware CAD-CAM Server อปกรณไมสามารถใหบรการไดอยางเน0อง

การลมเหลวของกระแสไฟฟา 1 5 1 1 1 ต0า A 11.2.2 มการตดต Gงเคร0องสารองไฟ

28 Hardware CAD-CAM Server ประสทธภาพการทางานของระบบลดลง



29 Hardware File Sharing Server อปกรณชารดเสยหาย ไมมกระบวนการการบารงรกษา และเฝาระวงตดตาม


111



ควบคม


เส�ยง


30 Hardware File Sharing Server ถกขโมย สญหายหรอถกทาลาย ไมมการปองกน-ควบคมการเขาถงทางกายภาพ

2 5 1 2 1 ต0า A 11.1.1, A 11.1.2, A 11.1.3, A 11.1.4,A 11.1.6, A 11.2.1


31 Hardware File Sharing Server อปกรณสญหาย ขาดกระบวนการบรหารจดการทรพย

2 5 1 2 1 ต0า A 8.1.1, A 8.1.2, A 8.1.3

มการจดทาทะเบยนทรพยสน ระบผรบผดชอบ

32 Hardware File Sharing Server อปกรณไมสามารถใหบรการไดอยางเน0อง


33 Hardware File Sharing Server ประสทธภาพการทางานของระบบลดลง



34 Hardware Internet Log Server อปกรณชารดเสยหาย ไมมกระบวนการการบารงรกษา และเฝาระวงตดตาม


112



ควบคม


เส�ยง


35 Hardware Internet Log Server ถกขโมย สญหายหรอถกทาลาย ไมมการปองกน-ควบคมการเขาถงทางกายภาพ

1 1 1 5 1 ต0า A 11.1.1, A 11.1.2, A 11.1.3, A 11.1.4,A 11.1.6, A 11.2.1


36 Hardware Internet Log Server อปกรณไมสามารถใหบรการไดอยางเน0อง


37 Hardware Internet Log Server ประสทธภาพการทางานของระบบลดลง






113



ควบคม


เส�ยง




1 5 1 1 1 ต0า A 11.1.1, A 11.1.2, A 11.1.3, A 11.1.4,A 11.1.6, A 11.2.1



อปกรณไมสามารถใหบรการไดอยางตอเน0อง

สญญาณลมเหลว 1 5 1 1 1 ต0า A 13.1.2 จดทาสญญาการใหบรการ (SLA) ท0มความยนยนมาตรฐานการบรการท0สอดคลองกบขอกาหนดความม 0นคงสารสนเทศขององคกร






เน0องจากขาดการตรวจสอบทรพยากรระบบ




โปรโตคอลท0ใชในการเขาถงระบบไมปลอดภย

1 5 1 1 1 ต0า A 9.4.2 กาหนดใหใชโปรโตคอลท0มความปลอดภยในการเขาถงขอมล

114



ควบคม


เส�ยง





1 5 1 1 1 ต0า A 11.2.9 กาหนดใหระบบตดการใชงาน เม0อผใชงานไมไดใชงานระบบมาระยะเวลาหน0ง



ไมมการเกบ Log 1 1 1 5 1 ต0า A 12.4.1 กาหนดใหมการบนทก Log แสดงขอมลการใชงานระบบ






1 5 1 1 1 ต0า A 11.1.1, A 11.1.2, A 11.1.3, A 11.1.4,A 11.1.6, A 11.2.1





115



ควบคม


เส�ยง























116



ควบคม


เส�ยง




1 5 1 1 1 ต0า A 11.1.1, A 11.1.2, A 11.1.3, A 11.1.4,A 11.1.6, A 11.2.1
















117



ควบคม


เส�ยง









62 Hardware ADSL Router อปกรณชารดเสยหาย ไมมกระบวนการการบารงรกษา และเฝาระวงตดตาม


63 Hardware ADSL Router ถกขโมย สญหายหรอถกทาลาย ไมมการปองกน-ควบคมการเขาถงทางกายภาพ

1 1 1 1 1 ต0ามาก A 11.1.1, A 11.1.2, A 11.1.3, A 11.1.4,A 11.1.6, A 11.2.1


64 Hardware ADSL Router อปกรณไมสามารถใหบรการไดอยางตอเน0อง

สญญาณลมเหลว 1 1 1 1 4 ต0ามาก A 11.2.2 มการตดต Gงเคร0องสารองไฟ ท0สามารถสารองไฟใหได 4 ช 0วโมง

118



ควบคม


เส�ยง


65 Hardware ADSL Router อปกรณไมสามารถใหบรการไดอยางตอเน0อง

การลมเหลวของกระแสไฟฟา 1 1 1 1 4 ต0ามาก A 13.1.2 จดทาสญญาการใหบรการ (SLA) ท0มความยนยนมาตรฐานการบรการท0สอดคลองกบขอกาหนดความม 0นคงสารสนเทศขององคกร




3 5 1 1 1 ต0า A 11.1.1, A 11.1.2, A 11.1.3, A 11.1.4,A 11.1.6, A 11.2.1


68 Hardware Core Switch No.1 อปกรณไมสามารถใหบรการไดอยางตอเน0อง





70 Hardware Core Switch No.1 อปกรณถกสวมสทธในการเขาใชงาน



119



ควบคม


เส�ยง



ไมมการเกบ Log 1 1 1 2 2 ต0ามาก A 12.4.1 กาหนดใหมการบนทก Log แสดงขอมลการใชงานระบบ




3 5 1 1 1 ต0า A 11.1.1, A 11.1.2, A 11.1.3, A 11.1.4,A 11.1.6, A 11.2.1


74 Hardware Core Switch No.2 อปกรณไมสามารถใหบรการไดอยางตอเน0อง





76 Hardware Core Switch No.2 อปกรณถกสวมสทธในการเขาใชงาน


1 5 1 1 2 ปานกลาง A 11.2.9 กาหนดใหระบบตดการใชงาน เม0อผใชงานไมไดใชงานระบบมาระยะเวลาหน0ง

120



ควบคม


เส�ยง









1 4 1 1 1 ต0ามาก A 11.1.1, A 11.1.2, A 11.1.3, A 11.1.4,A 11.1.6, A 11.2.1








1 4 1 1 1 ต0ามาก A 9.4.2 กาหนดใหใชโปรโตคอลท0มความปลอดภยในการเขาถงขอมล




1 1 1 4 1 ต0ามาก A 11.2.9 กาหนดใหระบบตดการใชงาน เม0อผใชงานไมไดใชงานระบบมาระยะเวลาหน0ง

121



ควบคม


เส�ยง










1 4 1 1 1 ต0ามาก A 11.1.1, A 11.1.2, A 11.1.3, A 11.1.4,A 11.1.6, A 11.2.1













122



ควบคม


เส�ยง










1 4 1 1 1 ต0ามาก A 11.1.1, A 11.1.2, A 11.1.3, A 11.1.4,A 11.1.6, A 11.2.1













123



ควบคม


เส�ยง










1 1 1 1 1 ต0ามาก A 11.1.1, A 11.1.2, A 11.1.3, A 11.1.4,A 11.1.6, A 11.2.1









100 Hardware Access Switch for Café




124



ควบคม


เส�ยง


101 Hardware Air Conditioner No.1


1 1 1 1 2 ต0ามาก A 11.2.4 จดทาแผนการซอมบารง หรอทาสญญาการซอมบารงกบผจาหนายอปกรณ






2 4 1 1 1 ต0ามาก A 11.2.4 มกระบวนการตรวจสอบและควบคมอณภมใหเหมาะสม ซ0งอยระหวาง 20-24 C



1 1 1 1 1 ต0ามาก A 11.2.4 จดทาแผนการซอมบารง หรอทาสญญาการซอมบารงกบผจาหนายอปกรณ






2 4 1 1 1 ต0ามาก A 11.2.4 มกระบวนการตรวจสอบและควบคมอณภมใหเหมาะสม ซ0งอยระหวาง 20-24 C

107 Hardware UPS for Server Rack


3 4 1 1 2 ต0า A 11.2.4 จดทาแผนการซอมบารง หรอทาสญญาการซอมบารงกบผจาหนายอปกรณ



3 4 2 3 1 ต0ามาก A 11.1.2 มมาตรการควบคมการเขาออกหองศนยขอมล โดยมเจาหนาท0รกษาความปลอดภย ประต 3 ช Gน พรอมท Gงตดต Gงกลองวงจรปด



การลมเหลวแหลงจายกระแสไฟฟา 1 5 1 1 4 สง จดหาแหลงจายไฟฟา ใหมอยางนอย 2 แหลง

125

4.4.2 ผลการประเมนความเส�ยงทรพยสนประเภทซอฟทแวร หลงดาเนนการโครงงาน



ถกเขาถงโดยผไมไดรบอนญาต ขาดนโยบายการต ,งรหสผาน (password) ท4เหมาะสม




1 4 1 3 2 ต4า A 9.2.1, A 9.2.5, A 9.2.6



คนไมมสทธ Nเขาไปแกไขระบบ ผดแลระบบไมทาการ Logout หลงการใชงาน




1 1 1 1 1 ต4ามาก A 12.2 ตดต ,งซอฟทแวรปองกนไวรส Update definition ใหลาสดเสมอ มกระบวนการตรวจสอบ รวมท ,งมมาตรการกคนหากเกดการแพรกระจายจากโปรแกรมไมประสงคด และสรางความตระหนกกบผท4เก4ยวของ


ควบคม

แผนการจดการความเส�ยงปจจบนผลการทบดานตางๆ โอกาส ระดบความ

เส�ยง

ตารางท4 4.10 ตารางผลการประเมนความเส4ยงทรพยสนประเภทซอฟทแวร หลงดาเนนการโครงงานลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability)

126



ควบคม


เส�ยง

ลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability)










1 1 1 1 1 ต4ามาก A 12.1.2, A 12.1.4




1 1 1 1 1 ต4ามาก A 12.6.2 มการทบทวนการตดต ,งซอฟทแวรตามสทธ Nท4ไดรบ และปองกนการตดต ,งซอฟทแวรโดยไมไดรบอนญาต การจดเกบหรอปองกนแผนซอฟทแวร รวมถงการสรางความตระหนกตอโทษของการกระทาความผด

127



ควบคม


เส�ยง







1 5 1 3 1 ต4า A 9.2.1, A 9.2.5, A 9.2.6







1 5 1 1 1 ต4า A 12.2 ตดต ,งซอฟทแวรปองกนไวรส Update definition ใหลาสดเสมอ มกระบวนการตรวจสอบ รวมท ,งมมาตรการกคนหากเกดการแพรกระจายจากโปรแกรมไมประสงคด และสรางความตระหนกกบผท4เก4ยวของ

128



ควบคม


เส�ยง











1 5 1 1 1 ต4า A 12.1.2, A 12.1.4








129



ควบคม


เส�ยง




1 5 1 3 1 ต4า A 9.2.1, A 9.2.5, A 9.2.6







1 5 1 1 1 ต4า A 12.2 ตดต ,งซอฟทแวรปองกนไวรส Update definition ใหลาสดเสมอ มกระบวนการตรวจสอบ รวมท ,งมมาตรการกคนหากเกดการแพรกระจายจากโปรแกรมไมประสงคด และสรางความตระหนกกบผท4เก4ยวของ










1 5 1 1 1 ต4า A 12.1.2, A 12.1.4


130



ควบคม


เส�ยง





134 Software Linux ubuntu ถกเขาถงโดยผไมไดรบอนญาต ขาดนโยบายการต ,งรหสผาน (password) ท4เหมาะสม


135 Software Linux ubuntu ถกเขาถงโดยผไมมสทธ Nใชงาน ไมมการถอดสทธ N เม4อมการเปล4ยนแปลงหนาท4รบผดชอบ

1 1 1 2 2 ต4ามาก A 9.2.1, A 9.2.5, A 9.2.6


136 Software Linux ubuntu คนไมมสทธ Nเขาไปแกไขระบบ ผดแลระบบไมทาการ Logout หลงการใชงาน

1 1 1 2 2 ต4ามาก A 9.4.2 กาหนดนโยบายการเขา และออกจากระบบ โดยใหมการ Logout อตโนมต

131



ควบคม


เส�ยง


137 Software Linux ubuntu ไวรสคอมพวเตอรแพรกระจาย Scan Engine และ Virus Definition ของซอฟทแวร Anti-Virus ไมอพเดท

1 1 1 2 1 ต4ามาก A 12.2 ตดต ,งซอฟทแวรปองกนไวรส Update definition ใหลาสดเสมอ มกระบวนการตรวจสอบ รวมท ,งมมาตรการกคนหากเกดการแพรกระจายจากโปรแกรมไมประสงคด และสรางความตระหนกกบผท4เก4ยวของ

138 Software Linux ubuntu ถกโจมตจนไมสามารถใหบรการได ไมมกระบวนการในการตดตามปรบปรง Security Patch ใหทนสมย

1 1 1 2 2 ต4ามาก A 12.6.1 กาหนดนโยบายอพเดทแพทชและเฝาระวงการอพเดทแพทชใหลาสดเสมอ และทาการ Hardening ตามขอแนะนาและมาตรฐาน ของไมโครซอฟท

139 Software Linux ubuntu การแกไขคาตดต ,ง (Configuration) ผดพลาด ทาใหระบบทางานผดพลาด


140 Software Linux ubuntu ระบบไมสามารถใหบรการหรอทางานผดพลาด หลงจากการปรบปรงเปล4ยนแปลง


1 1 1 2 2 ต4ามาก A 12.1.2, A 12.1.4


141 Software Linux ubuntu การละเมดลขสทธ Nซอฟทแวร ไมมกระบวนการบรหารจดการซอฟตแวรลขสทธ N


132



ควบคม


เส�ยง


142 Software Unix AIX ถกเขาถงโดยผไมไดรบอนญาต ขาดนโยบายการต ,งรหสผาน (password) ท4เหมาะสม


143 Software Unix AIX ถกเขาถงโดยผไมมสทธ Nใชงาน ไมมการถอดสทธ N เม4อมการเปล4ยนแปลงหนาท4รบผดชอบ

1 5 1 3 1 ต4า A 9.2.1, A 9.2.5, A 9.2.6


144 Software Unix AIX การใชงานเกนสทธท4ถกตอง ขาดกระบวนการกาหนดสทธท4ถกตองเหมาะสม

1 5 1 3 1 ต4า A 9.2.3, A 9.2.4


145 Software Unix AIX คนไมมสทธ Nเขาไปแกไขระบบ ผดแลระบบไมทาการ Logout หลงการใชงาน


133



ควบคม


เส�ยง


146 Software Unix AIX ไวรสคอมพวเตอรแพรกระจาย Scan Engine และ Virus Definition ของซอฟทแวร Anti-Virus ไมอพเดท

1 5 1 1 1 ต4า A 12.2 ตดต ,งซอฟทแวรปองกน Update definition ใหลาสดเสมอ มกระบวนการตรวจสอบ รวมท ,งมมาตรการกคนหากเกดการแพรกระจายจากโปรแกรมไมประสงคด และสรางความตระหนกกบผท4เก4ยวของ

147 Software Unix AIX ถกโจมตจนไมสามารถใหบรการได ไมมกระบวนการในการตดตามปรบปรง Security Patch ใหทนสมย


148 Software Unix AIX การแกไขคาตดต ,ง (Configuration) ผดพลาด ทาใหระบบทางานผดพลาด


149 Software Unix AIX ระบบไมสามารถใหบรการหรอทางานผดพลาด หลงจากการปรบปรงเปล4ยนแปลง


1 5 1 2 2 ปานกลาง A 12.1.2, A 12.1.4


150 Software Unix AIX การละเมดลขสทธ Nซอฟทแวร ไมมกระบวนการบรหารจดการซอฟตแวรลขสทธ N


134



ควบคม


เส�ยง


151 Software Mail Server ถกเขาถงโดยผไมไดรบอนญาต ขาดนโยบายการต ,งรหสผาน (password) ท4เหมาะสม


152 Software Mail Server ถกเขาถงโดยผไมมสทธ Nใชงาน ไมมการถอดสทธ N เม4อมการเปล4ยนแปลงหนาท4รบผดชอบ

1 4 2 3 2 ต4า A 9.2.1, A 9.2.5, A 9.2.6


153 Software Mail Server การใชงานเกนสทธท4ถกตอง ขาดกระบวนการกาหนดสทธท4ถกตองเหมาะสม

1 3 2 3 2 ต4า A 9.2.3, A 9.2.4


154 Software Mail Server อเมลสงไมถงปลายทาง รบสงลาชา ระบบทางานผดพลาด หรอถกทาลายจากโปรแกรมท4ไมประสงคด


1 5 2 4 2 ปานกลาง A 12.2 ตดต ,งซอฟทแวรปองกน Update definition ใหลาสดเสมอ มกระบวนการตรวจสอบ รวมท ,งมมาตรการกคนหากเกดการแพรกระจายจากโปรแกรมไมประสงคด และสรางความตระหนกกบผท4เก4ยวของ

135



ควบคม


เส�ยง


155 Software Mail Server ถกโจมตจนไมสามารถใหบรการได ไมมกระบวนการในการตดตามปรบปรง Security Patch ใหทนสมย

1 5 2 4 2 ปานกลาง A 12.6.1 กาหนดนโยบายอพเดทแพทชและเฝาระวงการอพเดทแพทชใหลาสดเสมอ และทาการปรบปรงตามขอแนะนาและมาตรฐาน ของเจาของผลตภณฑ

156 Software Mail Server ทาการแกไขคาตดต ,ง (Configuration) ผดพลาด ทาใหระบบทางานผดพลาด


157 Software Mail Server ไมสามารถตรวจสอบการใชงานยอนหลงได


158 Software Mail Server ระบบไมสามารถใหบรการหรอทางานผดพลาด หลงจากการปรบปรงเปล4ยนแปลง


1 5 1 2 1 ต4า A 12.1.2, A 12.1.4


159 Software Mail Server ระบบถกแฮก มการเขาถงโดยพอรตท4ไมปลอดภย 4 5 1 1 5 สง A 9.4.2 จดทาแผนปรบปรงการเขาถงระบบดวยพอรตท4มความปลอดภย

160 Software Mail Server การละเมดลขสทธ Nซอฟทแวร ไมมกระบวนการบรหารจดการซอฟตแวรลขสทธ N


136



ควบคม


เส�ยง


161 Software WorkFlow Server ถกเขาถงโดยผไมไดรบอนญาต ขาดนโยบายการต ,งรหสผาน (password) ท4เหมาะสม


162 Software WorkFlow Server ถกเขาถงโดยผไมมสทธ Nใชงาน ไมมการถอดสทธ N เม4อมการเปล4ยนแปลงหนาท4รบผดชอบ

4 3 2 3 2 ต4า A 9.2.1, A 9.2.5, A 9.2.6


163 Software WorkFlow Server การใชงานเกนสทธท4ถกตอง ขาดกระบวนการกาหนดสทธท4ถกตองเหมาะสม

4 3 2 3 2 ต4า A 9.2.3, A 9.2.4


164 Software WorkFlow Server ระบบถกแฮก มการเขาถงโดยพอรตท4ไมปลอดภย 4 5 1 1 5 สง A 9.4.2 จดทาแผนปรบปรงการเขาถงระบบดวยพอรตท4มความปลอดภย

165 Software WorkFlow Server ทาการแกไขคาตดต ,ง (Configuration) ผดพลาด ทาใหระบบทางานผดพลาด


166 Software WorkFlow Server ไมสามารถตรวจสอบการใชงานยอนหลงได


137



ควบคม


เส�ยง


167 Software WorkFlow Server ระบบไมสามารถใหบรการหรอทางานผดพลาด หลงจากการปรบปรงเปล4ยนแปลง


1 5 1 2 1 ต4า A 12.1.2, A 12.1.4


168 Software WorkFlow Server การละเมดลขสทธ Nซอฟทแวร ไมมกระบวนการบรหารจดการซอฟตแวรลขสทธ N


169 Software Digital Filing Server ถกเขาถงโดยผไมไดรบอนญาต ขาดนโยบายการต ,งรหสผาน (password) ท4เหมาะสม


170 Software Digital Filing Server ถกเขาถงโดยผไมมสทธ Nใชงาน ไมมการถอดสทธ N เม4อมการเปล4ยนแปลงหนาท4รบผดชอบ

4 3 2 3 2 ต4า A 9.2.1, A 9.2.5, A 9.2.6


138



ควบคม


เส�ยง


171 Software Digital Filing Server การใชงานเกนสทธท4ถกตอง ขาดกระบวนการกาหนดสทธท4ถกตองเหมาะสม

4 3 2 3 2 ต4า A 9.2.3, A 9.2.4


172 Software Digital Filing Server ถกโจมตจนไมสามารถใหบรการได ไมมกระบวนการในการตดตามปรบปรง Security Patch ใหทนสมย


173 Software Digital Filing Server ทาการแกไขคาตดต ,ง (Configuration) ผดพลาด ทาใหระบบทางานผดพลาด


174 Software Digital Filing Server การละเมดลขสทธ Nซอฟทแวร ไมมกระบวนการบรหารจดการซอฟตแวรลขสทธ N


139



ควบคม


เส�ยง







4 4 2 3 2 ต4า A 9.2.1, A 9.2.5, A 9.2.6



การใชงานเกนสทธท4ถกตอง ขาดกระบวนการกาหนดสทธท4ถกตองเหมาะสม

4 4 2 3 2 ต4า A 9.2.3, A 9.2.4



ระบบถกแฮก มการเขาถงโดยพอรตท4ไมปลอดภย 4 4 1 1 5 สง A 9.4.2 กาหนดใหมการเขาถงระบบดวยพอรตท4มความปลอดภย




4 5 1 2 1 ต4า A 12.1.1 ไมมเอกสารคมอการใชงาน เชน System Guide, Admin Guide, User Guide และ Maintenance Guide เปนตน

140



ควบคม


เส�ยง





181 Software CAD-CAM Server ถกเขาถงโดยผไมไดรบอนญาต ขาดนโยบายการต ,งรหสผาน (password) ท4เหมาะสม


182 Software CAD-CAM Server ถกเขาถงโดยผไมมสทธ Nใชงาน ไมมการถอดสทธ N เม4อมการเปล4ยนแปลงหนาท4รบผดชอบ

1 2 1 3 2 ต4า A 9.2.1, A 9.2.5, A 9.2.6


183 Software CAD-CAM Server การใชงานเกนสทธท4ถกตอง ขาดกระบวนการกาหนดสทธท4ถกตองเหมาะสม

1 3 2 3 2 ต4า A 9.2.3, A 9.2.4


141



ควบคม


เส�ยง


184 Software CAD-CAM Server ทาการแกไขคาตดต ,ง (Configuration) ผดพลาด ทาใหระบบทางานผดพลาด

ไมมเอกสารคมอการใชงาน 1 5 1 1 1 ต4า A 12.6.1 กาหนดนโยบายอพเดทแพทชและเฝาระวงการอพเดทแพทชใหลาสดเสมอ และทาการ Hardening ตามขอแนะนาและมาตรฐาน ของไมโครซอฟท

185 Software CAD-CAM Server การละเมดลขสทธ Nซอฟทแวร ไมมกระบวนการบรหารจดการซอฟตแวรลขสทธ N


186 Software Aniti Virus Server ไมสามารถใหบรการได Anti virus Definition ท4ทนสมยได

ไมมกระบวนการในการตดตามเฝาระวง

2 2 1 2 2 ต4ามาก A 12.2.1 ตดต ,งซอฟทแวรปองกน Update definition ใหลาสดเสมอ มกระบวนการตรวจสอบ รวมท ,งมมาตรการกคนหากเกดการแพรกระจายจากโปรแกรมไมประสงคด และสรางความตระหนกกบผท4เก4ยวของ

187 Software Aniti Virus Server ทาการแกไขคาตดต ,ง (Configuration) ผดพลาด ทาใหระบบทางานผดพลาด


142



ควบคม


เส�ยง


188 Software Aniti Virus Server การละเมดลขสทธ Nซอฟทแวร ไมมกระบวนการบรหารจดการซอฟตแวรลขสทธ N


189 Software WSUS Server ทาการแกไขคาตดต ,ง (Configuration) ผดพลาด ทาใหระบบทางานผดพลาด


190 Software WSUS Server การละเมดลขสทธ Nซอฟทแวร ไมมกระบวนการบรหารจดการซอฟตแวรลขสทธ N


191 Software SQL Server ถกโจมตจนไมสามารถใหบรการได ไมมกระบวนการในการตดตามปรบปรง Security Patch ใหทนสมย


192 Software SQL Server ทาการแกไขคาตดต ,ง (Configuration) ผดพลาด ทาใหระบบทางานผดพลาด


143



ควบคม


เส�ยง


193 Software SQL Server การละเมดลขสทธ Nซอฟทแวร ไมมกระบวนการบรหารจดการซอฟตแวรลขสทธ N


144

4.4.3 ผลการประเมนความเส�ยงทรพยสนประเภทสารสนเทศ หลงดาเนนการโครงงาน


194 Information E-mail Data ขอมล mailbox สญหาย ไมมระบบสารองขอมลท(ด 5 5 2 3 1 ต(า A 12.3.1 จดทาแผนสารองขอมล และมการจดเกบส(อบนทกในlสถานท(ท( พรอมท =งมการตรวจสอบอยเสมอ

195 Information E-mail Data ขอมลร (วไหลจากการถกดกจบระหวางการรบ-สง

ผใชงานขาดความรความเขาใจเร(องการปองกนขอมลร (วไหล

5 1 2 2 2 ปานกลาง A 18.1.5 สรางความรความเขาใจการปองกนขอมลร (วไหลและตระหนกถงความสาคญในการเขารหสขอมลท(สาคญทกคร =งกอนสงเมล

196 Information E-mail Data ขอมลมเน=อหาละเมดกฎหมาย และขอกาหนดขององคกร

ผใชงานขาดความรความเขาใจในกฏหมายท(เก(ยวของ

1 1 1 5 2 ปานกลาง A 18.1.3 สรางความรความเขาใจในเร(องกฎหมายท(เก(ยวของ และกาหนดบทลงโทษทางวนยสาหรบผท(ละเมด

197 Information E-mail Data ขอมลร (วไหล จากการนาขอมลจรงไปใชในการทดสอบ


5 1 1 3 1 ต(ามาก A 14.3.1 ผดแลระบบจะตองคดเลอกขอมลจรงเทาท(จาเปนเทาน =น เพ(อนาไปทดสอบระบบ และตองขออนมตจากผบงคบบญชาทกคร =ง

198 Information Workflow Data ขอมลสญหาย ไมมระบบสารองขอมลท(ด 5 5 2 3 1 ต(า A 12.3.1 จดทาแผนสารองขอมล และมการจดเกบส(อบนทกในlสถานท(ท( พรอมท =งมการตรวจสอบอยเสมอ

199 Information Workflow Data ขอมลร (วไหล จากการนาส(อบนทกขอมลกลบมาใชงานใหม


5 3 2 3 1 ต(า A 8.3.2 จดทาแผนการทาลายขอมลในส(อบนทกขอมลทกคร =งกอนท(จะนากลบมาใชงานใหม หรอเลกใชงาน


เส�ยง


ควบคม

ตารางท( 4.11 ตารางผลการประเมนความเส(ยงทรพยสนประเภทสารสนเทศ หลงดาเนนการโครงงานลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability)

145



เส�ยง


ควบคม


200 Information Workflow Data ถกเขาถง และแกไข เปล(ยนแปลง โดยผไมมสทธ Sใชงาน


4 4 2 3 2 ต(า A 9.2.1, A 9.2.5, A 9.2.6


201 Information Workflow Data ขอมลร (วไหล จากการนาขอมลจรงไปใชในการทดสอบ


4 2 2 2 2 ต(า A 14.3.1 ผดแลระบบจะตองคดเลอกขอมลจรงเทาท(จาเปนเทาน =น เพ(อนาไปทดสอบระบบ และตองขออนมตจากผบงคบบญชาทกคร =ง

202 Information Digital Filing Data ขอมลสญหาย ไมมระบบสารองขอมลท(ด 4 5 2 1 1 ต(า A 12.3.1 จดทาแผนสารองขอมล และมการจดเกบส(อบนทกในlสถานท(ท( พรอมท =งมการตรวจสอบอยเสมอ

203 Information Digital Filing Data ขอมลร (วไหล จากการนาส(อบนทกขอมลกลบมาใชงานใหม



204 Information Digital Filing Data ถกเขาถง และแกไข เปล(ยนแปลง โดยผไมมสทธ Sใชงาน


4 4 2 3 2 ต(า A 9.2.1, A 9.2.5, A 9.2.6


205 Information Digital Filing Data ขอมลร (วไหล จากการนาขอมลจรงไปใชในการทดสอบ



146



เส�ยง


ควบคม


206 Information ERP Data ขอมลสญหาย ไมมระบบสารองขอมลท(ด 4 5 2 1 1 ต(า A 12.3.1 จดทาแผนสารองขอมล และมการจดเกบส(อบนทกในlสถานท(ท( พรอมท =งมการตรวจสอบอยเสมอ

207 Information ERP Data ขอมลร (วไหล จากการนาส(อบนทกขอมลกลบมาใชงานใหม



208 Information ERP Data ถกเขาถง และแกไข เปล(ยนแปลง โดยผไมมสทธ Sใชงาน


5 4 2 4 1 ต(า A 9.2.1, A 9.2.5, A 9.2.6


209 Information ERP Data ขอมลร (วไหล จากการนาขอมลจรงไปใชในการทดสอบ



210 Information Log Data ขอมลสญหาย ไมมระบบสารองขอมล 1 1 1 5 3 ปานกลาง A 12.3.1 จดทาแผนสารองขอมล และมการจดเกบส(อบนทกในlสถานท(ท( พรอมท =งมการตรวจสอบอยเสมอ

211 Information Log Data ถกเขาถง และแกไข เปล(ยนแปลง โดยผไมมสทธ Sใชงาน


1 1 1 5 1 ต(า A 9.2.1, A 9.2.5, A 9.2.6


147



เส�ยง


ควบคม


212 Information Log Data เวลาขอมล Log ไมถกตองชดเจน เวลาท(บนทก คาไมตรงกบแหลงอางองท(ไดมาตรฐานสากล

1 1 1 5 1 ต(า A 12.4.4 ตดต =ง NTP Server และจดทาแผนการตรวจสอบ พรอมท =งเฝาระวงความถกตองของเวลาใหตรงกบแหลงอางองท(ไดมาตราฐาน

148

4.4.4 ผลการประเมนความเส�ยงทรพยสนประเภทผใหบรการ หลงดาเนนการโครงงาน



การบรการหยดชะงก เน%องจากสญญาเชาใชหมดอาย หรอผดขอตกลงในสญญาบรการ


5 5 1 4 1 ต%า A 15.1.1,A 15.1.3

จดทาแผนการตรวจสอบอายสญญาบรการอยางนอยปละคร ?ง และดาเนนการตออายสญญากอนสญญาหมดอาย




4 5 1 4 1 ต%า A 15.2.1 จดทาแผนการตดตาม ทบทวนและตรวจประเมนการใหบรการทกๆ 3 เดอน


ถกเปดเผยขอมล หรอขอมลร %วไหล ไมมการจดทาสญญาไมเปดเผยขอมล

5 3 1 4 1 ต%า A 15.1.2 มการจดทาสญญาไมเปดเผยขอมลกบผใหบรการภายนอก




4 5 1 4 1 ต%า A 15.2.1 จดทาแผนการตดตาม ทบทวนและตรวจประเมนการใหบรการทกๆ 3 เดอน


ถกเปดเผยขอมล หรอขอมลร %วไหล ไมมการจดทาสญญาไมเปดเผยขอมล


218 Service Application Service ความไมรบผดชอบ หรอไมปฏบตตามขอตกลงของผใหบรการ ไมวาจะเปนดานคณภาพ หรอการตดตามงาน


4 5 1 4 2 ปานกลาง A 15.2.1 จดทาแผนการตดตาม ทบทวนและตรวจประเมนการใหบรการทกๆ 3 เดอน

219 Service Application Service ถกเปดเผยขอมล หรอขอมลร %วไหล ไมมการจดทาสญญาไมเปดเผยขอมล


ผลการทบดานตางๆ โอกาส

ตารางท% 4.12 ตารางผลการประเมนความเส%ยงทรพยสนประเภทผใหบรการ หลงดาเนนการโครงงานลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability) ระดบความ

เส�ยง


ควบคม


149

4.4.5 ผลการประเมนความเส�ยงทรพยสนประเภทผใหบรการ หลงดาเนนการโครงงาน


220 People Top Executive ใชงานระบบสารสนเทศผดพลาด ขาดความเขาใจและความตระหนกในการใชงาน

1 1 1 3 2 ต0า A 7.2.1 อบรมสรางความรความเขาใจและความตระหนกในการใชงานสารสนเทศท0มความม 0นคงปลอดภย

221 People Top Executive ละเมดนโยบายความม 0นคงสารสนเทศ เน0องจากละเลย หรอโดยจงใจ


1 1 1 3 2 ต0า A 5.1.1, A 7.2.2

จดนโยบายความม 0นคงสารสนเทศเปนลายลกษณอกษร ซ0งวาดวยระเบยบปฏบต ขอบงคบ พรอมท Fงบทลงโทษ ซ0งอนมตโดยผบรหารท0มอานาจ และเผยแพร ส0อสารกบผเก0ยวของ

222 People Manager ใชงานระบบสารสนเทศผดพลาด ขาดความเขาใจและความตระหนกในการใชงาน

1 1 1 3 2 ต0า A 7.2.1 อบรมสรางความรความเขาใจและความตระหนกในการใชงานสารสนเทศท0มความม 0นคงปลอดภย

223 People Manager ละเมดนโยบายความม 0นคงสารสนเทศ เน0องจากละเลย หรอโดยจงใจ


1 1 1 3 4 ปานกลาง A 5.1.1, A 7.2.2


224 People Developer ใชงานระบบสารสนเทศผดพลาด ขาดความเขาใจและความตระหนกในการใชงาน

1 1 1 3 4 ปานกลาง A 7.2.1 อบรมสรางความรความเขาใจและความตระหนกในการใชงานสารสนเทศท0มความม 0นคงปลอดภย


ควบคม


เส�ยง

ตารางท0 4.13 ตารางผลการประเมนความเส0ยงทรพยสนประเภทผใหบรการ หลงดาเนนการโครงงานลาดบ ประเภท รายละเอยดทรพยสน ชองโหว (Vulnerability)

150



ควบคม


เส�ยง


225 People Developer ละเมดนโยบายความม 0นคงสารสนเทศ เน0องจากละเลย หรอโดยจงใจ


1 1 1 3 4 ปานกลาง A 5.1.1, A 7.2.2


226 People System Administrator

ใชงานระบบสารสนเทศผดพลาด ขาดความเขาใจและความตระหนกในการใชงาน



ละเมดนโยบายความม 0นคงสารสนเทศ เน0องจากละเลย หรอโดยจงใจ


1 1 1 3 4 ปานกลาง A 5.1.1, A 7.2.2



ผดแลระบบปฏบตเกนขอบเขต หรอละเลยหนาท0 โดยไมไดรบอนญาต หรอไมไดเจตนา

ไมมการกาหนดหนาท0 ความรบผดชอบ ใหชดเจน

1 1 1 2 2 ต0า A 6.1.1, A 6.2.2

มการกาหนดหนาท0 ความรบผดชอบ ใหชดเจน

229 People User ใชงานระบบสารสนเทศผดพลาด ขาดความเขาใจและความตระหนกในการใชงาน


151



ควบคม


เส�ยง


230 People User ละเมดนโยบายความม 0นคงสารสนเทศ เน0องจากละเลย หรอโดยจงใจ


1 1 1 3 4 ปานกลาง A 5.1.1, A 7.2.2


152

4.5 สรปจานวนความเส�ยงหลงการดาเนนโครงการ

สรปจานวนความเส�ยงหลงการดาเนนโครงการตามตารางท� 4.14


จานวนความเส�ยง 4 23 149 54 230

ตารางท� 4.14 ตารางสรปจานวนความเส�ยงกอนการดาเนนโครงการ

รปท� 4.2 แผนภมแสดงสรปจานวนความเส�ยงกอนการดาเนนโครงงาน

0

20

40

60

80

100

120

140

160

สง ปานกลาง ต�า ต�ามาก

จานวนความเส�ยง

153

154

บทท� 5

สรปผลการดาเนนโครงงาน

ในการดาเนนโครงงาน ไดดาเนนการตามข �น ตอนตามขอบเขตโครงงาน 1 โดยมผลสรปใน

การประเมนความเส!ยงดงตาราง 5.1

ตารางท� 5.1 ตารางสรปผลการประเมนความเส�ยงกอนการจดทา


จานวนกอนเร�มโครงการ 26 120 54 30 230

จานวนหลงเร�มโครงการ 4 23 149 54 230

รปท� 5.1 แผนภมเปรยบเทยบความเส�ยงกอนและหลงดาเนนโครงงาน

0

20

40

60

80

100

120

140

160

จานวนกอนเร�มโครงการ จานวนหลงเร�มโครงการ

ความเส�ยงสง ความเส�ยงปานกลาง ความเส�ยงต�า ความเส�ยงต�ามาก

5.1 รายงานการแสดงการประยกตใชงาน (Statement of applicability : SOA)

หวขอ มาตรการการควบคม เลอกใชมาตรการ รายละเอยดการใชมาตรการA.5

A.5.1

A.5.1.1 นโยบายสาหรบความม �นคงปลอดภยสารสนเทศ (Policies for information security)

� ฝายไอท จดทานโยบายความม �นคงปลอดภยเทคโนโลยสารสนเทศ เสนอใหผบรหารอนมตและบงคบใชใหมผลกบบคคลากรท >งภายในและภายนอกท�เก�ยวของกบระบบเทคโนโลยสารสนเทศของบรษทฯ โดยมการแจงและประกาศใหทราบโดยท �วกน เพ�อใหการดาเนนกจกรรมตางๆท�เก�ยวของกบระบบเทคโนโลยสารสนเทศเปนไปตามนโยบาย และสรางเสถยรภาพในการดาเนนธรกจของบรษทฯ

A.5.1.2 การทบทวนนโยบายสาหรบการบรหารจดการความม �นคงปลอดภยสารสนเทศ (Review of the policies for information security)

� ฝายไอท ทบทวนนโยบายความม �นคงปลอดภย อยางนอยปละ 1 คร >ง หรอ เม�อมการเปล�ยนแปลงในระบบเทคโนโลยสารสนเทศ และเสนอแกผบรหารเพ�อทาการอนมตและรบรอง และประกาศใหทราบโดยท �วกน เพ�อใหนโยบายมความถกตองเหมาะสมและทนสมยตอกระบวนการและระบบเทคโนโลยสารสนเทศ

นโยบายความม 6นคงปลอดภยสารสนเทศ (Information Security Policy)

ทศทางการบรหารจดการความม 6นคงปลอดภยสารสนเทศ (Management Directions for Information Security)

ตารางท6 5.1 ตารางแสดงการประยกตการใชงาน (Statement Of Applicability : SOA)

155


A.6.1

A.6.1.1 บทบาทและหนาท�ความรบผดชอบดานความม �นคงปลอดภย( Information security roles and responsibilities)

� ผบรหาร กาหนดบทบาทหนาท�และความรบผดชอบของบคลากรท�มความเก�ยวของกบระบบเทคโนโลยสารสนเทศ ใหสอดคลองกบนโยบายความม �นคงปลอดภยฯ, มาตรฐาน เพ�อเสรมสรางความม �นคงปลอดภยใหกบระบบเทคโนโลยสารสนเทศ

A.6.1.2 การแบงแยกหนาท�ความรบผดชอบ (Segregation of duties)

� ฝายไอท ตองแบงและจดสรรอานาจหนาท�ของบคลากรท�เก�ยวของกบระบบเทคโนโลยสารสนเทศ ใหมความเหมาะสม มใหเกดการใชอานาจหนาท�แบบเบดเสรจสมบรณในกระบวนการทางาน และจดใหมการตรวจสอบภายใน, หรอเฝาตดตามรองรอยกจกรรมตางๆท�เกดข>น เพ�อลดความเส�ยงในดานการเขาถงขอมลโดยไมมสทธ Yสมควร หรอการนาสทธ Yท�ไดไปใชในทางท�ผด ซ�งจะตองทบทวนและตรวจสอบอยางนอย 1 คร >งทก 6 เดอน

A.6.1.3 การตดตอกบหนวยงานผมอานาจ (Contact with authorities)

� ฝายไอท จดทาขอมลการตดตอส�อสารท >งภายในและภายนอก เชน หนวยงานภาครฐ, ผใหบรการตางๆ ท�เก�ยวของกบระบบเทคโนโลยสารสนเทศ ซ�งควรจดทาและทบทวนแกไขเพ�มเตม ทก 3 เดอน หรอเม�อมการเปล�ยนแปลงขอมลการตดตอส�อสาร เพ�อสรางความสะดวกในการตดตอและประสานงานเม�อจาเปน

โครงสรางความม 6นคงปลอดภยสารสนเทศ (organization of Information Security)

โครงสรางภายในองคกร (Internal organization)

156

หวขอ มาตรการการควบคม เลอกใชมาตรการ รายละเอยดการใชมาตรการA.6.1.4 การตดตอกบกลมท�มความสนใจเปนพเศษใน

เร�องเดยวกน (Contact with special interest groups)

� ฝายไอท มการตดตอส�อสารกบกลม หรอองคกรภายนอก ท�มความรความเช�ยวชาญดานความม �นคงปลอดภยของระบบเทคโนโลยสารสนเทศ รบขอมลขาวสารใหทนตอเหตการณดานระบบเทคโนโลยสารสนเทศ เพ�อนาขอมลเหลาน >นมาพฒนากระบวนการดานระบบเทคโนโลยสารสนเทศใหมความเหมาะสม

A.6.1.5 ความม �นคงปลอดภยสารสนเทศกบการบรหารจดการโครงการ (Information security in project management)

A.6.2

A.6.2.1 นโยบายสาหรบอปกรณคอมพวเตอรแบบพกพา (Mobile device policy)

� ฝายไอท กาหนดมาตรฐานสาหรบการใชงานระบบเทคโนโลยสารสนเทศผานทางอปกรณเคล�อนท� โดยใหมความสอดคลองกบนโยบายความม �นคงปลอดภยฯ และตองมการทบทวนปรบปรงใหมความทนสมยและเหมาะสมกบการใชงานอยเสมอ เพ�อปองกนและลดความเส�ยงท�เกดข>นกบการใชงานบนอปกรณเคล�อนท�

A.6.2.2 การปฏบตงานจากระยะไกล (Teleworking) � ฝายไอท ตองจดทานโยบาย และข >นตอนปฏบตสาหรบบคลากรขององคกรท�จาเปนตองปฏบตงานขององคกรจากภายนอกสานกงานหรอจากระยะไกล

อปกรณคอมพวเตอรแบบพกพาและการปฏบตงานจากระยะไกล (Mobile devices and teleworking)

157


A.7.1

A.7.1.1 การคดเลอก (Screening) � กอนการรบบคลากรเขาทางาน ฝายบคคล ตองดาเนนการตรวจสอบประวตท �วไป, การศกษา และอาชญากรรม และคดกรองผท�จะถกรบเขาทางานหรอรวมงาน ท >งจากส�อออนไลนตางๆและ ทะเบยนอาชญากรรม เพ�อปองกนการความเสยหายของบรษทฯ

A.7.1.2 ขอตกลงและเง�อนไขการจางงาน (Terms and conditions of employment)

� กอนการรบบคลากรเขาทางาน ฝายบคคล ตองทาสญญาการจางงาน สญญาการไมเปดเผยความลบขององคกร โดยใหผท�จะถกรบเขาทางานหรอรวมงานไดลงนามไวเปนหลกฐานสาคญ เพ�อใหบคลากรน >นไดรบทราบและปฏบตตามอยางเครงครด

A.7.2

A.7.2.1 หนาท�ความรบผดชอบของผบรหาร (Management responsibilities)

� ระหวางการจางงาน ผบรหาร ตองกาหนดและกากบดแลใหบคลากรปฏบตตามนโยบายความม �นคงปลอดภยฯ และข >นตอนการทางานของบรษทฯ ท >งการสรางความรความเขาใจและกาหนดหลกการทางานท�สอดคลองกบมาตรฐานและนโยบายความม �นคงปลอดภยระบบเทคโนโลยสารสนเทศ เพ�อสรางประสทธภาพการทางานและลดความเสยหายจากการทางานท�ไมสอดคลองกบนโยบายความม �นคงปลอดภยฯ

ความม 6นคงปลอดภยสาหรบทรพยากรบคคล (Human Resource Security

กอนการจางงาน (Prior to employment)

ระหวางการจางงาน (During employment)

158

หวขอ มาตรการการควบคม เลอกใชมาตรการ รายละเอยดการใชมาตรการA.7.2.2 การสรางความตระหนก การใหความร และ

การฝกอบรมดานความม �นคงปลอดภยสารสนเทศ (Information security awareness, education and training)

� ระหวางการจางงาน ฝายบคคล และ ฝายไอท ตองจดทาการอบรม, ส�อแนะนา หรอเผยแพรขาวสารดานความม �นคงปลอดภยของระบบเทคโนโลยสารสนเทศแกบคลากรใหไดรบทราบเปนประจา เพ�อสรางความรความเขาใจ และสามารถนามาใชในการทางานไดอยางเหมาะสมเพ�อลดความเสยหายท�อาจเกดข>นกบระบบเทคโนโลยสารสนเทศ

A.7.2.3 กระบวนการทางวนย (Disciplinary process) � ผบรหาร ตองกาหนดกระบวนการลงโทษทางวนย สาหรบบคลากรท�ฝาฝน หรอละเมดการปฏบตตามนโยบายความม �นคงปลอดภยฯ, กฎเกณฑและขอบงคบดานความม �นคงปลอดภยของระบบเทคโนโลยสารสนเทศ โดยจะตองแจงขอกาหนดใหบคลากรไดรบทราบ เพ�อเปนมาตรการปองกนมใหบคลากรกระทาความผด ซ�งสงผลตอการดาเนนธรกจและภาพลกษณของบรษท

A.7.3

A.7.3.1 การส>นสดหรอการเปล�ยนหนาท�ความรบผดชอบของการจางงาน (Termination or change of employment responsibilities)

� ฝายบคคล ตองกาหนดกระบวนและข >นตอนปฏบตเม�อมส>นสดการจาง หรอเปล�ยนแปลงหนาท� ใหมความเหมาะสมสอดคลองกบนโยบายความม �นคงปลอดภยฯ และฝายบคคลตองออกเอกสารการยกเลกสทธ Yในการเขาถงทรพยากรดานระบบเทคโนโลยสารสนเทศทนท เพ�อปองกนมใหบคลากรน >นเขาถงทรพยากร ท >งน>กระบวนการท�มความเก�ยวของกบระบบเทคโนโลยสารสนเทศ ฝายไอท จะตองรวมดาเนนการ

การสUนสดหรอการเปล6ยนการจางงาน (Termination and change of employment)

159


A.8.1

A.8.1.1 บญชทรพยสน (Inventory of assets) � ฝายไอท ฝายบรหาร ฝายบญชตองจดทาบญชควบคมรายการทรพยสน ในสวนของทรพยสนท�หนวยงานมหนาท�รบผดชอบในการจดซ>อจดหา เพ�อใหทราบวามรายการทรพยสนใดท�ตองดแลใหเกดความม �นคงปลอดภย และหากตองการจดหาเพ�ม หรอทดแทน กใหสามารถใชประโยชนจากบญชทรพยสนไดอยางมประสทธภาพ

A.8.1.2 ผถอครองทรพยสน (Ownership of assets) � ฝายไอท ตองระบช�อผรบผดชอบทรพยสนและอปกรณในระบบเทคโนโลยสารสนเทศ ใหมความถกตองเหมาะสม ซ�งตองทบทวนขอมลดงกลาวอยางนอย 1 คร >งตอป หรอเม�อมการเปล�ยนแปลง เพ�อใหม �นใจไดวาทรพยสนและอปกรณเหลาน >นมการควบคมดแล

A.8.1.3 การใชทรพยสนอยางเหมาะสม (Acceptable use of assets)

� ฝายไอท ตองระบระเบยบขอบงคบในการใชงานทรพยสนและอปกรณในระบบเทคโนโลยสารสนเทศ เสนอให ผบรหาร ประกาศใชเปนระเบยบท�มผลบงคบใชกบท >งบคลากรท�เก�ยวของท >งภายใน และภายนอก เพ�อใหการใชงานทรพยสนและอปกรณน >นถกตองเหมาะสม และมผรบผดชอบ

หนาท6ความรบผดชอบตอทรพยสน (Responsibility for Assets)

การบรหารจดการทรพยสน (Asset Management)

160

หวขอ มาตรการการควบคม เลอกใชมาตรการ รายละเอยดการใชมาตรการA.8.1.4 การคนทรพยสน (Return of assets) � ฝายบคคล ตองมเอกสารแจงฝายไอท เม�อมผถกเลกจาง หรอส>นสดการวาจาง

หรอเปล�ยนแปลงหนาท�รบผดชอบ เพ�อเรยกคนทรพยสนของบรษทท�อยในครอบครองหรอรบผดชอบอยท >งในรปแบบสารสนเทศและอปกรณกายภาพ เพ�อปองกนทรพยสนสญหาย และขอมลร �วไหล

A.8.2

A.8.2.1 ช >นความลบของสารสนเทศ (Classification of information)

� เจาของระบบ ตองวางแผนและจดทาระดบช >นความลบและความสาคญของสารสนเทศของตน ใหมความเหมาะสมสอดคลองกบนโยบายความม �นคงปลอดภยสารสนเทศ และเพยงพอกบความตองการเทาท�จาเปน และทบทวนปรบปรงแกไขขอมลน >นอยางนอย 1 คร >งตอป เพ�อลดความเส�ยงดานการเขาถงขอมลสาคญโดยไมมสทธ Y และปองกนขอมลร �วไหล

A.8.2.2 การบงช>สารสนเทศ (Labeling of information) � เจาของระบบ ตองจดทาส�งบงช>วาสารสนเทศของตนน >นอยในระดบช >นความลบและความสาคญในระดบใด รวมถงการกาหนดมาตรฐานและข >นตอนในกระบวนการตางๆท�เก�ยวของกบการเขาถง, การส�อสาร, การเคล�อนยาย และส�อ ใหมความเหมาะสมกบระดบความสาคญของสารสนเทศน >นเอง และสอดคลองกบนโยบายความม �นคงปลอดภยฯ เพ�อใหกจกรรมตางๆท�เกดข>นถกดาเนนการอยางถกตองและเหมาะสม ปองกนขอมลร �วไหล หรอเสยหาย

การจดช Uนความลบของสารสนเทศ (Information classification)

161

หวขอ มาตรการการควบคม เลอกใชมาตรการ รายละเอยดการใชมาตรการA.8.2.3 การจดการทรพยสน (Handling of assets) � เจาของระบบ ตองจดทาส�งบงช>วาสารสนเทศของตนน >นอยในระดบช >นความลบ

และความสาคญในระดบใด รวมถงการกาหนดมาตรฐานและข >นตอนในกระบวนการตางๆท�เก�ยวของกบการเขาถง, การส�อสาร, การเคล�อนยาย และส�อ ใหมความเหมาะสมกบระดบความสาคญของสารสนเทศน >นเอง และสอดคลองกบนโยบายความม �นคงปลอดภยฯ เพ�อใหกจกรรมตางๆท�เกดข>นถกดาเนนการอยางถกตองและเหมาะสม ปองกนขอมลร �วไหล หรอเสยหาย

A.8.3

A.8.3.1 การบรหารจดการส�อบนทกขอมลท�ถอดแยกได (Management of removable media)

� ฝายไอท ตองทานโยบายและทาข >นตอนการบรหารจดการการใชงานส�อบนทกขอมลแบบตางๆท�สามารถพกพาได โดยควบคมการทาสาเนาหรอกอปป>สารสนเทศของบรษทฯ ไปยงส�อบนทกจะตองไดรบอนญาตจาก Management เทาน >น และฝายไอท จะตองลบลาง และทาลายขอมลท�เกดข>นในส�อบนทกเหลาน >นมใหถกนากลบมาใชงานไดอก ซ�งจะตองดาเนนการทนทท�มการรองขอ เพ�อลดความเส�ยงสารสนเทศของบรษทร �วไหล

A.8.3.2 การทาลายส�อบนทกขอมล (Disposal of media)

� ฝายไอท ตองมกระบวนการจดการและข >นตอนการทาลายมงเนนไมใหสามารถกคนสารสนเทศดงกลาวกลบมาไดอก ในส�อบนทกท >งรปแบบ ท�จบตองได และ จบตองไมไดโดยจะตองมเอกสารรบรองการทาลายสารสนเทศเพ�อรองรบการตรวจสอบยอนหลง เพ�อลดความเส�ยงสารสนเทศของบรษทร �วไหล

การจดการส6อบนทกขอมล (Media Handling)

162

หวขอ มาตรการการควบคม เลอกใชมาตรการ รายละเอยดการใชมาตรการA.8.3.3 การขนยายส�อบนทกขอมล (Physical media

transfer)� ฝายไอท ตองทานโยบายและทาข >นตอนการบรหารจดการควบคม โดยกาหนด

วตถประสงคใหชดเจน แจะตองไดรบอนญาตจาก Management เทาน >น

A.9 การควบคมการเขาถง (Access Control)

A.9.1

A.9.1.1 นโยบายควบคมการเขาถง (Access control policy)

� ฝายไอท และ/หรอเจาของระบบ ตองจดทาและบงคบใชนโยบายการจดการควบคมการเขาถงสารสนเทศ ท >งดาน กายภาพ และ บนทกเหตการณใหมความสอดคลองกบขอกาหนด และเหมาะสมกบความสาคญของสารสนเทศและการดาเนนธรกจ โดยเร�มตนต >งแตการวางแผน,กาหนดสทธ Y, ตรวจสอบเฝาระวง และการถอดถอนสทธ Y ซ�งจะตองมการทบทวนอยางนอย 1 คร >งตอป เพ�อลดความเส�ยงในการเขาถงสารสนเทศโดยไมมสทธ Y

A.9.1.2 การเขาถงเครอขายและบรการเครอขาย (Access to networks and network services)

� ฝายไอท ตองควบคมและจดการใหสทธ Yในการเขาถงบรการดานเครอขายระบบเทคโนโลยสารสนเทศ โดยกาหนดนโยบายท�มความสอดคลองกบนโยบายความม �นคงปลอดภยฯ และกระบวนการยนยนตวบคคล และการตรวจสอบสทธ Y ซ�งควรทบทวนปรบปรง เม�อมการเปล�ยนแปลงระบบโครงสรางหรออปกรณ หรออยางนอย 1 คร >งตอป

ความตองการทางธรกจสาหรบการควบคมการเขาถง (Business requirements of access control)

163

หวขอ มาตรการการควบคม เลอกใชมาตรการ รายละเอยดการใชมาตรการA.9.2

A.9.2.1 การลงทะเบยนและการถอดถอนสทธผใชงาน (User registration and de-registration)

� ฝายไอท และหรอเจาของระบบ ตองจดทาข >นตอนและกระบวนการลงทะเบยนผใชงาน, ตรวจสอบและการยกเลกทะเบยน โดยการจดทาเปนเอกสารหรอฟอรมอยางเปนทางการ ท�ประกอบดวยหลกเกณฑ ขอกาหนด นโยบายความม �นคงปลอดภย และลายมอช�อของผใชงาน สามารถสบยอนกลบและยนยนตวบคคลได ซ�งจะตองทบทวนตรวจสอบแบบฟอรม ขอกาหนด หรอนโยบายใหมความทนสมย และปรบปรงเม�อมการเปล�ยนแปลง

A.9.2.2 การจดการสทธการเขาถงของผใชงาน (User access provisioning) (ไมจาเปนตองทา เพราะหวขออ�น cover แลว)

� ฝายไอท และหรอเจาของระบบ ตองจดทาระบบบรหารจดการสทธ Yในระบบ ใหมความเหมาะสมกบบทบาทหนาท�ความรบผดชอบของผใชงาน โดยมงเนนถงการกาหนดสทธ Yเทาท�จาเปน และมการปรบปรง ตรวจสอบทกคร >งท�มการเปล�ยนแปลงหรออยางนอย 1 คร >งตอป เพ�อปองกนการเขาถงสารสนเทศโดยไมมสทธ Y และปองกนการมสทธ Yท�เกนความจาเปน

A.9.2.3 การบรหารจดการสทธการเขาถงตามระดบสทธ (Management of privileged access right)

� ฝายไอท และหรอเจาของระบบ ตองจดทาระบบบรหารจดการสทธ Yในระบบ ใหมความเหมาะสมกบบทบาทหนาท�ความรบผดชอบของผใชงาน โดยมงเนนถงการกาหนดสทธ Yเทาท�จาเปน และมการปรบปรง ตรวจสอบทกคร >งท�มการเปล�ยนแปลงหรออยางนอย 1 คร >งตอป เพ�อปองกนการเขาถงสารสนเทศโดยไมมสทธ Y และปองกนการมสทธ Yท�เกนความจาเปน

การบรหารจดการการเขาถงของผใชงาน (User access management)

164

หวขอ มาตรการการควบคม เลอกใชมาตรการ รายละเอยดการใชมาตรการA.9.2.4 การบรหารจดการขอมลความลบสาหรบการ

พสจนตวตนของผใชงาน (Management of secret authentication information of users)

� ฝายไอท มนโยบายการสงมอบ User และ password ใหผใชงานเปนลายลกษณอกษรและมการปดผนกทกคร >ง เพ�อปองกนการเขาถงระบบโดยไมมสทธ Y

A.9.2.5 การทบทวนสทธการเขาถงของผใชงาน (Review of user access rights)

� ฝายไอท และหรอเจาของระบบ ตองตรวจสอบและทบทวนสทธ Yของผใชงานทกคร >งท�มการเปล�ยนแปลงระบบหรอการทางาน และทบทวนอยางนอย 1 คร >งตอป ในทกอปกรณท�มการควบคมการเขาถงของผใชงาน เพ�อปองกนการเขาถงระบบโดยไมมสทธ Y หรอมสทธ Yเกนจาเปน

A.9.2.6 การถอดถอนหรอปรบปรงสทธการเขาถง (Removal or Adjustment of access rights)

� ฝายไอท และหรอเจาของระบบ ตองจดทาข >นตอนและกระบวนการถอดถอนหรอปรบปรงสทธ โดยการจดทาเปนเอกสารหรอฟอรมอยางเปนทางการ ท�ประกอบดวยหลกเกณฑ ขอกาหนด นโยบายความม �นคงปลอดภย และลายมอช�อของผใชงาน สามารถสบยอนกลบและยนยนตวบคคลได ซ�งจะตองทบทวนตรวจสอบแบบฟอรม ขอกาหนด หรอนโยบายใหมความทนสมย และปรบปรงเม�อมการเปล�ยนแปลง

A.9.3

A.9.3.1 การใชขอมลการพสจนตวตนซ�งเปนขอมลลบ (Use of secret authentication information)

หนาท6ความรบผดชอบของผใชงาน (User responsibilities)

165

หวขอ มาตรการการควบคม เลอกใชมาตรการ รายละเอยดการใชมาตรการ

A.9.4

A.9.4.1 การจากดการเขาถงสารสนเทศ (Information access restriction)

� ฝายไอท และ/หรอเจาของระบบ ตองจดทาระบบบรหารจดการสทธ Yในระบบ ใหมความเหมาะสมกบบทบาทหนาท�ความรบผดชอบของผใชงาน โดยมงเนนถงการกาหนดสทธ Yเทาท�จาเปน และมการปรบปรง ตรวจสอบทกคร >งท�มการเปล�ยนแปลงหรออยางนอย 1 คร >งทก 3 เดอน เพ�อปองกนการเขาถงสารสนเทศโดยไมมสทธ Y และปองกนการมสทธ Yท�เกนความจาเปน

A.9.4.2 ข >นตอนปฏบตสาหรบการลอกอนเขาระบบท�มความม �นคงปลอดภย (Secure log-on procedures)

� ฝายไอท และ/หรอเจาของระบบ ตองบงคบใหผใชงาน เปล�ยน Password Defualt และกาหนดใหมการบงคบเปล�ยนรหสผานทก 90 วน โดยรหสผานจะตองมความซบซอน

A.9.4.3 ระบบบรหารจดการรหสผาน (Password management system)

� ฝายไอท และ/หรอผมอานาจในการสงรหสผานแกผใชงาน ตองมกระบวนการจดการรหสผาน และควบคมข >นตอนการแจงรหสผานไปยงผใชงาน โดยจะตองดาเนนการแจงรหสผานโดยมการลงช�อรบรองการรบรหสผาน และปฏบตตามกฎเกณฑการใชงานรหสผาน รวมถงการจดการDefault Password เพ�อปองกนการเขาถงรหสผานของผใชงานโดยไมมสทธ Y หรอปองกนรหสผานร �วไหล

การควบคมการเขาถงระบบ (System and application access control)

166

หวขอ มาตรการการควบคม เลอกใชมาตรการ รายละเอยดการใชมาตรการA.9.4.4 การใชโปรแกรมอรรถประโยชน (Use of

privileged utility programs)� ฝายไอท ตองควบคมซอฟทแวรอรรถประโยชน (Utilities) ท�มผลตอการควบคม

การทางานของระบบสารสนเทศ เชน Anti-virus ใหมสทธ Yและการทางานท�เหมาะสม โดยการเลอกตดต >งและกาหนดสทธ Yการทางานเทาท�จาเปนท >งระดบผใชงานและระบบปฏบตการ รวมถงเปดการทางานจดเกบ บนทกเหตการณ กจกรรมตางๆท�เกดข>นจากซอฟทแวรน >น ซ�งจะตองตรวจสอบ บนทกเหตการณ กจกรรมท�เกดข>นเพ�อระวงการทางานท�ผดปกต หรอไมตรงกบการควบคม อยางนอย 3 เดอนตอคร >ง เพ�อปองกนมใหซอฟทแวรเปนส�อหรอชองโหวในการคกคามระบบ

A.9.4.5 การควบคมการเขาถงซอรสโคดของโปรแกรม (Access control to program source code)

A.10A.10.1

A.10.1.1 นโยบายการใชมาตรการเขารหสขอมล (Policy on the use of cryptographic controls)

� ฝายไอท ตองตดต >งซอทแวรการเขารหสขอมลสาหรบสารสนเทศท�มความออนไหวเสมอ เชน Notebook

A.10.1.2 การบรหารจดการกญแจ (Key management) � ฝายไอท ตองมกระบวนการจดการและการตรวจสอบอายของ Certificate สาหรบระบบตางๆ อยเสมอ

การเขารหสขอมล (Cryptography)มาตรการเขารหสขอมล (Cryptographic controls)

167


A.11

A.11.1

A.11.1.1 ขอบเขตหรอบรเวณโดยรอบทางกายภาพ (Physical security perimeter)

� ฝายอาคาร มการสรางและมาตรการปองกนดานกายภาพของพ>นท�ต >งของบรษท ท�เก�ยวของกบระบบเทคโนโลยสารสนเทศ ตามลาดบช >นของพ>นท�ปฏบตงานไดแก พ>นท�สาธารณะ, พ>นท�สานกงาน และพ>นท�ควบคม ใหมความเหมาะสม เพ�อปองกนการเสยหายของระบบเทคโนโลยสารสนเทศ และการเขาถงพ>นท�โดยไมมสทธ Y

A.11.1.2 การควบคมการเขาออกทางกายภาพ (Physical entry controls)

� ฝายอาคาร มมาตรการปองกนการเขาสพ>นท�ปฏบตงานท >งสามระดบ เชน เจาหนาท�รกษาความปลอดภย 24 ช �วโมง และกลองวงจรปด ตามความเหมาะสม รวมถงฝายสานกงานและฝายไอท ตองมมาตรการตรวจสอบและตดตามผท�เขา-ออกพ>นท�สานกงานและพ>นท�ควบคม ซ�งจะตองทบทวนมาตรการตางๆทกคร >งท�มการเปล�ยนแปลง หรอ 1 คร >งทกป

A.11.1.3 การรกษาความม �นคงปลอดภยสาหรบสานกงาน หองทางาน และอปกรณ (Securing office, room and facilities)

� ฝายอาคาร ตองสรางความปลอดภยใหกบพ>นท�ปฏบตงาน รวมถงการควบคมดานตางๆใหมความเหมาะสม และสอดคลองกบกฎหมาย และขอบงคบเพ�อสขอนามย และรบมอกบเหตการณตางๆ

ความม 6นคงปลอดภยทางกายภาพและสภาพแวดลอม (Physical and environmental Security)

พUนท6ท6ตองการการรกษาความม 6นคงปลอดภย (Secure areas)

168

หวขอ มาตรการการควบคม เลอกใชมาตรการ รายละเอยดการใชมาตรการA.11.1.4 การปองกนตอภยคกคามจากภายนอกและ

สภาพแวดลอม (Protecting against external end environmental threats)

� ฝายอาคาร ตองมมาตรการควบคมและปองกนการคกคามดานกายภาพจากภายนอก หรอสภาพแวดลอม เชน ภยพบต, อคคภย อยางเหมาะสมสอดคลองกบหลกความปลอดภย และกฎหมายขอบงคบ เพ�อลดความเสยหาย และสรางความตอเน�องในการดาเนนธรกจ

A.11.1.5 การปฏบตงานในพ>นท�ท�ตองการการรกษาความม �นคงปลอดภย (Working in secure areas)

� ฝายอาคาร และฝายไอท ตองมมาตรการควบคมการทางานของบคลากรท�เกดข>นในพ>นท�ควบคม เชน หองเคร�องแมขาย หองควบคมไฟฟา โดยกาหนดเปนขอบงคบ และสรางสญลกษณบงช>ระดบของพ>นท�ปฏบตงาน เพ�อใหบคลากรไดรบทราบแนวทางปฏบต และลดความเส�ยงในการเขาถงทรพยากรระบบเทคโนโลยสารสนเทศโดยไมมสทธ Y

A.11.1.6 พ>นท�สาหรบรบสงส�งของ (Delivery and loading areas)

� ฝายอาคาร และฝายไอท มมาตรการและจดสรรพ>นท�สาหรบการใชงานสาธารณะ หรอพ>นท�รบพสดจากภายนอก ใหมความเหมาะสม

A.11.2 อปกรณ (Equipment)

A.11.2.1 การจดต >งและปองกนอปกรณ (Equipment sitting and protection)

� ฝายอาคาร และฝายไอท ตองกาหนดจดท�ต >งของอปกรณในระบบเทคโนโลยสารสนเทศ และมมาตรการในการปองกนการเขาถงท�เหมาะสมกบความสาคญของอปกรณ เพ�อลดความเส�ยงดานการเขาถงอปกรณโดยไมมสทธ Y และปองกนความเสยหายของอปกรณ

169

หวขอ มาตรการการควบคม เลอกใชมาตรการ รายละเอยดการใชมาตรการA.11.2.2 ระบบและอปกรณสนบสนนการทางาน

(Supporting utilities)� ฝายอาคาร และฝายไอท ตองมอปกรณในการสนบสนนการทางานของอปกรณ

ดานระบบเทคโนโลยสารสนเทศใหสามารถทางานไดอยางสมบรณและตอเน�อง และมความเหมาะสมกบคณลกษณะของอปกรณและตรงตามการใชงาน เพ�อใหม �นใจไดวาการดาเนนธรกจของบรษทมประสทธภาพและตอเน�อง

A.11.2.3 ความม �นคงปลอดภยของการเดนสายสญญาณและสายส�อสาร (Cabling security)

� ฝายอาคาร และฝายไอท ตองมการปองกน หรอกาหนดแนวทางการสรางความปลอดภยและประสทธภาพการทางานอยางเหมาะสมเพยงพอแกสายสญญาณการส�อสารแตละประเภท เพ�อปองกนมใหถกดกจบดกฟงและถกทาลาย ซ�งจะตองมการตรวจสอบการปองกน 1 คร >งทกป เพ�อใหม �นใจไดวาสายสญญาณน >นเพยงพอและพรอมสาหรบการใชงาน

A.11.2.4 การบารงรกษาอปกรณ (Equipment maintenance)

� ฝายอาคาร และฝายไอท ตองตรวจสอบและซอมบารงอปกรณในระบบเทคโนโลยสารสนเทศ ใหมความพรอมใชงาน โดยมการจดทาแผนการตรวจสอบบารงรกษาอปกรณ ตามขอแนะนาของผจาหนายหรอผลต อยางนอยปละ 1 คร >ง เพ�อใหม �นใจไดวาอปกรณทางานไดอยางมประสทธภาพและตอเน�อง

A.11.2.5 การนาทรพยสนขององคกรออกนอกสานกงาน (Removal of assets)

� ฝายอาคาร และฝายไอท มการกาหนดใหผท�มความประสงคจะนาอปกรณออกนอกบรษท จะตองไดรบการอนมตเปนลายลกษณอกษรจากผมอานาจกอนเสมอ

170

หวขอ มาตรการการควบคม เลอกใชมาตรการ รายละเอยดการใชมาตรการA.11.2.6 ความม �นคงปลอดภยของอปกรณและ

ทรพยสนท�ใชงานอยภายนอกสานกงาน (Security of equipment and assets off- premises)

� ฝายอาคาร และฝายไอท มการควบคมอปกรณท�ถกใชงานแบบสวนกลาง หรอใชงานภายนอกสถานท�ปฏบตงาน ใหมความม �นคงปลอดภย โดยมการจดทามาตรการและตดต >งการควบคมปองกนการเขาถงสารสนเทศท�อปกรณอยางเหมาะสม เพ�อปองกนการลกลอบขโมยขอมลและถกทาลายเสยหาย

A.11.2.7 ความม �นคงปลอดภยสาหรบการกาจดหรอทาลายอปกรณ หรอการนาอปกรณไปใชงานอยางอ�น (Secure disposal or re-use of equipment)

� ฝายไอท มมาตรการในการควบคมและทาลายสารสนเทศท�อยภายในอปกรณ เม�อมการเลกใชงาน (disposal) หรอการนากลบมาใชใหม (re-use) รวมถงการสงอปกรณซอมแซมภายนอก เพ�อปองกนการร �วไหลของขอมลบรษท

A.11.2.8 อปกรณของผใชงานท�ท>งไวโดยไมมผดแล (Unattended user equipment)

� ฝายไอท มมาตรการควบคมและดแลอปกรณ หรอสารสนเทศในชวงเวลาไมใชงาน เชน มการ Save Screen เม�อไมมการใชงาน, หลงเลกงานอปกรณแบบพกพาหรอสารสนเทศท�สาคญ จะตองจดเกบในท�ปลอดภย เพ�อลดความเส�ยงเร�องการขโมยขอมล หรอขอมลร �วไหล

A.11.2.9 นโยบายโตะทางานปลอดเอกสารสาคญและนโยบายการปองกนหนาจอคอมพวเตอร (Clear desk and clear screen policy)

� ฝายไอท ตองควบคมและสรางความเขาใจแกผใชงานในการระมดระวงปองกนมใหมการวางสารสนเทศท�มความสาคญบนโตะทางาน, ในหนาจอ หรอพ>นท�ทางาน เพ�อลดความเส�ยงเร�องการขโมยขอมล หรอขอมลร �วไหล

171


A.12.1

A.12.1.1 ข >นตอนการปฏบตงานท�เปนลายลกษณอกษร (Documented operating procedures)

� ฝายไอท ตองจดทาและปรบปรงเอกสารข >นตอนในการทางานดานระบบเทคโนโลยสารสนเทศ โดยจดทาเปนเอกสาร หรอคมอ ซ�งจดเกบไวในท�ปลอดภย ซ�งจะตองทบทวนหรอปรบปรงแกไขทกคร >งท�มการเปล�ยนแปลง เพ�อใหม �นใจไดวากระบวนการบรหารจดการระบบเทคโนโลยสารสนเทศเกดข>นภายใตข >นตอนและวธการเดยวกน

A.12.1.2 การบรหารจดการการเปล�ยนแปลง (Change management)

� เม�อมการเปล�ยนแปลงใดๆเกดข>นในระบบเทคโนโลยสารสนเทศ ฝายไอท หรอผปฏบตงาน จะตองปฏบตตามมาตรฐานการจดการความเปล�ยนแปลง

A.12.1.3 การบรหารจดการขดความสามารถของระบบ (Capacity management)

� ฝายไอท มการบรหารจดการ, วางแผน, เฝาระวง, ประเมน และคาดการณอตราการทางานของอปกรณเครอขายและแมขาย ไดแก ซพย, แรม, พ>นท�จดเกบ โดยการจดทาเปนรายงานการใชงานปจจบน เพ�อใหม �นใจวาระบบสามารถไดอยางเหมาะสมเพยงพอ

A.12.1.4 การแยกสภาพแวดลอมสาหรบการพฒนา การทดสอบ และการใหบรการออกจากกน (Separation of development, testing and operational environments)

� ฝายไอท ตองจดสรรและควบคมการใชทรพยากรระบบเทคโนโลยสารสนเทศ ท�อยในข >นตอนระหวางการพฒนา และเพ�อทดสอบระบบ ออกจากระบบท�ใชงานในกระบวนการทางานจรง เพ�อลดความเส�ยงจากการเสยหายของทรพยากรระบบ และควบคมมใหสารสนเทศร �วไหลในระหวางการทดสอบระบบ

ความม 6นคงปลอดภยสาหรบการดาเนนงาน (Operations Security)

ข Uนตอนการปฏบตงานและหนาท6ความรบผดชอบ (Operational Procedures and Responsibilities)

172


A.12.2.1 มาตรการปองกนโปรแกรมไมประสงคด (Controls against malware)

� ฝายไอท จดทามาตรฐานและข >นตอนในการจดหาซอฟทแวร หรอกาหนดวธการปองกนซอฟทแวรไมพงประสงค โดยการตดต >งซอฟทแวรปองกน หรอกาหนดคาปองกน การ Hardening ในซอฟทแวรหรอระบบปฏบตการอยางเหมาะสม ซ�งมาตรฐานและข >นตอนน>จะตองปรบปรงและแกไขตามการเปล�ยนแปลงระบบ และทนสมยตอการคกคามดานเทคโนโลยสารสนเทศ เพ�อลดความเส�ยงตอการเสยหาย หรอสญหายของสารสนเทศ

A.12.3

A.12.3.1 การสารองขอมล (Information backup) � ฝายไอท มการจดทานโยบายการสารองขอมล และสรางระบบสารองขอมลท�มความเหมาะสมกบทรพยากร, ความสาคญของขอมล และความสะดวกในการเขาถง ท >งภายในและภายนอกสถานท�ซ�งมความปลอดภยดานกายภาพ พรอมท >งดาเนนการทดสอบการกคน อยางนอย 1 คร >งทก 2 เดอน เพ�อสรางความม �นใจวาหากเกดเหตการณไมปกต ขอมลและสารสนเทศจะถกเรยกใชกลบมาไดเพยงพอกบการดาเนนธรกจของบรษทฯ

การปองกนโปรแกรมไมประสงคด (Protection from Malware)

การสารองขอมล (Backup)

173


A.12.4.1 การบนทกขอมลลอกแสดงเหตการณ (Event logging)

� ฝายไอท ตองจดเกบกจกรรมท�เกดข>นโดยผดแลระบบ หรอผมสทธ Yในการดาเนนการท�เก�ยวของกบการทางานของระบบปฏบตการ ใหมความสอดคลองกบนโยบายความม �นคงปลอดภยฯ เพ�อตรวจสอบการทางานของผดแลระบบน >นวาไดปฏบตตามท�แจงขอเปล�ยนแปลงระบบ (Request for Change) หรอไม เพ�อปองกน,ตรวจสอบตดตามการดาเนนการใดๆบนระบบเทคโนโลยสารสนเทศโดยไมมสทธ Y หรอกระทาโดยมชอบ ซ�งจะตองตรวจสอบกจกรรมของผดแลระบบทกคร >งหลงจากส>นสดการเปล�ยนแปลง

A.12.4.2 การปองกนขอมลลอก (Protection of log information)

� ฝายไอท ตองกาหนดมการกาหนดสทธก ารเขาถงขอมลบนทกการเขาออกของระบบ

A.12.4.3 ขอมลลอกกจกรรมของผดแลระบบและเจาหนาท�ปฏบตการระบบ (Administrator and operator logs)

� มการจดเกบ Log ผดแลระบบ หรอผมสทธ Yในการดาเนนการท�เก�ยวของกบการทางานของระบบปฏบตการ ใหมความสอดคลองกบนโยบายความม �นคงปลอดภยฯ เพ�อตรวจสอบการทางานของผดแลระบบน >นวาไดปฏบตตามท�แจงขอเปล�ยนแปลงระบบ (Request for Change) หรอไม เพ�อปองกน,ตรวจสอบตดตามการดาเนนการใดๆบนระบบเทคโนโลยสารสนเทศโดยไมมสทธ Y หรอกระทาโดยมชอบ

การบนทกขอมลลอกและการเฝาระวง (Logging and Monitoring)

174

หวขอ มาตรการการควบคม เลอกใชมาตรการ รายละเอยดการใชมาตรการA.12.4.4 การต >งนาฬกาใหถกตอง (Clock

Synchronization)� มการตดต >งระบบการเทยบเวลาของอปกรณในระบบเทคโนโลยสารสนเทศ ใหม

ความแมนยา โดยใชงานโปรโตคอล NTP กบสถาบนมาตรวทยาแหงชาต อยางนอยทก 6 ช �วโมง เพ�อใหม �นใจไดวาขอมลวนเวลาท�เกดข>นใน Log ของระบบถกตอง ซ�งจะสงผลใหกระบวนการทางาน, วเคราะหขอมลเปนไปอยางถกตองแมนยา

A.12.5

A.12.5.1 การตดต >งซอฟตแวรบนระบบใหบรการ (Installation of software on operational systems)

� มการกาหนดข >นตอนและควบคมการตดต >งซอฟทแวรบนระบบปฏบตการใหมความเหมาะสมกบการใชงานของผใชงานท�เก�ยวของ ตามสทธ Yและเทาท�จาเปน โดยการจดทารายการซอฟทแวรแบงตามความจาเปนและเหมาะสมของผใชงานตามสทธ Yท�ถกกาหนดไว และควบคมมใหมการตดต >งหรอใชงานซอฟทแวรท�เกนความจาเปน

A.12.6

A.12.6.1 การบรหารจดการชองโหวทางเทคนค (Management of technical vulnerabilities)

� มกระบวนการควบคมชองโหวของระบบเทคโนโลยสารสนเทศท�อยในกระบวนการทางานและการดาเนนธรกจ โดยการรวบรวมหาขอมลชองโหวจากการแจงเตอนของเจาของเทคโนโลยน >น หรอใชซอฟทแวรชวยตรวจสอบหาชองโหว หรอคนพบจากการประเมนความเส�ยงท�ผานมา แลวดาเนนการแกไขปรบปรงแกไขชองโหวน >นอยางเหมาะสม

การบรหารจดการชองโหวทางเทคนค (Technical Vulnerability Management)

การควบคมการตดต >งซอฟตแวรบนระบบใหบรการ (Control of operational software)

175

หวขอ มาตรการการควบคม เลอกใชมาตรการ รายละเอยดการใชมาตรการA.12.6.2 การจากดการตดต >งซอฟตแวร (Restrictions

on software installation)� มการกาหนดข >นตอนและควบคมการตดต >งซอฟทแวรบนระบบปฏบตการใหม

ความเหมาะสมกบการใชงานของผใชงานท�เก�ยวของ ตามสทธ Yเทาท�จาเปน และควบคมมใหมการตดต >งหรอใชงานซอฟทแวรท�เกนความจาเปน ซ�งการตดต >งจะดาเนนการโดยเจาหนาท�ฝายไอทเทาน >น

A.12.7

A.12.7.1 มาตรการการตรวจประเมนระบบ (Information systems audit controls)

� มมาตรการในการตรวจสอบระบบอยางนอย 2 คร >งตอป

A.13

A.13.1

A.13.1.1 มาตรการเครอขาย (Network controls) � ฝายไอท มมาตรการบรหารจดการ, วางแผน, จดหา และดาเนนการใหระบบเครอขายสามารถใชงานไดอยางมประสทธภาพ เพยงพอตอการดาเนนธรกจ และมความม �นคงปลอดภย สามารถรบมอและปองกนการคกคามท >งดานกายภาพ และดานเทคนค พรอมท >งมการตดตาม, ทบทวน,ปรบปรงกระบวนการทางานเม�อมการเปล�ยนแปลงอยเสมอ

ความม 6นคงปลอดภยสาหรบการส6อสารขอมล (Communications security)

การบรหารจดการความม 6นคงปลอดภยของเครอขาย (Network Security Management)

ส6งท6ตองพจารณาในการตรวจประเมนระบบ (Information Systems Audit Considerations)

176

หวขอ มาตรการการควบคม เลอกใชมาตรการ รายละเอยดการใชมาตรการA.13.1.2 ความม �นคงปลอดภยสาหรบบรการเครอขาย

(Security of network services)� ฝายไอท มการควบคมและตรวจสอบการใหบรการดานระบบเครอขายท >งจากฝาย

ไอท และผใหบรการภายนอก ใหมความสอดคลองกบนโยบายความม �นคงปลอดภยฯ อนสงผลใหการบรการดานเครอขายท�มประสทธภาพเพยงพอและมความม �นคงปลอดภย ซ�งดาเนนการตรวจสอบและควบคมเปนประจาทกเดอน

A.13.1.3 การแบงแยกเครอขาย (Segregation in networks)

� มการวางแผน ออกแบบ และสรางระบบเครอขาย โดยแบงเครอขายออกเปนสดสวนอยางเหมาะสม เพ�อควบคมการเขาถงเคร�อขายท >งภายในและภายนอกองคกร

A.13.2

A.13.2.1 นโยบายและข >นตอนปฏบตสาหรบการถายโอนสารสนเทศ (Information transfer policies and procedures)

� ยงไมมข >นตอนปฏบตเปนลายลกษณอกษร

A.13.2.2 ขอตกลงสาหรบการถายโอนสารสนเทศ (Agreements on information transfer)


A.13.2.3 การสงขอความทางอเลกทรอนกส (Electronic messaging)

� ในเคร�อง PC มการตดต >ง Software Encryption มการใหความรความเขาใจ

การถายโอนสารสนเทศ (Information transfer)

177

หวขอ มาตรการการควบคม เลอกใชมาตรการ รายละเอยดการใชมาตรการA.13.2.4 ขอตกลงการรกษาความลบหรอการไม

เปดเผยความลบ (Confidentiality or non-disclosure agreements)

� มการลงนาม Non-disclosure agreements ทกคร >งเม�อรบพนกงานใหม หรอผใหบรการรายใหม

A.14

A.14.1

A.14.1.1 การวเคราะหและกาหนดความตองการดานความม �นคงปลอดภยสารสนเทศ (Information security requirements analysis and specification)


A.14.1.2 ความม �นคงปลอดภยของบรการสารสนเทศบนเครอขายสาธารณะ (Securing application services on public networks)

� มการประเมนการบรการ แตไมไดเขยนขอกาหนดไวเปนลายลกษณอกษร

A.14.1.3 การปองกนธรกรรมของบรการสารสนเทศ (Protecting application services transactions)


A.14.2

A.14.2.1 นโยบายการพฒนาระบบใหมความม �นคงปลอดภย (Secure development policy)

� ยงไมมแผนการปฏบต

การจดหา การพฒนา และการบารงรกษาระบบ (System acquisition, development and maintenance)

ความตองการดานความม 6นคงปลอดภยของระบบ (Security requirements of information systems)

ความม 6นคงปลอดภยสาหรบกระบวนการพฒนาและสนบสนน (Security in development and support processes)

178

หวขอ มาตรการการควบคม เลอกใชมาตรการ รายละเอยดการใชมาตรการA.14.2.2 ข >นตอนปฏบตสาหรบควบคมการ

เปล�ยนแปลงระบบ (System Change control procedures)

� ม Change Request เสมอ

A.14.2.3 การทบทวนทางเทคนคตอระบบหลงจากเปล�ยนแปลงโครงสรางพ>นฐานของระบบ (Technical review of applications after operating platform changes)

� มการทบทวน แตไมมข >นตอนการปฏบตเปนลายลกษณอกษร

A.14.2.4 การจากดการเปล�ยนแปลงซอฟตแวรสาเรจรป (Restrictions on changes to software packages)

� มนโยบายควบคมการตดต >ง Software

A.14.2.5 หลกการวศวะกรรมระบบดานความม �นคงปลอดภย (Secure system engineering principles)


A.14.2.6 สภาพแวดลอมของการพฒนาระบบท�มความม �นคงปลอดภย (Secure development environment)

� มการแยกระบบ Prodution และ Develop แยกออกจากกน

A.14.2.7 การจางหนวยงานภายนอกพฒนาระบบ (Outsourced development)

� มการตรวจสอบ และมสญญาการจาง

179

หวขอ มาตรการการควบคม เลอกใชมาตรการ รายละเอยดการใชมาตรการA.14.2.8 การทดสอบดานความม �นคงปลอดภยของ

ระบบ (System security testing)� ยงไมมข >นตอนปฏบตเปนลายลกษณอกษร

A.14.2.9 การทดสอบเพ�อรบรองระบบ (System acceptance testing)


A.14.3 ขอมลสาหรบการทดทดสอบ (Test data)

A.14.3.1 การปองกนขอมลสาหรบการทดสอบ (Protection of test data)

� มการปฏบต แตยงไมมข >นตอนปฏบตเปนลายลกษณอกษร

A.15

A.15.1

A.15.1.1 นโยบายความม �นคงปลอดภยสารสนเทศดานความสมพนธกบผใหบรการภายนอก (Information security policy for supplier relationships)

� มการกาหนดเร�องการเขาถงทรพยสนในสญญาการจาง และการลงนาม Non-dislosure เสมอ

A.15.1.2 การระบความม �นคงปลอดภยในขอตกลงการใหบรการของผใหบรการภายนอก (Addressing security within supplier agreements)

� มการกาหนดเร�องการเขาถงทรพยสนในสญญาการจาง และการลงนาม Non-dislosure เสมอ

ความม 6นคงปลอดภยสารสนเทศกบความสมพนธกบผใหบรการภายนอก (Information security in supplier relationship

ความสมพนธกบผใหบรการภายนอก (Supplier relationships)

180

หวขอ มาตรการการควบคม เลอกใชมาตรการ รายละเอยดการใชมาตรการA.15.1.3 หวงโซการใหบรการเทคโนโลยสารสนเทศ

และการส�อสารโดยผใหบรการภายนอก (Information and communication technology supply chain)


A.15.2

A.15.2.1 การตดตามและทบทวนบรการของผใหบรการภายนอก (Monitoring and review of supplier services)

� มการตดตาม แตยงไมมข >นตอนปฏบตเปนลายลกษณอกษร

A.15.2.2 การบรหารจดการการเปล�ยนแปลงบรการของผใหบรการภายนอก (Managing changes to supplier services)


A.16

A.16.1

A.16.1.1 หนาท�ความรบผดชอบและข >นตอนปฏบต (Responsibilities and procedures)

� มนโยบาย Management Inforation Security Incident และม Flow Process ในการปฏบต

การบรหารจดการการใหบรการโดยผใหบรการภายนอก (Supplier service delivery management)

การบรหารจดการเหตการณความม 6นคงปลอดภยสารสนเทศ (Information Security Incident Management)

การบรหารจดการเหตการณความม 6นคงปลอดภยสารสนเทศและการปรบปรง (Management of information security incidents and improvements)

181

หวขอ มาตรการการควบคม เลอกใชมาตรการ รายละเอยดการใชมาตรการA.16.1.2 การรายงานสถานการณความม �นคงปลอดภย

สารสนเทศ (Reporting information security events)

� มนโยบายให IT Support มการ Report Hitachi Helpdesk เสมอ

A.16.1.3 การรายงานจดออนความม �นคงปลอดภยสารสนเทศ (Reporting information security weaknesses)

� มนโยบายใหผใชงานแจงจดออนท�พบกบเจาหนาท� IT การตรวจสอบ คนหาชองโหวผใชงานไมสามารถทาไดหากไมมการอนญาตเปนลายลกษณอกษร

A.16.1.4 การประเมนและตดสนใจตอสถานการณความม �นคงปลอดภยสารสนเทศ (Assessment of and decision on information security events)


A.16.1.5 การตอบสนองตอเหตการณความม �นคงปลอดภยสารสนเทศ (Response to information security incidents)


A.16.1.6 การเรยนรจากเหตการณความม �นคงปลอดภยสารสนเทศ (Learning from information security incidents)

�

A.16.1.7 การเกบรวบรวมหลกฐาน (Collection of evidence)

� มเกบรวบรวม และสรปจานวนเหตการณท�เกดข>นทกป

182


A.17

A.17.1

A.17.1.1 การวางแผนความตอเน�องดานความม �นคงปลอดภยสารสนเทศ (Planning information security continuity)

� มการวางแผนความตอเน�อง

A.17.1.2 การปฏบตเพ�อเตรยมการสรางความตอเน�องดานความม �นคงปลอดภยสารสนเทศ (Implementing information security continuity)

� มการประเมนความเส�ยง และจดทาแผนการลดความเส�ยง

A.17.1.3 การตรวจสอบ การทบทวน และการประเมนความตอเน�องดานความม �นคงปลอดภยสารสนเทศ (Verify, review and evaluate information security continuity)

� มการทบทวนแผนการลดความเส�ยง ประเมนผล

A.17.2

ความตอเน6องดานความม 6นคงปลอดภยสารสนเทศ (Information security continuity)

การเตรยมการอปกรณประมวลผลสารอง (Redundancies)

ประเดนดานความม 6นคงปลอดภยสารสนเทศของการบรหารจดการเพ6อสรางความตอเน6องทางธรกจ (Information security aspects of business continuity Management)

183

หวขอ มาตรการการควบคม เลอกใชมาตรการ รายละเอยดการใชมาตรการA.17.2.1 สภาพความพรอมใชของอปกรณประมวลผล

สารสนเทศ (Availability of information processing facilities)

� มการแผนการบารงรกษา

A.18

A.18.1

A.18.1.1 การระบกฎหมายและความตองการในสญญาจางท�เก�ยวของ (Identification of applicable legislation and contractual requirements)

� มการระบกฏหมายท�เก�ยวของไวในสญญา

A.18.1.2 สทธในทรพยสนทางปญญา (Intellectual property rights)

� มนโยบายในการควบคมหามละเมด

A.18.1.3 การปองกนขอมล (Protection of records) � มนโยบายในการปองกนทรพยสน

A.18.1.4 ความเปนสวนตวและการปองกนขอมลสวนบคคล (Privacy and protection of personal identifiable information)

� มนโยบายในการปองกนขอมลสวนบคคล

ความสอดคลอง (Compliance)

ความสอดคลองกบความตองการดานกฎหมายและในสญญาจาง (Compliance with legal and contractual requirements)

184

หวขอ มาตรการการควบคม เลอกใชมาตรการ รายละเอยดการใชมาตรการA.18.1.5 ระเบยบขอบงคบสาหรบมาตรการเขารหส

ขอมล (Regulation of cryptographic controls)

� มนโยบายในการตดต >ง Software Encryption

A.18.2

A.18.2.1 การทบทวนอยางอสระดานความม �นคงปลอดภยสารสนเทศ (Independent review of information security)

� มการทบทวนเร�องความม �นคงปลอดภย โดยผบรหารดาน IT อยางนอยปละคร >ง หรอเม�อมการเปล�ยนแปลง

A.18.2.2 ความสอดคลองกบนโยบายและมาตรฐานดานความม �นคงปลอดภย (Compliance with security policies and standards)

� มการทบทวนความสอดคลองตามนโยบายความม �นคงปลอดภย โดยผบรหารดาน IT อยางนอยปละคร >ง หรอเม�อมการเปล�ยนแปลง

A.18.2.3 การทบทวนความสอดคลองทางเทคนค (Technical compliance review)

� มการทบทวนความสอดคลอดานเทคนค โดยผบรหารดาน IT ทกคร >งเม�อมการเปล�ยนแปลง

การทบทวนความม 6นคงปลอดภยสารสนเทศ (Information security reviews)

185

186

เอกสารอางอง

[1] ปรญญ เสรพงศ, ระบบการจดการความม �นคงปลอดภยของสารสนเทศ, 2008

[2] International Standard ISO/IEC 27001 First Edition, 2013

[3] International Standard ISO/IEC 27002 Second Edition, 2013

[4] International Standard ISO/IEC 27005 First Edition, 2011

187

ภาคผนวก ก

นโยบายความม �นคงปลอดภยสารสนเทศ

(Siam Hitachi Elevator Security Policy)

�� !

��

��

� !"#�!$%�&� ��

� ��

��

%'�!� #!$%�&� (�� )�*��)(�� )�*��)(�� )�*��)(�� )�*��)��

� ��

+��

��%� ��

��

��

��

��

�� !� �� "��

��

��

��

�� #� ��

�� $�� #� ��

��"�"� ��

%��

�� &'�(�

)�� %�� %��

��"��#�

*��

�� %�� )�� +��"��"��

�� !"

��

��

� !"#�!$%�&� ��

� ��

��

%'�!� #!$%�&� (�� )�*��)(�� )�*��)(�� )�*��)(�� )�*��)��

� ��

+��

��%� ��

��!��

�� %� �� %��

&'�(� *��,-#�,('.� /��

�� !"

��

��

� !"#�!$%�&� ��

� ��

��

%'�!� #!$%�&� (�� )�*��)(�� )�*��)(�� )�*��)(�� )�*��)��

� ��

+��

��%� ��

��

��

��

� ��

�� "�� #� ��

��

��#� ��

�� 0��

��

�� "��"��

�� #�� #��

�� #� �� #��

��

1'2�� )��"�� 0��

��

1,2�)�� "��

��

�� #��#�� "��$��

�� !"

��

��

� !"#�!$%�&� ��

� ��

��

%'�!� #!$%�&� (�� )�*��)(�� )�*��)(�� )�*��)(�� )�*��)��

� ��

+��

��%� ��

132�� #� ��"��"��

�"�� 0��

��

1.2�� "��

��

1-2�� "��

142�5��#�� 0�� "�� #�� "��

*��6�

%� �6�

�� !"

��

��

� !"#�!$%�&� ��

� ��

��

%'�!� #!$%�&� (�� )�*��)(�� )�*��)(�� )�*��)(�� )�*��)��

� ��

+��

��%� ��

��

��

1'2�� 0�� #� �� #��#��

��#�� #�� #�� #�� #�

�� #�� #�� #� ��

�� /� ��#� ��

�� 0�� #� ��"�� "��#� �� #� ��

��

1,2�� "��"��

�� #��#��"��#� ��"��#�� $ ��"��#��

�� #�� #� �� 0��

��

��

��

��

��

1'2�78��

78�� "�� #��

��

�� !"

��

��

� !"#�!$%�&� ��

� ��

��

%'�!� #!$%�&� (�� )�*��)(�� )�*��)(�� )�*��)(�� )�*��)��

� ��

+��

��%� ��

1,2��

��

��

�8��

132��

��

�� 0�� 8��

1.2�� *�� 9"��

�� *�� 9"��

�� #�� #��

1-2�� 9"��

�� 9"�� *��

"� �� $��

��0��

142�5��

5�� "��"� ��

��5��

��

�� !"

��

��

� !"#�!$%�&� ��

� ��

��

%'�!� #!$%�&� (�� )�*��)(�� )�*��)(�� )�*��)(�� )�*��)��

� ��

+��

��%� ��

1:2��%��

��%�� "��

%�� #�

�� #��#��

1;2�<��

*�� #�� #�

� ��#��"� ��

��

3�'�� "��#�� 1,((-$�*�;�,�,#�,('3$*�:�,�,2�

*�� "��

�� =��

��

�� )�� "��

��

5�� >��"��

<��

�� !"

��

��

� !"#�!$%�&� ��

� ��

��

%'�!� #!$%�&� (�� )�*��)(�� )�*��)(�� )�*��)(�� )�*��)��

� ��

+��

��%� ��

3�,�%��1,((-$�*�;�,�3#�,('3$*�:�,�32�

/�� "� �� )��

�� #��

��

!�� %��

��

*�� <��

!� "��#��

.�'��

�� #�

��0�� #�� 0��

��

�� %��

��

.�,�5��

�� #��#� �� #�� #�� "� ��

��

�� !

��

��

� !"#�!$%�&� ��

� ��

��

%'�!� #!$%�&� (�� )�*��)(�� )�*��)(�� )�*��)(�� )�*��)��

� ��

+��

��%� ��

��

�� %��

��"� ��

��

�� *�� 9"�� *��

<�� !�� "� ��

��

.�3�)��

)�� 1)��2�� 0��

�� "��

��

�� %��

�� )��#��

��

��

�� *�� 9"�� *��

�� !�� "

��

��

� !"#�!$%�&� ��

� ��

��

%'�!� #!$%�&� (�� )�*��)(�� )�*��)(�� )�*��)(�� )�*��)��

� ��

+��

��%� ��

$� "��#�� %&��

-�'�<�� "��

�� "��

��#�� "��6�

1�2 ?�� #� ��

��

1�2 *��1��2�� #��

��

1�2 �� 0�� "��"� ��

��

<�� <�� "� ��

��

-�,��

+��0�� #��

��

�� #� "�� #� ��

��

�� !

��

��

� !"#�!$%�&� ��

� ��

��

%'�!� #!$%�&� (�� )�*��)(�� )�*��)(�� )�*��)(�� )�*��)��

� ��

+��

��%� ��

��

�� 9"��

��

<�� <�� "� ��

'� ��

'��(��#�� )��#��

�� $�� "��

�� "��6�

1�2�*�� 0��%�� 1��2�

1�2�� %��"��

��

5�� 0�� $��

��"� ��

�� 9"�� $

�� "� ��

�� !�� "

��

��

� !"#�!$%�&� ��

� ��

��

%'�!� #!$%�&� (�� )�*��)(�� )�*��)(�� )�*��)(�� )�*��)��

� ��

+��

��%� ��

'��

*�� "� ��

�� "� ��@��$ �$��"A��#� ��0��

��

��

�� 9"�� %��

��

'��"��#�� *��#��#��

��

�� "��6�

1�2�*�� 0�� >�

��

1�2��

1�2�*�� %��

��

��

5�� 0��

��"� ��

�� !�� "

��

��

� !"#�!$%�&� ��

� ��

��

%'�!� #!$%�&� (�� )�*��)(�� )�*��)(�� )�*��)(�� )�*��)��

� ��

+��

��%� ��

�� 9"��

�� "� ��

+� ��"��#��

+�� #��,��*��

+� �� "�� #� �� #�

�� #�� "�� "��6�

1�2 )�� "�� 1��

�� 2��

1�2 �� "�� "��1�� $�� "��2��

1�2 )�� "�� 1��8��#��8�� 2��

��

��%��

�� 9"��

��

+��"��#�� *��-��#��

��

�� "��6�

1�2 *�0�� 6� )�� 0��

�� 1��8��#��"��

�� !�� "

��

��

� !"#�!$%�&� ��

� ��

��

%'�!� #!$%�&� (�� )�*��)(�� )�*��)(�� )�*��)(�� )�*��)��

� ��

+��

��%� ��

�� "��2��

1�2 �� 6��

"� �� "�� #��

�� #� �� 1�� 2#��

��

1�2 7�� 6�� #��

�� 1"� �� 2��

1�2 %�� 6�*�� +��

��"��#��#��

��

��%�� *�0��

�� 9"�� %��

.� ��

.��/��, �0��

�� "�� "�� #� ��

� �� "�� "��6�

(a) 7� �� "��

(b) <�� "��0�� 1��"��#�� 2#�� #�� #��0��

��

�� !�� "

��

��

� !"#�!$%�&� ��

� ��

��

%'�!� #!$%�&� (�� )�*��)(�� )�*��)(�� )�*��)(�� )�*��)��

� ��

+��

��%� ��

(c) 7�� 1�� #�� 2� ��

�� "��1�� 2��"�� "��

��

��%�� %�� "��

��

.��#��#�� , �0��

�� "�� 1�� 2� ��

"�� "��#��"�� >�� "��#�� B��

�� "��

��

��%�� "��

.��%�� #��#�

7�� 1��#� � ��2� � � ��

��

�� 8 ��1��#�� "��#�

��#�� 2#��

��

�� !�� "

��

��

� !"#�!$%�&� ��

� ��

��

%'�!� #!$%�&� (�� )�*��)(�� )�*��)(�� )�*��)(�� )�*��)��

� ��

+��

��%� ��

��%��

��

)��

�8 ��

<�� "� ��

1� " �� #

1��" ��*��

*�� 1��)�� 2��

�� * �� "�� 6�

1�2��

1�2�)��

1�2�)�� 1��"�� #�� #�

� ��2�

1�2�� $�"��0��

��

�� %��

��%��

5�� *��

<�� "� ��

�� !�� "

��

��

� !"#�!$%�&� ��

� ��

��

%'�!� #!$%�&� (�� )�*��)(�� )�*��)(�� )�*��)(�� )�*��)��

� ��

+��

��%� ��

�2� "��#��

�2��

��

�� "�� 6�

1�2 )�� #� �� #� �� #� ��

��

1�2 )��

��

1�2 )�� 1��

�� )�� 2�

��

�� )��

��

<�� )��

�� %*�� *��

��

�� "�� $��#� ��

�� #�� $��

��

�� !�� "

��

��

� !"#�!$%�&� ��

� ��

��

%'�!� #!$%�&� (�� )�*��)(�� )�*��)(�� )�*��)(�� )�*��)��

� ��

+��

��%� ��

$�)��$�� %��!� ��#�5 ��

$�� *�� 9��!� ��#�5 �� )��

��

$��"�� 8��

��

��

�� !�� !

��

��

� !"#�!$%�&� ��

� ��

��

%'�!� #!$%�&� (�� )�*��)(�� )�*��)(�� )�*��)(�� )�*��)��

� ��

+��

��%� ��

�� #��

��#��/ �� 3�� #��3�� /��

��

Documents

˘ˇ ISO/IEC 27001 : 2013 8 9: ; Anusorn Pattanarach¸ารบริหารจัดการ... · ˘ˇ ˙ ˙ ˝ ISO/IEC 27001:2013 Information Security Management according to