Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
การพฒนานโยบายดานความมนคงปลอดภย ภายใตมาตรฐาน ISO 27001:2005 กรณศกษาส าหรบ สถาบนวจยแหงหนง
Developing Security Policy Under ISO 27001:2005 Standard Case Study for Research Institute
ประกจ อนทรกษ
สารนพนธนเปนสวนหนงของการศกษา หลกสตรวทยาศาสตรมหาบณฑต สาขาวชาเทคโนโลยสารสนเทศ
คณะวทยาการและเทคโนโลยสารสนเทศ มหาวทยาลยเทคโนโลยมหานคร
ปการศกษา 2556
I
หวขอ การพฒนานโยบายดานความมนคงปลอดภย ภายใตมาตรฐาน ISO 27001:2005 กรณศกษา สถาบนวจย แหงหนง ชอนกศกษา ประกจ อนทรกษ
รหสนกศกษา 5517680005
หลกสตร วทยาศาสตรมหาบณฑต สาขาเทคโนโลยสารสนเทศ ปการศกษา 2556
อาจารยทปรกษา รศ.ดร.ฤกษชย ฟประทปศร
บทคดยอ
โครงงานการพฒนานโยบายดานความมนคงปลอดภยสารสนเทศภายใตมาตรฐาน ISO/IEC 27001:2005 กรณศกษาส าหรบ สถาบนวจย แหงหนง จดท าขนโดยมวตถประสงคเพอจดท ารางนโยบายดานความมนคงปลอดภยของระบบสารสนเทศ เพอใชเปนแนวทางในการปฏบตงาน รวมถงการวเคราะห และการประเมนความเสยงใหกบองคกร เพอใหองคกรไดทราบถงระดบของความเสยงทองคกรมอย เพอจดท าแผนการบรหารจดการความเสยงลดระดบความเสยงทองคกรสามารถยอมรบได เพอใหลดผลกระทบหรอโอกาสทจะเกดขนกบองคกร ท าใหองคกรสามารถด าเนนกจกรรมทางดานสารสนเทศไดอยางตอเนอง และมประสทธภาพ
II
กตตกรรมประกาศ
โครงงานนพฒนาส าเรจลลวงได เนองจากการสนบสนนและใหค าปรกษาเกยวกบแนวทางในการศกษาคนควา จากทานอาจารย รศ.ดร.ฤกษชย ฟประทปศร ทปรกษาโครงงาน และทานอาจารย ดร.บรรจง หะรงษ ทางผจดท าโครงงานตองขอขอบพระคณทานอาจารยทงสองทานเปนอยางสงทไดกรณาสละเวลาอนมคาในการใหค าแนะน าปรกษาอนประโยชนตอการท าโครงงานนมาโดยตลอด และคณาจารยทกทานของภาควชาเทคโนโลยสารสนเทศ จากมหาวทยาลยเทคโนโลยมหานคร ทไดใหความรความเขาใจในดานความมนคงปลอดภยสารสนเทศ อนเปนประโยชนตอการคนควาศกษาในการท าโครงงานนจนส าเรจ ขอบพระคณ คณพอ และคณแมทใหการสนบสนนดานการศกษา และเพอนๆ ทคอยใหค าปรกษาและเปนก าลงใจเสมอมา
โครงงานนจะส าเรจไมไดหากไมไดรบการสนบสนนจากองคกรของผจดท าโครงงาน หวหนาฝายระบบจดการคอมพวเตอรและเครอขาย ทไดใหความส าคญในเรองความมนคงปลอดภยของระบบสารสนเทศ รวมถง บคลากร และเจาหนาทของ ฝายระบบจดการคอมพวเตอรและเครอขายทไดใหขอมลและค าปรกษาในการจดท าโครงงานน ผจดท าโครงงาน ตองขอขอบพระคณทกทานเปนอยางสงมา ณ โอกาสน
ประกจ อนทรกษ
มนาคม 2557
III
สารบญ
หนา
บทคดยอ………………………………………………………………………………………. I กตตกรรมประกาศ…………………………………………………………………………….. II สารบญ…………………………………………………………………………………………. III สารบญ (ตอ)…………………………………………………………………………… ……… IV สารบญตาราง………………………………………………………………………………….. V สารบญรปภาพ………………………………………………………………………………… VI บทท 1 บทน า………………………………………………………………………………….. 1 1.1 ปญหาและแรงจงใจ..............................…….…………………………………... 1 1.2 แนวทางการแกไขปญหา....……………………………………………………... 2 1.3 วตถประสงคของโครงงาน………………………………………………………. 2 1.4 ขอบเขตของโครงงาน......……………………………………………………….. 2 1.5 ประโยชนทคาดวาจะไดรบ............................................................................. 3 1.6 แผนการด าเนนงานด าเนนโครงงาน.…………...………………………………. 4 บทท 2 พนฐานและทฤษฎทเกยวของ………………………………………………………... 6 2.1 ความมนคงปลอดภยสารสนเทศ………………………………………………… 6 2.2 องคประกอบของความมนคงปลอดภยสารสนเทศ……………………………... 6 2.3 ภยคกคาม และชองโหว…………………………………………………………. 7 2.4 มาตรฐานการจดการความมนคงปลอดภยสารสนเทศ…………………………. 9 2.5 กระบวนการ PDCA……………………………………………………………… 9 2.6 การบรหารจดการความเสยงสารสนเทศ………………………………………… 12 บทท 3 การด าเนนงาน…...……………………………………………………………………. 14 3.1 ขนตอนในการด าเนนงาน…………………...…………………………………… 14 บทท 4 ผลการด าเนนงาน…………………………………………………………................. 23 4.1 บทน า……………………………………...……………………………………... 23 4.2 ผลการประเมนความเสยงระบบสารสนเทศกอนการบรหารจดการความเสยง… 23
IV
สารบญ (ตอ)
หนา
4.3 แนวทางการบรหารจดการความเสยง............................................................. 53 4.4 ผลการประเมนความเสยงระบบสารสนเทศหลงการบรหารจดการความเสยง… 82 4.5 นโยบายดานความมนคงปลอดภยระบบสารสนเทศ…………….……………… 111 4.6 เอกาสารมาตรการตามมาตรฐาน ISO 27001 (SOA)………………………….. 115 บทท 5 สรปผลโครงงาน…………………………………………………………………......... 182 5.1 สรปผลการประเมนความเสยงกอนการบรหารจดการความเสยง………………. 182 5.2 สรปผลการประเมนความเสยงหลงการบรหารจดการความเสยง……… ………. 182 5.3 สรปการด าเนนงานในการจดการความเสยง……………………………………. 183 5.4 ขอเสนอแนะ………………………………………………………………………. 184 เอกสารอางอง………………………………………………………………… ……………….. 185
V
สารบญตาราง
หนา
1.1 แผนการด าเนนโครงงาน 1………………....………………………………………… 4 1.2 แผนการด าเนนโครงงาน 2……….…………………………………………………... 5 3.1 แสดงทรพยสนภายในศนยขอมล..........................………………………………….. 16 3.2 เกณฑการประเมนระดบโอกาสทจะเกดความเสยง.………….……………………… 18 3.3 เกณฑการประเมนคาผลกระทบดานการปฏบตการ................................................ 18 3.4 เกณฑการประเมนคาผลกระทบดานกฎหมายและระเบยบขอบงคบขององคกร…… 19 3.5 เกณฑการประเมนคาผลกระทบดานภาพพจนชอเสยงขององคกร.......................... 19 3.6 ระดบของคาความเสยง…………………………….………………………………… 20 4.1 ผลการประเมนความเสยงกอนการบรหารจดการความเสยง……………………….. 24 4.2 สรปผลความเสยงกอนการบรหารจดการความเสยง……….……………………….. 52 4.3 สรปแนวทางจดการความเสยง และผลการบรหารจดการความเสยง………………. 53 4.4 ผลการประเมนความเสยงหลงการบรหารจดการความเสยง…………….…. ……… 82 4.5 สรปผลความเสยงหลงการบรหารจดการความเสยง………………………………… 110 4.6 เอกสารมาตรการตามมาตรฐาน ISO 27001 (SOA)………………………………... 115
VI
สารบญรป
หนา
2.1 องคประกอบของความมนคงปลอดภยสารสนเทศ………………………………………. 7
2.2 วงจรบรหารจดการความมนคงปลอดภยตามกระบวนการ PDCA……………………… 9
3.1 ขนตอนการด าเนนงานโครงงาน…………………………………………………………... 14
1
บทท 1
บทน ำ
1.1 ปญหำและแรงจงใจ
ปจจบนระบบเทคโนโลยสารสนเทศนนไดเขามามบทบาทส าคญในการชวยด าเนน
กจกรรมตางๆ ขององคกร ความกาวหนาของระบบเทคโนโลยสารสนเทศในปจจบนนนมเพม
มากขน แตองคกรสวนใหญมกจะไมไดใหความส าคญในการรกษาความมนคงปลอดภยของ
ระบบเทคโนโลยสารสนเทศ จงมความเสยงทระบบเทคโนโลยสารสนเทศจะถกโจมตจากภย
คกคามในรปแบบตางๆ มากมาย อกทงยงมแนวโนมเพมขนเรอยๆ สงผลใหมความจ าเปนท
จะตองเพมความมนคงปลอดภยใหกบระบบเทคโนโลยสารสนเทศขององคกร เพอปองกนความ
เสยหายทจะเกดขนของระบบเทคโนโลยสารสนเทศ และมนใจไดวาระบบเทคโนโลยสารสนเทศ
ไดรบการคมครองใหมความมนคงปลอดภย
1.2 แนวทำงแกไขปญหำ
องคกรของผจดท าโครงงานเปนสถาบนทด าเนนงานดานงานวจยขนพนฐานดาน
วทยาศาสตร และเทคโนโลยเพอปรบปรงคณภาพชวต และเปนศนยกลางสาหรบการศกษา และ
พฒนาบคลากรใหมศกยภาพสงในดานวทยาศาสตรและเทคโนโลย อกทงยงเปนศนยกลางใน
การรวบรวมนกวทยาศาสตรทงในประเทศ และตางประเทศเพอสงเสรมการแลกเปลยนขอมล
หารอ และแกไขปญหาทเกดขนใหม ดานวทยาศาสตร โดยไดรบการสนบงบประมาณจากทาง
ภาครฐ และไดมการน าเอาระบบเทคโนโลยสารสนเทศเขามาสนบสนนเพอเพมประสทธภาพใน
การท างานของบคคลากร และเจาหนาท ซงปจจบนยงไมมนโยบายดานความมนคงปลอดภย
และแนวทางปฏบตทดในการบรหารจดการดานความมนคงปลอดภยของระบบเทคโนโลย
สารสนเทศ ซงอาจจะกอใหเกดความเสยงทจะท าใหระบบเทคโนโลยสารสนเทศไมสามารถ
ใหบรการได หรอมความผดพลาดในการใหบรการ สงผลใหการด าเนนกจกรรมทางดานระบบ
เทคโนโลยสารสนเทศไมสามารถด าเนนไดอยางตอเนอง และไมมประสทธภาพ รวมถงไมม
ความมนคงปลอดภยของระบบเทคโนโลยสารสนเทศ จงจ าเปนอยางยงทจะตองมนโยบายความ
มนคงปลอดภยเทคโนโลยสารสนเทศ และแนวทางปฏบตทดในการบรหารจดระบบเทคโนโลย
สารสนเทศ และเพอใหสอดคลองกบมาตรฐานสากลภายใตมาตรฐานดานความมนคงปลอดภย
สารสนเทศ ISO/IEC 27001:2005
2
1.3 วตถประสงคของโครงงำน
1.3.1 เพอปรบปรงระบบเทคโนโลยสารเสนทศขององคกรใหสอดคลองกบ
มาตรฐานสากล ISO/IEC 27001:2005
1.3.2 เพอระบความเสยงรวมถงการวเคราะห ประเมนความเสยง และภยคกคามท
กอใหเกดความเสยง รวมถงเพอใหทราบถงผลกระทบ ความรนแรงของผลกระทบทจะ
เกดกบระบบเทคโนโลยสารสนเทศ
1.3.3 เพอหาวธการจดการความเสยงทมของระบบเทคโนโลยสารสนเทศ และการ
บรรเทาความเสยงของระบบสารสนเทศใหมระบบความเสยงทผบรหารองคกรสามารถ
ยอมรบความเสยงนนได
1.3.4 เพอสรางนโยบายรกษาความมนคงปลอดภยของระบบเทคโนโลยสารสนเทศ โดยอางองตามมาตรฐาน ดานความมนคงปลอดภยสารสนเทศ ISO/IEC 27001:2005 เสนอใหกบผบรหารองคกรในการใชเปนแนวทางในการปฏบตงานทดของผดแลระบบและผทใชระบบเทคโนโลยสารสนเทศภายในองคกร
1.3.5 เพอพฒนาระบบสารสนเทศขององคกรใหมความมนคงปลอดภย รวมทงสราง
ความนาเชอถอ และความพรอมใชงานเสมอในการใหบรการแกบคลากร และเจาหนาท
ขององคกรทใชงานระบบเทคโนโลยสารสนเทศ
1.4 ขอบเขตของโครงงำน
1.4.1 ขอบเขตของโครงงาน 1
1.4.1.1 ศกษาคนควา และรวบรวมขอมลในการรกษาความมนคงปลอดภย
ระบบสารสนเทศของมาตรฐานสากล ISO/IEC 27001:2005 และก าหนด
ขอบเขตในการรกษาความมนคงปลอดภยของระบบเทคโนโลยสารสนเทศ
1.4.1.2 ก าหนดขอบเขตในการด าเนนการดานความมนคงปลอดภยของระบบ
เทคโนโลยสารสนเทศขององคกร
1.4.1.3 ก าหนดวธการประเมนความเสยง และท าการวเคราะห ประเมนความ
เสยงระบบเทคโนโลยสารสนเทศขององคกร
3
1.4.1.4 หาแนวทางในการจดการความเสยง เพอลดความเสยงของระบบเทคโนโลยสารสนเทศขององคกร
1.4.2 ขอบเขตของโครงงาน 2
1.4.2.1 ด าเนนการจดการความเสยงตามแนวทางในการจดการความเสยง
1.4.2.2 วเคราะห และประเมนความเสยงหลงการจดการความเสยง 1.4.2.3 จดท านโยบายดานความมนคงปลอดภยระบบเทคโนโลยสารสนเทศ 1.4.2.4 จดท าเอกสารรายการควบคม Statement of Applicability (SOA)
1.5 ประโยชนทคำดวำจะไดรบ
1.5.1 มนโยบายการรกษาความมนคงปลอดภยของระบบเทคโนโลยสารสนเทศเพอ
ใชเปนแนวทางในการปฏบตตาม
1.5.2 ท าใหสามารถทราบถงความเสยงทจะกอใหเกดผลกระทบขนกบระบบเทคโนโลย
สารสนเทศขององคกร
1.5.3 สามารถลดและปองกนความเสยงทจะเกดขน ทจะสงผลกระทบกบการด าเนนงาน
ขององคกร ท าใหระบบสารสนเทศขององคกรมความมนคงปลอดภยมากขน
1.5.4ท าใหมการบรหารจดการระบบเทคโนโลยสารสนเทศเปนมาตรฐานสากลในการควบคมดแล รกษา และการพฒนาระบบเทคโนโลยสารสนเทศ
1.5.5 ท าใหระบบเทคโนโลยสารสนเทศขององคกรมความนาเชอถอ และสรางภาพลกษณทดใหกบองคกร
4
1.6 แผนกำรด ำเนนงำนโครงงำน
1.6.1 แผนการด าเนนโครงงาน 1
ตารางท 1.1 แผนการด าเนนโครงงาน 1
การด าเนนงาน
มถนายน กรกฎาคม สงหาคม กนยายน ตลาคม
1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4
1.ศกษาคนควารวบรวมขอมลการรกษาความมนคงปลอดภยสารสนเทศมาตรฐาน ISO/IEC27001:2005
2. ก าหนดขอบเขตในการด าเนนการดานความมนคงปลอดภยของระบบเทคโนโลยสารสนเทศขององคกร
3. ก าหนดวธการประเมนความเสยง และท าการวเคราะห ประเมนความเสยงระบบเทคโนโลยสารสนเทศขององคกร
4. หาแนวทางในการบรหารจดการความเสยง เพอลดความเสยงของระบบเทคโนโลยสารสนเทศขององคกร
5
1.6.2 แผนการด าเนนโครงงาน 2
ตารางท 1.2 แผนการด าเนนโครงงาน 2
การด าเนนงาน
พฤศจกายน ธนวาคม มกราคม กมภาพนธ มนาคม
1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4
1. ด าเนนการบรหารจดการความเสยงตามแนวทางในการจดการความเสยง
2.ประเมนความเสยงหลงการบรหารจดการความเสยง
3. จดท านโยบายดานความมนคงปลอดภยระบบเทคโนโลยสารสนเทศ
4. จดท าเอกสารรายการควบคม Statement of Applicability (SOA)
5. สรป และจดท ารายงานโครงงาน
6
บทท 2
พนฐานและทฤษฏทเกยวของ
2.1 ความมนคงปลอดภยสารสนเทศ (Information Security)
สารสนเทศถอเปนทรพยสนทมคาตอองคกรไมแพทรพยสนประเภทอนซงเปนองคประกอบทส าคญในการด าเนนกจการขององคกร ทกองคกรทใชสารสนเทศยอมมขอมลสารสนเทศทเกบสะสมไว เปนองคความร ขอมลในการบรการ ขอมลลกคา และอนๆ สารสนเทศเหลานเปนสงทองคกรสงสมมาจากการด าเนนกจการ การลงมอปฏบตจรง การแสวงหามา หากสารสนเทศเหลานสญหายอาจไมสามารถมาทดแทนไดเหมอนกบทรพยสนอนๆ องคกรจงตองมระบบการดและปกปองสารสนเทศใหมความมนคงปลอดภย เพอปองกนการลวงละเมดหรอการบกรก ขโมยขอมล การท าใหเกดความเสยหายตอระบบสารสนเทศ องคการจงควรใหความส าคญตอการปองกนสารสนเทศใหมความมนคงปลอดภย
2.2 องคประกอบของความมนคงปลอดภยสารสนเทศ [1]
ความมนคงปลอดภยของสารสนเทศมองคประกอบ 3 ประการ ไดแก
การรกษาความลบ (Confidentiality)
ความถกตองสมบรณ (Integrity)
ความพรอมใชงาน (Availability)
7
รปท 2.1 แสดงองคประกอบของความมนคงปลอดภยสารสนเทศ [1]
2.2.1 การรกษาความลบ (Confidentiality) หมายถงการท ไมเปดเผยขอมลโดยไมไดรบอนญาต ผใชงานเขาถงขอมลไดตามสทธทก าหนด (Authorization) การไมรกษาความลบ เชนการเขาถงขอมลโดยไมไดรบอนญาต หรอการทระบบไมสามารถทจะตรวจสอบไดวามใครเขาถงขอมลหรอระบบไปแลวบาง
2.2.2 ความถกตองสมบรณ (Integrity) ความมนคงของสารสนเทศ คอความถกตองและความครบถวน โดยความสมบรณซงม 2 องคประกอบคอ ความสมบรณของขอมล (Data Integrity) และความสมบรณของระบบ (System Integrity) ความสมบรณของขอมลหมายถง ระบบสารสนเทศ และโปรแกรมการใชงานไมมการเปลยนแปลโดยไมไดรบอนญาต ความสมบรณของระบบ หมายถงการทระบบไมมการเปลยนแปลงใดๆ โดยไมไดรบอนญาต สวนเหตทท าใหไมมความคงสภาพ เชน การเขาถงเครอขายไดโดยไมไดรบอนญาต, การแกไขเปลยนแปลงหรอลบขอมลโดยไมสามารถตรวจสอบไดวาผใดกระท าการ
2.2.3 ความพรอมใชงาน (Availability) หมายถงระบบเทคโนโลยสารสนเทศนน อยในสภาพพรอมทใหบรการอยเสมอตลอดเวลา ถงแมระบบจะมชวงการหยดใหบรการตามก าหนดการ (Planned Downtime) กสามารถยอมรบได เชน การหยดใหบรการเพอปรบปรงรกษาระบบ แตไมนบการหยดใหบรการโดยไมมการวางแผนลวงหนา (Unplanned Downtime) ซงเปนผลมาจากผดพลาดขององคประกอบตางๆ ในระบบ เชน การทระบบเครอขายหยดการท างานเพราะการคบคงในระบบเครอขาย ระบบเครองแมขายไมท างานเพราะฮารดแวร หรอซอฟตแวรท างานผดปกต หรออาจจะโดนโปรแกรมทไมพงประสงคโจมตกเปนได
8
2.3 ภยคกคาม และชองโหว (Threat and vulnerability)
2.3.1 ภยคกคาม (Threat) ภยคกคาม คอ วตถ สงของ ตวบคคล หรอสงอนใดทเปนตวแทนของสรางความเสยหายตอทรพยสนขององคกร ไมวาจะเปนในเรอของขอมล กระบวนการท างาน หรอระบบเทคโนโลยสารสนเทศตางๆ ขององคกร ซงภยคกคามนนอาจจะเกดขนจากการเจตนา หรอไมไดเจตนา เชน ภยคกคามจากธรรมชาต หรออาจจะรวมถงผใชงานเองภายในองคกรกเปนได แตไมวาจะเปนแบบใด แหลงทมาของภยคกคามทกอยางจะตองมการระบขอมลและจดหมวดหมเอาไวดวย เชน ภยคกคามทเกดจากผทไมไดรบอนญาต ภยคกคามจากความเสยหายดานกายภาพ เปนตน
2.3.2 ชองโหว เปนชองทางทดทใชในการโจมต ซงอาจมอยในระบบคอมพวเตอร และเครอขาย โดยทผไมประสงคดสามารถใชประโยชนจากจดออนเหลานเปนชองทางในการโจมตได ซงชองโหวตางๆ นนมระดบความยากงายตอการโจมตตางกน ซงผไมประสงคดอาจจะตองใชความช านาญมากขนในการโจมตจดออนทมระดบความยากตอโจมตสง หรออาจตองใชทรพยากรจ านวนมากในการโจมตผานชองทางนน ทงนหากชองโหวนนๆ มผลตอขอมลทไมส าคญมากนก กถอวาเปนจดออนทมอนตรายระดบต าได เชนกน
ชองโหว อาจไมไดอยในระบบคอมพวเตอรหรอเครอขายเทานน แตยงรวมถงดานทเปนทางกายภาพอนๆ ดวย เชน สถานท โครงสรางองคกร บคลากร และขอมลหรอทรพยสนอนๆ ทไมไดอยในรปแบบอเลกทรอนกส กเปนได
2.4 มาตรฐานการจดการความมนคงปลอดภยของสารสนเทศ [1]
ISO/IEC 27001:2005 มาตรฐานระบบการจดการความมนคงปลอดภยของสารสนเทศ ไดพฒนามาจากมาตรฐาน BS7799 British standard ประกาศใชในป ค.ศ. 1995 ตอมาไดมการทบทวนมาตรฐานโดยเปดรบความคดเหนจากผทสนใจ จากนกวชากร และไดปรบปรงมาเปนมาตรฐาน BS7799 Part 1 (Code of practice for information security management) และไดเพมมาตรฐาน BS7799 Part 2 (Specification for information security management system : ISMS) ซงไดมองคกรตางๆในหลายประเทศน ามาตรฐาน BS7799 Part 1 และ BS7799 Part 2 ไปประยกตใชกนอยางแพรหลาย จนมาถงป ค.ศ. 2000 มการปรบปรงมาตรฐาน BS7799 Part1 มาเปน ISO/IEC 17799 : 2000 และในป ค.ศ. 2005 ไดมการพฒนามาตรฐาน BS7799 Part 2 มาเปน ISO/IEC 27001 : 2005 และไดปรบปรงมาตรฐาน ISO/IEC 1779 : 2000 ใหมและเปลยนเวอรชนเปน ISO/IEC 17799 : 2005 และภายหลงไดเปลยนชอเปน ISO/IEC 27002
9
มาตรฐาน ISO/IEC 27001:2005 เปนมาตรฐานทมงเนนในการบรหารจดการความมนคงปลอดภยใหระบบสารสนเทศ Information Security Management System (ISMS) เปนมาตรฐานทปกปองทรพยสนสารสนเทศ เปนระบบบรหารจดการทมพนฐานจากการประเมนความเสยง และใชเปนมาตรฐานอางองเพอเปนแนวทางปฏบตทด ในการเสรมสรางความมนคงปลอดภยใหกบระบบเทคโนโลยสารสนเทศขององคกร และทส าคญยงเปนระบบทมความยดหยนสง เนองจากขอก าหนดของมาตรฐานนนไมไดเจาะจงเทคโนโลยทจะท ามาประยกตใช โดยทองคกรสามารถเลอกใชเทคโนโลยไดตามความเหมาะสม เพอใหองคกรไดบรรลวตถประสงคทไดก าหนดไว มาตรฐาน ISO/IEC 27001 ไดใชแนวทางในการบรหารใหเกดความมนคงปลอดภย ผานกระบวนการ PDCA (Plan Do Check Act )
2.5 กระบวนการ PDCA (Plan, Do, Check, Act)
ขอก าหนดหลกในมาตรฐาน ISO/IEC 27001:2005 ประกอบไปดวยวงจรบรหารจดการความมนคงปลอดภยตามกระบวนการ PDCA (Plan, Do, Check, Act ) และใชแนวทางการประเมนความเสยงมาประกอบการพจารณาหาวธการหรอมาตรการเพอปองกน และลดความเสยง รวมถงการรกษาทรพยสนสารสนเทศทมคาขององคกรใหมความมนคงปลอดภย
รปท 2.2 แสดงวงจรบรหารจดการความมนคงปลอดภยตามกระบวนการ PDCA [3]
10
การวางแผน Plan (Establish the ISMS)
การก าหนดขอบเขต และนโยบายดานความมนคงปลอดภยเทคโนโลยสารสนเทศ การจดท านโยบายความมนคงปลอดภยทมวตถประสงค เปาหมาย และด าเนนการบรหารจดการกบความเสยง เพอใหระบความเสยงทองคกรมอย และด าเนนการพจารณาจดการความเสยงนน รวมถงระบความเสยงทมอย ใหอยระดบองคกรสามารถทจะยอมรบได
การปฏบตและด าเนนการ DO (Implement and operate the ISMS)
ลงมอปฏบตและด าเนนการตามนโยบายดานความมนคงปลอดภยเทคโนโลยสารสนเทศ และด าเนนการการจดการความเสยงตามแนวทางทไดวางแผนไว รวมถงการสรางความส าคญในการปฏบตตามแนวทางจดการความเสยง เพอใหการด าเนนการจดการความเสยงนนด าเนนเปนไปอยางมประสทธภาพ
เฝาระวงและทบทวน Check (Monitor and review the ISMS)
การเฝาระวงแนวทางบรหารจดการความเสยง และการประเมนถงประสทธภาพในการจดการความเสยงเพอใหทราบถงขอมลทเปนประโยชนในการน าไปปรบปรงคณภาพของการด าเนนการ และการประเมนความเสยงซ า การตรวจสอบกระบวนการตามระยะเวลาทเหมาะสม โดยใหสอดคลองกบการเปลยนแปลงทส าคญของระบบเทคโนโลยสารสนเทศขององคกร หรอการเปลยนแปลงองคกร
การปรบปรงแกไข Act (Maintain and improve the ISMS)
เปนการปรบปรงและพฒนาระบบบรหารจดการความมนคงปลอดภยสารสนเทศใหมการพฒนาทดข นอยางตอเนอง ตอไป
การจดท าระบบ ISMS (Establish ISMS) ของเอกสาร ISO/IEC 27001:2005 ในขอ 4.2.1 มขอก าหนดตามขนตอนดงน
a) ก าหนด scope และ ขอบเขตการจดท าระบบ ISMS b) ก าหนด ISMS Policy c) ก าหนด รปแบบการประเมนความเสยง d) ก าหนดความเสยง จากทรพยสนในขอบเขตทจดท าระบบ ISMS e) วเคราะห และ ประเมนความเสยง f) ก าหนดและประเมน วธการเพอลดความเสยง
11
g) เลอกรายการควบคม เพอมาจดการความเสยง หรอลดความเสยง h) ยอมรบความเสยงทเหลออยโดยผบรหาร i) ไดรบความเหนชอบจากผบรหารใหประยกตใชระบบ j) จดท าเอกสาร Statement of Applicable (SOA)
มาตรฐาน ISO/IEC 27001:2005 ในสวนของ (Annex A) ไดก าหนดขอก าหนด รายการควบคมการบรหารจดการดานความมนคงปลอดภยสารสนเทศ โดยแบงเปนหวขอหลกทเกยวของกบระบบการบรหารจดการดานความมนคงปลอดภยสารสนเทศ และแนวทางในการปฏบต โดยหวขอทส าคญหรอ 11 โดเมน (Domain) หลก ในมาตรฐาน ISO/IEC 27001:2005 มดงน [2]
1) A.5 นโยบายความมนคงปลอดภย (Security policy)
2) A.6 โครงสรางทางดานความมนคงปลอดภยส าหรบองคกร (Organization of
information security)
3) A7 การบรหารจดการทรพยสนขององคกร (Asset management)
4) A.8 ความมนคงปลอดภยทเกยวของกบบคลากร (Human resources security)
5) A9. การสรางความมนคงปลอดภยทางกายภาพและสงแวดลอม (Physical and
environmental security)
6) A10. การบรหารจดการดานการสอสารและการด าเนนงานของเครอขายสารสนเทศของ
องคกร (Communications and operations management)
7) A.11 การควบคมการเขาถง (Access control)
8) A.12 การจดหา การพฒนา และการบ ารงรกษาระบบสารสนเทศ (Information systems
acquisition, development and maintenance)
9) A.13 การบรหารจดการเหตการณทเกยวของกบความมนคงปลอดภยขององคกร
(Information security incident management)
10) A.14 การบรหารความตอเนองในการด าเนนงานขององคกร (Business continuity
management)
11) A.15 การปฏบตตามขอก าหนด (Compliance)
12
2.6 การบรหารจดการความเสยงสารสนเทศ [4]
องคกรสวนใหญจะไมคอยไดใหความส าคญหรออาจจะไมไดมความเขาใจในการบรหารจดการความเสยง เมอเกดเหตการณทท าใหเกดความเสยหายตอองคกร จงจะหนมาใหความส าคญในการหาแนวทางการปองกน ซงการน ามาตรการในการบรหารจดการความเสยงมาใช จะชวยลดความเสยหายทจะเกดขน และเพอเตรยมการปองกนกอนทเหตการณทจะกอใหเกดความเสยหายนนเกดขน
ความเสยง (Risk)
ความเสยง หมายถง ความเปนไปไดในการเกดเหตการณใดๆ ทอาจจะเกดขน รวมถงผลกระทบทเกดตามมาเมอเหตการณนนเกดขนจรง เชน ความเสยงดานภยคกคามทสามารถโจมตระบบเทคโนโลยสารสนเทศผานทางชองโหวหรอขอบกพรองของระบบ แลวสามารถท าใหเกดความเสยหายตอระบบเทคโนโลยสารสนเทศขององคกรได จากเหตการณทสงผลกระทางดานความมนคงปลอดภยเทคโนโลยสารสนเทศนนอาจจะเกดขนภายใตสถานการณทไมแนนอนหรออาจมมลคาเปนตวเงนหรอไมกได หรออาจเปนผลกระทบทางบวกดวยกได โดยวดจากผลกระทบ (Impact) ทไดรบ และโอกาสทจะเกด (Likelihood) ของเหตการณ
การประเมนความเสยง (Risk Assessment)
การประเมนความเสยงจ าเปนทจะตองเขาใจจดออน (Vulnerability) และภยคกคาม (Threat) ขององคกรกอน เมอรวมจดออน และภยคกคามเขาดวยกนกจะกลายเปนความเสยง ดงนนถาองคไมมจดออนหรอไมมภยคกคามกจะไมมความเสยง การประเมนความเสยงเปนแนวทางหนงในการหาจดออนและภยคกคามรวมถงขอบกพรองขององคกร เพอใหทราบถงระดบความเสยงทอาจจะเกดขนกบความมนคงปลอดภยเทคโนโลยสารสนเทศขององคกร โดยสวนหนงจะตองอาศยความรวมมอจากทกฝายในการด าเนนการ เพอใหผลการประเมนความเสยงนนเปนไปอยางมประสทธภาพ ประเมนความเสยงคอกระบวนการะบความเสยง การวเคราะหความเสยง และจดล าดบความเสยง โดยการประเมนจากโอกาสทจะเกด (Likelihood) และผลกระทบ (Impact) เมอท าการประเมนแลว ท าใหทราบระดบของความเสยงนน
การบรหารความเสยง (Risk Management)
การบรหารความเสยง หมายถง กระบวนการส าหรบใชในการบรหารจดการ ใหมโอกาส ทจะเกดเหตการณความเสยงนนลดลง รวมถงผลกระทบของความเสยหายจากเหตการณความเสยงลดลงอยในระดบทองคกรสามารถยอมรบได โดยการจดการความเสยง สามารถแบงไดเปน 4 แนวทางหลก คอการยอมรบ การลด/ควบคม การยกเลก และการโอนยายหรอแบงความเสยง
13
การควบคม แกไขความเสยง (Risk Treatment)
การควบคมและแกไขความเสยง อาจจะแบงไดเปน 4 แนวทางหลก ดงน
1) การลดความเสยง (Risk Reduction) คอ การพจารณาหาวธในการควบคม หรอแกไขความเสยงใหลดลงมาอยในระดบทองคกรสามารถยอมรบได ซงสามารถใชรายการควบคมของมาตรฐาน ISO/IEC 27001 ในการควบคมหรอลดความเสยง
2) การยอมรบความเสยง (Risk Acceptance) คอ การทองคกรพจารณาแลวพบวา การด าเนนการแกไข ควบคมความเสยง นน ไมเหมาะสม ไมสามารถกระท าไดในทางปฏบต หรอ ไมคมคา เชน คาใชจายในการด าเนนการแกไขหรอควบคมนน มมลคา สงกวามลคาของขอมล และทรพยสนทจะท าการปกปอง ทงน ขนอยกบดลยพนจของผบรหารองคกร
3) การหลกเลยงความเสยง (Risk Avoidance) คอ การหลกเลยงความเสยงโดยการยกเลกกระบวนการท างาน หรอทรพยสน ทกอใหเกดความเสยงขน ซงมกจะกระท าเมอการแกไขความเสยงดวยวธการอนนน ไมคมกบผลประโยชนทได
4) การโอนความเสยง (Risk Transfer) คอ การพจารณาถายโอนความเสยงไปใหผอนรบผดชอบแทน เชน การใหหนวยงานภายนอกด าเนนการ หรอ การซอประกนภย เปนตน
14
บทท 3
การด าเนนงาน
3.1 ขนตอนในการด าเนนงาน
วธการด าเนนงาน เพอใหทราบถงวธการ และขนตอนการด าเนนงานของ
โครงงาน โดยผจดท าโครงงานไดน าเอามาตรฐาน ISO/IEC 27001:2005 Information
security management System โดยระบถงแนวทางในการปฏบตทควรด าเนนการ
เพอใหไดมาซงความมนคงปลอดภยของสารสนเทศ โดยน ามาประยกตใชในเรองของ
การประเมนความเสยง หลกการควบคมความปลอดภย และวธการจดการความเสยง
โดยวธการ และขนตอนการด าเนนงานของโครงงานมรายละเอยด ดงน
รปท 3.1 แสดงขนตอนการด าเนนงานโครงงาน
ศกษาองคกร และระบบเทคโนโลยสารสนเทศขององคกร
ก าหนดขอบเขตในการด าเนนการดานความมนคงปลอดภยสารสนเทศ
การประเมนความเสยงเทคโนโลยสารสนเทศตามขอบเขตทก าหนด
สรปผลการประเมนความเสยงและก าหนดแนวทางในการบรหารจดการความเสยง
ประเมนความเสยงหลงการบรหารจดการความเสยง
15
3.2 ศกษาองคกรและระบบสารสนเทศขององคกร
ศกษาองคกร และระบบเทคโนโลยสารสนเทศขององคกร โดยผจดท าโครงงานไดศกษาขอมลพนฐานขององคกร เปาหมายขององคกร เพอทจะก าหนดขอบเขตในด าเนนการดานความมนคงปลอดภยสารสนเทศ และการจดท านโยบายการรกษาความมนคงปลอดภยสารสนเทศใหมความเหมาะสมกบลกษณะขององคกร
องคกรของผจดท าโครงงานเปนสถาบนทดาเนนงานดานงานวจยขนพนฐานดานวทยาศาสตร และเทคโนโลยเพอปรบปรงคณภาพชวตของประชากรในประเทศ ซงเปนองคกรทไมแสวงหาผลก าไร มการน าเอาระบบเทคโนโลยสารสนเทศเขามาสนบสนนเพอเพมประสทธภาพในการท างานของบคคลากร และเจาหนาท ปจจบนพบวามการใหความส าคญของการรกษาความมนคงปลอดภยของเทคโนโลยสารสนเทศเพมมากขน แตยงไมมนโยบายดานความมนคงปลอดภยดานความมนคงปลอดภยของระบบเทคโนโลยสารสนเทศ ทเปนลายลกอกษร ดงนนผจดท าโครงงานจงไดเสนอการเขยนนโยบายดายความมนคงปลอดภยของระบบเทคโนโลยสารสนเทศอยางสน เพอใหเขาใจงาย และมการน าเอานโยบายไปพฒนาตอเพอใหสอดคลองกบการปฏบต โดยจะท านโยบายหลงจากการประเมนความเสยงแลว
3.3 ก าหนดขอบเขตในการด าเนนการดานความมนคงปลอดภยสารสนเทศ
การก าหนดขอบเขตในการดแลดานความมนคงปลอดภยในการใชงานเทคโนโลยสารสนเทศ โดยผจดท าโครงงานไดก าหนดขอบเขตในการดและเฉพาะศนยขอมล (Data Center) ขององคการผจดท าโครงการ ซงเปนศนยขอมล (Data Center) ทใหบรการดานเทคโนโลยสารสนเทศทงหมดขององคกร ดงนนในการก าหนดนโยบายดานความมนคงปลอดภยสารสนเทศ จะมผลบงคบใชกบบคลากร และเจาหนาท ทจะตองใชงานระบบเทคโนโลยสารสนเทศขององคกร โดยมทรพยสนภายในศนยขอมล (Data Center) ขององคกร แบงตามประเภทของทรพยสน 5 ประเภท ดงตอไปน
16
ตารางท 3.1 ตารางแสดงทรพยสนภายในศนยขอมล (Data Center)
ล าดบ ประเภททรพยสน รายการทรพยสน
1 Hardware Router 2 Firewall 3 Core Switch 1 4 Core Switch 2 5 DMZ Switch 1 6 DMZ Switch 2 7 Wireless LAN Controller 8 Wireless LAN Switch 9 Proxy 10 Virtualization Server 1 11 Virtualization Server 2 12 Virtualization Server 3 13 Mail Server 14 Mail Gateway 15 Storage 16 DNS Server 17 UPS 15 KVA 18 Air Conditioning 19 Fire Protection 20 Software Windows Server 2008 R2 SP1 21 Windows Server 2012 R2 22 Linux CentOS 6 23 Linux Ubuntu 12.04 24 ESET Nod32 Antivirus 25 Software Web Server 26 Software Mail Server 27 Virtual Machine ระบบ DHCP 28 Virtual Machine ระบบ LDAP 29 Virtual Machine ระบบ NTP 30 Virtual Machine ระบบใบแจงเงนเดอน
17
3.4 การประเมนความเสยงเทคโนโลยสารสนเทศ
การประเมนความเสยงผจดท าโครงงานไดเกบขอมลจากเหตการณทเคยเกดขนในอดต และการสมภาษณหวหนางานสารสนเทศ รวมถงผปฏบตงานทเกยวของ เพอท าการก าหนดปจจยเสยงทจะท าใหเกดภยคกคาม และท าใหเกดผลกระทบโดยพจารณาผลกระทบทท าใหเกดความเสยหายทระบไดดงน
ท าใหสญเสยความลบของทรพยสน
ท าใหสญเสยความครบถวนถกตองของทรพยสน
ท าใหสญเสยความพรอมใชของทรพยสน
ท าใหเกดผลกระทบดานการปฏบตการขององคกร
ท าใหเกดผลกระทบดานกฎหมาย และระเบยบขอบงคบขององคกร
ท าใหเกดผลกระทบดานภาพพจนชอเสยงขององคกร
การระบความเสยงโดยการระบทรพยสน (Assets Identification) สารสนเทศในศนยขอมล (Data Center) ออกเปน 5 ประเภท ไดแก ฮารดแวร (Hardware) ซอฟตแวร (Software) สารสนเทศ(Information) พนกงาน (Human) และบรการ (Service)
ล าดบ ประเภททรพยสน รายการทรพยสน
31 Virtual Machine ระบบเวบไซตองคกร 32 Virtual Machine ระบบเวบไซตอนทราเนต 33 Virtual Machine ระบบจองเครองมอวทยาศาสตร 34 Virtual Machine ระบบ VPN 35 Information ขอมลระบบอเมล 36 ขอมลเวบไซตองคกร 37 ขอมลเวบไซตอนทราเนต 38 เอกสารของฝายระบบคอมพวเตอรและเครอขาย 39 Human เจาหนาทดแลระบบ 40 ผใชงานทวไป 41 Service ผใหบรการ Internet
18
การก าหนดเกณฑในการประเมนความเสยง ไดแก ระดบของโอกาสทจะเกด
(Likelihood) ระดบของผลกระทบ (Impact) และและระดบของความเสยง (Degree of Risk) โดย
หวหนาสารสนเทศ และเจาหนาททเกยวของไดรวมกนก าหนดก าหนดเกณฑในการประเมน
ความเสยงขององคกร และไดรบการเหนชอบจากผบรหารสารสนเทศแลว
เกณฑทใชในการประเมนโอกาสทจะเกด แบงเปน 5 ระดบ ดงน
ตารางท 3.2 เกณฑการประเมนระดบโอกาสทจะเกดความเสยง
เกณฑทใชในการประเมนความรนแรงของผลกระทบ โดยแบงความรนแรงของ
ผลกระทบเปน 5 ระดบ ไดแก สงมาก (5) สง (4) ปานกลาง (3) นอย (2) และนอยทสด (1) โดย
การยดผลกระทบหลก 3 ดาน ตามบรบทและความเหมาะสมขององคกร ไดแก ดานการ
ปฏบตการขององคกร ดานกฎหมายและระเบยบขอบงคบขององคกร และดานภาพพจนชอเสยง
ขององคกร
ตารางท 3.3 เกณฑการประเมนคาผลกระทบดานการปฏบตการ (O)
ระดบ ค าอธบาย
สงมาก (5) มโอกาสเกดขนเปนประจ า เชน เกดขนทกวน เปนตน สง (4) มโอกาสเกดขนสงหรอบอย เชน เกดขนทกสปดาห เปนตน ปานกลาง (3) มโอกาสเกดขนบางครง เชน เกดขนทกเดอน เปนตน นอย (2) มโอกาสเกดขนนอย เชน เกดขนทกป เปนตน นอยทสด (1) ไมเคยเกดขนหรอแทบไมมโอกาสเกดขน
ระดบ ค าอธบาย
สงมาก (5) กระทบตอการปฏบตงานทวทงองคกร สง (4) กระทบตอการปฏบตงานทงส านกงาน ปานกลาง (3) กระทบตอการปฏบตงานทง ฝาย หรอ หองปฏบตการ นอย (2) กระทบตอการปฏบตงานของผใชงานรายบคคล นอยทสด (1) ไมกระทบตอการปฏบตงาน
19
ตารางท 3.4 เกณฑการประเมนคาผลกระทบดานกฎหมายและระเบยบขอบงคบขององคกร (L)
ตารางท 3.5 เกณฑการประเมนคาผลกระทบดานภาพพจนชอเสยงขององคกร (R)
ก าหนดระดบคาความเสยง การค านวณคาความเสยงโดยการน าเอา ระดบโอกาสทจะ
เกดคนกบระดบผลกระทบ ระดบความเสยง (Risk Value) = ระดบโอกาสทเกด (likelihood) ×
ระดบของผลกระทบ (Impact) โดยมการก าหนดเกณฑของคาความเสยงเปนระดบทแตกตางกน
ไว 3 ระดบ ดงน
ระดบความเสยง 1 – 8 ต า (Low)
ระดบความเสยง 9 – 15 กลาง (Medium)
ระดบความเสยง 16 – 25 สง (High)
ระดบ ค าอธบาย
สงมาก (5) ขดตอกฎหมาย พระราชบญญตทเกยวของ สง (4) ขดตอระเบยบ ขององคกร ปานกลาง (3) ขดตอระเบยบ ของส านกงาน นอย (2) ขดตอระเบยบ ของฝาย หรอ หองปฏบตการ นอยทสด (1) ไมกระทบตอกฎหมาย ระเบยบ และขอบงคบทเกยวของ
ระดบ ค าอธบาย
สงมาก (5) กระทบชอเสยงขององคกรอยางรนแรง ท าใหเกดการตอตานรนแรงจากสารธารณะ เชน การประทวง
สง (4) กระทบชอเสยงขององคกรอยางมาก ท าใหเกดความไมพอใจอยางมากจากสารธารณะ เชน การแสดงความคดเหนคดคานผานทางสอตางๆ
ปานกลาง (3) กระทบชอเสยงขององคกรปานกลาง ท าใหเกดความไมพอใจจากสารธารณะ และพนกงานเจาหนาท เชนการเขยนวจารณ
นอย (2) กระทบชอเสยงขององคกรนอย นอยทสด (1) กระทบชอเสยงขององคกรนอยมาก หรอ ไมกระทบ
20
ตารางท 3.6 ตารางระดบของคาความเสยง
เมอไดคาระดบคาของความเสยงแลว น ามาจดล าดบระดบความเสยงเพอใชในการจดการความ
เสยง ความเสยงทมเกณฑสงสดจะตองด าเนนการจดการความเสยงนนกอน
3.5 สรปผลการประเมนความเสยงและก าหนดแนวทางในการจดการความเสยง
การก าหนดแนวทางจดการความเสยง โดยน าเอาผลสรปทไดจากการประเมนความ
เสยงน ามาหาแนวทางในการจดการความเสยงตามหลกการควบคมความมนคงปลอดภยของ
สารสนเทศตามมาตรฐาน ISO/IEC 27001:2005 ในสวนของ Annex A เพอใหความเสยงลดลง
โดยทจะด าเนนการจดการความเสยงตามความเหมาะสมขององคกร และความคมคาในการ
จดการความเสยงนน
สงมาก (5)
5 10 15 20 25
สง (4)
4 8 12 16 20
ปานกลาง (3)
3 6 9 12 15
นอย (2)
2 4 6 8 10
นอยมาก (1)
1 2 3 4 5
ผลกระทบ / โอกาสทจะเกด
นอยมาก (1)
นอย (2)
ปานกลาง (3)
สง (4)
สงมาก (5)
21
3.6 รายการควบคมความมนคงปลอดภยสารสนเทศ (Control Checklist) ของ
ISO/IEC27001:2005
รายการควบคมความมนคงปลอดภยสารสนเทศ (Control Checklist) ของ
ISO/IEC27001:2005 มทงหมด 11 หวขอทส าคญ โดยเรมตงแต A.5 ถง A.15 ดงน
1) A.5 นโยบายความมนคงปลอดภย (Security policy)
2) A.6 โครงสรางทางดานความมนคงปลอดภยส าหรบองคกร (Organization of
information security)
3) A7 การบรหารจดการทรพยสนขององคกร (Asset management)
4) A.8 ความมนคงปลอดภยทเกยวของกบบคลากร (Human resources security)
5) A9. การสรางความมนคงปลอดภยทางกายภาพและสงแวดลอม (Physical and
environmental security)
6) A10. การบรหารจดการดานการสอสารและการด าเนนงานของเครอขายสารสนเทศ
ขององคกร (Communications and operations management)
7) A.11 การควบคมการเขาถง (Access control)
8) A.12 การจดหา การพฒนา และการบ ารงรกษาระบบสารสนเทศ (Information
systems acquisition, development and maintenance)
9) A.13 การบรหารจดการเหตการณทเกยวของกบความมนคงปลอดภยขององคกร
(Information security incident management)
10) A.14 การบรหารความตอเนองในการด าเนนงานขององคกร (Business continuity
management)
11) A.15 การปฏบตตามขอก าหนด (Compliance)
22
3.7 การประเมนความเสยงหลงการจดการความเสยง
การประเมนความเสยงหลงการจดการความเสยง เพอตรวจสอบผลการจดการความ
เสยงทไดด าเนนการปฏบตตามแนวทางจดการความเสยงและหลกการควบคมความมนคง
ปลอดภยของสารสนเทศแลว ความเสยงของระบบเทคโนโลยสารสนเทศขององคกรมระดบของ
ความเสยงลดลงมาหรอมการบรหารจดการทด และความเสยงลดลงตามทองคการยอมรบได
หรอไม และถาองคกรยงไมสามารถยอมรบความเสยงนนได จะตองมการทบทวนแนวทางการ
จดการความเสยงนนอกครง และหาวธการจดการความเสยงใหเหมาะสม เพอใหการจดการ
ความเสยงไดผลมากทสด
3.8 สรปทายบท
จากขนตอนการด าเนนการทไดกลาวมาขนตนนน ท าใหทราบถงวธการและขนตอนใน
การด าเนนงานตามแผนงาน และวตถประสงค เพอท าใหเกดแนวทางการปฏบตทดเพอกอให
เกดความมนคงปลอดภยของสารสนเทศขององคกร ซงผลการด าเนนงานจะไดน าเสนอในบท
ตอไป
23
บทท 4
ผลการด าเนนงาน
4.1 บทน า
ผจดท าโครงงานจะน าเสนอผลการด าเนนการ ตามแผนการด าเนนการโครงงานรวมถง
ขนตอนการด าเนนงานทไดก าหนดไวในบทท 3 โดยไดก าหนดขอบเขตในการรกษาความมนคง
ปลอดภยสารสนเทศของศนยขอมล (Data Center) ขององคกร
4.2 ผลการประเมนความเสยงระบบสารสนเทศกอนการบรหารจดการความเสยง
การประเมนความเสยงเทคโนโลยสารสนเทศผจดท าโครงงานไดเกบขอมลจาก
เหตการณทเคยเกดขนในอดต และการสมภาษณหวหนางานสารสนเทศ รวมถงผปฏบตงานท
เกยวของและจะน าหลกการและวธการด าเนนการทไดกลาวไวในบทท 3 และการจดล าดบคา
ความเสยงตามเกณฑทไดก าหนดไวดงตารางท 3.6 ในบทท 3
24
1. ฮารดแวร (Hardware) ตารางท 4.1 ผลการประเมนความเสยงกอนการบรหารจดการความเสยง
ล าดบ รายการ ตรวจสอบ
ความเสยง ผลกระทบ
โอกาส คาความเสยง
รายการควบคม O L R
1 Router อปกรณถกเขาถงจากผไมไดรบอนญาตเนองจากไมมระบบควบคมการเขา – ออก
4 2 2 3 12 A.9.1.2 Physical entry control, A.9.1.4
อปกรณถกแกไขคาอปกรณโดยไมไดรบอนญาต 4 2 2 3 12 A.9.1.2 Physical entry control, A.9.1.4
อปกรณไมสามารถใหบรการไดเนองจากอปกรณไมมประสทธภาพเพยงพอตอการใชงาน
4
1
2
2
8
10.3.1 Capacity Management
อปกรณไมสามารถท างานไดเนองจากไฟฟาดบเปนเวลานาน
4 1 2 2 8 A 9.2.2 Support Utilities
อปกรณถกแกไขคาอปกรณโดยไมไดรบอนญาตเนองใชโปรโตคอลทไมปลอดภยในการเขาถงระบบของอปกรณ
4 1 2 2 8 A.11.5.1 Secure log-on procedures
อปกรณถกสวมสทธเขาใชงานเนองจากไมมการก าหนดการหมดเวลาทไมไดใชงานอปกรณ
4 1 2 2 8 A.11.5.5 Session time-out
2 Firewall อปกรณถกเขาถงจากผไมไดรบอนญาตเนองจากไมมระบบควบคมการเขา – ออก
4 1 2 3 12 A.9.1.2 Physical entry control, A.9.1.4
25
ล าดบ รายการ ตรวจสอบ
ความเสยง ผลกระทบ
โอกาส คาความเสยง
รายการควบคม O L R
2
Firewall อปกรณถกแกไขคาอปกรณโดยไมไดรบอนญาต 4 2 2 3 12 A.9.1.2 Physical entry control, A.9.1.4
อปกรณไมสามารถใหบรการไดเนองจากอปกรณไมมประสทธภาพเพยงพอตอการใชงาน
4
1
2
2
8
10.3.1 Capacity Management
อปกรณไมสามารถท างานไดเนองจากไฟฟาดบเปนเวลานาน
4 1 2 2 8 A 9.2.2 Support Utilities
อปกรณถกแกไขคาอปกรณโดยไมไดรบอนญาตเนองใชโปรโตคอลทไมปลอดภยในการเขาถงระบบของอปกรณ
4 1 2 2 8 A.11.5.1 Secure log-on procedures
อปกรณถกสวมสทธเขาใชงานเนองจากไมมการก าหนดการหมดเวลาทไมไดใชงานอปกรณ
4 1 2 2 8 A.11.5.5 Session time-out
3 Core Switch 1 และ Core Switch 2
อปกรณถกเขาถงจากผไมไดรบอนญาตเนองจากไมมระบบควบคมการเขา – ออก
4 1 2 3 12 A.9.1.2 Physical entry control, A.9.1.4
อปกรณถกแกไขคาอปกรณโดยไมไดรบอนญาต 4 2 2 3 12 A.9.1.2 Physical entry control, A.9.1.4
26
ล าดบ รายการ ตรวจสอบ
ความเสยง ผลกระทบ
โอกาส คาความเสยง
รายการควบคม O L R
3 Core Switch 1 และ Core Switch 2
อปกรณไมสามารถใหบรการไดเนองจากอปกรณไมมประสทธภาพเพยงพอตอการใชงาน
4
1
2
2
8
10.3.1 Capacity Management
อปกรณไมสามารถท างานไดเนองจากไฟฟาดบเปนเวลานาน
4 1 2 2 8 A 9.2.2 Support Utilities
อปกรณถกแกไขคาอปกรณโดยไมไดรบอนญาตเนองใชโปรโตคอลทไมปลอดภยในการเขาถงระบบของอปกรณ
4 1 2 2 8 A.11.5.1 Secure log-on procedures
อปกรณถกสวมสทธเขาใชงานเนองจากไมมการก าหนดการหมดเวลาทไมไดใชงานอปกรณ
4 1 2 2 8 A.11.5.5 Session time-out
4 DMZ Switch 1 และ DMZ Switch 2
อปกรณถกเขาถงจากผไมไดรบอนญาตเนองจากไมมระบบควบคมการเขา – ออก
4 1 2 3 12 A.9.1.2 Physical entry control, A.9.1.4
อปกรณถกแกไขคาอปกรณโดยไมไดรบอนญาต
4 2 2 3 12 A.9.1.2 Physical entry control, A.9.1.4
อปกรณไมสามารถใหบรการไดเนองจากอปกรณไมมประสทธภาพเพยงพอตอการใชงาน
4
1
2
2
8
10.3.1 Capacity Management
27
ล าดบ รายการ ตรวจสอบ
ความเสยง ผลกระทบ
โอกาส คาความเสยง
รายการควบคม O L R
4 DMZ Switch 1 และ DMZ Switch 2
อปกรณไมสามารถท างานไดเนองจากไฟฟาดบเปนเวลานาน
4 1 2 2 8 A 9.2.2 Support Utilities
อปกรณถกแกไขคาอปกรณโดยไมไดรบอนญาตเนองใชโปรโตคอลทไมปลอดภยในการเขาถงระบบของอปกรณ
4 1 2 2 8 A.11.5.1 Secure log-on procedures
อปกรณถกสวมสทธเขาใชงานเนองจากไมมการก าหนดการหมดเวลาทไมไดใชงานอปกรณ
4 1 2 2 8 A.11.5.5 Session time-out
5 Wireless LAN Switch
อปกรณถกเขาถงจากผไมไดรบอนญาตเนองจากไมมระบบควบคมการเขา – ออก
4 2 2 3 12 A.9.1.2 Physical entry control, A.9.1.4
อปกรณถกแกไขคาอปกรณโดยไมไดรบอนญาต 4 2 2 3 12 A.9.1.2 Physical entry control, A.9.1.4
อปกรณไมสามารถใหบรการไดเนองจากอปกรณไมมประสทธภาพเพยงพอตอการใชงาน
4
1
2
2
8
10.3.1 Capacity Management
อปกรณไมสามารถท างานไดเนองจากไฟฟาดบเปนเวลานาน
4 1 2 2 8 A 9.2.2 Support Utilities
28
ล าดบ รายการ ตรวจสอบ
ความเสยง ผลกระทบ
โอกาส คาความเสยง
รายการควบคม O L R
5 Wireless LAN Switch
อปกรณถกแกไขคาอปกรณโดยไมไดรบอนญาตเนองใชโปรโตคอลทไมปลอดภยในการเขาถงระบบของอปกรณ
4 1 2 2 8 A.11.5.1 Secure log-on procedures
อปกรณถกสวมสทธเขาใชงานเนองจากไมมการก าหนดการหมดเวลาทไมไดใชงานอปกรณ
4 1 2 2 8 A.11.5.5 Session time-out
6
Wireless LAN Controller
อปกรณถกเขาถงจากผไมไดรบอนญาตเนองจากไมมระบบควบคมการเขา – ออก
4 2 2 3 12 A.9.1.2 Physical entry control, A.9.1.4
อปกรณถกแกไขคาอปกรณโดยไมไดรบอนญาต 4 2 2 3 12 A.9.1.2 Physical entry control, A.9.1.4
อปกรณไมสามารถใหบรการไดเนองจากอปกรณไมมประสทธภาพเพยงพอตอการใชงาน
4
1
2
2
8
10.3.1 Capacity Management
อปกรณไมสามารถท างานไดเนองจากไฟฟาดบเปนเวลานาน
4 1 2 2 8 A 9.2.2 Support Utilities
อปกรณถกแกไขคาอปกรณโดยไมไดรบอนญาตเนองใชโปรโตคอลทไมปลอดภยในการเขาถงระบบของอปกรณ
4 1 2 2 8 A.11.5.1 Secure log-on procedures
29
ล าดบ รายการ ตรวจสอบ
ความเสยง ผลกระทบ
โอกาส คาความเสยง
รายการควบคม O L R
6 Wireless LAN Controller
อปกรณถกสวมสทธเขาใชงานเนองจากไมมการก าหนดการหมดเวลาทไมไดใชงานอปกรณ
4 1 2 2 8 A.11.5.5 Session time-out
7
Proxy อปกรณถกเขาถงจากผไมไดรบอนญาตเนองจากไมมระบบควบคมการเขา – ออก
4 2 2 3 12 A.9.1.2 Physical entry control, A.9.1.4
อปกรณถกแกไขคาอปกรณโดยไมไดรบอนญาต 4 2 2 3 12 A.9.1.2 Physical entry control, A.9.1.4
อปกรณไมสามารถใหบรการไดเนองจากอปกรณไมมประสทธภาพเพยงพอตอการใชงาน
4
1
2
2
8
10.3.1 Capacity Management
อปกรณไมสามารถท างานไดเนองจากไฟฟาดบเปนเวลานาน
4 1 2 2 8 A 9.2.2 Support Utilities
อปกรณถกแกไขคาอปกรณโดยไมไดรบอนญาตเนองใชโปรโตคอลทไมปลอดภยในการเขาถงระบบของอปกรณ
4 1 2 2 8 A.11.5.1 Secure log-on procedures
อปกรณถกสวมสทธเขาใชงานเนองจากไมมการก าหนดการหมดเวลาทไมไดใชงานอปกรณ
4 1 2 2 8 A.11.5.5 Session time-out
30
ล าดบ รายการ ตรวจสอบ
ความเสยง ผลกระทบ
โอกาส คาความเสยง
รายการควบคม O L R
8 Virtualization Server 1 Virtualization Server 2 และ Virtualization Server 3
เครองแมขายเขาถงจากผไมไดรบอนญาตเนองจากไมมระบบควบคมการเขา – ออก
4 2 2 3 12 A.9.1.2 Physical entry control, A.9.1.4
เครองแมขายถกแกไขคาอปกรณโดยไมไดรบอนญาต 4 2 2 3 12 A.9.1.2 Physical entry control, A.9.1.4
เครองแมขายไมสามารถใหบรการไดเนองจากเครองแมขายไมมประสทธภาพเพยงพอตอการใชงาน
4
1
2
2
8
10.3.1 Capacity Management
เครองแมขายไมสามารถท างานไดเนองจากไฟฟาดบเปนเวลานาน
4 1 2 2 8 A 9.2.2 Support Utilities
9 Mail Server เครองแมขายถกเขาถงจากผไมไดรบอนญาตเนองจากไมมระบบควบคมการเขา – ออก
4 2 2 3 12 A.9.1.2 Physical entry control, A.9.1.4
เครองแมขายถกแกไขคาอปกรณโดยไมไดรบอนญาต 4 2 2 3 12 A.9.1.2 Physical entry control, A.9.1.4
เครองแมขายไมสามารถใหบรการไดเนองจากเครองแมขายไมมประสทธภาพเพยงพอตอการใชงาน
4
1
2
2
8
10.3.1 Capacity Management
31
ล าดบ รายการ ตรวจสอบ
ความเสยง ผลกระทบ
โอกาส คาความเสยง
รายการควบคม O L R
9 Mail Server เครองแมขายไมสามารถท างานไดเนองจากไฟฟาดบเปนเวลานาน
4 1 2 2 8 A 9.2.2 Support Utilities
10
Mail Gateway อปกรณถกเขาถงจากผไมไดรบอนญาตเนองจากไมมระบบควบคมการเขา – ออก
4 2 2 3 12 A.9.1.2 Physical entry control, A.9.1.4
อปกรณถกแกไขคาอปกรณโดยไมไดรบอนญาต 4 2 2 3 12 A.9.1.2 Physical entry control, A.9.1.4
อปกรณไมสามารถใหบรการไดเนองจากอปกรณไมมประสทธภาพเพยงพอตอการใชงาน
4
1
2
2
8
10.3.1 Capacity Management
อปกรณไมสามารถท างานไดเนองจากไฟฟาดบเปนเวลานาน
4 1 2 2 8 A 9.2.2 Support Utilities
อปกรณถกแกไขคาอปกรณโดยไมไดรบอนญาตเนองใชโปรโตคอลทไมปลอดภยในการเขาถงระบบของอปกรณ
4 1 2 2 8 A.11.5.1 Secure log-on procedures
อปกรณถกสวมสทธเขาใชงานเนองจากไมมการก าหนดการหมดเวลาทไมไดใชงานอปกรณ
4 1 2 2 8 A.11.5.5 Session time-out
32
ล าดบ รายการ ตรวจสอบ
ความเสยง ผลกระทบ
โอกาส คาความเสยง
รายการควบคม O L R
11 Storage อปกรณถกเขาถงจากผไมไดรบอนญาตเนองจากไมมระบบควบคมการเขา – ออก
4 2 2 3 12 A.9.1.2 Physical entry control, A.9.1.4
อปกรณถกแกไขคาอปกรณโดยไมไดรบอนญาต 4 2 2 3 12 A.9.1.2 Physical entry control, A.9.1.4
อปกรณไมสามารถใหบรการไดเนองจากอปกรณไมมประสทธภาพเพยงพอตอการใชงาน
4
1
2
2
8
10.3.1 Capacity Management
อปกรณไมสามารถท างานไดเนองจากไฟฟาดบเปนเวลานาน
4 1 2 2 8 A 9.2.2 Support Utilities
อปกรณถกแกไขคาอปกรณโดยไมไดรบอนญาตเนองใชโปรโตคอลทไมปลอดภยในการเขาถงระบบของอปกรณ
4 1 2 2 8 A.11.5.1 Secure log-on procedures
อปกรณถกสวมสทธเขาใชงานเนองจากไมมการก าหนดการหมดเวลาทไมไดใชงานอปกรณ
4 1 2 2 8 A.11.5.5 Session time-out
12 DNS Server เครองแมขายถกเขาถงจากผไมไดรบอนญาตเนองจากไมมระบบควบคมการเขา – ออก
4 2 2 3 12 A.9.1.2 Physical entry control, A.9.1.4
33
ล าดบ รายการ ตรวจสอบ
ความเสยง ผลกระทบ
โอกาส คาความเสยง
รายการควบคม O L R
12 DNS Server เครองแมขายถกแกไขคาอปกรณโดยไมไดรบอนญาต 4 2 2 3 12 A.9.1.2 Physical entry control, A.9.1.4
เครองแมขายไมสามารถใหบรการไดเนองจากเครองแมขายไมมประสทธภาพเพยงพอตอการใชงาน
4
1
2
2
8
10.3.1 Capacity Management
เครองแมขายไมสามารถท างานไดเนองจากไฟฟาดบเปนเวลานาน
4 1 2 2 8 A 9.2.2 Support Utilities
13 UPS 15 KVA อปกรณถกเขาถงจากผไมไดรบอนญาตเนองจากไมมระบบควบคมการเขา – ออก
4 2 2 3 12 A.9.1.2 Physical entry control, A.9.1.4
อปกรณถกแกไขคาอปกรณโดยไมไดรบอนญาต 4 2 2 3 12 A.9.1.2 Physical entry control
14 Air Conditioning อปกรณถกเขาถงจากผไมไดรบอนญาตเนองจากไมมระบบควบคมการเขา – ออก
4 2 2 3 12 A.9.1.2 Physical entry control, A.9.1.4
อปกรณไมสามารถท างานไดหรอท างานผดพลาดไมสามารถควบคมอณหภมไดเนองจากขาดการซอมบ ารง
4 2 2 4 16 A.9.2.4 Equipment Maintenance
34
ล าดบ รายการ ตรวจสอบ
ความเสยง ผลกระทบ
โอกาส คาความเสยง
รายการควบคม O L R
15 Fire Protection System
อปกรณถกเขาถงจากผไมไดรบอนญาตเนองจากไมมระบบควบคมการเขา – ออก
4 2 2 3 12 A.9.1.2 Physical entry control, A.9.1.4
อปกรณไมท างานขณะเกดเหตเพลงไหม 5 5 3 1 5 A.9.2.4 Equipment Maintenance
35
2. ซอฟตแวร (Software) ผลการประเมนความเสยงกอนการบรหารจดการความเสยง
ล าดบ รายการ ตรวจสอบ
ความเสยง ผลกระทบ
โอกาส คาความเสยง
รายการควบคม O L R
1 Windows Sever 2008 R2 SP1
การถกฟองรองตามกฎหมายลขสทธการใชซอฟตแวรทละเมดลขสทธ
4
5
3
1
5
A.8.2.2 Information Security Awareness
ระบบปฏบตการมท างานผดพลาดจากไวรส โทรจน มลแวร เนองจากไมมการตดตงโปรแกรมปองกนโปรแกรมทไมประสงคด
4
1
2
3
12
A.10.4.1 Control against malicious code
ระบบปฏบตการมชองโหวในการโจมตเนองจากไมมการอพเดท path security
4
1
2
3
12
A.10.4.1 Control against malicious code
ระบบปฏบตการถกสวมสทธเขาใชงานเนองจากไมมการก าหนดการหมดเวลาทไมไดใชงานอปกรณ
4 1 2 2 8 A.11.5.5 Session time-out
ระบบถกเจาะหรอถกโจมตเนองจากขาดการปองกนพอรตทใชส าหรบตรวจสอบและปรบแตง
4 2 2 3 12 A.11.4.4 Remote diagnostic and configuration port protection
36
ล าดบ รายการ ตรวจสอบ
ความเสยง ผลกระทบ
โอกาส คาความเสยง
รายการควบคม O L R
2 Windows Sever 2012 R2
การถกฟองรองตามกฎหมายลขสทธการใชซอฟตแวรทละเมดลขสทธ
4
5
3
1
5
A.8.2.2 Information Security Awareness
ระบบปฏบตการมท างานผดพลาดจากไวรส โทรจน มลแวร เนองจากไมมการตดตงโปรแกรมปองกนโปรแกรมทไมประสงคด
4
1
2
3
12
A.10.4.1 Control against malicious code
ระบบปฏบตการมชองโหวในการโจมตเนองจากไมมการอพเดท path security
4
1
2
3
12
A.10.4.1 Control against malicious code
ระบบปฏบตการถกสวมสทธเขาใชงานเนองจากไมมการก าหนดการหมดเวลาทไมไดใชงานอปกรณ
4 1 2 2 8 A.11.5.5 Session time-out
ระบบถกเจาะหรอถกโจมตเนองจากขาดการปองกนพอรตทใชส าหรบตรวจสอบและปรบแตง
4 2 2 3 12 A.11.4.4 Remote diagnostic and configuration port protection
37
ล าดบ รายการ ตรวจสอบ
ความเสยง ผลกระทบ
โอกาส คาความเสยง
รายการควบคม O L R
3 Linux CentOS 6 การถกฟองรองตามกฎหมายลขสทธการใชซอฟตแวรทละเมดลขสทธ
1
1
1
1
1
A.8.2.2 Information Security Awareness
ระบบปฏบตการมท างานผดพลาดจากไวรส โทรจน มลแวร เนองจากไมมการตดตงโปรแกรมปองกนโปรแกรมทไมประสงคด
4
1
2
2
8
A.10.4.1 Control against malicious code
ระบบปฏบตการมชองโหวในการโจมตเนองจากไมมการอพเดท path security
4
1
2
3
12
A.10.4.1 Control against malicious code
ระบบปฏบตการถกสวมสทธเขาใชงานเนองจากไมมการก าหนดการหมดเวลาทไมไดใชงานอปกรณ
4 1 2 2 8 A.11.5.5 Session time-out
ระบบถกเจาะหรอถกโจมตเนองจากขาดการปองกนพอรตทใชส าหรบตรวจสอบและปรบแตง
4 2 2 3 12 A.11.4.4 Remote diagnostic and configuration port protection
38
ล าดบ รายการ ตรวจสอบ
ความเสยง ผลกระทบ
โอกาส คาความเสยง
รายการควบคม O L R
4 Linux Ubuntu 12.04
การถกฟองรองตามกฎหมายลขสทธการใชซอฟตแวรทละเมดลขสทธ
1
1
1
1
1
A.8.2.2 Information Security Awareness
ระบบปฏบตการมท างานผดพลาดจากไวรส โทรจน มลแวร เนองจากไมมการตดตงโปรแกรมปองกนโปรแกรมทไมประสงคด
4
1
2
2
8
A.10.4.1 Control against malicious code
ระบบปฏบตการมชองโหวในการโจมตเนองจากไมมการอพเดท path security
4
1
2
3
12
A.10.4.1 Control against malicious code
ระบบปฏบตการถกสวมสทธเขาใชงานเนองจากไมมการก าหนดการหมดเวลาทไมไดใชงานอปกรณ
4 1 2 2 8 A.11.5.5 Session time-out
ระบบถกเจาะหรอถกโจมตเนองจากขาดการปองกนพอรตทใชส าหรบตรวจสอบและปรบแตง
4 2 2 3 12 A.11.4.4 Remote diagnostic and configuration port protection
39
ล าดบ รายการ ตรวจสอบ
ความเสยง ผลกระทบ
โอกาส คาความเสยง
รายการควบคม O L R
5 NOD32 Antivirus
การถกฟองรองตามกฎหมายลขสทธการใชซอฟตแวรทละเมดลขสทธ
4
5
3
1
5
A.8.2.2 Information Security Awareness
ซอฟตแวรไมสามารถปองกนโปรแกรมไมประสงคดเนองจากไมมการอพเดทให signature เปนปจจบน
4
1
1
1
4
A.10.4.1 Control against malicious code
6 Software Web Server
การถกฟองรองตามกฎหมายลขสทธการใชซอฟตแวรทละเมดลขสทธ
1
1
1
1
1
A.8.2.2 Information Security Awareness
ซอฟตแวรมชองโหวในการโจมตเนองจากไมมการอพเกรดเวอรชนของซอฟตแวร
4
1
2
3
12
A.10.4.1 Control against malicious code
ซอฟตแวรท างานผดพลาดเนองจากไมมคมอขนตอนวธการใชงานซอฟตแวร
4
1
2
2
8
A.10.1.1 Documented Operating Procedures
40
ล าดบ รายการ ตรวจสอบ
ความเสยง ผลกระทบ
โอกาส คาความเสยง
รายการควบคม O L R
7 Software Mail Server
การถกฟองรองตามกฎหมายลขสทธการใชซอฟตแวรทละเมดลขสทธ
1
1
1
1
1
A.8.2.2 Information Security Awareness
ระบบปฏบตการมท างานผดพลาดจากไวรส โทรจน มลแวร เนองจากไมมการตดตงโปรแกรมปองกนโปรแกรมทไมประสงคด
4
1
2
2
8
A.10.4.1 Control against malicious code
ซอฟตแวรมชองโหวในการโจมตเนองจากไมมการอพเดทเวอรชนของซอฟตแวร
4
1
2
2
8
A.10.4.1 Control against malicious code
ระบบปฏบตการถกสวมสทธเขาใชงานเนองจากไมมการก าหนดการหมดเวลาทไมไดใชงานอปกรณ
4 1 2 2 8 A.11.5.5 Session time-out
ระบบถกเจาะหรอถกโจมตเนองจากขาดการปองกนพอรตทใชส าหรบตรวจสอบและปรบแตง
4 2 2 3 12 A.11.4.4 Remote diagnostic and configuration port protection
ซอฟตแวรท างานผดพลาดเนองจากไมมคมอขนตอนวธการใชงานซอฟตแวร
4
1
2
2
8
A.10.1.1 Documented Operating Procedures
41
ล าดบ รายการ ตรวจสอบ
ความเสยง ผลกระทบ
โอกาส คาความเสยง
รายการควบคม O L R
8 Virtual Machine ระบบ DHCP
ระบบปฏบตการมท างานผดพลาดจากไวรส โทรจน มลแวร เนองจากไมมการตดตงโปรแกรมปองกนโปรแกรมทไมประสงคด
4
1
2
3
12
A.10.4.1 Control against malicious code
ระบบปฏบตการมชองโหวในการโจมตเนองจากไมมการอพเดท path security
4
1
2
3
12
A.10.4.1 Control against malicious code
ระบบปฏบตการถกสวมสทธเขาใชงานเนองจากไมมการก าหนดการหมดเวลาทไมไดใชงานอปกรณ
4 1 2 2 8 A.11.5.5 Session time-out
ระบบถกเจาะหรอถกโจมตเนองจากขาดการปองกนพอรตทใชส าหรบตรวจสอบและปรบแตง
4 2 2 3 12 A.11.4.4 Remote diagnostic and configuration port protection
ซอฟตแวรท างานผดพลาดเนองจากไมมคมอขนตอนวธการใชงานซอฟตแวร
4
1
2
2
8
A.10.1.1 Documented Operating Procedures
42
ล าดบ รายการ ตรวจสอบ
ความเสยง ผลกระทบ
โอกาส คาความเสยง
รายการควบคม O L R
9 Virtual Machine ระบบ LDAP
ระบบปฏบตการมท างานผดพลาดจากไวรส โทรจน มลแวร เนองจากไมมการตดตงโปรแกรมปองกนโปรแกรมทไมประสงคด
4
1
2
2
8
A.10.4.1 Control against malicious code
ระบบปฏบตการมชองโหวในการโจมตเนองจากไมมการอพเดท path security
4
1
2
3
12
A.10.4.1 Control against malicious code
ระบบปฏบตการถกสวมสทธเขาใชงานเนองจากไมมการก าหนดการหมดเวลาทไมไดใชงานอปกรณ
4 1 2 2 8 A.11.5.5 Session time-out
ระบบถกเจาะหรอถกโจมตเนองจากขาดการปองกนพอรตทใชส าหรบตรวจสอบและปรบแตง
4 2 2 3 12 A.11.4.4 Remote diagnostic and configuration port protection
ซอฟตแวรท างานผดพลาดเนองจากไมมคมอขนตอนวธการใชงานซอฟตแวร
4
1
2
2
8
A.10.1.1 Documented Operating Procedures
43
ล าดบ รายการ ตรวจสอบ
ความเสยง ผลกระทบ
โอกาส คาความเสยง
รายการควบคม O L R
10 Virtual Machine ระบบ NTP
ระบบปฏบตการมท างานผดพลาดจากไวรส โทรจน มลแวร เนองจากไมมการตดตงโปรแกรมปองกนโปรแกรมทไมประสงคด
4
1
2
2
8
A.10.4.1 Control against malicious code
ระบบปฏบตการมชองโหวในการโจมตเนองจากไมมการอพเดท path security
4
1
2
3
12
A.10.4.1 Control against malicious code
ระบบปฏบตการถกสวมสทธเขาใชงานเนองจากไมมการก าหนดการหมดเวลาทไมไดใชงานอปกรณ
4 1 2 2 8 A.11.5.5 Session time-out
ระบบถกเจาะหรอถกโจมตเนองจากขาดการปองกนพอรตทใชส าหรบตรวจสอบและปรบแตง
4 2 2 3 12 A.11.4.4 Remote diagnostic and configuration port protection
ซอฟตแวรท างานผดพลาดเนองจากไมมคมอขนตอนวธการใชงานซอฟตแวร
4
1
2
2
8
A.10.1.1 Documented Operating Procedures
44
ล าดบ รายการ ตรวจสอบ
ความเสยง ผลกระทบ
โอกาส คาความเสยง
รายการควบคม O L R
11 Virtual Machine ระบบใบแจงเงนเดอน
ระบบปฏบตการมท างานผดพลาดจากไวรส โทรจน มลแวร เนองจากไมมการตดตงโปรแกรมปองกนโปรแกรมทไมประสงคด
4
1
2
3
12
A.10.4.1 Control against malicious code
ระบบปฏบตการมชองโหวในการโจมตเนองจากไมมการอพเดท path security
4
1
2
3
12
A.10.4.1 Control against malicious code
ระบบปฏบตการถกสวมสทธเขาใชงานเนองจากไมมการก าหนดการหมดเวลาทไมไดใชงานอปกรณ
4 1 2 2 8 A.11.5.5 Session time-out
ระบบถกเจาะหรอถกโจมตเนองจากขาดการปองกนพอรตทใชส าหรบตรวจสอบและปรบแตง
4 2 2 3 12 A.11.4.4 Remote diagnostic and configuration port protection
ซอฟตแวรท างานผดพลาดเนองจากไมมคมอขนตอนวธการใชงานซอฟตแวร
4
1
2
2
8
A.10.1.1 Documented Operating Procedures
45
ล าดบ รายการ ตรวจสอบ
ความเสยง ผลกระทบ
โอกาส คาความเสยง
รายการควบคม O L R
12 Virtual Machine ระบบเวบไซตองคกร
ระบบปฏบตการมท างานผดพลาดจากไวรส โทรจน มลแวร เนองจากไมมการตดตงโปรแกรมปองกนโปรแกรมทไมประสงคด
4
1
2
2
8
A.10.4.1 Control against malicious code
ระบบปฏบตการมชองโหวในการโจมตเนองจากไมมการอพเดท path security
4
1
2
3
12
A.10.4.1 Control against malicious code
ระบบปฏบตการถกสวมสทธเขาใชงานเนองจากไมมการก าหนดการหมดเวลาทไมไดใชงานอปกรณ
4 1 2 2 8 A.11.5.5 Session time-out
ระบบถกเจาะหรอถกโจมตเนองจากขาดการปองกนพอรตทใชส าหรบตรวจสอบและปรบแตง
4 2 2 3 12 A.11.4.4 Remote diagnostic and configuration port protection
ซอฟตแวรท างานผดพลาดเนองจากไมมคมอขนตอนวธการใชงานซอฟตแวร
4
1
2
2
8
A.10.1.1 Documented Operating Procedures
46
ล าดบ รายการ ตรวจสอบ
ความเสยง ผลกระทบ
โอกาส คาความเสยง
รายการควบคม O L R
13 Virtual Machine ระบบเวบไซตอนทราเนต
ระบบปฏบตการมท างานผดพลาดจากไวรส โทรจน มลแวร เนองจากไมมการตดตงโปรแกรมปองกนโปรแกรมทไมประสงคด
4
1
2
2
8
A.10.4.1 Control against malicious code
ระบบปฏบตการมชองโหวในการโจมตเนองจากไมมการอพเดท path security
4
1
2
3
12
A.10.4.1 Control against malicious code
ระบบปฏบตการถกสวมสทธเขาใชงานเนองจากไมมการก าหนดการหมดเวลาทไมไดใชงานอปกรณ
4 1 2 2 8 A.11.5.5 Session time-out
ระบบถกเจาะหรอถกโจมตเนองจากขาดการปองกนพอรตทใชส าหรบตรวจสอบและปรบแตง
4 2 2 3 12 A.11.4.4 Remote diagnostic and configuration port protection
ซอฟตแวรท างานผดพลาดเนองจากไมมคมอขนตอนวธการใชงานซอฟตแวร
4
1
2
2
8
A.10.1.1 Documented Operating Procedures
47
ล าดบ รายการ ตรวจสอบ
ความเสยง ผลกระทบ
โอกาส คาความเสยง
รายการควบคม O L R
14 Virtual Machine ระบบจองเครองมอวทยาศาสตร
ระบบปฏบตการมท างานผดพลาดจากไวรส โทรจน มลแวร เนองจากไมมการตดตงโปรแกรมปองกนโปรแกรมทไมประสงคด
4
1
2
2
8
A.10.4.1 Control against malicious code
ระบบปฏบตการมชองโหวในการโจมตเนองจากไมมการอพเดท path security
4
1
2
3
12
A.10.4.1 Control against malicious code
ระบบปฏบตการถกสวมสทธเขาใชงานเนองจากไมมการก าหนดการหมดเวลาทไมไดใชงานอปกรณ
4 1 2 2 8 A.11.5.5 Session time-out
ระบบถกเจาะหรอถกโจมตเนองจากขาดการปองกนพอรตทใชส าหรบตรวจสอบและปรบแตง
4 2 2 3 12 A.11.4.4 Remote diagnostic and configuration port protection
ซอฟตแวรท างานผดพลาดเนองจากไมมคมอขนตอนวธการใชงานซอฟตแวร
4
1
2
2
8
A.10.1.1 Documented Operating Procedures
48
ล าดบ รายการ ตรวจสอบ
ความเสยง ผลกระทบ
โอกาส คาความเสยง
รายการควบคม O L R
15 Virtual Machine ระบบ VPN
ระบบปฏบตการมท างานผดพลาดจากไวรส โทรจน มลแวร เนองจากไมมการตดตงโปรแกรมปองกนโปรแกรมทไมประสงคด
4
1
2
3
12
A.10.4.1 Control against malicious code
ระบบปฏบตการมชองโหวในการโจมตเนองจากไมมการอพเดท path security
4
1
2
3
12
A.10.4.1 Control against malicious code
ระบบปฏบตการถกสวมสทธเขาใชงานเนองจากไมมการก าหนดการหมดเวลาทไมไดใชงานอปกรณ
4 1 2 2 8 A.11.5.5 Session time-out
ระบบถกเจาะหรอถกโจมตเนองจากขาดการปองกนพอรตทใชส าหรบตรวจสอบและปรบแตง
4 2 2 3 12 A.11.4.4 Remote diagnostic and configuration port protection
ซอฟตแวรท างานผดพลาดเนองจากไมมคมอขนตอนวธการใชงานซอฟตแวร
4
1
2
2
8
A.10.1.1 Documented Operating Procedures
49
3. ขอมลสารสนเทศ (Information) ผลการประเมนความเสยงกอนการบรหารจดการความเสยง
ล าดบ รายการ ตรวจสอบ
ความเสยง ผลกระทบ
โอกาส คาความเสยง
รายการควบคม O L R
1 ขอมลระบบอเมล การเขาถงโดยไมไดรบอนญาตเนองจากผใชงานไมเปลยนรหสผานทเปนคาเรมตน
3 5 3 4 20 A.11.3.1 Password Use
ขอมลอเมลถกน าไปเผยแพรหรอถกเปดเผยเนองจากผใชงานโดนหลอกลวง
3 5 3 3 15 A.8.2.2 Information Security Training
2 ขอมลเวบไซตองคกร
ขอมลเวบไซตถกแกไขโดยไมไดรบอนญาต 3 1 3 1 3 A.11.1.1 Access Control policy
3 ขอมลเวบไซตอนทราเนต
ขอมลเวบไซตถกแกไขโดยไมไดรบอนญาต 3 1 3 1 3 A.11.1.1 Access Control policy
4 ขอมลระบบเงนเดอน
การเขาถงโดยไมไดรบอนญาตเนองจากผใชงานไมเปลยนรหสผานทเปนคาเรมตน
3 5 3 3 15 A.11.3.1 Password Use
50
ล าดบ รายการ ตรวจสอบ
ความเสยง ผลกระทบ
โอกาส คาความเสยง
รายการควบคม O L R
5 ขอมลบนทกการใชงานอนเทอรเนต
ขอมลการใชงานอนเทอรเนตจาก Proxy สญหายเนองจากไมมการส ารองขอมล
3 5 3 3 15 A.10.5.1 Information Backup
6 เอกสารของฝายระบบคอมพวเตอรและเครอขาย
เอกสารส าคญถกโจรกรรมเนองจากไมมทจดเกบทมดชด
4 2 2 3 12 A.7.2.1 Classification guidelines
51
4. บคคล (Human) ผลการประเมนความเสยงกอนการบรหารจดการความเสยง
ล าดบ รายการ ตรวจสอบ
ความเสยง ผลกระทบ
โอกาส คาความเสยง
รายการควบคม O L R
1 เจาหนาทดแลระบบ
ผดแลระบบขาดความรทกษะเฉพาะดานกบเทคโนโลยใหมๆ ท าใหการรกษาความมนคงปลอดภยของระบบสารสนเทศท างานไดอยางไมเตมประสทธภาพ
3 1 1 3 6 A.8.2.2 Information Security Training
ไมสามารถเขาปฏบตงานในเวลางานไดจนท าใหระบบหยดชะงก
3 1 1 3 9 A.8.2.1 Management Responsibilities
2 ผใชงานสารสนเทศ
การเขาใชงานระบบสารสนเทศมความลอแหลมไมตระหนกถงความปลอดภยและผลกระทบทเกดขนกบระบบสารสนเทศ
3 5 3 3 15 A.8.2.2 Information security awareness, education and training
52
5. ผใหบรการ (Service) ผลการประเมนความเสยงกอนการบรหารจดการความเสยง
ตารางสรปจ านวนความเสยงทพบ
ตารางท 4.2 ตารางสรปผลความเสยงกอนการบรหารจดการความเสยง
ล าดบ รายการ ตรวจสอบ
ความเสยง ผลกระทบ
โอกาส คาความเสยง
รายการควบคม O L R
1 ผใหบรการอนเทอรเนต
ผใหบรการอนเทอรเนตไมสามารถบรการไดท าใหองคกรไมสามารถด าเนนกจกรรมทตองใชระบบอนเทอรเนต
4 1 2 3 12 A.10.2.2 Monitoring and review of third party services
ระดบความเสยงทพบ ระดบสง ระดบกลาง ระดบต า ผลรวม จ านวน 2 65 87 154
53
4.3 แนวทางการบรหารจดการความเสยง เมอไดผลสรปในการประเมนความเสยงแลว จะด าเนนการจดการความเสยงทมระดบความเสยงสง และระดบความเสยงระดบกลางโดยจะน าเอาหลกการควบคมมาปรบใชในการท าแนวทางจดการความเสยง และการบรหารจดการความเสยง ดงผลการด าเนนการดงตารางตอไปน
ตารางท 4.3 สรปแนวทางจดการความเสยง และผลการบรหารจดการความเสยง
ล าดบ ประเภท รายการ ตรวจสอบ
ประเดนความเสยง ระดบความเสยง
รายการควบคม
แนวทางจดการ ความเสยง
ผลลพธ
1 Hardware Air Conditioning
อปกรณไมสามารถท างานไดหรอท างานผดพลาดเนองจากขาดการซอมบ ารงอาจจะท าใหอณหภมหองรอน และท าใหอปกรณใน Data Center เสยหาย
สง
A.9.2.4 Equipment Maintenance
ก าหนดระยะเวลาบ ารงรกษาอปกรณอยางสม าเสมอ
มการก าหนดระยะเวลาในการเขามาซอมบ ารงรกษาอปกรณทกๆ 1 เดอน
2 Information ขอมลระบบอเมล
การเขาถงขอมลอเมลโดยไมไดรบอนญาตเนองจากผใชงานไมเปลยนรหสผานทเปนคาเรมตน
สง
A.11.3.1 Password Use
ควรมการก าหนดนโยบายในการตงรหสผาน และการเปลยนรหสผาน
มการจดท านโยบายในการตงรหสผานอยางนอย 8 ตวอกษรผสมอกขระพเศษ และใหมการเปลยนรหสผานทกๆ 60 วน
54
ล าดบ ประเภท รายการ ตรวจสอบ
ประเดนความเสยง ระดบความเสยง
รายการควบคม
แนวทางจดการ ความเสยง
ผลลพธ
3 Hardware Router อปกรณถกเขาถงจากผไมไดรบอนญาตเนองจากไมมระบบควบคมการเขา – ออก
กลาง A.9.1.2 Physical entry control, A.9.1.4 Protecting against external and environmental threats
ควรใหมการควบคมการเขา-ออกหองศนยขอมล และมเอกสารบนทกเวลา-เขาออกหองศนยขอมล
มการลอคประตหองเขาออกหองศนยขอมล และมเอกสารบนทกเวลา-เขาออกหองศนยขอมลรวมทงเหตผลในการเขาหอง ส าหรบผดแลระบบ และส าหรบบคคลหรอหนวยงานภายนอกจะตองไดรบการอนมตจากหวหนาสารสนเทศกอน
4 Hardware Router อปกรณถกแกไขคาอปกรณโดยไมไดรบอนญาต
กลาง A.9.1.2 Physical entry control, A.9.1.4 Protecting against external and environmental threats
ควรใหมการควบคมการเขา-ออกหองศนยขอมล และมเอกสารบนทกเวลา-เขาออกหองศนยขอมล
มการลอคประตหองเขาออกหองศนยขอมล และมเอกสารบนทกเวลา-เขาออกหองศนยขอมลรวมทงเหตผลในการเขาหอง ส าหรบผดแลระบบ และส าหรบบคคลหรอหนวยงานภายนอกจะตองไดรบการอนมตจากหวหนาสารสนเทศกอน
55
ล าดบ ประเภท รายการ ตรวจสอบ
ประเดนความเสยง ระดบความเสยง
รายการควบคม
แนวทางจดการ ความเสยง
ผลลพธ
5 Hardware Core Switch1 และ Core Switch 2
อปกรณถกเขาถงจากผไมไดรบอนญาตเนองจากไมมระบบควบคมการเขา – ออก
กลาง A.9.1.2 Physical entry control, A.9.1.4 Protecting against external and environmental threats
ควรใหมการควบคมการเขา-ออกหองศนยขอมล และมเอกสารบนทกเวลา-เขาออกหองศนยขอมล
มการลอคประตหองเขาออกหองศนยขอมล และมเอกสารบนทกเวลา-เขาออกหองศนยขอมลรวมทงเหตผลในการเขาหอง ส าหรบผดแลระบบ และส าหรบบคคลหรอหนวยงานภายนอกจะตองไดรบการอนมตจากหวหนาสารสนเทศกอน
6 Hardware Core Switch1 และ Core Switch 2
อปกรณถกแกไขคาอปกรณโดยไมไดรบอนญาต
กลาง A.9.1.2 Physical entry control, A.9.1.4 Protecting against external and environmental threats
ควรใหมการควบคมการเขา-ออกหองศนยขอมล และมเอกสารบนทกเวลา-เขาออกหองศนยขอมล
มการลอคประตหองเขาออกหองศนยขอมล และมเอกสารบนทกเวลา-เขาออกหองศนยขอมลรวมทงเหตผลในการเขาหอง ส าหรบผดแลระบบ และส าหรบบคคลหรอหนวยงานภายนอกจะตองไดรบการอนมตจากหวหนาสารสนเทศกอน
56
ล าดบ ประเภท รายการ ตรวจสอบ
ประเดนความเสยง ระดบความเสยง
รายการควบคม
แนวทางจดการ ความเสยง
ผลลพธ
7 Hardware DMZ Switch 1 และ DMZ Switch 2
อปกรณถกเขาถงจากผไมไดรบอนญาตเนองจากไมมระบบควบคมการเขา – ออก
กลาง A.9.1.2 Physical entry control, A.9.1.4 Protecting against external and environmental threats
ควรใหมการควบคมการเขา-ออกหองศนยขอมล และมเอกสารบนทกเวลา-เขาออกหองศนยขอมล
มการลอคประตหองเขาออกหองศนยขอมล และมเอกสารบนทกเวลา-เขาออกหองศนยขอมลรวมทงเหตผลในการเขาหอง ส าหรบผดแลระบบ และส าหรบบคคลหรอหนวยงานภายนอกจะตองไดรบการอนมตจากหวหนาสารสนเทศกอน
8 Hardware DMZ Switch 1 และ DMZ Switch 2
อปกรณถกแกไขคาอปกรณโดยไมไดรบอนญาต
กลาง A.9.1.2 Physical entry control, A.9.1.4 Protecting against external and environmental threats
ควรใหมการควบคมการเขา-ออกหองศนยขอมล และมเอกสารบนทกเวลา-เขาออกหองศนยขอมล
มการลอคประตหองเขาออกหองศนยขอมล และมเอกสารบนทกเวลา-เขาออกหองศนยขอมลรวมทงเหตผลในการเขาหอง ส าหรบผดแลระบบ และส าหรบบคคลหรอหนวยงานภายนอกจะตองไดรบการอนมตจากหวหนาสารสนเทศกอน
57
ล าดบ ประเภท รายการ ตรวจสอบ
ประเดนความเสยง ระดบความเสยง
รายการควบคม
แนวทางจดการ ความเสยง
ผลลพธ
9 Hardware Wireless LAN Switch
อปกรณถกเขาถงจากผไมไดรบอนญาตเนองจากไมมระบบควบคมการเขา – ออก
กลาง A.9.1.2 Physical entry control, A.9.1.4 Protecting against external and environmental threats
ควรใหมการควบคมการเขา-ออกหองศนยขอมล และมเอกสารบนทกเวลา-เขาออกหองศนยขอมล
มการลอคประตหองเขาออกหองศนยขอมล และมเอกสารบนทกเวลา-เขาออกหองศนยขอมลรวมทงเหตผลในการเขาหอง ส าหรบผดแลระบบ และส าหรบบคคลหรอหนวยงานภายนอกจะตองไดรบการอนมตจากหวหนาสารสนเทศกอน
10 Hardware Wireless LAN Switch
อปกรณถกแกไขคาอปกรณโดยไมไดรบอนญาต
กลาง A.9.1.2 Physical entry control, A.9.1.4 Protecting against external and environmental threats
ควรใหมการควบคมการเขา-ออกหองศนยขอมล และมเอกสารบนทกเวลา-เขาออกหองศนยขอมล
มการลอคประตหองเขาออกหองศนยขอมล และมเอกสารบนทกเวลา-เขาออกหองศนยขอมลรวมทงเหตผลในการเขาหอง ส าหรบผดแลระบบ และหนวยงานภายนอกจะตองไดรบการอนมตจากหวหนาสารสนเทศกอน
58
ล าดบ ประเภท รายการ ตรวจสอบ
ประเดนความเสยง ระดบความเสยง
รายการควบคม
แนวทางจดการ ความเสยง
ผลลพธ
11 Hardware Wireless LAN Controller
อปกรณถกเขาถงจากผไมไดรบอนญาตเนองจากไมมระบบควบคมการเขา – ออก
กลาง A.9.1.2 Physical entry control, A.9.1.4 Protecting against external and environmental threats
ควรใหมการควบคมการเขา-ออกหองศนยขอมล และมเอกสารบนทกเวลา-เขาออกหองศนยขอมล
มการลอคประตหองเขาออกหองศนยขอมล และมเอกสารบนทกเวลา-เขาออกหองศนยขอมลรวมทงเหตผลในการเขาหอง ส าหรบผดแลระบบ และส าหรบบคคลหรอหนวยงานภายนอกจะตองไดรบการอนมตจากหวหนาสารสนเทศกอน
12 Hardware Wireless LAN Controller
อปกรณถกแกไขคาอปกรณโดยไมไดรบอนญาต
กลาง A.9.1.2 Physical entry control, A.9.1.4 Protecting against external and environmental threats
ควรใหมการควบคมการเขา-ออกหองศนยขอมล และมเอกสารบนทกเวลา-เขาออกหองศนยขอมล
มการลอคประตหองเขาออกหองศนยขอมล และมเอกสารบนทกเวลา-เขาออกหองศนยขอมลรวมทงเหตผลในการเขาหองส าหรบผดแลระบบ และหนวยงานภายนอกจะตองไดรบการอนมตจากหวหนาสารสนเทศกอน
59
ล าดบ ประเภท รายการ ตรวจสอบ
ประเดนความเสยง ระดบความเสยง
รายการควบคม
แนวทางจดการ ความเสยง
ผลลพธ
13 Hardware Proxy อปกรณถกเขาถงจากผไมไดรบอนญาตเนองจากไมมระบบควบคมการเขา – ออก
กลาง A.9.1.2 Physical entry control, A.9.1.4 Protecting against external and environmental threats
ควรใหมการควบคมการเขา-ออกหองศนยขอมล และมเอกสารบนทกเวลา-เขาออกหองศนยขอมล
มการลอคประตหองเขาออกหองศนยขอมล และมเอกสารบนทกเวลา-เขาออกหองศนยขอมลรวมทงเหตผลในการเขาหอง ส าหรบผดแลระบบ และส าหรบบคคลหรอหนวยงานภายนอกจะตองไดรบการอนมตจากหวหนาสารสนเทศกอน
14 Hardware Proxy อปกรณถกแกไขคาอปกรณโดยไมไดรบอนญาต
กลาง A.9.1.2 Physical entry control, A.9.1.4 Protecting against external and environmental threats
ควรใหมการควบคมการเขา-ออกหองศนยขอมล และมเอกสารบนทกเวลา-เขาออกหองศนยขอมล
มการลอคประตหองเขาออกหองศนยขอมล และมเอกสารบนทกเวลา-เขาออกหองศนยขอมลรวมทงเหตผลในการเขาหอง ส าหรบผดแลระบบ และหนวยงานภายนอกจะตองไดรบการอนมตจากหวหนาสารสนเทศกอน
60
ล าดบ ประเภท รายการ ตรวจสอบ
ประเดนความเสยง ระดบความเสยง
รายการควบคม
แนวทางจดการ ความเสยง
ผลลพธ
15 Hardware Virtualization Server 1 Virtualization Server 2 และ Virtualization Server 3
เครองแมขายถกเขาถงจากผไมไดรบอนญาตเนองจากไมมระบบควบคมการเขา – ออก
กลาง A.9.1.2 Physical entry control, A.9.1.4 Protecting against external and environmental threats
ควรใหมการควบคมการเขา-ออกหองศนยขอมล และมเอกสารบนทกเวลา-เขาออกหองศนยขอมล
มการลอคประตหองเขาออกหองศนยขอมล และมเอกสารบนทกเวลา-เขาออกหองศนยขอมลรวมทงเหตผลในการเขาหอง ส าหรบผดแลระบบ และส าหรบบคคลหรอหนวยงานภายนอกจะตองไดรบการอนมตจากหวหนาสารสนเทศกอน
16 Hardware Virtualization Server 1 Virtualization Server 2 และ Virtualization Server 3
เครองแมขายถกแกไขคาอปกรณโดยไมไดรบอนญาต
กลาง A.9.1.2 Physical entry control, A.9.1.4 Protecting against external and environmental threats
ควรใหมการควบคมการเขา-ออกหองศนยขอมล และมเอกสารบนทกเวลา-เขาออกหองศนยขอมล
มการลอคประตหองเขาออกหองศนยขอมล และมเอกสารบนทกเวลา-เขาออกหองศนยขอมลรวมทงเหตผลในการเขาหอง ส าหรบผดแลระบบ และหนวยงานภายนอกจะตองไดรบการอนมตจากหวหนาสารสนเทศกอน
61
ล าดบ ประเภท รายการ ตรวจสอบ
ประเดนความเสยง ระดบความเสยง
รายการควบคม
แนวทางจดการ ความเสยง
ผลลพธ
17 Hardware Mail Server เครองแมขายถกเขาถงจากผไมไดรบอนญาตเนองจากไมมระบบควบคมการเขา – ออก
กลาง A.9.1.2 Physical entry control, A.9.1.4 Protecting against external and environmental threats
ควรใหมการควบคมการเขา-ออกหองศนยขอมล และมเอกสารบนทกเวลา-เขาออกหองศนยขอมล
มการลอคประตหองเขาออกหองศนยขอมล และมเอกสารบนทกเวลา-เขาออกหองศนยขอมลรวมทงเหตผลในการเขาหอง ส าหรบผดแลระบบ และส าหรบบคคลหรอหนวยงานภายนอกจะตองไดรบการอนมตจากหวหนาสารสนเทศกอน
18 Hardware Mail Server เครองแมขายถกแกไขคาอปกรณโดยไมไดรบอนญาต
กลาง A.9.1.2 Physical entry control, A.9.1.4 Protecting against external and environmental threats
ควรใหมการควบคมการเขา-ออกหองศนยขอมล และมเอกสารบนทกเวลา-เขาออกหองศนยขอมล
มการลอคประตหองเขาออกหองศนยขอมล และมเอกสารบนทกเวลา-เขาออกหองศนยขอมลรวมทงเหตผลในการเขาหอง ส าหรบผดแลระบบ และหนวยงานภายนอกจะตองไดรบการอนมตจากหวหนาสารสนเทศกอน
62
ล าดบ ประเภท รายการ ตรวจสอบ
ประเดนความเสยง ระดบความเสยง
รายการควบคม
แนวทางจดการ ความเสยง
ผลลพธ
19 Hardware Mail Gateway อปกรณถกเขาถงจากผไมไดรบอนญาตเนองจากไมมระบบควบคมการเขา – ออก
กลาง A.9.1.2 Physical entry control, A.9.1.4 Protecting against external and environmental threats
ควรใหมการควบคมการเขา-ออกหองศนยขอมล และมเอกสารบนทกเวลา-เขาออกหองศนยขอมล
มการลอคประตหองเขาออกหองศนยขอมล และมเอกสารบนทกเวลา-เขาออกหองศนยขอมลรวมทงเหตผลในการเขาหอง ส าหรบผดแลระบบ และส าหรบบคคลหรอหนวยงานภายนอกจะตองไดรบการอนมตจากหวหนาสารสนเทศกอน
20 Hardware Mail Gateway อปกรณถกแกไขคาอปกรณโดยไมไดรบอนญาต
กลาง A.9.1.2 Physical entry control, A.9.1.4 Protecting against external and environmental threats
ควรใหมการควบคมการเขา-ออกหองศนยขอมล และมเอกสารบนทกเวลา-เขาออกหองศนยขอมล
มการลอคประตหองเขาออกหองศนยขอมล และมเอกสารบนทกเวลา-เขาออกหองศนยขอมลรวมทงเหตผลในการเขาหอง ส าหรบผดแลระบบ และหนวยงานภายนอกจะตองไดรบการอนมตจากหวหนาสารสนเทศกอน
63
ล าดบ ประเภท รายการ ตรวจสอบ
ประเดนความเสยง ระดบความเสยง
รายการควบคม
แนวทางจดการ ความเสยง
ผลลพธ
21 Hardware Storage อปกรณถกเขาถงจากผไมไดรบอนญาตเนองจากไมมระบบควบคมการเขา – ออก
กลาง A.9.1.2 Physical entry control, A.9.1.4 Protecting against external and environmental threats
ควรใหมการควบคมการเขา-ออกหองศนยขอมล และมเอกสารบนทกเวลา-เขาออกหองศนยขอมล
มการลอคประตหองเขาออกหองศนยขอมล และมเอกสารบนทกเวลา-เขาออกหองศนยขอมลรวมทงเหตผลในการเขาหอง ส าหรบผดแลระบบ และส าหรบบคคลหรอหนวยงานภายนอกจะตองไดรบการอนมตจากหวหนาสารสนเทศกอน
22 Hardware Storage อปกรณถกแกไขคาอปกรณโดยไมไดรบอนญาต
กลาง A.9.1.2 Physical entry control, A.9.1.4 Protecting against external and environmental threats
ควรใหมการควบคมการเขา-ออกหองศนยขอมล และมเอกสารบนทกเวลา-เขาออกหองศนยขอมล
มการลอคประตหองเขาออกหองศนยขอมล และมเอกสารบนทกเวลา-เขาออกหองศนยขอมลรวมทงเหตผลในการเขาหอง ส าหรบผดแลระบบ และหนวยงานภายนอกจะตองไดรบการอนมตจากหวหนาสารสนเทศกอน
64
ล าดบ ประเภท รายการ ตรวจสอบ
ประเดนความเสยง ระดบความเสยง
รายการควบคม
แนวทางจดการ ความเสยง
ผลลพธ
23 Hardware Storage อปกรณถกเขาถงจากผไมไดรบอนญาตเนองจากไมมระบบควบคมการเขา – ออก
กลาง A.9.1.2 Physical entry control, A.9.1.4 Protecting against external and environmental threats
ควรใหมการควบคมการเขา-ออกหองศนยขอมล และมเอกสารบนทกเวลา-เขาออกหองศนยขอมล
มการลอคประตหองเขาออกหองศนยขอมล และมเอกสารบนทกเวลา-เขาออกหองศนยขอมลรวมทงเหตผลในการเขาหอง ส าหรบผดแลระบบ และส าหรบบคคลหรอหนวยงานภายนอกจะตองไดรบการอนมตจากหวหนาสารสนเทศกอน
24 Hardware Storage อปกรณถกแกไขคาอปกรณโดยไมไดรบอนญาต
กลาง A.9.1.2 Physical entry control, A.9.1.4 Protecting against external and environmental threats
ควรใหมการควบคมการเขา-ออกหองศนยขอมล และมเอกสารบนทกเวลา-เขาออกหองศนยขอมล
มการลอคประตหองเขาออกหองศนยขอมล และมเอกสารบนทกเวลา-เขาออกหองศนยขอมลรวมทงเหตผลในการเขาหอง ส าหรบผดแลระบบ และหนวยงานภายนอกจะตองไดรบการอนมตจากหวหนาสารสนเทศกอน
65
ล าดบ ประเภท รายการ ตรวจสอบ
ประเดนความเสยง ระดบความเสยง
รายการควบคม
แนวทางจดการ ความเสยง
ผลลพธ
25 Hardware DNS Server เครองแมขายถกเขาถงจากผไมไดรบอนญาตเนองจากไมมระบบควบคมการเขา – ออก
กลาง A.9.1.2 Physical entry control, A.9.1.4 Protecting against external and environmental threats
ควรใหมการควบคมการเขา-ออกหองศนยขอมล และมเอกสารบนทกเวลา-เขาออกหองศนยขอมล
มการลอคประตหองเขาออกหองศนยขอมล และมเอกสารบนทกเวลา-เขาออกหองศนยขอมลรวมทงเหตผลในการเขาหอง ส าหรบผดแลระบบ และส าหรบบคคลหรอหนวยงานภายนอกจะตองไดรบการอนมตจากหวหนาสารสนเทศกอน
26 Hardware DNS Server เครองแมขายถกแกไขคาอปกรณโดยไมไดรบอนญาต
กลาง A.9.1.2 Physical entry control, A.9.1.4 Protecting against external and environmental threats
ควรใหมการควบคมการเขา-ออกหองศนยขอมล และมเอกสารบนทกเวลา-เขาออกหองศนยขอมล
มการลอคประตหองเขาออกหองศนยขอมล และมเอกสารบนทกเวลา-เขาออกหองศนยขอมลรวมทงเหตผลในการเขาหอง ส าหรบผดแลระบบ และหนวยงานภายนอกจะตองไดรบการอนมตจากหวหนาสารสนเทศกอน
66
ล าดบ ประเภท รายการ ตรวจสอบ
ประเดนความเสยง ระดบความเสยง
รายการควบคม
แนวทางจดการ ความเสยง
ผลลพธ
27 Hardware UPS 15 KVA อปกรณถกเขาถงจากผไมไดรบอนญาตเนองจากไมมระบบควบคมการเขา – ออก
กลาง A.9.1.2 Physical entry control, A.9.1.4 Protecting against external and environmental threats
ควรใหมการควบคมการเขา-ออกหองศนยขอมล และมเอกสารบนทกเวลา-เขาออกหองศนยขอมล
มการลอคประตหองเขาออกหองศนยขอมล และมเอกสารบนทกเวลา-เขาออกหองศนยขอมลรวมทงเหตผลในการเขาหอง ส าหรบผดแลระบบ และส าหรบบคคลหรอหนวยงานภายนอกจะตองไดรบการอนมตจากหวหนาสารสนเทศกอน
28 Hardware UPS 15 KVA อปกรณถกแกไขคาอปกรณโดยไมไดรบอนญาต
กลาง A.9.1.2 Physical entry control, A.9.1.4 Protecting against external and environmental threats
ควรใหมการควบคมการเขา-ออกหองศนยขอมล และมเอกสารบนทกเวลา-เขาออกหองศนยขอมล
มการลอคประตหองเขาออกหองศนยขอมล และมเอกสารบนทกเวลา-เขาออกหองศนยขอมลรวมทงเหตผลในการเขาหอง ส าหรบผดแลระบบ และหนวยงานภายนอกจะตองไดรบการอนมตจากหวหนาสารสนเทศกอน
67
ล าดบ ประเภท รายการ ตรวจสอบ
ประเดนความเสยง ระดบความเสยง
รายการควบคม
แนวทางจดการ ความเสยง
ผลลพธ
29 Hardware Air Conditioning
อปกรณถกเขาถงจากผไมไดรบอนญาตเนองจากไมมระบบควบคมการเขา – ออก
กลาง A.9.1.2 Physical entry control, A.9.1.4 Protecting against external and environmental threats
ควรใหมการควบคมการเขา-ออกหองศนยขอมล และมเอกสารบนทกเวลา-เขาออกหองศนยขอมล
มการลอคประตหองเขาออกหองศนยขอมล และมเอกสารบนทกเวลา-เขาออกหองศนยขอมลรวมทงเหตผลในการเขาหอง ส าหรบผดแลระบบ และส าหรบบคคลหรอหนวยงานภายนอกจะตองไดรบการอนมตจากหวหนาสารสนเทศกอน
30 Hardware Fire Protection System
อปกรณถกเขาถงจากผไมไดรบอนญาตเนองจากไมมระบบควบคมการเขา – ออก
กลาง A.9.1.2 Physical entry control, A.9.1.4 Protecting against external and environmental threats
ควรใหมการควบคมการเขา-ออกหองศนยขอมล และมเอกสารบนทกเวลา-เขาออกหองศนยขอมล
มการลอคประตหองเขาออกหองศนยขอมล และมเอกสารบนทกเวลา-เขาออกหองศนยขอมลรวมทงเหตผลในการเขาหอง ส าหรบผดแลระบบ และหนวยงานภายนอกจะตองไดรบการอนมตจากหวหนาสารสนเทศกอน
68
ล าดบ ประเภท รายการ ตรวจสอบ
ประเดนความเสยง ระดบความเสยง
รายการควบคม
แนวทางจดการ ความเสยง
ผลลพธ
31 Software Windows Server 2008 R2 SP1
ระบบปฏบตการมท างานผดพลาดจากไวรส โทรจน มลแวร เนองจากไมมการตดตงโปรแกรมปองกนโปรแกรมทไมประสงคด
กลาง A.10.4.1 Control against malicious code
การปองกนโดยการตดตง antivirus แบบถกลขสทธและท าการตงการอพเดทฐานขอมล antivirus ใหทนสมยเสมอ
มการตดตงซอฟตแวร Antivirus ทรองระบบปฏบตการ Windows Server 2008 R2 SP1
32 Software Windows Server 2008 R2 SP1
ระบบปฏบตการมชองโหวในการโจมตเนองจากไมมการอพเดท path security
กลาง A.10.4.1 Control against malicious code
การปองกนโดยการอพเดท path ของระบบปฏบตการทมาแกไขเรองความปลอดภย
มการอพเดท path ของระบบปฏบตการทม ความส าคญ และกอนการอพเดทจะมการทดสอบกอนเสมอ
69
ล าดบ ประเภท รายการ ตรวจสอบ
ประเดนความเสยง ระดบความเสยง
รายการควบคม
แนวทางจดการ ความเสยง
ผลลพธ
33 Software Windows Server 2008 R2 SP1
ระบบถกเจาะหรอถกโจมตเนองจากขาดการปองกนพอรตทใชส าหรบตรวจสอบและปรบแตง
กลาง A.11.4.4 Remote diagnostic and configuration port protection
ปดพอรตทใชตรวจสอบและปรบแตงทไมไดใชงาน
มการด าเนนการปองกนพอรตโดยปดพอรตทไมจ าเปน และไมไดใชงาน
34 Software Windows Sever 2012 R2
ระบบปฏบตการมท างานผดพลาดจากไวรส โทรจน มลแวร เนองจากไมมการตดตงโปรแกรมปองกนโปรแกรมทไมประสงคด
กลาง A.10.4.1 Control against malicious code
การปองกนโดยการตดตง Antivirus แบบถกลขสทธและท าการตงการอพเดทฐานขอมล Antivirus ใหทนสมยเสมอ
มการตดตงซอฟตแวร Antivirus ทรองระบบปฏบตการ Windows Server 2008 R2 SP1
70
ล าดบ ประเภท รายการ ตรวจสอบ
ประเดนความเสยง ระดบความเสยง
รายการควบคม
แนวทางจดการ ความเสยง
ผลลพธ
35 Software Windows Sever 2012 R2
ระบบปฏบตการมชองโหวในการโจมตเนองจากไมมการอพเดท path security
กลาง A.10.4.1 Control against malicious code
การปองกนโดยการอพเดท path ของระบบปฏบตการทมาแกไขเรองความปลอดภย
มการอพเดท path ของระบบปฏบตการทม ความส าคญ และกอนการอพเดทจะมการทดสอบกอนเสมอ
36 Software Windows Sever 2012 R2
ระบบถกเจาะหรอถกโจมตเนองจากขาดการปองกนพอรตทใชส าหรบตรวจสอบและปรบแตง
กลาง A.11.4.4 Remote diagnostic and configuration port protection
ปดพอรตทใชตรวจสอบและปรบแตงทไมไดใชงาน
มการด าเนนการปองกนพอรตโดยปดพอรตทไมจ าเปน และไมไดใชงาน
71
ล าดบ ประเภท รายการ ตรวจสอบ
ประเดนความเสยง ระดบความเสยง
รายการควบคม
แนวทางจดการ ความเสยง
ผลลพธ
37 Software Linux CentOS 6
ระบบปฏบตการมชองโหวในการโจมตเนองจากไมมการอพเดท path security
กลาง A.10.4.1 Control against malicious code
การปองกนโดยการอพเดท path ของระบบปฏบตการทมาแกไขเรองความปลอดภย
มการอพเดท path ของระบบปฏบตการทม ความส าคญ และกอนการอพเดทจะมการทดสอบกอนเสมอ
38 Software Linux CentOS 6
ระบบถกเจาะหรอถกโจมตเนองจากขาดการปองกนพอรตทใชส าหรบตรวจสอบและปรบแตง
กลาง A.11.4.4 Remote diagnostic and configuration port protection
ปดพอรตทใชตรวจสอบและปรบแตงทไมไดใชงาน
มการด าเนนการปองกนพอรตโดยปดพอรตทไมจ าเปน และไมไดใชงาน
72
ล าดบ ประเภท รายการ ตรวจสอบ
ประเดนความเสยง ระดบความเสยง
รายการควบคม
แนวทางจดการ ความเสยง
ผลลพธ
39 Software Linux Ubuntu 12.04
ระบบปฏบตการมชองโหวในการโจมตเนองจากไมมการอพเดท path security
กลาง A.10.4.1 Control against malicious code
การปองกนโดยการอพเดท path ของระบบปฏบตการทมาแกไขเรองความปลอดภย
มการอพเดท path ของระบบปฏบตการทม ความส าคญ และกอนการอพเดทจะมการทดสอบกอนเสมอ
40 Software Linux Ubuntu 12.04
ระบบถกเจาะหรอถกโจมตเนองจากขาดการปองกนพอรตทใชส าหรบตรวจสอบและปรบแตง
กลาง A.11.4.4 Remote diagnostic and configuration port protection
ปดพอรตทใชตรวจสอบและปรบแตงทไมไดใชงาน
มการด าเนนการปองกนพอรตโดยปดพอรตทไมจ าเปน และไมไดใชงาน
73
ล าดบ ประเภท รายการ ตรวจสอบ
ประเดนความเสยง ระดบความเสยง
รายการควบคม
แนวทางจดการ ความเสยง
ผลลพธ
41 Software Software Web Server
ซอฟตแวรมชองโหวในการโจมตเนองจากไมมการอพเกรดเวอรชนของซอฟตแวร
กลาง A.10.4.1 Control against malicious code
อพเกรดเวอรชนของซอฟตแวรเพอปองหองชองโหว
มการอพเกรดเวอรชนของซอฟตแวร Web Server
42 Software Linux Ubuntu 12.04
ระบบถกเจาะหรอถกโจมตเนองจากขาดการปองกนพอรตทใชส าหรบตรวจสอบและปรบแตง
กลาง A.11.4.4 Remote diagnostic and configuration port protection
ปดพอรตทใชตรวจสอบและปรบแตงทไมไดใชงาน
มการด าเนนการปองกนพอรตโดยปดพอรตทไมจ าเปน และไมไดใชงาน
43 Software Software Mail Server
ระบบถกเจาะหรอถกโจมตเนองจากขาดการปองกนพอรตทใชส าหรบตรวจสอบและปรบแตง
กลาง A.11.4.4 Remote diagnostic and configuration port protection
ปดพอรตทใชตรวจสอบและปรบแตงทไมไดใชงาน
มการด าเนนการปองกนพอรตโดยปดพอรตทไมจ าเปน และไมไดใชงาน
74
ล าดบ ประเภท รายการ ตรวจสอบ
ประเดนความเสยง ระดบความเสยง
รายการควบคม
แนวทางจดการ ความเสยง
ผลลพธ
44 Software Virtual Machine ระบบ DHCP
ระบบปฏบตการมท างานผดพลาดจากไวรส โทรจน มลแวร เนองจากไมมการตดตงโปรแกรมปองกนโปรแกรมทไมประสงคด
กลาง A.10.4.1 Control against malicious code
การปองกนโดยการตดตง Antivirus แบบถกลขสทธและท าการตงการอพเดทฐานขอมล Antivirus ใหทนสมยเสมอ
มการตดตงซอฟตแวร Antivirus
45 Software Virtual Machine ระบบ DHCP
ระบบปฏบตการมชองโหวในการโจมตเนองจากไมมการอพเดท path security
กลาง A.10.4.1 Control against malicious code
การปองกนโดยการอพเดท path ขอระบบปฏบตการ
มการอพเดท path ของระบบปฏบตการทม ความส าคญ และกอนการอพเดทจะมการทดสอบกอนเสมอ
46 Software Virtual Machine ระบบ DHCP
ระบบถกเจาะหรอถกโจมตเนองจากขาดการปองกนพอรตทใชส าหรบตรวจสอบและปรบแตง
กลาง A.11.4.4 Remote diagnostic and configuration port protection
ปดพอรตทใชตรวจสอบและปรบแตงทไมไดใชงาน
มการด าเนนการปองกนพอรตโดยปดพอรตทไมจ าเปน และไมไดใชงาน
75
ล าดบ ประเภท รายการ ตรวจสอบ
ประเดนความเสยง ระดบความเสยง
รายการควบคม
แนวทางจดการ ความเสยง
ผลลพธ
47 Software Virtual Machine ระบบ LDAP
ระบบปฏบตการมชองโหวในการโจมตเนองจากไมมการอพเดท path security
กลาง A.10.4.1 Control against malicious code
การปองกนโดยการอพเดท path ของระบบปฏบตการทมาแกไขเรองความปลอดภย
มการอพเดท path ของระบบปฏบตการทม ความส าคญ และกอนการอพเดทจะมการทดสอบกอนเสมอ
48 Software Virtual Machine ระบบ LDAP
ระบบถกเจาะหรอถกโจมตเนองจากขาดการปองกนพอรตทใชส าหรบตรวจสอบและปรบแตง
กลาง A.11.4.4 Remote diagnostic and configuration port protection
ปดพอรตทใชตรวจสอบและปรบแตงทไมไดใชงาน
มการด าเนนการปองกนพอรตโดยปดพอรตทไมจ าเปน และไมไดใชงาน
49 Software Virtual Machine ระบบ NTP
ระบบปฏบตการมชองโหวในการโจมตเนองจากไมมการอพเดท path security
กลาง A.10.4.1 Control against malicious code
การปองกนโดยการอพเดท path ของระบบปฏบตการทมาแกไขเรองความปลอดภย
มการอพเดท path ของระบบปฏบตการทม ความส าคญ และกอนการอพเดทจะมการทดสอบกอนเสมอ
76
ล าดบ ประเภท รายการ ตรวจสอบ
ประเดนความเสยง ระดบความเสยง
รายการควบคม
แนวทางจดการ ความเสยง
ผลลพธ
50 Software Virtual Machine ระบบ NTP
ระบบถกเจาะหรอถกโจมตเนองจากขาดการปองกนพอรตทใชส าหรบตรวจสอบและปรบแตง
กลาง A.11.4.4 Remote diagnostic and configuration port protection
ปดพอรตทใชตรวจสอบและปรบแตงทไมไดใชงาน
มการด าเนนการปองกนพอรตโดยปดพอรตทไมจ าเปน และไมไดใชงาน
51 Software Virtual Machine ระบบใบแจงเงนเดอน
ระบบปฏบตการมท างานผดพลาดจากไวรส โทรจน มลแวร เนองจากไมมการตดตงโปรแกรมปองกนโปรแกรมทไมประสงคด
กลาง A.10.4.1 Control against malicious code
การปองกนโดยการตดตง Antivirus แบบถกลขสทธและท าการตงการอพเดทฐานขอมล Antivirus ใหทนสมยเสมอ
มการตดตงซอฟตแวร Antivirus
52 Software Virtual Machine ระบบใบแจงเงนเดอน
ระบบปฏบตการมชองโหวในการโจมตเนองจากไมมการอพเดท path security
กลาง A.10.4.1 Control against malicious code
การปองกนโดยการอพเดท path ขอระบบปฏบตการ
มการอพเดท path ของระบบปฏบตการทม ความส าคญ และกอนการอพเดทจะมการทดสอบกอน
77
ล าดบ ประเภท รายการ ตรวจสอบ
ประเดนความเสยง ระดบความเสยง
รายการควบคม
แนวทางจดการ ความเสยง
ผลลพธ
53 Software Virtual Machine ระบบเวบไซตองคกร
ระบบปฏบตการมชองโหวในการโจมตเนองจากไมมการอพเดท path security
กลาง A.10.4.1 Control against malicious code
การปองกนโดยการอพเดท path ของระบบปฏบตการทมาแกไขเรองความปลอดภย
มการอพเดท path ของระบบปฏบตการทม ความส าคญ และกอนการอพเดทจะมการทดสอบกอนเสมอ
54 Software Virtual Machine ระบบเวบไซตองคกร
ระบบถกเจาะหรอถกโจมตเนองจากขาดการปองกนพอรตทใชส าหรบตรวจสอบและปรบแตง
กลาง A.11.4.4 Remote diagnostic and configuration port protection
ปดพอรตทใชตรวจสอบและปรบแตงทไมไดใชงาน
มการด าเนนการปองกนพอรตโดยปดพอรตทไมจ าเปน และไมไดใชงาน
55 Software Virtual Machine ระบบเวบไซตอนทราเนต
ระบบปฏบตการมชองโหวในการโจมตเนองจากไมมการอพเดท path security
กลาง A.10.4.1 Control against malicious code
การปองกนโดยการอพเดท path ของระบบปฏบตการทมาแกไขเรองความปลอดภย
มการอพเดท path ของระบบปฏบตการทม ความส าคญ และกอนการอพเดทจะมการทดสอบกอนเสมอ
78
ล าดบ ประเภท รายการ ตรวจสอบ
ประเดนความเสยง ระดบความเสยง
รายการควบคม
แนวทางจดการ ความเสยง
ผลลพธ
56 Software Virtual Machine ระบบเวบไซตอนทราเนต
ระบบถกเจาะหรอถกโจมตเนองจากขาดการปองกนพอรตทใชส าหรบตรวจสอบและปรบแตง
กลาง A.11.4.4 Remote diagnostic and configuration port protection
ปดพอรตทใชตรวจสอบและปรบแตงทไมไดใชงาน
มการด าเนนการปองกนพอรตโดยปดพอรตทไมจ าเปน และไมไดใชงาน
57 Software Virtual Machine ระบบจองเครองมอวทยาศาสตร
ระบบปฏบตการมชองโหวในการโจมตเนองจากไมมการอพเดท path security
กลาง A.10.4.1 Control against malicious code
การปองกนโดยการอพเดท path ของระบบปฏบตการทมาแกไขเรองความปลอดภย
มการอพเดท path ของระบบปฏบตการทม ความส าคญ และกอนการอพเดทจะมการทดสอบกอนเสมอ
58 Software Virtual Machine ระบบจองเครองมอวทยาศาสตร
ระบบถกเจาะหรอถกโจมตเนองจากขาดการปองกนพอรตทใชส าหรบตรวจสอบและปรบแตง
กลาง A.11.4.4 Remote diagnostic and configuration port protection
ปดพอรตทใชตรวจสอบและปรบแตงทไมไดใชงาน
มการด าเนนการปองกนพอรตโดยปดพอรตทไมจ าเปน และไมไดใชงาน
79
ล าดบ ประเภท รายการ ตรวจสอบ
ประเดนความเสยง ระดบความเสยง
รายการควบคม
แนวทางจดการ ความเสยง
ผลลพธ
59 Software Virtual Machine ระบบ VPN
ระบบปฏบตการมท างานผดพลาดจากไวรส โทรจน มลแวร เนองจากไมมการตดตงโปรแกรมปองกนโปรแกรมทไมประสงคด
กลาง A.10.4.1 Control against malicious code
การปองกนโดยการตดตง Antivirus แบบถกลขสทธและท าการตงการอพเดทฐานขอมล Antivirus ใหทนสมยเสมอ
มการตดตงซอฟตแวร Antivirus
60 Software Virtual Machine ระบบ VPN
ระบบปฏบตการมชองโหวในการโจมตเนองจากไมมการอพเดท path security
กลาง A.10.4.1 Control against malicious code
การปองกนโดยการอพเดท path ขอระบบปฏบตการ
มการอพเดท path ของระบบปฏบตการทม ความส าคญ และกอนการอพเดทจะมการทดสอบกอนเสมอ
61 Software Virtual Machine ระบบ VPN
ระบบถกเจาะหรอถกโจมตเนองจากขาดการปองกนพอรตทใชส าหรบตรวจสอบและปรบแตง
กลาง A.11.4.4 Remote diagnostic and configuration port protection
ปดพอรตทใชตรวจสอบและปรบแตงทไมไดใชงาน
มการด าเนนการปองกนพอรตโดยปดพอรตทไมจ าเปน และไมไดใชงาน
80
ล าดบ ประเภท รายการ ตรวจสอบ
ประเดนความเสยง ระดบความเสยง
รายการควบคม
แนวทางจดการ ความเสยง
ผลลพธ
62 Information ขอมลระบบเงนเดอน
การเขาถงโดยไมไดรบอนญาตเนองจากผใชงานไมเปลยนรหสผานทเปนคาเรมตน
กลาง A.11.3.1 Password Use
มการก าหนดนโยบายในการตงรหสผาน และการเปลยนรหสผาน มการสรางรหสผานทเปนคาเรมตนใหมความยากในการเดา
มการจดท านโยบายในการตงรหสผานอยางนอย 8 ตวอกษรผสมอกขระพเศษ และใหมการเปลยนรหสผานทกๆ 3 เดอน และมการใชซอฟตแวรในการสรางรหสผานใหผใชงาน
63 Information เอกสารของฝายระบบคอมพวเตอรและเครอขาย
เอกสารส าคญถกโจรกรรมเนองจากไมมทจดเกบทมดชด
กลาง A.7.2.1 Classification guidelines
มการจดเกบเอกสารอยางเปนหมวดหมตามระดบชนความลบเพอหาวธปองกนอยางเหมาะสม
มการจดหาตเอกสารทสามารถปดลอคเพอใชเกบเอกสารและจดหมวดหมของเอกสาร
81
ล าดบ ประเภท รายการ ตรวจสอบ
ประเดนความเสยง ระดบความเสยง
รายการควบคม
แนวทางจดการ ความเสยง
ผลลพธ
64 Human ผใชงานสารสนเทศ
การเขาใชงานระบบสารสนเทศมความลอแหลมไมตระหนกถงความปลอดภยและผลกระทบทเกดขนกบระบบสารสนเทศ
กลาง A.8.2.2 Information security awareness, education and training
มการสรางความตะหนกใหความรและอบรมดานความมนคงปลอดภย
มการวางแผนโครงการจดฝกอบรมเรองการใชงานสารสนเทศใหมความปลอดภย
65 Service ผใหบรการอนเทอรเนต
ผใหบรการอนเทอรเนตไมสามารถบรการไดท าใหองคกรไมสามารถด าเนนกจกรรมทตองใชระบบอนเทอรเนต
กลาง A.10.2.2 Monitoring and review of third party services
มการตรวจสอบการใหบรการหนวยงานภายนอกอยางสม าเสมอ
การตรวจสอบการใหบรการในอดตทผานมาผบรหารสารสนเทศยอมรบความเสยง
82
4.4 ผลการประเมนความเสยงระบบ สารสนเทศหลงการบรหารจดการความเสยง
1. ฮารดแวร (Hardware) ตารางท 4.4 ผลการประเมนความเสยงหลงการบรหารจดการความเสยง
ล าดบ รายการ ตรวจสอบ
ความเสยง ผลกระทบ
โอกาส คาความเสยง
รายการควบคม O L R
1 Router อปกรณถกเขาถงจากผไมไดรบอนญาตเนองจากไมมระบบควบคมการเขา – ออก
4 2 2 2 (3) 8 A.9.1.2 Physical entry control, A.9.1.4
อปกรณถกแกไขคาอปกรณโดยไมไดรบอนญาต 4 2 2 2 (3) 8 A.9.1.2 Physical entry control, A.9.1.4
อปกรณไมสามารถใหบรการไดเนองจากอปกรณไมมประสทธภาพเพยงพอตอการใชงาน
4
1
2
2
8
10.3.1 Capacity Management
อปกรณไมสามารถท างานไดเนองจากไฟฟาดบเปนเวลานาน
4 1 2 2 8 A 9.2.2 Support Utilities
อปกรณถกแกไขคาอปกรณโดยไมไดรบอนญาตเนองใชโปรโตคอลทไมปลอดภยในการเขาถงระบบของอปกรณ
4 1 2 2 8 A.11.5.1 Secure log-on procedures
อปกรณถกสวมสทธเขาใชงานเนองจากไมมการก าหนดการหมดเวลาทไมไดใชงานอปกรณ
4 1 2 2 8 A.11.5.5 Session time-out
2 Firewall อปกรณถกเขาถงจากผไมไดรบอนญาตเนองจากไมมระบบควบคมการเขา – ออก
4 1 2 2 (3) 8 A.9.1.2 Physical entry control, A.9.1.4
83
ล าดบ รายการ ตรวจสอบ
ความเสยง ผลกระทบ
โอกาส คาความเสยง
รายการควบคม O L R
2
Firewall อปกรณถกแกไขคาอปกรณโดยไมไดรบอนญาต 4 2 2 2 (3) 8 A.9.1.2 Physical entry control, A.9.1.4
อปกรณไมสามารถใหบรการไดเนองจากอปกรณไมมประสทธภาพเพยงพอตอการใชงาน
4
1
2
2
8
10.3.1 Capacity Management
อปกรณไมสามารถท างานไดเนองจากไฟฟาดบเปนเวลานาน
4 1 2 2 8 A 9.2.2 Support Utilities
อปกรณถกแกไขคาอปกรณโดยไมไดรบอนญาตเนองใชโปรโตคอลทไมปลอดภยในการเขาถงระบบของอปกรณ
4 1 2 2 8 A.11.5.1 Secure log-on procedures
อปกรณถกสวมสทธเขาใชงานเนองจากไมมการก าหนดการหมดเวลาทไมไดใชงานอปกรณ
4 1 2 2 8 A.11.5.5 Session time-out
3 Core Switch 1 และ Core Switch 2
อปกรณถกเขาถงจากผไมไดรบอนญาตเนองจากไมมระบบควบคมการเขา – ออก
4 1 2 2 (3) 8 A.9.1.2 Physical entry control, A.9.1.4
อปกรณถกแกไขคาอปกรณโดยไมไดรบอนญาต 4 2 2 2 (3) 8 A.9.1.2 Physical entry control, A.9.1.4
84
ล าดบ รายการ ตรวจสอบ
ความเสยง ผลกระทบ
โอกาส คาความเสยง
รายการควบคม O L R
3 Core Switch 1 และ Core Switch 2
อปกรณไมสามารถใหบรการไดเนองจากอปกรณไมมประสทธภาพเพยงพอตอการใชงาน
4
1
2
2
8
10.3.1 Capacity Management
อปกรณไมสามารถท างานไดเนองจากไฟฟาดบเปนเวลานาน
4 1 2 2 8 A 9.2.2 Support Utilities
อปกรณถกแกไขคาอปกรณโดยไมไดรบอนญาตเนองใชโปรโตคอลทไมปลอดภยในการเขาถงระบบของอปกรณ
4 1 2 2 8 A.11.5.1 Secure log-on procedures
อปกรณถกสวมสทธเขาใชงานเนองจากไมมการก าหนดการหมดเวลาทไมไดใชงานอปกรณ
4 1 2 2 8 A.11.5.5 Session time-out
4 DMZ Switch 1 และ DMZ Switch 2
อปกรณถกเขาถงจากผไมไดรบอนญาตเนองจากไมมระบบควบคมการเขา – ออก
4 1 2 2 (3) 8 A.9.1.2 Physical entry control, A.9.1.4
อปกรณถกแกไขคาอปกรณโดยไมไดรบอนญาต
4 2 2 2 (3) 8 A.9.1.2 Physical entry control, A.9.1.4
อปกรณไมสามารถใหบรการไดเนองจากอปกรณไมมประสทธภาพเพยงพอตอการใชงาน
4
1
2
2
8
10.3.1 Capacity Management
85
ล าดบ รายการ ตรวจสอบ
ความเสยง ผลกระทบ
โอกาส คาความเสยง
รายการควบคม O L R
4 DMZ Switch 1 และ DMZ Switch 2
อปกรณไมสามารถท างานไดเนองจากไฟฟาดบเปนเวลานาน
4 1 2 2 8 A 9.2.2 Support Utilities
อปกรณถกแกไขคาอปกรณโดยไมไดรบอนญาตเนองใชโปรโตคอลทไมปลอดภยในการเขาถงระบบของอปกรณ
4 1 2 2 8 A.11.5.1 Secure log-on procedures
อปกรณถกสวมสทธเขาใชงานเนองจากไมมการก าหนดการหมดเวลาทไมไดใชงานอปกรณ
4 1 2 2 8 A.11.5.5 Session time-out
5 Wireless LAN Switch
อปกรณถกเขาถงจากผไมไดรบอนญาตเนองจากไมมระบบควบคมการเขา – ออก
4 2 2 2 (3) 8 A.9.1.2 Physical entry control, A.9.1.4
อปกรณถกแกไขคาอปกรณโดยไมไดรบอนญาต 4 2 2 2 (3) 8 A.9.1.2 Physical entry control, A.9.1.4
อปกรณไมสามารถใหบรการไดเนองจากอปกรณไมมประสทธภาพเพยงพอตอการใชงาน
4
1
2
2
8
10.3.1 Capacity Management
อปกรณไมสามารถท างานไดเนองจากไฟฟาดบเปนเวลานาน
4 1 2 2 8 A 9.2.2 Support Utilities
86
ล าดบ รายการ ตรวจสอบ
ความเสยง ผลกระทบ
โอกาส คาความเสยง
รายการควบคม O L R
5 Wireless LAN Switch
อปกรณถกแกไขคาอปกรณโดยไมไดรบอนญาตเนองใชโปรโตคอลทไมปลอดภยในการเขาถงระบบของอปกรณ
4 1 2 2 8 A.11.5.1 Secure log-on procedures
อปกรณถกสวมสทธเขาใชงานเนองจากไมมการก าหนดการหมดเวลาทไมไดใชงานอปกรณ
4 1 2 2 8 A.11.5.5 Session time-out
6
Wireless LAN Controller
อปกรณถกเขาถงจากผไมไดรบอนญาตเนองจากไมมระบบควบคมการเขา – ออก
4 2 2 2 (3) 8 A.9.1.2 Physical entry control, A.9.1.4
อปกรณถกแกไขคาอปกรณโดยไมไดรบอนญาต 4 2 2 2 (3) 8 A.9.1.2 Physical entry control, A.9.1.4
อปกรณไมสามารถใหบรการไดเนองจากอปกรณไมมประสทธภาพเพยงพอตอการใชงาน
4
1
2
2
8
10.3.1 Capacity Management
อปกรณไมสามารถท างานไดเนองจากไฟฟาดบเปนเวลานาน
4 1 2 2 8 A 9.2.2 Support Utilities
อปกรณถกแกไขคาอปกรณโดยไมไดรบอนญาตเนองใชโปรโตคอลทไมปลอดภยในการเขาถงระบบของอปกรณ
4 1 2 2 8 A.11.5.1 Secure log-on procedures
87
ล าดบ รายการ ตรวจสอบ
ความเสยง ผลกระทบ
โอกาส คาความเสยง
รายการควบคม O L R
6 Wireless LAN Controller
อปกรณถกสวมสทธเขาใชงานเนองจากไมมการก าหนดการหมดเวลาทไมไดใชงานอปกรณ
4 1 2 2 8 A.11.5.5 Session time-out
7
Proxy อปกรณถกเขาถงจากผไมไดรบอนญาตเนองจากไมมระบบควบคมการเขา – ออก
4 2 2 2 (3) 8 A.9.1.2 Physical entry control, A.9.1.4
อปกรณถกแกไขคาอปกรณโดยไมไดรบอนญาต 4 2 2 2 (3) 8 A.9.1.2 Physical entry control, A.9.1.4
อปกรณไมสามารถใหบรการไดเนองจากอปกรณไมมประสทธภาพเพยงพอตอการใชงาน
4
1
2
2
8
10.3.1 Capacity Management
อปกรณไมสามารถท างานไดเนองจากไฟฟาดบเปนเวลานาน
4 1 2 2 8 A 9.2.2 Support Utilities
อปกรณถกแกไขคาอปกรณโดยไมไดรบอนญาตเนองใชโปรโตคอลทไมปลอดภยในการเขาถงระบบของอปกรณ
4 1 2 2 8 A.11.5.1 Secure log-on procedures
อปกรณถกสวมสทธเขาใชงานเนองจากไมมการก าหนดการหมดเวลาทไมไดใชงานอปกรณ
4 1 2 2 8 A.11.5.5 Session time-out
88
ล าดบ รายการ ตรวจสอบ
ความเสยง ผลกระทบ
โอกาส คาความเสยง
รายการควบคม O L R
8 Virtualization Server 1 Virtualization Server 2 และ Virtualization Server 3
เครองแมขายเขาถงจากผไมไดรบอนญาตเนองจากไมมระบบควบคมการเขา – ออก
4 2 2 2 (3) 8 A.9.1.2 Physical entry control, A.9.1.4
เครองแมขายถกแกไขคาอปกรณโดยไมไดรบอนญาต 4 2 2 2 (3) 8 A.9.1.2 Physical entry control, A.9.1.4
เครองแมขายไมสามารถใหบรการไดเนองจากเครองแมขายไมมประสทธภาพเพยงพอตอการใชงาน
4
1
2
2
8
10.3.1 Capacity Management
เครองแมขายไมสามารถท างานไดเนองจากไฟฟาดบเปนเวลานาน
4 1 2 2 8 A 9.2.2 Support Utilities
9 Mail Server เครองแมขายถกเขาถงจากผไมไดรบอนญาตเนองจากไมมระบบควบคมการเขา – ออก
4 2 2 2 (3) 8 A.9.1.2 Physical entry control, A.9.1.4
เครองแมขายถกแกไขคาอปกรณโดยไมไดรบอนญาต 4 2 2 2 (3) 8 A.9.1.2 Physical entry control, A.9.1.4
เครองแมขายไมสามารถใหบรการไดเนองจากเครองแมขายไมมประสทธภาพเพยงพอตอการใชงาน
4
1
2
2
8
10.3.1 Capacity Management
89
ล าดบ รายการ ตรวจสอบ
ความเสยง ผลกระทบ
โอกาส คาความเสยง
รายการควบคม O L R
9 Mail Server เครองแมขายไมสามารถท างานไดเนองจากไฟฟาดบเปนเวลานาน
4 1 2 2 8 A 9.2.2 Support Utilities
10
Mail Gateway อปกรณถกเขาถงจากผไมไดรบอนญาตเนองจากไมมระบบควบคมการเขา – ออก
4 2 2 2 (3) 8 A.9.1.2 Physical entry control, A.9.1.4
อปกรณถกแกไขคาอปกรณโดยไมไดรบอนญาต 4 2 2 2 (3) 8 A.9.1.2 Physical entry control, A.9.1.4
อปกรณไมสามารถใหบรการไดเนองจากอปกรณไมมประสทธภาพเพยงพอตอการใชงาน
4
1
2
2
8
10.3.1 Capacity Management
อปกรณไมสามารถท างานไดเนองจากไฟฟาดบเปนเวลานาน
4 1 2 2 8 A 9.2.2 Support Utilities
อปกรณถกแกไขคาอปกรณโดยไมไดรบอนญาตเนองใชโปรโตคอลทไมปลอดภยในการเขาถงระบบของอปกรณ
4 1 2 2 8 A.11.5.1 Secure log-on procedures
อปกรณถกสวมสทธเขาใชงานเนองจากไมมการก าหนดการหมดเวลาทไมไดใชงานอปกรณ
4 1 2 2 8 A.11.5.5 Session time-out
90
ล าดบ รายการ ตรวจสอบ
ความเสยง ผลกระทบ
โอกาส คาความเสยง
รายการควบคม O L R
11 Storage อปกรณถกเขาถงจากผไมไดรบอนญาตเนองจากไมมระบบควบคมการเขา – ออก
4 2 2 2 (3) 8 A.9.1.2 Physical entry control, A.9.1.4
อปกรณถกแกไขคาอปกรณโดยไมไดรบอนญาต 4 2 2 2 (3) 8 A.9.1.2 Physical entry control, A.9.1.4
อปกรณไมสามารถใหบรการไดเนองจากอปกรณไมมประสทธภาพเพยงพอตอการใชงาน
4
1
2
2
8
10.3.1 Capacity Management
อปกรณไมสามารถท างานไดเนองจากไฟฟาดบเปนเวลานาน
4 1 2 2 8 A 9.2.2 Support Utilities
อปกรณถกแกไขคาอปกรณโดยไมไดรบอนญาตเนองใชโปรโตคอลทไมปลอดภยในการเขาถงระบบของอปกรณ
4 1 2 2 8 A.11.5.1 Secure log-on procedures
อปกรณถกสวมสทธเขาใชงานเนองจากไมมการก าหนดการหมดเวลาทไมไดใชงานอปกรณ
4 1 2 2 8 A.11.5.5 Session time-out
11 DNS Server เครองแมขายถกเขาถงจากผไมไดรบอนญาตเนองจากไมมระบบควบคมการเขา – ออก
4 2 2 2 (3) 8 A.9.1.2 Physical entry control, A.9.1.4
91
ล าดบ รายการ ตรวจสอบ
ความเสยง ผลกระทบ
โอกาส คาความเสยง
รายการควบคม O L R
12 DNS Server เครองแมขายถกแกไขคาอปกรณโดยไมไดรบอนญาต 4 2 2 2 (3) 8 A.9.1.2 Physical entry control, A.9.1.4
เครองแมขายไมสามารถใหบรการไดเนองจากเครองแมขายไมมประสทธภาพเพยงพอตอการใชงาน
4
1
2
2
8
10.3.1 Capacity Management
เครองแมขายไมสามารถท างานไดเนองจากไฟฟาดบเปนเวลานาน
4 1 2 2 8 A 9.2.2 Support Utilities
13 UPS 15 KVA อปกรณถกเขาถงจากผไมไดรบอนญาตเนองจากไมมระบบควบคมการเขา – ออก
4 2 2 2 (3) 8 A.9.1.2 Physical entry control, A.9.1.4
อปกรณถกแกไขคาอปกรณโดยไมไดรบอนญาต 4 2 2 2 (3) 8 A.9.1.2 Physical entry control
14 Air Conditioning อปกรณถกเขาถงจากผไมไดรบอนญาตเนองจากไมมระบบควบคมการเขา – ออก
4 2 2 2 (3) 8 A.9.1.2 Physical entry control, A.9.1.4
อปกรณไมสามารถท างานไดหรอท างานผดพลาดไมสามารถควบคมอณหภมไดเนองจากขาดการซอมบ ารง
4 2 2 3 (4) 12 A.9.2.4 Equipment Maintenance
92
ล าดบ รายการ ตรวจสอบ
ความเสยง ผลกระทบ
โอกาส คาความเสยง
รายการควบคม O L R
15 Fire Protection System
อปกรณถกเขาถงจากผไมไดรบอนญาตเนองจากไมมระบบควบคมการเขา – ออก
4 2 2 2 (3) 8 A.9.1.2 Physical entry control, A.9.1.4
อปกรณไมท างานขณะเกดเหตเพลงไหม 5 5 3 1 5 A.9.2.4 Equipment Maintenance
93
2. ซอฟตแวร (Software) ผลการประเมนความเสยงหลงการบรหารจดการความเสยง
ล าดบ รายการ ตรวจสอบ
ความเสยง ผลกระทบ
โอกาส คาความเสยง
รายการควบคม O L R
1 Windows Sever 2008 R2 SP1
การถกฟองรองตามกฎหมายลขสทธการใชซอฟตแวรทละเมดลขสทธ
4
5
3
1
5
A.8.2.2 Information Security Awareness
ระบบปฏบตการมท างานผดพลาดจากไวรส โทรจน มลแวร เนองจากไมมการตดตงโปรแกรมปองกนโปรแกรมทไมประสงคด
4
1
2
2 (3)
8
A.10.4.1 Control against malicious code
ระบบปฏบตการมชองโหวในการโจมตเนองจากไมมการอพเดท path security
4
1
2
2 (3)
8
A.10.4.1 Control against malicious code
ระบบปฏบตการถกสวมสทธเขาใชงานเนองจากไมมการก าหนดการหมดเวลาทไมไดใชงานอปกรณ
4 1 2 2 8 A.11.5.5 Session time-out
ระบบถกเจาะหรอถกโจมตเนองจากขาดการปองกนพอรตทใชส าหรบตรวจสอบและปรบแตง
4 2 2 2 (3) 8 A.11.4.4 Remote diagnostic and configuration port protection
94
ล าดบ รายการ ตรวจสอบ
ความเสยง ผลกระทบ
โอกาส คาความเสยง
รายการควบคม O L R
2 Windows Sever 2012 R2
การถกฟองรองตามกฎหมายลขสทธการใชซอฟตแวรทละเมดลขสทธ
4
5
3
1
5
A.8.2.2 Information Security Awareness
ระบบปฏบตการมท างานผดพลาดจากไวรส โทรจน มลแวร เนองจากไมมการตดตงโปรแกรมปองกนโปรแกรมทไมประสงคด
4
1
2
2 (3)
8
A.10.4.1 Control against malicious code
ระบบปฏบตการมชองโหวในการโจมตเนองจากไมมการอพเดท path security
4
1
2
2 (3)
8
A.10.4.1 Control against malicious code
ระบบปฏบตการถกสวมสทธเขาใชงานเนองจากไมมการก าหนดการหมดเวลาทไมไดใชงานอปกรณ
4 1 2 2 8 A.11.5.5 Session time-out
ระบบถกเจาะหรอถกโจมตเนองจากขาดการปองกนพอรตทใชส าหรบตรวจสอบและปรบแตง
4 2 2 2 (3) 8 A.11.4.4 Remote diagnostic and configuration port protection
95
ล าดบ รายการ ตรวจสอบ
ความเสยง ผลกระทบ
โอกาส คาความเสยง
รายการควบคม O L R
3 Linux CentOS 6 การถกฟองรองตามกฎหมายลขสทธการใชซอฟตแวรทละเมดลขสทธ
1
1
1
1
1
A.8.2.2 Information Security Awareness
ระบบปฏบตการมท างานผดพลาดจากไวรส โทรจน มลแวร เนองจากไมมการตดตงโปรแกรมปองกนโปรแกรมทไมประสงคด
4
1
2
2
8
A.10.4.1 Control against malicious code
ระบบปฏบตการมชองโหวในการโจมตเนองจากไมมการอพเดท path security
4
1
2
2 (3)
8
A.10.4.1 Control against malicious code
ระบบปฏบตการถกสวมสทธเขาใชงานเนองจากไมมการก าหนดการหมดเวลาทไมไดใชงานอปกรณ
4 1 2 2 8 A.11.5.5 Session time-out
ระบบถกเจาะหรอถกโจมตเนองจากขาดการปองกนพอรตทใชส าหรบตรวจสอบและปรบแตง
4 2 2 2 (3) 8 A.11.4.4 Remote diagnostic and configuration port protection
96
ล าดบ รายการ ตรวจสอบ
ความเสยง ผลกระทบ
โอกาส คาความเสยง
รายการควบคม O L R
4 Linux Ubuntu 12.04
การถกฟองรองตามกฎหมายลขสทธการใชซอฟตแวรทละเมดลขสทธ
1
1
1
1
1
A.8.2.2 Information Security Awareness
ระบบปฏบตการมท างานผดพลาดจากไวรส โทรจน มลแวร เนองจากไมมการตดตงโปรแกรมปองกนโปรแกรมทไมประสงคด
4
1
2
2
8
A.10.4.1 Control against malicious code
ระบบปฏบตการมชองโหวในการโจมตเนองจากไมมการอพเดท path security
4
1
2
2 (3)
8
A.10.4.1 Control against malicious code
ระบบปฏบตการถกสวมสทธเขาใชงานเนองจากไมมการก าหนดการหมดเวลาทไมไดใชงานอปกรณ
4 1 2 2 8 A.11.5.5 Session time-out
ระบบถกเจาะหรอถกโจมตเนองจากขาดการปองกนพอรตทใชส าหรบตรวจสอบและปรบแตง
4 2 2 2 (3) 8 A.11.4.4 Remote diagnostic and configuration port protection
97
ล าดบ รายการ ตรวจสอบ
ความเสยง ผลกระทบ
โอกาส คาความเสยง
รายการควบคม O L R
5 NOD32 Antivirus
การถกฟองรองตามกฎหมายลขสทธการใชซอฟตแวรทละเมดลขสทธ
4
5
3
1
5
A.8.2.2 Information Security Awareness
ซอฟตแวรไมสามารถปองกนโปรแกรมไมประสงคดเนองจากไมมการอพเดทให signature เปนปจจบน
4
1
1
1
4
A.10.4.1 Control against malicious code
6 Software Web Server
การถกฟองรองตามกฎหมายลขสทธการใชซอฟตแวรทละเมดลขสทธ
1
1
1
1
1
A.8.2.2 Information Security Awareness
ซอฟตแวรมชองโหวในการโจมตเนองจากไมมการอพเกรดเวอรชนของซอฟตแวร
4
1
2
2 (3)
8
A.10.4.1 Control against malicious code
ซอฟตแวรท างานผดพลาดเนองจากไมมคมอขนตอนวธการใชงานซอฟตแวร
4
1
2
2
8
A.10.1.1 Documented Operating Procedures
98
ล าดบ รายการ ตรวจสอบ
ความเสยง ผลกระทบ
โอกาส คาความเสยง
รายการควบคม O L R
7 Software Mail Server
การถกฟองรองตามกฎหมายลขสทธการใชซอฟตแวรทละเมดลขสทธ
1
1
1
1
1
A.8.2.2 Information Security Awareness
ระบบปฏบตการมท างานผดพลาดจากไวรส โทรจน มลแวร เนองจากไมมการตดตงโปรแกรมปองกนโปรแกรมทไมประสงคด
4
1
2
2
8
A.10.4.1 Control against malicious code
ซอฟตแวรมชองโหวในการโจมตเนองจากไมมการอพเดทเวอรชนของซอฟตแวร
4
1
2
2
8
A.10.4.1 Control against malicious code
ระบบปฏบตการถกสวมสทธเขาใชงานเนองจากไมมการก าหนดการหมดเวลาทไมไดใชงานอปกรณ
4 1 2 2 8 A.11.5.5 Session time-out
ระบบถกเจาะหรอถกโจมตเนองจากขาดการปองกนพอรตทใชส าหรบตรวจสอบและปรบแตง
4 2 2 2 (3) 8 A.11.4.4 Remote diagnostic and configuration port protection
ซอฟตแวรท างานผดพลาดเนองจากไมมคมอขนตอนวธการใชงานซอฟตแวร
4
1
2
2
8
A.10.1.1 Documented Operating Procedures
99
ล าดบ รายการ ตรวจสอบ
ความเสยง ผลกระทบ
โอกาส คาความเสยง
รายการควบคม O L R
8 Virtual Machine ระบบ DHCP
ระบบปฏบตการมท างานผดพลาดจากไวรส โทรจน มลแวร เนองจากไมมการตดตงโปรแกรมปองกนโปรแกรมทไมประสงคด
4
1
2
2 (3)
8
A.10.4.1 Control against malicious code
ระบบปฏบตการมชองโหวในการโจมตเนองจากไมมการอพเดท path security
4
1
2
2 (3)
8
A.10.4.1 Control against malicious code
ระบบปฏบตการถกสวมสทธเขาใชงานเนองจากไมมการก าหนดการหมดเวลาทไมไดใชงานอปกรณ
4 1 2 2 8 A.11.5.5 Session time-out
ระบบถกเจาะหรอถกโจมตเนองจากขาดการปองกนพอรตทใชส าหรบตรวจสอบและปรบแตง
4 2 2 2 (3) 8 A.11.4.4 Remote diagnostic and configuration port protection
ซอฟตแวรท างานผดพลาดเนองจากไมมคมอขนตอนวธการใชงานซอฟตแวร
4
1
2
2
8
A.10.1.1 Documented Operating Procedures
100
ล าดบ รายการ ตรวจสอบ
ความเสยง ผลกระทบ
โอกาส คาความเสยง
รายการควบคม O L R
9 Virtual Machine ระบบ LDAP
ระบบปฏบตการมท างานผดพลาดจากไวรส โทรจน มลแวร เนองจากไมมการตดตงโปรแกรมปองกนโปรแกรมทไมประสงคด
4
1
2
2
8
A.10.4.1 Control against malicious code
ระบบปฏบตการมชองโหวในการโจมตเนองจากไมมการอพเดท path security
4
1
2
2 (3)
8
A.10.4.1 Control against malicious code
ระบบปฏบตการถกสวมสทธเขาใชงานเนองจากไมมการก าหนดการหมดเวลาทไมไดใชงานอปกรณ
4 1 2 2 8 A.11.5.5 Session time-out
ระบบถกเจาะหรอถกโจมตเนองจากขาดการปองกนพอรตทใชส าหรบตรวจสอบและปรบแตง
4 2 2 2 (3) 8 A.11.4.4 Remote diagnostic and configuration port protection
ซอฟตแวรท างานผดพลาดเนองจากไมมคมอขนตอนวธการใชงานซอฟตแวร
4
1
2
2
8
A.10.1.1 Documented Operating Procedures
101
ล าดบ รายการ ตรวจสอบ
ความเสยง ผลกระทบ
โอกาส คาความเสยง
รายการควบคม O L R
10 Virtual Machine ระบบ NTP
ระบบปฏบตการมท างานผดพลาดจากไวรส โทรจน มลแวร เนองจากไมมการตดตงโปรแกรมปองกนโปรแกรมทไมประสงคด
4
1
2
2
8
A.10.4.1 Control against malicious code
ระบบปฏบตการมชองโหวในการโจมตเนองจากไมมการอพเดท path security
4
1
2
2 (3)
8
A.10.4.1 Control against malicious code
ระบบปฏบตการถกสวมสทธเขาใชงานเนองจากไมมการก าหนดการหมดเวลาทไมไดใชงานอปกรณ
4 1 2 2 8 A.11.5.5 Session time-out
ระบบถกเจาะหรอถกโจมตเนองจากขาดการปองกนพอรตทใชส าหรบตรวจสอบและปรบแตง
4 2 2 2 (3) 8 A.11.4.4 Remote diagnostic and configuration port protection
ซอฟตแวรท างานผดพลาดเนองจากไมมคมอขนตอนวธการใชงานซอฟตแวร
4
1
2
2
8
A.10.1.1 Documented Operating Procedures
102
ล าดบ รายการ ตรวจสอบ
ความเสยง ผลกระทบ
โอกาส คาความเสยง
รายการควบคม O L R
11 Virtual Machine ระบบใบแจงเงนเดอน
ระบบปฏบตการมท างานผดพลาดจากไวรส โทรจน มลแวร เนองจากไมมการตดตงโปรแกรมปองกนโปรแกรมทไมประสงคด
4
1
2
2 (3)
8
A.10.4.1 Control against malicious code
ระบบปฏบตการมชองโหวในการโจมตเนองจากไมมการอพเดท path security
4
1
2
2 (3)
8
A.10.4.1 Control against malicious code
ระบบปฏบตการถกสวมสทธเขาใชงานเนองจากไมมการก าหนดการหมดเวลาทไมไดใชงานอปกรณ
4 1 2 2 8 A.11.5.5 Session time-out
ระบบถกเจาะหรอถกโจมตเนองจากขาดการปองกนพอรตทใชส าหรบตรวจสอบและปรบแตง
4 2 2 2 (3) 8 A.11.4.4 Remote diagnostic and configuration port protection
ซอฟตแวรท างานผดพลาดเนองจากไมมคมอขนตอนวธการใชงานซอฟตแวร
4
1
2
2
8
A.10.1.1 Documented Operating Procedures
103
ล าดบ รายการ ตรวจสอบ
ความเสยง ผลกระทบ
โอกาส คาความเสยง
รายการควบคม O L R
12 Virtual Machine ระบบเวบไซตองคกร
ระบบปฏบตการมท างานผดพลาดจากไวรส โทรจน มลแวร เนองจากไมมการตดตงโปรแกรมปองกนโปรแกรมทไมประสงคด
4
1
2
2
8
A.10.4.1 Control against malicious code
ระบบปฏบตการมชองโหวในการโจมตเนองจากไมมการอพเดท path security
4
1
2
2 (3)
8
A.10.4.1 Control against malicious code
ระบบปฏบตการถกสวมสทธเขาใชงานเนองจากไมมการก าหนดการหมดเวลาทไมไดใชงานอปกรณ
4 1 2 2 8 A.11.5.5 Session time-out
ระบบถกเจาะหรอถกโจมตเนองจากขาดการปองกนพอรตทใชส าหรบตรวจสอบและปรบแตง
4 2 2 2 (3) 8 A.11.4.4 Remote diagnostic and configuration port protection
ซอฟตแวรท างานผดพลาดเนองจากไมมคมอขนตอนวธการใชงานซอฟตแวร
4
1
2
2
8
A.10.1.1 Documented Operating Procedures
104
ล าดบ รายการ ตรวจสอบ
ความเสยง ผลกระทบ
โอกาส คาความเสยง
รายการควบคม O L R
13 Virtual Machine ระบบเวบไซตอนทราเนต
ระบบปฏบตการมท างานผดพลาดจากไวรส โทรจน มลแวร เนองจากไมมการตดตงโปรแกรมปองกนโปรแกรมทไมประสงคด
4
1
2
2
8
A.10.4.1 Control against malicious code
ระบบปฏบตการมชองโหวในการโจมตเนองจากไมมการอพเดท path security
4
1
2
2 (3)
8
A.10.4.1 Control against malicious code
ระบบปฏบตการถกสวมสทธเขาใชงานเนองจากไมมการก าหนดการหมดเวลาทไมไดใชงานอปกรณ
4 1 2 2 8 A.11.5.5 Session time-out
ระบบถกเจาะหรอถกโจมตเนองจากขาดการปองกนพอรตทใชส าหรบตรวจสอบและปรบแตง
4 2 2 2 (3) 8 A.11.4.4 Remote diagnostic and configuration port protection
ซอฟตแวรท างานผดพลาดเนองจากไมมคมอขนตอนวธการใชงานซอฟตแวร
4
1
2
2
8
A.10.1.1 Documented Operating Procedures
105
ล าดบ รายการ ตรวจสอบ
ความเสยง ผลกระทบ
โอกาส คาความเสยง
รายการควบคม O L R
14 Virtual Machine ระบบจองเครองมอวทยาศาสตร
ระบบปฏบตการมท างานผดพลาดจากไวรส โทรจน มลแวร เนองจากไมมการตดตงโปรแกรมปองกนโปรแกรมทไมประสงคด
4
1
2
2
8
A.10.4.1 Control against malicious code
ระบบปฏบตการมชองโหวในการโจมตเนองจากไมมการอพเดท path security
4
1
2
2 (3)
8
A.10.4.1 Control against malicious code
ระบบปฏบตการถกสวมสทธเขาใชงานเนองจากไมมการก าหนดการหมดเวลาทไมไดใชงานอปกรณ
4 1 2 2 8 A.11.5.5 Session time-out
ระบบถกเจาะหรอถกโจมตเนองจากขาดการปองกนพอรตทใชส าหรบตรวจสอบและปรบแตง
4 2 2 2 (3) 8 A.11.4.4 Remote diagnostic and configuration port protection
ซอฟตแวรท างานผดพลาดเนองจากไมมคมอขนตอนวธการใชงานซอฟตแวร
4
1
2
2
8
A.10.1.1 Documented Operating Procedures
106
ล าดบ รายการ ตรวจสอบ
ความเสยง ผลกระทบ
โอกาส คาความเสยง
รายการควบคม O L R
15 Virtual Machine ระบบ VPN
ระบบปฏบตการมท างานผดพลาดจากไวรส โทรจน มลแวร เนองจากไมมการตดตงโปรแกรมปองกนโปรแกรมทไมประสงคด
4
1
2
2 (3)
8
A.10.4.1 Control against malicious code
ระบบปฏบตการมชองโหวในการโจมตเนองจากไมมการอพเดท path security
4
1
2
2 (3)
8
A.10.4.1 Control against malicious code
ระบบปฏบตการถกสวมสทธเขาใชงานเนองจากไมมการก าหนดการหมดเวลาทไมไดใชงานอปกรณ
4 1 2 2 8 A.11.5.5 Session time-out
ระบบถกเจาะหรอถกโจมตเนองจากขาดการปองกนพอรตทใชส าหรบตรวจสอบและปรบแตง
4 2 2 2 (3) 8 A.11.4.4 Remote diagnostic and configuration port protection
ซอฟตแวรท างานผดพลาดเนองจากไมมคมอขนตอนวธการใชงานซอฟตแวร
4
1
2
2
8
A.10.1.1 Documented Operating Procedures
107
3. ขอมลสารสนเทศ (Information) ผลการประเมนความเสยงหลงการบรหารจดการความเสยง
ล าดบ รายการ ตรวจสอบ
ความเสยง ผลกระทบ
โอกาส คาความเสยง
รายการควบคม O L R
1 ขอมลระบบอเมล การเขาถงโดยไมไดรบอนญาตเนองจากผใชงานไมเปลยนรหสผานทเปนคาเรมตน
3 5 3 3 (4) 15 A.11.3.1 Password Use
ขอมลอเมลถกน าไปเผยแพรหรอถกเปดเผยเนองจากผใชงานโดนหลอกลวง
3 5 3 2 (3) 10 A.8.2.2 Information Security Training
2 ขอมลเวบไซตองคกร
ขอมลเวบไซตถกแกไขโดยไมไดรบอนญาต 3 1 3 1 3 A.11.1.1 Access Control policy
3 ขอมลเวบไซตอนทราเนต
ขอมลเวบไซตถกแกไขโดยไมไดรบอนญาต 3 1 3 1 3 A.11.1.1 Access Control policy
4 ขอมลระบบเงนเดอน
การเขาถงโดยไมไดรบอนญาตเนองจากผใชงานไมเปลยนรหสผานทเปนคาเรมตน
3 5 3 2 (3) 10 A.11.3.1 Password Use
108
ล าดบ รายการ ตรวจสอบ
ความเสยง ผลกระทบ
โอกาส คาความเสยง
รายการควบคม O L R
5 ขอมลบนทกการใชงานอนเทอรเนต
ขอมลการใชงานอนเทอรเนตจาก Proxy สญหายเนองจากไมมการส ารองขอมล
3 5 3 2 (3) 10 A.10.5.1 Information Backup
6 เอกสารของฝายระบบคอมพวเตอรและเครอขาย
เอกสารส าคญถกโจรกรรมเนองจากไมมทจดเกบทมดชด
4 2 2 2 (3) 8 A.7.2.1 Classification guidelines
109
4. บคคล (Human) ผลการประเมนความเสยงหลงการบรหารจดการความเสยง
ล าดบ รายการ ตรวจสอบ
ความเสยง ผลกระทบ
โอกาส คาความเสยง
รายการควบคม O L R
1 เจาหนาทดแลระบบ
ผดแลระบบขาดความรทกษะเฉพาะดานกบเทคโนโลยใหมๆ ท าใหการรกษาความมนคงปลอดภยของระบบสารสนเทศท างานไดอยางไมเตมประสทธภาพ
3 1 1 3 6 A.8.2.2 Information Security Training
ไมสามารถเขาปฏบตงานในเวลางานไดจนท าใหระบบหยดชะงก
3 1 1 3 9 A.8.2.1 Management Responsibilities
2 ผใชงานสารสนเทศ
การเขาใชงานระบบสารสนเทศมความลอแหลมไมตระหนกถงความปลอดภยและผลกระทบทเกดขนกบระบบสารสนเทศ
3 5 3 2 (3) 10 A.8.2.2 Information security awareness, education and training
110
5. ผใหบรการ (Service) ผลการประเมนความเสยงหลงการบรหารจดการความเสยง
ตารางสรปจ านวนความเสยงทพบ
ตารางท 4.5 ตารางสรปผลความเสยงหลงการบรหารจดการความเสยง
ล าดบ รายการ ตรวจสอบ
ความเสยง ผลกระทบ
โอกาส คาความเสยง
รายการควบคม O L R
1 ผใหบรการอนเทอรเนต
ผใหบรการอนเทอรเนตไมสามารถบรการไดท าใหองคกรไมสามารถด าเนนกจกรรมทตองใชระบบอนเทอรเนต
4 1 2 3 (3) 12 A.10.2.2 Monitoring and review of third party services
ระดบความเสยงทพบ ระดบสง ระดบกลาง ระดบต า ผลรวม จ านวน 0 6 148 154
111
4.5 นโยบายดานความมนคงปลอดภยระบบสารสนเทศ (Acceptable Use Policy)
การรกษาความมนคงปลอดภยของระบบสารสนเทศ สถาบนวจย เพอใชเปนมาตรการในการรกษาความมนคงปลอดภยของระบบสารสนเทศของสถาบนวจย และเพอเปนแนวทางในการปฏบตของผใชงานระบบสารสนเทศของสถาบนวจย
นโยบายความมนคงปลอดภยของอนเทอรเนต (Internet Security Policy)
1. ในการลงทะเบยนบญชผใชบรการอนเทอรเนต (Internet) ตองท าการกรอกขอมลค าขอเขาใชบรการอนเทอรเนต (Internet) ของหนวยงานโดยยนค าขอกบเจาหนาท ส านกเทคโนโลยสารสนเทศ สถาบนวจย
2. เมอไดรบรหสผาน (Password) ครงแรกในการเขาระบบอนเทอรเนต (Internet) และเมอมการเขาสระบบในครงแรกนน ควรเปลยนรหสผาน (Password) โดยทนท การตงรหสผานควรมความยาวอยางนอย 8 ตวอกษร ซงควรตองมตวเลข ตวอกษร และตวอกษรพเศษ ประกอบอยดวย
3. ไมใชระบบอนเทอรเนต (Internet) ของหนวยงาน เพอหาประโยชนในเชงพาณชยเปนการสวนบคคล และท าการเขาสเวบไซตทไมเหมาะสม เชน เวบไซตทขดตอศลธรรม เวบไซตทมเนอหาอนอาจกระทบกระเทอนหรอเปนภยตอความมนคงตอชาต ศาสนา พระมหากษตรย หรอเวบไซตทเปนภยตอสงคมหรอละเมดสทธของผอน หรอขอมลทอาจกอใหเกดความเสยหายใหกบหนวยงาน
4. หามเปดเผยขอมลส าคญทเปนความลบเกยวกบงานของหนวยงานทยงไมไดประกาศอยางเปนทางการผานระบบอนเทอรเนต (Internet)
5. ใหระมดระวงการดาวนโหลด (Download) โปรแกรมใชงานจากระบบอนเทอรเนต (Internet) การดาวน โหลดการอพเดท (Update) โปรแกรมตางๆ ตองเปนไปโดยไมละเมดลขสทธ
6. ในการใชงานกระดานสนทนาอเลกทรอนกส ไมเปดเผยขอมลทส าคญและเปนความลบของหนวยงาน
7. ในการใชงานกระดานสนทนาอเลกทรอนกส ไมเสนอความคดเหน หรอใชขอความทย วยใหราย ทจะท าใหเกดความเสอมเสยตอชอเสยงของหนวยงาน การท าลายความสมพนธกบบคลากรของหนวยงานอนๆ
112
8. หลงจากใชงานระบบอนเทอรเนต (Internet) เสรจแลว ใหปดเวบเบราเซอร และใหลงบนทกออกจากระบบ (Log Out) ทนท เพอปองกนการเขาใชงานโดยบคคลอนๆ
9. ผทถกตรวจสอบวาพยายามกระท าการอนใดทเปนการละเมดนโยบายของ สถาบนวจย การพยายามเขาถงระบบโดยมชอบ การโจมตระบบ หรอมพฤตกรรมเสยงตอการท างานของระบบสารสนเทศ จะถกระงบการใชเครอขายทนท หากการกระท าดงกลาวเปนการกระท าความผดทสอดคลองกบ พ.ร.บ.วาดวยการกระท าความผดเกยวกบคอมพวเตอร พ.ศ.๒๕๕๐ หรอเปนการกระท าทสงผลใหเกดความเสยหายตอขอมล และทรพยากรระบบของสถาบนวจยจะตองถกด าเนนคดตามขนตอนของกฎหมาย
นโยบายความมนคงปลอดภยของอเมล (E-mail Policy)
1. ในการลงทะเบยนบญชผใชบรการจดหมายอเลกทรอนกส (e-mail) ตองท าการกรอกขอมลค าขอเขาใชบรการจดหมายอเลกทรอนกส (e-mail) ของหนวยงานโดยยนค าขอกบเจาหนาท ส านกเทคโนโลยสารสนเทศ สถาบนวจย
2. เมอไดรบรหสผาน (Password) ครงแรกในการเขาระบบจดหมายอเลกทรอนกส (e-mail) และเมอมการเขาสระบบในครงแรกนน ควรเปลยนรหสผาน (Password) โดยทนท การตงรหสผานควรมความยาวอยางนอย 8 ตวอกษร ซงควรตองมตวเลข ตวอกษร และตวอกษรพเศษ ประกอบอยดวย
3. ไมควรบนทกหรอเกบรหสผาน (Password) ไวในระบบคอมพวเตอร 4. ควรเปลยนรหสผาน (Password) ทกๆ 60 วน 5. ไมควรใชทอยจดหมายอเลกทรอนกส (e-mail address) ของผอนเพออานหรอรบ
หรอสงขอความ ยกเวนแตจะไดรบการยนยอมจากเจาของผใชบรการและใหถอวาเจาของจดหมายอเลกทรอนกส (e-mail) เปนผรบผดชอบตอการใชงานในจดหมายอเลกทรอนกส (e-mail) ของตน
6. หลงจากการใชงานระบบจดหมายอเลกทรอนกส (e-mail) เสรจสนควรลงบนทกออก (Logout) ทกครง
7. การสงขอมลทเปนความลบ ไมควรระบความส าคญของขอมลลงในหวขอจดหมายอเลกทรอนกส (e-mail)
113
นโยบายความมนคงปลอดภยของการควบคมการเขาถงระบบ (Access control Policy)
1. เจาหนาท บคลากร ของสถาบนวจย หรอบคคลจากหนวยงานภายนอกทตองการสทธในการเขาใชงานระบบสารสนเทศจะตองไดรบการอนมตจากผบงคบบญชาของหนวยงานทผใชงานสงกด
2. ผดแลระบบ ตองก าหนดสทธการเขาถงขอมลและระบบขอมลใหเหมาะสมกบการเขาใชงานของผใชงานระบบและหนาทความรบผดชอบของเจาหนาทในการปฏบตงานกอนเขาใชระบบสารสนเทศ รวมทงมการทบทวนสทธการเขาถงอยางสม าเสมอ
3. ผดแลระบบควรจดใหมการตดตงระบบบนทกและตดตามการใชงานระบบสารสนเทศของหนวยงาน และตรวจตราการละเมดความปลอดภย ทมตอระบบขอมล
4. ผดแลระบบ ตองก าหนดการลงทะเบยนบคลากรใหมของสถาบนวจย และขนตอนปฏบตส าหรบการยกเลกสทธการใชงาน เชน การลาออก หรอการเปลยนต าแหนงงานภายในหนวยงาน เปนตน
5. ผดแลระบบ ตองด าเนนการเปลยนแปลงและการยกเลกรหสผาน (Password) เมอผใชงานระบบลาออก หรอพนจากต าแหนง หรอยกเลกการใชงาน
6. ก าหนดใหผใชบรการตอบยนยนการไดรบรหสผาน (Password) 7. ก าหนดใหผใชงานไมบนทกหรอเกบรหสผาน (Password) ไวในระบบคอมพวเตอร
ในรปแบบทไมไดปองกนการเขาถง 8. การรบสงขอมลส าคญผานระบบเครอขายสาธารณะ ควรไดรบการเขารหส
(Encryption) ทเปนมาตรฐานสากล เชน SSL VPN, PPTP VPN
นโยบายการบรหารจดการทรพยสน (Assets Management)
1. เจาหนาท บคลากร ของสถาบนวจย ตองไมเขาไปในหองศนยขอมล (Data Center) สถาบนวจย ทเปนเขตหวงหามโดยเดดขาด เวนแตไดรบอนญาตจากผดแลระบบ
2. บคคล หรอหนวยงานภายนอกทตองการเขาหองศนยขอมล (Data Center) ไดไดรบการอนมตจากหวหนาส านกเทคโนโลยสารสนเทศ
3. ผดแลระบบตองอยภายในหองศนยขอมล (Data Center) เมอมบคคลภายนอกเขามายงหองศนยขอมล (Data Center)
4. ผดแลระบบตองจดใหมการบนทกรายละเอยดผานเขา-ออกหองศนยขอมล (Data Center) ของทงผทไดรบอนญาตและไมไดรบอนญาตเพอเปนหลกฐานในการตรวจสอบ
114
5. ตองไมน าอปกรณหรอชนสวนใดออกจากหองหองศนยขอมล (Data Center) เวนแตจะไดรบอนญาตจากผดแลระบบ
นโยบายดานความมนคงปลอดภยของเครอขายและเครองคอมพวเตอรแมขาย
1. ส านกเทคโนโลยสารสนเทศ สถาบนวจย ก าหนดมาตรการควบคมการเขา-ออกหองควบคมเครองคอมพวเตอรแมขาย (Server)
2. ผใชบรการทจะน าเครองคอมพวเตอรและอปกรณมาเชอมตอกบเครองคอมพวเตอรและระบบเครอขายตองไดรบอนญาตจากหวหนาส านกเทคโนโลยสารสนเทศ และตองปฏบตตามนโยบายนโดยเครงครด
3. การขออนญาตใชงานพนทเครองแมขาย (Server) หรอเครองแมขายเสมอน (Virtual Machine) จะตองท าหนงสอขออนญาตตอหวหนาส านกเทคโนโลยสารสนเทศ และจะตองไมตดตงโปรแกรมใดๆ ทสงผลกระทบตอระบบและผใชบรการอนๆ
4. หามผใดกระท าการเคลอนยาย ตดตงเพมเตมหรอท าการใด ๆ ตออปกรณสวนกลาง ไดแกอปกรณจดเสนทาง (Router) อปกรณกระจายสญญาณขอมล (Switch) อปกรณทเชอมตอกบระบบเครอขายหลก โดยไมไดรบอนญาตจากผดแลระบบ (System Administrator)
5. ผดแลระบบ (System Administrator) จะตองมการตรวจสอบชองโหวของระบบเครองแมขาย (Server) และระบบเครอขาย อยางสม าเสมอ
6. ผดและระบบ (System Administrator) จะตองมการก าหนดพอรตใหบรการส าหรบเครองแมขาย (Server) เทาทจ าเปนทจะตองใชงานเทานน
นโยบายดานการปฏบตตามกฎหายและขอบงคบ (Law and Compliance)
1. กฎหมายใดๆ ทไดประกาศใชในประเทศไทยรวมทงกฎระเบยบขอบงคบ ของสถาบนวจย ถอเปนสงส าคญทผใชงานตองตระหนกและปฏบตตามอยางเครงครด และไมกระท าความผดนนดงนน หากผใชงานกระท าผดตามกฎหมายดงกลาว ถอวาความผดนนเปนความผดสวนบคคลซงผใชงานจะตองรบผดชอบตอความผดทเกดขนเอง
115
4.6 เอกสารมาตรการตามมาตรฐาน ISO 27001 (Statement Of Applicability) ตารางท 4.6 เอกสารเอกสารมาตรการตามมาตรฐาน ISO 27001 (Statement Of Applicability)
หวขอ รำยกำรควบคม มำตรกำรปจจบน เหตผลทเลอกใชมำตรกำร หมำยเหต
A.5.1.1 เอกสารนโยบายความ มนคงปลอดภยทเปน ลายลกษณอกษร (Information security policy document)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบขององคกร ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
มการจดท านโยบายดานความมนคงปลอดภยของระบบเทคโนโลยสารสนเทศ ทเปนลายลกษณอกษร
A.5.1.2 การทบทวนนโยบาย ความมนคงปลอดภย (Review of the information security policy)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบขององคกร ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
มการทบทวนนโยบายดานความมนคงปลอดภยในทกๆ ปเพอใหเขากบสถานการณปจจบน
116
หวขอ รำยกำรควบคม มำตรกำรปจจบน เหตผลทเลอกใชมำตรกำร หมำยเหต
A.6.1.1 การใหความส าคญของผบรหารและการก าหนดใหมการบรหารจดการทางดานความมนคงปลอดภย (Management commitment to information security)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบขององคกร ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
ผบรหารเรมมการใหความส าคญในสนบสนนในการรกษาความมนคงปลอดภยของระบบสนเทศมากขน
A.6.1.2 การประสานงานความมนคงปลอดภยภายในองคกร (Information security coordination)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบขององคกร ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
มการก าหนดหนาทความรบผดชอบเพอประสานงาน และการรวมมอกนในการรกษาความมนคงปลอดภยของระบบสารสนเทศ
117
หวขอ รำยกำรควบคม มำตรกำรปจจบน เหตผลทเลอกใชมำตรกำร หมำยเหต
A.6.1.3 การก าหนดหนาทความรบผดชอบทางดานความมนคงปลอดภย (Allocation of information security responsibilities)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบขององคกร ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
องคกรมการก าหนดหนาทความรบผดชอบในการรกษาความมนคงปลอดภยของระบบสารสนเทศโดยแบงหนาทรบผดชอบออกเปนสวนระบบงานทพนกงานรบผดชอบอย
A.6.1.4 กระบวนการในการอนมตการใชงานอปกรณประมวลผลสารสนเทศ (Authorization process for information processing facilities)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบขององคกร ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
ยงไมมการจดท ากระเอกสารในการขออนมตการใชงานอปกรณสารสนเทศ เพอใหควบคมสทธในการเขาถงระบบอปกรณสารสนเทศ
118
หวขอ รำยกำรควบคม มำตรกำรปจจบน เหตผลทเลอกใชมำตรกำร หมำยเหต
A.6.1.5
สญญาการไมเปดเผยความลบขององคกร (Confidentiality agreements)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบขององคกร ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
มการจดท าขนตอนปฏบตการ จดการดานพนกงานใหม และใชบรการหนวยงานภายนอก เพอก าหนดใหลงนามสญญาการไมเปดเผยขอมลลบ
A.6.1.6
การมรายชอและขอมลส าหรบการตดตอกบหนวยงานอน (Contact with authorities)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบขององคกร ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
มการจดท ารายชอและขอมลส าหรบการตดตอกบหนวยงานภายนอกทจ าเปน เชน ผใหบรการภายนอกทใชบรการดานตางๆ, ฝายอาคารสถานท หรอสถานต ารวจในทองท เปนตน
119
หวขอ รำยกำรควบคม มำตรกำรปจจบน เหตผลทเลอกใชมำตรกำร หมำยเหต
A.6.1.7
การมรายชอและขอมล ส าหรบการตดตอกบ กลมทมความสนใจเปน พเศษในเรองเดยวกน (Contact with special interest groups)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบขององคกร ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
มการจดท ารายชอและขอมลส าหรบการตดตอกบหนวยงาน หรอกลมงานทางดานการรกษาความมนคงปลอดภยสารสนเทศ เชน ศนยประสานงานการรกษาความปลอดภยประเทศไทย (ThaiCERT)
A.6.1.8 การทบทวนดานความมนคงปลอดภยส าหรบสารสนเทศโดยผตรวจสอบอสระ (Independent review of information security)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบขององคกร ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
มการทบทวนดานความมนคงปลอดภยจากภายในองคกรเทานน ยงไมมผตรวจสอบอสระ
120
หวขอ รำยกำรควบคม มำตรกำรปจจบน เหตผลทเลอกใชมำตรกำร หมำยเหต
A.6.2.1
การประเมนความเสยงของการเขาถงสารสนเทศโดยหนวยงานภายนอก (Identification of risks related to external parties)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบขององคกร ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
ยงไมมการประเมนความเสยงของการเขาถงสารสนเทศจากหนวยงานภายนอก
A.6.2.2 การระบขอก าหนดส าหรบผใชบรการทเกยวของกบความมนคงปลอดภยส าหรบสารสนเทศขององคกร (Addressing security when dealing with customers)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบขององคกร ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
มการแจงใหผใชบรการไดรบทราบถง นโยบายและขนตอนปฏบตดานความมนคงปลอดภยระบบเทคโนโลยสารสนเทศ
121
หวขอ รำยกำรควบคม มำตรกำรปจจบน เหตผลทเลอกใชมำตรกำร หมำยเหต
A.6.2.3 การระบและจดท าขอก าหนดส าหรบหนวยงานภายนอกทเกยวของกบความมนคงปลอดภยส าหรบสารสนเทศขององคกร (Addressing security in third party agreements)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบขององคกร ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
มเอกสารสญญาขอตกลงทเกยวของกบความมนคงปลอดภยในการใชบรการหนวยงานภายนอก
A.7.1.1 การจดท าบญชทรพยสนสารสนเทศ (Inventory of assets)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบขององคกร ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
มการจดท าบญชทรพยสนสารสนเทศขององคกร เอกสารครภณฑ
122
หวขอ รำยกำรควบคม มำตรกำรปจจบน เหตผลทเลอกใชมำตรกำร หมำยเหต
A.7.1.2 การระบผเปนเจาของทรพยสน (Ownership of assets)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
มการระบผรบผดชอบในทรพยสนสารสนเทศ
A.7.1.3 การใชงานทรพยสนทเหมาะสม (Acceptable use of assets)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
ยงไมมเอกสารการใชงานทรพยสน แตผใชงานจะไดรบค าแนะน าในการใชงาน จะด าเนนการจดท าในปถดไป
123
หวขอ รำยกำรควบคม มำตรกำรปจจบน เหตผลทเลอกใชมำตรกำร หมำยเหต
A.7.2.1 การจดแนวทางในการแบงล าดบชนขอมล (Classification guidelines)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
ยงไมมการจดล าดบชนขอมลความลบ
A.7.2.2 การจดท าปายชอ และการจดการทรพยสนสารสนเทศ (Information Labelling and handling)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
มการตดปายชอทะเบยนทรพยสน (ครภณฑ) ลงบนทรพยสนสารสนเทศ
124
หวขอ รำยกำรควบคม มำตรกำรปจจบน เหตผลทเลอกใชมำตรกำร หมำยเหต
A.8.1.1 การก าหนดหนาทความรบผดชอบ (Roles and responsibilities)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
มการก าหนดบทบาทหนาทอยในสวนของ Job description
A.8.1.2 การตรวจสอบคณสมบตของผสมคร (Screening)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
มการตรวจสอบคณสมบตของผสมครตามขนตอนปฏบตการจดการดานบคลากร และมการตรวจสอบประวตของพนกงาน ของฝายบคคลากร
125
หวขอ รำยกำรควบคม มำตรกำรปจจบน เหตผลทเลอกใชมำตรกำร หมำยเหต
A.8.1.3 การก าหนดเงอนไขการจางงาน (Terms and conditions of employment)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
มการก าหนดเงอนไขการจางงาน ส าหรบผทองคกรจะท าการวาจางกอนการจางงาน ขนตอนปฏบตการจดการดานพนกงาน ของฝายบคคลากร
A.8.2.1 หนาทในการบรหารจดการทางดานความมนคงปลอดภย (Management responsibilities)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
เรมมการใหพนกงานดแล และใหความส าคญกบความมนคงปลอดภยสารสนเทศทพนกงานดแลอย
126
หวขอ รำยกำรควบคม มำตรกำรปจจบน เหตผลทเลอกใชมำตรกำร หมำยเหต
A.8.2.2 การสรางความตระหนก การใหความร และการอบรมดานความมนคงปลอดภยใหแกเจาหนาท (Information security awareness, education and training)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
มการจดท าแผนการอบรมประจ าปทงในสวนของการสรางความตระหนก การใหความรและการอบรมดานความมนคงปลอดภย ส าหรบพนกงานทใชสารสนเทศในองคกร
A.8.2.3 กระบวนการทางวนยเพอลงโทษ (Disciplinary process)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
องคกรมมาตรการตกเตอนและลงโทษทางวนย
127
หวขอ รำยกำรควบคม มำตรกำรปจจบน เหตผลทเลอกใชมำตรกำร หมำยเหต
A.8.3.1 การสนสดหรอการเปลยนการจางงาน (Termination responsibilities)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
มเอกสารแบบฟอรมในการลาออกของพนกงาน ของฝายบคคลากร
A.8.3.2 การคนทรพยสนขององคกร (Return of assets)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
มเอกสารแบบฟอรมในการ ยม / คน ทรพยสนสารสนเทศ
128
หวขอ รำยกำรควบคม มำตรกำรปจจบน เหตผลทเลอกใชมำตรกำร หมำยเหต
A.8.3.3 การถอดถอนสทธในการเขาถง (Removal of access rights)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
มการถอดถอนสทธ หรอเปลยนแปลงสทธในระบบตางๆ ของพนกงานทลาออก
A.9.1.1 การจดท าบรเวณลอมรอบ (Physical security perimeter)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
มการจดพนทส าหรบจดเกบอปกรณสารสนเทศ มบรเวณลอมรอบ มการ ลอคประตหองศนยขอมล
129
หวขอ รำยกำรควบคม มำตรกำรปจจบน เหตผลทเลอกใชมำตรกำร หมำยเหต
A.9.1.2 การควบคมการเขา-ออก (Physical entry controls)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
มการควบคมการเขา-ออกของหองศนยขอมล มบนทกวนเวลาเขาออกหอง เหตผลทเขาหองของผดแลระบบและหนวยงานภายนอกทเขาใชงานหองศนยขอมลตองไดรบการอนมตจากหวหนาสารสนเทศกอน
A.9.1.3 การรกษาความมนคงปลอดภยส าหรบองคกรฯ หองท างาน และทรพยสนอน ๆ (Securing offices, rooms and facilities)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
หองท างานของฝายการจดการระบบคอมพวเตอรและเครอขาย มการควบคมการเขา-ออกหองท างาน
130
หวขอ รำยกำรควบคม มำตรกำรปจจบน เหตผลทเลอกใชมำตรกำร หมำยเหต
A.9.1.4 การปองกนภยคกคามจากภายนอกและสงแวดลอม (Protecting against external and environmental threats)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
มระบบปองกนเพลงไหม และมพนทในการจดเกบระบบสารสนเทศทเหมาะสม
A.9.1.5 การปฏบตงานในพนททตองรกษาความมนคงปลอดภย (Working in secure areas)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
ยงไมมข นตอนปฏบตการรกษาความมนคงปลอดภยทางกายภาพ และยงไมมเอกสารขออนมตในการเขาใชพนททตองรกษาความมนคงปลอดภย
131
หวขอ รำยกำรควบคม มำตรกำรปจจบน เหตผลทเลอกใชมำตรกำร หมำยเหต
A.9.1.6 การจดบรเวณส าหรบการเขาถงหรอการสงมอบผลตภณฑโดยบคคลภายนอก (Public access, delivery and loading areas)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
มการจดพนทเฉพาะส าหรบการสงมอบผลตภณฑหรออปกรณตาง ๆ โดยบคคลภายนอก รวมทงมการจดพนทเฉพาะส าหรบการตดตอหรอการหารอกบบคคลภายนอก
A.9.2.1 การจดวางและการปองกนอปกรณ (Equipment siting and Protection)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
มอปกรณทตดตงในตทไดรบการจดเกบในหองศนยขอมลมสภาวะแวดลอมทเหมาะสม และเรมมการควบคมการเขา-ออก
132
หวขอ รำยกำรควบคม มำตรกำรปจจบน เหตผลทเลอกใชมำตรกำร หมำยเหต
A.9.2.2 ระบบและอปกรณสนบสนนการท างาน (Supporting utilities)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
มระบบกรองกระแสไฟฟา และระบบส ารองไฟฟา รวมถงเครองปนไฟฟา
A.9.2.3 การเดนสายไฟ สายสอสาร และสายเคเบลอน ๆ (Cabling security)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
มการเดนสายสญญาณไฟฟา และสายสญญาณสอสารแยกออกจากน
133
หวขอ รำยกำรควบคม มำตรกำรปจจบน เหตผลทเลอกใชมำตรกำร หมำยเหต
A.9.2.4 การบ ารงรกษาอปกรณ (Equipment maintenance)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
มการบ ารงรกษาระบบและอปกรณส าคญตาง ๆ อยางสม าเสมอ เพอใหสามารถใชงานไดอยางตอเนอง และอยในสภาพทมความสมบรณตอการใชงาน
A.9.2.5 การปองกนอปกรณทใชงานอยภายนอกองคกร (Security of equipment off premises)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
ไมมการน าอปกรณในหองศนยขอมลออกจากนอกองคกร
134
หวขอ รำยกำรควบคม มำตรกำรปจจบน เหตผลทเลอกใชมำตรกำร หมำยเหต
A.9.2.6 การก าจดอปกรณหรอการน าอปกรณกลบมาใชงานอกครง (Secure disposal or re-use of equipment)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
มการก าจดอปกรณทเกบขอมลส าคญ แตยงไมมข นตอนทเปนลายลกอกษร
A.9.2.7 การน าทรพยสนขององคกรออกนอกองคกร (Removal of property)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
ไมมการน าทรพยสนในหองศนยขอมลออกจากนอกองคกร
135
หวขอ รำยกำรควบคม มำตรกำรปจจบน เหตผลทเลอกใชมำตรกำร หมำยเหต
A.10.1.1 ขนตอนการปฏบตงานทเปนลายลกษณอกษร (Documented operating procedures)
มาตรการทมอย จ าเปนตองใชมาตรการ จ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
เรมมการจดท าขนตอนการปฏบตงานของระบบตางๆ ทเปนเอกสารคมอแลวเชนการท าคมอการเพมผใชในระบบ LDAP คมอการใชงานระบบเครอขายเสมอนเปนตน
A.10.1.2 การควบคมการเปลยนแปลง ปรบปรง หรอแกไขระบบ หรออปกรณประมวลผลสารสนเทศ (Change management)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
ยงไมมการขออนมตการเปลยนแปลงตามขนตอนปฏบตการควบคมการเปลยนแปลง
136
หวขอ รำยกำรควบคม มำตรกำรปจจบน เหตผลทเลอกใชมำตรกำร หมำยเหต
A.10.1.3 การแบงหนาทความรบผดชอบ (Segregation of duties)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
มการแบงหนาทความรบผดชอบของเจาหนาทออกจากกน เชนหนาทดานเครอขาย หนาทดานระบบ หนาทดานระบบอเมล และสามารถท างานทดแทนกนได
A.10.1.4 การแยกระบบส าหรบการพฒนา การทดสอบ และการใหบรการออกจากกน (Separation of development, test and operational facilities)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
มการแยกระบบส าหรบการทดสอบออกจากระบบใหบรการจรง ทงนเพอลดความเสยงของระบบ เชน การทดสอบบนระบบเสมอน
137
หวขอ รำยกำรควบคม มำตรกำรปจจบน เหตผลทเลอกใชมำตรกำร หมำยเหต
A.10.2.1 การใหบรการโดยหนวยงานภายนอก (Service delivery)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
มการจดท าขอก าหนดหรอขอตกลงส าหรบการใหบรการกบหนวยงานผใหบรการภายนอก เชน การท าสญญาและรายงานการปฏบตงาน
A.10.2.2 การตรวจสอบการใหบรการโดยหนวยงานภายนอก (Monitoring and review of third party services)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
มการทบทวนการใหบรการของผใหบรการหนวยงานภายนอกอยางสม าเสมอ และใหมเอกสารรายงานตางๆ จากผใหบรการหนวยงานภายนอก เชน การเขาซอมบ ารงรกษาอปกรณจากหนวยงานภายนอก จะตองมรายงานปฏบตงานทกครง
138
หวขอ รำยกำรควบคม มำตรกำรปจจบน เหตผลทเลอกใชมำตรกำร หมำยเหต
A.10.2.3 การบรหารจดการการเปลยนแปลงในการใหบรการ (Managing changes to third party services)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
จดใหมการประเมนและปรบปรงขอก าหนดหรอขอตกลงส าหรบการใหบรการโดยหนวยงานภายนอก โดยดจากการปฏบตงาน เวลาในการปรบปรงแกไขเพม ของระบบ เปนตน
A.10.3.1 การบรหารจดการทรพยากรของระบบ (Capacity management)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
ยงไมมการวางแผนในการขยายทรพยากรสารนสนเทศ แตยงคงตรวจสอบอยางสม าเสมอ
139
หวขอ รำยกำรควบคม มำตรกำรปจจบน เหตผลทเลอกใชมำตรกำร หมำยเหต
A.10.3.2 การตรวจรบระบบ (System acceptance)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
มกระบวนการในการตรวจรบระบบทเปนลายลกอกษร เอกสารตรวจรบ และมคณะกรรมการตรวจรบ
A.10.4.1 การปองกนโปรแกรมทไมประสงคด (Controls against malicious code)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
มการตดตงโปรแกรมปองกนโปรแกรมทไมประสงคด
140
หวขอ รำยกำรควบคม มำตรกำรปจจบน เหตผลทเลอกใชมำตรกำร หมำยเหต
A.10.4.2 การปองกนโปรแกรมไมประสงคดชนดเคลอนท (Controls against mobile code)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
มการตดตงโปรแกรมปองกนโปรแกรมทไมประสงคด
A.10.5.1 การส ารองขอมล (Information back-up)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
มการส ารองขอมล แตยงขาดขนตอนวธปฏบตทเปนคมอปฏบต
141
หวขอ รำยกำรควบคม มำตรกำรปจจบน เหตผลทเลอกใชมำตรกำร หมำยเหต
A.10.6.1 มาตรการทางเครอขาย (Network security management)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
เรมมวธการปฏบตการจดการความมนคงปลอดภยบนเครอขาย เชน การแบงเครอขายส าหรบผดแลระบบ กบผใชงานทวไป การใชโปรโตคอลทปลอดภยในการเขาถงอปกรณเครอขาย เปนตน
A10.6.2 ความมนคงปลอดภยส าหรบบรการเครอขาย (Security of network services)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
มไฟลวอรในการปองกนระบบเครอขายและการตรวจสอบการถกโจมตในระดบหนง
142
หวขอ รำยกำรควบคม มำตรกำรปจจบน เหตผลทเลอกใชมำตรกำร หมำยเหต
A.10.7.1 บรหารจดการสอบนทกขอมลทสามารถเคลอนยายได (Management of removable media)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
ยงไมมการบรหารจดการสอบนทกขอมลทสามารถเคลอนยายได เชน การเขารหสลบขอมลบนสอบนทกขอมลทเคลอนยายได
A.10.7.2 การก าจดสอบนทกขอมล (Disposal of media)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
มแนวทางในการก าจดสอบนทกขอมลเพอปองกนขอมลรวไหล แตยงไมมเปนเอกสารขนตอนวธปฏบต
143
หวขอ รำยกำรควบคม มำตรกำรปจจบน เหตผลทเลอกใชมำตรกำร หมำยเหต
A.10.7.3 ขนตอนปฏบตส าหรบการจดการสารสนเทศ (Information handling procedures)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
มขนตอนปฏบตเพอบรหารจดการการเขาถงขอมลเพอปองกนไมใหผไมมสทธเขาถง เชน ผใชงานจะตองไดรบการอนมตจากหวหนากอนจะใชงานระบบสารสนเทศได
A.10.7.4 สรางความมนคงปลอดภยส าหรบเอกสารระบบ (Security of system documentation)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
มการจดหาทจดเกบเอกสารไวในทปลอดภยโดยมตเอกสารทสามารถปด ลอคได
144
หวขอ รำยกำรควบคม มำตรกำรปจจบน เหตผลทเลอกใชมำตรกำร หมำยเหต
A.10.8.1 นโยบายและขนตอนปฏบตส าหรบการแลกเปลยนสารสนเทศ (Information exchange and procedures)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
ยงไมมนโยบายและขนตอนปฏบตส าหรบการแลกเปลยนสารสนเทศทเปนลายลกอกษร
A.10.8.2 ขอตกลงในการแลกเปลยนสารสนเทศ (Exchange agreements)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
ปจจบนองคกรยงไมการแลกเปลยนสารสนเทศจากหนวยงานภายนอก
145
หวขอ รำยกำรควบคม มำตรกำรปจจบน เหตผลทเลอกใชมำตรกำร หมำยเหต
A.10.8.3 การสงสอบนทกขอมลออกไปนอกองคกร (Physical media in transit)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
ไมมการน าเอาสอบนทกขอมลออกจากหองศนยขอมล
A.10.8.4 การสงขอความทางอเลกทรอนกส (Electronic messaging)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
ไมมการเขารหสลบในการรบสงขอความทางอเลกทรอนกส แตมการใชงานโปรโตคอล SSL บนระบบเวบเมล
146
หวขอ รำยกำรควบคม มำตรกำรปจจบน เหตผลทเลอกใชมำตรกำร หมำยเหต
A.10.8.5 ระบบสารสนเทศทางธรกจทเชอมโยงกน (Business information systems)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
องคกรไมมการใหบรการเชงธรกจ
A.10.9.1 การพาณชยอเลกทรอนกส (Electronic commerce)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
องคกรไมมการใหบรการพาณชยอเลกทรอนกส
147
หวขอ รำยกำรควบคม มำตรกำรปจจบน เหตผลทเลอกใชมำตรกำร หมำยเหต
A.10.9.2 การท าธรกรรมออนไลน (On-line transactions)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
องคกรไมมการท าธรกรรมออนไลน
A.10.9.3 สารสนเทศทมการเผยแพรออกสสาธารณะ (Publicly available information)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
มกระบวนการในการควบคมขอมลทประกาศลงบนเวบไซตขององคกร เชน จะตองมบนทกขอความจากหนวย และจะตองไดรบอนมตจากหวหนาสารสนเทศ
148
หวขอ รำยกำรควบคม มำตรกำรปจจบน เหตผลทเลอกใชมำตรกำร หมำยเหต
A.10.10.1 การบนทกเหตการณทเกยวของกบการใชงานสารสนเทศ (Audit logging)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
เรมมข นตอนปฏบตการตรวจสอบการวเคราะหและการจดการกบขอมลลอกของระบบ เชน การตดตงเครองแมขายระบบ Syslog และมการท ารายงานการใชงานอนเทอรเนต
A.10.10.2 การตรวจสอบการใชงานระบบ (Monitoring system use)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
มการตรวจสอบการใชงานระบบเฉพาะระบบเครอขายเทานน ระบบงานยงไมมการตรวจสอบ แตไดเรมหาเครองมอในการตรวจสอบระบบแมขายตางๆ แลว เชน การตดตงโปรแกรม Zabbix ในการตรวจสอบบรการในเครองแมขาย
149
หวขอ รำยกำรควบคม มำตรกำรปจจบน เหตผลทเลอกใชมำตรกำร หมำยเหต
A.10.10.3 การปองกนขอมลบนทกเหตการณ (Protection of log information)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
เรมมการตดตงเครองแมขายระบบ Syslog แลว เพอใหระบบตางๆ น าบนทกเหตการณมาไวในระบบ Syslog ตรงกลาง เพอปองกนการแกไขเปลยนแปลงเหตการณ
A.10.10.4 บนทกกจกรรมการด าเนนงานของเจาหนาททเกยวของกบระบบ (Administrator and operator logs)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
มการเกบบนทกเหตการณการเขาใชงานระบบของเจาหนาทผดแลระบบ
150
หวขอ รำยกำรควบคม มำตรกำรปจจบน เหตผลทเลอกใชมำตรกำร หมำยเหต
A.10.10.5 การบนทกเหตการณขอผดพลาด (Fault logging)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
มการเปดใชงานการบนทกเหตการณขอผดพลาดของระบบ
A.10.10.6 การตงเวลาของเครองคอมพวเตอรใหตรงกน (Clock synchronization)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
มการตดตงเครองแมขายระบบ NTP เพอใหระบบและเครองผใชงานมาเทยบเวลา
151
หวขอ รำยกำรควบคม มำตรกำรปจจบน เหตผลทเลอกใชมำตรกำร หมำยเหต
A.11.1.1 นโยบายการควบคมการเขาถงระบบ (Access control policy)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
จดใหมการควบคมการเขาถงระบบตามหนาทความรบผดชอบของผใชงานระบบ
A.11.2.1 การลงทะเบยนพนกงาน (User registration)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
มขนตอนปฏบตการบรหารจดการบญชผใชงานโดยผใชงานตองไดรบการอนมตจากหวหนาฝายของผใชงานกอน
152
หวขอ รำยกำรควบคม มำตรกำรปจจบน เหตผลทเลอกใชมำตรกำร หมำยเหต
A.11.2.2 การบรหารจดการสทธ (Privilege management)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
มการบรหารจดการสทธในการใชงานระบบงานตางๆ เชนนกวจยจะไดสทธ ในการจองเครองมอวทยาศาสตร พนกงานทไมใชนกวจยจะไมไดสทธในการใชงาน
A.11.2.3 การใชงานระบบการบรหารจดการรหสผานส าหรบผใชงาน (User password management)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
เรมมระบบบรหารจดการรหสผานการสรางรหสผานแบบสมและเดายากดวยโปรแกรม เชน ใชโปรแกรม KeePass ในการสรางรหสผานทเดายาก
153
หวขอ รำยกำรควบคม มำตรกำรปจจบน เหตผลทเลอกใชมำตรกำร หมำยเหต
A.11.2.4 การทบทวนสทธการเขาถงของผใชงาน (Review of user access rights)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
เรมมการทบทวนสทธของผใชงาน 1 ครงตอสปดาห เชน การทบทวนสทธ ผใชงานอนเทอรเนตแบบมก าหนดระยะเวลาในการใชงาน
A.11.3.1 การใชงานรหสผาน (Password use)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
มตงรหสผานตามนโยบายความมนคงปลอดภยสารสนเทศ และเรมตงรหสผานใหมความปลอดภย
154
หวขอ รำยกำรควบคม มำตรกำรปจจบน เหตผลทเลอกใชมำตรกำร หมำยเหต
A.11.3.2 การปองกนอปกรณทไมมพนกงานดแล (Unattended user equipment)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
การปองกนตองเปนภาระของผใชงานตองปฏบตเองดวยการลอคหนาจอ ถาเปนเครองแมขายจะมเวลาลอคหนาอตโนมต
A.11.3.3 นโยบายควบคมการไมทงทรพยสนสารสนเทศส าคญไวในททไมปลอดภย (Clear desk and clear screen policy)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
องคการไมมนโยบายนโยบายควบคมการไมทงทรพยสนสารสนเทศส าคญไวในททไมปลอดภย ยอมรบความเสยงเนองจากมความเปนไดยากทจะน าทรพยสนออกจากหองศนยขอมล
155
หวขอ รำยกำรควบคม มำตรกำรปจจบน เหตผลทเลอกใชมำตรกำร หมำยเหต
A.11.4.1 นโยบายการใชงานบรการเครอขาย (Policy on use of network services)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
เรมมการจดท านโยบายการใชงานบรการเครอขาย
A.11.4.2 การพสจนตวตนส าหรบผใชทอยภายนอกองคกร (User authentication for external connections)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
มการพสจนตวตนส าหรบผใชทอยภายนอกองคกรดวยระบบ VPN แบบ PPTP
156
หวขอ รำยกำรควบคม มำตรกำรปจจบน เหตผลทเลอกใชมำตรกำร หมำยเหต
A.11.4.3 การพสจนตวตนอปกรณบนเครอขาย (Equipment identification networks)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
มการพสจนตวตนอปกรณบนเครอขาย กอนเขาใชงานอปกรณเครอขายเสมอ
A.11.4.4 การปองกนพอรตทใชส าหรบตรวจสอบและปรบแตงระบบ (Remote diagnostic and configuration port protection)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
เรมมการปองกนพอรตทใชพอรตทใชส าหรบตรวจสอบและปรบแตงระบบ เชน การปดพอรตดวย Iptables ของระบบปฏบตการ Linux การปดพอรตดวย Advance Firewall ของระบบปฏบตการ Windows เปนตน
157
หวขอ รายการควบคม มาตรการปจจบน เหตผลทเลอกใชมาตรการ หมายเหต
A.11.4.5 การแบงแยกเครอขาย (Segregation in networks)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา
แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
มการแบงแยกเครอขายระหวางเครอขายผใชงานและเครอขายของระบบตางๆ โดยการแบง VLAN เปนอาคาร ส านก ฝาย และแยกเครอขายส าหรบผดแลระบบในการเขาบรหารจดการอปกรณเครอขาย
A.11.4.6 การควบคมการเชอมตอทางเครอขาย (Network connection control)
มาตรการทมอย จ าเปนตองใช
มาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา
แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
ยงไมมการการควบคมการเชอมตอทางเครอขายของอปกรณตางๆ
158
หวขอ รำยกำรควบคม มำตรกำรปจจบน เหตผลทเลอกใชมำตรกำร หมำยเหต
A.11.4.7 การควบคมการก าหนดเสนทางบนเครอขาย (Network routing control)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
มการก าหนดเสนทางบนเครอขายดวยอปกรณเครอขาย โดยการท า Static Route
A.11.5.1 ขนตอนปฏบตในการเขาถงระบบอยางมนคงปลอดภย (Secure log-on procedures)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
มขนตอนขนตอนปฏบตในการเขาถงระบบอยางมนคงปลอดภยดวยโปรโตคอล SSH และ SSL
159
หวขอ รำยกำรควบคม มำตรกำรปจจบน เหตผลทเลอกใชมำตรกำร หมำยเหต
A.11.5.2 การระบและพสจนตวตนของผใชงาน (User identification and authentication)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
มการระบและพสจนตวตนของผใชงาน กอนเขาใชงานระบบเครอขาย โดยผใชงานตองท าการ Authentication กบ Proxy
A.11.5.3 ระบบบรหารจดการรหสผาน (Password management system)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
เรมมการใชโปรแกรมในการสรางรหสผานตามนโยบายการตงรหสผานทมความปลอดภย และการเปลยนรหสผานทกๆ 60 วน เชนการใชโปรแกรม KeePass ในการสรางรหสผาน
160
หวขอ รำยกำรควบคม มำตรกำรปจจบน เหตผลทเลอกใชมำตรกำร หมำยเหต
A.11.5.4 การใชงานโปรแกรมประเภทยทลต (Use of system utilities)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
ยงไมมการควบคมการใชงานโปรแกรมยทลต เนองจากองคกรยงไมมระบบควบเครองคอมพวเตอรของผใชงาน
A.11.5.5 การหมดเวลาการใชงานระบบสารสนเทศ (Session time-out)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
มการตงคาการหมดเวลาการใชงานระบบสารสนเทศ เมอไมมการใชงานเกน 30 นาท โดยตงเวลาดวย Proxy
161
หวขอ รำยกำรควบคม มำตรกำรปจจบน เหตผลทเลอกใชมำตรกำร หมำยเหต
A.11.5.6 การจ ากดระยะเวลาการเชอมตอระบบสารสนเทศ (Limitation of connection time)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
มการก าหนดระยะเวลาในการเชอมตอสารสนเทศไวท 16 ชม. หลงจากนนตองท าการ Login เขาระบบใหม โดยอปกรณ Proxy
A.11.6.1 การจ ากดการเขาถงสารสนเทศ (Information access restriction)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
มการควบคมการเขาถงระบบงานของเจาหนาท และมการสรางและก าหนดสทธการเขาถงเฉพาะตามหนาททรบผดชอบเทานน
162
หวขอ รำยกำรควบคม มำตรกำรปจจบน เหตผลทเลอกใชมำตรกำร หมำยเหต
A.11.6.2 การแยกระบบสารสนเทศทม ความส าคญสง (Sensitive system isolation)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
องคกรมการแยกระบบสารสนเทศทม ความส าคญสงไว
A.11.7.1 การปองกนอปกรณสอสารประเภทพกพา (Mobile computing and communications)
มาตรการทมอย จ าเปนตองใชมาตรการ
ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
ไมมการปองกนอปกรณสอสารเนองจากไมมการใชงานอปกรณสอสารในหองศนยขอมล
163
หวขอ รำยกำรควบคม มำตรกำรปจจบน เหตผลทเลอกใชมำตรกำร หมำยเหต
A.11.7.2 การปฏบตงานจากภายนอกส านกงาน (Teleworking policy)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
การปฏบตงานจากภายนอกส านกงาน จะตองใชระบบ VPN เชอมตอเขามายงองคกร
A.12.1.1 การวเคราะหและการระบขอก าหนดทางดานความมนคงปลอดภย (Security requirements analysis and specification)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
องคกรมกระบวนการในการตรวจสอบและทดสอบประเมนซอฟตแวรทจะน าเขามาใชงาน โดยใชทดสอบกบระบบเสมอน
164
หวขอ รำยกำรควบคม มำตรกำรปจจบน เหตผลทเลอกใชมำตรกำร หมำยเหต
A.12.2.1 การตรวจสอบขอมลน าเขา (Input data validation)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
มการตรวจสอบขอมลน าเขา เชนการก าหนดความยาวหรอรปแบบในการน าเขาขอมล
A.12.2.2 การตรวจสอบขอมลทอยในระหวางการประมวลผล (Control of internal processing)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
ยงไมมการตรวจสอบขอมลทอยในระหวางการประมวลผล จะมเฉพาะตอนทดสอบระบบกอนใชงานจรงเทานน
165
หวขอ รำยกำรควบคม มำตรกำรปจจบน เหตผลทเลอกใชมำตรกำร หมำยเหต
A.12.2.3 การตรวจสอบความถกตองของขอความ (Message integrity)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
ยงไมมการตรวจสอบความถกตองของขอความอยางสม าเสมอจะมเฉพาะตอนทดสอบระบบกอนใชงานจรงเทานน
A.12.2.4 การตรวจสอบขอมลน าออก (Output data validation)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
ยงไมมการตรวจสอบขอมลน าออก อยางสม าเสมอจะมเฉพาะตอนทดสอบระบบกอนใชงานจรงเทานน
166
หวขอ รำยกำรควบคม มำตรกำรปจจบน เหตผลทเลอกใชมำตรกำร หมำยเหต
A.12.3.1 นโยบายการใชงานการเขารหสขอมล (Policy on the use of cryptographic controls)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
ยงไมมนโยบายการใชงานการเขารหสขอมล
A.12.3.2 การบรหารจดการกญแจเขารหสขอมล (Key management)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
ยงไมมการใชงานการเขารหสขอมลดวยกญแจอเลกทรอนกส
167
หวขอ รำยกำรควบคม มำตรกำรปจจบน เหตผลทเลอกใชมำตรกำร หมำยเหต
A.12.4.1 การควบคมการตดตงซอฟตแวรลงไปยงระบบทใหบรการ (Control of operational software)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
มเฉพาะผทดและระบบเทานนทสามารถตดตงซอฟตแวรลงไปยงระบบได
A.12.4.2 การปองกนขอมลทใชส าหรบการทดสอบ (Protection of system test data)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
ไมมการน าขอมลจรงมาทดสอบ
168
หวขอ รำยกำรควบคม มำตรกำรปจจบน เหตผลทเลอกใชมำตรกำร หมำยเหต
A.12.4.3 การควบคมการเขาถง ซอรสโคดส าหรบระบบ (Access control to program source code)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
การเขาถงซอรสโคดส าหรบระบบตองไดรบอนญาตจากผดแลระบบกอน เสมอ
A.12.5.1 ขนตอนปฏบตส าหรบควบคมการเปลยนแปลงหรอแกไขระบบ (Change control procedures)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
ยงไมมเอกสารขนตอนปฏบตส าหรบควบคมการเปลยนแปลงหรอแกไขระบบ
169
หวขอ รำยกำรควบคม มำตรกำรปจจบน เหตผลทเลอกใชมำตรกำร หมำยเหต
A.12.5.2 การตรวจสอบการท างานของแอพพลเคชนภายหลงจากทเปลยนแปลงระบบปฏบตการ (Technical review of applications after operating system changes)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
มการตรวจสอบการท างานแอพพลเคชนภายหลงจากทเปลยนแปลงระบบปฏบตการ เชนหลงจากการอพเดทระบบปฏบตการ แตยงไมมเอกสารรายในการเปลยนแปลง
A.12.5.3 การจ ากดการเปลยนแปลงแกไขตอซอฟตแวรทมาจากผผลต (Restrictions on changes to software)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
ไมมการน าซอฟตแวรทมาจากผผลต มาแกไขเพอใชงาน
170
หวขอ รำยกำรควบคม มำตรกำรปจจบน เหตผลทเลอกใชมำตรกำร หมำยเหต
A.12.5.4 การปองกนการรวไหลของสารสนเทศ (Information leakage)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
มการใชโปรโตคอลในการสอสารทปลอดภยในการรบสงขอมลสารสนเทศ เชนระบบใบแจงเงนเดอน และระบบเวบเมล มการใชโปรโตคอล SSL ในการสอสาร
A.12.5.5 การพฒนาซอฟตแวรโดยหนวยงานภายนอก (Outsourced software development)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
ไมมการใชซอฟตแวรทพฒนาจากหนวยงานภายนอก
171
หวขอ รำยกำรควบคม มำตรกำรปจจบน เหตผลทเลอกใชมำตรกำร หมำยเหต
A.12.6.1 มาตรการควบคมชองโหวทางเทคนค (Control of technical vulnerabilities)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
ยงไมมมาตรการในการควบคมชองโหวทางเทคนคทเปนเอกสารคมอปฏบต แตเรมม การใชเครองมอสแกนหาชองโหว ของระบบตางๆ
A.13.1.1 การรายงานเหตการณทเกยวของกบความมนคงปลอดภย (Reporting information security events)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
มรายงานเหตการณทเกยวกบความมนคงปลอดภยโดยมการตรวจสอบการโจมตของผดแลระบบภายใน และรายงานโจมตจากหนวยงานภายนอกทใหบรการอนเทอรเนต (ISP)
172
หวขอ รำยกำรควบคม มำตรกำรปจจบน เหตผลทเลอกใชมำตรกำร หมำยเหต
A.13.1.2 การรายงานจดออนทเกยวของกบความมนคงปลอดภยขององคกร (Reporting security weakness)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
ยงไมมการรายงานจดออนทเกยวของกบความมนคงปลอดภยขององคกร
A.13.2.1 หนาทความรบผดชอบและขนตอนปฏบต (Responsibilities and procedures)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
ยงไมมกระบวนการขนตอนในการปฏบตในการรองรบเหตการณดานความมนคงปลอดภย
173
หวขอ รำยกำรควบคม มำตรกำรปจจบน เหตผลทเลอกใชมำตรกำร หมำยเหต
A.13.2.2 การเรยนรจากเหตการณทเกยวของกบความมนคงปลอดภย (Learning from information security incidents)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
มการเรยนรการเรยนรจากเหตการณทเกยวของกบความมนคงปลอดภย โดยมการจดท ารายงาน และวธแกไขปญหา และการปองกน จากเหตการณดานความมนคงปลอดภยทเคยเกดขน
A.13.2.3 การเกบรวบรวมหลกฐาน (Collection of evidence)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
มการเกบบนทกกจกรรมของผใชงาน และจดท ารายงานใหผบรหารสารสนเทศ
174
หวขอ รำยกำรควบคม มำตรกำรปจจบน เหตผลทเลอกใชมำตรกำร หมำยเหต
A.14.1.1 กระบวนการในการสรางความตอเนองใหกบธรกจ (Including information security in the business continuity management process)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
ยงไมมนโยบายในการสรางความตอเนองในการใชงานระบบสารสนเทศ แตเรมมการวางแผนในการท าระบบ DR Site
A.14.1.2 การประเมนความเสยงในการสรางความตอเนองใหกบธรกจ (Business continuity and risk assessment)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
ยงไมมนโยบายในการสรางความตอเนองในการใชระบบงานสารสนเทศ
175
หวขอ รำยกำรควบคม มำตรกำรปจจบน เหตผลทเลอกใชมำตรกำร หมำยเหต
A.14.1.3 การจดท าและใชงานแผนสรางความตอเนองใหกบธรกจ (Developing and implementing continuity plans including information security)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
ยงไมมนโยบายในการสรางความตอเนองในการใชงานระบบสารสนเทศ
A.14.1.4 การก าหนดกรอบส าหรบการวางแผนเพอสรางความตอเนองใหกบธรกจ (Business continuity planning framework)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
ยงไมมนโยบายในการสรางความตอเนองในการใชงานระบบสารสนเทศ
176
หวขอ รำยกำรควบคม มำตรกำรปจจบน เหตผลทเลอกใชมำตรกำร หมำยเหต
A.14.1.5 การทดสอบและการปรบปรงแผนสรางความตอเนองใหกบธรกจ (Testing, maintaining and re-assessing business continuity plans)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
ยงไมมนโยบายในการสรางความตอเนองในการใชงานระบบสารสนเทศ
A.15.1.1 การระบขอก าหนดตาง ๆ ทม ผลทางกฎหมาย (Identification of applicable legislation)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
มการระบกฎหมาย ระเบยบ ขอบงคบ ขอก าหนดในสญญาตางๆทองคกรตองปฏบตตามและใหพนกงานทกคนปฏบตตามดวย
177
หวขอ รำยกำรควบคม มำตรกำรปจจบน เหตผลทเลอกใชมำตรกำร หมำยเหต
A.15.1.2 การปองกนสทธและทรพยสนทางปญญา (Intellectual property rights (IPR)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
มการจดซอซอฟตแวรลขสทธทถกตอง จากตวแทนจ าหนายของซอฟตแวรนน
A.15.1.3 การปองกนขอมลส าคญทเกยวของกบบรษท (Protection of organizational records)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
มการจดเกบขอมลตามระยะเวลาทกฎหมาย ระเบยบขอบงคบ ทองคกรตองปฏบตตามไดระบไว เชน พรบ.วาดวยกรทาธรกรรมทางอเลกทรอนกส, พระราชบญญตวาดวยการกระท าความผดเกยวกบคอมพวเตอร เปนตน
178
หวขอ รำยกำรควบคม มำตรกำรปจจบน เหตผลทเลอกใชมำตรกำร หมำยเหต
A.15.1.4 การปองกนขอมลสวนบคคล (Data protection and privacy of personal information)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
ไมมการเกบขอมลสวนบคคลไวในระบบทหองศนยขอมล
A.15.1.5 การปองกนการใชงานอปกรณประมวลผลสารสนเทศผดวตถประสงค (Prevention of misuse of information processing facilities)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
ยงไมมนโยบายในการปองกนการใชงานอปกรณประมวลผลสารสนเทศผดวตถประสงค
179
หวขอ รำยกำรควบคม มำตรกำรปจจบน เหตผลทเลอกใชมำตรกำร หมำยเหต
A.15.1.6 การใชงานมาตรการการเขารหสขอมลตามขอก าหนด (Regulation of cryptographic Controls)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
ยงไมมการใชงานมาตรการการเขารหสขอมลตามขอก าหนด
A.15.2.1 การปฏบตตามนโยบายและมาตรฐานความมนคงปลอดภย (Compliance with security policies and standards)
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
เรมมกระบวนการตรวจสอบในการปฏบตตามนโยบายและมาตรฐานความมนคงปลอดภย
180
หวขอ รำยกำรควบคม มำตรกำรปจจบน เหตผลทเลอกใชมำตรกำร หมำยเหต
A.15.2.2 การตรวจสอบปฏบตตามมาตรฐานทางเทคนคขององคกร
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
ยงไมมการตรวจสอบปฏบตตามมาตรฐานทางเทคนคขององคกรทเปนเอกสาร มแตการปฏบตของผดแลระบบเทานน
A.15.3.1 มาตรการการตรวจประเมนระบบสารสนเทศ
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
ยงไมมมาตรการการตรวจประเมนระบบสารสนเทศ
181
หวขอ รำยกำรควบคม มำตรกำรปจจบน เหตผลทเลอกใชมำตรกำร หมำยเหต
A.15.3.2 การปองกนเครองมอสาหรบตรวจประเมนสารสนเทศ
มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ
กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง
องคกรเรมการตดโปรแกรมเครองมอในการตรวจสอบชองโหวของระบบเครอขายและระบบงานตางๆ เชน การตดตงโปรแกรม Nessus และโปรแกรม Nmap เปนตน
182
บทท 5
สรปผลโครงงาน
โครงงานเปนการจดท าพฒนานโยบายดานความปลอดภยของสารสนเทศภายใตมาตรฐาน ISO/IEC 27001:2005 โดยท าการวเคราะหปญหาของระบบสารสนเทศทเกดขนภายในองคกร และมการด าเนนการประเมนความเสยงของระบบสารสนเทศเพอใหทราบถงความเสยงตางๆ ทจะเกดขนกบองคกร เพอทจะน ามาซงการบรหารจดการความเสยงเพอปองกนความเสยงทอาจจะเกดขนกบองคกรหรอลดความเสยงเหลานนใหลดนอยลง
5.1 สรปผลการประเมนความเสยงกอนการบรหารจดการความเสยง
เมอมการประเมนความเสยงสารสนเทศขององคกรกอนการบรหารจดการความเสยงนนพบวาองคกรมความเสยงทมระดบสงทจะตองด าเนนการบรหารจดการความเสยงนนกอนตามแผนการจดการบรหารความเสยง โดยไดพบความเสยงขององคกรในระดบตางๆ ดงน
5.2 สรปผลการประเมนความเสยงหลงการบรหารจดการความเสยง
หลงจากองคกรไดมการบรหารจดการความเสยงแลวพบวาความเสยงในระดบสงไดมการบรหารจดการความเสยงใหมระดบความเสยงลดลง และความเสยงหลายๆความเสยงไดลดลงอยระดบต า ซงสรปผลของระดบความเสยงหลงจากการบรหารจดการความเสยงได ดงน
ระดบความเสยงทพบ ระดบสง ระดบกลาง ระดบต า ผลรวม จ านวน 2 65 87 154
ระดบความเสยงทพบ ระดบสง ระดบกลาง ระดบต า ผลรวม จ านวน 0 6 148 154
183
5.3 สรปการด าเนนงานในการจดการความเสยง
1. Hardware ไดมการจดใหมการปองกนการเขาถง Hardware ในหอง Data Center ในเบองตนนนไดมการลอคประตเขา-ออกของหอง Data Center และเมอมความประสงคในการเขาขอใชหอง Data Center ของบคคลหรอหนวยงานภายนอกตองไดรบการอนมตจากหวหนาสารสนเทศกอน รวมถงไดวางแผนในการจดท าระบบ Access Control ของหอง Data Center ดวยระบบสแกนลายนวมอ และมการจดสภาพแวดลอมภายในหอง Data Center โดยมการจดการกบสายสญญาณตางๆ ใหมความเปนระเบยบเรยบรอยมากขนมการตดปายชอกบสายสญญาณตางๆ รวมถงมการตอสญญาในการบ ารงรกษาอปกรณตางๆ แบบปตอป
2. Software มจดซอและการตดตงโปรแกรมปองกนโปรแกรมทไมประสงคด มการยกเลกพอรตทไมไดใชงาน และมการตดตงเครองแมขาย WSUS เพอใชอพเดท Patch Security รวมถงตดตงเครองมอในการตรวจสอบชองโหว การอพเกรดเวอรชนเพออดชองโหวของ Software และมการจดท าคมอปฏบตงานตางๆ เพมขน มตดตงเครองแมขายส าหรบเกบบนทกลอกไวตรงกลาง มการทบทวนตรวจสอบบญชผใชงานของระบบตางๆ ประจ าทกๆ 1 สปดาห
3. Information มการเขยนนโยบายในการตงรหสผานใหคาดเดาไดยาก และใหมการเปลยนรหสผานทกๆ 60 วน มการเกบบนทกเหตการณการใชงานอนเทอรเนต Log ออกมาเกบไวทกๆ 30 วนและจดเปนรายงานใหกบผบรหารสารสนเทศ และมใหจดหาทจดเกบเอกสารของฝายใหมความปลอดภยมากขน
4. Human มการใหเจาหนาดแลระบบทไดรบความรดานเทคโนโลยสารสนเทศใหมๆ จากการออกไปฝกอบรมภายนอก และการเขารวมงานสมมนาดานทางเทคโนโลยสารสนเทศ ส าหรบผใชงานสารสนเทศไดจดใหมการอบรมใหความรการใชงานระบบสารสนเทศขององคกรใหมความปลอดภย และการสรางความตระหนกในการใชเทคโนโลยสารสนเทศภายในองคกรใหมความปลอดภย
5. Service ผใหบรการอนเทอรเนต ไดมการทบทวนการใหบรการของผใหบรการอยางสม าเสมอ รวมถงไดมพดคยถงการวางแผนการจดหาลงคอนเทอรเนตส ารองอกดวย แตขนตอนยงอยในการประเมนความเหมาะสมและความคมคา
จากการประเมนความเสยงเทคโนโลยสารสนเทศขององคกรนน ท าใหทราบถงความเสยงตางๆ ทองคกรมอย หลงจากการด าเนนการจดการความเสยงพบวาความเสยงทมระดบสง ไดลดลงหรอในระดบปานกลาง ซงเปนระดบทองคและผบรหารสารสนเทศนนสามารถยอมรบไดในระดบหนง แตยงคงตองมควบคมและการปรบปรงใหดยงขน
184
5.4 ขอเสนอแนะ
โครงงานนยงคงตองด าเนนการตอในหวขออนๆ ทยงไมไดด าเนนการภายในปน โดยมแผนการในด าเนนงานในปถดไป แตดวยปจจบนเทคโนโลยสารนสนเทศไดมการพฒนาไปอยางรวดเรว ดงนนจงจ าเปนทจะตองทบทวนนโยบายดานความมนคงปลอดภยเทคโนโลยสารสนเทศ การตรวจสอบภยคกคาม และชองโหว อยางสม าเสมอ เพอใหมความพรอมในการรบมอกบความเสยงใหมๆ ทเกดขน ในปจจบน
185
เอกสารอางอง
[1] ISO 27001 Introduction to Information Security Management System ระบบการจดการความมนคงปลอดภยของสารสนเทศ
[2] ศนยเทคโนโลยอเลกทรอนกสและคอมพวเตอรแหงชาต, มาตรฐานการรกษาความมนคง
ปลอดภย ในการประกอบธรกรรมทางอเลกทรอนกส ( เวอรชน 2.5 ), 2550
[3] International Standard ISO/IEC 27001 First edition 2005-10-15
[4] ศนยประสานงานการรกษาความปลอดภยคอมพวเตอรประเทศไทย ภายใตศนยเทคโนโลย
อเลกทรอนกสและคอมพวเตอรแหงชาต,รางแนวทางปฏบตสาหรบการรกษาความมนคง
ปลอดภยสารสนเทศ 2552