ในยุคที่ระบบ ICT ของทุกหน่วยงานต้องเชื่อมกันหมด ไม่ใช่เฉพาะในประเทศไทยแต่กับทั่วโลก องค์กรที่ประเทศไทยมีธุรกรรมด้วย ไม่ว่าจะเป็นภาครัฐกับภาครัฐ หรือภาครัฐกับภาคเอกชน หรือภาคเอกชนกับภาคเอกชนจะต้องมีการบริหารจัดการความมั่นคงปลอดภัยด้านสารสนเทศอย่างเป็นระบบ จนถึงขั้นที่จะต้องได้การรับรองจากองค์กรที่ให้วุฒิบัตรว่าสามารถดำเนินการตามมาตรฐานความมั่นคงปลอดภัยตามที่กำหนดในการบริหารความมั่นคงปลอดภัย (Information Security Management System:ISMS) ได้กำหนดโดยมาตรฐานตระกูล ISO/IEC 27000 ซึ่งประกอบด้วย 7 มาตรฐาน ดังนี

         ISO/IEC 27000   Fundamental & Vocabulary
         ISO/IEC 27001   ISMS Requirement
         ISO/IEC 27002   Code of Practice
         ISO/IEC 27003   ISMS Implementation Guide
         ISO/IEC 27004   ISMS Measurement
         ISO/IEC 27005   ISMS Risk Management
         ISO/IEC 27006   ISMS Accreditation Guideline

         หน่วยงานที่ดำเนินการเตรียมความพร้อมด้าน ICT Security เพื่อสร้างความมั่นใจจะสามารถป้องกันการโจมตีและเมื่อมีการโจมตีแล้วสามารถตอบสนองทันท่วงที หรือมีกลไกเฉพาะกรรมวิธี การสำรองระบบเพื่อให้สามารถดำเนินงานได้อย่างต่อเนื่องจนปลอดภัย โดยที่ข้อมูลและระบบบริการมีความมั่นคงปลอดภัยและสมบูรณ์

         กรรมวิธีบริหารโครงการด้าน ICT Security จะต้องทำตามกรรมวิธีมาตรฐาน ISMS เริ่มที่มาตรฐาน ISO/IEC 27001 จะต้องตรงกับความต้องการด้าน ICT Security แล้วเดินตามโมเดล PDCA ตามรูปที่ 1 มาตรฐาน ISO/IEC 27002 (นี่คือ ISO/IEC 17799) จะเป็นตัวกำหนดวิธีการดำเนินการในการวางมาตรฐานความมั่นคงปลอดภัยให้แก่องค์กร

 

         ซึ่งการใช้กรรมวิธีนี้จะช่วยให้สามารถดำเนินการปรับปรุงความปลอดภัยสารสนเทศได้อย่างต่อเนื่อง ทั้งนี้การบริหาร โดย ISMS จะทำใน 10 ขั้นตอน ดังนี้

ขั้นตอน

การดำเนินงาน

ผลลัพธ์

1

นิยามขอบเขต ISMS

ขอบเขตงาน ISMS

2

นิยามขอบเขต ISMS

นโยบาย ISMS

3

นิยามความเสี่ยงต่อระบบสารสนเทศ

บันทึกวิธีการประเมินความเสี่ยงประเภทต่างๆ

4

หาความเสี่ยงที่ได้

รายการของความเสี่ยง, โอกาสที่ถูกโจมตี สำหรับแต่ละความเสี่ยงและผลกระทบ

5

ดำเนินการประเมินความเสี่ยง

รายงานผลกระทบ และโครงการที่อาจเกิดขึ้น

6

การจัดการกับความเสี่ยง

ประเมินวิธีการจัดการความเสี่ยงทางเลี่ยง

และความเสี่ยง และวิธีการควบคุม

7

เลือกวัตถุประสงค์ควบคุม และวิธีการ

รายงานวัตถุประสงค์ควบคุมและวิธีควบคุม

8

ขออนุมัติความเห็นชอบจากผู้บริหารในเรื่องความเสี่ยงที่เหลือที่ยังไม่ได้จัดการ

รายงานความเสี่ยงที่เหลืออยู่ที่ยังไม่ได้จัดการ

9

ขออนุมัติให้ดำเนินการ ISMS ได้

คำอนุมัติของผู้บริหารให้ดำเนินการ ISMS ได้

10

เตรียมรายงานวัตถุประสงค์การควบคุม

วิธีควบคุม และหรือเขตที่ไม่ควบคุมรายงานการจัดการความเสี่ยง

 

ISMS จะช่วยองค์กรของท่านอย่างไร

         คำตอบเรื่องนี้มีความชัดในประเด็น

         1. เป็นแนวทางการปรับปรุงองค์กรให้สามารถจัดการกับกรณีเหตุการณ์เกิดปัญหาด้านความมั่นคงปลอดภัย
         2. เป็นการบริหารจัดการอย่างเป็นระบบ เน้นที่ส่วนที่เกิดความเสี่ยงอย่างสูง
         3. ทุกคนจะต้องมีจิตใจร่วมด้วย และเข้าใจปัญหาทางกฎหมาย และความเสี่ยงการถูกฟ้องร้อง เนื่องจากการละเลย หรือละเว้นการปฏิบัติ

         ในทศวรรษนี้ เรื่อง ISMS เป็นเรื่องที่มีความสำคัญต้องประสานงานภาครัฐยิ่งกว่าเรื่องประกันคุณภาพ ทั้งนี้เรื่องการเกิดความเสียหายต่อข้อมูล สินทรัพย์ ผู้ปฏิบัติงาน และความมั่นคงแห่งชาติเป็นสิ่งสำคัญอย่างยิ่งยวดที่ต้องช่วยกันกำกับดูแลอย่างมีหลักการและเทคนิค

 


แหล่งที่มา  วารสารคณะเทคโนโลยีอุตสาหกรรมและกรรมการบริหารบัณฑิตศึกษา 
             ดร.ปัญญา บุญญาภิวัฒน์
             มหาวิทยาลัยราชภัฎพระนคร

 

 

edit @ 24 Feb 2009 15:34:34 by nattakorn

Comment

Comment:

Tweet

อยากได้ facebook อาจารย์อะครับ

#3 By คุ (124.121.89.13) on 2010-09-27 11:08

ขอC+ ครับอาจาร์ย

#2 By นักศึกษา (124.122.230.213) on 2010-08-30 17:28

สวัสดีครับ

#1 By อิอิ (124.122.230.213) on 2010-08-30 17:27