คู่มือการรักษาความมั่นคงปลอดภัยฯ ICT |
คู่มือการรักษาความมั่นคงปลอดภัยฯ (พ.ศ. 2549 – 2551) ของ กระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เป็นเอกสารที่จัดทำขึ้นเพื่อประกอบโครงการจัดทำแผนแม่บทการรักษาความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ ซึ่งได้กำหนดแนวทางไว้เป็นกรอบและเป็นแผนที่นำทางในระดับกลยุทธ์ เพื่อยกระดับมาตรฐานการรักษาความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศของประเทศ ให้อยู่ในระดับมาตรฐานสากล โดยอ้างอิงจากกรอบมาตรฐานสากล ISO/IEC 27001 อีกทั้งต้องการลดผลกระทบจากเหตุ ตลอดจนการฟื้นฟูระบบอย่างรวดเร็วหลังจากการโจมตีสิ้นสุดลงแล้วร่างแผนแม่บทความมั่นคงปลอดภัยด้านไอซีทีแห่งชาติฯ จะช่วยจัดตั้งรูปแบบและลำดับความสำคัญในบริบทของ ความมั่นคงปลอดภัยด้านไอซีทีเมื่อคำนึงถึงสถานการณ์ปัจจุบันและการวิเคราะห์ความเสี่ยงที่เกี่ยวข้องทั้งหลาย ทั้งที่จะเกิดต่อภาคประชาชน ภาคเอกชนและภาครัฐบาล หลังจากที่ประกาศใช้แผนแม่บท แล้วต้องการที่จะจัดให้มีกรอบการทำงานและเครื่องมือที่จำเป็นอย่างพอเพียง เพื่อที่จะสนับสนุนกิจกรรมต่างๆ ที่จะเกิดขึ้นของแผนฏิบัติการความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศในระดับองค์กร ต่อไป
วัตถุประสงค์
1) เพื่อเป็นแนวทางในการจัดสร้างนโยบาย จุดประสงค์ กระบวนการ และขั้นตอนสำหรับ ISMS ซึ่งมีความสำคัญเป็นอย่างยิ่งในการจัดการแก้ไขปัญหาความเสี่ยงที่อาจเกิดขึ้น และยังมีความสำคัญต่อการพัฒนาศักยภาพของระบบรักษาความปลอดภัยของข้อมูล ส่งผลให้ตรงต่อนโยบายและจุดประสงค์หลักด้านเทคโนโลยีสารสนเทศขององค์กร
2) เพื่อเป็นแนวทางในการจัดสร้างและการปฏิบัติการระบบ ISMS ซึ่งจะเป็นการวางนโยบาย การควบคุม กำหนดขั้นตอนและกระบวนการที่เหมาะสม ตามหลักมาตรฐานสากล โดยสามารถริเริ่มได้จากการสร้างความมั่นคงปลอดภัยให้กับองค์กรในระดับพื้นฐาน ระดับกลางและระดับสูงตามลำดับ
นิยามและคำจำกัดความที่สำคัญ
การรักษาความมั่นคงปลอดภัยด้านไอซีที ประกอบด้วยการรักษาคุณค่าพื้นฐาน สามประการ ได้แก่ การรักษาความลับ (Confidentiality) บูรณภาพ (Integrity) และความพร้อมใช้งาน (Availability)
ซึ่งมีคำจำกัดความที่สำคัญดังนี้
“เทคโนโลยีสารสนเทศ (IT)” หมายถึง เทคโนโลยีสำหรับการประมวลผลสารสนเทศ ซึ่งจะครอบคลุมถึงการรับส่ง แปลง ประมวลผล และสืบค้นสารสนเทศ โดยมีองค์ประกอบ 3 ส่วนคืออมพิวเตอร์ การสื่อสารและสารสนเทศ ซึ่งต้องอาศัยการทำงานร่วมกัน
“ความลับ (Confidentiality)” คือ การรับรองว่าจะมีการเก็บรักษาข้อมูลไว้เป็นความลับและจะมีเพียงผู้มีสิทธิเท่านั้นที่จะสามารถเข้าถึงข้อมูลเหล่านั้นได้
“บูรณภาพ (Integrity)” คือการรับรองว่าข้อมูลจะไม่ถูกกระทำการใดๆ อันมีผลให้เกิดการเปลี่ยนแปลงหรือแก้ไขจากผู้ซึ่งไม่มีสิทธิ ไม่ว่าการกระทำนั้นจะมีเจตนาหรือไม่ก็ตาม
“ความพร้อมใช้งาน (Availability)” คือการรับรองได้ว่าข้อมูลหรือระบบเทคโนโลยีสารสนเทศทั้งหลายพร้อมที่จะให้บริการในเวลาที่ต้องการใช้งาน
“การพิสูจน์ฝ่าย (Authentication)” คือการตรวจสอบและการพิสูจน์สิทธิของการขอเข้าใช้ะบบของผู้ใช้บริการจากรายชื่อผู้มีสิทธิ สำหรับอุปกรณ์ไอที รวมถึงแอพพลิเคชันทั้งหลาย
“การพิสูจน์สิทธิ์ (Authorization)” หมายถึงการตรวจสอบว่า บุคคล อุปกรณ์ไอที หรืออพพลิเคชัน นั้นๆ ได้รับอนุญาตให้ดำเนินการอย่างหนึ่งอย่างใดต่อระบบสารสนเทศหรือไม่
“การเก็บสำรองข้อมูล (Data backup)” หมายถึง ในระหว่างการเก็บสำรอง สำเนาของชุดข้อมูลปัจจุบันจะถูกสร้างขึ้นมา เพื่อป้องกันการสูญหาย
“การปกป้องข้อมูล (Data protection)” หมายถึงการป้องกันข้อมูลส่วนบุคคลต่อการประสงค์้ายของบุคคลที่สาม
“การรักษาความมั่นคงปลอดภัยของข้อมูล (Data security)” หมายถึง การป้องกันข้อมูลในริบทของ การรักษาความลับ บูรณภาพ และความพร้อมใช้งานของข้อมูล ซึ่งสามารถใช้แทน การักษาความมั่นคงปลอดภัยของสารสนเทศได้
“การประเมินความเสี่ยง หรือการวิเคราะห์ความเสี่ยง (Risk assessment or analysis)” ของระบบสารสนเทศ หมายถึง การตรวจสอบโอกาสของผลลัพธ์ใดๆ ที่ไม่พึงประสงค์ ต่อระบบฯ และลเสียที่อาจจะเกิดขึ้นตามมาได้
“นโยบายด้านความมั่นคงปลอดภัย (Security policy)” หมายถึงนโยบายที่แสดงเป้าหมายที่จะต้องปกป้อง และขั้นตอนทั่วไปของกระบวนการรักษาความมั่นคงปลอดภัย ในบริบทของความ้องการอย่างเป็นทางการขององค์กร รายละเอียดของวิธีการด้านความมั่นคงปลอดภัยมักจะอธิบายยกไว้ในรายงานต่างหาก
ดาวน์โหลดคู่มือ ฉบับเต็ม ICT Scurity Manual.pdf
|