ระบบมาตรฐานด้านความปลอดภัยของข้อมูล มาตรฐาน ISO/IEC 27001

จัดทำโดย : นางสาวชนานาถ เยือกเย็น รหัสนักศึกษา 5107517
วิชา ITM633 : การจัดการความมั่นคงปลอดภัยสารสนเทศ (Information Security Management)
(สามารถดูประวัติอาจารย์ผู้สอนได้ในหัวข้อ "ประวัติอาจารย์ผู้สอน" หรือ คลิกที่นี่)
การประยุกต์ใช้ ISMS (Information Security Management System) จะช่วยให้กิจกรรมทางธุรกิจสามารถดำเนินไปได้อย่างต่อเนื่อง ช่วยป้องกันระบบข้อมูลสารสนเทศขององค์กรจากความเสี่ยงต่อภัยคุกคามต่างๆ เช่น การหลอกลวงทางคอมพิวเตอร์ การจารกรรมข้อมูล ไวรัสจากคอมพิวเตอร์ การเจาะเข้าโปรแกรมคอมพิวเตอร์และการโจมตีเข้าระบบ ฯลฯ นอกจากนี้ยังช่วยป้องกันกระบวนการทางธุรกิจจากความเสี่ยงหากเกิดภัยร้ายแรงต่างๆเช่น แผ่นดินไหว วาตภัย อัคคีภัย อุทกภัย ฯลฯ



ISO27000 Family


ISO 27000
ISO 27000 มีวัตถุประสงค์เพื่อแสดง ศัพท์และนิยาม (Vocabulary and Definitions) ที่ใช้ในมาตรฐาน นั่นคือ ศัพท์บัญญัติ (Terminology) ทั้งหลายที่ใช้ในมาตรฐานการจัดการด้านความมั่นคงปลอดภัยสารสนเทศ (Information Security Management Standards- ISMS)

ISO 27001
ISO 27001 คือ มาตรฐานที่จำเป็นของ ISMS ได้แก่ คุณลักษณะเฉพาะ (Specification) ซึ่งองค์กรทั้งหลายจะต้องขอรับ "ใบรับรอง" (Certificate) จากหน่วยงานภายนอก ว่าได้มี "การปฏิบัติตามข้อกำหนด (Compliance)" เหล่านี้แล้ว อย่างเป็นทางการ

ISO 27002
ISO 27002 เป็นชื่อเรียกใหม่ของ ISO 17799 ซึ่งเดิมเรียกว่า "BS 7799 Part 1" เป็นมาตรฐานแสดง หลักปฏิบัติสำหรับ ISM (Code of practice for Information Security Management) ที่อธิบายวัตถุประสงค์ของระเบียบวิธีการควบคุมด้าน IS ทั้งหลายอย่างละเอียด และแสดงรายการวิธีปฏิบัติที่ดีที่สุด ของการควบคุมความมั่นคงปลอดภัย (Best-practice security controls)

ISO 27003
ISO 27003 เป็นแนวทางประยุกต์ใช้มาตรฐาน (Implementation guide)

ISO 27004
ISO 27004 เป็นมาตรฐานการวัด ISM เพื่อที่จะช่วยวัดประสิทธิภาพหรือประเมินผล การนำ ISMS ไปใช้

ISO 27005
ISO 27005 เป็นมาตรฐาน "การบริหารจัดการความเสี่ยงด้าน IS (Information Security Risk Management)" ซึ่งจะมาแทนที่มาตรฐานเดิม ได้แก่ "BS 7799 Part 3"

ISO 27006
ISO 27006 เป็นแนวทางปฏิบัติสำหรับกระบวนการ ออกใบรับรอง (Certification process) หรือการลงทะเบียน (Registration process) .ให้กับหน่วยงานที่เกี่ยวข้อง (ISMS certification/registration bodies)


มาตรฐานการรักษาความมั่นคงฯ อื่นๆ

Ø BSI IT Security Baselines
· จัดทำโดยองค์กรในประเทศเยอรมันนี เพื่อวางมาตรฐานด้าน IT Security (Bundesamt fur Sicherheit der Informationstechnik) (

http://www.bsi.de/ )

Ø GASSP
· The General Accepted System Security Principles (GASSP) เพื่อกำหนดมาตรฐานตามความต้องการของรัฐบาลสหรัฐอเมริกา โดย Computer Society Institute (http://www.gocsi.com/, www.mit.edu/security/www/gassp1.html )

Ø GMITS
· Guidelines for the management of IT Security (GMITS) หรือ เรียกอีกชื่อหนึ่ง ว่า "ISO/IEC TR 13335 1-4" (http://www.iso.ch/ )

Ø COBIT
· The Control Objectives for IT (COBIT) (http://www.isaca.org/ ) มุ่งที่จะกำหนดกรอบการทำงานเพื่อการควบคุม ผลผลิตที่สำคัญขององค์กร อาทิ เช่น Management Guide, Control Objectives เป็นต้น เผยแพร่โดย ISACA (Internal Audit Professional Representative body)

Ø ITIL: Information Technology Infrastructure Library
· เผยแพร่โดย the Central Computer & Telecommunications Agency (CCTA) เพื่อกำหนดความรู้พื้นฐานสำหรับ การบริหารจัดการของโครงสร้างพื้นฐานด้านไอที และเพื่อการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (www.itil.co.uk )

Ø NIST: the U.S. National Institute of Standards and Technology
· Federal Information Processing Standards: FIPS 199 (Standards for Security Categorization of Federal Information and Information Systems); FIPS 201 (Personal Identity Verification for Federal Employees and Contractors)

Ø Special Publication: SP 800-53 (Feb 2005) -Recommended Security Controls for Federal Information Systems; 800-53A –Techniques and Procedures for Verifying the Effectiveness of Security Controls in Information Systems (Spring 2004)


มาตรฐาน ISO/IEC 27001 คืออะไร
เป็นมาตรฐานการจัดการข้อมูลที่สำคัญเพื่อให้ธุรกิจดำเนินไปอย่างต่อเนื่อง กำหนดขึ้นโดยองค์กรที่มีชื่อเสียงและน่าเชื่อถือระหว่างประเทศ คือ ISO (The International Organization for Standardization) และ IEC (The International Electrotechnical Commission) มาตรฐานนี้เป็นมาตรฐานสากลที่มุ่งเน้นด้านการรักษาความมั่นคงปลอดภัยให้กับระบบสารสนเทศขององค์กร และใช้เป็นมาตรฐานอ้างอิงเพื่อเป็นแนวทางในการเสริมสร้างความมั่นคงปลอดภัยให้กับระบบสารสนเทศขององค์กรอย่างแพร่หลาย โดยแบ่งเนื้อหาออกเป็น 11 หัวข้อใหญ่ๆ (Domain) ซึ่งแต่ละหัวข้อประกอบด้วยวัตถุประสงค์จำนวนแตกต่างกัน รวมแล้วจำนวน 39 วัตถุประสงค์ (Control objectives) และภายใต้วัตถุประสงค์แต่ละข้อประกอบด้วยมาตรการในการรักษาความมั่นคงปลอดภัยแตกต่างกันรวมแล้ว 133 ข้อ ซึ่งสามารถนำไปประยุกต์ใช้เพื่อรักษาความมั่นคงให้กับระบบสารสนเทศขององค์กร

ก่อนที่จะมาเป็นมาตรฐานสากลนี้ มาตรฐาน ISO/IEC 27001 ได้ปรับปรุงมาจากมาตรฐานเดิมที่ชื่อว่า BS 7799-1 และ ISO 17799:2000 ตามลำดับ มาตรฐานนี้จะประกอบด้วยเลขหมายในตระกูล 27000 อีกหลายเลขลำดับ

มาตรฐาน ISO/IEC27001 : ว่าด้วยเรื่องของข้อกำหนดในการจัดทำระบบบริหารจัดการความมั่นคงปลอดภัยหรือ ISMS ให้กับองค์กร ซึ่งมีหัวข้อที่เกี่ยวข้องคือ
1. ขอบเขต (Scope)
2. ศัพท์เทคนิคและนิยาม (Terms and definitions)
3. โครงสร้างของมาตรฐาน (Structure of this standard)
4. การประเมินความเสี่ยงและการจัดการกับความเสี่ยง โดยการ ลด / โอนย้าย / ยอมรับความเสี่ยง (Risk assessment and treatment)

มาตรฐาน ISO/IEC27001 นี้ ปัจจุบันได้รับความนิยมอย่างแพร่หลาย เนื่องจากประกอบด้วยวงจร Plan-Do-Check-Act และใช้แนวทางการประเมอนความเสี่ยงมาประกอบการพิจารณาหาวิธีการหรือมาตรการเพื่อป้องกัน ลดความเสี่ยง และรักษาทรัพย์สินสารสนเทศที่มีค่าขององค์กรให้มีความมั่นคงปลอดภัยในระดับที่เหมาะสม


มาตรฐาน ISO/IEC 17799-2005
ว่าด้วยเรื่องของวิธีปฏิบัติที่จะนำไปสู่ระบบบริหารจัดการความมั่นคงปลอดภัยที่องค์กรได้จัดทำขึ้น ซึ่งต้องเป็นไปตามข้อกำหนดในมาตรฐาน ISO/IEC27001 รายละเอียดของมาตรฐานนี้จะบอกวิธีปฏิบัติในการลดความเสี่ยงที่เกิดจากจุดอ่อนของระบบโดยแบ่งเป็นหัวข้อหลักที่เกี่ยวข้องกับระบบ และให้แนวทางว่าผู้จัดทำควรปฏิบัติอย่างไร ซึ่งผู้ใช้สามารถเพิ่มเติมมาตรการหรือใช้วิธีการที่มีความปลอดภัยเพียงพอ หรือเหมาะสมตามที่องค์กรได้ประเมินไว้

หัวข้อสำคัญหรือ 11 โดเมนหลักในมาตรฐาน ISO/IEC 17799-2005 มีดังนี้
1. นโยบายความมั่นคงปลอดภัยขององค์กร (Security policy)
2. โครสร้างความมั่นคงปลอดภัยภายในองค์กร (Organization of information security)
3. การจัดหมวดหมู่และควบคุมทรัพย์สินขององค์กร (Asset management)
4. มาตรฐานของบุคลากรเพื่อสร้างความปลอดภัยให้กับองค์กร (Human resources security)
5. ความปลอดภัยทางด้านกายภาพและสิ่งแวดล้อมขององค์กร (Physical and environmental security)
6. การบริหารจัดการด้านการสื่อสารและการดำเนินงานของเครือข่ายสารสนเทศขององค์กร (Communications and operations management)
7. การควบคุมการเข้าถึงระบบสารสนเทศขององค์กร (Access control)
8. การพัฒนาดูแลระบบสารสนเทศ (Information systems acquisition, development and maintenance)
9. การบริหารจัดการเหตุการณ์ละเมิดความมั่นคงปลอดภัย (Information security incident management)
10. การบริหารความต่อเนื่องในการดำเนินงานขององค์กร (Business continuity management)
11. การปฏิบัติตามข้อกำหนดทางด้านกฎหมายและบทลงโทษของการละเมิดนโยบาย (Compliance)

กระบวนการจัดการด้านความมั่นคงปลอดภัยสารสนเทศ





เอกสารอ้างอิง

ไม่มีความคิดเห็น:

แสดงความคิดเห็น

สมัครสมาชิก: ส่งความคิดเห็น (Atom)