Club27001 Information Security


  About us
   |   Privacy Policy

    What's New Here?

    การเตรียมตัวก่อนรับการตรวจประเมินขอรับรอง ISO 27001 (ISMS Certification Assessment)


    การเตรียมตัวก่อนรับการตรวจประเมินขอรับรอง ISO 27001

    การเตรียมความพร้อมก่อนรับการตรวจประเมินเพื่อขอการรับรองมาตรฐานมีความสำคัญไม่น้อยไปกว่าการสร้างและดำเนินระบบ  เนื่องจากในการตรวจประเมินองค์กรมีเวลาจำกัดในการแสดงหลักฐานเพื่อให้ผู้ตรวจตรวจประเมินมั่นใจว่ามีมาตรการการจัดการความมั่นคงปลอดภัยของสารสนเทศสอดคล้องตามมาตรฐานที่กำหนดไว้ หากไม่ได้เตรียมพร้อมที่ดีพออาจก่อให้เกิดอุปสรรคในระหว่างการตรวจประเมินได้ เช่น ไม่ได้กำหนดผู้รับผิดชอบในการรับการตรวจประเมิน ไม่มีการเตรียมเอกสารไว้ให้พร้อม หรือบุคลากรขาดความเข้าใจในระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศ  ปัญหาเหล่านี้สะท้อนให้เห็นว่าองค์กรยังขาดความสามารถในการรักษามาตรฐานให้คงอยู่อย่างมีประสิทธิภาพตามวัตถุประสงค์ของมาตรฐาน 

    ดังนั้น องค์กรต้องเตรียมความพร้อมให้สมบูรณ์ทุกด้าน ตั้งแต่การทบทวนว่าประยุกต์ใช้ข้อกำหนดครบถ้วนหรือไม่ การปฏิบัติตามมาตรการที่กำหนดไว้มีประสิทธิภาพเพียงใด รวมถึงผู้ที่เกี่ยวข้องมีความตระหนักและเข้าใจในเรื่องความมั่นคงปลอดภัยของสารสนเทศ และสามารถนำไปปฏิบัติได้ถูกต้องเหมาะสม เป็นต้น 


    ประเด็นสำคัญในการประเมินความพร้อมด้วยตนเองก่อนตรวจประเมินเพื่อขอรับการรับรองมีดังนี้

    ·   องค์กรกำหนดขอบเขตของระบบชัดเจนหรือไม่

    ·   ผู้บริหารมีความมุ่งมั่นและให้การสนับสนุนอย่างเป็นรูปธรรมหรือไม่

    ·   องค์กรเข้าใจข้อกำหนดของมาตรฐานและนำข้อกำหนดของ ISO/IEC 27001 มาประยุกต์ใช้ครบถ้วนหรือไม่

    ·   เอกสารระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศครบถ้วนสมบูรณ์หรือไม่

    ·   องค์กรได้นำระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศไปปฏิบัติครบถ้วนหรือไม่

    ·   ผลลัพธ์ของการดำเนินระบบมีเพียงพอที่จะประเมินความสามารถในการควบคุมจัดการความเสี่ยงต่างๆ หรือไม่

    ·  ผลลัพธ์ของการดำเนินระบบผ่านเกณฑ์หรือเป้าหมายหรือไม่  เช่น การปฏิบัติตามมาตรการลดความเสี่ยงส่งผลให้เกิดเหตุการณ์ไม่พึงประสงค์ (Information security incidents) ทางด้านความมั่นคงปลอดภัยของสารสนเทศลดลงตามเป้าหมาย เป็นต้น

    ·  องค์กรสามารถแสดงหลักฐานการปฏิบัติภายใต้ระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศได้หรือไม่ เพียงพอหรือไม่ เช่น แผนงาน บันทึกการปฏิบัติงาน เป็นต้น

    ·  ผลการดำเนินงานภายใต้ระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศมีประสิทธิภาพเพียงพอต่อการแก้ไขและป้องกันความเสี่ยงในรูปแบบต่างๆ ขององค์กร

    ·  ทุกหน่วยงานมีความเข้าใจในบทบาทและหน้าที่ของตนเองในการปฏิบัติงานภายใต้ระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศ

    การประเมินตนเองด้วยคำถามข้างต้น องค์กรต้องให้คำตอบทุกประเด็นอย่างชัดเจนเป็นรูปธรรม โดยมีเอกสารและหลักฐานต่างๆ  ยืนยัน รวมทั้งมีผลลัพธ์จากการดำเนินระบบที่แสดงให้เห็นว่าองค์กรสามารถจัดการ ควบคุม และลดความเสี่ยงให้อยู่ในระดับที่ยอมรับได้  รวมถึงมีกลไกที่สามารถปรับปรุงระบบให้สอดรับกับการเปลี่ยนแปลงต่าง ๆ เช่น ภัยคุกคามใหม่ และกฎหมายที่ปรับปรุงเพิ่มเติม  และที่สำคัญคือ บุคลากรทุกระดับต้องตระหนักถึงความสำคัญและเข้าใจบทบาทของตนเอง สามารถปฏิบัติตามระบบได้อย่างถูกต้อง ครบถ้วน สม่ำเสมอ และมีประสิทธิภาพ

    การเตรียมตัวก่อนรับการตรวจประเมินขอรับรอง ISO 27001 (ISMS Certification Assessment)

    Posted by pryn No comments


    การเตรียมตัวก่อนรับการตรวจประเมินขอรับรอง ISO 27001

    การเตรียมความพร้อมก่อนรับการตรวจประเมินเพื่อขอการรับรองมาตรฐานมีความสำคัญไม่น้อยไปกว่าการสร้างและดำเนินระบบ  เนื่องจากในการตรวจประเมินองค์กรมีเวลาจำกัดในการแสดงหลักฐานเพื่อให้ผู้ตรวจตรวจประเมินมั่นใจว่ามีมาตรการการจัดการความมั่นคงปลอดภัยของสารสนเทศสอดคล้องตามมาตรฐานที่กำหนดไว้ หากไม่ได้เตรียมพร้อมที่ดีพออาจก่อให้เกิดอุปสรรคในระหว่างการตรวจประเมินได้ เช่น ไม่ได้กำหนดผู้รับผิดชอบในการรับการตรวจประเมิน ไม่มีการเตรียมเอกสารไว้ให้พร้อม หรือบุคลากรขาดความเข้าใจในระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศ  ปัญหาเหล่านี้สะท้อนให้เห็นว่าองค์กรยังขาดความสามารถในการรักษามาตรฐานให้คงอยู่อย่างมีประสิทธิภาพตามวัตถุประสงค์ของมาตรฐาน 

    ดังนั้น องค์กรต้องเตรียมความพร้อมให้สมบูรณ์ทุกด้าน ตั้งแต่การทบทวนว่าประยุกต์ใช้ข้อกำหนดครบถ้วนหรือไม่ การปฏิบัติตามมาตรการที่กำหนดไว้มีประสิทธิภาพเพียงใด รวมถึงผู้ที่เกี่ยวข้องมีความตระหนักและเข้าใจในเรื่องความมั่นคงปลอดภัยของสารสนเทศ และสามารถนำไปปฏิบัติได้ถูกต้องเหมาะสม เป็นต้น 


    ประเด็นสำคัญในการประเมินความพร้อมด้วยตนเองก่อนตรวจประเมินเพื่อขอรับการรับรองมีดังนี้

    ·   องค์กรกำหนดขอบเขตของระบบชัดเจนหรือไม่

    ·   ผู้บริหารมีความมุ่งมั่นและให้การสนับสนุนอย่างเป็นรูปธรรมหรือไม่

    ·   องค์กรเข้าใจข้อกำหนดของมาตรฐานและนำข้อกำหนดของ ISO/IEC 27001 มาประยุกต์ใช้ครบถ้วนหรือไม่

    ·   เอกสารระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศครบถ้วนสมบูรณ์หรือไม่

    ·   องค์กรได้นำระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศไปปฏิบัติครบถ้วนหรือไม่

    ·   ผลลัพธ์ของการดำเนินระบบมีเพียงพอที่จะประเมินความสามารถในการควบคุมจัดการความเสี่ยงต่างๆ หรือไม่

    ·  ผลลัพธ์ของการดำเนินระบบผ่านเกณฑ์หรือเป้าหมายหรือไม่  เช่น การปฏิบัติตามมาตรการลดความเสี่ยงส่งผลให้เกิดเหตุการณ์ไม่พึงประสงค์ (Information security incidents) ทางด้านความมั่นคงปลอดภัยของสารสนเทศลดลงตามเป้าหมาย เป็นต้น

    ·  องค์กรสามารถแสดงหลักฐานการปฏิบัติภายใต้ระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศได้หรือไม่ เพียงพอหรือไม่ เช่น แผนงาน บันทึกการปฏิบัติงาน เป็นต้น

    ·  ผลการดำเนินงานภายใต้ระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศมีประสิทธิภาพเพียงพอต่อการแก้ไขและป้องกันความเสี่ยงในรูปแบบต่างๆ ขององค์กร

    ·  ทุกหน่วยงานมีความเข้าใจในบทบาทและหน้าที่ของตนเองในการปฏิบัติงานภายใต้ระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศ

    การประเมินตนเองด้วยคำถามข้างต้น องค์กรต้องให้คำตอบทุกประเด็นอย่างชัดเจนเป็นรูปธรรม โดยมีเอกสารและหลักฐานต่างๆ  ยืนยัน รวมทั้งมีผลลัพธ์จากการดำเนินระบบที่แสดงให้เห็นว่าองค์กรสามารถจัดการ ควบคุม และลดความเสี่ยงให้อยู่ในระดับที่ยอมรับได้  รวมถึงมีกลไกที่สามารถปรับปรุงระบบให้สอดรับกับการเปลี่ยนแปลงต่าง ๆ เช่น ภัยคุกคามใหม่ และกฎหมายที่ปรับปรุงเพิ่มเติม  และที่สำคัญคือ บุคลากรทุกระดับต้องตระหนักถึงความสำคัญและเข้าใจบทบาทของตนเอง สามารถปฏิบัติตามระบบได้อย่างถูกต้อง ครบถ้วน สม่ำเสมอ และมีประสิทธิภาพ

    การตรวจประเมินเพื่อขอการรับรอง ISO 27001 (Certification Assessment)


    การตรวจประเมินเพื่อขอการรับรอง ISO 27001 (Certification Assessment)

    ISO/IEC 27001 เป็นมาตรฐานที่สามารถตรวจประเมินเพื่อขอการรับรองจากหน่วยรับรอง (Certification body) ซึ่งเป็นการตรวจประเมินประเภทบุคคลที่สาม (Third-party conformity assessment)    องค์กรที่ต้องการประเมินสถานะระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศของตนเอง สามารถขอรับการตรวจประเมินจากหน่วยรับรอง (Certification body) เพื่อแสดงให้เห็นว่าระบบที่จัดทำขึ้นสอดคล้องกับมาตรฐานสากล

    การตรวจประเมินระบบประเภทบุคคลที่สาม (Third-party conformity assessment) ทำให้ผลการตรวจน่าเชื่อถือกว่าองค์กรตรวจประเมินตนเอง  และเป็นการตรวจที่นิยมในระดับสากล โดยหน่วยรับรองที่ให้บริการตรวจประเมินจะต้องมีความน่าเชื่อถือและมีมาตรฐานกำกับดูแล เพื่อให้มั่นใจว่าผลการตรวจประเมินน่าเชื่อถือและตรงตามมาตรฐานสากลที่กำหนดไว้


    Photo by John Schnobrich on Unsplash

    ประโยชน์ของการตรวจประเมินเพื่อขอรับการรับรอง

    ·   สร้างความเชื่อมั่นทางธุรกิจ จุดเด่นที่สำคัญของมาตรฐาน ISO/IEC 27001 คือการสร้างความต่อเนื่องทางธุรกิจ (Business Continuity)  ซึ่งเป็นมาตรการที่สร้างความเชื่อมั่นได้ว่าหากระบบสารสนเทศเกิดความเสียหายหรือเกิดภัยพิบัติส่งผลกระทบต่อกระบวนการธุรกิจที่สำคัญ องค์กรสามารถดำเนินการกู้คืนระบบให้กลับมาอยู่ในระดับที่ยอมรับได้ภายในเวลาที่เหมาะสม  แสดงให้เห็นว่าองค์กรมีการเตรียมความพร้อมเป็นอย่างดีและเป็นการสร้างความเชื่อมั่นให้แก่คู่ค้า

    ·  ภาพลักษณ์ที่เป็นสากล ภาพลักษณ์ขององค์กรมีความสำคัญในการดำเนินธุรกิจ  เพราะสะท้อนมุมมองของบุคคลภายนอกที่มีต่อองค์กร  หากองค์กรมีภาพลักษณ์ที่น่าเชื่อถือในการรักษาความมั่นคงปลอดภัยของสารสนเทศย่อมได้รับความไว้วางใจในผลิตภัณฑ์หรือบริการตามไปด้วย

    ·  สอดคล้องตามกฎหมาย การปฏิบัติตามกฎหมายที่เกี่ยวข้องกับความมั่นคงปลอดภัยของสารสนเทศ เป็นข้อกำหนดที่องค์กรต้องปฏิบัติตามอย่างเคร่งครัดและมีหลักฐานยืนยัน ดังนั้น องค์กรที่ได้รับการรับรองมาตรฐาน ISO/IEC 27001  จึงแสดงให้เห็นว่าองค์กรดำเนินการสอดคล้องตามกฎหมายด้านความมั่นคงปลอดภัยของสารสนเทศ

    ·   รักษาความต่อเนื่องตามมาตรฐาน เมื่อองค์กรผ่านการรับรองมาตรฐานโดยหน่วยรับรอง (Certification body)  ยังมีกลไกการติดตามและทบทวนว่าองค์กรยังคงรักษาระบบสอดคล้องตามมาตรฐานที่เรียกว่า Surveillance Audit ซึ่งหน่วยรับรอง (Certification body)ที่เป็นผู้ตรวจประเมินรับรองระบบเป็นผู้ดำเนินการ โดยติดตามและทบทวนผลการดำเนินงานเป็นระยะๆ ภายในช่วงอายุของการรับรองคือ 3 ปี จะเห็นได้ว่าองค์กรที่ผ่านการรับรองแล้วจะได้รับการตรวจประเมินและทบทวนอย่างต่อเนื่องเพื่อให้มั่นใจว่ายังคงรักษามาตรฐานไว้ได้

    การตรวจประเมินเพื่อขอการรับรอง ISO 27001 (Certification Assessment)

    Posted by pryn No comments


    การตรวจประเมินเพื่อขอการรับรอง ISO 27001 (Certification Assessment)

    ISO/IEC 27001 เป็นมาตรฐานที่สามารถตรวจประเมินเพื่อขอการรับรองจากหน่วยรับรอง (Certification body) ซึ่งเป็นการตรวจประเมินประเภทบุคคลที่สาม (Third-party conformity assessment)    องค์กรที่ต้องการประเมินสถานะระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศของตนเอง สามารถขอรับการตรวจประเมินจากหน่วยรับรอง (Certification body) เพื่อแสดงให้เห็นว่าระบบที่จัดทำขึ้นสอดคล้องกับมาตรฐานสากล

    การตรวจประเมินระบบประเภทบุคคลที่สาม (Third-party conformity assessment) ทำให้ผลการตรวจน่าเชื่อถือกว่าองค์กรตรวจประเมินตนเอง  และเป็นการตรวจที่นิยมในระดับสากล โดยหน่วยรับรองที่ให้บริการตรวจประเมินจะต้องมีความน่าเชื่อถือและมีมาตรฐานกำกับดูแล เพื่อให้มั่นใจว่าผลการตรวจประเมินน่าเชื่อถือและตรงตามมาตรฐานสากลที่กำหนดไว้


    Photo by John Schnobrich on Unsplash

    ประโยชน์ของการตรวจประเมินเพื่อขอรับการรับรอง

    ·   สร้างความเชื่อมั่นทางธุรกิจ จุดเด่นที่สำคัญของมาตรฐาน ISO/IEC 27001 คือการสร้างความต่อเนื่องทางธุรกิจ (Business Continuity)  ซึ่งเป็นมาตรการที่สร้างความเชื่อมั่นได้ว่าหากระบบสารสนเทศเกิดความเสียหายหรือเกิดภัยพิบัติส่งผลกระทบต่อกระบวนการธุรกิจที่สำคัญ องค์กรสามารถดำเนินการกู้คืนระบบให้กลับมาอยู่ในระดับที่ยอมรับได้ภายในเวลาที่เหมาะสม  แสดงให้เห็นว่าองค์กรมีการเตรียมความพร้อมเป็นอย่างดีและเป็นการสร้างความเชื่อมั่นให้แก่คู่ค้า

    ·  ภาพลักษณ์ที่เป็นสากล ภาพลักษณ์ขององค์กรมีความสำคัญในการดำเนินธุรกิจ  เพราะสะท้อนมุมมองของบุคคลภายนอกที่มีต่อองค์กร  หากองค์กรมีภาพลักษณ์ที่น่าเชื่อถือในการรักษาความมั่นคงปลอดภัยของสารสนเทศย่อมได้รับความไว้วางใจในผลิตภัณฑ์หรือบริการตามไปด้วย

    ·  สอดคล้องตามกฎหมาย การปฏิบัติตามกฎหมายที่เกี่ยวข้องกับความมั่นคงปลอดภัยของสารสนเทศ เป็นข้อกำหนดที่องค์กรต้องปฏิบัติตามอย่างเคร่งครัดและมีหลักฐานยืนยัน ดังนั้น องค์กรที่ได้รับการรับรองมาตรฐาน ISO/IEC 27001  จึงแสดงให้เห็นว่าองค์กรดำเนินการสอดคล้องตามกฎหมายด้านความมั่นคงปลอดภัยของสารสนเทศ

    ·   รักษาความต่อเนื่องตามมาตรฐาน เมื่อองค์กรผ่านการรับรองมาตรฐานโดยหน่วยรับรอง (Certification body)  ยังมีกลไกการติดตามและทบทวนว่าองค์กรยังคงรักษาระบบสอดคล้องตามมาตรฐานที่เรียกว่า Surveillance Audit ซึ่งหน่วยรับรอง (Certification body)ที่เป็นผู้ตรวจประเมินรับรองระบบเป็นผู้ดำเนินการ โดยติดตามและทบทวนผลการดำเนินงานเป็นระยะๆ ภายในช่วงอายุของการรับรองคือ 3 ปี จะเห็นได้ว่าองค์กรที่ผ่านการรับรองแล้วจะได้รับการตรวจประเมินและทบทวนอย่างต่อเนื่องเพื่อให้มั่นใจว่ายังคงรักษามาตรฐานไว้ได้

    ระบบเอกสารของ ISO 27001 ( ISMS Documentation) ตอนที่2


    โครงสร้างระบบเอกสารของ ISO 27001


    ในการทำระบบมีการจัดทำเอกสารหลายฉบับ  แต่ละฉบับมีวัตถุประสงค์ในการใช้งานต่างกันมีตั้งแต่เอกสารที่จัดทำเพื่ออธิบายภาพรวมของระบบ ไปจนถึงเอกสารที่อธิบายเชิงเทคนิคในรายละเอียดของการปฏิบัติงาน นอกจากนี้ยังมีเอกสารที่เป็นแบบฟอร์มสำหรับบันทึกอีกหลายรายการที่มีการใช้งานแตกต่างกันไป 

       โดยทั่วไปโครงสร้างเอกสารจะประกอบด้วยเอกสาร 4 ระดับประกอบด้วย
                   ระดับที่1   คู่มือ (Manual)
                   ระดับที่ 2  ระเบียบปฏิบัติ  (Procedure)
                   ระดับที่ 3  วิธีการปฏิบัติ (Work Instruction)
                   ระดับที่ 4  เอกสารสนับสนุนต่างๆ  (Supporting Document) เช่น
        แบบฟอร์ม แผนผัง เป็นต้น




                      คู่มือ (Manual)


    คู่มือเป็นเอกสารที่มีวัตถุประสงค์เพื่ออธิบายภาพรวมทั้งหมดของการจัดทำระบบ
    ตั้งแต่แนะนำองค์กร ระบุขอบเขตการจัดทำระบบ นโยบายการบริหารจัดการความมั่นคงปลอดภัยของสารสนเทศ  ผังโครงสร้างขององค์กร  ไปจนถึงภาพรวมของข้อกำหนดที่นำมาปฏิบัติ ซึ่งเชื่อมโยงไปยังระเบียบปฏิบัติที่เกี่ยวข้องด้วย

                       ระเบียบปฏิบัติ (Procedure)


       เอกสารระดับที่ 2 นี้ ใช้ในการอธิบายสาระสำคัญของเรื่อง ประกอบด้วยเนื้อหาที่ต้องการอธิบายว่าต้องทำอะไรบ้าง ครอบคลุมหัวข้อสำคัญของเรื่องที่ต้องการอธิบายไว้ทั้งหมด  ระเบียบปฏิบัติจะอธิบายรายละเอียดในระดับหนึ่ง ให้เกิดความเข้าใจ กรณีมีประเด็นที่มีรายละเอียดเชิงเทคนิคมาก นิยมนำส่วนนี้ไปเขียนเป็นวิธีการปฏิบัติ (Work Instruction) เพื่อความสะดวกในการใช้งาน และการควบคุมเอกสาร  เช่น ระเบียบปฏิบัติเรื่องการบริหารเครือข่าย ซึ่งครอบคลุมประเด็นสำคัญที่เกี่ยวข้องกับการบริหารเครือข่ายทั้งหมด  ส่วนขั้นตอนการปฏิบัติงานเชิงปฏิบัติจะเขียนเป็นวิธีปฏิบัติงาน เช่น วิธีปฏิบัติงานเรื่อง การเฝ้าระวังเครือข่าย  เป็นต้น

                       วิธีปฏิบัติงาน (Work Instruction)


       วิธีปฏิบัติงาน เน้นอธิบายขั้นตอน รายละเอียดอย่างชัดเจนเฉพาะเจาะจงในเรื่องใดเรื่องหนึ่งที่ไม่ได้อธิบายไว้ในระเบียบปฏิบัติ   เอกสารระดับที่ 3 นี้ จะมีการอ้างอิงมาจากระเบียบปฏิบัติ เพื่ออธิบายเชิงลึกและขยายความในรายละเอียด

                       เอกสารสนับสนุน (Supporting Document)


       ในการปฏิบัติงานจะพบว่ามีเอกสารอื่นที่จำเป็นต้องใช้งานนอกเหนือจากคู่มือ ระเบียบปฏิบัติ และวิธีการปฏิบัติงาน  ซึ่งเอกสารดังกล่าวนี้สามารถจัดให้อยู่ในระดับที่ 4 โดยส่วนใหญ่จะประกอบด้วย แบบฟอร์ม  แผนผังเครือข่าย  คู่มืออุปกรณ์(Equipment manual)  รวมถึงเอกสารอื่นๆที่เกี่ยวข้อง  เป็นต้น 

    จะเห็นได้ว่าโครงสร้างเอกสารมีความจำเป็นในการจัดระเบียบเอกสารทั้งหมดให้เป็นหมวดหมู่ที่ชัดเจน และกำหนดความเชื่อมโยงของเอกสารทั้งระบบ  การควบคุมเอกสารที่มีประสิทธิภาพนั้น จะต้องแสดงความสัมพันธ์ของเอกสารทั้งหมดที่อยู่ในระบบได้ว่า เอกสารเรื่องนั้นเชื่อมโยงกับเอกสารใดที่อยู่ระดับสูงกว่า และเชื่อมโยงกับเอกสารใดที่อยู่ระดับต่ำกว่าด้วย เช่น พิจารณาที่ระเบียบปฏิบัติเรื่องการบริหารเครือข่าย จะต้องเชื่อมโยงไปยังคู่มือ(Manual) ซึ่งมีการอธิบายแนวทางปฏิบัติของข้อกำหนดต่างๆ  และมีข้อหนดที่อ้างอิงมายังระเบียบปฏิบัติเรื่องนี้ด้วย  นอกจากนี้ระเบียบปฏิบัติเรื่องการบริหารเครือข่ายยังอ้างอิงถึงแบบฟอร์มที่ใช้บันทึกผลการปฏิบัติงาน ซึ่งเป็นเอกสารในระดับ4  จะเห็นได้ว่าเอกสารทั้งหมดเชื่อมโยงกันอย่างเป็นระบบชัดเจน

    ระบบเอกสารของ ISO 27001 ( ISMS Documentation) ตอนที่2

    Posted by pryn No comments


    โครงสร้างระบบเอกสารของ ISO 27001


    ในการทำระบบมีการจัดทำเอกสารหลายฉบับ  แต่ละฉบับมีวัตถุประสงค์ในการใช้งานต่างกันมีตั้งแต่เอกสารที่จัดทำเพื่ออธิบายภาพรวมของระบบ ไปจนถึงเอกสารที่อธิบายเชิงเทคนิคในรายละเอียดของการปฏิบัติงาน นอกจากนี้ยังมีเอกสารที่เป็นแบบฟอร์มสำหรับบันทึกอีกหลายรายการที่มีการใช้งานแตกต่างกันไป 

       โดยทั่วไปโครงสร้างเอกสารจะประกอบด้วยเอกสาร 4 ระดับประกอบด้วย
                   ระดับที่1   คู่มือ (Manual)
                   ระดับที่ 2  ระเบียบปฏิบัติ  (Procedure)
                   ระดับที่ 3  วิธีการปฏิบัติ (Work Instruction)
                   ระดับที่ 4  เอกสารสนับสนุนต่างๆ  (Supporting Document) เช่น
        แบบฟอร์ม แผนผัง เป็นต้น




                      คู่มือ (Manual)


    คู่มือเป็นเอกสารที่มีวัตถุประสงค์เพื่ออธิบายภาพรวมทั้งหมดของการจัดทำระบบ
    ตั้งแต่แนะนำองค์กร ระบุขอบเขตการจัดทำระบบ นโยบายการบริหารจัดการความมั่นคงปลอดภัยของสารสนเทศ  ผังโครงสร้างขององค์กร  ไปจนถึงภาพรวมของข้อกำหนดที่นำมาปฏิบัติ ซึ่งเชื่อมโยงไปยังระเบียบปฏิบัติที่เกี่ยวข้องด้วย

                       ระเบียบปฏิบัติ (Procedure)


       เอกสารระดับที่ 2 นี้ ใช้ในการอธิบายสาระสำคัญของเรื่อง ประกอบด้วยเนื้อหาที่ต้องการอธิบายว่าต้องทำอะไรบ้าง ครอบคลุมหัวข้อสำคัญของเรื่องที่ต้องการอธิบายไว้ทั้งหมด  ระเบียบปฏิบัติจะอธิบายรายละเอียดในระดับหนึ่ง ให้เกิดความเข้าใจ กรณีมีประเด็นที่มีรายละเอียดเชิงเทคนิคมาก นิยมนำส่วนนี้ไปเขียนเป็นวิธีการปฏิบัติ (Work Instruction) เพื่อความสะดวกในการใช้งาน และการควบคุมเอกสาร  เช่น ระเบียบปฏิบัติเรื่องการบริหารเครือข่าย ซึ่งครอบคลุมประเด็นสำคัญที่เกี่ยวข้องกับการบริหารเครือข่ายทั้งหมด  ส่วนขั้นตอนการปฏิบัติงานเชิงปฏิบัติจะเขียนเป็นวิธีปฏิบัติงาน เช่น วิธีปฏิบัติงานเรื่อง การเฝ้าระวังเครือข่าย  เป็นต้น

                       วิธีปฏิบัติงาน (Work Instruction)


       วิธีปฏิบัติงาน เน้นอธิบายขั้นตอน รายละเอียดอย่างชัดเจนเฉพาะเจาะจงในเรื่องใดเรื่องหนึ่งที่ไม่ได้อธิบายไว้ในระเบียบปฏิบัติ   เอกสารระดับที่ 3 นี้ จะมีการอ้างอิงมาจากระเบียบปฏิบัติ เพื่ออธิบายเชิงลึกและขยายความในรายละเอียด

                       เอกสารสนับสนุน (Supporting Document)


       ในการปฏิบัติงานจะพบว่ามีเอกสารอื่นที่จำเป็นต้องใช้งานนอกเหนือจากคู่มือ ระเบียบปฏิบัติ และวิธีการปฏิบัติงาน  ซึ่งเอกสารดังกล่าวนี้สามารถจัดให้อยู่ในระดับที่ 4 โดยส่วนใหญ่จะประกอบด้วย แบบฟอร์ม  แผนผังเครือข่าย  คู่มืออุปกรณ์(Equipment manual)  รวมถึงเอกสารอื่นๆที่เกี่ยวข้อง  เป็นต้น 

    จะเห็นได้ว่าโครงสร้างเอกสารมีความจำเป็นในการจัดระเบียบเอกสารทั้งหมดให้เป็นหมวดหมู่ที่ชัดเจน และกำหนดความเชื่อมโยงของเอกสารทั้งระบบ  การควบคุมเอกสารที่มีประสิทธิภาพนั้น จะต้องแสดงความสัมพันธ์ของเอกสารทั้งหมดที่อยู่ในระบบได้ว่า เอกสารเรื่องนั้นเชื่อมโยงกับเอกสารใดที่อยู่ระดับสูงกว่า และเชื่อมโยงกับเอกสารใดที่อยู่ระดับต่ำกว่าด้วย เช่น พิจารณาที่ระเบียบปฏิบัติเรื่องการบริหารเครือข่าย จะต้องเชื่อมโยงไปยังคู่มือ(Manual) ซึ่งมีการอธิบายแนวทางปฏิบัติของข้อกำหนดต่างๆ  และมีข้อหนดที่อ้างอิงมายังระเบียบปฏิบัติเรื่องนี้ด้วย  นอกจากนี้ระเบียบปฏิบัติเรื่องการบริหารเครือข่ายยังอ้างอิงถึงแบบฟอร์มที่ใช้บันทึกผลการปฏิบัติงาน ซึ่งเป็นเอกสารในระดับ4  จะเห็นได้ว่าเอกสารทั้งหมดเชื่อมโยงกันอย่างเป็นระบบชัดเจน

    ระบบเอกสารของ ISO 27001 ( ISMS Documentation) ตอนที่1


    ระบบเอกสารของ ISO 27001 ( ISMS Documentation) ตอนที่1 


    องค์ความรู้ที่เกิดขึ้นจากการจัดทำระบบ หากไม่มีการบันทึกหรือจัดเก็บอย่างเป็นระเบียบ ชัดเจนแล้ว อาจสร้างปัญหาในระยะยาวได้  ในทางตรงกันข้าม หากมีการบันทึกองค์ความรู้ มาตรการ ขั้นตอนต่างๆ เป็นเอกสาร จะช่วยให้องค์ความรู้นั้นคงอยู่กับองค์กร ไม่ใช่คงอยู่กับตัวบุคคล  นอกจากนี้การมีเอกสารช่วยให้ผู้ต้องการทราบข้อมูลสามารถศึกษาจากเอกสารได้โดยตรง แม้ว่าตัวบุคคลที่เกี่ยวข้องกับองค์ความรู้นั้นอาจไม่อยู่กับองค์กรแล้วก็ตาม

    Photo by Viktor Talashuk on Unsplash

    หลักการควบคุมเอกสาร

       เอกสารในระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศ จำเป็นต้องมีการควบคุมเพื่อให้การบริหารงานมีประสิทธิภาพ ซึ่งการควบคุมเอกสารที่ได้มาตรฐานนั้นทำให้มั่นใจได้ว่า
    §          ระบบเอกสารมีโครงสร้างชัดเจน
    §          เอกสารได้ผ่านการทบทวนและอนุมัติจากผู้มีอำนาจ
    §          ที่หน่วยงานมีเอกสารฉบับล่าสุดและพร้อมใช้งานเสมอ
    §          เอกสารผ่านการอนุมัติ ก่อนการแก้ไข เปลี่ยนแปลง ยกเลิกหรือทำลาย

    ระบบเอกสารของ ISO 27001 ( ISMS Documentation) ตอนที่1

    Posted by pryn No comments


    ระบบเอกสารของ ISO 27001 ( ISMS Documentation) ตอนที่1 


    องค์ความรู้ที่เกิดขึ้นจากการจัดทำระบบ หากไม่มีการบันทึกหรือจัดเก็บอย่างเป็นระเบียบ ชัดเจนแล้ว อาจสร้างปัญหาในระยะยาวได้  ในทางตรงกันข้าม หากมีการบันทึกองค์ความรู้ มาตรการ ขั้นตอนต่างๆ เป็นเอกสาร จะช่วยให้องค์ความรู้นั้นคงอยู่กับองค์กร ไม่ใช่คงอยู่กับตัวบุคคล  นอกจากนี้การมีเอกสารช่วยให้ผู้ต้องการทราบข้อมูลสามารถศึกษาจากเอกสารได้โดยตรง แม้ว่าตัวบุคคลที่เกี่ยวข้องกับองค์ความรู้นั้นอาจไม่อยู่กับองค์กรแล้วก็ตาม

    Photo by Viktor Talashuk on Unsplash

    หลักการควบคุมเอกสาร

       เอกสารในระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศ จำเป็นต้องมีการควบคุมเพื่อให้การบริหารงานมีประสิทธิภาพ ซึ่งการควบคุมเอกสารที่ได้มาตรฐานนั้นทำให้มั่นใจได้ว่า
    §          ระบบเอกสารมีโครงสร้างชัดเจน
    §          เอกสารได้ผ่านการทบทวนและอนุมัติจากผู้มีอำนาจ
    §          ที่หน่วยงานมีเอกสารฉบับล่าสุดและพร้อมใช้งานเสมอ
    §          เอกสารผ่านการอนุมัติ ก่อนการแก้ไข เปลี่ยนแปลง ยกเลิกหรือทำลาย

    ISO 27001 ตัวแทนฝ่ายบริหารฯ (ISMR) ต้องรู้อะไรบ้าง


             ตัวแทนฝ่ายบริหารระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศ(ISMR: Information Security Management Representative) คือ ผู้ที่ดูแลรับผิดชอบภาพรวมทั้งหมดของระบบฯ ทั้งด้านการวางระบบ และการนำระบบไปปฏิบัติจริง (Design & Implementation)

             ดังนั้น ISMRจึงต้องมีความรู้และความเข้าใจอย่างเพียงพอ  เข้าใจบริบทองค์กรและเข้าใจในมาตรฐาน ISO 27001  ความเข้าใจนี้แหละที่เป็นฟันเฟืองสำคัญในการสร้างระบบฯที่เหมาะสมกับองค์กรและเกิดผลลัพธ์ที่เป็นประโยชน์อย่างแท้จริง

    three men sitting while using laptops and watching man beside whiteboard


    Photo by Austin Distel on Unsplash   



    ISMR จะต้องเข้าใจภาพรวมของระบบ ISO 27001  ทั้งหมด ได้แก่


    เข้าใจบริบทองค์กร 
    คือเข้าใจว่าองค์กรก่อตั้งขึ้นมาเพื่อวัตถุประสงค์อะไร  ถ้าป็นเอกชนก็ตั้งขึ้นมาเพื่อทำธุรกิจ(เช่น บริการขนส่งสินค้า) ถ้าเป็นราชการก็ตั้งขึ้นมาเพื่อบริการประชาชน(เช่น โรงพยาบาลรัฐ ) เป็นต้น


    ·       รู้ว่ามี Stakeholder อะไรบ้างที่เกี่ยวข้องกับองค์กร 
         Stakeholder คือผู้มีส่วนเกี่ยวข้องกับองค์กร เช่น ผู้ถือหุ้น ลูกค้า ผู้ให้บริการ พนักงาน เป็นต้น

    ·        รู้ว่า Stakeholder มีความคาดหวังอะไรต่อองค์กร 
          เช่น ลูกค้าคาดหวังว่าองค์กรจะดูแลข้อมูลสารสนเทศให้มั่นคงปลอดภัย ไม่รั่วไหลหรือสูญหาย เป็นต้น

    ·        รู้ว่าองค์กรมีระบบสารสนเทศอะไรบ้างที่ตอบสนอง stakeholder  
          เช่นระบบ Email สำหรับเจ้าหน้าที่และติดต่อลูกค้า, web site สำหรับลูกค้า ผู้สนใจ  เป็นต้น

    ·        เข้าใจ Risk Management framework   
          ซึ่งเริ่มจาก อุปกรณ์สารสนเทศของเรามีช่องโหว่ (ด้าน  hardware,software,people)  ซึ่งมีโอกาสที่ภัยคุกคามจะโจมตี  โอกาสที่จะถูกโจมตีและเกิดผลกระทบเสียหายนี้  เราเรียกว่า “ความเสี่ยง” ดังนั้น จึงต้องประเมินความเสี่ยงของสารสนเทศให้ครอบคลุมทุกระบบงาน (ภายใน scope ที่ขอการรับรอง) 

    ISO 27001 ตัวแทนฝ่ายบริหารฯ (ISMR) ต้องรู้อะไรบ้าง

    Posted by pryn No comments


             ตัวแทนฝ่ายบริหารระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศ(ISMR: Information Security Management Representative) คือ ผู้ที่ดูแลรับผิดชอบภาพรวมทั้งหมดของระบบฯ ทั้งด้านการวางระบบ และการนำระบบไปปฏิบัติจริง (Design & Implementation)

             ดังนั้น ISMRจึงต้องมีความรู้และความเข้าใจอย่างเพียงพอ  เข้าใจบริบทองค์กรและเข้าใจในมาตรฐาน ISO 27001  ความเข้าใจนี้แหละที่เป็นฟันเฟืองสำคัญในการสร้างระบบฯที่เหมาะสมกับองค์กรและเกิดผลลัพธ์ที่เป็นประโยชน์อย่างแท้จริง

    three men sitting while using laptops and watching man beside whiteboard


    Photo by Austin Distel on Unsplash   



    ISMR จะต้องเข้าใจภาพรวมของระบบ ISO 27001  ทั้งหมด ได้แก่


    เข้าใจบริบทองค์กร 
    คือเข้าใจว่าองค์กรก่อตั้งขึ้นมาเพื่อวัตถุประสงค์อะไร  ถ้าป็นเอกชนก็ตั้งขึ้นมาเพื่อทำธุรกิจ(เช่น บริการขนส่งสินค้า) ถ้าเป็นราชการก็ตั้งขึ้นมาเพื่อบริการประชาชน(เช่น โรงพยาบาลรัฐ ) เป็นต้น


    ·       รู้ว่ามี Stakeholder อะไรบ้างที่เกี่ยวข้องกับองค์กร 
         Stakeholder คือผู้มีส่วนเกี่ยวข้องกับองค์กร เช่น ผู้ถือหุ้น ลูกค้า ผู้ให้บริการ พนักงาน เป็นต้น

    ·        รู้ว่า Stakeholder มีความคาดหวังอะไรต่อองค์กร 
          เช่น ลูกค้าคาดหวังว่าองค์กรจะดูแลข้อมูลสารสนเทศให้มั่นคงปลอดภัย ไม่รั่วไหลหรือสูญหาย เป็นต้น

    ·        รู้ว่าองค์กรมีระบบสารสนเทศอะไรบ้างที่ตอบสนอง stakeholder  
          เช่นระบบ Email สำหรับเจ้าหน้าที่และติดต่อลูกค้า, web site สำหรับลูกค้า ผู้สนใจ  เป็นต้น

    ·        เข้าใจ Risk Management framework   
          ซึ่งเริ่มจาก อุปกรณ์สารสนเทศของเรามีช่องโหว่ (ด้าน  hardware,software,people)  ซึ่งมีโอกาสที่ภัยคุกคามจะโจมตี  โอกาสที่จะถูกโจมตีและเกิดผลกระทบเสียหายนี้  เราเรียกว่า “ความเสี่ยง” ดังนั้น จึงต้องประเมินความเสี่ยงของสารสนเทศให้ครอบคลุมทุกระบบงาน (ภายใน scope ที่ขอการรับรอง) 

    ปัญหาที่พบบ่อยและวิธีป้องกันในการตรวจประเมินภายใน Internal Audit ISO 27001:2013


    •     เอกสารยังไม่เสร็จสมบูรณ์ทั้งระบบ มีเอกสารบางส่วนเสร็จก่อน ได้แจกจ่ายไปยังหน่วยงาน (บางทีแจกเช้าวัน Audit ก็เคยเจอ) ขณะเดียวกันเอกสารบางส่วนยังทำไม่เสร็จ
        วิธีป้องกัน :  เร่งทำเอกสารให้เสร็จ และแจกจ่ายให้หน่วยงานเอาไปศึกษาและปฏิบัติ (อย่างน้อย 2 อาทิตย์ก่อน Audit)
       
    •     หน่วยงานที่ถูกตรวจไม่ได้ปฏิบัติตามเอกสาร  ซึ่งมีหลายสาเหตุ ไม่ว่าจะเป็นกรณีเพิ่งได้รับเอกสาร หรือได้รับนานแล้วแต่ไม่สนใจ เพราะมีงานอื่นด่วนกว่า
        วิธีป้องกัน : CEO หรือผู้บริหารเบอร์ 1 ของหน่วยงาน  ประกาศRoadmap ว่าจะขอ Certificate อย่างเป็นทางการภายในสิ้นปี (กำหนดช่วงเวลาให้ชัดเจนไปเลย) แต่ละหน่วยงานก็จะรับรู้และให้ความสำคัญเพราะไม่อยากเป็นตัวถ่วง
       
    •     ผู้ตรวจประเมินภายใน ขาดทักษะในการตรวจเป็นปัญหาคลาสสิกเลยทีเดียว ส่วนใหญ่พอลงตรวจครั้งแรกก็มักเจอปัญหาไม่รู้จะถามอะไร จะดูอะไร เพราะยังใหม่กับระบบนี้
        วิธีป้องกัน : ควรเลือกผู้ตรวจฯที่มีประสบการณ์ตรวจประเมินระบบ ISO มาก่อนจะดีมาก เพราะหลักการเหมือนกันต่างกันแค่เนื้อหา  แต่ถ้าไม่มีก็เลือกคนที่มีประสบการณ์ทำงานอย่างน้อย 2ปี ซึ่งพอจะทำความเข้าใจหน่วยงานที่ไปตรวจได้ไม่ยาก   เคล็ดลับสำคัญของการจัดทีมตรวจประเมิน คือ แจกงานให้ผู้ตรวจทุกคนมีหัวข้อตรวจสอบเป็นของตัวเองอย่างชัดเจน และโฟกัสที่หัวข้อของตัวเองเป็นหลัก  วิธีนี้จะทำให้ผู้ตรวจมีสมาธิกับงานของตัวเอง  
       
    •     หน่วยงานที่ถูกตรวจ ไม่มีบันทึกหรือไม่มีเนื้องานให้ตรวจ ปัญหานี้เกิดจากเพิ่งเริ่มทำระบบได้ไม่นาน กิจกรรมบางอย่างยังไม่เกิดก็เลยไม่มีบันทึกหรือเนื้องานให้ตรวจ เช่น การตรวจสอบการถอนสิทธิ์ Access เข้าระบบงาน ภายหลังพนักงานลาออก กรณีนี้ถ้ายังไม่มีพนักงานลาออกก็ยังไม่มีบันทึกหรือเนื้องานให้ตรวจ
        วิธีป้องกัน :  ผู้ตรวจฯ สามารถสอบถามเชิงสมมติ เช่น สมมติว่ามีคนลาออกเมื่อวาน จะต้องทำอะไรบ้าง ให้เค้าอธิบายและแสดงวิธีการทำงานให้ดู เป็นต้น
       
    •     ผู้ตรวจประเมินภายใน บันทึกสิ่งที่พบ (Audit Finding) ไม่ชัดเจน สรุปไม่ได้ว่าเป็นข้อบกพร่องหรือปล่าว เกิดปัญหาตอนสรุปผลการตรวจ กรณีนี้ผู้ตรวจก็มักยกประโยชน์ให้จำเลย ไม่เขียนไว้ในรายงาน
        วิธีป้องกัน : ฝึกฝนผู้ตรวจประเมินให้มีทักษะการบันทึก  หลายๆองค์กรมีการซักซ้อมกันลงตรวจจริง ถ้าเจอปัญหาก็จะได้แก้ไขเสียก่อน
       
    •     เรื่องการจัดสรรเวลาสำหรับตรวจประเมินก็สำคัญ  หลายที่มักให้เวลาตรวจเท่าๆกัน เช่น 1.5 ชม. เท่ากันหมดทุกหน่วยงาน  แล้วก็มักเจอปัญหาบางหน่วยงานมีเนื้องานน้อย ตรวจจริงๆแค่ 45 นาที  ในขณะที่ บางหน่วยงานมีเนื้องานเยอะ เวลา 1.5 ชม.ตรวจได้แค่ครึ่งเดียวก็มี
        วิธีป้องกัน : ตอนกำหนดช่วงเวลาสำหรับตรวจประเมิน ให้ดูเนื้องานของหน่วยงานประกอบด้วย เช่น หากเป็นงานออฟฟิศหรืองานเชิงเอกสาร ไม่ได้ใช้ระบบงานที่ซับซ้อน แบบนี้ใช้เวลาไม่มาก 1 ชม. น่าจะพอ  แต่หากเป็นการตรวจหน่วยงานที่มีเนื้องานเยอะ เช่นหน่วยงานไอที   มีการเรียกดูข้อมูลหลายประเด็น ทั้งด้าน Hardware , Software และเรื่องเชิงเทคนิคในการจัดการความมั่งคงปลอดภัยของสารสนเทศ  เนื้องานเยอะแบบนี้ แน่นอนว่าต้องใช้เวลาเยอะกว่าการตรวจงานออฟฟิศทั่วไปแน่

    ปัญหาที่พบบ่อยและวิธีป้องกันในการตรวจประเมินภายใน Internal Audit ISO 27001:2013

    Posted by pryn No comments


    •     เอกสารยังไม่เสร็จสมบูรณ์ทั้งระบบ มีเอกสารบางส่วนเสร็จก่อน ได้แจกจ่ายไปยังหน่วยงาน (บางทีแจกเช้าวัน Audit ก็เคยเจอ) ขณะเดียวกันเอกสารบางส่วนยังทำไม่เสร็จ
        วิธีป้องกัน :  เร่งทำเอกสารให้เสร็จ และแจกจ่ายให้หน่วยงานเอาไปศึกษาและปฏิบัติ (อย่างน้อย 2 อาทิตย์ก่อน Audit)
       
    •     หน่วยงานที่ถูกตรวจไม่ได้ปฏิบัติตามเอกสาร  ซึ่งมีหลายสาเหตุ ไม่ว่าจะเป็นกรณีเพิ่งได้รับเอกสาร หรือได้รับนานแล้วแต่ไม่สนใจ เพราะมีงานอื่นด่วนกว่า
        วิธีป้องกัน : CEO หรือผู้บริหารเบอร์ 1 ของหน่วยงาน  ประกาศRoadmap ว่าจะขอ Certificate อย่างเป็นทางการภายในสิ้นปี (กำหนดช่วงเวลาให้ชัดเจนไปเลย) แต่ละหน่วยงานก็จะรับรู้และให้ความสำคัญเพราะไม่อยากเป็นตัวถ่วง
       
    •     ผู้ตรวจประเมินภายใน ขาดทักษะในการตรวจเป็นปัญหาคลาสสิกเลยทีเดียว ส่วนใหญ่พอลงตรวจครั้งแรกก็มักเจอปัญหาไม่รู้จะถามอะไร จะดูอะไร เพราะยังใหม่กับระบบนี้
        วิธีป้องกัน : ควรเลือกผู้ตรวจฯที่มีประสบการณ์ตรวจประเมินระบบ ISO มาก่อนจะดีมาก เพราะหลักการเหมือนกันต่างกันแค่เนื้อหา  แต่ถ้าไม่มีก็เลือกคนที่มีประสบการณ์ทำงานอย่างน้อย 2ปี ซึ่งพอจะทำความเข้าใจหน่วยงานที่ไปตรวจได้ไม่ยาก   เคล็ดลับสำคัญของการจัดทีมตรวจประเมิน คือ แจกงานให้ผู้ตรวจทุกคนมีหัวข้อตรวจสอบเป็นของตัวเองอย่างชัดเจน และโฟกัสที่หัวข้อของตัวเองเป็นหลัก  วิธีนี้จะทำให้ผู้ตรวจมีสมาธิกับงานของตัวเอง  
       
    •     หน่วยงานที่ถูกตรวจ ไม่มีบันทึกหรือไม่มีเนื้องานให้ตรวจ ปัญหานี้เกิดจากเพิ่งเริ่มทำระบบได้ไม่นาน กิจกรรมบางอย่างยังไม่เกิดก็เลยไม่มีบันทึกหรือเนื้องานให้ตรวจ เช่น การตรวจสอบการถอนสิทธิ์ Access เข้าระบบงาน ภายหลังพนักงานลาออก กรณีนี้ถ้ายังไม่มีพนักงานลาออกก็ยังไม่มีบันทึกหรือเนื้องานให้ตรวจ
        วิธีป้องกัน :  ผู้ตรวจฯ สามารถสอบถามเชิงสมมติ เช่น สมมติว่ามีคนลาออกเมื่อวาน จะต้องทำอะไรบ้าง ให้เค้าอธิบายและแสดงวิธีการทำงานให้ดู เป็นต้น
       
    •     ผู้ตรวจประเมินภายใน บันทึกสิ่งที่พบ (Audit Finding) ไม่ชัดเจน สรุปไม่ได้ว่าเป็นข้อบกพร่องหรือปล่าว เกิดปัญหาตอนสรุปผลการตรวจ กรณีนี้ผู้ตรวจก็มักยกประโยชน์ให้จำเลย ไม่เขียนไว้ในรายงาน
        วิธีป้องกัน : ฝึกฝนผู้ตรวจประเมินให้มีทักษะการบันทึก  หลายๆองค์กรมีการซักซ้อมกันลงตรวจจริง ถ้าเจอปัญหาก็จะได้แก้ไขเสียก่อน
       
    •     เรื่องการจัดสรรเวลาสำหรับตรวจประเมินก็สำคัญ  หลายที่มักให้เวลาตรวจเท่าๆกัน เช่น 1.5 ชม. เท่ากันหมดทุกหน่วยงาน  แล้วก็มักเจอปัญหาบางหน่วยงานมีเนื้องานน้อย ตรวจจริงๆแค่ 45 นาที  ในขณะที่ บางหน่วยงานมีเนื้องานเยอะ เวลา 1.5 ชม.ตรวจได้แค่ครึ่งเดียวก็มี
        วิธีป้องกัน : ตอนกำหนดช่วงเวลาสำหรับตรวจประเมิน ให้ดูเนื้องานของหน่วยงานประกอบด้วย เช่น หากเป็นงานออฟฟิศหรืองานเชิงเอกสาร ไม่ได้ใช้ระบบงานที่ซับซ้อน แบบนี้ใช้เวลาไม่มาก 1 ชม. น่าจะพอ  แต่หากเป็นการตรวจหน่วยงานที่มีเนื้องานเยอะ เช่นหน่วยงานไอที   มีการเรียกดูข้อมูลหลายประเด็น ทั้งด้าน Hardware , Software และเรื่องเชิงเทคนิคในการจัดการความมั่งคงปลอดภัยของสารสนเทศ  เนื้องานเยอะแบบนี้ แน่นอนว่าต้องใช้เวลาเยอะกว่าการตรวจงานออฟฟิศทั่วไปแน่

    โอบาม่ามาเข้ม Cybersecurity เฮียเอาจริงนะรู้ยัง

    1 เม.ย. เป็นวันโกหกโลก มีข่าวชิ้นนึงที่หลายคนคิดว่าเป็นมุข นั่นคือ ข่าวโอบาม่าประกาศเอาจริงกับภัยคุกคามทุกรูปแบบของ Cybersecurity ที่มุ่งโจมตีสหรัฐ

    ข่าวนี้เล่นเอาสื่อทุกสำนักตรวจสอบกันฝุ่นตลบจนแน่ใจว่าเป็นเรื่องจริง (แต่ดันมาประกาศวันโกหกโลกเนี่ยนะ !!!)

    ประกาศนี้ให้อำนาจหน่วยงานที่เกี่ยวข้องของ US ทำการแซงชั่นบุคคล หรือองค์กรหรือกลุ่มต่างๆ ที่เกี่ยวข้องกับการโจมตีสหรัฐ ไม่ว่าจะเป็นการโจมตีรูปแบบใด เช่นพยายามเจาะระบบ พยายามล่มเครือข่าย หรืออื่นๆ

    นอกจากนี้สหรัฐยังสามารถระงับ    ธุรกรรมใดๆ ที่เชื่อมโยงกับกลุ่มต่อต้าน หรือตรวจค้น ยึดทรัพย์สินไว้ตรวจสอบ ฯลฯ เรียกว่า งานนี้ โอบาม่าจัดเต็ม !!!

    คนที่เงิบตอนนี้คือ นายสโนเดน (Edward Snowden) ที่โดนตัดท่อน้ำเลี้ยงจากประกาศฉบับนี้

    หนังชีวิตต้องดูกันยาวๆ มหากาพย์เรื่องนี้แค่เริ่มต้น ยังมีอะไรให้ตื่นเต้นอีกเยอะ ......

    source :
    http://www.zdnet.com/article/snowden-donations-rocket-after-obamas-cybersecurity-order-outlaws-fund/

    โอบาม่ามาเข้ม Cybersecurity เฮียเอาจริงนะรู้ยัง

    Posted by pryn No comments

    1 เม.ย. เป็นวันโกหกโลก มีข่าวชิ้นนึงที่หลายคนคิดว่าเป็นมุข นั่นคือ ข่าวโอบาม่าประกาศเอาจริงกับภัยคุกคามทุกรูปแบบของ Cybersecurity ที่มุ่งโจมตีสหรัฐ

    ข่าวนี้เล่นเอาสื่อทุกสำนักตรวจสอบกันฝุ่นตลบจนแน่ใจว่าเป็นเรื่องจริง (แต่ดันมาประกาศวันโกหกโลกเนี่ยนะ !!!)

    ประกาศนี้ให้อำนาจหน่วยงานที่เกี่ยวข้องของ US ทำการแซงชั่นบุคคล หรือองค์กรหรือกลุ่มต่างๆ ที่เกี่ยวข้องกับการโจมตีสหรัฐ ไม่ว่าจะเป็นการโจมตีรูปแบบใด เช่นพยายามเจาะระบบ พยายามล่มเครือข่าย หรืออื่นๆ

    นอกจากนี้สหรัฐยังสามารถระงับ    ธุรกรรมใดๆ ที่เชื่อมโยงกับกลุ่มต่อต้าน หรือตรวจค้น ยึดทรัพย์สินไว้ตรวจสอบ ฯลฯ เรียกว่า งานนี้ โอบาม่าจัดเต็ม !!!

    คนที่เงิบตอนนี้คือ นายสโนเดน (Edward Snowden) ที่โดนตัดท่อน้ำเลี้ยงจากประกาศฉบับนี้

    หนังชีวิตต้องดูกันยาวๆ มหากาพย์เรื่องนี้แค่เริ่มต้น ยังมีอะไรให้ตื่นเต้นอีกเยอะ ......

    source :
    http://www.zdnet.com/article/snowden-donations-rocket-after-obamas-cybersecurity-order-outlaws-fund/

    Latest Tweets

    ขับเคลื่อนโดย Blogger.
    back to top