Club27001 Information Security


  About us
   |   Privacy Policy

    What's New Here?

    ปัญหาที่พบบ่อยและวิธีป้องกันในการตรวจประเมินภายใน Internal Audit ISO 27001:2013


    •     เอกสารยังไม่เสร็จสมบูรณ์ทั้งระบบ มีเอกสารบางส่วนเสร็จก่อน ได้แจกจ่ายไปยังหน่วยงาน (บางทีแจกเช้าวัน Audit ก็เคยเจอ) ขณะเดียวกันเอกสารบางส่วนยังทำไม่เสร็จ
        วิธีป้องกัน :  เร่งทำเอกสารให้เสร็จ และแจกจ่ายให้หน่วยงานเอาไปศึกษาและปฏิบัติ (อย่างน้อย 2 อาทิตย์ก่อน Audit)
       
    •     หน่วยงานที่ถูกตรวจไม่ได้ปฏิบัติตามเอกสาร  ซึ่งมีหลายสาเหตุ ไม่ว่าจะเป็นกรณีเพิ่งได้รับเอกสาร หรือได้รับนานแล้วแต่ไม่สนใจ เพราะมีงานอื่นด่วนกว่า
        วิธีป้องกัน : CEO หรือผู้บริหารเบอร์ 1 ของหน่วยงาน  ประกาศRoadmap ว่าจะขอ Certificate อย่างเป็นทางการภายในสิ้นปี (กำหนดช่วงเวลาให้ชัดเจนไปเลย) แต่ละหน่วยงานก็จะรับรู้และให้ความสำคัญเพราะไม่อยากเป็นตัวถ่วง
       
    •     ผู้ตรวจประเมินภายใน ขาดทักษะในการตรวจเป็นปัญหาคลาสสิกเลยทีเดียว ส่วนใหญ่พอลงตรวจครั้งแรกก็มักเจอปัญหาไม่รู้จะถามอะไร จะดูอะไร เพราะยังใหม่กับระบบนี้
        วิธีป้องกัน : ควรเลือกผู้ตรวจฯที่มีประสบการณ์ตรวจประเมินระบบ ISO มาก่อนจะดีมาก เพราะหลักการเหมือนกันต่างกันแค่เนื้อหา  แต่ถ้าไม่มีก็เลือกคนที่มีประสบการณ์ทำงานอย่างน้อย 2ปี ซึ่งพอจะทำความเข้าใจหน่วยงานที่ไปตรวจได้ไม่ยาก   เคล็ดลับสำคัญของการจัดทีมตรวจประเมิน คือ แจกงานให้ผู้ตรวจทุกคนมีหัวข้อตรวจสอบเป็นของตัวเองอย่างชัดเจน และโฟกัสที่หัวข้อของตัวเองเป็นหลัก  วิธีนี้จะทำให้ผู้ตรวจมีสมาธิกับงานของตัวเอง  
       
    •     หน่วยงานที่ถูกตรวจ ไม่มีบันทึกหรือไม่มีเนื้องานให้ตรวจ ปัญหานี้เกิดจากเพิ่งเริ่มทำระบบได้ไม่นาน กิจกรรมบางอย่างยังไม่เกิดก็เลยไม่มีบันทึกหรือเนื้องานให้ตรวจ เช่น การตรวจสอบการถอนสิทธิ์ Access เข้าระบบงาน ภายหลังพนักงานลาออก กรณีนี้ถ้ายังไม่มีพนักงานลาออกก็ยังไม่มีบันทึกหรือเนื้องานให้ตรวจ
        วิธีป้องกัน :  ผู้ตรวจฯ สามารถสอบถามเชิงสมมติ เช่น สมมติว่ามีคนลาออกเมื่อวาน จะต้องทำอะไรบ้าง ให้เค้าอธิบายและแสดงวิธีการทำงานให้ดู เป็นต้น
       
    •     ผู้ตรวจประเมินภายใน บันทึกสิ่งที่พบ (Audit Finding) ไม่ชัดเจน สรุปไม่ได้ว่าเป็นข้อบกพร่องหรือปล่าว เกิดปัญหาตอนสรุปผลการตรวจ กรณีนี้ผู้ตรวจก็มักยกประโยชน์ให้จำเลย ไม่เขียนไว้ในรายงาน
        วิธีป้องกัน : ฝึกฝนผู้ตรวจประเมินให้มีทักษะการบันทึก  หลายๆองค์กรมีการซักซ้อมกันลงตรวจจริง ถ้าเจอปัญหาก็จะได้แก้ไขเสียก่อน
       
    •     เรื่องการจัดสรรเวลาสำหรับตรวจประเมินก็สำคัญ  หลายที่มักให้เวลาตรวจเท่าๆกัน เช่น 1.5 ชม. เท่ากันหมดทุกหน่วยงาน  แล้วก็มักเจอปัญหาบางหน่วยงานมีเนื้องานน้อย ตรวจจริงๆแค่ 45 นาที  ในขณะที่ บางหน่วยงานมีเนื้องานเยอะ เวลา 1.5 ชม.ตรวจได้แค่ครึ่งเดียวก็มี
        วิธีป้องกัน : ตอนกำหนดช่วงเวลาสำหรับตรวจประเมิน ให้ดูเนื้องานของหน่วยงานประกอบด้วย เช่น หากเป็นงานออฟฟิศหรืองานเชิงเอกสาร ไม่ได้ใช้ระบบงานที่ซับซ้อน แบบนี้ใช้เวลาไม่มาก 1 ชม. น่าจะพอ  แต่หากเป็นการตรวจหน่วยงานที่มีเนื้องานเยอะ เช่นหน่วยงานไอที   มีการเรียกดูข้อมูลหลายประเด็น ทั้งด้าน Hardware , Software และเรื่องเชิงเทคนิคในการจัดการความมั่งคงปลอดภัยของสารสนเทศ  เนื้องานเยอะแบบนี้ แน่นอนว่าต้องใช้เวลาเยอะกว่าการตรวจงานออฟฟิศทั่วไปแน่

    ปัญหาที่พบบ่อยและวิธีป้องกันในการตรวจประเมินภายใน Internal Audit ISO 27001:2013

    Posted by pryn No comments


    •     เอกสารยังไม่เสร็จสมบูรณ์ทั้งระบบ มีเอกสารบางส่วนเสร็จก่อน ได้แจกจ่ายไปยังหน่วยงาน (บางทีแจกเช้าวัน Audit ก็เคยเจอ) ขณะเดียวกันเอกสารบางส่วนยังทำไม่เสร็จ
        วิธีป้องกัน :  เร่งทำเอกสารให้เสร็จ และแจกจ่ายให้หน่วยงานเอาไปศึกษาและปฏิบัติ (อย่างน้อย 2 อาทิตย์ก่อน Audit)
       
    •     หน่วยงานที่ถูกตรวจไม่ได้ปฏิบัติตามเอกสาร  ซึ่งมีหลายสาเหตุ ไม่ว่าจะเป็นกรณีเพิ่งได้รับเอกสาร หรือได้รับนานแล้วแต่ไม่สนใจ เพราะมีงานอื่นด่วนกว่า
        วิธีป้องกัน : CEO หรือผู้บริหารเบอร์ 1 ของหน่วยงาน  ประกาศRoadmap ว่าจะขอ Certificate อย่างเป็นทางการภายในสิ้นปี (กำหนดช่วงเวลาให้ชัดเจนไปเลย) แต่ละหน่วยงานก็จะรับรู้และให้ความสำคัญเพราะไม่อยากเป็นตัวถ่วง
       
    •     ผู้ตรวจประเมินภายใน ขาดทักษะในการตรวจเป็นปัญหาคลาสสิกเลยทีเดียว ส่วนใหญ่พอลงตรวจครั้งแรกก็มักเจอปัญหาไม่รู้จะถามอะไร จะดูอะไร เพราะยังใหม่กับระบบนี้
        วิธีป้องกัน : ควรเลือกผู้ตรวจฯที่มีประสบการณ์ตรวจประเมินระบบ ISO มาก่อนจะดีมาก เพราะหลักการเหมือนกันต่างกันแค่เนื้อหา  แต่ถ้าไม่มีก็เลือกคนที่มีประสบการณ์ทำงานอย่างน้อย 2ปี ซึ่งพอจะทำความเข้าใจหน่วยงานที่ไปตรวจได้ไม่ยาก   เคล็ดลับสำคัญของการจัดทีมตรวจประเมิน คือ แจกงานให้ผู้ตรวจทุกคนมีหัวข้อตรวจสอบเป็นของตัวเองอย่างชัดเจน และโฟกัสที่หัวข้อของตัวเองเป็นหลัก  วิธีนี้จะทำให้ผู้ตรวจมีสมาธิกับงานของตัวเอง  
       
    •     หน่วยงานที่ถูกตรวจ ไม่มีบันทึกหรือไม่มีเนื้องานให้ตรวจ ปัญหานี้เกิดจากเพิ่งเริ่มทำระบบได้ไม่นาน กิจกรรมบางอย่างยังไม่เกิดก็เลยไม่มีบันทึกหรือเนื้องานให้ตรวจ เช่น การตรวจสอบการถอนสิทธิ์ Access เข้าระบบงาน ภายหลังพนักงานลาออก กรณีนี้ถ้ายังไม่มีพนักงานลาออกก็ยังไม่มีบันทึกหรือเนื้องานให้ตรวจ
        วิธีป้องกัน :  ผู้ตรวจฯ สามารถสอบถามเชิงสมมติ เช่น สมมติว่ามีคนลาออกเมื่อวาน จะต้องทำอะไรบ้าง ให้เค้าอธิบายและแสดงวิธีการทำงานให้ดู เป็นต้น
       
    •     ผู้ตรวจประเมินภายใน บันทึกสิ่งที่พบ (Audit Finding) ไม่ชัดเจน สรุปไม่ได้ว่าเป็นข้อบกพร่องหรือปล่าว เกิดปัญหาตอนสรุปผลการตรวจ กรณีนี้ผู้ตรวจก็มักยกประโยชน์ให้จำเลย ไม่เขียนไว้ในรายงาน
        วิธีป้องกัน : ฝึกฝนผู้ตรวจประเมินให้มีทักษะการบันทึก  หลายๆองค์กรมีการซักซ้อมกันลงตรวจจริง ถ้าเจอปัญหาก็จะได้แก้ไขเสียก่อน
       
    •     เรื่องการจัดสรรเวลาสำหรับตรวจประเมินก็สำคัญ  หลายที่มักให้เวลาตรวจเท่าๆกัน เช่น 1.5 ชม. เท่ากันหมดทุกหน่วยงาน  แล้วก็มักเจอปัญหาบางหน่วยงานมีเนื้องานน้อย ตรวจจริงๆแค่ 45 นาที  ในขณะที่ บางหน่วยงานมีเนื้องานเยอะ เวลา 1.5 ชม.ตรวจได้แค่ครึ่งเดียวก็มี
        วิธีป้องกัน : ตอนกำหนดช่วงเวลาสำหรับตรวจประเมิน ให้ดูเนื้องานของหน่วยงานประกอบด้วย เช่น หากเป็นงานออฟฟิศหรืองานเชิงเอกสาร ไม่ได้ใช้ระบบงานที่ซับซ้อน แบบนี้ใช้เวลาไม่มาก 1 ชม. น่าจะพอ  แต่หากเป็นการตรวจหน่วยงานที่มีเนื้องานเยอะ เช่นหน่วยงานไอที   มีการเรียกดูข้อมูลหลายประเด็น ทั้งด้าน Hardware , Software และเรื่องเชิงเทคนิคในการจัดการความมั่งคงปลอดภัยของสารสนเทศ  เนื้องานเยอะแบบนี้ แน่นอนว่าต้องใช้เวลาเยอะกว่าการตรวจงานออฟฟิศทั่วไปแน่

    โอบาม่ามาเข้ม Cybersecurity เฮียเอาจริงนะรู้ยัง

    1 เม.ย. เป็นวันโกหกโลก มีข่าวชิ้นนึงที่หลายคนคิดว่าเป็นมุข นั่นคือ ข่าวโอบาม่าประกาศเอาจริงกับภัยคุกคามทุกรูปแบบของ Cybersecurity ที่มุ่งโจมตีสหรัฐ

    ข่าวนี้เล่นเอาสื่อทุกสำนักตรวจสอบกันฝุ่นตลบจนแน่ใจว่าเป็นเรื่องจริง (แต่ดันมาประกาศวันโกหกโลกเนี่ยนะ !!!)

    ประกาศนี้ให้อำนาจหน่วยงานที่เกี่ยวข้องของ US ทำการแซงชั่นบุคคล หรือองค์กรหรือกลุ่มต่างๆ ที่เกี่ยวข้องกับการโจมตีสหรัฐ ไม่ว่าจะเป็นการโจมตีรูปแบบใด เช่นพยายามเจาะระบบ พยายามล่มเครือข่าย หรืออื่นๆ

    นอกจากนี้สหรัฐยังสามารถระงับ    ธุรกรรมใดๆ ที่เชื่อมโยงกับกลุ่มต่อต้าน หรือตรวจค้น ยึดทรัพย์สินไว้ตรวจสอบ ฯลฯ เรียกว่า งานนี้ โอบาม่าจัดเต็ม !!!

    คนที่เงิบตอนนี้คือ นายสโนเดน (Edward Snowden) ที่โดนตัดท่อน้ำเลี้ยงจากประกาศฉบับนี้

    หนังชีวิตต้องดูกันยาวๆ มหากาพย์เรื่องนี้แค่เริ่มต้น ยังมีอะไรให้ตื่นเต้นอีกเยอะ ......

    source :
    http://www.zdnet.com/article/snowden-donations-rocket-after-obamas-cybersecurity-order-outlaws-fund/

    โอบาม่ามาเข้ม Cybersecurity เฮียเอาจริงนะรู้ยัง

    Posted by pryn No comments

    1 เม.ย. เป็นวันโกหกโลก มีข่าวชิ้นนึงที่หลายคนคิดว่าเป็นมุข นั่นคือ ข่าวโอบาม่าประกาศเอาจริงกับภัยคุกคามทุกรูปแบบของ Cybersecurity ที่มุ่งโจมตีสหรัฐ

    ข่าวนี้เล่นเอาสื่อทุกสำนักตรวจสอบกันฝุ่นตลบจนแน่ใจว่าเป็นเรื่องจริง (แต่ดันมาประกาศวันโกหกโลกเนี่ยนะ !!!)

    ประกาศนี้ให้อำนาจหน่วยงานที่เกี่ยวข้องของ US ทำการแซงชั่นบุคคล หรือองค์กรหรือกลุ่มต่างๆ ที่เกี่ยวข้องกับการโจมตีสหรัฐ ไม่ว่าจะเป็นการโจมตีรูปแบบใด เช่นพยายามเจาะระบบ พยายามล่มเครือข่าย หรืออื่นๆ

    นอกจากนี้สหรัฐยังสามารถระงับ    ธุรกรรมใดๆ ที่เชื่อมโยงกับกลุ่มต่อต้าน หรือตรวจค้น ยึดทรัพย์สินไว้ตรวจสอบ ฯลฯ เรียกว่า งานนี้ โอบาม่าจัดเต็ม !!!

    คนที่เงิบตอนนี้คือ นายสโนเดน (Edward Snowden) ที่โดนตัดท่อน้ำเลี้ยงจากประกาศฉบับนี้

    หนังชีวิตต้องดูกันยาวๆ มหากาพย์เรื่องนี้แค่เริ่มต้น ยังมีอะไรให้ตื่นเต้นอีกเยอะ ......

    source :
    http://www.zdnet.com/article/snowden-donations-rocket-after-obamas-cybersecurity-order-outlaws-fund/

    ISO 27001:2013 - การโอนย้าย ลาออกหรือหมดสัญญา(Termination and Change of Employment: A7 Human Resource Security)


    ผู้ปฏิบัติงานโอนย้ายหรือลาออก....มีประเด็นด้านความมั่นคงปลอดภัยที่ต้องพิจารณาและต้องทำอะไรบ้าง?


    ในระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศ ISO 27001:2013 มีมารตรการที่ควบคุมเรื่องนี้คือ  A7.3.1 Termination and Change of Employment ครอบคลุมกรณีลาออก หมดสัญญา โอนย้าย และOutsource ที่จบงาน



    กรณีโอนย้าย

    1. หน่วยงานต้นสังกัดเดิมพิจารณาทบทวนสิทธิการเข้าถึงระบบงานหรือข้อมูลสารสนเทศที่พนักงานพ้นจากหน้าที่เดิมแล้วยังจำเป็นต้องเข้าถึงระบบงานและข้อมูลใดบ้าง  ย้ำว่าคงสิทธิให้เข้าถึงเฉพาะที่จำเป็นเท่านั้น(ตามหลัก least privilege)
    2. ฝ่ายไอทีทำการยกเลิกสิทธิการเข้าถึงระบบและข้อมูลสารสนเทศตามที่หน่วยงานต้นสังกัดเดิมแจ้งมา
    3. ฝ่ายอาคารสถานที่ พิจารณาว่าพนักงานที่โอนย้ายจำเป็นต้องให้สิทธิผ่านเข้าหน่วยงานใหม่ และยกเลิก Access Control ที่ประตูหน่วยงานเดิมหรือไม่  กรณีนี้แล้วแต่ความจำเป็นและสภาพแวดล้อมของพื้นที่ปฏิบัติงาน
    4. ฝ่าย HR พิจารณาความจำเป็นที่ต้องเรียกคืนทรัพย์สินที่ได้รับในตำแหน่งเดิม เช่น Notebook ,External Hardisk ฯลฯ หรือไม่ 

    กรณีลาออกหรือหมดสัญญา รวมถึงกรณี Outsource จบงาน

    1. ต้นสังกัดแจ้งฝ่ายไอทีให้ถอนสิทธิออกจากทุกระบบงาน
    2. HR เรียกคืนทรัพย์สินทุกอย่างขององค์กร  หากมีรายการทรัพย์สินที่มอบให้พนักงานเพื่อใช้ปฏิบัติงานก็จะช่วยให้ตรวจสอบของที่เรียกคืนได้ง่าย
    3. ตรวจสอบสภาพของทรัพย์สิน ประเด็นนี้แล้วแต่องค์กรว่าจะเข้มงวดแค่ไหนหากพบว่าทรัพย์สินชำรุดโดยมีสาเหตุไม่ได้เกิดจากการทำงาน เช่นเอาNotebookกลับบ้านแล้วลูกทำหล่นลงพื้น  กรณีนี้จะปรับเงินหรือเปล่าแล้วแต่นโยบายของหน่วยงานนั้นๆ
    4. ฝ่ายอาคารสถานที่ถอนสิทธิการผ่านเข้าออกประตูอัตโนมัติ



    ผู้เขียน : ปริญญ์  เสรีพงศ์, CISA, CEH, ISMS(IRCA)
    ISO 27001 Consultant    สถาบันเพิ่มผลผลิตแห่งชาติ
    pryn@ftpi.or.th
    www.facebook.com/club27001









    ISO 27001:2013 - การโอนย้าย ลาออกหรือหมดสัญญา(Termination and Change of Employment: A7 Human Resource Security)

    Posted by pryn 2 comments


    ผู้ปฏิบัติงานโอนย้ายหรือลาออก....มีประเด็นด้านความมั่นคงปลอดภัยที่ต้องพิจารณาและต้องทำอะไรบ้าง?


    ในระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศ ISO 27001:2013 มีมารตรการที่ควบคุมเรื่องนี้คือ  A7.3.1 Termination and Change of Employment ครอบคลุมกรณีลาออก หมดสัญญา โอนย้าย และOutsource ที่จบงาน



    กรณีโอนย้าย

    1. หน่วยงานต้นสังกัดเดิมพิจารณาทบทวนสิทธิการเข้าถึงระบบงานหรือข้อมูลสารสนเทศที่พนักงานพ้นจากหน้าที่เดิมแล้วยังจำเป็นต้องเข้าถึงระบบงานและข้อมูลใดบ้าง  ย้ำว่าคงสิทธิให้เข้าถึงเฉพาะที่จำเป็นเท่านั้น(ตามหลัก least privilege)
    2. ฝ่ายไอทีทำการยกเลิกสิทธิการเข้าถึงระบบและข้อมูลสารสนเทศตามที่หน่วยงานต้นสังกัดเดิมแจ้งมา
    3. ฝ่ายอาคารสถานที่ พิจารณาว่าพนักงานที่โอนย้ายจำเป็นต้องให้สิทธิผ่านเข้าหน่วยงานใหม่ และยกเลิก Access Control ที่ประตูหน่วยงานเดิมหรือไม่  กรณีนี้แล้วแต่ความจำเป็นและสภาพแวดล้อมของพื้นที่ปฏิบัติงาน
    4. ฝ่าย HR พิจารณาความจำเป็นที่ต้องเรียกคืนทรัพย์สินที่ได้รับในตำแหน่งเดิม เช่น Notebook ,External Hardisk ฯลฯ หรือไม่ 

    กรณีลาออกหรือหมดสัญญา รวมถึงกรณี Outsource จบงาน

    1. ต้นสังกัดแจ้งฝ่ายไอทีให้ถอนสิทธิออกจากทุกระบบงาน
    2. HR เรียกคืนทรัพย์สินทุกอย่างขององค์กร  หากมีรายการทรัพย์สินที่มอบให้พนักงานเพื่อใช้ปฏิบัติงานก็จะช่วยให้ตรวจสอบของที่เรียกคืนได้ง่าย
    3. ตรวจสอบสภาพของทรัพย์สิน ประเด็นนี้แล้วแต่องค์กรว่าจะเข้มงวดแค่ไหนหากพบว่าทรัพย์สินชำรุดโดยมีสาเหตุไม่ได้เกิดจากการทำงาน เช่นเอาNotebookกลับบ้านแล้วลูกทำหล่นลงพื้น  กรณีนี้จะปรับเงินหรือเปล่าแล้วแต่นโยบายของหน่วยงานนั้นๆ
    4. ฝ่ายอาคารสถานที่ถอนสิทธิการผ่านเข้าออกประตูอัตโนมัติ



    ผู้เขียน : ปริญญ์  เสรีพงศ์, CISA, CEH, ISMS(IRCA)
    ISO 27001 Consultant    สถาบันเพิ่มผลผลิตแห่งชาติ
    pryn@ftpi.or.th
    www.facebook.com/club27001









    ISO 27001:2013 - การทำสัญญาจ้างและความรับผิดชอบ (Terms and Conditions of Employment : A7 Human Resource Security)

    ISO 27001:2013 - การทำสัญญาจ้างและความรับผิดชอบ (Terms and Conditions of Employment : A7 Human Resource Security)

    มาตรการนี้มีวัตถุประสงค์เพื่อกำหนดแนวปฏิบัติให้มั่นใจว่าพนักงาน(Employees) หรือผู้รับเหมา/รับจ้างช่วง(Contractors) เข้าใจหน้าที่ความรับผิดชอบของตนเองในด้านความมั่นคงปลอดภัยของสารสนเทศ

    การควบคุมดูแลพนักงานให้ปฏิบัติตามนโยบายความมั่นคงปลอดภัยของสารสนเทศเราใช้การออกนโยบายฯและระเบียบปฏิบัติ แล้วไปอิงกับกฎระเบียบขององค์กร  ถ้าพนักงานละเมิดนโยบายฯก็ดำเนินการตามขั้นตอน เช่น สอบสวนหาข้อเท็จจริง  ทำการตักเตือนหรือลงโทษทางวินัยอะไรยังไงก็ว่ากันไปพิจารณาตามเกณฑ์ที่องค์กรกำหนดไว้

    แนวทางการดำเนินการสำหรับพนักงาน (Employees)

    1. จัดทำเอกสารข้อตกลงไม่เปิดเผยความลับขององค์กร (NDA : Non Disclosure Agreement) และให้พนักงานลงนามรับทราบ
    2. จัดทำเอกสารระบุความรับผิดชอบที่พนักงานต้องปฏิบัติตามกฏหมาย  เช่น ความรับผิดชอบในกรณีนำข้อมูลที่เป็นเท็จหรือข้อความหมิ่นประมาทไปโพสในเวบ เป็นต้น
    3. ชี้แจงให้ทราบว่า พนักงานมีสิทธิอะไรบ้างตามกฏหมาย เช่น สิทธิในการเรียกร้องให้องค์กรปกป้องข้อมูลส่วนบุคคลของพนักงานให้มั่นคงปลอดภัย เป็นต้น
    4. กำหนดแนวปฏิบัติในการสอบสวนหาข้อเท็จจริง กรณีพบว่าพนักงานละเมิดนโยบายความมั่นคงปลอดภัยของสารสนเทศ และมาตรการจัดการที่เหมาะสม เช่น ชี้แจงทำความเข้าใจ อบรมสร้างจิตสำนึก ตักเตือนทางวาจา ลงโทษทางวินัย ขึ้นอยู่กับข้อเท็จจริงที่ได้จากการสอบสวน   หากเป็นกรณีที่ผิดกฏหมาย ก็ต้องดำเนินคดีตามกฏหมายด้วย

    แนวทางการดำเนินการสำหรับผู้รับเหมา/รับจ้างช่วง (Contractors)

    กรณีของผู้รับเหมา/รับจ้างช่วงนั้นเราต้องใช้กลไกทางกฏหมาย ซึ่งต้องมีระบุไว้ในสัญญาเป็นลายลักษณ์อักษรเพื่อให้มีผลบังคับสมบูรณ์

    1. จัดทำเอกสารข้อตกลงไม่เปิดเผยความลับขององค์กร (NDA : Non Disclosure Agreement) และให้ผู้รับเหมาลงนามรับทราบ
    2. จัดทำเอกสารระบุความรับผิดชอบที่ผู้รับเหมาต้องปฏิบัติตามกฏหมาย  เช่น ความรับผิดชอบในกรณีใช้คอมพิวเตอร์ขององค์กร หรือเครือข่ายขององค์กร แล้วนำข้อมูลที่เป็นเท็จหรือข้อความหมิ่นประมาทไปโพสในเวบ เป็นต้น
    3. กำหนดแนวปฏิบัติในการสอบสวนหาข้อเท็จจริง กรณีพบว่าผู้รับเหมาละเมิดนโยบายความมั่นคงปลอดภัยของสารสนเทศ  กำหนดมาตรการจัดการที่เหมาะสม เช่น ชี้แจงทำความเข้าใจ หรือมาตรการอื่นๆที่เหมาะสม รวมถึงการดำเนินคดีตามกฏหมาย

    เจตนารมณ์ของมาตรการนี้คือ การแจ้งให้ทราบถึงกฏระเบียบ นโยบายต่างๆ ให้พนักงานและผู้รับเหมาทราบอย่างเป็นทางการ และเพื่อให้มีหลักฐานว่ารับทราบแล้ว จึงให้ลงนามไว้เป็นลายลักษณ์อักษร   จะมาทำเนียนว่าไม่ทราบไม่ได้  และเมื่อรับทราบแล้วหากละเมิดก็ต้องรับผลตามที่กำหนดไว้



    ผู้เขียน : ปริญญ์  เสรีพงศ์, CISA, CEH, ISMS(IRCA)
    ISO 27001 Consultant    สถาบันเพิ่มผลผลิตแห่งชาติ
    pryn@ftpi.or.th
    www.facebook.com/club27001


    ISO 27001:2013 - การทำสัญญาจ้างและความรับผิดชอบ (Terms and Conditions of Employment : A7 Human Resource Security)

    Posted by pryn No comments

    ISO 27001:2013 - การทำสัญญาจ้างและความรับผิดชอบ (Terms and Conditions of Employment : A7 Human Resource Security)

    มาตรการนี้มีวัตถุประสงค์เพื่อกำหนดแนวปฏิบัติให้มั่นใจว่าพนักงาน(Employees) หรือผู้รับเหมา/รับจ้างช่วง(Contractors) เข้าใจหน้าที่ความรับผิดชอบของตนเองในด้านความมั่นคงปลอดภัยของสารสนเทศ

    การควบคุมดูแลพนักงานให้ปฏิบัติตามนโยบายความมั่นคงปลอดภัยของสารสนเทศเราใช้การออกนโยบายฯและระเบียบปฏิบัติ แล้วไปอิงกับกฎระเบียบขององค์กร  ถ้าพนักงานละเมิดนโยบายฯก็ดำเนินการตามขั้นตอน เช่น สอบสวนหาข้อเท็จจริง  ทำการตักเตือนหรือลงโทษทางวินัยอะไรยังไงก็ว่ากันไปพิจารณาตามเกณฑ์ที่องค์กรกำหนดไว้

    แนวทางการดำเนินการสำหรับพนักงาน (Employees)

    1. จัดทำเอกสารข้อตกลงไม่เปิดเผยความลับขององค์กร (NDA : Non Disclosure Agreement) และให้พนักงานลงนามรับทราบ
    2. จัดทำเอกสารระบุความรับผิดชอบที่พนักงานต้องปฏิบัติตามกฏหมาย  เช่น ความรับผิดชอบในกรณีนำข้อมูลที่เป็นเท็จหรือข้อความหมิ่นประมาทไปโพสในเวบ เป็นต้น
    3. ชี้แจงให้ทราบว่า พนักงานมีสิทธิอะไรบ้างตามกฏหมาย เช่น สิทธิในการเรียกร้องให้องค์กรปกป้องข้อมูลส่วนบุคคลของพนักงานให้มั่นคงปลอดภัย เป็นต้น
    4. กำหนดแนวปฏิบัติในการสอบสวนหาข้อเท็จจริง กรณีพบว่าพนักงานละเมิดนโยบายความมั่นคงปลอดภัยของสารสนเทศ และมาตรการจัดการที่เหมาะสม เช่น ชี้แจงทำความเข้าใจ อบรมสร้างจิตสำนึก ตักเตือนทางวาจา ลงโทษทางวินัย ขึ้นอยู่กับข้อเท็จจริงที่ได้จากการสอบสวน   หากเป็นกรณีที่ผิดกฏหมาย ก็ต้องดำเนินคดีตามกฏหมายด้วย

    แนวทางการดำเนินการสำหรับผู้รับเหมา/รับจ้างช่วง (Contractors)

    กรณีของผู้รับเหมา/รับจ้างช่วงนั้นเราต้องใช้กลไกทางกฏหมาย ซึ่งต้องมีระบุไว้ในสัญญาเป็นลายลักษณ์อักษรเพื่อให้มีผลบังคับสมบูรณ์

    1. จัดทำเอกสารข้อตกลงไม่เปิดเผยความลับขององค์กร (NDA : Non Disclosure Agreement) และให้ผู้รับเหมาลงนามรับทราบ
    2. จัดทำเอกสารระบุความรับผิดชอบที่ผู้รับเหมาต้องปฏิบัติตามกฏหมาย  เช่น ความรับผิดชอบในกรณีใช้คอมพิวเตอร์ขององค์กร หรือเครือข่ายขององค์กร แล้วนำข้อมูลที่เป็นเท็จหรือข้อความหมิ่นประมาทไปโพสในเวบ เป็นต้น
    3. กำหนดแนวปฏิบัติในการสอบสวนหาข้อเท็จจริง กรณีพบว่าผู้รับเหมาละเมิดนโยบายความมั่นคงปลอดภัยของสารสนเทศ  กำหนดมาตรการจัดการที่เหมาะสม เช่น ชี้แจงทำความเข้าใจ หรือมาตรการอื่นๆที่เหมาะสม รวมถึงการดำเนินคดีตามกฏหมาย

    เจตนารมณ์ของมาตรการนี้คือ การแจ้งให้ทราบถึงกฏระเบียบ นโยบายต่างๆ ให้พนักงานและผู้รับเหมาทราบอย่างเป็นทางการ และเพื่อให้มีหลักฐานว่ารับทราบแล้ว จึงให้ลงนามไว้เป็นลายลักษณ์อักษร   จะมาทำเนียนว่าไม่ทราบไม่ได้  และเมื่อรับทราบแล้วหากละเมิดก็ต้องรับผลตามที่กำหนดไว้



    ผู้เขียน : ปริญญ์  เสรีพงศ์, CISA, CEH, ISMS(IRCA)
    ISO 27001 Consultant    สถาบันเพิ่มผลผลิตแห่งชาติ
    pryn@ftpi.or.th
    www.facebook.com/club27001


    ISO 27001:2013 - การตรวจสอบประวัติบุคคล (Screening : A7 Human Resource Security)

    ISO 27001:2013 - การตรวจสอบประวัติบุคคล (Screening : A7 Human Resource Security)



    Screening หรือการตรวจสอบประวัติบุคคล (Background Verification Checking) เป็นมาตรการข้อหนึ่งในการ ทำระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศ ISO 27001:2013  โดยเน้นการคัดกรองคนที่ไม่มีประวัติเสื่อมเสีย หรือพัวพันกับอาชญากรรม  มีความรู้ ความสามารถเหมาะกับงานที่รับผิดชอบ
     
    การตรวจสอบประวัติบุคคลนี้จะต้องทำภายใต้กฏหมาย กฎระเบียบที่เกี่ยวข้อง มิฉะนั้นจะกลายเป็นการละเมิดสิทธิส่วนบุคคล   ในทางปฏิบัติหลายบริษัทมีการตรวจสอบประวัติอาชญากรรม โดยขอข้อมูลจากกองทะเบียนประวัติอาชญากร สำนักงานตำรวจแห่งชาติ

    ประเด็นน่ารู้ในการขอสอบประวัติอาชญากรรม
    • ต้องกรอกแบบฟอร์มให้ถูกต้องตามที่ราชการกำหนด
    • ผู้ถูกสอบประวัติอาชญากรรมต้องลงนามยินยอมให้ตรวจสอบ
    • สำเนาบัตรประชาชนเจ้าตัว พร้อมลงนาม
    • ค่าใช้จ่าย 100 บาท/คน
    • ระยะเวลาดำเนินการ 15-30 วัน หลังยื่นเอกสาร

    จะเห็นได้ว่า มาตรการสอบประวัติบุคคลด้านอาชญากรรมมีความยุ่งยากและมีค่าใช้จ่ายพอสมควรเลยทีเดียว   ในทางปฏิบัติจึงตรวจสอบเฉพาะบางตำแหน่งงานที่มีความสำคัญสามารถเข้าถึงข้อมูลสำคัญขององค์กรได้  ในต่างประเทศมีการสอบประวัติทำนองนี้มานานแล้ว ที่ต้องทำขนาดนี้ก็เพราะเคยมีการล้วงข้อมูลโดยคนใน พอจับได้ก็พบว่าผู้กระทำผิดเคยมีคดีทำนองนี้มาก่อน 

    นอกจากการสอบประวัติอาชญากรรมแล้วบางหน่วยงานอาจใช้วิธีการ Search หาใน Google ,social media เพื่อหาข้อมูลกว้างๆ หรือสอบถามจากบุคคลอ้างอิงที่ผู้สมัครระบุไว้ในใบสมัครงานก็เป็นวิธีการตรวจสอบแบบหนึ่งที่หลายองค์กรนำมาใช้

    สำหรับผู้ที่ต้องการสอบประวัติอาชญากรรม สามารถศึกษารายละเอียดขั้นตอนและแบบฟอร์มต่างๆ ได้จากคู่มือการปฏิบัติงาน การขอสำเนาข้อมูลข่าวสารของหน่วยราชการ  และขั้นตอนขอตรวจสอบประวัติอาชญากรรม สำหรับฝ่ายบุคคล (จาก pantip.com)


    ผู้เขียน : ปริญญ์  เสรีพงศ์, CISA, CEH, ISMS(IRCA)
     ISO 27001 Consultant สถาบันเพิ่มผลผลิตแห่งชาติ
    pryn@ftpi.or.th
     www.facebook.com/club27001

    ISO 27001:2013 - การตรวจสอบประวัติบุคคล (Screening : A7 Human Resource Security)

    Posted by pryn No comments

    ISO 27001:2013 - การตรวจสอบประวัติบุคคล (Screening : A7 Human Resource Security)



    Screening หรือการตรวจสอบประวัติบุคคล (Background Verification Checking) เป็นมาตรการข้อหนึ่งในการ ทำระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศ ISO 27001:2013  โดยเน้นการคัดกรองคนที่ไม่มีประวัติเสื่อมเสีย หรือพัวพันกับอาชญากรรม  มีความรู้ ความสามารถเหมาะกับงานที่รับผิดชอบ
     
    การตรวจสอบประวัติบุคคลนี้จะต้องทำภายใต้กฏหมาย กฎระเบียบที่เกี่ยวข้อง มิฉะนั้นจะกลายเป็นการละเมิดสิทธิส่วนบุคคล   ในทางปฏิบัติหลายบริษัทมีการตรวจสอบประวัติอาชญากรรม โดยขอข้อมูลจากกองทะเบียนประวัติอาชญากร สำนักงานตำรวจแห่งชาติ

    ประเด็นน่ารู้ในการขอสอบประวัติอาชญากรรม
    • ต้องกรอกแบบฟอร์มให้ถูกต้องตามที่ราชการกำหนด
    • ผู้ถูกสอบประวัติอาชญากรรมต้องลงนามยินยอมให้ตรวจสอบ
    • สำเนาบัตรประชาชนเจ้าตัว พร้อมลงนาม
    • ค่าใช้จ่าย 100 บาท/คน
    • ระยะเวลาดำเนินการ 15-30 วัน หลังยื่นเอกสาร

    จะเห็นได้ว่า มาตรการสอบประวัติบุคคลด้านอาชญากรรมมีความยุ่งยากและมีค่าใช้จ่ายพอสมควรเลยทีเดียว   ในทางปฏิบัติจึงตรวจสอบเฉพาะบางตำแหน่งงานที่มีความสำคัญสามารถเข้าถึงข้อมูลสำคัญขององค์กรได้  ในต่างประเทศมีการสอบประวัติทำนองนี้มานานแล้ว ที่ต้องทำขนาดนี้ก็เพราะเคยมีการล้วงข้อมูลโดยคนใน พอจับได้ก็พบว่าผู้กระทำผิดเคยมีคดีทำนองนี้มาก่อน 

    นอกจากการสอบประวัติอาชญากรรมแล้วบางหน่วยงานอาจใช้วิธีการ Search หาใน Google ,social media เพื่อหาข้อมูลกว้างๆ หรือสอบถามจากบุคคลอ้างอิงที่ผู้สมัครระบุไว้ในใบสมัครงานก็เป็นวิธีการตรวจสอบแบบหนึ่งที่หลายองค์กรนำมาใช้

    สำหรับผู้ที่ต้องการสอบประวัติอาชญากรรม สามารถศึกษารายละเอียดขั้นตอนและแบบฟอร์มต่างๆ ได้จากคู่มือการปฏิบัติงาน การขอสำเนาข้อมูลข่าวสารของหน่วยราชการ  และขั้นตอนขอตรวจสอบประวัติอาชญากรรม สำหรับฝ่ายบุคคล (จาก pantip.com)


    ผู้เขียน : ปริญญ์  เสรีพงศ์, CISA, CEH, ISMS(IRCA)
     ISO 27001 Consultant สถาบันเพิ่มผลผลิตแห่งชาติ
    pryn@ftpi.or.th
     www.facebook.com/club27001

    ISO 27001:2013 - A7 Human Resource Security มาตรการบริหารจัดการคน


    วัตถุประสงค์ของมาตรการด้าน Information Security Management ตามISO 27001:2013 ในเรื่องHuman Resource Security คือให้เรากำหนดวิธีการให้มั่นใจว่าพนักงาน(Employees) และผู้รับจ้างช่วง(Contractors) นั้นเข้าใจหน้าที่และความรับผิดชอบของตน  รวมถึงการสรรหาคนทำงานที่มีความเหมาะสมกับบทบาทที่ได้รับมอบหมาย

    คนหรือบุคลากรเป็นโจทย์ข้อหนึ่งที่องค์กรต้องบริหารจัดการให้สอดคล้องกับระบบความมั่นคงปลอดภัยของสารสนเทศ  ซึ่งตรงกับมาตรการข้อ A7 Human Resource Security  โดยครอบคลุมเป็น 3 ประเด็นได้แก่

    A7.1 Prior to employment : การเลือกคนเข้าทำงาน
    เรื่องนี้สำคัญไม่แพ้เรื่องอื่น เพราะหลายกรณีเกิดปัญหาจากคนทำงานนี่แหละ ไม่ว่าจะเป็นกรณีจอมแฉบันลือโลก Edward Snowden ที่เอาความลับของหน่วยงานมาเผยแพร่ เล่นเอาป่วนไปทั่วโลก (ถ้าไม่รู้วีรกรรมของ Edward Snowden ลอง Search Googleดู)
       
    A7.2 During employment : ระหว่างที่ยังเป็นพนักงาน
    องค์กรต้องกำกับดูแลและมีแนวทางที่ชัดเจนให้พนักงานและผู้รับจ้างช่วง(Contractors) มีความตระหนักและมีความรับผิดชอบในหน้าที่ของตน  ความตระหนักด้าน Information Securityนี่เป็นอะไรที่ต้องรณรงค์กันอย่างต่อเนื่อง เรียกว่าปลูกฝังให้ขึ้นใจได้ยิ่งดี   เข้าทำนองกันไว้ดีกว่าแก้ คือ ถ้าพนักงานมีความตระหนักก็จะไม่ทำอะไรที่เสี่ยง ปัญหาก็จะลดน้อยลง

    A7.3 Termination and change of employment : ลาออกหรือโอนย้าย 
    หลายองค์กรมีการจัดการกรณีพนักงานลาออกเป็นระเบียบปฏิบัติชัดเจน เริ่มตั้งแต่การเรียกคืนทรัพย์สินขององค์กรเช่น Notebook  ,External Hardisk  จากนั้นก็แจ้งไอทีระงับสิทธิการเข้าระบบสารสนเทศภายในช่วงเวลาที่กำหนด  มาตรการเหล่านี้ช่วยป้องกันปัญหาข้อมูลรั่วไหล

    กรณีโอนย้าย ไม่ว่าจะเป็นย้ายระดับใด ก็ควรทบทวนสิทธิการเข้าถึงระบบสารสนเทศให้เหมาะสมกับภาระหน้าที่และความรับผิดชอบ ส่วนเรื่องทรัพย์สินที่องค์กรมอบให้ไว้ใช้งานก็เช่นกัน ควรทบทวนว่าตำแหน่งใหม่จำเป็นต้องใช้ทรัพย์สินเหล่านั้นหรือไม่  การทำเช่นนี้จะช่วยให้มั่นใจได้ว่าผู้ปฏิบัติงานมีสิทธิเข้าถึงระบบงานที่เหมาะสมกับหน้าที่ และมีอุปกรณ์ที่เหมาะสมกับการทำงานนั้นๆ


    ผู้เขียน : ปริญญ์  เสรีพงศ์  CISA, CEH, ISMS(IRCA)
    ISO 27001 Consultant    สถาบันเพิ่มผลผลิตแห่งชาติ
    pryn@ftpi.or.th
    www.facebook.com/club27001

    ISO 27001:2013 - A7 Human Resource Security มาตรการบริหารจัดการคน

    Posted by pryn No comments


    วัตถุประสงค์ของมาตรการด้าน Information Security Management ตามISO 27001:2013 ในเรื่องHuman Resource Security คือให้เรากำหนดวิธีการให้มั่นใจว่าพนักงาน(Employees) และผู้รับจ้างช่วง(Contractors) นั้นเข้าใจหน้าที่และความรับผิดชอบของตน  รวมถึงการสรรหาคนทำงานที่มีความเหมาะสมกับบทบาทที่ได้รับมอบหมาย

    คนหรือบุคลากรเป็นโจทย์ข้อหนึ่งที่องค์กรต้องบริหารจัดการให้สอดคล้องกับระบบความมั่นคงปลอดภัยของสารสนเทศ  ซึ่งตรงกับมาตรการข้อ A7 Human Resource Security  โดยครอบคลุมเป็น 3 ประเด็นได้แก่

    A7.1 Prior to employment : การเลือกคนเข้าทำงาน
    เรื่องนี้สำคัญไม่แพ้เรื่องอื่น เพราะหลายกรณีเกิดปัญหาจากคนทำงานนี่แหละ ไม่ว่าจะเป็นกรณีจอมแฉบันลือโลก Edward Snowden ที่เอาความลับของหน่วยงานมาเผยแพร่ เล่นเอาป่วนไปทั่วโลก (ถ้าไม่รู้วีรกรรมของ Edward Snowden ลอง Search Googleดู)
       
    A7.2 During employment : ระหว่างที่ยังเป็นพนักงาน
    องค์กรต้องกำกับดูแลและมีแนวทางที่ชัดเจนให้พนักงานและผู้รับจ้างช่วง(Contractors) มีความตระหนักและมีความรับผิดชอบในหน้าที่ของตน  ความตระหนักด้าน Information Securityนี่เป็นอะไรที่ต้องรณรงค์กันอย่างต่อเนื่อง เรียกว่าปลูกฝังให้ขึ้นใจได้ยิ่งดี   เข้าทำนองกันไว้ดีกว่าแก้ คือ ถ้าพนักงานมีความตระหนักก็จะไม่ทำอะไรที่เสี่ยง ปัญหาก็จะลดน้อยลง

    A7.3 Termination and change of employment : ลาออกหรือโอนย้าย 
    หลายองค์กรมีการจัดการกรณีพนักงานลาออกเป็นระเบียบปฏิบัติชัดเจน เริ่มตั้งแต่การเรียกคืนทรัพย์สินขององค์กรเช่น Notebook  ,External Hardisk  จากนั้นก็แจ้งไอทีระงับสิทธิการเข้าระบบสารสนเทศภายในช่วงเวลาที่กำหนด  มาตรการเหล่านี้ช่วยป้องกันปัญหาข้อมูลรั่วไหล

    กรณีโอนย้าย ไม่ว่าจะเป็นย้ายระดับใด ก็ควรทบทวนสิทธิการเข้าถึงระบบสารสนเทศให้เหมาะสมกับภาระหน้าที่และความรับผิดชอบ ส่วนเรื่องทรัพย์สินที่องค์กรมอบให้ไว้ใช้งานก็เช่นกัน ควรทบทวนว่าตำแหน่งใหม่จำเป็นต้องใช้ทรัพย์สินเหล่านั้นหรือไม่  การทำเช่นนี้จะช่วยให้มั่นใจได้ว่าผู้ปฏิบัติงานมีสิทธิเข้าถึงระบบงานที่เหมาะสมกับหน้าที่ และมีอุปกรณ์ที่เหมาะสมกับการทำงานนั้นๆ


    ผู้เขียน : ปริญญ์  เสรีพงศ์  CISA, CEH, ISMS(IRCA)
    ISO 27001 Consultant    สถาบันเพิ่มผลผลิตแห่งชาติ
    pryn@ftpi.or.th
    www.facebook.com/club27001

    Microsoft ประกาศยกเลิกการแจ้งล่วงหน้าสำหรับข้อมูลเกี่ยวกับ Patch Tuesday

    Microsoft ประกาศยกเลิกการแจ้งล่วงหน้าสำหรับข้อมูลเกี่ยวกับ Patch Tuesday สำหรับคนทั่วไป แต่ยังคงแจ้งข้อมูลเกี่ยวกับ Patch ล่วงหน้าไปยัง MAPP (Microsoft Active Protections Program) partners และMicrosoft Premium customers  นอกเหนือจากนี้รอลุ้นไปพร้อมๆกัน


    นั่นหมายความว่า คนทั่วไปจะรู้ว่ามี Patch อะไรของ Window OS หรือ Applicationใดบ้าง และช่องโหว่รุนแรงแค่ไหน ก็เมื่อถึงวันอังคารที่2 ของทุกเดือน ซึ่ง Microsoft ได้เผยแพร่ Patch สู่สารธาณะ

    หลายคนอาจสงสัยว่าแล้วเราเดือดร้อนยังไง ?? ก็แค่ไม่รู้ล่วงหน้าเท่านั้น

    ประเด็นคือ หากSystem Admin รู้ล่วงหน้าว่าจะมี Patch อะไรและรุนแรงแค่ไหน  Adminสามารถวางแผนการ Deploy patch โดยให้กระทบการบริการน้อยที่สุด โดยเฉพาะหากจำเป็นต้องReboot ก็สามารถเตรียม Virtual Machine ไว้รองรับ หรือเตรียมการอื่นๆเพื่อรับมือได้ล่วงหน้านั่นเอง 

     ISO 27001:2013 นั้นมีมาตรการที่เกี่ยวข้องกับ Patch Management คือ A 12.6  Technical vulnerability management เท่ากับว่าตอนนี้ต้องรอลุ้นว่าจะมีอะไรให้ตื่นเต้นกันบ้างในวัน Patch Tuesday 

    อ้างอิงจาก : nakedsecurity


    ผู้เขียน : Pryn Sereepong, CISA, CEH, ISMS(IRCA)
    ISO 27001 Consultant    สถาบันเพิ่มผลผลิตแห่งชาติ
    pryn@ftpi.or.th
    www.facebook.com/club27001

    Microsoft ประกาศยกเลิกการแจ้งล่วงหน้าสำหรับข้อมูลเกี่ยวกับ Patch Tuesday

    Posted by pryn No comments

    Microsoft ประกาศยกเลิกการแจ้งล่วงหน้าสำหรับข้อมูลเกี่ยวกับ Patch Tuesday สำหรับคนทั่วไป แต่ยังคงแจ้งข้อมูลเกี่ยวกับ Patch ล่วงหน้าไปยัง MAPP (Microsoft Active Protections Program) partners และMicrosoft Premium customers  นอกเหนือจากนี้รอลุ้นไปพร้อมๆกัน


    นั่นหมายความว่า คนทั่วไปจะรู้ว่ามี Patch อะไรของ Window OS หรือ Applicationใดบ้าง และช่องโหว่รุนแรงแค่ไหน ก็เมื่อถึงวันอังคารที่2 ของทุกเดือน ซึ่ง Microsoft ได้เผยแพร่ Patch สู่สารธาณะ

    หลายคนอาจสงสัยว่าแล้วเราเดือดร้อนยังไง ?? ก็แค่ไม่รู้ล่วงหน้าเท่านั้น

    ประเด็นคือ หากSystem Admin รู้ล่วงหน้าว่าจะมี Patch อะไรและรุนแรงแค่ไหน  Adminสามารถวางแผนการ Deploy patch โดยให้กระทบการบริการน้อยที่สุด โดยเฉพาะหากจำเป็นต้องReboot ก็สามารถเตรียม Virtual Machine ไว้รองรับ หรือเตรียมการอื่นๆเพื่อรับมือได้ล่วงหน้านั่นเอง 

     ISO 27001:2013 นั้นมีมาตรการที่เกี่ยวข้องกับ Patch Management คือ A 12.6  Technical vulnerability management เท่ากับว่าตอนนี้ต้องรอลุ้นว่าจะมีอะไรให้ตื่นเต้นกันบ้างในวัน Patch Tuesday 

    อ้างอิงจาก : nakedsecurity


    ผู้เขียน : Pryn Sereepong, CISA, CEH, ISMS(IRCA)
    ISO 27001 Consultant    สถาบันเพิ่มผลผลิตแห่งชาติ
    pryn@ftpi.or.th
    www.facebook.com/club27001

    Latest Tweets

    ขับเคลื่อนโดย Blogger.
    back to top