Club27001 Information Security: Threat

แสดงบทความที่มีป้ายกำกับ Threat แสดงบทความทั้งหมด

ในบริบทของมาตรฐาน ISO 27001 ว่าด้วยระบบการจัดการความมั่นคงปลอดภัยสารสนเทศ (ISMS) "ภัยคุกคาม" (Threat) และ "ช่องโหว่" (Vulnerability) เป็นสององค์ประกอบสำคัญที่เกี่ยวข้องกันอย่างใกล้ชิด และเป็นพื้นฐานสำคัญในการประเมินและจัดการความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศขององค์กร

ความหมายและความแตกต่าง

ภัยคุกคาม (Threat): หมายถึง สาเหตุที่อาจเป็นไปได้ของการเกิดเหตุการณ์ที่ไม่พึงประสงค์ ซึ่งอาจส่งผลกระทบต่อความลับ (Confidentiality) ความถูกต้องครบถ้วน (Integrity) และสภาพความพร้อมใช้งาน (Availability) ของสารสนเทศ ภัยคุกคามอาจมีที่มาจากหลายแหล่ง เช่น ผู้ไม่หวังดีภายในองค์กร ผู้ไม่หวังดีภายนอกองค์กร ภัยธรรมชาติ หรือความผิดพลาดของระบบ
ช่องโหว่ (Vulnerability): หมายถึง จุดอ่อนหรือข้อบกพร่องในสินทรัพย์ (Asset) หรือมาตรการควบคุม ซึ่งภัยคุกคามอาจใช้ประโยชน์จากช่องโหว่นี้เพื่อก่อให้เกิดความเสียหาย ช่องโหว่อาจอยู่ในรูปแบบของความผิดพลาดในการออกแบบระบบ การตั้งค่าที่ไม่เหมาะสม หรือการขาดมาตรการควบคุมที่เพียงพอ

ความสัมพันธ์และการนำไปใช้ใน ISO 27001

ISO 27001 กำหนดให้องค์กรต้องดำเนินการประเมินความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ โดยในการประเมินความเสี่ยงนั้น องค์กรต้องพิจารณาทั้งภัยคุกคามและช่องโหว่ที่เกี่ยวข้อง

องค์กรต้องระบุภัยคุกคามที่อาจเกิดขึ้นกับสารสนเทศขององค์กร และวิเคราะห์ว่าภัยคุกคามเหล่านั้นมีโอกาสที่จะใช้ประโยชน์จากช่องโหว่ใดได้บ้าง
การประเมินความเสี่ยงต้องพิจารณาทั้งโอกาสที่จะเกิดภัยคุกคาม (Likelihood) และผลกระทบ (Impact) ที่อาจเกิดขึ้นหากภัยคุกคามนั้นเกิดขึ้นจริง
ผลลัพธ์จากการประเมินความเสี่ยงจะนำไปใช้ในการกำหนดมาตรการควบคุมความเสี่ยงที่เหมาะสม เพื่อลดโอกาสที่จะเกิดภัยคุกคาม หรือลดผลกระทบหากเกิดเหตุการณ์ที่ไม่พึงประสงค์ขึ้น

ผลลัพธ์และประโยชน

การทำความเข้าใจและจัดการกับภัยคุกคามและช่องโหว่อย่างมีประสิทธิภาพ ช่วยให้องค์กรสามารถ

ระบุความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศได้อย่างครอบคลุมและแม่นยำ
กำหนดมาตรการควบคุมความเสี่ยงที่ตรงจุดและมีประสิทธิภาพ
ลดโอกาสที่จะเกิดเหตุการณ์ที่ไม่พึงประสงค์ และลดความเสียหายหากเกิดขึ้น
สร้างระบบการจัดการความมั่นคงปลอดภัยสารสนเทศที่แข็งแกร่งและยั่งยืน

โดยสรุป ภัยคุกคามและช่องโหว่เป็นสององค์ประกอบสำคัญที่องค์กรต้องให้ความสนใจในการจัดการความเสี่ยงตามมาตรฐาน ISO 27001 การทำความเข้าใจความสัมพันธ์ระหว่างภัยคุกคามและช่องโหว่ และการนำข้อมูลเหล่านี้มาใช้ในการประเมินและจัดการความเสี่ยง จะช่วยให้องค์กรสามารถปกป้องสารสนเทศของตนเองได้อย่างมีประสิทธิภาพ

ผู้เขียน ปริญญ์ เสรีพงศ์ ที่ปรึกษา ISO 27001 pryn@sdxdataverse.com

ภัยคุกคามและช่องโหว่: องค์ประกอบสำคัญในการจัดการความเสี่ยงตาม ISO 27001

Posted by pryn No comments

ความหมายและความแตกต่าง

ภัยคุกคาม (Threat): หมายถึง สาเหตุที่อาจเป็นไปได้ของการเกิดเหตุการณ์ที่ไม่พึงประสงค์ ซึ่งอาจส่งผลกระทบต่อความลับ (Confidentiality) ความถูกต้องครบถ้วน (Integrity) และสภาพความพร้อมใช้งาน (Availability) ของสารสนเทศ ภัยคุกคามอาจมีที่มาจากหลายแหล่ง เช่น ผู้ไม่หวังดีภายในองค์กร ผู้ไม่หวังดีภายนอกองค์กร ภัยธรรมชาติ หรือความผิดพลาดของระบบ
ช่องโหว่ (Vulnerability): หมายถึง จุดอ่อนหรือข้อบกพร่องในสินทรัพย์ (Asset) หรือมาตรการควบคุม ซึ่งภัยคุกคามอาจใช้ประโยชน์จากช่องโหว่นี้เพื่อก่อให้เกิดความเสียหาย ช่องโหว่อาจอยู่ในรูปแบบของความผิดพลาดในการออกแบบระบบ การตั้งค่าที่ไม่เหมาะสม หรือการขาดมาตรการควบคุมที่เพียงพอ

ความสัมพันธ์และการนำไปใช้ใน ISO 27001

องค์กรต้องระบุภัยคุกคามที่อาจเกิดขึ้นกับสารสนเทศขององค์กร และวิเคราะห์ว่าภัยคุกคามเหล่านั้นมีโอกาสที่จะใช้ประโยชน์จากช่องโหว่ใดได้บ้าง
การประเมินความเสี่ยงต้องพิจารณาทั้งโอกาสที่จะเกิดภัยคุกคาม (Likelihood) และผลกระทบ (Impact) ที่อาจเกิดขึ้นหากภัยคุกคามนั้นเกิดขึ้นจริง
ผลลัพธ์จากการประเมินความเสี่ยงจะนำไปใช้ในการกำหนดมาตรการควบคุมความเสี่ยงที่เหมาะสม เพื่อลดโอกาสที่จะเกิดภัยคุกคาม หรือลดผลกระทบหากเกิดเหตุการณ์ที่ไม่พึงประสงค์ขึ้น

ผลลัพธ์และประโยชน

ระบุความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศได้อย่างครอบคลุมและแม่นยำ
กำหนดมาตรการควบคุมความเสี่ยงที่ตรงจุดและมีประสิทธิภาพ
ลดโอกาสที่จะเกิดเหตุการณ์ที่ไม่พึงประสงค์ และลดความเสียหายหากเกิดขึ้น
สร้างระบบการจัดการความมั่นคงปลอดภัยสารสนเทศที่แข็งแกร่งและยั่งยืน

ผู้เขียน ปริญญ์ เสรีพงศ์ ที่ปรึกษา ISO 27001 pryn@sdxdataverse.com

ภาพจาก https://unsplash.com/photos/m0oSTE_MjsI

ผู้เขียน ปริญญ์ เสรีพงศ์ CISA CEH ISMS(IRCA)

Email : mr.pryn@gmail.com

ISMR จะต้องเข้าใจภาพรวมของระบบ ISO 27001 ทั้งหมด เริ่มตั้งแต่

• บริบทองค์กร คือ องค์กรก่อตั้งขึ้นมาเพื่อวัตถุประสงค์อะไร

บริบทองค์กร เป็นสิ่งสำคัญอย่างมากในการกำหนดวัตถุประสงค์ เป้าหมายและแนวทางการวางระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศ

• มี Stakeholder อะไรบ้างที่เกี่ยวข้อง และแต่ละparties มีบทบาทอย่างไร

Stakeholder คือผู้ที่ได้รับผลทั้งทางตรงและทางอ้อมของการจัดการความมั่นคงปลอดภัยของสารสนเทศ

• Stakeholder มีความคาดหวังอะไรต่อองค์กร

แน่นอนว่า Stakeholder ย่อมมีผลประโยชน์ทางใดทางหนึ่งจากองค์กร ดังนั้นจึงต้องทราบความคาดหวังของ Stakeholder เพื่อนำมาประกอบการกำหนดแนวทาง และมาตรการที่เหมาะสม

• เข้าใจว่าองค์กรมีระบบสารสนเทศอะไรบ้างที่ตอบสนอง stakeholder เช่นระบบ Email สำหรับเจ้าหน้าที่และติดต่อลูกค้า, web site สำหรับลูกค้า ผู้สนใจ เป็นต้น

การระบุระบบสารสนเทศเป็นจุดเริ่มต้นของการประเมินความเสี่ยง โดยต้องระบุ Hardware ,Software Service ที่เกี่ยวข้องให้ครบสมบูรณ์ เพื่อใช้เป็นข้อมูลในการระบุภัยคุกคาม และช่องโหว่

EP1 : การเตรียมตัวสำหรับตัวแทนฝ่ายบริหารระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศ ISMR (Information Security Management Representative)

Posted by pryn 1 comment

ภาพจาก https://unsplash.com/photos/m0oSTE_MjsI

ผู้เขียน ปริญญ์ เสรีพงศ์ CISA CEH ISMS(IRCA)

Email : mr.pryn@gmail.com

ISMR จะต้องเข้าใจภาพรวมของระบบ ISO 27001 ทั้งหมด เริ่มตั้งแต่

• บริบทองค์กร คือ องค์กรก่อตั้งขึ้นมาเพื่อวัตถุประสงค์อะไร

• มี Stakeholder อะไรบ้างที่เกี่ยวข้อง และแต่ละparties มีบทบาทอย่างไร

• Stakeholder มีความคาดหวังอะไรต่อองค์กร

ภัยคุกคาม(Threat) อาจเป็นมนุษย์ ภัยธรรมชาติ หรือปัจจัยอื่นๆ ที่มีแนวโน้มที่จะก่อให้เกิดความเสียหายได้ ทั้งที่เจตนาสร้างความเสียหายหรือไม่ก็ตาม การทำความเข้าใจและตระหนักถึงภัยคุกคามจะช่วยให้เข้าใจองค์ประกอบที่เกี่ยวข้องกันทั้งระบบได้เป็นอย่างดี หากจำแนกแหล่งกำเนิดของภัยคุกคาม อาจแบ่งได้ดังนี้

- มนุษย์ เช่น แฮกเกอร์ สายลับ ผู้ก่อการร้าย ผู้ไม่ประสงค์ดีที่โจมตีระบบสารสนเทศ ไวรัส โปรแกรมไม่ประสงค์ดีต่างๆ เป็นต้น

- ภัยธรรมชาติ เช่นน้ำท่วม ฟ้าผ่า พายุ แผ่นดินไหว เป็นต้น

- ข้อผิดพลาดทางเทคนิค เช่น อุปกรณ์ชำรุด เสื่อมสภาพ หรือทำงานผิดพลาด เป็นต้น

ช่องโหว่(Vulnerability) เป็นองค์ประกอบที่สำคัญของการศึกษาเรื่องความมั่นคงปลอดภัยของสารสนเทศ ภัยคุกคามที่กล่าวมาข้างต้นจะใช้ประโยชน์จากช่องโหว่นี้เพื่อสร้างความเสียหาย ดังนั้นหากช่องโหว่มีจำนวนมาก โอกาสที่ภัยคุกคามจะสร้างความเสียหายจากช่องโหว่ดังกล่าวก็มากตามไปด้วย กล่าวได้ว่าหากไม่มีช่องโหว่หรือจุดอ่อน ภัยคุกคามก็ไม่สามารถทำอันตรายแก่ระบบสารสนเทศได้

ผู้เขียน : Pryn Sereepong, CISA, CEH, ISMS(IRCA)
pryn@ftpi.or.th

ภัยคุกคาม และช่องโหว่ (Threat and Vulnerability)

Posted by pryn No comments

- ภัยธรรมชาติ เช่นน้ำท่วม ฟ้าผ่า พายุ แผ่นดินไหว เป็นต้น

ความมั่นคงปลอดภัยของสารสนเทศนั้นมีองค์ประกอบด้วยกัน 3 ประการ คือ ความลับ (Confidentiality) ความถูกต้องสมบูรณ์( Integrity) และความพร้อมใช้งาน (Availability)

ทรัพย์สิน(Asset) ที่มีความมั่นคงปลอดภัยนั้นต้องประกอบด้วยองค์ประกอบทั้งสามอย่างครบถ้วน ไม่ว่าทรัพย์สินนั้นจะเป็นสิ่งที่จับต้องได้ เช่น เครื่องคอมพิวเตอร์ อุปกรณ์เครือข่าย หรือทรัพย์สินที่จับต้องไม่ได้ เช่น ข้อมูล เป็นต้น

- ความลับ (Confidentiality)

การรักษาความลับให้กับข้อมูลเป็นองค์ประกอบสำคัญของการรักษาความมั่นคงปลอดภัยของสารสนเทศ หลักการสำคัญของการรักษาความลับคือ ผู้ที่มีสิทธิหรือได้รับอนุญาตเท่านั้นที่สามารถเข้าถึงข้อมูลได้ ภาคธุรกิจให้ความสำคัญกับการรักษาความลับทางธุรกิจ ประชาชนทั่วไปก็ต้องการปกป้องข้อมูลส่วนตัวตามสิทธิขั้นพื้นฐานเช่นเดียวกัน

ข่าวการละเมิดมาตรการป้องกันของระบบคอมพิวเตอร์เข้าไปเจาะระบบทั้งในประเทศและต่างประเทศ แสดงให้เห็นว่ามาตรการที่มีอยู่ยังมีจุดอ่อนที่ ผู้ไม่ประสงค์ดีที่มีความรู้บุกรุกผ่านช่องโหว่ดังกล่าว แรงจูงใจของการกระทำการดังกล่าวมีหลายเหตุปัจจัย เช่น ทำเพื่อเงิน เพื่อสร้างชื่อเสียง การยอมรับในกลุ่ม และทำไปด้วยความคึกคะนอง ปฏิเสธไม่ได้ว่าแฮกเกอร์ที่สามารถเจาะทะลุระบบรักษาความปลอดภัยของหน่วยงานสำคัญระดับประเทศ จะกลายเป็นฮีโร่ในสายตาของแฮกเกอร์มือใหม่ทั่วโลก

ระบบรักษาความมั่นคงปลอดภัยของสารสนเทศที่มีประสิทธิภาพ ต้องมีมาตรการตรวจสอบสิทธิก่อนเข้าถึง เพื่อยืนยันให้แน่ใจก่อนว่าผู้ที่ร้องขอนั้นมีสิทธิหรือได้รับอนุญาตให้เข้าถึงสารสนเทศ หรือระบบงานนั้นได้ กลไกพื้นฐานที่คุ้นเคยกันเป็นอย่างดี คือการใช้รหัสผ่าน(Password) ในการพิสูจน์ตัวตนและสิทธิที่ได้รับอนุญาต

นอกจากมาตรการตรวจสอบสิทธิแล้วการกำหนดชั้นความลับเป็นระดับต่างๆ ตามความสำคัญช่วยให้บริหารจัดการมีประสิทธิภาพมากขึ้น ในบางหน่วยงานกำหนดชั้นความลับของสารสนเทศออกเป็น 4 ระดับ ประกอบด้วย ระดับชั้นความลับสุดยอด (Top Secret) ระดับชั้นความลับ (Secret) ระดับชั้นข้อมูลสำหรับใช้ภายในองค์กร(Internal Use) และระดับชั้นสารธารณะ(Public) ชั้นความลับนี้จะต้องมีเกณฑ์พิจารณาที่ชัดเจนว่าสารสนเทศลักษณะใดอยู่ในชั้นความลับที่กำหนด พร้อมทั้งกำหนดแนวทางการ การระบุชั้นความลับ การจัดเก็บ และการสื่อสารข้อมูลสารสนเทศในแต่ละชั้นความลับอย่างชัดเจน มาตรการทางเทคนิคที่ใช้ในการปกป้องความลับ เช่น การเข้ารหัส (Encryption) อาจถูกนำมาใช้เสริมความแข็งแกร่งให้กับมาตรการปกป้องสารสนเทศที่ต้องการมาตรการดูแลอย่างเข้มงวด

- ความถูกต้องสมบูรณ์ (Integrity)

การปกป้องสารสนเทศให้มีความถูกต้องสมบูรณ์ (Integrity) เป็นสิ่งสำคัญส่งผลถึงความน่าเชื่อถือของสารสนเทศนั้นๆ ทำอย่างไรให้ข้อมูลมีความถูกต้องและน่าเชื่อถือเป็นสิ่งที่ผู้ดูแลระบบต้องหาคำตอบและดำเนินการให้เกิดขึ้น คำตอบในเชิงหลักการคือระบบต้องมีกลไกการตรวจสอบสิทธิหรือการได้รับอนุญาตให้ดำเนินการเปลี่ยนแปลงแก้ไขหรือกระทำการใดๆ ต่อข้อมูลนั้น

ยิ่งเทคโนโลยีสารสนเทศพัฒนาก้าวหน้าไปมากเท่าไร มนุษย์ก็ยิ่งจำเป็นต้องพึงพาเทคโนโลยีมากขึ้นตามไปด้วย บัตรประชาชนอัจฉริยะเป็นตัวอย่างใกล้ตัวเราที่ชี้ให้เห็นว่า ประชาชนทุกคนไม่ว่าจะยากดีมีจนอย่างไร ก็ต้องเกี่ยวข้องกับเทคโนโลยีสารสนเทศอย่างเลี่ยงไม่ได้ อย่างน้อยข้อมูลส่วนตัวของเราก็ถูกจัดเก็บในฐานข้อมูลของรัฐบาล ลองนึกดูว่าจะเกิดอะไรขึ้นหากชื่อของนาย ก. ถูกลบออกจากบัญชีทะเบียนราษฎร์ นั่นหมายถึง นาย ก. ไม่มีตัวตนและไม่สามารถใช้สิทธิของประชาชนในการรับบริการรัฐได้ จะเห็นได้ว่าข้อมูลนี้มีความสำคัญมากเพราะเป็นหลักฐานในการพิสูจน์ตัวตนของเรา หากมองในแง่ความมั่นคงปลอดภัยของสารสนเทศแล้ว ข้อมูลนี้จำเป็นต้องได้รับการปกป้องดูแลความถูกต้องสมบูรณ์และความน่าเชื่อถือ หากข้อมูลถูกเปลี่ยนแปลงโดยผู้ไม่ประสงค์ดีย่อมส่งผลเสียต่อเจ้าของข้อมูลอย่างหลีกเลี่ยงไม่ได้

- ความพร้อมใช้งาน (Availability)

การทำให้ระบบตอบสนองความต้องการของผู้ใช้งานที่มีสิทธิเข้าถึงระบบได้เมื่อต้องการ อุปสรรคที่บั่นทอนความพร้อมใช้งานของระบบคอมพิวเตอร์จำแนกได้ 2 แบบ คือ

- การที่ระบบคอมพิวเตอร์ปฏิเสธการให้บริการ (Denial of Service)

- ระบบคอมพิวเตอร์ทำงานด้อยประสิทธิภาพในการทำงาน (Loss of data processing capability)

ระบบคอมพิวเตอร์ปฏิเสธการให้บริการ อาจเกิดจากการกระทำของผู้ใช้ระบบ ผู้บุกรุกที่มีเจตนาร้าย หรือเกิดจากภัยธรรมชาติ เช่น น้ำท่วม ไฟไหม้ แผ่นดินไหวทำให้ระบบคอมพิวเตอร์เสียหายก็เป็นได้ องค์กรที่ตระหนักถึงภัยคุกคามดังกล่าวอาจเตรียมแผนกู้คืนจากความเสียหาย (Disaster Recovery Plan)ไว้รองรับ หน่วยงานรัฐที่ให้บริการสารธารณะต่างใช้ระบบคอมพิวเตอร์ควบคุมการทำงาน เช่นไฟฟ้า ประปา โทรศัพท์ เป็นต้น หากคอมพิวเตอร์ที่ควบคุมระบบเหล่านี้เกิดความเสียหายไม่สามารถให้บริการได้ ทำให้บริการต่างๆ หยุดชะงักย่อมส่งผลเสียต่อประชาชนในวงกว้าง นอกจากนี้หากไฟฟ้าดับเป็นเวลานาน ระบบต่างๆ จะเกิดความเสียหายอย่างใหญ่หลวง ตัวอย่างจริงที่เคยเกิดขึ้นในต่างประเทศ เมื่อหลายปีก่อนระบบคอมพิวเตอร์ของศูนย์กระจายสินค้าเกิดความเสียหาย ไม่สามารถจ่ายกระแสไฟฟ้าไปยังคอนเทนเนอร์ที่ติดตั้งระบบทำความเย็นเป็นเวลาหลายวัน ส่งผลให้สินค้าในตู้คอนเทนเนอร์ดังกล่าวเสียหายทั้งหมด นอกจากนี้ยังทำให้ลูกค้าขอยกเลิกสัญญาเนื่องจากไม่ไว้วางใจในการบริการ เกิดความสูญเสียมูลค่ามหาศาล

ผู้เขียน : Pryn Sereepong, CISA, CEH, ISMS(IRCA)
pryn@ftpi.or.th

องค์ประกอบของความมั่นคงปลอดภัยของสารสนเทศ

Posted by pryn No comments

- ความลับ (Confidentiality)

- ความถูกต้องสมบูรณ์ (Integrity)

- ความพร้อมใช้งาน (Availability)

- การที่ระบบคอมพิวเตอร์ปฏิเสธการให้บริการ (Denial of Service)

- ระบบคอมพิวเตอร์ทำงานด้อยประสิทธิภาพในการทำงาน (Loss of data processing capability)

ISO 27001 (Information Security Management System-ISMS)มาตรฐานการจัดการความมั่นคงปลอดภัยของสารสนเทศ ประกอบด้วยข้อกำหนดที่ครอบคลุมถึงการ จัดทำ นำไปปฏิบัติ ทบทวนและเฝ้าระวัง รักษาความต่อเนื่อง รวมถึงปรับปรุงระบบให้สอดคล้องกับสถานะการณ์ ผู้ที่ประยุกต์ใช้มาตรฐานนี้ต้องจัดทำเอกสารให้ครอบคลุมข้อกำหนดข้างต้น และระบบที่จัดทำขึ้นนี้จะต้องเหมาะสมกับความเสี่ยงเชิงธุรกิจขององค์กร

มาตรฐานนี้ใช้แนวทาง PDCA (Plan-Do-Check-Act) เป็นโครงสร้างเช่นเดียวกับมาตรฐานที่รู้จักกันอย่างแพร่หลาย เช่น ISO 9001(Quality Management System-QMS) ISO14001(Environmental Management System-EMS) ดังนั้นองค์กรที่มีระบบ QMS,EMS อยู่แล้วสามารถเข้าใจแนวทางของ ISMS ได้ไม่ยากนัก เพียงแต่เปลี่ยนมุมมองมาสนใจที่ Information และวางแนวทางบริหารให้เกิดความมั่นคงปลอดภัย โดยผ่านกระบวนการ วางแผน (Plan) นำไปปฏิบัติ(Do) ทบทวนและตรวจสอบ(Check) และแก้ไขปรับปรุง (Act)

จะเห็นได้ว่าหลักการ PCDA สอดคล้องกับสามัญสำนึกทั่วไป คือก่อนทำอะไรควรมีการวางแผนล่วงหน้า พิจารณาให้รอบคอบแล้วลงจึงมือทำตามแผน หลังจากนั้นก็ตรวจสอบผลลัพธ์ว่าเป็นไปตามแผนที่วางไว้หรือไม่ หากไม่เป็นไปตามแผนก็ต้องแก้ไขปรับปรุง และนำบทเรียนมาพิจารณาในการวางแผนก่อนทำงานครั้งต่อไป ซึ่งแนวคิดนี้สามารถประยุกต์ใช้ในการทำมาตรฐาน ISO/IEC 27001 ได้เป็นอย่างดี

การที่องค์กรหนึ่งผ่านการรับรองมาตรฐานระบบการความมั่นคงปลอดภัยของสารสนเทศ ISO 27001 นั้นหมายถึง องค์กรดังกล่าวได้นำข้อกำหนดของมาตรฐาน ISO 27001 มาประยุกต์ใช้อย่างครบถ้วน และมีหลักฐานที่เป็นรูปธรรมให้เชื่อได้ว่าองค์กรดังกล่าวมีระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศที่ได้มาตรฐานสากล

ผู้เขียน : Pryn Sereepong, CISA, CEH, ISMS(IRCA)
pryn@ftpi.or.th

โครงสร้างของมาตรฐาน ISO 27001

Posted by pryn No comments

สมัครสมาชิก: ความคิดเห็น ( Atom )

Club27001 Information Security

What's New Here?

ภัยคุกคามและช่องโหว่: องค์ประกอบสำคัญในการจัดการความเสี่ยงตาม ISO 27001

ภัยคุกคามและช่องโหว่: องค์ประกอบสำคัญในการจัดการความเสี่ยงตาม ISO 27001

EP1 : การเตรียมตัวสำหรับตัวแทนฝ่ายบริหารระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศ ISMR (Information Security Management Representative)

EP1 : การเตรียมตัวสำหรับตัวแทนฝ่ายบริหารระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศ ISMR (Information Security Management Representative)

ภัยคุกคาม และช่องโหว่ (Threat and Vulnerability)

ภัยคุกคาม และช่องโหว่ (Threat and Vulnerability)

องค์ประกอบของความมั่นคงปลอดภัยของสารสนเทศ

- ความลับ (Confidentiality)

- ความถูกต้องสมบูรณ์ (Integrity)

- ความพร้อมใช้งาน (Availability)

องค์ประกอบของความมั่นคงปลอดภัยของสารสนเทศ

- ความลับ (Confidentiality)

- ความถูกต้องสมบูรณ์ (Integrity)

- ความพร้อมใช้งาน (Availability)

โครงสร้างของมาตรฐาน ISO 27001

โครงสร้างของมาตรฐาน ISO 27001

Tags

Latest Tweets

บทความที่ได้รับความนิยม

Stat