Information Security Management Framework
การบริหารจัดการระบบรักษาความปลอดภัยข้อมูลอย่างเป็นระบบและมีประสิทธิภาพ
ปัจจุบันผู้บริหารระบบเทคโนโลยีสารสนเทศระดับสูงหรือ CIO (Chief Information Officer) นั้น มีความจำเป็นที่จะต้องศึกษามาตรฐานสากลด้านการรักษาความมั่นคงปลอดภัยใน ระบบเทคโนโลยีสารสนเทศเพื่อนำมาประยุกต์ใช้ในองค์กรเหตุผลมีหลายประการ เช่น องค์กรต้อง "Compliance" หรือ “ ผ่านการตรวจสอบ ” จากผู้ตรวจสอบ ระบบสารสนเทศ เพื่อให้เป็นไปตามกฎหมายของประเทศที่องค์กรนั้น ตั้งสำนักงานอยู่ เช่น ใน สหรัฐอเมริกา องค์กรที่จดทะเบียนในตลาดหลักทรัพย์ต้องปฏิบัติตามกฎหมาย Gramm-Leach- Bliley (GLB) กฎหมาย Health Insurance Portability and Accountability Act (HIPAA) และ ล่าสุด กฎหมาย Sarbanes-Oxley (SOX) ซึ่งทำให้อาชีพทางด้านผู้ตรวจสอบระบบสารสนเทศกำลังเป็นที่ ต้องการ โดยเฉพาะองค์กรที่ต้องเตรียมรับการตรวจสอบจากองค์กรภายนอก ขณะเดียวกัน ผู้บริหารสารสนเทศขององค์กรเอง ก็ต้องมีการเตรียมตัวเพื่อที่จะรับการตรวจสอบจากผู้ตรวจ สอบสารสนเทศภายในที่อาจมาจากต่างประเทศในกรณีที่องค์กรเป็นบริษัทข้ามชาติ หรือมาจาก ผู้ตรวจสอบสารสนเทศภายนอกที่มีความชำนาญและมีความเป็นกลางในการตรวจสอบ มาตรฐานสากลที่นิยมใช้กันทั่วโลก ได้แก่
1. มาตรฐาน ISO/IEC17799: 2005 (Second Edition) หรือ BS7799-1
มาตรฐาน ISO/IEC17799: 2005 (Second Edition) ถูกประกาศอย่างเป็นทางการเมื่อเดือนมิถุนายน ปี 2005 ได้มีการปรับปรุงแก้ไขมาจากต้นฉบับ ISO/IEC 17799:2000 (First Edition) จากปี 2000 ในประเทศไทยคณะอนุกรรมการความมั่นคงภายใต้คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ ซึ่งจัดตั้งขึ้นตามพระราชบัญญัติการประกอบธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2546 ได้นำมาตรฐาน ISO/IEC17799 :2000 (First Edition) หรือ BS7799-1 มาเป็นแนวทางในการกำหนดมาตรฐานการรักษาความปลอดภัยในการประกอบธุรกรรมทางอิเล็กทรอนิกส์ของประเทศไทยจำนวน 144 ข้อเพื่อให้เป็นแนวทางเสริมสร้างการรักษาความปลอดภัยให้กับองค์กรหรือหน่วยงานที่เกี่ยวข้องกับการประกอบธุรกรรมทางอิเล็กทรอนิกส์ โดยกำหนดมาตรฐานออกเป็น 3 ระดับ คือ ระดับ 1 ควรปฏิบัติ 31 ข้อ , ระดับ 2 ควรปฏิบัติ 104 ข้อ และ ระดับ 3 ซึ่งเป็นระดับความปลอดภัยสูงสุด ควรปฏิบัติทั้งหมด 144 ข้อ การนำมาตรฐาน ISO/IEC17799 : 2005 มาปฏิบัติในองค์กร สามารถนำองค์กรไปสู่การ “Certified” โดย Certification Body ตามมาตรฐาน BS7799-2:2002 ขณะนี้องค์กรทั่วโลกกำลังให้ความสนใจเรื่องความปลอดภัยระบบเทคโนโลยีสารสนเทศ ตัวอย่างในประเทศญี่ปุ่นนั้น มีองค์กรได้รับการรับรองมาตรฐาน BS7799-2 ไปแล้วกว่า 900 องค์กร แสดงให้เห็นถึงมาตรฐานด้านความปลอดภัยระบบเทคโนโลยีสารสนเทศที่พัฒนากว่าประเทศเพื่อนบ้าน ปัจจุบัน การรับรองมาตรฐาน BS7799-2: 2002 กำลังพัฒนาเปลี่ยนแปลงเป็น ISO/IEC 27001:2005 ที่คาดว่าจะประกาศอย่างเป็นทางการประมาณเดือนพฤศจิกายนนี้ ซึ่งจะสอดคล้องกับมาตรฐาน ISO/IEC17799:2005(BS7799-1) ที่ถูกประกาศบอกมาแล้วก่อนหน้านี้
มาตรฐาน ISO/IEC17799: 2005 (Second Edition) ถูกประกาศอย่างเป็นทางการเมื่อเดือนมิถุนายน ปี 2005 ได้มีการปรับปรุงแก้ไขมาจากต้นฉบับ ISO/IEC 17799:2000 (First Edition) จากปี 2000 ในประเทศไทยคณะอนุกรรมการความมั่นคงภายใต้คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ ซึ่งจัดตั้งขึ้นตามพระราชบัญญัติการประกอบธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2546 ได้นำมาตรฐาน ISO/IEC17799 :2000 (First Edition) หรือ BS7799-1 มาเป็นแนวทางในการกำหนดมาตรฐานการรักษาความปลอดภัยในการประกอบธุรกรรมทางอิเล็กทรอนิกส์ของประเทศไทยจำนวน 144 ข้อเพื่อให้เป็นแนวทางเสริมสร้างการรักษาความปลอดภัยให้กับองค์กรหรือหน่วยงานที่เกี่ยวข้องกับการประกอบธุรกรรมทางอิเล็กทรอนิกส์ โดยกำหนดมาตรฐานออกเป็น 3 ระดับ คือ ระดับ 1 ควรปฏิบัติ 31 ข้อ , ระดับ 2 ควรปฏิบัติ 104 ข้อ และ ระดับ 3 ซึ่งเป็นระดับความปลอดภัยสูงสุด ควรปฏิบัติทั้งหมด 144 ข้อ การนำมาตรฐาน ISO/IEC17799 : 2005 มาปฏิบัติในองค์กร สามารถนำองค์กรไปสู่การ “Certified” โดย Certification Body ตามมาตรฐาน BS7799-2:2002 ขณะนี้องค์กรทั่วโลกกำลังให้ความสนใจเรื่องความปลอดภัยระบบเทคโนโลยีสารสนเทศ ตัวอย่างในประเทศญี่ปุ่นนั้น มีองค์กรได้รับการรับรองมาตรฐาน BS7799-2 ไปแล้วกว่า 900 องค์กร แสดงให้เห็นถึงมาตรฐานด้านความปลอดภัยระบบเทคโนโลยีสารสนเทศที่พัฒนากว่าประเทศเพื่อนบ้าน ปัจจุบัน การรับรองมาตรฐาน BS7799-2: 2002 กำลังพัฒนาเปลี่ยนแปลงเป็น ISO/IEC 27001:2005 ที่คาดว่าจะประกาศอย่างเป็นทางการประมาณเดือนพฤศจิกายนนี้ ซึ่งจะสอดคล้องกับมาตรฐาน ISO/IEC17799:2005(BS7799-1) ที่ถูกประกาศบอกมาแล้วก่อนหน้านี้
2. มาตรฐาน CobiT (Control Objective for Information and Related Technology)
มาตรฐาน CobiT ถูกพัฒนาขึ้นโดย ISACA และ IT Governance Institute เพื่อองค์กรที่ต้องการมุ่งสู่การเป็น “ ไอทีภิบาล ” หรือ “IT Governance” มาตรฐาน CobiT เป็นแนวคิดและแนวทางปฏิบัติของผู้บริหารระบบสารสนเทศ และขณะเดียวกันก็เป็นแนวทางปฏิบัติสำหรับผู้ตรวจสอบระบบสารสนเทศด้วย โครงสร้างของมาตรฐาน CobiT นั้นแบ่งออกเป็น 4 กระบวนการหลัก ประกอบด้วย High Level Control Objective ทั้งหมด 34 หัวข้อ และ Detail Control Objective แบ่งแยกย่อยอีกทั้งหมด 318 หัวข้อย่อย CobiT เป็นมาตรฐานเปิดที่สามารถ Download ได้ที่ Web Site ของ ISACA ในประเทศไทย สมาคมผู้ตรวจสอบและควบคุมระบบสารสนเทศ ภาคพื้นกรุงเทพฯ มีโครงการในการแปลมาตรฐาน CobiT ออกมาเป็นภาษาไทย และ ทางสมาคม ISACA สหรัฐอเมริกากำลังจะออก CobiT Version 4 ซึ่งมีการปรับปรุงจาก COBIT Version 3.2 ปัจจุบัน แนวคิดของมาตรฐาน CobiT กำลังเป็นที่นิยมในกลุ่มธุรกิจด้านการเงินและการธนาคาร ยกตัวอย่างเช่น ธนาคารแห่งประเทศไทย และสำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ หรือ กลต. ที่นำมาตรฐาน CobiT มาเป็นแนวทางในการออกข้อกำหนดและกฎข้อบังคับต่างที่ธนาคารพาณิชย์และบริษัทหลักทรัพย์ต่าง ๆ ควรนำมาปฏิบัติ โดยขณะนี้ได้ออกประกาศเรื่องการควบคุมการปฏิบัติงานและแนวทางปฏิบัติในการรักษาความปลอดภัยด้านเทคโนโลยีสารสนเทศและการให้บริการการเงินทางอิเล็กทรอนิกส์เพื่อเป็นแนวทางให้กับธนาคารพาณิชย์และบริษัทหลักทรัพย์ต่าง ๆ ในประเทศไทยแล้ว
มาตรฐาน CobiT ถูกพัฒนาขึ้นโดย ISACA และ IT Governance Institute เพื่อองค์กรที่ต้องการมุ่งสู่การเป็น “ ไอทีภิบาล ” หรือ “IT Governance” มาตรฐาน CobiT เป็นแนวคิดและแนวทางปฏิบัติของผู้บริหารระบบสารสนเทศ และขณะเดียวกันก็เป็นแนวทางปฏิบัติสำหรับผู้ตรวจสอบระบบสารสนเทศด้วย โครงสร้างของมาตรฐาน CobiT นั้นแบ่งออกเป็น 4 กระบวนการหลัก ประกอบด้วย High Level Control Objective ทั้งหมด 34 หัวข้อ และ Detail Control Objective แบ่งแยกย่อยอีกทั้งหมด 318 หัวข้อย่อย CobiT เป็นมาตรฐานเปิดที่สามารถ Download ได้ที่ Web Site ของ ISACA ในประเทศไทย สมาคมผู้ตรวจสอบและควบคุมระบบสารสนเทศ ภาคพื้นกรุงเทพฯ มีโครงการในการแปลมาตรฐาน CobiT ออกมาเป็นภาษาไทย และ ทางสมาคม ISACA สหรัฐอเมริกากำลังจะออก CobiT Version 4 ซึ่งมีการปรับปรุงจาก COBIT Version 3.2 ปัจจุบัน แนวคิดของมาตรฐาน CobiT กำลังเป็นที่นิยมในกลุ่มธุรกิจด้านการเงินและการธนาคาร ยกตัวอย่างเช่น ธนาคารแห่งประเทศไทย และสำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ หรือ กลต. ที่นำมาตรฐาน CobiT มาเป็นแนวทางในการออกข้อกำหนดและกฎข้อบังคับต่างที่ธนาคารพาณิชย์และบริษัทหลักทรัพย์ต่าง ๆ ควรนำมาปฏิบัติ โดยขณะนี้ได้ออกประกาศเรื่องการควบคุมการปฏิบัติงานและแนวทางปฏิบัติในการรักษาความปลอดภัยด้านเทคโนโลยีสารสนเทศและการให้บริการการเงินทางอิเล็กทรอนิกส์เพื่อเป็นแนวทางให้กับธนาคารพาณิชย์และบริษัทหลักทรัพย์ต่าง ๆ ในประเทศไทยแล้ว
3. มาตรฐาน ITIL (IT Infrastructure Library)/BS15000
มาตรฐาน ITIL มีต้นตอมาจากประเทศอังกฤษ ซึ่งทางรัฐบาลประเทศอังกฤษ โดย OGC (Office of Government Commerce) พัฒนาร่วมกับ BSI (British Standard Institute) มีวัตถุประสงค์ในการสร้าง Best Practice สำหรับกระบวนการบริหารงานบริการด้านสารสนเทศ ( IT Service Management) มาตรฐาน ITIL กล่าวถึง “Best Practice” ในการบริหารจัดการงานให้บริการด้านระบบสารสนเทศที่ควรจะเป็นและมีประสิทธิภาพและ ประสิทธิผลชัดเจน เช่น มาตรฐานด้าน Service Support และ Service Delivery ตลอดจน การกำหนด SLA (Service Level Agreement) เป็นต้น ปัจจุบันแนวโน้มด้านการ “Outsource” การบริหารจัดการเทคโนโลยีสารสนเทศมีการเพิ่มขึ้นอย่างรวดเร็ว ดังนั้นมาตรฐานในการควบคุมคุณภาพของการให้บริการจึงถือเป็นเรื่องสำคัญที่องค์กรควรจะศึกษาและกำหนดเป็นมาตรฐานขั้นต่ำให้กับ Outsourcer Company ที่รับงานบริการด้านสารสนเทศไปจัดการแทนองค์กรเพื่อให้เกิดประสิทธิผลและประสิทธิภาพสูงสุดในการให้บริการ สร้างความพึงพอใจให้กับผู้ใช้คอมพิวเตอร์ทั่วไป และส่งผลต่อภาพลักษณ์ของผู้บริหารเทคโนโลยีสารสนเทศระบบสูงในทางอ้อมอีกด้วย
มาตรฐาน ITIL มีต้นตอมาจากประเทศอังกฤษ ซึ่งทางรัฐบาลประเทศอังกฤษ โดย OGC (Office of Government Commerce) พัฒนาร่วมกับ BSI (British Standard Institute) มีวัตถุประสงค์ในการสร้าง Best Practice สำหรับกระบวนการบริหารงานบริการด้านสารสนเทศ ( IT Service Management) มาตรฐาน ITIL กล่าวถึง “Best Practice” ในการบริหารจัดการงานให้บริการด้านระบบสารสนเทศที่ควรจะเป็นและมีประสิทธิภาพและ ประสิทธิผลชัดเจน เช่น มาตรฐานด้าน Service Support และ Service Delivery ตลอดจน การกำหนด SLA (Service Level Agreement) เป็นต้น ปัจจุบันแนวโน้มด้านการ “Outsource” การบริหารจัดการเทคโนโลยีสารสนเทศมีการเพิ่มขึ้นอย่างรวดเร็ว ดังนั้นมาตรฐานในการควบคุมคุณภาพของการให้บริการจึงถือเป็นเรื่องสำคัญที่องค์กรควรจะศึกษาและกำหนดเป็นมาตรฐานขั้นต่ำให้กับ Outsourcer Company ที่รับงานบริการด้านสารสนเทศไปจัดการแทนองค์กรเพื่อให้เกิดประสิทธิผลและประสิทธิภาพสูงสุดในการให้บริการ สร้างความพึงพอใจให้กับผู้ใช้คอมพิวเตอร์ทั่วไป และส่งผลต่อภาพลักษณ์ของผู้บริหารเทคโนโลยีสารสนเทศระบบสูงในทางอ้อมอีกด้วย
4. มาตรฐาน SANS TOP20 มาตรฐาน SANS TOP20 เป็นมาตรฐานในการตรวจสอบระบบสารสนเทศ
สำหรับระบบความปลอดภัยบนระบบปฏิบัติการ Microsoft Windows และ UNIX/Linux ที่ได้รับการยอมรับกันโดยทั่วไป มาตรฐาน SANS Top 20 มีมาตั้งแต่ปี 2000 ขณะนี้ SANS Top 20 ล่าสุด ได้มีการปรับปรุงมา 4 ครั้ง และปรับปรุงในปี 2004 เรียกว่า SANS Top 20 2004 โดยแบ่งออกเป็นการเตือนช่องโหว่ของระบบปฏิบัติการ Windows 10 ช่องโหว่ และการเตือนช่องโหว่ระบบปฏิบัติการ UNIX/ Linux อีก 10 ช่องโหว่ รายละเอียดดูที่ http://www.sans.org/top20 ปัจจุบัน SANS ได้ออก SANS Top 20 2005 Quarter 1 and Quarter 2 update มาเพิ่มเติมด้วย
5. มาตรฐาน ISMF 7 (Information Security Management Framework)ISMF 7
เป็นมาตรฐานตรวจสอบและประเมินความปลอดภัยระบบสารสนเทศที่พัฒนาโดยนักวิชาการคนไทย จุดประสงค์เพื่อให้เป็นแนวทางในการบริหารจัดการระบบรักษาความปลอดภัยข้อมูลอย่างเป็นระบบและมีประสิทธิภาพให้ทันกับสถานการณ์ปัจจุบันของการโจมตีระบบโดยแฮกเกอร์และมัลแวร์ต่างๆ นอกจาก CIO ยุคใหม่ต้องศึกษามาตรฐานสากลด้านการรักษาความมั่นคงปลอดภัยแล้ว พวกเขายังมีหน้าที่ในการ กำหนดยุทธศาสตร์ ทิศทางด้านเทคโนโลยีสารสนเทศขององค์กร ตลอดจนมาตรการในการรักษาความปลอดภัยเทคโนโลยีสารสนเทศขององค์กร เนื่องจากเป็นมีบุคลากรที่รับผิดชอบในเรื่องนี้โดยตรง ในกรณีที่ยังไม่มีตำแหน่ง CSO (Chief Security Office) หรือ CISO (Chief Information Security Officer) มารับผิดชอบด้านความปลอดภัยสารสนเทศโดยตรง CIO ก็ต้องรับผิดชอบเรื่องความปลอดภัยไปด้วยในตัว ซึ่งนับว่าเป็นภาวะความรับผิดชอบที่ค่อนข้างสูง เพราะเรื่องความปลอดภัยเทคโนโลยีระบบสารสนเทศนั้น มีการเปลี่ยนแปลงอยู่เสมอ CIO ต้องคอยติดตามความเคลื่อนไหวและปรับปรุงความรู้ความสามารถให้สอดคล้องกับสถานการณ์ปัจจุบัน และยังต้องตัดสินใจเรื่องการเลือกใช้เทคโนโลยีด้านความปลอดภัยที่เหมาะสมแก่องค์กรทั้งในเรื่องของ TCO (Total Cost of Ownership) และ ROI (Return On Investment) จากข้อมูลของ Gartner เรื่อง Hype Cycle for Information Security 2004 ปัญหาด้านความปลอดภัยระบบเทคโนโลยีสารสนเทศยังเป็นประเด็นสำคัญที่ CIO ต้องให้ความสนใจและจัดการอย่างเป็นระบบ ไม่ว่าจะเป็น Spyware, Phishing, SPAM และ Peer-to-Peer Exploit ขณะเดียวกันเทคโนโลยีและบริการที่ CIO ใช้ในการแก้ปัญหาดังกล่าว บางเทคโนโลยี เช่น IDS นั้น ล้าสมัยไปแล้ว ทุกวันนี้ เทคโนโลยีใหม่เข้ามาแทนที่ เช่น IPS, Vulnerability Management และ Patch Management เป็นต้น ส่วนการให้บริการเฝ้าระวังระบบรักษาความปลอดภัยจากบริษัทที่รับดูแลด้านความปลอดภัยโดยตรง ที่เรียกตัวเองว่า MSSP (Managed Security Service Provider) ก็กำลังได้รับความนิยมจาก CIO เพิ่มขึ้นเช่นกัน ดังนั้น CIO ควรมีกลยุทธ์ในการบริหารจัดการเทคโนโลยี
สารสนเทศที่ดีและเตรียมพร้อมกับสถานการณ์ปัจจุบัน และอนาคต โดยสรุปได้ 6 ข้อดังนี้
1. มีกลยุทธ์ในการรับผิดชอบดูแลเรื่องการประหยัดงบประมาณ การใช้จ่ายทางด้านเทคโนโลยีสารสนเทศการจัดซื้อจัดจ้างระบบเทคโนโลยีสารสนเทศ จำเป็นต้องใช้งบประมาณค่อนข้างสูง การตัดสินใจเลือกใช้เทคโนโลยีใหม่จึงเป็นความท้าทายของ CIO เพราะหากตัดสินใจผิดก็อาจส่งผลเสียในระยะยาวให้แก่องค์กรได้ ขณะที่งบประมาณด้านการรักษาความปลอดภัย มีแนวโน้มที่จะลดลงตามสภาวะเศรษฐกิจโลกที่ถดถอย แต่การโจมตีจากแฮกเกอร์ และไวรัสกลับมีแนวโน้มเพิ่มขึ้น ดังนั้น CIO จึงจำเป็นต้อง “Balance” ปรับสมดุล ระหว่างความปลอดภัยขั้นต่ำที่องค์กรควรมี และงบประมาณที่จะถูกใช้จ่ายออกไปเพื่อให้ได้มาซึ่งอุปกรณ์ฮาร์ดแวร์และซอฟต์แวร์ ตลอดจนการบริการจาก IT Auditor, IT Consultant, System Integrator และ IT Outsourcer รวมถึงงบประมาณการฝึกอบรม Information Security Awareness Training และ Information Security Technical Training จาก IT Training Center ต่าง ๆ อีกด้วย
2. กำหนดแผนยุทธ์ศาสตร์ด้านความปลอดภัยระบบสารสนเทศให้ชัดเจนและนำไปปฏิบัติจริงได้ แผนยุทธ์ศาสตร์ในระยะยาวควรกำหนดออกมาให้ชัดเจน เพื่อเป็นแนวทางในการดำเนินการด้านสารสนเทศและการรักษาความปลอดภัยข้อมูลสารสนเทศ จากนั้น แผนระยะกลางและแผนระยะสั้น ก็ควรถูกกำหนดออกมาเช่นกัน ยกตัวอย่าง เช่น องค์กรควรมีการจัดทำการประเมินความเสี่ยงระบบสารสนเทศเป็นประจำทุกปี และควรมีการจัดทำแผนฝึกอบรม Information Security Awareness Training ในทุกๆ 3 – 6 เดือน เป็นต้น
3. เพิ่มความรู้และมีความรอบรู้เพื่อใช้ประกอบการตัดสินใจเลือกใช้เทคโนโลยีที่เหมาะสมและไม่ล้าสมัย ยกตัวอย่างการเลือกใช้แพลตฟอร์มว่าจะใช้ Windows Server 2003 Platform หรือ UNIX/LINUX Platform การเลือกใช้เทคโนโลยี J2EE (Jave 2 Enterpirse Edition) หรือเลือกใช้เทคโนโลยี Dot NET ของ Microsoft เป็นต้น การหมั่นเข้าร่วมฟังงานสัมมนาเทคโนโลยีใหม่ ๆ ก็เป็นเรื่องจำเป็นของ CIO เช่นเดียวกัน ซึ่งก็คงต้องปลีกเวลาการทำงานบ้างเพื่อเพิ่มพูนความรู้ใหม่ ๆ ที่เป็นประโยชน์ในการตัดสินใจในอนาคต การเดินทางไปชมงาน ICT Expo ในต่างประเทศ ก็ควรอยู่ในโปรแกรมของ CIO ด้วย
4. นำองค์กรเข้าสู่มาตรฐานกำหนดความปลอดภัยสารสนเทศที่สากล ให้การยอมรับและเตรียมพร้อมสำหรับการตรวจสอบจากผู้ตรวจสอบระบบสารสนเทศ
การนำมาตรฐานสากลด้านความปลอดภัยระบบสารสนเทศ เช่น ISO/IEC17799 หรือ CobiT มาประยุกต์ใช้บางส่วน ถือเป็นเรื่องจำเป็น CIO ต้องให้ความสำคัญเช่นกัน โดยองค์กรอาจจะไม่จำเป็นต้องได้รับใบรับรองมาตรฐาน BS7799-2 ในกรณีที่องค์กรมองว่าประโยชน์ที่ได้รับจากการได้รับใบรับรองมาตรฐานด้านความปลอดภัยนั้นยังไม่ชัดเจน แต่องค์กรก็ควรนำมาตรฐานสากลที่เป็น “Best Practice” ต่าง ๆ มาประยุกต์ใช้ เพื่อความปลอดภัยขององค์กรเอง และ เพื่อให้สอดคล้องกับยุคของไอทีภิบาล การตรวจสอบระบบสารสนเทศโดยผู้ตรวจสอบภายนอกหรือผู้ตรวจสอบภายในเป็นเรื่องจำเป็นที่ต้องทำเป็นประจำทุกปีเพื่อให้แน่ใจถึงระดับของความเสี่ยงที่ผู้บริหารยอมรับได้ และไม่ส่งผลกระทบต่อองค์กร
5. รักษาความสัมพันธ์ที่ดีกับผู้ร่วมงานและพัฒนาการสื่อสารกับผู้ร่วมงานให้มีความชัดเจนและความเข้าใจในทิศทางเดียวกัน
ปัญหาของ CIO ในหลายองค์กร คือ ไม่สามารถอธิบายการทำงานด้านสารสนเทศต่าง ๆ ให้ผู้บริหารระดับสูง เช่น CEO หรือ CFO เข้าใจ และให้การสนับสนุนได้อย่างมากพอ ทำให้หลายโครงการด้านสารสนเทศ ไม่ประสบความสำเร็จ ดังนั้น CIO ควรต้องมีทักษะในการพูดคุย การติดต่อ ตลอดจนการนำเสนอในรูปแบบมืออาชีพ ที่มีความชัดเจน และ ง่ายต่อการเข้าใจของผู้บริหารระดับสูงที่ไม่ใช่ “ คนไอที ” ตลอดจน CIO ควรรักษาความสัมพันธ์กับ System Integrator, Consultant, Supplier และ Outsourcer เพื่อให้บริษัทเหล่านี้มาช่วยแบ่งเบาภาระของ CIO และ เป็นการ Transfer Risk ไปในตัว ความสัมพันธ์ที่ดีกับหน่วยงานต่าง ๆ ดังกล่าวจะส่งผลช่วย CIO ในทางอ้อมต่อประสิทธิภาพในการปฏิบัติงานและภาพลักษณ์ของตัว CIO เอง
6. เตรียมรับสถานการณ์ฉุกเฉินด้านความปลอดภัยสารสนเทศที่อาจเกิดขึ้นได้
แผน BCP (Business Continuity Planning) และ DRP (Disaster Recovery Planning) ควรถูกจัดทำขึ้นเพื่อให้องค์กรพร้อมกับการเตรียมรับเหตุการณ์ฉุกเฉิน หรือ Incident Response Management ที่อาจเกิดขึ้นและส่งผลกระทบต่อการทำงานโดยรวมขององค์กรได้ โดย CIO ต้องช่วยสนับสนุนและเป็นแกนหลักในการจัดทำแผนดังกล่าวด้วย กล่าวโดยสรุป ตำแหน่ง CIO นั้นเป็นตำแหน่งที่มีความสำคัญต่อองค์กรอย่างสูงในยุคที่เทคโนโลยีระบบสารสนเทศ และการสื่อสาร เข้ามามีบทบาทสำคัญต่อการดำเนินงานขององค์กรในปัจจุบัน การกำหนดกลยุทธ์ในการบริหารจัดการเทคโนโลยีสารสนเทศและการรักษาความปลอดภัยสารสนเทศเป็นเรื่องสำคัญที่ CIO ทุกท่านต้องจัดทำขึ้น และ CIO จะต้องมีความรับผิดชอบในเรื่องดังกล่าวโดยปริยาย ทั้งนี้ เนื่องจากในอนาคตกฏหมายต่าง ๆ ที่กำลังจะถูกประกาศใช้ เช่น กฏหมายการกระทำผิดเกี่ยวกับคอมพิวเตอร์ หรือประกาศกฏข้อบังคับต่างๆ ขององค์กรที่มีหน้าที่ในการควบคุม เช่น สตง. ธนาคารแห่งประเทศไทย หรือ กลต. มีแนวโน้มที่จะเข้มงวดเรื่องการรักษาความปลอดภัยข้อมูลระบบสารสนเทศมากขึ้น CIO ก็ควรจะปรับตัวให้เข้ากับยุคสมัยทศวรรษแห่งดิจิตอลเพื่อนำองค์กรเข้าสู่ “ ไอทีภิบาล ” เพื่อจุดมุ่งหมายปลายทาง คือ Corporate Governance หรือ “ บรรษัทภิบาล ”
แผน BCP (Business Continuity Planning) และ DRP (Disaster Recovery Planning) ควรถูกจัดทำขึ้นเพื่อให้องค์กรพร้อมกับการเตรียมรับเหตุการณ์ฉุกเฉิน หรือ Incident Response Management ที่อาจเกิดขึ้นและส่งผลกระทบต่อการทำงานโดยรวมขององค์กรได้ โดย CIO ต้องช่วยสนับสนุนและเป็นแกนหลักในการจัดทำแผนดังกล่าวด้วย กล่าวโดยสรุป ตำแหน่ง CIO นั้นเป็นตำแหน่งที่มีความสำคัญต่อองค์กรอย่างสูงในยุคที่เทคโนโลยีระบบสารสนเทศ และการสื่อสาร เข้ามามีบทบาทสำคัญต่อการดำเนินงานขององค์กรในปัจจุบัน การกำหนดกลยุทธ์ในการบริหารจัดการเทคโนโลยีสารสนเทศและการรักษาความปลอดภัยสารสนเทศเป็นเรื่องสำคัญที่ CIO ทุกท่านต้องจัดทำขึ้น และ CIO จะต้องมีความรับผิดชอบในเรื่องดังกล่าวโดยปริยาย ทั้งนี้ เนื่องจากในอนาคตกฏหมายต่าง ๆ ที่กำลังจะถูกประกาศใช้ เช่น กฏหมายการกระทำผิดเกี่ยวกับคอมพิวเตอร์ หรือประกาศกฏข้อบังคับต่างๆ ขององค์กรที่มีหน้าที่ในการควบคุม เช่น สตง. ธนาคารแห่งประเทศไทย หรือ กลต. มีแนวโน้มที่จะเข้มงวดเรื่องการรักษาความปลอดภัยข้อมูลระบบสารสนเทศมากขึ้น CIO ก็ควรจะปรับตัวให้เข้ากับยุคสมัยทศวรรษแห่งดิจิตอลเพื่อนำองค์กรเข้าสู่ “ ไอทีภิบาล ” เพื่อจุดมุ่งหมายปลายทาง คือ Corporate Governance หรือ “ บรรษัทภิบาล ”
โมเดลในการบริหารจัดการระบบรักษาความปลอดภัยข้อมูลอย่างเป็นระบบและมีประสิทธิภาพ
โมเดล ISMF นั้นประกอบไปด้วย 4 งานหลัก (Plan, Do, Check, Act ในภาพ) และแต่ละงานหลักมี 4 งานย่อย (รูปทรงกราฟวงกลมที่อยู่ถัดจากชื่องานหลัก) รวมทั้งหมด 16 งานย่อย โดยแต่ละงานหลักนั้นจะมีลูกศรสีแดงชี้ออกมาซึ่งหมายถึงผลลัพท์สุดท้ายของแต่ละงานหลัก และองค์ประกอบสุดท้ายคือวงแหวนรอบนอกซึ่งแสดงถึงงานซึ่งจะต้องทำอย่างต่อเนื่อง สม่ำเสมอตลอดโครงการไม่จำกัดว่าจะต้องทำในช่วงงานหลักใด สำหรับความหมายและหน้าที่ขององค์ประกอบต่างๆในโมเดล ISMF นั้นมีรายละเอียดดังนี้
1.การวางแผนด้านการรักษาความปลอดภัยของข้อมูล (Plan) มีคำกล่าวที่ว่า "หากต้องการดำเนินการใดๆอย่างราบรื่น แล้วการวางแผนอย่างรัดกุมนั้นเป็นสิ่งสำคัญที่ขาดไม่ได้" ซึ่งในมุมมองด้านการรักษาความปลอดภัยของข้อมูลก็เช่นกัน การวางแผนที่ดีนั้นจะทำให้ท่านทราบกิจกรรมที่จะต้องทำตลอดทั้งโครงการ โดยมีการคำนึงถึง Risk Management เป็นหลัก ซึ่งจะทำให้ความเข้มของการรักษาความปลอดภัยของข้อมูลนั้นไม่ตึงหรือหย่อนจนเกินไป อยู่ในระดับที่พอเหมาะกับ Risk Tolerance นั้นเอง ในขั้นตอนวางแผนนี้ประกอบด้วยงานย่อยทั้งหมด 4 งาน ดังนี้
1.1Information Security Executive Briefing เป็นการเล่าถึง ขั้นตอน ขอบเขต ความต้องการ และข้อจำกัด ของโครงการให้กับผู้บริหารระดับสูงขององค์กร ทั้งนี้เพื่อเป็นการปรับความเข้าใจ ความคาดหวัง เตรียมความพร้อมเพื่อเริ่มโครงการ และเป็นการเก็บข้อมูลด้านธุรกิจขององค์กร เพื่อให้คำแนะนำเกี่ยวกับการตั้งโจทย์หรือเป้าหมายด้านการรักษาความปลอดภัยของข้อมูลขององค์กร ซึ่งอาจจะยึดมาตรฐานต่างๆ เช่น ISO/IEC 17799 (ISO/IEC27001) หรือมาตรฐานที่องค์กรประยุกต์ขึ้นเองก็ได้
1.2Gap Analysis เป็นการตรวจสอบองค์กรโดยการเปรียบเทียบกับมาตรฐานสากล เช่น ISO/IEC 17799 (ISO/IEC27001) ซึ่งจะช่วยให้การวางแผนเพื่อพัฒนาและปรับปรุงความปลอดภัยข้อมูลขององค์กรมีทิศทางที่ชัดเจนยิ่งขึ้น
1.3Information Security People, Process, and Technology Vulnerability Assessment เป็นการตรวจสอบหาช่องโหว่ด้านความปลอดภัยขององค์กรโดยมุ่งเน้นในด้าน บุคลากร กระบวนการ และเทคโนโลยี ซึ่งจะช่วยให้ผู้วางแผนได้ทราบข้อมูลจุดอ่อนขององค์กรในเชิงลึก ทำให้สามารถวางแผนได้ตรงความเป็นจริงมากขึ้น
1.4Penetration Testing คือการตรวจสอบด้านการรักษาความปลอดภัยของข้อมูลระดับลึกที่สุด โดยมีการแสดงผลและขั้นตอนในการนำเอาช่องโหว่ที่พบในขั้นตอน Vulnerability Assessment มาใช้ในการเจาะระบบจริง (Ethical Hacking) ซึ่งจะช่วยลด fault positive และ เพิ่ม Awareness ให้กับผู้บริหารและผู้ร่วมโครงการได้เป็นอย่างดี
1.1Information Security Executive Briefing เป็นการเล่าถึง ขั้นตอน ขอบเขต ความต้องการ และข้อจำกัด ของโครงการให้กับผู้บริหารระดับสูงขององค์กร ทั้งนี้เพื่อเป็นการปรับความเข้าใจ ความคาดหวัง เตรียมความพร้อมเพื่อเริ่มโครงการ และเป็นการเก็บข้อมูลด้านธุรกิจขององค์กร เพื่อให้คำแนะนำเกี่ยวกับการตั้งโจทย์หรือเป้าหมายด้านการรักษาความปลอดภัยของข้อมูลขององค์กร ซึ่งอาจจะยึดมาตรฐานต่างๆ เช่น ISO/IEC 17799 (ISO/IEC27001) หรือมาตรฐานที่องค์กรประยุกต์ขึ้นเองก็ได้
1.2Gap Analysis เป็นการตรวจสอบองค์กรโดยการเปรียบเทียบกับมาตรฐานสากล เช่น ISO/IEC 17799 (ISO/IEC27001) ซึ่งจะช่วยให้การวางแผนเพื่อพัฒนาและปรับปรุงความปลอดภัยข้อมูลขององค์กรมีทิศทางที่ชัดเจนยิ่งขึ้น
1.3Information Security People, Process, and Technology Vulnerability Assessment เป็นการตรวจสอบหาช่องโหว่ด้านความปลอดภัยขององค์กรโดยมุ่งเน้นในด้าน บุคลากร กระบวนการ และเทคโนโลยี ซึ่งจะช่วยให้ผู้วางแผนได้ทราบข้อมูลจุดอ่อนขององค์กรในเชิงลึก ทำให้สามารถวางแผนได้ตรงความเป็นจริงมากขึ้น
1.4Penetration Testing คือการตรวจสอบด้านการรักษาความปลอดภัยของข้อมูลระดับลึกที่สุด โดยมีการแสดงผลและขั้นตอนในการนำเอาช่องโหว่ที่พบในขั้นตอน Vulnerability Assessment มาใช้ในการเจาะระบบจริง (Ethical Hacking) ซึ่งจะช่วยลด fault positive และ เพิ่ม Awareness ให้กับผู้บริหารและผู้ร่วมโครงการได้เป็นอย่างดี
ภายหลังจากดำเนินงานทั้ง 4 งานย่อยข้างต้นแล้ว ผู้ตรวจสอบและผู้ร่วมโครงการจึงสามารถร่วมกันพัฒนาแผนงานด้านการรักษาความปลอดภัยของข้อมูลให้แก่องค์กรได้ ซึ่งแผนดังกล่าวนั้นเรียกว่า "Information Security Master Plan"
2.การนำแผนที่วางไว้มาปฏิบัติ (DO) ถึงแม้ว่าจะมีการวางแผนอย่างดีเพียงได้แต่หากปราศจากการดำเนินการอย่างเหมาะสมแล้ว โครงการคงไม่สามารถประสบความสำเร็จได้ ดังนั้นในขั้นตอนนี้จึงมีการนำผลลัพท์จากขั้นตอนที่ผ่านมาเพื่อใช้เป็นแนวทางปฏิบัติ โดยแบ่งเป็นการทำงานในเชิงเทคนิค และเชิงนโยบายรวมทั้งสิ้น 4 งานย่อยดังนี้
2.1Hardening เป็นการลดช่องโหว่ของระบบซึ่งเน้นในระดับ Host (Windows/UNIX) และ Network Device (Router, Switching) เป็นหลัก โดยแก้ไขเพื่อลดช่องโหว่ของเครื่องแม่ข่ายในระบบสำคัญๆ
2.2Defense in Depth เป็นการสร้างความปลอดภัยให้แก่ระบบในทุกระดับของระบบ ไม่ว่าจะเป็น DMZ, Network Gateway รวมไปถึง Host และ Application โดยเน้นการเขียนข้อกำหนดและ แนวทางเป็นหลัก
2.3Information Security Policy Development หมายถึงการพัฒนานโยบายด้านการรักษาความปลอดภัยของข้อมูล ซึ่งจะเป็นเส้นทางในการถ่ายทอด requirement ด้านการรักษาความปลอดภัยของข้อมูลขององค์กรมากสู่แนวทางและวิธีการปฏิบัติให้แก่พนักงานทุกคนในองค์กร
2.4Incident Response and BCP/DRP Plan การสร้างแผนจัดการกับเหตุการณ์ที่ไม่คาดฝัน และแผนสำรองฉุกเฉิน เพื่อรับมือกับภัยต่างๆที่อาจจะเกิดขึ้น เพื่อจำกัดความเสียหายให้เหลือน้อยที่สุด
ขั้นตอนที่ 2 นี้จะช่วยให้แผนที่วางไว้สามารถเกิดขึ้นจริงได้ในทางปฏิบัติ ซึ่งผลลัพท์ของขั้นตอนนี้นั้นจะเป็นเอกสารต่างๆที่เกี่ยวข้องกับการดำเนินงานได้แก่ นโยบายรักษาความปลอดภัย แผนสำรองฉุกเฉิน และเอกสารมาตรฐานด้านความปลอดภัยสำหรับการพัฒนาระบบและเครื่องแม่ข่าย
2.1Hardening เป็นการลดช่องโหว่ของระบบซึ่งเน้นในระดับ Host (Windows/UNIX) และ Network Device (Router, Switching) เป็นหลัก โดยแก้ไขเพื่อลดช่องโหว่ของเครื่องแม่ข่ายในระบบสำคัญๆ
2.2Defense in Depth เป็นการสร้างความปลอดภัยให้แก่ระบบในทุกระดับของระบบ ไม่ว่าจะเป็น DMZ, Network Gateway รวมไปถึง Host และ Application โดยเน้นการเขียนข้อกำหนดและ แนวทางเป็นหลัก
2.3Information Security Policy Development หมายถึงการพัฒนานโยบายด้านการรักษาความปลอดภัยของข้อมูล ซึ่งจะเป็นเส้นทางในการถ่ายทอด requirement ด้านการรักษาความปลอดภัยของข้อมูลขององค์กรมากสู่แนวทางและวิธีการปฏิบัติให้แก่พนักงานทุกคนในองค์กร
2.4Incident Response and BCP/DRP Plan การสร้างแผนจัดการกับเหตุการณ์ที่ไม่คาดฝัน และแผนสำรองฉุกเฉิน เพื่อรับมือกับภัยต่างๆที่อาจจะเกิดขึ้น เพื่อจำกัดความเสียหายให้เหลือน้อยที่สุด
ขั้นตอนที่ 2 นี้จะช่วยให้แผนที่วางไว้สามารถเกิดขึ้นจริงได้ในทางปฏิบัติ ซึ่งผลลัพท์ของขั้นตอนนี้นั้นจะเป็นเอกสารต่างๆที่เกี่ยวข้องกับการดำเนินงานได้แก่ นโยบายรักษาความปลอดภัย แผนสำรองฉุกเฉิน และเอกสารมาตรฐานด้านความปลอดภัยสำหรับการพัฒนาระบบและเครื่องแม่ข่าย
3.การตรวจสอบและเฝ้าระวัง (Check) หลังจากการการวางแผนและการปฏิบัติที่ดี การตรวจสอบและเฝ้าระวังนั้นก็เป็นสิ่งสำคัญที่จะต้องทำในลำดับต่อมา ทั้งนี้เพื่อเป็นการตรวจสอบถึงความสำเร็จของงาน ความยอมรับของพนักงานในองค์กร ช่องโหว่และภัยใหม่ๆที่พบในระบบ เพื่อนำมาใช้ปรับปรุงและแก้ไขนโยบายและนำมาใช้ในการทำงานขั้นตอนต่อไป
3.1Centralized Log Management คือการจัดการ จัดเก็บและรวบรวม Log จากอุปกรณ์ต่างๆไว้ที่ส่วนกลาง เพื่อความสะดวกในการวิเคราะห์ และการเก็บ Log ของระบบตามที่กฏหมายกำหนด
3.2Vulnerability Management เป็นการสร้างระบบบริหารจัดการช่องโหว่ของระบบ ซึ่งจะดำเนินการสแกนระบบและทำรายงานแบบ real-time โดยมีการปรับแต่งให้สร้าง traffic รบกวนระบบน้อยที่สุด นอกจากนั้นยังมีระบบ assign ช่องโหว่ที่พบให้กับบุคลากรต่างๆในองค์กร ซึ่งจะสามารถช่วยให้เกิดการติดตามงานและยังช่วยวัดประสิทธิผลการทำงานของพนักงานแต่ละบุคคลได้ในระดับหนึ่งอีกด้วย
3.3Compliance Management เป็นการจัดการเพื่อให้ผลักให้สิ่งที่เขียนอยู่ในนโยบายรักษาความปลอดภัยสามารถเป็นจริงได้ในทางปฏิบัติ โดยการใช้เครื่องมือในการควบคุมการทำงานและการใช้งานระบบสารสนเทศ นอกจากนั้นยังมีประโยชน์ในการเฝ้าติดตามพฤติกรรมการใช้งานระบบของผู้ใช้งานได้อีกด้วย
3.4Real-time Threat Monitoring and Intrusion Analysis นำผลที่ได้จาก "Centralized Log Management " มาเป็นวัตุดิบในการวิเคราะห์การใช้งานและภัยที่เกิดขึ้นกับระบบ มีวัตถุประสงค์ในการลด fault positive ที่แฝงอยู่ใน report และ Log จากอุปกรณ์ด้าน Information Security อุปกรณ์ host และ network ต่างๆ ผลลัพท์ของขั้นตอนนี้เรียกว่า "Information Security Recommendation" เป็นผลสรุปและวิเคราะห์จากงานย่อยต่างๆ และผลลัพท์นี้เองซึ่งจะนำมาใช้ในเป็นแนวทางในการปรับปรุงโครงการในขั้นตอนต่อไป
3.1Centralized Log Management คือการจัดการ จัดเก็บและรวบรวม Log จากอุปกรณ์ต่างๆไว้ที่ส่วนกลาง เพื่อความสะดวกในการวิเคราะห์ และการเก็บ Log ของระบบตามที่กฏหมายกำหนด
3.2Vulnerability Management เป็นการสร้างระบบบริหารจัดการช่องโหว่ของระบบ ซึ่งจะดำเนินการสแกนระบบและทำรายงานแบบ real-time โดยมีการปรับแต่งให้สร้าง traffic รบกวนระบบน้อยที่สุด นอกจากนั้นยังมีระบบ assign ช่องโหว่ที่พบให้กับบุคลากรต่างๆในองค์กร ซึ่งจะสามารถช่วยให้เกิดการติดตามงานและยังช่วยวัดประสิทธิผลการทำงานของพนักงานแต่ละบุคคลได้ในระดับหนึ่งอีกด้วย
3.3Compliance Management เป็นการจัดการเพื่อให้ผลักให้สิ่งที่เขียนอยู่ในนโยบายรักษาความปลอดภัยสามารถเป็นจริงได้ในทางปฏิบัติ โดยการใช้เครื่องมือในการควบคุมการทำงานและการใช้งานระบบสารสนเทศ นอกจากนั้นยังมีประโยชน์ในการเฝ้าติดตามพฤติกรรมการใช้งานระบบของผู้ใช้งานได้อีกด้วย
3.4Real-time Threat Monitoring and Intrusion Analysis นำผลที่ได้จาก "Centralized Log Management " มาเป็นวัตุดิบในการวิเคราะห์การใช้งานและภัยที่เกิดขึ้นกับระบบ มีวัตถุประสงค์ในการลด fault positive ที่แฝงอยู่ใน report และ Log จากอุปกรณ์ด้าน Information Security อุปกรณ์ host และ network ต่างๆ ผลลัพท์ของขั้นตอนนี้เรียกว่า "Information Security Recommendation" เป็นผลสรุปและวิเคราะห์จากงานย่อยต่างๆ และผลลัพท์นี้เองซึ่งจะนำมาใช้ในเป็นแนวทางในการปรับปรุงโครงการในขั้นตอนต่อไป
4.การนำข้อข้อเสนอแนะมาใช้ในการปรับปรุงระบบ (Act) เป็นการนำ "Information Security Recommendation" จากขั้นตอนที่แล้ว มาใช้เพื่อเป็นแนวทางในการปรับแต่งนโยบาย วิธีการปฏิบัติ รวมไปถึงมาตรการต่างๆที่จะออกมาเพื่อให้พนักงานมีความเข้าใจและปฏิบัติตามนโยบาย รวมไปถึงการสร้างเกณท์วัดความสำเร็จของของโครงการ
4.1Incident Response and BCP/DRP Update เป็นการนำผลการวิเคราะห์และข้อแนะนำซึ่งเป็น outcome มาจากเฟสที่แล้ว มาใช้ในการปรับปรุงแก้ใช้สร้างแผนจัดการกับเหตุการณ์ที่ไม่คาดฝัน และแผนสำรองฉุกเฉินให้เหมาะสมกับองค์กรมากยิ่งขึ้น
4.2Information Security Policy Update เป็นการปรับปรุง นโยบายรักษาความปลอดภัยขององค์กรให้ทันสมัยและตอบรับกับปัจจับภายในและภายนอกที่เปลี่ยนแปลงไป
4.3Patch Management เป็นบริหารจัดการแพทช์อย่างเป็นขั้นตอน โดยมีการทดสอบความถูกต้องของไฟล์ patch มีการโหลด patch และดำเนินการติดตั้งโดยใช้ bandwidth น้อยที่สุด รวมไปถึงการ rollback อย่างมีประสิทธิผล
4.4Information Security Metrics หมายถึงการวิเคราะห์หาเกณท์วัดผลสำเร็จของการทำงานด้านการรักษาความปลอดภัยของข้อมูล ผลลัพท์ที่สำคัญที่สุดของขั้นตอนนี้นั้นเรียกว่า "KPI and Information Security Scorecard" ซึ่งเป็นการนำเกณฑ์ตรวจวัดมาใช้ในการการวัดผลออกมาเป็น KPI ขององค์กร เพื่อใช้เป็นแนวทางในการตั้งเป้าหมายในการจัดทำโครงการรักษาความปลอดภัยของข้อข้อมูลในโครงการรอบต่อไป
4.1Incident Response and BCP/DRP Update เป็นการนำผลการวิเคราะห์และข้อแนะนำซึ่งเป็น outcome มาจากเฟสที่แล้ว มาใช้ในการปรับปรุงแก้ใช้สร้างแผนจัดการกับเหตุการณ์ที่ไม่คาดฝัน และแผนสำรองฉุกเฉินให้เหมาะสมกับองค์กรมากยิ่งขึ้น
4.2Information Security Policy Update เป็นการปรับปรุง นโยบายรักษาความปลอดภัยขององค์กรให้ทันสมัยและตอบรับกับปัจจับภายในและภายนอกที่เปลี่ยนแปลงไป
4.3Patch Management เป็นบริหารจัดการแพทช์อย่างเป็นขั้นตอน โดยมีการทดสอบความถูกต้องของไฟล์ patch มีการโหลด patch และดำเนินการติดตั้งโดยใช้ bandwidth น้อยที่สุด รวมไปถึงการ rollback อย่างมีประสิทธิผล
4.4Information Security Metrics หมายถึงการวิเคราะห์หาเกณท์วัดผลสำเร็จของการทำงานด้านการรักษาความปลอดภัยของข้อมูล ผลลัพท์ที่สำคัญที่สุดของขั้นตอนนี้นั้นเรียกว่า "KPI and Information Security Scorecard" ซึ่งเป็นการนำเกณฑ์ตรวจวัดมาใช้ในการการวัดผลออกมาเป็น KPI ขององค์กร เพื่อใช้เป็นแนวทางในการตั้งเป้าหมายในการจัดทำโครงการรักษาความปลอดภัยของข้อข้อมูลในโครงการรอบต่อไป
สิ่งที่ต้องทำอย่างสม่ำเสมอตลอดโครงการ งานในส่วนนี้จะอยู่ในวงแหวนรอบนอกของโมเดล ISMF ซึ่งเป็นงานจำเป็นที่จะต้องทำอย่างต่อเนื่องตลอดทั้งโครงการ ประกอบด้วยงานทั้งหมด 3 หัวข้อย่อยได้แก่
1.Information Security Awareness Training and Education เป็นการจัดฝึกอบรบเพื่อเพิ่มความรู้และความตระหนักถึงความสำคัญของการรักษาความปลอดภัยให้แก่บุคลากรทุกระดับในองค์กร ซึ่งจะช่วยให้การบริหารจัดการด้าน "Information Security" ในองค์กรนั้นเป็นไปได้อย่างสะดวกมากขึ้น
2.Incident Response and Forensics เป็นการเตรียมความพร้อมรับสิ่งที่ไม่คาดฝันอยู่เสมอ และ วิเคราะห์ต้นเหตุของปัญหา (Root-cause Analysis) จากวิธี Digital Forensics
3.Managed Security Services หมายถึง การ Outsource เฝ้าระวังโดยการวิเคราะห์ Log ด้วยบุคลากรผู้เชี่ยวชาญจากภายนอก การเฝ้าระวังโดยการวิเคราะห์ Log ด้วยบุคลากรภายในองค์กรของเราเองนั้น นอกจากจะใช้เวลาค่อนข้างมากแล้วยังต้องการผู้เชี่ยวชาญที่แยกแยะระหว่าง Fault Alarm กับ Real Attack Alarm ซึ่งผู้เชี่ยวชาญต้องมีความชำนาญเป็นพิเศษด้านการวิเคราะห์การบุกรุกระบบ (Intrusion Analyst) ตลอดจนในปัจจุบันค่าตัวของบุคลากรที่มีความเชี่ยวชาญดังกล่าวก็ค่อนข้างสูงอยู่พอสมควร
2.Incident Response and Forensics เป็นการเตรียมความพร้อมรับสิ่งที่ไม่คาดฝันอยู่เสมอ และ วิเคราะห์ต้นเหตุของปัญหา (Root-cause Analysis) จากวิธี Digital Forensics
3.Managed Security Services หมายถึง การ Outsource เฝ้าระวังโดยการวิเคราะห์ Log ด้วยบุคลากรผู้เชี่ยวชาญจากภายนอก การเฝ้าระวังโดยการวิเคราะห์ Log ด้วยบุคลากรภายในองค์กรของเราเองนั้น นอกจากจะใช้เวลาค่อนข้างมากแล้วยังต้องการผู้เชี่ยวชาญที่แยกแยะระหว่าง Fault Alarm กับ Real Attack Alarm ซึ่งผู้เชี่ยวชาญต้องมีความชำนาญเป็นพิเศษด้านการวิเคราะห์การบุกรุกระบบ (Intrusion Analyst) ตลอดจนในปัจจุบันค่าตัวของบุคลากรที่มีความเชี่ยวชาญดังกล่าวก็ค่อนข้างสูงอยู่พอสมควร
จากปัญหาดังกล่าวจึงเกิดแนวคิดในการ "Outsource" ด้านการจัดการระบบรักษาความปลอดภัยซึ่งเรียกว่า "Managed Security Services" หรือ "MSS" การจัดจ้าง Outsource ด้าน Security โดยเฉพาะ เป็นแนวคิดที่ต้องการให้ Outsource มาช่วยในการจัดการบริหารความเสี่ยง และ ช่วยลดความเสี่ยงให้กับระบบโดยรวม (Risk Management & Risk Mitigation)
แหล่งอ้างอิง
http://www.acisonline.net
http://www.acfs.go.th/csc/policy_1.html
http://www.eweekthailand.com
http://www.securityfocus.com
http://www.cert.org)
http://thaicert.nectec.or.th/advisory/alert/nachi.php
http://www.acisonline.net
http://www.acfs.go.th/csc/policy_1.html
http://www.eweekthailand.com
http://www.securityfocus.com
http://www.cert.org)
http://thaicert.nectec.or.th/advisory/alert/nachi.php
ไม่มีความคิดเห็น:
แสดงความคิดเห็น