Data life cycle — วงจรชีวิตข้อมูล

Data life cycle & Security requirement

Firewall Policy - การตั้งค่าความปลอดภัยสำหรับไฟร์วอล

ซื้อไฟร์วอลมาโครตแพง แต่ Allow all ก็ไม่ได้ช่วยให้เกิดความปลอดภัยมากนัก ซึ่งส่วนใหญ่แล้วมักจะไม่ค่อยเห็นความสำคัญ 

หลักการที่สำคัญในการตั้งค่าให้กับไฟร์วอล คือ เปิดเฉพาะที่จำเป็น เช่น ผู้ใช้ภายในส่วนใหญ่ก็จะใช้งานแค่  HTTP, HTTPS, SSH, DNS, SMTP, POP3 เราก็เปิดแค่นั้น, ในส่วนของการสื่อสารระหว่าง Server ก็มาดูทีละส่วนทีละเครื่องว่าจะเปิดให้เข้าถึงอะไรได้บ้าง และที่สำคัญคือควรจะต้องมีการทบทวน Firewall Policy อย่างน้อยปีละ 1 ครั้ง เพื่อนำพอร์ท หรืออะไรที่ไม่ได้ใช้งานแล้วออก (ปกติถ้าไม่ได้ใช้แล้วก็ควรนำออกเลย แต่มันก็มีผิดพลาด หรือลืมกันได้ เพราะฉะนั้นปีนึงก็มาทบทวนอีกซักรอบว่ายังจำเป็นอยู่หรือปล่าว)

ตัวอย่างการตั้งค่า Access control list: ACL

BCP Exercise - การฝึกซ้อมแผนความต่อเนื่องทางธุรกิจ

การฝึกซ้อมแผนความต่อเนื่องทางธุรกิจ เป็นขั้นตอนในการทดสอบและประเมินความพร้อมของแผนปฏิบัติการ และกระบวนการในการตอบโต้สถานการณ์เมื่อเกิดเหตุที่ไม่คาดคิด เพื่อให้ทราบถึงข้อบกพร่องของแผน, ทรัพยากร, กระบวนการทำงาน, ช่องว่างในการประสานงานต่าง ๆ ทั้งภายในและภายนอกหน่วยงาน ตลอดจนประสิทธิภาพของกระบวนการสื่อสาร   โดยมีรูปแบบที่นิยมใช้ในการฝึกซ้อม 3 รูปแบบ คือ

• การฝึกซ้อมแผนบนโต๊ะ (Table top Exercise)
• การฝึกซ้อมเฉพาะหน้าที่ (Functional Exercise)
• การฝึกซ้อมเสมือนจริง (Full scale Exercise)

การฝึกซ้อมแผนบนโต๊ะ (Table top Exercise) เป็นการฝึกซ้อมที่มุ่งเน้นการทำความเข้าใจเกี่ยวกับแผน บทบาทหน้าที่ และความร่วมมือต่าง ๆ  โดยใช้การอภิปรายแบบกลุ่มบนสถานะการณ์จำลองที่กำหนดขึ้น โดยผู้บริหาร และผู้ที่มีส่วนเกี่ยวข้อง ข้อดีของการฝึกซ้อมแผนบนโต๊ะคือประหยัด เหมาะสำหรับใช้ในการเตรียมการฝึกซ้อมที่มีความซับซ้อนมากขึ้น

การฝึกซ้อมเฉพาะหน้าที่ (Functional Exercise) เป็นการฝึกซ้อมที่มุ่งเน้นการประเมินความสามารถของบุคลากร การสั่งการ และทรัพยากรที่จำเป็น โดยการจำลองสถานะการเฉพาะจุด หรือเฉพาะบทบาทหน้าที่นั้น ๆ ข้อดีของการฝึกซ้อมการฝึกซ้อมเฉพาะหน้าที่ คือความสมจริงของเหตุการณ์ภายไต้งบประมาณที่จำกัด มักถูกใช้ในการเตรียมความพร้อมรับมือเหตุการณ์ต่าง ๆ เช่น การทดสอบการสื่อสารผ่าน Call tree, การทดสอบ hot site เป็นต้น

การฝึกซ้อมเสมือนจริง (Full scale Exercise) เป็นการฝึกซ้อมที่ซับซ้อนและใช้ทรัพยากรมากที่สุดเนื่องจากต้องมีการเคลื่อนย้ายทรัพยากร และบุคลากรที่เกี่ยวข้องเพื่อให้เกิดความสมจริงในการตอบสนองต่อเหตุการณ์ โดยมุ่งเน้นการปฏิบัติตามแผนงานที่ได้กำหนดไว้ ซึ่งรวมทั้งกระบวนการสั่งการ การสื่อสาร การเคลื่อนย้าย การตั้งค่า การรายงาน ฯลฯ โดยใช้สถานการณ์สมมติ

การที่องค์กรจะเลือกรูปแบบการซ้อมแบบไหนก็ขึ้นอยู่กับบริบท และความพร้อมขององค์กรในการดำเนินการ แต่อย่างน้อยควรจะมีการซ้อมปีละ 1 ครั้ง เพื่อให้มั่นใจว่าเมื่อเกิดเหตุขึ้นแผนนี้จะสามารถรับมือได้ 

Document Action Request Form | DAR -- (แบบคำร้องขอให้ดำเนินการเกี่ยวกับเอกสารควบคุม)

 

สนใจนำไปประยุกต์ใช้ในหน่วยงาน > https://docs.google.com/document/d/1azwXuAdg5EoBCyCT1-OfiD8zYk1GEyNDwc7HEJ78hBk/edit?usp=sharing

SWOT Analysis Template

สนใจนำไปประยุกต์ใช้ในองค์กร > https://docs.google.com/presentation/d/1VyI6d8BbCbdXCteA5HZw25MzOAiUGQeCokZrZOd9-nA/edit?usp=sharing

โรงพยาบาล: สถานที่แห่งความหวัง แฝงความเสี่ยง

โรงพยาบาล เปรียบเสมือนบ้านหลังที่สองสำหรับผู้ป่วย ยามเจ็บป่วยผู้คนต่างมุ่งหน้าไปเพื่อขอรับการรักษาพยาบาล เพื่อบรรเทาความทุกข์ทรมานที่เกิดขึ้น  แต่ว่าภายใต้ภาพลักษณ์ของสถานที่แห่งความหวัง  ยังแฝงไปด้วยความเสี่ยงที่หลายคนอาจมองข้าม ความเสี่ยงที่อาจได้เผชิญในการเข้ารับบริการที่โรงพยาบาลเมื่อลองแบ่งเป็นกลุ่ม อาจแบ่งได้ประมาณนี้ คือ

1. ความเสี่ยงทางคลินิก เป็นความเสี่ยงที่พบได้บ่อยที่สุด เริ่มตั้งแต่การวินิจฉัยผิดพลาด การรักษาที่ไม่ถูกต้อง การติดเชื้อในโรงพยาบาล ภาวะแทรกซ้อนจากการรักษา การแพ้ยา การพลัดตกหกล้มซึ่งมีสาเหตุทั้งมาจากอาการของโรค เป็นภาวะหลังการได้รับยา หรืออาจจะเป็นอุบัติเหตุ สิ่งเหล่านี้ล้วนเป็นสิ่งที่ผู้ป่วยอาจต้องเผชิญ ถึงแม้โรงพยาบาลจะมีระบบ และมาตรการในการป้องกัน แต่ความผิดพลาดก็อาจเกิดขึ้นได้เสมอ

เตรียมพร้อมเอกสารสำหรับ Surveillance Audit ISO27001

เวลาจะตรวจ Surveillance Audit ISO27001 ประจำปีแต่ละที ก็จะกังวลว่าเตรียมเอกสารครบหรือยัง? ลองเช็คไปพร้อมๆ  กัน

ตรวจสอบ

1. มีการเปลี่ยนแปลงของขอบเขตการบริหารจัดการ? -- Scope of ISMS (Clause 4.3) 
2. มีการเปลี่ยนแปลงของนโยบาย? -- Information Security Policy (Clause 5.2) 
3. มีการเปลี่ยนแปลงของกระบวนการประเมินความเสี่ยง และกระบวนการการจัดการความเสี่ยง? -- Information Security Risk Assessment Process (Clause 6.1.2), Information Security Risk Treatment Plan (Clause 6.1.3
4. มีการเปลี่ยนแปลงของเอกสารการประยุกต์ใช้มาตรการควบคุม? -- Statement of Applicability (Clause 6.1.3)
5. มีการเปลี่ยนแปลงเป้าหมายด้านความมั่นคงปลอดภัยสารสนเทศ? -- Information Security Objectives (Clause 6.2)
6. มีการเปลี่ยนเปลงระบบการจัดการความมั่นคงปลอดภัยสารสนเทศ? -- Change Management (Clause 6.3)
7. มีการเปลี่ยนแปลงของเอกสารอื่น ๆ ที่เกี่ยวข้อง? -- Documented Information Required by the Standard and Deemed Necessary by the Organization (Clause 7.5.1) 

*** ถ้ามีการเปลี่ยนแปลง 1-7 มีการจัดทำ/ทบทวน/แก้ไขเอกสารหรือยัง? ถ้าแก้ไขแล้วจัดเตรียมไว้

เตรียม

1. ใบประกาศ, แผนการอบรม ผลการอบรม ของพนักงานที่เกี่ยวข้อง -- Evidence of Competences (Clause 7.2)
2. ผลการประเมินความเสี่ยง -- Results of Information Security Risk Assessments (Clause 8.2)
3. แผนการจัดการความเสี่ยง และการติดตามผลการจัดการ -- Results of Risk Treatment (Clause 8.3)
4. ผลการติดตามและวัดผลประสิทธิผลการดำเนินการ (KPI) -- Evidence of Monitoring and Measurement Results (Clause 9.1) 
5. แผนการตรวจ, ผลการตรวจ, รายงานการตรวจ, CAR, การตอบกลับ CAR, การติดตาม CAR -- Audit Program and Results (Clause 9.2) - Schedule and outcomes of ISMS audits.
6. ผลลัพธ์ของกระบวนการที่ได้วางแผนไว้ -- Evidence that the Process Has Been Performed as Planned (Clause 8.1)
7. ผลการทบทวนของผู้บริหาร -- Evidence of Management Reviews (Clause 9.3) 
8. ผลการดำเนินการกับความไม่สอดคล้อง -- Nonconformities and Actions Taken (Clause 10.2)

หมายเหตุ: เป็นการตรวจสอบเฉพาะตามข้อกำหนด C4-10 ไม่รวมถึงเอกสารที่เกิดจากการประยุกต์ใช้มาตรการควบคุมตาม Annex A

หน้าที่ของ Top Management หรือ ผู้บริหารระดับสูง

Top Management หรือ ผู้บริหารระดับสูง อาจจะเป็นคนหรือกลุ่มบุคคลที่มีบทบาทในการสั่งการและควบคุมองค์กรในระดับสูงสุด เปรียบเสมือนหัวใจสำคัญขององค์กร ทำหน้าที่ กำหนดทิศทางและกลยุทธ์ เพื่อนำพาองค์กรไปสู่เป้าหมาย โดยมีหน้าที่หลักดังนี้

1. เป็นผู้กำหนดนโยบายและนโยบายต่างๆ ขององค์กร ครอบคลุมทั้งด้านกลยุทธ์ การเงิน การตลาด การผลิต ทรัพยากรบุคคล ฯลฯ โดยคำนึงถึงปัจจัยภายในและภายนอกองค์กร วิเคราะห์โอกาสและความเสี่ยง กำหนดเป้าหมายและแผนการดำเนินงาน
2. สื่อสารนโยบายและทิศทางให้ชัดเจนแก่พนักงานทุกระดับ เพื่อสร้างความเข้าใจร่วม กระตุ้นให้เกิดการมีส่วนร่วม และทำงานไปในทิศทางเดียวกัน
3. จัดสรรทรัพยากรต่างๆ ขององค์กร เช่น เงินทุน บุคลากร อุปกรณ์ เทคโนโลยี ฯลฯ  ให้เพียงพอต่อความต้องการเพื่อบรรลุเป้าหมายที่กำหนดไว้
4. กำกับ ควบคุมดูแล และติดตามการดำเนินงานขององค์กร ติดตามผลลัพธ์ วิเคราะห์ปัญหาและอุปสรรค์หาแนวทางแก้ไข ปรับปรุงพัฒนาองค์กรอย่างต่อเนื่อง
5. ตัดสินใจในเรื่องสำคัญๆ ขององค์กรโดยใช้วิจารณญาณ ความรู้ ประสบการณ์ วิเคราะห์ข้อมูลโดยคำนึงถึงผลประโยชน์ขององค์กรและผู้เกี่ยวข้อง
6. เป็นผู้นำองค์กร สร้างแรงบันดาลใจปลูกฝังวัฒนธรรมองค์กรที่ดี ส่งเสริมให้พนักงานทำงานอย่างมีประสิทธิภาพ
7. สร้างความสัมพันธ์กับผู้เกี่ยวข้องทั้งภายในและภายนอกองค์กร เช่น ลูกค้า คู่ค้า นักลงทุน หน่วยงานภาครัฐ ฯลฯ เพื่อบรรลุเป้าหมายที่กำหนดไว้
8. รับผิดชอบต่อผลการดำเนินงานและผลประกอบการขององค์กร รวมถึงการปฏิบัติตามกฎหมาย ระเบียบ และมาตรฐานต่างๆ

Clause 5 – Leadership (ผู้นำ)

 

ผู้นำมีบทบาทหน้าที่สำคัญมากในระบบบริหารจัดการ เชื่อได้ว่าหากผู้นำไม่สนับสนุน หรือเห็นความสำคัญไม่มีทางที่ระบบการจัดการจะมีประสิทธิภาพ มาตรฐาน ISO/IEC27001:2022 ได้กำหนดบทบาทหน้าที่ของผู้นำองค์กรไว้ 3 ข้อ คือข้อที่ 5.1-5.3

ข้อที่ 5.1 ภาวะผู้นำและความมุ่งมั่น อย่างที่ได้พูดไว้แล้วข้างต้นว่าการทำระบบไม่มีทางสำเร็จถ้าผู้นำไม่เห็นด้วยและสนับสนุน ดังนั้นข้อนี้จึงเน้นที่การแสดงออกของภาวะผู้นำที่จะต้องแสดงให้เห็นถึงความเป็นผู้นำ และความมุ่งมั่นที่จะดำเนินการ เช่น ทำให้มั่นใจว่านโยายและวัตถุประสงค์ด้านความมั่นคงปลอดภัยสารสนเทศ ได้ถูกดำเนินการ และสอดคล้องกับทิศทางขององค์กร, ทำให้มั่นใจว่าข้อกำหนดตามมาตรฐานนี้ได้ถูกนำไปประยุกต์ใช้ในกระบวนการต่าง ๆ ขององค์กร, สนับสนุนทรัพยากรที่จำเป็น เป็นต้น

ไปต่อที่ข้อ 5.2 กำหนดให้ผู้บริหารระดับสูงต้องกำหนดนโยบายความมั่นคงปลอดภัยสารสนเทศ โดยนโยบายนั้นควรต้องเหมาะสมต่อวัตถุประสงค์ขององค์กร มีการกำหนวัตถุประสงค์ด้านความมั่นคงปลอดภัยสารสนเทศ และแสดงให้เห็นถึงความมุ่งมั่นที่จะปฏิบัติตามข้อกำหนดที่เกี่ยวข้องกับความมั่นคงปลอดภัยสารสนเทศ ตลอดจนความมุ่งมั่นที่จะพัฒนาระบบการจัดการอย่างต่อเนื่อง ในข้อกำหนดนี้กำหนดให้นโยบายจะต้องจัดทำเป็นเอกสารสารสนเทศ และสื่อสารให้กับผู้ที่เกี่ยวข้องในองค์กร และมีไว้ให้ผู้มีส่วนได้เสียตามความเหมาะสม

ข้อสุดท้าย ข้อที่ 5.3 กำหนดให้ผู้บริหารระดับสูงต้องมอบหมายบทบาทหน้าที่, ความรับผิดชอบ และอำนาจหน้าที่ ที่เกี่ยวข้องกับความมั่นคงปลอดภัยสารสนเทศ และสื่อสารกับผู้ที่เกี่ยวข้อง ในการมอบหมายความรับผิดชอบ และอำนาจหน้าที่ก็เพื่อให้มั่นใจว่าระบบการจัดการเป็นไปตามข้อกำหนด และให้มีการรายงานผลการดำเนินการไปยังผู้บริหารระดับสูง

Clause 6 – Planning (การวางแผน)

หัวข้อนี้อธิบายได้นะแต่พอต้องมาเขียนเป็นภาษาเขียนแล้วรู้สึกติด จะเขียนเสร็จไหม เขียนเสร็จแล้วจะอ่านรู้เรื่องใหม? เพราะหัวข้อนี้ใหญ่มากเขียนแบบสรุป ๆ เฉพาะสิ่งที่ต้องดำเนินการหลัก ๆ ก็แล้วกันนะ เพราะถ้าลงรายละเอียดไม่น่าจะจบ

ข้อกำหนดที่ 6 ตามมาตรฐาน ISO/IEC27001:2022  แบ่งออกเป็น 2 หัวข้อ คือ

ข้อกำหนดที่ 6.1  การดำเนินการเพื่อจัดการกับความเสี่ยงและโอกาส แบ่งออกเป็นหัวข้อย่อย 3 หัวข้อ 

ในหัวข้อที่ 6.1.1 สิ่งที่ต้องดำเนินการคือจัดทำแผนในการดำเนินการเพื่อจัดการกับความเสี่ยงและโอกาส ในการวางแผนการดำเนินการจะต้องพิจารณาถึงประเด็นที่มีการวิเคราะห์ตามข้อกำหนดที่ 4.1 และ 4.2 ด้วย

หัวข้อที่ 6.1.2 องค์กรจะต้องกำหนดเกณฑ์ในการประเมินความเสี่ยง และเกณฑ์การยอมรับความเสี่ยง มีกระบวนการในการระบุความเสี่ยง วิเคราะห์ความเสี่ยง และประเมินความเสี่ยง 

และ 6.1.3 หัวข้อสุดท้าย กำหนดให้องค์กรจัดทำกระบวนการจัดการความเสี่ยง โดยเลือกมาตรการควบคุมความเสี่ยงที่เหมาะสม จากนั้นเทียบมาตรการควบคุมกับ Annex A ของมาตรฐาน ISO27001:2022 และจัดทำเอกสารแสดงการประยุกต์ใช้มาตรการควบคุม (Statement of Applicability: SOA)

ข้อกำหนดที่ 6.2 วัตถุประสงค์ความมั่นคงปลอดภัยสารสนเทศ

กำหนดให้องค์กรต้องกำหนดวัตถุประสงค์ด้านความมั่นคงปลอดภัยสารสนเทศ โดยวัตถุประสงค์นั้นต้องสอดคล้องกับนโยบายฯที่จัดทำขึ้น, ต้องวัดผลได้ มีการสื่อสารไปยังผู้ที่เกี่ยวข้อง และมีการติดตามผล เป็นต้น โดยจะต้องจัดทำเป็นเอกสารสารสนเทศ 

นอกจากจะกำหนดวัตถุประสงค์ฯแล้ว องค์กรจะต้องวางแผนการดำเนินการเพื่อให้บรรลุวัตถุประสงค์ดังกล่าว โดยจะต้องกำหนดกิจกรรม ทรัพยากรที่ต้องการ ผู้รับผิดชอบ ระยะเวลาแล้วเสร็จ และวิธีการประเมินผล