ด่วน!! วิธีป้องกัน WannaCry Ransomware

May 15th, 2017|Comments Off on ด่วน!! วิธีป้องกัน WannaCry Ransomware

สุดสัปดาห์ที่ผ่านมาเกิดการโจมตีครั้งรุนแรงระดับโลกโดย WannaCry Ransomware Worm (WannaCry, WCry หรือ Wanna Decryptor) ซึ่งจัดเป็น Ransomware Worm ตัวแรกของโลก โดยถึงขณะนี้ได้มีการแพร่ระบาดในกว่า 74 [...]

CISSP CISA CISM: วิเคราะห์เจาะลึก แบบ cert ชน cert แวดวงประกันภัยและผู้สนใจสอบควรอ่าน!!

March 27th, 2017|Comments Off on CISSP CISA CISM: วิเคราะห์เจาะลึก แบบ cert ชน cert แวดวงประกันภัยและผู้สนใจสอบควรอ่าน!!

หลังจากที่ทาง คปภ. ออกประกาศฉบับใหม่เรื่อง “หลักเกณฑ์ วิธีการออกกรมธรรม์ประกันภัย การเสนอขายกรมธรรม์ประกันภัย และการชดใช้เงิน หรือค่าสินไหมทดแทนตามสัญญาประกันภัย โดยใช้วิธีการทางอิเล็กทรอนิกส์ พ.ศ. 2560” โดยบริษัทประกันจะต้องผ่านการตรวจประเมินด้านความมั่นคงปลอดภัยของระบบสารสนเทศ (Information Security/ Cyber [...]

How to integrate ISO/IEC 27032 Cybersecurity on ISMS?

March 2nd, 2017|Comments Off on How to integrate ISO/IEC 27032 Cybersecurity on ISMS?

Definition of Cybersecurity Cybersecurity often is used as a buzzword everybody is talking about these [...]

มาทำความรู้จักกับ Blockchain กัน

November 28th, 2016|Comments Off on มาทำความรู้จักกับ Blockchain กัน

บล็อกเชน (Blockchain) ในปัจจุบันนั้นเทคโนโลยีของการเงินการธนาคาร (Fintech หรือ Financial technology) นั้นได้มีการพัฒนาและมีการปรับตัวเข้าสู่ยุคดิจิตอลมากขึ้นเรื่อยๆ ซึ่งเราจะเห็นได้จากปริมาณของการทำธุรกรรมการเงินออน์ไลน์ ที่มีปริมาณเพิ่มมากขึ้นแบบก้าวกระโดด จนธนาคารและสถาบันการเงินต่างๆ เริ่มที่จะมีการปรับตัว ของการทำธุรกรรมในรูปแบบใหม่ๆ ในการให้บริการทางการเงินบนโลกออนไลน์ เพื่อให้มีความรวดเร็ว [...]

ว่าด้วยเรื่องของ PCI DSS เวอร์ชั่น 3.2 มีอะไรใหม่บ้าง?

September 12th, 2016|Comments Off on ว่าด้วยเรื่องของ PCI DSS เวอร์ชั่น 3.2 มีอะไรใหม่บ้าง?

PCI DSS เวอร์ชั่น 3.2 มีอะไรใหม่บ้าง หลาย ๆ ท่านที่อยู่ในวงการความปลอดภัยข้อมูลสารสนเทศ หรือแม้แต่อยู่ในวงการเงินการธนาคารเอง คงจะทราบถึงหรือรู้จักเจ้ามาตรฐาน Payment Card Industry Data Security [...]

การให้บริการของ Cloud Provider มั่นใจได้จริงหรือ?

December 3rd, 2015|Comments Off on การให้บริการของ Cloud Provider มั่นใจได้จริงหรือ?

การให้บริการของ Cloud Provider มั่นใจได้จริงหรือ? ข้อมูลและความเป็นส่วนตัวของเราบน Cloud ยังคงปลอดภัยและเป็นส่วนตัวอยู่หรือไม่? ในยุคนี้ บริการคลาวด์มาแรงและมีบทบาทต่อวิถีชีวิตของเราอย่างมาก ทุกๆ ท่านซึ่งทำงาน หาข้อมูลความรู้ หาข้อมูลบันเทิง และอื่นๆ ผ่าน [...]

WHAT IS ISO 20022?

December 3rd, 2015|Comments Off on WHAT IS ISO 20022?

ISO 20022 คืออะไร ISO 20022 Financial Services - Universal financial industry message scheme คือมาตรฐานข้อความที่ใช้สื่อสารในอุตสากรรมการเงินสากล เช่น [...]

Can ISO 27001 help protect your organization from cyber attack? – A Hacker’s view on ISO 27001 standard

December 11th, 2014|Comments Off on Can ISO 27001 help protect your organization from cyber attack? – A Hacker’s view on ISO 27001 standard

สำหรับหลายๆ คนที่ทำงานทางด้าน Security ที่เน้นแต่ด้าน Technical เป็นหลักนั้นอาจจะไม่ค่อยรู้จักและไม่ค่อยศรัทธาในมาตรฐาน ISO 27001 หรือ Information Security Management System มากนัก เนื่องจากมาตรฐาน [...]

IRCA VS PECB who will win the fight on ISO 27001 arena ?

June 29th, 2014|Comments Off on IRCA VS PECB who will win the fight on ISO 27001 arena ?

แนะนำประกาศนียบัตรมาตรฐาน ISO 27001 ของค่าย IRCA และ PECB ตัวไหนเหมาะกับคุณ? และทำความรู้จักกับประกาศนียบัตรขั้นสูงสุดของทั้งสองค่าย IRCA Principal Auditor และ PECB Master ค่าย IRCA [...]

ทำความรู้จักกับ Scenario-based Risk Assessment เหมาะหรือไม่กับองค์กรของท่าน

June 5th, 2014|Comments Off on ทำความรู้จักกับ Scenario-based Risk Assessment เหมาะหรือไม่กับองค์กรของท่าน

การประเมินและบริหารความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ เป็นกระบวนการที่สำคัญที่องค์กรทุกระดับพึงจัดให้มีขึ้น เพื่อปกป้องธุรกิจและสร้างความสอดคล้องกับกฎหมาย รวมถึงเป็นกระบวนการพื้นฐานที่มาตรฐานสากลต่างๆ กำหนดให้มีการปฏิบัติใช้ภายในองค์กร เช่น ISO 27001, ISO 20000, ISO22301 เป็นต้น โดยวิธีการประเมินความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศที่นิยมใช้งานอย่างแพร่หลายในองค์กรต่างๆ ที่ Implement [...]

การตรวจสอบ Heartbleed Bug ในองค์กร

April 25th, 2014|Comments Off on การตรวจสอบ Heartbleed Bug ในองค์กร

ช่วงที่ผ่านมา หลายๆท่านน่าจะคุ้นเคย หรือ ได้ยินข่าวที่เกี่ยวข้องกับช่องโหว่ ชื่อดังที่ชื่อว่า Heartbleed bug โดยมี บทความ และ สำนักข่าวหลายๆแห่ง จัดให้ว่าเป็นช่องโหว่ระดับโลก ที่รุนแรงมากที่เคยปรากฏมาตั้งแต่ ยุคที่มีอินเตอร์เน็ต ช่องโหว่ที่ชื่อว่า [...]

ISO 27001:2013 (New Version) มาตรฐานการรักษาความมั่นคงปลอดภัยสารสนเทศ (ฉบับใหม่ ปี 2013)

September 30th, 2013|Comments Off on ISO 27001:2013 (New Version) มาตรฐานการรักษาความมั่นคงปลอดภัยสารสนเทศ (ฉบับใหม่ ปี 2013)

Say “Good bye” to ISO 27001:2005 and welcome ISO 27001:2013! เมื่อวันที่ 25 กันยายน 2556 ที่ผ่านมา [...]

ACinfotec conducts the first official TIPA assessment in South East Asia

September 13th, 2013|Comments Off on ACinfotec conducts the first official TIPA assessment in South East Asia

ACinfotec conducted its very first TIPA assessment in South East Asia for the Stock Exchange [...]

Difference between PECB and IRCA

August 21st, 2013|Comments Off on Difference between PECB and IRCA

Overview The Professional Evaluation and Certification Board (PECB)(www.pecb.org) is a personnel certification body for various [...]

Business Continuity Management

May 17th, 2012|Comments Off on Business Continuity Management

Business Continuity Management: the time has come for developing/improving business continuity plan & process [...]

ISO 22301 มาตรฐานสากล สำหรับการบริหารจัดการความต่อเนื่องในการดำเนินธุรกิจ (BCMS)

May 15th, 2012|Comments Off on ISO 22301 มาตรฐานสากล สำหรับการบริหารจัดการความต่อเนื่องในการดำเนินธุรกิจ (BCMS)

ISO 22301 มาตรฐานสากล ใหม่ล่าสุด สำหรับการบริหารจัดการความต่อเนื่องในการดำเนินธุรกิจ (BCMS) เมื่อวันที่ 15 พฤษภาคม 2555 ที่ผ่านมา International Organization for Standardization [...]

บทวิเคราะห์ พรฎ. ว่าด้วยวิธีการแบบปลอดภัยในการทำธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2553

July 1st, 2011|Comments Off on บทวิเคราะห์ พรฎ. ว่าด้วยวิธีการแบบปลอดภัยในการทำธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2553

บทวิเคราะห์ พรฎ. ว่าด้วยวิธีการแบบปลอดภัยในการทำธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2553 ประกาศในราชกิจจานุเบกษาวันที่ 3 กันยายน 2553 ใช้บังคับเมื่อพ้นกำหนด 180 วันนับจากวันที่ประกาศ หรือนับตั้งแต่วันที่ 1 มีนาคม [...]

ISO 20000: มาตรฐานงานบริการด้าน IT สำหรับองค์กรในโลกยุคดิจิตอล [ Part III ]

April 8th, 2009|Comments Off on ISO 20000: มาตรฐานงานบริการด้าน IT สำหรับองค์กรในโลกยุคดิจิตอล [ Part III ]

หลังจากที่ได้ทำความรู้จักกับกระบวนการในกลุ่ม Service Delivery ไปในบทความตอนที่แล้ว ในบทความตอนสุดท้ายนี้จะกล่าวถึงกระบวนการที่เหลือทั้งหมด ซึ่งเมื่อนำมาปฏิบัติอย่างครบถ้วนแล้ว การให้บริการด้าน IT ขององค์กรก็ย่อมจะมีประสิทธิภาพ และสร้างความพึงพอใจให้แก่ผู้ใช้บริการ ซึ่งสอดคล้องตามวัตถุประสงค์ของมาตรฐาน ISO 20000 นั่นเอง 2. กลุ่ม Control Processes 2.1 Configuration Management           ตามข้อกำหนดของ ISO 20000 นั้น [...]

ISO 20000: มาตรฐานงานบริการด้าน IT สำหรับองค์กรในโลกยุคดิจิตอล [ Part II ]

December 16th, 2008|Comments Off on ISO 20000: มาตรฐานงานบริการด้าน IT สำหรับองค์กรในโลกยุคดิจิตอล [ Part II ]

บทความในตอนที่ผ่านมาได้อธิบายถึงรายละเอียดเบื้องต้นของมาตรฐานสากล ISO 20000 ซึ่งเป็นมาตรฐานเกี่ยวกับระบบบริหารบริการ IT ซึ่งกระบวนการพื้นฐานนั้นสามารถแบ่งออกได้เป็น 5 กลุ่มดังที่ได้กล่าวไปแล้ว ในบทความตอนนี้จะเป็นการให้รายละเอียดเกี่ยวกับกระบวนการพื้นฐานในกลุ่มแรก ได้แก่ กลุ่ม Service Delivery Processes 1. กลุ่ม Service Delivery Processes 1.1 Service Level [...]

ISO 20000: มาตรฐานงานบริการด้าน IT สำหรับองค์กรในโลกยุคดิจิตอล [ Part I ]

November 25th, 2008|Comments Off on ISO 20000: มาตรฐานงานบริการด้าน IT สำหรับองค์กรในโลกยุคดิจิตอล [ Part I ]

องค์กรที่ประสบความสำเร็จในโลกยุคดิจิตอลนี้ ทุกแห่งต่างก็มีระบบเทคโนโลยีสารสนเทศ (IT System) ที่มีประสิทธิภาพรองรับ และสนับสนุนการดำเนินธุรกิจอยู่ ซึ่งถือเป็นปัจจัยสำคัญที่ไม่มีผู้ใดสามารถปฏิเสธได้ ดังนั้น คำถามที่มักจะได้ยินกันอยู่บ่อยๆ ก็คือ การให้บริการด้าน IT (IT Services) ขององค์กรเหล่านั้นได้รับการบริหารจัดการอย่างไร           ที่ผ่านมา การบริหารบริการ IT (IT Service Management) ของแต่ละองค์กรมักจะขึ้นอยู่กับ IT [...]

แนวปฏิบัติและการตีความ : ประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ. 2550 (ตอนจบ)

October 24th, 2008|Comments Off on แนวปฏิบัติและการตีความ : ประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ. 2550 (ตอนจบ)

ในบทความสองตอนที่แล้วนั้น ได้มีการตีความ “ประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ. 2550” ทั้งในส่วนเนื้อหา และภาคผนวกไปแล้ว ดังนั้น บทความในตอนสุดท้ายนี้จึงเป็นการยกตัวอย่างกรณีศึกษา เพื่อความเข้าใจที่ดียิ่งขึ้น กรณีศึกษา (Case Study) Question: กรณีที่องค์กรมีขนาดเล็กมาก เช่น มีเครื่อง PC ไม่กี่เครื่อง ต่ออินเทอร์เน็ตแบบ ADSL และมีผู้ใช้งาน Share กันใช้เครื่อง PC เพื่อเข้าสู่อินเทอร์เน็ต [...]

แนวปฏิบัติและการตีความ : ประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ. 2550 (ตอนที่ 2)

October 16th, 2008|Comments Off on แนวปฏิบัติและการตีความ : ประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ. 2550 (ตอนที่ 2)

นอกจากส่วนเนื้อหาของประกาศฯ เรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ. 2550 แล้ว ประกาศฯ ฉบับนี้ยังมีส่วนของภาคผนวกแนบท้ายที่มีความสำคัญอีกด้วย   ภาคผนวก ก  แนบท้ายประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ. [...]

แนวปฏิบัติและการตีความ : ประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ. 2550 (ตอนที่ 1)

October 9th, 2008|Comments Off on แนวปฏิบัติและการตีความ : ประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ. 2550 (ตอนที่ 1)

บทนำ เอกสารนี้จัดทำขึ้นเพื่อเผยแพร่และให้ความรู้แก่องค์กรต่างๆ ที่ต้องจัดเก็บข้อมูลจราจรทางคอมพิวเตอร์ตามข้อกำหนดของกฎหมาย เพื่อให้การจัดเก็บนั้นทำได้อย่างถูกต้องครบถ้วน ประหยัดค่าใช้จ่าย และมีประสิทธิภาพ เนื้อหาของเอกสารนี้มีรากฐานมาจากการตีความกฎหมายและการทำงานจริงของที่ปรึกษาของเอซีอินโฟเทค กรณีที่เกิดข้อโต้แย้งหรือความไม่แน่ใจ องค์กรควรยึดถือข้อกฎหมายเป็นหลัก แนวปฏิบัติและการตีความ ข้อ 1 ชื่อของประกาศ ข้อ 2 วันบังคับใช้ ข้อ 3 รัฐมนตรีรักษาการ ข้อ 4 คำจำกัดความ “ผู้ให้บริการ” หมายความว่า [...]

Overview of ISO 27001 and ISO 27002: The International Standards for Information Security Management [ Part III ]

September 25th, 2008|Comments Off on Overview of ISO 27001 and ISO 27002: The International Standards for Information Security Management [ Part III ]

ในบทความตอนสุดท้ายนี้มีเนื้อหากล่าวถึงการออกใบรับรอง ทั้งในแง่การรับรองความมีมาตรฐานขององค์กร และในแง่การรับรองความรู้ ความสามารถของบุคคล รวมถึง แนวโน้มการประยุกต์ใช้มาตรฐาน ISO 27001 ทั้งในประเทศไทย และทั่วโลก   การออกใบรับรอง (Certification) ในแง่ขององค์กร (Organization Certification) การออกใบรับรอง (Certification) เป็นวิธีหนึ่งที่จะสามารถรับรองได้ว่าองค์กรมีระบบบริหารความมั่นคงของข้อมูล (ISMS) ที่มีประสิทธิภาพ [...]

Overview of ISO 27001 and ISO 27002: The International Standards for Information Security Management [ Part II ]

September 18th, 2008|Comments Off on Overview of ISO 27001 and ISO 27002: The International Standards for Information Security Management [ Part II ]

จากบทความในตอนที่แล้ว ซึ่งได้กล่าวถึงประวัติความเป็นมาของ ISO 27001 และ ISO 27002 นั้น ในบทความตอนนี้จะเป็นการกล่าวถึงเนื้อหาของมาตรฐาน โดยมีรายละเอียดดังนี้   11 หมวดหลักของมาตรฐาน ISO 27001 และ ISO 27002 หัวข้อต่อไปนี้คือ 11 หมวดหลักที่ครอบคลุมโดยมาตรฐาน ISO 27001 และ ISO 27002 1. Security [...]

Overview of ISO 27001 and ISO 27002: The International Standards for Information Security Management [ Part I ]

September 11th, 2008|Comments Off on Overview of ISO 27001 and ISO 27002: The International Standards for Information Security Management [ Part I ]

ISO 27001 และ ISO 27002 คือ มาตรฐานสากลด้านการบริหารความมั่นคงของข้อมูล ซึ่งเน้นความสำคัญที่ “ระบบการบริหารจัดการ” (Management System) โดยมีข้อกำหนดต่างๆ ที่องค์กรพึงปฏิบัติในการรักษาความมั่นคงของข้อมูล เพื่อปกป้องข้อมูล กระบวนการทางธุรกิจ และทรัพย์สินด้านสารสนเทศที่สำคัญให้พ้นจากภัยคุกคาม และความเสี่ยงในรูปแบบต่างๆ รวมถึงกำหนดให้มีการจัดทำแผนรับมือเหตุฉุกเฉินที่อาจเกิดขึ้น เพื่อลดความสูญเสีย และคงไว้ซึ่งความสามารถในการดำเนินธุรกิจได้อย่างต่อเนื่อง ในปัจจุบัน [...]

การควบคุมความมั่นคงของข้อมูล และการวัดประสิทธิผลตามข้อกำหนดของมาตรฐาน ISO 27001

August 14th, 2008|Comments Off on การควบคุมความมั่นคงของข้อมูล และการวัดประสิทธิผลตามข้อกำหนดของมาตรฐาน ISO 27001

ดังที่ทราบโดยทั่วกันว่า “ข้อมูล” (Information) ที่มีความถูกต้อง และสามารถใช้ในการติดต่อสื่อสารได้อย่างรวดเร็วนั้น คือหัวใจสำคัญของการดำเนินธุรกิจในปัจจุบัน องค์กรทั้งขนาดใหญ่ และขนาดย่อมต่างก็มีข้อมูลเป็นทรัพย์สินของตนเอง และถือได้ว่าเป็นทรัพย์สินที่มีค่ามากที่สุดสำหรับองค์กร เนื่องจากทรัพย์สินประเภทอื่น เช่น อาคารสถานที่ อุปกรณ์ บุคลากร โดยทั่วไปสามารถจัดซื้อ [...]

การอนุวัติ CMMI ในอุตสาหกรรมซอฟต์แวร์

July 4th, 2007|Comments Off on การอนุวัติ CMMI ในอุตสาหกรรมซอฟต์แวร์

เขตอุตสาหกรรมซอฟต์แวร์แห่งประเทศไทย หรือซอฟต์แวร์พาร์ค มีความสนใจในการส่งเสริมให้บริษัทซอฟต์แวร์ และหน่วยงานที่ทำหน้าที่พัฒนาซอฟต์แวร์นำเอากรอบการทำงาน (Framework) ที่เรียกว่า “Capability Maturity Model Integration” หรือ “CMMI” มาใช้ในการปรับปรุงการดำเนินงานของตนมาเป็นเวลากว่าแปดปีแล้ว  โดยเริ่มตั้งแต่นำผู้เชี่ยวชาญจากสถาบันวิศวกรรมซอฟต์แวร์ (Software [...]

Risk Management : The key process for ISO 27001 implementation

October 6th, 2006|Comments Off on Risk Management : The key process for ISO 27001 implementation

Risk Management (การบริหารจัดการความเสี่ยง) กระบวนการในการบริหารจัดการความเสี่ยง จะประกอบด้วย 2 ส่วนหลักๆ คือ Risk Assessment (การประเมินความเสี่ยง) Risk Treatment (การควบคุม / [...]

Information Security Policy

June 10th, 2006|Comments Off on Information Security Policy

นโยบายความมั่นคงของข้อมูล (Information Security Policy) สิ่งสำคัญที่สุดในการดำเนินธุรกิจในยุคปัจจุบันคือ ข้อมูลต่างๆ ที่ใช้ประกอบการดำเนินธุรกิจ แต่หลายองค์กร แทบจะไม่ได้ให้ความ สนใจในจุดนี้นัก โดยทั่วไปมักจะให้ความสำคัญกับสิ่งที่จับต้องได้ หรือ ที่มีราคาแพงมากกว่า ทั้งที่ในความเป็นจริงแล้ว สิ่งของเหล่านั้นสามารถหามาทดแทนได้หากเกิดความเสียหายขึ้น [...]