ISO 27001

Home » ISO 27001 » Page 3

บทวิเคราะห์ พรฎ. ว่าด้วยวิธีการแบบปลอดภัยในการทำธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2553

บทวิเคราะห์ พรฎ. ว่าด้วยวิธีการแบบปลอดภัยในการทำธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2553 ประกาศในราชกิจจานุเบกษาวันที่ 3 กันยายน 2553 ใช้บังคับเมื่อพ้นกำหนด 180 วันนับจากวันที่ประกาศ หรือนับตั้งแต่วันที่ 1 มีนาคม 2554 โดย ทีมที่ปรึกษา บริษัท เอซีอินโฟเทค จำกัด โครงสร้างของกฎหมาย หมายเหตุ: เนื้อความในตารางไม่ใช่ข้อความในกฎหมาย แต่เป็นคำอธิบายจากการวิเคราะห์กฎหมาย บทวิเคราะห์ กฎหมายนี้เป็นกฎหมายลำดับรองซึ่งตราขึ้นเพื่อสนับสนุนความตาม พรบ. ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. [...]

บทวิเคราะห์ พรฎ. ว่าด้วยวิธีการแบบปลอดภัยในการทำธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 25532023-05-08T22:38:42+07:00

Overview of ISO 27001 and ISO 27002: The International Standards for Information Security Management [ Part III ]

ในบทความตอนสุดท้ายนี้มีเนื้อหากล่าวถึงการออกใบรับรอง ทั้งในแง่การรับรองความมีมาตรฐานขององค์กร และในแง่การรับรองความรู้ ความสามารถของบุคคล รวมถึง แนวโน้มการประยุกต์ใช้มาตรฐาน ISO 27001 ทั้งในประเทศไทย และทั่วโลก   การออกใบรับรอง (Certification) ในแง่ขององค์กร (Organization Certification) การออกใบรับรอง (Certification) เป็นวิธีหนึ่งที่จะสามารถรับรองได้ว่าองค์กรมีระบบบริหารความมั่นคงของข้อมูล (ISMS) ที่มีประสิทธิภาพ แต่การที่จะจัดทำระบบ ISMS จนถึงขั้นได้รับการรับรองนั้น ก็จะมีต้นทุนที่สูงพอสมควร ทั้งนี้ ขึ้นอยู่กับนโยบาย ความมุ่งมั่นของผู้บริหาร และความจำเป็นของแต่ละองค์กร อย่างไรก็ตาม ถึงแม้ว่าองค์กรอาจจะไม่ได้มีความจำเป็นในการจัดทำระบบเพื่อให้ได้รับการรับรอง (Certification) แต่การนำแนวคิดของระบบ ISMS และหัวข้อการควบคุมที่กำหนดไว้ในมาตรฐาน ISO 27001 และ ISO 27002 ไปประยุกต์ใช้เพียงบางส่วน เพื่อปกป้องข้อมูลและระบบคอมพิวเตอร์ขององค์กรนั้น ก็มีประโยชน์ต่อองค์กรเป็นอย่างมาก โดยเฉพาะอย่างยิ่ง ต้นทุนของการดำเนินการเพื่อป้องกัน (Preventive) นั้น [...]

Overview of ISO 27001 and ISO 27002: The International Standards for Information Security Management [ Part III ]2014-07-03T16:05:25+07:00

Overview of ISO 27001 and ISO 27002: The International Standards for Information Security Management [ Part II ]

จากบทความในตอนที่แล้ว ซึ่งได้กล่าวถึงประวัติความเป็นมาของ ISO 27001 และ ISO 27002 นั้น ในบทความตอนนี้จะเป็นการกล่าวถึงเนื้อหาของมาตรฐาน โดยมีรายละเอียดดังนี้   11 หมวดหลักของมาตรฐาน ISO 27001 และ ISO 27002 หัวข้อต่อไปนี้คือ 11 หมวดหลักที่ครอบคลุมโดยมาตรฐาน ISO 27001 และ ISO 27002 1. Security policy ครอบคลุมเรื่องนโยบายการจัดการความมั่นคงของข้อมูลในองค์กร การเล็งเห็นถึงความสำคัญของนโยบายฯ และการให้การสนับสนุนจากผู้บริหารระดับสูงเพื่อให้มีการนำนโยบายฯ ไปใช้อย่างมีประสิทธิภาพ 2. Organizational of information security ครอบคลุมเรื่องการจัดตั้งหน่วยงานขึ้นเพื่อประสานงานและดำเนินงานด้านการดูแลรักษาความมั่นคงของข้อมูล ตลอดจนการบริหารจัดการด้านความมั่นคงของข้อมูลภายในองค์กร และการประสานงานทั้งภายในและภายนอกองค์กร 3. Asset management ครอบคลุมเรื่องการจัดทำทะเบียนทรัพย์สิน การจัดจำแนกประเภทของข้อมูลตามระดับความสำคัญ การควบคุมการเข้าถึงข้อมูลแต่ละประเภท และการควบคุมทรัพย์สินด้านสารสนเทศขององค์กร [...]

Overview of ISO 27001 and ISO 27002: The International Standards for Information Security Management [ Part II ]2023-05-08T22:38:42+07:00

Overview of ISO 27001 and ISO 27002: The International Standards for Information Security Management [ Part I ]

ISO 27001 และ ISO 27002 คือ มาตรฐานสากลด้านการบริหารความมั่นคงของข้อมูล ซึ่งเน้นความสำคัญที่ “ระบบการบริหารจัดการ” (Management System) โดยมีข้อกำหนดต่างๆ ที่องค์กรพึงปฏิบัติในการรักษาความมั่นคงของข้อมูล เพื่อปกป้องข้อมูล กระบวนการทางธุรกิจ และทรัพย์สินด้านสารสนเทศที่สำคัญให้พ้นจากภัยคุกคาม และความเสี่ยงในรูปแบบต่างๆ รวมถึงกำหนดให้มีการจัดทำแผนรับมือเหตุฉุกเฉินที่อาจเกิดขึ้น เพื่อลดความสูญเสีย และคงไว้ซึ่งความสามารถในการดำเนินธุรกิจได้อย่างต่อเนื่อง ในปัจจุบัน ได้มีการนำมาตรฐานดังกล่าวไปใช้งานกันอย่างแพร่หลายทั่วโลก โดยเฉพาะในประเทศญี่ปุ่น ประเทศอังกฤษ รวมถึงประเทศในแถบยุโรป ซึ่งเป็นที่น่าสนใจว่ามาตรฐาน ISO 27001 กำลังได้รับความนิยมเทียบเท่า หรืออาจจะมากกว่ามาตรฐาน ISO 9001(มาตรฐานเกี่ยวกับระบบการบริหารจัดการคุณภาพ) ก็เป็นได้ ทั้งนี้ เนื่องมาจากการพัฒนาเทคโนโลยีที่ก้าวหน้าอย่างรวดเร็ว และบทบาทของ IT ที่มีต่อการขับเคลื่อนการดำเนินธุรกิจ สำหรับในประเทศไทยเองก็เริ่มมีองค์กรต่างๆ ทั้งภาครัฐและเอกชนให้ความสนใจนำเอามาตรฐานดังกล่าวมาใช้ในการปรับปรุงการบริหารความมั่นคงของข้อมูล และระบบ IT ภายในองค์กร [...]

Overview of ISO 27001 and ISO 27002: The International Standards for Information Security Management [ Part I ]2023-05-08T22:38:42+07:00

การควบคุมความมั่นคงของข้อมูล และการวัดประสิทธิผลตามข้อกำหนดของมาตรฐาน ISO 27001

ดังที่ทราบโดยทั่วกันว่า “ข้อมูล” (Information) ที่มีความถูกต้อง และสามารถใช้ในการติดต่อสื่อสารได้อย่างรวดเร็วนั้น คือหัวใจสำคัญของการดำเนินธุรกิจในปัจจุบัน องค์กรทั้งขนาดใหญ่ และขนาดย่อมต่างก็มีข้อมูลเป็นทรัพย์สินของตนเอง และถือได้ว่าเป็นทรัพย์สินที่มีค่ามากที่สุดสำหรับองค์กร เนื่องจากทรัพย์สินประเภทอื่น เช่น อาคารสถานที่ อุปกรณ์ บุคลากร โดยทั่วไปสามารถจัดซื้อ จัดหา หรือจัดจ้างใหม่ได้ไม่ยากนัก แต่หากข้อมูลสำคัญ ยกตัวอย่างเช่น สูตรการผลิต รายละเอียดการออกแบบระบบสารสนเทศหลัก ฯลฯ เกิดการสูญหาย หรือถูกล่วงละเมิดความลับ ก็เป็นการยากที่จะกอบกู้ หรือสร้างขึ้นใหม่ในระยะเวลาอันสั้น อย่างไรก็ตาม เป็นที่น่าเสียดายที่องค์กรส่วนใหญ่ในประเทศไทยยังไม่ได้ตระหนักถึงความสำคัญของทรัพย์สินประเภทข้อมูลของตนเองมากนัก ส่งผลให้ขาดการควบคุมความมั่นคงของข้อมูล อันนำไปสู่ความเสี่ยงที่อาจจะทำให้องค์กรไม่สามารถดำเนินธุรกิจได้อีกต่อไป [...]

การควบคุมความมั่นคงของข้อมูล และการวัดประสิทธิผลตามข้อกำหนดของมาตรฐาน ISO 270012023-05-08T22:38:47+07:00

Risk Management : The key process for ISO 27001 implementation

Risk Management (การบริหารจัดการความเสี่ยง) กระบวนการในการบริหารจัดการความเสี่ยง จะประกอบด้วย 2 ส่วนหลักๆ คือ Risk Assessment (การประเมินความเสี่ยง) Risk Treatment (การควบคุม / แก้ไขความเสี่ยง) Risk Management vs. ISO 27001  กระบวนการในการบริหารจัดการความเสี่ยงเป็น Requirement หนึ่งในการจัดทำระบบ ISMS (Information Security Management Systems) ตามมาตรฐาน ISO 27001 และถือเป็นส่วนสำคัญที่มีผลอย่างมากต่อความสำเร็จและความมีประสิทธิภาพ [...]

Risk Management : The key process for ISO 27001 implementation2023-05-08T22:38:47+07:00

Information Security Policy

นโยบายความมั่นคงของข้อมูล (Information Security Policy) สิ่งสำคัญที่สุดในการดำเนินธุรกิจในยุคปัจจุบันคือ ข้อมูลต่างๆ ที่ใช้ประกอบการดำเนินธุรกิจ แต่หลายองค์กร แทบจะไม่ได้ให้ความ สนใจในจุดนี้นัก โดยทั่วไปมักจะให้ความสำคัญกับสิ่งที่จับต้องได้ หรือ ที่มีราคาแพงมากกว่า ทั้งที่ในความเป็นจริงแล้ว สิ่งของเหล่านั้นสามารถหามาทดแทนได้หากเกิดความเสียหายขึ้น แต่หากข้อมูลเสียหายไปโดยที่ไม่มีการสำรองไว้ก็ยากที่จะนำกลับคืนมา หรือ หากทำได้ก็ต้องใช้เวลานานในการที่จะรวบรวมข้อมูลที่เหมือนเดิมกลับมา แน่นอนว่าเราสามารถที่จะซื้อเครื่อง Server เครื่องใหม ่ได้ทุกเมื่อ แต่เราไม่สามารถหาซื้อข้อมูลที่เรารวบรวมไว้ภายในเครื่องได้ ดังนั้นเราจึงควรให้ความสำคัญกับการปกป้องข้อมูลมากขึ้น การที่จะเสริมความมั่นคงของข้อมูล ให้กับองค์กรสามารถกระทำได้ 3 แนวทางหลักๆ คือ การใช้เทคโนโลยี เช่น [...]

Information Security Policy2014-07-03T17:24:02+07:00

ACinfotec > Driving IT Excellence

ACinfotec Co., Ltd. is Thailand’s leading expert provider of services, solutions and consultancy advices for governance, continuity, compliance, risk and security management based on various well-known international standards, best practices and regulations including ISO 27001, ISO 20000, ISO 22301, CMMI, ISO 15504, TIPA, PCI DSS, etc.

Go to Top