Uncategorized

>Uncategorized

NDID Security Assessment บริการตรวจประเมิน และให้คำปรึกษาการตรวจประเมิน NDID Member Qualification Assessment Framework (MQA)

NDID Security Assessment บริการตรวจประเมิน และให้คำปรึกษาการตรวจประเมิน NDID Member Qualification Assessment Framework (MQA) ผู้ให้บริการส่วนใหญ่ที่มีระบบ Digital ID ย่อมรู้จัก National Digital ID (ระบบ NDID) กันเป็นอย่างดี เพราะเริ่มใช้บริการกันมาตั้งแต่ปี 2020 ระบบ NDID เป็นระบบการพิสูจน์ และการยืนยันตัวตนทางดิจิทัลที่พัฒนาขึ้นโดยบริษัท National Digital ID [...]

Ep.2 การเตรียมความพร้อม 11 มาตรการควบคุมใหม่สำหรับ ISO 27002 เวอร์ชันใหม่

จากบทความ ep. 1 เรื่องการเตรียมการสำหรับมาตรฐานใหม่ [บทความก่อนหน้า] ในบทความถัดจากนี้เป็นข้อมูลสำหรับมาตรการควบคุม (control) ใหม่ทั้ง 11 ข้อ โดยบทความนี้จะเป็นการวิเคราะห์ใน 2 clause คือ Clause 5 Organizational และ Clause 7 Physical ประกอบด้วย 4 มาตรการควบคุมดังต่อไปนี้ 5.7 Threat intelligence5.23 Information security for [...]

ทำไมต้องใช้บริการ Outsourced DPO

ทำไมต้องใช้บริการ Outsourced DPO? พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562  หรือ Personal Data Protection Act (PDPA) จะมีผลบังคับใช้อย่างเต็มรูปแบบในวันที่ 1 มิถุนายน พ.ศ. 2565 ทำให้ทุก ๆ องค์กรมีหน้าที่ต้องปฏิบัติตามกฎหมายฉบับนี้อย่างเคร่งครัด การไม่ปฏิบัติตามหรือการฝ่าฝืนข้อกำหนดของกฎหมายอาจนำไปสู่บทลงโทษโดยแบ่งออกเป็น 3 ประเภทคือ โทษทางแพ่ง โทษทางอาญา และโทษทางปกครอง โดยมีบทลงโทษแตกต่างกันไปเช่น ค่าปรับสูงสุดไม่เกิน 5 ล้านบาท [...]

Ep.1 ทำความรู้จักและเตรียมความพร้อมสำหรับมาตรฐาน ISO 27002 เวอร์ชันใหม่

มาตรฐาน ISO/IEC 27001:2013 เป็นมาตรฐานด้านบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ และมาตรการควบคุมในมาตรฐานฉบับนี้ถือว่าเป็นชุดมาตรการควบคุมที่ได้รับการยอมรับ และถูกนำไปปรับใช้อย่างแพร่หลาย ในประเทศไทยเองนั้นมาตรฐานฉบับนี้ได้รับความนิยมอย่างมาก ดังจะเห็นได้จากข้อมูลบนเว็บ ISO ที่มีการสำรวจองค์กรที่ได้รับการรับรองมาตรฐานฉบับนี้ https://www.iso.org/files/live/sites/isoorg/files/standards/conformity_assessment/certification/doc/Survey-data/iso_27001_iso_survey2015.xls เป็นข้อมูลที่ทำการสำรวจเมื่อปี 2015 จากข้อมูลในช่วงปีนั้นประเทศไทยได้รับการรับรองมาตรฐานเกือบ 200 องค์กร โดยคาดการณ์ว่าปัจจุบันในปี 2021 องค์กรที่ได้รับการรับรองมาตรฐาน ISO/IEC 27001:2013 ในประเทศไทยอาจจะมีมากกว่า 400 องค์กร เนื่องจากหลายหน่วยงานกำกับในประเทศไทยได้นำมาตรฐานฉบับนี้ไปเป็นส่วนหนึ่งของประกาศด้านความมั่นคงปลอดภัยสารสนเทศ และมีการกำหนดให้องค์กรภายใต้การกำกับดูแล ต้องขอการรับรองมาตรฐานฉบับนี้ ตัวอย่างเช่น ประกาศธนาคารแห่งประเทศไทย ที่ [...]

Recap: สัมมนาออนไลน์ IT Risk Management Audit การเตรียมความพร้อมสำหรับการตรวจสอบตามหลักเกณฑ์การกำกับดูแลและบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศของบริษัทประกันชีวิต/ประกันวินาศภัย ตามข้อกำหนดของ คปภ.

เมื่อวันที่ 23 กันยายน 2564 ที่ผ่านมา บริษัท เอซีอินโฟเทค จำกัด (ACinfotec) ได้จัดกิจกรรมสัมมนาออนไลน์ ในหัวข้อ “Preparing and Executing a Successful IT Risk Management Audit for Insurance Industry” การเตรียมความพร้อมสำหรับการตรวจสอบตามหลักเกณฑ์การกำกับดูแลและบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศของบริษัทประกันชีวิต/ประกันวินาศภัย ตามข้อกำหนดของ คปภ. นำโดยวิทยากรที่มีความรู้ ความเชี่ยวชาญด้าน IT Risk Management [...]

Mega Data Breach ในประเทศไทย ความเสี่ยงที่มิอาจเลี่ยงของพวกเราทุกคน

Mega Data Breach ในประเทศไทย ความเสี่ยงที่มิอาจเลี่ยงของพวกเราทุกคน Research Article โดย Dr. Manhattan, Cybereer และ ทีม R&D ACinfotec Mega Data Breach หรือเหตุการณ์ข้อมูลรั่วไหลระดับหนึ่งล้านรายการขึ้นไป เกิดขึ้นบ่อยครั้งในต่างประเทศ และทวีความรุนแรงมากขึ้นในระยะหลัง ทั้งในด้านความถี่ของเหตุการณ์และจำนวนข้อมูลที่รั่วไหล เว็บไซต์ csoonline.com ได้จัดอันดับ 15 biggest data breaches of [...]

ISO 27701 (Privacy Information Management) Requirements and Guidelines

ISO 27701 เป็นส่วนเพิ่มเสริม (Extension) มาจากมาตรฐาน ISO 27001 ที่เกี่ยวกับระบบบริหารจัดการความมั่นคงปลอดภัยสำหรับสารสนเทศ (ISMS) และ ISO 27002 แนวทางการจัดการความมั่นคงปลอดภัยสำหรับสารสนเทศ แต่สำหรับ ISO 27701 จะเพิ่มเติมแนวทางการควบคุมดูแล ใช้งานและการประมวลผลของข้อมูลส่วนบุคคล สร้างเป้าหมายและกระบวนการที่จะทำให้ถึงเป้าหมายผ่าน Model Plan, Do, Check, Act (PDCA) ซึ่งใน ISO 27701 จะเรียกระบบนี้ว่า Privacy [...]

ISO/IEC 27017:2015 แนวปฏิบัติมาตรการควบคุมด้านความมั่นคงปลอดภัยบนบริการคลาวด์ (Information technology –Security techniques – Code of practice for information security controls Based on ISO/IEC 27002 for cloud services)

บทนำ ด้วยวิวัฒนาการทางด้านระบบคอมพิวเตอร์ ทำให้ในปัจจุบันการใช้บริการคลาวด์ (cloud service) มีจำนวนเพิ่มมากขึ้น เมื่อมีความต้องการใช้งานเพิ่มขึ้น ก็ส่งผลให้เกิดมีผู้ให้บริการ (cloud service providers) หลายรายในประเทศไทย โดยส่วนใหญ่ ผู้ให้บริการเหล่านั้นมีการวางมาตรการควบคุมด้านความมั่นคงปลอดภัยสารสนเทศ แตกต่างกันออกไป โดยส่วนใหญ่ผู้ให้บริการจะพิจารณาแนวทางในการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศตามมาตรฐาน ISO/IEC 27001:2013 ซึ่งเป็นที่นิยมในปัจจุบัน คงปฏิเสธไม่ได้ว่า การใช้ระบบคอมพิวเตอร์ที่ทำงานอยู่บนคลาวด์ (cloud computing) ได้เปลี่ยนแปลงองค์กรต่าง ๆ อย่างมาก ทั้งในแง่การประเมิน และการลดความเสี่ยงด้านความปลอดภัยข้อมูลสารสนเทศ อันเนื่องมาจากการออกแบบเชิงเทคนิค การใช้งาน และการกำกับดูแล ที่ล้วนส่งผลกระทบอย่างยิ่งต่อทรัพยากรของคอมพิวเตอร์  [...]