นโยบายและแนวปฏิบัติการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (Information Security Policy and Guidelines)
นโยบายและแนวปฏิบัติการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (Information Security Policy and Guidelines)
วัตถุประสงค์หลัก
พัฒนากระบวนการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศอย่างเป็นระบบ
รักษาความพร้อมใช้งาน (Availability) ความลับ (Confidentiality) และความถูกต้อง (Integrity)
ให้ผู้ปฏิบัติงานปฏิบัติตามกฎหมายและข้อบังคับที่เกี่ยวข้อง
พัฒนาความรู้ด้านความมั่นคงปลอดภัยสารสนเทศให้บุคลากร
โครงสร้างหน้าที่ความรับผิดชอบ
คณะกรรมการบริหารความเสี่ยงและควบคุมภายใน: อนุมัตินโยบาย กำกับดูแล
ผู้บริหาร: กำหนดเป้าหมาย วางแผนยุทธศาสตร์
หัวหน้างานต่างๆ: บริหารจัดการสิทธิ์
บุคลากร/ผู้ใช้งาน: ปฏิบัติตามนโยบาย แจ้งเหตุการณ์ผิดปกติ
4 มาตรการควบคุมหลัก
1. Organizational Controls (การควบคุมด้านองค์กร)
นโยบายการรักษาความมั่นคงปลอดภัยสารสนเทศ
การบริหารจัดการทรัพย์สินสารสนเทศ
การควบคุมการเข้าถึงข้อมูลและระบบ
ความสัมพันธ์กับผู้ให้บริการภายนอก
การจัดการเหตุการณ์ความมั่นคงปลอดภัย
2. People Controls (การควบคุมด้านบุคลากร)
ความมั่นคงปลอดภัยสำหรับทรัพยากรบุคคล
การปฏิบัติงานจากระยะไกล
3. Physical Controls (การควบคุมด้านกายภาพ)
ความมั่นคงปลอดภัยทางกายภาพและสภาพแวดล้อม
การจัดการสื่อบันทึกข้อมูล
4. Technological Controls (การควบคุมด้านเทคโนโลยี)
อุปกรณ์ระดับผู้ใช้งาน
การพิสูจน์ตัวตนอย่างมั่นคงปลอดภัย
ความมั่นคงปลอดภัยในการปฏิบัติงานด้าน IT
การเข้ารหัสข้อมูล
หลักการสำคัญ
Confidentiality: รักษาความลับของข้อมูล
Integrity: รักษาความถูกต้องสมบูรณ์ของข้อมูล
Availability: รักษาสภาพความพร้อมใช้งาน
นโยบายและแนวปฏิบัติการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ
นโยบายการใช้ระบบเทคโนโลยีสารสนเทศ เพื่อความมั่นคงปลอดภัยสำหรับผู้ใช้งาน (Acceptable Use Policy)
