เรื่อง การวางแผน นโยบายความมั่นคงปลอดภัยสารสนเทศ (Information Security Policies)
ก่อนอื่นต้องแยกกันระหว่างคำว่า นโยบาย และคำว่า กฎระเบียบ ด้านความมั่นคงปลอดภัยสารสนเทศก่อน กล่าวคือ นโยบาย จะเป็นแนวทางในการทำงานบริหารจัดการในเรื่องต่าง ๆ เพื่อให้เกิดความมั่นคงปลอดภัยสารสนเทศขององค์กร โดยทั่วไปนโยบายจะต้องกล่าวถึงแนวทางการบริหารจัดการเรื่อง ต่าง ๆ ดังนี้ (รายละเอียดของแต่ละเรื่องจะกล่าวถึงในบทความต่อไป)
1. เรื่อง การควบคุม ความสอดคล้อง (Compliance)
2. เรื่อง การควบคุม การบริหารจัดการทรัพย์สิน (Asset Management)
3. เรื่อง การควบคุม ความมั่นคงปลอดภัยทางภายภาพและสภาพแวดล้อม (Physical and Environmental Security)
4. เรื่อง การควบคุม ความมั่นคงปลอดภัยสำหรับการสื่อสารข้อมูล (Communications Security)
5. เรื่อง การควบคุม ความสัมพันธ์กับผู้ให้บริการภายนอก (Supplier Relationships)
6. เรื่อง การควบคุม ความมั่นคงปลอดภัยสำหรับทรัพยากรบุคคล (Human Resource Security)
7. เรื่อง การควบคุม การเข้าถึง (Access Control)
8. เรื่อง การควบคุม ความมั่นคงปลอดภัยสำหรับการดำเนินงาน (Operations Security)
9. เรื่อง การควบคุม ประเด็นด้านความต่อมั่นคงปลอดภัย และความต่อเนื่องของธุรกิจ (Information Security Aspects of Business Continuity Management)
10. เรื่อง การควบคุม การจัดหา การพัฒนา และการบำรุงรักษาระบบ (System Acquisition, Development and Maintenance)
11. เรื่อง การควบคุม การบริหารจัดการเหตุการณ์ความมั่นคงปลอดภัยสารสนเทศ (Information Security Incident Management)
ส่วนเรื่อง กฎระเบียบด้านความมั่นคงปลอดภัยสารสนเทศ นั้นเนื้อหาด้านในจะกล่าวถึงเรื่องของ กฎระเบียบ ข้อบังคับ และบทลงโทษ ซึ่งประกาศให้พนักงานในองค์กรต้องลงชื่อรับทราบ และปฏิบัติตาม โดยทั่วไปกฎระเบียบด้านความมั่นคงปลอดภัยสารสนเทศ จะประกอบด้วยเรื่องต่าง ๆ ดังนี้
1. การใช้งานทรัพย์สินด้านเทคโนโลยีสารสนเทศ ทั้ง Hardware, Software และข้อมูลต่าง ๆ
2. การปฏิบัติตามกฎหมาย พรบ. ด้านคอมพิวเตอร์
3. การป้องกันโปรแกรมไม่ประสงค์ดี (Virus) ต่าง ๆ
4. กฎระเบียบเรื่องการระบุตัวต้น หรือเรื่องการใช้งานรหัสผ่านต่าง ๆ
5. การสำรองข้อมูล
6. การใช้งาน Email
7. บทลงโทษ
เพื่อให้สอดคล้องกับ COSO Framework และรองรับการตรวจสอบจาก บริษัทตรวจสอบภายใน การกำหนดและจัดทำนโยบาย และกฎระเบียบ ด้านความมั่นคงปลอดภัยสารสนเทศ ควรจะมีการกล่าวถึงหัวข้อต่าง ๆ ข้างต้น นโยบาย และกฎระเบียบด้านความมั่นคงปลอดภัยสารสนเทศ จะต้องมีการลงนามอนุมัติจากผู้บริหารระดับสูง เช่น CEO และจะต้องมีการนำมาทบทวนเป็นประจำว่าจะมีการปรับเปลี่ยน เพิ่มเติม เนื้อหาในส่วนไหนบ้าง เพื่อให้ทันสมัยเหมาะสอดคล้องกับการนำไปปฏิบัติจริง การทบทวนนโยบายด้านความมั่นคงสารสนเทศ จะต้องมีการบันทึกอย่างเป็นลายลักษณ์อักษร และจะต้องทบทวนอย่างน้อยปีละ 1 ครั้ง
ดร. สุรพรรษ์ เพ็ญจำรัส
อังคารที่ 18 กรกฎาคม 2560
“ขอสงวนสิทธิ์ ข้อมูล เนื้อหา บทความ และรูปภาพ (ในส่วนที่ทำขึ้นเอง) ทั้งหมดที่ปรากฎอยู่ในเว็บไซต์ ห้ามมิให้บุคคลใด คัดลอก หรือ ทำสำเนา หรือ ดัดแปลง ข้อความหรือบทความใดๆ ของเว็บไซต์ หากผู้ใดละเมิด ไม่ว่าการลอกเลียน หรือนำส่วนหนึ่งส่วนใดของบทความนี้ไปใช้ ดัดแปลง เพื่อการพาณิชย์โดยไม่ได้รับอนุญาตเป็นลายลักษณ์อักษร จะถูกดำเนินคดี ตามที่กฎหมายบัญญัติไว้สูงสุด ในกรณีต้องการอ้างอิงเพื่อการศึกษา กรุณาให้เครดิตโดยอ้างอิงถึงผู้เรียบเรียงและบริษัทเจ้าของเว็บไซด์ด้วย”