เน็กส์โปรเจ็ค.เน็ต

ISO/IEC 17799 (BS7799) เกี่ยวข้องกับข้อมูลอย่างไร ?

---

อัปเดท : 19 มิถุนายน พ.ศ.2547 , แสดง : 34,948 , ความคิดเห็น : 2

---

BS7799 (British Standard 7799) เป็นมาตรฐานเกี่ยวกับการจัดการในเรื่องความปลอดภัยของข้อมูล ที่ออกโดย British Standards Institution ซึ่งถูกตีพิมพ์ครั้งแรกในเดือนเมษายน ค.ศ. 1991 โดยใช้ชื่อว่า BS7799:1999 มาตรฐานนี้เป็นส่วนหนึ่งของมาตรฐาน ISO (International Standard Organization)ต่อมาในเดือนตุลาคมปี ค.ศ.2000 ได้มีการปรับปรุงบางส่วนของมาตรฐาน และถูกตีพิมพ์เป็นครั้งที่ 2 ภายใต้ชื่อ ISO/IEC17799:2000 ในวันที่ 1 ธันวาคม ค.ศ. 2000  มาตรฐานนี้ถูกกำหนดขึ้นมาเพื่อเป็นแนวทางในการจัดการด้านความปลอดภัยของข้อมูลภายในองค์กร โดยการกำหนดแนวทางสำหรับการพัฒนามาตรฐานความปลอดภัย และการปฏิบัติงานเพื่อให้เกิดการจัดการที่มีประสิทธิภาพ รวมไปถึงการสร้างความมั่นใจในการติดต่อระหว่างองค์กร เนื่องจากข้อมูลถือเป็นสินทรัพย์ที่มีความสำคัญเช่นเดียวกับสินทรัพย์ทางธุรกิจอื่นๆ ดังนั้นการรักษาความปลอดภัยข้อมูล,การประเมินและการบริหารความเสี่ยงที่เกิดขึ้นจึงถือเป็นสิ่งสำคัญในการบริหารงานองค์กรให้มีประสิทธิภาพ หากกล่าวถึงความปลอดภัยข้อมูล จะต้องประกอบด้วย 3 องค์ประกอบ ดังนี้

1. Confidentiality  ในการรักษาความปลอดภัยข้อมูล สิ่งสำคัญที่ต้องคำนึงคือ สิทธิ์ในการเข้าถึงข้อมูลต่างๆ ในระบบงาน ดังนั้นผู้ที่จะสามารถเข้าถึงข้อมูลในระบบนั้น ๆ ได้ จะต้องได้รับการกำหนดสิทธ์ในการเข้าใช้ ซึ่งเป็นไปตามหลัก need-to-know และ need-to-do basis ตัวอย่างเช่น ในการจัดการเกี่ยวกับข้อมูลเงินเดือนของพนักงานในองค์กร ก็จะมีเจ้าหน้าที่ของฝ่ายทรัพยากรบุคคลเท่านั้นที่จะสามารถเข้าถึงข้อมูลนี้ได้ เพราะข้อมูลดังกล่าวเป็นข้อมูลสำคัญและไม่สามารถเปิดเผยได้ 

2. Integrity  ข้อมูลต่าง ๆ ในระบบจะต้องมีความถูกต้อง เช่น ข้อมูลที่เผยแพร่ทางอินเตอร์เน็ต ซึ่งเป็นข้อมูลที่ไม่ได้จำกัดสิทธิ์ในการเข้าถึง จึงส่งผลให้บุคคลภายนอกสามารถเข้าถึงข้อมูลดังกล่าวได้อย่างง่ายดาย ดังนั้นจะต้องมีการกำหนดมาตรการหรือแนวทางในการป้องกันการแก้ไขเปลี่ยนแปลงข้อมูล เพื่อป้องกันความผิดพลาดหรือการบิดเบือนข้อมูลหรือแม้กระทั่งผู้ที่มีสิทธิ์เข้าถึงระบบงานเพื่อทำการแก้ไขข้อมูลก็จะต้องได้รับการอนุมัติจากผู้บังคับบัญชาก่อน เช่น เจ้าหน้าที่ที่ทำการแก้ไขข้อมูลดอกเบี้ยเงินฝากต้องได้รับการอนุมัติจากผู้บังคับบัญชาเท่านั้น 

3. Availability  ผู้มีสิทธิ์สามารถที่จะเข้าถึงข้อมูลในระบบงานต่าง ๆ ได้ตามต้องการโดยผ่านช่องทางที่องค์กรกำหนด เช่น เจ้าหน้าที่ที่มีสิทธิ์ในการเข้าถึงระบบซื้อขายหลักทรัพย์ของธนาคารสามารถเข้าใช้ข้อมูลในช่วงเวลาที่ต้องการได้อย่างต่อเนื่องโดยไม่เกิดเหตุขัดข้อง เช่น ระบบฐานข้อมูลมีปัญหา ไม่สามารถดึงข้อมูลออกมาได้

การบริหารจัดการและส่งเสริมด้านความปลอดภัยข้อมูล จะต้องมีการกำหนดนโยบายการดำเนินงานภายในองค์กรที่ชัดเจน มีการให้ข้อมูล-เผยแพร่เอกสารเกี่ยวกับนโยบายดังกล่าวให้แก่พนักงานทุกคนได้รับทราบ เข้าใจวัตถุประสงค์ ขอบเขตการดำเนินงาน หลักการ และเป้าหมายของความปลอดภัยข้อมูล รวมไปถึงมาตรฐานที่ สอดคล้องกับการดำเนินธุรกิจขององค์กรเพื่อถือปฏิบัติตรงกัน จากนั้นจะต้องมีการประเมินผลว่าบรรลุตามนโยบายที่กำหนดไว้หรือไม่ ส่งผลการทบต่อการดำเนินธุรกิจอย่างไร และผลจากการเปลี่ยนแปลงส่งผลต่อเทคโนโลยีอย่างไร

การรักษาความปลอดภัยข้อมูล เกี่ยวข้องกับการจัดการในด้านต่างๆ ดังนี้

ความปลอดภัยเกี่ยวกับองค์กร 

เป็นการบริหารจัดการความปลอดภัยข้อมูลภายในองค์กร โดยมีหลักการดังนี้

1. มีการกำหนดโครงสร้าง, บทบาท – หน้าที่ความรับผิดชอบของผู้เกี่ยวข้อง เพื่อควบคุมการดำเนินงานให้เป็นไปตามขั้นตอนที่ถูกต้องและมีประสิทธิภาพ

2. มีการกำหนดมาตรการในการรักษาความปลอดภัยของข้อมูลและอุปกรณ์ประมวลผลต่างๆ จากบุคคลภายนอก เพราะจะก่อให้เกิดความเสี่ยง / ความเสียหายต่อองค์กรได้ หากไม่มีแนวทางการควบคุมที่รัดกุม

3. กรณีที่มีการว่าจ้างหน่วยงานอื่นให้ดำเนินงานทางด้านการประมวลผลข้อมูล จะต้องระบุมาตรการในการควบคุมไว้ในสัญญาอย่างชัดเจน

4. การดำเนินงานทางด้านความปลอดภัยข้อมูลของแต่ละองค์กร ควรมีการว่าจ้างที่ปรึกษาเพื่อให้ความรู้, คำแนะนำ และช่วยในการตัดสินใจเพื่อหาแนวทางที่ดี และเหมาะสมกับองค์กรมากที่สุด 

การควบคุมและการจำแนกสินทรัพย์ 

จะช่วยในการกำหนดระดับการป้องกันความเสียหายที่อาจเกิดขึ้นโดยแบ่งการจำแนกประเภทของสินทรัพย์ภายในองค์กร ได้ดังนี้ 

1. สินทรัพย์สารสนเทศ ได้แก่ ข้อมูลต่างๆ ที่ถูกจัดเก็บไว้ในฐานข้อมูล เอกสาร คู่มือใช้งาน สื่อการเรียนการสอน ขั้นตอนการปฏิบัติงาน และแผนงาน

2. สินทรัพย์ซอฟต์แวร์ ได้แก่ ซอฟต์แวร์ประยุกต์ ซอฟต์แวร์ระบบ เครื่องมือต่างๆ ที่ใช้ในการพัฒนาระบบ

3. สินทรัพย์ที่จับต้องได้ ได้แก่ อุปกรณ์คอมพิวเตอร์ อุปกรณ์สื่อสาร อุปกรณ์จัดเก็บข้อมูล เฟอร์นิเจอร์ต่าง ๆ

4. การให้บริการในด้านต่างๆ ได้แก่ การให้บริการในทางด้านคอมพิวเตอร์ การติดต่อสื่อสาร สาธารณูปโภค และบริการทั่วๆ ไป เพื่อให้การใช้สินทรัพย์เป็นไปอย่างมีประสิทธิภาพจะต้องมีมาตรการในการควบคุมการใช้สินทรัพย์ดังกล่าวให้เป็นไปตามที่กำหนดไว้ โดยคำนึงถึงลักษณะและ ความสำคัญ และความจำเป็นในการใช้งาน

ความปลอดภัยตัวบุคคล

เป็นการกำหนดมาตรการเพื่อลดความเสี่ยงอันเกิดจากความผิดพลาดของมนุษย์ โดยมีหลักการดังนี้

1. เริ่มตั้งแต่ขั้นตอนของการว่าจ้างจะต้องมีการกำหนดบทบาทหน้าที่ความรับผิดชอบทางด้านความปลอดภัยไว้ในสัญญาอย่างชัดเจน และติดตามผลการปฏิบัติงานเป็นรายบุคคล

2. กำหนดข้อตกลงร่วมกันว่าข้อมูลของแต่ละฝ่ายถือเป็นความลับ ห้ามมิให้นำข้อมูลของอีกฝ่ายไปเผยแพร่ให้แก่บุคคลอื่น ซึ่งข้อตกลงดังกล่าวจะต้องสอดคล้องกันกับสัญญาการว่าจ้าง

3. อบรมให้พนักงานทราบและตระหนักถึงความสำคัญของการรักษาความปลอดภัยข้อมูล เพื่อเป็นแนวทางในการปฏิบัติงานที่สนับสนุนนโยบายความปลอดภัยขององค์กร 

4. รายงานผลกรณีที่เกิดเหตุการณ์ต่างๆ อันส่งผลกระทบต่อความปลอดภัยขององค์กรให้แก่ผู้บริหาร
ได้รับทราบโดยด่วน เพื่อพิจารณาหาแนวทางแก้ไข

ความปลอดภัยเกี่ยวกับสถานที่และสภาพแวดล้อม 

เพื่อป้องกันการเข้าถึงจากบุคคลภายนอกที่ไม่ได้รับอนุญาต รวมไปถึงป้องกันความเสียหายและการแทรกแซงข้อมูลต่างๆ โดยมีหลักการดังนี้

1. กำหนดพื้นที่การรักษาความปลอดภัยที่ชัดเจน โดยที่ผู้ถูกอนุญาตเท่านั้นที่จะสามารถเข้าได้ 
2. มีสัญญาณเตือนภัยกรณีเกิดเหตุฉุกเฉิน เช่น มีเสียงเตือนกรณีเกิดไฟไหม้
3. จัดเก็บเครื่องมือและอุปกรณ์ที่ใช้ในการประมวลผลข้อมูลทางธุรกิจไว้ในบริเวณที่มีความปลอดภัย และมีการควบคุมที่ดี
4. ควบคุมดูแลความปลอดภัยของอุปกรณ์ เพื่อลดความเสี่ยงจากการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต และป้องกันความเสียหายที่อาจเกิดขึ้น เช่น การจัดการเกี่ยวกับระบบสำรองไฟเพื่อรองรับเหตุฉุกเฉินกรณีที่ไฟฟ้าดับ, การบำรุงรักษาอุปกรณ์ให้อยู่ในสภาพดี เหมาะต่อการใช้งาน และมีความถูกต้อง

การบริหารจัดการด้านการปฏิบัติงานและการติดต่อสื่อสาร

เป็นการกำหนดแนวทางในการปฏิบัติงานและเพิ่มความปลอดภัยของอุปกรณ์ประมวลผลข้อมูล เพื่อลดความผิดพลาดของระบบ ได้แก่

การกำหนดบทบาทหน้าที่และความรับผิดชอบในการปฏิบัติงาน โดยมีหลักการดังนี้

1. จัดทำเอกสารเกี่ยวกับวิธีการปฏิบัติงานที่ถูกกำหนดขึ้นเป็นนโยบายทางด้านการรักษาความปลอดภัย โดยระบุขั้นตอนที่ชัดเจน เช่น เริ่มต้นการการเก็บรวบรวมข้อมูล วิธีการการประมวลผล การวิเคราะห์ผลลัพธ์ กรณีที่เกิดข้อผิดพลาดจะมีแนวทางการจัดการอย่างไร

2. ควบคุมการเปลี่ยนแปลงเกี่ยวกับการปฏิบัติงาน ซึ่งหากควบคุมไม่ดีพอก็จะก่อให้เกิดความล้มเหลวของระบบได้ การควบคุมที่ดีจะต้องคำนึงถึง ขั้นตอนการดำเนินงานการที่เปลี่ยนแปลงไปจะส่งผลให้การปฏิบัติงานเป็นไปในทิศทางใด รวมทั้งการประเมินผลกระทบที่อาจเกิดขึ้นจากการเปลี่ยนแปลงดังกล่าว 

3. การจัดการกับเหตุการณ์ที่เกิดขึ้น เช่น กรณีระบบจัดเก็บข้อมูลมีปัญหา การให้บริการที่ผิดพลาด และความผิดพลาดซึ่งเกิดจากข้อมูลทางธุรกิจที่ไม่สมบูรณ์และไม่ถูกต้อง โดยการกำหนดแนวทางการจัดการกับเหตุการณ์ดังกล่าว ต้องเริ่มจากการวิเคราะห์และเพื่อหาสาเหตุของปัญหา วางแผนและกำหนดแนวทางแก้ไขเพื่อป้องกันไม่ให้เกิดเหตุการณ์นี้ขึ้นอีกในอนาคต ท้ายสุดจะต้องมีการรายงานผลให้กับผู้ที่เกี่ยวข้องได้รับทราบเพื่อตระหนักถึงปัญหาที่เกิดขึ้น

4. การแบ่งภาระหน้าที่ความรับผิดชอบ เพื่อติดตามผลการดำเนินงานทางด้านความปลอดภัยขององค์กร ซึ่งจะช่วยลดความเสี่ยงที่เกิดจากการทำงานที่ไม่ถูกต้อง

การวางแผนระบบและการยอมรับระบบงาน เพื่อเป็นการลดความเสี่ยงที่เกิดจากความล้มเหลวของระบบให้น้อยที่สุด เพราะการวางแผนและการเตรียมการที่ดีจะช่วยสร้างความมั่นใจเกี่ยวกับความเพียงพอของ capacity และ resource โดยมีหลักการดังนี้

1. วางแผนเกี่ยวกับ capacity ของระบบ โดยจะต้องคำนึงถึงความต้องการในอนาคต เพื่อให้สามารถรองรับการประมวลผลและการจัดเก็บข้อมูล

2. การยอมรับระบบงาน ในกรณีที่องค์กรได้ทำการพัฒนาระบบขึ้นมาใหม่ ก่อนอื่นระบบนั้นก็จะต้องผ่านการทดสอบเพื่อพิสูจน์ว่าสามารถรองรับการทำงาน และตอบสนองความต้องการได้ โดยจะต้องกำหนดหลักเกณฑ์ในการพิจารณาไว้อย่างชัดเจน ซึ่งได้แก่ การคำนึงทางด้าน performance และ capacity ของเครื่องคอมพิวเตอร์, การกู้ระบบกรณีที่ระบบมีปัญหา หรือเกิดข้อผิดพลาด, การเตรียมการและการทดสอบขั้นตอนการทำงานตามมาตรฐานที่กำหนดไว้ และท้ายสุดจะต้องมีการอบรมเกี่ยวกับการใช้งานระบบใหม่ให้แก่ผู้ที่เกี่ยวข้อง

การรักษาความถูกต้องของ software และข้อมูล ควรมีมาตรการในการตรวจจับและหลีกเลี่ยงเข้อผิดพลาดเพื่อป้องกัน software ที่จะก่อให้เกิดความเสียหายต่อระบบ โดยอยู่บนพื้นฐานของความปลอดภัย การเข้าถึงระบบอย่างถูกต้อง และการจัดการที่ดี โดยมีหลักการดังนี้ 

1. กำหนดนโยบายที่สอดคล้องกับ software licenses และข้อห้ามในการใช้งาน

2. กำหนดนโยบายต่อการบริหารความเสี่ยงที่เกิดจากการได้รับข้อมูลผ่าน network 

3. ติดตั้ง และ update โปรแกรม anti virus 

4. มีการ back up ข้อมูล และ โปรแกรมไว้ เพื่อสามารถกู้คืนกรณีที่ถูก virus ควรมีการ back-up ข้อมูลทางธุรกิจและโปรแกรมการใช้งานเป็นประจำ ซึ่งจะช่วยสร้างความมั่นใจได้ว่าข้อมูลที่สำคัญเหล่านั้นจะถูกกู้คืนได้กรณีที่ระบบมีปัญหา

การจัดการทางด้าน Network เพื่อสร้างความมั่นใจเกี่ยวกับความถูกต้องของข้อมูลในระบบ Network โดยมีการควบคุมที่ดี และป้องกันการเข้าถึงจากบุคคลภายนอกที่ไม่ได้รับอนุญาติ

การจัดการเกี่ยวกับความปลอดภัยและการควบคุมสื่อต่างๆ เพื่อป้องกันความเสียหายเกี่ยวกับสินทรัพย์และการดำเนินงานทางธุรกิจ วิธีการปฏิบัติงานที่เหมาะสมควรคำนึงถึงการป้องกันเอกสาร อุปกรณ์จัดเก็บข้อมูล (เทป, ดิสก์) ข้อมูลนำเข้า – ข้อมูลผลลัพธ์ และการเข้าถึงข้อมูลของบุคคลภายนอกที่ไม่ได้รับอนุญาต

การจัดการเกี่ยวกับอุปกรณ์จัดเก็บข้อมูล อาทิเช่น เทป, ดิสก์, และรายงาน มีการควบคุมดังนี้ 

1. หากข้อมูลที่ถูกจัดเก็บบนสื่อต่างๆ ไม่มีการดึงมาใช้งานอีกต่อไป ควรลบทิ้ง

2. ควรเก็บรักษาสื่อต่างๆ ที่เก็บข้อมูลไว้ในสถานที่ที่ปลอดภัย

การแลกเปลี่ยนข้อมูลและ software ควรมีการกำหนดแนวทางเพื่อป้องกันความเสียหาย, การเปลี่ยนแปลง และการใช้งานที่ผิดวิธีของข้อมูลที่มีการแลกเปลี่ยนระหว่างองค์กร ซึ่งจะต้องมีการควบคุมที่ดีและต้องสอดคล้องตามที่กฎหมายกำหนด โดยมีหลักการดังนี้

1. ข้อตกลงเกี่ยวกับการแลกเปลี่ยน software และข้อมูล ควรพิจารณาถึงภาระหน้าที่ในการจัดการควบคุมและแจ้งให้รับทราบเกี่ยวกับการส่งผ่านข้อมูล มาตรฐานทางเทคนิคในการส่งข้อมูล การรับผิดชอบกรณีที่ข้อมูลเกิดการสูญหาย

2. ความปลอดภัยของสื่อที่ใช้ส่งข้อมูล วิธีการส่งที่น่าเชื่อถือ มีความถูกต้อง มีการจัดเก็บที่ดีเพื่อป้องกันการถูกทำลาย มีการควบคุมเป็นกรณีพิเศษ อาทิ เช่น การใช้ตู้เก็บ การส่งด้วยมือ การแบ่งส่งข้อมูลตามเส้นทางต่างๆ การใช้ลายมือชื่อดิจิทัล และการเข้ารหัสข้อมูล

3. ความปลอดภัยของพาณิชย์อิเล็กทรอนิกส์ ซึ่งเกี่ยวข้องกับการแลกเปลี่ยนข้อมูลอิเล็กทรอนิกส์ (Electronic Data Interchange: EDI), e-mail, และการทำ transaction ผ่าน network สาธารณะ เช่น Internet จะต้องพิจารณาถึงความถูกต้อง เพื่อสร้างความเชื่อมั่นให้แก่ลูกค้า, การอนุญาต / การให้สิทธิ์ เช่น ผู้ใดมีสิทธิ์ในการกำหนดราคาของสินค้า, ข้อมูลเกี่ยวกับราคา วิธีการชำระเงิน การส่งสินค้า การรับใบเสร็จ ต้องมีความถูกต้องน่าเชื่อถือ

4. ความปลอดภัยของ e-mail เนื่องจาก e-mail ถูกนำมาใช้ในการสื่อสารทางธุรกิจกันอย่างแพร่หลาย ดังนั้นจึงมีความจำเป็นอย่างยิ่งในการควบคุมเพื่อลดความเสี่ยงที่เกิดจากการสื่อสารด้วยวิธีนี้ โดยการกำหนดนโยบายการใช้ e-mail ขึ้นภายในองค์กร เช่น การกำจัดไวรัสที่ติดมา, การปกป้องไฟล์-ข้อมูลที่แนบมากับ e-mail, การให้คำแนะนำว่าเมื่อไหร่ไม่สมควรที่จะใช้ e-mail, ใช้เทคนิคการเข้ารหัส-ถอดรหัสเพื่อเพิ่มความปลอดภัย และความถูกต้อง

5. ความปลอดภัยของระบบสำนักงานอิเล็กทรอนิกส์ ควรมีการกำหนดนโยบายในการควบคุมธุรกิจและความเสี่ยงที่สัมพันธ์กันกับระบบสำนักงานอิเล็กทรอนิกส์ เพื่อเพิ่มโอกาสและความรวดเร็วในการแบ่งปันข้อมูลทางธุรกิจ โดยการนำคอมพิวเตอร์ การสื่อสารไร้สาย, mail, voice-mail, multimedia และอุปกรณ์อำนวยความสะดวกต่างๆ มาใช้

6. การแลกเปลี่ยนข้อมูลในรูปแบบอื่นๆ จะต้องมีการกำหนดขั้นตอนวิธีและการควบคุมข้อมูลที่ถูกส่งผ่านมาตามอุปกรณ์สื่อสารต่างๆ ถ้าหากอุปกรณ์ดังกล่าวไม่สามารถทำงานได้ หรือ ถูกใช้งานมากจนเกินไป อาจส่งผลให้การปฏิบัติงานหยุดชะงัก

การควบคุมการเข้าถึงของข้อมูล

เป็นส่วนที่องค์กรต่างๆ ต้องให้ความสนใจอย่างมาก โดยแต่ละองค์กรควรมีการกำหนดนโยบาย บทบาท กระบวนการจัดการ และมีการควบคุมการเข้าถึงของข้อมูล อย่างชัดเจน เพื่อให้ทุกคนในองค์กรมีความเข้าใจ และเกิดความตระหนักถึงความสำคัญของข้อมูลภายในองค์กร โดยมาตรฐาน BS7799 ได้มีการแบ่งการควบคุมการเข้าถึงของข้อมูลออกเป็น 2 ประเภท คือ การเข้าถึงข้อมูลจากในองค์กร เช่น การใช้ e-mail, การเข้าสู่โปรแกรมต่างๆ ทางคอมพิวเตอร์ขององค์กร และนอกจากนี้ยังมีต้องมีการควบคุมการเข้าถึงข้อมูลจากภายนอกองค์กรโดยผ่านระบบเครือข่ายต่าง ๆ เช่น การใช้ internet เพื่อเข้ามาดึงข้อมูลต่างๆ ภายในองค์กร 

การป้องกันผู้ที่ไม่มีอำนาจเข้าถึงข้อมูลนั้น องค์กรควรมีกฎระเบียบที่มีความครอบคลุมทุกขั้นตอนของกระบวนการเข้าถึงข้อมูลของผู้ใช้ โดยเริ่มตั้งแต่การลงทะเบียนผู้ใช้ ตลอดจนถึงกระบวนการยกเลิกสิทธิแก่ผู้ใช้ที่ไม่มีการเข้าถึงข้อมูลและบริการเป็นเวลานาน การลงทะเบียนแก่ผู้ใช้นั้นควรมีการเก็บรายละเอียดที่สำคัญต่างๆ เพื่อให้มีความสะดวกในการตรวจสอบการเข้าถึงข้อมูลของผู้ใช้ได้ในภายหลัง หรือสามารถใช้เป็นหลักฐานได้ โดยรายละเอียดที่ควรจะมีการจัดเก็บได้แก่ 

รหัสของผู้ใช้ - โดยรหัสของผู้ใช้ในแต่คนนั้นไม่ควรซ้ำกัน เช่นการใช้รหัสประจำตัวของพนักงาน

สิทธิของผู้ใช้ - โดยมีการเก็บว่าผู้ใช้แต่ละคนสามารถเข้ามาทำอะไรกับระบบได้บ้าง เช่น สามารถเข้ามาดูได้เพียงอย่างเดียว หรือ สามารถแก้ไขข้อมูลได้

ระดับการเข้าถึงของข้อมูล - เนื่องจากพนักงานบางคนสามารถเข้าถึงข้อมูลได้แค่บางระดับเท่านั้น ดังนั้นจึงต้องมีการระบุถึงระดับการเข้าถึงของข้อมูล เพราะข้อมูลขององค์กรแต่ละประเภทนั้นมีความสำคัญที่แตกต่างกัน เช่น ข้อมูลทางแผนกบัญชีนั้น บุคคลโดยทั่วไปก็จะไม่ได้รับอนุญาตให้เข้าถึงข้อมูลทางบัญชีขององค์กรได้เพราะข้อมูลทางการเงินของบริษัทโดยส่วนใหญ่นั้นถือว่าเป็นความลับ

นอกจากนี้ องค์กรควรมีการจัดตั้งหน่วยงานหรือบุคลากรที่มีอำนาจหน้าที่ในการตรวจสอบการใช้ข้อมูลต่างๆ ภายในองค์กร โดยกระบวนการตรวจสอบนั้นควรมีการตรวจสอบอย่างสม่ำเสมอว่ามีรหัสผู้ใช้ที่ซ้ำซ้อนกันหรือไม่ ทำการลบสิทธิ์ในการเข้าถึงข้อมูลหากมีบุคคลใดในองค์กรลาออก ทำการปรับปรุงสิทธิ์ในการเข้าถึงข้อมูลอย่างเหมาะสมหากมีพนักงานภายในองค์กรมีการเปลี่ยนแปลงงานที่ได้รับผิดชอบ และนอกจากนี้การลงทะเบียนผู้ใช้นั้น ผู้ใช้จะต้องมีการเซ็นรับรองลงไปในระเบียบการเพื่อให้ผู้ใช้ได้เข้าใจถึงเงื่อนไขในการเข้าถึงข้อมูล ควรมี log file เพราะ log file สามารถใช้เป็นหลักฐานในเรื่องความปลอดภัยของข้อมูลได้ ดังนั้นจึงมีความจำเป็นที่จะต้องมีการเก็บ log file ที่สำคัญไปยังอีกระบบหนึ่ง และนอกจากนี้ควรมีการปรับนาฬิกาของแต่ละเครื่องคอมพิวเตอร์ให้ตรวจกันเพื่อให้เกิดความมั่นใจในเรื่องความแม่นยำของ log file และง่ายต่อการตรวจสอบ 

กระบวนการจัดการในเรื่องรหัสผ่านเพื่อเข้าถึงข้อมูลนั้นควรได้รับการควบคุมและจัดการอย่างเหมาะสม เพราะรหัสผ่านถูกใช้เป็นเครื่องมือในการตรวจสอบว่าบุคคลใดได้ทำการเข้าถึงข้อมูลต่างๆภายในองค์กร ดังนั้น องค์กรควรมีการความรู้ ความเข้าใจ และมีการสร้างจิตสำนึกในเรื่องการเก็บรักษารหัสผ่าน ความสำคัญของรหัสผ่าน โดยผู้ใช้ควรมีการเซ็นรับรองเพื่อเป็นการแสดงการรับทราบว่ารหัสผ่านของแต่ละคนควรเก็บเป็นความลับ สำหรับรหัสผ่านบางประเภทที่มีการใช้เป็นแบบกลุ่มนั้น ก็ควรจะมีแค่กลุ่มของตนเองเท่านั้นที่รู้รหัสผ่าน ระบบความมีความยืดหยุ่นที่จะให้ผู้ใช้สามารถทำการปรับเปลี่ยนรหัสผ่านของตนเองได้ โดยในครั้งแรกที่ผู้ใช้ได้รับรหัสผ่านนั้นจะเป็นรหัสผ่านแบบชั่วคราว ซึ่งผู้ใช้จะต้องแก้ไขเป็นรหัสผ่านถาวรโดยทันทีเมื่อมีการเข้าสู่ระบบในครั้งแรก การเก็บรหัสผ่านนั้นไม่ควรเก็บไว้ในระบบคอมพิวเตอร์ที่ไม่ได้มีการป้องกันอย่างเหมาะสม เนื่องจากระบบคอมพิวเตอร์บางระบบผู้ใช้สามารถเข้าสู่ระบบได้โดยง่ายเพราะไม่ต้องใช้รหัสผ่านเป็นต้น การตรวจสอบสิทธิ์ในการเข้าถึงข้อมูลและการบริการต่างๆ ที่องค์กรได้จัดไว้ให้นั้น ควรได้รับการตรวจสอบอยู่เป็นระยะ เช่น ควรมีการตรวจสอบสิทธิในการเข้าถึงข้อมูลทุกๆ 3 เดือน

การสร้างจิตสำนึก ความรับผิดชอบในการใช้งานและการบำรุงรักษารหัสผ่านนั้น องค์กรควรให้คำแนะนำในการบำรุงรักษาและการเก็บรหัสผ่านแก่ผู้ใช้ เช่น ผู้ใช้ควรหลีกเลี่ยงการเขียนรหัสผ่านลงบนกระดาษยกเว้นจะได้รับการรักษาความปลอดภัยเป็นอย่างดี ผู้ใช้ควรมีการเปลี่ยนแปลงรหัสผ่านอยู่สม่ำเสมอ เช่น อาจมีการเปลี่ยนแปลงรหัสผ่านทุกๆ 3 เดือน หรืออาจจะพิจารณาจากความถี่ในการเข้าสู่ระบบ เพราะถ้าผู้ใช้เข้าสู่ระบบเป็นประจำควรมีการเปลี่ยนแปลงรหัสผ่านถี่ขึ้น ซึ่งอาจจะน้อยกว่า 3 เดือนเป็นต้น ควรเลือกใช้รหัสผ่านที่เหมาะสม เช่นควรมีความยาวอย่างน้อย 6 ตัวอักษร และ ง่ายต่อการจดจำ อย่าใช้รหัสผ่านที่ง่ายต่อการคาดเดา เช่น การนำชื่อหรือเบอร์โทรศัพท์มาใช้เป็นรหัสผ่าน พนักงานควรเปลี่ยนรหัสผ่านชั่วคราวโดยทันทีเมื่อมีการ log-on เข้าสู่ระบบเป็นครั้งแรก ไม่ควรใช้วิธีการ log-on โดยอัตโนมัติ เพราะจะทำให้บุคคลอื่นที่มาแอบใช้เครื่องคอมพิวเตอร์สามารถเข้าถึงข้อมูลได้โดยง่าย ไม่ควรให้ผู้อื่นล่วงรู้รหัสผ่านของแต่ละคน ผู้ใช้ควรมีการเอาใจใส่ต่ออุปกรณ์ที่ตนเองใช้อยู่ตลอดเวลา เช่น เมื่อจบการทำงานควร log-off ออกจากระบบโดยทันที ยกเว้นจะได้รับการป้องกันอย่างเหมาะสมเนื่องจากมีการติดตั้งรหัสผ่านในโปรแกรม screen saver เป็นต้น

กระบวนการป้องกันการเข้าถึงข้อมูลโดยผ่านระบบเครือข่ายนั้นควรได้รับการควบคุมการเข้าสู่ระบบ เครือข่ายทั้งภายในและภายนอกองค์กรที่เหมาะสม มีกลไกในการมอบอำนาจสำหรับผู้ใช้และอุปกรณ์ และสามารถควบคุมการเข้าสู่การบริการข้อมูลได้ การเชื่อมต่อกับระบบเครือข่ายที่ไม่มีความปลอดภัยจะส่งผลโดยรวมต่อองค์กร เช่นการแพร่ระบาดของไวรัสคอมพิวเตอร์ ซึ่งในปัจจุบันปัญหาไวรัสคอมพิวเตอร์เป็นปัญหาสำคัญที่ทุกๆองค์กรประสบปัญหาอยู่ เพราะไวรัสบางประเภททำให้ข้อมูลภายในองค์กรได้รับความเสียหาย และในบางครั้งอาจทำให้ระบบเครือข่ายภายในองค์กรไม่สามารถใช้งานได้ เป็นต้น ดังนั้นผู้ที่เข้าถึงข้อมูลโดยผ่านระบบเครือข่ายได้นั้นควรเป็นผู้ที่ได้รับอำนาจหน้าที่เท่านั้น ที่จะสามารถเข้าสู่ระบบเครือข่ายได้ ซึ่งการควบคุมการเข้าสู่ระบบเครือข่ายเป็นเรื่องที่สำคัญของแต่ละองค์กร และมักจะมีความเสี่ยงสูงหากผู้ใช้เข้าสู่ระบบโดยผ่านระบบเครือข่ายเมื่ออยู่ภายนอกบริษัท ดังนั้นนโยบายควรครอบคลุมถึงกระบวนการป้องกันการเข้าถึงข้อมูลโดยผ่านระบบเครือข่าย และ การบริการของระบบเครือข่ายที่อนุญาตให้สามารถเข้าถึงได้ กระบวนการมอบอำนาจนั้นจะต้องมีการระบุว่าบุคคลใดจะเป็นผู้ที่ได้รับอนุญาตในการเข้าสู่ระบบเครือข่าย และการบริการต่างๆบนระบบเครือข่าย มีกระบวนการในการควบคุม และ ระเบียบในการป้องกันการเชื่อมต่อเครือข่าย และการบริการบนระบบเครือข่าย เส้นทางการเชื่อมต่อจากคอมพิวเตอร์ของผู้ใช้ จนถึงการบริการของระบบคอมพิวเตอร์ ต้องได้รับการควบคุม โดยเฉพาะอย่างยิ่งกรณีที่ผู้ใช้ทำการเชื่อมต่อเข้าสู่ระบบเครือข่ายจากภายนอกองค์กร ควรได้รับการควบคุมเช่นกัน เพื่อลดความเสี่ยงที่อาจเกิดขึ้นได้ และป้องกันผู้ใช้ที่ไม่ได้รับอนุญาตไม่สามารถเข้าสู่ระบบเครือข่ายได้ ซึ่งกระบวนการควบคุมนั้นจะขึ้นกับวิธีการในการเข้าสู่ระบบเครือข่าย เพราะการเข้าสู่ระบบเครือข่ายสามารถทำได้หลายวิธีเช่น จากโทรศัพท์ทั่วไป หรือจาก dedicated lines เป็นต้น และควรมีการควบคุมการสื่อสารระหว่างต้นทางและปลายทางโดยผ่าน security gateway เช่น firewall ซึ่งเป็นระบบหนึ่งหรือหลายระบบรวมกันที่สร้างหรือบังคับให้มีเส้นแบ่งเขตระหว่างสองเครือข่ายขึ้นไป เป็นgatewayที่จำกัดการเข้าถึงในเครือข่ายต่างๆ ให้เป็นไปตามนโยบายการรักษาความปลอดภัยของเครือข่ายนั้นๆ โดย firewall ที่ใช้กันโดยทั่วไปมีเป็นเครื่องคอมพิวเตอร์ที่ราคาไม่สูงมากนัก และไม่มีข้อมูลที่สำคัญอยู่จะมีเพียงโมเด็มหรือพอร์ตต่างๆที่เชื่อมต่อกับเครือข่ายภายนอก และมีอีกหนึ่งพอร์ตที่ใช้ในการต่อกลับมายังเครือข่ายภายใน

สำหรับการเชื่อมต่อจากภายนอกบริษัทควรจะมีกลไลในการป้องกันอย่างเหมาะสม เช่น การเข้าสู่ระบบเครือข่ายควรผ่านจาก Diagnostic ports, การใช้ cryptographic techniques (Cryptography เป็นการเข้ารหัสลับ ซึ่งเกี่ยวเนื่องกับหลักการ ตัวกลางและวิธีการในการทำให้ข้อความธรรมดาไม่สามารถถูกอ่านได้ และแปลงข้อความที่ถูกเข้ารหัสลับกลับเป็นข้อความธรรมดา) และการเลือกใช้ฮาร์ดแวร์และซอฟต์แวร์ที่เหมาะสม เพื่อช่วยเพิ่มความแข็งแกร่งในการป้องกันระบบเครือข่าย ควรเลือกอุปกรณ์ฮาร์ดแวร์และซอฟต์แวร์ที่มีคุณภาพ โดยรับการรับรองจากมาตรฐานสากลหรือได้รับการยอมรับอย่างกว้างขวางในวงการคอมพิวเตอร์

การควบคุมการเข้าถึงข้อมูลในระดับของระบบปฏิบัติการ (operating system) สามารถนำมาใช้ในการจำกัดการเข้าใช้ทรัพยากรคอมพิวเตอร์ โดยระบบปฏิบัติการนั้นควรที่จะมีความสามารถที่จะระบุและพิสูจน์ได้ถึงเครื่องคอมพิวเตอร์เครื่องใดที่ทำการเข้าถึงข้อมูลอยู่ เครื่องคอมพิวเตอร์นั้นถูกติดตั้งไว้ที่ใด มีการเก็บบันทึกว่าการเข้าสู่ระบบนั้นสำเร็จหรือล้มเหลว มีการกำหนดระยะเวลาในการเชื่อมต่อของเครื่องคอมพิวเตอร์แต่ละเครื่องเนื่องจากในบางครั้งผู้ใช้อาจลืมที่จะ log-off ออกจากระบบ ทำให้เป็นการเปิดโอกาสให้ผู้ที่ไม่มีสิทธิ์สามารถเข้าถึงข้อมูลได้

การ log-on จากเครื่องคอมพิวเตอร์นั้นควรปฏิบัติตามระเบียบของการ log-on ซึ่งเป็นการป้องกันในเบื้องต้น เพื่อไม่ให้ผู้ใช้ที่ไม่มีสิทธิ์นั้นสามารถเข้าถึงข้อมูลได้ โดยถ้าการเข้าสู่ระบบนั้นไม่ควรแสดงโปรแกรมประยุกต์หรือระบบต่างๆ ทางคอมพิวเตอร์ จนกว่าการ log-on จะเสร็จสมบูรณ์ ควรมีการแสดงข้อความเพื่อแจ้งให้ผู้ใช้ทราบว่า การเข้าถึงข้อมูลจะทำได้เฉพาะผู้ใช้ที่ได้รับสิทธิ์ ไม่ควรแสดงข้อความช่วยเหลือในระหว่างที่ผู้ใช้ทำการ log-on เพราะจะทำให้ผู้ที่ไม่มีสิทธิ์สามารถเข้าสู่ระบบได้ ควรมีการจำกัดจำนวนในกรณีที่ผู้ใช้ใส่รหัสผ่านผิด เช่นถ้าใส่รหัสผิด 3 ครั้งใน 1 วัน รหัสผ่านนั้นจะถูกล็อคโดยทันที 

การเชื่อมต่อด้วยอุปกรณ์สื่อสารประเภทไร้สายได้แก่ notebooks, palmtops, laptops และ mobile phones นั้นนโยบายควรได้รับการแก้ไขเพื่อให้เหมาะสมกับความเสี่ยงต่างๆที่อาจเกิดขึ้นได้จากการเชื่อมต่อด้วยอุปกรณ์สื่อสารไร้สายประเภทต่างๆ เช่น นโยบายควรมีการอ้างถึงความจำเป็นในการป้องกันระดับกายภาพ มีการใช้กระบวนการ cryptographic กระบวนการสำรองข้อมูล และการป้องกันไวรัสคอมพิวเตอร์ โดยนโยบายควรมีการอ้างถึงกฎระเบียบ และข้อแนะนำในการเชื่อมต่อด้วยอุปกรณ์ไร้สายต่างๆ

การรักษาความปลอดภัยของข้อมูลนั้นเป็นสิ่งที่มีความสำคัญมาก ดังนั้นควรได้รับความเห็นชอบก่อนที่จะพัฒนาระบบสารสนเทศขึ้นมา โดยการวิเคราะห์ความต้องการในเรื่องความปลอดภัยของระบบนั้น ควรได้รับการพิจารณาในระบบที่เกิดขึ้นใหม่ หรือการขยายระบบจากระบบเดิมที่มีอยู่เพื่อป้องกันความสูญหาย การเปลี่ยนแปลง หรือการใช้งานที่ผิดพลาดของผู้ใช้ ดังนั้นจึงต้องมีการควบคุม และตรวจสอบอย่างเหมาะสม เช่น ข้อมูลที่ผู้ใช้งานใส่ลงไปในระบบควรได้รับการตรวจสอบเพื่อให้เกิดความมั่นใจได้ว่าข้อมูลนั้นเป็นข้อมูลที่ถูกต้องและเหมาะสม มีการสุ่มตรวจจากเอกสารที่ได้รับการใส่เข้าไปในระบบ กำหนดความรับผิดชอบแก่ผู้ใช้ทุกคนที่เกี่ยวข้องกับการใส่ข้อมูลลงไปในระบบ มีการตรวจสอบเพื่อให้เกิดความมั่นใจว่าโปรแกรมได้ทำงานในเวลาที่เหมาะสม เช่นโปรแกรมจะไม่สามารถทำงานได้หากผู้ใช้ยังไม่ log-on เข้าสู่ระบบ มีการตรวจสอบการใช้งานต่างๆ โดยผู้ที่ไม่มีสิทธิ์จะไม่สามารถทำการเปลี่ยนแปลงข้อมูลได้ ซึ่งอาจมีการใช้ฮาร์ดแวร์หรือซอฟต์แวร์ในการรองรับความเป็นตัวตนที่แท้จริงของผู้ใช้ ควรมีการตรวจสอบผลลัพธ์ของข้อมูลที่ได้จากโปรแกรมเพื่อให้เกิดความมั่นใจได้ว่าการทำงานของระบบนั้นได้จัดเก็บข้อมูลได้อย่างถูกต้องและเหมาะสม มีนโยบายในการใช้ cryptographic technique เพื่อให้เกิดความมั่นใจว่าข้อมูลที่เป็นความลับนั้นได้รับการป้องกันอย่างเหมาะสม โดยการใช้ cryptographic technique นั้นเป็นสิ่งที่จำเป็นเพื่อให้ได้รับประโยชน์สูงสุด และลดความเสี่ยงต่างๆ

การจัดทำแผนฉุกเฉิน 

เป็นการจัดทำแผนงานเพื่อรองรับเหตุการณ์ในกรณีที่ระบบหรือข้อมูลได้รับความเสียหาย อาทิเช่น ภัยจากธรรมชาติ อุบัติเหตุต่างๆ เครื่องมือเครื่องใช้เสียหาย เป็นต้น เป็นการลดความเสี่ยงและเสริมสร้างความมั่นใจให้แก่องค์กร หัวใจสำคัญก็คือ กระบวนการการจัดทำแผนฉุกเฉิน การวิเคราะห์เหตุการณ์และผลกระทบที่อาจจะเกิดขึ้น ขอบเขตของแผนที่จะรองรับเหตุการณ์ การเขียนแผนและการลงมือปฏิบัติจริง และได้ ทดสอบและปรับปรุงแผนอย่างสม่ำเสมอ

กุญแจสำคัญของกระบวนการการจัดทำแผนฉุกเฉิน คือ รู้จักและเข้าใจถึงความเสี่ยงขององค์กรเป็นอย่างดีในแง่ของความเป็นไปได้และผลกระทบที่อาจจะเกิดขึ้น รวมถึงสามารถอธิบาย แยกแยะ และจัดลำดับตามความสำคัญได้ พิจารณาจัดซื้อประกันอย่างเหมาะสม เขียนกลยุทธ์ที่สอดคล้องกับลำดับความสำคัญและจุดประสงค์ด้านธุรกิจขององค์กร เขียนแผนงานในแต่ละกลยุทธ์ ทดสอบและปรับปรุงแผนรวมถึงกระบวนการที่ใช้ ต้องมั่นใจว่าแผนฉุกเฉินที่จัดทำขึ้นไม่ขัดแย้งกับกระบวนการทำงานและโครงสร้างขององค์กร ระบุหน้าที่ความรับผิดชอบของผู้ที่ได้รับมอบหมายงาน ตลอดจนถึงระบุการจัดการต่างๆ ในกรณีที่เกิดเหตุการณ์รุนแรงขึ้น

การวิเคราะห์แผนฉุกเฉินจะต้องระบุและอธิบายถึงสาเหตุที่เกิดขึ้นโดยละเอียด เช่น ไฟไหม้ น้ำท่วม หรือเครื่องมือได้รับความเสียหาย ตลอดจนถึงการประเมินความเสี่ยงและผลกระทบที่อาจจะเกิดขึ้น (ต้องอยู่ในรูปที่บอกถึงระดับความเสียหายและช่วงเวลาที่จำเป็นจะต้องแก้ไขให้แล้วเสร็จ) โดยได้รับความเห็นชอบจากเจ้าของธุรกิจหรือองค์กร ซึ่งการประเมินนี้จะต้องพิจารณาทุกๆ กระบวนการธุรกิจขององค์กรและผู้บริหารต้องเซ็นรับรอง

ก่อนที่จะวางระบบ จะต้องแน่ใจว่าแผนที่เขียนมานั้นจะสามารถบำรุงรักษาและสามารถกู้ระบบคืนได้ภายในระยะเวลาที่กำหนดไว้ตามความเสียหายแต่ละประเภท สิ่งสำคัญก็คือ ระบุข้อตกลงและรายละเอียดของความรับ ผิดชอบและกระบวนการทั้งหมด ให้ความรู้แก่เจ้าหน้าที่ผู้รับผิดชอบ จัดทำเอกสารประกอบการปฏิบัติงานโดยละเอียด ตลอดจนทดสอบและปรับปรุงแผนการปฏิบัติงานอยู่เสมอ

การบำรุงรักษาและการพัฒนาระบบ

การวางแผนกรอบงานเกี่ยวกับกระบวนการเมื่อเกิดเหตุฉุกเฉินนั้น จะต้องพิจารณาถึงเงื่อนไขที่ต้องทำตามแผน เช่น จะประเมินสถานการณ์อย่างไร มีใครมาเกี่ยวข้องบ้าง เป็นต้น กระบวนการจัดการเมื่อเกิดเหตุการณ์ฉุกเฉินขึ้นจะต้องอธิบายถึงวิธีที่ต้องปฏิบัติตามเกี่ยวกับชีวิตและทรัพย์สิน ซึ่งควรจะบอกเรื่องที่เกี่ยวกับการจัดการที่เกี่ยวข้องกับงานบริการของรัฐด้านต่างๆ ด้วย เช่น ตำรวจ ตำรวจดับเพลิง เจ้าหน้าที่ท้องถิ่นของรัฐบาล เป็นต้น ส่วนการวางแผนกรอบงานเกี่ยวกับกระบวนการย้อนกลับนั้น จะต้องระบุถึงการปฏิบัติการเพื่อย้ายสถานที่ประกอบธุรกรรมขององค์กรชั่วคราว และการย้ายกลับได้ทันเวลาที่ต้องการ การวางกรอบงานเพื่อให้กิจกรรมขององค์กรกลับคืนสู่สภาพเดิม และจัดตารางเวลาในการบำรุงรักษาว่าจะทำอย่างไรและเมื่อไหร่ ตลอดจนถึงการระบุความรับผิดชอบและหน้าที่ของแต่ละคน และผู้ที่จะทำหน้าที่แทนเมื่อคนที่ได้รับมอบหมายนั้นไม่สามารถปฏิบัติหน้าที่ได้

แผนใดๆ ก็ตาม พบว่ามักล้มเหลวได้เสมอหากอยู่บนสมมุติฐานที่ไม่ถูกต้อง หรือปฏิบัติตามในโอกาสที่เปลี่ยนแปลงไป ดังนั้นจึงต้องทดสอบและปรับปรุงแผนให้ทันสมัยอยู่เสมอ ซึ่งการทดสอบแต่ละครั้งสมาชิกและ เจ้าหน้าที่ทั้งหมดจะต้องรับทราบจะปฏิบัติได้จริงในชีวิตประจำวัน ซึ่งการทดสอบนี้เราอาจจะได้หลายรูปแบบ เช่น การจำลองสถานการณ์จริง คือ เป็นการฝึกให้ทุกคนรู้หน้าที่ของตนเองว่าในขณะนั้นควรกระทำอย่างไร การทดสอบการกู้ระบบคืน การทดสอบการกู้ระบบคืนในสิ่งแวดล้อมอื่นๆ ที่ไม่เหมือนเดิม ทดสอบว่าองค์กร คนในองค์กร เครื่องมือเครื่องใช้ และกระบวนการทำงานต่างๆ สามารถรับมือกับเหตุการณ์ฉุกเฉินได้อย่างมีประสิทธิภาพ

อย่างไรก็ตามแผนต่างๆ ที่จัดทำมา ควรตรวจสอบและปรับปรุงประสิทธิภาพอย่างสม่ำเสมอ กระบวนการต่างๆ ควรจัดให้เป็นโปรแกรมการเปลี่ยนแปลงขององค์กรอย่างจริงจัง การแบ่งงานความรับผิดชอบที่มอบหมายให้เจ้าหน้าที่แต่ละคนนั้น ควรปรับปรุงให้เข้ากับแผนที่เปลี่ยนแปลงไป ข้อมูลที่พบว่ามักจะต้องปรับปรุงอยู่เสมอ ได้แก่ ข้อมูลส่วนตัวต่างๆ ที่อยู่หรือเบอร์โทรศัพท์ที่สามารถติดต่อได้ทันที กลยุทธ์ทางธุรกิจขององค์กร สถานที่ทำการ เครื่องมือและทรัพยากรต่างๆ กฎหมาย กระบวนการขั้นตอนการทำงาน ความเสี่ยง เป็นต้น

การหลีกเลี่ยงการกระทำที่อาจก่อให้เกิดการละเมิดต่อทางกฎหมายหรือสัญญา ต้องมีเอกสารหรือประกาศ นโยบายที่ชัดเจนในแต่ระบบของเทคโนโลยีสารสนเทศ โดยระบุเรื่องการนำซอฟต์แวร์ไปใช้ การควบคุม ความรับผิดชอบของแต่ละคน ระเบียบการที่เหมาะสมที่จะนำมาใช้นั้น มีขึ้นเพื่อให้เกิดความมั่นใจว่าเป็นไปตามข้อบังคับทางกฎหมายที่ว่าด้วยเรื่องของทรัพย์สินทางปัญญา ลิขสิทธิ์ เครื่องหมายการค้า ควรพิจารณาจากส่วนต่างๆ ได้แก่ ประกาศเกี่ยวกับซอฟต์แวร์ที่อนุญาตให้ใช้ได้ และซอฟต์แวร์ที่ใช้ไม่ควรละเมิดลิขสิทธิ์ซอฟต์แวร์ เช่น ติดประกาศบนกระดานประกาศข่าวเพื่อให้ทราบโดยทั่วกัน สร้างวินัยให้แก่บุคคลในองค์กร เพื่อให้เกิดความตระหนักในเรื่องลิขสิทธิ์ซอฟต์แวร์ เช่น กำหนดบทลงโทษเมื่อตรวจพบว่ากระทำผิดจากที่ได้ประกาศไว้ จดบันทึก และตรวจสอบในเรื่องผู้รับผิดชอบในด้านลิขสิทธิ์ แผ่นต้นฉบับ และเอกสารที่เป็นคู่มือต่างๆ ควบคุมจำนวนผู้ใช้เพื่อไม่เกินจำนวนลิขสิทธิ์ที่ได้จัดซื้อเอาไว้ ใช้เครื่องมือในการตรวจสอบที่เหมาะสม เป็นต้น

เรื่องการเก็บรักษาข้อมูลขององค์กร จัดเป็นเรื่องสำคัญอีกเรื่องหนึ่งที่ต้องดูแล เนื่องจากในบางครั้งข้อมูลอาจสูญหายได้ ดังนั้นควรจัดแบ่งข้อมูลเป็นประเภทต่าง ๆ เช่นข้อมูลทางบัญชี ข้อมูลที่เป็นธุรกรรม (transaction) เป็นต้น เพื่อจะได้จัดเก็บได้อย่างเหมาะสม และนอกจากนี้ต้องคำนึงถึงวัสดุอุปกรณ์ที่จะนำมาใช้ในการจัดเก็บด้วยเพื่อให้การเข้าถึงเป็นได้โดยง่าย และป้องกันการสูญเสียข้อมูลอันเนื่องมาจากเทคโนโลยีมีการเปลี่ยนแปลง ดูแลรักษาคลังที่จัดเก็บข้อมูลสารสนเทศ ข้อมูลที่สำคัญมากๆ ต้องจัดเก็บและดูแลเป็นพิเศษ เช่น หากข้อมูลที่สำคัญคือข้อมูลส่วนตัวของลูกค้า ก็จำเป็นที่จะต้องจัดตั้งกระบวนการเพื่อจัดเก็บรักษาข้อมูลเป็นพิเศษและทำตามกระบวนการที่ได้จัดตั้งนั้นไว้อย่างเคร่งครัด จะเห็นได้ว่าในหลายๆ ประเทศ มีการใช้ Cryptographic control ซึ่งเป็นเครื่องมือที่ใช้ในการควบคุมการเข้าถึงของข้อมูล ดังนั้นการถ่ายเทข้อมูลผ่านทางด้านฮาร์ดแวร์หรือซอฟต์แวร์ ควรออกแบบให้มีส่วนของ cryptographic เข้าไปด้วย ทั้งนี้จะต้องไม่ขัดต่อกฎหมายของแต่ละประเทศ (กรณีที่มีถ่ายโอนข้อมูลสารสนเทศข้ามประเทศ)

สิ่งที่จำเป็นอย่างยิ่งเมื่อมีผู้ลักลอบเข้าถึงข้อมูลสารสนเทศขององค์กรคือ การรวบรวมหลักฐาน โดยเฉพาะอย่างยิ่งเมื่อการกระทำนั้นเกี่ยวข้องกับกฎหมาย เช่น การโจรกรรมข้อมูล สิ่งสำคัญที่ต้องคำนึงถึงได้แก่ การเก็บรวบรวมหลักฐานให้ได้มากที่สุดไม่ว่าหลักฐานนั้นจะใช้ในศาลหรือไม่ก็ตาม ให้น้ำหนักแก่หลักฐานแต่ละชิ้น นำหลักฐานนั้นมาพิจารณาเพื่อควบคุมมิให้เกิดเหตุการณ์ซ้ำอีกต่อไป เป็นต้น

การปฏิบัติตามกฎระเบียบ

การตรวจสอบในเรื่องนโยบายทางด้านความปลอดภัยเป็นสิ่งสำคัญอีกประเด็นหนึ่งที่ต้องพิจารณา โดยจะต้องหมั่นตรวจสอบนโยบายทางด้านความปลอดภัยของข้อมูลในระบบอยู่เสมอ เพื่อให้เกิดความมั่นใจในเรื่องนโยบาย และมาตรฐานของความปลอดภัย ผู้จัดการหรือผู้ที่รับผิดชอบแต่ละส่วนต้องมั่นใจได้ว่าระเบียบในเรื่องความปลอดภัย นั้นได้ปฏิบัติอย่างถูกต้องในพื้นที่ที่ตนรับผิดชอบอยู่ โดยนโยบายและมาตรฐานทางด้านความปลอดภัยของข้อมูลต้องระบุถึงระบบสารสนเทศ ผู้จัดหาระบบ ผู้เป็นเจ้าของสารสนเทศและสินทรัพย์สารสนเทศ ผู้ใช้ และการจัดการ โดยเจ้าของระบบสารสนเทศต้องเป็นผู้ที่ทำการตรวจสอบว่ามีนโยบาย หรือมาตรฐานทางด้านความปลอดภัยในระบบนั้นเหมาะสมหรือไม่เพียงใด นอกจากนี้ต้องมีการตรวจสอบและควบคุมทั้งทางด้านซอฟต์แวร์และฮาร์ดแวร์ด้วย เพื่อให้เกิดการนำไปใช้อย่างถูกต้องและเหมาะสม 

การตรวจสอบและพิจารณาระบบนั้นมีขึ้นเพื่อให้เกิดประสิทธิภาพสูงสุดแก่ระบบ สิ่งสำคัญที่จะต้องคำนึงถึงได้แก่ มีการวางแผนอย่างละเอียด และได้รับการเห็นชอบจากผู้ที่มีอำนาจ มีการกำหนดขอบเขตในการตรวจสอบและควบคุม การตรวจสอบนั้นทำได้แค่การอ่านข้อมูลเพียงอย่างเดียว ห้ามทำการแก้ไขข้อมูล มีการจัดทำเอกสารในเรื่องระเบียบขั้นตอน ความต้องการ และความรับผิดชอบ

---

ผู้เขียน/อ้างอิง : จักรกฤษณ์ แร่ทอง

อื่น ๆ เกี่ยวกับไอ.ที.

• เมกะไบท์ กิกะไบท์ เทราไบท์ แล้วต่อไปจะเป็นอะไร ?

  เมกะไบท์ กิกะไบท์ เทราไบท์ แล้วต่อไปจะเป็นอะไร ?

• เทคโนโลยีบัสคอมพิวเตอร์ (Computer Bus Technology) 2/3

  Trend of technology จะพูดถึง แนวทางของ Bus ในอนาคต

• เทคโนโลยีบัสคอมพิวเตอร์ (Computer Bus Technology) 3/3

  Trend of technology จะพูดถึง แนวทางของ Bus ในอนาคต

• เครื่องวัดความดัน วัดอุณหภูมิ และตรวจนับการเต้นของชีพจร 2/2

  ครื่องวัดความดัน วัดอุณหภูมิ และตรวจนับการเต้นของชีพจร

• มาตรทางด้านสิ่งแวดล้อมของผลิตภัณฑ์ด้าน IT

  คิดว่าหลายท่านที่ติดตามข่าวสารผ่านสื่อต่างๆ ในช่วงปีกว่ามานี้ คงจะได้ยินคำว่าสภาวะโลกร้อนหรือ Global Warming

• รู้จักกับความแตกต่างของจอแบบ CRT vs LCD

  จะเลือกจอ CRT หรือ LCD ดี? คำถามนี้อาจเป็นคำถามที่หลายๆคนถามหา เมื่อจะเลือกซื้อจอใหม่

• EPC : ELECTRONIC PRODUCT CODE (เลขรหัสสินค้าอิเล็กทรอนิกส์)

  การใช้งานเลขรหัสสินค้าอิเล็กทรอนิกส์ ร่วมกับเทคโนโลยี RFID (Radio Frequency Identification) มีประสิทธิภาพสูง

• ระบบเสมือนจริง (Virtual Reality [[[[sys]]]]tem -VR)

  ระบบเสมือนจริงนับเป็นการใช้ประโยชน์จากการแสดงผลด้วยสื่อประสม สร้างภาพ 3 มิติที่สามารถมองเห็นเหมือนเป็นภาพที่เป็น 3 มิติ

• RAID:Redundant Array of Independent Disks

  เอาดิสก์หลายๆตัวมารวมกัน ประสิทธิภาพที่ได้จากการใช้งานจะมากกว่า

• Wi-Fi Internet Trend (แนวโน้มไวไฟ ในอนาคต)

  เทคโนโลยีสื่อสารไร้สาย แต่ในอนาคตอันใกล้นี้