ISO/IEC 17799 (BS7799) เกี่ยวข้องกับข้อมูลอย่างไร ?
อัปเดท : 19 มิถุนายน พ.ศ.2547 , แสดง : 35,163 , ความคิดเห็น : 2
BS7799 (British Standard 7799) เป็นมาตรฐานเกี่ยวกับการจัดการในเรื่องความปลอดภัยของข้อมูล ที่ออกโดย British Standards Institution ซึ่งถูกตีพิมพ์ครั้งแรกในเดือนเมษายน ค.ศ. 1991 โดยใช้ชื่อว่า BS7799:1999 มาตรฐานนี้เป็นส่วนหนึ่งของมาตรฐาน ISO (International Standard Organization)ต่อมาในเดือนตุลาคมปี ค.ศ.2000 ได้มีการปรับปรุงบางส่วนของมาตรฐาน และถูกตีพิมพ์เป็นครั้งที่ 2 ภายใต้ชื่อ ISO/IEC17799:2000 ในวันที่ 1 ธันวาคม ค.ศ. 2000 มาตรฐานนี้ถูกกำหนดขึ้นมาเพื่อเป็นแนวทางในการจัดการด้านความปลอดภัยของข้อมูลภายในองค์กร โดยการกำหนดแนวทางสำหรับการพัฒนามาตรฐานความปลอดภัย และการปฏิบัติงานเพื่อให้เกิดการจัดการที่มีประสิทธิภาพ รวมไปถึงการสร้างความมั่นใจในการติดต่อระหว่างองค์กร เนื่องจากข้อมูลถือเป็นสินทรัพย์ที่มีความสำคัญเช่นเดียวกับสินทรัพย์ทางธุรกิจอื่นๆ ดังนั้นการรักษาความปลอดภัยข้อมูล,การประเมินและการบริหารความเสี่ยงที่เกิดขึ้นจึงถือเป็นสิ่งสำคัญในการบริหารงานองค์กรให้มีประสิทธิภาพ หากกล่าวถึงความปลอดภัยข้อมูล จะต้องประกอบด้วย 3 องค์ประกอบ ดังนี้
1. Confidentiality ในการรักษาความปลอดภัยข้อมูล สิ่งสำคัญที่ต้องคำนึงคือ สิทธิ์ในการเข้าถึงข้อมูลต่างๆ ในระบบงาน ดังนั้นผู้ที่จะสามารถเข้าถึงข้อมูลในระบบนั้น ๆ ได้ จะต้องได้รับการกำหนดสิทธ์ในการเข้าใช้ ซึ่งเป็นไปตามหลัก need-to-know และ need-to-do basis ตัวอย่างเช่น ในการจัดการเกี่ยวกับข้อมูลเงินเดือนของพนักงานในองค์กร ก็จะมีเจ้าหน้าที่ของฝ่ายทรัพยากรบุคคลเท่านั้นที่จะสามารถเข้าถึงข้อมูลนี้ได้ เพราะข้อมูลดังกล่าวเป็นข้อมูลสำคัญและไม่สามารถเปิดเผยได้
2. Integrity ข้อมูลต่าง ๆ ในระบบจะต้องมีความถูกต้อง เช่น ข้อมูลที่เผยแพร่ทางอินเตอร์เน็ต ซึ่งเป็นข้อมูลที่ไม่ได้จำกัดสิทธิ์ในการเข้าถึง จึงส่งผลให้บุคคลภายนอกสามารถเข้าถึงข้อมูลดังกล่าวได้อย่างง่ายดาย ดังนั้นจะต้องมีการกำหนดมาตรการหรือแนวทางในการป้องกันการแก้ไขเปลี่ยนแปลงข้อมูล เพื่อป้องกันความผิดพลาดหรือการบิดเบือนข้อมูลหรือแม้กระทั่งผู้ที่มีสิทธิ์เข้าถึงระบบงานเพื่อทำการแก้ไขข้อมูลก็จะต้องได้รับการอนุมัติจากผู้บังคับบัญชาก่อน เช่น เจ้าหน้าที่ที่ทำการแก้ไขข้อมูลดอกเบี้ยเงินฝากต้องได้รับการอนุมัติจากผู้บังคับบัญชาเท่านั้น
3. Availability ผู้มีสิทธิ์สามารถที่จะเข้าถึงข้อมูลในระบบงานต่าง ๆ ได้ตามต้องการโดยผ่านช่องทางที่องค์กรกำหนด เช่น เจ้าหน้าที่ที่มีสิทธิ์ในการเข้าถึงระบบซื้อขายหลักทรัพย์ของธนาคารสามารถเข้าใช้ข้อมูลในช่วงเวลาที่ต้องการได้อย่างต่อเนื่องโดยไม่เกิดเหตุขัดข้อง เช่น ระบบฐานข้อมูลมีปัญหา ไม่สามารถดึงข้อมูลออกมาได้
การบริหารจัดการและส่งเสริมด้านความปลอดภัยข้อมูล จะต้องมีการกำหนดนโยบายการดำเนินงานภายในองค์กรที่ชัดเจน มีการให้ข้อมูล-เผยแพร่เอกสารเกี่ยวกับนโยบายดังกล่าวให้แก่พนักงานทุกคนได้รับทราบ เข้าใจวัตถุประสงค์ ขอบเขตการดำเนินงาน หลักการ และเป้าหมายของความปลอดภัยข้อมูล รวมไปถึงมาตรฐานที่ สอดคล้องกับการดำเนินธุรกิจขององค์กรเพื่อถือปฏิบัติตรงกัน จากนั้นจะต้องมีการประเมินผลว่าบรรลุตามนโยบายที่กำหนดไว้หรือไม่ ส่งผลการทบต่อการดำเนินธุรกิจอย่างไร และผลจากการเปลี่ยนแปลงส่งผลต่อเทคโนโลยีอย่างไร
การรักษาความปลอดภัยข้อมูล เกี่ยวข้องกับการจัดการในด้านต่างๆ ดังนี้
ความปลอดภัยเกี่ยวกับองค์กร
เป็นการบริหารจัดการความปลอดภัยข้อมูลภายในองค์กร โดยมีหลักการดังนี้
1. มีการกำหนดโครงสร้าง, บทบาท – หน้าที่ความรับผิดชอบของผู้เกี่ยวข้อง เพื่อควบคุมการดำเนินงานให้เป็นไปตามขั้นตอนที่ถูกต้องและมีประสิทธิภาพ
2. มีการกำหนดมาตรการในการรักษาความปลอดภัยของข้อมูลและอุปกรณ์ประมวลผลต่างๆ จากบุคคลภายนอก เพราะจะก่อให้เกิดความเสี่ยง / ความเสียหายต่อองค์กรได้ หากไม่มีแนวทางการควบคุมที่รัดกุม
3. กรณีที่มีการว่าจ้างหน่วยงานอื่นให้ดำเนินงานทางด้านการประมวลผลข้อมูล จะต้องระบุมาตรการในการควบคุมไว้ในสัญญาอย่างชัดเจน
4. การดำเนินงานทางด้านความปลอดภัยข้อมูลของแต่ละองค์กร ควรมีการว่าจ้างที่ปรึกษาเพื่อให้ความรู้, คำแนะนำ และช่วยในการตัดสินใจเพื่อหาแนวทางที่ดี และเหมาะสมกับองค์กรมากที่สุด
การควบคุมและการจำแนกสินทรัพย์
จะช่วยในการกำหนดระดับการป้องกันความเสียหายที่อาจเกิดขึ้นโดยแบ่งการจำแนกประเภทของสินทรัพย์ภายในองค์กร ได้ดังนี้
1. สินทรัพย์สารสนเทศ ได้แก่ ข้อมูลต่างๆ ที่ถูกจัดเก็บไว้ในฐานข้อมูล เอกสาร คู่มือใช้งาน สื่อการเรียนการสอน ขั้นตอนการปฏิบัติงาน และแผนงาน
2. สินทรัพย์ซอฟต์แวร์ ได้แก่ ซอฟต์แวร์ประยุกต์ ซอฟต์แวร์ระบบ เครื่องมือต่างๆ ที่ใช้ในการพัฒนาระบบ
3. สินทรัพย์ที่จับต้องได้ ได้แก่ อุปกรณ์คอมพิวเตอร์ อุปกรณ์สื่อสาร อุปกรณ์จัดเก็บข้อมูล เฟอร์นิเจอร์ต่าง ๆ
4. การให้บริการในด้านต่างๆ ได้แก่ การให้บริการในทางด้านคอมพิวเตอร์ การติดต่อสื่อสาร สาธารณูปโภค และบริการทั่วๆ ไป เพื่อให้การใช้สินทรัพย์เป็นไปอย่างมีประสิทธิภาพจะต้องมีมาตรการในการควบคุมการใช้สินทรัพย์ดังกล่าวให้เป็นไปตามที่กำหนดไว้ โดยคำนึงถึงลักษณะและ ความสำคัญ และความจำเป็นในการใช้งาน
ความปลอดภัยตัวบุคคล
เป็นการกำหนดมาตรการเพื่อลดความเสี่ยงอันเกิดจากความผิดพลาดของมนุษย์ โดยมีหลักการดังนี้
1. เริ่มตั้งแต่ขั้นตอนของการว่าจ้างจะต้องมีการกำหนดบทบาทหน้าที่ความรับผิดชอบทางด้านความปลอดภัยไว้ในสัญญาอย่างชัดเจน และติดตามผลการปฏิบัติงานเป็นรายบุคคล
2. กำหนดข้อตกลงร่วมกันว่าข้อมูลของแต่ละฝ่ายถือเป็นความลับ ห้ามมิให้นำข้อมูลของอีกฝ่ายไปเผยแพร่ให้แก่บุคคลอื่น ซึ่งข้อตกลงดังกล่าวจะต้องสอดคล้องกันกับสัญญาการว่าจ้าง
3. อบรมให้พนักงานทราบและตระหนักถึงความสำคัญของการรักษาความปลอดภัยข้อมูล เพื่อเป็นแนวทางในการปฏิบัติงานที่สนับสนุนนโยบายความปลอดภัยขององค์กร
4. รายงานผลกรณีที่เกิดเหตุการณ์ต่างๆ อันส่งผลกระทบต่อความปลอดภัยขององค์กรให้แก่ผู้บริหาร
ได้รับทราบโดยด่วน เพื่อพิจารณาหาแนวทางแก้ไข
ความปลอดภัยเกี่ยวกับสถานที่และสภาพแวดล้อม
เพื่อป้องกันการเข้าถึงจากบุคคลภายนอกที่ไม่ได้รับอนุญาต รวมไปถึงป้องกันความเสียหายและการแทรกแซงข้อมูลต่างๆ โดยมีหลักการดังนี้
1. กำหนดพื้นที่การรักษาความปลอดภัยที่ชัดเจน โดยที่ผู้ถูกอนุญาตเท่านั้นที่จะสามารถเข้าได้
2. มีสัญญาณเตือนภัยกรณีเกิดเหตุฉุกเฉิน เช่น มีเสียงเตือนกรณีเกิดไฟไหม้
3. จัดเก็บเครื่องมือและอุปกรณ์ที่ใช้ในการประมวลผลข้อมูลทางธุรกิจไว้ในบริเวณที่มีความปลอดภัย และมีการควบคุมที่ดี
4. ควบคุมดูแลความปลอดภัยของอุปกรณ์ เพื่อลดความเสี่ยงจากการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต และป้องกันความเสียหายที่อาจเกิดขึ้น เช่น การจัดการเกี่ยวกับระบบสำรองไฟเพื่อรองรับเหตุฉุกเฉินกรณีที่ไฟฟ้าดับ, การบำรุงรักษาอุปกรณ์ให้อยู่ในสภาพดี เหมาะต่อการใช้งาน และมีความถูกต้อง
การบริหารจัดการด้านการปฏิบัติงานและการติดต่อสื่อสาร
เป็นการกำหนดแนวทางในการปฏิบัติงานและเพิ่มความปลอดภัยของอุปกรณ์ประมวลผลข้อมูล เพื่อลดความผิดพลาดของระบบ ได้แก่
การกำหนดบทบาทหน้าที่และความรับผิดชอบในการปฏิบัติงาน โดยมีหลักการดังนี้
1. จัดทำเอกสารเกี่ยวกับวิธีการปฏิบัติงานที่ถูกกำหนดขึ้นเป็นนโยบายทางด้านการรักษาความปลอดภัย โดยระบุขั้นตอนที่ชัดเจน เช่น เริ่มต้นการการเก็บรวบรวมข้อมูล วิธีการการประมวลผล การวิเคราะห์ผลลัพธ์ กรณีที่เกิดข้อผิดพลาดจะมีแนวทางการจัดการอย่างไร
2. ควบคุมการเปลี่ยนแปลงเกี่ยวกับการปฏิบัติงาน ซึ่งหากควบคุมไม่ดีพอก็จะก่อให้เกิดความล้มเหลวของระบบได้ การควบคุมที่ดีจะต้องคำนึงถึง ขั้นตอนการดำเนินงานการที่เปลี่ยนแปลงไปจะส่งผลให้การปฏิบัติงานเป็นไปในทิศทางใด รวมทั้งการประเมินผลกระทบที่อาจเกิดขึ้นจากการเปลี่ยนแปลงดังกล่าว
3. การจัดการกับเหตุการณ์ที่เกิดขึ้น เช่น กรณีระบบจัดเก็บข้อมูลมีปัญหา การให้บริการที่ผิดพลาด และความผิดพลาดซึ่งเกิดจากข้อมูลทางธุรกิจที่ไม่สมบูรณ์และไม่ถูกต้อง โดยการกำหนดแนวทางการจัดการกับเหตุการณ์ดังกล่าว ต้องเริ่มจากการวิเคราะห์และเพื่อหาสาเหตุของปัญหา วางแผนและกำหนดแนวทางแก้ไขเพื่อป้องกันไม่ให้เกิดเหตุการณ์นี้ขึ้นอีกในอนาคต ท้ายสุดจะต้องมีการรายงานผลให้กับผู้ที่เกี่ยวข้องได้รับทราบเพื่อตระหนักถึงปัญหาที่เกิดขึ้น
4. การแบ่งภาระหน้าที่ความรับผิดชอบ เพื่อติดตามผลการดำเนินงานทางด้านความปลอดภัยขององค์กร ซึ่งจะช่วยลดความเสี่ยงที่เกิดจากการทำงานที่ไม่ถูกต้อง
การวางแผนระบบและการยอมรับระบบงาน เพื่อเป็นการลดความเสี่ยงที่เกิดจากความล้มเหลวของระบบให้น้อยที่สุด เพราะการวางแผนและการเตรียมการที่ดีจะช่วยสร้างความมั่นใจเกี่ยวกับความเพียงพอของ capacity และ resource โดยมีหลักการดังนี้
1. วางแผนเกี่ยวกับ capacity ของระบบ โดยจะต้องคำนึงถึงความต้องการในอนาคต เพื่อให้สามารถรองรับการประมวลผลและการจัดเก็บข้อมูล
2. การยอมรับระบบงาน ในกรณีที่องค์กรได้ทำการพัฒนาระบบขึ้นมาใหม่ ก่อนอื่นระบบนั้นก็จะต้องผ่านการทดสอบเพื่อพิสูจน์ว่าสามารถรองรับการทำงาน และตอบสนองความต้องการได้ โดยจะต้องกำหนดหลักเกณฑ์ในการพิจารณาไว้อย่างชัดเจน ซึ่งได้แก่ การคำนึงทางด้าน performance และ capacity ของเครื่องคอมพิวเตอร์, การกู้ระบบกรณีที่ระบบมีปัญหา หรือเกิดข้อผิดพลาด, การเตรียมการและการทดสอบขั้นตอนการทำงานตามมาตรฐานที่กำหนดไว้ และท้ายสุดจะต้องมีการอบรมเกี่ยวกับการใช้งานระบบใหม่ให้แก่ผู้ที่เกี่ยวข้อง
การรักษาความถูกต้องของ software และข้อมูล ควรมีมาตรการในการตรวจจับและหลีกเลี่ยงเข้อผิดพลาดเพื่อป้องกัน software ที่จะก่อให้เกิดความเสียหายต่อระบบ โดยอยู่บนพื้นฐานของความปลอดภัย การเข้าถึงระบบอย่างถูกต้อง และการจัดการที่ดี โดยมีหลักการดังนี้
1. กำหนดนโยบายที่สอดคล้องกับ software licenses และข้อห้ามในการใช้งาน
2. กำหนดนโยบายต่อการบริหารความเสี่ยงที่เกิดจากการได้รับข้อมูลผ่าน network
3. ติดตั้ง และ update โปรแกรม anti virus
4. มีการ back up ข้อมูล และ โปรแกรมไว้ เพื่อสามารถกู้คืนกรณีที่ถูก virus ควรมีการ back-up ข้อมูลทางธุรกิจและโปรแกรมการใช้งานเป็นประจำ ซึ่งจะช่วยสร้างความมั่นใจได้ว่าข้อมูลที่สำคัญเหล่านั้นจะถูกกู้คืนได้กรณีที่ระบบมีปัญหา
การจัดการทางด้าน Network เพื่อสร้างความมั่นใจเกี่ยวกับความถูกต้องของข้อมูลในระบบ Network โดยมีการควบคุมที่ดี และป้องกันการเข้าถึงจากบุคคลภายนอกที่ไม่ได้รับอนุญาติ
การจัดการเกี่ยวกับความปลอดภัยและการควบคุมสื่อต่างๆ เพื่อป้องกันความเสียหายเกี่ยวกับสินทรัพย์และการดำเนินงานทางธุรกิจ วิธีการปฏิบัติงานที่เหมาะสมควรคำนึงถึงการป้องกันเอกสาร อุปกรณ์จัดเก็บข้อมูล (เทป, ดิสก์) ข้อมูลนำเข้า – ข้อมูลผลลัพธ์ และการเข้าถึงข้อมูลของบุคคลภายนอกที่ไม่ได้รับอนุญาต
การจัดการเกี่ยวกับอุปกรณ์จัดเก็บข้อมูล อาทิเช่น เทป, ดิสก์, และรายงาน มีการควบคุมดังนี้
1. หากข้อมูลที่ถูกจัดเก็บบนสื่อต่างๆ ไม่มีการดึงมาใช้งานอีกต่อไป ควรลบทิ้ง
2. ควรเก็บรักษาสื่อต่างๆ ที่เก็บข้อมูลไว้ในสถานที่ที่ปลอดภัย
การแลกเปลี่ยนข้อมูลและ software ควรมีการกำหนดแนวทางเพื่อป้องกันความเสียหาย, การเปลี่ยนแปลง และการใช้งานที่ผิดวิธีของข้อมูลที่มีการแลกเปลี่ยนระหว่างองค์กร ซึ่งจะต้องมีการควบคุมที่ดีและต้องสอดคล้องตามที่กฎหมายกำหนด โดยมีหลักการดังนี้
1. ข้อตกลงเกี่ยวกับการแลกเปลี่ยน software และข้อมูล ควรพิจารณาถึงภาระหน้าที่ในการจัดการควบคุมและแจ้งให้รับทราบเกี่ยวกับการส่งผ่านข้อมูล มาตรฐานทางเทคนิคในการส่งข้อมูล การรับผิดชอบกรณีที่ข้อมูลเกิดการสูญหาย
2. ความปลอดภัยของสื่อที่ใช้ส่งข้อมูล วิธีการส่งที่น่าเชื่อถือ มีความถูกต้อง มีการจัดเก็บที่ดีเพื่อป้องกันการถูกทำลาย มีการควบคุมเป็นกรณีพิเศษ อาทิ เช่น การใช้ตู้เก็บ การส่งด้วยมือ การแบ่งส่งข้อมูลตามเส้นทางต่างๆ การใช้ลายมือชื่อดิจิทัล และการเข้ารหัสข้อมูล
3. ความปลอดภัยของพาณิชย์อิเล็กทรอนิกส์ ซึ่งเกี่ยวข้องกับการแลกเปลี่ยนข้อมูลอิเล็กทรอนิกส์ (Electronic Data Interchange: EDI), e-mail, และการทำ transaction ผ่าน network สาธารณะ เช่น Internet จะต้องพิจารณาถึงความถูกต้อง เพื่อสร้างความเชื่อมั่นให้แก่ลูกค้า, การอนุญาต / การให้สิทธิ์ เช่น ผู้ใดมีสิทธิ์ในการกำหนดราคาของสินค้า, ข้อมูลเกี่ยวกับราคา วิธีการชำระเงิน การส่งสินค้า การรับใบเสร็จ ต้องมีความถูกต้องน่าเชื่อถือ
4. ความปลอดภัยของ e-mail เนื่องจาก e-mail ถูกนำมาใช้ในการสื่อสารทางธุรกิจกันอย่างแพร่หลาย ดังนั้นจึงมีความจำเป็นอย่างยิ่งในการควบคุมเพื่อลดความเสี่ยงที่เกิดจากการสื่อสารด้วยวิธีนี้ โดยการกำหนดนโยบายการใช้ e-mail ขึ้นภายในองค์กร เช่น การกำจัดไวรัสที่ติดมา, การปกป้องไฟล์-ข้อมูลที่แนบมากับ e-mail, การให้คำแนะนำว่าเมื่อไหร่ไม่สมควรที่จะใช้ e-mail, ใช้เทคนิคการเข้ารหัส-ถอดรหัสเพื่อเพิ่มความปลอดภัย และความถูกต้อง
5. ความปลอดภัยของระบบสำนักงานอิเล็กทรอนิกส์ ควรมีการกำหนดนโยบายในการควบคุมธุรกิจและความเสี่ยงที่สัมพันธ์กันกับระบบสำนักงานอิเล็กทรอนิกส์ เพื่อเพิ่มโอกาสและความรวดเร็วในการแบ่งปันข้อมูลทางธุรกิจ โดยการนำคอมพิวเตอร์ การสื่อสารไร้สาย, mail, voice-mail, multimedia และอุปกรณ์อำนวยความสะดวกต่างๆ มาใช้
6. การแลกเปลี่ยนข้อมูลในรูปแบบอื่นๆ จะต้องมีการกำหนดขั้นตอนวิธีและการควบคุมข้อมูลที่ถูกส่งผ่านมาตามอุปกรณ์สื่อสารต่างๆ ถ้าหากอุปกรณ์ดังกล่าวไม่สามารถทำงานได้ หรือ ถูกใช้งานมากจนเกินไป อาจส่งผลให้การปฏิบัติงานหยุดชะงัก
การควบคุมการเข้าถึงของข้อมูล
เป็นส่วนที่องค์กรต่างๆ ต้องให้ความสนใจอย่างมาก โดยแต่ละองค์กรควรมีการกำหนดนโยบาย บทบาท กระบวนการจัดการ และมีการควบคุมการเข้าถึงของข้อมูล อย่างชัดเจน เพื่อให้ทุกคนในองค์กรมีความเข้าใจ และเกิดความตระหนักถึงความสำคัญของข้อมูลภายในองค์กร โดยมาตรฐาน BS7799 ได้มีการแบ่งการควบคุมการเข้าถึงของข้อมูลออกเป็น 2 ประเภท คือ การเข้าถึงข้อมูลจากในองค์กร เช่น การใช้ e-mail, การเข้าสู่โปรแกรมต่างๆ ทางคอมพิวเตอร์ขององค์กร และนอกจากนี้ยังมีต้องมีการควบคุมการเข้าถึงข้อมูลจากภายนอกองค์กรโดยผ่านระบบเครือข่ายต่าง ๆ เช่น การใช้ internet เพื่อเข้ามาดึงข้อมูลต่างๆ ภายในองค์กร
การป้องกันผู้ที่ไม่มีอำนาจเข้าถึงข้อมูลนั้น องค์กรควรมีกฎระเบียบที่มีความครอบคลุมทุกขั้นตอนของกระบวนการเข้าถึงข้อมูลของผู้ใช้ โดยเริ่มตั้งแต่การลงทะเบียนผู้ใช้ ตลอดจนถึงกระบวนการยกเลิกสิทธิแก่ผู้ใช้ที่ไม่มีการเข้าถึงข้อมูลและบริการเป็นเวลานาน การลงทะเบียนแก่ผู้ใช้นั้นควรมีการเก็บรายละเอียดที่สำคัญต่างๆ เพื่อให้มีความสะดวกในการตรวจสอบการเข้าถึงข้อมูลของผู้ใช้ได้ในภายหลัง หรือสามารถใช้เป็นหลักฐานได้ โดยรายละเอียดที่ควรจะมีการจัดเก็บได้แก่
รหัสของผู้ใช้ - โดยรหัสของผู้ใช้ในแต่คนนั้นไม่ควรซ้ำกัน เช่นการใช้รหัสประจำตัวของพนักงาน
สิทธิของผู้ใช้ - โดยมีการเก็บว่าผู้ใช้แต่ละคนสามารถเข้ามาทำอะไรกับระบบได้บ้าง เช่น สามารถเข้ามาดูได้เพียงอย่างเดียว หรือ สามารถแก้ไขข้อมูลได้
ระดับการเข้าถึงของข้อมูล - เนื่องจากพนักงานบางคนสามารถเข้าถึงข้อมูลได้แค่บางระดับเท่านั้น ดังนั้นจึงต้องมีการระบุถึงระดับการเข้าถึงของข้อมูล เพราะข้อมูลขององค์กรแต่ละประเภทนั้นมีความสำคัญที่แตกต่างกัน เช่น ข้อมูลทางแผนกบัญชีนั้น บุคคลโดยทั่วไปก็จะไม่ได้รับอนุญาตให้เข้าถึงข้อมูลทางบัญชีขององค์กรได้เพราะข้อมูลทางการเงินของบริษัทโดยส่วนใหญ่นั้นถือว่าเป็นความลับ
นอกจากนี้ องค์กรควรมีการจัดตั้งหน่วยงานหรือบุคลากรที่มีอำนาจหน้าที่ในการตรวจสอบการใช้ข้อมูลต่างๆ ภายในองค์กร โดยกระบวนการตรวจสอบนั้นควรมีการตรวจสอบอย่างสม่ำเสมอว่ามีรหัสผู้ใช้ที่ซ้ำซ้อนกันหรือไม่ ทำการลบสิทธิ์ในการเข้าถึงข้อมูลหากมีบุคคลใดในองค์กรลาออก ทำการปรับปรุงสิทธิ์ในการเข้าถึงข้อมูลอย่างเหมาะสมหากมีพนักงานภายในองค์กรมีการเปลี่ยนแปลงงานที่ได้รับผิดชอบ และนอกจากนี้การลงทะเบียนผู้ใช้นั้น ผู้ใช้จะต้องมีการเซ็นรับรองลงไปในระเบียบการเพื่อให้ผู้ใช้ได้เข้าใจถึงเงื่อนไขในการเข้าถึงข้อมูล ควรมี log file เพราะ log file สามารถใช้เป็นหลักฐานในเรื่องความปลอดภัยของข้อมูลได้ ดังนั้นจึงมีความจำเป็นที่จะต้องมีการเก็บ log file ที่สำคัญไปยังอีกระบบหนึ่ง และนอกจากนี้ควรมีการปรับนาฬิกาของแต่ละเครื่องคอมพิวเตอร์ให้ตรวจกันเพื่อให้เกิดความมั่นใจในเรื่องความแม่นยำของ log file และง่ายต่อการตรวจสอบ
กระบวนการจัดการในเรื่องรหัสผ่านเพื่อเข้าถึงข้อมูลนั้นควรได้รับการควบคุมและจัดการอย่างเหมาะสม เพราะรหัสผ่านถูกใช้เป็นเครื่องมือในการตรวจสอบว่าบุคคลใดได้ทำการเข้าถึงข้อมูลต่างๆภายในองค์กร ดังนั้น องค์กรควรมีการความรู้ ความเข้าใจ และมีการสร้างจิตสำนึกในเรื่องการเก็บรักษารหัสผ่าน ความสำคัญของรหัสผ่าน โดยผู้ใช้ควรมีการเซ็นรับรองเพื่อเป็นการแสดงการรับทราบว่ารหัสผ่านของแต่ละคนควรเก็บเป็นความลับ สำหรับรหัสผ่านบางประเภทที่มีการใช้เป็นแบบกลุ่มนั้น ก็ควรจะมีแค่กลุ่มของตนเองเท่านั้นที่รู้รหัสผ่าน ระบบความมีความยืดหยุ่นที่จะให้ผู้ใช้สามารถทำการปรับเปลี่ยนรหัสผ่านของตนเองได้ โดยในครั้งแรกที่ผู้ใช้ได้รับรหัสผ่านนั้นจะเป็นรหัสผ่านแบบชั่วคราว ซึ่งผู้ใช้จะต้องแก้ไขเป็นรหัสผ่านถาวรโดยทันทีเมื่อมีการเข้าสู่ระบบในครั้งแรก การเก็บรหัสผ่านนั้นไม่ควรเก็บไว้ในระบบคอมพิวเตอร์ที่ไม่ได้มีการป้องกันอย่างเหมาะสม เนื่องจากระบบคอมพิวเตอร์บางระบบผู้ใช้สามารถเข้าสู่ระบบได้โดยง่ายเพราะไม่ต้องใช้รหัสผ่านเป็นต้น การตรวจสอบสิทธิ์ในการเข้าถึงข้อมูลและการบริการต่างๆ ที่องค์กรได้จัดไว้ให้นั้น ควรได้รับการตรวจสอบอยู่เป็นระยะ เช่น ควรมีการตรวจสอบสิทธิในการเข้าถึงข้อมูลทุกๆ 3 เดือน
การสร้างจิตสำนึก ความรับผิดชอบในการใช้งานและการบำรุงรักษารหัสผ่านนั้น องค์กรควรให้คำแนะนำในการบำรุงรักษาและการเก็บรหัสผ่านแก่ผู้ใช้ เช่น ผู้ใช้ควรหลีกเลี่ยงการเขียนรหัสผ่านลงบนกระดาษยกเว้นจะได้รับการรักษาความปลอดภัยเป็นอย่างดี ผู้ใช้ควรมีการเปลี่ยนแปลงรหัสผ่านอยู่สม่ำเสมอ เช่น อาจมีการเปลี่ยนแปลงรหัสผ่านทุกๆ 3 เดือน หรืออาจจะพิจารณาจากความถี่ในการเข้าสู่ระบบ เพราะถ้าผู้ใช้เข้าสู่ระบบเป็นประจำควรมีการเปลี่ยนแปลงรหัสผ่านถี่ขึ้น ซึ่งอาจจะน้อยกว่า 3 เดือนเป็นต้น ควรเลือกใช้รหัสผ่านที่เหมาะสม เช่นควรมีความยาวอย่างน้อย 6 ตัวอักษร และ ง่ายต่อการจดจำ อย่าใช้รหัสผ่านที่ง่ายต่อการคาดเดา เช่น การนำชื่อหรือเบอร์โทรศัพท์มาใช้เป็นรหัสผ่าน พนักงานควรเปลี่ยนรหัสผ่านชั่วคราวโดยทันทีเมื่อมีการ log-on เข้าสู่ระบบเป็นครั้งแรก ไม่ควรใช้วิธีการ log-on โดยอัตโนมัติ เพราะจะทำให้บุคคลอื่นที่มาแอบใช้เครื่องคอมพิวเตอร์สามารถเข้าถึงข้อมูลได้โดยง่าย ไม่ควรให้ผู้อื่นล่วงรู้รหัสผ่านของแต่ละคน ผู้ใช้ควรมีการเอาใจใส่ต่ออุปกรณ์ที่ตนเองใช้อยู่ตลอดเวลา เช่น เมื่อจบการทำงานควร log-off ออกจากระบบโดยทันที ยกเว้นจะได้รับการป้องกันอย่างเหมาะสมเนื่องจากมีการติดตั้งรหัสผ่านในโปรแกรม screen saver เป็นต้น
กระบวนการป้องกันการเข้าถึงข้อมูลโดยผ่านระบบเครือข่ายนั้นควรได้รับการควบคุมการเข้าสู่ระบบ เครือข่ายทั้งภายในและภายนอกองค์กรที่เหมาะสม มีกลไกในการมอบอำนาจสำหรับผู้ใช้และอุปกรณ์ และสามารถควบคุมการเข้าสู่การบริการข้อมูลได้ การเชื่อมต่อกับระบบเครือข่ายที่ไม่มีความปลอดภัยจะส่งผลโดยรวมต่อองค์กร เช่นการแพร่ระบาดของไวรัสคอมพิวเตอร์ ซึ่งในปัจจุบันปัญหาไวรัสคอมพิวเตอร์เป็นปัญหาสำคัญที่ทุกๆองค์กรประสบปัญหาอยู่ เพราะไวรัสบางประเภททำให้ข้อมูลภายในองค์กรได้รับความเสียหาย และในบางครั้งอาจทำให้ระบบเครือข่ายภายในองค์กรไม่สามารถใช้งานได้ เป็นต้น ดังนั้นผู้ที่เข้าถึงข้อมูลโดยผ่านระบบเครือข่ายได้นั้นควรเป็นผู้ที่ได้รับอำนาจหน้าที่เท่านั้น ที่จะสามารถเข้าสู่ระบบเครือข่ายได้ ซึ่งการควบคุมการเข้าสู่ระบบเครือข่ายเป็นเรื่องที่สำคัญของแต่ละองค์กร และมักจะมีความเสี่ยงสูงหากผู้ใช้เข้าสู่ระบบโดยผ่านระบบเครือข่ายเมื่ออยู่ภายนอกบริษัท ดังนั้นนโยบายควรครอบคลุมถึงกระบวนการป้องกันการเข้าถึงข้อมูลโดยผ่านระบบเครือข่าย และ การบริการของระบบเครือข่ายที่อนุญาตให้สามารถเข้าถึงได้ กระบวนการมอบอำนาจนั้นจะต้องมีการระบุว่าบุคคลใดจะเป็นผู้ที่ได้รับอนุญาตในการเข้าสู่ระบบเครือข่าย และการบริการต่างๆบนระบบเครือข่าย มีกระบวนการในการควบคุม และ ระเบียบในการป้องกันการเชื่อมต่อเครือข่าย และการบริการบนระบบเครือข่าย เส้นทางการเชื่อมต่อจากคอมพิวเตอร์ของผู้ใช้ จนถึงการบริการของระบบคอมพิวเตอร์ ต้องได้รับการควบคุม โดยเฉพาะอย่างยิ่งกรณีที่ผู้ใช้ทำการเชื่อมต่อเข้าสู่ระบบเครือข่ายจากภายนอกองค์กร ควรได้รับการควบคุมเช่นกัน เพื่อลดความเสี่ยงที่อาจเกิดขึ้นได้ และป้องกันผู้ใช้ที่ไม่ได้รับอนุญาตไม่สามารถเข้าสู่ระบบเครือข่ายได้ ซึ่งกระบวนการควบคุมนั้นจะขึ้นกับวิธีการในการเข้าสู่ระบบเครือข่าย เพราะการเข้าสู่ระบบเครือข่ายสามารถทำได้หลายวิธีเช่น จากโทรศัพท์ทั่วไป หรือจาก dedicated lines เป็นต้น และควรมีการควบคุมการสื่อสารระหว่างต้นทางและปลายทางโดยผ่าน security gateway เช่น firewall ซึ่งเป็นระบบหนึ่งหรือหลายระบบรวมกันที่สร้างหรือบังคับให้มีเส้นแบ่งเขตระหว่างสองเครือข่ายขึ้นไป เป็นgatewayที่จำกัดการเข้าถึงในเครือข่ายต่างๆ ให้เป็นไปตามนโยบายการรักษาความปลอดภัยของเครือข่ายนั้นๆ โดย firewall ที่ใช้กันโดยทั่วไปมีเป็นเครื่องคอมพิวเตอร์ที่ราคาไม่สูงมากนัก และไม่มีข้อมูลที่สำคัญอยู่จะมีเพียงโมเด็มหรือพอร์ตต่างๆที่เชื่อมต่อกับเครือข่ายภายนอก และมีอีกหนึ่งพอร์ตที่ใช้ในการต่อกลับมายังเครือข่ายภายใน
สำหรับการเชื่อมต่อจากภายนอกบริษัทควรจะมีกลไลในการป้องกันอย่างเหมาะสม เช่น การเข้าสู่ระบบเครือข่ายควรผ่านจาก Diagnostic ports, การใช้ cryptographic techniques (Cryptography เป็นการเข้ารหัสลับ ซึ่งเกี่ยวเนื่องกับหลักการ ตัวกลางและวิธีการในการทำให้ข้อความธรรมดาไม่สามารถถูกอ่านได้ และแปลงข้อความที่ถูกเข้ารหัสลับกลับเป็นข้อความธรรมดา) และการเลือกใช้ฮาร์ดแวร์และซอฟต์แวร์ที่เหมาะสม เพื่อช่วยเพิ่มความแข็งแกร่งในการป้องกันระบบเครือข่าย ควรเลือกอุปกรณ์ฮาร์ดแวร์และซอฟต์แวร์ที่มีคุณภาพ โดยรับการรับรองจากมาตรฐานสากลหรือได้รับการยอมรับอย่างกว้างขวางในวงการคอมพิวเตอร์
การควบคุมการเข้าถึงข้อมูลในระดับของระบบปฏิบัติการ (operating system) สามารถนำมาใช้ในการจำกัดการเข้าใช้ทรัพยากรคอมพิวเตอร์ โดยระบบปฏิบัติการนั้นควรที่จะมีความสามารถที่จะระบุและพิสูจน์ได้ถึงเครื่องคอมพิวเตอร์เครื่องใดที่ทำการเข้าถึงข้อมูลอยู่ เครื่องคอมพิวเตอร์นั้นถูกติดตั้งไว้ที่ใด มีการเก็บบันทึกว่าการเข้าสู่ระบบนั้นสำเร็จหรือล้มเหลว มีการกำหนดระยะเวลาในการเชื่อมต่อของเครื่องคอมพิวเตอร์แต่ละเครื่องเนื่องจากในบางครั้งผู้ใช้อาจลืมที่จะ log-off ออกจากระบบ ทำให้เป็นการเปิดโอกาสให้ผู้ที่ไม่มีสิทธิ์สามารถเข้าถึงข้อมูลได้
การ log-on จากเครื่องคอมพิวเตอร์นั้นควรปฏิบัติตามระเบียบของการ log-on ซึ่งเป็นการป้องกันในเบื้องต้น เพื่อไม่ให้ผู้ใช้ที่ไม่มีสิทธิ์นั้นสามารถเข้าถึงข้อมูลได้ โดยถ้าการเข้าสู่ระบบนั้นไม่ควรแสดงโปรแกรมประยุกต์หรือระบบต่างๆ ทางคอมพิวเตอร์ จนกว่าการ log-on จะเสร็จสมบูรณ์ ควรมีการแสดงข้อความเพื่อแจ้งให้ผู้ใช้ทราบว่า การเข้าถึงข้อมูลจะทำได้เฉพาะผู้ใช้ที่ได้รับสิทธิ์ ไม่ควรแสดงข้อความช่วยเหลือในระหว่างที่ผู้ใช้ทำการ log-on เพราะจะทำให้ผู้ที่ไม่มีสิทธิ์สามารถเข้าสู่ระบบได้ ควรมีการจำกัดจำนวนในกรณีที่ผู้ใช้ใส่รหัสผ่านผิด เช่นถ้าใส่รหัสผิด 3 ครั้งใน 1 วัน รหัสผ่านนั้นจะถูกล็อคโดยทันที
การเชื่อมต่อด้วยอุปกรณ์สื่อสารประเภทไร้สายได้แก่ notebooks, palmtops, laptops และ mobile phones นั้นนโยบายควรได้รับการแก้ไขเพื่อให้เหมาะสมกับความเสี่ยงต่างๆที่อาจเกิดขึ้นได้จากการเชื่อมต่อด้วยอุปกรณ์สื่อสารไร้สายประเภทต่างๆ เช่น นโยบายควรมีการอ้างถึงความจำเป็นในการป้องกันระดับกายภาพ มีการใช้กระบวนการ cryptographic กระบวนการสำรองข้อมูล และการป้องกันไวรัสคอมพิวเตอร์ โดยนโยบายควรมีการอ้างถึงกฎระเบียบ และข้อแนะนำในการเชื่อมต่อด้วยอุปกรณ์ไร้สายต่างๆ
การรักษาความปลอดภัยของข้อมูลนั้นเป็นสิ่งที่มีความสำคัญมาก ดังนั้นควรได้รับความเห็นชอบก่อนที่จะพัฒนาระบบสารสนเทศขึ้นมา โดยการวิเคราะห์ความต้องการในเรื่องความปลอดภัยของระบบนั้น ควรได้รับการพิจารณาในระบบที่เกิดขึ้นใหม่ หรือการขยายระบบจากระบบเดิมที่มีอยู่เพื่อป้องกันความสูญหาย การเปลี่ยนแปลง หรือการใช้งานที่ผิดพลาดของผู้ใช้ ดังนั้นจึงต้องมีการควบคุม และตรวจสอบอย่างเหมาะสม เช่น ข้อมูลที่ผู้ใช้งานใส่ลงไปในระบบควรได้รับการตรวจสอบเพื่อให้เกิดความมั่นใจได้ว่าข้อมูลนั้นเป็นข้อมูลที่ถูกต้องและเหมาะสม มีการสุ่มตรวจจากเอกสารที่ได้รับการใส่เข้าไปในระบบ กำหนดความรับผิดชอบแก่ผู้ใช้ทุกคนที่เกี่ยวข้องกับการใส่ข้อมูลลงไปในระบบ มีการตรวจสอบเพื่อให้เกิดความมั่นใจว่าโปรแกรมได้ทำงานในเวลาที่เหมาะสม เช่นโปรแกรมจะไม่สามารถทำงานได้หากผู้ใช้ยังไม่ log-on เข้าสู่ระบบ มีการตรวจสอบการใช้งานต่างๆ โดยผู้ที่ไม่มีสิทธิ์จะไม่สามารถทำการเปลี่ยนแปลงข้อมูลได้ ซึ่งอาจมีการใช้ฮาร์ดแวร์หรือซอฟต์แวร์ในการรองรับความเป็นตัวตนที่แท้จริงของผู้ใช้ ควรมีการตรวจสอบผลลัพธ์ของข้อมูลที่ได้จากโปรแกรมเพื่อให้เกิดความมั่นใจได้ว่าการทำงานของระบบนั้นได้จัดเก็บข้อมูลได้อย่างถูกต้องและเหมาะสม มีนโยบายในการใช้ cryptographic technique เพื่อให้เกิดความมั่นใจว่าข้อมูลที่เป็นความลับนั้นได้รับการป้องกันอย่างเหมาะสม โดยการใช้ cryptographic technique นั้นเป็นสิ่งที่จำเป็นเพื่อให้ได้รับประโยชน์สูงสุด และลดความเสี่ยงต่างๆ
การจัดทำแผนฉุกเฉิน
เป็นการจัดทำแผนงานเพื่อรองรับเหตุการณ์ในกรณีที่ระบบหรือข้อมูลได้รับความเสียหาย อาทิเช่น ภัยจากธรรมชาติ อุบัติเหตุต่างๆ เครื่องมือเครื่องใช้เสียหาย เป็นต้น เป็นการลดความเสี่ยงและเสริมสร้างความมั่นใจให้แก่องค์กร หัวใจสำคัญก็คือ กระบวนการการจัดทำแผนฉุกเฉิน การวิเคราะห์เหตุการณ์และผลกระทบที่อาจจะเกิดขึ้น ขอบเขตของแผนที่จะรองรับเหตุการณ์ การเขียนแผนและการลงมือปฏิบัติจริง และได้ ทดสอบและปรับปรุงแผนอย่างสม่ำเสมอ
กุญแจสำคัญของกระบวนการการจัดทำแผนฉุกเฉิน คือ รู้จักและเข้าใจถึงความเสี่ยงขององค์กรเป็นอย่างดีในแง่ของความเป็นไปได้และผลกระทบที่อาจจะเกิดขึ้น รวมถึงสามารถอธิบาย แยกแยะ และจัดลำดับตามความสำคัญได้ พิจารณาจัดซื้อประกันอย่างเหมาะสม เขียนกลยุทธ์ที่สอดคล้องกับลำดับความสำคัญและจุดประสงค์ด้านธุรกิจขององค์กร เขียนแผนงานในแต่ละกลยุทธ์ ทดสอบและปรับปรุงแผนรวมถึงกระบวนการที่ใช้ ต้องมั่นใจว่าแผนฉุกเฉินที่จัดทำขึ้นไม่ขัดแย้งกับกระบวนการทำงานและโครงสร้างขององค์กร ระบุหน้าที่ความรับผิดชอบของผู้ที่ได้รับมอบหมายงาน ตลอดจนถึงระบุการจัดการต่างๆ ในกรณีที่เกิดเหตุการณ์รุนแรงขึ้น
การวิเคราะห์แผนฉุกเฉินจะต้องระบุและอธิบายถึงสาเหตุที่เกิดขึ้นโดยละเอียด เช่น ไฟไหม้ น้ำท่วม หรือเครื่องมือได้รับความเสียหาย ตลอดจนถึงการประเมินความเสี่ยงและผลกระทบที่อาจจะเกิดขึ้น (ต้องอยู่ในรูปที่บอกถึงระดับความเสียหายและช่วงเวลาที่จำเป็นจะต้องแก้ไขให้แล้วเสร็จ) โดยได้รับความเห็นชอบจากเจ้าของธุรกิจหรือองค์กร ซึ่งการประเมินนี้จะต้องพิจารณาทุกๆ กระบวนการธุรกิจขององค์กรและผู้บริหารต้องเซ็นรับรอง
ก่อนที่จะวางระบบ จะต้องแน่ใจว่าแผนที่เขียนมานั้นจะสามารถบำรุงรักษาและสามารถกู้ระบบคืนได้ภายในระยะเวลาที่กำหนดไว้ตามความเสียหายแต่ละประเภท สิ่งสำคัญก็คือ ระบุข้อตกลงและรายละเอียดของความรับ ผิดชอบและกระบวนการทั้งหมด ให้ความรู้แก่เจ้าหน้าที่ผู้รับผิดชอบ จัดทำเอกสารประกอบการปฏิบัติงานโดยละเอียด ตลอดจนทดสอบและปรับปรุงแผนการปฏิบัติงานอยู่เสมอ
การบำรุงรักษาและการพัฒนาระบบ
การวางแผนกรอบงานเกี่ยวกับกระบวนการเมื่อเกิดเหตุฉุกเฉินนั้น จะต้องพิจารณาถึงเงื่อนไขที่ต้องทำตามแผน เช่น จะประเมินสถานการณ์อย่างไร มีใครมาเกี่ยวข้องบ้าง เป็นต้น กระบวนการจัดการเมื่อเกิดเหตุการณ์ฉุกเฉินขึ้นจะต้องอธิบายถึงวิธีที่ต้องปฏิบัติตามเกี่ยวกับชีวิตและทรัพย์สิน ซึ่งควรจะบอกเรื่องที่เกี่ยวกับการจัดการที่เกี่ยวข้องกับงานบริการของรัฐด้านต่างๆ ด้วย เช่น ตำรวจ ตำรวจดับเพลิง เจ้าหน้าที่ท้องถิ่นของรัฐบาล เป็นต้น ส่วนการวางแผนกรอบงานเกี่ยวกับกระบวนการย้อนกลับนั้น จะต้องระบุถึงการปฏิบัติการเพื่อย้ายสถานที่ประกอบธุรกรรมขององค์กรชั่วคราว และการย้ายกลับได้ทันเวลาที่ต้องการ การวางกรอบงานเพื่อให้กิจกรรมขององค์กรกลับคืนสู่สภาพเดิม และจัดตารางเวลาในการบำรุงรักษาว่าจะทำอย่างไรและเมื่อไหร่ ตลอดจนถึงการระบุความรับผิดชอบและหน้าที่ของแต่ละคน และผู้ที่จะทำหน้าที่แทนเมื่อคนที่ได้รับมอบหมายนั้นไม่สามารถปฏิบัติหน้าที่ได้
แผนใดๆ ก็ตาม พบว่ามักล้มเหลวได้เสมอหากอยู่บนสมมุติฐานที่ไม่ถูกต้อง หรือปฏิบัติตามในโอกาสที่เปลี่ยนแปลงไป ดังนั้นจึงต้องทดสอบและปรับปรุงแผนให้ทันสมัยอยู่เสมอ ซึ่งการทดสอบแต่ละครั้งสมาชิกและ เจ้าหน้าที่ทั้งหมดจะต้องรับทราบจะปฏิบัติได้จริงในชีวิตประจำวัน ซึ่งการทดสอบนี้เราอาจจะได้หลายรูปแบบ เช่น การจำลองสถานการณ์จริง คือ เป็นการฝึกให้ทุกคนรู้หน้าที่ของตนเองว่าในขณะนั้นควรกระทำอย่างไร การทดสอบการกู้ระบบคืน การทดสอบการกู้ระบบคืนในสิ่งแวดล้อมอื่นๆ ที่ไม่เหมือนเดิม ทดสอบว่าองค์กร คนในองค์กร เครื่องมือเครื่องใช้ และกระบวนการทำงานต่างๆ สามารถรับมือกับเหตุการณ์ฉุกเฉินได้อย่างมีประสิทธิภาพ
อย่างไรก็ตามแผนต่างๆ ที่จัดทำมา ควรตรวจสอบและปรับปรุงประสิทธิภาพอย่างสม่ำเสมอ กระบวนการต่างๆ ควรจัดให้เป็นโปรแกรมการเปลี่ยนแปลงขององค์กรอย่างจริงจัง การแบ่งงานความรับผิดชอบที่มอบหมายให้เจ้าหน้าที่แต่ละคนนั้น ควรปรับปรุงให้เข้ากับแผนที่เปลี่ยนแปลงไป ข้อมูลที่พบว่ามักจะต้องปรับปรุงอยู่เสมอ ได้แก่ ข้อมูลส่วนตัวต่างๆ ที่อยู่หรือเบอร์โทรศัพท์ที่สามารถติดต่อได้ทันที กลยุทธ์ทางธุรกิจขององค์กร สถานที่ทำการ เครื่องมือและทรัพยากรต่างๆ กฎหมาย กระบวนการขั้นตอนการทำงาน ความเสี่ยง เป็นต้น
การหลีกเลี่ยงการกระทำที่อาจก่อให้เกิดการละเมิดต่อทางกฎหมายหรือสัญญา ต้องมีเอกสารหรือประกาศ นโยบายที่ชัดเจนในแต่ระบบของเทคโนโลยีสารสนเทศ โดยระบุเรื่องการนำซอฟต์แวร์ไปใช้ การควบคุม ความรับผิดชอบของแต่ละคน ระเบียบการที่เหมาะสมที่จะนำมาใช้นั้น มีขึ้นเพื่อให้เกิดความมั่นใจว่าเป็นไปตามข้อบังคับทางกฎหมายที่ว่าด้วยเรื่องของทรัพย์สินทางปัญญา ลิขสิทธิ์ เครื่องหมายการค้า ควรพิจารณาจากส่วนต่างๆ ได้แก่ ประกาศเกี่ยวกับซอฟต์แวร์ที่อนุญาตให้ใช้ได้ และซอฟต์แวร์ที่ใช้ไม่ควรละเมิดลิขสิทธิ์ซอฟต์แวร์ เช่น ติดประกาศบนกระดานประกาศข่าวเพื่อให้ทราบโดยทั่วกัน สร้างวินัยให้แก่บุคคลในองค์กร เพื่อให้เกิดความตระหนักในเรื่องลิขสิทธิ์ซอฟต์แวร์ เช่น กำหนดบทลงโทษเมื่อตรวจพบว่ากระทำผิดจากที่ได้ประกาศไว้ จดบันทึก และตรวจสอบในเรื่องผู้รับผิดชอบในด้านลิขสิทธิ์ แผ่นต้นฉบับ และเอกสารที่เป็นคู่มือต่างๆ ควบคุมจำนวนผู้ใช้เพื่อไม่เกินจำนวนลิขสิทธิ์ที่ได้จัดซื้อเอาไว้ ใช้เครื่องมือในการตรวจสอบที่เหมาะสม เป็นต้น
เรื่องการเก็บรักษาข้อมูลขององค์กร จัดเป็นเรื่องสำคัญอีกเรื่องหนึ่งที่ต้องดูแล เนื่องจากในบางครั้งข้อมูลอาจสูญหายได้ ดังนั้นควรจัดแบ่งข้อมูลเป็นประเภทต่าง ๆ เช่นข้อมูลทางบัญชี ข้อมูลที่เป็นธุรกรรม (transaction) เป็นต้น เพื่อจะได้จัดเก็บได้อย่างเหมาะสม และนอกจากนี้ต้องคำนึงถึงวัสดุอุปกรณ์ที่จะนำมาใช้ในการจัดเก็บด้วยเพื่อให้การเข้าถึงเป็นได้โดยง่าย และป้องกันการสูญเสียข้อมูลอันเนื่องมาจากเทคโนโลยีมีการเปลี่ยนแปลง ดูแลรักษาคลังที่จัดเก็บข้อมูลสารสนเทศ ข้อมูลที่สำคัญมากๆ ต้องจัดเก็บและดูแลเป็นพิเศษ เช่น หากข้อมูลที่สำคัญคือข้อมูลส่วนตัวของลูกค้า ก็จำเป็นที่จะต้องจัดตั้งกระบวนการเพื่อจัดเก็บรักษาข้อมูลเป็นพิเศษและทำตามกระบวนการที่ได้จัดตั้งนั้นไว้อย่างเคร่งครัด จะเห็นได้ว่าในหลายๆ ประเทศ มีการใช้ Cryptographic control ซึ่งเป็นเครื่องมือที่ใช้ในการควบคุมการเข้าถึงของข้อมูล ดังนั้นการถ่ายเทข้อมูลผ่านทางด้านฮาร์ดแวร์หรือซอฟต์แวร์ ควรออกแบบให้มีส่วนของ cryptographic เข้าไปด้วย ทั้งนี้จะต้องไม่ขัดต่อกฎหมายของแต่ละประเทศ (กรณีที่มีถ่ายโอนข้อมูลสารสนเทศข้ามประเทศ)
สิ่งที่จำเป็นอย่างยิ่งเมื่อมีผู้ลักลอบเข้าถึงข้อมูลสารสนเทศขององค์กรคือ การรวบรวมหลักฐาน โดยเฉพาะอย่างยิ่งเมื่อการกระทำนั้นเกี่ยวข้องกับกฎหมาย เช่น การโจรกรรมข้อมูล สิ่งสำคัญที่ต้องคำนึงถึงได้แก่ การเก็บรวบรวมหลักฐานให้ได้มากที่สุดไม่ว่าหลักฐานนั้นจะใช้ในศาลหรือไม่ก็ตาม ให้น้ำหนักแก่หลักฐานแต่ละชิ้น นำหลักฐานนั้นมาพิจารณาเพื่อควบคุมมิให้เกิดเหตุการณ์ซ้ำอีกต่อไป เป็นต้น
การปฏิบัติตามกฎระเบียบ
การตรวจสอบในเรื่องนโยบายทางด้านความปลอดภัยเป็นสิ่งสำคัญอีกประเด็นหนึ่งที่ต้องพิจารณา โดยจะต้องหมั่นตรวจสอบนโยบายทางด้านความปลอดภัยของข้อมูลในระบบอยู่เสมอ เพื่อให้เกิดความมั่นใจในเรื่องนโยบาย และมาตรฐานของความปลอดภัย ผู้จัดการหรือผู้ที่รับผิดชอบแต่ละส่วนต้องมั่นใจได้ว่าระเบียบในเรื่องความปลอดภัย นั้นได้ปฏิบัติอย่างถูกต้องในพื้นที่ที่ตนรับผิดชอบอยู่ โดยนโยบายและมาตรฐานทางด้านความปลอดภัยของข้อมูลต้องระบุถึงระบบสารสนเทศ ผู้จัดหาระบบ ผู้เป็นเจ้าของสารสนเทศและสินทรัพย์สารสนเทศ ผู้ใช้ และการจัดการ โดยเจ้าของระบบสารสนเทศต้องเป็นผู้ที่ทำการตรวจสอบว่ามีนโยบาย หรือมาตรฐานทางด้านความปลอดภัยในระบบนั้นเหมาะสมหรือไม่เพียงใด นอกจากนี้ต้องมีการตรวจสอบและควบคุมทั้งทางด้านซอฟต์แวร์และฮาร์ดแวร์ด้วย เพื่อให้เกิดการนำไปใช้อย่างถูกต้องและเหมาะสม
การตรวจสอบและพิจารณาระบบนั้นมีขึ้นเพื่อให้เกิดประสิทธิภาพสูงสุดแก่ระบบ สิ่งสำคัญที่จะต้องคำนึงถึงได้แก่ มีการวางแผนอย่างละเอียด และได้รับการเห็นชอบจากผู้ที่มีอำนาจ มีการกำหนดขอบเขตในการตรวจสอบและควบคุม การตรวจสอบนั้นทำได้แค่การอ่านข้อมูลเพียงอย่างเดียว ห้ามทำการแก้ไขข้อมูล มีการจัดทำเอกสารในเรื่องระเบียบขั้นตอน ความต้องการ และความรับผิดชอบ
ผู้เขียน/อ้างอิง : จักรกฤษณ์ แร่ทอง
อื่น ๆ เกี่ยวกับไอ.ที.
เมกะไบท์ กิกะไบท์ เทราไบท์ แล้วต่อไปจะเป็นอะไร ?
Trend of technology จะพูดถึง แนวทางของ Bus ในอนาคต
Trend of technology จะพูดถึง แนวทางของ Bus ในอนาคต
ครื่องวัดความดัน วัดอุณหภูมิ และตรวจนับการเต้นของชีพจร
คิดว่าหลายท่านที่ติดตามข่าวสารผ่านสื่อต่างๆ ในช่วงปีกว่ามานี้ คงจะได้ยินคำว่าสภาวะโลกร้อนหรือ Global Warming
จะเลือกจอ CRT หรือ LCD ดี? คำถามนี้อาจเป็นคำถามที่หลายๆคนถามหา เมื่อจะเลือกซื้อจอใหม่
การใช้งานเลขรหัสสินค้าอิเล็กทรอนิกส์ ร่วมกับเทคโนโลยี RFID (Radio Frequency Identification) มีประสิทธิภาพสูง
ระบบเสมือนจริงนับเป็นการใช้ประโยชน์จากการแสดงผลด้วยสื่อประสม สร้างภาพ 3 มิติที่สามารถมองเห็นเหมือนเป็นภาพที่เป็น 3 มิติ
เอาดิสก์หลายๆตัวมารวมกัน ประสิทธิภาพที่ได้จากการใช้งานจะมากกว่า
เทคโนโลยีสื่อสารไร้สาย แต่ในอนาคตอันใกล้นี้
ความคิดเห็น/แนะนำ/ติชม/อื่นๆ
- นัด... [31 ม.ค. 2549 , 08:46 PM]
สวัสดีครับ...เป็นวิธีการที่ดีเลยทีเดียว เราสามรถนำมาปรับปรุงเเละเเก้ไขไปใช้ในชีวิตประจำวันได้อย่างดี (ข้อมูลครบ)สมบูรณ์ ครับถ้ามีข้าวไรที่ใหม่ๆมาอัพเดทกันบางนะครับตามที่อยู่อีเมลล์ด้านบนนะครับ ขอคุณที่กรุณา...สวัสดีครับบ๊ายบาย...(ห้ามลืม)นะครับ
- สหายช่วยด้วย [16 พ.ค. 2550 , 01:07 PM]
อยากทราบว่าที่ใดมีที่ อบรมการจัดทำแผนุกเฉิน (ความปลอดภัยนการทำงาน)