ข้อมูลองค์ความรู้โดย
วรากรณ์ นพรัตน์
ตำแหน่ง it

มาตรฐาน-กลยุทธ์ด้านความปลอดภัย ข้อมูลที่ CIOขององค์กรยุคใหม่ต้องรู้

ประเภททางด้าน IT หลัก :   IT Management & Trends
ประเภททางด้าน IT ย่อย :   CIO
  ลงข้อมูลเมื่อ 10:49:44 04/04/2011
  Page View (3017) แบ่งปัน

มาตรฐานสากลที่นิยมใช้กันทั่วโลก ได้แก่

1. มาตรฐาน ISO/IEC17799: 2005 (Second Edition) หรือ BS7799-1
มาตรฐาน ISO/IEC17799: 2005 (Second Edition) ถูกประกาศอย่างเป็นทางการเมื่อเดือนมิถุนายน ปี 2005 ได้มีการปรับปรุงแก้ไขมาจากต้นฉบับ ISO/IEC 17799:2000 (First Edition) จากปี 2000 ในประเทศไทยคณะอนุกรรมการความมั่นคงภายใต้คณะกรรมการธุรกรรมทาง อิเล็กทรอนิกส์ ซึ่งจัดตั้งขึ้นตามพระราชบัญญัติการประกอบธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2546 ได้นำมาตรฐาน ISO/IEC17799 :2000 (First Edition) หรือ BS7799-1 มาเป็นแนวทางในการกำหนดมาตรฐานการรักษาความปลอดภัยในการประกอบธุรกรรมทาง อิเล็กทรอนิกส์ของประเทศไทยจำนวน 144 ข้อเพื่อให้เป็นแนวทางเสริมสร้างการรักษาความปลอดภัยให้กับองค์กรหรือหน่วย งานที่เกี่ยวข้องกับการประกอบธุรกรรมทางอิเล็กทรอนิกส์ โดยกำหนดมาตรฐานออกเป็น 3 ระดับ คือ ระดับ 1 ควรปฏิบัติ 31 ข้อ , ระดับ 2 ควรปฏิบัติ 104 ข้อ และ ระดับ 3 ซึ่งเป็นระดับความปลอดภัยสูงสุด ควรปฏิบัติทั้งหมด 144 ข้อ การนำมาตรฐาน ISO/IEC17799 : 2005 มาปฏิบัติในองค์กร สามารถนำองค์กรไปสู่การ “Certified” โดย Certification Body ตามมาตรฐาน BS7799-2:2002 ขณะนี้องค์กรทั่วโลกกำลังให้ความสนใจเรื่องความปลอดภัยระบบเทคโนโลยี สารสนเทศ ตัวอย่างในประเทศญี่ปุ่นนั้น มีองค์กรได้รับการรับรองมาตรฐาน BS7799-2 ไปแล้วกว่า 900 องค์กร แสดงให้เห็นถึงมาตรฐานด้านความปลอดภัยระบบเทคโนโลยีสารสนเทศที่พัฒนากว่า ประเทศเพื่อนบ้าน ปัจจุบัน การรับรองมาตรฐาน BS7799-2: 2002 กำลังพัฒนาเปลี่ยนแปลงเป็น ISO/IEC 27001:2005 ที่คาดว่าจะประกาศอย่างเป็นทางการประมาณเดือนพฤศจิกายนนี้ ซึ่งจะสอดคล้องกับมาตรฐาน ISO/IEC17799:2005(BS7799-1) ที่ถูกประกาศบอกมาแล้วก่อนหน้านี้

2. มาตรฐาน CobiT (Control Objective for Information and Related Technology)
มาตรฐาน CobiT ถูกพัฒนาขึ้นโดย ISACA และ IT Governance Institute เพื่อองค์กรที่ต้องการมุ่งสู่การเป็น “ ไอทีภิบาล ” หรือ “IT Governance” มาตรฐาน CobiT เป็นแนวคิดและแนวทางปฏิบัติของผู้บริหารระบบสารสนเทศ และขณะเดียวกันก็เป็นแนวทางปฏิบัติสำหรับผู้ตรวจสอบระบบสารสนเทศด้วย โครงสร้างของมาตรฐาน CobiT นั้นแบ่งออกเป็น 4 กระบวนการหลัก ประกอบด้วย High Level Control Objective ทั้งหมด 34 หัวข้อ และ Detail Control Objective แบ่งแยกย่อยอีกทั้งหมด 318 หัวข้อย่อย CobiT เป็นมาตรฐานเปิดที่สามารถ Download ได้ที่ Web Site ของ ISACA ในประเทศไทย สมาคมผู้ตรวจสอบและควบคุมระบบสารสนเทศ ภาคพื้นกรุงเทพฯ มีโครงการในการแปลมาตรฐาน CobiT ออกมาเป็นภาษาไทย และ ทางสมาคม ISACA สหรัฐอเมริกากำลังจะออก CobiT Version 4 ซึ่งมีการปรับปรุงจาก COBIT Version 3.2 ปัจจุบัน แนวคิดของมาตรฐาน CobiT กำลังเป็นที่นิยมในกลุ่มธุรกิจด้านการเงินและการธนาคาร ยกตัวอย่างเช่น ธนาคารแห่งประเทศไทย และสำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ หรือ กลต. ที่นำมาตรฐาน CobiT มาเป็นแนวทางในการออกข้อกำหนดและกฎข้อบังคับต่างที่ธนาคารพาณิชย์และบริษัท หลักทรัพย์ต่าง ๆ ควรนำมาปฏิบัติ โดยขณะนี้ได้ออกประกาศเรื่องการควบคุมการปฏิบัติงานและแนวทางปฏิบัติในการ รักษาความปลอดภัยด้านเทคโนโลยีสารสนเทศและการให้บริการการเงินทาง อิเล็กทรอนิกส์เพื่อเป็นแนวทางให้กับธนาคารพาณิชย์และบริษัทหลักทรัพย์ต่าง ๆ ในประเทศไทยแล้ว

3. มาตรฐาน ITIL (IT Infrastructure Library)/BS15000
มาตรฐาน ITIL มีต้นตอมาจากประเทศอังกฤษ ซึ่งทางรัฐบาลประเทศอังกฤษ โดย OGC (Office of Government Commerce) พัฒนาร่วมกับ BSI (British Standard Institute) มีวัตถุประสงค์ในการสร้าง Best Practice สำหรับกระบวนการบริหารงานบริการด้านสารสนเทศ ( IT Service Management) มาตรฐาน ITIL กล่าวถึง “Best Practice” ในการบริหารจัดการงานให้บริการด้านระบบสารสนเทศที่ควรจะเป็นและมี ประสิทธิภาพและ ประสิทธิผลชัดเจน เช่น มาตรฐานด้าน Service Support และ Service Delivery ตลอดจน การกำหนด SLA (Service Level Agreement) เป็นต้น ปัจจุบันแนวโน้มด้านการ “Outsource” การบริหารจัดการเทคโนโลยีสารสนเทศมีการเพิ่มขึ้นอย่างรวดเร็ว ดังนั้นมาตรฐานในการควบคุมคุณภาพของการให้บริการจึงถือเป็นเรื่องสำคัญที่ องค์กรควรจะศึกษาและกำหนดเป็นมาตรฐานขั้นต่ำให้กับ Outsourcer Company ที่รับงานบริการด้านสารสนเทศไปจัดการแทนองค์กรเพื่อให้เกิดประสิทธิผลและ ประสิทธิภาพสูงสุดในการให้บริการ สร้างความพึงพอใจให้กับผู้ใช้คอมพิวเตอร์ทั่วไป และส่งผลต่อภาพลักษณ์ของผู้บริหารเทคโนโลยีสารสนเทศระบบสูงในทางอ้อมอีกด้วย

4. มาตรฐาน SANS TOP20
มาตรฐาน SANS TOP20 เป็นมาตรฐานในการตรวจสอบระบบสารสนเทศสำหรับระบบความปลอดภัยบนระบบปฏิบัติการ Microsoft Windows และ UNIX/Linux ที่ได้รับการยอมรับกันโดยทั่วไป มาตรฐาน SANS Top 20 มีมาตั้งแต่ปี 2000 ขณะนี้ SANS Top 20 ล่าสุด ได้มีการปรับปรุงมา 4 ครั้ง และปรับปรุงในปี 2004 เรียกว่า SANS Top 20 2004 โดยแบ่งออกเป็นการเตือนช่องโหว่ของระบบปฏิบัติการ Windows 10 ช่องโหว่ และการเตือนช่องโหว่ระบบปฏิบัติการ UNIX/ Linux อีก 10 ช่องโหว่ รายละเอียดดูที่ http://www.sans.org/top20 ปัจจุบัน SANS ได้ออก SANS Top 20 2005 Quarter 1 and Quarter 2 update มาเพิ่มเติมด้วย

5. มาตรฐาน ISMF 7 (Information Security Management Framework)
ISMF 7 เป็นมาตรฐานตรวจสอบและประเมินความปลอดภัยระบบสารสนเทศที่พัฒนาโดยนักวิชาการ คนไทย จุดประสงค์เพื่อให้เป็นแนวทางในการปริหารจัดการระบบรักษาความปลอดภัยข้อมูล อย่างเป็นระบบและมีประสิทธิภาพให้ทันกับสถานการณ์ปัจจุบันของการโจมตีระบบ โดยแฮกเกอร์และมัลแวร์ต่างๆ นอกจาก CIO ยุคใหม่ต้องศึกษามาตรฐานสากลด้านการรักษาความมั่นคงปลอดภัยแล้ว พวกเขายังมีหน้าที่ในการ กำหนดยุทธศาสตร์ ทิศทางด้านเทคโนโลยีสารสนเทศขององค์กร ตลอดจนมาตรการในการรักษาความปลอดภัยเทคโนโลยีสารสนเทศขององค์กร เนื่องจากเป็นมีบุคลากรที่รับผิดชอบในเรื่องนี้โดยตรง ในกรณีที่ยังไม่มีตำแหน่ง CSO (Chief Security Office) หรือ CISO (Chief Information Security Officer) มารับผิดชอบด้านความปลอดภัยสารสนเทศโดยตรง CIO ก็ต้องรับผิดชอบเรื่องความปลอดภัยไปด้วยในตัว ซึ่งนับว่าเป็นภาวะความรับผิดชอบที่ค่อนข้างสูง เพราะเรื่องความปลอดภัยเทคโนโลยีระบบสารสนเทศนั้น มีการเปลี่ยนแปลงอยู่เสมอ CIO ต้องคอยติดตามความเคลื่อนไหวและปรับปรุงความรู้ความสามารถให้สอดคล้องกับ สถานการณ์ปัจจุบัน และยังต้องตัดสินใจเรื่องการเลือกใช้เทคโนโลยีด้านความปลอดภัยที่เหมาะสมแก่ องค์กรทั้งในเรื่องของ TCO (Total Cost of Ownership) และ ROI (Return On Investment) จากข้อมูลของ Gartner เรื่อง Hype Cycle for Information Security 2004 ปัญหาด้านความปลอดภัยระบบเทคโนโลยีสารสนเทศยังเป็นประเด็นสำคัญที่ CIO ต้องให้ความสนใจและจัดการอย่างเป็นระบบ ไม่ว่าจะเป็น Spyware, Phishing, SPAM และ Peer-to-Peer Exploit ขณะเดียวกันเทคโนโลยีและบริการที่ CIO ใช้ในการแก้ปัญหาดังกล่าว บางเทคโนโลยี เช่น IDS นั้น ล้าสมัยไปแล้ว ทุกวันนี้ เทคโนโลยีใหม่เข้ามาแทนที่ เช่น IPS, Vulnerability Management และ Patch Management เป็นต้น ส่วนการให้บริการเฝ้าระวังระบบรักษาความปลอดภัยจากบริษัทที่รับดูแลด้านความ ปลอดภัยโดยตรง ที่เรียกตัวเองว่า MSSP (Managed Security Service Provider) ก็กำลังได้รับความนิยมจาก CIO เพิ่มขึ้นเช่นกัน ดังนั้น CIO ควรมีกลยุทธ์ในการบริหารจัดการเทคโนโลยีสารสนเทศที่ดีและเตรียมพร้อมกับ สถานการณ์ปัจจุบัน และอนาคต



องค์ความรู้ที่มีผู้อ่านมากสุด
ประโยชน์ของการบริหารลูกค้าสัมพันธ์ (CRMs) ต่อองค์กร
ความสัมพันธ์เป็นเรื่องที่เกิดขึ้นเองโดยธรรมชาติ ไม่ได้มีการจัดการอย่างที่เราเห็นกันอยู่ทุกวันนี้ อาจเรียกได้ว่าความสัมพันธ์นำการค้า เพราะพ่อค้าในอดีตที่ดำเนินธุรกิจแบบครอบครัวยังไม่ได้โลกาภิวัตน์เหมือนในปัจจุบัน การค้าขายในเมืองหลวงก็ไม่ต่างจากในชนบททุกวันนี้ ขอบเขตในการทำธุรกิจเป็นไปเพื่อการแลกเปลี่ยนภายในชุมชนที่มีพื้นที่จำกัด อาจจะเป็นหมู่บ้าน ตำบล อำเภอ สูงสุดก็เป็นเพียงระดับจังหวัด ธุรกิจการค้าที่จะดำเนินการข้ามจังหวัด หรือ ขายกันทั้งประเทศหาได้ยากมาก ความสัมพันธ์ในขณะนั้นเป็นความสัมพันธ์แบบเอื้ออาทร จริงใจ และ ช่วยเหลือซึ่งกันและกัน หลังจากความสัมพันธ์ดังกล่าวจึงนำมาสู่การค้าขายในเวลาต่อมา ความสัมพันธ์ในลักษณะอย่างนี้มีความยั่งยืนและยาวนาน ผิดกับความสัมพันธ์ในปัจจุบัน ซึ่งดูจะเป็นไปเพื่อการค้ามากเกินไปหน่อย หรือ ไม่ก็คงเป็นเพราะวัฒนธรรมที่เปลี่ยนไปยึดถือ และ นิยมในวัตถุกันมากนั่นเอง อย่างไรก็ตามความสัมพันธ์ดังกล่าวก็ได้อุบัติขึ้นแล้ว และได้บัญญัติเป็นศัพท์ใหม่คือ Customer Relationship Management System หรือ CRMs ซึ่งกลายเป็นเครื่องมือตัวใหม่ที่นักบริหารทั่วโลกต่างให้ความสำคัญ และ เกิดความสนใจว่ามันคืออะไร จะนำมาปรับใช้ในองค์การได้อย่างไร ทั้งที่ไม่รู้ว่าจะเกิดประโยชน์หรือไม่

โดย... วรากรณ์ นพรัตน์

What 's wireless card
wireless = ไม่มีสาย, ไร้สาย card = บัตร (ลักษณะที่ใช้เหมือนบัตร มักเรียกทับศัพท์ว่า การ์ด) เป็นอุปกรณ์ที่ใช้เสียบกับคอมพิวเตอร์ เพื่อส่งสัณญาณเข้าเชื่อมต่อกับวงแลนแบบไม่ต้องใช้สาย...

โดย... วรากรณ์ นพรัตน์

LAN โปรโตคอล
โปรโตคอล (Protocol) คือระเบียบพิธีการในการติดต่อสื่อสาร เมื่อมาใช้กับเทคโนโลยีสื่อสารโทรคมนาคม จึงหมายถึงขั้นตอนการติดต่อสื่อสาร ซึ่งรวมถึง กฎ ระเบียบ และข้อกำหนดต่าง ๆ รวมถึงมาตรฐานที่ใช้ เพื่อให้ตัวรับและตัวส่งสามารถดำเนินกิจกรรมทางด้านสื่อสารได้สำเร็จ

โดย... วรากรณ์ นพรัตน์

การเติมสีสันให้เอกสาร
ผลการแสดง ที่เกิดขึ้น บน เว็บเพจ เราจะพบว่าเอกสาร ทั่วไปแล้วตัวอักษร ที่ปรากฎ บนจอภาพ จะเป็น ตัวอักษรสีดำ บนพื้น สีเทา ถ้าเรา ต้องการ ที่จะ เปลี่ยนสี ของตัวอักษร หรือ สีของ จอภาพ เราสามารถ ทำ ได้โดย การกำหนด แอตทริบิวต์ (Attribute) ของตัวอักษร สิ่งที่ต้องการนี้ จะเป็น กลุ่มตัว เลขฐาน 16 จำนวน 3 ชุด โดยชุดที่ หนึ่ง ทำหน้าที่ แทนค่าสีแดง ชุดที่สอง ทำหน้าที่ แทนสีเขียว และชุดที่สาม ทำหน้าที่แทนสี น้ำเงิน ข้อมูล ในตาราง ต่อไปนี้จะแสดง สีพื้นฐาน และรหัสสี ที่สามารถแสดงได้ทุกเว็บเพจ

โดย... วรากรณ์ นพรัตน์

การนำทฤษฎี CRMs ไปประยุกต์ใช้ (บริษัทโนเกียที่นำ CRMs ไปใช้งาน)
โนเกียมีเว็บไซต์เพื่อให้ลูกค้าสามารถเลือกหาโทรศัพท์คุณสมบัติต่างๆ โดยดูจากดีไซต์ว่าลูกค้าอยากได้ดีไซต์แบบไหน คราสสิค ฝาพับ สไลด์ ทวิสต์ ฯลฯ คุณสมบัติเป็นอย่างไร มีการเชื่อมต่อด้านใดบ้าง และ คุณสมบัติพิเศษด้านใด ทำให้ลูกค้าสะดวกไม่เสียเวลา แทนที่จะใช้แผ่นพับ หรือ ใบปลิวจะทำให้บริษัทประหยัดงบประมาณเพราะลูกค้าสามารถคลิกดูได้เลยว่าอยากได้รุ่นไหน คุณสมบัติแบบไหน และ ยังมีบริการอื่นอีกมากมาย

โดย... วรากรณ์ นพรัตน์

ความรู้เบื้องต้น : Raster / Vector และ Pixel
ภาพบนคอมพิวเตอร์ หรือกราฟิคคอมพิวเตอร์สามารถแบ่งออกได้เป็นสองประเภทคือ ภาพแบบบิตแมป (bitmap) และภาพแบบเวกเตอร์(vector) ความเข้าใจความแตกต่างของกราฟิค ทั้งสองประเภทจะช่วยให้คุณสามารถเลือกใช้งานได้อย่างยืดหยุ่น มีประสิทธิภาพ และตรงตาม จุดประสงค์สูงสุดในการใช้งาน...

โดย... วรากรณ์ นพรัตน์

Vase
เริ่มกันเลยครับ ให้รันโปรแกรม 3D Studio MAX เอาไว้เลยครับ ...

โดย... วรากรณ์ นพรัตน์

Basic Color
HSB Model หลักการมองเห็นสีด้วยสายตาคน เป็นพื้นฐานการมองเห็นสี ตามสายตามนุษย์ HSB Model จะประกอบขึ้นด้วยลักษณะของสี 3 ลักษณะ

โดย... วรากรณ์ นพรัตน์

Windows Vista ปลอดภัยแค่ไหน ?
ผู้ใช้ท่านหนึ่งมีแผนว่ากำลังจะซื้อคอมพิวเตอร์ที่มาพร้อมกับระบบปฏิบัติการ Windows Vista แต่มีคำถามในใจก็คือ ขั้นตอนของการกำหนดระบบรักษาความปลอดภัยที่จำเป็น และอยู่ใน Vista มีอะไรบ้าง ?

โดย... วรากรณ์ นพรัตน์

การสำรองข้อมูล Backup และคืนค่าข้อมูล Restore เว็บไซต์
การสำรองข้อมูล ( Backup Website ) ข้อมูลเว็บไซต์ของท่าน เป็นสิ่งสำคัญที่สุดที่อาจประเมินค่ามิได้ เราควร สำรองข้อมูล เก็บไว้ทุก ๆ 2-4 สัปดาห์ เพื่อป้องกันการสูญหาย ดังนั้นเรามาดูวิธีการสำรองข้อมูล ( Backup Website ) และวิธีกู้ข้อมูล ( Restore Website ) กันดีกว่าค่ะ ใน การ Backup เว็บไซต์ในระบบเว็บโฮสติ้ง เรานั้น จะครอบคลุมถึง การสำรองข้อมูล ( Backup data ) และ การคืนค่าข้อมูล ( Restore Data ) โดย ทางไทยโฮสคลับ แนะนำให้ท่านทำการ สำรองข้อมูลด้วยตนเอง ทุก ๆ 2-4 สัปดาห์

โดย... วรากรณ์ นพรัตน์