Thursday, February 26, 2015

การเพิ่มประสิทธิภาพการบริหารจัดการด้านความมั่นคงปลอดภัย



การเพิ่มประสิทธิภาพการบริหารจัดการด้านความมั่นคงปลอดภัย

ช่วงที่ผ่านมามีข่าวการแฮ็กเว็บไซต์ แฮ็กระบบ หรือข้อมูลรั่วไหลให้เห็นอยู่บ่อยๆ โดยเฉพาะหน่วยงานภาครัฐและธุรกิจต่างๆ ซึ่งส่งผลเสียหายเป็นมูลค่ามหาศาล และโดยเฉพาะอย่างยิ่งบั่นทอนความน่าเชื่อถือขององค์กรเป็นอย่างยิ่ง

เมื่อย้อนกลับมามอง หลายองค์กรอาจจะพบว่าสาเหตุของความสูญเสียนั้น เกิดขึ้นจากการบริหารจัดการที่ยังไม่มีประสิทธิภาพเพียงพอ เช่น ไม่มีความเข้มแข็งในการบังคับใช้นโยบายด้านความมั่นคงปลอดภัย หรือ ไม่มีการจำกัดสิทธิ์การเข้าถึงระบบอย่างเหมาะสม หรือ พนักงานขาดความรู้ความเข้าใจอย่างเพียงพอ เป็นต้น

ผลของการบริหารจัดการที่อ่อนแอนั้น จึงเปิดโอกาสให้ผู้มุ่งร้ายสามารถแฝงตัวเข้ามาขโมยข้อมูล รหัสผ่าน ความลับทางการค้า ทำให้องค์กรต้องตกอยู่ในสถานการณ์ที่ยากลำบาก ดังนั้น ทีมงาน Destination One จึงอยากจะนำเสนอแนวทางในการเพิ่มประสิทธิภาพในการบริหารจัดการความมั่นคงปลอดภัยภายในองค์กรของท่าน ดังนี้

1. บังคับใช้นโยบายด้านความมั่นคงปลอดภัยอย่างเข้มงวดจริงจัง กำหนดสิทธิ์การเข้าถึงระบบและข้อมูลอย่างเหมาะสมตามหน้าที่ความรับผิดชอบของพนักงานแต่ละตำแหน่ง ซึ่งรวมถึงขั้นตอนการปฏิบัติอย่างละเอียดอีกด้วย

2. นำเครื่องการตรวจพิสูจน์ตัวตนแบบ Biometrics-Based มาใช้เพิ่มเติม เช่น การตรวจลายนิ้วมือ, ตรวจม่านตา เป็นต้น เพราะอวัยวะที่เป็นส่วนหนึ่งของร่างกายแต่ละคนนั้นเป็นอัตลักษณ์เฉพาะตน ซึ่งยากต่อการปลอมแปลง


3. ลดการพึ่งพาทรัพยากรประเภท “คน” ในกระบวนการรักษาความมั่นคงปลอดภัยให้น้อยลง เพราะสาเหตุที่ระบบและข้อมูลถูกล่วงละเมิดนั้น เกิดจาก “Human Error” มากที่สุด

4. เข้มงวดในการกำหนดสิทธิ์การเข้าถึง การใช้งาน และการปฏิบัติตนของบุคคลภายนอกที่เราจำเป็นต้องทำงานด้วยให้มาก แม้ว่ามันอาจจะทำให้การทำงานมีขั้นตอนยุ่งยากมากขึ้น แต่มันก็คุ้มเพราะช่วยให้เรามั่นใจได้ว่าระบบและข้อมูลของเราจะมั่นคงปลอดภัย

5. หมั่นตรวจสอบบันทึกและทบทวนวิธีการเข้าถึงระบบและข้อมูลแบบทางไกล เพราะช่องทางการเข้าถึงแบบนี้มีความเสี่ยงอยู่ในระดับสูง

6. มีการทบทวน ตรวจสอบ และตรวจประเมินประสิทธิภาพของระบบบริหารจัดการความมั่นคงปลอดภัยอย่างต่อเนื่อง

การเพิ่มประสิทธิภาพการบริหารจัดการด้านความมั่นคงปลอดภัยทั้ง 6 ข้อดังกล่าวข้างต้น จะช่วยลดความสูญเสีย และปกป้องชื่อเสียงขององค์กรได้อย่างมั่นใจ อย่าลืมว่าเมื่อเกิดการเสียหายขึ้นแล้ว ความสูญเสียในรูปแบบตัวเงินนั้นอาจจะหาคืนกลับมาได้ แต่หากองค์กรสูญสิ้นความน่าเชื่อถือไป ก็ยากนักที่จะเรียกกลับคืนมา


Content Cr : DestinationOne Counselor
Reference : Net-Security.org
Photo Cr : Dreamstime

Monday, February 16, 2015

รายการกฎหมายเกี่ยวข้องกับ IT ที่ผู้บริหารควรทราบ

รายการกฎหมายเกี่ยวข้องกับ IT ที่ผู้บริหารควรทราบ

ในฐานะของ "ผู้บริหารระดับสูง หรือ ผู้บริหารสายงาน IT" ย่อมจำเป็นที่จะต้องรับทราบทำความเข้าใจถึงกฎหมาย ระเบียบ ข้อบังคับต่างๆ ที่เกี่ยวข้องกับ IT เพราะเป็นหน้าที่ขององค์กรทุกแห่งที่จะต้องปฏิบัติตามกฎหมายโดยไม่มีข้อยกเว้น และไม่สามารถอ้างได้ว่าไม่เคยรับทราบข้อมูลเหล่านี้มาก่อน

ในบทความครั้งนี้ ทีมงานของ Destination One จึงได้รวบรวมรายชื่อกฎหมายที่เกี่ยวข้องกับ IT ที่มีอยู่ในปัจจุบันทั้งหมด รวมถึงร่างกฎหมายที่กำลังจะได้รับการประกาศใช้ในอนาคตอันใกล้ เพื่อให้ท่านได้ค้นคว้าและศึกษาต่อไป ดังนี้



รายการกฎหมายที่เกี่ยวข้องกับ IT

พระราชบัญญัติ
  • พระราชบัญญัติว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544 
  • พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550
พระราชกฤษฎีกา

  • พระราชกฤษฎีกาว่าด้วยวิธีการแบบปลอดภัยในการทำธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2553 
  • พระราชกฤษฎีกาว่าด้วยการควบคุมดูแลธุรกิจบริการการชำระเงินทางอิเล็กทรอนิกส์ พ.ศ. 2551 
  • พระราชกฤษฎีกากำหนดหลักเกณฑ์และวิธีการในการทำธุรกรรมทางอิเล็กทรอนิกส์ภาครัฐ พ.ศ. 2549 
ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์

  • ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ เรื่อง ประเภทของธุรกรรมทางอิเล็กทรอนิกส์ และหลักเกณฑ์การประเมินระดับผลกระทบของธุรกรรมทางอิเล็กทรอนิกส์ตามวิธีการแบบปลอดภัย พ.ศ. 2555 
  • ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ เรื่อง แนวนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลของหน่วยงานของรัฐ พ.ศ. 2553 
  • ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ เรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศตามวิธีการแบบปลอดภัย พ.ศ.  2555 
  • ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ เรื่อง แนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศของหน่วยงานของรัฐ (ฉบับที่ 2) พ.ศ. 2556 
  • ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ เรื่อง แนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศของหน่วยงานของรัฐ พ.ศ. 2553 
  • ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ เรื่อง หลักเกณฑ์ วิธีการ และเงื่อนไขในการประกอบธุรกิจบริการการชำระเงินทางอิเล็กทรอนิกส์ พ.ศ. 2552
ประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร
  • ประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่องหลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ. 2550
ประกาศธนาคารแห่งประเทศไทย  
  • ประกาศธนาคารแห่งประเทศไทย ที่ สรข. 3/2552 เรื่อง นโยบายและมาตรการการรักษาความมั่นคงปลอดภัยทางระบบสารสนเทศในการประกอบธุรกิจของผู้ให้บริการการชำระเงินทางอิเล็กทรอนิกส์

รายการ (ร่าง) กฎหมายที่เกี่ยวข้องกับ IT

พระราชบัญญัติ

  • (ร่าง) พระราชบัญญัติว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์
  • (ร่าง) พระราชบัญญัติว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์
  • (ร่าง) พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์  
  • (ร่าง) พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล   


Content Cr : DestinationOne Counselor
Photo Cr : HighwayPhoto

รายการกฎหมายเกี่ยวข้อง IT ที่ผู้บริหารควรทราบ

รายการกฎหมายเกี่ยวข้องกับ IT ที่ผู้บริหารควรทราบ

ในฐานะของ "ผู้บริหารระดับสูง หรือ ผู้บริหารสายงาน IT" ย่อมจำเป็นที่จะต้องรับทราบทำความเข้าใจถึงกฎหมาย ระเบียบ ข้อบังคับต่างๆ ที่เกี่ยวข้องกับ IT เพราะเป็นหน้าที่ขององค์กรทุกแห่งที่จะต้องปฏิบัติตามกฎหมายโดยไม่มีข้อยกเว้น และไม่สามารถอ้างได้ว่าไม่เคยรับทราบข้อมูลเหล่านี้มาก่อน

ในบทความครั้งนี้ ทีมงานของ Destination One จึงได้รวบรวมรายชื่อกฎหมายที่เกี่ยวข้องกับ IT ที่มีอยู่ในปัจจุบันทั้งหมด รวมถึงร่างกฎหมายที่กำลังจะได้รับการประกาศใช้ในอนาคตอันใกล้ เพื่อให้ท่านได้ค้นคว้าและศึกษาต่อไป ดังนี้


รายการกฎหมายที่เกี่ยวข้องกับ IT

พระราชบัญญัติ

  • พระราชบัญญัติว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544 
  • พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550
พระราชกฤษฎีกา


  • พระราชกฤษฎีกาว่าด้วยวิธีการแบบปลอดภัยในการทำธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2553 
  • พระราชกฤษฎีกาว่าด้วยการควบคุมดูแลธุรกิจบริการการชำระเงินทางอิเล็กทรอนิกส์ พ.ศ. 2551 
  • พระราชกฤษฎีกากำหนดหลักเกณฑ์และวิธีการในการทำธุรกรรมทางอิเล็กทรอนิกส์ภาครัฐ พ.ศ. 2549 
ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์


  • ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ เรื่อง ประเภทของธุรกรรมทางอิเล็กทรอนิกส์ และหลักเกณฑ์การประเมินระดับผลกระทบของธุรกรรมทางอิเล็กทรอนิกส์ตามวิธีการแบบปลอดภัย พ.ศ. 2555 
  • ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ เรื่อง แนวนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลของหน่วยงานของรัฐ พ.ศ. 2553 
  • ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ เรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศตามวิธีการแบบปลอดภัย พ.ศ.  2555 
  • ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ เรื่อง แนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศของหน่วยงานของรัฐ (ฉบับที่ 2) พ.ศ. 2556 
  • ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ เรื่อง แนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศของหน่วยงานของรัฐ พ.ศ. 2553 
  • ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ เรื่อง หลักเกณฑ์ วิธีการ และเงื่อนไขในการประกอบธุรกิจบริการการชำระเงินทางอิเล็กทรอนิกส์ พ.ศ. 2552
ประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร

  • ประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่องหลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ. 2550

ประกาศธนาคารแห่งประเทศไทย  

  • ประกาศธนาคารแห่งประเทศไทย ที่ สรข. 3/2552 เรื่อง นโยบายและมาตรการการรักษาความมั่นคงปลอดภัยทางระบบสารสนเทศในการประกอบธุรกิจของผู้ให้บริการการชำระเงินทางอิเล็กทรอนิกส์

รายการ (ร่าง) กฎหมายที่เกี่ยวข้องกับ IT

พระราชบัญญัติ


  • (ร่าง) พระราชบัญญัติว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์
  • (ร่าง) พระราชบัญญัติว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์
  • (ร่าง) พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์  
  • (ร่าง) พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล   



Content Cr : DestinationOne Counselor
Photo Cr : HighwayPhoto