Page 28 - เอกสารวิชาการ การตรวจสอบเทคโนโลยีสารสนเทศ ด้านการรักษาความมั่นคงปลอดภัยระบบสารสนเทศ
P. 28

ห้องสมุดกรมพัฒนาที่ดิน






               แนวทางการปฏิบัติงานตามที่ได้มีการออกแบบไว้ และในส่วนของการที่มีการเปลี่ยนแปลงแก้ไขระบบ

               สารสนเทศไม่ว่าจะเป็นนโยบายและแนวปฏิบัติจะต้องมีการจัดทำขึ้นมา และในส่วนการขอเปลี่ยนแปลงแก้ไข
               ต้องมีการทำเป็นลายลักษณ์อักษรขึ้นมา มีการอนุมัติโดยผู้มีอำนาจเผยแพร่และเพื่อให้เกิดการควบคุมที่ดี

               ควรมีการทบทวนเป็นระยะ

                           1.1.4 การควบคุมการรักษาความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ
                                (1) นโยบายความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ (IT Security Policy)

               ผู้บริหารของหน่วยงานต้องให้ความสำคัญและมีการออกแบบการควบคุมในส่วนของนโยบายความมั่นคงปลอดภัย
               ด้านเทคโนโลยีสารสนเทศ (IT Security Policy) และการปฏิบัตินี้ให้กับเจ้าหน้าที่ที่เกี่ยวข้องสามารถนำไป

               ปฏิบัติงานได้จริงมีความมั่นคงปลอดภัย

                                (2) การควบคุมการเข้าถึงระบบ (Logical Access Control) เป็นการควบคุมว่าการให้สิทธิ
               การเข้าถึงระบบเป็นไปตามอำนาจหน้าที่หรือไม่ และสิทธิที่ได้ยังคงเหมาะสม และมีการใช้งานอยู่หรือไม่

               ซึ่งผู้บริหารต้องมีการทบทวนสิ่งที่หน่วยงานกำหนดออกมาว่าเจ้าหน้าที่ได้ปฏิบัติตามขั้นตอนหรือไม่
                                (3) การควบคุมการเข้าถึงระบบเครือข่าย (Network Access Control) หน่วยงานได้มี

               การแบ่ง Zoning ภายใน และภายนอกว่ามีการแบ่งอย่างชัดเจนหรือไม่ มีการทบทวนหรือไม่ว่า Zone

               ที่กำหนดไว้ยังคงเหมาะสมสามารถควบคุมการเข้าถึงข้อมูลของผู้ใช้งานได้จริง ๆ มีอุปกรณ์ป้องกันการเข้าถึงข้อมูล
               ครบถ้วนหรือไม่ และหน่วยงานมีการควบคุมให้ผู้ปฏิบัติงานมีการปฏิบัติงานตามคู่มือความมั่นคงปลอดภัย

               ที่กำหนดไว้ในอุปกรณ์ต่าง ๆ ว่ายังคงสามารถใช้งานได้อยู่หรือไม่ หากมีการเข้าถึงข้อมูลจากภายนอกระบบ

               จะต้องมีการกำหนดว่าจะต้องมีการขอและมีการอนุมัติจากใครหรือไม่ภายใต้ข้อกำหนดความมั่นคงปลอดภัย
                           1.1.5 การควบคุมทางกายภาพและสภาพแวดล้อม

                                (1) การบริหารจัดการสิทธิการเข้าถึงทางกายภาพ เกี่ยวข้องกับศูนย์คอมพิวเตอร์หลัก DC
               (Data Center) และศูนย์คอมพิวเตอร์สำรอง DR (Disaster Recovery) ของหน่วยงานที่ Application

               เหล่านั้นตั้งอยู่ โดย DC (Data Center) และ DR (Disaster Recovery) ถือว่าเป็นพื้นที่ที่มีความสำคัญและ

               มีความเสี่ยงสูง เพราะฉะนั้นการเข้าถึงข้อมูลในศูนย์คอมพิวเตอร์หลัก DC (Data Center) ที่เก็บข้อมูลจะต้อง
               ได้รับอนุมัติและเป็นผู้ที่มีหน้าที่เกี่ยวข้องเท่านั้น เพราะฉะนั้นจะต้องมีการทบทวน มีการออกแบบการควบคุม

               ในการจะเข้าถึง DC (Data Center) และ DR (Disaster Recovery) ต้องดำเนินการขอใคร และใครที่ทำหน้าที่
               อนุมัติและจะต้องมีเอกสารอะไรบ้าง และจะต้องระบุด้วยว่าเข้าไปทำอะไร

                                (2) การบริหารจัดการและการบำรุงรักษาทรัพย์สินด้าน IT ห้อง DC (Data Center) และ DR

               (Disaster recovery) ซึ่งเป็นพื้นที่ที่สำคัญที่เก็บอุปกรณ์ต่าง ๆ ซึ่งต้องได้รับการบำรุงรักษาตามระยะเวลา
               ที่กำหนดไว้ และต้องมีการทดสอบตามแผนที่หน่วยงานกำหนดไว้ รวมถึงอุณหภูมิความเย็นของห้องเป็นไปตาม

               ที่หน่วยงานกำหนดไว้ เพื่อที่จะให้ในส่วนของ DC (Data Center) และ DR (Disaster Recovery) สามารถ

               ทำงานได้อย่างเต็มประสิทธิภาพ ส่วนกล้องต้องมีการเฝ้าสังเกตป้องกันการบุกรุกของ DC (Data Center) และ






               เอกสารวิชาการการตรวจสอบเทคโนโลยีสารสนเทศด้านการรักษาความมั่นคงปลอดภัยระบบสารสนเทศ       20
   23   24   25   26   27   28   29   30   31   32   33