เมื่อ(บาง)มหาวิทยาลัยอยู่ในรายชื่อหน่วยงานซึ่งต้องกระทำตามวิธีการแบบปลอดภัยในระดับเคร่งครัด
เป็นที่น่าสงสัยว่าผู้บริหารหรือบุคลากรของมหาวิทยาลัยดังกล่าวมีใครเคยรู้เรื่องนี้บ้างซึ่งถ้าอ้างตาม
ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ เรื่อง
มาตรฐานการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศตามวิธีการแบบปลอดภัย พ.ศ. 2555
ที่ได้ออกมาก่อนหน้านี้ ได้มีการกำหนดให้หน่วยงานปฏิบัติตามมาตรฐานการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศตามวิธีการแบบปลอดภัยในระดับเคร่งครัด
ระดับกลาง หรือระดับพื้นฐาน บังคับใช้ 360 วันหลังประกาศ นั่นคือ ประมาณวันที่ 13
พ.ย. 2556 ที่ผ่านมา โดยเนื้อหาการปฏิบัติตามกฎหมายดังกล่าวนั้นได้มีการออก
บัญชีแนบท้ายประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ เรื่อง
มาตรฐานการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศตามวิธีการแบบปลอดภัย พ.ศ. 2555
ตามมา โดยหลักการแล้วก็ได้มีการอ้างอิงตามหลักการพื้นฐานทางด้าน Cyber Security ซึ่งคาดว่าน่าจะถอดแบบออกมาจากมาตรฐานหลักด้าน
Cyber Security กันมาทีเดียวเลยนั่นคือมาตรฐาน ISO27001 และกรอบการดำเนินการ NIST นั่นเอง
นั่นคือยึดเอาหลักการของ CIA นั่นคือ การรักษาความลับ (Confidentiality)
การรักษาความครบถ้วนถูกต้อง(Integrity)
และการรักษาสภาพพร้อมใช้งาน
(Availability)
ของระบบสารสนเทศ
โดยได้แบ่งหัวข้อย่อยเป็น 11 หัวข้อ ดังนี้
1. การสร้างความมั่นคงปลอดภัยด้านบริหารจัดการ
2. การจัดโครงสร้างด้านความมั่นคงปลอดภัย
3. การบริหารจัดการทรัพย์สิน
4. การสร้างความมั่นคงปลอดภัยด้านบุคลากร
5. การสร้างความมั่นคงปลอดภัยด้านกายภาพและสภาพแวดล้อม
6. การบริหารจัดการด้านการสื่อสาร
ระบบเครือข่ายคอมพิวเตอร์ ระบบคอมพิวเตอร์ ระบบงานคอมพิวเตอร์และระบบสารสนเทศ
7. การควบคุมการเข้าถึงระบบเครือข่ายคอมพิวเตอร์
ระบบคอมพิวเตอร์ ระบบงานคอมพิวเตอร์ ระบบสารสนเทศ ข้อมูลสารสนเทศ
ข้อมูลอิเล็กทรอนิกส์ และข้อมูลคอมพิวเตอร์
8. การจัดหาหรือจัดให้มีการพัฒนา
และการบำรุงรักษาระบบเครือข่ายคอมพิวเตอร์ ระบบคอมพิวเตอร์ ระบบงานคอมพิวเตอร์
และระบบสารสนเทศ
9. การบริหารจัดการสถานการณ์ด้านความมั่นคงปลอดภัยที่ไม่พึงประสงค์
หรือไม่อาจคาดคิด
10.
การบริหารจัดการด้านการบริการหรือหารดำเนินงานของหน่วยงานเพื่อให้มีความต่อเนื่อง
11.
การตรวจสอบและการประเมินผลการปฏิบัติตามนโยบาย
มาตรการ หลักเกณฑ์ หรือกระบวนการใดๆ
รวมทั้งข้อกำหนดด้านความมั่นคงปลอดภัยของระบบสารสนเทศ
ดังนั้นสถาบันการศึกษาและแม้แต่หน่วยงานอื่นๆ ที่มีรายชื่อดังกล่าวควรตระหนักถึงความสำคัญของการดำเนินการด้านการรักษาความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศเป็นอย่างยิ่ง และควรดำเนินการตามมาตรฐานสากลไม่ว่าจะเป็น ISO27001(Information Security Management System) หรือกรอบการดำเนินการเพื่อให้เกิดความมั่นคงปลอดภัย NIST(National Institute of Standards and Technology) เป็นพื้นฐานของ cybersecurity ภายในองค์กรและให้ปฏิบัติได้จริงไม่ได้เป็นเพียงแค่เสือกระดาษเท่านั้น
นายโอภาส หมื่นแสน
วิศวกร
COMP001021610627
สำนักบริการเทคโนโลยีสารสนเทศ
มหาวิทยาลัยเชียงใหม่
17 มี.ค. 2563
Comments
Post a Comment