It standard ท กำหนด โดย กล ม iso

ซึ่งการใช้กรรมวิธีนี้จะช่วยให้สามารถดำเนินการปรับปรุงความปลอดภัยสารสนเทศได้อย่างต่อเนื่อง ทั้งนี้การบริหาร โดย ISMS จะทำใน 10 ขั้นตอน ดังนี้

ปัจจุบันพัฒนาการของการนำมาตรฐานการรักษาความมั่นคงปลอดภัยมาประยุกต์ใช้กับระบบสารสนเทศในองค์กรเริมเป็นทีแพร่หลายความแพร่หลายนีอาจเกิดจากประสบการณ์ในการใช้งานระบบเทคโนโลยีสารสนเทศอย่างไม่ปลอดภัยแล้วก่อให้เกิดผลเสียอันร้ายแรงตามมา หรืออาจเกิดจากนโยบายเชิงรุกของประเทศทีพัฒนาแล้วด้านเทคโนโลยีสารสนเทศได้กำหนดให้ประเทศทีเป็นคูค้าของตนต้องจัดทำระบบสารสนเทศทีมีความมันคงปลอดภัยเช่นกัน จึงจะเป็นทียอมรับและเชือมันในการใช้งาน

พัฒนาการมาตรฐานการรักษาความมั่นคงปลอดภัยระบบสารสนเทศในภูมิภาคเอเชียแปซิฟิก จากสาเหตุดังกล่าวนำมาซึ่งการตื่นตัวของผู้บริหารองค์กรทั้งภาครัฐและเอกชนที่จะต้องส่งเสริมให้เกิดการรักษาความมั่นคงปลอดภัยอย่างแข็งขันต่อไป โดยให้การสนับสนุนในหลายๆ ด้าน และหนึ่งในการสนับสนุนที่สำคัญคือการพัฒนามาตรฐานการรักษาความมั่นคงปลอดภัยให้องค์กรในประเทศสามารถนำไปประยุกต์ใช้งานได้อย่างง่ายดายขึ้นขณะเดียวกันก็มีความมั่นคงปลอดภัยเพิ่มขึ้นด้วยการรณรงค์เหล่านี้ทำให้เกิดการสร้าง กลุ่มความร่วมมือทั้งในระดับโลกและระดับภูมิภาคลักษณะการร่วมมือนี้ ได้แก่ การพัฒนาด้านเทคนิคร่วมกันการให้ความเห็นต่อประเด็นของการรักษาความมั่นคงปลอดภัยการแบ่งปันความรู้และประสบการณ์ระหว่างกันในองค์กรที่ต้องผลักดันเรื่องเหล่านี้ เป็นต้นสำหรับประเทศไทยมีพัฒนาการด้านนี้เช่นเดียวกับประเทศอื่นๆ ในภูมิภาคและมีบทบาทในการสร้างองค์ความรู้ร่วมกับกลุ่มสมาชิก โดยในปีนี้การหารือร่วมกันของกลุ่มประเทศ สมาชิกได้จัดขึ้นที่สาธารณรัฐเกาหลีใต้ที่เกาะเชจูและมีสมาชิกเข้าร่วมในเวทีนี้อย่างคับคั่ง รวมถึงผู้ที่มีบทบาทสำคัญในการดำเนินการพัฒนามาตรฐานการรักษาความมั่นคงปลอดภัยระบบสารสนเทศ หรือ ISMS (Information Security and Management System) ในระดับสากล (ISO standards) ซึ่งคือ Mr. Ted Humphrey ก็ได้มาร่วมในเวทีนี้และได้นำสาระสำคัญของมาตรฐานความมั่นคงปลอดภัยซีรี่ส์ 27000 มาสรุปให้ผู้เข้าประชุมได้รับรู้รับทราบและสามารถสรุปความเป็นแผนภาพตามปรากฏด้านล่างนี้

พร้อมกันนี้ แต่ละประเทศสมาชิกก็ได้มีการนำเสนอความคืบหน้าด้านนี้ให้กับที่ประชุมด้วยเช่นกัน ดังมีข้อมูล โดยสรุปดังนี้ พัฒนาการที่เกี่ยวข้องกับมาตรฐานการรักษาความมั่นคงปลอดภัยระบบสารสนเทศของประเทศสิงคโปร์ ประเทศสิงคโปร์ได้จัดตั้งคณะทำงานทางด้านเทคนิคที่เกี่ยวข้องกับการพิสูจน์ตัวตนทางชีวภาพรวมทั้งได้จัดตั้งคณะทำงานเพื่อกำหนดมาตรฐานในการระบุและพิสูจน์ตัวตน (Singapore Standard for Identification– SS-ID) ซึ่งเป็นมาตรฐานที่จะนำมาใช้งานกับบัตรสมาร์ทการ์ด (Smart Card) ต่อไป

พัฒนาการที่เกี่ยวข้องกับมาตรฐานการรักษาความมั่นคงปลอดภัยระบบสารสนเทศของประเทศญี่ปุ่น ในประเทศญี่ปุ่นมีองค์กรที่ได้รับการรับรองตามมาตรฐาน ISMS (Information Security Management System)นับถึงเดือนเมษายน 2549 นี้ มีจำนวน 1,548 บริษัทโดยประมาณสำหรับพัฒนาการด้านการแปลมาตรฐาน ISO27001 ไปสู่เวอร์ชันภาษาญี่ปุ่น JISO 27001 คาดว่าจะแล้วเสร็จในเดือนพฤษภาคม 2549 นี้ รวมทั้งคาดว่าจะใช้เวลาอีก 18 เดือนโดยประมาณ (ประมาณเดือนพฤศจิกายน2550) เพื่อปรับองค์กร/บริษัท ที่ได้รับการรับรองตามมาตรฐานเดิม BS7799 ให้ก้าวไปสู่มาตรฐานใหม่ หรือ ISO27001 ดังกล่าวในส่วนหน่วยงานที่เกี่ยวข้องกับการกำกับดูแลมาตรฐานความมั่นคงปลอดภัยสำหรับประเทศญี่ปุ่นมีอยู่จำนวน 2 หน่วยงานด้วยกัน ได้แก่ NISC (National Information Security Center) และ ISPC (Information Security Policy Council) อนึ่งหน่วยงาน ISPC จะประกอบด้วยตัวแทนจากทุกกระทรวง รวมทั้งผู้เชี่ยวชาญ ทั้งจาก ภาครัฐเอกชน และหน่วยงานารศึกษาของญี่ปุ่นเข้ามาร่วมกัน ทำงานโดยมีนายกรัฐมนตรีเป็นประธานและหน่วยงาน ISPC นี้จะทำหน้าที่กำกับดูแลการทำงานของ NISC อีกชั้นหนึ่งหน่วยงาน NISC มีอำนาจหน้าที่ดังนี้

1. การวางแผนกลยุทธ์ทางด้านความมั่นคงปลอดภัย
2. การกำหนดมาตรฐานทางด้านความมั่นคงปลอดภัยที่จำเป็นสำหรับหน่วยงานภาครัฐทั้งหมด
3. การพัฒนาขีดความสามารถในการรับมือกับเหตุการณ์ละเมิดความมั่นคงปลอดภัย
4. การป้องกันหน่วยงานต่างๆ อันเป็นโครงสร้างพื้นฐานของประเทศและ
5. การกำหนดกลยุทธ์และสร้างความสัมพันธ์ระหว่างประเทศ ประมาณการณ์ในอีก 2-3 ปี ข้างหน้า ญี่ปุ่นโดย NISCกำหนดเป้าหมายที่จะสร้างความมั่นคงปลอดภัยให้กับหน่วยงานภาครัฐทั้งหมด โดยจะเริ่มต้นจากการกำหนดมาตรฐานความมั่นคงปลอดภัยขั้นต่ำที่หน่วยงานภาครัฐทั้งหมดต้องปฏิบัติตาม ภายหลังระยะเวลาดังกล่าว NISC จะเป็นผู้เข้าไปตรวจประเมินสถานภาพขององค์กรเหล่านั้นและรายงานผลให้ ISPC ได้รับทราบ และ ISPC จะเป็นผู้กำหนดหรือให้คำแนะนำในการปรับปรุงแก้ไขระบบขององค์กรเหล่านั้นต่อไปภารกิจสำคัญประการต่อมาของ NISC คือ การป้องกันหน่วยงานที่เป็นโครงสร้างพื้นฐานของประเทศ (Critical Information Infrastructure) NISC ได้กำหนดแผนปฏิบัติการ(Action Plan) โดยมีเป้าหมายหลัก 3 ประการ ดังนี้ 1. เพื่อป้องกันการบุกรุกทางเครือข่ายหรือระบบคอมพิวเตอร์(Cyber Attack) 2. เพื่อป้องกันการหยุดชะงักหรือการให้บริการที่อยู่ในระดับต่ำเกินไป อันมีสาเหตุมาจากปัจจัยด้าน สิ่งแวดล้อมทางระบบสารสนเทศต่างๆ เช่น การแพร่กระจายของหนอนอินเทอร์เน็ต เป็นต้น 3. เพื่อป้องกันการหยุดชะงักของการให้บริการอันเนื่องมาจากหายนะทางธรรมชาติ (Natural Disaster) ขณะนี้ประเทศญี่ปุ่นเป็นประเทศที่มีองค์กรได้รับการรับรองมาตรฐาน ดังกล่าวจำนวนมากเป็นอันดับ หนึ่งของโลก ดังนั้นขั้นตอนและพัฒนาการในการนำมาตรฐานด้านนี้มาผลักดัน ตลอดจนกลยุทธ์ในการ นำไปปฏิบัติจึงเรื่องที่น่าสนใจศึกษาเป็นอย่างยิ่ง หากมีโอกาสในการรับรู้พัฒนาการเหล่านี้ทีมงาน จะนำ ข้อมูลเหล่านี้มานำเสนอต่อไป

พัฒนาการที่เกี่ยวข้องกับมาตรฐานการรักษาความมั่นคงปลอดภัยระบบสารสนเทศของประเทศออสเตรเลีย สำหรับประเทศออสเตรเลียซึ่งได้มีพัฒนาการเกี่ยวกับมาตรฐานความมั่นคงปลอดภัยมานานแล้วนั้น ปัจจุบันได้ทำหน้าที่เป็นบทบาทของผู้ให้การสนับสนุนและมีส่วนร่วมในการพัฒนามาตรฐานต่างๆ ทั้งในระดับ ประเทศระดับนานาชาติ ซึ่งรวมถึงการพัฒนามาตรฐานISMS เวอร์ชันล่าสุดด้วยที่ประเทศออสเตรเลีย ทำหน้าที่ เป็นบรรณาธิกรหลักพัฒนาการอื่นๆ ที่เกี่ยวข้องกับมาตรฐานความมั่นคงปลอดภัยที่ดำเนินการไปแล้ว ได้แก่ ประเด็นเรื่องความเป็นส่วนตัว (Privacy issues) มาตรฐานสำหรับบัตรสมาร์ทการ์ด และมาตรฐานการพิสูจน์ ID (Identification)สำหรับผู้ใช้งานโครงการใหม่ 2 โครงการที่อยู่ในระหว่างการดำเนินการคือ การพิสูจน์ ID โดยใช้วิธีการทางชีวภาพและการจัดทำแนวทาง (Guideline) สำหรับการบริหารจัดการหลัก-ฐานทางคอมพิวเตอร์

พัฒนาการที่เกี่ยวข้องกับมาตรฐานการรักษาความมั่นคงปลอดภัยระบบสารสนเทศของไต้หวัน ในปี 2549 ไต้หวันเตรียมการอนุมัติมาตรฐาน ISO/IECที่เกี่ยวข้องกับความมั่นคงปลอดภัย (ทั้งที่เป็นมาตรฐานที่เกี่ยวข้องกับข้อกำหนดเทคนิค และเกณฑ์ในการประเมินทางด้านความมั่นคงปลอดภัย) จำนวน 8 มาตรฐาน (ซึ่งได้มีการแปลเป็นภาษาจีนแล้ว) สองในแปดมาตรฐานดังกล่าวคือมาตรฐาน ISMS (ได้แก่ ISO 27001: 2005 และ ISO17799:2005)ในปีเดียวกันนี้ ไต้หวันได้เตรียมการที่จะยกร่างมาตรฐานISO/IEC (ภาษาจีน) อีกเป็นจำนวนทั้งสิ้น 14 มาตรฐาน (ที่เป็นข้อกำหนด เทคนิค และเกณฑ์การประเมินเช่นกัน) ชื่อของมาตรฐานทั้งหมดสามารถตรวจสอบได้มีจำนวนทั้งสิ้น 14 มาตรฐาน ดังรายการต่อไปนี้

1. ISO/IEC TR 14516:2002 Information technology – Security techniques – Guidelines for the use and managementof Trusted Third Party services (Outsourcing)
2. ISO/IEC 15945:2002 Information technology – Securitytechniques – Specification of TTP services to supportthe application of digital signatures
3. ISO/IEC 15816:2002 Information technology – Securitytechniques – Security information objects for accesscontrol
4. ISO/IEC 18028-3:2005 Information technology – Securitytechniques – IT network security – Part 3: Securing communications between using security gateways
5. ISO/IEC 18028-4:2005 Information technology – Security techniques – IT network security – Part 4: Securing remote access
6. ISO/IEC TR 15443-1:2005, Information technology –Security techniques – A framework for IT security assurance– Part 1: Overview and framework
7. ISO/IEC TR 15443-2:2005 Information technology – Security techniques – A framework for IT security assurance– Part 2: Assurance methods
8. ISO/IEC 19790:2006 Information technology – Security techniques – Security requirements for cryptographic modules 60 TechTrends:IT
9. ISO/IEC 15504-1:2004 Information technology –Process assessment – Part 1: Concepts and vocabulary
10. ISO/IEC 15504-2:2003 Information technology –Process assessment – Part 2: Performing an assessment(include C or 1:2004)
11. ISO/IEC 15504-3:2004 Information technology –Process assessment – Part 3: Guidance on performingan assessment
12. ISO/IEC 15504-4:2004 Information technology –Process assessment – Part 4: Guidance on use for process improvement and process capabilitydetermination
13. ISO/IEC 15504-4: 2004 Information technology –Process assessment – Part 5: An example ProcessAssessment Model
14. ISO 13491-2:2005 Banking – Secure cryptographicdevices (retail) – Part 2: Security compliance checklists for devices used in financial transactions

ในปีที่ผ่านมา 2548 ไต้หวันยังได้จัดทำแนวทางสำหรับการสร้างความมั่นคงปลอดภัย สำหรับใช้งานกับหน่วยงานภาครัฐของไต้หวันด้วย ซึ่งประกอบด้วย - แนวทางสำหรับการรายงานและการรับมือกับเหตุการณ์ละเมิดความมั่นคงปลอดภัย - แนวทางสำหรับการกำหนดหน้าที่ความรับผิดชอบท างด้านความ มั่นคงปลอดภัย - แนวทางสำหรับการป้องกันข้อมูลอิเล็กทรอนิกส์ - แนวทางสำหรับการใช้บริการ outsource จากหน่วยงานภายนอก - แนวทางสำหรับการเลือกผลิตภัณฑ์ที่เกี่ยวข้องกับความมั่นคงปลอดภัยนอกจากนี้ไต้หวันยังวางแผนที่จะจัดทำแนวทางสำหรับ การสร้างความมั่นคงปลอดภัยเพิ่มเติมอีกจำนวน11 รายการ ดังนี้ - แนวทางสำหรับการสร้างความมั่นคงปลอดภัยให้กับไฟล์วอลล์ - แนวทางสำหรับการสร้างความมั่นคงปลอดภัย ให้กับ VPN (Virtual Private Network) - แนวทางสำหรับการพิสูจน์ตัวตนทางอิเล็กทรอนิกส์ - แนวทางสำหรับการพัฒนาเว็บแอพพลิเคชัน - แนวทางสำหรับการสร้างความมั่นคงปลอดภัยให้กับอีเมล์ - แนวทางสำหรับการสร้างความมั่นคงปลอดภัย ให้กับIDS/IPS (Intrusion Detection System/Intrusion Prevention System) - แนวทางสำหรับการสร้างความมั่นคงปลอดภัยให้กับระบบปฏิบัติการ - แนวทางสำหรับการแยกระบบที่มีความสำคัญออกมาไว้ต่างหาก - แนวทางสำหรับการรับมือกับเหตุการณ์ที่ไม่คาดหมาย - แนวทางสำหรับการประเมินความเสี่ยงระบบ - แนวทางสำหรับการสร้างความมั่นคงปลอดภัยให้กับเครือข่ายไร้สาย

พัฒนาการที่เกี่ยวข้องกับมาตรฐานการรักษาความมั่นคงปลอดภัยระบบสารสนเทศของประเทศมาเลเซีย ปัจจุบันประเทศมาเลเซียมีบริษัทที่ได้รับการรับรอง โดยUKAS (The United Kingdom Accreditation Service) ให้เป็นหน่วยงานที่สามารถให้การรับรองตามมาตรฐาน ISMS ได้คือบริษัท SIRIM QAS International จำกัด นับเป็นอีกความก้าวหน้าหนึ่งเมื่อเทียบกับประเทศอื่นๆ ซึ่งต้องอาศัยการให้การรับรองโดยบริษัทต่างชาติ อย่างไรก็ตาม ประเทศมาเลเซียมีบริษัทหรือหน่วยงานที่ได้รับการรับรองตามมาตรฐาน ISMS แล้วเป็นจำนวน 7 หน่วยงาน นอกจากนี้ ประเทศมาเลเซียได้ก่อตั้งศูนย์ชื่อว่าMalaysia Cyber Security Center ซึ่งศูนย์ฯดังกล่าว มีอำนาจหน้าที่ในการประสานงานโครงการต่างๆ ของรัฐ เพื่อให้เป็นไปตามมาตรฐานและนโยบายด้านความมั่นคงปลอดภัยที่ออกประกาศหรือกำหนดโดยศูนย์ฯ นี้ วัตถุประสงค์ที่สำคัญประการหนึ่งของการก่อตั้งศูนย์ฯดังกล่าวคือ การสร้างความตระหนักและให้ความรู้ทางด้านความมั่นคงปลอดภัยในการใช้งานระบบคอมพิวเตอร์ และเครือข่ายสำหรับพัฒนาการด้านการจัดทำมาตรฐานด้านความมั่นคงปลอดภัย ISO/IEC ประเทศมาเลเชีย ได้จัดทำแล้วจำนวน 5 มาตรฐาน และกำลังอยู่ในระหว่างการพิจารณาในปี 2549 เพื่อรับเป็นมาตรฐานใช้งานภายในประเทศมาเลเซีย ประกอบด้วย - ISO/IEC 27001:2005 - ISO/IEC TR 18044:2004 - ISO/IEC TR 15443-1:2005 - ISO/IEC TR 15446:2004

พัฒนาการที่เกี่ยวข้องกับมาตรฐานการรักษาความมั่นคงปลอดภัยระบบสารสนเทศของประเทศสาธารณรัฐเกาหลีใต้ ประเทศเกาหลีมีคณะทำงานทางด้านความมั่นคงปลอดภัยชื่อ TTA (Telecommunication Technology Association)หน้าที่หลักประการหนึ่งคือ พัฒนามาตรฐานสำหรับใช้งานภายในประเทศ (Local Standards) ซึ่งนอกจากจะพัฒนาเองแล้ว อาจพิจารณารับเอามาตรฐาน ระดับนานาชาติ (เช่น มาตรฐาน ISO ต่างๆ) เข้ามาใช้งานภายในประเทศโดยตรงปัจจุบันคณะทำงานคณะนี้ได้พัฒนามาตรฐาน สำหรับใช้งานภายในประเทศไปแล้วกว่า 30 มาตรฐานหนึ่งในมาตรฐานดังกล่าว คือ มาตรฐาน KISA ISMS เป็นมาตรฐาน ที่คล้ายกับ ISMS เวอร์ชั่นสากลแต่เป็นมาตรฐานที่เกาหลีพัฒนาขึ้นมา สำหรับใช้งานภายในประเทศของตน รวมทั้ง มีการตรวจประเมิน และออกใบรับรองตามมาตรฐานดังกล่าวให้ด้วยวงจรการทำงานของมาตรฐานนี้จะมี ความใกล้เคียงกับวงจร PDCA (Plan-Do-Check-Act) ของมาตรฐานสากล ปัจจุบันมีหน่วยงานที่ได้รับใบรับรองจากองค์กรดังกล่าวไปแล้วกว่า 36 หน่วยงานในการประชุมของสมาชิกในครั้งนี้ ประเทศสาธารณรัฐ เกาหลีใต้เสนอที่จะแปล KISA ISMS ซึ่งเป็นภาษาเกาหลีให้เป็นภาษาอังกฤษเพื่อให้ประเทศในภูมิภาคและสมาชิกของ RAISS (Regional Asia Pacific Information and Security Standards) สามารถนำไปใช้ประโยชน์ได้ต่อไป

พัฒนาการที่เกี่ยวข้องกับมาตรฐานการรักษาความมั่นคงปลอดภัยระบบสารสนเทศของประเทศไทย สำหรับพัฒนาการด้านมาตรฐานการรักษาความมั่นคงปลอดภัยในส่วนของประเทศไทยนั้นสรุปเป็นภารกิจหลักๆได้ดังนี้ หลังจากที่ได้มีการประกาศใช้พระราชบัญญัติว่าด้วยการประกอบธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544 หน่วยงานที่เกี่ยวข้องได้พิจารณาแต่งตั้ง คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ขึ้น และได้มีคณะอนุกรรม การย่อยในการดำเนินงานด้านต่างๆ อีก 5 ด้านคณะอนุกรรมการด้านความมั่นคง เป็นหนึ่งในคณะ ทำงานภายใต้ คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์และในปีงบประมาณที่ผ่านมาได้จัดทำภารกิจสำคัญๆ ดังนี้ได้จัดประชุมองค์กรที่มีภารกิจเกี่ยวพันกับการให้บริการโครงสร้างพื้นฐานของประเทศ ดังนั้นเมื่อประมาณ ต้นปี 2549 และจากการประชุมซึ่งได้รับการตอบรับเป็นอย่างดีจากองค์กรที่ได้รับเชิญ อาทิ การไฟฟ้านครหลวง การประปานครหลวง บริษัท ปตท. จำกัด (มหาชน) หรือ ปตท.และหน่วยงานราชการที่สำคัญๆ เป็นต้น ผลจากการประชุมทำให้เกิดกิจกรรมที่ตามมาคือ มีการจัดตั้งเป็นกลุ่มองค์กรที่ให้ความสำคัญกับเรื่องของความมั่นคงปลอดภัย เพื่อพัฒนาและยกระดับองค์กรให้มีความมั่นคงปลอดภัยขึ้นโดยอาศัยความร่วมมือและการแบ่งปันข้อมูลซึ่งกันและกันอีกทั้งยังได้มีการตกลงกันในที่ประชุมให้มีหน่วยงานเจ้าภาพ(ปตท.) ในการจัดประชุมครั้งต่อๆ ไปด้วย ในด้านของการที่จะยกระดับความมั่นคงปลอดภัยให้เกิดกับองค์กรต่างๆ โดยเฉพาะอย่างยิ่งองค์กรภาครัฐนั้นเป็นเรื่องที่ต้องริเริ่มจากการให้ความสำคัญของระดับผู้บริหารดังนั้น คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ที่ส่งเสริมด้านความมั่นคง จึงเล็งเห็นว่าประเทศไทยมีความจำเป็นที่จะต้องกำหนดกฎเกณฑ์ ระเบียบปฏิบัติ หรือกฎหมายเพื่อเป็นแนวผลักดันให้หลายๆ องค์กรที่สำคัญให้ความเอาใจใส่ต่อประเด็นนี้สำหรับความคืบหน้าอื่นๆ คณะอนุกรรมการด้านกฎหมายซึ่งอยู่ภายใต้คณะกรรมการธุรกรรมชุดนี้ได้จัดทำร่างกฎหมาย E-document Law/Regulation, E-PaymentLaw/Regulation ขึ้นและกำลังอยู่ในระหว่างการขอความเห็นจากผู้ที่มีส่วนเกี่ยวข้องเพื่อกฎหมายที่ออกมาจะได้ใช้บังคับได้อย่างมีประสิทธิภาพและประสิทธิผลคู่มือการรักษาความมั่นคงปลอดภัยฯ (พ.ศ. 2549 – 2551) ของ กระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เป็นเอกสารที่จัดทำขึ้นเพื่อประกอบโครงการจัดทำแผนแม่บทการรักษาความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ ซึ่งได้กำหนดแนวทางไว้เป็นกรอบและเป็นแผนที่นำทางในระดับกลยุทธ์ เพื่อยกระดับมาตรฐานการรักษาความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศของประเทศ ให้อยู่ในระดับมาตรฐานสากล โดยอ้างอิงจากกรอบมาตรฐานสากล ISO/IEC 27001 อีกทั้งต้องการลดผลกระทบจากเหตุ ตลอดจนการฟื้นฟูระบบอย่างรวดเร็วหลังจากการโจมตีสิ้นสุดลงแล้วร่างแผนแม่บทความมั่นคงปลอดภัยด้านไอซีทีแห่งชาติฯ จะช่วยจัดตั้งรูปแบบและลำดับความสำคัญในบริบทของ ความมั่นคงปลอดภัยด้านไอซีทีเมื่อคำนึงถึงสถานการณ์ปัจจุบันและการวิเคราะห์ความเสี่ยงที่เกี่ยวข้องทั้งหลาย ทั้งที่จะเกิดต่อภาคประชาชน ภาคเอกชนและภาครัฐบาล หลังจากที่ประกาศใช้แผนแม่บท แล้วต้องการที่จะจัดให้มีกรอบการทำงานและเครื่องมือที่จำเป็นอย่างพอเพียง เพื่อที่จะสนับสนุนกิจกรรมต่างๆ ที่จะเกิดขึ้นของแผนฏิบัติการความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศในระดับองค์กร ต่อไป

บทสรุป จากที่กล่าวมาทั้งหมดเป็นพัฒนาการมาตรฐานด้านความมั่นคงปลอดภัยของประเทศในแถบภูมิภาคเอเชีย แปซิฟิกเป็นหลัก และมีกลุ่มความร่วมมือที่ชื่อว่า RAISSซึ่งในเวทีความร่วมมือนี้ประเทศไทยโดยโครงการเทคโนโลยีสารสนเทศเพื่อความมั่นคง ซึ่งเป็นหน่วยงานภายใต้ศูนย์เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติ หรือเนคเทคได้เล็งเห็นความสำคัญของกลุ่มความร่วมมือดังกล่าว จึงได้ส่งตัวแทนเข้าร่วมการประชุม และผลจากการร่วมงานกันทำให้โครงการฯ ได้นำเสนอ Paper เพื่อเป็นแนวทางใช้งานของเจ้าหน้าที่ที่มีหน้าที่ดูแลระบบและเครือข่ายให้เป็นแนวทางที่จะปฏิบัติงานได้อย่างมั่นคงปลอดภัยโดยใช้กรอบแนวคิดในด้านมาตรการรักษาความมั่นคงปลอดภัยของ ISO 27001 และ ISO 17799-2005 มาผนวกเป็นแนวทางหรือคู่มือการปฏิบัติงานประจำวันของผู้ดูแลระบบ

เอกสารอ้างอิง

1. //www.mict.go.th/
2. //www.nectec.or.th/ · Ted Humphreys, XISEC Consultants Ltd., 2000-2006. · Regional Asia Information Security Standards Forum, 22 April,2006, South Korea, Forum Proceedings(Volume 3)