ซึ่งการใช้กรรมวิธีนี้จะช่วยให้สามารถดำเนินการปรับปรุงความปลอดภัยสารสนเทศได้อย่างต่อเนื่อง ทั้งนี้การบริหาร โดย ISMS จะทำใน 10 ขั้นตอน ดังนี้
ปัจจุบันพัฒนาการของการนำมาตรฐานการรักษาความมั่นคงปลอดภัยมาประยุกต์ใช้กับระบบสารสนเทศในองค์กรเริมเป็นทีแพร่หลายความแพร่หลายนีอาจเกิดจากประสบการณ์ในการใช้งานระบบเทคโนโลยีสารสนเทศอย่างไม่ปลอดภัยแล้วก่อให้เกิดผลเสียอันร้ายแรงตามมา หรืออาจเกิดจากนโยบายเชิงรุกของประเทศทีพัฒนาแล้วด้านเทคโนโลยีสารสนเทศได้กำหนดให้ประเทศทีเป็นคูค้าของตนต้องจัดทำระบบสารสนเทศทีมีความมันคงปลอดภัยเช่นกัน จึงจะเป็นทียอมรับและเชือมันในการใช้งาน
พัฒนาการมาตรฐานการรักษาความมั่นคงปลอดภัยระบบสารสนเทศในภูมิภาคเอเชียแปซิฟิก จากสาเหตุดังกล่าวนำมาซึ่งการตื่นตัวของผู้บริหารองค์กรทั้งภาครัฐและเอกชนที่จะต้องส่งเสริมให้เกิดการรักษาความมั่นคงปลอดภัยอย่างแข็งขันต่อไป โดยให้การสนับสนุนในหลายๆ ด้าน และหนึ่งในการสนับสนุนที่สำคัญคือการพัฒนามาตรฐานการรักษาความมั่นคงปลอดภัยให้องค์กรในประเทศสามารถนำไปประยุกต์ใช้งานได้อย่างง่ายดายขึ้นขณะเดียวกันก็มีความมั่นคงปลอดภัยเพิ่มขึ้นด้วยการรณรงค์เหล่านี้ทำให้เกิดการสร้าง กลุ่มความร่วมมือทั้งในระดับโลกและระดับภูมิภาคลักษณะการร่วมมือนี้ ได้แก่ การพัฒนาด้านเทคนิคร่วมกันการให้ความเห็นต่อประเด็นของการรักษาความมั่นคงปลอดภัยการแบ่งปันความรู้และประสบการณ์ระหว่างกันในองค์กรที่ต้องผลักดันเรื่องเหล่านี้ เป็นต้นสำหรับประเทศไทยมีพัฒนาการด้านนี้เช่นเดียวกับประเทศอื่นๆ ในภูมิภาคและมีบทบาทในการสร้างองค์ความรู้ร่วมกับกลุ่มสมาชิก โดยในปีนี้การหารือร่วมกันของกลุ่มประเทศ สมาชิกได้จัดขึ้นที่สาธารณรัฐเกาหลีใต้ที่เกาะเชจูและมีสมาชิกเข้าร่วมในเวทีนี้อย่างคับคั่ง รวมถึงผู้ที่มีบทบาทสำคัญในการดำเนินการพัฒนามาตรฐานการรักษาความมั่นคงปลอดภัยระบบสารสนเทศ หรือ ISMS (Information Security and Management System) ในระดับสากล (ISO standards) ซึ่งคือ Mr. Ted Humphrey ก็ได้มาร่วมในเวทีนี้และได้นำสาระสำคัญของมาตรฐานความมั่นคงปลอดภัยซีรี่ส์ 27000 มาสรุปให้ผู้เข้าประชุมได้รับรู้รับทราบและสามารถสรุปความเป็นแผนภาพตามปรากฏด้านล่างนี้
พร้อมกันนี้ แต่ละประเทศสมาชิกก็ได้มีการนำเสนอความคืบหน้าด้านนี้ให้กับที่ประชุมด้วยเช่นกัน ดังมีข้อมูล โดยสรุปดังนี้ พัฒนาการที่เกี่ยวข้องกับมาตรฐานการรักษาความมั่นคงปลอดภัยระบบสารสนเทศของประเทศสิงคโปร์ ประเทศสิงคโปร์ได้จัดตั้งคณะทำงานทางด้านเทคนิคที่เกี่ยวข้องกับการพิสูจน์ตัวตนทางชีวภาพรวมทั้งได้จัดตั้งคณะทำงานเพื่อกำหนดมาตรฐานในการระบุและพิสูจน์ตัวตน (Singapore Standard for Identification– SS-ID) ซึ่งเป็นมาตรฐานที่จะนำมาใช้งานกับบัตรสมาร์ทการ์ด (Smart Card) ต่อไป
พัฒนาการที่เกี่ยวข้องกับมาตรฐานการรักษาความมั่นคงปลอดภัยระบบสารสนเทศของประเทศญี่ปุ่น ในประเทศญี่ปุ่นมีองค์กรที่ได้รับการรับรองตามมาตรฐาน ISMS (Information Security Management System)นับถึงเดือนเมษายน 2549 นี้ มีจำนวน 1,548 บริษัทโดยประมาณสำหรับพัฒนาการด้านการแปลมาตรฐาน ISO27001 ไปสู่เวอร์ชันภาษาญี่ปุ่น JISO 27001 คาดว่าจะแล้วเสร็จในเดือนพฤษภาคม 2549 นี้ รวมทั้งคาดว่าจะใช้เวลาอีก 18 เดือนโดยประมาณ (ประมาณเดือนพฤศจิกายน2550) เพื่อปรับองค์กร/บริษัท ที่ได้รับการรับรองตามมาตรฐานเดิม BS7799 ให้ก้าวไปสู่มาตรฐานใหม่ หรือ ISO27001 ดังกล่าวในส่วนหน่วยงานที่เกี่ยวข้องกับการกำกับดูแลมาตรฐานความมั่นคงปลอดภัยสำหรับประเทศญี่ปุ่นมีอยู่จำนวน 2 หน่วยงานด้วยกัน ได้แก่ NISC (National Information Security Center) และ ISPC (Information Security Policy Council) อนึ่งหน่วยงาน ISPC จะประกอบด้วยตัวแทนจากทุกกระทรวง รวมทั้งผู้เชี่ยวชาญ ทั้งจาก ภาครัฐเอกชน และหน่วยงานารศึกษาของญี่ปุ่นเข้ามาร่วมกัน ทำงานโดยมีนายกรัฐมนตรีเป็นประธานและหน่วยงาน ISPC นี้จะทำหน้าที่กำกับดูแลการทำงานของ NISC อีกชั้นหนึ่งหน่วยงาน NISC มีอำนาจหน้าที่ดังนี้
- การวางแผนกลยุทธ์ทางด้านความมั่นคงปลอดภัย
- การกำหนดมาตรฐานทางด้านความมั่นคงปลอดภัยที่จำเป็นสำหรับหน่วยงานภาครัฐทั้งหมด
- การพัฒนาขีดความสามารถในการรับมือกับเหตุการณ์ละเมิดความมั่นคงปลอดภัย
- การป้องกันหน่วยงานต่างๆ อันเป็นโครงสร้างพื้นฐานของประเทศและ
- การกำหนดกลยุทธ์และสร้างความสัมพันธ์ระหว่างประเทศ ประมาณการณ์ในอีก 2-3 ปี ข้างหน้า ญี่ปุ่นโดย NISCกำหนดเป้าหมายที่จะสร้างความมั่นคงปลอดภัยให้กับหน่วยงานภาครัฐทั้งหมด โดยจะเริ่มต้นจากการกำหนดมาตรฐานความมั่นคงปลอดภัยขั้นต่ำที่หน่วยงานภาครัฐทั้งหมดต้องปฏิบัติตาม ภายหลังระยะเวลาดังกล่าว NISC จะเป็นผู้เข้าไปตรวจประเมินสถานภาพขององค์กรเหล่านั้นและรายงานผลให้ ISPC ได้รับทราบ และ ISPC จะเป็นผู้กำหนดหรือให้คำแนะนำในการปรับปรุงแก้ไขระบบขององค์กรเหล่านั้นต่อไปภารกิจสำคัญประการต่อมาของ NISC คือ การป้องกันหน่วยงานที่เป็นโครงสร้างพื้นฐานของประเทศ (Critical Information Infrastructure) NISC ได้กำหนดแผนปฏิบัติการ(Action Plan) โดยมีเป้าหมายหลัก 3 ประการ ดังนี้ 1. เพื่อป้องกันการบุกรุกทางเครือข่ายหรือระบบคอมพิวเตอร์(Cyber Attack) 2. เพื่อป้องกันการหยุดชะงักหรือการให้บริการที่อยู่ในระดับต่ำเกินไป อันมีสาเหตุมาจากปัจจัยด้าน สิ่งแวดล้อมทางระบบสารสนเทศต่างๆ เช่น การแพร่กระจายของหนอนอินเทอร์เน็ต เป็นต้น 3. เพื่อป้องกันการหยุดชะงักของการให้บริการอันเนื่องมาจากหายนะทางธรรมชาติ (Natural Disaster) ขณะนี้ประเทศญี่ปุ่นเป็นประเทศที่มีองค์กรได้รับการรับรองมาตรฐาน ดังกล่าวจำนวนมากเป็นอันดับ หนึ่งของโลก ดังนั้นขั้นตอนและพัฒนาการในการนำมาตรฐานด้านนี้มาผลักดัน ตลอดจนกลยุทธ์ในการ นำไปปฏิบัติจึงเรื่องที่น่าสนใจศึกษาเป็นอย่างยิ่ง หากมีโอกาสในการรับรู้พัฒนาการเหล่านี้ทีมงาน จะนำ ข้อมูลเหล่านี้มานำเสนอต่อไป
พัฒนาการที่เกี่ยวข้องกับมาตรฐานการรักษาความมั่นคงปลอดภัยระบบสารสนเทศของประเทศออสเตรเลีย สำหรับประเทศออสเตรเลียซึ่งได้มีพัฒนาการเกี่ยวกับมาตรฐานความมั่นคงปลอดภัยมานานแล้วนั้น ปัจจุบันได้ทำหน้าที่เป็นบทบาทของผู้ให้การสนับสนุนและมีส่วนร่วมในการพัฒนามาตรฐานต่างๆ ทั้งในระดับ ประเทศระดับนานาชาติ ซึ่งรวมถึงการพัฒนามาตรฐานISMS เวอร์ชันล่าสุดด้วยที่ประเทศออสเตรเลีย ทำหน้าที่ เป็นบรรณาธิกรหลักพัฒนาการอื่นๆ ที่เกี่ยวข้องกับมาตรฐานความมั่นคงปลอดภัยที่ดำเนินการไปแล้ว ได้แก่ ประเด็นเรื่องความเป็นส่วนตัว (Privacy issues) มาตรฐานสำหรับบัตรสมาร์ทการ์ด และมาตรฐานการพิสูจน์ ID (Identification)สำหรับผู้ใช้งานโครงการใหม่ 2 โครงการที่อยู่ในระหว่างการดำเนินการคือ การพิสูจน์ ID โดยใช้วิธีการทางชีวภาพและการจัดทำแนวทาง (Guideline) สำหรับการบริหารจัดการหลัก-ฐานทางคอมพิวเตอร์
พัฒนาการที่เกี่ยวข้องกับมาตรฐานการรักษาความมั่นคงปลอดภัยระบบสารสนเทศของไต้หวัน ในปี 2549 ไต้หวันเตรียมการอนุมัติมาตรฐาน ISO/IECที่เกี่ยวข้องกับความมั่นคงปลอดภัย (ทั้งที่เป็นมาตรฐานที่เกี่ยวข้องกับข้อกำหนดเทคนิค และเกณฑ์ในการประเมินทางด้านความมั่นคงปลอดภัย) จำนวน 8 มาตรฐาน (ซึ่งได้มีการแปลเป็นภาษาจีนแล้ว) สองในแปดมาตรฐานดังกล่าวคือมาตรฐาน ISMS (ได้แก่ ISO 27001: 2005 และ ISO17799:2005)ในปีเดียวกันนี้ ไต้หวันได้เตรียมการที่จะยกร่างมาตรฐานISO/IEC (ภาษาจีน) อีกเป็นจำนวนทั้งสิ้น 14 มาตรฐาน (ที่เป็นข้อกำหนด เทคนิค และเกณฑ์การประเมินเช่นกัน) ชื่อของมาตรฐานทั้งหมดสามารถตรวจสอบได้มีจำนวนทั้งสิ้น 14 มาตรฐาน ดังรายการต่อไปนี้
- ISO/IEC TR 14516:2002 Information technology – Security techniques – Guidelines for the use and managementof Trusted Third Party services (Outsourcing)
- ISO/IEC 15945:2002 Information technology – Securitytechniques – Specification of TTP services to supportthe application of digital signatures
- ISO/IEC 15816:2002 Information technology – Securitytechniques – Security information objects for accesscontrol
- ISO/IEC 18028-3:2005 Information technology – Securitytechniques – IT network security – Part 3: Securing communications between using security gateways
- ISO/IEC 18028-4:2005 Information technology – Security techniques – IT network security – Part 4: Securing remote access
- ISO/IEC TR 15443-1:2005, Information technology –Security techniques – A framework for IT security assurance– Part 1: Overview and framework
- ISO/IEC TR 15443-2:2005 Information technology – Security techniques – A framework for IT security assurance– Part 2: Assurance methods
- ISO/IEC 19790:2006 Information technology – Security techniques – Security requirements for cryptographic modules 60 TechTrends:IT
- ISO/IEC 15504-1:2004 Information technology –Process assessment – Part 1: Concepts and vocabulary
- ISO/IEC 15504-2:2003 Information technology –Process assessment – Part 2: Performing an assessment(include C or 1:2004)
- ISO/IEC 15504-3:2004 Information technology –Process assessment – Part 3: Guidance on performingan assessment
- ISO/IEC 15504-4:2004 Information technology –Process assessment – Part 4: Guidance on use for process improvement and process capabilitydetermination
- ISO/IEC 15504-4: 2004 Information technology –Process assessment – Part 5: An example ProcessAssessment Model
- ISO 13491-2:2005 Banking – Secure cryptographicdevices (retail) – Part 2: Security compliance checklists for devices used in financial transactions
ในปีที่ผ่านมา 2548 ไต้หวันยังได้จัดทำแนวทางสำหรับการสร้างความมั่นคงปลอดภัย สำหรับใช้งานกับหน่วยงานภาครัฐของไต้หวันด้วย ซึ่งประกอบด้วย - แนวทางสำหรับการรายงานและการรับมือกับเหตุการณ์ละเมิดความมั่นคงปลอดภัย - แนวทางสำหรับการกำหนดหน้าที่ความรับผิดชอบท างด้านความ มั่นคงปลอดภัย - แนวทางสำหรับการป้องกันข้อมูลอิเล็กทรอนิกส์ - แนวทางสำหรับการใช้บริการ outsource จากหน่วยงานภายนอก - แนวทางสำหรับการเลือกผลิตภัณฑ์ที่เกี่ยวข้องกับความมั่นคงปลอดภัยนอกจากนี้ไต้หวันยังวางแผนที่จะจัดทำแนวทางสำหรับ การสร้างความมั่นคงปลอดภัยเพิ่มเติมอีกจำนวน11 รายการ ดังนี้ - แนวทางสำหรับการสร้างความมั่นคงปลอดภัยให้กับไฟล์วอลล์ - แนวทางสำหรับการสร้างความมั่นคงปลอดภัย ให้กับ VPN (Virtual Private Network) - แนวทางสำหรับการพิสูจน์ตัวตนทางอิเล็กทรอนิกส์ - แนวทางสำหรับการพัฒนาเว็บแอพพลิเคชัน - แนวทางสำหรับการสร้างความมั่นคงปลอดภัยให้กับอีเมล์ - แนวทางสำหรับการสร้างความมั่นคงปลอดภัย ให้กับIDS/IPS (Intrusion Detection System/Intrusion Prevention System) - แนวทางสำหรับการสร้างความมั่นคงปลอดภัยให้กับระบบปฏิบัติการ - แนวทางสำหรับการแยกระบบที่มีความสำคัญออกมาไว้ต่างหาก - แนวทางสำหรับการรับมือกับเหตุการณ์ที่ไม่คาดหมาย - แนวทางสำหรับการประเมินความเสี่ยงระบบ - แนวทางสำหรับการสร้างความมั่นคงปลอดภัยให้กับเครือข่ายไร้สาย
พัฒนาการที่เกี่ยวข้องกับมาตรฐานการรักษาความมั่นคงปลอดภัยระบบสารสนเทศของประเทศมาเลเซีย ปัจจุบันประเทศมาเลเซียมีบริษัทที่ได้รับการรับรอง โดยUKAS (The United Kingdom Accreditation Service) ให้เป็นหน่วยงานที่สามารถให้การรับรองตามมาตรฐาน ISMS ได้คือบริษัท SIRIM QAS International จำกัด นับเป็นอีกความก้าวหน้าหนึ่งเมื่อเทียบกับประเทศอื่นๆ ซึ่งต้องอาศัยการให้การรับรองโดยบริษัทต่างชาติ อย่างไรก็ตาม ประเทศมาเลเซียมีบริษัทหรือหน่วยงานที่ได้รับการรับรองตามมาตรฐาน ISMS แล้วเป็นจำนวน 7 หน่วยงาน นอกจากนี้ ประเทศมาเลเซียได้ก่อตั้งศูนย์ชื่อว่าMalaysia Cyber Security Center ซึ่งศูนย์ฯดังกล่าว มีอำนาจหน้าที่ในการประสานงานโครงการต่างๆ ของรัฐ เพื่อให้เป็นไปตามมาตรฐานและนโยบายด้านความมั่นคงปลอดภัยที่ออกประกาศหรือกำหนดโดยศูนย์ฯ นี้ วัตถุประสงค์ที่สำคัญประการหนึ่งของการก่อตั้งศูนย์ฯดังกล่าวคือ การสร้างความตระหนักและให้ความรู้ทางด้านความมั่นคงปลอดภัยในการใช้งานระบบคอมพิวเตอร์ และเครือข่ายสำหรับพัฒนาการด้านการจัดทำมาตรฐานด้านความมั่นคงปลอดภัย ISO/IEC ประเทศมาเลเชีย ได้จัดทำแล้วจำนวน 5 มาตรฐาน และกำลังอยู่ในระหว่างการพิจารณาในปี 2549 เพื่อรับเป็นมาตรฐานใช้งานภายในประเทศมาเลเซีย ประกอบด้วย - ISO/IEC 27001:2005 - ISO/IEC TR 18044:2004 - ISO/IEC TR 15443-1:2005 - ISO/IEC TR 15446:2004
พัฒนาการที่เกี่ยวข้องกับมาตรฐานการรักษาความมั่นคงปลอดภัยระบบสารสนเทศของประเทศสาธารณรัฐเกาหลีใต้ ประเทศเกาหลีมีคณะทำงานทางด้านความมั่นคงปลอดภัยชื่อ TTA (Telecommunication Technology Association)หน้าที่หลักประการหนึ่งคือ พัฒนามาตรฐานสำหรับใช้งานภายในประเทศ (Local Standards) ซึ่งนอกจากจะพัฒนาเองแล้ว อาจพิจารณารับเอามาตรฐาน ระดับนานาชาติ (เช่น มาตรฐาน ISO ต่างๆ) เข้ามาใช้งานภายในประเทศโดยตรงปัจจุบันคณะทำงานคณะนี้ได้พัฒนามาตรฐาน สำหรับใช้งานภายในประเทศไปแล้วกว่า 30 มาตรฐานหนึ่งในมาตรฐานดังกล่าว คือ มาตรฐาน KISA ISMS เป็นมาตรฐาน ที่คล้ายกับ ISMS เวอร์ชั่นสากลแต่เป็นมาตรฐานที่เกาหลีพัฒนาขึ้นมา สำหรับใช้งานภายในประเทศของตน รวมทั้ง มีการตรวจประเมิน และออกใบรับรองตามมาตรฐานดังกล่าวให้ด้วยวงจรการทำงานของมาตรฐานนี้จะมี ความใกล้เคียงกับวงจร PDCA (Plan-Do-Check-Act) ของมาตรฐานสากล ปัจจุบันมีหน่วยงานที่ได้รับใบรับรองจากองค์กรดังกล่าวไปแล้วกว่า 36 หน่วยงานในการประชุมของสมาชิกในครั้งนี้ ประเทศสาธารณรัฐ เกาหลีใต้เสนอที่จะแปล KISA ISMS ซึ่งเป็นภาษาเกาหลีให้เป็นภาษาอังกฤษเพื่อให้ประเทศในภูมิภาคและสมาชิกของ RAISS (Regional Asia Pacific Information and Security Standards) สามารถนำไปใช้ประโยชน์ได้ต่อไป
พัฒนาการที่เกี่ยวข้องกับมาตรฐานการรักษาความมั่นคงปลอดภัยระบบสารสนเทศของประเทศไทย สำหรับพัฒนาการด้านมาตรฐานการรักษาความมั่นคงปลอดภัยในส่วนของประเทศไทยนั้นสรุปเป็นภารกิจหลักๆได้ดังนี้ หลังจากที่ได้มีการประกาศใช้พระราชบัญญัติว่าด้วยการประกอบธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544 หน่วยงานที่เกี่ยวข้องได้พิจารณาแต่งตั้ง คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ขึ้น และได้มีคณะอนุกรรม การย่อยในการดำเนินงานด้านต่างๆ อีก 5 ด้านคณะอนุกรรมการด้านความมั่นคง เป็นหนึ่งในคณะ ทำงานภายใต้ คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์และในปีงบประมาณที่ผ่านมาได้จัดทำภารกิจสำคัญๆ ดังนี้ได้จัดประชุมองค์กรที่มีภารกิจเกี่ยวพันกับการให้บริการโครงสร้างพื้นฐานของประเทศ ดังนั้นเมื่อประมาณ ต้นปี 2549 และจากการประชุมซึ่งได้รับการตอบรับเป็นอย่างดีจากองค์กรที่ได้รับเชิญ อาทิ การไฟฟ้านครหลวง การประปานครหลวง บริษัท ปตท. จำกัด (มหาชน) หรือ ปตท.และหน่วยงานราชการที่สำคัญๆ เป็นต้น ผลจากการประชุมทำให้เกิดกิจกรรมที่ตามมาคือ มีการจัดตั้งเป็นกลุ่มองค์กรที่ให้ความสำคัญกับเรื่องของความมั่นคงปลอดภัย เพื่อพัฒนาและยกระดับองค์กรให้มีความมั่นคงปลอดภัยขึ้นโดยอาศัยความร่วมมือและการแบ่งปันข้อมูลซึ่งกันและกันอีกทั้งยังได้มีการตกลงกันในที่ประชุมให้มีหน่วยงานเจ้าภาพ(ปตท.) ในการจัดประชุมครั้งต่อๆ ไปด้วย ในด้านของการที่จะยกระดับความมั่นคงปลอดภัยให้เกิดกับองค์กรต่างๆ โดยเฉพาะอย่างยิ่งองค์กรภาครัฐนั้นเป็นเรื่องที่ต้องริเริ่มจากการให้ความสำคัญของระดับผู้บริหารดังนั้น คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ที่ส่งเสริมด้านความมั่นคง จึงเล็งเห็นว่าประเทศไทยมีความจำเป็นที่จะต้องกำหนดกฎเกณฑ์ ระเบียบปฏิบัติ หรือกฎหมายเพื่อเป็นแนวผลักดันให้หลายๆ องค์กรที่สำคัญให้ความเอาใจใส่ต่อประเด็นนี้สำหรับความคืบหน้าอื่นๆ คณะอนุกรรมการด้านกฎหมายซึ่งอยู่ภายใต้คณะกรรมการธุรกรรมชุดนี้ได้จัดทำร่างกฎหมาย E-document Law/Regulation, E-PaymentLaw/Regulation ขึ้นและกำลังอยู่ในระหว่างการขอความเห็นจากผู้ที่มีส่วนเกี่ยวข้องเพื่อกฎหมายที่ออกมาจะได้ใช้บังคับได้อย่างมีประสิทธิภาพและประสิทธิผลคู่มือการรักษาความมั่นคงปลอดภัยฯ (พ.ศ. 2549 – 2551) ของ กระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เป็นเอกสารที่จัดทำขึ้นเพื่อประกอบโครงการจัดทำแผนแม่บทการรักษาความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ ซึ่งได้กำหนดแนวทางไว้เป็นกรอบและเป็นแผนที่นำทางในระดับกลยุทธ์ เพื่อยกระดับมาตรฐานการรักษาความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศของประเทศ ให้อยู่ในระดับมาตรฐานสากล โดยอ้างอิงจากกรอบมาตรฐานสากล ISO/IEC 27001 อีกทั้งต้องการลดผลกระทบจากเหตุ ตลอดจนการฟื้นฟูระบบอย่างรวดเร็วหลังจากการโจมตีสิ้นสุดลงแล้วร่างแผนแม่บทความมั่นคงปลอดภัยด้านไอซีทีแห่งชาติฯ จะช่วยจัดตั้งรูปแบบและลำดับความสำคัญในบริบทของ ความมั่นคงปลอดภัยด้านไอซีทีเมื่อคำนึงถึงสถานการณ์ปัจจุบันและการวิเคราะห์ความเสี่ยงที่เกี่ยวข้องทั้งหลาย ทั้งที่จะเกิดต่อภาคประชาชน ภาคเอกชนและภาครัฐบาล หลังจากที่ประกาศใช้แผนแม่บท แล้วต้องการที่จะจัดให้มีกรอบการทำงานและเครื่องมือที่จำเป็นอย่างพอเพียง เพื่อที่จะสนับสนุนกิจกรรมต่างๆ ที่จะเกิดขึ้นของแผนฏิบัติการความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศในระดับองค์กร ต่อไป
บทสรุป จากที่กล่าวมาทั้งหมดเป็นพัฒนาการมาตรฐานด้านความมั่นคงปลอดภัยของประเทศในแถบภูมิภาคเอเชีย แปซิฟิกเป็นหลัก และมีกลุ่มความร่วมมือที่ชื่อว่า RAISSซึ่งในเวทีความร่วมมือนี้ประเทศไทยโดยโครงการเทคโนโลยีสารสนเทศเพื่อความมั่นคง ซึ่งเป็นหน่วยงานภายใต้ศูนย์เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติ หรือเนคเทคได้เล็งเห็นความสำคัญของกลุ่มความร่วมมือดังกล่าว จึงได้ส่งตัวแทนเข้าร่วมการประชุม และผลจากการร่วมงานกันทำให้โครงการฯ ได้นำเสนอ Paper เพื่อเป็นแนวทางใช้งานของเจ้าหน้าที่ที่มีหน้าที่ดูแลระบบและเครือข่ายให้เป็นแนวทางที่จะปฏิบัติงานได้อย่างมั่นคงปลอดภัยโดยใช้กรอบแนวคิดในด้านมาตรการรักษาความมั่นคงปลอดภัยของ ISO 27001 และ ISO 17799-2005 มาผนวกเป็นแนวทางหรือคู่มือการปฏิบัติงานประจำวันของผู้ดูแลระบบ
เอกสารอ้างอิง
- //www.mict.go.th/
- //www.nectec.or.th/ · Ted Humphreys, XISEC Consultants Ltd., 2000-2006. · Regional Asia Information Security Standards Forum, 22 April,2006, South Korea, Forum Proceedings(Volume 3)