ACinfotec: Live Talk “Going beyond PDPA compliance, preparing for daily privacy operations” Ep.2
5. How to make sure that all employees who touch personal data on daily basis [...]
ACinfotec : Live Talk “Going beyond PDPA compliance, preparing for daily privacy operations” Ep.1
เมื่อวันที่ 21 เมษายน 2564 ACinfotec ได้จัดกิจกรรม ACinfotec: Live Talk ในหัวข้อ “Going beyond PDPA compliance, preparing [...]
เกาะเทรนด์ IT Certificate 2021 เตรียมพร้อมรับมือกับยุค New Normal
ด้วยสถานการณ์การแข่งขันที่สูงขึ้นในทุกธุรกิจ โดยเฉพาะอย่างยิ่งสายวิชาชีพ IT ซึ่งถูก Disrupt จากเทคโนโลยีและ New Business Model ทำให้ทุกคน ทุกองค์กร ให้ความสำคัญในการ Up-Skill & Re-Skill [...]
เตรียมพร้อมรับมือ PDPA ด้วยบริการที่ปรึกษาและโซลูชันส์ที่ใช่
บทนำ ในยุคสมัยที่ข้อมูลได้ถูกนำมาเครื่องมือในการพัฒนาหลายสิ่งหลายอย่าง ไม่ว่าจะเป็นด้านการขายและการตลาด (Sales and Marketing), ด้านอุปกรณ์และเครื่องมือที่ทำงานแบบอัตโนมัติ (Automation) หรือแม้กระทั้งปัญญาประดิษฐ์ (A.I.) ดังนั้นจึงปฏิเสธไม่ได้เลยว่าข้อมูลจัดเป็นสินทรัพย์ที่มีค่าและส่งผลต่อการขับเคลื่อนเทคโนโลยีและเศรษฐกิจของโลกอย่างแท้จริง ดังนั้นการบริหารจัดการข้อมูลที่ดีจึงเป็นสิ่งสำคัญและจำเป็นอย่างมากที่ทุกภาคส่วนต้องนำมาพิจารณาและปฏิบัติ เมื่อข้อมูลมีความหลากหลายและซับซ้อนมากขึ้น ทั้งยังถูกนำไปใช้ในวัตถุประสงค์ที่แตกต่างกันออกไปในแต่ละส่วนงาน จึงมีความต้องการด้านการบริหารจัดการที่มีประสิทธิภาพและความปลอดภัยในด้านการจัดเก็บ [...]
ความสัมพันธ์ระหว่าง พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 GDPR และ ISO 27701
*บทความนี้ถูกเขียนในวันที่ 5 มิถุนายน 2563 บทนำ หลายท่านอาจได้ยินเกี่ยวกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562, General Data Protection Regulation (GDPR) [...]
ISO 27701 (Privacy Information Management) Requirements and Guidelines
ISO 27701 เป็นส่วนเพิ่มเสริม (Extension) มาจากมาตรฐาน ISO 27001 ที่เกี่ยวกับระบบบริหารจัดการความมั่นคงปลอดภัยสำหรับสารสนเทศ (ISMS) และ ISO 27002 แนวทางการจัดการความมั่นคงปลอดภัยสำหรับสารสนเทศ แต่สำหรับ ISO [...]
ISO/IEC 27017:2015 แนวปฏิบัติมาตรการควบคุมด้านความมั่นคงปลอดภัยบนบริการคลาวด์ (Information technology –Security techniques – Code of practice for information security controls Based on ISO/IEC 27002 for cloud services)
บทนำ ด้วยวิวัฒนาการทางด้านระบบคอมพิวเตอร์ ทำให้ในปัจจุบันการใช้บริการคลาวด์ (cloud service) มีจำนวนเพิ่มมากขึ้น เมื่อมีความต้องการใช้งานเพิ่มขึ้น ก็ส่งผลให้เกิดมีผู้ให้บริการ (cloud service providers) หลายรายในประเทศไทย โดยส่วนใหญ่ ผู้ให้บริการเหล่านั้นมีการวางมาตรการควบคุมด้านความมั่นคงปลอดภัยสารสนเทศ แตกต่างกันออกไป [...]
สรุปใจความสำคัญของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ที่ผู้ประกอบการควรรู้
นอกจาก พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 หรือที่เราเรียกกันสั้น ๆ ว่า “พ.ร.บ. ไซเบอร์” จะมีผลบังคับใช้แล้ว เมื่อวันที่ 28 พฤษภาคม ที่ผ่านมา [...]
องค์กรต้องปรับตัวอย่างไร เมื่อ พ.ร.บ. ไซเบอร์ 2562 ประกาศใช้แล้ว
คงปฏิเสธไม่ได้ว่า ในปัจจุบัน เทคโนโลยีดิจิทัลคือส่วนหนึ่งของชีวิตประจำวันของคนเรา ทั้งในเรื่องการทำงานและเรื่องส่วนตัว มีคนจำนวนไม่น้อยใช้เวลาท่องอยู่ในโลกออนไลน์มากกว่าในโลกจริงอีกด้วย เพราะการอยู่ในโลกออนไลน์ ไม่จำเป็นต้องใช้ “ข้อมูลจริง” เหมือนโลกที่เราใช้ชีวิตจริง จึงมีคนส่วนหนึ่งอาศัยโลกออนไลน์เป็นสถานที่ทำสิ่งผิดกฎหมายโดยไม่เปิดเผยตัวตนที่แท้จริง และนำความเดือดร้อนมาสู่สังคม ด้วยเหตุนี้ ประเทศต่าง ๆ จึงต้องมีกฎหมายไซเบอร์เพื่อรักษาความสงบเรียบร้อยของสังคมโดยรวมนั่นเอง [...]
การวิเคราะห์ผลกระทบทางธุรกิจ (Business Impact Analysis หรือ BIA) และการประเมินความเสี่ยง (Risk Assessment หรือ RA)
บทนำ หากเกิดเหตุภัยพิบัติส่งผลให้ธุรกิจหยุดชะงัก ไม่สามารถส่งมอบผลิตภัณฑ์และบริการให้ลูกค้าได้ หัวหน้าได้มอบหมายให้คุณกู้ระบบกลับคืนมาหลังเกิดเหตุ คุณจะทราบได้อย่างไรว่า คุณจะต้องดำเนินการกู้คืนอะไรบ้าง และต้องกู้คืนอะไรก่อนและหลังเพื่อให้ธุรกิจสามารถดำเนินงานต่อไปได้อย่างต่อเนื่อง การวิเคราะห์ผลกระทบทางธุรกิจและการประเมินความเสี่ยงมีความสำคัญอย่างไร ทำไมองค์กรที่จัดทำการบริหารความต่อเนื่องทางธุรกิจ (Business Continuity Management หรือ BCM) ต้องทำกิจกรรมนี้ สามารถติดตามได้จากบทความนี้ การวิเคราะห์ผลกระทบทางธุรกิจ (Business [...]
Review DEF CON China 1.0
จบกันไปแล้ว สำหรับงานconference ขวัญใจ hacker ทั้งหลาย กับงาน DEF CON China 1.0เมื่อวันที่ 30พฤษภาคม – 2 มิถุนายน 2562 [...]
DEF CON China 1.0 Badge Hacking
เมื่อวันที่ 31 พฤษภาคม 2562 ทางทีมงานได้มีโอกาสไปร่วมงาน DEF CON China 1.0 งาน DEF CON China 1.0 เป็นงานที่ถูกจัดขึ้นที่ประเทศจีนเป็นครั้งที่สอง [...]
มาตรฐาน ISO/IEC 20000 version 2018 : ระบบบริหารจัดการงานบริการสำหรับบริษัทยุคใหม่
บทนำ มาตรฐานสำหรับการบริหารจัดการงานบริการ หรือ ISO/IEC 20000 ได้รับการปรับปรุงเป็นครั้งที่ 2 และประกาศใช้งานเมื่อวันที่ 15 กันยายน ค.ศ. 2018 ที่ผ่านมา ในมาตรฐานการบริหารจัดการงานบริการ เวอร์ชันใหม่นี้ ได้ถูกแก้ไขปรับปรุงให้สอดคล้องกับระบบงานเทคโนโลยีสารสนเทศในปัจจุบัน และมุ่งเน้นเรื่องการบริหารจัดการและการรับประกันคุณภาพงานบริการมากยิ่งขึ้น ในขณะที่ลดทอนกระบวนการและขั้นตอนการปฏิบัติงานให้น้อยลง และทำให้สามารถนำมาตรฐานนี้ไปใช้งานกับองค์กรได้หลากหลายประเภท [...]
WHAT IS NEW IN ITIL 4 ??
What is ITIL? The ITIL (Information Technology Infrastructure Library) is a framework designed to standardize [...]
Guideline for Security Risk Evaluation of Cloud Services
When it comes to a question which one is better ‘in case of using cloud, [...]
ACinfotec แนะนำงาน Blackhat USA 2018
หลังจาก BSides งานถัดมาก็คืองาน Blackhat USA (BHUSA) นั่นเอง โดยรอบนี้เรามีเวลาไม่นานนักเลยเลือกที่จะไม่ฟัง Briefing จึงตัดสินใจซื้อ Business Pass ซึ่งราคา Early Bird [...]
ACinfotec แนะนำงาน BSidesLV 2018
ในช่วงหน้าร้อนของ USA นี้จะมีงาน Security Conference ใหญ่ 3 งานจัดติดๆ กันจนเค้าเรียกกันว่าเป็น Hacker Summer Camp ซึ่งประกอบไปด้วย BSidesLV, Blackhat [...]
ACinfotec พาเที่ยวงาน RSA Conference 2018 ณ Moscone Center ซานฟรานซิสโก – ep3
Top 10 สิ่งที่ควรรู้เกี่ยวกับ GDPR และโบนัส!! สิ่งที่ลงมือทำได้ก่อนถึงกำหนดบังคับใช้ในวันที่ 25 May 2018 มาต่อกันที่ตอนที่ 3 ของ Series ACinfotec พาเที่ยวงาน [...]
ACinfotec พาเที่ยวงาน RSA Conference 2018 ณ Moscone Center ซานฟรานซิสโก – ep2 Opening Keynote
Opening Keynote ของงาน RSAC 2018 บรรยายโดย Rohit Ghai, President ของ RSA เจ้าภาพของงาน การบรรยายโดยรวมดีมาก เน้นการกระตุ้น (Ignite) [...]
ACinfotec พาเที่ยวงาน RSA Conference 2018 ณ Moscone Center ซานฟรานซิสโก – ep1 แนะนำภาพรวมของงาน
เริ่มต้นขึ้นแล้วสำหรับงาน RSA Conference หรือ RSAC ประจำปี 2018 ซึ่งเป็น Security Conference ที่ใหญ่ที่สุดในโลก (ปีที่แล้วมีผู้เข้าร่วมงานกว่า 47,000 คน) โดยในปีนี้จัดขึ้นในวันที่ [...]
จับกุมผู้นำ Carbanak อาชญากรผู้ปล้นธนาคารไปกว่า 1 พันล้านยูโรด้วยการ Phishing
การจับกุมหนึ่งในผู้นำกลุ่มอาชญากรรมไซเบอร์ Carbanak เป็นข่าวดังที่สร้างชื่อเสียงให้แก่ Europol (The European Union Agency for Law Enforcement Cooperation) โดยผู้ถูกจับกุมเป็นชาวรัสเซีย-ยูเครน ถูกจับกุมที่ประเทศสเปน หลังจากที่กลุ่ม [...]
ด่วน!! วิธีป้องกัน WannaCry Ransomware
สุดสัปดาห์ที่ผ่านมาเกิดการโจมตีครั้งรุนแรงระดับโลกโดย WannaCry Ransomware Worm (WannaCry, WCry หรือ Wanna Decryptor) ซึ่งจัดเป็น Ransomware Worm ตัวแรกของโลก โดยถึงขณะนี้ได้มีการแพร่ระบาดในกว่า 74 [...]
CISSP CISA CISM: วิเคราะห์เจาะลึก แบบ cert ชน cert แวดวงประกันภัยและผู้สนใจสอบควรอ่าน!!
หลังจากที่ทาง คปภ. ออกประกาศฉบับใหม่เรื่อง “หลักเกณฑ์ วิธีการออกกรมธรรม์ประกันภัย การเสนอขายกรมธรรม์ประกันภัย และการชดใช้เงิน หรือค่าสินไหมทดแทนตามสัญญาประกันภัย โดยใช้วิธีการทางอิเล็กทรอนิกส์ พ.ศ. 2560” โดยบริษัทประกันจะต้องผ่านการตรวจประเมินด้านความมั่นคงปลอดภัยของระบบสารสนเทศ (Information Security/ Cyber [...]
How to integrate ISO/IEC 27032 Cybersecurity on ISMS?
Definition of Cybersecurity Cybersecurity often is used as a buzzword everybody is talking about these [...]
มาทำความรู้จักกับ Blockchain กัน
บล็อกเชน (Blockchain) ในปัจจุบันนั้นเทคโนโลยีของการเงินการธนาคาร (Fintech หรือ Financial technology) นั้นได้มีการพัฒนาและมีการปรับตัวเข้าสู่ยุคดิจิตอลมากขึ้นเรื่อยๆ ซึ่งเราจะเห็นได้จากปริมาณของการทำธุรกรรมการเงินออน์ไลน์ ที่มีปริมาณเพิ่มมากขึ้นแบบก้าวกระโดด จนธนาคารและสถาบันการเงินต่างๆ เริ่มที่จะมีการปรับตัว ของการทำธุรกรรมในรูปแบบใหม่ๆ ในการให้บริการทางการเงินบนโลกออนไลน์ เพื่อให้มีความรวดเร็ว [...]
ว่าด้วยเรื่องของ PCI DSS เวอร์ชั่น 3.2 มีอะไรใหม่บ้าง?
PCI DSS เวอร์ชั่น 3.2 มีอะไรใหม่บ้าง หลาย ๆ ท่านที่อยู่ในวงการความปลอดภัยข้อมูลสารสนเทศ หรือแม้แต่อยู่ในวงการเงินการธนาคารเอง คงจะทราบถึงหรือรู้จักเจ้ามาตรฐาน Payment Card Industry Data Security [...]
การให้บริการของ Cloud Provider มั่นใจได้จริงหรือ?
การให้บริการของ Cloud Provider มั่นใจได้จริงหรือ? ข้อมูลและความเป็นส่วนตัวของเราบน Cloud ยังคงปลอดภัยและเป็นส่วนตัวอยู่หรือไม่? ในยุคนี้ บริการคลาวด์มาแรงและมีบทบาทต่อวิถีชีวิตของเราอย่างมาก ทุกๆ ท่านซึ่งทำงาน หาข้อมูลความรู้ หาข้อมูลบันเทิง และอื่นๆ ผ่าน [...]
WHAT IS ISO 20022?
ISO 20022 คืออะไร ISO 20022 Financial Services - Universal financial industry message scheme คือมาตรฐานข้อความที่ใช้สื่อสารในอุตสากรรมการเงินสากล เช่น [...]
Can ISO 27001 help protect your organization from cyber attack? – A Hacker’s view on ISO 27001 standard
สำหรับหลายๆ คนที่ทำงานทางด้าน Security ที่เน้นแต่ด้าน Technical เป็นหลักนั้นอาจจะไม่ค่อยรู้จักและไม่ค่อยศรัทธาในมาตรฐาน ISO 27001 หรือ Information Security Management System มากนัก เนื่องจากมาตรฐาน [...]
IRCA VS PECB who will win the fight on ISO 27001 arena ?
แนะนำประกาศนียบัตรมาตรฐาน ISO 27001 ของค่าย IRCA และ PECB ตัวไหนเหมาะกับคุณ? และทำความรู้จักกับประกาศนียบัตรขั้นสูงสุดของทั้งสองค่าย IRCA Principal Auditor และ PECB Master ค่าย IRCA [...]
ทำความรู้จักกับ Scenario-based Risk Assessment เหมาะหรือไม่กับองค์กรของท่าน
การประเมินและบริหารความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ เป็นกระบวนการที่สำคัญที่องค์กรทุกระดับพึงจัดให้มีขึ้น เพื่อปกป้องธุรกิจและสร้างความสอดคล้องกับกฎหมาย รวมถึงเป็นกระบวนการพื้นฐานที่มาตรฐานสากลต่างๆ กำหนดให้มีการปฏิบัติใช้ภายในองค์กร เช่น ISO 27001, ISO 20000, ISO22301 เป็นต้น โดยวิธีการประเมินความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศที่นิยมใช้งานอย่างแพร่หลายในองค์กรต่างๆ ที่ Implement [...]
การตรวจสอบ Heartbleed Bug ในองค์กร
ช่วงที่ผ่านมา หลายๆท่านน่าจะคุ้นเคย หรือ ได้ยินข่าวที่เกี่ยวข้องกับช่องโหว่ ชื่อดังที่ชื่อว่า Heartbleed bug โดยมี บทความ และ สำนักข่าวหลายๆแห่ง จัดให้ว่าเป็นช่องโหว่ระดับโลก ที่รุนแรงมากที่เคยปรากฏมาตั้งแต่ ยุคที่มีอินเตอร์เน็ต ช่องโหว่ที่ชื่อว่า [...]
ISO 27001:2013 (New Version) มาตรฐานการรักษาความมั่นคงปลอดภัยสารสนเทศ (ฉบับใหม่ ปี 2013)
Say “Good bye” to ISO 27001:2005 and welcome ISO 27001:2013! เมื่อวันที่ 25 กันยายน 2556 ที่ผ่านมา [...]
ACinfotec conducts the first official TIPA assessment in South East Asia
ACinfotec conducted its very first TIPA assessment in South East Asia for the Stock Exchange [...]
Difference between PECB and IRCA
Overview The Professional Evaluation and Certification Board (PECB)(www.pecb.com) is a personnel certification body for various [...]
Business Continuity Management
Business Continuity Management: the time has come for developing/improving business continuity plan & process [...]
ISO 22301 มาตรฐานสากล สำหรับการบริหารจัดการความต่อเนื่องในการดำเนินธุรกิจ (BCMS)
ISO 22301 มาตรฐานสากล ใหม่ล่าสุด สำหรับการบริหารจัดการความต่อเนื่องในการดำเนินธุรกิจ (BCMS) เมื่อวันที่ 15 พฤษภาคม 2555 ที่ผ่านมา International Organization for Standardization [...]
บทวิเคราะห์ พรฎ. ว่าด้วยวิธีการแบบปลอดภัยในการทำธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2553
บทวิเคราะห์ พรฎ. ว่าด้วยวิธีการแบบปลอดภัยในการทำธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2553 ประกาศในราชกิจจานุเบกษาวันที่ 3 กันยายน 2553 ใช้บังคับเมื่อพ้นกำหนด 180 วันนับจากวันที่ประกาศ หรือนับตั้งแต่วันที่ 1 มีนาคม [...]
ISO 20000: มาตรฐานงานบริการด้าน IT สำหรับองค์กรในโลกยุคดิจิตอล [ Part III ]
หลังจากที่ได้ทำความรู้จักกับกระบวนการในกลุ่ม Service Delivery ไปในบทความตอนที่แล้ว ในบทความตอนสุดท้ายนี้จะกล่าวถึงกระบวนการที่เหลือทั้งหมด ซึ่งเมื่อนำมาปฏิบัติอย่างครบถ้วนแล้ว การให้บริการด้าน IT ขององค์กรก็ย่อมจะมีประสิทธิภาพ และสร้างความพึงพอใจให้แก่ผู้ใช้บริการ ซึ่งสอดคล้องตามวัตถุประสงค์ของมาตรฐาน ISO 20000 นั่นเอง 2. กลุ่ม Control Processes 2.1 Configuration Management ตามข้อกำหนดของ ISO 20000 นั้น [...]
ISO 20000: มาตรฐานงานบริการด้าน IT สำหรับองค์กรในโลกยุคดิจิตอล [ Part II ]
บทความในตอนที่ผ่านมาได้อธิบายถึงรายละเอียดเบื้องต้นของมาตรฐานสากล ISO 20000 ซึ่งเป็นมาตรฐานเกี่ยวกับระบบบริหารบริการ IT ซึ่งกระบวนการพื้นฐานนั้นสามารถแบ่งออกได้เป็น 5 กลุ่มดังที่ได้กล่าวไปแล้ว ในบทความตอนนี้จะเป็นการให้รายละเอียดเกี่ยวกับกระบวนการพื้นฐานในกลุ่มแรก ได้แก่ กลุ่ม Service Delivery Processes 1. กลุ่ม Service Delivery Processes 1.1 Service Level [...]
ISO 20000: มาตรฐานงานบริการด้าน IT สำหรับองค์กรในโลกยุคดิจิตอล [ Part I ]
องค์กรที่ประสบความสำเร็จในโลกยุคดิจิตอลนี้ ทุกแห่งต่างก็มีระบบเทคโนโลยีสารสนเทศ (IT System) ที่มีประสิทธิภาพรองรับ และสนับสนุนการดำเนินธุรกิจอยู่ ซึ่งถือเป็นปัจจัยสำคัญที่ไม่มีผู้ใดสามารถปฏิเสธได้ ดังนั้น คำถามที่มักจะได้ยินกันอยู่บ่อยๆ ก็คือ การให้บริการด้าน IT (IT Services) ขององค์กรเหล่านั้นได้รับการบริหารจัดการอย่างไร ที่ผ่านมา การบริหารบริการ IT (IT Service Management) ของแต่ละองค์กรมักจะขึ้นอยู่กับ IT [...]
แนวปฏิบัติและการตีความ : ประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ. 2550 (ตอนจบ)
ในบทความสองตอนที่แล้วนั้น ได้มีการตีความ “ประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ. 2550” ทั้งในส่วนเนื้อหา และภาคผนวกไปแล้ว ดังนั้น บทความในตอนสุดท้ายนี้จึงเป็นการยกตัวอย่างกรณีศึกษา เพื่อความเข้าใจที่ดียิ่งขึ้น กรณีศึกษา (Case Study) Question: กรณีที่องค์กรมีขนาดเล็กมาก เช่น มีเครื่อง PC ไม่กี่เครื่อง ต่ออินเทอร์เน็ตแบบ ADSL และมีผู้ใช้งาน Share กันใช้เครื่อง PC เพื่อเข้าสู่อินเทอร์เน็ต [...]
แนวปฏิบัติและการตีความ : ประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ. 2550 (ตอนที่ 2)
นอกจากส่วนเนื้อหาของประกาศฯ เรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ. 2550 แล้ว ประกาศฯ ฉบับนี้ยังมีส่วนของภาคผนวกแนบท้ายที่มีความสำคัญอีกด้วย ภาคผนวก ก แนบท้ายประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ. [...]
แนวปฏิบัติและการตีความ : ประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ. 2550 (ตอนที่ 1)
บทนำ เอกสารนี้จัดทำขึ้นเพื่อเผยแพร่และให้ความรู้แก่องค์กรต่างๆ ที่ต้องจัดเก็บข้อมูลจราจรทางคอมพิวเตอร์ตามข้อกำหนดของกฎหมาย เพื่อให้การจัดเก็บนั้นทำได้อย่างถูกต้องครบถ้วน ประหยัดค่าใช้จ่าย และมีประสิทธิภาพ เนื้อหาของเอกสารนี้มีรากฐานมาจากการตีความกฎหมายและการทำงานจริงของที่ปรึกษาของเอซีอินโฟเทค กรณีที่เกิดข้อโต้แย้งหรือความไม่แน่ใจ องค์กรควรยึดถือข้อกฎหมายเป็นหลัก แนวปฏิบัติและการตีความ ข้อ 1 ชื่อของประกาศ ข้อ 2 วันบังคับใช้ ข้อ 3 รัฐมนตรีรักษาการ ข้อ 4 คำจำกัดความ “ผู้ให้บริการ” หมายความว่า [...]
Overview of ISO 27001 and ISO 27002: The International Standards for Information Security Management [ Part III ]
ในบทความตอนสุดท้ายนี้มีเนื้อหากล่าวถึงการออกใบรับรอง ทั้งในแง่การรับรองความมีมาตรฐานขององค์กร และในแง่การรับรองความรู้ ความสามารถของบุคคล รวมถึง แนวโน้มการประยุกต์ใช้มาตรฐาน ISO 27001 ทั้งในประเทศไทย และทั่วโลก การออกใบรับรอง (Certification) ในแง่ขององค์กร (Organization Certification) การออกใบรับรอง (Certification) เป็นวิธีหนึ่งที่จะสามารถรับรองได้ว่าองค์กรมีระบบบริหารความมั่นคงของข้อมูล (ISMS) ที่มีประสิทธิภาพ [...]
Overview of ISO 27001 and ISO 27002: The International Standards for Information Security Management [ Part II ]
จากบทความในตอนที่แล้ว ซึ่งได้กล่าวถึงประวัติความเป็นมาของ ISO 27001 และ ISO 27002 นั้น ในบทความตอนนี้จะเป็นการกล่าวถึงเนื้อหาของมาตรฐาน โดยมีรายละเอียดดังนี้ 11 หมวดหลักของมาตรฐาน ISO 27001 และ ISO 27002 หัวข้อต่อไปนี้คือ 11 หมวดหลักที่ครอบคลุมโดยมาตรฐาน ISO 27001 และ ISO 27002 1. Security [...]
Overview of ISO 27001 and ISO 27002: The International Standards for Information Security Management [ Part I ]
ISO 27001 และ ISO 27002 คือ มาตรฐานสากลด้านการบริหารความมั่นคงของข้อมูล ซึ่งเน้นความสำคัญที่ “ระบบการบริหารจัดการ” (Management System) โดยมีข้อกำหนดต่างๆ ที่องค์กรพึงปฏิบัติในการรักษาความมั่นคงของข้อมูล เพื่อปกป้องข้อมูล กระบวนการทางธุรกิจ และทรัพย์สินด้านสารสนเทศที่สำคัญให้พ้นจากภัยคุกคาม และความเสี่ยงในรูปแบบต่างๆ รวมถึงกำหนดให้มีการจัดทำแผนรับมือเหตุฉุกเฉินที่อาจเกิดขึ้น เพื่อลดความสูญเสีย และคงไว้ซึ่งความสามารถในการดำเนินธุรกิจได้อย่างต่อเนื่อง ในปัจจุบัน [...]
การควบคุมความมั่นคงของข้อมูล และการวัดประสิทธิผลตามข้อกำหนดของมาตรฐาน ISO 27001
ดังที่ทราบโดยทั่วกันว่า “ข้อมูล” (Information) ที่มีความถูกต้อง และสามารถใช้ในการติดต่อสื่อสารได้อย่างรวดเร็วนั้น คือหัวใจสำคัญของการดำเนินธุรกิจในปัจจุบัน องค์กรทั้งขนาดใหญ่ และขนาดย่อมต่างก็มีข้อมูลเป็นทรัพย์สินของตนเอง และถือได้ว่าเป็นทรัพย์สินที่มีค่ามากที่สุดสำหรับองค์กร เนื่องจากทรัพย์สินประเภทอื่น เช่น อาคารสถานที่ อุปกรณ์ บุคลากร โดยทั่วไปสามารถจัดซื้อ [...]
การอนุวัติ CMMI ในอุตสาหกรรมซอฟต์แวร์
เขตอุตสาหกรรมซอฟต์แวร์แห่งประเทศไทย หรือซอฟต์แวร์พาร์ค มีความสนใจในการส่งเสริมให้บริษัทซอฟต์แวร์ และหน่วยงานที่ทำหน้าที่พัฒนาซอฟต์แวร์นำเอากรอบการทำงาน (Framework) ที่เรียกว่า “Capability Maturity Model Integration” หรือ “CMMI” มาใช้ในการปรับปรุงการดำเนินงานของตนมาเป็นเวลากว่าแปดปีแล้ว โดยเริ่มตั้งแต่นำผู้เชี่ยวชาญจากสถาบันวิศวกรรมซอฟต์แวร์ (Software [...]
Risk Management : The key process for ISO 27001 implementation
Risk Management (การบริหารจัดการความเสี่ยง) กระบวนการในการบริหารจัดการความเสี่ยง จะประกอบด้วย 2 ส่วนหลักๆ คือ Risk Assessment (การประเมินความเสี่ยง) Risk Treatment (การควบคุม / [...]