เรียนรู้โมเดลในการบริหารจัดการระบบรักษาความปลอดภัยข้อมูลอย่างเป็นระบบและมีประสิทธิภาพ (รุ่นที่สอง) ตอนที่ 3 Information Security Management Framework (ISMF) Version 2 : "Do" Part
by A.Pinya Hom-anek,
GCFW, CISSP, CISA, (ISC)2 Asian Advisory Board
President, ACIS Professional Center
E-mail:




รูปที่ 1


จากบทความในสองตอนที่แล้วนั้นทำให้เราทราบว่าโมเดล ISMF Version 2 นั้นประกอบไปด้วย 4 งานหลัก (Plan, Do, Check, Act ) (ดูรูปที่ 1) และ แต่ละงานหลักมี 4 งานย่อย (รูปทรงกราฟวงกลมที่อยู่ถัดจากชื่องานหลัก) รวมทั้งหมด 16 งานย่อยซึ่งแต่ละงานย่อยนั้นก็จะมีเนื้องานที่แตกต่างกันออกไป สำหรับบทความในครั้งนี้จะอธิบายถึงงานต่างๆที่อยู่ใน ส่วนที่ 2 (Do) ได้แก่ การนำแผนที่วางไว้มาปฏิบัติ ซึ่งเป็นงานหลักที่ต้องทำต่อจาก ส่วนที่ 1 (Plan) คือ ส่วนของการวางแผนด้านการรักษาความปลอดภัยของข้อมูล (Plan)

สำหรับ งานย่อยในส่วนของการนำแผนที่วางไว้มาปฏิบัติ (Do) ดูรูปที่ 2 ถึงแม้ว่าจะมีการวางแผนอย่างดีเพียงใด แต่หากปราศจากการดำเนินการปฏิบัติจริงอย่างเหมาะสมแล้ว โครงการคงไม่สามารถประสบความสำเร็จได้ ดังนั้นในขั้นตอนนี้จึงมีการนำผลลัพท์จากขั้นตอนที่ผ่านมาคือ Information Security Master Plan มาใช้เป็นแนวทางปฏิบัติ โดยแบ่งเป็นการทำงานในเชิงเทคนิค และ เชิงนโยบายรวมทั้งสิ้น 4 งานย่อยดังนี้
  1. Hardening หมายถึง การปิดช่องโหว่ของระบบทั้ง 3 ด้าน คือ Hardening People, Process และ Technology
  2. Defense In-Depth หมายถึง การสร้างความปลอดภัยให้แก่ระบบแบบหลายระดับ ไม่ว่าจะเป็น DMZ, Network Gateway รวมไปถึง Host และ Application
  3. Information Security Policy Development หมายถึง การพัฒนานโยบายด้านการรักษาความปลอดภัยของข้อมูล ซึ่งจะเป็นเส้นทางในการถ่ายทอดนโยบายด้านการรักษาความปลอดภัยของข้อมูลขององค์กรจากผู้บริหารระดับสูง มาสู่แนวทางและวิธีการปฏิบัติด้านการรักษาความปลอดภัยของข้อมูลที่ถูกต้องให้แก่พนักงานทุกคนในองค์กร สอดคล้องตามมาตรฐาน ISO/IEC17799:2005 และ ISO/IEC 27001:2005
  4. Incident Response and BCP/DRP Plan หมายถึง การสร้างแผนจัดการกับเหตุการณ์ที่ไม่คาดคิด และ แผนสำรองฉุกเฉิน เพื่อรับมือกับภัยต่างๆที่อาจจะเกิดขึ้นกับระบบ เพื่อจำกัดความเสียหายให้เหลือน้อยที่สุดเท่าที่องค์กรจะยอมรับได้


รูปที่ 2


ISMF version 2 ในส่วนที่ 2 (Do) นี้จะช่วยให้แผนที่วางไว้จาก ส่วนที่ 1 (Plan) สามารถเกิดขึ้นจริงได้ในทางปฏิบัติ ซึ่งผลลัพท์ของขั้นตอนนี้นั้นจะเป็นเอกสารต่างๆที่เกี่ยวข้องกับการดำเนินงาน ได้แก่ นโยบายการรักษาความปลอดภัยข้อมูล (Information Security Policy Document) แผนสำรองฉุกเฉิน (BCP and DRP document) แผนรองรับเหตุที่การณ์ไม่คาดคิด (Incident Response Plan Document) เอกสารขั้นตอนรายละเอียดในการปิดช่องโหว่ของระบบ (Hardening Document) และ เอกสารรายละเอียดการจัดซื้อจัดจ้าง (Request For Proposal or RFP)

สำหรับรายละเอียดของงานย่อยอีก 4 ขั้นตอนใน ISMF version 2 ส่วนที่ 2 (Do) มีรายละเอียดในแต่ละขั้นตอนดังนี้

  1. Hardening ความหมายของคำว่า "Hardening" หมายถึง กระบวนการในการรักษาความปลอดภัยให้กับระบบแบบลงลึกในรายละเอียด แบ่งออกเป็น 3 ส่วนสำคัญ คือ Hardening People, Process และ Technology มีรายละเอียดดังนี้

    1.1. " Harden คน ให้มีความเข้าใจและตระหนักในเรื่องการรักษาความปลอดภัยข้อมูล "

    การฝึกอบรมทำความเข้าใจเรื่องภัยจากอินเตอร์เน็ต (Cyber Threat) หรือ ที่เรามักเรียกว่าการอบรม "Information Security Awareness Training" ซึ่งควรจะฝึกอบรมให้กับพนักงานทุกคนในองค์กรรวมทั้งผู้บริหารระดับสูง เป็นระยะๆ โดยปกติฝึกอบรมปีละสองครั้ง ครั้งละ 3 ถึง 6 ชั่วโมง จะทำให้ ผู้บริหาร และ พนักงานในองค์กรมีความเข้าใจ ตระหนักในเรื่องภัยต่างๆที่สามารถเกิดขึ้นได้ในระบบคอมพิวเตอร์ขององค์กรซึ่งมีที่มาจากระบบอินเตอร์เน็ต เนื่องจากการรู้เท่าไม่ถึงการณ์ของพนักงาน หรือ เพราะองค์กรขาดนโยบายด้านความปลอดภัยข้อมูล (Information Security Policy)

    การ "Harden คน" หรือ "Harden People" ก็คือ การฝึกอบรม Information Security Awareness นั่นเอง การฝึกอบรมควรจัดทำให้ทั้งพนักงานที่เป็น IT staff และ Non-IT staff โดยเฉพาะ Non-IT staff นั้นควรเน้นเป็นพิเศษ โดยการแสดงให้เห็นถึงภัยอันตรายต่างๆที่มีผลกระทบกับตนเองและองค์กร เมื่อผู้บริหาร และ พนักงานมีความเข้าใจเรื่องความปลอดภัยข้อมูลคอมพิวเตอร์ในระดับหนึ่งก็ถือว่าเราได้ "Harden คน" สำเร็จไปขั้นหนึ่ง แต่การทำ Information Security Awareness Training นั้น จะต้องทำอย่างต่อเนื่องเป็นระยะๆเพื่อเป็นการกระตุ้นให้เกิดความตื่นตัว และ เกิดความเข้าใจถึงภัยแบบใหม่ๆ ที่สามารถเข้ามาทางระบบอินเตอร์เน็ตได้ ยกตัวอย่าง เช่น Phishing & Pharming Attack เป็นต้น

    1.2 " Harden กระบวนการจัดการด้านการรักษาความปลอดภัยข้อมูลที่ถูกต้องตามมาตรฐานสากล "

    หมายถึง การนำเอา "Best practice" มาประยุกต์เป็น "Best Fit" ให้กับองค์กรตลอดจนการนำมาใช้ปฏิบัติจริงให้เกิดผลลัพธ์ที่ประเมินได้ชัดเจน ขั้นตอนนี้จริงๆ แล้วจำเป็นต้องมีนโยบายดานการรักษาความปลอดภัยข้อมูลขององค์กรเสียก่อน (แต่ในหลายองค์กรยังไม่มี) โดยหลังจากการประเมินความเสี่ยงในส่วนของ "Plan" ใน ISMF Version 2 ทำให้เราทราบว่าจุดอ่อนขององค์กร (Vulnerability) ในเรื่องของกระบวนการการจัดการด้านการรักษาความปลอดภัยข้อมูลอยู่ที่ไหน โดยการนำ Checklist ที่เป็น "Best Practice" เช่น ISO/ IEC 27001:2005 หรือ CobiT Version 4 มาเป็นแนวทางในการทำ "Gap Analysis" และ "Risk Assessment" จากนั้นองค์กรควรปิดช่องโหว่ในกระบวนการที่ขาดหายไป หรือ แก้ไขช่องโหว่ในกระบวนการบริหารจัดการให้ดีขึ้นถูกต้องตามมาตรฐานสากล โดยอ้างอิงจากนโยบายด้านการรักษาความปลอดภัยข้อมูลขององค์กรดังที่กล่าวมาแล้ว (ถ้ามี) และถ้ายังไม่มีนโยบายก็ต้องทำการพัฒนานโยบายฯ นั้นขึ้นมาเสียก่อนก่อน โดยรายละเอียดจะอยู่ในขั้นตอนที่ 2.3

    การ "Harden กระบวนการ" หรือ "Harden Process" ก็คือการทำ "Configuration Management" "Change Management" และ "Release Management" ตามมาตรฐานสากล ITIL "IT Infrastructure Library" นั่นเอง ซึ่งเราอาจจะมีการเสริมด้วยมาตรฐานโดยการใช้ CobiT Version 4 ในส่วนของ DS (Delivery and Support) ก็จะช่วยให้มีรายละเอียดในการปฎบัติมากขึ้น สำหรับ ITIL- CobiT Mapping ดูรูปที่ 3 และ 4 การเปลี่ยนแปลงกระบวนการ หรือ "Process Change" จำเป็นต้องได้รับการ "Approved" จากผู้บริหารด้วย หาไม่แล้วคงจะประสบความสำเร็จได้ยาก



    รูปที่ 3




    รูปที่ 4


    1.3 การ " Harden เชิงเทคนิค "

    ได้แก่ การปิดช่องโหว่ในระดับ Network Operating System เช่น Hardening Window 2000 Server หรือ Windows Server 2003 หรือ Hardening UNIX/Linux รวมทั้งการ Hardening Network Device เช่น Cisco Router/ Switching และ Hardening Security Device เช่น Firewall หรือ IPS/IDS เป็นต้น ตลอดจนการ Hardening Database เช่น Hardening Oracle หรือ Microsoft SQL Server และ การ Hardening Application เช่น Hardening Web Server IIS หรือ Apache เป็นต้น (ดูรูปที่ 5)



    รูปที่ 5


    การ Harden เชิงลึกในลักษณะนี้ จำเป็นต้องมี "Hardening Checklist" เพื่อเป็นแนวทางในการ Harden ที่ถูกต้อง สำหรับ Hardening Checklist นั้น ในบางครั้งผู้ตรวจสอบระบบสารสนเทศสามารถนำมาใช้เป็น "Auditor Checklist" และ แนะนำให้ผู้ดูแลระบบ (System Administrator) เป็นผู้ "Harden" ระบบเหล่านั้น ในกรณีที่ผู้ตรวจสอบระบบสารสนเทศ ตรวจพบช่องโหว่ ซึ่งผู้ตรวจสอบระบบสารสนเทศ อาจใช้วิธีเชิงลึกทางด้านเทคนิค เช่น การทำ Vulnerability Assessment และ Penetration Testing เป็นต้น ดังนั้นงานหนักจึงตกอยู่กับผู้ดูแลระบบ ซึ่งจะต้องเป็นผู้ดำเนินการปิดช่องโหว่ของระบบตาม "Harden Checklist" หรือ ตามที่ผู้ตรวจสอบได้ให้คำแนะนำไว้ใน Audit Report

    ข้อคิดในการ "Hardening" ก็คือต้องใช้ความระมัดระวังอย่างสูง สำหรับการ Harden ระบบที่ใช้งานจริงแล้ว หรือ เรียกว่า "Harden Production System" เพราะถ้าหากการ Harden มีปัญหา เช่นมีการติดตั้ง Patch แล้ว ระบบเกิดไม่ทำงานขึ้นมา ก็จะส่งผลกระทบต่อการดำเนินงานขององค์กรโดยรวมได้ ดังนั้นผู้ที่จะต้องทำการ "Harden" ระบบ ควรเป็นผู้ที่มีประสบการณ์และมีความเชี่ยวชาญโดยตรงอย่างแท้จริง และมีการวางแผนอย่างรัดกุมก่อนที่จะทำการ "Hardening" ควรใช้มาตรฐาน ITIL มาประกอบด้วย ได้แก่ "Configuration Management" "Change Management" และ "Release Management" จะช่วยลดความเสี่ยงในการ Harden ได้

  2. Defense-In-Depth

    หมายถึง การป้องกันระบบแบบหลายชั้น (Multi-layer Security Defense) เดิมคำว่า "Defense-In-Depth" นั้นเป็นคำที่ใช้กันในกลุ่มทหาร เป็นกลยุทธการป้องกันของทหารในการรบกับข้าศึก บางทีเราเรียกว่า "Elastic Defense" หมายถึงเน้นไปที่การถ่วงเวลามากกว่าการป้องกันแบบปกติทั่วไป เรียกได้ว่าเป็น มาตรการป้องกันระบบแบบหลายชั้น และ มีลักษณะเป็นแบบ "Redundancy" คือ หากมีบางส่วนของระบบเกิดปัญหาจากการโจมตีของผู้ไม่หวังดี ก็ยังมีส่วนที่ยังสามารถป้องกันระบบได้ ในทาง Information Security "Defense-In-Depth" หมายถึง การใช้เทคนิคด้านการป้องกันระบบในหลายๆแบบ เช่น ถึงแม้ว่าเราจะมี Firewall และ Anti-virus ในบริเวณ Network Perimeter เรียบร้อยแล้ว เราก็ยังติดตั้ง Anti-virus software ลงบนเครื่องลูกข่าย (Client) และเครื่องแม่ข่าย (Server) ทุกตัวขององค์กร เพื่อเป็นการป้องกันอีกขั้นหนึ่ง ลักษณะการป้องกันแบบ Defense-In-Depth นั้นจะป้องกันตั้งแต่ส่วนของ Perimeter, Network, Host, Application ไปจนถึงการป้องกันในระดับ Data และ Resource ดังรูปที่ 6 ดังนั้น การลงมือปฏิบัติในขั้นตอนนี้ต้องแน่ใจว่าได้กระทำในทุกระดับดังที่ได้กล่าวมาแล้วในตอนต้นจึงจะส่งผลลัพท์ที่ชัดเจนและมั่นใจในความปลอดภัยอย่างแท้จริง

    รูปที่ 6


  3. Information Security Policy Development

    หมายถึง การพัฒนานโยบายด้านการรักษาความปลอดภัยข้อมูลให้ออกมาเป็นรูปธรรม และ เป็นลายลักษณ์อักษรที่ได้รับการ "Approved" จากผู้บริหารระดับสูง ตลอดจนมีการประกาศใช้งานจริงในองค์กร รวมถึงบทลงโทษในกรณีที่ไม่ปฏิบัติตามนโยบายอย่างเคร่งครัด

    นโยบายด้านการรักษาความปลอดภัยข้อมูลสำหรับองค์กรถือว่ามีความสำคัญมาก ไม่ว่าจะเป็น มาตรฐาน ISO/ IEC17799 หรือ 27001 ตลอดจนมาตรฐาน IT Governance (CobiT version 4) ก็ล้วนแต่ให้ความสำคัญเรื่องนโยบายฯ อยู่ในอันดับต้นๆที่ไม่สามารถจะยอมรับได้หากองค์กรไม่มีนโยบายฯดังกล่าว นโยบายด้านการรักษาความปลอดภัยขัอมูลที่ดีควรมีโครงร่างมาจาก "Best Practice" เช่น ISO/IEC 17799 หรือ 27001 โดยไม่จำเป็นจะต้องตรงกับทางที่ ISO/ IEC กำหนดไว้ทั้งหมด แต่ โครงสร้างโดยส่วนใหญ่ ควรสอดคล้องกับมาตรฐาน ISO/ IEC เราอาจนำมาตรฐาน IT Governance (CobiT version 4) หรือ ITIL เข้ามาเสริมได้ เพื่อเพิ่มรายละเอียดในเรื่องนโยบายให้เป็นรูปธรรมมากขึ้น

    หลายคนอาจสงสัยว่า ทำไมขั้นตอนนี้ถึงอยู่หลังจากขั้นตอนการทำ "Risk Assessment" ในส่วนที่1 (Plan) ของ ISMF Version 2 ทั้งนี้ก็เพราะว่าการพัฒนานโยบายฯ นั้นควรจะนำผลลัพธ์จากการทำ "Risk Assessment" มาเป็นแนวทางในการกำหนดนโยบายฯ เพื่อให้สอดคล้องกับรูปแบบการดำเนินงานขององค์กร ดังนั้นเราจึงควรทำการพัฒนานโยบายฯ หลังจากการทำ "Risk Assessment" และที่สำคัญที่สุดตัวนโยบายต้องได้รับการรับรองจากผู้บริหารระดับสูง หรือ Board of Directors และ มีการควบคุมการนำไปปฏิบัติประกาศใช้บังคับอย่างจริงจังในองค์กร ตลอดจนควรมีการปรับปรุงให้ทันสมัยอยู่เสมอ (การปรับปรุงนโยบายฯ อยู่ในส่วนที่ 4 ของ ISMF Version 2)

  4. Incident Response and BC/ DR Plan

    ในขั้นตอนนี้จะประกอบด้วย 2 ส่วนหลักๆ คือ แผนรับมือกับเหตุการณ์ที่ไม่คาดคิด หรือ Incident Response Plan และแผนสำรองกรณีฉุกเฉิน หรือ BC/ DR Plan โดยที่ทั้ง 2 แผนควรมีการพัฒนาขึ้นมาเป็นลายลักษณ์อักษร เหมือนกับขั้นตอนที่ 2.3 ในการพัฒนานโยบายด้านการรักษาความปลอดภัยข้อมูล หรืออาจจะกลายเป็นส่วนหนึ่งของนโยบายฯ โดยรวมก็สามารถทำได้เช่นกัน

    4.1 Incident Response Plan

    ในส่วนของแผนรับมือกับเหตุการณ์ที่ไม่คาดคิดนั้น องค์กรควรจะปฏิบัติตามหลักการเรื่อง Incident Response และ Digital Forensic ตามมาตรฐานสากล ซึ่งมีอยู่หลายสถาบัน เช่น สถาบัน SANS หรือ NIST และ นำมาตรฐานมาประยุกต์ใช้กับองค์กร โดยให้สอดคล้องจากผลลัพธ์ของการทำ Risk Assessment และ สอดคล้องกับนโยบายด้านการรักษาความปลอดภัยข้อมูลขององค์กร

    การที่องค์กรมีแผนการรับมือกับเหตุการณ์ดังกล่าว จะทำให้ลดผลจากความเสียหายที่เกิดขึ้น และยังสามารถติดตามหาต้นตอของปัญหา (Root-caused of Problem) ตลอดจนตามล่าหา Hacker และนำ Hacker มาลงโทษตามกฎหมาย (ในกรณีที่มีกฎหมายออกมาเรียบร้อยแล้ว) แต่ถ้าหากองค์กรไม่มีแผนดังกล่าว การรับมือกับเหตุการณ์ไม่คาดคิดนั้นก็อาจจะทำได้ไม่เต็มที่ ซึ่งจะส่งผลกระทบกับการดำเนินงานขององค์กรโดยรวม ทำให้เกิดความเสียหายมากกว่าการที่เราได้เตรียมการณ์ไว้ล่วงหน้าดังกล่าว

    4.2 BC/ DR Plan

    BCP ย่อมาจาก Business Continuity Planning และ DRP ย่อมาจาก Disaster Recovery Planning โดยที่ BCP หมายถึงกระบวนการในการสร้างแผนให้กับองค์กรเพื่อจุดประสงค์ที่จะให้องค์กรสามารถทำธุรกิจ ธุรกรรมต่างๆได้อย่างต่อเนื่อง โดยไม่ติดขัดหลังจากที่ระบบเกิดปัญหาขึ้น BCP นั้นมีขั้นตอนต่างๆดังรูปที่ 7 เป็นลักษณะ Life Cycle



    ความสำเร็จของ BCP ก็คือเอกสาร BC Plan เป็นลายลักษณ์อักษรที่สามารถนำไปปฏิบัติจริงได้ ในยามที่ระบบมีปัญหา บางครั้งอยู่ในรูปของ Manual หรือคู่มือปฏิบัติยามฉุกเฉิน ซึ่งอาจรวมส่วนของ DRP เข้าไปอยู่ด้วย หรือแยกเรื่อง DRP ออกมาต่างหากก็ได้ โดยที่ DRP นั้นเน้นไปที่การแแก้ปัญหาเฉพาะหน้ายามฉุกเฉิน หลังจากที่ระบบเพิ่งเกิดปัญหาและต้องพยายามทำให้เกิดผลกระทบกับองค์กรให้น้อยที่สุดเท่าที่จะทำได้

    ปัญหาในการพัฒนา BCP และ DRP จะสำเร็จไม่ได้ถ้าทุกคนไม่ช่วยกันทำ โดยเฉพาะเรื่องของ "Business Process" ที่แต่ละฝ่ายแต่ละแผนกย่อมมีความรู้ความเชี่ยวชาญของตนเองดีกว่าคนอื่น ตลอดจนต้องได้รับการสนับสนุนและการติดตามงานจากผู้บริหารระดับสูงด้วย คล้ายๆกับการทำ ISO Certified ที่ผู้บริหารต้องมีส่วนร่ามและติดตามงานโดยตลอด หาไม่แล้วแผน Business Continuity และ Disaster Recovery ที่เป็นรูปธรรมคงสำเร็จออกมาได้ยากในทางปฏิบัติ ในขณะนี้องค์กรชั้นนำหลายองค์กร โดยเฉพาะส่วนของ Financial Firm ต่างๆ เช่น Bank หรือ Broker กำลังให้ความสำคัญกับเรื่อง BCP และ DRP เป็นอย่างมาก สังเกตุได้จากการเข้าอบรมเรื่อง BCP และ DRP ที่อัตราการเพิ่มอย่างเห็นได้ชัด อีกทั้งยังเป็นข้อกำหนดของ ธนาคารแห่งประเทศไทย อีกด้วย

    กล่าวโดยสรุป ในส่วนที่ 2 "Do" ของ ISMF Version 2 นั้นประกอบด้วย 4 ขั้นตอนดังที่กล่าวมาแล้ว หลังจากที่ได้ทำทั้ง 4 ขั้นตอน องค์กรก็ได้ผลลัพธ์ออกมาเป็นเอกสารดังที่กล่าวมาในตอนต้น และ ได้รับความปลอดภัยที่เพิ่มขึ้นหลังจากการ Hardening ในขั้นตอนที่ 2.1 จากการทำตามหลักการ "Defense-In-Depth" ในขั้นตอนที่ 2.2 และจากการปฏิบัติตามนโยบายด้านการรักษาความปลอดภัยข้อมูล ในขั้นตอนที่ 2.3 ตลอดจนมีแผน Incident Response และ BC/ DR Plan ไว้ใช้ในยามฉุกเฉิน ในบทความครั้งต่อไปจะกล่าวถึงส่วนของการตรวจสอบ คือ ส่วนของการ "Check" และ "Audit" เพื่อให้แน่ใจว่าได้มีการปฏิบัติตามนโยบายฯ และ มีการเฝ้าระวังระบบอยู่ตลอดเวลา (Real-time Monitoring)ในลักษณะ "Proactive Defense" หรือไม่ ติดตามในฉบับหน้าครับ สวัสดีครับ
จาก : หนังสือ eLeader Thailand
ประจำเดือน เดือนเมษายน 2549
Update Information : 18 เมษายน 2549


10 ภัยมืดยุคอินเทอร์เน็ตปี คศ. 2007" Top 10 Cyber Threats Year 2007
Update: 29 December 2006, 2006

หน้าที่ ความรับผิดชอบ และมุมมองที่แตกต่าง ของ "ผู้ตรวจสอบภายใน" และ "ผู้ตรวจสอบระบบสารสนเทศ" Internal Auditor and IT/IS Auditor's Perception Analysis
Update: 29 December 2006, 2006

ยุทธศาสตร์การเตรียมพร้อมป้องกันภัยจากมัลแวร์อย่างได้ผลในทางปฏิบัติ Understanding MalWare Point-of-Entry and How to protect by implementing practical Anti-Malware strategy
Update: 30 November, 2006

แนวทางการประเมินความเสี่ยงระบบสารสนเทศเพื่อให้สอดคล้องกับยุคสมัยที่เปลี่ยนแปลงของเทคโนโลยี (Information Technology Risk Assessment Guidelines for Modern IT Auditors)
Update: 30 November, 2006

กรณีศึกษา : วิเคราะห์แผนยุทธศาสตร์นโยบายการป้องกันความปลอดภัยข้อมูลของประเทศสิงค์โปร์ (iN2015 and Infocomm Security Masterplan)
Update: 19 September, 2006

"เอาต์ซอร์สระบบความปลอดภัยเชื่อได้แค่ไหน?" : Can we trust IT security outsourcer or MSSP (managed security services provider)
Update: 18 September, 2006

14 เทคโนโลยีการป้องกันความปลอดภัยข้อมูลสารสนเทศล่าสุดที่คุณควรรู้
14 IT Security Technology Update
Update: 18 September, 2006

Information Security Awareness Program เรื่องสำคัญขององค์กรที่ถูกมองข้าม ?
Update: 31 August, 2006

กรณีศึกษาเกี่ยวกับ อาชญากรรมคอมพิวเตอร์ และ การใช้กฎหมายการกระทำผิดเกี่ยวกับคอมพิวเตอร์ในกระบวนการยุติธรรมของประเทศเกาหลีใต้ Case Study : Cyber Crime and IT Law in South Korea
Update: 19 July, 2006

เรียนรู้โมเดลในการบริหารจัดการระบบรักษาความปลอดภัยข้อมูลอย่างเป็นระบบและมีประสิทธิภาพ (รุ่นที่สอง) ตอนจบ Information Security Management Framework (ISMF) Version 2 : "Act" Part
Update: 19 July, 2006

ทิศทางในอนาคตของอาชญากรรมคอมพิวเตอร์ และ 10 วิธีในการป้องกันตนเองและ องค์กรให้ปลอดภัยจากภัยอินเทอร์เน็ต Future Cyber Crime Trend and Ten Ways to Secure your IT Infrastructure
Update: 28 June, 2006

การประยุกต์ใช้มาตรฐานสากลด้านความปลอดภัยข้อมูลกับงานบริหารความเสี่ยงระบบสารสนเทศในองค์กรอย่างได้ผลในทางปฏิบัติ Information Technology Risk Management using International Standard Methodologies and Frameworks
Update: 24 April, 2006

เรียนรู้โมเดลในการบริหารจัดการระบบรักษาความปลอดภัยข้อมูลอย่างเป็นระบบและมีประสิทธิภาพ (รุ่นที่สอง) ตอนที่ 3 Information Security Management Framework (ISMF) Version 2 : "Do" Part
Update: 18 April, 2005

แผนยุทธศาสตร์ IT839: วิวัฒนาการของกระบวนการรักษาความปลอดภัยข้อมูลคอมพิวเตอร์ระดับชาติของประเทศเกาหลีใต้ Get Ready for Ubiquitous Society
Update: 24 March, 2005

เรียนรู้โมเดลในการบริหารจัดการระบบรักษาความปลอดภัยข้อมูลอย่างเป็นระบบและมีประสิทธิภาพ (รุ่นที่สอง) Information Security Management Framework (ISMF) Version 2
Update: 1 February, 2006

จับกระแสทิศทาง IT Security Outsourcing โดย MSSP (Managed Security Service Provider) ในประเทศไทยและทั่วโลก "What Motivates an enterprise to outsource IT security?
Update: 30 January, 2006

มุมมองใหม่ของแฮกเกอร์ในการโจมตีระบบความปลอดภัยข้อมูลคอมพิวเตอร์ บทวิเคราะห์ SANS TOP 20 Version 6.01 จากสถาบัน SANS USA
Update: 8 December, 2005

10 Information Security Easy Tips
10 เทคนิคการรักษาความปลอดภัยข้อมูลคอมพิวเตอร์อย่างง่ายด้วยตนเอง
Update: 1 December, 2005

TOP 10 Information Security Threat Year 2006 (Part II) ทิศทางภัยคุกคามด้านความปลอดภัยข้อมูลคอมพิวเตอร์ปี 2006 (ตอนจบ)
Update: 14 Nov, 2005

TOP 10 Information Security Threat Year 2006 (Part I) ทิศทางภัยคุกคามด้านความปลอดภัยข้อมูลคอมพิวเตอร์ปี 2006 (ตอนที่1)
Update: 14 Nov, 2005

มาตรฐานสากลทางด้านความปลอดภัยระบบเทคโนโลยีสารสนเทศที่ CIO ควรรู้เพื่อนำมาใช้เป็นแนวทางปฏิบัติในองค์กร และ กลยุทธ์ CIO กับการบริหารระบบความปลอดภัยเทคโนโลยีสารสนเทศในองค์กรสมัยใหม่ Update: 30 Aug, 2005

ทำความเข้าใจเรื่องความแตกต่างของใบรับรองผู้เชี่ยวชาญระบบรักษาความมั่นคงปลอดภัยข้อมูลคอมพิวเตอร์ระดับสากลวันนี้ Professional Information Security Certification: CISSP, CISM, CISA, SANS GIAC Update: 30 Aug, 2005

สถานการณ์ขององค์กรในประเทศไทยเกี่ยวกับการรับรองมาตรฐาน BS7799 Part 2 กับ บทวิเคราะห์มาตรฐานการรักษาความปลอดภัยข้อมูลสารสนเทศ ISO/IEC 17799 Second Edition และ มาตรฐาน ISO/IEC FDIS 27001:2005 Update: 28 July, 2005

บทวิเคราะห์คำปราศัยวิสัยทัศน์ของ มร. บิล เกตส์ ในงาน Thailand Digital Inspiration ในมุมมองด้านการรักษาความปลอดภัยข้อมูลสารสนเทศกับเทคโนโลยีใหม่ในอนาคต
Update: 12 July, 2005

การเตรียมองค์กรให้พร้อมเข้าสู่ยุค IT Governance ด้วยมาตรฐาน CobiT และ ITIL
Update: 24 Jun, 2005

วิเคราะห์ปัญหาสแปมอีเมล์ เทคนิคใหม่ของสแปมเมอร์ DHAs (Directory Harvest Attacks) และ วิธีการป้องกันระบบอีเมล์ของเราอย่างมีประสิทธิภาพ (ตอนที่ 1)
Update: 22 Jun, 2005

วิเคราะห์ปัญหาสแปมอีเมล์ เทคนิคใหม่ของสแปมเมอร์ DHAs (Directory Harvest Attacks) และ วิธีการป้องกันระบบอีเมล์ของเราอย่างมีประสิทธิภาพ (ตอนจบ)
Update: 22 Jun, 2005

ภัยร้ายไอทีแอบแฝงภายในองค์กรที่เราควรระวัง
Hidden Threat from using email
Update: 22 Jun, 2005

เรียนรู้หลักการ Baseline Security Compliance ด้วยกระบวนการ Compliance Management
Update: 3 Jun, 2005

เตือนระวังภัยอินเตอร์เน็ตใหม่ล่าสุด "Pharming"
Update: 22 Apr, 2005

5 ขั้นตอนในการบริหารจัดการช่องโหว่ในระบบสารสนเทศเพื่อการป้องกันระบบอย่างมีประสิทธิภาพ
"5 Steps Proactive Security Management using Vulnerability Management Concept"

แนวคิดใหม่เรื่องการตรวจสอบระบบสารสนเทศ และหัวใจสำคัญของระบบความปลอดภัยข้อมูลคอมพิวเตอร์ที่มีประสิทธิภาพ New IT Audit Paradigm "Using Vulnerability Management and Patch Management System"

ความสำคัญของการจัดตั้งศูนย์บัญชาการความปลอดภัยเทคโนโลยีสารสนเทศและการสื่อสารแห่งชาติ สำหรับประเทศไทย
Thailand's National ICT Security and Incident Response Center Initiative Project

ทิศทางการเปลี่ยนแปลงของกระบวนการควบคุมความปลอดภัยข้อมูลด้านเทคโนโลยีสารสนเทศทั่วโลก และ สถานะการณ์ล่าสุดของประเทศไทย (The World Information Technology and Information Security Control Trend and latest Thailand's situationg)
Update: 27 Jan, 2005

สรุปสถิติจำนวนผู้เชี่ยวชาญระบบความปลอดภัยข้อมูลสารสนเทศ (CISSP) ในเอเชีย และ ประโยชน์ที่ประเทศไทยได้รับจากการประชุมคณะกรรมการที่ปรึกษาแห่งเอเชีย (ISC)2 Asian Advisory Board Meeting
Update: 25 Jan, 2005

Top 10 Information Security Trend 2005 10 ทิศทาง และแนวโน้มด้านความปลอดภัยข้อมูลคอมพิวเตอร์ ปี ค.ศ. 2005
Update: 3 Dec, 2004

วิเคราะห์มาตรฐานในการตรวจสอบระบบสารสนเทศ สำหรับระบบความปลอดภัยบนระบบปฏิบัติการ UNIX/Linux
Update: 2 Dec, 2004

วิเคราะห์มาตรฐานในการตรวจสอบระบบสารสนเทศสำหรับระบบความปลอดภัยบนระบบปฏิบัติการ Microsoft Windows (ตอนจบ)
Update: 2 Dec, 2004

วิเคราะห์มาตรฐานในการตรวจสอบระบบสารสนเทศ สำหรับระบบความปลอดภัยบนระบบปฏิบัติการ Microsoft Windows (ตอนที่ 1)
Update: 2 Dec, 2004

Proactive Vulnerability Management and Patch Management
แนวคิดใหม่ของการบริหารจัดการระบบความปลอดภัยข้อมูลคอมพิวเตอร์วันนี้
Update: Sep 27, 2004

  3 องค์ประกอบหลักสู่ความสำเร็จด้านการจัดการบริหารความปลอดภัยข้อมูลคอมพิวเตอร์อย่างสมบูรณ์แบบ
"Best Practices for Information Security Management - [ PPT : People, Process/Policy and Technology/Tool ]"
Update: Sep 27, 2004

  สรุปสถานการณ์ความเคลื่อนไหวด้านความปลอดภัยข้อมูลคอมพิวเตอร์ และ การวิเคราะห์ผลกระทบจากปัญหาความปลอดภัยข้อมูลคอมพิวเตอร์ของภูมิภาคเอเชีย (ผลสรุปจากการประชุมคณะกรรมการที่ปรึกษาความปลอดภัยข้อมูลแห่งเอเชียที่ฮ่องกง)
Update: Sep 10, 2004

  วันนี้คอมพิวเตอร์ของคุณปลอดภัยแล้วหรือยัง? "10 แนวทางปฏิบัติเพื่อการใช้งานอินเทอร์เน็ตอย่างปลอดภัย"
Update: Sep 1, 2004

  "Information Security Management Outsourcing" เหตุผล และมุมมอง การวิเคราะห์ข้อดี /ข้อเสีย ในการบริหารระบบความปลอดภัยคอมพิวเตอร์ โดยการทำสัญญาใช้บริการจาก MSSP (Managed Security Service Provider)
Update: July 30, 2004

  วิเคราะห์ผลสำรวจสถิติการนำเทคโนโลยีรักษาความปลอดภัยคอมพิวเตอร์มาใช้ในองค์กรปี 2004
Update: July 30, 2004

  "Remote Access Vulnerability" ช่องโหว่ระบบที่หลายคนมองข้าม
Update: July 30, 2004

  เมื่อโปรแกรมป้องกันไวรัสไม่ใช่คำตอบสุดท้ายในการปราบไวรัส
Update: July 1, 2004

  เรียนรู้วิธีการเจาะระบบ Web Application ทั้ง 10 วิธี ของแฮกเกอร์ และวิธีการป้องกันอย่างได้ผล (ตอนจบ) (Top 10 Web Application Hacking)
Update: June 17, 2004

  เรียนรู้วิธีการเจาะระบบ Web Application Hacking ทั้ง10 วิธี ของแฮกเกอร์ และวิธีป้องกันอย่างได้ผล (Top 10 Web Application Hacking and How to Protect from Hackers)
Update: June 3, 2004

  เปรียบเทียบระบบ Two-Factor Authentication ระหว่าง การใช้ One Time Password (OTP) และ Smart Card ร่วมกับ Public Key Infrastructure (PKI)
Update: May 25, 2004

  รู้จักกับตำแหน่งผู้บริหารใหม่ในองค์กรยุคไฮเทค CSO (Chief Security Officer) /CISO (Chief Information Security Officer)
Update: May 25, 2004

  ถึงเวลาแล้วหรือยังสำหรับ Smart Card และ PKI (ความเข้าใจที่ถูกต้องสำหรับความจำเป็นในการทำ Authentication)
Update: April 29, 2004

  ระวังภัยอินเทอร์เน็ทใหม่ล่าสุด "PHISHING"
Update: April 20, 2004

  10 Technical Tips for securing your Wireless LAN System ( 10 เทคนิคการติดตั้งระบบ LAN ไร้สายให้ปลอดภัยจากแฮกเกอร์ )
Update: April 19, 2004

  Information Security Management Framework (ISMF) ขั้นตอนที่ 7 "Managed Security Services (MSS) / Real-time Monitoring using IDS/IPS"
Update: March 25, 2004

  Information Security Management Framework (ISMF) ขั้นตอนที่ 6 "Internal/ External Audit, Re-Assessment and Re-Hardening"
Update: March 25, 2004

  เรียนรู้หลักการตรวจสอบระบบสารสนเทศ (IT Audit) อย่างมีประสิทธิภาพในทางปฏิบัติ วิเคราะห์ปัญหาการตรวจสอบระบบสารสนเทศ และ การแก้ปัญหาในเชิงบูรณาการ
Update: February 24, 2004

  Information Security Management Framework (ISMF) ขั้นตอนที่ 5 "Security Awareness/ Technical Know-how Transfer Training"
Update: February 24, 2004

  กฎหมายอาชญากรรมคอมพิวเตอร์ และ การพิสูจน์หลักฐานด้วยวิธีการ "นิติคอมพิวเตอร์" (Thailand Computer Crime Law and Computer Forensics)
Update: February 11, 2004

  Information Security Management Framework (ISMF) ขั้นตอนที่ 4 "Defense-In-Depth/Best Practices Implementation"
Update: January 25, 2004

  10 ทิศทางและแนวโน้มด้านระบบรักษาความปลอดภัยข้อมูลคอมพิวเตอร์ ในปี ค.ศ. 2004 (Top 10 Information Security Paradigm Shift)
Update: December 24, 2003

  Information Security Management Framework (ISMF) ขั้นตอนที่ 3 "Practical Information Security Policy"
Update: December 24, 2003

  บัญญัติ 10 ประการ สำหรับการปราบ Malware ต่างๆ ในองค์กร (Virus, Worm, Trojan, Backdoor, Spyware, Adware) ให้ได้ผลในทางปฏิบัติ
Update: November 28, 2003

  Information Security Management Framework (ISMF) ขั้นตอนที่ 2 :Critical Networks & Hosts Hardening / Patching / Fixing
Update: November 20, 2003

  Browser Hijacking " ช่องโหว่ใน Browser Internet Explorer (IE) ภัยอินเทอร์เน็ตใกล้ตัวคุณวันนี้ "
Update: November 12, 2003

  Information Security Management Framework (ISMF) ขั้นตอนที่ 1:Risk Management, Vulnerability Assessment และ Penetration testing
Update: November 1, 2003

  บทสรุป Wireless LAN Security ในงานประชุม APEC Thailand 2003
Update: October 30, 2003

  กรณีศึกษา Wireless Security ในงานประชุม APEC Thailand 2003
Update: October 13, 2003

  การจัดการระบบรักษาความปลอดภัยข้อมูลอย่างเป็นระบบและมีประสิทธิภาพ (Information Security Management Framework - ISMF)
Update: October 1, 2003

  จะลงทุนกับ IDS, IPS หรือ Honeypot อย่างไหนจะคุ้มค่ากว่ากัน ? (ตอนจบ)
Update: September 18, 2003

  บทเรียนจากหนอนอินเทอร์เน็ต Blaster Worm วิเคราะห์การทำงานของ VIRUS และวิธีการป้องกันสำหรับอนาคต"
Update: September 15, 2003

  จะลงทุนกับ IDS, IPS หรือ Honeypots อย่างไหนจะคุ้มค่ากว่ากัน ? (ตอนที่ 1)
Update: August 9, 2003

 เจาะลึก Web Application Security ตอนจบ"Cross-Site Scripting Attack"
Update: August 9, 2003

Hacking Web Application (ตอนที่ 2) "ช่องโหว่ใน SSL Protocol และ ความเข้าผิดในการใช้งาน SSL กับ Web Application"
Update: July 17, 2003

เจาะลึก Web Application Security ( ตอนที่2) Knowledge Hackers Vs. Web Application Programmer
Update: July 17, 2003

Hacking Web Application (ตอนที่ 1)
Update: July 17, 2003

เจาะลึก Web Application Security ( ตอนที่1 ) Knowledge Hackers Vs. Web Application Programmer
Update: July 17, 2003

Perimeter Security กับ กรณีศึกษาการ Hack Web Site ภาครัฐ
Update: July 17, 2003

เทคนิคการแก้ปัญหา SPAM Mail และเจาะลึก Web Application Security (ตอนที่1)
Update: May 9, 2003

วันนี้คุณแน่ใจได้อย่างไรว่าระบบของคุณปลอดภัยจาก Hacker ? (ตอนจบ) "The 6 Steps of Information Security Risk Assessment Process"
Update: May 6, 2003

ถอดรหัสใบรองผู้ดูแลระบบความปลอดภัยข้อมูลคอมพิวเตอร์
Update: April 4, 2003

วันนี้คุณแน่ใจได้อย่างไรว่าระบบของคุณปลอดภัยจาก Hacker ? (ตอนที่ 1) "Information Security Risk Assessment and Vulnerability Assessment - Part1"
Update: March 21, 2003

มาตรฐานสำหรับผู้ตรวจสอบด้านเทคโนโลยีสารสนเทศ (IT & IS AUDITOR) , เรื่องจำเป็นของทุกองค์กรวันนี้
Update: March 21, 2003

พื้นฐานที่จำเป็นสำหรับมืออาชีพด้านระบบความปลอดภัยคอมพิวเตอร์ (CBK) ตอนจบ
Update: Dec 23, 2002

เรียนรู้ และ เข้าใจ วิธีการจัดการระบบความปลอดภัยข้อมูลอย่างเป็นระบบ Understanding Information Security Process Management
Update: Dec 17, 2002

พื้นฐานที่จำเป็นสำหรับมืออาชีพด้านระบบความปลอดภัยคอมพิวเตอร์ (CBK) ตอนที่ 7
Update: Dec 17, 2002

พื้นฐานที่จำเป็นสำหรับมืออาชีพด้านระบบความปลอดภัยคอมพิวเตอร์ (CBK) ตอนที่ 6
Update: Dec 6, 2002

พื้นฐานที่จำเป็นสำหรับมืออาชีพด้านระบบความปลอดภัยคอมพิวเตอร์ (CBK) ตอนที่ 5
Update: Dec 6, 2002

จับตาสถานการณ์ Information Security ของประเทศเพื่อนบ้าน
Update: Dec 2, 2002

LINUX Certification มาตรฐานใหม่สำหรับวงการ Open source วันนี้
Update: Oct 21, 2002

Wireless LAN Security LAB Testing at Siam Discovery
Update: Oct 17, 2002
พื้นฐานที่จำเป็นสำหรับมืออาชีพด้านระบบความปลอดภัยคอมพิวเตอร์ ตอนที่4
Update: Oct 17, 2002

พื้นฐานที่จำเป็นสำหรับมืออาชีพด้านระบบความปลอดภัยคอมพิวเตอร์ ตอนที่3
Update: Sep 24, 2002

พื้นฐานที่จำเป็นสำหรับมืออาชีพด้านระบบความปลอดภัยคอมพิวเตอร์ ตอนที่2
Update: Sep 24, 2002

Wireless Network Hacking ภัยไร้สาย เป้าหมายใหม่ของ Hacker
Update: Aug 26, 2002

Security Awareness Program เรื่องสำคัญที่ถูกมองข้าม ?
Update: Aug 19, 2002

พื้นฐานที่จำเป็นสำหรับ "Information Security Professional" ตอนที่ 1
Update: Aug 6, 2002

แน่ใจได้อย่างไรว่าระบบของเราปลอดภัยจาก Hacker/Cracker ?
Update: July 20, 2002

เตรียมพร้อมสู่ความเป็นมืออาชีพด้าน Information Security (INFOSEC) ตอนที่ 3
Update: July 19, 2002

ระวังช่องโหว่ SMTP Services เปิดทางให้ HACKERS/SPAMMERS
Update: July 18, 2002

เรียนรู้วิธีป้องกัน PC ด้วยโปรแกรมประเภท Personal Firewalls , SteathWare Finders/Removers และ SPAM Fighters
Update: July 4, 2002

เตรียมพร้อมสู่ความเป็นมืออาชีพด้าน Information Security (INFOSEC) ตอนที่ 2
Update: June 28, 2002

เตรียมพร้อมสู่ความเป็นมืออาชีพด้าน Information Security (INFOSEC)
Update: June 28, 2002

"IT Professional Certification" สำคัญอย่างไร...ในยุคการสื่อสารไร้พรมแดน
Update: May 31, 2002

ถึงเวลาแล้วหรือยัง….กับคำว่า IT Professional Certification
Update: May 28, 2002

ใบรับรอง CISSP กับอุตสาหกรรมไอทีไทย
Update: May 11, 2002

วันนี้คุณเตรียมพร้อมแล้วหรือยังกับ mCommerce Security
Update: May 11, 2002

 all_pix_trans.gif (807 bytes)