|
 |
|
|
 |
|
|
 |
The New Trend : "GRC" (Governance, Risk and Compliance)
ทิศทางใหม่สำหรับผู้บริหารระบบสารสนเทศวันนี้และอนาคต
by A.Pinya Hom-anek,
GCFW,
CISSP,
SSCP,
CISA,
CISM,
Security+,(ISC)2 Asian Advisory Board
President, ACIS Professional Center
E-mail: 
|
หลายคนอาจจะยังไม่เคยได้ยินคำศัพท์ใหม่ของวงการไอทีวันนี้ ได้แก่ คำว่า "GRC" ซึ่งย่อมาจาก "Governance Risk and Compliance" แนวคิด "GRC" นั้นเป็นแนวคิดใหม่ที่รวมองค์ประกอบ 3 องค์ประกอบเข้าด้วยกัน ได้แก่ องค์ประกอบที่ 1 "Governance" , องค์ประกอบที่ 2 "Risk Management" และ องค์ประกอบที่ 3 "Regulatory Compliance" การกำหนดนิยามของคำว่า "GRC" นั้น มาจาก นิยามของทั้งสามองค์ประกอบ ได้แก่
- "Governance" หมายถึง นโยบาย วัฒนธรรมองค์กร กระบวนการขั้นตอนการปฏิบัติงาน ที่ถูกกำหนดออกมาอย่างชัดเจนในการบริหารจัดการและกำกับดูแลองค์กรโดยผู้บริหารระดับสูงเพื่อการบริหารองค์กรที่โปร่งใส ตรวจสอบได้ คำที่เราได้ยินกันบ่อยๆ ได้แก่ คำว่า "Corporate Governance" จะรวมถึงความสัมพันธ์และบทบาทของทุกคนในองค์กรไม่ใช่เฉพาะผู้บริหารอย่างเดียว ตลอดจนกำหนดเป้าหมายหลักที่เน้นเรื่องความโปร่งใสในการบริหารจัดการของผู้บริหารระดับสูงในองค์กร
- "Risk Management" หมายถึง การบริหารจัดการความเสี่ยงที่มีเป้าหมายในการลดผลกระทบจากความเสี่ยงที่อาจมีโอกาสเกิดขึ้นได้ในองค์กร หากไม่มีการบริหารจัดการความเสี่ยงที่ดีพอ
- "Compliance" หมายถึง การปฏิบัติตามกฎระเบียบข้อบังคับ และ กฎหมาย ตลอดจนการปฏิบัติตามนโยบายด้านสารสนเทศและความปลอดภัยขององค์กรอย่างถูกต้อง ได้ตามมาตรฐาน ยกตัวอย่าง เช่น การปฏิบัติตามประกาศมาตรฐานการรักษาความมั่นคงปลอดภัยในการประกอบธุรกรรมอิเล็คทรอนิกส์โดยคณะกรรมการธุรกรรมอิเล็คทรอนิกส์ และ การจัดทำแผน เพื่อรองรับ พรบ.และพรฎ. ด้านความปลอดภัยทางอิเล็กทรอนิกส์ ได้แก่ พรบ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544 , พระราชกฤษฎีกากำหนดหลักเกณฑ์และวิธีการในการทำธุรกรรมทางอิเล็คทรอนิกส์ภาครัฐ พ.ศ. 2549 (มาตรา 35) , (ร่าง) พรฎ.กำหนดวิธีการแบบ(มั่นคง) ปลอดภัยในการประกอบธุรกรรมอิเล็กทรอนิกส์ (มาตรา 25) ซึ่งเป็นข้อแนะนำของ สำนักงานคณะกรรมการนโยบายรัฐวิสาหกิจ และ บริษัทไทยเรทติ้ง แอนด์ อินฟอร์เมชั่นเซอร์วิส จำกัด (ทริส)
การปฏิบัติตามกฎระเบียบข้อบังคับ และ กฎหมาย ควรครอบคลุมถึง พรบ.ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 รวมถึง ประกาศ กระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ. 2550 ด้วย
แนวคิดของ "GRC" นั้น มาจากความหมายของคำหลาย ๆ คำ ได้แก่ "Corporate Governance" , "IT Governance" , "Financial Risk" , "Strategic Risk" , "Operational Risk" , "IT Risk" , "Corporative Compliance" , "Employment / Labor Compliance" , "Privacy Compliance" รวมถึงกฎหมายต่าง ๆ ในสหรัฐอเมริกา เช่น SOX (Sarbanes-Oxley Compliance) หรือ กฎระเบียบข้อบังคับ Basel II ที่ถูกกำหนดขึ้นโดยธนาคารเพื่อการชำระบัญชีระหว่างประเทศ (BIS) ตลอดจน มาตรฐาน PCI DSS (Payment Card Industry ,Data Security Standard) ซึ่งเป็นมาตรฐานที่บังคับใช้กับกลุ่มบริษัทที่ให้บริการบัตรเครดิต เช่น VISA , MASTER เป็นต้น
ในปัจจุบัน กระแส "Governance" และ "Compliance" กำลังมาแรงทั่วโลกรวมถึงในประเทศไทยด้วย เพราะเรามีทั้งกฎหมายธุรกรรมอิเล็กทรอนิกส์ และ กฎหมายการกระทำผิดเกี่ยวกับคอมพิวเตอร์ที่ประกาศออกมาบังคับใช้กันแล้ว การที่ผู้บริหารองค์กรยังไม่ได้ให้ความสำคัญกับเรื่องทั้ง 2 เรื่องนี้ กลายเป็นความเสี่ยง (Risk) ที่มีโอกาสเกิดขึ้นกับองค์กรอย่างหลีกเลี่ยงไม่ได้ ยกตัวอย่างบริษัทที่ประสบปัญหาในสหรัฐอเมริกา เช่น บริษัท ENRON และ บริษัท WORLDCOM ก็ล้วนมีปัญหาเรื่องความไม่โปร่งใสและการไม่ปฏิบัติตามข้อกฎหมายต่าง ๆ จนเป็นเหตุให้บริษัทต้องล้มละลายในที่สุด
การบรรลุเป้าหมาย "Good Governance" นั้น ต้องเริ่มจาก ผู้บริหารระดับสูงสุดเป็นคนแรก ตลอดจนเป็นความรับผิดชอบหลักของคณะกรรมการบริหาร (Board of Director) ถ้าหากผู้บริหารระดับสูงไม่ใส่ใจเท่าที่ควรจะเป็น คำว่า "Good Governance" ก็คงจะเกิดขึ้นไม่ได้อย่างแน่นอน การจะได้มาซึ่ง "Good Governance" ต้องมีการบริหารความเสี่ยง (Risk Management) และการบริหารเกี่ยวกับการปฏิบัติตามกฎระเบียบและข้อกฎหมายต่าง ๆ (Compliance Management) ควบคู่กันไป ดังนั้น เราจะเห็นว่า "Governance" , "Risk" และ "Compliance" มีความสัมพันธ์ และมีความเกี่ยวข้องกัน แนวคิด "GRC" นั้น ต้องการที่จะนำองค์ประกอบทั้ง 3 มาปฏิบัติร่วมกันในรูปแบบของการทำงานเป็นทีม มีการ "share" ข้อมูลซึ่งกันและกัน มีการเปิดกว้างทางความคิดที่จะปรับปรุงองค์กรจากข้อมูลและแนวทางจากผู้บริหารของหลาย ๆ ฝ่าย
ในปัจจุบันการบริหารจัดการความปลอดภัยระบบสารสนเทศ (IT Security Management) นั้น ใช้แนวทางที่เรียกว่า "Holistic Risk Management" หมายถึง "การบริหารความเสี่ยงในภาพรวม" ในขณะที่ปัจจัยด้านกฎระเบียบ ข้อกฎหมายต่าง ๆ ถูกนำเข้ามาพิจารณาด้วยในโครงการที่เกี่ยวข้องกับความปลอดภัยระบบสารสนเทศในปัจจุบัน จะเห็นว่าแนวทาง "Regulatory Compliance" นั้น กลายเป็นเรื่องที่สำคัญที่มีผลกระทบต่อโครงสร้างพื้นฐานระบบสารสนเทศ (IT Infrastructure) ขององค์กรอย่างหลีกเลี่ยงไม่ได้
Top Driver of IT Security Investment
Source : Ernest and Young, Global Information Security Survey
รูปที่ 1
จากข้อมูลในรูปที่ 1 จะเห็นว่าเรื่อง "Regulatory Compliance" เป็น "Top Driver" สำหรับการลงทุนด้านความปลอดภัยระบบสารสนเทศ และพบว่าองค์กรส่วนใหญ่ใช้งบประมาณ 7-10% ของงบประมาณระบบสารสนเทศทั้งหมดไปกับเรื่อง IT Policy และ IT Compliance ขณะที่การใช้งบประมาณด้าน IT Security มีตัวเลขอยู่ที่ 4-6% ของงบประมาณระบบสารสนเทศโดยรวม ซึ่งพบว่าน้อยมากและไม่เพียงพอต่อการปฏิบัติตามแนวทาง Regulatory Compliance
ข้อมูลจาก Merrill Lynch CISO Survey พบว่า 62% ของ CISO คาดหวังงบประมาณด้าน IT Security ว่าควรเพิ่มขึ้น ขณะที่ CISO 34% สรุปว่างบประมาณเพียงพอแล้ว และ 4% บอกว่าควรลดงบประมาณลง
Security Spending Survey
Source : Goldman Sacks
รูปที่ 2
จากข้อมูลในรูปที่ 2 การใช้จ่ายเกี่ยวกับ Software ด้าน Compliance / Risk Management มีแนวโน้มที่จะเพิ่มขึ้นประมาณ 10-15% ขณะที่ การ Outsource เรื่องการจัดเก็บ LOG ของระบบตามกฎหมายต่าง ๆ ไปยัง MSSP มีแนวโน้มที่จะเพิ่มขึ้นประมาณ 10-15% เช่นกัน
Causes of Compliance Deficiencies
Source : ITPolicyCompliance.com
รูปที่ 3
จากข้อมูลในรูปที่ 3 จะสังเกตุได้ว่า ปัญหาและอุปสรรคของการปฏิบัติตามหลักการ Regulatory นั้น อันดับหนึ่งคือ เรื่องงานเอกสาร (Documentation) และอันดับที่ 2 ถึง 8 นั้นเกี่ยวข้องกับเรื่อง IT Security ที่ยังไม่ได้ปฏิบัติตาม Standard หรือ Best Practice เช่น ISO/IEC 27001 ,ITIL หรือ ISO/IEC 20000 ตลอดจนมาตรฐาน CobiT 4.1 เป็นต้น
กระบวนการของแนวคิด "GRC" นั้นประกอบด้วย 10 กระบวนการที่ต้องการผู้บริหารมารับผิดชอบอย่างเป็นทางการ ดังตาราง "GRC" Component Definition ข้างล่าง
GRC Component Definition Table
| Recommended Process |
Executed by |
| 1 Governance (G) |
The board of director, corporate secretary and governance professionals including board management |
| 2 Strategy |
Chief Executive Officer (CEO) or "c-suite" |
| 3 Risk Management (R) |
Chief Risk Officer (CRO), business line and other executives |
| 4 Audit |
Chief Audit Executive, internal audit, audit committee and external auditors |
| 5 Legal |
The general counsel and legal staff |
| 6 Compliance (C) |
The general counsel, chief compliance and ethics officer, compliance professionals and other legal staff |
| 7 Information Technology |
Chief Information Officer (CIO), privacy officer and/or security officer |
| 8 Ethics & Corporate Social Responsibility |
Chief Ethics Officer and Chief Responsibility Officer |
| 9 Quality Management |
Quality professionals throughout the organization |
|
|
| 10 Human Capital & Culture |
Human resource professionals and organizational design and development professionals |
แนวคิด "GRC" นั้น นอกจากจะทำให้องค์กรแสดงถึงความเป็น "Good Governance" แล้ว ยังทำให้องค์กรเกิดความสามารถในการแข่งขัน (Competitive Advantage) ในระยะยาวอีกด้วย เป็นการเสริมภาพลักษณ์ที่ดีให้กับองค์กร ตลอดจนคณะผู้บริหารระดับสูง รวมทั้งการสร้างจิตสำนึกในการปฏิบัติงานที่ดีให้กับพนักงานทุกคน ส่งผลให้ลูกค้าเกิดความเชื่อถือและความมั่นใจในการใช้บริการต่าง ๆ ขององค์กร ซึ่งเป็นแนวคิดที่ไม่ได้แตกต่างจากแนวคิดยอดนิยม คือ Balanced Scorecard (BSC) ที่มีองค์ประกอบทั้ง 4 ด้าน ได้แก่ Customer Perspective, Financial Perspective, Internal Perspective และ Learning and Growth Perspective
กล่าวโดยสรุปจะเห็นได้ว่า แนวคิด "GRC" นั้น ถือเป็นทิศทางใหม่สำหรับผู้บริหารระดับสูงขององค์กรที่ไม่ใช่เฉพาะผู้บริหารระบบสารสนเทศ หรือ CIO เท่านั้น แต่เป็นทิศทางของผู้บริหารในระดับ C Level ทั้งหมด ไม่ว่าจะเป็นการเริ่มจาก CEO ตลอดจน CFO, CTO และ CIO จำเป็นต้องร่วมแรงร่วมใจกันในการผลักดันแนวคิด "GRC" ให้กลายเป็นผลงานในเชิงปฏิบัติ ซึ่งภาวะผู้นำ หรือ "Leadership" เป็นปัจจัยสำคัญที่จะทำให้เกิดความสำเร็จ เนื่องจากการปฏิบัติที่จะส่งผลเป็นรูปธรรมนั้นจำเป็นต้องใช้งบประมาณดังที่ได้กล่าวมาแล้ว และ ยังต้องใช้บุคลากรที่ได้รับมอบหมายให้ทำตามแนวคิด "GRC" โดยเฉพาะถึงจะเกิดผลสำเร็จได้ รวมทั้งอาจต้องมีการจัดจ้างที่ปรึกษาหรือผู้เชี่ยวชาญเฉพาะทางมาคอยเป็นพี่เลี้ยงและให้แนวทางปฏิบัติจาก Standard และ Best Practice ต่าง ๆ ได้อย่างถูกต้อง ดังนั้น ผู้บริหารระดับสูงจึงจำเป็นที่จะต้องมีภาวะผู้นำดังกล่าวอย่างยิ่ง เพื่อให้ได้ตามเป้าหมายตามแนวคิด "GRC" ในที่สุด
จาก : หนังสือ eEnterprise (Thailand)
ปักษ์แรก ประจำ เดือนกุมภาพันธ์ 2551
Update Information : 30 มกราคม 2551
|
|
|
 |
|
|
|
10 ภัยมืดยุคอินเทอร์เน็ตปี คศ. 2007" Top 10 Cyber Threats Year 2007
Update: 29 December 2006, 2006
หน้าที่ ความรับผิดชอบ และมุมมองที่แตกต่าง ของ "ผู้ตรวจสอบภายใน" และ "ผู้ตรวจสอบระบบสารสนเทศ"
Internal Auditor and IT/IS Auditor's Perception Analysis
Update: 29 December 2006, 2006
ยุทธศาสตร์การเตรียมพร้อมป้องกันภัยจากมัลแวร์อย่างได้ผลในทางปฏิบัติ
Understanding MalWare Point-of-Entry and How to protect by implementing practical Anti-Malware strategy
Update: 30 November, 2006
แนวทางการประเมินความเสี่ยงระบบสารสนเทศเพื่อให้สอดคล้องกับยุคสมัยที่เปลี่ยนแปลงของเทคโนโลยี
(Information Technology Risk Assessment Guidelines for Modern IT Auditors)
Update: 30 November, 2006
กรณีศึกษา : วิเคราะห์แผนยุทธศาสตร์นโยบายการป้องกันความปลอดภัยข้อมูลของประเทศสิงค์โปร์ (iN2015 and Infocomm Security Masterplan)
Update: 19 September, 2006
"เอาต์ซอร์สระบบความปลอดภัยเชื่อได้แค่ไหน?" : Can we trust IT security outsourcer or MSSP (managed security services provider)
Update: 18 September, 2006
14 เทคโนโลยีการป้องกันความปลอดภัยข้อมูลสารสนเทศล่าสุดที่คุณควรรู้
14 IT Security Technology Update
Update: 18 September, 2006
Information Security Awareness Program เรื่องสำคัญขององค์กรที่ถูกมองข้าม ?
Update: 31 August, 2006
กรณีศึกษาเกี่ยวกับ อาชญากรรมคอมพิวเตอร์ และ การใช้กฎหมายการกระทำผิดเกี่ยวกับคอมพิวเตอร์ในกระบวนการยุติธรรมของประเทศเกาหลีใต้
Case Study : Cyber Crime and IT Law in South Korea
Update: 19 July, 2006
เรียนรู้โมเดลในการบริหารจัดการระบบรักษาความปลอดภัยข้อมูลอย่างเป็นระบบและมีประสิทธิภาพ (รุ่นที่สอง) ตอนจบ
Information Security Management Framework (ISMF) Version 2 : "Act" Part
Update: 19 July, 2006
ทิศทางในอนาคตของอาชญากรรมคอมพิวเตอร์ และ 10 วิธีในการป้องกันตนเองและ องค์กรให้ปลอดภัยจากภัยอินเทอร์เน็ต
Future Cyber Crime Trend and Ten Ways to Secure your IT Infrastructure
Update: 28 June, 2006
การประยุกต์ใช้มาตรฐานสากลด้านความปลอดภัยข้อมูลกับงานบริหารความเสี่ยงระบบสารสนเทศในองค์กรอย่างได้ผลในทางปฏิบัติ
Information Technology Risk Management using International Standard Methodologies and Frameworks
Update: 24 April, 2006
เรียนรู้โมเดลในการบริหารจัดการระบบรักษาความปลอดภัยข้อมูลอย่างเป็นระบบและมีประสิทธิภาพ (รุ่นที่สอง) ตอนที่ 3
Information Security Management Framework (ISMF) Version 2 : "Do" Part
Update: 18 April, 2005
แผนยุทธศาสตร์ IT839: วิวัฒนาการของกระบวนการรักษาความปลอดภัยข้อมูลคอมพิวเตอร์ระดับชาติของประเทศเกาหลีใต้
Get Ready for Ubiquitous Society
Update: 24 March, 2005
เรียนรู้โมเดลในการบริหารจัดการระบบรักษาความปลอดภัยข้อมูลอย่างเป็นระบบและมีประสิทธิภาพ (รุ่นที่สอง) Information Security Management Framework (ISMF) Version 2
Update: 1 February, 2006
จับกระแสทิศทาง IT Security Outsourcing โดย MSSP (Managed Security Service Provider) ในประเทศไทยและทั่วโลก
"What Motivates an enterprise to outsource IT security?
Update: 30 January, 2006
มุมมองใหม่ของแฮกเกอร์ในการโจมตีระบบความปลอดภัยข้อมูลคอมพิวเตอร์ บทวิเคราะห์ SANS TOP 20 Version 6.01 จากสถาบัน SANS USA
Update: 8 December, 2005
10 Information Security Easy Tips
10 เทคนิคการรักษาความปลอดภัยข้อมูลคอมพิวเตอร์อย่างง่ายด้วยตนเอง
Update: 1 December, 2005
TOP 10 Information Security Threat Year 2006 (Part II) ทิศทางภัยคุกคามด้านความปลอดภัยข้อมูลคอมพิวเตอร์ปี 2006 (ตอนจบ)
Update: 14 Nov, 2005
TOP 10 Information Security Threat Year 2006 (Part I) ทิศทางภัยคุกคามด้านความปลอดภัยข้อมูลคอมพิวเตอร์ปี 2006 (ตอนที่1)
Update: 14 Nov, 2005
มาตรฐานสากลทางด้านความปลอดภัยระบบเทคโนโลยีสารสนเทศที่ CIO ควรรู้เพื่อนำมาใช้เป็นแนวทางปฏิบัติในองค์กร และ กลยุทธ์ CIO กับการบริหารระบบความปลอดภัยเทคโนโลยีสารสนเทศในองค์กรสมัยใหม่
Update: 30 Aug, 2005
ทำความเข้าใจเรื่องความแตกต่างของใบรับรองผู้เชี่ยวชาญระบบรักษาความมั่นคงปลอดภัยข้อมูลคอมพิวเตอร์ระดับสากลวันนี้ Professional Information Security Certification: CISSP, CISM, CISA, SANS GIAC
Update: 30 Aug, 2005
สถานการณ์ขององค์กรในประเทศไทยเกี่ยวกับการรับรองมาตรฐาน BS7799 Part 2 กับ บทวิเคราะห์มาตรฐานการรักษาความปลอดภัยข้อมูลสารสนเทศ ISO/IEC 17799 Second Edition และ มาตรฐาน ISO/IEC FDIS 27001:2005
Update: 28 July, 2005
บทวิเคราะห์คำปราศัยวิสัยทัศน์ของ มร. บิล เกตส์ ในงาน Thailand Digital Inspiration ในมุมมองด้านการรักษาความปลอดภัยข้อมูลสารสนเทศกับเทคโนโลยีใหม่ในอนาคต
Update: 12 July, 2005
การเตรียมองค์กรให้พร้อมเข้าสู่ยุค IT Governance ด้วยมาตรฐาน CobiT และ ITIL
Update: 24 Jun, 2005
วิเคราะห์ปัญหาสแปมอีเมล์ เทคนิคใหม่ของสแปมเมอร์ DHAs (Directory Harvest Attacks) และ วิธีการป้องกันระบบอีเมล์ของเราอย่างมีประสิทธิภาพ (ตอนที่ 1)
Update: 22 Jun, 2005
วิเคราะห์ปัญหาสแปมอีเมล์ เทคนิคใหม่ของสแปมเมอร์ DHAs (Directory Harvest Attacks) และ วิธีการป้องกันระบบอีเมล์ของเราอย่างมีประสิทธิภาพ (ตอนจบ)
Update: 22 Jun, 2005
ภัยร้ายไอทีแอบแฝงภายในองค์กรที่เราควรระวัง
Hidden Threat from using email
Update: 22 Jun, 2005
เรียนรู้หลักการ Baseline Security Compliance ด้วยกระบวนการ Compliance Management
Update: 3 Jun, 2005
เตือนระวังภัยอินเตอร์เน็ตใหม่ล่าสุด "Pharming"
Update: 22 Apr, 2005
5 ขั้นตอนในการบริหารจัดการช่องโหว่ในระบบสารสนเทศเพื่อการป้องกันระบบอย่างมีประสิทธิภาพ
"5 Steps Proactive Security Management using Vulnerability Management Concept"
Update: 7 Mar, 2005
แนวคิดใหม่เรื่องการตรวจสอบระบบสารสนเทศ และหัวใจสำคัญของระบบความปลอดภัยข้อมูลคอมพิวเตอร์ที่มีประสิทธิภาพ
New IT Audit Paradigm "Using Vulnerability Management and Patch Management System"
Update: 3 Mar, 2005
ความสำคัญของการจัดตั้งศูนย์บัญชาการความปลอดภัยเทคโนโลยีสารสนเทศและการสื่อสารแห่งชาติ สำหรับประเทศไทย
Thailand's National ICT Security and Incident Response Center Initiative Project
Update: 8 Feb, 2005
ทิศทางการเปลี่ยนแปลงของกระบวนการควบคุมความปลอดภัยข้อมูลด้านเทคโนโลยีสารสนเทศทั่วโลก และ สถานะการณ์ล่าสุดของประเทศไทย (The World Information Technology and Information Security Control Trend and latest Thailand's situationg)
Update: 27 Jan, 2005
สรุปสถิติจำนวนผู้เชี่ยวชาญระบบความปลอดภัยข้อมูลสารสนเทศ (CISSP) ในเอเชีย และ
ประโยชน์ที่ประเทศไทยได้รับจากการประชุมคณะกรรมการที่ปรึกษาแห่งเอเชีย (ISC)2 Asian Advisory Board Meeting
Update: 25 Jan, 2005
Top 10 Information Security Trend 2005
10 ทิศทาง และแนวโน้มด้านความปลอดภัยข้อมูลคอมพิวเตอร์ ปี ค.ศ. 2005
Update: 3 Dec, 2004
วิเคราะห์มาตรฐานในการตรวจสอบระบบสารสนเทศ สำหรับระบบความปลอดภัยบนระบบปฏิบัติการ UNIX/Linux
Update: 2 Dec, 2004
วิเคราะห์มาตรฐานในการตรวจสอบระบบสารสนเทศสำหรับระบบความปลอดภัยบนระบบปฏิบัติการ Microsoft Windows (ตอนจบ)
Update: 2 Dec, 2004
วิเคราะห์มาตรฐานในการตรวจสอบระบบสารสนเทศ สำหรับระบบความปลอดภัยบนระบบปฏิบัติการ Microsoft Windows (ตอนที่ 1)
Update: 2 Dec, 2004
Proactive Vulnerability Management and Patch Management
แนวคิดใหม่ของการบริหารจัดการระบบความปลอดภัยข้อมูลคอมพิวเตอร์วันนี้
Update: Sep 27, 2004
3 องค์ประกอบหลักสู่ความสำเร็จด้านการจัดการบริหารความปลอดภัยข้อมูลคอมพิวเตอร์อย่างสมบูรณ์แบบ
"Best Practices for Information Security Management - [ PPT : People, Process/Policy and Technology/Tool ]"
Update: Sep 27, 2004
สรุปสถานการณ์ความเคลื่อนไหวด้านความปลอดภัยข้อมูลคอมพิวเตอร์ และ การวิเคราะห์ผลกระทบจากปัญหาความปลอดภัยข้อมูลคอมพิวเตอร์ของภูมิภาคเอเชีย
(ผลสรุปจากการประชุมคณะกรรมการที่ปรึกษาความปลอดภัยข้อมูลแห่งเอเชียที่ฮ่องกง)
Update: Sep 10, 2004
วันนี้คอมพิวเตอร์ของคุณปลอดภัยแล้วหรือยัง? "10 แนวทางปฏิบัติเพื่อการใช้งานอินเทอร์เน็ตอย่างปลอดภัย"
Update: Sep 1, 2004
"Information Security Management Outsourcing" เหตุผล และมุมมอง การวิเคราะห์ข้อดี /ข้อเสีย ในการบริหารระบบความปลอดภัยคอมพิวเตอร์ โดยการทำสัญญาใช้บริการจาก MSSP (Managed Security Service Provider)
Update: July 30, 2004
วิเคราะห์ผลสำรวจสถิติการนำเทคโนโลยีรักษาความปลอดภัยคอมพิวเตอร์มาใช้ในองค์กรปี 2004
Update: July 30, 2004
"Remote Access Vulnerability" ช่องโหว่ระบบที่หลายคนมองข้าม
Update: July 30, 2004
เมื่อโปรแกรมป้องกันไวรัสไม่ใช่คำตอบสุดท้ายในการปราบไวรัส
Update: July 1, 2004
เรียนรู้วิธีการเจาะระบบ Web Application ทั้ง 10 วิธี ของแฮกเกอร์ และวิธีการป้องกันอย่างได้ผล (ตอนจบ) (Top 10 Web Application Hacking)
Update: June 17, 2004
เรียนรู้วิธีการเจาะระบบ Web Application Hacking ทั้ง10 วิธี ของแฮกเกอร์ และวิธีป้องกันอย่างได้ผล
(Top 10 Web Application Hacking and How to Protect from Hackers)
Update: June 3, 2004
เปรียบเทียบระบบ Two-Factor Authentication ระหว่าง การใช้ One Time Password (OTP) และ Smart Card ร่วมกับ Public Key Infrastructure (PKI)
Update: May 25, 2004
รู้จักกับตำแหน่งผู้บริหารใหม่ในองค์กรยุคไฮเทค CSO (Chief Security Officer) /CISO (Chief Information Security Officer)
Update: May 25, 2004
ถึงเวลาแล้วหรือยังสำหรับ Smart Card และ PKI (ความเข้าใจที่ถูกต้องสำหรับความจำเป็นในการทำ Authentication)
Update: April 29, 2004
ระวังภัยอินเทอร์เน็ทใหม่ล่าสุด "PHISHING"
Update: April 20, 2004
10 Technical Tips for securing your Wireless LAN System (
10 เทคนิคการติดตั้งระบบ LAN ไร้สายให้ปลอดภัยจากแฮกเกอร์ )
Update: April 19, 2004
Information Security Management Framework (ISMF) ขั้นตอนที่ 7 "Managed Security Services (MSS) / Real-time Monitoring using IDS/IPS"
Update: March 25, 2004
Information Security Management Framework (ISMF) ขั้นตอนที่ 6 "Internal/ External Audit, Re-Assessment and Re-Hardening"
Update: March 25, 2004
เรียนรู้หลักการตรวจสอบระบบสารสนเทศ (IT Audit) อย่างมีประสิทธิภาพในทางปฏิบัติ วิเคราะห์ปัญหาการตรวจสอบระบบสารสนเทศ และ การแก้ปัญหาในเชิงบูรณาการ
Update: February 24, 2004
Information Security Management Framework (ISMF) ขั้นตอนที่ 5 "Security Awareness/ Technical Know-how Transfer Training"
Update: February 24, 2004
กฎหมายอาชญากรรมคอมพิวเตอร์ และ การพิสูจน์หลักฐานด้วยวิธีการ "นิติคอมพิวเตอร์"
(Thailand Computer Crime Law and Computer Forensics)
Update: February 11, 2004
Information Security Management Framework (ISMF) ขั้นตอนที่ 4 "Defense-In-Depth/Best Practices Implementation"
Update: January 25, 2004
10 ทิศทางและแนวโน้มด้านระบบรักษาความปลอดภัยข้อมูลคอมพิวเตอร์ ในปี ค.ศ. 2004
(Top 10 Information Security Paradigm Shift)
Update: December 24, 2003
Information Security Management Framework (ISMF) ขั้นตอนที่ 3
"Practical Information Security Policy"
Update: December 24, 2003
บัญญัติ 10 ประการ สำหรับการปราบ Malware ต่างๆ ในองค์กร
(Virus, Worm, Trojan, Backdoor, Spyware, Adware) ให้ได้ผลในทางปฏิบัติ
Update: November 28, 2003
Information Security Management Framework (ISMF) ขั้นตอนที่ 2 :Critical Networks & Hosts Hardening / Patching / Fixing
Update: November 20, 2003
Browser Hijacking " ช่องโหว่ใน Browser Internet Explorer (IE) ภัยอินเทอร์เน็ตใกล้ตัวคุณวันนี้ "
Update: November 12, 2003
Information Security Management Framework (ISMF) ขั้นตอนที่ 1:Risk Management, Vulnerability Assessment และ Penetration testing
Update: November 1, 2003
บทสรุป Wireless LAN Security ในงานประชุม APEC Thailand 2003
Update: October 30, 2003
กรณีศึกษา Wireless Security ในงานประชุม APEC Thailand 2003
Update: October 13, 2003
การจัดการระบบรักษาความปลอดภัยข้อมูลอย่างเป็นระบบและมีประสิทธิภาพ
(Information Security Management Framework - ISMF)
Update: October 1, 2003
จะลงทุนกับ IDS, IPS หรือ Honeypot อย่างไหนจะคุ้มค่ากว่ากัน ? (ตอนจบ)
Update: September 18, 2003
บทเรียนจากหนอนอินเทอร์เน็ต Blaster Worm วิเคราะห์การทำงานของ VIRUS และวิธีการป้องกันสำหรับอนาคต"
Update: September 15, 2003
จะลงทุนกับ IDS, IPS หรือ Honeypots อย่างไหนจะคุ้มค่ากว่ากัน ? (ตอนที่ 1)
Update: August 9, 2003
เจาะลึก Web Application Security ตอนจบ"Cross-Site Scripting Attack"
Update: August 9, 2003
Hacking Web Application (ตอนที่ 2) "ช่องโหว่ใน SSL Protocol และ ความเข้าผิดในการใช้งาน SSL กับ Web Application"
Update: July 17, 2003
เจาะลึก Web Application Security ( ตอนที่2) Knowledge Hackers Vs. Web Application Programmer
Update: July 17, 2003
Hacking Web Application (ตอนที่ 1)
Update: July 17, 2003
เจาะลึก Web Application Security ( ตอนที่1 ) Knowledge Hackers Vs. Web Application Programmer
Update: July 17, 2003
Perimeter Security กับ กรณีศึกษาการ Hack Web Site ภาครัฐ
Update: July 17, 2003
เทคนิคการแก้ปัญหา SPAM Mail และเจาะลึก Web Application Security (ตอนที่1)
Update: May 9, 2003
วันนี้คุณแน่ใจได้อย่างไรว่าระบบของคุณปลอดภัยจาก Hacker ? (ตอนจบ) "The 6 Steps of Information Security Risk Assessment Process"
Update: May 6, 2003
ถอดรหัสใบรองผู้ดูแลระบบความปลอดภัยข้อมูลคอมพิวเตอร์
Update: April 4, 2003
วันนี้คุณแน่ใจได้อย่างไรว่าระบบของคุณปลอดภัยจาก Hacker ? (ตอนที่ 1) "Information Security Risk Assessment and Vulnerability Assessment - Part1"
Update: March 21, 2003
มาตรฐานสำหรับผู้ตรวจสอบด้านเทคโนโลยีสารสนเทศ
(IT & IS AUDITOR) , เรื่องจำเป็นของทุกองค์กรวันนี้
Update: March 21, 2003
พื้นฐานที่จำเป็นสำหรับมืออาชีพด้านระบบความปลอดภัยคอมพิวเตอร์ (CBK) ตอนจบ
Update: Dec 23, 2002
เรียนรู้ และ เข้าใจ วิธีการจัดการระบบความปลอดภัยข้อมูลอย่างเป็นระบบ Understanding Information Security Process Management
Update: Dec 17, 2002
พื้นฐานที่จำเป็นสำหรับมืออาชีพด้านระบบความปลอดภัยคอมพิวเตอร์ (CBK) ตอนที่ 7
Update: Dec 17, 2002
พื้นฐานที่จำเป็นสำหรับมืออาชีพด้านระบบความปลอดภัยคอมพิวเตอร์ (CBK) ตอนที่ 6
Update: Dec 6, 2002
พื้นฐานที่จำเป็นสำหรับมืออาชีพด้านระบบความปลอดภัยคอมพิวเตอร์ (CBK) ตอนที่ 5
Update: Dec 6, 2002
จับตาสถานการณ์ Information Security ของประเทศเพื่อนบ้าน
Update: Dec 2, 2002
LINUX Certification มาตรฐานใหม่สำหรับวงการ Open source วันนี้
Update: Oct 21, 2002
Wireless LAN Security LAB Testing at Siam Discovery
Update: Oct 17, 2002
พื้นฐานที่จำเป็นสำหรับมืออาชีพด้านระบบความปลอดภัยคอมพิวเตอร์ ตอนที่4
Update: Oct 17, 2002
พื้นฐานที่จำเป็นสำหรับมืออาชีพด้านระบบความปลอดภัยคอมพิวเตอร์ ตอนที่3
Update: Sep 24, 2002
พื้นฐานที่จำเป็นสำหรับมืออาชีพด้านระบบความปลอดภัยคอมพิวเตอร์ ตอนที่2
Update: Sep 24, 2002
Wireless Network Hacking ภัยไร้สาย เป้าหมายใหม่ของ Hacker
Update: Aug 26, 2002
Security Awareness Program เรื่องสำคัญที่ถูกมองข้าม ?
Update: Aug 19, 2002
พื้นฐานที่จำเป็นสำหรับ "Information Security Professional" ตอนที่ 1
Update: Aug 6, 2002
แน่ใจได้อย่างไรว่าระบบของเราปลอดภัยจาก Hacker/Cracker ?
Update: July 20, 2002
เตรียมพร้อมสู่ความเป็นมืออาชีพด้าน Information Security (INFOSEC) ตอนที่ 3
Update: July 19, 2002
ระวังช่องโหว่ SMTP Services เปิดทางให้ HACKERS/SPAMMERS
Update: July 18, 2002
เรียนรู้วิธีป้องกัน PC ด้วยโปรแกรมประเภท Personal Firewalls , SteathWare Finders/Removers และ SPAM Fighters
Update: July 4, 2002
เตรียมพร้อมสู่ความเป็นมืออาชีพด้าน Information Security (INFOSEC) ตอนที่ 2
Update: June 28, 2002
เตรียมพร้อมสู่ความเป็นมืออาชีพด้าน Information Security (INFOSEC)
Update: June 28, 2002
"IT Professional Certification" สำคัญอย่างไร...ในยุคการสื่อสารไร้พรมแดน
Update: May 31, 2002
ถึงเวลาแล้วหรือยัง
.กับคำว่า IT Professional Certification
Update: May 28, 2002
ใบรับรอง CISSP กับอุตสาหกรรมไอทีไทย
Update: May 11, 2002
วันนี้คุณเตรียมพร้อมแล้วหรือยังกับ mCommerce Security
Update: May 11, 2002
|
.gif) |
|
 |
|
|
