รายละเอียดบทความ
| ชื่อเรื่อง |
การปฏิบัติตามมาตรฐานการรักษาความปลอดภัย ISO/IEC 17799 ของบริษัทจดทะเบียนในมุมมองของผู้ตรวจสอบสารสนเทศ
|
| ชื่อเรื่องรอง |
|
| ชื่อผู้แต่ง |
| 1. | ฐิติ วิรทัศนุสรณ์ |
| 2. | มนวิกา ผดุงสิทธิ์ |
|
| หัวเรื่องคำสำคัญ |
|
| หัวเรื่องควบคุม |
| 1. | การรักษาความปลอดภัย |
| 2. | ISO/IEC 17799 |
| 3. | การควบคุมคุณภาพ |
|
| คำอธิบาย / บทคัดย่อ |
ในปัจจุบัน เทคโนโลยีสารสนเทศได้เข้ามามีบทบาทอย่างมากในการปฏิบัติงานขององค์กรทำให้องค์กรสามารถปฏิบัติงานหลักได้เพื่อตอบสนองความต้องการของลูกค้าไดดีขึ้น ทำให้เกิดกำไรและการเจริญเติบโตที่ยั่งยืน นอกจากนี้ เทคโนโลยีสารสนเทศยังได้มีส่วนส่งเสริมให้งานสนับสนุนขององค์กรดำเนินไปอย่างมีประสิทธิภาพและประสิทธิผล ซึ่งท้ายที่สุดก็ส่งผลต่อความมีประสิทธิภาพและประสิทธิผลของกิจกรรมต่างๆ ในห่วงโซ่มูลค่า (Value Chain) การประสานงานกันระหว่าง กิจกรรมต่างๆ ทำให้เกิดการแลกเปลี่ยนข้อมูลและความรู้ระหว่างกัน มีการเชื่อมโยงเครือข่ายต่างๆ ทั้งภายในองค์กรและระหว่างองค์กรมากขึ้น รวมถึงการเชื่อมโยงเครือข่ายข้ามภูมิภาค
กล่าวได้ว่าแทบทุกองค์กรได้นำระบบสารสนเทศเข้ามามีส่วนช่วยในการติดต่อประสานงานเพื่อเพิ่มคุณธุรกิจด้านการเชื่อมโยงแลกเปลี่ยนข้อมูลเชิงพาณิชย์ระหว่างกัน ปรับเปลี่ยนการทำธุรกรรมประจำวันจากรูปแบบกระดาษมาเป็นรูปแบบทางอิเล็กทรอนิกส์ทำให้การดำเนินธุรกิจเป็นไปด้วยความรวดเร็ว ต่อเนื่องสามารถตอบสนองความต้องการของผู้บริโภคได้ทันเวลาด้วยต้นทุนที่ต่ำลง ดังนั้น ระบบสารสนเทศจึงเป็นปัจจัยสำคัญที่จะทำให้ธุรกิจมีความได้เปรียบในการแข่งขันและสามารถอยู่รอดได้ ระบบเครือข่ายอินเทอร์เน็ต (Internet) เป็นเทคโนโลยีหลักที่เป็นตัวแปรสำคัญต่อการเปลี่ยนแปลงวิธีการปฏิบัติและขั้นตอนในการดำเนินธุรกิจเนื่องจากเป็นเครือข่ายสื่อสารข้อมูลที่เป็นมาตรฐานเดียวกันที่สามารถโยงใยได้ทั่วโลกโดยไม่มีข้อจำกัดทางด้านเวลา สถานที่หรือรูปแบบของข้อมูล อย่างไรก็ตามการเปิดกว้างในการติดต่อสื่อสารแลกเปลี่ยนข้อมูลระหว่างกัน ทำให้เพิ่มความเสี่ยงในการเปิดช่องให้บุคคลอื่นที่ประสงค์ร้ายมาบุกรุกทำลาย ขโมย หรือแก้ไขข้อมูล โอกาสที่ระบบงานจะขัดข้องหรือหยุดชะงัก ใช้งานไม่ได้ก็เพิ่มขึ้นสูงด้วยเช่นกัน ความปลอดภัยของข้อมูลจึงเป็นประเด็นที่หน่วยงานหรือองค์กรที่มีการประยุกต์ใช้เทคโนโลยีสารสนเทศในการจัดเก็บและประมวลผลข้อมูลสารสนเทศ จะต้องพิจารณาให้ความสำคัญ
ประโยชน์ของเทคโนโลยีสารสนเทศนั้นมีนานัปการแต่หากองค์กรไม่มีกรบริหารจัดการอย่างระมัดระวังความสูญเสียที่อาจเกิดขึ้นก็ส่งผลกระทบต่อองค์กรอย่างมากเช่นกัน เช่น North Bay Health Care Group ต้องสูญเสียเกือบ 9 แสนเหรียญจากการที่พนักงานจ่ายเงินของบริษัทได้ใช้คอมพิวเตอร์เข้าไปโปรแกรมระบบบัญชีโดยไม่ได้รับอนุญาต และได้ทำการสั่งจ่ายเช็คจำนวน 127 ฉบับให้กับตัวเองและผู้อื่น หรือ กรณี Denial of Service Attack ซึ่งเกิดขึ้นกับระบบเครือข่าย Judsys ซึ่งเป็นเมล์เซิฟเวอร์ที่อยู่ในความดูแลของ U.S. District Court ของ New york ที่ถูกโจมตีจากผู้ดูแลระบบคอมพิวเตอร์โยการส่ง Email จำนวนมากเข้าไปยังเมล์เซิฟเวอร์ ทำให้ระบบเครือข่ายดังกล่าวต้องปิดระบบตัวเอง ไม่สามารถให้บริการได้ นอกจากนี้ การโจมตีโดยมัลแวร์หรือโปรแกรมประสงค์ร้าย (Malicious Application; Malware) ได้เพิ่มจำนวนขึ้นอย่างรวดเร็ว รวมทั้งความหลากหลายของมัลแวร์ ดังเช่นกรณี Roger Duronio ซึ่งทำงานอยู่ที่ บริษัท PaineWebber ไดใช้มัลแวร์ประเภท Logic Bomb ที่ถูกตั้งเวลาให้ทำงานหลังจากที่เขาได้ลาออกจากบริษัทเป็นที่เรียบร้อยแล้ว มาสร้างความเสียหายให้กับเครือข่ายคอมพิวเตอร์ของบริษัทมากกว่า 1,500 เครือข่ายทำให้เกิดมูลค่าความเสียกายเป็นจำนวนเงินกว่า 3 พันล้านเหรียญ นอกจากนี้ มัลแวร์ดังกล่าวยังได้ทำการซื้อ Put Option ในตลาดหุ้นให้กับบริษัท PaineWebber สร้างความเสียกายให้กับบริษัท และตลาดหุ้นในสหรัฐอเมริกา
ดังนั้น องค์กรจะต้องจัดให้มีการรักษาความปลอดภัยของข้อมูลซึ่งเป็นการรักษาข้อมูลไว้ซึ่งความลับ ความถูกต้อง และความพร้อมใช้งานของข้อมูลทางธุรกิจ อันจะช่วยบรรเทาภัยคุกคามในหลายรูปแบบที่จะมีผลต่อข้อมูลด้วยการควบคุมที่เหมาะสม ซึ่งระดับความเหมาะสมของการควบคุมความปลอดภัยของข้อมูลนั้นเป็นการผสมผสานกันอย่างลงตัวของลักษณะทางกายภาพและการควบคุมทางด้านเทคนิคหรือการควบคุมด้านการปฏิบัติงาน การป้องกันรักษาความปลอดภัยของข้อมูลจะสนับสนุนให้องค์กรได้รับความเชื่อมั่นจากลูกค้า ผู้ผลิต และหน่วยงานธุรกิจอื่น อันส่งผลให้ธุรกิจมีการขยายตัวมีผลประกอบการที่ดี และสร้างกระแสเงินสดเข้าให้กับองค์กร
แนวทางปฏิบัติหนึ่งที่องค์กรสามารถนำมาใช้เพื่อรักษาความปลอดภัยของข้อมูลและลดความเสี่ยงที่อาจเกิดขึ้นจากภัยคุกคามต่างๆ คือการประยุกต์ใช้มาตรฐานรักษาความปลอดภัย ISO/IEC 17799 ซึ่งเป็นมาตรฐานที่รวบรวมมาตรการพื้นฐาน (Baseline)ที่มีชื่อว่า BS 7799 (British Standard 7799) ที่เป็นมาตรฐานทางอุตสาหกรรมที่หลายองค์กรยึดร่วมกัน และถูกนำไปใช้อย่างแพร่หลาย แม้แต่องค์กรที่ไม่ได้อยู่ในภาคอุตสาหกรรมก็นิยมนำมาตรฐานดังกล่าวไปประยุกต์ใช้ในประเทศไทย บริษัทจดทะเบียนในตลาดหลักทรัพย์แห่งประเทศไทยหลายบริษัทได้ยึดถือมาตรฐานฉบับนี้เป็นเกณฑ์ในการตรวจสอบทางด้านเทคโนโลยีสานสนเทศ เพื่อให้มั่นใจได้ว่าระบบสารสนเทศและข้อมูลที่ใช้งานอยู่มีความถูกต้อง และเชื่อถือได้
งานวิจัยครั้งนี้มีวัตถุประสงค์ที่จะศึกษาว่าบริษัทจดทะเบียนในตลาดหลักทรัพย์แห่งประเทศไทยที่ได้นำระบบสารสนเทศมาสนับสนุนการปฏิบัติงานนั้น ได้มีการนำมาตรฐานการรักษาความปลอดภัยของข้อมูล ISO/IEC 17799 มาปฏิบัติมากน้อยเพียงใด และหากนำมาปฏิบัติสามารถปฏิบัติมากน้อยเพียงใด และหากนำมาปฏิบัติสามารถปฏิบัติตามข้อกำหนดที่มาตราได้กำหนดไว้ครบทุกประเด็นหรือไม่ และการปฏิบัติตามมาตรฐานดังกล่าวมีผลให้ความถูกต้องเชื่อถือได้ของข้อมูลสารสนเทศเพิ่มขึ้นหรือไม่ มีข้อจำกัดในการนำมาตรฐานการรักษาความปลอดภัยของข้อมูล ISO/IEC 17799 มาประยุกต์ใช้หรือไม่ รวมถึงการศึกษาข้อบกพร่อง หรือข้อผิดพลาดอันเกิดจากการไม่ปฏิบัติตามมาตรฐานดังกล่าว โดยงานวิจัยนี้จะศึกษาในมุมมองของผู้ตรวจสอบระบบเทคโนโลยีสารสนเทศของบริษัทจดทะเบียนในตลาดหลักทรัพย์แห่งประเทศไทยที่มีสถานะเป็นบริษัทจดทะเบียนในช่วงปี พ.ศ. 2549 ถึงปี พ.ศ. 2550 โดยไม่รวมบริษัทที่อยู่ในระหว่างการฟื้นฟูกิจการ บริษัทจดทะเบียนในตลาดหลักทรัพย์เอ็มเอไอ ZX?ฤณ และบริษัทจักการกองทุนรวมต่างๆ ซึ่งผลการศึกษาที่ได้จะทำให้ทราบว่าในปัจจุบันบริษัทจดทะเบียนได้ให้ความสำคัญกับความปลอดภัยของข้อมูลมากน้อยเพียงใด การปฏิบัติตามมาตรฐานการรักษาความปลอดภัยของข้อมูล ISO/IEC 17799 ได้ส่งผลต่อความน่าเชื่อถือของข้อมูลหรือไม่ รวมถึงข้อจำกัดในการปฏิบัติตามมาตรฐานดังกล่าวซึ่งจะเป็นข้อมูลเบื้องต้นที่สำคัญที่หน่วยงานกำกับดูแลสามารถนำไปใช้ในการพิจารณาปรับปรุงมาตรฐานการรักษาความปลอดภัยของข้อมูล ISO 17799 ฉบับภาษาไทยให้สอดคล้องเหมาะสมกับการใช้งานระบบสารสนเทศภายในประเทศไทย
|
รายละเอียดวารสารเพื่อติดตามอ่านบทความฉบับเต็ม (Full Text)