หมวด 8 : ความมั่นคงปลอดภัยสำหรับการดำเนินงาน (Operations Security)
ขั้นตอนการปฏิบัติงานและหน้าที่ความรับผิดชอบ (Operational Procedures and Responsibilities)
ข้อ 18 ความมั่นคงปลอดภัยสำหรับการดำเนินงาน มีวัตถุประสงค์เพื่อให้การปฏิบัติงานกับอุปกรณ์ประมวลผลสารสนเทศเป็นไปอย่างถูกต้องและมั่นคงปลอดภัย
1. ขั้นตอนการปฏิบัติงานที่เป็นลายลักษณ์อักษร (Documented operating procedures)
ขั้นตอนการปฏิบัติงานต้องมีการจัดทำเป็นลายลักษณ์อักษรและต้องสามารถเข้าถึงได้โดยผู้ที่จำเป็นต้องใช้งาน เพื่อให้การปฏิบัติงานกับอุปกรณ์ประมวลผลสารสนเทศเป็นไปอย่างถูกต้อง และมีความมั่นคงปลอดภัย กรมส่งเสริมการค้าระหว่างประเทศได้กำหนดให้จัดทำ ขั้นตอนการปฏิบัติงานที่สำคัญไว้เป็นลายลักษณ์อักษร เช่น เอกสารขั้นตอนการดำเนินการ backup เอกสารการเช็คความพร้อมใช้งานของระบบ (Check List Capacity) และการบริหารจัดการการเปลี่ยนแปลง (Change management) เป็นต้น
2. การบริหารจัดการการเปลี่ยนแปลง (Change management)
การเปลี่ยนแปลงต่อองค์กร กระบวนการทางธุรกิจ อุปกรณ์ประมวลผลสารสนเทศ และระบบที่มีผลต่อความมั่นคงปลอดภัยสารสนเทศ ต้องมีการควบคุมการดำเนินการตามคู่มือการปฏิบัติงาน ISMS_PC_Change
3. การบริหารจัดการขีดความสามารถของระบบ (Capacity management)
การใช้ทรัพยากรของระบบต้องมีการติดตาม ปรับปรุง และคาดการณ์ความต้องการเพิ่มเติมในอนาคตเพื่อให้ระบบมีประสิทธิภาพตามที่ต้องการ
4. การแยกสภาพแวดล้อมสำหรับการพัฒนา การทดสอบ และการให้บริการออกจากกัน (Separation of development, testing and operational environments)
สภาพแวดล้อมสำหรับการพัฒนา การทดสอบ และการให้บริการ ต้องมีการจัดทำแยกกันเพื่อลดความเสี่ยงของการเข้าถึงหรือการเปลี่ยนแปลงสภาพแวดล้อมสำหรับการให้บริการโดยไม่ได้รับอนุญาต
การป้องกันโปรแกรมไม่ประสงค์ดี (Protection from Malware)
ข้อ 19 การป้องกันโปรแกรมไม่ประสงค์ดี มีวัตถุประสงค์เพื่อให้สารสนเทศและอุปกรณ์ประมวลผลสารสนเทศได้รับการป้องกันจากโปรแกรมไม่ประสงค์ดี
มีมาตรการตรวจหา การป้องกัน และการกู้คืน จากโปรแกรมไม่ประสงค์ดี ต้องมีการดำเนินการร่วมกับการสร้างความตระหนักผู้ใช้งานที่เหมาะสม เพื่อให้ระบบสารสนเทศและอุปกรณ์ประมวลผลได้รับการป้องกันจากโปรแกรมไม่ประสงค์ดี เช่น ไวรัส วอร์ม มัลแวร์ กรมส่งเสริมการค้าระหว่างประเทศได้มีการกำหนดให้มีการอัพเดตสม่ำเสมอและสแกนไวรัสอย่างน้อยสัปดาห์ละ 1 ครั้ง
การสำรองข้อมูล (Backup)
ข้อ 20 การสำรองข้อมูล มีวัตถุประสงค์เพื่อป้องกันการสูญหายของข้อมูลและการพร้อมใช้งานของระบบสารสนเทศ
1. ในการสำรองข้อมูลระบบสารสนเทศคอมพิวเตอร์แม่ข่ายของกรม แบ่งออกเป็น 2 สถานที่ ตามสถานที่ที่ตั้งอยู่ ซึ่งได้แก่ ศูนย์ข้อมูลสำนักปลัดกระทรวงพาณิชย์ (Moc Cloud) และห้องคอมพิวเตอร์แม่ข่ายของกรมส่งเสริมการค้าระหว่างประเทศที่กระทรวงพาณิชย์จังหวัดนนทบุรี
2. กระบวนการในการสำรองข้อมูล สามารถดูได้จาก Backup Flow Chart ซึ่งเป็นขั้นตอนและกระบวนการในการสำรองข้อมูลแบบสมบูรณ์ (Complete Backup)
3. ในการสำรองข้อมูลคอมพิวเตอร์แม่ข่ายของกรมส่งเสริมการค้าระหว่างประเทศ ต้องดำเนินการตามแผนการดำเนินงาน ซึ่งแต่ละประเภทของคอมพิวเตอร์แม่ข่ายจะมีการสำรองข้อมูลแตกต่างกันออกไป
4. ความถี่ในการสำรองข้อมูลอาจแบ่งได้เป็นแบบ ส่วนที่เพิ่มขึ้นรายวัน (Increment Backup) และแบบเต็มระบบเป็นรายสัปดาห์ (Full Backup)
5. รายละเอียดในการสำรองข้อมูลของแต่ละเครื่องคอมพิวเตอร์แม่ข่าย สามารถดูได้จากตารางการสำรองข้อมูล
6. การสำรองข้อมูลแบบตั้งเวลาดำเนินการอัตโนมัติ
7. ทุกครั้งที่เจ้าหน้าที่ทำการตรวจสอบเครื่องคอมพิวเตอร์แม่ข่าย จะต้องมีการบันทึกลงวันที่และเวลาในการดำเนินงาน
8. กำหนดให้มีการทดสอบการ Restore ในการพร้อมใช้งานอย่างน้อยราย 6 เดือน ต่อครั้ง ทดสอบการใช้งานเพื่อให้มั่นใจว่าระบบสามารถใช้งานได้อย่างถูกต้องสมบูรณ์
การบันทึกข้อมูลล็อกและการเฝ้าระวัง (Logging and Monitoring)
ข้อ 21 การบันทึกข้อมูลล็อกและการเฝ้าระวัง มีวัตถุประสงค์เพื่อให้มีการบันทึกเหตุการณ์และจัดทำหลักฐาน
1. การบันทึกข้อมูลล็อกแสดงเหตุการณ์ (Event logging)
ข้อมูลล็อกแสดงเหตุการณ์ซึ่งบันทึกกิจกรรมของผู้ใช้งาน การทำงานของระบบที่ไม่เป็นไปตามขั้นตอนปกติ ความผิดพลาดในการทำงานของระบบ และเหตุการณ์ความมั่นคงปลอดภัย มีการบันทึกไว้ จัดเก็บ และทบทวนอย่างสม่ำเสมอ
2. การป้องกันข้อมูลล็อก (Protection of log information)
อุปกรณ์บันทึกข้อมูลล็อกและข้อมูลล็อกต้องได้รับการป้องกันจากการเปลี่ยนแปลงแก้ไขและการเข้าถึงโดยไม่ได้รับอนุญาต
3. ข้อมูลล็อกกิจกรรมของผู้ดูแลระบบและเจ้าหน้าที่ปฏิบัติการระบบ (Administrator and operator logs)
กิจกรรมของผู้ดูแลระบบและเจ้าหน้าที่ปฏิบัติการต้องมีการบันทึกไว้เป็นข้อมูลล็อก ข้อมูลดังกล่าวมีการป้องกันและทบทวนอย่างสม่ำเสมอ
4. การตั้งนาฬิกาให้ถูกต้อง (Clock Synchronization)
นาฬิกาของระบบที่เกี่ยวข้องทั้งหมดภายในองค์กรหรือในขอบเขตหนึ่ง ต้องมีการตั้งให้ตรงและถูกต้องเทียบกับแหล่งอ้างอิงเวลาแห่งหนึ่ง
การควบคุมการติดตั้งซอฟต์แวร์บนระบบให้บริการ (Control of operational software)
ข้อ 22 การควบคุมการติดตั้งซอฟต์แวร์บนระบบให้บริการ มีวัตถุประสงค์เพื่อให้ระบบให้บริการมีการทำงานที่ถูกต้อง
มีขั้นตอนปฏิบัติสำหรับการควบคุมการติดตั้งซอฟต์แวร์บนระบบให้บริการ (Installation of software on operational systems) เพื่อให้ระบบที่ให้บริการมีการดำเนินงานได้ถูกต้อง กำหนดให้มีขั้นตอนการปฏิบัติงานสำหรับการติดตั้งซอฟต์แวร์คอมพิวเตอร์ เจ้าหน้าที่เทคนิคของสารสนเทศจะติดตั้งซอฟต์แวร์พร้อมใช้งานที่ถูกต้องตามลิขสิทธิ์ที่ได้รับจัดสรรเท่านั้น และเมื่อต้องการติดตั้งซอฟต์แวร์เพิ่มเติม นอกเหนือจากที่มีในทะเบียนซอฟต์แวร์ที่ได้รับอนุญาตต้องมีการกรอกแบบฟอร์มขอใช้ซอฟต์แวร์เพิ่มเติม
การบริหารจัดการช่องโหว่ทางเทคนิค (Technical Vulnerability Management)
ข้อ 23 การบริหารจัดการช่องโหว่ทางเทคนิค มีวัตถุประสงค์เพื่อให้การปฏิบัติงานกับอุปกรณ์ประมวลผลสารสนเทศเป็นไปอย่างถูกต้องและมั่นคงปลอดภัย
เพื่อป้องกันการโจมตีจากช่องโหว่ทางเทคนิค ข้อมูลเกี่ยวกับช่องโหว่ทางเทคนิคจำเป็นต้องมีการติดตามอย่างสม่ำเสมอ ดังนั้น กรมส่งเสิรมการค้ารหะหว่างประเทศ กำหนดให้มีการสแกนช่องโหว่ทางเทคนิคอย่างน้อยปีละ 1 ครั้ง นอกจากสแกนช่องโหว่แล้ว เพื่อเป็นการป้องกัน กำหนดให้มีการจำกัดสิทธิ์ในการติดตั้งซอฟต์แวร์ในการปฏิบัติงาน กำหนดให้เครื่องที่อยู่ในระบบติดตั้งซอฟต์แวร์ที่ได้รับอนุญาตที่อยู่ในระบบเท่านั้น (ทะเบียนซอฟต์แวร์ที่ได้รับอนุญาต) หากมีความประสงค์ต้องการติดตั้งซอฟต์แวร์ที่อยู่นอกเหนือการอนุญาตให้กรอกแบบฟอร์มขอใช้ซอฟต์แวร์เพิ่มเติม
สิ่งต้องพิจารณาในการตรวจสอบระบบ (Information System Audit Considerations)
ข้อ 24 สิ่งต้องพิจารณาในการตรวจสอบระบบ มีวัตถุประสงค์เพื่อลดผลกระทบของกิจกรรมการตรวจประเมินบนระบบให้บริการ
ความต้องการในการตรวจประเมินและกิจกรรมการตรวจประเมินระบบให้บริการต้องมีการวางแผนและตกลงร่วมกันอย่างระมัดระวังเพื่อลดโอกาสการหยุดชะงักที่มีต่อกระบวนการทางธุรกิจเพื่อลดผลกระทบความไม่สอดคล้องของกิจกรรมการตรวจประเมินบนระบบ ISO/IEC27001:2013 กำหนดให้มีการจัดกิจกรรมตรวจประเมินแบบ System Audit หัวข้อที่ตรวจประเมินเบื้องต้นโดยทีม System Audit Backup, Capacity, Review Rights