MENU
TH EN
Home / Knowledge : การบริหารและการจัดการ

แผนความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ 1

Title Thumbnail & Hero Image: จาก www.pinterest.com วันที่เข้าถึง 2 มิถุนายน 2568.
แผนความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ 1
First revision: Jun.2, 2025
Last change: Jun.14, 2025
สืบค้น รวบรวม เรียบเรียง แปล และปริวรรตโดย อภิรักษ์ กาญจนคงคา.
1.
ก.
สารบัญ
แผนความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ
1.
   1. บทนำ (Introduction)
  o  วัตถุประสงค์ของแผนความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ (Purpose of the IT Security Plan)
  o  ขอบเขตและการประยุกต์ใช้ (Scope and Applicability) 
  o  เป้าหมายและวัตถุประสงค์ (Goals and Objectives)
   2. การกำกับดูแลความปลอดภัยด้านไอที (IT Security Governance)
  o  บทบาทและความรับผิดชอบ (Roles and Responsibilities)
  o  กรอบนโยบาย (Policy Framework)
  o  การปฏิบัติตามกฎหมายและข้อบังคับ (Legal and Regulatory Compliance)
   3. การประเมินความเสี่ยง (Risk Assessment)
  o  การวิเคราะห์ภัยคุกคาม (Threat Analysis)
  o  การประเมินความเสี่ยง (Vulnerability Assessment)
  o  กลยุทธ์การบรรเทาความเสี่ยง (Risk Mitigation Strategies)
   4. นโยบายและมาตรฐานความปลอดภัย (Security Policies and Standards)
  o  นโยบายการควบคุมการเข้าถึง (Access Control Policies)
  o  มาตรฐานการปกป้องข้อมูล (Data Protection Standards)
  o  นโยบายการใช้งานที่ยอมรับได้ (Acceptable use Policies)
   5. การตอบสนองและการจัดการเหตุการณ์ (Incident Response and Management)
  o  การเข้าตรวจจับและการรายงานเหตุการณ์ (Incident Detection and Reporting)
  o  ขั้นตอนการตอบสนอง (Response Procedures)
  o  การฟื้นฟูและการตรวจสอบหลังเกิดเหตุการณ์ (Recovery and Post-Incident Review)
   6. การสร้างความตระหนักและการฝึกอบรมด้านความปลอดภัย (Security Awareness and Training)
  o  การสร้างความตระหนักและการฝึกอบรมพนักงาน (Employee Awareness and Training)
  o  การสื่อสารนโยบายด้านความปลอดภัย (Communication of Security Policies)
  o  ความคิดริเริ่มด้านการศึกษาอย่างต่อเนื่อง (Ongoing Education Initiatives)
   7. การควบคุมทางเทคนิค (technical Controls)
  o  ความปลอดภัยของเครือข่าย (Network Security)
  o  ความปลอดภัยของจุดสิ้นสุด (Endpoint Security) 
  o  โปรโตคอลการเข้ารหัส (Encryption Protocols)
1.
2.
ข.
   8.  ความปลอดภัยทางกายภาพ (Physical Security)
  o  ความปลอดภัยของสิ่งอำนวยความสะดวก (Facility Security)
  o  การควบคุมการเข้าถึงฮาร์ดแวร์ (Access Control of Hardware)
  o  มาตรการป้องกันสิ่งแวดล้อม (Environmental Safeguards)
   9. การติดตามและการตรวจสอบ (Monitoring and Auditing) 
  o  เครื่องมือตรวจสอบความปลอดภัย (Security Monitoring Tools)
  o  กระบวนการและความถี่ในการตรวจสอบ (Audit Processes and Frequency)
  o  การรายงานและตัวชี้วัด (Reporting and Metrics)
   10. ความต่อเนื่องทางธุรกิจและการกู้คืนจากภัยพิบัติ (Business Continuity and Diaster Recovery)
  o  กลยุทธ์การสำรองข้อมูล (Backup Strategies)
  o  แผนความต่อเนื่องของการดำเนินงาน (Continuity of Operations Plan)
  o  ขั้นตอนการกู้คืนจากภัยพิบัติ (Diaster Recovery Procedures)
   11. การบำรุงรักษาแผน (Plan Maintenance)
  o  การอัปเดตและการตรวจสอบประจำ (Regular Updates and Reviews)
  o  การจัดทำเอกสาร (Documentation Management)
  o  การทดสอบและการตรวจสอบความถูกต้อง (Testing and Validation) 
1.
2.
หน้าที่ 1
1.
2.
ส่วนที่ 1:
ปัญหาของความมั่นคงปลอดภัยด้านข้อมูลสารสนเทศ (The Problem of Security)

ศัพท์ นิยามด้าน IT Security ที่พึงทราบ:
  • phish = An infected email
  • exfiltrating (or downloading) confidential or proprietary business or government information for espionage (การจารกรรม), competitive and/or financial cybercrime reasons.
  • ransomware (e.g., CryptoLocker) can corrupt backups before demanding payment.
  • Distributed Denial of Service (DDOS)
  • SQL Injection Attack
  • Web cracking
  • penetration testing (or pen testing)
  • Theft of intellectual property
  • Advanced Persistent Threat (APT)
  • Supply Chain attack
  • Surveillance State
  • Information Warefare
  • Cyberweapon
  • Hacktivism involves non-government groups attacking to achieve specific political causes (e.g., Mexican miner rights, Wikileak support) in illegal ways (e.g., DDOS attacks, defacing or taking down websites).
  • dumpster diving
  • malware (malicious software)
  • spear phishing
  • Pharming
  • Trojan horse
  • keystroke logger
  • backdoor
  • rootkit
  • Denial of Service (DoS)
  • zombie or bot (short for robot)
  • botnet
  • Spammers
  • Password cracking programs
  • worm
  • virus
  • Spyware
  • Adware
  • Logic bomb
1.
2.
หน้าที่ 2
  • European GDPR
  • American Security Laws
  • Payment Card Industry Data Security Standard (PCI DSS)
  • HIPAA or GDPR --- American Health Insurance Portability and Accountability Act
  • Secure design using agile (evil user stories)...??
  • มีสถาบันการศึกษาในอเมริกาประสงค์จะผ่านเกณฑ์ A National Security Agency (NSA) Designation. และ the Center of Academic Excellence Cyber Defense (CAE-CD) .
  • Knowldege Unit (KU)
  • ISACA's Certified Infromation Systems Auditor (CISA).
  • Certified Information Security Manager(c)   CISM.
1.
2.
หน้าที่ 3

ที่มา: www.pinterst.com, วันที่เข้าถึง 11 มิถุนายน 2568.
1.
1. Security Awareness: Brave New World
  • a Phish = an infected email.
  • exfiltrating = Downloading.
  • espionage (เอส เพีย เอ นาช) or trespass (เทรสเพส) = a spy = การจารกรรม หรือ การบุกรุก. 
  • Cybercrime = อาชญากรรมทางไซเบอร์.
  • Ransomeware (e.g., CryptoLocker)
  • Distributed Denial of Service (DDoS)
  • มีการ Hack ข้อมูลขนานใหญ่ในปี 2023 ด้วยเทคนิค SQL Injection Attack.
  • Web cracking = a lucrative, attracking organized crime who often live outside the countries they are attacking.
  • penetration testing or pentesting.
  • Theft of intellectual property.
  • Advanced Persistant Threat (APT)
  • Supply Chain Attack
  • Surveillance State
1.2.3. Information Warfare
  • Cyber Weapons --> Stuxnety worm.
  • Hacktivism
1.
2.
หน้าที่ 4
1.3. Criminal Techniques to Enter, Investigate, and Persisit in a Network
  • Spear Phishing - is when particulat person is targeted for a special scam email, using knowledge of their interests, friends, and lifestyle.
  • Pharming - is a web scam, where a scam webpage can resemble a real webpage.
  • Trojan horse - is a real program that is advertised to do onething (e.g., display a video clip), while it secretly also does something malicious.
  • a keystroke logger -
  • a backdoor
  • a rootkit
  • Denial of Service (DoS) - (1) หาก Attacker ด้วยการ Disrupt operations for Extortion, information warfare or grudge reasons. (2) a means to disrupt service or damage equipments is.
  • a Zombie or bot (short for robot).
  • botnet.
  • Spammer.
  • Password cracking programs.
  • Spyware.
  • Adware - may show pop-ups.
  • Logic bomb - คนเขียนโปรแกรมใส่ Code เข้าไปใน program ในจังหวะที่เหมาะสม เช่น Company จะจ่ายค่า Maintenance ไม่ได้ หรือการให้ Programmer โดนไล่ออก.
1.
2.
หน้าที่ 5
 1.4. Protecting Yourself
  • Antivirus Software - firewall. signature or snippets.
  • Patching software - The bugs are periodically found a fixed by the manufacturer.
  • Firewall - a system against malware.
  • Business email compromise.
  • Dictionary attack.
  • Social Engineer.
  • Brute forte attack.
  • Zero-day attack.
  • Encrypted - it is undecipherable without a secret key.
  • https: - the final 's' stands for secure, as in encrypted.
  • WLAN - a wirless local area netwrok which leads to throne common attacks
    • First - sniffer
    • Second - war driving
    • Third - Man in the Middle Attack
  • WPA3 - a newly emerging standard for improved WLAN security.
  • The three basic pillars of security include:
    • Confidentiality - ensures that information/equipment is made available only to people who should have access to it.
    • Integrity - ensures that information/equipment is accurate, and modified only by authorized persons.
    • Availability - ensures that information/equipment is available to qualified persons at the time they need it.    
1.
หน้าที่ 6
คำศัพท์ที่เกี่ยวข้อง
 
   Worm     
   Ransomeware    e.g., CryptoLocker - can encrypting crucial disks and demanding payment to unencrypt it. - can corrupt backups before demanding payment. Often there is an explicit threat that the organization's confidential information will be released.
   Penetration test    
   Distributed denial of service (DDOS)    where an organization's network or prime web server is overwhelmed with fake transactions, and the ransomes demand payment to stop.
   Virus    
   Spear phishing    
   Cyber-crime    
   Zero-day attack    
   Spyware    
   Firewall    
   Trojan Horse    
   Man in the middle attack    
   Adware    
   Patching    
   Denial of service    
   Surveillance state    
   Backdoor    
   Spamming    
   Dictionary attack    
   Advanced persistent threat    
   Rootkit    
   Phishing    
   Keystroke logger    
   Cyber-weapon    
   Botnet    
   Pharming     
   Social engineer    
   Information warfare    
   Sniffer    
   War driving    
   Exfiltrate    or downloading confidential or proprietary business or government information for espionage, competitive and/or financial cybercrime reasons.
   Password cracking    
   WPA3    
   Hacktivist    
   Logic bomb    
   Brute force attack    
1.
2.
 
หน้าที่ 7
2. Combatting Fraud
1.
2.1. Internal Fraud
  • The categories of Interanl Fraud
    1. Asset Misappropriation (Stealing)
    2. Bribery and Corruption
    3. Financial Statement Fraud
2.1.1 Defenses Againt Interal Fraud.
  • Preventive techniques
    • Detective Technique
    • Corrective Technique
  • Motivation
  • Rationalization
  • Opportunity
  • The RICE ethical model promotes Respect, Integrity, Communication, and Excellence.
  • A recent ethics model is the 3Rs. -->
    • Respect - should be maintained for other people, for company property, and for the law. 
    • Responsibilities - means working cooperatively to meet reasonable job obligations with timelt, high-quality work.
    • Results - Keep an organization in business, but fraud is likely when expectations are unreasonable.
  • Segregation of Duties
  • Colussion
  • ACFE = Association of Certified Fraud Examines (http://www.acFe.com)
  • Corrective Techniques
2.1.2. Recognizing Fraud
1.
หน้าที่ 8
2.2. External Fraud
2.2.1. Identify Theft
2.2.2. Social Engineering
2.2.3. Business Email Compromise (BEC)
          Email Account Compromise (EAC)
2.2.4. Consumer Fraud
2.2.5. Receipt, Check, and Money order Scams
  • Check Scams.
  • Money Orders.
2.2.6. Developing an Action Plan
  • Write down your external fraud risks as well as feasible controls to reduce then.
  • Evaluate which aspects of the red flag Recommendations seemed particularly applicable.
  • Security Workbook [Chapter 2]
  • The FBI tracks a set of different types of fraud.
  1.  Antitrust
  2. Bankruptcy fraud
  3. Corporate fraud
  4. Financial Institution fraud and failure
  5. Healthcare fraud
  6. Insurance fraud
  7. Mass Marketing Fraud
  8. Money Laundering
  9. Mortgage fraud
  10. Intellectual property theft
  11. Security and Commodities Fraud and 
  12. Other white-collar fraud.

หน้าที่ 9
2.3. Advanced: A Fraud Investigation
  • Forensic Audit - เทคนิคทางวิทยาศาสตร์เข้าตรวจสอบ. - เกี่ยวกับศาล กฎหมาย.
Step 1: Initial Inquiry
CAAT = Computer Assisted Audit Technique Software is a flexible tool that enables searching and analysis, using an audit Command language, through a large transaction database. It can identify anomalies, trends and suspicious transactions, such as matched employee and accounts payable contact information.

Step 2: Develop and Confirm Hypothesis 

Step 3: Collect Evidence
Audit must collect evidence เพื่อใช้ตรวจสอบ 3 ประเด็น
1. Evidence of Organization Loss.
2. Personal Gain and
3. Deception


คำศัพท์ที่เกี่ยวข้อง
1.
   Collussion    
   Shell company    Payments are made to a fake company, given a believable or similiar name as an existing account.
   Corrective control    
   Asset misappropriation    "Misuse of any company asset for personal gain" and includes theft of cash, inventory, supplies, equipment, checks, and information.
   Bribery    
   Larceny      Theft of funds or assets that company recorded as going to another party.
   Preventive control    
   Financial Statement fraud    It includes violating accounting rules or exaggerating income, through overstating revenue or assets, or understating expenses or liabilities. This may include declaring false sales, valuing obsolete inventory or uncollectable accounts, writing off useful assets as junk, and not recording owed accounts. 
   Lapping    Theft is covered with someone else's check, which is covered with the next person's check, and so on.
   Embezzlement    Abusing a business priviledge for personal gain; conversion for personal use.
   Detective control    
   Segregation of duties    
   Skimming    Taking funds before the are recorded into company records.  
   Tip    
   Ghost employee    Payments are made to a fake employee. An Empoyee abuses a business privilege for personal gain.
   Red flag rule    
1.
2.
หน้าที่ 12
3. Complying with th PCI DSS Standard
1.
3.3.3.6. Maintain an Information Security Policy

Requirement 12: Support Information Security with organizational Policies and programs

 
หน้าที่ 13
คำศัพท์ที่เกี่ยวข้อง
 
     
     
     
     
     
     
     
     
     





แหล่งอ้างอิง:
01. Information Security Planning: A practical Approach, Susan Lincke, Second Edition, ISBN 978-3-031-43117-3, Springer, USA. 2024.
1.
2.
3
back
humanexcellence.thailand@gmail.com
© HUEXONLINE.COM. All Rights Reserved.
Visit : 5452625