Home / Knowledge : การบริหารและการจัดการ

แผนความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ 1

Title Thumbnail & Hero Image: จาก www.pinterest.com วันที่เข้าถึง 2 มิถุนายน 2568.
แผนความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ 1

First revision: Jun.2, 2025

Last change: Jul.22, 2025
สืบค้น รวบรวม เรียบเรียง แปล และปริวรรตโดย อภิรักษ์ กาญจนคงคา.

ก.

สารบัญ
แผนความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ

	1. บทนำ (Introduction)
	o	วัตถุประสงค์ของแผนความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ (Purpose of the IT Security Plan)
	o	ขอบเขตและการประยุกต์ใช้ (Scope and Applicability)
	o	เป้าหมายและวัตถุประสงค์ (Goals and Objectives)
	2. การกำกับดูแลความปลอดภัยด้านไอที (IT Security Governance)
	o	บทบาทและความรับผิดชอบ (Roles and Responsibilities)
	o	กรอบนโยบาย (Policy Framework)
	o	การปฏิบัติตามกฎหมายและข้อบังคับ (Legal and Regulatory Compliance)
	3. การประเมินความเสี่ยง (Risk Assessment)
	o	การวิเคราะห์ภัยคุกคาม (Threat Analysis)
	o	การประเมินความเสี่ยง (Vulnerability Assessment)
	o	กลยุทธ์การบรรเทาความเสี่ยง (Risk Mitigation Strategies)
	4. นโยบายและมาตรฐานความปลอดภัย (Security Policies and Standards)
	o	นโยบายการควบคุมการเข้าถึง (Access Control Policies)
	o	มาตรฐานการปกป้องข้อมูล (Data Protection Standards)
	o	นโยบายการใช้งานที่ยอมรับได้ (Acceptable use Policies)
	5. การตอบสนองและการจัดการเหตุการณ์ (Incident Response and Management)
	o	การเข้าตรวจจับและการรายงานเหตุการณ์ (Incident Detection and Reporting)
	o	ขั้นตอนการตอบสนอง (Response Procedures)
	o	การฟื้นฟูและการตรวจสอบหลังเกิดเหตุการณ์ (Recovery and Post-Incident Review)
	6. การสร้างความตระหนักและการฝึกอบรมด้านความปลอดภัย (Security Awareness and Training)
	o	การสร้างความตระหนักและการฝึกอบรมพนักงาน (Employee Awareness and Training)
	o	การสื่อสารนโยบายด้านความปลอดภัย (Communication of Security Policies)
	o	ความคิดริเริ่มด้านการศึกษาอย่างต่อเนื่อง (Ongoing Education Initiatives)
	7. การควบคุมทางเทคนิค (technical Controls)
	o	ความปลอดภัยของเครือข่าย (Network Security)
	o	ความปลอดภัยของจุดสิ้นสุด (Endpoint Security)
	o	โปรโตคอลการเข้ารหัส (Encryption Protocols)

1.
2.

ข.

	8. ความปลอดภัยทางกายภาพ (Physical Security)
	o	ความปลอดภัยของสิ่งอำนวยความสะดวก (Facility Security)
	o	การควบคุมการเข้าถึงฮาร์ดแวร์ (Access Control of Hardware)
	o	มาตรการป้องกันสิ่งแวดล้อม (Environmental Safeguards)
	9. การติดตามและการตรวจสอบ (Monitoring and Auditing)
	o	เครื่องมือตรวจสอบความปลอดภัย (Security Monitoring Tools)
	o	กระบวนการและความถี่ในการตรวจสอบ (Audit Processes and Frequency)
	o	การรายงานและตัวชี้วัด (Reporting and Metrics)
	10. ความต่อเนื่องทางธุรกิจและการกู้คืนจากภัยพิบัติ (Business Continuity and Diaster Recovery)
	o	กลยุทธ์การสำรองข้อมูล (Backup Strategies)
	o	แผนความต่อเนื่องของการดำเนินงาน (Continuity of Operations Plan)
	o	ขั้นตอนการกู้คืนจากภัยพิบัติ (Diaster Recovery Procedures)
	11. การบำรุงรักษาแผน (Plan Maintenance)
	o	การอัปเดตและการตรวจสอบประจำ (Regular Updates and Reviews)
	o	การจัดทำเอกสาร (Documentation Management)
	o	การทดสอบและการตรวจสอบความถูกต้อง (Testing and Validation)

1.
2.

หน้าที่ 1

1.
2.

ส่วนที่ 1:

ปัญหาของความมั่นคงปลอดภัยด้านข้อมูลสารสนเทศ (The Problem of Security)

ศัพท์ นิยามด้าน IT Security ที่พึงทราบ:

phish = An infected email
exfiltrating (or downloading) confidential or proprietary business or government information for espionage (การจารกรรม), competitive and/or financial cybercrime reasons.
ransomware (e.g., CryptoLocker) can corrupt backups before demanding payment.
Distributed Denial of Service (DDOS)
SQL Injection Attack
Web cracking
penetration testing (or pen testing)
Theft of intellectual property
Advanced Persistent Threat (APT)
Supply Chain attack
Surveillance State
Information Warefare
Cyberweapon
Hacktivism involves non-government groups attacking to achieve specific political causes (e.g., Mexican miner rights, Wikileak support) in illegal ways (e.g., DDOS attacks, defacing or taking down websites).
dumpster diving
malware (malicious software)
spear phishing
Pharming
Trojan horse
keystroke logger
backdoor
rootkit
Denial of Service (DoS)
zombie or bot (short for robot)
botnet
Spammers
Password cracking programs
worm
virus
Spyware
Adware
Logic bomb

1.
2.

หน้าที่ 2

European GDPR
American Security Laws
Payment Card Industry Data Security Standard (PCI DSS)
HIPAA or GDPR --- American Health Insurance Portability and Accountability Act
Secure design using agile (evil user stories)...??
มีสถาบันการศึกษาในอเมริกาประสงค์จะผ่านเกณฑ์ A National Security Agency (NSA) Designation. และ the Center of Academic Excellence Cyber Defense (CAE-CD) .
Knowldege Unit (KU)
ISACA's Certified Infromation Systems Auditor (CISA).
Certified Information Security Manager^(c) CISM.

1.
2.

หน้าที่ 3

ที่มา: www.pinterst.com, วันที่เข้าถึง 11 มิถุนายน 2568.

1. Security Awareness: Brave New World

a Phish = an infected email.
exfiltrating = Downloading.
espionage (เอส เพีย เอ นาช) or trespass (เทรสเพส) = a spy = การจารกรรม หรือ การบุกรุก.
Cybercrime = อาชญากรรมทางไซเบอร์.
Ransomeware (e.g., CryptoLocker)
Distributed Denial of Service (DDoS)
มีการ Hack ข้อมูลขนานใหญ่ในปี 2023 ด้วยเทคนิค SQL Injection Attack.
Web cracking = a lucrative, attracking organized crime who often live outside the countries they are attacking.
penetration testing or pentesting.
Theft of intellectual property.
Advanced Persistant Threat (APT)
Supply Chain Attack
Surveillance State

1.2.3. Information Warfare

Cyber Weapons --> Stuxnety worm.
Hacktivism

1.
2.

หน้าที่ 4

1.3. Criminal Techniques to Enter, Investigate, and Persisit in a Network

Spear Phishing - is when particulat person is targeted for a special scam email, using knowledge of their interests, friends, and lifestyle.
Pharming - is a web scam, where a scam webpage can resemble a real webpage.
Trojan horse - is a real program that is advertised to do onething (e.g., display a video clip), while it secretly also does something malicious.
a keystroke logger -
a backdoor
a rootkit
Denial of Service (DoS) - (1) หาก Attacker ด้วยการ Disrupt operations for Extortion, information warfare or grudge reasons. (2) a means to disrupt service or damage equipments is.
a Zombie or bot (short for robot).
botnet.
Spammer.
Password cracking programs.
Spyware.
Adware - may show pop-ups.
Logic bomb - คนเขียนโปรแกรมใส่ Code เข้าไปใน program ในจังหวะที่เหมาะสม เช่น Company จะจ่ายค่า Maintenance ไม่ได้ หรือการให้ Programmer โดนไล่ออก.

1.
2.

หน้าที่ 5

1.4. Protecting Yourself

Antivirus Software - firewall. signature or snippets.
Patching software - The bugs are periodically found a fixed by the manufacturer.
Firewall - a system against malware.
Business email compromise.
Dictionary attack.
Social Engineer.
Brute forte attack.
Zero-day attack.
Encrypted - it is undecipherable without a secret key.
https: - the final 's' stands for secure, as in encrypted.
WLAN - a wirless local area netwrok which leads to throne common attacks
- First - sniffer
- Second - war driving
- Third - Man in the Middle Attack
WPA3 - a newly emerging standard for improved WLAN security.
The three basic pillars of security include:
- Confidentiality - ensures that information/equipment is made available only to people who should have access to it.
- Integrity - ensures that information/equipment is accurate, and modified only by authorized persons.
- Availability - ensures that information/equipment is available to qualified persons at the time they need it.

หน้าที่ 6

คำศัพท์ที่เกี่ยวข้อง

	Worm
	Ransomeware		e.g., CryptoLocker - can encrypting crucial disks and demanding payment to unencrypt it. - can corrupt backups before demanding payment. Often there is an explicit threat that the organization's confidential information will be released.
	Penetration test
	Distributed denial of service (DDOS)		where an organization's network or prime web server is overwhelmed with fake transactions, and the ransomes demand payment to stop.
	Virus
	Spear phishing
	Cyber-crime
	Zero-day attack
	Spyware
	Firewall
	Trojan Horse
	Man in the middle attack
	Adware
	Patching
	Denial of service
	Surveillance state
	Backdoor
	Spamming
	Dictionary attack
	Advanced persistent threat
	Rootkit
	Phishing
	Keystroke logger
	Cyber-weapon
	Botnet
	Pharming
	Social engineer
	Information warfare
	Sniffer
	War driving
	Exfiltrate		or downloading confidential or proprietary business or government information for espionage, competitive and/or financial cybercrime reasons.
	Password cracking
	WPA3
	Hacktivist
	Logic bomb
	Brute force attack

1.
2.

หน้าที่ 7

2. Combatting Fraud
1.

2.1. Internal Fraud

The categories of Interanl Fraud
1. Asset Misappropriation (Stealing)
2. Bribery and Corruption
3. Financial Statement Fraud

2.1.1 Defenses Againt Interal Fraud.

Preventive techniques
- Detective Technique
- Corrective Technique
Motivation
Rationalization
Opportunity
The RICE ethical model promotes Respect, Integrity, Communication, and Excellence.
A recent ethics model is the 3Rs. -->
- Respect - should be maintained for other people, for company property, and for the law.
- Responsibilities - means working cooperatively to meet reasonable job obligations with timelt, high-quality work.
- Results - Keep an organization in business, but fraud is likely when expectations are unreasonable.
Segregation of Duties
Colussion
ACFE = Association of Certified Fraud Examines (http://www.acFe.com)
Corrective Techniques

2.1.2. Recognizing Fraud
1.

หน้าที่ 8

2.2. External Fraud
2.2.1. Identify Theft
2.2.2. Social Engineering
2.2.3. Business Email Compromise (BEC)
Email Account Compromise (EAC)
2.2.4. Consumer Fraud
2.2.5. Receipt, Check, and Money order Scams

Check Scams.
Money Orders.

2.2.6. Developing an Action Plan

Write down your external fraud risks as well as feasible controls to reduce then.
Evaluate which aspects of the red flag Recommendations seemed particularly applicable.
Security Workbook [Chapter 2]
The FBI tracks a set of different types of fraud.

Antitrust
Bankruptcy fraud
Corporate fraud
Financial Institution fraud and failure
Healthcare fraud
Insurance fraud
Mass Marketing Fraud
Money Laundering
Mortgage fraud
Intellectual property theft
Security and Commodities Fraud and
Other white-collar fraud.

หน้าที่ 9

2.3. Advanced: A Fraud Investigation

Forensic Audit - เทคนิคทางวิทยาศาสตร์เข้าตรวจสอบ. - เกี่ยวกับศาล กฎหมาย.

Step 1: Initial Inquiry
CAAT = Computer Assisted Audit Technique Software is a flexible tool that enables searching and analysis, using an audit Command language, through a large transaction database. It can identify anomalies, trends and suspicious transactions, such as matched employee and accounts payable contact information.

Step 2: Develop and Confirm Hypothesis

Step 3: Collect Evidence
Audit must collect evidence เพื่อใช้ตรวจสอบ 3 ประเด็น
1. Evidence of Organization Loss.
2. Personal Gain and
3. Deception
1.
2.
คำศัพท์ที่เกี่ยวข้อง
1.

	Collussion
	Shell company		Payments are made to a fake company, given a believable or similiar name as an existing account.
	Corrective control
	Asset misappropriation		"Misuse of any company asset for personal gain" and includes theft of cash, inventory, supplies, equipment, checks, and information.
	Bribery
	Larceny		Theft of funds or assets that company recorded as going to another party.
	Preventive control
	Financial Statement fraud		It includes violating accounting rules or exaggerating income, through overstating revenue or assets, or understating expenses or liabilities. This may include declaring false sales, valuing obsolete inventory or uncollectable accounts, writing off useful assets as junk, and not recording owed accounts.
	Lapping		Theft is covered with someone else's check, which is covered with the next person's check, and so on.
	Embezzlement		Abusing a business priviledge for personal gain; conversion for personal use.
	Detective control
	Segregation of duties
	Skimming		Taking funds before the are recorded into company records.
	Tip
	Ghost employee		Payments are made to a fake employee. An Empoyee abuses a business privilege for personal gain.
	Red flag rule

1.
2.

หน้าที่ 12

ที่มา: fundraiseup.com, วันที่เข้าถึง: 14 มิถุนายน 2568.

3. Complying with th PCI DSS Standard

The Payment Card Industry Data Secuirty Standard - PCI DSS - Internal Standard.

3.1. Applicability

Lastest version 4.0 2004 PCI DSS
Two main Standards (1) PCI DSS (2) The Security Software Standard.

3.2. Background and Threats

TJX Payment
Skimmer Scams
PIN = Personal Identity Number
EMV = The European-Mastercard-VISA

3.3. General Requirements
3.3.1 Definitions

PCI SSC = Payment Card Industry Security Standard Council.

3.3.1.1. Payment Card Information

Card Holder Data - includes Primary Account Number (PAN) or Payment Card Number.
Sensitive Authentication Number - The Card verification Code or The Card Validation Code ===> CCVC.
CVV = Card Validation Value.

3.3.1.2. Payment Card Configuration

Point of Interaction (POI)
Card data environment (CDE)

3.3.2. PCI DSS Requirements
3.3.2.1. Build and Maintain a Secure Network
Requirement 1: Install and Maintain Network Security Controls
Requirement 2: Apply Secure Configurations to All System Components
3.3.2.2. Protect Cardholder Data
Requirement 3: Protect Stored Account Data
Requirement 4: Protect Cardholder Data with Strong Cryptography During Transmission Over Open, Public Networks.
3.3.2.3. Maintain a Vulnerability Management Program
Requirement 5: Protect All Systems and Networks from Malicious Software.
Requirement 6: Develop and Maintain Secure Systems and Software.
3.3.2.4. Implement Strong Access Control Measures
Requirement 7: Restrict Access to System Components and Cardholder Data by Business Need to Know.
Requirement 8: Identify Users and Authenticate Access to System Components.
Requirement 9: Restrict Physical Access to Cardholder Data.
3.3.2.5. Regularly Monitor and Test Networks
Requirement 10: Log and Monitor All Access to System Components and Cardholder Data.
Requirement 11: Test the Security of Systems and Networks Regularly.
3.3.2.6. Maintain an Information Security Policy
Requirement 12: Support Information Security with Organizational Policies and Programs

Information security policies shall be reviewed annually as significant changes occur in the business.
Chief Information Security Officer - CISO
They must also be published and disseminated to all pertinent personnel. Security roles are documented and people are aware of their roles. An Acceptable Use Policy document how staff may use computers, including mobile devices, remote login, removable storage, internet and email usage, and acceptable software on organizational computers. A security awareness training program is provided annually and for new hires, to ensure staff remain aware of important risks, including social engineering, phishing and acceptable use of computing technologies. The program includes multiple methjods of communicating security awareness.
Business continuity addresses how operations may continue when IT fails or is attacked.

1.
2.

หน้าที่ 13

3.3.3. Additional Requirements for Sophisticated Configurations.

3.3.4. The PCI DSS Approval Process and Annual Assessments

Qualified Security Assessors (QSA) are qualified by PCI SSC (Payment Card Industry Security Standard Council)

3.3.5. Other Security Concerns

Problem: Cryptocurrency ATMs

3.4. Specific Vendor Requirements
3.5. Advanced: Software Security Framework.
3.6 Questions and Problems

คำศัพท์ที่เกี่ยวข้อง

	Attestation of compliance
	Report on compliance
	Primary account number
	Approved scanning vendor
	Qualified security assessor
	Card verification code
	Skimmer
	Data security standard
	Personal identification number

แหล่งอ้างอิง:
01. Information Security Planning: A practical Approach, Susan Lincke, Second Edition, ISBN 978-3-031-43117-3, Springer, USA. 2024.
1.
2.
3

back

humanexcellence.thailand@gmail.com

Visit : 5976606