โครงการจัดจ้างที่ปรึกษาเพื่อปรับปรุงประสิทธิภาพกระบวนการบริหาร จัดการความมั่นคงปลอดภัย

สถานที่ : บริษัท ปตท. เคมิคอล จำกัด (มหาชน)

ผู้ว่าจ้าง : บริษัท ที-เน็ต จำกัด

วันที่เริ่มโครงการ : 1 กุมภาพันธ์ 2553

วันสิ้นสุดโครงการ : 1 สิงหาคม 2553

วัตถุประสงค์/เป้าหมายโครงการ

  1. เพื่อศึกษา เอกสารนโยบาย มาตรฐาน และกระบวนการด้านการรักษาความมั่นคงปลอดภัยสารสนเทศของบริษัท ปตท. เคมิคอล (มหาชน) จำกัด ที่ประกาศใช้อยู่ในปัจจุบัน จากนั้นนำผลการศึกษามาวิเคราะห์และสรุปความสอดคล้องของกระบวนการด้านการรักษาความมั่นคงปลอดภัยสารสนเทศเดิม เปรียบเทียบกับมาตรฐานความมั่นคงปลอดภัยสารสนเทศ ISO/IEC 27001
  2. เพื่อนำผลที่ได้จากข้อ 1 มาพิจารณาจัดทำเป็นแผนด้านความมั่นคงปลอดภัยสารสนเทศ (IT Security Plan) ที่ควรจะได้รับการดำเนินการให้เหมาะสมในแต่ละช่วงเวลา
  3. เพื่อนำผลที่ได้มาจัดทำเป็นเอกสารนโยบาย ขั้นตอนปฏิบัติ แนวทางปฏิบัติ ข้อกำหนด หรือแบบฟอร์มต่างๆ เพื่อเป็นแนวทางให้ บมจ. ปตท. เคมิคอล สามารถนำไปประยุกต์ใช้กับกระบวนการรักษาความมั่นคงปลอดภัยสารสนเทศที่เป็นอยู่ในปัจจุบัน ได้อย่างสอดคล้องกับมาตรฐาน ISO/IEC 27001
  4. เพื่อฝึกอบรมพนักงานที่มีหน้าที่รับผิดชอบ ผู้ที่ปฏิบัติหน้าที่เกี่ยวข้องกับกระบวนการบริหารจัดการด้านความมั่นคงปลอดภัยสารสนเทศ ได้นำผลผลิตข้างต้นไปใช้งานอย่างถูกต้องและเหมาะสม
  5. เพื่อเพิ่มพูนความเข้าใจ และสร้างความตระหนักด้านการรักษาความมั่นคงปลอดภัยสารสนเทศตามมาตรฐาน ISO/IEC 27001ให้กับพนักงานของ บมจ. ปตท. เคมิคอล ที่ต้องปฏิบัติงานเกี่ยวข้องกับกระบวนการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ
  6. เพื่อดำเนินการฝึกอบรมให้แก่เจ้าหน้าที่ของ บริษัท ปตท. เคมิคอล จำกัด (มหาชน) ในการสร้างความตระหนักถึงความจำเป็นในการรักษาความมั่นคงปลอดภัยแก่ระบบสารสนเทศขององค์กร

กิจกรรมของโครงการ:

การวิเคราะห์ ทบทวน ออกแบบ และปรับปรุง เพื่อวางแนวทางสำหรับระบบบริหารจัดการความมั่นคงปลอดภัยสำหรับสารสนเทศครอบคลุมระบบต่างๆ ของ บริษัท ปตท. เคมิคอล จำกัด (มหาชน)  ดังต่อไปนี้

  • โครงสร้างพื้นฐานของระบบเครือข่าย
  • อุปกรณ์เครือข่าย เช่น เราเตอร์และสวิตช์ เป็นต้น
  • เครื่องเซิร์ฟเวอร์ให้บริการ เช่น เว็บเซิร์ฟเวอร์ และ เมล์เซิร์ฟเวอร์ เป็นต้น
  • ระบบป้องกันการบุกรุกทางเครือข่าย เช่น IDS และ Firewall เป็นต้น
  • ระบบการเข้าถึงเครือข่ายโดยผู้ใช้จากภายนอก (Remote Access)
  • ระบบคอมพิวเตอร์ส่วนบุคคล (Personnel Computer)
  • ห้องเซิร์ฟเวอร์
  • ระบบงานสารสนเทศ
  1. ดำเนินการศึกษา วิเคราะห์ และแนะนำการปรับปรุงระบบเครือข่ายและระบบงานสารสนเทศของ บริษัท ปตท. เคมิคอล จำกัด (มหาชน) ให้รองรับการใช้งานภายในอนาคต พร้อมทั้งสอดคล้องและเป็นไปตามระเบียบ ข้อบังคับตามกฎหมายและพระราชกฤษฎีกาต่างๆ
    1. การศึกษาระบบงานเดิมและความต้องการของหน่วยงานตลอดจนนโยบาย โดยศึกษาจากระบบและบุคลากรในหน่วยงาน
    2. การวิเคราะห์ปัญหาต่าง ๆ ในระบบเดิมที่ใช้โดยการวิเคราะห์สภาพการจัดระบบงานสารสนเทศของหน่วยงานในเรื่องของความ พร้อมด้านอุปกรณ์ ฮาร์ดแวร์ ซอฟต์แวร์ อุปกรณ์พ่วงต่อ และระบบเครือข่าย การสื่อสารโทรคมนาคม ตำแหน่ง ความเหมาะสม ในการจัดวางอุปกรณ์เครือข่ายในระบบสารสนเทศเพื่อให้มีประสิทธิภาพในการใช้งาน และมีความมั่นคงปลอดภัยเพียงพอ รวมถึงบุคลากร โดยพิจารณาทั้ง ปริมาณ คุณภาพ และข้อจำกัดต่าง ๆ
    3. การวิเคราะห์ปริมาณการใช้งานทรัพยากร แนวโน้มการใช้งาน และประสิทธิภาพของระบบเครือข่ายและระบบงานสารสนเทศ
    4. การวิเคราะห์การบริหารจัดการบันทึกข้อมูลการใช้งาน (Log file)
    5. นำเสนอวิธีการแก้ปัญหาที่มีอยู่ในระบบเดิมและจัดทำแผนจัดเตรียมอุปกรณ์เพื่อให้สอดคล้องกับแนวทางการแก้ปัญหาที่ได้มีการนำเสนอ
    6. สรุปและพยากรณ์ผลการดำเนินการทั้งด้านการลงทุนและสิ่งที่จะได้รับหลังการดำเนินการ เพื่อให้ผู้บริหารตัดสินใจว่าคุ้มกับการลงทุนหรือไม่และจะมีการดำเนินการอย่างไรต่อไป
  2. ดำเนินการศึกษา สัมภาษณ์ และตรวจประเมินระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ ตามมาตรฐาน ISO/IEC 27001 (Gap Analysis) ให้ครอบคลุมตามหัวข้อของมาตรฐานดังต่อไปนี้
    1. นโยบายความมั่นคงปลอดภัย (Security Policy)
    2. โครงสร้างทางด้านความมั่นคงปลอดภัยสำหรับองค์กร (Organization of information security)
    3. การบริหารจัดการทรัพย์สินขององค์กร (Asset management)
    4. ความมั่นคงปลอดภัยที่เกี่ยวข้องกับบุคลากร (Human resources security)
    5. การสร้างความมั่นคงปลอดภัยทางกายภาพและสิ่งแวดล้อม

      (Physical and environmental security)

    6. การบริหารจัดการด้านการสื่อสารและการดำเนินงานของเครือข่ายสารสนเทศขององค์กร (Communications and operations management)
    7. การควบคุมการเข้าถึง (Access control)
    8. การจัดหา การพัฒนา และการบำรุงรักษาระบบสารสนเทศ

      (Information system acquisition, development and maintenance)

    9. การบริหารจัดการเหตุการณ์ที่เกี่ยวข้องกับความมั่นคงปลอดภัยขององค์กร (Information security incident management)
    10. การบริหารความต่อเนื่องในการดำเนินงานขององค์กร (Business continuity management)
    11. การปฏิบัติตามข้อกำหนด (Compliance)
  3. พัฒนาแผนการรักษาความมั่นคงปลอดภัยระบบเทคโนโลยีสารสนเทศ (IT Security Plan) เพื่อปรับปรุงประสิทธิภาพในกระบวนการบริหารจัดการด้านความมั่นคงปลอดภัยสารสนเทศให้ดียิ่งขึ้นโดยเน้นการดำเนินการแบบแบ่งเป็นแผนระยะสั้นและระยะยาว
  4. นำเสนอแนวทางและมาตรการเพื่อปิด Gap ตามที่ตรวจพบและเสริมสร้างความมั่นคงปลอดภัยโดยมุ่งเน้นการนำเอกสารประกอบการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ มาเป็นมาตรการในการปรับปรุงกระบวนการบริหารจัดการของ บริษัทฯ ให้สอดคล้องกับมาตรฐานความมั่นคงปลอดภัยสารสนเทศมากขึ้น
  5. จัดทำเอกสารประกอบการบริหารจัดการความมั่นคงปลอดภัย ตามมาตรฐาน ISO/IEC27001 ซึ่งประกอบด้วยลำดับของเอกสาร ดังนี้
    • นโยบายความมั่นคงปลอดภัย (ISMS Policy) ซึ่งเป็นนโยบายหลักขององค์กร
    • นโยบายอื่นๆ ซึ่งสนับสนุนนโยบายหลักขององค์กร เช่น นโยบายการใช้งานอีเมล์
    • นโยบายควบคุมการเข้าถึงระบบคอมพิวเตอร์และเครือข่าย เป็นต้น
    • เอกสารขั้นตอนปฏิบัติ (Procedure)
    • แบบฟอร์ม และบันทึกต่างๆ ที่จำเป็นต่อระบบการรักษาความมั่นคงปลอดภัยขององค์กร (Forms and Records)
  6. ภายหลังจากที่จัดทำเอกสารแล้วจะดำเนินการจัดอบรมบุคลากรที่เกี่ยวข้องกับกระบวนการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ ในการดำเนินการตามนโยบาย ขั้นตอนปฏิบัติ แนวทางปฏิบัติ และวิธีการกรอกแบบฟอร์มในแต่ละส่วนที่เกี่ยวข้องตามความเหมาะสม
  7. ภายหลังจากที่จัดทำเอกสารแล้วจะดำเนินการจัดอบรมบุคลากรที่เกี่ยวข้องกับกระบวนการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ ให้มีความรู้ความเข้าใจในกระบวนวิธีการประเมินความเสี่ยงตามมาตรฐานความมั่นคงปลอดภัย ISO/IEC 27001
  8. ดำเนินการฝึกอบรมด้านความมั่นคงปลอดภัย โดยจัดหลักสูตรดังต่อไปนี้
    • การอบรมหลักสูตร “ความรู้พื้นฐานด้านมาตรฐานความมั่นคงปลอดภัย ISO/IEC 27001 และการประยุกต์ใช้” ให้เจ้าหน้าที่ของ บริษัท ปตท. เคมิคอล จำกัด (มหาชน) จำนวน 20 ท่านต่อหลักสูตร ระยะเวลา 4 วัน จำนวน 1 ครั้ง
    • การอบรมหลักสูตร “การจัดเก็บข้อมูลการจราจรทางคอมพิวเตอร์ตาม พ.ร.บ. ICT พ.ศ. 2550” ให้แก่เจ้าหน้าที่ของ บริษัท ปตท. เคมิคอล จำกัด (มหาชน) จำนวน 50 ท่านต่อหลักสูตร ระยะเวลา 3 วัน จำนวน 1 ครั้ง
    • การอบรมหลักสูตร “การอบรมเพื่อสร้างความตระหนักด้านในการรักษาความมั่นคงปลอดภัยให้กับผู้ใช้งานระบบเทคโนโลยีสารสนเทศขององค์กร รวมถึงพระราชบัญญัติที่เกี่ยวข้องที่จำเป็นต้องทราบ สำหรับผู้ใช้ระดับผู้บริหาร (Information Security Management executives)” ให้แก่ผู้บริหารของ บริษัท ปตท. เคมิคอล จำกัด (มหาชน) จำนวน 50 ท่านต่อหลักสูตร ระยะเวลา 3 ชั่วโมง จำนวน 1 ครั้ง
    • การอบรมหลักสูตร “ ความรู้ทางด้านการป้องกันและกำจัดไวรัส หนอนอินเทอร์เน็ต และภัยที่แฝงมากับอินเทอร์เน็ตในรูปแบบต่างๆ รวมถึงพระราชบัญญัติที่เกี่ยวข้องที่จำเป็นต้องทราบ สำหรับผู้ใช้งานทั่วไป ( Information Security Awareness for End-User)” ให้แก่เจ้าหน้าที่ของบริษัท ปตท. เคมิคอล จำกัด (มหาชน) จำนวน 120 ท่านต่อหลักสูตร ระยะเวลา 3 ชั่วโมง จำนวน 1 ครั้ง