ความปลอดภัยของข้อมูล

ความปลอดภัยของข้อมูลคือการปฏิบัติเพื่อปกป้องข้อมูลโดยการลดความเสี่ยงด้านข้อมูล เป็นส่วนหนึ่งของการจัดการความเสี่ยงด้านข้อมูล^{[ 1 ]}โดยทั่วไปเกี่ยวข้องกับการป้องกันหรือลดโอกาสการเข้าถึงข้อมูล โดยไม่ได้รับอนุญาตหรือไม่เหมาะสม หรือการใช้การเปิดเผยการรบกวน การลบ การทำให้เสียหาย การแก้ไข การตรวจสอบ การบันทึก หรือการลดคุณค่าของข้อมูลโดยไม่ชอบด้วยกฎหมาย นอกจากนี้ยังเกี่ยวข้องกับการดำเนินการที่มุ่งลดผลกระทบเชิงลบจากเหตุการณ์ดังกล่าว ข้อมูลที่ได้รับการปกป้องอาจอยู่ในรูปแบบใดก็ได้ เช่น อิเล็กทรอนิกส์หรือทางกายภาพ จับต้องได้ (เช่นเอกสาร ) หรือจับต้องไม่ได้ (เช่นความรู้ ) ^{[ 2 ]}จุดเน้นหลักของความปลอดภัยของข้อมูลคือการปกป้องข้อมูลอย่างสมดุลระหว่างความลับ ความสมบูรณ์และความพร้อมใช้งาน (ที่รู้จักกันในชื่อ CIA triad ซึ่งไม่เกี่ยวข้องกับองค์กรของรัฐบาลสหรัฐฯ) ^{[ 3 ]}ในขณะที่ยังคงมุ่งเน้นไปที่ การดำเนินการ ตามนโยบาย อย่างมีประสิทธิภาพ โดยไม่ขัดขวางผลิตภาพของ องค์กร ^{[ 4 ]}สิ่งนี้ส่วนใหญ่บรรลุได้ผ่านกระบวนการ จัดการความเสี่ยง ที่มีโครงสร้าง

เพื่อสร้างมาตรฐาน ให้กับสาขาวิชานี้ นักวิชาการและผู้เชี่ยวชาญจึงร่วมมือกันเพื่อเสนอแนวทาง นโยบาย และมาตรฐานอุตสาหกรรมเกี่ยวกับรหัสผ่านซอฟต์แวร์ป้องกันไวรัสไฟร์วอลล์ซอฟต์แวร์เข้ารหัสความ รับผิดทางกฎหมายการ สร้าง ความตระหนักรู้และการฝึกอบรมด้านความปลอดภัยและอื่นๆ^{[ 5 ]}การสร้างมาตรฐานนี้อาจได้รับการผลักดันเพิ่มเติมจากกฎหมายและข้อบังคับต่างๆ มากมายที่มีผลต่อวิธีการเข้าถึง ประมวลผล จัดเก็บ ถ่ายโอน และทำลายข้อมูล^{[ 6 ]}

แม้ว่าการดำเนินงานทางธุรกิจที่ใช้กระดาษยังคงแพร่หลายและต้องการแนวปฏิบัติด้านความปลอดภัยของข้อมูลเฉพาะของตนเอง แต่โครงการริเริ่มดิจิทัลขององค์กรกำลังได้รับความสนใจมากขึ้นเรื่อยๆ^{[ 7 ]}โดย ผู้เชี่ยวชาญด้านความปลอดภัยของเทคโนโลยีสารสนเทศ (IT) จะเป็นผู้ดูแล การประกันความปลอดภัยของข้อมูล ผู้เชี่ยวชาญเหล่านี้จะนำความปลอดภัยของข้อมูลไปใช้กับเทคโนโลยี (ส่วนใหญ่จะเป็นระบบคอมพิวเตอร์บางรูปแบบ)

ผู้เชี่ยวชาญด้านความปลอดภัยไอทีได้รับการว่าจ้างจากองค์กร/สถาบันขนาดใหญ่เพื่อรักษา ความปลอดภัย ของเทคโนโลยี ของบริษัท จากการโจมตีที่เป็นอันตรายซึ่งมุ่งหวังที่จะได้รับข้อมูลส่วนตัวที่สำคัญหรือควบคุมระบบภายใน^{[ 8 ]}^{[ 9 ]}

มีบทบาทเฉพาะทางมากมายในด้านความปลอดภัยสารสนเทศ รวมถึงการรักษาความปลอดภัยเครือข่ายและโครงสร้างพื้นฐาน ที่เกี่ยวข้อง การรักษาความปลอดภัยแอป พลิเค ชันและฐาน ข้อมูล การทดสอบ ความปลอดภัยการตรวจสอบระบบสารสนเทศการวางแผนความต่อเนื่องทางธุรกิจการค้นหาบันทึกอิเล็กทรอนิกส์ และนิติวิทยาศาสตร์ดิจิทัล^{[ 10 ]}

มาตรฐาน

มาตรฐานความปลอดภัยของข้อมูลคือแนวทางที่โดยทั่วไประบุไว้ในเอกสารเผยแพร่ซึ่งมีจุดมุ่งหมายเพื่อปกป้องสภาพแวดล้อมทางไซเบอร์ของผู้ใช้หรือองค์กรจากภัยคุกคาม^{[ 11 ]}สภาพแวดล้อมนี้รวมถึงตัวผู้ใช้เอง ฮาร์ดแวร์ เช่น อุปกรณ์และเครือข่าย ซอฟต์แวร์ เช่น แอปพลิเคชันหรือบริการ และข้อมูลใดๆ ที่จัดเก็บหรือส่งผ่าน

มาตรฐานเหล่านี้ประกอบด้วยแนวคิดด้านความปลอดภัย เทคโนโลยี และแนวทางปฏิบัติในการรับมือกับเหตุการณ์ไม่พึงประสงค์ นอกจากนี้ยังอาจรวมถึงเกณฑ์การประเมินและการรับรองสำหรับองค์กรที่นำระดับความปลอดภัยขั้นต่ำมาใช้ มาตรฐานเหล่านี้ได้รับการพัฒนาโดยหน่วยงานระหว่างประเทศและระดับชาติหลายแห่ง เพื่อป้องกันหรือลดผลกระทบจากการโจมตีทางไซเบอร์ สร้างความสม่ำเสมอในหมู่นักพัฒนา และกำหนดมาตรฐานขั้นต่ำในอุตสาหกรรมที่เสี่ยงต่อการถูกโจมตี

ตระกูลมาตรฐาน ISO/IEC 27000ซึ่งเผยแพร่โดยองค์การมาตรฐานสากล (ISO) และคณะกรรมการไฟฟ้าสากล (IEC) ให้ข้อมูลเกี่ยวกับแนวทางและข้อกำหนดสำหรับระบบการจัดการความปลอดภัยของข้อมูล (ISMS) ^{[ 12 ]}มาตรฐานCommon Criteria (ISO/IEC 15408) ให้แนวทางในการประเมินและรับรองความปลอดภัยของระบบ^{[ 13 ]} IEC 62443กำหนดมาตรฐานความปลอดภัยสำหรับระบบอัตโนมัติและระบบควบคุม ในทำนองเดียวกัน ISO/SAE 21434, ETSI EN 303 645 และ EN 18031 ให้มาตรฐานสำหรับยานพาหนะบนท้องถนนอินเทอร์เน็ตของสิ่งต่างๆและระบบที่ใช้คลื่นวิทยุ ตามลำดับ

กรอบงานความปลอดภัยทางไซเบอร์ของ NIST (NIST CSF) เป็นชุดแนวทางที่พัฒนาโดยสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ ของสหรัฐอเมริกา เพื่อช่วยองค์กรในการจัดการความเสี่ยง^{[ 14 ]} NIST ยังเผยแพร่มาตรฐานการประมวลผลข้อมูลของรัฐบาลกลาง (FIPS) และเอกสารเผยแพร่พิเศษต่างๆ สหราชอาณาจักรได้นำCyber Essentials มาใช้ ซึ่งเป็นโครงการรับรองเพื่อปกป้ององค์กรจากภัยคุกคามด้านความปลอดภัยทั่วไป^{[ 15 ]}ศูนย์ความปลอดภัยทางไซเบอร์ของออสเตรเลียเผยแพร่กลยุทธ์การบรรเทาภัยคุกคาม Essential Eight ^{[ 16 ]}

มาตรฐานความปลอดภัยข้อมูลอุตสาหกรรมบัตรชำระเงิน (PCI DSS) ควบคุมการจัดการข้อมูลผู้ถือบัตรเพื่อลดการฉ้อโกงบัตรเครดิต^{[ 17 ]} ULได้เผยแพร่มาตรฐานที่เกี่ยวข้องกับอุตสาหกรรมเฉพาะ เช่น UL 2900-2-3 สำหรับระบบสัญญาณความปลอดภัยและชีวิต และ UL-2900-2-1 สำหรับระบบดูแลสุขภาพและความเป็นอยู่ที่ดี

ภัยคุกคาม

ภัยคุกคามต่อความปลอดภัยของข้อมูลมีหลายรูปแบบ^{[ 18 ]}ภัยคุกคามที่พบบ่อยที่สุดในปัจจุบัน ได้แก่ การโจมตีทางซอฟต์แวร์ การขโมยทรัพย์สินทางปัญญา การขโมยข้อมูลส่วนบุคคล การขโมยอุปกรณ์หรือข้อมูล การก่อวินาศกรรม และการกรรโชกข้อมูล^{[ 19 ]}ไวรัส [ ²⁰^]เวิร์มการโจมตีแบบฟิชชิ่งและโทรจันเป็นตัวอย่างทั่วไปของการโจมตีทางซอฟต์แวร์ การขโมยทรัพย์สินทางปัญญาก็เป็นปัญหาที่แพร่หลายสำหรับธุรกิจหลายแห่ง การขโมย ^{ข้อมูล}ส่วนบุคคล คือความพยายามที่จะกระทำการแทนผู้อื่น โดยปกติเพื่อ ^ที่จะได้รับข้อมูลส่วนบุคคลของบุคคลนั้น หรือเพื่อใช้ประโยชน์จากการเข้าถึงข้อมูลสำคัญของพวกเขาผ่านวิศวกรรมสังคม [ ²¹^]^[²²^]การก่อวินาศกรรม มักประกอบด้วยการทำลาย เว็บไซต์ขององค์กรเพื่อพยายามทำให้ลูกค้าสูญเสียความเชื่อมั่น^[²³^]การกรรโชกข้อมูลประกอบด้วยการขโมยทรัพย์สินหรือข้อมูลของบริษัทเพื่อพยายามรับเงินเพื่อแลกกับการคืนข้อมูลหรือทรัพย์สินให้กับเจ้าของ เช่นเดียวกับแรนซัมแวร์ หนึ่งในมาตรการป้องกันที่มีประสิทธิภาพมากที่สุดต่อการโจมตีเหล่านี้คือ การจัดให้มีการตระหนักรู้แก่ผู้ใช้งานเป็นระยะ

รัฐบาลกองทัพบริษัทสถาบัน การเงินโรงพยาบาลองค์กรไม่แสวงหาผลกำไร และธุรกิจเอกชนต่างสะสมข้อมูลที่เป็นความลับจำนวนมากเกี่ยวกับพนักงาน ลูกค้า ผลิตภัณฑ์ การวิจัย และสถานะทางการเงิน หากข้อมูลที่เป็นความลับเกี่ยวกับลูกค้า การเงิน หรือสายผลิตภัณฑ์ใหม่ของธุรกิจตกไปอยู่ในมือของคู่แข่งหรือแฮกเกอร์ธุรกิจและลูกค้าอาจประสบกับความสูญเสียทางการเงินอย่างกว้างขวางและแก้ไขไม่ได้ รวมถึงความเสียหายต่อชื่อเสียงของบริษัทด้วย^[²⁴^]จากมุมมองทางธุรกิจ ความปลอดภัยของข้อมูลต้องสมดุลกับต้นทุนโมเดล Gordon-Loebให้แนวทางทางเศรษฐศาสตร์เชิงคณิตศาสตร์สำหรับการจัดการข้อกังวลนี้^[²⁵^]

สำหรับบุคคลทั่วไป ความปลอดภัยของข้อมูลมีผลกระทบอย่างมากต่อความเป็นส่วนตัวซึ่งมีการมองที่แตกต่างกันมากในวัฒนธรรมต่างๆ^{[ 26 ]}

ประวัติศาสตร์

นับตั้งแต่ยุคแรกเริ่มของการสื่อสาร นักการทูตและผู้บัญชาการทหารเข้าใจว่าจำเป็นต้องมีกลไกบางอย่างเพื่อปกป้องความลับของการติดต่อสื่อสาร และมีวิธีการตรวจจับการปลอมแปลง^{[ 27 ]}จูเลียส ซีซาร์ได้รับการยกย่องว่าเป็นผู้คิดค้นรหัสซีซาร์ราว 50 ปีก่อนคริสตกาล ซึ่งสร้างขึ้นเพื่อป้องกันไม่ให้ข้อความลับของเขาถูกอ่านหากข้อความตกไปอยู่ในมือคนผิด^{[ 28 ]}^{[ 29 ]}อย่างไรก็ตาม โดยส่วนใหญ่แล้ว การป้องกันจะทำได้โดยการใช้การควบคุมการจัดการตามขั้นตอน^{[ 30 ]}ข้อมูลที่ละเอียดอ่อนจะถูกทำเครื่องหมายไว้เพื่อระบุว่าควรได้รับการปกป้องและขนส่งโดยบุคคลที่ไว้ใจได้ เก็บรักษาไว้ในสภาพแวดล้อมที่ปลอดภัยหรือตู้นิรภัย เมื่อบริการไปรษณีย์ขยายตัว รัฐบาลได้สร้างองค์กรอย่างเป็นทางการเพื่อดักฟัง ถอดรหัส อ่าน และปิดผนึกจดหมายใหม่ (เช่น สำนักงานลับของสหราชอาณาจักร ก่อตั้งขึ้นในปี 1653 ^{[ 31 ]} )

ในช่วงกลางศตวรรษที่ 19 มีการพัฒนา ระบบการจำแนกประเภท ที่ซับซ้อนมากขึ้น เพื่อให้รัฐบาลสามารถจัดการข้อมูลตามระดับความละเอียดอ่อนได้^{[ 32 ]}ตัวอย่างเช่น รัฐบาลอังกฤษได้กำหนดเรื่องนี้ไว้ในระดับหนึ่งด้วยการประกาศใช้พระราชบัญญัติความลับราชการในปี 1889 ^{[ 33 ]}มาตรา 1 ของกฎหมายเกี่ยวข้องกับการจารกรรมและการเปิดเผยข้อมูลโดยไม่ชอบด้วยกฎหมาย ในขณะที่มาตรา 2 เกี่ยวข้องกับการละเมิดความไว้วางใจของเจ้าหน้าที่ ต่อมาได้มีการเพิ่มการป้องกันผลประโยชน์สาธารณะเพื่อปกป้องการเปิดเผยข้อมูลเพื่อประโยชน์ของรัฐ^{[ 34 ]}กฎหมายที่คล้ายกันนี้ได้ถูกตราขึ้นในอินเดียในปี 1889 คือ พระราชบัญญัติความลับราชการของอินเดีย ซึ่งเกี่ยวข้องกับยุคอาณานิคมของอังกฤษและใช้ในการปราบปรามหนังสือพิมพ์ที่ต่อต้านนโยบายของราช^{[ 35 ]}ฉบับใหม่กว่าได้ถูกตราขึ้นในปี 1923 ซึ่งขยายขอบเขตไปถึงเรื่องทั้งหมดของข้อมูลที่เป็นความลับหรือข้อมูลลับสำหรับการปกครอง^{[ 36 ]} ในช่วงสงครามโลกครั้งที่หนึ่งระบบการจำแนกประเภทหลายระดับถูกนำมาใช้เพื่อสื่อสารข้อมูลระหว่างแนวรบต่างๆ ซึ่งส่งเสริมให้มีการใช้ส่วนการสร้างและถอดรหัสมากขึ้นในกองบัญชาการทางการทูตและทางทหาร^{[ 37 ]}การเข้ารหัสมีความซับซ้อนมากขึ้นระหว่างสงคราม เนื่องจากมีการใช้เครื่องจักรในการเข้ารหัสและถอดรหัสข้อมูล^{[ 38 ]}

การก่อตั้ง ระบบ รักษาความปลอดภัยคอมพิวเตอร์ถือเป็นจุดเริ่มต้นของประวัติศาสตร์การรักษาความปลอดภัยข้อมูล ความจำเป็นดังกล่าวเกิดขึ้นในช่วงสงครามโลกครั้งที่สอง [ ^{39 ] ปริมาณ}ข้อมูลที่ประเทศพันธมิตรแบ่งปันกันในช่วงสงครามโลกครั้งที่สองทำให้จำเป็นต้องมีการจัดระบบการจำแนกประเภทและการควบคุมขั้นตอนอย่างเป็นทางการ เครื่องหมายที่ซับซ้อนมากมายถูกพัฒนาขึ้นเพื่อระบุว่าใครสามารถจัดการเอกสารได้ (โดยปกติจะเป็นเจ้าหน้าที่มากกว่าทหารเกณฑ์) และควรจัดเก็บไว้ที่ใด เนื่องจากมีการพัฒนาตู้เซฟและสถานที่จัดเก็บที่ซับซ้อนมากขึ้นเรื่อยๆ^{[ 40 ]}เครื่องEnigmaซึ่งเยอรมันใช้ในการเข้ารหัสข้อมูลทางการทหารและถูกถอดรหัสได้สำเร็จโดยAlan Turingถือเป็นตัวอย่างที่โดดเด่นของการสร้างและใช้ข้อมูลที่ปลอดภัย^{[ 41 ]}ขั้นตอนต่างๆ ถูกพัฒนาขึ้นเพื่อให้แน่ใจว่าเอกสารถูกทำลายอย่างถูกต้อง และการไม่ปฏิบัติตามขั้นตอนเหล่านี้เป็นสาเหตุให้เกิดความสำเร็จด้านข่าวกรองครั้งสำคัญที่สุดครั้งหนึ่งในสงคราม (เช่น การจับกุมเรือดำน้ำ U-570 ^{[ 41 ]} )

ในช่วง สงครามเย็น คอมพิวเตอร์เมนเฟรมหลายเครื่องถูกเชื่อมต่อออนไลน์เพื่อทำงานที่ซับซ้อนมากขึ้น โดยใช้กระบวนการสื่อสารที่ง่ายกว่าการส่งเทปแม่เหล็กไปมาระหว่างศูนย์คอมพิวเตอร์ ด้วยเหตุนี้หน่วยงานวิจัยโครงการขั้นสูง (ARPA) ของกระทรวงกลาโหมสหรัฐฯจึงเริ่มวิจัยความเป็นไปได้ของระบบเครือข่ายการสื่อสารเพื่อแลกเปลี่ยนข้อมูลภายในกองทัพสหรัฐฯในปี 1968 โครงการ ARPANETได้รับการริเริ่มโดยLarry Robertsซึ่งต่อมาได้พัฒนาเป็นสิ่งที่รู้จักกันในชื่ออินเทอร์เน็ต^[⁴²^]

ในปี พ.ศ. 2516 Robert Metcalfeผู้บุกเบิกอินเทอร์เน็ตได้ค้นพบข้อบกพร่องหลายประการในองค์ประกอบสำคัญของระบบรักษาความปลอดภัย ARPANET เช่น "ความเปราะบางของโครงสร้างและรูปแบบรหัสผ่าน การขาดขั้นตอนด้านความปลอดภัยสำหรับการเชื่อมต่อแบบ dial-upและการไม่มีการระบุตัวตนและการอนุญาตของผู้ใช้" นอกเหนือจากการขาดการควบคุมและมาตรการป้องกันเพื่อรักษาข้อมูลให้ปลอดภัยจากการเข้าถึงโดยไม่ได้รับอนุญาต แฮกเกอร์สามารถเข้าถึง ARPANET ได้อย่างง่ายดาย เนื่องจากหมายเลขโทรศัพท์เป็นที่รู้จักของสาธารณชน^{[ 43 ]}เนื่องจากปัญหาเหล่านี้ ประกอบกับการละเมิดความปลอดภัยของคอมพิวเตอร์อย่างต่อเนื่อง รวมถึงการเพิ่มขึ้นอย่างรวดเร็วของจำนวนโฮสต์และผู้ใช้ของระบบ "ความปลอดภัยของเครือข่าย" จึงมักถูกกล่าวถึงว่าเป็น "ความไม่ปลอดภัยของเครือข่าย" ^{[ 43 ]}

ช่วงปลายศตวรรษที่ 20 และต้นศตวรรษที่ 21 มีความก้าวหน้าอย่างรวดเร็วในด้านโทรคมนาคม ฮาร์ดแวร์และซอฟต์แวร์คอมพิวเตอร์และการเข้ารหัสข้อมูล[ 44 ^{]การมี}อุปกรณ์คอมพิวเตอร์ขนาดเล็กกว่า ทรงพลังกว่า และราคาถูกกว่า ทำให้การประมวลผลข้อมูลอิเล็กทรอนิกส์เป็นไปได้สำหรับธุรกิจขนาดเล็กและผู้ใช้ตามบ้าน^{[ 45 ]}การก่อตั้ง Transfer Control Protocol/Internetwork Protocol (TCP/IP) ในช่วงต้นทศวรรษ 1980 ทำให้คอมพิวเตอร์ประเภทต่างๆ สามารถสื่อสารกันได้^[^{46 ] คอมพิวเตอร์}เหล่านี้เชื่อมต่อกันอย่างรวดเร็วผ่านทางอินเทอร์เน็ต^[ 47 ^]

การเติบโตอย่างรวดเร็วและการใช้งานอย่างแพร่หลายของการประมวลผลข้อมูลอิเล็กทรอนิกส์และธุรกิจอิเล็กทรอนิกส์ที่ดำเนินการผ่านทางอินเทอร์เน็ต ควบคู่ไปกับการก่อการร้าย ระหว่างประเทศจำนวนมาก ทำให้เกิดความต้องการวิธีการที่ดีกว่าในการปกป้องคอมพิวเตอร์และข้อมูลที่จัดเก็บ ประมวลผล และส่งผ่าน^{[ 48 ]}สาขาวิชาการด้านความปลอดภัยของคอมพิวเตอร์และการรับรองข้อมูลจึงเกิดขึ้นพร้อมกับองค์กรวิชาชีพจำนวนมาก ซึ่งทั้งหมดมีเป้าหมายร่วมกันในการรับรองความปลอดภัยและความน่าเชื่อถือของระบบสารสนเทศ^{[ 49 ]}

เป้าหมายด้านความปลอดภัย

ไตรภาคีซีไอเอ

"ไตรภาค CIA" ของการรักษาความลับความสมบูรณ์และความพร้อมใช้งานเป็นหัวใจสำคัญของความปลอดภัยของข้อมูล^{[ 50 ]}แนวคิดนี้ได้รับการแนะนำในรายงาน Anderson ในปี 1972 และต่อมาได้กล่าวซ้ำในThe Protection of Information in Computer Systemsคำย่อนี้คิดค้นโดย Steve Lipner ประมาณปี 1986 ^{[ 51 ]}

การถกเถียงยังคงดำเนินต่อไปว่าไตรภาคนี้เพียงพอที่จะจัดการกับเทคโนโลยีและความต้องการทางธุรกิจที่เปลี่ยนแปลงอย่างรวดเร็วหรือไม่ โดยมีคำแนะนำให้พิจารณาขยายความเชื่อมโยงระหว่างความพร้อมใช้งานและความลับ ตลอดจนความสัมพันธ์ระหว่างความปลอดภัยและความเป็นส่วนตัว^{[ 3 ]}หลักการอื่นๆ เช่น "ความรับผิดชอบ" บางครั้งก็ได้รับการเสนอแนะ^{[ 52 ]}มีการชี้ให้เห็นว่าประเด็นต่างๆ เช่นการไม่ปฏิเสธความรับผิดชอบนั้นไม่เหมาะสมกับแนวคิดหลักทั้งสามประการ^{[ 53 ]}

การรักษาความลับ

ในด้านความปลอดภัยของข้อมูลความลับคือ "คุณสมบัติที่ว่าข้อมูลจะไม่ถูกเปิดเผยหรือทำให้พร้อมใช้งานแก่บุคคล หน่วยงาน หรือกระบวนการที่ไม่ได้รับอนุญาต" ^{[ 54 ]}แม้จะคล้ายกับ "ความเป็นส่วนตัว" แต่คำทั้งสองคำนี้ไม่สามารถใช้แทนกันได้ ความลับเป็นส่วนประกอบหนึ่งของความเป็นส่วนตัวที่นำมาใช้เพื่อปกป้องข้อมูลจากผู้ที่ไม่ได้รับอนุญาต^{[ 55 ]}ตัวอย่างของการละเมิดความลับของข้อมูลอิเล็กทรอนิกส์ ได้แก่ การขโมยแล็ปท็อป การขโมยรหัสผ่าน หรืออีเมลที่มีข้อมูลสำคัญถูกส่งไปยังบุคคลที่ไม่ถูกต้อง^{[ 56 ]}

ความซื่อสัตย์

ในด้านความปลอดภัยของไอทีความสมบูรณ์ของข้อมูลหมายถึงการรักษาและรับรองความถูกต้องและครบถ้วนของข้อมูลตลอดวงจรชีวิต^{[ 57 ]}ซึ่งหมายความว่าข้อมูลไม่สามารถถูกแก้ไขโดยไม่ได้รับอนุญาตหรือตรวจไม่พบ^{[ 58 ]}นี่ไม่ใช่สิ่งเดียวกับความสมบูรณ์ของการอ้างอิงในฐานข้อมูลแม้ว่าจะสามารถมองได้ว่าเป็นกรณีพิเศษของความสอดคล้องตามที่เข้าใจใน แบบจำลอง ACID แบบคลาสสิก ของการประมวลผลธุรกรรม^{[ 59 ]} ระบบรักษาความปลอดภัยของข้อมูลโดยทั่วไปจะรวมการควบคุมเพื่อให้มั่นใจในความสมบูรณ์ของตนเอง โดยเฉพาะ อย่างยิ่งการปกป้องเคอร์เนลหรือฟังก์ชันหลักจากภัยคุกคามทั้งโดยเจตนาและโดยบังเอิญ^{[ 60 ]}ระบบคอมพิวเตอร์อเนกประสงค์และผู้ใช้หลายคนมีเป้าหมายที่จะแบ่งส่วนข้อมูลและการประมวลผลเพื่อให้ไม่มีผู้ใช้หรือกระบวนการใดสามารถส่งผลกระทบต่อผู้ใช้หรือกระบวนการอื่นได้ อย่างไรก็ตาม การควบคุมอาจไม่ประสบความสำเร็จ ดังที่เห็นได้จากเหตุการณ์ต่างๆ เช่น การติดมัลแวร์ การแฮ็ก การขโมยข้อมูล การฉ้อโกง และการละเมิดความเป็นส่วนตัว^{[ 61 ]}

โดยทั่วไปแล้ว ความสมบูรณ์ถือเป็นหลักการรักษาความปลอดภัยข้อมูลที่เกี่ยวข้องกับความสมบูรณ์ของมนุษย์/สังคม กระบวนการ และเชิงพาณิชย์ รวมถึงความสมบูรณ์ของข้อมูลด้วย ดังนั้นจึงเกี่ยวข้องกับแง่มุมต่างๆ เช่น ความน่าเชื่อถือ ความสอดคล้อง ความจริง ความครบถ้วน ความถูกต้อง ความทันเวลา และการรับประกัน^{[ 62 ]}

ความพร้อมใช้งาน

เพื่อให้ระบบสารสนเทศใดๆ ทำหน้าที่ตามวัตถุประสงค์ได้ ข้อมูลจะต้องพร้อมใช้งานเมื่อจำเป็น^{[ 63 ]}ซึ่งหมายความว่าระบบคอมพิวเตอร์ที่ใช้ในการจัดเก็บและประมวลผลข้อมูลการควบคุมความปลอดภัยที่ใช้ในการปกป้องข้อมูล และช่องทางการสื่อสารที่ใช้ในการเข้าถึงข้อมูลจะต้องทำงานได้อย่างถูกต้อง^{[ 64 ]} ระบบ ที่มีความพร้อมใช้งานสูงมีเป้าหมายที่จะคงความพร้อมใช้งานตลอดเวลา เพื่อป้องกันการหยุดชะงักของบริการเนื่องจากไฟฟ้าดับ ความล้มเหลวของฮาร์ดแวร์ และการอัปเกรดระบบ^{[ 65 ]}การรับประกันความพร้อมใช้งานยังรวมถึงการป้องกันการโจมตีแบบปฏิเสธการให้บริการเช่น การส่งข้อความจำนวนมากไปยังระบบเป้าหมาย ซึ่งโดยพื้นฐานแล้วจะบังคับให้ระบบปิดตัวลง^{[ 66 ]}

ในขอบเขตของความปลอดภัยของข้อมูล ความพร้อมใช้งานมักถูกมองว่าเป็นส่วนสำคัญที่สุดส่วนหนึ่งของโปรแกรมความปลอดภัยของข้อมูลที่ประสบความสำเร็จ ท้ายที่สุดแล้ว ผู้ใช้ปลายทางจำเป็นต้องสามารถปฏิบัติหน้าที่การงานได้ การรับประกันความพร้อมใช้งานจะช่วยให้องค์กรสามารถดำเนินการตามมาตรฐานที่ผู้มีส่วนได้ส่วนเสียขององค์กรคาดหวัง^{[ 67 ]}ซึ่งอาจเกี่ยวข้องกับหัวข้อต่างๆ เช่น การกำหนดค่าพร็อกซี การเข้าถึงเว็บภายนอก ความสามารถในการเข้าถึงไดรฟ์ที่ใช้ร่วมกัน และความสามารถในการส่งอีเมล^{[ 68 ]}ทีมความปลอดภัยของข้อมูลที่ประสบความสำเร็จนั้นประกอบด้วยบทบาทสำคัญที่แตกต่างกันมากมายเพื่อให้สอดคล้องกันและสอดคล้องกับ "CIA" ไตรภาค เพื่อให้การบริการมีประสิทธิภาพ^{[ 69 ]}

เป้าหมายด้านความปลอดภัยเพิ่มเติม

นอกเหนือจากเป้าหมายด้านความปลอดภัยสามประการแบบดั้งเดิมของ CIA แล้ว บางองค์กรอาจต้องการรวมเป้าหมายด้านความปลอดภัยอื่นๆ เช่น ความถูกต้อง ความรับผิดชอบ การไม่ปฏิเสธความรับผิด และความน่าเชื่อถือด้วย

การไม่ปฏิเสธ

ในทางกฎหมายการไม่ปฏิเสธหมายถึงเจตนาที่จะปฏิบัติตามภาระผูกพันตามสัญญา นอกจากนี้ยังหมายความว่าฝ่ายหนึ่งในธุรกรรมไม่สามารถปฏิเสธว่าได้รับธุรกรรม และอีกฝ่ายหนึ่งไม่สามารถปฏิเสธว่าได้ส่งธุรกรรม^{[ 70 ]}

แม้ว่าเทคโนโลยี เช่น ระบบการเข้ารหัสลับ จะช่วยสนับสนุนความพยายามในการไม่ปฏิเสธความรับผิดชอบได้ แต่แนวคิดหลักคือแนวคิดทางกฎหมายที่อยู่เหนือขอบเขตของเทคโนโลยี^{[ 71 ]}ตัวอย่างเช่น การแสดงให้เห็นว่าข้อความตรงกับลายเซ็นดิจิทัลที่ลงนามด้วยกุญแจส่วนตัวของผู้ส่งนั้นไม่เพียงพอ และมีเพียงผู้ส่งเท่านั้นที่สามารถส่งข้อความได้ และไม่มีใครอื่นสามารถเปลี่ยนแปลงข้อความระหว่างการส่งได้ ( ความสมบูรณ์ของข้อมูล ) ^{[ 72 ]}ผู้ส่งที่ถูกกล่าวหาอาจแสดงให้เห็นในทางกลับกันว่าอัลกอริทึมลายเซ็นดิจิทัลนั้นอ่อนแอหรือมีข้อบกพร่อง หรือกล่าวอ้างหรือพิสูจน์ได้ว่ากุญแจลงนามของเขาถูกบุกรุก^{[ 73 ]}ความผิดสำหรับการละเมิดเหล่านี้อาจอยู่ที่ผู้ส่งหรือไม่ก็ได้ และการกล่าวอ้างดังกล่าวอาจทำให้ผู้ส่งพ้นจากความรับผิดหรือไม่ก็ได้ แต่การกล่าวอ้างดังกล่าวจะทำให้การอ้างว่าลายเซ็นพิสูจน์ความถูกต้องและความสมบูรณ์ได้นั้นเป็นโมฆะ ดังนั้น ผู้ส่งอาจปฏิเสธข้อความได้ (เนื่องจากความถูกต้องและความสมบูรณ์เป็นข้อกำหนดเบื้องต้นสำหรับการไม่ปฏิเสธความรับผิดชอบ) ^{[ 74 ]}

รุ่นอื่นๆ

ในปี พ.ศ. 2535 และแก้ไขเพิ่มเติมในปี พ.ศ. 2545 แนวทางปฏิบัติ ของOECD สำหรับความปลอดภัยของระบบสารสนเทศและเครือข่าย^{[ 75 ]}ได้เสนอหลักการที่ได้รับการยอมรับโดยทั่วไป 9 ประการ ได้แก่การตระหนักรู้ความรับผิดชอบ การตอบสนอง จริยธรรม ประชาธิปไตย การประเมินความเสี่ยง การออกแบบและการดำเนินการด้านความปลอดภัย การจัดการความปลอดภัย และการประเมินซ้ำ^{[ 76 ]}โดยต่อยอดจากหลักการเหล่านั้น ในปี พ.ศ. 2547 หลักการทางวิศวกรรมสำหรับความปลอดภัยของเทคโนโลยีสารสนเทศของNIST ^[⁵²^]ได้เสนอหลักการ 33 ประการ

ในปี พ.ศ. 2541 Donn Parkerได้เสนอแบบจำลองทางเลือกสำหรับไตรภาค "CIA" แบบคลาสสิกที่เขาเรียกว่าองค์ประกอบอะตอมหกประการของข้อมูลองค์ประกอบเหล่านี้ได้แก่การรักษาความลับการครอบครองความ สมบูรณ์ ความถูกต้อง ความพร้อม ใช้งานและประโยชน์ใช้สอยคุณค่าของHexad ของ Parkerianเป็นหัวข้อถกเถียงกันในหมู่ผู้เชี่ยวชาญด้านความปลอดภัย^{[ 77 ]}

ในปี 2554 The Open Groupได้เผยแพร่มาตรฐานการจัดการความปลอดภัยของข้อมูลO-ISM3 [ ^{78 ] มาตรฐาน}นี้เสนอคำจำกัดความเชิงปฏิบัติการของแนวคิดหลักด้านความปลอดภัย โดยมีองค์ประกอบที่เรียกว่า "วัตถุประสงค์ด้านความปลอดภัย" ซึ่งเกี่ยวข้องกับการควบคุมการเข้าถึง (9) ความพร้อมใช้งาน (3) คุณภาพข้อมูล (1) การปฏิบัติตาม และด้านเทคนิค (4)

การจัดการความเสี่ยง

ความเสี่ยงคือโอกาสที่สิ่งไม่ดีจะเกิดขึ้นซึ่งก่อให้เกิดความเสียหายต่อสินทรัพย์ข้อมูล (หรือการสูญเสียสินทรัพย์) ^{[ 79 ]}ช่องโหว่คือจุดอ่อนที่อาจถูกนำมาใช้เพื่อเป็นอันตรายหรือก่อให้เกิดความเสียหายต่อสินทรัพย์ข้อมูล ภัยคุกคามคือสิ่งใดก็ตาม (ที่มนุษย์สร้างขึ้นหรือภัยธรรมชาติ ) ที่มีศักยภาพที่จะก่อให้เกิดความเสียหาย^{[ 80 ]}โอกาสที่ภัยคุกคามจะใช้ช่องโหว่เพื่อก่อให้เกิดความเสียหายสร้างความเสี่ยง เมื่อภัยคุกคามใช้ช่องโหว่เพื่อก่อให้เกิดความเสียหาย มันจะส่งผลกระทบ^{[ 81 ]}ในบริบทของความปลอดภัยของข้อมูล ผลกระทบคือการสูญเสียความพร้อมใช้งาน ความสมบูรณ์ และความลับ และอาจรวมถึงการสูญเสียอื่นๆ (รายได้ที่สูญเสียไป การสูญเสียชีวิต การสูญเสียอสังหาริมทรัพย์) ^{[ 82 ]}

คู่มือการทบทวน Certified Information Systems Auditor (CISA) ปี 2006กำหนดการจัดการความเสี่ยงไว้ว่า "กระบวนการระบุช่องโหว่และภัยคุกคามต่อทรัพยากรสารสนเทศที่องค์กรใช้ในการบรรลุวัตถุประสงค์ทางธุรกิจ และตัดสินใจว่า จะใช้ มาตรการตอบโต้ใด^{[ 83 ]}หากมี เพื่อลดความเสี่ยงให้อยู่ในระดับที่ยอมรับได้ โดยพิจารณาจากคุณค่าของทรัพยากรสารสนเทศที่มีต่อองค์กร" ^{[ 84 ]}

มีสองประเด็นในคำจำกัดความนี้ที่อาจต้องมีการชี้แจงเพิ่มเติม ประการแรกกระบวนการจัดการความเสี่ยงเป็นกระบวนการ ที่ดำเนินไปอย่างต่อเนื่องและ ทำซ้ำไปเรื่อยๆ ต้องทำซ้ำไปเรื่อยๆ อย่างไม่มีที่สิ้นสุด สภาพแวดล้อมทางธุรกิจเปลี่ยนแปลงอยู่ตลอดเวลา และภัยคุกคามและช่องโหว่ ใหม่ๆ ก็เกิดขึ้นทุกวัน^{[ 85 ]}ประการที่สอง การเลือกมาตรการรับมือ ( การควบคุม ) ที่ใช้ในการจัดการความเสี่ยงต้องสร้างสมดุลระหว่างประสิทธิภาพ ต้นทุน ประสิทธิผลของมาตรการรับมือ และมูลค่าของสินทรัพย์ข้อมูลที่ได้รับการปกป้อง^{[ 86 ]}นอกจากนี้ กระบวนการเหล่านี้ยังมีข้อจำกัด เนื่องจากการละเมิดความปลอดภัยโดยทั่วไปเกิดขึ้นได้ยากและเกิดขึ้นในบริบทเฉพาะซึ่งอาจไม่สามารถจำลองได้ง่าย^{[ 87 ]}ดังนั้น กระบวนการและมาตรการรับมือใดๆ ก็ควรได้รับการประเมินหาช่องโหว่ด้วย^{[ 88 ]}ไม่สามารถระบุความเสี่ยงทั้งหมดได้ และไม่สามารถกำจัดความเสี่ยงทั้งหมดได้ ความเสี่ยงที่เหลืออยู่เรียกว่า "ความเสี่ยงที่เหลืออยู่" ^{[ 89 ]}

การประเมินความเสี่ยงดำเนินการโดยทีมงานที่มีความรู้ในด้านต่างๆ ของธุรกิจ^{[ 90 ]}สมาชิกในทีมอาจเปลี่ยนแปลงไปตามเวลา เนื่องจากมีการประเมินส่วนต่างๆ ของธุรกิจ^{[ 91 ]}การประเมินอาจใช้การวิเคราะห์เชิงคุณภาพแบบอัตนัยโดยอาศัยความคิดเห็นที่ได้รับข้อมูล หรือในกรณีที่มีตัวเลขมูลค่าเป็นดอลลาร์ที่เชื่อถือได้และข้อมูลในอดีต การวิเคราะห์อาจใช้การวิเคราะห์ เชิงปริมาณ

งานวิจัยแสดงให้เห็นว่าจุดที่เปราะบางที่สุดในระบบสารสนเทศส่วนใหญ่คือผู้ใช้ ผู้ปฏิบัติงาน นักออกแบบ หรือมนุษย์^{[ 92 ]}หลักปฏิบัติ ISO/IEC 27002:2005 สำหรับการจัดการ ความปลอดภัยของข้อมูลแนะนำให้ตรวจสอบสิ่งต่อไปนี้ในระหว่างการประเมินความเสี่ยง:

นโยบายความปลอดภัย
การจัดการความปลอดภัยของข้อมูล
การจัดการสินทรัพย์
ความมั่นคงด้านทรัพยากรบุคคล
ความ ปลอดภัย ทางกายภาพและสิ่งแวดล้อม
การสื่อสารและการจัดการปฏิบัติการ
การควบคุมการเข้าถึง
การจัดหา การพัฒนา และการบำรุงรักษาระบบสารสนเทศ
การจัดการเหตุการณ์ ด้านความ ปลอดภัยของข้อมูล
การจัดการความต่อเนื่องทางธุรกิจ
การปฏิบัติตามกฎระเบียบ

โดยทั่วไป กระบวนการจัดการความเสี่ยงประกอบด้วย: ^{[ 93 ]}^{[ 94 ]}

การระบุสินทรัพย์และการประเมินมูลค่าสินทรัพย์ ได้แก่ บุคคล อาคาร ฮาร์ดแวร์ ซอฟต์แวร์ ข้อมูล (อิเล็กทรอนิกส์ สิ่งพิมพ์ อื่นๆ) วัสดุอุปกรณ์^{[ 95 ]}
ดำเนินการประเมินภัยคุกคามซึ่งรวมถึง: ภัยธรรมชาติ สงคราม อุบัติเหตุ การกระทำที่เป็นอันตรายที่เกิดขึ้นจากภายในหรือภายนอกองค์กร^{[ 96 ]}
ดำเนินการประเมินช่องโหว่และสำหรับแต่ละช่องโหว่ ให้คำนวณความน่าจะเป็นที่จะถูกโจมตี ประเมินนโยบาย ขั้นตอน มาตรฐาน การฝึกอบรมความปลอดภัยทางกายภาพการควบคุมคุณภาพความปลอดภัยทางเทคนิค^{[ 97 ]}
คำนวณผลกระทบที่ภัยคุกคามแต่ละอย่างจะมีต่อสินทรัพย์แต่ละรายการ โดยใช้การวิเคราะห์เชิงคุณภาพหรือการวิเคราะห์เชิงปริมาณ
ระบุ เลือก และนำการควบคุมที่เหมาะสมมาใช้ ให้การตอบสนองตามสัดส่วน พิจารณาถึงผลผลิต ประสิทธิภาพด้านต้นทุน และมูลค่าของสินทรัพย์^{[ 98 ]}
ประเมินประสิทธิผลของมาตรการควบคุม ตรวจสอบให้แน่ใจว่าการควบคุมให้การป้องกันที่มีประสิทธิภาพคุ้มค่าตามที่ต้องการโดยไม่ทำให้ผลผลิตลดลงอย่างเห็นได้ชัด^{[ 99 ]}

สำหรับความเสี่ยงใดๆ ก็ตาม ฝ่ายบริหารสามารถเลือกที่จะยอมรับความเสี่ยงได้โดยพิจารณาจากมูลค่าของสินทรัพย์ที่ค่อนข้างต่ำ ความถี่ในการเกิดที่ค่อนข้างต่ำ และผลกระทบต่อธุรกิจที่ค่อนข้างต่ำ หรือผู้นำอาจเลือกที่จะลดความเสี่ยงโดยการเลือกและนำมาตรการควบคุมที่เหมาะสมมาใช้เพื่อลดความเสี่ยง ในบางกรณี ความเสี่ยงสามารถโอนไปยังธุรกิจอื่นได้โดยการซื้อประกันหรือว่าจ้างธุรกิจอื่น^{[ 100 ]}ความเป็นจริงของความเสี่ยงบางอย่างอาจเป็นที่ถกเถียงกัน ในกรณีเช่นนี้ ผู้นำอาจเลือกที่จะปฏิเสธความเสี่ยง^{[ 101 ]}

การควบคุมความปลอดภัย

การเลือกและการนำมาตรการควบคุมความปลอดภัยที่เหมาะสมมาใช้จะช่วยให้องค์กรลดความเสี่ยงลงสู่ระดับที่ยอมรับได้ในเบื้องต้น^{[ 102 ]}การเลือกมาตรการควบคุมควรเป็นไปตามและควรอยู่บนพื้นฐานของการประเมินความเสี่ยง^{[ 52 ]}มาตรการควบคุมอาจมีลักษณะที่แตกต่างกัน แต่โดยพื้นฐานแล้วเป็นวิธีการปกป้องความลับ ความสมบูรณ์ หรือความพร้อมใช้งานของข้อมูลISO/IEC 27001ได้กำหนดมาตรการควบคุมในด้านต่างๆ ไว้^{[ 103 ]}องค์กรสามารถนำมาตรการควบคุมเพิ่มเติมมาใช้ได้ตามความต้องการขององค์กร^{[ 104 ]} ISO/IEC 27002เสนอแนวทางสำหรับมาตรฐานความปลอดภัยของข้อมูลขององค์กร^{[ 105 ]}

การป้องกันเชิงลึก

การป้องกันเชิงลึกเป็นปรัชญาความปลอดภัยพื้นฐานที่อาศัยระบบรักษาความปลอดภัยที่ซ้อนทับกันซึ่งออกแบบมาเพื่อรักษาการป้องกันแม้ว่าส่วนประกอบแต่ละส่วนจะล้มเหลว แทนที่จะพึ่งพามาตรการรักษาความปลอดภัยเพียงอย่างเดียว มันจะรวมการควบคุมความปลอดภัยหลายชั้นเข้าด้วยกันทั้งในระบบคลาวด์และที่ปลายทางเครือข่าย แนวทางนี้รวมถึงการผสมผสาน เช่น ไฟร์วอลล์กับระบบตรวจจับการบุกรุก บริการกรองอีเมลกับโปรแกรมป้องกันไวรัสบนเดสก์ท็อป และความปลอดภัยบนคลาวด์ควบคู่ไปกับการป้องกันเครือข่ายแบบดั้งเดิม^{[ 106 ]} แนวคิดนี้สามารถนำไปใช้ได้ผ่านการควบคุมสามชั้นที่แตกต่างกัน ได้แก่ การควบคุมด้านการบริหาร ตรรกะ และกายภาพ^{[ 107 ]}หรือมองเห็นได้เป็นแบบจำลองหัวหอมโดยมีข้อมูลอยู่ที่แกนกลาง ล้อมรอบด้วยบุคคล ความปลอดภัยของเครือข่าย ความปลอดภัยบนโฮสต์ และชั้นความปลอดภัยของแอปพลิเคชัน^{[ 108 ]}กลยุทธ์นี้เน้นว่าความปลอดภัยไม่ได้เกี่ยวข้องแค่กับเทคโนโลยีเท่านั้น แต่ยังรวมถึงบุคคลและกระบวนการที่ทำงานร่วมกัน โดยการตรวจสอบและตอบสนองแบบเรียลไทม์เป็นส่วนประกอบที่สำคัญ^{[ 106 ]}

การจำแนกประเภท

แง่มุมที่สำคัญของการรักษาความปลอดภัยข้อมูลและการจัดการความเสี่ยงคือการตระหนักถึงคุณค่าของข้อมูลและการกำหนดขั้นตอนที่เหมาะสมและข้อกำหนดการป้องกันสำหรับข้อมูล^{[ 109 ]}ข้อมูลทุกอย่างไม่ได้มีค่าเท่ากัน ดังนั้นข้อมูลทุกอย่างจึงไม่จำเป็นต้องได้รับการปกป้องในระดับเดียวกัน^{[ 110 ]}ซึ่งจำเป็นต้องมีการกำหนดระดับการรักษาความปลอดภัยให้ กับข้อมูล ^{[ 111 ]}ขั้นตอนแรกในการจำแนกประเภทข้อมูลคือการระบุสมาชิกของฝ่ายบริหารระดับสูงที่เป็นเจ้าของข้อมูลเฉพาะที่จะต้องจำแนกประเภท จากนั้นจึงพัฒนานโยบายการจำแนกประเภท^{[ 112 ]}นโยบายควรอธิบายถึงป้ายกำกับการจำแนกประเภทต่างๆ กำหนดเกณฑ์สำหรับข้อมูลที่จะได้รับป้ายกำกับเฉพาะ และระบุรายการการควบคุมความปลอดภัย ที่จำเป็น สำหรับแต่ละประเภท^{[ 113 ]}

ปัจจัยบางประการที่มีอิทธิพลต่อการกำหนดการจำแนกประเภทข้อมูล ได้แก่ มูลค่าของข้อมูลที่มีต่อองค์กร อายุของข้อมูล และข้อมูลนั้นล้าสมัยหรือไม่^{[ 114 ]}กฎหมายและข้อกำหนดด้านกฎระเบียบอื่นๆ ก็เป็นปัจจัยสำคัญที่ต้องพิจารณาเมื่อจำแนกประเภทข้อมูลเช่นกัน^{[ 115 ]}สมาคมตรวจสอบและควบคุมระบบสารสนเทศ (ISACA) และแบบจำลองธุรกิจด้านความปลอดภัยของข้อมูล ของ ISACA ยังทำหน้าที่เป็นเครื่องมือสำหรับผู้เชี่ยวชาญด้านความปลอดภัยในการตรวจสอบความปลอดภัยจากมุมมองของระบบ สร้างสภาพแวดล้อมที่สามารถจัดการความปลอดภัยได้อย่างครบวงจร ทำให้สามารถจัดการกับความเสี่ยงที่แท้จริงได้^{[ 116 ]}

ประเภทของป้ายกำกับการจำแนกประเภทความปลอดภัยของข้อมูลที่เลือกและใช้งานจะขึ้นอยู่กับลักษณะขององค์กร โดยมีตัวอย่างดังนี้: ^{[ 113 ]}

ในภาคธุรกิจ มักใช้ป้ายกำกับต่างๆ เช่น สาธารณะ, ละเอียดอ่อน, ส่วนตัว, เป็นความลับ
ในภาคส่วนของรัฐบาล มีการใช้ป้ายกำกับต่างๆ เช่น ไม่เป็นความลับ ไม่เป็นทางการ ได้รับการคุ้มครอง เป็นความลับ ลับสุดยอด และคำที่เทียบเท่าในภาษาอื่นๆ ที่ไม่ใช่ภาษาอังกฤษ^{[ 117 ]}
ในการจัดองค์กรข้ามภาคส่วน จะใช้โปรโตคอลสัญญาณไฟจราจรซึ่งประกอบด้วย สีขาว สีเขียว สีเหลือง และสีแดง
ในภาคส่วนส่วนบุคคล ป้ายกำกับหนึ่ง เช่น การเงิน ซึ่งรวมถึงกิจกรรมที่เกี่ยวข้องกับการจัดการเงิน เช่น การธนาคารออนไลน์^{[ 118 ]}

พนักงานทุกคนในองค์กร รวมถึงคู่ค้าทางธุรกิจ ต้องได้รับการฝึกอบรมเกี่ยวกับแผนผังการจำแนกประเภท และเข้าใจการควบคุมความปลอดภัยที่จำเป็นและขั้นตอนการจัดการสำหรับแต่ละประเภท การจำแนกประเภทของสินทรัพย์ข้อมูลเฉพาะที่ได้รับมอบหมาย ควรได้รับการตรวจสอบเป็นระยะ เพื่อให้แน่ใจว่าการจำแนกประเภทยังคงเหมาะสมกับข้อมูล และเพื่อให้แน่ใจว่าการควบคุมความปลอดภัยที่กำหนดโดยการจำแนกประเภทนั้นมีอยู่และปฏิบัติตามขั้นตอนที่ถูกต้อง^{[ 119 ]}

การควบคุมการเข้าถึง

การเข้าถึงข้อมูลที่ได้รับการคุ้มครองจะต้องจำกัดเฉพาะผู้ที่ได้รับอนุญาตให้เข้าถึงข้อมูลเท่านั้น^{[ 120 ]}โปรแกรมคอมพิวเตอร์ และในหลายกรณี คอมพิวเตอร์ที่ประมวลผลข้อมูล ก็ต้องได้รับอนุญาตเช่นกัน ซึ่งจำเป็นต้องมีกลไกในการควบคุมการเข้าถึงข้อมูลที่ได้รับการคุ้มครอง ความซับซ้อนของกลไกการควบคุมการเข้าถึงควรสอดคล้องกับคุณค่าของข้อมูลที่ได้รับการคุ้มครอง ยิ่งข้อมูลมีความละเอียดอ่อนหรือมีค่ามากเท่าใด กลไกการควบคุมก็ยิ่งต้องเข้มแข็งมากขึ้นเท่านั้น^{[ 121 ]}พื้นฐานที่ใช้ในการสร้างกลไกการควบคุมการเข้าถึงเริ่มต้นด้วยการระบุตัวตนและการตรวจสอบสิทธิ์^{[ 122 ]}

โดยทั่วไปการควบคุมการเข้าถึงจะพิจารณาเป็นสามขั้นตอน ได้แก่ การระบุตัวตน การตรวจสอบสิทธิ์และการอนุญาต^{[ 123 ]}^{[ 56 ]}

การระบุตัวตน

การระบุตัวตนคือการยืนยันว่าใครเป็นใครหรือสิ่งนั้นคืออะไร หากบุคคลหนึ่งกล่าวว่า "สวัสดี ฉันชื่อจอห์น โด " พวกเขากำลังอ้างว่าตนเองเป็นใคร อย่างไรก็ตาม การอ้างของพวกเขาอาจเป็นจริงหรือไม่ก็ได้ ก่อนที่จอห์น โดจะได้รับอนุญาตให้เข้าถึงข้อมูลที่ได้รับการคุ้มครอง จำเป็นต้องตรวจสอบว่าบุคคลที่อ้างว่าเป็นจอห์น โดนั้นเป็นจอห์น โดจริง ๆ โดยทั่วไป การอ้างนั้นจะอยู่ในรูปแบบของชื่อผู้ใช้ การป้อนชื่อผู้ใช้นั้น จอห์น โดกำลังอ้างว่าตนเองเป็นบุคคลที่เป็นเจ้าของชื่อผู้ใช้นั้น^{[ 124 ]}

การตรวจสอบสิทธิ์

การยืนยันตัวตนคือการตรวจสอบความถูกต้องของการอ้างสิทธิ์ในตัวตน เมื่อจอห์น โดว์ เข้าไปในธนาคารเพื่อถอนเงิน เขาบอกพนักงานธนาคารว่าเขาคือจอห์น โดว์ ซึ่งเป็นการอ้างสิทธิ์ในตัวตน พนักงานธนาคารขอให้เขาแสดงบัตรประจำตัวที่มีรูปถ่าย ดังนั้นเขาจึงยื่นใบขับขี่ให้ พนักงานธนาคารตรวจสอบใบขับขี่เพื่อให้แน่ใจว่ามีชื่อจอห์น โดว์ พิมพ์อยู่ และเปรียบเทียบรูปถ่ายในใบขับขี่กับบุคคลที่อ้างว่าเป็นจอห์น โดว์ หากรูปถ่ายและชื่อตรงกัน พนักงานธนาคารก็ยืนยันได้ว่าจอห์น โดว์ คือบุคคลที่เขาอ้างว่าเป็น ในทำนองเดียวกัน การป้อนรหัสผ่านที่ถูกต้อง ผู้ใช้กำลังให้หลักฐานว่าเขาหรือเธอคือบุคคลที่ชื่อผู้ใช้นั้นเป็นของ

มีข้อมูลสามประเภทที่แตกต่างกันที่สามารถใช้ในการยืนยันตัวตนได้: ^{[ 125 ]}

สิ่งที่คนๆ หนึ่งรู้: เช่น รหัส PIN รหัสผ่าน หรือ นามสกุลเดิมของมารดา^{[ 126 ]}
สิ่งที่ตนมี: ใบขับขี่หรือบัตร แม่เหล็ก ^{[ 127 ]}^{[ 128 ]}
สิ่งหนึ่งที่คือ: ไบโอเมตริกส์ซึ่งรวมถึงลาย นิ้ว มือลายนิ้ว มือ เสียงและการสแกนเรตินา (ดวงตา) ^{[ 129 ]}

การตรวจสอบสิทธิ์ที่เข้มงวดต้องให้ข้อมูลการตรวจสอบสิทธิ์มากกว่าหนึ่งประเภท (การตรวจสอบสิทธิ์แบบสองปัจจัย) ^{[ 130 ]}ชื่อผู้ใช้เป็นรูปแบบการระบุตัวตนที่พบบ่อยที่สุดในระบบคอมพิวเตอร์ในปัจจุบัน และรหัสผ่านเป็นรูปแบบการตรวจสอบสิทธิ์ที่พบบ่อยที่สุด ชื่อผู้ใช้และรหัสผ่านได้ทำหน้าที่ของมันแล้ว แต่ก็ไม่เพียงพอมากขึ้นเรื่อยๆ ชื่อผู้ใช้และรหัสผ่านกำลังถูกแทนที่หรือเสริมด้วยกลไกการตรวจสอบสิทธิ์ที่ซับซ้อนกว่า เช่นอัลกอริทึมรหัสผ่านแบบใช้ครั้งเดียวตามเวลา

การอนุญาต

หลังจากที่บุคคล โปรแกรม หรือคอมพิวเตอร์ได้รับการระบุตัวตนและตรวจสอบสิทธิ์เรียบร้อยแล้ว จะต้องพิจารณาว่าทรัพยากรข้อมูลใดที่พวกเขาได้รับอนุญาตให้เข้าถึง และการกระทำใดที่พวกเขาจะได้รับอนุญาตให้ดำเนินการ (เรียกใช้ ดู สร้าง ลบ หรือเปลี่ยนแปลง) ซึ่งเรียกว่าการอนุญาต การอนุญาตให้เข้าถึงข้อมูลและบริการคอมพิวเตอร์อื่นๆ เริ่มต้นด้วยนโยบายและขั้นตอนการบริหาร^{[ 131 ]}นโยบายจะกำหนดว่าข้อมูลและบริการคอมพิวเตอร์ใดที่สามารถเข้าถึงได้ โดยใคร และภายใต้เงื่อนไขใด จากนั้นกลไกการควบคุมการเข้าถึงจะถูกกำหนดค่าเพื่อบังคับใช้นโยบายเหล่านี้ ระบบคอมพิวเตอร์ที่แตกต่างกันจะมีกลไกการควบคุมการเข้าถึงที่แตกต่างกัน บางระบบอาจมีตัวเลือกกลไกการควบคุมการเข้าถึงที่แตกต่างกัน^{[ 132 ]}กลไกการควบคุมการเข้าถึงที่ระบบนำเสนอจะขึ้นอยู่กับหนึ่งในสามแนวทางในการควบคุมการเข้าถึง หรืออาจได้มาจากการผสมผสานของทั้งสามแนวทาง^{[ 56 ]}

แนวทางที่ไม่ใช้ดุลยพินิจจะรวมการควบคุมการเข้าถึงทั้งหมดไว้ภายใต้การบริหารจัดการส่วนกลาง^{[ 133 ]}การเข้าถึงข้อมูลและทรัพยากรอื่นๆ มักขึ้นอยู่กับหน้าที่ (บทบาท) ของแต่ละบุคคลในองค์กรหรือภารกิจที่แต่ละบุคคลต้องปฏิบัติ แนวทางที่ใช้ดุลยพินิจจะให้อำนาจแก่ผู้สร้างหรือเจ้าของทรัพยากรข้อมูลในการควบคุมการเข้าถึงทรัพยากรเหล่านั้น^{[ 133 ]}ในแนวทางการควบคุมการเข้าถึงแบบบังคับ การเข้าถึงจะได้รับอนุญาตหรือถูกปฏิเสธโดยพิจารณาจากระดับการรักษาความปลอดภัยที่กำหนดให้กับทรัพยากรข้อมูล^{[ 120 ]}

ตัวอย่างของกลไกการควบคุมการเข้าถึงทั่วไปที่ใช้ในปัจจุบัน ได้แก่การควบคุมการเข้าถึงตามบทบาทซึ่งมีอยู่ในระบบจัดการฐานข้อมูลขั้นสูงหลายระบบสิทธิ์การเข้าถึงไฟล์ แบบง่าย ที่มีให้ในระบบปฏิบัติการ UNIX และ Windows ^{[ 134 ]}ออบเจ็กต์นโยบายกลุ่มที่มีให้ในระบบเครือข่าย Windows และKerberos , RADIUS , TACACSและรายการการเข้าถึงแบบง่ายที่ใช้ในไฟร์วอลล์และเราเตอร์หลาย ตัว ^{[ 135 ]}

เพื่อให้เกิดประสิทธิผล นโยบายและการควบคุมความปลอดภัยอื่นๆ ต้องสามารถบังคับใช้และปฏิบัติตามได้ นโยบายที่มีประสิทธิภาพทำให้มั่นใจได้ว่าทุกคนต้องรับผิดชอบต่อการกระทำของตน^{[ 136 ]} ตัวอย่างเช่น แนวทางของ กระทรวงการคลังสหรัฐฯสำหรับระบบที่ประมวลผลข้อมูลที่ละเอียดอ่อนหรือเป็นกรรมสิทธิ์ ระบุว่าการตรวจสอบสิทธิ์และการเข้าถึงที่ล้มเหลวและสำเร็จทั้งหมดจะต้องถูกบันทึกไว้ และการเข้าถึงข้อมูลทั้งหมดจะต้องทิ้งร่องรอยการตรวจสอบ บางประเภท ไว้^{[ 137 ]}

นอกจากนี้ หลักการความจำเป็นต้องรู้จะต้องมีผลบังคับใช้เมื่อพูดถึงการควบคุมการเข้าถึง หลักการนี้ให้สิทธิ์การเข้าถึงแก่บุคคลเพื่อปฏิบัติหน้าที่การงานของตน หลักการนี้ใช้ในภาครัฐเมื่อต้องจัดการกับการอนุมัติที่แตกต่างกัน^{[ 138 ]}แม้ว่าพนักงานสองคนในแผนกที่แตกต่างกันจะมี สิทธิ์ การเข้าถึงระดับความลับสูงสุดพวกเขาก็ต้องมีความจำเป็นต้องรู้เพื่อให้สามารถแลกเปลี่ยนข้อมูลได้ ภายใต้หลักการความจำเป็นต้องรู้ ผู้ดูแลระบบเครือข่ายจะให้สิทธิ์แก่พนักงานในระดับน้อยที่สุดเพื่อป้องกันไม่ให้พนักงานเข้าถึงมากกว่าที่พวกเขาควรได้รับ^{[ 139 ]}ความจำเป็นต้องรู้ช่วยบังคับใช้หลักการสามประการคือ การรักษาความลับ ความสมบูรณ์ และความพร้อมใช้งาน และส่งผลกระทบโดยตรงต่อพื้นที่ที่เป็นความลับของหลักการสามประการนี้

การเข้ารหัสลับ

การรักษาความปลอดภัยของข้อมูลใช้การเข้ารหัสเพื่อแปลงข้อมูลที่ใช้งานได้ให้เป็นรูปแบบที่ไม่สามารถใช้งานได้โดยบุคคลอื่นนอกจากผู้ใช้ที่ได้รับอนุญาต กระบวนการนี้เรียกว่าการเข้ารหัส [ ^{140 ] ข้อมูล}ที่ถูกเข้ารหัส (ทำให้ใช้งานไม่ได้) สามารถแปลงกลับเป็นรูปแบบที่ใช้งานได้ดั้งเดิมโดยผู้ใช้ที่ได้รับอนุญาตซึ่งมีกุญแจเข้ารหัสผ่านกระบวนการถอดรหัส การเข้ารหัสถูกนำมาใช้ในการรักษาความปลอดภัยของข้อมูลเพื่อปกป้องข้อมูลจากการเปิดเผยโดยไม่ได้รับอนุญาตหรือโดยบังเอิญในขณะที่ข้อมูลอยู่ระหว่างการส่งผ่าน (ทั้งทางอิเล็กทรอนิกส์หรือทางกายภาพ) และในขณะที่ข้อมูลอยู่ในที่จัดเก็บ^{[ 56 ]}

การเข้ารหัสลับให้ความปลอดภัยของข้อมูลด้วยแอปพลิเคชันที่มีประโยชน์อื่นๆ รวมถึงวิธีการตรวจสอบสิทธิ์ที่ดีขึ้น การย่อยข้อความ ลายเซ็นดิจิทัลการไม่ปฏิเสธความรับผิดชอบและการสื่อสารเครือข่ายที่ เข้ารหัส ^{[ 141 ]}แอปพลิเคชันที่เก่ากว่าและมีความปลอดภัยน้อยกว่า เช่นTelnetและFile Transfer Protocol (FTP) กำลังถูกแทนที่ด้วยแอปพลิเคชันที่มีความปลอดภัยมากกว่า เช่นSecure Shell (SSH) ซึ่งใช้การสื่อสารเครือข่ายที่เข้ารหัส^{[ 142 ]}การสื่อสารไร้สายสามารถเข้ารหัสได้โดยใช้โปรโตคอล เช่นWPA/WPA2 หรือ WEPที่เก่ากว่า (และมีความปลอดภัยน้อยกว่า) การสื่อสารแบบมีสาย (เช่นITU‑T G.hn ) ได้รับการรักษาความปลอดภัยโดยใช้AESสำหรับการเข้ารหัสและX.1035สำหรับการตรวจสอบสิทธิ์และการแลกเปลี่ยนคีย์^{[ 143 ]}แอปพลิเคชันซอฟต์แวร์ เช่นGnuPGหรือPGPสามารถใช้เพื่อเข้ารหัสไฟล์ข้อมูลและอีเมลได้^{[ 144 ]}

การเข้ารหัสลับอาจก่อให้เกิดปัญหาด้านความปลอดภัยหากไม่ได้นำไปใช้อย่างถูกต้อง^{[ 145 ]}โซลูชันการเข้ารหัสลับจำเป็นต้องนำไปใช้โดยใช้โซลูชันที่ได้รับการยอมรับในอุตสาหกรรม ซึ่งผ่านการตรวจสอบอย่างเข้มงวดโดยผู้เชี่ยวชาญอิสระด้านการเข้ารหัสลับ^{[ 146 ]}ความยาวและความแข็งแกร่งของคีย์การเข้ารหัสก็เป็นสิ่งสำคัญที่ต้องพิจารณา เช่น กัน^{[ 147 ]}คีย์ที่อ่อนแอหรือสั้นเกินไปจะทำให้การเข้ารหัสอ่อนแอ^{[ 147 ]}คีย์ที่ใช้สำหรับการเข้ารหัสและการถอดรหัสจะต้องได้รับการปกป้องด้วยความเข้มงวดในระดับเดียวกับข้อมูลที่เป็นความลับอื่นๆ^{[ 148 ]}คีย์เหล่านั้นจะต้องได้รับการปกป้องจากการเปิดเผยและการทำลายโดยไม่ได้รับอนุญาต และจะต้องพร้อมใช้งานเมื่อจำเป็น โซลูชัน โครงสร้างพื้นฐานคีย์สาธารณะ (PKI) ช่วยแก้ปัญหาหลายอย่างที่เกี่ยวข้องกับ การ จัดการคีย์^{[ 56 ]}

กระบวนการ

แนวทางการลงโทษของรัฐบาลกลางสหรัฐฯในปัจจุบันทำให้สามารถดำเนินคดีกับเจ้าหน้าที่ของบริษัทได้หากไม่ปฏิบัติตามความระมัดระวังและความรอบคอบในการจัดการระบบสารสนเทศของตน^{[ 149 ]}

ในด้านความปลอดภัยของข้อมูล Harris ^{[ 150 ]} เสนอคำจำกัดความของการดูแลที่เหมาะสมและความรอบคอบดังต่อไปนี้:

“การดูแลเอาใจใส่คือขั้นตอนที่ดำเนินการเพื่อแสดงให้เห็นว่าบริษัทรับผิดชอบต่อกิจกรรมที่เกิดขึ้นภายในองค์กร และได้ดำเนินการตามขั้นตอนที่จำเป็นเพื่อช่วยปกป้องบริษัท ทรัพยากร และพนักงาน” และ [การตรวจสอบอย่างรอบคอบคือ] “กิจกรรมต่อเนื่องที่ทำให้มั่นใจว่ากลไกการป้องกันได้รับการบำรุงรักษาและใช้งานได้อย่างต่อเนื่อง” ^{[ 151 ]}

ควรให้ความสนใจกับสองประเด็นสำคัญในคำจำกัดความเหล่านี้^{[ 152 ]}ประการแรก ด้วยความเอาใจใส่ จะมีการดำเนินการเพื่อแสดงให้เห็น ซึ่งหมายความว่าขั้นตอนต่างๆ สามารถตรวจสอบ วัดผล หรือแม้กระทั่งสร้างสิ่งประดิษฐ์ที่เป็นรูปธรรมได้^{[ 153 ]}^{[ 154 ]}ประการที่สอง ด้วยความรอบคอบ จะมีกิจกรรมอย่างต่อเนื่อง ซึ่งหมายความว่าผู้คนกำลังดำเนินการต่างๆ เพื่อตรวจสอบและบำรุงรักษากลไกการป้องกัน และกิจกรรมเหล่านี้กำลังดำเนินอยู่^{[ 155 ]}

องค์กรมีความรับผิดชอบในการปฏิบัติตามหน้าที่ในการดูแลเมื่อใช้มาตรการรักษาความปลอดภัยข้อมูล มาตรฐานการวิเคราะห์ความเสี่ยงตามหน้าที่ในการดูแล (DoCRA) ^{[ 156 ]}ให้หลักการและแนวปฏิบัติสำหรับการประเมินความเสี่ยง^{[ 157 ]}โดยพิจารณาถึงทุกฝ่ายที่อาจได้รับผลกระทบจากความเสี่ยงเหล่านั้น^{[ 158 ]} DoCRA ช่วยประเมินมาตรการป้องกันว่าเหมาะสมในการปกป้องผู้อื่นจากอันตรายหรือไม่ ในขณะเดียวกันก็สร้างภาระที่สมเหตุสมผล^{[ 159 ]}ด้วยการฟ้องร้องเกี่ยวกับการละเมิดข้อมูลที่เพิ่มขึ้น บริษัทต่างๆ จึงต้องสร้างสมดุลระหว่างการควบคุมความปลอดภัย การปฏิบัติตามกฎระเบียบ และพันธกิจของตน^{[ 160 ]}

แผนรับมือเหตุการณ์ฉุกเฉิน

การจัดการเหตุการณ์ด้านความปลอดภัยของคอมพิวเตอร์เป็นรูปแบบเฉพาะของการจัดการเหตุการณ์ที่มุ่งเน้นการตรวจสอบ ตรวจจับ และตอบสนองต่อเหตุการณ์ด้านความปลอดภัยบนคอมพิวเตอร์และเครือข่ายในลักษณะที่คาดการณ์ได้^{[ 161 ]}

องค์กรต่างๆ ดำเนินการเรื่องนี้ผ่านแผนการตอบสนองต่อเหตุการณ์ (IRP) ซึ่งจะถูกเปิดใช้งานเมื่อตรวจพบการละเมิดความปลอดภัย^{[ 162 ]}แผนเหล่านี้โดยทั่วไปจะเกี่ยวข้องกับทีมตอบสนองต่อเหตุการณ์ (IRT) ที่มีทักษะเฉพาะด้านในสาขาต่างๆ เช่น การทดสอบการเจาะระบบ นิติวิทยาศาสตร์คอมพิวเตอร์ และความปลอดภัยเครือข่าย^{[ 163 ]}

การจัดการการเปลี่ยนแปลง

การจัดการการเปลี่ยนแปลงเป็นกระบวนการที่เป็นทางการสำหรับการกำกับและควบคุมการเปลี่ยนแปลงสภาพแวดล้อมการประมวลผลข้อมูล^{[ 164 ]}^{[ 165 ]}ซึ่งรวมถึงการเปลี่ยนแปลงคอมพิวเตอร์เดสก์ท็อป เครือข่าย เซิร์ฟเวอร์ และซอฟต์แวร์^{[ 166 ]}วัตถุประสงค์ของการจัดการการเปลี่ยนแปลงคือการลดความเสี่ยงที่เกิดจากการเปลี่ยนแปลงสภาพแวดล้อมการประมวลผลข้อมูล และปรับปรุงเสถียรภาพและความน่าเชื่อถือของสภาพแวดล้อมการประมวลผลเมื่อมีการเปลี่ยนแปลงเกิดขึ้น วัตถุประสงค์ของการจัดการการเปลี่ยนแปลงไม่ใช่การป้องกันหรือขัดขวางการเปลี่ยนแปลงที่จำเป็นไม่ให้เกิดขึ้น^{[ 167 ]}^{[ 168 ]}

การเปลี่ยนแปลงใดๆ ต่อสภาพแวดล้อมการประมวลผลข้อมูลจะนำมาซึ่งองค์ประกอบของความเสี่ยง^{[ 169 ]}แม้แต่การเปลี่ยนแปลงที่ดูเหมือนง่ายๆ ก็อาจมีผลกระทบที่ไม่คาดคิดได้^{[ 170 ]}หนึ่งในความรับผิดชอบมากมายของฝ่ายบริหารคือการจัดการความเสี่ยง^{[ 171 ]}^{[ 172 ]}การจัดการการเปลี่ยนแปลงเป็นเครื่องมือสำหรับการจัดการความเสี่ยงที่เกิดจากการเปลี่ยนแปลงต่อสภาพแวดล้อมการประมวลผลข้อมูล^{[ 173 ]}ส่วนหนึ่งของกระบวนการจัดการการเปลี่ยนแปลงคือการรับประกันว่าการเปลี่ยนแปลงจะไม่ถูกนำไปใช้ในเวลาที่ไม่เหมาะสม ซึ่งอาจทำให้กระบวนการทางธุรกิจที่สำคัญหยุดชะงักหรือรบกวนการเปลี่ยนแปลงอื่นๆ ที่กำลังดำเนินการอยู่^{[ 174 ]}

ไม่ใช่ทุกการเปลี่ยนแปลงที่จำเป็นต้องมีการจัดการ^{[ 175 ]}การเปลี่ยนแปลงบางประเภทเป็นส่วนหนึ่งของกิจวัตรประจำวันในการประมวลผลข้อมูลและเป็นไปตามขั้นตอนที่กำหนดไว้ล่วงหน้า ซึ่งช่วยลดระดับความเสี่ยงโดยรวมต่อสภาพแวดล้อมการประมวลผล^{[ 176 ]}การสร้างบัญชีผู้ใช้ใหม่หรือการติดตั้งคอมพิวเตอร์เดสก์ท็อปเครื่องใหม่เป็นตัวอย่างของการเปลี่ยนแปลงที่ไม่จำเป็นต้องมีการจัดการการเปลี่ยนแปลงโดยทั่วไป อย่างไรก็ตาม การย้ายตำแหน่งไฟล์ที่แชร์ของผู้ใช้ หรือการอัปเกรดเซิร์ฟเวอร์อีเมลก่อให้เกิดความเสี่ยงต่อสภาพแวดล้อมการประมวลผลในระดับที่สูงกว่ามากและไม่ใช่กิจกรรมประจำวันปกติ^{[ 177 ]}ขั้นตอนแรกที่สำคัญในการจัดการการเปลี่ยนแปลงคือ (ก) การกำหนดการเปลี่ยนแปลง (และการสื่อสารคำจำกัดความนั้น) และ (ข) การกำหนดขอบเขตของระบบการเปลี่ยนแปลง^{[ 178 ]}

การจัดการการเปลี่ยนแปลงมักจะอยู่ภายใต้การดูแลของคณะกรรมการตรวจสอบการเปลี่ยนแปลงซึ่งประกอบด้วยตัวแทนจากพื้นที่ธุรกิจหลัก^{[ 179 ]}ด้านความปลอดภัย เครือข่าย ผู้ดูแลระบบ การบริหารฐานข้อมูล นักพัฒนาแอปพลิเคชัน ฝ่ายสนับสนุนเดสก์ท็อป และฝ่ายช่วยเหลือ การทำงานของคณะกรรมการตรวจสอบการเปลี่ยนแปลงสามารถอำนวยความสะดวกได้ด้วยการใช้แอปพลิเคชันเวิร์กโฟลว์อัตโนมัติ^{[ 180 ]}ความรับผิดชอบของคณะกรรมการตรวจสอบการเปลี่ยนแปลงคือการรับรองว่าขั้นตอนการจัดการการเปลี่ยนแปลงที่บันทึกไว้ขององค์กรได้รับการปฏิบัติตาม กระบวนการจัดการการเปลี่ยนแปลงมีดังนี้^{[ 181 ]}

คำขอ : ใครก็ได้สามารถขอเปลี่ยนแปลงได้^{[ 182 ]}^{[ 183 ]}บุคคลที่ยื่นคำขอเปลี่ยนแปลงอาจเป็นหรือไม่เป็นบุคคลเดียวกันกับผู้ที่ทำการวิเคราะห์หรือดำเนินการเปลี่ยนแปลงก็ได้^{[ 184 ]}^{[ 185 ]}เมื่อได้รับคำขอเปลี่ยนแปลง อาจมีการตรวจสอบเบื้องต้นเพื่อพิจารณาว่าการเปลี่ยนแปลงที่ร้องขอเข้ากันได้กับรูปแบบธุรกิจและแนวปฏิบัติขององค์กรหรือไม่ และเพื่อกำหนดจำนวนทรัพยากรที่จำเป็นในการดำเนินการเปลี่ยนแปลง^{[ 186 ]}
อนุมัติ : ฝ่ายบริหารดำเนินธุรกิจและควบคุมการจัดสรรทรัพยากร ดังนั้น ฝ่ายบริหารต้องอนุมัติคำขอเปลี่ยนแปลงและกำหนดลำดับความสำคัญสำหรับการเปลี่ยนแปลงทุกครั้ง ฝ่ายบริหารอาจเลือกที่จะปฏิเสธคำขอเปลี่ยนแปลงหากการเปลี่ยนแปลงนั้นไม่สอดคล้องกับแบบจำลองธุรกิจ มาตรฐานอุตสาหกรรม หรือแนวปฏิบัติที่ดีที่สุด^{[ 187 ]}^{[ 188 ]}ฝ่ายบริหารอาจเลือกที่จะปฏิเสธคำขอเปลี่ยนแปลงหากการเปลี่ยนแปลงนั้นต้องการทรัพยากรมากกว่าที่สามารถจัดสรรได้^{[ 189 ]}
การวางแผน : การวางแผนการเปลี่ยนแปลงเกี่ยวข้องกับการค้นหาขอบเขตและผลกระทบของการเปลี่ยนแปลงที่เสนอ การวิเคราะห์ความซับซ้อนของการเปลี่ยนแปลง การจัดสรรทรัพยากร และการพัฒนา ทดสอบ และจัดทำเอกสารทั้งแผนการดำเนินการและแผนการยกเลิก
การทดสอบ : การเปลี่ยนแปลงทุกอย่างจะต้องได้รับการทดสอบในสภาพแวดล้อมการทดสอบที่ปลอดภัย ซึ่งสะท้อนถึงสภาพแวดล้อมการผลิตจริงอย่างใกล้ชิด ก่อนที่จะนำการเปลี่ยนแปลงไปใช้ในสภาพแวดล้อมการผลิต แผนการย้อนกลับก็ต้องได้รับการทดสอบเช่นกัน^{[ 190 ]}
กำหนดการ : ส่วนหนึ่งของความรับผิดชอบของคณะกรรมการตรวจสอบการเปลี่ยนแปลงคือการช่วยในการกำหนดตารางเวลาของการเปลี่ยนแปลงโดยการตรวจสอบวันที่ดำเนินการที่เสนอเพื่อดูว่ามีข้อขัดแย้งที่อาจเกิดขึ้นกับการเปลี่ยนแปลงที่กำหนดไว้แล้วหรือกิจกรรมทางธุรกิจที่สำคัญอื่น ๆ หรือไม่
การสื่อสาร : เมื่อมีการกำหนดตารางการเปลี่ยนแปลงแล้ว จะต้องมีการสื่อสารให้ทราบ การสื่อสารนี้มีจุดประสงค์เพื่อให้ผู้อื่นมีโอกาสเตือนคณะกรรมการตรวจสอบการเปลี่ยนแปลงเกี่ยวกับการเปลี่ยนแปลงอื่นๆ หรือกิจกรรมทางธุรกิจที่สำคัญซึ่งอาจถูกมองข้ามไปเมื่อกำหนดตารางการเปลี่ยนแปลง การสื่อสารยังช่วยให้ฝ่ายช่วยเหลือและผู้ใช้งานทราบว่ากำลังจะมีการเปลี่ยนแปลงเกิดขึ้น ความรับผิดชอบอีกประการหนึ่งของคณะกรรมการตรวจสอบการเปลี่ยนแปลงคือการตรวจสอบให้แน่ใจว่าการเปลี่ยนแปลงที่กำหนดไว้ได้รับการสื่อสารอย่างถูกต้องไปยังผู้ที่จะได้รับผลกระทบจากการเปลี่ยนแปลงหรือผู้ที่มีส่วนได้ส่วนเสียกับการเปลี่ยนแปลงนั้น
ดำเนินการ : ในวันและเวลาที่กำหนด การเปลี่ยนแปลงจะต้องได้รับการดำเนินการ^{[ 191 ]}ส่วนหนึ่งของกระบวนการวางแผนคือการพัฒนาแผนการดำเนินการ แผนการทดสอบ และแผนการยกเลิก^{[ 192 ]}^{[ 193 ]}หากการดำเนินการเปลี่ยนแปลงล้มเหลว หรือการทดสอบหลังการดำเนินการล้มเหลว หรือมีเกณฑ์ "ยกเลิก" อื่นๆ เกิดขึ้น แผนการยกเลิกควรได้รับการดำเนินการ
เอกสาร : การเปลี่ยนแปลงทั้งหมดต้องมีเอกสารประกอบ เอกสารประกอบด้วยคำขอเปลี่ยนแปลงครั้งแรก การอนุมัติ ลำดับความสำคัญที่กำหนด การดำเนินการ การทดสอบ และแผนการยกเลิก ผลการวิจารณ์ของคณะกรรมการตรวจสอบการเปลี่ยนแปลง วัน/เวลาที่ดำเนินการเปลี่ยนแปลง ผู้ที่ดำเนินการเปลี่ยนแปลง และไม่ว่าการเปลี่ยนแปลงจะดำเนินการสำเร็จ ล้มเหลว หรือถูกเลื่อนออกไป^{[ 194 ]}
การตรวจสอบหลังการเปลี่ยนแปลง : คณะกรรมการตรวจสอบการเปลี่ยนแปลงควรทำการตรวจสอบหลังการดำเนินการเปลี่ยนแปลง โดยเฉพาะอย่างยิ่งการตรวจสอบการเปลี่ยนแปลงที่ล้มเหลวและที่ถูกยกเลิก คณะกรรมการตรวจสอบควรพยายามทำความเข้าใจปัญหาที่พบ และมองหาจุดที่สามารถปรับปรุงได้

ขั้นตอนการจัดการการเปลี่ยนแปลงที่ง่ายต่อการปฏิบัติตามและใช้งานง่ายสามารถลดความเสี่ยงโดยรวมที่เกิดขึ้นเมื่อมีการเปลี่ยนแปลงสภาพแวดล้อมการประมวลผลข้อมูลได้อย่างมาก^{[ 52 ]}ขั้นตอนการจัดการการเปลี่ยนแปลงที่ดีจะช่วยปรับปรุงคุณภาพและความสำเร็จโดยรวมของการเปลี่ยนแปลงเมื่อมีการนำไปใช้ ซึ่งทำได้โดยผ่านการวางแผน การตรวจสอบโดยเพื่อนร่วมงาน การจัดทำเอกสาร และการสื่อสาร^{[ 195 ]}

ISO/IEC 20000 , คู่มือ Visible OPS: การนำ ITIL ไปใช้ใน 4 ขั้นตอนที่ใช้งานได้จริงและตรวจสอบได้^{[ 196 ]} (สรุปหนังสือฉบับเต็ม) ^{[ 197 ]}และITILล้วนให้คำแนะนำที่มีค่าเกี่ยวกับการนำโปรแกรมการจัดการการเปลี่ยนแปลงที่มีประสิทธิภาพและประสิทธิผลมาใช้ในการรักษาความปลอดภัยของข้อมูล

ความต่อเนื่องทางธุรกิจ

การจัดการความต่อเนื่องทางธุรกิจ ( BCM ) เกี่ยวข้องกับการเตรียมการเพื่อปกป้องฟังก์ชันทางธุรกิจที่สำคัญขององค์กรจากการหยุดชะงักเนื่องจากเหตุการณ์ หรืออย่างน้อยที่สุดก็ลดผลกระทบให้น้อยที่สุด^{[ 198 ]} BCM เป็นสิ่งจำเป็นสำหรับองค์กรใดๆ ในการรักษาเทคโนโลยีและธุรกิจให้สอดคล้องกับภัยคุกคามในปัจจุบันต่อการดำเนินธุรกิจตามปกติ^{[ 199 ]}ควรมีการใส่ BCM ไว้ใน แผนการ วิเคราะห์ความเสี่ยง ขององค์กร เพื่อให้แน่ใจว่าฟังก์ชันทางธุรกิจที่จำเป็นทั้งหมดมีสิ่งที่จำเป็นเพื่อให้สามารถดำเนินต่อไปได้ในกรณีที่มีภัยคุกคามใดๆ ต่อฟังก์ชันทางธุรกิจ^{[ 200 ]}

ประกอบด้วย:

การวิเคราะห์ความต้องการ เช่น การระบุฟังก์ชันทางธุรกิจที่สำคัญ การพึ่งพา และจุดที่อาจเกิดความล้มเหลว ภัยคุกคามที่อาจเกิดขึ้น และเหตุการณ์หรือความเสี่ยงที่เกี่ยวข้องกับองค์กร^{[ 201 ]}
สถาปัตยกรรมและการออกแบบ เช่น การผสมผสานแนวทางที่เหมาะสม รวมถึงความยืดหยุ่น (เช่น การออกแบบระบบและกระบวนการไอทีเพื่อความพร้อมใช้งานสูง^{[ 202 ]}การหลีกเลี่ยงหรือป้องกันสถานการณ์ที่อาจขัดขวางธุรกิจ) การจัดการเหตุการณ์และเหตุฉุกเฉิน (เช่น การอพยพออกจากสถานที่ การโทรแจ้งหน่วยบริการฉุกเฉิน การคัดกรอง/การประเมินสถานการณ์^{[ 203 ]}และการเรียกใช้แผนการฟื้นฟู) การฟื้นฟู (เช่น การสร้างใหม่) และการจัดการเหตุการณ์ฉุกเฉิน (ความสามารถทั่วไปในการจัดการกับสิ่งที่เกิดขึ้นในเชิงบวกโดยใช้ทรัพยากรที่มีอยู่) ^{[ 204 ]}
การดำเนินการ เช่น การกำหนดค่าและกำหนดตารางเวลาการสำรองข้อมูล การถ่ายโอนข้อมูล ฯลฯ การทำสำเนาและการเสริมความแข็งแกร่งขององค์ประกอบที่สำคัญ การทำสัญญากับผู้ให้บริการและผู้จำหน่ายอุปกรณ์
การทดสอบ เช่น การฝึกซ้อมความต่อเนื่องทางธุรกิจประเภทต่างๆ ต้นทุน และระดับการรับประกัน^{[ 205 ]}
การจัดการ เช่น การกำหนดกลยุทธ์ การตั้งวัตถุประสงค์และเป้าหมาย การวางแผนและกำกับการทำงาน การจัดสรรเงินทุน บุคลากร และทรัพยากรอื่นๆ การจัดลำดับความสำคัญเมื่อเทียบกับกิจกรรมอื่นๆ การสร้างทีม ความเป็นผู้นำ การควบคุม การสร้างแรงจูงใจ และการประสานงานกับฝ่ายงานและกิจกรรมทางธุรกิจอื่นๆ^{[ 206 ]} (เช่น ไอที สิ่งอำนวยความสะดวก ทรัพยากรบุคคล การจัดการความเสี่ยง ความเสี่ยงและความปลอดภัยของข้อมูล การดำเนินงาน) การติดตามสถานการณ์ การตรวจสอบและปรับปรุงการจัดการเมื่อมีการเปลี่ยนแปลง การพัฒนาแนวทางให้มีประสิทธิภาพมากขึ้นผ่านการปรับปรุงอย่างต่อเนื่อง การเรียนรู้ และการลงทุนที่เหมาะสม
การสร้างความมั่นใจ เช่น การทดสอบตามข้อกำหนดที่ระบุไว้ การวัด วิเคราะห์ และรายงานพารามิเตอร์หลัก การดำเนินการทดสอบ ตรวจสอบ และตรวจสอบเพิ่มเติมเพื่อให้มั่นใจยิ่งขึ้นว่าการจัดการจะเป็นไปตามแผนหากมีการเรียกใช้

ในขณะที่ BCM ใช้แนวทางที่กว้างขวางในการลดความเสี่ยงที่เกี่ยวข้องกับภัยพิบัติโดยการลดทั้งความน่าจะเป็นและความรุนแรงของเหตุการณ์แผนการกู้คืนจากภัยพิบัติ (DRP) มุ่งเน้นไปที่การกลับมาดำเนินธุรกิจให้เร็วที่สุดเท่าที่จะเป็นไปได้หลังจากเกิดภัยพิบัติ^{[ 207 ]}แผนการกู้คืนจากภัยพิบัติ ซึ่งถูกนำมาใช้ไม่นานหลังจากเกิดภัยพิบัติ จะกำหนดขั้นตอนที่จำเป็นในการกู้คืน โครงสร้างพื้นฐานด้าน เทคโนโลยีสารสนเทศและการสื่อสาร (ICT) ที่สำคัญ^{[ 208 ]}การวางแผนการกู้คืนจากภัยพิบัติประกอบด้วยการจัดตั้งกลุ่มวางแผน การประเมินความเสี่ยง การกำหนดลำดับความสำคัญ การพัฒนากลยุทธ์การกู้คืน การจัดทำรายการและเอกสารของแผน การพัฒนากฎเกณฑ์และขั้นตอนการตรวจสอบ และสุดท้ายคือการดำเนินการตามแผน^{[ 209 ]}

กฎหมายและข้อบังคับ

ด้านล่างนี้คือรายชื่อบางส่วนของกฎหมายและข้อบังคับของรัฐบาลในส่วนต่างๆ ของโลก ที่มีผลกระทบอย่างมีนัยสำคัญต่อการประมวลผลข้อมูลและความปลอดภัยของข้อมูล นอกจากนี้ยังได้รวมข้อบังคับที่สำคัญของภาคอุตสาหกรรมต่างๆ ที่มีผลกระทบอย่างมีนัยสำคัญต่อความปลอดภัยของข้อมูลไว้ด้วย

พระราชบัญญัติคุ้มครองข้อมูลของสหราชอาณาจักร พ.ศ. 2541 ได้กำหนดบทบัญญัติใหม่สำหรับการควบคุมการประมวลผลข้อมูลที่เกี่ยวข้องกับบุคคล รวมถึงการได้มา การเก็บรักษา การใช้ หรือการเปิดเผยข้อมูลดังกล่าว^{[ 210 ]}^{[ 211 ]}คำสั่งคุ้มครองข้อมูลของสหภาพยุโรป (EUDPD) กำหนดให้สมาชิกสหภาพยุโรปทั้งหมดต้องนำกฎระเบียบระดับชาติมาใช้เพื่อสร้างมาตรฐานการคุ้มครองความเป็นส่วนตัวของข้อมูลสำหรับพลเมืองทั่วทั้งสหภาพยุโรป^{[ 212 ]}^{[ 213 ]}
พระราชบัญญัติการใช้คอมพิวเตอร์ในทางที่ผิดพ.ศ. 2533 เป็นพระราชบัญญัติของรัฐสภาสหราชอาณาจักรที่กำหนดให้การกระทำผิดทางคอมพิวเตอร์ (เช่น การแฮ็ก) เป็นความผิดทางอาญา^{[ 214 ]}พระราชบัญญัตินี้ได้กลายเป็นแบบอย่างที่หลายประเทศอื่น ๆ รวมถึงแคนาดาและไอร์แลนด์ได้นำไปใช้เป็นแรงบันดาลใจในการร่างกฎหมายความปลอดภัยของข้อมูลของตนเองในเวลาต่อมา^{[ 215 ]}
คำสั่งการเก็บรักษาข้อมูลของสหภาพยุโรป(ซึ่งถูกยกเลิกไปแล้ว) กำหนดให้ผู้ให้บริการอินเทอร์เน็ตและบริษัทโทรศัพท์ต้องเก็บรักษาข้อมูลเกี่ยวกับข้อความอิเล็กทรอนิกส์ทุกข้อความที่ส่งและการโทรทุกสายเป็นเวลาระหว่างหกเดือนถึงสองปี^{[ 216 ]}
พระราชบัญญัติสิทธิทางการศึกษาและความเป็นส่วนตัวของครอบครัว (FERPA) ( 20 USC § 1232 g; 34 CFR Part 99) เป็นกฎหมายของรัฐบาลกลางสหรัฐฯ ที่คุ้มครองความเป็นส่วนตัวของบันทึกการศึกษาของนักเรียน^{[ 217 ]}กฎหมายนี้ใช้บังคับกับโรงเรียนทุกแห่งที่ได้รับเงินทุนภายใต้โครงการที่เกี่ยวข้องของกระทรวงศึกษาธิการสหรัฐฯ [ ^{218 ] โดย}ทั่วไป โรงเรียนต้องได้รับอนุญาตเป็นลายลักษณ์อักษรจากผู้ปกครองหรือนักเรียนที่มีสิทธิ์^{[ 218 ]}^{[ 219 ]}เพื่อเปิดเผยข้อมูลใดๆ จากบันทึกการศึกษาของนักเรียน^{[ 220 ]}
แนวทางด้านความปลอดภัยสำหรับผู้ตรวจสอบบัญชีของสภาตรวจสอบสถาบันการเงินแห่งสหพันธรัฐ (FFIEC) ระบุข้อกำหนดด้านความปลอดภัยของธนาคารออนไลน์^{[ 221 ]}
พระราชบัญญัติการคุ้มครองข้อมูลส่วนบุคคลด้านสุขภาพ (HIPAA) ปี 1996 กำหนดให้มีการนำมาตรฐานระดับชาติสำหรับการทำธุรกรรมด้านการดูแลสุขภาพทางอิเล็กทรอนิกส์และรหัสประจำตัวระดับชาติสำหรับผู้ให้บริการ แผนประกันสุขภาพ และนายจ้างมาใช้^{[ 222 ]}นอกจากนี้ ยังกำหนดให้ผู้ให้บริการด้านการดูแลสุขภาพ ผู้ให้บริการประกันภัย และนายจ้างต้องรักษาความปลอดภัยและความเป็นส่วนตัวของข้อมูลสุขภาพ^{[ 223 ]}
พระราชบัญญัติแกรมม์-ลีช-บลีลีย์พ.ศ. 2542 (GLBA) หรือที่รู้จักกันในชื่อพระราชบัญญัติการปรับปรุงบริการทางการเงิน พ.ศ. 2542 คุ้มครองความเป็นส่วนตัวและความปลอดภัยของข้อมูลทางการเงินส่วนบุคคลที่สถาบันการเงินรวบรวม จัดเก็บ และประมวลผล^{[ 224 ]}
มาตรา 404 ของพระราชบัญญัติ Sarbanes–Oxley ปี 2002 (SOX)กำหนดให้บริษัทมหาชนต้องประเมินประสิทธิผลของการควบคุมภายในสำหรับการรายงานทางการเงินในรายงานประจำปีที่ส่งเมื่อสิ้นสุดปีงบประมาณแต่ละปี^{[ 225 ]}หัวหน้าเจ้าหน้าที่สารสนเทศมีหน้าที่รับผิดชอบด้านความปลอดภัย ความถูกต้อง และความน่าเชื่อถือของระบบที่จัดการและรายงานข้อมูลทางการเงิน พระราชบัญญัตินี้ยังกำหนดให้บริษัทมหาชนต้องว่าจ้างผู้ตรวจสอบบัญชีอิสระซึ่งต้องรับรองและรายงานความถูกต้องของการประเมินของตน^{[ 226 ]}
มาตรฐานความปลอดภัยข้อมูลอุตสาหกรรมบัตรชำระเงิน (PCI DSS)กำหนดข้อกำหนดที่ครอบคลุมเพื่อเพิ่มความปลอดภัยของข้อมูลบัญชีการชำระเงิน^{[ 227 ]}มาตรฐานนี้ได้รับการพัฒนาโดยแบรนด์การชำระเงินผู้ก่อตั้งของสภามาตรฐานความปลอดภัย PCI ซึ่งรวมถึงAmerican Express , Discover Financial Services , JCB, MasterCard Worldwide และVisa Internationalเพื่อช่วยอำนวยความสะดวกในการนำ มาตรการ รักษาความปลอดภัยข้อมูล ที่สอดคล้องกันมาใช้ ในวงกว้างทั่วโลก PCI DSS เป็นมาตรฐานความปลอดภัยหลายด้านที่รวมถึงข้อกำหนดสำหรับการจัดการความปลอดภัย นโยบาย ขั้นตอนสถาปัตยกรรมเครือข่ายการออกแบบซอฟต์แวร์ และมาตรการป้องกันที่สำคัญอื่นๆ^{[ 228 ]}
กฎหมายการแจ้งเตือนการละเมิดความปลอดภัยของรัฐ(แคลิฟอร์เนียและรัฐอื่นๆ อีกมากมาย) กำหนดให้ธุรกิจ องค์กรไม่แสวงหาผลกำไร และสถาบันของรัฐต้องแจ้งให้ผู้บริโภคทราบเมื่อ "ข้อมูลส่วนบุคคล" ที่ไม่ได้เข้ารหัสอาจถูกบุกรุก สูญหาย หรือถูกขโมย^{[ 229 ]}
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลและเอกสารอิเล็กทรอนิกส์ ( PIPEDA ) ของแคนาดาสนับสนุนและส่งเสริมการพาณิชย์อิเล็กทรอนิกส์โดยการคุ้มครองข้อมูลส่วนบุคคลที่ถูกรวบรวม ใช้ หรือเปิดเผยในบางสถานการณ์^{[ 230 ]}โดยการจัดให้มีการใช้สื่ออิเล็กทรอนิกส์เพื่อสื่อสารหรือบันทึกข้อมูลหรือธุรกรรม และโดยการแก้ไขพระราชบัญญัติหลักฐานของแคนาดา พระราชบัญญัติเครื่องมือทางกฎหมาย และพระราชบัญญัติแก้ไขกฎหมาย^{[ 231 ]}^{[ 232 ]}
หน่วยงานความปลอดภัยและความเป็นส่วนตัวด้านการสื่อสารของกรีซ (ADAE) (กฎหมาย 165/2011) ได้กำหนดและอธิบายการควบคุมความปลอดภัยของข้อมูลขั้นต่ำที่บริษัททุกแห่งที่ให้บริการเครือข่ายการสื่อสารอิเล็กทรอนิกส์และ/หรือบริการในกรีซควรนำไปใช้เพื่อปกป้องความลับของลูกค้า^{[ 233 ]}ซึ่งรวมถึงการควบคุมทั้งด้านการจัดการและด้านเทคนิค (เช่น บันทึกการใช้งานควรเก็บไว้เป็นเวลาสองปี) ^{[ 234 ]}
หน่วยงานความปลอดภัยและความเป็นส่วนตัวด้านการสื่อสารของกรีซ (ADAE) (กฎหมาย 205/2013) มุ่งเน้นไปที่การปกป้องความสมบูรณ์และความพร้อมใช้งานของบริการและข้อมูลที่บริษัทโทรคมนาคมของกรีซนำเสนอ กฎหมายนี้บังคับให้บริษัทเหล่านี้และบริษัทที่เกี่ยวข้องอื่นๆ สร้าง ปรับใช้ และทดสอบแผนความต่อเนื่องทางธุรกิจที่เหมาะสมและโครงสร้างพื้นฐานสำรอง^{[ 235 ]}

กระทรวงกลาโหมสหรัฐฯ (DoD) ได้ออกคำสั่ง DoD Directive 8570 ในปี 2547 และเสริมด้วย DoD Directive 8140 ซึ่งกำหนดให้พนักงาน DoD ทุกคนและบุคลากรสัญญาจ้างของ DoD ทุกคนที่เกี่ยวข้องกับบทบาทและกิจกรรมด้านการประกันความปลอดภัยของข้อมูลต้องได้รับและรักษาใบรับรองด้านเทคโนโลยีสารสนเทศ (IT) ต่างๆ ของอุตสาหกรรม เพื่อให้มั่นใจว่าบุคลากร DoD ทุกคนที่เกี่ยวข้องกับการป้องกันโครงสร้างพื้นฐานเครือข่ายมีความรู้ ทักษะ และความสามารถ (KSA) ที่ได้รับการยอมรับในอุตสาหกรรม IT ในระดับขั้นต่ำ Andersson และ Reimers (2019) รายงานว่าใบรับรองเหล่านี้มีตั้งแต่ A+ และ Security+ ของ CompTIA ไปจนถึง CISSP ของ ICS2.org เป็นต้น^{[ 236 ]}

วัฒนธรรม

วัฒนธรรมความปลอดภัยของข้อมูลไม่ได้หมายถึงเพียงแค่การที่พนักงานตระหนักถึงความปลอดภัยเท่านั้น แต่ยังหมายถึงแนวคิด ขนบธรรมเนียม และพฤติกรรมทางสังคมขององค์กรที่มีผลกระทบต่อความปลอดภัยของข้อมูลทั้งในเชิงบวกและเชิงลบ^{[ 237 ]}แนวคิดทางวัฒนธรรมสามารถช่วยให้ส่วนต่างๆ ขององค์กรทำงานได้อย่างมีประสิทธิภาพ หรือขัดขวางประสิทธิภาพในการรักษาความปลอดภัยของข้อมูลภายในองค์กร วิธีที่พนักงานคิดและรู้สึกเกี่ยวกับความปลอดภัยและการกระทำของพวกเขาสามารถส่งผลกระทบอย่างมากต่อความปลอดภัยของข้อมูลในองค์กร Roer & Petric (2017) ระบุถึงมิติหลักเจ็ดประการของวัฒนธรรมความปลอดภัยของข้อมูลในองค์กร: ^{[ 238 ]}

ทัศนคติ: ความรู้สึกและอารมณ์ของพนักงานเกี่ยวกับกิจกรรมต่างๆ ที่เกี่ยวข้องกับการรักษาความปลอดภัยข้อมูลขององค์กร
พฤติกรรม: กิจกรรมที่เกิดขึ้นจริงหรือที่ตั้งใจจะทำ และการกระทำที่เสี่ยงอันตรายของพนักงาน ซึ่งส่งผลกระทบโดยตรงหรือโดยอ้อมต่อความปลอดภัยของข้อมูล
การรับรู้: ความตระหนักรู้ ความรู้ที่ตรวจสอบได้ และความเชื่อของพนักงานเกี่ยวกับแนวปฏิบัติ กิจกรรม และ ความสัมพันธ์ระหว่าง ความสามารถในการปฏิบัติงานของตนเองที่เกี่ยวข้องกับความปลอดภัยของข้อมูล
การสื่อสาร: วิธีการที่พนักงานสื่อสารกัน ความรู้สึกเป็นส่วนหนึ่งขององค์กร การสนับสนุนในประเด็นด้านความปลอดภัย และการรายงานเหตุการณ์
การปฏิบัติตามกฎระเบียบ: การยึดมั่นในนโยบายความปลอดภัยขององค์กร การตระหนักถึงการมีอยู่ของนโยบายดังกล่าว และความสามารถในการจดจำสาระสำคัญของนโยบายเหล่านั้น
บรรทัดฐาน: การรับรู้เกี่ยวกับพฤติกรรมและแนวปฏิบัติขององค์กรที่เกี่ยวข้องกับความปลอดภัย ซึ่งพนักงานและเพื่อนร่วมงานมองว่าเป็นเรื่องปกติหรือผิดปกติอย่างไม่เป็นทางการ เช่น ความคาดหวังที่ซ่อนเร้นเกี่ยวกับพฤติกรรมด้านความปลอดภัย และกฎที่ไม่ได้เขียนไว้เกี่ยวกับการใช้เทคโนโลยีสารสนเทศและการสื่อสาร
ความรับผิดชอบ: ความเข้าใจของพนักงานเกี่ยวกับบทบาทและความรับผิดชอบของตน ซึ่งเป็นปัจจัยสำคัญในการรักษาหรือคุกคามความปลอดภัยของข้อมูล และส่งผลต่อความปลอดภัยขององค์กรด้วย

Andersson และ Reimers (2014) พบว่าพนักงานมักไม่มองตนเองว่าเป็นส่วนหนึ่งของ "ความพยายาม" ด้านความปลอดภัยของข้อมูลขององค์กร และมักกระทำการที่ละเลยผลประโยชน์สูงสุดของความปลอดภัยของข้อมูลขององค์กร^{[ 239 ]}งานวิจัยแสดงให้เห็นว่าวัฒนธรรมความปลอดภัยของข้อมูลจำเป็นต้องได้รับการปรับปรุงอย่างต่อเนื่อง ในหนังสือ Information Security Culture from Analysis to Changeผู้เขียนได้แสดงความคิดเห็นว่า "มันเป็นกระบวนการที่ไม่สิ้นสุด เป็นวงจรของการประเมินและการเปลี่ยนแปลงหรือการบำรุงรักษา" ในการจัดการวัฒนธรรมความปลอดภัยของข้อมูล ควรดำเนินการห้าขั้นตอน ได้แก่ การประเมินเบื้องต้น การวางแผนเชิงกลยุทธ์ การวางแผนเชิงปฏิบัติการ การนำไปใช้ และการประเมินภายหลัง^{[ 240 ]}

การประเมินเบื้องต้น: เพื่อระบุระดับความตระหนักรู้ด้านความปลอดภัยของข้อมูลในหมู่พนักงาน และวิเคราะห์นโยบายความปลอดภัยในปัจจุบัน
การวางแผนเชิงกลยุทธ์: เพื่อสร้างโปรแกรมสร้างความตระหนักรู้ที่ดีขึ้น เราจำเป็นต้องกำหนดเป้าหมายที่ชัดเจน การจัดกลุ่มผู้คนจะช่วยให้บรรลุเป้าหมายเหล่านั้นได้
การวางแผนปฏิบัติการ: สร้างวัฒนธรรมความปลอดภัยที่ดีโดยอาศัยการสื่อสารภายใน การสนับสนุนจากผู้บริหาร การสร้างความตระหนักรู้ด้านความปลอดภัย และโปรแกรมการฝึกอบรม
การนำไปปฏิบัติ: ควรประกอบด้วยความมุ่งมั่นของฝ่ายบริหาร การสื่อสารกับสมาชิกในองค์กร หลักสูตรสำหรับสมาชิกในองค์กรทั้งหมด และความมุ่งมั่นของพนักงาน^{[ 240 ]}
การประเมินผลหลังดำเนินการ: เพื่อประเมินประสิทธิผลของขั้นตอนก่อนหน้าได้ดียิ่งขึ้น และต่อยอดการปรับปรุงอย่างต่อเนื่อง

ดูเพิ่มเติม

บรรณานุกรม

อัลเลน, จูเลีย เอช. (2001). คู่มือ CERT สำหรับแนวปฏิบัติด้านความปลอดภัยของระบบและเครือข่าย . บอสตัน, แมสซาชูเซตส์: แอดดิสัน-เวสลีย์. ISBN 978-0-201-73723-3.
ครูทซ์, โรนัลด์ แอล.; รัสเซล ดีน ไวน์ส (2003) คู่มือการเตรียม CISSP (Gold ed.) อินเดียนาโพลิส, อินดีแอนา: ไวลีย์ไอเอสบีเอ็น 978-0-471-26802-4.
เลย์ตัน, ทิโมธี พี. (2007). ความปลอดภัยของข้อมูล: การออกแบบ การนำไปใช้ การวัดผล และการปฏิบัติตาม . โบคา ราตัน, ฟลอริดา: สำนักพิมพ์ออเออร์บัค. ISBN 978-0-8493-7087-8.
McNab, Chris (2004). การประเมินความปลอดภัยของเครือข่าย . เซบาสโตโพล, แคลิฟอร์เนีย: O'Reilly. ISBN 978-0-596-00611-2.
Peltier, Thomas R. (2001). การวิเคราะห์ความเสี่ยงด้านความปลอดภัยของข้อมูล . โบคา ราตัน, ฟลอริดา: สำนักพิมพ์ Auerbach. ISBN 978-0-8493-0880-2.
Peltier, Thomas R. (2002). นโยบาย ขั้นตอน และมาตรฐานด้านความปลอดภัยของข้อมูล: แนวทางสำหรับการจัดการความปลอดภัยของข้อมูลอย่างมีประสิทธิภาพ . โบคา ราตัน, ฟลอริดา: สำนักพิมพ์ Auerbach. ISBN 978-0-8493-1137-6.
ไวท์, เกรกอรี (2003). คู่มือเตรียมสอบรับรอง Security+ แบบครบวงจร . เอเมอรีวิลล์, แคลิฟอร์เนีย: แมคกรอว์-ฮิลล์/ออสบอร์น. ISBN 978-0-07-222633-1.
Dhillon, Gurpreet (2007). หลักการรักษาความปลอดภัยของระบบสารสนเทศ: เนื้อหาและกรณีศึกษา . นิวยอร์ก: John Wiley & Sons. ISBN 978-0-471-45056-6.
Whitman, Michael; Mattord, Herbert (2017). หลักการรักษาความปลอดภัยข้อมูล . Cengage . ISBN 978-1-337-10206-3.

อ่านเพิ่มเติม

Anderson, K., " ผู้เชี่ยวชาญด้านความปลอดภัยไอทีต้องพัฒนาตนเองให้ทันตลาดที่เปลี่ยนแปลงไป ", SC Magazine , 12 ตุลาคม 2549
Aceituno, V., "ว่าด้วยกระบวนทัศน์ด้านความปลอดภัยของข้อมูล", ISSA Journal , กันยายน 2548
อีสต์ทอม, ซี. , พื้นฐานความปลอดภัยของคอมพิวเตอร์ (ฉบับที่ 2) เพียร์สัน เอ็ดดูเคชั่น , 2011.
Lambo, T., "ISO/IEC 27001: อนาคตของการรับรองความปลอดภัยด้านข้อมูล", ISSA Journal , พฤศจิกายน 2549
ดัสติน, ดี., " การตระหนักรู้ว่าข้อมูลของคุณถูกนำไปใช้อย่างไรและควรทำอย่างไร ", "บล็อก CDR", พฤษภาคม 2017
Dhillon, G., " แก่นแท้ทางปัญญาของความปลอดภัยของระบบสารสนเทศ ", วารสารความปลอดภัยของระบบสารสนเทศ , เล่มที่ 19, ฉบับที่ 2.

ลิงก์ภายนอก

แผนภูมิแสดงนโยบายด้านความมั่นคงปลอดภัยสารสนเทศของกระทรวงกลาโหม (DoD IA Policy Chart) ถูกเก็บถาวรเมื่อวันที่ 6 กันยายน 2011 ที่Wayback Machineบนเว็บไซต์ของศูนย์วิเคราะห์เทคโนโลยีความมั่นคงปลอดภัยสารสนเทศของกระทรวงกลาโหม (DoD Information Assurance Technology Analysis Center)
รูปแบบและแนวปฏิบัติ วิศวกรรมความปลอดภัย อธิบายโดยละเอียด
IWS – บทว่าด้วยความปลอดภัยของข้อมูล(เก็บถาวรเมื่อ 8 พฤศจิกายน 2019 ที่Wayback Machine)
หนังสือ "วิศวกรรมความปลอดภัย" ของรอสส์ แอนเดอร์สัน

[ 1 ]

[ 2 ]

[ 3 ]

[ 4 ]

[ 5 ]

[ 6 ]

[ 7 ]

[ 8 ]

[ 9 ]

[ 10 ]

[ 11 ]

[ 12 ]

[ 13 ]

[ 14 ]

[ 15 ]

[ 16 ]

[ 17 ]

[ 18 ]

[ 19 ]

20

ที่

[

[

[

[

[ 26 ]

[ 27 ]

[ 28 ]

[ 29 ]

[ 30 ]

[ 31 ]

[ 32 ]

[ 33 ]

[ 34 ]

[ 35 ]

[ 36 ]

[ 37 ]

[ 38 ]

39 ] ปริมาณ

[ 40 ]

[ 41 ]

[

[ 43 ]

]การมี

[ 45 ]

[

46 ] คอมพิวเตอร์

[ 48 ]

[ 49 ]

[ 50 ]

[ 51 ]

[ 52 ]

[ 53 ]

[ 54 ]

[ 55 ]

[ 56 ]

[ 57 ]

[ 58 ]

[ 59 ]

[ 60 ]

[ 61 ]

[ 62 ]

[ 63 ]

[ 64 ]

[ 65 ]

[ 66 ]

[ 67 ]

[ 68 ]

[ 69 ]

[ 70 ]

[ 71 ]

[ 72 ]

[ 73 ]

[ 74 ]

[ 75 ]

[ 76 ]

[ 77 ]

78 ] มาตรฐาน

[ 79 ]

[ 80 ]

[ 81 ]

[ 82 ]

[ 83 ]

[ 84 ]

[ 85 ]

[ 86 ]

[ 87 ]

[ 88 ]

[ 89 ]

[ 90 ]

[ 91 ]

[ 92 ]

[ 93 ]

[ 94 ]

[ 95 ]

[ 96 ]

[ 97 ]

[ 98 ]

[ 99 ]

[ 100 ]