December 22, 2024

Language:

ការប្រើប្រាស់សៀវភៅណែនាំសុវត្ថិភាពព័ត៌មាន

.ព័ត៌មានទូទៅ

គោលការណ៍សន្តិសុខសាយប័រនៅក្នុង ISM គឺដើម្បីផ្តល់ការណែនាំជាយុទ្ធសាស្រ្តអំពីរបៀបដែលអង្គភាពអាចការពារ ប្រព័ន្ធ និងទិន្នន័យរបស់ពួកគេពីការគំរាមកំហែង។ គោលការណ៍សន្តិសុខទាំងនេះត្រូវបានដាក់ជាក្រុម ហើយបែងចែកជាសកម្មភាពសំខាន់ៗ ចំនួនបួន៖ ការគ្រប់គ្រង ការពារ ការរកឃើញ និងការឆ្លើយតប។ អង្គភាពគួរតែបង្ហាញអំពី គោលការណ៍សន្តិសុខសាយប័រដែលកំពុងអនុវត្តនៅក្នុងអង្គភាពរបស់ខ្លួន ។

.គោលការណ៍ណែនាំអំពីសុវត្ថិភាពសន្តិសុខសាយប័រ

គោលការណ៍ណែនាំអំពីសុវត្ថិភាពសន្តិសុខសាយប័រនៅក្នុង ISM គឺដើម្បីផ្តល់នូវការណែនាំ អំពីរបៀបដែលអង្គភាពអាចការពារប្រព័ន្ធ និងទិន្នន័យរបស់ពួកគេពីការគំរាមកំហែង។ គោលការណ៍ណែនាំ សន្តិសុខសាយប័រទាំងនេះគ្របដណ្តប់ លើអភិបាលកិច្ចសន្តិសុខរូបវន្ត សុវត្ថិភាពបុគ្គលិក ទំនាក់ទំនង និងប្រធានបទសុវត្ថិភាពបច្ចេកវិទ្យាព័ត៌មាន។ ស្ថាប័ន ឬអង្គភាព គួរតែពិចារណាអំពីគោលការណ៍ណែនាំសន្តិសុខសាយប័រដែលពាក់ព័ន្ធនឹងប្រព័ន្ធនីមួយៗដែលពួកគេកំពុងដំណើរការ។

.ការប្រើប្រាស់ក្របខ័ណ្ឌគ្រប់គ្រងហានិភ័យ

ក្របខ័ណ្ឌគ្រប់គ្រងហានិភ័យដែលប្រើប្រាស់ដោយ ISM មានប្រាំមួយជំហាន៖ ការកំណត់លក្ខណៈ ប្រព័ន្ធ ជ្រើសរើសយន្តការគ្រប់គ្រង អនុវត្តយន្តការគ្រប់គ្រង វាយតម្លៃយន្តការគ្រប់គ្រង ផ្តល់សិទ្ធិ និង ត្រួតពិនិត្យប្រព័ន្ធ។

.ការកំណត់លក្ខណៈប្រព័ន្ធ

ការកំណត់លក្ខណៈប្រព័ន្ធ គឺផ្អែកទៅលើប្រភេទ តម្លៃ និងគោលបំណងសុវត្ថិភាពសម្រាប់ប្រព័ន្ធ ដោយវាយតម្លៃនៃផលប៉ះពាល់ក្នុងករណីត្រូវបានគេវាយប្រហារ។​ នៅពេលអ្នកចាប់ផ្តើមកំណត់រចនាប្រព័ន្ធ អ្នកគួរតែគិតពីសុវត្ថិភាព សម្រាប់ប្រព័ន្ធដោយផ្អែកលើ ការរក្សាការសម្ងាត់ សុចរិតភាព និងភាពដែលអាចរកបាន ហើយចំណុចទាំងនេះគួរតែធ្វើការកំណត់ជាអទិភាព។ ជាចុងក្រោយ សូមណែនាំសកម្មភាពដូចជា ការជ្រើសរើស និងការគ្រប់គ្រងបំណៈ ដើម្បីបំពេញនូវសុវត្ថិភាព និងកំណត់ កម្រិតហានិភ័យនៅសេសសល់ ដែលនឹងត្រូវបានទទួលយកមុនពេលប្រព័ន្ធត្រូវបានអនុញ្ញាត ឱ្យដំណើរការ ។

.ការជ្រើសរើសយន្តការគ្រប់គ្រង

ខណៈពេលដែលហានិភ័យ និងការគ្រប់គ្រងសុវត្ថិភាពត្រូវបានយកមកពិភាក្សានៅក្នុងគោលការណ៍ណែនាំ សុវត្ថិភាពសន្តិសុខសាយប័រនិងដើរតួជាមូលដ្ឋានសំខាន់ៗ ដែលសកម្មភាពទាំនោះនឹង អាចត្រូវបានចាត់ទុកថាជាបញ្ជីពេញលេញសម្រាប់ប្រភេទប្រព័ន្ធឬបច្ចេកវិទ្យាជាក់លាក់។ ដូច្នេះហើយ គោលការណ៍ណែនាំសុវត្ថិភាពសន្តិសុខសាយប័រផ្ដល់នូវធាតុចូលដ៏សំខាន់ទៅលើការកំណត់អត្តសញ្ញាណ ហានិភ័យ និងសកម្មភាពព្យាបាលហានិភ័យរបស់ស្ថាប័នមួយ ទោះជាយ៉ាងណាក៏ដោយវាក៏មិនតំណាងឱ្យវិសាលភាពពេញលេញនៃសកម្មភាពទេ។

គោលការណ៍ណែនាំអំពីសុវត្ថិភាពតាមអ៊ីនធឺណិតអាចជួយកំណត់អត្តសញ្ញាណហានិភ័យ និងសកម្មភាព ស្តារឡើងវិញនូវហានិភ័យរបស់អង្គភាពមួយ ដោយត្រូវធ្វើការវិភាគហានិភ័យ និងវាយតម្លៃហានិភ័យនៃប្រព័ន្ធនីមួយៗ ការធ្វើប្រតិបត្តិការ និងភាពអត់ធ្មត់របស់អង្គភាពនៅពេលមានហានិភ័យ។

បន្ទាប់ពីការជ្រើសរើស និងការកែតម្រូវការគ្រប់គ្រងសម្រាប់ប្រព័ន្ធនីមួយៗ​ អ្នកត្រូវធ្វើការកត់ត្រាជាមួយនឹងព័ត៌មានលម្អិត នៃការអនុវត្តដែលបានគ្រោងទុកនៅក្នុងឧបសម្ព័ន្ធផែនការសុវត្ថិភាពប្រព័ន្ធ។ លើសពីនេះ ការត្រួតពិនិត្យក៏គួរតែត្រូវបានកត់ត្រា នៅក្នុងផែនការឆ្លើយតបឧប្បត្តិហេតុ និងផែនការត្រួតពិនិត្យប្រព័ន្ធជាបន្តបន្ទាប់។

ជាចុងក្រោយ ការជ្រើសរើសការគ្រប់គ្រងសម្រាប់ប្រព័ន្ធមួយ គួរត្រូវបានកត់ត្រានៅក្នុងឧបសម្ព័ន្ធផែនការសុវត្ថិភាពរបស់ប្រព័ន្ធ ដែលត្រូវបានយល់ព្រមនិងផ្តល់សិទ្ធិដោយមន្ត្រីគ្រប់គ្រងប្រព័ន្ធ។

.ការអនុវត្តយន្តការគ្រប់គ្រង

អនុវត្តយន្តការគ្រប់គ្រងប្រព័ន្ធ និងបរិយាកាសប្រតិបត្តិការ។

នៅពេលដែលអនុវត្តយន្តការគ្រប់គ្រងប្រព័ន្ធ ត្រូវកំណត់អត្តសញ្ញាណប្រព័ន្ធនីមួយៗដែល ប្រព័ន្ធទាំងនោះត្រូវបានអនុម័តផ្តល់សិទ្ធិដោយមន្ត្រីដែលត្រូវបានអនុវត្ត។ ព័ត៌មានលម្អិតនៃការអនុវត្តជាក់ស្តែងគួរតែកត់ត្រា ប្រសិនបើមានការ អនុវត្តខុសពីអ្វីដែលបានគ្រោងទុកត្រូវតែកត់ត្រានៅក្នុង ឧបសម្ព័ន្ធផែនការសុវត្ថិភាពប្រព័ន្ធរបស់ប្រព័ន្ធ។

៧.ការវាយតម្លៃយន្តការគ្រប់គ្រង

ការវាយតម្លៃយន្តការគ្រប់គ្រងប្រព័ន្ធនិងបរិយាកាសប្រតិបត្តិការ ដើម្បីកំណត់ថាតើត្រូវបានអនុវត្តត្រឹមត្រូវ និងកំពុង ដំណើរការដែរឬទេ។

ក្នុងការអនុវត្តការវាយតម្លៃសុវត្ថិភាព វាជារឿងសំខាន់សម្រាប់អ្នកវាយតម្លៃ និងម្ចាស់ប្រព័ន្ធត្រូវយល់ព្រមជាមុនចំពោះ វិសាលភាព ប្រភេទ និងសមត្ថភាពការវាយតម្លៃដែលត្រូវបានចងក្រងជាឯកសារ នៅក្នុងផែនការវាយតម្លៃសុវត្ថិភាព ដូចជាហានិភ័យណាមួយដែលទាក់ទងនឹងការវាយតម្លៃសុវត្ថិភាព អាចត្រូវបានគ្រប់គ្រង។ ក្នុងកម្រិតធំ សមត្ថភាពនៃការវាយតម្លៃសុវត្ថិភាពនឹងត្រូវបានកំណត់ដោយ ប្រភេទនៃប្រព័ន្ធនិងការគ្រប់គ្រងដែលត្រូវបានអនុវត្តសម្រាប់ប្រព័ន្ធ និងបរិយាកាសប្រតិបត្តិការ។

សម្រាប់ប្រព័ន្ធ TOP SECRET រួមទាំងប្រព័ន្ធព័ត៌មានដែលមានលក្ខណៈរសើបការវាយតម្លៃសុវត្ថិភាពអាចត្រូវបានធ្វើឡើង ដោយអ្នកវាយតម្លៃ ASD (ឬប្រតិភូរបស់ពួកគេ)។ ការវាយតម្លៃសុវត្ថិភាពអាចត្រូវបានធ្វើឡើងដោយអ្នកវាយតម្លៃផ្ទាល់ របស់អង្គភាព ឬអ្នកវាយតម្លៃកម្មវិធីមកពី Infosec Registered Assessors Program (IRAP)។ គ្រប់ករណីទាំងអស់ អ្នកវាយតម្លៃគួរតែពិនិត្យសំអាតប្រព័ន្ធសុវត្ថិភាព អោយបានត្រឹមត្រូវនិងមានកម្រិតសមស្រប នៃបទពិសោធន៍និងការយល់ដឹងអំពីប្រភេទនៃប្រព័ន្ធដែលពួកគេកំពុងវាយតម្លៃ។

នៅពេលបញ្ចប់នៃការវាយតម្លៃសុវត្ថិភាពរបាយការណ៍វាយតម្លៃគួរតែត្រូវបានគូសបញ្ជាក់ពីវិសាលភាពនៃភាពខ្លាំងរបស់ប្រព័ន្ធនិងភាពខ្សោយ, ហានិភ័យផ្នែកសុវត្ថិភាពដែលបានផ្សារភ្ជាប់ជាមួយនឹងការប្រតិបត្ដិនៃប្រព័ន្ធ ប្រសិទ្ធភាពនៃការអនុវត្តន៍ ការត្រួតពិនិត្យ និងការផ្ដល់ជាមតិណែនាំ។ ការធ្វើបែបនេះ អាចជួយកាស្តារឡើងវិញនៃប្រព័ន្ធ ហើយក៏ដូចជាការណែនាំអំពីការអភិវឌ្ឍផែនការសកម្មភាពនៃចំណុច ដែលជាគោលដៅ។

៨.ឯកសារពាក់ព័ន្ធ

  • –    https://www.cyber.gov.au/resources-business-and-government/essential-cyber-security/ism/using-information-security-manual
***Disclaimer: CamCERT own some of the content. Our purpose is pure to help spread the awareness, tips or other information related to security to everyone. Even though every information is true, accurate, completed and appropriate, we make no responsibility nor warranty since everything could go wrong.