มาตรการความปลอดภัย
20 มาตรการที่สำคัญเพื่อการปกป้องระบบคอมพิวเตอร์อย่างมีประสิทธิภาพ มีดังนี้
มาตรการที่ 1: ทำรายการจัดเก็บชื่ออุปกรณ์ที่ได้มีการเข้าถึงเครือข่ายภายในองค์กรทั้งที่ได้รับอนุญาต และอุปกรณ์แปลกปลอม อื่นๆ (Inventory of Authorized and Unauthorized Devices)
มาตรการที่ 2: ทำรายการจัดเก็บชื่อโปรแกรมที่ได้มีการติดตั้งภายในองค์กรทั้งที่ได้รับอนุญาต และไม่ได้รับอนุญาต(Inventory of Authorized and Unauthorized Software)
มาตรการที่ 3: ปรับแต่งอุปกรณ์ และโปรแกรมต่างๆ ในองค์กรให้มีความมั่นคงปลอดภัย (Secure Configurations for Hardware and Software on Mobile Devices, Laptops, Workstations, and Servers)
มาตรการที่ 4: ตรวจสอบ วิเคราะห์ และแก้ไขช่องโหว่ต่างๆ ของระบบอย่างต่อเนื่อง (Continuous Vulnerability Assessment and Remediation)
มาตรการที่ 5: ป้องกันอุปกรณ์ และโปรแกรมต่างๆ จากโปรแกรมไม่ประสงค์ดี (Malware Defenses)
มาตรการที่ 6: ตรวจสอบ ป้องกัน และแก้ไขจุดอ่อนของโปรแกรมที่พัฒนาขึ้น หรือนำมาใช้งาน (Application Software Security)
มาตรการที่ 7: ตรวจสอบ และป้องกันการใช้งานเครือข่ายไร้สายของอุปกรณ์ที่ไม่ได้รับอนุญาต (Wireless Device Control)
มาตรการที่ 8: ทำการสำรองข้อมูลที่สำคัญๆ และมีการซ้อมการกู้คืนระบบอย่างสม่ำเสมอ (Data Recovery Capability)
มาตรการที่ 9: มีการฝึกอบรมหรือทำความเข้าใจกับช่องโหว่ต่างๆ ที่มีอยู่ในองค์กร (Security Skills Assessment and Appropriate Training to Fill Gaps)
มาตรการที่ 10: ปรับแต่งอุปกรณ์เครือข่ายให้มีการใช้งานตามที่ได้กำหนดไว้ เช่น กฎของไฟร์วอลล์ การตั้งค่าเส้นทางอุปกรณ์ค้นหาเส้นทาง (Secure Configurations for Network Devices such as Firewalls, Routers, and Switches)
มาตรการที่ 11: จำกัด และควบคุมการใช้งานเครือข่ายและบริการต่างๆ อย่างเหมาะสม (Limitation and Control of Network Ports, Protocols, and Services)
มาตรการที่ 12: ควบคุมผู้ใช้งานที่ได้สิทธิ์สูง เช่น สิทธิ์เป็นผู้ดูแลระบบ (Controlled Use of Administrative Privileges)
มาตรการที่ 13: ควบคุมการเชื่อมต่อของแต่ละวงเครือข่ายที่มีระดับความลับของข้อมูลแตกต่างกัน (Boundary Defense)
มาตรการที่ 14: ตรวจสอบ และวิเคราะห์ข้อมูลสำหรับการตรวจสอบ (Maintenance, Monitoring, and Analysis of Audit Logs)
มาตรการที่ 15: ควบคุม และตรวจสอบการเข้าถึงข้อมูลที่มีความลับในลำดับชั้นต่างๆ ตามที่ได้รับอนุญาต(Controlled Access Based on the Need to Know)
มาตรการที่ 16: ควบคุม และตรวจสอบชื่อผู้ใช้งานในระบบต่างๆ (Account Monitoring and Control) มาตรการที่ 17: ควบคุม และตรวจสอบข้อมูลที่ผ่านเข้าออกระบบ (Data Loss Prevention)
มาตรการที่ 18: มีการควบคุม จัดการ และตอบสนอง ต่อเหตุการณ์ต่างๆ ทางคอมพิวเตอร์ (Incident Response and Management)
มาตรการที่ 19: ป้องกัน และควบคุมภัยคุมคามในรูปแบบอื่นๆ (Secure Network Engineering)
มาตรการที่ 20: ดำเนินการตรวจสอบ และซักซ้อมการทดสอบเจาะบุกรุกระบบ (Penetration Tests and Red Team Exercises)
ไม่มีความคิดเห็น:
แสดงความคิดเห็น