การบูรณาการระบบความมั่นคงสารสนเทศตามมาตรฐานไอเอสโอ/ไออีซี 27001 กับการจัดการโครงการซอฟต์แวร์

Other Title (Parallel Title in Other Language of ETD)

Integrating information security management system from ISO/IEC 27001 with software project management

Author

วชิรวิทย์ เซียวสกุล, คณะวิศวกรรมศาสตร์

Year (A.D.)

2023

Document Type

Independent Study

First Advisor

นครทิพย์ พร้อมพูล

Faculty/College

Faculty of Engineering (คณะวิศวกรรมศาสตร์)

Department (if any)

Department of Computer Engineering (ภาควิชาวิศวกรรมคอมพิวเตอร์)

Degree Name

วิทยาศาสตรมหาบัณฑิต

Degree Level

ปริญญาโท

Degree Discipline

วิศวกรรมซอฟต์แวร์

DOI

10.58837/CHULA.IS.2023.245

Abstract

การบูรณาการระบบการจัดการความมั่นคงสารสนเทศและการจัดการโครงการซอฟต์แวร์มีความสําคัญอย่างยิ่ง เนื่องจากข้อมูลที่เกิดขึ้นในระบบสารสนเทศน้ันมีความละเอียดอ่อน เช่น ข้อมูลทางการเงิน หรือ ข้อมูลส่วนบุคคล เป็นต้น ซึ่งหากข้อมูลสารสนเทศดังกล่าวถูกเข้าถึงโดยไม่ได้รับอนุญาตจากเจ้าของข้อมูล หรือถูกนําไปใช้ในทางที่ไม่ถูกต้อง จะส่งผลให้เกิดความเสียหายต่อเจ้าของข้อมูล รวมถึงองค์กรที่ให้บริการระบบสารสนเทศดังกล่าว ดังนั้นระบบการจัดการความเสี่ยงด้านความมั่นคงสารสนเทศจึงจําเป็นต้องบูรณาการเข้ากับการจัดการโครงการในทุกขั้นตอนของวัฏจักรการพัฒนาซอฟต์แวร์ ปัจจุบันโครงการพัฒนาซอฟต์แวร์มักจะเกิดในสภาพแวดล้อมที่มีการเปลี่ยนแปลงอย่างรวดเร็ว การประยุกต์ใช้แนวปฏิบัติแบบสกรัมจะช่วยเข้ามาตอบโจทย์ความต้องการในการพัฒนาซอฟต์แวร์ที่มีการเปลี่ยนแปลงอย่างรวดเร็วนี้ นอกจากนี้ยังมีความท้าทายในการบูรณาการระบบการจัดการความมั่นคงสารสนเทศกับการจัดการโครงการซอฟต์แวร์แบบสกรัมเฟรมเวิร์กคือ จากการรักษาความสมดุลระหว่างมาตรการความมั่นคงสารสนเทศที่มีความเข้มงวดกับระเบียบวิธีแบบสกรัมที่เน้นความรวดเร็วและคล่องตัว โครงงานนี้ผู้จัดทําโครงงานได้นําเสนอการบูรณาการระบบการจัดการความมั่นคงสารสนเทศกับการจัดโครงการซอฟต์แวร์แบบสกรัม โดยอ้างอิงจากมาตรฐานสากล ความต้องการของระบบจัดการความมั่นคงสารสนเทศ (ISO/IEC 27001:2022) มาตรการควบคุมความมั่นคงสารสนเทศ (ISO/IEC 27002:2022) และ การจัดการความเสี่ยง (ISO/IEC 31000:2018) นอกจากนี้ผู้จัดทําโครงงานได้อ้างอิงองค์ความรู้ด้านการจัดการโครงการซอฟต์แวร์แบบสกรัม จากการจัดการโครงการของสถาบันการจัดการโครงการ (Project Management Institute) และคู่มือสกรัมจากองค์กรแนวทางปฏิบัติสกรัม (Scrum Guides Organization) โดยกระบวนการที่ผ่านการบูรณาการแบ่งออกเป็น 6 ขั้นตอน ซึ่งได้ออกแบบรายละเอียดกิจกรรมและบทบาทของผู้เกี่ยวข้องที่เกิดขึ้นในแต่ละกิจกรรม เพื่อให้การจัดการโครงการซอฟต์แวร์มีความมั่นคงสารสนเทศอย่างทนทาน พร้อมทั้งพัฒนาเครื่องมือต้นแบบสำหรับการจัดการความมั่นคงสารสนเทศของโครงการซอฟต์แวร์แบบสกรัม ซึ่งช่วยสนับสนุนให้การจัดการโครงการมีประสิทธิภาพมากยิ่งขึ้น

Other Abstract (Other language abstract of ETD)

The integration of Information security management system with software project management is essentiality due to the sensitive data within information systems e.g., financial records and personal information. Unauthorized access or misuse of data can lead to significant detriment to the data owners and the organization that provides these information systems. Consequently, it is crucially to integrate risk management system throughout the software development lifecycle in a project management. Nowadays, software development projects usually evolve in the fast-paced environments. Applying Scrum practices can address the required instantaneous adaptation. Moreover, the challenging of the integrating an information security management system with software project management for the scrum framework is to balance the rigorous security controls and the agile nature of scrum. This master project proposes the integration of information security management system and scrum-based software project management by incorporating requirements of information security management system (ISO/IEC 27001:2022), information security controls (ISO/IEC 27001:2022) and risk management (ISO/IEC 31000:2018). Furthermore, the references of scrum-based software project management are from Project Management Institute and the Scrum Guides Organization. The integrated process is comprised of six phases. Each phase includes the defined activities details and the involved roles to ensure robust information security in software project management. Additionally, a prototype tool for managing information security has been developed to support the efficiency of information security management systems in scrum-based software projects.

Creative Commons License

This work is licensed under a Creative Commons Attribution-NonCommercial-No Derivative Works 4.0 International License.

Recommended Citation

เซียวสกุล, วชิรวิทย์, "การบูรณาการระบบความมั่นคงสารสนเทศตามมาตรฐานไอเอสโอ/ไออีซี 27001 กับการจัดการโครงการซอฟต์แวร์" (2023). Chulalongkorn University Theses and Dissertations (Chula ETD). 11804.
https://digital.car.chula.ac.th/chulaetd/11804