Chulalongkorn University Theses and Dissertations (Chula ETD)

Developing an information security management system (ISMS) based on BS 7799-2: 2002 & ISO 17799:2000 for engineering computer center (ECC)

Other Title (Parallel Title in Other Language of ETD)

การพัฒนาระบบบริหารการจัดการความปลอดภัยของข้อมูลสารสนเทศโดยวิธี BS 7799-2:2002 และ ISO/IEC 17799:2000 สำหรับศูนย์คอมพิวเตอร์ทางวิศวกรรม

Year (A.D.)

2003

Document Type

Thesis

First Advisor

Damrong Thaveesaengsakulthai

Second Advisor

Thongchai Rojkangsadan

Faculty/College

Faculty of Engineering (คณะวิศวกรรมศาสตร์)

Degree Name

Master of Engineering

Degree Level

Master's Degree

Degree Discipline

Engineering Management

DOI

10.58837/CHULA.THE.2003.1547

Abstract

The model of Quality Management System (QMS), for over a decade, has proven its effectiveness of enhancing the quality of service and product of worldwide enterprises. Yet, in this knowledge economy, the growth or survival of the organization is not only limited to ensuring the quality but also extended to protecting information. Indeed, if we wish to rank the assets, next to personnel - the most valuable one - is unarguably the information, which is considered the lifeblood of each organization. Numerous information security breaches and incidents as well as their associated consequences overwhelm mass media, heavily striking the enterprises’ operation. Given that context, the timely release of BS 7799-2: 2002 and ISO 17799: 2000 - an Information Security Management System (ISMS) - is an appropriate, crucial supplementation for existing management systems. An efficient ISMS maintains the organization’s information security posture, thereby keeping the stability of internal and external business activities and most significantly, the customers’ credit. Implementation of BS 7799 and ISO 17799 in Thailand as well as in many other countries is quite fresh. This fact claims for two reasons. First, senior management’s awareness of information security is fairly low. More and equally important is the thought that understanding and deploying a new management system would be complicated, time-consuming and costly. These drove me to study the ISMS based on BS 7799 and ISO 17799 to know which are the characteristics and contents of an ISMS and then develop a theoretical model based on a specific case study of the Engineering Computer Center (ECO) of the Faculty of Engineering, Chulalongkorn University. This study aims at producing two results. First, the OCTAVESM method - the most effective and yet unknown information security risk assessment will be intensively explored in order to conduct a complete risk assessment on the operation of ECC. Next, according to such evaluation results, an ISMS will be fully established by using the BS 7799-2: 2002 and ISO 17799: 2000. Lastly, in near future, exploring this ISMS and the like would enable Thai authorities to establish their own standards like the ones generated by India, Japan, Germany, Australia and New Zealand.

Other Abstract (Other language abstract of ETD)

นับเป็นเวลามากกว่า 1 ทศวรรษ ที่โมเดลของระบบบริหารจัดการคุณภาพ (Quality Management System: QMS) ได้พิสูจน์ถึงประสิทธิผลใน การปรับปรุงคุณภาพของการบริการและสินค้าขององค์กรธุรกิจทั่วโลก ในอีกมุมมองหนึ่งขององค์ความรู้ทางเศรษฐกิจการเจริญเติบโตหรือการอยู่รอดขององค์กรนั้นไม่ได้ขึ้นอยู่กับการประกันคุณภาพเพียงอย่างเดียว แต่ยังขึ้นอยู่กับ การรักษาความปลอดภัยของสารสนเทศนั้น ๆ อีกด้วย ซึ่งเมื่อทำการจัดลำดับ ความสำคัญของทรัพยากรในองค์กรแล้ว จะพบว่า ทรัพยากรบุคคลนั้นมาเป็น อันดับแรกตามด้วยสินทรัพย์ และอีกสิ่งหนึ่งที่มีความสำคัญมากที่สุด ก็คือ สารสนเทศ ซึ่งเปรียบเสมือนเส้นเลือดหลักขององค์กรแต่ละองค์กร นอกจากนั้นได้มีเหตุการณ์ที่ระบบชในการรักษาความปลอดภัยของสารสนเทศล้มเหลว ส่งผลให้เกิดความเสียหายอย่างรุนแรงในการดำเนินธุรกิจ ในปัจจุบัน ระบบ BS 7799-2: 2002 & ISO/IEC 17799: 2000 นับเป็นระบบบริหารการจัดการความปลอดภัยของข้อมูลสารสนเทศที่เหมาะสม และเอื้อต่อระบบบริหารจัดการมากที่สุด ซึ่งระบบ ISMS ที่มีประสิทธิภาพได้ช่วยรักษาความปลอดภัยของสารสนเทศในองค์กร รวมถึงการรักษาเสถียรภาพของธุรกรรมทั้งภายใน และภายนอก และความเชื่อถือของผู้บริโภคได้เป็นอย่างดี การป ระยุกต์เอาระบ บ BS 7799-2: 2002 & ISO/IEC 17799: 2000 มาใช้ในประเทศไทยเหมือนอย่างที่ได้มีการประยุกต์ใช้ในหลายประเทศ เป็นเทคนิคที่ค่อนข้างใหม่ เนื่องจากข้อเท็จจริง 2 ประการ ได้แก่ 1) นโยบายในการรักษาความปลอดภัยของสารสนเทศของผู้บริหารระดับสูงภายในประเทศยังไม่ชัดเจน 2) ความเข้าใจผิดในการนำระบบบริหารจัดการแบบใหม่มาใช้ว่าจะมีความซับซ้อน เสียเวลา และงบประมาณเป็นจำนวนมาก สิ่งต่าง ๆ เหล่านี้จึงเป็นแรงผลักดันให้ทำการศึกษา ISMS โดยวิธี BS 7799-2: 2002 และ ISO/IEC 17799: 2000 ในการที่จะศึกษาถึงคุณลักษณะต่าง ๆ ของระบบ ISMS และพัฒนารูปแบบทางทฤษฎี โดยนำมาประยุกต์ใช้กับการดำเนินงานของศูนย์คอมพิวเตอร์ทางวิศวกรรม คณะวิศวกรรมศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย การวิจัยนี้ให้ผลการดำเนินการเป็น 2 ลักษณะ ได้แก่ วิธี OCTAVESM ซึ่งเป็นการประเมินความเสี่ยงของระบบการรักษาความปลอดภัยของสารสนเทศที่มีประสิทธิภาพมากที่สุด ในการนำมาประเมินความเสี่ยงจะเกิดขึ้นจากการดำเนินงานของ ECC และผลสรุปการประเมินข้างต้นด้วยระบบ ISMS โดยวิธี BS 7799-2: 2002 และ ISO/IEC 17799: 2000

Link to Full Text

Share

COinS