รายละเอียดบริการ
- บริการให้คำปรึกษา จัดทำ และอบรมนโยบายด้านการรักษาความมั่นคงปลอดภัยระบบเทคโนโลยีสารสนเทศ เพื่อยกระดับสภาพความมั่นคงปลอดภัยขององค์กรทั้งในด้านบุคลากร กระบวนการ และเทคโนโลยี ให้มีการบริหารจัดการที่มีประสิทธิภาพและมีความมั่นคงปลอดภัยในระดับสากล โดยมีกลุ่มลูกค้าองค์กรทั้งภาครัฐและเอกชน
ลักษณะการให้บริการ
- บริการ Security Policy Consult บริการให้คำปรึกษาและจัดทำ Policy ด้านความมั่นคงปลอดภัยสารสนเทศขององค์กร ให้เป็นไปตามข้อกำหนดทางกฎหมาย (เช่น พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562) และวัตถุประสงค์ขององค์กร (เช่นความจำเป็นทางธุรกิจที่ต้องมีใบรับรองระบบการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ ISO/IEC 27001 หรือเพื่อให้การทำงานของหน่วยงาน/องค์กรมีความมั่นคงปลอดภัยและมีประสิทธิภาพมากขึ้น)
- บริการ Security Architecture Design บริการให้คำปรึกษาด้านความมั่นคงปลอดภัยโครงสร้างพื้นฐาน และระบบเครือข่าย ซึ่งครอบคลุมถึง
- Physical Security: ความมั่นคงปลอดภัยทางกายภาพและสภาพแวดล้อมในการจัดวางอุปกรณ์
- Network Security: การจัดแบ่งโซนของอุปกรณ์ ข้อมูลให้มีความมั่นคงปลอดภัย
- บทบาทของบุคลากร และความจำเป็นในการใช้ทรัพยากร คู่สัญญา และลูกค้า (Role/Responsibility and Need- to-know) และความจำเป็นในการแบ่งแยกหน้าที่ (Separation of duties)
- การควบคุมการเข้าถึง (Access Control) การยืนยันตัวตน (Authentication) การกำหนดสิทธิ์ในการเข้าถึง (Authorization) การบันทึกกิจกรรม (Accounting) การเลือกใช้เทคโนโลยีการเข้ารหัส (Cryptography) ที่เหมาะสม
- บริการ Security Assessment การประเมินความมั่นคงปลอดภัยไซเบอร์ บริการตรวจสอบช่องโหว่ด้านเทคนิคของระบบเทคโนโลยีสารสนเทศ ทั้งในระดับ Operating System, อุปกรณ์เครือข่าย Application และ Source Code เพื่อวิเคราะห์ความเสี่ยงของช่องโหว่ และผลกระทบที่อาจเกิดกับการดำเนินธุรกิจ โดยการให้บริการตรวจสอบ มีหลายรูปแบบ ดังนี้
- การตรวจประเมินด้านความมั่นคงปลอดภัยระบบสารสนเทศ (Vulnerability Assessment: VA)
- การเจาะระบบ (Penetration Test : PT)
- การตรวจสอบซอร์สโค้ด (Source Code Audit)
- การตรวจหาหลักฐาน (Cyber Security Analysis)
- บริการด้าน Security Training บริการจัดอบรม สัมมนา ให้ความรู้เพื่อเสริมสร้างความตระหนักและทักษะด้านความมั่นคงปลอดภัย และมีใบประกาศนียบัตรรับรองการอบรมด้านความมั่นคงปลอดภัยไซเบอร์
โดยพิจารณาปัจจัยต่างๆ เช่น
การประเมินหาความเสี่ยงที่เกิดจากช่องโหว่จากฐานข้อมูลแหล่ง ต่างๆ ที่ปรากฏต่อสาธารณะ เช่น CVE (Common Vulnerabilities and Exposures) การประเมินฯจะมีหลาย ประเภท ได้แก่ การประเมินระดับ ระบบปฏิบัติการ (Operating System) ระบบเครือข่าย (Network System) และ ระบบเว็บแอปพลิเคชัน (Web Application)
การประเมินความเสี่ยงด้วยการทดสอบเจาะระบบเพื่อค้นหาจุดอ่อนของระบบต่างๆ โดยใช้ผู้เชี่ยวชาญและดำเนินการ สาธิตให้เห็นผลจากช่องโหว่นั้น ทั้งนี้การเจาะระบบจะต้องได้รับอนุญาตจากเจ้าของทรัพย์สิน ซึ่งทราบถึงความเสี่ยงที่อาจจะเกิดความเสียหายต่อระบบ
การตรวจสอบความปลอดภัยของซอร์สโค้ด เพื่อให้มั่นใจว่าระบบสารสนเทศมีความปลอดภัยจากภัยคุกคามในรูปแบบต่าง ๆ สามารถทำได้ตั้งแต่ขั้นตอนการพัฒนาระบบก่อนการนำขึ้นใช้งานจริง ซึ่งจะได้ผลละเอียดกว่าการตรวจทดสอบจากระบบใช้งานจริง
การตรวจสอบเหตุละเมิดความมั่นคงปลอดภัย เพื่อหาร่องรอย ของผู้บุกรุก หรือ ผู้โจมตีระบบ รวมทั้งให้คำแนะนำในการแก้ไข และป้องกันมิให้เกิดเหตุซ้ำในอนาคต
