หลักสูตรฝึกอบรมเชิงปฏิบัติการ
มาตรฐาน ISO/IEC 27001:2022
การรักษาความมั่นคงปลอดภัยสารสนเทศขององค์กร
(ISO/IEC 27001:2022 Standard for Organization)
มุ่งเน้นการฝึกปฏิบัติการจัดตั้งระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ
และการจัดทำระบบสารสนเทศให้สอดคล้องตามมาตรการใหม่
ในมาตรฐาน ISO/IEC 27001:2022
Key Highlights
-
- เรียนรู้และเข้าใจสาระสำคัญของมาตรฐาน ISO/IEC 27001:2022
- เข้าใจมาตรการควบคุมความเสี่ยงและการจัดการความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ
- สามารถประยุกต์ใช้มาตรการควบคุมความเสี่ยง จากมาตรฐาน ISO/IEC 27002:2022
- ฝึกปฏิบัติเข้มข้น 8 Workshop และแนะนำเครื่องมือพร้อมการติดตั้งเพื่อการใช้งาน
- เรียนรู้และเข้าใจสาระสำคัญของมาตรฐาน ISO/IEC 27001:2022
หลักการและเหตุผล
ปัจจุบันประเด็นด้านการรักษาความมั่นคงปลอดภัยสารสนเทศและความมั่นคงปลอดภัยไซเบอร์เป็นประเด็นที่หลายองค์กรให้ความสำคัญ เนื่องจากเทคโนโลยีและรูปแบบภัยคุกคามที่มีการพัฒนาอย่างต่อเนื่อง ประกอบกับการบังคับใช้กฎหมายต่าง ๆ ที่เกี่ยวข้อง เช่น พ.ร.บ. ว่าด้วยการประกอบธุรกรรมทางเล็กทรอนิกส์, พ.ร.บ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์, พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ และ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ซึ่งหลาย ๆ ข้อบังคับมีเนื้อหาอ้างอิงมาจากมาตรฐาน ISO/IEC 27001 มาตรฐานนี้มุ่งให้ความสำคัญกับการรักษาความมั่นคงปลอดภัยต่อสารสนเทศขององค์กร ที่หน่วยงานหรือองค์กรต่าง ๆ ทั้งภายในประเทศและในระดับนานาชาติ ภาครัฐ และภาคเอกชน ล้วนให้การยอมรับอย่างแพร่หลาย และมีการนำมาประยุกต์ใช้งานเพิ่มมากขึ้นเรื่อย ๆ ตลอดจนนำไปสู่การขอรับรองตามมาตรฐาน ซึ่งหน่วยงานผู้ตรวจรับรอง (Certification Body) ผู้ที่เกี่ยวข้องภายในทางเทคนิค (เจ้าหน้าที่เทคนิค) ได้แก่ ผู้บริหารด้านเทคโนโลยีสารสนเทศ ผู้ดูแลระบบ ผู้ดูแลเครือข่าย ผู้พัฒนาระบบ Helpdesk ผู้ตรวจสอบภายใน และอื่น ๆ ควรที่จะได้ศึกษาเรียนรู้ และทำความเข้าใจในมาตรฐานดังกล่าว จนสามารถนำมาปรับใช้กับงานบริหารจัดการระบบเทคโนโลยีสารสนเทศของตนได้เป็นอย่างดี ปัจจุบันมาตรฐาน ISO/IEC 27001 มีการปรับปรุงเป็นเวอร์ชั่น 2022 ซึ่งมีการปรับปรุงมาตรการควบคุมความเสี่ยงให้ครอบคลุมด้านความมั่นคงปลอดภัยทางไซเบอร์มากขึ้น และสอดคล้องกับ NIST Cybersecurity Framework โดยภาพรวมของการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศตามมาตรฐาน ISO 27001:2022 มีสิ่งที่เป็นสาระสำคัญสำหรับเจ้าหน้าที่เทคนิค ได้แก่
-
-
- การประเมินและบริหารจัดการความเสี่ยงตามขอบเขตของระบบที่ตนเองรับผิดชอบ
- การปฏิบัติตามนโยบาย/ขั้นตอนปฏิบัติที่เป็นหรือเกี่ยวข้องกับความรับผิดชอบของตนเอง เช่น การเฝ้าระวังและติดตามการทำงานของระบบ การสำรองข้อมูล การวิเคราะห์ข้อมูลล็อกบนระบบ และอื่น ๆ
- การจัดทำระบบให้มีความมั่นคงปลอดภัยตามโดเมนทางเทคนิค หรือก็คืองานทางเทคนิคในการจัดทำระบบให้มีความมั่นคงปลอดภัย
-
-
-
- การไม่ทราบว่าต้องประเมินความเสี่ยงอย่างไร และไม่แน่ใจว่าการประเมินความเสี่ยงมีความเกี่ยวข้อง สัมพันธ์ หรือเชื่อมโยงกับงานทางเทคนิคที่ตนปฏิบัติอยู่หรือไม่ อย่างไร
- การไม่แน่ใจว่านโยบาย/ขั้นตอนการปฏิบัติที่กำหนดไว้ มีความเกี่ยวข้องกับงานทางเทคนิคที่ตนต้องปฏิบัติหรือไม่ อย่างไร
- งานทางเทคนิคที่ตนเองทำอยู่มีความสอดคล้องกับมาตรฐาน ISO/IEC 27001 หรือไม่ และในระดับใด
-
-
-
-
-
- การวิเคราะห์บริบทขององค์กรที่ส่งผลต่อการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ และการกำหนดขอบเขต
- การประเมินความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศกับระบบในขอบเขต
- การกำหนดวัตถุประสงค์ด้านความมั่นคงปลอดภัยสารสนเทศและตัวชี้วัด
- การประยุกต์มาตรการควบคุมความเสี่ยง จากมาตรฐาน ISO/IEC 27002:2022 เช่น
- การวิเคราะห์ภัยคุกคามเชิงลึก (Threat intelligence)
- การเขียน Code อย่างปลอดภัย (Secure coding)
- การวิเคราะห์ช่องโหว่ทางเทคนิค (Management of technical vulnerabilities)
- การเก็บและวิเคราะห์ข้อมูล log (Logging and security event)
- การจำกัดการเข้าถึงเว็บไซต์ที่มีเนื้อหาไม่เหมาะสม
-
-
-
วัตถุประสงค์ของหลักสูตร
-
- เพื่อให้ผู้เรียนมีความรู้ความเข้าใจการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศตามมาตรฐาน ISO/IEC 27001:2022
- เพื่อให้ผู้เรียนได้ฝึกปฏิบัติการวิเคราะห์บริบทและการประเมินความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ
- เพื่อให้ผู้เรียนได้ฝึกปฏิบัติการจัดทำมาตรการลดความเสี่ยงทางเทคนิค โดยมุ่งเน้นมาตรการใหม่จากมาตรฐาน ISO/IEC 27001:2022
- เพื่อให้ผู้เรียนมีความรู้ความเข้าใจการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศตามมาตรฐาน ISO/IEC 27001:2022
วัตถุประสงค์เชิงพฤติกรรม
ผู้เข้าร่วมอบรม
- รู้และเข้าใจการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศตามมาตรฐาน ISO/IEC 27001:2022
- สามารถวิเคราะห์บริบทและการประเมินความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ
- สามารจัดทำมาตรการลดความเสี่ยงทางเทคนิค โดยมุ่งเน้นมาตรการใหม่จากมาตรฐาน ISO/IEC 27001:2022
กลุ่มเป้าหมาย
- ผู้บริหารด้านเทคโนโลยีสารสนเทศ ผู้จัดการไอซีที
- เจ้าหน้าที่เทคนิค ได้แก่ ผู้ดูแลระบบ ผู้ดูแลเครือข่าย ผู้พัฒนาระบบ Helpdesk
- เจ้าหน้าที่ด้านความมั่นคงปลอดภัยระบบสารสนเทศ (IT Security) หรือความมั่นคงปลอดภัยทางไซเบอร์ (Cybersecurity)
- ผู้ตรวจสอบด้านเทคโนโลยีสารสนเทศ
- ผู้ที่สนใจงานด้านการรักษาความมั่นคงปลอดภัยสารสนเทศ (IT Security) หรือความมั่นคงปลอดภัยทางไซเบอร์ (Cybersecurity)
โครงสร้างหลักสูตร
หลักสูตรนี้มุ่งเน้นการสร้างความรู้ความเข้าใจเกี่ยวกับการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศขององค์กรตามมาตรฐาน ISO/IEC 27001:2022 ผู้เข้าร่วมอบรมจะได้เรียนรู้และฝึกปฏิบัติการวิเคราะห์และการประเมินความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ ตลอดจนการจัดทำมาตรการลดความเสี่ยงทางเทคนิค โดยมุ่งเน้นมาตรการใหม่ตามมาตรฐาน ISO/IEC 27001:2022 รวมจำนวน 18 ชั่วโมง / 3 วันทำการ
| หัวข้อ | ชั่วโมง | ครั้ง (วัน) |
| บรรยาย | 6 | 1 |
| ฝึกปฏิบัติการ (Workshop) | 12 | 2 |
| รวม | 18 | 3 วันทำการ |
เนื้อหาหลักสูตร ประกอบด้วย
-
-
- ภาพรวมมาตรฐาน ISO/IEC 27001:2022
- รายละเอียดการเปลี่ยนแปลงมาตรฐาน ISO/IEC 27001:2013 ไปยัง ISO/IEC 27001:2022
- ข้อกำหนดการดำเนินงานระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ ตามมาตรฐาน ISO/IEC 27001:2022
- มาตรการควบคุมความเสี่ยงตามมาตรฐาน ISO/IEC 27002:2022
- การวิเคราะห์บริบทขององค์กรที่ส่งผลต่อการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ
- การประเมินความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ
- การกำหนดวัตถุประสงค์ด้านความมั่นคงปลอดภัยสารสนเทศ และแผนการบรรลุวัตถุประสงค์
- การวิเคราะห์ภัยคุกคามเชิงลึก (Threat intelligence) ตามมาตรฐาน ISO/IEC 27002:2022
- การเขียน Code อย่างปลอดภัย (Secure coding) ตามมาตรฐาน ISO/IEC 27002:2022
- การบริหารจัดการช่องโหว่ทางเทคนิคของระบบสารสนเทศ (Management of technical vulnerabilities)
- การจัดเก็บข้อมูล การวิเคราะห์ข้อมูล log และเฝ้าระวังเหตุการณ์ผิดปกติ ตามมาตรฐาน ISO/IEC 27002:2022
- การจำกัดการเข้าถึงเว็บไซต์ที่มีเนื้อหาไม่เหมาะสม (Web filtering) ตามมาตรฐาน ISO/IEC 27002:2022
- ภาพรวมมาตรฐาน ISO/IEC 27001:2022
-
วิทยากรประจำหลักสูตร
ดร. บรรจง หะรังษี
รองกรรมการผู้จัดการ และที่ปรึกษาด้านความมั่นคงปลอดภัยระบบสารสนเทศ
บริษัท ที-เน็ต จำกัด
ISO/IEC 27001 (Certified of Lead auditor), ISO/IEC 20000 (Auditor Certificate) BCMS 25999,
Introduction to Capability Maturity Model Integration V1.2 Certificate
คุณพงศกร โสธนนท์
Senior Cybersecurity & Privacy Manager
บริษัท ที-เน็ต จำกัด
ระยะเวลาของหลักสูตร
ระหว่างวันที่ 13 – 15 พฤศจิกายน 2567
เวลา 9.00 – 16.00 น.
(รวมระยะเวลาอบรม จำนวน 3 วัน)
ค่าลงทะเบียน
ท่านละ 24,500 บาท (ราคานี้รวมภาษีมูลค่าเพิ่มแล้ว)
- เฉพาะหน่วยงานภาครัฐ และองค์กรของรัฐ ที่ไม่ใช่ธุรกิจ
และไม่แสวงหากำไร จะได้รับการยกเว้นภาษีมูลค่าเพิ่ม - โปรโมชั่นพิเศษ!!! ลงทะเบียนหน่วยงานเดียวกัน
ตั้งแต่ 2 ท่านขึ้นไป รับส่วนลดทันที 10%
หมายเหตุ
- กรุณาชำระเงิน ภายในวันที่ 30 ตุลาคม 2567
- สถาบันฯ เป็นหน่วยงานราชการ ได้รับการยกเว้นไม่ต้องหักภาษี ณ ที่จ่าย 3%
- ค่าลงทะเบียนรวม อาหารกลางวัน และอาหารว่าง 2 มื้อต่อวัน เอกสารประกอบการอบรมและภาษีมูลค่าเพิ่ม
- ข้าราชการมีสิทธิ์เบิกค่าลงทะเบียนได้ตามระเบียบกระทรวงการคลังและเข้าร่วมอบรมสัมมนาโดยไม่ถือเป็นวันลา
- หากท่านต้องการยกเลิกการลงทะเบียนกรุณาแจ้งยืนยันการยกเลิกเป็นลายลักษณ์อักษรอย่างน้อย 7 วันทำการก่อนวันจัดงาน หากการแจ้งยกเลิกล่าช้ากว่าเวลาที่กำหนดดังกล่าว ทางสถาบันฯ ขอสงวนสิทธิ์ในการหักค่าดำเนินการ คิดเป็นจำนวนเงิน 30% จากค่าลงทะเบียนเต็มจำนวน
- ขอสงวนสิทธิ์ในการเปลี่ยนแปลงวิทยากรและกำหนดการบรรยายตามความเหมาะสม
- ค่าใช้จ่ายในการส่งบุคลากรเข้าอบรมทางวิชาชีพของบริษัทหรือห้างหุ้นส่วนนิติบุคคลสามารถนำไปลดหย่อนภาษีได้ 200%
สถานที่จัดฝึกอบรม
โรงแรมเซ็นจูรี่ พาร์ค กรุงเทพ
เลขที่ 9 ถนนราชปรารภ แขวงประตูน้ำ
เขตดินแดง กรุงเทพมหานคร 10400
เกณฑ์การประเมินผล
ผู้เข้าอบรมต้องมีเวลาเรียนไม่ต่ำกว่า 80% และทำกิจกรรมทุกหัวข้อของหลักสูตร จึงจะได้รับวุฒิบัตรจากสำนักงานพัฒนาวิทยาศาสตร์และเทคโนโลยีแห่งชาติ (สวทช.)
CONTACT
PHONE & E-MAIL
สถาบันพัฒนาบุคลากรแห่งอนาคต
(Career for the Future Academy)
สำนักงานพัฒนาวิทยาศาสตร์และเทคโนโลยีแห่งชาติ (สวทช.)
กระทรวงการอุดมศึกษา วิทยาศาสตร์ วิจัยและนวัตกรรม
โทรศัพท์ : 0 2644 8150 ต่อ 81891 (คุณนิพัฒน์)
โทรสาร : 0 2644 8110
E-MAIL : npd@nstda.or.th
ADDRESS