มาตรฐานการดำเนินงาน

ระบบมาตรฐานด้านความปลอดภัยของข้อมูล ISO 27001
ISO/IEC 27001:2005 (Information Security Management System: ISMS)

        มาตรฐานการจัดการข้อมูลที่มีความสำคัญเพื่อให้ธุรกิจดำเนินไปอย่างต่อเนื่อง กำหนดขึ้นโดยองค์กรที่มีชื่อเสียงและมีความน่าเชื่อถือระหว่างประเทศ คือ ISO (The International Organization for Standardization) และ IEC (The International Electrotechnical Commission) การประยุกต์ใช้ ISMS จะช่วยให้กิจกรรมทางธุรกิจสามารถดำเนินไปได้อย่างต่อเนื่อง ช่วยป้องกันระบบข้อมูลสารสนเทศขององค์กรจากความเสี่ยงต่อภัยคุกคามต่างๆ เช่น การหลอกลวงทางคอมพิวเตอร์ การจารกรรมข้อมูล ไวรัสจากคอมพิวเตอร์ การเจาะเข้าโปรแกรมคอมพิวเตอร์และการโจมตีเข้าระบบ ฯลฯ นอกจากนี้ยังช่วยป้องกันกระบวนการทางธุรกิจจากความเสี่ยงหากเกิดภัยร้ายแรงต่างๆเช่น แผ่นดินไหว วาตภัย อัคคีภัย อุทกภัย ฯลฯ

โครงสร้างระบบ ISO/IEC27001:2005 เป็นระบบพลวัตร (Dynamic System) ซึ่งอ้างอิงรูปแบบ PDCA Model (Plan Do Check Action) เป็นโครงสร้างระบบการบริหารที่เป็นสากลที่ใช้กันทั่วโลก โดย ISO/IEC27001:2005 หรือ Information Security Management System (ISMS) เป็นระบบการจัดการความปลอดภัยของข้อมูล เพื่อให้ระบบข้อมูลสารสนเทศขององค์กรมีคุณสมบัติในด้านต่างๆ ดังต่อไปนี้

  • Confidentiality : เพื่อให้มั่นใจได้ว่าข้อมูลต่างๆ สามารถเข้าถึงได้เฉพาะผู้ที่มีสิทธิเท่านั้น
  • Integrity : เพื่อให้มั่นใจได้ว่าข้อมูลมีความถูกต้องครบถ้วนสมบูรณ์ โดยไม่ได้ถูกเปลี่ยนแปลงหรือแก้ไข จากผู้ที่ไม่ได้รับอนุญาต
  • Availability : เพื่อให้มั่นใจได้ว่าข้อมูลพร้อมที่จะใช้งานอยู่เสมอ โดยผู้ที่มีสิทธิในการเข้าถึงข้อมูลสามารถเข้าถึงได้ทุกเมื่อ หากต้องการ

Trust Service Principles and Criteria for Certification Authorities Version 2.0 (WebTrust for CAs)

        มาตรฐาน AICPA/CICA Webtrust Program for Certification Authorities เป็นมาตรฐานสากลสำหรับการบริหารจัดการการออกใบรับรองอิเล็กทรอนิกส์ สำหรับผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์ (CA Provider) โดยมาตรฐาน Web Trust มีข้อกำหนดที่ครอบคลุม เรื่องมาตรฐานในการดำเนินธุรกิจ การเปิดเผยข้อมูลเชิงประกอบการของ CA การควบคุมกระบวนการออกใบรับรองฯและคู่คีย์ ตลอดจนการควบคุมสภาพแวดล้อม และระบบการบริหารจัดการการออกใบรับรองฯและคู่คีย์

ผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์ (CA) นั้น ถือว่ามีบทบาทสำคัญอย่างยิ่งในระบบ Public Key Infrastructure (PKI) เนื่องจาก CA ทำหน้าที่ออกใบรับรองฯเพื่อรับรองคู่คีย์แก่ผู้ใช้ สำหรับใช้ในการทำธุรกรรมอิเล็กทรอนิกส์แบบปลอดภัย ทั้งนี้ผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์ CA สากล (Global Certification Authority) ส่วนใหญ่ล้วนแต่ต้องผ่านการตรวจสอบมาตรฐาน AICPA/CICA Webtrust Program for Certification Authorities จากผู้ตรวจสอบที่ได้รับอนุญาตจากสถาบัน American Institute of Certified Public Accountants (AICPA) และสถาบัน Canadian Institute of Chartered Accountants (CICA) ทั้งนั้น

สำหรับ CA ที่ผ่านมาตรฐาน WebTrust สามารถแจ้งผู้ผลิตซอฟต์แวร์เบราเซ่อร์ เช่น Microsoft Internet Explorer, Firefox, Chromes ฯลฯ ให้พิจารณานำใบรับรองฯของ Root CA เข้าติดตั้งในเบราเซ่อร์ดังกล่าวตั้งแต่ในกระบวนการผลิตซอฟต์แวร์ได้ ซึ่งจะเป็นประโยชน์ในการใช้งานสำหรับผู้ใช้ใบรับรองฯจาก CA นั้นๆ เนื่องจากเบราเซอร์จะ Trust ใบรับรองฯ ดังกล่าวได้ทันทีโดยอัตโนมัติ

ประโยชน์ต่อลูกค้าผู้ใช้บริการ PKI Hosting Service

  • การที่ ”บริการจัดตั้งและบริหารจัดการ CA ให้ลูกค้า แบบครบวงจร บนโครงสร้างพื้นฐานระบบสารสนเทศของ TDID (PKI Hosting Service)” ได้รับการรับรองว่าดำเนินการไปตามมาตรฐานด้านความปลอดภัย ISO 27001 และ WebTrust นั้น เท่ากับว่าระบบ CA ขององค์กรลูกค้าภายใต้บริการดังกล่าว ได้ดำเนินงานไปตามมาตรฐานการรักษาความปลอดภัยที่เป็นสากล อันเป็นส่วนสำคัญอย่างยิ่งในการสร้างความน่าเชื่อถือให้กับผู้ให้บริการออกใบรับรอง(CA) รายนั้นๆ ต่อผู้ถือใบรับรองอิเล็กทรอนิกส์ (Digital Certificate)
  • ลูกค้าผู้ใช้บริการมั่นใจได้ยิ่งขึ้น เมื่อระบบ CA ของท่านที่บริหารจัดการโดย TDID ได้รับการตรวจสอบอย่างเข้มงวดและสม่ำเสมอ จากองค์กรตรวจสอบชั้นนำภายนอกที่ได้มาตรฐานสากล เช่น BVQI, BDO
  • ลูกค้าสามารถลดภาระความยุ่งยาก ระยะเวลา และค่าใช้จ่ายในการปฏิบัติเพื่อเป็น CA ที่ดำเนินงานอย่างปลอดภัยภายใต้มาตรฐาน ISO27001 และ WebTrust ด้วยการใช้บริการ PKI Hosting Service จาก TDID ที่ได้รับการรับรองมาตรฐานบริการเรียบร้อยแล้ว
  • TDID สามารถให้คำปรึกษาต่อลูกค้าได้ดียิ่งขึ้น ในเรื่องการปฏิบัติงานตามมาตรฐานความปลอดภัยสำหรับระบบงานอื่นที่เกี่ยวเนื่องกับระบบ CA ที่อาจติดตั้งอยู่ที่หน่วยงานลูกค้าเอง เช่น ระบบ Registration Authority (RA) ระบบ Directory ฯลฯ โดยอาศัยพื้นฐานจากประสบการณ์ทำงานจริงในการให้บริการภายใต้มาตรฐานสากลด้านความปลอดภัย ISO27001 และ WebTrust