สำนักงานราชบัณฑิตยสภา

วารสารราชบัณฑิตยสถาน ปีที่ ๓๘ ฉบับที่ ๔ ต.ค.-ธ.ค. ๒๕๕๖ แนวทางการจัดท� ำนโยบายความมั่นคงปลอดภัย ด้านไอซีทีในมหาวิทยาลัย ครรชิต มาลัยวงศ์ ราชบัณฑิต ส� ำนักวิทยาศาสตร์ ราชบัณฑิตยสถาน บทน� ำ มหาวิทยาลัยในปัจจุบันใช้เทคโนโลยีสารสนเทศ (ไอซีที) หลายรูปแบบส� ำหรับการบริหารและ การเรียนการสอน ในด้านการบริหารนั้น นอกจากมหาวิทยาลัยจะต้องจัดเก็บข้อมูลเกี่ยวกับการลงทะเบียน และคะแนนสอบของนิสิตนักศึกษาแล้ว ยังต้องบันทึกรายละเอียดเกี่ยวกับการกู้ยืมเงินเพื่อการศึกษาของ นิสิตนักศึกษาไว้ด้วย ข้อมูลเหล่านี้จะต้องเก็บรักษาอย่างถูกต้องและเป็นปัจจุบันตลอดเวลา มหาวิทยาลัย เป็นสถานที่ที่ให้การศึกษาและฝึกอบรมด้านไอซีทีที่ก้าวหน้า ดังนั้น จึงมีความเสี่ยงที่นิสิตและนักศึกษา ผู้ได้เรียนรู้เรื่องไอซีทีอาจจะอยากทดลองวิชาที่ได้เรียนรู้โดยการเจาะระบบฐานข้อมูลของมหาวิทยาลัย เพื่อพิสูจน์ความสามารถของตน หรือเพื่อแก้ไขคะแนนของตนเองและเพื่อน เนื่องจากระบบเครือข่าย ของมหาวิทยาลัยทุกแห่งได้รับการออกแบบให้คนจ� ำนวนมากเข้ามาอ่านข้อมูลและใช้เอกสารความรู้ต่าง ๆ ดังนั้น จึงมีความเสี่ยงที่บุคคลภายนอกผู้ไม่หวังดีบางคนอาจจะต้องการเจาะระบบเข้าไปลบหรือแก้ไขข้อมูล ต่าง ๆ เพื่อสร้างความเสียหายหรือท� ำลายชื่อเสียงของมหาวิทยาลัย นอกจากนี้ มหาวิทยาลัยทุกแห่งยัง มีระบบอินเทอร์เน็ตเพื่อให้นิสิตนักศึกษาได้ใช้ประโยชน์ในด้านต่าง ๆ เช่น การอ่านประกาศและข่าวสาร ของมหาวิทยาลัย การส่งจดหมายอิเล็กทรอนิกส์ การเรียนผ่านระบบ e-learning การวิพากษ์วิจารณ์ เรื่องต่าง ๆ ผ่าน blog หรือผ่านระบบรับข่าวสารกลับ (feedback) ด้วยเหตุที่ระบบอินเทอร์เน็ตใน บทคัดย่อ การที่มหาวิทยาลัยจัดเก็บข้อมูลเกี่ยวกับการลงทะเบียนและคะแนนสอบไว้ในระบบ คอมพิวเตอร์ของมหาวิทยาลัยนั้น ท� ำให้เกิดความเสี่ยงที่จะเกิดปัญหาการสูญเสียข้อมูลได้ หากมหาวิทยาลัยไม่มีวิธีรักษาความมั่นคงปลอดภัยของคอมพิวเตอร์และระบบสื่อสาร. ปัจจุบัน มหาวิทยาลัยหลายแห่งได้เริ่มสนใจเรื่องความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศและ การสื่อสารหรือไอซีทีมากขึ้น. บทความนี้ให้แนวทางในการจัดท� ำนโยบายความมั่นคงปลอดภัยด้าน ไอซีทีส� ำหรับมหาวิทยาลัยโดยยึดตามกรอบของมาตรฐานไอเอสโอ ๒๗๐๐๑. ค� ำส� ำคัญ : นโยบายความมั่นคงปลอดภัยด้านไอซีที, มหาวิทยาลัย, ไอเอสโอ ๒๗๐๐๑