April 23, 2024

Language:

ការប្រើប្រាស់សៀវភៅណែនាំសុវត្ថិភាពព័ត៌មាន ផ្នែក២

១.ព័ត៌មានទូទៅ

គោលការណ៍សន្តិសុខសាយប័រនៅក្នុង ISM គឺដើម្បីផ្តល់ការណែនាំជាយុទ្ធសាស្រ្តអំពីរបៀបដែលអង្គភាពអាចការពារ ប្រព័ន្ធ និងទិន្នន័យរបស់ពួកគេពីការគំរាមកំហែង។ គោលការណ៍សន្តិសុខទាំងនេះត្រូវបានដាក់ជាក្រុម ហើយបែងចែកជាសកម្មភាពសំខាន់ៗ ចំនួនបួន៖ ការគ្រប់គ្រង ការពារ ការរកឃើញ និងការឆ្លើយតប។ អង្គភាពគួរតែបង្ហាញអំពី គោលការណ៍សន្តិសុខសាយប័រដែលកំពុងអនុវត្តនៅក្នុងអង្គភាពរបស់ខ្លួន។

២.ការផ្តល់សិទ្ធិឱ្យប្រព័ន្ធ

ការផ្តល់សិទ្ធិឱ្យប្រព័ន្ធដំណើរការដោយផ្អែកលើការទទួលយកហានិភ័យនៃប្រព័ន្ធសុវត្ថិភាពដែលទាក់ទងនឹងការធ្វើប្រតិបត្តិការ។

មុនពេលផ្តល់សិទ្ធិឱ្យប្រព័ន្ធដំណើការ គួរតែផ្តល់ព័ត៌មានឱ្យបានគ្រប់គ្រាន់ទៅឱ្យមន្ត្រី ដើម្បីឱ្យពួកគេ ធ្វើការសម្រេចចិត្តផ្អែកលើព័ត៌មានហានិភ័យ ថាតើហានិភ័យដែលទាក់ទងនឹងប្រព័ន្ធដំណើការរបស់ វាអាចទទួលយកបានឬអត់។ ព័ត៌មាននេះគួរតែធ្វើទម្រង់អនុញ្ញាតជាកញ្ចប់ ដែលរួមបញ្ចូលទាំងផែន ការសុវត្ថិភាពរបស់ប្រព័ន្ធ ផែនការឆ្លើយតបឧប្បត្តិហេតុ, ផែនការត្រួតពិនិត្យបន្ត, របាយការណ៍វាយតម្លៃ សន្តិសុខ, និងផែនការសកម្មភាពនៃព្រឹត្ដិការណ៍។

ក្នុងករណីខ្លះ ហានិភ័យដែលទាក់ទងនឹងដំណើរការរបស់ប្រព័ន្ធ អាចនឹងទទួលយកបានហើយវាត្រូវ បានផ្តល់សិទ្ធិឱ្យប្រព័ន្ធធ្វើការដំណើរការ។ ទោះជាយ៉ាងណាក៏ដោយ ក៏មានករណីហានិភ័យផ្សេងទៀត ដែលទាក់ទងនឹងដំណើរការនៃប្រព័ន្ធអាចនឹងមិនអាចទទួលយកបានទេ។ ក្នុងករណីនេះ អាចអនុញ្ញាត ឱ្យមន្ត្រីធ្វើការស្នើសុំការងារបន្ថែមទៀតពីម្ចាស់គ្រប់គ្រងប្រព័ន្ធ។ នៅក្នុងពេលធ្វើប្រតិបត្តិការអន្តរាគមន៍ អនុញ្ញាតឱ្យមន្ត្រីអាចជ្រើសរើសសិទ្ធក្នុងការដំណើរការ ប៉ុន្តែត្រូវដាក់កំហិតទៅលើការប្រើប្រាស់របស់ ប្រព័ន្ធដូចជាការកំណត់មុខងាររបស់ប្រព័ន្ធ ឬបញ្ជាក់ពី កាលបរិច្ឆេទ ការផុតកំណត់ សម្រាប់ការ អនុញ្ញាតឲ្យដំណើរការ។ ជាចុងក្រោយ បើមន្ត្រីមានសមត្ថកិច្ចសម្រេចថាហានិភ័យសុវត្ថិភាពទាំងនេះ មិនអាចទទួលយកបានទេ ទោះបីជាមានការដាក់កម្រិតនៅលើការប្រើប្រាស់ប្រព័ន្ធយ៉ាងណាក៏ដោយ ក៏មន្ត្រីមានសមត្ថកិច្ចអាចហាមឃាត់មិនឱ្យដំណើរការរហូតដល់ពេលមានមធ្យោបាយដោះស្រាយហានិភ័យត្រូវបានអនុវត្តទៅតាមស្ដង់ដារអាចទទួលយកបាន។

សម្រាប់ប្រព័ន្ធ TOP SECRET និងប្រព័ន្ធដែលដំណើរការ, រក្សាទុក ឬទំនាក់ទំនងព័ត៌មានដែលងាយ យល់, មន្ត្រីដែលអនុញ្ញាតគឺជា Director-General ASD ឬគណៈប្រតិភូរបស់ពួកគេ; សម្រាប់ប្រព័ន្ធ សម្ងាត់ខាងក្រោមមន្ត្រីដែលអនុញ្ញាតគឺជា CISO របស់អង្គភាពមួយឬប្រតិភូរបស់ពួកគេ។

សម្រាប់ប្រព័ន្ធពហុជាតិ និងពហុស្ថាប័ន មន្ត្រីផ្តល់សិទ្ធិគួរតែត្រូវបានកំណត់ដោយកិច្ចព្រមព្រៀងផ្លូវការ រវាងភាគីពាក់ព័ន្ធ។

សម្រាប់អ្នកផ្តល់សេវាពាណិជ្ជកម្មដែលផ្តល់សេវាកម្មដល់អង្គភាព មន្ត្រីដែលផ្តល់សិទ្ធិគឺជា CISO នៃអង្គភាពដែលគាំទ្រ ឬប្រតិភូរបស់ពួកគេ។

គ្រប់ករណីទាំងអស់ មន្ត្រីដែលមានសិទ្ធិអំណាចគួរតែមានកម្រិតអតីតភាពការងារសមរម្យ និងយល់ដឹង អំពីហានិភ័យសុវត្ថិភាពដែលពួកគេកំពុងទទួលយកក្នុងនាមអង្គភាពរបស់ពួកគេ។ ករណីដែលអង្គភាព មិនមានមន្ត្រី CISO អ្នកដែលទទួលបន្ទុកកាងារអាចជាប្រធានសន្តិសុខ ប្រធានផ្នែកព័ត៌មាន ឬនាយក ប្រតិបត្តិជាន់ខ្ពស់ផ្សេងទៀតនៅក្នុងអង្គភាព។

៣.ការត្រួតពិនិត្យប្រព័ន្ធ

ការត្រួតពិនិត្យប្រព័ន្ធ និងការគំរាមកំហែងសន្តិសុខសាយប័រដែលពាក់ព័ន្ធហានិភ័យសុវត្ថិភាព និងការគ្រប់គ្រង មូលដ្ឋានដែលកំពុងដំណើរការ។

ការត្រួតពិនិត្យតាមពេលវេលាជាក់ស្តែងនៃការគំរាមកំហែងសន្តិសុខសាយប័រ ហានិភ័យសុវត្ថិភាព និងការគ្រប់គ្រងដែលពាក់ព័ន្ធ ជាមួយប្រព័ន្ធ និងបរិយាកាសប្រតិបត្តិការរបស់ប្រព័ន្ធ ដូចដែលបានរៀបរាប់នៅ ក្នុងផែនការត្រួតពិនិត្យបន្ត វាមានសារៈសំខាន់ក្នុងការរក្សាឥរិយាបថសុវត្ថិភាពរបស់ប្រព័ន្ធ។ ដោយនៅក្នុងនោះព្រឹត្តិការណ៍ជាក់លាក់អាចត្រូវការសកម្មភាព គ្រប់គ្រងហានិភ័យបន្ថែមដែលសកម្មភាពគ្រប់គ្រងហានិភ័យមានដួចជា៖

  • ការផ្លាស់ប្តូរគោលនយោបាយសុវត្ថិភាពដែលទាក់ទងនឹងប្រព័ន្ធ
  • ការរកឃើញការគំរាមកំហែងសន្តិសុខសាយប័រ ឬសកម្មភាពដែលកំពុងកើតមានលើប្រព័ន្ធ ឬនៅពេលធ្វើប្រតិបត្តិការរបស់ប្រព័ន្ធ
  • ការរកឃើញថាការគ្រប់គ្រងប្រព័ន្ធមិនមានប្រសិទ្ធភាពដូចការគ្រោងទុកទេ
  • ឧប្បត្តិហេតុសន្តិសុខសាយប័រដ៏ធំមួយដែលពាក់ព័ន្ធនឹងប្រព័ន្ធ
  • ការផ្លាស់ប្តូរស្ថាបត្យកម្មសំខាន់ៗចំពោះប្រព័ន្ធ។

បន្ទាប់ពីការអនុវត្ត ឬការកែប្រែការគ្រប់គ្រងហានិភ័យរបស់ប្រព័ន្ធ លទ្ធផលនៃសកម្មភាពវាយតម្លៃសុវត្ថិភាពគួរតែត្រូវបាន បញ្ចប់ហើយកញ្ចប់ការអនុញ្ញាតរបស់ប្រព័ន្ធគួរតែត្រូវបានធ្វើបច្ចុប្បន្នភាព។ អនុញ្ញាតផ្តល់សិទ្ធិឱ្យមន្ត្រីធ្វើការសម្រេចចិត្ត ផ្អែកទៅលើព័ត៌មាននៃហានិភ័យថាតើហានិភ័យដែលទាក់ទងនឹងសុវត្ថិភាពប្រតិបត្តិការរបស់ប្រព័ន្ធនៅតែអាចទទួលយកបាន ដែរឬទេ។ ប្រសិនបើហានិភ័យផ្នែកសុវត្ថិភាពមិនអាចទទួលយកបាន មន្ត្រីដែលបានផ្តល់សិទ្ធិអាចជ្រើសរើសដាក់កម្រិត លើការប្រើប្រាស់ប្រព័ន្ធ ដូចជាការណែនាំ ឬកែប្រែកាលបរិច្ឆេទផុតកំណត់សម្រាប់ ការអនុញ្ញាត ឱ្យដំណើរការ ឬដកហូតការអនុញ្ញាត ឱ្យដំណើរការទាំងអស់គ្នា។

៤.ឯកសារពាក់ព័ន្ធ

  • –    https://www.cyber.gov.au/resources-business-and-government/essential-cyber-
***Disclaimer: CamCERT own some of the content. Our purpose is pure to help spread the awareness, tips or other information related to security to everyone. Even though every information is true, accurate, completed and appropriate, we make no responsibility nor warranty since everything could go wrong.