Cloud Security

Executive management reviews

สำนักงานความปลอดภัยของ Infor และประธานเจ้าหน้าที่ฝ่ายความปลอดภัยข้อมูล (CISO) รับผิดชอบในการกำกับดูแลนโยบายและมาตรฐานด้านความปลอดภัยทั้งหมด นอกจากนี้ การประเมินความปลอดภัยในขั้นตอนการพัฒนา และการปฏิบัติการ รวมถึงประเด็นปัญหาและการแก้ไข จะถูกติดตามและทบทวนเป็นประจำทุกเดือน

Management of digital certificates

ใบรับรองดิจิทัล (Certificates) ช่วยเสริมความปลอดภัยให้กับโครงสร้างพื้นฐานของระบบคลาวด์ ด้วยการมอบ “ตัวตนที่ตรวจสอบได้” ให้กับองค์ประกอบหลักของบริการคลาวด์แต่ละส่วน Infor ได้จัดการใบรับรองดิจิทัลสำหรับทุกสภาพแวดล้อมบนคลาวด์ เพื่อรับรองความถูกต้องของฮาร์ดแวร์และระบบที่สำคัญ ทำให้มั่นใจได้ว่าการให้บริการคลาวด์ รวมถึงการเชื่อมต่อของผู้ใช้งาน จะเกิดขึ้นเฉพาะกับระบบที่ผ่านการยืนยันตัวตนแล้วเท่านั้น

Logging and monitoring

Infor ใช้เครื่องมือเฉพาะที่ออกแบบมาเพื่อจัดการบันทึกข้อมูล (logs) และการแจ้งเตือน (alerts) ในการเฝ้าระวังและตรวจสอบเครือข่ายของตนอย่างต่อเนื่อง นอกจากนี้ Infor ยังทำงานร่วมกับลูกค้าในการตรวจสอบเหตุการณ์ที่อาจเป็นการพยายามเจาะระบบ ไม่ว่าจะเกิดขึ้นโดยตั้งใจหรือโดยไม่ได้ตั้งใจก็ตาม

Security incident recognition and response

แผนการรับมือเหตุการณ์ด้านความปลอดภัยของ Infor (Infor Security Incident Response Plan) ถูกออกแบบมาเพื่อใช้ในการประเมินและตอบสนองต่อเหตุการณ์ที่อาจบ่งชี้ถึงการเข้าถึงระบบคลาวด์หรือข้อมูลลูกค้าโดยไม่ได้รับอนุญาต

“เหตุการณ์ด้านความปลอดภัย” (Security Incident) หมายถึง เหตุการณ์ที่สังเกตพบหรือมีการรายงาน ซึ่งส่งผลกระทบในทางลบต่อ ความลับ (Confidentiality), ความพร้อมใช้งาน (Availability) หรือ ความถูกต้องสมบูรณ์ (Integrity) ของสภาพแวดล้อมคลาวด์หรือข้อมูลลูกค้าในบริการคลาวด์

เหตุการณ์ด้านความปลอดภัยจะถูกจัดประเภทออกเป็นหมวดหมู่หลัก ดังนี้ :

• การเข้าถึงโดยไม่ได้รับอนุญาต (Unauthorized Access) หมายถึง การที่บุคคลใดบุคคลหนึ่งสามารถเข้าถึงระบบได้ ทั้งในเชิงตรรกะ (logical) หรือทางกายภาพ (physical) โดยไม่ได้รับอนุญาตจากระบบ
  
• การโจมตีแบบปฏิเสธการให้บริการ (Denial of Service – DoS) หมายถึง การโจมตีที่ทำให้ระบบ เครือข่าย หรือแอปพลิเคชันไม่สามารถให้บริการได้ตามปกติ โดยเกิดจากการใช้ทรัพยากรของระบบจนหมด เช่น การส่งคำขอจำนวนมากในเวลาเดียวกัน
  
• โค้ดหรือซอฟต์แวร์อันตราย (Malicious Code) หมายถึง การติดตั้งซอฟต์แวร์อันตรายสำเร็จ เช่น ไวรัส หนอน (worm) โทรจัน (Trojan horse) หรือมัลแวร์ประเภทอื่น ๆ ที่เข้ามาทำลายหรือแทรกแซงระบบปฏิบัติการหรือแอปพลิเคชัน
  
• การรั่วไหลของข้อมูลที่มีการควบคุม (Controlled Unclassified Information – CUI Spillage) หมายถึง การที่ข้อมูลสำคัญหรือข้อมูลที่มีการจำกัดสิทธิ์ถูกวางหรือส่งไปยังระบบที่ไม่มีสิทธิ์เข้าถึงหรือประมวลผลข้อมูลนั้นโดยไม่ได้ตั้งใจ

Security incident notification

ลูกค้า Infor ที่พบหรือสงสัยว่ามีเหตุการณ์ด้านความปลอดภัยเกิดขึ้น ควรทำการแจ้งเหตุโดยเปิดเคสผ่านระบบ Infor Concierge นอกจากนี้ ระบบตรวจสอบภายในของ Infor หรือพนักงานของ Infor เองก็สามารถตรวจพบและรายงานเหตุการณ์ด้านความปลอดภัยได้เช่นกัน

เหตุการณ์ด้านความปลอดภัยทุกกรณีจะต้องถูกบันทึกเข้าสู่ระบบ Ticketing System เพื่อใช้ในการติดตาม ตรวจสอบ และรักษามาตรฐานด้านการตรวจสอบ (Audit Compliance) อย่างครบถ้วน

Security incident customer notification

หากเกิดเหตุการณ์ด้านความปลอดภัยขึ้น สำนักงานความปลอดภัยของ Infor จะดำเนินการตามแผนตอบสนองเหตุการณ์ด้านความปลอดภัย (Security Incident Response Plan) ทันที โดยทีมตอบสนองเหตุการณ์จะทำงานร่วมกับทีมพัฒนา (Development) และทีมปฏิบัติการ (Operations) เพื่อระบุภัยคุกคามและจัดทำแผนการดำเนินการแก้ไข

ภายใต้แผน Security Incident Response Plan นี้ Infor จะดำเนินการดังต่อไปนี้

1. แจ้งลูกค้าที่ได้รับผลกระทบ ให้ทราบถึงเหตุการณ์ด้านความปลอดภัยที่เกิดขึ้น
2. ตรวจสอบและวิเคราะห์สาเหตุ ของเหตุการณ์อย่างเหมาะสมและรอบคอบ
3. จัดทำและดำเนินแผนแก้ไข (Remediation Plan) เพื่อขจัดสาเหตุของเหตุการณ์นั้น ภายในขอบเขตที่ Infor สามารถควบคุมได้
4. ให้ความร่วมมือกับลูกค้าที่ได้รับผลกระทบ ในการตรวจสอบและแก้ไขปัญหา เพื่อให้มั่นใจว่าผลกระทบได้รับการจัดการอย่างเหมาะสมและโปร่งใส

Policies and processes

Infor ได้กำหนดนโยบายด้านความปลอดภัยอย่างรอบด้าน เพื่อปกป้อง ความลับ (Confidentiality), ความถูกต้องสมบูรณ์ (Integrity) และ ความพร้อมใช้งาน (Availability) ของบริการคลาวด์ทั้งหมด

พนักงานทุกคนของ Infor จะได้รับการอบรมเกี่ยวกับหน้าที่ความรับผิดชอบในการปฏิบัติตามนโยบายเหล่านี้ รวมถึงการแจ้งเตือนเมื่อพบว่ามีการละเมิดหรือไม่ปฏิบัติตามหลักการดังกล่าว ทั้งนี้ ขั้นตอนการทำงาน (Procedures) ภายในองค์กรจะถูกจัดทำขึ้นโดยอ้างอิงจากนโยบายเหล่านี้โดยตรง นอกจากนี้ ขึ้นอยู่กับลักษณะของบริการคลาวด์แต่ละประเภท Infor อาจปฏิบัติตาม หรือช่วยให้ลูกค้าปฏิบัติตามมาตรฐาน ใบรับรอง และข้อกำหนดด้านความปลอดภัยที่หลากหลาย ซึ่งสามารถตรวจสอบรายละเอียดเพิ่มเติมได้ที่เว็บไซต์ trust.infor.com

หากท่านไหนที่สนใจเกี่ยวกับระบบ SunSystems, CheckSCM หรือบริการอื่นๆ ของ IMAS
สามารถติดต่อได้ที่ sale@i-mas.net สอบถามเพิ่มเติม โทร 02-666740
หรือ Line Official : @imas.official (มี @ ด้วยนะครับ)

Reference : https://www.infor.com

AccountingSoftware CheckSCM CloudComputing FinancialSystem IMAS IMAS Innovation and Consulting imasinno ProcurementSystem SunSystems SunSystemsCloud SupplyChainManagement