อันตรายอื่นๆ

อันตรายทางเทคโนโลยี

1. ความเสี่ยงจากการใช้สมาร์ทโฟน ในปัจจุบันเราสามารถใช้สมาร์ทโฟนเพื่อเชื่อมต่อกับระบบอินเตอร์เน็ต การใช้บริการออนไลน์ต่างๆ การใช้บริการเหล่านี้ หลายครั้งที่เราต้องกรอกข้อมูลส่วนตัวไปด้วย ซึ่งมิจฉาชีพก็อาจล่วงข้อมูลของเราไม่ว่าจะเป็นข้อมูลส่วนตัวหรือข้อมูลทางด้านการเงินจะเอาข้อมูลนั้นไปใช้ในการทำธุรกรรมที่ผิดกฎหมายได้ 

2. ถูกหลอกให้โอนเงินผ่านอินเตอร์เน็ต ในปัจจุบันก็มีการขายของมากมายบนอินเตอร์เน็ตมีการโฆษณาชวนเชื่อต่างๆ ที่ผ่านมาก็มีหลายกรณี ไม่ว่าจะเป็นบริษัทท่องเที่ยวซึ่งอาจเป็นบริษัทปลอม ที่เปิดหน้าเว็บไซต์ขึ้นมาก โฆษณาแพคเกจทัวร์ที่ถูก พอเราโอนเงินไปแล้ว ติดต่อไม่ได้ ปรากฏว่าบริษัทนั้นไม่มี อาชญากรก็ปิดเบอร์โทรหนี ปิดเว็บไซต์หนี เราก็เสียเงินฟรี  สินค้าต่างๆ บาทที่ก็โฆษณาว่ามีสินค้าชนิดนั้นชนิดนี้ อาจจะได้สินค้าที่ไม่ตรงตามที่ต้องการ เช่น สั่งไอแพด ได้ขนม และยังมีการสร้างเว็บปลอม เป็นเว็บของธนาคาร โดยให้ลูกค้าของธนาคารไปกรอกข้อมูล ทำให้อาชณากรรู้ข้อมูลของเรา แล้วเอาข้อมูลของเราไปเบิกเงินจากทางธนาคารมาใช้ 

3. ความเสี่ยงจาการเชื่อมต่อไวไฟ (Wi-Fi) สาธารณะ ในปัจจุบันมีอาชญากรที่พยายามปลอยสัญญาตามชุมชนต่างไม่ว่าจะเป็น ห้างสรรพสินค้า ที่สาธารณะ โดยตั้งชื่อเหมือนกันชื่อบริษัทที่ให้บริการที่มีชื่อเสียงผู้ใช้ทั่้วไปก็จะไม่ทราบ เชื่อต่อกับระบบสัญญาเข้าไป โดยบางครั้งก็มีการกรอกข้อมูลส่วนตัวเขาไปด้วย ข้อมูลก็จะถูกดูดออกไปจากระบบทำให้อาชญากรรู้ข้อมูลของเรา ข้อมูลทางด้านการเงินก็นำไปใช้ในทางที่ผิดต่อไป ปลอมได้ไงเพราะในประเทศไทยสามารถซื้อซิมการ์ดโทรศัพท์มาใช้ได้โดยไม่ต้องลงทะเบียนทำให้เป็นช่องว่างทางกฎหมาย อาชญากรสามารถซื้อมาแล้วก็ต่ออินเตอร์เน็ตได้โดยไม่ได้ลงทะเบียนซิมการ์ด

ตัวอย่างไวรัส

ความปลอดภัย (security)

ระบบป้องกันสแปมเมล(SpamMail)
            จดหมายอิเล็กทรอนิกส์ (E-Mail) ต่าง ๆ ที่รับ-ส่งถึงกัน จะมีจดหมายอิเล็กทรอนิกส์บางประเภทที่เป็นจดหมายแบบเชิญชวน โฆษณา แนะนำ เว็บไซต์ที่เกี่ยวกับการค้าหรือธุรกิจ หรือเพื่อประโยชน์ส่วนตัวของผู้ส่ง (Spam Mail) โดยผู้ส่งจะรู้เพียง E-Mail ของผู้รับ แต่ไม่ได้รู้จักกับผู้รับ ซึ่งระบบการส่งอาจเป็นแบบตั้งใจส่ง หรือใช้โปรแกรมช่วยในการส่งไปยังหลายๆ บุคคลพร้อม ๆ กัน ทั้ง ๆ ที่ E-Mail เหล่านี้ผู้รับไม่ได้ต้องการ กลายเป็น E-Mail ขยะที่ไม่ต้องการ และเพื่อป้องกัน E-Mail เหล่านี้ (Spam Mail) กรมโยธาธิการและผังเมืองได้ติดตั้งระบบป้องกันสแปมเมลเพื่อให้บริการแก่ผู้ใช้บริการจดหมายอิเล็กทรอนิกส์ของกรมฯ

ระบบป้องกันไวรัสคอมพิวเตอร์สำหรับเซิร์ฟเวอร์และเครื่องคอมพิวเตอร์ของผู้ใช้งานบางกลุ่ม
           เพื่อความปลอดภัยจากไวรัสคอมพิวเตอร์ที่แพร่ระบาดในระบบเครือข่าย ทั้งจากทางอินเทอร์เน็ตหรือจากผู้ใช้งานเองกรมโยธาธิการและผังเมืองได้มีการติดตั้งระบบป้องกันไวรัสคอมพิวตอร์แบบ Server/Client (แบบศูนย์รวม) ที่สามารถดูแลและจัดการในการอัพเดตข้อมูลไวรัส อัพเดตตัวโปรแกรม และการจัดการไวรัสคอมพิวเตอร์ที่เครื่องลูกข่าย

ระบบการยืนยันตัวบุคคลของผู้ใช้บริการอินเทอร์เน็ตหรือเครือข่ายภายใน
            กรมโยธาธิการและผังเมืองได้ติดตั้งระบบจัดเก็บบันทึกข้อมูลจราจรทางคอมคอมพิวเตอร์       (Log file) และจัดทำระบบยืนยันตัวตนผู้ใช้บริการระบบอินเทอร์เน็ตหรือระบบเครือข่ายภายใน ตามพระราชบัญญัติว่าด้วยการ กระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 ซึ่งจะต้องระบุชื่อบัญชีผู้ใช้พร้อมรหัสผ่านเป็นการยืนยันตัวบุคคล ก่อนการใช้บริการอินเทอร์เน็ต หากพนักงานข้าราชการท่านใดจะขอใช้บริการอินเทอร์เน็ต สามารถดาวน์โหลด “แบบฟอร์มแบบคำขอมีบัญชีผู้ใช้บริการอินเทอร์เน็ตของกรมโยธาธิการและผังเมือง” ได้ที่นี่ { link สำหรับดาวน์โหลด ชื่อไฟล์ Form_UseInternet.pdf } คลิกที่นี่เพื่อดาวโหลดแบบฟอร์ม{ สิ้นสุด link } แล้วส่งกลับมาที่ศูนย์เทคโนโลยีสารสนเทศ กรมโยธาธิการและผังเมือง พระราม9 จากนั้นและรอการติดต่อกลับระหว่างที่ทางเจ้าหน้าดำเนินการตามคำร้องขอ

ระบบสำรองข้อมูลเซิร์ฟเวอร์
            กรมโยธาธิการและผังเมืองมีระบบการสำรองข้อมูลของเซิร์ฟเวอร์  และระบบการกู้คืนภัยพิบัติ (Disaster Recovery : DR) เพื่อเป็นการเพิ่มความมั่นคงปลอดภัยให้แก่ระบบสารสนเทศ ป้องกันข้อมูลสูญหาย ที่อาจเกิดจากฮาร์ดแวร์ ซอฟต์แวร์ และระบบเครือข่าย หรือเหตุการณ์ใด ๆ อันเป็นเหตุให้ข้อมูลสูญหาย ข้อมูลผิดพลาด ทั้งนี้การสำรองข้อมูล จะมีการสำรองข้อมูลแบบ On Site (ภายในห้องเซิร์ฟเวอร์) และ Remote Site

การคัดลอกงาน (plagiarism)

โจรกรรมทางวรรณกรรม หรือ การลอกเลียนวรรณกรรม (plagiarism) หมายถึง การลอกงานเขียน ความคิดหรืองานสร้างสรรค์ดั้งเดิมทั้งหมดหรือบางส่วนที่เหมือนหรือเกือบเหมือนงานดั้งเดิมของผู้อื่นมาแอบอ้างเป็นงานดั้งเดิมของตนเอง

ในวงวิชาการ โจรกรรมทางวรรณกรรมโดยนิสิตนักศึกษา อาจารย์หรือนักวิจัยถือเป็น “ความไม่สุจริตทางวิชาการ”หรือ “การฉ้อฉลทางวิชาการ” และผู้กระทำผิดจะต้องถูกตำหนิทางวิชาการ (academic censure) โจรกรรมทางวรรณกรรมในงานสื่อสารมวลชนถือเป็นละเมิดจรรยาบรรณทางวารสารศาสตร์นักข่าวที่ถูกจับได้โดยทั่วไปจะถูกลงโทษทางวินัยตั้งแต่พักงานถึงการถูกให้ออกจากงาน สำหรับบุคคลทั่วไปที่ถูกจับได้ว่าทำโจรกรรมทางวรรณกรรมทางวิชาการหรือทางงานหนังสือพิมพ์มักอ้างว่าได้กระทำลงไปโดยไม่ได้ตั้งใจ โดยลืมใส่อ้างอิง หรือใส่คำประกาศกิตติคุณ ที่เหมาะสมไว้ ปัญหาโจรกรรมทางวรรณกรรมเป็นปัญหาที่เกิดมานานนับศตวรรษมาแล้วซึ่งเป็นแบบรูปเล่ม การพัฒนาทางอินเทอร์เน็ตที่บทความปรากฏในรูปของอีเล็กทรอนิกส์ ทำให้งานคัดลอกทำได้เพียง “ลอก” ข้อความในเว็บมา “ใส่” ไว้ในอีกเว็บหนึ่งอย่างง่ายดายที่เรียกว่า “การคัดลอก-แปะ” 

โจรกรรมทางวรรณกรรมต่างกับการละเมิดลิขสิทธิ์แม้ทั้งสองคำนี้ใช้กับพฤติกรรมที่คล้าย ๆ กัน เพียงแต่เน้นการละเมิดที่ต่างมุมกัน การละเมิดลิขสิทธิ์เป็นการละเมิดสิทธิ์ด้วยการไม่บอกกล่าวกับผู้ถือลิขสิทธิ์ แต่ขณะเดียวกัน ในอีกด้านหนึ่งโจรกรรมทางวรรณกรรมเกี่ยวข้องกับการสร้างชื่อเสียงให้ตนเองของผู้กระทำด้วยการแอบอ้างว่าตนเป็นผู้เขียน

โจรกรรมทางวรรณกรรมออนไลน์

เนื่องจากความง่ายในการขโมยเนื้อความจากเว็บด้วยวิธีคัดลอก-แปะดังกล่าว โจรกรรมทางวรรณกรรมออนไลน์จึงเพิ่มขึ้นอย่างรวดเร็ว ปรากฏการณ์นี้เรียกกันว่า “เนื้อความจากขยะ” (content scraping) ซึ่งมีผลกระทบ โดยเฉพาะกับเว็บไซต์จำนวนมากที่ตั้งตัวแล้วและบลอก แรงจูงใจให้กระทำการดังกล่าวเกิดจากการดึงเว็บแทรฟฟิกส่วนหนึ่งหรือทั้งหมดของโปรแกรมค้นหาของเว็บไซต์หรือบลอกนั้นแล้วขโมยหรือโยกย้ายผู้เข้าชมเว็บไซต์/บลอกนั้นไปใช้หาเงินผ่านการโฆษณาออนไลน์

ปัจจุบันมีโปรแกรมเครื่องมือฟรีออนไลน์ที่สามารถนำมาใช้ตรวจกับโจรกรรมทางวรรณกรรมอออนไลน์ได้ทำให้การป้องกันทำได้ง่ายขึ้นและยังมีโปรแกรมเครื่องมือแบบอื่นที่จะช่วยจำกัดการลอกงานออนไลน์ เช่น disabling right clicking ซึ่งใช้วิธีใช้เมาส์เน้นข้อความขอเว็บเพจที่ต้องการตรวจจับแล้วคลิกขวาที่โปรแกรม หากเป็นโจรกรรมก็จะมีป้ายหรือแบนเนอร์ปรากฏขึ้นที่เว็บเพจนั้น และจะมีข้อความตัวอย่างของจริงหร้อมทั้งข้อความประกาศ DMCA ของเจ้าของงานตัวจริงแจ้งให้ผู้ละเมิดหรือ ISP ของเว็บไซต์นั้นลบออก

ลิขสิทธิ์และการจัดการลิขสิทธิ์ดิจิตอล (Digital Rights Managrment)

DRM คือ การจัดการสิทธิดิจิทัล (Digital Right Management) หรือที่เรียกกันย่อ ๆ ว่า DRM เป็นคำรวม ๆที่ใช้อ้างถึงกรรมวิธีทางเทคนิคหลาย ๆ แบบในการควบคุมหรือจำกัดการใช้สื่อดิจิทัล    บนอุปกรณ์อิเล็กทรอนิกส์ที่มีการติดตั้งเทคโนโลยีนี้ลงไป DRM บางครั้งก็เรียกว่า ระบบการจัดการลิขสิทธิ์อิเล็กทรอนิกส์ สื่อที่นิยมนำเอา DRM  มาจำกัดการใช้งานได้แก่ สื่อดนตรี งานศิลปะ และ     ภาพยนตร์ การใช้ DRM กับสื่อดิจิทัลก็พื่อป้องกันรายได้ที่อาจจะสูญเสียไปอันเนื่องมาจากการทำซ้ำ   ผลงานลิขสิทธิ์อย่างผิดกฎหมาย ถึงแม้ว่าการการะทำดังกล่าวจะมีข้อโต้แย้งจากคนบางกลุ่มว่า การ  โอนย้ายสิทธิมนการใช้สื่อจากผู้บริโภคไปให้กับผู้จำหน่ายนั้นจะทำให้สิทธิอันชอบธรรมบางประการของผู้ใช้สูญเสียไปก็ตาม เนื่องจากยังไม่พบว่ามีเทคโนโลยี DRM ใดในปัจจุบันที่จะมีกลไกรักษาสิทธิอันพึงมี หรือสิทธิการใช้งานอย่างยุติธรรมเลย

Digital Rights Management (DRM)   

คือ ระบบการจัดการสิทธิ์ของผู้ใช้อยู่ในรูปแบบดิจิตอล ผู้ผลิตเป็นผู้กำหนดขอบเขตการเข้าถึงของ ผู้ใช้ ผู้ผลิตยังสามารถควบคุมวิธีใช้   แฟ้มที่ได้รับการป้องกันคือแฟ้มที่ใช้ DRM เหมือนกับเป็นการกำหนด สิทธิ์การเข้าใช้งานสื่อ (ทั้งซอร์ฟแวร์และฮาร์ดแวร์)   กล่าวคือ สิทธิ์ในการใช้งานแฟ้มที่ได้รับการป้องกันด้วย วิธีการเฉพาะเจ้าของผลงาน เช่น ร้านค้าออนไลน์ การควบคุมเพลงดิจิตอล และแฟ้มวิดีโอที่ใช้ และการกระจาย ร้านค้าออนไลน์ขาย และเช่ามีป้องกัน DRM เพลงและวิดีโอที่มีสิทธิ์การใช้สื่อเพื่อให้สามารถใช้เฉพาะของเนื้อหา เพลงที่ได้รับการป้องกันหรือวิดีโอที่ได้รับการป้องกันคือ เพลงที่ได้รับการป้องกันหรือวิดีโอที่ได้รับการป้องกันเป็นแฟ้มที่ใช้ในการป้องกัน DRM เมื่อต้องการให้มีการป้องกันของเพลงหรือเล่นวิดีโอ คุณต้องมีสิทธิ์การใช้งานสื่อสำหรับตารางนั้น

                DRM ประกอบด้วยส่วนประกอบทางเทคโนโลยีจำนวนหนึ่งซึ่งรวมทั้งมาตรการคุ้มครองทางเทคโนโลยี โดยทั่วไป DRM จะประกอบด้วยส่วนเข้ารหัสลับ กลไกการเฝ้าระวังฐานข้อมูล และส่วน จัดใบอนุญาตให้กับเจ้าของและผู้ใช้ ระบบ DRM จะถูกออกแบบให้จัดการสิทธิที่มีความสัมพันธ์กับ ข้อมูลข่าวสารอย่างอัตโนมัติ หน้าที่การจัดการนี้สามารถรวบรวมการปกป้องงานลิขสิทธิ์รวมทั้ง      ข่าวสารอื่น ๆ จากการใช้งานหรือการทำซ้ำโดยไม่ได้รับอนุญาต การแต่งตั้งและการบังคับ

                ถึงแม้ว่าการควบคุมการทำซ้ำและการใช้โปรแกรมประยุกต์เป็นสิ่งที่รุ้จักกันดีมาตั้งแต่ ปี 1980 แต่สำหรับคำว่า DRM จะนำไปใช้กับเนื้อหาเชิงศิลปะมากกว่า และมีความหมายเกินกว่าขอบเขต      ของกฎหมายลิขสิทธิ์ทั่วไปที่เน้นไปที่การครอบครองเนื้อหาทางกายภาพเท่านั้น แต่ DRM จะบังคับให้มีข้อจำกัดอื่นเพิ่มเติมจากดุลพินิจของผู้จำหน่ายเองอีกด้วย ซึ่งสิ่งเหล่านี้อาจจะตรงหรือไม่ตรงกับที่มีอยู่ในกฎหมายลิขสิทธิ์ก็ได้

                คำว่า การจัดการสิทธิดิจิทัล หรือ DRM นี้ ตั้งขึ้นโดยผู้ออกแบบโปรแกรมและผู้จำหน่ายสื่อ  เพื่ออ้างถึงมาตรการทางเทคนิค แต่เนื่องจากคำว่า สิทธิ ในที่นี้จริง ๆ แล้วมันคืออำนาจหรือความสามารถที่เจ้าของเนื้อหาเป็นผู้จัดให้กับผู้ซื้อ ซึ่งอาจไม่จำเป็นต้องเป็นสิ่งเดียวกับ สิทธิตามกฎหมาย      ที่ผู้บริโภคควรได้รับก็ได้ ดังนั้นนักวิจารณ์ส่วนหนึ่งจึงบอกว่าการใช้วลี การจัดการสิทธิดิจิทัล นั้น      ไม่ถูกต้อง ในความหมายลักษณะนี้ควรจะใช้คำว่า การจัดการข้อจำกัดดิจิทัล ซึ่งจะมีนัยตรงกับหน้าที่ของระบบ DRM มากกว่าตัวอย่างที่ DRM ทำเกินกว่าสิ่งที่กฎหมายลิขสิทธิ์กำหนด

จริยธรรม (ethics)

                

                 เป็นหลักเกณฑ์ที่ประชาชนตกลงร่วมกันเพื่อใช้เป็นแนวทางในการปฏิบัติร่วมกัน  สำหรับตัวอย่างของการกระทำที่ยอมรับกันโดยทั่วไปว่าเป็นการกระทำที่ผิดจริยธรรม เช่น

1.  การใช้คอมพิวเตอร์ทำร้ายผู้อื่นให้เกิดความเสียหายหรือก่อความรำคาญ

2.  การใช้คอมพิวเตอร์ในการขโมยข้อมูล

3.  การเข้าถึงข้อมูลหรือคอมพิวเตอร์ของบุคคลอื่นโดยไม่ได้รับอนุญาต

4.  การละเมิดลิขสิทธิ์ซอฟต์แวร์

โดยทั่วไปเมื่อพิจารณาถึงจริยธรรมเกี่ยวกับการใช้เทคโนโลยีคอมพิวเตอร์และ

สารสนเทศแล้ว จะกล่าวถึงใน 4 ประเด็น ที่รู้จักกันในลักษณะตัวย่อว่า PAPA  ประกอบด้วย

1.  ความเป็นส่วนตัว (Information Privacy)

2.  ความถูกต้อง (Information Accuracy)       

3.  ความเป็นเจ้าของ (Intellectual Property)                 

4.  การเข้าถึงข้อมูล (Data Accessibility)

ในประเทศไทยได้มีการร่างกฎหมายทั้งสิ้น 6 ฉบับ คือ

1.  กฏหมายเกี่ยวกับธุรกรรมอิเล็กทรอนิกส์

2.  กฏหมายลายมือชื่ออิเล็กทรอนิกส์

3.  กฏหมายเกี่ยวกับอาชญากรรมคอมพิวเตอร์

4.  กฏหมายเกี่ยวกับการโอนเงินทางอิเล็กทรอนิกส์

5.  กฏหมายเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล

6.  กฎหมายลำดับรอง รัฐธรรมนูญ มาตรา 78 หรือกฎหมายเกี่ยวกับการพัฒนา โครงสร้างพื้นฐานสารสนเทศ

            ต่อมาได้มีการรวมเอากฎหมายธุรกรรมอิเล็กทรอนิกส์และกฎหมายลายมือชื่อ-อิเล็กทรอนิกส์เป็นฉบับเดียวกันเป็นพระราชบัญญัติว่าด้วยธุรกรรมอิเล็กทรอนิกส์ พ.ศ. 2544 ซึ่งมีผลบังคับใช้เมื่อวันที่ 3 เมษายน 2545 แต่ในปัจจุบันยังไม่ได้นำมาใช้สมบูรณ์แบบ เนื่องจากยังไม่มีคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์  ส่วนกฏหมายอีก 4 ฉบับที่เหลือ ขณะนี้อยู่ระหว่างการดำเนินการ (ข้อมูล ณ ตุลาคม 2546)

มาตรการรักษาความปลอดภัยของคอมพิวเตอร์

การเสริมสร้างความปลอดภัยของระบบคอมพิวเตอร์เพื่อป้องกันการถูกโจมตีจากผู้ไม่หวังดีนั้น สิ่งที่สำคัญคือองค์กรจะต้องทำการป้องกันเครือข่าย และระบบจากภัยคุกคามต่างๆ ทั้งจากภายนอก และภายในองค์กรเอง ซึ่งองค์การจะต้องมีการดำเนินการดังต่อไปนี้
1. เตรียมความพร้อมในส่วนการตรวจสอบว่ามีการบุกรุกเข้ามาในระบบแล้วหรือไม่
2. ต้องหาวิธีการเพื่อที่จะทำการหยุดยั้งขัดขวางสิ่งที่จะก่อให้เกิดความเสียหายจากภัยคุกคามนั้นๆ

โดยในทางปฏิบัติแล้วจะมีแนวทางในการดำเนินการที่เรียกว่า "Prevention is ideal but detection is a must" หรือ “การมีการป้องกันนั้นถือว่าดี แต่การตรวจสอบนั้นถือว่ามีความจำเป็นต้องมีอย่างยิ่ง” และ "Offense informs defense" หรือ “ถ้าหากเราทราบถึงวิธีหรือขั้นตอนในการกระทำผิดนั้นๆ เราก็จะทราบถึงวิธีการป้องกันการกระทำผิดเหล่านั้นด้วย”

สำหรับเป้าหมายในการนำเสนอมาตรการที่สำคัญเพื่อการปกป้องระบบดังกล่าวคือ เพื่อให้สามารถที่จะปกป้องทรัพย์สินที่มีความสำคัญๆ โครงสร้างพื้นฐานของระบบ รวมทั้งข้อมูลต่างๆ ขององค์กรได้ เช่น การเสริมสร้างความแข็งแกร่งให้กับระบบคอมพิวเตอร์ในองค์กรอย่างต่อเนื่อง มีการใช้งานระบบอัตโนมัติเพื่อป้องกันระบบ รวมทั้งมีการตรวจสอบข้อมูลที่สำคัญๆ ขององค์กรที่ดี เพื่อลดโอกาสหรือจำนวนการถูกโจมตี หรือใช้ระยะเวลาที่ใช้ในการกู้คืนระบบได้เร็วขึ้น หรือแม้กระทั้งสามารถช่วยลดค่าใช้จ่ายในส่วนที่เกี่ยวข้องลงได้

หลักการแนวคิด 5 ข้อที่เกี่ยวข้องกับมาตรการควบคุมที่สำคัญเพื่อการปกป้องระบบคอมพิวเตอร์
1. Offense informs defense: ถ้าหากเราทราบถึงวิธีหรือขั้นตอนในการกระทำผิดนั้นๆ และเราก็จะทราบทราบถึงวิธีการป้องกันการกระทำผิดเหล่านั้นด้วย
2. Prioritization: ให้ลำดับความสำคัญที่จะดำเนินการกับความเสี่ยงที่สำคัญๆ ก่อน หรือทำการป้องกันในจุดที่จะก่อให้เกิดความเสียหายรุนแรง ตามลำดับก่อนหลัง
3. Metrics: นำเสนอข้อมูลตัวชี้วัดต่างๆ ที่เกี่ยวข้อง เช่น มูลค่าความเสียหายหากถูกโจมตีจากจุดอ่อนต่างๆ ความสำคัญของระบบ หรือข้อมูลในองค์กร และ ข้อมูลอื่นๆ ที่สามารถประเมินได้ให้กับผู้บริหาร ฝ่ายไอที ผู้ตรวจสอบ และบุคคลต่างๆ ที่เกี่ยวกับความมั่นคงปลอดภัยเพื่อช่วยกันประเมินและปรับปรุงข้อมูลเหล่าตัวชี้วัดนั้นได้รวดเร็วขึ้น
4. Continuous monitoring: ดำเนินการตรวจสอบอย่างต่อเนื่องเพื่อทดสอบและตรวจสอบประสิทธิผลของมาตรการรักษาความปลอดภัยในปัจจุบัน
5. Automation: ระบบอัตโนมัติสามารถเชื่อถือได้ และทำการขยายขีดความสามารถ รวมทั้งตรวจวัดได้อย่างต่อเนื่อง ตามข้อควรปฏิบัติในระเบียบวิธีการควบคุม และตัวชี้วัดที่เกี่ยวข้อง

แนวทางในการประยุกต์ใช้มาตรการควบคุมที่สำคัญในองค์กร
สำหรับการประยุกต์ใช้มาตรการควบคุมที่สำคัญในองค์กรต่างๆ ที่ผ่านมานั้น สามารถนำมาสรุปเป็นวิธีการหรือรูปแบบขั้นตอนเพื่อให้ง่ายต่อการประยุกต์ใช้งานในองค์กรของเราได้

ขั้นตอนที่ 1: ตรวจสอบและวิเคราะห์ช่องโหว่ของระบบ (Gap Assessment) ดำเนินการตรวจสอบและวิเคราะห์ช่องโหว่ของระบบเพื่อที่จะระบุให้ได้ว่าระบบมีช่องโหว่ใดที่เกี่ยวข้องในแต่ละมาตรการบ้าง
ขั้นตอนที่ 2: ดำเนินการและปรับปรุงแผนการดำเนินการ (Roadmap) เลือกมาตรการที่จะดำเนินการ และวางแผนระยะดำเนินการตามความสำคัญทางธุรกิจ
ขั้นตอนที่ 3: เริ่มดำเนินการตามแผนในระยะดำเนินการขั้นแรก (First Phase of Controls) ดำเนินการเลือกวิธีการ เครื่องมือ
                   และขั้นตอนการดำเนินงานตามแผนที่ได้วางไว้ และควรมีการปรังปรุงการดำเนินการข้างต้นให้เหมาะสมองค์กร
ขั้นตอนที่ 4: ประยุกต์มาตรการที่ได้วางไว้มาเป็นระเบียบวิธีปฏิบัติ (Operations) ดำเนินการประยุกต์มาตรการที่ได้วางไว้มาเป็นระเบียบวิธีปฏิบัติ เช่น มีระเบียบวิธีการตรวจสอบอย่างต่อเนื่อง สร้างและปรับปรุงการดำเนินงานต่างๆ ให้เป็นมาตรฐาน

ในการปฏิบัติ
ขั้นตอนที่ 5: รายงานและปรับปรุงแผนการดำเนินการ (Improve Roadmap) รายงานและปรับปรุงแผนการดำเนินการที่ได้ทำใน  

สำหรับ 20 มาตรการที่สำคัญเพื่อการปกป้องระบบคอมพิวเตอร์อย่างมีประสิทธิภาพ มีดังนี้
มาตรการที่ 1: ทำรายการจัดเก็บชื่ออุปกรณ์ที่ได้มีการเข้าถึงเครือข่ายภายในองค์กรทั้งที่ได้รับอนุญาต และอุปกรณ์แปลกปลอม
                     อื่นๆ (Inventory of Authorized and Unauthorized Devices)
มาตรการที่ 2: ทำรายการจัดเก็บชื่อโปรแกรมที่ได้มีการติดตั้งภายในองค์กรทั้งที่ได้รับอนุญาต และไม่ได้รับอนุญาต
                     (Inventory of Authorized and Unauthorized Software)
มาตรการที่ 3: ปรับแต่งอุปกรณ์ และโปรแกรมต่างๆ ในองค์กรให้มีความมั่นคงปลอดภัย (Secure Configurations for Hardware
                     and Software on Mobile Devices, Laptops, Workstations, and Servers)
มาตรการที่ 4: ตรวจสอบ วิเคราะห์ และแก้ไขช่องโหว่ต่างๆ ของระบบอย่างต่อเนื่อง
                     (Continuous Vulnerability Assessment and Remediation)
มาตรการที่ 5: ป้องกันอุปกรณ์ และโปรแกรมต่างๆ จากโปรแกรมไม่ประสงค์ดี (Malware Defenses)
มาตรการที่ 6: ตรวจสอบ ป้องกัน และแก้ไขจุดอ่อนของโปรแกรมที่พัฒนาขึ้น หรือนำมาใช้งาน
                     (Application Software Security)
มาตรการที่ 7: ตรวจสอบ และป้องกันการใช้งานเครือข่ายไร้สายของอุปกรณ์ที่ไม่ได้รับอนุญาต (Wireless Device Control)
มาตรการที่ 8: ทำการสำรองข้อมูลที่สำคัญๆ และมีการซ้อมการกู้คืนระบบอย่างสม่ำเสมอ (Data Recovery Capability)
มาตรการที่ 9: มีการฝึกอบรมหรือทำความเข้าใจกับช่องโหว่ต่างๆ ที่มีอยู่ในองค์กร
                     (Security Skills Assessment and Appropriate Training to Fill Gaps)
มาตรการที่ 10: ปรับแต่งอุปกรณ์เครือข่ายให้มีการใช้งานตามที่ได้กำหนดไว้ เช่น กฎของไฟร์วอลล์ 

การตั้งค่าเส้นทางอุปกรณ์ค้นหาเส้นทาง 

(Secure Configurations for Network Devices such as Firewalls, Routers, and Switches)
มาตรการที่ 11: จำกัด และควบคุมการใช้งานเครือข่ายและบริการต่างๆ อย่างเหมาะสม (Limitation and Control of Network Ports, Protocols, and Services)
มาตรการที่ 12: ควบคุมผู้ใช้งานที่ได้สิทธิ์สูง เช่น สิทธิ์เป็นผู้ดูแลระบบ (Controlled Use of Administrative Privileges)
มาตรการที่ 13: ควบคุมการเชื่อมต่อของแต่ละวงเครือข่ายที่มีระดับความลับของข้อมูลแตกต่างกัน (Boundary Defense)
มาตรการที่ 14: ตรวจสอบ และวิเคราะห์ข้อมูลสำหรับการตรวจสอบ (Maintenance, Monitoring, and Analysis of Audit Logs)
มาตรการที่ 15: ควบคุม และตรวจสอบการเข้าถึงข้อมูลที่มีความลับในลำดับชั้นต่างๆ ตามที่ได้รับอนุญาต
                       (Controlled Access Based on the Need to Know)
มาตรการที่ 16: ควบคุม และตรวจสอบชื่อผู้ใช้งานในระบบต่างๆ (Account Monitoring and Control)
มาตรการที่ 17: ควบคุม และตรวจสอบข้อมูลที่ผ่านเข้าออกระบบ (Data Loss Prevention)
มาตรการที่ 18: มีการควบคุม จัดการ และตอบสนอง ต่อเหตุการณ์ต่างๆ ทางคอมพิวเตอร์
                       (Incident Response and Management)
มาตรการที่ 19: ป้องกัน และควบคุมภัยคุมคามในรูปแบบอื่นๆ (Secure Network Engineering)
มาตรการที่ 20: ดำเนินการตรวจสอบ และซักซ้อมการทดสอบเจาะบุกรุกระบบ
                       (Penetration Tests and Red Team Exercises)