ระบบมาตรฐานดานความปลอดภัยของขอมูล ISO 27001
ISO/IEC 27001:2005 (Information Security Management System: ISMS) เปนมาตรฐานการจัดการขอมูลที่มีความสําคัญเพื่อใหธุรกิจ
ดําเนินไปอยางตอเนื่อง ซึ่งขอกําหนดตางๆกําหนดขึ้นโดยองคกรที่มีชื่อเสียงและมีความนาเชื่อถือระหวางประเทศ คือ ISO (The International
Organization for Standardization) และ IEC (The International Electrotechnical Commission) การประยุกตใชISMS จะชวยให
กิจกรรมทางธุรกิจตอเนื่องไมสะดุด, ชวยปองกันกระวนการทางธุรกิจจากภัยรายแรงตางๆเชน แผนดินไหว, วาตภัย, อุทกภัย ฯลฯ และ ความ
เสียหายของระบบขอมูล โดยครอบคุม ทุกกลุมอุตสาหกรรมและทุกกลุมธุรกิจ
มาตรฐานนี้เปนมาตรฐานสากลที่มุงเนนดานการรักษาความมั่นคงปลอดภัยใหกับระบบสารสนเทศขององคกร และใชเปนมาตรฐานอางอิงเพื่อ
เปนแนวทางในการเสริมสรางความมั่นคงปลอดภัย ใหกับระบบสารสนเทศขององคกรอยางแพรหลาย กอนจะมาเปนมาตรฐานสากลนี้
มาตรฐาน ISO/IEC 27001 และ ISO/IEC 17799:2005 ไดรับการแกไขปรับปรุงมาจากมาตรฐานเดืมที่ชื่อวา BS 77991 และ ISO/IEC 17799
: 2000 ตามลําดับ เนื้อหาของมาตรฐาน ISO 27001 : 2005 จะเกี่ยวของกับการจัดตั้งและปฏิบัติใชงาน “ระบบบริหารความมั่นคงของขอมูล”
ขึ้นในองคกร ซึ่งในแนวคิดของมาตรฐานสวนนี้จะเปนแนวทางสําคัญเนื้อหาของมาตรฐาน ISO 27001 : 2005 แบงออกเปน 8 สวนดังนี้
1.ขอบเขต (Scope)
2.มาตรฐานอางอิง (Normative reference)
3.คําจํากัดความและนิยาม (Term and definitions)
4.ระบบบริหารความมั่นคงของขอมูล (Information security management system)
5. หนาที่ความรับผิดชอบของฝายบริหาร (Management responsibility)
6.การตรวจประเมินการบริหารความมั่งคงของขอมูลภายใน (Internal ISMS audit)
7.การทบทวนการบริหารความมั่นคงของขอมูล (Management review of the ISMS)
8.การปรับปรุงการบริหารความมั่นคงของขอมูล (ISMS improvement)
ความแตกตางระหวางมาตรฐาน ISO/IEC27001 กับ ISO/IEC177992005 สามารถอธิบายโดยยอไดดังนี้
1.ขอบเขต (Scope)
2.ศัพทเทคนิคและนิยาม (Terms and definitions)
3.โครงสรางของมาตรฐาน (Structure of this standard)
4.การประเมินความเสี่ยงและการจัดการกับความเสี่ยง / ลด / โอนยาย / ยอมรับความเสี่ยง (Risk assessment and treatment)
สําหรับมาตรฐาน ISO/IEC 177992005 วาดวยเรื่องของวิธีปฏิบัติที่จะนําไปสูระบบบริหาร จัดการความมั่นคงปลอดภัยที่องคกรไดจัดทําขึ้น
ซึ่งจะตองเปนไปตามขอกําหนดในมาตรฐาน ISO/IEC27001 รายละเอียดของมาตรฐานนี้จะบอกถึงวิธีปฏิบัติในการลดความเสี่ยงที่เกิดจากจุด
ออนของระบบโดยแบงเปนหัวขอหลักที่เกี่ยวของกับระบบ และใหแนวทางวาผูจัดทําควรปฏิบัติอยางไร ซึ่งผูใชสามารถเพิ่มเติมมาตรการหรือใช
วิธีการที่มีความมั่นคงปลอดภัยเพียงพอ หรือเหมาะสมตามที่องคกระไดประเมินไว
หลักการของการออกแบบโครงสรางระบบ ISO/IEC27001:2005 เปนระบบพลวัตร (Dynamic System)ซึ่งอางอิง รูปแบบ PDCA Model
(Plan Do Check Action) ซึ่งเปนโครงสรางเดียวกับ ระบบ การบริหารที่เปนสากลที่ใชกันทั่วโลก เชน ระบบการจัดการคุณภาพ (ISO
9001:2000), ระบบการจัดการสิ่งแวดลอม (ISO14001:2004), ระบบการจัดการคุณภาพสําหรับอุตสาหกรรมรถยนต(ISO/TS 16949), ระบบ
การจัดการจัดการคุณภาพสําหรับอตสาหกรรมอาหาร (ISO 21001) ฯลฯ ซึ่งองคที่มีการประยุกตระบบการจัดการตางๆนี้แลว จะสามารถตอย
อดระบบ ISO/IEC27001:2005 ไดเร็วและงายขึ้น แตสําหรับ องคกรที่ยังไมมีระบบการจัดการใดๆ ก็ใชวาจะประยุกตใชยากเพราะ ระบบ มีการ
เขียนที่เขาใจงายและแบงหมวดใหงายตอความเขาใจตาม PDCA อยูแลวเพียงแตตองทําความเขาใจกับระบบใหมากขึ้น
ISO/IEC27001:2005 หรือ Information Security Management System (ISMS) เปนระบบการจัดการความปลอดภัยของขอมูล เพื่อให
ระบบขอมูลสารสนเทศขององคกรมีคุณสมบัติในดานตางๆดังตอไปนี้
• Confidentiality เพื่อใหมั่นใจไดวาขอมูลตางๆ สามารถเขาถึงไดเฉพาะ ผูที่มีสิทธิที่จะเขาเทานั้น
• Integrity เพื่อใหมั่นใจไดวา ขอมูลมีความถูกตองครบถวนสมบูรณโดยไมไดถูกเปลี่ยนแปลงหรือแกไข จากผูไมไดรับอนุญาติ
• Availability เพื่อใหมั่นใจไดวาขอมูลพรอมที่จะใชงานอยูเสมอ โดยผูที่มีสิทธิในการเขาถึงขอมูลสามารถเขาถึงไดทุกเมื่อ หากตองการ
ระบบ ISMS เปนระบบ Dynamic system ที่ใชโครงสราง PDCA ดังนั้น ระบบจะมีการหมุนเพื่อปรับปรุงอยางตอเนื่องอยูตลอดเวลามี่ที่สิ้นสุด
โดยโครงสรางของขอกําหนด จะถูกแบงตาม PDCA ดังนี้
Plan การจัดทําระบบ ISMS
Establish ISMS
a) กําหนด scope และ ขอบเขตการจัดทําระบบ ISMS
b) กําหนด ISMS Policy
c) กําหนด รูปแบบการประเมินความเสี่ยง
d) กําหนดความเสี่ยง
e) วิเคราะหและ ประเมินความเสี่ยง
f) กําหนดและประเมิน วิธีการเพื่อลดความเสี่ยง
g) เลือกการควบคุม เพื่อลดความเสี่ยง
h) เห็นชอบความเสี่ยงที่เหลืออยูโดย management
I) เห็นชอบและประยุกตใชระบบ โดย management
J) จัดทํา Statement of Applicable(SOA)
Do ประยุกตใชและดําเนินการ ระบบ ISMS
Implement and Operate the ISMSa) กำหนดแผนการลดความเสี่ยงb) ดำเนินการตามแผนลดความเสี่ยงc) ดำเนินการ ตามการควบคุมที่เลือกตาม 4.2.1gd) กำหนดการวัดประสิทธิภาพของระบบการควบคุมe) จัดทำรายการฝึกอบรมf) จัดการการประยุกต์ใช้ระบบg) ประยุกต์ใช้ ระเบียบปฎิบัติงานCheck - เฝ้าระวังและตรวจสอบระบบ ISMSMonitor and review ISMSa) จัดทำ ระเบียบปฏิบัติการ เฝ้าระวังและตรวจสอบระบบ ISMSb) ทบทวนประสิทธิภาพของ ระบบอย่างสม่ำเสมอc) วัดประสิทธิภาพการควบคุมในการปฏิบัติตามข้อกำหนดd) ทบทวน การประเมินความเสี่ยงตามแผน ความเสี่ยงที่เหลือ ระบบการประเมินความเสี่ยง และการเปลี่ยนแปลงต่างๆ ตามรอบเวลาที่กำหนดe) ดำเนินการ ตรวจติดตามภายในระบบISMSf) ดำเนินการ จัดทำ management reviewg) ปรับปรุง security plan ให้ทันสมัยh) บนทึกการการทำงานและหลักฐานที่มีผลต่อประสิทธิภาพและประสิทธิผลของระบบAction - รักษาและปรับปรุง ระบบ ISMSMaintain and improve the ISMSa) ดำเนินการ corrective action และ preventive actionb) สื่อสาร วิธีการและการปรับปรุงต่างๆ ให้กับผู้ที่เกี่ยข้องต่างๆc) แน่ใจว่า วิธีการที่ปรับปรุงขึ้น บรรลุจุดประสงค์ที่วางไว้นอกจากนี้ บางข้อกำหนดในระบบ ISMS ถูกแยกมากล่าวเพื่อชี้แจงรายละเอียดดังนี้4.3 Document control4.3.1 General4.3.2 Control of Document4.3.3 Control of Record5. Management Responsibility5.1 Management Commitment5.2 Resource management6 Internal Audit7 Management Review7.1 General7.2 Review Input7.3 Review Out put8 ISMS Improvement8.1 Continual Improvement8.2 Corrective action8.3 Preventive action ปัจจุบันข้อมูลสารสนเทศเปรียบเสมือนสินทรัพย์ที่มีมูลค่าและบทบาทสำคัญต่อการบริหารจัดการองค์กร ดังนั้นองค์กรต่างๆจึงเริ่มตระหนักถึงการปกป้องรักษาข้อมูลสารสนเทศที่สำคัญๆ อันนำมาซึ่งความท้าทายในการบริหารความมั่นคงปลอดภัยสำหรับสารสนเทศอย่างเป็นมาตรฐาน และมีประสิทธิภาพคุ้มค่ากับการลงทุน เพื่อให้ผู้ใช้ข้อมูลสารสนเทศมีความเชื่อมั่นว่าข้อมูลสารสนเทศดังกล่าวมีความปลอดภัยตามหลักของ C I A ซึ่งประกอบด้วย มีกระบวนการรักษาความลับที่เหมาะสม ผู้มีสิทธิเท่านั้นถึงจะเข้าถึงได้ (C : Confidentiality) มีความสมบูรณ์ถูกต้องของเนื้อหาสาระ (I : Integrity) และมีความพร้อมใช้งานอยู่เสมอ ผู้ใช้สามารถเข้าถึงข้อมูลเมื่อต้องการได้ทุกเวลา (A : Availability) โดยเฉพาะในโอกาสที่ประเทศไทยจะก้าวไปสู่ประชาคมอาเซียนในปี 2015 (ASEAN Community 2015) องค์กรต่างๆในประเทศไทยจึงจำเป็นต้องเริ่มตระหนักถึงความสำคัญในการบริหารจัดการความมั่นคงปลอดภัยสำหรับสารสนเทศ เพื่อสร้างความมั่นใจให้กับผู้บริหาร พนักงาน ลูกค้า และคู่ค้า ว่าสารสนเทศขององค์กรจะมีคุณสมบัติครบตามหลัก C I A
ในปีที่ผ่านมา ผู้เขียนได้มีโอกาสรับการสนับสนุนจาก องค์การเพิ่มผลผลิตแห่งเอเชีย หรือ Asian Productivity Organization (APO) ในการเข้าร่วมโครงการ Training Course on the Information Security Management System: ISO 27000 Series ซึ่งมีจุดมุ่งหมายเพื่อให้การฝึกอบรมเชิงลึกเกี่ยวกับการประยุกต์ใช้ระบบการจัดการตามระบบคุณภาพ ISO 27000 อันเป็นมาตรฐานของระบบคุณภาพที่ใช้ในการบริหารความมั่นคงปลอดภัยสำหรับสารสนเทศ หรือ Information Security Management (ISM) และเตรียมความพร้อมให้ผู้ร่วมโครงการที่มาจากประเทศสมาชิกต่างๆดังกล่าวสามารถเป็นผู้นำการประเมินและการปฏิบัติงานตามมาตรฐาน ISO 27000 ได้อย่างมีประสิทธิภาพ ทำให้ผู้เขียนมีความเข้าใจถึงความสำคัญและการประยุกต์ใช้ระบบคุณภาพตามมาตรฐาน ISO 27000 ยิ่งขึ้น ด้วยเหตุนี้ผู้เขียนจึงอยากนำความรู้และประสบการณ์ที่ได้ มาแลกเปลี่ยนแบ่งปันกับผู้อ่านเพื่อให้ทุกท่านได้ตระหนักถึงการรักษาความมั่นคงปลอดภัยสำหรับสารสนเทศและสามารถนำไปประยุกต์ให้เกิดประโยชน์ต่อตนเองและองค์กรได้ต่อไป
ระบบบริหารจัดการความมั่นคงปลอดภัยสำหรับสารสนเทศ หรือ Information Security Management System (ISMS) นั้น คือ ระบบหรือกระบวนการที่ใช้ในการบริหารจัดการสารสนเทศที่มีความสำคัญขององค์กรให้มีความมั่นคงปลอดภัยตามหลัก C I A ซึ่งมีแนวทางการปฏิบัติตามขั้นตอนของกระบวนการดังนี้
เริ่มตั้งแต่ทำการวิเคราะห์และประเมินความเสี่ยงเพื่อทำให้ทราบว่าสารสนเทศใดที่มีความสำคัญต่อการดำเนินธุรกิจขององค์กร โอกาสที่จะเกิดความเสี่ยงและความเสียหายอันส่งผลกระทบต่อการดำเนินธุรกิจขององค์กรจากภัยคุกคามทั้งภายในภายนอกกับสารสนเทศนั้นมากน้อยแค่ไหน มีวิธีการบริหารจัดการในการป้องกันความเสี่ยงดังกล่าวอย่างไร โดยจำเป็นต้องจัดลำดับความสำคัญของความเสี่ยงทั้งหมดที่พบ และพิจารณาว่าสิ่งใดจำเป็นต้องรีบบริหารจัดการก่อนและหลัง จากนั้นจึงดำเนินการตามวงจร P (Plan หรือ การวางแผน) D (Do หรือ การประยุกต์ใช้หรือการดำเนินการ)C (Check หรือ การตรวจสอบ) A (Action หรือ การบำรุงรักษาหรือการปรับปรุง) โดยเริ่มจากทำการออกแบบระบบบริหารจัดการ ซึ่งในที่นี้หมายถึงกระบวนการที่เปรียบเสมือนเป็นเครื่องมือในการรักษาความมั่นคงปลอดภัย แต่ไม่ได้หมายรวมเพียงแค่การนำระบบเทคโนโลยีสารสนเทศมาสนับสนุนเท่านั้น ยังหมายรวมถึงการพัฒนาขั้นตอนปฏิบัติหรือการนำขั้นตอนปฏิบัติที่มีอยู่เดิมมาปรับปรุงเพื่อให้เกิดกระบวนการป้องกันและรักษาความมั่นคงปลอดภัยของสารสนเทศที่ใช้ในการดำเนินธุรกิจขององค์กรอย่างเหมาะสม โดยหลังจากที่ได้ระบบที่ต้องการแล้วก็ทำการดำเนินการตามระบบที่ได้วางแผนไว้ จากนั้นทำการตรวจสอบการดำเนินงานว่ามีการดำเนินงานครบถ้วนตามวัตถุประสงค์และแผนที่วางไว้หรือไม่ และยังมีจุดอ่อนอยู่ที่จุดใด อย่างไร เมื่อได้ข้อมูลครบถ้วนแล้วก็นำมาพิจารณาทำการบำรุงรักษากระบวนการเดิมที่มีประสิทธิภาพเหมาะสมเพียงพอ และทำการปรับปรุงกระบวนการที่ยังมีจุดอ่อนให้ดีขึ้น เพื่อทำให้ระบบบริหารจัดการที่ประยุกต์ใช้ในองค์กรนั้นมีคุณภาพ ทันสมัย และเหมาะสมอยู่เสมอสำหรับระบบการจัดการตามระบบคุณภาพ ISO/IEC 27000 อันเป็นมาตรฐานของระบบคุณภาพที่ใช้ในการบริหารความมั่นคงปลอดภัยสำหรับสารสนเทศ หรือ Information Security Management (ISM) นั้นประกอบด้วยมาตรฐานย่อยอื่นๆดังนี้ISO/IEC 27000 : 2008 ว่าด้วย ภาพรวมและคำศัพท์ต่างๆที่ใช้ในมาตรฐานISO/IEC 27001 : 2005 ว่าด้วย ความต้องการตามมาตรฐาน ว่าสิ่งที่จำเป็นต้องดำเนินการนั้นมีเรื่องใดบ้างISO/IEC 27002 ว่าด้วย เกณฑ์มาตรฐานในการปฏิบัติ ว่าควรปฏิบัติอย่างไรเพื่อให้เป็นไปตามความต้องการของมาตรฐาน สิ่งใดที่จำเป็นต้องมี และต้องมีในระดับไหนISO/IEC 27003 : 2009 ว่าด้วย แนวทางการดำเนินงานตามมาตรฐานISO/IEC 27004 ว่าด้วย การวัดประเมินตามมาตรฐานISO/IEC 27005 : 2008 ว่าด้วย การบริหารความเสี่ยงตามมาตรฐานISO/IEC 27006 : 2008 ว่าด้วย แนวทางการปฏิบัติเพื่อให้ได้รับการรับรองตามมาตรฐานISO/IEC 27007 ว่าด้วย แนวทางการตรวจประเมินตามมาตรฐานของผู้ตรวจประเมิน
แต่โดยทั่วไปหากพูดถึงมาตรฐานการบริหารความมั่นคงปลอดภัยสำหรับสารสนเทศ เราก็จะไปให้ความสนใจกับความต้องการตามมาตรฐาน แล้วเรียกรวมๆว่า ISO 27001 นั่นเอง ซึ่งสิ่งที่ขาดไม่ได้เมื่อต้องการจะประยุกต์ใช้ระบบคุณภาพตามมาตรฐาน ISO 27000 ในองค์กร ก็คือองค์กรต้องมีการดำเนินการดังต่อไปนี้
ไม่มีความคิดเห็น:
แสดงความคิดเห็น