ISO/IEC 27001:2005 and 27002:2005
Information Security Management Standard
บทนำ
โลกในปัจจุบันนี้ เป็นยุคของข่าวสารข้อมูล โดยเป็นการใช้ข้อมูล เพื่อทำประโยชน์ด้านต่างๆ เช่น การใช้ในด้านการทำธุรกิจ หรือ ในด้านความบันเทิง ซึ่งสามารถกล่าวได้ว่า ข้อมูลต่างๆ เป็นสิ่งที่ขาดไม่ได้ในชีวิตประจำวัน ตั้งแต่เช้า มีการอ่านหนังสือพิมพ์เพื่อรับรู้ข่าวสารต่างๆ พอถึงที่ทำงาน ก็มีการดูข้อมูลที่เกี่ยวกับงานที่รับผิดชอบ เช่น แบบงานจากลูกค้า ข้อมูลการเงิน ข้อมูลพนักงาน ข้อมูลบริษัท เป็นต้น และ ในปัจจุบันนี้ มีการแข่งขันในด้านธุรกิจสูงมาก องค์กรต่างๆ มีการปรับตัว และมีการนำระบบ คอมพิวเตอร์ มาใช้ในการจัดการ เรื่องของข้อมูลอย่างแพร่หลาย ข้อมูลต่างๆ มีการจัดทำขึ้นมากมาย เพื่อใช้ในการในการดำเนินธุรกิจ แม้ข้อมูลต่างๆเหล่านี้ จะมีประโยชน์ ต่อบริษัทในการดำเนิน ธุรกิจ แต่หาก มองอีกมุมหนึ่งก็เป็น ภัยร้ายแรงต่อองค์กรได้เช่นกัน หากข้อมูลต่างๆเหล่านั้น ตกไปอยู่ในมือผู้ที่ไม่ประสงค์ดี หรือผู้ที่ไม่สมควร ดังนั้นในปัจจุบันจึงมีการควบคุมข้อมูลข่าวสารต่างๆ ที่มีความสำคัญของบริษัทไว้ ไม่ว่าจะเป็น แบบสินค้า, ข้อมูลลูกค้า, ข้อมูลการเงิน, ข้อมูลพนักงาน และข้อมูลอื่นๆ ที่เกี่ยวข้อง ทั้งที่อยู่ในรูปของ สิ่งตีพิมพ์ หรือเขียนลงในกระดาษ, ข้อมูลไฟล์ที่ถูกจัดเก็บลงในระบบอิเล็กทรอนิคส์, จดหมาย, อีเมล์, การพูดในที่ประชุม, แฟกซ์, รูปถ่าย, และ ผลิตภัณฑ์ต้นแบบ เป็นต้น เพื่อปกป้องการดำเนินธุรกิจให้เป็นไปอย่างต่อเนื่อง, เสริมสร้างความเชื่อมั่นของลูกค้า และตลอดจนผู้ถือหุ้นและพนักงาน
จากกระแส พรบ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ และพรบ.ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 ประกอบกับแนวคิด "GRC" (Governance, Risk and Compliance) ที่กำลังเป็นที่นิยมอยู่ในขณะนี้ ทำให้หลายองค์กรเกิดความตื่นตัวในเรื่อง "Regulatory Compliance" หรือ "การปฏิบัติตามกฎหมายและกฎระเบียบต่างๆ" จากหน่วยงานที่เกี่ยวข้อง เช่น ธนาคารพาณิชย์ ปฏิบัติตามกฎระเบียบของธนาคารแห่งประเทศไทย และบริษัทหลักทรัพย์ ปฏิบัติตามกฎระเบียบของสำนักงานคณะกรรมการกำกับหลักทรัพย์ และ ตลาดหลักทรัพย์ (กลต.) เป็นต้น หน่วยงานที่มีหน้าที่ในการประเมิน (assess) หรือ ตรวจสอบ (audit) ยกตัวอย่าง เช่น สำนักงานตรวจเงินแผ่นดิน ธนาคารแห่งประเทศไทย ตลอดจน คณะกรรมการนโยบายรัฐวิสาหกิจ โดยบริษัทไทยเรตติ้ง แอนด์ อินฟอร์เมชั่น เซอร์วิส จำกัด ได้มีการนำแนวทาง Corporate Governance (COSO) และ IT Governance (COBIT) เข้ามาประยุกต์ใช้ในการตรวจสอบ ตลอดจนนำมาตรฐานสากล (International Standard) เช่น มาตรฐานด้านการบริหารจัดการความมั่นคงปลอดภัยข้อมูล (Information Security Management System) ได้แก่ มาตรฐาน ISO/IEC 27001 มาเป็นแนวทางในการตรวจสอบ ซึ่งในปัจจุบัน คณะอนุกรรมการด้านความมั่นคงปลอดภัยในการประกอบธุรกรรมทางอิเล็กทรอนิกส์ ได้ออกมาตรฐานการรักษาความมั่นคงปลอดภัยในการประกอบธุรกรรมทาง อิเล็กทรอนิกส์ (เวอร์ชั่น 2.5) ประจำปี 2550 โดยอ้างอิงจากมาตรฐาน ISO/IEC 27001:2005 และ ISO/IEC 17799:2005 (ปัจจุบันเปลี่ยนเป็น ISO/IEC 27002 แต่เนื้อหายังคงเหมือนเดิม) เพื่อให้สอดคล้องกับมาตรฐานสากล
จะเห็นว่าที่มาของประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ มีรากฐานมาจากมาตรฐาน ISO/IEC 27001 ดังนั้น องค์กรควรมีการปรับตัวโดยการศึกษามาตรฐาน ISO/IEC 27001 ต้นฉบับอย่างลึกซึ้ง และทำความเข้าในในวัตถุประสงค์ของตัวมาตรฐานให้ชัดเจน เพื่อที่จะได้นำมาตรฐานมาใช้ให้เกิดประสิทธิภาพและประสิทธิผลในองค์กร
ความจำเป็นของการรักษาความมั่นคงปลอดภัยด้านไอซีที (ICT Security issues and Trends) มีดังนี้
1. การพิสูจน์ตัวตน (Authentication) เพื่อให้มั่นใจว่าทั้งผู้รับและผู้ส่งเป็นตัวจริง
2. การเข้ารหัสลับ (Cryptography) เพื่อปกป้องการรักษาความลับของข้อมูล (Confidential) ไม่ให้ถูกเปิดเผยออกไป
3. การให้สิทธิ (Authorization) เพื่อที่จะรับประกันว่าผู้ใช้ทุกฝ่ายมีสิทธิทำธุรกรรมได้
4. การตรวจสอบความถูกต้อง (Integrity) เพื่อที่จะรับประกันได้ว่า การทำธุรกรรมไม่ได้ถูกเปลี่ยนแปลง หรือทำให้เสียหาย
5. การไม่ปฏิเสธความรับผิดชอบ (Non-repudiation) เพื่อที่จะจัดให้มีหลักฐานรับรองการทำธุรกรรมแก่ผู้ใช้บริการ ทั้งสองฝ่าย
การรักษาความมั่นคงปลอดภัยด้านไอซีที หมายถึงการบริการจัดการใน 3 ส่วน ได้แก่
1. Confidentiality: ให้เกิดความมั่นใจว่า บุคคลที่มีสิทธิ์ที่ถูกต้องสามารถเข้าถึงสารสนเทศได้เท่านั้น (Clause 3.3 of ISO/IEC 27001)
2. Integrity: การป้องกันสารสนเทศ และมั่นใจว่าวิธีในการประมวลผลสารสนเทศมีความสม่ำเสมอและครบถ้วนสมบูรณ์ (Clause 3.8 of ISO/IEC 27001)
3. Availability: มั่นใจได้ว่า ผู้ใช้ที่มีสิทธิ์ สามารถเข้าถึงสารสนเทศและทรัพย์สินที่เกี่ยวข้องกับสารสนเทศเมื่อต้องการได้ (Clause 3.2 of ISO/IEC 27001)
ชนิดของ Information Assets
1. สารสนเทศ (information): ข้อมูลพนักงาน ข้อมูลลูกค้าที่ให้บริการ
2. Software assets:
3. Physical assets: อุปกรณ์คอมพิวเตอร์ เครื่องพิมพ์ เทป หน่วยเก็บข้อมูล เครื่องโทรศัพท์ สายสื่อสาร อุปกรณ์เครือข่าย
4. Services:
5. People (knowledge): องค์ความรู้ ของบุคคล ที่จำเป็นในการปฏิบัติงาน
ความเป็นมาของ ISO/IEC
ISO มาจากคำว่า International Standardization and Organization มีชื่อว่าองค์การมาตรฐานสากล หรือองค์การระหว่างประเทศว่าด้วยการมาตรฐาน ก่อตั้งเมื่อปีค.ศ.1946 หรือ พ.ศ.2489 มีสำนักงานอยู่ที่กรุงเจนีวา ประเทศสวิตเซอร์แลนด์
IEC มาจากคำว่า International Electrotechnical Commission มีชื่อว่า คณะกรรมาธิการระหว่างประเทศว่าด้วยมาตรฐานสาขาอิเล็กทรอเทคนิกส์ เป็นองค์กรอิสระที่เริ่มก่อตั้งขึ้นเมื่อ พ.ศ.2449 โดยมีวัตถุประสงค์เพื่อจัดทำมาตรฐานระหว่างประเทศทางด้านไฟฟ้า อิเล็กทรอนิกส์และกิจกรรมที่เกี่ยวข้อง นอกจากนั้นยังดำเนินการจัดทำระบบการตรวจประเมินเพื่อการรับรองคุณภาพให้กับมาตรฐานของ IEC การเป็นสมาชิก IEC จะต้องมีการจัดตั้งคณะกรรมการแห่งชาติของประเทศ แต่ละประเทศจะมีคณะกรรมการแห่งชาติได้เพียงคณะเดียว
IECแบ่งประเภทสมาชิกออกเป็น 2 ประเภท คือ
1. Full member มีสิทธิเข้าร่วมกิจกรรมต่าง ๆ อย่างเต็มที่ และสามารถเข้าร่วมกำหนดมาตรฐาน
2. Associate member มีสิทธิได้รับข้อมูลข่าวสารความเคลื่อนไหวของ IEC โดยมีสิทธิจำกัดในการร่วมกิจกรรม
สำหรับประเทศที่ยังไม่มีการจัดตั้งคณะกรรมการแห่งชาติ อาจสมัครเป็นสมาชิกประเภท Pre-Associate member ซึ่งจะได้รับความช่วยเหลือในการจัดตั้งคณะกรรมการแห่งชาติ เพื่อให้สามารถเลื่อนเป็น Associate member ได้ต่อไป งานด้านการกำหนดมาตรฐานของ IEC มีคณะกรรมการวิชาการและคณะอนุกรรมการวิชาการเป็นผู้รับผิดชอบร่างมาตรฐานที่คณะกรรมการฯ ดังกล่าวจัดทำขึ้นจะถูกเวียนไปให้ประเทศสมาชิกพิจารณาก่อนจัดทำเป็นมาตรฐานระหว่างประเทศสมาชิกประเภท Full member สามารถเข้าร่วมทำงานในคณะกรรมการวิชาการและคณะอนุกรรมการวิชาการได้ใน 2 ลักษณะ คือ
1. ประเภทร่วมทำงาน (Participating member หรือ P-member) มีสิทธิออกเสียงในเอกสารที่คณะกรรมการวิชาการและคณะอนุกรรมการวิชาการเสนอ รวมทั้งเข้าร่วมประชุมในคณะกรรมการฯ ที่ตนเป็นสมาชิก
2. ประเภทสังเกตการณ์ (Observer member หรือ O-member) มีสิทธิรับทราบความคืบหน้าการทำงานของคณะกรรมการฯ ที่ตนเป็นสมาชิก รวมทั้งเสนอข้อคิดเห็นและเข้าร่วมการประชุมในฐานะผู้สังเกตการณ์
ประเทศไทยกับ IEC ประเทศไทยโดยสำนักงานมาตรฐานผลิตภัณฑ์อุตสาหกรรม (สมอ.) สมัครเป็นสมาชิกของ IEC ประเภท Full Member ตั้งแต่ พ.ศ. 2534 โดยมีคณะกรรมการแห่งชาติว่าด้วยมาตรฐานระหว่างประเทศสาขาอิเล็กทรอนิกส์ ซึ่งแต่งตั้งโดยมติคณะรัฐมนตรีเป็นคณะกรรมการกำหนดนโยบายการเข้าร่วมกิจกรรมกับ IEC ในการเข้าร่วมกำหนดมาตรฐาน IEC ประเทศไทยได้สมัครเป็น P-member ในคณะกรรมการวิชาการและคณะอนุกรรมการวิชาการต่างๆ รวม 34 คณะ และเป็น O-member รวม 52 คณะ
ISO27000 Family
1. ISO 27000
- มีวัตถุประสงค์เพื่อแสดงศัพท์และนิยาม (Vocabulary and Definitions) ที่ใช้ในมาตรฐาน คือ ศัพท์บัญญัติ (Terminology) ทั้งหลายที่ใช้ในมาตรฐานการจัดการด้านความมั่นคงปลอดภัยสารสนเทศ (Information Security Management Standards- ISMS)
2. ISO 27001
- กำหนดมาตรฐานที่จำเป็นของ ISMS ได้แก่ คุณลักษณะเฉพาะ (Specification) ซึ่งองค์กรทั้งหลายจะต้องขอรับใบรับรอง (Certificate) จากหน่วยงานภายนอกว่าได้มีการปฏิบัติตามข้อกำหนด (Compliance) เหล่านี้แล้วอย่างเป็นทางการ
3. ISO 27002
- ISO 27002 จะเป็นชื่อเรียกใหม่ของ ISO 17799 ซึ่งเดิมเรียกว่า "BS 7799 Part 1" เป็นมาตรฐานแสดง หลักปฏิบัติสำหรับ ISM (Code of practice for Information Security Management) ที่อธิบายวัตถุประสงค์ของระเบียบวิธีการควบคุมด้าน IS ทั้งหลายอย่างละเอียด และแสดงรายการวิธีปฏิบัติที่ดีที่สุด ของการควบคุมความมั่นคงปลอดภัย (Best-practice security controls)
4. ISO 27003
- ISO 27003 จะเป็นแนวทางประยุกต์ใช้มาตรฐาน (Implementation guide)
5. ISO 27004
- ISO 27004 จะเป็นมาตรฐานการวัด ISM เพื่อที่จะช่วยวัดประสิทธิภาพหรือประเมินผลที่เกิดจากการนำ ISMS ไปใช้
6. ISO 27005
- ISO 27005 เป็นมาตรฐาน "การบริหารจัดการความเสี่ยงด้าน IS (Information Security Risk Management)" ซึ่งจะมาแทนที่มาตรฐานเดิม ได้แก่ "BS 7799 Part 3"
7. ISO 27006
- ISO 27006 จะเป็นแนวทางปฏิบัติสำหรับกระบวนการ ออกใบรับรอง (Certification process) หรือการลงทะเบียน (Registration process) .ให้กับหน่วยงานที่เกี่ยวข้อง (ISMS certification/registration bodies)
แต่ระบบที่เป็นที่นิยม ใช้กันแพร่หลาย ครอบคลุมข้อมูลทุกประเภท และ มีความเชื่อถือระดับสากล คือ ISO/IEC 27001 และ ISO 17799 ซึ่งทั้งสองระบบนี้ ควรจะใช้ร่วมกัน โดย ISO/IEC 27001 จะเป็นกรอบของระบบการบริหารจัดการข้อมูล และ ISO 17799 จะเป็นกรอบด้านเทคนิคของการควบคุมข้อมูล
ISO/IEC 27001:2005 (ISMS Requirements for Information Security Management)
เป็นมาตรฐานการจัดการข้อมูลที่มีความสำคัญเพื่อให้ธุรกิจดำเนินไปอย่างต่อเนื่อง ซึ่งข้อกำหนดต่างๆกำหนดขึ้นโดยองค์กรที่มีชื่อเสียงและมีความน่าเชื่อถือ ระหว่างประเทศ คือ ISO (The International Organization for Standardization) และ IEC (The International Electrotechnical Commission) การประยุกต์ใช้ ISMS จะช่วยให้กิจกรรมทางธุรกิจต่อเนื่องไม่สะดุด, ช่วยป้องกันกระวนการทางธุรกิจจากภัยร้ายแรงต่างๆเช่น แผ่นดินไหว, วาตภัย, อุทกภัย ฯลฯ และ ความเสียหายของระบบข้อมูล โดยครอบคลุมทุกกลุ่มอุตสาหกรรมและทุกกลุ่มธุรกิจ หลักการของการออกแบบโครงสร้างระบบ ISO/IEC 27001:2005 จะใช้อ้างอิง รูปแบบ PDCA Model (Plan Do Check Action) ซึ่งเป็นโครงสร้างเดียวกับ ระบบการบริหารที่เป็นสากลที่ใช้กันทั่วโลก เช่น ระบบการจัดการคุณภาพ (ISO 9001:2000), ระบบการจัดการสิ่งแวดล้อม (ISO14001:2004), ระบบการจัดการคุณภาพสำหรับอุตสาหกรรมรถยนต์ (ISO/TS 16949), ระบบการจัดการจัดการคุณภาพสำหรับอุตสาหกรรมอาหาร (ISO 21001) ฯลฯ ซึ่งองค์ที่มีการประยุกต์ระบบการจัดการต่างๆนี้แล้ว จะสามารถต่อยอดระบบ ISO/IEC 27001:2005 ได้เร็วและง่ายขึ้น
ISO/IEC 27001:2005 เป็นระบบการจัดการความปลอดภัยของข้อมูล โดย
- เป็น International Standard ของ Information Security Management (ISM)
- กำหนดคุณลักษณะเฉพาะของการบริหารจัดการความมั่นคงฯ ด้านสารสนเทศ
- กำหนดหลักปฏิบัติของ ISM (Code of Practice for Information Security Management)
- เป็นหลักสำหรับ การออกใบรับรอง (Certification) โดยองค์กรภายนอก
- สามารถใช้เพื่อการประเมินและการออกใบรับรอง โดย Certification Bodies
- นำไปประยุกต์ใช้ได้กับหน่วยงานทุกประเภทและหลายขนาด
- มุ่งที่จะหวังผลในเชิงป้องกัน
1. ระบบบริหารจัดการความปลอดภัยสำหรับสารสนเทศ สรุปรายละเอียดที่สำคัญได้ดังต่อไปนี้
- ข้อกำหนดทั่วไป
องค์กรจะต้องกำหนด ลงมือปฏิบัติ ดำเนินการ เฝ้าระวัง ทบทวน บำรุง รักษาและปรับปรุงระบบบริหารจัดการความมั่นคงปลอดภัยตามที่ได้กำหนดไว้เป็น ลายลักษณ์อักษร ภายในกรอบกิจกรรมการดำเนินการทางธุรกิจต่างๆ รวมทั้งความเสี่ยงที่เกี่ยวข้อง แนวทางที่ใช้ในมาตรฐานฉบับนี้จะใช้กระบวนการ Plan-Do-Check-Act หรือ P-D-C-A มาประยุกต์ใช้
กำหนดและบริหารจัดการ ระบบบริหารจัดการความมั่นคงปลอดภัย ดังต่อไปนี้
- กำหนด ระบบบริหารจัดการความมั่นคงปลอดภัย (Plan) โดยองค์กรควรกำหนดขอบเขตของระบบบริหารจัดการความมั่นคงปลอดภัยและกำหนด นโยบายความมั่นคงปลอดภัย โดยพิจารณาถึงลักษณะของธุรกิจ องค์กร สถานที่ตั้ง ทรัพย์สิน และเทคโนโลยี นอกจากนี้ ยังต้องกำหนดวิธีการประเมินความเสี่ยงที่เป็นรูปธรรมขององค์กร ระบบความเสี่ยง วิเคราะห์และประเมินความเสี่ยง ระบุและประเมินทางเลือกในการจัดการกับความเสี่ยงการดำเนินการที่เป็นไปได้ เลือกวัตถุประสงค์และมาตรการทางด้านความปลอดภัยเพื่อจัดการกับความเสี่ยง ขออนุมัติและความเห็นชอบสำหรับความเสี่ยงที่ยังหลงเหลืออยู่ในระบบบริหาร จัดการความมั่นคงปลอดภัย ขอการอนุมัติเพื่อลงมือปฏิบัติและดำเนินการ และสุดท้ายคือ จัดทำเอกสาร SoA (Statement of Applicability) แสดงการใช้งานมาตรฐานตามที่แสดงไวในส่วนของมาตรฐานการรักษาความมั่นคง ปลอดภัยในการประกอบธุรกรรมทางด้านอิเล็กทรอนิกส์
- ลงมือปฏิบัติและ ดำเนินการระบบบริหารจัดการความมั่นคงปลอดภัย (Do) โดยองค์กรควรจัดทำแผนการจัดการความเสี่ยง ลงมือปฏิบัติตามแผนการจัดการความเสี่ยงและตามมาตรฐานที่เลือกไว้ กำหนดวิธีการในการวัดความสัมฤทธิ์ผลของมาตรการที่เลือกมาใช้งาน จัดทำและลงมือปฏิบัติตามแผนการอบรมและสร้างความตระหนัก บริหารจัดการดำเนินงานและบริหารทรัพยากรสำหรับระบบบริหารจัดการความมั่นคง ปลอดภัย รวมถึงจัดทำและลงมือปฏิบัติตามขั้นตอนปฏิบัติและมาตรการอื่นๆ ซึ่งช่วยในการตรวจจับและรับมือกับเหตุการณ์ทางด้านความมั่นคงปลอดภัย
- เฝ้าระวังและทบทวนระบบบริหารจัดการความมั่นคงปลอดภัย (Check) โดยองค์กรควรลงมือปฏิบัติตามขั้นตอนปฏิบัติและมาตรการอื่นๆ สำหรับการเฝ้าระวังและทบทวน ดำเนินการทบทวนความสัมฤทธิ์ผลของระบบบริหารจัดการความมั่นคงปลอดภัยอย่าง สม่ำเสมอ วัดความสัมฤทธิ์ผลของมาตรการทางด้านความมั่นคงปลอดภัย ทบทวนผลการประเมินความเสี่ยงตามรอบระยะเวลาที่กำหนดไว้กับระดับความเสี่ยง ที่เหลืออยู่และระดับความเสี่ยงที่ยอมรับได้ ดำเนินการตรวจสอบและทบทวนระบบบริหารจัดการความมั่นคงปลอดภัย ปรับปรุงแผนทางด้านความปลอดภัยโดยนำผลของการเฝ้าระวังและทบทวนกิจกรรมต่างๆ มาพิจารณาร่วมด้วย และบันทึกการดำเนินการซึ่งอาจมีผลกระทบต่อความสัมฤทธิ์ผลหรือประสิทธิภาพของ ระบบบริหารจัดการความมั่นคงปลอดภัย
- บำรุงรักษาและปรับปรุงระบบ บริหารจัดการด้านความมั่นคงปลอดภัย (Act) โดยองค์กรควรปรับปรุงระบบบริหารจัดการความมั่นคงปลอดภัยตามที่ระบุไว้ รวมถึงการใช้มาตรการเชิงแก้ไข ป้องกัน และใช้บทเรียนจากประสบการณ์ทางด้านความมั่นคงปลอดภัยขององค์กรเองและองค์กร อื่น แจ้งการปรับปรุงและดำเนินการให้แก่ทุกหน่วยงานที่เกี่ยวข้อง และตรวจสอบว่าการปรับปรุงที่ทำไปแล้วนั้นบรรลุตามวัตถุประสงค์ที่กำหนดไว้ หรือไม่
ข้อกำหนดทางด้านการจัดทำเอกสาร
- ความต้อง การทั่วไป เอกสารที่จำเป็นต้องจัดทำจะรวมถึงบันทึกแสดงการตัดสินใจของผู้บริหาร ได้แก่ นโยบายความมั่นคงปลอดภัย ขอบเขตของระบบบริหารจัดการความมั่นคงปลอดภัย วิธีการประเมินความเสี่ยง เป็นต้น
- การบริหารจัดการเอกสาร ซึ่งเอกสารตามข้อกำหนดของระบบบริหารจัดการความมั่นคงปลอดภัยจะต้องได้รับการ ป้องกันและควบคุม ขั้นตอนการปฏิบัติที่เกี่ยวข้องกับการจัดการเอกสาร ได้แก่ อนุมัติการใช้งานเอกสารก่อนที่จะเผยแพร่ ทบทวน ปรับปรุงและอนุมัติเอกสารตามความจำเป็น ระบุการเปลี่ยนแปลงและสถานะภาพของเอกสารปัจจุบัน เป็นต้น
- การบริหารจัดการบันทึกข้อมูลหรือฟอร์มต่างๆ องค์กรจะต้องมีการกำหนด จัดทำและบำรุงรักษาบันทึกข้อมูลหรือฟอร์มต่างๆ เพื่อใช้เป็นหลักฐานแสดงความสอดคล้องกับข้อกำหนดและการดำเนินการที่มี ประสิทธิภาพของระบบบริหารจัดการความมั่นคงปลอดภัย
2. หน้าที่ความรับผิดชอบของผู้บริหาร
- การ ให้ความสำคัญในการบริหารจัดการ โดยผู้บริหารจะต้องแสดงถึงการให้ความสำคัญต่อการกำหนดการลงมือปฏิบัติการ ดำเนินการ เฝ้าระวัง การทบทวน การบำรุงรักษาและการปรับปรุงระบบบริหารจัดการความมั่นคงปลอดภัย
- การบริหารจัดการทรัพยากรที่จำเป็นและการอบรม การสร้างความตระหนักและการเพิ่มขีดความสามารถเพื่อให้บุคลากรทั้งหมดที่ได้ รับมอบหมายหน้าที่สามารถปฏิบัติงานได้ตามที่กำหนดไว้ในนโยบายความมั่นคง ปลอดภัย
3. การตรวจสอบภายในระบบบริหารจัดการความมั่นคงปลอดภัย
องค์กร ควรดำเนินการตรวจสอบภายในตามรอบระยะเวลาที่กำหนดไว้เพื่อตรวจสอบว่า วัตถุประสงค์ มาตรการ กระบวนการ และขั้นตอนปฏิบัติของระบบบริหารจัดการความมั่นคงปลอดภัยมีความสอดคล้องกับ ข้อกำหนดในมาตรฐานฉบับนี้และกฎหมาย ระเบียบ ข้อบังคับต่างๆ รวมถึงสอดคล้องกับข้อกำหนดด้านความมั่นคงปลอดภัย และได้รับการลงมือปฏิบัติและบำรุงรักษาอย่างสัมฤทธิ์ผลและเป็นไปตามที่คาด หมายไว้ นอกจากนี้ องค์กรจะต้องวางแผนตรวจสอบภายในโดยพิจารณาถึงสถานภาพและความสำคัญของกระบวน การและส่วนต่างๆ ที่จะได้รับการตรวจสอบและผลการตรวจสอบในครั้งที่ผ่านมา รวมถึงองค์กรจะต้องระบุหน้าที่ความรับผิดชอบและข้อกำหนดต่างๆ ในการวางแผนและดำเนินการตรวจสอบ จัดทำรายงานผลการตรวจสอบและบันทึกข้อมูลของการตรวจสอบนั้น
4. การทบทวนระบบบริหารจัดการความมั่นคงปลอดภัยโดยผู้บริหาร
ผู้บริหารจะต้องทบทวนระบบบริหารจัดการความมั่นคงปลอดภัยตามรอบระยะเวลาที่กำหนดไว้ (เช่นปีละ 1 ครั้ง) เพื่อให้มีการดำเนินการที่เหมาะสม พอเพียงและสัมฤทธิ์ผล การทบทวนจะต้องรวมถึงการปรับปรุงหรือเปลี่ยนแปลงระบบบริหารจัดการความมั่นคง ปลอดภัย ซึ่งหมายรวมถึงนโยบายความมั่นคงปลอดภัยและวัตถุประสงค์ทางด้านความปลอดภัย ผลของการทบทวนจะต้องได้รับการบันทึกไว้อย่างเป็นลายลักษณ์อักษรและบันทึกข้อมูลที่เกี่ยวข้องกับการทบทวนจะต้องได้รับการบำรุงรักษาไว้
โดย ระบบ ISO/IEC 27001:2005 มีการแนะนำให้ประยุกต์ ข้อกำหนดของ ISO/IEC 17799:2005 มาใช้ในการควบคุมและจัดการเกี่ยวกับความเสี่ยงที่เกิดขึ้น (ตามข้อกำหนด 4.2.1g ของ ISO/IEC 27001:2005) และ หากองค์กรจะไม่เลือกประยุกต์และ/หรือใช้บางส่วน ข้อกำหนดของ ISO/IEC17799:2005 สามารถกระทำได้ แต่ต้องมีการอธิบายสาเหตุของการไม่เลือกประยุกต์ใช้ให้ชัดเจนไว้ใน SOA (ตามข้อกำหนด 4.2.1j ของ ISO/IEC 27001:2005)
อย่างไรก็ตามมาตรฐาน ISO/IEC27001:2005 นี้ถูกออกแบบมาสำหรับการตรวจประเมิน (Certification) นั่นคือหากองค์กรใดได้จัดทำระบบตามมาตรฐานนี้ครบถ้วนตามความต้องการที่กำหนด ไว้แล้ว องค์กรดังกล่าวสามารถยื่นคำขอไปยังหน่วยงานรับตรวจประเมินระบบ (Certification Body) เพื่อให้เข้ามาดำเนินการตรวจประเมินและรับรองระบบที่จัดทำขึ้นได้ ทั้งนี้ ความต้องการที่องค์กรจำเป็นต้องดำเนินการเพื่อให้ได้รับการตรวจประเมินจะ ถูกระบุอยู่ใน Clause 4, 5, 6, 7 และ 8 ของมาตรฐานดังกล่าว แต่อย่างไรก็ตาม ความซับซ้อนของระบบบริหารความมั่นคงปลอดภัยของสารสนเทศที่แต่ละองค์กรพัฒนา ขึ้นจะมีความแตกต่างกันไป ขึ้นอยู่กับ ขนาด โครงสร้าง วัตถุประสงค์ ความต้องการเกี่ยวกับความมั่นคงปลอดภัย รวมไปถึงกระบวนการทางธุรกิจ (Business Processes) ขององค์กร
โดยสรุปแล้วระบบการจัดการความปลอดภัยข้อมูล ISO/IEC 27001:2005 หรือ ISMS เป็นระบบ dynamic system ที่มีการประยุกต์หลักการ PDCA Cycle ที่สามารถประยุกต์ใช้ได้กับทุกธุรกิจ เพื่อให้ระบบข้อมูลขององค์กร มี Confidentiality ให้แน่ใจว่าข้อมูลต่างๆ สามารถเข้าถึงได้เฉพาะ ผู้ที่มีสิทธิที่จะเข้าเท่านั้น มี Integrity ป้องกัน ให้ ข้อมูลมีความถูกต้อง และความสมบูรณ์ และ Availability แน่ใจว่า ผู้ที่มีสิทธิในการเข้าถึงข้อมูล สามารถเข้าถึงได้เมื่อมีความต้องการ โดยระบบการจัดการ ISMS นั้น จะเป็นระบบการจัดการภายใต้ความสี่ยงที่ยอมรับได้ ไม่ใช่ให้ระบบไม่มีความเสี่ยงเลยหรือไม่เกิดปัญหาเลย ทำให้เกิดประสิทธิภาพในการใช้ ทรัพยากรในการลงทุนสำหรับการจัดการความปลอดภัยของข้อมูลอย่างมีประสิทธิภาพ โดยส่วนใหญ่จะมีการใช้ร่วมกับ ระบบ ISO/IEC 17799:2005 เพื่อให้เกิดประสิทธิภาพในการดำเนินงาน ในปัจจุบันคณะอนุกรรมการด้านความมั่นคงปลอดภัยในการประกอบธุรกรรมทางอิเล็กทรอนิกส์ ได้ออกมาตรฐานการรักษาความมั่นคงปลอดภัยในการประกอบธุรกรรมทาง อิเล็กทรอนิกส์ (เวอร์ชั่น 2.5) ประจำปี 2550 โดยอ้างอิงจากมาตรฐาน ISO/IEC 27001:2005 และ ISO/IEC 17799:2005 (ปัจจุบันเปลี่ยนเป็น ISO/IEC 27002 แต่เนื้อหายังคงเหมือนเดิม) เพื่อให้สอดคล้องกับมาตรฐานสากล คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์จะดำเนินการผลักดันให้มาตรฐานนี้กลาย เป็นมาตรฐานของประเทศไทยที่ได้รับการรับรองโดยสำนักงานมาตรฐานผลิตภัณฑ์อุตสาหกรรม (สมอ.) และ มาตรฐานการรักษาความมั่นคงปลอดภัยในการประกอบธุรกรรมทางอิเล็กทรอนิกส์
มาตรฐาน ISO/IEC 27002:2005 (Code of Practice for Information Security Management)
มาตรฐาน ISO/IEC 27002:2005 คือมาตรฐานสำหรับการจัดการความปลอดภัยของข้อมูล (Information Security Management) ที่ประกอบด้วยกระบวนการ (Procedure) มาตรการ (Measure) และ ข้อเสนอแนะของมาตรการ (Recommendation of Measure) มาตรฐานนี้อธิบายวัตถุประสงค์ของระเบียบวิธีการควบคุมด้าน IS ทั้งหลายอย่างละเอียด และแสดงรายการวิธีปฏิบัติที่ดีที่สุดของการควบคุมความมั่นคงปลอดภัย (Best-Practice Security Controls)
มาตรฐาน ISO/IEC 27002:2005 มีชื่อเดิมว่า ISO/IEC 17799:2005 ซึ่งมาตรฐาน ISO/IEC 17799 ได้ถูกพัฒนามาจากมาตรฐาน BS7799 ต่อมาได้รับการปรับปรุงแก้ไขมาเป็นมาตรฐาน ISO/IEC 17799:2000 Information Technology - Code of Practice for Information Security Management ที่ประกาศใช้ในวันที่ 1 ธันวาคม พ.ศ. 2543 และมาตรฐาน ISO/IEC 17799:2005 Information Technology – Security Technique – Code of Practice for Information Security Management ประกาศใช้อย่างเป็นทางการในวันที่ 15 มิถุนายน พ.ศ.2548 เป็นฉบับปรับปรุงแก้ไข เพิ่มเติมจาก ปี พ.ศ.2543 และต่อมาในเดือนพฤษภาคม พ.ศ.2550 ได้รับการตั้งชื่อใหม่เป็น ISO/IEC 27002 : 2005
มาตรฐาน ISO/IEC 27002:2005 เป็นมาตรฐานสากลที่มุ่งเน้นด้านการรักษาความมั่นคงปลอดภัยให้กับระบบสารสนเทศขององค์กร และใช้เป็นมาตรฐานอ้างอิงเพื่อเป็นแนวทางในการเสริมสร้างความมั่นคงปลอดภัย ให้กับระบบสารสนเทศขององค์กรอย่างแพร่หลาย โดยแบ่งเนื้อหาออกเป็น 11 หัวข้อใหญ่ๆ (Domain) ซึ่งแต่ละหัวข้อประกอบด้วยวัตถุประสงค์จำนวนแตกต่างกัน รวมแล้วจำนวน 39 วัตถุประสงค์ (Control Objectives) และภายใต้วัตถุประสงค์แต่ละข้อประกอบด้วยมาตรการในการรักษาความมั่นคง ปลอดภัยแตกต่างกัน รวมแล้วจำนวน 133 ข้อ (Controls) ซึ่งสามารถนำไปประยุกต์ใช้เพื่อรักษาความมั่นคงให้กับระบบสารสนเทศขององค์กร ได้
มาตรฐานนี้ว่าด้วยเรื่องของวิธีปฏิบัติที่จะนำไปสู่ระบบบริหาร การจัดการความมั่นคงปลอดภัยที่องค์กรได้จัดทำขึ้น ซึ่งจะต้องเป็นไปตามข้อกำหนดในมาตรฐาน ISO/IEC 27001 : 2005 รายละเอียดของมาตรฐานนี้จะบอกถึงวิธีปฏิบัติในการลดความเสี่ยงที่เกิดจากจุด อ่อนของระบบโดยแบ่งเป็นหัวข้อหลักที่เกี่ยวข้องกับระบบ และให้แนวทางว่าผู้จัดทำควรปฏิบัติอย่างไร ซึ่งผู้ใช้สามารถเพิ่มเติมมาตรการหรือใช้วิธีการที่ความปลอดภัยเพียงพอ หรือเหมาะสมตามที่องค์กรได้ประเมินไว้
หัวข้อสำคัญ 11 หมวดหลัก ในมาตรฐาน 27002:2005 มีดังนี้
1. นโยบายความมั่นคงปลอดภัย (Security policy) ประกอบ ด้วยนโยบายความมั่นคงปลอดภัยสำหรับสารสนเทศ ซึ่งมีวัตถุประสงค์เพื่อกำหนดทิศทางและให้การสนับสนุนการดำเนินการด้านความ มั่นคงปลอดภัยสำหรับสารสนเทศขององค์กร เพื่อให้เป็นไปตามหรือสอดคล้องกับข้อกำหนดทางธุรกิจ กฎหมายและระเบียบปฏิบัติที่เกี่ยวข้อง โดยผู้บริหารองค์กรจะต้องมีการจัดทำนโยบายที่เป็นลายลักษณ์อักษร รวมถึงการทบทวนนโยบายตามระยะเวลาที่กำหนดหรือมีการเปลี่ยนแปลงที่สำคัญขององค์กร
2. โครงสร้างด้านความมั่นคงปลอดภัยสำหรับองค์กร (Internal organization) โดยได้กล่าวถึงบทบาทของผู้บริหารองค์กรและหัวหน้างานสารสนเทศ ในด้านต่างๆ ดังต่อไปนี้
- โครงสร้างทางด้านความมั่นคงปลอดภัยภายในองค์กร เพื่อบริหารและจัดการความมั่นคงปลอดภัยสำหรับสารสนเทศขององค์กร
- โครงสร้างทางด้านความมั่นคงปลอดภัยที่เกี่ยวข้องกับลูกค้าหรือหน่วยงานภายนอก เพื่อบริหารจัดการความมั่นคงปลอดภัยสำหรับสารสนเทศและอุปกรณ์ประมวลผล สารสนเทศขององค์กรที่ถูกเข้าถึง ถูกประมวลผล หรือถูกใช้ในการติดต่อสื่อสารกับลูกค้าหรือหน่วยงานภายนอก
3. การบริหารจัดการทรัพย์สินขององค์กร (Asset management) โดยได้กล่าวถึงบทบาทของหัวหน้างานสารสนเทศและหัวหน้างานพัสดุในด้านต่างๆ ดังต่อไปนี้
- หน้าที่ความรับผิดชอบต่อทรัพย์สินขององค์กร เพื่อป้องกันทรัพย์สินขององค์กรจากความเสียหายที่อาจขึ้นได้
- การจัดหมวดหมู่สารสนเทศ เพื่อกำหนดระดับของการป้องกันสารสนเทศขององค์กรอย่างเหมาะสม
4. ความมั่นคงปลอดภัยที่เกี่ยวข้องกับบุคลากร (Human resources security) โดยได้กล่าวถึงบทบาทของผู้บริหารสารสนเทศ หัวหน้างานสารสนเทศ หัวหน้างานบุคคลและหัวหน้างานที่เกี่ยวข้องในต่างๆ ดังต่อไปนี้
- การสร้างความมั่นคงปลอดภัยก่อนการจ้างงาน เพื่อให้พนักงานและผู้เกี่ยวข้องจากหน่วยงานภายนอก เข้าใจถึงบทบาทและหน้าที่ความรับผิดชอบของตน และเพื่อลดความเสี่ยงอันเกิดจากการขโมย การฉ้อโกง และการใช้อุปกรณ์ผิดวัตถุประสงค์
- การสร้างความ มั่นคงปลอดภัยในระหว่างการจ้างงาน เพื่อให้พนักงานและผู้เกี่ยวข้องจากหน่วยงานภายนอกได้ตระหนักถึงภัยคุกคาม และปัญหาที่เกี่ยวข้องกับความมั่นคงปลอดภัย หน้าที่ความรับผิดชอบและทำความเข้าใจกับนโยบาย เพื่อลดความเสี่ยงอันเกิดจากความผิดพลาดในการปฎิบัติหน้าที่
- การสิ้นสุดและการเปลี่ยนการจ้างงาน เพื่อให้พนักงานและผู้เกี่ยวข้องจากหน่วยงานภายนอกได้ทราบถึงหน้าที่ความรับ ผิดชอบและบทบาทของตน เมื่อสิ้นสุดการจ้างงานหรือมีการเปลี่ยนการจ้างงาน
5. การสร้างความมั่นคงปลอดภัยทางกายภาพและสิ่งแวดล้อม (Physical and environmental security) โดยได้กล่าวถึงบทบาทของหัวหน้างานสารสนเทศและหัวหน้างานอาคารในด้านต่างๆ ดังต่อไปนี้
- บริเวณที่ต้องมีการรักษาความมั่นคงปลอดภัย เพื่อป้องภัยการเข้าถึงทางกายภาพโดยไม่ได้รับอนุญาต การก่อให้เกิดความเสียหาย และการก่อกวนหรือแทรกแซงต่อทรัพย์สินสารสนเทศขององค์กร
- ความมั่นคงปลอดภัยของอุปกรณ์ เพื่อป้องกันการสูญหาย การเกิดความเสียหาย การถูกขโมย หรือการถูกเปิดเผยโดยไม่ได้รับอนุญาตของทรัพย์สินขององค์กร และทำให้กิจกรรมการดำเนินงานต่างๆ ขององค์กรเกิดการติดขัดหรือหยุดชะงัก
6. การบริหารจัดการด้านการสื่อสารและการดำเนินงานของเครือข่ายสารสนเทศขององค์กร (Communications and operations management) โดย ได้กล่าวถึงบทบาทของผู้บริหารองค์กร ผู้บริหารสารสนเทศ หัวหน้างานสารสนเทศ ผู้ที่เป็นเจ้าของกระบวนการทางธุรกิจและพนักงานสารสนเทศในด้านต่างๆ ดังต่อไปนี้
- การกำหนดหน้าที่ความรับผิดชอบและขั้น ตอนการปฏิบัติงาน เพื่อให้การดำเนินงานที่เกี่ยวข้องกับอุปกรณ์ประมวลผลสารสนเทศเป็นไปอย่าง ถูกต้องและปลอดภัย
- การบริหารจัดการการให้บริการของหน่วยงานภายนอก เพื่อจัดทำและรักษาระดับความมั่นคงปลอดภัยของการปฏิบัติหน้าที่โดยหน่วยงาน ภายนอกให้เป็นไปตามข้อตกลงที่จัดทำไว้ระหว่างองค์กรกับหน่วยงานภายนอก
- การวางแผนและการตรวจรับทรัพยากรสารสนเทศ เพื่อลดความเสี่ยงจากความล้มเหลวของระบบ
- การป้องกันโปรแกรมที่ไม่ประสงค์ดี เพื่อรักษาซอฟต์แวร์และสารสนเทศให้ปลอดภัยจากการถูกทำลายโดยซอฟต์แวร์ที่ไม่ประสงค์ดี
- การสำรองข้อมูล เพื่อรักษาความถูกต้องสมบูรณ์และความพร้อมใช้ของสารสนเทศและอุปกรณ์ประมวลผลสารสนเทศ
- การบริหารจัดการทางด้านความปลอดภัยสำหรับเครือข่ายขององค์กร เพื่อป้องกันสารสนเทศบนเครือข่ายและโครงสร้างพื้นฐานที่สนับสนุนการทำงานของ เครือข่าย
- การจัดการสื่อที่ใช้ในการบันทึกข้อมูล เพื่อป้องกันการเปิดเผย การเปลี่ยนแปลงแก้ไข การลบหรือทำลายทรัพย์สินสารสนเทศโดยไม่ได้รับอนุญาต และการติดขัดหรือหยุดชะงักทางธุรกิจ
- การแลกเปลี่ยนสารสนเทศ เพื่อรักษาความมั่นคงปลอดภัยของสารสนเทศและซอฟต์แวร์ที่มีการแลกเปลี่ยนกัน ภายในองค์กร และที่มีการแลกเปลี่ยนกับหน่วยงานภายนอก
- การสร้างความมั่นคงปลอดภัยสำหรับบริการพาณิชย์อิเล็กทรอนิกส์ เพื่อสร้างความมั่นคงปลอดภัยสำหรับบริการพาณิชย์อิเล็กทรอนิกส์และในการใช้ งาน
- การเฝ้าระวังทางด้านความมั่นคงปลอดภัย เพื่อตรวจจับกิจกรรมการประมวลผลสารสนเทศที่ไม่ได้รับอนุญาต
7. การควบคุมการเข้าถึง (Access control) โดยได้กล่าวถึงบทบาทของผู้บริหารสารสนเทศ หัวหน้างานสารสนเทศ ผู้ดูแลระบบและพนักงานในด้านต่างๆ ดังต่อไปนี้
- ข้อกำหนดทางธุรกิจสำหรับการควบคุมการเข้าถึงสารสนเทศ เพื่อควบคุมการเข้าถึงสารสนเทศ
- การ บริหารจัดการการเข้าถึงของผู้ใช้ เพื่อควบคุมการเข้าถึงระบบสารสนเทศเฉพาะผู้ที่ได้รับอนุญาตแล้วและป้องกัน การเข้าถึงโดยไม่ได้รับอนุญาต
- หน้าที่ความรับผิดชอบของผู้ใช้งาน เพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต การเปิดเผยหรือการขโมยสารสนเทศและอุปกรณ์ประมวลผลสารสนเทศ
- การควบคุมการเข้าถึงเครือข่ายที่ไม่ได้รับอนุญาต
- การควบคุมการเข้าถึงระบบปฏิบัติการที่ไม่ได้รับอนุญาต
- การควบคุมการเข้าถึง Application และสารสนเทศที่ไม่ได้รับอนุญาต
- การควบคุมอุปกรณ์สื่อสารประเภทพกพาและการปฏิบัติงานจากภายนอกเพื่อสร้างความมั่นคงปลอดภัยให้กับอุปกรณ์และการปฏิบัติงานที่เกี่ยวข้อง
8. การจัดหา การพัฒนาและการบำรุงรักษาระบบสารสนเทศ (Information systems acquisition, development and maintenance) โดยได้กล่าวถึงบทบาทของหัวหน้างานสารสนเทศ ผู้พัฒนาระบบ และผู้เป็นเจ้าของระบบในด้านต่างๆ ดังต่อไปนี้
- ข้อกำหนดด้านความมั่นคงปลอดภัยสำหรับระบบสารสนเทศ เพื่อให้การจัดหาและพัฒนาระบบสารสนเทศได้พิจารณาถึงประเด็นทางด้านความมั่น คงปลอดภัยเป็นองค์ประกอบพื้นฐานที่สำคัญ
- การ ประมวลผลสารสนเทศใน Application เพื่อป้องกันความผิดพลาดในสารสนเทศ การสูญหายของสารสนเทศ การเปลี่ยนแปลงสารสนเทศโดยไม่ได้รับอนุญาต หรือการใช้งานสารสนเทศผิดวัตถุประสงค์
- มาตรการ การเข้ารหัสข้อมูล เพื่อรักษาความลับของข้อมูล ยืนยันตัวตนของผู้ส่งข้อมล หรือรักษาความถูกต้องสมบูรณ์ของข้อมูลโดยใช้วิธีการทางการเข้ารหัสข้อมูล
- การสร้างความมั่นคงปลอดภัยให้กับไฟล์ของระบบที่ให้บริการ
- การ สร้างความมั่นคงปลอดภัยสำหรับกระบวนการในการพัฒนาระบบและกระบวนการสนับสนุน เพื่อรักษาความมั่นคงปลอดภัยสำหรับซอฟต์แวร์และสารสนเทศของระบบ
- การบริหารจัดการช่องโหว่ในฮาร์ดแวร์และซอฟต์แวร์ เพื่อลดความเสี่ยงจากการโจมตีโดยอาศัยช่องโหว่ทางเทคนิคที่มีการเผยแพร่หรือ ตีพิมพ์ในสถานที่ต่างๆ
9. การบริหารจัดการเหตุการณ์ที่เกี่ยวข้องกับความมั่นคงปลอดภัยขององค์กร (Information security incident management) โดยได้กล่าวถึงบทบาทของหัวหน้างานสารสนเทศ หัวหน้างานนิติกร ผู้ดูแลระบบและพนักงานในด้านต่างๆ ดังต่อไปนี้
- การรายงานเหตุการณ์และจุดอ่อนที่เกี่ยวข้องกับความมั่นคงปลอดภัย เพื่อให้เหตุการณ์และจุดอ่อนที่เกี่ยวข้องกับความมั่นคงปลอดภัยของระบบ สารสนเทศขององค์กรได้รับการดำเนินการที่ถูกต้องในช่วงระยะเวลาที่เหมาะสม
- การ บริหารจัดการและการปรับปรุงแก้ไขต่อเหตุการณ์ที่เกี่ยวข้องกับความมั่นคง ปลอดภัย เพื่อให้มีวิธีการที่สอดคล้องและได้ผลในการบริหารจัดการเหตุการณ์ที่เกี่ยว ข้องกับความมั่นคงปลอดภัยสำหรับสารสนเทศขององค์กร
10. การบริหารความต่อเนื่องในการดำเนินงานขององค์กร (Business continuity management) โดย ได้กล่าวถึงบทบาทของผู้บริหารสารสนเทศ และหัวหน้างานสารสนเทศ ที่เกี่ยวกับหัวข้อพื้นฐานสำหรับการบริหารความต่อเนื่องในการดำเนินงานของ องค์กร เพื่อป้องกันการติดขัดหรือการหยุดชะงักของ กิจกรรมต่างๆ ทางธุรกิจเพื่อป้องกันกระบวนการทางธุรกิจที่สำคัญอันเป็นผลมาจากการล้มเหลว หรือหายนะที่มีต่อระบบสารสนเทศ และเพื่อให้สามารถกู้ระบบกลับคืนมาได้ภายในระยะเวลาที่เหมาะสม
11. การปฏิบัติตามข้อกำหนด (Compliance) โดยได้กล่าวถึงบทบาทของหัวหน้างานสารสนเทศและหัวหน้างานนิติกร ในด้านต่างๆ ดังต่อไปนี้
- การปฏิบัติตามข้อกำหนดทางกฎหมาย เพื่อหลีกเลี่ยงการละเมิดข้อกำหนดทางกฎหมาย ระเบียบปฏิบัติ ข้อกำหนดในสัญญา และข้อกำหนดทางด้านความมั่นคงปลอดภัยอื่นๆ
- การปฏิบัติตามนโยบาย มาตรฐานความปลอดภัยและข้อกำหนดทางเทคนิค เพื่อให้ระบบเป็นตามนโยบายและมาตรฐานความมั่นคงปลอดภัยตามที่องค์กรกำหนดไว้
- การตรวจประเมินระบบสารสนเทศ เพื่อตรวจประเมินระบบสารสนเทศให้ได้ประสิทธิภาพสูงสุดและมีการแทรกแซงหรือทำ ให้หยุดชะงักต่อกระบวนการทางธุรกิจน้อยที่สุด
มาตรฐาน ISO/IEC 27002:2005 เป็นมาตรฐานสากลที่ใช้กันอย่างแพร่หลาย ทุกองค์กรควรนำมาศึกษา เพื่อนำหัวข้อบางหัวข้อที่มีประโยชน์กับองค์กรมาประยุกต์ใช้ในองค์กรเพื่อ ให้เกิดความปลอดภัยที่ดีขึ้นกับระบบสารสนเทศขององค์กร และเพื่อทำให้องค์กรดำเนินธุรกิจและธุรกรรมได้โดยไม่ติดขัด อีกทั้งยังเป็น “Good Image and Reputation” เสริมภาพลักษณ์ให้แก่องค์กรในทางอ้อมอีกด้วย
7 ขั้นตอนในการนำมาตรฐาน ISO/IEC 27001 และ ISO/IEC 27002 มาประยุกต์ใช้ในองค์กร
เพื่อให้ได้ผลในทางปฏิบัติและสอดคล้องกับกฎหมายใน ปัจจุบัน และ อนาคต โดยมีแนวทางในการนำมาตรฐาน ISO/IEC 27001 มาใช้ในองค์กรนั้น ควรมีขั้นตอน 7 ขั้นตอน ดังนี้
ขั้นตอนที่ 1
จัดตั้งคณะทำงาน IT Security Steering หรือ IT Security Working Group) เฉพาะเรื่องมาตรฐาน ISO/IEC 27001 และ Regulatory Compliance เพื่อทำการศึกษาตัวมาตรฐานโดยละเอียดและหาแนวทางนำมาปรับประยุกต์ใช้ภายใน องค์กร
ขั้นตอนที่ 2
จัดฝึกอบรม ทำความเข้าใจในส่วนของข้อกำหนดทั้ง 11 Domains ของมาตรฐาน ISO/IEC 27001 ซึ่งควรใช้ระยะเวลาประมาณ 3-5 วัน โดยการฝึกอบรมอาจใช้แนวทางในการทำ Internal ISO 27001 Workshop หรือ อบรมหลักสูตรมาตรฐานของ IRCA ได้แก่ หลักสูตร ISO 27001 (ISMS) Lead Auditor (IRCA2016) ซึ่งจะทำให้ทีมงานได้เข้าใจแนวทางของการตรวจสอบโดยการนำมาตรฐาน ISO/IEC 27001 มาใช้อย่างถูกต้องเหมาะสำหรับองค์กรที่ต้องการได้รับใบรับรองจากผู้ให้ บริการออกใบรับรอง หรือ Certification Body เพื่อเป็นการเตรียมตัวในการตรวจสอบเพื่อผ่านการรับรองต่อไป
ในส่วนขององค์กรที่ผู้บริหารระดับสูงมีแนวคิดเรื่องการปรับปรุงระบบการรักษา ความมั่นคงปลอดภัยภายในองค์กรแต่ไม่จำเป็นต้องได้รับการรับรองจาก Certification Body ก็ควรศึกษามาตรฐานสากลจากตัวต้นฉบับที่เป็นภาษาอังกฤษ และ ศึกษาแนวทางในการปฏิบัติจากมาตรฐาน ISO/IEC 27002 เพื่อที่จะได้รายละเอียดในการประยุกต์ใช้เพิ่มมากยิ่งขึ้น เพราะในส่วนของมาตรฐาน ISO/IEC 27001 นั้นเน้นไปที่ Checklist หรือ Requirement ที่ทาง ISMS Auditor ใช้ในการตรวจสอบระบบ แต่ไม่ได้มีคำอธิบายแนวทางปฏิบัติ หรือ Guideline ไว้ในตัวมาตรฐาน แต่มาตรฐาน ISO/IEC 27002 นั้นจะเน้นไปที่ Code Of Practices ที่สามารถนำมาอ้างถึงเป็นแนวทางในการปฏิบัติ รวมทั้งมีการยกตัวอย่างประกอบความเข้าใจ ทำให้ผู้ที่ต้องการนำมาตรฐานมาประยุกต์ใช้เกิดความเข้าใจมากยิ่งขึ้น
ขั้นตอนที่ 3
จัดทำการประเมินระบบในภาพรวม (Holistic Approach) โดยนำเทคนิค "Gap Analysis" มาใช้ กล่าวคือ นำมาตรฐาน ISO/IEC 27001 ในส่วน Control ที่อยู่ใน Annex A. มาทำเป็นประโยคคำถามในรูปแบบของ Questionnaire มาใช้ในการสัมภาษณ์ผู้ที่เกี่ยวข้องในองค์กรในลักษณะ Workshop ที่ทุกคนสามารถเข้ามามีส่วนร่วมในการตอบคำถามและให้ความเห็น รายงานจากการทำ Gap Analysis จะทำให้ผู้บริหารระดับสูงขององค์กรได้ทราบถึงสถานะล่าสุดขององค์กร ("AS IS") และ ความแตกต่างกับข้อกำหนดในมาตรฐาน ("TO BE") ว่าระบบในองค์กรยังไม่ได้ปฏิบัติตามข้อกำหนดในมาตรฐานและมีความแตกต่างจาก "สิ่งที่ควรจะเป็น" หรือ "สิ่งที่ควรจะต้องทำ" ตามมาตรฐานอย่างไร
ขั้นตอนที่ 4
หลังจากการทำ "Gap Analysis Workshop" แล้วควรมีการจัดทำรายงานและมีการนำเสนอต่อ Board of Director เพื่อที่จะให้ผู้บริหารระดับสูงเกิดความเข้าใจในปัญหาที่เกิดขึ้น และ สร้าง "Management Buy-In" คือ การทำให้ผู้บริหารระดับสูงตัดสินใจให้การสนับสนุนในการปฏิบัติตามมาตรฐาน ISO/IEC 27001 และ ดำเนินการแก้ไขข้อบกพร่องจากการที่องค์กรยังไม่ได้ปฏิบัติตามมาตรฐานดัง กล่าวอย่างเป็นรูปธรรม (Corrective Action)
ขั้นตอนที่ 5
องค์กรควรลงรายละเอียดหลังจากการนำเสนอ Gap Analysis Report โดยการทำกระบวนการบริหารความเสี่ยง (Risk Management) ในสามมุมมอง ได้แก่ มุมมองด้านบุคลากร (People) , มุมมองด้านกระบวนการ (Process) และ มุมมองด้านเทคโนโลยี (Technology) เพื่อที่จะได้ประเมินความเสี่ยง (Risk Assessment) ของระบบ และ จัดทำแผนปฏิบัติการเพื่อลดความเสี่ยง (Risk Treatment Plan) เช่น การทำ Hardening , การจัดฝึกอบรม Security Awareness Training ในองค์กร , การจัดทำระบบ Centralized Log Management เพื่อปฏิบัติตามข้อกำหนดของมาตรฐาน ISO/IEC 27001 และ เป็นการปฏิบัติตามพรบ.การกระทำผิดเกี่ยวกับคอมพิวเตอร์อีกด้วย
ขั้นตอนที่ 6
ทำการ Implement ในภาคปฏิบัติตามแผนที่ได้กำหนดไว้จากขั้นตอนที่ 5 เช่น การทำ Vulnerability Assessment หรือ Penetration Testing, การปิดช่องโหว่ด้วยการ Hardening หรือ การติดตั้ง Patch ให้กับระบบ, การจัดทำ Policy Standard, Guideline ต่างๆ ที่จำเป็น การฝึกอบรม Security Awareness Program ให้กับทุกคนในองค์กร การจัดทำ Acceptable Use Policy (AUP) การจัดซื้อจัดจ้างฮาร์ดแวร์และซอฟต์แวร์ในส่วนของเทคโนโลยีที่จำเป็น เช่น Firewall Anti-Virus Software เป็นต้น
ขั้นตอนที่ 7
หลังจากปฏิบัติตามขั้นตอนที่ 6 แล้ว ควรมีการสอบทาน (Review) และ การเฝ้าระวัง (Monitor) เพื่อเปรียบเทียบความเปลี่ยนแปลงระหว่างก่อนการปฏิบัติตามมาตรฐาน และ หลังจากการปฏิบัติตามมาตรฐาน (Before and After) ซึ่งควรจะเห็นผลลัพธ์ในเชิงบวกเป็นรูปธรรมชัดเจน และ ควรทำการเฝ้าระวังระบบด้วยแนวคิด "Continuous Audit" เพื่อที่จะได้แน่ใจว่าระบบสามารถทำงานได้ปกติโดยไม่เกิดผลกระทบจากการค้นพบ ช่องโหว่ใหม่ๆ (New Vulnerability) และ ภัยใหม่ๆ จากแฮกเกอร์ หรือ Malicious Software ต่างๆ (New Threat) ตลอดจนสามารถปรับตัวแก้ไขปัญหาได้อย่างทันท่วงที (Agility)
ในขั้นตอนสุดท้ายนี้ การ Outsource ไปยัง Manage Security Service Provider หรือ MSSP ถือเป็นการ "Transfer Risk" ที่ผู้บริหารควรนำมาเป็นทางเลือกอีกทางหนึ่งในการลดความเสี่ยงให้แก่องค์กร โดยความรับผิดชอบในส่วนนี้ทาง MSSP จะต้องเป็นผู้รับผิดชอบ โดยกำหนดไว้ใน Services Level Agreement (SLA) ให้ชัดเจน
จาก 7 ขั้นตอนดังกล่าว องค์กรสามารถจัดทำเอกสารในรูปแบบ Statement of Applicability (SOA) เพื่อจัดเตรียมให้ทางผู้ตรวจสอบตามกระบวนการ ISMS (ISMS Auditor หรือ ISMS Lead Auditor) จากหน่วยงานที่ให้บริการออกใบรับรอง (Certification Body) เข้ามาตรวจสอบ เพื่อนำไปสู่ขั้นตอนการ "Certify" มาตรฐาน ISO/IEC 27001 ต่อไปในอนาคต ซึ่งสามารถต่อยอดจากกิจกรรมทั้ง 7 ขั้นตอนดังกล่าวได้อย่างไม่ยากนัก และยังทำให้ภาพลักษณ์ขององค์กรต่อสาธารณะชน ตลอดจนลูกค้าและคู่ค้าเกิดความมั่นใจในการรักษาความมั่นคงปลอดภัยระบบของ องค์กรที่ได้ตามมาตรฐานสากลอีกด้วย ดังนั้น ผู้บริหารระดับสูงจึงควรมีวิสัยทัศน์ในเรื่องการนำมาตรฐาน ISO/IEC 27001 มาประยุกต์ใช้ในองค์กร เพื่อเพิ่มความมั่นคงปลอดภัยแก่ระบบขององค์กร และเพื่อความยั่งยืนขององค์กรต่อไปในอนาคต
พัฒนาการที่เกี่ยวข้องกับมาตรฐานการรักษาความมั่นคงปลอดภัยระบบสารสนเทศของประเทศไทย
ปัจจุบันพัฒนาการของการนำมาตรฐานการรักษาความมั่นคงปลอดภัยมาประยุกต์ใช้กับระบบสารสนเทศในองค์กรเริ่มเป็นที่แพร่หลาย ความแพร่หลายนี้อาจเกิดจาก ประสบการณ์ในการใช้งานระบบเทคโนโลยีสารสนเทศอย่างไม่ปลอดภัย แล้วก่อให้เกิดผลเสียอันร้ายแรงตามมา หรืออาจเกิดจากนโยบายเชิงรุกของประเทศที่พัฒนาแล้วด้านเทคโนโลยีสารสนเทศได้กำหนดให้ประเทศที่เป็นคู่ค้าของตนต้องจัดทำระบบสารสนเทศที่มีความมั่นคงปลอดภัยเช่นกัน จึงจะเป็นที่ยอมรับและเชื่อมั่นในการใช้งาน
จากสาเหตุดังกล่าวนำมาซึ่งการตื่นตัวของผู้บริหารองค์กรทั้งภาครัฐและเอกชนที่จะต้องส่งเสริมให้เกิดการรักษาความมั่นคงปลอดภัยอย่างแข็งขันต่อไป โดยให้การสนับสนุนในหลายๆ ด้าน และหนึ่งในการสนับสนุนที่สำคัญคือการพัฒนามาตรฐานการรักษาความมั่นคงปลอดภัยให้องค์กรในประเทศสามารถนำไปประยุกต์ใช้งานได้อย่างง่ายดายขึ้นขณะเดียวกันก็มีความมั่นคงปลอดภัยเพิ่มขึ้นด้วย
สำหรับพัฒนาการด้านมาตรฐานการรักษาความมั่นคงปลอดภัยในส่วนของประเทศไทยนั้นสรุปเป็นภารกิจหลักๆ ได้ดังนี้
หลังจากที่ได้มีการประกาศใช้พระราชบัญญัติว่าด้วยการประกอบธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ.2544หน่วยงานที่เกี่ยวข้องได้พิจารณาแต่งตั้ง คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ขึ้น และได้มีคณะอนุกรรมการย่อยในการดำเนินงานด้านต่างๆ อีก 5 ด้าน
คณะอนุกรรมการด้านความมั่นคง เป็นหนึ่งในคณะทำงานภายใต้ คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์และในปีงบประมาณที่ผ่านมาได้จัดทำภารกิจสำคัญๆ ดังนี้
ได้จัดประชุมองค์กรที่มีภารกิจเกี่ยวพันกับการให้บริการโครงสร้างพื้นฐานของประเทศ ดังนั้นเมื่อประมาณต้นปี 2549 และจากการประชุมซึ่งได้รับการตอบรับเป็นอย่างดีจากองค์กรที่ได้รับเชิญ อาทิ การไฟฟ้านครหลวงการประปานครหลวง บริษัท ปตท. จำกัด (มหาชน) หรือ ปตท. และหน่วยงานราชการที่สำคัญๆ เป็นต้น ผลจากการประชุมทำให้เกิดกิจกรรมที่ตามมาคือ มีการจัดตั้งเป็นกลุ่มองค์กรที่ให้ความสำคัญกับเรื่องของความมั่นคงปลอดภัย เพื่อพัฒนาและยกระดับองค์กรให้มีความมั่นคงปลอดภัยขึ้น โดยอาศัยความร่วมมือและการแบ่งปันข้อมูลซึ่งกันและกัน อีกทั้งยังได้มีการตกลงกันในที่ประชุมให้มีหน่วยงานเจ้าภาพ (ปตท.) ในการจัดประชุมครั้งต่อๆ ไปด้วย
ในด้านของการที่จะยกระดับความมั่นคงปลอดภัยให้เกิดกับองค์กรต่างๆ โดยเฉพาะอย่างยิ่งองค์กรภาครัฐนั้น เป็นเรื่องที่ต้องริเริ่มจากการให้ความสำคัญของระดับผู้บริหาร ดังนั้น คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ที่ส่งเสริมด้านความมั่นคง จึงเล็งเห็นว่าประเทศไทยมีความจำเป็นที่จะต้องกำหนด กฎเกณฑ์ ระเบียบปฏิบัติ หรือกฎหมายเพื่อเป็นแนวผลักดันให้หลายๆ องค์กรที่สำคัญให้ความเอาใจใส่ต่อประเด็นนี้
สำหรับความคืบหน้าอื่นๆ คณะอนุกรรมการด้านกฎหมายซึ่งอยู่ภายใต้คณะกรรมการธุรกรรมชุดนี้ได้จัดทำร่างกฎหมาย E-document Law/Regulation, E-Payment Law/Regulation ขึ้นและกำลังอยู่ในระหว่างการขอความเห็นจากผู้ที่มีส่วนเกี่ยวข้องเพื่อกฎหมายที่ออกมาจะได้ใช้บังคับได้อย่างมีประสิทธิภาพและประสิทธิผล
และในปีงบประมาณที่ผ่านมาได้จัดทำภารกิจสำคัญๆ ดังนี้
ได้จัดประชุมองค์กรที่มีภารกิจเกี่ยวพันกับการให้บริการโครงสร้างพื้นฐานของประเทศ ดังนั้นเมื่อประมาณต้นปี 2549 และจากการประชุมซึ่งได้รับการตอบรับเป็นอย่างดีจากองค์กรที่ได้รับเชิญ อาทิ การไฟฟ้านครหลวงการประปานครหลวง บริษัท ปตท. จำกัด (มหาชน) หรือ ปตท. และหน่วยงานราชการที่สำคัญๆ เป็นต้น ผลจากการประชุมทำให้เกิดกิจกรรมที่ตามมาคือ มีการจัดตั้งเป็นกลุ่มองค์กรที่ให้ความสำคัญกับเรื่องของความมั่นคงปลอดภัย เพื่อพัฒนาและยกระดับองค์กรให้มีความมั่นคงปลอดภัยขึ้น โดยอาศัยความร่วมมือและการแบ่งปันข้อมูลซึ่งกันและกัน อีกทั้งยังได้มีการตกลงกันในที่ประชุมให้มีหน่วยงานเจ้าภาพ (ปตท.) ในการจัดประชุมครั้งต่อๆ ไปด้วย
ในด้านของการที่จะยกระดับความมั่นคงปลอดภัยให้เกิดกับองค์กรต่างๆ โดยเฉพาะอย่างยิ่งองค์กรภาครัฐนั้น เป็นเรื่องที่ต้องริเริ่มจากการให้ความสำคัญของระดับผู้บริหาร ดังนั้น คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ที่ส่งเสริมด้านความมั่นคง จึงเล็งเห็นว่าประเทศไทยมีความจำเป็นที่จะต้องกำหนด กฎเกณฑ์ ระเบียบปฏิบัติ หรือกฎหมายเพื่อเป็นแนวผลักดันให้หลายๆ องค์กรที่สำคัญให้ความเอาใจใส่ต่อประเด็นนี้
สำหรับความคืบหน้าอื่นๆ คณะอนุกรรมการด้านกฎหมายซึ่งอยู่ภายใต้คณะกรรมการธุรกรรมชุดนี้ได้จัดทำร่างกฎหมาย E-document Law/Regulation, E-Payment Law/Regulation ขึ้นและกำลังอยู่ในระหว่างการขอ
ความเห็นจากผู้ที่มีส่วนเกี่ยวข้องเพื่อกฎหมายที่ออกมาจะได้ใช้บังคับได้อย่างมีประสิทธิภาพและประสิทธิผล
สรุป
ปัจจุบันระบบเทคโนโลยีสารสนเทศและข้อมูลสารสนเทศ ได้รับการยอมรับในระดับสากลว่ามีบทบาทสำคัญในด้านการสนับสนุน พัฒนาและขับเคลื่อนองค์กรในทุกภาคส่วน ให้สามารถดำเนินงานได้อย่างมีประสิทธิภาพและประสิทธิผล สร้างศักยภาพในการบริหารจัดการ สร้างความได้เปรียบในการแข่งขัน สร้างมูลค่าในผลิตภัณฑ์และบริการรวมทั้งสร้างรายได้ให้แก่องค์กร ซึ่งสอดคล้องกับการพัฒนาเศรษฐกิจของโลกในปัจจุบันให้ความสำคัญต่อสารสนเทศและองค์ความรู้อย่างมาก ปัจจุบันเศรษฐกิจของโลกอยู่ในเศรษฐกิจแบบองค์ความรู้ (Knowledge-based Economy)
ดังนั้นสารสนเทศและระบบเทคโนโลยีสารสนเทศ จึงกลายเป็นทรัพย์สินหลักขององค์กร ซึ่งปัจจุบันแต่ละองค์กรให้ความสำคัญและมีการจัดสรรงบประมาณในการพัฒนา ปรับปรุง และบำรุงรักษาสำหรับงานด้านเทคโนโลยีสารสนเทศในอัตราที่สูงขึ้น เมื่อสารสนเทศและระบบเทคโนโลยีสารสนเทศมีความสำคัญมากขึ้นย่อมส่งผลให้การรักษาความมั่นคงปลอดภัยต้องเกิดขึ้นตามมา เพราะหากมีความเสียหายเกิดขึ้นกับระบบหรือสารสนเทศ ย่อมส่งผลกระทบที่รุนแรงต่อองค์กร ซึ่งอาจมีความเสี่ยงจากภัยคุกคามต่าง ๆ อาทิ ภัยธรรมชาติ, ไวรัสคอมพิวเตอร์, Hacker, Cyber terrorist ความผิดพลาดในขั้นตอนการปฏิบัติงาน เป็นต้น จากเหตุผลข้างต้นจะเห็นได้ว่าปัจจุบันทั้งภาคเอกชนและภาครัฐ เริ่มตระหนักถึงและให้ความความสำคัญต่อการสร้างระบบและวางมาตรการป้องกันด้านการรักษาความมั่นคงปลอดภัยสารสนเทศ ปัจจุบันประเทศไทยมีการออก พรบ.ว่าด้วยการทำธุรกรรมอิเล็กทรอนิกส์ และพรบ.ว่าด้วยการกระทำความผิดทางคอมพิวเตอร์ เพื่อเป็นมาตรการควบคุม อีกทั้งมีการจัดทำแผนแม่บท ICT Security แห่งชาติ และมีการจัดทำมาตรฐานการรักษาความมั่นคงปลอดภัยสารสนเทศ
เอกสารอ้างอิง
1. http://aplus-itm.blogspot.com/2009_03_15_archive.html#2885841678918180331
2. http://www.oknation.net/blog/weblog/2009/02/27/entry-4
3. http://www.thaicert.nectec.or.th/paper/basic/Book_2.5_FullVersion.pdf
4. http://www.tuv.com/th/_iso_27001.html
5. http://www.tisi.go.th/iso_iec/iec_t.html
6. http://tuaklomna.blogspot.com/2009/03/isoiec-27002-2005-code-of-practice-for.html
7. http://www.bloggang.com/viewdiary.php?id=siang&month=03-2009&date=13&group=4&gblog=1
8. http://itcu.ipbfree.com/index.php?act=Attach&type=post&id=1158
9. http://www.ku.ac.th/netday2008/topic/ISO27001-netdaySept2008-Banjong.pdf
10. http://www.thaicert.org/paper/basic/SecurityStandardsAndRAISS-2006.pdf
11. http://www.praxiom.com/iso-27001-intro.htm
