Showing posts with label ISMS. Show all posts
Showing posts with label ISMS. Show all posts

Tuesday, November 15, 2022

Clause 5 – Leadership (ผู้นำ)

 

ผู้นำมีบทบาทหน้าที่สำคัญมากในระบบบริหารจัดการ เชื่อได้ว่าหากผู้นำไม่สนับสนุน หรือเห็นความสำคัญไม่มีทางที่ระบบการจัดการจะมีประสิทธิภาพ มาตรฐาน ISO/IEC27001:2022 ได้กำหนดบทบาทหน้าที่ของผู้นำองค์กรไว้ 3 ข้อ คือข้อที่ 5.1-5.3

ข้อที่ 5.1 ภาวะผู้นำและความมุ่งมั่น อย่างที่ได้พูดไว้แล้วข้างต้นว่าการทำระบบไม่มีทางสำเร็จถ้าผู้นำไม่เห็นด้วยและสนับสนุน ดังนั้นข้อนี้จึงเน้นที่การแสดงออกของภาวะผู้นำที่จะต้องแสดงให้เห็นถึงความเป็นผู้นำ และความมุ่งมั่นที่จะดำเนินการ เช่น ทำให้มั่นใจว่านโยายและวัตถุประสงค์ด้านความมั่นคงปลอดภัยสารสนเทศ ได้ถูกดำเนินการ และสอดคล้องกับทิศทางขององค์กร, ทำให้มั่นใจว่าข้อกำหนดตามมาตรฐานนี้ได้ถูกนำไปประยุกต์ใช้ในกระบวนการต่าง ๆ ขององค์กร, สนับสนุนทรัพยากรที่จำเป็น เป็นต้น


ไปต่อที่ข้อ 5.2 กำหนดให้ผู้บริหารระดับสูงต้องกำหนดนโยบายความมั่นคงปลอดภัยสารสนเทศ โดยนโยบายนั้นควรต้องเหมาะสมต่อวัตถุประสงค์ขององค์กร มีการกำหนวัตถุประสงค์ด้านความมั่นคงปลอดภัยสารสนเทศ และแสดงให้เห็นถึงความมุ่งมั่นที่จะปฏิบัติตามข้อกำหนดที่เกี่ยวข้องกับความมั่นคงปลอดภัยสารสนเทศ ตลอดจนความมุ่งมั่นที่จะพัฒนาระบบการจัดการอย่างต่อเนื่อง ในข้อกำหนดนี้กำหนดให้นโยบายจะต้องจัดทำเป็นเอกสารสารสนเทศ และสื่อสารให้กับผู้ที่เกี่ยวข้องในองค์กร และมีไว้ให้ผู้มีส่วนได้เสียตามความเหมาะสม

ข้อสุดท้าย ข้อที่ 5.3 กำหนดให้ผู้บริหารระดับสูงต้องมอบหมายบทบาทหน้าที่, ความรับผิดชอบ และอำนาจหน้าที่ ที่เกี่ยวข้องกับความมั่นคงปลอดภัยสารสนเทศ และสื่อสารกับผู้ที่เกี่ยวข้อง ในการมอบหมายความรับผิดชอบ และอำนาจหน้าที่ก็เพื่อให้มั่นใจว่าระบบการจัดการเป็นไปตามข้อกำหนด และให้มีการรายงานผลการดำเนินการไปยังผู้บริหารระดับสูง

Labels: ,

Clause 6 – Planning (การวางแผน)

หัวข้อนี้อธิบายได้นะแต่พอต้องมาเขียนเป็นภาษาเขียนแล้วรู้สึกติด จะเขียนเสร็จไหม เขียนเสร็จแล้วจะอ่านรู้เรื่องใหม? เพราะหัวข้อนี้ใหญ่มากเขียนแบบสรุป ๆ เฉพาะสิ่งที่ต้องดำเนินการหลัก ๆ ก็แล้วกันนะ เพราะถ้าลงรายละเอียดไม่น่าจะจบ

ข้อกำหนดที่ 6 ตามมาตรฐาน ISO/IEC27001:2022  แบ่งออกเป็น 2 หัวข้อ คือ

ข้อกำหนดที่ 6.1  การดำเนินการเพื่อจัดการกับความเสี่ยงและโอกาส แบ่งออกเป็นหัวข้อย่อย 3 หัวข้อ 

ในหัวข้อที่ 6.1.1 สิ่งที่ต้องดำเนินการคือจัดทำแผนในการดำเนินการเพื่อจัดการกับความเสี่ยงและโอกาส ในการวางแผนการดำเนินการจะต้องพิจารณาถึงประเด็นที่มีการวิเคราะห์ตามข้อกำหนดที่ 4.1 และ 4.2 ด้วย

หัวข้อที่ 6.1.2 องค์กรจะต้องกำหนดเกณฑ์ในการประเมินความเสี่ยง และเกณฑ์การยอมรับความเสี่ยง มีกระบวนการในการระบุความเสี่ยง วิเคราะห์ความเสี่ยง และประเมินความเสี่ยง 


และ 6.1.3 หัวข้อสุดท้าย กำหนดให้องค์กรจัดทำกระบวนการจัดการความเสี่ยง โดยเลือกมาตรการควบคุมความเสี่ยงที่เหมาะสม จากนั้นเทียบมาตรการควบคุมกับ Annex A ของมาตรฐาน ISO27001:2022 และจัดทำเอกสารแสดงการประยุกต์ใช้มาตรการควบคุม (Statement of Applicability: SOA)

ข้อกำหนดที่ 6.2 วัตถุประสงค์ความมั่นคงปลอดภัยสารสนเทศ

กำหนดให้องค์กรต้องกำหนดวัตถุประสงค์ด้านความมั่นคงปลอดภัยสารสนเทศ โดยวัตถุประสงค์นั้นต้องสอดคล้องกับนโยบายฯที่จัดทำขึ้น, ต้องวัดผลได้ มีการสื่อสารไปยังผู้ที่เกี่ยวข้อง และมีการติดตามผล เป็นต้น โดยจะต้องจัดทำเป็นเอกสารสารสนเทศ 

นอกจากจะกำหนดวัตถุประสงค์ฯแล้ว องค์กรจะต้องวางแผนการดำเนินการเพื่อให้บรรลุวัตถุประสงค์ดังกล่าว โดยจะต้องกำหนดกิจกรรม ทรัพยากรที่ต้องการ ผู้รับผิดชอบ ระยะเวลาแล้วเสร็จ และวิธีการประเมินผล

Labels: ,

Monday, November 14, 2022

ISO/IEC 27001:2022 มาตรฐานระบบบริหารความมั่นคงปลอดภัยสารสนเทศ ความมั่นคงปลอดภัยไซเบอร์ และการปกป้องความเป็นส่วนตัว

ISO/IEC 27001:2013 เป็นมาตรฐานสากล ด้านระบบบริหารความมั่นคงปลอดภัยสารสนเทศ ความมั่นคงปลอดภัยไซเบอร์ และการปกป้องความเป็นส่วนตัว ขององค์กรระหว่างประเทศว่าด้วยการมาตรฐาน (International Organization for Standardization - ISO) ประกาศใช้อย่างเป็นทางการครั้งแรกเมื่อปี ค2005 ปัจจุบันเป็นฉบับปี 2022 มีข้อกำหนดเพื่อให้องค์กรนำไปประยุกต์ใช้เป็นกรอบมาตรฐานในการรักษาความมั่นคงปลอดภัยสารสนเทศ ความมั่นคงปลอดภัยไซเบอร์ และการปกป้องความเป็นส่วนตัว เป็นระบบบริหารที่มีความยืดหยุ่น สามารถนำไปประยุกต์ใช้ได้กับองค์กรที่มีความหลากหลาย โดยใช้หลักการ PDCA (Plan - Do - Check - Act) เป็นรูปแบบการดำเนินการเช่นเดียวกับมาตรฐาน ISO อื่น ๆ เช่น ISO9001, ISO14001, ISO22301, ISO45001, ISO5001 เป็นต้น ข้อกำหนดในมาตรฐานระบบบริหารความมั่นคงปลอดภัยสารสนเทศ ISO27001:2022 มีทั้งหมด 10 ข้อ แบ่งออกเป็น 2 ส่วน คือ 1. บทนำ (Clause 1-3) และ 2. ข้อกำหนด (Clause 4-10) ดังภาพ ทั้งนี้หากองค์กรต้องการขอการรับรองมาตรฐาน จากหน่วยงานที่ให้การรับรอง (Certify body) จะต้องดำเนินการตามข้อกำหนดที่ 4-10 โดยไม่สามารถยกเว้นได้ 


ข้อกำหนดตามมาตรฐาน ISO/IEC27001:2022 (10 ข้อ)
  1. Scope -- ขอบข่ายของมาตรฐาน
  2. Normative reference -- การอ้างอิง 
  3. Terms and definitions -- คำศัพท์ และความหมาย
    ^^^ 1-3 ไม่ต้องสนใจมาก ^^^
  4. Context of Organization -- บริบทองค์กร
  5. Leadership -- ผู้นำ
  6. Plan -- การวางแผน
  7. Support -- การสนับสนุน
  8. Operation -- การดำเนินการ
  9. Performance evaluation -- การประเมินผล
  10. Improvement -- การพัฒนาปรับปรุง

นอกจากนี้ในมาตรฐาน ISO/IEC27001 ยังมีการกำหนดมาตรการควบคุมไว้ใน Annex A ของมาตรฐาน แบ่งออกเป็น 4 กลุ่ม จำนวนทั้งสิ้น 93 ข้อ เพื่อให้องค์กรเลือกนำไปประยุกต์ใช้ในการควบคุมความเสี่ยงที่เกี่ยวข้อง ซึ่งประกอบด้วย Security control ที่กำหนดขึ้นมาใหม่จำนวน 11 ข้อ


Labels: ,

Clause 4 – Context of the organization (บริบทองค์กร)

 

มาตรฐาน ISO27001:2022 มีข้อกำหนดทั้งหมด 10 ข้อ สำหรับบล็อกนี้จะเป็นเรื่องของข้อกำหนดที่ 4 ซึ่งเกี่ยวข้องกับบริบทขององค์กร โดยจะแบ่งออกเป็น 4 หัวข้อย่อย 4.1-4.4 สำหรับมาตรฐานไปหาอ่านเอง หรือดูจากรูป แต่จะสรุปความต้องการในแต่ละข้อประมาณนี้

4.1 การทำความเข้าใจองค์กร และบริบทขององค์กร ในข้อนี้ได้กำหนดให้องค์กรต้องศึกษาประเด็นภายใน และประเด็นภายนอกที่เกี่ยวข้อง/ส่งผลต่อการบรรลุวัตถุประสงค์ หรือส่งผลต่อความสามารถในการดำเนินการ/การบรรลุผลลัพธ์ของระบบการจัดการความมั่นคงปลอดภัยสารสนเทศ 

การดำเนินการให้เป็นไปตามข้อกำหนดข้อนี้ที่นิยมกันก็จะใช้เครื่องมือ SWOT Analysis และ PESTEL แต่ในมาตรฐานไม่ได้กำหนดว่าจะต้องเป็นวิธีไหน องค์กรอาจจะเลือกวิธีอื่น ๆ ที่เหมาะสมตามบริบทขององค์กรก็ได้

4.2 กำหนดให้องค์กรต้องทำความเข้าใจความต้องการและความคาดหวังของผู้มีส่วนได้ส่วนเสีย ในการดำเนินการเพื่อให้เป็นไปตามข้อกำหนดนี้องค์กรต้องกำหนดว่าใครเป็นผู้มีส่วนได้เสียที่เกี่ยวข้อง และศึกษาความต้องการและความคาดหวังของผู้มีส่วนได้เสียที่กำหนดไว้ 

สิ่งที่ลืมไม่ได้สำหรับการวิเคราะห์ในข้อนี้คือ การศึกษากฎหมายที่เกี่ยวข้อง เช่น พรบ.ความมั่นคงปลอดภัยไซเบอร์, พรบ.คุ้มครองข้อมูลส่วนบุคคล, พรบ.คอมพิวเตอร์ ฯลฯ ระเบียบข้อบังคับ ตลอดจนสัญญา และข้อผู้พันธ์ตามสัญญากับผู้ให้หรือผู้รับบริการที่เกี่ยวข้องกับองค์กร


4.3 เมื่อทำการศึกษาเพื่อเข้าใจองค์กร, บริบทขององค์กร และความคาดหวังของผู้มีส่วนได้เสียแล้ว ก็นำข้อมูลที่ได้มากำหนดขอบเขตของระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ 

ข้อกำหนดที่ 4.3 เป็นข้อกำหนดเดียวในข้อกำหนดที่ 4 ที่กำหนดให้จัดทำเป็นเอกสารสารสนเทศ ข้อกำหนดอื่นไม่ได้กำหนดให้จัดทำ ดังนั้นองค์กรไม่จำเป็นต้องทำเป็นเอกสารก็ได้ แต่ในการตรวจประเมินองค์กรต้องสามารถแสดงให้เห็นได้ว่ามีการวิเคราะห์/ประเมินตามข้อ 4.1-4.2

4.4 กำหนดให้องค์กรจัดตั้ง ดำเนินการ รักษา และพัฒนาปรับปรุงอย่างต่อเนื่อง (Establish, implement, maintain, and continually improve) ระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ รวมถึงกระบวนการจำเป็นที่เกี่ยวข้อง
Labels: ,