K-Next

Monday, November 14, 2022

ISO/IEC 27001:2022 มาตรฐานระบบบริหารความมั่นคงปลอดภัยสารสนเทศ ความมั่นคงปลอดภัยไซเบอร์ และการปกป้องความเป็นส่วนตัว

ISO/IEC 27001:2013 เป็นมาตรฐานสากล ด้านระบบบริหารความมั่นคงปลอดภัยสารสนเทศ ความมั่นคงปลอดภัยไซเบอร์ และการปกป้องความเป็นส่วนตัว ขององค์กรระหว่างประเทศว่าด้วยการมาตรฐาน (International Organization for Standardization - ISO) ประกาศใช้อย่างเป็นทางการครั้งแรกเมื่อปี ค2005 ปัจจุบันเป็นฉบับปี 2022 มีข้อกำหนดเพื่อให้องค์กรนำไปประยุกต์ใช้เป็นกรอบมาตรฐานในการรักษาความมั่นคงปลอดภัยสารสนเทศ ความมั่นคงปลอดภัยไซเบอร์ และการปกป้องความเป็นส่วนตัว เป็นระบบบริหารที่มีความยืดหยุ่น สามารถนำไปประยุกต์ใช้ได้กับองค์กรที่มีความหลากหลาย โดยใช้หลักการ PDCA (Plan - Do - Check - Act) เป็นรูปแบบการดำเนินการเช่นเดียวกับมาตรฐาน ISO อื่น ๆ เช่น ISO9001, ISO14001, ISO22301, ISO45001, ISO5001 เป็นต้น ข้อกำหนดในมาตรฐานระบบบริหารความมั่นคงปลอดภัยสารสนเทศ ISO27001:2022 มีทั้งหมด 10 ข้อ แบ่งออกเป็น 2 ส่วน คือ 1. บทนำ (Clause 1-3) และ 2. ข้อกำหนด (Clause 4-10) ดังภาพ ทั้งนี้หากองค์กรต้องการขอการรับรองมาตรฐาน จากหน่วยงานที่ให้การรับรอง (Certify body) จะต้องดำเนินการตามข้อกำหนดที่ 4-10 โดยไม่สามารถยกเว้นได้

ข้อกำหนดตามมาตรฐาน ISO/IEC27001:2022 (10 ข้อ)

Scope -- ขอบข่ายของมาตรฐาน
Normative reference -- การอ้างอิง
Terms and definitions -- คำศัพท์ และความหมาย
^^^ 1-3 ไม่ต้องสนใจมาก ^^^
Context of Organization -- บริบทองค์กร
Leadership -- ผู้นำ
Plan -- การวางแผน
Support -- การสนับสนุน
Operation -- การดำเนินการ
Performance evaluation -- การประเมินผล
Improvement -- การพัฒนาปรับปรุง

นอกจากนี้ในมาตรฐาน ISO/IEC27001 ยังมีการกำหนดมาตรการควบคุมไว้ใน Annex A ของมาตรฐาน แบ่งออกเป็น 4 กลุ่ม จำนวนทั้งสิ้น 93 ข้อ เพื่อให้องค์กรเลือกนำไปประยุกต์ใช้ในการควบคุมความเสี่ยงที่เกี่ยวข้อง ซึ่งประกอบด้วย Security control ที่กำหนดขึ้นมาใหม่จำนวน 11 ข้อ

Clause 4 – Context of the organization (บริบทองค์กร)

มาตรฐาน ISO27001:2022 มีข้อกำหนดทั้งหมด 10 ข้อ สำหรับบล็อกนี้จะเป็นเรื่องของข้อกำหนดที่ 4 ซึ่งเกี่ยวข้องกับบริบทขององค์กร โดยจะแบ่งออกเป็น 4 หัวข้อย่อย 4.1-4.4 สำหรับมาตรฐานไปหาอ่านเอง หรือดูจากรูป แต่จะสรุปความต้องการในแต่ละข้อประมาณนี้

4.1 การทำความเข้าใจองค์กร และบริบทขององค์กร ในข้อนี้ได้กำหนดให้องค์กรต้องศึกษาประเด็นภายใน และประเด็นภายนอกที่เกี่ยวข้อง/ส่งผลต่อการบรรลุวัตถุประสงค์ หรือส่งผลต่อความสามารถในการดำเนินการ/การบรรลุผลลัพธ์ของระบบการจัดการความมั่นคงปลอดภัยสารสนเทศ

การดำเนินการให้เป็นไปตามข้อกำหนดข้อนี้ที่นิยมกันก็จะใช้เครื่องมือ SWOT Analysis และ PESTEL แต่ในมาตรฐานไม่ได้กำหนดว่าจะต้องเป็นวิธีไหน องค์กรอาจจะเลือกวิธีอื่น ๆ ที่เหมาะสมตามบริบทขององค์กรก็ได้

4.2 กำหนดให้องค์กรต้องทำความเข้าใจความต้องการและความคาดหวังของผู้มีส่วนได้ส่วนเสีย ในการดำเนินการเพื่อให้เป็นไปตามข้อกำหนดนี้องค์กรต้องกำหนดว่าใครเป็นผู้มีส่วนได้เสียที่เกี่ยวข้อง และศึกษาความต้องการและความคาดหวังของผู้มีส่วนได้เสียที่กำหนดไว้

สิ่งที่ลืมไม่ได้สำหรับการวิเคราะห์ในข้อนี้คือ การศึกษากฎหมายที่เกี่ยวข้อง เช่น พรบ.ความมั่นคงปลอดภัยไซเบอร์, พรบ.คุ้มครองข้อมูลส่วนบุคคล, พรบ.คอมพิวเตอร์ ฯลฯ ระเบียบข้อบังคับ ตลอดจนสัญญา และข้อผู้พันธ์ตามสัญญากับผู้ให้หรือผู้รับบริการที่เกี่ยวข้องกับองค์กร

4.3 เมื่อทำการศึกษาเพื่อเข้าใจองค์กร, บริบทขององค์กร และความคาดหวังของผู้มีส่วนได้เสียแล้ว ก็นำข้อมูลที่ได้มากำหนดขอบเขตของระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ

ข้อกำหนดที่ 4.3 เป็นข้อกำหนดเดียวในข้อกำหนดที่ 4 ที่กำหนดให้จัดทำเป็นเอกสารสารสนเทศ ข้อกำหนดอื่นไม่ได้กำหนดให้จัดทำ ดังนั้นองค์กรไม่จำเป็นต้องทำเป็นเอกสารก็ได้ แต่ในการตรวจประเมินองค์กรต้องสามารถแสดงให้เห็นได้ว่ามีการวิเคราะห์/ประเมินตามข้อ 4.1-4.2

4.4 กำหนดให้องค์กรจัดตั้ง ดำเนินการ รักษา และพัฒนาปรับปรุงอย่างต่อเนื่อง (Establish, implement, maintain, and continually improve) ระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ รวมถึงกระบวนการจำเป็นที่เกี่ยวข้อง