ISO 27001 มาตรฐานความปลอดภัยสารสนเทศที่คุณต้องใส่ใจ
|
เมื่อประเด็นความปลอดภัยสารสนเทศกลายเป็นมาตรฐานโลก ถึงเวลาที่องค์กรต้องหันมาให้ความสำคัญกับเรื่องนี้กันแล้ว
เราหลายคนรู้จัก ISO หรือมาตรฐานที่กำหนดและควบคุมโดยองค์การนานาชาติเพื่อระบบมาตรฐาน (International Organization for standardization) กันมานานแล้ว โดย ISO เป็นที่รู้จักและให้ความสำคัญกันมากในวงการอุตสาหกรรม แต่ปัจจุบัน ISO กำลังก้าวสู่วงการอื่นๆ ที่เกี่ยวข้องเช่น ด้านสิ่งแวดล้อมของอุตสาหกรรมการผลิต (ISO 14001) , การพัฒนาผลิตภาพหรือ Productivity Improvement (ISO 9400: 2000),
| ||||||||||||
มาตรฐานด้านเทคโนโลยีสารสนเทศเพื่อการประมวลผลแบบกระจายตัวมาตรฐานเปิด หรือ Open Distributed Processing (ISO 14750) หรือแม้กระทั่งมาตรฐานกลางเพื่อภาษา XML สำหรับธุรกิจอิเล็กทรอนิกส์ หรือ ebXML (ISO 15000)
จะเห็นได้ว่ามาตรฐานตามกรอบของ ISO นั้นมีความละเอียดและครอบคลุมหลายวงการมากมาย จนหลายครั้งคนนอกวงการธุรกิจอุตสาหกรรมนั้นๆ อาจจะไม่รู้จักมาตรฐานนั้นมาก่อนเลยก็เป็นไปได้ และหลายครั้งแม้แต่มาตรฐานที่เกี่ยวโยงกับอุตสาหกรรมใดๆ ก็อาจจะไม่ได้เป็นที่รับรู้หรือใส่ใจเพราะไม่ได้มีผลในทางปฏิบัติที่กระทบ ต่อการค้าขายหรือทำธุรกิจนั้นๆ โดยตรงกับบริษัทในหมู่คู่ค้าและลูกค้า
แต่มาตรฐานหนึ่งที่ในปัจจุบันกำลังกลายเป็นมาตรฐานระดับโลกที่จำ เป็นต่อทุกองค์กรก็คือ ISO 27001 ทั้งนี้ก็เพราะปัญหาและความเสี่ยงที่เคยเกิดขึ้นมาหลายครั้งทั้งเรื่อง ข้อมูลสถานพยาบาล สถาบันการเงินและภาครัฐรั่วไหล และกรณีการทุจริตครั้งใหญ่ที่ส่งผลต่อภาคการเงินอย่างรุนแรง เช่นกรณีของ Enron และ Worldcom ซึ่งทำให้มีการออกกฎหมายความโปร่งใสด้านการบัญชี เช่น Sabarnes-Oxley Act ขึ้นมาในอเมริกาในเวลาต่อมา
ซึ่งแน่นอนว่านอกเหนือจากกระบวนการด้านบัญชีและการตรวจบัญชีนั้น ย่อมเกี่ยวโยงกับระบบสารสนเทศอย่างไม่มีทางเลี่ยงได้ และเช่นนั้นเองที่ทำให้ ISO มีการร่างมาตรฐานด้านการบริหารความปลอดภัยสำหรับสารสนเทศออกมาซึ่งก็คือ ISO 27000 ทั้งนี้รายละเอียดสำหรับกระบวนการพัฒนาและใช้งานการบริหารความปลอดภัย สารสนเทศ (ISMS) นั้นก็คือรายละเอียดของ ISO 27001 ที่เรากำลังจะพาทุกท่านไปทำความรู้จักกันในบทความนี้
| |||||||||||||
| |||||||||||||
| |||||||||||||
| |||||||||||||
มาทำความรู้จักกับ ISO 27001
ISO 27001 คือแนวทางหรือวิธีการเกี่ยวกับเรื่องความเสี่ยงด้านสารสนเทศเพื่อการกำหนด นโยบาย และกระบวนการทำงาน รวมทั้งเพื่อเลือกการควบคุมที่เหมาะสมในการบริหารความเสี่ยงด้วย กล่าวได้ว่าเป็นมาตรฐานเชิงระบบที่เน้นการปฏิบัติ จึงสามารถนำไปใช้อ้างอิงเพื่อการประเมินและขอรับการรับรองมาตรฐานต่อไปได้
ในขณะที่ ISO 20000 นั้นเน้นเรื่องการบริหารบริการไอที แต่ ISO 27000 และ ISO 17799 จะเน้นเรื่องการบริหารข้อมูลสารสนเทศโดยตรง
| |||||||||||||
| |||||||||||||
ข้อแตกต่างระหว่าง ISO 17799 กับ ISO 27001 ก็คือ
1. ISO 27001 เน้นเรื่องรายละเอียดเชิงเทคนิคมาตรฐานสำหรับการบริหารความปลอดภัยด้าน สารสนเทศ ISMS (Information Security Management System) โดยเป็นรายละเอียดแบบมุ่งเน้นกระบวนการตามหลักการ PDCA (Plan-Do-Check-Act Process focused) สามารถใช้เป็นเกณฑ์เพื่อนำไปใช้งานจริง (Implement) และขอการรับรองได้
2. ISO 17799 เป็นรายละเอียดการดำเนินการ (code of practice) เพื่อการควบคุมด้านความปลอดภัย (Security control) ต่อมาได้ถูกนำไปโยงความสัมพันธ์กับ ISO 27000 ซึ่งครอบคลุมเรื่องความปลอดภัยสารสนเทศทั้งหมดและถูกเรียกรหัสใหม่เป็น ISO 27002
อาจกล่าวได้ว่า ISO 27001 นั้นเป็นส่วนขยายเพิ่มของ ISO 17799 เพื่อให้ครอบคลุมรายละเอียดในเชิงระบบทั้งหมด ( โดยที่เดิมทีนั้น ISO 27001 มีชื่อเรียกว่า BS7799-2) และ ISO 27001 จะแสดงหลักการนำเอา code of practice เรื่องความปลอดภัยมาใช้งานจริงโดยเสนอภาพรวมการทำระบบบริหารและควบคุมความ ปลอดภัยสารสนเทศแบบบนลงล่าง (Top down) เริ่มตั้งแต่การวัดผล ติดตามตรวจสอบและควบคุมการบริหารความปลอดภัย ISO 27001 จึงเป็นรายละเอียดที่องค์กรไอทีจะต้องใช้เพื่อพัฒนาระบบบริหารความปลอดภัย สารสนเทศเพื่อขอใบรับรอง (Certification) ต่อไป
| |||||||||||||
| |||||||||||||
| |||||||||||||
สิ่งที่คุณอาจไม่รู้เกี่ยวกับ ISO 27001
แม้ว่าดูเหมือนสหรัฐฯ และ ISO น่าจะเป็นองค์กรที่ให้ความสำคัญกับความปลอดภัยของข้อมูลสารสนเทศก่อนที่ อื่นๆ ด้วยเหตุผลจากคดีฉ้อโกงและการเป็นผู้นำในมาตรฐานระดับโลกตามลำดับ แต่แท้จริงแล้ว ISO 27001 นั้นเริ่มต้นจากการพัฒนามาตรฐานที่มีชื่อว่า BS 7799-1 ( ปี 1995) โดยหน่วยงานมาตรฐานของอังกฤษ (British Standard Institute) ซึ่งต่อมา BS7799-1 กลายเป็น ISO 17799 ( ปี 2000) ก่อนจะขยายในส่วนของ BS7799-2 ( ปี 2002) ครอบคลุมเรื่องระบบบริหารความปลอดภัยสารสนเทศและกลายเป็น ISO 27001 ในเวลาต่อมา โดย ISO 17799 ได้เปลี่ยนรหัสเรียกมาเป็น ISO 27002
รายละเอียดในภาพรวมของ ISO 27001 ประกอบด้วยกระบวนการ 6 ขั้นตอนด้วยกัน ได้แก่
• กำหนดนโยบายด้านความปลอดภัย • กำหนดขอบเขตของระบบบริหารความปลอดภัยสารสนเทศ (ISMS) • รายละเอียดการประเมินความเสี่ยง • การบริหารความเสี่ยง • เลือกวัตถุประสงค์ในการควบคุมและวิธีการควบคุมที่จะนำไปใช้งานจริง • จัดเตรียมคำอธิบายสำหรับการปฏิบัติงานจริง | |||||||||||||
| |||||||||||||
ที่มาของความสำคัญสำหรับ ISO 27001
หัวใจสำคัญของระบบบริหารความปลอดภัยสารสนเทศนั้นอยู่ที่ 3 ปัจจัยหลักโดยพื้นฐานดังต่อไปนี้
1.ข้อมูลส่วนตัว ข้อมูลสำคัญขององค์กร
การรักษาความปลอดภัยด้านข้อมูลไม่ให้ถูกขโมย ลักลอบนำไปใช้ ดัดแปลง หรือทำให้เกิดข้อผิดพลาดอื่นใด ซึ่งสำหรับหลายหน่วยงานอาจเป็นอันตรายระดับวิกฤติได้ ซึ่งข้อมูลนี้ไม่เพียงเฉพาะข้อมูลสำคัญขององค์กรแต่ยังรวมถึงข้อมูลส่วนตัว ของลูกค้าหรือบุคคลที่สามที่เกี่ยวข้องอื่นๆ ด้วย
2.การบริหารความเสี่ยงจากเหตุการณ์และปัจจัยต่างๆ
การบริหารความเสี่ยงจากเหตุการณ์และปัจจัยต่างๆ ซึ่งปัจจุบันมีการคำนึงถึงการตั้งไซต์สำรอง ในลักษณะของศูนย์สำรองข้อมูลและดำเนินการกู้คืนระบบภายหลังภัยพิบัติหรือ Disaster Recovery Center (DRC) ซึ่งมีความสำคัญมากในหลายธุรกิจเช่น ธุรกิจการเงิน หรือบริการด้านสุขภาพ เพราะข้อมูลเหล่านั้นมีความสำคัญยิ่งยวดต่อความสามารถในการดำเนินธุรกิจให้ ต่อเนื่องต่อไปได้ (Business continuity) | |||||||||||||
|
3.บริหารระบบเพื่อป้องกันความปลอดภัยของข้อมูล
รายละเอียดการบริหารระบบเพื่อป้องกันความปลอดภัยของข้อมูล ซึ่งหัวข้อนี้นับเป็นหนึ่งในรายละเอียดหลักของเนื้อหาในร่างมาตรฐาน ISO 27000 ทั้งหมดก็ว่าได้ โดยครอบคลุมตั้งแต่นโยบาย แผน กลยุทธ์ การตรวจวัด การบริหาร และการควบคุมการปฏิบัติการ
ปัจจัยในการพิจารณาความปลอดภัยของระบบสารสนเทศ
ความลับของข้อมูล (Confidentiality) ความถูกต้องสมบูรณ์ของข้อมูล (Integrity) ความพร้อมใช้งานของข้อมูล (Availability) การยืนยันตัวตนของผู้ใช้ (Authentication) การควบคุมสิทธิในการใช้งานของผู้ใช้ (Authorization) การไม่สามารถปฏิเสธการกระทำ (Non repudiation) | ||||||||||||
| |||||||||||||
การดำเนินการสำคัญสำหรับ ISO 27001 ในทางปฏิบัติ
แผนความต่อเนื่องในการดำเนินธุรกิจ หรือ BCP (Business Continuity Plan)
เนื่องจากสารสนเทศเป็นหัวใจสำคัญของการดำเนินธุรกิจ การมีแผนการรองรับเพื่อให้แน่ใจว่าธุรกิจจะดำเนินต่อไปได้ไม่ว่าจะตกอยู่ใน สถานการณ์ใด ๆจึงเป็นหัวข้อสำคัญหัวข้อหนึ่งในการดำเนินการ ISO 27001
แผนกู้คืนระบบและข้อมูลหลังหายนะภัย หรือ DRP (Disaster Recovery Plan)
การเกิดหายนะภัยกลายเป็นหัวข้อสำคัญหัวข้อหนึ่งในปัจจุบัน หลังจากที่เราได้เห็นถึงความเสี่ยงจากภัยพิบัติธรรมชาติที่เพิ่มมากขึ้น ดังนั้นจึงต้องมีการวางแผนในเรื่องนี้อย่างละเอียด
การบริหารการกู้คืนระบบหลังหายนะภัยหรือ DRM (Disaster Recovery Management)
หลังจากการวางแผนเรื่องการกู้คืนระบบหลังหายนะภัยแล้วจะต้องมีการประชุมวางแผนและทบทวนขั้นตอนการดำเนินการต่างๆ ในระดับบริหาร
การปฏิบัติการเพื่อการกู้คืนระบบหลังหายนะภัย หรือ DRO (Disaster Recovery Operation)
เมื่อฝ่ายบริหารมีการซักซ้อมขั้นตอนการดำเนินการแล้วจะต้อง มีการจัดทำรายละเอียดและแจ้งแก่ส่วนปฏิบัติการที่เกี่ยวข้อง รวมถึงจะต้องซักซ้อมการปฏิบัติการเสมือนในเหตุการณ์จริงด้วย
ISO 27001 สำคัญแค่ไหนในประเทศไทย
ในปัจจุบันธุรกิจหลายแห่งถูกบังคับให้ต้องดำเนินการตาม มาตรฐานของ ISO 27001 ทั้งโดยตรงและโดยอ้อม ท้งนี้ก็เพราะกฎหมายและระเบียบบังคับจากภาครัฐหลายแห่งก็มีข้อกำหนดเรื่อง การป้องกันความเสี่ยงด้านสารสนเทศออกมาแล้ว เหลือแต่เพียงการบังคับใช้ในอีกหลายประเทศ
สำหรับในประเทศไทยเน้นการกำหนดกฎของธนาคารแห่งประเทศไทยเรื่องการ ป้องกันความเสี่ยงของข้อมูลสถาบันการเงิน โดยกำหนดให้สถาบันการเงินต้องมีศูนย์แหล่งข้อมูลสำรองและระบบกู้คืนข้อมูล หลังภัยพิบัติ (DRC – Disaster Recovery Center ) เงื่อนไขนี้ถูกกำหนดมาพักหนึ่งแล้วแต่เนื่องจากปัญหาด้านเศรษฐกิจจึงได้รับ การผ่อนผันเรื่อยมา รวมถึงความชะล่าใจของบริษัทหลายแห่งที่มองว่าความเสี่ยงจากหายนะภัยในประเทศ ไทยนั้นมีค่อนข้างต่ำเทียบกับแผ่นดินไหวในญี่ปุ่นหรือพายุเฮอริเคนในสหรัฐ อเมริกา
อย่างไรก็ตามเนื่องจากประเทศไทยเป็นส่วนหนึ่งของเศรษฐกิจโลก ความจำเป็นที่จะต้องดำเนินการตามมาตรฐานความปลอดภัยสารสนเทศระดับโลกคงจะมา ถึงในไม่ช้า โดยเฉพาะเมื่อธุรกิจหรือองค์กรแห่งนั้นต้องทำงานร่วมกับบริษัทระดับนานาชาติ ด้วย
โดยภาพรวมมีองค์กรในประเทศไทยที่ได้รับการรับรอง มาตรฐาน ISO 27001 โดยหน่วยงานแรกที่ได้รับการรับรองมาตรฐาน ISO 27001: 2005 คือสำนักบริการเทคโนโลยีสารสนเทศภาครัฐ ( สบทร. หรือ GITS) เมื่อปี 2549 ส่วนองค์กรอื่นๆ ก็ได้แก่ การไฟฟ้านครหลวง, ศูนย์ข้อมูลเครดิต, CAT Telecom, AEON, Fujitsu System Business, สวทช.(สำนักงานพัฒนาวิทยาศาสตร์และเทคโนโลยีแห่งชาติ) , สามารถ คอร์ปอเรชั่น, สหประชาชาติ, Siemens True และ UIH เป็นต้น
ด้วยปัจจัยทั้งหลายที่เราได้เห็นกันแล้วเราจึง สรุปได้ว่า ISO 27001 ไม่ใช่เรื่องเกินความจำเป็นแต่อย่างใดในปัจจุบัน นี่คือสิ่งที่ทุกองค์กรต้องหันมาใส่ใจเพื่อความมั่นคงยั่งยืนและลดความ เสี่ยงของกิจการที่อาจกลายเป็นหายนะของธุรกิจคุณได้หากเผลอละเลยไป
| |||||||||||||
