6.ระบบมาตรฐานด้านความปลอดภัยของข้อมูล ISO 27001

  ISO/IEC 27001:2005 (Information Security Management System: ISMS) เป็นมาตรฐานการจัดการข้อมูลที่มีความสำคัญเพื่อให้ธุรกิจดำเนินไปอย่างต่อเนื่อง ซึ่งข้อกำหนดต่างๆกำหนดขึ้นโดยองค์กรที่มีชื่อเสียงและมีความน่าเชื่อถือระหว่างประเทศ คือ ISO (The International Organization for Standardization) และ IEC (The International Electrotechnical Commission) การประยุกต์ใช้ ISMS จะช่วยให้กิจกรรมทางธุรกิจต่อเนื่องไม่สะดุด, ช่วยป้องกันกระวนการทางธุรกิจจากภัยร้ายแรงต่างๆเช่น แผ่นดินไหว, วาตภัย, อุทกภัย ฯลฯ และ ความเสียหายของระบบข้อมูล โดยครอบคุม ทุกกลุ่มอุตสาหกรรมและทุกกลุ่มธุรกิจ

  มาตรฐานนี้เป็นมาตรฐานสากลที่มุ่งเน้นด้านการรักษาความมั่นคงปลอดภัยให้กับระบบสารสนเทศขององค์กร และใช้เป็นมาตรฐานอ้างอิงเพื่อเป็นแนวทางในการเสริมสร้างความมั่นคงปลอดภัย ให้กับระบบสารสนเทศขององค์กรอย่างแพร่หลาย ก่อนจะมาเป็นมาตรฐานสากลนี้ มาตรฐาน ISO/IEC 27001 และ ISO/IEC 17799:2005 ได้รับการแก้ไขปรับปรุงมาจากมาตรฐานเดืมที่ชื่อว่า BS 7799-1 และ ISO/IEC 17799 : 2000 ตามลำดับ เนื้อหาของมาตรฐาน ISO 27001 : 2005 จะเกี่ยวข้องกับการจัดตั้งและปฏิบัติใช้งาน “ระบบบริหารความมั่นคงของข้อมูล” ขึ้นในองค์กร ซึ่งในแนวคิดของมาตรฐานส่วนนี้จะเป็นแนวทางสำคัญเนื้อหาของมาตรฐาน ISO 27001 : 2005 แบ่งออกเป็น 8 ส่วนดังนี้

1.ขอบเขต (Scope)

2.มาตรฐานอ้างอิง (Normative reference)

3.คำจำกัดความและนิยาม (Term and definitions)

4.ระบบบริหารความมั่นคงของข้อมูล (Information security management system)

5. หน้าที่ ความรับผิดชอบของฝ่ายบริหาร (Management responsibility)

6.การตรวจประเมินการบริหารความมั่งคงของข้อมูลภายใน (Internal ISMS audit)

7.การทบทวนการบริหารความมั่นคงของข้อมูล (Management review of the ISMS)

8.การปรับปรุงการบริหารความมั่นคงของข้อมูล (ISMS improvement)

ความแตกต่างระหว่างมาตรฐาน ISO/IEC27001 กับ ISO/IEC17799-2005 สามารถอธิบายโดยย่อได้ดังนี้

1.ขอบเขต (Scope)

2.ศัพท์เทคนิคและนิยาม (Terms and definitions)

3.โครงสร้างของมาตรฐาน (Structure of this standard)

4.การประเมินความเสี่ยงและการจัดการกับความเสี่ยง / ลด / โอนย้าย / ยอมรับความเสี่ยง (Risk assessment and treatment)

สำหรับมาตรฐาน ISO/IEC 17799-2005 ว่าด้วยเรื่องของวิธีปฏิบัติที่จะนำไปสู่ระบบบริหาร จัดการความมั่นคงปลอดภัยที่องค์กรได้จัดทำขึ้น ซึ่งจะต้องเป็นไปตามข้อกำหนดในมาตรฐาน ISO/IEC27001 รายละเอียดของมาตรฐานนี้จะบอกถึงวิธีปฏิบัติในการลดความเสี่ยงที่เกิดจากจุดอ่อนของระบบโดยแบ่งเป็นหัวข้อหลักที่เกี่ยวข้องกับระบบ และให้แนวทางว่าผู้จัดทำควรปฏิบัติอย่างไร ซึ่งผู้ใช้สามารถเพิ่มเติมมาตรการหรือใช้วิธีการที่มีความมั่นคงปลอดภัยเพียงพอ หรือเหมาะสมตามที่องค์กระได้ประเมินไว้

  หลักการของการออกแบบโครงสร้างระบบ ISO/IEC27001:2005 เป็นระบบพลวัตร (Dynamic System)ซึ่งอ้างอิง รูปแบบ PDCA Model (Plan Do Check Action) ซึ่งเป็นโครงสร้างเดียวกับ ระบบ การบริหารที่เป็นสากลที่ใช้กันทั่วโลก เช่น ระบบการจัดการคุณภาพ (ISO 9001:2000), ระบบการจัดการสิ่งแวดล้อม (ISO14001:2004), ระบบการจัดการคุณภาพสำหรับอุตสาหกรรมรถยนต์ (ISO/TS 16949), ระบบการจัดการจัดการคุณภาพสำหรับอตสาหกรรมอาหาร (ISO 21001) ฯลฯ ซึ่งองค์ที่มีการประยุกต์ระบบการจัดการต่างๆนี้แล้ว จะสามารถต่อยอดระบบ ISO/IEC27001:2005 ได้เร็วและง่ายขึ้น แต่สำหรับ องค์กรที่ยังไม่มีระบบการจัดการใดๆ ก็ใช่ว่าจะประยุกต์ใช้ยากเพราะ ระบบ มีการเขียนที่เข้าใจง่ายและแบ่งหมวดให้ง่ายต่อความเข้าใจตาม PDCA อยู่แล้วเพียงแต่ต้องทำความเข้าใจกับระบบให้มากขึ้น

  

ISO/IEC27001:2005 หรือ Information Security Management System (ISMS) เป็นระบบการจัดการความปลอดภัยของข้อมูล เพื่อให้ระบบข้อมูลสารสนเทศขององค์กรมีคุณสมบัติในด้านต่างๆดังต่อไปนี้

• Confidentiality เพื่อให้มั่นใจได้ว่าข้อมูลต่างๆ สามารถเข้าถึงได้เฉพาะ ผู้ที่มี สิทธิที่จะเข้าเท่านั้น

• Integrity เพื่อให้มั่นใจได้ว่า ข้อมูลมีความถูกต้องครบถ้วนสมบูรณ์ โดยไม่ได้ถูกเปลี่ยนแปลงหรือแก้ไข จากผู้ไม่ได้รับอนุญาติ

• Availability เพื่อให้มั่นใจได้ว่าข้อมูลพร้อมที่จะใช้งานอยู่เสมอ โดยผู้ที่มีสิทธิในการเข้าถึงข้อมูลสามารถเข้าถึงได้ทุกเมื่อ หากต้องการ

 

 

ระบบ ISMS เป็นระบบ Dynamic system ที่ใช้โครงสร้าง PDCA ดังนั้น ระบบจะมีการหมุนเพื่อปรับปรุงอย่างต่อเนื่องอยู่ตลอดเวลามี่ที่สิ้นสุด โดยโครงสร้างของข้อกำหนด จะถูกแบ่งตาม PDCA ดังนี้

Plan - การจัดทำระบบ ISMS

Establish ISMS

a) กำหนด scope และ ขอบเขตการจัดทำระบบ ISMS

b) กำหนด ISMS Policy

c) กำหนด รูปแบบการประเมินความเสี่ยง

d) กำหนดความเสี่ยง

e) วิเคราะห์ และ ประเมินความเสี่ยง

f) กำหนดและประเมิน วิธีการเพื่อลดความเสี่ยง

g) เลือกการควบคุม เพื่อลดความเสี่ยง

h) เห็นชอบความเสี่ยงที่เหลืออยู่โดย management

I) เห็นชอบและประยุกต์ใช้ ระบบ โดย management

J) จัดทำ Statement of Applicable(SOA)

Do - ประยุกต์ใช้และดำเนินการ ระบบ ISMS

Implement and Operate the ISMS

a) กำหนดแผนการลดความเสี่ยง

b) ดำเนินการตามแผนลดความเสี่ยง

c) ดำเนินการ ตามการควบคุมที่เลือกตาม 4.2.1g

d) กำหนดการวัดประสิทธิภาพของระบบการควบคุม

e) จัดทำรายการฝึกอบรม

f) จัดการการประยุกต์ใช้ระบบ

g) ประยุกต์ใช้ ระเบียบปฎิบัติงาน

Check - เฝ้าระวังและตรวจสอบระบบ ISMS

Monitor and review ISMS

a) จัดทำ ระเบียบปฏิบัติการ เฝ้าระวังและตรวจสอบระบบ ISMS

b) ทบทวนประสิทธิภาพของ ระบบอย่างสม่ำเสมอ

c) วัดประสิทธิภาพการควบคุมในการปฏิบัติตามข้อกำหนด

d) ทบทวน การประเมินความเสี่ยงตามแผน ความเสี่ยงที่เหลือ ระบบการประเมินความเสี่ยง และการเปลี่ยนแปลงต่างๆ ตามรอบเวลาที่กำหนด

e) ดำเนินการ ตรวจติดตามภายในระบบISMS

f) ดำเนินการ จัดทำ management review

g) ปรับปรุง security plan ให้ทันสมัย

h) บนทึกการการทำงานและหลักฐานที่มีผลต่อประสิทธิภาพและประสิทธิผลของระบบ

Action - รักษาและปรับปรุง ระบบ ISMS

Maintain and improve the ISMS

a) ดำเนินการ corrective action และ preventive action

b) สื่อสาร วิธีการและการปรับปรุงต่างๆ ให้กับผู้ที่เกี่ยข้องต่างๆ

c) แน่ใจว่า วิธีการที่ปรับปรุงขึ้น บรรลุจุดประสงค์ที่วางไว้

นอกจากนี้ บางข้อกำหนดในระบบ ISMS ถูกแยกมากล่าวเพื่อชี้แจงรายละเอียดดังนี้

4.3 Document control

4.3.1 General

4.3.2 Control of Document

4.3.3 Control of Record

5. Management Responsibility

5.1 Management Commitment

5.2 Resource management

6 Internal Audit

7 Management Review

7.1 General

7.2 Review Input

7.3 Review Out put

8 ISMS Improvement

8.1 Continual Improvement

8.2 Corrective action

8.3 Preventive action