มาตรฐานการรักษาความมั่นคงปลอดภัย ISO/IEC 27001 และ ISO/IEC 17799

พัฒนาการมาตรฐาน ISO/IEC 27001 และ ISO/IEC 17799 ในภูมิภาคเอเชียแปซิฟิก

   ลังจากที่ได้มีการประกาศมาตรฐานสากล ISO/IEC  27001 และ ISO/IEC 17799 อย่างเป็นทางการไปแล้วนั้น หลายประเทศได้เริ่มมีการตื่นตัวในการนำมาตรฐานการรักษาความมั่นคงปลอดภัยมาประยุกต์ใช้กับระบบสารสนเทศในองค์กรอย่างแพร่หลายมากขึ้น รวมถึงการการรณรงค์ให้เกิดการพัฒนามาตรฐานให้องค์กรในประเทศสามารถนำไปประยุกต์ใช้งานได้ง่ายขึ้น ด้วยเหตุผลดังกล่าวทำให้เกิดการสร้างกลุ่มความร่วมมือทั้งในระดับโลกและระดับภูมิภาค ลักษณะการร่วมมือนี้ ได้แก่ การพัฒนาด้านเทคนิคร่วมกัน การให้ความเห็นต่อประเด็นชองการรักษาความมั่นคงปลอดภัย การแบ่งปันความรู้และประสบการณ์ระหว่างกันในองค์กรที่ต้องผลักดันเรื่องที่เกี่ยวข้อง เป็นต้น

   สำหรับการรวมกลุ่มกันของผู้พัฒนามาตรฐาน ISO/IEC 27001 และมาตรฐาน ISO/IEC 17799 ในภูมิภาคเอเซียแปซิฟิกนั้น ได้มีการหารือจากผู้เชี่ยวชาญที่ร่วมกันพัฒนามาตรฐานครั้งแรกที่ประเทศสิงคโปร์ ในเดือนเมษายน ปี 2004 เพื่อจัดตั้งคณะทำงาน จัดประชุมและเปิดเวทีสำหรับการแสดงทัศนะและแลกเปลี่ยนข้อมูลในการศึกษา จัดทำ และติดตามความก้าวหน้าในการเผยแพร่มาตรฐานในแต่ละประเทศ ต่อมาได้มีการประชุมครั้งแรกในเดือนพฤศจิกายนปีเดียวกัน ณ กรุงโตเกียว ประเทศญี่ปุ่น ภายใต้ชื่อ RAISS Forum หรือ Forum of Regional Asia Information Security Standards เพื่อให้กลุ่มภูมิภาคเอเชียแปซิฟิกได้เข้ามาร่วมรับรู้ทราบข้อมูลข่าวสาร รวมถึงข้อมูลที่เป็นประโยชน์ต่อกลุ่มเศรษฐกิจโลกในภูมิภาคตลอดจนกลุ่มที่ต้องการจะพัฒนาและรับเอามาตรฐานไปปรับใช้ต่อไป  ซึ่งในการประชุมครั้งนี้มีตัวแทนจากหลายประเทศเข้าร่วมประชุม อาทิ ออสเตรเลีย มาเลเซีย ไต้หวัน ญี่ปุ่น สิงคโปร์ รวมถึงประเทศไทยก็เข้าร่วมเป็นหนึ่งในฐานะสมาชิกในภูมิภาคเอเชียแปซิฟิกด้วย โดยมีศูนยประสานงานการรักษาความปลอดภัยคอมพิวเตอร์ประเทศไทย(ThaiCERT) ซึ่งเป็นหน่วยงานหนึ่งภายใต้การดูแลของศูนย์เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติ (NECTEC) ได้ส่งตัวแทนเข้าร่วมประชุมในเวทีดังกล่าวด้วย

   อย่างไรก็ตาม มาตราฐาน ISO/IEC 27001 และ ISO/IEC 17799 ยังคงมีการปรับปรุงและแก้ไขโดยคณะทำงานมาตรฐานสากลอย่างต่อเนื่อง และได้มีการประกาศใช้มาตรฐานฉบับปรับปรุงล่าสุดในปี 2005 และต่อมาในปี 2006 กลุ่มประเทศสมาชิกในภูมิภาคเอเชียแปซิฟิกได้มีการจัดประชุมเพื่อหารือร่วมกันขึ้น ณ ประเทศเกาหลีใต้ พร้อมกันนี้แต่ละประเทศสมาชิกได้มีการนำเสนอความคืบหน้าให้ที่ประชุมได้รับทราบ  โดยแต่ละประเทศได้มีการจัดตั้งคณะทำงานหรือหน่วยงานขึ้นทำหน้าที่รับผิดชอบโดยตรง ไม่ว่าจะเป็นการกำกับดูแลมาตรฐานความมั่นคงปลอดภัยสำหรับประเทศ รวมถึงการพัฒนามาตรฐานสำหรับใช้ภายในประเทศ และการพัฒนาการแปลมาตรฐานไปสู่เวอร์ชั่นภาษาที่ใช้ในแต่ละประเทศ เช่น ญี่ปุ่น ไต้หวัน เกาหลีใต้ รวมถึงประเทศไทย ซึ่งคณะทำงานได้มีการจัดทำแนวทางหรือคู่มือปฏิบัติงานฉบับภาษาไทยขึ้นเช่นกัน

พัฒนาการมาตรฐาน  ISO/IEC 27001 และ ISO/IEC 17799 ของประเทศไทย

   หลังจากที่ประเทศไทยได้มีการประกาศใช้พระราชบัญญัติว่าด้วยการประกอบธุรกรรมทางอิเล็กทรอนิกส์เมื่อปี พ.ศ. 2544 และมีการแต่งตั้งคณะกรรรมการทางอิเล็กทรอนิกส์ขึ้นเพื่อทำหน้าที่หลัก 5 ประการด้วยกัน และหนึ่งในหน้าที่นั้น ได้แก่ การเสนอแนะนโยบายและมาตรการด้านความมั่นคงให้เกิดความเชื่อมั่นและปลอดภัยในระบบคอมพิวเตอร์หรือเครือข่ายของประเทศไทยในการประกอบธุรกรรมอิเล็กทรอนิกส์ โดยได้มอบหมายให้ศูนย์ประสานงานการรักษาความมั่นคงปลอดภัยคอมพิวเตอร์ประเทศไทย (ThaiCERT) ในฐานะที่เป็นหน่วยงานวิจัยและพัฒนาด้านความมั่นคงปลอดภัยระบบคอมพิวเตอร์และเครือข่ายข้อมูลสารสนเทศ อีกทั้งยังได้ศึกษาวิจัยและพัฒนาทางด้านมาตรฐานความมั่นคงปลอดภัยด้วย

   นอกจากนี้ ในเวทีความร่วมมือ RAISS ประเทศไทยในฐานะหนึ่งในประเทศสมาชิก ได้มอบหมายให้ตัวแทนจาก ThaiCERT ได้เข้าร่วมการประชุมและผลจากการร่วมงานกันทำให้คณะทำงานได้นำเสนอ Paper เพื่อเป็นแนวทางใช้งานของเจ้าหน้าที่ที่มีหน้าที่ดูแลระบบและเครือข่ายให้เป็นแนวทางที่ปฎิบัติงานประจำวันได้อย่างมั่นคงปลอดภัย โดยได้นำมาตรฐาน ISO/IEC 27001 และ ISO/IEC 17799 มาผนวกเป็นแนวทางหรือคู่มือปฎิบัติงานประจำวันของผู้ดูแลระบบและเครือข่าย ซึ่งหลังจากได้มีการเสนอ Paper ให้กับเวทีดังกล่าว กลุ่มผู้เข้าร่วมประชุมต่างให้ความเห็นกับ Paper นี้ว่าเป็นพัฒนาการที่สามารถนำไปใช้งานได้จริงและมีประเด็นที่ครอบคลุมมาตรฐานความปลอดภัยที่ค่อนข้างครบถ้วน ซึ่งภายหลังได้มีการพัฒนาและแปลร่างมาตรฐานฉบับภาษาไทยขึ้น และส่งมอบให้คณะอนุกรรมการด้านความมั่นคง ภายใต้คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์นำไปประกอบการพิจารณาเป็นแนวทางศึกษา ก่อนที่จะจัดทำร่างมาตรฐานรักษาความมั่นคงปลอดภัยที่เกี่ยวข้องกับการประกอบธุรกรรมทางอิเล็กทรอนิกส์ออกมาเผยแพร่ โดยได้มีการดำเนินการปรับปรุงแก้ไขร่างมาตรฐานที่จัดทำขึ้นและได้นำร่างมาตรฐานดังกล่าวประชาสัมพันธ์และรับฟังความคิดเห็นจากหน่วยงานที่เกี่ยวข้องและประชาชนอีกจำนวนหลายครั้ง รวมถึงได้มีการปรับปรุงร่างมาตรฐานดังกล่าวจนมีความสมบูรณ์และทันสมัย สำหรับมาตรฐานฉบับปรับปรุงล่าสุดภายใต้ชื่อ มาตรฐานการรักษาความมั่นคงปลอดภัย ในการประกอบธุรกรรมทางอิเล็กทรอนิกส์ (เวอร์ชั่น 2.5) ประจำปี 2550 ขึ้นในเดือนธันวาคมที่ผ่านมา