รีวิว ISO 27001 :2013 - ตอนที่2 ความสำคัญของการประเมินความเสี่ยงสารสนเทศ
Posted by
pryn
on
วันจันทร์ที่ 20 มกราคม พ.ศ. 2557
1
ทำความเข้าใจมาตรฐานISO27001:2013 และความสำคัญของการประเมินความเสี่ยงของสารสนเทศ (Information Security Risk Assessment)
หลังจากเล่าถึงภาพรวมของ ISO 27001 :2013 ไปในตอนที่แล้ว (รีวิว ISO27001:2013 ระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศ - ตอนที่1 ) บทความนี้จะเน้นไปที่ความเข้าใจเรื่องของความเสี่ยง(Risk)ซึ่งมีสาระสำคัญที่น่าสนใจและเป็นประโยชน์ในการนำประยุกต์ใช้งาน
การนำมาตรฐานISO27001มาใช้งาน
มี4 องค์ประกอบใหญ่คือ- จัดทำระบบ(Establish)การจัดการความมั่นคงปลอดภัยของสารสนเทศ(Information Security Management System -ISMS) คือ การเตรียมการ วางแผนเพื่อปกป้องสารสนเทศ
- นำไปปฏิบัติ(Implement) คือ นำแผนจากขั้นตอนการจัดทำระบบ(Establish)ไปปฏิบัติจริงหน้างาน ทำตามเอกสารคู่มือและลงบันทึกในแบบฟอร์ม
- รักษาไว้(Maintain) คือปฏิบัติควบคู่ไปกับการทำงานปกติ (ไม่ใช่ทำเฉพาะก่อนจะโดนตรวจAudit)
- ปรับปรุงอย่างต่อเนื่อง(Continual Improvement) คือ ทบทวนผลการทำระบบและหาจุดปรับปรุงอย่างต่อเนื่อง ไม่ใช่ทำครั้งเดียวจบ
โมเดล CIA ในISO27001
iso27001 เน้นการปกป้องข้อมูลสารสนเทศ (Information) ให้มีคุณสมบัติ 3 ประการคือ- Confidential: การปกป้องสารสนเทศให้เข้าถึงได้เฉพาะผู้ที่มีสิทธิ ถ้าหากข้อมูลรั่วไหลแสดงว่าขาดคุณสมบัติในข้อนี้
- Integrity: ปกป้องความถูกต้องสมบูรณ์ของสารสนเทศไม่ให้ถูกแก้ไขเปลี่ยนแปลงผิดไปจากความเป็นจริง เช่น การแฮกระบบเพื่อแก้ไขข้อมูล เป็นต้น
- Availability : สร้างความเชื่อมั่นว่าระบบสารสนเทศพร้อมใช้งาน
ถึงตรงนี้หลายท่านคงสงสัยว่าแล้วจะต้องป้องกันConfidentiality , Integrityเข้มงวดแค่ไหน ข้อมูลก็มีมากมายหลายประเภท ต้องป้องกันอย่างเข้มข้นเท่ากันหมดทุกข้อมูลยังเปล่า ???
การปกป้องข้อมูล(Information) จะเข้มงวดมากหรือน้อย ขึ้นอยู่กับ"ความเสี่ยง" หลักการคือ ข้อมูลใดที่เสี่ยงสูงย่อมต้องมีมาตรการปกป้องเข้มงวดกว่าข้อมูลที่มีความเสี่ยงต่ำ ตัวอย่างเช่น ข้อมูล username & password สำหรับเข้าสู่ระบบสารสนเทศขององค์กร ต้องมีมาตรการปกป้องที่เข้มงวดไม่น้อยกว่าข้อมูลทั่วไปที่ประกาศในเวบไซท์องค์กร เป็นต้น
ประเมินความเสี่ยงนั้นสำคัญไฉน
"การประเมินความเสี่ยงของสารสนเทศ(Information Security Risk Assessment)" เป็นหัวใจสำคัญของการทำระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศISO27001 นั่นคือ หากท่านประเมินความเสี่ยงไม่ถูกต้อง หรือไม่ครอบคลุม ก็จะทำให้การจัดการความเสี่ยงที่ตามมานั้นแก้ปัญหาไม่ตรงจุด และไม่ครอบคลุมตามไปด้วย ว่าไปแล้วการประเมินความเสี่ยงก็เหมือนการตรวจร่างกายนั่นแหละ ถ้าตรวจไม่ครบหรือตรวจไม่ละเอียดก็ไม่พบอาการป่วยและไม่ได้รักษา ปล่อยทิ้งไว้จนสุกงอมอาการป่วยก็แสดงออกมาในที่สุด!!แนวทางจัดการความเสี่ยง
เมื่อประเมินความเสี่ยงของสารสนเทศ จนทราบแล้วว่ามีเรื่องอะไรบ้างที่มีความเสี่ยง ไม่ว่าจะเสี่ยงมาก เสี่ยงปานกลางหรือเสี่ยงน้อย ทุกความเสี่ยงต้องมีคำตอบรองรับว่าความเสี่ยงแต่ละระดับจะจัดการอย่างไร โดยทั่วไปความเสี่ยงสูงจะมีการทำแผนงานจัดการความเสี่ยง(Risk Treatment) โดยมีมาตรการต่างๆ มาดูแลจัดการ จากนั้นเขียนเป็นคู่มือการปฏิบัติก็เป็นวิธีการที่นิยมใช้กันครับตรงนี้สำคัญนะครับ เพราะว่าผลประเมินความเสี่ยงจะเป็นตัวกำหนดว่าจะต้องทำแผนงานจัดการความเสี่ยง(Risk Treatment) เพื่อจัดการความเสี่ยงอะไรบ้าง ประเด็นเรื่องกฏหมายเป็นหัวข้อหนึ่งที่สำคัญในการประเมินความเสี่ยง หากพบว่าประเมินความเสี่ยงแล้วพบว่าเป็นรื่องผิดกฏหมาย แบบนี้จัดเป็นความเสี่ยงสูงต้องรีบแก้ไขโดยด่วน
ผู้เขียน : Pryn Sereepong, CISA, CEH, ISMS(IRCA)
pryn@ftpi.or.th
Tagged as:
27001
,
Information Security
,
ISMS
,
ISO27001
,
ISO27001:2013
,
Overview
,
Risk
,
Risk Assessment
About the Author
Write admin description here..
Get Updates
Subscribe to our e-mail newsletter to receive updates.
Share This Post
Related posts
ขอบคุณครับ
ตอบลบ