รีวิว ISO 27001 :2013 - ตอนที่2 ความสำคัญของการประเมินความเสี่ยงสารสนเทศ

Posted by pryn on วันจันทร์ที่ 20 มกราคม พ.ศ. 2557 1

ทำความเข้าใจมาตรฐานISO27001:2013 และความสำคัญของการประเมินความเสี่ยงของสารสนเทศ (Information Security Risk Assessment)

หลังจากเล่าถึงภาพรวมของ ISO 27001 :2013 ไปในตอนที่แล้ว (รีวิว ISO27001:2013 ระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศ - ตอนที่1 ) บทความนี้จะเน้นไปที่ความเข้าใจเรื่องของความเสี่ยง(Risk)ซึ่งมีสาระสำคัญที่น่าสนใจและเป็นประโยชน์ในการนำประยุกต์ใช้งาน

การนำมาตรฐานISO27001มาใช้งาน

มี4 องค์ประกอบใหญ่คือ

จัดทำระบบ(Establish)การจัดการความมั่นคงปลอดภัยของสารสนเทศ(Information Security Management System -ISMS) คือ การเตรียมการ วางแผนเพื่อปกป้องสารสนเทศ
นำไปปฏิบัติ(Implement) คือ นำแผนจากขั้นตอนการจัดทำระบบ(Establish)ไปปฏิบัติจริงหน้างาน ทำตามเอกสารคู่มือและลงบันทึกในแบบฟอร์ม
รักษาไว้(Maintain) คือปฏิบัติควบคู่ไปกับการทำงานปกติ (ไม่ใช่ทำเฉพาะก่อนจะโดนตรวจAudit)
ปรับปรุงอย่างต่อเนื่อง(Continual Improvement) คือ ทบทวนผลการทำระบบและหาจุดปรับปรุงอย่างต่อเนื่อง ไม่ใช่ทำครั้งเดียวจบ

การทำระบบ ISO27001ให้มีประสิทธิภาพ ท่านต้องทำตาม 4 ข้อข้างต้นให้ครบถ้วน ตั้งแต่ จัดทำระบบ(Establish), นำไปปฏิบัติ(Implement) , รักษาไว้(Maintain) และ Continual Improvement และต้องมีหลักฐาน(ทั้งเอกสารและผลการปฏิบัติ) ที่น่าเชื่อถือ สะท้อนความเป็นจริงและตรวจสอบย้อนหลังได้

โมเดล CIA ในISO27001

iso27001 เน้นการปกป้องข้อมูลสารสนเทศ (Information) ให้มีคุณสมบัติ 3 ประการคือ

Confidential: การปกป้องสารสนเทศให้เข้าถึงได้เฉพาะผู้ที่มีสิทธิ ถ้าหากข้อมูลรั่วไหลแสดงว่าขาดคุณสมบัติในข้อนี้
Integrity: ปกป้องความถูกต้องสมบูรณ์ของสารสนเทศไม่ให้ถูกแก้ไขเปลี่ยนแปลงผิดไปจากความเป็นจริง เช่น การแฮกระบบเพื่อแก้ไขข้อมูล เป็นต้น
Availability : สร้างความเชื่อมั่นว่าระบบสารสนเทศพร้อมใช้งาน

ถึงตรงนี้หลายท่านคงสงสัยว่าแล้วจะต้องป้องกันConfidentiality , Integrityเข้มงวดแค่ไหน ข้อมูลก็มีมากมายหลายประเภท ต้องป้องกันอย่างเข้มข้นเท่ากันหมดทุกข้อมูลยังเปล่า ???
การปกป้องข้อมูล(Information) จะเข้มงวดมากหรือน้อย ขึ้นอยู่กับ"ความเสี่ยง" หลักการคือ ข้อมูลใดที่เสี่ยงสูงย่อมต้องมีมาตรการปกป้องเข้มงวดกว่าข้อมูลที่มีความเสี่ยงต่ำ ตัวอย่างเช่น ข้อมูล username & password สำหรับเข้าสู่ระบบสารสนเทศขององค์กร ต้องมีมาตรการปกป้องที่เข้มงวดไม่น้อยกว่าข้อมูลทั่วไปที่ประกาศในเวบไซท์องค์กร เป็นต้น

ประเมินความเสี่ยงนั้นสำคัญไฉน

"การประเมินความเสี่ยงของสารสนเทศ(Information Security Risk Assessment)" เป็นหัวใจสำคัญของการทำระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศISO27001 นั่นคือ หากท่านประเมินความเสี่ยงไม่ถูกต้อง หรือไม่ครอบคลุม ก็จะทำให้การจัดการความเสี่ยงที่ตามมานั้นแก้ปัญหาไม่ตรงจุด และไม่ครอบคลุมตามไปด้วย ว่าไปแล้วการประเมินความเสี่ยงก็เหมือนการตรวจร่างกายนั่นแหละ ถ้าตรวจไม่ครบหรือตรวจไม่ละเอียดก็ไม่พบอาการป่วยและไม่ได้รักษา ปล่อยทิ้งไว้จนสุกงอมอาการป่วยก็แสดงออกมาในที่สุด!!

แนวทางจัดการความเสี่ยง

เมื่อประเมินความเสี่ยงของสารสนเทศ จนทราบแล้วว่ามีเรื่องอะไรบ้างที่มีความเสี่ยง ไม่ว่าจะเสี่ยงมาก เสี่ยงปานกลางหรือเสี่ยงน้อย ทุกความเสี่ยงต้องมีคำตอบรองรับว่าความเสี่ยงแต่ละระดับจะจัดการอย่างไร โดยทั่วไปความเสี่ยงสูงจะมีการทำแผนงานจัดการความเสี่ยง(Risk Treatment) โดยมีมาตรการต่างๆ มาดูแลจัดการ จากนั้นเขียนเป็นคู่มือการปฏิบัติก็เป็นวิธีการที่นิยมใช้กันครับ

ตรงนี้สำคัญนะครับ เพราะว่าผลประเมินความเสี่ยงจะเป็นตัวกำหนดว่าจะต้องทำแผนงานจัดการความเสี่ยง(Risk Treatment) เพื่อจัดการความเสี่ยงอะไรบ้าง ประเด็นเรื่องกฏหมายเป็นหัวข้อหนึ่งที่สำคัญในการประเมินความเสี่ยง หากพบว่าประเมินความเสี่ยงแล้วพบว่าเป็นรื่องผิดกฏหมาย แบบนี้จัดเป็นความเสี่ยงสูงต้องรีบแก้ไขโดยด่วน

ผู้เขียน : Pryn Sereepong, CISA, CEH, ISMS(IRCA)
pryn@ftpi.or.th

Club27001 Information Security