รีวิว ISO 27001 : 2013 - ตอนที่1 พื้นฐานความมั่นคงปลอดภัยของสารสนเทศ
Posted by
pryn
on
วันอังคารที่ 14 มกราคม พ.ศ. 2557
0
เรียนรู้มาตรฐาน ISO 27001 :2013 การจัดการความมั่นคงปลอดภัยของสารสนเทศแบบเข้าใจง่ายๆ
ผู้เขียน : Pryn Sereepong, CISA, CEH, ISMS(IRCA)
pryn@ftpi.or.thเกริ่นนำ
Information Security Managment System (ISMS) Standard หรือที่รู้จักกันในนาม ISO27001 เป็นมาตรฐานที่เกี่ยวกับการบริหารจัดการข้อมูลสารสนเทศให้มั่นคงปลอดภัยครับ พอพูดถึงข้อมูลสารสนเทศท่านอาจคิดว่าคงเป็นเรื่องไอทีล้วนๆ ถูกต้องแล้วครับ แต่ถูกเพียงครึ่งเดียว!!จริงๆแล้วมีเรื่องอื่นที่ต้องบริหารจัดการเช่นเดียวกัน ทั้งเรื่องคน เรื่องกฏระเบียบขององค์กร เรื่องจัดซื้อจัดจ้าง เรื่องการฝึกอบรมพนักงาน เป็นต้น เหล่าีนี้ล้วนเกี่ยวข้องกับการบริหารจัดการข้อมูลสารสนเทศให้มั่นคงปลอดภัย ต่อให้มีระบบไอทีล้ำเลิศแค่ไหนแต่ถ้าไม่มีกฎระเบียบควบคุมที่ชัดเจน ไม่มีการอบรมให้ความรู้ผู้ใช้ และไม่มีการควบคุม Outsourceที่ดีพอ บอกได้เลยว่าองค์กรนี้เหนื่อยครับ !!
ยิ่งองค์กรมีระบบไอทีดีแต่ขาดมาตรการควบคุม พนักงานก็ใช้ทรัพยากรไปกับเรื่องที่ไม่สมควรและหลายคนทำผิดกฏหมาย เช่น พนักงานใช้คอมพิวเตอร์ขององค์กรโหลดหนังและแชร์ไฟล์ที่ละเมิดลิขสิทธิ์ แบบนี้เสี่ยงต่อการโดนจับและเสียหายต่อองค์กรแน่นอน
การจัดทำระบบบริหารจัดการ(Management System)จะต้องพิจารณาหลายด้านที่มีความเกี่ยวข้อง
- การบริหารคน(ภายในองค์กรและภายนอก เช่น Outsource)
- กระบวนการและเทคโนโลยี (เข้าใจกระบวนการทำงาน และเทคโนโลยีที่เหมาะสมในการนำมาใช้งาน)
- บริหารงบประมาณ (การลงทุนที่คุ้มค่า)
ISO27001 มาตรฐานสากลที่ทั่วโลกยอมรับ
องค์กร ISO - International Organization for Standardization เป็นหน่วยงานที่ให้กำเนิดมาตรฐาน ISO27001 โดยเวอร์ชั่นล่าสุดคือ ISO27001:2013 ประกาศเมื่อ 1 ต.ค. 2013 ส่วนเวอร์แรกประกาศใช้ครั้งแรกเมื่อปี 2550 (ISO27001:2005) หลังจากประกาศใช้ก็ได้รับความสนใจจากองค์กรทั้งภาครัฐและเอกชนทั่วโลก นำมาใช้งานและขอการรับรอง (Certification) ประเทศไทยเองก็ไม่แพ้ชาติใดในโลก มีหน่วยงานรัฐและเอกชนเริ่มทำISO27001 และขอการรับรองได้สำเร็จ เช่น บริษัท ไทยออยล์ จำกัด (มหาชน) บริษัท ทรู อินเทอร์เน็ต ดาต้าเซ็นเตอร์ จำกัด(True IDC) และรัฐวิสาหกิจอีกหลายแห่ง ท่านดูชื่อแล้วคงนึกว่า มีแต่เทพๆทั้งนั้น องค์กรเล็กๆอย่างเราจะทำได้หรือ ?? คำตอบคือ ทำได้ครับ มาตรฐานนี้ออกแบบมาให้ใช้ได้ประเภทธุรกิจ หน่วยราชการ สถานศึกษา และใช้ได้กับองค์กรทั้งขนาดเล็กและขนาดใหญ่อย่างบริษัทข้ามชาติ ทำได้เหมือนกันครับทำไปทำไม
ลองนึกภาพดูสมมติท่านไปใช้บริการหน่วยงานราชการแห่งหนึ่ง ปรากฏว่าระบบไอทีล่มให้บริการไม่ได้ เจอแบบนี้ประชาชนผู้ใช้บริการเดือดร้อนแน่นอน ผู้บริหารหน่วยราชการนั้นคงเหงื่อตกและเร่งแก้ปัญหาเฉพาะหน้าเป็นการด่วน แน่นอนว่าระบบสารสนเทศทุกวันนี้เปรียบเสมือนเส้นเลือดของธุรกิจ คงไม่ดีแน่ถ้าไอทีล่มบ่อย หรือข้อมูลหาย จะดีกว่ามั้ยถ้ามีระบบอะไรซักอย่างที่ทำให้แน่ใจได้ว่า ระบบข้อมูลสารสนเทศสามารถใ้ห้บริการตามปกติ ข้อมูลได้รับการปกป้อง และหากเกิดขัดข้องก็สามารถรับมือและกู้ระบบคืนได้ ระบบที่ว่านี้ก็คือ ISO27001 พระเอกของเราล่ะครับดังนั้นการที่จะมั่นใจได้ว่าระบบฯของเรามีความมั่นคงปลอดภัย ก็คือเราจะต้องรู้ว่ามีภัยคุกคามอะไรบ้างที่อาจมาโจมตี ทำให้สารสนเทศของเราเกิดความเสียหาย จากนั้นจึงประเมินความเสี่ยงและกำหนดมาตรการจัดการกับภัยคุกคาม ให้แน่ใจว่าสามารถรับมือภัยคุกคามเหล่านั้นได้อย่างเหมาะสม
ISO27001 ทำยากมั้ย กลัวจะทำไม่สำเร็จ
นี่เป็นคำถามยอดฮิตเลยครับ คำถามที่ว่าทำยากมั้ย ตอบได้เลยว่าไม่ยาก ถ้ามีความรู้และความเข้าใจ 2 เรื่องใหญ่ๆ คือ- เข้าใจองค์กรตัวเอง
- เข้าใจมาตรฐานว่าต้องทำอะไรบ้าง
1.เข้าใจองค์กรตนเอง :
ต้องสำรวจข้อมูล ซอฟแวร์ ฮาร์ดแวร์ บุคลากร ในขอบเขตที่จัดทำระบบ ข้อมูลนี้ยิ่งมีรายละเอียดยิ่งดี หากหน่วยงานท่านเป็นราชการ บัญชีครุภัณฑ์เป็นจุดเริ่มต้นที่ดีในการรวบรวมข้อมูล Hardware ,Software ครับเข้าใจภาระกิจขององค์กร รู้ว่าระบบงานใดสำคัญที่สุดและระบบงานต่างๆ มีข้อจำกัดและจุดอ่อนอะไรบ้าง รู้ไปทำไมหรือครับ ? ก็รู้เพื่อที่จะไปหามาตรการมาจัดการกำจัดจุดอ่อนนะสิครับ เช่น ระบบฐานข้อมูลทำงานอยู่บนเครื่องServerที่เก่าแก่มาก เก่าขนาดที่ไม่มี Spare part หากServerนี้พังไปก็โบกมือลาได้เลยเพราะซ่อมไม่ได้ !! ในกรณีนี้จุดอ่อนก็คือ Server ที่เก่าบุโรทั่ง มีความเสี่ยงที่จะลาโลกไปเมื่อไหร่ก็ได้ ดังนั้นท่านก็ต้องหามาตรการมาจัดการความเสี่ยงนี้ โดยจัดหาเครื่องใหม่ ซึ่งปัจจุบันนิยมใช้เทคโนโลยีVirtualization เข้ามาบริหารจัดการ ทั้งนี้ก็แล้วแต่แนวทางและขีดความสามารถของแต่ละองค์กรครับ
2.เข้าใจมาตรฐาน :
จะนำมาตรฐาน ISO27001 มาใช้งาน ก็ต้องทำความเข้าใจในตัวมาตรฐานเสียก่อน ว่าต้องทำอะไรบ้าง ทั้งเรื่องเอกสาร(Documents) และการนำไปใช้งานจริง (Implementation) ข้อกำหนดของ ISO27001:2013 ฉบับของ ISO-International Organization for Standardization นั้นเป็นภาษาอังกฤษ หากท่านต้องการศึกษามาตรฐานฉบับเต็ม มี 2 วิธีครับ- ติดต่อซื้อมาตรฐาน ISO27001 จากเวบไซท์ของ ISO ตาม link นี้ครับ http://bit.ly/19V19RS
- ไปขออ่านได้ที่ห้องสมุดสำนักงานมาตรฐานผลิตภัณฑ์อุตสาหกรรม สมอ. ตั้งอยู่ที่กระทรวงอุตสาหกรรม ตรงข้ามรพ.รามาฯนั่นแหละครับ ค้นหาข้อมูลมาตรฐานได้จากห้องสมุด สมอ. ตามนี้ครับ http://bit.ly/1iWnLnD
งบประมาณเท่าไหร่พอ
งบประมาณจำเป็นต้องมีครับ แต่ใช้งบประมาณมากหรือน้อยขึ้นอยู่กับสิ่งที่องค์กรท่านยังขาด เช่น ประเมินความเสี่ยงมาแล้วพบว่าท่านยังไม่มีระบบจัดเก็บข้อมูลจราจรทางคอมพิวเตอร์(log) แบบนี้งานเข้าครับ เพราะผิดกฏหมาย!! ท่านจำเป็นต้องจัดหามาโดยด่วน หรือพบว่าเครื่อง Server ของท่านเก่าบุโรทั่ง มีโอกาสลาโลกไปแบบไม่ฟื้นเมื่อไหร่ก็ได้ แบบนี้ท่านจำเป็นต้องมีงบประมาณเพื่อจัดหาใหม่มาทดแทนครับ และที่พบค่อนข้างมากในหลายองค์คือไม่มีมาตรการหรือเครื่องมือเฝ้าระวังตรวจจับทางด้านความมั่นคงปลอดภัยของสารสนเทศ อันนี้ก็จำเป็นต้องลงทุนจัดหามาใช้งาน และสุดท้ายหากจะขอใบรับรองISO27001ก็ต้องมีค่าตรวจประเมินรับรองระบบ(Certification) ซึ่งตรวจประเมินโดยหน่วยงานที่เรียกว่า Certified body ครับเริ่มต้นยังไงดี
Step1 : ก่อนอื่นท่านต้องกำหนดขอบเขต(Scope)ที่จะทำISO27001 หรือพูดอีกอย่างหนึ่งก็คือ ท่านต้องการให้ระบบงานหรือกิจกรรมอะไรบ้างที่ถูกควบคุมดูแลภายใต้ISO27001 เพื่อให้มั่นใจว่าสารสนเทศของระบบงาน หรือกิจกรรมนั้นๆ มีความมั่นคงปลอดภัย
ว่าไปแล้ว ขอบเขตนี่สำคัญมากครับ เพราะถ้าขอบเขตเล็กเกินไปไม่สะท้อนperformanceเพียงพอ ก็อาจจะมีปัญหาในตอนยื่นขอตรวจรับรองระบบ แต่ถ้าใหญ่เกินไปก็จะทำให้สำเร็จได้ยากStep2 : ศึกษามาตรฐาน ISO27001 ให้เข้าใจหลักการพื้นฐานและแนวทางการนำไปใช้งาน
- ท่านสามารถไปขออ่าน(หรือสำเนาไว้ศึกษา แต่เวลาขอการรับรองแนะนำให้ซื้อฉบับที่มีลิขสิทธิ์ครับ)ได้ที่ห้องสมุดสำนักงานมาตรฐานผลิตภัณฑ์อุตสาหกรรม (สมอ) กระทรวงอุตสาหกรรม รายละเอียดข้อมูลตามนี้ครับ http://bit.ly/1iWnLnD
- หรือสั่งซื้อฉบับมีลิขสิทธิ์จากเวบของ ISO ตามlink นี้ http://bit.ly/19V19RS
Step3 : ทำการประเมินองค์กรเบื้องต้นให้รู้ว่าองค์กรยังขาดอะไรบ้างเืมื่อเทียบกับสิ่งที่ต้องมีตามมาตรฐานISO27001 ขั้นตอนนี้ท่านจะต้องมีความรู้ในข้อกำหนดของ ISO27001 พอสมควรนะครับ ถึงจะประเมินได้ว่าข้อไหนมีแล้วข้อไหนยังขาด
สำหรับการเริ่มต้นมี 3 step ข้างต้น หลังจากการประเมินองค์กรเบื้องต้นใน Step3 ท่านก็จะรู้ว่ายังขาดอะไรบ้าง มีประเด็นอะไรที่ยังไม่สอดคล้องตามกฎหมายหรือไม่ ถ้ามีก็ให้สรุปประเด็นเสนอผู้บริหารเพื่อเร่งดำเนินการครับ
สำหรับบทความถัดไป เป็นตอนที่2 ซึ่งจะลงรายละเอียดในตัวมาตรฐาน ISO27001:2013 โปรดติดตามได้จาก blog นี้ครับผม
คลิก !! ตอนที่2 : รีวิว ISO27001:2013 - ตอนที่2 ความสำคัญของการประเมินความเสี่ยงสารสนเทศ
คลิก !! แนวทางการทำ ISO27001:2013 Project Master Plan
เนื้อหาที่เกี่ยวข้อง
1. องค์ประกอบของความมั่นคงปลอดภัยของสารสนเทศ
2. บันได 4 ขั้นสู่มาตรฐาน ISO 27001 Information Security Management
3. ภัยคุกคาม และช่องโหว่ (Threat and Vulnerability)
About the Author
Write admin description here..
Get Updates
Subscribe to our e-mail newsletter to receive updates.
Share This Post
Related posts
0 ความคิดเห็น :