รีวิว ISO 27001 : 2013 - ตอนที่1 พื้นฐานความมั่นคงปลอดภัยของสารสนเทศ

Posted by pryn on วันอังคารที่ 14 มกราคม พ.ศ. 2557 0

เรียนรู้มาตรฐาน ISO 27001 :2013 การจัดการความมั่นคงปลอดภัยของสารสนเทศแบบเข้าใจง่ายๆ 

 

 ผู้เขียน : Pryn Sereepong, CISA, CEH, ISMS(IRCA)

pryn@ftpi.or.th

 เกริ่นนำ

         Information Security Managment System (ISMS) Standard หรือที่รู้จักกันในนาม ISO27001 เป็นมาตรฐานที่เกี่ยวกับการบริหารจัดการข้อมูลสารสนเทศให้มั่นคงปลอดภัยครับ   พอพูดถึงข้อมูลสารสนเทศท่านอาจคิดว่าคงเป็นเรื่องไอทีล้วนๆ  ถูกต้องแล้วครับ แต่ถูกเพียงครึ่งเดียว!!

จริงๆแล้วมีเรื่องอื่นที่ต้องบริหารจัดการเช่นเดียวกัน ทั้งเรื่องคน เรื่องกฏระเบียบขององค์กร เรื่องจัดซื้อจัดจ้าง เรื่องการฝึกอบรมพนักงาน เป็นต้น เหล่าีนี้ล้วนเกี่ยวข้องกับการบริหารจัดการข้อมูลสารสนเทศให้มั่นคงปลอดภัย   ต่อให้มีระบบไอทีล้ำเลิศแค่ไหนแต่ถ้าไม่มีกฎระเบียบควบคุมที่ชัดเจน ไม่มีการอบรมให้ความรู้ผู้ใช้ และไม่มีการควบคุม Outsourceที่ดีพอ บอกได้เลยว่าองค์กรนี้เหนื่อยครับ !!

ยิ่งองค์กรมีระบบไอทีดีแต่ขาดมาตรการควบคุม พนักงานก็ใช้ทรัพยากรไปกับเรื่องที่ไม่สมควรและหลายคนทำผิดกฏหมาย เช่น พนักงานใช้คอมพิวเตอร์ขององค์กรโหลดหนังและแชร์ไฟล์ที่ละเมิดลิขสิทธิ์ แบบนี้เสี่ยงต่อการโดนจับและเสียหายต่อองค์กรแน่นอน


การจัดทำระบบบริหารจัดการ(Management System)จะต้องพิจารณาหลายด้านที่มีความเกี่ยวข้อง
  • การบริหารคน(ภายในองค์กรและภายนอก เช่น Outsource) 
  • กระบวนการและเทคโนโลยี (เข้าใจกระบวนการทำงาน และเทคโนโลยีที่เหมาะสมในการนำมาใช้งาน)   
  • บริหารงบประมาณ (การลงทุนที่คุ้มค่า)
ซึ่งท่านต้องเข้าใจทั้ง 3 ด้านข้างต้น เพื่อที่จะหาจุดสมดุลย์และเกิดประโยชน์สูงสุด อย่างไรก็ตามเมื่อลงมือทำจริงมันมีอะไรเต็มไปหมดที่ต้องทำความเข้าใจ  จะได้วางแนวทางปฏิบัติให้เหมาะสม ไม่เข้มงวดเกินไปจนทำอะไรไม่ได้(ปลอดภัยสูงสุด) หรือหลวมเกินไปจนแทบไม่ได้ควบคุมอะไรเลย
 
รีวิว ISO2700 12013 - Information Security Management System Standard - ISMS

ISO27001 มาตรฐานสากลที่ทั่วโลกยอมรับ

         องค์กร ISO - International Organization for Standardization เป็นหน่วยงานที่ให้กำเนิดมาตรฐาน ISO27001 โดยเวอร์ชั่นล่าสุดคือ  ISO27001:2013  ประกาศเมื่อ 1 ต.ค. 2013   ส่วนเวอร์แรกประกาศใช้ครั้งแรกเมื่อปี 2550 (ISO27001:2005)  หลังจากประกาศใช้ก็ได้รับความสนใจจากองค์กรทั้งภาครัฐและเอกชนทั่วโลก นำมาใช้งานและขอการรับรอง (Certification) ประเทศไทยเองก็ไม่แพ้ชาติใดในโลก มีหน่วยงานรัฐและเอกชนเริ่มทำISO27001 และขอการรับรองได้สำเร็จ เช่น บริษัท ไทยออยล์ จำกัด (มหาชน)  บริษัท ทรู อินเทอร์เน็ต ดาต้าเซ็นเตอร์ จำกัด(True IDC) และรัฐวิสาหกิจอีกหลายแห่ง  ท่านดูชื่อแล้วคงนึกว่า มีแต่เทพๆทั้งนั้น องค์กรเล็กๆอย่างเราจะทำได้หรือ ??   คำตอบคือ ทำได้ครับ  มาตรฐานนี้ออกแบบมาให้ใช้ได้ประเภทธุรกิจ หน่วยราชการ สถานศึกษา  และใช้ได้กับองค์กรทั้งขนาดเล็กและขนาดใหญ่อย่างบริษัทข้ามชาติ ทำได้เหมือนกันครับ  

ทำไปทำไม

         ลองนึกภาพดูสมมติท่านไปใช้บริการหน่วยงานราชการแห่งหนึ่ง ปรากฏว่าระบบไอทีล่มให้บริการไม่ได้ เจอแบบนี้ประชาชนผู้ใช้บริการเดือดร้อนแน่นอน ผู้บริหารหน่วยราชการนั้นคงเหงื่อตกและเร่งแก้ปัญหาเฉพาะหน้าเป็นการด่วน     แน่นอนว่าระบบสารสนเทศทุกวันนี้เปรียบเสมือนเส้นเลือดของธุรกิจ คงไม่ดีแน่ถ้าไอทีล่มบ่อย หรือข้อมูลหาย  จะดีกว่ามั้ยถ้ามีระบบอะไรซักอย่างที่ทำให้แน่ใจได้ว่า ระบบข้อมูลสารสนเทศสามารถใ้ห้บริการตามปกติ  ข้อมูลได้รับการปกป้อง และหากเกิดขัดข้องก็สามารถรับมือและกู้ระบบคืนได้  ระบบที่ว่านี้ก็คือ ISO27001 พระเอกของเราล่ะครับ

ดังนั้นการที่จะมั่นใจได้ว่าระบบฯของเรามีความมั่นคงปลอดภัย ก็คือเราจะต้องรู้ว่ามีภัยคุกคามอะไรบ้างที่อาจมาโจมตี ทำให้สารสนเทศของเราเกิดความเสียหาย   จากนั้นจึงประเมินความเสี่ยงและกำหนดมาตรการจัดการกับภัยคุกคาม ให้แน่ใจว่าสามารถรับมือภัยคุกคามเหล่านั้นได้อย่างเหมาะสม

ISO27001 ทำยากมั้ย กลัวจะทำไม่สำเร็จ

นี่เป็นคำถามยอดฮิตเลยครับ   คำถามที่ว่าทำยากมั้ย ตอบได้เลยว่าไม่ยาก ถ้ามีความรู้และความเข้าใจ 2 เรื่องใหญ่ๆ คือ
  1. เข้าใจองค์กรตัวเอง 
  2. เข้าใจมาตรฐานว่าต้องทำอะไรบ้าง

1.เข้าใจองค์กรตนเอง :

         ต้องสำรวจข้อมูล ซอฟแวร์ ฮาร์ดแวร์ บุคลากร ในขอบเขตที่จัดทำระบบ  ข้อมูลนี้ยิ่งมีรายละเอียดยิ่งดี  หากหน่วยงานท่านเป็นราชการ บัญชีครุภัณฑ์เป็นจุดเริ่มต้นที่ดีในการรวบรวมข้อมูล Hardware ,Software ครับ

         เข้าใจภาระกิจขององค์กร  รู้ว่าระบบงานใดสำคัญที่สุดและระบบงานต่างๆ มีข้อจำกัดและจุดอ่อนอะไรบ้าง  รู้ไปทำไมหรือครับ ?  ก็รู้เพื่อที่จะไปหามาตรการมาจัดการกำจัดจุดอ่อนนะสิครับ  เช่น ระบบฐานข้อมูลทำงานอยู่บนเครื่องServerที่เก่าแก่มาก เก่าขนาดที่ไม่มี Spare part  หากServerนี้พังไปก็โบกมือลาได้เลยเพราะซ่อมไม่ได้ !!   ในกรณีนี้จุดอ่อนก็คือ Server ที่เก่าบุโรทั่ง มีความเสี่ยงที่จะลาโลกไปเมื่อไหร่ก็ได้ ดังนั้นท่านก็ต้องหามาตรการมาจัดการความเสี่ยงนี้ โดยจัดหาเครื่องใหม่  ซึ่งปัจจุบันนิยมใช้เทคโนโลยีVirtualization เข้ามาบริหารจัดการ ทั้งนี้ก็แล้วแต่แนวทางและขีดความสามารถของแต่ละองค์กรครับ

2.เข้าใจมาตรฐาน :

         จะนำมาตรฐาน ISO27001 มาใช้งาน ก็ต้องทำความเข้าใจในตัวมาตรฐานเสียก่อน ว่าต้องทำอะไรบ้าง ทั้งเรื่องเอกสาร(Documents) และการนำไปใช้งานจริง (Implementation)  ข้อกำหนดของ ISO27001:2013 ฉบับของ ISO-International Organization for Standardization  นั้นเป็นภาษาอังกฤษ  หากท่านต้องการศึกษามาตรฐานฉบับเต็ม มี 2 วิธีครับ
  • ติดต่อซื้อมาตรฐาน ISO27001 จากเวบไซท์ของ ISO  ตาม link นี้ครับ    http://bit.ly/19V19RS
  • ไปขออ่านได้ที่ห้องสมุดสำนักงานมาตรฐานผลิตภัณฑ์อุตสาหกรรม สมอ. ตั้งอยู่ที่กระทรวงอุตสาหกรรม ตรงข้ามรพ.รามาฯนั่นแหละครับ   ค้นหาข้อมูลมาตรฐานได้จากห้องสมุด สมอ. ตามนี้ครับ   http://bit.ly/1iWnLnD

งบประมาณเท่าไหร่พอ

         งบประมาณจำเป็นต้องมีครับ แต่ใช้งบประมาณมากหรือน้อยขึ้นอยู่กับสิ่งที่องค์กรท่านยังขาด เช่น ประเมินความเสี่ยงมาแล้วพบว่าท่านยังไม่มีระบบจัดเก็บข้อมูลจราจรทางคอมพิวเตอร์(log) แบบนี้งานเข้าครับ เพราะผิดกฏหมาย!!   ท่านจำเป็นต้องจัดหามาโดยด่วน  หรือพบว่าเครื่อง Server ของท่านเก่าบุโรทั่ง มีโอกาสลาโลกไปแบบไม่ฟื้นเมื่อไหร่ก็ได้  แบบนี้ท่านจำเป็นต้องมีงบประมาณเพื่อจัดหาใหม่มาทดแทนครับ   และที่พบค่อนข้างมากในหลายองค์คือไม่มีมาตรการหรือเครื่องมือเฝ้าระวังตรวจจับทางด้านความมั่นคงปลอดภัยของสารสนเทศ อันนี้ก็จำเป็นต้องลงทุนจัดหามาใช้งาน  และสุดท้ายหากจะขอใบรับรองISO27001ก็ต้องมีค่าตรวจประเมินรับรองระบบ(Certification) ซึ่งตรวจประเมินโดยหน่วยงานที่เรียกว่า Certified body ครับ

 เริ่มต้นยังไงดี

Step1 : ก่อนอื่นท่านต้องกำหนดขอบเขต(Scope)ที่จะทำISO27001  หรือพูดอีกอย่างหนึ่งก็คือ ท่านต้องการให้ระบบงานหรือกิจกรรมอะไรบ้างที่ถูกควบคุมดูแลภายใต้ISO27001 เพื่อให้มั่นใจว่าสารสนเทศของระบบงาน หรือกิจกรรมนั้นๆ มีความมั่นคงปลอดภัย

 ว่าไปแล้ว ขอบเขตนี่สำคัญมากครับ เพราะถ้าขอบเขตเล็กเกินไปไม่สะท้อนperformanceเพียงพอ ก็อาจจะมีปัญหาในตอนยื่นขอตรวจรับรองระบบ แต่ถ้าใหญ่เกินไปก็จะทำให้สำเร็จได้ยาก

Step2 : ศึกษามาตรฐาน ISO27001 ให้เข้าใจหลักการพื้นฐานและแนวทางการนำไปใช้งาน

  •     ท่านสามารถไปขออ่าน(หรือสำเนาไว้ศึกษา แต่เวลาขอการรับรองแนะนำให้ซื้อฉบับที่มีลิขสิทธิ์ครับ)ได้ที่ห้องสมุดสำนักงานมาตรฐานผลิตภัณฑ์อุตสาหกรรม (สมอ) กระทรวงอุตสาหกรรม รายละเอียดข้อมูลตามนี้ครับ http://bit.ly/1iWnLnD
  •     หรือสั่งซื้อฉบับมีลิขสิทธิ์จากเวบของ ISO ตามlink นี้ http://bit.ly/19V19RS

Step3 : ทำการประเมินองค์กรเบื้องต้นให้รู้ว่าองค์กรยังขาดอะไรบ้างเืมื่อเทียบกับสิ่งที่ต้องมีตามมาตรฐานISO27001  ขั้นตอนนี้ท่านจะต้องมีความรู้ในข้อกำหนดของ ISO27001 พอสมควรนะครับ ถึงจะประเมินได้ว่าข้อไหนมีแล้วข้อไหนยังขาด


         สำหรับการเริ่มต้นมี 3 step ข้างต้น  หลังจากการประเมินองค์กรเบื้องต้นใน Step3  ท่านก็จะรู้ว่ายังขาดอะไรบ้าง มีประเด็นอะไรที่ยังไม่สอดคล้องตามกฎหมายหรือไม่ ถ้ามีก็ให้สรุปประเด็นเสนอผู้บริหารเพื่อเร่งดำเนินการครับ


สำหรับบทความถัดไป  เป็นตอนที่2 ซึ่งจะลงรายละเอียดในตัวมาตรฐาน ISO27001:2013  โปรดติดตามได้จาก blog นี้ครับผม



 คลิก !! ตอนที่2 :  รีวิว ISO27001:2013 - ตอนที่2 ความสำคัญของการประเมินความเสี่ยงสารสนเทศ

คลิก !!   แนวทางการทำ ISO27001:2013 Project Master Plan

 

เนื้อหาที่เกี่ยวข้อง
1. องค์ประกอบของความมั่นคงปลอดภัยของสารสนเทศ
2. บันได 4 ขั้นสู่มาตรฐาน ISO 27001 Information Security Management
3. ภัยคุกคาม และช่องโหว่ (Threat and Vulnerability)

About the Author

Write admin description here..

Get Updates

Subscribe to our e-mail newsletter to receive updates.

Enter your email address:

Delivered by FeedBurner

Share This Post

Related posts

0 ความคิดเห็น :

back to top