แนวทางการทำแผนจัดการความเสี่ยง ISO 27001 (Risk Treatment Plan)

Posted by pryn on วันศุกร์ที่ 11 เมษายน พ.ศ. 2557 1


ขั้นตอนที่สำคัญมากในการทำระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศ (Information Security Management System  - ISMS) ตาม ISO 27001 นั้นคือการประเมินความเสี่ยง(Risk Assessment)  หลังจากประเมินความเสี่ยงตามเกณฑ์(Risk Criteria)ที่กำหนดแล้ว ก็จะได้ได้ผลลัพธ์ออกมาเป็นความเสี่ยงระดับต่างๆ  (ในที่นี้กำหนดความเสี่ยงเป็น 2 ระดับคือความเสี่ยงที่ยอมรับได้ และความเสี่ยงสูง)  โดยความเสี่ยงแต่ละระดับก็จะมีแนวทางการจัดการที่เหมาะสม  เช่น
  1. ความเสี่ยงที่ยอมรับได้  : ดำเนินการกำหนดขั้นตอนการปฏิบัติงาน ชี้แจงสร้างความเข้าใจ ปลูกฝังจิตสำนึก  และเฝ้าระวังอย่างต่อเนื่อง
  2. ความเสี่ยงสูง :  จัดทำแผนจัดการความเสี่ยง (Risk Treatment Plan)  โดยในการทำแผนนี้ให้เลือกมาตรการ (Controls) จาก Annex A ที่เหมาะสมมาใช้งานให้ตรงกับภัยคุกคาม ช่องโหว่ และความเสี่ยง

แผนจัดการความเสี่ยง (Risk Treatment Plan)

มีวัตถุประสงค์เพื่อจัดการความเสี่ยงให้อยู่ในระดับที่ยอมรับได้  โดยแผนฯนี้มีคุณสมบัติสำคัญ 2 อย่างคือ
  1. จัดการลดโอกาสที่ภัยคุกคามจะใช้ช่องโหว่มาทำอันตรายต่อองค์กร
  2. การลดผลกระทบของ Incident ที่เกิดจากความเสี่ยงดังกล่าว

ในการเขียนแผนจัดการความเสี่ยง  ให้โฟกัสไปที่ภัยคุกคามและช่องโหว่  แล้วนำมาตรการ(Controls) ที่เกี่ยวข้อง มาประยุกต์ใช้งาน   เพื่อการลดโอกาสเกิด และลดผลกระทบจากภัยคุกคามเหล่านั้น เช่น ผลประเมินความเสี่ยงพบว่ามีความเสี่ยงของการเข้าถึงห้อง Server โดยไม่มีการควบคุม ซึ่งผลการประเมินพบว่ามีความเสี่ยงสูงจำเป็นต้องทำแผนจัดการความเสี่ยง

มาตรการที่เลือกใช้ :

1.ในกรณีนี้เป็นเรื่องของการควบคุมการเข้าถึงทางกายภาพ (Physical Access Control)  จึงเลือกมาตรการข้อ  A11.1.2  Physical entry controls (การควบคุมการเข้าออกทางกายภาพ) โดยเพิ่มอุปกรณ์ Kay Card และกล้องวงจรปิด ที่หน้าห้อง Server และเก็บข้อมูลผู้ที่ผ่านเข้าออกทุกครั้งเพื่อตรวจสอบภายหลัง

2. กำหนดนโยบายการเข้าถึงห้อง Server เป็นลายลักษณ์อักษร  ซึ่งตรงกับมาตรการเรื่อง  ข้อ A9.1.1 Access control policy  โดยอนุญาตให้ผู้เกี่ยวข้องเท่านั้นมีสิทธิผ่านเข้าออกได้ กรณีอื่นให้ร้องขอเป็นลายลักษณ์อักษร เช่น กรณีVendor มา Maintenance ต้องมีเจ้าหน้าที่ขององค์กรเป็นผู้ร้องขอและนำเข้าไป  เป็นต้น (รายละเอียดในการควบคุมนี้ ขึ้นอยู่กับบริบทของแต่ละองค์กร)

หลังจากกำหนดรายละเอียดการดำเนินงานแล้ว ก็ต้องกำหนดผู้รับผิดชอบปฏิบัติ และงบประมาณที่ต้องใช้ในการจัดหาอุปกรณ์ เครื่องมือต่างๆ ในกรณีนี้ได้แก่ ระบบ Key Card และกล้องวงจรปิด เป็นต้น


จะเห็นได้ว่าหลังจากที่เราได้กำหนดนโยบายควบคุมการเข้าถึงห้อง Server อย่างชัดเจน และมีอุปกรณ์ควบคุมเป็นรูปธรรม โอกาสที่คนไม่เกี่ยวข้องจะเข้าไปในห้อง Server จึงเป็นไปได้ยาก ทำให้ความเสี่ยงในกรณีนี้ก็ลดลงอย่างเห็นได้ชัด  กล่าวได้ว่า ความเสี่ยงลดลงบรรลุตามวัตถุประสงค์ของแผนการจัดการความเสี่ยง (Risk Treatment Plan)

อย่างไรก็ตาม แม้ความเสี่ยงจะลดลงแต่ก็มิได้หมายความว่าเราเลิกสนใจไปเลย ตรงข้ามเราจำเป็นต้องกำกับดูแล ควบคุมให้เป็นไปตามนโยบายอย่างเคร่งครัด  ได้แก่
  • ให้สิทธิผ่านเข้าออกเฉพาะผู้ที่เกี่ยวข้องเท่านั้น ตามหน้าที่ความรับผิดชอบ
  • บำรุงรักษาอุปกรณ์ระบบ Key Card ,และกล้องวงจรปิด อย่างสม่ำเสมอ
  • ตรวจสอบการจัดเก็บข้อมูล Log ทั้งของ Key card และกล้องวงจรปิดให้แน่ใจว่าจัดเก็บได้ครบถ้วน
  • ตรวจสอบย้อนหลัง ว่าผู้ที่ผ่านเข้าออกนั้นเป็นผู้ที่ได้รับอนุญาตตามนโยบาย

ผู้เขียน : Pryn Sereepong, CISA, CEH, ISMS(IRCA)
pryn@ftpi.or.th

Tagged as:
About the Author

Write admin description here..

Get Updates

Subscribe to our e-mail newsletter to receive updates.

Enter your email address:

Delivered by FeedBurner

Share This Post

Related posts

1 ความคิดเห็น :

back to top