แนวทางการทำแผนจัดการความเสี่ยง ISO 27001 (Risk Treatment Plan)
Posted by
pryn
on
วันศุกร์ที่ 11 เมษายน พ.ศ. 2557
2
ผู้เขียน ปริญญ์ เสรีพงศ์ CISA CEH ISMS(IRCA)
Email : mr.pryn@gmail.com
ขั้นตอนที่สำคัญมากในการทำระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศ (Information Security Management System - ISMS) ตาม ISO 27001 นั้นคือการประเมินความเสี่ยง(Risk Assessment) หลังจากประเมินความเสี่ยงตามเกณฑ์(Risk Criteria)ที่กำหนดแล้ว ก็จะได้ได้ผลลัพธ์ออกมาเป็นความเสี่ยงระดับต่างๆ (ในที่นี้กำหนดความเสี่ยงเป็น 2 ระดับคือความเสี่ยงที่ยอมรับได้ และความเสี่ยงสูง) โดยความเสี่ยงแต่ละระดับก็จะมีแนวทางการจัดการที่เหมาะสม เช่น
ในการเขียนแผนจัดการความเสี่ยง ให้โฟกัสไปที่ภัยคุกคามและช่องโหว่ แล้วนำมาตรการ(Controls) ที่เกี่ยวข้อง มาประยุกต์ใช้งาน เพื่อการลดโอกาสเกิด และลดผลกระทบจากภัยคุกคามเหล่านั้น เช่น ผลประเมินความเสี่ยงพบว่ามีความเสี่ยงของการเข้าถึงห้อง Server โดยไม่มีการควบคุม ซึ่งผลการประเมินพบว่ามีความเสี่ยงสูงจำเป็นต้องทำแผนจัดการความเสี่ยง
มาตรการที่เลือกใช้ :
1.ในกรณีนี้เป็นเรื่องของการควบคุมการเข้าถึงทางกายภาพ (Physical Access Control) จึงเลือกมาตรการข้อ A11.1.2 Physical entry controls (การควบคุมการเข้าออกทางกายภาพ) โดยเพิ่มอุปกรณ์ Kay Card และกล้องวงจรปิด ที่หน้าห้อง Server และเก็บข้อมูลผู้ที่ผ่านเข้าออกทุกครั้งเพื่อตรวจสอบภายหลัง
2. กำหนดนโยบายการเข้าถึงห้อง Server เป็นลายลักษณ์อักษร ซึ่งตรงกับมาตรการเรื่อง ข้อ A9.1.1 Access control policy โดยอนุญาตให้ผู้เกี่ยวข้องเท่านั้นมีสิทธิผ่านเข้าออกได้ กรณีอื่นให้ร้องขอเป็นลายลักษณ์อักษร เช่น กรณีVendor มา Maintenance ต้องมีเจ้าหน้าที่ขององค์กรเป็นผู้ร้องขอและนำเข้าไป เป็นต้น (รายละเอียดในการควบคุมนี้ ขึ้นอยู่กับบริบทของแต่ละองค์กร)
หลังจากกำหนดรายละเอียดการดำเนินงานแล้ว ก็ต้องกำหนดผู้รับผิดชอบปฏิบัติ และงบประมาณที่ต้องใช้ในการจัดหาอุปกรณ์ เครื่องมือต่างๆ ในกรณีนี้ได้แก่ ระบบ Key Card และกล้องวงจรปิด เป็นต้น
จะเห็นได้ว่าหลังจากที่เราได้กำหนดนโยบายควบคุมการเข้าถึงห้อง Server อย่างชัดเจน และมีอุปกรณ์ควบคุมเป็นรูปธรรม โอกาสที่คนไม่เกี่ยวข้องจะเข้าไปในห้อง Server จึงเป็นไปได้ยาก ทำให้ความเสี่ยงในกรณีนี้ก็ลดลงอย่างเห็นได้ชัด กล่าวได้ว่า ความเสี่ยงลดลงบรรลุตามวัตถุประสงค์ของแผนการจัดการความเสี่ยง (Risk Treatment Plan)
อย่างไรก็ตาม แม้ความเสี่ยงจะลดลงแต่ก็มิได้หมายความว่าเราเลิกสนใจไปเลย ตรงข้ามเราจำเป็นต้องกำกับดูแล ควบคุมให้เป็นไปตามนโยบายอย่างเคร่งครัด ได้แก่
ผู้เขียน : Pryn Sereepong, CISA, CEH, ISMS(IRCA)
pryn@ftpi.or.th
- ความเสี่ยงที่ยอมรับได้ : ดำเนินการกำหนดขั้นตอนการปฏิบัติงาน ชี้แจงสร้างความเข้าใจ ปลูกฝังจิตสำนึก และเฝ้าระวังอย่างต่อเนื่อง
- ความเสี่ยงสูง : จัดทำแผนจัดการความเสี่ยง (Risk Treatment Plan) โดยในการทำแผนนี้ให้เลือกมาตรการ (Controls) จาก Annex A ที่เหมาะสมมาใช้งานให้ตรงกับภัยคุกคาม ช่องโหว่ และความเสี่ยง
แผนจัดการความเสี่ยง (Risk Treatment Plan)
มีวัตถุประสงค์เพื่อจัดการความเสี่ยงให้อยู่ในระดับที่ยอมรับได้ โดยแผนฯนี้มีคุณสมบัติสำคัญ 2 อย่างคือ- จัดการลดโอกาสที่ภัยคุกคามจะใช้ช่องโหว่มาทำอันตรายต่อองค์กร
- การลดผลกระทบของ Incident ที่เกิดจากความเสี่ยงดังกล่าว
ในการเขียนแผนจัดการความเสี่ยง ให้โฟกัสไปที่ภัยคุกคามและช่องโหว่ แล้วนำมาตรการ(Controls) ที่เกี่ยวข้อง มาประยุกต์ใช้งาน เพื่อการลดโอกาสเกิด และลดผลกระทบจากภัยคุกคามเหล่านั้น เช่น ผลประเมินความเสี่ยงพบว่ามีความเสี่ยงของการเข้าถึงห้อง Server โดยไม่มีการควบคุม ซึ่งผลการประเมินพบว่ามีความเสี่ยงสูงจำเป็นต้องทำแผนจัดการความเสี่ยง
มาตรการที่เลือกใช้ :
1.ในกรณีนี้เป็นเรื่องของการควบคุมการเข้าถึงทางกายภาพ (Physical Access Control) จึงเลือกมาตรการข้อ A11.1.2 Physical entry controls (การควบคุมการเข้าออกทางกายภาพ) โดยเพิ่มอุปกรณ์ Kay Card และกล้องวงจรปิด ที่หน้าห้อง Server และเก็บข้อมูลผู้ที่ผ่านเข้าออกทุกครั้งเพื่อตรวจสอบภายหลัง
2. กำหนดนโยบายการเข้าถึงห้อง Server เป็นลายลักษณ์อักษร ซึ่งตรงกับมาตรการเรื่อง ข้อ A9.1.1 Access control policy โดยอนุญาตให้ผู้เกี่ยวข้องเท่านั้นมีสิทธิผ่านเข้าออกได้ กรณีอื่นให้ร้องขอเป็นลายลักษณ์อักษร เช่น กรณีVendor มา Maintenance ต้องมีเจ้าหน้าที่ขององค์กรเป็นผู้ร้องขอและนำเข้าไป เป็นต้น (รายละเอียดในการควบคุมนี้ ขึ้นอยู่กับบริบทของแต่ละองค์กร)
หลังจากกำหนดรายละเอียดการดำเนินงานแล้ว ก็ต้องกำหนดผู้รับผิดชอบปฏิบัติ และงบประมาณที่ต้องใช้ในการจัดหาอุปกรณ์ เครื่องมือต่างๆ ในกรณีนี้ได้แก่ ระบบ Key Card และกล้องวงจรปิด เป็นต้น
จะเห็นได้ว่าหลังจากที่เราได้กำหนดนโยบายควบคุมการเข้าถึงห้อง Server อย่างชัดเจน และมีอุปกรณ์ควบคุมเป็นรูปธรรม โอกาสที่คนไม่เกี่ยวข้องจะเข้าไปในห้อง Server จึงเป็นไปได้ยาก ทำให้ความเสี่ยงในกรณีนี้ก็ลดลงอย่างเห็นได้ชัด กล่าวได้ว่า ความเสี่ยงลดลงบรรลุตามวัตถุประสงค์ของแผนการจัดการความเสี่ยง (Risk Treatment Plan)
อย่างไรก็ตาม แม้ความเสี่ยงจะลดลงแต่ก็มิได้หมายความว่าเราเลิกสนใจไปเลย ตรงข้ามเราจำเป็นต้องกำกับดูแล ควบคุมให้เป็นไปตามนโยบายอย่างเคร่งครัด ได้แก่
- ให้สิทธิผ่านเข้าออกเฉพาะผู้ที่เกี่ยวข้องเท่านั้น ตามหน้าที่ความรับผิดชอบ
- บำรุงรักษาอุปกรณ์ระบบ Key Card ,และกล้องวงจรปิด อย่างสม่ำเสมอ
- ตรวจสอบการจัดเก็บข้อมูล Log ทั้งของ Key card และกล้องวงจรปิดให้แน่ใจว่าจัดเก็บได้ครบถ้วน
- ตรวจสอบย้อนหลัง ว่าผู้ที่ผ่านเข้าออกนั้นเป็นผู้ที่ได้รับอนุญาตตามนโยบาย
ผู้เขียน : Pryn Sereepong, CISA, CEH, ISMS(IRCA)
pryn@ftpi.or.th
Tagged as:
About the Author
Write admin description here..
Get Updates
Subscribe to our e-mail newsletter to receive updates.
Share This Post
Related posts
น่าสนใจมาก ขอบคุณครับ
ตอบลบขอบคุณมากค่ะ
ตอบลบ