ระบบมาตรฐานด้านความปลอดภัยของข้อมูล ISO 27001
Posted: 10 Apr 2014, 11:34
ระบบมาตรฐานด้านความปลอดภัยของข้อมูล ISO 27001
ISO 27001
มาตรฐานระบบบริหารความมั่นคงปลอดภัยสารสนเทศ
Information Security Management Systems
Windows 8 Keyboard shortcuts 590x275 ระบบมาตรฐานด้านความปลอดภัยของข้อมูล ISO 27001
ระบบมาตรฐานด้านความปลอดภัยของข้อมูล ISO 27001
ISO/IEC 27001:2005 (Information Security Management System: ISMS)
ISO/IEC 27001:2005 (Information Security Management System: ISMS) เป็นมาตรฐานการจัดการข้อมูลที่มีความสำคัญเพื่อให้ธุรกิจดำเนินไปอย่างต่อ เนื่อง ซึ่งข้อกำหนดต่างๆกำหนดขึ้นโดยองค์กรที่มีชื่อเสียงและมีความน่าเชื่อถือ ระหว่างประเทศ คือ ISO (The International Organization for Standardization) และ IEC (The International Electrotechnical Commission) การประยุกต์ใช้ ISMS จะช่วยให้กิจกรรมทางธุรกิจต่อเนื่องไม่สะดุด, ช่วยป้องกันกระวนการทางธุรกิจจากภัยร้ายแรงต่างๆเช่น แผ่นดินไหว, วาตภัย, อุทกภัย ฯลฯ และ ความเสียหายของระบบข้อมูล โดยครอบคุม ทุกกลุ่มอุตสาหกรรมและทุกกลุ่มธุรกิจ
หลักการของการออกแบบโครงสร้างระบบ ISO/IEC27001:2005 จะใช้ อ้างอิง รูปแบบ PDCA Model (Plan Do Check Action) ซึ่งเป็นโครงสร้างเดียวกับ ระบบ การบริหารที่เป็นสากลที่ใช้กันทั่วโลก เช่น ระบบการจัดการคุณภาพ (ISO 9001:2000), ระบบการจัดการสิ่งแวดล้อม (ISO14001:2004), ระบบการจัดการคุณภาพสำหรับอุตสาหกรรมรถยนต์ (ISO/TS 16949), ระบบการจัดการจัดการคุณภาพสำหรับอตสาหกรรมอาหาร (ISO 21001) ฯลฯ ซึ่งองค์ที่มีการประยุกต์ระบบการจัดการต่างๆนี้แล้ว จะสามารถต่อยอดระบบ ISO/IEC27001:2005 ได้เร็วและง่ายขึ้น แต่สำหรับ องค์กรที่ยังไม่มีระบบการจัดการใดๆ ก็ใช่ว่าจะประยุกต์ใช้ยากเพราะ ระบบ มีการเขียนที่เข้าใจง่ายและแบ่งหมวดให้ง่ายต่อความเข้าใจตาม PDCA อยู่แล้วเพียงแต่ต้องทำความเข้าใจกับระบบให้มากขึ้น
iso270001 1 ระบบมาตรฐานด้านความปลอดภัยของข้อมูล ISO 27001
ISO/IEC27001:2005 หรือ ISMS หรือ Information Security Management System เป็นระบบการจัดการความปลอดภัยของข้อมูล เพื่อ
• Confidentiality ให้แน่ใจว่าข้อมูลต่างๆ สามารถเข้าถึงได้เฉพาะ ผู้ที่มี สิทธิที่จะเข้าเท่านั้น
• Integrity ป้องกัน ให้ ข้อมูล มี ความถูกต้อง และความสมบูรณ์
• Availability แน่ใจว่า ผู้ที่มี สิทธิ ในการเข้าถึงข้อมูล สามารถเข้าถึงได้เมื่อมีต้องการ
iso270001 2 ระบบมาตรฐานด้านความปลอดภัยของข้อมูล ISO 27001
ระบบ ISMS เป็นระบบ Dynamic system ที่ใช้โครงสร้าง PDCA ดังนั้น ระบบจะมีการหมุนเพื่อปรับปรุงอย่างต่อเนื่องอยู่ตลอดเวลามี่ที่สิ้นสุด โดยโครงสร้างของข้อกำหนด จะถูกแบ่งตาม PDCA ดังนี้
Plan
การจัดทำระบบ ISMS 4.2.1 Establish ISMS
a) กำหนด scope และ ขอบเขตการจัดทำระบบ ISMS
b) กำหนด ISMS Policy
c) กำหนด รูปแบบการประเมินความเสี่ยง
d) กำหนดความเสี่ยง
e) วิเคราะห์ และ ประเมินความเสี่ยง
f) กำหนดและประเมิน วิธีการเพื่อลดความเสี่ยง
g) เลือกการควบคุม เพื่อลดความเสี่ยง
h) เห็นชอบความเสี่ยงที่เหลืออยู่โดย management
I) เห็นชอบและประยุกต์ใช้ ระบบ โดย management
J) จัดทำ Statement of Applicable(SOA)
Do
ประยุกต์ใช้และดำเนินการ
ระบบ ISMS 4.2.2 Implement and Operate the ISMS
a) กำหนดแผนการลดความเสี่ยง
b) ดำเนินการตามแผนลดความเสี่ยง
c) ดำเนินการ ตามการควบคุมที่เลือกตาม 4.2.1g
d) กำหนดการวัดประสิทธิภาพของระบบการควบคุม
e) จัดทำรายการฝึกอบรม
f) จัดการการประยุกต์ใช้ระบบ
g) ประยุกต์ใช้ ระเบียบปฎิบัติงาน
Check
เฝ้าระวังและตรวจสอบ
ระบบ ISMS 4.2.3 Monitor and review ISMS
a) จัดทำ ระเบียบปฏิบัติการ เฝ้าระวังและตรวจสอบระบบ ISMS
b) ทบทวนประสิทธิภาพของ ระบบอย่างสม่ำเสมอ
c) วัดประสิทธิภาพการควบคุมในการปฏิบัติตามข้อกำหนด
d) ทบทวน การประเมินความเสี่ยงตามแผน ความเสี่ยงที่เหลือ
ระบบการประเมินความเสี่ยง และการเปลี่ยนแปลงต่างๆ ตามรอบเวลาที่กำหนด
e) ดำเนินการ ตรวจติดตามภายในระบบISMS
f) ดำเนินการ จัดทำ management review
g) ปรับปรุง security plan ให้ทันสมัย
h) บนทึกการการทำงานและหลักฐานที่มีผลต่อประสิทธิภาพและประสิทธิผลของระบบ
Action
รักษาและปรับปรุง
ระบบ ISMS 4.2.4 Maintain and improve the ISMS
a) ดำเนินการ corrective action และ preventive action
b) สื่อสาร วิธีการและการปรับปรุงต่างๆ ให้กับผู้ที่เกี่ยวข้องต่างๆ
c) แน่ใจว่า วิธีการที่ปรับปรุงขึ้น บรรลุจุดประสงค์ที่วางไว้
นอกจากนี้ บางข้อกำหนดในระบบ ISMS ถูกแยกมากล่าวเพื่อชี้แจงรายละเอียดดังนี้
4.3 Document control 4.3.1 General
4.3.2 Control of Document
4.3.3 Control of Record
5. Management Responsibility 5.1 Management Commitment
5.2 Resource management
6. Internal Audit
7. Management Review 7.1 General
7.2 Review Input
7.3 Review Out put
8. ISMS Improvement 8.1 Continual Improvement
8.2 Corrective action
8.3 Preventive action
สำหรับระบบ ISO/IEC 17799:2005 เป็นกรอบด้านการควบคุมระบบ ความปลอดภัยข้อมูล ซึ่งแบ่งออกเป็น11 การควบคุมหลักดังนี้
กรอบด้านการควบคุมระบบ ความปลอดภัยข้อมูล (Controls)
1. นโยบายความมั่นคงปลอดภัย 1. Security policy
2. การจัดองค์กรในการดูแลความมั่นคงปลอดภัย 2. Organization Information Security
3. การจัดการทรัพย์สิน 3. Asset Management
4. ความมั่นคงปลอดภัยเกี่ยวกับบุคลากร 4. Human Resource Security
5. ความมั่นคงปลอดภัยทางกายภาพ 5. Physical and environment security
6. การบริหารการสื่อสารและการดาเนินการ 6. Communications and operations management
7. การควบคุมการเข้าถึงระบบ (Access control) 7. Access control
8. การจัดหา การพัฒนา และการบารุงรักษาระบบสารสนเทศ 8. Information systems acquisition, development and maintenance
9. การจัดการเหตุการณ์ที่เกี่ยวกับความมั่นคงปลอดภัยสารสนเทศ 9. Information security incident management
10. การบริหารความต่อเนื่องในการดาเนินธุรกิจ 10. Business continuity management
11. ความสอดคล้องตามข้อกาหนด (Compliance) 11. Compliance
โดยระบบ ISO/IEC 27001:2005 มีการแนะนำให้ประยุกต์ ข้อกำหนดของ ISO/IEC17799:2005 มาใช้ในการควบคุมและจัดการเกี่ยวกับความเสี่ยงที่เกิดขึ้น (ตามข้อกำหนด 4.2.1g ของ ISO/IEC 27001:2005) และ หากองค์กรจะไม่เลือกประยุกต์และ/หรือใช้บางส่วน ข้อกำหนดของ ISO/IEC17799:2005 สามารถกระทำได้แต่ต้องมีการอธิบายสาเหตุของการไม่เลือกประยุกต์ใช้ให้ชัดเจน ไว้ใน SOA (ตามข้อกำหนด 4.2.1j ของ ISO/IEC 27001:2005)
โดยสรุปแล้วระบบการจัดการความปลอดภัยข้อมูล ISO/IEC 27001:200หรือ ISMS เป็นระบบdynamic systemที่มีการประยุกต์หลักการ PDCA Cycle ที่สามารถประยุกต์ใช้ได้กับทุกธุรกิจ เพื่อให้ระบบข้อมูลขององค์กร มี Confidentiality ให้แน่ใจว่าข้อมูลต่างๆ สามารถเข้าถึงได้เฉพาะ ผู้ที่มี สิทธิที่จะเข้าเท่านั้น, มี Integrity ป้องกัน ให้ ข้อมูล มี ความถูกต้อง และความสมบูรณ์ และ Availability แน่ใจว่า ผู้ที่มี สิทธิ ในการเข้าถึงข้อมูล สามารถเข้าถึงได้เมื่อมีความต้องการ โดยระบบ การจัดการ ISMS นั้น จะเป็นระบบการจัดการภายใต้ความสี่ยงที่ยอมรับได้ ไม่ใช่ให้ระบบไม่มีความเสี่ยงเลยหรือไม่เกิดปัญหาเลย ทำให้เกิดประสิทธิภาพในการใช้ ทรัพยากรในการลงทุนสำหรับการจัดการความปลอดภัยของข้อมูลอย่างมีประสิทธภาพ โดยส่วนใหญ่จะมีการใช้ร่วมกับ ระบบ ISO/IEC 17799:2005 เพื่อเป็นให้เกิดประสิทธิภาพในการดำเนินงาน
ที่มา : กิตติพงษ์ เกียรตินิยมรุ่ง
Lead Auditor
TUV Rheinland Thailand
ISO 27001
มาตรฐานระบบบริหารความมั่นคงปลอดภัยสารสนเทศ
Information Security Management Systems
Windows 8 Keyboard shortcuts 590x275 ระบบมาตรฐานด้านความปลอดภัยของข้อมูล ISO 27001
ระบบมาตรฐานด้านความปลอดภัยของข้อมูล ISO 27001
ISO/IEC 27001:2005 (Information Security Management System: ISMS)
ISO/IEC 27001:2005 (Information Security Management System: ISMS) เป็นมาตรฐานการจัดการข้อมูลที่มีความสำคัญเพื่อให้ธุรกิจดำเนินไปอย่างต่อ เนื่อง ซึ่งข้อกำหนดต่างๆกำหนดขึ้นโดยองค์กรที่มีชื่อเสียงและมีความน่าเชื่อถือ ระหว่างประเทศ คือ ISO (The International Organization for Standardization) และ IEC (The International Electrotechnical Commission) การประยุกต์ใช้ ISMS จะช่วยให้กิจกรรมทางธุรกิจต่อเนื่องไม่สะดุด, ช่วยป้องกันกระวนการทางธุรกิจจากภัยร้ายแรงต่างๆเช่น แผ่นดินไหว, วาตภัย, อุทกภัย ฯลฯ และ ความเสียหายของระบบข้อมูล โดยครอบคุม ทุกกลุ่มอุตสาหกรรมและทุกกลุ่มธุรกิจ
หลักการของการออกแบบโครงสร้างระบบ ISO/IEC27001:2005 จะใช้ อ้างอิง รูปแบบ PDCA Model (Plan Do Check Action) ซึ่งเป็นโครงสร้างเดียวกับ ระบบ การบริหารที่เป็นสากลที่ใช้กันทั่วโลก เช่น ระบบการจัดการคุณภาพ (ISO 9001:2000), ระบบการจัดการสิ่งแวดล้อม (ISO14001:2004), ระบบการจัดการคุณภาพสำหรับอุตสาหกรรมรถยนต์ (ISO/TS 16949), ระบบการจัดการจัดการคุณภาพสำหรับอตสาหกรรมอาหาร (ISO 21001) ฯลฯ ซึ่งองค์ที่มีการประยุกต์ระบบการจัดการต่างๆนี้แล้ว จะสามารถต่อยอดระบบ ISO/IEC27001:2005 ได้เร็วและง่ายขึ้น แต่สำหรับ องค์กรที่ยังไม่มีระบบการจัดการใดๆ ก็ใช่ว่าจะประยุกต์ใช้ยากเพราะ ระบบ มีการเขียนที่เข้าใจง่ายและแบ่งหมวดให้ง่ายต่อความเข้าใจตาม PDCA อยู่แล้วเพียงแต่ต้องทำความเข้าใจกับระบบให้มากขึ้น
iso270001 1 ระบบมาตรฐานด้านความปลอดภัยของข้อมูล ISO 27001
ISO/IEC27001:2005 หรือ ISMS หรือ Information Security Management System เป็นระบบการจัดการความปลอดภัยของข้อมูล เพื่อ
• Confidentiality ให้แน่ใจว่าข้อมูลต่างๆ สามารถเข้าถึงได้เฉพาะ ผู้ที่มี สิทธิที่จะเข้าเท่านั้น
• Integrity ป้องกัน ให้ ข้อมูล มี ความถูกต้อง และความสมบูรณ์
• Availability แน่ใจว่า ผู้ที่มี สิทธิ ในการเข้าถึงข้อมูล สามารถเข้าถึงได้เมื่อมีต้องการ
iso270001 2 ระบบมาตรฐานด้านความปลอดภัยของข้อมูล ISO 27001
ระบบ ISMS เป็นระบบ Dynamic system ที่ใช้โครงสร้าง PDCA ดังนั้น ระบบจะมีการหมุนเพื่อปรับปรุงอย่างต่อเนื่องอยู่ตลอดเวลามี่ที่สิ้นสุด โดยโครงสร้างของข้อกำหนด จะถูกแบ่งตาม PDCA ดังนี้
Plan
การจัดทำระบบ ISMS 4.2.1 Establish ISMS
a) กำหนด scope และ ขอบเขตการจัดทำระบบ ISMS
b) กำหนด ISMS Policy
c) กำหนด รูปแบบการประเมินความเสี่ยง
d) กำหนดความเสี่ยง
e) วิเคราะห์ และ ประเมินความเสี่ยง
f) กำหนดและประเมิน วิธีการเพื่อลดความเสี่ยง
g) เลือกการควบคุม เพื่อลดความเสี่ยง
h) เห็นชอบความเสี่ยงที่เหลืออยู่โดย management
I) เห็นชอบและประยุกต์ใช้ ระบบ โดย management
J) จัดทำ Statement of Applicable(SOA)
Do
ประยุกต์ใช้และดำเนินการ
ระบบ ISMS 4.2.2 Implement and Operate the ISMS
a) กำหนดแผนการลดความเสี่ยง
b) ดำเนินการตามแผนลดความเสี่ยง
c) ดำเนินการ ตามการควบคุมที่เลือกตาม 4.2.1g
d) กำหนดการวัดประสิทธิภาพของระบบการควบคุม
e) จัดทำรายการฝึกอบรม
f) จัดการการประยุกต์ใช้ระบบ
g) ประยุกต์ใช้ ระเบียบปฎิบัติงาน
Check
เฝ้าระวังและตรวจสอบ
ระบบ ISMS 4.2.3 Monitor and review ISMS
a) จัดทำ ระเบียบปฏิบัติการ เฝ้าระวังและตรวจสอบระบบ ISMS
b) ทบทวนประสิทธิภาพของ ระบบอย่างสม่ำเสมอ
c) วัดประสิทธิภาพการควบคุมในการปฏิบัติตามข้อกำหนด
d) ทบทวน การประเมินความเสี่ยงตามแผน ความเสี่ยงที่เหลือ
ระบบการประเมินความเสี่ยง และการเปลี่ยนแปลงต่างๆ ตามรอบเวลาที่กำหนด
e) ดำเนินการ ตรวจติดตามภายในระบบISMS
f) ดำเนินการ จัดทำ management review
g) ปรับปรุง security plan ให้ทันสมัย
h) บนทึกการการทำงานและหลักฐานที่มีผลต่อประสิทธิภาพและประสิทธิผลของระบบ
Action
รักษาและปรับปรุง
ระบบ ISMS 4.2.4 Maintain and improve the ISMS
a) ดำเนินการ corrective action และ preventive action
b) สื่อสาร วิธีการและการปรับปรุงต่างๆ ให้กับผู้ที่เกี่ยวข้องต่างๆ
c) แน่ใจว่า วิธีการที่ปรับปรุงขึ้น บรรลุจุดประสงค์ที่วางไว้
นอกจากนี้ บางข้อกำหนดในระบบ ISMS ถูกแยกมากล่าวเพื่อชี้แจงรายละเอียดดังนี้
4.3 Document control 4.3.1 General
4.3.2 Control of Document
4.3.3 Control of Record
5. Management Responsibility 5.1 Management Commitment
5.2 Resource management
6. Internal Audit
7. Management Review 7.1 General
7.2 Review Input
7.3 Review Out put
8. ISMS Improvement 8.1 Continual Improvement
8.2 Corrective action
8.3 Preventive action
สำหรับระบบ ISO/IEC 17799:2005 เป็นกรอบด้านการควบคุมระบบ ความปลอดภัยข้อมูล ซึ่งแบ่งออกเป็น11 การควบคุมหลักดังนี้
กรอบด้านการควบคุมระบบ ความปลอดภัยข้อมูล (Controls)
1. นโยบายความมั่นคงปลอดภัย 1. Security policy
2. การจัดองค์กรในการดูแลความมั่นคงปลอดภัย 2. Organization Information Security
3. การจัดการทรัพย์สิน 3. Asset Management
4. ความมั่นคงปลอดภัยเกี่ยวกับบุคลากร 4. Human Resource Security
5. ความมั่นคงปลอดภัยทางกายภาพ 5. Physical and environment security
6. การบริหารการสื่อสารและการดาเนินการ 6. Communications and operations management
7. การควบคุมการเข้าถึงระบบ (Access control) 7. Access control
8. การจัดหา การพัฒนา และการบารุงรักษาระบบสารสนเทศ 8. Information systems acquisition, development and maintenance
9. การจัดการเหตุการณ์ที่เกี่ยวกับความมั่นคงปลอดภัยสารสนเทศ 9. Information security incident management
10. การบริหารความต่อเนื่องในการดาเนินธุรกิจ 10. Business continuity management
11. ความสอดคล้องตามข้อกาหนด (Compliance) 11. Compliance
โดยระบบ ISO/IEC 27001:2005 มีการแนะนำให้ประยุกต์ ข้อกำหนดของ ISO/IEC17799:2005 มาใช้ในการควบคุมและจัดการเกี่ยวกับความเสี่ยงที่เกิดขึ้น (ตามข้อกำหนด 4.2.1g ของ ISO/IEC 27001:2005) และ หากองค์กรจะไม่เลือกประยุกต์และ/หรือใช้บางส่วน ข้อกำหนดของ ISO/IEC17799:2005 สามารถกระทำได้แต่ต้องมีการอธิบายสาเหตุของการไม่เลือกประยุกต์ใช้ให้ชัดเจน ไว้ใน SOA (ตามข้อกำหนด 4.2.1j ของ ISO/IEC 27001:2005)
โดยสรุปแล้วระบบการจัดการความปลอดภัยข้อมูล ISO/IEC 27001:200หรือ ISMS เป็นระบบdynamic systemที่มีการประยุกต์หลักการ PDCA Cycle ที่สามารถประยุกต์ใช้ได้กับทุกธุรกิจ เพื่อให้ระบบข้อมูลขององค์กร มี Confidentiality ให้แน่ใจว่าข้อมูลต่างๆ สามารถเข้าถึงได้เฉพาะ ผู้ที่มี สิทธิที่จะเข้าเท่านั้น, มี Integrity ป้องกัน ให้ ข้อมูล มี ความถูกต้อง และความสมบูรณ์ และ Availability แน่ใจว่า ผู้ที่มี สิทธิ ในการเข้าถึงข้อมูล สามารถเข้าถึงได้เมื่อมีความต้องการ โดยระบบ การจัดการ ISMS นั้น จะเป็นระบบการจัดการภายใต้ความสี่ยงที่ยอมรับได้ ไม่ใช่ให้ระบบไม่มีความเสี่ยงเลยหรือไม่เกิดปัญหาเลย ทำให้เกิดประสิทธิภาพในการใช้ ทรัพยากรในการลงทุนสำหรับการจัดการความปลอดภัยของข้อมูลอย่างมีประสิทธภาพ โดยส่วนใหญ่จะมีการใช้ร่วมกับ ระบบ ISO/IEC 17799:2005 เพื่อเป็นให้เกิดประสิทธิภาพในการดำเนินงาน
ที่มา : กิตติพงษ์ เกียรตินิยมรุ่ง
Lead Auditor
TUV Rheinland Thailand