ระบบมาตรฐานด้านความปลอดภัยของข้อมูล ISO 27001

[wani_Cha]

พอดี ที่บริษัททำ ISP(Information Security& Privacy) หมายถึง ความลับและความปลอดภัยของข้อมูลข่าวสาร ที่สำคัญได้แก่

•     Salary/เงินเดือนพนักงาน

•     Business Strategy/กลยุทธ์ทางธุรกิจ

•     Product Design/แบบร่างผลิตภัณฑ์ใหม่

•     Drawing/แบบทางวิศวกรรม

•     Research Report/รายงานการวิจัย เป็นต้น

ซึ่งหลักการจะคล้ายๆกับข้อกำหนดด้านล่าง ตัวเองเป็นตัวแทนของฝ่าย HR ในการเป็น ISP(Information Security Partner)ของบริษัท(คล้ายๆคณะทำงาน) จึงอยากเสนอความเห็นเกี่ยวกับการขอและการแบ่งปันข้อมูลกันนิดนึงค่ะ

1.       HR ที่เกี่ยวข้องกับข้อมูลส่วนตัวของพนักงาน เช่น เงินเดือน บัตรประชาชน ที่อยู่ Visa เป็นต้น จะต้องมีการให้เซ็นบันทึกเรื่องการรักษาความลับของข้อมูล โดยเฉพาะพนักงานในตำแหน่ง Pay roll(เงินเดือน) + Recruit (Resume)

2.       จะมีการจัด Rating ของเอกสารแต่ละชนิดว่า ลับหรือไม่ลับ  ควรจะแบ่งปันได้แค่ไหน

3.       จะมีข้อกำหนดแม้กระทั่งการใช้อุปกรณ์เก็บข้อมูลแบบ Portable เช่น Trump drive /Note book ส่วนตัวมาใช้ในที่ทำงาน

4.       กำหนดแม้กระทั่งห้ามส่งข้อมูลของบริษัทเหล่านั้น ผ่านทาง Mail แบบ gmail  หรือ Hotmail  

เป็นต้น

นี่แค่ตัวอย่างของความลับและความปลอดภัยของข้อมูลข่าวสารเท่านั้นค่ะ ยังมีข้อกำหนดอื่นๆที่เกี่ยวกับพรบ.คอมพิวเตอร์ อีกมากมาย

ที่เสนอเรื่องนี้ มีประเด็นสรุปว่า

-          กลุ่มของเรา อาจจะมีการแบ่งปันของข้อมูลกัน แต่อยากให้ระวังนะคะ ถ้าจำเป็นต้องแบ่งปันให้ลบข้อมูลที่เป็นความลับเหล่านั้นออก อาจจะลบข้อมูลออก ใส่เป็น xxx แทน ก็ว่ากันไป

-          การเสนอความเห็นและประเด็นต่างๆ นี่ถือว่าเป็นแนวคิด การวิเคราะห์ประเด็น ไม่น่าจะเป็นความลับ ช่งยส่งเสริมให้สมาชิกได้ลองคิดและฝึกกระบวนการทางความคิด ต่อไปเราก็จะได้คิด แล้วส่งมาให้เพื่อนๆช่วยวิเคราะห์(แต่ต้องปิดข้อมูลที่เป็นความลับ) ซึ่งน่าจะได้ประโยชน์มากๆ เหมือนเป็นการเตรียมคำถามคำตอบ ก่อนที่จะเข้าห้องไปหาเจ้านาย (จะได้ไม่ต้องรอ..จากเพื่อนๆ น่ะค่ะ)

-          นี่ไม่ได้แปลว่า อย่าแบ่งปันนะคะ แค่อยากให้ระมัดระวังในข้อมูลเท่านั้น ผู้ที่ขอข้อมูลเข้ามาต้องเข้าใจนิดนึงว่า ซักวันนึงถ้าสอบกลับขึ้นมา ว่าข้อมูลนี้หลุดออกมาได้ยังไง คนที่ส่งให้จะลำบากกันน่ะคะ ตัวเองก็อยากส่งฐานข้อมูล Waste ที่ทำไว้แล้วให้เหมือนกัน แต่ด้วยเหตุผลทั้งปวง มันทำไม่ได้ เลยต้องให้ผู้ที่สนใจลองทำเดี๋ยวจะ ช่วยเป็นพี่เลี้ยงอยู่ข้างๆ

-          ยังกลัวเลยว่า Resume ที่เคยสมัครงานไว้ จะมีใครมาPost ที่นี่มั่งว้า...เดี๋ยวเห็น Profile ของเราล่ะแย่เลย...งานเข้าแน่ๆ

-          กลุ่มมีไว้เพื่อแบ่ง(ข้อมูล/ความเห็น)ให้เขา+เราปัน(ข้อมูล/ความเห็น)มา แต่อย่าลืมว่า ต้องปลอดภัย..กันด้วย

Cheer!!!!!!!!!!!!!!!

         

----------------------------------------------------------------------------------------------------------------------------------------------

ระบบมาตรฐานด้านความปลอดภัยของข้อมูล ISO 27001

ISO/IEC 27001:2005 (Information Security Management System: ISMS)

ISO/IEC 27001:2005 (Information Security Management System: ISMS) เป็นมาตรฐานการจัดการข้อมูลที่มีความสำคัญเพื่อให้ธุรกิจดำเนินไปอย่างต่อเนื่อง ซึ่งข้อกำหนดต่างๆกำหนดขึ้นโดยองค์กรที่มีชื่อเสียงและมีความน่าเชื่อถือระหว่างประเทศ คือ ISO (The International Organization for Standardization) และ IEC (The International Electrotechnical Commission) การประยุกต์ใช้ ISMS จะช่วยให้กิจกรรมทางธุรกิจต่อเนื่องไม่สะดุด, ช่วยป้องกันกระวนการทางธุรกิจจากภัยร้ายแรงต่างๆเช่น แผ่นดินไหว, วาตภัย, อุทกภัย ฯลฯ และ ความเสียหายของระบบข้อมูล โดยครอบคุม ทุกกลุ่มอุตสาหกรรมและทุกกลุ่มธุรกิจ

หลักการของการออกแบบโครงสร้างระบบ ISO/IEC27001:2005 จะใช้ อ้างอิง รูปแบบ PDCA Model (Plan Do Check Action) ซึ่งเป็นโครงสร้างเดียวกับ ระบบ การบริหารที่เป็นสากลที่ใช้กันทั่วโลก เช่น ระบบการจัดการคุณภาพ (ISO 9001:2000), ระบบการจัดการสิ่งแวดล้อม (ISO14001:2004), ระบบการจัดการคุณภาพสำหรับอุตสาหกรรมรถยนต์ (ISO/TS 16949), ระบบการจัดการจัดการคุณภาพสำหรับอตสาหกรรมอาหาร (ISO 21001) ฯลฯ ซึ่งองค์ที่มีการประยุกต์ระบบการจัดการต่างๆนี้แล้ว จะสามารถต่อยอดระบบ ISO/IEC27001:2005 ได้เร็วและง่ายขึ้น แต่สำหรับ องค์กรที่ยังไม่มีระบบการจัดการใดๆ ก็ใช่ว่าจะประยุกต์ใช้ยากเพราะ ระบบ มีการเขียนที่เข้าใจง่ายและแบ่งหมวดให้ง่ายต่อความเข้าใจตาม PDCA อยู่แล้วเพียงแต่ต้องทำความเข้าใจกับระบบให้มากขึ้น

ISO/IEC27001:2005 หรือ ISMS หรือ Information Security Management System เป็นระบบการจัดการความปลอดภัยของข้อมูล เพื่อ

• Confidentiality ให้แน่ใจว่าข้อมูลต่างๆ สามารถเข้าถึงได้เฉพาะ ผู้ที่มี สิทธิที่จะเข้าเท่านั้น
• Integrity ป้องกัน ให้ ข้อมูล มี ความถูกต้อง และความสมบูรณ์
• Availability แน่ใจว่า ผู้ที่มี สิทธิ ในการเข้าถึงข้อมูล สามารถเข้าถึงได้เมื่อมีต้องการ

ระบบ ISMS เป็นระบบ Dynamic system ที่ใช้โครงสร้าง PDCA ดังนั้น ระบบจะมีการหมุนเพื่อปรับปรุงอย่างต่อเนื่องอยู่ตลอดเวลามี่ที่สิ้นสุด โดยโครงสร้างของข้อกำหนด จะถูกแบ่งตาม PDCA ดังนี้ 

Plan การจัดทำระบบ ISMS	4.2.1 Establish ISMS a) กำหนด scope และ ขอบเขตการจัดทำระบบ ISMS b) กำหนด ISMS Policy c) กำหนด รูปแบบการประเมินความเสี่ยง d) กำหนดความเสี่ยง e) วิเคราะห์ และ ประเมินความเสี่ยง f) กำหนดและประเมิน วิธีการเพื่อลดความเสี่ยง g) เลือกการควบคุม เพื่อลดความเสี่ยง h) เห็นชอบความเสี่ยงที่เหลืออยู่โดย management I) เห็นชอบและประยุกต์ใช้ ระบบ โดย management J) จัดทำ Statement of Applicable(SOA)
Do ประยุกต์ใช้และดำเนินการ ระบบ ISMS	4.2.2 Implement and Operate the ISMS a) กำหนดแผนการลดความเสี่ยง b) ดำเนินการตามแผนลดความเสี่ยง c) ดำเนินการ ตามการควบคุมที่เลือกตาม 4.2.1g d) กำหนดการวัดประสิทธิภาพของระบบการควบคุม e) จัดทำรายการฝึกอบรม f) จัดการการประยุกต์ใช้ระบบ g) ประยุกต์ใช้ ระเบียบปฎิบัติงาน
Check เฝ้าระวังและตรวจสอบระบบ ISMS	4.2.3 Monitor and review ISMS a) จัดทำ ระเบียบปฏิบัติการ เฝ้าระวังและตรวจสอบระบบ ISMS b) ทบทวนประสิทธิภาพของ ระบบอย่างสม่ำเสมอ c) วัดประสิทธิภาพการควบคุมในการปฏิบัติตามข้อกำหนด d) ทบทวน การประเมินความเสี่ยงตามแผน ความเสี่ยงที่เหลือ ระบบการประเมินความเสี่ยง และการเปลี่ยนแปลงต่างๆ ตามรอบเวลาที่กำหนด e) ดำเนินการ ตรวจติดตามภายในระบบISMS f) ดำเนินการ จัดทำ management review g) ปรับปรุง security plan ให้ทันสมัย h) บนทึกการการทำงานและหลักฐานที่มีผลต่อประสิทธิภาพและประสิทธิผลของระบบ
Action รักษาและปรับปรุง ระบบ ISMS	4.2.4 Maintain and improve the ISMS a) b) ดำเนินการ corrective action และ preventive action c) สื่อสาร วิธีการและการปรับปรุงต่างๆ ให้กับผู้ที่เกี่ยข้องต่างๆ d) แน่ใจว่า วิธีการที่ปรับปรุงขึ้น บรรลุจุดประสงค์ที่วางไว้

นอกจากนี้ บางข้อกำหนดในระบบ ISMS ถูกแยกมากล่าวเพื่อชี้แจงรายละเอียดดังนี้

4.3 Document control	4.3.1 General 4.3.2 Control of Document 4.3.3 Control of Record
5 Management Responsibility	5.1 Management Commitment 5.2 Resource management
6 Internal Audit
7 Management Review	7.1 General 7.2 Review Input 7.3 Review Out put
8 ISMS Improvement	8.1 Continual Improvement 8.2 Corrective action 8.3 Preventive action

สำหรับระบบ ISO/IEC 17799:2005 เป็นกรอบด้านการควบคุมระบบ ความปลอดภัยข้อมูล ซึ่งแบ่งออกเป็น11 การควบคุมหลักดังนี้

1. Security policy

2. Organization Information Security

3. Asset Management

4. Human Resource Security

5. Physical and environment security

6. Communications and operations management

7. Access control

8. Information systems acquisition, development and maintenance

9. Information security incident management

10. Business continuity management

11. Compliance

โดยระบบ ISO/IEC 27001:2005 มีการแนะนำให้ประยุกต์ ข้อกำหนดของ ISO/IEC17799:2005 มาใช้ในการควบคุมและจัดการเกี่ยวกับความเสี่ยงที่เกิดขึ้น (ตามข้อกำหนด 4.2.1g ของ ISO/IEC 27001:2005) และ หากองค์กรจะไม่เลือกประยุกต์และ/หรือใช้บางส่วน ข้อกำหนดของ ISO/IEC17799:2005 สามารถกระทำได้แต่ต้องมีการอธิบายสาเหตุของการไม่เลือกประยุกต์ใช้ให้ชัดเจนไว้ใน SOA (ตามข้อกำหนด 4.2.1j ของ ISO/IEC 27001:2005)

โดยสรุปแล้วระบบการจัดการความปลอดภัยข้อมูล ISO/IEC 27001:200หรือ ISMS เป็นระบบdynamic systemที่มีการประยุกต์หลักการ PDCA Cycle ที่สามารถประยุกต์ใช้ได้กับทุกธุรกิจ เพื่อให้ระบบข้อมูลขององค์กร มี Confidentiality ให้แน่ใจว่าข้อมูลต่างๆ สามารถเข้าถึงได้เฉพาะ ผู้ที่มี สิทธิที่จะเข้าเท่านั้น, มี Integrity ป้องกัน ให้ ข้อมูล มี ความถูกต้อง และความสมบูรณ์ และ Availability แน่ใจว่า ผู้ที่มี สิทธิ ในการเข้าถึงข้อมูล สามารถเข้าถึงได้เมื่อมีความต้องการ โดยระบบ การจัดการ ISMS นั้น จะเป็นระบบการจัดการภายใต้ความสี่ยงที่ยอมรับได้ ไม่ใช่ให้ระบบไม่มีความเสี่ยงเลยหรือไม่เกิดปัญหาเลย ทำให้เกิดประสิทธิภาพในการใช้ ทรัพยากรในการลงทุนสำหรับการจัดการความปลอดภัยของข้อมูลอย่างมีประสิทธภาพ โดยส่วนใหญ่จะมีการใช้ร่วมกับ ระบบ ISO/IEC 17799:2005 เพื่อเป็นให้เกิดประสิทธิภาพในการดำเนินงาน

กิตติพงษ์ เกียรตินิยมรุ่ง
Lead Auditor
TUV Rheinland Thailand

http://www.tuv.com/th/_iso_27001.html