สวัสดีครับ วันนี้ผมมีข่าวมาอัปเดตเรื่องมาตรฐานการรักษความมั่นคงปลอดภัยสารสนเทศ ที่เป็นที่นิยมในปัจจุบัน นั่นคือมาตรฐาน ISO/IEC 27001 Information security management system ซึ่งปัจจุบันเรายังใช้งานในเวอร์ชั่น 2013 อยู่ แต่เร็ว ๆ นี้ได้มีการประกาศเปลี่ยนแปลงเวอร์ชั่นของมาตรฐานเป็นเวอร์ชั่น 2022 ซึ่งเริ่มใช้งานเมื่อวันที่ 30 กันยายน 2022 ที่ผ่านมา และบริษัทผู้ให้การรับรอง ก็เริ่มจะแนะนำ และกำหนดให้ผู้ที่ได้รับการรับรองในเวอร์ชั่น 2013 เริ่มเปลี่ยนเป็นเวอร์ชั่นใหม่
ในวันนี้ผมจึงยกประเด็นนี้ขึ้นมา และมาวิเคราะห์กันว่า มีอะไรบ้างที่มาตรฐานเปลี่ยนไป…
Major change!! ที่สำคัญ
1. Security control categories
ถ้าเราพูดถึง Security control in Annex A ที่อ้างอิงจาก ISO/IEC 27002:2013 เราจะคุ้นเคยกับ Security control 14 domain , 114 Control
- Annex A.5 Information security policy
- Annex A.6 Organization of information security
- Annex A.7 Human resource security
- Annex A.8 Asset management
- Annex A.9 Access control
- Annex A.10 Cryptography
- Annex A.11 Physical and environmental security
- Annex A.12 Operation security
- Annex A.13 Communication security
- Annex A.14 System acquisition development and maintenance
- Annex A.15 Supplier relationships
- Annex A.16 Information security incident management
- Annex A.17 Information security aspects of business continuity management
- Annex A.18 Compliance
แต่ในเวอร์ชั่นได้มีการจัด categories ใหม่ โดยจัดเรียงเป็น 4 categories ดังนี้
1. Organizational controls มี 37 มาตรการควบคุม
2. People controls มี 8 มาตรการควบคุม
3. Physical controls มี 14 มาตรการควบคุม
4. Technological controls มี 34 มาตรการควบคุม
โดยการจัดกลุ่มนี้ใหม่นี้ ยังมีการลดจำนวนของมาตรการควบคุม (controls) จาก 114 มาตรการควบคุม เหลือทั้งสิน 93 มาตรการควบคุม โดยมีมาตรการควบคุมที่เพิ่ม ทั้งหมด 11 มาตรการควบคุม ดังนี้
A.5.7 Threat intelligence
A.5.23 Information security for use of cloud services
A.5.30 ICT readiness for business continuity
A.7.4 Physical security monitoring
A.8.9 Configuration management
A.8.10 Information deletion
A.8.11 Data making
A.8.12 Data leakage prevention
A.8.16 Monitoring activities
A.8.23 Web filtering
A.8.28 Secure coding
นอกจากนี้มาตรการควบคุมอื่นๆ ได้มีการเปลี่ยนชื่อใหม่ เช่น Controls 7.10 Storage media เป็น control ที่รวมเอาข้อกำหนดของ ISO 27001:2013 ในข้อ 8.3 Media handling และ A.11.2.5 Removal of asset ไปรวมไว้ด้วยกัน
นอกเหนือจากนี้ในแต่ละมาตรการควบคุมที่ระบุอยู่ใน ISO/IEC 27002:2022 ยังมีการเพิ่มรายละเอียดเพื่อให้ผู้ใช้งานสามารถพิจารณาเลือกใช้งานได้ง่าย ดังนี้
1. Control type
2. Information security properties
3. Cyber security concept
4. Operational capabilities
5. Security domain
ตัวอย่าง
ซึ่งการระบุดังกล่าว จะช่วยให้ผู้ใช้งานสามารถแยกประเภทของมาตรการควบคุมให้สอดคล้องกับวัตถุประสงค์ได้อย่างถูกต้อง
ดังนั้นในบทความนี้เป็นเพียงการสรุปการเปลี่ยนแปลงโครงสร้างของมาตรฐาน ISO/IEC 27001:2013 ไปสู่เวอร์ชั่น ISO/IEC 27001:2022 และในบทความถัดไปจะเป็นแนวทางในการเตรียมตัว และบทวิเคราะห์ข้อกำหนดต่าง ๆ ที่เพิ่มขึ้นมาใน ISO/IEC 27001:2022 เวอร์ชั่นใหม่ ซึ่งในบทความถัดไปจะเป็นบทวิเคราะห์เรื่องการเตรียมตัว และเอกสารที่จำเป็นต้องปรับเปลี่ยน เพื่อให้สอดคล้องกับ ISO/IEC 27001:2022
การเตรียมตัวสำหรับการปรับเวอร์ชั่นใหม่
1. วางแผนในการปรับเปลี่ยน เพื่อให้สอดรับกับมาตรฐานในเวอร์ชั่นใหม่
2. ศึกษาและทำความเข้าใจข้อกำหนดใหม่
3. ทบทวนขอบเขตการขอรับรอง
ขอบเขตในการขอรับรองเป็นปัจจัยหนึ่งที่ต้องดำเนินการทบทวน ให้สอดคล้องกับการเปลี่ยนแปลงเวอร์ชั่นใหม่ของตัวมาตรฐาน ในบทความนี้ขอยกตัวอย่างขอบเขต ที่เป็นที่นิยมในการขอรับรองมาตรฐาน นั่นก็คือการบริหารจัดการศูนย์ข้อมูลสารสนเทศ ซึ่งมาตรการควบคุมหลักจะเป็นข้อ Annex A.11 Physical security ซึ่งในเวอร์ชั่นใหม่นี้ ได้มีการเพิ่ม Control เข้ามาใหม่คือ Physical monitoring ดังนั้นองค์กรจึงต้องดำเนินการสำรวจ มาตรการควบคุมที่มีอยู่เพื่อให้สอดคล้องกับ มาตรการควบคุมที่มีการเพิ่มเข้ามาในเวอร์ชั่นใหม่
4. ปรับปรุง ทบทวนนโยบาย และเอกสารที่เกี่ยวข้อง
องค์กรควรมีการปรับปรุง และจัดทำเอกสารที่เกี่ยวข้องเพื่อให้สอดคล้องกับมาตรฐานใหม่ที่มีการประกาศใช้ เช่น
- นโยบาย (Policy)
- ขั้นตอนปฏิบัติงาน (Procedure)
- SoA
- การประเมินความเสี่ยง (Risk assessment)
- เอกสารการตรวจสอบภายใน (ISMS Internal audit)
- การวัดประสิทธิผล (Effectiveness measurement
5. ดำเนินการ Implement security control ตามที่กำหนดใน Statement of applicability
วิเคราะห์ข้อกำหนด (Security control) ที่เพิ่มมาใหม่
ในที่นี้ขอยกตัวอย่างมาตรการควบคุมที่น่าสนใจ 4 หัวข้อเป็นตัวอย่าง ในการเตรียมตัวสำหรับผู้ที่กำลังเริ่มจัดทำ
1. Threat intelligence
วัตถุประสงค์ เพื่อให้ตระหนักถึงสภาพแวดล้อมทางภัยคุกคามที่จะเกิดขึ้นกับองค์กร ดังนั้นในการเตรียมองค์กร ควรพิจารณา
- มีการติดตามข่าวสารด้านภัยคุกคามจาก หน่วยงานภายนอก หรือสื่อต่าง ๆ
- ประเมินความเสี่ยงของเหตุการณ์ที่น่าจะเกิดขึ้นกับองค์กร
- จัดหาเครื่องมือเพื่อลดผลกระทบ และป้องกันภัยคุกคาม
- จัดทำขั้นตอนปฏิบัติในการระงับเหตุ และป้องกันเหตุ
- สื่อสารข้อมูลภัยคุกคามเพื่อสร้างความตระหนักภายในองค์กร
2. Information security for use of cloud services
วัตถุประสงค์เพื่อ ระบุและบริหารจัดการการรักษาความมั่นคงปลอดภัยสารสนเทศสำหรับการใช้บริการคลาวด์ ดังนั้นจึงควรพิจารณา
- จัดทำนโยบายด้านความมั่นคงปลอดภัยในการใช้งาน Cloud
- ควรมีกระบวนการในการพิจารณาเลือกผู้ให้บริการ Cloud
- กำหนดวิธีการที่จะหยุด หรือเปลี่ยนการใช้งานผู้ให้บริการ
- กำหนดวิธีการในการป้องกันมัลแวร์
3. ICT readiness for business continuity
วัตถุประสงค์เพื่อให้มีการความพร้อม และการทดสอบของระบบสารสนเทศและการสื่อสาร (ICT) ให้มีความต่อเนื่องทางธุรกิจ และข้อกำหนดด้านความต่อเนื่องด้านสารสนเทศด้านการสื่อสาร ดังนั้นควรมีการพิจารณา
- กำหนดทิศทาง และบริบทในการพิจารณาแผนความต่อเนื่องทางธุรกิจ
- ผลกระทบด้านความต่อเนื่องทางธุรกิจ (Business impact analysis)
- กำหนดโครงสร้างในการรับผิดชอบ ในการตอบสนอง บรรเทา เหตุหยุดชะงัก
- กำหนดระยะเวลา และแผนในการกู้คืนระบบ
- สื่อสารแผนการกู้คืนระบบไปยังผู้ที่เกี่ยวข้องภายในองค์กร
4. Physical security monitoring
การตรวจสอบความมั่นคงปลอดภัยทางกายภาพ วัตถุประสงค์เพื่อตรวจจับ และยับยั้งการเข้าถึงกายภาพโดยไม่ได้รับอนุญาต ดังนั้นควรพิจารณา
- มีการตรวจสอบ และประเมินสถานที่ปฏิบัติงานถึงความต้องการในการติดตั้งเครื่องมือที่จำเป็นในการป้องกันผู้ไม่ได้รับอนุญาต
- ติดตั้งเครื่องมือในการตรวจจับ ป้องกัน เช่น กล้องวงจรปิด สัญญานเตือนภัย
- ควรมีการจัดทำระเบียบ หรือขั้นตอนปฏิบัติในการเข้ามาปฏิบัติงานภายในองค์กร
