มาทำความรู้จักกับมาตรฐานความมั่นคงปลอดภัยสารสนเทศ

สวัสดีค่ะแฟนเพจดาต้าฟาร์มทุกท่าน วันนี้กลับมาพบกับบทความดีๆ จากเราอีกครั้งนะคะ ช่วงนี้อาจจะเป็นสถานการณ์ที่หนักหน่วงของทั่วโลก เนื่องด้วยเกิดโรคระบาด COVID-19 และจากเหตุการณ์โรคระบาดนี้ทำให้พวกเราต้องรักษาระยะห่าง (Social Distancing) จึงทำให้หลายๆองค์กรหรือสามารถพูดได้ว่าแทบจะทุกวงการหันมาพัฒนาและให้ความสำคัญกับเทคโนโลยีเพื่อรองรับการใช้งาน ไม่ว่าจะมีการสร้างแอปพลิเคชั่น แพลตฟอร์ม เช่น ด้านสาธารณะสุข, ด้านการศึกษา, และบริษัทต่างๆที่มีนโยบายรองรับ Work from Home เป็นต้น แต่การสร้างเทคโนโลยีต่างๆเพื่อมารองรับการใช้งาน เราจะมั่นใจได้อย่างไรว่าระบบที่เราสร้างขึ้นมามีความมั่นคงปลอดภัยของระบบสารสนเทศมากพอ

ปัจจุบันมี Standard หรือ Framework ที่เราสามารถนำมาใช้ให้ระบบหรือองค์กรมีความมั่นคงปลอดภัยสารสนเทศ ไม่ว่าจะเป็น มาตรฐาน ISO/IEC 27001 หรือ NIST Cyberse-Curity Framework

โดยวันนี้แอดมินจะพาทุกท่านมาทำความรู้จักกับ ISO/IEC 27001 ซึ่งแอดมินคิดว่าหลายๆท่านคงเคยได้ยิน หรือได้ Implement อยู่ แต่สำหรับท่านที่ยังไม่เคยได้ Implement ไม่เป็นไรค่ะ วันนี้แอดมินจะมาอธิบายให้เข้าใจว่า เราจะทำ ISO/IEC 27001 ทำไปเพื่ออะไร ทำวิธีการ Implement อย่างไร และทำอย่างไรที่ได้รับการรับรอง

ISO/IEC 27001 คืออะไร

ISO/IEC 27001 คือ Information Security Management System (ISO/IEC 27001:2013) หรืออาจจะเรียกสั้นๆว่า ISMS เป็นมาตรฐานการจัดการความมั่นคงปลอดภัยสารสนเทศ ประกาศใช้ครั้งแรกเมื่อปี ค.ศ. 2005 -ISO/IEC 27001:2005 ปัจจุบันเวอร์ชั่นล่าสุดประกาศเมื่อ 1 ต.ค. 2013 — ISO/IEC 27001:2013 หลังจากประกาศใช้ก็ได้รับความสนใจจากองค์กรทั้งภาครัฐและเอกชนทั่วโลก เพื่อนำมาใช้งาน นำมาปฏิบัติและขอการรับรอง (Certification) สำหรับประเทศไทยก็มีหน่วยงานรัฐและเอกชน

ทำไมเราต้องทำ ISO/IEC 27001

ในอนาคตอันใกล้นี้ประเทศไทยจะประกาศใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ PDPA (จะบังคับใช้ประมาณเดือนพฤษภาคม พ.ศ.2564) แอดมินเชื่อว่าทุกองค์กรมีการถือหรือจัดเก็บข้อมูลส่วนบุคคลในระบบสารสนเทศ บริษัทมีการจัดเก็บข้อมูลส่วนบุคคลของพนักงาน, โรงพยาบาลมีการจัดเก็บข้อมูลส่วนบุคคลของคนไข้, โรงเรียนเก็บข้อมูลส่วนบุคคลของนักเรียน, การเก็บข้อมูลส่วนบุคคลของการให้บริการต่างๆ เป็นต้น หากองค์กรทำข้อมูลรั่วไหล หรือถูกโจรกรรมจากผู้ไม่ประสงค์ดี องค์กรก็จะมีความผิดและถูกดำเนินการตามกฎหมายกำหนด องค์กรจึงต้องหาวิธีการปกป้องข้อมูลส่วนบุคคลที่ได้จัดเก็บ ISO/IEC 27001 เป็นตัวเลือกหนึ่งที่สามารถช่วยให้องค์กรของท่านมีมาตรฐานทางด้านความมั่นคงปลอดภัยสารสนเทศอย่างมีประสิทธิภาพ สร้างความมั่นใจ ความเชื่อมั่น และมีความเสี่ยงที่ทำให้ข้อมูลส่วนบุคคลรั่วไหลลดลง โดยความเสี่ยงเราจะประเมินครอบคลุม 3 ด้าน โดยใช้ CIA Triad = confidentiality, integrity and availability รูปที่ 1

รูปที่ 1

การรักษาความลับ (confidentiality) เทียบเท่ากับมาตรการรักษาความลับที่ออกแบบมาเพื่อป้องกันข้อมูลที่ละเอียดอ่อนจากการพยายามเข้าถึงโดยไม่ได้รับอนุญาต เป็นเรื่องปกติที่ข้อมูลจะถูกจัดประเภทตามจำนวนและประเภทของความเสียหายที่สามารถทำได้หากตกอยู่ในมือคนผิด จากนั้นสามารถใช้มาตรการที่เข้มงวดมากขึ้นหรือน้อยลงตามหมวดหมู่ต่างๆ

การเข้าถึงข้อมูลความสมบูรณ์ (integrity) เกี่ยวข้องกับการรักษาความสม่ำเสมอความถูกต้องและความน่าเชื่อถือของข้อมูลทั้งหมด ข้อมูลจะต้องไม่เปลี่ยนแปลงในระหว่างทางและต้องดำเนินการตามขั้นตอนเพื่อให้แน่ใจว่าข้อมูลจะไม่สามารถเปลี่ยนแปลงได้โดยบุคคลที่ไม่ได้รับอนุญาต (ตัวอย่างเช่นการละเมิดการรักษาความลับ)

ความพร้อมใช้งาน (availability) คือข้อมูลควรสามารถเข้าถึงได้อย่างสม่ำเสมอและพร้อมสำหรับบุคคลที่ได้รับอนุญาต สิ่งนี้เกี่ยวข้องกับการบำรุงรักษาฮาร์ดแวร์และโครงสร้างพื้นฐานทางเทคนิคและระบบที่เก็บและแสดงข้อมูลอย่างเหมาะสม

เหมาะกับใครบ้าง?

มาตรฐานนี้จึงเหมาะสมกับองค์กรธุรกิจใดก็ตามที่เมื่อเกิดการใช้ข้อมูลผิดพลาด เกิดความเสียหายกับข้อมูล หรือการสูญเสียข้อมูล ทางธุรกิจหรือข้อมูลของลูกค้า จะทำให้องค์กรได้รับความเสียหาย เชิงพาณิชย์อย่างรุนแรง ให้ใช้ได้ทุกประเภทธุรกิจ หน่วยราชการ สถานศึกษา และใช้ได้กับองค์กรทั้งขนาดเล็กและขนาดใหญ่อย่างบริษัทข้ามชาติ ทำได้เหมือนกันค่ะ

เราจะใช้งบประมาณเท่าไหร่

ก่อนที่จะใช้ ISO/IEC 27001 เราจำเป็นต้องพิจารณาต้นทุนและระยะเวลาของโครงการ โดยประกอบด้วยปัจจัยต่างๆ ซึ่งต้นทุนองค์กรจะต้องรู้ความเสี่ยงและความเสี่ยงที่องค์กรเตรียมพร้อมที่จะยอมรับ จะต้องพิจารณา4 ประเภทดังนี้:

• ทรัพยากรภายใน (Internal resources) เกี่ยวกับการจัดการภายในขององค์ รวมถึงการจัดการทรัพยากรบุคคล (HR), IT, สิ่งอำนวยความสะดวก (Facility) และการรักษาความปลอดภัย (Security) ทรัพยากรเบื้องต้นเหล่านี้จำเป็นสำหรับขับเคลื่อนองค์กรให้ได้การรับรอง ISMS
• แหล่งข้อมูลภายนอก (External resources) — การมีที่ปรึกษาที่มีประสบการณ์จะช่วยประหยัดเวลาและค่าใช้จ่ายได้มหาศาล นอกจากนี้ยังจะพิสูจน์ได้ว่ามีประโยชน์ทั้งเรื่องการตรวจสอบภายในและสามารถได้การรับรองได้อย่างมีประสิทธิภาพ
• การขอการรับรอง (Certification) — ปัจจุบันมีหน่วยงานรับรองที่ได้รับการรับรองเพียงไม่กี่แห่งเท่านั้นที่ประเมิน เช่น BSI, TÜV Rheinland, SGS เป็นต้น แต่ค่าธรรมเนียมไม่มากไปกว่ามาตรฐานอื่นเลยค่ะ
• การดำเนินการ (Implementation) — ค่าใช้จ่ายเหล่านี้ส่วนใหญ่ขึ้นอยู่กับความพร้อมของไอทีภายในองค์กร หากผลจากการประเมินหรือการตรวจสอบความเสี่ยงช่องว่างปรากฏขึ้นค่าใช้จ่ายในการดำเนินการจะเพิ่มขึ้นตามแนวทางที่ดำเนินการ

ต้องใช้ระยะเวลานานไหม

โดยเฉลี่ยแล้วการดำเนินการตามระบบเช่นนี้อาจใช้เวลา 4-9 เดือนและขึ้นอยู่กับมาตรฐานการปฏิบัติงาน คุณภาพ และการสนับสนุนด้านการจัดการ รวมถึงขนาดและความพร้อมขององค์กร

จะเริ่มยังไงละ

ISO/IEC 27001 กำหนดให้องค์กรต้องจัดตั้งดำเนินการและรักษาแนวทางการปรับปรุงอย่างต่อเนื่องเพื่อจัดการ ISMS เช่นเดียวกับการปฏิบัติตามข้อกำหนด ISO อื่น ๆ ISO/IEC 27001 เป็นไปตาม PDCA ดังแสดงในรูปที่ 2

รูปที่ 2

นอกจากขั้นตอนปฏิบัติข้างต้นแล้ว ISO/IEC 27001 จะมีรายละเอียดมาตรการรักษาความปลอดภัย 133 มาตรการ ซึ่งแบ่งออกเป็น 11 ส่วนและ 39 วัตถุประสงค์การควบคุม และมีวิธีปฏิบัติ best practice ตามหัวข้อหลักๆดังนี้:

• Business continuity planning
• System access control
• System acquisition, development and maintenance
• Physical and environmental security
• Compliance
• Information security incident management
• Personnel security
• Security organization
• Communication and operations management
• Asset classification and control
• Security policies

แต่สุดท้ายความสำเร็จที่แท้จริงของ ISO/IEC 27001 คือการนำไปปฏิบัติตามความสอดคล้องกับวัตถุประสงค์ขององค์กรและประสิทธิผลในการบรรลุวัตถุประสงค์เหล่านั้น ฝ่ายไอทีและหน่วยงานอื่น ๆ จึงมีบทบาทสำคัญในการนำไปใช้และปฏิบัติเพื่อทำความเข้าใจเกี่ยวกับขอบเขต ดังนั้นความพร้อมใช้งานของข้อมูลและขั้นตอนการใช้งาน ISMS องค์กรจำเป็นต้องมีความเข้าใจโดยละเอียดเกี่ยวกับขั้นตอนการดำเนินการ PDCA

หากไม่มีแผนโครงการ ISO/IEC 27001 ที่กำหนดไว้อย่างดีและได้รับการพัฒนาอย่างดี จะทำให้ใช้เวลามากและต้นทุนสูง เพื่อให้บรรลุผลตอบแทนจากการลงทุนตามแผน (ROI) แผนการดำเนินงานจะต้องได้รับการพัฒนาโดยคำนึงถึงเป้าหมายสุดท้าย การฝึกอบรมและการตรวจสอบภายในก็เป็นเป็นส่วนสำคัญ

การรับรอง ISO/IEC 27001จะช่วยให้พันธมิตรทางธุรกิจส่วนใหญ่มีสถานะขององค์กรเกี่ยวกับความปลอดภัยของข้อมูลโดยไม่จำเป็นต้องดำเนินการตรวจสอบความปลอดภัยของตนเอง องค์กรเลือกที่จะได้รับการรับรองตามมาตรฐาน ISO/IEC 27001 เพื่อสร้างความมั่นใจให้กับฐานลูกค้าและคู่ค้าเป็นอย่างดี ทางดาต้าฟาร์มเราได้มีการให้บริการที่ปรึกษา ISO/IEC 27001 โดยผู้เชี่ยวชาญที่มีประสบการณ์มากมาย

“ ควรต้องให้องค์กรมีวิธีป้องกันความมั่นคงปลอดภัยสารสนเทศ ก่อนที่องค์กรจะมีความเสียหายจากผู้ไม่ประสงค์ดี ”

Ref:

• https://www.iso.org/obp/ui/#iso:std:iso-iec:27001:ed-1:v1:en
• https://www.isaca.org/resources/isaca-journal/past-issues/2011/2011-planning-for-and-implementing-iso-27001
• https://whatis.techtarget.com/definition/Confidentiality-integrity-and-availability-CIA