Oops! It appears that you have disabled your Javascript. In order for you to see this page as it is meant to appear, we ask that you please re-enable your Javascript!

ระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (ตอนที่ 1)

าตรฐานระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (Information Security Management System) ในปัจจุบันนับว่าเป็นมาตรฐานที่ได้รับความนิยมสำหรับหลายองค์กร ในการนำข้อกำหนดของมาตรฐานมาปรับประยุกต์ใช้ เพื่อการจัดการด้านความมั่นคงปลอดภัยสารสนเทศภายในองค์กร  สำหรับปัจจุบันเวอร์ชั่นของมาตรฐานนี้คือ ISO/IEC 27001:2013 ที่ได้มีการปรับปรุงให้มีความสอดคล้องตามแนวทางของคณะกรรมการกำหนดมาตรฐาน  สาระสำคัญของข้อกำหนดมีดังนี้

  • ข้อกำหนดที่ 4 บริบทขององค์กร (Context of the organization) สาระสำคัญ คือการที่องค์กรจะต้องเข้าใจลักษณะขององค์กร ธุรกิจ องค์ประกอบรอบด้านที่มีผลกระทบและได้รับผลกระทบจากองค์กรให้เข้าใจ ก่อนที่จะกำหนดขอบเขตของการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ เพื่อให้ระบบบริหารจัดการฯ ที่จัดทำขึ้นสามารถที่สร้างคุณค่า (Value) ได้อย่างแท้จริงแต่องค์กร ตัวอย่างเช่น หากองค์กรของเราดำเนินธุรกิจเกี่ยวกับการให้บริการด้านการแพทย์ มีการจัดเก็บข้อมูลผู้เข้ารับบริการ องค์กรก็ต้องพิจารณาถึงบริบทให้เข้าใจว่า ใครคือคนที่องค์กรจำเป็นที่จะต้องตระหนักให้ความสำคัญ (Interested parties) กลุ่มคนเหล่านั้นสนใจประเด็นใด (Needs & Expectations) แล้วจึงกลับมาพิจารณาขอบเขตของระบบบริหารจัดการฯ เพื่อให้มั่นใจว่าระบบที่กำลังจะดำเนินการสามารถสร้างคุณค่าและตอบสนองกลุ่มคนเหล่านั้นได้อย่างแท้จริง 
  • ข้อกำหนดที่ 5 ผู้นำ (Leadership) สาระสำคัญ คือ การที่ผู้นำระดับสูงซึ่งมาตรฐานเรียกว่า “Top management” จะต้องเข้ามามีส่วนในการกำกับและควบคุม (Govern) ทั้งนี้ คำว่า “ผู้นำระดับสูง” ไม่ได้จำเป็นที่จะต้องเป็นผู้นำระดับสูงสุดขององค์กร แต่จะต้องมีสิทธิ์เพียงพอในการสั่งการ กำกับดูแลและควบคุม โดยข้อกำหนดที่เกี่ยวข้องกับการควบคุมประกอบด้วย (1) ภาวะผู้นำและพันธสัญญา (2) นโยบาย และ (3) บทบาท ความรับผิดชอบและอำนาจหน้าที่ 
  • ข้อกำหนดที่ 6 การวางแผน (Planning) สาระสำคัญในหัวข้อนี้ประกอบด้วย 2 ส่วน คือ (1) การบริหารความเสี่ยง และ (2) การวางแผนเพื่อบรรลุวัตถุประสงค์ด้านความมั่นคงปลอดภัยสารสนเทศ

สำหรับเรื่องการบริหารความเสี่ยง (Risk management) มาตรฐานเวอร์ชั่นปัจจุบัน ได้แนะนำมาตรฐานการบริหารความเสี่ยง (Risk Management – Principles and guidelines) ISO 31000 มาประกอบการประยุกต์ปฏิบัติ และได้ตัดรายละเอียดทางเทคนิคสำหรับการประเมินความเสี่ยงบางอย่างไป เพื่อให้เกิดความครอบคลุมในการนำมาประยุกต์ใช้งาน  นอกจากนี้ เมื่อมีการประเมินความเสี่ยงแล้ว องค์กรยังจำเป็นที่จะต้องวิเคราะห์และวางแผนการดำเนินงานอื่นที่จำเป็นอีก เพื่อให้มั่นใจว่าองค์กรจะสามารถบรรลุตามวัตถุประสงค์ด้านความมั่นคงปลอดภัยสารสนเทศ (Information Security Objectives) ที่กำหนดขึ้นมาได้

  • ข้อกำหนดที่ 7 สนับสนุน (Supporting) ในหัวข้อนี้ประกอบด้วยข้อกำหนดย่อยจำนวน 5 หัวข้อ ดังนี้ (1) ทรัพยากร (2) ความรู้ความสามารถ (3) ความตระหนัก (4) การสื่อสาร และ (5) เอกสารข้อมูล  ทั้งนี้ ในหัวข้อการสื่อสาร ถือว่ามีความเปลี่ยนแปลงและมีความชัดเจนมากยิ่งขึ้น เนื่องจากมาตรฐานได้กำหนดหัวข้อให้องค์กรจะต้องพิจารณาอย่างชัดเจนเมื่อมีการสื่อสาร ซึ่งหากองค์กรสามารถปฏิบัติตามที่มาตรฐานกำหนดก็คาดว่าจะส่งผลต่อผู้เกี่ยวข้องเกิดความเข้าใจและดำเนินงานได้อย่างมีประสิทธิผลมายิ่งขึ้น
  • ข้อกำหนดที่ 8 การปฏิบัติการ (Operation) คือ การนำแผนการลดความเสี่ยงที่ได้จากการข้อกำหนดที่ 6.1 และแผนเพื่อบรรลุวัตถุประสงค์ด้านความมั่นคงปลอดภัยสารสนเทศ ตามข้อกำหนดที่ 6.2 มาดำเนินงาน จากนั้น ดำเนินการทบทวนและปรับปรุงรายการความเสี่ยงและแผนการลดความเสี่ยง ซึ่งอาจเปลี่ยนแปลงไปจากเดิม
  • ข้อกำหนดที่ 9 การประเมินสมรรถนะ (Performance Evaluation) หากพิจารณาตามวงจรเดมิ่ง (Deming-cycle) แล้วก็กล่าวได้ว่าข้อกำหนดนี้คือขั้นตอนของการตรวจสอบ (Check) ซึ่งประกอบด้วย (1) การติดตาม วัดผล วิเคราะห์ และประเมินผล (2) การตรวจสอบภายใน และ (3) การทบทวนโดยฝ่ายบริหาร  โดยผลลัพธ์จากในข้อกำหนดนี้ หากดำเนินการอย่างถูกต้อง จะเป็นกลไกที่ช่วยผลักดันไปสู่การพัฒนาและปรับปรุงระบบบริหารจัดการฯ มีประสิทธิผลยิ่งขึ้น
  • ข้อกำหนดที่ 10 การปรับปรุง (Improvement) กล่าวถึงการปรับปรุงโดยแบ่งเป็น (1) ความไม่สอดคล้องและการปรับปรุงแก้ไข และ (2) การปรับปรุงพัฒนาอย่างต่อเนื่อง โดยเนื้อหาของหัวข้อ “ความไม่สอดคล้องและการปรับปรุงแก้ไข” ในเวอร์ชั่นปัจจุบันมีการปรับปรุงให้กระชับขึ้น จึงเป็นการรวมใจความของ การดำเนินการแก้ไข (Corrective Action) และการดำเนินการป้องกัน (Preventive Action) เข้าด้วยกัน  

บทความในตอนต่อไปจะกล่าวถึงมาตรการควบคุมและวัตถุประสงค์การควบคุม (Controls and Control Objectives) ซึ่งเป็นที่มีเนื้อหาจำนวนมาก และทำให้ผู้ที่ไม่คุ้นเคยกับมาตรการความปลอดภัย รู้สึกถึงความแตกต่างอย่างมากระหว่างมาตรฐานระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศกับมาตรฐานอื่น