9 สิ่งจำเป็นเมื่อ ISO 27001 ปรับเวอร์ชั่นจากปี 2005 มาเป็นปี 2013

วันนี้คุณพร้อมสำหรับมาตรฐาน ISO 27001:2013 แล้วหรือยัง?

   
เมื่อ “ข้อมูล” คือทรัพย์สินที่สำคัญที่สุดในการดำเนินธุรกิจ ข้อมูลบางอย่างมีคุณค่ามากจนไม่สามารถประเมินมูลค่าได้ ยกตัวอย่างเช่น สูตรเวชภัณฑ์ยา, ข้อมูลลับทางการค้า ฯลฯ องค์กรทุกแห่งจึงมุ่งเน้นที่จะรักษาความมั่นคงปลอดภัยของข้อมูลและองค์กร เพื่อสร้างความต่อเนื่องราบรื่นในการดำเนินธุรกิจ ดังนั้น ในปี 2005 International Organization for Standardization (ISO) จึงได้ประกาศมาตรฐาน ISO 27001:2005 Information Security Management System หรือ มาตรฐานด้านการบริหารความมั่นคงปลอดภัยของสารสนเทศ และได้รับความนิยมในการนำมาประยุกต์ใช้โดยองค์กรต่างๆ ทั่วโลกมาตลอดระยะเวลา 8 ปี จนกระทั่ง เมื่อวันที่ 25 กันยายน 2013 ที่ผ่านมา ISO ได้ตีพิมพ์มาตรฐานเวอร์ชั่นใหม่ ISO 27001:2013 ซึ่งได้รับการทบทวนและปรับปรุงเนื้อหาให้มีความทันสมัย เหมาะสมกับการใช้งานภายใต้สภาพแวดล้อมและเทคโนโลยีที่เปลี่ยนแปลงไป

สำหรับองค์กรจำนวนไม่น้อยที่รับเอาข้อกำหนดของมาตรฐาน ISO 27001 เวอร์ชั่นปี 2005 มาใช้งานอยู่แล้วนั้น ขณะนี้คงจะกำลังปรับตัวเพื่อรองรับการบริหารความมั่นคงปลอดภัยของสารสนเทศตามข้อกำหนดของเวอร์ชั่นใหม่ ปี 2013 ในบทความนี้ ทีมที่ปรึกษา DestinationOne จึงขอแนะนำ 9 สิ่งจำเป็นที่องค์กรจะต้องทำเพื่อเริ่มต้นก้าวสู่ความสำเร็จในการประยุกต์ใช้ ISO 27001:2013

1. การระบุถึงบริบทที่เกี่ยวข้องกับองค์กร ทั้งปัจจัยภายในและปัจจัยภายนอก
2. การระบุถึงความต้องการและความคาดหวังของผู้ที่มีส่วนเกี่ยวข้องทั้งหมด
3. การแสดงออกถึงภาวะผู้นำและพันธสัญญาของผู้บริหารที่มีต่อการบริหารความมันคงปลอดภัย
4. การรวมเอาข้อกำหนดด้านความมั่นคงปลอดภัยให้เป็นหนึ่งเดียวกับกระบวนการทางธุรกิจและระบบงานขององค์กร
5. การกำหนดวัตถุประสงค์และแผนงานที่ชัดเจนเกี่ยวกับความมั่นคงปลอดภัย
6. การระบุตัวบุคคลที่เป็นเจ้าของความเสี่ยงตามรายการที่เป็นผลจากการประเมินความเสี่ยงด้านความมั่นคงปลอดภัย
7. การสร้างกระบวนการตรวจสอบ ประเมินผล และวิเคราะห์ผลด้านความมั่นคงปลอดภัย
8. การกำหนดรูปแบบและกระบวนการสื่อสาร ทั้งเพื่อการสื่อสารภายในและภายนอกองค์กร
9. การปรับปรุงเอกสาร การเลือกใช้และการจัดทำมาตรการควบคุมเพิ่มเติม ตาม Annex A ให้ครอบคลุมตามเวอร์ชั่นใหม่ (ซึ่งจากเดิม 11 Domains, 133 Controls ได้รับการปรับปรุงเป็น 14 Domains, 114 Controls) ยกตัวอย่างเช่น;

        >> A.6.1.5 Information security in project management
        >> A.14.2.1 Secure develop policy
        >> A.14.2.5 Secure system engineering principle
        >> A.15.1.1 Information security policy for supplier relationships

“ไม่มีระบบใดช่วยป้องกันความเสี่ยงได้ 100% แต่อย่างน้อยระบบที่เตรียมการไว้อย่างรัดกุมก็ช่วยลดผลกระทบจากร้อยให้เหลือน้อยที่สุดได้”

Content Cr: DestinationOne Counselor
Photo Cr: Stock.Xchng, PostToday

DR Site: เกณฑ์เบื้องต้นเพื่อพิจารณาเลือกศูนย์สำรองฉุกเฉิน

การแข่งขันทางธุรกิจในปัจจุบันนี้มีความรุนแรงสูงมาก ในขณะเดียวกันความเสี่ยงและภัยคุกคามต่างๆ ก็พร้อมที่จะเข้าโจมตีเราได้ตลอดเวลา บริษัทที่ยืนหยัดให้บริการลูกค้าได้อย่างราบรื่นต่อเนื่องในทุกสถานการณ์เท่านั้นจึงจะเป็นผู้อยู่รอด ดังนั้น “ศูนย์สำรองฉุกเฉิน หรือ Disaster Recovery Site” (DR Site) จึงเป็นเรื่องสำคัญที่ทุกบริษัทต้องมีการเตรียมพร้อม
 
เมื่อเกิดภาวะวิกฤติขึ้นกับไซต์งานปกติ ไม่ว่าจะโดยภัยธรรมชาติหรือการคุกคามจากฝีมือมนุษย์  DR Site จะต้องสามารถปฏิบัติงานแทนและกู้คืนข้อมูลได้ทันที ซึ่งโดยปกติแล้ว แนวทางในการจัดหา DR Site นั้น จะมีอยู่ด้วยกัน 2 รูปแบบ ได้แก่ (1) การลงทุนก่อสร้างศูนย์สำรองด้วยตนเอง และ (2) การใช้บริการจากผู้ให้บริการภายนอก
 

 
อย่างไรก็ตาม หลายท่านอาจจะยังรู้สึกสับสนในการเริ่มต้นจัดหา DR Site อยู่ ดังนั้น Destination One Counselor จึงขอนำเสนอหลักเกณฑ์เบื้องต้นในการพิจารณาคัดเลือกศูนย์สำรองเพื่อประกอบการตัดสินใจ ดังนี้

          Location - สถานที่ตั้งนับเป็นสิ่งแรกที่บริษัทจะต้องคำนึงถึงในการคัดเลือก DR Site โดยสถานที่สำรองนั้นจะต้องตั้งอยู่ไกลจากสถานที่ทำการหลักพอสมควร เช่น กำหนดให้อยู่ห่างกันอย่างน้อย 60-120 กิโลเมตรขึ้นไป เพื่อให้ศูนย์สำรองปลอดภัยจากผลกระทบของวิกฤตการณ์หรือเหตุฉุกเฉินที่กำลังคุกคามไซต์งานหลัก รวมถึง จะต้องพิจารณาให้อยู่ห่างจากแหล่งความเสี่ยงอื่นๆ อาทิ แหล่งน้ำ, คลังเชื้อเพลิง หรือแหล่งอาชญากรรม เป็นต้น
 
          Facilities - ระบบสาธารณูปโภค (เช่น ระบบไฟฟ้า, ระบบสื่อสาร, ระบบปรับอากาศ, ระบบประปา, ระบบดับเพลิง, ฯลฯ) เป็นประเด็นต่อมาที่บริษัทควรจะพิจารณา โดยประเมินว่ามีความครบถ้วนพอเพียงกับความต้องการใช้งานหรือไม่ และที่สำคัญก็คือ ระบบเหล่านั้นจะต้องไม่ได้มาจากแหล่งผลิตหรือแหล่งให้บริการเดียวกันกับที่ศูนย์ปฏิบัติงานหลักใช้งานอยู่ เช่น ระบบไฟฟ้าจะต้องมาจากสถานีไฟฟ้าต่างแห่งกัน หรือ ระบบสื่อสารจะต้องมีหลากหลายช่องทางการสื่อสารจากผู้ให้บริการต่างรายกัน เป็นต้น
 
          Physical Security - ความมั่นคงทายกายภาพ (เช่น ระบบโครงสร้างอาคาร, ระบบควบคุมการเข้า-ออก, ระบบกล้องวงจรปิด, ระบบรักษาความปลอดภัย, ฯลฯ) เพื่อให้ความคุ้มครองกับศูนย์สำรองอย่างเหมาะสม
 

          Threat or Risk - ภัยคุกคาม หรือ ความเสี่ยงอื่นๆ จะต้องได้รับการประเมินอย่างรอบคอบ ซึ่งจะเป็นการตรวจสอบย้ำอีกครั้งเพื่อให้มั่นใจว่าศูนย์สำรองจะไม่ได้รับผลกระทบจากความเสี่ยงเช่นเดียวกับสถานที่ปฏิบัติงานหลัก

          Service - บริการที่ได้รับเป็นหนึ่งในประเด็นที่ต้องพิจารณา การตัดสินใจก่อสร้าง DR Site เองนั้น ทำให้บริษัทต้องจัดหาบริการทุกอย่างด้วยตนเอง ซึ่งอาจจะยุ่งยากมากกว่าแต่ก็ได้ผลตรงตามความต้องการมากที่สุด ในขณะที่การใช้บริการศูนย์สำรองจากผู้ให้บริการภายนอกย่อมจะมาพร้อมกับบริการที่หลากหลาย แตกต่างกันไปตามผู้ให้บริการแต่ละราย บริษัทจึงต้องทำการเปรียบเทียบเพื่อเลือกผู้ให้บริการที่ใกล้เคียงกับความต้องการมากที่สุด
 
          Price - ราคาที่บริษัทจะต้องคำนึงถึงก็คือความคุ้มค่าในการลงทุน ระหว่างการสร้าง DR Site เอง และ การเลือกใช้บริการจากผู้ให้บริการทั่วไปที่มีอยู่ในตลาด แบบใดจึงจะคุ้มค่ากับงบประมาณ เวลา และทรัพยากรที่ต้องแลกไปมากกว่ากัน รวมถึงแบบใดจึงจะตอบโจทย์ความต้องการของบริษัทมากที่สุด
 

 ตัวอย่าง: ตารางคัดเลือกศูนย์สำรองฉุกเฉิน

บริษัทควรจะจัดทำตารางข้อมูลเพื่อเปรียบเทียบตัวเลือกที่มีความเป็นไปได้ทั้งหมด และนำเข้าที่ประชุมเพื่อระดมความคิดเห็นจากผู้ที่เกี่ยวข้องทุกส่วนอย่างรอบคอบ จากนั้นจึงนำเสนอให้ผู้บริหารดำเนินการตัดสินใจต่อไป

Content Cr: Destination One Counselor

Photo Cr: Stock.Xchng

ทำอย่างไรให้ธุรกิจเดินไปได้อย่างมั่นคงต่อเนื่อง

ทำอย่างไรให้ธุรกิจเดินไปได้อย่างมั่นคงต่อเนื่อง

** ประภาคาร คือ สิ่งก่อสร้างที่ทำหน้าที่อย่างซื่อสัตย์มานานนับหลายศตวรรษ โดยช่วยนักเดินเรือในการสังเกตหาสิ่งผิดปดติและส่งสัญญาณเตือนภัย หากวันใดประภาคารดับแสงลง และคุณเป็นนักเดินเรือที่ผจญอยู่ท่ามกลางพายุ.. คุณจะทำเช่นไร??

โลกของเรามีความเปลี่ยนแปลงเกิดขึ้นอย่างไม่เคยหยุดยั้ง เทคโนโลยีที่ก้าวหน้าช่วยอำนวยความสะดวกรวดเร็วในการทำงาน สร้างโอกาสใหม่ๆ ทางการค้า ขับเคลื่อนให้ภาคธุรกิจเจริญเติบโตขึ้น อีกทั้งยังช่วยลดต้นทุนและภาระค่าใช้จ่ายลงได้อีกด้วย จึงไม่น่าแปลกใจที่ในปัจจุบันนี้ ทุกองค์กรก็ล้วนแล้วแต่มีการใช้งานไอทีกันทั้งสิ้น
 

อย่างไรก็ตาม ความเปลี่ยนแปลงและเทคโนโลยีก็นำมาซึ่งความเสี่ยงด้วยเช่นกัน ภัยคุกคามทุกวันนี้มีจำนวนมากมายมหาศาล หลากหลายรูปแบบ และมีความซับซ้อนรุนแรงเพิ่มขึ้นเรื่อยๆ  ถึงแม้ว่าในหลายองค์กรจะตระหนักถึงปัญหาเหล่านี้ และจัดให้มีระบบควบคุมที่ (ประเมินว่า) ดีแล้วก็ตาม แต่ความเสี่ยงบางอย่างก็อยู่เหนือความคาดหมายหรือไม่สามารถป้องกันได้ อาจนำมาซึ่งหายนะ อาทิเช่น น้ำท่วม, แผ่นดินไหว, ไฟไหม้, ภัยธรรมชาติ, เหตุวินาศกรรม, การประท้วง หรือการก่อจราจล เป็นต้น ซึ่งภาวะเหตุการณ์ไม่ปกติเช่นนี้ย่อมส่งผลกระทบในเชิงลบต่อการดำเนินธุรกิจ ดังนั้น องค์กรต่างๆ จึงต้องมีการเตรียมพร้อมอยู่เสมอ เพื่อให้ธุรกิจของตนยังสามารถเดินหน้าต่อไปได้โดยไม่หยุดชะงัก

หากเกิดภาวะฉุกเฉินขึ้น คนแรกที่จะต้องเข้ามารับผิดชอบดูแล และทำความเข้าใจกับสถานการณ์ก็คือ “ผู้บริหารระดับสูง หรือ เจ้าของกิจการ” นั่นเอง เพราะเป็นบุคคลที่รู้จักโครงสร้างทางธุรกิจโดยรวมขององค์กรทั้งหมด สามารถบริหารจัดการ และมีอำนาจการตัดสินใจในเรื่องต่างๆ ได้ดีที่สุด ผู้บริหารจึงต้องมีการวางแผนที่รัดกุมรอบคอบเพื่อรองรับสถานการณ์ในรูปแบบต่างๆ ที่อาจจะสร้างความเสียหายต่อธุรกิจ หรือกระทบต่อชื่อเสียงขององค์กร โดยดำเนินการดังต่อไปนี้.. (1) กำหนดกลยุทธ์ด้านการบริหารความต่อเนื่องทางธุรกิจ (Business Continuity Strategy) เป็นอย่างแรก (2) มอบหมายหน้าที่ความรับผิดชอบสำหรับพนักงานและทีมงาน รวมถึงมีการฝึกอบรมบุคลากรให้ตระหนักถึงแนวทางการปฎิบัติงานในภาวะไม่ปกติ (3) วางแผนรองรับความเสี่ยง โดยแผนนี้จะต้องได้รับการทดสอบและมีการปรับปรุงให้ทันสมัยอยู่เสมอ ด้วยการจำลองเหตุการณ์ฉุกเฉิน ซักซ้อมบุคลากรที่เกี่ยวข้องตามแผน และดำเนินการประเมินผล (4) หาสถานที่ปฎิบัติงานสำรอง เพื่อให้สามารถย้ายสำนักงานชั่วคราวและปฎิบัติงานได้ทันที (5) มีการสำรองข้อมูลสำคัญขององค์กรอย่างสม่ำเสมอ เพื่อให้ข้อมูลที่จำเป็นต่อการทำงานมีความถูกต้องครบถ้วน และพร้อมใช้งานตลอดเวลา
 

กล่าวโดยสรุปได้ว่า กุญแจสำคัญที่ผลักดันให้ธุรกิจสามารถดำเนินไปได้อย่างมั่นคงต่อเนื่องนั้น มีอยู่ด้วยกัน 3 ประการ ได้แก่ ผู้บริหาร, ทีมงาน และ เครื่องมือ/กระบวนการที่วางแผนเลือกนำมาใช้นั่นเอง.

**นิยามของคำว่า “หายนะ” ก็คือ เหตุการณ์ที่เกิดขึ้นโดยฉับพลันและร้ายแรง จนทำให้ธุรกิจต้องหยุดชะงักโดยไม่สามารถคาดการณ์ได้ล่วงหน้า

 

Content Cr: DestinationOne Counselor

Photo Cr: Stock.Xchng, PostToday