ทำความรู้จัก Security Control ใหม่!! ตามมาตรฐาน ISO 27001 เวอร์ชั่นปี 2013
ท่านที่ติดตามข่าวสาร หรือกำลังจัดทำมาตรฐานด้านการบริหารความมั่นคงของสารสนเทศ ISO 27001 อยู่นั้น คงทราบกันดีว่าเมื่อช่วงปลายปีที่ผ่านมา มาตรฐาน ISO 27001 ได้รับการปรับปรุงใหม่ จากเดิมเวอร์ชั่นปี 2005 เป็นเวอร์ชั่นปี 2013 โดยมีการเปลี่ยนแปลงทั้งโครงสร้างของรูปแบบข้อกำหนดหลัก จากเดิม 5 ข้อ เป็น 7 ข้อ เพื่อให้มาตรฐาน ISO ทุกฉบับมีโครงสร้างที่สอดคล้องกัน รวมถึงได้ทำการเพิ่มเติมมาตรการควบคุมความมั่นคง (Security Control) จากเดิมที่มีจำนวน 11 กลุ่ม 133 มาตรการ เป็นจำนวน 14 กลุ่ม 114 มาตรการ ทั้งนี้ ก็เพื่อให้มาตรฐานมีความทันสมัย และเพิ่มศักยภาพในการปกป้องข้อมูลสารสนเทศขององค์กรให้คงไว้ซึ่งความมั่นคงปลอดภัยยิ่งขึ้น
อย่างไรก็ตาม
ท่านอย่าเพิ่งกังวลใจไป เพราะอันที่จริงแล้วต้องกล่าวว่ามาตรการควบคุมของเวอร์ชั่นเดิมนั้น
ได้รับการจัดระเบียบใหม่โดยรวบเอามาตรการที่มีความซ้ำซ้อนเข้าด้วยกัน เพื่อให้ง่ายต่อความเข้าใจและการใช้งานมากกว่า
โดยมีมาตรการควบคุมความมั่นคงที่องค์กรจะต้องจัดทำเพิ่มเติมขึ้นมาใหม่จริงๆ เพียง 8
มาตรการเท่านั้น
ดังต่อไปนี้
A.6.1.5
Information Security in Project Management
ในการบริหารจัดการโครงการต่างๆ
ขององค์กร จะต้องมีการกำหนดวัตถุประสงค์และกระบวนการบริหารความเสี่ยง
เพื่อปกป้องความมั่นคงปลอดภัยของสารสนเทศเสมอ
A.14.2.1 Secure Develop Policy
ต้องมีการกำหนดกฏระเบียบในการพัฒนาระบบ
ซอฟต์แวร์ และแอพพลิเคชั่นขององค์กร
โดยเนื้อหาของนโยบายประกอบไปด้วยการกำหนดความมั่นคงปลอดภัยของวงจรการพัฒนา
ความต้องการ การทดสอบ และกฏหมายทรัพย์สินทางปัญญา
A.14.2.5
Secure System Engineering Principal
ต้องมีการนำหลักการวิศวกรรมระบบที่มีความมั่นคงปลอภัยมาใช้งาน
โดยประยุกต์เข้ากับระบบทั้งหมดที่มีอยู่ขององค์กร พิจารณาในโครงสร้างทุกลำดับขั้น
เพื่อให้มั่นใจได้ว่าทุกระบบมีความมั่นคงปลอดภัยตรงตามความต้องการ
A.14.2.6
Secure Development Environment
องค์กรจะต้องจัดให้มีสภาพแวดล้อมที่มั่นคงปลอดภัย
เพื่อใช้สำหรับการพัฒนาระบบ ซอฟต์แวร์ และแอพพลิเคชั่นต่างๆ
ซึ่งครอบคลุมถึงการจัดการบุคลากร กระบวนการ และเทคโนโลยีที่เกี่ยวข้องทั้งหมดด้วย
A.14.2.8
System Security Testing
กระบวนการที่ใช้ในการพัฒนาระบบใหม่
และ/หรือ ปรับปรุงระบบเดิม ต้องได้รับการทดสอบด้านความมั่นคงปลอดภัย
ตั้งแต่ขั้นตอนการนำเข้าข้อมูล การประมวลผล การนำออกข้อมูล
และฟังก์ชั่นด้านความมั่นคงปลอดภัยอื่นๆ
A.15.1.3
Information and Communication Technology Supply Chain
ในการทำเอกสารสัญญาหรือข้อตกลง
ระหว่างองค์กรกับผู้ให้บริการภายนอก ผู้ผลิตสินค้า
ฯลฯ
จะต้องมีการระบุให้ครอบคลุมความเสี่ยงด้านความมั่นคงปลอดภัยของบริการและสินค้าตลอดห่วงโซ่อุปทาน
อาทิ การกำหนดความต้องการ การติดตั้ง การตรวจรับ และการรับประกันสินค้า เป็นต้น
A.16.1.4
Assessment of and Decision on Information Security Events
เมื่อมีเหตุการณ์ที่เกี่ยวข้องกับความมั่นคงปลอดภัยเกิดขึ้น
เหตุการณ์เหล่านั้นจะต้องได้รับการประเมินทุกครั้ง
เพื่อระบุว่าเป็นเหตุละเมิดความมั่นคงปลอดภัยหรือไม่
ซึ่งจะช่วยให้สามารถกำหนดแนวทางบริหารจัดการได้อย่างถูกต้องเหมาะสม
และลดผลกระทบหรือความเสี่ยงที่อาจจะเกิดขึ้นกับองค์กรได้
A.17.2.1
Availability of Information Processing Facilities
ต้องกำหนดความต้องการด้านความพร้อมใช้งานของระบบสารสนเทศต่างๆ
ขององค์กร โดยพิจารณาจากความต้องการใช้งานระบบในเชิงธุรกิจ รวมถึงต้องมีการทดสอบระบบสำรองอย่างสม่ำเสมอ
เพื่อให้เกิดความต่อเนื่องในการให้บริการ
ทั้ง 8 มาตรการที่ถูกเพิ่มเติมขึ้นมานี้
จะช่วยให้คุณมั่นใจในความมั่นคงปลอดภัยของสารสนเทศภายในองค์กรของท่านมากยิ่งขึ้น
และขอฝากข้อคิดกับทุกท่านก่อนจบบทความในครั้งนี้ว่า >>
“ภัยคุกคามเปลี่ยนแปลงไปทุกวัน ระบบป้องกันจึงต้องได้รับการพัฒนาทุกวันเช่นกัน”
Content Cr: DestinationOne Counselor
