ทำความรู้จัก Security Control ใหม่!! ตามมาตรฐาน ISO 27001 เวอร์ชั่นปี 2013

ทำความรู้จัก Security Control ใหม่!! ตามมาตรฐาน ISO 27001 เวอร์ชั่นปี 2013

                ท่านที่ติดตามข่าวสาร หรือกำลังจัดทำมาตรฐานด้านการบริหารความมั่นคงของสารสนเทศ ISO 27001 อยู่นั้น คงทราบกันดีว่าเมื่อช่วงปลายปีที่ผ่านมา มาตรฐาน ISO 27001 ได้รับการปรับปรุงใหม่ จากเดิมเวอร์ชั่นปี 2005 เป็นเวอร์ชั่นปี 2013 โดยมีการเปลี่ยนแปลงทั้งโครงสร้างของรูปแบบข้อกำหนดหลัก จากเดิม 5 ข้อ เป็น 7 ข้อ เพื่อให้มาตรฐาน ISO ทุกฉบับมีโครงสร้างที่สอดคล้องกัน รวมถึงได้ทำการเพิ่มเติมมาตรการควบคุมความมั่นคง (Security Control) จากเดิมที่มีจำนวน 11 กลุ่ม 133 มาตรการ เป็นจำนวน 14 กลุ่ม 114 มาตรการ ทั้งนี้ ก็เพื่อให้มาตรฐานมีความทันสมัย และเพิ่มศักยภาพในการปกป้องข้อมูลสารสนเทศขององค์กรให้คงไว้ซึ่งความมั่นคงปลอดภัยยิ่งขึ้น

                อย่างไรก็ตาม ท่านอย่าเพิ่งกังวลใจไป เพราะอันที่จริงแล้วต้องกล่าวว่ามาตรการควบคุมของเวอร์ชั่นเดิมนั้น ได้รับการจัดระเบียบใหม่โดยรวบเอามาตรการที่มีความซ้ำซ้อนเข้าด้วยกัน เพื่อให้ง่ายต่อความเข้าใจและการใช้งานมากกว่า โดยมีมาตรการควบคุมความมั่นคงที่องค์กรจะต้องจัดทำเพิ่มเติมขึ้นมาใหม่จริงๆ เพียง 8 มาตรการเท่านั้น ดังต่อไปนี้

A.6.1.5 Information Security in Project Management

                ในการบริหารจัดการโครงการต่างๆ ขององค์กร จะต้องมีการกำหนดวัตถุประสงค์และกระบวนการบริหารความเสี่ยง เพื่อปกป้องความมั่นคงปลอดภัยของสารสนเทศเสมอ

A.14.2.1 Secure Develop Policy

                ต้องมีการกำหนดกฏระเบียบในการพัฒนาระบบ ซอฟต์แวร์ และแอพพลิเคชั่นขององค์กร โดยเนื้อหาของนโยบายประกอบไปด้วยการกำหนดความมั่นคงปลอดภัยของวงจรการพัฒนา ความต้องการ การทดสอบ และกฏหมายทรัพย์สินทางปัญญา

A.14.2.5 Secure System Engineering Principal

                ต้องมีการนำหลักการวิศวกรรมระบบที่มีความมั่นคงปลอภัยมาใช้งาน โดยประยุกต์เข้ากับระบบทั้งหมดที่มีอยู่ขององค์กร พิจารณาในโครงสร้างทุกลำดับขั้น เพื่อให้มั่นใจได้ว่าทุกระบบมีความมั่นคงปลอดภัยตรงตามความต้องการ

A.14.2.6 Secure Development Environment

                องค์กรจะต้องจัดให้มีสภาพแวดล้อมที่มั่นคงปลอดภัย เพื่อใช้สำหรับการพัฒนาระบบ ซอฟต์แวร์ และแอพพลิเคชั่นต่างๆ ซึ่งครอบคลุมถึงการจัดการบุคลากร กระบวนการ และเทคโนโลยีที่เกี่ยวข้องทั้งหมดด้วย

A.14.2.8 System Security Testing

                กระบวนการที่ใช้ในการพัฒนาระบบใหม่ และ/หรือ ปรับปรุงระบบเดิม ต้องได้รับการทดสอบด้านความมั่นคงปลอดภัย ตั้งแต่ขั้นตอนการนำเข้าข้อมูล การประมวลผล การนำออกข้อมูล และฟังก์ชั่นด้านความมั่นคงปลอดภัยอื่นๆ

A.15.1.3 Information and Communication Technology Supply Chain

                ในการทำเอกสารสัญญาหรือข้อตกลง ระหว่างองค์กรกับผู้ให้บริการภายนอก ผู้ผลิตสินค้า ฯลฯ จะต้องมีการระบุให้ครอบคลุมความเสี่ยงด้านความมั่นคงปลอดภัยของบริการและสินค้าตลอดห่วงโซ่อุปทาน อาทิ การกำหนดความต้องการ การติดตั้ง การตรวจรับ และการรับประกันสินค้า เป็นต้น

A.16.1.4 Assessment of and Decision on Information Security Events

                เมื่อมีเหตุการณ์ที่เกี่ยวข้องกับความมั่นคงปลอดภัยเกิดขึ้น เหตุการณ์เหล่านั้นจะต้องได้รับการประเมินทุกครั้ง เพื่อระบุว่าเป็นเหตุละเมิดความมั่นคงปลอดภัยหรือไม่ ซึ่งจะช่วยให้สามารถกำหนดแนวทางบริหารจัดการได้อย่างถูกต้องเหมาะสม และลดผลกระทบหรือความเสี่ยงที่อาจจะเกิดขึ้นกับองค์กรได้

A.17.2.1 Availability of Information Processing Facilities

                ต้องกำหนดความต้องการด้านความพร้อมใช้งานของระบบสารสนเทศต่างๆ ขององค์กร โดยพิจารณาจากความต้องการใช้งานระบบในเชิงธุรกิจ รวมถึงต้องมีการทดสอบระบบสำรองอย่างสม่ำเสมอ เพื่อให้เกิดความต่อเนื่องในการให้บริการ

                ทั้ง 8 มาตรการที่ถูกเพิ่มเติมขึ้นมานี้ จะช่วยให้คุณมั่นใจในความมั่นคงปลอดภัยของสารสนเทศภายในองค์กรของท่านมากยิ่งขึ้น และขอฝากข้อคิดกับทุกท่านก่อนจบบทความในครั้งนี้ว่า >> “ภัยคุกคามเปลี่ยนแปลงไปทุกวัน ระบบป้องกันจึงต้องได้รับการพัฒนาทุกวันเช่นกัน”

Content Cr: DestinationOne Counselor