Tuesday, November 18, 2014

แนะนำข้อกำหนดของ ISO 27001:2013 แบบเข้าใจง่าย

แนะนำข้อกำหนดของ ISO 27001:2013 แบบเข้าใจง่าย

ธุรกิจในปัจจุบันต้องแข่งขันกันที่ข้อมูลและระบบเทคโนโลยีสารสนเทศ ว่ากันว่าข้อมูลลับทางการค้าในมือของใครครบถ้วน ถูกต้อง ประมวลผลและวิเคราะห์ได้รวดเร็วกว่า คนนั้นย่อมได้เปรียบคู่แข่งเสมอ ดังนั้น จึงไม่น่าแปลกใจที่มีทฤษฎี โมเดล มาตรฐาน และงานวิจัยเกี่ยวข้องกับความพยายามในการบริหารจัดการข้อมูลอย่างมีประสิทธิภาพปรากฏให้เห็นอยู่มากมาย ซึ่งแน่นอนว่ามาตรฐานสากล ISO 27001:2013 การบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (Information Security Management System) มักจะได้รับการอ้างอิงถึงอยู่เสมอๆ และกำลังได้รับความนิยมในการนำไปประยุกต์ใช้งานเพิ่มขึ้นอย่างต่อเนื่อง
สำหรับองค์กรที่ต้องการได้รับการรับรองมาตรฐาน ISO 27001:2013 นั้น จำเป็นที่จะต้องปฏิบัติตามข้อกำหนดหลักของมาตรฐาน ซึ่งถ้าอ้างอิงตามเอกสารแล้วได้แก่ ข้อกำหนด 4-10 นั่นเอง ซึ่งในบทความนี้ ผมจะขอแนะนำข้อกำหนดหลักดังกล่าวให้ทุกท่านเข้าใจอย่างง่ายๆ ดังนี้


ข้อกำหนดหลักของมาตรฐาน ISO 27001:2013

ข้อกำหนดที่ 4 การระบุบริบทขององค์กร
ทำความเข้าใจองค์กรและบริบท : คุณจะต้องระบุประเด็นและปัจจัยทั้งภายในและภายนอกองค์กร ที่มีผลกระทบกับเป้าหมายและวัตถุประสงค์ในการบริหารจัดการความมั่นคงปลอดภัย
ทำความเข้าใจกับความต้องการและความคาดหวังของผู้ที่มีส่วนเกี่ยวข้อง : คุณจะต้องระบุตัวผู้ที่มีส่วนเกี่ยวข้องกับความมั่นคงปลอดภัยขององค์กรทั้งหมด แล้วระบุความต้องการและความคาดหวังของพวกเขาที่มีต่อการบริหารจัดการความมั่นคงปลอดภัย
ระบุขอบเขตของระบบบริหารความมั่นคงปลอดภัย : คุณจะต้องระบุขอบเขตของการจัดทำระบบบริหารความมั่นคงปลอดภัยอย่างชัดเจน รวมถึงข้อยกเว้นต่างๆ ด้วย (ถ้ามี)
ระบบบริหารจัดการความมั่นคงปลอดภัย : องค์กรจะต้องมีการจัดตั้ง บังคับใช้ บำรุงรักษา และปรับปรุงระบบบริหารจัดการความมั่นคงปลอดภัยอย่างเหมาะสม

ข้อกำหนดที่ 5 ภาวะผู้นำ
ภาวะผู้นำและพันธกิจ : ผู้บริหารจะต้องแสดงออกถึงพันธกิจและความเป็นผู้นำในการจัดทำระบบบริหารจัดการความมั่นคงปลอดภัย โดยจะต้องมั่นใจว่านโยบายด้านความมั่นคงปลอดภัยมีความสอดคล้องกับวัตถุประสงค์ขององค์กร และมีการจัดการทรัพยากรที่จำเป็นในการดำเนินการให้อย่างเพียงพอ
นโยบาย : องค์กรจะต้องมีการประกาศ บังคับใช้ และสื่อสารเกี่ยวกับนโยบายด้านความมั่นคงปลอดภัยอย่างเหมาะสม
บทบาท หน้าที่ ความรับผิดชอบ และการใช้อำนาจหน้าที่ : ผู้บริหารจะต้องกำหนดบทบาท อำนาจ หน้าที่และความรับผิดชอบของบุคลากรที่เกี่ยวข้องกับการบริหารจัดการความมั่นคงปลอดภัยอย่างเหมาะสม

ข้อกำหนดที่ 6 การวางแผน
การบริหารความเสี่ยง : คุณจะต้องมีการบริหารจัดการความเสี่ยงและโอกาสที่เกี่ยวข้องกับความมั่นคงปลอดภัย โดยการหามาตรการป้องกันหรือปรับปรุงให้ความเสี่ยงต่างๆ อยู่ในระดับที่องค์กรสามารถยอมรับได้ ทั้งนี้ ในการประเมินความเสี่ยงจะต้องคำนึงถึง 3 แง่มุม อันได้แก่ ความลับ (Confidentiality), ความถูกต้องครบถ้วน (Integrity) และความพร้อมใช้งาน (Availability) จากนั้นจึงทำการจัดลำดับความสำคัญของความเสี่ยง กำหนดตัวผู้เป็นเจ้าของความเสี่ยง พร้อมทั้งจัดหาแผนการแก้ไขความเสี่ยงต่อไป
กำหนดวัตถุประสงค์และแผนงาน : คุณจะต้องมีการกำหนดวัตถุประสงค์ด้านความมั่นคงปลอดภัยของแต่ละแผนก ฝ่าย หรือหน่วยงาน พร้อมทั้งสื่อสารให้พวกเขารับทราบ รวมถึงจะต้องจัดทำแผนงานที่เหมาะสมเพื่อให้สอดคล้องตามวัตถุประสงค์เหล่านั้น


ข้อกำหนดที่ 7 การสนับสนุน
ทรัพยากร : ผู้บริหารจะต้องสนับสนุนและจัดการทรัพยากรต่างๆ ให้เพียงพอต่อการจัดทำระบบบริหารความมั่นคงปลอดภัย
ทักษะความสามารถ : องค์กรจะต้องมีการกำหนดทักษะความสามารถ (Competency) ที่จำเป็นในการบริหารจัดการความมั่นคงปลอดภัย และจัดให้มีการอบรมฝึกฝนเพื่อให้บุคลากรมีทักษะความสามารถเหล่านั้น รวมถึงจะต้องมีการประเมินความสามารถเป็นประจำตามรอบระยะเวลาที่กำหนด
ความตระหนักรู้ : บุคลากรและผู้ที่เกี่ยวข้องทั้งหมดจะต้องมีความตระหนักรู้ (Awareness) ด้านการบริหารจัดการความมั่นคงปลอดภัย โดยจะต้องได้รับการสื่อสารและให้ความรู้เกี่ยวกับนโยบายและแผนการดำเนินการต่างๆ อย่างเหมาะสม
การติดต่อสื่อสาร : คุณจะต้องจัดให้มีการสื่อสารเกี่ยวกับการบริหารจัดการความมั่นคงปลอดภัยไปยังผู้ที่มีส่วนเกี่ยวข้องทั้งหมดตามความจำเป็น ทั้งบุคคลภายในและภายนอกองค์กร เพื่อให้ทุกคนสามารถปฏิบัติตนได้สอดคล้องตามข้อกำหนดของมาตรฐานสากล
การบริหารจัดการเอกสาร : คุณจะต้องกำหนดให้มีการบริหารจัดการเอกสารและบันทึกต่างๆ ที่เกี่ยวข้องกับระบบบริการจัดการความมั่นคงปลอดภัย ให้มีความครบถ้วนถูกต้อง พร้อมใช้งาน สอดคล้องตามระดับความสำคัญของข้อมูลนั้นๆ ตลอดวัฏจักรของเอกสารเหล่านั้น

ข้อกำหนดที่ 8 การปฏิบัติงาน
การวางแผนและควบคุมการปฏิบัติงาน : คุณจะต้องมีการวางแผนและควบคุมการปฏิบัติงานด้านการบริหารความมั่นคงปลอดภัยอย่างเหมาะสม เพื่อให้สอดคล้องตามวัตถุประสงค์ที่ได้กำหนดไว้ รวมถึงมีการควบคุมบริหารความเปลี่ยนแปลง (Change Management) ที่เกิดขึ้น และควบคุมการปฏิบัติงานของผู้ให้บริการภายนอก (Outsource) ที่เกี่ยวข้องอีกด้วย
การประเมินความเสี่ยงด้านความมั่นคงปลอดภัย : คุณจะต้องทำการประเมินความเสี่ยงด้านความมั่นคงปลอดภัยอย่างสม่ำเสมอตามรอบระยะเวลาที่ได้กำหนดไว้ หรือเมื่อมีการเปลี่ยนแปลงที่มีนัยสำคัญเกิดขึ้น
การแก้ไขความเสี่ยงด้านความมั่นคงปลอดภัย : คุณจะต้องจัดทำแผนแก้ไขความเสี่ยงให้สอดคล้องตามผลการประเมิน และดำเนินการตามแผนนั้นเพื่อให้ความเสี่ยงลดลงมาอยู่ในระดับที่องค์กรสามารถยอมรับได้

ข้อกำหนดที่ 9 การประเมินประสิทธิภาพและประสิทธิผล
การตรวจติดตาม การวัดผล การวิเคราะห์และการประเมินผล : คุณจะต้องทำการประเมินประสิทธิภาพและประสิทธิผลของระบบบริหารความมั่นคงปลอดภัย ด้วยการตรวจติดตาม การวัดผล การวิเคราะห์และการประเมินผล และสรุปรายงานเพื่อนำเสนอให้ผู้บริหารพิจารณาต่อไป
การตรวจสอบภายใน : คุณจะต้องดำเนินการตรวจสอบภายในระบบบริหารความมั่นคงปลอดภัยตามรอบระยะเวลาที่ได้กำหนดไว้ โดยครอบคลุมทุกหัวข้อที่ระบุไว้ในขอบเขตของระบบ
การทบทวนโดยผู้บริหาร : ผู้บริหารระดับสูงจะต้องพิจารณาทบทวนระบบบริหารจัดการความมั่นคงปลอดภัยตามรอบระยะเวลาที่ได้กำหนดไว้ เพื่อให้มั่นใจได้ว่าระบบมีประสิทธิภาพและประสิทธิผลอยู่เสมอ

ข้อกำหนดที่ 10 การพัฒนาและปรับปรุง
สิ่งที่ไม่สอดคล้องตามข้อกำหนด และการแก้ไข : เมื่อพบว่ามีสิ่งใดที่ไม่เป็นไปตามข้อกำหนด คุณจะต้องระบุข้อมูลของสิ่งนั้น แล้วดำเนินการวางแผนแก้ไขปัญหาให้ถูกต้องครบถ้วน รวมถึงทำการวัดผลการแก้ไขนั้นด้วย
การปรับปรุงอย่างต่อเนื่อง : องค์กรจะต้องมีการพัฒนาปรับปรุงประสิทธิภาพและประสิทธิผลของระบบบริหารจัดการความมั่นคงปลอดภัยอย่างต่อเนื่อง เพื่อให้สอดคล้องตามวัตถุประสงค์ทางธุรกิจขององค์กรอยู่เสมอ

การปฏิบัติตามข้อกำหนดเหล่านี้จะช่วยให้มั่นใจได้ว่าข้อมูลและระบบสารสนเทศขององค์กรมีความมั่นคงปลอดภัย และสามารถขอรับการตรวจประเมิน ISO 27001:2013 จากหน่วยงานรับรองได้ รวมถึงช่วยเพิ่มความได้เปรียบ ความมั่นคง และความต่อเนื่องในการดำเนินธุรกิจภายใต้สถานการณ์ที่การต่อสู้แข่งขันกันมีความดุเดือดอย่างเช่นในปัจจุบันนี้นี่เอง

Content Cr: DestinationOne Counselor
Photo Cr: ISO, MS Template



No comments:

Post a Comment

Note: Only a member of this blog may post a comment.