วันพุธที่ 8 เมษายน พ.ศ. 2558

International Organization for Standardization : ISO

 

ระบบ IT ในปัจจุบัน สามารถ ตอบโจทย์การดำเนินธุรกิจได้ ในวงกว้าง แต่มีความ ซับซ้อนมากขึ้นกว่าเดิม หลายเท่าตัว

ดังนั้น การบริหารจัดการด้าน IT ในปัจจุบัน จะต้องตอบโจทย์อยู่ 2 ข้อ คือ Performance และ Conformance


ISO คือ องค์กรสากลว่าด้วยการมาตรฐาน (International Organization for Standardization: ISO) ซึ่งตั้งอยู่ที่กรุงเจนีวา ประเทศสวิตเซอร์แลนด์ ได้ก่อตั้งเป็นทางการเมื่อวันที่ 14 ตุลาคม 1947 (พ.ศ. 2490) ปัจจุบันมีสมาชิก 143 ประเทศ ซึ่งครั้งแรกนั้นมีผู้แทนจากประเทศต่างๆ 25 ประเทศร่วมประชุมกันที่กรุงลอนดอน มีมติตั้งองค์การระหว่างประเทศว่าด้วยการมาตรฐานขึ้น และสหประชาชาติได้ให้การยอมรับเป็นองค์การชำนาญพิเศษประเภทที่ไม่ใช่หน่วยงานของรัฐบาล


ISO เดิมใช้คำย่อว่า "IOS" โดยมีความหมายในภาษากรีก แปลว่า ความสับสน (ไม่เป็นมงคล) จึงเปลี่ยนมาเป็น ISO ซึ่งมาจากภาษากรีก คือ ISOS แปลว่า "เท่าเทียมกัน" และตรงกับเจตนารมณ์ขององค์การ ISO ที่ต้องการให้ทั่วโลกมีมาตรฐานที่มีความเท่าเทียมกัน (ทัดเทียมกัน)


วัตถุประสงค์ขององค์กร ISO ก็เพื่อส่งเสริมการกำหนดมาตรฐานระหว่างประเทศ และกิจกรรมที่เกี่ยวข้อง เพื่อการพัฒนาอุตสาหกรรมเศรษฐกิจ และขจัดข้อโต้แย้ง รวมถึงการกีดกัน ทางการค้าระหว่างประเทศ ตลอดจนการพัฒนาความร่วมมือระหว่างประเทศ ในด้านวิชาการวิทยาศาสตร์ และเทคโนโลยีกล่าวง่าย ๆ ได้ว่า บริษัท หรือองค์กรใดได้รับ ISO ก็หมายความว่า สินค้าหรือบริการขององค์กรนั้น เข้าขั้นมาตรฐาน เป็นที่ยอมรับในระดับสากล


ปัจจุบันองค์การระหว่างประเทศว่าด้วยมาตรฐาน หรือ ISO มี ประกอบด้วยสมาชิกจากประเทศต่าง ๆ ทั่วโลกปัจจุบัน 143 ประเทศ โดยมีภารกิจ หลักคือ 
 ให้การสนับสนุนและพัฒนามาตรฐาน และกิจกรรมที่เกี่ยวข้อง เพื่อสนองต่อการค้าขายแลกเปลี่ยนสินค้า และการบริการของนานาชาติทั่วโลก
พัฒนาความร่วมมือในด้านวิทยาศาสตร์เทคโนโลยี เศรษฐศาสตร์ และภูมิปัญญาของมวลมนุษยชาติ

ISO ประกอบด้วยสมาชิก 3 ประเภท คือ
    1. Member Body เป็นสถาบันมาตรฐานแห่งชาติ ซึ่งหมายถึง เป็นตัวแทนทางด้านการมาตรฐานของประเทศนั้น ๆ มีสิทธิออกเสียงในเรื่องของวิชาการ มีสิทธิเข้ารับการเลือกตั้งเป็นคณะมนตรี ISO และสามารถเข้าร่วมประชุมสมัชชาใหญ่
    2. Correspondent Member เป็นหน่วยงานของประเทศกำลังพัฒนา ซึ่งยังไม่มีสถาบันมาตรฐานเป็นของตัวเอง สมาชิกประเภทนี้จะไม่เข้าร่วมในเรื่องของวิชาการ แต่มีสิทธิจะได้รับข่าวสารความเคลื่อนไหวของ ISO และเข้าร่วมประชุมสมัชชาใหญ่ในฐานะผู้สังเกตการณ์
    3. Subscribe Membership สมาชิกประเภทนี้ เปิดสำหรับกลุ่มประเทศที่มีเศรษฐกิจค่อนข้างเล็กให้สามารถติดต่อกับ ISO ได้


ISO/IEC 27001:2005 Information Security Management Systems (ISMS)
 ระบบมาตรฐานด้านความปลอดภัยของข้อมูล
            เป็นมาตรฐานที่มีวัตถุประสงค์เพื่อให้การดำเนินธุรกิจเป็นไปอย่างต่อเนื่อง ซึ่งข้อกำหนดต่างๆ ถูกกำหนดขึ้นโดยองค์กรสากล ISO(International Organization for Standardization ) และ IEC (International Electro technical Commission) การประยุกต์ใช้ ISO 27001 จะช่วยให้กิจกรรมทางธุรกิจสามารถดำเนินไปได้อย่างต่อเนื่อง ช่วยป้องกันระบบข้อมูลและสารสนเทศขององค์กรจากความเสี่ยงต่อภัยคุกคามต่างๆ สำหรับทุกประเภท Electro technologies ทั้ง ISO และ IEC ได้รับการสนับสนุน โดยองค์กรสมาชิกระดับชาติ


ที่มาของความสำคัญสำหรับ ISO 27001
    หัวใจสำคัญของระบบบริหารความปลอดภัยสารสนเทศนั้นอยู่ที่ 3 ปัจจัยหลักโดยพื้นฐานดังต่อไปนี้
    1. ข้อมูลส่วนตัว ข้อมูลสำคัญขององค์กร
    การรักษาความปลอดภัยด้านข้อมูลไม่ให้ถูกขโมย ลักลอบนำไปใช้ ดัดแปลง หรือทำให้เกิดข้อผิดพลาดอื่นใด ซึ่งสำหรับหลายหน่วยงานอาจเป็นอันตรายระดับวิกฤติได้ ซึ่งข้อมูลนี้ไม่เพียงเฉพาะข้อมูลสำคัญขององค์กรแต่ยังรวมถึงข้อมูลส่วนตัว ของลูกค้าหรือบุคคลที่สามที่เกี่ยวข้องอื่นๆ ด้วย


2. การบริหารความเสี่ยงจากเหตุการณ์และปัจจัยต่างๆ
    การบริหารความเสี่ยงจากเหตุการณ์และปัจจัยต่างๆ ซึ่งปัจจุบันมีการคำนึงถึงการตั้งไซต์สำรอง ในลักษณะของศูนย์สำรองข้อมูลและดำเนินการกู้คืนระบบภายหลังภัยพิบัติหรือ Disaster Recovery Center (DRC) ซึ่งมีความสำคัญมากในหลายธุรกิจ เช่น ธุรกิจการเงิน หรือบริการด้านสุขภาพ เพราะข้อมูลเหล่านั้นมีความสำคัญยิ่งยวดต่อความสามารถในการดำเนินธุรกิจให้ ต่อเนื่องต่อไปได้ (Business continuity) 
 
3. บริหารระบบเพื่อป้องกันความปลอดภัยของข้อมูล
    รายละเอียดการบริหารระบบเพื่อป้องกันความปลอดภัยของข้อมูล ซึ่งหัวข้อนี้นับเป็นหนึ่งในรายละเอียดหลักของเนื้อหาในร่างมาตรฐาน ISO 27000 ทั้งหมดก็ว่าได้ โดยครอบคลุมตั้งแต่นโยบาย แผน กลยุทธ์ การตรวจวัด การบริหาร และการควบคุมการปฏิบัติการ


ปัจจัยในการพิจารณาความปลอดภัยของระบบสารสนเทศ

ความลับของข้อมูล (Confidentiality)
ความถูกต้องสมบูรณ์ของข้อมูล (Integrity)
ความพร้อมใช้งานของข้อมูล (Availability)
การยืนยันตัวตนของผู้ใช้ (Authentication)
การควบคุมสิทธิในการใช้งานของผู้ใช้ (Authorization)
การไม่สามารถปฏิเสธการกระทำ (Non repudiation)

แนวทางในการนำมาตรฐาน ISO/IEC 27001 มาใช้ในองค์กรนั้น ควรมีขั้นตอน 7 ขั้นตอน ดังนี้

ขั้นตอนที่ 1
    จัดตั้งคณะทำงาน IT Security Steering หรือ IT Security Working Group) เฉพาะเรื่องมาตรฐาน ISO/IEC 27001 และ Regulatory Compliance เพื่อทำการศึกษาตัวมาตรฐานโดยละเอียดและหาแนวทางนำมาปรับประยุกต์ใช้ภายในองค์กร


ขั้นตอนที่ 2
    จัดฝึกอบรม ทำความเข้าใจในส่วนของข้อกำหนดทั้ง 11 Domains ของมาตรฐาน ISO/IEC 27001 ซึ่งควรใช้ระยะเวลาประมาณ 3-5 วัน โดยการฝึกอบรมอาจใช้แนวทางในการทำ Internal ISO 27001 Workshop หรือ อบรมหลักสูตรมาตรฐานของ IRCA ได้แก่ หลักสูตร ISO 27001 (ISMS) Lead Auditor (IRCA2016) ซึ่งจะทำให้ทีมงานได้เข้าใจแนวทางของการตรวจสอบโดยการนำมาตรฐาน ISO/IEC 27001 มาใช้อย่างถูกต้องเหมาะสำหรับองค์กรที่ต้องการได้รับใบรับรองจากผู้ให้บริการออกใบรับรอง หรือ Certification Body เพื่อเป็นการเตรียมตัวในการตรวจสอบเพื่อผ่านการรับรองต่อไป

ขั้นตอนที่ 3
    จัดทำการประเมินระบบในภาพรวม (Holistic Approach) โดยนำเทคนิค “Gap Analysis” มาใช้ กล่าวคือ นำมาตรฐาน ISO/IEC 27001 ในส่วน Control ที่อยู่ใน Annex A. มาทำเป็นประโยคคำถามในรูปแบบของ Questionnaire มาใช้ในการสัมภาษณ์ผู้ที่เกี่ยวข้องในองค์กรในลักษณะ Workshop ที่ทุกคนสามารถเข้ามามีส่วนร่วมในการตอบคำถามและให้ความเห็น รายงานจากการทำ Gap Analysis จะทำให้ผู้บริหารระดับสูงขององค์กรได้ทราบถึงสถานะล่าสุดขององค์กร (“AS IS”) และ ความแตกต่างกับข้อกำหนดในมาตรฐาน (“TO BE”) ว่าระบบในองค์กรยังไม่ได้ปฏิบัติตามข้อกำหนดในมาตรฐานและมีความแตกต่างจาก “สิ่งที่ควรจะเป็น” หรือ “สิ่งที่ควรจะต้องทำ” ตามมาตรฐานอย่างไร

ขั้นตอนที่ 4
    หลังจากการทำ “Gap Analysis Workshop” แล้วควรมีการจัดทำรายงานและมีการนำเสนอต่อ Board of Director เพื่อที่จะให้ผู้บริหารระดับสูงเกิดความเข้าใจในปัญหาที่เกิดขึ้น และ สร้าง “Management Buy-In” คือ การทำให้ผู้บริหารระดับสูงตัดสินใจให้การสนับสนุนในการปฏิบัติตามมาตรฐาน ISO/IEC 27001 และดำเนินการแก้ไขข้อบกพร่องจากการที่องค์กรยังไม่ได้ปฏิบัติตามมาตรฐานดังกล่าวอย่างเป็นรูปธรรม (Corrective Action)

ขั้นตอนที่ 5
    องค์กรควรลงรายละเอียดหลังจากการนำเสนอ Gap Analysis Report โดยการทำกระบวนการบริหารความเสี่ยง (Risk Management) ในสามมุมมอง ได้แก่ มุมมองด้านบุคลากร (People) มุมมองด้านกระบวนการ (Process) และ มุมมองด้านเทคโนโลยี (Technology) เพื่อที่จะได้ประเมินความเสี่ยง (Risk Assessment) ของระบบ และ จัดทำแผนปฏิบัติการเพื่อลดความเสี่ยง (Risk Treatment Plan) เช่น การทำ Hardening การจัดฝึกอบรม Security Awareness Training ในองค์กร การจัดทำระบบ Centralized Log Management เพื่อปฏิบัติตามข้อกำหนดของมาตรฐาน ISO/IEC 27001 และ เป็นการปฏิบัติตาม พรบ.การกระทำผิดเกี่ยวกับคอมพิวเตอร์อีกด้วย

ขั้นตอนที่ 6
    ทำการ Implement ในภาคปฏิบัติตามแผนที่ได้กำหนดไว้จากขั้นตอนที่ 5 เช่น การทำ Vulnerability Assessment หรือ Penetration Testing, การปิดช่องโหว่ด้วยการ Hardening หรือ การติดตั้ง Patch ให้กับระบบ การจัดทำ Policy, Standard, Guideline ต่างๆ ที่จำเป็น การฝึกอบรม Security Awareness Program ให้กับทุกคนในองค์กร การจัดทำ Acceptable Use Policy (AUP), การจัดซื้อจัดจ้างฮาร์ดแวร์และซอฟต์แวร์ในส่วนของเทคโนโลยีที่จำเป็น เช่น Firewall , Anti-Virus Software เป็นต้น
   
ขั้นตอนที่ 7
    หลังจากปฏิบัติตามขั้นตอนที่ 6 แล้ว ควรมีการทบทวน (Review) และ การเฝ้าระวัง (Monitor) เพื่อเปรียบเทียบความเปลี่ยนแปลงระหว่างก่อนการปฏิบัติตามมาตรฐาน และ หลังจากการปฏิบัติตามมาตรฐาน (Before and After) ซึ่งควรจะเห็นผลลัพธ์ในเชิงบวกเป็นรูปธรรมชัดเจน และ ควรทำการเฝ้าระวังระบบด้วยแนวคิด “Continuous Audit” เพื่อที่จะได้แน่ใจว่าระบบสามารถทำงานได้ปกติโดยไม่เกิดผลกระทบจากการค้นพบช่องโหว่ใหม่ๆ (New Vulnerability) และ ภัยใหม่ๆ จากแฮกเกอร์ หรือ Malicious Software ต่างๆ (New Threat) ตลอดจนสามารถปรับตัวแก้ไขปัญหาได้อย่างทันท่วงที (Agility)
สาเหตุของปัญหาด้านความปลอดภัยของระบบสารสนเทศ
  




ไม่มีความคิดเห็น:

แสดงความคิดเห็น