ดร. จริญญา จันทร์ปาน Chief Innovation Officer และกรรมการบริหารของบริษัท เอซิส โปรเฟสชั่นนัล เซ็นเตอร์ จำกัด ได้มีการจัดสัมมนาในเรื่อง ISO 27001 New version ไปเมื่อปีที่แล้ว โดยเนื้อหาโดยสรุปมีดังนี้ .

มาตรฐาน ISO/IEC 27001:2013 เป็นมาตรฐานด้านบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ เป็นมาตรการควบคุมที่ได้รับการยอมรับ และถูกนำไปปรับใช้อย่างแพร่หลายมาเป็นเวลานานมากแล้ว ซึ่งในประเทศไทยเองนั้นมาตรฐานฉบับนี้ได้รับความนิยมอย่างมาก โดยองค์กรที่ได้รับการรับรองน่าจะมีมากกว่า 500-600 องค์กร เนื่องจากมาตรฐานฉบับนี้ไปเป็นส่วนหนึ่งของประกาศด้านความมั่นคงปลอดภัยสารสนเทศต่าง ๆ ของหน่วยงานกำกับ ไม่ว่าจะเป็นธนาคารแห่งประเทศไทย สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์หรือสำนักงานคณะกรรมการกำกับและส่งเสริมการประกอบธุรกิจประกันภัย เองก็ตาม ทำให้มาตรฐานฉบับนี้ได้นำไปเป็นข้อกำหนด รวมถึงแนวปฏิบัติภายในองค์กร .

เมื่อไม่นานมานี้ มาตรฐานฉบับนี้ได้ถูกปรับปรุงแล้วเสร็จและประกาศใช้อย่างเป็นทางการในปลายปี 2022 หลังจากที่ทาง ISO ได้มีการประกาศ ISO/IEC 27002:2022 อย่างเป็นทางการเมื่อวันที่ 15 กุมภาพันธ์ 2022 ที่ผ่านมา ซึ่งข้อมูลล่าสุดจาก Certification Body (CB) องค์กรสามารถขอการรับรองเวอร์ชั่นนี้ได้ โดยต้องหลังจากทาง CB ได้มีการขึ้นทะเบียนการขอรับรองการตรวจจาก Accredited Body (AB) เสร็จเรียบร้อยแล้วเสียก่อน แต่ถ้าองค์กรต้องการขอรับรองในเวอร์ชั่นเก่าก็ยังสามารถทำได้อยู่ โดยมี Transition Period ระยะเวลาหนึ่ง .

โดยภาพรวมของเอกสาร ISO/IEC 27002 เป็นเอกสาร “Code of practice for information security controls” ซึ่งเป็นเอกสารที่อธิบายแนวทางการนำมาตรการควบคุมด้านความมั่นคงปลอดภัยไปปรับใช้ภายในองค์กร ควบคู่กับการบริหารจัดการความเสี่ยงด้านความมั่นคงปลดภัยสารสนเทศ โดยเนื้อหาขยายความจาก Annex A (Reference control objectives and controls) .

หลัก ๆ มีการเปลี่ยนแปลงด้านอนุกรมวิธาน เช่น
•คำว่า “มาตรฐานสากล” แทนที่ด้วยคำวา “เอกสาร” ทั้งหมด
•การจัดเรียงวลีภาษาอังกฤษบางส่วนใหม่เพื่อให้เข้าใจง่ายขึ้น .

นอกจากนี้ยังมีการเปลี่ยนแปลงเพื่อให้สอดคล้องกับแนวทาง ISO ได้แก่
• การจัดโครงสร้างตัวเลขใหม่
• ข้อกำหนดในการกำหนดกระบวนการที่จำเป็นสำหรับการนำ ISMS ไปปฏิบัติ
• ข้อกำหนดที่ชัดเจนในการสื่อสารบทบาทองค์กรที่เกี่ยวข้องกับความปลอดภัยของข้อมูลภายในองค์กร
• การวางแผนการเปลี่ยนแปลง ซึ่งส่วนนี้จะต่างกับ Change Management ในรายละเอียด .

การเปลี่ยนแปลงที่สำคัญในการแก้ไขนี้มีอยู่ใน Annex A ซึ่งสะท้อนถึงการเปลี่ยนแปลงที่อยู่ใน ISO/IEC 27002:2022 การเปลี่ยนแปลงเหล่านี้คือ:
1. โครงสร้างโดยรวมได้รับการปรับปรุงเป็น 4 ส่วนหลักมีการปรับ Clauses ของเอกสารจากเดิม 14 security control clauses (domains) ในเวอร์ชัน 2013 เป็น Clause 5-8 ใน เวอร์ชัน 2022 โดยประกอบด้วยเนื้อหาดังต่อไปนี้
• Clause 5 Organizational controls
• Clause 6 People controls
• Clause 7 Physical controls
• Clause 8 Technological controls โดยหมวดหมู่ตาม Clause 5-8 นั้นสามารถอธิบายในส่วนของรูปแบบและคุณลักษณะของมาตรการควบคุมในแต่ละหมวดหมู่ดังต่อไปนี้
• People เป็นกลุ่มมาตรการควบคุมด้านบุคลากร
• Physical เป็นกลุ่มมาตรการควบคุมด้านกายภาพ
• Technical เป็นกลุ่มมาตรการควบคุมด้านเทคนิค
• Organizational เป็นกลุ่มมาตรการควบคุมด้านการบริหารจัดการองค์กร .

2. มาตรการควบคุม (Controls) ลดลงจาก 114 เหลือ 93 รายการมีการรวมมาตรการควบคุมบางตัว และบางตัวถูกลบออก มีการแนะนำมาตรการควบคุมใหม่ และส่วนอื่น ๆ ที่อัปเดต แต่หากดูในเนื้อหาโดยละเอียดแล้วนั้น มาตรการควบคุมเดิมที่หายไป ไม่ได้ถูกตัดออกไปจริง ๆ แต่เป็นการรวมเนื้อหาให้สอดคล้องกับหมวดหมู่มาตรการควบคุมใหม่ จุดที่น่าสนใจอีกส่วนหนึ่งก็คือ กฎหมาย ประกาศหรือระเบียบต่าง ๆ ที่ถูกประกาศและบังคับใช้ภายในประเทศไทยเอง ก็ต้องมีการเตรียมความพร้อมสำหรับการปรับปรุงข้อมูลให้สอดคล้องกับมาตรฐาน ISO/IEC 27002:2022 รวมไปถึงมาตรฐานฉบับที่ถูกกล่าวถึงในปัจจุบันเป็นอย่างมาก ได้แก่มาตรฐาน ISO/IEC 27701:2019 Privacy Information Management System (PIMS) มาตรฐานเหล่านี้คงต้องมีการเตรียมการ เพื่อปรับเปลี่ยนกลุ่มของมาตรการควบคุมให้สอดคล้องกับเวอร์ชันใหม่นี้เหมือนกัน