by A.Prinya Hom-anek
CISSP, SSCP, CISA, CISM, SANS GIAC GCFW, CompTIA Security+, CCSA 2000,
CCNA, MCSE, MCDBA, MCP+Internet, Master CNE, CNI, CNA, ITIL,
(ISC)2 Asian Advisory Board Member, ISACA Bangkok Chapter Board Member
President & Founder, ACIS Professional Center
ACIS
จากกระแส พรบ. ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ และ พรบ.ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 ประกอบกับแนวคิด “GRC” (Governance, Risk and Compliance) ที่กำลังเป็นที่นิยมอยู่ในขณะนี้ ทำให้หลายองค์กรเกิดความตื่นตัวในเรื่อง “Regulatory Compliance” หรือ “การปฏิบัติตามกฎหมายและกฎระเบียบต่างๆ” จากหน่วยงานที่เกี่ยวข้อง เช่น ธนาคารพาณิชย์ ปฏิบัติตามกฎระเบียบของธนาคารแห่งประเทศไทย และบ ริษัทหลักทรัพย์ปฏิบัติตามกฎระเบียบของสำนักงานคณะกรรมการกำกับหลักทรัพย์ และ ตลาดหลักทรัพย์ (กลต.) เป็นต้น หน่วยงานที่มีหน้าที่ในการประเมิน (assess) หรือ ตรวจสอบ (audit) ยกตัวอย่าง เช่น สำนักงานตรวจเงินแผ่นดิน , ธนาคารแห่งประเทศไทย ตลอดจน คณะกรรมการนโยบายรัฐวิสาหกิจ โดยบริษัทไทยเรตติ้ง แอนด์ อินฟอร์เมชั่น เซอร์วิส จำกัด ได้มีการนำแนวทาง Corporate Governance (COSO) และ IT Governance (CobiT) เข้ามาประยุกต์ใช้ในการตรวจสอบ ตลอดจนนำมาตรฐานสากล (International Standard) เช่น มาตรฐานด้านการบริหารจัดการความมั่นคงปลอดภัยข้อมูล (Information Security Management System) ได้แก่ มาตรฐาน ISO/IEC 27001 มาเป็นแนวทางในการตรวจสอบ ซึ่งในปัจจุบัน คณะอนุกรรมการด้านความมั่นคงปลอดภัยในการประกอบธุรกรรมทางอิเล็กทรอนิกส์ ได้ออกมาตรฐานการรักษาความมั่นคงปลอดภัยในการประกอบธุรกรรมทางอิเล็กทรอนิกส์ (เวอร์ชั่น 2.5) ประจำปี 2550 โดยอ้างอิงจากมาตรฐาน ISO/IEC 27001:2005 และ ISO/IEC 17799:2005 (ปัจจุบันเปลี่ยนเป็น ISO/IEC 27002 แต่เนื้อหายังคงเหมือนเดิม) เพื่อให้สอดคล้องกับมาตรฐานสากล คาดว่าภายในปีพ.ศ.2551 นี้ทางคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์จะดำเนินการผลักดันให้มาตรฐานนี้กลายเป็นมาตรฐานของประเทศไทยที่ได้รับการรับรองโดย สำนักงานมาตรฐานผลิตภัณฑ์อุตสาหกรรม (สมอ.) และ มาตรฐานการรักษาความมั่นคงปลอดภัยในการประกอบธุรกรรมทางอิเล็กทรอนิกส์ ยังได้ถูกนำมากำหนดเป็นมาตรา 8 ในร่างพระราชกฤษฎีกาว่าด้วยวิธีการแบบ (มั่นคง) ปลอดภัยในการประกอบธุรกรรมทางอิเล็กทรอนิกส์ ซึ่งอยู่ในระหว่างการจัดให้มีการรับฟังความคิดเห็นจากผู้ที่เกี่ยวข้อง เพื่อนำข้อสังเกตและข้อเสนอแนะมาปรับแก้ร่างพรฎ.ดังกล่าว และขณะนี้อยู่รหว่างการดำเนินการเพื่อเสนอต่อครม.ต่อไป
จะเห็นว่าที่มาของประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ และ ร่างพระราชกฤษฎีกาว่าด้วยวิธีการแบบ (มั่นคง) ปลอดภัย (มาตรา25) นั้น มีรากฐานมาจากมาตรฐาน ISO/IEC 27001 ดังนั้น องค์กรควรมีการปรับตัวโดยการศึกษามาตรฐาน ISO0IEC 27001 ต้นฉบับอย่างลึกซึ้ง และทำความเข้าในในวัตถุประสงค์ของตัวมาตรฐานให้ชัดเจน เพื่อที่จะได้นำมาตรฐานมาใช้ให้เกิดประสิทธิภาพและประสิทธิผลในองค์กร

แนวทางในการนำมาตรฐาน ISO/IEC 27001 มาใช้ในองค์กรนั้น ควรมีขั้นตอน 7 ขั้นตอน ดังนี้

ขั้นตอนที่ 1
จัดตั้งคณะทำงาน IT Security Steering หรือ IT Security Working Group) เฉพาะเรื่องมาตรฐาน ISO/IEC 27001 และ Regulatory Compliance เพื่อทำการศึกษาตัวมาตรฐานโดยละเอียดและหาแนวทางนำมาปรับประยุกต์ใช้ภายในองค์กร

ขั้นตอนที่ 2
จัดฝึกอบรม ทำความเข้าใจในส่วนของข้อกำหนดทั้ง 11 Domains ของมาตรฐาน ISO/IEC 27001 ซึ่งควรใช้ระยะเวลาประมาณ 3-5 วัน โดยการฝึกอบรมอาจใช้แนวทางในการทำ Internal ISO 27001 Workshop หรือ อบรมหลักสูตรมาตรฐานของ IRCA ได้แก่ หลักสูตร ISO 27001 (ISMS) Lead Auditor (IRCA2016) ซึ่งจะทำให้ทีมงานได้เข้าใจแนวทางของการตรวจสอบโดยการนำมาตรฐาน ISO/IEC 27001 มาใช้อย่างถูกต้องเหมาะสำหรับองค์กรที่ต้องการได้รับใบรับรองจากผู้ให้บริการออกใบรับรอง หรือ Certification Body เพื่อเป็นการเตรียมตัวในการตรวจสอบเพื่อผ่านการรับรองต่อไป
ในส่วนขององค์กรที่ผู้บริหารระดับสูงมีแนวคิดเรื่องการปรับปรุงระบบการรักษาความมั่นคงปลอดภัยภายในองค์กรแต่ไม่จำเป็นต้องได้รับการรับรองจาก Certification Body ก็ควรศึกษามาตรฐานสากลจากตัวต้นฉบับที่เป็นภาษาอังกฤษ และ ศึกษาแนวทางในการปฏิบัติจากมาตรฐาน ISO/IEC 27002 เพื่อที่จะได้รายละเอียดในการประยุกต์ใช้เพิ่มมากยิ่งขึ้น เพราในส่วนของมาตรฐาน ISO/IEC 27001 นั้นเน้นไปที่ Checklist หรือ Requirement ที่ทาง ISMS Auditor ใช้ในการตรวจสอบระบบ แต่ไม่ได้มีคำอธิบายแนวทางปฏิบัติ หรือ Guideline ไว้ในตัวมาตรฐาน แต่มาตรฐาน ISO/IEC 27002 นั้นจะเน้นไปที่ Code Of Practices ที่สามารถนำมาอ้างถึงเป็นแนวทางในการปฏิบัติ รวมทั้งมีการยกตัวอย่างประกอบความเข้าใจ ทำให้ผู้ที่ต้องการนำมาตรฐานมาประยุกต์ใช้เกิดความเข้าใจมากยิ่งขึ้น

ขั้นตอนที่ 3
จัดทำการประเมินระบบในภาพรวม (Holistic Approach) โดยนำเทคนิค “Gap Analysis” มาใช้ กล่าวคือ นำมาตรฐาน ISO/IEC 27001 ในส่วน Control ที่อยู่ใน Annex A. มาทำเป็นประโยคคำถามในรูปแบบของ Questionnaire มาใช้ในการสัมภาษณ์ผู้ที่เกี่ยวข้องในองค์กรในลักษณะ Workshop ที่ทุกคนสามารถเข้ามามีส่วนร่วมในการตอบคำถามและให้ความเห็น รายงานจากการทำ Gap Analysis จะทำให้ผู้บริหารระดับสูงขององค์กรได้ทราบถึงสถานะล่าสุดขององค์กร (“AS IS”) และ ความแตกต่างกับข้อกำหนดในมาตรฐาน (“TO BE”) ว่าระบบในองค์กรยังไม่ได้ปฏิบัติตามข้อกำหนดในมาตรฐานและมีความแตกต่างจาก “สิ่งที่ควรจะเป็น” หรือ “สิ่งที่ควรจะต้องทำ” ตามมาตรฐานอย่างไร

ขั้นตอนที่ 4
หลังจากการทำ “Gap Analysis Workshop” แล้วควรมีการจัดทำรายงานและมีการนำเสนอต่อ Board of Director เพื่อที่จะให้ผู้บริหารระดับสูงเกิดความเข้าใจในปัญหาที่เกิดขึ้น และ สร้าง “Management Buy-In” คือ การทำให้ผู้บริหารระดับสูงตัดสินใจให้การสนับสนุนในการปฏิบัติตามมาตรฐาน ISO/IEC 27001 และ ดำเนินการแก้ไขข้อบกพร่องจากการที่องค์กรยังไม่ได้ปฏิบัติตามมาตรฐานดังกล่าวอย่างเป็นรูปธรรม (Corrective Action)

ขั้นตอนที่ 5
องค์กรควรลงรายละเอียดหลังจากการนำเสนอ Gap Analysis Report โดยการทำกระบวนการบริหารความเสี่ยง (Risk Management) ในสามมุมมอง ได้แก่ มุมมองด้านบุคลากร (People) , มุมมองด้านกระบวนการ (Process) และ มุมมองด้านเทคโนโลยี (Technology) เพื่อที่จะได้ประเมินความเสี่ยง Risk Assessment) ของระบบ และ จัดทำแผนปฏิบัติการเพื่อลดความเสี่ยง (Risk Treatment Plan) เช่น การทำ Hardening , การจัดฝึกอบรม Security Awareness Training ในองค์กร , การจัดทำระบบ Centralized Log Management เพื่อปฏิบัติตามข้อกำหนดของมาตรฐาน ISO/IEC 27001 และ เป็นการปฏิบัติตามพรบ.การกระทำผิดเกี่ยวกับคอมพิวเตอร์อีกด้วย

ขั้นตอนที่ 6
ทำการ Implement ในภาคปฏิบัติตามแผนที่ได้กำหนดไว้จากขั้นตอนที่ 5 เช่น การทำ Vulnerability Assessment หรือ Penetration Testing, การปิดช่องโหว่ด้วยการ Hardening หรือ การติดตั้ง Patch ให้กับระบบ , การจัดทำ Policy , Standard , Guideline ต่างๆ ที่จำเป็น , การฝึกอบรม Security Awareness Program ให้กับทุกคนในองค์กร , การจัดทำ Acceptable Use Policy (AUP), การจัดซื้อจัดจ้างฮาร์ดแวร์และซอฟต์แวร์ในส่วนของเทคโนโลยีที่จำเป็น เช่น Firewall , Anti-Virus Software เป็นต้น

ขั้นตอนที่ 7
หลังจากปฏิบัติตามขั้นตอนที่ 6 แล้ว ควรมีการสอบทาน (Review) และ การเฝ้าระวัง (Monitor) เพื่อเปรียบเทียบความเปลี่ยนแปลงระหว่างก่อนการปฏิบัติตามมาตรฐาน และ หลังจากการปฏิบัติตามมาตรฐาน (Before and After) ซึ่งควรจะเห็นผลลัพธ์ในเชิงบวกเป็นรูปธรรมชัดเจน และ ควรทำการเฝ้าระวังระบบด้วยแนวคิด “Continuous Audit” เพื่อที่จะได้แน่ใจว่าระบบสามารถทำงานได้ปกติโดยไม่เกิดผลกระทบจากการค้นพบช่องโหว่ใหม่ๆ (New Vulnerability) และ ภัยใหม่ๆ จากแฮกเกอร์ หรือ Malicious Software ต่างๆ (New Threat) ตลอดจนสามารถปรับตัวแก้ไขปัญหาได้อย่างทันท่วงที (Agility)
ในขั้นตอนสุดท้ายนี้ การ Outsource ไปยัง Manage Security Service Provider หรือ MSSP ถือเป็นการ “Transfer Risk” ที่ผู้บริหารควรนำมาเป็นทางเลือกอีกทางหนึ่งในการลดความเสี่ยงให้แก่องค์กร โดยความรับผิดชอบในส่วนนี้ทาง MSSP จะต้องเป็นผู้รับผิดชอบ โดยกำหนดไว้ใน Services Level Agreement (SLA) ให้ชัดเจน
จาก 7 ขั้นตอนดังกล่าว องค์กรสามารถจัดทำเอกสารในรูปแบบ Statement of Applicability (SOA) เพื่อจัดเตรียมให้ทางผู้ตรวจสอบตามกระบวนการ ISMS (ISMS Auditor หรือ ISMS Lead Auditor) จากหน่วยงานที่ให้บริการออกใบรับรอง (Certification Body) เข้ามาตรวจสอบ เพื่อนำไปสู่ขั้นตอนการ “Certify” มาตรฐาน ISO/IEC 27001 ต่อไปในอนาคต ซึ่งสามารถต่อยอดจากกิจกรรมทั้ง 7 ขั้นตอนดังกล่าวได้อย่างไม่ยากนัก และ ยังทำให้ภาพลักษณ์ขององค์กรต่อสาธารณะชน ตลอดจนลูกค้าและคู่ค้าเกิดความมั่นใจในการรักษาความมั่นคงปลอดภัยระบบขององค์กรที่ได้ตามมาตรฐานสากลอีกด้วย นอกจากประโยชน์ในด้านความปลอดภัยระบบที่เพิ่มขึ้นแล้ว ยังเป็นการปฏิบัติเพื่อรองรับกฎหมายมาตรา 25 ดังที่กล่าวมาแล้วในตอนต้น ซึ่งคาดว่าจะถูกบังคับใช้ในอีก 1-2 ปีข้างหน้าอีกด้วย ดังนั้น ผู้บริหารระดับสูงจึงควรมีวิสัยทัศน์ในเรื่องการนำมาตรฐาน ISO/IEC 27001 มาประยุกต์ใช้ในองค์กร เพื่อเพิ่มความมั่นคงปลอดภัยแก่ระบบขององค์กร และ เพื่อความยั่งยืนขององค์กรต่อไปในอนาคต

จาก : หนังสือ eEnterprise Thailand
ประจำเดือน มิถุนายน 2551
Update Information : 26 มิถุนายน 2551