สถานการณ์ขององค์กรในประเทศไทยเกี่ยวกับการรับรองมาตรฐาน BS7799 Part 2 กับ บทวิเคราะห์มาตรฐานการรักษาความปลอดภัยข้อมูลสารสนเทศ ISO/IEC 17799 Second Edition และ มาตรฐาน ISO/IEC FDIS 27001:2005 | ACIS Professional Center Co., Ltd.

สถานการณ์ขององค์กรในประเทศไทยเกี่ยวกับการรับรองมาตรฐาน BS7799 Part 2 กับ บทวิเคราะห์มาตรฐานการรักษาความปลอดภัยข้อมูลสารสนเทศ ISO/IEC 17799 Second Edition และ มาตรฐาน ISO/IEC FDIS 27001:2005

Nov, 21

3140 Views
0 Likes
, ,

by A.Pinya Hom-anek,
GCFWCISSPCISA, (ISC)2 Asian Advisory Board
President, ACIS Professional Center
มาตรฐานการรักษาความปลอดภัยข้อมูลสารสนเทศที่ได้รับความนิยมมากที่สุด และ เป็นที่รู้จักทั่วโลกในเวลานี้ คือ มาตรฐาน ISO/IEC17799 ซึ่งถูกพัฒนาต่อยอดมาจากมาตราฐาน BS7799 องค์กรในหลายประเทศทั่วโลก กำลังดำเนินการ Audit หรือ ตรวจสอบระบบสารสนเทศของตนเอง เพื่อที่จะให้องค์กรได้รับการรับรองมาตรฐาน BS7799 part 2 จาก CB (Certification Body) เช่น BSI หรือ RWTUV เป็นต้น

การนำมาตรฐาน ISO/IEC 17799 มาประยุกต์ใช้กับองค์กรนั้น ไม่จำเป็นที่ต้องได้รับ การรับรองมาตรฐาน BS7799 part 2 จาก CB เสมอไป องค์กรอาจจะนำเอามาตราฐาน ISO/IEC 17799 มาใช้เพื่อความปลอดภัยที่ดีขึ้นของระบบสารสนเทศ ในองค์กรเอง โดยนำกระบวนการ ISMS (Information Security Management System) ประกอบไปด้วย cyclic progress P-D-C-A (Plan-Do-Check-Act) ที่ถูกกำหนดอยู่ใน BS7799 part 2 มาใช้ แต่หากองค์กรต้องการได้รับการยอมรับจาก คู่ค้า หรือ ลูกค้า ในระดับมาตรฐานโลก องค์กรก็สามารถดำเนินการเพื่อให้ได้มาซึ่งการรับรองมาตรฐาน BS7799 part 2 จาก CB ต่อไป ซึ่งโดยทั่วไปแล้ว กระบวนการเตรียมการ และ ตรวจสอบจะใช้เวลาประมาณ 6 เดือน ถึง 1 ปี ขึ้นกับขนาดของแต่ละองค์กร ขณะนี้มีองค์กรในประเทศไทยที่ได้รับการรับรองมาตรฐาน BS7799 part 2 จาก BSI แล้ว ซึ่งนับว่าเป็นองค์กรแรกในประเทศไทย ถ้าเทียบกับประเทศญี่ปุ่นที่มีจำนวนองค์กรได้รับการรับรองมาตรฐาน BS7799 part 2 มากที่สุดในโลก กว่า 900 องค์กร ยังถือว่าประเทศไทยเราเพิ่งจะเริ่มต้นเท่านั้น ข้อมูลเพิ่มเติมดูที่ http://www.xisec.com 

มาตรฐาน ISO/IEC 17799 First Edition ถูกประกาศอย่างเป็นทางการในวันที่ 1 ธันวาคม ค.ศ. 2000 ประกอบด้วยหัวข้อใหญ่ๆ ของแนวทางที่องค์กรควรนำไปปฏิบัติเพื่อความปลอดภัยขององค์กร ทั้งหมด 10 หัวข้อ ล่าสุด ISO/IEC ได้ออกมาตราฐาน ISO/IEC 17799 Second Edition ฉบับปรับปรุงแก้ไข เพิ่มเติม ประกาศใช้ในวันที่ 15 มิถุนายน ค.ศ. 2005 มีการเพิ่มเติมหัวข้อใหม่ อีก 2 หัวข้อ เพิ่มเติมจาก First Edition ได้แก่
หัวข้อแรก เรื่อง Risk Assessment และ Risk Treatment คือ การประเมินความเสี่ยงและการบริหารจัดการเพื่อที่จะลดความเสี่ยงที่อาจเกิดขึ้นกับระบบ หัวข้อที่สองที่เพิ่มขึ้นมาจากมาตรฐาน ISO/IEC17799 First Edition ได้แก่ เรื่อง Information Security Incident Management คือ การเตรียมพร้อมรับเหตุการณ์ไม่คาดฝันที่อาจเกิดขึ้นกับระบบสารสนเทศ เช่น ระบบเกิดล่มโดยไม่ทราบสาเหตุองค์กรควรมีการเตรียมพร้อมรับเหตุการณ์ที่เกิดขึ้น ในมาตรฐาน ISO/IEC 17799 Second Edition กล่าวถึง การรวบรวมเหตุการณ์ต่าง ๆ ที่เกิดขึ้นเกี่ยวกับระบบสารสนเทศอย่างเป็นระบบเพื่อรายงานให้กับผู้บริหาร และ การสร้างรายงานเพื่อแสดงให้เห็นถึงช่องโหว่ด้านการรักษาความปลอดภัย (Security Weakness) ของระบบสารสนเทศ อย่างสม่ำเสมอ เมื่อมีเหตุการณ์เกี่ยวกับเรื่องความปลอดภัยเกิดขึ้น ควรจะมีกระบวนการรองรับ (Incident Response Process) มีการกำหนดผู้รับชอบให้ชัดเจน นอกจากนี้มาตรฐาน ISO/IEC 17799 Second Edition ยังกล่าวถึงการเรียนรู้จากเหตุการณ์ต่าง ๆ ที่เกิดขึ้นในอดีต เพื่อเป็นประสบการณ์ และพัฒนาความรู้ และยังกล่าวถึงการเก็บหลักฐานอย่างเป็นระบบ เพื่อการพิสูจน์หลักฐานทางด้านเทคนิคด้วยวิธี Digital Forensic จากหน่วยงานทางกฎหมายที่มีหน้าที่ด้านนี้โดยตรง เช่น กรมสอบสวนคดีพิเศษ เป็นต้น

นอกจากนี้ในมาตรฐาน ISO/IEC 17799 Second Edition ได้มีการแก้ไขชื่อหัวข้อให้แตกต่างจากมาตรฐาน ISO/IEC 17799 First Edition ได้แก่ หัวข้อ Personal Security เปลี่ยนเป็น Human Resource Security, หัวข้อ Physical Security เปลี่ยนเป็น Physical and Environment Security และ หัวข้อ System Development and Maintenance เปลี่ยนเป็น Information System Acquisition, Development and Maintenance
จะเห็นว่ามาตรฐาน ISO/IEC 17799 ฉบับใหม่ในปี 2005 นี้ มีการเพิ่มเติมแก้ไขเปลี่ยนไปจากมาตรฐานเดิมในปี 2000 พอสมควร เพราะจาก First Edition ถึง Second Edition ใช้เวลากว่า 5 ปี และ เอกสารมาตรฐานมีความหนาเพิ่มขึ้นเกือบเท่าตัว คือ มาตรฐานเดิมมีทั้งหมด 71 หน้า ขณะที่มาตรฐานใหม่มีทั้งหมด 115 หน้า มาตรฐาน ISO/IEC 17799 ฉบับปรับปรุงใหม่นั้น เปลี่ยนชื่อจากเดิมที่เรียกว่า ISO/IEC 17799 Information Technology – Code of Practice for Information Security Management เปลี่ยนเป็นชื่อใหม่คือ Information Technology – Security Technique – Code of Practice for Information Security Management ส่วนของมาตรฐาน BS7799 part 2 เพื่อให้องค์กรได้รับการรับรองจาก CB นั้น มีการปรับปรุงเปลี่ยนแปลงแก้ไขเพิ่มเติม และ เปลี่ยนชื่อเป็น ISO/IEC FDIS 27001:2005
ดังนั้น ทุกองค์กรควรนำมาตรฐาน ISO/IEC17799 Second Edition และ มาตรฐาน ISO/IEC FDIS 27001:2005 ฉบับปรับปรุงใหม่ มาศึกษา เพื่อนำหัวข้อบางหัวข้อที่มีประโยชน์กับองค์กรมาประยุกต์ใช้ในองค์กรเพื่อให้เกิดความปลอดภัยกับระบบสารสนเทศขององค์กร และ เพื่อทำให้องค์กรดำเนินธุรกิจและธุรกรรมได้โดยไม่ติดขัด อีกทั้งยังเป็น “Good Image and Reputation” เสริมภาพลักษณ์ให้แก่องค์กรในทางอ้อมอีกด้วย

จาก : หนังสือ eWeek Thailand
ปักษ์หลัง ประจำเดือน เดือนกรกฏาคม 2548
Update Information : 28 กรกฏาคม 2548

, ,
Messenger
Messenger