มาตรฐาน ISO/IEC 27001:2013 เป็นมาตรฐานด้านบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ และมาตรการควบคุมในมาตรฐานฉบับนี้ถือว่าเป็นชุดมาตรการควบคุมที่ได้รับการยอมรับ และถูกนำไปปรับใช้อย่างแพร่หลาย ในประเทศไทยเองนั้นมาตรฐานฉบับนี้ได้รับความนิยมอย่างมาก ดังจะเห็นได้จากข้อมูลบนเว็บ ISO ที่มีการสำรวจองค์กรที่ได้รับการรับรองมาตรฐานฉบับนี้ http://www.iso.org/files/live/sites/isoorg/files/standards/conformity_assessment/certification/doc/Survey-data/iso_27001_iso_survey2015.xls เป็นข้อมูลที่ทำการสำรวจเมื่อปี 2015 จากข้อมูลในช่วงปีนั้นประเทศไทยได้รับการรับรองมาตรฐานเกือบ 200 องค์กร โดยคาดการณ์ว่าปัจจุบันในปี 2021 องค์กรที่ได้รับการรับรองมาตรฐาน ISO/IEC 27001:2013 ในประเทศไทยอาจจะมีมากกว่า 400 องค์กร เนื่องจากหลายหน่วยงานกำกับในประเทศไทยได้นำมาตรฐานฉบับนี้ไปเป็นส่วนหนึ่งของประกาศด้านความมั่นคงปลอดภัยสารสนเทศ และมีการกำหนดให้องค์กรภายใต้การกำกับดูแล ต้องขอการรับรองมาตรฐานฉบับนี้ ตัวอย่างเช่น ประกาศธนาคารแห่งประเทศไทย ที่ สรข. 4/2560 เรื่องมาตรฐานระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศของคอมพิวเตอร์ลูกข่ายบาทเนต และ สรข. 5/2560 เรื่องมาตรฐานระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศของคอมพิวเตอร์ลูกข่ายระบบหักบัญชีเช็คด้วยภาพและระบบจัดเก็บภาพเช็ค (ICAS) จึงปฏิเสธไม่ได้ว่ามาตรฐานฉบับนี้ได้รับความนิยมเป็นอย่างมากในประเทศไทยจากการนำไปเป็นข้อกำหนด รวมถึงแนวปฏิบัติภายในองค์กร
เมื่อไม่นานมานี้ ทราบมาว่ามาตรฐาน ISO/IEC 27001:2013 อยู่ในช่วงการปรับปรุงเนื้อหามาตรฐาน ซึ่งปกติแล้วมาตรฐานจะมีการปรับปรุงทุก ๆ 8-10 ปี จากการคาดการณ์ มาตรฐานฉบับนี้จะถูกปรับปรุงแล้วเสร็จและประกาศใช้อย่างเป็นทางการภายในปี 2022 หลังจากที่ทาง ISO ได้มีการประกาศ ISO/IEC 27002:2022 อย่างเป็นทางการเมื่อวันที่ 15 กุมภาพันธ์ 2022 ที่ผ่านมา ซึ่งเอกสารฉบับนี้เป็นเอกสารที่ถูกใช้งานคู่กับเอกสาร ISO/IEC 27001 ซึ่งเป็นเอกสาร “Requirements” หมายถึงเอกสารความต้องการหากองค์กรต้องการขอรับรองมาตรฐานด้านความมั่นคงปลอดภัยสารสนเทศ ISO/IEC 27001 จากสถาบัน ISO โดยผ่านการตรวจรับรองจากบริษัทผู้ตรวจสอบ Certification Body (CB) ส่วนเอกสาร ISO/IEC 27002 เป็นเอกสาร “Code of practice for information security controls” ซึ่งเป็นเอกสารที่อธิบายแนวทางการนำมาตรการควบคุมด้านความมั่นคงปลอดภัยไปปรับใช้ภายในองค์กร ควบคู่กับการบริหารจัดการความเสี่ยงด้านความมั่นคงปลดภัยสารสนเทศ โดยเนื้อหาขยายความจาก Annex A (Reference control objectives and controls)
หากดูภายในเนื้อหาเอกสาร ISO/IEC 27002:2022 จะพบว่ามีการเปลี่ยนแปลงไปจากเดิมใน 3 ส่วนดังต่อไปนี้
- การเปลี่ยนแปลงชื่อบางมาตรการควบคุม เพื่อให้ชัดเจนยิ่งขึ้น
- การเปลี่ยนโครงสร้าง รวมถึงการใช้อนุกรมวิธาน (Taxonomy) เพื่อความชัดเจนและเข้าใจง่ายมากยิ่งขึ้น
- การรวม การลบ การเพิ่มมาตรการควบคุมใหม่
ในส่วนรายละเอียดของการเปลี่ยนแปลงในข้อที่ 2 โครงสร้าง คือ มีการปรับ Clauses ของเอกสารจากเดิม 14 security control clauses (domains) ในเวอร์ชัน 2013 เป็น Clause 5-8 ใน เวอร์ชัน 2022 โดยประกอบด้วยเนื้อหาดังต่อไปนี้
- Clause 5 Organizational controls
- Clause 6 People controls
- Clause 7 Physical controls
- Clause 8 Technological controls
นั่นหมายความว่า จากเดิมที่เคยเรียกกันกว่า 14 security control clauses (domains) จะหายไปและถูกแทนด้วยคำว่า 4 Clauses ตาม Clause 5-8 ซึ่งเป็นหมวดหมู่ของมาตรการควบคุมใหม่ที่ถูกกำหนดในเวอร์ชันนี้ โดยหมวดหมู่ตาม Clause 5-8 นั้นสามารถอธิบายในส่วนของรูปแบบและคุณลักษณะของมาตรการควบคุมในแต่ละหมวดหมู่ดังต่อไปนี้
- People เป็นกลุ่มมาตรการควบคุมด้านบุคลากร
- Physical เป็นกลุ่มมาตรการควบคุมด้านกายภาพ
- Technical เป็นกลุ่มมาตรการควบคุมด้านเทคนิค
- Organizational เป็นกลุ่มมาตรการควบคุมด้านการบริหารจัดการองค์กร
หากดูในรายละเอียดของมาตรการควบคุม เวอร์ชัน 2013 มีทั้งหมด 114 มาตรการควบคุม ส่วนเวอร์ชัน 2022 มีทั้งหมด 93 มาตรการควบคุม หากไม่สังเกตให้ดี เหมือนว่ามาตรการควบคุมลดลง แต่หากดูในเนื้อหาโดยละเอียดแล้วนั้น มาตรการควบคุมเดิมประมาณ 20 มาตรการควบคุมที่หายไป ซึ่งไม่ได้ถูกตัดออกไปจริง ๆ แต่เป็นการรวมเนื้อหาให้สอดคล้องกับหมวดหมู่มาตรการควบคุมใหม่ โดยจะสังเกตได้ง่ายจากจำนวนหน้าของเอกสาร ซึ่งในเวอร์ชัน 2013 มีจำนวหน้าเอกสาร 90 หน้า ส่วนในเวอร์ชัน 2022 FDIS นั้นมีจำนวนหน้าเอกสารถึง 164 หน้า
มาตรการควบคุมใหม่ที่เพิ่มขึ้นทั้งหมด 11 มาตรการควบคุมมีดังนี้
หากดูในรายละเอียดแต่ละมาตรการควบคุมทั้ง 93 มาตรการควบคุมนั้น จะมีการให้รายละเอียดในส่วนของคุณลักษณะเฉพาะ (Attribute) ของแต่ละมาตรการควบคุม โดยมีทั้งหมด 5 คุณลักษณะเฉพาะดังนี้
- Control types ประเภทของมาตรการควบคุม 3 แบบ
[Preventive, Detective, Corrective] - Information security properties คุณสมบัติด้าน Information security 3 ด้าน
[Confidentiality, Integrity and Availability] - Cybersecurity concepts หลักการด้าน Cybersecurity 5 ด้าน
[Identify, Protect, Detect, Respond and Recover] - Operation capabilities สมรรถภาพการดำเนินงานขององค์กร 14 ด้าน [Governance, Asset_management, Information_protection, Human_resource_security, Physical_security, System_and_network_ security, Application_security, Secure_configuration, Identity_and_access_management, Threat_and_vulnerability_management, Continuity, Supplier_relationships_security, Legal_and_ compliance, Information_security_event_management and Information_security_assurance]
- Security domains โดเมนด้านความปลอดภัย 4 ด้าน [Governance_and_Ecosystem, Protection, Defence and Resilience]
ยกตัวอย่างเช่น
มาตรการควบคุมที่ 5.1 Policies for information security อยู่ในหมวดหมู่ที่ 5 (Clause 5) กลุ่มมาตรการด้านการบริหารจัดการองค์กร โดยคุณลักษณะเฉพาะของมาตรการควบคุมดังนี้
- Control types [Preventive] มาตรการควบคุมประเภทป้องกัน
- Information security properties [C, I and A] มาตรการควบคุมมีคุณสมบัติด้าน Information security ทั้ง 3 ด้าน ความลับ ความถูกต้อง และความพร้อมใช้
- Cybersecurity concepts [Identify] มาตรการควบคุมด้านการระบุตามหลักการ Cybersecurity
- Operation capabilities [Governance] มาตรการควบคุมตามสมรรถภาพคือการกำกับ
- Security domains [Governance_and_Ecosystem, Resilience] มาตรการควบคุมด้าน Governance and Ecosystem และResilience ตามโดเมนความปลอดภัย
มาตรการควบคุมที่ 8.12 Data leakage prevention อยู่ในหมวดหมู่ที่ 8 (Clause 8) กลุ่มมาตรการควบคุมด้านเทคนิค โดยคุณลักษณะเฉพาะของมาตรการควบคุมดังนี้
- Control types [Preventive, Detective] มาตรการควบคุมประเภทป้องกันและตรวจจับ
- Information security properties [Confidentiality] มาตรการควบคุมมีคุณสมบัติด้าน Information security ด้านความลับ
- Cybersecurity concepts [Protect, Detect] มาตรการควบคุมด้านการป้องกันและการตรวจจับตามหลักการ Cybersecurity
- Operation capabilities [Information_protection] มาตรการควบคุมตามสมรรถภาพคือการปกป้องข้อมูล
- Security domains [Protection, Defence] มาตรการควบคุมด้านการปกป้องและการป้องกัน ตามโดเมนความปลอดภัย
บทวิเคราะห์เพิ่มเติมจากทีมที่ปรึกษา ACinfotec (เอซีอินโฟเทค)
การปรับปรุงและเปลี่ยนแปลงมาตรฐานเป็นสิ่งที่ดีแน่นอน เพื่อให้มาตรฐานตามทันเทคโนโลยีใหม่ เช่น มาตรการควบคุม 5.23 Information security for use of cloud services มาตรการควบคุม 8.11 Data masking และมาตรการควบคุม 8.12 Data leakage prevention เห็นได้ว่ามาตรการควบคุมใหม่เหล่านี้ ให้ความสำคัญกับเทคโนโลยีใหม่ และมาตรการควบคุมเฉพาะสำหรับข้อมูลในระดับที่สำคัญมากหรือสูงสุดขององค์กร
อย่างไรก็ตาม มาตรฐานเวอร์ชันใหม่ฉบับนี้ก็มีบางส่วนที่มีความซับซ้อน เช่น การใช้คุณลักษณะเฉพาะ (Attribute) ทั้ง 5 คุณลักษณะซึ่งมีความซับซ้อนและบางส่วนก็มีการทับซ้อนกันอยู่ด้วย การจัดหมวดหมู่เหลือ 4 Clauses จาก 14 Security Clauses นั้น อาจทำให้การเลือกใช้มาตรการควบคุมเป็นไปได้ลำบากกว่าเดิม จุดที่น่าสนใจอีกส่วนหนึ่งก็คือ มาตรฐาน ISO/IEC 27001 ที่คาดการณ์ว่าจะมีการประกาศออกมาในปี 2022 เช่นเดียวกัน จะมีการปรับเปลี่ยนให้สอดคล้องกับ ISO/IEC 27002 ในส่วนของ Annex A อย่างไรบ้าง รวมถึงมาตรฐานฉบับที่ถูกกล่าวถึงในปัจจุบัน อย่างมาตรฐาน Privacy Information Management System (PIMS) ISO/IEC 27701:2019 หรือแม้กระทั่งมาตรฐานเฉพาะกลุ่มอุตสาหกรรม เช่น ISO/IEC 27799:2016 ซึ่งมาตรการควบคุมของมาตรฐานเหล่านี้ล้วนอ้างอิงจากมาตรฐาน ISO/IEC 27002:2013 ทั้งสิ้น มาตรฐานเหล่านี้คงต้องมีการเตรียมการ เพื่อปรับเปลี่ยนกลุ่มของมาตรการควบคุมให้สอดคล้องกับเวอร์ชันใหม่นี้ รวมถึงกฎหมาย ประกาศ ระเบียบต่าง ๆ ที่ถูกประกาศและบังคับใช้ภายในประเทศไทยเอง ก็ต้องมีการทำเตรียมความพร้อมสำหรับการปรับปรุงข้อมูลให้สอดคล้องกับมาตรฐาน ISO/IEC 27002:2022 ที่ ประกาศเวอร์ชัน Final ออกมาแล้ว ในครั้งถัดไปทีมที่ปรึกษาหวังว่าจะมีโอกาสได้มาเล่าถึงรายละเอียดของแต่ละมาตรการควบคุมทั้ง 11 ข้อ ที่เพิ่มเติมในเวอร์ชันใหม่นี้ ไปต่อกันเลยกับ EP.2...
สำหรับบริษัทหรือองค์กรใดที่สนใจหรือต้องการให้เอซีอินโฟเทคเป็นที่ปรึกษาเกี่ยวกับมาตรฐาน ISO27001 ให้กับองค์กรของท่าน สามารถสอบถามเพิ่มเติมได้ที่ [email protected] หรือ โทร. 02 670 8980 ถึง 3 (จันทร์ – ศุกร์, 9:00 – 18:00 น.)
