มาตรฐาน ISO/IEC 27001:2013 เป็นมาตรฐานด้านบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ และมาตรการควบคุมในมาตรฐานฉบับนี้ถือว่าเป็นชุดมาตรการควบคุมที่ได้รับการยอมรับ และถูกนำไปปรับใช้อย่างแพร่หลาย ในประเทศไทยเองนั้นมาตรฐานฉบับนี้ได้รับความนิยมอย่างมาก ดังจะเห็นได้จากข้อมูลบนเว็บ ISO ที่มีการสำรวจองค์กรที่ได้รับการรับรองมาตรฐานฉบับนี้ http://www.iso.org/files/live/sites/isoorg/files/standards/conformity_assessment/certification/doc/Survey-data/iso_27001_iso_survey2015.xls เป็นข้อมูลที่ทำการสำรวจเมื่อปี 2015 จากข้อมูลในช่วงปีนั้นประเทศไทยได้รับการรับรองมาตรฐานเกือบ 200 องค์กร โดยคาดการณ์ว่าปัจจุบันในปี 2021 องค์กรที่ได้รับการรับรองมาตรฐาน ISO/IEC 27001:2013 ในประเทศไทยอาจจะมีมากกว่า 400 องค์กร เนื่องจากหลายหน่วยงานกำกับในประเทศไทยได้นำมาตรฐานฉบับนี้ไปเป็นส่วนหนึ่งของประกาศด้านความมั่นคงปลอดภัยสารสนเทศ และมีการกำหนดให้องค์กรภายใต้การกำกับดูแล ต้องขอการรับรองมาตรฐานฉบับนี้ ตัวอย่างเช่น ประกาศธนาคารแห่งประเทศไทย ที่ สรข. 4/2560 เรื่องมาตรฐานระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศของคอมพิวเตอร์ลูกข่ายบาทเนต และ สรข. 5/2560 เรื่องมาตรฐานระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศของคอมพิวเตอร์ลูกข่ายระบบหักบัญชีเช็คด้วยภาพและระบบจัดเก็บภาพเช็ค (ICAS) จึงปฏิเสธไม่ได้ว่ามาตรฐานฉบับนี้ได้รับความนิยมเป็นอย่างมากในประเทศไทยจากการนำไปเป็นข้อกำหนด รวมถึงแนวปฏิบัติภายในองค์กร

เมื่อไม่นานมานี้ ทราบมาว่ามาตรฐาน ISO/IEC 27001:2013 อยู่ในช่วงการปรับปรุงเนื้อหามาตรฐาน ซึ่งปกติแล้วมาตรฐานจะมีการปรับปรุงทุก ๆ 8-10 ปี จากการคาดการณ์ มาตรฐานฉบับนี้จะถูกปรับปรุงแล้วเสร็จและประกาศใช้อย่างเป็นทางการภายในปี 2022 หลังจากที่ทาง ISO ได้มีการประกาศ ISO/IEC 27002:2022 อย่างเป็นทางการเมื่อวันที่ 15 กุมภาพันธ์ 2022 ที่ผ่านมา ซึ่งเอกสารฉบับนี้เป็นเอกสารที่ถูกใช้งานคู่กับเอกสาร ISO/IEC 27001 ซึ่งเป็นเอกสาร “Requirements”  หมายถึงเอกสารความต้องการหากองค์กรต้องการขอรับรองมาตรฐานด้านความมั่นคงปลอดภัยสารสนเทศ ISO/IEC 27001 จากสถาบัน ISO โดยผ่านการตรวจรับรองจากบริษัทผู้ตรวจสอบ Certification Body (CB) ส่วนเอกสาร ISO/IEC 27002 เป็นเอกสาร “Code of practice for information security controls” ซึ่งเป็นเอกสารที่อธิบายแนวทางการนำมาตรการควบคุมด้านความมั่นคงปลอดภัยไปปรับใช้ภายในองค์กร ควบคู่กับการบริหารจัดการความเสี่ยงด้านความมั่นคงปลดภัยสารสนเทศ โดยเนื้อหาขยายความจาก Annex A (Reference control objectives and controls)

หากดูภายในเนื้อหาเอกสาร ISO/IEC 27002:2022 จะพบว่ามีการเปลี่ยนแปลงไปจากเดิมใน 3 ส่วนดังต่อไปนี้

  1. การเปลี่ยนแปลงชื่อบางมาตรการควบคุม เพื่อให้ชัดเจนยิ่งขึ้น
  2. การเปลี่ยนโครงสร้าง รวมถึงการใช้อนุกรมวิธาน (Taxonomy) เพื่อความชัดเจนและเข้าใจง่ายมากยิ่งขึ้น
  3. การรวม การลบ การเพิ่มมาตรการควบคุมใหม่

ในส่วนรายละเอียดของการเปลี่ยนแปลงในข้อที่ 2 โครงสร้าง คือ มีการปรับ Clauses ของเอกสารจากเดิม 14 security control clauses (domains) ในเวอร์ชัน 2013 เป็น Clause 5-8 ใน เวอร์ชัน 2022 โดยประกอบด้วยเนื้อหาดังต่อไปนี้

  • Clause 5 Organizational controls
  • Clause 6 People controls
  • Clause 7 Physical controls
  • Clause 8 Technological controls

นั่นหมายความว่า จากเดิมที่เคยเรียกกันกว่า 14 security control clauses (domains) จะหายไปและถูกแทนด้วยคำว่า 4 Clauses ตาม Clause 5-8 ซึ่งเป็นหมวดหมู่ของมาตรการควบคุมใหม่ที่ถูกกำหนดในเวอร์ชันนี้ โดยหมวดหมู่ตาม Clause 5-8 นั้นสามารถอธิบายในส่วนของรูปแบบและคุณลักษณะของมาตรการควบคุมในแต่ละหมวดหมู่ดังต่อไปนี้

  • People เป็นกลุ่มมาตรการควบคุมด้านบุคลากร
  • Physical เป็นกลุ่มมาตรการควบคุมด้านกายภาพ
  • Technical เป็นกลุ่มมาตรการควบคุมด้านเทคนิค
  • Organizational เป็นกลุ่มมาตรการควบคุมด้านการบริหารจัดการองค์กร

หากดูในรายละเอียดของมาตรการควบคุม เวอร์ชัน 2013 มีทั้งหมด 114 มาตรการควบคุม ส่วนเวอร์ชัน 2022 มีทั้งหมด 93 มาตรการควบคุม หากไม่สังเกตให้ดี เหมือนว่ามาตรการควบคุมลดลง แต่หากดูในเนื้อหาโดยละเอียดแล้วนั้น มาตรการควบคุมเดิมประมาณ 20 มาตรการควบคุมที่หายไป ซึ่งไม่ได้ถูกตัดออกไปจริง ๆ แต่เป็นการรวมเนื้อหาให้สอดคล้องกับหมวดหมู่มาตรการควบคุมใหม่ โดยจะสังเกตได้ง่ายจากจำนวนหน้าของเอกสาร ซึ่งในเวอร์ชัน 2013 มีจำนวหน้าเอกสาร 90 หน้า ส่วนในเวอร์ชัน 2022 FDIS นั้นมีจำนวนหน้าเอกสารถึง 164 หน้า

มาตรการควบคุมใหม่ที่เพิ่มขึ้นทั้งหมด 11 มาตรการควบคุมมีดังนี้

หากดูในรายละเอียดแต่ละมาตรการควบคุมทั้ง 93 มาตรการควบคุมนั้น จะมีการให้รายละเอียดในส่วนของคุณลักษณะเฉพาะ (Attribute) ของแต่ละมาตรการควบคุม โดยมีทั้งหมด 5 คุณลักษณะเฉพาะดังนี้

  1. Control types ประเภทของมาตรการควบคุม 3 แบบ
    [Preventive, Detective, Corrective]
  2. Information security properties คุณสมบัติด้าน Information security 3 ด้าน
    [Confidentiality, Integrity and Availability]
  3. Cybersecurity concepts หลักการด้าน Cybersecurity 5 ด้าน
    [Identify, Protect, Detect, Respond and Recover]
  4. Operation capabilities สมรรถภาพการดำเนินงานขององค์กร 14 ด้าน [Governance, Asset_management, Information_protection, Human_resource_security, Physical_security, System_and_network_ security, Application_security, Secure_configuration, Identity_and_access_management, Threat_and_vulnerability_management, Continuity, Supplier_relationships_security, Legal_and_ compliance, Information_security_event_management and Information_security_assurance]
  5. Security domains โดเมนด้านความปลอดภัย 4 ด้าน [Governance_and_Ecosystem, Protection, Defence and Resilience]

ยกตัวอย่างเช่น

มาตรการควบคุมที่ 5.1 Policies for information security อยู่ในหมวดหมู่ที่ 5 (Clause 5) กลุ่มมาตรการด้านการบริหารจัดการองค์กร โดยคุณลักษณะเฉพาะของมาตรการควบคุมดังนี้

  1. Control types [Preventive] มาตรการควบคุมประเภทป้องกัน
  2. Information security properties [C, I and A] มาตรการควบคุมมีคุณสมบัติด้าน Information security ทั้ง 3 ด้าน ความลับ ความถูกต้อง และความพร้อมใช้
  3. Cybersecurity concepts [Identify] มาตรการควบคุมด้านการระบุตามหลักการ Cybersecurity
  4. Operation capabilities [Governance] มาตรการควบคุมตามสมรรถภาพคือการกำกับ
  5. Security domains [Governance_and_Ecosystem, Resilience] มาตรการควบคุมด้าน Governance and Ecosystem และResilience ตามโดเมนความปลอดภัย

มาตรการควบคุมที่ 8.12 Data leakage prevention อยู่ในหมวดหมู่ที่ 8 (Clause 8) กลุ่มมาตรการควบคุมด้านเทคนิค โดยคุณลักษณะเฉพาะของมาตรการควบคุมดังนี้

  1. Control types [Preventive, Detective] มาตรการควบคุมประเภทป้องกันและตรวจจับ
  2. Information security properties [Confidentiality] มาตรการควบคุมมีคุณสมบัติด้าน Information security ด้านความลับ
  3. Cybersecurity concepts [Protect, Detect] มาตรการควบคุมด้านการป้องกันและการตรวจจับตามหลักการ Cybersecurity
  4. Operation capabilities [Information_protection] มาตรการควบคุมตามสมรรถภาพคือการปกป้องข้อมูล
  5. Security domains [Protection, Defence] มาตรการควบคุมด้านการปกป้องและการป้องกัน ตามโดเมนความปลอดภัย

บทวิเคราะห์เพิ่มเติมจากทีมที่ปรึกษา ACinfotec (เอซีอินโฟเทค)

การปรับปรุงและเปลี่ยนแปลงมาตรฐานเป็นสิ่งที่ดีแน่นอน เพื่อให้มาตรฐานตามทันเทคโนโลยีใหม่ เช่น มาตรการควบคุม 5.23 Information security for use of cloud services มาตรการควบคุม 8.11 Data masking และมาตรการควบคุม 8.12 Data leakage prevention เห็นได้ว่ามาตรการควบคุมใหม่เหล่านี้ ให้ความสำคัญกับเทคโนโลยีใหม่ และมาตรการควบคุมเฉพาะสำหรับข้อมูลในระดับที่สำคัญมากหรือสูงสุดขององค์กร

อย่างไรก็ตาม มาตรฐานเวอร์ชันใหม่ฉบับนี้ก็มีบางส่วนที่มีความซับซ้อน เช่น การใช้คุณลักษณะเฉพาะ (Attribute) ทั้ง 5 คุณลักษณะซึ่งมีความซับซ้อนและบางส่วนก็มีการทับซ้อนกันอยู่ด้วย การจัดหมวดหมู่เหลือ 4 Clauses จาก 14 Security Clauses นั้น อาจทำให้การเลือกใช้มาตรการควบคุมเป็นไปได้ลำบากกว่าเดิม จุดที่น่าสนใจอีกส่วนหนึ่งก็คือ มาตรฐาน ISO/IEC 27001 ที่คาดการณ์ว่าจะมีการประกาศออกมาในปี 2022 เช่นเดียวกัน จะมีการปรับเปลี่ยนให้สอดคล้องกับ ISO/IEC 27002 ในส่วนของ Annex A อย่างไรบ้าง รวมถึงมาตรฐานฉบับที่ถูกกล่าวถึงในปัจจุบัน อย่างมาตรฐาน Privacy Information Management System (PIMS) ISO/IEC 27701:2019 หรือแม้กระทั่งมาตรฐานเฉพาะกลุ่มอุตสาหกรรม เช่น ISO/IEC 27799:2016 ซึ่งมาตรการควบคุมของมาตรฐานเหล่านี้ล้วนอ้างอิงจากมาตรฐาน ISO/IEC 27002:2013 ทั้งสิ้น มาตรฐานเหล่านี้คงต้องมีการเตรียมการ เพื่อปรับเปลี่ยนกลุ่มของมาตรการควบคุมให้สอดคล้องกับเวอร์ชันใหม่นี้ รวมถึงกฎหมาย ประกาศ ระเบียบต่าง ๆ ที่ถูกประกาศและบังคับใช้ภายในประเทศไทยเอง ก็ต้องมีการทำเตรียมความพร้อมสำหรับการปรับปรุงข้อมูลให้สอดคล้องกับมาตรฐาน ISO/IEC 27002:2022 ที่ ประกาศเวอร์ชัน Final ออกมาแล้ว ในครั้งถัดไปทีมที่ปรึกษาหวังว่าจะมีโอกาสได้มาเล่าถึงรายละเอียดของแต่ละมาตรการควบคุมทั้ง 11 ข้อ ที่เพิ่มเติมในเวอร์ชันใหม่นี้ ไปต่อกันเลยกับ EP.2…

สำหรับบริษัทหรือองค์กรใดที่สนใจหรือต้องการให้เอซีอินโฟเทคเป็นที่ปรึกษาเกี่ยวกับมาตรฐาน ISO27001 ให้กับองค์กรของท่าน สามารถสอบถามเพิ่มเติมได้ที่ [email protected] หรือ โทร. 02 670 8980 ถึง 3  (จันทร์ – ศุกร์, 9:00 – 18:00 น.)