ISO 27001 and ISO 27002: The Information Security Management [ Part I ]

ISO 27001 และ ISO 27002 คือ มาตรฐานสากลด้านการบริหารความมั่นคงของข้อมูล ซึ่งเน้นความสำคัญที่ “ระบบการบริหารจัดการ” (Management System) โดยมีข้อกำหนดต่างๆ ที่องค์กรพึงปฏิบัติในการรักษาความมั่นคงของข้อมูล เพื่อปกป้องข้อมูล กระบวนการทางธุรกิจ และทรัพย์สินด้านสารสนเทศที่สำคัญให้พ้นจากภัยคุกคาม และความเสี่ยงในรูปแบบต่างๆ รวมถึงกำหนดให้มีการจัดทำแผนรับมือเหตุฉุกเฉินที่อาจเกิดขึ้น เพื่อลดความสูญเสีย และคงไว้ซึ่งความสามารถในการดำเนินธุรกิจได้อย่างต่อเนื่อง

ในปัจจุบัน ได้มีการนำมาตรฐานดังกล่าวไปใช้งานกันอย่างแพร่หลายทั่วโลก โดยเฉพาะในประเทศญี่ปุ่น ประเทศอังกฤษ รวมถึงประเทศในแถบยุโรป ซึ่งเป็นที่น่าสนใจว่ามาตรฐาน ISO 27001 กำลังได้รับความนิยมเทียบเท่า หรืออาจจะมากกว่ามาตรฐาน ISO 9001(มาตรฐานเกี่ยวกับระบบการบริหารจัดการคุณภาพ) ก็เป็นได้ ทั้งนี้ เนื่องมาจากการพัฒนาเทคโนโลยีที่ก้าวหน้าอย่างรวดเร็ว และบทบาทของ IT ที่มีต่อการขับเคลื่อนการดำเนินธุรกิจ สำหรับในประเทศไทยเองก็เริ่มมีองค์กรต่างๆ ทั้งภาครัฐและเอกชนให้ความสนใจนำเอามาตรฐานดังกล่าวมาใช้ในการปรับปรุงการบริหารความมั่นคงของข้อมูล และระบบ IT ภายในองค์กร รวมถึงได้มีการนำมาตรฐานดังกล่าวไปแปลเป็นภาษาไทย เพื่อใช้เป็นพื้นฐานในการพัฒนากฎหมายด้านสารสนเทศอีกด้วย

หนึ่งในจุดแข็งที่สำคัญของมาตรฐานสากลด้านการบริหารความมั่นคงของข้อมูล คือความสามารถในการบูรณาการกับระบบมาตรฐานอื่น ๆ ที่องค์กรอาจใช้อยู่แล้ว เช่น ISO 9000 (ระบบบริหารคุณภาพ) หรือ ISO 14000 (ระบบการจัดการสิ่งแวดล้อม) ซึ่งเป็นมาตรฐานที่มีโครงสร้างและแนวทางการดำเนินงานคล้ายกัน ด้วยเหตุผลสำคัญประการหนึ่งคือ ทั้งสามมาตรฐานนี้ต่างยึดหลัก PDCA (Plan – Do – Check – Act) เป็นแนวทางหลักในการบริหารจัดการระบบ ทำให้องค์กรที่มีพื้นฐานของ ISO เดิมอยู่แล้วสามารถต่อยอดสู่มาตรฐานนี้ได้โดยไม่ต้องเริ่มต้นจากศูนย์

นอกจากนี้ มาตรฐานเหล่านี้ยังใช้ระบบเอกสารและการจัดการบันทึกในรูปแบบเดียวกัน ไม่ว่าจะเป็น นโยบาย (Policies), ระเบียบปฏิบัติ (Procedures), แบบฟอร์มต่าง ๆ, รวมถึง การเก็บรักษาหลักฐาน (Records) ซึ่งองค์กรที่คุ้นเคยกับการบริหารจัดการเอกสารตามมาตรฐาน ISO อยู่แล้ว จะสามารถนำแนวทางที่มีอยู่มาปรับใช้กับมาตรฐานสากลด้านการบริหารความมั่นคงของข้อมูลได้ทันที โดยไม่ต้องสร้างระบบใหม่ทั้งหมด

อีกทั้งมาตรฐานยังมีแนวปฏิบัติสำคัญ เช่น การทบทวนโดยผู้บริหาร (Management Review) และ การตรวจติดตามภายใน (Internal Audit) ซึ่งมีรูปแบบกระบวนการและแนวคิดที่คล้ายกับระบบ ISO อื่น ๆ ที่องค์กรอาจใช้อยู่ จึงช่วยลดภาระในการจัดการซ้ำซ้อน และยังเปิดโอกาสให้องค์กรสามารถควบรวมการตรวจสอบระบบต่าง ๆ เข้าด้วยกันเป็นแบบบูรณาการ ซึ่งประหยัดทั้งเวลาและทรัพยากรในระยะยาว

ดังนั้น การนำมาตรฐานสากลด้านการบริหารความมั่นคงของข้อมูล มาใช้ในองค์กรที่มีระบบ ISO เดิมอยู่แล้ว ไม่เพียงเป็นการยกระดับความมั่นคงปลอดภัยของข้อมูล แต่ยังช่วยเพิ่มความคุ้มค่าในการลงทุนด้านระบบบริหารจัดการอีกด้วย

ความเป็นมาของมาตรฐานสากลด้านการบริหารความมั่นคงของข้อมูล

มาตรฐานสากลด้านการบริหารความมั่นคงของข้อมูล เริ่มต้นพัฒนาขึ้นโดยสถาบัน BSI (British Standard Institute)ของประเทศ อังกฤษ โดยมีชื่อเดิมว่า BS 7799 ซึ่งแบ่งออกได้เป็น 2 Part

BS 7799 Part 1 ถูกพัฒนาขึ้นเป็นครั้งแรกในปี ค.ศ. 1995 และภายหลังได้มีการปรับปรุงแก้ไขโดยผู้เชี่ยวชาญอีกหลายครั้งใน ปี ค.ศ. 1998 และ 1999 ต่อจากนั้น BS 7799 part 1 นี้ได้ถูกยื่นเสนอให้เป็นมาตรฐานสากล (International Standard) ด้านการบริหารความมั่นคงของข้อมูล หลังจากการพิจารณาและปรับปรุงโดยสถาบัน ISO (International Organization for standardization) และ IEC (International Electrotechnical Commission) BS 7799 part 1 ก็ได้รับการเปลี่ยนสถานะเป็น ISO Standard และได้ถูกประกาศใช้อย่างเป็นทางการในวันที่ 1 ธันวาคม ค.ศ. 2000 ภายใต้ชื่อ ISO 17799 โดยประกอบไปด้วยหัวข้อของการควบคุมด้านความมั่นคงของข้อมูลทั้งหมด 127 หัวข้อ แบ่งออกเป็น 10 หมวดหลัก ภายหลังเมื่อปี ค.ศ. 2005 ก็ได้รับการปรับปรุงโดยเพิ่มข้อกำหนดเป็น 133 หัวข้อ และ 11 หมวดหลัก ในท้ายที่สุดก็ถูกเปลี่ยนชื่อเป็น ISO 27002 ซึ่งยังคงถูกใช้งานมาจนถึงปัจจุบัน

BS 7799 Part 2 ได้มีการประกาศใช้ครั้งแรกในปี ค.ศ.1998 ซึ่งเนื้อหาจะประกอบไปด้วย ข้อกำหนดและแนวทางในการจัดตั้งและปฏิบัติใช้งาน “ระบบบริหารความมั่นคงของข้อมูล” (Information Security Management Systems – ISMS) ภายในองค์กร และการตรวจรับรองระบบ (Certification) BS 7799 part 2 นี้ได้ถูกปรับปรุงแก้ไขในปี ค.ศ. 1999, 2001, 2002 ตามลำดับ และได้รับการเปลี่ยนสถานะเป็น ISO Standard เมื่อปี ค.ศ. 2005 ภายใต้ชื่อ ISO 27001:2005 ซึ่งถือเป็นฉบับล่าสุดจนถึงปัจจุบัน

ความแตกต่างระหว่างมาตรฐาน ISO 27001 และ ISO 27002

ISO 27001:2005 Information security management systems – Requirements มีเนื้อหากล่าวถึงข้อกำหนดสำหรับใช้เป็นเกณฑ์ในการตรวจรับรองความมีมาตรฐานของ “ระบบบริหารความมั่นคงของข้อมูล” (Information Security Management Systems – ISMS) โดยมีรายละเอียดนับตั้งแต่การริเริ่มทำระบบ การปฏิบัติใช้งาน การทบทวน การปรับปรุงอย่างต่อเนื่อง ซึ่งสอดคล้องกับแนวคิดของหลักการ PDCA (Plan-Do-Check-Act) นั่นเอง ทั้งนี้ ระบบ ISMS ที่จัดตั้งขึ้นนั้น จะต้องอ้างอิงตามหัวข้อของการควบคุมด้านความมั่นคงของข้อมูล 133 หัวข้อในมาตรฐาน ISO 27002 ตามความเหมาะสมด้วย

ISO 27002:2005 – Code of practice for information security management มีเนื้อหาระบุถึงข้อควรปฏิบัติในการควบคุมความมั่นคงของข้อมูลที่องค์กรควรนำไปใช้ ซึ่งจะมีทั้งหมด 133 หัวข้อ และแบ่งออกเป็น 11 หมวดหลัก โดยจะมีการให้แนวทางในการปฏิบัติ(Implementation Guide) สำหรับแต่ละหัวข้อด้วย