ISO 27001 และ ISO 27002 คือ มาตรฐานสากลด้านการบริหารความมั่นคงของข้อมูล ซึ่งเน้นความสำคัญที่ “ระบบการบริหารจัดการ” (Management System) โดยมีข้อกำหนดต่างๆ ที่องค์กรพึงปฏิบัติในการรักษาความมั่นคงของข้อมูล เพื่อปกป้องข้อมูล กระบวนการทางธุรกิจ และทรัพย์สินด้านสารสนเทศที่สำคัญให้พ้นจากภัยคุกคาม และความเสี่ยงในรูปแบบต่างๆ รวมถึงกำหนดให้มีการจัดทำแผนรับมือเหตุฉุกเฉินที่อาจเกิดขึ้น เพื่อลดความสูญเสีย และคงไว้ซึ่งความสามารถในการดำเนินธุรกิจได้อย่างต่อเนื่อง

นปัจจุบัน ได้มีการนำมาตรฐานดังกล่าวไปใช้งานกันอย่างแพร่หลายทั่วโลก โดยเฉพาะในประเทศญี่ปุ่น ประเทศอังกฤษ รวมถึงประเทศในแถบยุโรป ซึ่งเป็นที่น่าสนใจว่ามาตรฐาน ISO 27001 กำลังได้รับความนิยมเทียบเท่า หรืออาจจะมากกว่ามาตรฐาน ISO 9001(มาตรฐานเกี่ยวกับระบบการบริหารจัดการคุณภาพ) ก็เป็นได้ ทั้งนี้ เนื่องมาจากการพัฒนาเทคโนโลยีที่ก้าวหน้าอย่างรวดเร็ว และบทบาทของ IT ที่มีต่อการขับเคลื่อนการดำเนินธุรกิจ สำหรับในประเทศไทยเองก็เริ่มมีองค์กรต่างๆ ทั้งภาครัฐและเอกชนให้ความสนใจนำเอามาตรฐานดังกล่าวมาใช้ในการปรับปรุงการบริหารความมั่นคงของข้อมูล และระบบ IT ภายในองค์กร รวมถึงได้มีการนำมาตรฐานดังกล่าวไปแปลเป็นภาษาไทย เพื่อใช้เป็นพื้นฐานในการพัฒนากฎหมายด้านสารสนเทศอีกด้วย

จุดเด่นที่สำคัญอีกอย่างหนึ่งสำหรับมาตรฐานนี้ คือ องค์กรที่มีการจัดทำระบบ ISO 9000 หรือ ISO 14000 อยู่แล้ว จะมีความพร้อมในการนำระบบ ISO 27001 มาใช้งานร่วมกับมาตรฐานเดิมที่มีอยู่ เนื่องจากมาตรฐานเหล่านี้ล้วนใช้พื้นฐานของหลักการ PDCA รวมถึงใช้ระบบการจัดการเอกสาร และบันทึกตามรูปแบบมาตรฐานของสถาบัน ISO จึงสามารถใช้ระบบเอกสารที่องค์กรคุ้นเคยแล้วกับมาตรฐาน ISO 27001 ได้ และยังมีกลไกสำหรับการทบทวนโดยผู้บริหาร (Management review) และการตรวจติดตามระบบภายในองค์กร (Internal audit) ที่มีแนวปฏิบัติคล้ายคลึงกันอีกด้วย

 

ความเป็นมาของมาตรฐาน ISO 27001 และ ISO 27002

มาตรฐาน ISO 27001 เริ่มต้นพัฒนาขึ้นโดยสถาบัน BSI (British Standard Institute)ของประเทศ อังกฤษ โดยมีชื่อเดิมว่า BS 7799 ซึ่งแบ่งออกได้เป็น 2 Part  

BS 7799 Part 1 ถูกพัฒนาขึ้นเป็นครั้งแรกในปี ค.ศ. 1995 และภายหลังได้มีการปรับปรุงแก้ไขโดยผู้เชี่ยวชาญอีกหลายครั้งใน ปี ค.ศ. 1998 และ 1999 ต่อจากนั้น BS 7799 part 1 นี้ได้ถูกยื่นเสนอให้เป็นมาตรฐานสากล (International Standard) ด้านการบริหารความมั่นคงของข้อมูล หลังจากการพิจารณาและปรับปรุงโดยสถาบัน ISO (International Organization for standardization) และ IEC (International Electrotechnical Commission) BS 7799 part 1 ก็ได้รับการเปลี่ยนสถานะเป็น ISO Standard และได้ถูกประกาศใช้อย่างเป็นทางการในวันที่ 1 ธันวาคม ค.ศ. 2000 ภายใต้ชื่อ ISO 17799 โดยประกอบไปด้วยหัวข้อของการควบคุมด้านความมั่นคงของข้อมูลทั้งหมด 127 หัวข้อ แบ่งออกเป็น 10 หมวดหลัก ภายหลังเมื่อปี ค.ศ. 2005 ก็ได้รับการปรับปรุงโดยเพิ่มข้อกำหนดเป็น 133 หัวข้อ และ 11 หมวดหลัก ในท้ายที่สุดก็ถูกเปลี่ยนชื่อเป็น ISO 27002 ซึ่งยังคงถูกใช้งานมาจนถึงปัจจุบัน

BS 7799 Part 2 ได้มีการประกาศใช้ครั้งแรกในปี ค.ศ.1998 ซึ่งเนื้อหาจะประกอบไปด้วย ข้อกำหนดและแนวทางในการจัดตั้งและปฏิบัติใช้งาน “ระบบบริหารความมั่นคงของข้อมูล” (Information Security Management Systems – ISMS) ภายในองค์กร และการตรวจรับรองระบบ (Certification) BS 7799 part 2 นี้ได้ถูกปรับปรุงแก้ไขในปี ค.ศ. 1999, 2001, 2002 ตามลำดับ และได้รับการเปลี่ยนสถานะเป็น ISO Standard เมื่อปี ค.ศ. 2005 ภายใต้ชื่อ ISO 27001:2005 ซึ่งถือเป็นฉบับล่าสุดจนถึงปัจจุบัน

 

ความแตกต่างระหว่างมาตรฐาน ISO 27001 และ ISO 27002

ISO 27001:2005 Information security management systems – Requirementsมีเนื้อหากล่าวถึงข้อกำหนดสำหรับใช้เป็นเกณฑ์ในการตรวจรับรองความมีมาตรฐานของ “ระบบบริหารความมั่นคงของข้อมูล” (Information Security Management Systems – ISMS) โดยมีรายละเอียดนับตั้งแต่การริเริ่มทำระบบ การปฏิบัติใช้งาน การทบทวน การปรับปรุงอย่างต่อเนื่อง ซึ่งสอดคล้องกับแนวคิดของหลักการ PDCA (Plan-Do-Check-Act) นั่นเอง ทั้งนี้ ระบบ ISMS ที่จัดตั้งขึ้นนั้น จะต้องอ้างอิงตามหัวข้อของการควบคุมด้านความมั่นคงของข้อมูล 133 หัวข้อในมาตรฐาน ISO 27002 ตามความเหมาะสมด้วย

ISO 27002:2005 – Code of practice for information security management มีเนื้อหาระบุถึงข้อควรปฏิบัติในการควบคุมความมั่นคงของข้อมูลที่องค์กรควรนำไปใช้ ซึ่งจะมีทั้งหมด 133 หัวข้อ และแบ่งออกเป็น 11 หมวดหลัก โดยจะมีการให้แนวทางในการปฏิบัติ(Implementation Guide) สำหรับแต่ละหัวข้อด้วย

 

ISO 27001 คือ Requirements สำหรับการตรวจรับรองระบบ

ISO 27002 คือ Code of Practice แนะนำแนวทางในการบริหารความมั่นคงของของข้อมูล

 

โปรดติดตามตอนต่อไป