ากบทความในตอนที่แล้ว ซึ่งได้กล่าวถึงประวัติความเป็นมาของ ISO 27001 และ ISO 27002 นั้น ในบทความตอนนี้จะเป็นการกล่าวถึงเนื้อหาของมาตรฐาน โดยมีรายละเอียดดังนี้

 

11 หมวดหลักของมาตรฐาน ISO 27001 และ ISO 27002

หัวข้อต่อไปนี้คือ 11 หมวดหลักที่ครอบคลุมโดยมาตรฐาน ISO 27001 และ ISO 27002

1. Security policy ครอบคลุมเรื่องนโยบายการจัดการความมั่นคงของข้อมูลในองค์กร การเล็งเห็นถึงความสำคัญของนโยบายฯ และการให้การสนับสนุนจากผู้บริหารระดับสูงเพื่อให้มีการนำนโยบายฯ ไปใช้อย่างมีประสิทธิภาพ

2. Organizational of information security ครอบคลุมเรื่องการจัดตั้งหน่วยงานขึ้นเพื่อประสานงานและดำเนินงานด้านการดูแลรักษาความมั่นคงของข้อมูล ตลอดจนการบริหารจัดการด้านความมั่นคงของข้อมูลภายในองค์กร และการประสานงานทั้งภายในและภายนอกองค์กร

3. Asset management ครอบคลุมเรื่องการจัดทำทะเบียนทรัพย์สิน การจัดจำแนกประเภทของข้อมูลตามระดับความสำคัญ การควบคุมการเข้าถึงข้อมูลแต่ละประเภท และการควบคุมทรัพย์สินด้านสารสนเทศขององค์กร

4. Human resources security ครอบคลุมเรื่องการบริหารจัดการความมั่นคงในส่วนที่เกี่ยวข้องกับพนักงาน และผู้วิจัย ตั้งแต่เริ่มรับพนักงานใหม่ จวบจนสิ้นสุดสถานภาพการเป็นพนักงาน ซึ่งครอบคลุมประเด็นที่สำคัญต่างๆ อาทิเช่น การให้ความรู้ด้านความมั่นคงแก่พนักงาน การให้พนักงานลงนามในข้อตกลงไม่เปิดเผยข้อมูล เป็นต้น

5. Physical and environmental security ครอบคลุมเรื่องการรักษาความมั่นคงของสถานที่ทำงาน ได้แก่การควบคุมการเข้า-ออกของบุคคล และทรัพย์สิน เพื่อป้องกันการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาตและป้องกันการเสียหายหรือสูญหายของทรัพย์สิน

6. Communications and operations management ครอบคลุมเรื่องการรักษาความมั่นคงให้แก่คอมพิวเตอร์ ระบบเครือข่าย และการประมวลผลข้อมูล เช่น การป้องกันไวรัสคอมพิวเตอร์ การสำรองข้อมูล การควบคุมความมั่นคงของระบบเครือข่าย การกำจัดสื่อบันทึกข้อมูล การควบคุมความมั่นคงในการใช้งานอีเมล์ ฯลฯ

7. Access control ครอบคลุมเรื่องการควบคุมการเข้าถึงข้อมูล และการป้องกันการเข้าถึงข้อมูลโดยผู้ไม่ได้รับอนุญาตทั้งจากการเข้าใช้งานภายในองค์กร และการเข้าถึงระบบจากระยะไกล (Remote access)

8. Information systems acquisition, development and maintenanceครอบคลุมเรื่องการจัดซื้อ-จัดหา พัฒนา ติดตั้ง และบำรุงรักษาระบบคอมพิวเตอร์ ระบบเครือข่าย ซอฟต์แวร์ ฮาร์ดแวร์ และอุปกรณ์สารสนเทศต่างๆ เพื่อให้อุปกรณ์เหล่านั้นมีความมั่นคงและทำงานได้อย่างมีประสิทธิภาพ

9. Information security incident management ครอบคลุมเรื่องการรายงาน และการบริหารจัดการเหตุละเมิดความมั่นคงของข้อมูล เพื่อให้เหตุดังกล่าวได้รับการแก้ไขอย่างทันท่วงที และป้องกันไม่ให้เกิดเหตุซ้ำขึ้นอีกในอนาคต

10. Business continuity management ครอบคลุมเรื่องการจัดทำและทดสอบแผนความต่อเนื่องในการดำเนินธุรกิจ (Business continuity Plan หรือ BCP) ซึ่งก็คือวิธีปฏิบัติในการรับมือสำหรับกรณีที่เกิดความผิดพลาดขึ้นกับระบบสารสนเทศ หรือภัยธรรมชาติ เพื่อให้เกิดความเสียหายน้อยที่สุดและเพื่อให้ธุรกิจสามารถฟื้นตัวกลับมาดำเนินงานตามปกติได้เร็วที่สุด

11. Compliance ครอบคลุมการปฏิบัติงานที่ถูกต้องตามกฎหมาย หรือข้อตกลงต่างๆ ที่องค์กรได้กระทำร่วมกับผู้อื่น เช่น การใช้ซอฟต์แวร์ที่มีลิขสิทธิ์ (License) ถูกต้อง การปกป้องข้อมูลส่วนบุคคล ฯลฯ

ข้อกำหนดด้านการจัดทำระบบบริหารความมั่นคงของข้อมูล (Information Security Management System Requirements) ของมาตรฐาน ISO 27001

เนื้อหาของมาตรฐาน ISO 27001:2005 จะเกี่ยวข้องกับการจัดตั้งและปฏิบัติใช้งาน“ระบบบริหารความมั่นคงของข้อมูล” (Information security management systems – ISMS)ขึ้นในองค์กร ซึ่งแนวคิดของมาตรฐานส่วนนี้จะเป็นแนวทางสำคัญ สำหรับองค์กรที่ต้องการนำระบบ ISMS ไปใช้ในการปกป้องข้อมูล กระบวนการธุรกิจ และทรัพย์สินด้านสารสนเทศที่สำคัญขององค์กร เนื้อหาของมาตรฐาน ISO 27001:2005 แบ่งออกเป็น 8 ส่วนดังนี้

Forward
0 Introduction

1 Scope
2 Normative reference
3 Terms and definitions
4 Information security management system
5 Management responsibility
6 Internal ISMS audit
7 Management review of the ISMS
8 ISMS improvement

มาตรฐานนี้ได้ถูกจัดทำขึ้นโดยยึดตามแนวคิดของหลักการ PDCA (Plan-Do-Check-Act) เพื่อให้เกิดวิธีการปฏิบัติงานที่เป็นระบบ และมีการพัฒนาขึ้นอย่างต่อเนื่อง (Continuous improvement)เริ่มต้นตั้งแต่การจัดตั้ง (Establish) การนำระบบไปใช้ (Implement) การดำเนินงาน (Operate)การติดตามและวัดผล (Monitor) การทบทวน (Review) การบำรุงรักษาระบบ (Maintain) และการปรับปรุงพัฒนาระบบให้ดียิ่งขึ้น (Improve) ซึ่งสามารถอธิบายได้ดังรูป

pdca

ทั้งนี้ หัวใจสำคัญของการริเริ่มจัดตั้ง การปฏิบัติใช้งาน และการปรับปรุงระบบ ISMS อย่างต่อเนื่องก็คือ การประเมินความเสี่ยง (Risk assessment) และการเลือกวิธีการเพื่อแก้ไขควบคุมความเสี่ยงจากตาราง Annex A ของมาตรฐาน ให้เหมาะสมกับการปฏิบัติงานและระดับความเสี่ยงที่ยอมรับได้ขององค์กร 

 

 < < โปรดติดตามตอนต่อไป > >