จบลงไปแล้วกับงานสัมมนาออนไลน์ในหัวข้อ “Empowering your Defense Using the New ISO 27002 and GRC Platform” เมื่อวันที่ 24 มีนาคม 2565 ที่ผ่านมา โดย ACinfotec Co.Ltd. จัดร่วมกับ OneTrust, LLC.  มีประเด็นสาระสำคัญต่าง ๆ ที่น่าสนใจมานำเสนอให้แก่ทุกท่านแล้ว สามารถติดตามอ่านได้เลย

ในหัวข้อแรก ได้กล่าวถึงการเปลี่ยนแปลงหรือเพิ่มขึ้นมาใหม่ในมาตรฐานISO/IEC 27002:2022 (What’s new in ISO/IEC 27002:2022?)

สำหรับมาตรฐาน ISO/IEC 27002:2022 มีการเปลี่ยนแปลงที่สำคัญ โดยแบ่งออกเป็น 3 หัวข้อดังนี้

  1. การเปลี่ยนชื่อหัวข้อ จากเดิม ISO/IEC 27001:2013 Code of practice for information security controls เป็น ISO/IEC 27002:2022 Information Security Controls และในรายละเอียดหัวข้อสำหรับเวอร์ชันเดิมจะเน้นในเรื่องของ Information Security Risk Environment มีปรับปรุงและเน้นไปที่บริบท (context) ขององค์กรมากขึ้น
  2. โครงสร้างของมาตรฐานที่มีการปรับเปลี่ยนจากเดิมในแต่ละมาตรการควบคุม กล่าวถึง Control และตัวอย่างการ implement สำหรับ ISO/IEC 27002:2022 มีการเพิ่มในส่วนของ Attribute และ Purpose เข้ามาเป็นตัวช่วยให้สามารถทำการค้นหา การจัดการ การออกแบบ และการเลือก implement มาตรการควบคุมต่าง ๆ ได้ง่าย และเหมาะสมกับแต่ละองค์กรมากยิ่งขึ้น
  3. จำนวนมาตรการควบคุมของ ISO/IEC 27002:2013 ที่มีการปรับจากเดิมใน Annex 14 ข้อ 114 Controls แต่สำหรับ ISO/IEC 27002:2022 มีการปรับปรุงเพื่อให้สอดคล้อง และเหมาะสมกับการดำเนินงาน และสถานการณ์ในปัจจุบันมากขึ้น ปรับเป็น 4 Clauses 93 Controls โดยมีมาตรการควบคุมที่เพิ่มขึ้นมาใหม่ และบางมาตรการควบคุมที่นำมาผสานกัน

ถัดมาหัวข้อที่สอง กล่าวถึงมาตรการควบคุมที่เพิ่มขึ้นมาใหม่ 11 ข้อของ ISO/IEC 27001:2022 (Walkthrough the newest ISO/IEC 27002:2022 controls)

ในมาตรฐาน ISO/IEC 27002:2022 ได้ปรับปรุงการจัดกลุ่มมาตรการควบคุม แบ่งเป็น 4 ประเภท คือ Organizational Controls, People Controls,  Physical Controls และ Technological Controls โดยในรายละเอียดของแต่ละ control ที่เป็นมาตรการควบคุมเดิม หรือนำไปผสานกับมาตรการควบคุมที่ใกล้เคียงกัน จะมีการปรับเนื้อหาให้สอดคล้องกับสถานการณ์ปัจจุบันมากขึ้น

  • Organizational Controls เป็นส่วนที่มีมาตรการควบคุมมากที่สุดจำนวน 37 Controls เป็นมาตรการควบคุมที่เกี่ยวข้องกับการบริหารจัดการองค์กร ตั้งแต่การจัดทำนโยบายต่าง ๆ ไปจนถึงการจัดการข้อมูลภายในองค์กร กระบวนการควบคุมการเข้าถึง การจัดการผู้ให้บริการภายนอก กระบวนการจัดการ incident ต่าง ๆ รวมไปถึงเรื่องกฎหมาย และ Compliance มีมาตรการควบคุมใหม่ 3 Controls คือ 5.7 Threat intelligence เป็นมาตรการควบคุมที่ต้องมีการจัดเก็บ วิเคราะห์ข้อมูลทั้งภายในและภายนอกองค์กร เพื่อจัดทำเป็น Threat intelligence วิเคราะห์ลักษณะการโจมตี แนวโน้มที่จะเกิด และวิธีการรับมือต่อภัยคุกคามนั้น, 5.23 Information security for use of cloud services เป็นมาตรการควบคุมกระบวนการตั้งแต่คัดเลือกจนถึงสิ้นสุดการใช้งานบริการคลาวด์ให้มีความมั่นคงปลอดภัย และ 5.30 ICT readiness for business continuity เป็นมาตรการควบคุมในการเตรียมความพร้อมของระบบ ICT ให้สอดคล้องกับความต่อเนื่องทางธุรกิจขององค์กร
  • People Controls เป็นส่วนที่มีมาตรการควบคุมน้อยที่สุด จำนวน 8 Controls และไม่มีมาตรการควบคุมใหม่ สำหรับมาตรการควบคุมนี้เป็นการควบคุมที่เกี่ยวข้องกับด้านบุคลากร ที่เป็นกระบวนการตั้งแต่ก่อนรับเข้าทำงานจนกระทั่งเลิกจ้างทำงาน รวมไปถึงการทำสัญญาต่าง ๆ ที่เกี่ยวข้อง และการทำงานในลักษณะ Remote Working
  • Physical Controls มีมาตรการควบคุมจำนวน 14 Controls เป็นการควบคุมทางด้านกายภาพ ซึ่งเป็นมาตรการควบคุมที่ตรงกับ Annex 11 ตาม ISO/IEC 27002:2013 รวมไปถึงการจัดการเกี่ยวกับพวกสื่อจัดเก็บข้อมูล มีมาตรการควบคุมใหม่ 1 Control คือ 7.4 Physical security monitoring เป็นมาตรการควบคุมเกี่ยวกับพื้นที่ทางกายภาพ ต้องมีการเฝ้าระวังป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต
  • Technological Controls มีมาตรการควบคุมจำนวน 34 Controls เป็นการควบคุมทางด้านเทคนิค ตั้งแต่การปกป้องอุปกรณ์ การบริหารจัดการสิทธิ์ การเก็บ logging กระบวนการ change รวมไปถึงกระบวนการพัฒนาซอฟต์แวร์ มีมาตรการควบคุมใหม่มากที่สุด 7 Controls คือ 8.9 Configuration management มีมาตรการในการจัดทำการตั้งค่าความปลอดภัยของทั้งฮาร์ดแวร์ ซอฟต์แวร์ รวมไปถึงบริการต่าง ๆ โดยจัดทำเป็นเอกสาร มีการติดตามและทบทวนอยู่เสมอ 8.10 Information deletion มาตรการควบคุมการลบทำลายข้อมูล เมื่อไม่มีความจำเป็นต้องใช้งานแล้วตามกฎหมายหรือข้อบังคับ   อื่น ๆ ที่เกี่ยวข้อง ต้องมีกระบวนการในการตรวจสอบว่า retention time เท่าไหร่ และเมื่อยกเลิกใช้ มีกระบวนการทำลายข้อมูลอย่างไรบ้าง 8.11 Data Masking มาตรการในการปิดบังข้อมูลไม่ให้สามารถย้อนกลับไปยังข้อมูลต้นทางได้  พิจารณาข้อมูลที่มีความสำคัญขององค์กรทั้งหมด โดยพิจารณาเลือกวิธีการใช้งานที่เหมาะสมกับแต่ละข้อมูล 8.12 Data leakage prevention เป็นการปกป้องข้อมูลรั่วไหล รวมไปถึง DLP Tool เพื่อมาเพิ่มประสิทธิภาพให้กับองค์กรมากยิ่งขึ้น แต่ขึ้นอยู่กับองค์กรต้องพิจารณาความจำเป็น โดยดูจากความเสี่ยงที่เกิดขึ้นภายในองค์กร 8.16 Monitoring activities การตรวจจับความผิดปกติของระบบสารสนเทศ อุปกรณ์ภายในองค์กร เพื่อตอบโจทย์ในมุมของการทำ detection ใกล้เคียงกับการเก็บ Log จะมีการพิจารณาเพิ่มการ implement SIEM เพื่อดูพฤติกรรมการใช้งานว่าแบบใดปกติ แบบใดผิดปกติ หรือ การใช้ service พวก SOC 8.23 Web filtering การกำหนดมาตรการเพื่อป้องกันการเข้าถึง Website ที่ไม่เหมาะสม หามาตรการทางเทคนิคมาป้องกัน เช่น ติดตั้ง Web Proxy, Web Gateway หรือใช้ผ่าน Firewall ที่มี feature การทำ Web filtering ด้วย 8.28 Secure Coding การพัฒนา software ให้มีความปลอดภัย เช่น นำ OWASP Top 10 เข้ามาใช้งาน หรือมีการอบรมให้กับผู้พัฒนาระบบ การนำ library มาใช้งาน รวมถึงการทำ scan source code ต้องมีความปลอดภัย  ซึ่งรวมไปถึงการบำรุงรักษา software ต่าง ๆ ด้วย

ถัดมาหัวข้อที่สาม กล่าวถึงผลกระทบที่จะเกิดขึ้นกับมาตรฐาน (The impact of this new standard) มาตรฐาน ISO/IEC 27002:2022

เป็น guidance ในการพัฒนา controls สำหรับ ISO 27001 ซึ่งไม่สามารถขอการรับรองได้ ดังนั้น ผลกระทบที่คาดว่าจะเกิดขึ้น คือ มาตรฐาน ISO/IEC 27001:2013 จะยังไม่ได้ปรับเป็นเวอร์ชันใหม่ แต่จะเป็นการ amendment ปรับเปลี่ยน Annex Control ให้สอดคล้องกับ ISO/IEC 27002:2022 แทน โดยปกติจะใช้ระยะเวลาประมาณ 3 เดือนในการปรับปรุงแก้ไข แต่เนื่องจากสถานการณ์ปัจจุบันคาดการณ์ว่าน่าจะเลื่อนออกไปเป็นช่วงปลายปี 2022 และสำหรับมาตรฐานอื่น ๆ ในตระกูล 27000 ก็จะมีการปรับเปลี่ยนให้สอดคล้องกับ ISO/IEC 27002:2022 เช่น 27701, 27799, CSA Star รวมถึงประกาศจากหน่วยงานกำกับต่าง ๆ ที่มีการอ้างอิงไปยัง 27001 และ 27002

สำหรับผลกระทบในส่วนขององค์กรที่ได้รับการรับรองมาตรฐาน ISO 27001:2013 อยู่แล้ว หรือกำลังเตรียมจะขอการรับรอง ยังสามารถขอการรับรองด้วยเวอร์ชันปัจจุบันได้จนกว่าจะมีการประกาศเปลี่ยนแปลง โดยปกติจะมีช่วงระยะเวลาในการเปลี่ยนผ่านการรับรองมาตรฐานใหม่เป็นเวลา 3 ปี


ถัดมาหัวข้อที่สี่ กล่าวถึงกลยุทธ์ในการปฏิบัติเพื่อให้ผ่านสำหรับมาตรฐาน ISO27001 และ ISO27002 เวอร์ชันใหม่ (Strategy to comply the new version of ISMS ISO 27001 and ISO 27002)

ข้อแนะนำสำหรับองค์กรในการรับมือสำหรับเตรียมการให้พร้อมกับมาตรฐาน โดยที่แต่ละ control จะมีองค์ประกอบสำคัญที่จะนำมาช่วย คือ people, process, data และ technology รวมถึงการเตรียมตัวเพื่อรับมือ ดังนี้

1. การทบทวนกระบวนการประเมินความเสี่ยง ให้สอดคล้องกับโครงสร้างและมาตรการควบคุมใหม่ รวมถึงการปรับปรุงเอกสาร Statement of Applicability (SoA)

2. ปรับปรุงเอกสารที่เกี่ยวข้องทั้งหมด เอกสารนโยบาย เอกสารกระบวนการ เอกสารขั้นตอนปฏิบัติ     ต่าง ๆ ให้สอดคล้องกับมาตรการควบคุมใหม่ ทั้งในมุม people, process, data และ technology

3. การปรับปรุงกิจการการตรวจสอบ (Audit) ตั้งแต่ Audit Plan, Audit Checklist ไปจนถึง Audit Report ให้มีความสอดคล้องกับมาตรการควบคุมใหม่

4. ติดต่อกับ Certified Body (CB) อย่างต่อเนื่อง  เพื่อเตรียมความพร้อมในการตรวจรับรองมาตรฐานเวอร์ชันใหม่

สำหรับรายละเอียดเพิ่มเติมเกี่ยวกับการเตรียมการรับมือกับมาตรการควบคุมใหม่ 11 ข้อ ของมาตรฐาน ISO 27002:2022 สามารถดูข้อมูลเพิ่มเติมได้ที่ (Ep.1 / Ep.2 / Ep.3 / Ep.4)


หัวข้อสุดท้ายที่ได้พูดคุยกันในสัมมนา กล่าวถึงการเลือกเครื่องมือ GRC ที่จะมาช่วยบริหารจัดการภายในองค์กร และแนวทางในการเลือกอย่างไรให้เหมาะสมกับองค์กรของเรา

โดยได้ผู้เชี่ยวชาญจาก OneTrust มาช่วยให้คำแนะนำการเลือกเครื่องมือ GRC มาใช้งาน พิจารณาจาก 5 สิ่งสำคัญ คือ Data, Outcomes, Metrics, Buy-In และ Board

ในมุมมองความท้าทายของการเลือกเครื่องมือ GRC ที่จะนำมาใช้งาน เพื่อให้ตอบโจทย์กับองค์กร มีมุมมองทางเทคโนโลยีที่ควรคำนึงถึง 5 เรื่องที่สำคัญ คือ Line of Business, Risk Management, Centralized Compliance, Customization และ Value Reporting โดยทาง OneTrust มีเครื่องมือ GRC ที่สามารถรองรับการใช้งานและเพิ่มประสิทธิภาพให้กับแต่ละองค์กร ประกอบด้วย Module ที่เกี่ยวข้องดังนี้

สำหรับ Webinar ในครั้งถัดไปรอติดตามผ่านทุกช่องทางของ ACinfotec ได้เลยนะคะ รับรองไม่ผิดหวังแน่นอนค่ะ หากท่านใดที่ผ่านเข้ามาอ่าน recap นี้ แล้วมีหัวข้อที่สนใจและอยากให้ทีมจัด Webinar ดี ๆ แบบนี้ขึ้นอีก สามารถ inbox มาแจ้งทีมได้ที่ Facebook ของ ACinfotec หรือ Add Line มาพูดคุยกันได้นะคะ

Facebook: @acinfotecthailand

Line id: @acinfotec (มี @)