มาตรฐานความปลอดภัย ISO 27001
มาตรฐานความปลอดภัย ISO 27001 หรือชื่อเต็มคือ ISO/IEC 27001:2005 - Information technology -- Security techniques -- Information security management systems – Requirements หรือเรียกอีกชื่อว่า ISMS เป็นมาตรฐานสากลที่กล่าวถึงระบบบริหารความมั่นคงปลอดภัยของสารสนเทศ เป็นส่วนหนึ่งในระบบบริหารจัดการขององค์กร ซึ่งมีพื้นฐานมาจากแนวทางการจัดการความเสี่ยงของธุรกิจ มีวัตถุประสงค์เพื่อรักษาไว้ซึ่งความลับ (Confidentiality) ความถูกต้องครบถ้วน (Integrity)
และความพร้อมใช้งาน (Availability) ของข้อมูลสารสนเทศ รวมทั้งทรัพย์สินอื่นๆ ที่มีความสำคัญขององค์กร ในอันที่จะสร้าง ดำเนินการ นำมาใช้ ตรวจสอบ วัดผล ทบทวน บำรุงรักษา และปรับปรุงระบบบริหารความมั่นคงปลอดภัย เพื่อให้องค์กรรอดพ้นจากภัยคุกคามต่างๆ ซึ่งทั้งนี้มาตรฐาน ISO 27001 สามารถนำมาใช้ได้กับทุกๆ ประเภทขององค์กรที่เกี่ยวข้องกับความมั่นคงปลอดภัย ไม่ว่าจะองค์กรขนาดใดก็ตาม
ที่มาของ ISO 27001
ก่อนที่จะมาเป็นมาตรฐานสากลนี้ มาตรฐาน ISO 27001 ได้ปรับปรุงมาจากมาตรฐานเดิมที่ชื่อว่า BS 7799 โดยได้พัฒนามาจาก BS7799 Part 2 : 2002 โดยถูกนำมาจัดรวมไว้ในมาตรฐานตระกูล ISO 27000 โดยมี
ISO/IEC 27000 – แนะนำมาตรฐานของตระกูล 27000 และแสดงศัพท์และนิยามที่ใช้ในมาตรฐาน (ถูกปรับปรุงล่าสุดในปี 2009)
ISO/IEC 27001 – มาตรฐานการสร้าง, ควบคุม และพัฒนาระบบ Information Security Management System (พัฒนามาจาก British Standard BS 7799 Part 2, ประกาศเป็น ISO/IEC ในปี 2005)
ISO/IEC 27002 – เป็นวิธีปฏิบัติที่ดีที่สุด ของการควบคุมความมั่นคงปลอดภัย (ชื่อเดิมคือ ISO/IEC 17799 ซึ่งพัฒนามาจาก British Standard BS 7799 Part 1 ถูกปรับปรุงล่าสุดในปี 2005 และเปลี่ยนชื่อมาเ
ป็น ISO/IEC 27002:2005 ในเดือนกรกฎาคม 2007).
ISO/IEC 27005 – เป็นมาตรฐานการบริหารจัดการความเสี่ยง Information Security Risk Management (พัฒนามาจาก British Standard BS 7799 Part 3, ประกาศเป็น ISO/IEC ในปี 2008).
อย่างไรก็ตามมาตรฐาน ISO 27001 นี้เป็นมาตรฐานเดียวในตระกูล ISO 27000 ที่ถูกออกแบบมาสำหรับการตรวจประเมิน (Certification) นั่นคือหากองค์กรใดได้จัดทำระบบตามมาตรฐานนี้ครบถ้วนตามความต้องการที่กำหนดไว้แล้ว องค์กรดังกล่าวสามารถยื่นคำขอไปยังหน่วยงานรับตรวจประเมินระบบ (Certification Body) เพื่อให้เข้ามาดำเนินการตรวจประเมินและรับรองระบบที่จัดทำขึ้นได้ การที่องค์กรหนึ่งได้รับการรับรองว่าเป็นองค์กรที่มีประสิทธิภาพการดำเนินงานในระดับมาตรฐานสากล ย่อมส่งผลดีต่อทั้งภาพลักษณ์องค์กรและศักยภาพในการแข่งขันเชิงธุรกิจ
รายละเอียดของ ISO 27001
มาตรฐาน ISO 27001 ว่าด้วยเรื่องของข้อกำหนดในการจัดทำระบบบริหารจัดการความมั่นคงปลอดภัยหรือ ISMS ให้กับองค์กร ปัจจุบันมาตรฐานนี้ ได้รับความนิยมอย่างแพร่หลาย เนื่องจากประกอบด้วยวงจร Plan-Do-Check-Act และใช้แนวทางการประเมินความเสี่ยงมาประกอบการพิจารณาหาวิธีการหรือมาตรการเพื่อป้องกัน ลดความเสี่ยง และรักษาทรัพย์สินสารสนเทศที่มีค่าขององค์กรให้มีความมั่นคงปลอดภัยในระดับที่เหมาะสม ซึ่งมีหัวข้อที่เกี่ยวข้องคือ
1. ขอบเขต (Scope)
2. ศัพท์เทคนิคและนิยาม (Terms and definitions)
3. โครงสร้างของมาตรฐาน (Structure of this standard)
4. การประเมินความเสี่ยงและการจัดการกับความเสี่ยง โดยการ ลด / โอนย้าย / ยอมรับความเสี่ยง (Risk assessment and treatment)
เนื้อหาแบ่งออกเป็น 11 โดเมน (Domain) ซึ่งแต่ละโดเมนประกอบด้วยวัตถุประสงค์แตกต่างกัน รวมแล้วจำนวน 39 วัตถุประสงค์ (Control objectives) และภายใต้วัตถุประสงค์แต่ละข้อประกอบด้วยมาตรการในการรักษาความมั่นคงปลอดภัยแตกต่างกันรวมแล้ว 133 ข้อ (Controls) ซึ่งสามารถนำไปประยุกต์ใช้เพื่อรักษาความมั่นคงให้กับระบบสารสนเทศขององค์กร
โดยหัวข้อใหญ่ทั้ง 11 หัวข้อมีดังนี้
1. นโยบายความมั่นคงปลอดภัย (Security policy)
2. โครงสร้างทางด้านความมั่นคงปลอดภัยสำหรับองค์กร (Organization of information security)
3. การบริหารจัดการทรัพย์สินขององค์กร (Asset management)
4. ความมั่นคงปลอดภัยที่เกี่ยวข้องกับบุคลากร (Human resources security)
5. การสร้างความมั่นคงปลอดภัยทางกายภาพและสิ่งแวดล้อม (Physical and environmental security)
6. การบริหารจัดการด้านการสื่อสารและการดำเนินงานของเครือข่ายสารสนเทศขององค์กร (Communications and operations management)
7. การควบคุมการเข้าถึง (Access control)
8. การจัดหา การพัฒนาดู และการบำรุงรักษาระบบสารสนเทศ (Information systems acquisition, development and maintenance)
9. การบริหารจัดการเหตุการณ์ที่เกี่ยวข้องกับความมั่นคงปลอดภัยขององค์กร (Information security incident management)
10. การบริหารความต่อเนื่องในการดำเนินธุรกิจ (Business continuity management)
11. การปฏิบัติตามข้อกำหนด (Compliance)
ISO 27001 ในประเทศไทย
เป็นที่ทราบกันโดยทั่วไปในปัจจุบันว่า ประเทศไทยมีกฎหมายด้านเทคโนโลยีสารสนเทศและการสื่อสารที่เรารู้จักกันดีและถูกบังคับใช้แล้วอยู่ 3 ฉบับ ได้แก่ พรบ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ.2544 ฉบับที่ 1 พรบ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2551 ฉบับที่ 2 และพรบ.ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550
โดยรายละเอียดของกฎหมายลูกหรือพระราชกฤษฎีกาที่ถูกประกาศใช้ในราชกิจจานุเบกษาเพื่อช่วยเสริมเพิ่มเติมรายละเอียดการบังคับใช้กฎหมายหลัก หรือ พระราชบัญญัติว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ.2544 และ พ.ศ.2551 นั้นสรุปได้ดังนี้
จะเห็นได้ว่ามี ร่างพระราชกฤษฏีกากำหนดวิธีการแบบ(มั่นคง) ปลอดภัยในการประกอบธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. … อ้างอิงมาตรา 25 ของพรบ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ.2544 และมาตรฐานสากล ISO/IEC 27001 ซึ่งกำลังอยู่ในระหว่างการจัดทำเพื่อจะนำมาใช้ในอนาคตอันใกล้
ดังนั้นหลังจากร่างพระราชกฤษฎีกากำหนดวิธีการแบบ(มั่นคง)ปลอดภัย ในการประกอบธุรกรรมอีเล็กทรอนิกส์ตามมาตรา 25 ของ พรบ.ว่าด้วยธุรกรรมฯ มีผลบังคับใช้ก็จะหมายความว่าทุกองค์กรในประเทศไทยที่ประกอบธุรกรรมทางอิเล็กทรอนิกส์ ต้องนำเอามาตรฐาน ISO/IEC 27001 มาประยุกต์ใช้ในองค์กรตามข้อกำหนดในพระราชกฤษฎีกาอย่างหลีกเลี่ยงไม่ได้ในที่สุด
โดย คณะอนุกรรมการด้านความมั่นคง ใน คณะอนุกรรมการธุรกรรมทางอิเล็กทรอนิกส์ ร่วมกับ ศูนย์เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติ (NECTEC) ได้ออกเอกสารเผยแพร่ที่เกี่ยวข้องไว้ 2 ฉบับ คือ
1. มาตรฐานการรักษาความมั่นคงปลอดภัยในการประกอบธุรกรรมทางอิเล็กทรอนิกส์ เวอร์ชั่น 2.5 – 25 มกราคม 2551
2. ร่างแนวทางปฏิบัติสำหรับการรักษาความมั่นคงปลอดภัยสารสนเทศ - 28 เมษายน 2552
ซึ่งเอกสารทั้ง 2 ฉบับ สามารถเข้าไป download ได้ที่ http://thaicert.nectec.or.th/paper/basic.php
ปัจจุบัน (เดือน กรกฎาคม 2552) มีองค์กรในประเทศไทยที่ได้รับใบรับรอง ISO 27001 แล้วจำนวน 19 องค์กร โดยมีจำนวนใบรับรองทั้งหมด 20 ใบรับรอง ตามตาราง
| Name of the Organization | ISMS Scope | Certificate Number | Certification Body |
| ACIS PROFESSIONAL CENTER CO., LTD. | THE SECURITY MANAGEMENT OF AN EMAIL SYSTEM AND WEBSITE UNDER ACISONLINE.NET. | IND82085 | Bureau Veritas Certification |
| AEON Thana Sinsap (Thailand) Public Company Limited | Retail Finance Business comprising Credit Card, Loan, Hire Purchase and Factoring covering the following departments and offices: Head Office: Finance & Accounting, Human Resource & Administration, Marketing; Management Information System Departments, Legal Office and Corporate Quality Secretariat Office Bangkok Center: Collection, Credit Control, Customer Service, Human Resource & Administration and Management Information System Departments | 226912 | Bureau Veritas Certification |
| CAT Telecom Public Company Limited | Provisioning for the operation, management and maintenance of Co-location, Dedicated Server and Shared Web-hosting Services, including the infrastructure required to support the provision of stated services. Statement of Applicability: Version 1.1 dated 17 June 2008 | 44 121 081197 | TUV NORD CERT GmbH |
| CITCOMS Innovation Center (Center for Information Technology and Communication Service) | INFORMATION SECURITY MANAGEMENT SYSTEM APPLIED TO: 1. Network Operation Service & development; 2. Software & Web Development; 3. Media Production; 4. Internet Access service. Statement Of Applicability V.1 Date 05/03/2008 | 231787 | Bureau Veritas Certification |
| Government Information Technology Services | The Information Security Management System (ISMS) includes the Certification Authority (CA) Service, which is operated under the Public Key Infrastructure (PKI) Department (EODP) of Engineering and Operation Division (EOD) of Government Information Technology Services (GITS). This is in accordance with Statement of Applicability Rev. 3 of 29th November 2006. | IS 512421 | BSI |
| LOXDATA CO., LTD. | Full-Service Call Center, Software and Application Development, Applying for the Right Telephone Numbers, Telemarketing, Telesales, Televoting, Help Desk, Home Delivery Service, Information Center (SOA 01/06/07). | 26807 | United Registrar of Systems Ltd |
| Metropolitan Electricity Authority | The operation and management of strong room and related infrastructure for the provision of co-location service, where related infrastructure refers to the following:1. Internetworking, 2.Air-conditioning, 3. Uninterrupted Power Supply, 4. Power, 5. Physical Security | 44 121 080827 | TUV NORD CERT GmbH |
| National Credit Bureau Co., Ltd. | CREDIT INFORMATION SYSTEMS INCLUDING CREDIT DATA COLLECTION, PROCESSING AND ENQUIRY PROCESS. | IND82109 | Bureau Veritas Certification |
| NIIT TECHNOLOGIES LIMITED | Managed Services Center providing following services - SAP Application Maintenance and Support, Network Operation & Support, System Operation & Support, Provisioning of Infrastructure Support including Disaster Recovery. This is in accordance with statement of Applicability V 1.5 of 26th January, 2007. | IND92038 | Bureau Veritas Certification (Thailand) Ltd. |
| NIIT Technologies Limited | Managed Services Center Providing following services: 1. SAP Application Maintenance and Support; 2. Network Operation and Support; 3. System Operation and Support; 4. Provisioning of Infrastructure & Disaster Recovery Services | IS 97438 | BSI |
| Processing Center Company Limited | Font-End ATM servie and e-Payment Service. Statement of Applicability SD-RA-03-OS-ISMS-TDID Revision 00 Seq No. 001/2550 effective date 22 August 07 | 227114A | Bureau Veritas Certification |
| SAMART CORPORATION PUBLIC COMPANY LIMITED, THAILAND. | Samart data center which includes enterprise email service, wide area network service (WAN), storage area network service (SAN) and supporting infrastructure and facilities. Statement of Applicability Version 1.0 dated 20 October 2006. | 204505 | Bureau Veritas Certification |
| Satyam Computer Services Limited - Bangkok | ALL INFORMATION AND INFORMATION PROCESSING ASSETS (SUCH AS LAN, WAN, DEDICATED LINKS, DESK TOPS AND SERVERS) OF BUSINESS AREAS OF SATYAM LOCATED WORLDWIDE FOR DEVELOPMENT OF SOFTWARE SOLUTIONS, ENGINEERING SOLUTIONS AND CONSULTING SERVICES | 52323/G | Bureau Veritas Certification |
| Siemens AG | IT Service Management and Outsourcing worldwide | 302147 ISMS | DQS |
| TELE INTEL CO., LTD. | Business Outsource Focusing on Telemarketing, IT Outsource, Facility Rental, Database Management (The Certificate Reference the Client's Statement of Applicability Date 13 June 2007) | 17785 | United Registrar of Systems Ltd |
| Teleintel Co. Ltd | Outsource Direct and Telemarketing Contact Centre. (The Certificate references the client's Statement of Applicability dated 02 June 2004). | 17785 B | United Registrar of Systems Ltd |
| Thai Digital ID Company Limited | Certification Authority Hosting service and Certification Authority Service. Statement of Applicability SD-RA-03-OS-ISMS-TDID Revision 00 Seq No. 001/2550 effective date 22 August 07 | 227114B | Bureau Veritas Certification |
| True Corporation Public Company Limited & True Move Company Limited | IT systems and corporate data network which serve, manage and/or support business activity, information and operation of the Information Technology (Infrastructure) Department and Information Technology (Application) Department of True Corporation Public Company Limited (“True”) and True Move Company Limited (“True Move”) | 44 121 090367 | TUV NORD CERT GmbH |
| True Internet Data Center Co., Ltd. | The ISMS applies to co-location data centre services provided (including internet bandwidth, infrastructure, facility and network management), and the support services (including infrastructure monitoring) from the data centres located at TRUE Tower Data Centre (TT14 and TT12B) and Muangthongthani Data Centre (MTG), in accordance with the Statement of Applicability FR-MG-17 Ver 2.0 dated 15/05/2008. | IS 536234 | BSI |
| United Nations | Service delivery of Local Area Network (LAN) resources within the United Nations Economic and Social Commission for Asia and the Pacific (UNESCAP) community. This is in accordance with the Statement of Applicability revision 2.2 dated March 5, 2009. | IS549322 | BSI Management Systems |
บรรณานุกรม
http://thaicert.nectec.or.th/paper/basic.php
http://thaicert.nectec.or.th/paper/basic/Book_2.5_FullVersion.pdf
http://thaicert.nectec.or.th/paper/basic/procedure_ISO17799-2005.pdf
http://www.gits.net.th/iso27001/iso27001.asp
http://www.iso27001certificates.com/
http://webhost.mots.go.th/knowledge/home/course4th_ISARA.pdf
http://www.tuv.com/th/_iso_27001.html
http://www.ieat.go.th/cms.php?lang=th&action=view&item=1192
http://www2.ftpi.or.th/th/knwinf_pcornerdetail.php?pdtlid=578
http://www.27005.net/thestandards.htm
http://gotoknow.org/blog/post-rg9/134160
http://imclub.spaces.live.com/blog/cns!5F40768134F6EB55!241.entry?sa=184545727
http://www.acisonline.net/article/?p=10
http://www.27001.com/27001.aspx
http://www.27000.org/iso-27001.htm
http://en.wikipedia.org/wiki/ISO/IEC_27002
http://www.uih.co.th/mss_article/Prinya/IT_ISMS.htm
http://en.wikipedia.org/wiki/ISO_27001
http://en.wikipedia.org/wiki/ISO/IEC_27000-series
http://standards.iso.org/ittf/PubliclyAvailableStandards/c041933_ISO_IEC_27000_2009.zip
ไม่มีความคิดเห็น:
แสดงความคิดเห็น