[Interlink Telecom] ISO27002 Control ใหม่ ที่น่าจับตามองในปี 2022 ระบบบริหารจัดการด้านการรักษาความมั่นคงปลอดภัยของข้อมูล (Information Security Management System : ISO/IEC27000) ได้ชื่อว่าเป็นเครื่องมือที่มีบทบาทสำคัญที่ช

สำรวจ
ลงทุน
คำถาม

มีบัญชีอยู่แล้ว?หรือ

•

23 มี.ค. 2022 เวลา 12:07 • วิทยาศาสตร์ & เทคโนโลยี

ISO27002 Control ใหม่ ที่น่าจับตามองในปี 2022

ระบบบริหารจัดการด้านการรักษาความมั่นคงปลอดภัยของข้อมูล (Information Security Management System : ISO/IEC27000) ได้ชื่อว่าเป็นเครื่องมือที่มีบทบาทสำคัญที่ช่วยให้องค์กรสามารถประยุกต์ใช้ตัวควบคุมต่างๆ ของมาตรฐาน

จัดการกับข้อมูลที่สำคัญได้อย่างมีประสิทธิภาพ การทบทวนตัวควบคุมในมาตรฐาน ISO 27002 ได้เปลี่ยนผ่านจากเวอร์ชันปี 2013 สู่เวอร์ชันปี 2022

ซึ่งแน่นอนว่าเป็นที่น่าสนใจอย่างยิ่ง ว่าจะมีตัวควบคุมอะไรใหม่ๆ ที่จะเข้ามาแทนที่ตัวควบคุมเดิม จะเหมาะสมหรือจะกระทบกับองค์กรในด้านใดบ้าง

เราจะมาทำความเข้าใจกันในคอลัมน์นี้ครับ แต่ก่อนอื่นเราอาจต้องมาทบทวนกันสักนิดว่า ISO27001 กับ ISO 27002 ต่างกันอย่างไร จะได้คลายข้อสงสัยให้กับผู้อ่านกันครับ

★
ISO/IEC27001 คืออะไร

ISO/IEC27001 คือ มาตรฐานที่องค์กรสามารถขอการรับรองว่าองค์กรมีระบบบริหารจัดการด้านการรักษาความมั่นคงปลอดภัยของข้อมูล จากผู้ให้การรับรองที่มีความน่าเชื่อถือ ซึ่งมีผู้ให้การรับรองมาตรฐานนี้อยู่หลายราย (Certification Body)

เราคงปฏิเสธไม่ได้ว่าข้อมูลเป็นสิ่งสำคัญและมีมูลค่ามหาศาล ซึ่งแต่ละองค์กรก็จะมีวิธีการจัดการข้อมูลเหล่านั้นตามความเหมาะสม แต่ท้ายที่สุดแล้วเครื่องมือที่สำคัญที่จะช่วยให้ลูกค้ามีความมั่นใจและสามารถเข้าถึงความน่าเชื่อถือได้ง่ายขึ้นคือ Certification

การเลือกใช้ตัว Control ใดๆที่จะนำมาประยุกต์ใช้กับกระบวนการในการบริหารจัดการข้อมูลต่างจะถูกกำหนดโดยองค์กรที่จะต้องคำนึงถึงความเหมาะสมและถูกต้องตามข้อกำหนด

ซึ่งจะสามารถเลือกใช้จาก ISO27002 ซึ่งเป็นGuidance ให้กับองค์กรสามารถเลือกใช้ตัวควบคุมได้อย่างมีประสิทธิภาพ

★
ISO/IEC27002 คืออะไร

ISO/IEC27002 คือ เอกสารแนวทางการนำตัวควบคุมการบริหารจัดการด้านการรักษาความมั่นคงปลอดภัยของข้อมูลไปประยุกต์ใช้ภายในองค์กร (Code of practice for information security controls)

ซึ่งในอดีตจนถึงปัจจุบันเราจะคุ้นเคยกับการจัดแบ่งข้อกำหนดในเอกสารแบบ 14 Security Control Clause (Domains) แต่ในเวอร์ชันใหม่นี้ จะถูกแทนที่ด้วย 4 Clause โดยจะแบ่งออกเป็น 4 ด้านของมาตรการควบคุมดังนี้

■
ด้านบุคลากร (People)
■
ด้านกายภาพ (Physical)
■
ด้านเทคนิค (Technical)
■
ด้านการบริหารจัดการองค์กร

การเปลี่ยนแปลงข้อกำหนดของ ISO/IEC27002 ในครั้งนี้ในภาพรวมถือว่ามีการเปลี่ยนแปลงทั้งรูปแบบการกำหนดมาตรการจากเดิมที่มีอยู่ 114 มาตรการควบคุม คงเหลือเพียง 93 มาตรการควบคุม

แต่ถ้าหากลงไปดูในรายละเอียดมาตรการควบคุมแล้ว เป็นเพียงการรวมมาตรการเข้าด้วยกัน เพื่อให้สอดคล้องกับการจัดแบ่งมาตรการตามหมวหมู่ทั้ง 4 ด้าน ในเนื้อหาสาระ ไม่ได้มีการลดหย่อนตัวมาตรการลงแต่อย่างใด

หากแต่ยังมีตัวมาตรการใหม่ๆ ที่เพิ่มขึ้นมาอีก 11 มาตรการควบคุม ใน 3 หมวหมู่คือ กายภาพ เทคนิด และการบริหารจัดการองค์กร

ในภาพรวมแล้วการเปลี่ยนแปลงข้อกำหนดต่างๆของ ISO/IEC27002 ในเวอร์ชันปี 2022 นี้ เป็นการเปลี่ยนแปลงข้อกำหนด ที่มีทั้งการเพิ่ม ลด และควบรวมมาตรการควบคุมต่างๆ

โดยมุ่งเน้นเนื้อหาสาระไปที่การจัดหมวดหมู่ที่มีความเข้าใจมากขึ้น และการให้ความสำคัญกับมาตรการควบคุมที่เกี่ยวกับการบริหารเทคโนโลยีใหม่ๆ ที่เกิดขึ้นในโลกของข้อมูลในปัจจุบัน ที่มีการเปลี่ยนแปลงไปอย่างรวดเร็ว

แต่ก็ยังมีตัวช่วยต่างๆ ที่สามารถให้องค์กรเลือกใช้มาตรการให้เหมาะสมอย่างมีประสิทธิภาพอย่างมาตรฐาน ISO/IEC27002

Website : https://www.interlinktelecom.co.th/th/index.php

Facebook : https://www.facebook.com/interlinktelecom.co.th/

โฆษณา

ดาวน์โหลดแอปพลิเคชัน

ดาวน์โหลดแอปพลิเคชัน