ทำความรู้จักและเตรียมความพร้อมสำหรับมาตรฐาน ISO/IEC 27001 เวอร์ชันใหม่
มาตรฐาน ISO/IEC 27001:2013 เป็นมาตรฐานด้านบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ และมาตรการควบคุมในมาตรฐานฉบับนี้ถือว่าเป็นชุดมาตรการควบคุมที่ได้รับการยอมรับ และถูกนำไปปรับใช้อย่างแพร่หลาย ในประเทศไทย
และเมื่อไม่นานมานี้ มาตรฐาน ISO/IEC 27001:2013 อยู่ในช่วงการปรับปรุงเนื้อหามาตรฐาน ซึ่งปกติแล้วมาตรฐานจะมีการปรับปรุงทุก ๆ 8-10 ปี จากการคาดการณ์ มาตรฐานฉบับนี้จะถูกปรับปรุงแล้วเสร็จและประกาศใช้อย่างเป็นทางการภายในปี 2022
หลังจากที่ทาง ISO ได้มีการประกาศ ISO/IEC 27002:2022 อย่างเป็นทางการเมื่อวันที่ 15 กุมภาพันธ์ 2022 ที่ผ่านมา ซึ่งเอกสารฉบับนี้เป็นเอกสารที่ถูกใช้งานคู่กับเอกสาร ISO/IEC 27001 ซึ่งเป็นเอกสาร “Requirements” หมายถึงเอกสารความต้องการหากองค์กรต้องการขอรับรองมาตรฐานด้านความมั่นคงปลอดภัยสารสนเทศ ISO/IEC 27001 จากสถาบัน ISO โดยผ่านการตรวจรับรองจากบริษัทผู้ตรวจสอบ Certification Body (CB)
ส่วนเอกสาร ISO/IEC 27002 เป็นเอกสาร “Code of practice for information security controls” ซึ่งเป็นเอกสารที่อธิบายแนวทางการนำมาตรการควบคุมด้านความมั่นคงปลอดภัยไปปรับใช้ภายในองค์กร ควบคู่กับการบริหารจัดการความเสี่ยงด้านความมั่นคงปลดภัยสารสนเทศ โดยเนื้อหาขยายความจาก Annex A (Reference control objectives and controls)
การเปลี่ยนแปลงเวอร์ชัน 2013 เป็นเวอร์ชัน 2022 ได้มีการเปลี่ยนไปจากเดิมใน 3 ส่วนดังต่อไปนี้
- ●การเปลี่ยนแปลงชื่อบางมาตรการควบคุม เพื่อให้ชัดเจนยิ่งขึ้น
- ●การเปลี่ยนโครงสร้าง รวมถึงการใช้อนุกรมวิธาน (Taxonomy) เพื่อความชัดเจนและเข้าใจง่ายมากยิ่งขึ้น
- ●การรวม การลบ การเพิ่มมาตรการควบคุมใหม่
ในส่วนรายละเอียดของการเปลี่ยนแปลงโครงสร้าง คือ มีการปรับ Clauses ของเอกสารจากเดิม 14 security control clauses (domains) ในเวอร์ชัน 2013 เป็น Clause 5-8 ใน เวอร์ชัน 2022 โดยประกอบด้วยเนื้อหาดังต่อไปนี้
- ●Clause 5 Organizational controls
- ●Clause 6 People controls
- ●Clause 7 Physical controls
- ●Clause 8 Technological controls
นั่นหมายความว่า จากเดิมที่เคยเรียกกันกว่า 14 security control clauses (domains) จะหายไปและถูกแทนด้วยคำว่า 4 Clauses ตาม Clause 5-8 ซึ่งเป็นหมวดหมู่ของมาตรการควบคุมใหม่ที่ถูกกำหนดในเวอร์ชันนี้ โดยหมวดหมู่ตาม Clause 5-8 นั้นสามารถอธิบายในส่วนของรูปแบบและคุณลักษณะของมาตรการควบคุมในแต่ละหมวดหมู่ดังต่อไปนี้
- ●People เป็นกลุ่มมาตรการควบคุมด้านบุคลากร
- ●Physical เป็นกลุ่มมาตรการควบคุมด้านกายภาพ
- ●Technical เป็นกลุ่มมาตรการควบคุมด้านเทคนิค
- ●Organizational เป็นกลุ่มมาตรการควบคุมด้านการบริหารจัดการองค์กร
หากดูในรายละเอียดของมาตรการควบคุม เวอร์ชัน 2013 มีทั้งหมด 114 มาตรการควบคุม ส่วนเวอร์ชัน 2022 มีทั้งหมด 93 มาตรการควบคุม ซึ่งเหมือนว่ามาตรการควบคุมลดลง แต่หากดูในเนื้อหาโดยละเอียดแล้วนั้น มาตรการควบคุมเดิมประมาณ 20 มาตรการควบคุมที่หายไป ซึ่งไม่ได้ถูกตัดออกไปจริง ๆ แต่เป็นการรวมเนื้อหาให้สอดคล้องกับหมวดหมู่มาตรการควบคุมใหม่
หากดูในรายละเอียดแต่ละมาตรการควบคุมทั้ง 93 มาตรการควบคุมนั้น จะมีการให้รายละเอียดในส่วนของคุณลักษณะเฉพาะ (Attribute) ของแต่ละมาตรการควบคุม โดยมีทั้งหมด 5 คุณลักษณะเฉพาะดังนี้
- Control types ประเภทของมาตรการควบคุม 3 แบบ
[Preventive, Detective, Corrective]
- Information security properties คุณสมบัติด้าน Information security 3 ด้าน
[Confidentiality, Integrity and Availability]
- Cybersecurity concepts หลักการด้าน Cybersecurity 5 ด้าน
[Identify, Protect, Detect, Respond and Recover]
- Operation capabilities สมรรถภาพการดำเนินงานขององค์กร 14 ด้าน
[Governance, Asset management, Information protection, Human resource security, Physical security, System and network security, Application security, Secure configuration, Identity and access management, Threat and vulnerability management, Continuity, Supplier relationships security, Legal and compliance, Information security event management and Information security assurance]
- Security domains โดเมนด้านความปลอดภัย 4 ด้าน
[Governance and Ecosystem, Protection, Defence and Resilience]
- 15
โฆษณา
- ดาวน์โหลดแอปพลิเคชัน
- © 2024 Blockdit
