NEED HELP?
Get the help you need on our official LINE
qrcode
@incognitolab
Add Line Friends via QR Code
Go to LINE’s Add Friends menu Use Search by ID or QR Code to register!
7764_210707
NEWS 07 Jul 2021

Incognito Lab Certified ISO/IEC 27001:2013

IncognitoLab Incognito Lab

เมื่อไม่กี่วันที่ผ่านมานี้ทางเรา Incognito Lab ได้ผ่านการตรวจรับรองและได้รับใบประกาศนียบัตรมาตรฐาน ISO/IEC 27001:2013 ภายใต้ขอบเขต “Cybersecurity consulting and Assessment Services including Penetration testing, Vulnerability Assessment Scanning, Red Teaming, Cyber Drill and Security Awareness Training” จากหน่วยงานผู้ตรวจรับรองมาตรฐาน (Certified Body (CB) Auditor Organization) โดยขอบเขตทั้งหมดครอบคลุม core service ของทางบริษัท เนื่องจากทางผู้บริหารระดับสูงของ Incognito Lab ได้ให้ความสำคัญอย่างมากในการที่จะดูแลข้อมูลลูกค้า รวมถึงการให้คำปรึกษา การให้บริการ และการดำเนินงานของบริษัทอย่างมีคุณภาพและประสิทธิภาพสูงสุดตามมาตรฐานสากล ผ่านทีมผู้เชี่ยวชาญที่มีประสบการณ์ในการทำงานด้าน Cybersecurity มาอย่างยาวนาน

วันนี้เองทางผู้เขียนก็จะมาเล่าให้ฟังสำหรับมาตรฐาน ISO/IEC 27001:2013 เชื่อว่าหลายท่านคงคุ้นเคยกับมาตรฐานฉบับนี้อยู่แล้ว เนื่องจากมาตรฐานฉบับนี้ได้รับความนิยมอย่างมากสำหรับการจัดทำระบบบริหารจัดการด้านความมั่นคงปลอดภัยสารสนเทศ (Information Security Management System: ISMS) ซึ่งมาตรฐานฉบับนี้ปัจจุบันคือเวอร์ชั่น 2013 (และคาดว่าจะมีเวอร์ชั่นใหม่ออกมาภายในปี 2021 นี้ด้วย) โดยมาตรฐานประกอบด้วยส่วนประกอบดังต่อไปนี้

  1. ระบบบริหารจัดการ (Annex SL, Annex: Management System Standard (MSS))

เป็นกิจกรรมที่เกี่ยวข้องกับระดับพัฒนาปรับปรุงอย่างต่อเนื่อง (Continual improvement) ผ่านการทำความเข้าใจบริบทองค์กร การสนับสนุนจากผู้บริหาร การกำหนดวัตถุประสงค์ การวางแผน การบริหารจัดการความเสี่ยง การประเมินผลระบบ และการพิจารณาปรับปรุง โดยในส่วนการปรับปรุงอย่างต่อเนื่องนี้เป็นข้อความจำเป็นหลักของมาตรฐาน ISO ทุกเบอร์ ถึงแม้ปัจจุบันอยู่ในระหว่างการเปลี่ยนโครงสร้างมาตรฐานมาใช้โครงการตาม Annex SL ทั้งหมด การดำเนินการทั้งหมดเพื่อต้องการปรับปรุงระบบที่ดำเนินการให้เป็นระบบบริหารจัดการที่ดียิ่งขึ้นอย่างต่อเนื่อง ซึ่งในความหมายของการปรับปรุงนั้นไม่ได้หมายความว่าการปรับปรุงคือจะต้องเพิ่มกิจกรรม กระบวนการหรือเครื่องมือเพียงอย่างเดียว การปรับปรุงนั้นอาจจะรวมถึงการลดบางกิจกรรม บางกระบวนการหรือบางเครื่องมือ หากการดำเนินการเหล่านั้นช่วยให้ระบบที่ดำเนินการอยู่ดียิ่งขึ้นได้

  • รายการมาตรการควบคุมและวัตถุประสงค์ด้านความมั่นคงปลอดภัยข้อมูลสารสนเทศ (Annex A. Information Security Controls) ในการดำเนินการเพื่อให้ได้รับรองมาตรฐาน บริษัทมีความจำเป็นต้องพิจารณาความเสี่ยงในกิจกรรมที่ดำเนินการและพิจารณานำมาตรการควบคุมไปปรับใช้ โดยมาตรฐานควบคุมทั้งหมดมี 114 มาตรฐานควบคุม ถูกระบุไว้ในทั้งหมด 14 หมวดหมู่ ดังรายละเอียดต่อไปนี้
    • A.5 Information security policies (นโยบายด้านความมั่นคงปลอดภัยข้อมูลสารสนเทศ)
    • A.6 Organization of information security (โครงสร้างด้านความมั่นคงปลอดภัยข้อมูลสารสนเทศ)
    • A.7 Human resource security (การรักษาความมั่นคงปลอดภัยด้านบุคลากร)
    • A.8 Asset management (การบริหารจัดการทรัพย์สินสารสนเทศ)
    • A.9 Access control (การควบคุมการเข้าถึงระบบสารสนเทศ)
    • A.10 Cryptography (การเข้ารหัส)
    • A.11 Physical and environmental security (การรักษาความมั่นคงปลอดภัยทางกายภาพและสภาพแวดล้อม)
    • A.12 Operational security (การรักษาความมั่นคงปลอดภัยด้านการปฏิบัติการสารสนเทศ)
    • A.13 Communication security (การรักษาความมั่นคงปลอดภัยด้านการสื่อสาร)
    • A.14 System acquisition, development and maintenance (การจัดหาร การพัฒนา และการดูแลบำรุงรักษาระบบสารสนเทศ)
    • A.15 Supplier relationships (การทำงานร่วมกับผู้ให้บริการ/บุคคลภายนอก)
    • A.16 Information security incident management (การบริหารจัดการเหตุการณ์ผิดปกติด้านความมั่นคงปลอดภัยข้อมูลสารสนเทศ)
    • A.17 Information security aspects of business continuity management (การบริหารจัดการความต่อเนื่องทางธุรกิจที่เกี่ยวข้องกับด้านการรักษาความมั่นคงปลอดภัยข้อมูลสารสนเทศ)
    • A.18 Compliance (การปฏิบัติตามข้อกำหนด กฎระเบียบ กฎหมาย รวมถึงข้อสัญญาที่เกี่ยวข้อง)

ไม่เพียงแต่เวอร์ชั่นปัจจุบันเท่านั้น ในประเทศไทย กฎหมาย หรือกฎระเบียบที่ถูกประกาศใช้จากภาครัฐ หน่วยงานกำกับ ก็มีเนื้อหาบางส่วนอ้างอิงการดำเนินการมาตรฐานนี้ ทั้งเวอร์ชั่นปัจจุบันปี 2013 รวมถึงเวอร์ชั่นก่อนหน้านี้ด้วย ISO/IEC 27001:2005 ดังจะเห็นได้จากตัวอย่างดังต่อไปนี้

  • ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ เรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศตามวิธีการแบบปลอดภัย พ.ศ. 2555 [อ้างอิงมาตรฐาน ISO/IEC 27001:2005]
  • ประกาศสำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (ก.ล.ต.) ประกาศที่ สธ. 37/2559 และ ประกาศแนวปฏิบัติ ที่ นป. 3/2559 เรื่อง แนวปฏิบัติในการจัดให้มีระบบเทคโนโลยีสารสนเทศ [เนื้อหาส่วนใหญ่ครอบคลุมมาตรฐาน ISO/IEC 27001:2005]
  • ประกาศสำนักงานคณะกรรมการกำกับและส่งเสริมการประกอบธุรกิจประกันภัย (คปภ.) เรื่อง กำหนดหลักเกณฑ์ วิธีการออก การเสนอขายกรมธรรม์ประกันภัยของบริษัทประกันชีวิต และการปฏิบัติหน้าที่ของตัวแทนประกันชีวิต นายหน้าประกันชีวิต และธนาคาร พ.ศ. 2561 [เนื้อหาส่วนใหญ่ครอบคลุมมาตรฐาน ISO/IEC 27001:2005]
  • ประกาศสำนักงานคณะกรรมการกำกับและส่งเสริมการประกอบธุรกิจประกันภัย (คปภ.) เรื่อง หลักเกณฑ์การกำกับดูแลและบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศของบริษัทประกันชีวิต / ประกันวินาศภัย พ.ศ. 2563 [เนื้อหาบางส่วนครอบคลุมมาตรฐานISO/IEC 27001:2013]
  • ประกาศธนาคารแห่งประเทศไทย ที่ สนช. 1/2564 เรื่อง หลักเกณฑ์การกำกับดูแลความเสี่ยงด้านเทคโนโลยีสารสนเทศ (Information Technology Risk) ตามกฎหมายว่าด้วยระบบการชำระเงิน [เนื้อหาบางส่วนในหัวข้อ IT Security สอดคล้องกับมาตรฐาน ISO/IEC 27001:2013]

จากข้อมูลข้างต้นนี้จะเห็นได้ว่าจุดเริ่มต้นเรื่องการบริหารจัดการด้าน Information security ด้าน IT Security และ Cybersecurity สามารถเริ่มต้นได้จากการพิจารณานำมาตรฐาน ISO 27001 นำไปปรับใช้ภายในองค์กร และจะเห็นได้ว่าการดำเนินการงานด้าน ISO 27001 นั้นนอกจากจะช่วยให้องค์กรสามารถสร้างความมั่นใจให้กับผู้มีส่วนได้ส่วนเสียสำหรับการคุ้มครองข้อมูลที่สำคัญ ก็ยังช่วยให้องค์กรเองสามารถปฏิบัติตามกฎหมายด้านความมั่นคงปลอดภัยสารสนเทศได้ไม่มากก็น้อยอีกด้วย อย่างไรก็ตามมีอีกหลายมาตรฐานที่ปัจจุบันหลายหน่วยงานองค์กรนำมาพิจารณาปรับใช้เป็นหลักเกณฑ์ข้อบังคับต่าง ๆ อีกมาตรฐานหนึ่งที่ได้รับความนิยมในประเทศไทยคือมาตรฐาน NIST Cybersecurity Framework (CSF) ผู้เขียนจะขอนำมาเล่าให้ฟังในโอกาสถัดไป

ในปัจจุบันมีความจำเป็นอย่างยิ่งที่จะต้องดูแลข้อมูลสารสนเทศสำคัญชององค์กร ซึ่งถือเป็นหัวใจหลักในการดำเนินธุรกิจ รวมไปถึงทรัพย์สิน (asset) ต่าง ๆ ขององค์กรด้านเทคโนโลยีสารสนเทศที่ทำงานร่วมกับข้อมูลสารสนเทศ เพื่อเป็นการเตรียมการในการป้องกัน รวมไปถึงการออกแบบการรับมือเหตุการณ์ด้านความมั่นคงปลอดภัยสารสนเทศในรูปแบบต่าง ๆ มาตรฐาน ISO 27001 เองก็จะได้รับความนิยมมากขึ้นเรื่อย ๆ และในปัจจุบันเองมาตรฐานฉบับนี้กำลังจะกลายเป็นข้อจำเป็นพื้นฐานในการทำงานร่วมกัน ดังจะเห็นได้จากมาตรฐาน ISO 27001 ได้ถูกกำหนดไว้เป็นส่วนหนึ่งของเอกสารความต้องการโครงการ (Terms of Reference: TOR) ในการยื่นงานทั้งภาครัฐและภาคเอกชน ผู้เขียนคาดว่าในอนาคตอันใกล้นี้มาตรฐานฉบับนี้จะกลายเป็นความจำเป็นพื้นฐาน (minimum requirement) โดยปริยาย สำหรับผู้ที่ต้องการข้อมูลเพิ่มเติมสำหรับมาตรฐาน ISO 27001 นี้ หรือมาตรฐานอื่นใดด้านเทคโนโลยีสารสสนเทศ สามารถติดต่อทีมที่ปรึกษาเราได้ที่ contact@incognitolab.com หรือ 090-642-8988 | 080-089-8800

UP NEXT