OpenLandscape ผ่านการรับรองมาตรฐาน ISO/IEC 20000 เพื่อรองรับความน่าเชื่อถือ และสามารถให้บริการที่มีคุณภาพ ทั้งด้านการให้บริการระบบและการใช้งานเทคโนโลยีที่ตรงตามความต้องการของผู้ใช้บริการ รวมถึงมีการรักษาความปลอดภัยที่ได้รับการดูแลจากผู้เชี่ยวชาญเป็นอย่างดี เป็นไปตามมาตรฐาน ISO/IEC 27001 ในเรื่องการจัดการระบบการรักษาความปลอดภัยข้อมูลองค์กรในระดับสากล
ISO คืออะไร ?
ISO ย่อมาจาก International Organization for Standardization คือ มาตรฐานการวัดคุณภาพขององค์กรต่าง ๆ เพื่อรับรองการบริหารและการดำเนินงานขององค์กรในแต่ละประเทศให้เป็นมาตรฐานเดียวกันทั่วโลก ช่วยทำให้ผู้ใช้บริการมีความมั่นใจต่อสินค้าและบริการว่าได้รับการคุ้มครองในเรื่องคุณภาพและความปลอดภัย
IEC คืออะไร ?
IEC ย่อมาจาก International Electrotechnical Commission คือ องค์กรระหว่างประเทศสาขาอิเล็กทรอนิกส์ เพื่อจัดทำมาตรฐานทางด้านไฟฟ้า, อิเล็กทรอนิกส์ และเทคโนโลยีที่เกี่ยวข้อง รวมถึงการจัดทำระบบการตรวจประเมิน เพื่อรับรองคุณภาพให้กับมาตรฐานของ IEC ทำให้การออกแบบ, การผลิต การใช้งานอุปกรณ์ไฟฟ้าและอิเล็กทรอนิกส์ไปในทิศทางเดียวกัน
มาตรฐาน ISO 27001 คืออะไร ?
มาตรฐาน ISO/IEC 27001 เป็นมาตรฐานระดับสากลในการจัดการด้านระบบการรักษาความปลอดภัยข้อมูลองค์กร (Information Security Management Systems: ISMS) มาจากนโยบายและวิธีการต่าง ๆ โดยวิเคราะห์ความเสี่ยงจากจุดอ่อนหรือช่องโหว่ของระบบ และหาวิธีปกป้องข้อมูลจากภัยคุกคามภายนอก เช่น การถูกโจรกรรมข้อมูลจากแฮกเกอร์ (Hacker) เป็นต้น
การได้รับมาตรฐาน ISO/IEC 27001 ต้องผ่านการประเมินความเสี่ยง, การสร้างกลยุทธ์ และการป้องกันการคุกคามจากภายนอก โดยกระบวนการจัดการความเสี่ยงตามมาตรฐาน ISO/IEC 27001
4 องค์ประกอบสำคัญในการนำ ISO/IEC 27001 มาใช้ในองค์กร มีอะไรบ้าง ?
- การจัดทำระบบ (Establish) คือ การเตรียมแผนงาน เพื่อปกป้องข้อมูลภายในองค์กรให้มีความปลอดภัย
- การนำไปปฏิบัติ (Implement) คือ การทำตามแผนงานที่วางไว้ เพื่อให้สามารถนำแผนงานไปปฏิบัติได้จริง โดยไม่มีข้อผิดพลาด
- การรักษาไว้ (Maintain) คือ การนำแผนงานไปปฏิบัติควบคู่การทำงานตามปกติ เพื่อรักษามาตรฐานตามที่กำหนดไว้
- การปรับปรุงอย่างต่อเนื่อง (Continual Improvement) คือ การทบทวนและปรับปรุงระบบอย่างสม่ำเสมอ เพื่ออุดช่องโหว่สำหรับการลดประสิทธิภาพในด้านความปลอดภัย รวมถึงจัดทำเอกสาร คู่มือ และบันทึกข้อมูลให้มีความสอดคล้องกับสถานการณ์ในปัจจุบัน เพื่อให้สามารถแก้ไขข้อมูลได้อย่างทันที
3 ระบบการรักษาความปลอดภัยข้อมูลที่สำคัญขององค์กร ในการนำ ISO/IEC 27001 มาใช้มีอะไรบ้าง ?
ระบบการรักษาความปลอดภัยข้อมูลที่สำคัญขององค์กร ในการนำ ISO/IEC 27001 มาใช้ มี Model ที่เรียกว่า CIA ย่อมาจาก Confidentiality, Integrity และ Availabilityโดยมีรายละเอียด ดังนี้
- การรักษาความลับ (Confidentiality) คือ การรักษาข้อมูลขององค์กร โดยห้ามเผยแพร่ข้อมูลให้กับบุคคลอื่นที่ไม่ได้รับอนุญาต ซึ่งเป็นข้อมูลที่เข้าได้เฉพาะผู้ที่มีสิทธิเข้าถึงเท่านั้น เพื่อป้องกันการรั่วไหลของข้อมูลออกไปสู่ภายนอก
- ความครบถ้วนถูกต้อง (Integrity) คือ การปกป้องความถูกต้องของข้อมูล ไม่ให้ถูกบุคคลภายนอกเข้ามาทำการเปลี่ยนแปลง แก้ไข และก่อให้เกิดความเสียหายได้ และเพื่อป้องกันไม่ให้ข้อมูลสูญหายหรือเกิดความเสียหาย ควรให้สิทธิการเปลี่ยนแปลงข้อมูลเฉพาะผู้ที่ได้รับอนุญาตเท่านั้น
- ความพร้อมใช้งาน (Availability) คือ การเตรียมความพร้อมสำหรับการใช้งานข้อมูลหรือทรัพยากรได้อยู่เสมอ เพื่อให้ผู้ใช้งานสามารถเข้าถึงได้ทุกครั้ง ตามความต้องเสมอ และควรมีการสำรองข้อมูลเมื่อเกิดเหตุอุปกรณ์ขัดข้องหรือเหตุการณ์ที่ไม่คาดฝัน เพื่อป้องกันความเสียหายร้ายแรงที่อาจเกิดขึ้น
แนวทางการบริหารความมั่นคงปลอดภัยสารสนเทศของ ISO/IEC 27001 มีอะไรบ้าง ?
การนำแนวทางการบริหารความมั่นคงปลอดภัยสารสนเทศของ ISO/IEC 27001 มาประยุกต์ใช้ให้สอดคล้องกับธุรกิจขององค์กร ผ่านมาตรฐานการจัดการระบบตามแบบ PDCA ย่อมาจาก Plan, Do, Check และ Act ซึ่งเป็นกระบวนการที่สามารถทำซ้ำเป็นวงจรได้ โดยมีรายละเอียด ดังนี้
- กระบวนการวางแผน (Plan) คือ การตั้งเป้าหมายจากปัญหา แล้ววางแผนรับมืออย่างเหมาะสม เพื่อป้องกันการเกิดข้อผิดพลาดและแก้ปัญหาได้อย่างทันท่วงที
- การนำไปปฏิบัติ (Do) คือ การดำเนินตามแผนที่กำหนดไว้ รวมถึงเก็บข้อมูลตลอดระยะการดำเนินงาน เพื่อนำไปปรับใช้ให้เกิดประสิทธิภาพมากยิ่งขึ้น
- การทบทวนตรวจสอบ (Check) คือ การตรวจสอบผลลัพธ์ว่าเป็นไปตามแผนที่วางไว้หรือไม่ เพื่อลดข้อผิดพลาดที่อาจเกิดขึ้นได้ นอกจากนี้ยังมีการตรวจประเมิน (Audit) ที่ได้รับการกำหนดไว้เป็นระเบียบปฏิบัติงาน (Procedure) อย่างชัดเจน
- การแก้ไขปรับปรุง (Act) คือ การแก้ไขปัญหา เมื่อผลลัพธ์ไม่เป็นไปตามแผนที่วางไว้ เพื่อกำจัดข้อบกพร่องและนำมาปรับปรุงใหม่ให้ได้ผลลัพธ์ที่ดีขึ้นอยู่เสมอ
การจัดการความเสี่ยงตามมาตรฐาน ISO/IEC 27001 สำคัญอย่างไร ?
การประเมินความเสี่ยงของสารสนเทศ (Information Security Risk Assessment) เป็นหัวใจสำคัญของ ISO/IEC 27001 เนื่องจาก หากมีการประเมินความเสี่ยงที่ไม่ครบถ้วน อาจทำให้การจัดการความเสี่ยงไม่ถูกต้อง เพราะจะไม่สามารถแก้ปัญหาได้ตรงจุด ซึ่งการจัดทำมาตรฐานนี้ ควรมีแบบแผนการจัดการความเสี่ยง (Risk Treatment) โดยเฉพาะ เช่น เมื่อมีการประเมินแล้วพบเรื่องผิดกฎหมาย ควรจัดระดับเป็นความเสี่ยงสูงและมีความจำเป็นต้องรีบแก้ไขโดยด่วน เป็นต้น
นอกจากนี้ องค์กรควรมีแผนรองรับความเสี่ยงต่อเหตุการณ์ฉุกเฉินต่าง ๆ ที่เรียกว่า BCP หรือ แผนบริหารความต่อเนื่อง (Business Continuity Plan) ซึ่งเป็นแผนที่สามารถช่วยในการปฏิบัติงานที่มีสภาวะวิกฤตหรือเหตุการณ์ฉุกเฉินได้ เช่น ภัยธรรมชาติและอุบัติเหตุ เป็นต้น โดยมีการนำมาตรการต่าง ๆ มาดูแลและจัดการตามแผนที่วางไว้ โดยต้องมั่นใจว่ามีความพร้อมใช้งานเป็นอย่างดี ในทุก ๆ สถานการณ์ รวมถึงสามารถปกป้องข้อมูลสารสนเทศต่าง ๆ ได้อย่างเหมาะสม และนำมาประยุกต์ใช้ให้สอดคล้องกับธุรกิจขององค์กรได้อย่างเต็มประสิทธิภาพ
4 ประโยชน์ของมาตรฐาน ISO/IEC 27001 มีอะไรบ้าง ?
- มีการรับรองด้านการจัดการระบบการรักษาความปลอดภัยข้อมูลองค์กร ตามมาตรฐานระดับสากล
- มีการประเมินความปลอดภัยของข้อมูลอย่างมีประสิทธิภาพเป็นประจำ
- มีมาตรฐานด้านความปลอดภัยของข้อมูลและความปลอดภัยทางไซเบอร์ ตามข้อบังคับใช้ทางกฎหมาย
- ตรวจสอบความเสี่ยงที่อาจเกิดขึ้นและสามารถควบคุม จัดการ และรับมือกับปัญหาที่เกิดขึ้นได้อย่างมีประสิทธิภาพ
หากท่านสนใจสมัครใช้บริการ OpenLandscape สามารถสมัครใช้บริการได้ที่เว็บไซต์ https://gate.openlandscape.cloud/ และหากมีข้อสงสัยหรือต้องการสอบถามข้อมูลเพิ่มเติม ท่านสามารถติดต่อผ่านทางอีเมล technical-support@ols.co.th หรือ Call Center 02-257-7189 ได้ตลอด 24 ชั่วโมง
ข้อมูลอ้างอิง
http://www.club27001.com/2013/08/isoiec-27001_21.html
http://www.club27001.com/2014/01/iso27001-2013-Information-Risk-Assessment.html
http://www.club27001.com/2013/08/normal-0-false-false-false-en-us-x-none.html