ISO/IEC27001:2022 อัพเดทใหม่ มีอะไรเปลี่ยนแปลงบ้าง

reader 599 Views

มาตรฐาน ISO/IEC27001 ประกาศใช้ครั้งแรกเมื่อปี 2005, ปรับเปลี่ยนครั้งแรกเมื่อปี 2013 และปรับเปลี่ยนครั้งล่าสุดในปัจจุบันปี 2022

มาตรฐาน ISO/IEC27001 เป็นข้อกำหนดในกลุ่มมาตรฐาน ISMS (Information Security Management System) ซึ่งเป็นมาตรฐานสำหรับความมั่นคงปลอดภัยสารสนเทศ โดยในอนุกรมมาตรฐานนี้มีมาตรฐานอยู่หลายฉบับ เช่น

ISO/IEC27000:2018 นิยามและคำศัพท์

ISO/IEC27001:2022 ข้อกำหนดระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (ISMS)

ISO/IEC27002:2022 หลักปฏิบัติสำหรับการควบคุมความปลอดภัยของข้อมูล

ISO/IEC27003:2017 แนวทางการประยุกต์ใช้

ISO/IEC27005:2018 แนวทางการจัดการความเสี่ยงความมั่นคงปลอดภัยสารสนเทศ

มาตรฐานหลัก 2 มาตรฐานที่เกี่ยวข้องกันโดยตรง คือ ISO/IEC27001 ข้อกำหนด ระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ และ ISO/IEC27002 เป็นแนวทางการประยุกต์ใช้มาตรการควบคุมตามที่ระบุใน annex A

โดยการเปลี่ยนแปลงของมาตรฐาน ISO/IEC27001 มีการปรับเปลี่ยนเล็กน้อยในข้อกำหนด

4.2 ความเข้าใจความจำเป็นความคาดหวังของผู้มีส่วนได้ส่วนเสีย.

6.2 วัตถุประสงค์ความมั่นคงปลอดภัยสารสนเทศ และแผนงานเพื่อทำให้บรรลุ

6.3 การวางแผนการเปลี่ยนแปลง

8.1 การวางแผน และควบคุมการดำเนินการ

ส่วนของข้อกำหนด 9.2 มีการแยกข้อกำหนดออกเป็น 9.2.1 และ 9.2.2 ด้วยหลักเนื้อหายังคงเหมือนเดิม

เช่นเดียวกันกับข้อกำหนด 9.3 มีการแยกข้อกำหนดออกเป็น 3 ส่วนย่อย คือ 9.3.1 บททั่วไป, 9.3.2 ข้อมูลนำเข้าการทบทวน, 9.3.3 ผลลัพธ์การทบทวน ส่วนที่เพิ่มเติม ในข้อกำหนด 9.3.2 c) คือ การเปลี่ยนแปลง ความต้องการ และความคาดหวังของผู้มีส่วนได้ส่วนเสียที่เกี่ยวข้องกับ ระบบบริหารความมั่นคงปลอดภัยสารสนเทศ ซึ่งต้องมีการทบทวนโดยผู้บริหาร

ข้อกำหนดใหม่สำหรับเวอร์ชั่น 2022 คือ ข้อกำหนด 6.3 การวางแผนการเปลี่ยนแปลง โดยในการทำให้ สอดคล้องกับข้อกำหนด ต้องแสดงให้เห็นถึงหลักฐาน การวางแผนการเปลี่ยนแปลงอย่างเหมาะสม โดยมีหลักฐาน เอกสาร รวมไปถึงกิจกรรมที่ดำเนินการเสร็จสิ้น และ การทบทวนโดยฝ่ายบริหาร

ส่วนของการเปลี่ยนแปลงหลักที่เกี่ยวข้องกับองค์กรที่ต้องตระหนัก คือรายละเอียดมาตรการควบคุม ที่ อ้างอิงใน Annex A โดย มีการปรับเปลี่ยนโครงสร้าง รวมไปถึงมีการปรับอัพเดทให้สอดคล้องกับมาตรฐาน ISO/IEC27002: 2022

ตารางเปรียบเทียบโครงสร้างมาตรการควบคุม (Control objective and controls)

ISO/IEC27001:2013 Annex A ISO/IEC27001:2022 Annex A

(ISO/IEC27002:2022)

A.5 นโยบายความมั่นคงปลอดภัยสารสนเทศ (Information security policies)

5.1.1 – 5.1.2 (2 controls)

5 มาตรการขององค์กร (Organizational controls)

5.1 - 5.37 (37 controls)

A.6 โครงสร้างด้านความมั่นคงปลอดภัยสำหรับสารสนเทศขององค์กร (Organization of information security)

A.6.1 โครงสร้างภายในองค์กร (Internal organization)

6.1.1 – 6.1.5 (5 controls)

6 มาตรการด้านบุคลากร (People controls)

6.1 - 6.8 (8 Controls)

A.6.2 อุปกรณ์พกพาและการปฏิบัติงานระยะไกล (Mobile devices and teleworking)

6.2.1 – 6.2.2 (2 controls)

7 มาตรการทางกายภาพ (Physical controls)

7.1 - 7.14 (14 Controls)

A.7 ความมั่นคงปลอดภัยด้านบุคลากร (Human resource security)

A.7.1 ก่อนการจ้างงาน (Prior to employment)

7.1.1 – 7.1.2 (2 controls)

8 มาตรการทางเทคโนโลยี (Technological controls)

8.1 - 8.34 (34 Controls)

A.7.2 ระหว่างการจ้างงาน (During employment)

7.2.1 – 7.2.3 (3 controls)

 
A.7.3 การสิ้นสภาพหรือการเปลี่ยนแปลงการจ้างงาน (Termination and change of employment) (1 control)  
A.8 การบริหารทรัพย์สิน (Asset management)

A.8.1 หน้าที่รับผิดชอบต่อทรัพย์สิน (Responsibility for assets)

8.1.1 – 8.1.4 (4 controls)

 
A.8.2 การจัดหมวดหมู่สารสนเทศ (Information classification)

8.2.1 – 8.2.3 (3 controls)

 
A.8.3 การจัดการสื่อบันทึกข้อมูล (Media handling)

8.3.1 – 8.3.3 (3 controls)

 
A.9 การควบคุมการเข้าถึง (Access control)

A.9.1 ข้อกำหนดทางธุรกิจสำหรับการควบคุมการเข้าถึง (Business requirements for access control)

9.1.1 – 9.1.2 (2 controls)

 
A.9.2 การบริหารจัดการเข้าถึงของผู้ใช้งาน (User access management)

9.2.1 – 9.2.6 (6 controls)

 
A.9.3 หน้าที่รับผิดชอบของผู้ใช้งาน (User responsibilities)

9.3.1 (1 control)

 
A.9.4 การควบคุมการเข้าถึงระบบและโปรแกรมประยุกต์ (System and application access control)

9.4.1 – 9.4.5 (5 controls)

 
A.10 การเข้ารหัสข้อมูล (Cryptography)

A.10.1 มาตรการควบคุมการเข้ารหัสข้อมูล (Cryptography controls)

10.1.1 – 10.1.2 (2 controls)

 
A.11 ความมั่นคงปลอดภัยทางกายภาพและสภาพแวดล้อม (Physical and environmental security)

A.11.1 บริเวณที่ต้องรักษาความมั่นคงปลอดภัย (Secure areas)

11.1.1 – 11.1.6 (6 controls)

 
A.11.2 อุปกรณ์ (Equipment)

11.2.1 – 11.2.9 (9 controls)

 
A.12 ความมั่นคงปลอดภัยในการปฏิบัติงาน (Operation security)

A.12.1 ขั้นตอนการปฏิบัติงานและหน้าที่รับผิดชอบ (Operation procedures and responsibilities)

12.1.1 – 12.1.4 (4 controls)

 
A.12.2 การป้องกันโปรแกรมไม่พึงประสงค์ (Protection from malware) 12.2.1 (1 control)  
A.12.3 การสำรองข้อมูล (Backup) (12.3.1 1 control)  
A.12.4 การบันทึกล็อก และการเฝ้าระวัง (Logging and monitoring)

12.4.1 -12.4.4 (4 controls)

 
A.12.5 การควบคุมซอฟแวร์ปฏิบัติการ (Control of operation software) 12.5.1 (1 control)  
A.12.6 การบริหารจัดการช่องโหว่ทางเทคนิค (Technical vulnerability management)

12.6.1 – 12.6.2 (2 controls)

 
A.12.7 การพิจารณาสำหรับการตรวจสอบระบบสารสนเทศ (Information system audit consideration) 12.7.1 (1 control)  
A.13 ความมั่นคงปลอดภัยด้านการสื่อสาร (Communication security)

A.13.1 การบริหารจัดการความมั่นคงปลอดภัยสำหรับเครือข่าย (Network security management)

13.1.1 – 13.1.3 (3 controls)

 
A.13.2 การถ่ายโอนข้อมูล (Information transfer)

13.2.1 -13.2.4 (4 controls)

 
A.14 การจัดหา, การพัฒนา และการบำรุงรักษาระบบ (System acquisition, development and maintenance)

A.14.1 ข้อกำหนดด้านความมั่นคงปลอดภัยของระบบสารสนเทศ (Security requirements for information system)

14.1.1 -14.1.3 (3 controls)

 
A.14.2 ความมั่นคงปลอดภัยในกระบวนการพัฒนาและกระบวนการสนับสนุน (Security in development and support process)

14.2.1 -14.2.9 (9 controls)

 
A.14.3 ข้อมูลทดสอบ (Test data) 14.3.1 (1 control)  
A.15 ความสัมพันธ์กับผู้ขาย (Supplier relationship)

A.15.1 ความมั่นคงปลอดภัยสำหรับสารสนเทศในความสัมพันธ์กับผู้ขาย (Information security in supplier relationship)

15.1.1 – 15.1.3 (3 controls)

 
A.15.2 การบริหารจัดการการส่งมอบบริการของผู้ขาย (Supplier service delivery management)

15.2.1 – 15.2.2 (2 controls)

 
A.16 การบริหารจัดการเหตุการณ์ด้านความมั่นคงปลอดภัยสารสนเทศ (Information security incident management)

A.16.1 การบริหารจัดการเหตุการณ์ด้านความมั่นคงปลอดภัยสารสนเทศ และการปรับปรุงพัฒนา (Management of information security incident and improvements)

16.1.1 – 16.1.7 (7 controls)

 
A.17 ความมั่นคงปลอดภัยสารสนเทศในมุมมองด้านความต่อเนื่องทางธุรกิจ (Information security aspect of business continuity management)

A.17.1 ความต่อเนื่องด้านความมั่นคงปลอดภัยสารสนเทศ (Information security continuity)

17.1.1 – 17.1.3 (3 controls)

 
A.17.2 การสำรองซ้ำ (Redundancies) 17.2.1 (1 control)  
A.18 การปฏิบัติตามข้อกำหนด (Compliance)

A.18.1 การปฏิบัติตามข้อกำหนดด้านกฎหมายและสัญญา (Compliance with legal and contractual requirements)

18.1.1 – 18.1.5 (5 controls)

 
A.18.2 การทบทวนความมั่นคงปลอดภัยสารสนเทศ (Information security reviews)

18.2.1 -18.2.3 (3 controls)

 
Total = 114 controls Total = 93 controls

 

การอัพเดท ISO/IEC27002:2022 มีการปรับเปลี่ยนข้อกำหนด Annex A ของ ISO/IEC27001 จากทั้งหมด 114 controls ใน 14 ข้อ

โครงสร้างถูกปรับเปลี่ยนให้เหลือเพียง 93 control ใน 4 ข้อ คือ

  1. Organizational (37 controls)
  2. People (8 controls)
  3. Physical (14 controls)
  4. Technological (34 controls)

           ส่วนที่มีการปรับปรุงเพิ่มเติม มาตรการควบคุมใน annex A ประกอบด้วย 11 หัวข้อ คือ

A5.7 Threat intelligence ข้อมูลวิเคราะห์เชิงลึกด้านภัยคุกคาม

โดยมาตรการกำหนดให้ มีข้อมูลที่เกี่ยวข้องกับภัยคุกคามด้านความมั่นคงปลอดภัยสารสนเทศเพื่อรวบรวมและวิเคราะห์เพื่อสร้างข้อมูลวิเคราะห์เชิงลึกด้านภัยคุกคาม

A5.23 Information security for the use of cloud services ความมั่นคงปลอดภัยสารสนเทศสำหรับการใช้บริการคลาวด์

กำหนดให้มี กระบวนการในการจัดหา การใช้ การจัดการ และการยกเลิกการใช้บริการคลาวด์ โดยต้องจัดทำขึ้นตามข้อกำหนดด้านความมั่นคงปลอดภัยสารสนเทศขององค์กร

A5.30 ICT readiness for business continuity ความพร้อมด้าน ICT เพื่อความต่อเนื่องทางธุรกิจ

ความพร้อมด้าน ICT จะต้องวางแผน ดำเนินการ รักษาไว้ และทดสอบตามวัตถุประสงค์ความต่อเนื่องทางธุรกิจและข้อกำหนดความต่อเนื่องด้าน ICT

A7.4 Physical security monitoring การเฝ้าติดตามความมั่นคงปลอดภัยทางกายภาพ

สถานที่จะต้องได้รับการเฝ้าติดตามสำหรับการเข้าถึงทางกายภาพโดยไม่ได้รับอนุญาตอย่างต่อเนื่อง

A8.9 Configuration management การจัดการตั้งค่า

องค์ประกอบ รวมถึงความมั่นคงปลอดภัยขององค์ประกอบ ของฮาร์ดแวร์ ซอฟต์แวร์ บริการและเครือข่าย ต้องจัดทำ ทำเป็นเอกสาร นำไปปฏิบัติ เฝ้าติดตามและทบทวน

A8.10 Information deletion การลบข้อมูล

ข้อมูลที่จัดเก็บไว้ในระบบสารสนเทศ อุปกรณ์หรือสื่อบันทึกข้อมูลอื่น ๆ ต้องถูกลบออกเมื่อไม่มีความจำเป็นต้องใช้งานข้อมูลนั้นอีก

A8.11 Data masking การซ่อนข้อมูล

การปิดบังข้อมูล ต้องใช้ตามนโยบายเฉพาะขององค์กรที่เกี่ยวกับการควบคุมการเข้าถึงและนโยบายเฉพาะอื่น ๆ ที่เกี่ยวข้อง และข้อกำหนดทางธุรกิจ โดยนำกฎหมายที่บังคับใช้มาพิจารณา

A8.12 Data leakage prevention การป้องกันข้อมูลรั่วไหล

มาตรการป้องกันข้อมูลรั่วไหล ต้องนำไปใช้กับระบบ เครือข่าย และอุปกรณ์อื่นๆ ที่ใช้ประมวลผล จัดเก็บ หรือมีการส่งข้อมูลที่ละเอียดอ่อน

A8.16 Monitoring activities. การเฝ้าติดตามกิจกรรม

เครือข่าย ระบบ และแอปพลิเคชัน ต้องได้รับการเฝ้าติดตามพฤติกรรมที่ผิดปกติและการดำเนินการที่เหมาะสม เพื่อประเมินเหตุการณ์ด้านความมั่นคงปลอดภัยสารสนเทศที่อาจเกิดขึ้น

A8.23 Web filtering การกรองเว็บ

การเข้าถึง การเปิดเว็บไซต์ภายนอก ต้องได้รับการจัดการเพื่อลดปัจจัยเสี่ยงในการเข้าถึงเนื้อหาที่เป็นอันตราย

A8.28 Secure coding การเขียนชุดคำสั่งอย่างมั่นคงปลอดภัย

หลักการในการเขียนชุดคำสั่งอย่างมั่นคงปลอดภัยเข้ารหัสที่ ต้องนำไปใช้กับการพัฒนาซอฟต์แวร์

ส่วนของการปรับเปลี่ยนเวอร์ชั่น สามารถดำเนินการได้เลย ระยะเวลาในการปรับเปลี่ยน สามารถดำเนินการได้ 3 ปีนับจากที่มีการออกมาตรฐานฉบับปรับปรุง

ส่วนของมาตรฐานที่ใช้ ISO/IEC27001:2022 เป็นพื้นฐานก็จะมีการปรับปรุงตามมา เช่น ISO/IEC27701 Privacy Information Management System  ซึ่งอยู่ระหว่างการปรับปรุงมาตรฐานและอยู่ในขั้นตอน CD (Committee Draft) อย่าลืมมาติดตามความคืบหน้ากันได้ในบทความถัดๆ ไปนะครับ

#ISO27701, #ISO/IEC27001, #ISMS, #ITsecurity