มาตรฐาน ISO/IEC27001 ประกาศใช้ครั้งแรกเมื่อปี 2005, ปรับเปลี่ยนครั้งแรกเมื่อปี 2013 และปรับเปลี่ยนครั้งล่าสุดในปัจจุบันปี 2022
มาตรฐาน ISO/IEC27001 เป็นข้อกำหนดในกลุ่มมาตรฐาน ISMS (Information Security Management System) ซึ่งเป็นมาตรฐานสำหรับความมั่นคงปลอดภัยสารสนเทศ โดยในอนุกรมมาตรฐานนี้มีมาตรฐานอยู่หลายฉบับ เช่น
ISO/IEC27000:2018 นิยามและคำศัพท์
ISO/IEC27001:2022 ข้อกำหนดระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (ISMS)
ISO/IEC27002:2022 หลักปฏิบัติสำหรับการควบคุมความปลอดภัยของข้อมูล
ISO/IEC27003:2017 แนวทางการประยุกต์ใช้
ISO/IEC27005:2018 แนวทางการจัดการความเสี่ยงความมั่นคงปลอดภัยสารสนเทศ
มาตรฐานหลัก 2 มาตรฐานที่เกี่ยวข้องกันโดยตรง คือ ISO/IEC27001 ข้อกำหนด ระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ และ ISO/IEC27002 เป็นแนวทางการประยุกต์ใช้มาตรการควบคุมตามที่ระบุใน annex A
โดยการเปลี่ยนแปลงของมาตรฐาน ISO/IEC27001 มีการปรับเปลี่ยนเล็กน้อยในข้อกำหนด
4.2 ความเข้าใจความจำเป็นความคาดหวังของผู้มีส่วนได้ส่วนเสีย.
6.2 วัตถุประสงค์ความมั่นคงปลอดภัยสารสนเทศ และแผนงานเพื่อทำให้บรรลุ
6.3 การวางแผนการเปลี่ยนแปลง
8.1 การวางแผน และควบคุมการดำเนินการ
ส่วนของข้อกำหนด 9.2 มีการแยกข้อกำหนดออกเป็น 9.2.1 และ 9.2.2 ด้วยหลักเนื้อหายังคงเหมือนเดิม
เช่นเดียวกันกับข้อกำหนด 9.3 มีการแยกข้อกำหนดออกเป็น 3 ส่วนย่อย คือ 9.3.1 บททั่วไป, 9.3.2 ข้อมูลนำเข้าการทบทวน, 9.3.3 ผลลัพธ์การทบทวน ส่วนที่เพิ่มเติม ในข้อกำหนด 9.3.2 c) คือ การเปลี่ยนแปลง ความต้องการ และความคาดหวังของผู้มีส่วนได้ส่วนเสียที่เกี่ยวข้องกับ ระบบบริหารความมั่นคงปลอดภัยสารสนเทศ ซึ่งต้องมีการทบทวนโดยผู้บริหาร
ข้อกำหนดใหม่สำหรับเวอร์ชั่น 2022 คือ ข้อกำหนด 6.3 การวางแผนการเปลี่ยนแปลง โดยในการทำให้ สอดคล้องกับข้อกำหนด ต้องแสดงให้เห็นถึงหลักฐาน การวางแผนการเปลี่ยนแปลงอย่างเหมาะสม โดยมีหลักฐาน เอกสาร รวมไปถึงกิจกรรมที่ดำเนินการเสร็จสิ้น และ การทบทวนโดยฝ่ายบริหาร
ส่วนของการเปลี่ยนแปลงหลักที่เกี่ยวข้องกับองค์กรที่ต้องตระหนัก คือรายละเอียดมาตรการควบคุม ที่ อ้างอิงใน Annex A โดย มีการปรับเปลี่ยนโครงสร้าง รวมไปถึงมีการปรับอัพเดทให้สอดคล้องกับมาตรฐาน ISO/IEC27002: 2022
ตารางเปรียบเทียบโครงสร้างมาตรการควบคุม (Control objective and controls)
| ISO/IEC27001:2013 Annex A | ISO/IEC27001:2022 Annex A
(ISO/IEC27002:2022) |
| A.5 นโยบายความมั่นคงปลอดภัยสารสนเทศ (Information security policies)
5.1.1 – 5.1.2 (2 controls) |
5 มาตรการขององค์กร (Organizational controls)
5.1 - 5.37 (37 controls) |
| A.6 โครงสร้างด้านความมั่นคงปลอดภัยสำหรับสารสนเทศขององค์กร (Organization of information security)
A.6.1 โครงสร้างภายในองค์กร (Internal organization) 6.1.1 – 6.1.5 (5 controls) |
6 มาตรการด้านบุคลากร (People controls)
6.1 - 6.8 (8 Controls) |
| A.6.2 อุปกรณ์พกพาและการปฏิบัติงานระยะไกล (Mobile devices and teleworking)
6.2.1 – 6.2.2 (2 controls) |
7 มาตรการทางกายภาพ (Physical controls)
7.1 - 7.14 (14 Controls) |
| A.7 ความมั่นคงปลอดภัยด้านบุคลากร (Human resource security)
A.7.1 ก่อนการจ้างงาน (Prior to employment) 7.1.1 – 7.1.2 (2 controls) |
8 มาตรการทางเทคโนโลยี (Technological controls)
8.1 - 8.34 (34 Controls) |
| A.7.2 ระหว่างการจ้างงาน (During employment)
7.2.1 – 7.2.3 (3 controls) |
|
| A.7.3 การสิ้นสภาพหรือการเปลี่ยนแปลงการจ้างงาน (Termination and change of employment) (1 control) | |
| A.8 การบริหารทรัพย์สิน (Asset management)
A.8.1 หน้าที่รับผิดชอบต่อทรัพย์สิน (Responsibility for assets) 8.1.1 – 8.1.4 (4 controls) |
|
| A.8.2 การจัดหมวดหมู่สารสนเทศ (Information classification)
8.2.1 – 8.2.3 (3 controls) |
|
| A.8.3 การจัดการสื่อบันทึกข้อมูล (Media handling)
8.3.1 – 8.3.3 (3 controls) |
|
| A.9 การควบคุมการเข้าถึง (Access control)
A.9.1 ข้อกำหนดทางธุรกิจสำหรับการควบคุมการเข้าถึง (Business requirements for access control) 9.1.1 – 9.1.2 (2 controls) |
|
| A.9.2 การบริหารจัดการเข้าถึงของผู้ใช้งาน (User access management)
9.2.1 – 9.2.6 (6 controls) |
|
| A.9.3 หน้าที่รับผิดชอบของผู้ใช้งาน (User responsibilities)
9.3.1 (1 control) |
|
| A.9.4 การควบคุมการเข้าถึงระบบและโปรแกรมประยุกต์ (System and application access control)
9.4.1 – 9.4.5 (5 controls) |
|
| A.10 การเข้ารหัสข้อมูล (Cryptography)
A.10.1 มาตรการควบคุมการเข้ารหัสข้อมูล (Cryptography controls) 10.1.1 – 10.1.2 (2 controls) |
|
| A.11 ความมั่นคงปลอดภัยทางกายภาพและสภาพแวดล้อม (Physical and environmental security)
A.11.1 บริเวณที่ต้องรักษาความมั่นคงปลอดภัย (Secure areas) 11.1.1 – 11.1.6 (6 controls) |
|
| A.11.2 อุปกรณ์ (Equipment)
11.2.1 – 11.2.9 (9 controls) |
|
| A.12 ความมั่นคงปลอดภัยในการปฏิบัติงาน (Operation security)
A.12.1 ขั้นตอนการปฏิบัติงานและหน้าที่รับผิดชอบ (Operation procedures and responsibilities) 12.1.1 – 12.1.4 (4 controls) |
|
| A.12.2 การป้องกันโปรแกรมไม่พึงประสงค์ (Protection from malware) 12.2.1 (1 control) | |
| A.12.3 การสำรองข้อมูล (Backup) (12.3.1 1 control) | |
| A.12.4 การบันทึกล็อก และการเฝ้าระวัง (Logging and monitoring)
12.4.1 -12.4.4 (4 controls) |
|
| A.12.5 การควบคุมซอฟแวร์ปฏิบัติการ (Control of operation software) 12.5.1 (1 control) | |
| A.12.6 การบริหารจัดการช่องโหว่ทางเทคนิค (Technical vulnerability management)
12.6.1 – 12.6.2 (2 controls) |
|
| A.12.7 การพิจารณาสำหรับการตรวจสอบระบบสารสนเทศ (Information system audit consideration) 12.7.1 (1 control) | |
| A.13 ความมั่นคงปลอดภัยด้านการสื่อสาร (Communication security)
A.13.1 การบริหารจัดการความมั่นคงปลอดภัยสำหรับเครือข่าย (Network security management) 13.1.1 – 13.1.3 (3 controls) |
|
| A.13.2 การถ่ายโอนข้อมูล (Information transfer)
13.2.1 -13.2.4 (4 controls) |
|
| A.14 การจัดหา, การพัฒนา และการบำรุงรักษาระบบ (System acquisition, development and maintenance)
A.14.1 ข้อกำหนดด้านความมั่นคงปลอดภัยของระบบสารสนเทศ (Security requirements for information system) 14.1.1 -14.1.3 (3 controls) |
|
| A.14.2 ความมั่นคงปลอดภัยในกระบวนการพัฒนาและกระบวนการสนับสนุน (Security in development and support process)
14.2.1 -14.2.9 (9 controls) |
|
| A.14.3 ข้อมูลทดสอบ (Test data) 14.3.1 (1 control) | |
| A.15 ความสัมพันธ์กับผู้ขาย (Supplier relationship)
A.15.1 ความมั่นคงปลอดภัยสำหรับสารสนเทศในความสัมพันธ์กับผู้ขาย (Information security in supplier relationship) 15.1.1 – 15.1.3 (3 controls) |
|
| A.15.2 การบริหารจัดการการส่งมอบบริการของผู้ขาย (Supplier service delivery management)
15.2.1 – 15.2.2 (2 controls) |
|
| A.16 การบริหารจัดการเหตุการณ์ด้านความมั่นคงปลอดภัยสารสนเทศ (Information security incident management)
A.16.1 การบริหารจัดการเหตุการณ์ด้านความมั่นคงปลอดภัยสารสนเทศ และการปรับปรุงพัฒนา (Management of information security incident and improvements) 16.1.1 – 16.1.7 (7 controls) |
|
| A.17 ความมั่นคงปลอดภัยสารสนเทศในมุมมองด้านความต่อเนื่องทางธุรกิจ (Information security aspect of business continuity management)
A.17.1 ความต่อเนื่องด้านความมั่นคงปลอดภัยสารสนเทศ (Information security continuity) 17.1.1 – 17.1.3 (3 controls) |
|
| A.17.2 การสำรองซ้ำ (Redundancies) 17.2.1 (1 control) | |
| A.18 การปฏิบัติตามข้อกำหนด (Compliance)
A.18.1 การปฏิบัติตามข้อกำหนดด้านกฎหมายและสัญญา (Compliance with legal and contractual requirements) 18.1.1 – 18.1.5 (5 controls) |
|
| A.18.2 การทบทวนความมั่นคงปลอดภัยสารสนเทศ (Information security reviews)
18.2.1 -18.2.3 (3 controls) |
|
| Total = 114 controls | Total = 93 controls |
การอัพเดท ISO/IEC27002:2022 มีการปรับเปลี่ยนข้อกำหนด Annex A ของ ISO/IEC27001 จากทั้งหมด 114 controls ใน 14 ข้อ
โครงสร้างถูกปรับเปลี่ยนให้เหลือเพียง 93 control ใน 4 ข้อ คือ
- Organizational (37 controls)
- People (8 controls)
- Physical (14 controls)
- Technological (34 controls)
ส่วนที่มีการปรับปรุงเพิ่มเติม มาตรการควบคุมใน annex A ประกอบด้วย 11 หัวข้อ คือ
A5.7 Threat intelligence ข้อมูลวิเคราะห์เชิงลึกด้านภัยคุกคาม
โดยมาตรการกำหนดให้ มีข้อมูลที่เกี่ยวข้องกับภัยคุกคามด้านความมั่นคงปลอดภัยสารสนเทศเพื่อรวบรวมและวิเคราะห์เพื่อสร้างข้อมูลวิเคราะห์เชิงลึกด้านภัยคุกคาม
A5.23 Information security for the use of cloud services ความมั่นคงปลอดภัยสารสนเทศสำหรับการใช้บริการคลาวด์
กำหนดให้มี กระบวนการในการจัดหา การใช้ การจัดการ และการยกเลิกการใช้บริการคลาวด์ โดยต้องจัดทำขึ้นตามข้อกำหนดด้านความมั่นคงปลอดภัยสารสนเทศขององค์กร
A5.30 ICT readiness for business continuity ความพร้อมด้าน ICT เพื่อความต่อเนื่องทางธุรกิจ
ความพร้อมด้าน ICT จะต้องวางแผน ดำเนินการ รักษาไว้ และทดสอบตามวัตถุประสงค์ความต่อเนื่องทางธุรกิจและข้อกำหนดความต่อเนื่องด้าน ICT
A7.4 Physical security monitoring การเฝ้าติดตามความมั่นคงปลอดภัยทางกายภาพ
สถานที่จะต้องได้รับการเฝ้าติดตามสำหรับการเข้าถึงทางกายภาพโดยไม่ได้รับอนุญาตอย่างต่อเนื่อง
A8.9 Configuration management การจัดการตั้งค่า
องค์ประกอบ รวมถึงความมั่นคงปลอดภัยขององค์ประกอบ ของฮาร์ดแวร์ ซอฟต์แวร์ บริการและเครือข่าย ต้องจัดทำ ทำเป็นเอกสาร นำไปปฏิบัติ เฝ้าติดตามและทบทวน
A8.10 Information deletion การลบข้อมูล
ข้อมูลที่จัดเก็บไว้ในระบบสารสนเทศ อุปกรณ์หรือสื่อบันทึกข้อมูลอื่น ๆ ต้องถูกลบออกเมื่อไม่มีความจำเป็นต้องใช้งานข้อมูลนั้นอีก
A8.11 Data masking การซ่อนข้อมูล
การปิดบังข้อมูล ต้องใช้ตามนโยบายเฉพาะขององค์กรที่เกี่ยวกับการควบคุมการเข้าถึงและนโยบายเฉพาะอื่น ๆ ที่เกี่ยวข้อง และข้อกำหนดทางธุรกิจ โดยนำกฎหมายที่บังคับใช้มาพิจารณา
A8.12 Data leakage prevention การป้องกันข้อมูลรั่วไหล
มาตรการป้องกันข้อมูลรั่วไหล ต้องนำไปใช้กับระบบ เครือข่าย และอุปกรณ์อื่นๆ ที่ใช้ประมวลผล จัดเก็บ หรือมีการส่งข้อมูลที่ละเอียดอ่อน
A8.16 Monitoring activities. การเฝ้าติดตามกิจกรรม
เครือข่าย ระบบ และแอปพลิเคชัน ต้องได้รับการเฝ้าติดตามพฤติกรรมที่ผิดปกติและการดำเนินการที่เหมาะสม เพื่อประเมินเหตุการณ์ด้านความมั่นคงปลอดภัยสารสนเทศที่อาจเกิดขึ้น
A8.23 Web filtering การกรองเว็บ
การเข้าถึง การเปิดเว็บไซต์ภายนอก ต้องได้รับการจัดการเพื่อลดปัจจัยเสี่ยงในการเข้าถึงเนื้อหาที่เป็นอันตราย
A8.28 Secure coding การเขียนชุดคำสั่งอย่างมั่นคงปลอดภัย
หลักการในการเขียนชุดคำสั่งอย่างมั่นคงปลอดภัยเข้ารหัสที่ ต้องนำไปใช้กับการพัฒนาซอฟต์แวร์
ส่วนของการปรับเปลี่ยนเวอร์ชั่น สามารถดำเนินการได้เลย ระยะเวลาในการปรับเปลี่ยน สามารถดำเนินการได้ 3 ปีนับจากที่มีการออกมาตรฐานฉบับปรับปรุง
ส่วนของมาตรฐานที่ใช้ ISO/IEC27001:2022 เป็นพื้นฐานก็จะมีการปรับปรุงตามมา เช่น ISO/IEC27701 Privacy Information Management System ซึ่งอยู่ระหว่างการปรับปรุงมาตรฐานและอยู่ในขั้นตอน CD (Committee Draft) อย่าลืมมาติดตามความคืบหน้ากันได้ในบทความถัดๆ ไปนะครับ
#ISO27701, #ISO/IEC27001, #ISMS, #ITsecurity