การเปลี่ยนแปลงหลักใน การปรับปรุง ISO 27002 2022 ใหม่

การปรับปรุง ISO 27002 2022 เป็นเวลาเก้าปีแล้วนับตั้งแต่การแก้ไข ISO/IEC 27002 ครั้งล่าสุด (ในปี 2013) และแม้ว่าISO 27001:2013จะได้รับการยืนยันในปี 2019 (กล่าวคือ ไม่จำเป็นต้องมีการเปลี่ยนแปลงมาตรฐาน ระบบการจัดการความปลอดภัยของข้อมูล) – ISO 27002 จำเป็นต้องมีการปรับปรุงอย่างแน่นอน ปฏิบัติตามบทบาทที่เป็นแนวทางสำหรับการดำเนินการตามการควบคุมภาคผนวก A ของ ISO 27001

ISO 27002 ฉบับปรับปรุงใหม่ปี 2022 เผยแพร่เมื่อวันที่ 15 กุมภาพันธ์ 2022 และในบทความนี้ ผมจะนำเสนอการเปลี่ยนแปลงหลักเมื่อเปรียบเทียบกับ ISO 27002:2013 – สิ่งเหล่านี้ไม่ได้เกี่ยวกับการควบคุมเท่านั้น แต่ยังรวมถึงวิธีจัดระเบียบและใช้งานด้วย พวกเขา.

โครงสร้างของส่วนต่างๆ

จาก 14 ส่วนก่อนหน้านี้ ปัจจุบัน ISO 27002:2022 มีเพียง 4 ส่วน พร้อมด้วยภาคผนวก 2 ภาค:

• การควบคุมองค์กร (ข้อ 5)
• การควบคุมคน (ข้อ 6)
• การควบคุมทางกายภาพ (ข้อ 7)
• การควบคุมทางเทคโนโลยี (ข้อ 8)
• ภาคผนวก A – การใช้แอตทริบิวต์
• ภาคผนวก B – ความสอดคล้องกับ ISO/IEC 27002:2013

โครงสร้างใหม่นี้ช่วยให้เข้าใจได้ง่ายขึ้นถึงการบังคับใช้การควบคุมในระดับสูง เช่นเดียวกับการกำหนดความรับผิดชอบ

จำนวนการควบคุม

เวอร์ชันใหม่นี้ได้ลดจำนวนการควบคุมจาก 114 เป็น 93 รายการ ความก้าวหน้าทางเทคโนโลยีและการปรับปรุงความเข้าใจเกี่ยวกับวิธีการใช้แนวทางปฏิบัติด้านความปลอดภัยดูเหมือนจะเป็นสาเหตุของการเปลี่ยนแปลงจำนวนการควบคุม

องค์ประกอบของแต่ละการควบคุม

การควบคุมใน ISO 27002 เวอร์ชันใหม่มีองค์ประกอบใหม่สององค์ประกอบในโครงสร้าง:

• ตารางแอตทริบิวต์: คุณลักษณะที่เกี่ยวข้องกับการควบคุม (ดูส่วนถัดไปสำหรับคำอธิบาย)
• วัตถุประสงค์: เหตุผลในการใช้การควบคุม

องค์ประกอบที่เพิ่มเข้ามาเหล่านี้ช่วยให้ค้นหาข้อมูลได้ง่ายขึ้น เพื่อทำความเข้าใจวิธีการเรียงลำดับและปรับความเหมาะสมของการใช้ตัวควบคุม

นอกจากนี้ ใน ISO 27002 ใหม่ คำบรรยายหนึ่งระดับก็ถูกยกเลิก จากตัวอย่างเปรียบเทียบ การควบคุมการเข้าถึงก่อนหน้านี้คือ “9 การควบคุมการเข้าถึง – 9.1 ข้อกำหนดทางธุรกิจของการควบคุมการเข้าถึง – 9.1.1 นโยบายการควบคุมการเข้าถึง” ในขณะที่ตอนนี้เป็น “5 การควบคุมขององค์กร – 5.15 การควบคุมการเข้าถึง”

แอตทริบิวต์การควบคุม

ในความคิดของฉัน นี่คือการเปลี่ยนแปลงที่ให้คุณค่ามากที่สุดสำหรับเวอร์ชันใหม่นี้ เนื่องจากเป็นวิธีการที่เป็นมาตรฐานในการเรียงลำดับและกรองการควบคุมตามมุมมองต่างๆ เพื่อตอบสนองความต้องการของกลุ่มต่างๆ การปรับปรุง ISO 27002 2022

ตัวเลือกแอตทริบิวต์สำหรับแต่ละการควบคุมมีดังนี้:

• ประเภทการควบคุม: ป้องกัน สืบสวน และแก้ไข
• คุณสมบัติความปลอดภัยของข้อมูล: การรักษาความลับ ความสมบูรณ์ และความพร้อมใช้งาน
• แนวคิดด้านความปลอดภัยทางไซเบอร์: ระบุ ป้องกัน ตรวจจับ ตอบสนอง และกู้คืน
• ความสามารถในการปฏิบัติงาน: การกำกับดูแล, การจัดการทรัพย์สิน, การปกป้องข้อมูล, ความปลอดภัยของทรัพยากรมนุษย์, ความปลอดภัยทางกายภาพ, ความปลอดภัยของระบบและเครือข่าย, ความปลอดภัยของแอปพลิเคชัน, การกำหนดค่าที่ปลอดภัย, การจัดการข้อมูลประจำตัวและการเข้าถึง, การจัดการภัยคุกคามและช่องโหว่, ความต่อเนื่อง, ความปลอดภัยของความสัมพันธ์กับซัพพลายเออร์, กฎหมายและการปฏิบัติตามข้อกำหนด, ข้อมูล การจัดการเหตุการณ์ความปลอดภัยและการรับประกันความปลอดภัยของข้อมูล
• โดเมนความปลอดภัย: การกำกับดูแลและระบบนิเวศ การป้องกัน การป้องกัน และความยืดหยุ่น

แอตทริบิวต์เหล่านี้จะช่วยให้การรวมการควบคุม ISO 27002:2022 กับเฟรมเวิร์กความปลอดภัยอื่นๆ ที่คล้ายคลึงกัน เช่น NIST Risk Management Framework ง่ายขึ้น

การควบคุมใหม่

นี่คือการควบคุม 11 รายการที่เป็นของใหม่:

• 5.7 ข้อมูลภัยคุกคาม
• 5.23 ความปลอดภัยของข้อมูลสำหรับการใช้บริการคลาวด์
• 5.30 ความพร้อมด้าน ICT เพื่อความต่อเนื่องทางธุรกิจ
• 7.4 การตรวจสอบความปลอดภัยทางกายภาพ
• 8.9 การจัดการการกำหนดค่า
• 8.10 การลบข้อมูล
• 8.11 การปิดบังข้อมูล
• 8.12 การป้องกันการรั่วไหลของข้อมูล
• 8.16 กิจกรรมการติดตาม
• 8.23 การกรองเว็บ
• 8.28 การเข้ารหัสที่ปลอดภัย

หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับการควบคุมใหม่เหล่านี้และข้อกำหนด โปรดอ่านบทความ คำอธิบายโดยละเอียดเกี่ยวกับการควบคุมความปลอดภัยใหม่ 11 รายการใน ISO 27001:2022

เปลี่ยนชื่อการควบคุม

มีการเปลี่ยนชื่อการควบคุม 23 รายการเพื่อให้เข้าใจง่ายขึ้น ตัวอย่างเช่น:

• การควบคุม 12.7.1 การควบคุมการตรวจสอบระบบสารสนเทศเปลี่ยนเป็น 8.34 การป้องกันระบบข้อมูลในระหว่างการทดสอบการตรวจสอบ
• การควบคุม 15.1.3 ห่วงโซ่อุปทานเทคโนโลยีสารสนเทศและการสื่อสาร เปลี่ยนเป็น 5.21 การจัดการความปลอดภัยของข้อมูลในห่วงโซ่อุปทาน ICT

การเปลี่ยนแปลงเหล่านี้ช่วยให้มุ่งเน้นไปที่แง่มุมด้านความปลอดภัยของข้อมูลของกระบวนการและกิจกรรมทางธุรกิจ ลดความพยายามในการปรับใช้และบำรุงรักษาระบบการจัดการความปลอดภัยของข้อมูล

หากต้องการดูรายการการควบคุมทั้งหมดใน ISO 27002 ใหม่ และเรียนรู้ว่าการควบคุมใดถูกเปลี่ยนชื่อและรวมเข้าด้วยกันเมื่อเทียบกับ ISO 27002:2013 ให้ดาวน์โหลดเอกสารไวท์เปเปอร์ฟรีนี้: ภาพรวมของการควบคุมความปลอดภัย ใหม่ใน ISO 27002:2022

ยกเว้นการควบคุม?

แม้ว่าจำนวนของส่วนควบคุมจะลดลง แต่ไม่มีส่วนควบคุมใดที่ถูกตัดออกในเวอร์ชันใหม่นี้ รวมเข้าด้วยกันเพื่อความเข้าใจที่ดีขึ้นเท่านั้น

การควบคุมแบบผสาน

รวม 57 คอนโทรลเป็น 24 คอนโทรล ตัวอย่างเช่น:

• การควบคุม 5.1.1 นโยบายสำหรับความปลอดภัยของข้อมูลและ 5.1.2 การทบทวนนโยบายสำหรับความปลอดภัยของข้อมูลถูกรวมเข้าไว้ใน 5.1 นโยบายสำหรับความปลอดภัยของข้อมูล
• การควบคุม 11.1.2 การควบคุมการเข้าออกทางกายภาพและ 11.1.6 พื้นที่จัดส่งและโหลดถูกรวมเข้ากับ 7.2 ทางเข้าทางกายภาพ

ในความเข้าใจของฉัน การผสานรวมเหล่านี้ได้รับการพิจารณาเนื่องจากการควบคุมที่เกี่ยวข้องเป็นขั้นตอนตามธรรมชาติของกระบวนการที่ใหญ่กว่า หรือเนื่องจากการรักษาความปลอดภัยที่มีประสิทธิภาพมากขึ้นสามารถทำได้โดยการพิจารณาการควบคุมเหล่านั้นในการควบคุมเดียว

แยกการควบคุม

มีเพียงการควบคุมเดียวเท่านั้นที่แยกออก: 18.2.3 การตรวจสอบการปฏิบัติตามทางเทคนิคถูกแบ่งออกเป็น 5.36 การปฏิบัติตามนโยบาย กฎ และมาตรฐานสำหรับความปลอดภัยของข้อมูล และ 8.8 การจัดการช่องโหว่ทางเทคนิค

การควบคุมที่ยังคงเหมือนเดิม

การควบคุม 35 รายการยังคงเหมือนเดิม เพียงแต่เปลี่ยนหมายเลขการควบคุมเท่านั้น

ผลกระทบสำหรับ ISMS

หากคุณมีระบบการจัดการความปลอดภัยของข้อมูลที่ใช้ตามมาตรฐาน ISO 27001 แล้ว คุณไม่จำเป็นต้องกังวลมากเกินไปสำหรับตอนนี้ ไม่ว่าการแก้ไข ISO 27002 ใหม่จะมีการเปลี่ยนแปลงแบบใดก็ตาม จะมีระยะเวลาเปลี่ยนผ่านสามปีสำหรับการรับรอง เพื่อให้สอดคล้องกับการควบคุมใหม่เหล่านี้ และระยะเวลาดังกล่าวจะเริ่มในวันที่ 31 ตุลาคม 2565

เมื่อการควบคุมใหม่เหล่านี้กลายเป็นส่วนหนึ่งของ ISO 27001 ภาคผนวก A คุณจะต้องทำตามขั้นตอนเหล่านี้:

1. ตรวจสอบการจัดการความเสี่ยงและตรวจสอบให้แน่ใจว่าสอดคล้องกับโครงสร้างใหม่และการกำหนดหมายเลขการควบคุม
2. จัดตำแหน่งรายการควบคุมในคำชี้แจงการบังคับใช้
3. อัปเดตนโยบายและขั้นตอนของคุณ และอาจเขียนเอกสารใหม่ที่เกี่ยวข้องกับการควบคุมใหม่

เนื่องจากการเปลี่ยนแปลงในมาตรฐานนี้เกี่ยวข้องกับการควบคุมใหม่ 11 รายการ การปรับแนวปฏิบัติในการจัดการความเสี่ยงและการจัดทำเอกสารจะเป็นงานที่ใหญ่ที่สุดที่อยู่ข้างหน้าคุณ แม้ว่าอาจไม่จำเป็นต้องมีการเปลี่ยนแปลงครั้งใหญ่ในด้านเทคโนโลยีและกระบวนการ

และนี่คือที่ที่ ISO 27002 ใหม่จะนำมาซึ่งคุณค่าสูงสุด ในระหว่างช่วงเปลี่ยนผ่าน คุณจะมีตัวเลือกแนวทางปฏิบัติที่ดีที่สุดที่ได้รับการปรับปรุงใหม่มากมาย รวมถึงคุณลักษณะชุดใหม่ที่ใช้เพื่อทำให้การเลือกการควบคุมง่ายขึ้นและมีประสิทธิภาพมากขึ้น และเนื่องจาก ISO 27002 มีรายละเอียดค่อนข้างมาก และคุณยังมีอิสระในการเลือกเฉพาะสิ่งที่เหมาะสมสำหรับองค์กรของคุณ จึงช่วยให้คุณเปลี่ยนผ่านได้ง่ายขึ้นอย่างแน่นอน

สำหรับองค์กรที่ต้องการ Document and Content Management Solution ที่สมบูรณ์แบบ พร้อม Professional Services ที่มีประสบการณ์ Implement Alfresco มามากกว่า 100 โครงการณ์ สามารถติดขอคำปรึกษากับ K&O Systems

ทั้งนี้บริษัทเคแอนด์โอ จึงได้มุ่งเน้นการจัดการแก้ไขปัญหา จัดการเอกสาร ด้านเอกสารขององค์กรมาอย่างยาวนาน และ ให้ความสำคัญกับด้านงานเอกสาร ต่อลูกค้าเป็นอย่างดี จนถึงปัจจุบันก็ได้ความยอมรับจากองค์กร ขนาดใหญ่ ขนาดกลาง และขนาดเล็กมากมาย จึงใคร่ขออาสาดูและปัญหาด้านเอกสารให้กับองค์กรของท่านอย่างสุดความสามารถ เพราะเราเป็นหนึ่งในธุรกิจ ระบบจัดเก็บเอกสาร ที่ท่านไว้ใจได้

สนใจรับคำปรึกษาด้านวางระบบจัดการเอกสารอิเล็กทรอนิกส์  EDMS โดยทีมงานผู้เชี่ยวชาญจาก K&O ที่มีประสบการณ์มากว่า 15 ปี รวมถึงซอฟต์แวร์ระดับโลก ติดต่อ 0 2 – 8 6 0 – 6 6 5 9

สนใจ บทความ หรือ Technology สามารถติดต่อได้ตามเบอร์ที่ให้ไว้ด้านล่างนี้
Tel.086-594-5494
Tel.095-919-6699

e-mail cs@ko.in.th หรือ K&O FB / เว็บไซต์หลัก สแกนเพื่อแอด Line พูดคุยตอนนี้

• Facebook
• Twitter
• Line