พื้นฐานของ ISO 27001 เมื่อพูดคุยกับบุคคลที่เพิ่งเริ่มใช้ISO 27001ฉันมักจะพบปัญหาเดียวกัน: บุคคลนี้คิดว่ามาตรฐานจะอธิบายรายละเอียดทุกอย่างที่พวกเขาต้องทำ เช่น ความถี่ที่พวกเขาต้องทำการสำรองข้อมูล ระยะทางของไซต์กู้คืนจากภัยพิบัติ ควรจะเป็นหรือแย่กว่านั้น คือเทคโนโลยีประเภทใดที่พวกเขาต้องใช้สำหรับการป้องกันเครือข่าย หรือวิธีที่พวกเขาต้องกำหนดค่าเราเตอร์
นี่คือข่าวร้าย: ISO 27001 ไม่ได้กำหนดสิ่งเหล่านี้ มันทำงานในลักษณะที่แตกต่างไปจากเดิมอย่างสิ้นเชิง นี่คือเหตุผล…
ISO 27001 ให้กรอบการทำงานสำหรับภาพรวมอย่างเป็นระบบของสิ่งเลวร้ายที่อาจเกิดขึ้นกับคุณ (การประเมินความเสี่ยง) จากนั้นตัดสินใจว่าจะใช้มาตรการป้องกันใดเพื่อป้องกันสิ่งเลวร้ายเหล่านั้นไม่ให้เกิดขึ้น (จัดการกับความเสี่ยง)
เหตุใด ISO 27001 จึงไม่ใช่ข้อกำหนด
ลองจินตนาการว่ามาตรฐานกำหนดให้คุณต้องสำรองข้อมูลทุกๆ 24 ชั่วโมง นี่เป็นมาตรการที่เหมาะสมสำหรับคุณหรือไม่ อาจเป็นไปได้ แต่เชื่อฉันเถอะว่าหลายบริษัทในปัจจุบันพบว่าสิ่งนี้ยังไม่เพียงพอ – อัตราการเปลี่ยนแปลงของข้อมูลนั้นเร็วมากจนพวกเขาต้องทำการสำรองข้อมูลหากไม่ใช่แบบเรียลไทม์ อย่างน้อยทุก ๆ ชั่วโมง ในทางกลับกัน ยังมีบางบริษัทที่พบว่าการสำรองข้อมูลวันละครั้งบ่อยเกินไป อัตราการเปลี่ยนแปลงของพวกเขายังช้ามาก ดังนั้นการสำรองข้อมูลบ่อยครั้งจึงเกินความจำเป็น
ประเด็นก็คือ – หากมาตรฐานนี้เหมาะสมกับบริษัทประเภทใดก็ตาม แนวทางที่กำหนดเช่นนี้ก็เป็นไปไม่ได้ ดังนั้นจึงเป็นไปไม่ได้เลยที่ไม่เพียงแต่จะกำหนดความถี่ในการสำรองข้อมูล แต่ยังรวมถึงเทคโนโลยีที่จะใช้ วิธีการกำหนดค่าแต่ละอุปกรณ์ ฯลฯ
ยังไงก็ตาม การรับรู้ว่า ISO 27001 จะกำหนดทุกอย่างคือตัวสร้างความเชื่อผิดๆ เกี่ยวกับ ISO 27001 ที่ใหญ่ที่สุด – ดูความเชื่อผิดๆ 5 ข้อเกี่ยวกับ ISO 27001ด้วย
การจัดการความเสี่ยงเป็นแนวคิดหลักของ ISO 27001
ดังนั้น คุณอาจสงสัยว่า “ทำไมฉันต้องมีมาตรฐานที่ไม่ได้บอกอะไรฉันอย่างชัดเจน”
เนื่องจาก ISO 27001 ให้กรอบการทำงานแก่คุณในการตัดสินใจเกี่ยวกับการป้องกันที่เหมาะสม ในทำนองเดียวกัน เช่น คุณไม่สามารถคัดลอกแคมเปญการตลาดของบริษัทอื่นมาเป็นของคุณเองได้ หลักการเดียวกันนี้ใช้ได้กับการรักษาความปลอดภัยของข้อมูล คุณต้องปรับแต่งให้เข้ากับความต้องการเฉพาะของคุณ
และวิธีที่ ISO 27001 บอกให้คุณบรรลุผลสำเร็จตามข้อกำหนดนี้ก็คือการประเมินความเสี่ยงและการจัดการความเสี่ยง นี่ไม่ใช่แค่ภาพรวมอย่างเป็นระบบของสิ่งเลวร้ายที่อาจเกิดขึ้นกับคุณ (การประเมินความเสี่ยง) จากนั้นตัดสินใจว่าจะใช้มาตรการป้องกันใดเพื่อป้องกันสิ่งเลวร้ายเหล่านั้นไม่ให้เกิดขึ้น (การรักษาความเสี่ยง)
รูปภาพ: วิธีการเลือกการป้องกันใน ISO 27001
แนวคิดทั้งหมดในที่นี้คือคุณควรใช้เฉพาะการป้องกัน (การควบคุม) ที่จำเป็นเนื่องจากความเสี่ยง ไม่ใช่สิ่งที่บางคนคิดว่าแฟนซี แต่ตรรกะนี้ยังหมายความว่าคุณควรใช้การควบคุมทั้งหมดที่จำเป็นเนื่องจากความเสี่ยง และคุณไม่สามารถยกเว้นบางส่วนเพียงเพราะคุณไม่ชอบ
ดูเพิ่มเติมที่: ISO 27001 Risk Assessment, Treatment, & Management: The Complete Guide
ไอทีอย่างเดียวไม่พอ
หากคุณทำงานในแผนกไอที คุณอาจทราบดีว่าเหตุการณ์ส่วนใหญ่ไม่ได้เกิดขึ้นเพราะคอมพิวเตอร์พัง แต่เป็นเพราะผู้ใช้จากฝั่งธุรกิจขององค์กรใช้ระบบข้อมูลในทางที่ผิด
และการกระทำผิดดังกล่าวไม่สามารถป้องกันได้ด้วยการป้องกันทางเทคนิคเท่านั้น สิ่งที่จำเป็นคือนโยบายและขั้นตอนที่ชัดเจน การฝึกอบรมและการตระหนักรู้ การคุ้มครองทางกฎหมาย มาตรการทางวินัย ฯลฯ ประสบการณ์ในชีวิตจริงได้พิสูจน์ว่ายิ่งมีการใช้การป้องกันที่หลากหลายมากขึ้น ระดับที่สูงขึ้น ของความปลอดภัยได้สำเร็จ
และเมื่อคุณพิจารณาว่าข้อมูลที่ละเอียดอ่อนไม่ได้อยู่ในรูปแบบดิจิทัลทั้งหมด (คุณอาจยังมีเอกสารที่มีข้อมูลลับอยู่บนนั้น) ข้อสรุปก็คือ การป้องกันด้านไอทียังไม่เพียงพอ และแผนกไอทีแม้ว่าจะมีความสำคัญมากใน โครงการรักษาความปลอดภัยข้อมูลไม่สามารถดำเนินโครงการประเภทนี้โดยลำพังได้
พื้นฐานของ ISO 27001 ขอย้ำอีกครั้งว่าความปลอดภัยด้านไอทีเป็นเพียง 50% ของการรักษาความปลอดภัยข้อมูลเท่านั้นที่ได้รับการยอมรับในมาตรฐาน ISO 27001 – มาตรฐานนี้จะบอกให้คุณทราบถึงวิธีการใช้งานการรักษาความปลอดภัยข้อมูลเป็นโครงการทั่วทั้งบริษัท ซึ่งไม่เฉพาะด้านไอทีเท่านั้น แต่ยังรวมถึงด้านธุรกิจขององค์กรด้วย , ต้องมีส่วนร่วม.
รับผู้บริหารระดับสูงเข้ามา
แต่ ISO 27001 ไม่ได้หยุดอยู่แค่การนำมาตรการป้องกันต่างๆ ไปปฏิบัติ – ผู้เขียนเข้าใจเป็นอย่างดีว่าบุคลากรจากแผนก IT หรือจากตำแหน่งระดับล่างหรือระดับกลางอื่นๆ ในองค์กร ไม่สามารถบรรลุผลได้มากหากผู้บริหารระดับสูง อย่าทำอะไรกับมัน
ตัวอย่างเช่น คุณอาจเสนอนโยบายใหม่สำหรับการปกป้องเอกสารที่เป็นความลับ แต่ถ้าผู้บริหารระดับสูงของคุณไม่บังคับใช้นโยบายดังกล่าวกับพนักงานทุกคน (และหากพวกเขาเองก็ไม่ปฏิบัติตาม) นโยบายดังกล่าวจะไม่ได้รับการตั้งหลักใน บริษัท ของคุณ.
ดังนั้น ISO 27001 จึงให้รายการตรวจสอบอย่างเป็นระบบเกี่ยวกับสิ่งที่ผู้บริหารระดับสูงต้องทำ:
- กำหนดความคาดหวังทางธุรกิจ (วัตถุประสงค์) เพื่อความปลอดภัยของข้อมูล
- เผยแพร่นโยบายเกี่ยวกับวิธีการควบคุมว่าจะเป็นไปตามความคาดหวังเหล่านั้นหรือไม่
- กำหนดความรับผิดชอบหลักสำหรับการรักษาความปลอดภัยของข้อมูล
- จัดหาเงินและทรัพยากรบุคคลให้เพียงพอ
- ตรวจสอบอย่างสม่ำเสมอว่าเป็นไปตามความคาดหวังทั้งหมดหรือไม่
ไม่ให้ระบบของคุณทรุดโทรม
หากคุณทำงานในบริษัทมาสองสามปีหรือมากกว่านั้น คุณคงทราบดีว่าความคิดริเริ่ม/โครงการใหม่ๆ ทำงานอย่างไร ในตอนแรกพวกเขาดูดีและสดใส และทุกคน (หรืออย่างน้อยคนส่วนใหญ่) พยายามที่จะทำ ดีที่สุดเพื่อให้ทุกอย่างทำงานได้ดี อย่างไรก็ตามเมื่อเวลาผ่านไปความสนใจและความกระตือรือร้นก็ลดลงและทุกอย่างที่เกี่ยวข้องกับโครงการดังกล่าวก็แย่ลงเช่นกัน
ตัวอย่างเช่น คุณอาจมีนโยบายการจัดประเภทที่ใช้ได้ดีในขั้นต้น แต่เมื่อเวลาผ่านไปเทคโนโลยีเปลี่ยนไป องค์กรเปลี่ยน และคนก็เปลี่ยน และถ้าไม่มีใครสนใจที่จะปรับปรุงนโยบาย นโยบายก็จะล้าสมัย และอย่างที่คุณทราบดี ไม่มีใครอยากปฏิบัติตามเอกสารที่ล้าสมัย ซึ่งหมายความว่าความปลอดภัยของคุณจะแย่ลงไปอีก
เพื่อป้องกันสิ่งนี้ ISO 27001 ได้อธิบายวิธีการสองสามวิธีที่ป้องกันการเสื่อมสภาพดังกล่าว ยิ่งไปกว่านั้น วิธีการเหล่านั้นยังใช้เพื่อปรับปรุงการรักษาความปลอดภัยเมื่อเวลาผ่านไป ทำให้ดียิ่งขึ้นกว่าที่เป็นอยู่ในขณะที่โครงการอยู่ที่ระดับสูงสุด วิธีการเหล่านี้รวมถึงการติดตามและการวัดผล การตรวจสอบภายใน การดำเนินการแก้ไข เป็นต้น
ดังนั้น คุณไม่ควรมอง ISO 27001 ในเชิงลบ – อาจดูคลุมเครือเมื่ออ่านครั้งแรก แต่สามารถพิสูจน์ได้ว่าเป็นกรอบการทำงานที่มีประโยชน์อย่างยิ่งสำหรับการแก้ไขปัญหาด้านความปลอดภัยจำนวนมากในบริษัทของคุณ ยิ่งไปกว่านั้น มันยังช่วยให้คุณทำงานได้ง่ายขึ้นและได้รับการยอมรับจากผู้บริหารสูงสุดอีกด้วย (ดูเพิ่มเติมที่: เหตุผล 4 ประการว่าทำไม ISO 27001 จึงมีประโยชน์สำหรับนักเทคโนโลยี)
สำหรับองค์กรที่ต้องการ Document and Content Management Solution ที่สมบูรณ์แบบ พร้อม Professional Services ที่มีประสบการณ์ Implement Alfresco มามากกว่า 100 โครงการณ์ สามารถติดขอคำปรึกษากับ K&O Systems
ทั้งนี้บริษัทเคแอนด์โอ จึงได้มุ่งเน้นการจัดการแก้ไขปัญหา จัดการเอกสาร ด้านเอกสารขององค์กรมาอย่างยาวนาน และ ให้ความสำคัญกับด้านงานเอกสาร ต่อลูกค้าเป็นอย่างดี จนถึงปัจจุบันก็ได้ความยอมรับจากองค์กร ขนาดใหญ่ ขนาดกลาง และขนาดเล็กมากมาย จึงใคร่ขออาสาดูและปัญหาด้านเอกสารให้กับองค์กรของท่านอย่างสุดความสามารถ เพราะเราเป็นหนึ่งในธุรกิจ ระบบจัดเก็บเอกสาร ที่ท่านไว้ใจได้
สนใจรับคำปรึกษาด้านวางระบบจัดการเอกสารอิเล็กทรอนิกส์ EDMS โดยทีมงานผู้เชี่ยวชาญจาก K&O ที่มีประสบการณ์มากว่า 15 ปี รวมถึงซอฟต์แวร์ระดับโลก ติดต่อ 0 2 – 8 6 0 – 6 6 5 9
สนใจ บทความ หรือ Technology สามารถติดต่อได้ตามเบอร์ที่ให้ไว้ด้านล่างนี้
Tel.086-594-5494
Tel.095-919-6699
e-mail cs@ko.in.th หรือ K&O FB / เว็บไซต์หลัก สแกนเพื่อแอด Line พูดคุยตอนนี้
