“มาตรฐานความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ (ISO/IEC 27001) Version 2013”

ธนาคารอาคารสงเคราะห์ มีการดำรงธุรกิจด้านการให้บริการทางการเงิน จำเป็นอย่างยิ่งที่จะต้องมีการบริหารจัดการความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ โดยให้ความสำคัญและมีความตระหนักเกี่ยวกับการรักษาความปลอดภัยของข้อมูล การรักษาความลับของข้อมูล และการให้บริการอย่างต่อเนื่องของธุรกิจ ซึ่งที่ผ่านมาสายงานเทคโนโลยีสารสนเทศ กลุ่มงานกลยุทธ์องค์กร ได้มีการนำหลักด้านการบริหารจัดการความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศ มาใช้ในการบริหารจัดการด้านความมั่นคงปลอดภัยอย่างมีประสิทธิภาพ และได้รับประสิทธิผลมีการนำรูปแบบและกระบวนการปฏิบัติงานตามหลักมาตรฐานสากล เพื่อช่วยให้ตอบสนองความต้องการและข้อกำหนดของมาตรฐานดังกล่าว กอปรกับธนาคารได้เล็งเห็นถึงความจำเป็น และความสำคัญการบริหารจัดการความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ ตามมาตรฐาน ISO/IEC 27001: 2005 มาตั้งแต่ปี 2553 และได้รับใบรับรองมาตรฐานในปี 2554 เป็นต้นมาจนถึงปัจจุบัน

เมื่อวันที่ 25 กันยายน 2556 ที่ผ่านมา International Organization for Standardization (ISO) ได้ตีพิมพ์มาตรฐาน ISO/IEC 27001 เวอร์ชั่นใหม่ หรือที่รู้จักกันในนาม ISO/IEC27001: 2013 “Information technology – Security techniques-Information security management systems – Requirements” ควบคู่ไปกับการตีพิมพ์มาตรฐาน ISO/IEC 27002 : 2013 “Information technology – Security techniques – Code ofpractice for information security controls” อย่างเป็นทางการ

นับเป็นการปรับปรุงเนื้อหาครั้งสำคัญ หลังจากที่ใช้งานมาตรฐานดังกล่าวมายาวนานถึง 8 ปี (เวอร์ชั่นเก่าของมาตรฐานISO/IEC 27001 คือเวอร์ชั่นปี 2005) โดยมีวัตถุประสงค์หลักเพื่อปรับปรุงเนื้อหาให้สอดคล้องกับเทคโนโลยี และการใช้งานสารสนเทศในปัจจุบัน การแก้ไขเนื้อหาส่วนที่ไม่ชัดเจนของเวอร์ชั่นเก่า จะเพิ่มความยืดหยุ่นในการนำไปใช้งาน รวมถึงปรับโครงสร้างให้เป็นไปตามข้อกำหนดของ Annex SL ซึ่งเป็นข้อกำหนดของ ISO ว่าด้วยโครงสร้างและเนื้อหาที่สอดคล้องกัน สำหรับมาตรฐานสากลฉบับใหม่ๆ (Modern Management System) โดยมีเนื้อหาสรุปปรับปรุงเพิ่มใหม่ ดังนี้

ข้อ 1 บริบทขององค์กร (Context of the organization)

  1. การทำความเข้าใจองค์กร และบริบทขององค์กร (Understanding the needs and expectations of interested parties)
  2. การกำหนดความจำเป็น และความคาดหวังของผู้ที่เกี่ยวข้อง (Understanding the needs and expectations of interested parties)
  3. การกำหนดขอบเขตของระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (Determining the scope of the information security management system)
  4. ระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (Information security management system)

ข้อ 2 ภาวะผู้นำ (Leadership)

  1. ภาวะผู้นำและการให้ความสำคัญ (Leadership and commitment) ผู้บริหารระดับสูงต้องแสดงให้เห็นถึงภาวะผู้นำ และการให้ความสำคัญต่อระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ
  2. นโยบาย (Policy) ผู้บริหารระดับสูงต้องกำหนดนโยบายความมั่นคงปลอดภัยสารสนเทศให้เหมาะสม และรวบรวมวัตถุประสงค์องค์กรอย่างแท้จริงเป็นลายลักษณ์อักษร
  3. บทบาทหน้าที่ความรับผิดชอบ และอำนาจหน้าที่ (Organizational roles, responsibilities and authorities) ผู้บริหารระดับสูงต้องกำหนดหน้าที่อย่างชัดเจน สอดคล้องกับข้อกำหนด และให้รายงานผลของประสิทธิภาพและประสิทธิผล

ข้อ 3 การวางแผน (Planning)

  1. การดำเนินการเพื่อจัดการกับความเสี่ยงและโอกาส (Actions to address risks and opportunities)

    1. ภาพรวม (General) เป็นการวางแผนสำหรับระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศให้บรรลุตามที่ต้องการ การดำเนินงานเชิงป้องกันและลดผลที่ไม่พึงปรารถนา การปรับปรุงอย่างต่อเนื่อง และการดำเนินการเพื่อจัดการความเสี่ยงและโอกาส โดยการรวบรวมตามกระบวนการที่กำหนดและนำสู่การปฏิบัติจริง พร้อมทั้งการประเมินความสัมฤทธิผลการดำเนินการ
    2. การประเมินความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ (Information security risk assessment) ต้องกำหนด และประยุกต์กระบวนการประเมินความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ
    3. การจัดการกับความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ (Information security risk treatment) ต้องกำหนด และประยุกต์กระบวนการจัดการความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ ที่มีการกำหนดทางเลือกและมาตรการอย่างเหมาะสม
  2. วัตถุประสงค์ด้านความมั่นคงปลอดภัยสารสนเทศ และแผนการบรรลุวัตถุประสงค์ (Information security objectivesand plans to achieve them) ต้องกำหนดวัตถุประสงค์ด้านความมั่นคงปลอดภัยสารสนเทศ ในฟังก์ชั่นงานและระดับที่เกี่ยวข้อง โดยจะต้องสอดคล้องกับนโยบายความมั่นคงปลอดภัย ที่ระบบสารสนเทศสามารถวัดได้ และนำผลที่ได้ไปประเมินและจัดการความเสี่ยงอย่างเหมาะสม

ข้อ 4 การสนับสนุน (Support)

  1. ทรัพยากร (Resources) องค์กรจะต้องกำหนด และจัดสรรทรัพยากรที่จำเป็นสำหรับการกำหนด การลงมือปฏิบัติ การบำรุงรักษา และการปรับปรุงอย่างต่อเนื่อง ต่อระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ
  2. สมรรถนะ (Competence) องค์กรจะต้องมีการกำหนดสมรรถนะของบุคคลให้มีความรู้ความเข้าใจด้านเทคโนโลยีสารสนเทศ เพื่อให้การดำเนินการสามารถบรรลุวัตถุประสงค์ได้
  3. การสร้างความตระหนัก (Awareness) บุคลากรที่ทำงานภายใต้การควบคุมดูแลขององค์กร จะต้องตระหนักถึงนโยบายความมั่นคงปลอดภัยขององค์กร เพื่อให้เกิดความสัมฤทธิ์ผล รวมทั้งทราบถึงข้อดีที่ได้ดำเนินการปรับปรุง เพื่อให้เกิดประสิทธิภาพในการปฏิบัติงานด้านความมั่นคงปลอดภัยสารสนเทศ
  4. การสื่อสารให้ทราบ (Communication) ต้องกำหนดความจำเป็นสำหรับการสื่อสารให้ทราบทั้งภายในและภายนอก ที่เกี่ยวข้องกับระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ เกี่ยวกับอะไร เมื่อใด ใครเป็นผู้รับสาร และใครเป็นผู้สื่อสาร รวมถึงกระบวนการที่เกี่ยวข้องกับการสื่อสาร
  5. สารสนเทศที่เป็นลายลักษณ์อักษร (Documented information)

    1. ภาพรวม (General) ระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศขององค์กร จะต้องรวมสารสนเทศที่เป็นลายลักษณ์อักษร
    2. การสร้างและปรับปรุง (Creating and updating) เมื่อมีการสร้างและปรับปรุงสารสนเทศที่เป็นลายลักษณ์อักษร องค์กรจะต้องกำหนดให้มีความเหมาะสม ทั้งชื่อเอกสาร รายละเอียดรูปแบบ และการทบทวนการอนุมัติ
    3. การควบคุมสารสนเทศที่เป็นลายลักษณ์อักษร (Control of documented information) สารสนเทศที่เป็นลายลักษณ์อักษรที่จำเป็น ต้องมีสำหรับระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ ตามมาตรฐานฉบับนี้ต้องมีการควบคุมเพื่อให้สามารถเข้าถึงได้ เหมาะสมสำหรับการใช้งาน และได้รับการป้องกันอย่างเพียงพอ

ข้อ 5 การดำเนินการ (Operation)

  1. การวางแผนที่เกี่ยวข้องกับการดำเนินการและการควบคุม (Operational planning and control) ต้องวางแผนลงมือปฏิบัติและควบคุมกระบวนการที่จำเป็น เพื่อให้สอดคล้องกับความต้องการด้านความมั่นคงปลอดภัยสารสนเทศ และลงมือปฏิบัติตามที่กำหนดไว้ โดยจะต้องลงมือปฏิบัติตามแผนเพื่อให้บรรลุวัตถุประสงค์ด้านความมั่นคงปลอดภัยสารสนเทศ และจะต้องมีการเก็บรักษาสารสนเทศที่เป็นลายลักษณ์อักษรในระดับที่จำเป็น ต้องมีการควบคุมการเปลี่ยนแปลงที่มีการวางแผนไว้ล่วงหน้า แผนการทบทวน รวมถึงการดำเนินการเพื่อลดผลในทางลบตามความจำเป็นด้วย
  2. การประเมินความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ (Information security risk assessment) ต้องดำเนินการประเมินความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ ตามกรอบระยะเวลาที่ได้กำหนดไว้ ให้มีการเสนอขอดำเนินการประเมินความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ โดยจะต้องจัดเก็บสารสนเทศที่เป็นลายลักษณ์อักษร ซึ่งเป็นผลของการประเมินความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ
  3. การจัดการกับความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ (Information security risk treatment) ต้องลงมือปฏิบัติตามแผนการจัดการความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ และต้องจัดเก็บสารสนเทศที่เป็นลายลักษณ์อักษร ซึ่งเป็นผลของการจัดการความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ

ข้อ 6 การประเมินประสิทธิภาพและประสิทธิผล (Performance evaluation)

  1. การเฝ้าระวัง การวัดผล การวิเคราะห์ และการประเมิน (Monitoring, measurement, analysis and evaluation) ต้องประเมินประสิทธิภาพ ประสิทธิผล และความได้ผลของระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ
  2. การตรวจประเมินภายใน (Internal audit) ต้องทำการตรวจประเมินภายในตามกรอบระยะเวลาที่ได้มีการกำหนดไว้
  3. การทบทวนของผู้บริหาร (Management review) ผู้บริหารระดับสูงจะต้องทบทวนระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ ตามกรอบระยะเวลาที่กำหนดไว้ เพื่อให้มีความเหมาะสม ความเพียงพอ และความสัมฤทธิ์ผล

ข้อ 7 การปรับปรุง (Improvement)

  1. ความไม่สอดคล้องและการดำเนินการแก้ไข (Nonconformity and corrective action) เมื่อความไม่สอดคล้องหนึ่งเกิดขึ้น ต้องมีการตอบกลับความไม่สอดคล้องนั้น และจัดการกับผลที่เกิดขึ้นตามความเหมาะสม ประเมินความจำเป็น เพื่อขจัดสาเหตุความไม่สอดคล้อง
  2. การปรับปรุงอย่างต่อเนื่อง (Continual improvement) ต้องปรับปรุงความเหมาะสม ความเพียงพอ และความสัมฤทธิ์ผลของระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศอย่างต่อเนื่อง