บทสัมภาษณ์พิเศษ Professor Edward Humphreys, Father of ISMS โดย อาจารย์ปริญญา หอมเอนก ประธานและผู้ก่อตั้งบริษัท ACIS ประเทศไทย เพื่อแลกเปลี่ยนความรู้และมุมมองใหม่ๆเกี่ยวกับมาตรฐานด้านความมั่นคงปลอดภัยสารสนเทศ ISO/IEC 27001:2013 Version ใหม่ล่าสุด (Exclusive only eEnterprise Magazine direct from London)
Mon, 09 Sep 2013
มาตรฐาน ISO/IEC 27001:2005 นับเป็นมาตรฐานในการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศที่ได้รับการยอมรับทั่วโลก ในสภาวะแวดล้อมของโลกธุรกิจในปัจจุบันที่การทำธุรกิจและข้อมูลต่างๆเชื่อมถึงกันทั่วโลกมาตรฐาน ISO/IEC27001:2005 ได้พิสูจน์แล้วว่าสามารถช่วยในการปกป้องข้อมูลและทรัพย์สินที่สำคัญขององค์กรจากภัยคุกคามและความเสี่ยง อันเนื่องมาจากการเชื่อมโยงของโลกธุรกิจได้อย่างมีประสิทธิภาพ
ในปัจจุบัน มาตรฐาน ISO/IEC27001: 2005 ได้รับการปรับปรุงยกเครื่องใหม่หมดมาเป็นมาตรฐาน ISO/IEC27001: 2013 New Version ซึ่งได้รับการพัฒนาให้สามารถป้องกันระบบพื้นฐานและบริการต่างๆ ที่องค์กรใช้ในการดำเนินธุรกิจได้อย่างทันสมัยและมีประสิทธิภาพมากยิ่งขึ้น
เนื่องจากความปลอดภัยของข้อมูลและทรัพย์สินเป็นสิ่งสำคัญของทุกๆองค์กรดังนั้นองค์กรต่างๆควรตระหนักถึงความสำคัญในการปกป้องข้อมูลและทรัพย์สินของตนจากภัยคุกคามทางระบบสารสนเทศที่มาในรูปแบบต่างๆเช่น ความเสี่ยงจากการใช้งานอินเทอร์เน็ต ภัยจากการทำธุรกรรมทางธนาคารหรือการซื้อขายออนไลน์ การโจรกรรมพาสเวิร์ด การจู่โจมด้วยการส่งโปรแกรมมาดักจับข้อมูลทางคอมพิวเตอร์ ภัยเหล่านี้สร้างความเสียหายอย่างรุนแรงแก่องค์กรได้ ภัยคุกคามเหล่านี้สามารถป้องกันได้โดยการปฏิบัติตามมาตรฐาน ISO/IEC 27001 ดังนั้น องค์กรต่างๆจึงควรทำความเข้าใจและเตรียมตัวให้พร้อมสำหรับการประยุกต์ใช้มาตรฐาน ISO/IEC 27001:2013 New Version ซึ่งได้รับการปรับปรุงให้มีประสิทธิภาพในการช่วยป้องกันภัยคุกคามสารสนเทศให้มีประสิทธิภาพได้มากยิ่งขึ้น
การพัฒนามาตรฐาน ISO/IEC 27001:2013 New Version ณ กรุง Stockholm, Sweden
การพัฒนามาตรฐาน ISO/IEC 27001:2013 New Version ณ กรุง Stockholm, Sweden
ทาง ACIS ได้รับเกียรติอย่างสูงจาก Professor Edward Humphreys, Father of ISMS ซึ่งเป็นผู้คิดค้นและปรับปรุงมาตรฐาน ISO/IEC 27001 มาโดยตลอดกว่าสิบปี ให้สัมภาษณ์พิเศษโดย อ. ปริญญา หอมเอนก ซึ่งเป็นผู้ร่วมพัฒนามาตรฐาน ISO/IEC 27001:2013 New Version ซึ่ง อ. ปริญญา หอมเอนก เป็น 1 ใน 50 คนจาก 50 ประเทศที่ร่วมพัฒนามาตรฐานนี้
Professor Edward Humphreys ได้ตอบคำถามถึง การเปลี่ยนแปลง และมุมมองใหม่ๆเกี่ยวกับมาตรฐานด้านความมั่นคงปลอดภัยสารสนเทศ ISO/IEC 27001:2013 Version ใหม่ล่าสุดเพื่อเป็นความรู้แก่ท่านผู้อ่าน eEnterprise Magazine แบบ Exclusive Interview โดยมีรายละเอียดดังนี้
– มาตรฐาน ISO/IEC 27001:2013 New Version มีเนื้อหาต่างจากเดิมอย่างไร และมีการพัฒนาจาก Version 2005 อย่างไรบ้าง?
มาตรฐาน ISO/IEC 27001:2013 New Version ได้รับการปรับปรุงให้มีความทันสมัยมากขึ้น โดยนำเอาประสบการณ์ของผู้ใช้ และผู้ที่ขอใบรับรองมาตรฐาน ISO/IEC27001:2005 มาเป็นหลักในการปรับปรุง โดยเน้นให้มีแนวทางที่ยืดหยุ่นและทันสมัยมากขึ้น ซึ่งความยืดหยุ่นและความทันสมัยนี้จะนำสู่การบริหารจัดการความเสี่ยงที่มีประสิทธิภาพมากยิ่งขึ้น
นอกจากนี้ ISO/IEC 27001:2013 ยังได้พัฒนาในส่วนของตัวควบคุมด้านความปลอดภัยในภาคผนวก A (Annex A) เพื่อให้แน่ใจว่ามาตรฐานยังคงใช้ได้ดีกับภาวะความเสี่ยงในปัจจุบัน เช่น การโจรกรรมข้อมูลส่วนบุคคล (Identify Theft) และภัยคุกคามบนอุปกรณ์โทรศัพท์ และช่องโหว่ของเทคโนโลยีออนไลน์ต่างๆ เป็นต้น
สุดท้ายนี้ ISO/IEC 27001:2013 ได้ถูกปรับปรุงให้มีโครงสร้างระบบบริหารจัดการรูปแบบเดียวกับที่ใช้ในมาตรฐานระบบการบริหารจัดการของมาตรฐานอื่นๆ เพื่อให้สามารถประยุกต์ใช้ร่วมกับระบบการบริหารจัดการอื่นๆ ได้อย่างกลมกลืน และมีประสิทธิภาพ
– ประโยชน์ที่ได้จาก ISO/IEC 27001:2013 New Version มีอะไรบ้าง?
โครงสร้างมาตรฐาน ISO/IEC 27001:2013 จะช่วยให้องค์กรต่างๆสามารถใช้ระบบการบริหารจัดการได้มากกว่า 1ระบบในคราวเดียวกัน เพราะโครงสร้างระบบบริหารของมาตรฐานต่างๆ มีความเหมือนกันมากขึ้น ซึ่งจะช่วยให้ประหยัดงบประมาณและเวลาในการนำมาตรฐานเหล่านี้มาใช้พร้อมๆกัน เนื่องจากสามารถนำนโยบายและกระบวนการดำเนินงานมาปรับใช้ร่วมกันได้ เช่น องค์กรอาจใช้ระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (ISO/IEC 27001) มาใช้ร่วมกับระบบบริหารจัดการอื่นๆ เช่น ระบบการบริหารจัดการความต่อเนื่องทางธุรกิจ (มาตรฐาน ISO/IEC 22301) การบริหารจัดการการให้บริการระบบเทคโนโลยี (ISO/IEC 20001-1) หรือระบบการบริหารจัดการคุณภาพ (ISO 9001) เป็นต้น
– ขั้นตอนต่อไปในกระบวนการแก้ไขปรับปรุงมาตรฐาน ISO/IEC 27001:2013 คืออะไร?
การแก้ไขปรับปรุงมาตรฐาน ISO/IEC 27001:2013 New Version ในตอนนี้อยู่ในขั้นตอนสุดท้าย (FDIS: Final Draft International Standard) ซึ่งจะแล้วเสร็จช่วงต้นเดือนกันยายน และจะพิมพ์ออกมาให้ทันการเปิดตัวในเดือนตุลาคมที่จะถึงนี้ เมื่อถึงตอนนั้น มาตรฐาน ISO/IEC 27001:2013 New Version จะเริ่มจัดจำหน่ายและ Version 2005 จะถูกยกเลิกภายในระยะเวลาที่กำหนด
– สำหรับองค์กรที่ได้รับการรับรองมาตรฐาน ISO/IEC 27001:2005 แล้ว ISO/IEC 27001:2013 New Version นี้จะมีผลกับองค์กรอย่างไร?
องค์กรที่ได้รับการรับรองมาตรฐาน ISO/IEC 27001:2005 ในปัจจุบันมีมากกว่า 15,000 แห่งทั่วโลก ซึ่งองค์กรเหล่านี้จำเป็นต้องปรับปรุงระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศเพื่อให้สอดคล้องกับข้อกำหนดของมาตรฐาน ISO/IEC 27001:2013 New Version ใหม่ โดย ระยะเวลาในการยกระดับจาก version เก่าเป็น version ใหม่นั้นยังไม่ได้กำหนดชัดเจน แต่คาดว่าจะต้องดำเนินการให้แล้วเสร็จภายใน 2-3 ปี นับจากที่ version ใหม่เริ่มเผยแพร่ออกมา
– องค์กรที่ได้รับการรับรองมาตรฐาน ISO/IEC 27001:2005 แล้วต้องเปลี่ยนแนวทางการปฎิบัติหรือไม่เพื่อให้ผ่านการตรวจสอบ Surveillance Audit?
ในรอบของการดำเนินการ Surveillance Audit ขององค์กรที่ถูกรับรองมาตรฐาน ISO/IEC 27001:2005 องค์กรจะต้องแสดงให้เห็นว่ามีการปรับปรุงระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศให้เข้ากับข้อกำหนดของมาตรฐานใหม่
– ข้อกำหนดหลักๆมีการเปลี่ยนแปลงไหม?
จุดประสงค์โดยทั่วๆ ไปและสิ่งที่เน้น ของมาตรฐาน ISO/IEC 27001:2013 ยังคงเหมือนเดิมคือการระบุถึงความเสี่ยงของความปลอดภัยของข้อมูลที่อาจเกิดขึ้นกับองค์กร อย่างไรก็ตาม Version ใหม่นี้จะให้ความสำคัญในแง่มุมธุรกิจมากขึ้น โดยมุ่งเน้นที่ความจำเป็นในการให้ความสำคัญกับสภาพแวดล้อม/บริบทขององค์กรมากยิ่งขึ้น และให้สอดคล้องกับความต้องการทางธุรกิจทั้งภายในและภายนอกมากขึ้น
อย่างไรก็ตาม มีมาตรฐานบางส่วนที่มีการเปลี่ยนโครงสร้างใหม่เพื่อให้เป็นไปตามข้อกำหนดของมาตรฐานระบบบริหารจัดการยุคใหม่ นอกจากนี้มาตรฐาน ISO/IEC 27001:2013 New Version ยังสอดคล้องกับข้อปฏิบัติและ Risk Terminology ของมาตรฐานการบริหารจัดการความเสี่ยง ISO 31000 อีกด้วย
– ข้อกำหนดตัวควบคุมในภาคผนวก A (Annex A) มีการเปลี่ยนแปลงอย่างไร?
นอกจากจะมีการออกมาตรฐาน ISO/IEC 27001:2013 New Version แล้วยังมีแผนที่จะปรับปรุงและออกมาตรฐาน ISO/IEC 27002:2013 New Version อีกด้วย ซึ่งภาคผนวก A ของ ISO/IEC 27001 จะถูกดัดแปลงบนพื้นฐานของสิ่งที่เปลี่ยนแปลงในภาคผนวกของISO/IEC 27002 โดยมีสิ่งที่เปลี่ยนแปลง เช่น เพิ่มตัวควบคุมใหม่ๆ ขึ้นมา 2-3 กลุ่ม ปรับปรุงตัวควบคุม 2-3 ข้อ และยกเลิกตัวควบคุมบางส่วน เป็นต้น ซึ่งส่วนที่มีการเปลี่ยนแปลงเหล่านี้ก็เพื่อที่จะให้สามารถจัดการกับสิ่งแวดล้อมที่เป็นภัยคุกคามในปัจจุบันได้
– อยากให้ Professor ช่วยอธิบายถึงข้อกำหนดใหม่ในส่วนที่เกี่ยวกับเรื่อง “Top Management Leadership”
ในหมวดที่เกี่ยวกับ บทบาทของผู้นำองค์กร ที่เพิ่มขึ้นมาในมาตรฐาน ISO/IEC 27001:2013 New Version นี้เป็นการให้ผู้บริหารแสดงถึงความรับผิดชอบและการมีนโยบายเชิงรุกในแนวทางปฎิบัติและกิจกรรมต่างๆที่เกี่ยวข้องกับ การสร้าง การนำไปปฎิบัติ การดำเนินการ การติดตามการดำเนินงาน การทบทวนผลการดำเนินงาน การดูแลให้มีการดำเนินงานอย่างต่อเนื่อง และการพัฒนาระบบการบริหารจัดการความมั่นคงปลอดภัยของข้อมูลให้เป็นไปตามข้อกำหนดของมาตรฐาน ISO/IEC 27001:2013
– มาตรฐาน ISO/IEC 27001:2013 New Version ช่วยจัดการความเสี่ยงที่มีต่อความมั่นคงปลอดภัยของเทคโนโลยีสารสนเทศดีกว่ามาตรฐานใน version เก่าอย่างไร?
มาตรฐาน ISO/IEC 27001:2013 Version ใหม่มีการพัฒนา “กรอบความคิดในแง่ของการบริหารจัดการ” เพื่อให้มีการระบุถึงมุมมองของความเสี่ยงต่อความมั่นคงปลอดภัยของข้อมูลในแง่มุมของการดำเนินธุรกิจ ซึ่งได้แก่ การระบุถึงภัยคุกคามต่างๆที่ธุรกิจในปัจจุบันต้องเผชิญ เช่น ภัยคุกคามจากโลกไซเบอร์ การโจมตีระบบโทรศัพท์เคลื่อนที่ การโจรกรรมข้อมูลส่วนบุคคล เป็นต้น
– ทำไม Professor Edwards Humphreys จึงเลือกจัดอบรม ISO/IEC 27001 New Version ที่ประเทศไทยเป็นที่แรกในเอเชียและเป็นที่แรกของโลก ?
สังคมเทคโนโลยีข้อมูลข่าวสารในประเทศไทยมีความตื่นตัว มีแรงผลักดันที่จะใช้แนวคิดใหม่ๆ อยู่มาก ดังนั้นประเทศไทยจึงเป็นประเทศที่เหมาะในการจัดคอร์สสัมมนา 3 วันเป็นที่แรกในเอเชียและเป็นที่แรกของโลก
พบกับ Extensive 3-day Training Seminar Workshop โดย Professor Edwards Humphreys, Father of ISMS และ อ. ปริญญา หอมเอนก ACI S Professional Center ได้ในวันที่ 25-27 กันยายน 2556 ณ โรงแรม Eastin Grand สาทร กรุงเทพ
รายละเอียดเพิ่มเติม www.acisonline.net/new-iso27001/index.html
