มาตรฐานความปลอดภัยข้อมูลที่สำคัญได้รับการแก้ไข
การควบคุมอย่างต่อเนื่อง: แนวทางฉบับใหม่เกี่ยวกับการควบคุมการจัดการความปลอดภัยของข้อมูล
มาตรฐานความปลอดภัยทางไซเบอร์สากลที่ได้รับการแก้ไขใหม่จะช่วยให้ผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูลพิจารณาและใช้มาตรการควบคุมความปลอดภัยของข้อมูลเพื่อจัดการกับความเสี่ยงด้านความปลอดภัยของข้อมูลล่าสุด บทความนี้จะอธิบายถึงสิ่งที่มาตรฐานได้รับการแก้ไข และประโยชน์ที่ธุรกิจจะได้รับจากการใช้มาตรฐานนี้
ในโลกที่การรักษาความปลอดภัยของข้อมูลเป็นสิ่งสำคัญสำหรับทุกองค์กร และด้วยอัตราการเปลี่ยนแปลงของเทคโนโลยีและความเสี่ยงด้านความปลอดภัยทางไซเบอร์ การรักษาระบบและกระบวนการให้ทันสมัยอยู่เสมอด้วยรูปแบบการรักษาความปลอดภัยข้อมูลที่เปลี่ยนแปลงไปนั้นจึงจำเป็นต้องให้ความสำคัญเป็นลำดับแรก
ISO/IEC 27002:2022 ความปลอดภัยของข้อมูล ความปลอดภัยทางไซเบอร์ และการปกป้องความเป็นส่วนตัว – การควบคุมความปลอดภัยของข้อมูลเป็นมาตรฐานสากลที่ได้รับการแก้ไขใหม่ โดยให้คำแนะนำในการเลือกและการนำการควบคุมความปลอดภัยไปประยุกต์ใช้ภายในระบบการจัดการความปลอดภัยของข้อมูล (ISMS) ตามข้อกำหนดใน BS EN ISO/IEC 27001
การแก้ไขมาตรฐานนี้นำเสนอแนวทางที่ทันสมัยในการจัดการการควบคุมความปลอดภัยด้วยคุณลักษณะต่าง ๆ ซึ่งรวมถึงการแนะนำประเด็นหลักและคุณลักษณะ ตลอดจนการอัปเดตการควบคุมของคู่แข่งเพื่อสะท้อนข้อกังวลและแนวทางปฏิบัติด้านความปลอดภัยของข้อมูลในปัจจุบัน ISO/IEC 27002:2022 มีเป้าหมายเพื่อให้ธุรกิจทุกขนาดและทุกภาคส่วนมีแนวทางการควบคุมความปลอดภัยแบบใหม่ โดยมีเป้าหมายเพื่อทำให้แนวทางนี้ทันสมัย ง่ายยิ่งขึ้น และหลากหลาย เพื่อให้องค์กรมีอิสระในการเลือกและกำหนดขอบเขตการควบคุมความปลอดภัยตามความเหมาะสม
มาตรฐาน ISO/IEC 27002 และ BS EN ISO/IEC 27001 ทำงานร่วมกันอย่างไร
BS EN ISO/IEC 27001 มีส่วนประกอบและโครงสร้างที่สำคัญสำหรับองค์กรของท่าน เพื่อให้เกิดการจัดการความปลอดภัยของข้อมูลที่มีประสิทธิภาพ หนึ่งในองค์ประกอบที่สำคัญเหล่านี้คือการปรับใช้มาตรการควบคุมความปลอดภัยของข้อมูลที่เหมาะสม การควบคุมเหล่านี้จำเป็นต้องได้รับการประเมินอย่างรอบคอบและพิจารณาตามพื้นฐานความเสี่ยงและความต้องการขององค์กรของท่านด้วยมาตรฐาน ISO/IEC 27002 ที่มีชุดการควบคุมที่เหมาะสมที่สุดในการพิจารณา
ISO/IEC 27002 เกี่ยวกับการควบคุมความปลอดภัยของข้อมูลซึ่งทำหน้าที่เป็นแนวทางเพื่อช่วยให้องค์กรต่าง ๆ พิจารณาและดำเนินการควบคุมความปลอดภัยของข้อมูลที่เป็นที่ยอมรับภายในระบบการจัดการความปลอดภัยของข้อมูล แนวทางในมาตรฐานนี้ได้รับการพัฒนาโดยคณะกรรมการผู้เชี่ยวชาญในอุตสาหกรรมระหว่างประเทศและของสหราชอาณาจักร โดยอิงจากฉันทามติระหว่างประเทศเกี่ยวกับแนวทางปฏิบัติที่ดีที่สุด
มาตรฐานฉบับใหม่นี้มีสิ่งใดเปลี่ยนแปลงบ้าง
แม้ว่า ISO/IEC 27002:2022 จะไม่ได้อธิบายว่าเป็น “หลักปฏิบัติ” แต่จุดประสงค์ที่มุ่งมั่นก็ไม่ได้เปลี่ยนแปลง ยังคงเป็น "หนังสือคู่มืออ้างอิง" และให้ชุดควบคุมความปลอดภัยของข้อมูลที่อ้างอิงได้โดยบรรลุความครอบคลุมที่ครอบคลุมวิธีการอธิบายมาตรการควบคุมความปลอดภัยของข้อมูล
มาตรฐานที่ปรับปรุงใหม่นี้มีจุดมุ่งหมายเพื่อให้มั่นใจว่าไม่มีการมองข้ามการควบคุมที่จำเป็น และแนวทางดังกล่าวจะรวมเป็น 4 ประเด็นหลัก ซึ่งทำให้ธุรกิจสามารถนำไปปรับใช้ได้ง่ายขึ้น 4 ประเด็นหลักของการควบคุมคือ: องค์กร บุคลากร กายภาพ เทคโนโลยี
ด้วยเหตุนี้ ในมาตรฐานที่แก้ไขแล้ว ผู้ใช้จะพบว่ามีการปรับโครงสร้างการควบคุมที่มีอยู่และจำนวนมาตรการควบคุมความปลอดภัยที่ระบุไว้ลดลงจาก 114 เป็น 93 โดยมีการนำตัวควบคุมบางส่วนออกเนื่องจากไม่ได้สะท้อนแนวปฏิบัติที่ดีที่สุดอีกต่อไป
มีการแนะนำมาตรการควบคุมใหม่ 11 ข้อ มีการผสานมาตรการควบคุม 24 ข้อ และมีมาตรฐานควบคุม 58 ข้อที่ได้รับการอัปเดตในเวอร์ชันล่าสุดของมาตรฐาน ISO/IEC 27002 สิ่งเหล่านี้สะท้อนถึงวิวัฒนาการของเทคโนโลยีและแนวปฏิบัติทางอุตสาหกรรม ซึ่งรวมถึงข้อมูลวิเคราะห์เชิงลึก ความปลอดภัยของข้อมูลสำหรับการใช้บริการคลาวด์ และการป้องกันการรั่วไหลของข้อมูล ซึ่งจะทำให้มั่นใจได้ว่าธุรกิจต่าง ๆ จะสามารถควบคุมการรักษาความปลอดภัยของข้อมูลได้อย่างต่อเนื่อง แม้ว่าลักษณะของการโจมตีทางไซเบอร์จะเปลี่ยนแปลงไปก็ตาม
Steve Watkins (ประธาน IST 33) กล่าวว่า "การอัปเดตของมาตรฐาน ISO/IEC 27002 ทำให้ตัวเลือกมาตรการควบคุมและคำอธิบายเป็นปัจจุบัน และการแนะนำประเด็นหลักและคุณลักษณะต่าง ๆ เพื่อช่วยเหลือองค์กรในการเลือกและปรับใช้ในการจัดการความเสี่ยงด้านความปลอดภัยในโลกไซเบอร์
เพื่อช่วยให้ผู้ใช้มาตรฐาน BS EN ISO/IEC 27002:2013 เวอร์ชันก่อนหน้าทราบวิธีใช้แนวทางที่อัปเดตในปี 2021 ภาคผนวก A ของมาตรฐาน 27002 ฉบับใหม่ได้สาธิตการใช้คุณลักษณะเพื่อสร้างมุมมองที่แตกต่างกันของมาตรการควบคุม นอกจากนี้ ภาคผนวก B ที่อัปเดตใหม่ยังมีการอ้างอิงถึงตัวระบุมาตรการควบคุมเวอร์ชัน 2013 เพื่อให้สามารถสอดคล้องกันได้
เหตุใดธุรกิจต่าง ๆ จึงควรปรับใช้การเปลี่ยนแปลงเหล่านี้
เนื่องจากการระบาดใหญ่ของ COVID-19 ธุรกิจส่วนใหญ่ถูกบังคับให้เร่งการเปลี่ยนแปลงทางดิจิทัลและพึ่งพาโครงสร้างพื้นฐานระบบคลาวด์มากขึ้น เนื่องจากพนักงานจำนวนมากยังคงปรับตัวและปรับตัวสู่รูปแบบการทำงานแบบไฮบริด
ขณะที่องค์กรต่าง ๆ พบว่าตนมีจุดยืนท่ามกลางการเปลี่ยนแปลงอันรวดเร็วเหล่านี้ อาชญากรไซเบอร์กำลังค้นหาวิธีใช้ประโยชน์จากช่องโหว่ภายในระบบใหม่เหล่านี้ ด้วยเทคโนโลยีที่ล้ำหน้ากว่าที่เคย
เมื่อพิจารณาจากจำนวนสถานที่ทำงานและการดำเนินธุรกิจในแต่ละวันที่มีระบบดิจิทัลในช่วงการแพร่ระบาดของโควิด มาตรฐาน ISO/IEC 27002:2022 จะช่วยเหลือองค์กรให้ประสบความสำเร็จในการจัดการความปลอดภัยของข้อมูลอย่างมีประสิทธิภาพในสภาพแวดล้อมที่มีความเสี่ยงสูงในปัจจุบันได้อย่างไร
ที่สำคัญคือ มาตรฐานนี้จะช่วยองค์กรในการระบุ การประยุกต์ใช้ และการจัดการมาตรการควบคุมความปลอดภัยของข้อมูลที่เป็นปัจจุบันในสภาพแวดล้อมปัจจุบัน มาตรการควบคุมเหล่านี้จะรวมถึงนโยบาย กฎเกณฑ์ กระบวนการ ขั้นตอน โครงสร้างองค์กร และโซลูชันซอฟต์แวร์และฮาร์ดแวร์
ซึ่งช่วยให้ธุรกิจระบุมาตรการควบคุมได้อย่างเหมาะสมและเป็นสัดส่วนอย่างยั่งยืน และดำเนินงานเพื่อเพิ่มความเหมาะสมโดยรวมของระบบการจัดการความปลอดภัยของข้อมูล
เพื่อให้ได้ประโยชน์สูงสุดจากมาตรฐานฉบับแก้ไขนี้ แต่ละองค์กรควรทบทวนและพิจารณาชุดมาตรการควบคุมใหม่ที่ระบุในมาตรฐาน ISO/IEC 27002:2022 ตามความเหมาะสมกับความต้องการที่เปลี่ยนแปลงทางธุรกิจ