มาตรฐานความปลอดภัยข้อมูลที่สำคัญได้รับการแก้ไข

การควบคุมอย่างต่อเนื่อง: แนวทางฉบับใหม่เกี่ยวกับการควบคุมการจัดการความปลอดภัยของข้อมูล

มาตรฐานความปลอดภัยทางไซเบอร์สากลที่ได้รับการแก้ไขใหม่จะช่วยให้ผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูลพิจารณาและใช้มาตรการควบคุมความปลอดภัยของข้อมูลเพื่อจัดการกับความเสี่ยงด้านความปลอดภัยของข้อมูลล่าสุด บทความนี้จะอธิบายถึงสิ่งที่มาตรฐานได้รับการแก้ไข และประโยชน์ที่ธุรกิจจะได้รับจากการใช้มาตรฐานนี้

ในโลกที่การรักษาความปลอดภัยของข้อมูลเป็นสิ่งสำคัญสำหรับทุกองค์กร และด้วยอัตราการเปลี่ยนแปลงของเทคโนโลยีและความเสี่ยงด้านความปลอดภัยทางไซเบอร์ การรักษาระบบและกระบวนการให้ทันสมัยอยู่เสมอด้วยรูปแบบการรักษาความปลอดภัยข้อมูลที่เปลี่ยนแปลงไปนั้นจึงจำเป็นต้องให้ความสำคัญเป็นลำดับแรก

ISO/IEC 27002:2022 ความปลอดภัยของข้อมูล ความปลอดภัยทางไซเบอร์ และการปกป้องความเป็นส่วนตัว – การควบคุมความปลอดภัยของข้อมูลเป็นมาตรฐานสากลที่ได้รับการแก้ไขใหม่ โดยให้คำแนะนำในการเลือกและการนำการควบคุมความปลอดภัยไปประยุกต์ใช้ภายในระบบการจัดการความปลอดภัยของข้อมูล (ISMS) ตามข้อกำหนดใน BS EN ISO/IEC 27001

การแก้ไขมาตรฐานนี้นำเสนอแนวทางที่ทันสมัยในการจัดการการควบคุมความปลอดภัยด้วยคุณลักษณะต่าง ๆ ซึ่งรวมถึงการแนะนำประเด็นหลักและคุณลักษณะ ตลอดจนการอัปเดตการควบคุมของคู่แข่งเพื่อสะท้อนข้อกังวลและแนวทางปฏิบัติด้านความปลอดภัยของข้อมูลในปัจจุบัน ISO/IEC 27002:2022 มีเป้าหมายเพื่อให้ธุรกิจทุกขนาดและทุกภาคส่วนมีแนวทางการควบคุมความปลอดภัยแบบใหม่ โดยมีเป้าหมายเพื่อทำให้แนวทางนี้ทันสมัย ง่ายยิ่งขึ้น และหลากหลาย เพื่อให้องค์กรมีอิสระในการเลือกและกำหนดขอบเขตการควบคุมความปลอดภัยตามความเหมาะสม

มาตรฐาน ISO/IEC 27002 และ BS EN ISO/IEC 27001 ทำงานร่วมกันอย่างไร

BS EN ISO/IEC 27001 มีส่วนประกอบและโครงสร้างที่สำคัญสำหรับองค์กรของท่าน เพื่อให้เกิดการจัดการความปลอดภัยของข้อมูลที่มีประสิทธิภาพ หนึ่งในองค์ประกอบที่สำคัญเหล่านี้คือการปรับใช้มาตรการควบคุมความปลอดภัยของข้อมูลที่เหมาะสม การควบคุมเหล่านี้จำเป็นต้องได้รับการประเมินอย่างรอบคอบและพิจารณาตามพื้นฐานความเสี่ยงและความต้องการขององค์กรของท่านด้วยมาตรฐาน ISO/IEC 27002 ที่มีชุดการควบคุมที่เหมาะสมที่สุดในการพิจารณา

ISO/IEC 27002 เกี่ยวกับการควบคุมความปลอดภัยของข้อมูลซึ่งทำหน้าที่เป็นแนวทางเพื่อช่วยให้องค์กรต่าง ๆ พิจารณาและดำเนินการควบคุมความปลอดภัยของข้อมูลที่เป็นที่ยอมรับภายในระบบการจัดการความปลอดภัยของข้อมูล แนวทางในมาตรฐานนี้ได้รับการพัฒนาโดยคณะกรรมการผู้เชี่ยวชาญในอุตสาหกรรมระหว่างประเทศและของสหราชอาณาจักร โดยอิงจากฉันทามติระหว่างประเทศเกี่ยวกับแนวทางปฏิบัติที่ดีที่สุด

มาตรฐานฉบับใหม่นี้มีสิ่งใดเปลี่ยนแปลงบ้าง

แม้ว่า ISO/IEC 27002:2022 จะไม่ได้อธิบายว่าเป็น “หลักปฏิบัติ” แต่จุดประสงค์ที่มุ่งมั่นก็ไม่ได้เปลี่ยนแปลง ยังคงเป็น "หนังสือคู่มืออ้างอิง" และให้ชุดควบคุมความปลอดภัยของข้อมูลที่อ้างอิงได้โดยบรรลุความครอบคลุมที่ครอบคลุมวิธีการอธิบายมาตรการควบคุมความปลอดภัยของข้อมูล

มาตรฐานที่ปรับปรุงใหม่นี้มีจุดมุ่งหมายเพื่อให้มั่นใจว่าไม่มีการมองข้ามการควบคุมที่จำเป็น และแนวทางดังกล่าวจะรวมเป็น 4 ประเด็นหลัก ซึ่งทำให้ธุรกิจสามารถนำไปปรับใช้ได้ง่ายขึ้น 4 ประเด็นหลักของการควบคุมคือ: องค์กร บุคลากร กายภาพ เทคโนโลยี

ด้วยเหตุนี้ ในมาตรฐานที่แก้ไขแล้ว ผู้ใช้จะพบว่ามีการปรับโครงสร้างการควบคุมที่มีอยู่และจำนวนมาตรการควบคุมความปลอดภัยที่ระบุไว้ลดลงจาก 114 เป็น 93 โดยมีการนำตัวควบคุมบางส่วนออกเนื่องจากไม่ได้สะท้อนแนวปฏิบัติที่ดีที่สุดอีกต่อไป

มีการแนะนำมาตรการควบคุมใหม่ 11 ข้อ มีการผสานมาตรการควบคุม 24 ข้อ และมีมาตรฐานควบคุม 58 ข้อที่ได้รับการอัปเดตในเวอร์ชันล่าสุดของมาตรฐาน ISO/IEC 27002 สิ่งเหล่านี้สะท้อนถึงวิวัฒนาการของเทคโนโลยีและแนวปฏิบัติทางอุตสาหกรรม ซึ่งรวมถึงข้อมูลวิเคราะห์เชิงลึก ความปลอดภัยของข้อมูลสำหรับการใช้บริการคลาวด์ และการป้องกันการรั่วไหลของข้อมูล ซึ่งจะทำให้มั่นใจได้ว่าธุรกิจต่าง ๆ จะสามารถควบคุมการรักษาความปลอดภัยของข้อมูลได้อย่างต่อเนื่อง แม้ว่าลักษณะของการโจมตีทางไซเบอร์จะเปลี่ยนแปลงไปก็ตาม

Steve Watkins (ประธาน IST 33) กล่าวว่า "การอัปเดตของมาตรฐาน ISO/IEC 27002 ทำให้ตัวเลือกมาตรการควบคุมและคำอธิบายเป็นปัจจุบัน และการแนะนำประเด็นหลักและคุณลักษณะต่าง ๆ เพื่อช่วยเหลือองค์กรในการเลือกและปรับใช้ในการจัดการความเสี่ยงด้านความปลอดภัยในโลกไซเบอร์

เพื่อช่วยให้ผู้ใช้มาตรฐาน BS EN ISO/IEC 27002:2013 เวอร์ชันก่อนหน้าทราบวิธีใช้แนวทางที่อัปเดตในปี 2021 ภาคผนวก A ของมาตรฐาน 27002 ฉบับใหม่ได้สาธิตการใช้คุณลักษณะเพื่อสร้างมุมมองที่แตกต่างกันของมาตรการควบคุม นอกจากนี้ ภาคผนวก B ที่อัปเดตใหม่ยังมีการอ้างอิงถึงตัวระบุมาตรการควบคุมเวอร์ชัน 2013 เพื่อให้สามารถสอดคล้องกันได้

เหตุใดธุรกิจต่าง ๆ จึงควรปรับใช้การเปลี่ยนแปลงเหล่านี้

เนื่องจากการระบาดใหญ่ของ COVID-19 ธุรกิจส่วนใหญ่ถูกบังคับให้เร่งการเปลี่ยนแปลงทางดิจิทัลและพึ่งพาโครงสร้างพื้นฐานระบบคลาวด์มากขึ้น เนื่องจากพนักงานจำนวนมากยังคงปรับตัวและปรับตัวสู่รูปแบบการทำงานแบบไฮบริด

ขณะที่องค์กรต่าง ๆ พบว่าตนมีจุดยืนท่ามกลางการเปลี่ยนแปลงอันรวดเร็วเหล่านี้ อาชญากรไซเบอร์กำลังค้นหาวิธีใช้ประโยชน์จากช่องโหว่ภายในระบบใหม่เหล่านี้ ด้วยเทคโนโลยีที่ล้ำหน้ากว่าที่เคย

เมื่อพิจารณาจากจำนวนสถานที่ทำงานและการดำเนินธุรกิจในแต่ละวันที่มีระบบดิจิทัลในช่วงการแพร่ระบาดของโควิด มาตรฐาน ISO/IEC 27002:2022 จะช่วยเหลือองค์กรให้ประสบความสำเร็จในการจัดการความปลอดภัยของข้อมูลอย่างมีประสิทธิภาพในสภาพแวดล้อมที่มีความเสี่ยงสูงในปัจจุบันได้อย่างไร

ที่สำคัญคือ มาตรฐานนี้จะช่วยองค์กรในการระบุ การประยุกต์ใช้ และการจัดการมาตรการควบคุมความปลอดภัยของข้อมูลที่เป็นปัจจุบันในสภาพแวดล้อมปัจจุบัน มาตรการควบคุมเหล่านี้จะรวมถึงนโยบาย กฎเกณฑ์ กระบวนการ ขั้นตอน โครงสร้างองค์กร และโซลูชันซอฟต์แวร์และฮาร์ดแวร์

ซึ่งช่วยให้ธุรกิจระบุมาตรการควบคุมได้อย่างเหมาะสมและเป็นสัดส่วนอย่างยั่งยืน และดำเนินงานเพื่อเพิ่มความเหมาะสมโดยรวมของระบบการจัดการความปลอดภัยของข้อมูล

เพื่อให้ได้ประโยชน์สูงสุดจากมาตรฐานฉบับแก้ไขนี้ แต่ละองค์กรควรทบทวนและพิจารณาชุดมาตรการควบคุมใหม่ที่ระบุในมาตรฐาน ISO/IEC 27002:2022 ตามความเหมาะสมกับความต้องการที่เปลี่ยนแปลงทางธุรกิจ