มาตรฐาน iso 27001 มีอะไรบ้าง

สำหรับมาตรฐาน ISO/IEC 27001 (ไอเอสโอ/ไออีชี 27001) และ ISO/IEC 17799 (ไอเอสโอ/ไออีชี 17799)

เป็นมาตรฐานนี้เป็นมาตรฐานสากลที่มุ่งเน้นด้านการรักษาความมั่นคงปลอดภัยให้กับระบบสารสนเทศขององค์กร และใช้เป็นมาตรฐานอ้างอิงเพื่อเป็นแนวทางในการเสริมสร้างความมั่นคงปลอดภัย ให้กับระบบสารสนเทศขององค์กรอย่างแพร่หลาย

ความแตกต่างระหว่างมาตรฐาน ISO/IEC 27001 และ ISO/IEC 17799 ระหว่างมาตรฐานทั้งสองสามารถอธิบายได้ดังนี้

มาตรฐาน ISO/IEC 27001 (ไอเอสโอ/ไออีชี 27001) เป็นมาตรฐานที่กำลังได้รับความนิยมอย่างแพร่หลายในปัจจุบัน และกล่าวถึงข้อกำหนดในการจัดทำระบบบริหารจัดการความมั่นคงปลอดภัยหรือ ISMS : Information Security Management (อินฟอเมชั่น ชิคิลิตี้ เมเนจเม้นต์) ให้กับองค์กร ซึ่งวัตถุประสงค์ของมาตรฐานนี้เพื่อให้องค์กร สามารถบริหารจัดการทางด้านความปลอดภัยได้อย่างมีระบบ และเพียงพอเหมาะสมต่อการดำเนินธุรกิจขององค์กร มาตรฐานดังกล่าวมีหัวข้อที่เกี่ยวข้องได้แก่
1. ขอบเขต Scope (สโคป)
2. ศัพท์เทคนิคและนิยาม Terms and definitions (เทอร์ม แอน ดีพินิชั่น)
3. โครงสร้างของมาตรฐาน Structure of this standard (สตักเจอร์ ออฟ ดิส สแตนดาท)
4. การประเมินความเสี่ยงและการจัดการกับความเสี่ยง ลด/ โอนย้าย/ ยอมรับความเสี่ยง Risk assessment and treatment (ริก แอคเซสเม้นต์ แอน เทสเม้นต์)

มาตรฐาน ISO/IEC 17799 (ไอเอสโอ/ไออีชี 17799) เป็นมาตรฐานที่กล่าวถึงเรื่องของวิธีปฎิบัติที่จะนำไปสู่ระบบบริหารจัดการความมั่นคงปลอดภัยที่องค์กรได้จัดทำขึ้น ซึ่งจะต้องเป็นไปตามข้อกำหนดในมาตรฐาน ISO/IEC 27001 รายละเอียดของมาตรฐานนี้จะบอกถึงวิธีปฏิบัติในการลดความเสี่ยงที่เกิดจากจุดอ่อนของระบบโดยแบ่งหัวข้อหลักที่เกี่ยวข้องกับระบบ และให้แนวทางว่าผู้จัดทำควรปฎิบัติอย่างไร ซึ่งผู้ใช้สามารถเพิ่มเติมมาตรการหรือใช้วิธีการที่มีความมั่นคงปลอดภัยเพียงพอ หรือเหมาะสมตามที่องค์กรได้ประเมินไว้ ซึ่งหัวข้อสำคัญหรือ 11 โดเมนหลักในมาตรฐานดังกล่าว มีดังนี้
1. นโยบายความมั่นคงปลอดภัยขององค์กร Security policy (ชิคูลิตี้ โพลิซี่)
2. โครงสร้างด้านความมั่นคงปลอดภัยสำหรับองค์กร Organization of information security (ออแกในเซชั่น ออฟ อินฟอเมชั่น ชิคูลิตี้)
3. การบริหารจัดการทรัพย์สินขององค์กร Asset management (แอคเซส เมเนจเม้นต์)
4. ความมั่นคงปลอดภัยที่เกี่ยวข้องกับบุคลากร Human resources security (ฮูแมน รีซอส ชิคูลิตี้)
5. การสร้างความมั่นคงปลอดภัยทางกายภาพและสิ่งแวดล้อม Physical and environmental security (ไปสิคอล แอน เอนวิโรเมนทรอ ชิคูลิตี้)
6. การบริหารจัดการด้านการสื่อสารและการดำเนินงานของเครือข่ายสารสนเทศ Communication and operations management (คอมมูเนชั่น แอน โอปาเรชั่น เมเนจเม้นต์)
7. การควบคุมการเข้าถึง Access Control (แอคเซส คอลโทรล)
8. การจัดหา การพัฒนาและบำรุงรักษาระบบสารสนเทศ Information systems acquisition, development and maintenance (อินฟอเมชั่น ซิสเต็ม แอคคิวชิชั่น ดีเวอลอปเม้นต์ แอน เมนเทอแนน)
9. การบริหารจัดการเหตุการณ์ที่เกี่ยวข้องกับความมั่นคงปลอดภัยขององค์กร Information security incident management (อินฟอเมชั่น ชิคูลิตี้ อินชิเด้น เมเนจเม้นต์)
10. การบริหารความต่อเนื่องในการดำเนินงานขององค์กร Business continuity management (บิสเน็ต คอนทินูยตี้ เมเนจเม้นต์)
11. การปฏิบัติตามข้อกำหนด Compliance (คอมแพลน)

สรุป
มาตรฐาน ISO/IEC 27001 (ไอเอสโอ/ไออีชี 27001) จะเน้นเรื่องข้อกำหนดในการจัดทำระบบ ISMS (ไอเอสเอ็มเอส) ให้กับองค์กรตามขั้นตอน Plan-Do-Check-Act (แพลน ดู เช็ค แอค) และใช้แนวทางในการประเมินความเสี่ยงมาประกอบการพิจารณาเพื่อหาวิธีการหรือมาตรการที่เหมาะสม

ส่วนมาตรฐาน ISO/IEC 17799 (ไอเอสโอ/ไออีชี 17799) จะเน้นเรื่องวิธีปฎิบัติที่จะนำไปสู่ระบบ ISMS (ไอเอสเอ็มเอส) ที่องค์กรได้จัดทำขึ้น ซึ่งจะต้องเป็นไปตามมาตรฐาน ISO/IEC 27001 (ไอเอสโอ/ไออีชี 27001) กำหนดไว้ด้วย

มาตรฐานสากล ISO

ISO คืออะไร ไอเอสโอ คือองค์การมาตรฐานสากล

อ้างอิง
bloggang.com

oknation.nationtv.tv

Cap & Corp Forum

แม้ว่าพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลพ.ศ. 2562 จะอยู่ในช่วงชะลอการบังคับใช้ไปอีกหนึ่งปีก็ตาม แต่พระราชบัญญัตินี้ก็ถือว่าสร้างความกังวลให้แก่ผู้ประกอบการที่อยู่ในฐานะผู้ควบคุมข้อมูลส่วนบุคคล (Data controller) และผู้ประมวลผลข้อมูลส่วนบุคคล (Data processor) ไม่น้อย เนื่องจากพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ได้บัญญัติหน้าที่ วิธีบริหารและขั้นตอนในการดำเนินการเก็บ รวบรวม ใช้ ประมวลผล รวมถึงการที่ต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลที่เหมาะสม

โดยมีบทกำหนดโทษไว้ในกรณีที่ผู้ประกอบการไม่ปฏิบัติตามทั้งในทางแพ่งที่กำหนดให้มีค่าสินไหมเพื่อการลงโทษ (มาตรา 78) และในทางปกครองโดยกำหนดโทษปรับทางปกครองไว้ค่อนข้างสูงเพื่อปฏิบัติตามกฎหมาย ผู้ประกอบการบางส่วนให้ความสนใจไปที่การจัดทำมาตรฐานความปลอดภัยให้แก่ข้อมูลหรือ ISO 27001 (Information Security Standard) จึงมีคำถามที่ตามมาว่าหากผู้ประกอบการจัดทำมาตรฐานความปลอดภัยตามมาตรฐานของ ISO 27001 แล้วมาตรการดังกล่าวจะเพียงพอหรือไม่ในการปฏิบัติตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ

ISO 27001 ถือเป็นแนวทางการวางมาตรการความปลอดภัยแก่ข้อมูลที่มีมาตรฐานเป็นที่ยอมรับในระดับสากล มีมาตรฐานครอบคลุมสามปัจจัยหลักในการจัดเก็บดูแลรักษาข้อมูล กล่าวคือ 1) บุคลากร 2) ขั้นตอนวิธีการ และ 3) เทคโนโลยีที่นำเข้ามาช่วยในการจัดเก็บข้อมูล โดยนอกจากเป็นการกำหนดมาตรการแล้ว การจัดทำ ISO 27001 ยังเป็นการสร้างวัฒนธรรมองค์กรในเรื่องของมาตรการความปลอดภัยของข้อมูล (Awareness of security incident) และความรู้ความเข้าใจของบุคลากรในการเฝ้าระวัง (Monitor)

และรายงานสถานะความปลอดภัยหรือเหตุการณ์ด้านความปลอดภัยของข้อมูล (Detect & report security incidents) และการดำเนินการตาม ISO 27001 ยังทำให้ผู้ประกอบการต้องจัดให้มีระบบในการวางแผน พัฒนา และติดตั้งระบบการจัดการความปลอดภัยของข้อมูลหรือ Information Security Management System (ISMS) ซึ่งเป็นมาตรการและวิธีการในการจัดการความเสี่ยงทั้งในด้าน กฎหมาย (Legal) เทคนิค (Technical) และกายภาพ (Physical) โดย ISO 27001 จะให้ความสำคัญกับการจัดการใน 6 ประเด็น ดังนี้

การบริหารจัดการสินทรัพย์ (Asset management)
ความปลอดภัยในด้านการดำเนินงาน (Operational security)
การควบคุมการเข้าถึงข้อมูล (Access control)
ความปลอดภัยของข้อมูล (Information security incident management)
การสร้างความตระหนักเรื่องมาตรการความปลอดภัยแก่บุคลากรขององค์กรแลละคู่สัญญาต่าง ๆ ขององค์กร (Human resource security)
ความต่อเนื่องของมาตรการความปลอดภัยแก่ข้อมูล (Business continuity)

เมื่อมีการทำมาตรฐานด้านความปลอดภัยแก่ข้อมูลให้เป็นไปตาม ISO 27001 แล้ว จะเห็นได้ว่าการจัดทำมาตรการความปลอดภัยดังกล่าวจะช่วยให้ผู้ประกอบการดำเนินการตามหน้าที่ที่พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ กำหนดได้บางส่วนในเรื่องของความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลในมิติต่อไปนี้

การรักษาไว้ซึ่งความลับ (Confidentiality) ความถูกต้อง (Integrity) และสภาพพร้อมใช้งาน (Availability) ของข้อมูลส่วนบุคคลซึ่งจะสอดคล้องกับข้อกำหนดตามประกาศกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมเรื่องมาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล พ.ศ. 2563
การแจ้งเตือนกรณีมีข้อมูลรั่วไหล (Breach notification) ตามมาตรา 37(4)
การทำบันทึกรายการข้อมูลส่วนบุคคลวัตถุประสงค์การจัดเก็บข้อมูลการใช้และเข้าถึงข้อมูล

แม้ว่าการจัดทำ ISO 27001 จะมีกระบวนการบางอย่างที่ทำให้ผู้ประกอบการสามารถปฏิบัติตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ได้ แต่ ISO 27001 ก็เป็นเพียงมิติหนึ่งเท่านั้นเนื่องจาก ISO 27001 และพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ มีวัตถุประสงค์ที่ต่างกัน โดยพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ มีเป้าหมายหลักในการกำหนดมาตรฐานให้แก่องค์กรต่าง ๆ ในการเก็บรวบรวม ใช้ และประมวลผลข้อมูลส่วนบุคคลเพื่อประโยชน์ในการปกป้องคุ้มครองความเป็นส่วนตัวของข้อมูลส่วนบุคคล (Data privacy)

ในขณะที่ ISO 27001 มุ่งหมายเฉพาะเรื่องการสร้างมาตรการความปลอดภัยของข้อมูล (Information security) และมี “การประเมินความเสี่ยงของข้อมูล” (Information security risk assessment) เป็นหัวใจสำคัญของการทำระบบการจัดการความมั่นคงปลอดภัยของข้อมูล แต่อาจจะขาดมิติในเรื่องของกระบวนการต่าง ๆ ก่อนการได้มาซึ่งข้อมูลส่วนบุคคลและการบริหารจัดการต่าง ๆ ที่เกี่ยวกับสิทธิของเจ้าของข้อมูลส่วนบุคคลไป

ทั้งนี้ ตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ได้บัญญัติรองรับสิทธิของเจ้าของข้อมูลส่วนบุคคล (Rights of data subjects) ไว้หลายประการดังต่อไปนี้

สิทธิในการให้ความยินยอมและการเพิกถอนความยินยอม (Data consent)
การโอนข้อมูลไปยังต่างประเทศ
สิทธิในการเข้าถึงทำสำเนาและโอนข้อมูลส่วนบุคคล (Data portability)
สิทธิในการคัดค้านการเก็บรวบรวมใช้หรือเปิดเผยข้อมูลส่วนบุคคล (Right toobject)
สิทธิในการขอให้ลบหรือทำลายหรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวตนได้ (Right to be forgotten)
สิทธิในการขอให้แก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง (Right to rectification)

ดังนั้น จึงเป็นหน้าที่ของผู้ประกอบการที่ต้องพัฒนาระบบการจัดการข้อมูลของตนให้สอดคล้องกับพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ เพื่อให้ผู้รับบริการสามารถใช้สิทธิอันเกี่ยวกับข้อมูลส่วนบุคคลได้ตามที่กฎหมายกำหนดข้างต้นได้อีกด้วย

ในทัศนะของผู้เขียนจึงเห็นว่าผู้ประกอบการไม่สามารถปฏิบัติหน้าที่ตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ได้อย่างครบถ้วนได้ด้วยการจัดให้องค์กรมีมาตราฐานตาม ISO 27001 เท่านั้น เนื่องจากแนวปฏิบัติที่ดีตาม ISO 27001 เป็นเพียงส่วนช่วยด้านความปลอดภัยของข้อมูลส่วนบุคคลซึ่งเป็นเพียงส่วนหนึ่งของการปฏิบัติตามพ.ร.บ.ข้อมูลส่วนบุคคลฯ

แต่การที่ผู้ประกอบการจะสามารถปฏิบัติตามพ.ร.บ.ข้อมูลส่วนบุคคลฯ ได้อย่างถูกต้องครบถ้วน จะต้องพิจารณาตั้งแต่ขั้นตอนการได้มาซึ่งข้อมูลส่วนบุคคลว่าได้มาอย่างไร ชอบด้วยกฎหมายหรือไม่ มีฐานความชอบด้วยกฎหมายอย่างไร ใช้และประมวลผลข้อมูลที่ได้ในกรณีใดได้บ้าง ใครบ้างมีสิทธิเข้าถึงข้อมูลที่ได้มา และมีมาตรการด้านความมั่นคงปลอดภัยอย่างไร เป็นต้น

เมื่อ ISO 27001 เป็นเพียงองค์ประกอบหนึ่งในการปฏิบัติตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ดังนั้น ในช่วงการพักการบังคับใช้กฎหมายไว้ชั่วคราวนี้ จึงเป็นโอกาสอันดีที่ผู้ประกอบการในฐานะที่เป็นผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลควรจะเร่งดำเนินการต่าง ๆ เพื่อให้มีมาตรการที่สอดคล้องกับกรอบและข้อกำหนดต่าง ๆ ที่กฎหมายกำหนดไว้ โดยเฉพาะการบริหารการใช้สิทธิต่าง ๆ ของเจ้าของข้อมูล ลำพัง ISO 27001 จึงยังไม่เพียงพอครับ

…

ศุภวัชร์ มาลานนท์

คณะนิติศาสตร์ มหาวิทยาลัยสงขลานครินทร์

Max Planck Institute Luxembourg

ชิโนภาส อุดมผล

Optimum Solution Defined (OSDCo., Ltd.)