Cybersecurity

6 สิ่งที่ต้องคำนึงถึงก่อนใช้งาน ISMS

Information Security Management (ISMS) กับ ISO 27001 เกี่ยวข้องกันอย่างไรแล้วมีอะไรเป็นลู่ทางพัฒนาองค์กร

ในบทความนี้จะพูดถึงองค์ประกอบสำคัญที่เกี่ยวกับ ISO 27001 ว่าด้วยเรื่องเกี่ยวกับ Information Security Management System (ISMS) ภายในองค์กร

องค์ประกอบที่เราพูดถึงเป็นตัวชี้ความสำเร็จและความล้มเหลวของการใช้ ISMS ทั้งกิจกรรมรายวัน และแหล่งข้อมูลสำหรับการทำระบบ

ปัจจัยอะไรบ้างที่เราต้องคำนึงถึงหากต้องการใช้ ISMS?

1. ความช่วยเหลือและการสนับสนุน

ก่อนอื่นเราต้องทราบว่าความช่วยเหลือและแรงผลักดันของผู้ใหญ่ในองค์กรสำหรับการบริหารจัดการความปลอดภัยข้อมูล โดยเฉพาะการเริ่มต้นใช้งาน ISMS ของเรานั้นดีแค่ไหน

ไม่ว่าผู้รับผิดชอบส่วนนี้จะเกิดจากภาคส่วนไหนขององค์กรก็ตาม ต้องได้รับความยินยอมและความช่วยเหลือจากผู้บริหารในองค์กร จะให้ดีต้องร่างโครงสร้างขององค์กรให้มีความร่วมมือระหว่างองค์กรทั้งภายในและภายนอก

2. โครงสร้างการตัดสินใจ

6_ISMS-768x770

จุดประสงค์ของกิจกรรมความปลอดภัยก็เพื่อรักษาระเบียบวินัยของการตัดสินใจที่เกี่ยวข้องกับการดำเนินการใดๆที่เกี่ยวข้องกับระบบ อย่างเช่น การควบคุมของผู้ดูแลระบบความปลอดภัย

โดยทั่วไปแล้วการควบรวมการตัดสินใจจะทำให้เห็นมุมมองที่หลากหลายมากขึ้นจากสมาชิกภายในองค์กร ไม่ว่าจะเป็นตัวผู้ใช้ ผู้ดูแล ผู้ตรวจสอบบัญชี ผู้เชี่ยวชาญด้านความปลอดภัย และแผนกอื่นๆ อย่างกฎหมาย ฝ่ายบุคคล ไอที และอื่นๆ

3. วิเคราะห์ความต่าง

วิเคราะห์ความแตกต่างระหว่างมาตรฐานความปลอดภัยกับความปลอดภัยภายในองค์กร ณ ปัจจุบัน โดยวัดเป็นข้อๆ

การวิเคราะห์นี้จะทำให้เราเห็นเป้าหมายและสิ่งที่เป็นอยู่อย่างชัดเจน แม้เกณฑ์จะมีความยืดหยุ่นและแตกต่างตามการใช้งาน แต่สิ่งที่เราต้องการก็คือสิ่งที่เหมาะสมที่สุดสำหรับองค์กรของเรา

4. Business Impact Analysis (BIA)

BIA เป็นหนึ่งในเครื่องมือที่ใช้วัดผลกระทบที่เป็นไปได้หากองค์กรต้องเผชิญกับเหตุการณ์ใดเหตุการณ์หนึ่ง

โดยแบ่งจุดประสงค์ออกเป็น 2 จุดประสงค์คือ 1. ระบุกระบวนการทำงานขั้นพื้นฐานขององค์กรและจัดลำดับความสำคัญ 2. จัดอันดับผลกระทบที่จะเกิดขึ้นของแต่ละกระบวนการ

การวิเคราะห์แบบ BIA เกี่ยวข้องโดยตรงกับขั้นตอนการดำเนินการ เพราะตลอดทุกกระบวนการมีผลกระทบต่อองค์กรทั้งสิ้น

5. ต้นทุน: เงิน เวลา และบุคลากร

เมื่อวิเคราะห์ความแตกต่างระหว่างเป้าหมายและความเป็นจริง ณ ปัจจุบันแล้วต่อมาก็คงหนีไม่พ้นการดำเนินการ ซึ่งจะต้องมีสิ่งที่เรียกว่าต้นทุน ที่ประกอบไปด้วยเงิน เวลา และบุคลากร

มาตรอย่างน้อยที่เราจำเป็นต้องไปให้ถึงก็คือ ISO/IEC 27001 ปัจจัยแรกเลยที่สามารถประเมินได้ก็คือเวลา และบุคลากร

ระยะเวลาที่เหมาะสมก็คือไม่เกิน 1 ปี ที่จะเดินให้ครบรอบแรกของความเสี่ยง การบริหารจัดการ และการปกป้ององค์กรจากภัยคุกคามใหม่ๆ

ต้นทุนที่เราใช้นับเป็นต้นทุนในการบริหารจัดการความเสี่ยง ซึ่งองค์กรจำเป็นต้องจัดหาผู้รับผิดชอบด้านเทคนิค และเดินระบบ พร้อมกับอบรมผู้ใช้งาน และคนอื่นๆให้สามารถปฏิบัติตามและบรรลุจุดประสงค์ของ ISMS ได้

6. วิเคราะห์มมาตรฐานความปลอดภัย

มาตรฐานของความปลอดภัยพื้นฐานก่อน ISMS ก็คือ ISO/IEC 27001 ที่มีมาตรฐานมาจาก ISO/IEC 27000 ซึ่งเพียงพอที่จะทำให้เราเข้าใจเกี่ยวกับการดำเนินการ ISMS ได้

ท้ายที่สุดสิ่งที่องค์กรต้องการก็คือการดำเนินงานที่สามารถปกป้องข้อมูล และทรัพย์สินอื่นๆขององค์กรได้เป็นอย่างดี

how-to-implement-a-robust-information-security-management-system-1-638

Author: MIGUEL ÁNGEL MENDOZA
Source:
https://www.welivesecurity.com/2017/12/06/six-things-implementing-isms/
Translated by: Worapon H.

%d bloggers like this: