ในบทความนี้จะพูดถึงองค์ประกอบสำคัญที่เกี่ยวกับ ISO 27001 ว่าด้วยเรื่องเกี่ยวกับ Information Security Management System (ISMS) ภายในองค์กร
องค์ประกอบที่เราพูดถึงเป็นตัวชี้ความสำเร็จและความล้มเหลวของการใช้ ISMS ทั้งกิจกรรมรายวัน และแหล่งข้อมูลสำหรับการทำระบบ
ปัจจัยอะไรบ้างที่เราต้องคำนึงถึงหากต้องการใช้ ISMS?
1. ความช่วยเหลือและการสนับสนุน
ก่อนอื่นเราต้องทราบว่าความช่วยเหลือและแรงผลักดันของผู้ใหญ่ในองค์กรสำหรับการบริหารจัดการความปลอดภัยข้อมูล โดยเฉพาะการเริ่มต้นใช้งาน ISMS ของเรานั้นดีแค่ไหน
ไม่ว่าผู้รับผิดชอบส่วนนี้จะเกิดจากภาคส่วนไหนขององค์กรก็ตาม ต้องได้รับความยินยอมและความช่วยเหลือจากผู้บริหารในองค์กร จะให้ดีต้องร่างโครงสร้างขององค์กรให้มีความร่วมมือระหว่างองค์กรทั้งภายในและภายนอก
2. โครงสร้างการตัดสินใจ
จุดประสงค์ของกิจกรรมความปลอดภัยก็เพื่อรักษาระเบียบวินัยของการตัดสินใจที่เกี่ยวข้องกับการดำเนินการใดๆที่เกี่ยวข้องกับระบบ อย่างเช่น การควบคุมของผู้ดูแลระบบความปลอดภัย
โดยทั่วไปแล้วการควบรวมการตัดสินใจจะทำให้เห็นมุมมองที่หลากหลายมากขึ้นจากสมาชิกภายในองค์กร ไม่ว่าจะเป็นตัวผู้ใช้ ผู้ดูแล ผู้ตรวจสอบบัญชี ผู้เชี่ยวชาญด้านความปลอดภัย และแผนกอื่นๆ อย่างกฎหมาย ฝ่ายบุคคล ไอที และอื่นๆ
3. วิเคราะห์ความต่าง
วิเคราะห์ความแตกต่างระหว่างมาตรฐานความปลอดภัยกับความปลอดภัยภายในองค์กร ณ ปัจจุบัน โดยวัดเป็นข้อๆ
การวิเคราะห์นี้จะทำให้เราเห็นเป้าหมายและสิ่งที่เป็นอยู่อย่างชัดเจน แม้เกณฑ์จะมีความยืดหยุ่นและแตกต่างตามการใช้งาน แต่สิ่งที่เราต้องการก็คือสิ่งที่เหมาะสมที่สุดสำหรับองค์กรของเรา
4. Business Impact Analysis (BIA)
BIA เป็นหนึ่งในเครื่องมือที่ใช้วัดผลกระทบที่เป็นไปได้หากองค์กรต้องเผชิญกับเหตุการณ์ใดเหตุการณ์หนึ่ง
โดยแบ่งจุดประสงค์ออกเป็น 2 จุดประสงค์คือ 1. ระบุกระบวนการทำงานขั้นพื้นฐานขององค์กรและจัดลำดับความสำคัญ 2. จัดอันดับผลกระทบที่จะเกิดขึ้นของแต่ละกระบวนการ
การวิเคราะห์แบบ BIA เกี่ยวข้องโดยตรงกับขั้นตอนการดำเนินการ เพราะตลอดทุกกระบวนการมีผลกระทบต่อองค์กรทั้งสิ้น
5. ต้นทุน: เงิน เวลา และบุคลากร
เมื่อวิเคราะห์ความแตกต่างระหว่างเป้าหมายและความเป็นจริง ณ ปัจจุบันแล้วต่อมาก็คงหนีไม่พ้นการดำเนินการ ซึ่งจะต้องมีสิ่งที่เรียกว่าต้นทุน ที่ประกอบไปด้วยเงิน เวลา และบุคลากร
มาตรอย่างน้อยที่เราจำเป็นต้องไปให้ถึงก็คือ ISO/IEC 27001 ปัจจัยแรกเลยที่สามารถประเมินได้ก็คือเวลา และบุคลากร
ระยะเวลาที่เหมาะสมก็คือไม่เกิน 1 ปี ที่จะเดินให้ครบรอบแรกของความเสี่ยง การบริหารจัดการ และการปกป้ององค์กรจากภัยคุกคามใหม่ๆ
ต้นทุนที่เราใช้นับเป็นต้นทุนในการบริหารจัดการความเสี่ยง ซึ่งองค์กรจำเป็นต้องจัดหาผู้รับผิดชอบด้านเทคนิค และเดินระบบ พร้อมกับอบรมผู้ใช้งาน และคนอื่นๆให้สามารถปฏิบัติตามและบรรลุจุดประสงค์ของ ISMS ได้
6. วิเคราะห์มมาตรฐานความปลอดภัย
มาตรฐานของความปลอดภัยพื้นฐานก่อน ISMS ก็คือ ISO/IEC 27001 ที่มีมาตรฐานมาจาก ISO/IEC 27000 ซึ่งเพียงพอที่จะทำให้เราเข้าใจเกี่ยวกับการดำเนินการ ISMS ได้
ท้ายที่สุดสิ่งที่องค์กรต้องการก็คือการดำเนินงานที่สามารถปกป้องข้อมูล และทรัพย์สินอื่นๆขององค์กรได้เป็นอย่างดี
Author: MIGUEL ÁNGEL MENDOZA
Source: https://www.welivesecurity.com/2017/12/06/six-things-implementing-isms/
Translated by: Worapon H.
WeLiveSecurity Thai Edition's 
ในบทความนี้จะพูดถึงองค์ประกอบสำคัญที่เกี่ยวกับ ISO 27001 ว่าด้วยเรื่องเกี่ยวกับ Information Security Management System (ISMS) ภายในองค์กร
องค์ประกอบที่เราพูดถึงเป็นตัวชี้ความสำเร็จและความล้มเหลวของการใช้ ISMS ทั้งกิจกรรมรายวัน และแหล่งข้อมูลสำหรับการทำระบบ
ปัจจัยอะไรบ้างที่เราต้องคำนึงถึงหากต้องการใช้ ISMS?
1. ความช่วยเหลือและการสนับสนุน
ก่อนอื่นเราต้องทราบว่าความช่วยเหลือและแรงผลักดันของผู้ใหญ่ในองค์กรสำหรับการบริหารจัดการความปลอดภัยข้อมูล โดยเฉพาะการเริ่มต้นใช้งาน ISMS ของเรานั้นดีแค่ไหน
ไม่ว่าผู้รับผิดชอบส่วนนี้จะเกิดจากภาคส่วนไหนขององค์กรก็ตาม ต้องได้รับความยินยอมและความช่วยเหลือจากผู้บริหารในองค์กร จะให้ดีต้องร่างโครงสร้างขององค์กรให้มีความร่วมมือระหว่างองค์กรทั้งภายในและภายนอก
2. โครงสร้างการตัดสินใจ
จุดประสงค์ของกิจกรรมความปลอดภัยก็เพื่อรักษาระเบียบวินัยของการตัดสินใจที่เกี่ยวข้องกับการดำเนินการใดๆที่เกี่ยวข้องกับระบบ อย่างเช่น การควบคุมของผู้ดูแลระบบความปลอดภัย
โดยทั่วไปแล้วการควบรวมการตัดสินใจจะทำให้เห็นมุมมองที่หลากหลายมากขึ้นจากสมาชิกภายในองค์กร ไม่ว่าจะเป็นตัวผู้ใช้ ผู้ดูแล ผู้ตรวจสอบบัญชี ผู้เชี่ยวชาญด้านความปลอดภัย และแผนกอื่นๆ อย่างกฎหมาย ฝ่ายบุคคล ไอที และอื่นๆ
3. วิเคราะห์ความต่าง
วิเคราะห์ความแตกต่างระหว่างมาตรฐานความปลอดภัยกับความปลอดภัยภายในองค์กร ณ ปัจจุบัน โดยวัดเป็นข้อๆ
การวิเคราะห์นี้จะทำให้เราเห็นเป้าหมายและสิ่งที่เป็นอยู่อย่างชัดเจน แม้เกณฑ์จะมีความยืดหยุ่นและแตกต่างตามการใช้งาน แต่สิ่งที่เราต้องการก็คือสิ่งที่เหมาะสมที่สุดสำหรับองค์กรของเรา
4. Business Impact Analysis (BIA)
BIA เป็นหนึ่งในเครื่องมือที่ใช้วัดผลกระทบที่เป็นไปได้หากองค์กรต้องเผชิญกับเหตุการณ์ใดเหตุการณ์หนึ่ง
โดยแบ่งจุดประสงค์ออกเป็น 2 จุดประสงค์คือ 1. ระบุกระบวนการทำงานขั้นพื้นฐานขององค์กรและจัดลำดับความสำคัญ 2. จัดอันดับผลกระทบที่จะเกิดขึ้นของแต่ละกระบวนการ
การวิเคราะห์แบบ BIA เกี่ยวข้องโดยตรงกับขั้นตอนการดำเนินการ เพราะตลอดทุกกระบวนการมีผลกระทบต่อองค์กรทั้งสิ้น
5. ต้นทุน: เงิน เวลา และบุคลากร
เมื่อวิเคราะห์ความแตกต่างระหว่างเป้าหมายและความเป็นจริง ณ ปัจจุบันแล้วต่อมาก็คงหนีไม่พ้นการดำเนินการ ซึ่งจะต้องมีสิ่งที่เรียกว่าต้นทุน ที่ประกอบไปด้วยเงิน เวลา และบุคลากร
มาตรอย่างน้อยที่เราจำเป็นต้องไปให้ถึงก็คือ ISO/IEC 27001 ปัจจัยแรกเลยที่สามารถประเมินได้ก็คือเวลา และบุคลากร
ระยะเวลาที่เหมาะสมก็คือไม่เกิน 1 ปี ที่จะเดินให้ครบรอบแรกของความเสี่ยง การบริหารจัดการ และการปกป้ององค์กรจากภัยคุกคามใหม่ๆ
ต้นทุนที่เราใช้นับเป็นต้นทุนในการบริหารจัดการความเสี่ยง ซึ่งองค์กรจำเป็นต้องจัดหาผู้รับผิดชอบด้านเทคนิค และเดินระบบ พร้อมกับอบรมผู้ใช้งาน และคนอื่นๆให้สามารถปฏิบัติตามและบรรลุจุดประสงค์ของ ISMS ได้
6. วิเคราะห์มมาตรฐานความปลอดภัย
มาตรฐานของความปลอดภัยพื้นฐานก่อน ISMS ก็คือ ISO/IEC 27001 ที่มีมาตรฐานมาจาก ISO/IEC 27000 ซึ่งเพียงพอที่จะทำให้เราเข้าใจเกี่ยวกับการดำเนินการ ISMS ได้
ท้ายที่สุดสิ่งที่องค์กรต้องการก็คือการดำเนินงานที่สามารถปกป้องข้อมูล และทรัพย์สินอื่นๆขององค์กรได้เป็นอย่างดี
Author: MIGUEL ÁNGEL MENDOZA
Source: https://www.welivesecurity.com/2017/12/06/six-things-implementing-isms/
Translated by: Worapon H.
แบ่งปันสิ่งนี้: