แนวคิด
ปัจจุบันเป็นยุคของข้อมูลข่าวสาร โดยข้อมูลหรือสารสนเทศเป็นสิ่งที่สำคัญที่สุดในการดำเนินธุรกิจ หรือในการบริหารและป้องกันประเทศ หรือแม้กระทั่งในการดำเนินชีวิตประจำเป็นของแต่ละคนก็เป็นสิ่งที่ขาดไม่ได้ แต่หากมองอีกมุมหนึ่งก็เป็นภัยร้ายแรงต่อองค์กรได้เช่นกัน เช่น หากข้อมูลต่าง ๆ เหล่านี้ตกไปอยู่ในมือคู่แข่งทางการค้า หรือผู้ที่ไม่ประสงค์ดี หรือผู้ที่ไม่สมควรรู้ ดั้งนั้นจึงจำเป็นต้องมีการควบคุมข้อมูลสำคัญ ๆ ขององค์กร ไม่ว่าจะเป็นแบบสินค้า ข้อมูลลูกค้า เพื่อป้องกันการดำเนินธุรกิจให้เป็นไปอย่างต่อเนื่องและเสริมสร้างความเชื่อมั่นให้กับลูกค้า ตลอดจนผู้ถือหุ้นและพนักงาน ในปัจจุบันหลาย ๆ องค์กรได้นำเอามาตรฐานต่าง ๆ มาใช้เพื่อให้มีประสิทธิภาพและเกิดความน่าเชื่อถือในการควบคุมข้อมูลต่าง ๆ หลายระบบอย่างเป็นสากล เช่น COBIT, ITIL, ISO/IEC 27001:2005, ISO/IEC 17799:2005 เป็นต้น
มาตรฐานที่เป็นที่นิยมใช้กันแพร่หลายซึ่งครอบคลุมข้อมูลทุกประเภท และมีความน่าเชื่อถือในระดับสากล คือ ISO/IEC 27001 และมาตรฐาน ISO/IEC 177799 ซึ่งทั้งสองมาตรฐานนี้ควรจะใช้ร่วมกัน โดย ISO/IEC 27001 จะเป็นกรอบหรือแนวทางปฏิบัติสำหรับระบบการบริหารความปลอดภัยสารสนเทศ และ ISO/IEC 17799 จะเป็นกรอบด้านเทคนิคของการควบคุมข้อมูล ส่วนมาตรฐาน ISO 20000 เป็นมาตรฐานที่เน้นเรื่องการบริหารการให้บริการด้านไอทีเพื่อมุ่งเน้นความต้องการของลูกค้าเป็นหลัก ส่วน ITIL (Information Technology and related Technology) เป็นทั้งแนวคิดและแนวทางในการปฏิบัติ (Framework) เพื่อการควบคุมภายในที่ดีด้านเทคโนโลยีสำหรับองค์กรต่าง ๆ ที่จะใช้อ้างอิงแนวทางการปฏิบัติที่ดี (Best Practice) ซึ่งสามารถนำไปปรับใช้ได้ในทุกองค์กร สำหรับกิจกรรมที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ
วัตถุประสงค์
1. เพื่อให้เข้าใจหลักการของการรักษาความปลอดภัย
2. เพื่อให้เข้าใจองค์ประกอบพื้นฐานเรื่องความปลอดภัยของข้อมูล เช่น Confidentiality, Integrity และ
Availavility
3. เพื่อให้มีความรู้เกี่ยวกับมาตรฐานความปลอดภัย ชนิดต่าง ๆ
มาตรฐาน COBIT
มาตรฐาน COBIT (Control Object for Information and Related Technology) กำหนดขึ้นโดยสมาคมผู้ตรวจสอบและควบคุมระบบสารสนเทศ หรือ ISACA (Information Systems Audit and Control Asscociation) เป็นทั้งแนวคิดและแนวทางการปฏิบัติ เพื่อการควบคุมภายในที่ดีด้านเทคโนโลยีสำหรับองค์กรต่าง ๆ ที่จะใช้อ้างอิงถึงแนวทางการปฏิบัติที่ดี ซึ่งสามารถนำไปปรับใช้ได้ในทุกองค์กรสำหรับกิจกรรมที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ โดยโครงสร้างของมาตรฐาน COBIT ได้ออกแบบอยู่บนพื้นฐานของกระบวนการทางธุรกิจสามารถแบ่งได้ เป็น 4 กระบวนการหลัก ได้แก่
1. การวางแผนและการจัดการองค์กร (PO: Planning and Organization)
2. การจัดหาและการติดตั้งใช้งาน (AI: Acquisition amd Implementation)
3. การส่งมอบและบริการดูแล (DS: Delivery and Support)
4. การเฝ้าติดตามและประเมินผล (M: Monitor and Evaluate)
ในแต่ละกระบวนการหลักข้องต้น มาตรฐาน COBIT แสดงวัตถุประสงค์ของการควบคุมหลัก (High - Level Control Objectives) รวมถึง 34 ข้อ และในแต่ละหัวข้อจะประกอบด้วยวัตถุประสงค์ของการควบคุมย่อลงไปอีกขั้นหนึ่ง (Detailed Control Objectives) รวม 318 ข้อ หัวข้อย่อยพร้อมแนวทางในการตรวจสอบ (Audit Guidelines) สำหรับแต่ละหัวข้ออีกด้วย
มาตรฐาน ISO/IEC 27000
ปัจจุบันมีแม่แบบหรือมาตรฐานของการบริหารความปลอดภัยของข้อมูลมากมาย ขึ้นอยู่กับว่าใครเป็นผู้ให้บริการแต่มาตรฐานที่ได้รับความนิยมมาก คือ BS 7799 ซึ่งเป็นมาตรฐานที่พัฒนาโดยประเทศอังกฤษ (British Standard: BS) มาตรฐานนี้มีอยู่ 3 ส่วน คือ
1. BS 7799-1 ซึ่งต่อมาได้เปลี่ยนเป็นมาตรฐาน ISO/IEC/ 17799: Information Technology -
Code of Practice for Information Security Management
2. BS 7799-2 ซึ่งต่อมาได้ถูกยอมรับเป็นมาตรฐาน ISO 27001: Information Security
Management System: Specification with Guidance foe Use
3. BS 7799-3 แนวทางในการบริหารความเสี่ยงของการรักษาความปลอภัยข้อมูล
ในสามส่วนนี้เป็นแนวทางในการบริหารความเสี่ยงของการรักษาความปลอดภัยข้อมูล และเป็นแนวทาง
ในการทำมาตรฐาน BS 7799-2 และเหมาะสำหรับองค์กรทุกขนาด โดยเนื้อหาที่สำคัญของมาตรฐาน
นี้ประกอบด้วย
ความเสี่ยงเกี่ยวกับความปลอดภัยของข้อมูลในองค์กร
การประเมินความเสี่ยง
วิธีปฏิบัติเพื่อลดความเสี่ยงและการบริหารการตัดสิน
การดำเนินกิจกรรมเกี่ยวกับการบริหารความเสี่ยง
มาตรฐาน ISO/IEC 27001
ISO/IEC 27001 ปัจจุบันเป็นเวอร์ชั่น ISO/IEC 27001: 2005 หรือ ISMS (Information Security Management System) เป็นมาตรฐานการจัดการข้อมูลที่มีไว้เพื่อให้ธุรกิจดำเนินไปอย่างต่อเนื่องข้อกำหนดต่าง ๆ ถูกกำหนดขึ้นโดยองค์กรที่มีความน่าเชื่อถือคือ ISO (The International Organization for Standardzation) และ IEC (The International Electrotechnical Commision) การนำ ISMS มาใช้สามารถช่วยให้กิจกรรมทางธุรกิจดำเนินต่อไปอย่างต่อเนื่องไม่สะดุด ช่วยป้องกันกระบวนการทางธุรกิจจากภัยร้ายแรง เช่น ภัยธรรมชาติ และป้องกันความเสียหายของระบบข้อมูลได้ ISMS สามารถนำมาใช้งานได้ครอบคลุมทุกกลุ่มอุตสาหกรรมและทุกกลุ่มธุรกิจ
หัวข้อสำคัญในมาตรฐาน ISO/IEC 27001: 2005 ประกอบด้วย 11 โดเมนหลัก ได้แก่
1. นโยบายความมั่นคงขององค์กร (Security Policy)
2. โครงสร้างความมั่นคงปลอดภัยในองค์กร (Organization of Information Security)
3. การจัดหมวดหมู่และและการควบคุมทรัพย์สินขององค์กร (Asset Management)
4. มาตรฐานของบุคลากรเพื่อสร้างความมั่นคงปลอดภัยให้กับองค์กร (Human Resources Security)
5. ความมั่นคงทางด้านกายภาพและสิ่งแวดล้อมขององค์กร (Physical and Environmental Security)
6. การบริหารจัดการด้านการสื่อสารและการดำเนินงานของระบบสารสนเทศขององค์กร (Communication
and Operations Management)
7. การควบคุมการเข้าถึงระบบสารสนเทศขององค์กร (Access Control)
8. การพัฒนาและดูแลระบบสารสนเทศ (Information Systems Acquisition, Development
and Maintenance)
9. การบริหารจัดการเหตุการณ์ละเมิดความมั่นคงปลอดภัย (Information Security Incident and
Management)
10. การบริหารความต่อเนื่องในการดำเนินงานขององค์กร (Business Continuity Management)
11. การปฏิบัติตามข้อกำหนดทางด้านกฎหมายและบทลงโทษของการละเมิดนโยบาย (Compliance)
รูป โมเดล PDCA มาตรฐาน ISO/IEC 27001: 2005