บันได 4 ขั้นสู่มาตรฐาน ISO 27001 Information Security Managment
Posted by
pryn
on
วันอาทิตย์ที่ 25 สิงหาคม พ.ศ. 2556
0
ผู้เขียน ปริญญ์ เสรีพงศ์ CISA CEH ISMS(IRCA)
Email : mr.pryn@gmail.com
การจัดทำระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศ
(ISMS) แบ่งเป็น 4 ขั้นตอน ดังนี้
- บันไดขั้นที่ 1 การวางแผนจัดทำระบบ ISMS (Establish ISMS)
- บันไดขั้นที่ 2 การนำไปปฏิบัติ (Implement and operate ISMS)
- บันไดขั้นที่ 3 การเฝ้าระวังและทบทวน (Monitor an review ISMS)
- บันได้ขั้นที่ 4 การรักษามาตรฐานและพัฒนาปรับปรุง (Maintain and improve ISMS)
บันไดขั้นที่1การวางแผนจัดทำระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศ (Plan : Establish the ISMS )
เริ่มต้นด้วยการกำหนดขอบเขตของการจัดทำระบบการจัดการความมั่นคงปลอดภัยของ
สารสนเทศให้ชัดเจน
โดยแสดงถึงลักษณะของธุรกิจ องค์กร ทำเลที่ตั้ง ทรัพย์สิน และเทคโนโลยี หากไม่ครอบคลุมส่วนงานใด ต้องระบุรายละเอียดและเหตุผลดังกล่าว
จากนั้นผู้บริหารระดับสูงกำหนดนโยบายการบริหารจัดการความมั่นคงปลอดภัยของสารสนเทศ
(Information Security Management System Policy : ISMS Policy) พร้อมทั้งอนุมัติและประกาศใช้นโยบายดังกล่าว
เป็นกลไกให้มั่นใจว่าโครงการนี้ได้รับการสนับสนุนอย่างเป็นรูปธรรม และเป็นสัญญาณว่า ISMSได้เริ่มอย่างเป็นทางการแล้ว
การกำหนดคณะทำงานให้เหมาะสมและเพียงพอเป็นเรื่องสำคัญที่ต้องพิจารณา
ตัวแทนหน่วยงานที่อยู่ในขอบเขตการจัดทำระบบควรเข้าร่วมเป็นคณะทำงานเพื่อให้มีส่วนร่วมในการจัดทำระบบที่สอดคล้องกับลักษณะการทำงาน เมื่อได้คณะทำงานเรียบร้อยแล้วก็เริ่มสำรวจภัยคุกคามและช่องโหว่ที่ก่อให้เกิดความเสี่ยงต่อสารสนเทศในขอบเขตการจัดทำระบบขององค์กร ตัวแทนหน่วยงานที่เป็นคณะทำงานก็รับผิดชอบสำรวจภัยคุกคามและช่องโหว่ในหน่วยงานของตนเอง ผลการประเมินความเสี่ยงจะบอกถึงระดับความเสี่ยงจากภัยคุกคามและช่องโหว่ในระบบสารสนเทศ คณะทำงานและผู้เกี่ยวข้องต้องกำหนดมาตรการจัดการกับความเสี่ยงนั้นให้ชัดเจนและมีประสิทธิภาพเพียงพอ
บันไดขั้นที่ 2 การนำไปปฏิบัติ ( Do : Implement and Operate the ISMS )
ขั้นตอนการปฏิบัติ (Do) เป็นการนำผลลัพธ์ของขั้นตอนวางแผน(Plan) มาปฏิบัติให้เกิดผลตามวัตถุประสงค์ เช่น มาตรการป้องกันการบุกรุกระบบ มาตรการสำรองข้อมูล เป็นต้น ซึ่งก่อนจะปฏิบัติได้อย่างถูกต้องนั้น จำเป็นต้องมีการฝึกอบรม ถ่ายทอดความรู้แนวทางปฏิบัติที่ถูกต้องให้รับทราบทั่วกันบันไดขั้นที่ 3 การเฝ้าระวังและทบทวน (Check : Monitoring and Review the ISMS)
หลังจากปฏิบัติตามมาตรการที่กำหนดแล้ว เราจะรู้ได้อย่างไรว่ามาตรการที่ปฏิบัตินั้นได้ผลตามเป้าหมายทีต้องการ คำตอบคือต้องมีการวัดผลของมาตรการที่ใช้ควบคุมดูแล แนวทางการวัดผลและความถี่ในการเฝ้าระวังต้องสอดคล้องกับความเสี่ยง ดังนั้นกระบวนการ ระบบงาน หรือทรัพย์สินสารสนเทศที่มีความเสี่ยงสูงควรได้รับการเฝ้าระวังและวัดผลการปฏิบัติงานที่เข้มงวดกว่า เพื่อให้มั่นใจว่าหากเกิดเหตุการณ์ที่เกี่ยวข้องกับความมั่นคงปลอดภัย ระบบการตรวจวัดและเฝ้าระวังสามารถรายงานผลได้ทันเวลาบันไดขั้นที่ 4 การรักษามาตรฐานและปรับปรุงให้ดีขึ้น (Act : Maintain and Improve the ISMS)
หลังจากที่ตรวจพบปัญหาหรือสิ่งผิดปกติในขั้นตอนการตรวจสอบ(Check : Monitoring and Review the ISMS) ผู้ที่เกี่ยวข้องทุกระดับจำเป็นต้องร่วมกันแก้ไขปัญหาที่เกิดขึ้นและป้องกันปัญหาที่อาจเกิดซ้ำในอนาคต รวมถึงหาแนวทางปรับปรุงระบบการบริหารจัดการความมั่นคงปลอดภัยของสารสนเทศให้มีประสิทธิภาพยิ่งขึ้น กลไกสำคัญที่ช่วยให้ผลักดันให้การแก้ไขปัญหาและปรับปรุงดำเนินการได้อย่างเป็นรูปธรรม คือการมีส่วนร่วมของผู้บริหารระดับสูง บ่อยครั้งที่พบว่าปัญหาเกิดจากการขาดความชัดเจนในนโยบายการบริหารจัดการ ซึ่งผู้บริหารจะต้องให้ความกระจ่างและตัดสินใจแก้ไขปัญหาเชิงนโยบายให้เป็นรูปธรรม เพื่อให้คณะทำงานยึดถือเป็นแนวปฏิบัติต่อไปผู้เขียน : Pryn Sereepong, CISA, CEH, ISMS(IRCA)
pryn@ftpi.or.th
About the Author
Write admin description here..
Get Updates
Subscribe to our e-mail newsletter to receive updates.
Share This Post
Related posts
0 ความคิดเห็น :