บทความเรื่อง “ปกป้องข้อมูลบนคลาวด์ด้วยมาตรฐานไอเอสโอ ตอนที่ 1″ ได้นำเสนอเรื่องราวของชุดมาตรฐาน ISO/IEC 27000 ที่เพิ่งมีตีพิมพ์เผยแพร่ในปี 2558 ว่า การจู่โจมทางไซเบอร์เป็นความเสี่ยงอย่างหนึ่งในบรรดาความเสี่ยงหลายๆ อย่างที่องค์กรอาจจะต้องเผชิญ ดังนั้น ไม่ว่าองค์กรจะมีขนาดเล็กหรือใหญ่เพียงใด จึงควรมีกรอบการจัดการความเสี่ยงด้านไซเบอร์ ซึ่ง ISO/IEC 27001 ได้รับการออกแบบมาเพื่อช่วยให้องค์กรดูแลในเรื่องนี้ได้

สำหรับในสัปดาห์นี้ จะขอกล่าวถึงชุดมาตรฐาน ISO/IEC 27000 ดังต่อไปนี้

การแก้ไขปัญหาร่วมกันสำหรับบริการ (ISO/IEC 27013)
องค์กรจำนวนมากกำลังเลือกใช้การรวมเอาระบบการจัดการความมั่นคงปลอดภัยของข้อมูลเข้ากับระบบการจัดการบริการ (ISO/IEC 20000-1) ระบบที่มีการผสมผสานกันหมายความว่าองค์กรสามารถจัดการคุณภาพของบริการได้อย่างมีประสิทธิภาพ รวมทั้งมีการจัดการกับข้อมูลตอบกลับและการแก้ไขปัญหาให้ลูกค้าโดยที่ยังคงสามารถรักษาความปลอดภัยของข้อมูลได้เป็นอย่างดี

ISO/IEC 27013 ได้ให้แนวทางเชิงระบบในการอำนวยความสะดวกในการรวมเอาระบบการจัดการความมั่นคงปลอดภัยของข้อมูลให้เข้ากับระบบการจัดการบริหารซึ่งทำให้เกิดการนำไปใช้โดยมีค่าใช้จ่ายลดลงและหลีกเลี่ยงความซ้ำซ้อนเนื่องจากเมื่อองค์กรขอรับการรับรอง จะได้รับการตรวจประเมินเพียงครั้งเดียวสำหรับ 2 ระบบ

การสื่อสารระหว่างองค์กรและระหว่างสาขา (ISO/IEC 27010)

เมื่อองค์กรแบ่งปันข้อมูลกับองค์กรอื่น จะแน่ใจได้อย่างไรว่าข้อมูลได้รับการเก็บรักษาอย่างปลอดภัย

ISO/IEC 27010 เป็นเครื่องมือที่ช่วยเสริมมาตรฐาน ISO/IEC 27000 ซึ่งเป็นแนวทางสำหรับการริ่เริม การนำไปใช้ การบำรุงรักษา และการปรับปรุงความมั่นคงปลอดภัยของข้อมูลในการสื่อสารระหว่างองค์กรและระหว่างสาขาด้วย ซึ่งรวมถึงหลักการทั่วไปสำหรับวิธีการตอบสนองข้อกำหนดเหล่านั้น การใช้ข่าวสารที่มีการจัดทำขึ้นและวิธีการทางเทคนิคอื่นๆ มาตรฐานนี้ได้รับการคาดหวังว่าจะกระตุ้นการเติบโตของข้อมูลทั่วโลกและมีการแบ่งปันข้อมูลกันในชุมชุนต่างๆ

ส่วนดร.ไมค์ แนช บรรณาธิการของมาตรฐาน ISO/IEC 27010 อธิบายว่า โดยพื้นฐานแล้ว มาตรฐาน ISO/IEC 27010 มีการปรับให้เหมาะกับลูกค้าแต่ละรายและนำมาตรฐาน ISO/IEC 27001 และ ISO/IEC 27002 ไปประยุกต์ใช้กับการสื่อสารระหว่างองค์กร การมีมาตรฐานที่เตรียมพร้อมเช่นนี้ทำให้องค์กรมีความมั่นใจว่าข้อมูลมีการแบ่งปันกับองค์กรอื่นและไม่มีการนำไปเปิดเผยอย่างจงใจ

มาตรฐานนี้มีความเกี่ยวข้องโดยเฉพาะกับการปกป้องโครงสร้างพื้นฐานระดับประเทศที่มีความวิกฤตซึ่งมีการแลกเปลี่ยนข้อมูลที่มีความอ่อนไหวซึ่งนับเป็นเรื่องสำคัญสูงสุด มาตรฐานนี้ยังมีการนำไปใช้โดยทีมงานที่ตอบสนองการเกิดเหตุการณ์ด้านความมั่นคงปลอดภัย

ปกป้องและป้องกันการจู่โจมทางไซเบอร์ (ISO/IEC 27039)

องค์กรสามารถปกป้องและป้องกันการจู่โจมทางไซเบอร์กับเครือข่าย ระบบ และการนำไปใช้ขององค์กรได้อย่างไร วิธีปฏิบัติที่ดีที่สุดแสดงให้เห็นว่าองค์กรต้องมีความสามารถในการรู้ว่าการบุกรุกเกิดขึ้นหรือไม่ เมื่อไร และอย่างไร องค์กรควรมีความพร้อมในการระบุว่าอะไรคือความเปราะบางที่อาจเกิดขึ้นได้และสามารถทำลายได้ และสิ่งที่ควบคุมสามารถนำไปใช้ป้องกันการบุกรุกที่คล้ายคลึงกันจากการเกิดขึ้นในอนาคต หนึ่งในวิธีที่จะทำได้ก็คือการใช้ระบบการปกป้องและป้องกันการบุกรุก (Intrusion Detection and Prevention Systems: IDPS)

ISO/IEC 27039 ให้แนวทางในการเตรียมตัวและนำ IDPS ลงไปปฏิบัติตามลำดับชั้น ซึ่งครอบคลุมมุมมองที่สำคัญอันถือเป็นทางเลือก การกระจายงานตามลำดับชั้นและการลงมือปฏิบัติ มาตรฐานนี้นับว่าเป็นประโยชน์สำหรับตลาดในทุกวันนี้ที่มีผลิตภัณฑ์และบริการที่ใช้โอเพ่นซอร์สของ IDPS และสามารถหาได้ในเชิงพาณิชย์เป็นจำนวนมาก ซึ่งอยู่บนพื้นฐานของแนวทางและเทคโนโลยีที่แตกต่างกัน ซึ่ง ISO/IEC 27039 จะนำทางองค์กรให้สามารถดำเนินการได้ทั้งกระบวนการ

ตรวจประเมินและให้การรับรอง (ISO/IEC 27006)

องค์กรต่างๆ เริ่มขอรับการรับรองจากหน่วยรับรองมากขึ้น ทั้งนี้ เพื่อแสดงว่าการจัดการด้านความมั่นคงปลอดภัยของข้อมูล (Information Security Management System: ISMS) มีความสอดคล้องกับข้อกำหนดของ ISO/IEC 27001
ISO/IEC 27006 ให้ข้อกำหนดที่หน่วยรับรองและหน่วยรับรองระบบงานจำเป็นต้องได้รับการรับรอง เพื่อที่ว่าจะสามารถให้บริการรับรอง ISO/IEC 27001 ได้
ศาสตราจารย์เอ็ดเวิร์ด ฮัมฟรีย์ กล่าวว่าเรื่องนี้มีความสำคัญเพราะการรับรองหน่วยรับรองจะเพิ่มความมั่นใจในกระบวนการตรวจประเมินและความเชื่อถือได้ในการรับรองที่หน่วยรับรองให้บริการ หากคุณผู้อ่านมีข้อเสนอแนะเกี่ยวกับบทความนี้ อย่าลืมแบ่งปันได้ที่ MASCI Innoversity ค่ะ

ที่มา: http://www.iso.org/iso/home/news_index/news_archive/news.htm?refid=Ref2032

Related posts

• ตัวชี้วัดใช้พัฒนา CSR และต้านคอร์รัปชั่น
• มาตรฐานการจัดซื้ออย่างยั่งยืน
• คุยกันฉันพี่น้อง ไอเอสโอครบรอบ 70 ปี
• มาตรฐานผู้ตรวจประเมินด้านมาตรฐานแรงงาน
• ไอเอสโอพัฒนามาตรฐานการท่องเที่ยวเชิงการแพทย์ ตอนที่ 2

Tags: cloud, IT, Standardization