องค์กรพ้นภัยไซเบอร์ด้วยมาตรฐาน PIMS ตอนที่ 1 องค์กรพ้นภัยไซเบอร์ด้วยมาตรฐาน PIMS ตอนที่ 1 ได้กล่าวถึงมาตรฐาน ISO/IEC 27001, Security techniques – Extension to ISO/IEC 27001 และ ISO/IEC 27002, Privacy Information Management: PIMS – Requirements and guidelines ซึ่งเป็นมาตรฐานที่ไอเอสโอพัฒนาขึ้นมา เพื่อช่วยให้บริษัทสามารถจัดการกับความเสี่ยงด้านความมั่นคงปลอดภัยของข้อมูลเกี่ยวกับข้อมูลที่มีการระบุเรื่องส่วนบุคคล คำถามคือ แล้วมาตรฐานใหม่นี้สามารถช่วยให้บริษัทบรรลุความสอดคล้องกับกฎหมายทั่วโลกหรือไม่ เช่น GDPR หรือกฎหมาย California Consumer Privacy Act ของสหรัฐอเมริกา และกฎหมายของประเทศอื่นๆ ทั่วโลก

บทความตอนที่ 2 เจสัน เมทาโซ ผู้จัดการทั่วไปของกลุ่มมาตรฐานของบริษัทไมโครซอฟต์ได้ให้ข้อมูลได้ให้คำตอบไว้ดังต่อไปนี้

ปัจจุบัน ยังไม่มีมาตรฐานที่มีการระบุว่าเป็นตัวแทนของความสอดคล้องตามกฎหมายในเรื่องความมั่นคงปลอดภัยของข้อมูล ดังนั้น จึงมีการใช้ดุลพินิจในการตีความด้วยวิธีการต่างๆ ขององค์กรต่างๆ รวมทั้งไมโครซอฟต์  ซึ่งได้ใช้วิธีปฏิบัติที่เข้มแข็ง มีคุณลักษณะที่ดี มีการกำหนดพฤติกรรมที่มีความรับผิดชอบโดยบันทึกเป็นเอกสาร ซึ่งต้องทำซ้ำๆ และสามารถทำให้ดีขึ้นได้ตลอดเวลา โดยหนึ่งในหลักเกี่ยวกับการทำกระบวนการระบบบริหารจัดการก็คือการโฟกัสไปที่การปรับปรุงอย่างต่อเนื่องนั่นเอง

อย่างไรก็ตาม อาจจะมีกฎหมายที่เกี่ยวข้องกับความเป็นส่วนตัวถึง 30 ฉบับ นอกเหนือจาก GDPR กฎหมาย California และหนึ่งในสิ่งที่ทำให้ PIMS น่าสนใจมากก็คือ PIMS เกี่ยวข้องกับกลุ่มวิธีปฏิบัติเรื่องความเป็นส่วนตัว เช่น การควบคุมที่สามารถเปรียบเทียบกับกฎหมายความเป็นส่วนตัวได้

สำหรับคำถามที่ว่า ISO/IEC 27701 ยังคงเป็นประโยชน์อยู่หรือไม่ เจสัน เมทาโซตอบว่าความจริงที่ว่าเทคโนโลยีก้าวไปข้างหน้านั้น เราไม่อาจกล่าวว่าเมื่อเราได้เทคโนโลยีมาแล้วเราจะสามารถจัดการกับมันได้อยู่หมัด มันไม่ง่ายแบบนั้น แต่ทุกธุรกิจนั้นเกี่ยวข้องกันอยู่ทุกวัน และมาตรฐานอย่าง ISO/IEC 27701 ก็สามารถสร้างโอกาสให้องค์กรสามารถปรับตัวให้เข้ากับการเปลี่ยนแปลงที่เกิดขึ้นภายใต้สถานการณ์นั้นอย่างเสมอต้นเสมอปลาย

ความคิดที่สำคัญในการจัดการเรื่องนี้คือ ต้องมีกระบวนการที่เป็นระบบสำหรับการประเมินผลกระทบที่อาจเกิดขึ้นกับระบบด้านความเป็นส่วนตัว มาตรฐาน ISO/IEC 27701 มีข้อกำหนดสำหรับขอบข่ายของการนำไปใช้ที่บริษัทจะเรียกร้องให้มีมาตรวัดผลกระทบของการประมวลผลข้อมูลภายใต้บริบทที่มีอยู่ และมาตรฐานนี้ก็มีชุดของการควบคุมปฏิสัมพันธ์ที่มีผลกระทบต่อกันและสามารถเทียบกับกฎหมายต่างๆ อย่าง GDPR กฏหมาย California privacy หรือกฎหมายอื่นที่เกี่ยวข้องได้ ดังนั้น ลองคิดว่ามันคือเส้นทางที่ต้องเดิน แต่ไม่ใช่จุดหมายปลายทาง

ISO/IEC 27701 มีบทบาทกลางในการสร้างบทสนทนาที่มีความสอดคล้องกันระหว่างองค์กร ซึ่งสามารถสนทนากับผู้ควบคุมกฎได้เป็นอย่างนี้ สิ่งนี้ยังเกี่ยวข้องกับความสัมพันธ์ระหว่างธุรกิจกับธุรกิจด้วย ซึ่ง PIMS เป็นสินทรัพย์ที่มีค่าสำหรับการใช้เทคโนโลยีข้อมูลในธุรกิจต่างๆ ดังนั้น จึงต้องมีแนวทางความเป็นส่วนตัวที่รัดกุมรอบด้านตามที่ลูกค้าต้องการ นอกจากนี้  ในการปฏิบัติงานด้านความเป็นส่วนตัว หมายถึงกระบวนการที่มีคุณภาพสำหรับการประเมิน PIMS ซึ่งไมโครซอฟต์มีพันธสัญญาว่าต้องทำ และใช้มาตรฐานISO/IEC 27701เป็นส่วนหนึ่งของกระบวนการตรวจประเมิน

ไมโครซอฟต์ได้ขยายการปกป้อง GDPR ไปยังพลเมืองทั้งหมดในโลกนี้ด้วยการใช้เทคโนโลยี ถ้าเรากำลังจะทำงานวิศวกรรมที่จำเป็นและการปรับปรุงที่ต่อเนื่องอย่างไม่ขาดตอน เพื่อที่จะทำให้ระบบเป็นที่น่าเชื่อถือได้แล้วก็จะต้องมีแนวทางเชิงโครงสร้างในแบบที่เป็นภาพรวม   ซึ่ง PIMS มีความสามารถในการวางการปฏิบัติงานไว้ส่วนบนสุดที่มีภายใต้กรอบการดำเนินงานของการตรวจประเมินโดยบุคคลที่สาม

สำหรับการรับเอามาตรฐาน ISO/IEC 27701 มาใช้มีความหมายอย่างไรต่อธุรกิจนั้น เจสัน เมทาโซ บอกว่าอย่างที่กล่าวมาแล้ว มาตรฐานนี้สร้างบนพื้นฐานของชุดมาตรฐาน ISO/IEC 27000 ดังนั้น PIMS จึงเกี่ยวข้องกับการนำมาตรฐานนี้มาอยู่ในเส้นทางของการมองแบบองค์รวมและยอมรับว่ามันจำเป็นต้องเกี่ยวข้องกับระบบการจัดการความมั่นคงปลอดภัยด้านข้อมูล ซึ่งภายหลังอาจขยายไปสู่ความเป็นส่วนตัวด้วยและหมายรวมถึงเรื่องเกี่ยวกับระบบและกระบวนการทำงานและการกำหนดการควบคุมซึ่งถือว่าเป็นพฤติกรรมที่ต้องทำด้วยความมุ่งมั่นที่จะปฏิบัติตามให้ทันตามกำหนด แล้วมีการทำอยู่เสมอจนกลายเป็นพฤติกรรมซ้ำๆ ที่ทำให้องค์กรสามารถจัดทำเป็นเอกสารได้

หากถามว่าอะไรคือสิ่งที่ไมโครซอฟต์คำนึงถึงในเรื่องการมาตรฐานในอนาคต เกี่ยวกับเรื่องนี้ เจสัน เมทาโซ กล่าวว่าขอแบ่งแนวคิดที่แตกต่างกันออกเป็นสองเรื่อง เรื่องแรก ไม่ใช่ว่าการมาตรฐานทั้งหมดจะเหมือนกันไปเสียทีเดียว แต่เรามีข้อกำหนดทางเทคนิควิชาการอย่างบลูทูธ หรือวายฟาย หรือสิ่งที่มีลักษณะเดียวกันนี้ ซึ่งทำโดยกลุ่มผลิตภัณฑ์ของไมโครซอฟต์เป็นพื้นฐาน  และภายใต้กรอบนี้ หนึ่งในสิ่งที่น่าสนใจมากที่สุดในการรวมเอางานเมื่อ 5 ปีที่แล้วเข้ามาก็คือการเปิดให้ผู้ใช้งานสามารถพัฒนาซอฟต์แวร์เองได้หรือที่เรียกกันว่าซอฟต์แวร์โอเพนซอร์ส  และมีการเติบโตอย่างมากมายมหาศาล

เรื่องที่สอง ในมุมของมาตรฐานระหว่างประเทศ การพัฒนาโดยไอเอสโอและหุ้นส่วนของไอเอสโอ ได้แก่ ไออีซีหรือคณะกรรมาธิการระหว่างประเทศว่าด้วยมาตรฐานสาขาอิเล็กทรอเทคนิกส์ และสหภาพโทรคมนาคมระหว่างประเทศ เขาคิดว่าคนเรากำลังมองหาความก้าวหน้าของกฎระเบียบและวิธีการที่มาตรฐานจะเข้าไปช่วยได้ในฐานะที่เป็นกฎหมายอย่างอ่อนๆ หรือเป็นสิ่งที่ทำให้ต้องมีการนำมาพิจารณาเป็นกฎหมายต่อไปซึ่งเรียกว่า ซอฟต์ลอว์ โดยมีความสัมพันธ์กับกฎระเบียบต่างๆ

แล้ว PIMS มีจุดยืนอยู่ระหว่างกฎหมายที่มีอยู่แล้วกับพฤติกรรมขององค์กรหรือไม่ เราจำเป็นต้องมีบางอย่างที่อยู่ระหว่างสองสิ่งนี้และมาตรฐาน ISO/IEC 27701 ก็สามารถมีบทบาทเป็นศูนย์กลางในการเชื่อมโยงช่องว่างนี้ ซึ่งช่วยให้จัดการกับแนวทางเชิงบังคับได้

ที่มา: https://www.iso.org/news/ref2489.html

Related posts

• แนวโน้ม 5 ประการ กำหนดอนาคตการบริหารคน
• ความคืบหน้ามาตรฐานความปลอดภัย ISO 45001
• ISO 31000 ฉบับใหม่ ปรับปรุงให้อ่านง่าย ใช้สะดวก
• ไอเอสโอพัฒนามาตรฐานใหม่ “ข้อกำหนดและวิธีทดสอบรถเข็นเด็ก”
• “มาตรฐาน” ปรับปรุงคุณภาพในอุตสาหกรรมการขนส่งทางน้ำได้อย่างไร

Tags: IT, Standardization, Technology