เทคโนโลยีในโลกปัจจุบันกำลังเปลี่ยนแปลงไปอย่างรวดเร็ว ความเสี่ยงประการหนึ่งที่เกิดขึ้นมาพร้อมกับเทคโนโลยีสมัยใหม่ ก็คือความเสี่ยงที่จะถูกละเมิดความมั่นคงปลอดภัยของข้อมูลในระบบเทคโนโลยีสารสนเทศ  โดยทั่วไป องค์กรต้องเป็นผู้รับผิดชอบความเสี่ยงและความเสียหายของระบบสารสนเทศขององค์กรหากเกิดข้อบกพร่องจากการควบคุมความมั่นคงปลอดภัยด้านสารสนเทศ ดังนั้น องค์กรจำเป็นต้องมีมาตรฐานหรือแนวทางปฏิบัติที่มีประสิทธิภาพ เหมาะสม และมีความมั่นคงปลอดภัย เพื่อป้องกันความเสียหายที่อาจเกิดขึ้น

เมื่อปี 2562 (ค.ศ.2019) มีกรณีตัวอย่างของข่าวความเสียหายในระบบสารสนเทศเกิดขึ้นหลายครั้ง เช่น ในเดือนเมษายน ข้อมูลจากบริษัทวิจัยด้านความมั่นคงปลอดภัยทางไซเบอร์ระบุว่าบันทึกของผู้ใช้งานเฟซบุ๊กหลายล้านคนถูกเปิดเผยให้กับบริการคลาวด์คอมพิวติงของบริษัทแห่งหนึ่ง  ในเดือนพฤษภาคม กลุ่มแฮ็กเกอร์ชาวรัสเซีย ยื่นข้อเสนอขายข้อมูลรวมทั้งซอร์สโค้ดให้กับบริษัทขายโปรแกรมแอนติไวรัสอย่างน้อยสามแห่งในสหรัฐ  ในเดือนมิถุนายน  องค์กรที่มีชื่อว่า American Medical Collection Agency (AMCA) ถูกละเมิดข้อมูลสำคัญโดยถูกเปิดเผยข้อมูลการจ่ายเงินและข้อมูลส่วนบุคคลของคนไข้เกือบ 20 ล้านคน ส่งผลให้ถูกฟ้องล้มละลายในเวลาต่อมา  ในเดือนกรกฎาคม   เมืองของรัฐฟลอริด้า ยอมจ่ายค่าไถ่ราว 500,000 ดอลลาร์ให้กับแฮ็กเกอร์เพื่อแลกกับการปลดล็อกไฟล์ระบบคอมพิวเตอร์ที่ควบคุมโครงสร้างพื้นฐานของการทำงาน เช่น ระบบประปา โทรศัพท์ อีเมล์  เป็นต้น

ไอเอสโอตระหนักถึงความสำคัญของการป้องกันในเรื่องความมั่นคงปลอดภัยและความเป็นส่วนตัวของข้อมูล จึงได้ปรับปรุงมาตรฐานที่เกี่ยวข้องให้ทันสมัย ตอบรับกับสถานการณ์โลกที่มีการเปลี่ยนแปลงไปอย่างรวดเร็ว ดังต่อไปนี้

มาตรฐาน ISO/IEC 27014, Information security, cybersecurity and privacy protection – Governance of information security ให้แนวทางของแนวคิด วัตถุประสงค์ กระบวนการการควบคุมความมั่นคงปลอดภัยของข้อมูล ซึ่งองค์กรสามารถประเมิน ระบุทิศทาง ตรวจติดตาม และสื่อสารระบบการจัดการความมั่นคงปลอดภัยของข้อมูลซึ่งมีพื้นฐานอยู่บนมาตรฐาน ISO/IEC 27001

ดร.เอ็ดเวิร์ด ฮัมฟรีส์  ผู้ประสานงานกลุ่มงานของคณะทำงานร่วม ISO/IEC,  JTC 1, Information technologyคณะอนุกรรมการวิชาการ  SC 27, Information security, cybersecurity and privacy protection ซึ่งมี DIN สถาบันมาตรฐานแห่งชาติของประเทศเยอรมันเป็นเลขานุการ กล่าวว่ามาตรฐาน ISO/IEC 27014 ฉบับใหม่นี้เป็นมาตรฐานที่เปรียบเสมือนคู่คิดของมาตรฐาน ISO/IEC 27001 เนื่องจาก ISO/IEC 27014 เป็นพื้นฐานสำหรับกิจกรรมการควบคุมความมั่นคงปลอดภัยของข้อมูลที่อยู่ในขอบข่ายเรื่องระบบการบริหารความมั่นคงปลอดภัยสารสนเทศ (ISMS) และในบริบทของการควบคุมองค์กรทั้งหมด

มาตรฐานฉบับนี้ได้รับการปรับปรุงด้านความชัดเจน โครงสร้างและบ่งบอกถึงลักษณะข้อมูลใหม่ ซึ่งสอดคล้องกับมาตรฐาน ISO/IEC 27001, Information technology – Security techniques – Information security management systems – Requirements โดยที่ยังคงเกี่ยวข้องกับข้อกำหนดด้านการควบคุมองค์กรแต่มีขอบข่ายที่กว้างขึ้น

ISO/IEC 27014  สามารถใช้งานร่วมกับมาตรฐานฉบับอื่นเกี่ยวกับความมั่นคงปลอดภัยของข้อมูลดังต่อไปนี้

1. ISO/IEC 27002, Information technology – Security techniques – Code of practice for information security controls เป็นมาตรฐานเกี่ยวกับเทคนิคความมั่นคงปลอดภัย วิธีปฏิบัติสำหรับการควบคุมความมั่นคงปลอดภัยของข้อมูล
2. ISO/IEC TS 27110, Information technology, cybersecurity and privacy protection – Cybersecurity framework development guidelines เป็นมาตรฐานเกี่ยวกับเทคโนโลยีสารสนเทศ ความมั่นคงปลอดภัยทางไซเบอร์และการปกป้องความเป็นส่วนตัว และแนวทางการพัฒนากรอบการทำงานด้านความมั่นคงปลอดภัยทางไซเบอร์
3. ISO/IEC TS 27100, Information technology – Cybersecurity – Overview and concepts เป็นมาตรฐานเกี่ยวกับเทคโนโลยีสารสนเทศ ภาพรวมและแนวคิดด้านความมั่นคงปลอดภัยทางไซเบอร์
4. ISO/IEC 27005, Information technology – Security techniques – Information security risk management เป็นมาตรฐานเกี่ยวกับเทคโนโลยีสารสนเทศ  เทคนิคด้านความมั่นคง การจัดการความเสี่ยงด้านความมั่นคงข้อมูล

ปัจจุบัน องค์กรส่วนใหญ่ให้ความสำคัญกับการจัดการกับความมั่นคงปลอดภัยข้อมูลขององค์กรมากขึ้น เพราะหากเกิดข้อผิดพลาดขึ้น ย่อมเกิดความเสียหายในหลายระดับ องค์กรจึงไม่อาจละเลยได้ การป้องกันย่อมดีกว่าการแก้ไข องค์กรจำเป็นต้องมีการจัดการที่ดีเพื่อปกป้องความมั่นคงปลอดภัยข้อมูล ความเป็นส่วนตัว และเพื่อความถูกต้องสมบูรณ์ ซึ่งปัจจุบัน ไอเอสโอได้จัดเตรียมมาตรฐานที่เกี่ยวข้องและมีความทันสมัยไว้ให้องค์กรสามารถนำไปใช้ได้อย่างมีประสิทธิผลแล้ว

ที่มา: 1.  https://www.iso.org/news/ref2604.html
2. https://www.ntsc.org/assets/pdfs/cyber-security-report-2020.pdf

Related posts

• มาตรฐานการพัฒนาเมืองอย่างยั่งยืน
• ISO 31000 เปลี่ยนความเสี่ยงเป็นโอกาส
• ไอเอสโอไขความลับการเงินเพื่อโลกสีเขียว ตอนที่ 2
• ไอเอสโอเร่งพัฒนามาตรฐานเกี่ยวกับคลาวด์คอมพิวติง
• แนะไมโครเอสเอ็มอีใช้ “มาตรฐานการบริหารความร่วมมือทางธุรกิจ”

Tags: Cybersecurity, information security, ISO, ISO/IEC 27001, ISO/IEC 27014, Privacy Protection, Standardization