บทความ MASCIInnoversity เรื่อง “ดูแลความปลอดภัยทางไซเบอร์ด้วย ISO/IEC 27001” ได้นำเสนอเรื่องราวของมาตรฐาน ISO/IEC 27001ซึ่งบริษัทชั้นนำของโลกได้นำไปใช้จัดการระบบข้อมูลความปลอดภัยได้อย่างมีประสิทธิผล และในส่วนของสภาเศรษฐกิจโลก (WEF) ก็ได้จัดทำ The Cyber Resilience Index (CRI): Advancing Organizational Cyber Resilience ที่เป็นกรอบอ้างอิงสำหรับแนวปฏิบัติด้านความยืดหยุ่นทางไซเบอร์เพื่อให้เกิดความโปร่งใส โดยภายใต้หลักการของ CRI แนวทางปฏิบัติที่ตามมาสำหรับความยืดหยุ่นทางไซเบอร์ก็คือการใช้มาตรฐานสากลอย่าง ISO/IEC 27001

สำหรับบทความในครั้งนี้จะกล่าวถึงรายละเอียดแนวทางการสร้างความยืดหยุ่นทางไซเบอร์ และประโยชน์ของมาตรฐาน ISO/IEC 27001ดังต่อไปนี้

จากการที่องค์กรต่างๆ ถูกโจมตีทางไซเบอร์มากขึ้น ทำให้การรักษาความปลอดภัยทางไซเบอร์เป็นวาระที่ผู้บริหารต้องให้ความสำคัญมากขึ้น   และไม่ใช่เพียงปัญหาด้านเทคโนโลยีสารสนเทศแต่อย่างเดียวอีกต่อไป

โดยปกติแล้ว การจัดการความปลอดภัยทางไซเบอร์ทั่วทั้งองค์กรไม่ใช่เรื่องง่าย  และอาจเป็นงานที่ทำให้ผู้ปฏิบัติงานรู้สึกหวาดหวั่นเป็นอย่างยิ่ง โดยเฉพาะธุรกิจหรือองค์กรที่ไม่พร้อมในด้านทรัพยากร  เช่น มีงบประมาณที่จำกัด หรือมีความเชี่ยวชาญด้านความปลอดภัยเพียงเล็กน้อย แต่องค์กรไม่จำเป็นต้องกังวลในเรื่องนี้มากจนเกินไป เพราะว่าองค์กรสามารถนำมาตรฐาน ISO/IEC 27001 ระบบการจัดการความปลอดภัยของข้อมูล (ISMS) ไปใช้ได้อย่างเป็นระบบโดยมาตรฐานฉบับนี้ได้รับการออกแบบมาเพื่อช่วยให้ธุรกิจจัดการการรักษาความปลอดภัยทางไซเบอร์แบบครบวงจรได้อย่างมีประสิทธิภาพ

การนำมาตรฐาน ISO/IEC 27001ไปใช้จะเป็นแนวทางแบบองค์รวมที่ครอบคลุมทั้งองค์กร ดังนั้น จึงไม่ใช่เพียงเรื่องของเทคโนโลยีสารสนเทศเท่านั้น แต่ผู้ที่เกี่ยวข้อง เทคโนโลยี และกระบวนการก็จะได้รับประโยชน์อย่างมากมายเช่นกัน และถึงแม้ว่าการจัดการระบบข้อมูลความปลอดภัยจะทำให้องค์กรรู้สึกเปราะบาง แต่สิ่งนี้นี่เองที่จะเป็นองค์ประกอบสำคัญสำหรับความยืดหยุ่นและนำไปสู่การทำงานร่วมกันและทำให้เกิดความก้าวหน้าอย่างแท้จริง โดยในยุคดิจิทัลนี้ องค์กรไม่อาจจะประนีประนอมกับความยืดหยุ่นทางไซเบอร์ได้ และหากองค์กรสามารถใช้ความยืดหยุ่นทางไซเบอร์ผ่านจุดที่มีความเปราะบางได้อย่างมั่นใจก็จะสามารถก้าวขึ้นเป็นผู้นำในอุตสาหกรรมของตนเองได้อย่างรวดเร็ว และสามารถสร้างมาตรฐานสำหรับระบบนิเวศของอุตสาหกรรมของตนเองได้

จะเริ่มนำ ISMS ไปใช้ในองค์กรได้อย่างไร

มาตรฐาน  ISO/IEC 27001 เป็นแนวทางเชิงระบบที่ประกอบด้วยกระบวนการ เทคโนโลยี และบุคคลที่ช่วยปกป้องและจัดการกับข้อมูลองค์กรด้วยการจัดการความเสี่ยงที่มีประสิทธิภาพอย่างถูกต้องและครอบคลุม  ซึ่งมีการจัดเตรียมกรอบการทำงานที่มีการจัดการจากส่วนกลางที่รักษาความปลอดภัยของข้อมูลทั้งหมดไว้ในที่เดียว ทำให้สามารถตรวจสอบการป้องกันทั่วทั้งองค์กร รวมถึงความเสี่ยงด้านเทคโนโลยีและภัยคุกคามอื่นๆ โดยมีหลักการสำคัญ 3 ประการ ได้แก่ การปกป้องข้อมูลให้เข้าถึงได้เฉพาะผู้ที่ได้รับอนุญาตเท่านั้น  การปกป้องความถูกต้องครบถ้วนของข้อมูล และความพร้อมใช้งานของระบบข้อมูล

การนำมาตรฐาน ISO/IEC 27001 ไปใช้ในองค์กรมีความแตกต่างกันไปในแต่ละองค์กรซึ่งขึ้นอยู่กับขนาดและโครงสร้างขององค์กร โดยสามารถเริ่มต้นที่การทำความเข้าใจองค์กรและประเมินบริบทขององค์กร การทำความเข้าใจความต้องการและความคาดหวังของผู้มีส่วนได้ส่วนเสียขององค์กร กำหนดวัตถุประสงค์ของการนำมาตรฐานไปใช้  กำหนดขอบเขตและกำหนดนโยบาย ISMS  แล้วจัดทำระบบ ISMS  นำไปปฏิบัติและรักษาระบบให้คงไว้ รวมทั้งปรับปรุงอย่างต่อเนื่อง โดยรวมถึงกระบวนการที่จำเป็นของปฏิสัมพันธ์ของกระบวนการเพื่อความสอดคล้องกับมาตรฐานด้วย

ประโยชน์ของการนำ ISMS ไปใช้ในองค์กร
• รักษาความปลอดภัยข้อมูลในทุกรูปแบบ รวมถึงข้อมูลบนกระดาษ ระบบคลาวด์ และข้อมูลดิจิทัล
• เพิ่มความยืดหยุ่นต่อการโจมตีทางไซเบอร์
• มีการปรับปรุงระบบสารสนเทศอย่างต่อเนื่อง
• ลดต้นทุนและค่าใช้จ่ายในการใช้เทคโนโลยีการป้องกันที่ไม่ได้ผล
• สร้างความน่าเชื่อถือและไว้วางใจสำหรับองค์กรและลูกค้า
• สร้างความได้เปรียบทางการแข่งขัน

ที่มา: 1. https://www.iso.org/isoiec-27001-information-security.html
2. https://www.mcgrathnicol.com/insight/iso-27001-93-ways-to-improve-your-business-cyber-resilience/

Related posts

• ผู้นำทั่วโลกร่วมผลักดันวาระ 2030 ให้สำเร็จ
• พบกับสิ่งที่ดีกว่าในยุคปฏิวัติอุตสาหกรรมครั้งที่ 4
• ไอเอสโอประกาศแล้ว “มาตรฐานการจัดการนวัตกรรม”
• มาตรฐานไอเอสโอช่วยเมืองป้องกันอาชญากรรม
• ไอเอสโอพัฒนามาตรฐานใหม่ “ฉลากอาหารมังสวัรัติ”

Tags: Cyber resilience, Cybercrime, Digitization, ISMS, ISO/IEC 27001, IT, Risk, standard, Standardization