ความรู้เกี่ยวกับมาตรฐานการรับรอง

       มาตรฐาน ISO/IEC 17799 เกิดจากการรวบรวมเอามาตรฐานพื้นฐาน (Baseline) ที่มีชื่อ BS 7799 ซึ่งเป็นมาตรฐานที่องค์กรอุตสาหกรรมหลายองค์กรยึดถือร่วมกันเพื่อใช้เป็นมาตรฐานอุตสาหกรรม จนกระทั่งในปี 2000 องค์กร BSI ได้ผลักดันให้ BS 7799 ได้รับโหวตให้เป็นมาตรฐานสากลหรือ ISO อย่างเร่งด่วน และที่ประชุม ISO/IEC JTC 1/SC27 ได้มีมติให้เร่งรัดพิจารณามาตรฐานดังกล่าวอย่างเร่งด่วน จนกระทั่งเดือนธันวาคมในปีเดียวกัน คณะทำงานได้เร่งพิจารณามาตรฐานนี้จนแล้วเสร็จและได้ประกาศสู่สาธารณะภายใต้ชื่อมาตรฐาน “ISO/IEC 17799” หลังจากนั้นเป็นต้นมา คณะทำงานยังคงดำเนินการแก้ไขปรับปรุงมาตรฐานดังกล่าวเพื่อหาแนวทางที่จะใช้เป็นข้อสรุปในการปรับปรุงด้านเทคนิค และต่อมาในปี 2005 ได้ประกาศมาตรฐาน ISO/IEC 17799 ฉบับปรับปรุงล่าสุดสู่สาธารณะ ในปัจจุบัน พัฒนาการต่าง ๆ ของมาตรฐาน ISO/IEC 17799 ยังคงดำเนินการปรับปรุงต่อไปเพื่อให้มีความเหมาะสมกับสภาพแวดล้อมของธุรกิจและให้เกิดประสิทธิภาพสูงสุด
       มาตรฐาน ISO/IEC 27001 เป็นมาตรฐานหนึ่งที่พัฒนามาจากมาตรฐานในตระกูล ISO/IEC 27000 ซึ่งเกี่ยวข้องกับระบบบริหารจัดการความมั่นคงปลอดภัย (Information Security Management System: ISMS) ได้ผ่านการปรับปรุงและนำออกเผยแพร่เมื่อเดือนตุลาคม ปี 2005 โดย  International Organization for Standardization (ISO) และ International Electrotechnical  Commission (IEC) ส่วนชื่อเต็มคือ ISO/IEC 27001:2005 - Information technology -- Security techniques -- Information security management systems – Requirements แต่ชื่อที่ใช้โดยทั่วไปที่เรารู้จักกันดีคือ ISO 27001

    พัฒนาการมาตรฐาน ISO/IEC 27001 และ ISO/IEC 17799 ในภูมิภาคเอเชียแปซิฟิก

       หลังจากที่ได้มีการประกาศมาตรฐานสากล ISO/IEC  27001 และ ISO/IEC 17799 อย่างเป็นทางการไปแล้วนั้น หลายประเทศได้เริ่มมีการตื่นตัวในการนำมาตรฐานการรักษาความมั่นคงปลอดภัยมาประยุกต์ใช้กับระบบสารสนเทศในองค์กรอย่างแพร่หลายมากขึ้น รวมถึงการการรณรงค์ให้เกิดการพัฒนามาตรฐานให้องค์กรในประเทศสามารถนำไปประยุกต์ใช้งานได้ง่ายขึ้น ด้วยเหตุผลดังกล่าวทำให้เกิดการสร้างกลุ่มความร่วมมือทั้งในระดับโลกและระดับภูมิภาค ลักษณะการร่วมมือนี้ ได้แก่ การพัฒนาด้านเทคนิคร่วมกัน การให้ความเห็นต่อประเด็นชองการรักษาความมั่นคงปลอดภัย การแบ่งปันความรู้และประสบการณ์ระหว่างกันในองค์กรที่ต้องผลักดันเรื่องที่เกี่ยวข้อง เป็นต้น
สำหรับการรวมกลุ่มกันของผู้พัฒนามาตรฐาน ISO/IEC 27001 และมาตรฐาน ISO/IEC 17799 ในภูมิภาคเอเชียแปซิฟิกนั้น ได้มีการหารือจากผู้เชี่ยวชาญที่ร่วมกันพัฒนามาตรฐานครั้งแรกที่ประเทศสิงคโปร์ ในเดือนเมษายน ปี 2004 เพื่อจัดตั้งคณะทำงาน จัดประชุมและเปิดเวทีสำหรับการแสดงทัศนะและแลกเปลี่ยนข้อมูลในการศึกษา จัดทำ และติดตามความก้าวหน้าในการเผยแพร่มาตรฐานในแต่ละประเทศ ต่อมาได้มีการประชุมครั้งแรกในเดือนพฤศจิกายนปีเดียวกัน ณ กรุงโตเกียว ประเทศญี่ปุ่น ภายใต้ชื่อ RAISS Forum หรือ Forum of Regional Asia Information Security Standards เพื่อให้กลุ่มภูมิภาคเอเชียแปซิฟิกได้เข้ามาร่วมรับรู้ทราบข้อมูลข่าวสาร รวมถึงข้อมูลที่เป็นประโยชน์ต่อกลุ่มเศรษฐกิจโลกในภูมิภาคตลอดจนกลุ่มที่ต้องการจะพัฒนาและรับเอามาตรฐานไปปรับใช้ต่อไป  ซึ่งในการประชุมครั้งนี้มีตัวแทนจากหลายประเทศเข้าร่วมประชุม อาทิ ออสเตรเลีย มาเลเซีย ไต้หวัน ญี่ปุ่น สิงคโปร์ รวมถึงประเทศไทยก็เข้าร่วมเป็นหนึ่งในฐานะสมาชิกในภูมิภาคเอเชียแปซิฟิกด้วย โดยมีศูนย์ประสานงานการรักษาความปลอดภัยคอมพิวเตอร์ประเทศไทย(ThaiCERT) ซึ่งเป็นหน่วยงานหนึ่งภายใต้การดูแลของศูนย์เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติ (NECTEC) ได้ส่งตัวแทนเข้าร่วมประชุมในเวทีดังกล่าวด้วย
มาตราฐาน ISO/IEC 27001 และ ISO/IEC 17799 ยังคงมีการปรับปรุงโดยคณะทำงานมาตรฐานสากลอย่างต่อเนื่อง และได้มีการประกาศใช้มาตรฐานฉบับปรับปรุงล่าสุดในปี 2005 และต่อมาในปี 2006 กลุ่มประเทศสมาชิกในภูมิภาคเอเชียแปซิฟิกได้มีการจัดประชุมเพื่อหารือร่วมกันขึ้น ณ ประเทศเกาหลีใต้ โดยแต่ละประเทศได้มีการจัดตั้งคณะทำงานหรือหน่วยงานขึ้นทำหน้าที่รับผิดชอบโดยตรง ไม่ว่าจะเป็นการกำกับดูแลมาตรฐานความมั่นคงปลอดภัยสำหรับประเทศ รวมถึงการพัฒนามาตรฐานสำหรับใช้ภายในประเทศ และการพัฒนาการแปลมาตรฐานไปสู่เวอร์ชั่นภาษาที่ใช้ในแต่ละประเทศ เช่น ญี่ปุ่น ไต้หวัน เกาหลีใต้ รวมถึงประเทศไทย ซึ่งคณะทำงานได้มีการจัดทำแนวทางหรือคู่มือปฏิบัติงานฉบับภาษาไทยขึ้นเช่นกัน

    พัฒนาการมาตรฐาน  ISO/IEC 27001 และ ISO/IEC 17799 ของประเทศไทย

       หลังจากที่ประเทศไทยได้มีการประกาศใช้พระราชบัญญัติว่าด้วยการประกอบธุรกรรมทางอิเล็กทรอนิกส์เมื่อปี พ.ศ. 2544 และมีการแต่งตั้งคณะกรรรมการทางอิเล็กทรอนิกส์ขึ้นเพื่อทำหน้าที่หลัก 5 ประการด้วยกัน และหนึ่งในหน้าที่นั้น ได้แก่ การเสนอแนะนโยบายและมาตรการด้านความมั่นคงให้เกิดความเชื่อมั่นและปลอดภัยในระบบคอมพิวเตอร์หรือเครือข่ายของประเทศไทยในการประกอบธุรกรรมอิเล็กทรอนิกส์ โดยได้มอบหมายให้ศูนย์ประสานงานการรักษาความมั่นคงปลอดภัยคอมพิวเตอร์ประเทศไทย (ThaiCERT) ในฐานะที่เป็นหน่วยงานวิจัยและพัฒนาด้านความมั่นคงปลอดภัยระบบคอมพิวเตอร์และเครือข่ายข้อมูลสารสนเทศ
       นอกจากนี้ ในเวทีความร่วมมือ RAISS ประเทศไทยในฐานะหนึ่งในประเทศสมาชิก ได้มอบหมายให้ตัวแทนจาก ThaiCERT ได้เข้าร่วมการประชุมและผลจากการร่วมงานกันทำให้คณะทำงานได้นำเสนอ Paper เพื่อเป็นแนวทางใช้งานของเจ้าหน้าที่ที่มีหน้าที่ดูแลระบบและเครือข่ายให้เป็นแนวทางที่ปฎิบัติงานประจำวันได้อย่างมั่นคงปลอดภัย โดยได้นำมาตรฐาน ISO/IEC 27001 และ ISO/IEC 17799 มาผนวกเป็นแนวทางหรือคู่มือปฎิบัติงานประจำวันของผู้ดูแลระบบและเครือข่าย ซึ่งหลังจากได้มีการเสนอ Paper ให้กับเวทีดังกล่าว กลุ่มผู้เข้าร่วมประชุมต่างให้ความเห็นกับ Paper นี้ว่าเป็นพัฒนาการที่สามารถนำไปใช้งานได้จริงและมีประเด็นที่ครอบคลุมมาตรฐานความปลอดภัยที่ค่อนข้างครบถ้วน ซึ่งภายหลังได้มีการพัฒนาและแปลร่างมาตรฐานฉบับภาษาไทยขึ้น และส่งมอบให้คณะอนุกรรมการด้านความมั่นคง ภายใต้คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์นำไปประกอบการพิจารณาเป็นแนวทางศึกษา ก่อนที่จะจัดทำร่างมาตรฐานรักษาความมั่นคงปลอดภัยที่เกี่ยวข้องกับการประกอบธุรกรรมทางอิเล็กทรอนิกส์ออกมาเผยแพร่ โดยได้มีการดำเนินการปรับปรุงแก้ไขร่างมาตรฐานที่จัดทำขึ้น และได้นำร่างมาตรฐานดังกล่าวประชาสัมพันธ์และรับฟังความคิดเห็นจากหน่วยงานที่เกี่ยวข้องและประชาชนอีกจำนวนหลายครั้ง รวมถึงได้มีการปรับปรุงร่างมาตรฐานดังกล่าวจนมีความสมบูรณ์และทันสมัย สำหรับมาตรฐานฉบับปรับปรุงล่าสุดภายใต้ชื่อ มาตรฐานการรักษาความมั่นคงปลอดภัย ในการประกอบธุรกรรมทางอิเล็กทรอนิกส์ (เวอร์ชั่น 2.5) ประจำปี 2550 ขึ้นในเดือนธันวาคมที่ผ่านมา

    ความแตกต่างระหว่างพัฒนาการมาตรฐาน  ISO/IEC 27001 และ ISO/IEC 17799

      สำหรับมาตรฐาน ISO/IEC 27001 และ ISO/IEC 17799 นี้เป็นมาตรฐานสากลที่มุ่งเน้นด้านการรักษาความมั่นคงปลอดภัยให้กับระบบสารสนเทศขององค์กร และใช้เป็นมาตรฐานอ้างอิงเพื่อเป็นแนวทางในการเสริมสร้างความมั่นคงปลอดภัยให้กับระบบสารสนเทศขององค์กรอย่างแพร่หลาย ซึ่งในด้านความแตกต่างระหว่างมาตรฐานทั้งสองสามารถอธิบายได้ดังนี้
มาตรฐาน ISO/IEC 27001
เป็นมาตรฐานที่กำลังได้รับความนิยมอย่างแพร่หลายในปัจจุบัน และกล่าวถึงข้อกำหนดในการจัดทำระบบบริหารจัดการความมั่นคงปลอดภัยหรือ ISMS (Information Security Management) ให้กับองค์กร ซึ่งวัตถุประสงค์ของมาตรฐานนี้เพื่อให้องค์กรสามารถบริหารจัดการทางด้านความปลอดภัยได้อย่างมีระบบ และเพียงพอเหมาะสมต่อการดำเนินธุรกิจขององค์กร มาตรฐานดังกล่าวมีหัวข้อที่เกี่ยวข้องได้แก่
1) ขอบเขต (Scope)
2) ศัพท์เทคนิคและนิยาม (Terms and definitions)
3) โครงสร้างของมาตรฐาน (Structure of this standard)
4) การประเมินความเสี่ยงและการจัดการกับความเสี่ยง ลด/ โอนย้าย/ ยอมรับความเสี่ยง (Risk assessment and treatment) นอกจากนี้ มาตรฐาน ISO/IEC 27001 ยังประกอบด้วยไปด้วยวงจรบริหารจัดการความมั่นคงปลอดภัยตามขั้นตอน Plan-Do-Check-Act (P-C-D-A) ด้วย
       มาตรฐาน ISO/IEC 17799 เป็นมาตรฐานที่กล่าวถึงเรื่องของวิธีปฎิบัติที่จะนำไปสู่ระบบบริหารจัดการความมั่นคงปลอดภัยที่องค์กรได้จัดทำขึ้น ซึ่งจะต้องเป็นไปตามข้อกำหนดในมาตรฐาน ISO/IEC 27001 รายละเอียดของมาตรฐานนี้จะบอกถึงวิธีปฏิบัติในการลดความเสี่ยงที่เกิดจากจุดอ่อนของระบบโดยแบ่งหัวข้อหลักที่เกี่ยวข้องกับระบบ และให้แนวทางว่าผู้จัดทำควรปฎิบัติอย่างไร ซึ่งผู้ใช้สามารถเพิ่มเติมมาตรการหรือใช้วิธีการที่มีความมั่นคงปลอดภัยเพียงพอ หรือเหมาะสมตามที่องค์กรได้ประเมินไว้ ซึ่งหัวข้อสำคัญหรือ 11 โดเมนหลักในมาตรฐานดังกล่าว มีดังนี้
1) นโยบายความมั่นคงปลอดภัยขององค์กร (Security policy)
2) โครงสร้างด้านความมั่นคงปลอดภัยสำหรับองค์กร (Organization of information security)
3) การบริหารจัดการทรัพย์สินขององค์กร (Asset management)
4) ความมั่นคงปลอดภัยที่เกี่ยวข้องกับบุคลากร  (Human resources security)
5) การสร้างความมั่นคงปลอดภัยทางกายภาพและสิ่งแวดล้อม (Physical and environmental security) 
6) การบริหารจัดการด้านการสื่อสารและการดำเนินงานของเครือข่ายสารสนเทศ (Communication and operations management)
7) การควบคุมการเข้าถึง (Access Control)
8) การจัดหา การพัฒนาและบำรุงรักษาระบบสารสนเทศ (Information systems acquisition, development and maintenance)
9) การบริหารจัดการเหตุการณ์ที่เกี่ยวข้องกับความมั่นคงปลอดภัยขององค์กร (Information security incident management)
10) การบริหารความต่อเนื่องในการดำเนินงานขององค์กร (Business continuity management)
11) การปฏิบัติตามข้อกำหนด (Compliance) 

       ดังนั้นจึงสรุปได้ว่า ความแตกต่างของมาตรฐาน ISO/IEC 27001 และมาตรฐาน ISO/IEC 17799 คือ มาตรฐาน ISO/IEC 27001 จะเน้นเรื่องข้อกำหนดในการจัดทำระบบ ISMS ให้กับองค์กรตามขั้นตอน Plan-Do-Check-Act และใช้แนวทางในการประเมินความเสี่ยงมาประกอบการพิจารณาเพื่อหาวิธีการหรือมาตรการที่เหมาะสม ส่วนมาตรฐาน ISO/IEC 17799 จะเน้นเรื่องวิธีปฎิบัติที่จะนำไปสู่ระบบ ISMS ที่องค์กรได้จัดทำขึ้น ซึ่งจะต้องเป็นไปตามมาตรฐาน ISO/IEC 27001 กำหนดไว้ด้วย

    คุณค่าของ ISO 27001

      ISO 27001 เหมาะกับองค์กรธุรกิจใดก็ตามที่เมื่อเกิดการใช้ข้อมูลผิดพลาดเกิดความเสียหายกับข้อมูลหรือการสูญเสียข้อมูลของลูกค้าทำให้องค์กรได้รับความเสียหายเชิงพาณิชย์
      เมื่อองค์กรได้รับใบรับรองมาตรฐาน ISO 27001 ก่อให้เกิดประโยชน์ดังนี้
     1. ความพึงพอใจของลูกค้าลูกค้าที่มาใช้บริการมั่นใจว่าข้อมูลของตนจะได้รับการปกป้องและเก็บเป็นความลับ
     2. ความต่อเนื่องในการดำเนินธุรกิจกิจการจะต้องได้รับการตรวจสอบตามกำหนดเวลาทำให้ปฏิบัติงานด้วยความระมัดระวังปัญหาด้านความปลอดภัยในอนาคต
     3. การปฏิบัติตามกฎหมายโดยการทำความเข้าใจว่ากฎข้อบังคับต่าง ๆนั้นมีผลกระทบกับองค์กรและลูกค้าองค์กรอย่างไร
     4. การจัดการความเสี่ยงที่ดีขึ้นจากการจัดการองค์กรอย่างเป็นระบบก่อให้เกิดความมั่นใจว่าบันทึกของลูกค้าข้อมูลทางการเงินและทรัพย์สินทางปัญญานั้นได้รับการปกป้องจากการสูญเสียการโจรกรรมและความเสียหาย
     5. เป็นการรับรองทางธุรกิจที่น่าเชื่อถือโดยการให้หน่วยงานอิสระเป็นผู้ตรวจสอบรับรองกับมาตรฐานที่ผ่านการยอมรับ
     6. โอกาสในการสร้างลูกค้ามากขึ้นโดยเฉพาะเมื่อลูกค้าได้กำหนดเงื่อนไขในการจัดซื้อว่าจะต้องผ่านมาตรฐานในระดับหนึ่ง