สถานการณ์ปัจจุบัน: องค์กรในปัจจุบันพึ่งพาระบบสารสนเทศในการจัดการธุรกิจและส่งมอบผลิตภัณฑ์/บริการเป็นอย่างมาก พวกเขาพึ่งพาไอทีในการพัฒนา การผลิต และการส่งมอบในแอปพลิเคชันภายในต่างๆ แอปพลิเคชันประกอบด้วยฐานข้อมูลทางการเงิน การจองเวลาทำงานของพนักงาน การให้บริการฝ่ายช่วยเหลือและบริการอื่นๆ การให้การเข้าถึงลูกค้า/พนักงานจากระยะไกล การเข้าถึงระบบลูกค้าจากระยะไกล การโต้ตอบกับโลกภายนอกผ่านอีเมล อินเทอร์เน็ต การใช้งานของบุคคลที่สามและซัพพลายเออร์ภายนอก
ข้อกำหนดทางธุรกิจ:จำเป็นต้องมีความปลอดภัยของข้อมูลซึ่งเป็นส่วนหนึ่งของสัญญาระหว่างลูกค้าและลูกค้า การตลาดต้องการความได้เปรียบในการแข่งขันและสามารถสร้างความมั่นใจให้กับลูกค้าได้ ผู้บริหารระดับสูงต้องการทราบสถานะของการหยุดทำงานของโครงสร้างพื้นฐานด้านไอที หรือการละเมิดข้อมูล หรือเหตุการณ์เกี่ยวกับข้อมูลภายในองค์กร ข้อกำหนดทางกฎหมาย เช่น กฎหมายคุ้มครองข้อมูล ลิขสิทธิ์ การออกแบบและสิทธิบัตร ข้อบังคับและข้อกำหนดขององค์กรควรเป็นไปตามและได้รับการคุ้มครองอย่างดี การปกป้องข้อมูลและระบบสารสนเทศเพื่อตอบสนองความต้องการทางธุรกิจและกฎหมายโดยการจัดหาและสาธิตสภาพแวดล้อมที่ปลอดภัยให้กับลูกค้า การจัดการความปลอดภัยระหว่างโครงการของลูกค้าที่แข่งขันกัน การป้องกันการรั่วไหลของข้อมูลที่เป็นความลับเป็นความท้าทายที่ใหญ่ที่สุดสำหรับระบบสารสนเทศ
คำจำกัดความของข้อมูล: ข้อมูลเป็นทรัพย์สินที่มีคุณค่าต่อองค์กรเช่นเดียวกับทรัพย์สินทางธุรกิจที่สำคัญอื่น ๆ ดังนั้นจึงจำเป็นต้องได้รับการปกป้องอย่างเหมาะสม ไม่ว่ารูปแบบใดของข้อมูลที่ใช้หรือวิธีการที่ใช้ร่วมกันหรือจัดเก็บควรได้รับการปกป้องอย่างเหมาะสมเสมอ
รูปแบบของข้อมูล: ข้อมูลสามารถจัดเก็บด้วยระบบอิเล็กทรอนิกส์ สามารถส่งผ่านเครือข่ายได้ สามารถแสดงในวิดีโอและสามารถพูดได้
ภัยคุกคามด้านข้อมูล:อาชญากรไซเบอร์ แฮ็กเกอร์ มัลแวร์ โทรจัน ฟิชชิ่ง สแปมเมอร์เป็นภัยคุกคามที่สำคัญต่อระบบข้อมูลของเรา การศึกษาพบว่าคนส่วนใหญ่ที่ก่อวินาศกรรมคือพนักงานไอทีที่แสดงลักษณะนิสัย เช่น โต้เถียงกับเพื่อนร่วมงาน หวาดระแวงและไม่พอใจ มาทำงานสาย และมีผลงานโดยรวมแย่ ของอาชญากรไซเบอร์ 86% อยู่ในตำแหน่งทางเทคนิค และ 90% มีผู้ดูแลระบบหรือมีสิทธิ์เข้าถึงระบบของบริษัท ส่วนใหญ่ก่ออาชญากรรมหลังจากเลิกจ้าง แต่ 41% ก่อวินาศกรรมระบบในขณะที่พวกเขายังเป็นพนักงานในบริษัท ภัยพิบัติทางธรรมชาติ เช่น พายุ ทอร์นาโด น้ำท่วม สามารถสร้างความเสียหายอย่างใหญ่หลวงต่อระบบข้อมูลของเรา
เหตุการณ์ความปลอดภัยของข้อมูล: เหตุการณ์ด้านความปลอดภัยของข้อมูลอาจทำให้กิจวัตรและกระบวนการขององค์กรหยุดชะงัก มูลค่าผู้ถือหุ้นลดลง สูญเสียความเป็นส่วนตัว สูญเสียความได้เปรียบในการแข่งขัน ความเสียหายด้านชื่อเสียงทำให้แบรนด์ลดคุณค่า สูญเสียความเชื่อมั่นด้านไอที หรือสูญเสียในเหตุการณ์ต่างๆ กำไรลดลง บาดเจ็บหรือเสียชีวิตหากระบบความปลอดภัยที่สำคัญล้มเหลว
คำถามพื้นฐานไม่กี่ข้อ:
• เรามีนโยบาย IT Security หรือไม่?
• เราเคยวิเคราะห์ภัยคุกคาม/ความเสี่ยงต่อกิจกรรมและโครงสร้างพื้นฐานด้านไอทีของเราหรือไม่?
• เราพร้อมสำหรับภัยพิบัติทางธรรมชาติ เช่น น้ำท่วม แผ่นดินไหว ฯลฯ หรือไม่?
• ทรัพย์สินทั้งหมดของเราปลอดภัยหรือไม่?
• เรามั่นใจหรือไม่ว่า IT-Infrastructure/Network ของเราปลอดภัย?
• ข้อมูลธุรกิจของเราปลอดภัยหรือไม่?
• เครือข่ายโทรศัพท์ IP ปลอดภัยหรือไม่?
• เรากำหนดค่าหรือรักษาคุณลักษณะด้านความปลอดภัยของแอปพลิเคชันหรือไม่
• เรามีสภาพแวดล้อมเครือข่ายที่แยกจากกันสำหรับการพัฒนาแอปพลิเคชัน การทดสอบ และเซิร์ฟเวอร์ที่ใช้งานจริงหรือไม่
• ผู้ประสานงานสำนักงานได้รับการฝึกอบรมสำหรับการรักษาความปลอดภัยทางกายภาพใด ๆ หรือไม่?
• เรามีอำนาจควบคุมซอฟต์แวร์/การกระจายข้อมูลหรือไม่?
บทนำสู่ ISO 27001:ในการดำเนินธุรกิจ การให้ข้อมูลที่ถูกต้องแก่ผู้มีอำนาจในเวลาที่เหมาะสมสามารถสร้างความแตกต่างระหว่างกำไรและขาดทุน ความสำเร็จและความล้มเหลว
ความปลอดภัยของข้อมูลมีสามด้าน:
การรักษาความลับ: การปกป้องข้อมูลจากการเปิดเผยโดยไม่ได้รับอนุญาต ซึ่งอาจเปิดเผยต่อคู่แข่งหรือสื่อมวลชน
ความซื่อสัตย์: ปกป้องข้อมูลจากการดัดแปลงโดยไม่ได้รับอนุญาต และรับรองว่าข้อมูล เช่น รายการราคา ถูกต้องและครบถ้วน
ความพร้อมใช้งาน: ข้อมูลจะพร้อมใช้งานเมื่อคุณต้องการ การรักษาความลับ ความสมบูรณ์ และความพร้อมใช้งานของข้อมูลเป็นสิ่งสำคัญในการรักษาความได้เปรียบในการแข่งขัน กระแสเงินสด ความสามารถในการทำกำไร การปฏิบัติตามกฎหมาย และภาพลักษณ์เชิงพาณิชย์และตราสินค้า
ระบบจัดการความปลอดภัยของข้อมูล (ISMS): นี่เป็นส่วนหนึ่งของระบบการจัดการโดยรวมตามแนวทางความเสี่ยงทางธุรกิจเพื่อกำหนด ดำเนินการ ดำเนินการ ตรวจสอบ ทบทวน บำรุงรักษา และปรับปรุงความปลอดภัยของข้อมูล ระบบการจัดการประกอบด้วยโครงสร้างองค์กร นโยบาย กิจกรรมการวางแผน ความรับผิดชอบ แนวปฏิบัติ ขั้นตอน กระบวนการ และทรัพยากร
เกี่ยวกับ ISO 27001:- มาตรฐานสากลชั้นนำสำหรับการจัดการความปลอดภัยของข้อมูล มากกว่า 12,000 องค์กรทั่วโลกได้รับการรับรองมาตรฐานนี้ วัตถุประสงค์คือเพื่อปกป้องความลับ ความสมบูรณ์ และความพร้อมใช้งานของข้อมูล การควบคุมความปลอดภัยทางเทคนิค เช่น แอนติไวรัสและไฟร์วอลล์ไม่ได้รับการตรวจสอบตามปกติในการตรวจสอบการรับรอง ISO/IEC 27001: โดยพื้นฐานแล้วถือว่าองค์กรได้นำการควบคุมความปลอดภัยข้อมูลที่จำเป็นทั้งหมดมาใช้ ไม่ได้มุ่งเน้นเฉพาะเทคโนโลยีสารสนเทศเท่านั้น แต่ยังรวมถึงสินทรัพย์ที่สำคัญอื่นๆ ในองค์กรด้วย โดยมุ่งเน้นไปที่กระบวนการทางธุรกิจและสินทรัพย์ทางธุรกิจทั้งหมด ข้อมูลอาจหรือไม่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ & อาจอยู่ในรูปแบบดิจิทัลหรือไม่ก็ได้ เผยแพร่ครั้งแรกในฐานะ Department of Trade and Industry (DTI) Code of Practice in UK ที่รู้จักในชื่อ BS 7799 ISO 27001 มี 2 ส่วน ISO/IEC 27002 & ISO/IEC 27001
ISO / IEC 27002: 2005: เป็นแนวทางปฏิบัติสำหรับการจัดการความปลอดภัยของข้อมูล ให้คำแนะนำแนวทางปฏิบัติที่ดีที่สุด สามารถใช้ได้ตามความต้องการภายในธุรกิจของคุณ ไม่ใช่เพื่อการรับรอง
ISO/IEC 27001:2005:ใช้เป็นเกณฑ์ในการรับรอง มันคือโปรแกรมการจัดการ + การบริหารความเสี่ยง มีโดเมนความปลอดภัย 11 รายการ วัตถุประสงค์ด้านความปลอดภัย 39 รายการ และการควบคุม 133 รายการ
ISO/IEC 27001: มาตรฐานประกอบด้วยส่วนหลักดังต่อไปนี้:
- การประเมินความเสี่ยง
- นโยบายความปลอดภัย
- การจัดการสินทรัพย์
- ความมั่นคงด้านทรัพยากรบุคคล
- ความปลอดภัยทางกายภาพและสิ่งแวดล้อม
- การจัดการการสื่อสารและการปฏิบัติการ
- การควบคุมการเข้าถึง
- การได้มาซึ่งระบบสารสนเทศ การพัฒนา และการบำรุงรักษา
- การจัดการเหตุการณ์ความปลอดภัยของข้อมูล
- การบริหารความต่อเนื่องทางธุรกิจ
- การปฏิบัติตาม
ประโยชน์ของระบบการจัดการความปลอดภัยของข้อมูล (ISMS):ความได้เปรียบในการแข่งขัน: พันธมิตรทางธุรกิจและลูกค้าตอบรับเป็นอย่างดีต่อบริษัทที่น่าเชื่อถือ การมี ISMS จะแสดงให้เห็นถึงวุฒิภาวะและความน่าเชื่อถือ บางบริษัทจะเป็นพันธมิตรกับผู้ที่มี ISMS เท่านั้น การนำ ISMS ไปใช้สามารถนำไปสู่ประสิทธิภาพในการดำเนินงาน ทำให้ต้นทุนในการดำเนินธุรกิจลดลง บริษัทที่มี ISMS อาจสามารถแข่งขันด้านราคาได้เช่นกัน
เหตุผลสำหรับ ISO 27001: มีเหตุผลที่ชัดเจนในการใช้ระบบการจัดการความปลอดภัยของข้อมูล (ISO 27001) มาตรฐาน ISO 27001 เป็นไปตามกฎหมายหรือข้อบังคับ สินทรัพย์ข้อมูลมีความสำคัญและมีค่ามากสำหรับองค์กรใดๆ ความเชื่อมั่นของผู้ถือหุ้น คู่ค้า ลูกค้า ควรได้รับการพัฒนาด้านเทคโนโลยีสารสนเทศขององค์กรเพื่อสร้างความได้เปรียบทางธุรกิจ การรับรองมาตรฐาน ISO 27001 แสดงให้เห็นว่าสินทรัพย์ข้อมูลได้รับการจัดการที่ดีโดยคำนึงถึงความปลอดภัย การรักษาความลับ และความพร้อมใช้งานของสินทรัพย์ข้อมูล
การจัดตั้ง ISMS:ความปลอดภัยของข้อมูล – ความท้าทายในการจัดการหรือปัญหาทางเทคนิค? ความปลอดภัยของข้อมูลจะต้องถูกมองว่าเป็นความท้าทายในการจัดการและธุรกิจ ไม่ใช่แค่ปัญหาทางเทคนิคที่ต้องส่งต่อให้กับผู้เชี่ยวชาญ เพื่อให้ธุรกิจของคุณปลอดภัย คุณต้องเข้าใจทั้งปัญหาและวิธีแก้ไข เพื่อจัดตั้งการจัดการ ISMS มีบทบาท 80% และความรับผิดชอบ 20% ของระบบเทคโนโลยี
จุดเริ่มต้น: – ก่อนเริ่มก่อตั้ง ISMS คุณต้องได้รับการอนุมัติจากผู้บริหาร/ผู้มีส่วนได้ส่วนเสีย ต้องดูว่าคุณพยายามทำทั้งองค์กรหรือแค่บางส่วน คุณต้องรวบรวมทีมของผู้มีส่วนได้ส่วนเสียและผู้เชี่ยวชาญที่มีทักษะ คุณอาจเลือกที่จะเสริมทีมด้วยที่ปรึกษาที่มีประสบการณ์ในการดำเนินการ
ISMS (ISO 27001) การรับรอง: การตรวจสอบอิสระโดยบุคคลที่สามของการรับประกันความปลอดภัยของข้อมูลขององค์กรตามมาตรฐาน ISO 27001:2005
การรับรองล่วงหน้า: ขั้นที่ 1 – การตรวจสอบเอกสาร
ขั้นตอนที่ 2 – การตรวจสอบการใช้งาน
หลังการรับรอง: การเฝ้าระวังต่อเนื่องเป็นเวลา 2 ปี การประเมินซ้ำ/การรับรองซ้ำในปีที่ 3
บทสรุป: ก่อนการนำระบบการจัดการสำหรับการควบคุมความปลอดภัยของข้อมูลไปใช้ องค์กรมีการควบคุมหลักทรัพย์ต่างๆ ในระบบสารสนเทศ การควบคุมความปลอดภัยเหล่านี้มักจะค่อนข้างยุ่งเหยิงและไม่ปะติดปะต่อ ข้อมูลซึ่งเป็นทรัพย์สินที่สำคัญอย่างยิ่งสำหรับองค์กรใด ๆ จำเป็นต้องได้รับการปกป้องอย่างดีจากการรั่วไหลหรือถูกเจาะระบบ ISO/IEC 27001 เป็นมาตรฐานสำหรับระบบการจัดการความปลอดภัยของข้อมูล (ISMS) ที่ทำให้มั่นใจว่ากระบวนการที่มีการจัดการอย่างดีได้รับการปรับเพื่อความปลอดภัยของข้อมูล การนำ ISMS มาใช้ทำให้เกิดประสิทธิภาพในการดำเนินงานซึ่งนำไปสู่การลดต้นทุนในการดำเนินธุรกิจ