Login Form

อะไรเปลี่ยนไปใน ISO/ IEC 27001 เวอร์ชั่นใหม่

ดาวน์โหลดเอกสารแนบประกอบการฝึกอบรม

1.Mapping Guide

2.Transition guide

3.Transition Checklist

 

ผู้เขียน : This email address is being protected from spambots. You need JavaScript enabled to view it.

{ Withour Webinar :  https://bsiedge.bsi-global.com/iso27001fdis/  }

เพื่อให้มาตรฐานต่างๆ ทันสมัย เข้ากับเทคโนโลยี และสิ่งต่างๆที่เปลี่ยนแปลงไปตามกาลเวลา มาตรฐานแต่ละตัวจะถูกทบทวนทุก ๆ 5 ปีหลังจากที่ประกาศใช้อย่างเป็นทางการ ในการทบทวนมาตฐานนั้น จะมีผู้เชี่ยวชาญในแต่ละสาขาจะร่วมกันทบทวนเอกสาร ว่ามาตรฐานยังคงใช้ได้อยู่ ควรเพิกถอนหรือควรทำการปรับปรุง เช่นก็เป็นเช่นเดียวกันมาตรฐาน ISO/IEC 27001 ซึ่งเวอร์ชั่นล่าสุดประกาศใช้ตั้งแต่ปี 2005 ถึงปัจจุบันมีนี้กินระยะเวลา 8 ปีแล้ว ผู้เขียนคาดว่าการที่การทบทวนมาตรฐานตัวนี้ล่าช้านั้น เกิดจากการเปลี่ยนแปลงครั้งใหญ่ของเทคโนโลยีในวงการไอทีในระยะเวลาสองสามปีที่ผ่านมา ซึ่งเปลี่ยนโฉมการใช้อุปกรณ์ไอทีทั้งในระดับบุคคลและระดับองค์กร นั้นคือบทบาทของเทคโนโลยีเวอร์ชวล (virtual) และคลาวด์ (cloud) การปรับโครงสร้างมาตรฐาน Annex SL ระบบบริหารจัดการ (Management System) ใหม่ และตัวมาตรฐานเองที่มีส่วนที่เยอะกว่ามาตรฐานอื่นๆ คือตัวควบคุม (Controls ที่อยู่ใน Annex A ที่มีเป็นร้อยตัวใน ISO/IEC 27001 ซึ่งมีความสัมพันธ์อย่างเหนี่ยวแน่นกับมาตรฐาน ISO/IEC 27002 ที่ต้องปรับเปลี่ยนโครงสร้างตาม Annex A ทำให้มาตรฐานนี้คลอดออกมาช้ากว่ากำหนดการหลายปี

ตอนนี้กระบวนการทบทวนเอกสารถึง FDIS ไฟนอลดราฟด์และเสร็จสิ้นการรับฟังความคิดเห็นจากสาธารณะชนไปเมื่อวันที่ 23 มีนาคม 2013 ที่ผ่านมา และทำการลงคะแนนเสียงแล้ว (ballot) ที่ฝรั่งเศลเมื่อเดือนเมษายน จะมีการลงคะแนนเสียงครั้งที่ 2 ที่ประเทศเกาหลีใต้ในเดือนตุลาคม และจะประกาศใช้สิ้นปี 2013.

ในเวอรชั่นใหม่ของ ISO/IEC 27001 ส่วนระบบบริหารจัดการ (management system) จะถูกปรับเปลี่ยนให้เป็นไปตาม Annex SL ซึ่งต่อไปจะโครงสร้างมาตรฐานใหม่ที่จะถูกใช้มาตรฐาน ISO ทั้งหมด โดยวัตถุประสงค์ของ Annex SL คือเพื่อทำให้โครงสร้าง คำจำกัดความและนิยามของมาตรฐานต่างๆ ในระบบบริหารจัดการที่เป็น ISO เป็นไปในทิศทางเดียวกัน อีกทั้งสนับสนุนให้องค์การที่มีการทำระบบบริหารจัดการ (management system) มากกว่าหนึ่งมาตรฐานสามารถควบรวมและทำงานประสานกันได้เป็นอย่างดีในโครงสร้างมีข้อกำหนดทั้งหมด 10 ข้อจากเดิม 8 ข้อ

สิ่งที่เปลี่ยนไปในตัว ระบบบริหารจัดการ (ข้อกำหนด Clause 1-10) สรุปได้ดังนี้

  • คำจำกัดความในเวอร์ชัน 2005 ทั้งหมดถูกย้ายไปอยู่ใน มาตรฐาน ISO/IEC 27000
  • เปลี่ยนเทอมที่ใช้ เช่น “ISMS Policy” เป็น “Information Security Policy” ให้ชื่อเป็นกลางๆ มากขึ้น
  • เปลี่ยนชื่อหัวข้อ ข้อกำหนดการบวนการประเมินความเสี่ยงก็ลงรายละเอียดน้อยลง นั่นหมายความว่าคุณมีทางเลือก สำหรับวิธีการในการประเมินความเสี่ยงที่หลากหลายขึ้น แต่ถ้าองค์กรของคุณ คิดว่าการประเมินความเสี่ยงที่ทำอยู่ดี/เหมาะอยู่แล้วก็ไม่จำเป็นต้องปรับเปลี่ยนอะไรซึ่งคุณสามารถใช้ทั้ง ISO/IEC 27005 และ ISO 31000 (Enterprise Risk Management) เป็นไกด์ในสร้างวิธีการประเมินความเสี่ยง
    • ข้อกำหนดที่เกี่ยวกับพันธสัญญาของผู้บริการ (Management commitment) เป็น “Leadership”
    • ข้อกำหนดที่เกี่ยวกับการบริหารจัดการทรัพยากร (Resource management) เป็น “Support”
  • เอกสารที่ต้องจัดทำ (Documentation) เวอร์ชันใหม่ไม่เน้นว่าต้องจัดทำเอกสารอะไรบ้าง
    • ไม่ต้องมีการตั้งคำถามว่า ต้องทำเอกสาร/คู่มืออะไรบ้าง เอกสารชื่ออะไร ถ้าจะทำระบบ ISO/IEC 27001 ไม่ต้องถามหาบัญชีรายชื่อเอกสารที่ต้องจัดทำ
    • เพราะเวอรชั่นใหม่ เน้นไปที่เน้นหาของเอกสารไม่ใช่ชื่อ และเน้นไปที่ผลลัพธ์ในการดำเนินงานของระบบ
    • เกิดคำใหม่ คือ “Documented information” แทนที่ เอกสาร และ บันทึก แต่วิธีการควบคุมก็ไม่ต่างจากของเดิม
  • ข้อกำหนดเรื่องการพัฒนา (Improvement)
    • การป้องกัน (preventive action) ถูกตัดออกจากข้อกำหนดนี้ และเข้าไปรวมเป็นส่วนหนึ่งของการประเมินความเสี่ยง เพราะการทำงานเชิงป้องกันนั้นถือเป็นคอนเซ็ปหนึ่งในการประเมินความเสี่ยง
    • ข้อกำหนดย่อยจะเหลือแค่ความไม่สอดคล้องและการปรับปรุงแก้ไข (Nonconformity and corrective action) และการพัฒนาอย่างต่อเนื่อง (Continual improvement) เท่านั้น

สำหรับ Annex A ใน ISO/IEC 27001 มีการจับกลุ่มใหม่ เปลี่ยนจาก 11 โดเมน เป็น 14 โดเมน แต่ลด control ลงจาก 133 เป็น 114 ถ้าองค์กรของคน ได้การรับรอง ISO/IEC 27001:2005 อยู่แล้วก็แทบจะไม่ต้องปรับอะไรเลยสำหรับ Annex A การจับกลุ่มใหม่มีรายละเอียดดังนี้

  • ดึงหัวข้อ A.12.3 Cryptographic controls มาตั้งเป็น โดเมนใหม่ คือ A.10 Cryptography
  • แยกหัวข้อ A.10 Communications and operations management ออกเป็นสองหัวข้อย่อย คือ A.12Operations Security และ A.13 Communications Security
  • รวมหัวข้อที่เกี่ยวข้องกับ Supplier โดยรวมข้อย่อย A.6.2External parties และ A.10.2 Third party service delivery management และตั้งเป็น โดเมนใหม่ ที่เรียกว่า A.15Supplier relationships

โดยภาพรวมแล้วในส่วนที่เป็น กระบวนการ/คู่มือปฏิบัติงานต่างๆ ที่เกี่ยวข้องกับผู้ดำแลระบบ หรือการปฏิบัติงานเชิงเทคนิค แทบไม่ต้องปรับเปลี่ยนอะไร ส่วนที่จะต้องปรับปรุง จะอยู่ในส่วนระบบบริหารจัดการ (Management System) เป็นส่วนใหญ่เช่นต้องเปลี่ยนโครงสร้างเอกสาร SOA แน่ๆ ให้เป็นไปตามโครงสร้างของ Annex A ใหม่ที่มี 14 โดเม็น การคุมควมเอกสารและบันทึกก็ไม่จำเป็นต้องแยกกระบวนการแต่ให้มองเป็นการบริหารจัดการข้อมูล (Documented Information) การบริหารจัดการทรัพยากรจะมีการแยกออกมาเป็นหัวข้อชัดเจน เช่น ทรัพยากร (resource) ความรู้ความสามารถ (competence) ความตระหนัก (awareness) และ การสื่อสาร (communication)

ถ้าจะถามว่าองค์ควรเริ่มปรับปรุง กระบวนและเอกสารเลยไม๋ ณ ตอนนี้ยังไม่ควรเพราะเรายังไม่สามารถรู้ได้เลยว่าจะมีอะไรเปลี่ยนไปในการโหวด (2nd ballot) ครั้งที่ 2 จะมีอะไรเพิ่มลดอีกนั้นไม่มีใครบอกได้เลยจนกว่า มาตรฐานจะประกาศใช้อย่างเป็นทางการ ฉะนั้นควรเริ่มปรับเปลี่ยนเมื่อเวอร์ชั่นใหม่ออกแล้วจะดีกว่า องค์กรไม่ต้องกังวลว่าจะมีเวลาพอไม๋ในการอัพเวอร์ชัน เพราะตามประสบกาณ์แล้วจะมีระยะว่าให้ปรับปรับ อัพเวอร์ชันกันโดยประมาณ คือ 12 – 18 เดือน และถ้าองค์คุณกำลังทำระบบในเวอร์ชัน 2005 ก็ยังสามารถขอการรับรองเวอร์ปี 2005 ได้อยู่ในปี 2014 ทาง ISO จะกำหนดเดือนออกมาชันเจนเลยว่าจะสามารถขอรับรองเป็นเวอร์ชันเก่าได้ถึงเดือนไหน ซึ่งตอนนี้ไม่สามารถข้อมูล จะรู้ก็ต้องเมื่อตัวใหม่ประกาศใช้แล้ว กำหนดการต่างๆ นั้นทยอยออกมาเรื่อยๆ ซึ่งทางเราก็จะสื่อสารไปยังลูกค้าที่ขอรับรองอย่างต่อเนื่อง เพราะเราได้ข้อมูลมากจากวงใน คือทางคณะกรรมการที่โหวตนั่นแหละ รับรองว่าเกาะติดสถานการณ์ และ Step-by-Step กันเลยทีเดียว

คุณสามารถตามข่าวสารอย่างไม่เป็นทางการได้ที่ BSI facebook ของเราค่ะ

ถ้าท่านใดต้องการเอกสาร การเปรียบเทียบ Annex A ของเวอร์ชันใหม่-เก่าสามารถ อีเมล์มาขอกันได้นะคะ

Figure 1: High level Standard structure – Annex SL

 

Figure 1: High level Standard structure – Annex SL

 

Figure 2: Wheel diagram of 14 domains

 

 

Figure 2: Wheel diagram of 14 domains

iso27001-dis-3

  

Reference:

Annex proposed to be deleted in FDIS (ผลจากการโหวต ครั้งที่ 1)

A.6.1.1 Management commitment to information security

A.6.1.2 Information security coordination

A.6.1.4 Authorisation process for information processing facilities

A.6.2.1 Identification of risks related to external parties

A.6.2.2 Addressing security when dealing with customers

A.10.2.1 Service delivery

A.10.7.4 Security of system documentation

A.10.8.5 Business Information Systems

A.10.10.2 Monitoring system use

A.10.10.5 Fault logging

A.11.4.2 User authentication for external connections

A.11.4.3 Equipment identification in networks

A.11.4.4 Remote Diagnostic and configuration port protection

A.11.4.6 Network Connection control

A.11.4.7 Network routing control

A.11.6.2 Sensitive system isolation

A.12.2.1 Input data validation

A.12.2.2 Control of internal processing

A.12.2.3 Message integrity

A.12.2.4 Output data validation

A.12.5.4 Information leakage

A.14.1.1 Including information security in the business continuity management process

A.14.1.3 Developing and implementing continuity plans including formation security.

A.14.1.4 Business continuity planning framework

A.15.1.5 Prevention of misuse of information processing facilities

A.15.3.2 Protection of information systems audit tools

 

Reference:

http://www.bsigroup.com/en-GB/iso-27001-information-security/ISOIEC-27001-Revision/

http://www.iso.org/iso/home/news_index/news_archive/news.htm?refid=Ref1621

http://www.iso.org/iso/home/faqs/faqs_standards.htm

 

บทความใกล้เคียง

Online

มี 16 ผู้มาเยือน และ สมาชิกหนึ่งคน ออนไลน์