ผู้เขียน : This email address is being protected from spambots. You need JavaScript enabled to view it.
{ Withour Webinar : https://bsiedge.bsi-global.com/iso27001fdis/ }
เพื่อให้มาตรฐานต่างๆ ทันสมัย เข้ากับเทคโนโลยี และสิ่งต่างๆที่เปลี่ยนแปลงไปตามกาลเวลา มาตรฐานแต่ละตัวจะถูกทบทวนทุก ๆ 5 ปีหลังจากที่ประกาศใช้อย่างเป็นทางการ ในการทบทวนมาตฐานนั้น จะมีผู้เชี่ยวชาญในแต่ละสาขาจะร่วมกันทบทวนเอกสาร ว่ามาตรฐานยังคงใช้ได้อยู่ ควรเพิกถอนหรือควรทำการปรับปรุง เช่นก็เป็นเช่นเดียวกันมาตรฐาน ISO/IEC 27001 ซึ่งเวอร์ชั่นล่าสุดประกาศใช้ตั้งแต่ปี 2005 ถึงปัจจุบันมีนี้กินระยะเวลา 8 ปีแล้ว ผู้เขียนคาดว่าการที่การทบทวนมาตรฐานตัวนี้ล่าช้านั้น เกิดจากการเปลี่ยนแปลงครั้งใหญ่ของเทคโนโลยีในวงการไอทีในระยะเวลาสองสามปีที่ผ่านมา ซึ่งเปลี่ยนโฉมการใช้อุปกรณ์ไอทีทั้งในระดับบุคคลและระดับองค์กร นั้นคือบทบาทของเทคโนโลยีเวอร์ชวล (virtual) และคลาวด์ (cloud) การปรับโครงสร้างมาตรฐาน Annex SL ระบบบริหารจัดการ (Management System) ใหม่ และตัวมาตรฐานเองที่มีส่วนที่เยอะกว่ามาตรฐานอื่นๆ คือตัวควบคุม (Controls ที่อยู่ใน Annex A ที่มีเป็นร้อยตัวใน ISO/IEC 27001 ซึ่งมีความสัมพันธ์อย่างเหนี่ยวแน่นกับมาตรฐาน ISO/IEC 27002 ที่ต้องปรับเปลี่ยนโครงสร้างตาม Annex A ทำให้มาตรฐานนี้คลอดออกมาช้ากว่ากำหนดการหลายปี
ตอนนี้กระบวนการทบทวนเอกสารถึง FDIS ไฟนอลดราฟด์และเสร็จสิ้นการรับฟังความคิดเห็นจากสาธารณะชนไปเมื่อวันที่ 23 มีนาคม 2013 ที่ผ่านมา และทำการลงคะแนนเสียงแล้ว (ballot) ที่ฝรั่งเศลเมื่อเดือนเมษายน จะมีการลงคะแนนเสียงครั้งที่ 2 ที่ประเทศเกาหลีใต้ในเดือนตุลาคม และจะประกาศใช้สิ้นปี 2013.
ในเวอรชั่นใหม่ของ ISO/IEC 27001 ส่วนระบบบริหารจัดการ (management system) จะถูกปรับเปลี่ยนให้เป็นไปตาม Annex SL ซึ่งต่อไปจะโครงสร้างมาตรฐานใหม่ที่จะถูกใช้มาตรฐาน ISO ทั้งหมด โดยวัตถุประสงค์ของ Annex SL คือเพื่อทำให้โครงสร้าง คำจำกัดความและนิยามของมาตรฐานต่างๆ ในระบบบริหารจัดการที่เป็น ISO เป็นไปในทิศทางเดียวกัน อีกทั้งสนับสนุนให้องค์การที่มีการทำระบบบริหารจัดการ (management system) มากกว่าหนึ่งมาตรฐานสามารถควบรวมและทำงานประสานกันได้เป็นอย่างดีในโครงสร้างมีข้อกำหนดทั้งหมด 10 ข้อจากเดิม 8 ข้อ
สิ่งที่เปลี่ยนไปในตัว ระบบบริหารจัดการ (ข้อกำหนด Clause 1-10) สรุปได้ดังนี้
สำหรับ Annex A ใน ISO/IEC 27001 มีการจับกลุ่มใหม่ เปลี่ยนจาก 11 โดเมน เป็น 14 โดเมน แต่ลด control ลงจาก 133 เป็น 114 ถ้าองค์กรของคน ได้การรับรอง ISO/IEC 27001:2005 อยู่แล้วก็แทบจะไม่ต้องปรับอะไรเลยสำหรับ Annex A การจับกลุ่มใหม่มีรายละเอียดดังนี้
โดยภาพรวมแล้วในส่วนที่เป็น กระบวนการ/คู่มือปฏิบัติงานต่างๆ ที่เกี่ยวข้องกับผู้ดำแลระบบ หรือการปฏิบัติงานเชิงเทคนิค แทบไม่ต้องปรับเปลี่ยนอะไร ส่วนที่จะต้องปรับปรุง จะอยู่ในส่วนระบบบริหารจัดการ (Management System) เป็นส่วนใหญ่เช่นต้องเปลี่ยนโครงสร้างเอกสาร SOA แน่ๆ ให้เป็นไปตามโครงสร้างของ Annex A ใหม่ที่มี 14 โดเม็น การคุมควมเอกสารและบันทึกก็ไม่จำเป็นต้องแยกกระบวนการแต่ให้มองเป็นการบริหารจัดการข้อมูล (Documented Information) การบริหารจัดการทรัพยากรจะมีการแยกออกมาเป็นหัวข้อชัดเจน เช่น ทรัพยากร (resource) ความรู้ความสามารถ (competence) ความตระหนัก (awareness) และ การสื่อสาร (communication)
ถ้าจะถามว่าองค์ควรเริ่มปรับปรุง กระบวนและเอกสารเลยไม๋ ณ ตอนนี้ยังไม่ควรเพราะเรายังไม่สามารถรู้ได้เลยว่าจะมีอะไรเปลี่ยนไปในการโหวด (2nd ballot) ครั้งที่ 2 จะมีอะไรเพิ่มลดอีกนั้นไม่มีใครบอกได้เลยจนกว่า มาตรฐานจะประกาศใช้อย่างเป็นทางการ ฉะนั้นควรเริ่มปรับเปลี่ยนเมื่อเวอร์ชั่นใหม่ออกแล้วจะดีกว่า องค์กรไม่ต้องกังวลว่าจะมีเวลาพอไม๋ในการอัพเวอร์ชัน เพราะตามประสบกาณ์แล้วจะมีระยะว่าให้ปรับปรับ อัพเวอร์ชันกันโดยประมาณ คือ 12 – 18 เดือน และถ้าองค์คุณกำลังทำระบบในเวอร์ชัน 2005 ก็ยังสามารถขอการรับรองเวอร์ปี 2005 ได้อยู่ในปี 2014 ทาง ISO จะกำหนดเดือนออกมาชันเจนเลยว่าจะสามารถขอรับรองเป็นเวอร์ชันเก่าได้ถึงเดือนไหน ซึ่งตอนนี้ไม่สามารถข้อมูล จะรู้ก็ต้องเมื่อตัวใหม่ประกาศใช้แล้ว กำหนดการต่างๆ นั้นทยอยออกมาเรื่อยๆ ซึ่งทางเราก็จะสื่อสารไปยังลูกค้าที่ขอรับรองอย่างต่อเนื่อง เพราะเราได้ข้อมูลมากจากวงใน คือทางคณะกรรมการที่โหวตนั่นแหละ รับรองว่าเกาะติดสถานการณ์ และ Step-by-Step กันเลยทีเดียว
คุณสามารถตามข่าวสารอย่างไม่เป็นทางการได้ที่ BSI facebook ของเราค่ะ
ถ้าท่านใดต้องการเอกสาร การเปรียบเทียบ Annex A ของเวอร์ชันใหม่-เก่าสามารถ อีเมล์มาขอกันได้นะคะ
Figure 1: High level Standard structure – Annex SL
Figure 2: Wheel diagram of 14 domains
Annex proposed to be deleted in FDIS (ผลจากการโหวต ครั้งที่ 1)
A.6.1.1 Management commitment to information security
A.6.1.2 Information security coordination
A.6.1.4 Authorisation process for information processing facilities
A.6.2.1 Identification of risks related to external parties
A.6.2.2 Addressing security when dealing with customers
A.10.2.1 Service delivery
A.10.7.4 Security of system documentation
A.10.8.5 Business Information Systems
A.10.10.2 Monitoring system use
A.10.10.5 Fault logging
A.11.4.2 User authentication for external connections
A.11.4.3 Equipment identification in networks
A.11.4.4 Remote Diagnostic and configuration port protection
A.11.4.6 Network Connection control
A.11.4.7 Network routing control
A.11.6.2 Sensitive system isolation
A.12.2.1 Input data validation
A.12.2.2 Control of internal processing
A.12.2.3 Message integrity
A.12.2.4 Output data validation
A.12.5.4 Information leakage
A.14.1.1 Including information security in the business continuity management process
A.14.1.3 Developing and implementing continuity plans including formation security.
A.14.1.4 Business continuity planning framework
A.15.1.5 Prevention of misuse of information processing facilities
A.15.3.2 Protection of information systems audit tools
http://www.bsigroup.com/en-GB/iso-27001-information-security/ISOIEC-27001-Revision/
http://www.iso.org/iso/home/news_index/news_archive/news.htm?refid=Ref1621
http://www.iso.org/iso/home/faqs/faqs_standards.htm