Government Information Technology Services : สำนักบริการเทคโนโลยีสารสนเทศภาครัฐ
ยินดีต้อนรับทุกท่านเข้าสู่ Web site สำนักบริการเทคโนโลยีสารสนเทศภาครัฐ ค่ะ                             - GITS Training จัดอบรมเชิงปฏิบัติการ “Bandwidth Optimization”                             - GITS Training เรื่อง Advanced PKI ตอกย้ำกระแสเรื่องการรักษาความปลอดภัยของข้อมูลที่ยังแรงอย่างต่อเนื่อง                             - สบทร.เปิดตัวระบบ E-mail กลางภาครัฐ "เมล์โกไทย"                            
 
Certified ISO 27001 : 2005

         สำนักบริการเทคโนโลยีสารสนเทศภาครัฐ (สบทร.) หน่วยงานภายใต้สำนักงานพัฒนาวิทยาศาสตร์และเทคโนโลยีแห่งชาติ (สวทช.) กระทรวงวิทยาศาสตร์และเทคโนโลยี ได้รับการ Certified ISO 27001 ซึ่งเป็นมาตรฐานด้านความมั่นคงปลอดภัยสารสนเทศ จาก BSI (British Standard Institute) ไปเมื่อวันที่ 4 ธันวาคม 2549 ที่ผ่านมา และถือว่าเป็นรายแรกในประเทศไทยเลยทีเดียว ภายหลังจากที่ได้ใช้ระยะเวลาการเตรียมความพร้อมทั้งในส่วนของตัวองค์กรและพนักงานมากว่า 1 ปี จนทำให้ในวันนี้ สบทร. เป็นองค์กรที่มีระบบการบริหารจัดการภายในและระบบบริหารความมั่นคงสารสนเทศในลักษณะเดียวกับองค์กรนานาชาติ สามารถให้บริการแก่หน่วยงานภาครัฐได้อย่างมีประสิทธิภาพและมีคุณภาพเป็นที่ยอมรับในระดับสากล



         ทั้งนี้ สำหรับหน่วยงานที่มีความสนใจจะทำความรู้จักกับมาตรฐาน ISO 27001 สามารถอ่านรายละเอียดเพิ่มเติมได้จาก Column IT Talk ใน GITS Newsletter ฉบับเดือนกุมภาพันธ์ 2006 ที่ผ่านมา หรือจาก http://www.gits.net.th/knowledge/newsletter/ittalk/index.asp?MenuID=26&RootMenuID=8&Book=9


         สบทร. กับ Certificate ISO/ IEC 27001: 2005 รายแรกของประเทศไทย

         เนื่องจาก สบทร. เป็นหน่วยงานแรกของประเทศไทยที่ได้รับการรับรองความเป็นมาตรฐานจาก ISO/ IEC 27001: 2005 ซึ่งเป้น Version ล่าสุดที่มีการปรับปรุง และเพิ่มกฏเกณฑ์ต่างๆ เพื่อเป็นการตรวจสอบความมีประสิทธิภาพของหน่วยงานได้มากขึ้นอีกระดับ ดังนั้น สบทร. จึงมีความยินดีที่จะประชาสัมพัน์วิธีในการตรวจสอบสถาบันหรือหน่วยงานต่างๆ ในประเทศไทยที่ได้รับการรับรอง ISO/ IEC 27001: 2005

         1. เข้าไปที่ http://www.iso27001certificates.com/ ตามรูปด้านล่าง



         2. Click ตรงที่ Certificate Register ตามวงกลมสีแดง ซึ่งจะเป็นการกล่าวต้อนรับการเข้าเยี่ยมชม Web-Site รวมทั้งรายละเอียดอย่างย่อๆ



         3. รูปด้านล่างนี้จะแสดงรหัสของประเทศต่างๆ ทั่วโลก ที่ใช้ในการ Certificate แล้วให้Click ต่อไปที่ ISMS Certificate ตามวงกลมสีแดง



         4. เมื่อได้เข้ามาถึงขั้นตอนนี้ให้ สังเกตุวงกลมสีแดง โดยให้ใช้ปุ่ม Drop Down แล้วเลือกเป็นชื่อประเทศไทย หลังจากนั้นให้ Click ที่ปุ่ม Send Query



         5. มาถึงในขั้นตอนสุดท้าย ที่ Web-Site จะแสดงให้เห็นถึงรายชื่อหน่วยงานทั้งภาครัฐ และภาคเอกชนที่ได้รับการรับรอง ISO/ IEC 27001: 2005 แล้ว โดย สบทร. เป็นเพียงหน่วยงานแรกและหน่วยงานเดียวในประเทศไทยที่ได้รับการรับรองแล้ว ตามลูกศร และวงกลมสีแดง




         การเตรียมความพร้อมในการเข้ารับการรับรองระบบบริหารความมั่นคงปลอดภัยของสารสนเทศ ตามมาตรฐาน ISO/IEC 27001:2005

 มาตรฐาน ISO27001:2005 คืออะไร

         มาตรฐาน ISO27001:2005 เป็นมาตรฐานเกี่ยวกับระบบบริหารความมั่นคงปลอดภัยของสารสนเทศ ซึ่งจะกำหนดความต้องการ (Set of Requirements) เกี่ยวกับการจัดทำระบบให้มีความมั่นคงปลอดภัย ซึ่งมีวัตถุประสงค์เพื่อช่วยให้องค์กรสามารถสร้างระบบบริหารจัดการความมั่นคงปลอดภัยของสารสนเทศขึ้นมาได้อย่างมีประสิทธิภาพ ทั้งนี้ มาตรฐานดังกล่าวสามารถนำมาใช้ได้กับทุกๆ ประเภทขององค์กรที่เกี่ยวข้องกับความมั่นคงปลอดภัย ไม่ว่าจะเป็นองค์กรขนาดใหญ่หรือขนาดย่อมก็ตาม

         ระบบบริหารความมั่นคงปลอดภัยของสารสนเทศ เป็นส่วนหนึ่งในระบบบริหารจัดการขององค์กร ซึ่งมีพื้นฐานมาจากแนวทางการจัดการความเสี่ยงของธุรกิจ (Business Risk Approach) มีวัตถุประสงค์เพื่อรักษาไว้ซึ่งความลับ (Confidentiality) ความถูกต้องครบถ้วน (Integrity) และความพร้อมใช้งาน (Availability) ของข้อมูลสารสนเทศ (Information) รวมทั้งทรัพย์สินอื่นๆ ที่มีความสำคัญขององค์กร ในอันที่จะสร้าง ดำเนินการ นำมาใช้ ตรวจสอบ วัดผล ทบทวน บำรุงรักษา และปรับปรุงระบบบริหารความมั่นคงปลอดภัย เพื่อให้องค์กรรอดพ้นจากภัยคุกคามต่างๆ โดยใช้หลัก Plan-Do-Check-Act (PDCA Model)

         อย่างไรก็ตามมาตรฐาน ISO/IEC27001:2005 นี้ถูกออกแบบมาสำหรับการตรวจประเมิน (Certification) นั่นคือหากองค์กรใดได้จัดทำระบบตามมาตรฐานนี้ครบถ้วนตามความต้องการที่กำหนดไว้แล้ว องค์กรดังกล่าวสามารถยื่นคำขอไปยังหน่วยงานรับตรวจประเมินระบบ (Certification Body) เพื่อให้เข้ามาดำเนินการตรวจประเมินและรับรองระบบที่จัดทำขึ้นได้ ทั้งนี้ ความต้องการที่องค์กรจำเป็นต้องดำเนินการเพื่อให้ได้รับการตรวจประเมินจะถูกระบุอยู่ใน Clause 4, 5, 6, 7 และ 8 ของมาตรฐานดังกล่าว แต่อย่างไรก็ตาม ความซับซ้อนของระบบบริหารความมั่นคงปลอดภัยของสารสนเทศที่แต่ละองค์กรพัฒนาขึ้นจะมีความแตกต่างกันไป ขึ้นอยู่กับ ขนาด โครงสร้าง วัตถุประสงค์ ความต้องการเกี่ยวกับความมั่นคงปลอดภัย รวมไปถึงกระบวนการทางธุรกิจ (Business Processes) ขององค์กร

         ในส่วน Annex A ภายในมาตรฐานดังกล่าวจะระบุเกี่ยวกับมาตรการความมั่นคงปลอดภัย (Control Objective) และ Controls โดยนำมาจากมาตรฐาน ISO/IEC 17799:2005 ซึ่งเป็นอีกมาตรฐานหนึ่งที่ระบุเกี่ยวกับแนวทางในการพัฒนาระบบ (Implementation Guidance) เพื่อให้การจัดทำระบบบริหารความมั่นคงปลอดภัยของสารสนเทศมีความมั่นคงปลอดภัยและมีประสิทธิภาพ ทั้งนี้ องค์กรสามารถเลือกใช้ Control Objective และ Controls ได้ตามความเหมาะสมกับสภาพการดำเนินงานขององค์กร

 ทำไม สบทร. ต้องเข้ารับการตรวจประเมินระบบบริหารความมั่นคงปลอดภัยของสารสนเทศ ตามมาตรฐาน ISO/IEC 27001:2005

         เนื่องจากคณะกรรมการบริหาร สบทร. ได้เล็งเห็นถึงประโยชน์และความสำคัญของการจัดทำระบบบริหารความมั่นคงปลอดภัยของสารสนเทศ จึงได้มีมติให้ สบทร. ดำเนินการจัดทำระบบดังกล่าว ในส่วนของบริการ CA Service (บริการใบรับรองอิเล็กทรอนิกส์) เพื่อเพิ่มความน่าเชื่อถือทางด้านความมั่นคงปลอดภัยให้กับบริการนี้ จากจุดนี้เองจึงได้มีการจัดตั้งทีมงานต่างๆ ขึ้นมาสำหรับการจัดทำระบบและได้รับการสนับสนุนจากผู้บริหารเป็นอย่างดี ซึ่ง สบทร. ได้เริ่มจัดทำระบบนี้ประมาณกลางปี 2548

 การเตรียมความพร้อมก่อนการตรวจประเมินระบบบริหารความมั่นคงปลอดภัยของสารสนเทศ ตามมาตรฐาน ISO/IEC 27001:2005

         ในระหว่างการจัดทำระบบบริหารความมั่นคงปลอดภัยของสารสนเทศ ทีมงานที่ได้รับมอบหมายในการจัดทำระบบ ได้ดำเนินการในขั้นตอนต่าง ๆ ซึ่งสามารถสรุปตามหลัก PDCA Model ได้ดังนี้

Plan
  • การกำหนดขอบเขตและส่วนงานที่เกี่ยวข้อง (Scope and Boundaries)
  • การจัดตั้งทีมงานและกำหนดหน้าที่ความรับผิดชอบ
Do
  • การกำหนดนโยบายความมั่นคงปลอดภัยขององค์กร (Organization’s ISMS Policy)
  • การบริหารจัดการความเสี่ยง (Risk Management) ซึ่งประกอบด้วยการประเมินความเสี่ยง (Risk Assessment) การวิเคราะห์และแก้ไขความเสี่ยง (Risk Analysis & Treatment)
  • การเลือกใช้มาตรการความมั่นคงปลอดภัย (Control Objectives) และ Controls ตามมาตรฐาน
  • การผึกอบรมพนักงานเกี่ยวกับความมั่นคงปลอดภัยของสารสนเทศในทุกๆ ระดับ
Check
  • การตรวจประเมินภายใน (Internal Audit) ของระบบบริหารความมั่นคงปลอดภัยของสารสนเทศ
  • การทบทวนระบบบริหารความมั่นคงปลอดภัยของสารสนเทศโดยผู้บริหาร (Management Review)
Act
  • การดำเนินการปรับปรุงระบบบริหารความมั่นคงปลอดภัยของสารสนเทศตามสิ่งที่ได้ตรวจพบ
  • การดำเนินการวิเคราะห์หาสาเหตุของปัญหาที่แท้จริง (Corrective Actions)
  • การดำเนินการป้องกันไม่ให้ปัญหาเกิดซ้ำอีก (Preventive Actions)
         อย่างไรก็ตาม ปัจจัยสำคัญในการจัดทำระบบบริหารความมั่นคงปลอดภัยของสารสนเทศให้ประสบผลสำเร็จ ต้องอาศัยความเข้าใจในขั้นตอนต่างๆ และความร่วมมือร่วมใจของทีมงาน และการสนับสนุนจากผู้บริหารทุกระดับทั้งด้านทรัพยากร งบประมาณ และเวลา รวมทั้งระบบที่จัดทำขึ้นจะต้องตอบโจทย์วัตถุประสงค์ขององค์กรด้วย

  ผลการตรวจประเมินระบบบริหารความมั่นคงปลอดภัยของสารสนเทศ ตามมาตรฐาน ISO/IEC 27001:2005

         เมื่อสบทร. ได้จัดทำระบบบริหารความมั่นคงปลอดภัยของสารสนเทศตามแผนที่กำหนดไว้ และมีความพร้อมในการเข้ารับการตรวจประเมินจากหน่วยงานตรวจประเมินระบบ (Certification Body) จึงได้ดำเนินการจัดทำกระบวนการ คัดเลือกหน่วยงานตรวจประเมิน (CB Selection) โดย สบทร. ได้คัดเลือกหน่วยงาน BSI Thailand Co.,Ltd. เพื่อดำเนินการตรวจประเมินระบบในช่วงเดือนพฤศจิกายน 2549 เนื่องจากเป็นหน่วยงานที่มีความน่าเชื่อถือ มีประสบการณ์ และมีความเกี่ยวข้องกับการกำหนดมาตรฐานต่างๆ ซึ่งผลที่ได้ก็คือ สบทร. ได้ผ่านการตรวจประเมินและได้รับการรับรองระบบบริหารความมั่นคงปลอดภัยของสารสนเทศ ตามมาตรฐาน ISO/IEC 27001:2005 และถือได้ว่าเป็นรายแรกของประเทศ

เอกสารอ้างอิง

         1. ISO IEC 27001 2005 Translated into plain English: Introduction, http://www.praxiom.com/iso-27001-intro.htm

         2. ACinfotec, Co.,Ltd., BS 7799-2:2002 and ISO 17799: 2005 ISMS Intensive Training, 2006


| กลับด้านบน |
 
  
  
 
สงวนลิขสิทธ์ พ.ศ. 2542 ตามพระราชบัญญัติลิขสิทธ์ 2537
สำนักบริการเทคโนโลยีสารสนเทศภาครัฐ (สบทร.)
Tel : (+66) 0 2612 6000 Fax : (+66) 0 2612 6011..12 Hotline : (+66) 0 2612 6060 e-mail :