BS7799 และ ISO/IEC17799 คือมาตรฐานการจัดการด้านความปลอดภัยของข้อมูล ซึ่งเป็นการรักษาความปลอดภัยของข้อมูลให้แก่องค์กรวิธีหนึ่ง ที่เน้นที่ “ ระบบการบริหารจัดการ ” ไม่ใช่เน้นที่การใช้เทคโนโลยี Hardware หรือ Software ต่างๆเข้ามาช่วย นั่นหมายความว่า มาตรฐานนี้จะมีข้อกำหนดต่างๆเพื่อการรักษาความปลอดภัยของข้อมูลครอบคลุมกระบวนการทำงาน ในองค์กรในส่วนที่เกี่ยวข้องกับการนำข้อมูลมาใช้และจัดเก็บข้อมูลทั้งหมด รวมถึงการมีแผนรับมือ เมื่อเกิดเหตุฉุกเฉินขึ้นกับข้อมูล เช่น ไฟฟ้าดับ, ฮาร์ดดิสก์เสีย หรือพายุ เพื่อให้องค์กรสามารถ ปฏิบัติการรับมือได้อย่างถูกต้อง เกิดความสูญเสียน้อยที่สุด และสามารถกู้ข้อมูลกลับมาดำเนินงาน ตามปกติได้เร็วที่สุด ในปัจจุบัน มาตรฐานนี้มีการนำไปใช้งานกันอย่างแพร่หลายทั่วโลก โดยเฉพาะในประเทศอังกฤษ และแถบยุโรปและเป็นที่น่าสนใจว่า ในอนาคตมาตรฐานด้านความปลอดภัยของข้อมูลนี้ อาจได้รับการยอมรับและนำไปใช้งานกันอย่างแพร่หลายในประเทศไทย ไม่แพ้ระบบการบริหาร จัดการคุณภาพ (ISO9001) ก็เป็นได้ เพราะการพัฒนา IT ที่เจริญรุดหน้าอย่างรวดเร็วและ การดำเนินธุรกิจแบบดิจิตอลที่แพร่หลายอยู่ในประเทศไทย จุดเด่นที่สำคัญอีกอย่างหนึ่งสำหรับมาตรฐานการจัดการด้านความปลอดภัยของข้อมูลนี้ก็คือ มาตรฐาน BS7799 นี้ได้ถูกปรับปรุงขึ้นเพื่อให้สามารถเข้ากันได้กับมาตรฐาน ISO9001 และ ISO14001 ซึ่งจะทำให้องค์กรที่มี ISO9001 หรือ ISO14001 อยู่แล้ว สามารถใช้ระบบ เอกสารที่องค์กรคุ้นเคยอยู่แล้วนั้นกับมาตรฐาน BS7799 ได้ และยังมีระบบในด้านของการทบทวน โดยผู้บริหาร (Management review) และการตรวจติดตามระบบภายใน (Internal audit) ที่มีแนวปฏิบัติคล้ายคลึงกันอีกด้วย ความเป็นมาของมาตรฐาน BS7799 และ ISO/IEC 17799 มาตรฐาน BS7799 เริ่มต้นพัฒนาขึ้นโดย BSI (British Standard Institute) ของประเทศ อังกฤษ มีทั้งหมด 2 parts ดังนี้ BS7799 part 1 ถูกพัฒนาขึ้นครั้งแรกในปี ค.ศ. 1995 หลังจากนั้นได้มีการปรับปรุงแก้ไข โดยผู้เชี่ยวชาญอีกหลายครั้งใน ปี ค.ศ. 1998 และ 1999 ต่อจากนั้น BS7799-1:1999 นี้ได้ถูกยื่นเสนอให้เป็นมาตรฐานสากล (International Standard) ด้านการจัดการความปลอดภัย ของข้อมูล หลังจากการพิจารณาและปรับปรุงโดย ISO (International Organization for Standardization) และ IEC ( International Electrotechnical Commission) BS ISO/IEC17799:2000 ได้ถูกประกาศใช้อย่างเป็นทางการในวันที่ 1 ธันวาคม ค.ศ. 2000 โดยประกอบไปด้วยหัวข้อของการควบคุมด้านความปลอดภัยของข้อมูลทั้งหมด 127 หัวข้อ แบ่งออกเป็น 10 หมวดหลัก BS7799 part 2 ได้มีการประกาศใช้ครั้งแรกในปี ค.ศ.1998 ซึ่งเนื้อหาจะประกอบไปด้วย ข้อกำหนดและแนวทางในการจัดตั้ง “ ระบบการจัดการความปลอดภัยของข้อมูล ” (Information Security Management Systems – ISMS) ขึ้นใช้ในองค์กรและการให้การรับรองระบบ (Certification) BS7799 part 2 นี้ได้ถูกปรับปรุงแก้ไขในปี ค.ศ. 1999 และ 2001 จนมาถึง ฉบับปัจจุบัน BS7799-2:2002 ซึ่งได้ถูกประกาศใช้เมื่อ 5 กันยายน ค.ศ. 2002 โดยมี การปรับปรุงแก้ไขโครงสร้างของมาตรฐานให้เข้ากันได้กับ ISO9001:2000 และ ISO14001:1996 ความแตกต่างระหว่างมาตรฐาน ISO/IEC17799:2000 และ BS7799-2:2002 ISO/IEC17799:2000 – Code of practice for information security management หรือก็คือ BS7799 part 1 นั้นจะประกอบไปด้วยหัวข้อของการควบคุม ทางด้านการจัดการความปลอดภัยของข้อมูลที่ควรปฏิบัติเพื่อให้เกิดความปลอดภัยต่อข้อมูล ขององค์กรซึ่งจะมีทั้งหมด 127 หัวข้อการควบคุมใน 10 หมวดหลัก BS7799-2:2002 Information security management systems – Specification with guidance for use ก็คือ BS7799 part 2 มีเนื้อหา ว่าด้วยการจัดตั้ง “ ระบบการจัดการด้านความปลอดภัยของข้อมูล ” ขึ้นในองค์กร โดยเริ่มตั้งแต่การริเริ่มทำระบบ , การนำไปใช้ , การทบทวน, การปรับปรุงอย่างสม่ำเสมอ ซึ่งในส่วนนี้จะมีการประยุกต์เพื่อนำแนวคิดของวงล้อ PDCA (Plan-Do-Check-Act) เข้าใช้ในการจัดตั้งและพัฒนาระบบด้วย ในส่วนของเนื้อหาของระบบ ISMS ที่จะจัดตั้ง ขึ้นนั้นก็จะต้องอ้างอิงตามหัวข้อของการควบคุมทั้ง 127 หัวข้อในมาตรฐาน ISO/IEC17799 มาตรฐาน ISO/IEC17799:2000 Code of practice for information security management หัวข้อต่อไปนี้คือ 10 หมวดหมู่หลักที่ครอบคลุมโดยมาตรฐาน ISO/IEC17799 1. Security policy ครอบคลุมถึงเรื่องของนโยบายการจัดการด้านความปลอดภัยของข้อมูลในองค์กร การเล็งเห็น ถึงความสำคัญของนโยบายฯ และการให้การสนับสนุนจากผู้บริหารระดับสูงเพื่อให้มีการนำ นโยบายฯไปใช้อย่างมีประสิทธิภาพ 2. Organizational security ครอบคลุมถึงเรื่องการจัดตั้งหน่วยงานขึ้นเพื่อประสานงานและดำเนินงานด้านการดูแลรักษา ความปลอดภัยของข้อมูล 3. Asset classification and control ครอบคลุมถึงเรื่องของการจัดจำแนกประเภทของข้อมูลตามระดับความสำคัญ ควบคุมการเข้าถึง ข้อมูลแต่ละประเภท รวมถึงการควบคุมทรัพย์สินต่างๆขององค์กรที่เกี่ยวกับงานด้าน IT 4. Personnel security ครอบคลุมถึงเรื่องของการให้ความรู้แก่พนักงานถึงภัยคุกคามต่างๆและแนะนำวิธีการปฏิบัติงาน ที่ถูกต้องและเหมาะสม เช่น การตั้ง password และใช้งาน password อย่างปลอดภัย การปฏิบัติเมื่อพบสิ่งผิดปกติในระบบ 5. Physical and environmental security ครอบคลุมถึงการรักษาความปลอดภัยของพื้นที่ทำงาน การควบคุมการเข้า-ออก และการนำสิ่งของ เข้า-ออก เพื่อป้องกันการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาตและป้องกันการเสียหาย / สูญหายของทรัพย์สิน 6. Communications and Operations management ครอบคลุมถึงการรักษาความปลอดภัยให้แก่คอมพิวเตอร์ ระบบเครือข่ายและการประมวลผลข้อมูล เช่น การป้องกันไวรัสคอมพิวเตอร์, การทำ Back-up ข้อมูล, การจัดการเมื่อเกิดเหตุการณ์ฉุกเฉิน, การควบคุมความปลอดภัยของระบบเครือข่าย, การกำจัดสื่อบันทึกข้อมูล, การควบคุมความปลอดภัย ในการใช้งาน E-mail ฯลฯ 7. Access control ครอบคลุมถึงการควบคุมการเข้าถึงข้อมูลและป้องกันการเข้าถึงข้อมูลโดยผู้ไม่ได้รับอนุญาตทั้งจาก การเข้าใช้งานทางคอมพิวเตอร์ภายในบริษัท ทางระบบเครือข่ายและทางระบบการเข้าถึงทางไกล (Remote access) 8. Systems development and maintenance ครอบคลุมถึงการพัฒนาระบบคอมพิวเตอร์ ระบบเครือข่าย Software และ Hardware เริ่มตั้งแต่การจัดซื้อ / จัดจ้าง ติดตั้งระบบ การใช้งานจริง และการบำรุงรักษาอย่างสม่ำเสมอ รวมถึงการควบคุมการใช้รหัสลับ (Cryptographic control) 9. Business continuity management ครอบคลุมถึงการจัดทำแผนการจัดการให้ธุรกิจดำเนินได้อย่างต่อเนื่อง (Business continuity Plan-BCP) ซึ่งก็คือวิธีปฏิบัติในการรับมือในกรณีที่เกิดความผิดพลาดขึ้นกับระบบ หรือภัยธรรมชาติ เพื่อให้เกิดความเสียหายน้อยที่สุด และเพื่อให้ธุรกิจสามารถฟื้นตัวกลับมา ดำเนินงานตามปกติได้เร็วที่สุด 10. Compliance ครอบคลุมถึงการปฏิบัติงานที่ถูกต้องตามกฎหมาย เช่นการใช้ Software ที่มีลิขสิทธิ์ (License) มาตรฐาน BS7799-2:2002 Information security management systems เนื้อหาของมาตรฐาน BS7799-2:2002 จะเกี่ยวข้องกับวิธีการปฏิบัติเพื่อให้เกิด “ระบบการจัดการด้านความปลอดภัยของข้อมูล ” (Information security management systems - ISMS) ขึ้นในองค์กร ซึ่งแนวคิดของมาตรฐานส่วนนี้จะเป็นแนวทางสำคัญ สำหรับองค์กรที่ต้องการนำระบบ ISMS ไปปรับใช้เพื่อป้องกันความปลอดภัยให้แก่ข้อมูล ขององค์กร เนื้อหาของมาตรฐาน BS7799-2:2002 แบ่งออกเป็น 7 ส่วนดังนี้ Forword 0 Introduction 1 Scope 2 Normative reference 3 Terms and definitions 4 Information security management system 5 Management responsibility 6 Management review of the ISMS 7 ISMS improvement มาตรฐานนี้ได้ถูกจัดทำขึ้นโดยยึดตามแนวคิดของวงล้อ PDCA (Plan-Do-Check-Act) เพื่อให้เกิดวิธีการปฏิบัติงานที่เป็นระบบ และมีการพัฒนาขึ้นอย่างต่อเนื่อง (Continuous improvement) เริ่มต้นตั้งแต่การจัดตั้ง (Establish), การนำระบบไปใช้ (Implement), การดำเนินงาน (Operate), การวัดผล (Monitor), การทบทวน (Review), การบำรุงรักษา ระบบ (Maintain) และการปรับปรุงพัฒนาระบบ (Improve) ซึ่งสามารถอธิบายได้ดังรูปที่ 1 http://www.acinfotec.com/images/article/1/PDCA.jpg หัวใจสำคัญของการริเริ่มจัดตั้งและการพัฒนาระบบ ISMS อย่างต่อเนื่องที่สำคัญก็คือ การทำการ ตรวจประเมินความเสี่ยง (Risk assessment) และการเลือกวิธีการควบคุม ( ซึ่งแสดงไว้ใน Annex A ของมาตรฐาน ) ให้เหมาะสมกับการปฏิบัติงานและระดับความปลอดภัยที่ยอมรับได้ ขององค์กร การออกใบรับรอง (Certification) ในแง่ขององค์กร การออกใบรับรอง (Certification) เป็นวิธีหนึ่งที่จะสามารถรับรองได้ว่าองค์กรมีระบบการจัดการ ด้านความปลอดภัยของข้อมูล ( ISMS) ที่มีประสิทธิภาพ แต่การที่จะจัดทำระบบ ISMS จนถึงขั้นได้รับการรับรองนั้น ก็จะมีต้นทุนที่สูงพอสมควร ทั้งนี้ก็ขึ้นอยู่กับ นโยบาย, ความมุ่งมั่น และความจำเป็นของแต่ละองค์กร ซึ่งถึงแม้องค์กรจะไม่ได้มีความมุ่งมั่นหรือความจำเป็นที่จะจัดทำ ระบบเพื่อให้ได้รับการรับรอง (Certification) แต่การนำแนวคิดของระบบ ISMS และหัวข้อ การควบคุมในมาตรฐาน ISO/IEC17799 ไปประยุกต์ใช้เพียงบางส่วนเท่าที่จำเป็น เพื่อป้องกัน ความปลอดภัยให้แก่ข้อมูลและระบบคอมพิวเตอร์ขององค์กร ก็จะมีประโยชน์ต่อองค์กร สามารถ ป้องกันการคุกคามต่อข้อมูลและทรัพย์สินได้ ซึ่งอย่างที่รู้กันว่า ต้นทุนของการดำเนินการเพื่อป้องกัน นั้น ย่อมน้อยกว่าและเทียบไม่ได้กับความเสียหายที่อาจเกิดขึ้น สำหรับวิธีการยื่นขอใบรับรอง (Certification) ให้กับระบบการจัดการความปลอดภัยของข้อมูล (ISMS) นั้น จะมีขั้นตอนเหมือนกันกับการยื่นขอใบรับรองของระบบ ISO อื่นๆโดยจะต้องเริ่ม จากการเลือกองค์กรที่จะเข้ามาทำการตรวจรับรองระบบ ซึ่งจะต้องเป็นองค์กรที่ได้รับการ ขึ้นทะเบียนอย่างถูกต้อง หลังจากนั้นจะต้องทำการกำหนดขอบเขตของระบบที่จะตรวจรับรอง เพื่อการวางแผนและดำเนินการตรวจรับรองอย่างมีประสิทธิภาพ ซึ่งเมื่อองค์กรได้รับการรับรอง ระบบ ISMS แล้วจะต้องทำการตรวจประเมินระบบ (Surveillance audit) ทุกๆ 6 เดือน และการตรวจรับรองทั้งระบบ (Re-Certification audit) อีกทุกๆ 3 ปี ในแง่ของบุคคล เป็นการออกใบรับรอง (Certification) ให้กับบุคคลผู้ที่จะทำการตรวจรับรองระบบ (Auditor) เพื่อให้สามารถมั่นใจได้ว่าบุคคลผู้นั้นมีความรู้ ความชำนาญในระบบ ISMS และมีคุณสมบัติ เพียงพอที่จะดำเนินการตรวจสอบระบบ ISMS ได้ โดยองค์กรสากลที่ทำหน้าที่ควบคุม การออกใบรับรองให้กับผู้ตรวจสอบระบบ ก็คือ International Register of Certificated Auditors (IRCA) สำหรับคุณสมบัติของผู้ที่จะสามารถยื่นขอใบรับรอง (Certification) จาก IRCA ได้นั้นจะต้องผ่านการอบรมในหลักสูตร BS7799 and ISO/IEC17799 Information security management systems Lead Auditor Training Course ที่ได้รับการ รับรองจาก IRCA ซึ่งมีการจัดอบรมอยู่ในหลายๆประเทศทั่วโลก รวมทั้งใ ประเทศไทยด้วย พร้อมวุฒิการศึกษาขั้นต่ำในระดับปริญญาหรืออนุปริญญา และมีประสบการณ์อย่างน้อย 4 ปี ที่มา http://www.acinfotec.com/viewsecurityarticles.php?ID=1