การบริหารจัดการความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศ

    ปัจจจุบันผู้บริหารระบบเทคโนโลยีสารสนเทศระดับสูง หรือ CIO (Chief Information Officer) นั้น มีความจำเป็นที่จะต้องศึกษามาตรฐานสากลด้านการรักษาความมั่นคงปลอดภัยในระบบเทคโนโลยีสารสนเทศ เพื่อนำมาประยุกต์ใช้ในองค์กร เหตุผลมีหลายประการ เช่น องค์กรต้อง "Compliance" หรือ “ผ่านการตรวจสอบ” จากผู้ตรวจสอบระบบสารสนเทศ เพื่อให้เป็นไปตามกฎหมายของประเทศที่องค์กรนั้น ตั้งสำนักงานอยู่ เช่น ในสหรัฐอเมริกา องค์กรที่จดทะเบียนในตลาดหลักทรัพย์ต้องปฎิบัติตามกฎหมาย Gramm-Leach-Bliley (GLB) กฎหมาย Health Insurance Portability and Accountability Act (HIPAA) และ ล่าสุดกฎหมาย Sarbanes-Oxley (SOX) ซึ่งทำให้อาชีพทางด้านผู้ตรวจสอบระบบสารสนเทศกำลังเป็นที่ต้องการ โดยเฉพาะองค์กรที่ต้องเตรียมรับการตรวจสอบจากองค์กรภายนอก

    ขณะเดียวกัน ผู้บริหารสารสนเทศขององค์กรเอง ก็ต้องมีการเตรียมตัวเพื่อที่จะรับการตรวจสอบจากผู้ตรวจสอบสารสนเทศภายในที่อาจมาจากต่างประเทศในกรณีที่องค์กรเป็นบริษัทข้ามชาติ หรือมาจากผู้ตรวจสอบสารสนเทศภายนอกที่มีความชำนาญและมีความเป็นกลางในการตรวจสอบ

มาตรฐานสากลที่นิยมใช้กันทั่วโลก ได้แก่

1. มาตรฐาน ISO/IEC17799: 2005 (Second Edition) หรือ BS7799-1

    มาตรฐาน ISO/IEC17799: 2005 (Second Edition) ถูกประกาศอย่างเป็นทางการเมื่อเดือนมิถุนายน ปี 2005 ได้มีการปรับปรุงแก้ไขมาจากต้นฉบับ ISO/IEC 17799:2000 (First Edition) จากปี 2000

    ในประเทศไทยคณะอนุกรรมการความมั่นคงภายใต้คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ ซึ่งจัดตั้งขึ้นตามพระราชบัญญัติการประกอบธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2546 ได้นำมาตรฐาน ISO/IEC17799 :2000 (First Edition) หรือ BS7799-1 มาเป็นแนวทางในการกำหนดมาตรฐานการรักษาความปลอดภัยในการประกอบธุรกรรมทางอิเล็กทรอนิกส์ของประเทศไทยจำนวน 144 ข้อ เพื่อให้เป็นแนวทางเสริมสร้างการรักษาความปลอดภัยให้กับองค์กรหรือหน่วยงานที่เกี่ยวข้องกับการประกอบธุรกรรมทางอิเล็กทรอนิกส์

    โดยกำหนดมาตรฐานออกเป็น 3 ระดับ คือ ระดับ 1 ควรปฏิบัติ 31 ข้อ, ระดับ 2 ควรปฏิบัติ 104 ข้อ และ ระดับ 3 ซึ่งเป็นระดับความปลอดภัยสูงสุด ควรปฏิบัติทั้งหมด 144 ข้อ

    การนำมาตรฐาน ISO/IEC17799 : 2005 มาปฏิบัติในองค์กร สามารถนำองค์กรไปสู่การ “Certified” โดย Certification Body ตามมาตรฐาน BS7799-2:2002 ขณะนี้องค์กรทั่วโลกกำลังให้ความสนใจเรื่องความปลอดภัยระบบเทคโนโลยีสารสนเทศ

    ตัวอย่างในประเทศญี่ปุ่นนั้น มีองค์กรได้รับการรับรองมาตรฐาน BS7799-2 ไปแล้วกว่า 900 องค์กร แสดงให้เห็นถึงมาตรฐานด้านความปลอดภัยระบบเทคโนโลยีสารสนเทศที่พัฒนากว่าประเทศเพื่อนบ้าน

    ปัจจุบัน การรับรองมาตรฐาน BS7799-2: 2002 กำลังพัฒนาเปลี่ยนแปลงเป็น ISO/IEC 27001:2005 ที่คาดว่าจะประกาศอย่างเป็นทางการประมาณเดือนพฤศจิกายนนี้ ซึ่งจะสอดคล้องกับมาตรฐาน ISO/IEC17799:2005(BS7799-1) ที่ถูกประกาศบอกมาแล้วก่อนหน้านี้