ในเดือนตุลาคม พ.ศ. 2565 มาตรฐานสากลด้านความปลอดภัยข้อมูล ISO 27001:2013 ที่ได้รับการยอมรับอย่างกว้างขวาง ได้รับการปรับปรุงและออกเวอร์ชันใหม่ ISO/IEC 27001:2022 ซึ่งเผยแพร่แล้ว

ในช่วงเก้าปีที่ผ่านมา ISO 27001 ได้รับการยอมรับอย่างมากในอุตสาหกรรมต่างๆ แม้ว่าการแก้ไขล่าสุดจะแนะนำการเปลี่ยนแปลงเพียงเล็กน้อย แต่สิ่งสำคัญคือต้องตรวจสอบและทำความเข้าใจการแก้ไขเหล่านี้อย่างใกล้ชิด ในการสนทนานี้ เราจะสำรวจการเปลี่ยนแปลงทั้งหมดใน ISO 27001:2022 และเปรียบเทียบกับเวอร์ชันก่อนหน้าของปี 2013

สรุปการเปลี่ยนแปลงใน ISO 27001:2022:

1. ไม่มีการเปลี่ยนแปลงที่สำคัญใน ISO 27001:2013 Mandatory Clauses 4 ถึง 10: ข้อกำหนดสำคัญที่ระบุไว้ใน ISO 27001:2013 Mandatory clauses ส่วนใหญ่ไม่เปลี่ยนแปลงในเวอร์ชันปี 2022

2. ขณะนี้ การควบคุมถูกจัดกลุ่มเป็น 4 โดเมนหลัก: ใน ISO 27002:2022 ซึ่งให้คำแนะนำเกี่ยวกับการใช้การควบคุมของ ISO 27001 การควบคุมได้รับการปรับโครงสร้างใหม่ แทนที่จะเป็น 14 หมวดหมู่ก่อนหน้านี้ ตอนนี้การควบคุมถูกจัดกลุ่มเป็น 4 โดเมนหลัก: องค์กร บุคคล กายภาพ และเทคโนโลยี

3. แฮชแท็กเพื่อการอ้างอิงและการนำทางที่ง่ายขึ้น: เพื่อเพิ่มความสามารถในการใช้งานและความสะดวกในการอ้างอิง ISO 27002:2022 แนะนำการใช้แฮชแท็ก แฮชแท็กเหล่านี้สามารถช่วยในการนำทางและค้นหาการควบคุมเฉพาะภายในเอกสาร

4. จำนวนการควบคุมที่ลดลง: จำนวนการควบคุมความปลอดภัยในภาคผนวก A ลดลงจาก 114 รายการในเวอร์ชันปี 2013 เป็น 93 รายการในฉบับปี 2022 การลดลงนี้เป็นผลมาจากการรวมการควบคุมบางอย่าง ในขณะที่ไม่มีการควบคุมใดถูกกำจัดโดยสิ้นเชิง

5. การแนะนำการควบคุมองค์กรและทางกายภาพใหม่: ISO 27002:2022 รวมการควบคุมใหม่ในโดเมนของการรักษาความปลอดภัยขององค์กรและทางกายภาพ การเพิ่มเหล่านี้มีจุดมุ่งหมายเพื่อจัดการกับความท้าทายด้านความปลอดภัยที่เกิดขึ้นใหม่และสอดคล้องกับแนวการรักษาความปลอดภัยข้อมูลที่มีการพัฒนา

โดยรวมแล้ว การเปลี่ยนแปลงใน ISO/IEC 27001:2022 มุ่งเน้นไปที่การปรับโครงสร้างและการรวมการควบคุมเป็นหลัก ทำให้มาตรฐานมีความรัดกุมและเป็นมิตรกับผู้ใช้มากขึ้น ในขณะเดียวกันก็ปรับให้เข้ากับแนวความปลอดภัยที่เปลี่ยนแปลงไป

การเปลี่ยนแปลงโครงสร้างความต้องการของระบบการจัดการ:

ไม่มีการเปลี่ยนแปลงที่สำคัญมากนัก แต่มีบางอย่างที่สมควรได้รับความคิดเห็น:

1. 4.4 ระบบการจัดการความปลอดภัยของข้อมูล ข้อใหม่นี้เน้นการระบุกระบวนการและการโต้ตอบภายในระบบการจัดการความปลอดภัยของข้อมูล ข้อกำหนดนี้สอดคล้องกับ ISO 9001 และอนุญาตให้ออกแบบการโต้ตอบของกระบวนการโดยใช้ไดอะแกรมและผังงาน

2. ภาคผนวก A การควบคุมที่แสดงในภาคผนวก A ไม่ได้มีไว้เพื่อให้รายการทั้งหมดและสมบูรณ์ มาตรฐานรวมถึงข้อและหมายเหตุเพื่อเน้นว่าในขณะที่การควบคุมเหล่านี้ทำหน้าที่เป็นพื้นฐาน องค์กรต้องทำการประเมินของตนเองเพื่อกำหนดการควบคุมเพิ่มเติมและความเสี่ยงที่อาจจำเป็นตามสภาพแวดล้อมเฉพาะของตน ดังนั้นจึงเป็นเรื่องสำคัญที่องค์กรจะต้องพิจารณาสถานการณ์เฉพาะของตน และระบุการควบคุมเพิ่มเติมและความเสี่ยงที่อาจเกี่ยวข้อง

3. 6.2 วัตถุประสงค์ด้านการรักษาความปลอดภัยข้อมูล: ISO 27001:2022 กำหนดให้วัตถุประสงค์ด้านการรักษาความปลอดภัยข้อมูลได้รับการจัดทำเป็นเอกสารและเปิดเผยต่อผู้มีส่วนได้ส่วนเสียทั้งหมด สิ่งนี้ทำให้มั่นใจได้ว่ามีการกำหนดวัตถุประสงค์อย่างชัดเจนและสื่อสารทั่วทั้งองค์กร

4. 6.3 การวางแผนการเปลี่ยนแปลง: ขณะนี้มาตรฐานฉบับปรับปรุงกำหนดให้มีการวางแผนเป็นเอกสารสำหรับการเปลี่ยนแปลงทั้งหมด สิ่งนี้เน้นย้ำถึงความสำคัญของการวางแผนและการจัดทำเอกสารที่เหมาะสมเมื่อดำเนินการเปลี่ยนแปลงภายในระบบการจัดการความปลอดภัยของข้อมูล

5. 8.1 การวางแผนและการควบคุมการปฏิบัติงาน: ขณะนี้องค์กรจำเป็นต้องกำหนดเกณฑ์สำหรับกระบวนการปฏิบัติงาน คำว่า "เกณฑ์" ครอบคลุมแง่มุมต่างๆ ตั้งแต่ข้อกำหนดด้านความปลอดภัยไปจนถึงความต้องการทางธุรกิจหรือคำขอของลูกค้า ซึ่งช่วยให้องค์กรสามารถพิจารณาปัจจัยต่างๆ ได้กว้างขึ้นเมื่อวางแผนและควบคุมกระบวนการปฏิบัติงานของตน

6. 9 การประเมินผลการปฏิบัติงาน: ISO 27001:2022 เน้นความสำคัญของการใช้วิธีการประเมินที่ให้ผลลัพธ์ที่เปรียบเทียบได้ ทำให้องค์กรสามารถประเมินแนวโน้มเมื่อเวลาผ่านไป การเน้นที่การประเมินที่สอดคล้องกันนี้ช่วยให้องค์กรติดตามประสิทธิผลของการควบคุมของตนและทำการตัดสินใจโดยอาศัยข้อมูลประสิทธิภาพ

7. 9.2 การตรวจสอบภายใน: การตรวจสอบภายในต้องครอบคลุมข้อกำหนดขององค์กรทั้งหมด ไม่จำกัดเฉพาะ ISO 27001 เพียงอย่างเดียว วิธีการที่กว้างขึ้นนี้มีจุดมุ่งหมายเพื่อสร้างการประเมินระบบการจัดการที่ครอบคลุมมากขึ้น เพื่อให้มั่นใจว่าข้อกำหนดที่เกี่ยวข้องทั้งหมดได้รับการพิจารณาในระหว่างการประเมินภายใน

ภาคผนวก ก

ภาคผนวก A ซึ่งมีการควบคุมความปลอดภัยใน ISO 27001 มีการเปลี่ยนแปลงที่สำคัญในเวอร์ชันปรับปรุง ISO 27001:2022 การปรับโครงสร้างและการแก้ไขภาคผนวก A ส่งผลให้จำนวนการควบคุมลดลงจาก 114 เป็น 93 นอกจากนี้ การควบคุมยังถูกจัดกลุ่มเป็นสี่ส่วน แทนที่ 14 ประเภทก่อนหน้า

ความตั้งใจเบื้องหลังการปรับโครงสร้างนี้คือการลดความซับซ้อนและเพิ่มความคล่องตัวในการดำเนินการตามมาตรฐาน การทับซ้อนและการซ้ำซ้อนถูกขจัดออกไป และการควบคุมได้รับการจัดระเบียบเป็นแอตทริบิวต์ความปลอดภัยหลัก 5 รายการ ทำให้จัดหมวดหมู่ได้ง่ายขึ้น

ส่วนและการควบคุมใหม่ใน ISO 27002:2022 มีดังต่อไปนี้:

ส่วนที่ 5: องค์กร (การควบคุม 37 รายการ)

ส่วนที่ 6: คน (8 ตัวควบคุม)

ส่วนที่ 7: กายภาพ (14 การควบคุม)

หมวดที่ 8: เทคโนโลยี (การควบคุม 34 รายการ)

โดยสรุป การเปลี่ยนแปลงในภาคผนวก A ของ ISO 27002:2022 สามารถแบ่งประเภทได้ดังนี้

35 การควบคุมยังคงไม่เปลี่ยนแปลง

23 ตัวควบคุมถูกเปลี่ยนชื่อ

รวม 57 ตัวควบคุมเข้าด้วยกันเป็น 24 ตัวควบคุม และ

มีการแนะนำการควบคุมใหม่ 11 รายการ

การแก้ไขเหล่านี้มีเป้าหมายเพื่อเพิ่มความชัดเจน ประสิทธิภาพ และประสิทธิผลของการควบคุมความปลอดภัยที่ระบุไว้ในมาตรฐาน

ก.5.7 ข้อมูลภัยคุกคาม: การควบคุมนี้มุ่งเน้นไปที่การรวบรวมและวิเคราะห์ข้อมูลเกี่ยวกับภัยคุกคามเพื่อลดผลกระทบเหล่านั้นอย่างมีประสิทธิภาพ มันเกี่ยวข้องกับการรวบรวมข้อมูลภายในและภายนอกที่เกี่ยวข้องกับการโจมตีเฉพาะ วิธีการโจมตี และภัยคุกคามประเภทต่างๆ

A.5.23 ความปลอดภัยของข้อมูลสำหรับการใช้บริการคลาวด์: การควบคุมนี้เน้นย้ำถึงความจำเป็นในการกำหนดข้อกำหนดด้านความปลอดภัยสำหรับบริการคลาวด์เพื่อปกป้องข้อมูลที่ละเอียดอ่อน ซึ่งรวมถึงนโยบายสำหรับการจัดซื้อ การใช้ประโยชน์ การจัดการ และการสิ้นสุดของบริการคลาวด์

A.5.30 ความพร้อมด้าน ICT เพื่อความต่อเนื่องทางธุรกิจ: การควบคุมนี้ช่วยให้แน่ใจว่าบุคลากร กระบวนการ และระบบเตรียมพร้อมรับมือกับการหยุดชะงักอย่างมีประสิทธิภาพ เป้าหมายคือเพื่อให้แน่ใจว่าข้อมูลและทรัพย์สินที่สำคัญยังคงอยู่เมื่อจำเป็น

A.7.4 การตรวจสอบความปลอดภัยทางกายภาพ: การควบคุมนี้ต้องการการตรวจสอบพื้นที่ที่ละเอียดอ่อนเพื่อจำกัดการเข้าถึงเฉพาะเจ้าหน้าที่ที่ได้รับอนุญาตเท่านั้น ซึ่งรวมถึงการตรวจสอบสำนักงาน โรงงานผลิต คลังสินค้า และสถานที่ทางกายภาพที่สำคัญอื่น ๆ

A.8.9 การจัดการการกำหนดค่า: การควบคุมนี้มุ่งเน้นไปที่การจัดการการกำหนดค่าอุปกรณ์เพื่อความปลอดภัยของเทคโนโลยีและระบบทั้งหมด โดยมีจุดมุ่งหมายเพื่อให้มั่นใจถึงระดับความปลอดภัยที่สม่ำเสมอและควบคุมการเปลี่ยนแปลงที่ไม่ได้รับอนุญาต

A.8.10 การลบข้อมูล: การควบคุมนี้ระบุถึงการลบข้อมูลที่ไม่จำเป็นอีกต่อไปหรือเกินระยะเวลาการเก็บรักษาเอกสารอย่างเหมาะสม เป้าหมายคือการป้องกันการรั่วไหลของข้อมูลที่ละเอียดอ่อนที่อาจเกิดขึ้น และปฏิบัติตามความเป็นส่วนตัวและข้อกำหนดที่เกี่ยวข้องอื่นๆ

ก.8.11 การปกปิดข้อมูล: การควบคุมนี้ต้องใช้การปกปิดข้อมูล รวมกับการควบคุมการเข้าถึงที่เหมาะสม เพื่อลดความเสี่ยงในการเปิดเผยข้อมูลที่ละเอียดอ่อน โดยเน้นเป็นพิเศษถึงการปกป้องข้อมูลส่วนบุคคลตามระเบียบข้อบังคับด้านความเป็นส่วนตัว

A.8.12 การป้องกันการรั่วไหลของข้อมูล: การควบคุมนี้เน้นที่การใช้มาตรการต่างๆ เช่น การป้องกันการรั่วไหลของข้อมูล (DLP) เพื่อป้องกันการเปิดเผยข้อมูลที่ละเอียดอ่อนโดยไม่ได้รับอนุญาต รวมถึงมาตรการตรวจจับเหตุการณ์เพื่อการตอบสนองอย่างทันท่วงที

A.8.16 กิจกรรมการติดตาม: การควบคุมนี้เน้นการจัดการและการตรวจสอบระบบเพื่อระบุกิจกรรมที่ผิดปกติและกระตุ้นการตอบสนองต่อเหตุการณ์ที่เหมาะสม

A.8.23 การกรองเว็บ: การควบคุมนี้เน้นย้ำถึงความจำเป็นในการใช้มาตรการรักษาความปลอดภัยสำหรับเว็บไซต์ทั้งหมดที่ผู้ใช้เข้าถึงเพื่อป้องกันระบบไอทีจากภัยคุกคามที่อาจเกิดขึ้น

ก.8.28 การเข้ารหัสที่ปลอดภัย: การควบคุมนี้จำเป็นต้องมีการสร้างเทคนิคการเข้ารหัสที่ปลอดภัยตลอดกระบวนการพัฒนาซอฟต์แวร์ภายใน เป้าหมายคือเพื่อลดช่องโหว่ด้านความปลอดภัยโดยผสมผสานแนวทางปฏิบัติในการเข้ารหัสที่ปลอดภัยตั้งแต่การออกแบบไปจนถึงขั้นตอนการปรับใช้

การควบคุมใหม่เหล่านี้สะท้อนข้อกังวลด้านความปลอดภัยที่เกิดขึ้นและสอดคล้องกับเทคโนโลยีและแนวปฏิบัติที่มีการพัฒนา ทำให้มั่นใจได้ว่าองค์กรต่างๆ สามารถจัดการกับความเสี่ยงด้านความปลอดภัยของข้อมูลทั้งในปัจจุบันและอนาคตได้

4 ขั้นตอนสู่การประชุมฉบับแก้ไข

หากต้องการอัปเดตกระบวนการปฏิบัติตามข้อกำหนดให้สอดคล้องกับข้อกำหนด ISO 27001:2022 ใหม่และได้รับการรับรอง ให้ทำตามขั้นตอนเหล่านี้:

1. ทบทวนทะเบียนความเสี่ยงและการรักษาความเสี่ยงที่ใช้: ประเมินทะเบียนความเสี่ยงที่มีอยู่ของคุณและประเมินการจัดแนวของการรักษาความเสี่ยงด้วยมาตรฐาน ISO 27001:2022 ฉบับแก้ไข ทำการปรับเปลี่ยนที่จำเป็นเพื่อให้แน่ใจว่าสอดคล้องกับข้อกำหนดที่ปรับปรุงแล้ว

2. แก้ไข Statement of Applicability (SoA): ปรับปรุง SoA ขององค์กรของคุณเพื่อให้สอดคล้องกับการเปลี่ยนแปลงในภาคผนวก A ของ ISO 27001:2022 ตรวจสอบให้แน่ใจว่าการควบคุมที่ระบุไว้ใน SoA นั้นสอดคล้องกับข้อกำหนดการควบคุมใหม่ที่ระบุไว้ในมาตรฐานฉบับแก้ไขอย่างถูกต้อง

3. ตรวจสอบและอัปเดตเอกสาร: ดำเนินการตรวจสอบเอกสารของคุณอย่างละเอียด รวมถึงนโยบาย ขั้นตอน และเอกสารอื่นๆ ที่เกี่ยวข้อง ระบุพื้นที่ที่ต้องการการปรับปรุงเพื่อให้เป็นไปตามข้อกำหนดการควบคุมใหม่ที่นำมาใช้ใน ISO 27001:2022 แก้ไขและจัดแนวเอกสารให้สอดคล้องกันเพื่อให้เป็นไปตามข้อกำหนด

4. รับใบรับรองการตรวจสอบ: จ้างผู้ตรวจสอบที่ได้รับการรับรองเพื่อทำการตรวจสอบระบบการจัดการความปลอดภัยของข้อมูลขององค์กรของคุณเทียบกับมาตรฐาน ISO 27001:2022 ใหม่ ผู้สอบบัญชีจะประเมินการปฏิบัติตามข้อกำหนดที่ได้รับการแก้ไขและให้การรับรองแก่คุณหากคุณมีคุณสมบัติตรงตามเกณฑ์ที่จำเป็น

เมื่อปฏิบัติตามขั้นตอนเหล่านี้ คุณจะมั่นใจได้ว่ากระบวนการปฏิบัติตามข้อกำหนดของคุณได้รับการอัปเดตตามมาตรฐาน ISO 27001:2022 และดำเนินการตามกระบวนการรับรองได้สำเร็จเพื่อแสดงให้องค์กรของคุณปฏิบัติตามมาตรฐานการรักษาความปลอดภัยข้อมูลล่าสุด