ด้วยการพัฒนาอย่างรวดเร็วของยุคดิจิทัล การรักษาความปลอดภัยทางข้อมูลจึงกลายเป็นปัญหาสำคัญที่องค์กรต่างๆ ไม่สามารถละเลยได้ เพื่อตอบสนองต่อภัยคุกคามและความท้าทายที่เปลี่ยนแปลงไป องค์กรระหว่างประเทศเพื่อการมาตรฐานได้เพิ่มการควบคุมใหม่ 11 รายการลงใน ISO 27001:2022 เพื่อเสริมความแข็งแกร่งให้กับมาตรการปกป้องความปลอดภัยของข้อมูลให้ดียิ่งขึ้น เพื่อให้แน่ใจว่าองค์กรต่างๆ จะสามารถจัดการกับความเสี่ยงได้อย่างต่อเนื่อง ต่อไปนี้จะแนะนำมาตรการใหม่เหล่านี้ทีละรายการ และให้ตัวอย่างเชิงปฏิบัติและข้อเสนอแนะเชิงปฏิบัติการ
1. ข่าวกรองภัยคุกคาม (5.7)
ISO 27001 เวอร์ชันใหม่เน้นย้ำถึงการรวบรวมและวิเคราะห์ข้อมูลข่าวกรองเกี่ยวกับภัยคุกคามความปลอดภัยของข้อมูล เพื่อให้องค์กรรับรู้ถึงภัยคุกคามได้แม่นยำยิ่งขึ้น และดำเนินการตอบสนองที่เหมาะสม ตัวอย่างเช่น ในการตอบสนองต่อช่องโหว่สำคัญเช่น Log4j หรือการโจมตี DDoS องค์กรควรพัฒนามาตรการการป้องกันที่สอดคล้องกันและดำเนินการวิเคราะห์เหตุการณ์เพื่อรวบรวมข้อมูลเชิงลึกเกี่ยวกับภัยคุกคามในอนาคต นอกจากนี้ องค์กรต่างๆ ควรจัดทำบันทึกหลักฐานที่ครอบคลุมเพื่อสนับสนุนการวิเคราะห์และการตอบสนองต่อข่าวกรองด้านภัยคุกคามอย่างมีประสิทธิภาพ
2. ความปลอดภัยของข้อมูลในการใช้บริการคลาวด์ (5.23)
ด้วยความนิยมของระบบคลาวด์คอมพิวติ้ง ทำให้มาตรฐาน ISO 27001 เวอร์ชันใหม่เน้นย้ำข้อกำหนดด้านความปลอดภัยของข้อมูลเมื่อใช้บริการคลาวด์ องค์กรต่างๆ ควรพัฒนากระบวนการที่สามารถนำไปใช้ได้กับบริการคลาวด์โดยอิงตามความต้องการด้านความปลอดภัยของข้อมูล ซึ่งรวมถึงกระบวนการสำหรับการจัดหา การใช้งาน การจัดการ และการออกจากบริการคลาวด์ ตัวอย่างเช่น องค์กรควรทำงานร่วมกับผู้ให้บริการระบบคลาวด์เพื่อสรุปเงื่อนไขด้านความปลอดภัยของข้อมูลที่เกี่ยวข้องอย่างชัดเจน เพื่อให้แน่ใจว่าการใช้บริการระบบคลาวด์จะไม่นำไปสู่การรั่วไหลของข้อมูลหรือความเสี่ยงที่เพิ่มมากขึ้น
3. ความพร้อมด้าน ICT ต่อความต่อเนื่องทางธุรกิจ (5.30)
ISO 27001 เวอร์ชันใหม่เน้นย้ำถึงบทบาทสำคัญของเทคโนโลยีสารสนเทศและการสื่อสาร (ICT) ในการต่อเนื่องทางธุรกิจ องค์กรต่างๆ ควรวางแผน ดำเนินการ บำรุงรักษา และทดสอบความพร้อมของ ICT ให้สอดคล้องกับวัตถุประสงค์ความต่อเนื่องทางธุรกิจ ในกรณีที่เกิดการหยุดชะงักของบริการ องค์กรต่างๆ จะต้องแน่ใจว่าข้อมูลและสินทรัพย์ที่เกี่ยวข้องจะพร้อมใช้งาน ตัวอย่างเช่น องค์กรควรประเมินความน่าเชื่อถือของโซลูชันการสำรองข้อมูลนอกสถานที่ เพื่อให้แน่ใจว่าสามารถคืนค่าการดำเนินธุรกิจได้อย่างรวดเร็วในกรณีที่บริการหยุดชะงัก
4. การตรวจสอบความปลอดภัยทางกายภาพ (7.4)
ISO 27001 เวอร์ชันใหม่เน้นย้ำถึงการติดตามความปลอดภัยทางกายภาพของสถานที่ปฏิบัติงานเพื่อป้องกันการเข้าถึงโดยบุคคลที่ไม่ได้รับอนุญาต ซึ่งรวมถึงการตรวจติดตามสถานที่ปฏิบัติงานอย่างต่อเนื่องเพื่อตรวจจับและป้องกันการเข้ามาของบุคคลที่ไม่ได้รับอนุญาต ตัวอย่างเช่น องค์กรสามารถตั้งค่ากล้องวงจรปิด เครื่องตรวจจับการบุกรุก และอุปกรณ์อื่นๆ เพื่อตรวจสอบสถานะความปลอดภัยของไซต์ปฏิบัติงานได้แบบเรียลไทม์
5. การจัดการการกำหนดค่า (8.9)
ISO 27001 เวอร์ชันใหม่เน้นย้ำการจัดการการกำหนดค่าความปลอดภัยของฮาร์ดแวร์ ซอฟต์แวร์ บริการ และเครือข่าย องค์กรต่างๆ ควรจัดทำเอกสาร ดำเนินการ ตรวจสอบ และตรวจสอบการกำหนดค่าเพื่อให้แน่ใจว่าทำงานได้อย่างถูกต้องและปลอดภัย ตัวอย่างเช่น องค์กรสามารถกำหนดเทมเพลตการกำหนดค่ามาตรฐานที่ระบุข้อกำหนด เช่น การจัดการรหัสผ่าน และการกำหนดค่าความปลอดภัย และให้แน่ใจว่าข้อกำหนดเหล่านี้ได้รับการดำเนินการตลอดทั้งวงจรชีวิต
6. การลบข้อมูล (8.10)
ISO 27001 เวอร์ชันใหม่เน้นย้ำถึงการจัดการการลบข้อมูลเพื่อป้องกันการรั่วไหลของข้อมูลละเอียดอ่อนที่ไม่จำเป็น องค์กรควรลบข้อมูลเมื่อไม่จำเป็นอีกต่อไปตามข้อกำหนดทางกฎหมาย กฎระเบียบ การควบคุมดูแล และสัญญา ข้อเสนอแนะในการปฏิบัติงาน ได้แก่ การกำหนดวิธีการลบ การเก็บรักษาหลักฐาน และการบันทึกเวลาในการลบ
7. การปิดบังข้อมูล (8.11)
ISO 27001 เวอร์ชันใหม่เน้นย้ำถึงความจำเป็นในการปกปิดข้อมูลเพื่อปกป้องข้อมูลที่ละเอียดอ่อน เช่น ข้อมูลที่ระบุตัวตนส่วนบุคคล (PII) องค์กรต่างๆ ควรจำกัดการเปิดเผยข้อมูลที่ละเอียดอ่อนตามนโยบายการเข้าถึงข้อมูลเฉพาะเรื่อง ตัวอย่างเช่น การลบข้อมูลระบุตัวตนและการไม่ระบุตัวตนสามารถดำเนินการเพื่อปกป้องข้อมูลที่ละเอียดอ่อนได้
8. การป้องกันการรั่วไหลของข้อมูล (8.12)
ISO 27001 เวอร์ชันใหม่รวมมาตรการป้องกันการรั่วไหลของข้อมูลเพื่อให้มั่นใจว่าสามารถป้องกันการเปิดเผยข้อมูลที่ไม่ได้รับอนุญาตได้อย่างมีประสิทธิภาพ สามารถทำได้โดยใช้มาตรการทางเทคนิคต่างๆ เช่น ไฟร์วอลล์ มาตรการรักษาความปลอดภัย ความปลอดภัยของเครือข่าย ฯลฯ เพื่อให้มั่นใจว่าข้อมูลจะไม่ถูกเข้าถึงหรือเปิดเผยโดยไม่ได้รับอนุญาต
9. กิจกรรมการติดตาม (8.16)
ISO 27001 เวอร์ชันใหม่เน้นย้ำถึงการตรวจสอบกิจกรรมต่างๆ รวมถึงปริมาณการใช้งานเครือข่าย ความผิดปกติของระบบ สถานะการเข้าสู่ระบบ เป็นต้น องค์กรต่างๆ ควรกำหนดกลไกการตรวจสอบที่มีประสิทธิภาพเพื่อตรวจจับพฤติกรรมที่ผิดปกติและตอบสนองอย่างรวดเร็ว ตัวอย่างเช่น องค์กรสามารถใช้เครื่องมือ เช่น เครื่องตรวจสอบและเครื่องตรวจจับ เพื่อตรวจสอบระบบสารสนเทศ
10. การป้องกันความปลอดภัยบนเว็บ (8.23)
ISO 27001 เวอร์ชันใหม่เน้นย้ำการจัดการการเข้าถึงเว็บไซต์ภายนอกเพื่อลดการเปิดเผยเนื้อหาที่เป็นอันตราย องค์กรต่างๆ ควรแน่ใจว่ามีการตรวจสอบการเข้าถึงเว็บไซต์ภายนอกอย่างเข้มงวดเพื่อป้องกันความเสียหายจากมัลแวร์และหลีกเลี่ยงการเข้าถึงทรัพยากรเครือข่ายที่ไม่ได้รับอนุญาต
11. การเข้ารหัสที่ปลอดภัย (8.28)
ISO 27001 เวอร์ชันใหม่เน้นย้ำข้อกำหนดด้านความปลอดภัยในการเขียนโปรแกรม องค์กรต่างๆ ควรพัฒนาวิธีการเข้ารหัสที่ปลอดภัยและพิจารณาข้อกำหนดด้านความปลอดภัย การควบคุมเวอร์ชัน และอื่นๆ ในระหว่างกระบวนการพัฒนา นอกจากนี้ สำหรับช่องโหว่โอเพนซอร์ส องค์กรต่างๆ ควรดำเนินการจัดการความปลอดภัยที่มีประสิทธิภาพก่อน ระหว่าง และหลังกระบวนการพัฒนาเพื่อให้แน่ใจถึงความปลอดภัยของโปรแกรม
โดยสรุป การควบคุมใหม่ 11 ประการใน ISO 27001:2022 เวอร์ชันใหม่จะช่วยเสริมสร้างการปกป้องความปลอดภัยข้อมูลขององค์กรในสภาพแวดล้อมดิจิทัลให้ดียิ่งขึ้น องค์กรต่างๆ ควรเข้าใจมาตรการเหล่านี้อย่างถ่องแท้ และนำไปปฏิบัติและจัดการให้เหมาะสมตามความต้องการทางธุรกิจของตน เพื่อให้มั่นใจว่าความปลอดภัยของข้อมูลได้รับการปกป้องอย่างเต็มที่
สรุปแล้ว ด้วยการมาถึงของยุคดิจิทัล การรักษาความปลอดภัยทางข้อมูลกลายมาเป็นสิ่งสำคัญยิ่งกว่าที่เคย ISO 27001:2022 เวอร์ชันล่าสุดแนะนำการควบคุมใหม่ 11 ประการ ที่ช่วยเสริมความแข็งแกร่งให้กับความสามารถในการเตรียมพร้อมและการตอบสนองขององค์กรในการเผชิญกับภัยคุกคามด้านความปลอดภัยทางข้อมูลที่เปลี่ยนแปลงไป มาตรการเหล่านี้ครอบคลุมด้านสำคัญหลายด้าน ตั้งแต่การรวบรวมและวิเคราะห์ข้อมูลข่าวกรองเกี่ยวกับภัยคุกคาม ไปจนถึงการใช้บริการระบบคลาวด์ การเตรียมความพร้อมในการต่อเนื่องทางธุรกิจ การตรวจสอบความปลอดภัยทางกายภาพ การลบข้อมูล การปกปิดข้อมูล และด้านอื่นๆ การนำการควบคุมเหล่านี้ไปใช้ได้อย่างมีประสิทธิภาพจะช่วยให้องค์กรต่างๆ ปกป้องข้อมูลที่ละเอียดอ่อนได้ดีขึ้น ลดความเสี่ยงที่อาจเกิดขึ้นได้ มั่นใจในความยั่งยืนของธุรกิจ และยังคงมีความยืดหยุ่นเมื่อเผชิญกับความท้าทายด้านความปลอดภัยต่างๆ ดังนั้น องค์กรต่างๆ ควรให้ความสำคัญกับมาตรการเพิ่มเติมเหล่านี้และรวมเข้าไว้ในระบบการจัดการความปลอดภัยข้อมูลเพื่อให้แน่ใจว่ามีการรักษาความปลอดภัยข้อมูลที่แข็งแกร่งในสภาพแวดล้อมดิจิทัลที่ทันสมัย
ผู้ให้บริการโซลูชั่นแบบครบวงจร