ศูนย์เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติ (NECTEC)
บทความ » Plan-Do-Check-Act ตามมาตรฐาน ISO/IEC 27001 กับข้อคำถามสำคัญที่ต้องการคำตอบ
บทความเรื่อง : Plan-Do-Check-Act ตามมาตรฐาน ISO/IEC 27001 กับข้อคำถามสำคัญที่ต้องการคำตอบ
เรียบเรียงโดย : ดร.บรรจง หะรังษี
เรียบเรียงเมื่อ : วันที่ 24 มิถุนายน 2554

บทความนี้มีจุดประสงค์ต้องการแสดงให้เห็นวงจรการบริหารและจัดการความเสี่ยงตามมาตรฐาน ISO/IEC 27001 และข้อคำถามสำคัญต่อวงจรดังกล่าวที่ต้องการคำตอบที่ชัดเจน บทความจะเริ่มต้นจากการอธิบายวงจรการบริหารและจัดการความเสี่ยงและตามด้วยข้อคำถามสำคัญดังกล่าว

วงจรการบริหารและจัดการความเสี่ยงประกอบด้วย 4 ขั้นตอนดังนี้
• การวางแผน (Plan)
• การดำเนินการตามแผน (Do)
• การเฝ้าระวังและติดตามการดำเนินการตามแผน (Check)
• การดำเนินการเพิ่มเติมตามที่เห็นสมควร (Act)

ข้อกำหนดหลักในมาตรฐาน ISO/IEC 27001 ที่สอดคล้องกับวงจรดังกล่าวคือ
4.2.1 Establish the ISMS (เทียบเท่ากับ Plan)
4.2.2 Implement and operate the ISMS (เทียบเท่ากับ Do)
4.2.3 Monitor and review the ISMS (เทียบเท่ากับ Check)
4.2.4 Maintain and Improve the ISMS (เทียบเท่ากับ Act)

แต่ละข้อมีความสอดคล้องกับ Plan-Do-Check-Act ตามลำดับ โดยสรุปแล้วข้อกำหนดหลักดังกล่าวกล่าวถึงวงจรการบริหารและจัดการความเสี่ยงดังนี้

• ขั้นตอนการ Plan ได้กล่าวถึงการระบุและประเมินความเสี่ยงและการกำหนดทางเลือกในการจัดการกับความเสี่ยง
• ขั้นตอนการ Do ได้กล่าวถึงการจัดทำแผนการลดความเสี่ยง (Risk treatment plan) และการดำเนินการตามแผนดังกล่าว
• ขั้นตอนการ Check ได้กล่าวถึง 2 ประเด็นหลักที่เกี่ยวข้องกับความเสี่ยงดังนี้

ο ประเด็นที่ 1 คือการเฝ้าระวังและทบทวนเพื่อดูว่าความเสี่ยงที่ประเมินไว้ได้กลายเป็นจริงหรือไม่ ได้แก่

• การเฝ้าระวังเพื่อดูว่ามีความผิดพลาดหรือข้อผิดพลาดจากการประมวลผลหรือไม่
• การเฝ้าระวังเพื่อดูว่ามีการละเมิดข้อกำหนดที่จัดทำไว้หรือไม่ ทั้งในส่วนของการใช้หรือมีความพยายามที่จะละเมิด หรือได้มีการละเมิดเกิดขึ้นแล้วก็ตาม
• การเฝ้าระวังเพื่อดูว่ามีเหตุการณ์ด้านความมั่นคงปลอดภัยเกิดขึ้นหรือไม่ ทั้งในส่วนของการใช้ความพยายามที่จะก่อให้เกิดเหตุการณ์ด้านความมั่นคงปลอดภัย หรือได้มีเหตุการณ์ด้านความมั่นคงปลอดภัยเกิดขึ้นแล้วก็ตาม
• การเฝ้าระวังเพื่อดูว่ากิจกรรมที่มอบหมายให้ดำเนินการหรือที่มีการใช้ไอซีทีเป็นไปตามที่คาดหมายหรือที่ต้องการหรือไม่
• การเฝ้าระวังเพื่อตรวจหาว่ามีเหตุการณ์ที่เกี่ยวข้องกับความมั่นคงปลอดภัยเกิดขึ้นหรือไม่ โดยการใช้ตัวชี้วัดต่างๆ มาเป็นเครื่องมือช่วยในการตรวจหา ทั้งนี้เพื่อจะได้ดำเนินการป้องกันไว้ก่อน

ο ประเด็นที่ 2 คือการพิจารณาทบทวนผลการประเมินความความเสี่ยงตามรอบระยะเวลาที่กำหนดไว้ (โดยนำข้อมูลจากหลายๆ แหล่งมาพิจารณา) และการทบทวนความเสี่ยงที่เหลืออยู่และระดับความเสี่ยงที่ยอมรับได้

• ขั้นตอนการ Act ได้กล่าวถึงการดำเนินการปรับปรุงแก้ไขตามที่ได้ระบุไว้ (ในขั้นตอน Check) รวมถึงการดำเนินการเชิงแก้ไข (เช่น เกิดจากความไม่สอดคล้องกับข้อกำหนดตามมาตรฐาน ISO/IEC 27001) และการดำเนินการเชิงป้องกัน (เช่น พบเหตุการณ์ความเสี่ยงใหม่ที่ต้องทำการป้องกัน)

ข้อคำถามที่เกี่ยวข้องกับขั้นตอนดังกล่าวและต้องการคำอธิบายที่ชัดเจนมากขึ้นเพื่อให้สามารถประเมินความเสี่ยงได้อย่างถูกต้องมากขึ้น มีดังนี้

ข้อคำถามที่ 1 ขั้นตอนการ Plan: ในการระบุความเสี่ยงต่อทรัพย์สินหนึ่ง มาตรฐาน ISO/IEC 27001 ได้กำหนดให้มีการระบุภัยคุกคามและจุดอ่อนที่มีต่อทรัพย์สินนั้น บางภัยคุกคามต่อทรัพย์สินหนึ่ง เช่น ไวรัสที่เกิดจากจุดอ่อน “การไม่ได้ติดตั้งโปรแกรมป้องกันไวรัส” หากจุดอ่อนดังกล่าวไม่ได้เป็นจุดอ่อน กล่าวคือตอนที่ประเมินความเสี่ยง พบว่า “ได้มีการติดตั้งโปรแกรมป้องกันไวรัสแล้ว” ต้องประเมินความเสี่ยงกรณีนี้หรือไม่ และจะประเมินอย่างไร ความเสี่ยงในลักษณะนี้ถือว่ามีระดับความเสี่ยงที่ยอมรับได้หรือไม่
ข้อคำถามที่ 2 ขั้นตอนการ Plan: การประเมินความเสี่ยงต้องประเมินพร้อมกันทีเดียว ประเมินแยกกันเป็นแต่ละครั้ง หรือเป็นกรณีอื่นๆ เช่น สมมติว่าองค์กรต้องการวางแผนจัดทำระบบงานใหม่ ซึ่งอาจมีความเสี่ยงหลายๆ รายการดังนี้

• ความเสี่ยงค่าใช้จ่ายในการบำรุงรักษาระบบงานในระยะยาวค่อนข้างสูง/การไม่ได้มีการวิเคราะห์และกำหนดทางเลือกในการพัฒนาระบบงานให้เหมาะสมต่อการใช้งาน
• ความเสี่ยงการเกิดข้อพิพาธ ข้อขัดแย้ง หรือข้อถกเถียงในการตรวจรับระบบงาน/การไม่ได้กำหนดเกณฑ์การตรวจรับระบบงานอย่างชัดเจน
• ความเสี่ยงระบบงานที่ได้รับไม่ตรงตามความต้องการขององค์กร/การไม่ได้กำหนดรายละเอียดทางเทคนิคของระบบงาน
• ความเสี่ยงระบบงานไม่มีผู้รับผิดชอบชัดเจนเมื่อเกิดปัญหา/การไม่ได้กำหนดว่าใครเป็นเจ้าของระบบงาน ใครเป็นเจ้าของข้อมูลในระบบงาน ใครเป็นผู้ดูแลระบบ ใครเป็นเจ้าของซอฟต์แวร์ต่างๆ ของระบบงาน
• ความเสี่ยงระบบงานไม่ปลอดภัยเพียงพอ/การไม่ได้กำหนดให้มีระบุความต้องการด้านความมั่นคงปลอดภัยของระบบงานโดยพิจารณาจากความเสี่ยงที่มีต่อระบบงาน
• ความเสี่ยงระบบงานถูกบุกรุก/การไม่ได้มีการวิเคราะห์และออกแบบระบบโดยคำนึงถึงการตรวจสอบข้อมูลนำเข้า (Input) ระบบงานเพื่อป้องกันปัญหาที่เกี่ยวข้องกับการบุกรุก
• ความเสี่ยงปัญหาการใช้งานมีการแก้ไขโดยใช้เวลานานเกินไป/การไม่ได้มีการกำหนดขั้นตอนปฏิบัติที่ชัดเจนในการแก้ไขปัญหาการใช้งาน โดยที่ขั้นตอนฯ ต้องคำนึงถึงระยะเวลาในการแก้ไขปัญหาที่เหมาะสมด้วย

♦ เหตุการณ์ความเสี่ยงที่ 1: ความเสี่ยงของการไม่ได้มีการกำหนดความต้องการด้านความมั่นคงปลอดภัยสำหรับระบบงานโดยพิจารณาจากความเสี่ยงที่มีต่อระบบงานและกำหนดมาตรการรองรับหรือลดความเสี่ยงเหล่านั้น
♦ เหตุการณ์ความเสี่ยงที่ 2: ความเสี่ยงของการไม่ได้มีการวิเคราะห์และออกแบบระบบโดยคำนึงถึงการตรวจสอบข้อมูลนำเข้า (Input) ระบบงานเพื่อป้องกันปัญหาที่เกี่ยวข้องกับการบุกรุกต่างๆ ดังต่อไปนี้
     - SQL injection
     - Crosssite scripting
     - การรับไฟล์ประเภทที่ไม่ประสงค์ดีเข้ามาในระบบงาน เช่น ไฟล์ที่เป็นไวรัส หรือเป็นไฟล์โปรแกรมที่แอบทำงานอย่างอื่นแอบแฝง เป็นต้น
♦ เหตุการณ์ความเสี่ยงที่ 3: ความเสี่ยงของการไม่ได้มีการวิเคราะห์และกำหนดประเภทของกิจกรรมสำคัญต่างๆ สำหรับการเข้าถึงหรือการใช้ระบบงานโดยที่กิจกรรมเหล่านั้นอาจมีความจำเป็นต้องตรวจสอบในภายหลัง เช่น
     - การล็อกอินเข้าใช้งานระบบ
     - การออกจากระบบ เป็นต้น
♦ เหตุการณ์ความเสี่ยงที่ 4: ความเสี่ยงของการไม่ได้มีการวิเคราะห์และออกแบบระบบโดยกำหนดกลุ่มผู้ใช้งานของระบบงานทั้งหมด บทบาท และ/หรือ สิทธิการเข้าถึงของผู้ใช้งานเหล่านั้นให้ชัดเจน
♦ เหตุการณ์ความเสี่ยงที่ 5: ความเสี่ยงของการที่ระบบงานไม่สามารถตัดหรือหมดเวลาการใช้งานหลังจากที่เข้าระบบงานมาแล้วและไม่ได้ใช้งานหรือมีกิจกรรมกับระบบเกินกว่าช่วงระยะเวลาหนึ่งที่ได้กำหนดไว้


เมื่อได้ระบุความเสี่ยงที่เกี่ยวข้องกับระบบงาน E-mail แล้วตามตัวอย่างข้างต้น จากนั้นจึงทำการวางแผนเพื่อจัดการกับความเสี่ยงดังกล่าว ขออนุญาตข้ามขั้นตอนการประเมินว่าแต่ละรายการมีความเสี่ยงแค่ไหนไปสู่ขั้นตอนการวางแผนการลดความเสี่ยง แผนการที่เตรียมการไว้โดยสังเขปประกอบด้วย

• จัดทำข้อกำหนดด้านความมั่นคงปลอดภัยสำหรับระบบงานให้ชัดเจนและกำหนดให้ผู้พัฒนาพัฒนาตามข้อกำหนดดังกล่าว
• ออกแบบระบบให้คำนึงถึงการตรวจสอบข้อมูลนำเข้า (Input) ระบบงานเพื่อป้องกันปัญหาที่เกี่ยวข้องกับการบุกรุกต่างๆ ดังต่อไปนี้
     - SQL injection
     - Crosssite scripting
• ออกแบบระบบให้สามารถบันทึกกิจกรรมสำคัญต่างๆ สำหรับการเข้าถึงหรือการใช้ระบบงานโดยที่กิจกรรมเหล่านั้นอาจมีความจำเป็นต้องตรวจสอบในภายหลัง ซึ่งประกอบด้วย
     - การล็อกอินเข้าใช้งานระบบ
     - การออกจากระบบ
• ออกแบบระบบโดยกำหนดกลุ่มผู้ใช้งานของระบบงานทั้งหมด บทบาท และ/หรือ สิทธิการเข้าถึงของผู้ใช้งานเหล่านั้นให้ชัดเจน
• ออกแบบระบบให้สามารถตัดหรือหมดเวลาการใช้งานหลังจากที่เข้าระบบงานมาแล้วและไม่ได้ใช้งานหรือมีกิจกรรมกับระบบเกินกว่า 5 นาที

การดำเนินการตามแผน (Do)

ขั้นตอนถัดไปคือการดำเนินการตามแผน หรือ Do ที่ได้กำหนดไว้ทั้งหมดในข้างต้น กล่าวคือการพัฒนาระบบงาน E-Mail ตามแผนการที่เตรียมไว้ในข้างต้นทั้งหมด

การเฝ้าระวังและติดตามการดำเนินการตามแผน (Check)

ขั้นตอนการติดตามการดำเนินการตามแผน หรือ Check คือการติดตามเพื่อดูว่าการพัฒนาระบบงาน E-Mail ทำตามแผนครบทั้งหมดและได้ผลลัพธ์ที่ถูกต้องหรือไม่ กล่าวคือ

• ระบบงานต้องทำงานได้ครบถ้วนตามข้อกำหนดด้านความมั่นคงปลอดภัยที่กำหนดไว้
• ระบบงานต้องสามารถป้องกันปัญหาที่เกี่ยวข้องกับการบุกรุกต่างๆ ดังต่อไปนี้
     - SQL injection
     - Crosssite scripting
• ระบบงานต้องสามารถบันทึกกิจกรรมสำคัญต่างๆ สำหรับการเข้าถึงหรือการใช้ระบบงานซึ่งประกอบด้วย
     - การล็อกอินเข้าใช้งานระบบ
     - การออกจากระบบ
• ระบบงานต้องมีกลุ่มผู้ใช้งาน บทบาท และ/หรือ สิทธิการเข้าถึงของผู้ใช้งานเหล่านั้นอย่างชัดเจน และสามารถควบคุมการเข้าถึงระบบได้ตามสิทธิที่ได้รับ
• ระบบงานต้องสามารถตัดหรือหมดเวลาการใช้งานหลังจากที่เข้าระบบงานมาแล้วและไม่ได้ใช้งานหรือมีกิจกรรมกับระบบเกินกว่า 5 นาที

การดำเนินการเพิ่มเติมตามที่เห็นสมควร (Act)

หากเมื่อ Check ในทุกรายการแล้วและพบปัญหาที่ต้องทำการแก้ไข ให้ดำเนินการเพิ่มเติมตามที่เห็นสมควร (Act) เช่น กรณีพบว่าระบบงานยังไม่รองรับปัญหาการบุกรุกระบบ SQL Injection ให้ดำเนินการแก้ไข (Take action) เพื่อให้ระบบสามารถจัดการกับปัญหานี้ได้

การเฝ้าระวังและติดตามการดำเนินการตามแผนและการดำเนินการเพิ่มเติมตามที่เห็นสมควร

ความเสี่ยงทั้ง 5 รายการแม้จะได้มีการการเฝ้าระวังและติดตามเพื่อลดความเสี่ยงในระหว่างที่ระบบบงาน E-Mail ยังอยู่ในระหว่างการพัฒนาแล้วก็ตาม ภายหลังจากระบบงานพัฒนาแล้วเสร็จและติดตั้งให้บริการไปแล้ว ก็ควรที่จะเฝ้าระวังและติดตามต่อไป ตัวอย่างของการเฝ้าระวังและติดตาม เช่น

สำหรับเหตุการณ์ความเสี่ยงที่ 1: ดูว่ากรณีที่มีการปรับปรุงระบบงาน E-Mail เพิ่มเติม ได้มีการระบุข้อกำหนดความต้องการด้านความมั่นคงปลอดภัยใหม่ที่ควรเพิ่มเติมเข้าไปแล้ว หรือไม่

สำหรับเหตุการณ์ความเสี่ยงที่ 2: ดูว่ากรณีที่มีการปรับปรุงระบบงาน E-Mail เพิ่มเติม ได้มีการ วิเคราะห์และออกแบบระบบเพื่อป้องกันปัญหาที่เกี่ยวข้องกับการบุกรุกต่างๆ ดังกล่าวแล้วหรือไม่

สำหรับเหตุการณ์ความเสี่ยงที่ 3: ดูว่ากรณีที่มีการปรับปรุงระบบงาน E-Mail เพิ่มเติม ได้มีการวิเคราะห์และกำหนดประเภทของกิจกรรมเพิ่มเติมที่จำเป็นแล้วหรือไม่ โดยที่กิจกรรมเหล่านั้นอาจมีความจำเป็นต้องตรวจสอบในภายหลัง

สำหรับเหตุการณ์ความเสี่ยงที่ 4: ดูว่ากรณีที่มีการปรับปรุงระบบงาน E-Mail เพิ่มเติม ได้มีการ การวิเคราะห์และออกแบบระบบในส่วนของกลุ่มผู้ใช้งานใหม่ บทบาท และ/หรือ สิทธิการเข้าถึงของผู้ใช้งานเหล่านั้นแล้วหรือไม่

หากมีความเสี่ยงใหม่หรือเพิ่มเติมอันเกิดจากการเฝ้าระวังและติดตาม เช่น
• ยังไม่ได้วางแผนรองรับข้อกำหนดความต้องการด้านความมั่นคงปลอดภัยใหม่
• ยังไม่ได้วางแผนรองรับปัญหาที่เกี่ยวข้องกับการบุกรุกระบบต่างๆ สำหรับระบบงานที่ปรับปรุงเพิ่มเติม
• ยังไม่ได้วางแผนรองรับกิจกรรมเพิ่มเติมที่ต้องมีการบันทึกเก็บไว้

ก็ยังถือว่ายังมีความเสี่ยงใหม่หรือเพิ่มเติมอยู่ ดังนั้นจึงต้องวางแผนการลดความเสี่ยงเพิ่มเติม หรือ Take action (ซึ่งก็คือการดำเนินการเพิ่มเติมตามที่เห็นสมควรนั่นเอง)

โดยสรุปวงจรชีวิต Plan Do Check Act นี้จึงก่อเกิดนับตั้งแต่เริ่มมีทรัพย์สินสารสนเทศใหม่ที่กำลังถูกนำเข้ามาใช้งานกับองค์กร จากนั้นแม้ว่าจะมีการติดตั้งและใช้งานทรัพย์สินเหล่านั้นไปแล้วก็ตาม ก็ยังคงต้อง Check และ Act อย่างต่อเนื่อง (กล่าวคือ ประเมินความเสี่ยงเพิ่มเติมตามความจำเป็น) จวบจนกระทั่งทรัพย์สินเหล่านั้นจะสิ้นสุดอายุขัยหรือหมดอายุการใช้งานนั่นเอง จึงยุติการประเมินความเสี่ยงสำหรับทรัพย์สินเหล่านั้น

อย่างไรก็ตามหลายครั้งเมื่อทรัพย์สินสารสนเทศหนึ่งหมดอายุขัยการใช้งาน เช่น กรณีเทคโนโลยีสารสนเทศระบบงาน E-Mail หนึ่งจะมีอายุขัยการใช้งานระหว่าง 3-7 ปี ทรัพย์สินสารสนเทศเดียวกันแต่เป็นของใหม่ เช่น ระบบงาน E-Mail ซึ่งเป็นเทคโนโลยีสารสนเทศใหม่ก็จะถูกนำมาเปลี่ยนทดแทนแทนเทคโนโลยีของระบบเดิม แต่ถึงกระนั้นก็ตามทรัพย์สินใหม่นั้นก็ต้องเข้าสู่วงจรชีวิต Plan Do Check Act อีกครั้งเช่นเดียวกับการประเมินความเสี่ยงในข้างต้น ดังนั้นจึงเห็นได้ว่าวงจรชีวิตดังกล่าวจึงมีการไหลอย่างต่อเนื่องและไม่มีที่สิ้นสุด


PDF File : Plan-Do-Check-Act ตามมาตรฐาน ISO/IEC 27001 กับข้อคำถามสำคัญที่ต้องการคำตอบ

บริษัท ที-เน็ต จำกัด
131 หมู่ 9 ห้องเลขที่ 311 อุทยานวิทยาศาสตร์ประเทศไทย ถนนพหลโยธิน คลองหนึ่ง คลองหลวง ปทุมธานี 12120
โทรศัพท์: 02-564-7886    โทรสาร: 02-564-7854
e-mail: info@tnetsecurity.com

Copyright © 2008-2011 T-NET Co.,Ltd. All rights reserved.