ไทย
ค้นหา

คลังความรู้

PIMS กับ ISMS

ISO ได้มีการประกาศมาตรฐานใหม่ ISO/IEC 27701:2019 (Privacy Information Management System: PIMS) ซึ่งเป็นส่วนขยายจาก ISO/IEC 27001:2013 (Information Security Management System : ISMS) 

 

ซึ่งองค์กรสามารถเลือกการขอรับรองได้ตามบทบาทหน้าที่ ไม่ว่าจะเป็น Data Controller หรือ Data Processor เพราะส่วนของ Control จะแยกกันอย่างชัดเจน ก็คือ Control สำหรับผู้ควบคุมข้อมูล (Annex A) และ Control สำหรับผู้ประมวลผลข้อมูล (Annex B) อีกทั้งในส่วนของ ISO 27701 นั้นจะเพิ่มเติมมุมมองในเรื่องของ “Privacy” เข้ามา ไม่ว่าจะเป็นบริบทองค์กร การวิเคราะห์ปัจจัยภายในและภายนอก การประเมินความเสี่ยงก็จะมีในเรื่องของการพิจารณาความเสี่ยงที่เกี่ยวข้องกับ Privacy Risks เป็นต้น

อย่างไรก็ตามการขอการรับรองมาตรฐานนั้น องค์กรจำเป็นต้องได้รับการรับรอง ISO/IEC 27001:2013 บนขอบเขตที่ไม่น้อยกว่าการขอรับรอง ISO/IEC 27701:2019 เท่านั้น จึงเป็นที่มาว่าองค์กรจะต้องวางแผนให้ดีและสอดคล้องกับกระบวนการที่จะต้องปรับปรุงองค์กรให้เป็นไปตามข้อกำหนดใน THAI PDPA ด้วย

ISO/IEC 27001:2013 Foundation Training

บริษัท พราวด์ คอนซัลติ้ง จำกัด ได้รับความไว้วางใจจากทางบริษัท คิวบิกโปร จำกัด

ในการจัดฝึกอบรม ISO/IEC 27001:2013 Foundation Training เมื่อวันที่ 5 มิถุนายน 2563 ซึ่งแสดงถึงวิสัยทัศน์ในการให้ความสำคัญด้าน Security and Compliances ของผู้บริหารองค์กร เพื่อนำไปสู่การรับรองมาตรฐานด้านความมั่นคงปลอดภัยข้อมูลในอนาคต

DPO ทำหน้าที่อะไร?

ถึงแม้ว่า พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล จะเลื่อนไป ปี ในบางมาตรา แต่เรื่องความปลอดภัย (Security) ไม่ได้ถูกเลื่อนออกไป 

การเป็น DPO ที่ดีนั้นควรจะมีความรู้ทั้งด้าน IT และ Legal หน้าที่หลัก ๆ เขามีดังนี้ 

1. สร้างและพัฒนากระบวนการตามมาตรฐานที่เกี่ยวกับการรักษาข้อมูลส่วนบุคคลเพื่อให้สอดคล้องกับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล เช่น ISO/IEC 29100:2011, ISO/IEC 27701:2019, NIST Privacy Framework เป็นต้น  

2. สร้างกระบวนการตรวจสอบ ทบทวนและปรับปรุงกระบวนการประเมินความเสี่ยง (Risk Management) ขององค์กรอย่างเป็นประจำ

3. จัดฝึกอบรมพนักงานให้มีความเข้าใจในเรื่องความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล 

อีกทั้งตำแหน่งนี้จะต้องสามารถประสานงานคนภายในองค์กร เจ้าของข้อมูลส่วนบุคคลและคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลได้เป็นอย่างดี นั้นจึงทำให้ตอนนี้ตลาดแรงงานจึงมีความต้องการคนที่ความสามารถแบบนี้เป็นอย่างมาก

ISO 27701 คืออะไร???

ISO/IEC 27701:2019 มาตรฐานที่ต่อยอดมาจาก ISO/IEC 27001;2013 โดยจะให้ความสำคัญในด้าน Privacy ยิ่งขั้น

โดยมีการเพิ่มข้อกำหนดสำหรับระบบบริหารจัดการข้อมูลส่วนบุคคล (Privacy Information Management System: PIMS) ซึ่งก็จะสอดคล้องกับความต้องการของกฎหมายและข้อบังคับในปัจจุบันอย่าง GDPR หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

มาตรฐานนี้ถูกออกแบบมาเพื่อเป็นกรอบการทำงานทั้งสำหรับ Personally Identifiable Information (PII) Controllers และ PII Processors ซึ่งช่วยให้บริหารจัดการมาตรการควบคุมด้านความเป็นส่วนบุคคลได้อย่างมีประสิทธิภาพ และลดความเสี่ยงอันเนื่องมาจากการละเมิดความเป็นส่วนบุคคล

อย่างไรก็ตามองค์กรที่ต้องการรับรองมาตรฐานดังกล่าว จะต้องได้การรับการรับรองมาตรฐาน ISO/IEC 27001:2013 เสียก่อนและต้องได้รับการรับรองในขอเบเขตที่เกี่ยวกับระบบที่เก็บข้อมูลส่วนบุคคลด้วย ดังนั้นมาตรฐานนี้ก็น่าจะเป็นนิยมอย่างสูงเหมือนกับ ISO ด้าน Security อื่น ๆ ในอนาคต

ฺBuild ระบบ Security Analytics รับมือภัยคุกคาม

เดี๋ยวนี้ภัยคุกคามในระบบ IT มีความหลากหลายและซับซ้อนมากยิ่งขึ้นในแต่ละวัน องค์กรหลาย ๆ แห่งจึงตัดสินใจนำเอา Solutions เข้ามาใช้ช่วยวิเคราะห์ข้อมูลด้านความมั่นคงปลอดภัยและตรวจจับภัยคุกคาม

Solutions แบบหนึ่งที่องค์กรนิยมนำมาใช้ คือ ระบบ SIEM ซึ่งในตลาดนั้นมีอยู่หลายยี่ห้อมาก บางยี่ห้อก็อยู่ในการจัดอันดับของ Gartner และมีการผสมผสานระบบ Security Intelligence, รวมถึงการนำ AI และ Machine Learning มาประยุกต์ใช้งานด้านการวิเคราะห์ข้อมูลด้านความมั่นคงปลอดภัยอีกด้วย

จุดเด่นหลักๆ ของ SIEM ที่เราควรนำมาพิจารณา มีดังนี้

1. ควรจะรองรับการประมวลผลข้อมูลด้านความมั่นคงปลอดภัยได้อย่างมีประสิทธิภาพ 

2. มีระบบตรวจจับค้นหาภัยคุกคามได้ด้วย Built-in Analytics และสามารถเชื่อมโยงความสัมพันธ์โดยใช้ AI เพื่อช่วยลดระยะเวลาในการวิเคราะห์

3. มีการจัดการข้อมูลที่ดี และบริหารจัดการได้ง่ายสำหรับผู้ใช้งาน

อีกประเด็นที่องค์กรควรจะพิจารณาควบคู่กันไป ก็คือความชำนาญของทีมงานบริหารจัดการ เพราะยิ่งถ้าเราใช้เทคโนโลยีเข้ามาช่วยมากเท่าไร คนของเราก็ควรจะมีความสามารถที่ดูแลมันได้ดีด้วย

ดังนั้นคนกลุ่มนี้จึงควรมีประสบการณ์ด้าน Security หรือผ่านการอบรมหลักสูตรที่เกี่ยวข้อง เช่น Incident Response, Forensics, Ethical Hacking เป็นต้น

ความมั่นคงปลอดภัยสำหรับองค์กร

ช่วงนี้หลาย ๆ องค์กรทำงานอยู่ที่บ้าน (WFH) ซึ่งก็มีประเด็นด้าน Security ที่ควรจะพิจารณาในหลาย ๆ เรื่อง

PROUD มีคำแนะนำให้ธุรกิจองค์กรพิจารณาในด้าน Security โดยเฉพาะอย่างยิ่งสำหรับธุรกิจที่จะต้องเตรียมรับมือกับพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลที่กำลังจะเริ่มบังคับใช้ ดังนี้

  1. ความปลอดภัยของอุปกรณ์ การเลือกใช้งานอุปกรณ์จากผู้ผลิตที่ไว้วางใจได้ซึ่งมีกระบวนการในการรักษาความมั่นคงปลอดภัยและการตรวจสอบที่ดีนั้นก็จะช่วยลดความเสี่ยงจากการโจมตีได้ รวมไปถึงอุปกรณ์ที่มีการรับผิดชอบจากผู้ผลิตทั้งส่วน MA หรือ Patch ก็จะช่วยได้เช่นกัน ส่วนองค์กรอาจจะต้องมองถึงการทำ Hardenning Guideline ที่เหมาะสมเพิ่มเติมด้วย
  2. ความปลอดภัยส่วนบุคคล มีข้อมูลทีชี้ให้เห็นถึงการที่ข้อมูลรั่วไหลจากรหัสผ่านที่ถูกขโมยและมีเว็บไซต์ปลอมเพื่อหลอกให้ผู้ใช้งานทำการกรอกข้อมูลมากขึ้นในทุก ๆ ปี ดังนั้นการใช้ระบบยืนยันตัวตนแบบ Multi-Factor Authentication หรือ Biometrics จึงเป็นทางเลือกที่ดีสำหรับองค์กรในการ Implement
  3. ความปลอดภัยของเครือข่าย ระบบเครือข่ายเองนั้นอาจตกเป็นเป้าของการโจมตีได้ ดังนั้นการเลือกวางระบบเครือข่ายด้วยอุปกรณ์และการออกแบบที่เหมาะสมนั้นก็จะสามารถช่วยในประเด็นนี้ได้ 
  4. ความปลอดภัยด้านข้อมูล การปกป้องข้อมูลไม่ให้รั่วไหลหรือเข้าถึงจากบุคคลที่ไม่เกี่ยวข้องได้นั้น จะช่วยลดความเสี่ยงและความเสียหายที่ธุรกิจจะต้องเผชิญลงได้ บางองค์กรก็จะใช้ DLP Tools หรือ Endpoint Solutions เข้ามาช่วย
ข้อมูลใน Facebook หลุด!!!

มีข่าวจากเชี่ยวชาญด้านความมั่นคงปลอดภัยทางไซเบอร์ได้พบข้อมูลโปรไฟล์ผู้ใช้งาน Facebook กว่า 267 ล้าน Records ได้ Leak ออกมา

 

โดยข้อมูลถูกขายใน Dark Web ตามที่มา https://www.bleepingcomputer.com/news/security/267-million-facebook-profiles-sold-for-600-on-the-dark-web/

ซึ่งทำให้มีผู้คาดการณ์ผู้ๆม่ประสงคืดีอาจจะใช้ข้อมูลดังกล่าวโจมตีด้านอื่นๆ อย่างต่อเนื่องต่อไป

ยังไงช่วงนี้มี Mail แปลกๆ มาก็ระวังกันหน่อยนะครับ เราอาจจะเป็นหนึ่งในข้อมูลที่ถูกซื้อขายกันอยู่

Privacy Enhanced Technology : PET

หลาย ๆ องค์กรเริ่มที่เข้าสู่กระบวนการ Implement PDPA อย่างเต็มรูปแบบ และนับถอยหลังจนถึงวันที่ 27 พฤษภาคม 2563

สิ่งที่หลีกเลี่ยงไม่ได้แน่นอน หลังจากเราเริ่มสร้างเอกสารต่าง ๆ ไม่ว่าจะเป็น Privacy Policy, Data Breach Notification Procedures หรืออื่น ๆ นั้นคือการเอาเครื่องมือด้าน Privacy ต่าง ๆ

เข้ามาช่วยในการทำงานให้มีประสิทธิภาพและอัตโนมัติมากยิ่งขึ้น เช่น

- Data Mapping and Discovery

- Consent Management

- Cookie Management

- Data Masking/Encrpytion

- Right Management System

- SecureCode Training

เป็นต้น ในตลาดมีหลายยี่ห้อมากที่เป็นที่นิยม ซึ่งส่วนใหญ่จะเป็น Tools ของต่างประเทศ อย่างไรก็ตาม การที่องค์กรจะเลือกเครื่องมือมาใช้ก็คงต้องคิดทั้งในเรื่องค่าใช้จ่าย คนที่มาดูแล รวมไปถึงความเหมาะสมสำหรับธุรกิจของตัวเองด้วย เพราะการแค่ซื้อของคงไม่ตอบโจทย์ทั้งหมดในการปกป้อง Privacy และ Security ได้ 

อย่าลืมว่าสิ่งที่เราต้องให้ความสำคัญที่สุดในเรื่องนี้คือ ทรัพยากรบุคคล ดังนั้นนอกจากการซื้อเครื่องมือแล้ว เราก็ควรสร้างจิตสำนึก ความตระหนักรู้ในด้าน Privacy and Security ใ้แก่พนักงานภายในองค์กรเราด้วย

 

IT Audit for PDPA

ในปัจจุบัน องค์กรหลาย ๆ ที่เริ่มเข้าสู่กระบวนการปฎิบัติเพื่อให้สอดคล้องกับพรบ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

หน่วยงานที่จะต้องปรับตัวเพื่อให้เป็นไปตามกระบวนการนั้นก็คือ IT Audit โดยปกติถ้าเป็นองค์กรขนาดใหญ่ ก็จะมีส่วนงานนี้เป็นข้งตนเอง แต่ยางองค์กรก็นิยมจะ Outsource ในส่วนการบริการนี้ให้กับที่ปรึกษาภายนอกทำแทน โดย IT Domain ที่จะต้องพิจารณาตอนตรวจเพื่อให้สอดคล้องกับ PDPA นั้นหลักๆ มีอยู่ 3 ส่วน

- Technical Layer

- IT Management

- IT Controls

Technical Layer ก็จะพิจารณาตั้งแต่ Infrastructure, Application Systems, Database, Operating Systems, Network ต่างๆ 

IT Management ก็จะพิจารณาหลายๆ ส่วน เช่น Evaluate, Direct and Monitor (EDM), Align, Plan and Organise (APO), Build, Acquire and Implement (BAI), Delivery, Service and Support (DSS), Monitor, Evaluate and Assess (MEA)

IT Controls ก็จะดูจาก Application Controls, General Controls ต่างๆ รวมไปถึง Change Management ด้วย

ดังนั้นหน่วยงานนี้จึงเป็นกลไกหลักที่สำคัญ ที่เป็นผู้บอกว่าที่เราทำมานั้น มีจุดไหนที่ควรปรับปรุงหรือความสอดคล้องบ้าง เพราะหลายๆ ที่ไม่ได้แค่ต้องการความสอดคล้อตาม พรบ. เท่านั้น

เขายังจะมองไปที่การได้การรับรองมาตรฐาน ISO 27701 (IMS: Privacy Information Management Systems) ด้วย ซึ่งเป็นมาตรฐานทางด้านนี้โดยตรง

Work from Home ให้ Secure

หลาย ๆ องค์กรเริ่มออกนโยบายให้พนักงานสามารถทำงานจากที่บ้านได้ในช่วงที่ COVID-19 กำลังระบาดหนัก เพื่อเป็นการควบคุม Social Distances หลีกเลี่ยงการพบปะผู้คนและตอบสนองนโยบายรัฐ

ดังนั้นการทำงานจากที่บ้านอาจจะจำเป็นที่ต้องมีการลงโปรแกรมบางอย่างในการช่วยงาน เช่น WebEx, Zoom, MicrosoftTeam เป็นต้น ดังนั้นจึงควรมีการ Updated อุปกรณ์ ระบบปฏิบัติการ และซอฟต์แวร์แอปพลิเคชันต่างๆ ให้เป็นเวอร์ชันล่าสุด รวมไปถึง Patch ด้านความมั่นคงปลอดภัย ในบางครั้งการทำงานบางระบบจำเป็นต้องใช้ Virtual Private Network (VPN) เพื่อให้มั่นใจว่าข้อมูลทั้งหมดที่รับส่งระหว่างพนักงานที่ทำงานที่บ้านและเครือข่ายภายในออฟฟิสจะถูกเข้ารหัสและได้รับการปกป้อง 

อีกทั้งการทำงานในลักษณะนี้ การรับส่ง Email กลายเป็นช่องทางสื่อสารหลัก ดังนั้นโอกาสที่ผู้ใช้งานทั่วไปจะพบเจอ Phishing Email มากขึ้น จึงควรจะมีการทำ Security Awareness ที่มากขึ้นตามมาด้วย

การใช้งาน Cloud Storage ก็เป็นส่วนหนึ่งที่ควรจะเป็นจุดที่ควรระวังและควรมีการป้องกันอย่างดี อย่างน้อยพนักงานจำเป็นต้องพิสูจน์ตัวตนก่อนและการมีระบบ 2-Factor Authentication ก็เป็นสิ่งที่ช่วยยกระดับการรักษาความมั่นคงปลอดภัยให้สูงยิ่งขึ้น

นี้คือสิ่งงง่ายๆ ที่ช่วยให้การทำงาน WFH มีความ Sucre มากขึ้น และเจ้าของกิจการจะได้รู้สึกมั่นใจระดับหนึ่งว่าข้อมูลเราไม่รั่วไหลหรืออย่างน้อยก็เป็นการฝึก Business Continuity Plan สำหรับองค์กรไปในตัว