ISO 27001 การประเมินความเสี่ยง การบริหารความเสี่ยงคืออะไร และเหตุใดจึงสำคัญ การจัดการความเสี่ยงน่าจะเป็นส่วนที่ซับซ้อนที่สุดของการนำ ISO 27001 ไปปฏิบัติ; แต่ในขณะเดียวกัน ก็เป็นขั้นตอนที่สำคัญที่สุดในการเริ่มต้น โครงการรักษาความปลอดภัยข้อมูลของคุณ ซึ่งเป็นการวางรากฐานสำหรับการรักษาความปลอดภัยข้อมูลในบริษัทของคุณ
การบริหารความเสี่ยงประกอบด้วยสององค์ประกอบหลัก: การประเมินความเสี่ยง (มักเรียกว่าการวิเคราะห์ความเสี่ยง) และการรักษาความเสี่ยง
การประเมินความเสี่ยงและการรักษาคืออะไร และจุดประสงค์ของพวกเขาคืออะไร? การประเมินความเสี่ยงเป็นกระบวนการที่องค์กรควรระบุความเสี่ยงด้านความปลอดภัยข้อมูลและพิจารณาความเป็นไปได้และผลกระทบ องค์กรควรตระหนักถึงปัญหาที่อาจเกิดขึ้นกับข้อมูลของตน แนวโน้มที่จะเกิดขึ้น และผลที่ตามมาคืออะไร
วัตถุประสงค์ของการจัดการความเสี่ยงคือการค้นหาว่าการควบคุมความปลอดภัยใด (เช่น การป้องกัน) ที่จำเป็นเพื่อหลีกเลี่ยงเหตุการณ์ที่อาจเกิดขึ้น การเลือกการควบคุมเรียกว่ากระบวนการบำบัดความเสี่ยง และใน ISO 27001 เลือกจากภาคผนวก A ซึ่งระบุ 93 การควบคุม
- วิธีการบริหารความเสี่ยง
- การประเมินความเสี่ยง
- การรักษาความเสี่ยง
- รายงานการประเมินความเสี่ยงและการรักษา
- คำชี้แจงการบังคับใช้
- แผนการรักษาความเสี่ยง
การประเมินความเสี่ยงและการรักษา ISO 27001 – หกขั้นตอนหลัก
แม้ว่าการจัดการความเสี่ยงใน ISO 27001 จะเป็นงานที่ซับซ้อน แต่ก็มักจะถูกทำให้เข้าใจผิดโดยไม่จำเป็น หกขั้นตอนพื้นฐานเหล่านี้จะช่วยให้คุณเข้าใจสิ่งที่คุณต้องทำ:
1) วิธีการประเมินความเสี่ยง ISO 27001
นี่คือขั้นตอนแรกในการเดินทางของคุณผ่านการจัดการความเสี่ยงใน ISO 27001 คุณต้องกำหนดกฎสำหรับวิธีการดำเนินการจัดการความเสี่ยง เนื่องจากคุณต้องการให้ทั้งองค์กรของคุณดำเนินการในลักษณะเดียวกัน ซึ่งเป็นปัญหาที่ใหญ่ที่สุดเกี่ยวกับความเสี่ยง การประเมินจะเกิดขึ้นหากส่วนต่าง ๆ ขององค์กรดำเนินการในรูปแบบที่แตกต่างกัน ดังนั้น คุณต้องกำหนดว่าคุณต้องการประเมินความเสี่ยงเชิงคุณภาพหรือเชิงปริมาณ ซึ่งมาตราส่วนที่คุณจะใช้สำหรับการประเมินเชิงคุณภาพ ระดับความเสี่ยงที่ยอมรับได้จะเป็นเท่าใด เป็นต้น
2) การดำเนินการประเมินความเสี่ยง
เมื่อคุณทราบกฎแล้ว คุณสามารถเริ่มค้นหาว่าปัญหาใดที่อาจเกิดขึ้นกับคุณได้ คุณต้องแสดงรายการสินทรัพย์ทั้งหมดของคุณ จากนั้นภัยคุกคามและความเปราะบางที่เกี่ยวข้องกับสินทรัพย์เหล่านั้น ประเมินผลกระทบและความเป็นไปได้สำหรับการรวมกันของสินทรัพย์/ภัยคุกคาม/ช่องโหว่แต่ละรายการ และสุดท้ายคำนวณระดับความเสี่ยง
จากประสบการณ์ของฉัน บริษัทมักจะตระหนักถึงความเสี่ยงเพียง 30% เท่านั้น ดังนั้น คุณอาจพบว่าแบบฝึกหัดประเภทนี้ค่อนข้างเปิดเผย เมื่อคุณทำเสร็จแล้ว คุณจะเริ่มรู้สึกซาบซึ้งในความพยายามที่คุณได้ทำลงไป ISO 27001 การประเมินความเสี่ยง
3) การดำเนินการบำบัดความเสี่ยง
แน่นอน ความเสี่ยงทั้งหมดไม่เท่ากัน คุณต้องมุ่งเน้นไปที่ความเสี่ยงที่สำคัญที่สุด ซึ่งเรียกว่า “ความเสี่ยงที่ยอมรับไม่ได้”
เมื่อดำเนินการจัดการความเสี่ยงใน ISO 27001 มีตัวเลือกสี่ตัวเลือกที่คุณสามารถเลือกเพื่อจัดการ (เช่น บรรเทา) ความเสี่ยงที่ยอมรับไม่ได้แต่ละรายการ ดังที่อธิบายเพิ่มเติมในบทความนี้
4) รายงานการประเมินความเสี่ยงและการรักษา
ขั้นตอนนี้ค่อนข้างน่าเบื่อ ไม่เหมือนกับขั้นตอนก่อนหน้านี้ คุณต้องบันทึกทุกสิ่งที่คุณทำจนถึงตอนนี้ นี่ไม่ใช่สำหรับผู้ตรวจสอบบัญชีเท่านั้น เนื่องจากคุณอาจต้องการตรวจสอบผลลัพธ์เหล่านี้ด้วยตัวคุณเองภายในปีหรือสองปี
5) คำชี้แจงการบังคับใช้
เอกสารนี้แสดงโปรไฟล์ความปลอดภัยของบริษัทของคุณตามผลลัพธ์ของการจัดการความเสี่ยงใน ISO 27001 คุณต้องระบุรายการการควบคุมทั้งหมดที่คุณดำเนินการ เหตุผลที่คุณดำเนินการ และวิธี เอกสารนี้มีความสำคัญมากเช่นกันเพราะผู้ตรวจรับรองจะใช้เป็นแนวทางหลักในการตรวจประเมิน
สำหรับรายละเอียดเกี่ยวกับเอกสารนี้ โปรดดูบทความนี้ : คำชี้แจงการบังคับใช้ใน ISO 27001 – คืออะไรและเหตุใดจึงมีความสำคัญ
6) แผนการรักษาความเสี่ยง
นี่คือขั้นตอนที่คุณต้องย้ายจากทฤษฎีไปสู่การปฏิบัติ พูดกันตรงๆ ถึงตอนนี้ งานบริหารความเสี่ยงทั้งหมดนี้เป็นเพียงทฤษฎีเท่านั้น แต่ตอนนี้ถึงเวลาแสดงผลลัพธ์ที่เป็นรูปธรรมแล้ว
นี่คือจุดประสงค์ของแผนการรักษาความเสี่ยง – เพื่อกำหนดว่าใครจะนำการควบคุมแต่ละรายการไปปฏิบัติ กรอบเวลาใด ด้วยงบประมาณเท่าใด ฯลฯ ฉันอยากจะเรียกเอกสารนี้ว่า “แผนการดำเนินงาน” หรือ “แผนปฏิบัติการ” แต่ มาดูคำศัพท์ที่ใช้ใน ISO 27001 กัน
และนี่ก็คือ – คุณได้เริ่มต้นการเดินทางจากการไม่รู้วิธีตั้งค่าความปลอดภัยข้อมูลของคุณ ไปจนถึงการมีภาพที่ชัดเจนมากเกี่ยวกับสิ่งที่คุณต้องนำไปใช้ ประเด็นคือ – ISO 27001 บังคับให้คุณเดินทางนี้อย่างเป็นระบบ
ISO 27005 ช่วยในการจัดการความเสี่ยงได้อย่างไร?
ISO/IEC 27005 เป็นมาตรฐานเฉพาะสำหรับการจัดการความเสี่ยงด้านความปลอดภัยข้อมูล มีประโยชน์มากหากคุณต้องการทราบข้อมูลเชิงลึกเกี่ยวกับการประเมินและการรักษาความเสี่ยงด้านความปลอดภัยของข้อมูล นั่นคือ หากคุณต้องการทำงานเป็นที่ปรึกษาหรืออาจเป็นผู้จัดการด้านความปลอดภัย/ความเสี่ยงของข้อมูลแบบถาวร
อย่างไรก็ตาม หากคุณต้องการประเมินความเสี่ยงปีละครั้ง มาตรฐานนั้นอาจไม่จำเป็นสำหรับคุณ
วิธีเขียนวิธีการประเมินความเสี่ยง ISO 27001
หลายบริษัททำให้การประเมินความเสี่ยงและการรักษายากเกินไปโดยการกำหนดวิธีการและกระบวนการประเมินความเสี่ยง ISO 27001 ที่ไม่ถูกต้อง (หรือไม่กำหนดวิธีการเลย)
ISO 27001 ต้องการอะไรกันแน่?
ISO 27001 กำหนดให้คุณจัดทำเอกสารกระบวนการทั้งหมดของการประเมินความเสี่ยง (ข้อ 6.1.2) และโดยปกติจะทำในเอกสารที่เรียกว่า Risk Assessment Methodology น่าเสียดายที่บริษัทจำนวนมากทำผิดพลาดครั้งใหญ่เป็นครั้งแรก: พวกเขาเริ่มใช้การประเมินความเสี่ยงโดยไม่มีวิธีการ หรือกล่าวอีกนัยหนึ่งคือไม่มีกฎที่ชัดเจนเกี่ยวกับวิธีการทำ
มีความเชื่อผิด ๆ มากมายเกี่ยวกับการประเมินความเสี่ยงว่าควรมีลักษณะอย่างไร แต่ในความเป็นจริงแล้ว ข้อกำหนด ISO 27001:2022 ไม่ใช่เรื่องยาก – นี่คือข้อกำหนดของข้อ 6.1.2:
- กำหนดวิธีการระบุความเสี่ยงที่อาจทำให้สูญเสียความลับ ความสมบูรณ์ และ/หรือความพร้อมใช้งานของข้อมูลของคุณ
- กำหนดวิธีการระบุเจ้าของความเสี่ยง
- กำหนดเกณฑ์สำหรับการประเมินผลกระทบและการประเมินความเป็นไปได้ของความเสี่ยง
- กำหนดวิธีการคำนวณความเสี่ยง
- กำหนดเกณฑ์ในการยอมรับความเสี่ยง
โดยพื้นฐานแล้ว คุณต้องกำหนดองค์ประกอบทั้งห้านี้ อะไรที่น้อยกว่านั้นไม่เพียงพอ แต่ที่สำคัญกว่านั้น ไม่จำเป็นต้องมีอะไรมากกว่านี้ ซึ่งหมายความว่า: อย่าซับซ้อนมากเกินไป
และใช่ คุณต้องแน่ใจว่าผลการประเมินความเสี่ยงมีความสอดคล้องกัน นั่นคือ คุณต้องกำหนดวิธีการที่จะให้ผลลัพธ์ที่เปรียบเทียบกันได้ในทุกแผนกของบริษัทของคุณ
มีตัวเลือกใดบ้าง
แน่นอนว่ามีตัวเลือกมากมายสำหรับองค์ประกอบทั้งห้าข้างต้น นี่คือสิ่งที่คุณเลือกได้:
การระบุความเสี่ยง ISO 27001 ฉบับปรับปรุงปี 2022 ในปัจจุบันไม่ได้กำหนดวิธีการระบุความเสี่ยง ซึ่งหมายความว่าคุณสามารถระบุความเสี่ยงตามกระบวนการของคุณ ตามแผนกของคุณ โดยใช้เฉพาะภัยคุกคามและไม่ใช่ช่องโหว่ หรือวิธีการอื่นใดที่คุณต้องการ อย่างไรก็ตาม ความชอบส่วนตัวของฉันยังคงเป็นวิธีการป้องกันภัยคุกคามต่อสินทรัพย์แบบเก่าที่ดีซึ่งกำหนดไว้ในการปรับปรุงมาตรฐานปี 2548 (โปรดดูบทความCatalog of Threats & Vulnerabilities )
เจ้าของความเสี่ยง โดยพื้นฐานแล้ว คุณควรเลือกบุคคลที่มีความสนใจในการแก้ไขความเสี่ยง และมีตำแหน่งสูงพอในองค์กรที่จะทำอะไรกับมัน ดูเพิ่มเติมที่บทความนี้: เจ้าของความเสี่ยงกับเจ้าของสินทรัพย์ใน ISO 27001
การประเมินผลกระทบและความเป็นไปได้ คุณควรประเมินผลที่ตามมาและความเป็นไปได้สำหรับแต่ละความเสี่ยงของคุณแยกกัน คุณมีอิสระเต็มที่ที่จะใช้สเกลใดก็ได้ที่คุณต้องการ เช่น ต่ำ กลาง สูง หรือ 1 ถึง 5 หรือ 1 ถึง 10 อะไรก็ได้ที่เหมาะกับคุณที่สุด แน่นอน ถ้าคุณต้องการทำให้ง่าย ให้ไปที่ ต่ำ-ปานกลาง-สูง
วิธีการคำนวณความเสี่ยง โดยปกติจะทำโดยการบวก (เช่น 2 + 5 = 7) หรือโดยการคูณ (เช่น 2 x 5 = 10) หากคุณใช้มาตราส่วนต่ำ-กลาง-สูง ก็จะเหมือนกับการใช้มาตราส่วน 1-2-3 ดังนั้นคุณยังมีตัวเลขสำหรับการคำนวณ
เกณฑ์การรับความเสี่ยง. หากวิธีการคำนวณความเสี่ยงของคุณให้ค่าตั้งแต่ 2 ถึง 10 คุณก็สามารถตัดสินใจได้ว่าระดับความเสี่ยงที่ยอมรับได้คือ เช่น 7 ซึ่งหมายความว่าเฉพาะความเสี่ยงที่มีค่าเท่ากับ 8, 9 และ 10 เท่านั้นที่ต้องได้รับการรักษา หรือคุณสามารถตรวจสอบความเสี่ยงแต่ละรายการและตัดสินใจว่าควรปฏิบัติหรือไม่โดยพิจารณาจากข้อมูลเชิงลึกและประสบการณ์ของคุณ โดยไม่กำหนดค่าที่กำหนดไว้ล่วงหน้า บทความนี้จะช่วยคุณด้วย: เหตุใดความเสี่ยงที่เหลืออยู่จึงสำคัญมาก
ในส่วน “การประเมินความเสี่ยง” คุณจะพบรายละเอียดเกี่ยวกับวิธีการประเมินความเสี่ยง
ระเบียบวิธีก่อน อย่างอื่นตามหลัง
ดังนั้น ประเด็นก็คือ คุณไม่ควรเริ่มประเมินความเสี่ยงโดยใช้แผ่นงานบางแผ่นที่คุณดาวน์โหลดจากอินเทอร์เน็ต แผ่นงานนี้อาจใช้วิธีการที่ไม่เหมาะสมกับบริษัทของคุณโดยสิ้นเชิง คุณไม่ควรเริ่มใช้วิธีการที่กำหนดโดยเครื่องมือประเมินความเสี่ยงที่คุณซื้อ คุณควรเลือกเครื่องมือประเมินความเสี่ยงที่เหมาะกับวิธีการของคุณแทน (หรือคุณอาจตัดสินใจว่าคุณไม่จำเป็นต้องใช้เครื่องมือเลย และคุณสามารถทำได้โดยใช้แผ่นงาน Excel แบบธรรมดา)
ไม่ว่าในกรณีใด คุณไม่ควรเริ่มประเมินความเสี่ยงก่อนที่จะปรับวิธีการให้เข้ากับสถานการณ์เฉพาะและความต้องการของคุณ
เคล็ดลับการบริหารความเสี่ยงสำหรับบริษัทขนาดเล็ก
ฉันได้เห็นบริษัทขนาดเล็กจำนวนมากพยายามใช้ซอฟต์แวร์การจัดการความเสี่ยงเป็นส่วนหนึ่งของโครงการดำเนินการ ISO 27001 ซึ่งน่าจะเหมาะสมกว่ามากสำหรับองค์กรขนาดใหญ่ ผลก็คือมักจะใช้เวลาและเงินมากเกินไปโดยมีผลน้อยเกินไป
ต่อไปนี้เป็นเคล็ดลับเกี่ยวกับวิธีทำให้การบริหารความเสี่ยงสามารถจัดการได้มากขึ้นสำหรับบริษัทขนาดเล็ก:
- เลือกวิธีการที่เหมาะสม วิธีการต้องทำให้ง่ายขึ้นและมีองค์ประกอบเพียง 5 ประการที่จำเป็นสำหรับ ISO 27001 หากคุณลงเอยด้วยการใช้วิธีการที่คุณคัดลอกมาจากบริษัทขนาดใหญ่บางแห่ง คุณจะต้องทำการประเมินความเสี่ยงและการรักษาเป็นเวลาหลายเดือนแทนที่จะใช้สองขั้นตอน ของวัน
- เลือกเครื่องมือที่เหมาะสม ค้นหาซอฟต์แวร์ที่เป็นไปตามวิธีการ (แบบง่าย) ของคุณ ไม่ใช่วิธีอื่น ในบางกรณี เทมเพลต Excel ที่ดีจะทำงานได้ดีกว่าซอฟต์แวร์ที่ซับซ้อน
- รวมคนที่เหมาะสม คุณไม่ควรพยายามทำด้วยตัวเอง คุณควรรวมหัวหน้าแผนกทั้งหมดของคุณไว้ด้วยเพราะพวกเขารู้จักกระบวนการของพวกเขาดีที่สุด ซึ่งหมายความว่าพวกเขารู้ว่าปัญหาที่อาจเกิดขึ้นอยู่ที่ไหน
- อย่าพยายามที่จะสมบูรณ์แบบ อย่าพยายามค้นหาความเสี่ยงทั้งหมดในครั้งแรกที่คุณทำเช่นนี้ มันมีแต่จะทำให้คุณช้าลง คุณควรประเมินความเสี่ยงและการรักษาให้เสร็จ แล้วค่อยกลับมาเพิ่มความเสี่ยงที่หายไปในภายหลัง
สรุป: การประเมินความเสี่ยงและการรักษาเป็นรากฐานของการรักษาความปลอดภัยข้อมูล / ISO 27001 แต่ไม่ได้หมายความว่าจะต้องซับซ้อน คุณสามารถทำได้ด้วยวิธีง่ายๆ และสามัญสำนึกของคุณคือสิ่งที่มีความสำคัญจริงๆ
วิธีจัดการกับโอกาสในการจัดการความเสี่ยง ISO 27001 โดยใช้ ISO 31000
เมื่อองค์กรต่างๆ คิดเกี่ยวกับความเสี่ยง โดยทั่วไปแล้วพวกเขาจะมุ่งเน้นไปที่สิ่งที่อาจผิดพลาด และใช้มาตรการเพื่อป้องกันสิ่งนั้น หรืออย่างน้อยก็เพื่อลดผลกระทบให้เหลือน้อยที่สุด แต่ความเสี่ยงยังหมายถึงสิ่งดี ๆ เกิดขึ้นได้ และการที่คุณไม่พร้อมที่จะฉวยโอกาสจากสถานการณ์นั้น คุณก็จะพลาดผลประโยชน์ได้
ส่วนนี้จะนำเสนอวิธีการพิจารณาและจัดการกับความเสี่ยงเชิงบวก หรือที่เรียกว่าโอกาส ในบริบทของ ISO 27001 โดยรวมโอกาสไว้ในแนวทาง ISMS องค์กรอาจเพิ่มประโยชน์ของการรักษาความปลอดภัยข้อมูล
