บทนำ

ด้วยวิวัฒนาการทางด้านระบบคอมพิวเตอร์ ทำให้ในปัจจุบันการใช้บริการคลาวด์ (cloud service) มีจำนวนเพิ่มมากขึ้น เมื่อมีความต้องการใช้งานเพิ่มขึ้น ก็ส่งผลให้เกิดมีผู้ให้บริการ (cloud service providers) หลายรายในประเทศไทย โดยส่วนใหญ่ ผู้ให้บริการเหล่านั้นมีการวางมาตรการควบคุมด้านความมั่นคงปลอดภัยสารสนเทศ แตกต่างกันออกไป โดยส่วนใหญ่ผู้ให้บริการจะพิจารณาแนวทางในการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศตามมาตรฐาน ISO/IEC 27001:2013 ซึ่งเป็นที่นิยมในปัจจุบัน คงปฏิเสธไม่ได้ว่า การใช้ระบบคอมพิวเตอร์ที่ทำงานอยู่บนคลาวด์ (cloud computing) ได้เปลี่ยนแปลงองค์กรต่าง ๆ อย่างมาก ทั้งในแง่การประเมิน และการลดความเสี่ยงด้านความปลอดภัยข้อมูลสารสนเทศ อันเนื่องมาจากการออกแบบเชิงเทคนิค การใช้งาน และการกำกับดูแล ที่ล้วนส่งผลกระทบอย่างยิ่งต่อทรัพยากรของคอมพิวเตอร์

ภาพรวม

ISO/IEC 27017 เป็นมาตรฐานที่เป็นส่วนเสริมของมาตรฐาน ISO/IEC 27001 และ ISO/IEC 27002  หากจะใช้ภาษาที่เข้าใจง่ายขึ้น ISO/IEC 27001 และ ISO/IEC 27002 เปรียบเสมือน “มาตรฐานแม่” ส่วน ISO/IEC 27017 (รวมไปถึง ISO/IEC 27018) เป็นเหมือน “มาตรฐานลูก” ที่คลอดออกมาเพื่อทำให้มาตรฐานความมั่นคงปลอดภัยสารสนเทศครอบคลุมและนำไปปรับใช้ในปัจจุบันได้ดียิ่งขึ้น และเน้นไปที่ผู้ให้บริการคลาวด์ (cloud service providers) และผู้ใช้บริการคลาวด์ (cloud service customers) คำแนะนำและมาตรฐานสากลนี้ได้ให้แนวปฏิบัติอยู่บนพื้นฐานของมาตรฐาน ISO/IEC 27002 (ระเบียบปฏิบัติ ที่ 5 ถึง 18) โดยจำเพาะเจาะจงไปที่การพิจารณาความเสี่ยงและภัยที่อาจส่งผลต่อความปลอดภัยของข้อมูลสารสนเทศ ด้วยเหตุที่แนวปฏิบัติที่ระบุไว้ในมาตรฐาน ISO/IEC 27002 นั้นครอบคลุมทั้งการประมวลผลคอมพิวเตอร์แบบทั่วไปและแบบที่อยู่บนคลาวด์อยู่แล้ว ดังนั้นมาตรฐาน ISO/IEC 27017 จึงเป็นเหมือนแนวปฏิบัติเพิ่มเติมที่อิงบนมาตรฐาน ISO/IEC 27002 ได้อย่างสอดคล้องกัน เพื่อความสะดวกต่อการทำความเข้าใจและนำไปประยุกต์ใช้มาตรฐานนี้ จึงมีเนื้อหาในส่วนแรกที่เป็นการแนะนำคำจำกัดความและคำย่อที่ใช้ในการให้บริการคลาวด์ เช่น  capability, data breach, secure multi-tenancy, virtual Machine, IaaS, PaaS, PII, SaaS, SLA, VM

ขอบเขตของมาตรฐาน

สำหรับขอบเขตของมาตรฐาน ISO/IEC 27017 นั้นจะครอบคลุม หัวข้อที่สำคัญ 3 ข้อได้แก่

1. ความสัมพันธ์กับผู้ผลิตในการให้บริการคลาวด์ (Supplier relationships in cloud services)
2. ความสัมพันธ์ระหว่างผู้ใช้บริการคลาวด์ และผู้ให้บริการคลาวด์ (Relationships between cloud service customers and cloud services providers)
3. การจัดการความเสี่ยงด้านความปลอดภัยสารสนเทศในบริการคลาวด์ (Managing information security risks in cloud services)

โครงสร้างของมาตรฐาน

โครงสร้างของมาตรฐาน ISO/IEC 27017:2015 เหมือนกับโครงสร้างของ  ISO/IEC 27002  โดยมีสิ่งที่เพิ่มเติมคือ การระบุวิธีประยุกต์ใช้ระเบียบปฏิบัติที่ 5 ถึง 18 ของ ISO/IEC 27002 โดยมีแนวปฏิบัติ 2 รูปแบบ ดังนี้ แบบที่ 1: ใช้สำหรับแสดงผลแนวปฏิบัติของผู้ใช้บริการคลาวด์ และผู้ให้บริการคลาวด์ แบบแยกส่วนกัน เช่น แบบที่ 2: ใช้สำหรับแสดงผลแนวปฏิบัติที่ใช้ได้ทั้งผู้ใช้บริการคลาวด์และผู้ให้บริการคลาวด์ เช่น

การดำเนินการ

ผู้ที่สนใจขอรับรองมาตรฐาน ISO/IEC 27017:2015 ต้องดำเนินการตามข้อกำหนด ดังนี้

1. ผู้ให้บริการ และผู้ใช้บริการดำเนินการจัดทำระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (Information Security Management System) ตามมาตรฐาน ISO/IEC 27001:2013 และผ่านการรับรอง จากนั้นจึงจัดทำ ISO/IEC 27017
2. ดำเนินการการจัดทำ ISO/IEC 27017 โดยอ้างอิงข้อกำหนดตาม ISO 27002 ดังนี้

• Information Security policies
• Organization of information security
• Human resource security
• Asset management
• Access control
• Cryptography
• Physical and environmental security
• Operation security
• Communications security
• System acquisition, development and maintenance
• Supplier relationships
• Information security incident management
• Information security aspects of business continuity management
• Compliance

ทั้งนี้แนวทางในการพิจารณาเลือกมาตรการควบคุมมาปรับใช้ขึ้นอยู่กับผู้ให้บริการ และผู้ใช้บริการตามความเหมาะสม ซึ่งขอยกตัวอย่าง ดังนี้

สำหรับบริษัทหรือองค์กรใดที่ต้องการทราบข้อมูลเพิ่มเติมหรือต้องการขอรับรองมาตรฐาน ISO/IEC 27017:2015 เอซีอินโฟเทคพร้อมเป็นที่ปรึกษาให้กับองค์กรของท่าน สอบถามเพิ่มเติม services@acinfotec.com หรือ โทร. 02 670 8980 ถึง 3 (จันทร์ – ศุกร์, 9:00 – 18:00 น.)