ควบคุมสิทธิ์อย่างมั่นใจ ป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต
เจาะลึก ISO 27001 Controls Episode 1
Access & Identity Under Control: Managing Who Gets In, What They See, and What They Can Do
ในยุคดิจิทัลที่ข้อมูลเป็นทรัพยากรสำคัญของทุกองค์กร การควบคุมและจำกัดสิทธิ์การเข้าถึงข้อมูลอย่างเหมาะสมไม่ใช่แค่ทางเลือก แต่เป็น “หัวใจ” ของการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศอย่างยั่งยืน ISO 27001 จึงกลายเป็นมาตรการพื้นฐานที่ทุกองค์กรควรให้ความสำคัญอย่างยิ่ง บทความนี้จะพาคุณไปทำความเข้าใจถึงแนวทางการนำ มาตรการควบคุม ISO 27001 Controls ของมาตรฐานดังกล่าว มาประยุกต์ใช้กับการบริหารจัดการสิทธิ์การเข้าถึงข้อมูล ตั้งแต่การกำหนดบทบาท การมอบหมายสิทธิ์ ไปจนถึงการทบทวนและเพิกถอนการเข้าถึง พร้อมตัวอย่างแนวปฏิบัติที่ใช้งานได้จริงจากองค์กรชั้นนำ ซึ่งเวอร์ชันล่าสุดได้กำหนดแนวทางที่ชัดเจนมากยิ่งขึ้นในการควบคุมด้าน IAM ซึ่งเป็นส่วนสำคัญของระบบการบริหารจัดการความมั่นคงปลอดภัยของข้อมูล (ISMS) ที่องค์กรสามารถนำไปใช้เพื่อยกระดับความมั่นคง ปฏิบัติตามข้อกำหนด และลดความเสี่ยงจากภัยคุกคามที่เกิดจากการเข้าถึงที่ไม่เหมาะสมหรือไม่ได้รับอนุญาต
🔹 A.5.15 — การควบคุมการเข้าถึง (Access Control)
สรุป:
องค์กรควรมีการกำหนดแนวทางที่ชัดเจนในการควบคุมการเข้าถึงข้อมูลและทรัพย์สินสารสนเทศ เพื่อให้แน่ใจว่ามีเพียงบุคคลที่ได้รับอนุญาตเท่านั้นที่สามารถเข้าถึงระบบ ข้อมูล หรือฟังก์ชันเฉพาะได้อย่างเหมาะสม โดยต้องครอบคลุมทั้งการกำหนดนโยบาย การบังคับใช้ (enforcement) เพื่อให้แน่ใจว่ามีการเข้าถึงข้อมูลและทรัพย์สินเฉพาะผู้ที่มีสิทธิ์เท่านั้น
ตัวอย่าง:
- กำหนดว่าสมาชิกฝ่ายบัญชีเข้าถึงได้เฉพาะระบบบัญชี ไม่สามารถเข้าถึงระบบ HR ได้
- ใช้ระบบ Role-Based Access Control (RBAC) เพื่อกำหนดสิทธิ์การเข้าถึงตามหน้าที่การทำงาน
ประโยชน์:
- ลดโอกาสการรั่วไหลของข้อมูลจากบุคคลที่ไม่เกี่ยวข้อง
- สนับสนุนหลักการ “Need to Know” และ “Least Privilege”
🔹 A.5.16 — การจัดการตัวตน (Identity Management)
สรุป:
องค์กรจำเป็นต้องมีระบบที่สามารถ สร้าง จัดการ และยืนยันตัวตนของผู้ใช้งาน (Identities) ได้อย่างปลอดภัยและมีประสิทธิภาพตลอดวงจรชีวิตของตัวตนนั้น การบริหารจัดการตัวตนอย่างรัดกุมช่วยให้สามารถควบคุมว่าใครสามารถเข้าถึงข้อมูลหรือระบบใดได้บ้าง ป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต และลดความเสี่ยงจากภัยคุกคามทั้งภายในและภายนอก
ตัวอย่าง:
- มีระบบ Identity Management สำหรับสร้างบัญชีใหม่, อัปเดตข้อมูล, ระงับบัญชีเมื่อพนักงานลาออก
- ผูกบัญชีผู้ใช้กับ HR System เพื่อให้มีการ Provisioning และ De-provisioning อัตโนมัติ
ประโยชน์:
- ลดความเสี่ยงจากบัญชีที่ไม่ใช้งาน (orphaned accounts)
- เพิ่มความรวดเร็วและถูกต้องในการจัดการสิทธิ์ผู้ใช้
🔹 A.5.17 — ข้อมูลการพิสูจน์ตัวตน (Authentication Information)
สรุป:
องค์กรต้องให้ความสำคัญกับการ ปกป้องข้อมูลที่ใช้ในการพิสูจน์ตัวตน (authentication data) อย่างจริงจัง เนื่องจากข้อมูลประเภทนี้ถือเป็นจุดเปราะบางที่อาจถูกโจมตีได้ง่าย เช่น รหัสผ่าน (passwords), โทเคน (tokens), ใบรับรองดิจิทัล (certificates) และต้องจัดการให้อย่างปลอดภัย
ตัวอย่าง:
- กำหนดนโยบายการสร้างรหัสผ่านที่แข็งแรง (เช่น ต้องมีอักษรพิเศษ, ความยาวมากกว่า 12 ตัว)
- จัดเก็บรหัสผ่านแบบเข้ารหัส (Hash) ด้วยเทคนิคที่ปลอดภัย เช่น bcrypt
- ใช้ Hardware Token หรือ Mobile Authenticator แทนรหัสผ่านอย่างเดียว
ประโยชน์:
- ป้องกันการโจมตีแบบ Brute Force, Credential Stuffing
- รักษาความลับและความถูกต้องของกระบวนการพิสูจน์ตัวตน
🔹 A.5.18 — สิทธิ์การเข้าถึง (Access Rights)
สรุป:
องค์กรจำเป็นต้องมีแนวทางที่ชัดเจนและเป็นระบบในการ ให้สิทธิ์ ทบทวน และเพิกถอนการเข้าถึง ของผู้ใช้งานต่อข้อมูลและระบบสารสนเทศ เพื่อให้แน่ใจว่าผู้ใช้งานแต่ละรายสามารถเข้าถึงเฉพาะข้อมูลหรือระบบที่จำเป็นต่อหน้าที่และสถานะการทำงานของตนเท่านั้น
ตัวอย่าง:
- ทบทวนสิทธิ์การเข้าถึงของพนักงานทุก 6 เดือน
- เพิกถอนสิทธิ์การเข้าระบบทันทีเมื่อมีการลาออกหรือเปลี่ยนตำแหน่ง
- ใช้ระบบ Self-Service Access Request + Approval Workflow เพื่อควบคุมการให้สิทธิ์ใหม่
ประโยชน์:
- ลดความเสี่ยงจาก “สิทธิ์เกินความจำเป็น” (Privilege Creep)
- ป้องกันการเข้าถึงข้อมูลหรือระบบโดยบุคคลที่ไม่ควรเข้าถึง
ความสัมพันธ์ระหว่าง ISO 27001 Controls A.5.15 – A.5.18
| ลำดับ | ความสัมพันธ์ |
| 1 | A.5.15 กำหนดนโยบาย ว่าใครควรเข้าถึงอะไร และอย่างไร |
| 2 | A.5.16 จัดการตัวตน ของผู้ใช้เพื่อเชื่อมโยงกับนโยบายการเข้าถึง |
| 3 | A.5.17 คุ้มครองข้อมูลการพิสูจน์ตัวตน ที่ผู้ใช้ใช้เข้าสู่ระบบหรือบริการ |
| 4 | A.5.18 บริหารจัดการสิทธิ์การเข้าถึง ให้สอดคล้องกับบทบาทหน้าที่และปรับปรุงตามการเปลี่ยนแปลง |
