ปกป้ององค์กรจากความเสี่ยงภายนอกด้วยการจัดการผู้ให้บริการอย่างมั่นคงปลอดภัย
เจาะลึก ISO 27001 Episode 2 Securing the Extended Enterprise: Managing Supplier and ICT Supply Chain Risks
ในยุคที่องค์กรพึ่งพาผู้ให้บริการและเทคโนโลยีภายนอกมากขึ้น ความเสี่ยงด้านความมั่นคงปลอดภัยจึงขยายออกไปสู่ซัพพลายเชนทั้งระบบ การบริหารจัดการผู้ให้บริการ (Supplier) และความมั่นคงของซัพพลายเชน ICT จึงเป็นประเด็นสำคัญที่ต้องควบคุมอย่างเป็นระบบ บทความนี้จะพาคุณเจาะลึกแนวทางประยุกต์ใช้ Controls ของ ISO 27001 มีอะไรบ้าง ที่เกี่ยวข้อง เพื่อประเมิน ควบคุม และติดตามความเสี่ยงจากคู่ค้าได้อย่างมีประสิทธิภาพ พร้อมตัวอย่างแนวปฏิบัติที่สามารถนำไปใช้ได้จริง โดย ISO 27001 ได้กำหนด Controls สำหรับการจัดการซัพพลายเชนไว้อย่างชัดเจน ดังนี้
🔹A.5.19 — ความมั่นคงปลอดภัยของข้อมูลในความสัมพันธ์กับผู้ให้บริการ (Information Security in Supplier Relationships)
สรุป:
องค์กรต้องสร้างความเชื่อมั่นว่าผู้ให้บริการ (Supplier) ที่เกี่ยวข้องกับข้อมูลหรือระบบสารสนเทศมีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสมตลอดระยะเวลาความสัมพันธ์ทางธุรกิจ
ตัวอย่าง:
- ตรวจสอบว่าบริษัท Outsource Call Center มีนโยบายปกป้องข้อมูลลูกค้าตามที่กำหนดไว้
- กำหนดให้ Supplier ที่เข้าถึงข้อมูลบริษัท ต้องผ่านการประเมินความปลอดภัยก่อนทำสัญญา
ประโยชน์:
- ลดความเสี่ยงจากข้อมูลรั่วไหลผ่าน Third Party
- ช่วยสร้างมาตรฐานความปลอดภัยในห่วงโซ่อุปทาน (Supply Chain Security)
🔹 A.5.20 — การจัดการประเด็นความมั่นคงปลอดภัยข้อมูลภายในสัญญากับผู้ให้บริการ (Addressing Information Security within Supplier Agreements)
สรุป:
องค์กรต้องรวมข้อกำหนดด้านความมั่นคงปลอดภัยของข้อมูลไว้ในสัญญากับ Supplier เช่น เงื่อนไขการเก็บรักษาข้อมูล, การแจ้งเหตุการณ์ผิดปกติ, การประเมินผลการปฏิบัติตาม
ตัวอย่าง:
- เพิ่มข้อกำหนดให้ Supplier ต้องแจ้งเหตุ Data Breach ภายใน 24 ชั่วโมง
- กำหนดให้ Supplier ต้องปฏิบัติตาม ISO 27001 หรือมาตรฐานที่องค์กรระบุ
ประโยชน์:
- มีหลักฐานและข้อผูกพันทางกฎหมายชัดเจน
- ช่วยบังคับใช้มาตรการความปลอดภัยได้จริงเมื่อมีเหตุการณ์
🔹A.5.21 — การจัดการความมั่นคงปลอดภัยของข้อมูลในห่วงโซ่อุปทาน ICT (Managing Information Security in the ICT Supply Chain)
สรุป:
องค์กรต้องบริหารความเสี่ยงความมั่นคงปลอดภัยในห่วงโซ่อุปทานของ ICT (เช่น ผู้ผลิตฮาร์ดแวร์, ผู้พัฒนาซอฟต์แวร์, ผู้ให้บริการคลาวด์) ให้ครอบคลุมทั้งต้นน้ำจนถึงปลายน้ำ
ตัวอย่าง:
- ประเมิน Vendor ด้าน Cloud ที่องค์กรใช้ ว่ามีมาตรการป้องกันข้อมูลเพียงพอหรือไม่
- กำหนดว่าผู้ให้บริการต้องจัดทำการประเมินความเสี่ยง Supply Chain แบบประจำปี
ประโยชน์:
- ลดความเสี่ยงจาก Supply Chain Attack หรือ Malware ฝังมากับผลิตภัณฑ์/บริการ
- เสริมความมั่นคงของระบบโดยรวมแม้พึ่งพาบุคคลภายนอก
🔹A.5.22 — การตรวจสอบ ทบทวน และการจัดการการเปลี่ยนแปลงบริการของผู้ให้บริการ (Monitoring, Review and Change Management of Supplier Services)
สรุป:
องค์กรต้องมีการตรวจสอบ, ทบทวนผลการปฏิบัติงาน และจัดการการเปลี่ยนแปลงใด ๆ ที่เกี่ยวข้องกับบริการของ Supplier เพื่อให้แน่ใจว่าความมั่นคงปลอดภัยยังคงได้รับการดูแลอย่างเหมาะสม
ตัวอย่าง:
- จัดทำแผนตรวจประเมิน Supplier รายปี เช่น ตรวจ Audit Logs, ตรวจ Compliance ของ SLA ด้าน Security
- เมื่อ Supplier เปลี่ยนระบบ Infrastructure ต้องรีวิวความเสี่ยงใหม่ก่อนอนุมัติ
ประโยชน์:
- ตรวจพบปัญหาได้ก่อนที่จะกระทบต่อข้อมูลสำคัญ
- ปรับปรุงข้อตกลงการบริการ (Service Agreements) ให้สอดคล้องกับสถานการณ์ใหม่ ๆ
ความสัมพันธ์ระหว่าง A.5.19 – A.5.22 ตามมาตรฐาน ISO 27001 มีอะไรบ้าง
| ลำดับ | ความสัมพันธ์ |
| 1 | A.5.19 กำหนดความสำคัญของ Information Security ตั้งแต่เริ่มสร้างความสัมพันธ์กับ Supplier |
| 2 | A.5.20 กำหนดรายละเอียดใน “สัญญา” เพื่อบังคับใช้ข้อกำหนดความปลอดภัย |
| 3 | A.5.21 ขยายมุมมองไปยัง “Supply Chain” ทั้งระบบ ICT ไม่ใช่แค่ Supplier ตรงหน้า |
| 4 | A.5.22 ติดตาม ตรวจสอบ และจัดการการเปลี่ยนแปลงที่เกิดขึ้นตลอดการทำสัญญา |
สรุปภาพรวม:
“เริ่มตั้งแต่เลือก Supplier ➡ เขียนข้อกำหนดในสัญญา ➡ บริหารความเสี่ยง Supply Chain ➡ ติดตามและปรับปรุงตลอดอายุสัญญา”
