Compliance and Regulatory Frameworks กรอบความปลอดภัยแบบไหนเหมาะกับคุณ
Compliance and Regulatory Frameworks กรอบความปลอดภัยแบบไหนเหมาะกับคุณ
แนวทางและแนวการปฏิบัติที่ดี ที่มีอิทธิพลต่อองค์กรในปัจจุบัน
At a Glance:
กรอบการปฏิบัติตามกฎระเบียบและข้อบังคับคือแนวทางการปฏิบัติที่ดีที่สุดขององค์กร เพื่อให้ให้องค์กรสามารถปรับปรุงกระบวนการเสริมสร้างความปลอดภัยและบรรลุวัตถุประสงค์ทางธุรกิจได้ในอีกหลายๆด้าน “ตัวอย่างเช่น บริษัทของเอกชนเสนอขายโซลูชั่นระบบคลาวด์ให้กับหน่วยงานของรัฐ การดำเนินการกฎระเบียบที่วางเอาไว้จะช่วยส่งเสริมให้ธุรกิจประสบความสำเร็จได้เป็นอย่างดี”
กรอบการปฏิบัติเหล่านี้จะส่งผลให้การสื่อสารกันระหว่างห้องเซิร์ฟเวอร์ไปยังห้องทำงานได้อย่างราบรื่น โดยมาตรฐานของกฎระเบียบและข้อบังคับนี้จะใช้ประโยชน์ได้โดย
- ผู้ตรวจสอบภายในองค์กรและผู้มีส่วนได้ส่วนเสียภายในองค์กร จะสามารถใช้กรอบการปฏิบัตินี้ “เพื่อประเมินและควบคุมภายในองค์กรได้”
- ผู้ตรวจสอบและประเมินจากภายนอกสามารถใช้ “กรอบการปฏิบัติ” เหล่านี้ในการประเมินเพื่อรับรองการทำงานขององค์กรได้อีกด้วย
- บุคคลภายนอกอื่นๆเช่น “ลูกค้า นักลงทุน หรือกลุ่มธุรกิจอื่นๆ” จะสามารถนำมาใช้ประเมินความเสี่ยงที่อาจจะเกิดขึ้นภายในองค์กรได้อีกด้วย
การปฏิบัติตามกรอบข้อบังคับที่จะสามารถเปลี่ยนแปลงและปรับแต่งให้เข้ากับสภาพแวดล้อมที่เปลี่ยนไปตลอดเวลา ซึ่งประสิทธิภาพในการควบคุมอาจจะลดลงได้เช่นเดียวกัน “การเฝ้าติดตามการเปลี่ยนแปลงอยู่เป็นประจำคือสิ่งที่จะช่วยให้ควบคุมความปลอดภัยได้” ซึ่งหากคุณทำงานร่วมกันกับทีมรักษาความปลอดภัยของข้อมูล (IS) นี่คือกรอบการดูแลที่คุณอาจจะได้พบ
Sarbanes-Oxley (SOX)
– ทำไมถึงต้องมี SOX ? ตามที่ Sarbanes-Oxley Act ได้มีการรับรองในปี 2545 ซึ่งจะได้รับการรับรองในการป้องกันการคุกคาม ภายหลังเรื่องราวที่เกิดขึ้นใน Enron, WorldCom และ Tyco ที่ได้รับผลกระทบในเรื่องของความไว้วางใจจากนักลงทุน
- หากคุณเป็นส่วนหนึ่งของ IS จะมีผลต่อคุณอย่างไร ? มีข้อกำหนดด้านความปลอดภัยที่หลากหลายเลยทีเดียวสำหรับแอพพลิเคชั่นและระบบที่ใช้การประมวลข้อมูลทางการเงิน โดยจะเป็นการควบคุมด้านระบบไอทีทั่วไป (ITGCs) โดยการควบคุมแบบ Entity-Level จำเป็นที่ต้องได้รับการจัดการโดย IS team
- กรอบการทำงานในลักษณะนี้ เหมาะสมกับองค์กรประเภทใด ? กรอบตามการควบคุมนี้จะเหมาะกับบริษัทมหาชนทั่วไป และบริษัทที่เกี่ยวกับงานเงิน และตลอดหุ้น (IPO)
PCI DSS
- ทำไมถึงต้องมี ? The Payment Card Industry Data Security Standard (PCI DSS) เป็นกรอบควบคุมสำหรับปกป้องความปลอดภัยของข้อมูลผู้ถือบัตรอิเล็กทรอนิกส์ ซึ่งการควบคุมในรูปแบบนี้จำเป็นสำหรับองค์กรที่ให้บริการเกี่ยวกับบัตรเครดิต โดยจะมีกรอบควบคุมความปลอดภัยที่องค์กรจะต้องดำเนินภายใต้ PCI DSS เพื่อรักษาข้อมูลของลูกค้าให้สูงที่สุด
- หากคุณเป็นส่วนหนึ่งของ IS จะมีผลต่อคุณอย่างไร ? นอกจากการปฏิบัติตามกฎทั่วไปของ PCI DSS แล้วนั้น คุณอาจจะต้องกรอกเอกสารในการประเมินผลด้วยตัวเอง เกี่ยวกับความปลอดภัยของเครือข่ายเป็นรายไตรมาสอีกด้วย
- กรอบการทำงานในลักษณะนี้ เหมาะสมกับองค์กรประเภทใด ? เหมาะกับผู้ให้บริการบัตรชำระเงิน ระบบด้านการชำระเงิน ธนาคาร และนักพัฒนาซอฟต์แวร์ด้านการเงิน
NIST
- ทำไมถึงต้องมี ? มีความแตกต่างกันอยู่พอสมควรกับกรอบการควบคุมแบบ SOX โดยการควบคุมแบบ NIST ไม่ใช่เป็นตัวที่มีการรับรองมาตรฐานด้านเทคโนโลยีแห่งชาติเหมือนกรอบอื่นๆ แต่ซึ่งกรอบการควบคุมแบบ NIST เป็นส่วนหนึ่งของหน่วยงานหอการค้าประเทศสหรัฐอเมริกา โดยจะครอบคลุมมาตรฐานด้านการควบคุมด้านคุณภาพและการรักษาความปลอดภัย ซึ่งได้ร่วมมือกับผู้เชี่ยวชาญด้านความปลอดภัยหน่วยงานภาครัฐอื่นๆ ด้วยเช่นเดียวกัน โดยในปัจจุบันนี้หลายองค์กรเลือกใช้แนวทาง NIST ในการจัดการและลดความเสี่ยงด้านความปลอดภัยในโลกไซเบอร์กันอีกด้วย
- หากคุณเป็นส่วนหนึ่งของ IS จะมีผลต่อคุณอย่างไร ? หากคุณอยู่ในทีม IS ขององค์กรที่ใช้ NIST คุณจะมีบทบาทใหญ่ในและบังคับใช้การควบคุมตามมาตรฐาน โดยจะให้ความสำคัญการความถีในการแสกนหาช่องโหว่ตามคำแนะนำที่กำหนดไว้ใน “NIST 800-53 Risk Assessment RA 5”
- กรอบการทำงานในลักษณะนี้ เหมาะสมกับองค์กรประเภทใด ? โดยทั่วไปจะถูกใช้ในองค์กรภาคธุรกิจทั่วไปรวมไปถึงองค์กรขนาดใหญ่ทั้งภาครัฐและเอกชน ที่กรอบนี้จะสามารถสร้างประโยชน์ในการประเมินและความเสี่ยงในโลกไซเบอร์ได้เป็นอย่างดี
SSAE-16
- ทำไมถึงต้องมี ? Statement on Standards for Attestation Engagements No. 16 (SSAE-16) สามารถใช้ตรวจสอบและควบคุมเกี่ยวกับแอปพลิเคชั่นและโครงสร้างพื้นฐานแอปพลิเคชั่น ที่ซึ่งส่งผลกระทบต่อระบบการเงิน
- หากคุณเป็นส่วนหนึ่งของ IS จะมีผลต่อคุณอย่างไร ? กรอบการทำงานของ SSAE-16 จะแสดงแนวทางการปฏิบัติที่สำคัญที่สุดภายใต้กรอบ SOX ที่องค์กรได้เลือกใช้ ซึ่งผู้มีส่วนได้ส่วนเสียภายในองค์กรจะต้องตรวจสอบรายงาน SOC1 สำหรับแต่ละแอปพลิเคชั่น ที่อยู่ภายใต้กรอบควบคุมของ SOX (โดยทั่วไปคือการนำไปใช้กับแอปพลิเคชั่นที่ประมวลผลข้อมูลทางการเงิน) และหลังการตรวจสอบแล้วผู้ที่มีหน้ารับผิดชอบจะต้องประเมินผลว่า “องค์กรสามารถรับความเสี่ยงที่เกี่ยวข้องได้หรือไม่”
- กรอบการทำงานในลักษณะนี้ เหมาะสมกับองค์กรประเภทใด ? มักจะถูกใช้ในองค์กรที่ดำเนินธุรกิจด้านแอปพลิเคชั่นระบบการเงิน และองค์กรที่อยู่ในกรอบการทำงานแบบ SOC 1 และ SOX
HIPAA/HITECH
- ทำไมถึงต้องมี ? HIPAA/HITECH จะถูกใช้ในการรักษา และลดการรั่วไหลของข้อมูลด้านสุขภาพของลูกค้า
- หากคุณเป็นส่วนหนึ่งของ IS จะมีผลต่อคุณอย่างไร ? ทีมที่ดูแลความปลอดภัยจะใช้กรอบนี้ในการควบคุมความปลอดภัย จัดเก็บ และประมวลผล Personal Health Information (PHI) หรือข้อมูลด้านสุขภาพภายในโรงพยาบาล คลินิก และบริษัทประกันภัย
- กรอบการทำงานในลักษณะนี้ เหมาะสมกับองค์กรประเภทใด ? เหมาะสำหรับองค์กรที่ต้องรวบรวมข้อมูลด้าน Personal Health Information (PHI) ของลูกค้าเอาไว้
จากที่ได้กล่าวถึงทั้งหมดนี้เป็นเพียงส่วนหนึ่งของกรอบการปฏิบัติเพื่อควบคุมความปลอดภัยภายในองค์กร ซึ่งการปฏิบัติตามกรอบและติดตามการรายงานผลอยู่อย่างสม่ำเสมอ จะยิ่งช่วยให้องค์กรสร้างความปลอดภัยที่ดีและมีประสิทธิภาพได้มากยิ่งขึ้นอย่างแน่นอน
Reference : https://www.rapid7.com/fundamentals/compliance-regulatory-frameworks/