คู่มือการบริหารจัดการข้อมูลส่วนบุคคลตามมาตรฐาน ISO 27701:2019

ข้อกำหนดและแนวปฏิบัติสำหรับการบริหารจัดการข้อมูลส่วนบุคคล

ISO 27701 คืออะไร


    ISO ได้มีการประกาศมาตรฐานใหม่ ISO/IEC 27701:2019 (Privacy Information Management System : PIMS) ซึ่งเป็นส่วนเพิ่มเติมจาก ISO/IEC 27001:2013 (Information Security Management System : ISMS) ทั้งนี้ได้จัดทำขึ้นเพื่อเป็นแนวทางให้องค์กรสามารถบริหารจัดการข้อมูลส่วนบุคคลได้อย่างมีประสิทธิภาพอย่างมั่นคงปลอดภัย และนำไปประยุกต์ใช้เพื่อให้สอดคล้องกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ได้ด้วย ซึ่ง ISO/IEC 27701: 2019 (Privacy Information Management System : PIMS) หรือระบบบริหารจัดการข้อมูลส่วนบุคคล จะมีอะไรที่เพิ่มเติมบ้าง ไปดูกันเลย

    ISO 27001 จะเน้นไปที่เรื่องของการรักษาความมั่งคงปลอดภัยสำหรับสารสนเทศเป็นหลัก แต่ในส่วนของ ISO 27701 นั้นจะเพิ่มเติมมุมมองในเรื่องของ “Privacy” เข้ามา ไม่ว่าจะเป็นในส่วนของ Clause 5.2 Context of the organization ที่เป็นเนื้อหาเกี่ยวกับการพิจารณาปัจจัยภายใน และภายนอกขององค์กร โดยใน ISO 27701 จะต้องพิจารณาเพิ่มเติมในเรื่องของบทบาทหน้าที่ว่าองค์กรนั้น เป็นผู้ควบคุมข้อมูล หรือผู้ประมวลผลข้อมูล เป็นต้น ในส่วนของ Clause 5.4.1.2 Define Information security risk assessment and privacy risk assessment process ที่เป็นเนื้อหาเกี่ยวการประเมินความเสี่ยง ซึ่งใน ISO 27701 ก็จะมีในเรื่องของการพิจารณาความเสี่ยงที่เกี่ยวข้องกับ Privacy Risks ให้ครอบคลุมทั้งการ Identifies, Analyses และ Evaluates ด้วย

    เป็นต้น รวมไปถึง ส่วนของ Control จะแยกเป็นสองส่วนอย่างชัดเจน ก็คือ Control สำหรับผู้ควบคุมข้อมูล (Annex A (normative)) และ Control สำหรับผู้ประมวลผลข้อมูล (Annex B (normative)) โดยจุดประสงค์หลักเพื่อให้องค์กรสามารถเลือก Control ที่เหมาะสมกับหน้าที่ของตนเองและนำไปปรับใช้ให้ตรงกับวัตถุประสงค์ของการทำงานทั้งในเรื่องของการเก็บ รวบรวม เปิดเผย และการส่งต่อข้อมูลส่วนบุคคลต่อไป

    6.    แนวทางปฏิบัติสำหรับการบริหารจัดการข้อมูลส่วนบุคคล (PIMS-specific guidance related to ISO/IEC 27002)
    6.1    บททั่วไป (General)
    แนวทางปฏิบัติใน ISO/IEC 27002:2013 ซึ่งเป็นแนวทางปฏิบัติสำหรับการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ จำเป็นต้องมีเนื้อหาเพิ่มเติมสำหรับนำไปใช้ในด้านการคุ้มครองข้อมูลส่วนบุคคล

    หมายเหตุ 1 ความมั่นคงปลอดภัยสารสนเทศ (ตามที่ได้ระบุในมาตรฐาน ISO/IEC 27002:2013) ในเอกสารฉบับนี้จะหมายถึงความมั่นคงปลอดภัยสารสนเทศซึ่งรวมถึงการคุ้มครองข้อมูลส่วนบุคคลด้วย

    วัตถุประสงค์และการควบคุมทั้งหมดต้องได้รับการพิจารณาในบริบทของความเสี่ยงต่อความมั่นคงปลอดภัยสารสนเทศรวมถึงความเสี่ยงต่อความเป็นส่วนตัวที่เกี่ยวข้องกับการประมวลผล ข้อมูลส่วนบุคคล

    หมายเหตุ 2 เว้นแต่ระบุไว้ในหัวข้อที่ 6 หรือกำหนดโดยองค์กรตามอำนาจศาลที่บังคับใช้แนวทางการปฏิบัติที่เหมือนกันนี้สำหรับการควบคุม ข้อมูลส่วนบุคคล และการประมวลผล ข้อมูลส่วนบุคคล

    6.2    นโยบายด้านความมั่นคงปลอดภัยสารสนเทศ (Information security policies)
    6.2.1    ทิศทางการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (Management direction for information security)
    6.2.1.1 นโยบายด้านความมั่นคงปลอดภัยสารสนเทศ
    (Policies for information security)
        
    ใช้ข้อกำหนดที่ระบุใน ISO/IEC 27002:2013 ข้อ 5.1.1 ดังนี้

    องค์กรจะต้องกำหนด นโยบายด้านความมั่นคงปลอดภัยสารสนเทศ ซึ่งต้องได้รับการอนุมัติจากผู้บริหาร และต้องสอดคล้องกับวัตถุประสงค์ด้านความมั่นคงปลอดภัยสารสนเทศ

    นโยบายด้านความมั่นคงปลอดภัยสารสนเทศจะต้องระบุข้อกำหนดที่ถูกกำหนดโดย
    a)    กลยุทธ์ทางธุรกิจ
    b)    ข้อบังคับ กฎหมาย และสัญญา
    c)    สภาพแวดล้อม การคุกคามความมั่นคงปลอดภัยสารสนเทศในปัจจุบัน และที่คาดการณ์ไว้

    นโยบายด้านความมั่นคงปลอดภัยสารสนเทศจะต้องมีข้อความเกี่ยวกับ
    a)    คำจำกัดความของความมั่นคงปลอดภัยสารสนเทศ วัตถุประสงค์ และหลักการเพื่อเป็นแนวทางสำหรับกิจกรรมทั้งหมดที่เกี่ยวข้องกับความมั่นคงปลอดภัยสารสนเทศ
    b)    มอบหมายความรับผิดชอบทั่วไป และความรับผิดชอบที่เฉพาะเจาะจงสำหรับการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ
    c)    กระบวนการสำหรับการจัดการความผิดปกติ

    นโยบายด้านความมั่นคงปลอดภัยสารสนเทศจะต้องมีหัวข้อขั้นต่ำที่ครอบคลุมหัวข้อที่เฉพาะเจาะจงในการดำเนินงานเกี่ยวกับความมั่นคงปลอดภัยสารสนเทศ และจะต้องตอบสนองความต้องการของกลุ่มเป้าหมายภายในองค์กร 

    ตัวอย่างของหัวข้อของนโยบายดังกล่าว
    a)    การควบคุมการเข้าถึง
    b)    การจัดการ และจัดระดับชั้นความลับของข้อมูล
    c)    การสร้างความมั่นคงปลอดภัยด้านกายภาพ และสภาพแวดล้อม
    d)    หัวข้อที่มุ่งเน้นไปยังผู้ใช้งาน เช่น
    1)    การใช้งานทรัพย์สินสารสนเทศอย่างถูกต้องปลอดภัย
    2)    การจัดโต๊ะทำงาน และหน้าจอคอมพิวเตอร์ให้ปลอดภัย
    3)    การถ่ายโอนข้อมูล
    4)    การใช้งานอุปกรณ์คอมพิวเตอร์ประเภทพกพา และการปฏิบัติงานจากภายนอกบริษัท
    5)    การควบคุมการติดตั้ง และใช้งานซอฟต์แวร์
    e)    การสำรองข้อมูล
    f)    การถ่ายโอนข้อมูล
    g)    การป้องกันภัยคุกคามจากโปรแกรมไม่ประสงค์ดี
    h)    การจัดการช่องโหว่ทางเทคนิค
    i)    การควบคุมการเข้ารหัสข้อมูล
    j)    การรักษาความมั่นคงปลอดภัยด้านการสื่อสารและระบบเครือข่ายคอมพิวเตอร์
    k)    การป้องกันข้อมูลส่วนบุคคล
    l)    การควบคุมดูแลผู้ให้บริการภายนอก

    นโยบายจะต้องถูกสื่อสารไปยังพนักงาน และบุคคลภายนอกที่เกี่ยวข้อง ซึ่งนโยบายดังกล่าวจะต้องอยู่ในลักษณะที่ให้ผู้ใช้งานเข้าถึงได้ง่าย เพื่อให้บุคลากรที่เกี่ยวข้องทราบ และถือปฏิบัติเป็นไปตามที่นโยบายกำหนด

    แนวทางปฏิบัติเพิ่มเติมสำหรับ ข้อ 5.1.1 นโยบายด้านความมั่นคงปลอดภัยสารสนเทศของ ISO/IEC 27002:2013 คือ
    ไม่ว่าจะเป็นการจัดทำนโยบายด้านความเป็นส่วนตัวออกที่แยกออกมา หรือโดยเพิ่มในนโยบายด้านความมั่นคงปลอดภัยสารสนเทศ องค์กรควรจัดทำเอกสารที่สนับสนุน และมุ่งมั่นที่จะบรรลุการปฏิบัติตามกฎหมายคุ้มครอง ข้อมูลส่วนบุคคล ที่บังคับใช้และ/หรือ กฎระเบียบ และข้อกำหนดตามสัญญาที่ตกลงไว้ระหว่างองค์กร ผู้ทำสัญญารับช่วง บุคคลที่สาม (ลูกค้า ผู้ผลิต ฯลฯ) ซึ่งควรกำหนดความรับผิดชอบอย่างชัดเจนระหว่างกัน

    แนวทางปฏิบัติเพิ่มเติมอื่นสำหรับ ข้อ 5.1.1 นโยบายด้านความมั่นคงปลอดภัยสารสนเทศของ ISO/IEC 27002:2013 คือ
    องค์กรใด ๆ ที่ประมวลผลข้อมูลส่วนบุคคล ไม่ว่าจะเป็นผู้ควบคุมดูแลการใช้ข้อมูลส่วนบุคคล หรือผู้ดำเนินการประมวลผลข้อมูลส่วนบุคคล ต้องพิจารณากฎหมายคุ้มครองข้อมูลส่วนบุคคล ที่บังคับใช้และ/หรือ กฎระเบียบระหว่างที่มีการจัดทำ และการบำรุงรักษานโยบายด้านความมั่นคงปลอดภัยสารสนเทศ

    6.2.1.2 การทบทวนนโยบายด้านความมั่นคงปลอดภัยสารสนเทศ
        (Review of the policies for information security)

    ใช้ข้อกำหนดที่ระบุใน ISO/IEC 27002:2013 ข้อ 5.1.2 ดังนี้

    นโยบายแต่ละเล่มจะต้องมีผู้ที่ได้รับการอนุมัติให้มีความรับผิดชอบสำหรับการจัดทำ การทบทวน และการประเมินผลของนโยบาย การทบทวนจะต้องรวมถึงการประเมินโอกาสในการปรับปรุงนโยบายขององค์กร และแนวทางในการจัดการความมั่นคงปลอดภัยสารสนเทศเพื่อตอบสนองต่อการเปลี่ยนแปลงสภาพแวดล้อมขององค์กร สถานการณ์ทางธุรกิจ เงื่อนไขทางกฎหมาย หรือสภาพแวดล้อมทางเทคนิค

    การทบทวนนโยบายด้านความมั่นคงปลอดภัยสารสนเทศจะต้องนำผลการทบทวนของผู้บริหารมาพิจารณาด้วย

    นโยบายที่ถูกแก้ไขใหม่จะต้องได้รับการอนุมัติ

    6.3    โครงสร้างด้านความมั่นคงปลอดภัยสารสนเทศ (Organization of information security)
    6.3.1    โครงสร้างภายในองค์กร (Internal organization)
    6.3.1.1 บทบาท และหน้าที่ความรับผิดชอบด้านความมั่นคงปลอดภัยสารสนเทศ
            (Information security roles and responsibilities)

                ใช้ข้อกำหนดที่ระบุใน ISO/IEC 27002:2013 ข้อ 6.1.1 ดังนี้

    การแบ่งหน้าที่ความรับผิดชอบด้านความมั่นคงปลอดภัยสารสนเทศจะต้องปฏิบัติตามนโยบายความมั่นคงปลอดภัยสารสนเทศ ซึ่งต้องระบุความรับผิดชอบในการปกป้องทรัพย์สินส่วนบุคคล และการดำเนินการของกระบวนการที่เกี่ยวกับความมั่นคงปลอดภัยสารสนเทศ ต้องระบุความรับผิดชอบในกิจกรรมการบริหารความเสี่ยง และการยอมรับความเสี่ยงที่คงเหลือ ความรับผิดชอบเหล่านี้จะต้องถูกเสนอตามความจำเป็น

    บุคคลที่มีหน้าที่ความรับผิดชอบด้านความมั่นคงปลอดภัยสารสนเทศสามารถที่จะมอบหมายงานให้ผู้อื่นได้ อย่างไรก็ตามผู้ที่มอบหมายงานยังคงต้องรับผิดชอบ และตรวจสอบว่างานที่มอบหมายไปได้รับการดำเนินการอย่างถูกต้อง

    ต้องระบุขอบเขตสำหรับบุคคลที่มีหน้าที่ความรับผิดชอบ โดยจะต้องมีสิ่งเหล่านี้
    a)    ต้องระบุ และกำหนดทรัพย์สิน และกระบวนการความมั่นคงปลอดภัยสารสนเทศ
    b)    ต้องจัดทำเอกสารการระบุรายละเอียดความรับผิดชอบสำหรับหน่วยงานที่รับผิดชอบแต่ละทรัพย์สิน หรือกระบวนการความมั่นคงปลอดภัยสารสนเทศ
    c)    ต้องจัดทำเอกสารระบุระดับในการตัดสินใจ
    d)    ต้องมีการให้โอกาสในการพัฒนาความรู้ ความสามารถเพื่อให้ผู้ที่ได้รับมอบหมายหน้าที่ความรับผิดชอบสามารถปฏิบัติตามหน้าที่ทางด้านความมั่นคงปลอดภัยสารสนเทศได้อย่างถูกต้อง
    e)    ต้องจัดทำเอกสารระบุการประสานงานด้านความมั่นคงปลอดภัยสารสนเทศกับผู้ให้บริการภายนอก

    แนวทางปฏิบัติเพิ่มเติมสำหรับ ข้อ 6.1.1 บทบาท และหน้าที่ความรับผิดชอบด้านความมั่นคงปลอดภัยสารสนเทศของ ISO/IEC 27002:2013 คือ

    องค์กรจะต้องกำหนดผู้ประสานงานสำหรับลูกค้าที่เป็นผู้ดำเนินการประมวลผลข้อมูลส่วนบุคคล และเมื่อองค์กรเป็นผู้ควบคุมดูแลการใช้ข้อมูลส่วนบุคคล จะต้องกำหนดผู้ประสานงานสำหรับเจ้าของข้อมูลส่วนบุคคล ที่เกี่ยวข้องกับกระบวนการประมวลผลของข้อมูลส่วนบุคคล นั้น

    องค์กรจะต้องแต่งตั้งผู้ที่รับผิดชอบหนึ่งคน หรือมากกว่านั้นในการพัฒนา ดำเนินการ บำรุงรักษา และเฝ้าระวังเกี่ยวกับการกำกับดูแล และความเป็นส่วนตัวทั่วทั้งองค์กรเพื่อให้มั่นใจว่าสอดคล้องกับกฎหมาย และข้อบังคับทั้งหมดที่เกี่ยวข้องกับการดำเนินการของข้อมูลส่วนบุคคล

    หน้าที่ของผู้รับผิดชอบ
    -    มีความเป็นอิสระ และต้องรายงานโดยตรงกับผู้บริหารในแต่ละระดับที่เหมาะสมขององค์กร เพื่อให้มั่นใจในการจัดการความเสี่ยงด้านความเป็นส่วนตัวอย่างมีประสิทธิภาพ
    -    มีส่วนร่วมในการบริหารจัดการกับปัญหาทั้งหมดที่เกี่ยวข้องกับการประมวลผลของข้อมูลส่วนบุคคล
    -    เป็นผู้เชี่ยวชาญในกฎหมาย กฎระเบียบ และการปฏิบัติที่เกี่ยวกับการคุ้มครองข้อมูล
    -    ทำหน้าที่เป็นผู้ประสานงานสำหรับหน่วยงานกำกับดูแล
    -    แจ้งผู้บริหารระดับสูง และพนักงานขององค์กรเกี่ยวกับบทบาท และหน้าที่ในการดำเนินการเกี่ยวกับ ข้อมูลส่วนบุคคล
    -    ให้คำแนะนำในการประเมินผลกระทบความเป็นส่วนตัวที่ดำเนินการโดยองค์กร
    หมายเหตุ บุคคลที่เป็นเจ้าหน้าที่คุ้มครองข้อมูลตามเขตอำนาจตามกฎหมาย จะถูกกำหนดเมื่อตำแหน่ง และหน้าที่เหล่านี้จำเป็นที่จะต้องมี ซึ่งตำแหน่งนี้สามารถทำได้โดยพนักงาน หรือผู้ให้บริการภายนอก

    6.3.1.2 การแบ่งแยกหน้าที่
            (Segregation of duties)

    ใช้ข้อกำหนดที่ระบุใน ISO/IEC 27002:2013 ข้อ 6.1.2 ดังนี้

    จะต้องมีการแบ่งแยกหน้าที่งานและขอบเขตความรับผิดชอบตามตำแหน่งงานให้เหมาะสม เพื่อลดโอกาสในการเปลี่ยนแปลงแก้ไขทรัพย์สินขององค์กรโดยไม่ได้รับอนุญาต

    สำหรับองค์กรขนาดเล็กอาจยากต่อการแบ่งแยกหน้าที่ แต่ก็ควรที่จะแบ่งแยกเท่าที่เป็นไปได้ และปฏิบัติได้ แต่เมื่อใดก็ตามที่การแบ่งแยกหน้าที่นั้นไม่สามารถแยกได้ จะต้องมีการควบคุมอื่น ๆ เช่น การเฝ้าระวังกิจกรรมการทำงาน การบันทึกและจัดเก็บหลักฐานทั้งหมดจะต้องได้รับการพิจารณา

    6.3.1.3 การติดต่อกับผู้มีอำนาจหน้าที่
            (Contact with authorities)

    ใช้ข้อกำหนดที่ระบุใน ISO/IEC 27002:2013 ข้อ 6.1.3 ดังนี้

    องค์กรจะต้องมีขั้นตอนปฏิบัติที่ระบุผู้ที่มีอำนาจ เช่น ผู้บังคับใช้กฎหมาย หน่วยงานกำกับดูแล และต้องระบุวิธีในการติดต่อ และวิธีในการรายงานเหตุการณ์ด้านความมั่นคงปลอดภัยสารสนเทศ เช่น หากสงสัยว่าเหตุการณ์นั้นจะละเมิดต่อกฎหมาย

    6.3.1.4 การติดต่อกับกลุ่มผู้เชี่ยวชาญเฉพาะด้าน
        (Contact with special interest groups)

    ใช้ข้อกำหนดที่ระบุใน ISO/IEC 27002:2013 ข้อ 6.1.4 ดังนี้

    จะต้องมีข้อมูลสำหรับการติดต่อกับกลุ่มผู้เชี่ยวชาญเฉพาะด้านที่เกี่ยวข้องกับความมั่นคงปลอดภัยสารสนเทศ

    สมาชิกในกลุ่มผู้เชี่ยวชาญเฉพาะด้านจะถูกพิจารณาให้เป็นไปตามนี้
    a)    ปรับปรุงความรู้เกี่ยวกับแนวปฏิบัติที่เกี่ยวข้องกับความมั่นคงปลอดภัยสารสนเทศให้เป็นปัจจุบัน
    b)    ตรวจสอบให้มั่นใจว่าสภาพแวดล้อมสำหรับความมั่นคงปลอดภัยสารสนเทศนั้นเป็นปัจจุบัน และสมบูรณ์
    c) รับการแจ้งเตือนล่วงหน้าเพื่อให้คำแนะนำเกี่ยวกับโปรแกรมที่สามารถปิดช่องโหว่ (patches) อย่างเหมาะสม
    d) เป็นผู้เชี่ยวชาญให้คำแนะนำทางด้านความมั่นคงปลอดภัยสารสนเทศ
    e) แบ่งปัน และแลกเปลี่ยนข้อมูลเกี่ยวกับ เทคโนโลยี ผลิตภัณฑ์ ภัยคุกคาม หรือช่องโหว่ที่เกิดขึ้นมาใหม่
    f) จัดหาช่องทางในการติดต่อเพื่อจัดการกับเหตุการณ์ด้านความมั่นคงปลอดภัยสารสนเทศ



    6.3.1.5 ความมั่นคงปลอดภัยสารสนเทศในการบริหารจัดการโครงการ
    (Information security in project management)

            ใช้ข้อกำหนดที่ระบุใน ISO/IEC 27002:2013 ข้อ 6.1.5 ดังนี้

    ความมั่นคงปลอดภัยสารสนเทศจะต้องเป็นส่วนหนึ่งในการบริหารจัดการโครงการ เพื่อให้มั่นใจว่าความเสี่ยงทางด้านความมั่นคงปลอดภัยสารสนเทศนั้นถูกระบุให้เป็นส่วนหนึ่งของโครงการ สิ่งเหล่านี้จะนำมาใช้กับโครงการใด ๆ ก็ได้โดยไม่คำนึงถึงลักษณะของโครงการ เช่น โครงการสำหรับกระบวนการทางธุรกิจหลัก โครงการเกี่ยวกับเทคโนโลยี โครงการเกี่ยวกับการจัดการสิ่งอำนวยความสะดวก และโครงการที่เกี่ยวกับกระบวนการสนับสนุนอื่น ๆ วิธีในการบริหารจัดการโครงการจะต้องกำหนดให้
    a) วัตถุประสงค์ด้านความมั่นคงปลอดภัยสารสนเทศจะต้องรวมอยู่ในวัตถุประสงค์ของโครงการ
    b) การประเมินความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศจะต้องถูกดำเนินการตั้งแต่การเริ่มต้นโครงการเพื่อระบุมาตรการที่จำเป็นที่ใช้ในการควบคุม
    c) ความมั่นคงปลอดภัยสารสนเทศต้องเป็นส่วนหนึ่งของขั้นตอนทั้งหมดที่ถูกใช้ในโครงการ

    สิ่งที่เกี่ยวข้องกับความมั่นคงปลอดภัยสารสนเทศจะต้องได้รับการทบทวนอย่างสม่ำเสมอในทุกโครงการ
    ความรับผิดชอบต่อความมั่นคงปลอดภัยสารสนเทศจะต้องถูกกำหนด และแบ่งหน้าที่อย่างชัดเจนในขั้นตอนของการบริหารจัดการโครงการ