แนวทางการป้องกันข้อมูลส่วนบุคคลบนระบบคลาวด์สาธารณะภายใต้กรอบ ISO 27018

Tuanrit Sahapaet
Sep 3, 2018 · 3 min read

วิวัฒนาการด้านระบบ IT ในประเทศไทยที่เห็นชัดเจนที่สุดในตอนนี้คือ การนำระบบ Cloud เข้ามาใช้งานในองค์กร ไม่ว่าจะเป็นการย้าย Data Center ไปยังระบบ Cloud หรือให้บริการเซอร์วิสผ่านระบบ Cloud เป็นต้น เหล่านี้ ทำให้ข้อมูลของพนักงานและข้อมูลของลูกค้ามีการเคลื่อนย้ายไปยังระบบ Cloud ยิ่งในปัจจุบัน ข้อมูลต่างๆ มีแนวโน้มที่จะไปอยู่บนคลาวด์หมด และคลาวด์ก็เป็นส่วนหนึ่งของบริการที่มีผู้ใช้งานจำนวนมาก ก็ยิ่งเป็นปัจจัยที่ทำให้เกิดความเสี่ยงต่อข้อมูลของผู้ใช้งานมากขึ้น ดังนั้น มาตรฐานและกรอบการดำเนินงานด้านความมั่นคงปลอดภัยสมัยใหม่ เช่น ISO 27018 ซึ่งเป็นมาตรฐานสากลด้านความเป็นส่วนตัวในระบบคลาวด์ ที่จะช่วยสร้างความเชื่อมั่นให้กับผู้ใช้งานในการเลือกใช้บริการคลาวด์ได้อย่างมั่นใจ มาตรฐานนี้เป็นข้อปฏิบัติสำหรับการปกป้องข้อมูลส่วนบุคคล (PII) บนระบบ Cloud สาธารณะ โดยมีการขยายความเพิ่มเติมจาก ISO 27002 และเพิ่มมาตรการควบคุมจาก ISO 29100 เข้าไป ยิ่งถ้าหากอยู่ในความประมาท ข้อมูลส่วนตัวก็อาจจะตกไปอยู่ในมือของผู้ไม่หวังดี ฉะนั้นเราควรจะรู้ว่าผู้ให้บริการคลาวด์มีมาตรการดูแลข้อมูลของเราเพียงใด ให้ปลอดภัย และสามารถเชื่อมั่นในบริการนั้นๆได้

คำสำคัญ : Cloud , ความปลอดภัย , ข้อมูลส่วนบุคคล , ความเชื่อมั่น

ภาพประกอบที่ 1–1 ISO 27018 [3]

ISO 27018 คือ เป็นมาตรฐานสากลสำหรับความเป็นส่วนตัวและการปกป้องข้อมูลที่จะใช้กับผู้ให้บริการคลาวด์ เช่น Dropbox Microsoft หรือ AWS ที่ต้องมีการประมวลผลข้อมูลส่วนบุคคลในนามของลูกค้าของบริษัท และให้พื้นฐานสำหรับคำถามหรือข้อกำหนดเกี่ยวกับสัญญาและกฎระเบียบทั่วไปสำหรับลูกค้า ถึงแม้ว่ามาตรฐานดังกล่าวจะฟังดูเป็นเรื่องเทคนิค แต่มาตรฐานดังกล่าวนี้มีความสำคัญและเป็นประโยชน์กับลูกค้าองค์กรของเราทั่วโลก โดยมาตรฐาน ISO/IEC 27018 นี้ พัฒนาขึ้นโดยองค์การระหว่างประเทศว่าด้วยการมาตรฐานสากล (ISO) เพื่อกำหนดแนวทางมาตรฐานระดับโลกในด้านการรักษาความเป็นส่วนตัวของข้อมูลส่วนบุคคลที่จัดเก็บในระบบคลาวด์

ภาพประกอบที่ 1–2 ISO [4]

ISO คืออะไร [1]

ISO ย่อมาจาก International Organization for Standardization คือ องค์การมาตรฐานสากล หรือองค์การระหว่างประเทศว่าด้วยการมาตรฐาน เป็นองค์กรที่ออกมาตรฐานต่างๆ ที่เกี่ยวข้องกับธุรกิจ และอุตสาหกรรม ส่วนมาตรฐานที่องค์กรนี้ออกมา ก็ใช้ชื่อนำหน้าว่า ISO เช่น ISO 9000 และ ISO 14000 ซึ่งก็เป็นมาตรฐานที่ว่าด้วยระบบบริหารคุณภาพ และระบบบริหารสิ่งแวดล้อม

ISO จะมีสมาชิกจากหลายๆ ประเทศทั่วโลก และสมาชิกก็แบ่งเป็นระดับๆ แตกต่างกันไปอีก ซึ่งเป็นองค์กรระหว่างประเทศ และมาตรฐานต่างๆ ที่ออกมาก็เป็นมาตรฐานระหว่างประเทศ (International Standard) นอกจากนี้มาตรฐาน ISO ยังสามารถประยุกต์ใช้ได้กับทุกองค์กร ไม่ว่าจะเป็นองค์กรชนิดใด

ขนาดใหญ่ หรือ เล็ก ผลิตสินค้าอะไร หรือ ให้บริการอะไร ตัวอย่างเช่น มาตรฐาน ISO-10646–1 เป็นมาตรฐานที่โปรแกรมในปัจจุบันได้เริ่มออกแบบให้สามารถใช้ได้หลายภาษา (multilingual) โดยใช้ มาตรฐานของตัวอักษร ของ ISO/IEC 10646 (Universal Multi-octet Coded Character Set — UCS) ซึ่งเป็นระบบสาหรับเก็บข้อมูลตัวอักษรสากลในระบบ 8 Bit (หรือ byte) ซึ่งอาจอยู่ในรูป 8 bit หลาย ๆ ตัวต่อกัน และรู้จักกันดีในชื่อ Unicode UCS หรือ UTF-8

ประโยชน์ของ มาตรฐาน ISO

  1. องค์กร/บริษัท
  • การจัดการองค์กร การบริหารงาน การผลิต ตลอดจนการให้บริการมีระบบ และมีประสิทธิภาพ

2. พนักงานภายในองค์กร/บริษัท

  • มีการทางานเป็นระบบ

3. ผู้ซื้อ/ผู้บริโภค

  • มั่นใจในผลิตภัณฑ์และบริการ ว่ามีคุณภาพตามที่ต้องการ

มาตรฐาน ISO 27018 ช่วยปกป้องความเป็นส่วนตัวอย่างไร [2]

การรับรองมาตรฐาน ISO 27018 นี้ จะช่วยปกป้องสิทธิด้านความเป็นส่วนตัวของลูกค้าองค์กรในหลายรูปแบบ ดังนี้

  • สามารถควบคุมการใช้งานข้อมูลของตัวคุณเอง: ภายใต้มาตรฐานนี้ ผู้บริการจะใช้งานข้อมูลที่ระบุตัวบุคคลภายใต้เงื่อนไขที่ลูกค้ากาหนดไว้เท่านั้น

การให้บริการของ Cloud Provider มั่นใจได้จริงหรือ?

ในยุคนี้ บริการคลาวด์มาแรงและมีบทบาทต่อวิถีชีวิตของเราอย่างมาก ทุกๆ ท่านซึ่งทางาน หาข้อมูลความรู้ หาข้อมูลบันเทิง และอื่นๆ ผ่าน Internet ต้องเคยใช้บริการคลาวด์อย่างน้อย 1 บริการแน่นอน Cloud computing เป็นเทคโนโลยีมาแรงติดต่อกัน 6 ปี และยังคงความแรงต่อเนื่อง เพราะสามารถช่วยลดต้นทุน และช่วยย่นระยะเวลาในการสร้างระบบคอมพิวเตอร์ขององค์กรไม่ว่าจะเป็นองค์กรใหญ่หรือเล็ก

ภาพประกอบที่ 1–3 บริการ Cloud computing [5]

ไม่ว่าจะมองในมุมขององค์กรที่จัดทาคลาวด์ส่วนตัว (Private Cloud) หรือใช้บริการคลาวด์สารณะ (Public Cloud) จากผู้ให้บริการต่างๆ หรือมองในมุมของผู้ให้บริการคลาวด์ (Cloud Provider) ต่างจาเป็นต้องจัดทาบริการคลาวด์ให้มีเสถียรภาพสูงทั้งด้านประสิทธิภาพและความปลอดภัย เพื่อให้ผู้ใช้บริการมั่นใจในบริการคลาวด์ องค์กรระดับโลก อาทิ EuroCloud Star Audit (ECSA), Cloud Security Alliance (CSA), International Organization for Standardization (ISO) ได้จัดทามาตรฐานเพื่อให้ผู้ให้บริการคลาวด์ใช้เป็น

แนวทางในการบริหารจัดการ และเป็นเครื่องหมายยืนยันให้ผู้ใช้บริการเกิดความมั่นใจและไว้วางใจ โดยแต่ละหน่วยงานได้ออกมาตรฐานที่มีจุดเด่นต่างกันไป

สรุป

การสร้างความเชื่อมั่น ไว้ใจ หรือทรัสต์ ให้แก่ผู้รับบริการ ถือเป็นเรื่องสาคัญอย่างยิ่ง และสิ่งที่จะทาให้ลูกค้าเกิดความเชื่อมั่นได้ จะต้องประกอบไปด้วยซีเคียวริตี้ หรือความปลอดภัย ส่วนเรื่องของความเป็นส่วนตัวนั้น ควรที่จะรักษาข้อมูลของลูกค้าเอาไว้ ภายใต้กรอบกฎหมายที่กาหนดของแต่ละประเทศ และตรงกับมาตรฐาน ISO/IEC 27018 ซึ่งเป็นมาตรฐานสากลด้านความเป็นส่วนตัวในระบบคลาวด์ ที่จะช่วยสร้างความเชื่อมั่นให้กับผู้ใช้งานในการเลือกใช้บริการคลาวด์ได้อย่างมั่นใจ การรับรองมาตรฐานในครั้งนี้เป็นเพียงอีกหนึ่งในมาตรการที่ควรนามาใช้งานเพื่อปกป้องสิทธิด้านความปลอดภัยของข้อมูลและการปฏิบัติตามกฎข้อบังคับต่างๆ ให้กับผู้ใช้คลาวด์

บรรณานุกรม

[1] http://wachum.com/dewey/000/iso1.htm. ISO คืออะไร. วันที่สืบคืน 16 ธ.ค. 2560,

[2] https://news.microsoft.com/th-th/2015/02/18/privacy_standard_th/ . ไมโครซอฟท์นามาตรฐานนานาชาติแรกของโลกมาปฏิบัติอะไร. วันที่สืบคืน 16 ธ.ค. 2560,

[3] https://aws.amazon.com/compliance/iso-27018-faqs/ . ISO 27018 compliance. วันที่สืบคืน 16 ธ.ค. 2560,

[4] https://www.dropbox.com/th_TH/business/trust/compliance/certifications-compliance การปฏิบัติตามข้อกาหนดมาตรฐานและกฎระเบียบ. วันที่สืบคืน 16 ธ.ค. 2560,

[5] https://www.acinfotec.com/2015/12/03/cloud-provider/. การให้บริการของ Cloud Provider มั่นใจได้จริงหรือ? . วันที่สืบคืน 16 ธ.ค. 2560,

2 3 Perspective

Stories from little cloud team

Tuanrit Sahapaet

Written by

Software Engineer ( Front End)

2 3 Perspective

Stories from little cloud team

Welcome to a place where words matter. On Medium, smart voices and original ideas take center stage - with no ads in sight. Watch
Follow all the topics you care about, and we’ll deliver the best stories for you to your homepage and inbox. Explore
Get unlimited access to the best stories on Medium — and support writers while you’re at it. Just $5/month. Upgrade