Annex A — รายการ controls ที่ต้องมี#

ของจริงของ ISO 27001 ที่ผู้บริหารต้องรู้คือ Annex A — เอกสารแนบที่บอก รายการ controls ที่ต้องพิจารณา

• รุ่นเก่า ISO 27001:2013 — มี 114 controls แบ่งเป็น 14 หมวด
• รุ่นใหม่ ISO 27001:2022 — ปรับปรุงเป็น 93 controls แบ่งเป็น 4 หมวดใหญ่ (Organizational / People / Physical / Technological)

ตัวเลข 93 ฟังดูเยอะ — แต่ไม่ได้แปลว่าบริษัทต้องทำครบ 93. ตามมาตรฐาน บริษัทต้องทำ Risk Assessment (การประเมินความเสี่ยง) ก่อน → ตัดสินใจว่า control ไหนเกี่ยวกับธุรกิจของตัวเอง → ระบุใน Statement of Applicability (SoA — เอกสารระบุว่า control ไหนใช้และไม่ใช้). controls ที่ไม่ใช้ต้องมีเหตุผลชัด

ตัวอย่าง Annex A controls ที่ทุกบริษัทต้องมี (ในรุ่น 2022):

• A.5.1 — Information security policies — มีนโยบายเป็นลายลักษณ์อักษร
• A.6.3 — Information security awareness — อบรมพนักงานทุกปี
• A.8.8 — Management of technical vulnerabilities — patch management process
• A.8.16 — Monitoring activities — เฝ้า log + ระบบ
• A.5.30 — ICT readiness for business continuity — มีแผน BCP/DR

ตัวอย่างที่อาจจะไม่ใช้ — บริษัทที่ไม่มีสำนักงานเป็นของตัวเอง (work from home 100%) อาจยกเว้นบาง physical security controls ใน A.7.x. แต่ต้องเขียนเหตุผลใน SoA + ระบุว่า compensating control อะไร

ISO 27002 — คู่มืออธิบายลึก#

หลายคนสับสนระหว่าง ISO 27001 กับ ISO 27002 (Code of Practice — แนวทางปฏิบัติ) ครับ. ผมขอแยกชัดๆ:

• ISO 27001 = standard ที่ได้ certificate (มี auditor มาตรวจ + ออกใบ)
• ISO 27002 = guideline ที่อธิบาย Annex A controls แต่ละข้อลึก (วิธีทำจริงๆ)

ใช้คู่กันครับ. 27001 บอกว่า “ต้องมี control A.8.8 — patch management”. 27002 บอกว่า “patch management ที่ดีหน้าตาเป็นยังไง — เริ่มที่ inventory ของระบบ, จัดลำดับ severity, มี deployment window, มี rollback plan…”. 27001 = “อะไร”. 27002 = “ยังไง”

ใครต้องมี ISO 27001 + ราคาเท่าไหร่#

ใครต้องการ ISO 27001 จริงๆ?

• บริษัทที่มีลูกค้าต่างประเทศ Fortune 500 — เมื่อ Apple / Google / Microsoft จะเซ็นสัญญาเป็น vendor — เขาส่ง vendor security questionnaire มา 200 ข้อ. ถ้าคุณมี ISO 27001 cert — ตอบสั้นๆ ว่า “ดู ISO cert ของเรา” — จบ. ไม่มี cert = ต้องตอบทุกข้อด้วยตัวเอง + ทุกข้อต้องมีหลักฐาน
• บริษัทใน sector ที่ regulator บังคับ — บางประเทศบังคับธนาคาร / โรงพยาบาล / โทรคมนาคม ต้องมี ISO 27001 หรือเทียบเท่า
• บริษัทที่ทำ outsourcing ให้บริษัทอื่น — เพราะลูกค้าจะถามแน่ๆ
• บริษัทที่กำลังจะ IPO — investor ต้องการเห็นว่า security mature พอ

ราคา? — ขึ้นกับขนาดบริษัทมาก แต่ระดับคร่าวๆ คือ:

• บริษัทเล็ก (< 50 คน, 1 สำนักงาน) — **$30,000-50,000** (≈ 1-1.7 ล้านบาท) สำหรับ initial certification + ~$15,000/ปี maintenance
• บริษัทกลาง (200-2,000 คน, หลายสำนักงาน) — **$50,000-150,000** initial +$30,000-50,000/ปี
• บริษัทใหญ่ (> 2,000 คน, multi-country) — **$200,000+** initial +$100,000+/ปี

ค่าใช้จ่ายแบ่งเป็น 3 ส่วน — (1) consultant ช่วยเตรียมเอกสาร, (2) ค่า auditor (ต้องใช้ certification body ที่ accredited เช่น BSI, DNV, TÜV), (3) เวลาของพนักงานในบริษัท. ส่วนสุดท้ายเป็นที่ underestimated ที่สุด — เพราะ ISO 27001 ต้องการเอกสาร + พนักงานที่เข้าใจกระบวนการ + ผ่าน internal audit ทุกปี

เคสจริง — ทำไม Marriott ลงทุนใน ISO 27001 หลัง breach 2018. Marriott โดน breach 500 ล้านแฟ้มในปี 2018 (จาก Starwood acquisition). หลัง breach — Marriott ลงทุนใน ISO 27001 certification สำหรับ corporate office + cloud workloads. ทำไม? — เพราะ insurance ราคาขึ้น 300% + ต้องใช้ ISO cert เป็นหลักฐานต่อ insurance ว่ามีการปรับปรุง

มุมผู้บริหาร: ISO 27001 ไม่ใช่ใบรับรอง “ปลอดภัย” — เป็นใบรับรอง “มีระบบบริหารจัดการ security”. หมายความว่าบริษัทที่มี ISO 27001 ยังโดน breach ได้ — และโดนจริงๆ ตลอดเวลา. แต่ที่ ISO 27001 ให้คุณคือ 2 อย่าง — ภาษากลางกับ Fortune 500 (เซ็นสัญญาง่ายขึ้น) + เครื่องบังคับให้บริษัททำกระบวนการ security ต่อเนื่อง (ไม่ทำก็เสีย cert ปีหน้า). ราคา 1-3 ล้านบาทต่อปีคุ้มไหม — ขึ้นกับว่าธุรกิจคุณอยู่ตลาดไหน. ถ้าลูกค้าต่างประเทศคือเงินหลัก — คุ้ม. ถ้าลูกค้าในไทยล้วน — อาจไม่จำเป็น

โครงสร้าง 5 + 1 functions#

หัวใจของ NIST CSF คือ 5 functions ที่ครอบคลุมกระบวนการ security ทั้งหมด:

1. Identify (ระบุ) — รู้ว่าบริษัทมีอะไรบ้าง (asset inventory, risk assessment, governance)
2. Protect (ป้องกัน) — ใส่ controls (access control, awareness, data security, maintenance)
3. Detect (ตรวจจับ) — เห็นเมื่อเกิดเหตุ (monitoring, anomaly detection)
4. Respond (ตอบสนอง) — จัดการเหตุการณ์ (response planning, communications, analysis, mitigation)
5. Recover (กู้คืน) — กลับมาทำธุรกิจ (recovery planning, improvements, communications)

ในรุ่นใหม่ NIST CSF 2.0 (ปี 2024) เพิ่มฟังก์ชั่นที่ 6:

6. Govern (กำกับดูแล) — overarching layer ที่ครอบทั้ง 5 ฟังก์ชั่นเดิม (organizational context, risk management strategy, policy, oversight)

ทำไมต้องเพิ่ม Govern? — เพราะหลังเคส Equifax, SolarWinds, Colonial Pipeline. คนที่กำหนดทิศทาง security ของบริษัท เป็นจุดอ่อนที่ใหญ่ที่สุดที่ framework เดิมไม่ครอบคลุม

แต่ละ function มี categories + subcategories ที่ระบุละเอียดขึ้น. ตัวอย่าง:

• PR.AC (Protect — Access Control)
  • PR.AC-1: Identities and credentials are issued, managed, verified, revoked, and audited
  • PR.AC-4: Access permissions and authorizations are managed
  • PR.AC-7: Users, devices, and other assets are authenticated

ในรุ่น CSF 2.0 มีทั้งหมด 108 subcategories ที่บริษัทใช้เป็น checklist

Tier model — บอกว่าตอนนี้คุณอยู่ระดับไหน#

ของที่ต่างจาก ISO 27001 ชัดที่สุดคือ — NIST CSF มี maturity tier ในตัว ที่ให้บริษัทประเมินตัวเองว่าอยู่ระดับไหน:

• Tier 1 — Partial — ทำเฉพาะตอนเกิดเหตุ ไม่มีกระบวนการ
• Tier 2 — Risk Informed — รู้ความเสี่ยง แต่กระบวนการยังไม่สม่ำเสมอ
• Tier 3 — Repeatable — มี policy + กระบวนการเขียนเป็น procedure + ปฏิบัติได้สม่ำเสมอ
• Tier 4 — Adaptive — ปรับ security ตามภัยคุกคามใหม่ๆ ในเวลาจริง

ความฉลาดของ tier model คือ — ไม่ใช่ทุกบริษัทต้องอยู่ Tier 4. SME ที่อยู่ Tier 2 อาจคุ้มที่สุดเทียบกับเงินลงทุน. การประเมิน tier ก็ทำเองได้ — ไม่ต้องจ้าง auditor

ใครใช้ NIST CSF + ราคาเท่าไหร่#

ใครใช้?

• บริษัทที่ทำงานกับรัฐบาลอเมริกา — รัฐบาลสหรัฐบังคับให้ supplier ทุกราย map กับ NIST CSF (และ NIST SP 800-171 สำหรับ federal contractor)
• Supplier ของ Fortune 500 ในอเมริกา — เมื่อบริษัทใหญ่ใช้ NIST CSF เป็น internal framework — supplier ก็ต้อง map ตาม
• บริษัทที่อยากเริ่ม security framework แต่ยังไม่พร้อมจ่ายค่า cert — ใช้ NIST CSF ฟรีก่อน → พอ mature ค่อยขยับไป ISO 27001
• บริษัทใน critical infrastructure — ไฟฟ้า, น้ำ, โทรคมนาคม

ราคา? — ฟรี. ดาวน์โหลดเอกสารฟรีจาก nist.gov. ไม่มี auditor บังคับ. ไม่มี cert ให้

แต่ — ค่าใช้จ่ายในการ implement ยังมีครับ. เวลาของพนักงานในการ map controls + กระบวนการ + tooling. แค่ไม่ต้องจ่ายค่า license + ค่า audit ภายนอก

NIST CSF vs ISO 27001 — ใช้คู่กันได้ไหม#

คำถามนี้ถามบ่อยมากครับ — คำตอบคือ ใช้คู่กันได้และดี

ความสัมพันธ์:

• NIST CSF = framework ที่บอก หมวด ของสิ่งที่ต้องทำ (5+1 functions)
• ISO 27001 = standard ที่บอก รายการ control ที่ต้องมี + ออก certificate

บริษัทใหญ่ทั่วโลกใช้แบบนี้ — NIST CSF เป็น operational framework (ทีม security ใช้บริหารวันๆ) + ISO 27001 เป็น certification (ใช้ตอบลูกค้า + auditor). มี mapping table ที่บอกว่า NIST CSF subcategory ไหน → ISO 27001 Annex A ไหน — ทำให้บริษัททำคู่กันได้โดยไม่ทำงานซ้ำ

เคสจริง — Equifax หลัง breach. หลัง 2017 — Equifax ใช้ NIST CSF เป็น primary operational framework สำหรับทีม security + เริ่มทำ ISO 27001 certification สำหรับ corporate. การตัดสินใจนี้บอกอะไรเรา? — ของฟรี ใช้ได้ดี + ของ cert ยังต้องมีตอนคุยกับ regulator

มุมผู้บริหาร: ถ้าบริษัทคุณเพิ่งเริ่มจริงจังกับ security และยังไม่พร้อมจ่ายค่า cert — NIST CSF คือจุดเริ่มต้นดีที่สุดในโลก. ดาวน์โหลดเอกสารฟรี + ใช้ tier model ประเมินตัวเอง + ตั้งเป้าขยับ tier ขึ้นปีละ 1 ระดับ. ค่าใช้จ่าย = 0 บาท ที่ license. เวลาที่บริษัท mature ถึง Tier 3 — ค่อยพิจารณาเพิ่ม ISO 27001 cert ถ้าธุรกิจมีลูกค้าต่างประเทศ. ลำดับนี้ฉลาดที่สุด — ผิดทางคือเริ่ม ISO ก่อนทั้งที่บริษัทยังไม่มี process รองรับ → ได้ cert แต่ทำตาม cert ไม่ได้จริง

โครงสร้าง — 40 objectives ใน 5 domains#

รุ่นปัจจุบัน COBIT 2019 ที่ ISACA อัพเดทล่าสุด แบ่งเป็น 40 governance & management objectives ใน 2 ชั้น:

Governance objectives (5 ข้อ — สำหรับ Board และ Executive):

• EDM01 Ensured Governance Framework Setting and Maintenance
• EDM02 Ensured Benefits Delivery
• EDM03 Ensured Risk Optimization
• EDM04 Ensured Resource Optimization
• EDM05 Ensured Stakeholder Engagement

(EDM ย่อจาก Evaluate, Direct, Monitor — ประเมิน, กำหนดทิศทาง, เฝ้าดู)

Management objectives (35 ข้อ — แบ่งเป็น 4 domains):

• APO (Align, Plan, Organize — สอดคล้อง วางแผน จัดระบบ) — 14 objectives
• BAI (Build, Acquire, Implement — สร้าง จัดหา ใช้งาน) — 11 objectives
• DSS (Deliver, Service, Support — ส่งมอบ บริการ สนับสนุน) — 6 objectives
• MEA (Monitor, Evaluate, Assess — ตรวจสอบ ประเมิน วัดผล) — 4 objectives

ดูแล้วเยอะใช่ไหมครับ? — ใช่ครับ COBIT เป็น framework ที่ครอบคลุมมาก. แต่ของจริงคือ — COBIT ไม่ใช่ checklist ที่บริษัทต้องทำครบทุกข้อ. มันเป็น กรอบความคิด ให้ผู้บริหารระบุว่า objectives ไหนสำคัญกับบริษัทตัวเอง + ทำตามนั้น

ความต่างจาก ISO 27001 / NIST CSF — ภาพใหญ่กว่า#

อันนี้สำคัญสำหรับผู้บริหาร — เพราะตอบคำถามว่า “ทำไมต้องมี COBIT ในเมื่อมี ISO/NIST แล้ว”

หลายบริษัทใช้ทั้ง 3 พร้อมกันแบบลำดับชั้น:

• COBIT = strategic layer (Board / C-Suite ใช้คุยภาพรวม IT)
• ISO 27001 = compliance layer (ใช้ตอบลูกค้า + auditor)
• NIST CSF = operational layer (ทีม security ใช้งานวันๆ)

ใครใช้ COBIT#

• บริษัทใหญ่ที่มี Board of Directors ที่ต้องรายงานเรื่อง IT — COBIT เป็นภาษากลางที่ Board เข้าใจ
• บริษัทมหาชน ที่ต้อง SOX compliance — COBIT mapping กับ SOX requirements ได้ตรงๆ
• บริษัทที่กำลัง IT transformation ใหญ่ — COBIT ช่วย align IT strategy กับ business
• Auditors / Consultants — CISA และ CGEIT exam ของ ISACA ใช้ COBIT เป็นพื้นฐาน

ใครไม่ต้องใช้? — SME ที่ < 200 คน. COBIT ไม่เหมาะ. โครงสร้างมันออกแบบมาสำหรับองค์กรที่มี board + multiple departments + IT budget ใหญ่. SME ใช้ NIST CSF + CIS Controls คุ้มกว่า

มุมผู้บริหาร: COBIT คือ framework ที่ ผู้บริหาร non-IT ใช้คุยกับ CIO / CISO รู้เรื่อง. เมื่อ board ถาม CIO ว่า “เราลงทุน IT ปีนี้ 100 ล้าน — เรา deliver value อะไร? ความเสี่ยงอะไร?” — CIO ที่ตอบด้วยภาษา COBIT (เช่น “EDM02 — Benefits Delivery ของ project A คือ…, EDM03 — Risk Optimization ของ project B คือ…”) ทำให้ board ตามทันได้ง่ายกว่าตอบด้วย technical jargon. ถ้าบริษัทคุณยังไม่มี Board หรือไม่มี C-Suite ที่ไม่ใช่ IT — COBIT ใช้ไม่ทันคุ้ม. แต่ถ้าบริษัทคุณกำลังโต + กำลังจะ IPO + กำลังจะมี Board — เริ่มศึกษา COBIT 2019 ตั้งแต่วันนี้

18 Controls — ทำอะไรพรุ่งนี้#

ผมจะระบุตัวอย่าง 5-6 controls ที่สำคัญที่สุดให้เห็นภาพ — ทั้งหมด 18 controls อ่านได้ฟรีที่ cisecurity.org:

Control 1 — Inventory and Control of Enterprise Assets — รู้ว่าบริษัทมีอุปกรณ์อะไรบ้าง (laptop, server, mobile, IoT). ฟังดูง่ายมาก — แต่บริษัทส่วนใหญ่ทำไม่ได้. ถ้าไม่รู้ว่าตัวเองมีอะไร — ป้องกันไม่ได้

Control 2 — Inventory and Control of Software Assets — รู้ว่าใน asset เหล่านั้นมี software อะไรลงอยู่. รวมถึง shadow IT (ระบบที่พนักงานติดตั้งเอง)

Control 3 — Data Protection — รู้ว่าข้อมูล sensitive อยู่ที่ไหน + เข้ารหัสตามที่ควรทำ

Control 5 — Account Management — บัญชี user / admin มีกี่ตัว, ใครใช้ตัวไหน, mfa เปิดทุกตัวไหม

Control 6 — Access Control Management — Least privilege (ให้สิทธิ์น้อยที่สุดเท่าที่ทำงานได้)

Control 7 — Continuous Vulnerability Management — scan หาช่องโหว่ + patch สม่ำเสมอ

Control 8 — Audit Log Management — เก็บ log ของระบบ + เฝ้าดู

Control 14 — Security Awareness and Skills Training — อบรมพนักงานทุกปี

Control 17 — Incident Response Management — มีแผนตอบเหตุ

ดูแล้วเหมือนตำราคุณป้าใช่ไหมครับ? — ใช่ครับ. นี่คือเสน่ห์ของ CIS Controls — ตรงไปตรงมา + ทำได้จริง. ไม่ต้องอ่านเอกสาร 200 หน้าก่อนเริ่ม

3 Implementation Groups — ทำตามขนาดบริษัท#

ของฉลาดที่สุดของ CIS Controls คือ Implementation Groups (IG) — แบ่งเป็น 3 ระดับ:

IG1 (Essential Cyber Hygiene — สุขลักษณะ cyber ขั้นพื้นฐาน)

• เหมาะกับ — บริษัทเล็ก (< 200 คน), ไม่มี sensitive data, ไม่มี budget security
• จำนวน controls — 56 safeguards (จากทั้งหมด ~150)
• คล้ายกับ — “อย่างน้อยล็อกประตู, ติดกล้อง, อย่าให้ลูกเล็กเล่นไฟ”

IG2 (Risk-Informed — ตามความเสี่ยง)

• เหมาะกับ — บริษัทกลาง (200-2,000 คน), มี sensitive data ของลูกค้า, มีทีม IT
• จำนวน controls — 130 safeguards
• คล้ายกับ — “ระบบ alarm, มีคนเฝ้า, ฝึกซ้อมหนีไฟ”

IG3 (Advanced — ขั้นสูง)

• เหมาะกับ — บริษัทใหญ่ + sector ที่ regulator บังคับสูง (ธนาคาร, โรงพยาบาล, รัฐบาล)
• จำนวน controls — 153 safeguards (ครบทุก control)
• คล้ายกับ — “ระบบความปลอดภัยระดับสนามบิน”

ฉลาดตรงไหน? — บริษัทเล็กไม่ต้องทำครบทุก control. เริ่มที่ IG1 (56 ข้อ) → พอ mature ขึ้นค่อยขยับไป IG2 → IG3. ไม่ใช่ “อะไรก็ต้องทำ” แบบที่ ISO 27001 ดูเหมือนต้องการในใจของผู้บริหารหลายคน

ใครใช้ CIS Controls + ราคาเท่าไหร่#

ใครใช้?

• SME ที่ไม่มี security team เต็มเวลา — เริ่มที่ IG1 ทำเองได้
• บริษัทที่อยากเริ่ม security ก่อน budget มี — ใช้ CIS ก่อน → ค่อยเสริม NIST/ISO
• MSP / MSSP ใช้เป็น baseline บริการลูกค้าเล็ก
• บริษัทที่ใช้ NIST CSF / ISO 27001 แล้ว — ใช้ CIS เป็น tactical implementation guide ของ control ที่ NIST/ISO บอกแค่ “เคยถึง” แต่ไม่บอก “ทำยังไง”

ราคา? — ฟรี. ดาวน์โหลดเอกสาร + tools ฟรีที่ cisecurity.org. มี CIS Controls Self-Assessment Tool (CIS CSAT) ที่ใช้ประเมินตัวเองได้ฟรี

ค่าใช้จ่ายที่มีคือ — เวลาของพนักงาน + tools เสริมที่ต้องซื้อ (เช่น vulnerability scanner) — แต่ของพวกนี้ต้องซื้ออยู่แล้วไม่ว่าใช้ framework ตัวไหน

มุมผู้บริหาร: ถ้าบริษัทคุณเป็น SME (< 200 คน) + ไม่มี security team + งบจำกัด — CIS Controls IG1 คือจุดเริ่มต้นที่คุ้มที่สุดในโลก. ลองให้ IT manager ใช้ CIS CSAT (ฟรี) ประเมินบริษัท → ดูว่า 56 safeguards ของ IG1 ตอนนี้ผ่านกี่ข้อ → ที่ผ่านไม่ครบ ทำแผน 6 เดือนปิด gap. ค่าใช้จ่ายในการเริ่ม = 0 บาท + เวลา IT manager 2-4 ชั่วโมงต่อสัปดาห์. นี่คือ security improvement ที่ ROI สูงที่สุดสำหรับ SME ในไทยปีนี้. อย่ารอจนได้ ISO cert ทีหลังถึงเริ่ม — ของเล็กที่ทำได้พรุ่งนี้สำคัญกว่าของใหญ่ที่ทำได้ปีหน้า

กลุ่ม 1 — บริษัทเล็ก (< 200 คน), local Thai only#

แนะนำ: CIS Controls IG1

• เริ่มที่ 56 safeguards ของ IG1 — ใช้ CIS CSAT ประเมินตัวเอง
• ไม่ต้องจ่ายค่า cert
• 1-2 ปีค่อยพิจารณาขยับขึ้น IG2 ถ้าธุรกิจโต
• ถ้าลูกค้าบางรายเริ่มถาม “บริษัทคุณมี ISO ไหม” — ตอบว่า “เราใช้ CIS Controls IG1 + กำลังขยับขึ้น IG2 ปีนี้” — ลูกค้า SME ไทยส่วนใหญ่รับได้

กลุ่ม 2 — บริษัทกลาง (200-2,000 คน), ไม่มี cert requirement#

แนะนำ: NIST CSF (primary) + CIS Controls IG2 (operational)

• ใช้ NIST CSF เป็นกรอบบริหารงาน security ทั้งหมด (5+1 functions)
• ใช้ CIS Controls IG2 เป็น tactical checklist ที่ทีม IT ใช้งานจริงรายวัน
• ค่าใช้จ่ายในการ implement = $50,000-150,000 ปีแรก + เวลาของพนักงาน
• ถ้าธุรกิจขยายตัวต่างประเทศ — ค่อยเพิ่ม ISO 27001 cert ในปีที่ 2-3

กลุ่ม 3 — บริษัทกลาง-ใหญ่ ที่ลูกค้าต่างประเทศต้อง cert#

แนะนำ: ISO 27001 (cert) + NIST CSF (operational) + CIS Controls (tactical)

• ISO 27001 สำหรับตอบลูกค้า + auditor + regulator
• NIST CSF สำหรับทีม security ใช้งาน
• CIS Controls สำหรับ implementation detail
• ค่าใช้จ่าย ~ $100,000-300,000 ปีแรก +$50,000-100,000/ปี maintenance
• ใช้ mapping table ระหว่าง NIST CSF ↔ ISO Annex A ↔ CIS Controls — ทำให้งานไม่ซ้อน

กลุ่ม 4 — บริษัทใหญ่ + มี Board + IT budget ใหญ่#

แนะนำ: COBIT (governance) + ISO 27001 (cert) + NIST CSF (operational) + CIS Controls (tactical)

• COBIT 2019 เป็น strategic layer ที่ Board ใช้คุยภาพรวม IT
• ISO 27001 cert สำหรับ external compliance
• NIST CSF เป็น operational framework
• CIS Controls เป็น tactical implementation
• ค่าใช้จ่าย ~ $300,000-1,000,000+ ปีแรก
• ต้องมี GRC team เต็มเวลาในบริษัท

Edge case — sector ที่ regulator บังคับ specific framework#

นอกจาก 4 framework หลักนี้ — บาง sector มี framework เฉพาะที่ต้องทำเพิ่ม:

• บัตรเครดิต / acquirer / payment processor → PCI DSS (Payment Card Industry Data Security Standard) — บังคับโดย Visa/Mastercard
• โรงพยาบาลในอเมริกา → HIPAA (Health Insurance Portability and Accountability Act)
• ข้อมูลส่วนบุคคลของพลเมือง EU → GDPR (General Data Protection Regulation)
• ข้อมูลส่วนบุคคลในไทย → PDPA (Personal Data Protection Act พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล)
• บริษัทมหาชนในอเมริกา → SOX (Sarbanes-Oxley Act) — บังคับเรื่อง financial reporting

framework เฉพาะ sector เหล่านี้ ทับซ้อนกับ ISO/NIST/CIS ในหลายส่วน — ถ้าทำ ISO 27001 + CIS Controls แล้ว มักครอบคลุม PCI DSS / HIPAA / GDPR / PDPA ส่วนใหญ่อยู่แล้ว แต่ก็มีข้อกำหนดเฉพาะที่ต้องเสริมต่างหาก

Real example — Equifax กับ “ผ่าน framework ≠ ปลอดภัย”#

ก่อนปิด section นี้ — ผมอยากเล่าเคสที่จะ tease EP.09 ครับ

Equifax ปี 2017 — ก่อน breach — ผ่าน PCI DSS (เพราะเป็น credit reporting agency ต้องมี). มี ISO 27001 cert ฝั่ง corporate. ทำ NIST framework mapping. ในเอกสารทุกอย่างดูเรียบร้อย

แต่โจรเข้าได้ผ่าน Apache Struts vulnerability ที่ patch ออกมาแล้ว 6 สัปดาห์ + Equifax ไม่ patch. ในเอกสาร framework ทุกตัว — บอกว่าต้องมี vulnerability management. ของจริง — มี process แต่ไม่ทำตาม

Frameworks ≠ Security. นี่คือบทเรียนที่บอกว่า — มีเอกสาร “ผ่าน” framework ไม่เท่ากับ “ปลอดภัย”. เพราะ framework ตรวจ process + เอกสาร — แต่ของจริงที่สำคัญคือ execution ในชีวิตจริง. และนี่คือเรื่องที่เราจะคุยใน EP.09 — Compliance Theater (ละครการปฏิบัติตามกฎ)

มุมผู้บริหาร: Decision tree ข้างบนเป็น guideline เริ่มต้น — ของจริงต้องดูบริบทบริษัท. แต่ 2 หลักการที่ใช้ได้ทุกบริษัท คือ — (1) เลือก 1 framework เป็น primary แล้วทำให้ครบ อย่ากระจัดกระจาย 4 ตัวพร้อมกัน. (2) เริ่มที่ขนาดที่ทำได้ — บริษัทเล็กเริ่ม CIS IG1 ก่อนดีกว่ารอ ISO cert มาทีหลัง. และจำไว้ว่า — ผ่าน cert ≠ ปลอดภัย — cert คือ “ใบเข้างาน” ไม่ใช่ “การันตี”. เรื่องนี้คุยลึกใน EP.09

สิ่งที่ผู้นำต้องจำ#

ข้อแรก — เลือก 1 framework เป็น primary แล้วทำให้ครบ — อย่ากระจัดกระจาย

กับดักที่บริษัทไทยทำผิดบ่อยที่สุดคือ ทำหลาย framework พร้อมกันแบบลวกๆ ทุกตัว. เริ่ม ISO ไป 30% + เริ่ม NIST ไป 20% + เริ่ม CIS ไป 10% — ผลคือ ไม่มีตัวไหนทำเสร็จดี + เสียเงินทุกตัว. ของจริงคือ — เลือก 1 ตัวที่เหมาะกับขนาด + sector + ลูกค้าของบริษัทคุณ → ทำตัวนั้นให้ครบ 100% ก่อน → ค่อยเพิ่มตัวที่สองทีหลัง. SME ไทยส่วนใหญ่ตอบที่ดีที่สุดคือ CIS Controls IG1 → IG2 → ค่อยขยับไป NIST CSF → ขยับไป ISO 27001 ถ้าธุรกิจต้องการ. ลำดับนี้สมเหตุสมผลทั้งทางการเงินและทางปฏิบัติ

ข้อสอง — Certificate (ISO 27001 / SOC 2) คือ “ใบเข้างาน” ไม่ใช่ “การันตีปลอดภัย”

นี่เป็นบทเรียนที่ Equifax สอนวงการในปี 2017. Equifax มี PCI DSS, มี ISO 27001 cert, มี NIST mapping — แต่ยังโดน breach 147 ล้านแฟ้ม. เพราะ framework และ certificate ตรวจ process + เอกสาร — แต่ของจริงคือ execution ในชีวิตจริง. ใบ cert ทำให้ลูกค้าต่างประเทศเซ็นสัญญาง่ายขึ้น + บอก insurance ว่าบริษัทเอาจริง — แต่ไม่ได้แปลว่าปลอดภัย. เรื่องนี้คือหัวใจของ EP.09

ครับ EP.08 จบแล้ว. เราเดินดู framework ทั้ง 4 ตัว — ISO 27001 / NIST CSF / COBIT / CIS Controls — รู้แล้วว่าตัวไหนคืออะไร, ราคาเท่าไหร่, ใครใช้, บริษัทขนาดไหนควรเลือกตัวไหน. คำถามถัดมาที่หนีไม่พ้นคือ — “ในเมื่อ Equifax / Target / Heartland ผ่าน framework และ audit ก่อนโดน — แล้วเราจะเชื่อใบ cert ได้แค่ไหน?”. นี่คือเรื่องของ EP.09 — Compliance Theater — ละครที่บริษัททั่วโลกแสดงให้ auditor ดูแล้วโดน breach หลังจากนั้น 3 เดือน