C-SEC|2016 Session 3 How to pass and get certify on the new cyber/cloud security standards by AC & BV

How to Pass and Get Certify on the New
Cyber/Cloud Security Standards Toward Cyber Resilience
Venue: Glowfish
ธีรเดช วิบูลพัฒนะวงศ์
Teeradej Vibulpatanavong
Quality & IT Product Manager
Date: 23 Nov 16

2ISSUE : November 2016 Cyber Resilience Audit & Certification
วัตถุประสงค์ของการสัมมนา
► เพื่อให้ผู้เข้าสัมมนารับทราบถึง
► Cyber Resilience กับ Business Continuity
► Cyber Resilience กับ Cybersecurity และ Information Security
► การตรวจประเมิน และ การรับรอง
► การเพิ่มเติมมาตการควบคุมสาหรับ ISO/IEC 27001: 2013
► ISO/IEC 27032 Guidelines for cybersecurity
► ISO/IEC 27017 Information security controls for cloud services
► ISO/IEC 27018 Protection of PII in public clouds
► เพื่อให้ผู้เข้าสัมมนาสามารถนาความรู้ไปประยุกต์ใช ้งาน และในการขอการรับรองระบบ
บริหารด้านความมั่นคงปลอดภัยของสารสนเทศ

แนะนา Bureau Veritas Certification

Bureau Veritas at a Glance
►Created in 1828
►A global leader in conformity
assessment services in the areas of
quality, health and safety, environment
and social responsibility (QHSE)
 Network of more than 700 offices in 140 countries
 Over 26,000 skilled employees
►Eight global businesses providing
a complete set of services
 Services include: Inspection, testing, audit, certification,
classification, risk management, outsourcing, consulting and
training services
►Servicing 280,000 customers across a
wide range of end markets
Marine 11%
Inspection &
In-Service
Verification
13%
Certification
11%
HSE
10%
Industry
13%
Government Services 8%
Consumer Products
14%
Construction
20%
Asia Pacific &
Middle East
22%
Europe
22%
Americas
18%
France
33%
Africa 5%
1. 2006 revenue breakdown.
Broad Geographic Presence1
Eight Global Businesses1

Our Profession : QHSE Compliance
Reference Standard Action Deliverable
Assessment
Full Independence
from any
Design / Manufacturing / Contracting / Insurance

A Balanced Portfolio of Activities
Marine ► Ship classification, ship and marine equipment certification, technical assistance and outsourcing services
Industry
► Conformity assessment of industrial equipment and installations to regulatory or client specifications from
feasibility stage to de-commissioning
► Services include design review, shop inspection, site inspection, asset integrity management, product
certification and related testing services such as non-destructive testing
Inspection & In-Service
Verification (IVS)
► Periodic inspection of equipment and installations to assess conformity with regulations or client-specific
requirements
► Services apply to electrical installations, fire safety systems, lifts, pressure and lifting equipment, and machinery
Construction
► Conformity assessment of construction projects to local regulations and construction standards, from design
stage to completion
► Services include design review, code compliance, technical control, on-site safety coordination, testing
of construction materials, asset management and technical due diligence services
Health, Safety and
Environment (HSE)
► Inspection, audit, measurement and testing services in the areas of environment and health and safety
► Technical assistance and consultancy services to help companies define their HSE management strategy and
improve their performances
Certification
► Certification of management systems and processes in the areas of quality, health and safety, environment
and social responsibility based on public standards
► Second party auditing services based on customer-specific or Bureau Veritas standards
Consumer Products
► Testing, inspection and certification of consumer goods including textile, hardlines, toys, electrical and
electronics
► Factory audits, social responsibility audits and training services
Government Services
and International Trade
(GSIT)
► Government Services: Pre-Shipment Inspection, X-Ray Scanning, Verification of Conformity of imported
products
► International Trade: Commodity quantity/quality assurance, automotive services
Eight global businesses providing strong growth and cross-selling opportunities

Our Logo
Logo Change
From To
Certification Mark Change
From To
Effectivesince 17 January 2007

Cyber
Security
Cyber
Resilience
Business
Resilience
Cyber Resilience = Cyber Security + Business Resilience
Cyber Resilience: A simple explanation
Information
Security
Business
Continuity

Cyber Resilience: A Definition
Cyber Resilience
►นิยาม (Definition):
► an entity's ability to continuously deliver the intended outcome despite
adverse cyber events.
► ความสามารถขององค์กร ในการส่งมอบผลลัพธ์ที่ต้องการได้อย่างต่อเนื่อง
แม้เกิดเหตุการณ์รุนแรงด้านไซเบอร์
►วัตถุประสงค์(Objectives):
 เพื่อให้องค์กรรักษาความสามารถในการส่งมอบผลลัพธ์ที่ต้องการได้อย่างต่อเนื่อง ตลอดเวลา
►จุดเน้น (Focus):
 มาตรการในการป้องกัน ตรวจจับ โต้ตอบ ในสภาพแวดล้อมเทคโนโลยีสารสนเทศ เพื่อประเมินช่องโหว่และนาไปสูง
การปรับปรุงความมั่นคงปลอดภัยขององค์กรในภาพรวม

Definition
Resilience:
►ability of an organization to absorb the impact of a sudden
business interruption and continue to provide a minimum acceptable
level of service.
►ability to prepare for and adapt to changing conditions and
withstand and recover rapidly from disruptions
[Presidential Policy Directive PPD-21, USA]
►ability of an organization to resist being affected by an incident
[BS25999-2: 2007]
►ability of a business to spring back from a disruption to its
operations [Hannah Snyder, 22 April 2013]
Resilience: A Definition

Business Continuity กับ Business Resilience
Business Continuity
►นิยาม:
 capability of the organization to continue delivery of products or
services at acceptable predefined levels following disruptive incident
 ความสามารถขององค์กร ในการส่งมอบผลิตภัณฑ์หรือบริการที่ระดับที่กาหนด ภายหลักการเกิดเหตุการณ์หยุดชะงัก
►Business continuity และ Disaster recovery ดั้งเดิม เน้นที่ ความสามารถของธุรกิจ
ในการคืนสภาพจากเหตุการณ์ที่ทาให้เกิดธุรกิจหยุดชะงัก
► การคืนสภาพมีนัยว่า มีเวลาหยุด downtime ที่ธุรกิจไม่ได้ดาเนินการ
►Resilience มีนัยว่า แม้เกิดเหตุการณ์ที่อาจมีผลกระทบต่อการดาเนินธุรกิจ แต่ ธุรกิจไม่
เคยหยุดดาเนินการอย่างสมบูรณ์ (never completely unavailable)

Cybersecurity: A Definition
Cybersecurity / Cyberspace Security
► preservation of confidentiality, integrity and availability of information in
the Cyberspace [ISO/IEC 27032: 2012]
Information Security
► preservation of confidentiality, integrity and availability of information
[ISO/IEC 27001: 2013]

NIST Cyber Security Framework

Audit / Assessment การตรวจประเมิน
และ Certification การรับรอง

การตรวจประเมิน (Audit or Assessment)
การตรวจ
ประเมิน
Audit
รวมรวม
Collect
หลักฐาน
Evidences
ตัดสินใจ
Evaluate
เกณฑ์
Criteria

การตรวจประเมิน กับ การรับรอง
Audit
การตรวจประเมิน
Audit Results
ผลการตรวจประเมิน
Audit
Certification
การรับรอง≠
Audit
Certification
การรับรอง

ระบบ กระบวนการ ผลลัพธ ์ในระบบบริหาร
Management Results
ผลดาเนินการ
(Performance)
ความสามารถ
(Ability)
กระบวนการ
(Process)
Management System
ระบบ
(System)

หลักฐานในการตรวจประเมิน
มีอยู่
Exist
ใช้
Apply
ได้ผล
Effective
System Processes Results
• วิธีการ
• เอกสาร
• อุปกรณ์
• คน
• อานาจหน้าที่
ความรับผิดชอบ
• การดาเนินงาน
• การทากิจกรรม
• การทางาน
• บันทึก
ผลดาเนินการ
• สภาวะหลัง
ดาเนินการ

เมื่อไรจึงเป็ น CAR
กรณีใดบ้างที่ Auditor จะตัดสินใจจากหลักฐานในการตรวจประเมินว่า เป็นความไม่
สอดคล้อง (Nonconformity) และออกรายงานความไม่สอดคล้อง (Nonconformity
Report) หรือที่นิยมเรียกกันว่า ใบ CAR (Corrective Action Request)
1.เมื่อไม่พบหลักฐาน ว่าได้มีการปฏิบัติตามข้อกาหนด
2.เมื่อพบหลักฐาน ว่าไม่ได้ปฏิบัติตามข้อกาหนด
โดยหลักฐาน ได้แก่
► เอกสาร อันได้แก่ ระเบียบปฏิบัติ หรือ บันทึก
► หลักฐานทางกายภาพ ที่ Auditor พบที่หน้างาน
► หลักฐานทางวาจา คือ คาพูดของ Auditee

Auditor กับ ระบบบริหารขององค์กร
Beginner Normal Advanced
Beginner
Normal
Advanced
Effectiveness
Improvement
Conformity
Auditor
Competence
ระบบบริหารขององค์กร
Conformity
Conformity
Conformity Conformity
OFI
OFI
OFI
Effectiveness
Effectiveness
NC Overshoot NC Overshoot
NC Overshoot

มาตรฐานที่เกี่ยวข้องกับ Cyber Resilience
► ISO 31000: 2009
Risk management — Principles and guidelines
► ISO 22301: 2012
Societal security — Business continuity management systems —
Requirements
► ISO/IEC 27001: 2013
Information technology — Security techniques — Information security
management systems — Requirements
► ISO/IEC 20000-1: 2011
Information technology — Service management — Part 1: Service
management system requirements
► ISO/IEC 27031:2011
Information technology — Security techniques — Guidelines for
information and communication technology readiness for business
continuity

► ISO/IEC 27032: 2012
Information technology — Security techniques — Guidelines for
cybersecurity
► ISO/IEC 27017: 2015
Information technology — Security techniques — Code of practice for
information security controls based on ISO/IEC 27002 for cloud services
► ISO/IEC 27018: 2014
Information technology — Security techniques — Code of practice for
protection of personally identifiable information (PII) in public clouds
acting as PII processors
► ISO/IEC 27036-4: 2016
for supplier relationships — Part 4: Guidelines for security of cloud
services

► ISO/IEC 27009:2016
Information technology — Security techniques — Sector-specific
application of ISO/IEC 27001 — Requirements
► ISO/IEC 27011:2008
management guidelines for telecommunications organizations based on
ISO/IEC 27002
► ISO 27799:2016
Health informatics — Information security management in health using
ISO/IEC 27002
► ISO/IEC TR 27015:2012
management guidelines for financial services
► ISO/IEC TR 27019:2013
management guidelines based on ISO/IEC 27002 for process control
systems specific to the energy utility industry

► ISO/IEC 27014: 2013
Information technology — Security techniques — Governance of
information security
► ISO/IEC 27036-3: 2013
for supplier relationships — Part 3: Guidelines for information and
communication technology supply chain security
► ISO/IEC 27035-2: 2016
incident management — Part 2: Guidelines to plan and prepare for
incident response

► ISO/IEC 27033
Information technology — Security techniques — Network security
(Part 1 to Part 6)
► ISO/IEC 27034
Information technology — Security techniques — Application security
(Part 1, 2, and 6. Part 3, 5, 7 under development)
► ISO/IEC 27040: 2015
Information technology — Security techniques — Storage security
► …

► NIST, SP 800-144 2011
Guidelines on Security and Privacy in Public Cloud Computing
► NIST, SP 800-146 2012
Cloud Computing Synopsis and Recommendations
► NIST, SP 800-145 2011
The NIST Definition of Cloud Computing
► US-CERT / NIST Cyber Security Framework 2014
► Singapore Standard SS 584:2013
Specification for Multi-Tiered Cloud Computing Security
► Singapore Technical Reference 31:2012
Technical Reference for security and service level guidelines for the
usage of public cloud computing services
► CSA STAR
► CERT Resilience Management Model, 2016

ตัวอย่าง Audit Checklist – Cyber Resilience
Cyber Resilience Review (CRR)
US-CERT (United States Computer Emergency Readiness Team)

ตัวอย่าง Audit Checklist – Cloud Security
CAIQv3.01 (Consensus Assessment Initiative)
Cloud Security Alliance

ISO/IEC 27032: 2012
Information technology — Security techniques —
Guidelines for cybersecurity

ISO/IEC 27032: 2012 Guidelines for cybersecurity
► ISO/IEC 27032 ให้คาแนะนาทางเทคนิค (Technical Guidelines)
 ไม่ใช่ Code of Practices (ข้อปฏิบัติ)
 ไม่ใช่มาตรฐานเพื่อการรับรอง
► จุดเน้น:
 ความมั่นคงปลอดภัยใน Cyberspace security โดยอุดช่องโหว่ของประเด็นด้านความมั่นคงปลอดภัยที่
กระจัดกระจาย
 ความร่วมมือ (Collaboration) ในการแบ่งปันข้อมูล (information sharing) การประสานงานและ
การจัดการเหตุละเมิดระหว่างผู้มีส่วนได้ส่วนเสียใน Cyberspace
► ผู้ใช ้มาตรฐาน:
 Service providers เป็นผู้ใช้หลัก
 Consumers ใช้เป็นแนวทางในการจัดทาคาแนะนาสาหรับผู้ใช้
► ครอบคลุม
 Cyberspace บน the Internet
 Endpoints

ความสัมพันธ์ระหว่าง Cybersecurity และ ประเด็นด้านความั่นคงปลอดภัยอื่น ๆ

ผู้มีส่วนได้ส่วนเสียใน Cyberspace ตาม ISO/IEC 27032
Real World
Virtual World
Cyberspace
Service Providers
Consumer: Organization
Consumer: Individual
ISO 27001
ISO 27001
ISO 27032

เนื้อหาของ ISO/IEC 27032
► 1 Scope
► 2 Applicability
► 3 Normative references
► 4 Terms and definitions
► 5 Abbreviated terms
► 6 Overview
► 7 Stakeholders in the Cyberspace
► 8 Assets in the Cyberspace
► 9 Threats against the security of
the Cyberspace
► 10 Roles of stakeholders in
Cybersecurity
► 11 Guidelines for stakeholders
► 12 Cybersecurity controls
► 13 Framework of information
sharing and coordination

Assets in the Cyberspace
Type of Assets:
►Information;
►Software, such as a computer
program;
►Physical, such as a computer;
►Services;
►People, their qualifications, skills,
and experience; and
►Intangibles, such as reputation
and image.
Asset Classes:
►Personal (e.g. consumer’s online
identity, online credit information) ;
►Organizational (e.g. networks,
servers, applications)
For both classes, an asset can also
be further classified as
►a Physical asset, whose form exists
in the real world, or
►a Virtual asset, which only exists in
the Cyberspace and cannot be seen
or touched in the real world.

กลยุทธในการจัดการกับความเสี่ยงของ Cybersecurity
► กลยุทธในการจัดการกับความเสี่ยงของ Cybersecurity เป็นการใช้กลยุทธ ร่วมกัน
หลาย ๆ กลยุทธ แบบผสมผสาน ระหว่าง
 industry best practices,
• โดยความร่วมมือระหว่างผู้มีส่วนได้ส่วนเสียต่าง ๆ ในการ ระบุและควบคุม ประเด็นและความเสี่ยงของ
Cybersecurity
 broad consumer and employee education
• โดยให้ทรัพยากรที่เชื่อถือได้ในการระบุและความคุมควบคุม ประเด็นและความเสี่ยงของ Cybersecurity
ภายในองค์กร และใน Cyberspace
 innovative technology solutions
• เพื่อช่วยปกป้องผู้บริโภคจาก การโจมตีทางไซเบอร์ และมีความทันสมัย และเตรียมพร้อมสาหรับการละเมิด
(exploitations) ใหม่ ๆ

Guidelines for consumers
► a) ศึกษาและทาความเข้าใจ security and privacy policy ของ site และ
application concerned ที่เผยแพร่โดย Site Provider
► b) ศึกษาและทาความเข้าใจ ความเสี่ยงด้าน security และ privacy และพิจารณา
มาตรการควบคุม มีส่วนร่วมใน online discussion forums หรือสอบถามผู้รู้เกี่ยวกับ
site หรือ application ก่อนให้ข้อมูลส่วนบุคคลหรือขององค์กร หรือมีส่วนร่วมหรือให้
ข้อมูลในการอภิปราย
► c) กาหนดและทาตาม personal privacy policyเกี่ยวกับการป้องการตัวตน (identity
protection) โดยพิจารณาถึงชนิดของข้อมูลส่วนบุคคลที่จะให้ได้และหลักการแบ่งปัน
ข้อมูลนั้น ๆ
► d) บริหาร online identity ใช ้การระบุตัวตนสาหรับ web applications ต่าง ๆ และ
จากัดการแบ่งปันข้อมูลส่วนบุคคลให้แต่ website หรือ application ขึ้นทะเบียนตัวตน
ออนไลน์ไว้ใน social networking sites ที่เป็นที่นิยม ถึงแม้ว่าจะไม่ได้ใช ้

► e) รายงานเหตุการณ์ต้องสงสัย หรือที่พบ กับเจ้าหน้าที่ที่รับผิดชอบ
► f) ในฐานะที่เป็นผู้ขายหรือผู้ซื้อ อ่านและทาความเข้าใจเกี่ยวกับ site security and
privacy policy ของตลาดออนไลน์ และทวนสอบความแท้จริง (authenticity) ของผู้มี
ส่วนได้ส่วนเสียที่เกี่ยวข้อง
ไม่แบ่งข้อมูลส่วนบุคคล รวมถึงข้อมูลธนาคาร เว้นแต่ว่าเกิดความตั้งใจจริงที่จะทาการซื้อ
ขายได้ ใช ้กลไกการชาระเงินที่เชื่อถือได้
► g) ในฐานะผู้ให้บริการแอพพลิเคชั่นอิสระ (Independent Application Provider
IAP) ใช ้วิธีการพัฒนาซอฟท์ว์ที่มั่นคงปลอดภัย และให้ hash value สาหรับ code
online เพื่อให้ฝ่ายผู้รับสามารถทวนสอบค่าตามความจาเป็น เพื่อยืนยันความความถ้วน
ถูกต้องของ code ให้ข้อมูลเอกสารเกี่ยวกับความั่นคงปลอดภัยของ Code และ
นโยบายและแนวปฏิบัติเกี่ยวกับความเป็นส่วนตัว และให้ความสาคัญกับความเป็นส่วนตัว
ของผู้ใช ้code
► h) ในฐานะ blogger หรือผู้มีส่วนให้เนื้อหาข้อมูล รวมถึง website maintainers ทา
ให้มั่นใจว่าข้อมูลส่วนบุคคลและข้อมูลที่เป็นความลับของผู้มีส่วนได้ส่วนเสีย ไม่ถูกเปิดเผย
ผ่าน blogs หรือ online publications ทวนสอบ comments และ postings ที่ได้รับ
และทาให้มั่นใจว่าไม่มีเนื้อหาที่ประสงค์ร ้าย เช่น ลิงค์ไปยัง phishing websites หรือ
malicious downloads

► i) ในฐานะสมาชิกในองค์กร ผู้บริโภครายบุคคลควรศึกษาและทาความเข้าใจ
corporate information security policy ขององค์กร และทาให้มั่นใจว่าข้อมูลที่ถูก
จัดชั้นความลับหรือมีความอ่อนไหว ไม่ถูกนาไปเผยแพร่โดยตั้งใจ หรือโดยอุบัติเหตุ บน
เว็บไซต์ใด ๆ ใน Cyberspace เว้นแต่ได้รับอนุญาตให้เปิดเผยอย่างเป็นทางการ
► j) บทบาทอื่น เมื่อผู้บริโภคได้เข้าไปเว็บไซต์ที่ต้องมีการควบคุมการอนุญาตให้เข้าถึง และ
เข้าถึงได้โดยไม่ตั้งใจ ผู้ใช ้อาจถูกตีตราว่าเป็นผู้บุกรุก ให้ออกจากไซต์โดยทันที และ
รายงานไปยังเจ้าหน้าที่ที่เกี่ยวข้อง จากข้อเท็จจริงที่ผู้ใช ้สามารถเข้าถึงได้โดยไม่ได้รับ
อนุญาต เป็นตัวบ่งชี้ถึงสถานะของเว๊บไซต์ที่ถูกทาให้เสียหาย

การเพิ่มเติมมาตการควบคุมสาหรับ
ISO/IEC 27001: 2013

ความเชื่อมโยงของมาตรฐานอนุกรม ISO 27000
ISO/IEC
27002
Guide
line
ISO/IEC
27001
Requirements
ISO/IEC
27017
Cloud
ISO/IEC
27018
PII
Cloud
ISO/IEC
27799
Health
ISO/IEC
27011
Telecom
ISO/IEC
27032
Cybersecurity
ISO/IEC
27014
Governance
…
…
Annex A:
Security
Controls

การเลือกมาตรการควบคุมใน ISO/IEC 27001
6.1.3 Information security risk treatment
The organization shall define and apply an information security risk
treatment process to:
►a) select appropriate information security risk treatment options, taking
account of the risk assessment results;
►b) determine all controls that are necessary to implement the
information security risk treatment option(s) chosen;
NOTE Organizations can design controls as required, or identify them
from any source.
►c) compare the controls determined in 6.1.3 b) above with those in
Annex A and verify that no necessary controls have been omitted;
►d) produce a Statement of Applicability that contains the necessary
controls (see 6.1.3 b) and c)) and justification for inclusions, whether they
are implemented or not, and the justification for exclusions of controls
from Annex A;

การเพิ่มมาตรการควบคุมตาม ISO/IEC 27009:2016
► ISO/IEC 27009:2016
เป็นข้อกาหนดในการประยุกต์ใช ้ISO/IEC 27001 เฉพาะ Sector
(field, application area, market sector)
► วิธีการเพิ่มมาตรการควบคุม ทาได้โดย
 การตีความ (Interpretation)
เป็นการอธิบายข้อกาหนด ISO 27001 ในบริบทเฉพาะ Sector
 การเพิ่มข้อกาหนด (Refinement)
เป็นการเพิ่มข้อกาหนดเฉพาะใน Sector

ความสัมพันธ ์ของมาตรฐาน ISO เกี่ยวกับ Cloud
ISO/IEC 27001: 2013
Information security management systems — Requirements
ISO/IEC 27017: 2015
Code of practice for
Information security controls
for cloud services
ISO/IEC 27018: 2014
Code of practice for
protection of personally
identifiable information (PII)
in public clouds acting
as PII processors

การตรวจประเมิน ISO/IEC 27017 และ/หรือ ISO/IEC 27018
►ขั้นตอนการตรวจประเมิน และ ให้การรับรอง
 ตรวจประเมิน และให้การรับรอง ISO/IEC 27001
 ตรวจประเมิน และให้การรับรอง ISO/IEC 27017 และ/หรือ ISO/IEC 27018
เป็นส่วนขยายของ ISO/IEC 27001
►การตรวจประเมิน
 ตรวจประเมิน ISO/IEC 27017 และ/หรือ ISO/IEC 27018
พร้อมกับ ISO/IEC 27001
►ใบรับรอง
 ใบรับรองหลัก สาหรับ ISO/IEC 27001
 ใบรับรองเสริม (ภาคผนวก) สาหรับ ISO/IEC 27017 และ/หรือ
ISO/IEC 27018

ISO/IEC 27017: 2015
Code of practice for information security controls
based on ISO/IEC 27002 for cloud services

ISO/IEC 27017 Information security controls for cloud services
► เป็นข้อปฏิบัติ (Code of Practices) เกี่ยวกับการป้องกันข้อมูลส่วนบุคคล
ใน Cloud
 ใช้เพิ่มมาตรการควบคุมของ ISO27001 ใน การตรวจประเมิน / การรับรอง ได้
 Cloud Service Customers
 Cloud Service Providers
► โครงสร ้าง:
 มาตรการควบคุม ตาม ISO 27002 หรือ Annex A ของ ISO 27001 โดยแบ่งเป็น
• มาตรการสาหรับ Cloud Service Customers
• มาตรการสาหรับ Cloud Service Providers
• มาตรการสาหรับทั้ง Cloud Service Providers และ Cloud Service Providers
 Cloud service extended control set

ผู้มีส่วนได้ส่วนเสียใน Cloud
Physical World Cloud
Clouse Service Providers
PII Processor
Cloud Service Customer:
PII Controller
Cloud Service Customer:
PII Individual
ISO 27017
ISO 27018
ISO 27017
ISO 27018
ISO 27018
ISO 27017

เนื้อหาของ ISO/IEC 27017: 2015
► 1 Scope
► 3 Definitions and abbreviations
► 4 Cloud sector-specific concepts
► 5 Information security policies
► 6 Organization of information
security
► 7 Human resource security
► 8 Asset management
► 9 Access Control
► 10 Cryptography
► 11 Physical and environmental
security
► 12 Operations security
► 13 Communication security
► 14 System acquisition,
development and maintenance
► 15 Supplier relationships
► 16 Information security incident
management
► 17 information security aspects
of business continuity
management
► 18 Compliance
► Annex A – Cloud service
extended control set

ข้อกาหนดเพิ่มเติมจาก ISO 27001
Title
No. of additional clause for
Cloud Service Providers
Cloud Service Customers
Both
5 Information security policies 1 1 0
6 Organization of information security 2 2 0
7 Human resource security 1 1 0
8 Asset management 2 2 0
9 Access Control 5 6 0
10 Cryptography 2 1 0
11 Physical and environmental security 1 1 0
12 Operations security 7 6 0
13 Communication security 1 1 0
14 System acquisition, development and
maintenance
2 2 0
15 Supplier relationships 2 2 0
16 Information security incident
management
2 2 1
17 Information security aspects of
business continuity management
0 0 0
18 Compliance 5 5 0

Cloud service extended control set
Title
Cloud service extended
control set for
Cloud Service Providers
control set for
Cloud Service Customers
control set for
Both
5 Information security policies 0 0 0
6 Organization of information security 1 Obj
1 Ctl
1 Obj
1 Ctl
0
7 Human resource security 0 0 0
8 Asset management 1 Ctl 1 Ctl 0
9 Access Control 1 Obj 1 Obj
1 Ctl
1 Obj
1 Ctl
10 Cryptography 0 0 0
11 Physical and environmental security 0 0 0
12 Operations security 2 Ctl 2 Ctl 0
13 Communication security 0 1 Ctl 0
maintenance
0 0 0
15 Supplier relationships 0 0 0
16 Information security incident management 0 0 0
17 Information security aspects of business
continuity management
0 0 0
18 Compliance 0 0 0

ISO/IEC 27018: 2014
Code of practice for protection of personally identifiable
information (PII) in public clouds acting as PII processors

ISO/IEC 27018: 2014 Protection of PII in public clouds
► เป็นข้อปฏิบัติ (Code of Practices) เกี่ยวกับการป้องกันข้อมูลส่วนบุคคล
ใน Cloud
 ใช้เพิ่มมาตรการควบคุมของ ISO27001 ใน การตรวจประเมิน / การรับรอง ได้
 PII processors เป็นผู้ใช้หลัก
 PII controllers ก็สามารถนามาประยุกตใช้ได้
► โครงสร ้าง:
 มาตรการควบคุม ตาม ISO 27002 หรือ Annex A ของ ISO 27001
 PII protection for cloud computing services provider ใน Annex A ของ
ISO/IEC 27018

ISO/IEC 27018: 2014 Protection of PII in public clouds
นิยาม:
►PII Principal
 Natural person to whom the personally identifiable (PII) relates
►PII Controller
 Privacy stakeholder that determines the purposes and means for
processing personally identifiable information (PII) other than natural
persons who use data for personal purposes
►PII processor
 Privacy stakeholder that process personally identifiable information
(PII) on behalf of and in accordance with the instruction of a PII
Controller

เนื้อหาของ ISO/IEC 27018: 2014
► 0 Introduction
► 1 Scope
► 3 Terms and definitions
► 4 Overview
► 5 Information security policies
► 6 Organization of information
security
► 7 Human resource security
► 8 Asset management
► 9 Access Control
► 10 Cryptography
► 11 Physical and environmental
security
► 12 Operations security
► 13 Communication security
► 14 System acquisition,
development and maintenance
► 15 Supplier relationships
► 16 Information security incident
management
► 17 information security aspects
of business continuity
management
► 18 Compliance
► Annex A Public cloud PII
Processor extended control set
for PII protection

ข้อกาหนดเพิ่มเติมจาก ISO 27001
Title Guidance No. of clause
5 Information security policies Sector-specific Implementation Guidance
Other Information
1 Ctl
6 Organization of information security Sector-specific Implementation Guidanc 1 Ctl
7 Human resource security Sector-specific Implementation Guidance
Other Information
1 Ctl
8 Asset management None 0
9 Access Control Sector-specific Implementation Guidance
Other Information
1 Obj
2 Ctl
10 Cryptography Sector-specific Implementation Guidanc 1 Ctl
11 Physical and environmental security Sector-specific Implementation Guidance
Other Information
1 Ctl
12 Operations security Sector-specific Implementation Guidanc 4 Ctl
13 Communication security Sector-specific Implementation Guidance
Other Information
1 Ctl
maintenance
None 0
15 Supplier relationships None 0
16 Information security incident management Sector-specific Implementation Guidanc 1 Obj
1 Ctl
17 Information security aspects of business
continuity management
None 0
18 Compliance Sector-specific Implementation Guidance
Other Information
1 Ctl

Extended control set for PII Protection
Title No. of clause
A.1 Consent and choice 1
A.2 Purpose lgitimacy and specification 2
A.3 Collection limitation 0
A.4 Data minimization 1
A.5 Use, retention and disclosure
limitation
2
A.6 Accuracy and quality 0
A.7 Openness, transparency and notice 1
A.8 Inidividual particiation and access 0
A.9 Accountability 3
A.10 Information security 13
A.11 Privacy compliance 1

C-SEC|2016 Session 3 How to pass and get certify on the new cyber/cloud security standards by AC & BV

More Related Content

Similar to C-SEC|2016 Session 3 How to pass and get certify on the new cyber/cloud security standards by AC & BV (12)

C-SEC|2016 Session 3 How to pass and get certify on the new cyber/cloud security standards by AC & BV