Annex A — รายการ controls ที่ต้องมี#

ของจริงของ ISO 27001 ที่ผู้บริหารต้องรู้คือ Annex A — เอกสารแนบที่บอก รายการ controls ที่ต้องพิจารณา

• รุ่นเก่า ISO 27001:2013 — มี 114 controls แบ่งเป็น 14 หมวด
• รุ่นใหม่ ISO 27001:2022 — ปรับปรุงเป็น 93 controls แบ่งเป็น 4 หมวดใหญ่ (Organizational / People / Physical / Technological)

ตัวเลข 93 ฟังดูเยอะ — แต่ไม่ได้แปลว่าบริษัทต้องทำครบ 93. ตามมาตรฐาน บริษัทต้องทำ Risk Assessment (การประเมินความเสี่ยง) ก่อน → ตัดสินใจว่า control ไหนเกี่ยวกับธุรกิจของตัวเอง → ระบุใน Statement of Applicability (SoA — เอกสารระบุว่า control ไหนใช้และไม่ใช้). controls ที่ไม่ใช้ต้องมีเหตุผลชัด

ตัวอย่าง Annex A controls ที่ทุกบริษัทต้องมี (ในรุ่น 2022):

• A.5.1 — Information security policies — มีนโยบายเป็นลายลักษณ์อักษร
• A.6.3 — Information security awareness — อบรมพนักงานทุกปี
• A.8.8 — Management of technical vulnerabilities — patch management process
• A.8.16 — Monitoring activities — เฝ้า log + ระบบ
• A.5.30 — ICT readiness for business continuity — มีแผน BCP/DR

ตัวอย่างที่อาจจะไม่ใช้ — บริษัทที่ไม่มีสำนักงานเป็นของตัวเอง (work from home 100%) อาจยกเว้นบาง physical security controls ใน A.7.x. แต่ต้องเขียนเหตุผลใน SoA + ระบุว่า compensating control อะไร

ISO 27002 — คู่มืออธิบายลึก#

หลายคนสับสนระหว่าง ISO 27001 กับ ISO 27002 (Code of Practice — แนวทางปฏิบัติ) ครับ. ผมขอแยกชัดๆ:

• ISO 27001 = standard ที่ได้ certificate (มี auditor มาตรวจ + ออกใบ)
• ISO 27002 = guideline ที่อธิบาย Annex A controls แต่ละข้อลึก (วิธีทำจริงๆ)

ใช้คู่กันครับ. 27001 บอกว่า “ต้องมี control A.8.8 — patch management”. 27002 บอกว่า “patch management ที่ดีหน้าตาเป็นยังไง — เริ่มที่ inventory ของระบบ, จัดลำดับ severity, มี deployment window, มี rollback plan…”. 27001 = “อะไร”. 27002 = “ยังไง”

ใครต้องมี ISO 27001 + ราคาเท่าไหร่#

ใครต้องการ ISO 27001 จริงๆ?

• บริษัทที่มีลูกค้าต่างประเทศ Fortune 500 — เมื่อ Apple / Google / Microsoft จะเซ็นสัญญาเป็น vendor — เขาส่ง vendor security questionnaire มา 200 ข้อ. ถ้าคุณมี ISO 27001 cert — ตอบสั้นๆ ว่า “ดู ISO cert ของเรา” — จบ. ไม่มี cert = ต้องตอบทุกข้อด้วยตัวเอง + ทุกข้อต้องมีหลักฐาน
• บริษัทใน sector ที่ regulator บังคับ — บางประเทศบังคับธนาคาร / โรงพยาบาล / โทรคมนาคม ต้องมี ISO 27001 หรือเทียบเท่า
• บริษัทที่ทำ outsourcing ให้บริษัทอื่น — เพราะลูกค้าจะถามแน่ๆ
• บริษัทที่กำลังจะ IPO — investor ต้องการเห็นว่า security mature พอ

ราคา? — ขึ้นกับขนาดบริษัทมาก แต่ระดับคร่าวๆ คือ:

• บริษัทเล็ก (< 50 คน, 1 สำนักงาน) — **$30,000-50,000** (≈ 1-1.7 ล้านบาท) สำหรับ initial certification + ~$15,000/ปี maintenance
• บริษัทกลาง (200-2,000 คน, หลายสำนักงาน) — **$50,000-150,000** initial +$30,000-50,000/ปี
• บริษัทใหญ่ (> 2,000 คน, multi-country) — **$200,000+** initial +$100,000+/ปี

ค่าใช้จ่ายแบ่งเป็น 3 ส่วน — (1) consultant ช่วยเตรียมเอกสาร, (2) ค่า auditor (ต้องใช้ certification body ที่ accredited เช่น BSI, DNV, TÜV), (3) เวลาของพนักงานในบริษัท. ส่วนสุดท้ายเป็นที่ underestimated ที่สุด — เพราะ ISO 27001 ต้องการเอกสาร + พนักงานที่เข้าใจกระบวนการ + ผ่าน internal audit ทุกปี

เคสจริง — ทำไม Marriott ลงทุนใน ISO 27001 หลัง breach 2018. Marriott โดน breach 500 ล้านแฟ้มในปี 2018 (จาก Starwood acquisition). หลัง breach — Marriott ลงทุนใน ISO 27001 certification สำหรับ corporate office + cloud workloads. ทำไม? — เพราะ insurance ราคาขึ้น 300% + ต้องใช้ ISO cert เป็นหลักฐานต่อ insurance ว่ามีการปรับปรุง

มุมผู้บริหาร: ISO 27001 ไม่ใช่ใบรับรอง “ปลอดภัย” — เป็นใบรับรอง “มีระบบบริหารจัดการ security”. หมายความว่าบริษัทที่มี ISO 27001 ยังโดน breach ได้ — และโดนจริงๆ ตลอดเวลา. แต่ที่ ISO 27001 ให้คุณคือ 2 อย่าง — ภาษากลางกับ Fortune 500 (เซ็นสัญญาง่ายขึ้น) + เครื่องบังคับให้บริษัททำกระบวนการ security ต่อเนื่อง (ไม่ทำก็เสีย cert ปีหน้า). ราคา 1-3 ล้านบาทต่อปีคุ้มไหม — ขึ้นกับว่าธุรกิจคุณอยู่ตลาดไหน. ถ้าลูกค้าต่างประเทศคือเงินหลัก — คุ้ม. ถ้าลูกค้าในไทยล้วน — อาจไม่จำเป็น

โครงสร้าง 5 + 1 functions#

หัวใจของ NIST CSF คือ 5 functions ที่ครอบคลุมกระบวนการ security ทั้งหมด:

1. Identify (ระบุ) — รู้ว่าบริษัทมีอะไรบ้าง (asset inventory, risk assessment, governance)
2. Protect (ป้องกัน) — ใส่ controls (access control, awareness, data security, maintenance)
3. Detect (ตรวจจับ) — เห็นเมื่อเกิดเหตุ (monitoring, anomaly detection)
4. Respond (ตอบสนอง) — จัดการเหตุการณ์ (response planning, communications, analysis, mitigation)
5. Recover (กู้คืน) — กลับมาทำธุรกิจ (recovery planning, improvements, communications)

ในรุ่นใหม่ NIST CSF 2.0 (ปี 2024) เพิ่มฟังก์ชั่นที่ 6:

6. Govern (กำกับดูแล) — overarching layer ที่ครอบทั้ง 5 ฟังก์ชั่นเดิม (organizational context, risk management strategy, policy, oversight)

ทำไมต้องเพิ่ม Govern? — เพราะหลังเคส Equifax, SolarWinds, Colonial Pipeline. คนที่กำหนดทิศทาง security ของบริษัท เป็นจุดอ่อนที่ใหญ่ที่สุดที่ framework เดิมไม่ครอบคลุม

แต่ละ function มี categories + subcategories ที่ระบุละเอียดขึ้น. ตัวอย่าง:

• PR.AC (Protect — Access Control)
  • PR.AC-1: Identities and credentials are issued, managed, verified, revoked, and audited
  • PR.AC-4: Access permissions and authorizations are managed
  • PR.AC-7: Users, devices, and other assets are authenticated

ในรุ่น CSF 2.0 มีทั้งหมด 108 subcategories ที่บริษัทใช้เป็น checklist

Tier model — บอกว่าตอนนี้คุณอยู่ระดับไหน#

ของที่ต่างจาก ISO 27001 ชัดที่สุดคือ — NIST CSF มี maturity tier ในตัว ที่ให้บริษัทประเมินตัวเองว่าอยู่ระดับไหน:

• Tier 1 — Partial — ทำเฉพาะตอนเกิดเหตุ ไม่มีกระบวนการ
• Tier 2 — Risk Informed — รู้ความเสี่ยง แต่กระบวนการยังไม่สม่ำเสมอ
• Tier 3 — Repeatable — มี policy + กระบวนการเขียนเป็น procedure + ปฏิบัติได้สม่ำเสมอ
• Tier 4 — Adaptive — ปรับ security ตามภัยคุกคามใหม่ๆ ในเวลาจริง

ความฉลาดของ tier model คือ — ไม่ใช่ทุกบริษัทต้องอยู่ Tier 4. SME ที่อยู่ Tier 2 อาจคุ้มที่สุดเทียบกับเงินลงทุน. การประเมิน tier ก็ทำเองได้ — ไม่ต้องจ้าง auditor

ใครใช้ NIST CSF + ราคาเท่าไหร่#

ใครใช้?

• บริษัทที่ทำงานกับรัฐบาลอเมริกา — รัฐบาลสหรัฐบังคับให้ supplier ทุกราย map กับ NIST CSF (และ NIST SP 800-171 สำหรับ federal contractor)
• Supplier ของ Fortune 500 ในอเมริกา — เมื่อบริษัทใหญ่ใช้ NIST CSF เป็น internal framework — supplier ก็ต้อง map ตาม
• บริษัทที่อยากเริ่ม security framework แต่ยังไม่พร้อมจ่ายค่า cert — ใช้ NIST CSF ฟรีก่อน → พอ mature ค่อยขยับไป ISO 27001
• บริษัทใน critical infrastructure — ไฟฟ้า, น้ำ, โทรคมนาคม

ราคา? — ฟรี. ดาวน์โหลดเอกสารฟรีจาก nist.gov. ไม่มี auditor บังคับ. ไม่มี cert ให้

แต่ — ค่าใช้จ่ายในการ implement ยังมีครับ. เวลาของพนักงานในการ map controls + กระบวนการ + tooling. แค่ไม่ต้องจ่ายค่า license + ค่า audit ภายนอก

NIST CSF vs ISO 27001 — ใช้คู่กันได้ไหม#

คำถามนี้ถามบ่อยมากครับ — คำตอบคือ ใช้คู่กันได้และดี

ความสัมพันธ์:

• NIST CSF = framework ที่บอก หมวด ของสิ่งที่ต้องทำ (5+1 functions)
• ISO 27001 = standard ที่บอก รายการ control ที่ต้องมี + ออก certificate

บริษัทใหญ่ทั่วโลกใช้แบบนี้ — NIST CSF เป็น operational framework (ทีม security ใช้บริหารวันๆ) + ISO 27001 เป็น certification (ใช้ตอบลูกค้า + auditor). มี mapping table ที่บอกว่า NIST CSF subcategory ไหน → ISO 27001 Annex A ไหน — ทำให้บริษัททำคู่กันได้โดยไม่ทำงานซ้ำ

เคสจริง — Equifax หลัง breach. หลัง 2017 — Equifax ใช้ NIST CSF เป็น primary operational framework สำหรับทีม security + เริ่มทำ ISO 27001 certification สำหรับ corporate. การตัดสินใจนี้บอกอะไรเรา? — ของฟรี ใช้ได้ดี + ของ cert ยังต้องมีตอนคุยกับ regulator

พี่น้องของ NIST CSF — RMF + SP 800-37#

NIST มี framework อีกตัวที่ exam ของ CISA ออกบ่อยกว่า CSF เสียอีก — NIST RMF (Risk Management Framework / กรอบบริหารความเสี่ยง) เผยแพร่ใน NIST SP 800-37

ความต่างจาก CSF:

• NIST CSF = framework ระดับ enterprise — ใช้ทั่วองค์กร 5+1 functions
• NIST RMF = framework ระดับ system-by-system — ใช้สำหรับการอนุมัติให้ระบบหนึ่ง ๆ ขึ้น production ได้

RMF มี 7 steps ที่ federal agency สหรัฐบังคับใช้:

1. Prepare — เตรียมความพร้อมของทั้ง enterprise + system
2. Categorize — จัดประเภทระบบตาม impact (low/moderate/high) ใน 3 มิติ C/I/A
3. Select — เลือก baseline controls จาก catalog NIST SP 800-53
4. Implement — implement controls
5. Assess — test ว่า controls ทำงานตามที่ออกแบบ
6. Authorize — Authorizing Official อนุมัติให้ระบบ run
7. Monitor — continuous monitoring

ในมุมผู้บริหาร RMF เหมาะกับบริษัทที่ มีระบบเยอะ + ต้อง gate ทุกระบบก่อนขึ้น prod — เช่น ธนาคาร, healthcare, defense supplier บริษัททั่วไปใช้ CSF เป็น umbrella + RMF เฉพาะระบบที่เสี่ยงสูง ก็พอ

มุมผู้บริหาร: ถ้าบริษัทคุณเพิ่งเริ่มจริงจังกับ security และยังไม่พร้อมจ่ายค่า cert — NIST CSF คือจุดเริ่มต้นดีที่สุดในโลก. ดาวน์โหลดเอกสารฟรี + ใช้ tier model ประเมินตัวเอง + ตั้งเป้าขยับ tier ขึ้นปีละ 1 ระดับ. ค่าใช้จ่าย = 0 บาท ที่ license. เวลาที่บริษัท mature ถึง Tier 3 — ค่อยพิจารณาเพิ่ม ISO 27001 cert ถ้าธุรกิจมีลูกค้าต่างประเทศ. ลำดับนี้ฉลาดที่สุด — ผิดทางคือเริ่ม ISO ก่อนทั้งที่บริษัทยังไม่มี process รองรับ → ได้ cert แต่ทำตาม cert ไม่ได้จริง

โครงสร้าง — 40 objectives ใน 5 domains#

รุ่นปัจจุบัน COBIT 2019 ที่ ISACA อัพเดทล่าสุด แบ่งเป็น 40 governance & management objectives ใน 2 ชั้น:

Governance objectives (5 ข้อ — สำหรับ Board และ Executive):

• EDM01 Ensured Governance Framework Setting and Maintenance
• EDM02 Ensured Benefits Delivery
• EDM03 Ensured Risk Optimization
• EDM04 Ensured Resource Optimization
• EDM05 Ensured Stakeholder Engagement

(EDM ย่อจาก Evaluate, Direct, Monitor — ประเมิน, กำหนดทิศทาง, เฝ้าดู)

Management objectives (35 ข้อ — แบ่งเป็น 4 domains):

• APO (Align, Plan, Organize — สอดคล้อง วางแผน จัดระบบ) — 14 objectives
• BAI (Build, Acquire, Implement — สร้าง จัดหา ใช้งาน) — 11 objectives
• DSS (Deliver, Service, Support — ส่งมอบ บริการ สนับสนุน) — 6 objectives
• MEA (Monitor, Evaluate, Assess — ตรวจสอบ ประเมิน วัดผล) — 4 objectives

ดูแล้วเยอะใช่ไหมครับ? — ใช่ครับ COBIT เป็น framework ที่ครอบคลุมมาก. แต่ของจริงคือ — COBIT ไม่ใช่ checklist ที่บริษัทต้องทำครบทุกข้อ. มันเป็น กรอบความคิด ให้ผู้บริหารระบุว่า objectives ไหนสำคัญกับบริษัทตัวเอง + ทำตามนั้น

ความต่างจาก ISO 27001 / NIST CSF — ภาพใหญ่กว่า#

อันนี้สำคัญสำหรับผู้บริหาร — เพราะตอบคำถามว่า “ทำไมต้องมี COBIT ในเมื่อมี ISO/NIST แล้ว”

หลายบริษัทใช้ทั้ง 3 พร้อมกันแบบลำดับชั้น:

• COBIT = strategic layer (Board / C-Suite ใช้คุยภาพรวม IT)
• ISO 27001 = compliance layer (ใช้ตอบลูกค้า + auditor)
• NIST CSF = operational layer (ทีม security ใช้งานวันๆ)

ใครใช้ COBIT#

• บริษัทใหญ่ที่มี Board of Directors ที่ต้องรายงานเรื่อง IT — COBIT เป็นภาษากลางที่ Board เข้าใจ
• บริษัทมหาชน ที่ต้อง SOX compliance — COBIT mapping กับ SOX requirements ได้ตรงๆ
• บริษัทที่กำลัง IT transformation ใหญ่ — COBIT ช่วย align IT strategy กับ business
• Auditors / Consultants — CISA และ CGEIT exam ของ ISACA ใช้ COBIT เป็นพื้นฐาน

ใครไม่ต้องใช้? — SME ที่ < 200 คน. COBIT ไม่เหมาะ. โครงสร้างมันออกแบบมาสำหรับองค์กรที่มี board + multiple departments + IT budget ใหญ่. SME ใช้ NIST CSF + CIS Controls คุ้มกว่า

มุมผู้บริหาร: COBIT คือ framework ที่ ผู้บริหาร non-IT ใช้คุยกับ CIO / CISO รู้เรื่อง. เมื่อ board ถาม CIO ว่า “เราลงทุน IT ปีนี้ 100 ล้าน — เรา deliver value อะไร? ความเสี่ยงอะไร?” — CIO ที่ตอบด้วยภาษา COBIT (เช่น “EDM02 — Benefits Delivery ของ project A คือ…, EDM03 — Risk Optimization ของ project B คือ…”) ทำให้ board ตามทันได้ง่ายกว่าตอบด้วย technical jargon. ถ้าบริษัทคุณยังไม่มี Board หรือไม่มี C-Suite ที่ไม่ใช่ IT — COBIT ใช้ไม่ทันคุ้ม. แต่ถ้าบริษัทคุณกำลังโต + กำลังจะ IPO + กำลังจะมี Board — เริ่มศึกษา COBIT 2019 ตั้งแต่วันนี้

18 Controls — ทำอะไรพรุ่งนี้#

ผมจะระบุตัวอย่าง 5-6 controls ที่สำคัญที่สุดให้เห็นภาพ — ทั้งหมด 18 controls อ่านได้ฟรีที่ cisecurity.org:

Control 1 — Inventory and Control of Enterprise Assets — รู้ว่าบริษัทมีอุปกรณ์อะไรบ้าง (laptop, server, mobile, IoT). ฟังดูง่ายมาก — แต่บริษัทส่วนใหญ่ทำไม่ได้. ถ้าไม่รู้ว่าตัวเองมีอะไร — ป้องกันไม่ได้

Control 2 — Inventory and Control of Software Assets — รู้ว่าใน asset เหล่านั้นมี software อะไรลงอยู่. รวมถึง shadow IT (ระบบที่พนักงานติดตั้งเอง)

Control 3 — Data Protection — รู้ว่าข้อมูล sensitive อยู่ที่ไหน + เข้ารหัสตามที่ควรทำ

Control 5 — Account Management — บัญชี user / admin มีกี่ตัว, ใครใช้ตัวไหน, mfa เปิดทุกตัวไหม

Control 6 — Access Control Management — Least privilege (ให้สิทธิ์น้อยที่สุดเท่าที่ทำงานได้)

Control 7 — Continuous Vulnerability Management — scan หาช่องโหว่ + patch สม่ำเสมอ

Control 8 — Audit Log Management — เก็บ log ของระบบ + เฝ้าดู

Control 14 — Security Awareness and Skills Training — อบรมพนักงานทุกปี

Control 17 — Incident Response Management — มีแผนตอบเหตุ

ดูแล้วเหมือนตำราคุณป้าใช่ไหมครับ? — ใช่ครับ. นี่คือเสน่ห์ของ CIS Controls — ตรงไปตรงมา + ทำได้จริง. ไม่ต้องอ่านเอกสาร 200 หน้าก่อนเริ่ม

3 Implementation Groups — ทำตามขนาดบริษัท#

ของฉลาดที่สุดของ CIS Controls คือ Implementation Groups (IG) — แบ่งเป็น 3 ระดับ:

IG1 (Essential Cyber Hygiene — สุขลักษณะ cyber ขั้นพื้นฐาน)

• เหมาะกับ — บริษัทเล็ก (< 200 คน), ไม่มี sensitive data, ไม่มี budget security
• จำนวน controls — 56 safeguards (จากทั้งหมด ~150)
• คล้ายกับ — “อย่างน้อยล็อกประตู, ติดกล้อง, อย่าให้ลูกเล็กเล่นไฟ”

IG2 (Risk-Informed — ตามความเสี่ยง)

• เหมาะกับ — บริษัทกลาง (200-2,000 คน), มี sensitive data ของลูกค้า, มีทีม IT
• จำนวน controls — 130 safeguards
• คล้ายกับ — “ระบบ alarm, มีคนเฝ้า, ฝึกซ้อมหนีไฟ”

IG3 (Advanced — ขั้นสูง)

• เหมาะกับ — บริษัทใหญ่ + sector ที่ regulator บังคับสูง (ธนาคาร, โรงพยาบาล, รัฐบาล)
• จำนวน controls — 153 safeguards (ครบทุก control)
• คล้ายกับ — “ระบบความปลอดภัยระดับสนามบิน”

ฉลาดตรงไหน? — บริษัทเล็กไม่ต้องทำครบทุก control. เริ่มที่ IG1 (56 ข้อ) → พอ mature ขึ้นค่อยขยับไป IG2 → IG3. ไม่ใช่ “อะไรก็ต้องทำ” แบบที่ ISO 27001 ดูเหมือนต้องการในใจของผู้บริหารหลายคน

ใครใช้ CIS Controls + ราคาเท่าไหร่#

ใครใช้?

• SME ที่ไม่มี security team เต็มเวลา — เริ่มที่ IG1 ทำเองได้
• บริษัทที่อยากเริ่ม security ก่อน budget มี — ใช้ CIS ก่อน → ค่อยเสริม NIST/ISO
• MSP / MSSP ใช้เป็น baseline บริการลูกค้าเล็ก
• บริษัทที่ใช้ NIST CSF / ISO 27001 แล้ว — ใช้ CIS เป็น tactical implementation guide ของ control ที่ NIST/ISO บอกแค่ “เคยถึง” แต่ไม่บอก “ทำยังไง”

ราคา? — ฟรี. ดาวน์โหลดเอกสาร + tools ฟรีที่ cisecurity.org. มี CIS Controls Self-Assessment Tool (CIS CSAT) ที่ใช้ประเมินตัวเองได้ฟรี

ค่าใช้จ่ายที่มีคือ — เวลาของพนักงาน + tools เสริมที่ต้องซื้อ (เช่น vulnerability scanner) — แต่ของพวกนี้ต้องซื้ออยู่แล้วไม่ว่าใช้ framework ตัวไหน

มุมผู้บริหาร: ถ้าบริษัทคุณเป็น SME (< 200 คน) + ไม่มี security team + งบจำกัด — CIS Controls IG1 คือจุดเริ่มต้นที่คุ้มที่สุดในโลก. ลองให้ IT manager ใช้ CIS CSAT (ฟรี) ประเมินบริษัท → ดูว่า 56 safeguards ของ IG1 ตอนนี้ผ่านกี่ข้อ → ที่ผ่านไม่ครบ ทำแผน 6 เดือนปิด gap. ค่าใช้จ่ายในการเริ่ม = 0 บาท + เวลา IT manager 2-4 ชั่วโมงต่อสัปดาห์. นี่คือ security improvement ที่ ROI สูงที่สุดสำหรับ SME ในไทยปีนี้. อย่ารอจนได้ ISO cert ทีหลังถึงเริ่ม — ของเล็กที่ทำได้พรุ่งนี้สำคัญกว่าของใหญ่ที่ทำได้ปีหน้า

หมายเหตุพิเศษสำหรับองค์กรที่พัฒนาซอฟต์แวร์เอง: OWASP SAMM#

CIS Controls ครอบคลุม security ระดับองค์กรในภาพรวม แต่ถ้าบริษัทคุณเขียน software เองเป็นหลัก — เช่น SaaS, fintech, in-house development team ขนาดใหญ่ — ควรรู้จัก framework เฉพาะทางอีกตัวคือ OWASP SAMM (Software Assurance Maturity Model / โมเดลวัดวุฒิภาวะการรักษาความปลอดภัยของซอฟต์แวร์) จาก Open Worldwide Application Security Project

SAMM เป็น open framework ที่ช่วยให้องค์กร วางและวัดวุฒิภาวะของกลยุทธ์ security สำหรับการพัฒนา software โดยปรับตาม risk เฉพาะของแต่ละองค์กร ไม่ใช่ checklist แบบ “ทำหรือไม่ทำ” แต่เป็นโมเดล maturity ระดับ 0–3 ในแต่ละ practice (governance, design, implementation, verification, operations) ใช้คู่กับ BSIMM (Building Security In Maturity Model) ได้ — ทั้งสองตัวเน้นเรื่อง secure-coding maturity เหมือนกัน แต่ SAMM เป็น prescriptive model ส่วน BSIMM เป็น descriptive (วัดสิ่งที่บริษัทอื่นกำลังทำจริง)

ใน CISA SAMM ถูกจัดอยู่ในกลุ่ม prescriptive control frameworks ร่วมกับ CIS 18, PCI DSS, CSA CCM ตามที่อธิบายไว้ใน CISA D1 ตอน 05 — Risk + Control — ถ้าสนใจมุม audit ตามไปอ่านที่นั่นได้

กลุ่ม 1 — บริษัทเล็ก (< 200 คน), local Thai only#

แนะนำ: CIS Controls IG1

• เริ่มที่ 56 safeguards ของ IG1 — ใช้ CIS CSAT ประเมินตัวเอง
• ไม่ต้องจ่ายค่า cert
• 1-2 ปีค่อยพิจารณาขยับขึ้น IG2 ถ้าธุรกิจโต
• ถ้าลูกค้าบางรายเริ่มถาม “บริษัทคุณมี ISO ไหม” — ตอบว่า “เราใช้ CIS Controls IG1 + กำลังขยับขึ้น IG2 ปีนี้” — ลูกค้า SME ไทยส่วนใหญ่รับได้

กลุ่ม 2 — บริษัทกลาง (200-2,000 คน), ไม่มี cert requirement#

แนะนำ: NIST CSF (primary) + CIS Controls IG2 (operational)

• ใช้ NIST CSF เป็นกรอบบริหารงาน security ทั้งหมด (5+1 functions)
• ใช้ CIS Controls IG2 เป็น tactical checklist ที่ทีม IT ใช้งานจริงรายวัน
• ค่าใช้จ่ายในการ implement = $50,000-150,000 ปีแรก + เวลาของพนักงาน
• ถ้าธุรกิจขยายตัวต่างประเทศ — ค่อยเพิ่ม ISO 27001 cert ในปีที่ 2-3

กลุ่ม 3 — บริษัทกลาง-ใหญ่ ที่ลูกค้าต่างประเทศต้อง cert#

แนะนำ: ISO 27001 (cert) + NIST CSF (operational) + CIS Controls (tactical)

• ISO 27001 สำหรับตอบลูกค้า + auditor + regulator
• NIST CSF สำหรับทีม security ใช้งาน
• CIS Controls สำหรับ implementation detail
• ค่าใช้จ่าย ~ $100,000-300,000 ปีแรก +$50,000-100,000/ปี maintenance
• ใช้ mapping table ระหว่าง NIST CSF ↔ ISO Annex A ↔ CIS Controls — ทำให้งานไม่ซ้อน

กลุ่ม 4 — บริษัทใหญ่ + มี Board + IT budget ใหญ่#

แนะนำ: COBIT (governance) + ISO 27001 (cert) + NIST CSF (operational) + CIS Controls (tactical)

• COBIT 2019 เป็น strategic layer ที่ Board ใช้คุยภาพรวม IT
• ISO 27001 cert สำหรับ external compliance
• NIST CSF เป็น operational framework
• CIS Controls เป็น tactical implementation
• ค่าใช้จ่าย ~ $300,000-1,000,000+ ปีแรก
• ต้องมี GRC team เต็มเวลาในบริษัท

Edge case — sector ที่ regulator บังคับ specific framework#

นอกจาก 4 framework หลักนี้ — บาง sector มี framework เฉพาะที่ต้องทำเพิ่ม:

• บัตรเครดิต / acquirer / payment processor → PCI DSS (Payment Card Industry Data Security Standard) — บังคับโดย Visa/Mastercard
• โรงพยาบาลในอเมริกา → HIPAA (Health Insurance Portability and Accountability Act)
• ข้อมูลส่วนบุคคลของพลเมือง EU → GDPR (General Data Protection Regulation)
• ข้อมูลส่วนบุคคลในไทย → PDPA (Personal Data Protection Act พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล)
• บริษัทมหาชนในอเมริกา → SOX (Sarbanes-Oxley Act) — บังคับเรื่อง financial reporting

framework เฉพาะ sector เหล่านี้ ทับซ้อนกับ ISO/NIST/CIS ในหลายส่วน — ถ้าทำ ISO 27001 + CIS Controls แล้ว มักครอบคลุม PCI DSS / HIPAA / GDPR / PDPA ส่วนใหญ่อยู่แล้ว แต่ก็มีข้อกำหนดเฉพาะที่ต้องเสริมต่างหาก

Real example — Equifax กับ “ผ่าน framework ≠ ปลอดภัย”#

ก่อนปิด section นี้ — ผมอยากเล่าเคสที่จะ tease EP.09 ครับ

Equifax ปี 2017 — ก่อน breach — ผ่าน PCI DSS (เพราะเป็น credit reporting agency ต้องมี). มี ISO 27001 cert ฝั่ง corporate. ทำ NIST framework mapping. ในเอกสารทุกอย่างดูเรียบร้อย

แต่โจรเข้าได้ผ่าน Apache Struts vulnerability ที่ patch ออกมาแล้ว 6 สัปดาห์ + Equifax ไม่ patch. ในเอกสาร framework ทุกตัว — บอกว่าต้องมี vulnerability management. ของจริง — มี process แต่ไม่ทำตาม

Frameworks ≠ Security. นี่คือบทเรียนที่บอกว่า — มีเอกสาร “ผ่าน” framework ไม่เท่ากับ “ปลอดภัย”. เพราะ framework ตรวจ process + เอกสาร — แต่ของจริงที่สำคัญคือ execution ในชีวิตจริง. และนี่คือเรื่องที่เราจะคุยใน EP.09 — Compliance Theater (ละครการปฏิบัติตามกฎ)

มุมผู้บริหาร: Decision tree ข้างบนเป็น guideline เริ่มต้น — ของจริงต้องดูบริบทบริษัท. แต่ 2 หลักการที่ใช้ได้ทุกบริษัท คือ — (1) เลือก 1 framework เป็น primary แล้วทำให้ครบ อย่ากระจัดกระจาย 4 ตัวพร้อมกัน. (2) เริ่มที่ขนาดที่ทำได้ — บริษัทเล็กเริ่ม CIS IG1 ก่อนดีกว่ารอ ISO cert มาทีหลัง. และจำไว้ว่า — ผ่าน cert ≠ ปลอดภัย — cert คือ “ใบเข้างาน” ไม่ใช่ “การันตี”. เรื่องนี้คุยลึกใน EP.09

สิ่งที่ผู้นำต้องจำ#

• ข้อแรก เลือก 1 framework เป็น primary แล้วทำให้ครบ อย่ากระจัดกระจาย กับดักที่บริษัทไทยทำผิดบ่อยที่สุดคือ ทำหลาย framework พร้อมกันแบบลวกๆ ทุกตัว เริ่ม ISO ไป 30% + เริ่ม NIST ไป 20% + เริ่ม CIS ไป 10% ผลคือไม่มีตัวไหนทำเสร็จดี + เสียเงินทุกตัว ของจริงคือ เลือก 1 ตัวที่เหมาะกับขนาด + sector + ลูกค้าของบริษัทคุณ → ทำตัวนั้นให้ครบ 100% ก่อน → ค่อยเพิ่มตัวที่สองทีหลัง SME ไทยส่วนใหญ่ตอบที่ดีที่สุดคือ CIS Controls IG1 → IG2 → ค่อยขยับไป NIST CSF → ขยับไป ISO 27001 ถ้าธุรกิจต้องการ ลำดับนี้สมเหตุสมผลทั้งทางการเงินและทางปฏิบัติ
• ข้อสอง Certificate (ISO 27001 / SOC 2) คือ “ใบเข้างาน” ไม่ใช่ “การันตีปลอดภัย” นี่เป็นบทเรียนที่ Equifax สอนวงการในปี 2017 Equifax มี PCI DSS มี ISO 27001 cert มี NIST mapping แต่ยังโดน breach 147 ล้านแฟ้ม เพราะ framework และ certificate ตรวจ process + เอกสาร แต่ของจริงคือ execution ในชีวิตจริง ใบ cert ทำให้ลูกค้าต่างประเทศเซ็นสัญญาง่ายขึ้น + บอก insurance ว่าบริษัทเอาจริง แต่ไม่ได้แปลว่าปลอดภัย เรื่องนี้คือหัวใจของ EP.09

EP.08 จบแล้ว เราเดินดู framework ทั้ง 4 ตัว ISO 27001 / NIST CSF / COBIT / CIS Controls รู้แล้วว่าตัวไหนคืออะไร ราคาเท่าไหร่ ใครใช้ บริษัทขนาดไหนควรเลือกตัวไหน คำถามถัดมาที่หนีไม่พ้นคือ “ในเมื่อ Equifax / Target / Heartland ผ่าน framework และ audit ก่อนโดน แล้วเราจะเชื่อใบ cert ได้แค่ไหน?” นี่คือเรื่องของ EP.09 คือ Compliance Theater ละครที่บริษัททั่วโลกแสดงให้ auditor ดูแล้วโดน breach หลังจากนั้น 3 เดือน