มาตรฐาน ISO/IEC 27001:2022

ระบบมาตรฐาน ISO/IEC 27001:2022

          เน้นการจัดการความปลอดภัยของข้อมูลและความลับในองค์กร โดยให้กรอบการทำงานและแนวทางสำหรับการปรับปรุงความปลอดภัยของข้อมูล ใช้หลักการประเมินความเสี่ยงและการจัดการความเสี่ยงเพื่อป้องกัน ควบคุม และลดความเสี่ยงที่เกี่ยวข้องกับข้อมูลและความปลอดภัยของข้อมูลสารสนเทศ

          โดยทั่วไปแล้ว ISO/IEC 27001 ถูกนำมาใช้ในองค์กรที่ต้องการปรับปรุงความปลอดภัยของข้อมูลสารสนเทศและควบคุมความเสี่ยงที่เกี่ยวข้อง อาจเป็นองค์กรที่จัดเก็บข้อมูลส่วนบุคคล บริษัทที่มีความสำคัญในการรักษาความลับของข้อมูลธุรกิจ หรือหน่วยงานที่มีความน่าเชื่อถือและมีความสำคัญในด้านความปลอดภัยของข้อมูลสารสนเทศ โดยการปรับใช้มาตรฐานนี้สามารถช่วยให้องค์กรมีการจัดการความปลอดภัยของข้อมูลที่เหมาะสมและมีการจัดการด้านความคุ้มครองข้อมูลสารสนเทศอย่างมีประสิทธิภาพ

ประเภทมาตรฐาน

ISO/IEC 27001 เป็นมาตรฐานระบบการจัดการ สามารถขอการรับรองจากหน่วยรับรองระบบ (Certification Body) ที่ให้บริการได้

ขอบเขตและการประยุกต์ใช้

ISO/IEC 27001 เป็นมาตรฐานสากลที่องค์กรธุรกิจทั่วโลกให้ความสำคัญ โดยสามารถนำไปประยุกต์ใช้ได้กับองค์กรทุกประเภท (เช่น ภาคการค้า หน่วยงานภาครัฐ และองค์กรไม่แสวงหากำไร)

ประโยชน์ที่ได้รับจากการนำมาตรฐานไปใช้

  • ลดความเสี่ยงขององค์กรต่อภัยคุกคามที่เพิ่มขึ้นของการโจมตีทางไซเบอร์
  • ตอบสนองต่อความเสี่ยงด้านความปลอดภัยที่พัฒนาขึ้นเรื่อยๆ
  • ช่วยตรวจสอบให้แน่ใจว่าสินทรัพย์ เช่น งบการเงิน ทรัพย์สินทางปัญญา ข้อมูลพนักงาน และข้อมูลที่บุคคลที่สามมอบหมายยังคงไม่เสียหาย เป็นความลับ และพร้อมใช้งานตามความจำเป็น
  • มีการจัดการข้อมูลรวมเป็นศูนย์กลางโดยรักษาความปลอดภัยของข้อมูลทั้งหมดไว้ในที่เดียว
  • ส่งเสริมการเตรียมบุคลากร กระบวนการ และเทคโนโลยีทั่วทั้งองค์กรเพื่อรองรับและรับมือกับความเสี่ยงด้านเทคโนโลยีและภัยคุกคามอื่นๆ
  • รักษาความปลอดภัยข้อมูลในทุกรูปแบบ รวมถึงข้อมูลบนกระดาษ ข้อมูลบนคลาวด์ และดิจิทัล
  • ประหยัดเงินด้วยการเพิ่มประสิทธิภาพและลดค่าใช้จ่ายสำหรับเทคโนโลยีการป้องกันที่ไม่ได้ผล
  • สร้างความมั่นใจและความน่าเชื่อถือให้กับลูกค้า พนักงาน คู่ค้า และผู้มีส่วนได้เสียเกี่ยวกับการจัดการข้อมูลและระบบสารสนเทศที่ปลอดภัย หรือการกำหนดนโยบายที่จะต่อสู่กับการละเมิดสิทธิ
  • สนับสนุนกลยุทธ์การแปลงเป็นดิจิทัล
  • เสริมความแข็งแกร่งให้กับมาตรการรักษาความปลอดภัยข้อมูลขององค์กร ลดความเสี่ยงของการละเมิดข้อมูล และสร้างความยืดหยุ่นของข้อมูลในองค์กร
  • ทำให้มั่นใจได้ว่าองค์กรมุ่งมั่นที่จะรักษาความปลอดภัยของข้อมูลที่มีอยู่ในทุกระดับทั่วทั้งองค์กร

​​สาระสำคัญของมาตรฐาน

ISO/IEC 27001 เป็นมาตรฐานว่าด้วยการจัดการความมั่นคงและปลอดภัยด้านสารสนเทศ (ISMS) โดยมีแนวคิดตามหลัก Plan-Do-Check-Act

ข้อกำหนดสำหรับการดำเนินงาน ประกอบด้วย

  • ข้อ 4 บริบทขององค์กร (Context of the organization) : การจัดทำระบบการจัดการความมั่นคงปลอดภัยสารสนเทศ (ISMS) องค์กรต้องเข้าใจบริบทองค์กร ความต้องการของผู้มีส่วนได้ส่วนและ และกำหนดขอบข่ายการจัดทำระบบ นโยบาย ประเมินและระบุความเสี่ยงขององค์กร ระบุแนวทางการจัดการกับความเสี่ยง เลือกวิธีการควบคุมและจัดการความเสี่ยง และจัดเตรียมคำชี้แจงการนำไปประยุกต์ใช้
  • ข้อ 5 ภาวะผู้นำ (Leadership) : ความรับผิดชอบของฝ่ายบริหาร โดยการแสดงความมุ่งมั่นการให้ความสำคัญต่อระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ กำหนดนโนบาย และกำหนดบทบาท หน้าที่ความรับผิดชอบ และอำนาจหน้าที่ขององค์กร
  • ข้อ 6 การวางแผน (Planning) : การจัดทำแผนและดำเนินการ โดยการดำเนินการเพื่อจัดการกับความเสี่ยงและโอกาส กำหนดวัตถุประสงค์ด้านความมั่นคงปลอดภัยสารสนเทศในฟังก์ชันและระดับงานที่เกี่ยวข้อง การวางแผนการเปลี่ยนแปลง (กรณีที่มีการเปลี่ยนแปลง)
  • ข้อ 7 การสนับสนุน (Support) : กำหนดและให้ทรัพยากรที่จำเป็นสำหรับการกำหนด การนำสู่การปฏิบัติ การบำรุงรักษา และการปรับปรุงอย่างต่อเนื่อง สำหรับระบบ ISMS กำหนดสมรรถนะและพัฒนาบุคลากร และมีความตระหนักต่อในการดำเนินงานของระบบ ISMS และการสื่อสารให้ทราบทั้งภายในและภายนอกองค์กร การจัดเตรียม ควบคุมบันทึกและเอกสาร และการจัดเก็บ
  • ข้อ 8 การดำเนินการ (Operation) : การวางแผนที่เกี่ยวข้องกับการดำเนินการและการควบคุม การประเมินความเสี่ยงต่อความมั่นคงปลอดภัยสารสนเทศ การจัดการกับความเสี่ยงต่อความมั่นคงปลอดภัยสารสนเทศ
  • ข้อ 9 การประเมินประสิทธิภาพและประสิทธิผล (Performance evaluation) : การเฝ้าระวัง การวัดผล การวิเคราะห์ และการประเมินผล มีการตรวจประเมินภายใน และมีการทบทวนของผู้บริหาร
  • ข้อ 10 การปรับปรุงอย่างต่อเนื่อง (Continual improvement) : ต้องปรับปรุงความเหมาะสม ความเพียงพอ และความสัมฤทธิ์ผลของระบบ ISMS อย่างต่อเนื่อง และดำเนินการกับความไม่สอดคล้อง และดำเนินการแก้ไข

แหล่งข้อมูลอ้างอิง

https://www.iso.org/standard/27001

มาตรฐาน ISO/IEC 27001:2022 ฉบับภาษาไทย, https://www.tnetsecurity.com

ISO/IEC 27001 Transition Guide, https://www.bsigroup.com/globalassets/localfiles/en-th/iso-27001/resources/iso-iec-27001-transition-guide-th.pdf

 

ผู้บันทึกข้อมูล : wallop
View : 2075
เราใช้คุกกี้เพื่อเพิ่มประสิทธิภาพในการให้บริการและปรับปรุงบริการ คุณสามารถเลือกตั้งค่าความยินยอมการใช้คุกกี้ได้ที่ปุ่ม "ตั้งค่าคุกกี้" Privacy Policy    ยอมรับทั้งหมด