Generic selectors
Exact matches only
Search in title
Search in content
Search in posts
Search in pages

ISO / IEC 27001 Information Security Management System

            มาตรฐาน ISO / IEC 27001 เป็นมาตรฐานสากลที่ดีที่สุดในการจัดการด้านระบบการรักษาความปลอดภัยข้อมูลองค์กรด้วยมาตรฐานนี้ โดยสามารถสร้างกลยุทธและกำหนดทิศทางสำหรับการประเมิน การวัดค่าและการป้องกันการคุกคามจากภายนอกโดยผ่านกระบวนการจัดการความเสี่ยงของมาตรฐานได้
จุดประสงค์ของมาตรฐานนี้เพื่อจะทำให้องค์กรสามารถบริหารจัดการทางด้านความปลอดภัยได้อย่างมีระบบและเพียงพอเหมาะสมต่อการดำเนินขององค์กร โดยเริ่มแรกองค์กรต้องทำการวิเคราะห์ความเสี่ยงของระบบจากภัยคุกคาม และจุดอ่อนต่างๆ ในระบบจากนั้นจึงวิเคราะห์และเลือกแนวทางการควบคุม และป้องกันสารสนเทศต่างๆ อย่างเหมาะสม และพอเพียวงโดยในตัวมาตรฐานก็จะมีแนวทางที่เรียกว่า Code of Practice ให้ใช้งานเพื่อควบคุมความเสี่ยงต่างๆ ขณะเดียวกัน มาตรฐานนี้ยังกำหนดให้องค์กรต้องควบคุมดูแลระบบการรักษาความมั่นคงปลอดภัยและกลไกในการพัฒนาอย่างต่อเนื่องอีกด้วย
       ระบบการบริหารจัดการความมั่นคงปลอดภัยของสารสนเทศ โดยความมั่นคงปลอดภัยในมาตรฐานของ ISO 27001 มีคุณสมบัติ 3 อย่างดังนี้

1) การรักษาความลับ (Confidentiality) คุณสมบัติว่าข้อมูลจะไม่ถูกเผยแพร่หรือเปิดเผยให้บุคคล กิจการ หรือกระบวนการที่ไม่ได้รับอนุญาต
2) ความครบถ้วนถูกต้อง (Integrity) คุณสมบัติ ของการปกป้องความถูกต้องและครบถ้วนของทรัพย์สิน
3) ความพร้อมใช้ (Availability) คุณสมบัติของการเป็นที่สามารถเข้าถึงและใช้งานได้ตามความต้องการ โดยกิจการที่ได้รับอนุญาตโดยมาตรฐานของ ISO/IEC 27001 เป็นการปกป้ององค์กรโดยใช้การป้องกัน 3 ชั้น ได้แก่

1 Line of Defense – เทคโนโลยี (Technology) Operational Management, Internal Control
2. Line of Defense – กระบวนการ (Process) Risk Management, Compliance
3. Line of Defense – บุคลากร (People) Awareness & Training, Internal Audit

ภาพ 4.2 ISO27001 Information Security Management System
ภาพ 4.2 ISO27001 Information Security Management System

        จากรูปภาพ 4.2 ข้างต้นเป็นวงจรของ PDCA กรอบงานสำหรับระบบการจัดการทั่วไป ซึ่งประกอบด้วย 4 ขั้นตอน ได้แก่ การวางแผน การกระทำ การตรวจสอบ การทำอย่างต่อเนื่อง โดยจะประกอบด้วยวงจรดังต่อไปนี้ หมายเลขที่ 4 เป็นการทำความเข้าใจบริบทขององค์กร ความต้องการและความคาดหวังของผู้มีส่วนได้ส่วนเสีย และการกำหนดขอบเขตของระบบต่างๆ ภายในองค์กร โดยเชื่อมโยงกับการวางแผน หมายเลข 5 กำหนดบทบาทคนรับผิดชอบต่อองค์กรและการมอบอำนาจหน้าที่ให้ดูแล และหมายเลข 6 การดำเนินการเพื่อจัดการความเสี่ยงและโอกาส โดยควรวางแผนและจุดประสงค์เพื่อให้บรรลุเป้าหมายอย่างแท้จริง หมายเลข 7 หลังจากจัดการกับบริบทความมุ่งมั่นและการวางแผนองค์กรจะต้องดูการสนับสนุนที่จำเป็นเพื่อให้บรรลุเป้าหมายและวัตถุประสงค์ ซึ่งรวมถึงแหล่งข้อมูลการสื่อสารภายในและภายนอกที่มีการกำหนดเป้าหมายรวมถึงข้อมูลที่เป็นเอกสารซึ่ง องค์กรต้องจัดหาทรัพยากรที่มีความสามารถสนับสนุนการควบคุมข้อมูลที่เป็นเอกสาร หมายเลข 8 การวางแผนและการปฎิบัติงานให้สอดคล้องกับที่จัดการวางแผนมาข้างต้นให้บรรลุเป้าหมาย โดยมีหมายเลข 9 เป็นตัวตรวจสอบการวัดวิเคราะห์และการประเมินผล รวมถึงการทบทวนการบริหารภายใน และขั้นตอนสุดท้าย หมายเลข 10 เป็นการทบทวนและปรับปรุงประสิทธิภาพการบริหารควบคุมอย่างต่อเนื่อง
        โดยประโยชน์การบริหารจัดการความมั่นคงปลอดภัยของสารสนเทศที่ได้จากการทำ ISO 27001 คือ ดูแลข้อมูลตามคุณค่าความสำคัญของข้อมูลที่มีต่อองค์กร, ดูแลข้อมูลตามระดับความเสี่ยง, ตอบสนองต่อความต้องการของผู้มีส่วนได้ส่วนเสีย, ดูแลข้อมูลให้สนับสนุนความต่อเนื่องในการดำเนินธุรกิจในสถานการณ์ฉุกเฉิน. ส่งเสริมภาพลักษณ์ขององค์กร, สามารถวัดผลความสำเร็จของวิธีการควบคุมความมั่นคงปลอดภัยของสารสนเทศ, รู้ถึงผลตอบแทนในการลงทุนด้านเทคโนโลยีสารสนเทศ, สร้างความเชื่อมั่นให้ผู้บริหาร ลูกค้า และพนักงาน, มั่นใจในด้านความสอดคล้องต่อกฎหมาย เป็นต้น