มาตรฐาน ISO/IEC 27001 หรือระบบการบริหารจัดการความมั่นคงปลอดภัยของสารสนเทศ (Information Security Management Systems: ISMS)

Posted by Supatcha Swangchaeng on

มาตรฐาน ISO/IEC 27001 หรือระบบการบริหารจัดการความมั่นคงปลอดภัยของสารสนเทศ (Information Security Management Systems: ISMS) คือมาตรฐานที่จะช่วยให้เราจัดการข้อมูลสารสนเทศที่มีอย่างเป็นระบบ ครบถ้วน ปลอดภัย และสามารถนำมาใช้งานได้อย่างทันท่วงที

 

เนื่องจากปัจจุบันนี้ข้อมูลสารสนเทศถือได้ว่ามีส่วนสำคัญและเป็นสิ่งจำเป็นอย่างยิ่งในชีวิตประจำวัน การประกอบธุรกิจตั้งแต่ระดับ SME  เล็กๆไปจนถึงองค์กรใหญ่ๆ หากต้องการเพิ่มความมั่นคงให้กับข้อมูลที่มีอยู่ในมือว่าจะถูกเก็บรักษาไว้อย่างปลอดภัย ลดโอกาสที่จะเกิดปัญหาจากการเข้าถึงอย่างไม่ได้รับอนุญาต ซึ่งอาจะทำให้เกิดกรณีฟ้องร้องค่าเสียหายในภายหลัง รวมไปถึงช่วยยืนยันว่าข้อมูลจะได้รับการจัดเก็บอย่างเป็นระบบเพื่อให้สามารถหยิบมาใช้ได้ในทันทีที่ต้องการ

 

มาตรฐาน ISO/IEC 27001ได้มีการประยุกค์ใช้หลักการ Plan-Do-Check-Act (PDCA) เข้ามาทำให้การจัดการข้อมูลนั้นเป็นไปอย่างมีระบบ มีการบริหารจัดการเชิงกระบวนการที่ใช้กันอย่างแพร่หลาย โดยมุ่งเน้นไปที่การวางแผนก่อนลงมือปฎิบัติงาน การจัดทำนโยบาย การลงมือทำอย่างรอบคอบรัดกุม รวมถึงมีการควบคุม ตรวจสอบ และประเมินความเสี่ยงในการปฏิบัติงานอยู่เสมอ 

 

ประโยชน์ที่จะได้รับจากการจัดทำ ISO/IEC 27001

  1. ช่วยทำให้พนักงานและผู้บริหารเข้าใจองค์กรและบริบทขององค์กร 
  2. ช่วยเสริมภาพลักษณ์องค์กรให้ดูน่าเชื่อถือมากยิ่งขึ้น
  3. เพิ่มความมั่นใจให้กับผู้บริหาร พนักงาน ลูกค้าว่าข้อมูลที่เป็นความลับจะถูกดูแลอย่างดีไม่ทำให้เกิดความเสี่ยงตามมาภายหลัง 
  4. สามารถประเมินและดูแลข้อมูลตามความสำคัญและความเสี่ยงที่มีต่อองค์กร 


การนำมาตรฐานISO27001มาใช้งาน มี4 องค์ประกอบใหญ่คือ  

  1. จัดทำระบบ(Establish) การจัดการความมั่นคงปลอดภัยของ สารสนเทศ(Information Security Management System -ISMS) คือ การเตรียมการ วางแผนเพื่อปกป้องสารสนเทศ  
  2. นำไปปฏิบัติ(Implement) คือ นำแผนจากขั้นตอนการจัดทำระบบ(Establish) ไปปฏิบัติจริงหน้างานทำตามเอกสารคู่มือและลงบันทึกในแบบฟอร์ม  
  3. รักษาไว้(Maintain) คือปฏิบัติควบคู่ไปกับการทำงานปกติ(ไม่ใช่ทำเฉพาะก่อนจะโดนตรวจAudit)  
  4. ปรับปรุงอย่างต่อเนื่อง(Continual Improvement) คือ ทบทวนผลการทำระบบและหาจุดปรับปรุง อย่างต่อเนื่อง ไม่ใช่ทำครั้งเดียวจบ

Source Reference:




Share this post



← Older Post