มาตรฐาน ISO/IEC 27001 หรือระบบการบริหารจัดการความมั่นคงปลอดภัยของสารสนเทศ (Information Security Management Systems: ISMS)
Posted by Supatcha Swangchaeng on
มาตรฐาน ISO/IEC 27001 หรือระบบการบริหารจัดการความมั่นคงปลอดภัยของสารสนเทศ (Information Security Management Systems: ISMS) คือมาตรฐานที่จะช่วยให้เราจัดการข้อมูลสารสนเทศที่มีอย่างเป็นระบบ ครบถ้วน ปลอดภัย และสามารถนำมาใช้งานได้อย่างทันท่วงที
เนื่องจากปัจจุบันนี้ข้อมูลสารสนเทศถือได้ว่ามีส่วนสำคัญและเป็นสิ่งจำเป็นอย่างยิ่งในชีวิตประจำวัน การประกอบธุรกิจตั้งแต่ระดับ SME เล็กๆไปจนถึงองค์กรใหญ่ๆ หากต้องการเพิ่มความมั่นคงให้กับข้อมูลที่มีอยู่ในมือว่าจะถูกเก็บรักษาไว้อย่างปลอดภัย ลดโอกาสที่จะเกิดปัญหาจากการเข้าถึงอย่างไม่ได้รับอนุญาต ซึ่งอาจะทำให้เกิดกรณีฟ้องร้องค่าเสียหายในภายหลัง รวมไปถึงช่วยยืนยันว่าข้อมูลจะได้รับการจัดเก็บอย่างเป็นระบบเพื่อให้สามารถหยิบมาใช้ได้ในทันทีที่ต้องการ
มาตรฐาน ISO/IEC 27001ได้มีการประยุกค์ใช้หลักการ Plan-Do-Check-Act (PDCA) เข้ามาทำให้การจัดการข้อมูลนั้นเป็นไปอย่างมีระบบ มีการบริหารจัดการเชิงกระบวนการที่ใช้กันอย่างแพร่หลาย โดยมุ่งเน้นไปที่การวางแผนก่อนลงมือปฎิบัติงาน การจัดทำนโยบาย การลงมือทำอย่างรอบคอบรัดกุม รวมถึงมีการควบคุม ตรวจสอบ และประเมินความเสี่ยงในการปฏิบัติงานอยู่เสมอ
ประโยชน์ที่จะได้รับจากการจัดทำ ISO/IEC 27001
- ช่วยทำให้พนักงานและผู้บริหารเข้าใจองค์กรและบริบทขององค์กร
- ช่วยเสริมภาพลักษณ์องค์กรให้ดูน่าเชื่อถือมากยิ่งขึ้น
- เพิ่มความมั่นใจให้กับผู้บริหาร พนักงาน ลูกค้าว่าข้อมูลที่เป็นความลับจะถูกดูแลอย่างดีไม่ทำให้เกิดความเสี่ยงตามมาภายหลัง
- สามารถประเมินและดูแลข้อมูลตามความสำคัญและความเสี่ยงที่มีต่อองค์กร
การนำมาตรฐานISO27001มาใช้งาน มี4 องค์ประกอบใหญ่คือ
- จัดทำระบบ(Establish) การจัดการความมั่นคงปลอดภัยของ สารสนเทศ(Information Security Management System -ISMS) คือ การเตรียมการ วางแผนเพื่อปกป้องสารสนเทศ
- นำไปปฏิบัติ(Implement) คือ นำแผนจากขั้นตอนการจัดทำระบบ(Establish) ไปปฏิบัติจริงหน้างานทำตามเอกสารคู่มือและลงบันทึกในแบบฟอร์ม
- รักษาไว้(Maintain) คือปฏิบัติควบคู่ไปกับการทำงานปกติ(ไม่ใช่ทำเฉพาะก่อนจะโดนตรวจAudit)
- ปรับปรุงอย่างต่อเนื่อง(Continual Improvement) คือ ทบทวนผลการทำระบบและหาจุดปรับปรุง อย่างต่อเนื่อง ไม่ใช่ทำครั้งเดียวจบ
Source Reference:
- https://en.wikipedia.org/wiki/ISO/IEC_27001
- http://www.club27001.com/2013/08/isoiec-27001_21.html
- https://op.mahidol.ac.th/ia/wp-content/uploads/2017/08/07KMISO27001.pdf