รู้จัก ISO/IEC 27001 มาตรฐานระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศ

Posted by pryn on วันพุธที่ 7 สิงหาคม พ.ศ. 2556 0

รู้จัก ISO/IEC 27001 มาตรฐานระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศ

ความเป็นมาของ ISO/IEC 27001

ISO/IEC 27001 เป็นมาตรฐานที่เกิดจากความร่วมมือระหว่างหน่วยงาน ISO(The International Organization for Standardization) กับหน่วยงาน IEC (The International Electrotechnical Commission) ร่วมกับองค์กรระหว่างประเทศอื่นๆ อีกหลายองค์กร ประกอบด้วยองค์กรรัฐบาลและองค์กรอิสระต่างๆ

ทำไมต้องนำมาตรฐานมาใช้

มาตรฐาน ISO/IEC 27001 เป็นมาตรฐานด้านการบริหารจัดการความมั่นคงปลอดภัยของสารสนเทศที่ผ่านการระดมสมอง อภิปราย และโหวตรับรองโดยประเทศทีเป็นสมาชิก นอกจากนี้มีในกระบวนการพัฒนามาตรฐานระดับสากลได้เปิดโอกาสให้ตัวแทนของแต่ละประเทศ องค์กรวิชาชีพ ได้เข้ามามีส่วนร่วม โดยมีเป้าหมายเพื่อให้เกิดการยอมรับในระดับสากล

องค์กรที่ต้องการทำระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศ หากต้องการสร้างระบบที่ได้รับการยอมรับอย่างแพร่หลาย ควรนำมาตรฐานสากลมาประยุกต์ใช้จะเป็นผลดีกว่าการกำหนดมาตรฐานเอง ซึ่งต้องใช้เวลาและผู้เชี่ยวชาญในการพัฒนา นอกจากนี้ยังอาจมีปัญหาเรื่องการยอมรับจากภายนอก

การเลือกมาตรฐานมาใช้ ต้องพิจารณาถึงวัตถุประสงค์ ถ้าต้องการใบรับรอง ต้องดูว่าจะใช้ภายในหรือต่างประเทศด้วย

ข้อดีของการประยุกต์ใช้มาตรฐานสากล

- เป็นที่ยอมรับระดับสากล รู้จักแพร่หลายทั่วโลก

- มีการตรวจประเมินเพื่อรับรองมาตรฐาน โดยองค์กรที่ไม่มีส่วนได้เสีย (Third Party Certification Body)

- มีองค์ความรู้ หนังสือ การสัมนา ที่ปรึกษาและผู้เชี่ยวชาญ

- เป็นมาตรฐานที่ไม่ผูกมัดกับเทคโนโลยี เทคนิค หรือ ขั้นตอนที่เฉพาะเจาะจง ผู้จัดทำระบบสามารถเลือกเทคโนโลยีได้ตามความเหมาะสมทำให้มาตรฐานมีความคล่องตัวสูง

สิ่งที่ควรทราบก่อนนำมาตรฐานมาประยุกต์ใช้

- ISO/IEC 27001 เป็นภาษาอังกฤษ ส่วนของไทยก็มีมาตรฐานของคณะกรรมการธุรกรรมฯ องค์กรที่จัดทำระบบนี้ต้องมีความรู้ในภาษาอังกฤษระดับที่สามารถตีความข้อกำหนดได้อย่างถูกต้อง

- การประยุกต์ใช้มาตรฐาน ต้องมาตีความข้อกำหนดและวางแนวทางปฏิบัติให้สอดคล้อง หากตีความผิดหรือไม่ครบถ้วนก็อาจเกิดปัญหาในการตรวจประเมินเพื่อขอการรับรองได้

ผู้เขียน : Pryn Sereepong, CISA, CEH, ISMS(IRCA)
pryn@ftpi.or.th

Club27001 Information Security