ISO 27001 มีกี่ข้อ ISO 27001 อ่านว่าอะไร ISO 27000 เป็นมาตรฐานด้านใด มาตรฐานความปลอดภัยสากล มีอะไรบ้าง iso 27001 เหมาะสมกับใครบ้าง iso 27001:2013 คือ ISO 27001 สรุป ISO 27001 ตัวอย่าง

Iso 27001 มี ความ เหมาะสม กับ สิ่ง ใด บ้าง

Posted by pryn on วันอังคารที่ 14 มกราคม พ.ศ. 2557 0

เรียนรู้มาตรฐาน ISO 27001 :2013 การจัดการความมั่นคงปลอดภัยของสารสนเทศแบบเข้าใจง่ายๆ 

 ผู้เขียน : Pryn Sereepong, CISA, CEH, ISMS(IRCA)

 เกริ่นนำ

         Information Security Managment System (ISMS) Standard หรือที่รู้จักกันในนาม ISO27001 เป็นมาตรฐานที่เกี่ยวกับการบริหารจัดการข้อมูลสารสนเทศให้มั่นคงปลอดภัยครับ   พอพูดถึงข้อมูลสารสนเทศท่านอาจคิดว่าคงเป็นเรื่องไอทีล้วนๆ  ถูกต้องแล้วครับ แต่ถูกเพียงครึ่งเดียว!!

จริงๆแล้วมีเรื่องอื่นที่ต้องบริหารจัดการเช่นเดียวกัน ทั้งเรื่องคน เรื่องกฏระเบียบขององค์กร เรื่องจัดซื้อจัดจ้าง เรื่องการฝึกอบรมพนักงาน เป็นต้น เหล่าีนี้ล้วนเกี่ยวข้องกับการบริหารจัดการข้อมูลสารสนเทศให้มั่นคงปลอดภัย   ต่อให้มีระบบไอทีล้ำเลิศแค่ไหนแต่ถ้าไม่มีกฎระเบียบควบคุมที่ชัดเจน ไม่มีการอบรมให้ความรู้ผู้ใช้ และไม่มีการควบคุม Outsourceที่ดีพอ บอกได้เลยว่าองค์กรนี้เหนื่อยครับ !!

ยิ่งองค์กรมีระบบไอทีดีแต่ขาดมาตรการควบคุม พนักงานก็ใช้ทรัพยากรไปกับเรื่องที่ไม่สมควรและหลายคนทำผิดกฏหมาย เช่น พนักงานใช้คอมพิวเตอร์ขององค์กรโหลดหนังและแชร์ไฟล์ที่ละเมิดลิขสิทธิ์ แบบนี้เสี่ยงต่อการโดนจับและเสียหายต่อองค์กรแน่นอน

การจัดทำระบบบริหารจัดการ(Management System)จะต้องพิจารณาหลายด้านที่มีความเกี่ยวข้อง

  • การบริหารคน(ภายในองค์กรและภายนอก เช่น Outsource) 
  • กระบวนการและเทคโนโลยี (เข้าใจกระบวนการทำงาน และเทคโนโลยีที่เหมาะสมในการนำมาใช้งาน)   
  • บริหารงบประมาณ (การลงทุนที่คุ้มค่า)

ซึ่งท่านต้องเข้าใจทั้ง 3 ด้านข้างต้น เพื่อที่จะหาจุดสมดุลย์และเกิดประโยชน์สูงสุด อย่างไรก็ตามเมื่อลงมือทำจริงมันมีอะไรเต็มไปหมดที่ต้องทำความเข้าใจ  จะได้วางแนวทางปฏิบัติให้เหมาะสม ไม่เข้มงวดเกินไปจนทำอะไรไม่ได้(ปลอดภัยสูงสุด) หรือหลวมเกินไปจนแทบไม่ได้ควบคุมอะไรเลย

ISO27001 มาตรฐานสากลที่ทั่วโลกยอมรับ

        

องค์กร ISO - International Organization for Standardization เป็นหน่วยงานที่ให้กำเนิดมาตรฐาน ISO27001 โดยเวอร์ชั่นล่าสุดคือ  ISO27001:2013  ประกาศเมื่อ 1 ต.ค. 2013   ส่วนเวอร์แรกประกาศใช้ครั้งแรกเมื่อปี 2550 (ISO27001:2005)  หลังจากประกาศใช้ก็ได้รับความสนใจจากองค์กรทั้งภาครัฐและเอกชนทั่วโลก นำมาใช้งานและขอการรับรอง (Certification) ประเทศไทยเองก็ไม่แพ้ชาติใดในโลก มีหน่วยงานรัฐและเอกชนเริ่มทำISO27001 และขอการรับรองได้สำเร็จ เช่น บริษัท ไทยออยล์ จำกัด (มหาชน)  บริษัท ทรู อินเทอร์เน็ต ดาต้าเซ็นเตอร์ จำกัด(True IDC) และรัฐวิสาหกิจอีกหลายแห่ง  ท่านดูชื่อแล้วคงนึกว่า มีแต่เทพๆทั้งนั้น องค์กรเล็กๆอย่างเราจะทำได้หรือ ??   คำตอบคือ ทำได้ครับ  มาตรฐานนี้ออกแบบมาให้ใช้ได้ประเภทธุรกิจ หน่วยราชการ สถานศึกษา  และใช้ได้กับองค์กรทั้งขนาดเล็กและขนาดใหญ่อย่างบริษัทข้ามชาติ ทำได้เหมือนกันครับ

ทำไปทำไม

        

ลองนึกภาพดูสมมติท่านไปใช้บริการหน่วยงานราชการแห่งหนึ่ง ปรากฏว่าระบบไอทีล่มให้บริการไม่ได้ เจอแบบนี้ประชาชนผู้ใช้บริการเดือดร้อนแน่นอน ผู้บริหารหน่วยราชการนั้นคงเหงื่อตกและเร่งแก้ปัญหาเฉพาะหน้าเป็นการด่วน     แน่นอนว่าระบบสารสนเทศทุกวันนี้เปรียบเสมือนเส้นเลือดของธุรกิจ คงไม่ดีแน่ถ้าไอทีล่มบ่อย หรือข้อมูลหาย  จะดีกว่ามั้ยถ้ามีระบบอะไรซักอย่างที่ทำให้แน่ใจได้ว่า ระบบข้อมูลสารสนเทศสามารถใ้ห้บริการตามปกติ  ข้อมูลได้รับการปกป้อง และหากเกิดขัดข้องก็สามารถรับมือและกู้ระบบคืนได้  ระบบที่ว่านี้ก็คือ ISO27001 พระเอกของเราล่ะครับ

ดังนั้นการที่จะมั่นใจได้ว่าระบบฯของเรามีความมั่นคงปลอดภัย ก็คือเราจะต้องรู้ว่ามีภัยคุกคามอะไรบ้างที่อาจมาโจมตี ทำให้สารสนเทศของเราเกิดความเสียหาย   จากนั้นจึงประเมินความเสี่ยงและกำหนดมาตรการจัดการกับภัยคุกคาม ให้แน่ใจว่าสามารถรับมือภัยคุกคามเหล่านั้นได้อย่างเหมาะสม

ISO27001 ทำยากมั้ย กลัวจะทำไม่สำเร็จ

นี่เป็นคำถามยอดฮิตเลยครับ   คำถามที่ว่าทำยากมั้ย ตอบได้เลยว่าไม่ยาก ถ้ามีความรู้และความเข้าใจ 2 เรื่องใหญ่ๆ คือ

  1. เข้าใจองค์กรตัวเอง 
  2. เข้าใจมาตรฐานว่าต้องทำอะไรบ้าง

1.เข้าใจองค์กรตนเอง :

        

ต้องสำรวจข้อมูล ซอฟแวร์ ฮาร์ดแวร์ บุคลากร ในขอบเขตที่จัดทำระบบ  ข้อมูลนี้ยิ่งมีรายละเอียดยิ่งดี  หากหน่วยงานท่านเป็นราชการ บัญชีครุภัณฑ์เป็นจุดเริ่มต้นที่ดีในการรวบรวมข้อมูล Hardware ,Software ครับ

         เข้าใจภาระกิจขององค์กร  รู้ว่าระบบงานใดสำคัญที่สุดและระบบงานต่างๆ มีข้อจำกัดและจุดอ่อนอะไรบ้าง  รู้ไปทำไมหรือครับ ?  ก็รู้เพื่อที่จะไปหามาตรการมาจัดการกำจัดจุดอ่อนนะสิครับ  เช่น ระบบฐานข้อมูลทำงานอยู่บนเครื่องServerที่เก่าแก่มาก เก่าขนาดที่ไม่มี Spare part  หากServerนี้พังไปก็โบกมือลาได้เลยเพราะซ่อมไม่ได้ !!   ในกรณีนี้จุดอ่อนก็คือ Server ที่เก่าบุโรทั่ง มีความเสี่ยงที่จะลาโลกไปเมื่อไหร่ก็ได้ ดังนั้นท่านก็ต้องหามาตรการมาจัดการความเสี่ยงนี้ โดยจัดหาเครื่องใหม่  ซึ่งปัจจุบันนิยมใช้เทคโนโลยีVirtualization เข้ามาบริหารจัดการ ทั้งนี้ก็แล้วแต่แนวทางและขีดความสามารถของแต่ละองค์กรครับ

2.เข้าใจมาตรฐาน :

        

จะนำมาตรฐาน ISO27001 มาใช้งาน ก็ต้องทำความเข้าใจในตัวมาตรฐานเสียก่อน ว่าต้องทำอะไรบ้าง ทั้งเรื่องเอกสาร(Documents) และการนำไปใช้งานจริง (Implementation)  ข้อกำหนดของ ISO27001:2013 ฉบับของ ISO-International Organization for Standardization  นั้นเป็นภาษาอังกฤษ  หากท่านต้องการศึกษามาตรฐานฉบับเต็ม มี 2 วิธีครับ

  • ติดต่อซื้อมาตรฐาน ISO27001 จากเวบไซท์ของ ISO  ตาม link นี้ครับ    //bit.ly/19V19RS
  • ไปขออ่านได้ที่ห้องสมุดสำนักงานมาตรฐานผลิตภัณฑ์อุตสาหกรรม สมอ. ตั้งอยู่ที่กระทรวงอุตสาหกรรม ตรงข้ามรพ.รามาฯนั่นแหละครับ   ค้นหาข้อมูลมาตรฐานได้จากห้องสมุด สมอ. ตามนี้ครับ   //bit.ly/1iWnLnD

งบประมาณเท่าไหร่พอ

        

งบประมาณจำเป็นต้องมีครับ แต่ใช้งบประมาณมากหรือน้อยขึ้นอยู่กับสิ่งที่องค์กรท่านยังขาด เช่น ประเมินความเสี่ยงมาแล้วพบว่าท่านยังไม่มีระบบจัดเก็บข้อมูลจราจรทางคอมพิวเตอร์(log) แบบนี้งานเข้าครับ เพราะผิดกฏหมาย!!   ท่านจำเป็นต้องจัดหามาโดยด่วน  หรือพบว่าเครื่อง Server ของท่านเก่าบุโรทั่ง มีโอกาสลาโลกไปแบบไม่ฟื้นเมื่อไหร่ก็ได้  แบบนี้ท่านจำเป็นต้องมีงบประมาณเพื่อจัดหาใหม่มาทดแทนครับ   และที่พบค่อนข้างมากในหลายองค์คือไม่มีมาตรการหรือเครื่องมือเฝ้าระวังตรวจจับทางด้านความมั่นคงปลอดภัยของสารสนเทศ อันนี้ก็จำเป็นต้องลงทุนจัดหามาใช้งาน  และสุดท้ายหากจะขอใบรับรองISO27001ก็ต้องมีค่าตรวจประเมินรับรองระบบ(Certification) ซึ่งตรวจประเมินโดยหน่วยงานที่เรียกว่า Certified body ครับ

 เริ่มต้นยังไงดี

Step1 : ก่อนอื่นท่านต้องกำหนดขอบเขต(Scope)ที่จะทำISO27001  หรือพูดอีกอย่างหนึ่งก็คือ ท่านต้องการให้ระบบงานหรือกิจกรรมอะไรบ้างที่ถูกควบคุมดูแลภายใต้ISO27001 เพื่อให้มั่นใจว่าสารสนเทศของระบบงาน หรือกิจกรรมนั้นๆ มีความมั่นคงปลอดภัย

 

ว่าไปแล้ว ขอบเขตนี่สำคัญมากครับ เพราะถ้าขอบเขตเล็กเกินไปไม่สะท้อนperformanceเพียงพอ ก็อาจจะมีปัญหาในตอนยื่นขอตรวจรับรองระบบ แต่ถ้าใหญ่เกินไปก็จะทำให้สำเร็จได้ยาก

Step2 : ศึกษามาตรฐาน ISO27001 ให้เข้าใจหลักการพื้นฐานและแนวทางการนำไปใช้งาน

  •     ท่านสามารถไปขออ่าน(หรือสำเนาไว้ศึกษา แต่เวลาขอการรับรองแนะนำให้ซื้อฉบับที่มีลิขสิทธิ์ครับ)ได้ที่ห้องสมุดสำนักงานมาตรฐานผลิตภัณฑ์อุตสาหกรรม (สมอ) กระทรวงอุตสาหกรรม รายละเอียดข้อมูลตามนี้ครับ //bit.ly/1iWnLnD
  •     หรือสั่งซื้อฉบับมีลิขสิทธิ์จากเวบของ ISO ตามlink นี้ //bit.ly/19V19RS

Step3 : ทำการประเมินองค์กรเบื้องต้นให้รู้ว่าองค์กรยังขาดอะไรบ้างเืมื่อเทียบกับสิ่งที่ต้องมีตามมาตรฐานISO27001  ขั้นตอนนี้ท่านจะต้องมีความรู้ในข้อกำหนดของ ISO27001 พอสมควรนะครับ ถึงจะประเมินได้ว่าข้อไหนมีแล้วข้อไหนยังขาด

        

สำหรับการเริ่มต้นมี 3 step ข้างต้น  หลังจากการประเมินองค์กรเบื้องต้นใน Step3  ท่านก็จะรู้ว่ายังขาดอะไรบ้าง มีประเด็นอะไรที่ยังไม่สอดคล้องตามกฎหมายหรือไม่ ถ้ามีก็ให้สรุปประเด็นเสนอผู้บริหารเพื่อเร่งดำเนินการครับ

สำหรับบทความถัดไป  เป็นตอนที่2 ซึ่งจะลงรายละเอียดในตัวมาตรฐาน ISO27001:2013  โปรดติดตามได้จาก blog นี้ครับผม

 คลิก !! ตอนที่2 :  รีวิว ISO27001:2013 - ตอนที่2 ความสำคัญของการประเมินความเสี่ยงสารสนเทศ

คลิก !!   แนวทางการทำ ISO27001:2013 Project Master Plan

 

เนื้อหาที่เกี่ยวข้อง
1. องค์ประกอบของความมั่นคงปลอดภัยของสารสนเทศ
2. บันได 4 ขั้นสู่มาตรฐาน ISO 27001 Information Security Management
3. ภัยคุกคาม และช่องโหว่ (Threat and Vulnerability)

About the Author

Write admin description here..

Get Updates

Subscribe to our e-mail newsletter to receive updates.

ISO 27001 มีกี่ข้อ

โครงสร้างของมาตรฐาน ISO 27001:2013 แบ่งเนื้อหาออกเป็น 14 หัวข้อ (Domain) ซึ่งแต่ละหัวข้อประกอบด้วยวัตถุประสงค์จํานวนแตกต่างกัน รวมแล้วจํานวน 35 วัตถุประสงค์ (Control objectives) และภายใต้วัตถุประสงค์แต่ละข้อประกอบด้วยมาตรการในการรักษาความมันคงปลอดภัย แตกต่างกัน รวมแล้ว 114 ข้อ (Controls).

ISO 27001 อ่านว่าอะไร

มาตรฐาน ISO/IEC 27001 (ไอเอสโอ/ไออีชี 27001) เป็นมาตรฐานที่กำลังได้รับความนิยมอย่างแพร่หลายในปัจจุบัน และกล่าวถึงข้อกำหนดในการจัดทำระบบบริหารจัดการความมั่นคงปลอดภัยหรือ ISMS : Information Security Management (อินฟอเมชั่น ชิคิลิตี้ เมเนจเม้นต์) ให้กับองค์กร ซึ่งวัตถุประสงค์ของมาตรฐานนี้เพื่อให้องค์กร สามารถบริหารจัดการ ...

ISO 27000 เป็นมาตรฐานด้านใด

ISO/IEC 27000: 2018 เป็นมาตรฐานที่จัดเตรียมภาพรวมของการจัดการด้านความมั่นคงปลอดภัยของข้อมูล (Information Security Management Systems: ISMS) นิยามศัพท์และความหมายที่ใช้ร่วมกันในมาตรฐานในกลุ่ม ISMS ISO/IEC 27001 ซึ่งมีการออกแบบมาเพื่อให้นำไปปรับใช้กับองค์กร

มาตรฐานความปลอดภัยสากล มีอะไรบ้าง

ปัจจุบัน ISO มีมากมายหลายมาตรฐาน อาทิ ISO 9001, ISO 14001, ISO 45001, IATF 16949, GHPs/HACCP, ISO 22000, ISO/IEC 17025, ISO 13485, ISO 50001, ISO/IEC 27001, ISO 22301, ISO/IEC 20000-1, มรท.8001, มอก., ISO 22716, BRC, GDP, AS/EN 9100, ISO 39001, ISO 26000, อย.420, ISO 29993 เป็นต้น

กระทู้ที่เกี่ยวข้อง

การเลือกซื้อเสื้อผ้าจะต้อง คำนึง ถึง หลักการ ใด

Toplist

โพสต์ล่าสุด

แท็ก

ไทยแปลอังกฤษ แปลภาษาไทย ห่อหมกฮวกไปฝากป้าmv โปรแกรม-แปล-ภาษา-อังกฤษ พร้อม-คำ-อ่าน แปลภาษาอาหรับ-ไทย Terjemahan ข้อสอบคณิตศาสตร์ พร้อมเฉลย แปลภาษาอังกฤษเป็นไทย pantip ศัพท์ทางทหาร military words แอพแปลภาษาอาหรับเป็นไทย การ์ดแคปเตอร์ซากุระ ภาค 4 พจนานุกรมศัพท์ทหาร ศัพท์ทหาร ภาษาอังกฤษ pdf ห่อหมกฮวกไปฝากป้า หนังเต็มเรื่อง ไทยแปลอังกฤษ ประโยค lmyour แปลภาษา การ์ดแคปเตอร์ซากุระ ภาค 3 ประปาไม่ไหล วันนี้ ฝยก. ย่อมาจาก หยน ห่อหมกฮวก แปลว่า เมอร์ซี่ อาร์สยาม ล่าสุด แปลภาษาจีน ่้แปลภาษา onet ม3 การ์ดแคปเตอร์ซากุระ ภาค 1 ข้อสอบโอเน็ต ม.3 ออกเรื่องอะไรบ้าง ตตตตลก บบบย ห่อหมกฮวกไปฝากป้า คาราโอเกะ เขียน อาหรับ แปลไทย เนื้อเพลง ห่อหมกฮวก แปลไทย asus zenfone 2e กรมส่งเสริมการปกครองท้องถิ่น การประปานครหลวง ก่อนจะนิ่งก็ต้องกลิ้งมาก่อน เนื้อเพลง ข้อสอบภาษาอังกฤษ ม.ปลาย พร้อมเฉลย คะแนน o-net โรงเรียน ชขภใ ชื่อเต็ม ร.9 คําอ่าน ตัวอย่าง flowchart ขั้นตอนการทํางาน นยน. ย่อมาจาก ทหาร บทที่ 1 ที่มาและความสําคัญของปัญหา ฝสธ. ย่อมาจาก มัดหัวใจเจ้าชายเย็นชา 2 ซับไทย มัดหัวใจเจ้าชายเย็นชา 2 เต็มเรื่อง ยศทหารบก เรียงลําดับ ระเบียบกระทรวงการคลังว่าด้วยการจัดซื้อจัดจ้างและการบริหารพัสดุภาครัฐ พ.ศ. 2560 รัชกาลที่ 10 ห่อหมกฮวกไปฝากป้า คอร์ด