Page 6 - E-MAGAZINE_VOL_49
P. 6
I - DC | กองบรรณาธิการ
ประโยชน์ของมาตรฐาน ISO/IEC27001
มาตรฐาน ISO/IEC27001 การได้รับรองมาตรฐาน ISO/IEC27001 จะช่วยเพิ่มความ
(Information Security Management System : ISMS) น่าเชื่อถือให้กับองค์กร เป็นการสร้างความมั่นใจให้กับซัพพลายเออร์
ลูกค้า รวมถึงผู้ที่มีส่วนได้ส่วนเสียอื่นๆ ว่าองค์กรได้มีการด�าเนิน
มาตรการที่มีความจ�าเป็น เพื่อปกป้องข้อมูลขององค์กร นอกจากให้
ความมั่นใจกับลูกค้าแล้ว มาตรฐาน ISO/IEC27001 ยังสามารถช่วย
ดึงดูดลูกค้าใหม่ ที่มีความใส่ใจในเรื่องของการรักษาความมั่นคงและ
ความปลอดภัยของข้อมูลอย่างยิ่ง
การที่องค์กรได้รับรองมาตรฐาน ISO/IEC27001 ยังสามารถ
ช่วยเสริมสร้างความรู้สึกเกี่ยวกับการรักษาความลับให้กับบุคลากร
ภายในองค์กรได้อีกด้วย ซึ่งเป็นเรื่องที่ส�าคัญอย่างยิ่งเพราะข้อมูล
ที่มีความส�าคัญนั้น ไม่ได้ถูกเก็บที่เฉพาะในเซิร์ฟเวอร์และฮาร์ดไดรฟ์
เท่านั้น แต่มันสามารถถูกเข้าถึง และจดจ�าได้โดยบุคคลหรือพนักงาน
ภายในองค์กร การได้รับการรับรองมาตรฐาน ISO/IEC27001
โมเดล CIA ใน ISO/IEC27001 จะสามารถเปลี่ยนวัฒนธรรมขององค์กร ให้บุคคลหรือพนักงานมี
เป็นมาตรฐานสากลส�าหรับระบบการจัดการความปลอดภัยของข้อมูล (Information Security Management ISO/IEC27001 เน้นการปกป้องข้อมูลสารสนเทศ ความตระหนักในการปฏิบัติงานและการเปิดเผยข้อมูลต่างๆ ให้กับ
System : ISMS) ซึ่งเป็นมาตรฐานต้นแบบส�าหรับการประเมินความเสี่ยง การออกแบบด้านการรักษาความปลอดภัยของ (Information) ให้มีคุณสมบัติ 3 ประการคือ บุคคลที่ไม่มีความเกี่ยวข้อง
• Confidential : การปกป้องสารสนเทศให้เข้าถึงได้เฉพาะ
ข้อมูลและการน�าไปปฏิบัติ โดยมาตรฐาน ISO/IEC27001 นี้ได้ระบุแนวทางการด�าเนินงานและการบริหารจัดการเพื่อ ผู้ที่มีสิทธิ ถ้าหากข้อมูลรั่วไหลแสดงว่าขาดคุณสมบัติในข้อนี้ https://setronica.com/information-security-as-way-to-make-business-effective
จะช่วยในการเก็บรักษาข้อมูลขององค์กรได้อย่างปลอดภัยยิ่งขึ้น • Integrity : ปกป้องความถูกต้องสมบูรณ์ของสารสนเทศ
ไม่ให้ถูกแก้ไขเปลี่ยนแปลงผิดไปจากความเป็นจริง เช่น การเจาะ
มาตรฐาน ISO27001 เป็นมาตรฐานสากลเพียงมาตรฐาน การน�ามาตรฐาน ISO/IEC27001 มาใช้งานภายในองค์กร เข้าระบบเพื่อลบ แก้ไขข้อมูล เป็นต้น
เดียวที่สามารถประเมินได้ส�าหรับการจัดการความปลอดภัยของข้อมูล ประกอบไปด้วย 4 องค์ประกอบดังนี้ • Availability : สร้างความเชื่อมั่นว่าระบบสารสนเทศ
ซึ่งมาตรฐานนี้จะให้การรับรองว่าองค์กรของท่านได้ด�าเนินงานโดย • จัดท�าระบบ (Establish) การจัดการความมั่นคงปลอดภัย พร้อมใช้งาน
สอดคล้องกับกฎหมาย กฎระเบียบ ข้อบังคับ และข้อก�าหนดตามสัญญา ของสารสนเทศ (Information Security Management System : ดังนั้น การปกป้องข้อมูล (Information) จะเข้มงวดมาก
อันเกี่ยวเนื่องกับข้อมูลส�าคัญ ซึ่งเหตุนี้การได้รับการรับรองตาม ISMS) คือการเตรียมการวางแผนเพื่อปกป้องข้อมูลสารสนเทศ หรือน้อย ขึ้นอยู่กับ “ความเสี่ยง” หลักการคือ ข้อมูลใดๆ ก็ตามที่
มาตรฐาน ISO/IEC27001 จึงเป็นข้อพิสูจน์ให้เห็นได้ว่า องค์กรได้มี • น�าไปปฏิบัติ (Implement) คือ น�าแผนจากขั้นตอน มีความเสี่ยงสูงย่อมต้องมีมาตรการป้องกันเข้มงวดกว่าข้อมูลที่มี
การด�าเนินการตามขั้นตอนที่จ�าเป็นเพื่อปกป้องข้อมูลที่ส�าคัญจากการ การท�าระบบ (Establish) ไปปฏิบัติจริงหน้างาน ท�าตามเอกสารคู่มือ ความเสี่ยงต�่าตัวอย่าง เช่น ข้อมูล Username และ Password
เข้าถึงโดยไม่ได้รับอนุญาต และลงบันทึกในแบบฟอร์ม ส�าหรับเข้าสู่ระบบสารสนเทศขององค์กร ต้องมีมาตรการปกป้องที่
ในปัจจุบันเทคโนโลยีสารสนเทศ เป็นองค์ประกอบที่ส�าคัญ • รักษาไว้ (Maintain) คือ ปฏิบัติควบคู่ไปกับการท�างาน เข้มงวดไม่น้อยกว่าข้อมูลทั่วไป เป็นต้น
ของทุกองค์กร ตั้งแต่อีเมล เอกสารที่สร้างขึ้น จนถึงข้อมูลต่างๆ ที่ถูก ปกติ (ไม่ใช่ท�าเฉพาะก่อนโดนตรวจ Audit)
เก็บไว้ภายในองค์กร ด้วยการขยายตัวของอุปกรณ์ที่เชื่อมต่อกัน จึงเป็น • ปรับปรุงอย่างต่อเนื่อง (Continual Improve) คือ การประเมินความเสี่ยงนั้นส�าคัญเพียงใด
เรื่องง่ายที่แต่ละคนนั้นจะสามารถเข้าถึงข้อมูลนี้ไม่ว่าจะอยู่ที่ใด และ ทบทวนผลการกระท�าระบบและหาจุดปรับปรุงอย่างต่อเนื่อง การประเมินความเสี่ยงของสารสนเทศ (Information
ด้วยการเข้าถึงที่ง่ายขึ้นนั้น ก็กลายเป็นเรื่องง่ายเช่นกัน ส�าหรับผู้ที่ Security Risk Assessment) เป็นหัวใจส�าคัญของการท�าระบบ
ไม่ได้รับอนุญาตที่จะเข้าถึงข้อมูลส�าคัญขององค์กรได้ ดังนั้นการท�าระบบ ISO/IEC27001 ให้มีประสิทธิภาพ การจัดการความมั่นคงปลอดภัยของสารสนเทศ ISO/IEC27001
จะต้องด�าเนินงานให้ได้ตาม 4 ข้อข้างต้นให้ครบถ้วน ตั้งแต่จัดท�า หากท่านประเมินความเสี่ยงไม่ถูกต้อง หรือไม่ครอบคลุม ก็จะท�าให้
ระบบ (Establish), น�าไปปฏิบัติ (Implement), รักษาไว้ (Maintain) การจัดการความเสี่ยงที่ตามมานั้นแก้ปัญหาไม่ตรงจุด และไม่ครอบคลุม
และปรับปรุงอย่างต่อเนื่อง (Continual Improve) จะต้องมีหลักฐาน ไปด้วย
ทั้งเอกสารรวมถึงผลของการปฏิบัติงาน ที่มีความน่าเชื่อถือเพื่อสะท้อน เมื่อประเมินความเสี่ยงของสารสนเทศ จนทราบแล้วว่า
ความเป็นจริงและสามารถตรวจสอบข้อมูลดังกล่าวได้ มีเรื่องอะไรบ้างที่มีความเสี่ยง ไม่ว่าจะเป็นความเสี่ยงสูง ปานกลาง
หรือความเสี่ยงต�่า ทุกๆ ความเสี่ยงที่องค์กรพบนั้นจะต้องได้รับการ
จัดการอย่างเหมาะสม ซึ่งโดยทั่วไปนั้น ความเสี่ยงระดับสูง จะมีการ
จัดท�าแผนงานจัดการความเสี่ยง (Risk Treatment) โดยน�ามาตรการ
ต่างๆ เข้ามาจัดการดูแล
4 | I-TEL I-TEL | 5
