I - DC | กองบรรณาธิการ







                                                              ประโยชน์ของมาตรฐาน ISO/IEC27001
 มาตรฐาน ISO/IEC27001                                                การได้รับรองมาตรฐาน ISO/IEC27001 จะช่วยเพิ่มความ


 (Information Security Management System : ISMS)              น่าเชื่อถือให้กับองค์กร เป็นการสร้างความมั่นใจให้กับซัพพลายเออร์
                                                              ลูกค้า รวมถึงผู้ที่มีส่วนได้ส่วนเสียอื่นๆ ว่าองค์กรได้มีการด�าเนิน
                                                              มาตรการที่มีความจ�าเป็น เพื่อปกป้องข้อมูลขององค์กร นอกจากให้
                                                              ความมั่นใจกับลูกค้าแล้ว มาตรฐาน ISO/IEC27001 ยังสามารถช่วย
                                                              ดึงดูดลูกค้าใหม่ ที่มีความใส่ใจในเรื่องของการรักษาความมั่นคงและ
                                                              ความปลอดภัยของข้อมูลอย่างยิ่ง
                                                                     การที่องค์กรได้รับรองมาตรฐาน ISO/IEC27001 ยังสามารถ
                                                              ช่วยเสริมสร้างความรู้สึกเกี่ยวกับการรักษาความลับให้กับบุคลากร
                                                              ภายในองค์กรได้อีกด้วย ซึ่งเป็นเรื่องที่ส�าคัญอย่างยิ่งเพราะข้อมูล
                                                              ที่มีความส�าคัญนั้น ไม่ได้ถูกเก็บที่เฉพาะในเซิร์ฟเวอร์และฮาร์ดไดรฟ์
                                                              เท่านั้น แต่มันสามารถถูกเข้าถึง และจดจ�าได้โดยบุคคลหรือพนักงาน
                                                              ภายในองค์กร การได้รับการรับรองมาตรฐาน ISO/IEC27001
          โมเดล CIA ใน ISO/IEC27001                           จะสามารถเปลี่ยนวัฒนธรรมขององค์กร ให้บุคคลหรือพนักงานมี

    เป็นมาตรฐานสากลส�าหรับระบบการจัดการความปลอดภัยของข้อมูล (Information Security Management     ISO/IEC27001 เน้นการปกป้องข้อมูลสารสนเทศ  ความตระหนักในการปฏิบัติงานและการเปิดเผยข้อมูลต่างๆ ให้กับ
 System : ISMS) ซึ่งเป็นมาตรฐานต้นแบบส�าหรับการประเมินความเสี่ยง การออกแบบด้านการรักษาความปลอดภัยของ  (Information) ให้มีคุณสมบัติ 3 ประการคือ  บุคคลที่ไม่มีความเกี่ยวข้อง

                 • Confidential : การปกป้องสารสนเทศให้เข้าถึงได้เฉพาะ
 ข้อมูลและการน�าไปปฏิบัติ โดยมาตรฐาน ISO/IEC27001 นี้ได้ระบุแนวทางการด�าเนินงานและการบริหารจัดการเพื่อ  ผู้ที่มีสิทธิ ถ้าหากข้อมูลรั่วไหลแสดงว่าขาดคุณสมบัติในข้อนี้  https://setronica.com/information-security-as-way-to-make-business-effective
 จะช่วยในการเก็บรักษาข้อมูลขององค์กรได้อย่างปลอดภัยยิ่งขึ้น     • Integrity : ปกป้องความถูกต้องสมบูรณ์ของสารสนเทศ
          ไม่ให้ถูกแก้ไขเปลี่ยนแปลงผิดไปจากความเป็นจริง เช่น การเจาะ
    มาตรฐาน ISO27001 เป็นมาตรฐานสากลเพียงมาตรฐาน  การน�ามาตรฐาน ISO/IEC27001 มาใช้งานภายในองค์กร  เข้าระบบเพื่อลบ แก้ไขข้อมูล เป็นต้น
 เดียวที่สามารถประเมินได้ส�าหรับการจัดการความปลอดภัยของข้อมูล  ประกอบไปด้วย 4 องค์ประกอบดังนี้     • Availability : สร้างความเชื่อมั่นว่าระบบสารสนเทศ
 ซึ่งมาตรฐานนี้จะให้การรับรองว่าองค์กรของท่านได้ด�าเนินงานโดย     • จัดท�าระบบ (Establish) การจัดการความมั่นคงปลอดภัย  พร้อมใช้งาน
 สอดคล้องกับกฎหมาย กฎระเบียบ ข้อบังคับ และข้อก�าหนดตามสัญญา  ของสารสนเทศ (Information Security Management System :     ดังนั้น การปกป้องข้อมูล (Information) จะเข้มงวดมาก
 อันเกี่ยวเนื่องกับข้อมูลส�าคัญ ซึ่งเหตุนี้การได้รับการรับรองตาม  ISMS) คือการเตรียมการวางแผนเพื่อปกป้องข้อมูลสารสนเทศ  หรือน้อย ขึ้นอยู่กับ “ความเสี่ยง” หลักการคือ ข้อมูลใดๆ ก็ตามที่
 มาตรฐาน ISO/IEC27001 จึงเป็นข้อพิสูจน์ให้เห็นได้ว่า องค์กรได้มี     • น�าไปปฏิบัติ (Implement) คือ น�าแผนจากขั้นตอน  มีความเสี่ยงสูงย่อมต้องมีมาตรการป้องกันเข้มงวดกว่าข้อมูลที่มี
 การด�าเนินการตามขั้นตอนที่จ�าเป็นเพื่อปกป้องข้อมูลที่ส�าคัญจากการ  การท�าระบบ (Establish) ไปปฏิบัติจริงหน้างาน ท�าตามเอกสารคู่มือ  ความเสี่ยงต�่าตัวอย่าง เช่น ข้อมูล Username และ Password
 เข้าถึงโดยไม่ได้รับอนุญาต  และลงบันทึกในแบบฟอร์ม  ส�าหรับเข้าสู่ระบบสารสนเทศขององค์กร ต้องมีมาตรการปกป้องที่
    ในปัจจุบันเทคโนโลยีสารสนเทศ  เป็นองค์ประกอบที่ส�าคัญ     • รักษาไว้ (Maintain) คือ ปฏิบัติควบคู่ไปกับการท�างาน  เข้มงวดไม่น้อยกว่าข้อมูลทั่วไป เป็นต้น
 ของทุกองค์กร ตั้งแต่อีเมล เอกสารที่สร้างขึ้น จนถึงข้อมูลต่างๆ ที่ถูก  ปกติ (ไม่ใช่ท�าเฉพาะก่อนโดนตรวจ Audit)
 เก็บไว้ภายในองค์กร ด้วยการขยายตัวของอุปกรณ์ที่เชื่อมต่อกัน จึงเป็น     • ปรับปรุงอย่างต่อเนื่อง (Continual Improve) คือ   การประเมินความเสี่ยงนั้นส�าคัญเพียงใด
 เรื่องง่ายที่แต่ละคนนั้นจะสามารถเข้าถึงข้อมูลนี้ไม่ว่าจะอยู่ที่ใด และ  ทบทวนผลการกระท�าระบบและหาจุดปรับปรุงอย่างต่อเนื่อง     การประเมินความเสี่ยงของสารสนเทศ (Information
 ด้วยการเข้าถึงที่ง่ายขึ้นนั้น ก็กลายเป็นเรื่องง่ายเช่นกัน ส�าหรับผู้ที่  Security Risk Assessment) เป็นหัวใจส�าคัญของการท�าระบบ
 ไม่ได้รับอนุญาตที่จะเข้าถึงข้อมูลส�าคัญขององค์กรได้     ดังนั้นการท�าระบบ ISO/IEC27001 ให้มีประสิทธิภาพ  การจัดการความมั่นคงปลอดภัยของสารสนเทศ ISO/IEC27001
 จะต้องด�าเนินงานให้ได้ตาม 4 ข้อข้างต้นให้ครบถ้วน ตั้งแต่จัดท�า  หากท่านประเมินความเสี่ยงไม่ถูกต้อง หรือไม่ครอบคลุม ก็จะท�าให้
 ระบบ (Establish), น�าไปปฏิบัติ (Implement), รักษาไว้ (Maintain)  การจัดการความเสี่ยงที่ตามมานั้นแก้ปัญหาไม่ตรงจุด และไม่ครอบคลุม
 และปรับปรุงอย่างต่อเนื่อง (Continual Improve) จะต้องมีหลักฐาน  ไปด้วย
 ทั้งเอกสารรวมถึงผลของการปฏิบัติงาน ที่มีความน่าเชื่อถือเพื่อสะท้อน     เมื่อประเมินความเสี่ยงของสารสนเทศ จนทราบแล้วว่า
 ความเป็นจริงและสามารถตรวจสอบข้อมูลดังกล่าวได้  มีเรื่องอะไรบ้างที่มีความเสี่ยง ไม่ว่าจะเป็นความเสี่ยงสูง ปานกลาง

          หรือความเสี่ยงต�่า ทุกๆ ความเสี่ยงที่องค์กรพบนั้นจะต้องได้รับการ
          จัดการอย่างเหมาะสม ซึ่งโดยทั่วไปนั้น ความเสี่ยงระดับสูง จะมีการ
          จัดท�าแผนงานจัดการความเสี่ยง (Risk Treatment) โดยน�ามาตรการ
          ต่างๆ เข้ามาจัดการดูแล

 4  |  I-TEL                                                                                          I-TEL |         5