ระบบบริหารความปลอดภัยของข้อมูล ISO 27001
โดย [ อนุชิต ชาบำเหน็จ ] หมวด [การบริหารและจัดการ]
31 พฤษภาคม 2556
ISO 27001 เป็นมาตรฐานนานาชาติสำหรับระบบบริหารความ ปลอดภัยของข้อมูล (Security Management Systems, ISMS) ซึ่งส่วนใหญ่ยึดข้อมูลจาก BS 7799 ที่ใช้จัดการความปลอดภัย ของข้อมูลอยู่เดิมตั้งแต่ปี 1995
ให้โครงสร้างพื้นฐานสำหรับระบบบริหารที่เป็นกลางทาง เทคโนโลยี และผู้ค้า เพื่อให้องค์กรต่างๆ สามารถยืนยันว่ามาตรการความ ปลอดภัย ทางข้อมูลของตนนั้นมีประสิทธิภาพ ซึ่งประกอบด้วย ความสามารถในการเข้าถึง การรักษาความลับ และบูรณภาพของ ระบบสารสนเทศของตน และของผู้มีส่วนร่วม รวมถึงการปฏิบัติตาม ข้อกฎหมาย การใช้งาน ISO 27001 เป็นมาตรการที่สอดรับกับข้อกำหนดทาง กฎหมายและภัยต่อความปลอดภัยต่างๆ เช่น:
• การบุกรุกทำลาย / การก่อการร้าย
• เพลิงไหม้
• การใช้งานอย่างไม่เหมาะสม
• การโจรกรรม
• การจู่โจมจากไวรัส
ISO 27001 ได้รับการวางโครงสร้างเพื่อให้สามารถใช้ งานร่วมกับระบบบริหารอื่นๆ ได้เช่น ISO 9001 และ ISO 14001 แม้ว่าข้อกำหนด างๆ มีความแตกต่างกัน มาตรฐาน นี้ยังมีองค์ประกอบต่างๆ ที่ใช้ร่วมกันได้แก่การตรวจสอบ และข้อกำหนดในการตรวจสอบ ช่วยให้องค์กรสามารถพัฒนา ระบบบริหารแบบบูรณาการขนาดใหญ่ได้ แม้ว่าสื่อกลางการสื่อสารในยุคใหม่สำหรับระบบ ISMS ส่วนใหญ่จะมุ่งเน้นที่เทคโนยีสารสนเทศเป็นหลัก มาตรฐาน ISO 27001 นั้นยังสามารถใช้งานได้กับข้อมูลในรูปแบบอื่นๆ ได้เช่นบันทึกกระดาษ รูปภาพ หรือแม้แต่การสนทนา
ISO 27001 เหมาะสมกับใครบ้าง?
ISO 27001 เหมาะสมกับองค์กรธุรกิจใดก็ตามที่เมื่อเกิดการใช้ ข้อมูลผิดพลาด เกิดความเสียหายกับข้อมูล หรือการสูญเสียข้อมูล ทางธุรกิจหรือข้อมูลของลูกค้า จะทำให้องค์กรได้รับความเสียหาย เชิงพาณิชย์อย่างรุนแรง
ISO 27001 เหมาะสมกับองค์กรธุรกิจใดก็ตามที่เมื่อเกิดการใช้ ข้อมูลผิดพลาด เกิดความเสียหายกับข้อมูล หรือการสูญเสียข้อมูล ทางธุรกิจหรือข้อมูลของลูกค้า จะทำให้องค์กรได้รับความเสียหาย เชิงพาณิชย์อย่างรุนแรง
NQA ได้จดทะเบียนมาตรฐาน ISO 27001 ให้กับองค์กรต่างๆ ในภาคธุรกิจหลากหลายไม่ว่าจะเป็น งานด้านการจัดเก็บและโกดัง ข้อมูล การป้องกันการทำลาย งานโทรคมนาคม งานโฆษณา การเอาต์ซอร์สทางการเงิน และการพัฒนาซอฟต์แวร์
ประโยชน์ของการรับรองคืออะไร?
• ความพึงพอใจของลูกค้า – โดยการให้ความมั่นใจว่าข้อมูล ส่วนตัวของลูกค้าจะได้รับการปกป้องและเก็บเป็นความลับ
• ความต่อเนื่องในการดำเนินธุรกิจ – ผ่านการจัดการความเสี่ยง การปฏิบัติตามกฎหมาย และการระมัดระวังปัญหาด้านความ ปลอดภัยในอนาคต
• การปฏิบัติตามกฎหมาย – โดยการทำความเข้าใจว่ากฎข้อบังคับ ต่างๆ นั้นมีผลกระทบกับองค์กรและลูกค้าขององค์กรอย่างไร
• การจัดการความเสี่ยงที่ดียิ่งขึ้น – ด้วยโครงสร้างการทำงาน ที่เป็นระบบเพื่อให้มั่นใจว่าบันทึกลูกค้า ข้อมูลทางการเงิน และ ทรัพย์สินทางปัญญานั้นได้รับการปกป้องจากการสูญเสีย การโจรกรรม และความเสียหาย
• เป็นการรับรองทางธุรกิจที่น่าเชื่อถือ – โดยการให้หน่วยงาน อิสระเป็นผู้ตรวจสอบรับรองกับมาตรฐานที่ผ่านการยอมรับ
• โอกาสในการสร้างลูกค้ามากขึ้น – โดยเฉพาะเมื่อลูกค้าได้กำหนด เงื่อนไขในการจัดซื้อว่าจะต้องผ่านมาตรฐานในระดับหนึ่ง
จะรับการจดทะเบียนได้อย่างไร?
กระบวนการการจดทะเบียนประกอบด้วยขั้นตอนสามขั้นต่อไปนี้:
• ขอสมัครจดทะเบียนโดยตอบแบบสอบถามในการสมัคร
• NQA จะทำการประเมินเพื่อรับรองมาตรฐาน – องค์กรจะต้อง สามารถแสดงการดำเนินงานด้าน ISMS อย่างเต็มรูปแบบเป็น เวลาอย่างน้อยสามเดือน และจะต้องผ่านการตรวจสอบภายใน องค์กรแบบครบวงจร
• NQA มอบสิทธิ์ในการจดทะเบียนเพื่อให้องค์กรเป็นผู้ควบคุม มาตรฐานต่อไป การรักษามาตรฐานนั้นทำได้โดยการเยี่ยมชม ประจำปีและทำการตรวจสอบรับรองมาตรฐานใหม่ทุกๆ สามปี
