การปรับปรุง ISO 27001 หลังจากเก้าปี ISO 27001 ซึ่งเป็นมาตรฐานความปลอดภัยข้อมูลชั้นนำของโลกได้รับการปรับปรุง – เมื่อวันที่ 25 ตุลาคม 2022 ISO/IEC 27001:2022 ใหม่ได้รับการเผยแพร่ แม้ว่าการแก้ไขนี้จะนำมาซึ่งการเปลี่ยนแปลงในระดับปานกลาง แต่สิ่งสำคัญคือต้องศึกษาอย่างใกล้ชิด มาดูการเปลี่ยนแปลงทั้งหมดและดูว่าการแก้ไขในปี 2022 นี้เปรียบเทียบกับการปรับปรุง ISO 27001 ฉบับเก่าในปี 2013 อย่างไร
- ส่วนหลักของ ISO 27001 เช่น ข้อ 4 ถึง 10 มีการเปลี่ยนแปลงเพียงเล็กน้อย
- การเปลี่ยนแปลงในการควบคุมความปลอดภัยภาคผนวก A อยู่ในระดับปานกลาง
- จำนวนการควบคุมลดลงจาก 114 เป็น 93
- การควบคุมจะแบ่งออกเป็น 4 ส่วน แทนที่จะเป็น 14 ส่วนก่อนหน้า
- มีการควบคุมใหม่ 11 รายการ ในขณะที่ไม่มีการควบคุมใดถูกลบออก และการควบคุมจำนวนมากถูกรวมเข้าด้วยกัน
ประวัติ ISO 27001 และ ISO 27002
ISO 27001 เวอร์ชันแรกได้รับการเผยแพร่ย้อนกลับไปในปี 1999 ภายใต้ชื่อ BS 7799-2 และผ่านการเปลี่ยนแปลงหลายอย่างตั้งแต่นั้นมา
คุณสามารถดูการเปลี่ยนแปลงระหว่างการปรับปรุง ISO 27001 ในปี 2005 และ 2013 ได้ในบทความนี้: อินโฟกราฟิก: การปรับปรุง ISO 27001 2013 ใหม่ – มีอะไรเปลี่ยนแปลงบ้าง
ไม่ควรสับสนระหว่าง ISO 27001 กับ ISO 27002 – มาตรฐานแรกคือมาตรฐานหลักซึ่งคุณสามารถให้การรับรองบริษัทของคุณได้ ในขณะที่มาตรฐานหลังคือมาตรฐานสนับสนุนที่ให้แนวทางในการดำเนินการควบคุมความปลอดภัย ความแตกต่างที่สำคัญที่สุดคือ ISO 27002 ไม่ใช่ข้อบังคับสำหรับการรับรอง ISO 27001 และบริษัทไม่สามารถได้รับการรับรองตามมาตรฐาน ISO 27002
ISO 27002 ได้รับการเผยแพร่ครั้งแรกในปี 1995 ภายใต้ชื่อ BS 7799-1 และในเดือนกุมภาพันธ์ปีนี้ การแก้ไข ISO 27002:2022 ได้รับการเผยแพร่พร้อมโครงสร้างใหม่ของการควบคุม 93 รายการ โครงสร้างการควบคุมเดียวกันนี้ถูกนำมาใช้โดย ISO 27001:2022 ตามที่อธิบายไว้ด้านล่าง
การเปรียบเทียบ
โดยรวมแล้ว เมื่อเปรียบเทียบกับการปรับปรุงฉบับปี 2013 การเปลี่ยนแปลงในการปรับปรุง ISO 27001:2022 นั้นเล็กน้อยถึงปานกลาง ส่วนหลักของมาตรฐานยังคงมีอยู่ 11 ข้อ และการเปลี่ยนแปลงในส่วนนี้ของมาตรฐานจะมีเพียงเล็กน้อย (ดูด้านล่าง)
เมื่อมองแวบแรก ภาคผนวก A มีการเปลี่ยนแปลงไปมาก – จำนวนการควบคุมลดลงจาก 114 เป็น 93 และมีการจัดระเบียบเป็นสี่ส่วนเท่านั้นเมื่อเทียบกับ 14 ส่วนในการแก้ไขปี 2013 อย่างไรก็ตาม หลังจากพิจารณาอย่างใกล้ชิด จะเห็นได้ชัดว่าการเปลี่ยนแปลงในภาคผนวก ก อยู่ในระดับปานกลางเท่านั้น – ดูคำอธิบายด้านล่าง
การเปลี่ยนแปลงในภาคผนวก A การควบคุมความปลอดภัย
ในความเป็นจริง การเปลี่ยนแปลงในภาคผนวก A อยู่ในระดับปานกลางเท่านั้น เนื่องจากการควบคุมส่วนใหญ่ยังคงเหมือนเดิม (35 รายการ) หรือเพิ่งถูกเปลี่ยนชื่อ (23 รายการ) มีการรวมการควบคุมอีก 57 รายการ ซึ่งได้ลดจำนวนการควบคุมลง แต่ข้อกำหนดภายในการควบคุมเหล่านั้นยังคงเหมือนเดิม ในที่สุด การควบคุมหนึ่งถูกแบ่งออกเป็นสองการควบคุมแยกกัน ในขณะที่ข้อกำหนดยังคงเหมือนเดิม หากต้องการดูความเปลี่ยนแปลงของการควบคุม ให้ดาวน์โหลดเอกสารไวท์เปเปอร์ฟรีนี้: ภาพรวมของการควบคุมความปลอดภัย ใหม่ใน ISO 27002:2022
มีการควบคุมใหม่ 11 รายการ ซึ่งจำเป็นเนื่องจากแนวโน้มด้านไอทีและความปลอดภัย – คุณสามารถดูรายละเอียดได้ที่นี่: คำอธิบายโดยละเอียดของการควบคุมความปลอดภัยใหม่ 11 รายการใน ISO 27001:2022
เคล็ดลับ: คุณสามารถใช้เครื่องมือการแปลง ISO 27001:2013 เป็น ISO 27001:2022เพื่อค้นหาวิธีการควบคุมจากแผนที่มาตรฐานฉบับเก่ากับฉบับใหม่
ช่วงเปลี่ยนผ่าน
ตามเอกสาร “ข้อกำหนดการเปลี่ยนผ่านสำหรับ ISO/IEC 27001:2022” จาก International Accreditation Forum สำหรับบริษัทที่ได้รับการรับรองตามมาตรฐาน ISO 27001:2013 แล้ว การเปลี่ยนไปใช้ ISO 27001:2022 จะต้องเสร็จสิ้นภายในวันที่ 31 ตุลาคม 2025
หน่วยงานออกใบรับรองต้องเริ่มให้การรับรองบริษัทต่างๆ ตามมาตรฐาน ISO 27001:2022 อย่างช้าที่สุดภายในวันที่ 31 ตุลาคม 2023 แต่ฉันแน่ใจว่าส่วนใหญ่จะเริ่มด้วยการแก้ไขใหม่เร็วกว่านี้มาก หากคุณสงสัยว่าควรขอรับการรับรองตามการแก้ไขปี 2013 หรือ 2022 หรือไม่ ให้ใช้เครื่องมือฟรีนี้: คุณควรเริ่มใช้ ISO 27001 ฉบับแก้ไขปี 2013 หรือ 2022 หรือไม่
เคล็ดลับ: หากคุณนำมาตรฐานฉบับแก้ไขปี 2013 ฉบับเก่ามาใช้แล้ว และต้องการเปลี่ยนแปลงไปสู่ฉบับปรับปรุงปี 2022 ของ ISO 27001 โปรดนัดหมายเวลารับคำปรึกษาฟรีจากผู้เชี่ยวชาญ ISO 27001 ของเรา การปรับปรุง ISO 27001
เปลี่ยนไปขนาดไหน?
กล่าวโดยสรุป การเปลี่ยนแปลงในส่วนหลักของมาตรฐานมีเพียงเล็กน้อยและสามารถทำได้ค่อนข้างเร็ว โดยมีการเปลี่ยนแปลงเพียงเล็กน้อยในเอกสารประกอบและกระบวนการต่างๆ การเปลี่ยนแปลงในการควบคุมภาคผนวก A อยู่ในระดับปานกลางและสามารถจัดการได้โดยส่วนใหญ่โดยการเพิ่มการควบคุมใหม่ไปยังเอกสารประกอบที่มีอยู่
หลังจากเก้า (นาน) ปีที่รอคอยการแก้ไขใหม่นี้ ผู้เชี่ยวชาญด้านความปลอดภัยบางคนคาดหวังว่าการเปลี่ยนแปลงจะครอบคลุมมากขึ้น แต่ฉันเชื่อว่าบริษัทที่ได้รับการรับรองเทียบกับการแก้ไขปี 2013 แล้วจะรู้สึกโล่งใจที่งานต้องทำไม่ใช่สิ่งนั้น ใหญ่แล้ว
สำหรับองค์กรที่ต้องการ Document and Content Management Solution ที่สมบูรณ์แบบ พร้อม Professional Services ที่มีประสบการณ์ Implement Alfresco มามากกว่า 100 โครงการณ์ สามารถติดขอคำปรึกษากับ K&O Systems
ทั้งนี้บริษัทเคแอนด์โอ จึงได้มุ่งเน้นการจัดการแก้ไขปัญหา จัดการเอกสาร ด้านเอกสารขององค์กรมาอย่างยาวนาน และ ให้ความสำคัญกับด้านงานเอกสาร ต่อลูกค้าเป็นอย่างดี จนถึงปัจจุบันก็ได้ความยอมรับจากองค์กร ขนาดใหญ่ ขนาดกลาง และขนาดเล็กมากมาย จึงใคร่ขออาสาดูและปัญหาด้านเอกสารให้กับองค์กรของท่านอย่างสุดความสามารถ เพราะเราเป็นหนึ่งในธุรกิจ ระบบจัดเก็บเอกสาร ที่ท่านไว้ใจได้
สนใจรับคำปรึกษาด้านวางระบบจัดการเอกสารอิเล็กทรอนิกส์ EDMS โดยทีมงานผู้เชี่ยวชาญจาก K&O ที่มีประสบการณ์มากว่า 15 ปี รวมถึงซอฟต์แวร์ระดับโลก ติดต่อ 0 2 – 8 6 0 – 6 6 5 9
สนใจ บทความ หรือ Technology สามารถติดต่อได้ตามเบอร์ที่ให้ไว้ด้านล่างนี้
Tel.086-594-5494
Tel.095-919-6699
e-mail cs@ko.in.th หรือ K&O FB / เว็บไซต์หลัก สแกนเพื่อแอด Line พูดคุยตอนนี้
