ข้อกำหนดสำหรับ ISO 27001 คืออะไร? โดยข้อกำหนดตั้งแต่ข้อ 4 ถึง 10 สรุปได้ดังนี้ ข้อ 4 ของ ISO 27001 – บริบทขององค์กร – ข้อกำหนดเบื้องต้นประการหนึ่งของการนำระบบการจัดการความปลอดภัยของข้อมูลไปใช้ให้สำเร็จคือการทำความเข้าใจบริบทขององค์กร จำเป็นต้องระบุและพิจารณาประเด็นภายนอกและภายในตลอดจนผู้มีส่วนได้เสีย ข้อกำหนดอาจรวมถึงประเด็นด้านกฎระเบียบ แต่อาจไปไกลกว่านั้น
เมื่อคำนึงถึงสิ่งนี้ องค์กรจำเป็นต้องกำหนดขอบเขตISMS
ข้อ 5 ของ ISO 27001 – ภาวะผู้นำ – ข้อกำหนดของ ISO 27001 สำหรับภาวะผู้นำที่เพียงพอนั้นมีความหลากหลาย ความมุ่งมั่นของผู้บริหารสูงสุดเป็นสิ่งจำเป็นสำหรับระบบการจัดการ วัตถุประสงค์จำเป็นต้องกำหนดขึ้นตามทิศทางเชิงกลยุทธ์ และวัตถุประสงค์ขององค์กร การจัดหาทรัพยากรที่จำเป็นสำหรับ ISMS ตลอดจนการสนับสนุนบุคคลที่มีส่วนร่วมใน ISMS เป็นตัวอย่างอื่น ๆ ของภาระหน้าที่ที่ต้องปฏิบัติตาม
นอกจากนี้ ผู้บริหารระดับสูงจำเป็นต้องกำหนดนโยบายระดับบนสุดสำหรับความปลอดภัยของข้อมูล ควรจัดทำเอกสาร นโยบายความปลอดภัยข้อมูล ISO 27001ของบริษัทตลอดจนสื่อสารภายในองค์กรและต่อ บุคคล ที่สนใจ
จำเป็นต้องกำหนด บทบาทและความรับผิดชอบเพื่อให้เป็นไปตามข้อกำหนดของมาตรฐาน ISO 27001 และเพื่อรายงานผลการปฏิบัติงานของ ISMS
ข้อ 6 ของ ISO 27001 – การวางแผน – การวางแผนในสภาพแวดล้อม ISMS ควรคำนึงถึงความเสี่ยงและโอกาสเสมอ การประเมินความเสี่ยงด้านความปลอดภัยข้อมูล เป็นรากฐานสำคัญที่ต้องพึ่งพา ดังนั้น วัตถุประสงค์ด้านความปลอดภัยของข้อมูลควรขึ้นอยู่กับการประเมินความเสี่ยง
วัตถุประสงค์เหล่านี้จำเป็นต้องสอดคล้องกับวัตถุประสงค์โดยรวมของบริษัท และจำเป็นต้องได้รับการส่งเสริมภายในบริษัท เนื่องจากมีเป้าหมายด้านความปลอดภัยในการทำงานสำหรับทุกคนภายในและสอดคล้องกับบริษัท จากการประเมินความเสี่ยงและวัตถุประสงค์ด้านความปลอดภัย จะได้แผนการจัดการความเสี่ยงตามการควบคุมตามที่ระบุไว้ในภาคผนวก A
ข้อ 7 ของ ISO 27001 – การสนับสนุน – ทรัพยากร ความสามารถของพนักงาน ความตระหนัก และการสื่อสารเป็นกุญแจสำคัญในการสนับสนุน ISMS
ข้อกำหนดอีกประการหนึ่งคือการจัดทำเอกสารข้อมูลตามมาตรฐาน ISO 27001 ข้อมูลจำเป็นต้องจัดทำเป็นเอกสาร สร้าง และปรับปรุง รวมทั้งต้องมีการควบคุม ชุดเอกสารที่เหมาะสม รวมถึงแผนการสื่อสารจำเป็นต้องได้รับการบำรุงรักษาเพื่อสนับสนุนความสำเร็จของ ISMS
ข้อ 8 ของ ISO 27001 – การปฏิบัติงาน – กระบวนการเป็นสิ่งที่จำเป็นในการดำเนินการรักษาความปลอดภัยข้อมูล กระบวนการเหล่านี้จำเป็นต้องมีการวางแผน ดำเนินการ และควบคุม การประเมินความเสี่ยงและการรักษา – ซึ่งจำเป็นต้องอยู่ในใจของผู้บริหารระดับสูงดังที่เราได้เรียนรู้ไปก่อนหน้านี้ – จะต้องถูกนำไปปฏิบัติ
เรียนรู้เพิ่มเติมเกี่ยวกับการประเมินความเสี่ยงและการรักษาในแผนภาพ 6 ขั้นตอนในการจัดการความเสี่ยง ISO 27001/ISO 27005ฟรี
ข้อ 9 ของ ISO 27001 – การประเมินผลการปฏิบัติงาน – ข้อกำหนดของมาตรฐาน ISO 27001 คาดหวังการติดตาม การวัด การวิเคราะห์ และการประเมิน ระบบการจัดการความปลอดภัยของข้อมูล นอกเหนือจากการตรวจสอบตัวบ่งชี้ประสิทธิภาพหลักของงานแล้ว บริษัท จำเป็นต้องดำเนินการตรวจสอบภายใน สุดท้าย ในช่วงเวลาที่กำหนด ผู้บริหารระดับสูงจำเป็นต้องทบทวน ISMS ขององค์กรและ KPI ของISO 27001
ข้อ 10 ของ ISO 27001 – การปรับปรุง – การปรับปรุงเป็นไปตามการประเมินผล ความไม่สอดคล้องต้องได้รับการแก้ไขโดยการดำเนินการและกำจัดสาเหตุ นอกจากนี้ ควรมีการดำเนินการปรับปรุงอย่างต่อเนื่อง แม้ว่าวงจร PDCA (Plan-Do-Check-Act) จะไม่ได้กล่าวถึงอย่างชัดเจนอีกต่อไปใน ISO 27001แต่ก็ยังแนะนำให้ใช้ เนื่องจากมีโครงสร้างที่มั่นคงและเป็นไปตามข้อกำหนดของ ISO 27001
ภาคผนวก A (บรรทัดฐาน) การอ้างอิงการควบคุมความปลอดภัย ของข้อมูล – ภาคผนวกนี้แสดงรายการการป้องกัน (การควบคุม) 93 รายการที่สามารถนำไปใช้เพื่อลดความเสี่ยงและปฏิบัติตามข้อกำหนดด้านความปลอดภัยจากผู้มีส่วนได้ส่วนเสีย การควบคุมที่จะนำไปใช้ต้องมีการทำเครื่องหมายว่าใช้ได้ในคำแถลงการบังคับใช้
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับภาคผนวก A โปรดอ่านบทความ การทำความเข้าใจการควบคุม ISO 27001 จากภาคผนวก Aและ วิธีจัดโครงสร้างเอกสารสำหรับภาคผนวก A ของISO 27001
เอกสารบังคับ ISO 27001
ISO 27001 ระบุชุดขั้นต่ำของนโยบาย แผน บันทึก และข้อมูลเอกสารอื่นๆ ที่จำเป็นเพื่อให้เป็นไปตามข้อกำหนด ดังนั้น มาตรฐานกำหนดให้คุณต้องเขียนเอกสารและบันทึกเฉพาะที่จำเป็นสำหรับการดำเนินการและการรับรอง ISO 27001
หากต้องการดูคำอธิบายโดยละเอียดเพิ่มเติมเกี่ยวกับเอกสารแต่ละฉบับ ให้ดาวน์โหลดเอกสารไวท์เปเปอร์ฟรีรายการตรวจสอบเอกสารบังคับที่จำเป็นตามมาตรฐาน ISO 27001
“ได้รับการรับรองมาตรฐาน ISO 27001” คืออะไร?
บริษัทสามารถขอใบรับรอง ISO 27001 ได้โดยการเชิญหน่วยรับรองที่ได้รับการรับรองมาดำเนินการตรวจสอบใบรับรอง และหากการตรวจสอบสำเร็จ จะออกใบรับรอง ISO 27001 ให้กับบริษัท ใบรับรองนี้จะหมายความว่าบริษัทปฏิบัติตามมาตรฐาน ISO 27001 อย่างสมบูรณ์ ข้อกำหนดสำหรับ ISO 27001
บุคคลสามารถขอรับการรับรอง ISO 27001 ได้โดยผ่านการฝึกอบรม ISO 27001 และสอบผ่าน ใบรับรองนี้จะหมายความว่าบุคคลนี้ได้รับทักษะที่เหมาะสมในระหว่างหลักสูตร
ภาพรวมของเวอร์ชันต่างๆ ของ ISO 27001
จากการเผยแพร่บทความนี้ ISO 27001 เวอร์ชันปัจจุบันคือ ISO/IEC 27001:2022 ซึ่งเผยแพร่ในเดือนตุลาคม 2022
ISO 27001 เวอร์ชันแรกเปิดตัวในปี 2005 (ISO/IEC 27001:2005) และเวอร์ชันที่สองในปี 2013 เวอร์ชันปัจจุบันของปี 2022 เป็นการแก้ไขมาตรฐานครั้งที่สาม เรียนรู้เพิ่มเติมเกี่ยวกับการเปลี่ยนแปลงเหล่านี้ในอินโฟกราฟิกในบทความนี้: การปรับปรุง ISO 27001 2013 เทียบกับ 2022 – มีอะไรเปลี่ยนแปลงบ้าง
สิ่งสำคัญคือต้องสังเกตว่าประเทศต่างๆ ที่เป็นสมาชิกของ ISO สามารถแปลมาตรฐานเป็นภาษาของตนเองได้ โดยเพิ่มส่วนย่อยเล็กน้อย (เช่น คำปรารภประจำชาติ) ที่ไม่กระทบต่อเนื้อหาของมาตรฐานฉบับสากล “เวอร์ชัน” เหล่านี้มีตัวอักษรเพิ่มเติมเพื่อแยกความแตกต่างจากมาตรฐานสากล เช่น NBR ISO/IEC 27001 กำหนดเวอร์ชันของบราซิล ในขณะที่ BS ISO/IEC 27001 กำหนดเวอร์ชันของอังกฤษ มาตรฐานท้องถิ่นเหล่านี้ยังมีปีที่ได้รับการรับรองโดยหน่วยงานกำหนดมาตรฐานท้องถิ่น ดังนั้นเวอร์ชันล่าสุดของอังกฤษคือ BS EN ISO/IEC 27001:2017 ซึ่งหมายความว่า ISO/IEC 27001:2013 ได้รับการรับรองโดย British Standards Institution ในปี 2560
ISO 27001 จำเป็นหรือไม่?
ในประเทศส่วนใหญ่ การปฏิบัติตาม ISO 27001 นั้นไม่ได้บังคับ อย่างไรก็ตาม บางประเทศได้เผยแพร่ข้อบังคับที่กำหนดให้อุตสาหกรรมบางประเภทต้องปฏิบัติตาม ISO 27001 หากต้องการระบุว่า ISO 27001 เป็นข้อบังคับหรือไม่สำหรับบริษัทของคุณ คุณควรขอคำแนะนำทางกฎหมายจากผู้เชี่ยวชาญในประเทศที่คุณดำเนินธุรกิจ
องค์กรภาครัฐและเอกชนสามารถระบุการปฏิบัติตาม ISO 27001 เป็นข้อกำหนดทางกฎหมายในสัญญาและข้อตกลงการให้บริการกับซัพพลายเออร์ของตน
มาตรฐาน ISO 27000 คืออะไร?
เนื่องจากกำหนดข้อกำหนดสำหรับ ISMS ดังนั้น ISO 27001 จึงเป็นมาตรฐานหลักในกลุ่มมาตรฐาน ISO 27000 แต่เนื่องจากส่วนใหญ่จะกำหนดสิ่งที่จำเป็น แต่ไม่ได้ระบุวิธีการทำ มาตรฐานการรักษาความปลอดภัยของข้อมูลอื่นๆ อีกหลายมาตรฐานจึงได้รับการพัฒนาขึ้นเพื่อให้คำแนะนำเพิ่มเติม ปัจจุบัน ISO 27k series มีมากกว่า 40 มาตรฐาน
มาตรฐานรองรับ ISO 27001
ต่อไปนี้คือมาตรฐานอื่นๆ บางส่วนที่ใช้บ่อยที่สุดในซีรีส์ 27K ซึ่งรองรับ ISO 27001 โดยให้คำแนะนำในหัวข้อเฉพาะ
ISO/IEC 27000
ให้ข้อกำหนดและคำจำกัดความที่ใช้ในชุดมาตรฐาน ISO 27k
ISO/IEC 27002
ให้แนวทางสำหรับการปฏิบัติตามการควบคุมที่ระบุไว้ใน ISO 27001 ภาคผนวก A ซึ่งจะมีประโยชน์มาก เนื่องจากให้รายละเอียดเกี่ยวกับวิธีการนำการควบคุมเหล่านี้ไปใช้
ISO/IEC 27004
ให้แนวทางสำหรับการวัดความปลอดภัยของข้อมูล ซึ่งเข้ากันได้ดีกับ ISO 27001 เนื่องจากอธิบายถึงวิธีพิจารณาว่า ISMS บรรลุวัตถุประสงค์หรือไม่
ISO/IEC 27005
ให้แนวทางสำหรับการจัดการความเสี่ยงด้านความปลอดภัยข้อมูล เป็นส่วนเสริมที่ดีมากของ ISO 27001 เนื่องจากให้รายละเอียดเกี่ยวกับวิธีการประเมินความเสี่ยงและการรักษาความเสี่ยง ซึ่งอาจเป็นขั้นตอนที่ยากที่สุดในการดำเนินการ
ISO/IEC 27017
ให้แนวทางสำหรับการรักษาความปลอดภัยข้อมูลในสภาพแวดล้อมคลาวด์
ISO/IEC 27018
ให้แนวทางสำหรับการปกป้องความเป็นส่วนตัวในสภาพแวดล้อมคลาวด์
ISO/IEC 27031
ให้แนวทางเกี่ยวกับสิ่งที่ควรพิจารณาในการพัฒนาความต่อเนื่องทางธุรกิจสำหรับเทคโนโลยีสารสนเทศและการสื่อสาร (ICT) มาตรฐานนี้เป็นการเชื่อมโยงที่ดีระหว่างการรักษาความปลอดภัยข้อมูลและแนวทางปฏิบัติด้านความต่อเนื่องทางธุรกิจ
สำหรับองค์กรที่ต้องการ Document and Content Management Solution ที่สมบูรณ์แบบ พร้อม Professional Services ที่มีประสบการณ์ Implement Alfresco มามากกว่า 100 โครงการณ์ สามารถติดขอคำปรึกษากับ K&O Systems
ทั้งนี้บริษัทเคแอนด์โอ จึงได้มุ่งเน้นการจัดการแก้ไขปัญหา จัดการเอกสาร ด้านเอกสารขององค์กรมาอย่างยาวนาน และ ให้ความสำคัญกับด้านงานเอกสาร ต่อลูกค้าเป็นอย่างดี จนถึงปัจจุบันก็ได้ความยอมรับจากองค์กร ขนาดใหญ่ ขนาดกลาง และขนาดเล็กมากมาย จึงใคร่ขออาสาดูและปัญหาด้านเอกสารให้กับองค์กรของท่านอย่างสุดความสามารถ เพราะเราเป็นหนึ่งในธุรกิจ ระบบจัดเก็บเอกสาร ที่ท่านไว้ใจได้
สนใจรับคำปรึกษาด้านวางระบบจัดการเอกสารอิเล็กทรอนิกส์ EDMS โดยทีมงานผู้เชี่ยวชาญจาก K&O ที่มีประสบการณ์มากว่า 15 ปี รวมถึงซอฟต์แวร์ระดับโลก ติดต่อ 0 2 – 8 6 0 – 6 6 5 9
สนใจ บทความ หรือ Technology สามารถติดต่อได้ตามเบอร์ที่ให้ไว้ด้านล่างนี้
Tel.086-594-5494
Tel.095-919-6699
e-mail cs@ko.in.th หรือ K&O FB / เว็บไซต์หลัก สแกนเพื่อแอด Line พูดคุยตอนนี้
