Blockdit Logo (Mobile)
Interlink Telecom
29 เม.ย. 2022 เวลา 14:00 • วิทยาศาสตร์ & เทคโนโลยี
มาตรฐาน ISO/IEC27001 เป็นมาตรฐานสากลสำหรับระบบการจัดการความปลอดภัยของข้อมูล (Information Security Management System : ISMS) สำหรับการประเมินความเสี่ยง การออกแบบด้านการรักษาความปลอดภัยของข้อมูลและการนำไปปฏิบัติ
1
โดยมาตรฐาน ISO/IEC27001 นี้ได้ระบุแนวทางการดำเนินงานและการบริหารจัดการเพื่อจะช่วยในการเก็บรักษาข้อมูลขององค์กรได้อย่าง ปลอดภัยยิ่งขึ้น
มาตรฐาน ISO27001 เป็นมาตรฐานสากลเพียงมาตรฐานเดียวที่สามารถประเมินได้สำหรับการจัดการความปลอดภัยของข้อมูล ซึ่งมาตรฐานนี้จะให้การรับรองว่าองค์กรได้ดำเนินงานสอดคล้องกับกฏหมาย กฏระเบียบ ข้อบังคับ และข้อกำหนดตามสัญญาอันเกี่ยวเนื่องกับข้อมูลสำคัญ
1
การได้รับการรับรองตามมาตรฐาน ISO/IEC27001 จึงเป็นข้อพิสูจน์ให้เห็นได้ว่า องค์กรได้มีการดำเนินการตามขั้นตอนที่จำเป็นเพื่อปกป้องข้อมูลที่สำคัญจากการเข้าถึงโดยไม่ได้รับอนุญาต
ในปัจจุบันเทคโนโลยีสารสนเทศ เป็นองค์ประกอบที่สำคัญของทุกองค์กร ตั้งแต่อีเมล เอกสารที่สร้างขึ้น จนถึงข้อมูลต่างๆที่ถูกเก็บไว้ภายองค์กร ด้วยการขยายตัวของอุปกรณ์ที่เชื่อมต่อกัน
จึงเป็นเรื่องง่ายที่แต่ละคนนั้นจะสามารถเข้าถึงข้อมูลนี้ไม่ว่าจะอยู่ที่ใด และด้วยการเข้าถึงที่ง่ายขึ้นนั้น ก็กลายเป็นเรื่องง่ายเช่นกัน สำหรับผู้ที่ไม่ได้รับอนุญาตที่จะเข้าถึงข้อมูลสำคัญขององค์กรได้
การนำมาตรฐาน ISO/IEC27001 มาใช้งานภายในองค์กร ประกอบไปด้วย 4 องค์ประกอบดังนี้
  • จัดทำระบบ (Establish) การจัดการความมั่นคงปลอดภัยของสารสนเทศ (Information Security Management System : ISMS) คือการเตรียมการ วางแผนเพื่อปกป้องข้อมูลสารสนเทศ
  • นำไปปฏิบัติ (Implement) คือ นำแผนจากขั้นตอนการทำระบบ (Establish) ไปปฏิบัติจริงหน้างาน ทำตามเอกสารคู่มือและลงบันทึกในแบบฟอร์ม
  • รักษาไว้ (Maintain) คือปฏิบัติควบคู่ไปกับการทำงานปกติ (ไม่ใช่ทำเฉพาะก่อนโดนตรวจ Audit)
  • ปรับปรุงอย่างต่อเนื่อง (Continual Improve) คือ ทบทวนผลการกระทำระบบและหาจุดปรับปรุงอย่างต่อเนื่อง
ดังนั้นการทำระบบ ISO/IEC27001 ให้มีประสิทธิภาพ จะต้องดำเนินงานให้ได้ตาม 4 ข้อข้างต้นให้ครบถ้วน และมีหลักฐานทั้งเอกสารรวมถึงผลของการปฏิบัติงาน ที่มีความน่าเชื่อถือเพื่อสะท้อนความเป็นจริงและสามารถตรวจสอบข้อมูลดังกล่าวได้
โมเดล CIA ใน ISO/IEC27001
ISO/IEC27001 เน้นการปกป้องข้อมูลสารสนเทศ (Information) ให้มีคุณสมบัติ 3 ประการคือ
  • 1.
    Confidential : การปกป้องสารสนเทศให้เข้าถึงได้เฉพาะผู้ที่มีสิทธิ ถ้าหากข้อมูลรั่วไหลแสดงว่าขาดคุณสมบัติในข้อนี้
  • 2.
    Integrity : ปกป้องความถูกต้องสมบูรณ์ของสารสนเทศไม่ให้ถูกแก้ไขเปลี่ยนแปลงผิดไปจากความเป็นจริง เช่น การเจาะเข้าระบบเพื่อ ลบ แก้ไขข้อมูล เป็นต้น
  • 3.
    Availability : สร้างความเชื่อมั่นว่าระบบสารสนเทศพร้อมใช้งาน
1
ดังนั้น การปกป้องข้อมูล (Information) จะเข้มงวดมากหรือน้อย ขึ่นอยู่กับ ”ความเสี่ยง” หลักการคือ ข้อมูลใดๆ ก็ตามที่มีความเสี่ยงสูงย่อมต้องมีมาตรการป้องกันเข้มงวดกว่าข้อมูลที่มีความ เสี่ยงต่ำตัวอย่าง
เช่น ข้อมูล Username & Password สำหรับเข้าสู่ระบบสารสนเทศขององค์กร ต้องมีมาตรการปกป้องที่เข้มงวดไม่น้อยกว่าข้อมูลทั่วไป เป็นต้น
ประโยชน์ของมาตรฐาน ISO/IEC27001
การได้รับรองมาตรฐาน ISO/IEC27001 จะช่วยเพิ่มความน่าเชื่อถือให้กับองค์กร เป็นการสร้างความมั่นใจให้กับซัพพลายเออร์ ลูกค้า รวมถึงผู้ที่มีส่วนได้ส่วนเสียอื่นๆ ว่าองค์กรได้มีการดำเนินมาตรการที่มีความจำเป็น เพื่อปกป้องข้อมูลขององค์กร
นอกจากให้ความมั่นใจกับลูกค้าแล้ว มาตรฐาน ISO/IEC27001 ยังสามารถช่วยดึงดูดลูกค้าใหม่ ที่มีความใส่ใจในเรื่องของการรักษาความมั่นคงปลอดข้อมูล
โฆษณา