มอก. 27001-2556 , ISO/IEC 27001:2013

1. ชื่อมาตรฐาน
(ภาษาไทย) มอก. 27001-2556 ระบบจัดการความมั่นคงปลอดภัยของสารสนเทศ
(ภาษาอังกฤษ) ISO/IEC 27001:2013 Information technology — Security techniques — Information security management systems – Requirements

2. การประกาศใช้

ISO : 15 October 2005

3. หน่วยงานเจ้าของมาตรฐาน
มอก.: สำนักงานมาตรฐานผลิตภัณฑ์อุตสาหกรรม (สมอ.) กระทรวงอุตสาหกรรม
ISO : International Organization for Standardization (JTC 1/SC 27 IT Security techniques) และ International Electrotechnical Commission (IEC)

4. ประเภทมาตรฐาน
ISO/IEC 27001 เป็นมาตรฐานระบบการจัดการ สามารถขอการรับรองจากหน่วยรับรองระบบ (Certification Body) ที่ให้บริการได้

5. ขอบเขตและการประยุกต์ใช้
ISO/IEC 27001 เป็นมาตรฐานสากลที่องค์กรธุรกิจทั่วโลกให้ความสำคัญ โดยสามารถนำไปประยุกต์ใช้ได้กับองค์กรทุกประเภท (เช่น ภาคการค้า หน่วยงานภาครัฐ และองค์กรไม่แสวงหากำไร)

6. ประโยชน์ที่ได้รับจากการนำมาตรฐานไปใช้

สร้างความมั่นใจให้กับลูกค้า พนักงาน คู่ค้า และผู้มีส่วนได้เสียเกี่ยวกับการจัดการข้อมูลและระบบสารสนเทศที่ปลอดภัย หรือการกำหนดนโยบายที่จะต่อสู่กับการละเมิดสิทธิ
แสดงให้เห็นถึงความน่าเชื่อถือและความน่าไว้วางใจขององค์กร
สามารถช่วยประหยัดค่าใช้จ่ายขององค์กร
ช่วยให้ทราบถึงกฎหมายและกฎระเบียบที่เกี่ยวข้อง
ทำให้มั่นใจได้ว่าองค์กรมุ่งมั่นที่จะรักษาความปลอดภัยของข้อมูลที่มีอยู่ในทุกระดับทั่วทั้งองค์กร

7. สาระสำคัญของมาตรฐาน
ISO/IEC 27001 เป็นมาตรฐานว่าด้วยการจัดการความมั่นคงและปลอดภัยด้านสารสนเทศ โดยมีแนวคิดตามหลัก Plan-Do-Check-Act ดังภาพ

ข้อกำหนดสำหรับการดำเนินงาน ประกอบด้วย

การจัดทำระบบการจัดการความมั่นคงปลอดภัยสารสนเทศ (ISMS) องค์กรต้องกำหนดขอบข่ายการจัดทำระบบ นโยบาย ประเมินและระบุความเสี่ยงขององค์กร ระบุแนวทางการจัดการกับความเสี่ยง เลือกวิธีการควบคุมและจัดการความเสี่ยง และจัดเตรียมคำชี้แจงการนำไปประยุกต์ใช้
การจัดทำแผนและดำเนินการ การติดตามและทบทวน ISMS และการรักษาและปรับปรุง ISMS
การจัดเตรียม ควบคุมบันทึกและเอกสาร และการจัดเก็บ
ความรับผิดชอบของฝ่ายบริหาร โดยการแสดงความมุ่งมั่น การจัดสรรทรัพยากร
การตรวจประเมิน ISMS ภายใน
การทบทวนของฝ่ายบริหาร
การปรับปรุง ISMS อย่างต่อเนื่อง

8. แหล่งข้อมูลอ้างอิง

www.iso.org
มาตรฐานการรักษาความมั่นคงปลอดภัยในการประกอบธุรกรรมทางอิเล็กทรอนิกส์ (เวอร์ชั่น 2.5)ประจำปี 2550 โดย ศูนย์เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติ (NECTEC) สำนักงานพัฒนาวิทยาศาสตร์และเทคโนโลยีแห่งชาติ (สวทช./NSTDA)
http://www.oknation.net/blog/weblog/2009/02/27/entry-4

ปรับปรุงข้อมูลเมื่อเดือนมีนาคม 2556