ISO/IEC 27001:2022

  1. ชื่อมาตรฐาน

(ภาษาอังกฤษ) ISO/IEC 27001:2022 Information security, cybersecurity and privacy protection — Information security management systems — Requirements

(ภาษาไทย) มอก. 27001-2556 ระบบจัดการความมั่นคงปลอดภัยของสารสนเทศ

  1. การประกาศใช้

ISO : 10 October 2022

มอก.: 19 มีนาคม 2557 (ประกาศในราชกิจจานุเบกษา)

  1. หน่วยงานเจ้าของมาตรฐาน

ISO : International Organization for Standardization (JTC 1/SC 27 IT Security techniques) และ International Electrotechnical Commission (IEC)

มอก.: สำนักงานมาตรฐานผลิตภัณฑ์อุตสาหกรรม (สมอ.) กระทรวงอุตสาหกรรม

  1. ประเภทมาตรฐาน

ISO/IEC 27001 เป็นมาตรฐานระบบการจัดการ สามารถขอการรับรองจากหน่วยรับรองระบบ (Certification Body) ที่ให้บริการได้

  1. ขอบเขตและการประยุกต์ใช้

ISO/IEC 27001 เป็นมาตรฐานสากลที่องค์กรธุรกิจทั่วโลกให้ความสำคัญ โดยสามารถนำไปประยุกต์ใช้ได้กับองค์กรทุกประเภท (เช่น ภาคการค้า หน่วยงานภาครัฐ และองค์กรไม่แสวงหากำไร)

  1. ประโยชน์ที่ได้รับจากการนำมาตรฐานไปใช้
  • ลดความเสี่ยงขององค์กรต่อภัยคุกคามที่เพิ่มขึ้นของการโจมตีทางไซเบอร์
  • ตอบสนองต่อความเสี่ยงด้านความปลอดภัยที่พัฒนาขึ้นเรื่อยๆ
  • ช่วยตรวจสอบให้แน่ใจว่าสินทรัพย์ เช่น งบการเงิน ทรัพย์สินทางปัญญา ข้อมูลพนักงาน และข้อมูลที่บุคคลที่สามมอบหมายยังคงไม่เสียหาย เป็นความลับ และพร้อมใช้งานตามความจำเป็น
  • มีการจัดการข้อมูลรวมเป็นศูนย์กลางโดยรักษาความปลอดภัยของข้อมูลทั้งหมดไว้ในที่เดียว
  • ส่งเสริมการเตรียมบุคลากร กระบวนการ และเทคโนโลยีทั่วทั้งองค์กรเพื่อรองรับและรับมือกับความเสี่ยงด้านเทคโนโลยีและภัยคุกคามอื่นๆ
  • รักษาความปลอดภัยข้อมูลในทุกรูปแบบ รวมถึงข้อมูลบนกระดาษ ข้อมูลบนคลาวด์ และดิจิทัล
  • ประหยัดเงินด้วยการเพิ่มประสิทธิภาพและลดค่าใช้จ่ายสำหรับเทคโนโลยีการป้องกันที่ไม่ได้ผล
  • สร้างความมั่นใจและความน่าเชื่อถือให้กับลูกค้า พนักงาน คู่ค้า และผู้มีส่วนได้เสียเกี่ยวกับการจัดการข้อมูลและระบบสารสนเทศที่ปลอดภัย หรือการกำหนดนโยบายที่จะต่อสู่กับการละเมิดสิทธิ
  • สนับสนุนกลยุทธ์การแปลงเป็นดิจิทัล
  • เสริมความแข็งแกร่งให้กับมาตรการรักษาความปลอดภัยข้อมูลขององค์กร ลดความเสี่ยงของการละเมิดข้อมูล และสร้างความยืดหยุ่นของข้อมูลในองค์กร
  • ทำให้มั่นใจได้ว่าองค์กรมุ่งมั่นที่จะรักษาความปลอดภัยของข้อมูลที่มีอยู่ในทุกระดับทั่วทั้งองค์กร
  1. สาระสำคัญของมาตรฐาน

ISO/IEC 27001 เป็นมาตรฐานว่าด้วยการจัดการความมั่นคงและปลอดภัยด้านสารสนเทศ (ISMS) โดยมีแนวคิดตามหลัก Plan-Do-Check-Act

ข้อกำหนดสำหรับการดำเนินงาน ประกอบด้วย

  • ข้อ 4 บริบทขององค์กร (Context of the organization) : การจัดทำระบบการจัดการความมั่นคงปลอดภัยสารสนเทศ (ISMS) องค์กรต้องเข้าใจบริบทองค์กร ความต้องการของผู้มีส่วนได้ส่วนและ และกำหนดขอบข่ายการจัดทำระบบ นโยบาย ประเมินและระบุความเสี่ยงขององค์กร ระบุแนวทางการจัดการกับความเสี่ยง เลือกวิธีการควบคุมและจัดการความเสี่ยง และจัดเตรียมคำชี้แจงการนำไปประยุกต์ใช้
  • ข้อ 5 ภาวะผู้นำ (Leadership) : ความรับผิดชอบของฝ่ายบริหาร โดยการแสดงความมุ่งมั่นการให้ความสำคัญต่อระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ กำหนดนโนบาย และกำหนดบทบาท หน้าที่ความรับผิดชอบ และอำนาจหน้าที่ขององค์กร
  • ข้อ 6 การวางแผน (Planning) : การจัดทำแผนและดำเนินการ โดยการดำเนินการเพื่อจัดการกับความเสี่ยงและโอกาส กำหนดวัตถุประสงค์ด้านความมั่นคงปลอดภัยสารสนเทศในฟังก์ชันและระดับงานที่เกี่ยวข้อง การวางแผนการเปลี่ยนแปลง (กรณีที่มีการเปลี่ยนแปลง)
  • ข้อ 7 การสนับสนุน (Support) : กำหนดและให้ทรัพยากรที่จำเป็นสำหรับการกำหนด การนำสู่การปฏิบัติ การบำรุงรักษา และการปรับปรุงอย่างต่อเนื่อง สำหรับระบบ ISMS กำหนดสมรรถนะและพัฒนาบุคลากร และมีความตระหนักต่อในการดำเนินงานของระบบ ISMS และการสื่อสารให้ทราบทั้งภายในและภายนอกองค์กร การจัดเตรียม ควบคุมบันทึกและเอกสาร และการจัดเก็บ
  • ข้อ 8 การดำเนินการ (Operation) : การวางแผนที่เกี่ยวข้องกับการดำเนินการและการควบคุม การประเมินความเสี่ยงต่อความมั่นคงปลอดภัยสารสนเทศ การจัดการกับความเสี่ยงต่อความมั่นคงปลอดภัยสารสนเทศ
  • ข้อ 9 การประเมินประสิทธิภาพและประสิทธิผล (Performance evaluation) : การเฝ้าระวัง การวัดผล การวิเคราะห์ และการประเมินผล มีการตรวจประเมินภายใน และมีการทบทวนของผู้บริหาร
  • ข้อ 10 การปรับปรุงอย่างต่อเนื่อง (Continual improvement) : ต้องปรับปรุงความเหมาะสม ความเพียงพอ และความสัมฤทธิ์ผลของระบบ ISMS อย่างต่อเนื่อง และดำเนินการกับความไม่สอดคล้อง และดำเนินการแก้ไข
  1. แหล่งข้อมูลอ้างอิง

 

ปรับปรุงข้อมูลเมื่อเดือนเมษายน 2566