Skip to Content

ISO 27001 หมายถึงอะไร

14 กุมภาพันธ์ ค.ศ. 2024 โดย
K&O Systems and Consulting


ISO 27001 หมายถึงอะไร ISO 27001 เป็นมาตรฐานสากลชั้นนำที่เน้นเรื่องความปลอดภัยของข้อมูล เผยแพร่โดยองค์การระหว่างประเทศว่าด้วยการมาตรฐาน (ISO)ร่วมกับ International Electrotechnical Commission (IEC) ทั้งสองแห่งเป็นองค์กรชั้นนำระดับนานาชาติที่พัฒนามาตรฐานสากล

ISO 27001 เป็นส่วนหนึ่งของชุดมาตรฐานที่พัฒนาขึ้นเพื่อจัดการกับความปลอดภัยของข้อมูล: ชุด ISO/IEC 27000 ชื่อเต็มคือ “ISO/IEC 27001 – Information security, cybersecurity and Privacy protection — Information security management systems — Requirements”


กรอบ ISO และวัตถุประสงค์ของ ISO 27001

กรอบ ISO เป็นการผสมผสานมาตรฐานต่างๆ เพื่อให้องค์กรนำไปใช้ ISO 27001 จัดทำกรอบการทำงานเพื่อช่วยองค์กรทุกขนาดหรือทุกอุตสาหกรรมในการปกป้องข้อมูลของตนอย่างเป็นระบบและประหยัดค่าใช้จ่าย โดยการนำระบบการจัดการความปลอดภัยของข้อมูล (ISMS)มาใช้


เหตุใด ISO 27001 จึงมีความสำคัญ

มาตรฐานนี้ไม่เพียงแต่ให้ความรู้ที่จำเป็นแก่บริษัทในการปกป้องข้อมูลที่มีค่าที่สุดของบริษัทเท่านั้น แต่บริษัทยังสามารถได้รับการรับรองตามมาตรฐาน ISO 27001 และด้วยวิธีนี้ พิสูจน์ให้ลูกค้าและคู่ค้าเห็นว่ามีการปกป้องข้อมูลของตน

บุคคลทั่วไปสามารถได้รับการรับรอง ISO 27001 ได้โดยการเข้าร่วมหลักสูตรและสอบผ่าน และด้วยวิธีนี้ พิสูจน์ทักษะของตนในการปรับใช้หรือตรวจสอบระบบการจัดการความปลอดภัยของข้อมูลให้กับนายจ้างที่มีศักยภาพ

เนื่องจากเป็นมาตรฐานสากล ISO 27001 จึงเป็นที่รู้จักไปทั่วโลก เพิ่มโอกาสทางธุรกิจให้กับองค์กรและผู้เชี่ยวชาญ


หลักการสามข้อของ ISO 27001 คืออะไร?

เป้าหมายพื้นฐานของ ISO 27001 และระบบการจัดการความปลอดภัยของข้อมูลคือการปกป้องข้อมูลสามด้าน:

  • การ รักษาความลับ : เฉพาะผู้มีอำนาจเท่านั้นที่มีสิทธิ์ในการเข้าถึงข้อมูล
  • ความสมบูรณ์ : เฉพาะผู้มีอำนาจเท่านั้นที่สามารถเปลี่ยนแปลงข้อมูลได้
  • ความพร้อมใช้งาน : ข้อมูลต้องสามารถเข้าถึงได้โดยผู้มีอำนาจเมื่อใดก็ตามที่จำเป็น


ทำไมเราต้องมี ISMS?

มีประโยชน์ทางธุรกิจที่สำคัญสี่ประการที่  บริษัทสามารถบรรลุได้ด้วยการใช้ ISO 27001

ปฏิบัติตามข้อกำหนดทางกฎหมาย – มีกฎหมาย ข้อบังคับ และข้อกำหนดตามสัญญาที่เกี่ยวข้องกับความปลอดภัยของข้อมูลเพิ่มมากขึ้นเรื่อยๆ ข่าวดีก็คือส่วนใหญ่สามารถแก้ไขได้ด้วยการใช้ ISO 27001 มาตรฐานนี้ให้วิธีการที่สมบูรณ์แบบในการปฏิบัติตามข้อกำหนดทั้งหมด

บรรลุความได้เปรียบในการแข่งขัน – หากบริษัทของคุณได้รับการรับรอง แต่คู่แข่งของคุณไม่ได้รับการรับรอง คุณอาจมีข้อได้เปรียบเหนือพวกเขาในสายตาของลูกค้าที่มีความละเอียดอ่อนเกี่ยวกับการรักษาข้อมูลของพวกเขาให้ปลอดภัย

ลดค่าใช้จ่าย – ปรัชญาหลักของ ISO 27001 คือการป้องกันไม่ให้เหตุการณ์ด้านความปลอดภัยเกิดขึ้น – และทุกเหตุการณ์ไม่ว่าจะเล็กหรือใหญ่ล้วนมีค่าใช้จ่าย ดังนั้นด้วยการป้องกัน บริษัทของคุณจะประหยัดเงินได้ค่อนข้างมาก และสิ่งที่ดีที่สุด การลงทุนใน ISO 27001 นั้นน้อยกว่าการประหยัดต้นทุนที่คุณจะได้รับมาก

องค์กรที่ดีขึ้น – โดยปกติแล้ว บริษัทที่เติบโตอย่างรวดเร็วจะไม่มีเวลาหยุดและกำหนดกระบวนการและขั้นตอนของตน ดังนั้น พนักงานจึงมักไม่รู้ว่าต้องทำอะไร เมื่อไร และโดยใคร การนำมาตรฐาน ISO 27001 ไปใช้ช่วยแก้ไขสถานการณ์ดังกล่าวได้ เนื่องจากสนับสนุนให้บริษัทจดกระบวนการหลักของตน (แม้ว่าจะไม่เกี่ยวข้องกับการรักษาความปลอดภัยก็ตาม) ทำให้สามารถลดเวลาที่พนักงานสูญเสียไป และรักษาความรู้ที่สำคัญขององค์กรที่อาจสูญหายได้เมื่อบุคลากร ออกจากองค์กร


ISO 27001 ทำงานอย่างไร

จุดเน้นของ ISO 27001 คือการปกป้องความลับ ความสมบูรณ์ และความพร้อมใช้งานของข้อมูลในบริษัท สิ่งนี้ทำได้โดยการค้นหาว่าเหตุการณ์ใดที่อาจเกิดขึ้นกับข้อมูล (เช่น การประเมินความเสี่ยง) จากนั้นจึงกำหนดสิ่งที่ต้องทำเพื่อป้องกันไม่ให้เหตุการณ์ดังกล่าวเกิดขึ้น (เช่น การลดความเสี่ยงหรือการรักษาความเสี่ยง)

ดังนั้น ปรัชญาหลักของ ISO 27001 จึงขึ้นอยู่กับกระบวนการในการจัดการความเสี่ยง: ค้นหาว่าความเสี่ยงอยู่ที่ไหน แล้วจัดการอย่างเป็นระบบผ่านการดำเนินการควบคุมความปลอดภัย (หรือการป้องกัน)

 

ISO 27001 กำหนดให้บริษัทต้องแสดงรายการการควบคุมทั้งหมด  ที่จะนำไปใช้ในเอกสารที่เรียกว่า Statement of Applicability


การควบคุม ISO 27001 คืออะไร?

การควบคุม ISO 27001 (หรือที่เรียกว่ามาตรการป้องกัน) เป็นแนวปฏิบัติที่ต้องดำเนินการเพื่อลดความเสี่ยงให้อยู่ในระดับที่ยอมรับได้ การควบคุมอาจเกี่ยวข้องกับเทคโนโลยี องค์กร กายภาพ และมนุษย์ ISO 27001 หมายถึงอะไร


มีกี่การควบคุมใน ISO 27001?

การปรับปรุง ISO 27001 ภาคผนวก A ในปี 2022 ระบุการควบคุม 93 รายการที่จัดแบ่งเป็นสี่ส่วน โดยมีหมายเลข A.5 ถึง A.8 ตามที่อธิบายไว้ด้านล่าง

 

คุณใช้การควบคุม ISO 27001 อย่างไร

การควบคุมขององค์กร (ภาคผนวก A ส่วน A.5)ดำเนินการโดยการกำหนดกฎที่ต้องปฏิบัติตาม เช่นเดียวกับพฤติกรรมที่คาดหวังจากผู้ใช้ อุปกรณ์ ซอฟต์แวร์ และระบบ เช่น นโยบายการควบคุมการเข้าถึง นโยบาย BYOD เป็นต้น

การควบคุมบุคคล (ภาคผนวก A ส่วน A.6)ดำเนินการโดยการให้ความรู้ การศึกษา ทักษะ หรือประสบการณ์แก่บุคคลเพื่อให้บุคคลสามารถดำเนินกิจกรรมได้อย่างปลอดภัย เช่นการฝึกอบรมการรับรู้ ISO 27001 การฝึกอบรมผู้ตรวจสอบภายใน ISO 27001 เป็นต้น

การควบคุมทางกายภาพ (ภาคผนวก A ส่วน A.7)ดำเนินการโดยหลักโดยใช้อุปกรณ์หรืออุปกรณ์ที่มีปฏิสัมพันธ์ทางกายภาพกับผู้คนและวัตถุ เช่น กล้องวงจรปิด ระบบกันขโมย ระบบล็อค ฯลฯ

การควบคุมทางเทคโนโลยี (ภาคผนวก A ส่วน A.8)ถูกนำมาใช้เป็นหลักในระบบข้อมูล โดยใช้ส่วนประกอบของซอฟต์แวร์ ฮาร์ดแวร์ และเฟิร์มแวร์ที่เพิ่มเข้าไปในระบบ เช่น การสำรองข้อมูล ซอฟต์แวร์ป้องกันไวรัส เป็นต้น

สำหรับความช่วยเหลือในการเขียนนโยบายและขั้นตอนสำหรับ ISMS และสำหรับการควบคุมความปลอดภัยลงชื่อสมัครใช้ Conformio รุ่นทดลองใช้ฟรีซึ่งเป็นซอฟต์แวร์ชั้นนำที่ปฏิบัติตามมาตรฐาน ISO 27001


สองส่วนของมาตรฐาน

มาตรฐานแบ่งออกเป็นสองส่วน ส่วนแรก (หลัก) ประกอบด้วย 11 อนุประโยค (0 ถึง 10) ส่วนที่สองเรียกว่าภาคผนวก A เป็นแนวทางสำหรับวัตถุประสงค์การควบคุมและการควบคุม 93 รายการ

ข้อ 0 ถึง 3 ของส่วนหลักของมาตรฐาน (บทนำ ขอบเขต การอ้างอิงเชิงบรรทัดฐาน ข้อกำหนด และคำจำกัดความ) ทำหน้าที่เป็นบทนำของมาตรฐาน ISO 27001 ข้อ 4 ถึง 10 ซึ่งระบุข้อกำหนด ISO 27001 เป็นข้อบังคับหากบริษัทต้องการปฏิบัติตามมาตรฐานนี้ และมีการตรวจสอบรายละเอียดเพิ่มเติมในภายหลังในบทความนี้

ภาคผนวก A ของมาตรฐานรองรับข้อและข้อกำหนดด้วยรายการการควบคุมที่ไม่บังคับ แต่ถูกเลือกให้เป็นส่วนหนึ่งของกระบวนการบริหารความเสี่ยง สำหรับข้อมูลเพิ่มเติม โปรดอ่านบทความตรรกะพื้นฐานของ ISO 27001: ความปลอดภัยของข้อมูลทำงานอย่างไร


​สำหรับองค์กรที่ต้องการ Document and Content Management Solution ที่สมบูรณ์แบบ พร้อม Professional Services ที่มีประสบการณ์ Implement Alfresco มามากกว่า 100 โครงการณ์ สามารถติดขอคำปรึกษากับ K&O Systems


​ทั้งนี้บริษัทเคแอนด์โอ จึงได้มุ่งเน้นการจัดการแก้ไขปัญหา จัดการเอกสาร ด้านเอกสารขององค์กรมาอย่างยาวนาน และ ให้ความสำคัญกับด้านงานเอกสาร ต่อลูกค้าเป็นอย่างดี จนถึงปัจจุบันก็ได้ความยอมรับจากองค์กร ขนาดใหญ่ ขนาดกลาง และขนาดเล็กมากมาย จึงใคร่ขออาสาดูและปัญหาด้านเอกสารให้กับองค์กรของท่านอย่างสุดความสามารถ เพราะเราเป็นหนึ่งในธุรกิจ ระบบจัดเก็บเอกสาร ที่ท่านไว้ใจได้


หากคุณต้องการอ่านข้อมูลเพิ่มเติมเกี่ยวกับเว็บไซต์

ติดต่อเรา 095-9196699, 02 860 6659 ต่อ 206

นิ้ว Knowledge