Skip to Content

ข้อกำหนดสำหรับ ISO 27001 คืออะไร?

14 กุมภาพันธ์ ค.ศ. 2024 โดย
K&O Systems and Consulting


ข้อกำหนดสำหรับ ISO 27001 คืออะไร? โดยข้อกำหนดตั้งแต่ข้อ 4 ถึง 10 สรุปได้ดังนี้ ข้อ 4 ของ ISO 27001 – บริบทขององค์กร – ข้อกำหนดเบื้องต้นประการหนึ่งของการนำระบบการจัดการความปลอดภัยของข้อมูลไปใช้ให้สำเร็จคือการทำความเข้าใจบริบทขององค์กร จำเป็นต้องระบุและพิจารณาประเด็นภายนอกและภายในตลอดจนผู้มีส่วนได้เสีย ข้อกำหนดอาจรวมถึงประเด็นด้านกฎระเบียบ แต่อาจไปไกลกว่านั้น

เมื่อคำนึงถึงสิ่งนี้ องค์กรจำเป็นต้องกำหนดขอบเขตISMS

ข้อ 5 ของ ISO 27001 – ภาวะผู้นำ – ข้อกำหนดของ ISO 27001 สำหรับภาวะผู้นำที่เพียงพอนั้นมีความหลากหลาย ความมุ่งมั่นของผู้บริหารสูงสุดเป็นสิ่งจำเป็นสำหรับระบบการจัดการ วัตถุประสงค์จำเป็นต้องกำหนดขึ้นตามทิศทางเชิงกลยุทธ์  และวัตถุประสงค์ขององค์กร การจัดหาทรัพยากรที่จำเป็นสำหรับ ISMS ตลอดจนการสนับสนุนบุคคลที่มีส่วนร่วมใน ISMS เป็นตัวอย่างอื่น ๆ ของภาระหน้าที่ที่ต้องปฏิบัติตาม

นอกจากนี้ ผู้บริหารระดับสูงจำเป็นต้องกำหนดนโยบายระดับบนสุดสำหรับความปลอดภัยของข้อมูล ควรจัดทำเอกสาร นโยบายความปลอดภัยข้อมูล ISO 27001ของบริษัทตลอดจนสื่อสารภายในองค์กรและต่อ บุคคล ที่สนใจ

จำเป็นต้องกำหนด บทบาทและความรับผิดชอบเพื่อให้เป็นไปตามข้อกำหนดของมาตรฐาน ISO 27001 และเพื่อรายงานผลการปฏิบัติงานของ ISMS

ข้อ 6 ของ ISO 27001 – การวางแผน – การวางแผนในสภาพแวดล้อม ISMS ควรคำนึงถึงความเสี่ยงและโอกาสเสมอ การประเมินความเสี่ยงด้านความปลอดภัยข้อมูล  เป็นรากฐานสำคัญที่ต้องพึ่งพา ดังนั้น วัตถุประสงค์ด้านความปลอดภัยของข้อมูลควรขึ้นอยู่กับการประเมินความเสี่ยง

วัตถุประสงค์เหล่านี้จำเป็นต้องสอดคล้องกับวัตถุประสงค์โดยรวมของบริษัท และจำเป็นต้องได้รับการส่งเสริมภายในบริษัท เนื่องจากมีเป้าหมายด้านความปลอดภัยในการทำงานสำหรับทุกคนภายในและสอดคล้องกับบริษัท จากการประเมินความเสี่ยงและวัตถุประสงค์ด้านความปลอดภัย จะได้แผนการจัดการความเสี่ยงตามการควบคุมตามที่ระบุไว้ในภาคผนวก A

ข้อ 7 ของ ISO 27001 – การสนับสนุน – ทรัพยากร ความสามารถของพนักงาน ความตระหนัก และการสื่อสารเป็นกุญแจสำคัญในการสนับสนุน ISMS

ข้อกำหนดอีกประการหนึ่งคือการจัดทำเอกสารข้อมูลตามมาตรฐาน ISO 27001 ข้อมูลจำเป็นต้องจัดทำเป็นเอกสาร สร้าง และปรับปรุง รวมทั้งต้องมีการควบคุม ชุดเอกสารที่เหมาะสม รวมถึงแผนการสื่อสารจำเป็นต้องได้รับการบำรุงรักษาเพื่อสนับสนุนความสำเร็จของ ISMS

ข้อ 8 ของ ISO 27001 – การปฏิบัติงาน – กระบวนการเป็นสิ่งที่จำเป็นในการดำเนินการรักษาความปลอดภัยข้อมูล กระบวนการเหล่านี้จำเป็นต้องมีการวางแผน ดำเนินการ และควบคุม การประเมินความเสี่ยงและการรักษา – ซึ่งจำเป็นต้องอยู่ในใจของผู้บริหารระดับสูงดังที่เราได้เรียนรู้ไปก่อนหน้านี้ – จะต้องถูกนำไปปฏิบัติ

เรียนรู้เพิ่มเติมเกี่ยวกับการประเมินความเสี่ยงและการรักษาในแผนภาพ 6 ขั้นตอนในการจัดการความเสี่ยง ISO 27001/ISO 27005ฟรี

ข้อ 9 ของ ISO 27001 – การประเมินผลการปฏิบัติงาน – ข้อกำหนดของมาตรฐาน ISO 27001 คาดหวังการติดตาม การวัด การวิเคราะห์ และการประเมิน  ระบบการจัดการความปลอดภัยของข้อมูล นอกเหนือจากการตรวจสอบตัวบ่งชี้ประสิทธิภาพหลักของงานแล้ว บริษัท จำเป็นต้องดำเนินการตรวจสอบภายใน สุดท้าย ในช่วงเวลาที่กำหนด ผู้บริหารระดับสูงจำเป็นต้องทบทวน ISMS ขององค์กรและ KPI ของISO 27001

ข้อ 10 ของ ISO 27001 – การปรับปรุง – การปรับปรุงเป็นไปตามการประเมินผล ความไม่สอดคล้องต้องได้รับการแก้ไขโดยการดำเนินการและกำจัดสาเหตุ นอกจากนี้ ควรมีการดำเนินการปรับปรุงอย่างต่อเนื่อง แม้ว่าวงจร PDCA (Plan-Do-Check-Act) จะไม่ได้กล่าวถึงอย่างชัดเจนอีกต่อไปใน ISO 27001แต่ก็ยังแนะนำให้ใช้ เนื่องจากมีโครงสร้างที่มั่นคงและเป็นไปตามข้อกำหนดของ ISO 27001

ภาคผนวก A (บรรทัดฐาน) การอ้างอิงการควบคุมความปลอดภัย ของข้อมูล – ภาคผนวกนี้แสดงรายการการป้องกัน (การควบคุม) 93 รายการที่สามารถนำไปใช้เพื่อลดความเสี่ยงและปฏิบัติตามข้อกำหนดด้านความปลอดภัยจากผู้มีส่วนได้ส่วนเสีย การควบคุมที่จะนำไปใช้ต้องมีการทำเครื่องหมายว่าใช้ได้ในคำแถลงการบังคับใช้

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับภาคผนวก A โปรดอ่านบทความ การทำความเข้าใจการควบคุม ISO 27001 จากภาคผนวก Aและ วิธีจัดโครงสร้างเอกสารสำหรับภาคผนวก A ของISO 27001

การดำเนินการและการรับรอง


เอกสารบังคับ ISO 27001

ISO 27001 ระบุชุดขั้นต่ำของนโยบาย แผน บันทึก และข้อมูลเอกสารอื่นๆ ที่จำเป็นเพื่อให้เป็นไปตามข้อกำหนด ดังนั้น มาตรฐานกำหนดให้คุณต้องเขียนเอกสารและบันทึกเฉพาะที่จำเป็นสำหรับการดำเนินการและการรับรอง ISO 27001

หากต้องการดูคำอธิบายโดยละเอียดเพิ่มเติมเกี่ยวกับเอกสารแต่ละฉบับ ให้ดาวน์โหลดเอกสารไวท์เปเปอร์ฟรีรายการตรวจสอบเอกสารบังคับที่จำเป็นตามมาตรฐาน ISO 27001


“ได้รับการรับรองมาตรฐาน ISO 27001” คืออะไร?

บริษัทสามารถขอใบรับรอง ISO 27001  ได้โดยการเชิญหน่วยรับรองที่ได้รับการรับรองมาดำเนินการตรวจสอบใบรับรอง และหากการตรวจสอบสำเร็จ จะออกใบรับรอง ISO 27001 ให้กับบริษัท ใบรับรองนี้จะหมายความว่าบริษัทปฏิบัติตามมาตรฐาน ISO 27001 อย่างสมบูรณ์ ข้อกำหนดสำหรับ ISO 27001

บุคคลสามารถขอรับการรับรอง ISO 27001 ได้โดยผ่านการฝึกอบรม ISO 27001 และสอบผ่าน ใบรับรองนี้จะหมายความว่าบุคคลนี้ได้รับทักษะที่เหมาะสมในระหว่างหลักสูตร


ภาพรวมของเวอร์ชันต่างๆ ของ ISO 27001

จากการเผยแพร่บทความนี้ ISO 27001 เวอร์ชันปัจจุบันคือ ISO/IEC 27001:2022 ซึ่งเผยแพร่ในเดือนตุลาคม 2022

ISO 27001 เวอร์ชันแรกเปิดตัวในปี 2005 (ISO/IEC 27001:2005) และเวอร์ชันที่สองในปี 2013 เวอร์ชันปัจจุบันของปี 2022 เป็นการแก้ไขมาตรฐานครั้งที่สาม เรียนรู้เพิ่มเติมเกี่ยวกับการเปลี่ยนแปลงเหล่านี้ในอินโฟกราฟิกในบทความนี้: การปรับปรุง ISO 27001 2013 เทียบกับ 2022 – มีอะไรเปลี่ยนแปลงบ้าง

สิ่งสำคัญคือต้องสังเกตว่าประเทศต่างๆ ที่เป็นสมาชิกของ ISO สามารถแปลมาตรฐานเป็นภาษาของตนเองได้ โดยเพิ่มส่วนย่อยเล็กน้อย (เช่น คำปรารภประจำชาติ) ที่ไม่กระทบต่อเนื้อหาของมาตรฐานฉบับสากล “เวอร์ชัน” เหล่านี้มีตัวอักษรเพิ่มเติมเพื่อแยกความแตกต่างจากมาตรฐานสากล เช่น NBR ISO/IEC 27001 กำหนดเวอร์ชันของบราซิล ในขณะที่ BS ISO/IEC 27001 กำหนดเวอร์ชันของอังกฤษ มาตรฐานท้องถิ่นเหล่านี้ยังมีปีที่ได้รับการรับรองโดยหน่วยงานกำหนดมาตรฐานท้องถิ่น ดังนั้นเวอร์ชันล่าสุดของอังกฤษคือ BS EN ISO/IEC 27001:2017 ซึ่งหมายความว่า ISO/IEC 27001:2013 ได้รับการรับรองโดย British Standards Institution ในปี 2560


ISO 27001 จำเป็นหรือไม่?

ในประเทศส่วนใหญ่ การปฏิบัติตาม ISO 27001 นั้นไม่ได้บังคับ อย่างไรก็ตาม บางประเทศได้เผยแพร่ข้อบังคับที่กำหนดให้อุตสาหกรรมบางประเภทต้องปฏิบัติตาม ISO 27001 หากต้องการระบุว่า ISO 27001 เป็นข้อบังคับหรือไม่สำหรับบริษัทของคุณ คุณควรขอคำแนะนำทางกฎหมายจากผู้เชี่ยวชาญในประเทศที่คุณดำเนินธุรกิจ

องค์กรภาครัฐและเอกชนสามารถระบุการปฏิบัติตาม ISO 27001 เป็นข้อกำหนดทางกฎหมายในสัญญาและข้อตกลงการให้บริการกับซัพพลายเออร์ของตน

ISO 27001 และมาตรฐานอื่นๆ


มาตรฐาน ISO 27000 คืออะไร?

เนื่องจากกำหนดข้อกำหนดสำหรับ ISMS ดังนั้น ISO 27001 จึงเป็นมาตรฐานหลักในกลุ่มมาตรฐาน ISO 27000 แต่เนื่องจากส่วนใหญ่จะกำหนดสิ่งที่จำเป็น แต่ไม่ได้ระบุวิธีการทำ มาตรฐานการรักษาความปลอดภัยของข้อมูลอื่นๆ อีกหลายมาตรฐานจึงได้รับการพัฒนาขึ้นเพื่อให้คำแนะนำเพิ่มเติม ปัจจุบัน ISO 27k series มีมากกว่า 40 มาตรฐาน


มาตรฐานรองรับ ISO 27001


ต่อไปนี้คือมาตรฐานอื่นๆ บางส่วนที่ใช้บ่อยที่สุดในซีรีส์ 27K ซึ่งรองรับ ISO 27001 โดยให้คำแนะนำในหัวข้อเฉพาะ

ISO/IEC 27000

ให้ข้อกำหนดและคำจำกัดความที่ใช้ในชุดมาตรฐาน ISO 27k

ISO/IEC 27002

ให้แนวทางสำหรับการปฏิบัติตามการควบคุมที่ระบุไว้ใน ISO 27001 ภาคผนวก A ซึ่งจะมีประโยชน์มาก เนื่องจากให้รายละเอียดเกี่ยวกับวิธีการนำการควบคุมเหล่านี้ไปใช้

 

ISO/IEC 27004

ให้แนวทางสำหรับการวัดความปลอดภัยของข้อมูล ซึ่งเข้ากันได้ดีกับ ISO 27001 เนื่องจากอธิบายถึงวิธีพิจารณาว่า ISMS บรรลุวัตถุประสงค์หรือไม่

ISO/IEC 27005

ให้แนวทางสำหรับการจัดการความเสี่ยงด้านความปลอดภัยข้อมูล เป็นส่วนเสริมที่ดีมากของ ISO 27001 เนื่องจากให้รายละเอียดเกี่ยวกับวิธีการประเมินความเสี่ยงและการรักษาความเสี่ยง ซึ่งอาจเป็นขั้นตอนที่ยากที่สุดในการดำเนินการ

 

ISO/IEC 27017

ให้แนวทางสำหรับการรักษาความปลอดภัยข้อมูลในสภาพแวดล้อมคลาวด์

ISO/IEC 27018

ให้แนวทางสำหรับการปกป้องความเป็นส่วนตัวในสภาพแวดล้อมคลาวด์

ISO/IEC 27031

ให้แนวทางเกี่ยวกับสิ่งที่ควรพิจารณาในการพัฒนาความต่อเนื่องทางธุรกิจสำหรับเทคโนโลยีสารสนเทศและการสื่อสาร (ICT) มาตรฐานนี้เป็นการเชื่อมโยงที่ดีระหว่างการรักษาความปลอดภัยข้อมูลและแนวทางปฏิบัติด้านความต่อเนื่องทางธุรกิจ


​สำหรับองค์กรที่ต้องการ Document and Content Management Solution ที่สมบูรณ์แบบ พร้อม Professional Services ที่มีประสบการณ์ Implement Alfresco มามากกว่า 100 โครงการณ์ สามารถติดขอคำปรึกษากับ K&O Systems


​ทั้งนี้บริษัทเคแอนด์โอ จึงได้มุ่งเน้นการจัดการแก้ไขปัญหา จัดการเอกสาร ด้านเอกสารขององค์กรมาอย่างยาวนาน และ ให้ความสำคัญกับด้านงานเอกสาร ต่อลูกค้าเป็นอย่างดี จนถึงปัจจุบันก็ได้ความยอมรับจากองค์กร ขนาดใหญ่ ขนาดกลาง และขนาดเล็กมากมาย จึงใคร่ขออาสาดูและปัญหาด้านเอกสารให้กับองค์กรของท่านอย่างสุดความสามารถ เพราะเราเป็นหนึ่งในธุรกิจ ระบบจัดเก็บเอกสาร ที่ท่านไว้ใจได้


หากคุณต้องการอ่านข้อมูลเพิ่มเติมเกี่ยวกับเว็บไซต์

ติดต่อเรา 095-9196699, 02 860 6659 ต่อ 206

นิ้ว Knowledge