ISO/IEC 27001:2013
ISO/IEC 27001 คืออะไร
ISO/IEC 27001 เป็นข้อกําหนดสําหรับระบบบริหารจัดการ ความมั่นคงปลอดภัยของสารสนเทศ (Information Security Management Systems: ISMS) โดยองค์การมาตรฐานสากล ได้แก่
- ISO : International Organization for Standardization
- IEC : International Electrotechnical Commission
ซึ่งถูกกําหนดขึ้นล่าสุดในปี ค.ศ. 2013
มาตรฐานที่เกี่ยวข้องกับ ISO/IEC 27001
- ISO/IEC 27001:2013 ข้อกําหนดสําหรับระบบบริหารจัดการความมั่นคงปลอดภัยของสารสนเทศ (Specification for Information Security Management Systems)
- ISO/IEC 27002:2012 ข้อควรปฏิบัติสําหรับการบริหารจัดการความมั่นคงปลอดภัยของสารสนเทศ (Code of Practice for Information Security Management)
- ISO/IEC 27002:2012 ข้อควรปฏิบัติสําหรับการบริหารจัดการความมั่นคงปลอดภัยของสารสนเทศ (Code of Practice for Information Security Management)
- ISO/IEC 31000:2009 การบริหารจัดการความเสี่ยง หลักการและแนวทาง (Risk Management – Principles and guidelines)
ประวัติความเป็นมาของ ISO/IEC 27001
- ทศวรรษ 1990 กรมการค้าและอุตสาหกรรม สหราชอาณาจักรสนับสนุนให้มีการพัฒนามาตรฐานการบริหาร จัดการความมั่นคงปลอดภัยของสารสนเทศ
- ค.ศ. 1995 ได้รับการยอมรับให้เป็นมาตรฐานของบริติช (British Standard)
- ค.ศ. 1998 เริ่มมีความต้องการประกาศนียบัตรรับรอง
- ค.ศ. 1999 มาตรฐานครั้งที่ 2 เพิ่ม e-commerce, m-computer และ สัญญาของบุคคลที่สาม
- ค.ศ. 2000 ISO อนุมัติ ISO 17799 ส่วนที่ 1 ในเดือน ส.ค.
- ค.ศ. 2002 BS ออก BS7799-2:2002 ในเดือน ก.ย. เน้น ความสอดคล้องกันระหว่าง ISO9001 กับ ISO 14001และยอมรับโมเดล PDCA
- ค.ศ. 2003 มีการออกประกาศนียบัตรรับรองจํานวนมากกว่า 500 ใบ
- ค.ศ. 2004 มีการออกประกาศนียบัตรรับรองจํานวนมากกว่า 1,000 ใบ ทั่วโลก
- ค.ศ. 2005 มีการออกมาตรฐาน ISO 27001 และ ประกาศนียบัตรรับรองจํานวนมากกว่า 17,000 ใบ ทั่วโลก
- ค.ศ. 2007 มีการออกมาตรฐาน ISO 27002
- ค.ศ. 2013 มีการออกมาตรฐาน ISO 27001:2013 และ ISO 27002:2013
ลักษณะที่สําคัญของ ISO/IEC 27001 2013
- ISO/IEC27001 กําหนด แนวปฏิบัติที่ดี (best practices) สําหรับความมั่นคงปลอดภัยของสารสนเทศ
- ISO/IEC27001 ถูกออกแบบมาให้สามารถนําไปปรับใช้ได้ในองค์กรทุกขนาดตั้งแต่ขนาดใหญ่ ขนาดกลาง และ ขนาดเล็ก
- ISO/IEC27001 เปิดโอกาสให้องค์กรแต่ละองค์กรสามารถพัฒนา (develop), ลงมือปฏิบัติ(implement) และ วัดผล(measure) ด้านการบริหารจัดการความมั่นคงปลอดภัยของสารสนเทศตามความเหมาะสมกับบริบทขององค์กร
ทําตาม ISO/IEC 27001 แล้วได้ประโยชน์อะไร
- มีชื่อเสียง(Reputation)
- ความสําเร็จของหน่วยงาน
- ได้รับความไว้วางใจ (Trust) จากผู้ใช้บริการ
- มีความมั่นใจ (Confidence)ต่อระบบสารสนเทศของตน
- ได้ดัชนีชี้วัดสมรรถนะ (KPI Measurement) ระบบสารสนเทศ
- ได้ประโยชน์จากการใช้สารสนเทศที่ได้รับการปกปักษารักษา(safeguard information) ซึ่งเป็นสินทรัพย์ที่สําคัญอันหนึ่ง
- สามารถประหยัดงบประมาณ (Budget) ในการจัดการกับภัยด้านสารสนเทศที่อาจจะเกิดขึ้น
- มีเครือข่ายที่ปลอดภัย (Corporate Safety Network)
- ไดhเรียนรูhและปฏิบัติตามแนวปฏิบัติที่ดี (Best Practices)
ทําตาม ISO/IEC 27001 อย่างไร
- เข้าใจแนวคิดหลักของ ISMS (Confidentiality Integrity Availability, CIA)
- กระบวนการในการทํา ISO/IEC 27001 (Plan Do Check Act, PDCA + Continuous Improvement)
- แนวปฏิบัติที่ดี (Annexation)
แนวคิดหลักของ ISMS
ISMS = Information Security Management System = ระบบการบริหารจัดการความมั่นคงปลอดภัยของสารสนเทศ
โดยรวมแล้ว ISO/IEC 27001 เป็นมาตรฐานสําหรับระบบบริหารจัดการความมั่นคงปลอดภัยของสารสนเทศในองค์กร
- เกี่ยวข้องกับการวิเคราะห์ประเมิน วางแผน ควบคุม ความเสี่ยง ที่อาจจะเกิดขึ้นกับระบบและสารสนเทศขององค์กร
- อธิบายแนวปฏิบัติที่ดี (Best Practices)
- มีแนวคิดหลักคือ C I A
- มีกระบวนการคือ P D C A + การปรับปรุงอย่างต่อเนื่อง
- ก่อให้เกิด ความมั่นใจ (Confidence) และ ความไว้วางใจ (Trust)ต่อองค์กร