ISO/IEC 27001:2013

ISO/IEC 27001 คืออะไร

ISO/IEC 27001 เป็นข้อกําหนดสําหรับระบบบริหารจัดการ ความมั่นคงปลอดภัยของสารสนเทศ (Information Security Management Systems: ISMS) โดยองค์การมาตรฐานสากล ได้แก่

ISO : International Organization for Standardization
IEC : International Electrotechnical Commission

ซึ่งถูกกําหนดขึ้นล่าสุดในปี ค.ศ. 2013

มาตรฐานที่เกี่ยวข้องกับ ISO/IEC 27001

ISO/IEC 27001:2013 ข้อกําหนดสําหรับระบบบริหารจัดการความมั่นคงปลอดภัยของสารสนเทศ (Specification for Information Security Management Systems)
ISO/IEC 27002:2012 ข้อควรปฏิบัติสําหรับการบริหารจัดการความมั่นคงปลอดภัยของสารสนเทศ (Code of Practice for Information Security Management)
ISO/IEC 27002:2012 ข้อควรปฏิบัติสําหรับการบริหารจัดการความมั่นคงปลอดภัยของสารสนเทศ (Code of Practice for Information Security Management)
ISO/IEC 31000:2009 การบริหารจัดการความเสี่ยง หลักการและแนวทาง (Risk Management – Principles and guidelines)

ประวัติความเป็นมาของ ISO/IEC 27001

ทศวรรษ 1990 กรมการค้าและอุตสาหกรรม สหราชอาณาจักรสนับสนุนให้มีการพัฒนามาตรฐานการบริหาร จัดการความมั่นคงปลอดภัยของสารสนเทศ
ค.ศ. 1995 ได้รับการยอมรับให้เป็นมาตรฐานของบริติช (British Standard)
ค.ศ. 1998 เริ่มมีความต้องการประกาศนียบัตรรับรอง
ค.ศ. 1999 มาตรฐานครั้งที่ 2 เพิ่ม e-commerce, m-computer และ สัญญาของบุคคลที่สาม
ค.ศ. 2000 ISO อนุมัติ ISO 17799 ส่วนที่ 1 ในเดือน ส.ค.
ค.ศ. 2002 BS ออก BS7799-2:2002 ในเดือน ก.ย. เน้น ความสอดคล้องกันระหว่าง ISO9001 กับ ISO 14001และยอมรับโมเดล PDCA
ค.ศ. 2003 มีการออกประกาศนียบัตรรับรองจํานวนมากกว่า 500 ใบ
ค.ศ. 2004 มีการออกประกาศนียบัตรรับรองจํานวนมากกว่า 1,000 ใบ ทั่วโลก
ค.ศ. 2005 มีการออกมาตรฐาน ISO 27001 และ ประกาศนียบัตรรับรองจํานวนมากกว่า 17,000 ใบ ทั่วโลก
ค.ศ. 2007 มีการออกมาตรฐาน ISO 27002
ค.ศ. 2013 มีการออกมาตรฐาน ISO 27001:2013 และ ISO 27002:2013

ลักษณะที่สําคัญของ ISO/IEC 27001 2013

ISO/IEC27001 กําหนด แนวปฏิบัติที่ดี (best practices) สําหรับความมั่นคงปลอดภัยของสารสนเทศ
ISO/IEC27001 ถูกออกแบบมาให้สามารถนําไปปรับใช้ได้ในองค์กรทุกขนาดตั้งแต่ขนาดใหญ่ ขนาดกลาง และ ขนาดเล็ก
ISO/IEC27001 เปิดโอกาสให้องค์กรแต่ละองค์กรสามารถพัฒนา (develop), ลงมือปฏิบัติ(implement) และ วัดผล(measure) ด้านการบริหารจัดการความมั่นคงปลอดภัยของสารสนเทศตามความเหมาะสมกับบริบทขององค์กร

ทําตาม ISO/IEC 27001 แล้วได้ประโยชน์อะไร

มีชื่อเสียง(Reputation)
ความสําเร็จของหน่วยงาน
ได้รับความไว้วางใจ (Trust) จากผู้ใช้บริการ
มีความมั่นใจ (Confidence)ต่อระบบสารสนเทศของตน
ได้ดัชนีชี้วัดสมรรถนะ (KPI Measurement) ระบบสารสนเทศ
ได้ประโยชน์จากการใช้สารสนเทศที่ได้รับการปกปักษารักษา(safeguard information) ซึ่งเป็นสินทรัพย์ที่สําคัญอันหนึ่ง
สามารถประหยัดงบประมาณ (Budget) ในการจัดการกับภัยด้านสารสนเทศที่อาจจะเกิดขึ้น
มีเครือข่ายที่ปลอดภัย (Corporate Safety Network)
ไดhเรียนรูhและปฏิบัติตามแนวปฏิบัติที่ดี (Best Practices)

ทําตาม ISO/IEC 27001 อย่างไร

เข้าใจแนวคิดหลักของ ISMS (Confidentiality Integrity Availability, CIA)
กระบวนการในการทํา ISO/IEC 27001 (Plan Do Check Act, PDCA + Continuous Improvement)
แนวปฏิบัติที่ดี (Annexation)

แนวคิดหลักของ ISMS

ISMS = Information Security Management System = ระบบการบริหารจัดการความมั่นคงปลอดภัยของสารสนเทศ

โดยรวมแล้ว ISO/IEC 27001 เป็นมาตรฐานสําหรับระบบบริหารจัดการความมั่นคงปลอดภัยของสารสนเทศในองค์กร

เกี่ยวข้องกับการวิเคราะห์ประเมิน วางแผน ควบคุม ความเสี่ยง ที่อาจจะเกิดขึ้นกับระบบและสารสนเทศขององค์กร
อธิบายแนวปฏิบัติที่ดี (Best Practices)
มีแนวคิดหลักคือ C I A
มีกระบวนการคือ P D C A + การปรับปรุงอย่างต่อเนื่อง
ก่อให้เกิด ความมั่นใจ (Confidence) และ ความไว้วางใจ (Trust)ต่อองค์กร

Report abuse