ไม่ใช่แบบนั้นดิ!
- ข้อมูลในระบบไอที: พวกไฟล์ดิจิทัล, ฐานข้อมูล, หรือแอปพลิเคชัน
- ข้อมูลบนกระดาษ: เอกสาร, สัญญา หรือแบบฟอร์มต่างๆ
- ข้อมูลในตู้เอกสาร: เช่น แฟ้มที่ถูกล็อกไว้อย่างดีในตู้
- ข้อมูลในอุปกรณ์: เช่น ซอฟต์แวร์ที่อยู่ในเครื่องจักรหรืออุปกรณ์เฉพาะ ปัจจุบันเริ่มเยอะขึ้นเรื่อย ๆ
- ข้อมูลที่อยู่ในบุคคล: ความรู้เฉพาะที่บางคนในองค์กรเท่านั้นที่รู้
แล้วทำไมไอทีถึงถูกพูดถึงเยอะใน ISO27001?
ก็เพราะในยุคนี้ ข้อมูลส่วนใหญ่ถูกจัดเก็บ, ส่งต่อ, ประมวลผล, ทำให้แสดงผล ในระบบไอที เช่น เซิร์ฟเวอร์, คลาวด์ หรือระบบต่างๆ การปกป้องข้อมูลในระบบเหล่านี้จากภัยคุกคาม เช่น การแฮ็ก การสูญหายของข้อมูล หรือไวรัส ในระบบไอทีจึงเป็นเรื่องสำคัญมาก
แต่...ISO27001 ไม่ได้หยุดอยู่แค่ไอที!
ISO27001 ให้ความสำคัญกับ “ความมั่นคงปลอดภัยของข้อมูล (Information Security)” โดยมองในมุมกว้างครอบคลุมข้อมูลทุกประเภท และเน้น 3 หลักการสำคัญที่ช่วยปกป้องข้อมูล:
- Confidentiality (ความลับ): ป้องกันไม่ให้ข้อมูลตกไปอยู่ในมือคนที่ไม่ควรเข้าถึง
- Integrity (ความถูกต้อง): ทำให้มั่นใจว่าข้อมูลจะไม่ถูกแก้ไขหรือเปลี่ยนแปลงโดยไม่ได้รับอนุญาต
- Availability (ความพร้อมใช้งาน): ทำให้ข้อมูลพร้อมใช้งานเมื่อจำเป็น
- เอกสารสำคัญในตู้เอกสารที่ถูกล็อกไว้ นั่นคือการปกป้อง Confidentiality
- ข้อมูลในระบบไอทีที่มีการตรวจสอบสิทธิ์ก่อนแก้ไขไฟล์ นั่นคือการรักษา Integrity
- ซอฟต์แวร์ในเครื่องจักรที่ต้องมีระบบสำรองข้อมูล หากเกิดปัญหา นั่นคือการรับรอง Availability