ISO/IEC 27001:2013 เป็นมาตรฐานสากล ด้านระบบบริหารความมั่นคงปลอดภัยสารสนเทศ ความมั่นคงปลอดภัยไซเบอร์ และการปกป้องความเป็นส่วนตัว ขององค์กรระหว่างประเทศว่าด้วยการมาตรฐาน (International Organization for Standardization - ISO) ประกาศใช้อย่างเป็นทางการครั้งแรกเมื่อปี ค2005 ปัจจุบันเป็นฉบับปี 2022 มีข้อกำหนดเพื่อให้องค์กรนำไปประยุกต์ใช้เป็นกรอบมาตรฐานในการรักษาความมั่นคงปลอดภัยสารสนเทศ ความมั่นคงปลอดภัยไซเบอร์ และการปกป้องความเป็นส่วนตัว เป็นระบบบริหารที่มีความยืดหยุ่น สามารถนำไปประยุกต์ใช้ได้กับองค์กรที่มีความหลากหลาย โดยใช้หลักการ PDCA (Plan - Do - Check - Act) เป็นรูปแบบการดำเนินการเช่นเดียวกับมาตรฐาน ISO อื่น ๆ เช่น ISO9001, ISO14001, ISO22301, ISO45001, ISO5001 เป็นต้น ข้อกำหนดในมาตรฐานระบบบริหารความมั่นคงปลอดภัยสารสนเทศ ISO27001:2022 มีทั้งหมด 10 ข้อ แบ่งออกเป็น 2 ส่วน คือ 1. บทนำ (Clause 1-3) และ 2. ข้อกำหนด (Clause 4-10) ดังภาพ ทั้งนี้หากองค์กรต้องการขอการรับรองมาตรฐาน จากหน่วยงานที่ให้การรับรอง (Certify body) จะต้องดำเนินการตามข้อกำหนดที่ 4-10 โดยไม่สามารถยกเว้นได้
- Scope -- ขอบข่ายของมาตรฐาน
- Normative reference -- การอ้างอิง
- Terms and definitions -- คำศัพท์ และความหมาย
^^^ 1-3 ไม่ต้องสนใจมาก ^^^ - Context of Organization -- บริบทองค์กร
- Leadership -- ผู้นำ
- Plan -- การวางแผน
- Support -- การสนับสนุน
- Operation -- การดำเนินการ
- Performance evaluation -- การประเมินผล
- Improvement -- การพัฒนาปรับปรุง
นอกจากนี้ในมาตรฐาน ISO/IEC27001 ยังมีการกำหนดมาตรการควบคุมไว้ใน Annex A ของมาตรฐาน แบ่งออกเป็น 4 กลุ่ม จำนวนทั้งสิ้น 93 ข้อ เพื่อให้องค์กรเลือกนำไปประยุกต์ใช้ในการควบคุมความเสี่ยงที่เกี่ยวข้อง ซึ่งประกอบด้วย Security control ที่กำหนดขึ้นมาใหม่จำนวน 11 ข้อ
No comments:
Post a Comment