Wednesday, December 18, 2024

หยุดเข้าใจผิด! #ISO27001 ไม่ใช่เรื่องของไอทีเท่านั้น !!!

แทบทุกหน่วยงานที่มีโอกาสเข้าไปแลกเปลี่ยนเกี่ยวกับมาตรฐานการจัดการความมั่นคงปลอดภัยสารสนเทศ หรือ ISO27001 จะเข้าใจว่า "มันเป็นเรื่องของ IT"

ไม่ใช่แบบนั้นดิ!


ISO27001 ไม่ได้โฟกัสแค่เรื่องไอที แต่มันเกี่ยวกับ “ข้อมูล” ในทุกๆ รูปแบบ ไม่ว่าข้อมูลนั้นจะถูกเก็บไว้ที่ไหนหรือในลักษณะใด เช่น:

  • ข้อมูลในระบบไอที: พวกไฟล์ดิจิทัล, ฐานข้อมูล, หรือแอปพลิเคชัน
  • ข้อมูลบนกระดาษ: เอกสาร, สัญญา หรือแบบฟอร์มต่างๆ
  • ข้อมูลในตู้เอกสาร: เช่น แฟ้มที่ถูกล็อกไว้อย่างดีในตู้
  • ข้อมูลในอุปกรณ์: เช่น ซอฟต์แวร์ที่อยู่ในเครื่องจักรหรืออุปกรณ์เฉพาะ ปัจจุบันเริ่มเยอะขึ้นเรื่อย ๆ 
  • ข้อมูลที่อยู่ในบุคคล: ความรู้เฉพาะที่บางคนในองค์กรเท่านั้นที่รู้

แล้วทำไมไอทีถึงถูกพูดถึงเยอะใน ISO27001?


ก็เพราะในยุคนี้ ข้อมูลส่วนใหญ่ถูกจัดเก็บ, ส่งต่อ, ประมวลผล, ทำให้แสดงผล ในระบบไอที เช่น เซิร์ฟเวอร์, คลาวด์ หรือระบบต่างๆ การปกป้องข้อมูลในระบบเหล่านี้จากภัยคุกคาม เช่น การแฮ็ก การสูญหายของข้อมูล หรือไวรัส ในระบบไอทีจึงเป็นเรื่องสำคัญมาก

 

แต่...ISO27001 ไม่ได้หยุดอยู่แค่ไอที!


ISO27001 ให้ความสำคัญกับ “ความมั่นคงปลอดภัยของข้อมูล (Information Security)” โดยมองในมุมกว้างครอบคลุมข้อมูลทุกประเภท และเน้น 3 หลักการสำคัญที่ช่วยปกป้องข้อมูล:

  1. Confidentiality (ความลับ): ป้องกันไม่ให้ข้อมูลตกไปอยู่ในมือคนที่ไม่ควรเข้าถึง
  2. Integrity (ความถูกต้อง): ทำให้มั่นใจว่าข้อมูลจะไม่ถูกแก้ไขหรือเปลี่ยนแปลงโดยไม่ได้รับอนุญาต
  3. Availability (ความพร้อมใช้งาน): ทำให้ข้อมูลพร้อมใช้งานเมื่อจำเป็น

ตัวอย่างง่ายๆ ที่เกี่ยวข้องกับความมั่นคงปลอดภัย
  • เอกสารสำคัญในตู้เอกสารที่ถูกล็อกไว้ นั่นคือการปกป้อง Confidentiality
  • ข้อมูลในระบบไอทีที่มีการตรวจสอบสิทธิ์ก่อนแก้ไขไฟล์ นั่นคือการรักษา Integrity
  • ซอฟต์แวร์ในเครื่องจักรที่ต้องมีระบบสำรองข้อมูล หากเกิดปัญหา นั่นคือการรับรอง Availability

สรุปง่ายๆ ISO27001 ไม่ใช่แค่เรื่องของไอที แต่มันคือเรื่องของ "ข้อมูล" และการปกป้องข้อมูลนั้นให้มั่นคงปลอดภัย ไม่ว่าจะอยู่ในคอมพิวเตอร์, กระดาษ, ตู้เอกสาร หรือแม้แต่ในหัวของพนักงาน ถ้าคิดว่า ISO27001 คือเรื่องของไอทีอย่างเดียว นั่นเป็นความเข้าใจผิด เพราะเป้าหมายที่แท้จริงของมันคือการปกป้องข้อมูลในทุกมิติอย่างรอบด้าน