แทบทุกหน่วยงานที่มีโอกาสเข้าไปแลกเปลี่ยนเกี่ยวกับมาตรฐานการจัดการความมั่นคงปลอดภัยสารสนเทศ หรือ ISO27001 จะเข้าใจว่า "มันเป็นเรื่องของ IT"
ไม่ใช่แบบนั้นดิ!
ISO27001 ไม่ได้โฟกัสแค่เรื่องไอที แต่มันเกี่ยวกับ “ข้อมูล” ในทุกๆ รูปแบบ ไม่ว่าข้อมูลนั้นจะถูกเก็บไว้ที่ไหนหรือในลักษณะใด เช่น:
- ข้อมูลในระบบไอที: พวกไฟล์ดิจิทัล, ฐานข้อมูล, หรือแอปพลิเคชัน
- ข้อมูลบนกระดาษ: เอกสาร, สัญญา หรือแบบฟอร์มต่างๆ
- ข้อมูลในตู้เอกสาร: เช่น แฟ้มที่ถูกล็อกไว้อย่างดีในตู้
- ข้อมูลในอุปกรณ์: เช่น ซอฟต์แวร์ที่อยู่ในเครื่องจักรหรืออุปกรณ์เฉพาะ ปัจจุบันเริ่มเยอะขึ้นเรื่อย ๆ
- ข้อมูลที่อยู่ในบุคคล: ความรู้เฉพาะที่บางคนในองค์กรเท่านั้นที่รู้
แล้วทำไมไอทีถึงถูกพูดถึงเยอะใน ISO27001?
ก็เพราะในยุคนี้ ข้อมูลส่วนใหญ่ถูกจัดเก็บ, ส่งต่อ, ประมวลผล, ทำให้แสดงผล ในระบบไอที เช่น เซิร์ฟเวอร์, คลาวด์ หรือระบบต่างๆ การปกป้องข้อมูลในระบบเหล่านี้จากภัยคุกคาม เช่น การแฮ็ก การสูญหายของข้อมูล หรือไวรัส ในระบบไอทีจึงเป็นเรื่องสำคัญมาก
แต่...ISO27001 ไม่ได้หยุดอยู่แค่ไอที!
ISO27001 ให้ความสำคัญกับ “ความมั่นคงปลอดภัยของข้อมูล (Information Security)” โดยมองในมุมกว้างครอบคลุมข้อมูลทุกประเภท และเน้น 3 หลักการสำคัญที่ช่วยปกป้องข้อมูล:
- Confidentiality (ความลับ): ป้องกันไม่ให้ข้อมูลตกไปอยู่ในมือคนที่ไม่ควรเข้าถึง
- Integrity (ความถูกต้อง): ทำให้มั่นใจว่าข้อมูลจะไม่ถูกแก้ไขหรือเปลี่ยนแปลงโดยไม่ได้รับอนุญาต
- Availability (ความพร้อมใช้งาน): ทำให้ข้อมูลพร้อมใช้งานเมื่อจำเป็น
ตัวอย่างง่ายๆ ที่เกี่ยวข้องกับความมั่นคงปลอดภัย
- เอกสารสำคัญในตู้เอกสารที่ถูกล็อกไว้ นั่นคือการปกป้อง Confidentiality
- ข้อมูลในระบบไอทีที่มีการตรวจสอบสิทธิ์ก่อนแก้ไขไฟล์ นั่นคือการรักษา Integrity
- ซอฟต์แวร์ในเครื่องจักรที่ต้องมีระบบสำรองข้อมูล หากเกิดปัญหา นั่นคือการรับรอง Availability
สรุปง่ายๆ ISO27001 ไม่ใช่แค่เรื่องของไอที แต่มันคือเรื่องของ "ข้อมูล" และการปกป้องข้อมูลนั้นให้มั่นคงปลอดภัย ไม่ว่าจะอยู่ในคอมพิวเตอร์, กระดาษ, ตู้เอกสาร หรือแม้แต่ในหัวของพนักงาน ถ้าคิดว่า ISO27001 คือเรื่องของไอทีอย่างเดียว นั่นเป็นความเข้าใจผิด เพราะเป้าหมายที่แท้จริงของมันคือการปกป้องข้อมูลในทุกมิติอย่างรอบด้าน