จะขอรับรองมาตรฐาน ISO/IEC27001 ต้องทำอะไรบ้าง?

มีสอบถามเข้ามาหลายท่านว่าถ้าต้องการจะเริ่มจัดทำระบบการจัดการความมั่นคงปลอดภัยสารสนเทศฯ ตามมาตรฐาน ISO/IEC27001 จะต้องทำอะไรบ้างเพื่อขอรับการรับรอง วันนี้เลยเอาแผนที่เคยจัดทำไว้มาแชร์ว่ามีอะไรบ้างที่ต้องดำเนินการ ทั้งนี้ขึ้นอยู่กับบริบทของแต่ละองค์กรที่จะนำไปปรับใช้นะคับ

เตรียมพร้อมเอกสารสำหรับ Surveillance Audit ISO27001

เวลาจะตรวจ Surveillance Audit ISO27001 ประจำปีแต่ละที ก็จะกังวลว่าเตรียมเอกสารครบหรือยัง? ลองเช็คไปพร้อมๆ  กัน

ตรวจสอบ

1. มีการเปลี่ยนแปลงของขอบเขตการบริหารจัดการ? -- Scope of ISMS (Clause 4.3) 
2. มีการเปลี่ยนแปลงของนโยบาย? -- Information Security Policy (Clause 5.2) 
3. มีการเปลี่ยนแปลงของกระบวนการประเมินความเสี่ยง และกระบวนการการจัดการความเสี่ยง? -- Information Security Risk Assessment Process (Clause 6.1.2), Information Security Risk Treatment Plan (Clause 6.1.3
4. มีการเปลี่ยนแปลงของเอกสารการประยุกต์ใช้มาตรการควบคุม? -- Statement of Applicability (Clause 6.1.3)
5. มีการเปลี่ยนแปลงเป้าหมายด้านความมั่นคงปลอดภัยสารสนเทศ? -- Information Security Objectives (Clause 6.2)
6. มีการเปลี่ยนเปลงระบบการจัดการความมั่นคงปลอดภัยสารสนเทศ? -- Change Management (Clause 6.3)
7. มีการเปลี่ยนแปลงของเอกสารอื่น ๆ ที่เกี่ยวข้อง? -- Documented Information Required by the Standard and Deemed Necessary by the Organization (Clause 7.5.1) 

*** ถ้ามีการเปลี่ยนแปลง 1-7 มีการจัดทำ/ทบทวน/แก้ไขเอกสารหรือยัง? ถ้าแก้ไขแล้วจัดเตรียมไว้

เตรียม

1. ใบประกาศ, แผนการอบรม ผลการอบรม ของพนักงานที่เกี่ยวข้อง -- Evidence of Competences (Clause 7.2)
2. ผลการประเมินความเสี่ยง -- Results of Information Security Risk Assessments (Clause 8.2)
3. แผนการจัดการความเสี่ยง และการติดตามผลการจัดการ -- Results of Risk Treatment (Clause 8.3)
4. ผลการติดตามและวัดผลประสิทธิผลการดำเนินการ (KPI) -- Evidence of Monitoring and Measurement Results (Clause 9.1) 
5. แผนการตรวจ, ผลการตรวจ, รายงานการตรวจ, CAR, การตอบกลับ CAR, การติดตาม CAR -- Audit Program and Results (Clause 9.2) - Schedule and outcomes of ISMS audits.
6. ผลลัพธ์ของกระบวนการที่ได้วางแผนไว้ -- Evidence that the Process Has Been Performed as Planned (Clause 8.1)
7. ผลการทบทวนของผู้บริหาร -- Evidence of Management Reviews (Clause 9.3) 
8. ผลการดำเนินการกับความไม่สอดคล้อง -- Nonconformities and Actions Taken (Clause 10.2)

หมายเหตุ: เป็นการตรวจสอบเฉพาะตามข้อกำหนด C4-10 ไม่รวมถึงเอกสารที่เกิดจากการประยุกต์ใช้มาตรการควบคุมตาม Annex A

ISO/IEC 27001:2022 มาตรฐานระบบบริหารความมั่นคงปลอดภัยสารสนเทศ ความมั่นคงปลอดภัยไซเบอร์ และการปกป้องความเป็นส่วนตัว

ISO/IEC 27001:2013 เป็นมาตรฐานสากล ด้านระบบบริหารความมั่นคงปลอดภัยสารสนเทศ ความมั่นคงปลอดภัยไซเบอร์ และการปกป้องความเป็นส่วนตัว ขององค์กรระหว่างประเทศว่าด้วยการมาตรฐาน (International Organization for Standardization - ISO) ประกาศใช้อย่างเป็นทางการครั้งแรกเมื่อปี ค2005 ปัจจุบันเป็นฉบับปี 2022 มีข้อกำหนดเพื่อให้องค์กรนำไปประยุกต์ใช้เป็นกรอบมาตรฐานในการรักษาความมั่นคงปลอดภัยสารสนเทศ ความมั่นคงปลอดภัยไซเบอร์ และการปกป้องความเป็นส่วนตัว เป็นระบบบริหารที่มีความยืดหยุ่น สามารถนำไปประยุกต์ใช้ได้กับองค์กรที่มีความหลากหลาย โดยใช้หลักการ PDCA (Plan - Do - Check - Act) เป็นรูปแบบการดำเนินการเช่นเดียวกับมาตรฐาน ISO อื่น ๆ เช่น ISO9001, ISO14001, ISO22301, ISO45001, ISO5001 เป็นต้น ข้อกำหนดในมาตรฐานระบบบริหารความมั่นคงปลอดภัยสารสนเทศ ISO27001:2022 มีทั้งหมด 10 ข้อ แบ่งออกเป็น 2 ส่วน คือ 1. บทนำ (Clause 1-3) และ 2. ข้อกำหนด (Clause 4-10) ดังภาพ ทั้งนี้หากองค์กรต้องการขอการรับรองมาตรฐาน จากหน่วยงานที่ให้การรับรอง (Certify body) จะต้องดำเนินการตามข้อกำหนดที่ 4-10 โดยไม่สามารถยกเว้นได้ 

ข้อกำหนดตามมาตรฐาน ISO/IEC27001:2022 (10 ข้อ)

1. Scope -- ขอบข่ายของมาตรฐาน
2. Normative reference -- การอ้างอิง 
3. Terms and definitions -- คำศัพท์ และความหมาย
   ^^^ 1-3 ไม่ต้องสนใจมาก ^^^
4. Context of Organization -- บริบทองค์กร
5. Leadership -- ผู้นำ
6. Plan -- การวางแผน
7. Support -- การสนับสนุน
8. Operation -- การดำเนินการ
9. Performance evaluation -- การประเมินผล
10. Improvement -- การพัฒนาปรับปรุง

นอกจากนี้ในมาตรฐาน ISO/IEC27001 ยังมีการกำหนดมาตรการควบคุมไว้ใน Annex A ของมาตรฐาน แบ่งออกเป็น 4 กลุ่ม จำนวนทั้งสิ้น 93 ข้อ เพื่อให้องค์กรเลือกนำไปประยุกต์ใช้ในการควบคุมความเสี่ยงที่เกี่ยวข้อง ซึ่งประกอบด้วย Security control ที่กำหนดขึ้นมาใหม่จำนวน 11 ข้อ