DestinationOne Counselor

9 สิ่งจำเป็นเมื่อ ISO 27001 ปรับเวอร์ชั่นจากปี 2005 มาเป็นปี 2013

วันนี้คุณพร้อมสำหรับมาตรฐาน ISO 27001:2013 แล้วหรือยัง?

   
เมื่อ “ข้อมูล” คือทรัพย์สินที่สำคัญที่สุดในการดำเนินธุรกิจ ข้อมูลบางอย่างมีคุณค่ามากจนไม่สามารถประเมินมูลค่าได้ ยกตัวอย่างเช่น สูตรเวชภัณฑ์ยา, ข้อมูลลับทางการค้า ฯลฯ องค์กรทุกแห่งจึงมุ่งเน้นที่จะรักษาความมั่นคงปลอดภัยของข้อมูลและองค์กร เพื่อสร้างความต่อเนื่องราบรื่นในการดำเนินธุรกิจ ดังนั้น ในปี 2005 International Organization for Standardization (ISO) จึงได้ประกาศมาตรฐาน ISO 27001:2005 Information Security Management System หรือ มาตรฐานด้านการบริหารความมั่นคงปลอดภัยของสารสนเทศ และได้รับความนิยมในการนำมาประยุกต์ใช้โดยองค์กรต่างๆ ทั่วโลกมาตลอดระยะเวลา 8 ปี จนกระทั่ง เมื่อวันที่ 25 กันยายน 2013 ที่ผ่านมา ISO ได้ตีพิมพ์มาตรฐานเวอร์ชั่นใหม่ ISO 27001:2013 ซึ่งได้รับการทบทวนและปรับปรุงเนื้อหาให้มีความทันสมัย เหมาะสมกับการใช้งานภายใต้สภาพแวดล้อมและเทคโนโลยีที่เปลี่ยนแปลงไป

สำหรับองค์กรจำนวนไม่น้อยที่รับเอาข้อกำหนดของมาตรฐาน ISO 27001 เวอร์ชั่นปี 2005 มาใช้งานอยู่แล้วนั้น ขณะนี้คงจะกำลังปรับตัวเพื่อรองรับการบริหารความมั่นคงปลอดภัยของสารสนเทศตามข้อกำหนดของเวอร์ชั่นใหม่ ปี 2013 ในบทความนี้ ทีมที่ปรึกษา DestinationOne จึงขอแนะนำ 9 สิ่งจำเป็นที่องค์กรจะต้องทำเพื่อเริ่มต้นก้าวสู่ความสำเร็จในการประยุกต์ใช้ ISO 27001:2013

1. การระบุถึงบริบทที่เกี่ยวข้องกับองค์กร ทั้งปัจจัยภายในและปัจจัยภายนอก
2. การระบุถึงความต้องการและความคาดหวังของผู้ที่มีส่วนเกี่ยวข้องทั้งหมด
3. การแสดงออกถึงภาวะผู้นำและพันธสัญญาของผู้บริหารที่มีต่อการบริหารความมันคงปลอดภัย
4. การรวมเอาข้อกำหนดด้านความมั่นคงปลอดภัยให้เป็นหนึ่งเดียวกับกระบวนการทางธุรกิจและระบบงานขององค์กร
5. การกำหนดวัตถุประสงค์และแผนงานที่ชัดเจนเกี่ยวกับความมั่นคงปลอดภัย
6. การระบุตัวบุคคลที่เป็นเจ้าของความเสี่ยงตามรายการที่เป็นผลจากการประเมินความเสี่ยงด้านความมั่นคงปลอดภัย
7. การสร้างกระบวนการตรวจสอบ ประเมินผล และวิเคราะห์ผลด้านความมั่นคงปลอดภัย
8. การกำหนดรูปแบบและกระบวนการสื่อสาร ทั้งเพื่อการสื่อสารภายในและภายนอกองค์กร
9. การปรับปรุงเอกสาร การเลือกใช้และการจัดทำมาตรการควบคุมเพิ่มเติม ตาม Annex A ให้ครอบคลุมตามเวอร์ชั่นใหม่ (ซึ่งจากเดิม 11 Domains, 133 Controls ได้รับการปรับปรุงเป็น 14 Domains, 114 Controls) ยกตัวอย่างเช่น;

        >> A.6.1.5 Information security in project management
        >> A.14.2.1 Secure develop policy
        >> A.14.2.5 Secure system engineering principle
        >> A.15.1.1 Information security policy for supplier relationships

“ไม่มีระบบใดช่วยป้องกันความเสี่ยงได้ 100% แต่อย่างน้อยระบบที่เตรียมการไว้อย่างรัดกุมก็ช่วยลดผลกระทบจากร้อยให้เหลือน้อยที่สุดได้”

Content Cr: DestinationOne Counselor
Photo Cr: Stock.Xchng, PostToday