ระบบการบริหารจัดการความมั่นคงปลอดภัยของสารสนเทศ

“มาตรฐาน ISO 27001” เกิดขึ้นจากองค์กร ISO - International Organization for Standardization โดยเวอร์ชั่นล่าสุดคือ ISO 27001:2013 ประกาศใช้เมื่อวันที่ 1 ตุลาคม ค.ศ.2013 เป็นมาตรฐานสากลสำหรับระบบการจัดการความปลอดภัยของข้อมูล (Information Security Management Systems : ISMS) จัดทำขึ้นเพื่อให้องค์กรนำข้อกำหนดไปใช้ในการประเมินความเสี่ยง ออกแบบด้านการรักษาความปลอดภัย และการนำไปปฏิบัติ รวมถึงการบริหารจัดการความปลอดภัยของข้อมูลทั้งที่เป็นดิจิทัลและเอกสารได้อย่างปลอดภัย เป็นมาตรฐานสากลเพียงมาตรฐานเดียว ที่สามารถตรวจประเมินได้สำหรับระบบการจัดการความปลอดภัยของข้อมูล

มาตรฐานนี้จะมุ่งเน้นการรักษาความปลอดภัยของข้อมูลสารสนเทศ ตามระดับความเสี่ยงด้านการรักษาความลับ การรักษาความถูกต้องสมบูรณ์ และความพร้อมใช้งาน โดยมีแนวทางบริหารจัดการให้ข้อมูลสารสนเทศขององค์กรสามารถเข้าถึงได้เฉพาะผู้ที่มีสิทธิ ข้อมูลสารสนเทศมีความถูกต้อง ครบถ้วนสมบูรณ์ไม่ถูกเปลี่ยนแปลงหรือแก้ไขจากผู้ที่ไม่ได้รับอนุญาต และข้อมูลสารสนเทศมีความพร้อมที่จะให้ผู้มีสิทธิเข้าใช้งานอยู่เสมอ การที่องค์กรนํามาตรฐาน ISO 27001 มาประยุกต์ใช้ในการดําเนินงาน จะสามารถทําให้ผู้มีส่วนได้ส่วนเสีย เกิดความมั่นใจในความมั่นคงปลอดภัยของข้อมูลสารสนเทศมากยิ่งขึ้น เนื่องจากการดําเนินงานตามมาตรฐาน ISO 27001 จะช่วยปกป้องข้อมูลสารสนเทศขององค์กร จากความเสี่ยงของภัยคุกคามต่าง ๆ ไม่วาจะเป็นไวรัสคอมพิวเตอร์ที่ทําให้ข้อมูลสารสนเทศเสียหาย การบุกรุกระบบเพื่อขโมยข้อมูลสารสนเทศ การบุกรุกระบบเพื่อเปลี่ยนแปลงข้อมูลสารสนเทศ หรือความเสียหายที่เกิดจากความไม่ตั้งใจของผู้ใช้งานในระบบ ฯลฯ ซึ่งส่งผลกระทบต่อการดําเนินงานขององค์กร สร้างความเสียหายด้านรายได้ เวลา ภาพลักษณ์ และความน่าเชื่อถือ ขององค์กร

มาตรฐานนี้จะให้การรับรอง ว่าองค์กรได้ดำเนินงานสอดคล้องกับกฎหมาย กฎระเบียบ ข้อบังคับและข้อกำหนดตามสัญญา อันเกี่ยวเนื่องกับข้อมูลสำคัญ ด้วยเหตุนี้การได้รับการรับรองตามมาตรฐาน ISO 27001 จึงเป็นการพิสูจน์ให้เห็นว่าองค์กรได้มีการดำเนินการตามขั้นตอนที่จำเป็น เพื่อปกป้องข้อมูลสำคัญจากการเข้าถึงที่ไม่ได้รับอนุญาต รวมทั้งเป็นการการันตีระบบสารสนเทศและสารสนเทศขององค์กรมีระบบควบคุมภายในที่ดี ได้รับการรักษาความปลอดภัย (Confidentiality) มีความถูกต้องครบถ้วนสมบูรณ์ (Integrity) และมีความพร้อมใช้งาน (Availability) ทั้งที่เป็นข้อมูลของบริษัทและข้อมูลส่วนบุคคลอื่นๆ เป็นการสร้างความเชื่อมั่นในการให้บริการ รวมถึงภาพลักษณ์ที่ดีแก่ลูกค้าและเพื่อป้องกันภัยคุกคาม ลดความเสี่ยง จากช่องโหว่และผู้บุกรุก เพื่อให้ข้อมูลสารสนเทศมีความถูกต้อง มีการรักษาความลับ และมีความพร้อมให้บริการอยู่ในระดับที่เหมาะสม

นอกจากนี้การได้รับการรับรองมาตรฐาน ISO 27001 ยังสามารถช่วยเสริมสร้างความรู้สึกเกี่ยวกับการรักษาความลับทั่วทั้งองค์กรได้อีกด้วย นี้เป็นเรื่องสำคัญเพราะข้อมูลที่สำคัญไม่ได้ถูกเก็บไว้เฉพาะในเซิร์ฟเวอร์และฮาร์ดไดรฟ์เท่านั้น แต่มันสามารถถูกเข้าถึง และจดจำได้โดยบุคคล/พนักงานในองค์กรอีกด้วย การได้รับการรับรองมาตรฐาน ISO 27001 สามารถเปลี่ยนวัฒนธรรมองค์กรได้ ทำให้มันเป็นสิ่งหนึ่งที่สร้างมูลค่าให้กับข้อมูลส่วนตัวของบริษัท

Reference : https://www.ktc.co.th/sustainability-development/isoiec-27001-information-security