มาตรฐาน
ISO 27001
มาตรฐานสากลที่กำหนดข้อกำหนดสำหรับ Information Security Management System (ISMS) ฉบับปัจจุบันคือ ISO/IEC 27001:2022 ระบุ controls 93 ข้อใน 4 หมวด: organizational, people, physical และ technological
ISO/IEC 27001 เป็นมาตรฐานสากลชั้นนำในการจัดการความมั่นคงปลอดภัยสารสนเทศ มันกำหนดวิธีที่องค์กรจัดตั้ง ดำเนินการ monitor และปรับปรุงระบบ Information Security Management System (ISMS) อย่างต่อเนื่อง
ฉบับปรับปรุงปี 2022 จัดโครงสร้าง controls ใหม่เป็น 93 controls ใน 4 ธีม:
- Organizational (A.5) — นโยบาย บทบาท ความสัมพันธ์ supplier การจัดการเหตุการณ์
- People (A.6) — การตรวจประวัติ training ความตระหนัก กระบวนการลงโทษ
- Physical (A.7) — พื้นที่ปลอดภัย อุปกรณ์ clear desk policy
- Technological (A.8) — access control การเข้ารหัส secure development logging
การรับรองทำโดย third-party auditor ที่ได้รับการ accredited มีอายุ 3 ปี และมี surveillance audit รายปี
สำหรับองค์กรไทยส่วนใหญ่ เส้นทางทั่วไปคือ: กำหนด scope → Statement of Applicability → เขียน policy → internal audit (ใช้ AI ช่วยได้) → external Stage 1 audit → external Stage 2 audit
Sources
- [1]International Organization for Standardization. ISO/IEC 27001:2022 Information security, cybersecurity and privacy protection — Information security management systems. ISO, 2022. https://www.iso.org/standard/27001