ในปัจจุบัน ระบบการบริหารจัดการความมั่นคงปลอดภัยสารสารสนเทศตามมาตรฐาน ISO/IEC 27001 ได้กลายเป็นมาตรฐานสำคัญในการรักษาความมั่นคงปลอดภัยสารสนเทศ (Information) และระบบสารสนเทศ (Information System) สำหรับหน่วยงานและองค์กรต่าง ๆ การรับรองตามมาตรฐาน ISO/IEC 27001 เป็นการรับรององค์กรในการดำเนินการตามข้อกำหนดของมาตรฐานสำหรับขอบเขตที่องค์กรเสนอ โดยมีผู้ขับเคลื่อนหลักที่มีส่วนสำคัญที่เรียกว่า “ผู้ตรวจสอบ” (Auditor) และ “หัวหน้าทีมผู้ตรวจสอบ” (Lead Auditor) ทำหน้าที่ในการตรวจสอบหรือที่เรียกว่า ตรวจประเมินรับรองระบบการบริหารจัดการความมั่นคงปลอดภัยสารสารสนเทศ (ISMS : Information Security Management System) โดยสถาบัน International Register of Certificated Auditors (IRCA) ได้จัดทำหลักสูตร “หลักสูตรพัฒนาหัวหน้าทีมผู้ตรวจสอบระบบการบริหารจัดการความมั่นคงปลอดภัยสารสารสนเทศสากล” (IRCA Lead ISMS Auditor) เพื่ออบรมและวัดผลทักษะความรู้ในด้านการตรวจสอบตามข้อกำหนดของมาตรฐาน ISO/IEC 27001 (ISMS) ผู้ที่สอบผ่านจะได้รับการรับรองเป็น IRCA Certified Auditor ตามเกณฑ์ที่กำหนดสำหรับวิชาชีพ ซึ่งมีการแบ่งระดับเป็น Internal Auditor, Provisional Auditor, Auditor, Lead auditor และ Principal Auditor ทั้งนี้ ผู้ที่ผ่านการรับรองจะลงทะเบียนเป็นผู้ตรวจสอบในสาระบบของ IRCA หรือไม่ก็ได้
ก่อนอื่น เราต้องมาทำความรู้จักกับระบบบริหารความมั่นคงปลอดภัยสารสนเทศ หรือ ที่รู้จักกันในภาษาอังกฤษว่า “ISMS” กันก่อน คำว่า “ISMS” นั้นย่อมาจาก “Information Security Management System” ซึ่งหมายถึง ระบบบริหารจัดการที่ดีอันประกอบด้วย กระบวนการ สร้าง ดำเนินการ ปฏิบัติการ ติดตาม ตรวจสอบ บำรุงรักษาและปรับปรุง (Plan-Do-Check-ACT (PDCA)) ความมั่นคงปลอดภัยสารสนเทศ โดยอยู่บนพื้นฐานของวิธีการประเมินความเสี่ยงเชิงธุรกิจ (อ้างอิง Overview and vocabulary, ISO/IEC 27000:2009, p.3) ทั้งนี้ ผู้เขียนขอกล่าวให้เป็นภาษาที่เข้าใจง่ายขึ้น คือ ISMS นั้นเป็นวิธีการบริหารจัดการความเสี่ยงของธุรกิจอย่างหนึ่งแต่มีขอบเขตอยู่บนเรื่องของความมั่นคงปลอดภัยสารสนเทศเป็นหลัก ซึ่งมาตรฐานสากลหมายเลขอนุกรม 27000 (ISO/IEC 27000 series) นั้น องค์กรที่ปฏิบัติตามข้อกำหนดจะสามารถขอรับรองจากหน่วยงานอิสระ Certification Body ได้ว่าองค์กรของตนได้ปฏิบัติและเป็นไปตามแบบสากล โดยการรับรองนั้นจะรับรองก็ต่อเมื่อปฏิบัติตามข้อกำหนดในมาตรฐานสากล ISO/IEC 27001 ดังกล่าว
ทั้งนี้ เพื่อให้เกิดความเข้าใจมากยิ่งขึ้น ผู้เขียนขอนำเสนอ 10 ขั้นตอนที่สำคัญของมาตรฐานสากล ISO/IEC 27001 ดังนี้

1. กำหนดนโยบายและขอบเขตในการบริหารความมั่นคงปลอดภัยสารสนเทศ พร้อมวิธีการในการประเมินและบริหารความเสี่ยง
2. ทำการประเมินความเสี่ยง โดยวิเคราะห์จากปัจจัยอันประกอบด้วย ทรัพย์สิน ภัยคุกคาม ช่องโหว่และโอกาสเกิดเหตุการณ์ พร้อมทั้งพิจารณาวิธีการควบคุมที่มีอยู่ในปัจจุบันว่าเพียงพอหรือไม่
3. พิจารณาแนวทางการตอบสนองต่อความเสี่ยงและวิธีการลดความเสี่ยง โดยให้เป็นไปตามเกณฑ์การยอมรับความเสี่ยงที่ได้กำหนดไว้
4. นำเสนอแนวทางและระดับความเสี่ยงที่คาดหวังว่าจะคงเหลือ ต่อฝ่ายบริหารเพื่อขออนุมัติในการดำเนินการและเพื่อจัดทำเอกสารสำหรับใช้ในการตรวจรับรอง
5. ดำเนินการวางแผนวิธีการลดความเสี่ยงในเชิงรายละเอียด พร้อมทั้งจัดสรรทรัพยากรเพื่อให้พอเพียงต่อการปฏิบัติ
6. ฝึกอบรมผู้เกี่ยวข้องเพื่อให้สามารถปฏิบัติได้ พร้อมทั้งกำหนดวิธีการวัดประสิทธิผลการควบคุม
7. กำหนดวิธีในการติดตามเหตุการณ์ด้านความมั่นคงปลอดภัยหรือความผิดพลาดที่เกิดขึ้น
8. จัดให้มีการตรวจสอบระบบบริหารความมั่นคงปลอดภัยภายใน
9. วัดประสิทธิผลการดำเนินการและรายงานผลต่อฝ่ายบริหารเพื่อพิจารณาปรับปรุงและแก้ไขในอนาคต
10. ดำเนินการติดตามผลการแก้ไขอย่างต่อเนื่อง

จาก 10 ขั้นตอนที่กล่าวมาข้างต้นนั้นสามารถแบ่งได้เป็นระยะการปฏิบัติในรูปแบบกระบวนการ P-D-C-A (ดังรูปที่ 1) ซึ่งก็คือ
ระยะที่หนึ่ง การวางแผน (Plan)
ระยะที่สอง การดำเนินการ (Do)
ระยะที่สาม การตรวจสอบ (Check)
ระยะที่สี่ การลงมือปรับปรุง (Act)

รูปที่ 1 รูปแบบกระบวนการ P-D-C-A ที่ประยุกต์เข้ากับกระบวนการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ

ท่านผู้อ่านคงจะเริ่มเห็นว่าจริงๆแล้วข้อกำหนดของมาตรฐานคอนข้างมีความสลับซับซ้อนพอสมควร และคงเห็นพ้องต้องกันว่าถ้าหน่วยงานของท่านต้องการขอการรับรองมาตรฐานสากล ISO/IEC 27001 แล้ว ความรู้เกี่ยวกับการตรวจสอบตามมาตรฐานสากลนี้ก็คงจะปฏิเสธไม่ได้ ผู้ที่จะเป็นผู้ตรวจสอบระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศภายใน (internal ISMS auditor) ควรที่จะต้องได้รับการอบรมหลักสูตรดังกล่าว เพื่อให้มีความรู้ความสามารถ (Competency) เพียงพอในการตรวจ แต่สำหรับในหน่วยงานที่ไม่ได้ต้องการขอรับรองมาตรฐานสากลหรือหน่วยงานที่ยังไม่ได้มีการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ ควรจะต้องมีการจัดส่งบุคลากรไปอบรมหรือไม่ ผู้เขียนไม่ขอเป็นผู้ให้คำตอบเอง แต่จะขอนำเสนอข้อมูลดังต่อไปนี้เพื่อให้ผู้อ่านได้พิจารณาและตอบคำถามดังกล่าวด้วยตัวท่านผู้อ่านเองในฉบับถัดไปครับ