มาตรฐาน ISO27001 (ไอเอสโอ 27001) คืออะไร ?

มาตรฐาน ISO 27001 เป็นมาตรฐานที่สร้างขึ้นเพื่อให้องค์กร สามารถบริหารจัดการทางด้านความปลอดภัยสารสนเทศได้อย่างมีระบบ ซึ่งมีการแนะแนวทางและสนับสนุนให้องค์กรเข้าใจความเสี่ยงและจุดอ่อนด้านการคุ้มครองข้อมูล นอกจากนี้ยังช่วยเพิ่มความแข็งแกร่งให้กับระบบความปลอดภัยของข้อมูล ลดความเสี่ยง และปกป้องข้อมูลจากการถูกโจรกรรม

โดยการประเมินความเสี่ยงของสารสนเทศ (Information Security Risk Assessment) ถือเป็นหัวใจสำคัญของการทำระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศ ISO27001 นั่นคือ หากท่านประเมินความเสี่ยงไม่ถูกต้อง หรือไม่ครอบคลุม ก็จะทำให้การจัดการความเสี่ยงที่ตามมานั้นแก้ปัญหาไม่ตรงจุด และไม่ครอบคลุมตามไปด้วย

ซึ่งการนำมาตรฐาน ISO27001 มาใช้งานมี 4 องค์ประกอบสำคัญ ดังนี้

1. จัดทำระบบ (Establish) คือ การจัดการความมั่นคงปลอดภัยของสารสนเทศ (Information Security Management System -ISMS) เป็นการเตรียมการ วางแผนเพื่อปกป้องสารสนเทศ

2. นำไปปฏิบัติ (Implement) คือ นำแผนจากขั้นตอนการจัดทำระบบ (Establish)ไปปฏิบัติจริง โดยทำตามเอกสารคู่มือ และมีการลงบันทึกในแบบฟอร์ม

3. รักษาไว้ (Maintain) คือ การปฏิบัติควบคู่ไปกับการทำงานปกติ อย่างสม่ำเสมอ

4. ปรับปรุงอย่างต่อเนื่อง (Continual Improvement) คือ ทบทวนผลการทำระบบ และหาจุดปรับปรุงโดยจะต้องไม่ทำเพียงแค่ครั้งเดียว แต่ต้องปฎิบัติอย่างต่อเนื่อง

การทำระบบ ISO27001 ให้มีประสิทธิภาพ ควรปฏิบัติตาม 4 ข้อดังที่กล่าวมาข้างต้นให้ครบถ้วน และต้องมีหลักฐาน(ทั้งเอกสาร และผลการปฏิบัติที่น่าเชื่อถือ เพื่อใช้ในการสืบค้นข้อมูล และตรวจสอบย้อนหลังได้