หลังจากที่ทุกคนได้ทราบความหมายของ ISMS และ PDCA Model ในระบบ ISO/IEC 27001 ไปแล้ว วันนี้เรามาทำความเข้าใจกับองค์ประกอบสำคัญในการนำ ISO/IEC 27001 มาใช้ในองค์กรกันดีกว่าค่ะ เพื่อทุกคนจะได้เห็นภาพชัดเจนมากยิ่งขึ้น
ISO/IEC 27001 หรือ Information Security Management System (ISMS) เป็นระบบมาตราฐานการจัดการความมั่นคงปลอดภัยของข้อมูล มาจากนโยบายและวิธีการต่าง ๆ โดยวิเคราะห์ความเสี่ยงจากจุดอ่อนหรือช่องโหว่ของระบบ และหาวิธีปกป้องข้อมูลจากภัยคุกคามภายนอก โดยกระบวนการจัดการความเสี่ยงตามมาตรฐาน ISO/IEC 27001
4 องค์ประกอบสำคัญในการนำ ISO/IEC 27001 มาใช้ในองค์กร มีอะไรบ้าง ?
1. จัดทำระบบ (Establish) คือ การเตรียมการ วางแผนเพื่อปกป้องข้อมูลสารสนเทศภายในองค์กรให้มีความปลอดภัย
2. นำไปปฏิบัติ (Implement) คือ นำแผนจากขั้นตอนการจัดทำระบบ (Establish)ไปปฏิบัติจริง โดยทำตามเอกสารคู่มือ และมีการลงบันทึกในแบบฟอร์ม
3. รักษาไว้ (Maintain) คือ การปฏิบัติควบคู่ไปกับการทำงานปกติอย่างสม่ำเสมอ
4. ปรับปรุงอย่างต่อเนื่อง (Continual Improvement) คือ ทบทวนผลการทำระบบ และหาจุดปรับปรุงโดยจะต้องไม่ทำเพียงแค่ครั้งเดียว แต่ต้องปฎิบัติอย่างต่อเนื่อง
การทำระบบ ISO27001 ให้มีประสิทธิภาพ ควรปฏิบัติตาม 4 ข้อ ดังที่กล่าวมาข้างต้นให้ครบถ้วน และต้องมีหลักฐาน ทั้งเอกสารและผลการปฏิบัติที่น่าเชื่อถือ เพื่อใช้ในการสืบค้นข้อมูล และตรวจสอบย้อนหลังได้