มาตรฐานระบบการจัดการความมั่นคงปลอดภัยด้านสารสนเทศ (ISO 27001)
ISO/IEC 27001 เป็นมาตรฐานที่เกิดจากความร่วมมือระหว่างหน่วยงาน ISO (The International Organization for Standardization) กับหน่วยงาน IEC (The International Electrotechnical Commission) ร่วมกับองค์กรระหว่างประเทศอื่นๆ อีกหลายองค์กร ประกอบด้วยองค์กรรัฐบาลและองค์กรอิสระต่างๆ
ธุรกิจและองค์กรต่างๆ จำเป็นต้องให้ความสำคัญกับการจัดการด้านความมั่นคงปลอดภัยของข้อมูลเพื่อปกป้องความมั่นคงปลอดภัยของข้อมูล ป้องกันภัยคุกคามและความเสียหายที่อาจเกิดขึ้นได้ รวมทั้งลดความเสี่ยงจากการละเมิดด้านข้อมูล การดูแลป้องกันข้อมูลของธุรกิจและองค์กรไว้ก้อนย่อมดีกว่าการแก้ไขซึ่งจะส่งผลกระทบอย่างรุนแรงในภายหลัง นอกจากนี้ เมื่อมีการจัดการข้อมูลอย่างถูกต้องแล้วจะทำให้ธุรกิจและองค์กรได้รับความเชื่อถือ และลูกค้ามีความมั่นใจเป็นอย่างมาก
มาตรฐานระบบการจัดการความมั่นคงปลอดภัยด้านสารสนเทศเป็นประโยชน์สำหรับธุรกิจทุกประเภท และได้รับการออกแบบมาเพื่อธุรกิจและองค์กรทุกขนาด
มาตรฐาน ISO 27001 เป็นแนวทางเชิงระบบที่ประกอบด้วยกระบวนการ เทคโนโลยี และบุคคลที่ช่วยปกป้องและจัดการกับข้อมูลองค์กรด้วยการจัดการความเสี่ยงที่มีประสิทธิภาพอย่างถูกต้องและครอบคลุม โดยมีหลักการที่สำคัญ 3 ประการ ได้แก่ การปกป้องข้อมูลให้เข้าถึงได้เฉพาะผู้ที่ได้รับอนุญาตเท่านั้น การปกป้องความถูกต้องครบถ้วนของข้อมูล และความพร้อมใช้งานของระบบข้อมูล
ระบบการจัดการความมั่นคงปลอดภัยด้านสารสนเทศ มีประโยชน์ดังต่อไปนี้
– ช่วยให้องค์กรมีการปรับปรุงระบบสารสนเทศอย่างต่อเนื่อง
– ปกป้องชื่อเสียงองค์กรจากภัยคุกคามด้านความมั่นคงปลอดภัยของข้อมูล
– ช่วยให้องค์กรปฏิบัติตามข้อกำหนดด้านการปกป้องข้อมูลอย่างสอดคล้อง
– ช่วยให้มั่นใจในงานด้านความมั่นคงปลอดภัยของข้อมูล
– สามารถสร้างความน่าเชื่อถือและไว้วางใจสำหรับองค์กรและลูกค้า
– สร้างความได้เปรียบทางการแข่งขัน
ผู้เขียน : Pryn Sereepong, CISA, CEH, ISMS(IRCA)
pryn@ftpi.or.th