fbpx

ทำไมการ ตรวจสอบประวัติอาชญากรรม ถึงสำคัญกับ ISO27001

ISO27001---การตรวจสอบประวัติพนักงาน_result

ในปัจจุบันหลายองค์กรได้ให้ความสำคัญต่อการได้รับมาตรฐาน ISO 27001 เพื่อให้องค์กรของตนได้รับความเชื่อมั่นจากลูกค้า และทีมงาน ในด้านความปลอดภัยของข้อมูลสารสนเทศ ให้เป็นไปอย่างมีคุณภาพ ซึ่ง ISO27001 คืออะไร สำคัญอย่างไรบ้าง และต้องมีองค์ประกอบอะไรบ้าง ในบทความนี้เราจะพาไปหาคำตอบ

ความหมายของมาตรฐาน ISO27001

มาตรฐาน ISO 27001 คือมาตรฐานความปลอดภัยข้อมูลสารสนเทศ โดยจะเป็นการประเมินความเสี่ยง และการทำความเข้าใจจุดอ่อน เพื่อให้องค์กรออกแบบการรักษาความปลอดภัยของข้อมูลอย่างเป็นระบบ เริ่มตั้งแต่การจัดทำ นำไปปฏิบัติ ทบทวน และเฝ้าระวัง นอกจากนี้ยังรวมถึงการปรับปรุงระบบให้สามารถสอดคล้องกับปัจจุบัน เพื่อให้องค์กรสามารถดูแลรักษาข้อมูลจากการโจรกรรมได้อย่างมีคุณภาพ

โดยมาตรฐาน ISO 27001 จะใช้หลักการ PCDA (Plan-Do-Check-Act) ในการจัดการ คือการพิจารณา และวางแผนล่วงหน้า ก่อนที่จะลงมือตามแผน จากนั้นจึงตรวจผลลัพธ์ที่ได้ว่าเป็นไปตามแผนที่วางไว้หรือไม่ หากผลลัพธ์ไม่เป็นดังที่วางแผนไว้ จะต้องทำการแก้ไขปรับปรุง เพื่อวางแผนการทำงานครั้งต่อไป ดังนั้นองค์กรไหนที่นำมาตรฐาน ISO 27001 มาปรับใช้ จึงเป็นหลักที่สะท้อนให้เห็นว่าองค์กรมีการจัดการความปลอดภัยด้านข้อมูลสารสนเทศ ที่ได้มาตรฐานสากล

ประโยชน์ของมาตรฐาน ISO 27001

1. เพิ่มความเชื่อมั่นให้กับองค์กร 

การที่องค์กรได้รับมาตรฐาน ISO 27001 จะช่วยทำให้องค์กรได้รับความเชื่อมั่นจากทั้งลูกค้า และผู้มีผลประโยชน์ ว่าจะได้รับการดูแลข้อมูลที่ปลอดภัย และรัดกุมที่สุด

2.ให้การจัดการข้อมูลเป็นไปอย่างมั่นใจยิ่งขึ้น

เมื่อองค์กรสามารถจัดการกับข้อมูลด้วยการรักษาความลับได้เป็นอย่างดี จะช่วยให้องค์กรสามารถจัดการด้านข้อมูลต่าง ๆ เป็นไปอย่างมั่นใจ ว่าข้อมูลจะไม่รั่วไหลในระหว่างดำเนินการ

3. ลดความเสี่ยงการดำเนินงาน

มาตรฐาน ISO 27001 จะช่วยทำให้ความเสี่ยงที่จะเกิดความสูญเสีย หรือความเสียหายจากการที่ข้อมูลเกิดความรั่วไหล จนทำให้กระบวนการทำงานขององค์กรเกิดความชะงัก ทำให้มีการดำเนินงานที่ลื่นไหลมากขึ้น

iso-27001-ตรวจประวัติพนักงานองค์กร

4 องค์ประกอบของ มาตรฐาน ISO27001

1.จัดทำระบบ (Estabish) 

เป็นขั้นตอนจัดการเพื่อรักษาความปลอดภัยของสารสนเทศ โดยจะต้องมีการกำหนดทีมงานที่เหมาะสม และเพียงพอต่อจำนวนข้อมูลขององค์กร เพื่อให้ทีมสามารถสร้างระบบที่สอดคล้องต่อลักษณะการทำงาน และตรวจช่องโหว่ที่อาจทำให้เกิดภัยคุกคามต่อข้อมูลสารสนเทศในองค์กร 

2.นำไปปฏิบัติ (Implement)

คือขั้นตอนที่นำแผนจากขั้นตอนการจัดทำระบบเพื่อนำไปปฏิบัติจริง โดยจะมีการดำเนินการตามคู่มือ และบันทึกการทำงานลงในแบบฟอร์ม โดยการจะทำให้ขั้นตอนปฏิบัติการเป็นไปอย่างมีคุณภาพ และได้ผลลัพธ์ที่ดีนั้น จะต้องมีการฝึกอบรมกับทีมงานเพื่อให้แนวทางปฏิบัติไปในทางเดียวกัน

3.เฝ้าระวัง และทบทวน (Maintain)

เป็นขั้นตอนที่ทำการวัดผลมาตรการดำเนินงานจากขั้นตอนการปฏิบัติ ว่าได้ผลลัพธ์ตามที่วางแผนไว้หรือไม่ โดยจะต้องมีแนวทางในการวัดผล และความถี่ที่สอดคล้องกับความเสี่ยง หากพบว่าข้อมูลสารสนเทศส่วนไหนที่มีความเสี่ยงสูง ควรทำการเฝ้าระวัง และวัดผลที่เข้มงวดมากยิ่งขึ้น เพื่อเพิ่มความมั่นใจให้องค์กรว่าหากเกิดเหตุไม่คาดฝันขึ้น ระบบจะสามารถรายงานผลได้ทันที

4.รักษามาตรฐาน และปรับปรุงให้ดีขึ้น (Continual Improvement)

เมื่อทำการตรวจสอบและพบปัญหา หรือสิ่งผิดปกติ ผู้ที่เกี่ยวข้องจะต้องร่วมกันแก้ไข และป้องกันปัญหาที่เกิดขึ้น เพื่อป้องกันโอกาสเกิดปัญหาเดิมซ้ำในอนาคต นอกจากนี้ทีมผู้เกี่ยวข้องจะต้องหาแนวทางปรับปรุงให้เป็นไปอย่างเป็นรูปธรรม โดยจะต้องได้ความร่วมมือจากผู้บริหารระดับสูง เพื่อกำหนดนโยบายการบริหารจัดการให้ทีมงานยืดเป็นแนวปฏิบัติ

อย่างไรก็ตาม ISO/IEC27001 เป็นมาตรฐานสากลในการบริหารจัดการความมั่นคงและความปลอดภัยของข้อมูล (Information Security Management System, ISMS) ซึ่งเน้นไปที่การป้องกัน การควบคุม และการปรับปรุงการบริหารจัดการความปลอดภัยในทุกๆ ด้าน ไม่ว่าจะเป็นด้านผู้คน กระบวนการทำงาน หรือเทคโนโลยีในองค์กร

เมื่อพูดถึงการ ตรวจสอบประวัติอาชญากรรม ของพนักงาน สิ่งนี้เกี่ยวข้องกับ “การควบคุมการเข้าถึง” (Access Control) ซึ่งเป็นหนึ่งในข้อกำหนดของ ISO 27001 ในด้านการควบคุมการเข้าถึงสารสนเทศ ซึ่งมีเป้าหมายเพื่อป้องกันการเข้าถึงข้อมูลที่ไม่ได้รับอนุญาต การตรวจประวัติอาชญากรรมของพนักงาน เป็นส่วนหนึ่งของการประเมินความเสี่ยง และทำให้แน่ใจว่าพนักงานที่จะได้รับการเข้าถึงข้อมูลสำคัญ เป็นคนที่น่าเชื่อถือ รวมถึงบุคคลนั้นต้องไม่มีประวัติอาชญากรรมที่เกี่ยวข้องกับการเปิดเผยข้อมูลหรือการกระทำที่ไม่เป็นธรรม

ดังนั้น ในบางองค์กรที่ปฏิบัติตามมาตรฐาน ISO27001 อาจจะกำหนดให้มีกระบวนการในการตรวจสอบประวัติอาชญากรรมเป็นหนึ่งในการควบคุมเพื่อให้แน่ใจว่าพนักงานในองค์กรมีความน่าเชื่อถือและไม่เป็นอันตรายต่อความมั่นคงปลอดภัยของข้อมูลและระบบ

Appman-Background-Checker_1200x300

ใส่ความเห็น

อีเมลของคุณจะไม่แสดงให้คนอื่นเห็น ช่องข้อมูลจำเป็นถูกทำเครื่องหมาย *