ในปัจจุบันหลายองค์กรได้ให้ความสำคัญต่อการได้รับมาตรฐาน ISO 27001 เพื่อให้องค์กรของตนได้รับความเชื่อมั่นจากลูกค้า และทีมงาน ในด้านความปลอดภัยของข้อมูลสารสนเทศ ให้เป็นไปอย่างมีคุณภาพ ซึ่ง ISO27001 คืออะไร สำคัญอย่างไรบ้าง และต้องมีองค์ประกอบอะไรบ้าง ในบทความนี้เราจะพาไปหาคำตอบ
ความหมายของมาตรฐาน ISO27001
มาตรฐาน ISO 27001 คือมาตรฐานความปลอดภัยข้อมูลสารสนเทศ โดยจะเป็นการประเมินความเสี่ยง และการทำความเข้าใจจุดอ่อน เพื่อให้องค์กรออกแบบการรักษาความปลอดภัยของข้อมูลอย่างเป็นระบบ เริ่มตั้งแต่การจัดทำ นำไปปฏิบัติ ทบทวน และเฝ้าระวัง นอกจากนี้ยังรวมถึงการปรับปรุงระบบให้สามารถสอดคล้องกับปัจจุบัน เพื่อให้องค์กรสามารถดูแลรักษาข้อมูลจากการโจรกรรมได้อย่างมีคุณภาพ
โดยมาตรฐาน ISO 27001 จะใช้หลักการ PCDA (Plan-Do-Check-Act) ในการจัดการ คือการพิจารณา และวางแผนล่วงหน้า ก่อนที่จะลงมือตามแผน จากนั้นจึงตรวจผลลัพธ์ที่ได้ว่าเป็นไปตามแผนที่วางไว้หรือไม่ หากผลลัพธ์ไม่เป็นดังที่วางแผนไว้ จะต้องทำการแก้ไขปรับปรุง เพื่อวางแผนการทำงานครั้งต่อไป ดังนั้นองค์กรไหนที่นำมาตรฐาน ISO 27001 มาปรับใช้ จึงเป็นหลักที่สะท้อนให้เห็นว่าองค์กรมีการจัดการความปลอดภัยด้านข้อมูลสารสนเทศ ที่ได้มาตรฐานสากล
ประโยชน์ของมาตรฐาน ISO 27001
1. เพิ่มความเชื่อมั่นให้กับองค์กร
การที่องค์กรได้รับมาตรฐาน ISO 27001 จะช่วยทำให้องค์กรได้รับความเชื่อมั่นจากทั้งลูกค้า และผู้มีผลประโยชน์ ว่าจะได้รับการดูแลข้อมูลที่ปลอดภัย และรัดกุมที่สุด
2.ให้การจัดการข้อมูลเป็นไปอย่างมั่นใจยิ่งขึ้น
เมื่อองค์กรสามารถจัดการกับข้อมูลด้วยการรักษาความลับได้เป็นอย่างดี จะช่วยให้องค์กรสามารถจัดการด้านข้อมูลต่าง ๆ เป็นไปอย่างมั่นใจ ว่าข้อมูลจะไม่รั่วไหลในระหว่างดำเนินการ
3. ลดความเสี่ยงการดำเนินงาน
มาตรฐาน ISO 27001 จะช่วยทำให้ความเสี่ยงที่จะเกิดความสูญเสีย หรือความเสียหายจากการที่ข้อมูลเกิดความรั่วไหล จนทำให้กระบวนการทำงานขององค์กรเกิดความชะงัก ทำให้มีการดำเนินงานที่ลื่นไหลมากขึ้น
4 องค์ประกอบของ มาตรฐาน ISO27001
1.จัดทำระบบ (Estabish)
เป็นขั้นตอนจัดการเพื่อรักษาความปลอดภัยของสารสนเทศ โดยจะต้องมีการกำหนดทีมงานที่เหมาะสม และเพียงพอต่อจำนวนข้อมูลขององค์กร เพื่อให้ทีมสามารถสร้างระบบที่สอดคล้องต่อลักษณะการทำงาน และตรวจช่องโหว่ที่อาจทำให้เกิดภัยคุกคามต่อข้อมูลสารสนเทศในองค์กร
2.นำไปปฏิบัติ (Implement)
คือขั้นตอนที่นำแผนจากขั้นตอนการจัดทำระบบเพื่อนำไปปฏิบัติจริง โดยจะมีการดำเนินการตามคู่มือ และบันทึกการทำงานลงในแบบฟอร์ม โดยการจะทำให้ขั้นตอนปฏิบัติการเป็นไปอย่างมีคุณภาพ และได้ผลลัพธ์ที่ดีนั้น จะต้องมีการฝึกอบรมกับทีมงานเพื่อให้แนวทางปฏิบัติไปในทางเดียวกัน
3.เฝ้าระวัง และทบทวน (Maintain)
เป็นขั้นตอนที่ทำการวัดผลมาตรการดำเนินงานจากขั้นตอนการปฏิบัติ ว่าได้ผลลัพธ์ตามที่วางแผนไว้หรือไม่ โดยจะต้องมีแนวทางในการวัดผล และความถี่ที่สอดคล้องกับความเสี่ยง หากพบว่าข้อมูลสารสนเทศส่วนไหนที่มีความเสี่ยงสูง ควรทำการเฝ้าระวัง และวัดผลที่เข้มงวดมากยิ่งขึ้น เพื่อเพิ่มความมั่นใจให้องค์กรว่าหากเกิดเหตุไม่คาดฝันขึ้น ระบบจะสามารถรายงานผลได้ทันที
4.รักษามาตรฐาน และปรับปรุงให้ดีขึ้น (Continual Improvement)
เมื่อทำการตรวจสอบและพบปัญหา หรือสิ่งผิดปกติ ผู้ที่เกี่ยวข้องจะต้องร่วมกันแก้ไข และป้องกันปัญหาที่เกิดขึ้น เพื่อป้องกันโอกาสเกิดปัญหาเดิมซ้ำในอนาคต นอกจากนี้ทีมผู้เกี่ยวข้องจะต้องหาแนวทางปรับปรุงให้เป็นไปอย่างเป็นรูปธรรม โดยจะต้องได้ความร่วมมือจากผู้บริหารระดับสูง เพื่อกำหนดนโยบายการบริหารจัดการให้ทีมงานยืดเป็นแนวปฏิบัติ
อย่างไรก็ตาม ISO/IEC27001 เป็นมาตรฐานสากลในการบริหารจัดการความมั่นคงและความปลอดภัยของข้อมูล (Information Security Management System, ISMS) ซึ่งเน้นไปที่การป้องกัน การควบคุม และการปรับปรุงการบริหารจัดการความปลอดภัยในทุกๆ ด้าน ไม่ว่าจะเป็นด้านผู้คน กระบวนการทำงาน หรือเทคโนโลยีในองค์กร
เมื่อพูดถึงการ ตรวจสอบประวัติอาชญากรรม ของพนักงาน สิ่งนี้เกี่ยวข้องกับ “การควบคุมการเข้าถึง” (Access Control) ซึ่งเป็นหนึ่งในข้อกำหนดของ ISO 27001 ในด้านการควบคุมการเข้าถึงสารสนเทศ ซึ่งมีเป้าหมายเพื่อป้องกันการเข้าถึงข้อมูลที่ไม่ได้รับอนุญาต การตรวจประวัติอาชญากรรมของพนักงาน เป็นส่วนหนึ่งของการประเมินความเสี่ยง และทำให้แน่ใจว่าพนักงานที่จะได้รับการเข้าถึงข้อมูลสำคัญ เป็นคนที่น่าเชื่อถือ รวมถึงบุคคลนั้นต้องไม่มีประวัติอาชญากรรมที่เกี่ยวข้องกับการเปิดเผยข้อมูลหรือการกระทำที่ไม่เป็นธรรม
ดังนั้น ในบางองค์กรที่ปฏิบัติตามมาตรฐาน ISO27001 อาจจะกำหนดให้มีกระบวนการในการตรวจสอบประวัติอาชญากรรมเป็นหนึ่งในการควบคุมเพื่อให้แน่ใจว่าพนักงานในองค์กรมีความน่าเชื่อถือและไม่เป็นอันตรายต่อความมั่นคงปลอดภัยของข้อมูลและระบบ