เรามารู้จักมาตรฐาน ISO/IEC 27001 มีประโยชน์อย่างไร
3.Information Security Management System (ISMS) Standard
หรือที่รู้จักกันในนาม ISO 27001 เป็นมาตรฐานที่เกี่ยวกับการบริหารจัดการข้อมูลสารสนเทศให้มั่นคงปลอดภัย โดยนอกจาก ข้อมูลสารสนเทศที่เป็นเรื่องไอทีแล้ว ยังมีเรื่องอื่นที่ต้องบริหารจัดการเช่นเดียวกัน ทั้งเรื่องคน เรื่องกฎระเบียบขององค์กร เรื่องจัดซื้อจัดจ้าง เรื่องการฝึกอบรมพนักงาน เป็นต้น
เหล่านี้ล้วนเกี่ยวข้องกับการบริหารจัดการข้อมูลสารสนเทศให้มั่นคงปลอดภัย ต่อให้มีระบบไอทีล้ำเลิศแค่ไหนแต่ถ้าไม่มีกฎระเบียบควบคุมที่ชัดเจน ไม่มีการอบรมให้ความรู้ผู้ใช้ และไม่มีการควบคุม Outsourceที่ดีพอบอกได้เลยว่าความปลอดภัยยังมีช่องโหว่อยู่ !!
การจัดทำระบบบริหารจัดการ(Management System)จะต้องพิจารณาหลายด้านที่มีความเกี่ยวข้อง
- การบริหารคน (ภายในองค์กรและภายนอก เช่น Outsource)
- กระบวนการและเทคโนโลยี (เข้าใจกระบวนการทำงาน และเทคโนโลยีที่เหมาะสมในการนำมาใช้งาน)
- บริหารงบประมาณ (การลงทุนที่คุ้มค่า)
ซึ่งต้องเข้าใจทั้ง 3 ด้านข้างต้น เพื่อที่จะหาจุดสมดุลย์และเกิดประโยชน์สูงสุด อย่างไรก็ตามเมื่อลงมือทำจริง จะต้องวางแนวทางปฏิบัติให้เหมาะสม ไม่เข้มงวดเกินไปจนทำอะไรไม่ได้ (ปลอดภัยสูงสุด) หรือหลวมเกินไปจนแทบไม่ได้ควบคุมอะไรเลย
ISO27001 มีประโยชน์อย่างไร
- เพิ่มความเชื่อมั่นให้กับประชาชนผู้มาใช้บริการกับทางหน่วยงาน เนื่องจากมีการบริหารจัดการข้อมูลสารสนเทศให้มั่นคงปลอดภัยตามมาตรฐานที่ทั่วโลกให้การยอมรับ
- ลดค่าใช้จ่ายในการดูแลรักษาระบบสารสนเทศ ให้เหมาะสมกับขนาดและความสำคัญของข้อมูลประเภทต่างๆ
- มั่นใจได้ว่าข้อมูลที่เป็นความลับ มีการควบคุมดูแลอย่างเหมาะสม ป้องกันข้อมูลรั่วไหล และคงความถูกต้องสมบูรณ์ของข้อมูลครบถ้วน
- มีการปรับปรุงระบบสารสนเทศอย่างต่อเนื่อง เพื่ออุดช่องโหว่จากภัยคุกคามทางไซเบอร์ที่มีการพัฒนาอยู่ตลอดเวลา