มาทำความรู้จัก ISO 27001 เป็นมาตรฐานการจัดการความมั่นคงของสารสนเทศ

• Willie Romero
• March 9, 2020

ปัจจุบัน บทบาทของเทคโนโลยีสารสนเทศ (IT – Information Technology) มีส่วนเกี่ยวข้องกับการดำเนินชีวิตประจำวันมากขึ้น ซึ่งเทคโนโลยีสารสนเทศที่เราคุ้นเคยกันดี คงจะเป็นการใช้งานในรูปแบบของ Application บนสมาร์ทโฟน ซอฟแวร์ที่ใช้ในการทำงานจัดเก็บข้อมูลในด้านการเงิน การศึกษา และอื่นๆ คำถามคือเมื่อมีโปรแกรมผุดขึ้นมามากมาย แล้วเราจะรู้ได้อย่างไรว่าโปรแกรมไหนมีความน่าเชื่อถือในการใช้งานบ้าง?

ISO หรือ องค์การระหว่างประเทศเพื่อการมาตรฐาน ได้กำหนดมาตรฐานการจัดการความมั่นคงของสารสนเทศ หรือ ISO 27001 ขึ้น เพื่อใช้ในการบริหารจัดการระบบสารสนเทศภายในองค์กร ตั้งแต่การบริหารจัดการนโยบายความปลอดภัยของเทคโนโลยีสารสนเทศในหน่วยงาน ตลอดจนควบคุมพฤติกรรมเสี่ยงของพนักงาน เช่น การดาวน์โหลดเนื้อหาที่ไม่เหมาะสม การมีพฤติกรรมเสี่ยงทำข้อมูลรั่วไหล ซึ่งข้อดีของบริษัทที่มี ISO 27001 รับรอง คือเป็นการเพิ่มขีดความสามารถทางการตลาด เพิ่มความน่าเชื่อถือขององค์กร และเพิ่มความมั่นใจให้แก่ลูกค้าที่มาใช้บริการสินค้าขององค์กรได้อีกด้วย เรียกได้ว่าเป็นอีกหนึ่งทางเลือกที่ช่วยประชาชนเลือกใช้บริการได้เหมือนกัน

หลังรู้ความเป็นมาของ ISO27001 คร่าวๆแล้ว สงสัยไหมว่าเราจะนำมาใช้งานอย่างไร?

ในที่นี้ ก่อนจะนำ ISO 27001 มาใช้ องค์กรเอกชนหรือหน่วยงานรัฐควรทำความเข้าใจ 2 เรื่องหลักก่อน

1. เข้าใจองค์กร หมายถึง คุณต้องสำรวจข้อมูล วิเคราะห์การทำงานขององค์กรให้เข้าใจอย่างถ่องแท้ว่าองค์กรของคุณมีจุดอ่อน หรือจุดแข็งอย่างไร ซึ่งคุณอาจนำเครื่องมืออย่าง SWOT Analysis มาช่วยในการวิเคราะห์เพื่อให้เกิดความน่าเชื่อถือของข้อมูล และการวิเคราะห์อย่างเป็นระบบ
2. เข้าใจหลักการใช้งาน ISO 27001 ตั้งแต่การจัดทำเอกสาร การนำไปใช้งานจริง เพื่อที่คุณจะได้นำมาตรฐานมาใช้ได้อย่างมีประสิทธิภาพและสอดคล้องกับการทำงานขององค์กร

เมื่อทำความเข้าใจสองหลักการข้างต้น การนำ ISO 27001 มาปฏิบัติจริงนั้นคุณสามารถดำเนินการตามขั้นตอนได้ดังนี้

1. การจัดระบบ (Establish) ตั้งแต่การเตรียมการ การวางแผน การกำหนดเป้าหมายการป้องกันระบบสารสนเทศ
2. ปฏิบัติ (Implement) โดยนำแผนที่วางไว้มาลงมือทำ ซึ่งอาจทำแบบฟอร์มขึ้นมาเพื่อเก็บข้อมูล และตรวจวัด
3. รักษา (Maintain) โดนการมีวินัยในการทำงานอย่างเข้มงวด
4. ปรับปรุงงานอย่างสม่ำเสมอ (Continual Improvement) ทบทวนตั้งแต่แผนนโยบายการทำงาน การปฏิบัติงานอย่างสม่ำเสมอ เช่น ประชุมประจำปี หาข้อบกพร่องและแก้ไข เป็นต้น

จากหลักการข้างต้นเป็นไปตามแนวทาง PDCA (Plan-Do-Check-Act) ช่วยให้ทำงานอย่างเป็นระบบบวกกับช่วยพัฒนาองค์กรอย่างยั่งยืนได้อีกด้วย ทั้งนี้ หลังจากปฏิบัติจนได้รับการรับรอง อย่าลืมว่าการลงมือปฏิบัติอย่างเคร่งครัด มีวินัย และมีจรรยาบรรณสำคัญกว่ามาก คุณควรปลูกฝังสิ่งเหล่านี้ในองค์กรของคุณ เพื่อให้ธุรกิจของคุณดำเนินไปอย่างขาวสะอาดและมีความปลอดภัยอย่างแท้จริง