กรุงเทพฯ--11 เม.ย.--INAC
โดย.....นายอุดมเดช คงทวีเลิศ กรรมการบริหาร
บริษัท บูโรเวอริทัส เซอทิฟิเคชั่น(ประเทศไทย)จำกัด
มาตรฐาน ISO27001 คืออะไร ?
บริษัทต่างๆ พบกับการเสี่ยงทุกวัน และความเสี่ยงสำคัญรูปแบบหนึ่งก็คือการจารกรรมข้อมูล หรือการสูญหายของข้อมูลที่มีความสำคัญอย่างยิ่งต่อการทำงานของบริษัท เช่น รายชื่อของลูกค้า ข้อมูลการสั่งซื้อ และการขายสินค้า หรือข้อมูลเกี่ยวกับการออกแบบสินค้า เป็นต้น
ISMS/ISO27001: 2005 เป็นมาตรฐานที่ดีที่สุด ในการจัดการด้าน ระบบการรักษาความปลอดภัย ข้อมูลองค์กร ด้วยมาตรฐานนี้ ท่านสามารถสร้างกลยุทธ์และกำหนดทิศทางสำหรับการประเมิน การวัดค่าและการป้องกันการคุกคามจากภายนอกโดยผ่านกระบวนการจัดการความเสี่ยงของมาตรฐานได้
ผลประโยชน์หลักจากการใช้มาตรฐาน ISMS/ISO27001:2005?
- เนื่องจาก การมีข้อมูลและระบบการจัดเก็บข้อมูล ที่มีความปลอดภัย เที่ยงตรงและพร้อมใช้งานเสมอนั้นย่อมช่วยสร้างความได้เปรียบทางการแข่งขัน สร้างผลกำไร และสร้างโอกาสทางการธุรกิจ
- สอดคล้องกับกฎหมาย ตามพระราชบัญญัติ
- สร้างความมั่นใจให้กับบริษัทคู่ค้า รับประกันความต่อเนื่องในการทำธุรกิจระหว่างคู่ค้า
- จากการประเมินความเสี่ยง การแยกแยะภัยคุกคามของข้อมูล การรับรู้จุดอ่อนและความเป็นไปได้ของความเสี่ยงและ จากการพิจารณาอย่างถี่ถ้วน ของผลกระทบที่จะเกิดนี่เอง ย่อมเป็นผลดี กับธุรกิจท่านในการเลือกลงทุนที่จะก่อประโยชน์และคุ้มค่าที่สุด
ทำไมผู้บริหารจึงเห็นความจำเป็นของการบริหารความมั่นคงปลอดภัยของข้อมูลสารสนเทศ ด้วยมาตรฐาน ISMS/ISO27001 : 2005?
หลายปีที่ผ่านมา ผู้บริการในหลายๆ องค์กรเกิดความสนใจ ที่จะนำเอาเทคโนโลยีสารสนเทศ เข้ามาใช้ในธุรกิจ เพื่อเพิ่มขีดความสามารถ ในการแข่งขัน และ โอกาสสู่ธุรกิจใหม่ๆ ซึ่งก็มีส่วนที่ประสบความสำเร็จ ตามจุดมุ่งหมายบ้าง หรือไม่ประสบความสำเร็จเท่าที่ควรบ้าง โดยที่ความสำเร็จของการนำเอาเทคโนโลยีสารสนเทศมาใช้งานในธุรกิจนั้น ก็มักจะขึ้นอยู่กับการที่สามารถนำเอาเทคโนโลยีสารสนเทศเข้ามาสนับสนุนขบวนการทางธุรกิจได้อย่างเต็มที่
องค์กรต่างๆได้ก้าวเข้าสู่ยุคที่ธุรกิจต่างๆขององค์กรต้องอาศัย เทคโนโลยีสารสนเทศเป็นเครื่องมือหลักในการดำเนินการ ความสำคัญอันหนึ่งที่ทุกองค์กรต้องตระหนักถึง คือ ความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศ ซึ่งหากไม่มีการจัดการเรื่องความมั่นคงปลอดภัย ของระบบสารสนเทศที่เพียงพอ ก็อาจเป็นสาเหตุที่ทำให้ธุรกิจขององค์กรมีตวามเสี่ยงเกิดขึ้นได้
จากการที่รายการและขบวนการทางธุรกิจต่างๆ ขององค์กรได้ถูกเปลี่ยนรูปแบบการดำเนินงานจากระบบที่อาศัยคนทั้งหมด เป็นแบบที่ต้องอาศัยเทคโนโลยีสารสนเทศเข้ามาเกี่ยวข้อง ข้อมูลของการดำเนินงานได้ถูกส่งต่อ , ประมวลผล และ จัดเก็บในรูปแบบของสื่อต่างๆ ของเทคโนโลยีสารสนเทศ ผู้ให้บริการทางด้านเทคโนโลยีเหล่านั้นมาใช้เพื่อความมั่นคง ปลอดภัยของระบบสารสนเทศอย่างหลากหลายซึ่งโดยมากก็จะเป็นเทคโนโลยีที่มีราคาค่อนข้างสูง ซึ่งการลงทุนเพื่อความมั่นคง ปลอดภัย ของระบบสารสนเทศ ผู้บริหารขององค์กร ต้องพิจารณาความเหมาะสม
ในการพิจารณาความเหมาะสมว่าการควบคุมที่จำเป็นจะต้องมีนั้นเพียงพอและเหมาะสมเพียงใดต่อการดำเนินธุรกิจ และ มีกระบวนการอย่างไร ในการจัดการกับ เหตุการณ์ต่างๆ ที่ทำให้ความเสียหายทางธุรกิจจากการสูญเสียความมั่นคงปลอดภัยของระบบ
ISO27001 : 2005 Information Security Management System หรือ ISMS เป็นมาตรฐานสากลที่กล่าวถึง มาตรฐานของระบบบริหารจัดการเพื่อความมั่นคงปลอดภัยของข้อมูล โดยจุดประสงค์ของมาตรฐานนี้เพื่อจะทำให้องค์กรสามารถบริหารจัดการทางด้านความปลอดภัยได้อย่างมีระบบ และเพียงพอเหมาะสมต่อการดำเนินธุรกิจขององค์กร โดยเริ่มแรกองค์กรต้องทำการวิเคราะห์ความเสี่ยงของระบบ จากภัยคุกคาม และจุดอ่อนต่างๆ ในระบบจากนั้น จึงวิเคราะห์ และเลือกแนวทางการควบคุม และป้องกันสารสนเทศต่างๆอย่างเหมาะสม และพอเพียงโดยในตัวมาตรฐานก็จะมีแนวทางที่เรียกว่า Code of Practice ให้ใช้งานเพื่อควบคุมความเสี่ยงต่างๆขณะเดียวกัน มาตรฐานนี้ก็ยังกำหนดให้องค์กรจะต้องควบคุมดูแลระบบการรักษาความมั่นคงปลอดภัย และกลไกในการพัฒนาอย่างต่อเนื่องอีกด้วย
ด้วยโครงสร้างของระบบบริหารที่ต้องมีการวางแผน , การดำเนินการ , ตรวจสอบ และการพัฒนา หรือที่เราเรียกว่า PDCA [ Plan : การวางแผน - Do : การปฏิบัติ — Check : การตรวจสอบ — Act : กำหนดมาตรฐาน
] นั้นจะทำให้การจัดการเรื่องความมั่นคงของสารสนเทศ มีประสิทธิผลเต็มที่ และทำให้องค์กรมั่นใจที่จะให้ระบบสารสนเทศมาเป็นเครื่องมือในการดำเนินธุรกิจ รวมถึงเพิ่มโอกาสทางธุรกิจจากการใช้สารสนเทศมากขึ้น
สามารถคลิกดูภาพประกอบได้ที่ www.thaipr.net