FAQ

คำถามที่พบบ่อย

เกี่ยวกับการทำระบบ

ISO 27001:2013

ความมั่นคงปลอดภัยของสารสนเทศ

1) ISO 27001 ทำยากไหม? กลัวจะทำไม่สำเร็จ

ไม่ยาก ถ้ามีความรู้และความเข้าใจ 2 เรื่องใหญ่ๆ คือ
 

  1. เข้าใจองค์กรตัวเอง 

  2. เข้าใจมาตรฐานว่าต้องทำอะไรบ้าง

  1. เข้าใจองค์กรตนเอง

         ต้องสำรวจข้อมูล ซอฟแวร์ ฮาร์ดแวร์ บุคลากร ในขอบเขตที่จัดทำระบบ  ข้อมูลนี้ยิ่งมีรายละเอียดยิ่งดี  หากหน่วยงานท่านเป็นราชการ บัญชีครุภัณฑ์เป็นจุดเริ่มต้นที่ดีในการรวบรวมข้อมูล Hardware Software
         เข้าใจภารกิจขององค์กร  รู้ว่าระบบงานใดสำคัญที่สุดและระบบงานต่างๆ มีข้อจำกัดและจุดอ่อนอะไรบ้าง  รู้ไปทำไม ?  ก็รู้เพื่อที่จะไปหามาตรการมาจัดการกำจัดจุดอ่อน  เช่น ระบบฐานข้อมูลทำงานอยู่บนเครื่อง Server ที่เก่าแก่มาก เก่าขนาดที่ไม่มี Spare Part  หาก Server นี้พังไปก็โบกมือลาได้เลยเพราะซ่อมไม่ได้!!  ในกรณีนี้จุดอ่อนก็คือ Server ที่เก่ามากมีความเสี่ยงที่จะดับไปเมื่อไหร่ก็ได้ ดังนั้นท่านก็ต้องหามาตรการมาจัดการความเสี่ยงนี้ โดยจัดหาเครื่องใหม่  ทั้งนี้ก็แล้วแต่แนวทางและขีดความสามารถของแต่ละองค์กร

 

​  2. เข้าใจมาตรฐาน

         จะนำมาตรฐาน ISO 27001 มาใช้งาน ก็ต้องทำความเข้าใจในตัวมาตรฐานเสียก่อน ว่าต้องทำอะไรบ้าง ทั้งเรื่องเอกสาร(Documents) และการนำไปใช้งานจริง (Implementation)  ข้อกำหนดของ ISO 27001:2013 ฉบับของ ISO-International Organization for Standardization  นั้นเป็นภาษาอังกฤษ  หากท่านต้องการศึกษามาตรฐานฉบับเต็ม มี 3 วิธี
 

  • ขออ่านได้ที่ห้องสมุดสำนักงานมาตรฐานผลิตภัณฑ์อุตสาหกรรม สมอ. ตั้งอยู่ที่กระทรวงอุตสาหกรรม ตรงข้ามรพ.รามาฯ  

  • รับการอบรม การตีความข้อกำหนด ISO 27001:2013

2) ใช้งบประมาณเท่าไหร่ในการทำระบบ ISO 27001:2013

ใช้งบประมาณมากหรือน้อยขึ้นอยู่กับสิ่งที่องค์กรท่านยังขาด เช่น ประเมินความเสี่ยงมาแล้วพบว่าท่านยังไม่มีระบบจัดเก็บข้อมูลจราจรทางคอมพิวเตอร์(log) แบบนี้งานเข้าเพราะผิดกฏหมาย   ท่านจำเป็นต้องจัดหามาโดยด่วน  หรือพบว่าเครื่อง Server ของท่านเก่ามาก มีโอกาสดับไปแบบไม่ฟื้นแบบนี้ท่านจำเป็นต้องมีงบประมาณเพื่อจัดหาใหม่มาทดแทน   และที่พบค่อนข้างมากในหลายองค์คือไม่มีมาตรการหรือเครื่องมือเฝ้าระวังตรวจจับทางด้านความมั่นคงปลอดภัยของสารสนเทศ อันนี้ก็จำเป็นต้องลงทุนจัดหามาใช้งาน 

 

การทำความเข้าใจข้อกำหนด ISO ถ้าอ่านเองแล้วประยุกต์ใช้ได้ก็ไม่ต้องเสียค่าใช้จ่ายอบรมข้างนอก แต่ต้องยอมรับว่าจะเสียเวลาในการทำความเข้าใจส่วนนี้ ไปๆมาๆอาจพอกับส่งไปอบรมกับสถาบันที่เป็นผู้เชี่ยวชาญด้านความั่นคงปลอดภัยสารสนเทศตามมาตรฐาน ISO 27001 และสุดท้ายหากจะขอใบรับรอง ISO 27001 ก็ต้องมีค่าตรวจประเมินรับรองระบบ(Certification) ซึ่งตรวจประเมินโดยหน่วยงานที่เรียกว่า Certified Body

3) จะเริ่มต้นการทำระบบ ISO 27001:2013 อย่างไร

Step 1: ก่อนอื่นท่านต้องกำหนดขอบเขต(Scope) ที่จะทำ ISO 27001 

พูดอีกอย่างหนึ่งก็คือ ต้องการให้ระบบงานหรือกิจกรรมอะไรบ้างที่ถูกควบคุมดูแลภายใต้ ISO 27001 เพื่อให้มั่นใจว่าสารสนเทศของระบบงาน หรือกิจกรรมนั้นๆ มีความมั่นคงปลอดภัย 

ขอบเขตนี่สำคัญมาก เพราะถ้าขอบเขตเล็กเกินไปไม่สะท้อน Performance เพียงพอ ก็อาจจะมีปัญหาในตอนยื่นขอตรวจรับรองระบบ แต่ถ้าใหญ่เกินไปก็จะทำให้สำเร็จได้ยาก 
 

Step 2: ศึกษามาตรฐาน ISO 27001 ให้เข้าใจหลักการพื้นฐานและแนวทางการนำไปใช้งาน

ทำได้ 3 วิธี คือ

1) ติดต่อซื้อมาตรฐาน ISO 27001 จากเว็บไซต์ของ ISO  

2) ขออ่านได้ที่ห้องสมุดสำนักงานมาตรฐานผลิตภัณฑ์อุตสาหกรรม สมอ. ตั้งอยู่ที่กระทรวงอุตสาหกรรม ตรงข้ามรพ.รามาฯ  

3) รับการอบรม การตีความข้อกำหนด ISO 27001:2013

 

Step 3: ประเมินองค์กรเบื้องต้นให้รู้ว่าองค์กรยังขาดอะไรบ้างเมื่อเทียบกับสิ่งที่ต้องมีตามมาตรฐาน ISO 27001 

 ขั้นตอนนี้ท่านจะต้องมีความรู้ในข้อกำหนดของ ISO 27001 พอสมควรนะครับ ถึงจะประเมินได้ว่าข้อไหนมีแล้วข้อไหนยังขาด
        

สำหรับการเริ่มต้นมี 3 Steps ข้างต้น  หลังจากการประเมินองค์กรเบื้องต้นใน Step3  ท่านก็จะรู้ว่ายังขาดอะไรบ้าง มีประเด็นอะไรที่ยังไม่สอดคล้องตามกฎหมายหรือไม่ ถ้ามีก็ให้สรุปประเด็นเสนอผู้บริหารเพื่อเร่งดำเนินการ