สรปมาตรฐาน ISO 27001:2013

โดย ศรพร เชยวสมทร

Paramount Consultant Co.,Ltd.

ชอมาตรฐาน ISO 27001:2013

Information Security Management System

ระบบการบรหารจดการความมนคงปลอดภยของสารสนเทศ

นยามของความมนคงปลอดภยของสารสนเทศConfidentiality การรกษาความลบ

คณสมบตวาขอมลจะไมถกเผยแพรหรอเปดเผย ใหบคคล กจการ หรอ กระบวนการทไมไดรบอนญาต

Integrity ความครบถวนถกตองคณสมบตของการปกปองความถกตองและ

ครบถวนของทรพยสนAvailability ความพรอมใช

คณสมบตของการเปนทสามารถเขาถงและใชงานไดตามความตองการ โดยกจการทไดรบอนญาต

วธการจดเกบขอมลใหปลอดภย

สงทเกยวของและตองจดการเพอรองรบ ISO 27001

Hardware

Software

Information

Business Process / Services

People

จะท าระบบ ISO27001 ไดอยางไร

• ศกษาขอก าหนด

• จดหลกสตรฝกอบรม

• ตงทมงานในการท าระบบ สรางแผนโครงการ

• ก าหนดขอบขายกจกรรมและอาณาบรเวณ

• จดท ารายการกจกรรม และทรพยสนสารสนเทศ

• ประเมนความเสยง (CIA) จาก

• มลคาความเสยหาย

• ภยคกคาม

• จดออน

• ความรนแรง

• โอกาสเกด

• จดท า / ก าหนดมาตรการควบคมความเสยง จาก Annex A

• ยอมรบความเสยง

• ควบคมความเสยง

• ถายโอนความเสยง

• หลกเลยงความเสยง

• จดท า Statement of Applicability

• ปฏบตตามมาตร การควบคมความเสยง

• ก าหนดตวชวด ใหครบ รอบดาน

• วดผลตามตวชวด

• ท า Internal Audit และ Management Review

เมอครบ 1 รอบ PDCA องคกรพรอมแลวส าหรบการตรวจรบรอง

กระบวนการในการขอการรบรอง ISO 27001

• ตดตอบรษททใหการรบรอง (Certify Body)

• ตรวจ Stage 1 (ตรวจสอบเอกสาร = ISO 27001)

• ตรวจ Stage 2 (ตรวจสอบเอกสาร = หลกฐานการด าเนนงาน >> ไดรบการรบรอง ISO 27001)

• ใบรบรองมอาย 3 ป

• ระหวางการไดการรบรอง มการสมตรวจเปนระยะ ๆ (อยางนอยปละครง จนกระทงใบรบรองหมดอาย)

ประโยชนของการบรหารจดการความมนคงปลอดภยของสารสนเทศ

• ดแลขอมลตามคณคาความส าคญของขอมลทมตอองคกร

• ดแลขอมลตามระดบความเสยง• ตอบสนองตอความตองการของผมสวน

ไดสวนเสย • ดแลขอมลใหสนบสนนความตอเนองใน

การด าเนนธรกจในสถานะการณฉกเฉน• สงเสรมภาพลกษณขององคกร

• สามารถวดผลความส าเรจของวธการควบคมความมนคงปลอดภยของสารสนเทศ

• รถงผลตอบแทนในการลงทนดาน IT• สรางความเชอมนใหผบรหาร ลกคา และ

พนกงาน• มนใจในดานความสอดคลองตอกฎหมาย• ฯลฯ

กจกรรมทด าเนนการแลว

กจกรรมทตองด าเนนการตอ

• สรางกจกรรมกระตนความรความเขาใจ

• สรางกจกรรม / ท าความเขาใจทมงาน

• ศกษาดงานท Data Center ทใหญทสดในประเทศ

• ประชมใหความรเพอสรางความตระหนก

• อนมตการใชแนวทางปฏบตงานทไดจดท าขน

• จดพมพเอกสารเพอเปนแนวทางในการปฏบต

กจกรรมจะด าเนนการตอเพอใหการรบรอง

• ปฏบตตามแนวทางปฏบต

• ตดตามผล KPI

• จดท า Internal Audit

• แกไขปญหา หลงจาก การท า Internal Audit

• ท าการประชมทบทวนฝายบรหาร

• ตรวจประเมนเพอขอการรบรอง