fbpx

Monthly Archives: September 2008

>>September

Overview of ISO 27001 and ISO 27002: The International Standards for Information Security Management [ Part III ]

ในบทความตอนสุดท้ายนี้มีเนื้อหากล่าวถึงการออกใบรับรอง ทั้งในแง่การรับรองความมีมาตรฐานขององค์กร และในแง่การรับรองความรู้ ความสามารถของบุคคล รวมถึง แนวโน้มการประยุกต์ใช้มาตรฐาน ISO 27001 ทั้งในประเทศไทย และทั่วโลก   การออกใบรับรอง (Certification) ในแง่ขององค์กร (Organization Certification) การออกใบรับรอง (Certification) เป็นวิธีหนึ่งที่จะสามารถรับรองได้ว่าองค์กรมีระบบบริหารความมั่นคงของข้อมูล (ISMS) ที่มีประสิทธิภาพ แต่การที่จะจัดทำระบบ ISMS จนถึงขั้นได้รับการรับรองนั้น ก็จะมีต้นทุนที่สูงพอสมควร ทั้งนี้ ขึ้นอยู่กับนโยบาย ความมุ่งมั่นของผู้บริหาร และความจำเป็นของแต่ละองค์กร อย่างไรก็ตาม ถึงแม้ว่าองค์กรอาจจะไม่ได้มีความจำเป็นในการจัดทำระบบเพื่อให้ได้รับการรับรอง (Certification) แต่การนำแนวคิดของระบบ ISMS และหัวข้อการควบคุมที่กำหนดไว้ในมาตรฐาน ISO 27001 และ ISO 27002 ไปประยุกต์ใช้เพียงบางส่วน เพื่อปกป้องข้อมูลและระบบคอมพิวเตอร์ขององค์กรนั้น ก็มีประโยชน์ต่อองค์กรเป็นอย่างมาก โดยเฉพาะอย่างยิ่ง ต้นทุนของการดำเนินการเพื่อป้องกัน (Preventive) นั้น [...]

Overview of ISO 27001 and ISO 27002: The International Standards for Information Security Management [ Part II ]

จากบทความในตอนที่แล้ว ซึ่งได้กล่าวถึงประวัติความเป็นมาของ ISO 27001 และ ISO 27002 นั้น ในบทความตอนนี้จะเป็นการกล่าวถึงเนื้อหาของมาตรฐาน โดยมีรายละเอียดดังนี้   11 หมวดหลักของมาตรฐาน ISO 27001 และ ISO 27002 หัวข้อต่อไปนี้คือ 11 หมวดหลักที่ครอบคลุมโดยมาตรฐาน ISO 27001 และ ISO 27002 1. Security policy ครอบคลุมเรื่องนโยบายการจัดการความมั่นคงของข้อมูลในองค์กร การเล็งเห็นถึงความสำคัญของนโยบายฯ และการให้การสนับสนุนจากผู้บริหารระดับสูงเพื่อให้มีการนำนโยบายฯ ไปใช้อย่างมีประสิทธิภาพ 2. Organizational of information security ครอบคลุมเรื่องการจัดตั้งหน่วยงานขึ้นเพื่อประสานงานและดำเนินงานด้านการดูแลรักษาความมั่นคงของข้อมูล ตลอดจนการบริหารจัดการด้านความมั่นคงของข้อมูลภายในองค์กร และการประสานงานทั้งภายในและภายนอกองค์กร 3. Asset management ครอบคลุมเรื่องการจัดทำทะเบียนทรัพย์สิน การจัดจำแนกประเภทของข้อมูลตามระดับความสำคัญ การควบคุมการเข้าถึงข้อมูลแต่ละประเภท และการควบคุมทรัพย์สินด้านสารสนเทศขององค์กร [...]

Overview of ISO 27001 and ISO 27002: The International Standards for Information Security Management [ Part I ]

ISO 27001 และ ISO 27002 คือ มาตรฐานสากลด้านการบริหารความมั่นคงของข้อมูล ซึ่งเน้นความสำคัญที่ “ระบบการบริหารจัดการ” (Management System) โดยมีข้อกำหนดต่างๆ ที่องค์กรพึงปฏิบัติในการรักษาความมั่นคงของข้อมูล เพื่อปกป้องข้อมูล กระบวนการทางธุรกิจ และทรัพย์สินด้านสารสนเทศที่สำคัญให้พ้นจากภัยคุกคาม และความเสี่ยงในรูปแบบต่างๆ รวมถึงกำหนดให้มีการจัดทำแผนรับมือเหตุฉุกเฉินที่อาจเกิดขึ้น เพื่อลดความสูญเสีย และคงไว้ซึ่งความสามารถในการดำเนินธุรกิจได้อย่างต่อเนื่อง ในปัจจุบัน ได้มีการนำมาตรฐานดังกล่าวไปใช้งานกันอย่างแพร่หลายทั่วโลก โดยเฉพาะในประเทศญี่ปุ่น ประเทศอังกฤษ รวมถึงประเทศในแถบยุโรป ซึ่งเป็นที่น่าสนใจว่ามาตรฐาน ISO 27001 กำลังได้รับความนิยมเทียบเท่า หรืออาจจะมากกว่ามาตรฐาน ISO 9001(มาตรฐานเกี่ยวกับระบบการบริหารจัดการคุณภาพ) ก็เป็นได้ ทั้งนี้ เนื่องมาจากการพัฒนาเทคโนโลยีที่ก้าวหน้าอย่างรวดเร็ว และบทบาทของ IT ที่มีต่อการขับเคลื่อนการดำเนินธุรกิจ สำหรับในประเทศไทยเองก็เริ่มมีองค์กรต่างๆ ทั้งภาครัฐและเอกชนให้ความสนใจนำเอามาตรฐานดังกล่าวมาใช้ในการปรับปรุงการบริหารความมั่นคงของข้อมูล และระบบ IT ภายในองค์กร [...]