แนะนำประกาศนียบัตรมาตรฐาน ISO 27001 ของค่าย IRCA และ PECB ตัวไหนเหมาะกับคุณ? และทำความรู้จักกับประกาศนียบัตรขั้นสูงสุดของทั้งสองค่าย IRCA Principal Auditor และ PECB Master

ค่าย IRCA
หากจะกล่าวถึงประกาศนียบัตรรับรองความรู้ความสามารถเกี่ยวกับมาตรฐาน ISO 27001 ส่วนมากมักจะนึกถึงประกาศนียบัตร IRCA ISMS Lead Auditor ซึ่งเข้ามาสู่ประเทศไทยก่อนประกาศนียบัตรอื่น โดยประกาศนียบัตร IRCA ISMS Lead Auditor เป็นของสถาบัน IRCA (International Register of Certificated Auditors) ซึ่งเป็นองค์กรกลางที่ให้การรับรองผู้ตรวจสอบ (Auditor) มาตรฐานISO สาขาต่างๆ

หลักสูตร ISMS Lead Auditor ของ IRCA
การจะได้รับประกาศนียบัตร IRCA ISMS Lead Auditor ต้องเข้าอบรมในหลักสูตร ISMS Lead Auditor ที่ได้รับการ Approved จาก IRCA ซึ่งเป็นหลักสูตร 5 วัน พร้อมสอบรับรอง ในกรณีที่สอบผ่าน ผู้เข้าอบรมต้องยื่นประสบการณ์ศึกษา ประสบการณ์ทำงาน และประสบการณ์Audit ไปยัง IRCA เพื่อขอขึ้นทะเบียนเป็น Registered Auditor ซึ่งจะมีระดับขั้น (Auditor Grade) ดังต่อไปนี้

ความต้องการ(Requirements) ระดับขั้น (Auditor Grade)
เข้าอบรมและสอบผ่านในหลักสูตร IRCA ISMS Lead Auditor (accredited course) Certificate of Completion
  • ได้รับ Certificate of Completion ในหลักสูตร IRCA ISMS Lead Auditor
  • สำเร็จการศึกษาอย่างน้อยระดับมัธยมปลาย
  • มีประสบการณ์ทำงานอย่างน้อย 4 ปี หรือ 3 ปีกรณีสำเร็จการศึกษาระดับมหาวิทยาลัย
  • มีประสบการณ์ทำงานด้าน Information Security อย่างน้อย 2 ปี
  • ไม่จำเป็นต้องมีประสบการณ์ Audit
Provisional Auditor
เหมือนความต้องการสำหรับ Provisional Auditor + ประสบการณ์ Audit จำนวน 4 ครั้ง รวมเวลาที่ใช้ในการ Audit ไม่น้อยกว่า 20 วัน (15 วัน ต้องเป็นการ Onsite Audit) Auditor
เหมือนความต้องการสำหรับ Auditor + ประสบการณ์ Audit จำนวน 3ครั้งในฐานะ Lead Auditor รวมเวลาที่ใช้ในการ Audit ไม่น้อยกว่า 15วัน (10วัน ต้องเป็นการ Onsite Audit) Lead Auditor
  • มีประสบการณ์ทำงานด้าน Information Security อย่างน้อย 8ปี
  • ได้รับการรับรองและดำรงฐานะในระดับ Lead Auditor มาเป็นเวลาไม่น้อยกว่า 6 ปี
Principal Auditor

จะเห็นว่าผู้ที่เข้าอบรมในหลักสูตร IRCA ISMS Lead Auditor และสอบผ่าน ไม่ได้หมายความว่าได้เป็น Lead Auditor ในทันที ซึ่งจุดนี้มีผู้เข้าใจผิดกันมาก หากแต่ต้องเข้าอบรม สอบผ่าน มีประสบการณ์ทำงาน และมีประสบการณ์การ Audit จำนวนมากจึงจะได้เป็น Lead Auditor

IRCA Principal Auditor ประกาศนียบัตรขั้นสูงสุดของ IRCA – เทพ Audit!!!
Principal Auditor ถือเป็นประกาศนียบัตรขั้นสูงสุด ของ IRCA ซึ่งออกให้แก่ผู้ที่มีความรู้ความเชี่ยวชาญและมีประสบการณ์ยาวนานเท่านั้น(หรือคิดเทียบได้ว่าต้องมีประสบการณ์ Audit มาตรฐาน ISO 27001 ในฐานะ Lead Auditor มาไม่น้อยกว่า 20 ครั้ง) จากสถิติบนเว็บไซต์ของ IRCA ณ กลางปี 2014มี IRCA ISMS Principal Auditor เพียง 22คนเท่านั้นในโลกและเป็นที่น่ายินดีที่ประเทศไทยของเราก็มี IRCA ISMS Principal Auditor อยู่ 1 คน ซึ่งแสดงให้เห็นถึงความสามารถของคนไทยในเวทีโลก โดย IRCA ISMS Principal Auditor หนึ่งเดียวของประเทศไทยนี้ก็อยู่ในทีมที่ปรึกษาด้าน ISO 27001 ของ ACinfotec

จุดแข็ง-จุดอ่อนของหลักสูตร IRCA

หลักสูตร IRCA ISMS Lead Auditor จะเน้นไปที่การให้ความรู้เกี่ยวกับข้อกำหนดของ ISO 27001 ประมาณ 20% และให้ความรู้เกี่ยวกับเทคนิคการ Audit อีกประมาณ 80% ดังนั้นหลักสูตรนี้จึงเหมาะกับผู้ตรวจสอบ (ทั้ง Internal Auditor และ External Auditor) แต่ไม่เหมาะกับทีม Implement ระบบ ISMS ขององค์กร หรือผู้ที่ต้องการความรู้ด้านการ Implement security controls ต่างๆ

ค่าย PECB

คราวนี้ มาทำความรู้จักกับหลักสูตร ISO 27001 จากค่าย PECB กันบ้าง โดยสถาบัน PECB (Professional Evaluation and Certification Board) ได้รับการก่อตั้งมาตั้งแต่ปี 2005 เพื่อทำหน้าที่เป็น Professional Certification Body โดยให้การรับรองผู้เชี่ยวชาญในสาขาต่างๆ

pecb path

หลักสูตรที่ PECB ให้การรับรองมีมากมายและครอบคลุมมาตรฐานสากลต่างๆ อาทิ ISO 9000, ISO 14000, ISO 27001, ISO 20000, ISO 22301, ISO 31000, ฯลฯ เรียกว่ามากกว่าหลักสูตรของ IRCA ก็ว่าได้ และยังมีการพัฒนาหลักสูตรใหม่ๆ เพิ่มเติมอย่างต่อเนื่อง

ความแตกต่างระหว่าง PECB และ IRCA

หลักสูตรของ PECB มีความแตกต่างที่ชัดเจนมากจาก IRCA ก็คือ PECB จะเป็นผู้พัฒนาและควบคุมคุณภาพของหลักสูตรและเอกสารประกอบหลักสูตรด้วยตนเองทั้งหมด ในขณะที่ IRCA ใช้วิธีการให้ Authorized Training Center ที่ได้รับอนุญาต ทำการพัฒนาหลักสูตรและเอกสารขึ้นเอง จากนั้นจึงนำเสนอต่อ IRCA เพื่ออนุมัติการใช้งานในการเรียนการสอน ประเด็นนี้ก่อให้เกิดความแตกต่างของคุณภาพและเนื้อหาไปตามแต่ละ Training Center กล่าวคือเมื่อผู้เรียนเข้าอบรมหลักสูตร IRCA จากสอง Training Centers ก็จะพบว่าถึงแม้หัวข้อหลักๆ จะอยู่ครบ แต่เนื้อหาในเอกสารประกอบการอบรมก็จะแตกต่างกันในรายละเอียด

PECB Authorized Training Center

แม้ว่า PECB จะควบคุมคุณภาพของหลักสูตรทำให้ไม่ว่าจะเรียนจาก Training Center ใด ก็จะได้รับเอกสารประกอบการอบรมที่เป็นมาตรฐานเดียวกัน แต่ผู้เรียนยังคงต้องพิจารณาเลือกเรียนจาก Training Center ที่ได้รับการรับรองจาก PECB เท่านั้น โดยในประเทศไทยมีเพียงศูนย์ฝึกอบรม ACinfotec Training Center  (ACTC) เพียงรายเดียวเท่านั้นที่ได้รับการแต่งตั้งให้เป็น Authorized Training Center ของ PECB และมีผู้สอนที่ได้รับการรับรองจาก PECB (Authorized Instructors) มากกว่า 10 ท่าน และสามารถเปิดอบรมหลักสูตรของ PECB ได้ทุกหลักสูตร ในขณะที่ศูนย์ฝึกอบรมอื่นๆ จะได้รับการแต่งตั้งในลักษณะ Sub-license หรืออยู่ภายใต้ศูนย์อบรมหรือสถาบันอื่นๆ อีกทอดหนึ่ง ทำให้มีค่าใช้จ่ายในการอบรมสูงกว่า อีกทั้งยังไม่มีผู้สอนที่ได้รับการรับรองโดยตรงจาก PECB อีกด้วย

หลักสูตร ISO 27001 ของ PECB

PECB มีหลักสูตรประกาศนียบัตร ISO 27001 ทั้งสำหรับผู้ที่ต้องการเป็น Auditor (PECB ISO 27001 Lead Auditor) และสำหรับผู้ที่ต้องการ Implement ISO 27001 (PECB ISO 27001 Lead Implementor) โดยหลักสูตรสำหรับ Auditor ของ PECB จะเทียบเท่ากับหลักสูตร Auditor ของ IRCA ดังนั้นในบทความนี้จึงขอเน้นไปที่หลักสูตร PECB Lead Implementor เป็นหลัก

การจะได้รับประกาศนียบัตร PECB ISO 27001 Lead Implementor ต้องเข้าอบรมในหลักสูตร Lead Implementor ที่ได้รับการ Approved จาก PECB  ซึ่งเป็นหลักสูตร 5 วัน พร้อมสอบรับรอง ในกรณีที่สอบผ่าน ผู้เข้าอบรมต้องยื่นประสบการณ์ศึกษา ประสบการณ์ทำงาน และประสบการณ์ที่เกี่ยวข้องกับโครงการ Implement ISO 27001 ไปยัง PECB เพื่อขอขึ้นทะเบียนเป็น Implementor ซึ่งจะมีระดับขั้น (Implementor Grade) ดังต่อไปนี้

 ความต้องการ (Requirements) ระดับขั้น (Credential)
เข้าอบรมและสอบผ่านในหลักสูตร PECB ISO 27001 Lead Implementor (authorized course) Provisional Implementor
  • เข้าอบรมและสอบผ่านในหลักสูตร PECB ISO 27001 Lead Implementor (authorized course)
  • มีประสบการณ์ทำงานอย่างน้อย 2 ปี
  • มีประสบการณ์ทำงานด้าน Information Security อย่างน้อย 1 ปี
  • มีประสบการณ์ Implement ISO 27001 อย่างน้อย 200 ชั่วโมง
Implementor
  • เข้าอบรมและสอบผ่านในหลักสูตร PECB ISO 27001 Lead Implementor (authorized course)
  • มีประสบการณ์ทำงานอย่างน้อย 5 ปี
  • มีประสบการณ์ทำงานด้าน Information Security อย่างน้อย 2 ปี
  • มีประสบการณ์ Implement ISO 27001 อย่างน้อย 300 ชั่วโมง
Lead Implementor

 

PECB ISO 27001 Master ประกาศนียบัตรขั้นสูงสุดของ PECB – เทพ ISO 27001!!!

PECB ISO 27001 Master คือประกาศนียบัตรขั้นสูงสุดของ PECB โดยผู้ที่ต้องการได้รับประกาศนียบัตรในระดับ Master นี้ ต้องได้รับประกาศนียบัตร PECB ISO 27001 Lead Auditor และ PECB ISO 27001 Lead Implementor มาก่อน จึงจะสามารถสมัครขอรับประกาศนียบัตรขั้น Master ได้ โดยผู้ที่ได้รับประกาศนียบัตรในระดับ PECB Master แสดงให้เห็นถึงประสบการณ์อันยาวนาน และความรู้ความเชี่ยวชาญในเชิงลึกเกี่ยวกับมาตรฐาน ISO 27001 ทั้งในด้านการ Audit และ Implement หรือกล่าวได้ว่าเป็นผู้เชี่ยวชาญมาตรฐาน ISO 27001 ระดับสูงสุด

จากข้อมูลของ PECB ณ กลางปี 2014 มี ISO 27001 Master เพียง 10 คนเท่านั้นในโลก โดย 1 ในนั้นเป็น PECB ISO 27001 Master คนแรกและคนเดียวในประเทศไทย ซึ่งอยู่ในทีมที่ปรึกษาด้าน ISO 27001 ของ ACinfotec เช่นกัน

สรุป

หลักสูตรของ IRCA และ PECB ล้วนมีข้อดีของตนเอง ดังนั้นผู้เข้าอบรมควรเลือกเรียนหลักสูตรที่เหมาะสมกับความต้องการในการนำความรู้ที่ได้ไปใช้งานจริง กรณีที่ต้องการนำความรู้ไปใช้ในงาน Audit (ไม่ว่าจะเป็น Internal Audit หรือ External Audit) สามารถเลือกเรียนหลักสูตร Lead Auditor ได้ทั้งของค่าย IRCA และ PECB โดยไม่มีความแตกต่างกันมากนัก แต่หากต้องการนำความรู้ไปใช้ในการ Implement มาตรฐาน ISO 27001 ภายในองค์กร หลักสูตร PECB ISO 27001 Lead Implementor เป็นทางเลือกเดียวที่ดีที่สุดในเวลานี้

หากท่านสนใจหลักสูตรฝึกอบรม IRCA ISMS Lead Auditor  หรือ PECB ISO 27001 Lead Implementor / Auditor  สามารถติดต่อศูนย์ฝึกอบรม ACinfotec Training Center  (ACTC) ได้ที่เบอร์ 02-670-8980-3 หรือ [email protected]