ในบทความตอนสุดท้ายนี้มีเนื้อหากล่าวถึงการออกใบรับรอง ทั้งในแง่การรับรองความมีมาตรฐานขององค์กร และในแง่การรับรองความรู้ ความสามารถของบุคคล รวมถึง แนวโน้มการประยุกต์ใช้มาตรฐาน ISO 27001 ทั้งในประเทศไทย และทั่วโลก

 

การออกใบรับรอง (Certification)

ในแง่ขององค์กร (Organization Certification)

การออกใบรับรอง (Certification) เป็นวิธีหนึ่งที่จะสามารถรับรองได้ว่าองค์กรมีระบบบริหารความมั่นคงของข้อมูล (ISMS) ที่มีประสิทธิภาพ แต่การที่จะจัดทำระบบ ISMS จนถึงขั้นได้รับการรับรองนั้น ก็จะมีต้นทุนที่สูงพอสมควร ทั้งนี้ ขึ้นอยู่กับนโยบาย ความมุ่งมั่นของผู้บริหาร และความจำเป็นของแต่ละองค์กร

อย่างไรก็ตาม ถึงแม้ว่าองค์กรอาจจะไม่ได้มีความจำเป็นในการจัดทำระบบเพื่อให้ได้รับการรับรอง (Certification) แต่การนำแนวคิดของระบบ ISMS และหัวข้อการควบคุมที่กำหนดไว้ในมาตรฐาน ISO 27001 และ ISO 27002 ไปประยุกต์ใช้เพียงบางส่วน เพื่อปกป้องข้อมูลและระบบคอมพิวเตอร์ขององค์กรนั้น ก็มีประโยชน์ต่อองค์กรเป็นอย่างมาก โดยเฉพาะอย่างยิ่ง ต้นทุนของการดำเนินการเพื่อป้องกัน (Preventive) นั้น ย่อมน้อยกว่าและเทียบไม่ได้กับความเสียหายที่อาจเกิดขึ้น หรือต้นทุนที่ต้องใช้ในการแก้ปัญหาที่เกิดขึ้นแล้ว (Reactive)

สำหรับวิธีการยื่นขอใบรับรอง (Certification) ให้กับระบบบริหารความมั่นคงของข้อมูล (ISMS) นั้น จะมีขั้นตอนเหมือนกันกับการยื่นขอใบรับรองของระบบ ISO อื่นๆ โดยต้องเริ่มจากการเลือกองค์กรที่จะเข้ามาทำการตรวจรับรองระบบ ซึ่งจะต้องเป็นองค์กรที่ได้รับการขึ้นทะเบียนอย่างถูกต้อง (Accredited) หลังจากนั้นจะต้องทำการกำหนดขอบเขตของระบบที่จะตรวจรับรอง เพื่อการวางแผนและดำเนินการตรวจรับรองอย่างมีประสิทธิภาพ ซึ่งเมื่อองค์กรได้รับการรับรอง ระบบ ISMS แล้วจะต้องได้รับการตรวจติดตามซ้ำ (Surveillance audit) ทุกๆ 6 เดือน หรือ 1 ปี และทำการตรวจรับรองทั้งระบบใหม่ทั้งหมด (Re-Certification audit) ทุกๆ 3 ปี

 

ในแง่ของบุคคล (Individual Certification)

เป็นการออกใบรับรอง (Auditor Certification) ให้กับบุคคลผู้ที่จะทำการตรวจรับรองระบบ (Auditor) เพื่อให้สามารถมั่นใจได้ว่าบุคคลผู้นั้นมีความรู้ ความชำนาญในระบบ ISMS และมีคุณสมบัติ เพียงพอที่จะดำเนินการตรวจสอบระบบ ISMS ได้ โดยองค์กรสากลที่ทำหน้าที่ควบคุม การออกใบรับรองให้กับผู้ตรวจสอบระบบ ก็คือ International Register of Certificated Auditors (IRCA) สำหรับคุณสมบัติของผู้ที่จะสามารถยื่นขอใบรับรอง (Auditor Certification)จาก IRCA ได้นั้นจะต้องผ่านการอบรมและการสอบในหลักสูตร ISO 27001 and ISO 27002 Information Security Management Systems Lead Auditor Training Course ที่ได้รับการ รับรองจาก IRCA ซึ่งมีการจัดอบรมอยู่ในหลายๆ ประเทศทั่วโลก รวมทั้งในประเทศไทยด้วย พร้อมวุฒิการศึกษาขั้นต่ำในระดับปริญญาหรืออนุปริญญา และมีประสบการณ์อย่างน้อย 4 ปี

 

การประยุกต์ใช้มาตรฐาน ISO 27001 ในประเทศไทยและในระดับโลก

ในระดับโลก มาตรฐาน ISO 27001 ได้รับความนิยมอย่างสูง ดังจะเห็นได้จากจำนวนองค์กรที่ได้รับประกาศนียบัตรรับรองระบบ (ISO 27001 Certificate) เป็นจำนวนมากกว่า 5,000แห่งในทุกทวีป อีกทั้ง ยังมีองค์กรที่นำมาตรฐาน ISO 27001 มาใช้เป็นแนวทางในการบริหารจัดการความมั่นคงปลอดภัยของสารสนเทศภายในองค์กรของตนเองโดยไม่ได้ขอรับรองระบบอีกนับไม่ถ้วน

สำหรับประเทศไทย มาตรฐาน ISO 27001 ก็เริ่มเข้ามามีบทบาทสำคัญ โดยภาครัฐได้ให้การสนับสนุนอย่างจริงจังผ่านวิธีการต่างๆ อาทิเช่น การนำมาตรฐานมาแปลเป็นภาษาไทย และแนะนำให้หน่วยงานที่มีภารกิจเกี่ยวข้องกับโครงสร้างพื้นฐานของประเทศนำเอามาตรฐานISO 27001 มาปฏิบัติใช้ในองค์กร ในขณะเดียวกันกระทรวงการคลัง ก็ได้กำหนดให้มีการตรวจประเมินรัฐวิสาหกิจหลักของประเทศในการจัดทำมาตรฐานดังกล่าว ซึ่งมีกรอบระยะเวลาที่ชัดเจนว่าต้องได้รับการรับรองภายในปี 2554 และประเด็นที่สำคัญที่สุดก็คือ มีการนำมาตรฐาน ISO 27001 ไปใช้เป็นรากฐานในการพัฒนากฎหมายธุรกรรมทางอิเล็กทรอนิกส์ และกฎหมายด้านICT ของประเทศหลายๆ ฉบับ ได้แก่ พรฎ. กำหนดหลักเกณฑ์และวิธีการในการทำธุรกรรมทางอิเล็กทรอนิกส์ภาครัฐ พ.ศ. 2549 พรบ. ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ.2550 รวมถึง (ร่าง) พรฎ. กำหนดวิธีการแบบ(มั่นคง)ปลอดภัยในการประกอบธุรกรรมทางอิเล็กทรอนิกส์ เป็นต้น

จากปัจจัยทั้งหลายข้างต้น ทำให้การประยุกต์ใช้มาตรฐาน ISO 27001 กลายเป็นส่วนหนึ่งในแผนแม่บทด้านสารสนเทศของหลายๆ องค์กรในทุกประเภทธุรกิจ เพื่อยกระดับการบริหารความมั่นคงปลอดภัยด้านสารสนเทศภายในองค์กรเอง รวมถึงสร้างความเชื่อมั่นให้กับลูกค้า คู่ค้า นักลงทุน ตลอดจนช่วยสร้างความมั่นใจว่าองค์กรจะสามารถปฏิบัติภารกิจได้อย่างถูกต้องตามกฎหมายและมีความมั่นคงปลอดภัย

 

การจัดทำระบบ ISMS ตามข้อกำหนดของมาตรฐาน ISO 27001

จะช่วยให้องค์กรสามารถปฏิบัติงานได้อย่างถูกต้องตามกฎหมาย     

เนื่องจากกฎหมายหลายฉบับได้รับการจัดทำขึ้นโดยอ้างอิงจาก

ข้อกำหนดของมาตรฐาน ISO 27001

เช่น (ร่าง) พรฎ. กำหนดวิธีการแบบ(มั่นคง)ปลอดภัยในการประกอบธุรกรรมทางอิเล็กทรอนิกส์ เป็นต้น