ปัจจุบัน การคุกคามทางไซเบอร์ต่อธุรกิจและอุตสาหกรรมทั่วโลกมีมากขึ้นและมีความเสี่ยงสูง ดังนั้น จึงองค์กรจึงต้องให้ความสำคัญกับการปกป้องข้อมูลของลูกค้ามากกว่าที่เคยเป็นมาในอดีต ด้วยเหตุนี้ มาตรฐานของไอเอสโอและไออีซี คือ ISO/IEC 27001 จึงได้รับความนิยมอย่างกว้างขวาง นอกจากนี้ ยังมีมาตรฐานใหม่ที่เพิ่งได้รับการตีพิมพ์เผยแพร่ไปเมื่อไม่นานมานี้ ที่จะช่วยให้สามารถนำข้อกำหนดไปปรับใช้ในภาคส่วนต่างๆ ได้เป็นอย่างดี

ทั้งนี้ ด้วยการปกป้องข้อมูลที่ออกแบบมาสำหรับภาคส่วนต่างๆ โดยเฉพาะ เช่น การเงิน การขนส่ง การดูแลสุขภาพ และโครงการที่เป็นโครงสร้างพื้นฐานอย่างเมืองอัจฉริยะ เป็นต้น ซึ่งเมื่อเร็วๆ นี้ ไอเอสโอและไออีซีได้กำหนดมาตรฐาน ISO/IEC 27009 ซึ่งช่วยให้ผู้พัฒนามาตรฐานสามารถจัดเตรียมแนวทางและคำแนะนำที่จำเป็นในการกำหนดมาตรฐานที่สามารถนำไปประยุกต์ใช้กับมาตรฐาน ISO/IEC 27001 ในแต่ละภาคส่วนได้

มาตรฐาน ISO/IEC 27009 เทคโนโลยีสารสนเทศ – เทคนิคด้านความปลอดภัย – การนำไปปรับใช้เฉพาะภาคส่วนของข้อกำหนดตามมาตรฐาน ISO/IEC 27001 (Information technology – Security techniques – Sector-specific application of ISO/IEC 27001 – Requirements) ซึ่งอธิบายว่ามีการรวมเอาข้อกำหนดและการควบคุมเพิ่มเติมไปในมาตรฐาน ISO/IEC 27001 และมีการนำไปประยุกต์ใช้กับภาคส่วนบางภาคเป็นการเฉพาะ ซึ่งทำให้มาตรฐานมีความคงเส้นคงวาหรือเป็นไปในแนวทางเดียวกันเมื่อมีการพัฒนามาตรฐานในกลุ่มเดียวกัน

ศาสตราจารย์เอ็ดเวิร์ด ฮัมฟรีย์ส ผู้ประสานงานของคณะทำงานที่ 1 ของคณะอนุกรรมการที่ 27  ISO/IEC  SC 27/WG 1 ซึ่งเป็นคณะทำงานที่พัฒนามาตรฐานได้กล่าวว่ามาตรฐาน ISO/IEC 27001 เป็นภาษาร่วมกันในระดับระหว่างประเทศสำหรับการจัดการด้านความมั่นคงปลอดภัยของข้อมูลสารสนเทศ ดังนั้น มาตรฐาน ISO/IEC 27009 จะสนับสนุนให้มีภาษาร่วมกันเช่นนี้สำหรับทุกภาคส่วนและเป็นการวางรูปแบบการพัฒนามาตรฐานสำหรับความเป็นส่วนตัวและความมั่นคงปลอดภัยของข้อมูลด้วย

เขากล่าวว่าไอเอสโอได้มีการพัฒนามาตรฐานที่เฉพาะเจาะจงสำหรับภาคส่วน เช่น ISO/IEC 27011 สำหรับเทเลคอม  ISO/IEC 27017 สำหรับคลาวด์คอมพิวติ้ง และ ISO/IEC 27019 สำหรับภาคส่วนพลังงาน มาตรฐานเหล่านี้เป็นตัวอย่างของการควบคุมเพิ่มเติมจากข้อกำหนดที่มีอยู่ใน ISO/IEC 27001ซึ่งได้มีการระบุไว้เพื่อให้ตอบสนองต่อภาคส่วนที่เกี่ยวข้องอย่างเฉพาะเจาะจง

ในการพัฒนามาตรฐานเหล่านี้ จึงเป็นที่ชัดเจนว่าโครงสร้างและภาษาที่มีความสอดคล้องกันซึ่งมีพื้นฐานจากมาตรฐาน ISO/IEC 27001 และแนวทางที่เฉพาะเจาะจงจะทำให้เกิดการพัฒนามาตรฐานเฉพาะภาคส่วนในอนาคตที่มีประสิทธิผลมากขึ้นและหลีกเลี่ยงความซ้ำซ้อน

มาตรฐาน ISO/IEC 27009 จะทำให้มั่นใจได้ว่าการพัฒนามาตรฐานใหม่ซึ่งมีการทบทวนจากมาตรฐานที่มีอยู่เดิมจะทำให้สามารถรับเอาแนวทางที่เป็นไปในทางเดียวกันกับมาตรฐาน ISO/IEC 27001 ดังนั้น มาตรฐานนี้จึงเป็นการแนะนำว่าจะเพิ่มเติมอย่างไร มีการกลั่นกรองและตีความข้อกำหนด ISO/IEC 27001 อย่างไร และจะเพิ่มหรือดัดแปลงการนำไปใช้ของแนวทาง ISO/IEC 27002 สำหรับการใช้ในภาคส่วนที่เฉพาะเจาะจงอย่างไร

ผู้สนใจมาตรฐานดังกล่าวสามารถศึกษาได้จากห้องสมุดสำนักงานมาตรฐานผลิตภัณฑ์อุตสาหกรรมหรือสั่งซื้อจากเว็บไซต์ของไอเอสโอ ISO Store

ที่มา: http://www.iso.org/iso/home/news_index/news_archive/news.htm?refid=Ref2107

Related posts

• ไอเอสโอทบทวนนิยามศัพท์มาตรฐาน ISMS
• เมืองอัจฉริยะเพื่อคุณภาพชีวิตที่ดีขึ้น
• ISO 14024: 2018 มาตรฐานฉลากเขียวฉบับใหม่
• มาตรฐานไอเอสโอส่งเสริมเป้าหมาย COP 25
• ไอเอสโอแนะนำมาตรฐานใหม่ช่วยเรื่อง “การลงทุนสีเขียว”

Tags: Information Technology, ISO27000, ISO27001, ISO27009, IT security, standard, Standardization