ในโลกที่มีการขับเคลื่อนด้วยเทคโนโลยีและการเชื่อมโยงถึงกันด้วยความเร็วสูง การละเมิดข้อมูลและการจู่โจมทางไซเบอร์ยังคงเป็นการจู่โจมที่มีนัยสำคัญต่อองค์กร และการขาดความตระหนักในเรื่องของความเสี่ยงก็ยังคงเป็นสิ่งที่ต้องถูกตำหนิ มาตรฐานที่ได้รับการทบทวนใหม่จึงเป็นสิ่งทีจะช่วยแก้ไขในเรื่องดังกล่าวได้

การปกป้องความปกป้องความมั่นคงปลอดภัยของข้อมูล ไม่ว่าจะเป็นเรื่องที่อ่อนไหวทางการค้าหรือไม่ หรือเป็นรายละเอียดส่วนบุคคลของลูกค้า ทั้งหมดนี้ เป็นสิ่งที่ต้องทำภายใต้การดูแลให้ความสำคัญอย่างใกล้ชิด

การออกระเบียบใหม่อย่างกฎของยุโรป เช่น GDPR  หมายความว่าองค์กรที่อยู่ภายใต้แรงกดดันจะมั่นใจว่าข้อมูลมีความมั่นคงปลอดภัย แต่เทคโนโลยีและกระบวนการที่เหมาะสมมากที่สุดอาจจะส่งผลให้เกิดปัญหาตามมาก็เป็นได้ ดังนั้น มาตรฐานที่มีการทบทวนขึ้นมาใหม่ คือ ISO/IEC 27005: 2018, Information technology – Security techniques – Information security risk management จึงเป็นมาตรฐานที่จัดเตรียมให้องค์กรมีวิธีการในการจัดเตรียมกรอบการดำเนินงานในการจัดการความเสี่ยงได้อย่างมีประสิทธิภาพ

ISO/IEC 27005: 2018 เป็นเอกสารที่ใช้สนับสนุนแนวคิดของมาตรฐาน ISO/IEC 27001: 2013 (ข้อกำหนดสำหรับการบริหารจัดการความมั่นคงปลอดภัยของของข้อมูล หรือ ISMS) ซึ่ง ISO/IEC 27005 ได้มีการปรับปรุงเมื่อเร็วๆ นี้ เพื่อสะท้อนถึงมาตรฐานฉบับใหม่ของ ISO/IEC 27001: 2013 และทำให้มั่นใจได้ว่ามาตรฐานนี้จะทำให้ตอบสนองความต้องการขององค์กรในปัจจุบัน

มาตรฐานนี้ให้แนวทางของการบริหารจัดการความเสี่ยงในรายละเอียดเพื่อช่วยให้ตอบสนองข้อกำหนดที่เกี่ยวข้องตามที่ระบุไว้ในมาตรฐาน ISO/IEC 27001 ทำให้สามารถนำไปใช้งาน รักษาไว้ซึ่งมาตรฐานและปรับปรุงระบบการจัดการด้านความปลอดภัยของข้อมูลอย่างต่อเนื่องซึ่งเหมาะกับบริบทขององค์กรนั้นๆ

เอ็ดเวิร์ด ฮัมฟรีย์ ผู้ประสานงานของกลุ่มงานที่พัฒนามาตรฐาน ISO/IEC 27001 และ ISO/IEC 27005 กล่าวถึงมาตรฐานที่ได้รับการปรับปรุงนั้นเป็นเครื่องมือสำคัญในสิ่งที่เรียกว่า “cyber-risk toolbox”

มาตรฐาน ISO/IEC 27005 จัดเตรียมคำถามที่ว่า “ทำไม อะไร และอย่างไร” ให้กับองค์กรเพื่อให้สามารถจัดการความเสี่ยงด้านความมั่นคงปลอดภัยอย่างมีประสิทธิผลโดยมีความสอดคล้องกับมาตรฐาน ISO/IEC 27001 เขากล่าวว่ามาตรฐานนี้ยังช่วยแสดงให้เห็นว่าลูกค้าขององค์กรหรือผู้มีส่วนได้ส่วนเสียมีความมั่นใจที่จะดำเนินธุรกิจร่วมกันเนื่องจากมีการจัดเตรียมความพร้อมซึ่งให้ความสำคัญกับกระบวนการจัดการความเสี่ยงเป็นอย่างดี

มาตรฐาน ISO/IEC 27005 เป็นหนึ่งในชุดมาตรฐานหลายมาตรฐานที่ประกอบกันเป็นเครื่องมือความเสี่ยงด้านไซเบอร์ ซึ่งนำโดยมาตรฐานที่เป็นหลักคือ ISO/IEC 27005, Information technology – Security techniques – Information security management systems – Requirements ส่วนมาตรฐานอื่นๆ รวมถึงการปกป้องข้อมูลเรื่องความมั่นคงปลอดภัยของข้อมูลบนคลาวด์ในภาคส่วนเทเลคอมและความมั่นคงปลอดภัยด้านไซเบอร์ การประเมิน ISMS และอื่นๆ

มาตรฐาน ISO/IEC 27005 ได้รับการพัฒนาโดยคณะทำงานที่ 1 Information security management systems of technical committee ISO/IEC JTC 1, Information technology คณะอนุกรรมการ  SC 27, IT Security technique โดยมีเลขานุการคือสถาบันมาตรฐานแห่งชาติของประเทศเยอรมัน

ผู้สนใจมาตรฐานดังกล่าวสามารถศึกษาได้จากห้องสมุดของสำนักงานมาตรฐานผลิตภัณฑ์อุตสาหกรรมหรือสั่งซื้อจากเว็บไซต์ของไอเอสโอ ISO Store

https://www.iso.org/news/ref2309.html

Related posts

• การจัดลำดับการบริหารความเสี่ยงด้านไอทีในปี 2013 ตอนที่ 1
• ไอเอสโอสู้ภัยแผ่นดินไหว กำหนดมาตรฐาน ISO 16711
• ไอเอสโอยกระดับมาตรฐานเข็มฉีดยา ตอนที่ 2
• อุตสาหกรรมไวน์สร้างอนาคตด้วยมาตรฐาน ISO 26000 ตอนที่ 2
• ปกป้องผู้บริโภคที่เปราะบางด้วยมาตรฐานใหม่ ISO 22458 ตอนที่ 1

Tags: IT, Quality, Standardization