ISO คืออะไร?

           หากเปรียบเทียบความเลิศรสระหว่างทุเรียนกับมังคุดคงยากที่จะบอกว่าสิ่งใดอร่อยกว่า ถ้าไม่มีการกำหนดเกณฑ์การประเมินให้ชัดเจน การเปรียบเทียบองค์กรก็เช่นกัน องค์กรหรือบริษัทที่มอบคุณค่าให้แก่ลูกค้าในทุกวันนี้ บริษัทใดมีคุณภาพเหนือบริษัทใดก็นับว่าตัดสินกันได้ยากหากไม่มีมาตรฐานกลางมาเป็นเครื่องมือวัด  ISO จึงเปรียบเสมือนตัวแทนของเครื่องมือนั้น

ISO มาจากคำเต็มว่า International Organization for Standardization เป็นองค์กรระหว่างประเทศด้านมาตรฐาน โดยออกมาตรฐานต่าง ๆ ที่เกี่ยวข้องกับธุรกิจหรือองค์กรในระดับสากล ถือกำเนิดอย่างเป็นทางการมาตั้งแต่ปี 1947 มีสมาชิกกว่าร้อยประเทศเข้าร่วมและให้การยอมรับ ที่สำคัญไม่ใช่หน่วยงานจากสังกัดรัฐบาลของประเทศใดประเทศหนึ่ง แต่ ISO มีจุดมุ่งหมายในการสร้างมาตรฐานระหว่างประเทศให้เป็นไปในแนวทางเดียวกันเพื่อพัฒนาองค์กรและเศรษฐกิจ รวมถึงผู้บริโภคอย่างเราๆ ด้วย

มาตรฐาน ISO ที่พบบ่อยในประเทศไทย

           ISO มีมากมายหลายมาตรฐานครอบคลุมทุกประเภทธุรกิจ แต่ละ ISO ก็มีหน้าที่แตกต่างกันไป โดยชื่อเรียกจะขึ้นต้นด้วย ISO และต่อท้ายด้วยตัวเลขเพื่อแยกชนิดของมาตรฐานนั้น ๆ ซึ่งประเภทของ ISO ที่เรามักจะพบเห็นได้บ่อยๆ ในประเทศไทยก็คือ

•            ISO 9000การจัดระบบการบริหารเพื่อประกันคุณภาพ ที่สามารถตรวจสอบได้ โดยผ่านระบบเอกสาร
•            ISO 9001มาตรฐานระบบคุณภาพ ซึ่งกำกับดูแลทั้งการออกแบบ พัฒนาการผลิต การติดตั้ง และการบริการ
•            ISO 9002มาตรฐานระบบคุณภาพ ซึ่งกำกับดูแลเฉพาะการผลิต การติดตั้ง และการบริการ
•            ISO 9003มาตรฐานระบบคุณภาพ ซึ่งกำกับดูแลเรื่องการตรวจ และการทดสอบขั้นสุดท้าย
•            ISO 9004เป็นแนวทางในการบริหารงานคุณภาพเพื่อให้เกิดประสิทธิภาพสูงสุด โดยเป็นข้อแนะนำในการจัดการในระบบคุณภาพ ซึ่งจะมีการกำหนดรายละเอียดปลีกย่อยในแต่ละประเภทธุรกิจ
•            ISO 14000เป็นระบบมาตรฐานระบบการจัดการสิ่งแวดล้อม มุ่งเน้นให้องค์กรมีการพัฒนาปรับปรุงสิ่งแวดล้อม
•            ISO 18000มาตรฐานระบบการจัดการ อาชีวอนามัยและความปลอดภัย
•            และ ISO ที่เริ่มมีบทบาทในยุคดิจิตอลมากยิ่งขึ้นก็คือISO27001 มาตรฐานการจัดการความปลอดภัยของข้อมูล

ISO 27001 คืออะไร

           หากถามว่า ISO 27001 คืออะไร คำอธิบายที่ง่ายที่สุดของมันคือ มาตรฐานของระบบการจัดการความปลอดภัยของข้อมูลที่ประกาศโดย International Organization for Standardization (ISO) ที่มันถูกเรียกว่าเป็นระบบเพราะว่าการทำให้ข้อมูลมีความปลอดภัยไม่ได้ขึ้นอยู่กับอุปกรณ์ใดอุปกรณ์หนึ่งเท่านั้น แต่ยังหมายรวมถึงบุคคลากรผู้ควบคุมดูแล เจ้าขององค์กร พนักงานในองค์กร กฎระเบียบและการลงทุนที่คุ้มค่าด้วย มิเช่นนั้นคงไม่ต่างกับการทุ่มเม็ดเงินมหาศาลเพื่อสร้างค่ายกลชั้นยอดที่สุดท้ายมีไส้ศึกคอยหาช่องโหว่ทำลายมันได้ง่ายๆอยู่ดี ISO27001 จึงเป็นมาตรฐานหนึ่งที่ประกอบด้วยข้อกำหนดหรือแม่แบบสำคัญต่างๆ ของ ISMS

อยากมีเพื่อนเป็น ISO27001 จำเป็นต้องรู้จัก ISMS

           ISMS ย่อมาจาก Information Security Management System เป็นชื่อเรียกของระบบที่ใช้ในการจัดการความปลอดภัยของข้อมูล ประกอบกันขึ้นมาจากนโยบายและวิธีการต่าง ๆ ซึ่งอาจจะเป็นระบบทั่วไปไม่เกี่ยวกับมาตรฐาน ISO หรือนำมาประยุกต์ใช้ให้อยู่ในเกณฑ์เพื่อให้ผ่านมาตรฐาน ISO ก็ได้ เพื่อให้เราอยู่รอดท่ามกลางศัตรูที่มองไม่เห็น (เช่น แฮกเกอร์) ISMS จึงมีบทบาทสำคัญในการผนวกรวมกระบวนการ เทคโนโลยีและคนเข้าไว้ด้วยกัน จุดประสงค์ก็เพื่อใช้ในการปกป้องข้อมูลและจัดการข้อมูลผ่านการประเมินความเสี่ยงเพื่อค้นหาจุดอ่อนขององค์กรในด้านความปลอดภัยของข้อมูล

ISO 27001 สำคัญอย่างไร

           หากองค์กรใดองค์กรหนึ่งหรือแม้แต่ตัวบุคคลก็ตามได้รับการรับรองจาก ISO27001 แล้ว เขาเหล่านั้นสามารถนำ ISO27001 ไปเป็นเครื่องการันตีได้ว่าข้อมูลของพวกเขาจะถูกเก็บรักษาอย่างถูกต้อง เหตุผลที่เป็นเช่นนั้นเพราะหัวใจหลักของ ISO27001 คือ โมเดลที่เรียกกันสั้นๆว่า CIA

           Confidentiality: ข้อมูลเข้าถึงได้เฉพาะผู้ที่มีสิทธิเข้าถึง (ถูกคน)

           Integrity: เฉพาะผู้ที่มีสิทธิจึงสามารถเปลี่ยนแปลข้อมูลนั้นๆ ได้ (ถูกวิธี)

           Availability: สามารถเข้าถึงได้ทุกครั้งที่ต้องการเข้าถึง (ถูกเวลา)

นอกจากนั้น ISO27001 ยังเป็นที่รู้จักกันในระดับสากลราวกับเป็นเหรียญเกียรติยศที่เพิ่มโอกาสทางธุรกิจขององค์ได้เลยทีเดียว

เพราะอะไร ISO 27001 จึงน่าสนใจ

           นอกจากสิ่งที่ ISO27001 ทำได้ทั้ง 3 อย่างตามที่กล่าวข้างต้นแล้ว สิ่งหนึ่งที่น่าสนใจของ ISO27001 คือ มันจะนำเราไปสู่การค้นหาปัญหาที่จะสร้างผลกระทบต่อข้อมูลขององค์กร หรือที่เรียกกันว่า “การประเมินความเสี่ยงของข้อมูล” (Information Security Risk Assessment)  ทำให้เข้าใจว่าหากมีเรื่องไม่คาดฝันเกิดขึ้นกับองค์กร “ข้อมูล” ที่ได้รับผลกระทบจะสร้างวิกฤตการณ์ต่อองค์กรอย่างไร เมื่อรู้ว่าจุดอ่อนขององค์กรอยู่ที่ใด การป้องกันเรื่องไม่คาดฝันนั้นนับเป็นอีกหนึ่งกุญแจสำคัญของ ISO27001 เพราะความเสี่ยงที่ถูกค้นพบนั้นจะไม่มีความหมายอะไรเลย หากเราไม่รู้วิธีการรับมือ เหตุนี้เอง ISO27001 จึงช่วยเป็นแนวทางในการจัดการกับความเสี่ยงในทุกระดับ (Risk Treatment) และสามารถทำออกมาเป็นเอกสาร หรือสื่อการสอนในการจัดการกับความเสี่ยงให้ใช้ได้กับทุกคนในองค์กร

           ISO27001 นั้นมีใช้กันในระดับสากล ส่วนบริษัทในประเทศไทยที่ใช้ ISO27001 ก็มีให้เห็นหลายบริษัท ตัวอย่างเช่น บริษัทยักษ์ใหญ่อย่างบริษัท แอดวานซ์ อินโฟร์ เซอร์วิส จำกัด (มหาชน) หรือ AIS, บริษัทในกลุ่ม ปตท. จำกัด (มหาชน) บริษัทมหาชนเหล่านี้ก็ไม่พลาดที่จะบริหารจัดการข้อมูลในองค์กรด้วยมาตรฐาน ISO27001 ดังนั้นแล้วหากบริษัทเล็กๆสามารถยกระดับการบริหารจัดการข้อมูลให้เทียบเท่าบริษัทยักษ์ใหญ่ได้ ความน่าเชื่อถือจากลูกค้าก็คงมีเพิ่มขึ้นอย่างมีนัยสำคัญ ข้อมูลลูกค้าถูกเก็บไว้อย่างมั่นใจ องค์กรก็บริหารจัดการข้อมูลได้อย่างมีประสิทธิภาพ นำมาซึ่งความยั่งยืนของภาพลักษณ์องค์กรในอนาคต