Framework concept
ISMS (Information Security Management System)
ระบบการจัดการความมั่นคงปลอดภัยสารสนเทศที่เป็นระบบ เพื่อให้ข้อมูลที่อ่อนไหวของบริษัทยังคงปลอดภัย ประกอบด้วยนโยบาย กระบวนการ คน และเทคโนโลยี เป็นโครงสร้างที่จำเป็นสำหรับการรับรอง ISO 27001
Information Security Management System (ISMS) คือชุดที่บูรณาการของนโยบาย ขั้นตอน controls และบทบาทที่องค์กรใช้จัดการความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ
ISMS มีองค์ประกอบบังคับ 4 ส่วน:
- Scope และ context — ระบบครอบคลุมอะไร (business units ไหน ข้อมูลแบบไหน infrastructure ไหน) และบริบทกฎหมาย/regulation ที่ดำเนินการอยู่
- Risk assessment และ treatment — วิธีที่เป็นเอกสารในการระบุ ประเมิน และจัดการความเสี่ยง
- Statement of Applicability — list ของ controls ที่เกี่ยวข้องทั้งหมด พร้อมเหตุผลในการรวมหรือไม่รวม
- การปรับปรุงอย่างต่อเนื่อง — internal audits, management reviews, และ corrective actions ตามรอบที่กำหนด
ISO 27001:2022 เป็น ISMS standard ที่ครองตลาดในระดับโลก SOC 2, NIST CSF และ frameworks อื่นๆ ครอบคลุมพื้นที่คล้ายๆ กันแต่เน้นต่างกัน
ความผิดพลาดที่พบบ่อยคือการมอง ISMS ว่าเป็นแฟ้มนโยบาย ISMS ที่จริงคือ operating system — นโยบายคือเอกสารที่ผู้ใช้เห็น ส่วน ISMS จริงๆ คือ practice ที่กำลังรันอยู่ในการ assess risk, operate controls, monitor และ review
Sources
- [1]International Organization for Standardization. ISO/IEC 27001:2022 Information security, cybersecurity and privacy protection — Information security management systems. ISO, 2022. https://www.iso.org/standard/27001