MENU
TH EN

อนุกรมระบบคุณภาพด้านระบบการจัดการด้านความปลอดภัยของสารสนเทศ (ISO/IEC 27000 - Series)

อนุกรมระบบคุณภาพด้านระบบการจัดการด้านความปลอดภัยของสารสนเทศ (ISMS) : ISO/IEC 27000 - series
First revision: Feb.06, 2020
Last change: Feb.18, 2020

     อนุกรมระบบคุณภาพ ISO/IEC 27000 นี้ (เป็นที่รู้จักกันดีในฐานะที่เป็นกลุ่มหรือตระกูลด้านคุณภาพ ISMS -Information security management system หรือที่เรียกกันสั้น ๆ ว่า ไอเอสโอยี่สิบเจ็ดเค ISO27K) ประกอบด้วยมาตรฐานต่าง ๆ ด้านความปลอดภัยของสารสนเทศ ที่จัดตั้งขึ้นภายใต้การร่วมประสานโดย ไอเอสโอ (International Organization for Standardization -ISO) และไออีซี (International Electrotechnical Commission - IEC) 
 

     กลุ่มอนุกรมนี้ ได้ให้ข้อแนะต่าง ๆ ในแนวปฏิบัติที่ดีเกี่ยวกับการจัดการด้านความมั่นคงปลอดภัยของสารสนเทศ การจัดการที่เกี่ยวกับความเสี่ยงต่าง ๆ ของข้อมูลผ่านการควบคุมความปลอดภัยของสารสนเทศต่าง ๆ - ภายในบริบทของระบบการจัดการด้านความปลอดภัยของสารสนเทศ (Information security management system-ISMS), คล้ายกับการออกแบบสู่ระบบการจัดการต่าง ๆ สำหรับการประกันคุณภาพ (อนุกรม ISO 9000), การป้องกันด้านสิ่งแวดล้อม (อนุกรม ISO 14000) และระบบการจัดการต่าง ๆ 
     อนุกรมนี้ มีเจตนาจัดวางขอบเขตไว้กว้าง,  ครอบคลุมมากกว่าความประเด็นด้านความเป็นส่วนตัว (privacy), ความลับ และสารสนเทศ/เทคนิค/ไซเบอร์ซิคูริตี้. สามารถประยุกต์ได้ทุกขนาดองค์กร. ทุกองค์กรจะได้รับการกระตุ้นให้ประเมินความเสี่ยงด้านสารสนเทศต่าง ๆ . กลุ่มอนุกรมด้านการจัดการความมั่นคงปลอดภัยด้านสารสนเทศนี้นั้น เป็นไปตามความต้องการ ใช้คำแนะนำ และข้อเสนอแนะที่เกี่ยวข้อง. และด้วยความปลอดภัยของสารสนเทศที่เป็นพลวัต, แนวคิด ISMS มีการตอบกลับอย่างต่อเนื่อง และมีกิจกรรมปรับปรุงเพื่อตอบสนองต่อการเปลี่ยนแปลง เห็นถึงภัยคุกคุกคาม ช่องโหว่ หรือผลกระทบของเหตุการณ์

     มาตรฐานที่ได้ตีพิมพ์เผยแพร่
     การตีพิมพ์มาตรฐาน ISO27K นั้น มีความสัมพันธ์เชื่อมโยงกับ "เทคโนโลยีสารสนเทศ - เทคนิคด้านความปลอดภัย Information technology - security techniques" ประกอบด้วย:
  1. ISO/IEC 27000 - ระบบการจัดการความปลอดภัยด้านสารสนเทศ - ภาพรวมและคำศัพท์ (Information security management systems - Overview and vocabulary)
  2. ISO/IEC 27001 -เทคโนโลยีสารสนเทศ - เทคนิคด้านความปลอดภัย - ข้อกำหนด - ระบบการจัดการความปลอดภัยด้านสารสนเทศ (Information technology - Security Techniques - Information security management systems - Requirements. The 2013 release of the standard specifies an information security management system in the same formalized, structured, and concise manner as other ISO standards specify other kinds of management systems.)
  3. ISO/IEC 27002 - แนวปฏิบัติสำหรับการควบคุมความปลอดภัยด้านสารสนเทศ (Code of practice for information security controls - virtually a detailed catalog of information security controls that might be managed through the ISMS.)
  4. ISO/IEC 27003 - ข้อแนะนำการปฏิบัติเกี่ยวกับระบบการจัดการความปลอดภัยด้านสารสนเทศ (Information security management system implementation guidance.)
  5. ISO/IEC 27004 - การจัดการความมั่นคงปลอดภัยด้านสารสนเทศ - การติดตาม, การวัดค่า, การวิเคราะห์, และการประเมิน (Information security management - Monitoring, measurement, analysis, and evaluation.)
  6. ISO/IEC 27005 - การจัดการความเสี่ยงด้านความปลอดภัยของสารนสนเทศ (Information security risk management.)
  7. ISO/IEC 27006 - ข้อกำหนดต่าง ๆ สำหรับการจัดวางการตรวจสอบ และการรับรองสำหรับระบบการจัดการด้านความปลอดภัยของสารสนเทศ (Requirements for bodies providing audit and certification of information security management systems.)
  8. ISO/IEC 27007 - แนวทางสำหรับการตรวจสอบระบบการจัดการด้านความปลอดภัยของสารสนเทศ (โดยเน้นการตรวจสอบระบบการจัดการ) (Guidelines for information security management systems auditing (focused on auditing the management system).)



ภาพรวมและคำศัพท์ (Overview and Vocabulary)
  • ISMS = Information Security Management System 
  • องค์กร ISO มีการประชุมผู้เชี่ยวชาญเพื่อพัฒนามาตรฐานต่าง ๆ ในตระกูล ISMS ขึ้นมา
  • พัฒนาและกรอบแนวปฏิบัติ สำหรับ Managing the security of their information assets, including financial information, intellectual property, and employee details, or information entrusted to them by customers or third parties.

Terms
  1. access control
  2. attack = attempt to destroy, expose, alter, disable, steal, or gain unauthorized access to or make unauthorized use of an asset.
  3. audit
  4. audit scope
  5. authentication
  6. authenticity
  7. availability
  8. base measure
  9. competence
  10. confidentiality
  11. conformity
  12. consequence
  13. continual improvement
  14. control = measure that is modifying risk (1...Controls include any process, policy, device, practice, or other actions that modify risk. 2... It is possible that controls not always exert the intended or assumed modifying effect.
  15. control objective
  16. correction = action to eliminate a detected nonconformity
  17. corrective action = action to eliminate the cause of nonconformity and to prevent a recurrence
  18. derived measure
  19. documented information
  20. effectiveness 
  21. event
  22. external context
  23. governance of information security = system by which an organization's information security activities are directed and controlled.
  24. governing body
  25. indicator
  26. information need
  27. information processing facilities
  28. information security = preservation of confidentiality, integrity, and availability of information (In addition, other properties, such as authenticity, accountability, non-repudiation, and reliability can also be involved.
  29. information security continuity
  30. information security event
  31. information security incident
  32. information security incident management
  33. information security management system (ISMS) professional
  34. information-sharing community
  35. information system
  36. integrity = property of accuracy and completeness
  37. interested party/stakeholder
  38. internal context
  39. level of risk
  40. likelihood = chance of something happening
  41. management system
  42. measure
  43. measurement
  44. measurement function
  45. measurement method
  46. monitoring
  47. nonconformity
  48. non-repudiation = ability to prove the occurrence of a claimed event or action and its originating entities.
  49. Objective = result to be achieved
  50. organization
  51. outsource
  52. performance = measurable result
  53. policy = intentions and direction of an organization, as formally expressed by its top management
  54. process = set of interrelated or interacting activities which transforms inputs into outputs
  55. reliability = property of consistent intended behavior and results
  56. requirement
  57. residual risk = risk remaining after risk treatment (Residual risk can contain unidentified risk, Residual risk can also be referred to as "retained risk")
  58. review
  59. review object
  60. review objective
  61. risk




 

 
 
info@huexonline.com