MENU
TH EN
Home / Knowledge : การบริหารและการจัดการ

ISO/IEC 27001 คู่มือระบบการจัดการความมั่นคงปลอดภัยด้านสารสนเทศ (ISMS) 1

Title Thumbnail & Hero Image: แบนเนอร์ ISO27001 เวอร์ชั่น 2022, ที่มา: unichrone.com, วันที่เข้าถึง: 17 พฤศจิกายน 2568.
ISO/IEC 27001 คู่มือระบบการจัดการความมั่นคงปลอดภัยด้านสารสนเทศ (ISMS)  1
First revision: Nov.17, 2025
Last change: Dec.3, 2025
สืบค้น รวบรวม เรียบเรียบ แปล และปริวรรตโดย อภิรักษ์ กาญจนคงคา.
1.
หน้าที่ 1
1. มาตรฐาน ISO/IEC 27001.
  • มีข้อกำหนด (Requirements) สำหรับการจัดตั้งและธำรงรักษาระบบการจัดการความมั่นคงปลอดภัยด้านสารสนเทศ (ISMS).
  • มาตรฐานจะต้องถุกนำมาประยุกต์กับทุกองค์กร ไม่เว้นแม้แต่ขนาด ประเภท หรือลักษณะเฉพาะ ("To be applicable to all organizations, regardless of type, size or nature.")
  • มี 93 การควบคุม.
  •  สอดคล้องกับมาตรฐานระบบการจัดการอื่น ๆ อาทิ ISO/IEC9001 (คุณภาพ) ISO/IEC 14001 (สิ่งแวดล้อม) และ ISO/IEC 22301 (ความต่อเนื่องทางธุรกิจ).

2. ความมั่นคงปลอดภัยด้านสารสนเทศ (Information Security)
  • แนวคิดด้านความมั่นคงปลอดภัยในระบบสารสนเทศนี้ สามารถจำแนกได้ 3 มิติ (CIA) คือ:
    • การรักษาความลับของข้อมูล (Confidentiality)
    • การรักษาความสมบูรณ์ของข้อมูล (Integrity)
    • การรักษาความพร้อมใช้งานของข้อมูล (availability)
 
  • การรักษาความลับของข้อมูล (The preservation of the confidentiality of information)
    • ความลับ (Confidentiality) คือทรัพย์สินที่ข้อมูลจะไม่ถูกเปิดเผยหรือเปิดเผยต่อบุคคล หน่วยงาน หรือกระบวนการที่ไม่ได้รับอนุญาต ข้อมูลที่เป็นความลับอาจรวมถึงข้อมูลส่วนบุคคล แต่ยังรวมถึงข้อมูลประเภทอื่น ๆ เช่น ความลับทางการค้า หรือข้อมูลที่มีความอ่อนไหวต่อการแข่งขัน.
 
  • การรักษาความสมบูรณ์ของข้อมูล (The preservation of the integrity of information)
    • ความสมบูรณ์ของข้อมูล หมายถึง ความถูกต้องและครบถ้วนของข้อมูล คำว่า ความสมบูรณ์ บางครั้งอาจก่อให้เกิดความสับสน เนื่องจากคำนี้อยู่นอกบริบทของความปลอดภัยของข้อมูล กล่าวคือ ในรูปแบบของทรัพย์สินส่วนบุคคล (ซื่อสัตย์ จริงใจ) เราอาจกล่าวได้ว่าข้อมูลที่ "ซื่อสัตย์" หมายถึง ความถูกต้องและครบถ้วน.
    • การสูญเสียความสมบูรณ์ของข้อมูลอาจเกิดขึ้นได้เนื่องจากการป้อนข้อมูล การประมวลผล หรือการนำเสนอข้อมูลที่ไม่ถูกต้อง (ทั้งด้วยตนเองหรืออัตโนมัติ) บุคคลที่มีเจตนาร้ายอาจจงใจทำลายความถูกต้องและครบถ้วนของข้อมูลเพื่อประโยชน์หรือก่อให้เกิดอันตราย หลังจากการกู้คืนข้อมูลจากข้อมูลสำรอง ข้อมูลบางอย่างอาจไม่ถูกต้องและครบถ้วนอีกต่อไป.
 
  • การรักษาความพร้อมใช้ของข้อมูล (Preserving the Availability of Information)
    • เมื่อพูดถึงความปลอดภัยของข้อมูล ประเด็นเรื่องความพร้อมใช้งานมักถูกกล่าวถึงเป็นอันดับสุดท้าย ไม่ใช่เพราะความพร้อมใช้งานของข้อมูลถูกมองว่าไม่สำคัญ แต่เป็นเพราะความพร้อมใช้งานไม่ได้เชื่อมโยงกับความปลอดภัยของข้อมูลโดยตรงเสมอไป การรักษาความพร้อมใช้งานหมายถึงการทำให้ข้อมูลสามารถเข้าถึงได้และใช้งานได้ตามความต้องการโดยหน่วยงานที่ได้รับอนุญาต (องค์กรหรือบุคคลที่ต้องการและอาจมีสิทธิ์เข้าถึงข้อมูล).
    • การสูญเสียความพร้อมใช้งานของข้อมูลอาจเกิดขึ้นชั่วคราวหรือถาวร ซึ่งอาจเกิดจากสาเหตุที่ไม่ตั้งใจ เช่น การดำเนินการที่ไม่ถูกต้อง ความผิดพลาดทางเทคนิค หรือภัยพิบัติทางธรรมชาติ ผู้ที่มีเจตนาไม่ดีสามารถทำลายข้อมูล ทำให้เข้าถึงไม่ได้ หรืออ่านไม่ได้ ระบบสารสนเทศอาจเกิดภาระงานมากเกินไป ใครบางคนอาจตั้งค่าการโจมตีแบบ DDoS เพื่อทำลายระบบสารสนเทศโดยเจตนา สื่อบันทึกข้อมูล เช่น กระดาษ เทป เครื่องเขียน และแฟลชไดรฟ์ อาจสูญเสียข้อมูลเนื่องจากอายุการใช้งาน บางครั้งข้อมูลอาจไม่สามารถใช้งานได้อีกต่อไปเนื่องจากผู้เสียชีวิตเป็นบุคคลเดียวที่รู้รหัสผ่านเฉพาะ.
 

แนวคิดด้านความมั่นคงปลอดภัยในระบบสารสนเทศ, พัฒนาเมื่อ 28 พฤศจิกายน 2568.
1.
2.
 
หน้าที่ 2
มุมมองด้านอื่น ๆ
คุณสมบัติอื่นๆ ที่เกี่ยวข้องกับความปลอดภัยของข้อมูลก็อาจเกี่ยวข้องเช่นกัน เช่น:
  • การไม่ปฏิเสธความรับผิดชอบ (Non-repudiation): หมายถึงความสามารถในการพิสูจน์ว่าเหตุการณ์หรือการกระทำที่อ้างนั้นได้เกิดขึ้นจริง ตัวอย่างเช่น การได้รับลายเซ็นบนใบเสร็จรับเงินเมื่อนำส่งพัสดุไปรษณีย์
  • ความถูกต้อง (Authenticity): หมายถึงคุณสมบัติที่มีรูปร่างอยู่จริง (entity) เป็นไปตามที่อ้าง ตัวอย่างเช่น การใช้ใบรับรองดิจิทัลช่วยให้มั่นใจได้ว่าบุคคลนั้นทราบว่าข้อความมาจากผู้ส่งรายใดรายหนึ่ง (ความถูกต้องของแหล่งที่มา)
  • ความน่าเชื่อถือ (Reliability): หมายถึงคุณสมบัติของพฤติกรรมที่ตั้งใจไว้อย่างสม่ำเสมอและผลลัพธ์ที่สม่ำเสมอ ตัวอย่างเช่น ข้อมูลที่บางครั้งปรากฏอย่างรวดเร็วและบางครั้งปรากฏอย่างช้าๆ บนหน้าจอ หรือข้อมูลที่เนื้อหาเปลี่ยนแปลงอย่างต่อเนื่องโดยไม่ได้ตั้งใจ.
1.
3. ระบบการจัดการ (Management System)
ระบบ
มาตรฐานเริ่มต้นที่บทที่ศูนย์ ในส่วนที่ 0.1 เราจะพบว่ามาตรฐานประกอบด้วยข้อกำหนดสำหรับการจัดตั้ง การดำเนินการ การดูแลรักษา และปรับปรุงระบบการจัดการความปลอดภัยของข้อมูลอย่างต่อเนื่อง.
       ดังที่เราจะเห็นทีละขั้นตอนในบล็อกนี้ ระบบการจัดการความปลอดภัยของข้อมูลเป็นเครื่องมือที่มีประสิทธิภาพในการสร้างและดูแลรักษาความปลอดภัยของข้อมูลของคุณในระดับที่เหมาะสม.
       บทนี้จะประกอบด้วยข้อมูลทั่วไปบางส่วนเพื่อเริ่มต้นการตั้งค่าระบบการจัดการความปลอดภัยของข้อมูลของเราอย่างช้า ๆ .

ISMS
"ISMS" เป็นตัวย่อที่ใช้บ่อยสำหรับระบบการจัดการความปลอดภัยของข้อมูล ตัวย่อ ISMS ยังใช้ในชื่อคู่มือเล่มนี้หรือบล็อกนี้ด้วย.

PDCA
แม้ว่ามาตรฐานจะไม่ได้อ้างอิงถึงวงจรคุณภาพของเดมมิ่ง (the Deming Quality Circle) ซึ่งเป็นวิธีการปรับปรุงที่เป็นที่รู้จักและใช้กันอย่างแพร่หลายทั่วโลก แต่บทต่าง ๆ ของมาตรฐานสามารถเชื่อมโยงกับขั้นตอน วางแผน-ปฏิบัติ-ตรวจสอบ-แก้ไข (Plan-Do-Check-Act) ของแบบจำลองนี้ได้อย่างง่ายดาย.
       ในภาพด้านล่างถัดไป มาตรฐานได้ถูกแปลงเป็นวงจรคุณภาพของเดมมิ่ง ภาพแสดงแบบจำลองที่มีวงกลม PDCA สองวง ได้แก่ วงกลมวงใน (วงสีส้มอ่อน) และวงกลมวงนอก (วงสีเขียวอ่อน) ตัวเลขและชื่อเรื่องอ้างอิงถึงบทและหัวข้อต่าง ๆ ของมาตรฐาน และบทและหัวข้อต่าง ๆ ของบล็อกนี้.
1.
2.
หน้าที่ 3
 
หน้าที่ 4
วงจร PDCA ภายในของโมเดลนี้เกี่ยวข้องโดยตรงกับการจัดการความเสี่ยงด้านความปลอดภัยของข้อมูล. วงจรนี้มีอยู่ในองค์กรส่วนใหญ่อยู่แล้ว มีแผนรับมือกับความเสี่ยงด้านความปลอดภัยของข้อมูล (plan), มาตรการต่าง ๆ ถูกนำมาใช้เพื่อควบคุมความเสี่ยงเหล่านั้น (do), มีการตรวจสอบเพื่อพิจารณาว่ามาตรการต่างๆ มีประสิทธิภาพหรือไม่ (check), และหากไม่เป็นไปตามแผน ก็มีการดำเนินการแก้ไข (act).

       ขั่งน่าเสียดายที่วงในไม่ได้ทำงานได้อย่างมีประสิทธิภาพเสมอไป. การขาดวินัยและการขาดแนวทางที่เป็นระบบ อาจทำให้เกิดอันตรายที่มองไม่เห็นคืบคลานเข้ามาในองค์กร ซึ่งเกิดขึ้นกระทันหันและสร้างความเสียหายอย่างร้ายแรง. ผลที่ตามมาของเรื่องนี้สามารถเห็นได้ทุกวันในรูปแบบของการสูญเสียความลับ ความซื่อสัตย์ และการเข้าถึงข้อมูลในองค์กรจำนวนมาก.

       นั่นคือเหตุผลที่มาตรฐานใช้วงจร PDCA วงที่สอง. วงจรนอกนี้ให้การสนับสนุนวงในในรูปแบบของภาวะผู้นำและการสนับสนุน (Plan - แผน) การวางแผนและการควบคุม (Do - ทำ) การประเมินผลการปฏิบัติงานอย่างเป็นระบบ (Check - ตรวจสอบ) และการปรับปรุงระบบโดยรวมอย่างต่อเนื่อง (Act - แก้ไข) วงจร PDCA ทั้งสองวงสามารถหมุนด้วยความเร็วที่แตกต่างกัน แต่วงจรนอกจะติดต่อกับวงในอย่างสม่ำเสมอ คอยป้อน และติดตามผล.

       ด้วยวิธีนี้ การนำระบบการจัดการความปลอดภัยสารสนเทศมาใช้จึงช่วยปรับปรุงในสองด้าน ได้แก่ การนำกระบวนการอย่างเป็นทางการมาใช้ในการจัดการความเสี่ยงด้านความปลอดภัยสารสนเทศ (วงใน) และการนำกระบวนการสนับสนุนมาใช้โดยรอบ (วงนอก) ทั้งหมดนี้ก่อให้เกิดระบบที่แข็งแกร่งซึ่งใช้กันอย่างแพร่หลายทั่วโลก และยังคงได้รับความนิยมเพิ่มขึ้นอย่างต่อเนื่อง.

       สำหรับการใช้วงใน เราอาจต้องรัดเข็มขัดให้แน่นขึ้นอีกนิด: กระบวนการที่จำเป็นจะต้องได้รับการกำหนดและดำเนินการตามกำหนดเวลา วงนอกมักจะยังปรากฏอยู่ไม่เพียงพอหรือไม่สามารถแสดงให้เห็นได้ชัดเจนเพียงพอ.
1.
2.
หน้าที่ 5
บริบทของ ISO 27001
1.
1.


แหล่งอ้างอิง:
01. จากISO 27001: ISMS Handbook - Implementing and auditing an Information Security Management System in small and medium-sized business: explanation, examples, pitfalls, roadmap., Cees van der Wens, ISBN 9798852486288, Deseo Publishing, 2023.
1.
2.
3.
 
back
humanexcellence.thailand@gmail.com
© HUEXONLINE.COM. All Rights Reserved.
Visit : 6117483