26/12/2023 ISO คืออะไร ทำไมมันกลายมาเป็นอาวุธ สำคัญขององค์กร
ISO คืออะไร
หากเปรียบเทียบความเลิศรสระหว่างทุเรียนกับมังคุดคงยากที่จะบอกว่าสิ่งใดอร่อยกว่า ถ้าไม่มีการกำหนดเกณฑ์การประเมินให้ชัดเจน การเปรียบเทียบองค์กรก็เช่นกัน องค์กรหรือบริษัทที่มอบคุณค่าให้แก่ลูกค้าในทุกวันนี้ บริษัทใดมีคุณภาพเหนือบริษัทใดก็นับว่าตัดสินกันได้ยากหากไม่มีมาตรฐานกลางมาเป็นเครื่องมือวัด ISO จึงเปรียบเสมือนตัวแทนของเครื่องมือนั้น
ISO มาจากคำเต็มว่า International Organization for Standardization เป็นองค์กรระหว่างประเทศด้านมาตรฐาน โดยออกมาตรฐานต่าง ๆ ที่เกี่ยวข้องกับธุรกิจหรือองค์กรในระดับสากล ถือกำเนิดอย่างเป็นทางการมาตั้งแต่ปี 1947 มีสมาชิกกว่าร้อยประเทศเข้าร่วมและให้การยอมรับ ที่สำคัญไม่ใช่หน่วยงานจากสังกัดรัฐบาลของประเทศใดประเทศหนึ่ง แต่ ISO มีจุดมุ่งหมายในการสร้างมาตรฐานระหว่างประเทศให้เป็นไปในแนวทางเดียวกันเพื่อพัฒนาองค์กรและเศรษฐกิจ รวมถึงผู้บริโภคอย่างเรา ๆ ด้วย
มาตรฐาน ISO ที่พบบ่อยในประเทศไทย
ISO มีมากมายหลายมาตรฐานครอบคลุมทุกประเภทธุรกิจ แต่ละ ISO ก็มีหน้าที่แตกต่างกันไป โดยชื่อเรียกจะขึ้นต้นด้วย ISO และต่อท้ายด้วยตัวเลขเพื่อแยกชนิดของมาตรฐานนั้น ๆ ซึ่งประเภทของ ISO ที่เรามักจะพบเห็นได้บ่อย ๆ ในประเทศไทยก็คือ
• ISO 9000 การจัดระบบการบริหารเพื่อประกันคุณภาพ ที่สามารถตรวจสอบได้ โดยผ่านระบบเอกสาร
• ISO 9001 มาตรฐานระบบคุณภาพ ซึ่งกำกับดูแลทั้งการออกแบบ พัฒนาการผลิต การติดตั้ง และการบริการ
• ISO 9002 มาตรฐานระบบคุณภาพ ซึ่งกำกับดูแลเฉพาะการผลิต การติดตั้ง และการบริการ
• ISO 9003 มาตรฐานระบบคุณภาพ ซึ่งกำกับดูแลเรื่องการตรวจ และการทดสอบขั้นสุดท้าย
• ISO 9004 เป็นแนวทางในการบริหารงานคุณภาพเพื่อให้เกิดประสิทธิภาพสูงสุด โดยเป็นข้อแนะนำในการจัดการในระบบคุณภาพ ซึ่งจะมีการกำหนดรายละเอียดปลีกย่อยในแต่ละประเภทธุรกิจ
• ISO 14000 เป็นระบบมาตรฐานระบบการจัดการสิ่งแวดล้อม มุ่งเน้นให้องค์กรมีการพัฒนาปรับปรุงสิ่งแวดล้อม
• ISO 18000 มาตรฐานระบบการจัดการ อาชีวอนามัยและความปลอดภัย
• และ ISO ที่เริ่มมีบทบาทในยุคดิจิตอลมากยิ่งขึ้นก็คือ ISO27001 มาตรฐานการจัดการความปลอดภัยของข้อมูล
ความเป็นมาของยุคแห่งข้อมูลข่าวสาร
2005 คือปีที่ VDO ของ Youtube ถูกอัพโหลดขึ้นเป็นครั้งแรก
2004 คือปีที่ Facebook ถือกำเนิดขึ้นบนโลก
1998 คือปีที่ Google เปิดหน้าแรกของประวัติศาสตร์ Search Engine
1994 คือปีที่ Amazon เริ่มก้าวแรกของธุรกิจอย่างเป็นทางการ
ทุกเหตุการณ์ที่กล่าวมาทั้งหมด ล้วนมีบรรพบุรุษเดียวกันทั้งสิ้นนั่นคือ “อินเตอร์เน็ต” เพราะอินเตอร์เน็ตที่เราใช้กันอยู่ทุกวันนั้นเกิดขึ้นจากความต้องการที่จะพัฒนาเทคโนโลยีทางทหารของสหรัฐอเมริกาเมื่อราว ๆ 50 ปีก่อน ซึ่งมันได้เปลี่ยนโฉมหน้าของการก้าวผ่านบันไดวิทยาศาสตร์ของมนุษยชาติไปเสียสิ้น ดังที่เราเห็นในปัจจุบันนี้ ที่เป็นโลกแห่งการติดต่อสื่อสารที่ไร้พรมแดน สามารถเผยแพร่และเข้าถึงข้อมูลที่ต้องการได้ทุกเมื่อ
หากอินเตอร์เน็ตคือบรรพบุรุษฝ่ายแม่ ดิสก์ไดรฟ์ก็คงเป็นบรรพบุรุษฝ่ายพ่อที่ทำให้ทุกสินค้าและบริการบนอินเตอร์เน็ตถูกใช้งานได้อย่างราบรื่นบนพื้นที่หน่วยความจำถาวรที่ปัจจุบันนี้อาจจะเรียกได้ว่ามี “ไม่จำกัด” เพียงคุณมีเครดิตการ์ด พื้นที่ดิสก์ไดรฟ์บนคลาวด์ก็มีให้คุณได้เสมอ
คุณมองข้ามไปหรือไม่กับความปลอดภัยของข้อมูล
โลกไร้พรมแดนทำให้ผู้ใช้งานสะดวกสบายขึ้น การเข้าถึงข้อมูลที่ต้องการก็สามารถทำได้อย่างไม่มีขีดจำกัด การใช้งานสินค้าหรือบริการต่าง ๆ ผ่านระบบออนไลน์ก็ถูกออกแบบให้ง่ายขึ้นตามไปด้วย แต่เราจะแน่ใจได้อย่างไรว่าความสะดวกสบายที่เราได้รับจากบนโลกออนไลน์ทุกวันนี้นั้นได้มีโครงสร้างความปลอดภัยติดมาด้วยหรือไม่ ข้อมูลต่าง ๆ ที่ถูกเก็บขึ้นไปบนโลกไร้พรมแดนใบนั้นได้ถูกจัดการอย่างเรียบร้อย ไม่มีผู้ไม่หวังดี นำข้อมูลของเราไปใช้ประโยชน์จริงๆ หรือไม่
ลองมาดูอย่างง่ายว่าทำไมความปลอดภัยของข้อมูลจึงเป็นสิ่งสำคัญ
หากมีคนมาเปิดอ่านไดอารี่ส่วนตัวของคุณ คุณคงไม่ชอบแน่ หรือถ้าคุณอยากให้มีคนอ่านไดอารี่ของคุณ คุณคงจะหัวเสียไม่น้อยถ้าเขาสามารถปรุงแต่งไดอารี่ของคุณให้เละเทะได้ และถึงแม้ที่กล่าวมาทั้งหมดนั้นจะไม่เกิดขึ้น และเมื่อคุณต้องการจะอ่านไดอารี่ของตัวเอง แต่กลับไม่สามารถอ่านได้ คุณก็คงไม่ปรารถนาเช่นกัน นี่แค่เรื่องของไดอารี่ส่วนตัวเรายังใส่ใจขนาดนี้ หากเป็นข้อมูลของทั้งองค์กรและลูกค้าทั่วทั้งประเทศเราจะนิ่งเฉยได้อย่างไร นี่เองเป็นหลักฐานว่าความปลอดภัยของข้อมูลเป็นสิ่งที่หลาย ๆ คนคำนึง
จัดการข้อมูลอย่างไรถึงจะเหมาะสม
การสร้างกระบวนการเพื่อรักษาความปลอดภัยของข้อมูล ถ้าเล่นกันแบบกำปั้นทุบดินก็ทำให้มันซับซ้อนเข้าไว้ อย่างไรก็ตามต้องแลกมากับทรัพยากรและความลำบากในการเข้าถึง หนทางที่พอจะเป็นแนวทางที่ดีและน่าเชื่อถือที่สุดอย่างหนึ่งคือปฏิบัติตามมาตรฐานที่ได้รับการยอมรับอย่างสากล เพราะมาตรฐานนั้น ๆ ได้รับการศึกษามาดีพอจนค้นพบจุดสมดุลระหว่างความปลอดภัยของข้อมูลและทรัพยกรที่ต้องนำมาใช้ เช่นเดียวกับมาตรฐานความปลอดภัยของข้อมูลที่เรียกว่า ISO 27001
ISO 27001 คืออะไร
หากถามว่า ISO 27001 คืออะไร คำอธิบายที่ง่ายที่สุดของมันคือ มาตรฐานของระบบการจัดการความปลอดภัยของข้อมูลที่ประกาศโดย International Organization for Standardization (ISO) ที่มันถูกเรียกว่าเป็นระบบเพราะว่าการทำให้ข้อมูลมีความปลอดภัยไม่ได้ขึ้นอยู่กับอุปกรณ์ใดอุปกรณ์หนึ่งเท่านั้น แต่ยังหมายรวมถึงบุคลากรผู้ควบคุมดูแล เจ้าขององค์กร พนักงานในองค์กร กฎระเบียบและการลงทุนที่คุ้มค่าด้วย มิเช่นนั้นคงไม่ต่างกับการทุ่มเม็ดเงินมหาศาลเพื่อสร้างค่ายกลชั้นยอดที่สุดท้ายมีไส้ศึกคอยหาช่องโหว่ทำลายมันได้ง่ายอยู่ดี ISO27001 จึงเป็นมาตรฐานหนึ่งที่ประกอบด้วยข้อกำหนดหรือแม่แบบสำคัญต่าง ๆ ของ ISMS
อยากมีเพื่อนเป็น ISO27001 จำเป็นต้องรู้จัก ISMS
ISMS ย่อมาจาก Information Security Management System เป็นชื่อเรียกของระบบที่ใช้ในการจัดการความปลอดภัยของข้อมูล ประกอบกันขึ้นมาจากนโยบายและวิธีการต่าง ๆ ซึ่งอาจจะเป็นระบบทั่วไปไม่เกี่ยวกับมาตรฐาน ISO หรือนำมาประยุกต์ใช้ให้อยู่ในเกณฑ์เพื่อให้ผ่านมาตรฐาน ISO ก็ได้ เพื่อให้เราอยู่รอดท่ามกลางศัตรูที่มองไม่เห็น (เช่น แฮกเกอร์) ISMS จึงมีบทบาทสำคัญในการผนวกรวมกระบวนการ เทคโนโลยีและคนเข้าไว้ด้วยกัน จุดประสงค์ก็เพื่อใช้ในการปกป้องข้อมูลและจัดการข้อมูลผ่านการประเมินความเสี่ยงเพื่อค้นหาจุดอ่อนขององค์กรในด้านความปลอดภัยของข้อมูล
ISO 27001 สำคัญอย่างไร
หากองค์กรใดองค์กรหนึ่งหรือแม้แต่ตัวบุคคลก็ตามได้รับการรับรองจาก ISO27001 แล้ว เขาเหล่านั้นสามารถนำ ISO27001 ไปเป็นเครื่องการันตีได้ว่าข้อมูลของพวกเขาจะถูกเก็บรักษาอย่างถูกต้อง เหตุผลที่เป็นเช่นนั้นเพราะหัวใจหลักของ ISO27001 คือ โมเดลที่เรียกกันสั้น ๆ ว่า CIA
• Confidentiality: ข้อมูลเข้าถึงได้เฉพาะผู้ที่มีสิทธิเข้าถึง (ถูกคน)
• Integrity: เฉพาะผู้ที่มีสิทธิจึงสามารถเปลี่ยนแปลข้อมูลนั้น ๆ ได้ (ถูกวิธี)
• Availability: สามารถเข้าถึงได้ทุกครั้งที่ต้องการเข้าถึง (ถูกเวลา)
นอกจากนั้น ISO27001 ยังเป็นที่รู้จักกันในระดับสากลราวกับเป็นเหรียญเกียรติยศที่เพิ่มโอกาสทางธุรกิจขององค์ได้เลยทีเดียว
เพราะอะไร ISO 27001 จึงน่าสนใจ
นอกจากสิ่งที่ ISO27001 ทำได้ทั้ง 3 อย่างตามที่กล่าวข้างต้นแล้ว สิ่งหนึ่งที่น่าสนใจของ ISO27001 คือ มันจะนำเราไปสู่การค้นหาปัญหาที่จะสร้างผลกระทบต่อข้อมูลขององค์กร หรือที่เรียกกันว่า “การประเมินความเสี่ยงของข้อมูล” (Information Security Risk Assessment) ทำให้เข้าใจว่าหากมีเรื่องไม่คาดฝันเกิดขึ้นกับองค์กร “ข้อมูล” ที่ได้รับผลกระทบจะสร้างวิกฤตการณ์ต่อองค์กรอย่างไร เมื่อรู้ว่าจุดอ่อนขององค์กรอยู่ที่ใด การป้องกันเรื่องไม่คาดฝันนั้นนับเป็นอีกหนึ่งกุญแจสำคัญของ ISO27001 เพราะความเสี่ยงที่ถูกค้นพบนั้นจะไม่มีความหมายอะไรเลย หากเราไม่รู้วิธีการรับมือ เหตุนี้เอง ISO27001 จึงช่วยเป็นแนวทางในการจัดการกับความเสี่ยงในทุกระดับ (Risk Treatment) และสามารถทำออก มาเป็นเอกสาร หรือสื่อการสอนในการจัดการกับความเสี่ยงให้ใช้ได้กับทุกคนในองค์กร
ISO27001 นั้นมีใช้กันในระดับสากล ส่วนบริษัทในประเทศไทยที่ใช้ ISO27001 ก็มีให้เห็นหลายบริษัท ตัวอย่างเช่น บริษัทยักษ์ใหญ่อย่างบริษัท แอดวานซ์ อินโฟร์ เซอร์วิส จำกัด (มหาชน) หรือ AIS, บริษัทในกลุ่ม ปตท. จำกัด (มหาชน) บริษัทมหาชนเหล่านี้ก็ไม่พลาดที่จะบริหารจัดการข้อมูลในองค์กรด้วยมาตรฐาน ISO27001 ดังนั้นแล้วหากบริษัทเล็กๆสามารถยกระดับการบริหารจัดการข้อมูลให้เทียบเท่าบริษัทยักษ์ใหญ่ได้ ความน่าเชื่อถือจากลูกค้าก็คงมีเพิ่มขึ้นอย่างมีนัยสำคัญ ข้อมูลลูกค้าถูกเก็บไว้อย่างมั่นใจ องค์กรก็บริหารจัดการข้อมูลได้อย่างมีประสิทธิภาพ นำมาซึ่งความยั่งยืนของภาพลักษณ์องค์กรในอนาคต
ถึงเวลาของคุณแล้วกับ ISO27001
นับจากนี้ต่อไป มนุษยชาติคงมิอาจแยกตัวเองออกจากอินเตอร์เน็ตได้ ในทางกลับกันจะยิ่งผนวกรวมกันเป็นหนึ่งเดียวมากขึ้นเรื่อย ๆ การรักษามาตรฐานขององค์กรในเรื่องความปลอดภัยของข้อมูลบนมาตรฐาน ISO27001 นับเป็นก้าวสำคัญที่ทำให้องค์กรยืนหยัดอยู่บนถนนสายธุรกิจได้อย่างยั่งยืน แม้ว่าองค์กรของคุณจะไม่ได้เป็นบริษัทเก่าแก่ระดับร้อยปี แต่การมีมาตรฐาน ISO27001 ก็ทำให้คะแนนความน่าเชื่อถือเทียบเท่ากับองค์กรที่เก่าแก่ที่นับเป็นองค์กรรุ่นพี่ รวมถึงทัดเทียมองค์กรยักษ์ใหญ่อย่าง Google Facebook และ Amazon ได้เช่นกัน
เห็นความสำคัญของมาตรฐานการบริหารจัดการข้อมูลองค์กรแล้วทาง Teachme Biz เองก็ไม่พลาดนำมาตรฐาน ISO27001 นี้มาปรับใช้กับองค์กร เพื่อสร้างความภาคภูมิใจต่อองค์กรและสร้างความเชื่อมั่นต่อลูกค้าทุกคนต่อไป