มาตรฐานสำหรับผู้ตรวจประเมินระบบการจัดการความปลอดภัยเทคโนโลยีสารสนเทศ

ความเสียหายที่ได้รับผลกระทบจากภัยทางไซเบอร์นั้นมีนับตั้งแต่เรื่องทั่วไปอย่างการแฉภาพที่ทำให้ดาราหรือคนดังต้องรู้สึกอับอายไปจนถึงการสูญเสีย
บันทึกข้อมูลทางการแพทย์ และการคุกคามเพื่อเรียกค่าไถ่ซึ่งโจมตีองค์กรยักษ์ใหญ่ต่างๆ

ในเมื่อข้อมูลขององค์กรประกอบไปด้วยข้อมูลสารสนเทศส่วนบุคคล ไม่ว่าจะเป็นข้อมูลทางการแพทย์หรือการเงิน บริษัทจึงจำเป็นต้องมีข้อบังคับทั้งในเชิงกฎหมายและจริยธรรมเพื่อให้ข้อมูลปลอดภัยจากอาชญากรรมทางไซเบอร์   ดังนั้น มาตรฐานชุด ISO/IEC 27000  จึงเกิดขึ้นเพื่อช่วยให้องค์กรสามารถจัดการกับความมั่นคงปลอดภัยของทรัพย์สิน เช่น ข้อมูลทางการเงิน ทรัพย์สินทางปัญญา ข้อมูลลูกจ้างหรือข้อมูลที่องค์กรได้ดำเนินไปเพื่อลูกจ้างและ
ได้รับการรับรองจากบุคคลที่สาม เป็นต้น

ISO/IEC 27001 เป็นมาตรฐานที่เป็นที่รู้จักกันดีที่สุดในกลุ่มมาตรฐานที่เป็นข้อกำหนดสำหรับระบบการจัดการความมั่นคงปลอดภัยด้านสารสนเทศ (Information Security Management System: ISMS) ซึ่งองค์กรต่างๆ สามารถขอรับการรับรองได้ตามความสมัครใจ

สำหรับคนที่มีหน้าที่รับผิดชอบในการตรวจประเมินบริษัท มาตรฐานดังกล่าวอาจเป็นกระบวนการที่ซับซ้อน การเตรียมความพร้อมสำหรับการตรวจประเมิน
จึงจำเป็นต้องมีการเตรียมตัวและใส่ใจในรายละเอียด  ซึ่งมาตรฐาน ISO/IEC 27007 Information technology —Security techniques — Guidelines for information security management systems จะช่วยในเรื่องการตรวจประเมินให้มีความแม่นยำ และยังช่วยให้ทั้งผู้ตรวจประเมินและผู้ได้รับการตรวจประเมินมีแนวทางการเตรียมตัวที่ชัดเจน

มาตรฐานดังกล่าวได้รับการตีพิมพ์เผยแพร่ครั้งแรกเมื่อปีพ.ศ. 2554 (ค.ศ. 2011) และได้รับการปรับปรุงให้สอดคล้องกับมาตรฐาน ISO/IEC 27001: 2013

มาตรฐานนี้เป็นการจัดเตรียมแนวทางการตรวจประเมินระบบการจัดการด้านความมั่นคงปลอดภัยด้านสารสนเทศ ซึ่งเป็นปฏิบัติการตรวจประเมินระบบ
ที่มีความสอดคล้องกับ ISO/IEC 27001และความสามารถและการประเมินของผู้ตรวจประเมินระบบ ISMS

นอกจากนี้ มาตรฐานนี้ยังเป็นการเตรียมแนวทางสำหรับการตรวจประเมินข้อกำหนดทั้งหมดที่ระบุใน ISO/IEC 27001 ซึ่งตั้งใจใช้ร่วมกับแนวทางที่อยู่
ในมาตรฐาน ISO 19011: 2011 และเป็นไปตามโครงสร้างมาตรฐานของไอเอสโอ

ที่มา: https://www.iso.org/news/ref2232.html