วันนี้ได้รับเกียรติจาก ดร.จริญญา จันทร์ปาน และ ดร.เปรมกมล จันทร์กวีกูล มาพูดคุยกันในเรื่องมาตรฐาน ISO New version จะมีอะไรที่พวกเราต้องอัพเดตกันบ้าง ติดตามรับฟังกันได้เลยครับ
สนใจสามารถติดต่อได้ที่ :Tel : +66(0) 2253-4736 Website : https://www.acisonline.net Tel: +66(0) 2253-4736
ปัจจุบันมีการนำเทคโนโลยีเข้าใช้ภายในองค์กรมากยิ่งขึ้น ไม่ว่าจะเห็นภาครัฐ ภาคเอกชน หรือ แม้แต่โรงพยาบาลซึ่งมีการเก็บข้อมูลส่วนบุคคลเป็นจำนวนมาก ยิ่งเรานำเรื่องพวกนี้มาใช้ ความเสี่ยงก็จะมีผลตามมาด้วย นั้นจึงเป็น
ที่มาที่ว่าสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งขาติ (สกมช.) และ สมาคมเวชสารสนเทศไทย (Thai Medical Informatics Association – TMI) ต้องการยกระดับความปลอดภัยของโรงพยาบาลทุกแห่งในกระทรวงสาธารณสุข โดยให้มีการพัฒนาความมั่นคงปลอดภัยไซเบอร์ตามมาตรฐานระบบ ISO 27001 หรือ HAIT Plusและพัฒนาบุคลากรให้พร้อมรับมือกรณีการโจมตี เพื่อเพิ่มประสิทธิภาพในการให้บริการ และการดูแลสุขภาพ
การปฏิบัติตามมาตรฐาน HAIT Plus จึงเป็นปัจจัยสำคัญที่จะช่วยให้โรงพยาบาลมีความพร้อมในการรับมือกับภัยคุกคามทางไซเบอร์ โดย HAIT Plus นั้นครอบคลุมตั้งแต่
1.การจัดตั้งคณะทำงานด้านความมั่นคงปลอดภัยไซเบอร์ กำหนดบทบาทหน้าที่
2.การจัดทำแผนปฏิบัติการ 3 เดือน เพื่อสร้างระบบรักษาความปลอดภัย
3.การวิเคราะห์ผลกระทบทางธุรกิจ (Business Impact Analysis) เพื่อประเมินความเสี่ยง
4.การกำหนดนโยบาย มาตรฐาน และระเบียบปฏิบัติด้านความมั่นคงปลอดภัยไซเบอร์ และประกาศบังคับใช้ทั่วทั้งองค์กร
5.การอบรมให้ความรู้ และประเมินการรับรู้ เข้าใจ และปฏิบัติตามระเบียบความปลอดภัยของบุคลากร
6.การประเมินช่องโหว่…
ทุกวันนี้ที่มีภัยคุกคามเกิดขึ้นมาอย่างมากมาย ไม่ว่าจะเป็นภัยคุกคามที่ทำให้เกิด Data Breach หรือทำให้ระบบงานมีการที่ผิดปกติต่าง ๆ
การฝึกอบรมพนักงาน เพื่อให้เกิดความเข้าใจและตระหนักรู้ด้านความปลอดภัยของข้อมูล เป็นองค์ประกอบที่สำคัญของ ISO 27001
มาตรฐาน ISO 27001 คือมาตรฐานสากลสำหรับระบบการจัดการความปลอดภัยของข้อมูล Information Security Management Systems ISMS มาตรฐานนี้ให้ต้นแบบสำหรับการประเมินความเสี่ยง
ระบบที่เป็นแนวทางในการจัดการ และปกป้องข้อมูลที่ละเอียดอ่อน เป็นรากฐานของมาตรฐาน และรวมถึงนโยบาย ขั้นตอน และการควบคุมที่องค์กรใช้เพื่อจัดการความเสี่ยงด้านความปลอดภัยของข้อมูล
ดร. จริญญา จันทร์ปาน Chief Innovation Officer และกรรมการบริหารของบริษัท เอซิส โปรเฟสชั่นนัล เซ็นเตอร์ จำกัด ได้มีการจัดสัมมนาในเรื่อง ISO 27001 New version ไปเมื่อปีที่แล้ว โดยเนื้อหาโดยสรุปมีดังนี้
มาตรฐาน ISO 27001 เป็นมาตรฐานที่สร้างขึ้นเพื่อให้องค์กร สามารถบริหารจัดการทางด้านความปลอดภัยสารสนเทศได้อย่างมีระบบ ซึ่งมีการแนะแนวทางและสนับสนุนให้องค์กรเข้าใจความเสี่ยงและจุดอ่อนด้านการคุ้มครองข้อมู
ISO ได้มีการประกาศมาตรฐานใหม่ ISO/IEC 27701:2019 (Privacy Information Management System : PIMS) ซึ่งเป็นส่วนเพิ่มเติมจาก ISO/IEC 27001:2013 (Information Security Management System : ISMS) ทั้งนี้ได้จัดทำขึ้นเพื่อเป็นแนวทางให้องค์กรสามารถบริหารจัดการข้อมูลส่วนบุคคลได้อย่างมีประสิทธิภาพอย่างมั่นคงปลอดภัย และนำไปประยุกต์ใช้เพื่อให้สอดคล้องกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ได้ด้วย ซึ่ง ISO/IEC 27701: 2019 (Privacy Information Management System : PIMS) หรือระบบบริหารจัดการข้อมูลส่วนบุคคล จะมีอะไรที่เพิ่มเติมบ้าง
ISO 27001 จะเน้นไปที่เรื่องของการรักษาความมั่งคงปลอดภัยสำหรับสารสนเทศเป็นหลัก แต่ในส่วนของ ISO 27701 นั้นจะเพิ่มเติมมุมมองในเรื่องของ “Privacy” เข้ามา ไม่ว่าจะเป็น
- ในส่วนของ Clause 5.2 Context of the organization ที่เป็นเนื้อหาเกี่ยวกับการพิจารณาปัจจัยภายใน…