มาตรฐาน ISO 27001 เป็นมาตรฐานที่สร้างขึ้นเพื่อให้องค์กร สามารถบริหารจัดการทางด้านความปลอดภัยสารสนเทศได้อย่างมีระบบ ซึ่งมีการแนะแนวทางและสนับสนุนให้องค์กรเข้าใจความเสี่ยงและจุดอ่อนด้านการคุ้มครองข้อมู
จากข้อมูลรายงานด้านความปลอดภัยคอมพิวเตอร์ที่นำเสนอโดยผู้เชี่ยวชาญด้านอาชญากรรมคอมพิวเตอร์ทั่วโลก พบว่า ปัญหาเรื่องการเพิ่มขึ้นของจำนวนอาชญากรรมที่เกี่ยวข้องกับการใช้คอมพิวเตอร์และอินเทอร์เน็ตมีอัตราการเพิ่มขึ้นอย่างต่อเนื่อง
จากฉบับที่แล้วผมได้กล่าวถึงขั้นตอนในการจัดการกับความเสี่ยงของระบบ (Risk Assessment) ซึ่งมีทั้งหมด 6 ขั้นตอน ขั้นตอนที่หนึ่งกล่าวถึง “Inventory Definition and Requirement” และขั้นตอนที่สองเป็นเรื่องของ “Vulnerability and Threat Assessment” ในฉบับนี้ผมขอต่อใน ขั้นตอนที่สาม
“Security” ของระบบ IT นั้น ดูเหมือนว่าคำจำกัดความจะมีความหมายค่อนข้างลึกซึ้ง เพราะ “Security” ไม่ได้เป็นแค่ Product เช่น การติดตั้ง Firewall และ IDS (Intrusion Detection System) แล้วจบ แต่ “Security” เป็น “Ongoing Process” หมายถึงต้องทำเป็นระบบและทำอย่างต่อเนื่องไม่มีวันจบ