You are here: Home » แนวทางการ upgrade ISO 27001:2005 สู่เวอร์ชั่นใหม่ ISO 27001:2013

แนวทางการ upgrade ISO 27001:2005 สู่เวอร์ชั่นใหม่ ISO 27001:2013

Posted by pryn on วันพุธที่ 26 พฤศจิกายน พ.ศ. 2557 0

ISO 27001 เวอร์ชั่น 2013 ได้ประกาศใช้อย่างเป็นทางการตั้งแต่วันที่ 1 ตค. 2013 ที่ผ่านมา
ส่วน Version 2005 ก็ยังใช้ได้อยู่จนถึงวันที่ 30 กย. 2015

บริษัทหรือหน่วยราชการที่ถือใบรับรองมาตรฐาน ISO 27001:2005 ควร upgradeไปสู่เวอร์ชั่น 2013 ก่อนที่จะหมดอายุเพื่อให้มันใจว่าการรับรองมาตรฐานระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศ(Information Security Management System : ISMS) จะไม่ขาดช่วงหลัง 30 กย. 2015

บทความนี้ขอนำเสนอขั้นตอนในการปรับปรุงไปสู่เวอร์ชั่นใหม่ มีดังนี้

ขั้นตอนการ Upgrade ISO 27001:2005 สู่เวอร์ชั่นใหม่ ISO 27001:2013

  1. เรียนรู้แล้วทำความเข้าใจข้อกำหนด ISO 27001:2013
  2. เปรียบเทียบสิ่งที่แตกต่างที่ต้องทำเพิ่ม เรียกว่าการทำ Gap Analysis
  3. อบรมคณะทำงานให้เข้าใจข้อกำหนดเวอร์ชั่นใหม่ ซึ่งไม่ได้เปลี่ยนแปลงอะไรมากมาย
  4. ทบทวนการประเมินความเสี่ยงด้านความมั่นคงปลอดภัยของสารสนเทศ(Information Security Risk Assessment) และแผนจัดการความเสี่ยง(Risk Treatment Plan)ให้updateทันสมัย
  5. ปรับปรุงเอกสารให้รองรับข้อกำหนดใหม่ เอกสารที่อ้างถึง ISO 27001:2015 ก็ต้องปรับให้เป็น ISO 27001:2013 ครับ
  6. อบรมสร้างจิตสำนึกให้กับบุคลากร รวมถึงผู้เกี่ยวข้องภายนอกเช่น Vendor ให้เข้าใจวัตถุประสงค์ และมาตรการต่างๆ
  7. Implement  ระบบตามข้อกำหนดของ ISO 27001 เวอร์ชั่น 2013
  8. อบรม Internal Audit ISO 27001 เพื่อให้ผู้ตรวจประเมินภายใน (ISMS Internal Auditor) มีความรู้ในข้อกำหนดใหม่ 
  9. ทำการ Internal Audit ตรวจประเมินภายในระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศ
  10. แก้ไขข้อบกพร่อง (Correct and Preventive Action) หลังจากตรวจประเมินภายในมักพบข้อบกพร่อง ซึ่งจำเป็นต้องแก้ไขให้สมบูรณ์
  11. ประชุมทบทวนฝ่ายบริหาร (ISMS Management Review) การประชุมนี้สำคัญมาก  Top Management ควรเข้าประชุมด้วย และต้องบันทึกผลการประชุมเป็นลายลักษณ์อักษร

หลังจากขั้นตอนข้างต้น ก็ถึงเวลาที่จะรับการตรวจประเมินโดย Certified body (ผู้ให้ใบรับรอง)  จัดเป็นช่วงที่เร้าใจที่สุดของทีมงานและผู้เกี่ยวข้อง..... 

เคล็ดไม่ลับในการรับการตรวจประเมินคือ "ความเข้าใจในองค์กรว่ามีความเสี่ยงอะไรบ้างและมาตรการที่ใช้จัดการ" หากทุกคนเข้าใจจริงๆก็จะตอบคำถามและแสดงหลักฐานให้ผู้ตรวจประเมินได้ ส่วนจะผ่านหรือไม่ผ่าน ก็อยู่ที่องค์กรท่านทำครบตามข้อกำหนดหรือไม่  หลักฐานการปฏิบัติเพียงพอหรือไม่  จัดการความเสี่ยงด้านความมั่นคงปลอดภัยของสารสนเทศมีประสิทธิภาพ ประสิทธิผลหรือไม่....




ผู้เขียน : Pryn Sereepong, CISA, CEH, ISMS(IRCA)
ISO 27001 Consultant    สถาบันเพิ่มผลผลิตแห่งชาติ
pryn@ftpi.or.th
www.facebook.com/club27001

Tagged as:
About the Author

Write admin description here..

Get Updates

Subscribe to our e-mail newsletter to receive updates.

Enter your email address:

Delivered by FeedBurner

Share This Post

Related posts

0 ความคิดเห็น :

สมัครสมาชิก: ส่งความคิดเห็น ( Atom )
back to top