CANS Communication

บริษัท แคนส์คอมมิวนิเคชั่น จำกัด ได้ผ่านการรับรองและได้รับใบประกาศนียบัตรมาตรฐาน ISO/IEC 27001:2013 เกี่ยวกับระบบบริหารจัดการด้านความมั่นคงปลอดภัยสารสนเทศ (Information Security Management System: ISMS)

             

 

              บริษัท แคนส์คอมมิวนิเคชั่น จำกัด ได้ผ่านการรับรองมาตรฐานและได้รับใบประกาศนียบัตรมาตรฐาน ISO/IEC 27001:2013 เพื่อเน้นย้ำถึงการให้ความสำคัญด้านความปลอดภัยไซเบอร์ โดย บริษัท แคนส์คอมมิวนิเคชั่น จำกัด ในกลุ่ม บริษัท ครีเอเจอร์แลบ เน็ตเวิร์ก โซลูชั่นส์ จำกัด ผู้ให้บริการโทรศัพท์บนคลาวด์ ด้วยแนวคิด Call center และ ระบบสื่อสารสำเร็จรูป (CANS) พร้อมใช้งานได้ทุกที่ ทุกเวลา อย่างง่ายดาย (Ready to use) เสมือนการเปิดกระป๋องที่มีสิ่งอำนวยความสะดวกเตรียมพร้อม เพื่อให้เริ่มต้นธุรกิจ Startup ได้ทันที ด้วยส่วนผสมอย่างลงตัว

                                                                    “เปิด CANS เปิดโอกาสให้ธุรกิจ Open CANS … Open Opportunities”

               สำหรับมาตรฐาน ISO/IEC 27001:2013 เชื่อว่าหลายท่านคงคุ้นเคยกับมาตรฐานฉบับนี้อยู่แล้ว เนื่องจากมาตรฐานฉบับนี้ได้รับความนิยมอย่างมากสำหรับการจัดทำระบบบริหารจัดการด้านความมั่นคงปลอดภัยสารสนเทศ (Information Security Management System: ISMS) ซึ่งมาตรฐานฉบับนี้ปัจจุบันคือเวอร์ชั่น 2013 (และคาดว่าจะมีเวอร์ชั่นใหม่ออกมาภายในปี 2021 นี้ด้วย) เพื่อเตรียมพร้อมสู่ พรบ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) โดยมาตรฐานประกอบด้วยส่วนประกอบดังต่อไปนี้

 

ระบบบริหารจัดการ (Annex SL, Annex: Management System Standard (MSS))

              เป็นกิจกรรมที่เกี่ยวข้องกับระดับพัฒนาปรับปรุงอย่างต่อเนื่อง (Continual improvement) ผ่านการทำความเข้าใจบริบทองค์กร การสนับสนุนจากผู้บริหาร การกำหนดวัตถุประสงค์ การวางแผน การบริหารจัดการความเสี่ยง การประเมินผลระบบ และการพิจารณาปรับปรุง โดยในส่วนการปรับปรุงอย่างต่อเนื่องนี้เป็นข้อความจำเป็นหลักของมาตรฐาน ISO ทุกเบอร์ ถึงแม้ปัจจุบันอยู่ในระหว่างการเปลี่ยนโครงสร้างมาตรฐานมาใช้โครงการตาม Annex SL ทั้งหมด การดำเนินการทั้งหมดเพื่อต้องการปรับปรุงระบบที่ดำเนินการให้เป็นระบบบริหารจัดการที่ดียิ่งขึ้นอย่างต่อเนื่อง ซึ่งในความหมายของการปรับปรุงนั้นไม่ได้หมายความว่าการปรับปรุงคือจะต้องเพิ่มกิจกรรม กระบวนการหรือเครื่องมือเพียงอย่างเดียว การปรับปรุงนั้นอาจจะรวมถึงการลดบางกิจกรรม บางกระบวนการหรือบางเครื่องมือ หากการดำเนินการเหล่านั้นช่วยให้ระบบที่ดำเนินการอยู่ดียิ่งขึ้นได้

  • รายการมาตรการควบคุมและวัตถุประสงค์ด้านความมั่นคงปลอดภัยข้อมูลสารสนเทศ (Annex A. Information Security Controls) ในการดำเนินการเพื่อให้ได้รับรองมาตรฐาน บริษัทมีความจำเป็นต้องพิจารณาความเสี่ยงในกิจกรรมที่ดำเนินการและพิจารณานำมาตรการควบคุมไปปรับใช้ โดยมาตรฐานควบคุมทั้งหมดมี 114 มาตรฐานควบคุม ถูกระบุไว้ในทั้งหมด 14 หมวดหมู่ ดังรายละเอียดต่อไปนี้
    • A.5 Information security policies (นโยบายด้านความมั่นคงปลอดภัยข้อมูลสารสนเทศ)
    • A.6 Organization of information security (โครงสร้างด้านความมั่นคงปลอดภัยข้อมูลสารสนเทศ)
    • A.7 Human resource security (การรักษาความมั่นคงปลอดภัยด้านบุคลากร)
    • A.8 Asset management (การบริหารจัดการทรัพย์สินสารสนเทศ)
    • A.9 Access control (การควบคุมการเข้าถึงระบบสารสนเทศ)
    • A.10 Cryptography (การเข้ารหัส)
    • A.11 Physical and environmental security (การรักษาความมั่นคงปลอดภัยทางกายภาพและสภาพแวดล้อม)
    • A.12 Operational security (การรักษาความมั่นคงปลอดภัยด้านการปฏิบัติการสารสนเทศ)
    • A.13 Communication security (การรักษาความมั่นคงปลอดภัยด้านการสื่อสาร)
    • A.14 System acquisition, development and maintenance (การจัดหาร การพัฒนา และการดูแลบำรุงรักษาระบบสารสนเทศ)
    • A.15 Supplier relationships (การทำงานร่วมกับผู้ให้บริการ/บุคคลภายนอก)
    • A.16 Information security incident management (การบริหารจัดการเหตุการณ์ผิดปกติด้านความมั่นคงปลอดภัยข้อมูลสารสนเทศ)
    • A.17 Information security aspects of business continuity management (การบริหารจัดการความต่อเนื่องทางธุรกิจที่เกี่ยวข้องกับด้านการรักษาความมั่นคงปลอดภัยข้อมูลสารสนเทศ)
    • A.18 Compliance (การปฏิบัติตามข้อกำหนด กฎระเบียบ กฎหมาย รวมถึงข้อสัญญาที่เกี่ยวข้อง)

                ไม่เพียงแต่เวอร์ชั่นปัจจุบันเท่านั้น ในประเทศไทย กฎหมาย หรือกฎระเบียบที่ถูกประกาศใช้จากภาครัฐ หน่วยงานกำกับ ก็มีเนื้อหาบางส่วนอ้างอิงการดำเนินการมาตรฐานนี้ ทั้งเวอร์ชั่นปัจจุบันปี 2013 รวมถึงเวอร์ชั่นก่อนหน้านี้ด้วย ISO/IEC 27001:2005 ดังจะเห็นได้จากตัวอย่างดังต่อไปนี้

  • ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ เรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศตามวิธีการแบบปลอดภัย พ.ศ. 2555 [อ้างอิงมาตรฐาน ISO/IEC 27001:2005]
  • ประกาศสำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (ก.ล.ต.) ประกาศที่ สธ. 37/2559 และ ประกาศแนวปฏิบัติ ที่ นป. 3/2559 เรื่อง แนวปฏิบัติในการจัดให้มีระบบเทคโนโลยีสารสนเทศ [เนื้อหาส่วนใหญ่ครอบคลุมมาตรฐาน ISO/IEC 27001:2005]
  • ประกาศสำนักงานคณะกรรมการกำกับและส่งเสริมการประกอบธุรกิจประกันภัย (คปภ.) เรื่อง กำหนดหลักเกณฑ์ วิธีการออก การเสนอขายกรมธรรม์ประกันภัยของบริษัทประกันชีวิต และการปฏิบัติหน้าที่ของตัวแทนประกันชีวิต นายหน้าประกันชีวิต และธนาคาร พ.ศ. 2561 [เนื้อหาส่วนใหญ่ครอบคลุมมาตรฐาน ISO/IEC 27001:2005]
  • ประกาศสำนักงานคณะกรรมการกำกับและส่งเสริมการประกอบธุรกิจประกันภัย (คปภ.) เรื่อง หลักเกณฑ์การกำกับดูแลและบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศของบริษัทประกันชีวิต / ประกันวินาศภัย พ.ศ. 2563 [เนื้อหาบางส่วนครอบคลุมมาตรฐานISO/IEC 27001:2013]
  • ประกาศธนาคารแห่งประเทศไทย ที่ สนช. 1/2564 เรื่อง หลักเกณฑ์การกำกับดูแลความเสี่ยงด้านเทคโนโลยีสารสนเทศ (Information Technology Risk) ตามกฎหมายว่าด้วยระบบการชำระเงิน [เนื้อหาบางส่วนในหัวข้อ IT Security สอดคล้องกับมาตรฐาน ISO/IEC 27001:2013]

               จากข้อมูลข้างต้นนี้จะเห็นได้ว่าจุดเริ่มต้นเรื่องการบริหารจัดการด้าน Information security ด้าน IT Security และ Cybersecurity สามารถเริ่มต้นได้จากการพิจารณานำมาตรฐาน ISO 27001 นำไปปรับใช้ภายในองค์กร และจะเห็นได้ว่าการดำเนินการงานด้าน ISO 27001 นั้นนอกจากจะช่วยให้องค์กรสามารถสร้างความมั่นใจให้กับผู้มีส่วนได้ส่วนเสียสำหรับการคุ้มครองข้อมูลที่สำคัญ ก็ยังช่วยให้องค์กรเองสามารถปฏิบัติตามกฎหมายด้านความมั่นคงปลอดภัยสารสนเทศได้ไม่มากก็น้อยอีกด้วย อย่างไรก็ตามมีอีกหลายมาตรฐานที่ปัจจุบันหลายหน่วยงานองค์กรนำมาพิจารณาปรับใช้เป็นหลักเกณฑ์ข้อบังคับต่าง ๆ อีกมาตรฐานหนึ่งที่ได้รับความนิยมในประเทศไทยคือมาตรฐาน NIST Cybersecurity Framework (CSF)

cr.https://incognitolab.com/blog/cans-communication-iso27001

Facebook
Twitter
LinkedIn

บทความที่น่าสนใจ

8×8 lnc. ประกาศเสร็จสิ้นการเข้าซื้อกิจการ Fuze, Inc

8×8, Inc. (NYSE: EGHT) ผู้นำการให้บริการแพลตฟอร์มการสื่อสารบนคลาวด์ ประกาศเสร็จสิ้นการเข้าซื้อกิจการ Fuze, Inc. ซึ่งเป็นผู้นำด้านการสื่อสารบนคลาวด์…(อ่านต่อ)