ISO / IEC 27000: 2018 ให้ภาพรวมของระบบการจัดการความปลอดภัยของข้อมูล (ISMS) และข้อกำหนดและคำจำกัดความที่ใช้กันทั่วไปในตระกูลมาตรฐาน ISO / IEC 27001 ของระบบการจัดการความปลอดภัยของข้อมูล
ออกแบบใหม่สำหรับองค์กรและแอพพลิเคชั่นทุกประเภทตั้งแต่ บริษัท ข้ามชาติไปจนถึงธุรกิจขนาดกลางและขนาดย่อมรุ่นใหม่ที่วางจำหน่ายในเดือนกุมภาพันธ์ 2018 นั้นมีค่าเท่ากันสำหรับหน่วยงานราชการหรือองค์กรที่ไม่แสวงหาผลกำไร
ตระกูล 27000 มีมากกว่าหนึ่งโหลมาตรฐาน ISO / IEC 27000 ที่เผยแพร่ใหม่ให้ความเข้าใจในการใช้งานมาตรฐานว่า: ขอบเขตบทบาทหน้าที่และความสัมพันธ์
ชุมชน ISO / IEC 27001 จะพบว่ามีประโยชน์เพราะมันรวบรวมคำศัพท์พื้นฐานทั้งหมดที่ใช้โดยมาตรฐานอื่น ๆ ในตระกูล ISO / IEC 27000
ในสภาพแวดล้อมทางธุรกิจในปัจจุบันที่เทคโนโลยีและการสื่อสารกำลังพัฒนาไปอย่างรวดเร็วการปกป้องข้อมูลเป็นสิ่งที่สำคัญยิ่งกว่า ข้อมูลมีความสำคัญอย่างยิ่งสำหรับองค์กรเพื่อดำเนินกิจกรรมต่อไป ในการปกป้องข้อมูลการระบุความเสี่ยงและภัยคุกคามต่อสินทรัพย์ข้อมูลและการควบคุมจุดเปิดในระบบต้องใช้ความพยายามอย่างจริงจัง การสร้างความปลอดภัยของข้อมูลและการทำให้มั่นใจว่าการควบคุมที่จะดำเนินการนั้นขึ้นอยู่กับการสร้างหลักการความปลอดภัยที่เกี่ยวข้องอย่างถูกต้องและกำหนดกระบวนการจัดการอย่างถูกต้อง
ในโลกธุรกิจปัจจุบัน ความปลอดภัยของข้อมูล จะถือว่าเป็นความเสี่ยงที่ร้ายแรงและการระบุและดำเนินการควบคุมความปลอดภัยของข้อมูลที่สอดคล้องกันเช่นเดียวกับการรับความเสี่ยงในระดับที่ยอมรับได้ขึ้นอยู่กับการกำหนดมาตรฐานบางอย่างภายในองค์กร
ISO / IEC 27001 เป็นมาตรฐานการตรวจสอบระหว่างประเทศเพียงอย่างเดียวที่กำหนดข้อกำหนดระบบจัดการความปลอดภัยของข้อมูล (ISMS) มันถูกออกแบบมาเพื่อให้แน่ใจว่ามีการเลือกการควบคุมความปลอดภัยอย่างเพียงพอและเป็นสัดส่วน
องค์การมาตรฐานสากล ระบบการจัดการความปลอดภัยของข้อมูล ISO / IEC 27001 เป็นชุดของมาตรฐานที่ช่วยปกป้องและจัดการสินทรัพย์ข้อมูลที่มีค่า มันเป็นระบบระหว่างประเทศเพียงแห่งเดียวที่กำหนดมาตรฐานที่จำเป็นสำหรับความปลอดภัยของข้อมูล ระบบนี้ถูกออกแบบมาเพื่อให้แน่ใจว่ามีการเลือกการควบคุมความปลอดภัยอย่างเพียงพอและเป็นสัดส่วน
ในการเตรียมงานมาตรฐานองค์กรระหว่างประเทศ (ISO) มาตรฐานจะดำเนินการโดยคณะกรรมการด้านเทคนิค มาตรฐาน ISO 27000 ได้รับการจัดทำขึ้นโดยคณะกรรมการด้านเทคนิคร่วมที่จัดตั้งขึ้นโดยองค์กรมาตรฐานระหว่างประเทศและคณะกรรมการ Electrotechnical ระหว่างประเทศ
คณะกรรมการเทคนิคไฟฟ้านานาชาติ (IEC - International Electrotechnical Commission) ก่อตั้งขึ้นใน 1906 และกำหนดมาตรฐานสากลสำหรับอุปกรณ์อิเล็กทรอนิกส์และเทคโนโลยีที่คล้ายคลึงกัน สถาบันมาตรฐานตุรกี (TSE) เป็นสมาชิกของคณะกรรมการนี้ เป้าหมายหลักของ IEC คือการปรับปรุงคุณภาพของผลิตภัณฑ์และบริการทั่วโลกเพื่อช่วยเหลือสุขภาพและความปลอดภัยของมนุษย์และเพื่อสนับสนุนการปกป้องสิ่งแวดล้อม ISO ทำงานในเรื่องที่อยู่นอกขอบเขตของคณะกรรมการ Electrotechnical
ระบบการจัดการความปลอดภัยของข้อมูล ISO 27001 บริษัท ที่จัดตั้งขึ้นระบุโครงสร้างพื้นฐานข้อมูลวิเคราะห์การโจมตีที่เป็นไปได้และอันตรายต่อสินทรัพย์เหล่านี้และตัดสินใจว่าจะทำอย่างไรในกรณีที่อันตรายเหล่านี้เกิดขึ้น นี่คือระบบที่สำคัญที่สุดในระบบการจัดการแบบบูรณาการโดยเฉพาะอย่างยิ่งสำหรับองค์กรที่พยายามที่จะได้รับตัวตนขององค์กร
ระบบการจัดการความปลอดภัยของข้อมูล ISO 27001 จะช่วยให้องค์กรมีข้อได้เปรียบที่ยอดเยี่ยมในแง่ของการระบุความเสี่ยงที่เกี่ยวข้องกับการปกป้องข้อมูลและการระบุมาตรการเพื่อกำจัดหรือลดความเสี่ยงเหล่านั้น
ไม่มีข้อ จำกัด ของเซกเตอร์ในแง่ของการใช้งานระบบนี้ องค์กรในแต่ละภาคสามารถสร้างระบบการจัดการความปลอดภัยของข้อมูลหากพวกเขารู้สึกว่าจำเป็นต้องปกป้องข้อมูล อย่างไรก็ตามโดยเฉพาะอย่างยิ่งในธนาคารและสถาบันการเงินสถาบันสุขภาพหน่วยงานของรัฐการปกป้องข้อมูลในภาคเทคโนโลยีสารสนเทศมีความสำคัญมากกว่า
มาตรฐาน ISO 27000 นั้นจริง ๆ แล้วประกอบด้วยหลายมาตรฐาน บางส่วนของมาตรฐานเหล่านี้คือ:
- ระบบการจัดการความปลอดภัยของข้อมูล ISO 27001 มาตรฐาน: นี่เป็นมาตรฐานพื้นฐานของระบบการจัดการความปลอดภัยของข้อมูล
- ISO 27002 หลักปฏิบัติสำหรับมาตรฐานระบบการจัดการความปลอดภัยของข้อมูล
- คู่มือการปรับใช้ระบบการจัดการความปลอดภัย ISO 27003
- เครื่องชั่ง ISO 27004 มาตรฐานรายงาน
- ISO 27005 ระบบการจัดการความปลอดภัยของข้อมูลมาตรฐานการจัดการความเสี่ยง
- ISO 27006 มาตรฐานสำหรับข้อกำหนดสำหรับการตรวจสอบความปลอดภัยของข้อมูลและการรับรอง
วันนี้การจัดการความปลอดภัยของข้อมูลเป็นระบบที่ต้องมีการจัดการโดยรวมรวมถึงทรัพยากรมนุษย์ทั้งหมดในองค์กรโดยเฉพาะผู้บริหารระดับสูงระบบสารสนเทศและกระบวนการทางธุรกิจ
เรากล่าวว่ามาตรฐานระบบการจัดการความปลอดภัยของข้อมูล ISO 27001 เป็นมาตรฐานหลักของระบบ การติดตั้งระบบการจัดการความปลอดภัยของข้อมูลและงานรับรองในองค์กรนั้นดำเนินการตามมาตรฐานนี้
วัตถุประสงค์หลักของมาตรฐานนี้คือ:
- การระบุช่องโหว่ความปลอดภัยของข้อมูลที่อาจเกิดขึ้นขององค์กรระบุภัยคุกคามต่อสินทรัพย์สารสนเทศและตรวจสอบอย่างเป็นระบบ
- เพื่อกำหนดการควบคุมเพื่อให้มั่นใจในความปลอดภัยของสินทรัพย์ข้อมูลที่มีความเสี่ยงเพื่อให้แน่ใจว่าการควบคุมเหล่านี้จะดำเนินการและเพื่อให้ความเสี่ยงที่เป็นไปได้ในระดับที่ยอมรับได้
- เพื่อให้มั่นใจถึงความต่อเนื่องของการควบคุมความปลอดภัยของข้อมูลที่จะดำเนินการในลักษณะนี้และเพื่อพิจารณาและดำเนินการตามกระบวนการจัดการเพื่อวัตถุประสงค์นี้
มาตรฐานระบบการจัดการความปลอดภัยของข้อมูล ISO 27001 ถูกตีพิมพ์โดยองค์การมาตรฐานระหว่างประเทศใน 2005 ชื่อเต็ม ISO / IEC 27001: 2005 เทคโนโลยีสารสนเทศความปลอดภัยความปลอดภัยของข้อมูลระบบการจัดการความต้องการ เป็นที่รู้จักกันทั่วไปว่าเป็นมาตรฐานการรับรอง ISO 27001
มาตรฐาน ISO 27001 ครอบคลุมโครงสร้างองค์กรนโยบายกิจกรรมการวางแผนความรับผิดชอบกิจกรรมคำแนะนำการใช้งานกระบวนการทางธุรกิจและทรัพยากรขององค์กรที่กำหนดระบบนี้