บริการที่ปรึกษาและเตรียมความพร้อมตามมาตรฐาน ISO/IEC 27001
บริการที่ปรึกษาและเตรียมความพร้อมตามมาตรฐาน ISO/IEC 27001 ของ Inventsys มุ่งเน้นเฉพาะการจัดทำ พัฒนา และปรับปรุงระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ หรือ Information Security Management System (ISMS) ตามมาตรฐานสากล ISO/IEC 27001 เท่านั้น
บริการนี้เหมาะสำหรับองค์กรที่ต้องการยกระดับการกำกับดูแลด้านความมั่นคงปลอดภัยสารสนเทศ ลดความเสี่ยงด้านข้อมูล สร้างความเชื่อมั่นให้ลูกค้า คู่ค้า ผู้บริหาร และหน่วยงานกำกับดูแล รวมถึงเตรียมความพร้อมก่อนเข้ารับการตรวจประเมินจากหน่วยรับรองอิสระ
Inventsys ให้คำปรึกษาครอบคลุมตั้งแต่ Gap Analysis, ISMS Scope Definition, Information Security Risk Assessment, Risk Treatment Plan, Statement of Applicability (SoA), Policy and Procedure Development, Awareness Training, Internal Audit, Management Review และ Pre-certification Readiness Review โดยยึดตามข้อกำหนดของ ISO/IEC 27001 เป็นหลัก
ขอบเขตบริการนี้ครอบคลุมเฉพาะ ISO/IEC 27001
บริการนี้ไม่ได้ครอบคลุมมาตรฐาน ISO อื่น เช่น ISO 22301, ISO/IEC 27701, ISO/IEC 42001 หรือ ISO 37001 เว้นแต่มีการตกลงขอบเขตงานเพิ่มเติมเป็นกรณีเฉพาะ โดยเนื้อหาหลักของบริการจะมุ่งเน้นเฉพาะระบบ ISMS ตาม ISO/IEC 27001 เท่านั้น
ปัญหาและอุปสรรคที่องค์กรมักเผชิญ
- ไม่ทราบสถานะความพร้อมปัจจุบัน: องค์กรอาจยังไม่ทราบว่าระบบ นโยบาย กระบวนการ และหลักฐานที่มีอยู่สอดคล้องกับข้อกำหนด ISO/IEC 27001 มากน้อยเพียงใด
- มีเอกสารแต่ยังไม่เกิดการปฏิบัติจริง: หลายองค์กรจัดทำเอกสารครบ แต่ยังไม่มีหลักฐานการนำ ISMS ไปใช้จริงในระดับกระบวนการและผู้รับผิดชอบ
- Risk Assessment ยังไม่เป็นระบบ: การประเมินความเสี่ยงด้านสารสนเทศอาจยังไม่เชื่อมโยงกับสินทรัพย์สารสนเทศ ภัยคุกคาม ช่องโหว่ ผลกระทบ และมาตรการควบคุมที่เหมาะสม
- Statement of Applicability ยังไม่ชัดเจน: การเลือกใช้หรือไม่เลือกใช้ Controls ใน Annex A อาจยังไม่มีเหตุผลรองรับเพียงพอสำหรับการตรวจประเมิน
- ขาด Internal Audit และ Management Review ที่มีคุณภาพ: องค์กรอาจยังไม่มีหลักฐานที่แสดงว่าระบบ ISMS ได้รับการทบทวน ตรวจสอบ และปรับปรุงอย่างต่อเนื่อง
สาระสำคัญสำหรับผู้บริหาร: ISO/IEC 27001 ไม่ใช่เพียงโครงการจัดทำเอกสารเพื่อขอใบรับรอง แต่เป็นระบบบริหารความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศที่ควรถูกฝังอยู่ในการทำงานจริงขององค์กร
ขอบเขตบริการที่ครอบคลุม
| บริการหรือกิจกรรม | แนวทางดำเนินงาน | ผลลัพธ์ที่องค์กรจะได้รับ |
|---|---|---|
| ISO/IEC 27001 Gap Analysis | ประเมินสถานะปัจจุบันขององค์กรเทียบกับข้อกำหนด ISO/IEC 27001 | รายงาน Gap Analysis และแผนการปรับปรุงตามลำดับความสำคัญ |
| ISMS Scope Definition | กำหนดขอบเขตของระบบ ISMS ให้เหมาะสมกับธุรกิจ ระบบงาน สถานที่ บุคลากร และข้อมูลสำคัญ | ISMS Scope Statement ที่ชัดเจนและรองรับการตรวจประเมิน |
| Information Security Risk Assessment | ออกแบบและดำเนินการประเมินความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ | Risk Register และ Risk Treatment Plan |
| Statement of Applicability (SoA) | จัดทำ SoA เพื่อระบุการเลือกใช้ Controls ตาม Annex A พร้อมเหตุผลประกอบ | Statement of Applicability ที่สอดคล้องกับผลการประเมินความเสี่ยง |
| ISMS Policy and Procedure Development | จัดทำหรือปรับปรุงนโยบาย ขั้นตอนการทำงาน แบบฟอร์ม และบันทึกที่จำเป็น | ชุดเอกสาร ISMS ที่เหมาะสมกับบริบทขององค์กร |
| Internal Audit and Management Review | สนับสนุนการตรวจประเมินภายในและการประชุมทบทวนของฝ่ายบริหาร | Internal Audit Report, Corrective Action Plan และ Management Review Record |
| Pre-certification Readiness Review | ทบทวนความพร้อมก่อนเข้ารับการตรวจจาก Certification Body | Readiness Checklist และประเด็นที่ควรปิดก่อน Stage 1 และ Stage 2 Audit |
กระบวนการให้บริการ
- Kick-off and Scope Planning: ทำความเข้าใจธุรกิจ ระบบงาน ขอบเขตข้อมูลสำคัญ และเป้าหมายขององค์กรในการจัดทำ ISO/IEC 27001
- Gap Analysis: ประเมินสถานะปัจจุบันเทียบกับข้อกำหนดของ ISO/IEC 27001 และระบุช่องว่างที่ต้องปรับปรุง
- ISMS Design: ออกแบบโครงสร้าง ISMS รวมถึง Policy, Procedure, Risk Methodology, SoA และแผนการดำเนินงาน
- Implementation Support: สนับสนุนการนำ ISMS ไปปฏิบัติจริงร่วมกับเจ้าของกระบวนการและหน่วยงานที่เกี่ยวข้อง
- Internal Audit and Management Review: สนับสนุนการตรวจประเมินภายใน การจัดทำ Corrective Action และการทบทวนโดยฝ่ายบริหาร
- Certification Readiness Support: เตรียมความพร้อมก่อนการตรวจประเมินจากหน่วยรับรองอิสระ และสนับสนุนการจัดเตรียมหลักฐานที่เกี่ยวข้อง
ผลลัพธ์ที่องค์กรจะได้รับ
- ISO/IEC 27001 Gap Analysis Report
- ISMS Scope Statement
- Information Security Policy และเอกสาร ISMS ที่เกี่ยวข้อง
- Information Asset Inventory
- Risk Register และ Risk Treatment Plan
- Statement of Applicability (SoA)
- Internal Audit Report และ Corrective Action Plan
- Management Review Record
- Pre-certification Readiness Checklist
มาตรฐานอ้างอิงหลัก
- ISO/IEC 27001: Information Security Management System Requirements
- ISO/IEC 27002: แนวทางการเลือกและประยุกต์ใช้ Information Security Controls เพื่อสนับสนุนการดำเนินงานตาม ISO/IEC 27001
ตัวชี้วัดที่ผู้บริหารควรติดตาม
- จำนวน Gap เทียบกับข้อกำหนด ISO/IEC 27001
- อัตราการปิด Corrective Action ตามกำหนดเวลา
- ความครบถ้วนของ Risk Assessment และ Risk Treatment Plan
- สถานะการดำเนินการตาม Controls ที่ระบุใน Statement of Applicability
- ผลการตรวจ Internal Audit และประเด็นที่ต้องปรับปรุง
- ระดับความตระหนักด้านความมั่นคงปลอดภัยสารสนเทศของบุคลากรที่เกี่ยวข้อง
คำถามสำคัญที่ผู้บริหารควรถามตนเอง
- องค์กรทราบหรือไม่ว่าสินทรัพย์สารสนเทศใดสำคัญที่สุด และมีความเสี่ยงใดที่ต้องจัดการเป็นลำดับแรก
- นโยบายและขั้นตอนด้านความมั่นคงปลอดภัยสารสนเทศถูกนำไปใช้จริง หรือมีอยู่เพียงในเอกสาร
- ผู้บริหารได้รับรายงานความเสี่ยงด้านสารสนเทศอย่างสม่ำเสมอและใช้ประกอบการตัดสินใจหรือไม่
- องค์กรมีหลักฐานเพียงพอเพื่อแสดงการปฏิบัติตาม ISO/IEC 27001 ต่อผู้ตรวจประเมิน ลูกค้า หรือคู่ค้าหรือไม่
ข้อจำกัดของบริการ
บริการนี้เป็นบริการให้คำปรึกษาและเตรียมความพร้อมตามมาตรฐาน ISO/IEC 27001 เท่านั้น Inventsys ไม่ใช่หน่วยรับรอง Certification Body และไม่สามารถรับประกันผลการรับรองได้ การออกใบรับรองเป็นอำนาจของหน่วยรับรองอิสระที่ได้รับการรับรองตามกระบวนการที่เกี่ยวข้อง
ติดต่อขอรับข้อเสนอบริการ
หากองค์กรของท่านต้องการจัดทำ ปรับปรุง หรือเตรียมความพร้อมระบบ ISMS ตามมาตรฐาน ISO/IEC 27001 กรุณาติดต่อ Inventsys เพื่อหารือขอบเขตงานและขอรับข้อเสนอบริการอย่างเป็นทางการ
อีเมล: Sale@inventsysgroup.com
โทรศัพท์: 06-6036-4426, 080-935-4426
Technical Consultation: Support@inventsysgroup.com | 080-935-4426