กรมพัฒน์' ได้รับการรับรองมาตรฐาน IT ระดับสากล ISO/IEC 27001: 2013 ประกาศความพร้อมด้านบริหารจัดการความปลอดภัยด้านเทคโนโลยีสารสนเทศขั้นสูง

กรมพัฒน์' ได้รับการรับรองมาตรฐาน IT ระดับสากล ISO/IEC 27001: 2013
ประกาศความพร้อมด้านบริหารจัดการความปลอดภัยด้านเทคโนโลยีสารสนเทศขั้นสูง
สร้างความเชื่อมั่นให้ผู้ใช้บริการ พร้อมยกระดับคุณภาพการให้บริการสู่หน่วยงานราชการแห่งนวัตกรรม
 
                   กรมพัฒนาธุรกิจการค้า ก้าวไปอีกขั้น...ผ่านการตรวจประเมินด้านการบริหารจัดการความปลอดภัยของข้อมูลสารสนเทศ ตามมาตรฐาน ISO/IEC 27001: 2013 ประกาศความปลอดภัยด้านเทคโนโลยีสารสนเทศขั้นสูง สร้างความเชื่อมั่นให้ผู้ใช้บริการ นับเป็นหน่วยงานแรกในกระทรวงพาณิชย์ที่ได้รับการรับรองมาตรฐานฯ ดังกล่าว ย้ำจุดยืน!!เพิ่มประสิทธิภาพการอำนวยความสะดวกภาคธุรกิจ พร้อมยกระดับคุณภาพการให้บริการสู่หน่วยงานราชการแห่งนวัตกรรม
                     นางกุลณี อิศดิศัย อธิบดีกรมพัฒนาธุรกิจการค้า กระทรวงพาณิชย์ เปิดเผยว่า "เมื่อเร็วๆ นี้ กรมพัฒนาธุรกิจการค้าได้ผ่านการตรวจประเมินด้านการบริหารจัดการความปลอดภัยของข้อมูลสารสนเทศ ตามมาตรฐาน ISO/IEC 27001:2013ซึ่งเป็นมาตรฐานความปลอดภัยด้านเทคโนโลยีสารสนเทศระดับสากล และเป็นมาตรฐานที่ทุกประเทศให้การยอมรับ โดยกรมพัฒนาธุรกิจการค้าเป็นหน่วยงานแรกในกระทรวงพาณิชย์ที่ได้รับใบรับรองมาตรฐานฯ ดังกล่าว ที่ได้รับการรับรองให้ "ระบบการจดทะเบียนนิติบุคคลทางอิเล็กทรอนิกส์ (e-Registration)" "ระบบจดทะเบียนสัญญาหลักประกันทางธุรกิจ (e-Secured Transaction)" และ "ศูนย์คอมพิวเตอร์ (Data Center)" ของกรมพัฒนาธุรกิจการค้า มีการบริหารจัดการความปลอดภัยของข้อมูลสารสนเทศตามมาตรฐานสากล"
                     "มาตรการรักษาความปลอดภัยระบบสารสนเทศถือเป็นหัวใจหลักในการบริหารจัดการองค์กรของกรมฯเพื่อก้าวสู่การเป็น Digital Department และหน่วยงานราชการแห่งนวัตกรรมอย่างสมบูรณ์แบบ รวมทั้ง สร้างความเชื่อมั่น และความพึงพอใจแก่ผู้ใช้บริการผ่านระบบอิเล็กทรอนิกส์ของกรมฯ ว่าข้อมูลสารสนเทศของผู้ใช้บริการจะได้รับ
การปกป้องและมีความมั่นคงปลอดภัยในทุกมิติ ไม่ว่าจะเป็นการป้องกันการเข้าถึงระบบ การบริหารจัดการความต่อเนื่องในการบริการระบบสารสนเทศของกรมฯ และการปกป้องข้อมูลส่วนบุคคลไม่ให้ผู้ที่มีเจตนาที่ไม่ดีนำไปใช้หาประโยชน์และนำไปก่ออาชญากรรมได้ ดังนั้น ผู้ใช้บริการจึงมั่นใจได้ว่า ข้อมูลส่วนบุคคลหรือข้อมูลทางธุรกิจที่ได้ดำเนินการผ่านระบบเทคโนโลยีของกรมฯ จะมีความปลอดภัย และไม่ถูกคุกคามจากโลกไซเบอร์ ทั้งนี้ กรมฯ ได้กำหนดมาตรการต่างๆ เพื่อรองรับเหตุไม่คาดฝันไว้ด้วย เช่น กรณีเกิดเหตุที่ทำให้ระบบขัดข้อง กรมฯ ก็สามารถรับมือและกู้คืนระบบได้
ซึ่งจะยิ่งสร้างความเชื่อมั่นให้แก่ผู้ใช้บริการได้มากยิ่งขึ้น"
                       นายบุคลากร ใจดี ผู้อำนวยการฝ่ายพัฒนาธุรกิจ บริษัท บีเอสไอ กรุ๊ป (ประเทศไทย) จำกัด (BSI) ในฐานะตัวแทนบริษัท บีเอสไอ กรุ๊ป จำกัด ซึ่งเป็นสถาบันมาตรฐานแห่งชาติของประเทศอังกฤษในประชาคมมาตรฐานสากล (UK National Standard Body) ที่ได้รับการแต่งตั้งอย่างเป็นทางการจากองค์กร ISO ในการตรวจประเมินด้านการบริหารจัดการความ ปลอดภัยของข้อมูลสารสนเทศ ตามมาตรฐาน ISO ในประเทศไทย กล่าวเพิ่มเติมว่า "การบริหารจัดการความปลอดภัยของข้อมูลสารสนเทศ ตามมาตรฐาน ISO/IEC 27001: 2013 เป็นมาตรฐานความปลอดภัยด้านเทคโนโลยีสารสนเทศระดับสากลที่มีความสำคัญและจำเป็นอย่างยิ่ง โดยเฉพาะหน่วยงานที่มีการให้บริการผ่านระบบเทคโนโลยีสารสนเทศ เนื่องจากปัจจุบันอาชญากรทางโลกออนไลน์หรือโลกไซเบอร์มีการพัฒนาตนเองจนมีความล้ำหน้าทางเทคโนโลยีขั้นสูง สามารถโจรกรรมข้อมูลส่วนบุคคลหรือข้อมูลทางธุรกิจได้ไม่ยาก ดังนั้น การมีระบบบริหารจัดการความปลอดภัยของข้อมูลสารสนเทศ (Information Security Management System : ISMS) ตามมาตรฐานสากลจึงเป็นปราการด่านสำคัญในการปกป้องข้อมูลผู้ใช้บริการและระบบสารสนเทศของหน่วยงานผู้ให้บริการให้มีความมั่นคงปลอดภัย และป้องกันความเสี่ยงต่างๆ ที่อาจเกิดขึ้นในอนาคต ซึ่งระบบการบริหารจัดการสารสนเทศในองค์กรให้มีความมั่นคงปลอดภัยตามมาตรฐาน ISO/IEC 27001: 2013 จะมีมาตรการที่เหมาะสมกับความเสี่ยงของข้อมูลสารสนเทศ (Information Security Risk) ทั้งหมด 14 ข้อกำหนด 114 มาตรการควบคุม" "ดังนั้น มาตรฐาน ISO/IEC 27001: 2013 จึงเป็นที่ยอมรับในระดับสากล และสามารถป้องกันความเสี่ยงที่อาจเกิดขึ้นได้ แต่อย่างไรก็ตาม มาตรฐาน ISO/IEC 27001: 2013 มีอายุการใช้งาน 3 ปี โดยในแต่ละปีจะต้องมีการตรวจติดตามผลการดำเนินงาน (Surveillance Audit) อย่างต่อเนื่อง และเมื่อครบกำหนดก็จำเป็นต้องได้รับการตรวจประเมินใหม่ เพื่อให้ระบบการบริหารจัดการความปลอดภัยของข้อมูลสารสนเทศขององค์กรมีความสมบูรณ์แบบและปลอดภัยจากการถูกคุกคามมากที่สุด"
                          มาตรฐาน ISO 27001 เป็นมาตรฐานสากลที่ทั่วโลกให้การยอมรับ ออกโดยองค์กร ISO (International Organization for Standardization) ซึ่งเป็นหน่วยงานที่ให้กำเนิดมาตรฐาน ISO 27001 โดยเวอร์ชั่นล่าสุด คือ ISO/IEC 27001: 2013 ประกาศ เมื่อวันที่ 1 ตุลาคม 2013 ส่วนเวอร์ชั่นแรกประกาศใช้ครั้งแรกเมื่อปี 2550 (ISO 27001: 2005) หลังประกาศใช้ก็ได้รับความสนใจจากองค์กรทั้งภาครัฐและเอกชนทั่วโลก นำมาใช้งานและขอรับการรับรอง (Certification) โดยมีหน่วยงานภาครัฐและเอกชนในประเทศไทยที่มีชื่อเสียงเริ่มดำเนินการตามมาตรฐาน ISO 27001 และได้ผ่านการรับรองเป็นผลสำเร็จ
                         ทั้งนี้ การนำมาตรฐาน ISO 27001 มาใช้งาน ประกอบด้วยองค์ประกอบหลัก 4 ประการ ได้แก่ 1) การจัดทำระบบ (Establish) การจัดการความมั่นคงปลอดภัยของสารสนเทศ (ISMS) คือ การเตรียมการวางแผนเพื่อปกป้องสารสนเทศ 2) การนำไปปฏิบัติ (Implement) คือ นำแผนจากขั้นตอนการจัดทำระบบ (Establish) ไปปฏิบัติจริง โดยทำตามเอกสารคู่มือและลงบันทึกในแบบฟอร์ม 3) การดำรงรักษาระบบและประเมินขีดความสามารถของระบบการจัดการ (Maintain and Monitor) คือ ปฏิบัติควบคู่ไปกับการทำงานปกติ พร้อมทั้งดำเนินการตรวจประเมินภายในระบบการจัดการ และ 4) การปรับปรุงอย่างต่อเนื่อง (Continual Improvement) คือ การทบทวนผลการทำระบบและหาจุดปรับปรุงอย่างต่อเนื่อง ซึ่งต้องมีหลักฐาน (ทั้งเอกสารและผลการปฏิบัติ)ที่น่าเชื่อถือสะท้อนความเป็นจริงและสามารถตรวจสอบย้อนหลังได้
 
******************************
ที่มา : กองพัฒนาระบบงานสารสนเทศ /ศูนย์เทคโนโลยีสารสนเทศและการสื่อสาร                                                 ฉบับที่ 17 / วันที่ 27 พฤศจิกายน 2560