Incognito Lab Certified ISO/IEC 27001:2013

content-image

เมื่อไม่กี่วันที่ผ่านมานี้ทางเรา Incognito Lab ได้ผ่านการตรวจรับรองและได้รับใบประกาศนียบัตรมาตรฐาน ISO/IEC 27001:2013 ภายใต้ขอบเขต "Cybersecurity consulting and Assessment Services including Penetration testing, Vulnerability Assessment Scanning, Red Teaming, Cyber Drill and Security Awareness Training" จากหน่วยงานผู้ตรวจรับรองมาตรฐาน (Certified Body (CB) Auditor Organization) โดยขอบเขตทั้งหมดครอบคลุม core service ของทางบริษัท เนื่องจากทางผู้บริหารระดับสูงของ Incognito Lab ได้ให้ความสำคัญอย่างมากในการที่จะดูแลข้อมูลลูกค้า รวมถึงการให้คำปรึกษา การให้บริการ และการดำเนินงานของบริษัทอย่างมีคุณภาพและประสิทธิภาพสูงสุดตามมาตรฐานสากล ผ่านทีมผู้เชี่ยวชาญที่มีประสบการณ์ในการทำงานด้าน Cybersecurity มาอย่างยาวนาน

วันนี้เองทางผู้เขียนก็จะมาเล่าให้ฟังสำหรับมาตรฐาน ISO/IEC 27001:2013 เชื่อว่าหลายท่านคงคุ้นเคยกับมาตรฐานฉบับนี้อยู่แล้ว เนื่องจากมาตรฐานฉบับนี้ได้รับความนิยมอย่างมากสำหรับการจัดทำระบบบริหารจัดการด้านความมั่นคงปลอดภัยสารสนเทศ (Information Security Management System: ISMS) ซึ่งมาตรฐานฉบับนี้ปัจจุบันคือเวอร์ชั่น 2013 (และคาดว่าจะมีเวอร์ชั่นใหม่ออกมาภายในปี 2021 นี้ด้วย) โดยมาตรฐานประกอบด้วยส่วนประกอบดังต่อไปนี้

ระบบบริหารจัดการ (Annex SL, Annex: Management System Standard (MSS))

เป็นกิจกรรมที่เกี่ยวข้องกับระดับพัฒนาปรับปรุงอย่างต่อเนื่อง (Continual improvement) ผ่านการทำความเข้าใจบริบทองค์กร การสนับสนุนจากผู้บริหาร การกำหนดวัตถุประสงค์ การวางแผน การบริหารจัดการความเสี่ยง การประเมินผลระบบ และการพิจารณาปรับปรุง โดยในส่วนการปรับปรุงอย่างต่อเนื่องนี้เป็นข้อความจำเป็นหลักของมาตรฐาน ISO ทุกเบอร์ ถึงแม้ปัจจุบันอยู่ในระหว่างการเปลี่ยนโครงสร้างมาตรฐานมาใช้โครงการตาม Annex SL ทั้งหมด การดำเนินการทั้งหมดเพื่อต้องการปรับปรุงระบบที่ดำเนินการให้เป็นระบบบริหารจัดการที่ดียิ่งขึ้นอย่างต่อเนื่อง ซึ่งในความหมายของการปรับปรุงนั้นไม่ได้หมายความว่าการปรับปรุงคือจะต้องเพิ่มกิจกรรม กระบวนการหรือเครื่องมือเพียงอย่างเดียว การปรับปรุงนั้นอาจจะรวมถึงการลดบางกิจกรรม บางกระบวนการหรือบางเครื่องมือ หากการดำเนินการเหล่านั้นช่วยให้ระบบที่ดำเนินการอยู่ดียิ่งขึ้นได้

รายการมาตรการควบคุมและวัตถุประสงค์ด้านความมั่นคงปลอดภัยข้อมูลสารสนเทศ (Annex A. Information Security Controls) ในการดำเนินการเพื่อให้ได้รับรองมาตรฐาน บริษัทมีความจำเป็นต้องพิจารณาความเสี่ยงในกิจกรรมที่ดำเนินการและพิจารณานำมาตรการควบคุมไปปรับใช้ โดยมาตรฐานควบคุมทั้งหมดมี 114 มาตรฐานควบคุม ถูกระบุไว้ในทั้งหมด 14 หมวดหมู่ ดังรายละเอียดต่อไปนี้

  • A.5 Information security policies (นโยบายด้านความมั่นคงปลอดภัยข้อมูลสารสนเทศ)
  • A.6 Organization of information security (โครงสร้างด้านความมั่นคงปลอดภัยข้อมูลสารสนเทศ)
  • A.7 Human resource security (การรักษาความมั่นคงปลอดภัยด้านบุคลากร)
  • A.8 Asset management (การบริหารจัดการทรัพย์สินสารสนเทศ)
  • A.9 Access control (การควบคุมการเข้าถึงระบบสารสนเทศ)
  • A.10 Cryptography (การเข้ารหัส)
  • A.11 Physical and environmental security (การรักษาความมั่นคงปลอดภัยทางกายภาพและสภาพแวดล้อม)
  • A.12 Operational security (การรักษาความมั่นคงปลอดภัยด้านการปฏิบัติการสารสนเทศ)
  • A.13 Communication security (การรักษาความมั่นคงปลอดภัยด้านการสื่อสาร)
  • A.14 System acquisition, development and maintenance (การจัดหาร การพัฒนา และการดูแลบำรุงรักษาระบบสารสนเทศ)
  • A.15 Supplier relationships (การทำงานร่วมกับผู้ให้บริการ/บุคคลภายนอก)
  • A.16 Information security incident management (การบริหารจัดการเหตุการณ์ผิดปกติด้านความมั่นคงปลอดภัยข้อมูลสารสนเทศ)
  • A.17 Information security aspects of business continuity management (การบริหารจัดการความต่อเนื่องทางธุรกิจที่เกี่ยวข้องกับด้านการรักษาความมั่นคงปลอดภัยข้อมูลสารสนเทศ)
  • A.18 Compliance (การปฏิบัติตามข้อกำหนด กฎระเบียบ กฎหมาย รวมถึงข้อสัญญาที่เกี่ยวข้อง)

ไม่เพียงแต่เวอร์ชั่นปัจจุบันเท่านั้น ในประเทศไทย กฎหมาย หรือกฎระเบียบที่ถูกประกาศใช้จากภาครัฐ หน่วยงานกำกับ ก็มีเนื้อหาบางส่วนอ้างอิงการดำเนินการมาตรฐานนี้ ทั้งเวอร์ชั่นปัจจุบันปี 2013 รวมถึงเวอร์ชั่นก่อนหน้านี้ด้วย ISO/IEC 27001:2005 ดังจะเห็นได้จากตัวอย่างดังต่อไปนี้

ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ เรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศตามวิธีการแบบปลอดภัย พ.ศ. 2555 อ้างอิงมาตรฐาน ISO/IEC 27001:2005 ประกาศสำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (ก.ล.ต.) ประกาศที่ สธ. 37/2559 และ ประกาศแนวปฏิบัติ ที่ นป. 3/2559 เรื่อง แนวปฏิบัติในการจัดให้มีระบบเทคโนโลยีสารสนเทศ เนื้อหาส่วนใหญ่ครอบคลุมมาตรฐาน ISO/IEC 27001:2005 ประกาศสำนักงานคณะกรรมการกำกับและส่งเสริมการประกอบธุรกิจประกันภัย (คปภ.) เรื่อง กำหนดหลักเกณฑ์ วิธีการออก การเสนอขายกรมธรรม์ประกันภัยของบริษัทประกันชีวิต และการปฏิบัติหน้าที่ของตัวแทนประกันชีวิต นายหน้าประกันชีวิต และธนาคาร พ.ศ. 2561 เนื้อหาส่วนใหญ่ครอบคลุมมาตรฐาน ISO/IEC 27001:2005 ประกาศสำนักงานคณะกรรมการกำกับและส่งเสริมการประกอบธุรกิจประกันภัย (คปภ.) เรื่อง หลักเกณฑ์การกำกับดูแลและบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศของบริษัทประกันชีวิต / ประกันวินาศภัย พ.ศ. 2563 เนื้อหาบางส่วนครอบคลุมมาตรฐานISO/IEC 27001:2013 ประกาศธนาคารแห่งประเทศไทย ที่ สนช. 1/2564 เรื่อง หลักเกณฑ์การกำกับดูแลความเสี่ยงด้านเทคโนโลยีสารสนเทศ (Information Technology Risk) ตามกฎหมายว่าด้วยระบบการชำระเงิน เนื้อหาบางส่วนในหัวข้อ IT Security สอดคล้องกับมาตรฐาน ISO/IEC 27001:2013

จากข้อมูลข้างต้นนี้จะเห็นได้ว่าจุดเริ่มต้นเรื่องการบริหารจัดการด้าน Information security ด้าน IT Security และ Cybersecurity สามารถเริ่มต้นได้จากการพิจารณานำมาตรฐาน ISO 27001 นำไปปรับใช้ภายในองค์กร และจะเห็นได้ว่าการดำเนินการงานด้าน ISO 27001 นั้นนอกจากจะช่วยให้องค์กรสามารถสร้างความมั่นใจให้กับผู้มีส่วนได้ส่วนเสียสำหรับการคุ้มครองข้อมูลที่สำคัญ ก็ยังช่วยให้องค์กรเองสามารถปฏิบัติตามกฎหมายด้านความมั่นคงปลอดภัยสารสนเทศได้ไม่มากก็น้อยอีกด้วย อย่างไรก็ตามมีอีกหลายมาตรฐานที่ปัจจุบันหลายหน่วยงานองค์กรนำมาพิจารณาปรับใช้เป็นหลักเกณฑ์ข้อบังคับต่าง ๆ อีกมาตรฐานหนึ่งที่ได้รับความนิยมในประเทศไทยคือมาตรฐาน NIST Cybersecurity Framework (CSF) ผู้เขียนจะขอนำมาเล่าให้ฟังในโอกาสถัดไป

ในปัจจุบันมีความจำเป็นอย่างยิ่งที่จะต้องดูแลข้อมูลสารสนเทศสำคัญชององค์กร ซึ่งถือเป็นหัวใจหลักในการดำเนินธุรกิจ รวมไปถึงทรัพย์สิน (asset) ต่าง ๆ ขององค์กรด้านเทคโนโลยีสารสนเทศที่ทำงานร่วมกับข้อมูลสารสนเทศ เพื่อเป็นการเตรียมการในการป้องกัน รวมไปถึงการออกแบบการรับมือเหตุการณ์ด้านความมั่นคงปลอดภัยสารสนเทศในรูปแบบต่าง ๆ มาตรฐาน ISO 27001 เองก็จะได้รับความนิยมมากขึ้นเรื่อย ๆ และในปัจจุบันเองมาตรฐานฉบับนี้กำลังจะกลายเป็นข้อจำเป็นพื้นฐานในการทำงานร่วมกัน ดังจะเห็นได้จากมาตรฐาน ISO 27001 ได้ถูกกำหนดไว้เป็นส่วนหนึ่งของเอกสารความต้องการโครงการ (Terms of Reference: TOR) ในการยื่นงานทั้งภาครัฐและภาคเอกชน ผู้เขียนคาดว่าในอนาคตอันใกล้นี้มาตรฐานฉบับนี้จะกลายเป็นความจำเป็นพื้นฐาน (minimum requirement) โดยปริยาย สำหรับผู้ที่ต้องการข้อมูลเพิ่มเติมสำหรับมาตรฐาน ISO 27001 นี้ หรือมาตรฐานอื่นใดด้านเทคโนโลยีสารสสนเทศ สามารถติดต่อทีมที่ปรึกษาเราได้ที่ contact@incognitolab.com หรือ 090-642-8988 | 080-089-8800

OUR SERVICES

Get the help you need

Interested in our services or want to know more? Book a call through the website anytime — our team is happy to advise and answer all your questions.

More to read

Up Next

Blog preview image

ARTICLES

Jun

26

2026

Security Hardening รากฐานความปลอดภัยของระบบ ที่ทุกคนควรใส่ใจ

ระบบปฏิบัติการ (OS) หรือ Server ที่ถูกติดตั้งมาในตอนแรก มักจะมีฟังก์ชันการทำงาน, Services หรือ Ports ต่าง ๆ เปิดทิ้งไว้เป็นค่าเริ่มต้นเพื่อความสะดวกในการใช้งาน กระบวนการทำ Security Hardening จึงเข้ามาจัดการอุดหรือแก้ไขปัญหาเหล่านี้ผ่านเทคนิคสำคัญ

READ MORE

Blog preview image

ARTICLES

May

19

2025

มหาวิทยาลัยทักษิณ มุ่งสู่มหาวิทยาลัยปลอดภัยด้านไซเบอร์ – อินค็อกนิโตแล็บร่วมผลักดันสู่มาตรฐาน ISO/IEC 27001:2022 พร้อมเสริมทัพด้วย Cyber Drill, Pentest และ PDPA

บริษัท อินค็อกนิโตแล็บ จำกัด ขอแสดงความยินดีกับ มหาวิทยาลัยทักษิณ ที่เดินหน้าสู่การเป็นองค์กรต้นแบบด้านการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ ด้วยการขับเคลื่อนโครงการ พัฒนาระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศตามมาตรฐาน ISO/IEC 27001:2022 สำหรับศูนย์เทคโนโลยีดิจิทัล

READ MORE

Blog preview image

ARTICLES

Mar

29

2025

บทเรียนจากแผ่นดินไหว สู่แผนรับมือด้วย ISO 22301

เหตุการณ์แผ่นดินไหวที่เมียนมาเมื่อวันที่ 28 มีนาคม 2025 ส่งผลกระทบต่อประเทศไทยอย่างชัดเจน ไม่ว่าจะเป็นอาคารสำนักงาน คอนโดที่พักอาศัย รวมถึงพื้นที่ธุรกิจหลายแห่งที่ต้องหยุดชะงักชั่วคราว สะท้อนให้เห็นถึงความสำคัญของการเตรียมความพร้อมเพื่อรับมือกับเหตุการณ์ที่ไม่คาดคิด

READ MORE

logologo

INCOGNITO LAB CO., LTD.

38 Soi Petchakasem 30, Pak Khlong Phasi Charoen, Phasi Charoen, Bangkok 10160

©2026 Incognito Lab Co., Ltd. All rights reserved

Terms & ConditionsPrivacy Policy