Information คือข้อมูลในองค์กร ที่สามารถอยู่ในรูปแบบใดๆ ก็ได้ เช่น Hard Copy หรือ Soft file เป็นต้น และก็สามารถอยู่ในรูปแบบการจัดเก็บในหลายๆ แบบเช่นกัน เช่น เครื่อง Client, Server, Network Equipment หรือ Thump Drive ดังนั้นในมุมของ Information Security ก็จะมีอยู่ 2 Sub-categories ได้แก่
- To Protection of the physical environment by ensuring the premises is secure
- To make sure no one can access information electronically ซึ่งส่วนนี้ก็คือCyber Security
นั้นแสดงถึงว่า Cyber Security เป็นแค่ Subset หนึ่งของ Information Security ซึ่งในปัจจุบันก็มีมาตรฐานที่เฉพาะเจาะจงเกี่ยวกับด้านนี้ก็คือ ISO/IEC 27032:2012 ซึ่งเป็นมาตรฐานที่ว่าด้วยเรื่องนี้โดยตรง อย่างไรก็ตามมาตรฐานยังเป็นลักษณะ Guidelines อยู่ จึงยังไม่สามารถ Audit ในแบบ Accredited อย่างไรก็ตามถ้าองค์กรใด ได้รับการรับรองมาตรฐาน ISO/IEC 27001:2013 ไปแล้วก็สามารถเพิ่มเติม Cyber Security Technical Controls เช่น
- Social engineering attacks
- Hacking
- Malicious Software (malware)
- Spyware
- Other unwanted software
รวมไปถึงการทำ
- Secure Coding
- Network monitoring and response
- Server level controls
- Application level controls
- End user workstation controls
ซึ่งก็จะช่วยให้การทำ ISO/IEC 27032:2012 ได้ง่ายขึ้นและเป็นการต่อยอดจากมาตรฐานเดิมที่มีอยู่แล้วด้วย
Contact us: sales@proud-consulting.com
Mobile Phone Number: 092-474-7877