คำถามจากผู้เข้าร่วมสัมมนา
"ฝากคำถามครับ องค์กรผมกำลังเริ่ม ISO27001:2013 ต้นเดือน กพ นี้ (สรุปผลคัดเลือก Consulting Services แล้วเรียบร้อย) ที่อยากทราบคือ จะมีผลในการจัดเตรียม เพื่อขอใบรับรองภายใน 270 วัน อย่างไรบ้างครับ เนื่องจากเรายังคง Annex 114 Control แบบเดิมอยู่"
"เนื่องจาก ISO/IEC 27002 จะประกาศ ปลายเดือน ม.ค. หรือต้น เดือน ก.พ. และหลังจากนั้น ISO/IEC 27001 ถึงจะประกาศ ตัว control annex A ออกมา เมื่อประกาศเสร็จแล้ว ทาง ผู้ตรวจ จะต้องรอทาง AB (Accreditation Body) ประกาศเรื่อง transition ออกมา ผมว่าอีกสักพักใหญ่ๆ จึงคิดว่า หากกำลังทำ ISO/IEC 27001 น่าจะทำ annex A ตามตัวเดิม แต่อาจจะใส่ ตัวใหม่ของ ISO/IEC 27002 ไว้ เพื่อเตรียมตัวปรับเปลี่ยนต่อไปครับ"
"เพิ่ม cloud service มาด้วยจะกระทบ หรือมีการเปลี่ยนแปลงไปถึง ISO 27017 หรือไม่คะ"
"เนื่องจาก ISO/IEC 27017 นั้นเขียนล้อตาม ISO/IEC 27002 ดังนั้น ISO/IEC 27017 นั้นต้องปรับเปลี่ยนให้สอดคล้องกับ ISO/IEC 27002 ครับ เพราะ ตัวข้อกำหนด ISO/IEC 27002 นั้นเปลี่ยน รวมถึง standard ที่เกี่ยวข้องอื่นๆด้วย เช่น ISO/IEC 27018, ISO/IEC 27799 เป็นต้น"
"หลายตัวเกี่ยวข้องกับ ISO 27701 ที่ขอ cert ไว้ต้องปรับด้วยใช่ไหมคะ"
"ครับ ต้องเตรียมตัวปรับ SOA ให้สอดคล้องกับ ISO/IEC 27001 ที่จะมีการ revised Annex A ครับ"
"ISO 27001 เราสามารถนำมาใช้ Compliance PDPA ที่จะมีผล วันที่ 1 มิย 65 นี้ ได้ทั้งหมดมั้ยครับ ถ้าไม่ได้ มีส่วนไหนต้องเติมบ้างครับ"
"PDPA เป็นกฏหมาย ด้านความปลอดภัยข้อมูล โดยมีหลาย องค์ประกอบ การนำ ISO/IEC 27001 ประยุกต์ใช้ อาตเพื่อตอบโจทย์ เรื่อง การรักษาความปลอดภัย ของPII ที่อาจจะเกิด incident ได้ แต่ประเด็นด้านอื่นๆก็มีครับ อาจจะต้อง ศึกษาเพิ่มเติม "
"Sensitive ในที่นี้แตกต่างกับ PDPA ใช่มั้ยครับ แปลว่าต้องตีความหมาย Sensitive ในด้านขององค์กรใช่มั้ยครับ"
"Sensitive ใน ISO/IEC 27002 นี้จะเป็นข้อมูลที่มีความสำคัญในระดับ confidential มากๆ ในองค์กร อาจไม่ได้มองแค่ PII อย่างเดียวครับ"
"บางข้อกำหนดไม่สามารถใช้ policy ได้เช่น DLP ถ้าไม่มีเงินลงทุนทำแนะนำยังไงครับ"
"ISO/IEC 27001 ไม่ได้ให้ต้อง implement ทุกข้อ การ implement จะเป็นไปตาม ความเสียง ขององค์กร ตาม บริทบองค์กร ตาม intended outcome ขององค์กรครับ"
"27002 เวอร์ชั่นใหม่เริ่มใช้งานเมื่อไรนะคะ"
"จะออกเป็นทางการ ปลาย มกราคม หรือ ต้น กุมภาพันธ์ นี้"
"แต่องค์กรที่ทำ ISO ใหม่ละครับ ใช้ Version เดิมหรือใหม่ครับ"
"ISO/IEC 27001 จะออก ประมาณ Q1 หรือ ต้น Q2 หลังจากนั้น อาจจะต้องมีเวลาอีกเล็กน้อยในการประกาศของ Accreditation Body ผมแนะนำให้ เป็นตัวเก่าก่อน แต่เตรียมตัวใหม่เพิ่มไว้ น่าจะดีกว่าครับ "