"องค์กรที่มี ISO/IEC 27001 อยู่แล้ว การที่ทำ NIST CSF ไม่ยากครับ แค่ไป review procedure ให่มีรายละเอียด NIST CSF ครับ เพราะ หากดูข้อกำหนด ของ ISO/IEC 27001 Annex A นั้น จะ ไท่ได้ลงรายละเอียด แต่ NIST CSF จะมีรายละเอียดมากกว่าครับ แค่มาreview ในรายละเอียดครับผม"
"เรียนสอบถามอาจารย์ครับ กรณีที่องค์กร Certify ISO27001 & ISO27701 และ PCIDSS 3.2.1 อยู่แล้ว หากต้อง Apply NIST CSF 2.0 เพิ่ม ในมุมมองของอาจารย์มองว่าประเด็นใดที่สำคัญ ที่องค์กรต้อง Imp. เพิ่มเติม"
"ISO standard, PCIDSS Standard, NIST standard มีการเขียนที่แตกต่างกัน บางstandard ลงรยละเอียดบางเรื่อง ไม่ได้ลงรายละเอียด บางเรื่อง ดังนั้นผมยังแนะนำ ให้เอา NIST CSF มาทำ Gap analysis เพื่อดูว่า มีตัวให้บ้างที่ ยังไม่มีรายละเอียด ในเรื่องใดของ NIST CSF ก็มา review ทำเพิ่ม โดย ส่วยตัว ผมว่าไม่มากครับ แค่มาปรับปรุงรายละเอียดครับผม"
"แปลว่าการขอ Cert NIST เราต้องมี Cert ISO27001 ก่อน ใช่มั๊ยคะ"
"ใช่ครับ การขอ cert NIST CSF ต้องอยู่ภายใต้ Cert ISO/IEC 27001 ครับ แต่ จะขอ ISO/IEC 27001 certification ก่อน หรือ ขอพร้อมกันก็ได้ครับ"
