BSI Webinar

ส่องข้อกำหนดมีอะไรใหม่ใน ISO/IEC 27002:2022

ISO 27002:2022 ได้ถูกประกาศอย่างเป็นทางการแล้ว เมื่อวันที่ 15 กุมภาพันธ์ 2022 ที่ผ่านมา (แทนที่เวอร์ชั่น 2013)

ISO/IEC 27002:2022 เป็นแนวทางที่ออกแบบมาเพื่อใช้เป็นข้อมูลอ้างอิงในการควบคุมสำหรับการจัดการความเสี่ยงด้านความปลอดภัยของข้อมูลเพื่อสนับสนุนระบบการจัดการความปลอดภัยของข้อมูลตาม ISO/IEC 27001 หรือเป็นชุดการรักษาความปลอดภัยของข้อมูลแบบระบบ Stand-Alone ที่เป็นที่ยอมรับโดยทั่วไป

สัมมนานี้จัดขึ้นเพื่อให้ผู้เข้าอบรมเข้าใจภาพรวมและข้อกำหนดใหม่ของ ISO/IEC 27002:2022 ทราบแนวทางการประยุกต์ใช้ในภาพรวมของ ISO/IEC 27001 ที่เกี่ยวกับ Control ISO/IEC 27002:2022 รวมถึงผลกระทบของการเปลี่ยนแปลง ISO/IEC 27002:2022 ต่อการขอการรับรอง ISO/IEC 27001

หัวข้อสัมมนา
• Overview ISO/IEC 27002:2022
• ข้อกำหนดใหม่ ของ ISO/IEC 27002:2022
• ผลกระทบของการเปลี่ยนแปลง ISO/IEC 27002:2022 ต่อการขอการรับรอง ISO/IEC 27001

รับชม Record VDO สัมมนา

คำถามจากผู้เข้าร่วมสัมมนา

imagem9ct.png"องค์กรผม กำลังทำ ISO27001:2013 กำหนดระยะเวลาไว้ 9 เดือน (เมย-ธค 65) โดยจ้างที่ปรึกษามาช่วย คาดว่าจะตรวจกับ CB เดือน ธันวาคม 2565 นี้ครับ คำถามคือ ทาง consult ยังใช้ Control 27002:2013 อยู่ (114 controls) จะมี concerns อะไรในการตรวจกับ CB ตอนเดือนธันวาคมมั้ยครับ และในระยะยาว 2-3 ปี จะมีผลกระทบหรือไม่อย่างไรครับ"

image1ablq.png"จากทาง ที่ BSI แจ้งใน webinar แล้วครับว่า เมื่อ ทาง ISO ออกข้อกำหนด ISO/IEC 27001 มาแล้ว ทาง CB จะต้องรอให้ทาง AB ประกาศ กระบวนการตรวจก่อน หลังจากนั้นทาง CB ถึงจะตรวจ Version ที่จะออกนี้ได้ และหลังจาก ทาง AB ประกาศมาแล้ว คาดว่าจะมี transition period ครับ โดยคาดว่าไม่น่าจะมีประเด็นอะไรครับ แต่ทั้งนี้ทั้งนั้น คงต้องรอทาง AB ออกข้อกำหนดมาให้ CB ก่อน ถึงจะทราบแน่นอนครับ" 

imagem9ct.png"ISO 27002:2022 มีผลกระทบในส่วนขององค์กรที่ Imp. ISO/IEC 27701 ด้วยไหมครับ เนื่องจากมีการอ้างอิงถึง ISO/IEC 27001 ในส่วนของ Control (เพิ่มเติม / ปรับปรุง / เปลี่ยนแปลง) รบกวนสอบถามว่าจะมีผลกระทบอย่างไรครับ​"

image1ablq.png"ISO/IEC 27701 มีข้อกำหนด ของตัวเอง แต่requirementข้อ6 เป็น guideline มีการอ้างอิงข้อกำหนด ISO/IEC 27002:2013 ในอนาคตผมคิดว่าอาจจะมีการปรับครับ แต่ต้องรอทาง ISO ครับ คำถามว่ามีผลอะไรไหม ผมว่ามีบ้างแต่ไม่น่าจะมากครับ เพราะข้อ 6 เป็น guideline ครับ" 

imagem9ct.png"องค์กรผม ต้องทำระบบ ไหนก่อน ISO27001 --> ISO27701 --> ISO27002 ตามลำดับนี้หรือเปล่าครับ"

image1ablq.png"ISO/IEC 27002 เป็น control ครับ จะใช้คู่กับ ISO/IEC 27001 ในการเลือก security control หากองค์กรท่าน จะImplement ผมแนะนำเป็น ISO/IEC 27001 ครับ และ เลือกcontrol จาก Annex A ของ ISO/IEC 27001 และ รายละเอียดการ control ไปดูใน ISO/IEC 27002 ครับ สำหรับ ISO/IEC 27701 เป็น เรื่อง Privacy Information Management System ซึ่งการตรวจรับรองตัวนี้ ขอบเขตการตรวจต้องอยู่ภายใต้ ISO/IEC 27001ครับ โดยจะ certify พร้อมกับ ISO/IEC 27001 หรือ Certify หลัง ISO/IEC 27001 ก็ได้ครับ อยู่ที่องค์กรครับ" 

"What is the impact to Financial Institutions on the new ISO?"

image1ablq.png"กระทบกับ ผู้ที่ Implement ISO/IEC 27001 ทุกsector ครับ เพราะ Information control ใน Annex A มีการปรับเปลี่ยนครับ" 

"การปรับเปลี่ยน Annex A ของ ISO 27001 จะถือว่าเป็น Version 2022 หรือไม่ หรือยังเป็น Version 2013 แล้วมีส่วนเพิ่มเติมเข้ามาเท่านั้น"

image1ablq.png"ต้องรอทาง ISO ประกาศอีกทีครับ แต่ที่ปรับเปลี่ยนคือ Annex A และ note เล็กๆ ในข้อ 6.1.3 (ผมอ้างอิงจาก version CD นะครับ)"

 

ดู Q&A จากสัมมนาเพิ่มเติม

ติดต่อเรา

ไม่ว่าในตอนนี้คุณกำลังเริ่มวางแผนที่จะทำการขอรับรองระบบ หรือต้องการพัฒนาระบบให้ดียิ่งขึ้น ติดต่อเรา เพื่อที่ทีมผู้เชี่ยวชาญของเราจะแนะนำให้คุณผ่านทุกกระบวนการ การขอรับรองระบบ

โทร 02-294-4889-92

อีเมลหาเรา: infothai@bsigroup.com
เยี่ยมชม Facebook ของเรา