"องค์กรผม กำลังทำ ISO27001:2013 กำหนดระยะเวลาไว้ 9 เดือน (เมย-ธค 65) โดยจ้างที่ปรึกษามาช่วย คาดว่าจะตรวจกับ CB เดือน ธันวาคม 2565 นี้ครับ คำถามคือ ทาง consult ยังใช้ Control 27002:2013 อยู่ (114 controls) จะมี concerns อะไรในการตรวจกับ CB ตอนเดือนธันวาคมมั้ยครับ และในระยะยาว 2-3 ปี จะมีผลกระทบหรือไม่อย่างไรครับ"
"จากทาง ที่ BSI แจ้งใน webinar แล้วครับว่า เมื่อ ทาง ISO ออกข้อกำหนด ISO/IEC 27001 มาแล้ว ทาง CB จะต้องรอให้ทาง AB ประกาศ กระบวนการตรวจก่อน หลังจากนั้นทาง CB ถึงจะตรวจ Version ที่จะออกนี้ได้ และหลังจาก ทาง AB ประกาศมาแล้ว คาดว่าจะมี transition period ครับ โดยคาดว่าไม่น่าจะมีประเด็นอะไรครับ แต่ทั้งนี้ทั้งนั้น คงต้องรอทาง AB ออกข้อกำหนดมาให้ CB ก่อน ถึงจะทราบแน่นอนครับ"
"ISO 27002:2022 มีผลกระทบในส่วนขององค์กรที่ Imp. ISO/IEC 27701 ด้วยไหมครับ เนื่องจากมีการอ้างอิงถึง ISO/IEC 27001 ในส่วนของ Control (เพิ่มเติม / ปรับปรุง / เปลี่ยนแปลง) รบกวนสอบถามว่าจะมีผลกระทบอย่างไรครับ"
"ISO/IEC 27701 มีข้อกำหนด ของตัวเอง แต่requirementข้อ6 เป็น guideline มีการอ้างอิงข้อกำหนด ISO/IEC 27002:2013 ในอนาคตผมคิดว่าอาจจะมีการปรับครับ แต่ต้องรอทาง ISO ครับ คำถามว่ามีผลอะไรไหม ผมว่ามีบ้างแต่ไม่น่าจะมากครับ เพราะข้อ 6 เป็น guideline ครับ"
"องค์กรผม ต้องทำระบบ ไหนก่อน ISO27001 --> ISO27701 --> ISO27002 ตามลำดับนี้หรือเปล่าครับ"
"ISO/IEC 27002 เป็น control ครับ จะใช้คู่กับ ISO/IEC 27001 ในการเลือก security control หากองค์กรท่าน จะImplement ผมแนะนำเป็น ISO/IEC 27001 ครับ และ เลือกcontrol จาก Annex A ของ ISO/IEC 27001 และ รายละเอียดการ control ไปดูใน ISO/IEC 27002 ครับ สำหรับ ISO/IEC 27701 เป็น เรื่อง Privacy Information Management System ซึ่งการตรวจรับรองตัวนี้ ขอบเขตการตรวจต้องอยู่ภายใต้ ISO/IEC 27001ครับ โดยจะ certify พร้อมกับ ISO/IEC 27001 หรือ Certify หลัง ISO/IEC 27001 ก็ได้ครับ อยู่ที่องค์กรครับ"
"What is the impact to Financial Institutions on the new ISO?"
"กระทบกับ ผู้ที่ Implement ISO/IEC 27001 ทุกsector ครับ เพราะ Information control ใน Annex A มีการปรับเปลี่ยนครับ"
"การปรับเปลี่ยน Annex A ของ ISO 27001 จะถือว่าเป็น Version 2022 หรือไม่ หรือยังเป็น Version 2013 แล้วมีส่วนเพิ่มเติมเข้ามาเท่านั้น"
"ต้องรอทาง ISO ประกาศอีกทีครับ แต่ที่ปรับเปลี่ยนคือ Annex A และ note เล็กๆ ในข้อ 6.1.3 (ผมอ้างอิงจาก version CD นะครับ)"