ISO/IEC 27001:2022 มีอะไรใหม่?

ISO/IEC 27001 คืออะไร?

ISO/IEC 27001 คือมาตรฐานความมั่นคงปลอดภัยข้อมูลสารสนเทศ (ISMS – Information Security Management System)
เวอร์ชัน 2013 ใช้กันมายาวนาน → อัปเดตใหม่เป็น 2022 เพื่อให้ทันกับความเสี่ยงยุคปัจจุบัน
องค์กรที่ถือใบรับรองจำเป็นต้อง Transition Plan ภายในช่วงเวลาที่กำหนด

การปรับ Annex A Controls
- จาก 114 Controls → เหลือ 93 Controls
- รวมหมวดหมู่ใหม่เป็น 4 กลุ่ม:
1. Organizational (37)
2. People (8)
3. Physical (14)
4. Technological (34)
การควบคุมใหม่ “New Controls”
- Threat Intelligence (5.7)
- Information Security for Cloud Services (5.23)
- ICT Readiness for Business Continuity (5.30)
- Physical security monitoring (7.4)
- Configuration management (8.9)
- Information deletion (8.10)
- Data Masking (8.11)
- Data leakage prevention (8.12)
- Monitoring activities (8.16)
- Web filtering (8.23)
- Secure Coding (8.28)

1. Gap Analysis – ตรวจว่ามี Control ไหนที่ยังไม่ครอบคลุมบ้าง
2. Update Documentation – Policy, Procedure, SoA
3. Training – Awareness + Specific Training
4. Internal Audit – ตรวจสอบการ Implement ในส่วนที่เพิ่ม
5. Certification Audit – Re-certification หรือ Transition Audit

1. ลดความเสี่ยงด้าน Cybersecurity (Cloud, Ransomware, Data Breach)
2. เพิ่มความเชื่อมั่นของลูกค้า/คู่ค้า
3. ปรับให้เข้ากับกฎหมายใหม่ (PDPA, Cybersecurity Act 2562)
4. ทำให้องค์กรแข่งขันได้ในระดับสากล