กรมพัฒนาธุรกิจการค้า ก้าวไปอีกขั้น... ผ่านการตรวจประเมินด้านการบริหารจัดการความปลอดภัยของข้อมูลสารสนเทศ ตามมาตรฐาน ISO/IEC 27001: 2013 ประกาศความปลอดภัยด้านเทคโนโลยีสารสนเทศขั้นสูง สร้างความเชื่อมั่นให้ผู้ใช้บริการ นับเป็นหน่วยงานแรกในกระทรวงพาณิชย์ที่ได้รับการรับรองมาตรฐานฯ ดังกล่าว ย้ำจุดยืน!! เพิ่มประสิทธิภาพการอำนวยความสะดวกภาคธุรกิจ พร้อมยกระดับคุณภาพการให้บริการสู่หน่วยงานราชการแห่งนวัตกรรม

            นางกุลณี อิศดิศัย อธิบดีกรมพัฒนาธุรกิจการค้า กระทรวงพาณิชย์ เปิดเผยว่า “เมื่อเร็วๆ นี้ กรมพัฒนาธุรกิจการค้า ได้ผ่านการตรวจประเมินด้านการบริหารจัดการความปลอดภัยของข้อมูลสารสนเทศ ตามมาตรฐาน ISO/IEC 27001:2013ซึ่งเป็นมาตรฐานความปลอดภัยด้านเทคโนโลยีสารสนเทศระดับสากล และเป็นมาตรฐานที่ทุกประเทศให้การยอมรับ โดยกรมพัฒนาธุรกิจการค้าเป็นหน่วยงานแรกในกระทรวงพาณิชย์ที่ได้รับใบรับรองมาตรฐานฯ ดังกล่าว ที่ได้รับการรับรองให้ “ระบบการจดทะเบียนนิติบุคคลทางอิเล็กทรอนิกส์ (e-Registration)” “ระบบจดทะเบียนสัญญาหลักประกันทางธุรกิจ (e-Secured Transaction)” และ “ศูนย์คอมพิวเตอร์ (Data Center)” ของกรมพัฒนาธุรกิจการค้า มีการบริหารจัดการความปลอดภัยของข้อมูลสารสนเทศตามมาตรฐานสากล”                                                                                                                 “มาตรการรักษาความปลอดภัยระบบสารสนเทศถือเป็นหัวใจหลักในการบริหารจัดการองค์กรของกรมฯ เพื่อก้าวสู่การเป็น Digital Department และหน่วยงานราชการแห่งนวัตกรรมอย่างสมบูรณ์แบบ รวมทั้ง สร้างความเชื่อมั่น และความพึงพอใจแก่ผู้ใช้บริการผ่านระบบอิเล็กทรอนิกส์ของกรมฯ ว่าข้อมูลสารสนเทศของผู้ใช้บริการจะได้รับการปกป้องและมีความมั่นคงปลอดภัยในทุกมิติ ไม่ว่าจะเป็นการป้องกันการเข้าถึงระบบ การบริหารจัดการความต่อเนื่องในการบริการระบบสารสนเทศของกรมฯ และการปกป้องข้อมูลส่วนบุคคลไม่ให้ผู้ที่มีเจตนาที่ไม่ดีนำไปใช้หาประโยชน์และนำไปก่ออาชญากรรมได้ ดังนั้น ผู้ใช้บริการจึงมั่นใจได้ว่า ข้อมูลส่วนบุคคลหรือข้อมูลทางธุรกิจที่ได้ดำเนินการผ่านระบบเทคโนโลยีของกรมฯ จะมีความปลอดภัย และไม่ถูกคุกคามจากโลกไซเบอร์ ทั้งนี้ กรมฯ ได้กำหนดมาตรการต่างๆ เพื่อรองรับเหตุไม่คาดฝันไว้ด้วย เช่น กรณีเกิดเหตุที่ทำให้ระบบขัดข้อง กรมฯ ก็สามารถรับมือและกู้คืนระบบได้ ซึ่งจะยิ่งสร้างความเชื่อมั่นให้แก่ผู้ใช้บริการได้มากยิ่งขึ้น”                                                                                                                                     

              นายบุคลากร ใจดี ผู้อำนวยการฝ่ายพัฒนาธุรกิจ บริษัท บีเอสไอ กรุ๊ป (ประเทศไทย) จำกัด (BSI) ในฐานะตัวแทนบริษัท บีเอสไอ กรุ๊ป จำกัด ซึ่งเป็นสถาบันมาตรฐานแห่งชาติของประเทศอังกฤษในประชาคมมาตรฐานสากล (UK National Standard Body) ที่ได้รับการแต่งตั้งอย่างเป็นทางการจากองค์กร ISO ในการตรวจประเมินด้านการบริหารจัดการความปลอดภัยของข้อมูลสารสนเทศ ตามมาตรฐาน ISO ในประเทศไทย กล่าวเพิ่มเติมว่า “การบริหารจัดการความปลอดภัยของข้อมูลสารสนเทศ ตามมาตรฐาน ISO/IEC 27001: 2013 เป็นมาตรฐานความปลอดภัยด้านเทคโนโลยีสารสนเทศระดับสากลที่มีความสำคัญและจำเป็นอย่างยิ่ง โดยเฉพาะหน่วยงานที่มีการให้บริการผ่านระบบเทคโนโลยีสารสนเทศ เนื่องจากปัจจุบันอาชญากรทางโลกออนไลน์หรือโลกไซเบอร์มีการพัฒนาตนเองจนมีความล้ำหน้าทางเทคโนโลยีขั้นสูง สามารถโจรกรรมข้อมูลส่วนบุคคลหรือข้อมูลทางธุรกิจได้ไม่ยาก ดังนั้น การมีระบบบริหารจัดการความปลอดภัยของข้อมูลสารสนเทศ (Information Security Management System : ISMS) ตามมาตรฐานสากลจึงเป็นปราการด่านสำคัญในการปกป้องข้อมูลผู้ใช้บริการและระบบสารสนเทศของหน่วยงานผู้ให้บริการให้มีความมั่นคงปลอดภัย และป้องกันความเสี่ยงต่างๆ ที่อาจเกิดขึ้นในอนาคต ซึ่งระบบการบริหารจัดการสารสนเทศในองค์กรให้มีความมั่นคงปลอดภัยตามมาตรฐาน ISO/IEC 27001: 2013 จะมีมาตรการที่เหมาะสมกับความเสี่ยงของข้อมูลสารสนเทศ (Information Security Risk) ทั้งหมด 14 ข้อกำหนด 114 มาตรการควบคุม”      “ดังนั้น มาตรฐาน ISO/IEC 27001: 2013 จึงเป็นที่ยอมรับในระดับสากล และสามารถป้องกันความเสี่ยงที่อาจเกิดขึ้นได้ แต่อย่างไรก็ตาม มาตรฐาน ISO/IEC 27001: 2013 มีอายุการใช้งาน 3 ปี โดยในแต่ละปีจะต้องมีการตรวจติดตามผลการดำเนินงาน (Surveillance Audit) อย่างต่อเนื่อง และเมื่อครบกำหนดก็จำเป็นต้องได้รับการตรวจประเมินใหม่ เพื่อให้ระบบการบริหารจัดการความปลอดภัยของข้อมูลสารสนเทศขององค์กรมีความสมบูรณ์แบบและปลอดภัยจากการถูกคุกคามมากที่สุด”                                                                                                                                                              

             มาตรฐาน ISO 27001 เป็นมาตรฐานสากลที่ทั่วโลกให้การยอมรับ ออกโดยองค์กร ISO (International Organization for Standardization) ซึ่งเป็นหน่วยงานที่ให้กำเนิดมาตรฐาน ISO 27001 โดยเวอร์ชั่นล่าสุด คือ ISO/IEC 27001: 2013 ประกาศเมื่อวันที่ 1 ตุลาคม 2013 ส่วนเวอร์ชั่นแรกประกาศใช้ครั้งแรกเมื่อปี 2550 (ISO 27001: 2005) หลังประกาศใช้ก็ได้รับความสนใจจากองค์กรทั้งภาครัฐและเอกชนทั่วโลก นำมาใช้งานและขอรับการรับรอง (Certification) โดยมีหน่วยงานภาครัฐและเอกชนในประเทศไทยที่มีชื่อเสียงเริ่มดำเนินการตามมาตรฐาน ISO 27001 และได้ผ่านการรับรองเป็นผลสำเร็จ                                                    ทั้งนี้ การนำมาตรฐาน ISO 27001 มาใช้งาน ประกอบด้วยองค์ประกอบหลัก 4 ประการ ได้แก่ 1) การจัดทำระบบ (Establish) การจัดการความมั่นคงปลอดภัยของสารสนเทศ (ISMS) คือ การเตรียมการวางแผนเพื่อปกป้องสารสนเทศ 2) การนำไปปฏิบัติ (Implement) คือ นำแผนจากขั้นตอนการจัดทำระบบ (Establish) ไปปฏิบัติจริง โดยทำตามเอกสารคู่มือและลงบันทึกในแบบฟอร์ม 3) การดำรงรักษาระบบและประเมินขีดความสามารถของระบบการจัดการ (Maintain and Monitor) คือ ปฏิบัติควบคู่ไปกับการทำงานปกติ พร้อมทั้งดำเนินการตรวจประเมินภายในระบบการจัดการ และ 4) การปรับปรุงอย่างต่อเนื่อง (Continual Improvement) คือ การทบทวนผลการทำระบบและหาจุดปรับปรุงอย่างต่อเนื่อง ซึ่งต้องมีหลักฐาน (ทั้งเอกสารและผลการปฏิบัติ) ที่น่าเชื่อถือสะท้อนความเป็นจริงและสามารถตรวจสอบย้อนหลังได้