Say “Good bye” to ISO 27001:2005 and welcome ISO 27001:2013!

เมื่อวันที่ 25 กันยายน 2556 ที่ผ่านมา International Organization for Standardization (ISO) ได้ตีพิมพ์มาตรฐาน ISO 27001 เวอร์ชั่นใหม่หรือที่รู้จักกันในนาม ISO 27001:2013 “Information technology — Security techniques — Information security management systems — Requirements” ควบคู่ไปกับการตีพิมพ์มาตรฐาน ISO 27002:2013 “Information technology — Security techniques — Code of practice for information security controls” อย่างเป็นทางการ

นับเป็นการปรับปรุงเนื้อหาครั้งสำคัญ หลังจากที่ใช้งานมาตรฐานดังกล่าวมายาวนานถึง 8 ปี(เวอร์ชั่นเก่าของมาตรฐาน ISO 27001 คือเวอร์ชั่นปี 2005) โดยมีวัตถุประสงค์หลักเพื่อปรับปรุงเนื้อหาให้สอดรับกับเทคโนโลยีและการใช้งานสารสนเทศในปัจจุบัน แก้ไขเนื้อหาส่วนที่ไม่ชัดเจน เพิ่มความยืดหยุ่นในการนำไปใช้งาน รวมถึงปรับโครงสร้างให้เป็นไปตามข้อกำหนดของ Annex SL ซึ่งเป็นข้อกำหนดของ ISO ว่าด้วยโครงสร้างและเนื้อหาที่สอดคล้องกันสำหรับมาตรฐานสากลฉบับใหม่ๆ (Modern Management System)

Transition Guidance

กรณี New Certification:หากองค์กรของท่านได้เริ่มดำเนินกิจกรรมการ Implement ระบบ ISMS ตามข้อกำหนดของมาตรฐาน ISO 27001:2005 ไปมากแล้ว ท่านยังสามารถขอการรับรองบนมาตรฐานเวอร์ชั่นเก่า (ISO 27001:2005)ได้อีกในระยะเวลาไม่เกิน 12เดือนนับจากวันที่ ISO 27001:2013 ประกาศใช้งาน (หรือภายในเดือนกันยายน2557)

ทั้งนี้ หากองค์กรของท่านมีแผนการ Implement ระบบ ISMS ตามข้อกำหนดของมาตรฐาน ISO 27001 แต่ยังไม่ได้เริ่มดำเนินการ (หรือดำเนินการไปเพียงบางส่วน) แนะนำให้นำมาตรฐาน ISO 27001:2013 มาใช้งาน และขอการรับรองบนมาตรฐานเวอร์ชั่นใหม่จะเป็นการดีที่สุด

กรณี Surveillance Audit:หากองค์กรของท่านได้รับการรับรองมาตรฐาน ISO 27001:2005 อยู่แล้ว ท่านควรพิจารณา Upgrade ไปเป็น ISO 27001:2013 ในรอบการตรวจติดตาม (Surveillance Audit)ครั้งถัดไปยกเว้นกรณีที่รอบการตรวจติดตามนั้นอยู่ภายในปี 2557 ยังสามารถตรวจติดตามบนมาตรฐานเวอร์ชั่นเก่า (ISO 27001:2005) ได้

กรณี Re-Certification:สำหรับองค์กรที่มีกำหนดต้องรับการตรวจรับรองใหม่ (Re-certification Audit) สามารถขอ Re-certify บนมาตรฐานเวอร์ชั่นเก่า (ISO 27001:2005)ได้อีกในระยะเวลาไม่เกิน 12 เดือนนับจากวันที่ ISO 27001:2013 ประกาศใช้งาน (หรือภายในเดือนกันยายน 2557)

หากท่านคือ IRCA certified ISMS auditors ในระดับต่อไปนี้ ท่านต้องเข้ารับการอบรมหลักสูตร Transition Training ที่ได้รับการอนุมัติจาก IRCA ภายใน 1 มกราคม 2559 พร้อมทั้งนำส่ง Certificate of Attendance ให้แก่ IRCA เป็นหลักฐานในขั้นตอนการต่ออายุ IRCA certified ISMS auditors ของท่าน
• Provisional ISMS Auditor
• ISMS Auditor
• ISMS Lead Auditor
• ISMS Principal Auditor

หากท่านคือ IRCA certified ISMS Internal Auditor ท่านไม่จำเป็นต้องเข้ารับการอบรมหลักสูตร Transition Training ที่ได้รับการอนุมัติจาก IRCA เพื่อการต่ออายุประกาศนียบัตร IRCA ของท่าน แต่ควรพิจารณาเข้ารับการอบรมที่เหมาะสมเพื่อให้ทราบข้อกำหนดของ ISO 27001:2013

หากท่านได้รับ PECB certifications ดังต่อไปนี้ ท่านไม่จำเป็นต้องเข้ารับการอบรมเพื่อต่ออายุ certifications ของท่านแต่ PECB ได้กำหนดให้เป็นหน้าที่ความรับผิดชอบของท่านในฐานะผู้เชี่ยวชาญที่ต้องศึกษาและทำความเข้าใจในข้อกำหนดของมาตรฐาน ISO 27001:2013 โดยการศึกษาด้วยตนเอง (Self-study) หรือเข้ารับการอบรมหลักสูตร ISO 27001:2013 Bridging Course ของ PECB

บริการด้าน ISO 27001:2013 ของ ACinfotec

สนใจสอบถาม ข้อมูลเพิ่มเติม กรุณาติดต่อ 02-670-8980 หรือ security@acinfotec.com

สนใจสอบถาม ข้อมูลเพิ่มเติม กรุณาติดต่อ 02-670-8980 หรือ training@acinfotec.com