มาตรฐานระบบคุณภาพ iso มีอะไรบ้าง

ISO คืออะไร

หากเปรียบเทียบความเลิศรสระหว่างทุเรียนกับมังคุดคงยากที่จะบอกว่าสิ่งใดอร่อยกว่า ถ้าไม่มีการกำหนดเกณฑ์การประเมินให้ชัดเจน การเปรียบเทียบองค์กรก็เช่นกัน องค์กรหรือบริษัทที่มอบคุณค่าให้แก่ลูกค้าในทุกวันนี้ บริษัทใดมีคุณภาพเหนือบริษัทใดก็นับว่าตัดสินกันได้ยากหากไม่มีมาตรฐานกลางมาเป็นเครื่องมือวัด  ISO จึงเปรียบเสมือนตัวแทนของเครื่องมือนั้น

ISO มาจากคำเต็มว่า International Organization for Standardization เป็นองค์กรระหว่างประเทศด้านมาตรฐาน โดยออกมาตรฐานต่าง ๆ ที่เกี่ยวข้องกับธุรกิจหรือองค์กรในระดับสากล ถือกำเนิดอย่างเป็นทางการมาตั้งแต่ปี 1947 มีสมาชิกกว่าร้อยประเทศเข้าร่วมและให้การยอมรับ ที่สำคัญไม่ใช่หน่วยงานจากสังกัดรัฐบาลของประเทศใดประเทศหนึ่ง แต่ ISO มีจุดมุ่งหมายในการสร้างมาตรฐานระหว่างประเทศให้เป็นไปในแนวทางเดียวกันเพื่อพัฒนาองค์กรและเศรษฐกิจ รวมถึงผู้บริโภคอย่างเรา ๆ ด้วย

มาตรฐาน ISO ที่พบบ่อยในประเทศไทย

ISO มีมากมายหลายมาตรฐานครอบคลุมทุกประเภทธุรกิจ แต่ละ ISO ก็มีหน้าที่แตกต่างกันไป โดยชื่อเรียกจะขึ้นต้นด้วย ISO และต่อท้ายด้วยตัวเลขเพื่อแยกชนิดของมาตรฐานนั้น ๆ ซึ่งประเภทของ ISO ที่เรามักจะพบเห็นได้บ่อย ๆ ในประเทศไทยก็คือ

• ISO 9000 การจัดระบบการบริหารเพื่อประกันคุณภาพ ที่สามารถตรวจสอบได้ โดยผ่านระบบเอกสาร
• ISO 9001 มาตรฐานระบบคุณภาพ ซึ่งกำกับดูแลทั้งการออกแบบ พัฒนาการผลิต การติดตั้ง และการบริการ
• ISO 9002 มาตรฐานระบบคุณภาพ ซึ่งกำกับดูแลเฉพาะการผลิต การติดตั้ง และการบริการ
• ISO 9003 มาตรฐานระบบคุณภาพ ซึ่งกำกับดูแลเรื่องการตรวจ และการทดสอบขั้นสุดท้าย
• ISO 9004 เป็นแนวทางในการบริหารงานคุณภาพเพื่อให้เกิดประสิทธิภาพสูงสุด โดยเป็นข้อแนะนำในการจัดการในระบบคุณภาพ ซึ่งจะมีการกำหนดรายละเอียดปลีกย่อยในแต่ละประเภทธุรกิจ
• ISO 14000 เป็นระบบมาตรฐานระบบการจัดการสิ่งแวดล้อม มุ่งเน้นให้องค์กรมีการพัฒนาปรับปรุงสิ่งแวดล้อม
• ISO 18000 มาตรฐานระบบการจัดการ อาชีวอนามัยและความปลอดภัย
• และ ISO ที่เริ่มมีบทบาทในยุคดิจิตอลมากยิ่งขึ้นก็คือ ISO27001 มาตรฐานการจัดการความปลอดภัยของข้อมูล

ความเป็นมาของยุคแห่งข้อมูลข่าวสาร

2005 คือปีที่ VDO ของ Youtube ถูกอัพโหลดขึ้นเป็นครั้งแรก

2004 คือปีที่ Facebook ถือกำเนิดขึ้นบนโลก

1998 คือปีที่ Google เปิดหน้าแรกของประวัติศาสตร์ Search Engine

1994 คือปีที่ Amazon เริ่มก้าวแรกของธุรกิจอย่างเป็นทางการ

ทุกเหตุการณ์ที่กล่าวมาทั้งหมด ล้วนมีบรรพบุรุษเดียวกันทั้งสิ้นนั่นคือ “อินเตอร์เน็ต” เพราะอินเตอร์เน็ตที่เราใช้กันอยู่ทุกวันนั้นเกิดขึ้นจากความต้องการที่จะพัฒนาเทคโนโลยีทางทหารของสหรัฐอเมริกาเมื่อราว ๆ 50 ปีก่อน ซึ่งมันได้เปลี่ยนโฉมหน้าของการก้าวผ่านบันไดวิทยาศาสตร์ของมนุษยชาติไปเสียสิ้น ดังที่เราเห็นในปัจจุบันนี้ ที่เป็นโลกแห่งการติดต่อสื่อสารที่ไร้พรมแดน สามารถเผยแพร่และเข้าถึงข้อมูลที่ต้องการได้ทุกเมื่อ

หากอินเตอร์เน็ตคือบรรพบุรุษฝ่ายแม่ ดิสก์ไดรฟ์ก็คงเป็นบรรพบุรุษฝ่ายพ่อที่ทำให้ทุกสินค้าและบริการบนอินเตอร์เน็ตถูกใช้งานได้อย่างราบรื่นบนพื้นที่หน่วยความจำถาวรที่ปัจจุบันนี้อาจจะเรียกได้ว่ามี “ไม่จำกัด” เพียงคุณมีเครดิตการ์ด พื้นที่ดิสก์ไดรฟ์บนคลาวด์ก็มีให้คุณได้เสมอ

คุณมองข้ามไปหรือไม่กับความปลอดภัยของข้อมูล

โลกไร้พรมแดนทำให้ผู้ใช้งานสะดวกสบายขึ้น การเข้าถึงข้อมูลที่ต้องการก็สามารถทำได้อย่างไม่มีขีดจำกัด การใช้งานสินค้าหรือบริการต่าง ๆ ผ่านระบบออนไลน์ก็ถูกออกแบบให้ง่ายขึ้นตามไปด้วย แต่เราจะแน่ใจได้อย่างไรว่าความสะดวกสบายที่เราได้รับจากบนโลกออนไลน์ทุกวันนี้นั้นได้มีโครงสร้างความปลอดภัยติดมาด้วยหรือไม่ ข้อมูลต่าง ๆ ที่ถูกเก็บขึ้นไปบนโลกไร้พรมแดนใบนั้นได้ถูกจัดการอย่างเรียบร้อย ไม่มีผู้ไม่หวังดี นำข้อมูลของเราไปใช้ประโยชน์จริงๆ หรือไม่

ลองมาดูอย่างง่ายว่าทำไมความปลอดภัยของข้อมูลจึงเป็นสิ่งสำคัญ

หากมีคนมาเปิดอ่านไดอารี่ส่วนตัวของคุณ คุณคงไม่ชอบแน่ หรือถ้าคุณอยากให้มีคนอ่านไดอารี่ของคุณ คุณคงจะหัวเสียไม่น้อยถ้าเขาสามารถปรุงแต่งไดอารี่ของคุณให้เละเทะได้ และถึงแม้ที่กล่าวมาทั้งหมดนั้นจะไม่เกิดขึ้น และเมื่อคุณต้องการจะอ่านไดอารี่ของตัวเอง แต่กลับไม่สามารถอ่านได้ คุณก็คงไม่ปรารถนาเช่นกัน นี่แค่เรื่องของไดอารี่ส่วนตัวเรายังใส่ใจขนาดนี้ หากเป็นข้อมูลของทั้งองค์กรและลูกค้าทั่วทั้งประเทศเราจะนิ่งเฉยได้อย่างไร นี่เองเป็นหลักฐานว่าความปลอดภัยของข้อมูลเป็นสิ่งที่หลาย ๆ คนคำนึง

จัดการข้อมูลอย่างไรถึงจะเหมาะสม

การสร้างกระบวนการเพื่อรักษาความปลอดภัยของข้อมูล ถ้าเล่นกันแบบกำปั้นทุบดินก็ทำให้มันซับซ้อนเข้าไว้ อย่างไรก็ตามต้องแลกมากับทรัพยากรและความลำบากในการเข้าถึง หนทางที่พอจะเป็นแนวทางที่ดีและน่าเชื่อถือที่สุดอย่างหนึ่งคือปฏิบัติตามมาตรฐานที่ได้รับการยอมรับอย่างสากล เพราะมาตรฐานนั้น ๆ ได้รับการศึกษามาดีพอจนค้นพบจุดสมดุลระหว่างความปลอดภัยของข้อมูลและทรัพยกรที่ต้องนำมาใช้ เช่นเดียวกับมาตรฐานความปลอดภัยของข้อมูลที่เรียกว่า ISO 27001

ISO 27001 คืออะไร

หากถามว่า ISO 27001 คืออะไร คำอธิบายที่ง่ายที่สุดของมันคือ มาตรฐานของระบบการจัดการความปลอดภัยของข้อมูลที่ประกาศโดย International Organization for Standardization (ISO) ที่มันถูกเรียกว่าเป็นระบบเพราะว่าการทำให้ข้อมูลมีความปลอดภัยไม่ได้ขึ้นอยู่กับอุปกรณ์ใดอุปกรณ์หนึ่งเท่านั้น แต่ยังหมายรวมถึงบุคคลากรผู้ควบคุมดูแล เจ้าขององค์กร พนักงานในองค์กร กฎระเบียบและการลงทุนที่คุ้มค่าด้วย มิเช่นนั้นคงไม่ต่างกับการทุ่มเม็ดเงินมหาศาลเพื่อสร้างค่ายกลชั้นยอดที่สุดท้ายมีไส้ศึกคอยหาช่องโหว่ทำลายมันได้ง่ายๆอยู่ดี ISO27001 จึงเป็นมาตรฐานหนึ่งที่ประกอบด้วยข้อกำหนดหรือแม่แบบสำคัญต่าง ๆ ของ ISMS

อยากมีเพื่อนเป็น ISO27001 จำเป็นต้องรู้จัก ISMS 

ISMS ย่อมาจาก   Information Security Management System เป็นชื่อเรียกของระบบที่ใช้ในการจัดการความปลอดภัยของข้อมูล ประกอบกันขึ้นมาจากนโยบายและวิธีการต่าง ๆ ซึ่งอาจจะเป็นระบบทั่วไปไม่เกี่ยวกับมาตรฐาน ISO หรือนำมาประยุกต์ใช้ให้อยู่ในเกณฑ์เพื่อให้ผ่านมาตรฐาน ISO ก็ได้ เพื่อให้เราอยู่รอดท่ามกลางศัตรูที่มองไม่เห็น (เช่น แฮกเกอร์) ISMS จึงมีบทบาทสำคัญในการผนวกรวมกระบวนการ เทคโนโลยีและคนเข้าไว้ด้วยกัน จุดประสงค์ก็เพื่อใช้ในการปกป้องข้อมูลและจัดการข้อมูลผ่านการประเมินความเสี่ยงเพื่อค้นหาจุดอ่อนขององค์กรในด้านความปลอดภัยของข้อมูล

แม้สุดยอดค่ายกลก็พังลงง่ายๆด้วยผู้ดูแล

ISO 27001 สำคัญอย่างไร

หากองค์กรใดองค์กรหนึ่งหรือแม้แต่ตัวบุคคลก็ตามได้รับการรับรองจาก ISO27001 แล้ว เขาเหล่านั้นสามารถนำ ISO27001 ไปเป็นเครื่องการันตีได้ว่าข้อมูลของพวกเขาจะถูกเก็บรักษาอย่างถูกต้อง เหตุผลที่เป็นเช่นนั้นเพราะหัวใจหลักของ ISO27001 คือ โมเดลที่เรียกกันสั้นๆว่า CIA

• Confidentiality: ข้อมูลเข้าถึงได้เฉพาะผู้ที่มีสิทธิเข้าถึง (ถูกคน)
• Integrity: เฉพาะผู้ที่มีสิทธิจึงสามารถเปลี่ยนแปลข้อมูลนั้น ๆ ได้ (ถูกวิธี)
• Availability: สามารถเข้าถึงได้ทุกครั้งที่ต้องการเข้าถึง (ถูกเวลา)

นอกจากนั้น ISO27001 ยังเป็นที่รู้จักกันในระดับสากลราวกับเป็นเหรียญเกียรติยศที่เพิ่มโอกาสทางธุรกิจขององค์ได้เลยทีเดียว

เพราะอะไร ISO 27001 จึงน่าสนใจ

นอกจากสิ่งที่ ISO27001 ทำได้ทั้ง 3 อย่างตามที่กล่าวข้างต้นแล้ว สิ่งหนึ่งที่น่าสนใจของ ISO27001 คือ มันจะนำเราไปสู่การค้นหาปัญหาที่จะสร้างผลกระทบต่อข้อมูลขององค์กร หรือที่เรียกกันว่า “การประเมินความเสี่ยงของข้อมูล” (Information Security Risk Assessment)  ทำให้เข้าใจว่าหากมีเรื่องไม่คาดฝันเกิดขึ้นกับองค์กร “ข้อมูล” ที่ได้รับผลกระทบจะสร้างวิกฤตการณ์ต่อองค์กรอย่างไร เมื่อรู้ว่าจุดอ่อนขององค์กรอยู่ที่ใด การป้องกันเรื่องไม่คาดฝันนั้นนับเป็นอีกหนึ่งกุญแจสำคัญของ ISO27001 เพราะความเสี่ยงที่ถูกค้นพบนั้นจะไม่มีความหมายอะไรเลย หากเราไม่รู้วิธีการรับมือ เหตุนี้เอง ISO27001 จึงช่วยเป็นแนวทางในการจัดการกับความเสี่ยงในทุกระดับ (Risk Treatment) และสามารถทำออกมาเป็นเอกสาร หรือสื่อการสอนในการจัดการกับความเสี่ยงให้ใช้ได้กับทุกคนในองค์กร

ISO27001 นั้นมีใช้กันในระดับสากล ส่วนบริษัทในประเทศไทยที่ใช้ ISO27001 ก็มีให้เห็นหลายบริษัท ตัวอย่างเช่น บริษัทยักษ์ใหญ่อย่างบริษัท แอดวานซ์ อินโฟร์ เซอร์วิส จำกัด (มหาชน) หรือ AIS, บริษัทในกลุ่ม ปตท. จำกัด (มหาชน) บริษัทมหาชนเหล่านี้ก็ไม่พลาดที่จะบริหารจัดการข้อมูลในองค์กรด้วยมาตรฐาน ISO27001 ดังนั้นแล้วหากบริษัทเล็กๆสามารถยกระดับการบริหารจัดการข้อมูลให้เทียบเท่าบริษัทยักษ์ใหญ่ได้ ความน่าเชื่อถือจากลูกค้าก็คงมีเพิ่มขึ้นอย่างมีนัยสำคัญ ข้อมูลลูกค้าถูกเก็บไว้อย่างมั่นใจ องค์กรก็บริหารจัดการข้อมูลได้อย่างมีประสิทธิภาพ นำมาซึ่งความยั่งยืนของภาพลักษณ์องค์กรในอนาคต

ถึงเวลาของคุณแล้วกับ ISO27001

นับจากนี้ต่อไป มนุษยชาติคงมิอาจแยกตัวเองออกจากอินเตอร์เน็ตได้ ในทางกลับกันจะยิ่งผนวกรวมกันเป็นหนึ่งเดียวมากขึ้นเรื่อยๆ การรักษามาตรฐานขององค์กรในเรื่องความปลอดภัยของข้อมูลบนมาตรฐาน ISO27001 นับเป็นก้าวสำคัญที่ทำให้องค์กรยืนหยัดอยู่บนถนนสายธุรกิจได้อย่างยั่งยืน แม้ว่าองค์กรของคุณจะไม่ได้เป็นบริษัทเก่าแก่ระดับร้อยปี แต่การมีมาตรฐาน ISO27001 ก็ทำให้คะแนนความน่าเชื่อถือเทียบเท่ากับองค์กรที่เก่าแก่ที่นับเป็นองค์กรรุ่นพี่ รวมถึงทัดเทียมองค์กรยักษ์ใหญ่อย่าง Google Facebook และ Amazon ได้เช่นกัน

เห็นความสำคัญของมาตรฐานการบริหารจัดการข้อมูลองค์กรแล้วทาง Teachme Biz เองก็ไม่พลาดนำมาตรฐาน ISO27001 นี้มาปรับใช้กับองค์กร เพื่อสร้างความภาคภูมิใจต่อองค์กรและสร้างความเชื่อมั่นต่อลูกค้าทุกคนต่อไป

Teachme Biz - Visual SOP Management Platform คือระบบจัดการคู่มือออนไลน์ที่จะเปลี่ยนการจัดการของทั้งคู่มือการทำงาน, Work Instruction, Workflow, หรือ SOP ที่แสนยุ่งยากให้ง่ายด้วยสมาร์ทโฟนเครื่องเดียว เข้าใจง่ายด้วยภาพและวิดีโอแบบ step-by-step เก็บคู่มือการทำงานของทั้งองค์กรไว้บนออนไลน์ ง่ายแต่ปลอดภัยในการเข้าถึง เป็นพื้นฐานสำคัญในการสร้างมาตรฐาน และเสริมสร้างประสิทธิภาพในการทำงานขององค์กรคุณ

ท่านใดต้องการสร้างคู่มือที่ใช้งานได้จริง หรือต้องการสร้างมาตรฐาน รวมถึงเพิ่มประสิทธิภาพการทำงานให้ดีขึ้น คลิก สมัครเข้าร่วมเวิร์คช็อปออนไลน์กับ “Teachme Biz” ฟรี!  

ISO 9000, ISO 14000 และ ISO 22000 เป็นมาตรฐานเกี่ยวกับอะไร

มาตรฐานระบบคุณภาพคืออะไร

โครงสร้างของระบบคุณภาพ ISO ประกอบด้วยอะไรบ้าง

ISO มีกี่ข้อ