FAQs

ไม่ว่าการศึกษาด้วยตนเองโดยใช้การสัมมนาทางเว็บจะดีหรือแย่กว่าการฝึกอบรมแบบตัวต่อตัวนั้นไม่สามารถตอบได้อย่างแน่นอน บุคลิกภาพของแต่ละคนเป็นตัวชี้ขาดที่นี่ และอย่างที่เราทราบกันดีว่าความชอบของเราต่างกันเกินไป

อย่างไรก็ตาม การศึกษาด้วยตนเองมีข้อดีบางประการเมื่อเทียบกับการฝึกอบรมแบบตัวต่อตัว นี่คือบางส่วนของพวกเขา:

1. ทบทวนโอกาส: การศึกษาด้วยตนเองทำให้ผู้เรียนสามารถทบทวนเนื้อหาการเรียนรู้ได้ตามต้องการ คุณสามารถกลับไปที่หัวข้อที่ครอบคลุมก่อนหน้านี้เพื่อทำความเข้าใจให้ลึกซึ้งยิ่งขึ้นหรือเพื่อเสริมแนวคิดเฉพาะ สิ่งนี้มีประโยชน์อย่างยิ่งเมื่อไม่เข้าใจเนื้อหาการเรียนรู้ในทันที หรือเพื่อเติมเต็มช่องว่างความรู้ หรือเพื่อเตรียมตัวสำหรับการสอบหรือการรับรอง ตัวอย่างที่ดีที่นี่คือ “ความรู้พื้นฐานของการควบคุมกระบวนการทางสถิติ” หัวข้อนี้เข้าใจยาก บ่อยครั้งไม่สามารถเข้าใจหัวข้อได้ทันที การสัมมนาผ่านเว็บช่วยให้คุณทำงานผ่านเนื้อหาทีละส่วน

โครงสร้างของ ISO/IEC 27001 คืออะไร?

ISO/IEC 27001 เป็นมาตรฐานที่กำหนดข้อกำหนดสำหรับระบบการจัดการความปลอดภัยของข้อมูล (ISMS) ประกอบด้วยส่วนต่างๆที่ครอบคลุมดังต่อไปนี้:

1. ขอบเขต: อธิบายขอบเขตของมาตรฐานและกำหนดการนำไปใช้กับองค์กรและข้อมูลทุกประเภท

2. การอ้างอิงเชิงบรรทัดฐาน: ประกอบด้วยรายการมาตรฐานและเอกสารที่เกี่ยวข้องอื่นๆ ที่อ้างอิง

3. ข้อกำหนดและคำจำกัดความ: กำหนดคำศัพท์และคำจำกัดความที่สำคัญที่ใช้ในมาตรฐานเพื่อให้เข้าใจตรงกัน

4. บริบทขององค์กร: อธิบายข้อกำหนดสำหรับองค์กรในการกำหนดบริบทและกรอบการทำงานสำหรับ ISMS ซึ่งรวมถึงอิทธิพลภายในและภายนอก ผู้มีส่วนได้เสีย และภาระหน้าที่ในการปฏิบัติตาม

5. ความเป็นผู้นำ: เน้นความสำคัญของความมุ่งมั่นของผู้บริหารระดับสูงต่อ ISMS และกำหนดข้อกำหนดสำหรับความเป็นผู้นำ นโยบาย บทบาท และความรับผิดชอบ

6. การวางแผน: รวมถึงข้อกำหนดสำหรับการประเมินความเสี่ยง การจัดการความเสี่ยงและโอกาส การกำหนดวัตถุประสงค์ และการเลือกการควบคุมที่เหมาะสม

7. การสนับสนุน: อธิบายข้อกำหนดสำหรับทรัพยากร ความสามารถ ความตระหนัก การสื่อสาร การจัดทำเอกสาร และการควบคุมเอกสาร

8. การดำเนินงาน: กำหนดข้อกำหนดสำหรับการดำเนินการจัดการความเสี่ยงและการดำเนินการ เช่น การจัดการการเปลี่ยนแปลง การจัดการเหตุการณ์ด้านความปลอดภัย และการวางแผนความต่อเนื่องทางธุรกิจ

9. การประเมินผลการปฏิบัติงาน: ประกอบด้วยข้อกำหนดสำหรับการติดตาม วัดผล วิเคราะห์ และประเมินผลการปฏิบัติงานของ ISMS รวมถึงการตรวจสอบภายในและการทบทวนการจัดการ

10. การปรับปรุง: กำหนดข้อกำหนดสำหรับการปรับปรุงอย่างต่อเนื่องของ ISMS ตามผลการประเมินการปฏิบัติงาน การตรวจสอบภายใน และการจัดการที่ไม่เป็นไปตามข้อกำหนด

มาตรฐาน ISO/IEC 27001 ให้วิธีการที่เป็นระบบสำหรับการสร้างและบำรุงรักษา ISMS ที่มีประสิทธิภาพเพื่อให้มั่นใจในความปลอดภัยของข้อมูลในองค์กร ช่วยให้บริษัทสามารถระบุความเสี่ยง ใช้การควบคุมที่เหมาะสม และปรับปรุงความปลอดภัยของข้อมูลอย่างต่อเนื่อง

เนื้อหาของ ISO/IEC 27001 คืออะไร?

มาตรฐาน ISO 27001 หรือที่รู้จักกันอย่างเป็นทางการว่า "ISO/IEC 27001:2013 - เทคโนโลยีสารสนเทศ - เทคนิคด้านความปลอดภัย - ระบบการจัดการความปลอดภัยของข้อมูล - ข้อกำหนด" ให้กรอบการทำงานสำหรับการสร้าง การนำไปใช้ การรักษา และการปรับปรุงอย่างต่อเนื่องระบบการจัดการความปลอดภัยของข้อมูล (ISMS ) ภายในองค์กร

วัตถุประสงค์หลักของ ISO 27001 คือการช่วยให้องค์กรปกป้องความลับ ความสมบูรณ์ และความพร้อมใช้งานของสินทรัพย์ข้อมูลของตน ให้แนวทางที่เป็นระบบในการจัดการข้อมูลที่สำคัญของบริษัท เช่น ข้อมูลลูกค้า ทรัพย์สินทางปัญญา และบันทึกของพนักงาน เพื่อลดความเสี่ยงที่เกี่ยวข้องกับการสูญหาย การเข้าถึงโดยไม่ได้รับอนุญาต หรือการแก้ไขโดยไม่ได้รับอนุญาต

การนำมาตรฐาน ISO 27001 ไปใช้ องค์กรสามารถระบุและจัดการกับช่องโหว่ด้านความปลอดภัยที่อาจเกิดขึ้น สร้างกระบวนการจัดการความเสี่ยง กำหนดวัตถุประสงค์และการควบคุมด้านความปลอดภัย และสร้างวัฒนธรรมของการตระหนักถึงความปลอดภัยของข้อมูลภายในพนักงานของตน มาตรฐานนี้ส่งเสริมแนวทางแบบองค์รวมในการจัดการความปลอดภัยของข้อมูล ซึ่งครอบคลุมทั้งบุคลากร กระบวนการ และเทคโนโลยี

การรับรองมาตรฐาน ISO 27001 เป็นไปโดยสมัครใจและมักเป็นที่ต้องการขององค์กรที่ต้องการแสดงความมุ่งมั่นในการปกป้องทรัพย์สินข้อมูลและรับรองผู้มีส่วนได้ส่วนเสียเกี่ยวกับมาตรการรักษาความปลอดภัยของตน สามารถเพิ่มชื่อเสียงขององค์กร สร้างความไว้วางใจกับลูกค้าและคู่ค้าทางธุรกิจ และสร้างความได้เปรียบในการแข่งขันในตลาด

โดยรวมแล้ว ISO 27001 ช่วยให้องค์กรต่างๆ สามารถสร้างระบบการจัดการความปลอดภัยของข้อมูลที่แข็งแกร่งซึ่งสอดคล้องกับแนวปฏิบัติที่ดีที่สุด มาตรฐานสากล และข้อกำหนดทางกฎหมาย/ข้อบังคับ ลดโอกาสและผลกระทบของเหตุการณ์ด้านความปลอดภัยในท้ายที่สุด และเพิ่มมาตรการรักษาความปลอดภัยข้อมูลโดยรวม

ในเดือนตุลาคม พ.ศ. 2565 มาตรฐานสากลด้านความปลอดภัยข้อมูล ISO 27001:2013 ที่ได้รับการยอมรับอย่างกว้างขวาง ได้รับการปรับปรุงและออกเวอร์ชันใหม่ ISO/IEC 27001:2022 ซึ่งเผยแพร่แล้ว

ในช่วงเก้าปีที่ผ่านมา ISO 27001 ได้รับการยอมรับอย่างมากในอุตสาหกรรมต่างๆ แม้ว่าการแก้ไขล่าสุดจะแนะนำการเปลี่ยนแปลงเพียงเล็กน้อย แต่สิ่งสำคัญคือต้องตรวจสอบและทำความเข้าใจการแก้ไขเหล่านี้อย่างใกล้ชิด ในการสนทนานี้ เราจะสำรวจการเปลี่ยนแปลงทั้งหมดใน ISO 27001:2022 และเปรียบเทียบกับเวอร์ชันก่อนหน้าของปี 2013

สรุปการเปลี่ยนแปลงใน ISO 27001:2022:

1. ไม่มีการเปลี่ยนแปลงที่สำคัญใน ISO 27001:2013 Mandatory Clauses 4 ถึง 10: ข้อกำหนดสำคัญที่ระบุไว้ใน ISO 27001:2013 Mandatory clauses ส่วนใหญ่ไม่เปลี่ยนแปลงในเวอร์ชันปี 2022

2. ขณะนี้ การควบคุมถูกจัดกลุ่มเป็น 4 โดเมนหลัก: ใน ISO 27002:2022 ซึ่งให้คำแนะนำเกี่ยวกับการใช้การควบคุมของ ISO 27001 การควบคุมได้รับการปรับโครงสร้างใหม่ แทนที่จะเป็น 14 หมวดหมู่ก่อนหน้านี้ ตอนนี้การควบคุมถูกจัดกลุ่มเป็น 4 โดเมนหลัก: องค์กร บุคคล กายภาพ และเทคโนโลยี

3. แฮชแท็กเพื่อการอ้างอิงและการนำทางที่ง่ายขึ้น: เพื่อเพิ่มความสามารถในการใช้งานและความสะดวกในการอ้างอิง ISO 27002:2022 แนะนำการใช้แฮชแท็ก แฮชแท็กเหล่านี้สามารถช่วยในการนำทางและค้นหาการควบคุมเฉพาะภายในเอกสาร

4. จำนวนการควบคุมที่ลดลง: จำนวนการควบคุมความปลอดภัยในภาคผนวก A ลดลงจาก 114 รายการในเวอร์ชันปี 2013 เป็น 93 รายการในฉบับปี 2022 การลดลงนี้เป็นผลมาจากการรวมการควบคุมบางอย่าง ในขณะที่ไม่มีการควบคุมใดถูกกำจัดโดยสิ้นเชิง

5. การแนะนำการควบคุมองค์กรและทางกายภาพใหม่: ISO 27002:2022 รวมการควบคุมใหม่ในโดเมนของการรักษาความปลอดภัยขององค์กรและทางกายภาพ การเพิ่มเหล่านี้มีจุดมุ่งหมายเพื่อจัดการกับความท้าทายด้านความปลอดภัยที่เกิดขึ้นใหม่และสอดคล้องกับแนวการรักษาความปลอดภัยข้อมูลที่มีการพัฒนา

What do companies need to consider with TISAX?

Companies which deal or want to deal with the automotive industry should make a point of implementing an ISMS that is specifically tailored to the automotive industry, which is based on ISO 27001:2022 and meets additional data protection requirements and the protection of prototypes.

There are three basic assessment levels or requirement types within TISAX®. The level is based on the necessary protection requirements of the information that is exchanged between the individual companies. Depending on whether the need for protection of the information is classified as normal (level 1), high (level 2) or very high (level 3), different methods and efforts are important for the audit. The scope of the audit and the effort required increase with each level:

Level 1: Basic test: self-assessment. 

Level 2: A test provider accredited by the ENX Association joins the test; the test provider examines the self-assessment, performs a plausibility check and asks questions.

Level 3: The test provider checks the self-assessments and the management system on site. 

What does TISAX® stand for?

TISAX® (Trusted Information Security Assessment Exchange) is a framework developed specifically for the automotive industry to ensure that information security standards and data protection requirements are met in the supply chain. TISAX® includes a set of elements and requirements to ensure information security and data protection in the automotive industry. The main components of TISAX® include:

1. the requirements of information security of TISAX® are based on ISO/IEC 27001:2022 and extends these standards to include specific requirements for the automotive industry.

This includes the known control target of the ISO 27001:2022 confidentiality, integrity and availability of information as well as protection measures for personal data from the EU General Data Protection Regulation GDPR  and customer-specific requirements such as prototype protection.

Where are the differences between 27001:2022 and TISAX®?

1. requirements catalog

The basis of TISAX® is the VDA-ISA requirements catalog. This requirements catalog is based on the controls of ISO and adapts them to the suppliers of the automotive industry.

Added to this are...

• special requirements for processing personal data
• non-disclosure agreements
• Prototype protection

..., which are not included in ISO 27001:2022.

The Controls of VDA-ISA catalogue require specific evidence of implementation, while the measures in ISO 27001:2022 are more generic.

In the TISAX® requirements catalog, there is a difference between "must" and "should" as well as the requirements for "high protection needs" and "very high protection needs".

2. testing process

The ISO 27001:2022 certification requires an audit to demonstrate that compliance with the measures, requirements and requirement objectives have been effectively implemented.

TISAX® is focuses on the audit target objectives. 

There are 8 of them and at least one audit objective must be defined, but several can be attracted.

Depending on the audit objective, different ISMS processes and measures must be implemented.

Each audit objective is found in the VDA-ISA requirements catalog and is the benchmark for the ISMS.

In TISAX® certification, there are three different audit levels, the so-called assessment levels, with correspondingly different requirements for each level

Level 1 means self-assessment and is very rarely accepted.

Level 2 includes a document review with a remote audit

Level 3 also has document review, but is associated with an on-site audit.

In contrast to ISO 27001:2022, the TISAX® requirements catalog has a defined maturity level concept in 6 levels (from 0 to 5).

Each required measure must be completed with at least target maturity level 3.

APQP and Control Plan have evolved in response to industry changes — particularly in relation to technological advancements and vehicle complexity — with updates addressing increasing demands imposed by higher automation, autonomous driving, electrification, and the expanding definition of mobility.

Decoupling the two documents also emphasizes the importance of control plans in product development and will facilitate more timely updates as systems evolve.

Focusing on the "why" behind the "what" and "when," the APQP 3rd edition manual addresses how to improve successful new product launches, with updates to reflect agile product management, and new sections on sourcing, change management, APQP program metrics, risk assessment mitigation plans, and gated management.

Along with the removal of Control Plan content - now a standalone document - further revisions include new information on "part traceability," various checklists, and examples of several common analytical techniques used during the APQP process to help enhance your understanding.