ทีม NT Metro Service
เผยแพร่ : 27 เมษายน 2569 อัพเดทล่าสุด : 27 เมษายน 2569
ISO 27001 / ISO 22301 คืออะไร และทำไมต้องสำคัญเมื่อเลือก Cloud Provider
ลองนึกภาพว่าคุณเป็น IT Manager และ CEO เพิ่งถามว่า “ผู้ตรวจสอบจาก PDPA มา — Cloud ของเราผ่านมาตรฐานอะไรบ้าง?”
คุณตอบได้ไหม?
ถ้าตอบไม่ได้ทันที แปลว่าตอนเลือก Cloud Provider คุณอาจถามผิดคำถาม ราคา uptime และ support ภาษาไทย ไม่ใช่คำถามแรกที่ควรถาม
ISO 27001 คืออะไร ในแง่ปฏิบัติ มันคือหลักฐานที่บอกว่า Provider รายนั้นจัดการความเสี่ยงด้านข้อมูลอย่างเป็นระบบ ไม่ใช่แค่อ้างว่า “เราปลอดภัย” แต่ผ่านการตรวจสอบจาก Third-party มาแล้วจริงๆ
ควบคู่กับ ISO 22301 ที่รับรองว่าธุรกิจจะไม่หยุดชะงักแม้เกิดวิกฤต ทั้งสองมาตรฐานคือตัวกรองที่เร็วที่สุดในการแยก Cloud Provider ที่พร้อมจริงออกจากรายที่แค่อ้างว่าพร้อม
NT (บริษัท โทรคมนาคมแห่งชาติ จำกัด (มหาชน)) เป็นหนึ่งในไม่กี่ผู้ให้บริการในไทยที่ผ่านการรับรองทั้งสองมาตรฐานพร้อมกัน บทความนี้จะอธิบายว่าแต่ละมาตรฐานทำงานอย่างไร และคุณควรถาม Provider อะไรบ้างก่อนตัดสินใจ
ISO 27001 คือมาตรฐานสากลสำหรับระบบการจัดการความมั่นคงปลอดภัยสารสนเทศ (ISMS) เพื่อระบุ ประเมิน และควบคุมความเสี่ยงด้านข้อมูลอย่างเป็นระบบ ส่วน ISO 22301 คือมาตรฐานระบบบริหารความต่อเนื่องทางธุรกิจ (BCMS) ทั้งสองมาตรฐานทำงานเสริมกัน ช่วยให้ Cloud Provider มีความน่าเชื่อถือและปลอดภัยตามหลักสากล
ISO 27001 คืออะไร — มาตรฐานทองของ Information Security
ถ้าถามว่า ISO 27001 คืออะไร คำตอบทางการคือ มาตรฐานสากลสำหรับ ระบบการจัดการความมั่นคงปลอดภัยสารสนเทศ (Information Security Management System — ISMS) ออกโดยองค์การระหว่างประเทศว่าด้วยการมาตรฐาน (ISO)
แต่ถ้าถามในเชิงปฏิบัติ ISMS คืออะไร มันไม่ใช่รายการตรวจสอบ (Checklist) ด้านไอที และไม่ใช่ซอฟต์แวร์ที่ซื้อมาติดตั้ง แต่คือระบบการบริหารจัดการระดับองค์กรที่ทำงานอย่างเป็นระบบ ขับเคลื่อนด้วยกระบวนการประเมินความเสี่ยง (Risk Assessment) เพื่อระบุ ประเมิน และควบคุมความเสี่ยงอย่างต่อเนื่อง
หัวใจของมาตรฐานนี้ตั้งอยู่บน CIA Triad สามเสาหลัก:
- Confidentiality (การรักษาความลับ) : ข้อมูลจะต้องถูกเข้าถึงได้เฉพาะผู้ที่มีสิทธิ์เท่านั้น เพื่อป้องกันการรั่วไหลสู่บุคคลภายนอก
- Integrity (ความถูกต้อง) : ข้อมูลจะต้องไม่ถูกแก้ไข ดัดแปลง หรือทำลายโดยไม่ได้รับอนุญาต และต้องคงความถูกต้องสมบูรณ์เสมอ
- Availability (ความพร้อมใช้งาน) : ระบบ โครงสร้างพื้นฐาน และข้อมูล จะต้องพร้อมให้ผู้มีสิทธิ์เรียกใช้งานได้ตลอดเวลาเมื่อต้องการ
ISO 27001 2022 ภาษาไทย มีอะไรใหม่? (อัปเดต Annex A 5.23 เรื่อง Cloud)
โลกไซเบอร์เปลี่ยนไป ภัยคุกคามก็พัฒนารูปแบบใหม่ ISO/IEC 27001:2022 จึงปรับปรุงใหญ่ที่สุดในรอบทศวรรษ เพื่อสะท้อนภาพรวมเทคโนโลยีปัจจุบัน โดยลด Controls ใน Annex A จากเดิม 114 ข้อ ใน 14 หมวด เหลือ 93 Controls แบ่งเป็น 4 หมวดหลัก :
- Organizational controls (มาตรการด้านองค์กร) — 37 ข้อ
- People controls (มาตรการด้านบุคลากร) — 8 ข้อ
- Physical controls (มาตรการด้านกายภาพ) — 14 ข้อ
- Technological controls (มาตรการด้านเทคโนโลยี) — 34 ข้อ
ไฮไลต์สำคัญที่สุดที่ส่งผลกระทบโดยตรงต่อผู้ที่มองหา ISO 27001 cloud คือการเพิ่มข้อกำหนดใหม่ Annex A 5.23: Information security for use of cloud services ข้อกำหนดใหม่ที่บังคับให้องค์กรต้องมีกระบวนการบริหารความเสี่ยงเมื่อใช้คลาวด์ของ Third-party โดยคลุม 4 ระยะของวงจรชีวิตการใช้คลาวด์ ได้แก่ การจัดหา (Acquisition) การใช้งาน (Use) การบริหารจัดการ (Management) ไปจนถึงการยุติบริการหรือนำข้อมูลออก (Exit Strategy)
พูดง่ายๆ คือถ้าองค์กรของคุณกำลังทำ ISO 27001 ผู้ให้บริการ Cloud ก็ต้องมีมาตรฐานที่สอดรับด้วย ไม่งั้น Compliance Chain จะขาดตอน
ถ้าใช้ Cloud เพื่อประมวลผลข้อมูลส่วนบุคคลของลูกค้า ISO 27001 คือรากฐานที่ขาดไม่ได้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) มีโทษปรับสูงสุดถึง 5 ล้านบาท (กฎหมาย PDPA 2562) และกำหนดให้องค์กรต้องมีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม (Technical & Organizational Measures) การเลือก Provider ที่ได้รับมาตรฐาน ISO 27701 (Privacy Information Management System) ควบคู่ด้วย จะเป็นหลักฐานที่ชัดเจนว่าพวกเขาบริหารข้อมูลส่วนบุคคลตาม Privacy ระดับสากล มีความโปร่งใส และปกป้องสิทธิของเจ้าของข้อมูลได้จริง
ISO 22301 คืออะไร — มาตรฐานที่ทำให้ธุรกิจไม่หยุดชะงัก
ในขณะที่ ISO 27001 มุ่งเน้นปกป้องข้อมูลจากการถูกแฮ็กหรือรั่วไหล ISO 22301 คืออะไร คำตอบคือมาตรฐานสากลสำหรับ Business Continuity Management System (BCMS) หรือระบบบริหารความต่อเนื่องทางธุรกิจ
เป้าหมายหลักของ BCMS ไทย คือการสร้างความสามารถในการต้านทานและฟื้นตัว (Resilience) วางกรอบการทำงานเพื่อลดผลกระทบจากอุบัติการณ์ที่กระทบธุรกิจเฉียบพลัน ทำให้ธุรกิจสามารถดำเนินต่อไปได้แม้ในสภาวะวิกฤต
เมื่อองค์กรย้ายระบบขึ้น Cloud คุณกำลังฝากหัวใจของธุรกิจไว้กับโครงสร้างพื้นฐานของผู้ให้บริการ มาตรฐาน ISO 22301 จะบังคับให้ Cloud Provider ต้องมีการวางแผนรับมือเหตุการณ์ร้ายแรงต่างๆ ได้แก่:
- ภัยพิบัติทางธรรมชาติ (เช่น น้ำท่วม แผ่นดินไหว)
- ไฟฟ้าดับเป็นวงกว้าง หรือ IT Infrastructure ล่ม
- การโจมตีทางไซเบอร์ที่รุนแรง เช่น Ransomware
- โรคระบาด (Pandemic) หรือเหตุฉุกเฉินด้านบุคลากร
- Supply Chain disruption จาก Third-party
ภายใต้มาตรฐานนี้ Cloud Provider ต้องกำหนดตัวชี้วัดที่ชัดเจน : RTO (Recovery Time Objective) คือระยะเวลาเป้าหมายสูงสุดที่ยอมรับได้ในการกู้คืนระบบให้กลับมาทำงาน และ RPO (Recovery Point Objective) คือปริมาณข้อมูลสูงสุดที่ยอมสูญเสียได้ พร้อมบังคับให้มีการทดสอบแผนความต่อเนื่องทางธุรกิจ (BCP) และแผนกู้คืนระบบจากภัยพิบัติ (DR) อย่างสม่ำเสมอด้วย
ISO 27001 vs ISO 22301 — ต่างกันอย่างไร ต้องมีทั้งคู่ไหม?
การเข้าใจว่า ISO 22301 vs ISO 27001 ต่างกันอย่างไร เป็นพื้นฐานสำคัญในการกำหนดเกณฑ์การจัดซื้อขององค์กร ตารางเปรียบเทียบด้านล่างนี้จะช่วยให้เห็นภาพชัดเจน :
| ประเด็นเปรียบเทียบ | ISO 27001 | ISO 22301 |
|---|---|---|
|
เน้นเรื่อง (Focus) |
ความปลอดภัยของข้อมูล (Information Security) |
ความต่อเนื่องทางธุรกิจ (Business Continuity) |
|
คำถามหลักที่ตอบ |
“ข้อมูลปลอดภัยไหม?” |
“ธุรกิจดำเนินต่อได้ไหมเมื่อเกิดเหตุ?” |
|
ผลลัพธ์ที่คาดหวัง |
ป้องกันการรั่วไหล/ถูกโจมตี |
ลด Downtime / ฟื้นตัวเร็ว |
|
ความสัมพันธ์กับหลัก CIA |
รวม CIA Triad อย่างสมดุล |
เน้น Availability (ความพร้อมใช้งาน) โดยเฉพาะ |
|
การใช้งานร่วมกัน |
ได้ดี — เสริมกันอย่างมีประสิทธิภาพ |
ได้ดี — เสริมกันอย่างมีประสิทธิภาพ |
ต้องมีทั้งคู่ไหม? คำตอบคือควรมีทั้งคู่ โดยเฉพาะภายใต้บริบทคลาวด์ที่มี Shared Responsibility Model (โมเดลความรับผิดชอบร่วมกัน) ซึ่งระบุว่า Cloud Provider รับผิดชอบความปลอดภัยของโครงสร้างพื้นฐาน (Infrastructure) ในขณะที่ลูกค้าต้องรับผิดชอบข้อมูล (Data) และการตั้งค่า (Configuration)
การเลือกผู้ให้บริการที่มีทั้งสองมาตรฐาน เป็นการการันตีว่าโครงสร้างพื้นฐานฝั่ง Provider ได้รับการคุ้มครองอย่างแน่นหนาจากการแฮ็ก (ISO 27001) และมีแผนพร้อมรับมือภัยพิบัติแบบทันท่วงทีเพื่อให้ธุรกิจของคุณออนไลน์ได้ตลอดเวลา (ISO 22301)
ทำไม Cloud Provider ที่ไม่มี ISO Certification ถึงเสี่ยง?
สำหรับผู้บริหารและฝ่ายจัดซื้อที่ถามว่า Cloud Provider ต้องมี ISO certification ไหม คำตอบตรงๆ คือต้องมี ต้องการ cloud provider ได้มาตรฐาน ไม่ใช่เรื่องความชอบส่วนตัว แต่เพราะการ เลือก cloud provider ปลอดภัย ที่ได้มาตรฐานส่งผลโดยตรงต่อความอยู่รอดของธุรกิจ
- มูลค่าความเสียหายจาก Data Breach ระดับมหาศาล รายงานจาก IBM ประจำปี 2025 ระบุว่า ค่าเฉลี่ยความเสียหายจากข้อมูลรั่วไหลทั่วโลกสูงถึง 4.44 ล้านดอลลาร์สหรัฐ ราว 150 ล้านบาท (IBM, 2025) โดยในสหรัฐอเมริกาสูงทะลุ 10.22 ล้านดอลลาร์ต่อเหตุการณ์ ยิ่งไปกว่านั้น ระยะเวลาเฉลี่ยกว่าองค์กรจะตรวจพบและระงับเหตุได้ยาวนานถึง 241 วัน (IBM, 2025) หากเจาะจงเฉพาะอุตสาหกรรมสุขภาพ (Healthcare) ในปี 2023 มีเหตุการณ์ถูกเจาะข้อมูลถึง 725 ครั้ง กระทบเรคคอร์ดข้อมูลมากถึง 133 ล้านรายการ (IBM, 2025)
- ขาดหลักฐานและภาระ Due Diligence ที่หนักหน่วง หาก Cloud Provider ของคุณไม่มีใบรับรองที่รับรองโดย Third-party Auditor องค์กรต้องเสียเวลาและต้นทุนมหาศาลในการทำ Security Assessment หรือ Vendor Risk Management ด้วยตัวเองตั้งแต่ต้น นอกจากนี้ ภายใต้ข้อกำหนด ISO 27001:2022 (Annex A 5.23) องค์กรที่ขอรับการรับรองจะต้องประเมินผู้ให้บริการคลาวด์อย่างเคร่งครัด การใช้บริการ Cloud ที่ไม่ได้มาตรฐานจะทำให้ Compliance Chain ขาดตอน และองค์กรของคุณอาจสอบตกตอน Audit
ISO 27001 เกี่ยวข้องกับ PDPA อย่างไร?
หากใช้บริการคลาวด์เพื่อประมวลผลข้อมูลส่วนบุคคลของลูกค้า ISO 27001 ถือเป็นรากฐานที่ขาดไม่ได้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) กำหนดให้องค์กรต้องมีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม (Technical & Organizational Measures) และมีโทษปรับสูงสุดถึง 5 ล้านบาท (กฎหมาย PDPA 2562) Cloud Provider ที่ไม่ผ่านมาตรฐานนี้คือความเสี่ยงที่วัดเป็นตัวเลขได้
ยิ่งไปกว่านั้น Provider ที่ได้รับมาตรฐาน ISO 27701 (Privacy Information Management System) ควบคู่ด้วย จะเป็นหลักฐานที่ตรวจสอบได้ว่าระบบบริหารข้อมูลส่วนบุคคลสอดคล้องกับ Privacy regulation ระดับสากล ปกป้องสิทธิของเจ้าของข้อมูลได้จริง ไม่ใช่แค่อ้าง
Checklist: 10 คำถามต้องถามก่อนเลือก Cloud Provider
นี่คือ Checklist 10 ข้อ (แนวทางสำหรับ ถามอะไร cloud provider ก่อนซื้อ สำหรับฝ่าย IT และจัดซื้อ ใช้เป็นเกณฑ์ใน TOR หรือ RFP เพื่อให้แน่ใจว่าได้ cloud provider ได้มาตรฐาน :
ด้านความปลอดภัยและ ISO 27001 (Information Security) :
- 1. มี ISO/IEC 27001 certification หรือไม่ ? (ขอดู Certificate ฉบับเต็ม)
- 2. ใบ Certificate ยังไม่หมดอายุใช่หรือไม่? (ตรวจสอบ Valid Date ปกติอายุ 3 ปี และมี Surveillance audit ทุกปี)
- 3. Scope ของใบรับรองรวมบริการที่จะใช้งานหรือไม่? (รวม Data Center โลเคชันที่ใช้งาน ไม่ใช่แค่สำนักงานใหญ่)
- 4. ผ่านการ Audit จาก Accredited Certification Body ที่น่าเชื่อถือหรือไม่? (เช่น BSI, Bureau Veritas)
- 5. มี Statement of Applicability (SoA) และนโยบาย Information Security ที่ชัดเจนหรือไม่?
ด้านความต่อเนื่องและ ISO 22301 (Business Continuity) :
- 6. มี ISO 22301 certification สำหรับระบบบริหารความต่อเนื่องทางธุรกิจหรือไม่?
- 7. มีการกำหนด RTO และ RPO สำหรับบริการที่ใช้งานไว้อย่างชัดเจนเท่าไร?
- 8. มีระบบโครงสร้างพื้นฐานสำรอง (Redundancy) ระดับ N+1 หรือสูงกว่าหรือไม่? เช่น Data Center มีระบบไฟฟ้าสำรอง (Generator) ที่ทำงานได้นานกี่ชั่วโมงหากไฟดับ
- 9. มีการทดสอบแผน BCP/DR เป็นประจำหรือไม่? (สามารถขอดู Test Result ล่าสุดได้) และมีไซต์สำรองทางภูมิศาสตร์ (Geographically separated Backup Site) ให้บริการหรือไม่
ด้าน Compliance อื่นๆ :
- 10. ข้อมูลถูกจัดเก็บภายในประเทศไทยหรือไม่ (Data Residency)? มีมาตรฐานเพิ่มเติมเฉพาะทางคลาวด์อย่าง CSA STAR หรือมีรายงาน SOC 2 Type II ควบคู่ด้วยหรือไม่ และรองรับนโยบาย PDPA ในฐานะ Data Processor อย่างไร?
เพิ่มเติม : รายงาน SOC 2 Type II รับรอง Operating Effectiveness จริงของระบบในช่วงเวลาที่ต่อเนื่อง ต่างจาก ISO 27001 ที่ตรวจสอบ ณ จุดเวลาหนึ่ง — การใช้ทั้งสองร่วมกันคือหลักประกันที่แข็งแกร่งที่สุดสำหรับฝ่ายจัดซื้อ
NT Cloud & Data Center — มาตรฐานระดับสากลในประเทศไทย
สำหรับองค์กรที่มองหา cloud provider ไทยที่ได้ ISO 27001 ศูนย์ข้อมูล NT Data Center (NTDC) ภายใต้บริษัท โทรคมนาคมแห่งชาติ จำกัด (มหาชน) คือผู้ให้บริการโครงสร้างพื้นฐานดิจิทัลที่ตอบโจทย์ความต้องการระดับ Enterprise ได้อย่างครบถ้วนและสมบูรณ์ที่สุด
ศักยภาพโครงสร้างพื้นฐานของ NT Data Center
- ศูนย์ข้อมูลที่ใหญ่ที่สุดในไทย : NT มี Data Center ถึง 9 แห่งใน 8 จังหวัด ทั้งกรุงเทพมหานครและพื้นที่ระเบียงเศรษฐกิจพิเศษภาคตะวันออก (EEC – ชลบุรี) พร้อมรองรับตู้เซิร์ฟเวอร์ได้มากกว่า 2,500 Racks (NT, 2569)
- Carrier-Neutral เสถียรที่สุด : เชื่อมต่อโดยตรงกับจุดแลกเปลี่ยนอินเทอร์เน็ตระดับชาติ ได้แก่ Thailand IX และ NT IIG ทำให้ IP Peering มีเสถียรภาพสูงสุด ลดปัญหาคอขวด
- โครงข่ายระหว่างประเทศ (NT IIG & Connectivity): NT มีสถานีเคเบิลใต้น้ำ 6 แห่ง รองรับระบบเคเบิลใต้น้ำ 7 ระบบ (เช่น AAE-1, APG, AAG) เชื่อมต่อตรงสู่ NT PoPs ในสิงคโปร์ ฮ่องกง และทั่วโลก (NT, 2569) พร้อม SLA รับประกัน Network Latency ที่ต่ำ และการันตี Service Availability 99.8% – 99.9% (MTTR ไม่เกิน 4 ชั่วโมง)
- 24/7 Expert Support : ระบบควบคุมสภาพแวดล้อมชั้นสูง ระบบป้องกันอัคคีภัย ระบบจ่ายพลังงานแบบ Dual power sources พร้อมผู้เชี่ยวชาญดูแลตลอด 24 ชั่วโมง
NT มี Certifications อะไรบ้าง (NT data center ISO)
เพื่อยืนยันถึงความปลอดภัยระดับสูงสุด NT data center มาตรฐานอะไรบ้าง คือคำถามที่ NT พร้อมตอบด้วยใบรับรองระดับสากลที่โปร่งใสและตรวจสอบได้ ดังนี้:
- ISO/IEC 27001 — ระบบการจัดการความมั่นคงปลอดภัยสารสนเทศ การันตีโครงสร้างพื้นฐานและการป้องกันข้อมูลที่แข็งแกร่ง
- ISO/IEC 27701 — ระบบการจัดการข้อมูลส่วนบุคคล (Privacy Extension) เป็นส่วนต่อขยายที่ปกป้องข้อมูลตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) อย่างเคร่งครัด
- ISO 22301 — ระบบบริหารจัดการความต่อเนื่องทางธุรกิจ (BCMS) พร้อมรับมือวิกฤตตลอดเวลา เพื่อลด Downtime ให้เป็นศูนย์
- ISO/IEC 20000-1 — ระบบการจัดการบริการด้าน IT (IT Service Management) การันตีกระบวนการส่งมอบงานไอทีอย่างมีคุณภาพ
- CSA STAR (Cloud Security Alliance) — มาตรฐานความปลอดภัยระดับโลกที่เจาะจงเฉพาะสำหรับผู้ให้บริการระบบ Cloud
- TSI Level 3 — NT Data Center เป็น แห่งแรกในประเทศไทย ที่ได้รับการรับรองระดับนี้
- TIA-942 Rated-3 — มาตรฐานโครงสร้างพื้นฐานที่ซ่อมแซมหรือบำรุงรักษาอุปกรณ์หลักได้โดยไม่ต้องหยุดการทำงานของระบบ (Concurrent Maintainability) ช่วยลดโอกาสเกิด Downtime อย่างมีนัยสำคัญ
> แนะนำให้ยืนยันรายละเอียดขอบเขต (Scope) และปีล่าสุดของ Certifications แต่ละรายการกับทีมงานผู้เชี่ยวชาญของ NT ก่อนจัดทำเอกสารจัดซื้อ
บริการ NT ที่เชื่อมโยง
- [NT Data Center (NTDC)](https://www.ntdatacenter.net/about-us/) — IDC Colocation, Cloud Infrastructure ระดับ Tier 3 พร้อม Certifications ครบ
- [NT Cloudbox](https://nt-metro-service.com/article/solution-how-to/nt-cloud-storage/) — Cloud Storage สำหรับองค์กร เก็บข้อมูลในไทย 100% รองรับ PDPA
- [cyfence All@Secure](https://www.cyfence.com/) — บริการ Cybersecurity ครบวงจร รองรับมาตรฐาน ISO 27001
บทสรุป
มาตรฐาน ISO ไม่ใช่ trophy ที่ซื้อมาวางโชว์ มันคือหลักฐานที่บอกว่าระบบทั้งหมดถูกทดสอบมาแล้ว และยังคงถูกตรวจสอบอยู่ตลอดเวลา
ความจริงที่องค์กรไทยหลายแห่งยังไม่ตระหนัก คือการเลือก Cloud Provider โดยใช้ราคาเป็นเกณฑ์หลัก คือการผลักต้นทุนความเสี่ยงไปสู่อนาคต ข้อมูลจาก IBM ระบุว่าค่าเฉลี่ยความเสียหายจาก Data Breach อยู่ที่ 4.44 ล้านดอลลาร์ต่อเหตุการณ์ (IBM, 2025) — ไม่มี discount ราคา Cloud ไหนคุ้มกับตัวเลขนั้น
เมื่อข้อกำหนดทางกฎหมายมีความเข้มงวด ภัยคุกคามไซเบอร์ซับซ้อน และมูลค่าความเสียหายทางธุรกิจสูงถึงหลักร้อยล้านบาท Certification ไม่ใช่ bonus มันคือ Minimum Requirement (ข้อกำหนดขั้นต่ำ) ที่ใช้แยกผู้ให้บริการมืออาชีพออกจากผู้ที่ไม่มีความพร้อม องค์กรที่เลือก Provider ที่ผ่าน ISO 27001 และ ISO 22301 ไม่ได้แค่ซื้อ infrastructure พวกเขากำลังซื้อหลักฐานที่ audit ได้ว่าระบบของตัวเองจัดการความเสี่ยงอย่างรัดกุม
การเลือกลงทุนใน Cloud Provider ที่ผ่านการรับรองครบถ้วนทั้งด้านความปลอดภัย (Security) ความต่อเนื่อง (Continuity) และความแข็งแกร่งของ Data Center Certification คือการลดภาระการตรวจสอบ (Due Diligence) ของฝ่ายไอที และสร้างความเชื่อมั่นให้กับผู้บริหารและคู่ค้าอย่างยั่งยืน
NT ไม่ได้แค่มีใบรับรอง เราเป็นโครงสร้างพื้นฐานดิจิทัลของประเทศ ถ้าคุณต้องการ Cloud ที่ตอบ “ได้” ในทุกคำถามที่ผู้ตรวจสอบจะถาม นั่นคือสิ่งที่เราทำ
ติดต่อทีมงาน NT
คุณสามารถทักแชทพูดคุยกับทีมงานของเราได้เลยที่
- Line OA : @NTSMESolutionBKK
- Facebook : [NT.bkkshop]
- หรือ กรอกข้อมูล ในแบบฟอร์มด้านล่างบทความนี้ เพื่อปรึกษาความต้องการของธุรกิจและรับคำแนะนำ solution ที่เหมาะสม
คำถามที่พบบ่อย
Q1: วิธีตรวจสอบ ISO 27001 ของ Cloud Provider ทำอย่างไร?
ขอเอกสารใบรับรอง (Certificate) ฉบับเต็มจาก Provider เพื่อตรวจสอบวันที่รับรองว่ายังไม่หมดอายุ (Valid Date) จากนั้นต้องดูขอบเขตการรับรอง (Scope) ว่าคลุมบริการและ Data Center ที่กำลังจะใช้งานหรือไม่ ตรวจสอบผู้ออกใบรับรอง (Accredited Certification Body) และที่สำคัญคือขอดูเอกสาร Statement of Applicability (SoA) เพื่อยืนยันว่า Provider ได้ประยุกต์ใช้มาตรการควบคุมข้อใดบ้างในระบบ
Q2: ISO 27001:2022 ต่างจาก 2013 อย่างไร?
ในเวอร์ชัน 2022 ลด Controls ใน Annex A จากเดิม 114 ข้อ (14 หมวด) เหลือ 93 ข้อใน 4 หมวดหลัก และเพิ่มมาตรการใหม่ 11 ข้อเพื่อรับมือภัยคุกคามสมัยใหม่ เช่น Threat Intelligence, Configuration Management และที่สำคัญคือ Annex A 5.23 ที่กำหนดเรื่องความมั่นคงปลอดภัยเมื่อใช้บริการคลาวด์
Q3: Cloud Provider ต้องมี ISO certification ไหม?
จำเป็นต้องมีอย่างยิ่ง ภายใต้สถาปัตยกรรมคลาวด์ที่มีโมเดลความรับผิดชอบร่วมกัน (Shared Responsibility Model) ลูกค้าไม่สามารถเข้าถึงหรือควบคุมความปลอดภัยด้านโครงสร้างพื้นฐานทางกายภาพของผู้ให้บริการได้เลย การมี ISO Certification จากผู้ตรวจสอบบัญชีอิสระ (Third-party Auditor) จึงเป็นหลักฐานสำคัญที่สุดที่การันตีว่าระบบฝั่ง Provider มีความปลอดภัย ช่วยลดความเสี่ยงทางธุรกิจและสอดคล้องกับ Compliance ขององค์กร
แหล่งอ้างอิง
1. NT Data Center — About Us – NT DATA CENTER — https://www.ntdatacenter.net/about-us/
2. BSI Group — ISO 22301 – การบริหารจัดการความต่อเนื่องทางธุรกิจ | BSI — https://www.bsigroup.com/th-TH/ISO-22301-Business-Continuity-Plan/
3. Bureau Veritas — INFORMATION SECURITY MANAGEMENT SYSTEM CERTIFICATION | Thailand — https://www.bureauveritas.co.th/en/our-services/certification/manage-enterprise-risk/iso-27000
4. High Table — ISO 27001 Information Security for Use of Cloud Services | Annex A 5.23 — https://hightable.io/iso-27001-annex-a-5-23-information-security-for-use-of-cloud-services/
5. Konfirmity — ISO 27001 Cloud Compliance On Azure: Key Requirements & Templates (2026) — https://www.konfirmity.com/blog/iso-27001-cloud-compliance-on-azure
6. PentesterWorld — ISO 27001 Complete Guide: Everything You Need to Know in 2026 — https://pentesterworld.com/articles/iso-27001-complete-guide-everything-you-need-to-know-in-2026
7. Baxtel — National Telecom (NT) Thailand Data Centers — https://baxtel.com/data-centers/national-telecom-public-company-limited-nt
8. HackerNoon — ISO 27001 Compliance Tools in 2026 — https://hackernoon.com/iso-27001-compliance-tools-in-2026-a-comparative-overview-of-7-leading-platforms
