"หน่วยงานหรือธุรกิจแบบไหนที่จำเป็นต้อง implement ISO 27001/27002 ครับ"
"สามารถใช้กับ หน่วยงาน ทุกหน่วยงานที่ต้องการควบคุม ข้อมูลสารสนเทศให้ปลอดภัย เช่น โรงงาน, service provider, หน่วยงานราชการ หรือเอกชนครับ"
"ถ้าต้องเขียน manual ของระบบนี้ สามารถเขียนรวมกับ ISO9001 ได้ใช่ไหมครับ"
"ได้ครับ เพราะข้อกำหนดที่เป็น Framework ข้อ 4-10 คล้ายกับ ISO 9001 ครับ แต่ข้อ security control ตาม Annex A ก็อาจแทรกใน operational control procedure ที่เกี่ยวข้องได้ครับผม"
"กรณีที่บริษัทรปภ.เก็บข้อมูลจากการเสียบบัตรประชาชนของลูกค้า หรือ ผู้มาติดต่อ บริษัทถือเป็น Controller ใช่ไหม ถ้าใช้องค์กรต้องมีการตรวจสอบการเก็บระยะเวลาการเก็บข้อมูลด้วยใช่ไหม"
"ใช่ครับ กรณีนี้ องค์กร จะเป็น controller เพราะทำหน้าที่ในการกำหนดวัตถุประสงค์การเก็บ เมื่อองค์กรเป็น Controller แล้ว องกรณ์ต้องทำตามกฎหมาย PDPA หรือ ISO/IEC 27701 ข้อ 8 เช่น ต้องกำหนดฐานการเก็บ, แจ้งเจ้าของข้อมูลให้ทราบตามกฎหมาย, ต้องควบคุมเรื่อง security, etc."
