# ISO 27017 คืออะไร? คู่มือมาตรฐานความปลอดภัย Cloud Computing สำหรับองค์กรไทย 2026
เมื่อธุรกิจย้าย Data และระบบงานขึ้น Cloud มากขึ้นทุกปี ความปลอดภัยของข้อมูลบน Cloud กลายเป็นความเสี่ยงอันดับต้นๆ ที่ผู้บริหารและ IT Manager ต้องจัดการ ISO 27017 คือมาตรฐานสากลที่ถูกสร้างขึ้นมาเพื่อแก้ปัญหานี้โดยตรง
ISO/IEC 27017:2015 เป็นมาตรฐานสากลที่ให้แนวทางการปฏิบัติด้านความปลอดภัยข้อมูลสำหรับบริการ Cloud Computing โดยเฉพาะ พัฒนาต่อยอดจาก ISO 27001 และ ISO 27002 แต่เพิ่มข้อกำหนดเฉพาะสำหรับ Cloud Service Provider (CSP) และ Cloud Service Customer (CSC) ทั้งสองฝ่าย
ในบทความนี้ คุณจะได้เรียนรู้ความแตกต่างระหว่าง ISO 27017 กับมาตรฐานอื่น ข้อกำหนดหลักที่ต้องปฏิบัติ วิธีเตรียมองค์กรสู่การรับรอง รวมถึงประโยชน์ที่ธุรกิจ SME ไทยจะได้รับจากการมีมาตรฐานนี้
ISO 27017 คืออะไร?
ISO/IEC 27017 คือ Code of Practice (แนวปฏิบัติ) สำหรับการควบคุมความปลอดภัยข้อมูลในบริบทของ Cloud Computing ออกโดย ISO (International Organization for Standardization) และ IEC ร่วมกัน
มาตรฐานนี้ครอบคลุม 37 Control จาก ISO 27002 ที่ปรับให้เหมาะสำหรับ Cloud และเพิ่ม Cloud-specific Control อีก 7 รายการที่ไม่มีใน ISO 27002 ซึ่งเน้นประเด็นสำคัญดังนี้:
ความแตกต่างระหว่าง ISO 27017, ISO 27001 และ ISO 27018
นักพัฒนาและ IT Manager มักสับสนระหว่างมาตรฐานเหล่านี้ ตารางด้านล่างช่วยให้เข้าใจความแตกต่างได้ชัดเจน:
| มาตรฐาน | เน้นอะไร | ใครควรทำ |
|---------|---------|----------|
| ISO 27001 | ระบบ ISMS ครอบคลุมทุก IT | ทุกองค์กรที่จัดการข้อมูลสำคัญ |
| ISO 27002 | แนวปฏิบัติ Control ทั่วไป | ใช้อ้างอิงร่วมกับ ISO 27001 |
| ISO 27017 | Cloud Security โดยเฉพาะ | องค์กรที่ใช้หรือให้บริการ Cloud |
| ISO 27018 | ข้อมูลส่วนบุคคลบน Cloud (PII) | Cloud Provider ที่เก็บข้อมูล PII |
สรุปง่ายๆ: ถ้าองค์กรมี ISO 27001 แล้วและกำลังย้ายระบบขึ้น Cloud ควร Extend ด้วย ISO 27017 เพื่อครอบคลุมความเสี่ยง Cloud โดยเฉพาะที่ ISO 27001 ทั่วไปไม่ได้กล่าวถึง
7 Cloud-Specific Controls ใน ISO 27017
ISO 27017 เพิ่ม Control พิเศษ 7 รายการที่ไม่มีใน ISO 27002 ซึ่ง IT Manager ต้องเข้าใจและนำไปปฏิบัติ:
CLD.6.3.1 – Shared Roles and Responsibilities
กำหนดบทบาทและความรับผิดชอบระหว่าง Cloud Provider และลูกค้าให้ชัดเจน เช่น ใครรับผิดชอบ Patch OS, ใครดูแล Firewall Rule, ใครจัดการ Data Encryption
CLD.8.1.5 – Removal of Cloud Service Customer Assets
เมื่อสิ้นสุดสัญญา Cloud Provider ต้องลบ Data และ Asset ของลูกค้าออกจากระบบอย่างสมบูรณ์ พร้อมออกใบรับรองการลบข้อมูล
CLD.9.5.1 – Segregation in Virtual Computing Environments
แยก Environment ของลูกค้าแต่ละรายออกจากกันอย่างเคร่งครัด ป้องกันการเข้าถึงข้ามระหว่าง Tenant ใน Shared Infrastructure
CLD.9.5.2 – Hardening of Virtual Machine
ทำ VM Hardening ตาม Security Baseline ปิด Port และ Service ที่ไม่จำเป็น ลด Attack Surface ของทุก VM
CLD.12.1.5 – Administrator's Operational Security
ควบคุมการเข้าถึง Admin Console ด้วย MFA, Privileged Access Management (PAM) และบันทึก Audit Log ทุกกิจกรรมของ Admin
CLD.12.4.5 – Monitoring of Cloud Services
ติดตาม Log และ Event บน Cloud ตลอด 24 ชั่วโมง พร้อมระบบ Alert อัตโนมัติเมื่อพบพฤติกรรมผิดปกติหรือ Security Incident
CLD.13.1.4 – Alignment of Security Management for Virtual and Physical Networks
ให้มาตรการรักษาความปลอดภัยของ Virtual Network เทียบเท่า Physical Network รวมถึง Segmentation, Access Control และ Traffic Monitoring
ขั้นตอนการเตรียมองค์กรสู่ ISO 27017
ถ้าองค์กรของคุณพร้อมจะขยาย Scope ความปลอดภัยให้ครอบคลุม Cloud ทำตามขั้นตอนนี้:
ขั้นตอนที่ 1: Gap Analysis
ประเมินว่าองค์กรมี Control ครบตาม ISO 27017 แล้วหรือยัง โดยเฉพาะ 7 Cloud-specific Controls เปรียบเทียบกับ Cloud Platform ที่ใช้อยู่ เช่น AWS, Azure หรือ Google Cloud
ขั้นตอนที่ 2: จัดทำ Shared Responsibility Matrix
ร่วมกับ Cloud Provider เพื่อกำหนดขอบเขตความรับผิดชอบให้ชัดเจน ทำเป็นเอกสาร SLA Addendum และ Security Responsibility Matrix
ขั้นตอนที่ 3: ปรับปรุง Policy และ Procedure
อัปเดต Information Security Policy ให้ครอบคลุม Cloud Asset Management, VM Hardening Procedure, Cloud Access Control Policy และ Data Removal Procedure
ขั้นตอนที่ 4: ติดตั้งเครื่องมือ Monitoring
Deploy CSPM (Cloud Security Posture Management) เช่น Prisma Cloud, AWS Security Hub หรือ Microsoft Defender for Cloud เพื่อ Monitor Compliance แบบ Real-time และ Auto-remediate
ขั้นตอนที่ 5: Internal Audit และ Corrective Action
ทำ Internal Audit ตาม Control ทั้ง 37+7 รายการ แก้ไข Non-conformance ก่อนเชิญ Certification Body ที่ได้รับการรับรองจาก UKAS หรือ DAkkS มาทำ External Audit
ประโยชน์ที่ธุรกิจ SME ไทยได้รับ
การปฏิบัติตาม ISO 27017 ไม่ได้ทำเพื่อใบรับรองอย่างเดียว แต่ให้ประโยชน์ธุรกิจโดยตรงหลายด้าน:
สรุปและก้าวต่อไป
ISO 27017 เป็นมาตรฐานที่จำเป็นมากขึ้นเรื่อยๆ สำหรับธุรกิจไทยที่พึ่งพา Cloud ไม่ว่าจะเป็น AWS, Azure หรือ Google Cloud เพราะ Cloud Environment มีความเสี่ยงเฉพาะที่มาตรฐาน ISO 27001 ทั่วไปไม่ครอบคลุมเพียงพอ
Key Takeaways:
ถ้าองค์กรของคุณกำลังวางแผนขอรับรอง ISO 27017 หรือต้องการเตรียม Cloud Security ให้พร้อม [ติดต่อทีม ADS FIT](https://www.adsfit.co.th/contact) เพื่อรับคำปรึกษาฟรี หรืออ่านบทความ Compliance อื่นๆ เพิ่มเติมได้ที่ [บล็อก ADS FIT](https://www.adsfit.co.th/blog)