# ISO/IEC 27035 คืออะไร? คู่มือจัดการเหตุการณ์ความปลอดภัยข้อมูล (Incident Management) สำหรับ SME ไทย 2026
ปี 2025 เป็นปีที่การโจมตีทางไซเบอร์พุ่งสูงสุดเป็นประวัติการณ์ในประเทศไทย — Ransomware, Phishing, Supply Chain Attack และ Data Breach เกิดขึ้นรายวันในภาคการเงิน สุขภาพ และอีคอมเมิร์ซ คำถามสำคัญไม่ใช่ "จะเกิดขึ้นกับเราไหม?" แต่เป็น "เมื่อเกิดเหตุแล้ว องค์กรของเรารับมือได้ดีแค่ไหน?"
ISO/IEC 27035 คือมาตรฐานสากลที่ออกแบบมาเพื่อตอบคำถามนี้โดยตรง โดยเป็น Framework ครบวงจรสำหรับการบริหารจัดการเหตุการณ์ด้านความมั่นคงปลอดภัยข้อมูล (Information Security Incident Management) ตั้งแต่การเตรียมพร้อม การตรวจจับ การตอบสนอง จนถึงการเรียนรู้หลังเหตุการณ์
บทความนี้จะพา PM, CISO และ IT Manager ชาวไทยเข้าใจ ISO/IEC 27035 อย่างครบถ้วน — 5 เฟสหลัก โครงสร้างทีม CSIRT ตัวอย่าง Playbook การนำมาใช้จริง 6 ขั้นตอน เปรียบเทียบกับมาตรฐานอื่น และ KPI ที่ควรวัด เพื่อยกระดับ Incident Response ของคุณให้ได้มาตรฐานโลกในปี 2026
ISO/IEC 27035 คืออะไร
ISO/IEC 27035 คือมาตรฐานชุดที่ 27000 ของ International Organization for Standardization ที่เน้นเฉพาะเรื่อง Information Security Incident Management ปัจจุบันแบ่งเป็น 4 ส่วน
| ส่วน | หัวข้อ | เนื้อหาหลัก |
|------|--------|-------------|
| ISO 27035-1:2023 | Principles & Process | หลักการและกระบวนการ 5 เฟส |
| ISO 27035-2:2023 | Guidelines to Plan & Prepare | แนวทางวางแผน & เตรียมความพร้อม |
| ISO 27035-3:2020 | Guidelines for ICT IR Operations | ขั้นตอนปฏิบัติการ IR ในระบบ ICT |
| ISO 27035-4 (WD) | Coordination | การประสานงานระหว่างหน่วยงาน |
ต่างจาก ISO 27001 ที่เป็น Management System แบบภาพรวม ISO 27035 เจาะลึกเฉพาะการจัดการ Incident ซึ่งเป็น Annex A.16 ของ ISO 27001:2022 แต่เพิ่มรายละเอียดปฏิบัติและ Playbook จริงให้ทีม SOC ใช้ได้
5 เฟสหลักของ ISO/IEC 27035
Framework แบ่งกระบวนการเป็น 5 เฟสที่ทำงานแบบวนรอบ (Lifecycle)
เฟส 1: Plan and Prepare — สร้าง Incident Management Policy, ตั้งทีม CSIRT, เตรียม Tool และ Playbook, ฝึกอบรมพนักงาน
เฟส 2: Detection and Reporting — ตรวจจับเหตุการณ์จาก SIEM, EDR, User Report พร้อมช่องทางรายงานที่ชัดเจน
เฟส 3: Assessment and Decision — วิเคราะห์ว่า Event เป็น Incident จริงหรือไม่ และจัดระดับ Severity (Low/Medium/High/Critical)
เฟส 4: Responses — Contain (ควบคุม), Eradicate (กำจัด), Recover (กู้คืน) ระบบ และแจ้งผู้มีส่วนได้เสีย
เฟส 5: Lessons Learned — ทำ Post-Incident Review, ปรับปรุง Control และ Update Playbook เพื่อให้ไม่เกิดซ้ำ
โครงสร้างทีม CSIRT ตามมาตรฐาน
ISO 27035 แนะนำให้ตั้ง Computer Security Incident Response Team (CSIRT) ที่มีบทบาทชัดเจน
สำหรับ SME ที่ทรัพยากรจำกัด สามารถใช้ Outsourced MSSP (Managed Security Service Provider) ในบางบทบาทได้
6 ขั้นตอนการนำ ISO 27035 มาใช้กับ SME ไทย
Step 1: Gap Assessment — สำรวจ Incident Process ปัจจุบัน เทียบกับ Checklist ISO 27035-1 ระบุช่องว่าง
Step 2: Policy และ Charter — เขียน Incident Management Policy, Charter ของ CSIRT และ Severity Matrix
Step 3: Playbook Development — พัฒนา Playbook อย่างน้อย 5 scenario ที่พบบ่อย: Ransomware, Phishing, Data Breach, DDoS, Insider Threat
Step 4: Tooling — Integrate SIEM (Splunk/Elastic/Wazuh), SOAR (Tines/n8n), Ticketing (Jira/ServiceNow) เข้าด้วยกัน
Step 5: Tabletop Exercise — ซ้อม Incident อย่างน้อยปีละ 2 ครั้งเพื่อทดสอบความพร้อม
Step 6: Continuous Improvement — วัด KPI ทุกไตรมาส ปรับ Policy และ Playbook ตาม Lesson Learned
เปรียบเทียบ ISO 27035 กับ Framework อื่น
| Framework | ผู้ออก | จุดเน้น | เหมาะกับ |
|-----------|--------|---------|----------|
| ISO/IEC 27035 | ISO | Lifecycle 5 เฟส ครอบคลุมทุกอุตสาหกรรม | องค์กรที่ต้องการมาตรฐานสากล |
| NIST SP 800-61 | NIST (USA) | IR Handbook 4 เฟส Detailed | องค์กรที่ทำงานกับตลาดสหรัฐ |
| SANS Incident Handling | SANS | PICERL 6 เฟส เน้น Hands-on | ทีม SOC ที่ต้องการ Technical Guide |
| MITRE ATT&CK | MITRE | Map TTP ของ Attacker | ทีม Threat Hunting |
ISO 27035 เหมาะที่สุดกับ SME ไทยเพราะ (1) สอดคล้องกับ ISO 27001 ที่หลายองค์กรทำอยู่แล้ว (2) กฎหมาย PDPA ของไทยกำหนดให้ต้องรายงาน Data Breach ภายใน 72 ชั่วโมง ซึ่ง ISO 27035 มี Template และ Timeline รองรับ
KPI ที่ควรวัดตาม ISO 27035
ความสอดคล้องกับกฎหมายไทย
ISO 27035 ช่วยให้องค์กรปฏิบัติตาม (1) พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) มาตรา 37(4) ที่กำหนดต้องแจ้ง PDPC ภายใน 72 ชั่วโมง (2) พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 สำหรับ CII Operator (3) ประกาศ ธปท. สำหรับสถาบันการเงิน
สรุปและขั้นตอนต่อไป
ISO/IEC 27035 ไม่ใช่เอกสารอ่านแล้ววางทิ้ง แต่เป็น Living Framework ที่องค์กรต้องนำมาใช้จริงและปรับปรุงต่อเนื่อง SME ไทยที่มี ISO 27001 อยู่แล้วสามารถเพิ่ม ISO 27035 เป็น Extension ได้ทันทีโดยไม่ต้อง Audit ใหม่ แต่จะได้ Playbook, KPI และทีม CSIRT ที่พร้อมรับมือ Cyber Attack
เริ่ม Incident Management แบบมาตรฐานสากล? ทีม ADS FIT ช่วยทำ Gap Assessment, พัฒนา Playbook และฝึกอบรม CSIRT ของคุณ — ติดต่อเพื่อรับ Free Consultation หรืออ่านเพิ่มเติมเรื่อง ISO 27001, SIEM, SOC 2 และ PDPA ได้ในบล็อก ADS FIT