ISO / GMP / อย.

ISO/IEC 27036 2026: คู่มือ Supplier Security & Supply Chain Risk สำหรับ SME ไทย

คู่มือ ISO/IEC 27036 สำหรับ SME ไทย จัดการความปลอดภัย vendor และ supply chain risk ปกป้องข้อมูลตาม PDPA พร้อมรองรับ ISO 27001:2022

AF
ADS FIT Team
·9 นาที
Share:
ISO/IEC 27036 2026: คู่มือ Supplier Security & Supply Chain Risk สำหรับ SME ไทย

# ISO/IEC 27036 2026: คู่มือ Supplier Information Security & Supply Chain Risk สำหรับ SME ไทย

ในยุคที่ธุรกิจไทยพึ่งพา cloud vendor, SaaS provider และ outsourcing partner มากขึ้นทุกปี ความเสี่ยงด้านความปลอดภัยไม่ได้จบที่ขอบเขตของบริษัทเอง การโจมตีแบบ supply chain attack เช่น SolarWinds และ MOVEit ทำให้องค์กรในไทยเริ่มตื่นตัวกับมาตรฐาน ISO/IEC 27036 ที่ออกแบบมาเพื่อจัดการความเสี่ยงด้านสารสนเทศกับ supplier อย่างเป็นระบบ

บทความนี้สรุปสาระสำคัญของ ISO/IEC 27036 ทั้งสี่ part ในรูปแบบที่ SME ไทยเอาไปใช้ได้จริง พร้อมเทียบกับ NIST SP 800-161 และตัวอย่างการนำไปประยุกต์ใช้ในการเลือก vendor และการต่อสัญญาในปี 2026

ISO/IEC 27036 คืออะไร

ISO/IEC 27036 เป็นมาตรฐานสากลที่กำหนดแนวทางการจัดการความปลอดภัยสารสนเทศตลอด lifecycle ของความสัมพันธ์กับ supplier ตั้งแต่ก่อนเซ็นสัญญา ช่วงให้บริการ จนถึงสิ้นสุดสัญญา มาตรฐานนี้ออกโดย ISO ร่วมกับ IEC และเชื่อมโยงกับ ISO 27001 ผ่าน Annex A control 5.19-5.23 ที่พูดถึง supplier relationships โดยตรง

มาตรฐานนี้มีทั้งหมด 4 part ที่ครอบคลุมแต่ละมุม

| Part | ชื่อ | สาระสำคัญ |

|---|---|---|

| 27036-1 | Overview and concepts | นิยามคำศัพท์ ภาพรวม |

| 27036-2 | Requirements | ข้อกำหนดเชิง general |

| 27036-3 | ICT supply chain | ICT-specific การประเมินความเสี่ยง |

| 27036-4 | Cloud services | สำหรับการใช้ cloud services โดยเฉพาะ |

ปี 2024-2025 มีการ revise part 1, 2, 4 เพื่อให้สอดคล้องกับ ISO 27001:2022 และจะมีผลบังคับใช้สำหรับองค์กรที่ certify ใหม่ในปี 2026

ทำไม SME ไทยต้องใส่ใจ Supply Chain Security

หลายธุรกิจมองว่ามาตรฐาน supplier security เป็นเรื่องของ enterprise เท่านั้น แต่ความจริง SME ก็เจอความเสี่ยงไม่น้อยกว่า

  • **PDPA Section 40** กำหนดให้ data controller รับผิดชอบ data processor (vendor) ที่ประมวลผลข้อมูลแทน หาก vendor ทำข้อมูลรั่ว เจ้าของธุรกิจคือคนที่โดน
  • **Cyber-insurance** ต้องการหลักฐานการประเมิน vendor ก่อนพิจารณาเคลม
  • **Customer due diligence** ลูกค้า enterprise มัก audit supplier ก่อนทำงานด้วย หากไม่มี framework ก็เสียโอกาสคว้าดีลใหญ่
  • **Cost of breach** จากรายงาน IBM ปี 2025 supply chain attack มีค่าเฉลี่ยเสียหายสูงกว่าการโดนแฮกตรง 35-50%

    • ขั้นตอนการประยุกต์ใช้ ISO 27036 สำหรับ SME

    แม้มาตรฐานเต็มจะดูเยอะ แต่สามารถย่อยลงเป็นขั้นตอนเชิงปฏิบัติได้ดังนี้

  • จัดทำ Supplier Inventory ระบุทุก vendor ที่เกี่ยวข้องกับข้อมูลหรือระบบ ตั้งแต่ Microsoft 365, Google Workspace, ผู้พัฒนาเว็บ, accounting software, courier ที่ส่งเอกสาร
  • จำแนก Tier ตามความเสี่ยง Tier 1 = critical (เข้าถึงข้อมูลลูกค้า), Tier 2 = important (เข้าถึงระบบภายใน), Tier 3 = low risk (เครื่องเขียน)
  • สร้าง Vendor Security Questionnaire ใช้ template SIG Lite หรือ CAIQ ของ Cloud Security Alliance สำหรับ Tier 1
  • ทำ Risk Assessment ก่อนเซ็นสัญญา ประเมินตาม likelihood/impact และตัดสินว่ารับ ลด หรือ transfer ความเสี่ยง
  • ใส่ Security Clause ใน MSA เช่น breach notification ไม่เกิน 72 ชั่วโมง audit right ปีละครั้ง data deletion เมื่อจบสัญญา
  • Monitor ระหว่างใช้งาน ทบทวน SOC 2 report ปีละครั้ง ติดตาม security advisory จาก vendor
  • Offboarding ตรวจ data deletion และ access revocation เมื่อจบสัญญาทุกครั้ง

    • เปรียบเทียบ ISO 27036 กับมาตรฐานอื่น

    ISO 27036 ไม่ใช่ทางเลือกเดียว องค์กรไทยควรเข้าใจตำแหน่งของแต่ละ framework เพื่อใช้ร่วมกัน

    | Framework | จุดเด่น | เหมาะกับ |

    |---|---|---|

    | ISO/IEC 27036 | ครอบคลุม ICT + cloud, สากล, integrate กับ 27001 | องค์กรที่ทำ ISO 27001 อยู่แล้ว |

    | NIST SP 800-161 r1 | ละเอียดมาก, focus federal supply chain | ส่งออกสหรัฐ, sub-contractor ภาครัฐ |

    | Cyber Essentials Plus | เริ่มต้นง่าย, ไม่แพง | SME UK และ partner ที่ต้องการ baseline |

    | TISAX | automotive industry-specific | ผู้ผลิตชิ้นส่วนยานยนต์ |

    สำหรับ SME ไทย แนะนำให้เริ่มที่ ISO 27036-2 และ 27036-4 เพราะครอบคลุมกรณีใช้ cloud services ที่พบบ่อยที่สุด

    Vendor Risk Questionnaire สั้น ๆ ที่ใช้ได้ทันที

    ตัวอย่างคำถามที่ควรถาม Tier 1 vendor ก่อนเซ็นสัญญา ทุกคำตอบควรมีหลักฐานประกอบ

  • มี certificate ISO 27001 หรือ SOC 2 Type II ไหม update รายปี
  • ข้อมูลเก็บที่ data center ใด รองรับ data residency ของไทยหรือไม่
  • ใช้ encryption แบบใดทั้ง at-rest และ in-transit ระบุ algorithm
  • มี breach notification SLA กี่ชั่วโมง
  • รองรับ SSO/SAML/SCIM สำหรับ identity governance หรือไม่
  • มี penetration test ล่าสุดเมื่อไร อ่านสรุปได้ไหม
  • หลังจบสัญญา data จะถูกลบภายในกี่วัน มี certificate of destruction ไหม
  • subcontractor ที่ใช้มีใครบ้าง audit อย่างไร

    • ค่าใช้จ่ายและ Timeline ในการ Implement

    การเริ่ม supplier risk management ที่สอดคล้องกับ ISO 27036 ในองค์กร 30-100 คน

  • **เดือน 1-2** ทำ inventory และ tier classification ใช้พนักงานภายใน
  • **เดือน 2-3** ออกแบบ questionnaire + risk matrix งบประมาณ ~50,000 บาท ถ้าจ้างที่ปรึกษา
  • **เดือน 3-4** revise สัญญา MSA ใหม่ทุก vendor Tier 1 + Tier 2 ทำงานร่วมกับฝ่ายกฎหมาย
  • **เดือน 4-6** training ทีม procurement และ IT ลงทุน 20,000-40,000 บาท
  • **Ongoing** เครื่องมืออัตโนมัติ เช่น OneTrust, Vanta, Drata เริ่มต้นประมาณ USD 500/เดือน

    • ROI หลัก ๆ มาจากการลดเวลาตอบ vendor questionnaire ของลูกค้า enterprise เฉลี่ย 30-50% และลดความเสี่ยงโดน penalty ตาม PDPA

    ข้อผิดพลาดที่ SME มักทำ

  • **เลือก vendor จาก price อย่างเดียว** ไม่ดู security posture
  • **ไม่มี exit plan** เมื่อเปลี่ยน vendor ก็ลืม revoke API key เก่า
  • **ไม่ track sub-processor** vendor หลักอาจใช้ third-party ต่อโดยไม่บอก
  • **ไม่ test breach notification** สมมติว่า vendor จะแจ้งจริงโดยไม่เคยซ้อม
  • **ละเลย shadow IT** ที่ทีมต่าง ๆ ไป subscribe service เองโดยไม่ผ่าน procurement

    • สรุปและก้าวต่อไป

    ISO/IEC 27036 ไม่จำเป็นต้องทำให้ครบทุก part ในรอบเดียว สำหรับ SME ไทยเริ่มต้นที่การจัดทำ supplier inventory และ risk-based questionnaire ภายใน 90 วันก็เพียงพอจะลด supply chain risk อย่างมีนัยสำคัญ และสร้างความมั่นใจให้ลูกค้า enterprise ที่ทำ vendor due diligence

    ทีม ADS FIT ช่วยออกแบบ Vendor Risk Management Program และเชื่อมเข้ากับ ISO 27001 ของคุณ [ติดต่อทีมงาน](https://www.adsfit.co.th/contact) เพื่อรับ assessment และ template ฟรี หรืออ่านบทความหมวด ISO/GMP/อย. เพิ่มเติม

    Tags

    #ISO 27036#Supplier Security#Supply Chain Risk#Vendor Management#ISO 27001#SME ไทย

    สนใจโซลูชันนี้?

    ปรึกษาทีม ADS FIT ฟรี เราพร้อมออกแบบระบบที่ฟิตกับธุรกิจของคุณ

    ติดต่อเรา →

    บทความที่เกี่ยวข้อง

    🛡️

    PDPA DPA 2026: คู่มือ Data Processing Agreement สัญญาประมวลผลข้อมูลส่วนบุคคล SME ไทย

    7 พฤษภาคม 2569 · 8 นาที
    🛡️

    ISO 37001 คืออะไร? คู่มือ Anti-Bribery Management ธุรกิจไทย 2026

    7 พฤษภาคม 2569 · 8 นาที
    🛡️

    ISO 14001 Environmental Management System (EMS): คู่มือมาตรฐานสิ่งแวดล้อมสำหรับ SME ไทย 2026

    7 พฤษภาคม 2569 · 9 นาที