ISO / GMP / อย.

ISO 27002:2022 คืออะไร? คู่มือ 93 Controls ความปลอดภัยสารสนเทศ สำหรับ SME ไทย 2026

ทำความเข้าใจ ISO 27002:2022 ฉบับปรับปรุงใหม่ ครอบคลุม 93 Controls แบ่งเป็น 4 กลุ่มหลัก พร้อมแนวทางเลือก Controls ให้เหมาะกับองค์กร SME ไทย เปรียบเทียบกับ ISO 27002:2013 และคู่มือ Implementation ทีละขั้นตอน

AF
ADS FIT Team
·8 นาที
Share:
ISO 27002:2022 คืออะไร? คู่มือ 93 Controls ความปลอดภัยสารสนเทศ สำหรับ SME ไทย 2026

# ISO 27002:2022 คืออะไร? คู่มือ 93 Controls ความปลอดภัยสารสนเทศ สำหรับ SME ไทย 2026

ในยุคที่การโจมตีทางไซเบอร์ทวีความรุนแรงขึ้นทุกปี จากรายงาน IBM Cost of a Data Breach Report 2025 ค่าความเสียหายเฉลี่ยจากการละเมิดข้อมูลพุ่งสูงถึง 4.88 ล้านเหรียญสหรัฐต่อเหตุการณ์ และตัวเลขนี้เพิ่มขึ้นต่อเนื่อง 15% ในรอบ 3 ปีที่ผ่านมา องค์กรไทยเองก็เผชิญกับภัยคุกคามไม่ต่างกัน โดยเฉพาะ SME ที่มักถูกมองว่าเป็น "เป้าหมายง่าย" เพราะขาดทรัพยากรด้านความปลอดภัย

ISO/IEC 27002:2022 จึงกลายเป็นมาตรฐานสากลที่องค์กรทั่วโลกใช้เป็น "แผนที่นำทาง" ในการเลือก Controls ความปลอดภัยสารสนเทศให้เหมาะกับความเสี่ยงของตนเอง ฉบับปรับปรุงใหม่ปี 2022 ได้ลดจำนวน Controls จาก 114 เหลือ 93 Controls จัดกลุ่มใหม่ให้เข้าใจง่ายขึ้น และเพิ่ม Controls ที่ตอบโจทย์ภัยคุกคามยุคใหม่ เช่น Threat Intelligence, Cloud Security และ Data Leakage Prevention

บทความนี้จะพาคุณทำความเข้าใจ ISO 27002:2022 ตั้งแต่พื้นฐาน โครงสร้าง 4 Themes, 93 Controls สำคัญ ความแตกต่างจากฉบับ 2013 และขั้นตอนการ Implement สำหรับ SME ไทยแบบจับต้องได้

ISO 27002:2022 คืออะไร? แตกต่างจาก ISO 27001 อย่างไร

ISO/IEC 27002:2022 คือมาตรฐานสากลที่ระบุ "แนวทางปฏิบัติ (Code of Practice)" สำหรับการเลือกและประยุกต์ใช้ Information Security Controls โดยทำหน้าที่เป็น Reference Document ให้กับ ISO 27001 ซึ่งเป็นมาตรฐานที่ใช้ออกใบรับรอง (Certification)

กล่าวให้ง่ายคือ ISO 27001 บอกว่า "ต้องทำอะไร (What)" ส่วน ISO 27002 บอกว่า "ทำอย่างไร (How)" องค์กรที่ต้องการขอ Certified ISO 27001 จึงต้องใช้ ISO 27002 เป็นคู่มือในการเลือก Controls มาประยุกต์ใช้ให้เหมาะกับบริบทและระดับความเสี่ยงของตน

จุดเปลี่ยนสำคัญของ ISO 27002:2022 เทียบกับ ISO 27002:2013

ฉบับปี 2022 ออกแบบใหม่เพื่อให้ทันกับภัยคุกคามยุคปัจจุบันและเทคโนโลยีที่เปลี่ยนไป โดยมีการเปลี่ยนแปลงหลัก ๆ ได้แก่ ลดจำนวน Controls จาก 114 เหลือ 93 Controls รวม Controls ที่ซ้ำซ้อนเข้าด้วยกัน ปรับโครงสร้างจาก 14 Domains เป็น 4 Themes ให้เข้าใจง่ายขึ้น เพิ่ม Controls ใหม่ 11 รายการเพื่อรองรับเทคโนโลยีสมัยใหม่ และเพิ่ม Attribute Taxonomy (5 มิติ) เพื่อช่วยจัดหมวดหมู่ Controls ได้ยืดหยุ่นขึ้น

โครงสร้าง 4 Themes ของ ISO 27002:2022

ISO 27002:2022 จัดกลุ่ม 93 Controls ออกเป็น 4 Themes หลัก ตามลักษณะผู้รับผิดชอบและวัตถุประสงค์:

| Theme | จำนวน Controls | ขอบเขต |

|-------|---------------|--------|

| 5. Organizational Controls | 37 | นโยบาย, การกำกับดูแล, Supplier Management |

| 6. People Controls | 8 | การคัดกรองพนักงาน, การฝึกอบรม, การให้สิทธิ์ |

| 7. Physical Controls | 14 | การเข้าพื้นที่, อุปกรณ์, สภาพแวดล้อม |

| 8. Technological Controls | 34 | การเข้ารหัส, Network Security, Application Security |

11 Controls ใหม่ที่เพิ่มในฉบับ 2022

Controls ใหม่เหล่านี้สะท้อนภัยคุกคามยุคปัจจุบัน และเป็นส่วนที่ SME ไทยควรให้ความสำคัญเป็นพิเศษ:

  • **5.7 Threat Intelligence**: การรวบรวมและวิเคราะห์ข่าวกรองภัยคุกคาม
  • **5.23 Information Security for Use of Cloud Services**: ความปลอดภัยการใช้ Cloud
  • **5.30 ICT Readiness for Business Continuity**: ความพร้อมด้าน ICT สำหรับ BCP
  • **7.4 Physical Security Monitoring**: การเฝ้าระวังความปลอดภัยทางกายภาพ
  • **8.9 Configuration Management**: การจัดการค่า Configuration ของระบบ
  • **8.10 Information Deletion**: การลบข้อมูลอย่างปลอดภัย
  • **8.11 Data Masking**: การปกปิดข้อมูลสำคัญ
  • **8.12 Data Leakage Prevention (DLP)**: ป้องกันข้อมูลรั่วไหล
  • **8.16 Monitoring Activities**: การเฝ้าติดตามกิจกรรมในระบบ
  • **8.23 Web Filtering**: การกรอง Web ที่เป็นอันตราย
  • **8.28 Secure Coding**: การเขียนโค้ดอย่างปลอดภัย

    • Controls ที่ SME ไทยต้องให้ความสำคัญเป็นพิเศษ

    แม้มาตรฐานจะมี 93 Controls แต่ไม่ใช่ทุก Control ที่เหมาะกับ SME บทความนี้แนะนำ Priority Controls ที่ให้ผลตอบแทนต่อการลงทุนสูงสุด:

    ด้าน Organizational Controls

  • 5.1 Policies for Information Security — กำหนดนโยบายเป็นลายลักษณ์อักษร
  • 5.9 Inventory of Information and Other Associated Assets — จัดทำทะเบียนทรัพย์สิน
  • 5.15 Access Control — ควบคุมการเข้าถึงข้อมูล
  • 5.23 Cloud Services Security — สำคัญมากสำหรับ SME ที่ใช้ SaaS
  • 5.24 Incident Management — แผนจัดการเหตุการณ์ละเมิด

    • ด้าน People Controls

  • 6.3 Information Security Awareness — อบรมพนักงานอย่างน้อยปีละ 1 ครั้ง
  • 6.7 Remote Working — สำคัญในยุค Hybrid Work

    • ด้าน Physical Controls

  • 7.2 Physical Entry — ควบคุมการเข้าออกสำนักงาน/Server Room
  • 7.10 Storage Media — การจัดเก็บและทำลายสื่อบันทึกข้อมูล

    • ด้าน Technological Controls

  • 8.2 Privileged Access Rights — บริหารสิทธิ์ Admin อย่างรัดกุม
  • 8.7 Protection Against Malware — Endpoint Security
  • 8.8 Management of Technical Vulnerabilities — Patch Management
  • 8.12 Data Leakage Prevention — ป้องกันข้อมูลรั่ว
  • 8.24 Use of Cryptography — การเข้ารหัสข้อมูล
  • 8.28 Secure Coding — สำหรับทีม Dev

    • ขั้นตอน Implement ISO 27002:2022 สำหรับ SME ไทย

    แนวทาง Implement ที่ได้ผลจริง ใช้ทรัพยากรน้อย เหมาะกับ SME ที่มีทีม IT จำนวนจำกัด:

  • Gap Analysis: ประเมิน Controls ปัจจุบันเทียบกับ 93 Controls ว่ามี/ไม่มี/มีบางส่วน ใช้ Excel Template ช่วยบันทึก
  • Risk Assessment: วิเคราะห์ภัยคุกคาม, Vulnerability, Impact และ Likelihood เพื่อจัดลำดับความเสี่ยง
  • Statement of Applicability (SoA): เลือก Controls ที่จะนำมาใช้ พร้อมเหตุผล (กรณีไม่ใช้บาง Controls)
  • Control Implementation: เริ่ม Implement Controls ตามลำดับความสำคัญ เน้น Quick Win ก่อน เช่น Password Policy, MFA, Backup
  • Documentation: จัดทำเอกสารนโยบาย, Procedure, Work Instruction และ Record ตามที่ Controls กำหนด
  • Training & Awareness: อบรมพนักงานทุกระดับอย่างน้อยปีละ 1 ครั้ง พร้อมทดสอบ Phishing Simulation
  • Monitoring & Review: วัดผล Controls ด้วย KPI/KRI พร้อม Internal Audit อย่างน้อยปีละครั้ง
  • Continuous Improvement: ปรับปรุง Controls ตาม Feedback, Incident Report และภัยคุกคามใหม่

    • เปรียบเทียบ ISO 27002:2022 vs NIST CSF vs CIS Controls

    SME มักลังเลว่าจะเลือกใช้มาตรฐานไหน ตารางเปรียบเทียบนี้ช่วยให้ตัดสินใจได้ง่ายขึ้น:

    | หัวข้อ | ISO 27002:2022 | NIST CSF 2.0 | CIS Controls v8 |

    |--------|----------------|--------------|------------------|

    | จำนวน Controls | 93 | 6 Functions, 22 Categories | 18 Controls, 153 Safeguards |

    | ต้นกำเนิด | International (ISO) | สหรัฐฯ (NIST) | ไม่แสวงกำไร (CIS) |

    | จุดเด่น | Certifiable, ครบครัน | Flexible Framework | Quick Win Practical |

    | เหมาะกับ | องค์กรต้องการ Certify | หน่วยงานรัฐ/กองทุน | SME เริ่มต้น |

    | Cost Implementation | สูง-ปานกลาง | ปานกลาง | ต่ำ |

    | ค่าใบรับรอง | มี | ไม่มี | ไม่มี |

    คำแนะนำสำหรับ SME ไทย: หากเพิ่งเริ่มต้น ให้ใช้ CIS Controls Implementation Group 1 (IG1) เพื่อวาง Baseline จากนั้นค่อยขยับเข้าสู่ ISO 27002 เมื่อพร้อมขอ Certified ISO 27001

    สรุป: เริ่มต้นอย่างไรให้คุ้มทุน

    ISO 27002:2022 ไม่ใช่แค่ "เช็คลิสต์" แต่คือแนวทางการสร้างวัฒนธรรมความปลอดภัยที่ยั่งยืน สำหรับ SME ไทย การเริ่มจาก Quick Win 5-10 Controls ที่สำคัญที่สุด (Password Policy, MFA, Backup, Endpoint Protection, Awareness Training) จะสร้างผลกระทบเชิงบวกอย่างเห็นได้ชัดภายใน 3-6 เดือน

    หากต้องการที่ปรึกษาด้านการ Implement ISO 27001/27002 หรือพัฒนาระบบความปลอดภัยสารสนเทศแบบครบวงจร ทีม ADS FIT พร้อมช่วยออกแบบโซลูชันที่เหมาะกับขนาดธุรกิจและงบประมาณของคุณ ติดต่อเราวันนี้เพื่อรับ Gap Analysis ฟรี หรืออ่านบทความที่เกี่ยวข้อง เช่น [ISO 27001 Implementation Guide](/blog/iso-27001-implementation-guide) และ [PDPA Guide for SME](/blog/pdpa-guide-sme-business-2026) เพื่อเตรียมความพร้อมองค์กรสู่ยุค Digital Trust

    Tags

    #ISO 27002#Information Security#Cybersecurity#Compliance#ISMS#Thailand SME

    สนใจโซลูชันนี้?

    ปรึกษาทีม ADS FIT ฟรี เราพร้อมออกแบบระบบที่ฟิตกับธุรกิจของคุณ

    ติดต่อเรา →

    บทความที่เกี่ยวข้อง

    🛡️

    PDPA DPA 2026: คู่มือ Data Processing Agreement สัญญาประมวลผลข้อมูลส่วนบุคคล SME ไทย

    7 พฤษภาคม 2569 · 8 นาที
    🛡️

    ISO 37001 คืออะไร? คู่มือ Anti-Bribery Management ธุรกิจไทย 2026

    7 พฤษภาคม 2569 · 8 นาที
    🛡️

    ISO 14001 Environmental Management System (EMS): คู่มือมาตรฐานสิ่งแวดล้อมสำหรับ SME ไทย 2026

    7 พฤษภาคม 2569 · 9 นาที