ISO 27005 คืออะไร? คู่มือ Risk Management ISMS 2026

# ISO 27005 คืออะไร? คู่มือประเมินและจัดการความเสี่ยงด้าน Information Security สำหรับองค์กรไทย 2026

การทำ ISO 27001 (ISMS) ให้ผ่าน Certification นั้นหัวใจสำคัญที่สุดคือ Risk Management ไม่ใช่เอกสารหรือ Firewall ใหม่ๆ เพราะ ISO 27001 ต้องการให้องค์กรบริหารความเสี่ยงด้าน Information Security อย่างเป็นระบบและต่อเนื่อง ปัญหาที่หลายองค์กรเจอคือ “เราจะประเมินความเสี่ยงยังไงให้ผ่าน Audit และมีประโยชน์จริง?” คำตอบอยู่ที่ ISO/IEC 27005

ISO 27005 คือมาตรฐานสากลที่วางกรอบขั้นตอนการทำ Information Security Risk Management (ISRM) ตั้งแต่การเก็บ Context ไปจนถึงการติดตามผล ซึ่งเป็นเอกสารสนับสนุน (Supporting standard) ของ ISO 27001

บทความนี้จะอธิบายว่า ISO 27005 คืออะไร ต่างจาก ISO 31000 อย่างไร แต่ละขั้นตอนต้องทำอะไรบ้าง พร้อมตัวอย่าง Risk Register ที่ SME ไทยใช้ได้จริงปี 2026

ISO 27005 คืออะไร

ISO/IEC 27005:2022 คือมาตรฐานจัดการความเสี่ยงด้าน Information Security ออกโดย ISO/IEC JTC 1/SC 27 เวอร์ชันล่าสุดปรับปรุงเพื่อให้สอดคล้องกับ ISO 27001:2022 และ ISO 31000:2018 ซึ่งเป็น Framework บริหารความเสี่ยงระดับองค์กร

จุดเด่นของ ISO 27005 คือ ไม่ได้บังคับให้ใช้วิธีประเมินความเสี่ยงวิธีใดวิธีหนึ่ง แต่ให้อิสระองค์กรเลือก ทั้ง Qualitative, Quantitative หรือ Semi-quantitative ขอให้อธิบายเหตุผลและใช้สม่ำเสมอก็พอ เหมาะมากกับ SME ไทยที่ต้องการ Flexibility

ISO 27005 vs ISO 27001 vs ISO 31000 ต่างกันยังไง

เป็นหนึ่งในคำถามที่ที่ปรึกษา ISO ถูกถามบ่อยที่สุด สรุปสั้นๆ ตามตาราง

|---------|---------|---------------|----------------|

| ISO 27001 | ISMS ทั้งระบบ (People/Process/Tech) | ใช่ | มาตรฐานหลักที่ต้องได้ใบ Cert |

| ISO 31000 | Risk Management ทุกประเภท | ไม่ | Framework ใหญ่ ครอบคลุม 27005 |

พูดง่ายๆ คือ ISO 31000 เป็นแม่แบบ > ISO 27005 เจาะเฉพาะ Infosec > ISO 27001 เอาผลจาก 27005 ไปใช้ ตัดสินใจ Control และได้รับ Certification

6 ขั้นตอนของ ISO 27005 Process

ISO 27005:2022 กำหนดกระบวนการบริหารความเสี่ยง 6 ขั้นตอนที่ต้องหมุนเป็น Cycle

1. Context Establishment

กำหนดขอบเขต วัตถุประสงค์ เกณฑ์ในการประเมินความเสี่ยง (Risk Criteria) และ Risk Appetite ขององค์กร ขั้นตอนนี้ต้องได้รับอนุมัติจาก Top Management เสมอ เพราะเป็นฐานของทุกการตัดสินใจต่อๆ ไป

2. Risk Identification

ระบุ Asset, Threat, Vulnerability, Existing Control และ Consequence วิธีที่นิยม: Workshop ระดม List ของ Asset (Data, System, People, Vendor) แล้ว Map กับ Threat Catalogue เช่น Ransomware, Insider Threat, Misconfiguration

3. Risk Analysis

ประเมิน Likelihood และ Impact ของแต่ละ Risk Scenario เลือกใช้ Scale เช่น 1–5 หรือ ตัวเงิน แล้วคำนวณ Risk Level = Likelihood × Impact

4. Risk Evaluation

เปรียบเทียบ Risk Level กับ Risk Criteria ที่ตั้งไว้ในขั้นที่ 1 เพื่อจัดลำดับความสำคัญ ตัดสินใจว่า Risk ไหนยอมรับได้ ไหนต้อง Treatment

5. Risk Treatment

เลือกวิธีตอบสนองความเสี่ยง 4 แบบ

**Mitigate** — ลดความเสี่ยงด้วย Control (Firewall, Encryption, Training)

**Avoid** — หลีกเลี่ยง เช่น เลิกเก็บข้อมูลที่ไม่จำเป็น

**Transfer** — โอนความเสี่ยง เช่น ซื้อประกันไซเบอร์, ใช้ Cloud

**Accept** — ยอมรับเมื่อ Cost ของ Control สูงกว่า Impact

6. Monitoring & Review

ติดตามประสิทธิผลของ Control ทบทวน Risk Register อย่างน้อยปีละครั้ง และทุกครั้งที่มี Change สำคัญ เช่น เปลี่ยน Supplier, ติดตั้งระบบใหม่, เกิด Incident

ตัวอย่าง Risk Register ที่ใช้ได้จริง

ตัวอย่าง Risk Register สำหรับ SME ไทยที่เริ่มทำ ISO 27001 + 27005 เป็นครั้งแรก

|---------|-------|--------|----------------|------------------|--------------|-------------|-----------|-------|

| R-002 | Employee Laptop | Theft | ไม่ได้ Encrypt HDD | 3 | 4 | 12 (Med) | Mitigate: BitLocker | IT Support |

| R-003 | Website | DDoS | ไม่มี CDN | 3 | 3 | 9 (Med) | Transfer: Cloudflare Pro | Web Team |

| R-004 | HR Records | Insider Leak | Access Control หละหลวม | 2 | 5 | 10 (Med) | Mitigate: RBAC + DLP | HR Head |

เทคนิคให้ ISO 27005 ใช้งานได้จริง ไม่ใช่เอกสารกองพะเนิน

หลายองค์กรทำ Risk Register แล้วทิ้งไว้ในลิ้นชัก วิธีที่ ADS FIT แนะนำให้ใช้งานจริง

เริ่มจาก Top 10 Risk ก่อน อย่าพยายามทำ 100 ข้อในครั้งแรก

ใช้ Spreadsheet/Confluence ก่อน แล้วค่อย Migrate ไป GRC Tool เมื่อโตขึ้น

ประชุม Risk Review ทุกไตรมาส พร้อม KPI: % Control Effectiveness, # High Risk Remaining

เชื่อม Risk Register กับ Incident Log เพื่อให้ Risk จริงสะท้อนเข้ามาเป็นวงจร

สรุปและคำแนะนำ

ISO 27005 ไม่ใช่แค่ “เอกสารเพิ่มเติม” ของ ISO 27001 แต่คือกลไกสำคัญที่ทำให้ระบบบริหารความปลอดภัยข้อมูลทำงานต่อเนื่องและปรับตัวได้ตามภัยคุกคามใหม่ๆ ในปี 2026 ที่ Ransomware, AI-driven Attack และ Supply Chain Risk เพิ่มขึ้นเรื่อยๆ การประเมินความเสี่ยงอย่างเป็นระบบคือหัวใจของการรอด

Key Takeaways:

ISO 27005 เป็น Guidance ไม่ต้องขอใบ Certification แต่จำเป็นสำหรับการผ่าน ISO 27001 Audit

6 ขั้นตอนหลัก: Context → Identification → Analysis → Evaluation → Treatment → Monitoring

เลือกวิธีประเมินได้เอง Qualitative/Quantitative ขอแค่สม่ำเสมอ

เริ่มจาก Top 10 Risk ก่อน และ Review อย่างน้อยปีละครั้ง

หากต้องการคำปรึกษาในการวางระบบ ISMS ตาม ISO 27001/27005 หรือเตรียม Gap Assessment ก่อน Audit [ติดต่อทีม ADS FIT](/contact) ได้เลย หรืออ่านบทความที่เกี่ยวข้องเช่น [ISO 27002:2022](/blog/iso-27002-2022-information-security-controls-guide-thailand-2026) และ [ISO 27001 Implementation](/blog/iso-27001-implementation-guide)

สนใจโซลูชันนี้?

ปรึกษาทีม ADS FIT ฟรี เราพร้อมออกแบบระบบที่ฟิตกับธุรกิจของคุณ

ติดต่อเรา →

ISO 27005 คืออะไร? คู่มือประเมินและจัดการความเสี่ยงด้าน Information Security สำหรับองค์กรไทย 2026