ISO/IEC 27005 2026: คู่มือ Risk Management ISO 27001 SME ไทย

# ISO/IEC 27005 2026: คู่มือ Information Security Risk Management สำหรับ SME ไทย

ในยุคที่ภัยคุกคามไซเบอร์เพิ่มขึ้นอย่างต่อเนื่อง การจัดการความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ (Information Security Risk Management) ไม่ใช่ทางเลือกอีกต่อไป แต่กลายเป็นรากฐานสำคัญของทุกองค์กรที่ต้องปกป้องข้อมูลลูกค้าและทรัพย์สินดิจิทัล โดยเฉพาะ SME ไทยที่ต้องเผชิญแรงกดดันจากกฎหมาย PDPA และมาตรฐาน ISO 27001

ISO/IEC 27005:2022 คือมาตรฐานสากลที่กำหนดแนวทางการบริหารความเสี่ยงด้านความปลอดภัยสารสนเทศอย่างเป็นระบบ มาตรฐานนี้เป็นคู่หูสำคัญของ ISO/IEC 27001 ช่วยให้องค์กรสามารถระบุ ประเมิน และจัดการความเสี่ยงได้อย่างมีโครงสร้างชัดเจน

บทความนี้จะอธิบายว่า ISO 27005 คืออะไร แตกต่างจาก ISO 27001 อย่างไร พร้อมแนวทางปฏิบัติที่ SME ไทยสามารถนำไปใช้ได้จริงในปี 2026 เพื่อยกระดับ Cybersecurity Posture ขององค์กร

ISO/IEC 27005 คืออะไร และทำไมต้องใช้

ISO/IEC 27005:2022 (ฉบับปรับปรุงล่าสุด) เป็นมาตรฐานที่ให้แนวทาง (Guidance) สำหรับการบริหารความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ โดยอิงตามหลักการของ ISO 31000 (Risk Management) มาตรฐานนี้ไม่ได้เป็นข้อบังคับ แต่เป็น Best Practice ที่ช่วยให้องค์กรสร้างกระบวนการบริหารความเสี่ยงที่สอดคล้องกับ ISMS (Information Security Management System)

ความแตกต่างหลักระหว่าง ISO 27001 และ ISO 27005:

| ประเด็น | ISO 27001 | ISO 27005 |

|---------|-----------|-----------|

| ลักษณะ | Certifiable Standard | Guidance Document |

| จุดมุ่งหมาย | สร้าง ISMS | บริหารความเสี่ยง |

| ภาคบังคับ | ใช้ขอ Certification | สนับสนุน 27001 |

| รายละเอียด | กำหนด Controls | แนวทาง Risk Process |

สำหรับ SME ไทย ISO 27005 มีประโยชน์ในแง่ที่ช่วยตอบโจทย์ Annex A.5–A.8 ของ ISO 27001:2022 รวมถึงข้อกำหนดของ PDPA Section 37 ว่าด้วย Security of Personal Data ที่ต้องมีมาตรการรักษาความปลอดภัยที่เหมาะสม

หลักการสำคัญของ Risk Management Process

กระบวนการบริหารความเสี่ยงตาม ISO 27005:2022 แบ่งเป็น 6 ขั้นตอนหลัก ที่ต้องดำเนินการอย่างต่อเนื่องในรูปแบบ PDCA Cycle

**Context Establishment** — กำหนดขอบเขต บริบท และเกณฑ์ความเสี่ยง รวมถึงความเสี่ยงที่ยอมรับได้ (Risk Acceptance Criteria)

**Risk Identification** — ระบุสินทรัพย์ ภัยคุกคาม ช่องโหว่ และผลกระทบที่อาจเกิดขึ้น

**Risk Analysis** — วิเคราะห์โอกาสเกิดและผลกระทบในเชิงปริมาณหรือคุณภาพ

**Risk Evaluation** — เปรียบเทียบกับเกณฑ์ที่กำหนด เพื่อจัดลำดับความสำคัญ

**Risk Treatment** — เลือกแนวทางจัดการ Mitigate, Transfer, Avoid, Accept

**Risk Monitoring & Review** — ติดตามและทบทวนความเสี่ยงอย่างต่อเนื่อง

ข้อสำคัญคือ ISO 27005:2022 ฉบับใหม่เน้น Event-based Approach มากขึ้น โดยให้มองความเสี่ยงเป็นเหตุการณ์ที่อาจเกิดขึ้น (Risk Scenario) แทนการมองแค่ Asset-Threat-Vulnerability แบบเดิม ซึ่งช่วยให้การประเมินสะท้อนภัยคุกคามจริงในยุค Cloud และ AI ได้ดีขึ้น

ขั้นตอนการทำ Risk Assessment สำหรับ SME ไทย

การเริ่มต้นทำ Risk Assessment ตาม ISO 27005 สำหรับ SME ไทยที่ยังไม่เคยมีระบบควรทำตามลำดับนี้:

**ขั้นที่ 1: Asset Inventory** — รวบรวมรายการสินทรัพย์สารสนเทศทั้งหมด ทั้ง Hardware, Software, Data, People, Service โดยจัดประเภทตามระดับ Confidentiality, Integrity, Availability (CIA Triad)

**ขั้นที่ 2: Threat Modeling** — ใช้ Framework เช่น STRIDE, MITRE ATT&CK เพื่อระบุภัยคุกคามที่เกี่ยวข้อง เช่น Phishing, Ransomware, Insider Threat, Supply Chain Attack

**ขั้นที่ 3: Vulnerability Assessment** — สแกนช่องโหว่ด้วยเครื่องมืออย่าง OpenVAS, Nessus, Trivy หรือทำ Penetration Testing เพื่อค้นหาจุดอ่อนของระบบ

**ขั้นที่ 4: Risk Scoring** — ใช้ Risk Matrix 5x5 (Likelihood × Impact) เพื่อให้คะแนนแต่ละ Risk Scenario และจัดลำดับ

**ขั้นที่ 5: Risk Treatment Plan** — กำหนด Owner ผู้รับผิดชอบ Timeline และ Control ที่ต้องนำมาใช้ตาม Annex A ของ ISO 27001

**ขั้นที่ 6: Documentation** — บันทึก Risk Register, SoA (Statement of Applicability), Risk Treatment Plan ไว้เป็นหลักฐาน

แนะนำให้ SME ใช้เครื่องมือฟรีที่ช่วยจัดการ Risk Register ได้ง่ายขึ้น เช่น Eramba (Open-source GRC), SimpleRisk หรือใช้ Spreadsheet ที่มีโครงสร้างชัดเจนหากงบจำกัด

เปรียบเทียบ Risk Assessment Methodologies

ISO 27005 ไม่ได้บังคับวิธีการประเมินเฉพาะ องค์กรสามารถเลือกใช้ Methodology ที่เหมาะสมกับขนาดและความซับซ้อน

|-------------|-------------|---------|---------|

สำหรับ SME ไทยส่วนใหญ่ Qualitative Approach ด้วย Risk Matrix 5x5 เพียงพอสำหรับการเริ่มต้น และสามารถยกระดับเป็น Semi-Quantitative ได้เมื่อองค์กรเติบโต

Common Risks ที่ SME ไทยต้องระวัง

จากข้อมูลของ NCSA และ DPO Thailand ภัยคุกคามที่ SME ไทยพบบ่อยที่สุดในปี 2025–2026 ได้แก่:

**Ransomware Attack** — กลุ่ม LockBit, BlackCat ยังคงเป็นภัยอันดับหนึ่ง โดยเฉลี่ย Ransom 1.5–10 ล้านบาทต่อราย

**Business Email Compromise (BEC)** — การปลอม Email ผู้บริหาร หลอกให้โอนเงิน เสียหายเฉลี่ย 500,000 บาทต่อครั้ง

**PDPA Data Leak** — ข้อมูลลูกค้ารั่วไหลจาก Misconfigured S3, Database ที่ไม่มี Auth สามารถถูกปรับสูงสุด 5 ล้านบาท

**Supply Chain Attack** — ช่องโหว่ใน Third-party Software เช่น MOVEit, SolarWinds ที่ส่งผลต่อ Customer

**Cloud Misconfiguration** — Bucket Public, IAM Permission กว้างเกินไป เป็นสาเหตุ Top 3 ของ Data Breach

แนะนำให้ทุก SME ตั้ง Risk Register โดยมี 5 ภัยนี้เป็นพื้นฐาน และเพิ่ม Specific Risk ตามอุตสาหกรรมของตนเอง

Tools และ Framework ที่ทำงานร่วมกับ ISO 27005

การ Implement ISO 27005 ในทางปฏิบัติควรใช้เครื่องมือและ Framework เสริม

**NIST CSF 2.0** — Framework ที่ Map กับ ISO 27005 ได้ดี เน้น 6 Functions: Govern, Identify, Protect, Detect, Respond, Recover

**MITRE ATT&CK** — Knowledge Base ของ Tactic และ Technique ของ Attacker ใช้ทำ Threat Modeling

**CIS Controls v8** — รายการ Control ที่ Prioritize ได้ตาม Implementation Group

**OWASP Risk Rating** — สำหรับ Web Application Risk โดยเฉพาะ

**Eramba / SimpleRisk** — Open-source GRC Platform ที่จัดการ Risk Register, SoA ได้ครบ

การผสานเครื่องมือเหล่านี้กับ ISO 27005 จะทำให้องค์กรมี Visibility และความสามารถในการตอบสนองต่อ Incident ได้รวดเร็วขึ้น

Roadmap การ Implement ISO 27005 ในปี 2026

สำหรับ SME ไทยที่ต้องการเริ่มต้นภายในปี 2026 แนะนำ Roadmap 90 วันดังนี้:

**เดือนที่ 1: Foundation** — แต่งตั้ง CISO/Risk Owner, ทำ Asset Inventory เบื้องต้น, อบรม Awareness ทีม IT

**เดือนที่ 2: Assessment** — ทำ Threat Modeling, Vulnerability Scan, สร้าง Risk Register แรก

**เดือนที่ 3: Treatment** — กำหนด Control, ตั้ง KRI/KPI, จัดทำ Documentation รวมถึง Policy ที่จำเป็น

หลังจาก 90 วัน ควรเข้าสู่ Continuous Improvement Cycle ทบทวนความเสี่ยงทุก 6 เดือน และปรับปรุง Control ตาม Threat Landscape ที่เปลี่ยนแปลง

สรุปและแนวทางต่อไป

ISO/IEC 27005:2022 คือเครื่องมือสำคัญที่ช่วยให้ SME ไทยบริหารความเสี่ยงด้าน Cybersecurity ได้อย่างเป็นระบบ ไม่ว่าองค์กรจะมุ่งเป้า ISO 27001 Certification หรือเพียงต้องการยกระดับความปลอดภัยขั้นพื้นฐาน การเริ่มต้นจาก Risk Assessment ที่ดีย่อมเป็นรากฐานของการตัดสินใจเชิงกลยุทธ์ที่แม่นยำ

ประเด็นสำคัญที่ควรจดจำ: ความเสี่ยงไม่สามารถกำจัดให้เป็นศูนย์ได้ แต่สามารถบริหารจัดการให้อยู่ในระดับที่ยอมรับได้ การ Document Risk Decision อย่างชัดเจนจะช่วยปกป้ององค์กรทั้งจาก Cyber Attack และจาก Audit ของหน่วยงานกำกับ

หากองค์กรของคุณต้องการคำปรึกษาเรื่อง ISO 27005 Implementation, Risk Assessment Workshop หรือการเตรียมพร้อม ISO 27001 Certification ทีมงาน ADS FIT พร้อมให้บริการ Consult และ Implementation แบบครบวงจร ติดต่อเราเพื่อรับ Risk Assessment Template ฟรี และอ่านบทความที่เกี่ยวข้องเรื่อง ISO 27001, PDPA Compliance และ NIST CSF เพิ่มเติมได้ที่ adsfit.co.th

สนใจโซลูชันนี้?

ปรึกษาทีม ADS FIT ฟรี เราพร้อมออกแบบระบบที่ฟิตกับธุรกิจของคุณ

ติดต่อเรา →

ISO/IEC 27005 2026: คู่มือ Information Security Risk Management สำหรับ SME ไทย

ISO/IEC 27005 คืออะไร และทำไมต้องใช้

หลักการสำคัญของ Risk Management Process

ขั้นตอนการทำ Risk Assessment สำหรับ SME ไทย

เปรียบเทียบ Risk Assessment Methodologies

Common Risks ที่ SME ไทยต้องระวัง

Tools และ Framework ที่ทำงานร่วมกับ ISO 27005

Roadmap การ Implement ISO 27005 ในปี 2026

สรุปและแนวทางต่อไป

Tags

สนใจโซลูชันนี้?

บทความที่เกี่ยวข้อง

PDPA DPA 2026: คู่มือ Data Processing Agreement สัญญาประมวลผลข้อมูลส่วนบุคคล SME ไทย

ISO 37001 คืออะไร? คู่มือ Anti-Bribery Management ธุรกิจไทย 2026

ISO 14001 Environmental Management System (EMS): คู่มือมาตรฐานสิ่งแวดล้อมสำหรับ SME ไทย 2026