ISO 22300:2025 ความปลอดภัยและความยืดหยุ่น – คำศัพท์เป็นมาตรฐานสากลที่พัฒนาโดยคณะกรรมการทางเทคนิคISO/TC 292ความปลอดภัยและความยืดหยุ่น ขององค์การมาตรฐานสากล ร่วมกับ คณะกรรมการทางเทคนิค CEN/TC 391 ความปลอดภัยของสังคมและพลเมืองของคณะกรรมการมาตรฐานยุโรป (CEN) เอกสารนี้กำหนดคำศัพท์ที่ใช้ในมาตรฐานความปลอดภัยและความยืดหยุ่น และประกอบด้วยคำศัพท์และคำจำกัดความ 130 คำ^{[ 1 ]}เอกสารนี้ได้รับการพัฒนาครั้งแรกในปี 2012 โดยฉบับแรกเผยแพร่ในเดือนพฤษภาคม 2012 ^{[ 2 ]}ฉบับปัจจุบันที่ใช้ได้รับการเผยแพร่ในเดือนพฤศจิกายน 2025 และแทนที่ฉบับที่สามตั้งแต่ปี 2021 ^{[ 3 ]}

มาตรฐานนี้กำหนดคำศัพท์ที่เกี่ยวข้องหลายคำ รวมถึงคำศัพท์ที่เกี่ยวข้องกับระบบการจัดการความต่อเนื่องทางธุรกิจ (BCMS) คำศัพท์เหล่านี้ทำหน้าที่เป็นภาษาทั่วไปในการระบุและอธิบายกระบวนการ BCSM ^{[ 4 ]}

เอกสารนี้เป็นเอกสารฉบับแรกในชุดมาตรฐาน ISO จำนวนมากที่มุ่งเน้นด้านความปลอดภัย ความยืดหยุ่น และระบบการจัดการความต่อเนื่องทางธุรกิจ เอกสารฉบับถัดไปในชุดนี้คือISO 22301ซึ่งเน้นไปที่การเขียนมาตรฐานระบบการจัดการ ในขณะที่เอกสารฉบับอื่นๆ จะให้ความเข้าใจเพิ่มเติมเกี่ยวกับมาตรฐานด้านความปลอดภัยและระบบอื่นๆ^{[ 5 ]}

มาตรฐานนี้แบ่งออกเป็นข้อกำหนดหลักดังต่อไปนี้:

1. ขอบเขต
2. เอกสารอ้างอิงเชิงบรรทัดฐาน
3. ข้อกำหนดและคำจำกัดความ
   1. คำศัพท์ที่เกี่ยวข้องกับความปลอดภัยและความยืดหยุ่น
   2. เงื่อนไขที่เกี่ยวข้องกับความเสี่ยง
   3. คำศัพท์ที่เกี่ยวข้องกับระบบการจัดการ

ส่วนนี้จะกำหนดคำศัพท์ทั่วไปที่ใช้ในด้านความปลอดภัยและความยืดหยุ่น รวมถึงหัวข้อต่างๆ เช่น การจัดการความต่อเนื่องทางธุรกิจ การจัดการเหตุฉุกเฉิน การรักษาความปลอดภัย และการจัดการวิกฤต

ข้อกำหนดต่อไปนี้ได้รับการกำหนดไว้ในข้อความนี้:

ISO 22300 กำหนดให้การวิเคราะห์ผลกระทบทางธุรกิจ (BIA) เป็นกระบวนการวิเคราะห์ผลกระทบของการหยุดชะงักเมื่อเวลาผ่านไป^{[ 6 ]}การวิเคราะห์นี้ระบุถึงกิจกรรมที่มีลำดับความสำคัญที่ต้องได้รับการกู้คืนเพื่อหลีกเลี่ยงความล้มเหลว คำศัพท์อื่นๆ เช่นระยะเวลาการหยุดชะงักที่ยอมรับได้สูงสุด (MTPD) และเป้าหมายเวลาในการกู้ คืน (RTO) เป็นคำศัพท์หลักในส่วนนี้ เนื่องจากเกี่ยวข้องกับระยะเวลาที่แตกต่างกันก่อนที่การหยุดชะงักจะกลายเป็นสิ่งที่แก้ไขไม่ได้ และระยะเวลาที่ต้องใช้ในการกลับมาดำเนินการใดๆ^{[ 7 ]}นอกจากนี้ ยัง มีการกำหนด เป้าหมายจุดกู้คืน (RPO) เพื่อวัดปริมาณการสูญเสียข้อมูล^{[ 8 ]}แตกต่างจาก RTO ซึ่งเน้นที่เวลาที่ใช้ในการกู้คืน RPO วัดปริมาณข้อมูลที่องค์กรสามารถสูญเสียได้ ซึ่งวัดเป็นเวลา มาตรฐานนี้จัดประเภทเหตุการณ์ที่ก่อให้เกิดการหยุดชะงักตามความรุนแรงและการตอบสนองที่จำเป็นในการกู้คืน เหตุการณ์ถูกกำหนดให้เป็นเหตุการณ์ที่อาจนำไปสู่การหยุดชะงักหรือการสูญเสียในรูปแบบใดๆ ซึ่งแตกต่างจากคำจำกัดความของภาวะฉุกเฉิน เนื่องจากเป็นเหตุการณ์หรือเหตุการณ์ที่ไม่คาดคิดซึ่งต้องดำเนินการทันทีเพื่อป้องกันการหยุดชะงักหรือความสูญเสีย^{[ 9 ]}มาตรฐานกำหนดวิกฤตการณ์ว่าเป็นสถานการณ์ผิดปกติที่คุกคามวัตถุประสงค์ขององค์กรและมักต้องมีการตอบสนองเชิงกลยุทธ์^{[ 6 ]}ซึ่งแตกต่างจากภัยพิบัติที่มาตรฐานกำหนดไว้ว่าเป็นสถานการณ์ที่ความสูญเสียในด้านมนุษย์ วัสดุ เศรษฐกิจ หรือสิ่งแวดล้อมในวงกว้างเกินกว่าความสามารถขององค์กรที่จะฟื้นตัวด้วยทรัพยากรของตนเอง^{[ 6 ]}

ความเสี่ยงมีความเกี่ยวข้องอย่างมากกับความปลอดภัยและความยืดหยุ่น ดังนั้น ISO/TC 292 จึงมีการประสานงานอย่างแข็งขันกับISO/TC 262ด้านการจัดการความเสี่ยง ซึ่งได้พัฒนาISO 31073 :2022 ซึ่งมี คำศัพท์เกี่ยว กับการจัดการความเสี่ยงและเผยแพร่ในปี 2022 ^{[ 10 ]}แทนที่จะพัฒนาคำศัพท์ของตนเองในเรื่องนี้ ISO 22300 สนับสนุนงานของ ISO/TC 262 และกล่าวซ้ำคำศัพท์และคำจำกัดความที่สำคัญจาก ISO 31073 ในข้อ 3.2

ข้อกำหนดต่อไปนี้ได้รับการกำหนดไว้ในข้อความนี้:

ความเสี่ยงถูกนิยามว่าเป็นผลกระทบของความไม่แน่นอนต่อเป้าหมาย องค์กรต้องระบุความต้องการรับความเสี่ยงซึ่งก็คือปริมาณและประเภทของความเสี่ยงที่พวกเขายินดีที่จะรับหรือคงไว้^{[ 11 ]}เพื่อที่จะตัดสินความเสี่ยงที่องค์กรรับ เกณฑ์ความเสี่ยงจึงเป็นสิ่งจำเป็น เกณฑ์ความเสี่ยงคือข้อมูลอ้างอิงที่ใช้ในการประเมินความสำคัญของความเสี่ยง^{[ 6 ]}

มาตรฐานดังกล่าวยังระบุการประเมินความเสี่ยงไม่เพียงแค่เป็นขั้นตอนเดียว แต่เป็นกระบวนการที่ประกอบด้วยสามขั้นตอน ได้แก่ การระบุ การวิเคราะห์ และการประเมิน^{[ 12 ]}ขั้นตอนเหล่านี้เริ่มต้นด้วยการระบุความเสี่ยงซึ่งเป็นการค้นหาแหล่งที่มาของความเสี่ยง จากนั้น จึงใช้ การวิเคราะห์ความเสี่ยงเพื่อทำความเข้าใจลักษณะและความร้ายแรงของความเสี่ยง สุดท้าย การประเมินความเสี่ยงจะเปรียบเทียบผลลัพธ์กับเกณฑ์ความเสี่ยงเพื่อพิจารณาว่าความเสี่ยงนั้นยอมรับได้หรือไม่^{[ 6 ]}

หากการประเมินแสดงให้เห็นว่าความเสี่ยงนั้นไม่สามารถยอมรับได้ องค์กรจะต้องดำเนินการจัดการความเสี่ยง^{[ 6 ]} ISO 22300:2025 กำหนดว่านี่คือกระบวนการหลีกเลี่ยงความเสี่ยงโดยการกำจัดแหล่งที่มาของความเสี่ยง เปลี่ยนความน่าจะเป็น เปลี่ยนผลที่ตามมา หรือแบ่งปันความเสี่ยงกับฝ่ายอื่น การจัดการความเสี่ยงนั้นแทบจะไม่สามารถกำจัดความเสี่ยงทั้งหมดได้ เนื่องจากมาตรฐานระบุว่าการจัดการความเสี่ยงอาจสร้างความเสี่ยงใหม่หรือแก้ไขความเสี่ยงที่มีอยู่แล้วได้^{[ 6 ]}ความเสี่ยงที่เหลืออยู่จะเกิดขึ้นหลังจากสิ้นสุดการจัดการความเสี่ยง เนื่องจากเป็นปริมาณความเสี่ยงที่เหลืออยู่หลังจากการจัดการความเสี่ยงเสร็จสิ้น ความเสี่ยงที่เหลืออยู่ ตามที่มาตรฐานระบุไว้ อาจมีความเสี่ยงที่ยังไม่ได้รับการระบุ และอาจเรียกว่า "ความเสี่ยงที่คงเหลืออยู่"

ส่วนนี้ประกอบด้วยคำศัพท์ทั่วไปที่ใช้ร่วมกันในมาตรฐานระบบการจัดการ ISO ทั้งหมด และอ้างอิงจากภาคผนวก SLของข้อกำหนด ISO นอกจากนี้ยังรับรองคำจำกัดความจากISO 9000 , ISO/IEC 27000และISO 31073ด้วย

ข้อกำหนดต่อไปนี้ได้รับการกำหนดไว้ในข้อความนี้:

คำจำกัดความหลักที่มาตรฐานกำหนดไว้คือการจัดการระดับสูงสุด ซึ่งก็คือบุคคลหรือกลุ่มที่กำกับและควบคุมองค์กรในระดับสูงสุด^{[ 13 ]}ต่อจากนั้น นโยบายถูกกำหนดให้เป็นเจตนาและทิศทางขององค์กร อีกคำหนึ่งที่ทั่วไปคือข้อกำหนด ซึ่งก็คือความต้องการหรือความคาดหวังที่ระบุไว้^{[ 6 ]}

คำจำกัดความของข้อมูลเอกสารใน ISO 22300:2025 แทนที่คำว่า "เอกสาร" และ "บันทึก" และหมายถึงข้อมูลที่องค์กรจำเป็นต้องควบคุมและเก็บรักษาไว้^{[ 6 ]}เพื่อให้มั่นใจว่าตรงตามข้อกำหนดทั้งหมด คำจำกัดความของความสามารถในมาตรฐานนี้เน้นย้ำถึงความจำเป็นที่บุคลากรจะต้องมีทักษะเพื่อให้บรรลุผลลัพธ์ที่ตั้งใจไว้^{[ 14 ]}จากนั้นจึงประเมินทั้งหมดนี้ผ่านการตรวจสอบ^{[ 6 ]}

หากไม่เป็นไปตามข้อกำหนดใด ๆ มาตรฐานจะกำหนดสิ่งนี้ว่าเป็นความไม่สอดคล้อง เพื่อแก้ไขปัญหานี้ องค์กรหรือกลุ่มจะต้องดำเนินการแก้ไขเพื่อขจัดสาเหตุของความล้มเหลว และยังต้องใช้การปรับปรุงอย่างต่อเนื่องเพื่อเพิ่มประสิทธิภาพเมื่อเวลาผ่านไป^{[ 6 ]}

วัตถุประสงค์ของมาตรฐานนี้คือการให้คำจำกัดความของคำศัพท์ทั่วไปและคำศัพท์เฉพาะเรื่องที่เกี่ยวข้องกับเอกสารที่จัดทำโดย ISO/TC 292 เอกสารนี้ครอบคลุมมาตรฐานหลายข้อที่พบในตระกูล ISO 223XX จุดเน้นหลักคือการส่งเสริมความเข้าใจและการใช้คำศัพท์และคำจำกัดความที่เป็นมาตรฐานเดียวกันอย่างสอดคล้องกันในด้านความปลอดภัยและความยืดหยุ่น มาตรฐานนี้ยังสามารถใช้โดยทนายความและบริษัทต่างๆ ในการตกลงทำสัญญาได้ คำศัพท์ในมาตรฐานนี้ช่วยแก้ปัญหาความขัดแย้งเกี่ยวกับข้อกำหนดต่างๆ ได้

เอกสารนี้สามารถใช้เป็นเอกสารอ้างอิงสำหรับหน่วยงานที่มีอำนาจและผู้เชี่ยวชาญที่เกี่ยวข้องกับระบบมาตรฐาน เพื่อให้เข้าใจหัวข้อที่แสดงไว้อย่างทั่วถึงและถูกต้องแม่นยำ มาตรฐานนี้ยังสามารถใช้เพื่อแก้ไขปัญหาอุปสรรคทางภาษาได้ เนื่องจากประเทศต่างๆ ทั่วโลกสามารถใช้ ISO 22300:2025 เพื่อตกลงกันในคำจำกัดความต่างๆ ได้อย่างง่ายดาย นอกจากนี้ มาตรฐานนี้ยังถูกใช้โดยบุคคลที่ศึกษาเพื่อขอใบอนุญาตบางประเภท (เช่น ใบรับรอง CBCP และ PECB) ซึ่งคำจำกัดความในมาตรฐานนี้เป็นส่วนหนึ่งของการทดสอบและตำราเรียน^{[ 15 ]}

มาตรฐานทั้งหมดที่พัฒนาโดย ISO/TC 292 อ้างอิงถึง ISO 22300 ในเชิงบรรทัดฐาน และใช้เป็นคำศัพท์ทั่วไปสำหรับกลุ่มมาตรฐาน ISO 22300 รวมถึง ISO 28000 ด้วย

• ISO 22301ความปลอดภัยและความยืดหยุ่น — ระบบการจัดการความต่อเนื่องทางธุรกิจ – ข้อกำหนด^{[ 16 ]}
• ISO 22313ความปลอดภัยและความยืดหยุ่น — ระบบการจัดการความต่อเนื่องทางธุรกิจ - คำแนะนำในการใช้ ISO 22301 ^{[ 17 ]}
• ISO/TS 22317ความปลอดภัยและความยืดหยุ่น — ระบบการจัดการความต่อเนื่องทางธุรกิจ — แนวทางสำหรับการวิเคราะห์ผลกระทบทางธุรกิจ^{[ 18 ]}
• ISO 22320ความปลอดภัยและความยืดหยุ่น — การจัดการเหตุฉุกเฉิน - แนวทางสำหรับการจัดการเหตุการณ์^{[ 19 ]}
• ISO 28000ความปลอดภัยและความยืดหยุ่น — ระบบการจัดการความปลอดภัย – ข้อกำหนด^{[ 20 ]}

มาตรฐานนี้ได้รับการพัฒนาขึ้นครั้งแรกโดยคณะกรรมการทางเทคนิคISO/TC 223 (ความมั่นคงทางสังคม) เพื่อกำหนดคำศัพท์และคำจำกัดความที่ใช้บังคับกับความมั่นคงทางสังคม คณะกรรมการนี้จัดตั้งขึ้นครั้งแรกเพื่อจัดการกับการจัดการเหตุฉุกเฉินและการรับมือกับภัยพิบัติ มากกว่าที่จะเน้นเฉพาะความเสี่ยงทางธุรกิจดังเช่น ISO 22300:2025 มาตรฐานเดิมมีคำศัพท์เพียง 76 คำ เนื่องจากมุ่งเน้นไปที่ความมั่นคงทางสังคมเป็นหลัก เช่น รัฐบาลและ องค์กร พัฒนา เอกชน

ต่อมา ISO/TC 223 ได้ยุบเลิกในเดือนมิถุนายน พ.ศ. 2557 เมื่อคณะกรรมการบริหารด้านเทคนิค (TMB) ของ ISO ได้จัดตั้งคณะกรรมการด้านเทคนิค ISO ใหม่ คือ ISO/TC 292 (ความปลอดภัยและความยืดหยุ่น) คณะกรรมการใหม่นี้เป็นการรวมตัวของคณะกรรมการด้านเทคนิคสามคณะ ได้แก่ISO/TC 223 , ISO/TC 247 และ ISO/PC 284 โดย ISO/TC 247 มุ่งเน้นไปที่การกำหนดมาตรฐานในด้านการตรวจจับ การป้องกัน และการควบคุมการฉ้อโกงด้านอัตลักษณ์ การเงิน ผลิตภัณฑ์ และการฉ้อโกงทางสังคมและเศรษฐกิจรูปแบบอื่นๆ^{[ 21 ]} ISO/PC 284 มุ่งเน้นไปที่การกำหนดมาตรฐานในด้านระบบการจัดการสำหรับบริษัทรักษาความปลอดภัยเอกชน^{[ 22 ]}คณะกรรมการทั้งสามนี้มีข้อกำหนดและการใช้งานที่คล้ายคลึงกัน

คณะกรรมการเหล่านี้ทั้งหมดถูกยุบพร้อมกับ ISO/TC 223 ในเดือนมิถุนายน พ.ศ. 2557 เป้าหมายของคณะกรรมการชุดใหม่คือการสร้างมาตรฐานในด้านความปลอดภัยเพื่อเสริมสร้างความปลอดภัยและความยืดหยุ่นของสังคม นับตั้งแต่ก่อตั้ง คณะกรรมการชุดนี้มีหน้าที่รับผิดชอบในการเผยแพร่มาตรฐาน ISO จำนวน 57 ฉบับ โดย 47 ฉบับอยู่ภายใต้ความรับผิดชอบโดยตรงของคณะกรรมการ^{[ 23 ]}นับตั้งแต่ฉบับที่ 2 คณะกรรมการทางเทคนิคชุดใหม่นี้ได้จัดทำ ISO 22300

ฉบับล่าสุด ฉบับที่ 4 ได้รับการเผยแพร่เมื่อวันที่ 6 พฤศจิกายน 2025 และกำลังจะเข้าสู่ขั้นตอนการตรวจสอบต่อไป ฉบับที่ 4 นี้ได้รับการเสนอในเดือนตุลาคม 2022 และผ่านขั้นตอนต่างๆ มากมายก่อนที่จะได้รับการตีพิมพ์ ฉบับล่าสุดนี้จะมาแทนที่ฉบับที่เผยแพร่ในปี 2021

• องค์การมาตรฐานสากล
• รายชื่อมาตรฐาน ISO
• ความปลอดภัย
• ความยืดหยุ่น
• การจัดการความเสี่ยง
• ระบบการจัดการ
• ไอโซ/ทีซี 292

• ISO 22300:2018 — ความปลอดภัยและความยืดหยุ่น — คำศัพท์ (ยกเลิกแล้ว ปรับปรุงใหม่โดย ISO 22300:2021)
• ISO 22300:2021 — ความปลอดภัยและความยืดหยุ่น — คำศัพท์