ข้อกำหนดหลักตามมาตรฐาน ISO 27001:2013

เพื่อให้เข้าใจภาพกว้างของมาตรฐาซึ่งเป็นพื้นฐานสำหรับ การศึกษารายละเอียดเพิ่มเติมในเอกสารมาตรฐานฉบับเต็มได้ง่ายขึ้น

  1. บริบทขององค์กร (Context of the organization)
  2. ภาวะผู้นํา (Leadership)
  3. การวางแผน (Planning)
  4. การสนับสนุน (Support)
  5. การดําเนินการ (Operation)
  6. การประเมินประสิทธิภาพและประสิทธิผล (Performance evaluation)
  7. การปรับปรุง (Improvement)

1.บริบทขององค์กร (Context of the organization)

1.1 ทำความเข้าใจองค์กรและบริบทขององค์กร (Understanding the organization and its context)

พื้นฐานสำคัญในการวางระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศ ISO27001:2013 คือความเข้าใจบริบทขององค์กร โดยต้องระบุประเด็นภายใน(Internal issues) และประเด็นภายนอก(External issues) นำทั้ง2ประเด็นนี้มาพิจารณาในการวางระบบให้ครอบคลุมอย่างเหมาะสมไม่ตกหล่นประเด็นสำคัญ

1.2 กําหนดความจําเป็นและความคาดหวังของผู้ที่เกี่ยวข้อง (Understanding the needs and expectations of interested parties)

ในการทำ ISO27001 จะต้องรู้ว่าใครคือผู้เกี่ยวข้อง (Interested parties) และพวกเขามีความต้องการและคาดหวังอะไร(needs and expectations)จากองค์กรของเรา ระบบงานใดมีความสำคัญเพราะเป็นงานที่เกี่ยวข้องกับการส่งมอบสินค้าหรือบริการให้กับผู้เกี่ยวข้อง บริบทขององค์กรเป็นข้อมูลสำคัญในการกำหนดขอบเขตของการจัดทำระบบ(Scope)

1.3 การกําหนดขอบเขตของระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (Determining the scope of the information security management system)

ขอบเขต(Scope)ของการทำ ISO27001:2013 ต้องพิจารณาถึงข้อกำหนดและความต้องการของผู้เกี่ยวข้อง(Interested parties) ตรงนี้เป็นเงื่อนไขสำคัญที่องค์กรต้องทำความเข้าใจและกำหนดขอบเขตให้เหมาะสมและเพียงพอคือไม่กำหนดขอบเขตเล็กเกินไปจนตกหล่นผู้เกี่ยวข้อง หรือขอบเขตกว้างเกินกว่าความสามารถในการบริหารจัดการส่งผลให้ระบบขาดประสิทธิภาพ

1.4 ระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (Information security management system)

จัดทำระบบการจัดการความมั่นคงปลอดภัยสารสนเทศ(ISMS) โดยกำหนดนโยบาย จัดทำเอกสารที่เกี่ยวข้อง นำไปปฏิบัติและรักษาไว้ รวมถึงปรับปรุงอย่างต่อเนื่อง โดยISMSต้องสอดคล้องตามข้อกําหนดของ ISO27001:2013 Information Security Management System

ข้อ 2 ภาวะผู้นํา (Leadership)

2.1 ภาวะผู้นําและการให้ความสําคัญ (Leadership and commitment)

ผู้บริหารระดับสูงต้องแสดงให้เห็นถึงภาวะผู้นําและให้ความสําคัญต่อระบบการจัดการความมั่นคงปลอดภัยสารสนเทศ(ISMS)

2.2 นโยบาย (Policy)

ผู้บริหารระดับสูงกําหนดนโยบายความมั่นคงปลอดภัยสารสนเทศให้สอดคล้องกับจุดประสงค์ขององค์กรและสอดคล้องกับข้อกำหนด

2.3 บทบาท หน้าที่ความรับผิดชอบ และอํานาจหน้าที่ (Organizational roles, responsibilities and authorities)

กำหนดหน้าที่และความรับผิดชอบทางด้านความมั่นคงปลอดภัยของสารสนเทศ

ข้อ 3 การวางแผน (Planning)

3.1 การดําเนินการเพื่อจัดการกับความเสี่ยงและโอกาส (Actions to address risks and opportunities)

การวางแผนงานสำหรับระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศ จะต้องพิจารณาถึงบริบทขององค์กร พิจารณาความเสี่ยงที่เกี่ยวข้องจากนั้นวางแนวทางจัดการอย่างเหมาะสม

3.2 วัตถุประสงค์ด้านความมั่นคงปลอดภัยสารสนเทศและแผนการบรรลุวัตถุประสงค์ (Information security objectives and plans to achieve them)

กำหนดวัตถุประสงค์ด้านความมั่นคงปลอดภัยสารสนเทศ(Information Security Objectives)และแผนการบรรลุวัตถุประสงค์ โดยวัตถุประสงค์นี้จะต้องวัดผลได้ และสอดคล้องกับนโยบายความมั่นคงปลอดภัยของสารสนเทศ(Information Security Policy)

ข้อ 4 การสนับสนุน (Support)

4.1 ทรัพยากร (Resources)

การทำระบบให้สำเร็จจำเป็นต้องมีทรัพยากรเพียงพอและเหมาะสม ประกอบด้วย บุคลากร เวลา งบประมาณ และการสนับสนุนจากผู้บริหารอย่างเป็นรูปธรรม

4.2 สมรรถนะ (Competence)

บุคลากรที่มีส่วนร่วมในการจัดทำระบบจะต้องมีความรู้ความสามารถ ซึ่งต้องมีการให้ความรู้ที่ตรงกับภาระหน้าที่เพื่อให้บุคลากรสามารถปฏิบัติได้อย่างถูกต้อง

4.3 การสร้างความตระหนัก (Awareness)

ความตระหนักเป็นเรื่องสำคัญในด้านความมั่นคงปลอดภัยของสารสนเทศ เพราะหากบุคลกรมีความตระหนักที่เพียงพอ ย่อมจะลดความเสี่ยงได้โดยปริยาย เช่น เรื่องการใช้รหัสผ่านที่แข็งแรงเดายาก ถ้าบุคลากรมีความตระหนักก็จะเข้าใจและปฏิบัติตามส่งผลการความเสี่ยงลดลง

4.4 การสื่อสาร (Communication)

การสื่อสารประกอบด้วยสื่อสารภายใน(Internal Communication) และการสื่อสารภายนอก (External Communication) เพื่อให้ความรู้ ข่าวสารที่เป็นประโยชน์ เป็นวิธีในการสร้างความตระหนักที่ได้ผลดี

4.5 เอกสารสารสนเทศ (Documented information)

เอกสารมีความจำเป็นในการทำงานร่วมกันเพื่อให้เกิดความชัดเจนแก่ผู้ปฏิบัติและผู้ตรวจสอบ (Auditor) เอกสารในระบบISO27001:2013 นั้นจะต้องผ่านการจัดทำโดยผู้ที่มีความรู้ มีผู้ทบทวน และอนุมัติก่อนจะนำไปใช้งาน

ข้อ 5 การดําเนินการ (Operation)

5.1 การวางแผนที่เกี่ยวข้องกับการดําเนินการและการควบคุม (Operational planning and control)

ข้อนี้กล่าวถึงการปฏิบัติตามแผนที่วางไว้ โดยลงมือปฏิบัติตามแผนจัดการความเสี่ยง

5.2 การประเมินความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ (Information security risk assessment)

ประเมินความเสี่ยงต้องทำเป็นระยะ ไม่ใช่ทำครั้งเดียวจบ เพราะเมื่อเวลาผ่านไปก็จะมีความเสี่ยงใหม่เกิดขึ้นมา ไม่ว่าจะเป็นความเสี่ยงจากเทคโนโลยีใหม่ๆ หรือสภาพแวดล้อม สังคมและการเมือง

5.3 การจัดการกับความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ (Information security risk treatment)

Information Security Risk Treatment เป็นเครื่องมือการจัดการความเสี่ยงที่จัดทำขึ้นภายหลังการประเมินความเสี่ยงของทรัพย์สินสารสนเทศ โดยกำหนดรายละเอียด ขั้นตอนวิธีการต่างๆ เพื่อนำไปปฏิบัติให้ได้ผลลัพธ์ตามที่กำหนดไว้

ข้อ 6 การประเมินประสิทธิภาพและประสิทธิผล (Performance evaluation)

6.1 การเฝ้าระวัง การวัดผล การวิเคราะห์ และการประเมิน (Monitoring, measurement, analysis and evaluation)

เรื่องสำคัญที่พลาดไม่ได้คือ การเฝ้าระวัง (Monitor) การวัด(measure) การวิเคราะห์( analyze) และการประเมิน(evaluate) performance ของระบบ ทำให้รู้ได้ว่าผลลัพธ์เป็นไปตามที่วางแผนหรือไม่อย่างไร

6.2 การตรวจประเมินภายใน (Internal audit)

การตรวจประเมินภายใน (Internal Audit) เป็นเครื่องมือสำคัญที่ทำให้รู้ว่าระบบที่เราจัดทำขึ้นมานั้น มีความสมบูรณ์จัดทำครบถ้วนตามข้อกำหนด มีการนำไปปฏิบัติหรือไม่ และได้ผลลัพธ์เป็นอย่างไร ตรวจสอบความเข้าใจ การปฏิบัติและเอกสารบันทึกที่เกี่ยวข้อง

6.3 การทบทวนของผู้บริหาร (Management review)

Management Review เป็นการประชุมเพื่อรายงานผลของการจัดทำระบบ ISO27001:2013 Information Security Management (ISMS) ต่อผู้บริหารระดับสูง (Top Management) โดยรายงานถึงการเปลี่ยนแปลงภายในและภายนอกที่มีผลกระทบต่อระบบฯ ผลการประเมินความเสี่ยงและการจัดการความเสี่ยง ผลการเฝ้าระวังด้านInformation Security ผลการตรวจประเมินภายใน(Internal Audit) ข้อบกพร่องจากการตรวจประเมินภายใน เป็นต้น

ข้อ 7 การปรับปรุง (Improvement)

7.1 ความไม่สอดคล้องและการดําเนินการแก้ไข (Nonconformity and corrective action)

การระบุความไม่สอดคล้อง(Nonconformity) และแก้ไขความไม่สอดคล้อง (corrective action) อย่างเป็นระบบ มีผู้รับผิดชอบและมีบันทึกที่เป็นลายลักษณ์อักษรเกี่ยวกับความไม่สอดคล้องและแนวทางการแก้ไข

7.2 การปรับปรุงอย่างต่อเนื่อง (Continual improvement)

ข้อกำหนดระบุให้องค์กรปรับปรุงระบบให้มีความเหมาะสม เพียงพอ และมีการปรับปรุงอย่างต่อเนื่อง

Reference : http://www.club27001.com/2014/02/27001-2013-requirement-overview-part1.html

Previous
Next



# ข้อกำหนดหลัก
Avatar
Administrator
Support Department

Related


Last Update : 16-06-2021