Sunday, November 20, 2022

Clause 10 – Improvement (การปรับปรุง)


10.1 การปรับปรุงอย่างต่อเนื่อง

องค์กรต้องทำการปรับปรุงความเหมาะสม ความเพียงพอ และประสิทธิผลของระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศอย่างต่อเนื่อง


10.2 ความไม่สอดคล้องและการปรับปรุงแก้ไข

เมื่อความไม่สอดคล้องเกิดขึ้น องค์กรต้อง:

  • a) ตอบสนองต่อความไม่สอดคล้อง และตามความเหมาะสม

    1. ดำเนินการเพื่อควบคุมและแก้ไข;
    2. รับมือกับผลกระทบที่ตามมา
  • b) ประเมินความจำเป็นสำหรับดำเนินการการขจัดสาเหตุของความไม่สอดคล้อง เพื่อไม่ให้ความไม่สอดคล้องเกิดขึ้นซ้ำ หรือไม่เกิดขึ้นที่อื่น ๆ โดย

    1. ทบทวนความไม่สอดคล้อง
    2. ระบุสาเหตุของความไม่สอดคล้อง และ
    3. ระบุ ถ้าความไม่สอดคล้องที่คล้ายกันมีอยู่ หรือสามารถมีโอกาสเกิดขึ้นได้

  • c) ดำเนินการปฏิบัติที่จำเป็น
  • d) ทบทวนประสิทธิผลของการปฏิบัติการแก่ไข และ
  • e) ทำการเปลี่ยนแปลงระบบบริหารจัดการความมันคงปลอดภัยสารสนเทศ ถ้าจำเป็นการปฏิบัติการแก้ไขต้องเหมาะสมต่อผลกระทบของความไม่สอดคล้องที่พบ

เอกสารสารสนเทศจะต้องจัดทำเพื่อเป็นหลักฐานแสดง

  • f) ลักษณะของความไม่สอดคล้อง และการปฏิบัติใดๆ ที่ได้ดำเนินการ และ
  • g) ผลลัพธ์ของการปฏิบัติการแก้ไข

 --- 


International Organization for Standardization. (2022). Information security, cybersecurity, and privacy protection – Information security management systems – Requirements (ISO/IEC 27001:2022). https://www.iso.org/standard/82875.html
Labels:

Saturday, November 19, 2022

Clause 9 – Performance evaluation (การประเมินผลการดำเนินการ)


9.1 การเฝ้าติดตาม ตรวจวัด วิเคราะห์ และประเมินผล

องค์กรต้องกำหนด

  • a) สิ่งที่ต้องได้รับการเฝ้าติดตามและดรวจวัด ซึ่งรวมถึงกระบวนการและมาตรการควบคุมด้านความมั่นคงปลอดภัยสารสนเทศ
  • b) วิธีการสำหรับการเฝ้าติดตาม ตรวจวัด วิเคราะห์ การประเมินผลที่เหมาะสม เพื่อให้มั่นใจว่าผลที่ได้ถูกต้อง วิธีการที่เลือกใช้ควรให้ผลลัพธ์ที่ถูกต้องที่สามารถเปรียบเทียบได้ และทำซ้ำได้
  • c) เมื่อไรที่ต้องเฝ้าติดตามและวัดผล
  • d) ใครต้องเฝ้าติดตามและวัดผล
  • e) เมื่อไรที่ผลที่ได้จากการเฝ้าติดตามและวัดผลต้องนำมาวิเคราะห์และประเมินผล และ
  • f) ใครต้องวิเคราะห์และประเมินผลดังกล่าว

เอกสารสารสนเทศจะต้องจัดทำเพื่อเป็นหลักฐานแสดงผลลัพธ์

องค์กรต้องประเมินประสิทธิภาพด้านความมั่นคงปลอดภัยสารสนเทศและประสิทธิภาพของระบบการจัดการด้านความมั่นคงปลอดภัยสารสนเทศ


9.2 การตรวจประเมินภายใน

9.2.1 ทั่วไป

องค์กรต้องดำเนินการตรวจประเมินภายในตามรอบระยะเวลาที่กำหนด เพื่อให้ข้อมูลที่แสดงว่าระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ:

a) สอดคล้องกับ

  1. ข้อกำหนดขององค์กรเอง สำหรับระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ;
  2. ข้อกำหนดของเอกสารฉบับนี้;

b) ได้นำไปปฏิบัติและรักษาให้คงไว้อย่างมีประสิทธิผล


9.2.2 โปรแกรมตรวจสอบภายใน

องค์กรต้องวางแผน จัดตั้ง นำไปปฏิบัติ และรักษาให้คงไว้ของโปรแกรมการตรวจประเมิน (Audit Programme) ซึ่งรวมถึงความถี่ วิธีการ หน้าที่ความรับผิดชอบ ข้อกำหนดของการวางแผน และการรายงาน

เมื่อจัดตั้งโปรแกรมการตรวจประเมินภายใน องค์กรต้องพิจารณาถึงความสำคัญของกระบวนการที่เกี่ยวข้องและผลการตรวจประเมินครั้งก่อน

องค์กรต้อง

  • a) กำหนดเกณฑ์การตรวจประเมิน และขอบเขตสำหรับการตรวจประเมินแต่ละครั้ง
  • b) คัดเลือกผู้ตรวจประเมินและดำเนินการตรวจประเมิน เพื่อให้มันใจได้ถึงความเป็นกลาง และความเป็นธรรมของกระบวนการตรวจประเมิน
  • c) มั่นใจว่าผลที่ได้จากการตรวจประเมินได้นำไปรายงานต่อผู้บริหารที่เกี่ยวข้อง;

เอกสารสารสนเทศจะต้องจัดทำเพื่อเป็นหลักฐานของการดำเนินการตามโปรแกรมการตรวจประเมินและผลการตรวจประเมิน


9.3 การทบทวนของฝ่ายบริหาร

9.3.1 ทั่วไป

ผู้บริหารระดับสูงต้องทบทวนระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศขององค์กรตามรอบระยะเวลาที่กำหนด เพื่อให้มันใจถึงความเหมาะสม เพียงพอ และประสิทธิผล ของระบบ


9.3.2 สิ่งที่ผู้บริหารต้องพิจารณาทบทวน

การทบทวนของฝ่ายบริหาร ต้องรวมถึงการพิจารณา

  • a) สถานะของการดำเนินงานจากการทบทวนของฝ่ายบริหารครั้งก่อน;
  • b) การเปลี่ยนแปลงของประเด็นภายในและภายนอกที่เกี่ยวข้องกับระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ;
  • c) การเปลี่ยนแปลงความต้องการและความคาดหวังของผู้มีส่วนได้ส่วนเสียที่เกี่ยวข้องกับระบบการจัดการความมั่นคงปลอดภัยสารสนเทศ;
  • d) ผลตอบกลับจากประสิทธิภาพของความมั่นคงปลอดภัยสารสนเทศ รวมถึงแนวโน้ม;
         1) ความไม่สอดคล้อง และการดำเนินการแก้ไข;
         2) ผลลัพธ์ของการเฝ้าติดตามและวัดผล;
         3) ผลลัพธ์จากการตรวจประเมิน;
         4) ความสำเร็จของวัตถุประสงค์ความมั่นคงปลอดภัยสารสนเทศ;
  • e) ผลตอบกลับจากผู้มีส่วนได้ส่วนเสีย;
  • f) ผลลัพธ์จากการประเมินความเสี่ยง และสถานะของแผนการจัดการความเสี่ยง;
  • g) โอกาสสำหรับการปรับปรุงพัฒนาอย่างต่อเนื่อง


9.3.3 ผลการทบทวนของฝ่ายบริหาร

ผลลัพธ์การทบทวนของฝ่ายบริหาร ต้องรวมถึง การตัดสินใจที่เกี่ยวกับการปรับปรุงพัฒนาอย่างต่อเนื่อง และความจำเป็นใด ๆ เพื่อการเปลี่ยนแปลงต่อระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ

เอกสารสารสนเทศจะต้องจัดทำเพื่อเป็นหลักฐานแสดงผลลัพธ์การทบทวนของฝ่ายบริหาร



 --- 


International Organization for Standardization. (2022). Information security, cybersecurity, and privacy protection – Information security management systems – Requirements (ISO/IEC 27001:2022). https://www.iso.org/standard/82875.html
Labels:

Clause 8 – Operation (การดำเนินการ)


8.1 การวางแผนปฏิบัติการและควบคุม

องค์กรต้องวางแผน นำไปปฏิบัติ และควบคุมกระบวนการที่จำเป็นเพื่อให้เป็นไปตามข้อกำหนด และปฏิบัติตามสิ่งที่กำหนดไว้ในข้อกำหนด 6 โดย:

  • จัดทำหลักเกณฑ์ส่าหรับกระบวนการ
  • ดำเนินการควบคุมกระบวนการตามหลักเกณฑ์ที่กำหนดไว้

เอกสารสารสนเทศจะต้องจัดเก็บไว้ตามปริมาณเท่าที่จำเป็นเพื่อให้มั่นใจว่ากระบวนการได้ดำเนินการตามแผนที่วางไว้

องค์กรต้องควบคุมการเปลี่ยนแปลงตามแผนที่ได้วางไว้ และทบทวนผลที่ตามมาของการเปลี่ยนแปลงที่ไม่ได้ตั้งใจ เพื่อดำเนินการลดผลกระทบด้านลบใด ๆ ตามความจำเป็น

องค์กรต้องมันใจว่ามีการควบคุมกระบวนการ ผลิตภัณฑ์ หรือบริการจากภายนอกที่เกี่ยวข้องกับระบบการจัดการความมั่นคงปลอดภัยสารสนเทศ


8.2 การประเมินความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ

องค์กรต้องทำการประเมินความเสียงด้านความมั่นคงปลอดภัยสารสนเทศตามช่วงเวลาที่ได้วางแผนไว้ หรือเมื่อการเปลี่ยนแปลงที่มีนัยสำคัญถูกเสนอให้พิจารณาหรือมีเกิดขึ้น โดยพิจารณาตามเกณฑ์ที่จัดทำขึ้นในในข้อกำหนด 6.1.2 a)

องค์กรต้องเก็บรักษาเอกสารสนเทศ ที่เป็นผลลัพธ์ของการประเมินความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ


8.3 การจัดการความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ

  • องค์กรต้องปฏิบัติตามแผนการจัดการความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ
  • องค์กรต้องเก็บรักษาเอกสารสนเทศ ที่เป็นผลลัพธ์ของการจัดการความเสียงด้านความมันคงปลอดภัยสารสนเทศ


--- 

International Organization for Standardization. (2022). Information security, cybersecurity, and privacy protection – Information security management systems – Requirements (ISO/IEC 27001:2022). https://www.iso.org/standard/82875.html
Labels:

Clause 7 – Support (การสนับสนุน)

7.1 ทรัพยากร

องค์กรต้องกำหนด และจัดหาทรัพยากรที่จำเป็นในการจัดทำ การนำไปปฏิบัติ การรักษาให้คงไว้ และการปรับปรุงพัฒนาอย่างต่อเนื่อง ของระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ


7.2 ความสามารถ


องค์กรต้อง

  • a) กำหนดความสามารถที่จำเป็นของบุคลากรที่ปฏิบัติงานอยู่ภายใต้การควบคุมขององค์กรซึ่งส่งผลต่อประสิทธิภาพด้านความมันคงปลอดภัยสารสนเทศ
  • b) ทำให้มั่นใจว่าบุคลากรดังกล่าวมีความสามารถจากพื้นฐานทางการศึกษา การฝึกอบรมหรือประสบการณ์ทำงานที่เหมาะสม
  • c) ถ้าเหมาะสม ดำเนินการเพื่อให้ได้มาซึ่งความสามารถที่จำเป็นนั้น และประเมินประสิทธิผลของการดำเนินการ และ
  • d) เก็บรักษาเอกสารสนเทศ เพื่อเป็นหลักฐานแสดงความสามารถ
หมายเหตุ การดำเนินการที่เหมาะสม อาจรวมถึง ตัวอย่างเช่น การจัดฝึกอบรม การมีพี่เลี้ยง หรือการมอบหมายงานใหม่ให้แก่พนักงานปัจจุบัน หรือ การว่าจ้างงาน หรือทำสัญญาจ้าง ผู้ที่มีความสามารถ


7.3 ความตระหนักรู้


บุคลากรที่ปฏิบัติงานภายใต้การควบคุมขององค์กร ต้องตระหนักถึง:

  • a) นโยบายความมั่นคงปลอดภัยสารสนเทศ;
  • b) การมีส่วนร่วมต่อประสิทธิผลของระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศรวมถึงประโยชน์ที่ได้จากการปรับปรุงประสิทธิผลของระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ; และ
  • c) ผลกระทบที่อาจตามมาของความไม่สอดคล้องกับข้อกำหนดของระบบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ

7.4 การสื่อสาร


องค์กรต้องกำหนดความจำเป็นของการสื่อสารที่เกี่ยวข้องกับระบบบริหารจัดการความมันคงปลอดภัยสารสนเทศ ทั้งภายในและภายนอกองค์กร รวมถึง:

  • a) สิ่งที่ต้องการสื่อสาร;
  • b) เมื่อไรที่จะสื่อสาร;
  • c) สื่อสารถึงใคร;
  • d) วิธีการสื่อสาร;

7.5 เอกสารสารสนเทศ


7.5.1 ทั่วไป


ระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศขององค์กร ต้องรวมถึง

  • a) เอกสารสารสนเทศที่กำหนดโดยเอกสารฉบับนี้ และ
  • b) เอกสารสารสนเทศที่กำหนดโดยองค์กรว่าเป็นสิ่งที่จำเป็นต่อประสิทธิผลของระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ

หมายเหตุ ขอบเขตของเอกสารสารสนเทศที่มีการบันทึกสำหรับระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศสามารถแตกต่างกันตามแต่ละองค์กร เนื่องจาก
  • 1) ขนาดขององค์กร และประเภทของกิจกรรม กระบวนการ ผลิตภัณฑ์ และบริการ
  • 2) ความซับซ้อนของกระบวนการ และปฏิสัมพันธ์ของกระบวนการเหล่านั้น และ
  • 3) ความสามารถของบุคลากร

7.5.2 การจัดทำและการปรับปรุง

เมื่อจัดทำและปรับปรุงเอกสารสนเทศ องค์กรต้องมันใจว่ามีความเหมาะสมของ:

  • a) การชี้บ่งและคำอธิบาย (เช่น ชื่อเอกสาร วันที่ ผู้จัดทำ หรือเลขที่อ้างอิง);
  • b) รูปแบบ (เช่น ภาษาที่ใช้ เวอร์ชันของซอฟต์แวร์ กราฟิก) และสื่อบันทึก (เช่น กระดาษ, อิเล็กทรอนิกส์); และ
  • c) การทบทวนและการอนุมัติอย่างเหมาะสม และเพียงพอ

7.5.3 การควบคุมเอกสารสารสนเทศ

เอกสารสารสนเทศที่กำหนดขึ้นโดยระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ และตามเอกสารฉบับนี้ ต้องถูกควบคุม เพื่อให้มั่นใจว่า:

  • a) พร้อมใช้ และเหมาะสมต่อการนำไปใช้ ในสถานที่ และในเวลาที่จำเป็นต้องใช้ และ
  • b) ได้รับการปกป้องอย่างเพียงพอ (เช่น จากการสูญเสียความลับ การใช้งานที่ไม่เหมาะสม หรือการสูญเสียความถูกต้องสมบูรณ์)

สำหรับการควบคุมเอกสารสารสนเทศ องค์กรต้องจัดการ ดังต่อไปนี้ ตามความเหมาะสม
  • c) การแจกจ่าย การเข้าถึง การเรียกคืน และการนำไปใช้
  • d) การจัดเก็บ และการเก็บรักษา รวมถึง การคงไว้ให้สามารถอ่านออกได้
  • e) การควบคุมการเปลี่ยนแปลง (เช่น การควบคุมเวอร์ชัน) และ
  • f) การเก็บรักษา และการทำลาย
เอกสารสารสนเทศที่มาจากแหล่งภายนอก ที่กำหนดโดยองค์กรว่าเป็นสิ่งที่จำเป็นต่อการวางแผนและการดำเนินงานของระบบบริหารจัดการความมันคงปลอดภัยสารสนเทศ ต้องได้รับการชี้บ่งตามความเหมาะสม และได้รับการควบคุม

หมายเหตุ การเข้าถึงสามารถรวมถึง การตัดสินใจเกี่ยวกับการได้รับอนุญาตให้เรียกดูข้อมูลเอกสารเท่านั้น หรือการได้รับอนุญาตและให้อำนาจในการเรียกดูและเปลี่ยนแปลงข้อมูล เป็นต้น




--- 

International Organization for Standardization. (2022). Information security, cybersecurity, and privacy protection – Information security management systems – Requirements (ISO/IEC 27001:2022). https://www.iso.org/standard/82875.html
Labels:

Thursday, November 17, 2022

หน้าที่ของ Top Management หรือ ผู้บริหารระดับสูง

Top Management หรือ ผู้บริหารระดับสูง อาจจะเป็นคนหรือกลุ่มบุคคลที่มีบทบาทในการสั่งการและควบคุมองค์กรในระดับสูงสุด เปรียบเสมือนหัวใจสำคัญขององค์กร ทำหน้าที่ กำหนดทิศทางและกลยุทธ์ เพื่อนำพาองค์กรไปสู่เป้าหมาย โดยมีหน้าที่หลักดังนี้

  1. เป็นผู้กำหนดนโยบายและนโยบายต่างๆ ขององค์กร ครอบคลุมทั้งด้านกลยุทธ์ การเงิน การตลาด การผลิต ทรัพยากรบุคคล ฯลฯ โดยคำนึงถึงปัจจัยภายในและภายนอกองค์กร วิเคราะห์โอกาสและความเสี่ยง กำหนดเป้าหมายและแผนการดำเนินงาน
  2. สื่อสารนโยบายและทิศทางให้ชัดเจนแก่พนักงานทุกระดับ เพื่อสร้างความเข้าใจร่วม กระตุ้นให้เกิดการมีส่วนร่วม และทำงานไปในทิศทางเดียวกัน
  3. จัดสรรทรัพยากรต่างๆ ขององค์กร เช่น เงินทุน บุคลากร อุปกรณ์ เทคโนโลยี ฯลฯ  ให้เพียงพอต่อความต้องการเพื่อบรรลุเป้าหมายที่กำหนดไว้
  4. กำกับ ควบคุมดูแล และติดตามการดำเนินงานขององค์กร ติดตามผลลัพธ์ วิเคราะห์ปัญหาและอุปสรรค์หาแนวทางแก้ไข ปรับปรุงพัฒนาองค์กรอย่างต่อเนื่อง
  5. ตัดสินใจในเรื่องสำคัญๆ ขององค์กรโดยใช้วิจารณญาณ ความรู้ ประสบการณ์ วิเคราะห์ข้อมูลโดยคำนึงถึงผลประโยชน์ขององค์กรและผู้เกี่ยวข้อง
  6. เป็นผู้นำองค์กร สร้างแรงบันดาลใจปลูกฝังวัฒนธรรมองค์กรที่ดี ส่งเสริมให้พนักงานทำงานอย่างมีประสิทธิภาพ
  7. สร้างความสัมพันธ์กับผู้เกี่ยวข้องทั้งภายในและภายนอกองค์กร เช่น ลูกค้า คู่ค้า นักลงทุน หน่วยงานภาครัฐ ฯลฯ เพื่อบรรลุเป้าหมายที่กำหนดไว้
  8. รับผิดชอบต่อผลการดำเนินงานและผลประกอบการขององค์กร รวมถึงการปฏิบัติตามกฎหมาย ระเบียบ และมาตรฐานต่างๆ

Labels:

Tuesday, November 15, 2022

Clause 5 – Leadership (ผู้นำ)

 

ผู้นำมีบทบาทหน้าที่สำคัญมากในระบบบริหารจัดการ เชื่อได้ว่าหากผู้นำไม่สนับสนุน หรือเห็นความสำคัญไม่มีทางที่ระบบการจัดการจะมีประสิทธิภาพ มาตรฐาน ISO/IEC27001:2022 ได้กำหนดบทบาทหน้าที่ของผู้นำองค์กรไว้ 3 ข้อ คือข้อที่ 5.1-5.3

ข้อที่ 5.1 ภาวะผู้นำและความมุ่งมั่น อย่างที่ได้พูดไว้แล้วข้างต้นว่าการทำระบบไม่มีทางสำเร็จถ้าผู้นำไม่เห็นด้วยและสนับสนุน ดังนั้นข้อนี้จึงเน้นที่การแสดงออกของภาวะผู้นำที่จะต้องแสดงให้เห็นถึงความเป็นผู้นำ และความมุ่งมั่นที่จะดำเนินการ เช่น ทำให้มั่นใจว่านโยายและวัตถุประสงค์ด้านความมั่นคงปลอดภัยสารสนเทศ ได้ถูกดำเนินการ และสอดคล้องกับทิศทางขององค์กร, ทำให้มั่นใจว่าข้อกำหนดตามมาตรฐานนี้ได้ถูกนำไปประยุกต์ใช้ในกระบวนการต่าง ๆ ขององค์กร, สนับสนุนทรัพยากรที่จำเป็น เป็นต้น


ไปต่อที่ข้อ 5.2 กำหนดให้ผู้บริหารระดับสูงต้องกำหนดนโยบายความมั่นคงปลอดภัยสารสนเทศ โดยนโยบายนั้นควรต้องเหมาะสมต่อวัตถุประสงค์ขององค์กร มีการกำหนวัตถุประสงค์ด้านความมั่นคงปลอดภัยสารสนเทศ และแสดงให้เห็นถึงความมุ่งมั่นที่จะปฏิบัติตามข้อกำหนดที่เกี่ยวข้องกับความมั่นคงปลอดภัยสารสนเทศ ตลอดจนความมุ่งมั่นที่จะพัฒนาระบบการจัดการอย่างต่อเนื่อง ในข้อกำหนดนี้กำหนดให้นโยบายจะต้องจัดทำเป็นเอกสารสารสนเทศ และสื่อสารให้กับผู้ที่เกี่ยวข้องในองค์กร และมีไว้ให้ผู้มีส่วนได้เสียตามความเหมาะสม

ข้อสุดท้าย ข้อที่ 5.3 กำหนดให้ผู้บริหารระดับสูงต้องมอบหมายบทบาทหน้าที่, ความรับผิดชอบ และอำนาจหน้าที่ ที่เกี่ยวข้องกับความมั่นคงปลอดภัยสารสนเทศ และสื่อสารกับผู้ที่เกี่ยวข้อง ในการมอบหมายความรับผิดชอบ และอำนาจหน้าที่ก็เพื่อให้มั่นใจว่าระบบการจัดการเป็นไปตามข้อกำหนด และให้มีการรายงานผลการดำเนินการไปยังผู้บริหารระดับสูง

>>> ISO/IEC 27001:2022 มาตรฐานระบบบริหารความมั่นคงปลอดภัยสารสนเทศ ความมั่นคงปลอดภัยไซเบอร์ และการปกป้องความเป็นส่วนตัว

Labels:

Clause 6 – Planning (การวางแผน)


6.1 การดำเนินการเพื่อจัดการความเสี่ยงและโอกาส

6.1.1 ทั่วไป

เมื่อทำการวางแผนสำหรับระบบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ องค์กรต้องพิจารณาถึงประเด็นต่าง ๆ ที่อ้างถึงในข้อกำหนด 4.1 และข้อกำหนดต่างๆ ที่อ้างถึงถึงในข้อกำหนด 4.2 และกำหนดความเสี่ยงและโอกาสที่จำเป็นต้องได้รับการจัดการ เพื่อ:

  • a) ให้มั่นใจว่าระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศสามารถบรรลุผลตามผลลัพธ์ที่ตั้งใจไว้;
  • b) ป้องกันหรือลดผลกระทบที่ไม่พึงปรารถณา;
  • c) ให้บรรลุเป้าหมายของการปรับปรงอย่างต่อเนื่อง.

องค์กรต้องวางแผน

  • d) ดำเนินการเพื่อจัดการความเสี่ยงและโอกาส; และ
  • e) วิธีการ

    1. บูรณาการและนำการดำเนินการไปปฏิบัติให้เข้ากับกระบวนการของระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ และ
    2. ประเมินประสิทธิผลของการดำเนินการดังกล่าว

6.1.2 การประเมินความเสียงด้านความมันคงปลอดภัยสารสนเทศ

องค์กรต้องกำหนดและประยุกต์ใช้กระบวนการประเมินความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ โดย

  • a) จัดตั้งและรักษาเกณฑ์ความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ ซึ่งรวมถึง

    1. เกณฑ์การยอมรับความเสี่ยง และ
    2. เกณฑ์สำหรับดำเนินการประเมินความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ

  • b) ทำให้มั่นใจว่าการประเมินความเสี่ยงดังกล่าวสามารถทำซ้ำและได้ผลลัพธ์ที่ตรงกัน ถูกต้องและสามารถเปรียบเทียบได้
  • C) ระบุความเสียงด้านความมั่นคงปลอดภัยสารสนเทศ

    1. ประยุกต์ใช้กระบวนการประเมินความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ เพื่อระบุความเสี่ยงที่เกี่ยวข้องกับการสูญเสียความลับ ความถูกต้องสมบูรณ์ และความพร้อมใช้งาน ของสารสนเทศภายในขอบเขตของระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ และ
    2. ระบุผู้เป็นเจ้าของความเสี่ยง

  • d) วิเคราะห์ความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ

    1. ประเมินผลกระทบที่เป็นไปได้ ถ้าความเสียงที่ระบุไว้ในข้อกำหนด 6.1.2 c) เกิดขึ้นจริง
    2. ประเมินโอกาสที่สมเหตุผลของการเกิดความเสี่ยงที่ระบุไว้ในข้อกำหนด 6.1.2 c) และ
    3. กำหนดระดับค่าความเสี่ยง

  • e) ประเมินความเสียงด้านความมั่นคงปลอดภัยสารสนเทศ

    1. เปรียบเทียบผลการวิเคราะห์ความเสี่ยงกับเกณฑ์ความเสี่ยงที่สร้างขึ้นในข้อกำหนด 6.1.2 a) และ
    2. จัดลำดับความสำคัญของความเสี่ยงที่ได้วิเคราะห์แล้ว เพื่อการจัดการความเสี่ยง

องค์กรต้องเก็บรักษาเอกสารสนเทศ เกี่ยวกับกระบวนการประเมินความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ


6.1.3 การจัดการความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ

องค์กรต้องกำหนดและประยกต์ใช้กระบวนการจัดการความเสียงด้านความมั่นคงปลอดภัยสารสนเทศ เพื่อ

  • a) เลือกตัวเลือกของการจัดการความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศที่เหมาะสมโดยพิจารณาจากผลประเมินความเสี่ยง
  • b) กำหนดมาตรการควบคุมทั้งหมดที่จำเป็น เพื่อนำไปใช้ตามตัวเลือกการจัดการความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศที่ได้เลือกไว้


หมายเหตุ 1 องค์กรสามารถออกแบบมาตรการควบคุมตามที่ต้องการ หรือระบุมาตรการควบคุมจากแหล่งอ้างอิงใด ๆ

  • c) เปรียบเทียบมาตรการควบคุมที่กำหนดไว้ในข้อกำหนด 6.1.3 b) กับมาตรการควบคุมใน Annex A และทวนสอบว่าไม่มีมาตรการควบคุมที่จำเป็นใด ๆ ได้ละเว้นออกไป

หมายเหตุ 2 Annex A ประกอบด้วย รายการมาตรการควบคุมด้านความมั่นคงปลอดภัยสารสนเทศที่เป็นไปได้ ผู้ใช้เอกสารฉบับนี้ ได้รับการขี้แนะไปที่ Annex A เพื่อให้มันใจว่าไม่มีมาตรการควบคุมด้านความมั่นคงปลอดภัยสารสนเทศที่จำเป็นใด ๆ ถูกมองข้ามไป

หมายเหตุ 3 รายการมาตรการควบคุมความมั่นคงปลอดภัยสารสนเทศที่ระบุไว้ใน Annex A ไม่ใช่มาตรการควบคุมทั้งหมดทั้งสิ้น และสามารถเพิ่มเดิมมาตรการควบคุมความมั่นคงปลอดภัยสารสนเทศอื่นๆ ได้หากจำเป็น

  • d) จัดทำเอกสารแสดงการประยุกต์ใช้ ประกอบด้วย

    1. ㆍมาตรการควบคุมที่จำเป็น (ดูข้อกำหนด 6.1.3 b) และ c))
    2. ㆍ เหตุผลของการนำมาใช้
    3. ㆍไม่ว่ามาตรการควบคุมที่จำเป็นได้น่าไปปฏิบัติแล้วหรือไม่ก็ตาม และ
    4. ㆍเหตุผลของการละเว้นมาตรการควบคุมใด ๆ ใน Annex A

  • e) จัดทำแผนการจัดการความเสียงด้านความมั่นคงปลอดภัยสารสนเทศ และ
  • f) ขออนุมัติแผนการจัดการความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ และการยอมรับความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศที่หลงเหลืออยู่ จากผู้เป็นเจ้าของความเสี่ยง


องค์กรต้องเก็บรักษาเอกสารสนเทศ เกี่ยวกับกระบวนการจัดการความเสียงด้านความมั่นคงปลอดภัยสารสนเทศ

หมายเหตุ 4 กระบวนการประเมินความเสี่ยงและกระบวนการจัดการความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศในเอกสารฉบับนี้ สอดคล้องกลับหลักการและแนวทางโดยทั่วไปที่ระบุไว้ในมาตรฐาน ISO 31000


6.2 วัตถุประสงค์ความมั่นคงปลอดภัยสารสนเทศ และการวางแผนเพื่อการบรรลุผล

องค์กรต้องจัดตั้งวัดถุประสงค์ความมั่นคงปลอดภัยสารสนเทศไปยังส่วนงานและระดับที่เกี่ยวข้อง

วัตถุประสงค์ความมั่นคงปลอดภัยสารสนเทศ ต้อง:

  • a) สอดคล้องกับนโยบายความมั่นคงปลอดภัยสารสนเทศ;
  • b) สามารถวัดผลได้ (ถ้าปฏิบัติได้);
  • c) พิจารณาถึงข้อกำหนดต่างๆ ด้านความมั่นคงปลอดภัยสารสนเทศ และผลลัพธ์จากการประเมินความเสี่ยงและการจัดการความเสี่ยง;
  • d) ได้รับการติดตาม;
  • e) ได้รับการสื่อสาร;
  • f) ได้รับการปรับปรุงตามความเหมาะสม;
  • g) จัดทำเป็นเอกสารสารสนเทศ.

องค์กรต้องเก็บรักษาเอกสารสนเทศ เกี่ยวกับวัตถุประสงค์ด้านความมั่นคงปลอดภัยสารสนเทศ

เมื่อวางแผนวิธีการเพื่อให้บรรลุวัตถุประสงค์ด้านความมั่นคงปลอดภัยสารสนเทศ องค์กรต้องกำหนด:

  • h) กิจกรรมที่จะทำให้เสร็จ
  • i) ทรัพยากรอะไรที่ต้องการ
  • j) ใครเป็นผู้รับผิดชอบ
  • k) เมื่อไหร่ที่จะแล้วเสร็จ และ
  • l) ผลลัพธ์ที่ได้จะประเมินอย่างไร

6.3 การวางแผนของการเปลี่ยนแปลง

เมื่อองค์กรกำหนดความจำเป็นในการเปลี่ยนแปลงระบบการจัดการความมั่นคงปลอดภัยสารสนเทศ การเปลี่ยนแปลงต้องดำเนินการตามแผนที่วางไว้


>>> ISO/IEC 27001:2022 มาตรฐานระบบบริหารความมั่นคงปลอดภัยสารสนเทศ ความมั่นคงปลอดภัยไซเบอร์ และการปกป้องความเป็นส่วนตัว


 --- 


International Organization for Standardization. (2022). Information security, cybersecurity, and privacy protection – Information security management systems – Requirements (ISO/IEC 27001:2022). https://www.iso.org/standard/82875.html
Labels:

Monday, November 14, 2022

ISO/IEC 27001:2022 มาตรฐานระบบบริหารความมั่นคงปลอดภัยสารสนเทศ ความมั่นคงปลอดภัยไซเบอร์ และการปกป้องความเป็นส่วนตัว

ISO/IEC 27001:2013 เป็นมาตรฐานสากล ด้านระบบบริหารความมั่นคงปลอดภัยสารสนเทศ ความมั่นคงปลอดภัยไซเบอร์ และการปกป้องความเป็นส่วนตัว ขององค์กรระหว่างประเทศว่าด้วยการมาตรฐาน (International Organization for Standardization - ISO) ประกาศใช้อย่างเป็นทางการครั้งแรกเมื่อปี ค2005 ปัจจุบันเป็นฉบับปี 2022 มีข้อกำหนดเพื่อให้องค์กรนำไปประยุกต์ใช้เป็นกรอบมาตรฐานในการรักษาความมั่นคงปลอดภัยสารสนเทศ ความมั่นคงปลอดภัยไซเบอร์ และการปกป้องความเป็นส่วนตัว เป็นระบบบริหารที่มีความยืดหยุ่น สามารถนำไปประยุกต์ใช้ได้กับองค์กรที่มีความหลากหลาย โดยใช้หลักการ PDCA (Plan - Do - Check - Act) เป็นรูปแบบการดำเนินการเช่นเดียวกับมาตรฐาน ISO อื่น ๆ เช่น ISO9001, ISO14001, ISO22301, ISO45001, ISO5001 เป็นต้น ข้อกำหนดในมาตรฐานระบบบริหารความมั่นคงปลอดภัยสารสนเทศ ISO27001:2022 มีทั้งหมด 10 ข้อ แบ่งออกเป็น 2 ส่วน คือ 1. บทนำ (Clause 1-3) และ 2. ข้อกำหนด (Clause 4-10) ดังภาพ ทั้งนี้หากองค์กรต้องการขอการรับรองมาตรฐาน จากหน่วยงานที่ให้การรับรอง (Certify body) จะต้องดำเนินการตามข้อกำหนดที่ 4-10 โดยไม่สามารถยกเว้นได้ 


ข้อกำหนดตามมาตรฐาน ISO/IEC27001:2022 (10 ข้อ)
  1. Scope -- ขอบข่ายของมาตรฐาน
  2. Normative reference -- การอ้างอิง 
  3. Terms and definitions -- คำศัพท์ และความหมาย
    ^^^ 1-3 ไม่ต้องสนใจมาก ^^^
  4. Context of Organization -- บริบทองค์กร
  5. Leadership -- ผู้นำ
  6. Plan -- การวางแผน
  7. Support -- การสนับสนุน
  8. Operation -- การดำเนินการ
  9. Performance evaluation -- การประเมินผล
  10. Improvement -- การพัฒนาปรับปรุง

นอกจากนี้ในมาตรฐาน ISO/IEC27001 ยังมีการกำหนดมาตรการควบคุมไว้ใน Annex A ของมาตรฐาน แบ่งออกเป็น 4 กลุ่ม จำนวนทั้งสิ้น 93 ข้อ เพื่อให้องค์กรเลือกนำไปประยุกต์ใช้ในการควบคุมความเสี่ยงที่เกี่ยวข้อง ซึ่งประกอบด้วย Security control ที่กำหนดขึ้นมาใหม่จำนวน 11 ข้อ


Labels: ,

Clause 4 – Context of the organization (บริบทองค์กร)

 

มาตรฐาน ISO27001:2022 มีข้อกำหนดทั้งหมด 10 ข้อ สำหรับบล็อกนี้จะเป็นเรื่องของข้อกำหนดที่ 4 ซึ่งเกี่ยวข้องกับบริบทขององค์กร โดยจะแบ่งออกเป็น 4 หัวข้อย่อย 4.1-4.4 

4.1 การทำความเข้าใจองค์กร และบริบทขององค์กร ในข้อนี้ได้กำหนดให้องค์กรต้องศึกษาประเด็นภายใน และประเด็นภายนอกที่เกี่ยวข้อง/ส่งผลต่อการบรรลุวัตถุประสงค์ หรือส่งผลต่อความสามารถในการดำเนินการ/การบรรลุผลลัพธ์ของระบบการจัดการความมั่นคงปลอดภัยสารสนเทศ 

การดำเนินการให้เป็นไปตามข้อกำหนดข้อนี้ที่นิยมกันก็จะใช้เครื่องมือ SWOT Analysis และ PESTEL แต่ในมาตรฐานไม่ได้กำหนดว่าจะต้องเป็นวิธีไหน องค์กรอาจจะเลือกวิธีอื่น ๆ ที่เหมาะสมตามบริบทขององค์กรก็ได้

4.2 กำหนดให้องค์กรต้องทำความเข้าใจความต้องการและความคาดหวังของผู้มีส่วนได้ส่วนเสีย ในการดำเนินการเพื่อให้เป็นไปตามข้อกำหนดนี้องค์กรต้องกำหนดว่าใครเป็นผู้มีส่วนได้เสียที่เกี่ยวข้อง และศึกษาความต้องการและความคาดหวังของผู้มีส่วนได้เสียที่กำหนดไว้ 

สิ่งที่ลืมไม่ได้สำหรับการวิเคราะห์ในข้อนี้คือ การศึกษากฎหมายที่เกี่ยวข้อง เช่น พรบ.ความมั่นคงปลอดภัยไซเบอร์, พรบ.คุ้มครองข้อมูลส่วนบุคคล, พรบ.คอมพิวเตอร์ ฯลฯ ระเบียบข้อบังคับ ตลอดจนสัญญา และข้อผู้พันธ์ตามสัญญากับผู้ให้หรือผู้รับบริการที่เกี่ยวข้องกับองค์กร


4.3 เมื่อทำการศึกษาเพื่อเข้าใจองค์กร, บริบทขององค์กร และความคาดหวังของผู้มีส่วนได้เสียแล้ว ก็นำข้อมูลที่ได้มากำหนดขอบเขตของระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ 

ข้อกำหนดที่ 4.3 เป็นข้อกำหนดเดียวในข้อกำหนดที่ 4 ที่กำหนดให้จัดทำเป็นเอกสารสารสนเทศ ข้อกำหนดอื่นไม่ได้กำหนดให้จัดทำ ดังนั้นองค์กรไม่จำเป็นต้องทำเป็นเอกสารก็ได้ แต่ในการตรวจประเมินองค์กรต้องสามารถแสดงให้เห็นได้ว่ามีการวิเคราะห์/ประเมินตามข้อ 4.1-4.2

4.4 กำหนดให้องค์กรจัดตั้ง ดำเนินการ รักษา และพัฒนาปรับปรุงอย่างต่อเนื่อง (Establish, implement, maintain, and continually improve) ระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ รวมถึงกระบวนการจำเป็นที่เกี่ยวข้อง

>>> ISO/IEC 27001:2022 มาตรฐานระบบบริหารความมั่นคงปลอดภัยสารสนเทศ ความมั่นคงปลอดภัยไซเบอร์ และการปกป้องความเป็นส่วนตัว
Labels:

Wednesday, October 12, 2022

ตัวอย่างการกำหนดหน้าที่งาน จป.หัวหน้างาน

Labels:

ตัวอย่างการกำหนดหน้าที่งาน ผู้บริหารหน่วยความปลอดภัย

 

Labels:

ตัวอย่างการกำหนดหน้าที่งาน จป.วิชาชีพ

 

Labels:

ตัวอย่างการกำหนดหน้าที่งาน คณะกรรมการความปลอดภัย อาชีวอนามัย และสภาพแวดล้อมในการทำงาน (คปอ.)

 

Labels: ,

Tuesday, October 11, 2022

ตัวอย่างการกำหนดหน้าที่งาน จป.บริหาร

 

Labels:

Wednesday, June 15, 2022

Risk Assessment Template (ตารางการประเมินความเสี่ยง)

 

สนใจนำไปประยุกต์ใช้ในองค์กร > https://docs.google.com/spreadsheets/d/122e3XxaroQAw_PzfNLh-vinyZc0Rh9z4soevqZpJKAA/edit?usp=sharing

Labels: , , ,

Wednesday, June 1, 2022

คำประกาศความเป็นส่วนตัว(Privacy notice) บริการทางการแพทย์ฯ --- ศิริราช

 


---

Link: https://si.mahidol.ac.th/th/privacy-notice-for-patients.asp

Labels: ,

Wednesday, May 4, 2022

Communication plan (แผนการสื่อสารภายใน/ภายนอกองค์กร)

Labels: ,