Clause 7 – Support (การสนับสนุน)

7.1 ทรัพยากร

องค์กรต้องกำหนด และจัดหาทรัพยากรที่จำเป็นในการจัดทำ การนำไปปฏิบัติ การรักษาให้คงไว้ และการปรับปรุงพัฒนาอย่างต่อเนื่อง ของระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ

7.2 ความสามารถ

องค์กรต้อง

• a) กำหนดความสามารถที่จำเป็นของบุคลากรที่ปฏิบัติงานอยู่ภายใต้การควบคุมขององค์กรซึ่งส่งผลต่อประสิทธิภาพด้านความมันคงปลอดภัยสารสนเทศ
• b) ทำให้มั่นใจว่าบุคลากรดังกล่าวมีความสามารถจากพื้นฐานทางการศึกษา การฝึกอบรมหรือประสบการณ์ทำงานที่เหมาะสม
• c) ถ้าเหมาะสม ดำเนินการเพื่อให้ได้มาซึ่งความสามารถที่จำเป็นนั้น และประเมินประสิทธิผลของการดำเนินการ และ
• d) เก็บรักษาเอกสารสนเทศ เพื่อเป็นหลักฐานแสดงความสามารถ

หมายเหตุ การดำเนินการที่เหมาะสม อาจรวมถึง ตัวอย่างเช่น การจัดฝึกอบรม การมีพี่เลี้ยง หรือการมอบหมายงานใหม่ให้แก่พนักงานปัจจุบัน หรือ การว่าจ้างงาน หรือทำสัญญาจ้าง ผู้ที่มีความสามารถ

7.3 ความตระหนักรู้

บุคลากรที่ปฏิบัติงานภายใต้การควบคุมขององค์กร ต้องตระหนักถึง:

• a) นโยบายความมั่นคงปลอดภัยสารสนเทศ;
• b) การมีส่วนร่วมต่อประสิทธิผลของระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศรวมถึงประโยชน์ที่ได้จากการปรับปรุงประสิทธิผลของระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ; และ
• c) ผลกระทบที่อาจตามมาของความไม่สอดคล้องกับข้อกำหนดของระบบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ

7.4 การสื่อสาร

องค์กรต้องกำหนดความจำเป็นของการสื่อสารที่เกี่ยวข้องกับระบบบริหารจัดการความมันคงปลอดภัยสารสนเทศ ทั้งภายในและภายนอกองค์กร รวมถึง:

• a) สิ่งที่ต้องการสื่อสาร;
• b) เมื่อไรที่จะสื่อสาร;
• c) สื่อสารถึงใคร;
• d) วิธีการสื่อสาร;

7.5 เอกสารสารสนเทศ

7.5.1 ทั่วไป

ระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศขององค์กร ต้องรวมถึง

• a) เอกสารสารสนเทศที่กำหนดโดยเอกสารฉบับนี้ และ
• b) เอกสารสารสนเทศที่กำหนดโดยองค์กรว่าเป็นสิ่งที่จำเป็นต่อประสิทธิผลของระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ

หมายเหตุ ขอบเขตของเอกสารสารสนเทศที่มีการบันทึกสำหรับระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศสามารถแตกต่างกันตามแต่ละองค์กร เนื่องจาก

• 1) ขนาดขององค์กร และประเภทของกิจกรรม กระบวนการ ผลิตภัณฑ์ และบริการ
• 2) ความซับซ้อนของกระบวนการ และปฏิสัมพันธ์ของกระบวนการเหล่านั้น และ
• 3) ความสามารถของบุคลากร

7.5.2 การจัดทำและการปรับปรุง

เมื่อจัดทำและปรับปรุงเอกสารสนเทศ องค์กรต้องมันใจว่ามีความเหมาะสมของ:

• a) การชี้บ่งและคำอธิบาย (เช่น ชื่อเอกสาร วันที่ ผู้จัดทำ หรือเลขที่อ้างอิง);
• b) รูปแบบ (เช่น ภาษาที่ใช้ เวอร์ชันของซอฟต์แวร์ กราฟิก) และสื่อบันทึก (เช่น กระดาษ, อิเล็กทรอนิกส์); และ
• c) การทบทวนและการอนุมัติอย่างเหมาะสม และเพียงพอ

7.5.3 การควบคุมเอกสารสารสนเทศ

เอกสารสารสนเทศที่กำหนดขึ้นโดยระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ และตามเอกสารฉบับนี้ ต้องถูกควบคุม เพื่อให้มั่นใจว่า:

• a) พร้อมใช้ และเหมาะสมต่อการนำไปใช้ ในสถานที่ และในเวลาที่จำเป็นต้องใช้ และ
• b) ได้รับการปกป้องอย่างเพียงพอ (เช่น จากการสูญเสียความลับ การใช้งานที่ไม่เหมาะสม หรือการสูญเสียความถูกต้องสมบูรณ์)

สำหรับการควบคุมเอกสารสารสนเทศ องค์กรต้องจัดการ ดังต่อไปนี้ ตามความเหมาะสม

• c) การแจกจ่าย การเข้าถึง การเรียกคืน และการนำไปใช้
• d) การจัดเก็บ และการเก็บรักษา รวมถึง การคงไว้ให้สามารถอ่านออกได้
• e) การควบคุมการเปลี่ยนแปลง (เช่น การควบคุมเวอร์ชัน) และ
• f) การเก็บรักษา และการทำลาย

เอกสารสารสนเทศที่มาจากแหล่งภายนอก ที่กำหนดโดยองค์กรว่าเป็นสิ่งที่จำเป็นต่อการวางแผนและการดำเนินงานของระบบบริหารจัดการความมันคงปลอดภัยสารสนเทศ ต้องได้รับการชี้บ่งตามความเหมาะสม และได้รับการควบคุม

หมายเหตุ การเข้าถึงสามารถรวมถึง การตัดสินใจเกี่ยวกับการได้รับอนุญาตให้เรียกดูข้อมูลเอกสารเท่านั้น หรือการได้รับอนุญาตและให้อำนาจในการเรียกดูและเปลี่ยนแปลงข้อมูล เป็นต้น

>>> ISO/IEC 27001:2022 มาตรฐานระบบบริหารความมั่นคงปลอดภัยสารสนเทศ ความมั่นคงปลอดภัยไซเบอร์ และการปกป้องความเป็นส่วนตัว

--- 

International Organization for Standardization. (2022). Information security, cybersecurity, and privacy protection – Information security management systems – Requirements (ISO/IEC 27001:2022). https://www.iso.org/standard/82875.html