Clause 6 – Planning (การวางแผน)

6.1 การดำเนินการเพื่อจัดการความเสี่ยงและโอกาส

6.1.1 ทั่วไป

เมื่อทำการวางแผนสำหรับระบบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ องค์กรต้องพิจารณาถึงประเด็นต่าง ๆ ที่อ้างถึงในข้อกำหนด 4.1 และข้อกำหนดต่างๆ ที่อ้างถึงถึงในข้อกำหนด 4.2 และกำหนดความเสี่ยงและโอกาสที่จำเป็นต้องได้รับการจัดการ เพื่อ:

• a) ให้มั่นใจว่าระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศสามารถบรรลุผลตามผลลัพธ์ที่ตั้งใจไว้;
• b) ป้องกันหรือลดผลกระทบที่ไม่พึงปรารถณา;
• c) ให้บรรลุเป้าหมายของการปรับปรงอย่างต่อเนื่อง.

องค์กรต้องวางแผน

• d) ดำเนินการเพื่อจัดการความเสี่ยงและโอกาส; และ
• e) วิธีการ

1. บูรณาการและนำการดำเนินการไปปฏิบัติให้เข้ากับกระบวนการของระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ และ
2. ประเมินประสิทธิผลของการดำเนินการดังกล่าว

6.1.2 การประเมินความเสียงด้านความมันคงปลอดภัยสารสนเทศ

องค์กรต้องกำหนดและประยุกต์ใช้กระบวนการประเมินความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ โดย

• a) จัดตั้งและรักษาเกณฑ์ความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ ซึ่งรวมถึง

1. เกณฑ์การยอมรับความเสี่ยง และ
2. เกณฑ์สำหรับดำเนินการประเมินความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ

• b) ทำให้มั่นใจว่าการประเมินความเสี่ยงดังกล่าวสามารถทำซ้ำและได้ผลลัพธ์ที่ตรงกัน ถูกต้องและสามารถเปรียบเทียบได้
• C) ระบุความเสียงด้านความมั่นคงปลอดภัยสารสนเทศ

1. ประยุกต์ใช้กระบวนการประเมินความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ เพื่อระบุความเสี่ยงที่เกี่ยวข้องกับการสูญเสียความลับ ความถูกต้องสมบูรณ์ และความพร้อมใช้งาน ของสารสนเทศภายในขอบเขตของระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ และ
2. ระบุผู้เป็นเจ้าของความเสี่ยง

• d) วิเคราะห์ความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ

1. ประเมินผลกระทบที่เป็นไปได้ ถ้าความเสียงที่ระบุไว้ในข้อกำหนด 6.1.2 c) เกิดขึ้นจริง
2. ประเมินโอกาสที่สมเหตุผลของการเกิดความเสี่ยงที่ระบุไว้ในข้อกำหนด 6.1.2 c) และ
3. กำหนดระดับค่าความเสี่ยง

• e) ประเมินความเสียงด้านความมั่นคงปลอดภัยสารสนเทศ

1. เปรียบเทียบผลการวิเคราะห์ความเสี่ยงกับเกณฑ์ความเสี่ยงที่สร้างขึ้นในข้อกำหนด 6.1.2 a) และ
2. จัดลำดับความสำคัญของความเสี่ยงที่ได้วิเคราะห์แล้ว เพื่อการจัดการความเสี่ยง

องค์กรต้องเก็บรักษาเอกสารสนเทศ เกี่ยวกับกระบวนการประเมินความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ

6.1.3 การจัดการความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ

องค์กรต้องกำหนดและประยกต์ใช้กระบวนการจัดการความเสียงด้านความมั่นคงปลอดภัยสารสนเทศ เพื่อ

• a) เลือกตัวเลือกของการจัดการความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศที่เหมาะสมโดยพิจารณาจากผลประเมินความเสี่ยง
• b) กำหนดมาตรการควบคุมทั้งหมดที่จำเป็น เพื่อนำไปใช้ตามตัวเลือกการจัดการความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศที่ได้เลือกไว้

หมายเหตุ 1 องค์กรสามารถออกแบบมาตรการควบคุมตามที่ต้องการ หรือระบุมาตรการควบคุมจากแหล่งอ้างอิงใด ๆ

• c) เปรียบเทียบมาตรการควบคุมที่กำหนดไว้ในข้อกำหนด 6.1.3 b) กับมาตรการควบคุมใน Annex A และทวนสอบว่าไม่มีมาตรการควบคุมที่จำเป็นใด ๆ ได้ละเว้นออกไป

หมายเหตุ 2 Annex A ประกอบด้วย รายการมาตรการควบคุมด้านความมั่นคงปลอดภัยสารสนเทศที่เป็นไปได้ ผู้ใช้เอกสารฉบับนี้ ได้รับการขี้แนะไปที่ Annex A เพื่อให้มันใจว่าไม่มีมาตรการควบคุมด้านความมั่นคงปลอดภัยสารสนเทศที่จำเป็นใด ๆ ถูกมองข้ามไป

หมายเหตุ 3 รายการมาตรการควบคุมความมั่นคงปลอดภัยสารสนเทศที่ระบุไว้ใน Annex A ไม่ใช่มาตรการควบคุมทั้งหมดทั้งสิ้น และสามารถเพิ่มเดิมมาตรการควบคุมความมั่นคงปลอดภัยสารสนเทศอื่นๆ ได้หากจำเป็น

• d) จัดทำเอกสารแสดงการประยุกต์ใช้ ประกอบด้วย

1. ㆍมาตรการควบคุมที่จำเป็น (ดูข้อกำหนด 6.1.3 b) และ c))
2. ㆍ เหตุผลของการนำมาใช้
3. ㆍไม่ว่ามาตรการควบคุมที่จำเป็นได้น่าไปปฏิบัติแล้วหรือไม่ก็ตาม และ
4. ㆍเหตุผลของการละเว้นมาตรการควบคุมใด ๆ ใน Annex A

• e) จัดทำแผนการจัดการความเสียงด้านความมั่นคงปลอดภัยสารสนเทศ และ
• f) ขออนุมัติแผนการจัดการความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ และการยอมรับความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศที่หลงเหลืออยู่ จากผู้เป็นเจ้าของความเสี่ยง

องค์กรต้องเก็บรักษาเอกสารสนเทศ เกี่ยวกับกระบวนการจัดการความเสียงด้านความมั่นคงปลอดภัยสารสนเทศ

หมายเหตุ 4 กระบวนการประเมินความเสี่ยงและกระบวนการจัดการความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศในเอกสารฉบับนี้ สอดคล้องกลับหลักการและแนวทางโดยทั่วไปที่ระบุไว้ในมาตรฐาน ISO 31000

6.2 วัตถุประสงค์ความมั่นคงปลอดภัยสารสนเทศ และการวางแผนเพื่อการบรรลุผล

องค์กรต้องจัดตั้งวัดถุประสงค์ความมั่นคงปลอดภัยสารสนเทศไปยังส่วนงานและระดับที่เกี่ยวข้อง

วัตถุประสงค์ความมั่นคงปลอดภัยสารสนเทศ ต้อง:

• a) สอดคล้องกับนโยบายความมั่นคงปลอดภัยสารสนเทศ;
• b) สามารถวัดผลได้ (ถ้าปฏิบัติได้);
• c) พิจารณาถึงข้อกำหนดต่างๆ ด้านความมั่นคงปลอดภัยสารสนเทศ และผลลัพธ์จากการประเมินความเสี่ยงและการจัดการความเสี่ยง;
• d) ได้รับการติดตาม;
• e) ได้รับการสื่อสาร;
• f) ได้รับการปรับปรุงตามความเหมาะสม;
• g) จัดทำเป็นเอกสารสารสนเทศ.

องค์กรต้องเก็บรักษาเอกสารสนเทศ เกี่ยวกับวัตถุประสงค์ด้านความมั่นคงปลอดภัยสารสนเทศ

เมื่อวางแผนวิธีการเพื่อให้บรรลุวัตถุประสงค์ด้านความมั่นคงปลอดภัยสารสนเทศ องค์กรต้องกำหนด:

• h) กิจกรรมที่จะทำให้เสร็จ
• i) ทรัพยากรอะไรที่ต้องการ
• j) ใครเป็นผู้รับผิดชอบ
• k) เมื่อไหร่ที่จะแล้วเสร็จ และ
• l) ผลลัพธ์ที่ได้จะประเมินอย่างไร

6.3 การวางแผนของการเปลี่ยนแปลง

เมื่อองค์กรกำหนดความจำเป็นในการเปลี่ยนแปลงระบบการจัดการความมั่นคงปลอดภัยสารสนเทศ การเปลี่ยนแปลงต้องดำเนินการตามแผนที่วางไว้

>>> ISO/IEC 27001:2022 มาตรฐานระบบบริหารความมั่นคงปลอดภัยสารสนเทศ ความมั่นคงปลอดภัยไซเบอร์ และการปกป้องความเป็นส่วนตัว

 --- 

International Organization for Standardization. (2022). Information security, cybersecurity, and privacy protection – Information security management systems – Requirements (ISO/IEC 27001:2022). https://www.iso.org/standard/82875.html