Showing posts with label Clause 4. Show all posts
Showing posts with label Clause 4. Show all posts

Monday, November 14, 2022

Clause 4 – Context of the organization (บริบทองค์กร)

 

มาตรฐาน ISO27001:2022 มีข้อกำหนดทั้งหมด 10 ข้อ สำหรับบล็อกนี้จะเป็นเรื่องของข้อกำหนดที่ 4 ซึ่งเกี่ยวข้องกับบริบทขององค์กร โดยจะแบ่งออกเป็น 4 หัวข้อย่อย 4.1-4.4 

4.1 การทำความเข้าใจองค์กร และบริบทขององค์กร ในข้อนี้ได้กำหนดให้องค์กรต้องศึกษาประเด็นภายใน และประเด็นภายนอกที่เกี่ยวข้อง/ส่งผลต่อการบรรลุวัตถุประสงค์ หรือส่งผลต่อความสามารถในการดำเนินการ/การบรรลุผลลัพธ์ของระบบการจัดการความมั่นคงปลอดภัยสารสนเทศ 

การดำเนินการให้เป็นไปตามข้อกำหนดข้อนี้ที่นิยมกันก็จะใช้เครื่องมือ SWOT Analysis และ PESTEL แต่ในมาตรฐานไม่ได้กำหนดว่าจะต้องเป็นวิธีไหน องค์กรอาจจะเลือกวิธีอื่น ๆ ที่เหมาะสมตามบริบทขององค์กรก็ได้

4.2 กำหนดให้องค์กรต้องทำความเข้าใจความต้องการและความคาดหวังของผู้มีส่วนได้ส่วนเสีย ในการดำเนินการเพื่อให้เป็นไปตามข้อกำหนดนี้องค์กรต้องกำหนดว่าใครเป็นผู้มีส่วนได้เสียที่เกี่ยวข้อง และศึกษาความต้องการและความคาดหวังของผู้มีส่วนได้เสียที่กำหนดไว้ 

สิ่งที่ลืมไม่ได้สำหรับการวิเคราะห์ในข้อนี้คือ การศึกษากฎหมายที่เกี่ยวข้อง เช่น พรบ.ความมั่นคงปลอดภัยไซเบอร์, พรบ.คุ้มครองข้อมูลส่วนบุคคล, พรบ.คอมพิวเตอร์ ฯลฯ ระเบียบข้อบังคับ ตลอดจนสัญญา และข้อผู้พันธ์ตามสัญญากับผู้ให้หรือผู้รับบริการที่เกี่ยวข้องกับองค์กร


4.3 เมื่อทำการศึกษาเพื่อเข้าใจองค์กร, บริบทขององค์กร และความคาดหวังของผู้มีส่วนได้เสียแล้ว ก็นำข้อมูลที่ได้มากำหนดขอบเขตของระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ 

ข้อกำหนดที่ 4.3 เป็นข้อกำหนดเดียวในข้อกำหนดที่ 4 ที่กำหนดให้จัดทำเป็นเอกสารสารสนเทศ ข้อกำหนดอื่นไม่ได้กำหนดให้จัดทำ ดังนั้นองค์กรไม่จำเป็นต้องทำเป็นเอกสารก็ได้ แต่ในการตรวจประเมินองค์กรต้องสามารถแสดงให้เห็นได้ว่ามีการวิเคราะห์/ประเมินตามข้อ 4.1-4.2

4.4 กำหนดให้องค์กรจัดตั้ง ดำเนินการ รักษา และพัฒนาปรับปรุงอย่างต่อเนื่อง (Establish, implement, maintain, and continually improve) ระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ รวมถึงกระบวนการจำเป็นที่เกี่ยวข้อง

>>> 
ISO/IEC 27001:2022 มาตรฐานระบบบริหารความมั่นคงปลอดภัยสารสนเทศ ความมั่นคงปลอดภัยไซเบอร์ และการปกป้องความเป็นส่วนตัว