Showing posts with label Clause 6. Show all posts
Showing posts with label Clause 6. Show all posts

Tuesday, November 15, 2022

Clause 6 – Planning (การวางแผน)


6.1 การดำเนินการเพื่อจัดการความเสี่ยงและโอกาส

6.1.1 ทั่วไป

เมื่อทำการวางแผนสำหรับระบบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ องค์กรต้องพิจารณาถึงประเด็นต่าง ๆ ที่อ้างถึงในข้อกำหนด 4.1 และข้อกำหนดต่างๆ ที่อ้างถึงถึงในข้อกำหนด 4.2 และกำหนดความเสี่ยงและโอกาสที่จำเป็นต้องได้รับการจัดการ เพื่อ:

  • a) ให้มั่นใจว่าระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศสามารถบรรลุผลตามผลลัพธ์ที่ตั้งใจไว้;
  • b) ป้องกันหรือลดผลกระทบที่ไม่พึงปรารถณา;
  • c) ให้บรรลุเป้าหมายของการปรับปรงอย่างต่อเนื่อง.

องค์กรต้องวางแผน

  • d) ดำเนินการเพื่อจัดการความเสี่ยงและโอกาส; และ
  • e) วิธีการ

    1. บูรณาการและนำการดำเนินการไปปฏิบัติให้เข้ากับกระบวนการของระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ และ
    2. ประเมินประสิทธิผลของการดำเนินการดังกล่าว

6.1.2 การประเมินความเสียงด้านความมันคงปลอดภัยสารสนเทศ

องค์กรต้องกำหนดและประยุกต์ใช้กระบวนการประเมินความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ โดย

  • a) จัดตั้งและรักษาเกณฑ์ความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ ซึ่งรวมถึง

    1. เกณฑ์การยอมรับความเสี่ยง และ
    2. เกณฑ์สำหรับดำเนินการประเมินความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ

  • b) ทำให้มั่นใจว่าการประเมินความเสี่ยงดังกล่าวสามารถทำซ้ำและได้ผลลัพธ์ที่ตรงกัน ถูกต้องและสามารถเปรียบเทียบได้
  • C) ระบุความเสียงด้านความมั่นคงปลอดภัยสารสนเทศ

    1. ประยุกต์ใช้กระบวนการประเมินความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ เพื่อระบุความเสี่ยงที่เกี่ยวข้องกับการสูญเสียความลับ ความถูกต้องสมบูรณ์ และความพร้อมใช้งาน ของสารสนเทศภายในขอบเขตของระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ และ
    2. ระบุผู้เป็นเจ้าของความเสี่ยง

  • d) วิเคราะห์ความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ

    1. ประเมินผลกระทบที่เป็นไปได้ ถ้าความเสียงที่ระบุไว้ในข้อกำหนด 6.1.2 c) เกิดขึ้นจริง
    2. ประเมินโอกาสที่สมเหตุผลของการเกิดความเสี่ยงที่ระบุไว้ในข้อกำหนด 6.1.2 c) และ
    3. กำหนดระดับค่าความเสี่ยง

  • e) ประเมินความเสียงด้านความมั่นคงปลอดภัยสารสนเทศ

    1. เปรียบเทียบผลการวิเคราะห์ความเสี่ยงกับเกณฑ์ความเสี่ยงที่สร้างขึ้นในข้อกำหนด 6.1.2 a) และ
    2. จัดลำดับความสำคัญของความเสี่ยงที่ได้วิเคราะห์แล้ว เพื่อการจัดการความเสี่ยง

องค์กรต้องเก็บรักษาเอกสารสนเทศ เกี่ยวกับกระบวนการประเมินความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ


6.1.3 การจัดการความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ

องค์กรต้องกำหนดและประยกต์ใช้กระบวนการจัดการความเสียงด้านความมั่นคงปลอดภัยสารสนเทศ เพื่อ

  • a) เลือกตัวเลือกของการจัดการความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศที่เหมาะสมโดยพิจารณาจากผลประเมินความเสี่ยง
  • b) กำหนดมาตรการควบคุมทั้งหมดที่จำเป็น เพื่อนำไปใช้ตามตัวเลือกการจัดการความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศที่ได้เลือกไว้


หมายเหตุ 1 องค์กรสามารถออกแบบมาตรการควบคุมตามที่ต้องการ หรือระบุมาตรการควบคุมจากแหล่งอ้างอิงใด ๆ

  • c) เปรียบเทียบมาตรการควบคุมที่กำหนดไว้ในข้อกำหนด 6.1.3 b) กับมาตรการควบคุมใน Annex A และทวนสอบว่าไม่มีมาตรการควบคุมที่จำเป็นใด ๆ ได้ละเว้นออกไป

หมายเหตุ 2 Annex A ประกอบด้วย รายการมาตรการควบคุมด้านความมั่นคงปลอดภัยสารสนเทศที่เป็นไปได้ ผู้ใช้เอกสารฉบับนี้ ได้รับการขี้แนะไปที่ Annex A เพื่อให้มันใจว่าไม่มีมาตรการควบคุมด้านความมั่นคงปลอดภัยสารสนเทศที่จำเป็นใด ๆ ถูกมองข้ามไป

หมายเหตุ 3 รายการมาตรการควบคุมความมั่นคงปลอดภัยสารสนเทศที่ระบุไว้ใน Annex A ไม่ใช่มาตรการควบคุมทั้งหมดทั้งสิ้น และสามารถเพิ่มเดิมมาตรการควบคุมความมั่นคงปลอดภัยสารสนเทศอื่นๆ ได้หากจำเป็น

  • d) จัดทำเอกสารแสดงการประยุกต์ใช้ ประกอบด้วย

    1. ㆍมาตรการควบคุมที่จำเป็น (ดูข้อกำหนด 6.1.3 b) และ c))
    2. ㆍ เหตุผลของการนำมาใช้
    3. ㆍไม่ว่ามาตรการควบคุมที่จำเป็นได้น่าไปปฏิบัติแล้วหรือไม่ก็ตาม และ
    4. ㆍเหตุผลของการละเว้นมาตรการควบคุมใด ๆ ใน Annex A

  • e) จัดทำแผนการจัดการความเสียงด้านความมั่นคงปลอดภัยสารสนเทศ และ
  • f) ขออนุมัติแผนการจัดการความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ และการยอมรับความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศที่หลงเหลืออยู่ จากผู้เป็นเจ้าของความเสี่ยง


องค์กรต้องเก็บรักษาเอกสารสนเทศ เกี่ยวกับกระบวนการจัดการความเสียงด้านความมั่นคงปลอดภัยสารสนเทศ

หมายเหตุ 4 กระบวนการประเมินความเสี่ยงและกระบวนการจัดการความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศในเอกสารฉบับนี้ สอดคล้องกลับหลักการและแนวทางโดยทั่วไปที่ระบุไว้ในมาตรฐาน ISO 31000


6.2 วัตถุประสงค์ความมั่นคงปลอดภัยสารสนเทศ และการวางแผนเพื่อการบรรลุผล

องค์กรต้องจัดตั้งวัดถุประสงค์ความมั่นคงปลอดภัยสารสนเทศไปยังส่วนงานและระดับที่เกี่ยวข้อง

วัตถุประสงค์ความมั่นคงปลอดภัยสารสนเทศ ต้อง:

  • a) สอดคล้องกับนโยบายความมั่นคงปลอดภัยสารสนเทศ;
  • b) สามารถวัดผลได้ (ถ้าปฏิบัติได้);
  • c) พิจารณาถึงข้อกำหนดต่างๆ ด้านความมั่นคงปลอดภัยสารสนเทศ และผลลัพธ์จากการประเมินความเสี่ยงและการจัดการความเสี่ยง;
  • d) ได้รับการติดตาม;
  • e) ได้รับการสื่อสาร;
  • f) ได้รับการปรับปรุงตามความเหมาะสม;
  • g) จัดทำเป็นเอกสารสารสนเทศ.

องค์กรต้องเก็บรักษาเอกสารสนเทศ เกี่ยวกับวัตถุประสงค์ด้านความมั่นคงปลอดภัยสารสนเทศ

เมื่อวางแผนวิธีการเพื่อให้บรรลุวัตถุประสงค์ด้านความมั่นคงปลอดภัยสารสนเทศ องค์กรต้องกำหนด:

  • h) กิจกรรมที่จะทำให้เสร็จ
  • i) ทรัพยากรอะไรที่ต้องการ
  • j) ใครเป็นผู้รับผิดชอบ
  • k) เมื่อไหร่ที่จะแล้วเสร็จ และ
  • l) ผลลัพธ์ที่ได้จะประเมินอย่างไร

6.3 การวางแผนของการเปลี่ยนแปลง

เมื่อองค์กรกำหนดความจำเป็นในการเปลี่ยนแปลงระบบการจัดการความมั่นคงปลอดภัยสารสนเทศ การเปลี่ยนแปลงต้องดำเนินการตามแผนที่วางไว้


>>> ISO/IEC 27001:2022 มาตรฐานระบบบริหารความมั่นคงปลอดภัยสารสนเทศ ความมั่นคงปลอดภัยไซเบอร์ และการปกป้องความเป็นส่วนตัว


 --- 


International Organization for Standardization. (2022). Information security, cybersecurity, and privacy protection – Information security management systems – Requirements (ISO/IEC 27001:2022). https://www.iso.org/standard/82875.html