7.1 ทรัพยากร
องค์กรต้องกำหนด และจัดหาทรัพยากรที่จำเป็นในการจัดทำ การนำไปปฏิบัติ การรักษาให้คงไว้ และการปรับปรุงพัฒนาอย่างต่อเนื่อง ของระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ
7.2 ความสามารถ
องค์กรต้อง
- a) กำหนดความสามารถที่จำเป็นของบุคลากรที่ปฏิบัติงานอยู่ภายใต้การควบคุมขององค์กรซึ่งส่งผลต่อประสิทธิภาพด้านความมันคงปลอดภัยสารสนเทศ
- b) ทำให้มั่นใจว่าบุคลากรดังกล่าวมีความสามารถจากพื้นฐานทางการศึกษา การฝึกอบรมหรือประสบการณ์ทำงานที่เหมาะสม
- c) ถ้าเหมาะสม ดำเนินการเพื่อให้ได้มาซึ่งความสามารถที่จำเป็นนั้น และประเมินประสิทธิผลของการดำเนินการ และ
- d) เก็บรักษาเอกสารสนเทศ เพื่อเป็นหลักฐานแสดงความสามารถ
7.3 ความตระหนักรู้
บุคลากรที่ปฏิบัติงานภายใต้การควบคุมขององค์กร ต้องตระหนักถึง:
- a) นโยบายความมั่นคงปลอดภัยสารสนเทศ;
- b) การมีส่วนร่วมต่อประสิทธิผลของระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศรวมถึงประโยชน์ที่ได้จากการปรับปรุงประสิทธิผลของระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ; และ
- c) ผลกระทบที่อาจตามมาของความไม่สอดคล้องกับข้อกำหนดของระบบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ
7.4 การสื่อสาร
องค์กรต้องกำหนดความจำเป็นของการสื่อสารที่เกี่ยวข้องกับระบบบริหารจัดการความมันคงปลอดภัยสารสนเทศ ทั้งภายในและภายนอกองค์กร รวมถึง:
- a) สิ่งที่ต้องการสื่อสาร;
- b) เมื่อไรที่จะสื่อสาร;
- c) สื่อสารถึงใคร;
- d) วิธีการสื่อสาร;
7.5.1 ทั่วไป
ระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศขององค์กร ต้องรวมถึง
- a) เอกสารสารสนเทศที่กำหนดโดยเอกสารฉบับนี้ และ
- b) เอกสารสารสนเทศที่กำหนดโดยองค์กรว่าเป็นสิ่งที่จำเป็นต่อประสิทธิผลของระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ
หมายเหตุ ขอบเขตของเอกสารสารสนเทศที่มีการบันทึกสำหรับระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศสามารถแตกต่างกันตามแต่ละองค์กร เนื่องจาก
- 1) ขนาดขององค์กร และประเภทของกิจกรรม กระบวนการ ผลิตภัณฑ์ และบริการ
- 2) ความซับซ้อนของกระบวนการ และปฏิสัมพันธ์ของกระบวนการเหล่านั้น และ
- 3) ความสามารถของบุคลากร
7.5.2 การจัดทำและการปรับปรุง
เมื่อจัดทำและปรับปรุงเอกสารสนเทศ องค์กรต้องมันใจว่ามีความเหมาะสมของ:
- a) การชี้บ่งและคำอธิบาย (เช่น ชื่อเอกสาร วันที่ ผู้จัดทำ หรือเลขที่อ้างอิง);
- b) รูปแบบ (เช่น ภาษาที่ใช้ เวอร์ชันของซอฟต์แวร์ กราฟิก) และสื่อบันทึก (เช่น กระดาษ, อิเล็กทรอนิกส์); และ
- c) การทบทวนและการอนุมัติอย่างเหมาะสม และเพียงพอ
7.5.3 การควบคุมเอกสารสารสนเทศ
เอกสารสารสนเทศที่กำหนดขึ้นโดยระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ และตามเอกสารฉบับนี้ ต้องถูกควบคุม เพื่อให้มั่นใจว่า:
- a) พร้อมใช้ และเหมาะสมต่อการนำไปใช้ ในสถานที่ และในเวลาที่จำเป็นต้องใช้ และ
- b) ได้รับการปกป้องอย่างเพียงพอ (เช่น จากการสูญเสียความลับ การใช้งานที่ไม่เหมาะสม หรือการสูญเสียความถูกต้องสมบูรณ์)
สำหรับการควบคุมเอกสารสารสนเทศ องค์กรต้องจัดการ ดังต่อไปนี้ ตามความเหมาะสม
- c) การแจกจ่าย การเข้าถึง การเรียกคืน และการนำไปใช้
- d) การจัดเก็บ และการเก็บรักษา รวมถึง การคงไว้ให้สามารถอ่านออกได้
- e) การควบคุมการเปลี่ยนแปลง (เช่น การควบคุมเวอร์ชัน) และ
- f) การเก็บรักษา และการทำลาย
เอกสารสารสนเทศที่มาจากแหล่งภายนอก ที่กำหนดโดยองค์กรว่าเป็นสิ่งที่จำเป็นต่อการวางแผนและการดำเนินงานของระบบบริหารจัดการความมันคงปลอดภัยสารสนเทศ ต้องได้รับการชี้บ่งตามความเหมาะสม และได้รับการควบคุม
หมายเหตุ การเข้าถึงสามารถรวมถึง การตัดสินใจเกี่ยวกับการได้รับอนุญาตให้เรียกดูข้อมูลเอกสารเท่านั้น หรือการได้รับอนุญาตและให้อำนาจในการเรียกดูและเปลี่ยนแปลงข้อมูล เป็นต้น
---
International Organization for Standardization. (2022). Information security, cybersecurity, and privacy protection – Information security management systems – Requirements (ISO/IEC 27001:2022). https://www.iso.org/standard/82875.html