Showing posts with label Clause 8. Show all posts
Showing posts with label Clause 8. Show all posts

Saturday, November 19, 2022

Clause 8 – Operation (การดำเนินการ)


8.1 การวางแผนปฏิบัติการและควบคุม

องค์กรต้องวางแผน นำไปปฏิบัติ และควบคุมกระบวนการที่จำเป็นเพื่อให้เป็นไปตามข้อกำหนด และปฏิบัติตามสิ่งที่กำหนดไว้ในข้อกำหนด 6 โดย:

  • จัดทำหลักเกณฑ์ส่าหรับกระบวนการ
  • ดำเนินการควบคุมกระบวนการตามหลักเกณฑ์ที่กำหนดไว้

เอกสารสารสนเทศจะต้องจัดเก็บไว้ตามปริมาณเท่าที่จำเป็นเพื่อให้มั่นใจว่ากระบวนการได้ดำเนินการตามแผนที่วางไว้

องค์กรต้องควบคุมการเปลี่ยนแปลงตามแผนที่ได้วางไว้ และทบทวนผลที่ตามมาของการเปลี่ยนแปลงที่ไม่ได้ตั้งใจ เพื่อดำเนินการลดผลกระทบด้านลบใด ๆ ตามความจำเป็น

องค์กรต้องมันใจว่ามีการควบคุมกระบวนการ ผลิตภัณฑ์ หรือบริการจากภายนอกที่เกี่ยวข้องกับระบบการจัดการความมั่นคงปลอดภัยสารสนเทศ


8.2 การประเมินความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ

องค์กรต้องทำการประเมินความเสียงด้านความมั่นคงปลอดภัยสารสนเทศตามช่วงเวลาที่ได้วางแผนไว้ หรือเมื่อการเปลี่ยนแปลงที่มีนัยสำคัญถูกเสนอให้พิจารณาหรือมีเกิดขึ้น โดยพิจารณาตามเกณฑ์ที่จัดทำขึ้นในในข้อกำหนด 6.1.2 a)

องค์กรต้องเก็บรักษาเอกสารสนเทศ ที่เป็นผลลัพธ์ของการประเมินความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ


8.3 การจัดการความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ

  • องค์กรต้องปฏิบัติตามแผนการจัดการความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ
  • องค์กรต้องเก็บรักษาเอกสารสนเทศ ที่เป็นผลลัพธ์ของการจัดการความเสียงด้านความมันคงปลอดภัยสารสนเทศ


--- 

International Organization for Standardization. (2022). Information security, cybersecurity, and privacy protection – Information security management systems – Requirements (ISO/IEC 27001:2022). https://www.iso.org/standard/82875.html