8.1 การวางแผนปฏิบัติการและควบคุม
องค์กรต้องวางแผน นำไปปฏิบัติ และควบคุมกระบวนการที่จำเป็นเพื่อให้เป็นไปตามข้อกำหนด และปฏิบัติตามสิ่งที่กำหนดไว้ในข้อกำหนด 6 โดย:
- จัดทำหลักเกณฑ์ส่าหรับกระบวนการ
- ดำเนินการควบคุมกระบวนการตามหลักเกณฑ์ที่กำหนดไว้
เอกสารสารสนเทศจะต้องจัดเก็บไว้ตามปริมาณเท่าที่จำเป็นเพื่อให้มั่นใจว่ากระบวนการได้ดำเนินการตามแผนที่วางไว้
องค์กรต้องควบคุมการเปลี่ยนแปลงตามแผนที่ได้วางไว้ และทบทวนผลที่ตามมาของการเปลี่ยนแปลงที่ไม่ได้ตั้งใจ เพื่อดำเนินการลดผลกระทบด้านลบใด ๆ ตามความจำเป็น
องค์กรต้องมันใจว่ามีการควบคุมกระบวนการ ผลิตภัณฑ์ หรือบริการจากภายนอกที่เกี่ยวข้องกับระบบการจัดการความมั่นคงปลอดภัยสารสนเทศ
8.2 การประเมินความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ
องค์กรต้องทำการประเมินความเสียงด้านความมั่นคงปลอดภัยสารสนเทศตามช่วงเวลาที่ได้วางแผนไว้ หรือเมื่อการเปลี่ยนแปลงที่มีนัยสำคัญถูกเสนอให้พิจารณาหรือมีเกิดขึ้น โดยพิจารณาตามเกณฑ์ที่จัดทำขึ้นในในข้อกำหนด 6.1.2 a)
องค์กรต้องเก็บรักษาเอกสารสนเทศ ที่เป็นผลลัพธ์ของการประเมินความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ
8.3 การจัดการความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ
- องค์กรต้องปฏิบัติตามแผนการจัดการความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ
- องค์กรต้องเก็บรักษาเอกสารสนเทศ ที่เป็นผลลัพธ์ของการจัดการความเสียงด้านความมันคงปลอดภัยสารสนเทศ
International Organization for Standardization. (2022). Information security, cybersecurity, and privacy protection – Information security management systems – Requirements (ISO/IEC 27001:2022). https://www.iso.org/standard/82875.html