หัวข้อนี้อธิบายได้นะแต่พอต้องมาเขียนเป็นภาษาเขียนแล้วรู้สึกติด จะเขียนเสร็จไหม เขียนเสร็จแล้วจะอ่านรู้เรื่องใหม? เพราะหัวข้อนี้ใหญ่มากเขียนแบบสรุป ๆ เฉพาะสิ่งที่ต้องดำเนินการหลัก ๆ ก็แล้วกันนะ เพราะถ้าลงรายละเอียดไม่น่าจะจบ
ข้อกำหนดที่ 6 ตามมาตรฐาน ISO/IEC27001:2022 แบ่งออกเป็น 2 หัวข้อ คือ
ข้อกำหนดที่ 6.1 การดำเนินการเพื่อจัดการกับความเสี่ยงและโอกาส แบ่งออกเป็นหัวข้อย่อย 3 หัวข้อ
ในหัวข้อที่ 6.1.1 สิ่งที่ต้องดำเนินการคือจัดทำแผนในการดำเนินการเพื่อจัดการกับความเสี่ยงและโอกาส ในการวางแผนการดำเนินการจะต้องพิจารณาถึงประเด็นที่มีการวิเคราะห์ตามข้อกำหนดที่ 4.1 และ 4.2 ด้วย
หัวข้อที่ 6.1.2 องค์กรจะต้องกำหนดเกณฑ์ในการประเมินความเสี่ยง และเกณฑ์การยอมรับความเสี่ยง มีกระบวนการในการระบุความเสี่ยง วิเคราะห์ความเสี่ยง และประเมินความเสี่ยง
และ 6.1.3 หัวข้อสุดท้าย กำหนดให้องค์กรจัดทำกระบวนการจัดการความเสี่ยง โดยเลือกมาตรการควบคุมความเสี่ยงที่เหมาะสม จากนั้นเทียบมาตรการควบคุมกับ Annex A ของมาตรฐาน ISO27001:2022 และจัดทำเอกสารแสดงการประยุกต์ใช้มาตรการควบคุม (Statement of Applicability: SOA)
ข้อกำหนดที่ 6.2 วัตถุประสงค์ความมั่นคงปลอดภัยสารสนเทศ
กำหนดให้องค์กรต้องกำหนดวัตถุประสงค์ด้านความมั่นคงปลอดภัยสารสนเทศ โดยวัตถุประสงค์นั้นต้องสอดคล้องกับนโยบายฯที่จัดทำขึ้น, ต้องวัดผลได้ มีการสื่อสารไปยังผู้ที่เกี่ยวข้อง และมีการติดตามผล เป็นต้น โดยจะต้องจัดทำเป็นเอกสารสารสนเทศ
นอกจากจะกำหนดวัตถุประสงค์ฯแล้ว องค์กรจะต้องวางแผนการดำเนินการเพื่อให้บรรลุวัตถุประสงค์ดังกล่าว โดยจะต้องกำหนดกิจกรรม ทรัพยากรที่ต้องการ ผู้รับผิดชอบ ระยะเวลาแล้วเสร็จ และวิธีการประเมินผล