7.1 ทรัพยากร
องค์กรต้องกำหนด และจัดหาทรัพยากรที่จำเป็นในการจัดทำ การนำไปปฏิบัติ การรักษาให้คงไว้ และการปรับปรุงพัฒนาอย่างต่อเนื่อง ของระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ
7.2 ความสามารถ
องค์กรต้อง
- a) กำหนดความสามารถที่จำเป็นของบุคลากรที่ปฏิบัติงานอยู่ภายใต้การควบคุมขององค์กรซึ่งส่งผลต่อประสิทธิภาพด้านความมันคงปลอดภัยสารสนเทศ
- b) ทำให้มั่นใจว่าบุคลากรดังกล่าวมีความสามารถจากพื้นฐานทางการศึกษา การฝึกอบรมหรือประสบการณ์ทำงานที่เหมาะสม
- c) ถ้าเหมาะสม ดำเนินการเพื่อให้ได้มาซึ่งความสามารถที่จำเป็นนั้น และประเมินประสิทธิผลของการดำเนินการ และ
- d) เก็บรักษาเอกสารสนเทศ เพื่อเป็นหลักฐานแสดงความสามารถ
7.3 ความตระหนักรู้
บุคลากรที่ปฏิบัติงานภายใต้การควบคุมขององค์กร ต้องตระหนักถึง:
- a) นโยบายความมั่นคงปลอดภัยสารสนเทศ;
- b) การมีส่วนร่วมต่อประสิทธิผลของระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศรวมถึงประโยชน์ที่ได้จากการปรับปรุงประสิทธิผลของระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ; และ
- c) ผลกระทบที่อาจตามมาของความไม่สอดคล้องกับข้อกำหนดของระบบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ
7.4 การสื่อสาร
องค์กรต้องกำหนดความจำเป็นของการสื่อสารที่เกี่ยวข้องกับระบบบริหารจัดการความมันคงปลอดภัยสารสนเทศ ทั้งภายในและภายนอกองค์กร รวมถึง:
- a) สิ่งที่ต้องการสื่อสาร;
- b) เมื่อไรที่จะสื่อสาร;
- c) สื่อสารถึงใคร;
- d) วิธีการสื่อสาร;
7.5.1 ทั่วไป
ระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศขององค์กร ต้องรวมถึง
- a) เอกสารสารสนเทศที่กำหนดโดยเอกสารฉบับนี้ และ
- b) เอกสารสารสนเทศที่กำหนดโดยองค์กรว่าเป็นสิ่งที่จำเป็นต่อประสิทธิผลของระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ
- 1) ขนาดขององค์กร และประเภทของกิจกรรม กระบวนการ ผลิตภัณฑ์ และบริการ
- 2) ความซับซ้อนของกระบวนการ และปฏิสัมพันธ์ของกระบวนการเหล่านั้น และ
- 3) ความสามารถของบุคลากร
- a) การชี้บ่งและคำอธิบาย (เช่น ชื่อเอกสาร วันที่ ผู้จัดทำ หรือเลขที่อ้างอิง);
- b) รูปแบบ (เช่น ภาษาที่ใช้ เวอร์ชันของซอฟต์แวร์ กราฟิก) และสื่อบันทึก (เช่น กระดาษ, อิเล็กทรอนิกส์); และ
- c) การทบทวนและการอนุมัติอย่างเหมาะสม และเพียงพอ
- a) พร้อมใช้ และเหมาะสมต่อการนำไปใช้ ในสถานที่ และในเวลาที่จำเป็นต้องใช้ และ
- b) ได้รับการปกป้องอย่างเพียงพอ (เช่น จากการสูญเสียความลับ การใช้งานที่ไม่เหมาะสม หรือการสูญเสียความถูกต้องสมบูรณ์)
สำหรับการควบคุมเอกสารสารสนเทศ องค์กรต้องจัดการ ดังต่อไปนี้ ตามความเหมาะสม
- c) การแจกจ่าย การเข้าถึง การเรียกคืน และการนำไปใช้
- d) การจัดเก็บ และการเก็บรักษา รวมถึง การคงไว้ให้สามารถอ่านออกได้
- e) การควบคุมการเปลี่ยนแปลง (เช่น การควบคุมเวอร์ชัน) และ
- f) การเก็บรักษา และการทำลาย
International Organization for Standardization. (2022). Information security, cybersecurity, and privacy protection – Information security management systems – Requirements (ISO/IEC 27001:2022). https://www.iso.org/standard/82875.html