6.1 การดำเนินการเพื่อจัดการความเสี่ยงและโอกาส
6.1.1 ทั่วไป
เมื่อทำการวางแผนสำหรับระบบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ องค์กรต้องพิจารณาถึงประเด็นต่าง ๆ ที่อ้างถึงในข้อกำหนด 4.1 และข้อกำหนดต่างๆ ที่อ้างถึงถึงในข้อกำหนด 4.2 และกำหนดความเสี่ยงและโอกาสที่จำเป็นต้องได้รับการจัดการ เพื่อ:
- a) ให้มั่นใจว่าระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศสามารถบรรลุผลตามผลลัพธ์ที่ตั้งใจไว้;
- b) ป้องกันหรือลดผลกระทบที่ไม่พึงปรารถณา;
- c) ให้บรรลุเป้าหมายของการปรับปรงอย่างต่อเนื่อง.
องค์กรต้องวางแผน
- d) ดำเนินการเพื่อจัดการความเสี่ยงและโอกาส; และ
- e) วิธีการ
- บูรณาการและนำการดำเนินการไปปฏิบัติให้เข้ากับกระบวนการของระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ และ
- ประเมินประสิทธิผลของการดำเนินการดังกล่าว
6.1.2 การประเมินความเสียงด้านความมันคงปลอดภัยสารสนเทศ
องค์กรต้องกำหนดและประยุกต์ใช้กระบวนการประเมินความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ โดย
- a) จัดตั้งและรักษาเกณฑ์ความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ ซึ่งรวมถึง
- เกณฑ์การยอมรับความเสี่ยง และ
- เกณฑ์สำหรับดำเนินการประเมินความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ
- b) ทำให้มั่นใจว่าการประเมินความเสี่ยงดังกล่าวสามารถทำซ้ำและได้ผลลัพธ์ที่ตรงกัน ถูกต้องและสามารถเปรียบเทียบได้
- C) ระบุความเสียงด้านความมั่นคงปลอดภัยสารสนเทศ
- ประยุกต์ใช้กระบวนการประเมินความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ เพื่อระบุความเสี่ยงที่เกี่ยวข้องกับการสูญเสียความลับ ความถูกต้องสมบูรณ์ และความพร้อมใช้งาน ของสารสนเทศภายในขอบเขตของระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ และ
- ระบุผู้เป็นเจ้าของความเสี่ยง
- d) วิเคราะห์ความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ
- ประเมินผลกระทบที่เป็นไปได้ ถ้าความเสียงที่ระบุไว้ในข้อกำหนด 6.1.2 c) เกิดขึ้นจริง
- ประเมินโอกาสที่สมเหตุผลของการเกิดความเสี่ยงที่ระบุไว้ในข้อกำหนด 6.1.2 c) และ
- กำหนดระดับค่าความเสี่ยง
- e) ประเมินความเสียงด้านความมั่นคงปลอดภัยสารสนเทศ
- เปรียบเทียบผลการวิเคราะห์ความเสี่ยงกับเกณฑ์ความเสี่ยงที่สร้างขึ้นในข้อกำหนด 6.1.2 a) และ
- จัดลำดับความสำคัญของความเสี่ยงที่ได้วิเคราะห์แล้ว เพื่อการจัดการความเสี่ยง
องค์กรต้องเก็บรักษาเอกสารสนเทศ เกี่ยวกับกระบวนการประเมินความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ
6.1.3 การจัดการความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ
องค์กรต้องกำหนดและประยกต์ใช้กระบวนการจัดการความเสียงด้านความมั่นคงปลอดภัยสารสนเทศ เพื่อ
- a) เลือกตัวเลือกของการจัดการความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศที่เหมาะสมโดยพิจารณาจากผลประเมินความเสี่ยง
- b) กำหนดมาตรการควบคุมทั้งหมดที่จำเป็น เพื่อนำไปใช้ตามตัวเลือกการจัดการความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศที่ได้เลือกไว้
หมายเหตุ 1 องค์กรสามารถออกแบบมาตรการควบคุมตามที่ต้องการ หรือระบุมาตรการควบคุมจากแหล่งอ้างอิงใด ๆ
- c) เปรียบเทียบมาตรการควบคุมที่กำหนดไว้ในข้อกำหนด 6.1.3 b) กับมาตรการควบคุมใน Annex A และทวนสอบว่าไม่มีมาตรการควบคุมที่จำเป็นใด ๆ ได้ละเว้นออกไป
หมายเหตุ 2 Annex A ประกอบด้วย รายการมาตรการควบคุมด้านความมั่นคงปลอดภัยสารสนเทศที่เป็นไปได้ ผู้ใช้เอกสารฉบับนี้ ได้รับการขี้แนะไปที่ Annex A เพื่อให้มันใจว่าไม่มีมาตรการควบคุมด้านความมั่นคงปลอดภัยสารสนเทศที่จำเป็นใด ๆ ถูกมองข้ามไป
หมายเหตุ 3 รายการมาตรการควบคุมความมั่นคงปลอดภัยสารสนเทศที่ระบุไว้ใน Annex A ไม่ใช่มาตรการควบคุมทั้งหมดทั้งสิ้น และสามารถเพิ่มเดิมมาตรการควบคุมความมั่นคงปลอดภัยสารสนเทศอื่นๆ ได้หากจำเป็น
- d) จัดทำเอกสารแสดงการประยุกต์ใช้ ประกอบด้วย
- ㆍมาตรการควบคุมที่จำเป็น (ดูข้อกำหนด 6.1.3 b) และ c))
- ㆍ เหตุผลของการนำมาใช้
- ㆍไม่ว่ามาตรการควบคุมที่จำเป็นได้น่าไปปฏิบัติแล้วหรือไม่ก็ตาม และ
- ㆍเหตุผลของการละเว้นมาตรการควบคุมใด ๆ ใน Annex A
- e) จัดทำแผนการจัดการความเสียงด้านความมั่นคงปลอดภัยสารสนเทศ และ
- f) ขออนุมัติแผนการจัดการความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ และการยอมรับความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศที่หลงเหลืออยู่ จากผู้เป็นเจ้าของความเสี่ยง
องค์กรต้องเก็บรักษาเอกสารสนเทศ เกี่ยวกับกระบวนการจัดการความเสียงด้านความมั่นคงปลอดภัยสารสนเทศ
หมายเหตุ 4 กระบวนการประเมินความเสี่ยงและกระบวนการจัดการความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศในเอกสารฉบับนี้ สอดคล้องกลับหลักการและแนวทางโดยทั่วไปที่ระบุไว้ในมาตรฐาน ISO 31000
6.2 วัตถุประสงค์ความมั่นคงปลอดภัยสารสนเทศ และการวางแผนเพื่อการบรรลุผล
องค์กรต้องจัดตั้งวัดถุประสงค์ความมั่นคงปลอดภัยสารสนเทศไปยังส่วนงานและระดับที่เกี่ยวข้อง
วัตถุประสงค์ความมั่นคงปลอดภัยสารสนเทศ ต้อง:
- a) สอดคล้องกับนโยบายความมั่นคงปลอดภัยสารสนเทศ;
- b) สามารถวัดผลได้ (ถ้าปฏิบัติได้);
- c) พิจารณาถึงข้อกำหนดต่างๆ ด้านความมั่นคงปลอดภัยสารสนเทศ และผลลัพธ์จากการประเมินความเสี่ยงและการจัดการความเสี่ยง;
- d) ได้รับการติดตาม;
- e) ได้รับการสื่อสาร;
- f) ได้รับการปรับปรุงตามความเหมาะสม;
- g) จัดทำเป็นเอกสารสารสนเทศ.
องค์กรต้องเก็บรักษาเอกสารสนเทศ เกี่ยวกับวัตถุประสงค์ด้านความมั่นคงปลอดภัยสารสนเทศ
เมื่อวางแผนวิธีการเพื่อให้บรรลุวัตถุประสงค์ด้านความมั่นคงปลอดภัยสารสนเทศ องค์กรต้องกำหนด:
- h) กิจกรรมที่จะทำให้เสร็จ
- i) ทรัพยากรอะไรที่ต้องการ
- j) ใครเป็นผู้รับผิดชอบ
- k) เมื่อไหร่ที่จะแล้วเสร็จ และ
- l) ผลลัพธ์ที่ได้จะประเมินอย่างไร
6.3 การวางแผนของการเปลี่ยนแปลง
เมื่อองค์กรกำหนดความจำเป็นในการเปลี่ยนแปลงระบบการจัดการความมั่นคงปลอดภัยสารสนเทศ การเปลี่ยนแปลงต้องดำเนินการตามแผนที่วางไว้
>>> ISO/IEC 27001:2022 มาตรฐานระบบบริหารความมั่นคงปลอดภัยสารสนเทศ ความมั่นคงปลอดภัยไซเบอร์ และการปกป้องความเป็นส่วนตัว
---
International Organization for Standardization. (2022). Information security, cybersecurity, and privacy protection – Information security management systems – Requirements (ISO/IEC 27001:2022). https://www.iso.org/standard/82875.html