Tuesday, July 4, 2023

BCP Exercise - การฝึกซ้อมแผนความต่อเนื่องทางธุรกิจ

การฝึกซ้อมแผนความต่อเนื่องทางธุรกิจ เป็นขั้นตอนในการทดสอบและประเมินความพร้อมของแผนปฏิบัติการ และกระบวนการในการตอบโต้สถานการณ์เมื่อเกิดเหตุที่ไม่คาดคิด เพื่อให้ทราบถึงข้อบกพร่องของแผน, ทรัพยากร, กระบวนการทำงาน, ช่องว่างในการประสานงานต่าง ๆ ทั้งภายในและภายนอกหน่วยงาน ตลอดจนประสิทธิภาพของกระบวนการสื่อสาร   โดยมีรูปแบบที่นิยมใช้ในการฝึกซ้อม 3 รูปแบบ คือ
  • การฝึกซ้อมแผนบนโต๊ะ (Table top Exercise)
  • การฝึกซ้อมเฉพาะหน้าที่ (Functional Exercise)
  • การฝึกซ้อมเสมือนจริง (Full scale Exercise)
การฝึกซ้อมแผนบนโต๊ะ (Table top Exercise) เป็นการฝึกซ้อมที่มุ่งเน้นการทำความเข้าใจเกี่ยวกับแผน บทบาทหน้าที่ และความร่วมมือต่าง ๆ  โดยใช้การอภิปรายแบบกลุ่มบนสถานะการณ์จำลองที่กำหนดขึ้น โดยผู้บริหาร และผู้ที่มีส่วนเกี่ยวข้อง ข้อดีของการฝึกซ้อมแผนบนโต๊ะคือประหยัด เหมาะสำหรับใช้ในการเตรียมการฝึกซ้อมที่มีความซับซ้อนมากขึ้น

การฝึกซ้อมเฉพาะหน้าที่ (Functional Exercise) เป็นการฝึกซ้อมที่มุ่งเน้นการประเมินความสามารถของบุคลากร การสั่งการ และทรัพยากรที่จำเป็น โดยการจำลองสถานะการเฉพาะจุด หรือเฉพาะบทบาทหน้าที่นั้น ๆ ข้อดีของการฝึกซ้อมการฝึกซ้อมเฉพาะหน้าที่ คือความสมจริงของเหตุการณ์ภายไต้งบประมาณที่จำกัด มักถูกใช้ในการเตรียมความพร้อมรับมือเหตุการณ์ต่าง ๆ เช่น การทดสอบการสื่อสารผ่าน Call tree, การทดสอบ hot site เป็นต้น

การฝึกซ้อมเสมือนจริง (Full scale Exercise) เป็นการฝึกซ้อมที่ซับซ้อนและใช้ทรัพยากรมากที่สุดเนื่องจากต้องมีการเคลื่อนย้ายทรัพยากร และบุคลากรที่เกี่ยวข้องเพื่อให้เกิดความสมจริงในการตอบสนองต่อเหตุการณ์ โดยมุ่งเน้นการปฏิบัติตามแผนงานที่ได้กำหนดไว้ ซึ่งรวมทั้งกระบวนการสั่งการ การสื่อสาร การเคลื่อนย้าย การตั้งค่า การรายงาน ฯลฯ โดยใช้สถานการณ์สมมติ

การที่องค์กรจะเลือกรูปแบบการซ้อมแบบไหนก็ขึ้นอยู่กับบริบท และความพร้อมขององค์กรในการดำเนินการ แต่อย่างน้อยควรจะมีการซ้อมปีละ 1 ครั้ง เพื่อให้มั่นใจว่าเมื่อเกิดเหตุขึ้นแผนนี้จะสามารถรับมือได้ 

Wednesday, April 19, 2023

โรงพยาบาล: สถานที่แห่งความหวัง แฝงความเสี่ยง

โรงพยาบาล เปรียบเสมือนบ้านหลังที่สองสำหรับผู้ป่วย ยามเจ็บป่วยผู้คนต่างมุ่งหน้าไปเพื่อขอรับการรักษาพยาบาล เพื่อบรรเทาความทุกข์ทรมานที่เกิดขึ้น  แต่ว่าภายใต้ภาพลักษณ์ของสถานที่แห่งความหวัง  ยังแฝงไปด้วยความเสี่ยงที่หลายคนอาจมองข้าม ความเสี่ยงที่อาจได้เผชิญในการเข้ารับบริการที่โรงพยาบาลเมื่อลองแบ่งเป็นกลุ่ม อาจแบ่งได้ประมาณนี้ คือ

  1. ความเสี่ยงทางคลินิก เป็นความเสี่ยงที่พบได้บ่อยที่สุด เริ่มตั้งแต่การวินิจฉัยผิดพลาด การรักษาที่ไม่ถูกต้อง การติดเชื้อในโรงพยาบาล ภาวะแทรกซ้อนจากการรักษา การแพ้ยา การพลัดตกหกล้มซึ่งมีสาเหตุทั้งมาจากอาการของโรค เป็นภาวะหลังการได้รับยา หรืออาจจะเป็นอุบัติเหตุ สิ่งเหล่านี้ล้วนเป็นสิ่งที่ผู้ป่วยอาจต้องเผชิญ ถึงแม้โรงพยาบาลจะมีระบบ และมาตรการในการป้องกัน แต่ความผิดพลาดก็อาจเกิดขึ้นได้เสมอ

Wednesday, April 5, 2023

เตรียมพร้อมเอกสารสำหรับ Surveillance Audit ISO27001

เวลาจะตรวจ Surveillance Audit ISO27001 ประจำปีแต่ละที ก็จะกังวลว่าเตรียมเอกสารครบหรือยัง? ลองเช็คไปพร้อมๆ  กัน

ตรวจสอบ

  1. มีการเปลี่ยนแปลงของขอบเขตการบริหารจัดการ? -- Scope of ISMS (Clause 4.3) 
  2. มีการเปลี่ยนแปลงของนโยบาย? -- Information Security Policy (Clause 5.2) 
  3. มีการเปลี่ยนแปลงของกระบวนการประเมินความเสี่ยง และกระบวนการการจัดการความเสี่ยง? -- Information Security Risk Assessment Process (Clause 6.1.2), Information Security Risk Treatment Plan (Clause 6.1.3
  4. มีการเปลี่ยนแปลงของเอกสารการประยุกต์ใช้มาตรการควบคุม? -- Statement of Applicability (Clause 6.1.3)
  5. มีการเปลี่ยนแปลงเป้าหมายด้านความมั่นคงปลอดภัยสารสนเทศ? -- Information Security Objectives (Clause 6.2)
  6. มีการเปลี่ยนเปลงระบบการจัดการความมั่นคงปลอดภัยสารสนเทศ? -- Change Management (Clause 6.3)
  7. มีการเปลี่ยนแปลงของเอกสารอื่น ๆ ที่เกี่ยวข้อง? -- Documented Information Required by the Standard and Deemed Necessary by the Organization (Clause 7.5.1) 
*** ถ้ามีการเปลี่ยนแปลง 1-7 มีการจัดทำ/ทบทวน/แก้ไขเอกสารหรือยัง? ถ้าแก้ไขแล้วจัดเตรียมไว้

เตรียม

  1. ใบประกาศ, แผนการอบรม ผลการอบรม ของพนักงานที่เกี่ยวข้อง -- Evidence of Competences (Clause 7.2)
  2. ผลการประเมินความเสี่ยง -- Results of Information Security Risk Assessments (Clause 8.2)
  3. แผนการจัดการความเสี่ยง และการติดตามผลการจัดการ -- Results of Risk Treatment (Clause 8.3)
  4. ผลการติดตามและวัดผลประสิทธิผลการดำเนินการ (KPI) -- Evidence of Monitoring and Measurement Results (Clause 9.1) 
  5. แผนการตรวจ, ผลการตรวจ, รายงานการตรวจ, CAR, การตอบกลับ CAR, การติดตาม CAR -- Audit Program and Results (Clause 9.2) - Schedule and outcomes of ISMS audits.
  6. ผลลัพธ์ของกระบวนการที่ได้วางแผนไว้ -- Evidence that the Process Has Been Performed as Planned (Clause 8.1)
  7. ผลการทบทวนของผู้บริหาร -- Evidence of Management Reviews (Clause 9.3) 
  8. ผลการดำเนินการกับความไม่สอดคล้อง -- Nonconformities and Actions Taken (Clause 10.2)
หมายเหตุ: เป็นการตรวจสอบเฉพาะตามข้อกำหนด C4-10 ไม่รวมถึงเอกสารที่เกิดจากการประยุกต์ใช้มาตรการควบคุมตาม Annex A

Sunday, November 20, 2022

Clause 10 – Improvement (การปรับปรุง)


10.1 การปรับปรุงอย่างต่อเนื่อง

องค์กรต้องทำการปรับปรุงความเหมาะสม ความเพียงพอ และประสิทธิผลของระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศอย่างต่อเนื่อง


10.2 ความไม่สอดคล้องและการปรับปรุงแก้ไข

เมื่อความไม่สอดคล้องเกิดขึ้น องค์กรต้อง:

  • a) ตอบสนองต่อความไม่สอดคล้อง และตามความเหมาะสม

    1. ดำเนินการเพื่อควบคุมและแก้ไข;
    2. รับมือกับผลกระทบที่ตามมา
  • b) ประเมินความจำเป็นสำหรับดำเนินการการขจัดสาเหตุของความไม่สอดคล้อง เพื่อไม่ให้ความไม่สอดคล้องเกิดขึ้นซ้ำ หรือไม่เกิดขึ้นที่อื่น ๆ โดย

    1. ทบทวนความไม่สอดคล้อง
    2. ระบุสาเหตุของความไม่สอดคล้อง และ
    3. ระบุ ถ้าความไม่สอดคล้องที่คล้ายกันมีอยู่ หรือสามารถมีโอกาสเกิดขึ้นได้

  • c) ดำเนินการปฏิบัติที่จำเป็น
  • d) ทบทวนประสิทธิผลของการปฏิบัติการแก่ไข และ
  • e) ทำการเปลี่ยนแปลงระบบบริหารจัดการความมันคงปลอดภัยสารสนเทศ ถ้าจำเป็นการปฏิบัติการแก้ไขต้องเหมาะสมต่อผลกระทบของความไม่สอดคล้องที่พบ

เอกสารสารสนเทศจะต้องจัดทำเพื่อเป็นหลักฐานแสดง

  • f) ลักษณะของความไม่สอดคล้อง และการปฏิบัติใดๆ ที่ได้ดำเนินการ และ
  • g) ผลลัพธ์ของการปฏิบัติการแก้ไข

 --- 


International Organization for Standardization. (2022). Information security, cybersecurity, and privacy protection – Information security management systems – Requirements (ISO/IEC 27001:2022). https://www.iso.org/standard/82875.html

Saturday, November 19, 2022

Clause 9 – Performance evaluation (การประเมินผลการดำเนินการ)


9.1 การเฝ้าติดตาม ตรวจวัด วิเคราะห์ และประเมินผล

องค์กรต้องกำหนด

  • a) สิ่งที่ต้องได้รับการเฝ้าติดตามและดรวจวัด ซึ่งรวมถึงกระบวนการและมาตรการควบคุมด้านความมั่นคงปลอดภัยสารสนเทศ
  • b) วิธีการสำหรับการเฝ้าติดตาม ตรวจวัด วิเคราะห์ การประเมินผลที่เหมาะสม เพื่อให้มั่นใจว่าผลที่ได้ถูกต้อง วิธีการที่เลือกใช้ควรให้ผลลัพธ์ที่ถูกต้องที่สามารถเปรียบเทียบได้ และทำซ้ำได้
  • c) เมื่อไรที่ต้องเฝ้าติดตามและวัดผล
  • d) ใครต้องเฝ้าติดตามและวัดผล
  • e) เมื่อไรที่ผลที่ได้จากการเฝ้าติดตามและวัดผลต้องนำมาวิเคราะห์และประเมินผล และ
  • f) ใครต้องวิเคราะห์และประเมินผลดังกล่าว

เอกสารสารสนเทศจะต้องจัดทำเพื่อเป็นหลักฐานแสดงผลลัพธ์

องค์กรต้องประเมินประสิทธิภาพด้านความมั่นคงปลอดภัยสารสนเทศและประสิทธิภาพของระบบการจัดการด้านความมั่นคงปลอดภัยสารสนเทศ


9.2 การตรวจประเมินภายใน

9.2.1 ทั่วไป

องค์กรต้องดำเนินการตรวจประเมินภายในตามรอบระยะเวลาที่กำหนด เพื่อให้ข้อมูลที่แสดงว่าระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ:

a) สอดคล้องกับ

  1. ข้อกำหนดขององค์กรเอง สำหรับระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ;
  2. ข้อกำหนดของเอกสารฉบับนี้;

b) ได้นำไปปฏิบัติและรักษาให้คงไว้อย่างมีประสิทธิผล


9.2.2 โปรแกรมตรวจสอบภายใน

องค์กรต้องวางแผน จัดตั้ง นำไปปฏิบัติ และรักษาให้คงไว้ของโปรแกรมการตรวจประเมิน (Audit Programme) ซึ่งรวมถึงความถี่ วิธีการ หน้าที่ความรับผิดชอบ ข้อกำหนดของการวางแผน และการรายงาน

เมื่อจัดตั้งโปรแกรมการตรวจประเมินภายใน องค์กรต้องพิจารณาถึงความสำคัญของกระบวนการที่เกี่ยวข้องและผลการตรวจประเมินครั้งก่อน

องค์กรต้อง

  • a) กำหนดเกณฑ์การตรวจประเมิน และขอบเขตสำหรับการตรวจประเมินแต่ละครั้ง
  • b) คัดเลือกผู้ตรวจประเมินและดำเนินการตรวจประเมิน เพื่อให้มันใจได้ถึงความเป็นกลาง และความเป็นธรรมของกระบวนการตรวจประเมิน
  • c) มั่นใจว่าผลที่ได้จากการตรวจประเมินได้นำไปรายงานต่อผู้บริหารที่เกี่ยวข้อง;

เอกสารสารสนเทศจะต้องจัดทำเพื่อเป็นหลักฐานของการดำเนินการตามโปรแกรมการตรวจประเมินและผลการตรวจประเมิน


9.3 การทบทวนของฝ่ายบริหาร

9.3.1 ทั่วไป

ผู้บริหารระดับสูงต้องทบทวนระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศขององค์กรตามรอบระยะเวลาที่กำหนด เพื่อให้มันใจถึงความเหมาะสม เพียงพอ และประสิทธิผล ของระบบ


9.3.2 สิ่งที่ผู้บริหารต้องพิจารณาทบทวน

การทบทวนของฝ่ายบริหาร ต้องรวมถึงการพิจารณา

  • a) สถานะของการดำเนินงานจากการทบทวนของฝ่ายบริหารครั้งก่อน;
  • b) การเปลี่ยนแปลงของประเด็นภายในและภายนอกที่เกี่ยวข้องกับระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ;
  • c) การเปลี่ยนแปลงความต้องการและความคาดหวังของผู้มีส่วนได้ส่วนเสียที่เกี่ยวข้องกับระบบการจัดการความมั่นคงปลอดภัยสารสนเทศ;
  • d) ผลตอบกลับจากประสิทธิภาพของความมั่นคงปลอดภัยสารสนเทศ รวมถึงแนวโน้ม;
         1) ความไม่สอดคล้อง และการดำเนินการแก้ไข;
         2) ผลลัพธ์ของการเฝ้าติดตามและวัดผล;
         3) ผลลัพธ์จากการตรวจประเมิน;
         4) ความสำเร็จของวัตถุประสงค์ความมั่นคงปลอดภัยสารสนเทศ;
  • e) ผลตอบกลับจากผู้มีส่วนได้ส่วนเสีย;
  • f) ผลลัพธ์จากการประเมินความเสี่ยง และสถานะของแผนการจัดการความเสี่ยง;
  • g) โอกาสสำหรับการปรับปรุงพัฒนาอย่างต่อเนื่อง


9.3.3 ผลการทบทวนของฝ่ายบริหาร

ผลลัพธ์การทบทวนของฝ่ายบริหาร ต้องรวมถึง การตัดสินใจที่เกี่ยวกับการปรับปรุงพัฒนาอย่างต่อเนื่อง และความจำเป็นใด ๆ เพื่อการเปลี่ยนแปลงต่อระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ

เอกสารสารสนเทศจะต้องจัดทำเพื่อเป็นหลักฐานแสดงผลลัพธ์การทบทวนของฝ่ายบริหาร



 --- 


International Organization for Standardization. (2022). Information security, cybersecurity, and privacy protection – Information security management systems – Requirements (ISO/IEC 27001:2022). https://www.iso.org/standard/82875.html

Clause 8 – Operation (การดำเนินการ)


8.1 การวางแผนปฏิบัติการและควบคุม

องค์กรต้องวางแผน นำไปปฏิบัติ และควบคุมกระบวนการที่จำเป็นเพื่อให้เป็นไปตามข้อกำหนด และปฏิบัติตามสิ่งที่กำหนดไว้ในข้อกำหนด 6 โดย:

  • จัดทำหลักเกณฑ์ส่าหรับกระบวนการ
  • ดำเนินการควบคุมกระบวนการตามหลักเกณฑ์ที่กำหนดไว้

เอกสารสารสนเทศจะต้องจัดเก็บไว้ตามปริมาณเท่าที่จำเป็นเพื่อให้มั่นใจว่ากระบวนการได้ดำเนินการตามแผนที่วางไว้

องค์กรต้องควบคุมการเปลี่ยนแปลงตามแผนที่ได้วางไว้ และทบทวนผลที่ตามมาของการเปลี่ยนแปลงที่ไม่ได้ตั้งใจ เพื่อดำเนินการลดผลกระทบด้านลบใด ๆ ตามความจำเป็น

องค์กรต้องมันใจว่ามีการควบคุมกระบวนการ ผลิตภัณฑ์ หรือบริการจากภายนอกที่เกี่ยวข้องกับระบบการจัดการความมั่นคงปลอดภัยสารสนเทศ


8.2 การประเมินความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ

องค์กรต้องทำการประเมินความเสียงด้านความมั่นคงปลอดภัยสารสนเทศตามช่วงเวลาที่ได้วางแผนไว้ หรือเมื่อการเปลี่ยนแปลงที่มีนัยสำคัญถูกเสนอให้พิจารณาหรือมีเกิดขึ้น โดยพิจารณาตามเกณฑ์ที่จัดทำขึ้นในในข้อกำหนด 6.1.2 a)

องค์กรต้องเก็บรักษาเอกสารสนเทศ ที่เป็นผลลัพธ์ของการประเมินความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ


8.3 การจัดการความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ

  • องค์กรต้องปฏิบัติตามแผนการจัดการความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ
  • องค์กรต้องเก็บรักษาเอกสารสนเทศ ที่เป็นผลลัพธ์ของการจัดการความเสียงด้านความมันคงปลอดภัยสารสนเทศ


--- 

International Organization for Standardization. (2022). Information security, cybersecurity, and privacy protection – Information security management systems – Requirements (ISO/IEC 27001:2022). https://www.iso.org/standard/82875.html

Clause 7 – Support (การสนับสนุน)

7.1 ทรัพยากร

องค์กรต้องกำหนด และจัดหาทรัพยากรที่จำเป็นในการจัดทำ การนำไปปฏิบัติ การรักษาให้คงไว้ และการปรับปรุงพัฒนาอย่างต่อเนื่อง ของระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ


7.2 ความสามารถ


องค์กรต้อง

  • a) กำหนดความสามารถที่จำเป็นของบุคลากรที่ปฏิบัติงานอยู่ภายใต้การควบคุมขององค์กรซึ่งส่งผลต่อประสิทธิภาพด้านความมันคงปลอดภัยสารสนเทศ
  • b) ทำให้มั่นใจว่าบุคลากรดังกล่าวมีความสามารถจากพื้นฐานทางการศึกษา การฝึกอบรมหรือประสบการณ์ทำงานที่เหมาะสม
  • c) ถ้าเหมาะสม ดำเนินการเพื่อให้ได้มาซึ่งความสามารถที่จำเป็นนั้น และประเมินประสิทธิผลของการดำเนินการ และ
  • d) เก็บรักษาเอกสารสนเทศ เพื่อเป็นหลักฐานแสดงความสามารถ
หมายเหตุ การดำเนินการที่เหมาะสม อาจรวมถึง ตัวอย่างเช่น การจัดฝึกอบรม การมีพี่เลี้ยง หรือการมอบหมายงานใหม่ให้แก่พนักงานปัจจุบัน หรือ การว่าจ้างงาน หรือทำสัญญาจ้าง ผู้ที่มีความสามารถ


7.3 ความตระหนักรู้


บุคลากรที่ปฏิบัติงานภายใต้การควบคุมขององค์กร ต้องตระหนักถึง:

  • a) นโยบายความมั่นคงปลอดภัยสารสนเทศ;
  • b) การมีส่วนร่วมต่อประสิทธิผลของระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศรวมถึงประโยชน์ที่ได้จากการปรับปรุงประสิทธิผลของระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ; และ
  • c) ผลกระทบที่อาจตามมาของความไม่สอดคล้องกับข้อกำหนดของระบบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ

7.4 การสื่อสาร


องค์กรต้องกำหนดความจำเป็นของการสื่อสารที่เกี่ยวข้องกับระบบบริหารจัดการความมันคงปลอดภัยสารสนเทศ ทั้งภายในและภายนอกองค์กร รวมถึง:

  • a) สิ่งที่ต้องการสื่อสาร;
  • b) เมื่อไรที่จะสื่อสาร;
  • c) สื่อสารถึงใคร;
  • d) วิธีการสื่อสาร;

7.5 เอกสารสารสนเทศ


7.5.1 ทั่วไป


ระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศขององค์กร ต้องรวมถึง

  • a) เอกสารสารสนเทศที่กำหนดโดยเอกสารฉบับนี้ และ
  • b) เอกสารสารสนเทศที่กำหนดโดยองค์กรว่าเป็นสิ่งที่จำเป็นต่อประสิทธิผลของระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ

หมายเหตุ ขอบเขตของเอกสารสารสนเทศที่มีการบันทึกสำหรับระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศสามารถแตกต่างกันตามแต่ละองค์กร เนื่องจาก
  • 1) ขนาดขององค์กร และประเภทของกิจกรรม กระบวนการ ผลิตภัณฑ์ และบริการ
  • 2) ความซับซ้อนของกระบวนการ และปฏิสัมพันธ์ของกระบวนการเหล่านั้น และ
  • 3) ความสามารถของบุคลากร

7.5.2 การจัดทำและการปรับปรุง

เมื่อจัดทำและปรับปรุงเอกสารสนเทศ องค์กรต้องมันใจว่ามีความเหมาะสมของ:

  • a) การชี้บ่งและคำอธิบาย (เช่น ชื่อเอกสาร วันที่ ผู้จัดทำ หรือเลขที่อ้างอิง);
  • b) รูปแบบ (เช่น ภาษาที่ใช้ เวอร์ชันของซอฟต์แวร์ กราฟิก) และสื่อบันทึก (เช่น กระดาษ, อิเล็กทรอนิกส์); และ
  • c) การทบทวนและการอนุมัติอย่างเหมาะสม และเพียงพอ

7.5.3 การควบคุมเอกสารสารสนเทศ

เอกสารสารสนเทศที่กำหนดขึ้นโดยระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ และตามเอกสารฉบับนี้ ต้องถูกควบคุม เพื่อให้มั่นใจว่า:

  • a) พร้อมใช้ และเหมาะสมต่อการนำไปใช้ ในสถานที่ และในเวลาที่จำเป็นต้องใช้ และ
  • b) ได้รับการปกป้องอย่างเพียงพอ (เช่น จากการสูญเสียความลับ การใช้งานที่ไม่เหมาะสม หรือการสูญเสียความถูกต้องสมบูรณ์)

สำหรับการควบคุมเอกสารสารสนเทศ องค์กรต้องจัดการ ดังต่อไปนี้ ตามความเหมาะสม
  • c) การแจกจ่าย การเข้าถึง การเรียกคืน และการนำไปใช้
  • d) การจัดเก็บ และการเก็บรักษา รวมถึง การคงไว้ให้สามารถอ่านออกได้
  • e) การควบคุมการเปลี่ยนแปลง (เช่น การควบคุมเวอร์ชัน) และ
  • f) การเก็บรักษา และการทำลาย
เอกสารสารสนเทศที่มาจากแหล่งภายนอก ที่กำหนดโดยองค์กรว่าเป็นสิ่งที่จำเป็นต่อการวางแผนและการดำเนินงานของระบบบริหารจัดการความมันคงปลอดภัยสารสนเทศ ต้องได้รับการชี้บ่งตามความเหมาะสม และได้รับการควบคุม

หมายเหตุ การเข้าถึงสามารถรวมถึง การตัดสินใจเกี่ยวกับการได้รับอนุญาตให้เรียกดูข้อมูลเอกสารเท่านั้น หรือการได้รับอนุญาตและให้อำนาจในการเรียกดูและเปลี่ยนแปลงข้อมูล เป็นต้น




--- 

International Organization for Standardization. (2022). Information security, cybersecurity, and privacy protection – Information security management systems – Requirements (ISO/IEC 27001:2022). https://www.iso.org/standard/82875.html

Thursday, November 17, 2022

หน้าที่ของ Top Management หรือ ผู้บริหารระดับสูง

Top Management หรือ ผู้บริหารระดับสูง อาจจะเป็นคนหรือกลุ่มบุคคลที่มีบทบาทในการสั่งการและควบคุมองค์กรในระดับสูงสุด เปรียบเสมือนหัวใจสำคัญขององค์กร ทำหน้าที่ กำหนดทิศทางและกลยุทธ์ เพื่อนำพาองค์กรไปสู่เป้าหมาย โดยมีหน้าที่หลักดังนี้

  1. เป็นผู้กำหนดนโยบายและนโยบายต่างๆ ขององค์กร ครอบคลุมทั้งด้านกลยุทธ์ การเงิน การตลาด การผลิต ทรัพยากรบุคคล ฯลฯ โดยคำนึงถึงปัจจัยภายในและภายนอกองค์กร วิเคราะห์โอกาสและความเสี่ยง กำหนดเป้าหมายและแผนการดำเนินงาน
  2. สื่อสารนโยบายและทิศทางให้ชัดเจนแก่พนักงานทุกระดับ เพื่อสร้างความเข้าใจร่วม กระตุ้นให้เกิดการมีส่วนร่วม และทำงานไปในทิศทางเดียวกัน
  3. จัดสรรทรัพยากรต่างๆ ขององค์กร เช่น เงินทุน บุคลากร อุปกรณ์ เทคโนโลยี ฯลฯ  ให้เพียงพอต่อความต้องการเพื่อบรรลุเป้าหมายที่กำหนดไว้
  4. กำกับ ควบคุมดูแล และติดตามการดำเนินงานขององค์กร ติดตามผลลัพธ์ วิเคราะห์ปัญหาและอุปสรรค์หาแนวทางแก้ไข ปรับปรุงพัฒนาองค์กรอย่างต่อเนื่อง
  5. ตัดสินใจในเรื่องสำคัญๆ ขององค์กรโดยใช้วิจารณญาณ ความรู้ ประสบการณ์ วิเคราะห์ข้อมูลโดยคำนึงถึงผลประโยชน์ขององค์กรและผู้เกี่ยวข้อง
  6. เป็นผู้นำองค์กร สร้างแรงบันดาลใจปลูกฝังวัฒนธรรมองค์กรที่ดี ส่งเสริมให้พนักงานทำงานอย่างมีประสิทธิภาพ
  7. สร้างความสัมพันธ์กับผู้เกี่ยวข้องทั้งภายในและภายนอกองค์กร เช่น ลูกค้า คู่ค้า นักลงทุน หน่วยงานภาครัฐ ฯลฯ เพื่อบรรลุเป้าหมายที่กำหนดไว้
  8. รับผิดชอบต่อผลการดำเนินงานและผลประกอบการขององค์กร รวมถึงการปฏิบัติตามกฎหมาย ระเบียบ และมาตรฐานต่างๆ