Document Action Request Form | DAR -- (แบบคำร้องขอให้ดำเนินการเกี่ยวกับเอกสารควบคุม)

 

สนใจนำไปประยุกต์ใช้ในหน่วยงาน > https://docs.google.com/document/d/1azwXuAdg5EoBCyCT1-OfiD8zYk1GEyNDwc7HEJ78hBk/edit?usp=sharing

SWOT Analysis Template

สนใจนำไปประยุกต์ใช้ในองค์กร > https://docs.google.com/presentation/d/1VyI6d8BbCbdXCteA5HZw25MzOAiUGQeCokZrZOd9-nA/edit?usp=sharing

โรงพยาบาล: สถานที่แห่งความหวัง แฝงความเสี่ยง

โรงพยาบาล เปรียบเสมือนบ้านหลังที่สองสำหรับผู้ป่วย ยามเจ็บป่วยผู้คนต่างมุ่งหน้าไปเพื่อขอรับการรักษาพยาบาล เพื่อบรรเทาความทุกข์ทรมานที่เกิดขึ้น  แต่ว่าภายใต้ภาพลักษณ์ของสถานที่แห่งความหวัง  ยังแฝงไปด้วยความเสี่ยงที่หลายคนอาจมองข้าม ความเสี่ยงที่อาจได้เผชิญในการเข้ารับบริการที่โรงพยาบาลเมื่อลองแบ่งเป็นกลุ่ม อาจแบ่งได้ประมาณนี้ คือ

1. ความเสี่ยงทางคลินิก เป็นความเสี่ยงที่พบได้บ่อยที่สุด เริ่มตั้งแต่การวินิจฉัยผิดพลาด การรักษาที่ไม่ถูกต้อง การติดเชื้อในโรงพยาบาล ภาวะแทรกซ้อนจากการรักษา การแพ้ยา การพลัดตกหกล้มซึ่งมีสาเหตุทั้งมาจากอาการของโรค เป็นภาวะหลังการได้รับยา หรืออาจจะเป็นอุบัติเหตุ สิ่งเหล่านี้ล้วนเป็นสิ่งที่ผู้ป่วยอาจต้องเผชิญ ถึงแม้โรงพยาบาลจะมีระบบ และมาตรการในการป้องกัน แต่ความผิดพลาดก็อาจเกิดขึ้นได้เสมอ

เตรียมพร้อมเอกสารสำหรับ Surveillance Audit ISO27001

เวลาจะตรวจ Surveillance Audit ISO27001 ประจำปีแต่ละที ก็จะกังวลว่าเตรียมเอกสารครบหรือยัง? ลองเช็คไปพร้อมๆ  กัน

ตรวจสอบ

1. มีการเปลี่ยนแปลงของขอบเขตการบริหารจัดการ? -- Scope of ISMS (Clause 4.3) 
2. มีการเปลี่ยนแปลงของนโยบาย? -- Information Security Policy (Clause 5.2) 
3. มีการเปลี่ยนแปลงของกระบวนการประเมินความเสี่ยง และกระบวนการการจัดการความเสี่ยง? -- Information Security Risk Assessment Process (Clause 6.1.2), Information Security Risk Treatment Plan (Clause 6.1.3
4. มีการเปลี่ยนแปลงของเอกสารการประยุกต์ใช้มาตรการควบคุม? -- Statement of Applicability (Clause 6.1.3)
5. มีการเปลี่ยนแปลงเป้าหมายด้านความมั่นคงปลอดภัยสารสนเทศ? -- Information Security Objectives (Clause 6.2)
6. มีการเปลี่ยนเปลงระบบการจัดการความมั่นคงปลอดภัยสารสนเทศ? -- Change Management (Clause 6.3)
7. มีการเปลี่ยนแปลงของเอกสารอื่น ๆ ที่เกี่ยวข้อง? -- Documented Information Required by the Standard and Deemed Necessary by the Organization (Clause 7.5.1) 

*** ถ้ามีการเปลี่ยนแปลง 1-7 มีการจัดทำ/ทบทวน/แก้ไขเอกสารหรือยัง? ถ้าแก้ไขแล้วจัดเตรียมไว้

เตรียม

1. ใบประกาศ, แผนการอบรม ผลการอบรม ของพนักงานที่เกี่ยวข้อง -- Evidence of Competences (Clause 7.2)
2. ผลการประเมินความเสี่ยง -- Results of Information Security Risk Assessments (Clause 8.2)
3. แผนการจัดการความเสี่ยง และการติดตามผลการจัดการ -- Results of Risk Treatment (Clause 8.3)
4. ผลการติดตามและวัดผลประสิทธิผลการดำเนินการ (KPI) -- Evidence of Monitoring and Measurement Results (Clause 9.1) 
5. แผนการตรวจ, ผลการตรวจ, รายงานการตรวจ, CAR, การตอบกลับ CAR, การติดตาม CAR -- Audit Program and Results (Clause 9.2) - Schedule and outcomes of ISMS audits.
6. ผลลัพธ์ของกระบวนการที่ได้วางแผนไว้ -- Evidence that the Process Has Been Performed as Planned (Clause 8.1)
7. ผลการทบทวนของผู้บริหาร -- Evidence of Management Reviews (Clause 9.3) 
8. ผลการดำเนินการกับความไม่สอดคล้อง -- Nonconformities and Actions Taken (Clause 10.2)

หมายเหตุ: เป็นการตรวจสอบเฉพาะตามข้อกำหนด C4-10 ไม่รวมถึงเอกสารที่เกิดจากการประยุกต์ใช้มาตรการควบคุมตาม Annex A

หน้าที่ของ Top Management หรือ ผู้บริหารระดับสูง

Top Management หรือ ผู้บริหารระดับสูง อาจจะเป็นคนหรือกลุ่มบุคคลที่มีบทบาทในการสั่งการและควบคุมองค์กรในระดับสูงสุด เปรียบเสมือนหัวใจสำคัญขององค์กร ทำหน้าที่ กำหนดทิศทางและกลยุทธ์ เพื่อนำพาองค์กรไปสู่เป้าหมาย โดยมีหน้าที่หลักดังนี้

1. เป็นผู้กำหนดนโยบายและนโยบายต่างๆ ขององค์กร ครอบคลุมทั้งด้านกลยุทธ์ การเงิน การตลาด การผลิต ทรัพยากรบุคคล ฯลฯ โดยคำนึงถึงปัจจัยภายในและภายนอกองค์กร วิเคราะห์โอกาสและความเสี่ยง กำหนดเป้าหมายและแผนการดำเนินงาน
2. สื่อสารนโยบายและทิศทางให้ชัดเจนแก่พนักงานทุกระดับ เพื่อสร้างความเข้าใจร่วม กระตุ้นให้เกิดการมีส่วนร่วม และทำงานไปในทิศทางเดียวกัน
3. จัดสรรทรัพยากรต่างๆ ขององค์กร เช่น เงินทุน บุคลากร อุปกรณ์ เทคโนโลยี ฯลฯ  ให้เพียงพอต่อความต้องการเพื่อบรรลุเป้าหมายที่กำหนดไว้
4. กำกับ ควบคุมดูแล และติดตามการดำเนินงานขององค์กร ติดตามผลลัพธ์ วิเคราะห์ปัญหาและอุปสรรค์หาแนวทางแก้ไข ปรับปรุงพัฒนาองค์กรอย่างต่อเนื่อง
5. ตัดสินใจในเรื่องสำคัญๆ ขององค์กรโดยใช้วิจารณญาณ ความรู้ ประสบการณ์ วิเคราะห์ข้อมูลโดยคำนึงถึงผลประโยชน์ขององค์กรและผู้เกี่ยวข้อง
6. เป็นผู้นำองค์กร สร้างแรงบันดาลใจปลูกฝังวัฒนธรรมองค์กรที่ดี ส่งเสริมให้พนักงานทำงานอย่างมีประสิทธิภาพ
7. สร้างความสัมพันธ์กับผู้เกี่ยวข้องทั้งภายในและภายนอกองค์กร เช่น ลูกค้า คู่ค้า นักลงทุน หน่วยงานภาครัฐ ฯลฯ เพื่อบรรลุเป้าหมายที่กำหนดไว้
8. รับผิดชอบต่อผลการดำเนินงานและผลประกอบการขององค์กร รวมถึงการปฏิบัติตามกฎหมาย ระเบียบ และมาตรฐานต่างๆ

Clause 5 – Leadership (ผู้นำ)

 

ผู้นำมีบทบาทหน้าที่สำคัญมากในระบบบริหารจัดการ เชื่อได้ว่าหากผู้นำไม่สนับสนุน หรือเห็นความสำคัญไม่มีทางที่ระบบการจัดการจะมีประสิทธิภาพ มาตรฐาน ISO/IEC27001:2022 ได้กำหนดบทบาทหน้าที่ของผู้นำองค์กรไว้ 3 ข้อ คือข้อที่ 5.1-5.3

ข้อที่ 5.1 ภาวะผู้นำและความมุ่งมั่น อย่างที่ได้พูดไว้แล้วข้างต้นว่าการทำระบบไม่มีทางสำเร็จถ้าผู้นำไม่เห็นด้วยและสนับสนุน ดังนั้นข้อนี้จึงเน้นที่การแสดงออกของภาวะผู้นำที่จะต้องแสดงให้เห็นถึงความเป็นผู้นำ และความมุ่งมั่นที่จะดำเนินการ เช่น ทำให้มั่นใจว่านโยายและวัตถุประสงค์ด้านความมั่นคงปลอดภัยสารสนเทศ ได้ถูกดำเนินการ และสอดคล้องกับทิศทางขององค์กร, ทำให้มั่นใจว่าข้อกำหนดตามมาตรฐานนี้ได้ถูกนำไปประยุกต์ใช้ในกระบวนการต่าง ๆ ขององค์กร, สนับสนุนทรัพยากรที่จำเป็น เป็นต้น

ไปต่อที่ข้อ 5.2 กำหนดให้ผู้บริหารระดับสูงต้องกำหนดนโยบายความมั่นคงปลอดภัยสารสนเทศ โดยนโยบายนั้นควรต้องเหมาะสมต่อวัตถุประสงค์ขององค์กร มีการกำหนวัตถุประสงค์ด้านความมั่นคงปลอดภัยสารสนเทศ และแสดงให้เห็นถึงความมุ่งมั่นที่จะปฏิบัติตามข้อกำหนดที่เกี่ยวข้องกับความมั่นคงปลอดภัยสารสนเทศ ตลอดจนความมุ่งมั่นที่จะพัฒนาระบบการจัดการอย่างต่อเนื่อง ในข้อกำหนดนี้กำหนดให้นโยบายจะต้องจัดทำเป็นเอกสารสารสนเทศ และสื่อสารให้กับผู้ที่เกี่ยวข้องในองค์กร และมีไว้ให้ผู้มีส่วนได้เสียตามความเหมาะสม

ข้อสุดท้าย ข้อที่ 5.3 กำหนดให้ผู้บริหารระดับสูงต้องมอบหมายบทบาทหน้าที่, ความรับผิดชอบ และอำนาจหน้าที่ ที่เกี่ยวข้องกับความมั่นคงปลอดภัยสารสนเทศ และสื่อสารกับผู้ที่เกี่ยวข้อง ในการมอบหมายความรับผิดชอบ และอำนาจหน้าที่ก็เพื่อให้มั่นใจว่าระบบการจัดการเป็นไปตามข้อกำหนด และให้มีการรายงานผลการดำเนินการไปยังผู้บริหารระดับสูง

Clause 6 – Planning (การวางแผน)

หัวข้อนี้อธิบายได้นะแต่พอต้องมาเขียนเป็นภาษาเขียนแล้วรู้สึกติด จะเขียนเสร็จไหม เขียนเสร็จแล้วจะอ่านรู้เรื่องใหม? เพราะหัวข้อนี้ใหญ่มากเขียนแบบสรุป ๆ เฉพาะสิ่งที่ต้องดำเนินการหลัก ๆ ก็แล้วกันนะ เพราะถ้าลงรายละเอียดไม่น่าจะจบ

ข้อกำหนดที่ 6 ตามมาตรฐาน ISO/IEC27001:2022  แบ่งออกเป็น 2 หัวข้อ คือ

ข้อกำหนดที่ 6.1  การดำเนินการเพื่อจัดการกับความเสี่ยงและโอกาส แบ่งออกเป็นหัวข้อย่อย 3 หัวข้อ 

ในหัวข้อที่ 6.1.1 สิ่งที่ต้องดำเนินการคือจัดทำแผนในการดำเนินการเพื่อจัดการกับความเสี่ยงและโอกาส ในการวางแผนการดำเนินการจะต้องพิจารณาถึงประเด็นที่มีการวิเคราะห์ตามข้อกำหนดที่ 4.1 และ 4.2 ด้วย

หัวข้อที่ 6.1.2 องค์กรจะต้องกำหนดเกณฑ์ในการประเมินความเสี่ยง และเกณฑ์การยอมรับความเสี่ยง มีกระบวนการในการระบุความเสี่ยง วิเคราะห์ความเสี่ยง และประเมินความเสี่ยง 

และ 6.1.3 หัวข้อสุดท้าย กำหนดให้องค์กรจัดทำกระบวนการจัดการความเสี่ยง โดยเลือกมาตรการควบคุมความเสี่ยงที่เหมาะสม จากนั้นเทียบมาตรการควบคุมกับ Annex A ของมาตรฐาน ISO27001:2022 และจัดทำเอกสารแสดงการประยุกต์ใช้มาตรการควบคุม (Statement of Applicability: SOA)

ข้อกำหนดที่ 6.2 วัตถุประสงค์ความมั่นคงปลอดภัยสารสนเทศ

กำหนดให้องค์กรต้องกำหนดวัตถุประสงค์ด้านความมั่นคงปลอดภัยสารสนเทศ โดยวัตถุประสงค์นั้นต้องสอดคล้องกับนโยบายฯที่จัดทำขึ้น, ต้องวัดผลได้ มีการสื่อสารไปยังผู้ที่เกี่ยวข้อง และมีการติดตามผล เป็นต้น โดยจะต้องจัดทำเป็นเอกสารสารสนเทศ 

นอกจากจะกำหนดวัตถุประสงค์ฯแล้ว องค์กรจะต้องวางแผนการดำเนินการเพื่อให้บรรลุวัตถุประสงค์ดังกล่าว โดยจะต้องกำหนดกิจกรรม ทรัพยากรที่ต้องการ ผู้รับผิดชอบ ระยะเวลาแล้วเสร็จ และวิธีการประเมินผล

ISO/IEC 27001:2022 มาตรฐานระบบบริหารความมั่นคงปลอดภัยสารสนเทศ ความมั่นคงปลอดภัยไซเบอร์ และการปกป้องความเป็นส่วนตัว

ISO/IEC 27001:2013 เป็นมาตรฐานสากล ด้านระบบบริหารความมั่นคงปลอดภัยสารสนเทศ ความมั่นคงปลอดภัยไซเบอร์ และการปกป้องความเป็นส่วนตัว ขององค์กรระหว่างประเทศว่าด้วยการมาตรฐาน (International Organization for Standardization - ISO) ประกาศใช้อย่างเป็นทางการครั้งแรกเมื่อปี ค2005 ปัจจุบันเป็นฉบับปี 2022 มีข้อกำหนดเพื่อให้องค์กรนำไปประยุกต์ใช้เป็นกรอบมาตรฐานในการรักษาความมั่นคงปลอดภัยสารสนเทศ ความมั่นคงปลอดภัยไซเบอร์ และการปกป้องความเป็นส่วนตัว เป็นระบบบริหารที่มีความยืดหยุ่น สามารถนำไปประยุกต์ใช้ได้กับองค์กรที่มีความหลากหลาย โดยใช้หลักการ PDCA (Plan - Do - Check - Act) เป็นรูปแบบการดำเนินการเช่นเดียวกับมาตรฐาน ISO อื่น ๆ เช่น ISO9001, ISO14001, ISO22301, ISO45001, ISO5001 เป็นต้น ข้อกำหนดในมาตรฐานระบบบริหารความมั่นคงปลอดภัยสารสนเทศ ISO27001:2022 มีทั้งหมด 10 ข้อ แบ่งออกเป็น 2 ส่วน คือ 1. บทนำ (Clause 1-3) และ 2. ข้อกำหนด (Clause 4-10) ดังภาพ ทั้งนี้หากองค์กรต้องการขอการรับรองมาตรฐาน จากหน่วยงานที่ให้การรับรอง (Certify body) จะต้องดำเนินการตามข้อกำหนดที่ 4-10 โดยไม่สามารถยกเว้นได้ 

ข้อกำหนดตามมาตรฐาน ISO/IEC27001:2022 (10 ข้อ)

1. Scope -- ขอบข่ายของมาตรฐาน
2. Normative reference -- การอ้างอิง 
3. Terms and definitions -- คำศัพท์ และความหมาย
   ^^^ 1-3 ไม่ต้องสนใจมาก ^^^
4. Context of Organization -- บริบทองค์กร
5. Leadership -- ผู้นำ
6. Plan -- การวางแผน
7. Support -- การสนับสนุน
8. Operation -- การดำเนินการ
9. Performance evaluation -- การประเมินผล
10. Improvement -- การพัฒนาปรับปรุง

นอกจากนี้ในมาตรฐาน ISO/IEC27001 ยังมีการกำหนดมาตรการควบคุมไว้ใน Annex A ของมาตรฐาน แบ่งออกเป็น 4 กลุ่ม จำนวนทั้งสิ้น 93 ข้อ เพื่อให้องค์กรเลือกนำไปประยุกต์ใช้ในการควบคุมความเสี่ยงที่เกี่ยวข้อง ซึ่งประกอบด้วย Security control ที่กำหนดขึ้นมาใหม่จำนวน 11 ข้อ

Clause 4 – Context of the organization (บริบทองค์กร)

 

มาตรฐาน ISO27001:2022 มีข้อกำหนดทั้งหมด 10 ข้อ สำหรับบล็อกนี้จะเป็นเรื่องของข้อกำหนดที่ 4 ซึ่งเกี่ยวข้องกับบริบทขององค์กร โดยจะแบ่งออกเป็น 4 หัวข้อย่อย 4.1-4.4 สำหรับมาตรฐานไปหาอ่านเอง หรือดูจากรูป แต่จะสรุปความต้องการในแต่ละข้อประมาณนี้

4.1 การทำความเข้าใจองค์กร และบริบทขององค์กร ในข้อนี้ได้กำหนดให้องค์กรต้องศึกษาประเด็นภายใน และประเด็นภายนอกที่เกี่ยวข้อง/ส่งผลต่อการบรรลุวัตถุประสงค์ หรือส่งผลต่อความสามารถในการดำเนินการ/การบรรลุผลลัพธ์ของระบบการจัดการความมั่นคงปลอดภัยสารสนเทศ 

การดำเนินการให้เป็นไปตามข้อกำหนดข้อนี้ที่นิยมกันก็จะใช้เครื่องมือ SWOT Analysis และ PESTEL แต่ในมาตรฐานไม่ได้กำหนดว่าจะต้องเป็นวิธีไหน องค์กรอาจจะเลือกวิธีอื่น ๆ ที่เหมาะสมตามบริบทขององค์กรก็ได้

4.2 กำหนดให้องค์กรต้องทำความเข้าใจความต้องการและความคาดหวังของผู้มีส่วนได้ส่วนเสีย ในการดำเนินการเพื่อให้เป็นไปตามข้อกำหนดนี้องค์กรต้องกำหนดว่าใครเป็นผู้มีส่วนได้เสียที่เกี่ยวข้อง และศึกษาความต้องการและความคาดหวังของผู้มีส่วนได้เสียที่กำหนดไว้ 

สิ่งที่ลืมไม่ได้สำหรับการวิเคราะห์ในข้อนี้คือ การศึกษากฎหมายที่เกี่ยวข้อง เช่น พรบ.ความมั่นคงปลอดภัยไซเบอร์, พรบ.คุ้มครองข้อมูลส่วนบุคคล, พรบ.คอมพิวเตอร์ ฯลฯ ระเบียบข้อบังคับ ตลอดจนสัญญา และข้อผู้พันธ์ตามสัญญากับผู้ให้หรือผู้รับบริการที่เกี่ยวข้องกับองค์กร

4.3 เมื่อทำการศึกษาเพื่อเข้าใจองค์กร, บริบทขององค์กร และความคาดหวังของผู้มีส่วนได้เสียแล้ว ก็นำข้อมูลที่ได้มากำหนดขอบเขตของระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ 

ข้อกำหนดที่ 4.3 เป็นข้อกำหนดเดียวในข้อกำหนดที่ 4 ที่กำหนดให้จัดทำเป็นเอกสารสารสนเทศ ข้อกำหนดอื่นไม่ได้กำหนดให้จัดทำ ดังนั้นองค์กรไม่จำเป็นต้องทำเป็นเอกสารก็ได้ แต่ในการตรวจประเมินองค์กรต้องสามารถแสดงให้เห็นได้ว่ามีการวิเคราะห์/ประเมินตามข้อ 4.1-4.2

4.4 กำหนดให้องค์กรจัดตั้ง ดำเนินการ รักษา และพัฒนาปรับปรุงอย่างต่อเนื่อง (Establish, implement, maintain, and continually improve) ระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ รวมถึงกระบวนการจำเป็นที่เกี่ยวข้อง

ตัวอย่างการกำหนดหน้าที่งาน จป.หัวหน้างาน