top of page

ระบบบริหารจัดการความมั่นคงปลอดภัยตามมาตรฐาน ISO 27001 : 2022

มาตรฐาน ISO 27001 : 2022

ISO27001 : 2022

ระบบบริหารจัดการความมั่นคงปลอดภัยตามมาตรฐาน
ISO 27001 : 2022

บริการประเมิน Gap ของการบริหารจัดการความมั่นคงปลอดภัยตามมาตรฐาน ISO/IEC 27001:2022 เพื่อเตรียมตัวปรับเปลี่ยนเวอร์ชั่น ISMS ของธุรกิจสู่ ISO/IEC 27001:2022
การบริหารจัดการความมั่นคงปลอดภัยตามมาตรฐาน ISO/IEC 27001:2022
4. Context of the organization (บริบทขององค์กร)

4.1 ความเข้าใจองค์กรและบริบทขององค์กร

องค์กรต้องกำหนดประเด็นภายนอกและภายในที่เกี่ยวข้องกับวัตถุประสงค์และที่ส่งผลต่อความสามารถในการบรรจุผลลัพธ์ตามที่ตั้งใจไว้ของระบบการจัดการความมั่นคงปลอดภัยสารสนเทศ

หมายเหตุ การกำหนดประเด็นเหล่านี้ อ้างถึงการจัดทำบริบทภายนอกและภายในขององค์กร

ซึ่งพิจารณาตามข้อกำหนด 5.4.1 ของมาตรฐาน ISO 31000:2018[5].

4.2 ความเข้าใจความต้องการและความคาดหวังของผู้มีส่วนได้ส่วนเสีย

องค์กรต้องกำหนด:

a) ผู้มีส่วนได้ส่วนเสียที่เกี่ยวข้องกับระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ

b) ข้อกำหนดที่เกี่ยวข้องของผู้มีส่วนได้ส่วนเสียเหล่านี้

c) ข้อกำหนดเหล่านี้จะจัดการผ่านระบบบริหรจัดการความมั่นคงปลอดภัยสารสนเทศ

หมายเหตุ ข้อกำหนดของผู้มีส่วนได้ส่วนเสีย อาจรวมถึงกฎหมาย ข้อกำหนด กฎระเบียบบังคับ และข้อผูกผันตามสัญญา

4.3 การกำหนดขอบเขตของระบบบริหารจัดการความมันคงปลอดภัยสารสนเทศ

องค์กรต้องกำหนดขอบเขตและการบังคับใช้ของระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศเพื่อจัดตั้งขอบเขต

เมื่อกำหนดขอบเขตนี้ องค์กรต้องพิจารณา:

a) ประเด็นภายนอกและภายในที่อ้างถึงในข้อ 4.1;

b) ข้อกำหนดที่อ้างถึงในข้อ 4.2;

c) ความสัมพันธ์เชื่อมโยงและขึ้นต่อกันระหว่างกิจกรรมที่องค์กรดำเนินงานเอง และกิจกรรมเหล่านั้น ที่ดำเนินงานโดยองค์กรอื่น

ขอบขายต้องจัดทำเป็นเอกสารสารสนเทศ

4.4 ระบบบริหารจัดการความมันคงปลอดภัยสารสนเทศ

องค์กรต้องจัดตั้ง นำไปปฏิบัติ รักษาให้คงไว้ และปรับปรุงพัฒนาระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศอย่างต่อเนื่อง รวมถึงกระบวนการที่จำเป็นและปฏิสัมพันธ์ของกระบวนการเหล่านั้น เพื่อให้สอดคล้องกับข้อกำหนดของเอกสารฉบับนี้

5. Leadership (ภาวะผู้นำ)

5.1 ภาวะผู้นำและพันธสัญญา

ผู้บริหารระดับสูงต้องแสดงให้เห็นถึงความเป็นผู้นำและพันธสัญญาที่มีต่อระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ โดย

a) ทำให้มั่นใจว่านโยบายความมั่นคงปลอดภัยสารสนเทศ และวัตถุประสงค์ความมั่นคงปลอดภัยสารสนเทศจัดตั้งขึ้น และสอดคล้องกับทิศทางเชิงกลยุทธ์ขององค์กร;

b) ทำให้มั่นใจว่ามีการบูรณาการข้อกำหนดระบบบริหรจัดการความมั่นคงปลอดภัยสารสนเทศเข้าไปในกระบวนการต่างๆ ขององค์กร;

c) ทำให้มั่นใจว่ามีทรัพยากรที่จำเป็นสำหรับระบบบริหารจัดการความมั่นคงปลอดภัย;

d) สื่อสารถึงความสำคัญของประสิทธิผลในการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศและความสอดคล้องกับข้อกำหนดของระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ;

e) ทำให้มั่นใจว่าระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศบรรลุผลตามที่ตั้งใจไว้;

f) การสั่งการและให้การสนับสนุนผู้ที่มีส่วนร่วมต่อประสิทธิผลของระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ;

g) ส่งเสริมการปรับปรุงพัฒนาอย่างต่อเนื่อง; และ

h) สนับสนุนบทบาทการจัดการอื่นๆ ที่เกี่ยวข้อง เพื่อแสดงความเป็นผู้นำตามขอบเขตในส่วนที่รับผิดชอบ

หมายเหตุ อ้างอิงคำว่า "ธุรกิจ" ในเอกสารฉบับนี้สามารถตีความกว้างๆ หมายรวมถึง กิจกรรมใดๆ ที่เป็นหลักของวัตถุประสงค์ในการดำรงอยู่ขององค์กร

5.2 นโยบาย

ผู้บริหารระดับสูงต้องกำหนดนโยบายความมั่นคงปลอดภัยสำหรับสารสนเทศ ซึ่ง:

a) เหมาะสมต่อวัตถุประสงค์ขององค์กร;

b) รวมถึงวัตถุประสงค์ความมั่นคงปลอดภัยสำหรับสารสนเทศ (Information Security Objectives) (ดูข้อกำหนด 6.2) หรือมีเค้าโครงร่าง (Framework) เพื่อกำหนดวัตถุประสงค์ความมั่นคงปลอดภัยสารสนเทศ;

c) รวมถึงพันธสัญญา (Commitment) เพื่อให้เป็นไปตามข้อกำหนดต่างๆ ที่เกี่ยวข้องกับความมั่นคงปลอดภัยสารสนเทศ) และ

d) รวมถึงพันธสัญญา (Commitment) เพื่อการปรับปรุงอย่างต่อเนื่องของระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ

 

นโยบายความมั่นคงปลอดภัยสารสนเทศ ต้อง

e) จัดทำเป็นเอกสารสารสนเทศ

f) นำไปสื่อสารภายในองค์กร และ

g) จัดให้มีพร้อมแก่ผู้มีส่วนได้ส่วนเสีย ตามความเหมาะสม

5.3 บทบาท ความรับผิดชอบ และอำนาจหน้าที่

ผู้บริหารระดับสูงต้องมั่นใจว่า ความรับผิดชอบและอำนาจหน้าที่สำหรับบทบาทที่เกี่ยวข้องกับความมั่นคงปลอดภัยสารสนเทศ ได้มีการมอบหมายและมีการสื่อสารภายในองค์กรผู้บริหารระดับสูงต้องมอบหมายความรับผิดชอบและอำนาจหน้าที่ สำหรับ:

a) ทำให้มั่นใจได้ว่าระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศสอดคล้องตามข้อกำหนดของเอกสารฉบับนี้; และ

b) รายงานถึงประสิทธิภาพของระบบบริหรจัดการความมั่นคงปลอดภัยสารสนเทศต่อผู้บริหารระดับสูง


หมายเหตุ ผู้บริหารระดับสูงอาจมอบหมายหน้าที่ความรับผิดชอบและอำนาจหน้าที่สำหรับ

การรายงานประสิทธิภาพของระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศภายใน

องค์กรได้เช่นกัน

6. Planning (การวางแผน)

6.1 การดำเนินการเพื่อจัดการความเสียงและโอกาส

6.1.1 ทั่วไป

เมื่อทำการวางแผนสำหรับระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ องค์กรต้องพิจารณาถึงประเด็นต่าง ๆ ที่อ้างถึงในข้อกำหนด 4.1 และข้อกำหนดต่างๆ ที่อ้างถึงในข้อกำหนด 4.2 และกำหนดความสี่ยงและโอกาสที่จำเนต้องได้รับการจัดการ เพื่อ:

a) ให้มั่นใจว่าระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศสามารถบรรลุผลตามผลลัพธ์ที่ตั้งใจไว้;

b) ป้องกันหรือลดผลกระทบที่ไม่พึงปรารถณา;

c) ให้บรรลุเป้าหมายของการปรับปรุงอย่างต่อเนื่อง

 

องค์กรต้องวางแผน

d) ดำเนินการเพื่อจัดการความเสี่ยงและโอกาส; และ

e) วิธีการ

  1. บูรณาการและนำการดำเนินการไปปฏิบัติให้เข้ากับกระบวนการของระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ และ

  2. ประเมินประสิทธิผลของการดำเนินการดังกล่าว

6.1.2 การประเมินความเสียงด้านความมั่นคงปลอดภัยสารสนเทศ

องค์กรต้องกำหนดและประยุกต์ใช้กระบวนการประเมินความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ โดย

a) จัดตั้งและรักษาเกณฑ์ความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ ซึ่งรวมถึง

  1. เกณฑ์การยอมรับความเสี่ยง และ

  2. เกณฑ์สำหรับดำเนินการประเมินความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ

b) ทำให้มั่นใจว่าการประเมิความเสี่ยงดังกล่าวสามารถทำซ้ำและได้ผลลัพธ์ที่ตรงกัน ถูกต้องและสามารถเปรียบเทียบได้

c) ระบุความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ

  1. ประยุกต์ใช้กระบวนการประเมินความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ เพื่อระบุความเสี่ยงที่เกี่ยวข้องกับการสูญเสียความลับ ความถูกต้องสมบูรณ์ และความพร้อมใช้งาน ของสารสนเทศภายในขอบเขตของระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ และ

  2. ระบุผู้เป็นเจ้าของความเสี่ยง

d) วิเคราะห์ความเสี่ยงต้านความมั่นคงปลอดภัยสารสนเทศ

  1. ประเมินผลกระทบที่เป็นไปได้ ถ้าความเสี่ยงที่ระบุไว้ในข้อกำหนด 6.1.2 c) เกิดขึ้นจริง

  2. ประเมินโอกาสที่สมเหตุผลของการเกิดความเสี่ยงที่ระบุไว้ในข้อกำหนด 6.1.2 c) และ

  3. กำหนดระดับค่าความเสี่ยง

e) ประเมินความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ

  1. เปรียบเทียบผลการวิเคราะห์ความเสี่ยงกับเกณฑ์ความเสี่ยงที่สร้างขึ้นในข้อกำหนด 6.1.2 a) และ

  2. จัดลำาตับความสำคัญของความเสี่ยงที่ได้วิเคราะห์แล้ว เพื่อการจัดการความเสี่ยงองค์กรต้องเก็บรักษาเอกสารสนเทศ เกี่ยวกับกระบวนการประเมินความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ

6.1.3 การจัดการความเสี่ยงต้านความมั่นคงปลอดภัยสารสนเทศ

องค์กรต้องกำหนดและประยุกต์ใช้กระบวนการจัดการความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ เพื่อ

a) เลือกตัวเลือกของการจัดการความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศที่เหมาะสมโดยพิจารณาจากผลประเมินความเสี่ยง

b) กำหนดมาดรการควบคุมทั้งหมดที่จำเป็น เพื่อนำไปใช้ตามตัวเลือกการจัดการความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศที่ได้เลือกไว้

หมายเหตุ 1 องค์กรสามารถออกแบบมาตรการควบคุมตามที่ต้องการ หรือระบุมาตรการควบคุมจากแหล่งอ้างอิงใด ๆ

c) เปรียบเทียบมาตรการควบคุมที่กำหนดไว้ในข้อกำหนด 6.1.3 b) กับมาตรการควบคุมในAnnex A และทวนสอบว่าไม่มีมาตรการควบคุมที่จำเป็นใด ๆ ได้ละเว้นออกไป

หมายเหตุ 2 Annex A ประกอบด้วย รายการมาตรการควบคุมต้านความมั่นคงปลอดภัยสารสนเทศที่เป็นไปได้ ผู้ใช้เอกสารฉบับนี้ ได้รับการขี้แนะไปที่ Annex A เพื่อให้มั่นใจว่าไม่มีมาตรการควบคุมต้านความมั่นคงปลอดภัยสารสนเทศที่จำเป็นใดถูกมองข้ามไป

หมายเหตุ 3 รายการมาตรการคูวบคุมความมั่นคงปลอดภัยสารสนเทศที่ระบุไว้ใน Annex A ไม่ใช่มาตรการดวบคุมทั้งหมดทั้งสิ้น และสามารถเพิ่มเติมมาตรการควบคุมความมั่นคงปลอดภัยสารสนเทศอื่นๆ ได้หากจำเป็น

d) จัดทำเอกสารแสดงการประยุกต์ใช้ ประกอบด้วย

  • มาตรการควบคุมที่จำเป็น (ดูข้อกำหนด 6.1.3 b) และ c))

  • เหตุผลของการนำมาใช้

  • ไม่ว่ามาตรการควบคุมที่จำเป็นได้นำไปปฏิบัติแล้วหรือไม่ก็ตาม และ

  • เหตุผลของการละเว้นมาตรการควบคุมใด ๆ ใน Annex A

e) จัดทำแผนการจัดการความเสียงด้านความมันคงปลอดภัยสารสนเทศ และ

f) ขออนุมัติแผนการจัดการความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ และการยอมรับความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศที่หลงเหลืออยู่ จากผู้เป็นเจ้าของความเสี่ยงองค์กรต้องเก็บรักษาเอกสารสนเทศ เกี่ยวกับกระบวนการจัดการความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ

หมายเหตุ 4 กระบวนการประเมินความเสี่ยงและกระบนการจัดการความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศในเอกสารฉบับนี้ สอดคล้องกลับหลักการและแนวทางโดยทั่วไปที่ระบุไว้ในมาตรฐาน ISO 31000[5].

6.2 วัดถุประสงค์ความมั่นคงปลอดภัยสารสนเทศ และการวางแผนเพื่อการบรรลุผล

องค์กรต้องจัดตั้งวัตถุประสงค์ความมั่นคงปลอดภัยสารสนเทศไปยังส่วนงานและระดับที่เกี่ยวข้อง

วัตถุประสงค์ความมั่นคงปลอดภัยสารสนเทศ ต้อง:

a) สอดคล้องกับนโยบายความมั่นคงปลอดภัยสารสนเทศ;

b) สามารถวัดผลได้ (ถ้าปฏิบัติได้);

c) พิจารณาถึงข้อกำห์นดต่างๆ ด้านความมั่นคงปลอดภัยสารสนเทศ และผลลัทธ์จากการประเมินความเสี่ยงและการจัดการความเสี่ยง;

d) ได้รับการติดตาม;

e) ได้รับการสื่อสาร;

d) ได้รับการปรับปรุงตามความเหมาะสม;

g) จัดทำเป็นเอกสารสารสนเทศ.

 

องค์กรต้องเก็บรักษาเอกสารสนเทศ เกี่ยวกับวัตถุประสงค์ด้านความมั่นคงปลอดภัยสารสนเทศ

 

เมื่อวางแผนวิธีการเพื่อให้บรรจุวัตถุประสงค์ด้านความมั่นคงปลอดภัยสารสนเทศ องค์กรต้องกำหนด:

h) กิจกรรมที่จะทำให้เสร็จ

i) ทรัพยากรอะไรที่ต้องการ

j) ใครเป็นผู้รับผิดชอบ

k) เมื่อไหร่ที่จะแล้วเสร็จ และ

1) ผลลัพธ์ที่ได้จะประเมินอย่างไร

ISO27001 : 2022
bottom of page