PlAwAnSaI
Administrator
ISO/IEC 27001Awareness and requirementsInformation security Management systemsระบบการจัดการความปลอดภัยของข้อมูล
อะไรคือข้อมูล? - What is information?
Information - ข้อมูล คือ: ข้อมูลที่มีความสำคัญและมีมูลค่าให้กับองค์กร และทำให้มีความต้องการที่จะต้องได้รับความดูแลอย่างเหมาะสม
ISO/IEC 27001:2013 Management Issues:Requirement:
ISMS Requirement:
อะไรคือข้อมูล? - What is information?
Information - ข้อมูล คือ: ข้อมูลที่มีความสำคัญและมีมูลค่าให้กับองค์กร และทำให้มีความต้องการที่จะต้องได้รับความดูแลอย่างเหมาะสม
- เอกสารที่พิมพ์ออกมา - Printed
- ข้อมูลที่เขียนในกระดาษ - Written on paper
- ข้อมูลที่จัดเก็บ - Stored electronically
- การส่งข้อมูลไปภายนอก - Transmitted by post
- การใช้สื่อในระบบ Electronic - Using electronic means
- ข้อมูลที่อยู่ในรูป film - Shown on films
- ข้อมูลในรูปการสนทนา - Spoken in conversation
- Computer
- Notebook
- Server Center
- Camera
- Smart Phone
- File
- Flash Drive
- Employee
- การรักษาความปลอดภัยของข้อมูลจากภัยคุกคามต่างๆ
- เพื่อให้แน่ใจว่าธุรกิจยังคงดำเนินต่อเนื่อง
- ผลตอบแทนสูงสุดจากการลงทุน
- โอกาสทางธุรกิจ
- Confidentiality - ความลับ: เพื่อให้มั่นใจได้ว่าข้อมูลต่างๆ สามารถเข้าถึงได้เฉพาะผู้ที่มีสิทธิเท่านั้น
- Integrity - ความถูกต้องสมบูรณ์: เพื่อให้มั่นใจได้ว่าข้อมูลมีความถูกต้องครบถ้วนสมบูรณ์ โดยไม่ได้ถูกเปลี่ยนแปลงหรือแก้ไขจากผู้ที่ไม่ได้รับอนุญาต
- Availability - ความพร้อมใช้: เพื่อให้มั่นใจได้ว่าข้อมูลพร้อมที่จะใช้งานอยู่เสมอ โดยมีผู้ที่มีสิทธิในการเข้าถึงข้อมูลสามารถเข้าถึงได้ทุกเมื่อ หากต้องการ
- 0 - Introduction
- 1 - Scope
- 2 - Normative references
- 3 - Terms and definitions
- 4 - Context of organization
- 5 - Leadership
- 6 - Planning
- 7 - Support
- 8 - Operation
- 9 - Performance Evaluation
- 10 - Improvement
ISO/IEC 27001:2013 Management Issues:Requirement:
- 4 - Context of organization
- 5 - Leadership
- 6 - Planning
- 7 - Support
- 8 - Operation
- 9 - Performance Evaluation
- 10 - Improvement
ISMS Requirement:
- 10 - ดำเนินการปรับปรุงและพัฒนาระบบอย่างต่อเนื่อง
- 9 - เฝ้าติดตามตรวจวัดประสิทธิภาพของการควบคุมและทบทวนระบบ
- 8 - ดำเนินการตามมาตรการควบคุมที่วางไว้พร้อมวางแผนการทบทวนความเสี่ยง
- 7 - สร้างความตระหนักให้บุคคลากร, สื่อสาร และจัดทำเอกสารที่เกี่ยวข้อง
- 6 - ดำเนินการประเมินความเสี่ยง
- 5 - กำหนดนโยบายความปลอดภัยของข้อมูล, บทบาทหน้าที่ของแต่ละบุคคล
- 4 - กำหนดบริบทขององค์กร, ผู้มีส่วนได้ส่วนเสีย, ขอบเขตและขอบข่ายในการขอการรับรอง
- ทำความเข้าใจองค์กรและบริบทขององค์กร - องค์กรต้องมีการกำหนดประเด็นต่างๆ ทั้งจากภายในและภายนอก ที่มีส่วนเกี่ยวข้องกับวัตถุประสงค์ขององค์กร ซึ่งมีผลกระทบต่อความสามารถขององค์กรในการบรรลุเป้าหมายที่ตั้งไว้ในระบบบริหารจัดการความปลอดภัยข้อมูล
- การเข้าใจความต้องการ และความคาดหวังของผู้มีส่วนได้ส่วนเสีย องค์กรต้องกำหนด:
- ผู้มีส่วนได้เสีย ที่เกี่ยวข้องกับระบบบริหารจัดการความปลอดภัยข้อมูล และ
- ข้อกำหนดผู้มีส่วนได้เสียที่เกี่ยวข้องกับความปลอดภัยข้อมูล หมายเหตุ ข้อกำหนดของผู้มีส่วนได้เสีย อาจหมายรวมถึง กฎหมาย ระเบียบข้อบังคับ และภาระผูกพันตามสัญญา
- การกำหนดขอบเขตของระบบบริหารจัดการความปลอดภัยข้อมูล องค์กรต้องพิจารณาถึง:
- ประเด็นภายในและภายนอก ตามที่ระบุไว้ในข้อกำหนด 4.1
- ความต้องการที่ระบุไว้ในข้อกำหนด 4.2
- การเชื่อมโยง และความสัมพันธ์ระหว่างกิจกรรมต่างๆ ที่ทำในองค์กร และที่ทำโดยองค์กรภายนอก
- ระบบบริหารจัดการความปลอดภัยข้อมูล: องค์กรต้องจัดตั้ง นำไปปฏิบัติ ดำเนินการ เฝ้าติดตาม ทบทวน รักษาไว้ และปรับปรุงระบบเอกสารของ ISMS ครอบคลุมกิจกรรมทางธุรกิจต่างๆ ขององค์กร รวมถึงความเสี่ยงต่างๆ ตามจุดประสงค์ของมาตรฐานสากลฉบับนี้
- ภาวะผู้นำและพันธสัญญา แสดงถึงความมุ่งมั่นว่า:
- นโยบายและวัตถุประสงค์สอดคล้องกับกลยุทธ์ขององค์กร
- กำหนดให้ควบรวมข้อกำหนดของระบบบริหารความปลอดภัยข้อมูล เข้าไปในกระบวนการขององค์กร
- กำหนดบทบาทและความรับผิดชอบ
- การสื่อสารสอดคล้องต่อข้อกำหนดระบบการบริหารจัดการความปลอดภัยข้อมูล
- ระบบการบริหารจัดการความปลอดภัยข้อมูล บรรลุผลลัพธ์ที่ตั้งไว้
- จัดให้มีทรัพยากรที่เพียงพอ
- ส่งเสริมเรื่องการปรับปรุงพัฒนาอย่างต่อเนื่อง
- สนับสนุนบุคคลอื่นๆ ที่มีส่วนเกี่ยวข้องให้สามารถทำตามบทบาทหน้าที่รับผิดชอบในแต่ละส่วน
- นโยบาย ผู้บริหารต้องกำหนด นโยบายให้:
- มีความเหมาะสมตามวัตถุประสงค์ขององค์กร
- รวมถึง วัตถุประสงค์ความปลอดภัยข้อมูล ตามข้อ 6.2 หรือ กำหนดกรอบในการตั้งวัตถุประสงค์
- รวมถึง พันธสัญญาที่สนองความต้องการข้อกำหนดที่เกี่ยวข้องกับความปลอดภัยข้อมูล
- รวมถึง พันธสัญญาต่อการปรับปรุงพัฒนาอย่างต่อเนื่องของระบบบริหารจัดการความปลอดภัยข้อมูล
- ต้องจัดทำเป็นเอกสาร
- ต้องถูกสื่อสารภายในองค์กร
- ต้องมีให้กับผู้มีส่วนได้เสีย ตามความเหมาะสม
- บทบาทหน้าที่, ความรับผิดชอบ และอำนาจหน้าที่ในองค์กร ผู้บริหารระดับสูงต้องแน่ใจว่า บทบาท อำนาจหน้าที่ ความรับผิดชอบที่เกี่ยวข้องกับความปลอดภัยข้อมูลนั้น มีการ มอบหมาย และถูกสื่อสาร ผู้บริหารระดับสูงต้องมอบหมายอำนาจหน้าที่ความรับผิดชอบเพื่อ:
- มั่นใจว่าระบบบริหารจัดการความปลอดภัยข้อมูล สอดคล้องกับข้อกำหนดของมาตรฐานนี้
- การรายงานผลงาน ของระบบบริหารจัดการความปลอดภัยข้อมูล ไปยังผู้บริหารระดับสูง
- กิจกรรมเพื่อรับมือกับความเสี่ยง และโอกาสที่จะเกิด
- ทั่วไป เมื่อจัดทำแผนงาน ISMS องค์กรต้องคำนึงถึง:
- ประเด็นที่ระบุตามข้อกำหนด 4.1 และ
- ความต้องการที่ระบุตามข้อกำหนด 4.2 และ
- กำหนดความเสี่ยง และโอกาสที่จะเกิดต่างๆ ที่องค์กรต้องรับมือเพื่อ:
- ให้แน่ใจว่าระบบ ISMS สามารถบรรลุผลลัพธ์ที่ตั้งไว้
- ป้องกัน หรือลด ผลกระทบที่ไม่พึงปรารถนา และ
- บรรลุผล เรื่องการปรับปรุงพัฒนาอย่างต่อเนื่อง
- การปฏิบัติการระบุความเสี่ยงและโอกาสที่จะเกิดต่างๆ
- วิธีการ ในการ:
- ผสมผสานและการดำเนินการนำไปใช้ ในกระบวนการของ ISMS
- ประเมินประสิทธิผลของการดำเนินการนั้น
- การประเมินความเสี่ยงความปลอดภัยข้อมูล:
- กำหนดวิธีการประเมินความเสี่ยงขององค์กร:
- สร้างเกณฑ์การยอมรับความเสี่ยง และ
- เกณฑ์การประเมินความเสี่ยงที่เหมาะสม
- วิธีการประเมินความเสี่ยงต้อง ได้ผลที่สามารถเหมือนกัน
- ระบุความเสี่ยง:
- โดยการประยุกต์ใช้กระบวนการประเมินความเสี่ยง กับความเสี่ยงที่เกี่ยวข้องกับ Confidentiality, Integrity, Availability
- กำหนดเจ้าของความเสี่ยง - Risk Owner
- การวิเคราะห์ความเสี่ยง:
- วิเคราะห์ผลกระทบความเสี่ยงที่ระบุในข้อ 6.1.2 c)
- วิเคราะห์ความเป็นไปได้ของความเสี่ยงที่ระบุในข้อ 6.1.2 c)
- กำหนดระดับของความเสี่ยง
- กำหนดวิธีการประเมินความเสี่ยงขององค์กร:
- ทั่วไป เมื่อจัดทำแผนงาน ISMS องค์กรต้องคำนึงถึง: