Club27001 Information Security


  About us
   |   Privacy Policy

    What's New Here?

    PDPA อะไร ยังไง ตอนที่ 3 : ฐานกฎหมายที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล


         Photo by : https://unsplash.com/photos/U69WqLoFGD4

    ผู้เขียน ปริญญ์ เสรีพงศ์ CISA CEH ISMS(IRCA)

    Email : mr.pryn@gmail.com


    เมื่อพรบ.คุ้มครองข้อมูลส่วนบุคคล 2562 ประกาศใช้  การดำเนินการกับข้อมูลส่วนบุคคล(รวบรวม,จัดเก็บ,ใช้,เผยแพร่) จะทำได้เมื่อมีฐานกฎหมายรองรับในกรณีต่อไปนี้


    1. เจ้าของข้อมูลส่วนบุคคลยินยอม (ต้องขอการยินยอมเป็นลายลักษณ์อักษร)


    2. สามารถดำเนินการได้โดยไม่ต้องขอการยินยอม ในกรณีต่อไปนี้


    • เป็นการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุ 

    • เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล เช่นการแลกบัตรเพื่อเข้าสู่พื้นที่ควบคุมของหน่วยงาน การใช้กล้องCCTV บันทึกภาพในพื้นที่ 

    • เพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญา เช่น เว็บไซต์รับจองรถเช่าเก็บรวบรวมข้อมูลบัตรเครดิตของลูกค้าไว้เพื่อเป็นหลักประกันในการจองรถเช่า

    •   เพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะ เช่น โรงพยาบาลรัฐจัดเก็บข้อมูลส่วนบุคคลของผู้ป่วยเพื่อใช้ในการรักษา

    •   เพื่อการปฏิบัติตามฐานประโยชน์อันชอบธรรม (legitimate interest)  เช่น ธนาคารใช้ข้อมูลส่วนบุคคลเพื่อยืนยันตัวตนของผู้มาใช้บริการ

    • เพื่อปฏิบัติตามกฎหมาย เช่น ผู้ให้บริการเครือข่ายโทรศัพท์เคลื่อนที่เก็บข้อมูลจราจรตามที่กำหนดใพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์

    ดังนั้น ผู้เกี่ยวข้องทั้งผู้ควบคุมข้อมูล (Data Controller) และ ผู้ประมวลผลข้อมูล (Data Processor) จึงต้องทำความเข้าใจฐานกฎหมายที่เกี่ยวข้องให้ชัดเจน เพื่อจะได้ปฏิบัติให้สอดคล้องและมีประสิทธิภาพ



    PDPA อะไร ยังไง ตอนที่ 3 : ฐานกฎหมายที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล

    Posted by pryn No comments


         Photo by : https://unsplash.com/photos/U69WqLoFGD4

    ผู้เขียน ปริญญ์ เสรีพงศ์ CISA CEH ISMS(IRCA)

    Email : mr.pryn@gmail.com


    เมื่อพรบ.คุ้มครองข้อมูลส่วนบุคคล 2562 ประกาศใช้  การดำเนินการกับข้อมูลส่วนบุคคล(รวบรวม,จัดเก็บ,ใช้,เผยแพร่) จะทำได้เมื่อมีฐานกฎหมายรองรับในกรณีต่อไปนี้


    1. เจ้าของข้อมูลส่วนบุคคลยินยอม (ต้องขอการยินยอมเป็นลายลักษณ์อักษร)


    2. สามารถดำเนินการได้โดยไม่ต้องขอการยินยอม ในกรณีต่อไปนี้


    • เป็นการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุ 

    • เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล เช่นการแลกบัตรเพื่อเข้าสู่พื้นที่ควบคุมของหน่วยงาน การใช้กล้องCCTV บันทึกภาพในพื้นที่ 

    • เพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญา เช่น เว็บไซต์รับจองรถเช่าเก็บรวบรวมข้อมูลบัตรเครดิตของลูกค้าไว้เพื่อเป็นหลักประกันในการจองรถเช่า

    •   เพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะ เช่น โรงพยาบาลรัฐจัดเก็บข้อมูลส่วนบุคคลของผู้ป่วยเพื่อใช้ในการรักษา

    •   เพื่อการปฏิบัติตามฐานประโยชน์อันชอบธรรม (legitimate interest)  เช่น ธนาคารใช้ข้อมูลส่วนบุคคลเพื่อยืนยันตัวตนของผู้มาใช้บริการ

    • เพื่อปฏิบัติตามกฎหมาย เช่น ผู้ให้บริการเครือข่ายโทรศัพท์เคลื่อนที่เก็บข้อมูลจราจรตามที่กำหนดใพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์

    ดังนั้น ผู้เกี่ยวข้องทั้งผู้ควบคุมข้อมูล (Data Controller) และ ผู้ประมวลผลข้อมูล (Data Processor) จึงต้องทำความเข้าใจฐานกฎหมายที่เกี่ยวข้องให้ชัดเจน เพื่อจะได้ปฏิบัติให้สอดคล้องและมีประสิทธิภาพ



    PDPA อะไร ยังไง ตอนที่2 ตัวละครที่เกี่ยวข้องและหน้าที่รับผิดชอบ

    ผู้เขียน ปริญญ์ เสรีพงศ์ CISA CEH ISMS(IRCA)

    Email : mr.pryn@gmail.com

     

    ในการปฏิบัติตาม พรบ.คุ้มครองข้อมูลส่วนบุคคล 2562 หรือ PDPA นั้นมีผู้เกี่ยวข้องหลักๆ อยู่ 3 ฝ่าย ซึ่งกฎหมายกำหนดให้มีสิทธิ และหน้าที่เพื่อเป็นแนวทางปฏิบัติอย่างชัดเจน ดังนี้




    เจ้าของข้อมูลส่วนบุคคล (Data Subject)

    เราๆท่านๆนี่แหละเป็นเจ้าของข้อมูลที่ต้องให้ข้อมูลส่วนบุคคลโดยการกรอกแบบฟอร์มต่างๆนาๆในการติดต่อหรือขอใช้บริการหน่วยราชการ  รวมถึงการทำธุรกรรมกับห้างร้านหรือสถาบันการเงินต่างๆ ด้วย


    ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)

    คือ บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล


    ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)

    คือ บุคคลหรือนิติบุคคลที่ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล


    สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject) ได้แก่

    - สิทธิในการขอให้แก้ไขข้อมูลส่วนบุคคล (Right of rectification) 

    - สิทธิขอให้ระงับการใช้ข้อมูล (Right to restrict processing)

    - สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (Right to object)

    - สิทธิได้รับการแจ้งให้ทราบ (Right to be informed) เมื่อมีเรื่องสำคัญที่เกี่ยวข้องกับข้อมูลส่วนบุคคลของตนเอง

    - สิทธิขอเข้าถึงข้อมูลส่วนบุคคล (Right of access) เมื่อมีเจ้าของข้อมูลต้องการข้อมูลของตนเอง

    - สิทธิในการขอให้โอนข้อมูลส่วนบุคคล (Right to data portability)

    - สิทธิขอให้ลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคล (right to be forgotten) 


    หน้าที่ผู้ควบคุมข้อมูล (Data Controller)

       หน้าที่ภายในองค์กร

    - มีมาตรการเชิงเทคนิคและเชิงบริหารจัดการเพื่อประมวลผลข้อมูลส่วนบุคคลให้ถูกต้องตามกฎหมาย 

    - มีมาตรการเชิงเทคนิคและเชิงบริหารจัดการเพื่อรักษาความมั่นคงปลอดภัยในการประมวลผลที่เหมาะสมกับความเสี่ยง

    - มีระบบการตรวจสอบเพื่อดำเนินการลบหรือทำลายข้อมูลส่วนบุคคลเมื่อพ้นกำหนดระยะเวลาการเก็บรักษา หรือที่ไม่เกี่ยวข้องหรือเกินความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคลนั้น 

    - ตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) กรณีเข้าข่ายที่ต้องมี DPO

    - ประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล (DPIA) 

    - เลือกผู้ประมวลผลข้อมูลที่มีมาตรการเชิงเทคนิคและเชิงบริหารจัดการที่เหมาะสมในการประมวลผลและการรักษาความมั่นคงปลอดภัย

    - จัดให้มีข้อตกลงกับผู้ประมวลผลข้อมูล เพื่อควบคุมให้ผู้ประมวลผลข้อมูลดำเนินการให้เป็นไปตามกฎหมาย (ถ้ามี) 

    - ถ้ามีการโอนข้อมูลไปยังต่างประเทศต้องทาให้ถูกต้องตามกฎหมาย 

    - ป้องกันมิให้บุคคลที่ได้รับข้อมูลส่วนบุคคลที่มิใช่ผู้ควบคุมข้อมูลอื่นใช้หรือเปิดเผยข้อมูลโดยปราศจากอำนาจหรือโดยมิชอบ

    หน้าที่ต่อบุคคลภายนอกองค์กร

    - แจ้งเจ้าของข้อมูล 

    - แจ้งเหตุแก่ผู้กากับดูแลหรือเจ้าของข้อมูลเมื่อมีข้อมูลส่วนบุคคลรั่วไหล (Data Breach) 

    - ตั้งตัวแทนในราชอาณาจักร (กรณีเป็นผู้ควบคุมข้อมูลที่อยู่นอกราชอาณาจักร) 

    - เก็บบันทึกรายการประมวลผลข้อมูล 


    หน้าที่ของผู้ประมวลผลข้อมูล (Data Processor)

    หน้าที่ภายในองค์กร

    - มีมาตรการเชิงเทคนิคและเชิงบริหารจัดการเพื่อรักษาความมั่นคงปลอดภัยในการประมวลผลที่เหมาะสมกับความเสี่ยง เพื่อป้องกันการสูญหาย การประมวลผลโดยปราศจากอานาจ หรือ โดยมิชอบ 

    - แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) กรณีเข้าข่ายที่ต้องมี DPO

    หน้าที่ต่อบุคคลภายนอก

    - ประมวลผลข้อมูลตามข้อตกลงระหว่างผู้ควบคุมและผู้ประมวลผลข้อมูล 

    - แจ้งเหตุแก่ผู้ควบคุมข้อมูลกรณีข้อมูลส่วนบุคคลรั่วไหล (Data Breach) 

    - แจ้งผู้ควบคุมข้อมูลในกรณีที่เห็นว่ามีทางเลือกในการประมวลผลที่มีความมั่นคงปลอดภัยสูงกว่า 

    - ตั้งตัวแทนในราชอาณาจักร (กรณีเป็นผู้ประมวลผลข้อมูลที่อยู่นอกราชอาณาจักร) 

    - เก็บบันทึกรายการประมวลผลข้อมูล 



    Reference : Thailand Data Protection Guidelines 2.0


    ติดตามบทความ PDPA อะไร ยังไง ในตอนต่อไปได้เร็วๆนี้ครับ

    PDPA อะไร ยังไง ตอนที่2 ตัวละครที่เกี่ยวข้องและหน้าที่รับผิดชอบ

    Posted by pryn No comments

    ผู้เขียน ปริญญ์ เสรีพงศ์ CISA CEH ISMS(IRCA)

    Email : mr.pryn@gmail.com

     

    ในการปฏิบัติตาม พรบ.คุ้มครองข้อมูลส่วนบุคคล 2562 หรือ PDPA นั้นมีผู้เกี่ยวข้องหลักๆ อยู่ 3 ฝ่าย ซึ่งกฎหมายกำหนดให้มีสิทธิ และหน้าที่เพื่อเป็นแนวทางปฏิบัติอย่างชัดเจน ดังนี้




    เจ้าของข้อมูลส่วนบุคคล (Data Subject)

    เราๆท่านๆนี่แหละเป็นเจ้าของข้อมูลที่ต้องให้ข้อมูลส่วนบุคคลโดยการกรอกแบบฟอร์มต่างๆนาๆในการติดต่อหรือขอใช้บริการหน่วยราชการ  รวมถึงการทำธุรกรรมกับห้างร้านหรือสถาบันการเงินต่างๆ ด้วย


    ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)

    คือ บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล


    ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)

    คือ บุคคลหรือนิติบุคคลที่ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล


    สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject) ได้แก่

    - สิทธิในการขอให้แก้ไขข้อมูลส่วนบุคคล (Right of rectification) 

    - สิทธิขอให้ระงับการใช้ข้อมูล (Right to restrict processing)

    - สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (Right to object)

    - สิทธิได้รับการแจ้งให้ทราบ (Right to be informed) เมื่อมีเรื่องสำคัญที่เกี่ยวข้องกับข้อมูลส่วนบุคคลของตนเอง

    - สิทธิขอเข้าถึงข้อมูลส่วนบุคคล (Right of access) เมื่อมีเจ้าของข้อมูลต้องการข้อมูลของตนเอง

    - สิทธิในการขอให้โอนข้อมูลส่วนบุคคล (Right to data portability)

    - สิทธิขอให้ลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคล (right to be forgotten) 


    หน้าที่ผู้ควบคุมข้อมูล (Data Controller)

       หน้าที่ภายในองค์กร

    - มีมาตรการเชิงเทคนิคและเชิงบริหารจัดการเพื่อประมวลผลข้อมูลส่วนบุคคลให้ถูกต้องตามกฎหมาย 

    - มีมาตรการเชิงเทคนิคและเชิงบริหารจัดการเพื่อรักษาความมั่นคงปลอดภัยในการประมวลผลที่เหมาะสมกับความเสี่ยง

    - มีระบบการตรวจสอบเพื่อดำเนินการลบหรือทำลายข้อมูลส่วนบุคคลเมื่อพ้นกำหนดระยะเวลาการเก็บรักษา หรือที่ไม่เกี่ยวข้องหรือเกินความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคลนั้น 

    - ตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) กรณีเข้าข่ายที่ต้องมี DPO

    - ประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล (DPIA) 

    - เลือกผู้ประมวลผลข้อมูลที่มีมาตรการเชิงเทคนิคและเชิงบริหารจัดการที่เหมาะสมในการประมวลผลและการรักษาความมั่นคงปลอดภัย

    - จัดให้มีข้อตกลงกับผู้ประมวลผลข้อมูล เพื่อควบคุมให้ผู้ประมวลผลข้อมูลดำเนินการให้เป็นไปตามกฎหมาย (ถ้ามี) 

    - ถ้ามีการโอนข้อมูลไปยังต่างประเทศต้องทาให้ถูกต้องตามกฎหมาย 

    - ป้องกันมิให้บุคคลที่ได้รับข้อมูลส่วนบุคคลที่มิใช่ผู้ควบคุมข้อมูลอื่นใช้หรือเปิดเผยข้อมูลโดยปราศจากอำนาจหรือโดยมิชอบ

    หน้าที่ต่อบุคคลภายนอกองค์กร

    - แจ้งเจ้าของข้อมูล 

    - แจ้งเหตุแก่ผู้กากับดูแลหรือเจ้าของข้อมูลเมื่อมีข้อมูลส่วนบุคคลรั่วไหล (Data Breach) 

    - ตั้งตัวแทนในราชอาณาจักร (กรณีเป็นผู้ควบคุมข้อมูลที่อยู่นอกราชอาณาจักร) 

    - เก็บบันทึกรายการประมวลผลข้อมูล 


    หน้าที่ของผู้ประมวลผลข้อมูล (Data Processor)

    หน้าที่ภายในองค์กร

    - มีมาตรการเชิงเทคนิคและเชิงบริหารจัดการเพื่อรักษาความมั่นคงปลอดภัยในการประมวลผลที่เหมาะสมกับความเสี่ยง เพื่อป้องกันการสูญหาย การประมวลผลโดยปราศจากอานาจ หรือ โดยมิชอบ 

    - แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) กรณีเข้าข่ายที่ต้องมี DPO

    หน้าที่ต่อบุคคลภายนอก

    - ประมวลผลข้อมูลตามข้อตกลงระหว่างผู้ควบคุมและผู้ประมวลผลข้อมูล 

    - แจ้งเหตุแก่ผู้ควบคุมข้อมูลกรณีข้อมูลส่วนบุคคลรั่วไหล (Data Breach) 

    - แจ้งผู้ควบคุมข้อมูลในกรณีที่เห็นว่ามีทางเลือกในการประมวลผลที่มีความมั่นคงปลอดภัยสูงกว่า 

    - ตั้งตัวแทนในราชอาณาจักร (กรณีเป็นผู้ประมวลผลข้อมูลที่อยู่นอกราชอาณาจักร) 

    - เก็บบันทึกรายการประมวลผลข้อมูล 



    Reference : Thailand Data Protection Guidelines 2.0


    ติดตามบทความ PDPA อะไร ยังไง ในตอนต่อไปได้เร็วๆนี้ครับ

    PDPA อะไร ยังไง ตอนที่1 : ทำความรู้จัก พรบ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

    ผู้เขียน ปริญญ์ เสรีพงศ์ CISA CEH ISMS(IRCA)

    Email : mr.pryn@gmail.com


    PDPA (Personal Data Protection Act) พรบ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ให้ความคุ้มครองข้อมูลส่วนบุคคล(Personal Data) และข้อมูลที่มีความอ่อนไหว(Sensitive Data) โดยเน้นไปที่หน่วยงานหรือองค์กร ที่มีการรวบรวม จัดเก็บ ใช้งาน เผยแพร่ ให้มีแนวทางการจัดการข้อมูลส่วนบุคคลนี้ได้มาตรฐาน
    https://unsplash.com/photos/JFk0dVyvdvw 

    WHAT? ข้อมูลส่วนบุคคล ข้อมูลส่วนบุคคลที่มีความอ่อนไหว 


    ข้อมูลส่วนบุคคล (Personal Data) คืออะไร 

    คือข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม (ไม่รวมข้อมูลของผู้ถึงแก่กรรม และข้อมูลนิติบุคคล) 

    ตัวอย่างข้อมูลส่วนบุคคล เช่น ชื่อสกุล, เลขประจำตัวประชาชน, เบอร์โทรศัพท์, วันเกิด, ที่อยู่,อีเมล, การศึกษา, เพศ, อาชีพ, รูปถ่าย, ข้อมูลธุรกรรมการเงิน ,ทะเบียนรถ เป็นต้น 

    ข้อมูลส่วนบุคคที่มีความอ่อนไหว (Sensitive Data) คืออะไร 

    คือ ข้อมูลส่วนบุคคลประเภทพิเศษที่มีความอ่อนไหวสูง 

    เช่น ข้อมูลสุขภาพ ผลการตรวจร่างกาย, ข้อมูลทางพันธุกรรม, ข้อมูลเกี่ยวกับไบโอเมทริกซ์, พฤติกรรมทางเพศ,ความคิดเห็นทางการเมือง,เชื้อชาติ, ความเชื่อทางศาสนาหรือปรัชญา, ประวัติอาชญากรรม, ข้อมูลสหภาพแรงงาน 

    HOW ? ต้องทำอะไรบ้าง ! 

    หน่วยงานหรือองค์กร ที่รวบรวม จัดเก็บ และใช้งานข้อมูลข้างต้นนี้ ต้องดำเนินการอย่างน้อยดังนี้ 
    1. ขอการยินยอม(Consent) จากเจ้าของข้อมูลอย่างเป็นลายลักษณ์อักษร 
    2. ดูแลรักษาข้อมูลให้คงไว้ซึ่งความลับ (Confidentiality) ความถูกต้อง(Integrity) และความพร้อมใช้งาน (Availability) 
        - จัดทำระบบรองรับ กรณีเจ้าของข้อมูลต้องการ ดำเนินการกับข้อมูลส่วนบุคคลของตนเอง  
        - เข้าถึงข้อมูลส่วนบุคคล (Right of access) ของตนเอง 
        - ขอให้โอนข้อมูลส่วนบุคคล (Right to data portability)  
        - ขอให้ลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลไม่สามารถระบุตัวตนได้ (right to be for-gotten)  
        - ขอให้ระงับการใช้ข้อมูล (Right to restrict processing) 
        - ขอให้แก้ไขข้อมูลส่วนบุคคล (Right of rectification) 

    ติดตามบทความ PDPA อะไร ยังไง ในตอนต่อไปได้เร็วๆนีครับ

    PDPA อะไร ยังไง ตอนที่1 : ทำความรู้จัก พรบ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

    Posted by pryn No comments

    ผู้เขียน ปริญญ์ เสรีพงศ์ CISA CEH ISMS(IRCA)

    Email : mr.pryn@gmail.com


    PDPA (Personal Data Protection Act) พรบ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ให้ความคุ้มครองข้อมูลส่วนบุคคล(Personal Data) และข้อมูลที่มีความอ่อนไหว(Sensitive Data) โดยเน้นไปที่หน่วยงานหรือองค์กร ที่มีการรวบรวม จัดเก็บ ใช้งาน เผยแพร่ ให้มีแนวทางการจัดการข้อมูลส่วนบุคคลนี้ได้มาตรฐาน
    https://unsplash.com/photos/JFk0dVyvdvw 

    WHAT? ข้อมูลส่วนบุคคล ข้อมูลส่วนบุคคลที่มีความอ่อนไหว 


    ข้อมูลส่วนบุคคล (Personal Data) คืออะไร 

    คือข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม (ไม่รวมข้อมูลของผู้ถึงแก่กรรม และข้อมูลนิติบุคคล) 

    ตัวอย่างข้อมูลส่วนบุคคล เช่น ชื่อสกุล, เลขประจำตัวประชาชน, เบอร์โทรศัพท์, วันเกิด, ที่อยู่,อีเมล, การศึกษา, เพศ, อาชีพ, รูปถ่าย, ข้อมูลธุรกรรมการเงิน ,ทะเบียนรถ เป็นต้น 

    ข้อมูลส่วนบุคคที่มีความอ่อนไหว (Sensitive Data) คืออะไร 

    คือ ข้อมูลส่วนบุคคลประเภทพิเศษที่มีความอ่อนไหวสูง 

    เช่น ข้อมูลสุขภาพ ผลการตรวจร่างกาย, ข้อมูลทางพันธุกรรม, ข้อมูลเกี่ยวกับไบโอเมทริกซ์, พฤติกรรมทางเพศ,ความคิดเห็นทางการเมือง,เชื้อชาติ, ความเชื่อทางศาสนาหรือปรัชญา, ประวัติอาชญากรรม, ข้อมูลสหภาพแรงงาน 

    HOW ? ต้องทำอะไรบ้าง ! 

    หน่วยงานหรือองค์กร ที่รวบรวม จัดเก็บ และใช้งานข้อมูลข้างต้นนี้ ต้องดำเนินการอย่างน้อยดังนี้ 
    1. ขอการยินยอม(Consent) จากเจ้าของข้อมูลอย่างเป็นลายลักษณ์อักษร 
    2. ดูแลรักษาข้อมูลให้คงไว้ซึ่งความลับ (Confidentiality) ความถูกต้อง(Integrity) และความพร้อมใช้งาน (Availability) 
        - จัดทำระบบรองรับ กรณีเจ้าของข้อมูลต้องการ ดำเนินการกับข้อมูลส่วนบุคคลของตนเอง  
        - เข้าถึงข้อมูลส่วนบุคคล (Right of access) ของตนเอง 
        - ขอให้โอนข้อมูลส่วนบุคคล (Right to data portability)  
        - ขอให้ลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลไม่สามารถระบุตัวตนได้ (right to be for-gotten)  
        - ขอให้ระงับการใช้ข้อมูล (Right to restrict processing) 
        - ขอให้แก้ไขข้อมูลส่วนบุคคล (Right of rectification) 

    ติดตามบทความ PDPA อะไร ยังไง ในตอนต่อไปได้เร็วๆนีครับ

    EP1 : การเตรียมตัวสำหรับตัวแทนฝ่ายบริหารระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศ ISMR (Information Security Management Representative)


                                      ภาพจาก https://unsplash.com/photos/m0oSTE_MjsI

    ผู้เขียน ปริญญ์ เสรีพงศ์ CISA CEH ISMS(IRCA)

    Email : mr.pryn@gmail.com


     ISMR จะต้องเข้าใจภาพรวมของระบบ ISO 27001  ทั้งหมด เริ่มตั้งแต่


    บริบทองค์กร คือ องค์กรก่อตั้งขึ้นมาเพื่อวัตถุประสงค์อะไร  

             บริบทองค์กร เป็นสิ่งสำคัญอย่างมากในการกำหนดวัตถุประสงค์ เป้าหมายและแนวทางการวางระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศ


    มี Stakeholder อะไรบ้างที่เกี่ยวข้อง  และแต่ละparties มีบทบาทอย่างไร 

            Stakeholder คือผู้ที่ได้รับผลทั้งทางตรงและทางอ้อมของการจัดการความมั่นคงปลอดภัยของสารสนเทศ 


    Stakeholder มีความคาดหวังอะไรต่อองค์กร 

            แน่นอนว่า Stakeholder ย่อมมีผลประโยชน์ทางใดทางหนึ่งจากองค์กร ดังนั้นจึงต้องทราบความคาดหวังของ Stakeholder เพื่อนำมาประกอบการกำหนดแนวทาง และมาตรการที่เหมาะสม


    เข้าใจว่าองค์กรมีระบบสารสนเทศอะไรบ้างที่ตอบสนอง stakeholder  เช่นระบบ Email สำหรับเจ้าหน้าที่และติดต่อลูกค้า, web site สำหรับลูกค้า ผู้สนใจ  เป็นต้น

             การระบุระบบสารสนเทศเป็นจุดเริ่มต้นของการประเมินความเสี่ยง โดยต้องระบุ Hardware ,Software Service ที่เกี่ยวข้องให้ครบสมบูรณ์ เพื่อใช้เป็นข้อมูลในการระบุภัยคุกคาม และช่องโหว่ 

    EP1 : การเตรียมตัวสำหรับตัวแทนฝ่ายบริหารระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศ ISMR (Information Security Management Representative)

    Posted by pryn No comments


                                      ภาพจาก https://unsplash.com/photos/m0oSTE_MjsI

    ผู้เขียน ปริญญ์ เสรีพงศ์ CISA CEH ISMS(IRCA)

    Email : mr.pryn@gmail.com


     ISMR จะต้องเข้าใจภาพรวมของระบบ ISO 27001  ทั้งหมด เริ่มตั้งแต่


    บริบทองค์กร คือ องค์กรก่อตั้งขึ้นมาเพื่อวัตถุประสงค์อะไร  

             บริบทองค์กร เป็นสิ่งสำคัญอย่างมากในการกำหนดวัตถุประสงค์ เป้าหมายและแนวทางการวางระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศ


    มี Stakeholder อะไรบ้างที่เกี่ยวข้อง  และแต่ละparties มีบทบาทอย่างไร 

            Stakeholder คือผู้ที่ได้รับผลทั้งทางตรงและทางอ้อมของการจัดการความมั่นคงปลอดภัยของสารสนเทศ 


    Stakeholder มีความคาดหวังอะไรต่อองค์กร 

            แน่นอนว่า Stakeholder ย่อมมีผลประโยชน์ทางใดทางหนึ่งจากองค์กร ดังนั้นจึงต้องทราบความคาดหวังของ Stakeholder เพื่อนำมาประกอบการกำหนดแนวทาง และมาตรการที่เหมาะสม


    เข้าใจว่าองค์กรมีระบบสารสนเทศอะไรบ้างที่ตอบสนอง stakeholder  เช่นระบบ Email สำหรับเจ้าหน้าที่และติดต่อลูกค้า, web site สำหรับลูกค้า ผู้สนใจ  เป็นต้น

             การระบุระบบสารสนเทศเป็นจุดเริ่มต้นของการประเมินความเสี่ยง โดยต้องระบุ Hardware ,Software Service ที่เกี่ยวข้องให้ครบสมบูรณ์ เพื่อใช้เป็นข้อมูลในการระบุภัยคุกคาม และช่องโหว่ 

    การเตรียมตัวก่อนรับการตรวจประเมินขอรับรอง ISO 27001 (ISMS Certification Assessment)


    การเตรียมตัวก่อนรับการตรวจประเมินขอรับรอง ISO 27001

    ผู้เขียน ปริญญ์ เสรีพงศ์ CISA CEH ISMS(IRCA)

    Email : mr.pryn@gmail.com


    การเตรียมความพร้อมก่อนรับการตรวจประเมินเพื่อขอการรับรองมาตรฐานมีความสำคัญไม่น้อยไปกว่าการสร้างและดำเนินระบบ  เนื่องจากในการตรวจประเมินองค์กรมีเวลาจำกัดในการแสดงหลักฐานเพื่อให้ผู้ตรวจตรวจประเมินมั่นใจว่ามีมาตรการการจัดการความมั่นคงปลอดภัยของสารสนเทศสอดคล้องตามมาตรฐานที่กำหนดไว้ หากไม่ได้เตรียมพร้อมที่ดีพออาจก่อให้เกิดอุปสรรคในระหว่างการตรวจประเมินได้ เช่น ไม่ได้กำหนดผู้รับผิดชอบในการรับการตรวจประเมิน ไม่มีการเตรียมเอกสารไว้ให้พร้อม หรือบุคลากรขาดความเข้าใจในระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศ  ปัญหาเหล่านี้สะท้อนให้เห็นว่าองค์กรยังขาดความสามารถในการรักษามาตรฐานให้คงอยู่อย่างมีประสิทธิภาพตามวัตถุประสงค์ของมาตรฐาน 

    ดังนั้น องค์กรต้องเตรียมความพร้อมให้สมบูรณ์ทุกด้าน ตั้งแต่การทบทวนว่าประยุกต์ใช้ข้อกำหนดครบถ้วนหรือไม่ การปฏิบัติตามมาตรการที่กำหนดไว้มีประสิทธิภาพเพียงใด รวมถึงผู้ที่เกี่ยวข้องมีความตระหนักและเข้าใจในเรื่องความมั่นคงปลอดภัยของสารสนเทศ และสามารถนำไปปฏิบัติได้ถูกต้องเหมาะสม เป็นต้น 


    ประเด็นสำคัญในการประเมินความพร้อมด้วยตนเองก่อนตรวจประเมินเพื่อขอรับการรับรองมีดังนี้

    ·   องค์กรกำหนดขอบเขตของระบบชัดเจนหรือไม่

    ·   ผู้บริหารมีความมุ่งมั่นและให้การสนับสนุนอย่างเป็นรูปธรรมหรือไม่

    ·   องค์กรเข้าใจข้อกำหนดของมาตรฐานและนำข้อกำหนดของ ISO/IEC 27001 มาประยุกต์ใช้ครบถ้วนหรือไม่

    ·   เอกสารระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศครบถ้วนสมบูรณ์หรือไม่

    ·   องค์กรได้นำระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศไปปฏิบัติครบถ้วนหรือไม่

    ·   ผลลัพธ์ของการดำเนินระบบมีเพียงพอที่จะประเมินความสามารถในการควบคุมจัดการความเสี่ยงต่างๆ หรือไม่

    ·  ผลลัพธ์ของการดำเนินระบบผ่านเกณฑ์หรือเป้าหมายหรือไม่  เช่น การปฏิบัติตามมาตรการลดความเสี่ยงส่งผลให้เกิดเหตุการณ์ไม่พึงประสงค์ (Information security incidents) ทางด้านความมั่นคงปลอดภัยของสารสนเทศลดลงตามเป้าหมาย เป็นต้น

    ·  องค์กรสามารถแสดงหลักฐานการปฏิบัติภายใต้ระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศได้หรือไม่ เพียงพอหรือไม่ เช่น แผนงาน บันทึกการปฏิบัติงาน เป็นต้น

    ·  ผลการดำเนินงานภายใต้ระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศมีประสิทธิภาพเพียงพอต่อการแก้ไขและป้องกันความเสี่ยงในรูปแบบต่างๆ ขององค์กร

    ·  ทุกหน่วยงานมีความเข้าใจในบทบาทและหน้าที่ของตนเองในการปฏิบัติงานภายใต้ระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศ

    การประเมินตนเองด้วยคำถามข้างต้น องค์กรต้องให้คำตอบทุกประเด็นอย่างชัดเจนเป็นรูปธรรม โดยมีเอกสารและหลักฐานต่างๆ  ยืนยัน รวมทั้งมีผลลัพธ์จากการดำเนินระบบที่แสดงให้เห็นว่าองค์กรสามารถจัดการ ควบคุม และลดความเสี่ยงให้อยู่ในระดับที่ยอมรับได้  รวมถึงมีกลไกที่สามารถปรับปรุงระบบให้สอดรับกับการเปลี่ยนแปลงต่าง ๆ เช่น ภัยคุกคามใหม่ และกฎหมายที่ปรับปรุงเพิ่มเติม  และที่สำคัญคือ บุคลากรทุกระดับต้องตระหนักถึงความสำคัญและเข้าใจบทบาทของตนเอง สามารถปฏิบัติตามระบบได้อย่างถูกต้อง ครบถ้วน สม่ำเสมอ และมีประสิทธิภาพ

    การเตรียมตัวก่อนรับการตรวจประเมินขอรับรอง ISO 27001 (ISMS Certification Assessment)

    Posted by pryn No comments


    การเตรียมตัวก่อนรับการตรวจประเมินขอรับรอง ISO 27001

    ผู้เขียน ปริญญ์ เสรีพงศ์ CISA CEH ISMS(IRCA)

    Email : mr.pryn@gmail.com


    การเตรียมความพร้อมก่อนรับการตรวจประเมินเพื่อขอการรับรองมาตรฐานมีความสำคัญไม่น้อยไปกว่าการสร้างและดำเนินระบบ  เนื่องจากในการตรวจประเมินองค์กรมีเวลาจำกัดในการแสดงหลักฐานเพื่อให้ผู้ตรวจตรวจประเมินมั่นใจว่ามีมาตรการการจัดการความมั่นคงปลอดภัยของสารสนเทศสอดคล้องตามมาตรฐานที่กำหนดไว้ หากไม่ได้เตรียมพร้อมที่ดีพออาจก่อให้เกิดอุปสรรคในระหว่างการตรวจประเมินได้ เช่น ไม่ได้กำหนดผู้รับผิดชอบในการรับการตรวจประเมิน ไม่มีการเตรียมเอกสารไว้ให้พร้อม หรือบุคลากรขาดความเข้าใจในระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศ  ปัญหาเหล่านี้สะท้อนให้เห็นว่าองค์กรยังขาดความสามารถในการรักษามาตรฐานให้คงอยู่อย่างมีประสิทธิภาพตามวัตถุประสงค์ของมาตรฐาน 

    ดังนั้น องค์กรต้องเตรียมความพร้อมให้สมบูรณ์ทุกด้าน ตั้งแต่การทบทวนว่าประยุกต์ใช้ข้อกำหนดครบถ้วนหรือไม่ การปฏิบัติตามมาตรการที่กำหนดไว้มีประสิทธิภาพเพียงใด รวมถึงผู้ที่เกี่ยวข้องมีความตระหนักและเข้าใจในเรื่องความมั่นคงปลอดภัยของสารสนเทศ และสามารถนำไปปฏิบัติได้ถูกต้องเหมาะสม เป็นต้น 


    ประเด็นสำคัญในการประเมินความพร้อมด้วยตนเองก่อนตรวจประเมินเพื่อขอรับการรับรองมีดังนี้

    ·   องค์กรกำหนดขอบเขตของระบบชัดเจนหรือไม่

    ·   ผู้บริหารมีความมุ่งมั่นและให้การสนับสนุนอย่างเป็นรูปธรรมหรือไม่

    ·   องค์กรเข้าใจข้อกำหนดของมาตรฐานและนำข้อกำหนดของ ISO/IEC 27001 มาประยุกต์ใช้ครบถ้วนหรือไม่

    ·   เอกสารระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศครบถ้วนสมบูรณ์หรือไม่

    ·   องค์กรได้นำระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศไปปฏิบัติครบถ้วนหรือไม่

    ·   ผลลัพธ์ของการดำเนินระบบมีเพียงพอที่จะประเมินความสามารถในการควบคุมจัดการความเสี่ยงต่างๆ หรือไม่

    ·  ผลลัพธ์ของการดำเนินระบบผ่านเกณฑ์หรือเป้าหมายหรือไม่  เช่น การปฏิบัติตามมาตรการลดความเสี่ยงส่งผลให้เกิดเหตุการณ์ไม่พึงประสงค์ (Information security incidents) ทางด้านความมั่นคงปลอดภัยของสารสนเทศลดลงตามเป้าหมาย เป็นต้น

    ·  องค์กรสามารถแสดงหลักฐานการปฏิบัติภายใต้ระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศได้หรือไม่ เพียงพอหรือไม่ เช่น แผนงาน บันทึกการปฏิบัติงาน เป็นต้น

    ·  ผลการดำเนินงานภายใต้ระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศมีประสิทธิภาพเพียงพอต่อการแก้ไขและป้องกันความเสี่ยงในรูปแบบต่างๆ ขององค์กร

    ·  ทุกหน่วยงานมีความเข้าใจในบทบาทและหน้าที่ของตนเองในการปฏิบัติงานภายใต้ระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศ

    การประเมินตนเองด้วยคำถามข้างต้น องค์กรต้องให้คำตอบทุกประเด็นอย่างชัดเจนเป็นรูปธรรม โดยมีเอกสารและหลักฐานต่างๆ  ยืนยัน รวมทั้งมีผลลัพธ์จากการดำเนินระบบที่แสดงให้เห็นว่าองค์กรสามารถจัดการ ควบคุม และลดความเสี่ยงให้อยู่ในระดับที่ยอมรับได้  รวมถึงมีกลไกที่สามารถปรับปรุงระบบให้สอดรับกับการเปลี่ยนแปลงต่าง ๆ เช่น ภัยคุกคามใหม่ และกฎหมายที่ปรับปรุงเพิ่มเติม  และที่สำคัญคือ บุคลากรทุกระดับต้องตระหนักถึงความสำคัญและเข้าใจบทบาทของตนเอง สามารถปฏิบัติตามระบบได้อย่างถูกต้อง ครบถ้วน สม่ำเสมอ และมีประสิทธิภาพ

    การตรวจประเมินเพื่อขอการรับรอง ISO 27001 (Certification Assessment)


    การตรวจประเมินเพื่อขอการรับรอง ISO 27001 (Certification Assessment)

    ผู้เขียน ปริญญ์ เสรีพงศ์ CISA CEH ISMS(IRCA)

    Email : mr.pryn@gmail.com


    ISO/IEC 27001 เป็นมาตรฐานที่สามารถตรวจประเมินเพื่อขอการรับรองจากหน่วยรับรอง (Certification body) ซึ่งเป็นการตรวจประเมินประเภทบุคคลที่สาม (Third-party conformity assessment)    องค์กรที่ต้องการประเมินสถานะระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศของตนเอง สามารถขอรับการตรวจประเมินจากหน่วยรับรอง (Certification body) เพื่อแสดงให้เห็นว่าระบบที่จัดทำขึ้นสอดคล้องกับมาตรฐานสากล

    การตรวจประเมินระบบประเภทบุคคลที่สาม (Third-party conformity assessment) ทำให้ผลการตรวจน่าเชื่อถือกว่าองค์กรตรวจประเมินตนเอง  และเป็นการตรวจที่นิยมในระดับสากล โดยหน่วยรับรองที่ให้บริการตรวจประเมินจะต้องมีความน่าเชื่อถือและมีมาตรฐานกำกับดูแล เพื่อให้มั่นใจว่าผลการตรวจประเมินน่าเชื่อถือและตรงตามมาตรฐานสากลที่กำหนดไว้


    Photo by John Schnobrich on Unsplash

    ประโยชน์ของการตรวจประเมินเพื่อขอรับการรับรอง

    ·   สร้างความเชื่อมั่นทางธุรกิจ จุดเด่นที่สำคัญของมาตรฐาน ISO/IEC 27001 คือการสร้างความต่อเนื่องทางธุรกิจ (Business Continuity)  ซึ่งเป็นมาตรการที่สร้างความเชื่อมั่นได้ว่าหากระบบสารสนเทศเกิดความเสียหายหรือเกิดภัยพิบัติส่งผลกระทบต่อกระบวนการธุรกิจที่สำคัญ องค์กรสามารถดำเนินการกู้คืนระบบให้กลับมาอยู่ในระดับที่ยอมรับได้ภายในเวลาที่เหมาะสม  แสดงให้เห็นว่าองค์กรมีการเตรียมความพร้อมเป็นอย่างดีและเป็นการสร้างความเชื่อมั่นให้แก่คู่ค้า

    ·  ภาพลักษณ์ที่เป็นสากล ภาพลักษณ์ขององค์กรมีความสำคัญในการดำเนินธุรกิจ  เพราะสะท้อนมุมมองของบุคคลภายนอกที่มีต่อองค์กร  หากองค์กรมีภาพลักษณ์ที่น่าเชื่อถือในการรักษาความมั่นคงปลอดภัยของสารสนเทศย่อมได้รับความไว้วางใจในผลิตภัณฑ์หรือบริการตามไปด้วย

    ·  สอดคล้องตามกฎหมาย การปฏิบัติตามกฎหมายที่เกี่ยวข้องกับความมั่นคงปลอดภัยของสารสนเทศ เป็นข้อกำหนดที่องค์กรต้องปฏิบัติตามอย่างเคร่งครัดและมีหลักฐานยืนยัน ดังนั้น องค์กรที่ได้รับการรับรองมาตรฐาน ISO/IEC 27001  จึงแสดงให้เห็นว่าองค์กรดำเนินการสอดคล้องตามกฎหมายด้านความมั่นคงปลอดภัยของสารสนเทศ

    ·   รักษาความต่อเนื่องตามมาตรฐาน เมื่อองค์กรผ่านการรับรองมาตรฐานโดยหน่วยรับรอง (Certification body)  ยังมีกลไกการติดตามและทบทวนว่าองค์กรยังคงรักษาระบบสอดคล้องตามมาตรฐานที่เรียกว่า Surveillance Audit ซึ่งหน่วยรับรอง (Certification body)ที่เป็นผู้ตรวจประเมินรับรองระบบเป็นผู้ดำเนินการ โดยติดตามและทบทวนผลการดำเนินงานเป็นระยะๆ ภายในช่วงอายุของการรับรองคือ 3 ปี จะเห็นได้ว่าองค์กรที่ผ่านการรับรองแล้วจะได้รับการตรวจประเมินและทบทวนอย่างต่อเนื่องเพื่อให้มั่นใจว่ายังคงรักษามาตรฐานไว้ได้

    การตรวจประเมินเพื่อขอการรับรอง ISO 27001 (Certification Assessment)

    Posted by pryn No comments


    การตรวจประเมินเพื่อขอการรับรอง ISO 27001 (Certification Assessment)

    ผู้เขียน ปริญญ์ เสรีพงศ์ CISA CEH ISMS(IRCA)

    Email : mr.pryn@gmail.com


    ISO/IEC 27001 เป็นมาตรฐานที่สามารถตรวจประเมินเพื่อขอการรับรองจากหน่วยรับรอง (Certification body) ซึ่งเป็นการตรวจประเมินประเภทบุคคลที่สาม (Third-party conformity assessment)    องค์กรที่ต้องการประเมินสถานะระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศของตนเอง สามารถขอรับการตรวจประเมินจากหน่วยรับรอง (Certification body) เพื่อแสดงให้เห็นว่าระบบที่จัดทำขึ้นสอดคล้องกับมาตรฐานสากล

    การตรวจประเมินระบบประเภทบุคคลที่สาม (Third-party conformity assessment) ทำให้ผลการตรวจน่าเชื่อถือกว่าองค์กรตรวจประเมินตนเอง  และเป็นการตรวจที่นิยมในระดับสากล โดยหน่วยรับรองที่ให้บริการตรวจประเมินจะต้องมีความน่าเชื่อถือและมีมาตรฐานกำกับดูแล เพื่อให้มั่นใจว่าผลการตรวจประเมินน่าเชื่อถือและตรงตามมาตรฐานสากลที่กำหนดไว้


    Photo by John Schnobrich on Unsplash

    ประโยชน์ของการตรวจประเมินเพื่อขอรับการรับรอง

    ·   สร้างความเชื่อมั่นทางธุรกิจ จุดเด่นที่สำคัญของมาตรฐาน ISO/IEC 27001 คือการสร้างความต่อเนื่องทางธุรกิจ (Business Continuity)  ซึ่งเป็นมาตรการที่สร้างความเชื่อมั่นได้ว่าหากระบบสารสนเทศเกิดความเสียหายหรือเกิดภัยพิบัติส่งผลกระทบต่อกระบวนการธุรกิจที่สำคัญ องค์กรสามารถดำเนินการกู้คืนระบบให้กลับมาอยู่ในระดับที่ยอมรับได้ภายในเวลาที่เหมาะสม  แสดงให้เห็นว่าองค์กรมีการเตรียมความพร้อมเป็นอย่างดีและเป็นการสร้างความเชื่อมั่นให้แก่คู่ค้า

    ·  ภาพลักษณ์ที่เป็นสากล ภาพลักษณ์ขององค์กรมีความสำคัญในการดำเนินธุรกิจ  เพราะสะท้อนมุมมองของบุคคลภายนอกที่มีต่อองค์กร  หากองค์กรมีภาพลักษณ์ที่น่าเชื่อถือในการรักษาความมั่นคงปลอดภัยของสารสนเทศย่อมได้รับความไว้วางใจในผลิตภัณฑ์หรือบริการตามไปด้วย

    ·  สอดคล้องตามกฎหมาย การปฏิบัติตามกฎหมายที่เกี่ยวข้องกับความมั่นคงปลอดภัยของสารสนเทศ เป็นข้อกำหนดที่องค์กรต้องปฏิบัติตามอย่างเคร่งครัดและมีหลักฐานยืนยัน ดังนั้น องค์กรที่ได้รับการรับรองมาตรฐาน ISO/IEC 27001  จึงแสดงให้เห็นว่าองค์กรดำเนินการสอดคล้องตามกฎหมายด้านความมั่นคงปลอดภัยของสารสนเทศ

    ·   รักษาความต่อเนื่องตามมาตรฐาน เมื่อองค์กรผ่านการรับรองมาตรฐานโดยหน่วยรับรอง (Certification body)  ยังมีกลไกการติดตามและทบทวนว่าองค์กรยังคงรักษาระบบสอดคล้องตามมาตรฐานที่เรียกว่า Surveillance Audit ซึ่งหน่วยรับรอง (Certification body)ที่เป็นผู้ตรวจประเมินรับรองระบบเป็นผู้ดำเนินการ โดยติดตามและทบทวนผลการดำเนินงานเป็นระยะๆ ภายในช่วงอายุของการรับรองคือ 3 ปี จะเห็นได้ว่าองค์กรที่ผ่านการรับรองแล้วจะได้รับการตรวจประเมินและทบทวนอย่างต่อเนื่องเพื่อให้มั่นใจว่ายังคงรักษามาตรฐานไว้ได้

    ระบบเอกสารของ ISO 27001 ( ISMS Documentation) ตอนที่2


    โครงสร้างระบบเอกสารของ ISO 27001

    ผู้เขียน ปริญญ์ เสรีพงศ์ CISA CEH ISMS(IRCA)

    Email : mr.pryn@gmail.com


    ในการทำระบบมีการจัดทำเอกสารหลายฉบับ  แต่ละฉบับมีวัตถุประสงค์ในการใช้งานต่างกันมีตั้งแต่เอกสารที่จัดทำเพื่ออธิบายภาพรวมของระบบ ไปจนถึงเอกสารที่อธิบายเชิงเทคนิคในรายละเอียดของการปฏิบัติงาน นอกจากนี้ยังมีเอกสารที่เป็นแบบฟอร์มสำหรับบันทึกอีกหลายรายการที่มีการใช้งานแตกต่างกันไป 

       โดยทั่วไปโครงสร้างเอกสารจะประกอบด้วยเอกสาร 4 ระดับประกอบด้วย
                   ระดับที่1   คู่มือ (Manual)
                   ระดับที่ 2  ระเบียบปฏิบัติ  (Procedure)
                   ระดับที่ 3  วิธีการปฏิบัติ (Work Instruction)
                   ระดับที่ 4  เอกสารสนับสนุนต่างๆ  (Supporting Document) เช่น
        แบบฟอร์ม แผนผัง เป็นต้น




                      คู่มือ (Manual)


    คู่มือเป็นเอกสารที่มีวัตถุประสงค์เพื่ออธิบายภาพรวมทั้งหมดของการจัดทำระบบ
    ตั้งแต่แนะนำองค์กร ระบุขอบเขตการจัดทำระบบ นโยบายการบริหารจัดการความมั่นคงปลอดภัยของสารสนเทศ  ผังโครงสร้างขององค์กร  ไปจนถึงภาพรวมของข้อกำหนดที่นำมาปฏิบัติ ซึ่งเชื่อมโยงไปยังระเบียบปฏิบัติที่เกี่ยวข้องด้วย

                       ระเบียบปฏิบัติ (Procedure)


       เอกสารระดับที่ 2 นี้ ใช้ในการอธิบายสาระสำคัญของเรื่อง ประกอบด้วยเนื้อหาที่ต้องการอธิบายว่าต้องทำอะไรบ้าง ครอบคลุมหัวข้อสำคัญของเรื่องที่ต้องการอธิบายไว้ทั้งหมด  ระเบียบปฏิบัติจะอธิบายรายละเอียดในระดับหนึ่ง ให้เกิดความเข้าใจ กรณีมีประเด็นที่มีรายละเอียดเชิงเทคนิคมาก นิยมนำส่วนนี้ไปเขียนเป็นวิธีการปฏิบัติ (Work Instruction) เพื่อความสะดวกในการใช้งาน และการควบคุมเอกสาร  เช่น ระเบียบปฏิบัติเรื่องการบริหารเครือข่าย ซึ่งครอบคลุมประเด็นสำคัญที่เกี่ยวข้องกับการบริหารเครือข่ายทั้งหมด  ส่วนขั้นตอนการปฏิบัติงานเชิงปฏิบัติจะเขียนเป็นวิธีปฏิบัติงาน เช่น วิธีปฏิบัติงานเรื่อง การเฝ้าระวังเครือข่าย  เป็นต้น

                       วิธีปฏิบัติงาน (Work Instruction)


       วิธีปฏิบัติงาน เน้นอธิบายขั้นตอน รายละเอียดอย่างชัดเจนเฉพาะเจาะจงในเรื่องใดเรื่องหนึ่งที่ไม่ได้อธิบายไว้ในระเบียบปฏิบัติ   เอกสารระดับที่ 3 นี้ จะมีการอ้างอิงมาจากระเบียบปฏิบัติ เพื่ออธิบายเชิงลึกและขยายความในรายละเอียด

                       เอกสารสนับสนุน (Supporting Document)


       ในการปฏิบัติงานจะพบว่ามีเอกสารอื่นที่จำเป็นต้องใช้งานนอกเหนือจากคู่มือ ระเบียบปฏิบัติ และวิธีการปฏิบัติงาน  ซึ่งเอกสารดังกล่าวนี้สามารถจัดให้อยู่ในระดับที่ 4 โดยส่วนใหญ่จะประกอบด้วย แบบฟอร์ม  แผนผังเครือข่าย  คู่มืออุปกรณ์(Equipment manual)  รวมถึงเอกสารอื่นๆที่เกี่ยวข้อง  เป็นต้น 

    จะเห็นได้ว่าโครงสร้างเอกสารมีความจำเป็นในการจัดระเบียบเอกสารทั้งหมดให้เป็นหมวดหมู่ที่ชัดเจน และกำหนดความเชื่อมโยงของเอกสารทั้งระบบ  การควบคุมเอกสารที่มีประสิทธิภาพนั้น จะต้องแสดงความสัมพันธ์ของเอกสารทั้งหมดที่อยู่ในระบบได้ว่า เอกสารเรื่องนั้นเชื่อมโยงกับเอกสารใดที่อยู่ระดับสูงกว่า และเชื่อมโยงกับเอกสารใดที่อยู่ระดับต่ำกว่าด้วย เช่น พิจารณาที่ระเบียบปฏิบัติเรื่องการบริหารเครือข่าย จะต้องเชื่อมโยงไปยังคู่มือ(Manual) ซึ่งมีการอธิบายแนวทางปฏิบัติของข้อกำหนดต่างๆ  และมีข้อหนดที่อ้างอิงมายังระเบียบปฏิบัติเรื่องนี้ด้วย  นอกจากนี้ระเบียบปฏิบัติเรื่องการบริหารเครือข่ายยังอ้างอิงถึงแบบฟอร์มที่ใช้บันทึกผลการปฏิบัติงาน ซึ่งเป็นเอกสารในระดับ4  จะเห็นได้ว่าเอกสารทั้งหมดเชื่อมโยงกันอย่างเป็นระบบชัดเจน

    ระบบเอกสารของ ISO 27001 ( ISMS Documentation) ตอนที่2

    Posted by pryn No comments


    โครงสร้างระบบเอกสารของ ISO 27001

    ผู้เขียน ปริญญ์ เสรีพงศ์ CISA CEH ISMS(IRCA)

    Email : mr.pryn@gmail.com


    ในการทำระบบมีการจัดทำเอกสารหลายฉบับ  แต่ละฉบับมีวัตถุประสงค์ในการใช้งานต่างกันมีตั้งแต่เอกสารที่จัดทำเพื่ออธิบายภาพรวมของระบบ ไปจนถึงเอกสารที่อธิบายเชิงเทคนิคในรายละเอียดของการปฏิบัติงาน นอกจากนี้ยังมีเอกสารที่เป็นแบบฟอร์มสำหรับบันทึกอีกหลายรายการที่มีการใช้งานแตกต่างกันไป 

       โดยทั่วไปโครงสร้างเอกสารจะประกอบด้วยเอกสาร 4 ระดับประกอบด้วย
                   ระดับที่1   คู่มือ (Manual)
                   ระดับที่ 2  ระเบียบปฏิบัติ  (Procedure)
                   ระดับที่ 3  วิธีการปฏิบัติ (Work Instruction)
                   ระดับที่ 4  เอกสารสนับสนุนต่างๆ  (Supporting Document) เช่น
        แบบฟอร์ม แผนผัง เป็นต้น




                      คู่มือ (Manual)


    คู่มือเป็นเอกสารที่มีวัตถุประสงค์เพื่ออธิบายภาพรวมทั้งหมดของการจัดทำระบบ
    ตั้งแต่แนะนำองค์กร ระบุขอบเขตการจัดทำระบบ นโยบายการบริหารจัดการความมั่นคงปลอดภัยของสารสนเทศ  ผังโครงสร้างขององค์กร  ไปจนถึงภาพรวมของข้อกำหนดที่นำมาปฏิบัติ ซึ่งเชื่อมโยงไปยังระเบียบปฏิบัติที่เกี่ยวข้องด้วย

                       ระเบียบปฏิบัติ (Procedure)


       เอกสารระดับที่ 2 นี้ ใช้ในการอธิบายสาระสำคัญของเรื่อง ประกอบด้วยเนื้อหาที่ต้องการอธิบายว่าต้องทำอะไรบ้าง ครอบคลุมหัวข้อสำคัญของเรื่องที่ต้องการอธิบายไว้ทั้งหมด  ระเบียบปฏิบัติจะอธิบายรายละเอียดในระดับหนึ่ง ให้เกิดความเข้าใจ กรณีมีประเด็นที่มีรายละเอียดเชิงเทคนิคมาก นิยมนำส่วนนี้ไปเขียนเป็นวิธีการปฏิบัติ (Work Instruction) เพื่อความสะดวกในการใช้งาน และการควบคุมเอกสาร  เช่น ระเบียบปฏิบัติเรื่องการบริหารเครือข่าย ซึ่งครอบคลุมประเด็นสำคัญที่เกี่ยวข้องกับการบริหารเครือข่ายทั้งหมด  ส่วนขั้นตอนการปฏิบัติงานเชิงปฏิบัติจะเขียนเป็นวิธีปฏิบัติงาน เช่น วิธีปฏิบัติงานเรื่อง การเฝ้าระวังเครือข่าย  เป็นต้น

                       วิธีปฏิบัติงาน (Work Instruction)


       วิธีปฏิบัติงาน เน้นอธิบายขั้นตอน รายละเอียดอย่างชัดเจนเฉพาะเจาะจงในเรื่องใดเรื่องหนึ่งที่ไม่ได้อธิบายไว้ในระเบียบปฏิบัติ   เอกสารระดับที่ 3 นี้ จะมีการอ้างอิงมาจากระเบียบปฏิบัติ เพื่ออธิบายเชิงลึกและขยายความในรายละเอียด

                       เอกสารสนับสนุน (Supporting Document)


       ในการปฏิบัติงานจะพบว่ามีเอกสารอื่นที่จำเป็นต้องใช้งานนอกเหนือจากคู่มือ ระเบียบปฏิบัติ และวิธีการปฏิบัติงาน  ซึ่งเอกสารดังกล่าวนี้สามารถจัดให้อยู่ในระดับที่ 4 โดยส่วนใหญ่จะประกอบด้วย แบบฟอร์ม  แผนผังเครือข่าย  คู่มืออุปกรณ์(Equipment manual)  รวมถึงเอกสารอื่นๆที่เกี่ยวข้อง  เป็นต้น 

    จะเห็นได้ว่าโครงสร้างเอกสารมีความจำเป็นในการจัดระเบียบเอกสารทั้งหมดให้เป็นหมวดหมู่ที่ชัดเจน และกำหนดความเชื่อมโยงของเอกสารทั้งระบบ  การควบคุมเอกสารที่มีประสิทธิภาพนั้น จะต้องแสดงความสัมพันธ์ของเอกสารทั้งหมดที่อยู่ในระบบได้ว่า เอกสารเรื่องนั้นเชื่อมโยงกับเอกสารใดที่อยู่ระดับสูงกว่า และเชื่อมโยงกับเอกสารใดที่อยู่ระดับต่ำกว่าด้วย เช่น พิจารณาที่ระเบียบปฏิบัติเรื่องการบริหารเครือข่าย จะต้องเชื่อมโยงไปยังคู่มือ(Manual) ซึ่งมีการอธิบายแนวทางปฏิบัติของข้อกำหนดต่างๆ  และมีข้อหนดที่อ้างอิงมายังระเบียบปฏิบัติเรื่องนี้ด้วย  นอกจากนี้ระเบียบปฏิบัติเรื่องการบริหารเครือข่ายยังอ้างอิงถึงแบบฟอร์มที่ใช้บันทึกผลการปฏิบัติงาน ซึ่งเป็นเอกสารในระดับ4  จะเห็นได้ว่าเอกสารทั้งหมดเชื่อมโยงกันอย่างเป็นระบบชัดเจน

    Latest Tweets

    ขับเคลื่อนโดย Blogger.
    back to top