Overview ข้อกำหนด ISO 27001:2013 ตอนที่ 1
Posted by
pryn
on
วันจันทร์ที่ 3 กุมภาพันธ์ พ.ศ. 2557
0
ผู้เขียน ปริญญ์ เสรีพงศ์ CISA CEH ISMS(IRCA)
Email : mr.pryn@gmail.com
- บริบทขององค์กร (Context of the organization)
- ภาวะผู้นํา (Leadership)
- การวางแผน (Planning)
- การสนับสนุน (Support)
- การดําเนินการ (Operation)
- การประเมินประสิทธิภาพและประสิทธิผล (Performance evaluation)
- การปรับปรุง (Improvement)
1.บริบทขององค์กร (Context of the organization)
1.1 ทำความเข้าใจองค์กรและบริบทขององค์กร (Understanding the organization and its context)
พื้นฐานสำคัญในการวางระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศ ISO27001:2013 คือความเข้าใจบริบทขององค์กร โดยต้องระบุประเด็นภายใน(Internal issues) และประเด็นภายนอก(External issues) นำทั้ง2ประเด็นนี้มาพิจารณาในการวางระบบให้ครอบคลุมอย่างเหมาะสมไม่ตกหล่นประเด็นสำคัญ1.2 กําหนดความจําเป็นและความคาดหวังของผู้ที่เกี่ยวข้อง (Understanding the needs and expectations of interested parties)
ในการทำ ISO27001 จะต้องรู้ว่าใครคือผู้เกี่ยวข้อง (Interested parties) และพวกเขามีความต้องการและคาดหวังอะไร(needs and expectations)จากองค์กรของเรา ระบบงานใดมีความสำคัญเพราะเป็นงานที่เกี่ยวข้องกับการส่งมอบสินค้าหรือบริการให้กับผู้เกี่ยวข้อง บริบทขององค์กรเป็นข้อมูลสำคัญในการกำหนดขอบเขตของการจัดทำระบบ(Scope)1.3 การกําหนดขอบเขตของระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (Determining the scope of the information security management system)
ขอบเขต(Scope)ของการทำ ISO27001:2013 ต้องพิจารณาถึงข้อกำหนดและความต้องการของผู้เกี่ยวข้อง(Interested parties) ตรงนี้เป็นเงื่อนไขสำคัญที่องค์กรต้องทำความเข้าใจและกำหนดขอบเขตให้เหมาะสมและเพียงพอคือไม่กำหนดขอบเขตเล็กเกินไปจนตกหล่นผู้เกี่ยวข้อง หรือขอบเขตกว้างเกินกว่าความสามารถในการบริหารจัดการส่งผลให้ระบบขาดประสิทธิภาพ1.4 ระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (Information security management system)
จัดทำระบบการจัดการความมั่นคงปลอดภัยสารสนเทศ(ISMS) โดยกำหนดนโยบาย จัดทำเอกสารที่เกี่ยวข้อง นำไปปฏิบัติและรักษาไว้ รวมถึงปรับปรุงอย่างต่อเนื่อง โดยISMSต้องสอดคล้องตามข้อกําหนดของ ISO27001:2013 Information Security Management Systemข้อ 2 ภาวะผู้นํา (Leadership)
2.1 ภาวะผู้นําและการให้ความสําคัญ (Leadership and commitment)
ผู้บริหารระดับสูงต้องแสดงให้เห็นถึงภาวะผู้นําและให้ความสําคัญต่อระบบการจัดการความมั่นคงปลอดภัยสารสนเทศ(ISMS)2.2 นโยบาย (Policy)
ผู้บริหารระดับสูงกําหนดนโยบายความมั่นคงปลอดภัยสารสนเทศให้สอดคล้องกับจุดประสงค์ขององค์กรและสอดคล้องกับข้อกำหนด2.3 บทบาท หน้าที่ความรับผิดชอบ และอํานาจหน้าที่ (Organizational roles, responsibilities and authorities)
กำหนดหน้าที่และความรับผิดชอบทางด้านความมั่นคงปลอดภัยของสารสนเทศข้อ 3 การวางแผน (Planning)
3.1 การดําเนินการเพื่อจัดการกับความเสี่ยงและโอกาส (Actions to address risks and opportunities)
การวางแผนงานสำหรับระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศ จะต้องพิจารณาถึงบริบทขององค์กร พิจารณาความเสี่ยงที่เกี่ยวข้องจากนั้นวางแนวทางจัดการอย่างเหมาะสม3.2 วัตถุประสงค์ด้านความมั่นคงปลอดภัยสารสนเทศและแผนการบรรลุวัตถุประสงค์ (Information security objectives and plans to achieve them)
กำหนดวัตถุประสงค์ด้านความมั่นคงปลอดภัยสารสนเทศ(Information Security Objectives)และแผนการบรรลุวัตถุประสงค์ โดยวัตถุประสงค์นี้จะต้องวัดผลได้ และสอดคล้องกับนโยบายความมั่นคงปลอดภัยของสารสนเทศ(Information Security Policy)ข้อกำหนดที่เหลือ อ่านได้จากบทความ "Overview ข้อกำหนด ISO27001:2013 ตอนที่2 (จบ)"
About the Author
Write admin description here..
Get Updates
Subscribe to our e-mail newsletter to receive updates.
Share This Post
Related posts
0 ความคิดเห็น :