Overview ข้อกำหนด ISO 27001:2013 ตอนที่ 1

Posted by pryn on วันจันทร์ที่ 3 กุมภาพันธ์ พ.ศ. 2557 0

ISO27001-2013 overview requirement














ผู้เขียน  ปริญญ์  เสรีพงศ์ CISA CEH ISMS(IRCA) 

Email : mr.pryn@gmail.com


บทความนี้อธิบายภภาพรวมของข้อกำหนดมาตรฐานISO27001:2013 Information Security Management System (ISMS)  เพื่อให้ผู้อ่านได้เข้าใจภาพกว้างของมาตรฐานเป็นพื้นฐานสำหรับศึกษารายละเอียดเพิ่มเติมในเอกสารมาตรฐานฉบับเต็มได้ง่ายขึ้น

  1. บริบทขององค์กร (Context of the organization)
  2. ภาวะผู้นํา (Leadership)
  3. การวางแผน (Planning)
  4. การสนับสนุน (Support)
  5. การดําเนินการ (Operation)
  6. การประเมินประสิทธิภาพและประสิทธิผล (Performance evaluation)
  7. การปรับปรุง (Improvement)

1.บริบทขององค์กร (Context of the organization)

1.1 ทำความเข้าใจองค์กรและบริบทขององค์กร (Understanding the organization and its context)

พื้นฐานสำคัญในการวางระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศ ISO27001:2013  คือความเข้าใจบริบทขององค์กร โดยต้องระบุประเด็นภายใน(Internal issues) และประเด็นภายนอก(External issues) นำทั้ง2ประเด็นนี้มาพิจารณาในการวางระบบให้ครอบคลุมอย่างเหมาะสมไม่ตกหล่นประเด็นสำคัญ

1.2 กําหนดความจําเป็นและความคาดหวังของผู้ที่เกี่ยวข้อง (Understanding the needs and expectations of interested parties)

ในการทำ ISO27001 จะต้องรู้ว่าใครคือผู้เกี่ยวข้อง (Interested parties) และพวกเขามีความต้องการและคาดหวังอะไร(needs and expectations)จากองค์กรของเรา  ระบบงานใดมีความสำคัญเพราะเป็นงานที่เกี่ยวข้องกับการส่งมอบสินค้าหรือบริการให้กับผู้เกี่ยวข้อง  บริบทขององค์กรเป็นข้อมูลสำคัญในการกำหนดขอบเขตของการจัดทำระบบ(Scope)

1.3 การกําหนดขอบเขตของระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (Determining the scope of the information security management system)

ขอบเขต(Scope)ของการทำ ISO27001:2013 ต้องพิจารณาถึงข้อกำหนดและความต้องการของผู้เกี่ยวข้อง(Interested parties)  ตรงนี้เป็นเงื่อนไขสำคัญที่องค์กรต้องทำความเข้าใจและกำหนดขอบเขตให้เหมาะสมและเพียงพอคือไม่กำหนดขอบเขตเล็กเกินไปจนตกหล่นผู้เกี่ยวข้อง หรือขอบเขตกว้างเกินกว่าความสามารถในการบริหารจัดการส่งผลให้ระบบขาดประสิทธิภาพ

1.4 ระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (Information security management system)

จัดทำระบบการจัดการความมั่นคงปลอดภัยสารสนเทศ(ISMS)  โดยกำหนดนโยบาย จัดทำเอกสารที่เกี่ยวข้อง นำไปปฏิบัติและรักษาไว้ รวมถึงปรับปรุงอย่างต่อเนื่อง โดยISMSต้องสอดคล้องตามข้อกําหนดของ ISO27001:2013 Information Security Management System

ข้อ 2 ภาวะผู้นํา (Leadership)

2.1 ภาวะผู้นําและการให้ความสําคัญ (Leadership and commitment) 

ผู้บริหารระดับสูงต้องแสดงให้เห็นถึงภาวะผู้นําและให้ความสําคัญต่อระบบการจัดการความมั่นคงปลอดภัยสารสนเทศ(ISMS)

2.2 นโยบาย (Policy)

ผู้บริหารระดับสูงกําหนดนโยบายความมั่นคงปลอดภัยสารสนเทศให้สอดคล้องกับจุดประสงค์ขององค์กรและสอดคล้องกับข้อกำหนด

2.3 บทบาท หน้าที่ความรับผิดชอบ และอํานาจหน้าที่ (Organizational roles, responsibilities and authorities)

กำหนดหน้าที่และความรับผิดชอบทางด้านความมั่นคงปลอดภัยของสารสนเทศ

ข้อ 3 การวางแผน (Planning)

3.1 การดําเนินการเพื่อจัดการกับความเสี่ยงและโอกาส (Actions to address risks and opportunities)

การวางแผนงานสำหรับระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศ จะต้องพิจารณาถึงบริบทขององค์กร  พิจารณาความเสี่ยงที่เกี่ยวข้องจากนั้นวางแนวทางจัดการอย่างเหมาะสม

3.2  วัตถุประสงค์ด้านความมั่นคงปลอดภัยสารสนเทศและแผนการบรรลุวัตถุประสงค์ (Information security objectives and plans to achieve them) 

กำหนดวัตถุประสงค์ด้านความมั่นคงปลอดภัยสารสนเทศ(Information Security Objectives)และแผนการบรรลุวัตถุประสงค์  โดยวัตถุประสงค์นี้จะต้องวัดผลได้ และสอดคล้องกับนโยบายความมั่นคงปลอดภัยของสารสนเทศ(Information Security Policy)


ข้อกำหนดที่เหลือ อ่านได้จากบทความ "Overview ข้อกำหนด ISO27001:2013 ตอนที่2 (จบ)"



About the Author

Write admin description here..

Get Updates

Subscribe to our e-mail newsletter to receive updates.

Enter your email address:

Delivered by FeedBurner

Share This Post

Related posts

0 ความคิดเห็น :

back to top