มาตรการ(Control)จัดการความมั่นคงปลอดภัยของสารสนเทศ ISO 27001 :2013

มาตรการ(Control)จัดการความมั่นคงปลอดภัยของสารสนเทศ ISO 27001 :2013

Posted by pryn on วันอาทิตย์ที่ 9 กุมภาพันธ์ พ.ศ. 2557 0

          การบริหารจัดการสารสนเทศในองค์กรให้มั่นคงปลอดภัยตามมาตรฐานISO 27001 :2013นั้น จำเป็นต้องมีมาตรการที่เหมาะสมกับความเสี่ยงของสารสนเทศ (Information Security Risk)

  
          ในการจัดทำและดำเนินระบบ (ISMS Establishment and Implementation)  ISO27001:2013 มีมาตรการให้ท่านเลือกมาใช้มากมายครอบคลุมตั้งแต่เรื่องคน (Human) เรื่องHardware ,Software และอื่นๆ

ท่านสามารถนำมาตรการเหล่านี้มาใช้งาน (Implementation) และวางระบบเฝ้าระวังตรวจสอบ (ISMS Monitoring and Measurement) เพื่อวัดผลว่ามาตรการนั้นๆมีประสิทธิภาพเพียงพอที่จัดการความเสี่ยงได้อย่างเหมาะสมหรือไม่

บทความนี้ขอนำเสนอมาตรการจัดการความมั่นคงปลอดภัยของสารสนเทศ ตาม Annex A ของ ISO 27001:2013

มาตรการมีทั้งหมด 14  ข้อได้แก่

• A5. นโยบายความมั่นคงปลอดภัยสารสนเทศ (Information Security Policy)    
• A6.  โครงสร้างความมั่นคงปลอดภัยสารสนเทศ  (organization  of  Information Security)
• A7. ความมั่นคงปลอดภัยสําหรับบุคลากร (Human Resource Security)
• A8. การบริหารจัดการทรัพย์สิน (Asset Management)
• A9. การควบคุมการเข้าถึง (Access Control)
• A10. การเข้ารหัสข้อมูล (Cryptography)
• A11.  ความมั่นคงปลอดภัยทางกายภาพและสภาพแวดล้อม  (Physical  and environmental Security)
• A12. ความมั่นคงปลอดภัยสําหรับการดําเนินการ (Operations Security)
• A13. ความมั่นคงปลอดภัยสําหรับการสื่อสารข้อมูล (Communications security)
• A14. การจัดหา การพัฒนา และการบํารุงรักษาระบบ (System acquisition, development and maintenance)
• A15. ความสัมพันธ์กับผู้ขาย ผู้ให้บริการภายนอก (Supplier relationships)
• A16.  การบริหารจัดการเหตุการณ์ความมั่นคงปลอดภัยสารสนเทศ  (Information Security Incident Management)
• A17. ประเด็นด้านความมั่นคงปลอดภัยสารสนเทศของการบริหารจัดการเพื่อสร้างความต่อเนื่องทางธุรกิจ (Information security aspects of business continuity management)
• A18. ความสอดคล้อง (Compliance)