Overview ข้อกำหนด ISO 27001:2013 ตอนที่2 (จบ)
Posted by
pryn
on
วันพุธที่ 5 กุมภาพันธ์ พ.ศ. 2557
0
บทความนี้อธิบายภาพรวมของข้อกำหนดมาตรฐานISO 27001:2013 Information Security Management System (ISMS) ต่อจากตอนที่แล้ว "Overview ข้อกำหนด ISO2001:2013 ตอนที่1" ครับ
ผู้เขียน ปริญญ์ เสรีพงศ์ CISA CEH ISMS(IRCA)
Email : mr.pryn@gmail.com
ข้อ 4 การสนับสนุน (Support)
4.1 ทรัพยากร (Resources)
การทำระบบให้สำเร็จจำเป็นต้องมีทรัพยากรเพียงพอและเหมาะสม ประกอบด้วย บุคลากร เวลา งบประมาณ และการสนับสนุนจากผู้บริหารอย่างเป็นรูปธรรม4.2 สมรรถนะ (Competence)
บุคลากรที่มีส่วนร่วมในการจัดทำระบบจะต้องมีความรู้ความสามารถ ซึ่งต้องมีการให้ความรู้ที่ตรงกับภาระหน้าที่เพื่อให้บุคลากรสามารถปฏิบัติได้อย่างถูกต้อง4.3 การสร้างความตระหนัก (Awareness)
ความตระหนักเป็นเรื่องสำคัญในด้านความมั่นคงปลอดภัยของสารสนเทศ เพราะหากบุคลกรมีความตระหนักที่เพียงพอ ย่อมจะลดความเสี่ยงได้โดยปริยาย เช่น เรื่องการใช้รหัสผ่านที่แข็งแรงเดายาก ถ้าบุคลากรมีความตระหนักก็จะเข้าใจและปฏิบัติตามส่งผลการความเสี่ยงลดลง4.4 การสื่อสาร (Communication)
การสื่อสารประกอบด้วยสื่อสารภายใน(Internal Communication) และการสื่อสารภายนอก (External Communication) เพื่อให้ความรู้ ข่าวสารที่เป็นประโยชน์ เป็นวิธีในการสร้างความตระหนักที่ได้ผลดี4.5 เอกสารสารสนเทศ (Documented information)
เอกสารมีความจำเป็นในการทำงานร่วมกันเพื่อให้เกิดความชัดเจนแก่ผู้ปฏิบัติและผู้ตรวจสอบ (Auditor) เอกสารในระบบISO27001:2013 นั้นจะต้องผ่านการจัดทำโดยผู้ที่มีความรู้ มีผู้ทบทวน และอนุมัติก่อนจะนำไปใช้งานข้อ 5 การดําเนินการ (Operation)
5.1 การวางแผนที่เกี่ยวข้องกับการดําเนินการและการควบคุม (Operational planning and control)
ข้อนี้กล่าวถึงการปฏิบัติตามแผนที่วางไว้ โดยลงมือปฏิบัติตามแผนจัดการความเสี่ยง5.2 การประเมินความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ (Information security risk assessment)
ประเมินความเสี่ยงต้องทำเป็นระยะ ไม่ใช่ทำครั้งเดียวจบ เพราะเมื่อเวลาผ่านไปก็จะมีความเสี่ยงใหม่เกิดขึ้นมา ไม่ว่าจะเป็นความเสี่ยงจากเทคโนโลยีใหม่ๆ หรือสภาพแวดล้อม สังคมและการเมือง5.3 การจัดการกับความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ (Information security risk treatment)
Information Security Risk Treatment เป็นเครื่องมือการจัดการความเสี่ยงที่จัดทำขึ้นภายหลังการประเมินความเสี่ยงของทรัพย์สินสารสนเทศ โดยกำหนดรายละเอียด ขั้นตอนวิธีการต่างๆ เพื่อนำไปปฏิบัติให้ได้ผลลัพธ์ตามที่กำหนดไว้ข้อ 6 การประเมินประสิทธิภาพและประสิทธิผล (Performance evaluation)
6.1 การเฝ้าระวัง การวัดผล การวิเคราะห์ และการประเมิน (Monitoring, measurement, analysis and evaluation)
เรื่องสำคัญที่พลาดไม่ได้คือ การเฝ้าระวัง (Monitor) การวัด(measure) การวิเคราะห์( analyze) และการประเมิน(evaluate) performance ของระบบ ทำให้รู้ได้ว่าผลลัพธ์เป็นไปตามที่วางแผนหรือไม่อย่างไร6.2 การตรวจประเมินภายใน (Internal audit)
การตรวจประเมินภายใน (Internal Audit) เป็นเครื่องมือสำคัญที่ทำให้รู้ว่าระบบที่เราจัดทำขึ้นมานั้น มีความสมบูรณ์จัดทำครบถ้วนตามข้อกำหนด มีการนำไปปฏิบัติหรือไม่ และได้ผลลัพธ์เป็นอย่างไร ตรวจสอบความเข้าใจ การปฏิบัติและเอกสารบันทึกที่เกี่ยวข้อง6.3 การทบทวนของผู้บริหาร (Management review)
Management Review เป็นการประชุมเพื่อรายงานผลของการจัดทำระบบ ISO27001:2013 Information Security Management (ISMS) ต่อผู้บริหารระดับสูง (Top Management) โดยรายงานถึงการเปลี่ยนแปลงภายในและภายนอกที่มีผลกระทบต่อระบบฯ ผลการประเมินความเสี่ยงและการจัดการความเสี่ยง ผลการเฝ้าระวังด้านInformation Security ผลการตรวจประเมินภายใน(Internal Audit) ข้อบกพร่องจากการตรวจประเมินภายใน เป็นต้นข้อ 7 การปรับปรุง (Improvement)
7.1 ความไม่สอดคล้องและการดําเนินการแก้ไข (Nonconformity and corrective action)
การระบุความไม่สอดคล้อง(Nonconformity) และแก้ไขความไม่สอดคล้อง (corrective action) อย่างเป็นระบบ มีผู้รับผิดชอบและมีบันทึกที่เป็นลายลักษณ์อักษรเกี่ยวกับความไม่สอดคล้องและแนวทางการแก้ไข7.2 การปรับปรุงอย่างต่อเนื่อง (Continual improvement)
ข้อกำหนดระบุให้องค์กรปรับปรุงระบบให้มีความเหมาะสม เพียงพอ และมีการปรับปรุงอย่างต่อเนื่อง
About the Author
Write admin description here..
Get Updates
Subscribe to our e-mail newsletter to receive updates.
Share This Post
Related posts
0 ความคิดเห็น :