Overview ข้อกำหนด ISO 27001:2013 ตอนที่2 (จบ)

Posted by pryn on วันพุธที่ 5 กุมภาพันธ์ พ.ศ. 2557 0

บทความนี้อธิบายภาพรวมของข้อกำหนดมาตรฐานISO 27001:2013 Information Security Management System (ISMS) ต่อจากตอนที่แล้ว "Overview ข้อกำหนด ISO2001:2013 ตอนที่1" ครับ



ข้อ 4 การสนับสนุน (Support)

4.1 ทรัพยากร (Resources)

การทำระบบให้สำเร็จจำเป็นต้องมีทรัพยากรเพียงพอและเหมาะสม ประกอบด้วย บุคลากร เวลา งบประมาณ และการสนับสนุนจากผู้บริหารอย่างเป็นรูปธรรม

4.2 สมรรถนะ (Competence) 

บุคลากรที่มีส่วนร่วมในการจัดทำระบบจะต้องมีความรู้ความสามารถ ซึ่งต้องมีการให้ความรู้ที่ตรงกับภาระหน้าที่เพื่อให้บุคลากรสามารถปฏิบัติได้อย่างถูกต้อง

4.3 การสร้างความตระหนัก (Awareness) 

ความตระหนักเป็นเรื่องสำคัญในด้านความมั่นคงปลอดภัยของสารสนเทศ เพราะหากบุคลกรมีความตระหนักที่เพียงพอ ย่อมจะลดความเสี่ยงได้โดยปริยาย เช่น เรื่องการใช้รหัสผ่านที่แข็งแรงเดายาก ถ้าบุคลากรมีความตระหนักก็จะเข้าใจและปฏิบัติตามส่งผลการความเสี่ยงลดลง

4.4 การสื่อสาร (Communication)

การสื่อสารประกอบด้วยสื่อสารภายใน(Internal Communication) และการสื่อสารภายนอก (External Communication)  เพื่อให้ความรู้ ข่าวสารที่เป็นประโยชน์ เป็นวิธีในการสร้างความตระหนักที่ได้ผลดี

4.5 เอกสารสารสนเทศ (Documented information)

เอกสารมีความจำเป็นในการทำงานร่วมกันเพื่อให้เกิดความชัดเจนแก่ผู้ปฏิบัติและผู้ตรวจสอบ (Auditor)   เอกสารในระบบISO27001:2013 นั้นจะต้องผ่านการจัดทำโดยผู้ที่มีความรู้  มีผู้ทบทวน และอนุมัติก่อนจะนำไปใช้งาน

ข้อ 5  การดําเนินการ (Operation)

5.1  การวางแผนที่เกี่ยวข้องกับการดําเนินการและการควบคุม (Operational  planning  and control) 

ข้อนี้กล่าวถึงการปฏิบัติตามแผนที่วางไว้ โดยลงมือปฏิบัติตามแผนจัดการความเสี่ยง

5.2  การประเมินความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ (Information  security  risk assessment) 

ประเมินความเสี่ยงต้องทำเป็นระยะ ไม่ใช่ทำครั้งเดียวจบ  เพราะเมื่อเวลาผ่านไปก็จะมีความเสี่ยงใหม่เกิดขึ้นมา ไม่ว่าจะเป็นความเสี่ยงจากเทคโนโลยีใหม่ๆ หรือสภาพแวดล้อม สังคมและการเมือง

5.3 การจัดการกับความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ (Information security risk treatment)

Information Security Risk Treatment เป็นเครื่องมือการจัดการความเสี่ยงที่จัดทำขึ้นภายหลังการประเมินความเสี่ยงของทรัพย์สินสารสนเทศ โดยกำหนดรายละเอียด ขั้นตอนวิธีการต่างๆ เพื่อนำไปปฏิบัติให้ได้ผลลัพธ์ตามที่กำหนดไว้

ข้อ 6 การประเมินประสิทธิภาพและประสิทธิผล (Performance evaluation)

6.1  การเฝ้าระวัง การวัดผล การวิเคราะห์ และการประเมิน (Monitoring,  measurement, analysis and evaluation) 

เรื่องสำคัญที่พลาดไม่ได้คือ การเฝ้าระวัง (Monitor)  การวัด(measure) การวิเคราะห์( analyze) และการประเมิน(evaluate)  performance ของระบบ  ทำให้รู้ได้ว่าผลลัพธ์เป็นไปตามที่วางแผนหรือไม่อย่างไร

6.2 การตรวจประเมินภายใน (Internal audit)

การตรวจประเมินภายใน (Internal Audit) เป็นเครื่องมือสำคัญที่ทำให้รู้ว่าระบบที่เราจัดทำขึ้นมานั้น มีความสมบูรณ์จัดทำครบถ้วนตามข้อกำหนด มีการนำไปปฏิบัติหรือไม่ และได้ผลลัพธ์เป็นอย่างไร ตรวจสอบความเข้าใจ  การปฏิบัติและเอกสารบันทึกที่เกี่ยวข้อง

6.3 การทบทวนของผู้บริหาร (Management review)

Management Review เป็นการประชุมเพื่อรายงานผลของการจัดทำระบบ ISO27001:2013 Information Security Management (ISMS) ต่อผู้บริหารระดับสูง (Top Management)  โดยรายงานถึงการเปลี่ยนแปลงภายในและภายนอกที่มีผลกระทบต่อระบบฯ ผลการประเมินความเสี่ยงและการจัดการความเสี่ยง  ผลการเฝ้าระวังด้านInformation Security  ผลการตรวจประเมินภายใน(Internal Audit) ข้อบกพร่องจากการตรวจประเมินภายใน เป็นต้น

ข้อ 7 การปรับปรุง (Improvement)

7.1 ความไม่สอดคล้องและการดําเนินการแก้ไข (Nonconformity and corrective action)

การระบุความไม่สอดคล้อง(Nonconformity) และแก้ไขความไม่สอดคล้อง (corrective action) อย่างเป็นระบบ มีผู้รับผิดชอบและมีบันทึกที่เป็นลายลักษณ์อักษรเกี่ยวกับความไม่สอดคล้องและแนวทางการแก้ไข

7.2 การปรับปรุงอย่างต่อเนื่อง (Continual improvement) 

ข้อกำหนดระบุให้องค์กรปรับปรุงระบบให้มีความเหมาะสม เพียงพอ และมีการปรับปรุงอย่างต่อเนื่อง




About the Author

Write admin description here..

Get Updates

Subscribe to our e-mail newsletter to receive updates.

Enter your email address:

Delivered by FeedBurner

Share This Post

Related posts

0 ความคิดเห็น :

back to top