รายการเอกสารขั้นต่ำที่ต้องจัดทำเป็นลายลักษณ์อักษร (Mandatory Documented Information) ตามมาตรฐานISO27001:2013

Posted by pryn on วันพุธที่ 30 กรกฎาคม พ.ศ. 2557 0

         ในการทำระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศ ISO27001-2013 นั้น จำเป็นต้องจัดทำข้อมูลสารสนเทศให้เป็นลายลักษณ์อักษร (Documented Information) เพื่อให้มีแนวทางการดำเนินระบบที่ชัดเจน จับต้องได้ และสื่อสารไปยังผู้เกี่ยวข้อง และที่สำคัญการทำเป็นลายลักษณ์อักษรทำให้ทวนสอบได้อย่างมีประสิทธิภาพ

  
เอกสารในที่นี้ไม่จำกัดเฉพาะเอกสารที่เป็นกระดาษ แต่รวมถึงข้อมูลในคอมพิวเตอร์ด้วย

รายการเอกสารด้านล่างนี้เป็นเพียงขั้นต่ำที่มาตรฐาน ISO 27001:2013  กำหนดไว้

  •  ขอบเขตของการจัดทำระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศ (ISMS scope) (ข้อกำหนด 4.3)

  •   นโยบายความมั่นคงปลอดภัยของสารสนเทศ (Information security policy) (ข้อกำหนด 5.2)

  • การประเมินความเสี่ยงด้านความมั่นคงปลอดภัยของสารสนเทศ (Information security risk assessment process) (ข้อกำหนด 6.1.2)

  • การจัดการกับความเสี่ยงด้านความมั่นคงปลอดภัยของสารสนเทศ (Information security risk treatment process) (ข้อกำหนด 6.1.3)

  • วัตถุประสงค์ด้านความมั่นคงปลอดภัยของสารสนเทศ (Information security objectives) (ข้อกำหนด 6.2)

  • เอกสารเกี่ยวกับการฝึกอบรมหรือการเรียนรู้สำหรับผู้เกี่ยวข้องกับความมั่นคงปลอดภัยของสารสนเทศ ให้มีความรู้ความสามารถเพียงพอ (Evidence of the competence of the people working in information security) เช่นแผนการฝึกอบรม บันทึกการฝึกอบรม เป็นต้น (ข้อกำหนด 7.2)

  •  เอกสารที่แสดงถึงประสิทธิผลของระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศ (documented information determined by the organization as being necessary for the effectiveness of ISMS) เช่น รายงานผลการตรวจสอบช่องโหว่ของระบบสารสนเทศ เป็นต้น (ข้อกำหนด 7.5.1b)

  • แผนการควบคุมการปฏิบัติงานและมาตรการต่างๆ (Operational planning and control documents) รวมถึง Operation Manualต่างๆที่ใช้ในการปฏิบัติงานให้เป็นไปตามแผนงานด้านความมั่นคงปลอดภัยของสารสนเทศ (ข้อกำหนด 8.1)

  • ผลการประเมินความเสี่ยงด้านความมั่นคงปลอดภัยของสารสนเทศ (The results of the Information Security risk assessments) (ข้อกำหนด 8.2)

  • ผลของการจัดการความเสี่ยงด้านความมั่นคงปลอดภัยของสารสนเทศ (The results of the information security risk treatment) เช่น ระดับความเสี่ยงเรื่องการโจมตีช่องโหว่ของระบบปฏิบัติการลดลงโดยการปิดช่องโหว่เหล่านั้น เป็นต้น (ข้อกำหนด 8.3)

  •   เอกสารที่แสดงถึงผลของการเฝ้าระวังและวัดผลด้านความมั่นคงปลอดภัยของสารสนเทศ (Evidence of the monitoring and measurement of information security)  เช่น รายงานผลการเฝ้าระวังด้านเครือข่าย เป็นต้น (ข้อกำหนด 9.1)

  •  เอกสารเกี่ยวกับการตรวจประเมินภายในระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศ (The ISMS internal audit program and the results of audits conducted ) เช่น แผนการตรวจประเมินภายใน  รายการคำถาม(Checklist) รายงานการตรวจประเมินภายใน(Audit Report) เป็นต้น (ข้อกำหนด 9.2)

  •  เอกสารที่แสดงถึงการจัดประชุมทบทวนฝ่ายบริหาร (Evidence of top management reviews of the ISMS) เช่น หัวข้อการประชุมทบทวนฝ่ายบริหาร  รายงานการประชุมทบทวนฝ่ายบริหาร เป็นต้น (ข้อกำหนด 9.3) 

  • เอกสารเกี่ยวกับสิ่งที่ไม่เป็นไปตามข้อกำหนดและแนวทางการแก้ไข (Evidence of non-conformities identified and corrective actions arising) (ข้อกำหนด 10.1)


ผู้เขียน : Pryn Sereepong, CISA, CEH, ISMS(IRCA)
pryn@ftpi.or.th

About the Author

Write admin description here..

Get Updates

Subscribe to our e-mail newsletter to receive updates.

Enter your email address:

Delivered by FeedBurner

Share This Post

Related posts

0 ความคิดเห็น :

back to top