ISO 27001 ตัวแทนฝ่ายบริหารฯ (ISMR) ต้องรู้อะไรบ้าง
Posted by
pryn
on
วันพฤหัสบดีที่ 5 ธันวาคม พ.ศ. 2562
0
ตัวแทนฝ่ายบริหารระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศ(ISMR: Information
Security Management Representative)
ผู้เขียน ปริญญ์ เสรีพงศ์ CISA CEH ISMS(IRCA)
Email : mr.pryn@gmail.com
ISMR คือ
ผู้ที่ดูแลรับผิดชอบภาพรวมทั้งหมดของระบบฯ ทั้งด้านการวางระบบ
และการนำระบบไปปฏิบัติจริง (Design & Implementation)
ดังนั้น ISMRจึงต้องมีความรู้และความเข้าใจอย่างเพียงพอ เข้าใจบริบทองค์กรและเข้าใจในมาตรฐาน ISO 27001 ความเข้าใจนี้แหละที่เป็นฟันเฟืองสำคัญในการสร้างระบบฯที่เหมาะสมกับองค์กรและเกิดผลลัพธ์ที่เป็นประโยชน์อย่างแท้จริง
Photo by Austin Distel on Unsplash
ISMR จะต้องเข้าใจภาพรวมของระบบ
ISO 27001 ทั้งหมด ได้แก่
เข้าใจบริบทองค์กร
คือเข้าใจว่าองค์กรก่อตั้งขึ้นมาเพื่อวัตถุประสงค์อะไร ถ้าป็นเอกชนก็ตั้งขึ้นมาเพื่อทำธุรกิจ(เช่น บริการขนส่งสินค้า) ถ้าเป็นราชการก็ตั้งขึ้นมาเพื่อบริการประชาชน(เช่น โรงพยาบาลรัฐ ) เป็นต้น
· รู้ว่ามี
Stakeholder อะไรบ้างที่เกี่ยวข้องกับองค์กร
Stakeholder คือผู้มีส่วนเกี่ยวข้องกับองค์กร เช่น ผู้ถือหุ้น
ลูกค้า ผู้ให้บริการ พนักงาน เป็นต้น
·
รู้ว่า
Stakeholder มีความคาดหวังอะไรต่อองค์กร
เช่น ลูกค้าคาดหวังว่าองค์กรจะดูแลข้อมูลสารสนเทศให้มั่นคงปลอดภัย ไม่รั่วไหลหรือสูญหาย
เป็นต้น
·
รู้ว่าองค์กรมีระบบสารสนเทศอะไรบ้างที่ตอบสนอง
stakeholder
เช่นระบบ Email สำหรับเจ้าหน้าที่และติดต่อลูกค้า, web site สำหรับลูกค้า ผู้สนใจ เป็นต้น
·
เข้าใจ
Risk Management framework
ซึ่งเริ่มจาก อุปกรณ์สารสนเทศของเรามีช่องโหว่
(ด้าน hardware,software,people) ซึ่งมีโอกาสที่ภัยคุกคามจะโจมตี โอกาสที่จะถูกโจมตีและเกิดผลกระทบเสียหายนี้ เราเรียกว่า “ความเสี่ยง” ดังนั้น
จึงต้องประเมินความเสี่ยงของสารสนเทศให้ครอบคลุมทุกระบบงาน (ภายใน scope ที่ขอการรับรอง)
Tagged as:
About the Author
Write admin description here..
Get Updates
Subscribe to our e-mail newsletter to receive updates.
Share This Post
Related posts
0 ความคิดเห็น :