ระบบเอกสารของ ISO 27001 ( ISMS Documentation) ตอนที่2
Posted by
pryn
on
วันเสาร์ที่ 14 ธันวาคม พ.ศ. 2562
0
โครงสร้างระบบเอกสารของ ISO 27001
ผู้เขียน ปริญญ์ เสรีพงศ์ CISA CEH ISMS(IRCA)
Email : mr.pryn@gmail.com
ในการทำระบบมีการจัดทำเอกสารหลายฉบับ
แต่ละฉบับมีวัตถุประสงค์ในการใช้งานต่างกันมีตั้งแต่เอกสารที่จัดทำเพื่ออธิบายภาพรวมของระบบ
ไปจนถึงเอกสารที่อธิบายเชิงเทคนิคในรายละเอียดของการปฏิบัติงาน
นอกจากนี้ยังมีเอกสารที่เป็นแบบฟอร์มสำหรับบันทึกอีกหลายรายการที่มีการใช้งานแตกต่างกันไป
โดยทั่วไปโครงสร้างเอกสารจะประกอบด้วยเอกสาร 4 ระดับประกอบด้วย
ระดับที่1 คู่มือ (Manual)
ระดับที่
2 ระเบียบปฏิบัติ (Procedure)
ระดับที่ 3 วิธีการปฏิบัติ (Work Instruction)
ระดับที่
4 เอกสารสนับสนุนต่างๆ (Supporting Document) เช่น
แบบฟอร์ม แผนผัง เป็นต้น
คู่มือ (Manual)
คู่มือเป็นเอกสารที่มีวัตถุประสงค์เพื่ออธิบายภาพรวมทั้งหมดของการจัดทำระบบ
ตั้งแต่แนะนำองค์กร
ระบุขอบเขตการจัดทำระบบ นโยบายการบริหารจัดการความมั่นคงปลอดภัยของสารสนเทศ ผังโครงสร้างขององค์กร ไปจนถึงภาพรวมของข้อกำหนดที่นำมาปฏิบัติ
ซึ่งเชื่อมโยงไปยังระเบียบปฏิบัติที่เกี่ยวข้องด้วย
ระเบียบปฏิบัติ (Procedure)
เอกสารระดับที่ 2 นี้
ใช้ในการอธิบายสาระสำคัญของเรื่อง
ประกอบด้วยเนื้อหาที่ต้องการอธิบายว่าต้องทำอะไรบ้าง
ครอบคลุมหัวข้อสำคัญของเรื่องที่ต้องการอธิบายไว้ทั้งหมด ระเบียบปฏิบัติจะอธิบายรายละเอียดในระดับหนึ่ง
ให้เกิดความเข้าใจ กรณีมีประเด็นที่มีรายละเอียดเชิงเทคนิคมาก
นิยมนำส่วนนี้ไปเขียนเป็นวิธีการปฏิบัติ (Work Instruction) เพื่อความสะดวกในการใช้งาน
และการควบคุมเอกสาร เช่น
ระเบียบปฏิบัติเรื่องการบริหารเครือข่าย ซึ่งครอบคลุมประเด็นสำคัญที่เกี่ยวข้องกับการบริหารเครือข่ายทั้งหมด
ส่วนขั้นตอนการปฏิบัติงานเชิงปฏิบัติจะเขียนเป็นวิธีปฏิบัติงาน เช่น
วิธีปฏิบัติงานเรื่อง การเฝ้าระวังเครือข่าย
เป็นต้น
วิธีปฏิบัติงาน (Work Instruction)
วิธีปฏิบัติงาน เน้นอธิบายขั้นตอน รายละเอียดอย่างชัดเจนเฉพาะเจาะจงในเรื่องใดเรื่องหนึ่งที่ไม่ได้อธิบายไว้ในระเบียบปฏิบัติ เอกสารระดับที่ 3 นี้
จะมีการอ้างอิงมาจากระเบียบปฏิบัติ เพื่ออธิบายเชิงลึกและขยายความในรายละเอียด
เอกสารสนับสนุน (Supporting Document)
ในการปฏิบัติงานจะพบว่ามีเอกสารอื่นที่จำเป็นต้องใช้งานนอกเหนือจากคู่มือ
ระเบียบปฏิบัติ และวิธีการปฏิบัติงาน
ซึ่งเอกสารดังกล่าวนี้สามารถจัดให้อยู่ในระดับที่ 4 โดยส่วนใหญ่จะประกอบด้วย
แบบฟอร์ม แผนผังเครือข่าย คู่มืออุปกรณ์(Equipment manual) รวมถึงเอกสารอื่นๆที่เกี่ยวข้อง เป็นต้น
จะเห็นได้ว่าโครงสร้างเอกสารมีความจำเป็นในการจัดระเบียบเอกสารทั้งหมดให้เป็นหมวดหมู่ที่ชัดเจน
และกำหนดความเชื่อมโยงของเอกสารทั้งระบบ การควบคุมเอกสารที่มีประสิทธิภาพนั้น
จะต้องแสดงความสัมพันธ์ของเอกสารทั้งหมดที่อยู่ในระบบได้ว่า
เอกสารเรื่องนั้นเชื่อมโยงกับเอกสารใดที่อยู่ระดับสูงกว่า และเชื่อมโยงกับเอกสารใดที่อยู่ระดับต่ำกว่าด้วย
เช่น พิจารณาที่ระเบียบปฏิบัติเรื่องการบริหารเครือข่าย
จะต้องเชื่อมโยงไปยังคู่มือ(Manual) ซึ่งมีการอธิบายแนวทางปฏิบัติของข้อกำหนดต่างๆ
และมีข้อหนดที่อ้างอิงมายังระเบียบปฏิบัติเรื่องนี้ด้วย นอกจากนี้ระเบียบปฏิบัติเรื่องการบริหารเครือข่ายยังอ้างอิงถึงแบบฟอร์มที่ใช้บันทึกผลการปฏิบัติงาน
ซึ่งเป็นเอกสารในระดับ4 จะเห็นได้ว่าเอกสารทั้งหมดเชื่อมโยงกันอย่างเป็นระบบชัดเจน
Tagged as:
Documentation
,
ISO27001-2013

Write admin description here..
Get Updates
Subscribe to our e-mail newsletter to receive updates.
Share This Post
Related posts
0 ความคิดเห็น :