EP1 : การเตรียมตัวสำหรับตัวแทนฝ่ายบริหารระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศ ISMR (Information Security Management Representative)

                                  ภาพจาก https://unsplash.com/photos/m0oSTE_MjsI

ผู้เขียน ปริญญ์ เสรีพงศ์ CISA CEH ISMS(IRCA)

Email : mr.pryn@gmail.com

 ISMR จะต้องเข้าใจภาพรวมของระบบ ISO 27001  ทั้งหมด เริ่มตั้งแต่

• บริบทองค์กร คือ องค์กรก่อตั้งขึ้นมาเพื่อวัตถุประสงค์อะไร  

         บริบทองค์กร เป็นสิ่งสำคัญอย่างมากในการกำหนดวัตถุประสงค์ เป้าหมายและแนวทางการวางระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศ

• มี Stakeholder อะไรบ้างที่เกี่ยวข้อง  และแต่ละparties มีบทบาทอย่างไร 

        Stakeholder คือผู้ที่ได้รับผลทั้งทางตรงและทางอ้อมของการจัดการความมั่นคงปลอดภัยของสารสนเทศ 

• Stakeholder มีความคาดหวังอะไรต่อองค์กร 

        แน่นอนว่า Stakeholder ย่อมมีผลประโยชน์ทางใดทางหนึ่งจากองค์กร ดังนั้นจึงต้องทราบความคาดหวังของ Stakeholder เพื่อนำมาประกอบการกำหนดแนวทาง และมาตรการที่เหมาะสม

• เข้าใจว่าองค์กรมีระบบสารสนเทศอะไรบ้างที่ตอบสนอง stakeholder  เช่นระบบ Email สำหรับเจ้าหน้าที่และติดต่อลูกค้า, web site สำหรับลูกค้า ผู้สนใจ  เป็นต้น

         การระบุระบบสารสนเทศเป็นจุดเริ่มต้นของการประเมินความเสี่ยง โดยต้องระบุ Hardware ,Software Service ที่เกี่ยวข้องให้ครบสมบูรณ์ เพื่อใช้เป็นข้อมูลในการระบุภัยคุกคาม และช่องโหว่