แนะนำข้อกำหนดของ ISO
27001:2013 แบบเข้าใจง่าย
ธุรกิจในปัจจุบันต้องแข่งขันกันที่ข้อมูลและระบบเทคโนโลยีสารสนเทศ
ว่ากันว่าข้อมูลลับทางการค้าในมือของใครครบถ้วน ถูกต้อง ประมวลผลและวิเคราะห์ได้รวดเร็วกว่า
คนนั้นย่อมได้เปรียบคู่แข่งเสมอ ดังนั้น จึงไม่น่าแปลกใจที่มีทฤษฎี โมเดล มาตรฐาน
และงานวิจัยเกี่ยวข้องกับความพยายามในการบริหารจัดการข้อมูลอย่างมีประสิทธิภาพปรากฏให้เห็นอยู่มากมาย
ซึ่งแน่นอนว่ามาตรฐานสากล ISO 27001:2013 การบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ
(Information Security Management System) มักจะได้รับการอ้างอิงถึงอยู่เสมอๆ
และกำลังได้รับความนิยมในการนำไปประยุกต์ใช้งานเพิ่มขึ้นอย่างต่อเนื่อง
สำหรับองค์กรที่ต้องการได้รับการรับรองมาตรฐาน
ISO
27001:2013 นั้น จำเป็นที่จะต้องปฏิบัติตามข้อกำหนดหลักของมาตรฐาน
ซึ่งถ้าอ้างอิงตามเอกสารแล้วได้แก่ ข้อกำหนด 4-10 นั่นเอง
ซึ่งในบทความนี้ ผมจะขอแนะนำข้อกำหนดหลักดังกล่าวให้ทุกท่านเข้าใจอย่างง่ายๆ
ดังนี้
ข้อกำหนดหลักของมาตรฐาน ISO
27001:2013
ข้อกำหนดที่ 4
การระบุบริบทขององค์กร
ทำความเข้าใจองค์กรและบริบท : คุณจะต้องระบุประเด็นและปัจจัยทั้งภายในและภายนอกองค์กร ที่มีผลกระทบกับเป้าหมายและวัตถุประสงค์ในการบริหารจัดการความมั่นคงปลอดภัย
ทำความเข้าใจกับความต้องการและความคาดหวังของผู้ที่มีส่วนเกี่ยวข้อง
:
คุณจะต้องระบุตัวผู้ที่มีส่วนเกี่ยวข้องกับความมั่นคงปลอดภัยขององค์กรทั้งหมด
แล้วระบุความต้องการและความคาดหวังของพวกเขาที่มีต่อการบริหารจัดการความมั่นคงปลอดภัย
ระบุขอบเขตของระบบบริหารความมั่นคงปลอดภัย : คุณจะต้องระบุขอบเขตของการจัดทำระบบบริหารความมั่นคงปลอดภัยอย่างชัดเจน
รวมถึงข้อยกเว้นต่างๆ ด้วย (ถ้ามี)
ระบบบริหารจัดการความมั่นคงปลอดภัย : องค์กรจะต้องมีการจัดตั้ง บังคับใช้ บำรุงรักษา
และปรับปรุงระบบบริหารจัดการความมั่นคงปลอดภัยอย่างเหมาะสม
ข้อกำหนดที่ 5 ภาวะผู้นำ
ภาวะผู้นำและพันธกิจ : ผู้บริหารจะต้องแสดงออกถึงพันธกิจและความเป็นผู้นำในการจัดทำระบบบริหารจัดการความมั่นคงปลอดภัย
โดยจะต้องมั่นใจว่านโยบายด้านความมั่นคงปลอดภัยมีความสอดคล้องกับวัตถุประสงค์ขององค์กร
และมีการจัดการทรัพยากรที่จำเป็นในการดำเนินการให้อย่างเพียงพอ
นโยบาย : องค์กรจะต้องมีการประกาศ
บังคับใช้ และสื่อสารเกี่ยวกับนโยบายด้านความมั่นคงปลอดภัยอย่างเหมาะสม
บทบาท หน้าที่ ความรับผิดชอบ และการใช้อำนาจหน้าที่
:
ผู้บริหารจะต้องกำหนดบทบาท อำนาจ
หน้าที่และความรับผิดชอบของบุคลากรที่เกี่ยวข้องกับการบริหารจัดการความมั่นคงปลอดภัยอย่างเหมาะสม
ข้อกำหนดที่ 6
การวางแผน
การบริหารความเสี่ยง : คุณจะต้องมีการบริหารจัดการความเสี่ยงและโอกาสที่เกี่ยวข้องกับความมั่นคงปลอดภัย
โดยการหามาตรการป้องกันหรือปรับปรุงให้ความเสี่ยงต่างๆ อยู่ในระดับที่องค์กรสามารถยอมรับได้
ทั้งนี้ ในการประเมินความเสี่ยงจะต้องคำนึงถึง 3 แง่มุม อันได้แก่
ความลับ (Confidentiality), ความถูกต้องครบถ้วน (Integrity)
และความพร้อมใช้งาน (Availability)
จากนั้นจึงทำการจัดลำดับความสำคัญของความเสี่ยง กำหนดตัวผู้เป็นเจ้าของความเสี่ยง
พร้อมทั้งจัดหาแผนการแก้ไขความเสี่ยงต่อไป
กำหนดวัตถุประสงค์และแผนงาน : คุณจะต้องมีการกำหนดวัตถุประสงค์ด้านความมั่นคงปลอดภัยของแต่ละแผนก ฝ่าย
หรือหน่วยงาน พร้อมทั้งสื่อสารให้พวกเขารับทราบ
รวมถึงจะต้องจัดทำแผนงานที่เหมาะสมเพื่อให้สอดคล้องตามวัตถุประสงค์เหล่านั้น
ข้อกำหนดที่ 7 การสนับสนุน
ทรัพยากร :
ผู้บริหารจะต้องสนับสนุนและจัดการทรัพยากรต่างๆ
ให้เพียงพอต่อการจัดทำระบบบริหารความมั่นคงปลอดภัย
ทักษะความสามารถ : องค์กรจะต้องมีการกำหนดทักษะความสามารถ (Competency) ที่จำเป็นในการบริหารจัดการความมั่นคงปลอดภัย และจัดให้มีการอบรมฝึกฝนเพื่อให้บุคลากรมีทักษะความสามารถเหล่านั้น
รวมถึงจะต้องมีการประเมินความสามารถเป็นประจำตามรอบระยะเวลาที่กำหนด
ความตระหนักรู้ : บุคลากรและผู้ที่เกี่ยวข้องทั้งหมดจะต้องมีความตระหนักรู้ (Awareness)
ด้านการบริหารจัดการความมั่นคงปลอดภัย โดยจะต้องได้รับการสื่อสารและให้ความรู้เกี่ยวกับนโยบายและแผนการดำเนินการต่างๆ
อย่างเหมาะสม
การติดต่อสื่อสาร : คุณจะต้องจัดให้มีการสื่อสารเกี่ยวกับการบริหารจัดการความมั่นคงปลอดภัยไปยังผู้ที่มีส่วนเกี่ยวข้องทั้งหมดตามความจำเป็น
ทั้งบุคคลภายในและภายนอกองค์กร เพื่อให้ทุกคนสามารถปฏิบัติตนได้สอดคล้องตามข้อกำหนดของมาตรฐานสากล
การบริหารจัดการเอกสาร : คุณจะต้องกำหนดให้มีการบริหารจัดการเอกสารและบันทึกต่างๆ
ที่เกี่ยวข้องกับระบบบริการจัดการความมั่นคงปลอดภัย ให้มีความครบถ้วนถูกต้อง
พร้อมใช้งาน สอดคล้องตามระดับความสำคัญของข้อมูลนั้นๆ ตลอดวัฏจักรของเอกสารเหล่านั้น
ข้อกำหนดที่ 8 การปฏิบัติงาน
การวางแผนและควบคุมการปฏิบัติงาน : คุณจะต้องมีการวางแผนและควบคุมการปฏิบัติงานด้านการบริหารความมั่นคงปลอดภัยอย่างเหมาะสม
เพื่อให้สอดคล้องตามวัตถุประสงค์ที่ได้กำหนดไว้ รวมถึงมีการควบคุมบริหารความเปลี่ยนแปลง
(Change Management) ที่เกิดขึ้น
และควบคุมการปฏิบัติงานของผู้ให้บริการภายนอก (Outsource) ที่เกี่ยวข้องอีกด้วย
การประเมินความเสี่ยงด้านความมั่นคงปลอดภัย : คุณจะต้องทำการประเมินความเสี่ยงด้านความมั่นคงปลอดภัยอย่างสม่ำเสมอตามรอบระยะเวลาที่ได้กำหนดไว้
หรือเมื่อมีการเปลี่ยนแปลงที่มีนัยสำคัญเกิดขึ้น
การแก้ไขความเสี่ยงด้านความมั่นคงปลอดภัย : คุณจะต้องจัดทำแผนแก้ไขความเสี่ยงให้สอดคล้องตามผลการประเมิน
และดำเนินการตามแผนนั้นเพื่อให้ความเสี่ยงลดลงมาอยู่ในระดับที่องค์กรสามารถยอมรับได้
ข้อกำหนดที่ 9 การประเมินประสิทธิภาพและประสิทธิผล
การตรวจติดตาม การวัดผล
การวิเคราะห์และการประเมินผล : คุณจะต้องทำการประเมินประสิทธิภาพและประสิทธิผลของระบบบริหารความมั่นคงปลอดภัย
ด้วยการตรวจติดตาม การวัดผล การวิเคราะห์และการประเมินผล และสรุปรายงานเพื่อนำเสนอให้ผู้บริหารพิจารณาต่อไป
การตรวจสอบภายใน : คุณจะต้องดำเนินการตรวจสอบภายในระบบบริหารความมั่นคงปลอดภัยตามรอบระยะเวลาที่ได้กำหนดไว้
โดยครอบคลุมทุกหัวข้อที่ระบุไว้ในขอบเขตของระบบ
การทบทวนโดยผู้บริหาร : ผู้บริหารระดับสูงจะต้องพิจารณาทบทวนระบบบริหารจัดการความมั่นคงปลอดภัยตามรอบระยะเวลาที่ได้กำหนดไว้
เพื่อให้มั่นใจได้ว่าระบบมีประสิทธิภาพและประสิทธิผลอยู่เสมอ
ข้อกำหนดที่ 10
การพัฒนาและปรับปรุง
สิ่งที่ไม่สอดคล้องตามข้อกำหนด และการแก้ไข : เมื่อพบว่ามีสิ่งใดที่ไม่เป็นไปตามข้อกำหนด
คุณจะต้องระบุข้อมูลของสิ่งนั้น แล้วดำเนินการวางแผนแก้ไขปัญหาให้ถูกต้องครบถ้วน
รวมถึงทำการวัดผลการแก้ไขนั้นด้วย
การปรับปรุงอย่างต่อเนื่อง : องค์กรจะต้องมีการพัฒนาปรับปรุงประสิทธิภาพและประสิทธิผลของระบบบริหารจัดการความมั่นคงปลอดภัยอย่างต่อเนื่อง
เพื่อให้สอดคล้องตามวัตถุประสงค์ทางธุรกิจขององค์กรอยู่เสมอ
การปฏิบัติตามข้อกำหนดเหล่านี้จะช่วยให้มั่นใจได้ว่าข้อมูลและระบบสารสนเทศขององค์กรมีความมั่นคงปลอดภัย
และสามารถขอรับการตรวจประเมิน ISO 27001:2013 จากหน่วยงานรับรองได้
รวมถึงช่วยเพิ่มความได้เปรียบ ความมั่นคง และความต่อเนื่องในการดำเนินธุรกิจภายใต้สถานการณ์ที่การต่อสู้แข่งขันกันมีความดุเดือดอย่างเช่นในปัจจุบันนี้นี่เอง
Content Cr: DestinationOne Counselor
Photo Cr: ISO, MS Template
No comments:
Post a Comment
Note: Only a member of this blog may post a comment.