มาตรฐาน ISO/IEC 27001 : 2013 - rtna.ac.th · บริษัท ที‐เน็ต จํากัด หน้า 2 จาก 31 บริษัท ที‐เน็ต

บรษท ท‐เนต จากด

หนา 1 จาก 31 บรษท ท‐เนต จากด จดทาเอกสารเผยแพรฉบบนมจดประสงคเพอใชในการศกษา คนควา และวจยพฒนา

มาตรฐาน ISO/IEC 27001 : 2013

ระบบบรหารจดการความมนคงปลอดภยสารสนเทศ (ISMS) ขอกาหนดหลกทตองปฏบตตามในการขอการรบรองตามมาตรฐาน ISO/IEC 27001 : 2013

ขอ 1 บรบทขององคกร (Context of the organization) 1.1 การทาความเขาใจองคกรและบรบทขององคกร (Understanding the organization and its context)

องคกรตองกาหนดประเดนภายในและภายนอกองคกรทเกยวของกบจดประสงคขององคกรและทสงผลตอความสามารถในการบรรลผลลพธตามทตองการของระบบบรหารจดการความมนคงปลอดภยสารสนเทศ

ขอสงเกต การกาหนดประเดนดงกลาวหมายถงการกาหนดบรบทภายในและภายนอกองคกร ทมการพจารณาในขอ 2.3 ของมาตรฐาน ISO 31000:2009 1.2 การกาหนดความจาเปนและความคาดหวงของผทเกยวของ (Understanding the needs and expectations of interested parties)

องคกรตองกาหนด: a) ผทเกยวของ ซงเปนผทเกยวของกบระบบบรหารจดการความมนคงปลอดภยสารสนเทศ

และ b) ความตองการของผทเกยวของเหลานนซงเกยวของกบความมนคงปลอดภยสารสนเทศ

ขอสงเกต ความตองการของผทเกยวของอาจรวมถงความตองการดานกฎหมายและระเบยบขอบงคบและขอกาหนดในสญญาจาง 1.3 การกาหนดขอบเขตของระบบบรหารจดการความมนคงปลอดภยสารสนเทศ (Determining the scope of the information security management system)

องคกรตองกาหนดกรอบและการประยกตระบบบรหารจดการความมนคงปลอดภยสารสนเทศเพอระบขอบเขตการดาเนนการ

ในการระบขอบเขต องคกรตองพจารณา: a) ประเดนภายในและภายนอกองคกร โดยอางองจากขอ 1.1 b) ความตองการ โดยอางองจากขอ 1.2 และ



c) การเชอมโยงและการสมพนธกนของกจกรรมในลกษณะทกจกรรมขนอยกบซงกนและกน โดยทกจกรรมเหลานนอาจดาเนนการโดยองคกรเองหรอโดยองคกรอนๆ ขอบเขตตองสามารถเขาถงไดโดยจดทาเปนลายลกษณอกษร 1.4 ระบบบรหารจดการความมนคงปลอดภยสารสนเทศ (Information security management system)

องคกรตองกาหนด ลงมอปฏบต บารงรกษา และปรบปรงอยางตอเนองตอระบบบรหารจดการความมนคงปลอดภยสารสนเทศ โดยตองมความสอดคลองกบขอกาหนดในเอกสารมาตรฐานฉบบน

ขอ 2 ภาวะผนา (Leadership) 2.1 ภาวะผนาและการใหความสาคญ (Leadership and commitment)

ผบรหารระดบสงตองแสดงใหเหนถงภาวะผนาและการใหความสาคญตอระบบบรหารจดการความมนคงปลอดภยสารสนเทศโดย

a) ตองทาใหนโยบายความมนคงปลอดภยสารสนเทศและวตถประสงคความมนคงปลอดภยสารสนเทศมการกาหนดขนมาและมความสอดคลองกบทศทางเชงกลยทธขององคกร

b) ตองทาใหมการรวมความตองการของระบบบรหารจดการความมนคงปลอดภยสารสนเทศ เขากบกระบวนการขององคกร

c) ตองทาใหมทรพยากรทจาเปนสาหรบระบบบรหารจดการความมนคงปลอดภยสารสนเทศเพอใชในการดาเนนการ

d) ตองสอสารความสาคญของระบบบรหารจดการความมนคงปลอดภยสารสนเทศทสมฤทธผลและของการดาเนนการตามความตองการของระบบบรหารจดการความมนคงปลอดภยสารสนเทศทกาหนดไว

e) ตองทาใหระบบบรหารจดการความมนคงปลอดภยสารสนเทศบรรลผลลพธตามทตองการ f) ตองสงการและสนบสนนบคลากรเพอนาสความสมฤทธผลของระบบบรหารจดการความ

มนคงปลอดภยสารสนเทศ g) ตองสงเสรมใหมการปรบปรงอยางตอเนอง และ h) ตองสนบสนนบทบาทการบรหารอนๆ ภายใตขอบเขตความรบผดชอบของเพอแสดงภาวะ

ผนาของตนเอง



2.2 นโยบาย (Policy) ผบรหารระดบสงตองกาหนดนโยบายความมนคงปลอดภยสารสนเทศซง:

a) เหมาะสมตอจดประสงคขององคกร b) รวมวตถประสงคความมนคงปลอดภยสารสนเทศไวดวย (ดขอ 3.2) หรอกาหนดกรอบการ

ปฏบตสาหรบการกาหนดวตถประสงคดงกลาว c) รวมการใหความสาคญของผบรหารเพอใหสอดคลองกบความตองการทเกยวของกบความ

มนคงปลอดภยสารสนเทศ และ d) รวมการใหความสาคญของผบรหารในการปรบปรงอยางตอเนองตอระบบบรหารจดการ

ความมนคงปลอดภยสารสนเทศ นโยบายความมนคงปลอดภยสารสนเทศ:

e) ตองสามารถเขาถงไดโดยจดทาเปนลายลกษณอกษร f) ตองมการสอสารใหทราบกนภายในองคกร และ g) ตองสามารถเขาถงไดโดยผทเกยวของตามความเหมาะสม

2.3 บทบาท หนาทความรบผดชอบ และอานาจหนาท (Organizational roles, responsibilities and authorities) ผบรหารระดบสงตองทาใหหนาทความรบผดชอบและอานาจหนาทตามบทบาททเกยวของกบความมนคงปลอดภยสารสนเทศมการมอบหมายและสอสารใหไดรบทราบกน

ผบรหารระดบสงตองมอบหมายหนาทความรบผดชอบและอานาจหนาทเพอ: a) ใหระบบบรหารจดการความมนคงปลอดภยสารสนเทศมความสอดคลองกบขอกาหนดของ

เอกสารมาตรฐานฉบบน และ b) ใหมการรายงานประสทธภาพและประสทธผลของระบบบรหารจดการความมนคงปลอดภย

สารสนเทศตอผบรหารระดบสง ขอสงเกต ผบรหารระดบสงอาจมอบหมายหนาทความรบผดชอบและอานาจหนาทในการรายงานประสทธภาพและประสทธผลของระบบบรหารจดการความมนคงปลอดภยสารสนเทศภายในองคกรดวย



ขอ 3 การวางแผน (Planning) 3.1 การดาเนนการเพอจดการกบความเสยงและโอกาส (Actions to address risks and opportunities) 3.1.1 ภาพรวม (General)

เมอวางแผนสาหรบระบบบรหารจดการความมนคงปลอดภยสารสนเทศ องคกรตองพจารณาประเดนภายในและภายนอกทอางถงในขอ 1.1 และความตองการทอางถงในขอ 1.2 และตองกาหนดความเสยงและโอกาสทจาเปนตองจดการเพอ:

a) ใหระบบบรหารจดการความมนคงปลอดภยสารสนเทศบรรลผลลพธตามทตองการ b) ปองกน หรอลดผลทไมพงปรารถนา และ c) ใหบรรลการปรบปรงอยางตอเนอง

องคกรตองวางแผน: d) การดาเนนการเพอจดการกบความเสยงและโอกาส และ e) วธการทจะ

1) รวมการดาเนนการดงกลาวเขากบกระบวนการของระบบบรหารจดการความ มนคงปลอดภยสารสนเทศและนาสการปฏบต และ 2) ประเมนความสมฤทธผลของการดาเนนการดงกลาว

3.1.2 การประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (Information security risk assessment)

องคกรตองกาหนดและประยกตกระบวนการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศซงตอง:

a) กาหนดและปรบปรงเกณฑความเสยงดานความมนคงปลอดภยสารสนเทศ ซงตองรวมถง 1) เกณฑการยอมรบความเสยง และ 2) เกณฑสาหรบการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ

b) ทาใหการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศไดผลการประเมนท สอดคลองกน ถกตอง และเปรยบเทยบกนได c) ระบความเสยงดานความมนคงปลอดภยสารสนเทศ:

1) ประยกตกระบวนการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศเพอ ระบความเสยงทเกยวของกบการสญเสยความลบ ความถกตองสมบรณ และสภาพ



ความพรอมใชของสารสนเทศภายในขอบเขตของระบบบรหารจดการความมนคง ปลอดภยสารสนเทศ และ 2) ระบผเปนเจาของความเสยง

d) วเคราะหความเสยงดานความมนคงปลอดภยสารสนเทศ: 1) ประเมนผลทเปนไปไดทจะเกดขนถาความเสยงทระบไวในขอ 3.1.2 c) เกดขนจรง 2) ประเมนโอกาสการเกดขนทสมจรงของความเสยงทระบไวในขอ 3.1.2 c) และ 3) กาหนดระดบของความเสยง

e) ประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ: 1) เปรยบเทยบผลการวเคราะหความเสยงกบเกณฑความเสยงทกาหนดไวในขอ 3.1.2 a) และ 2) จดลาดบความเสยงทวเคราะหนนเพอการจดการทเหมาะสม

องคกรตองจดเกบสารสนเทศทเกยวของกบกระบวนการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ อยางเปนลายลกษณอกษร 3.1.3 การจดการกบความเสยงดานความมนคงปลอดภยสารสนเทศ (Information security risk treatment)

องคกรตองกาหนดและประยกตกระบวนการจดการความเสยงดานความมนคงปลอดภยสารสนเทศซงตอง:

a) กาหนดทางเลอกทเหมาะสมในการจดการความเสยงดานความมนคงปลอดภยสารสนเทศ โดยตองนาผลการประเมนความเสยงมาพจารณาดวย b) กาหนดมาตรการทงหมดทจาเปนเพอดาเนนการตามทางเลอกทกาหนดไว

ขอสงเกต องคกรสามารถออกแบบมาตรการไดเองตามทตองการ หรอระบมาตรการโดยอางองจากแหลงใดกตาม

c) เปรยบเทยบมาตรการทกาหนดไวในขอ 3.1.3 b) กบมาตรการใน Annex A และ ตรวจสอบวาไมมมาตรการขอใดทละเลยไป ขอสงเกต 1 Annex A ประกอบดวยรายการทงหมดของวตถประสงคของมาตรการ และตวมาตรการของมาตรฐานฉบบน ขอใหผใชงานมาตรฐานฉบบนอางองไปยง Annex A เพอใหมนใจวาไมมมาตรการขอใดทถกมองขามไป ขอสงเกต 2 วตถประสงคของมาตรการถกรวมแฝงไวกบมาตรการทเลอก



วตถประสงคของมาตรการและมาตรการใน Annex A ยงไมไดครอบคลมทงหมด วตถประสงคและมาตรการเพมเตมอาจจะจาเปนตองนามาใชดวย d) จดทาเอกสารแสดงการใชมาตรการ SoA (Statement of Applicability) ซง ประกอบดวยมาตรการทจาเปน (ดขอ 3.1.3 b) และ c)) และคาอธบายเหตผลของการ ใชมาตรการไมวามาตรการเหลานนจะไดรบการปฏบตแลวหรอไมกตาม และคาอธบาย เหตผลของการไมใชมาตรการจาก Annex A e) จดทาแผนการจดการความเสยงดานความมนคงปลอดภยสารสนเทศ และ f) ขอการรบรองจากผเปนเจาของความเสยงสาหรบแผนการจดการความเสยงดานความ มนคงปลอดภยสารสนเทศ และการยอมรบสาหรบความเสยงดานความมนคงปลอดภย สารสนเทศทยงเหลออย

องคกรตองจดเกบสารสนเทศทเกยวของกบกระบวนการจดการกบความเสยงดานความมนคงปลอดภยสารสนเทศ อยางเปนลายลกษณอกษร

ขอสงเกต กระบวนการประเมนและจดการกบความเสยงดานความมนคงปลอดภยสารสนเทศในมาตรฐานฉบบนสอดคลองกบหลกการและแนวทางทเสนอไวในมาตรฐาน ISO 31000

3.2 วตถประสงคดานความมนคงปลอดภยสารสนเทศและแผนการบรรลวตถประสงค (Information security objectives and plans to achieve them) องคกรตองกาหนดวตถประสงคดานความมนคงปลอดภยสารสนเทศในฟงกชนงานและระดบทเกยวของ วตถประสงคดานความมนคงปลอดภยสารสนเทศตอง: a) สอดคลองกบนโยบายความมนคงปลอดภยสารสนเทศ b) สามารถวดได (ถาสามารถปฏบตได) c) นาความตองการดานความมนคงปลอดภยสารสนเทศ ผลการประเมนและการจดการ ความเสยงมาพจารณาดวย d) มการสอสารใหผทเกยวของไดรบทราบ และ e) มการปรบปรงตามความเหมาะสม องคกรตองจดเกบสารสนเทศสาหรบวตถประสงคดานความมนคงปลอดภยสารสนเทศ ไวอยางเปนลายลกษณอกษร



เมอวางแผนวธการทจะบรรลวตถประสงคดานความมนคงปลอดภยสารสนเทศ องคกรตองกาหนด: f) สงทตองดาเนนการ g) ทรพยากรทตองใช h) ผรบผดชอบในการดาเนนการ i) ระยะเวลาทจะดาเนนการใหเสรจ และ j) วธประเมนผลการปฏบตการ

ขอ 4 การสนบสนน (Support) 4.1 ทรพยากร (Resources) องคกรตองกาหนดและใหทรพยากรทจาเปนสาหรบการกาหนด การลงมอปฏบต การบารงรกษา และการปรบปรงอยางตอเนองตอระบบบรหารจดการความมนคงปลอดภยสารสนเทศ 4.2 สมรรถนะ (Competence) องคกรตอง: a) กาหนดสมรรถนะของบคลากรททางานภายใตการควบคมดแลขององคกร ซงสงผลตอประสทธภาพในการปฏบตงานดานความมนคงปลอดภยสารสนเทศ b) ทาใหบคลากรเหลานมความสามารถโดยการใหความร การฝกอบรม หรอจาก ประสบการณการทางานทไดรบ c) ดาเนนการตามความเหมาะสมเพอใหไดมาซงสมรรถนะทจาเปน และประเมนความ สมฤทธผลของการดาเนนการนน และ d) จดเกบสารสนเทศทเหมาะสมอยางเปนลายลกษณอกษรเพอใชเปนหลกฐานแสดง สมรรถนะ

ขอสงเกต การดาเนนการตามความเหมาะสมอาจรวมถงการฝกอบรม การเปนพเลยง การมอบหมายหมายงานใหผอน หรอการจางหรอทาสญญากบบคลากรทมความสามารถ เปนตน 4.3 การสรางความตระหนก (Awareness) บคลากรททางานภายใตการควบคมดแลขององคกรตองตระหนกถง: a) นโยบายความมนคงปลอดภยสารสนเทศขององคกร b) การทตนเองมสวนในความสมฤทธผลของระบบบรหารจดการความมนคงปลอดภย



สารสนเทศ ซงรวมถงขอดของการปรบปรงประสทธภาพในการปฏบตงานดานความมนคง ปลอดภยสารสนเทศของตนเอง และ c) สงทเกยวของของการไมปฏบตตามความตองการของระบบบรหารจดการความมนคง ปลอดภยสารสนเทศ 4.4 การสอสารใหทราบ (Communication) องคกรตองกาหนดความจาเปนสาหรบการสอสารใหทราบทงภายในและภายนอกทเกยวของกบระบบบรหารจดการความมนคงปลอดภยสารสนเทศ ซงรวมถง: a) อะไรบางทตองสอสารใหทราบ b) เมอไรทตองสอสารใหทราบ c) ใครบางทตองสอสารใหทราบ d) ใครเปนผสอสารออกไป และ e) กระบวนการทเกยวของกบการสอสาร 4.5 สารสนเทศทเปนลายลกษณอกษร (Documented information) 4.5.1 ภาพรวม (General) ระบบบรหารจดการความมนคงปลอดภยสารสนเทศขององคกรตองรวม:

a) สารสนเทศทเปนลายลกษณอกษรซงกาหนดโดยมาตรฐานฉบบน และ b) สารสนเทศทเปนลายลกษณอกษรซงกาหนดโดยองคกรเองและจาเปนสาหรบความ

สมฤทธผลของระบบบรหารจดการความมนคงปลอดภยสารสนเทศ ขอสงเกต ปรมาณของสารสนเทศทเปนลายลกษณอกษรสาหรบระบบบรหารจดการความมนคงปลอดภยสารสนเทศสามารถแตกตางกนในแตละองคกร เนองจาก:

a) ขนาดขององคกรและประเภทของกจกรรม กระบวนการ ผลตภณฑ และบรการขององคกร

b) ความซบซอนของกระบวนการและการเชอมโยงระหวางกระบวนการ และ c) ความสามารถของบคลากร



4.5.2 การสรางและปรบปรง (Creating and updating) เมอมการสรางและปรบปรงสารสนเทศทเปนลายลกษณอกษร องคกรตองกาหนดประเดนเหลานใหมความเหมาะสม:

a) ชอและรายละเอยด (เชน ชอเอกสาร วนท ผแตง หรอเลขทอางอง) b) รปแบบ (เชน ภาษา เวอรชน กราฟก) และสอบนทก (เชน กระดาษ อเลกทรอนกส)

และ c) การทบทวนและการอนมตเพอความเหมาะสมและเพยงพอ

4.5.3 การควบคมสารสนเทศทเปนลายลกษณอกษร (Control of documented information) สารสนเทศทเปนลายลกษณอกษรทจาเปนตองมสาหรบระบบบรหารจดการความมนคงปลอดภยสารสนเทศและตามมาตรฐานฉบบนตองมการควบคมเพอให: a) สารสนเทศสามารถเขาถงไดและเหมาะสมสาหรบการใชงาน สถานทและวนเวลาในการใช งาน และ b) สารสนเทศไดรบการปองกนอยางเพยงพอ (เชน จากการสญเสยความลบ การใชงานทไม เหมาะสม หรอการสญเสยความถกตองสมบรณ)

สาหรบการควบคมสารสนเทศทเปนลายลกษณอกษร องคกรตองระบกจกรรมดงตอไปนตามความเหมาะสม: c) การแจกจาย การเขาถง การนาขนมาใช และการใชงาน d) การจดเกบและการรกษาไว รวมถงการรกษาไวใหสามารถอานใชงานได e) การควบคมการเปลยนแปลง (เชน การควบคมเวอรชน) และ f) การจดเกบ ระยะเวลาการจดเกบ และการทาลาย

สารสนเทศทมาจากแหลงภายนอกทองคกรกาหนดวาจาเปนสาหรบการวางแผนและดาเนนการระบบบรหารจดการความมนคงปลอดภยสารสนเทศ ตองมการระบตามความจาเปน และตองมการควบคม

ขอสงเกต การเขาถงสารสนเทศหมายรวมถงการตดสนใจเกยวกบการอนญาตใหดสารสนเทศไดเทานน หรอการอนญาตและการใหอานาจในการดและเปลยนแปลงสารสนเทศไดดวย หรออนๆ



ขอ 5 การดาเนนการ (Operation) 5.1 การวางแผนทเกยวของกบการดาเนนการและการควบคม (Operational planning and control) องคกรตองวางแผน ลงมอปฏบต และควบคมกระบวนการทจาเปนเพอใหสอดคลองกบความตองการดานความมนคงปลอดภยสารสนเทศ และลงมอปฏบตตามทกาหนดไวในขอ 3.1 องคกรยงตองลงมอปฏบตตามแผนเพอใหบรรลวตถประสงคดานความมนคงปลอดภยสารสนเทศทกาหนดไวในขอ 3.2 องคกรตองเกบรกษาสารสนเทศทเปนลายลกษณอกษรในระดบทจาเปนเพอใหมความมนใจวากระบวนการเหลานนมการดาเนนการตามแผน องคกรตองควบคมการเปลยนแปลงทมการวางแผนลวงหนา และทบทวนผลของการเปลยนแปลงทเกดขนอยางไมไดตงใจ (เชน การเปลยนแปลงทไมไดวางแผนไวและเกดขนแบบฉกเฉน) ดาเนนการเพอลดผลในทางลบตามความจาเปน องคกรตองทาใหมนใจวากระบวนการทมการจางหนวยงานภายนอกดาเนนการมการระบและควบคมการดาเนนการ 5.2 การประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (Information security risk assessment) องคกรตองดาเนนการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศตามรอบระยะเวลาทกาหนดไว หรอเมอมการเปลยนแปลงทมากเสนอขอดาเนนการ หรอเมอมการเปลยนแปลงทมากเกดขน โดยนาเกณฑความเสยงทกาหนดไวในขอ 3.1.2 a) มาพจารณาดวย องคกรตองจดเกบสารสนเทศทเปนลายลกษณอกษร ซงเปนผลของการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ 5.3 การจดการกบความเสยงดานความมนคงปลอดภยสารสนเทศ (Information security risk treatment) องคกรตองลงมอปฏบตตามแผนการจดการความเสยงดานความมนคงปลอดภยสารสนเทศ องคกรตองจดเกบสารสนเทศทเปนลายลกษณอกษร ซงเปนผลของการจดการความเสยงดานความมนคงปลอดภยสารสนเทศ



ขอ 6 การประเมนประสทธภาพและประสทธผล (Performance evaluation) 6.1 การเฝาระวง การวดผล การวเคราะห และการประเมน (Monitoring, measurement, analysis and evaluation) องคกรตองประเมนประสทธภาพและประสทธผลและความไดผลของระบบบรหารจดการความมนคงปลอดภยสารสนเทศ

องคกรตองกาหนด: a) อะไรทจาเปนตองเฝาระวงและวดผล ซงรวมถงกระบวนการและมาตรการดานความ

มนคงปลอดภยสารสนเทศ b) วธการในการเฝาระวง วดผล วเคราะห และประเมนตามทเหมาะสม เพอใหไดผลการ

ประเมนทถกตอง ขอสงเกต วธการทเลอกใชควรใหผลการประเมนทสามารถเปรยบเทยบกนไดและทสามารถทาซาไดเพอใหไดผลทถกตอง

c) เมอไรทการเฝาระวงและวดผลตองดาเนนการ d) ใครเปนผเฝาระวงและวดผล e) เมอไรทผลจากการเฝาระวงและวดผลตองไดรบการวเคราะหและประเมน และ f) ใครเปนผวเคราะหและประเมนผล

องคกรตองจดเกบสารสนเทศทเปนลายลกษณอกษรทเหมาะสม เพอใชเปนหลกฐานแสดงการเฝาระวงและวดผล 6.2 การตรวจประเมนภายใน (Internal audit) องคกรตองดาเนนการตรวจประเมนภายในตามรอบระยะเวลาทกาหนดไวเพอใหมสารสนเทศสาหรบการระบวาระบบบรหารจดการความมนคงปลอดภยสารสนเทศ:

a) สอดคลองกบ 1) ความตองการขององคกรเองสาหรบระบบบรหารจดการความมนคงปลอดภยสารสนเทศ และ 2) ขอกาหนดของมาตรฐานฉบบน b) มการปฏบตและบารงรกษาไวอยางสมฤทธผล



องคกรตอง: c) วางแผน กาหนด ลงมอปฏบต และบารงรกษาโปรแกรมการตรวจประเมน ซงรวมถงความถ วธการทใช หนาทความรบผดชอบ ความตองการในการตรวจประเมนทวางแผนไว และการรายงานผล โปรแกรมการตรวจประเมนตองนาความสาคญของกระบวนการทเกยวของและผลการตรวจประเมนครงกอนมาพจารณารวมดวย d) กาหนดเกณฑการตรวจประเมนและขอบเขตของการตรวจประเมนแตละครง e) เลอกผตรวจประเมนและดาเนนการตรวจประเมนซงเปนไปตามขอเทจจรงและหลกฐาน และมความเปนกลางของกระบวนการตรวจประเมน f) ทาใหผลของการตรวจประเมนมการรายงานไปยงผบรหารทเกยวของ และ g) จดเกบสารสนเทศทเปนลายลกษณอกษรเพอใชเปนหลกฐานแสดงโปรแกรมการตรวจประเมนและผลการตรวจประเมน 6.3 การทบทวนของผบรหาร (Management review) ผบรหารระดบสงตองทบทวนระบบบรหารจดการความมนคงปลอดภยสารสนเทศขององคกรตามรอบระยะเวลาทกาหนดไวเพอใหมความเหมาะสม ความเพยงพอ และความสมฤทธผล การทบทวนของผบรหารตองรวมการพจารณาในเรอง: a) สถานะของการดาเนนการจากผลการทบทวนครงกอน b) การเปลยนแปลงในประเดนภายในและภายนอกองคกรทเกยวของกบระบบบรหารจดการ ความมนคงปลอดภยสารสนเทศ c) ผลตอบกลบของประสทธภาพและประสทธผลดานความมนคงปลอดภยสารสนเทศ ซง รวมถงแนวโนมในเรอง 1) ความไมสอดคลองและการดาเนนการแกไข 2) ผลการเฝาระวงและวดผล 3) ผลการตรวจประเมน และ 4) ความสาเรจตามวตถประสงคดานความมนคงปลอดภยสารสนเทศ d) ผลตอบกลบจากผทเกยวของ e) ผลการประเมนความเสยงและสถานะของแผนการจดการความเสยง และ f) โอกาสสาหรบการปรบปรงอยางตอเนอง ผลการทบทวนของผบรหารตองรวมการตดสนใจเกยวกบโอกาสในการปรบปรงอยางตอเนองและความจาเปนสาหรบการเปลยนแปลงตอระบบบรหารจดการความมนคงปลอดภยสารสนเทศ



องคกรตองจดเกบสารสนเทศทเปนลายลกษณอกษรเพอใชเปนหลกฐานแสดงผลการทบทวนของผบรหาร

ขอ 7 การปรบปรง (Improvement) 7.1 ความไมสอดคลองและการดาเนนการแกไข (Nonconformity and corrective action) เมอความไมสอดคลองหนงเกดขน องคกรตอง: a) ตอบกลบตอความไมสอดคลองนนตามความเหมาะสม และ: 1) ดาเนนการเพอควบคมและแกไขความไมสอดคลอง และ 2) จดการกบผลทเกดขน b) ประเมนความจาเปนสาหรบการดาเนนการเพอขจดสาเหตของความไมสอดคลองเพอให ไมเกดขนซาหรอไมเกดขนในทอนโดย: 1) การทบทวนความไมสอดคลอง 2) การระบสาเหตของความไมสอดคลอง และ 3) การระบวาความไมสอดคลองทคลายกนมหรอไม หรออาจเปนไปไดทจะเกดขน c) ดาเนนการแกไขทจาเปน d) ทบทวนความสมฤทธผลของการดาเนนการแกไขทไดดาเนนการไป และ e) ทาการเปลยนแปลงตอระบบบรหารจดการความมนคงปลอดภยสารสนเทศ ถาจาเปน การดาเนนการแกไขตองเหมาะสมตอผลของความไมสอดคลองทพบ

องคกรตองจดเกบสารสนเทศทเปนลายลกษณอกษรเพอใชเปนหลกฐานแสดง: f) สภาพของความไมสอดคลองและการดาเนนการใดๆ ทไดดาเนนการไป และ g) ผลของการดาเนนการแกไข 7.2 การปรบปรงอยางตอเนอง (Continual improvement) องคกรตองปรบปรงความเหมาะสม ความเพยงพอ และความสมฤทธผลของระบบบรหารจดการความมนคงปลอดภยสารสนเทศอยางตอเนอง



มาตรการการจดการความมนคงปลอดภยสาหรบสารสนเทศ 1. นโยบายความมนคงปลอดภยสารสนเทศ (Information Security Policy) 1.1 ทศทางการบรหารจดการความมนคงปลอดภยสารสนเทศ (Management Directions for Information Security) วตถประสงค เพอใหมการกาหนดทศทางการบรหารจดการและการสนบสนนดานความมนคงปลอดภยสารสนเทศโดยสอดคลองกบความตองการทางธรกจและกฎหมายและระเบยบขอบงคบทเกยวของ 1.1.1 นโยบายสาหรบความมนคงปลอดภยสารสนเทศ (Policies for information security) นโยบายสาหรบความมนคงปลอดภยสารสนเทศตองมการจดทา อนมตโดยผบรหาร เผยแพร และสอสารใหพนกงานและหนวยงานภายนอกทเกยวของไดรบทราบ 1.1.2 การทบทวนนโยบายสาหรบการบรหารจดการความมนคงปลอดภยสารสนเทศ (Review of the policies for information security) นโยบายความมนคงปลอดภยตองมการทบทวนตามรอบระยะเวลาทกาหนดไว หรอเมอมการเปลยนแปลงทสาคญตอองคกร เพอใหนโยบายมความเหมาะสม เพยงพอ และไดผล 2. โครงสรางความมนคงปลอดภยสารสนเทศ (organization of Information Security) 2.1 โครงสรางภายในองคกร (Internal organization) วตถประสงค เพอใหมการกาหนดกรอบการบรหารจดการโดยตองมการเรมตนและควบคมการปฏบตและการดาเนนการดานความมนคงปลอดภยสารสนเทศภายในองคกร 2.1.1 บทบาทและหนาทความรบผดชอบดานความมนคงปลอดภยสารสนเทศ (Information security roles and responsibilities) หนาทความรบผดชอบทงหมดดานความมนคงปลอดภยสารสนเทศตองมการกาหนดและมอบหมายความรบผดชอบ 2.1.2 การแบงแยกหนาทความรบผดชอบ (Segregation of duties) หนาทและสวนงานทรบผดชอบทจะทาใหเกดการขดตอการปฏบตงานโดยจะทาใหมการเปลยนแปลงทรพยสนขององคกรหรอมการใชทรพยสนผดวตถประสงค โดยไมไดรบอนญาตหรอโดยไมไดเจตนากตาม ตองมการแยกหนาทดงกลาวออกจากกน เพอลดโอกาสการเกดขนนน 2.1.3 การตดตอกบหนวยงานผมอานาจ (Contact with authorities) การตดตอกบหนวยงานผมอานาจทเกยวของตองมการรกษาไวซงการตดตอนนเพอใหสามารถตดตอไดอยางตอเนอง



2.1.4 การตดตอกบกลมทมความสนใจเปนพเศษในเรองเดยวกน (Contact with special interest groups) การตดตอกบกลมทมความสนใจเปนพเศษในเรองเดยวกน กลมทมความเชยวชาญดานความมนคงปลอดภยสารสนเทศ และสมาคมอาชพ ตองมการรกษาไวซงการตดตอนนเพอใหสามารถตดตอไดอยางตอเนอง 2.1.5 ความมนคงปลอดภยสารสนเทศกบการบรหารจดการโครงการ (Information security in project management) การบรหารโครงการไมวาจะเปนประเภทใดของโครงการกตามตองมการระบความมนคงปลอดภยสารสนเทศของโครงการนน 2.2 อปกรณคอมพวเตอรแบบพกพาและการปฏบตงานจากระยะไกล (Mobile devices and teleworking) วตถประสงค เพอรกษาความมนคงปลอดภยของการปฏบตงานจากระยะไกลและของการใชงานอปกรณคอมพวเตอรแบบพกพา 2.2.1 นโยบายสาหรบอปกรณคอมพวเตอรแบบพกพา (Mobile device policy) นโยบายและมาตรการสนบสนนสาหรบการใชงานอปกรณคอมพวเตอรแบบพกพาตองมการนามาใชงานเพอบรหารจดการความเสยงทมตออปกรณดงกลาว 2.2.2 การปฏบตงานจากระยะไกล (Teleworking) นโยบายและมาตรการสนบสนนสาหรบการปฏบตงานจากสถานทหนงในระยะไกลตองมการนามาใชงานเพอปองกนขอมลทมการเขาถง การประมวลผล หรอการจดเกบ จากสถานทดงกลาว 3. ความมนคงปลอดภยสาหรบทรพยากรบคคล (Human Resource Security) 3.1 กอนการจางงาน (Prior to employment) วตถประสงค เพอใหพนกงานและผททาสญญาจางเขาใจในหนาทความรบผดชอบของตนเอง และมความเหมาะสมตามบทบาทของตนเองทไดรบการพจารณา 3.1.1 การคดเลอก (Screening) การตรวจสอบภมหลงของผสมครงานตองมการดาเนนการโดยมความสอดคลองกบกฎหมาย ระเบยบ ขอบงคบ และจรยธรรมทเกยวของ และตองดาเนนการในระดบทเหมาะสมกบความตองการทางธรกจ ชนความลบของขอมลทจะถกเขาถง และความเสยงทเกยวของ 3.1.2 ขอตกลงและเงอนไขการจางงาน (Terms and conditions of employment) ขอตกลงและเงอนไขในสญญาจางกบพนกงานและผททาสญญาจางตองกลาวถงหนาทความรบผดชอบดานความมนคงปลอดภยสารสนเทศของพนกงาน ของผททาสญญาจาง และขององคกร



3.2 ระหวางการจางงาน (During employment) วตถประสงค เพอใหพนกงานและผททาสญญาจางตระหนกและปฏบตตามหนาทความรบผดชอบดานความมนคงปลอดภยสารสนเทศของตนเอง 3.2.1 หนาทความรบผดชอบของผบรหาร (Management responsibilities) ผบรหารตองกาหนดใหพนกงานและผททาสญญาจางทงหมดรกษาความมนคงปลอดภยสารสนเทศโดยปฏบตใหสอดคลองกบนโยบายและขนตอนปฏบตขององคกรทกาหนดไว 3.2.2 การสรางความตระหนก การใหความร และการฝกอบรมดานความมนคงปลอดภยสารสนเทศ (Information security awareness, education and training) พนกงานขององคกรทงหมดและผททาสญญาจางทเกยวของ ตองไดรบการสรางความตระหนก ใหความร และฝกอบรมดานความมนคงปลอดภยสารสนเทศ และตองมการเรยนรและทบทวนเพมเตมในนโยบายและขนตอนปฏบตขององคกรทเกยวของกบงานทตนเองปฏบต 3.2.3 กระบวนการทางวนย (Disciplinary process) กระบวนการทางวนยตองมการกาหนดอยางเปนทางการและมการสอสารใหพนกงานไดรบทราบ เพอดาเนนการตอพนกงานทละเมดความมนคงปลอดภยสารสนเทศขององคกร 3.3 การสนสดหรอการเปลยนการจางงาน (Termination and change of employment) วตถประสงค เพอปองกนผลประโยชนขององคกรซงเปนสวนหนงของกระบวนการเปลยนหรอสนสดการจางงาน 3.3.1 การสนสดหรอการเปลยนหนาทความรบผดชอบของการจางงาน (Termination or change of employment responsibilities) หนาทความรบผดชอบดานความมนคงปลอดภยสารสนเทศทยงตองคงไวหลงการสนสดหรอเปลยนการจางงาน ตองมการกาหนดและสอสารใหไดรบทราบตอพนกงานหรอผททาสญญาจาง รวมทงควบคมใหปฏบตตามอยางสอดคลอง 4. การบรหารจดการทรพยสน (Asset Management) 4.1 หนาทความรบผดชอบตอทรพยสน (Responsibility for Assets) วตถประสงค เพอใหมการระบทรพยสนขององคกรและกาหนดหนาทความรบผดชอบในการปองกนทรพยสนอยางเหมาะสม 4.1.1 บญชทรพยสน (Inventory of assets) ทรพยสนทเกยวของกบสารสนเทศและอปกรณประมวลผลสารสนเทศตองมการระบ จดทาเปนทะเบยนทรพยสน และปรบปรงใหทนสมย 4.1.2 ผถอครองทรพยสน (Ownership of assets) ทรพยสนในทะเบยนทรพยสนตองมผถอครองทรพยสน 4.1.3 การใชทรพยสนอยางเหมาะสม (Acceptable use of assets)



กฎเกณฑการใชอยางเหมาะสมสาหรบการใชงานสารสนเทศและทรพยสนทเกยวของกบสารสนเทศและอปกรณประมวลผลสารสนเทศ ตองมการระบ จดทาเปนลายลกษณอกษร และบงคบใชใหเปนไปอยางสอดคลอง 4.1.4 การคนทรพยสน (Return of assets) พนกงานและลกจางของหนวยงานภายนอกทงหมดตองคนทรพยสนขององคกรทงหมดทตนเองถอครอง เมอสนสดการจางงาน หมดสญญา หรอสนสดขอตกลงการจาง 4.2 การจดชนความลบของสารสนเทศ (Information classification) วตถประสงค เพอใหสารสนเทศไดรบระดบการปองกนทเหมาะสมโดยสอดคลองกบความสาคญของสารสนเทศนนทมตอองคกร 4.2.1 ชนความลบของสารสนเทศ (Classification of information) สารสนเทศตองมการจดชนความลบโดยพจารณาจากความตองการดานกฎหมาย คณคา ระดบความสาคญ และระดบความออนไหวหากถกเปดเผยหรอเปลยนแปลงโดยไมไดรบอนญาต 4.2.2 การบงชสารสนเทศ (Labeling of information) ขนตอนปฏบตสาหรบการบงชสารสนเทศตองมการจดทาและปฏบตตาม โดยตองมความสอดคลองกบวธหรอขนตอนการจดชนความลบของสารสนเทศทองคกรกาหนดไว 4.2.3 การจดการทรพยสน (Handling of assets) ขนตอนปฏบตสาหรบการจดการทรพยสนตองมการจดทาและปฏบตตาม โดยตองมความสอดคลองกบวธหรอขนตอนการจดชนความลบของสารสนเทศทองคกรกาหนดไว 4.3 การจดการสอบนทกขอมล (Media Handling) วตถประสงค เพอปองกนการเปดเผยโดยไมไดรบอนญาต การเปลยนแปลง การขนยายการลบ หรอการทาลายสารสนเทศทจดเกบอยบนสอบนทกขอมล 4.3.1 การบรหารจดการสอบนทกขอมลทถอดแยกได (Management of removable media) ขนตอนปฏบตสาหรบการบรหารจดการกบสอบนทกขอมลทถอดแยกไดตองมการจดทาและปฏบตตาม โดยตองมความสอดคลองกบวธหรอขนตอนการจดชนความลบของสารสนเทศทองคกรกาหนดไว 4.3.2 การทาลายสอบนทกขอมล (Disposal of media) สอบนทกขอมลตองมการกาจดหรอทาลายทงอยางมนคงปลอดภย เมอหมดความตองการในการใชงาน โดยปฏบตตามขนตอนปฏบตสาหรบการทาลายซงกาหนดไวอยางเปนทางการ 4.3.3 การขนยายสอบนทกขอมล (Physical media transfer) สอบนทกขอมลทมขอมลตองมการปองกนขอมลจากการถกเขาถงโดยไมไดรบอนญาต การนาไปใชผดวตถประสงค หรอความเสยหายในระหวางทนาสงหรอขนยายสอบนทกขอมลนน



5. การควบคมการเขาถง (Access Control) 5.1 ความตองการทางธรกจสาหรบการควบคมการเขาถง (Business requirements of access control) วตถประสงค เพอจากดการเขาถงสารสนเทศและอปกรณประมวลผลสารสนเทศ 5.1.1 นโยบายควบคมการเขาถง (Access control policy) นโยบายควบคมการเขาถงตองมการกาหนด จดทาเปนลายลกษณอกษร และทบทวนตามความตองการทางธรกจและความตองการดานความมนคงปลอดภยสารสนเทศ 5.1.2 การเขาถงเครอขายและบรการเครอขาย (Access to networks and network services) ผใชงานตองไดรบสทธการเขาถงเฉพาะเครอขายและบรการเครอขายตามทตนไดรบอนมตการเขาถงเทานน 5.2 การบรหารจดการการเขาถงของผใชงาน (User access management) วตถประสงค เพอควบคมการเขาถงของผใชงานเฉพาะผทไดรบอนญาต และปองกนการเขาถงระบบและบรการโดยไมไดรบอนญาต 5.2.1 การลงทะเบยนและการถอดถอนสทธผใชงาน (User registration and de-registration) กระบวนการลงทะเบยนและถอดถอนสทธผใชงานอยางเปนทางการตองมการปฏบตตามเพอเปนการใหสทธการเขาถง 5.2.2 การจดการสทธการเขาถงของผใชงาน (User access provisioning) กระบวนการจดการสทธการเขาถงของผใชงานตองมการปฏบตตาม ทงใหและถอดถอนสทธการเขาถงสาหรบผใชงานทกประเภทและทกระบบและบรการทงหมดขององคกร 5.2.3 การบรหารจดการสทธการเขาถงตามระดบสทธ (Management of privileged access right) การใหและใชสทธการเขาถงตามระดบสทธตองมการจากดและควบคม 5.2.4 การบรหารจดการขอมลความลบสาหรบการพสจนตวตนของผใชงาน (Management of secret authentication information of users) การมอบขอมลการพสจนตวตนของผใชงานซงเปนขอมลลบ ตองมการควบคมโดยผานกระบวนการบรหารจดการทเปนทางการ 5.2.5 การทบทวนสทธการเขาถงของผใชงาน (Review of user access rights) เจาของทรพยสนตองมการทบทวนสทธการเขาถงของผใชงานตามรอบระยะเวลาทกาหนดไว 5.2.6 การถอดถอนหรอปรบปรงสทธการเขาถง (Removal or adjustment of access rights)



สทธการเขาถงของพนกงานและลกจางของหนวยงานภายนอกตอสารสนเทศและอปกรณประมวลผลสารสนเทศตองไดรบการถอดถอนเมอสนสดการจางงาน หมดสญญา หรอสนสดขอตกลงการจาง หรอตองไดรบการปรบปรงใหถกตองเมอมการเปลยนการจางงาน 5.3 หนาทความรบผดชอบของผใชงาน (User responsibilities) เพอใหผใชงานมความรบผดชอบในการปองกนขอมลการพสจนตวตน 5.3.1 การใชขอมลการพสจนตวตนซงเปนขอมลลบ (Use of secret authentication information) ผใชงานตองดาเนนตามวธปฏบตขององคกรสาหรบการใชงานขอมลการพสจนตวตนซงเปนขอมลลบ 5.4 การควบคมการเขาถงระบบ (System and application access control) วตถประสงค เพอปองกนการเขาถงระบบโดยไมไดรบอนญาต 5.4.1 การจากดการเขาถงสารสนเทศ (Information access restriction) การเขาถงสารสนเทศและฟงกชนในระบบงานตองมการจากดใหสอดคลองกบนโยบายควบคมการเขาถง 5.4.2 ขนตอนปฏบตสาหรบการลอกอนเขาระบบทมความมนคงปลอดภย (Secure log-on procedures) กรณมการกาหนดโดยนโยบายควบคมการเขาถง การเขาถงระบบตองมการควบคมโดยผานทางขนตอนปฏบตสาหรบการลอกอนเขาระบบทมความมนคงปลอดภย 5.4.3 ระบบบรหารจดการรหสผาน (Password management system) ระบบบรหารจดการรหสผานตองมปฏสมพนธกบผใชงานและบงคบการตงรหสผานทมคณภาพ 5.4.4 การใชโปรแกรมอรรถประโยชน (Use of privileged utility programs) การใชโปรแกรมอรรถประโยชนทอาจละเมดมาตรการความมนคงปลอดภยของระบบ ตองมการจากดและควบคมการใชอยางใกลชด 5.4.5 การควบคมการเขาถงซอรสโคดของโปรแกรม (Access control to program source code) การเขาถงซอรสโคดของโปรแกรมตองมการจากดและควบคม 6. การเขารหสขอมล (Cryptography) 6.1 มาตรการเขารหสขอมล (Cryptographic controls) วตถประสงค เพอใหมการใชการเขารหสขอมลอยางเหมาะสมและไดผลและปองกนความลบ การปลอมแปลง หรอความถกตองของสารสนเทศ



6.1.1 นโยบายการใชมาตรการเขารหสขอมล (Policy on the use of cryptographic controls) นโยบายการใชมาตรการเขารหสขอมลเพอปองกนสารสนเทศตองมการจดทาและปฏบตตาม 6.1.2 การบรหารจดการกญแจ (Key management) นโยบายการใชงาน การปองกน และอายการใชงานของกญแจ ตองมการจดทาและปฏบตตามตลอดวงจรชวตของกญแจ 7. ความมนคงปลอดภยทางกายภาพและสภาพแวดลอม (Physical and environmental Security) 7.1 พนททตองการการรกษาความมนคงปลอดภย (Secure areas) วตถประสงค เพอปองกนการเขาถงทางกายภาพโดยไมไดรบอนญาต ความเสยหาย และการแทรกแซงการทางาน ทมตอสารสนเทศและอปกรณประมวลผลสารสนเทศขององคกร 7.1.1 ขอบเขตหรอบรเวณโดยรอบทางกายภาพ (Physical security perimeter) ขอบเขตหรอบรเวณโดยรอบพนททตองการการรกษาความมนคงปลอดภย ตองมการกาหนดขนมาเพอใชในการปองกนพนทสาคญดงกลาวอนประกอบไปดวยสารสนเทศหรออปกรณประมวลผลสารสนเทศทมความสาคญ 7.1.2 การควบคมการเขาออกทางกายภาพ (Physical entry controls) พนททตองการการรกษาความมนคงปลอดภย ตองมการปองกนโดยมการควบคมการเขาออกอยางเหมาะสม โดยกาหนดใหเฉพาะผทไดรบอนญาตแลวเทานนทสามารถเขาถงพนทสาคญได 7.1.3 การรกษาความมนคงปลอดภยสาหรบสานกงาน หองทางาน และอปกรณ (Securing office, room and facilities) ความมนคงปลอดภยทางกายภาพของสานกงาน หองทางาน และอปกรณตางๆ ตองมการออกแบบและดาเนนการ 7.1.4 การปองกนตอภยคกคามจากภายนอกและสภาพแวดลอม (Protecting against external end environmental threats) การปองกนทางกายภาพตอภยพบตทางธรรมชาต การโจมตหรอการบกรก หรออบตเหต ตองมการออกแบบและดาเนนการ 7.1.5 การปฏบตงานในพนททตองการการรกษาความมนคงปลอดภย (Working in secure areas) ขนตอนปฏบตสาหรบการปฏบตงานในพนททตองการการรกษาความมนคงปลอดภย ตองมการจดทาและปฏบตตาม 7.1.6 พนทสาหรบรบสงสงของ (Delivery and loading areas) จดหรอบรเวณทสามารถเขาถงองคกร เชน พนทสาหรบรบสงสงของ บรเวณอนๆ ทผทไมไดรบอนญาตสามารถเขาถงพนทขององคกรได ตองมการควบคม และหากเปนไปได จดหรอบรเวณ



ดงกลาวควรแยกออกมาจากบรเวณทมอปกรณประมวลผลสารสนเทศ เพอหลกเลยงการเขาถงโดยไมไดรบอนญาต 7.2 อปกรณ (Equipment) วตถประสงค เพอปองกนการสญหาย การเสยหาย การขโมย หรอการเปนอนตรายตอทรพยสนและปองกนการหยดชะงกตอการดาเนนงานขององคกร 7.2.1 การจดตงและปองกนอปกรณ (Equipment sitting and protection) อปกรณตองมการจดตงและปองกนเพอลดความเสยงจากภยคกคามและอนตรายดานสภาพแวดลอม และจากโอกาสในการเขาถงโดยไมไดรบอนญาต 7.2.2 ระบบและอปกรณสนบสนนการทางาน (Supporting utilities) อปกรณตองไดรบการปองกนจากการลมเหลวของกระแสไฟฟาและการหยดชะงกอนๆ ทมสาเหตมาจากการลมเหลวของระบบและอปกรณสนบสนนการทางานตางๆ 7.2.3 ความมนคงปลอดภยของการเดนสายสญญาณและสายสอสาร (Cabling security) การเดนสายไฟฟาและสายสอสารโทรคมนาคม ซงสงขอมลหรอสนบสนนบรการสารสนเทศ ตองมการปองกนจากการขดขวางการทางาน การแทรกแซงสญญาณ หรอการทาใหเสยหาย 7.2.4 การบารงรกษาอปกรณ (Equipment maintenance) อปกรณตองไดรบการบารงรกษาอยางถกตองเพอใหมสภาพความพรอมใชงานและการทางานทถกตองอยางตอเนอง 7.2.5 การนาทรพยสนขององคกรออกนอกสานกงาน (Removal of assets) อปกรณ สารสนเทศ หรอซอฟตแวร ตองไมมการนาออกนอกสานกงาน โดยปราศจากการขออนญาตกอน 7.2.6 ความมนคงปลอดภยของอปกรณและทรพยสนทใชงานอยภายนอกสานกงาน (Security of equipment and assets off- premises) ทรพยสนทใชงานอยภายนอกสานกงานตองมการรกษาความมนคงปลอดภยโดยพจารณาจากความเสยงของการปฏบตงานอยภายนอกสานกงาน 7.2.7 ความมนคงปลอดภยสาหรบการกาจดหรอทาลายอปกรณ หรอการนาอปกรณไปใชงานอยางอน (Secure disposal or re-use of equipment) อปกรณทมสอบนทกขอมลตองมการตรวจสอบเพอใหมนใจวาขอมลสาคญและซอฟตแวรทมใบอนญาตมการลบทงหรอเขยนทบอยางมนคงปลอดภย กอนการกาจดอปกรณ หรอกอนการนาอปกรณไปใชงานอยางอน 7.2.8 อปกรณของผใชงานททงไวโดยไมมผดแล (Unattended user equipment) ผใชงานตองมการปองกนอปกรณอยางเหมาะสม ซงเปนอปกรณททงไวในสถานทหนง ณ ชวงเวลาหนงโดยไมมผดแล 7.2.9 นโยบายโตะทางานปลอดเอกสารสาคญและนโยบายการปองกนหนาจอคอมพวเตอร (Clear desk and clear screen policy)



นโยบาย 'โตะทางานปลอดเอกสารสาคญ' เพอปองกนเอกสารกระดาษและสอบนทกขอมลทถอดแยกได และนโยบาย 'การปองกนหนาจอคอมพวเตอร' เพอปองกนสารสนเทศในอปกรณประมวลผลสารสนเทศ ตองมการนามาใชงาน (เพอปองกนการเขาถงทางกายภาพตอเอกสารและขอมลสาคญขององคกร 8. ความมนคงปลอดภยสาหรบการดาเนนงาน (Operations Security) 8.1 ขนตอนการปฏบตงานและหนาทความรบผดชอบ (Operational Procedures and Responsibilities) วตถประสงค เพอใหการปฏบตงานกบอปกรณประมวลผลสารสนเทศเปนไปอยางถกตองและมนคงปลอดภย 8.1.1 ขนตอนการปฏบตงานทเปนลายลกษณอกษร (Documented operating procedures) ขนตอนการปฏบตงานตองมการจดทาเปนลายลกษณอกษรและตองสามารถเขาถงไดโดยผทจาเปนตองใชงาน 8.1.2 การบรหารจดการการเปลยนแปลง (Change management) การเปลยนแปลงตอองคกร กระบวนการทางธรกจ อปกรณประมวลผลสารสนเทศ และระบบทมผลตอความมนคงปลอดภยสารสนเทศ ตองมการควบคมการดาเนนการ 8.1.3 การบรหารจดการขดความสามารถของระบบ (Capacity management) การใชทรพยากรของระบบตองมการตดตาม ปรบปรง และคาดการณความตองการเพมเตมในอนาคตเพอใหระบบมประสทธภาพตามทตองการ 8.1.4 การแยกสภาพแวดลอมสาหรบการพฒนา การทดสอบ และการใหบรการออกจากกน (Separation of development, testing and operational environments) สภาพแวดลอมสาหรบการพฒนา การทดสอบ และการใหบรการ ตองมการจดทาแยกกน เพอลดความเสยงของการเขาถงหรอการเปลยนแปลงสภาพแวดลอมสาหรบการใหบรการโดยไมไดรบอนญาต 8.2 การปองกนโปรแกรมไมประสงคด (Protection from Malware) วตถประสงค เพอใหสารสนเทศและอปกรณประมวลผลสารสนเทศไดรบการปองกนจากโปรแกรมไมประสงคด 8.2.1 มาตรการปองกนโปรแกรมไมประสงคด (Controls against malware) มาตรการตรวจหา การปองกน และการกคน จากโปรแกรมไมประสงคด ตองมการดาเนนการรวมกบการสรางความตระหนกผใชงานทเหมาะสม



8.3 การสารองขอมล (Backup) วตถประสงค เพอปองกนการสญหายของขอมล 8.3.1 การสารองขอมล (Information backup) ขอมลสารองสาหรบสารสนเทศ ซอฟตแวร และอมเมจของระบบ ตองมการดาเนนการสารองไวและมการทดสอบความพรอมใชของขอมลอยางสมาเสมอตามนโยบายการสารองขอมลทไดตกลงไว 8.4 การบนทกขอมลลอกและการเฝาระวง (Logging and Monitoring) วตถประสงค เพอใหมการบนทกเหตการณและจดทาหลกฐาน 8.4.1 การบนทกขอมลลอกแสดงเหตการณ (Event logging) ขอมลลอกแสดงเหตการณซงบนทกกจกรรมของผใชงาน การทางานของระบบทไมเปนไปตามขนตอนปกต ความผดพลาดในการทางานของระบบ และเหตการณความมนคงปลอดภย ตองมการบนทกไว จดเกบ และทบทวนอยางสมาเสมอ 8.4.2 การปองกนขอมลลอก (Protection of log information) อปกรณบนทกขอมลลอกและขอมลลอกตองไดรบการปองกนจากการเปลยนแปลงแกไขและการเขาถงโดยไมไดรบอนญาต 8.4.3 ขอมลลอกกจกรรมของผดแลระบบและเจาหนาทปฏบตการระบบ (Administrator and operator logs) กจกรรมของผดแลระบบและเจาหนาทปฏบตการตองมการบนทกไวเปนขอมลลอก ขอมลดงกลาวตองมการปองกนและทบทวนอยางสมาเสมอ 8.4.4 การตงนาฬกาใหถกตอง (Clock Synchronization) นาฬกาของระบบทเกยวของทงหมดภายในองคกรหรอในขอบเขตหนง ตองมการตงใหตรงและถกตองเทยบกบแหลงอางองเวลาแหงหนง 8.5 การควบคมการตดตงซอฟตแวรบนระบบใหบรการ (Control of operational software) วตถประสงค เพอใหระบบใหบรการมการทางานทถกตอง 8.5.1 การตดตงซอฟตแวรบนระบบใหบรการ (Installation of software on operational systems) ขนตอนปฏบตสาหรบการควบคมการตดตงซอฟตแวรบนระบบใหบรการตองมการปฏบตตามใหสอดคลอง 8.6 การบรหารจดการชองโหวทางเทคนค (Technical Vulnerability Management) วตถประสงค เพอปองกนการใชประโยชนจากชองโหวทางเทคนค 8.6.1 การบรหารจดการชองโหวทางเทคนค (Management of technical vulnerabilities)



ขอมลเกยวกบชองโหวทางเทคนคของระบบทใชงานตองมการตดตามอยางทนกาล จดออนตอชองโหวดงกลาวขององคกรตองมการประเมน และมาตรการทเหมาะสมตองถกนามาใชเพอจดการกบความเสยงทเกยวของ 8.6.2 การจากดการตดตงซอฟตแวร (Restrictions on software installation) กฎเกณฑควบคมการตดตงซอฟตแวรโดยผใชงานตองมการกาหนดและปฏบตตาม 8.7 สงทตองพจารณาในการตรวจประเมนระบบ (Information Systems Audit Considerations) วตถประสงค เพอลดผลกระทบของกจกรรมการตรวจประเมนบนระบบใหบรการ 8.7.1 มาตรการการตรวจประเมนระบบ (Information systems audit controls) ความตองการในการตรวจประเมนและกจกรรมการตรวจประเมนระบบใหบรการตองมการวางแผนและตกลงรวมกนอยางระมดระวงเพอลดโอกาสการหยดชะงกทมตอกระบวนการทางธรกจ 9. ความมนคงปลอดภยสาหรบการสอสารขอมล (Communications security) 9.1 การบรหารจดการความมนคงปลอดภยของเครอขาย (Network Security Management) วตถประสงค เพอใหมการปองกนสารสนเทศในเครอขายและอปกรณประมวลผลสารสนเทศ 9.1.1 มาตรการเครอขาย (Network controls) เครอขายตองมการบรหารจดการและควบคมเพอปองกนสารสนเทศในระบบตางๆ 9.1.2 ความมนคงปลอดภยสาหรบบรการเครอขาย (Security of network services) กลไกดานความมนคงปลอดภย ระดบการใหบรการ และความตองการในสวนของผบรหารสาหรบบรการเครอขายทงหมด ตองมการระบและรวมไวในขอตกลงการใหบรการเครอขาย ไมวาบรการเหลานจะมการใหบรการโดยองคกรเองหรอจางการใหบรการกตาม 9.1.3 การแบงแยกเครอขาย (Segregation in networks) กลมของบรการสารสนเทศ ผใชงาน และระบบ ตองมการจดแบงเครอขายตามกลมทกาหนด 9.2 การถายโอนสารสนเทศ (Information transfer) วตถประสงค เพอใหมการรกษาความมนคงปลอดภยของสารสนเทศทมการถายโอนภายในองคกรและถายโอนกบหนวยงานภายนอก 9.2.1 นโยบายและขนตอนปฏบตสาหรบการถายโอนสารสนเทศ (Information transfer policies and procedures) นโยบาย ขนตอนปฏบต และมาตรการสาหรบการถายโอนสารสนเทศอยางเปนทางการตองมการปฏบตเพอปองกนสารสนเทศทมการถายโอน โดยผานทางการใชอปกรณการสอสารทกประเภท 9.2.2 ขอตกลงสาหรบการถายโอนสารสนเทศ (Agreements on information transfer) ขอตกลงสาหรบการถายโอนสารสนเทศทางธรกจใหมความมนคงปลอดภยตองมการระบระหวางองคกรกบหนวยงานภายนอก



9.2.3 การสงขอความทางอเลกทรอนกส (Electronic messaging) สารสนเทศทเกยวของกบการสงขอความทางอเลกทรอนกสตองไดรบการปองกนอยางเหมาะสม 9.2.4 ขอตกลงการรกษาความลบหรอการไมเปดเผยความลบ (Confidentiality or non-disclosure agreements) ความตองการในการรกษาความลบหรอการไมเปดเผยความลบซงสะทอนถงความจาเปนขององคกรในการปองกนสารสนเทศ ตองมการระบ ทบทวนอยางสมาเสมอ และบนทกไวอยางเปนลายลกษณอกษร 10. การจดหา การพฒนา และการบารงรกษาระบบ (System acquisition, development and maintenance) 10.1 ความตองการดานความมนคงปลอดภยของระบบ (Security requirements of information systems) วตถประสงค เพอใหความมนคงปลอดภยสารสนเทศเปนองคประกอบสาคญหนงของระบบตลอดวงจรชวตของการพฒนาระบบ ซงรวมถงความตองการดานระบบทมการใหบรการผานเครอขายสาธารณะดวย 10.1.1 การวเคราะหและกาหนดความตองการดานความมนคงปลอดภยสารสนเทศ (Information security requirements analysis and specification) ความตองการทเกยวของกบความมนคงปลอดภยสารสนเทศตองมการรวมเขากบความตองการสาหรบระบบใหมหรอการปรบปรงระบบทมอยแลว 10.1.2 ความมนคงปลอดภยของบรการสารสนเทศบนเครอขายสาธารณะ (Securing application services on public networks) สารสนเทศทเกยวของกบบรการสารสนเทศซงมการสงผานเครอขายสาธารณะตองไดรบการปองกนจากการฉอโกง การโตเถยง และการเปดเผยและการเปลยนแปลงสารสนเทศโดยไมไดรบอนญาต 10.1.3 การปองกนธรกรรมของบรการสารสนเทศ (Protecting application services transactions) สารสนเทศทเกยวของกบธรกรรมของบรการสารสนเทศ ตองไดรบการปองกนจากการรบสงขอมลทไมสมบรณ การสงขอมลผดเสนทาง การเปลยนแปลงขอความโดยไมไดรบอนญาต การเปดเผยขอมลโดยไมไดรบอนญาต การสงขอความซาโดยไมไดรบอนญาต



10.2 ความมนคงปลอดภยสาหรบกระบวนการพฒนาและสนบสนน (Security in development and support processes) วตถประสงค เพอใหความมนคงปลอดภยสารสนเทศมการออกแบบและดาเนนการตลอดวงจรชวตของการพฒนาระบบ 10.2.1 นโยบายการพฒนาระบบใหมความมนคงปลอดภย (Secure development policy) กฎเกณฑสาหรบการพฒนาซอฟตแวรและระบบตองมการกาหนดและปฏบตตามสาหรบการพฒนาระบบขององคกร 10.2.2 ขนตอนปฏบตสาหรบควบคมการเปลยนแปลงระบบ (System Change control procedures) การเปลยนแปลงระบบในวงจรชวตของการพฒนาระบบตองมการควบคมโดยปฏบตตามขนตอนปฏบตสาหรบการเปลยนแปลงระบบทกาหนดไวอยางเปนทางการ 10.2.3 การทบทวนทางเทคนคตอระบบหลงจากเปลยนแปลงโครงสรางพนฐานของระบบ (Technical review of applications after operating platform changes) เมอมการเปลยนแปลงโครงสรางพนฐานของระบบ ระบบสาคญตองมการทบทวนและทดสอบเพอใหมนใจวาไมมผลกระทบในทางลบตอการปฏบตงานหรอดานความมนคงปลอดภยขององคกร 10.2.4 การจากดการเปลยนแปลงซอฟตแวรสาเรจรป (Restrictions on changes to software packages) การเปลยนแปลงตอซอฟตแวรสาเรจรปตองไมอนญาตการดาเนนการ จากดการเปลยนแปลงเทาทจาเปน และตองมการควบคมอยางรดกม 10.2.5 หลกการวศวะกรรมระบบดานความมนคงปลอดภย (Secure system engineering principles) หลกการวศวกรรมระบบใหมความมนคงปลอดภยตองมการกาหนดขนมาเปนลายลกษณอกษร ปรบปรงอยางตอเนอง และประยกตกบงานการพฒนาระบบ 10.2.6 สภาพแวดลอมของการพฒนาระบบทมความมนคงปลอดภย (Secure development environment) องคกรตองจดทาและปองกนอยางเหมาะสมตอสภาพแวดลอมของการพฒนาระบบทมความมนคงปลอดภย ทงการพฒนาและปรบปรงระบบเพมเตมตลอดวงจรชวตของการพฒนาระบบ 10.2.7 การจางหนวยงานภายนอกพฒนาระบบ (Outsourced development) องคกรตองกากบดแล เฝาระวง และตดตามกจกรรมการพฒนาระบบทจางหนวยงานภายนอกเปนผดาเนนการ 10.2.8 การทดสอบดานความมนคงปลอดภยของระบบ (System security testing) การทดสอบคณสมบตดานความมนคงปลอดภยของระบบตองมการดาเนนการในระหวางทระบบอยในชวงการพฒนา



10.2.9 การทดสอบเพอรบรองระบบ (System acceptance testing) แผนการทดสอบและเกณฑทเกยวของเพอรบรองระบบ ตองมการจดทาสาหรบระบบใหม ระบบทปรบปรง และระบบเวอรชนใหม 10.3 ขอมลสาหรบการทดทดสอบ (Test data) วตถประสงค เพอใหมการปองกนขอมลทนามาใชในการทดสอบ 10.3.1 การปองกนขอมลสาหรบการทดสอบ (Protection of test data) ขอมลสาหรบการทดสอบระบบตองมการคดเลอกอยางระมดระวง มการปองกน และควบคมการนามาใชงาน 11. ความสมพนธกบผใหบรการภายนอก (Supplier relationships) 11.1 ความมนคงปลอดภยสารสนเทศกบความสมพนธกบผใหบรการภายนอก (Information security in supplier relationship) วตถประสงค เพอใหมการปองกนทรพยสนขององคกรทมการเขาถงโดยผใหบรการภายนอก 11.1.1 นโยบายความมนคงปลอดภยสารสนเทศดานความสมพนธกบผใหบรการภายนอก (Information security policy for supplier relationships) ความตองการดานความมนคงปลอดภยสารสนเทศเพอลดความเสยงทเกยวของกบการเขาถงทรพยสนขององคกรโดยผใหบรการภายนอก ตองมการกาหนดและตกลงกบผใหบรการภายนอก และจดทาเปนลายลกษณอกษร 11.1.2 การระบความมนคงปลอดภยในขอตกลงการใหบรการของผใหบรการภายนอก (Addressing security within supplier agreements) ความตองการดานความมนคงปลอดภยสารสนเทศตองมการกาหนดและตกลงกบผใหบรการภายนอกในเรองทเกยวของกบการเขาถง การประมวลผล การจดเกบ การสอสาร และการใหบรการโครงสรางพนฐานของระบบสาหรบ สารสนเทศขององคกรโดยผใหบรการภายนอก 11.1.3 หวงโซการใหบรการเทคโนโลยสารสนเทศและการสอสารโดยผใหบรการภายนอก (Information and communication technology supply chain) ขอตกลงกบผใหบรการภายนอกตองรวมความตองการเรองการระบความเสยงอนเกดจากหวงโซการใหบรการเทคโนโลยสารสนเทศและการสอสารโดยผใหบรการภายนอก 11.2 การบรหารจดการการใหบรการโดยผใหบรการภายนอก (Supplier service delivery management) วตถประสงค เพอใหมการรกษาไวซงระดบความมนคงปลอดภยและระดบการใหบรการตามทตกลงกนไวในขอตกลงการใหบรการของผใหบรการภายนอก 11.2.1 การตดตามและทบทวนบรการของผใหบรการภายนอก (Monitoring and review of supplier services)



องคกรตองมการตดตาม ทบทวน และตรวจประเมนการใหบรการของผใหบรการภายนอกอยางสมาเสมอ 11.2.2 การบรหารจดการการเปลยนแปลงบรการของผใหบรการภายนอก (Managing changes to supplier services) การเปลยนแปลงตอการใหบรการของผใหบรการภายนอก รวมทงการปรบปรงนโยบาย ขนตอนปฏบต และมาตรการทใชอยในปจจบน ตองมการบรหารจดการ โดยตองนาระดบความสาคญของสารสนเทศ ระบบ และกระบวนการทางธรกจทเกยวของมาพจารณาดวย และตองทบทวนการประเมนความเสยงใหม 12. การบรหารจดการเหตการณความมนคงปลอดภยสารสนเทศ (Information Security Incident Management) 12.1 การบรหารจดการเหตการณความมนคงปลอดภยสารสนเทศและการปรบปรง (Management of information security incidents and improvements) วตถประสงค เพอใหมวธการทสอดคลองกนและไดผลสาหรบการบรหารจดการเหตการณความมนคงปลอดภยสารสนเทศ ซงรวมถงการแจงสถานการณความมนคงปลอดภยสารสนเทศและจดออนความมนคงปลอดภยสารสนเทศใหไดรบทราบ 12.1.1 หนาทความรบผดชอบและขนตอนปฏบต (Responsibilities and procedures) หนาทความรบผดชอบและขนตอนปฏบตสาหรบการบรหารจดการตองมการกาหนดเพอใหมการตอบสนองอยางรวดเรว ไดผล และตามลาดบตอเหตการณความมนคงปลอดภยสารสนเทศ 12.1.2 การรายงานสถานการณความมนคงปลอดภยสารสนเทศ (Reporting information security events) สถานการณความมนคงปลอดภยสารสนเทศตองมการรายงานผานทางชองทางการบรหารจดการทเหมาะสมและรายงานอยางรวดเรวทสดเทาทจะทาได 12.1.3 การรายงานจดออนความมนคงปลอดภยสารสนเทศ (Reporting information security weaknesses) พนกงานและผททาสญญาจางซงใชระบบและบรการสารสนเทศขององคกรตองสงเกตและรายงานจดออนความมนคงปลอดภยสารสนเทศในระบบหรอบรการทสงเกตพบหรอทสงสย 12.1.4 การประเมนและตดสนใจตอสถานการณความมนคงปลอดภยสารสนเทศ (Assessment of and decision on information security events) สถานการณความมนคงปลอดภยสารสนเทศตองมการประเมนและตองมการตดสนวาสถานการณนนเปนเหตการณความมนคงปลอดภยสารสนเทศหรอไม



12.1.5 การตอบสนองตอเหตการณความมนคงปลอดภยสารสนเทศ (Response to information security incidents) เหตการณความมนคงปลอดภยสารสนเทศตองไดรบการตอบสนองเพอจดการกบปญหาตามขนตอนปฏบตทจดทาไวเปนลายลกษณอกษร 12.1.6 การเรยนรจากเหตการณความมนคงปลอดภยสารสนเทศ (Learning from information security incidents) ความรทไดรบจากการวเคราะหและแกไขเหตการณความมนคงปลอดภยสารสนเทศตองถกนามาใชเพอลดโอกาสหรอผลกระทบของเหตการณความมนคงปลอดภยทจะเกดขนในอนาคต 12.1.7 การเกบรวบรวมหลกฐาน (Collection of evidence) องคกรตองกาหนดและประยกตใชขนตอนปฏบตสาหรบการระบ การรวบรวม การจดหา และการจดเกบสารสนเทศซงสามารถใชเปนหลกฐาน 13. ประเดนดานความมนคงปลอดภยสารสนเทศของการบรหารจดการเพอสรางความตอเนองทางธรกจ (Information security aspects of business continuity management) 13.1 ความตอเนองดานความมนคงปลอดภยสารสนเทศ (Information security continuity) 13.1.1 การวางแผนความตอเนองดานความมนคงปลอดภยสารสนเทศ (Planning information security continuity) องคกรตองกาหนดความตองการดานความมนคงปลอดภยสารสนเทศและดานความตอเนองในสถานการณความเสยหายทเกดขน เชน ในชวงทเกดวกฤตหรอภยพบตหนง 13.1.2 การปฏบตเพอเตรยมการสรางความตอเนองดานความมนคงปลอดภยสารสนเทศ (Implementing information security continuity) องคกรตองกาหนด จดทาเปนลายลกษณอกษร ปฏบต และปรบปรง กระบวนการ ขนตอนปฏบต และมาตรการ เพอใหไดระดบความตอเนองดานความมนคงปลอดภยสารสนเทศทกาหนดไวเมอมสถานการณความเสยหายหนงเกดขน 13.1.3 การตรวจสอบ การทบทวน และการประเมนความตอเนองดานความมนคงปลอดภยสารสนเทศ (Verify, review and evaluate information security continuity) องคกรตองมการตรวจสอบมาตรการสรางความตอเนองทไดเตรยมการไวตามรอบระยะเวลาทกาหนดไว เพอใหมนใจวามาตรการเหลานนยงถกตองและไดผลเมอมสถานการณความเสยหายเกดขน



13.2 การเตรยมการอปกรณประมวลผลสารอง (Redundancies) วตถประสงค เพอจดเตรยมสภาพความพรอมใชของอปกรณประมวลผลสารสนเทศ 13.2.1 สภาพความพรอมใชของอปกรณประมวลผลสารสนเทศ (Availability of information processing facilities) อปกรณประมวลผลสารสนเทศตองมการเตรยมการสารองไวอยางเพยงพอเพอใหตรงตามความตองการดานสภาพความพรอมใชทกาหนดไว

14. ความสอดคลอง (Compliance) 14.1 ความสอดคลองกบความตองการดานกฎหมายและในสญญาจาง (Compliance with legal and contractual requirements) วตถประสงค เพอหลกเลยงการละเมดขอผกพนในกฎหมาย ระเบยบขอบงคบ หรอสญญาจาง ทเกยวของกบความมนคงปลอดภยสารสนเทศ และทเปนความตองการดานความมนคงปลอดภย 14.1.1 การระบกฎหมายและความตองการในสญญาจางทเกยวของ (Identification of applicable legislation and contractual requirements) ความตองการทงหมดทเกยวของกบกฎหมาย ระเบยบขอบงคบ และสญญาจาง รวมทงวธการขององคกรเพอใหสอดคลองกบความตองการดงกลาว ตองมการระบอยางชดเจน จดทาเปนลายลกษณอกษร และปรบปรงใหทนสมย สาหรบแตละระบบและสาหรบองคกร 14.1.2 สทธในทรพยสนทางปญญา (Intellectual property rights) ขนตอนปฏบตทเหมาะสมตองไดรบการปฏบตอยางสอดคลอง เพอใหมนใจวามความสอดคลองกบความตองการของกฎหมาย ระเบยบขอบงคบ และสญญาจาง ทวาดวยเรองสทธในทรพยสนทางปญญาและการใชผลตภณฑซอฟตแวรทมกรรมสทธ 14.1.3 การปองกนขอมล (Protection of records) ขอมลขององคกรตองไดรบการปองกนจากการสญหาย การถกทาลาย การปลอมแปลง การเขาถงโดยไมไดรบอนญาต และการเผยแพรโดยไมไดรบอนญาต โดยตองสอดคลองกบความตองการของกฎหมาย ระเบยบขอบงคบ สญญาจาง และความตองการทางธรกจ 14.1.4 ความเปนสวนตวและการปองกนขอมลสวนบคคล (Privacy and protection of personal identifiable information) ความเปนสวนตวและการปองกนขอมลสวนบคคลตองมการดาเนนการใหสอดคลองกบกฎหมายและระเบยบขอบงคบทเกยวของ



14.1.5 ระเบยบขอบงคบสาหรบมาตรการเขารหสขอมล (Regulation of cryptographic controls) มาตรการเขารหสขอมลตองมการใชใหสอดคลองกบขอตกลง กฎหมาย และระเบยบขอบงคบทงหมดทเกยวของ 14.2 การทบทวนความมนคงปลอดภยสารสนเทศ (Information security reviews) วตถประสงค เพอใหมการปฏบตดานความมนคงปลอดภยสารสนเทศอยางสอดคลองกบนโยบายและขนตอนปฏบตขององคกร 14.2.1 การทบทวนอยางอสระดานความมนคงปลอดภยสารสนเทศ (Independent review of information security) วธการในการบรหารจดการความมนคงปลอดภยสารสนเทศและการปฏบตขององคกร (กลาวคอ วตถประสงค มาตรการ นโยบาย กระบวนการ และขนตอนปฏบตเพอความมนคงปลอดภยสารสนเทศ) ตองมการทบทวนอยางอสระตามรอบระยะเวลาทกาหนดไว หรอเมอมการเปลยนแปลงองคกรทมากเกดขน 14.2.2 ความสอดคลองกบนโยบายและมาตรฐานดานความมนคงปลอดภย (Compliance with security policies and standards) ผ จดการตองดาเนนการทบทวนความสอดคลองอยางสมาเสมอของการประมวลผลสารสนเทศและขนตอนปฏบตทอยภายใตความรบผดชอบของตนเอง โดยเทยบกบนโยบาย มาตรฐาน และความตองการดานความมนคงปลอดภยทเกยวของ 14.2.3 การทบทวนความสอดคลองทางเทคนค (Technical compliance review) ระบบตองไดรบการทบทวนอยางสมาเสมอเพอพจารณาความสอดคลองกบนโยบายและมาตรฐานดานความมนคงปลอดภยสารสนเทศขององคกร

Documents

มาตรฐาน ISO/IEC 27001 : 2013 - rtna.ac.th · บริษัท ที‐เน็ต จํากัด หน้า 2 จาก 31 บริษัท ที‐เน็ต