ISO27001:2013

Requirement
Mahutthawat Raksakiettisak
Assistant Director Computer Center
Computer Center Srinakharinwirot University
Outline
ภาพรวมและขอกำหนดมาตรฐาน
ISO27001:2013
การประเมินความเสี่ยงกับระบบที่รับผิดชอบ
วิเคราะหแบบประเมินประกอบการพิจารณา
การดำเนินงานตามแนวนโยบายและแนวปฏิบัติ
ในการรักษาความมั่นคงปลอดภัย ของหนวยงาน
ภาครัฐ
ISO27001:2013
ISO/IEC 27001 Information
Technology -Security Techniques-Information
security management systems-Requirements

ISO/IEC27002 – Code of practice for information

security controls
 ISO27001:2013
Information security - Confidentiality , Integrity
and Availability (CIA)

Availability Integrity

Security
Model
(CIA)

Confidentiality
How does ISO 27001 Work

Risk
assessment Sefeguard
and implementation
treatment

ISO 27001 framework

Why is ISO 27001 good for your company?

4 essential business benefits that company

can achieve with implement information
security standard

01 Comply with legal requirement

02 Achieve marketing advantage
03 Lower Costs
04 Better organization
Where does information security
management fit in a company

Risk management
Information security

Cybersecurity
Business continuity

Information technology
How to implement ISO 27001
Following 16 steps
1) Get top management support
2) Use project management methodology
3) Define the ISMS scope
4) Write the top-level Information security policy
5) Define the Risk assessment methodology
6) Perform the risk assessment and risk treatment
7) Write the Statement of Applicability
8) Write the Risk treatment plan
 How to implement ISO 27001

9) Define how to measure the effectiveness of

your controls and of your ISMS
10) Implement all applicable controls and procedures
11) Implement training and awareness programs
12) Perform all the daily operations prescribed
by your ISMS documentation
13) Monitor and measure your ISMS
14) Perform internal audit
15) Perform management review
16) Implement corrective actions
ISO27001:2013 clauses
Clause 0 : Introduction
Clause 1 : Scope
Clause 2 : Normative references
Clause 3 : Terms and definitions
Clause 4 : Context of the organization
Clause 5 : Leadership
Clause 6 : Planning
Clause 7 : Support
Clause 8 : Operation
Clause 9 : Performance evaluation
Clause 10 : Improvement
 ISO27001:2013
Plan 5.1 ภาวะผูนำและการใหความสำคัญ 7.1 ทรัพยากร
5.2 นโยบาย 7.2 สมรรถนะ
5.3 บทบาทหนาที่และความรับผิดชอบ 7.3 การสรางความตระหนัก
7.4 การสื่อสารใหทราบ
7.5 สารสนเทศที่เปนลายลักษณ
อักษร
4. บริบทขององคกร 5. ภาวะผูนำ 6. การวางแผน 7. การสนับสนุน

4.1 การทำความเขาใจกับบริบทขององคกร 6.1 การดำเนินการเพื่อจัดการกับความเสี่ยงและโอกาส

4.2 การกำหนดความจำเปนและความคาดหวัง 6.2 วัตถุประสงคดานความมั่นคงปลอดภัยสารสนเทศ
ขององคกร และแผนการบรรลุวัตถุประสงค
4.3 การกำหนดขอบเขตการบริหารจัดการความมั่นคง
ปลอดภัยของระบบสารสนเทศ
4.4 ระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ
 ISO27001:2013
8.1 การวางแผนที่เกี่ยวของกับการควบคุม 10.1 ความไมสอดคลองและ
8.2 การประเมินความเสี่ยงดานความมั่นคง การดำเนินการแกไข
ปลอดภัยของสารสนเทศ 10.2 การปรับปรุงอยางตอเนื่อง
8.3 การจัดการความเสี่ยงดานความมั่นคง
ปลอดภัยสารสนเทศ

8. การดำเนินการ
Check
9. การประเมินประสิทธิภาพ 10. การปรับปรุง
และประสิทธิผล

Do Action
9.1 การประเมินผลกระทบที่เกิดขึ้น
9.2 การตรวจสอบภายใน
9.3 การทบทวนของผูบริหาร
Information Security Controls

Annex A. Reference control objectives

and controls
114 controls in 14 sections
from A.5.* to A.18.*
Overview of ISO 27001:2013 Annex A
Ref. Section Controls Content
A.5 Information security policies 2 Management direction

A.6 Organization of information 7 Internal organization

A.7 Human resource security 6 Prior to, during employment,
termination and change
A.8 Asset management 10 Responsibilities, information
classification, media handling

A.9 Access Control 14 Business requirements, user

management and responsibilities,
system and application access control
A.10 Cryptography 2 Cryptographic controls
A.11 Physical and environmental security 15 Secure areas, equipment

A.12 Operations security 14 Procedures and responsibilities, malware

protection , backup process, Logging
and monitoring, operational software,
technical vulnerabilities, system audits
 Overview of ISO 27001:2013 Annex A
Ref. Section Controls Content
A.13 Communications security 7 Network security, Information transfer

A.14 System acquisition, development 13 Security requirements, development

and maintenance and support, test data

A.15 Supplier relationships 5 Information security in supplier

relationships, service delivery

A.16 Information security incident 7 Management of incidents, improvement

management ISMS

A.17 Information security aspects 4 Continuity, redundancy

of business continuity

A.18 Compliance 8 Legal and contractual compliance,

reviews
 Asset Management
and Risk Assessment
Workshop outline

1 Asset inventory

Risk Assessment 2
3 Threat the risks
 Asset Inventory
Asset is anything that has value to the organization
[iso/iec 13335-1:2004] ทรัพยสินแบงออกเปน 5 ประเภท ดวยกันคือ
1. Hardware เชน เครื่อง server, อุปกรณ network (switch, router) ,
Firewall ในขอบเขต
2. Software เชน os , software application ขององคกรในขอบเขต
3. Information เชน ขอมูลสำคัญขององคกร เอกสารคูมือ ขั้นตอนปฏิบัติ
ในขอบเขต
4. Service เชน บริการที่องคกรใหบริการแกผูใชงานทั้งภายในและ
ภายนอกองคกรภายใตขอบเขต
5. People เชน ผูบริหาร เจาหนาที่ที่เกี่ยวของในขอบเขต
 Asset Inventory

Log Server

Internet
Security Team

Switch (Logical)

Mail Server Firewall

System Admin

AD Server
Network Admin
 System Specification
Mail server - system admin team Log Server - security team
* (OS) - Centos
- (OS) – Centos
* Software
- Apache web server - Software
- Mysql Database - Phpsyslog
- Zimbra webmail
- Syslog-ng - Syslog-ng
- Nagios
Firewall - network admin team
- AVG client
- Tripwire - Os : Centos
Directory Server - Software
- (OS) - Window server 2008 - Pfsense
Software - AVG server
- Microsoft Active Directory Server
Risk Assessment
01 Asset Valuation

02 Identify Risks

03 Assess Risks

04 Treat Risks
Asset Valuation

C Confidentiality

I Integrity

A Availability
 Asset Valuation
แนวทางการพิจารณาความสูญเสียองคประกอบดานความมั่นคง
ปลอดภัย (CIA) สำหรับทรัพยสินแตละประเภท

ประเภท สูญเสีย C สูญเสีย I สูญเสีย A

ทรัพยสิน

Hardware Hardware มีขอมูลที่สำคัญ Hardware มีขอมูลสำคัญ Hardware ไมสามารถ

ถูกเขาถึงโดยผูที่ไมได ถูกเขาถึงและแกไขขอมูล ทำงานได
รับอนุญาต โดยผูที่ไมไดรับอนุญาต

Software Software มีการเชื่อมโยง Software ที่มีการเชื่อมโยง Software ไมสามารถ

ขอมูลถึงขอมูลสำคัญ ถึงขอมูลที่สำคัญถูกแกไข ใชงานได
ถูกเขาถึงโดยไมได
รับอนุญาต
ประเภท สูญเสีย C สูญเสีย I สูญเสีย A
ทรัพยสิน

Information ขอมูลถูกเขาถึงโดยไมได ขอมูลถูกเขาถึงและแกไข ไมมีขอมูลเมื่อตองการ

รับอนุญาต โดยผูที่ไมไดรับอนุญาต ใชงาน

Service ผูใหบริการภายนอกมีสิทธิ์ ผูใหบริการภายนอกมีสิทธิ์ ผูใหบริการภายนอก

เขาถึงขอมูลสำคัญและนำไป เขาถึงขอมูลสำคัญและแกไข ไมสามารถใหบริการได
เปดเผยโดยไมไดรับ

People คนมีสิทธิ์เขาถึงขอมูลสำคัญ - คนมีสิทธิ์เขาถึงขอมูลสำคัญ คนไมสามารถปฏิบัติงานได

และนำไปเปดเผยโดยไมไดรับ และแกไขขอมูลโดยไมไดรับ ตามปกติ
อนุญาต หรือ
- คนมีความรูความสามารถ
(Competency) ไมตรงกับ
หนาที่ความรับผิดชอบ
Impact Analysis – Financial (F)
ผลกระทบดานการเงิน (Financial)
ระดับความรุนแรง ลักษณะผลกระทบ คะแนน
สูงมาก มีผลกระทบดานการใชทรัพยากรเพิ่ม 5
มากกวา 1 สัปดาห
สูง มีผลกระทบดานการใชทรัพยากรเพิ่ม 4
1 สัปดาห
ปานกลาง มีผลกระทบดานการใชทรัพยากรเพิ่ม 3
3 – 5 วัน
นอย มีผลกระทบดานการใชทรัพยากรเพิ่ม 2
1 – 3 วัน
นอยมาก มีผลกระทบดานการใชทรัพยากรเพิ่ม 1
1 วัน
Impact Analysis – Operation (O)
ผลกระทบดานการทำงาน (Operation)
ระดับความรุนแรง ลักษณะผลกระทบ คะแนน
สูงมาก Total disruption จนทำงานไมได 5
และกอผลกระทบตอการทำงานของระบบ
สำคัญทั้งหมด สงผลตอผูใชงาน
สูง ระบบสำคัญ ระบบความปลอดภัย / 4
ระบบที่สำคัญ หยุดชะงักบางระบบหรือ
บางฟงกชัน สงผลตอผูใชงาน
ปานกลาง ระบบสนับสนุนสำคัญหยุดชะงักมีผลตอ 3
การดำเนินการภายในกลุมงาน และตองใช
หนวยงานภายนอกในการแกไข
นอย มีปญหาเล็กนอยแกไขได ในระดับกลุมงาน 2
นอยมาก ไมมีปญหา 1
Impact Analysis – Reputation (R)
ผลกระทบดานชื่อเสียงภาพลักษณ (Reputation)
ระดับความรุนแรง ลักษณะผลกระทบ คะแนน
สูงมาก กระทบชื่อเสียงขององคกรมาก ทำให 5
เกิดความไมพอใจจากสาธารณะ เชน
การแสดงความคิดเห็นคัดคานผานสื่อตางๆ
สูง กระทบชื่อเสียงขององคกรมาก ทำให 4
เกิดความไมพอใจจากสาธารณะ
เชน การเขียนวิจารณ
ปานกลาง กระทบชื่อเสียงองคกร โดยมีการรายงาน 3
ตอผูบริหารระดับสูง

นอย กระทบชื่อเสียงองคกรนอย ภายในกลุมงาน 2

นอยมาก กระทบชื่อเสียงองคกรนอยมากหรือไมกระทบ 1
Impact Analysis – Compliance (C)
ผลกระทบดานกฎหมาย, ระเบียบ/กฎเกณฑ,
นโยบายและขั้นตอนปฎิบัติ (Compliance)
ระดับความรุนแรง ลักษณะผลกระทบ คะแนน
สูงมาก ขัดตอกฎหมาย พระราชบัญญัติที่เกี่ยวของ 5
เชน พรบ. เปนตน
สูง ขัดตอนโยบายและแนวปฎิบัติทั่วไป 4
ในระดับองคกร
ปานกลาง ขัดตอนโยบายและแนวปฎิบัติเฉพาะกลุมงาน 3

นอย ขัดตอกระบวนการปฎิบัติงานทีม 2

นอยมาก ไมมีผลตอการปฎิบัติตามกฎหาย ระเบียบ 1

และขอบังคับที่เกี่ยวของ
 Identify Risks
Risk = Vulnerability and Threat
threat threat
Server Control
Room

vulnerability H

vulnerability
Assess Risks
01 Risk Value
02 Residual Risk
03 Risk Response
 Assess Risks
Risk Value = Impact x Likelihood
โอกาสของการเกิดความเสี่ยง (Likelihood)
ระดับโอกาส
เกิดความเสี่ยง โอกาส/ความถี่ คะแนน
สูงมาก เกิดเปนประจำ อยางนอยเดือนละ 1 ครั้ง 5

สูง คอนขางบอย ปละ 6 – 10 ครั้ง 4

ปานกลาง ปานกลาง ปละ 3 – 5 ครั้ง 3

นอย โอกาสเกิดนอยหรืออยางมาก 2
ไมเกินปละ 2 ครั้ง
นอยมาก ไแทบจะไมเกิดหรืออยางมากปละ 1 ครั้ง 1
 Assess Risks
เกณฑการประเมินระดับความเสี่ยง (Risk Assessment Matrix)

สูงมาก 5 10 15 20 25
ผลกระทบ (Impact)

สูง 4 8 12 16 20
ปานกลาง 3 6 9 12 15
นอย 2 4 6 8 10
นอยมาก 1 2 3 4 5
นอย นอย ปานกลาง สูง สูงมาก
โอกาส (Likelihood)
 Assess Risks
Residual Risk = The risk remaining after risk treatment
[ISO/IEC Guide 73:2002]
Treat the risks
Select option to treat the risks
Risk Response

Risk Response คำอธิบาย

การหลีกเลี่ยงความเสี่ยง เมื่อเปนความเสี่ยงที่เราไมตองการ เชน ความเสี่ยงที่ให
ผลตอบแทนนอยหรือเปนความเสี่ยงที่เราสามารถบริการ
และควบคุมได เราจะหลีกเลี่ยงความเสี่ยงโดยจะไมยอมรับ
ความเสี่ยงนั้น หรือเปลี่ยนเปาหมาย/วัตถุประสงค
หรือขจัดความเสี่ยงนั้นทิ้งไป

การลดความเสี่ยง ใชกับความเสี่ยงที่เรายอมรับเราจะลดความเสี่ยงไดโดน
การลดระดับความนาจะเปน หรือกาสที่จะเกิด (Likelihood)
และลดระดับความรุนแรงของผลกระทบจากปจจัยเสี่ยงนั้น
 Select option to treat the risks

Risk Response คำอธิบาย

การถายโอนความเสี่ยง เปนการใหผูอื่นมาเปนผูรับผิดชอบความเสี่ยงและ
ความเสียหายที่จะเกิดขึ้นแทนเราเชนการทำประกัน
(Insurance) และการรับเหมาชวง (Outsource)

การคงความเสี่ยงไว เปนการคงความเสี่ยงเอาไวใหอยูในระดับปจจุบันแมจะรูวา
อาจจะเกิดผลกระทบจากความเสี่ยงนั้นตามมาแตก็เต็มใจ
ที่จะดูผลที่เกิดและใชวิธีการเดิมตอไปในการควบคุมและ
จัดการความเสี่ยงเนื่องดวยเหตุผลบางประการ
A.5 นโยบายความมั่นคงปลอดภัยสารสนเทศ
(Information Security Policy)

A.5.1 ทิศทางการบริหารจัดการความมั่นคงปลอดภัย
(Management direction for information security)

วัตถุประสงค เพื่อใหมีการกำหนดทิศทางการบริหารการจัดการความมั่นคง
ปลอดภัยและการสนับสนุนดานความมั่นคงปลอดภัยตามขอกำหนดทางธุรกิจ
และกฏหมายที่เกี่ยวของ
 A.5.1.1
นโยบายการรักษาความมั่นคงปลอดภัย
(Policies for information security)
นโยบายการรักษาความมั่นคงปลอดภัย
ตองมีการจัดทำขึ้น และไดรับการรับรอง
จากผูบริหารหนวยงานแลประกาศหรือ
มีการสื่อสารกับบุคลากรและบุคคลภายนอก
ที่เกี่ยวของใหทราบถึงนโยบายนี้
A.5.1.2
การทบทวนนโยบายการรักษาความมั่นคงปลอดภัย
(Review of the policies for information security)
นโยบายการรักษาความมั่นคงปลอดภัยตองมี
การทบทวนอยางนอยปละ 1 ครัง้ หรือมีการเปลีย่ นแปลง
ทีม่ สี าระสำคัญเกิดขึน้ เพือ่ ใหมน่ั ใจวานโยบายการรักษา
ความมั่นคงปลอดภัยมีความเหมาะสม เพียงพอและ
มีประสิทธิภาพ
policy ตองมีคำนิยามหลักๆ เชน
access control , information classification,
physical security etc.
A.6
โครงสรางความมั่นคงปลอดภัยของสารสนเทศ
(Organization of information security)

โครงสรางภายในองคกร
A.6.1 (Internal organization)

อุปกรณพกพาและการปฏิบัติงานจากระยะไกล
A.6.2 (Mobile devices and teleworking)
 โครงสร า งภายในองค ก
A.6.1 (Internal organization)ร

วัตถุประสงค เพื่อใชเปนกรอบในการบริหารความมั่นคงปลอดภัยโดยจะตองมีการเริ่มตน
และควบคุมการปฏิบัติงานและดำเนินการดานความมั่นคงปลอดภัยภายในองคกร

A.6.1.1 บทบาทและหนาที่ความรับผิดชอบดานความมั่นคงปลอดภัย
(Information security roles and responsibilities)
ตองมีการกำหนดและมอบหมายหนาที่รับผิดชอบดานความมั่นคงปลอดภัย

A.6.1.2 การแบงแยกหนาที่ความรับผิดชอบ (Segregation of duties)

หนาที่และความรับผิดชอบอาจจะกอใหเกิดการขัดแยงกัน ดังนั้นจึงตองมีการแบงแยก
เพื่อลดโอกาสที่จะเกิดการที่ไมไดรับอนุญาตหรือการใชงานทรัพยสินภายในองคกร
ผิดวัตถุประสงค
A.6.1.3 การติดตอกับหนวยงานผูมีอำนาจ (Contact with authorities)
การติดตอกับหนวยงานผูมีอำนาจตองรักษาไวอยางตอเนื่อง

A.6.1.4 การติดตอกับกลุมคนที่มีความสนใจพิเศษในเรื่องเดียวกันรวมกัน
(Contact with special interest groups) การติดตอกับกลุมคนที่มี
ความเชี่ยวชาญหรือสนใจในเรื่องเดียวกันตองรักษาไวอยางตอเนื่อง

A.6.1.5 การรักษาความมั่นคงปลอดภัยสารสนเทศในการบริหารโครงการ
(Information security in project management) การบริหารโครงการตองมี
การระบุประเด็นเรื่องของการรักษาความมั่นคงปลอดภัยเขาไปดวย
 อุปกรณพกพาและการปฏิบัติงานจากระยะไกล
A.6.2 (Mobile devices and teleworking)

วัตถุประสงค เพื่อใหมีความมั่นใจในการใชงานอุปกรณพกพาและการปฏิบัติงานจากระยะไกล
A.6.2.1 นโยบายสำหรับอุปกรณคอมพิวเตอรพกพา (Mobile device policy)
นโยบายและมาตรการสนับสนุนสำหรับการใชงานอุปกรณแบบพกพา ตองมีการบริหารจัดการ
ความเสี่ยงตออุปกรณพกพา

A.6.2.2 การปฏิบัติงานจากระยะไกล (Teleworking) นโยบายและมาตรการสนันสนุน

การปฏิบัติงานจากระยะไกล โดยตองมีการปองกันการเขาถึง การประมวลผล หรือการจัดเก็บ
จากการปฏิบัติงานระยะไกล

อาจจะตองมี policy เรื่อง BYOD

register mobile device, physical protection,
restricion of software installation, patch mobile device,
access control , malware protection, backup เปนตน
 A.7 ความมั่นคงปลอดภัยสำหรับทรัพยากรบุคคล
(Human Resource Security)

A.7.1 A.7.2 A.7.3

กอนการจางงาน ระหวางการจางงาน การสิ้นสุดหรือ

(Prior to employment) (During employment) การเปลี่ยนการจางงาน
(Termination and
change of employment)
 A.7.1 กอนการจางงาน
A.7.1
(Prior to employment)

วัตถุประสงค เพื่อใหพนักงานและผูที่ทำสัญญาจางเขาใจในบทบาทและหนาที่
ความรับผิดชอบ และมีความเหมาะสมตามบทบาทหนาที่ของตน

A.7.1.1 การคัดเลือก (Screening) ตองมีการตรวจสอบประวัตกิ ารทำงานยอนหลัง

เพือ่ ใหสอดคลองกับกฏหมาย ระเบียบ ขอบังคับ และตองดำเนินการในระดับทีม่ คี วามเหมาะสม
กับความตองการทางธุรกิจ ชัน้ ความลับของขอมูลทีจ่ ะถูกเขาถึง และความเสีย่ งทีอ่ าจจะเกิดขึน้

A.7.1.2 ขอตกลงและเงื่อนไขการจางงาน (Terms and conditions of

employment) เงื่อนไขในสัญญาตองมีการระบุเรื่องความรับผิดชอบดานความมั่นคง
ปลอดภัยเขาไปดวย
 A.7.2 ระหวางการจางงาน
(During employment)
A.7.2

วัตถุประสงค เพื่อใหพนักงานหรือผูที่ทำสัญญาจางตระหนักและปฏิบัติตามหนาที่
ความรับผิดชอบดานความมั่นคงปลอดภัย

A.7.2.1 หนาที่ความรับผิดชอบของผูบริหาร (Management responsibilities)

ผูบริหารตองมีการกำหนดใหพนักงานทุกคนปฏิบัติตามนโยบายและขั้นตอนการรักษา
ความมั่นคงปลอดภัย
A.7.2.2 การสรางความตระหนัก การใหความรู และการฝกอบรมดานความมั่นคงปลอดภัย
(Information security awareness, education and training) พนักงานทุกคน
และผูที่ทำสัญญาจาง ตองไดรับการสรางความตระหนัก ใหความรูและฝกอบรมดานความมั่นคง
ปลอดภัย และตองมีการเรียนรูและทบทวนนโยบายอื่นๆ ดวย

A.7.2.3 กระบวนการทางวินัย (Disciplinary Process) ตองมีการประกาศ

กระบวนการทางวินัย และมีการสื่อสารใหพนักงานทุกคนรับทราบ เพื่อดำเนินการตอกับพนักงาน
ที่ละเมิดความมั่นคงปลดภัย
 A.7.3 การสิ้นสุดหรือการเปลี่ยนการจางงาน
(Termination and change of employment)
A.7.3

วัตถุประสงค เพื่อปองกันผลประโยชนขององคกรซึ่งเปนสวนหนึ่งของ
การเปลี่ยนและการสิ้นสุดการจางงาน

A.7.3.1 การสิ้นสุดหรือการเปลี่ยนหนาที่ความรับผิดชอบ
(Termination or change of employment responsibilities)
หนาที่ความรับผิดชอบดานความมั่นคงปลอดภัยตองยังคงมีอยูหลังจากที่สิ้นสุด
การจางงานหรือการเปลี่ยนงานตองมีการกำหนดไวและมีการแจงใหผูทำสัญญา
รับทราบและปฏิบัติตาม
A.8 การบริหารจัดการทรัพยสิน
(Asset Management)

หนาที่ความรับผิดชอบตอทรัพยสิน
A.8.1 (Responsibility for assets)

การจัดชั้นความลับของสารสนเทศ
A.8.2 (Classifcation of information)

การจัดการสื่อบันทึกขอมูล
A.8.3 (Media Handling)
 A.8.1 หนาที่ความรับผิดชอบตอทรัพยสิน
(Responsibility for assets)

วัตถุประสงค เพื่อใหมีการระบุทรัพยสินขององคกรและมีการกำหนดความรับผิดชอบ
ในการปองกันทรัพยสินที่เหมาะสม

A.8.1.1 บัญชีทรัพยสิน (Inventory of assets)

ทรัพยสินที่เกี่ยวของกับสารสนเทศหรือการประมวลผลสารสนเทศตองมีการระบุทรัพยสิน
และปรับปรุงใหเปนปจจุบัน

A.8.1.2 ผูถือครองทรัพยสิน (Ownership of assets)

ทรัพยสินทั้งหมดตองมีผูถือครอง
A.8.1.3 การใชทรัพยสินอยางเหมาะสม (Acceptable use of assets)
กฏเกณฑในการใชทรัพยสินสารสนเทศอยางเหมาะสมซึ่งเกี่ยงของกับสารสนเทศ
และการประมวลผลสารสนเทศ จะตองมีการกำหนดและบังคับใช

A.8.1.4 การคืนทรัพยสิน (Return of assets) เมื่อสิ้นสุดการจางงานพนักงาน

หรือหนวยงานภายนอกจะตองคืนทรัพยสินขององคกรทั้งหมดที่ตนถือครอง
 การจั ด ชั น
้ ความลั บ ของสารสนเทศ
A.8.2 (Classifcation of information)

วัตถุประสงค เพื่อใหมั่นใจไดวาสารสนเทศไดรับการปกปองตามระดับความสำคัญ
ของสารสนเทศที่มีตอองคกร

A.8.2.1 การจัดแบงประเภทของสารสนเทศ (Classification of information)

สารสนเทศตองมีการจัดแบงชั้นความลับโดยพิจารณาจากขอกำหนดทางดานกฏหมาย
คุณคา ระดับความสำคัญ และระดับความออนไหวตอการถูกเปดเผยหรือการแกไข
A.8.2.2 การบงชี้สารสนเทศ (Labeling of information)
ขั้นตอนปฏิบัติการบงชี้สารสนเทศจะตองมีการจัดทำขึ้นและปฏิบัติตามใหสอดคลองกับ
การจัดแบงประเภทของสารสนเทศ

A.8.2.3 การจัดการทรัพยสิน (Handling of assets) ขั้นตอนปฏิบัติสำหรับ

การจัดการทรัพยสินตองใหสอดคลองกับการจัดแบงประเภทของสนเสนเทศที่องคกรกำหนดไว
A.8.3 การจัดการสื่อบันทึกขอมูล
(Media Handling)
วัตถุประสงค เพื่อปองกันการเปดเผย การเปลี่ยนแปลงแกไข หรือลบทิ้งสารสนเทศ
ที่เก็บอยูในสื่อบันทึกขอมูลโดยไมไดรับอนุญาต

A.8.3.1 การบริหารจัดการสื่อบันทึกที่ถอดแยกได (Management of

removable media) ตองมีขั้นตอนการจัดการกับสื่อบันทึกขอมูลที่ถอดแยกไดและ
ปฏิบัติตาม โดยจะตองมีความสอดคลองกับการจัดแบงประเภทของสารสนเทศที่องคกรกำหนดไว

A.8.3.2 การทำลายสื่อบันทึกขอมูล (Diposal of media)

เมื่อไมมีการใชงานสื่อบันทึกขอมูลตองมีการทำลายอยาง
มั่นคงปลอดภัย
A.8.3.3 การขนยายสื่อบันทึกขอมูล (Physical media transfer)
สื่อบันทึกขอมูลตองมีการปองกันการเขาถึงโดยไมไดรับอนุญาต หรือการนำไป
ใชผิดวัตถุประสงค หรือความเสียหายในระหวางที่ขนยาย
A.11 ความมั่นคงปลอดภัยทางกายภาพ
และสภาพแวดลอม (Physical and
environmental security)

A.11.1 A.11.2
พื้นที่ที่ตองการการรักษา อุปกรณ
ความมั่นคงปลอดภัย (Equipment)
(Secure areas)
A.11.1 พื้นที่ที่ตองการการรักษาความมั่นคงปลอดภัย
(Secure areas)
วัตถุประสงค เพื่อปองกันการเขาถึงทางกายภาพโดยไมไดรับอนุญาต ความเสียหาย
และการแทรกแซงการทำงาน ที่มีผลตอสารสนเทศและอุปกรณประมวลผลสารสนเทศ

Perimeter Building Access Interior Secure Area

A.11.1.1 ขอบเขตหรือบริเวณโดยรอบทางกายภาพ (Physical security
perimeter) ตองมีการกำหนดขอบเขตหรือบริเวณโดยรอบที่ตองมีการรักษา
ความมั่นคงปลอดภัย

A.11.1.2 การควบคุมการเขาออกทางกายภาพ (Physical entry controls)

ตองมีการควบคุมการเขาออกของพื้นที่ที่ตองการการรักษาความมั่นคงปลอดภัย
โดยตองใหเขาเฉพาะผูที่ไดรับอนุญาตเทานั้น

A.11.1.3 การรักษาความมั่นคงปลอดภัยสำหรับสำนักงาน หองทำงานและอุปกรณ

(Securing office, rooms and facilities) ความมั่นคงปลอดภัยทางกายภาพ
ของสำนักงาน หองทำงาน ตองมีการออกแบบและดำเนินการ
A.11.1.4 การปองกันภัยคุกคามจากภายนอก (Protecting against external
and environment threats) การปองกันภัยพิบัติทางธรรมชาติ หรือการโจมตี
หรือบุกรุก หรืออุบัติเหตุตองมีการจัดทำและปฏิบัติตาม
A.11.1.5 การปฏิบัติงานในพื้นที่ตองการรักษาความมั่นคงปลอดภัย
(Working in secure areas) มีขั้นตอนปฏิบัติสำหรับการปฏิบัติงานในพื้นที่
ที่ตองการรักษาความมั่นคงปลอดภัย โดยตองมีการออกแบบและดำเนินการ

A.11.1.6 พื้นที่สำหรับรับสงสิ่งของ (Delivery and loading areas)

ตองมีการแยกพื้นที่สำหรับรับสงสิ่งของ ซึ่งปองกันไมใหผูที่ไมไดรับอนุญาต
สามารถเขาถึงได
 A.11.2 อุปกรณ
(Equipment)
วัตถุประสงค เพื่อปองกันการสูญหาย เสียหาย การถูกขโมย หรือการเปนอันตราย
ตอทรัพยสินและการปองกันการหยุดชะงักตอการดำเนินการขององคกร

A.11.2.1 การจัดวางและปองกันอุปกรณ (Equipment sitting and protection)

อุปกรณตองมีการจัดวางและปองกันอุปกรณเพื่อลดความเสี่ยงจากภัยคุกคามและ
อันตรายจากผูที่ไมไดรับอนุญาต

A.11.2.2 ระบบและอุปกรณที่สนับสนุนการทำงาน (Supporting utilities)

อุปกรณตางๆตองไดรับการปองกันจากที่ไมสามารถใชงานได เชน ปญหาเรื่องไฟฟา
หรือปญหาอื่นๆที่ทำใหอุปกรณหยุดชะงัก
A.11.2.3 ความมั่นคงปลอดภัยของการเดินสายไฟฟาและสายสื่อสาร
(Cabling security) การเดินสายไฟฟาและสายสื่อสารตองไดรับการปองกันจาก
การขัดขวางการทำงาน การแทรกแซงสัญญาณหรือการทำใหเสียหาย

A.11.2.4 การบำรุงรักษาอุปกรณ (Equipment maintenance)

อุปกรณตางๆตองไดรับการบำรุงรักษาอยางตอเนื่องเพื่อใหมีความพรอมใช
และใชงานไดอยางถูกตอง
A.11.2.5 การนำทรัพยสินออกนอกอาคาร (Removal of assets)
อุปกรณ สารสนเทศ หรือ ซอฟตแวร ตองไดรับอนุญาตกอนจึงจะสามารถนำออก
นอกอาคารได
A.11.2.6 ความมั่นคงปลอดภัยของอุปกรณและทรัพยสินที่อยูภายนอกสำนักงาน
(Security of equipment and assets off-premises) ทรัพยสินที่อยูภายนอก
สำนักงานตองมีการรักษาความมั่นคงปลอดภัย โดยพิจารณาจากความเสี่ยงของ
การปฏิบัติงานภายนอกสำนักงาน

A.11.2.7 ความมั่นคงปลอดภัยของการกำจัดหรือการนำอุปกรณกลับมาใชใหม
(Secure disposal or re-use equipment) อุปกรณสื่อบันทึกขอมูลตองมี
การตรวจสอบขอมูลที่มีความสำคัญหรือซอฟตแวรไดถูกลบทิ้งหรือมีการเขียนทับ
อยางมั่นคงปลอดภัยกอนที่จำกำจัดหรือนำกลับมาใชใหม
A.11.2.8 อุปกรณถูกทิ้งไวโดยไมมีผูดูแล (Unattended user equipment)
ผูใชงานตองมั่นใจไดวาอุปกรณที่ไมมีผูดูแล ณ เวลาใดเวลาหนึ่งตองอยูในการปองกัน
ที่ปลอดภัย
A.11.2.9 นโยบายการปลอดเอกสารสำคัญบนโตะทำงานและหนาจอคอมพิวเตอร
(Clear desk and clear screen policy) มีนโยบายโตะทำงานปลอดเอกสารสำคัญ
หรือสื่อบันทึกขอมูลที่สำคัญและ
นโยบายการปองกันหนาจอ
คอมพิวเตอร เพื่อปองกัน
การเขาถึงขอมูลขององคกร
A.15 ความสัมพันธกับผูใหบริการภายนอก
(Supplier relationships)

A.15.1
ความมั่นคงปลอดภัยสารสนเทศกับผูใหบริการภายนอก
(Information security in supplier relationship)

A.15.2
การบริหารจัดการการใหบริการโดยผูใหบริการภายนอก
(Supplier service delivery management)
 A.15.1 ความมั่นคงปลอดภัยสารสนเทศ
กับผูใหบริการภายนอก
(Information security in
supplier relationship)

วัตถุประสงค เพื่อใหมีการปองกันทรัพยสินขององคกรที่มีการเขาถึงโดยผูใหบริการ
ภายนอก

A.15.1.1 นโยบายความมั่นคงปลอดภัยสารสนเทศดานความสัมพันธกับผูใหบริการ
ภายนอก (Information security policy for supplier relationships)
ตองมีการกำหนดขอตกลงระหวางองคกรกับผูใหบริการภายนอกถึงความมั่นคงปลอดภัย
สารสนเทศเพื่อลดความเสี่ยงที่จะเกิดกับการเขาถึงของผูใหบริการภายนอก
A.15.1.2 การระบุความมั่นคงปลอดภัยในขอตกลงการใหบริการของผูใหบริการ
ภายนอก (Addressing security within supplier agreements)
ความตองการดานความมั่นคงปลอดภัยตองมีการกำหนดขึ้นกับแตละผูใหบริการ
ภายนอกในเรื่องเกี่ยวกับการเขาถึง การประมวลผล การจัดเก็บ หรือการจัดหา
โครงสรางพื้นฐานระบบสารสนเทศ

A.15.1.3 หวงโซการใหบริการสารสนเทศและการสื่อสารจากผูใหบริการภายนอก
(Informationand communication technology supply chain)
ขอตกลงกับผูใหบริการภายนอกตองรวมถึงความตองการเรื่องการระบุความเสี่ยง
อันเกิดจากหวงโซการใหบริการเทคโนโลยีสารสนเทศและการสื่อสารโดยผูใหบริการภายนอก
 A.15.2 การบริหารจัดการการใหบริการ
โดยผูใหบริการภายนอก
(Supplier service delivery management)

วัตถุประสงค เพื่อใหมีระดับการรักษาความมั่นคงปลอดภัยหรือการใหบริการตาม
ขอตกลงกับผูใหบริการภายนอก

A.15.2.1 การติดตามและทบทวนบริการของผูใหบริการภายนอก (Monitor

and review of supplier services) ตองมีการติดตามและทบทวนการบริการ
ของผูใหบริการภายนอกอยางสม่ำเสมอ
A.15.2.2 การบริหารจัดการการเปลี่ยนแปลงของผูใหบริการภายนอก
(Managing changes to supplier services) การเปลี่ยนแปลงการใหบริการ
จากผูใหบริการภายนอก รวมถึงกันปรับปรุงนโยบาย ขั้นตอนหรือการควบคุมตอง
มีการบริหารจัดการ โดยตองนำระดับความสำคัญทางธุรกิจมาพิจารณาและมีการทบทวน
และประเมินความเสี่ยง
A.16 การบริหารจัดการสถานการณ
ความมั่นคงปลอดภัยสารสนเทศ
(Information security incident management)
การบริหารจัดการสถานการณความมั่นคงปลอดภัยสารสนเทศ
A.16.1
และการปรับปรุง (Management of information security
incidents and improvemens)

H
วัตถุประสงค เพื่อใหมีวิธีในการบริหารจัดการกับสถานการณความมั่นคงปลอดภัย
ซึ่งรวมถึงการแจงสถานการณความมั่นคงปลอดภัยและจุดออนของระบบสารสนเทศ
ใหผูใชทราบ

A.16.1.1 หนาที่ความรับผิดชอบและขั้นตอนปฏิบัติ
(Responsibilities and procedures)
ตองมีหนาที่ความรับผิดชอบและขั้นตอน
Perfect
การปฏิบัติเพื่อตอบสนองกับเหตุการณ
ที่เกิดขึ้นไดอยางทันทวงทีและมีประสิทธิภาพ
A.16.1.2 การรายงานสถานการณความมั่นคงปลอดภัยสารสนเทศ
(Reporting information security events) สถานการณความั่นคงปลอดภัย
ตองรายงานผานชองทางการบริหารที่เหมาะสมและรวดเร็วที่สุดเทาที่เปนไปได

A.16.1.3 การรายงานจุดออนความมั่นคงปลอดภัยสารสนเทศ (Reporting

information security weakness) พนักงานหรือผูที่ทำสัญญาจางตองสังเกตและ
รายงานจุดออนหรือชองโหวที่พบ โดยการรายงานจะตองเปนกลไกที่งายและเขาถึงได
อยางรวดเร็ว

A.16.1.4 การประเมินและตัดสินใจตอสถานการณความมั่นคงปลอดภัยสารสนเทศ
(Assessment of and decision on information security events)
สถานการณความมั่นคงปลอดภัยนั้นตองมีการประเมินและตองมีการตัดสินวาสถานการณ
นั้นๆถูกจัดใหเปนสถานการณดานความมั่นคงปลอดภัยหรือไม
A.16.1.5 การตอบสนองตอเหตุการณความมั่นคงปลอดภัยสารสนเทศ
(Response to information security incidents) สถานการณความมั่นคง
ปลอดภัยตองไดรับการตอบสนองเพื่อจัดการกับปญหาตามขั้นตอนการปฏิบัติที่จัดทำไว

A.16.1.6 การเรียนรูจากเหตุการณความมั่นคงปลอดภัยสารสนเทศ
(Learning from incident security incidents) ความรูที่ไดจากการวิเคราะห
และแกปญหาทางดานความมั่นคงปลอดภัยตองถูกนำมาใชเพื่อลดโอกาสที่จะเกิดและ
ผลกระทบที่จะเกิดในอนาคต

A.16.1.7 การเก็บรวบรวมหลักฐาน (Collection of evidence)

องคกรตองมีการกำหนดขั้นตอนการปฏิบัติสำหรับการระบุ การรวบรวม การจัดหา
และการจัดเก็บสารสนเทศซึ่งสามารถใชเปนหลักฐานได
ประเด็นดานความมั่นคงปลอดภัยสารสนเทศของการบริหารจัดการ

A.17
เพื่อสรางความตอเนื่องทางธุรกิจ
(Information security aspects of
business continuity management)

A.17.1
ความตอเนื่องดานความมั่นคงปลอดภัยสารสนเทศ
(Information security continuity)

A.17.2
การเตรียมอุปกรณประมวลผลสำรอง
(Redundancies)
 A.17.1 ความตอเนื่องดานความมั่นคง
ปลอดภัยสารสนเทศ
(Information security continuity)
วัตถุประสงค องคกรตองมีการกำหนดการบริหารความตอเนื่อระบบสารสนเทศ
และความปลอดภัย
A.17.1.1 การวางแผนความตอเนื่องดานความมั่นคงปลอดภัยสารสนเทศ
(Planning information security continuity) องคกรจะตองกำหนด
ความตองการดานความมั่นคงปลอดภัยและความตอเนื่องทางธุรกิจในสถานการณ
ความเสียหายที่เกิดขึ้น เชน ชวงที่เกิดภัยพิบัติ
A.17.1.2 การดำเนินการสรางความตอเนื่องดานความมั่นคงปลอดภัยสารสนเทศ
(Implementing information security continuity) องคกรตองกำหนด
เปนลายลักษณอักษร ตั้งแตการปฏิบัติ การปรับปรุง ขั้นตอนการปฏิบัติงาน
และการควบคุม เพื่อใหไดระดับความตอเนื่องดานความปลอดภัยในสถานการณ
ความเสียหายที่เกิดขึ้น
A.17.1.3 การตรวจสอบ ทบทวน และการประเมินความตอเนื่อง
ดานความมั่นคงปลอดภัยสารสนเทศ (Verify, review and evaluate
information security continuity) องคกรตองมีการตรวจสอบ
การบริหารความตอเนื่องอยางสม่ำเสมอเพื่อใหมั่นใจไดวามาตรการเหลานั้น
ยังสามารถใชงานไดและมีประสิทธิภาพเมื่อเหตุการณความเสียหายเกิดขึ้น

Train , Test and Maintain

s u re
Mea Risk Assessment

In
de
nt
ify
BCP
Execute

Plan Development
Life Cycle

e
yz
Bussiness Impact

al
An Analysis
Des
ign

Strategy Selection
A.17.2 การเตรียมอุปกรณประมวลผลสำรอง
(Redundancies)
วัตถุประสงค เพื่อจัดเตรียมความพรอมของอุปกรณประมวลผลสารสนเทศ
A.17.2.1 ความพรอมใชของอุปกรณประมวลผลสารสนเทศ (Availability
of information processing facilities) อุปกรณประมวลผลสารสนเทศตองมี
การออกแบบใหมีการสำรองเพียงพอกับความตองการดานความพรอมใชงาน
A.18 การปฏิบัติตามขอกำหนด
(Compliance)

A.18.1
การปฏิบัติตามขอกำหนดกับความตองการดานกฏหมาย
และในสัญญาจาง (Compliance with legal and
contractual requirements)

A.18.2
การทบทวนความมั่นคงปลอดภัยสารสนเทศ
(Information security reviews)
A.18.1 การปฏิบัติตามขอกำหนดกับความตองการ
ดานกฏหมายและในสัญญาจาง
(Compliance with legal and contractual requirements)

วัตถุประสงค เพื่อหลีกเลี่ยงการละเมิดกฏหมาย ระเบียบขอบังคับ หรือสัญญาจาง

ที่เกี่ยวของกับความมั่นคงปลอดภัยที่เปนความตองการดานความมั่นคงปลอดภัย
A.18.1.1 การระบุกฏหมายและความตองการในสัญญาจางที่เกี่ยวของ
(Identification of applicable legislation and contractual requirements)
ความตองการทั้งหมดที่เกี่ยวของกับกฏหมาย ระเบียบขอบังคับ หรือสัญญาจางตอง
มีการระบุไวเปนลายลักษณอักษรและปรับปรุงใหทันสมัยสำหรับแตละระบบ
A.18.1.2 สิทธิในทรัพยสินทางปญญา (Intellectual property rights)
ขั้นตอนปฏิบัติที่เหมาะสมตองมีความสอดคลองกับ กฏหมาย ระเบียบขอบังคับ
หรือสัญญาจาง ที่วาดวยทรัพยสินทางปญญาและการใชซอฟตแวรที่มีลิขสิทธิ์

A.18.1.3 การปองกันขอมูล (Protection of records)

ขอมูลตองไดรับการปองกันจากการสูญหาย ทำลาย การปลอมแปลง การเขาถึง
โดยไมไดรับอนุญาต และการเผยแพรโดยไมไดรับอนุญาต โดยตองสอดคลอง
กับกฏหมาย ระเบียบขอบังคับ สัญญาจางและความตองการทางธุรกิจ

A.18.1.4 ความเปนสวนตัวและการปองกันขอมูลสวนบุคคล
(Privacy and protection of personal identifiable information)
ความเปนสวนตัวและการปองกันขอมูลสวนบุคคลตองมีการดำเนินการใหสอดคลอง
กับกฏหมายและระเบียบขอบังคับที่เกี่ยวของ
G H T
CO P YRI
 A.18.1.5 ระเบียบขอบังคับสำหรับการเขารหัสขอมูล
(Regulation of cryptographic controls) การเขารหัสขอมูลตองมี
การใชใหสอดคลองกับขอตกลง กฏหมายและ ระเบียบขอบังคับที่เกี่ยวของ

B
Encrypt

Decrypt
A C

D
A’s Secret Key
A’s Public Key
A.18.2 การทบทวนความมั่นคงปลอดภัยสารสนเทศ
(Information security reviews)

วัตถุประสงค เพื่อใหการปฏิบัติดานความมั่นคงปลอดภัยสารสนเทศสอดคลอง
กับนโยบายและขั้นตอนปฏิบัติขององคกร

A.18.2.1 การทบทวนอยางอิสระดานความมั่นคงปลอดภัยสารสนเทศ
(Independent review of information security)
วิธีในการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ
ซึ่งรวมถึง วัตถุประสงค มาตรการ นโยบาย กระบวนการ
ขั้นตอนปฏิบัติ ตองมีการทบทวนอยางอิสระตามรอบ
ระยะเวลาที่กำหนดหรือเมื่อมีเหตุการณเปลี่ยนแปลงที่สำคัญ
A.18.2.2 การปฏิบัติตามขอกำหนดตามนโยบายและมาตรฐาน
ดานความมั่นคงปลอดภัย (Compliance with security policies
and standards) ผูจัดการตองมีการทบทวนการปฏิบัติตามขอกำหนด
อยางสม่ำเสมอในเรื่องของการประมวลผล ขั้นตอนปฏิบัติภายใตความรับผิดชอบ
ของตนเอง โดยเทียบกับนโยบาย มาตรฐาน และความตองการดานความมั่นคง
ปลอดภัยที่เกี่ยวของ

A.18.2.3 การทบทวนการปฏิบัติตามขอกำหนดทางดานเทคนิค
(Technical compliance review) ระบบจะตองไดรับการทบทวน
การปฏิบัติตามขอกำหนดภายใตนโยบายและมาตรฐานการรักษาความมั่นคง
ปลอดภัยสารสนเทศขององคกร
 A.9 การควบคุมการเขาถึง
(Access Control)
A.9.1 A.9.2
ความตองการทางธุรกิจสำหรับ การบริหารจัดการการเขาถึงของผูใชงาน
การควบคุมการเขาถึง ( Business (User access management)
requirements of access
control)
A.9.3 A.9.4
หนาที่ความรับผิดชอบของผูใชงาน การควบคุมการเขาถึงระบบ
(User responsibilities) (System and application
access control)
 A.9.1 ความตองการทางธุรกิจสำหรับ
การควบคุมการเขาถึง
(Business requirements of access control)

วัตถุประสงค เพื่อจำกัดการเขาถึงสารสนเทศและอุปกรณประมวลผลสารสนเทศ
A.9.1.1 นโยบายการควบคุมการเขาถึง (Access control policy)
ตองมีนโยบายการควบคุมการเขาถึงที่เปนลายลักษณอักษร และมีการทบทวน
อยางนอยปละ 1 ครั้งโดยคณะกรรมการบริหารความมั่นคงปลอดภัยสารสนเทศ
 A.9.1.2 การเขาถึงเครือขายและบริการเครือขาย (Access to networks
and network services) ผูใชงานจะตองไดรับสิทธิในการเขาถึงเครือขาย
และบริการเครือขายตามสิทธิที่ไดรับการอนุมัติใหเขาถึงไดเทานั้น

Corperate
Office
Applications

partner
employee guest
A.9.2 การบริหารจัดการการเขาถึงของผูใชงาน
(User access management)
วัตถุประสงค เพื่อปองกันผูใชที่ไมไดรับอนุญาตเขาถึงระบบ และจะตองมีการปองกัน
ใหเฉพาะผูที่ไดรับอนุญาตเทานั้น
A.9.2.1 การลงทะเบียนและถอดถอนสิทธิผูใช
(User registration and de-registration)
ตองมีกระบวนการขั้นตอนในการลงทะเบียนสำหรับผูใชงาน
ใหมและกระบวนการถอดถอนสิทธิการใชงานเมื่อออกจากองคกร

New User
Registration
A.9.2.2 การจัดการสิทธิการเขาถึงของผูใชงาน
(User access provisioning) ตองมีกระบวนการจัดการสิทธิการเขาถึง
และการถอดถอนสิทธิผูใชงานคนที่ใชงานระบบและบริการทั้งหมดขององคกร
Network admin

HR Manager Help Desk Operator

Delegate Tasks

Provision Accounts Manage Accounts

De-Provision Accounts
A.9.2.3 การบริหารจัดการสิทธิการเขาถึงตามระดับสิทธิ (Management
of privileged access right) มีกระบวนการใหสิทธิและการเขาถึงตามระดับสิทธิ
ที่ไดรับโดยตองมีการจำกัดและควบคุม

A.9.2.4 การบริหารจัดการขอมูลความลับสำหรับการพิสูจนตัวตนของผูใช
(Management of secret authentication information of users)
มีการบริหารจัดการขอมูลที่ใชในการพิสูจนตัวตนผานกระบวนการจัดการที่เปนทางการ

A.9.2.5 การทบทวนสิทธิการเขาถึงของผูใชงาน (Review of user access

rights) มีการทบทวนสิทธิของผูใชงานตามระยะเวลาที่กำหนด อยางนอยปละ 1 ครั้ง

A.9.2.6 การถอดถอนหรือปรับปรุงสิทธิการเขาถึง (Removal or adjustment

of access rights) มีกระบวนการในการถอดถอนสิทธิของบุคคลภายนอกที่เขามา
ดำเนินการภายในองคกร เมื่อสิ้นสุดสัญญาจาง หรือตองมีการปรับปรุงขอมูลสิทธิ
ใหถูกตองเมื่อมีการเปลี่ยนแปลงการจางงาน
 password history account
locking

user
setting up
profiles
password password verification
expiration
and aging

Password Management
A.9.3 หนาที่ความรับผิดชอบของผูใชงาน
(User responsibilities)
วัตถุประสงค เพื่อใหผูใชมีความรับผิดชอบในการปองกันขอมูลการพิสูจนตัวตน
A.9.3.1 การใชขอมูลการพิสูจนตัวตนซึ่งเปนขอมูลลับ (Use of secret
authentication information) ผูใชตองมีการปฏิบัติตามที่องคกรกำหนด
เกี่ยวกับการใชขอมูลพิสูจนตัวตน
A.9.4 การควบคุมการเขาถึงระบบ
(System and application access control)

วัตถุประสงค เพื่อใหผูใชมีความรับผิดชอบในการปองกันขอมูลการพิสูจนตัวตน
A.9.4.1 การจำกัดการเขาถึงสารสนเทศ (Information access restriction)
การเขาถึงสารสนเทศหรือฟงกชันตางในระบบงานตองมีการควบคุมใหสอดคลองกับ
นโยบายการควบคุมการเขาถึง

A.9.4.2 ขั้นตอนปฏิบัติสำหรับการ login เขาระบบที่มีความสำคัญ

(Secure Log-on procedures) ตองมีขั้นตอนปฏิบัติสำหรับการ login
เขาระบบที่มีความมั่นคงปลอดภัย
 Forget your
password?

Last Login: July 16, 2015 14:17:34 Help

Username mr_one
Password
Sorry, you have entered an invalid login name
and/or password. Please try again.

Entering wrong
password 5 times
will disable
your User ID
A.9.4.3 ระบบบริหารจัดการรหัสผาน
(Password management system)
ระบบตองมีการโตตอบกับผูใชงาน เมื่อผูใชงาน
กำหนดรหัสผานไมตรงตามขอกำหนด
ที่ไดมีการตั้งไว
A.9.4.4 การใชโปรแกรมอรรถประโยชน (Use of privileged utility
programs) การใชโปรแกรมอรรถประโยชนอาจจะมีผลกระทบกับความมั่นคง
ปลอดภัยของระบบ ดังนั้นจึงตองมีการจำกัดและควบคุม

A.9.4.5 การควบคุมการเขาถึงซอรสโคดของโปรแกรม (Access control

to program source code) ตองมีการจำกัดและควบคุมการเขาถึงซอรสโคด
 ut checkout
ko
ch ec
Repository

d a te
up upd
ate
Working Working
it com
Copying com
m mi Copying
Server t

Local Local
machine machine
A.10 การเขารหัสขอมูล
(Cryptography)

0110011
0101001 A.10.1
0101101 นโยบายการใชมาตรการเขารหัสขอมูล
1101010 (Policy on the use of cryptographic controls)
A.10.1 นโยบายการใชมาตรการเขารหัสขอมูล
(Policy on the use of cryptographic controls)

วัตถุประสงค เพื่อใหมีการใชการเขารหัสขอมูลไดอยางเหมาะสม ในการปองกัน

การแกไข เปลี่ยนแปลง หรือความถูกตองของขอมูลสารสนเทศ

A.10.1.1 นโยบายการใชมาตรการเขารหัสขอมูล (Policy on the use of

cryptographic controls) มีนโยบายการเขารหัสขอมูลและปฏิบัติตาม

A.10.1.2 การบริหารจัดการกุญแจ (Key management)

มีนโยบายการใชงาน การปองกัน และการบริหารจัดการกุญแจ ตลอดอายุของกุญแจ
 ความมั่นคงปลอดภัย
A.12
(Operations security)
สำหรับการดำเนินการ
A.12.1 ขั้นตอนการปฏิบัติงานและหนาที่ความรับผิดชอบ (Operational procedure
and responsibilities)
A.12.2 การปองกันโปรแกรมไมประสงคดี (Protection from Malware)
A.12.3 การสำรองขอมูล (backup)
A.12.4 การบันทึกขอมูลล็อกและการเฝาระวัง (Logging and Monitoring)
A.12.5 การควบคุมการติดตั้งซอฟตแวรบนระบบใหบริการ (Control of operation software)
A.12.6 การบริหารจัดการชองโหวทางเทคนิค (Technical Vulnerability Management)
A.12.7 สิ่งที่ตองพิจารณาในการตรวจประเมิน (Information System Audit Considerations)
 A.12.1 ขั้นตอนการปฏิบัติงานและ
หนาที่ความรับผิดชอบ
(Operational procedure and responsibilities)

วัตถุประสงค เพื่อใหการปฏิบัติงานกับอุปกรณที่ใชในการประมวลผลสารสนเทศ
เปนไปอยางถูกตองและปลอดภัย

A.12.1.1 ขั้นตอนการปฏิบัติงานที่เปนลายลักษณอักษร (Documented

Operating Procedures) เอกสารขั้นตอนการปฏิบัติงานจะตองเปนลายลักษณอักษร
และสามารถเขาถึงไดโดยผูที่ไดรับอนุญาตเทานั้น
A.12.1.2 การบริหารจัดการการเปลี่ยนแปลง (Change Management)
การเปลี่ยนแปลงคาของอุปกรณตางๆมีผลกระทบกับองคกร ดังนั้นเมื่อมีการเปลี่ยนแปลง
ตองมีการประเมินความเสี่ยงและมีการควบคุมการดำเนินการ
A.12.1.3 การบริหารจัดการขีดความสามารถของระบบ
(Capacity management) การติดตามการใชงานทรัพยากรของระบบสารสนเทศ
เพื่อใชในการพยากรณและปรับปรุงระบบเพื่อใหรองรับการเพิ่มเติมในอนาคต

monitor analysis tuning implement

A.12.1.4 การแยกสภาพแวดลอมสำหรับการพัฒนา การทดสอบ

และการใหบริการออกจากกัน (Seperation of development, testing and
operatinal environments) เครื่องที่ใหบริการผูใชงาน จะตองทำการแยกออก
จากเครื่องที่ใชในการพัฒนาระบบหรือเครื่องทดสอบ เพื่อปองกันปญหาจากการแกไข
ระบบโดยผูที่ไมไดรับอนุญาต
A.12.2 การปองกันโปรแกรมไมประสงคดี
(Protection from Malware)
วัตถุประสงค เพื่อใหระบบสารสนเทศถูกปองกันจากโปรแกรมไมประสงคดี
A.12.2.1 มาตรการปองกันโปรแกรมไมประสงคดี
(Controls against malware)มีมาตรการในการปองกัน
และกูคืนขอมูลจากโปรแกรมไมประสงคดีและมีการดำเนินการ
สรางความตระหนักกับผูใชงาน
 A.12.3 การสำรองขอมูล
(backup)
วัตถุประสงค เพื่อปองกันขอมูลสูญหาย
A.12.3.1 การสำรองขอมูล (Information backup) ขอมูลที่ทำการสำรอง
เชน ฐานขอมูล หรือขอมูลที่เปนอิมเมจ จะตองมีการสำรองไวตามที่กำหนดและจะตองมี
การทดสอบความพรอมใชของขอมูลสม่ำเสมอตามนโยบายที่กำหนดไว
A.12.4 การบันทึกขอมูลล็อกและการเฝาระวัง
(Logging and Monitoring)

วัตถุประสงค เพื่อใหมีการบันทึกเหตุการณตางๆที่เกิดขึ้นและจัดทำหลักฐาน
A.12.4.1 การบันทึกขอมูลล็อกแสดงเหตุการณ (Event Logging)
ขอมูลล็อกที่บันทึกกิจกรรมของผูใชงาน ตองมีการจัดเก็บ การทำงานของระบบ
ที่ไมเปนปกติ ความผิดพลาดของระบบ และเหตุการณความมั่นคงปลอดภัย
ตองมีการจัดเก็บและมีการทบทวน อยางสม่ำเสมอ
A.12.4.2 การปองกันขอมูลล็อก (Protection of log information)
อุปกรณที่ใชในการบันทึกขอมูลล็อก ตองมีการปองกันใหผูที่ไดรับอนุญาตเทานั้น
ที่สามารถเขาไปดูหรือทำการเปลี่ยนแปลงแกไข
 A.12.4.3 ขอมูลล็อกและกิจกรรมของผูดูแลระบบ
และเจาหนาที่ปฏิบัติการระบบ (Adminstrator and
Operator logs) ตองมีการจัดเก็บขอมูลล็อกของผูดูแลระบบ
และตองมีการปองกันและทบทวนอยูเสมอ

A.12.4.4 การตั้งนาŽิกาใหถูกตอง
(Clock Synchronization)
ระบบที่เกี่ยวของทั้งหมดตองมีการตั้งนา•ิกา
ใหถูกตองเทียบกับแหลงอางอิงเวลา
 A.12.5 การควบคุมการติดตั้งซอฟตแวร
บนระบบใหบริการ
(Logging and Monitoring)
วัตถุประสงค เพื่อใหระบบใหบริการมีการทำงานที่ถูกตอง
A.12.5.1 การติดตั้งซอฟตแวรบนระบบที่ใหบริการ (Installation of software
on Operational Systems) การติดตั้งซอฟตแวรบนระบบที่ใหบริการตองมี
การควบคุมและตองมีการปฏิบัติใหสอดคลองกับนโยบายที่ไดประกาศไว
A.12.6 การบริหารจัดการชองโหวทางเทคนิค
(Technical Vulnerability Management)
วัตถุประสงค เพื่อปองกันไมใหมีการใชประโยชนจากชองโหวทางเทคนิค
A.12.6.1 การบริหารจัดการชองโหวทางเทคนิค (Management of technical
vulnerabilities) ขอมูลชองโหวทางเทคนิคตองมีการติดตามเพื่อปองกันอยางทันทวงที
โดยจะตองมีการประเมินความเสี่ยงของชองโหว
ที่เกิดขึ้น วาถาเกิดแลวมีผลกระทบกับระบบมากนอย
เพียงใด และตองหามาตรการวาจะดำเนินการอยางไร

A.12.6.2 การจำกัดการติดตั้งซอฟตแวร
(Restrictions on Software installation)
การควบคุมการติดตั้งซอฟตแวรโดยผูใชงานตองมี
การกำหนดและควบคุม
A.12.7 สิ่งที่ตองพิจารณาในการตรวจประเมิน
(Information System Audit Considerations)

วัตถุประสงค เพื่อลดผลกระทบของกิจกรรมการตรวจประเมิน
บนระบบใหบริการ
A.12.7.1 มาตรการการตรวจประเมินระบบ (Information system
audit controls) การตรวจประเมินตองมีการตกลง
รวมกันวาจะดำเนินการตรวจอยางไร เพื่อปองกันปญหา
การหยุดชะงักของการใหบริการที่จะมีผลตอกระบวนการ
ทางธุรกิจ
A.13 ความมั่นคงปลอดภัย
สำหรับการสื่อสารขอมูล
(Communications security)

A.13.1
การบริหารจัดการความมั่นคงปลอดภัยของเครือขาย
(Network Security Management)

A.13.2
การถายโอนสารสนเทศ (Information transfer)
 A.13.1 การบริหารจัดการความมั่นคง
ปลอดภัยของเครือขาย
(Network Security Management)
วัตถุประสงค เพื่อใหมีการปองกันสารสนเทศในเครือขายและอุปกรณประมวลผล
ระบบสารสนเทศ
A.13.1.1 มาตรการเครือขาย (Network Controls) เครือขายตองมีระบบ
บริหารจัดการเครือขายเพื่อปองกันสารสนเทศในระบบตางๆ
A.13.1.2 ความมั่นคงปลอดภัยสำหรับบริการเครือขาย (Security of network
services) ระดับการใหบริการเครือขาย และความตองการของผูบริหาร ตองมีการ
ระบุไวในขอตกลงการใหบริการเครือขาย ซึ่งการใหบริการนี้จะรวมถึงการใหบริการ
ที่องคกรใหบริการเอง หรือการจางการใหบริการก็ตาม
A.13.1.3 การแบงแยกเครือขาย (Segregation in networks)
ตองมีการแบงแยกเครือขายระหวาง ผูใชงานระบบ ผูดูแลระบบ และบริการสารสนเทศ
จะตองมีการจัดแบงแยกออกจากกัน
 A.13.2 การถายโอนสารสนเทศ
(Information transfer)
วัตถุประสงค เพื่อใหการรักษาความมั่นคงปลอดภัยของสารสนเทศมีการถายโอน
ภายในองคกรและถายโอนไปยังภายนอกองคกร
A.13.2.1 นโยบายและขั้นตอนปฏิบัติสำหรับการถายโอนสารสนเทศ
(Information transfer policies and procedures) นโยบาย ขั้นตอนปฏิบัติและ
มาตรการสำหรับการถายโอนสารสนเทศ เพื่อปองกันการสูญหายหรือการเปลี่ยนแปลง
โดยผูที่ไมไดรับอนุญาต

A.13.2.2 ขอตกลงสำหรับการถายโอนสารสนเทศ (Agreements on information

transfer) ขอตกลงระหวางองคกรหรือหนวยงานในการถายโอนขอมูล เพื่อความปลอดภัย
ของระบบสารสนเทศ
A.13.2.3 การสงขอความทางอิเล็กทรอนิกส (Electronic messaging)
สารสนเทศที่เกี่ยวของกับการสงขอความทางอิเล็กทรอนิกสตองไดรับการปองกัน
อยางเหมาะสม

A.13.2.4 ขอตกลงการักษาความลับหรือการไมเปดเผยความลับ
(Confidentiality or non-disclosure agreements) ความตองการใน
การรักษาความลับหรือการไมเปดเผยความลับขององคกรในการปองกันขอมูล
ระบบสารสนเทศ ตองมีการทบทวนและบันทึกไวเปนลายลักษณอักษร
 A.14 การจัดหา การพัฒนา
และการบำรุงรักษาระบบ
(System Acquisition, Development and maintenance)

A.14.1 ความตองการดานความมั่นคงปลอดภัย
(Security requirements of information systems)

A.14.2 ความมั่นคงปลอดภัยสำหรับกระบวนการพัฒนาและสนับสนุน
(Security in development and support processes)

A.14.3 ขอมูลสำหรับการทดสอบ (Test data)

A.14.1 ความตองการดานความมั่นคงปลอดภัย
(Security requirements of information systems)

วัตถุประสงค เพื่อใหการบริหารจัดการสารสนเทศองครวมเปนไปดวยความปลอดภัย
ทั้งกระบวนการ โดยตองรวบรวมขอกำหนดทางดานความปลอดภัยเขาไปในกระบวนการ
ทั้งระบบ และรวมถึงสารสนเทศที่มีการสงขอมูลผานเครือขายสาธารณะ
A.14.1.1 การวิเคราะหและกำหนดความตองการดานความมั่นคงปลอดภัย
สารสนเทศ (Information security
requirements analysis and specification) Login
ความตองการเรื่องของความปลอดภัยในระบบ
สารสนเทศ ตองถูกรวมเขาไปอยูในกระบวนการจัดหา
Password
และพัฒนาระบบ ตลอดจนการปรับปรุงที่มีอยู
A.14.1.2 ความมั่นคงปลอดภัยของบริการสารสนเทศบนเครือขายสาธารณะ
(Securing application services on public networks) สารสนเทศ
ที่มีการสงผานเครือขายสาธารณะตองไดรับการปองกันจากการถูกเปดเผยหรือ
เปลี่ยนแปลงแกไขโดยไมไดรับอนุญาต
A.14.1.3 การปองกันธุรกรรมของบริการสารสนเทศ (Protecting
application services transactions) สารสนเทศที่เกี่ยวของกับธุรกรรม
ของบริการสารสนเทศ ตองไดรับการปองกันจากการรับสงขอมูลที่ไมสมบูรณ
หรือขอมูลถูกเปลี่ยนแปลงแกไขโดยไมไดรับอนุญาต
 A.14.2 ความมั่นคงปลอดภัยสำหรับ
กระบวนการพัฒนาและสนับสนุน
(Security in development and support process)

วัตถุประสงค เพื่อใหการออกแบบและพัฒนาระบบสารสนเทศมีความมั่นคงปลอดภัย
A.14.2.1 นโยบายการพัฒนาระบบใหมีความมั่นคงปลอดภัย
(Secure development policy) ตองมีการกำหนดขอตกลงในการพัฒนาระบบ
ใหมีความมั่นคงปลอดภัยและตองมีการตรวจสอบวามีการปฏิบัติตามขอตกลงที่ได
ตั้งไวหรือไม
A.14.2.2 ขั้นตอนปฏิบัติสำหรับควบคุมการเปลี่ยนแปลงระบบ
(System Change control procedures) การเปลี่ยนแปลงระบบตองมี
การกำหนดขั้นตอนปฏิบัติและศึกษาผลกระทบที่จะเกิดขึ้นแลวกอนที่จะดำเนินการ
ตองมีการอนุมัติจากผูที่มีอำนาจและมีการรายงานผลการดำเนินการทุกครั้ง
A.14.2.3 การทบทวนทางเทคนิคตอระบบหลังจากการเปลี่ยนแปลง
โครงสรางพื้นฐานระบบ (Technical review of applications after
operating platform changes) การดำเนินการเปลี่ยนแปลงโครงสรางพื้นฐาน
ระบบที่สำคัญตองมีการทบทวนเพื่อใหมั่นใจไดวาไมมีผลกระทบในการปฏิบัติงาน
และดานความมั่นคงปลอดภัย

A.14.2.4 การจำกัดการเปลี่ยนแปลงซอฟตแวรสำเร็จรูป (Restrictions on

changes to software packages) การเปลี่ยนแปลงซอฟตแวรสำเร็จรูป
ตองมีการจำกัดการเปลี่ยนแปลงหรือเปลี่ยนแปลงเทาที่จำเปนเทานั้น และตองมี
การตรวจสอบอยางรัดกุม

A.14.2.5 หลักการวิศวกรรมระบบดานความมั่นคงปลอดภัย (Secure system

engineering principles) ตองมีการกำหนดหลักการวิศวกรรมระบบใหมี
ความปลอดภัย โดยตองมีการกำหนดเปนลายลักษณอักษร และมีการปรับปรุง
อยางตอเนื่อง และสามารถประยุกตใชในการพัฒนาระบบได
A.14.2.6 สภาพแวดลอมของการพัฒนาระบบที่มีความมั่นคงปลอดภัย
(Secure development environment) องคกรตองมีการกำหนดและปองกัน
สภาพแวดลอมที่เหมาะสม ขอมูลที่มีความออนไหวจะตองถูกเก็บและประมวลผล
อยางมั่นคงปลอดภัย

A.14.2.7 การจางหนวยงานภายนอกพัฒนาระบบ (Outsourced development)

ตองมีการควบคุมดูแลการพัฒนาระบบที่มีการจัดจางจากหนวยงานภายนอกใหมี
การดำเนินการดานความมั่นคงปลอดภัย

A.14.2.8 การทดสอบดานความมั่นคงปลอดภัยของระบบ
(System security testing) ตองมีการทดสอบความมั่นคงปลอดภัยของระบบ
ในชวงที่กำลังดำเนินการพัฒนาและมีการทดสอบกอนที่จะเริ่มใชงานจริง

A.14.2.9 การทดสอบเพื่อรองรับระบบ (System acceptance testing)

ตองมีการทำแผนการทดสอบเพื่อรับรองระบบสำหรับระบบใหม หรือระบบที่มี
การปรับปรุงใหม
A.14.3 ขอมูลสำหรับการทดสอบ
(Test data)
วัตถุประสงค เพื่อปองกันขอมูลที่จะนำมาใชในการทดสอบ
A.14.3.1 การปองกันขอมูลสำหรับการทดสอบ (Protection of test data)
ขอมูลสำหรับการทดสอบ ตองเปนขอมูลที่ใชในการทดสอบเทานั้น เพราะขอมูลบางขอมูล
เปนขอมูลที่เปนความลับตองมีการใชงานอยางรัดกุมและมีการควบคุมการใชงาน
 an
Pl o
D
t
k
Ac Ch
ec
Resources
http://www.iso27001security.com/
http://www.informationshield.com/papers/ISO27002-2013%20Version
%20Change%20Summary.pdf
http://cae2y.morainevalley.edu/Compete/Resources/ISO_IEC_27002.pdf
http://www.standards-online.net/27001en1/iso27001-2013.pdf
http://www.infosecinstitute.com/ISO27002-Security-Framework-
Audit-Program.pdf
http://www.slideshare.net/YounessFarah/iso-iec-270022013-code-of-
practice-for-is-management-original
ISO หลักสูตรฝกอบรมเชิงปฏิบัติการสำหรับผูทำงานทางเทคนิค ตามมาตรฐาน ISO 27001 : 2013
สวทช รุนที่ 2
Thank you