BSI 0102-27001 self-checklist-TH-R0

รายการตรวจสอบเพือ
่ ทวนสอบความสอดคล้องก ับข้อกาหนด ISO27001: 2013

มาตรา จุดตรวจสอบ หล ักฐานการสอดคล้อง ผลการ
* ขัน
้ ตอน หมายถึง process (กระบวนการ ลาดับขัน
้ ตอน วิธย
ี ด
ึ ปฏิบัต)ิ ประเมิน
4. บริบทขององค์กร 4.1 มีขน ั ้ ตอนเพือ ่ ทาให ้องค์กรสามารถตัดสินปั ญหาภายนอกและภายในที่
4.1 ความเข ้าใจ เกีย
่ วข ้องกับวัตถุประสงค์ขององค์กรและทีส ่ ง่ ผลกระทบต่อความสามารถของ
องค์กรและบริบท องค์กรในการบรรลุผลลัพธ์ (ต่าง ๆ) ทีต ่ งั ้ ใจไว ้ของระบบบริหารด ้านการรักษา
ขององค์กร ความปลอดภัยของข ้อมูลขององค์กรหรือไม่
4. บริบทขององค์กร 4.2a มีขนตอนทีั้ จ
่ ะสามารถทาให ้องค์กรสามารถตัดสินผู ้ทีม ี ว่ นได ้ส่วนเสีย
่ ส
4.2 ความเข ้า ต่าง ๆ ทีเ่ กีย ่ วข ้องกับระบบบริหารด ้านการรักษาความปลอดภัยของข ้อมูล
ใจความต ้องการ หรือไม่
และความคาดหวัง
4.2.b มีขนตอนเพื
ั้ อ
่ ทาให ้องค์กรสามารถตัดสินข ้อกาหนดต่างๆ ของผู ้ทีม ่ ี
ส่วนได ้ส่วนเสียต่าง ๆ เหล่านี้ทเี่ กีย
่ วข ้องกับการรักษาความปลอดภัยของ
ข ้อมูลหรือไม่
4. บริบทขององค์กร 4.3.a องค์กรได ้ตัดสินขอบข่ายและการประยุกต์ใช ้ระบบบริหารในการรักษา
4.3 การตัดสิน ความปลอดภัยของข ้อมูลเพือ ่ จัดตัง้ ขอบเขตของระบบหรือไม่
ขอบเขตของระบบ
บริหารด ้านการ 4.3.b เมือ
่ ทาการตัดสินขอบเขตของ ISMS องค์กรได ้พิจารณาปั ญหา
รักษาความ ภายนอกและภายในทีอ ่ ้างอิงไว ้ใน 4.1 หรือไม่
ปลอดภัยของข ้อมูล
4.3.c เมือ่ ทาการตัดสินขอบเขตของ ISMS องค์กรได ้พิจารณาข ้อกาหนดต่าง
ๆ ทีอ
่ ้างอิงไว ้ใน 4.2 หรือไม่
4.3.d เมือ
่ ทาการตัดสินขอบเขตของ ISMS องค์กรได ้พิจารณาอินเตอร์เฟซ
และการพึง่ พาต่าง ๆ ระหว่างกิจกรรมต่าง ๆ ทีป
่ ฏิบต
ั โิ ดยองค์กรและทีป
่ ฏิบต
ั ิ
โดยองค์กรอืน่ ๆ หรือไม่
4.3.e องค์กรได ้ทาขอบเขตทีม ่ พ

ี ร ้อมให ้เป็ นข ้อมูลทีเ่ ป็ นเอกสารหรือไม่
4. บริบทขององค์กร 4.4.a องค์กรได ้จัดตัง้ ระบบบริหารด ้านการรักษาความปลอดภัยของข ้อมูล
4.4 ระบบบริหาร ตามข ้อกาหนดต่างๆ ของ ISO/IEC 27001:2013 หรือไม่
ด ้านการรักษาความ
ปลอดภัยของข ้อมูล 4.4.b องค์กรได ้ดาเนินระบบบริหารด ้านการรักษาความปลอดภัยของข ้อมูล
ตามข ้อกาหนดต่างๆ ของ ISO/IEC 27001:2013 หรือไม่
4.4.c องค์กรมีขน
ั ้ ตอนต่าง ๆ สาหรับการรักษาระบบบริหารด ้านการรักษา
ความปลอดภัยของข ้อมูลขององค์กรตามข ้อกาหนดต่างๆ ของ ISO/IEC
สถาบันมาตรฐานอังกฤษ ISO27001:2013 Self Checklist Ver 0 Page 1

27001:2013 หรือไม่
4.4.d องค์กรมีขน ั ้ ตอนต่าง ๆ สาหรับการปรับปรุงระบบบริหารด ้านการรักษา

ความปลอดภัยของข ้อมูลอย่างต่อเนือ ่ งตามข ้อกาหนดต่างๆ ของ ISO/IEC
27001:2013 หรือไม่
5 ความเป็ นผู ้นา มีคามั่นสัญญาในด ้านระบบบริหารด ้านการรักษาความปลอดภัยของข ้อมูลโดย
5.1 ความเป็ นผู ้นา ทาให ้มั่นใจว่ามีการจัดตัง้ นโยบายการรักษาความปลอดภัยของข ้อมูลและ
และคามั่นสัญญา วัตถุประสงค์ในการรักษาความปลอดภัยของข ้อมูล และสามารถเข ้าได ้กับ
ทิศทางเชิงกลยุทธ์ขององค์กรหรือไม่
5.1.b ฝ่ ายบริหารสูงสุดแสดงให ้เห็นความเป็ นผู ้นาและคามั่นสัญญาในด ้าน

ระบบบริหารด ้านการรักษาความปลอดภัยของข ้อมูลโดยทาให ้มั่นใจในการรวม
ข ้อกาหนดต่าง ๆ ของระบบบริหารในการรักษาความปลอดภัยของข ้อมูลเข ้า
ในขัน้ ตอนต่าง ๆ ขององค์กรหรือไม่
5.1.c ฝ่ ายบริหารสูงสุดแสดงให ้เห็นความเป็ นผู ้นาและคามั่นสัญญาในด ้าน

ระบบบริหารด ้านการรักษาความปลอดภัยของข ้อมูลโดยทาให ้มั่นใจว่ามี
ทรัพยากรต่าง ๆ ทีจ ่ าเป็ นสาหรับระบบบริหารในการรักษาความปลอดภัยของ
ข ้อมูลพร ้อมใช ้หรือไม่
5.1.d ฝ่ ายบริหารสูงสุดแสดงให ้เห็นความเป็ นผู ้นาและคามั่นสัญญาในด ้าน

ระบบบริหารด ้านการรักษาความปลอดภัยของข ้อมูลโดยทาการสือ ่ สาร
ความสาคัญของการบริหารด ้านการรักษาความปลอดภัยของข ้อมูลทีม ่ ี
ประสิทธิภาพ และมีความสอดคล ้องกับข ้อกาหนดต่างๆ ของระบบบริหารใน
การรักษาความปลอดภัยของข ้อมูลหรือไม่
5.1.e ฝ่ ายบริหารสูงสุดแสดงให ้เห็นความเป็ นผู ้นาและคามั่นสัญญาในด ้าน

ระบบบริหารด ้านการรักษาความปลอดภัยของข ้อมูลโดยทาให ้มั่นใจว่าระบบ
บริหารด ้านการรักษาความปลอดภัยของข ้อมูลจะบรรลุผลลัพธ์(ต่าง ๆ) ทีต ่ งั ้
ใจไว ้หรือไม่
5.1.f ฝ่ ายบริหารสูงสุดแสดงให ้เห็นความเป็ นผู ้นาและคามั่นสัญญาในด ้าน

ระบบบริหารด ้านการรักษาความปลอดภัยของข ้อมูลโดยการชีแ ้ นะและ
สนับสนุนบุคคลต่าง ๆ ในการส่งเสริมประสิทธิภาพของระบบบริหารด ้านการ
รักษาความปลอดภัยของข ้อมูลหรือไม่
5.1.g ฝ่ ายบริหารสูงสุดแสดงให ้เห็นความเป็ นผู ้นาและคามั่นสัญญาในด ้าน

ระบบบริหารด ้านการรักษาความปลอดภัยของข ้อมูลโดยการส่งเสริมการ

ปรับปรุงอย่างต่อเนือ
่ งหรือไม่
5.1.h ฝ่ ายบริหารสูงสุดแสดงให ้เห็นความเป็ นผู ้นาและคามั่นสัญญาในด ้าน

ระบบบริหารด ้านการรักษาความปลอดภัยของข ้อมูลโดยการสนับสนุนบทบาท
บริหารอืน่ ๆ ในการแสดงให ้เห็นความเป็ นผู ้นาเมือ่ ประยุกต์ใช ้กับพืน
้ ทีค
่ วาม
รับผิดชอบของตนเองหรือไม่
5 ความเป็ นผู ้นา 5.2.a ฝ่ ายบริหารสงสุดได ้จัดตัง้ นโยบายการรักษาความปลอดภัยของข ้อมูลที่
5.2 นโยบาย เหมาะสมกับวัตถุประสงค์ขององค์กรหรือไม่
5.2.b ฝ่ ายบริหารสงสุดได ้จัดตัง้ นโยบายการรักษาความปลอดภัยของข ้อมูลที่

รวมวัตถุประสงค์ในการรักษาความปลอดภัยของข ้อมูล (ดูท ี่ 6.2) หรือให ้
กรอบการทางานสาหรับการตัง้ วัตถุประสงค์ในการรักษาความปลอดภัยของ
5.2.c ฝ่ ายบริหารสงสุดได ้จัดตัง้ นโยบายการรักษาความปลอดภัยของข ้อมูลที่

รวมคามั่นสัญญาในการบรรลุตามข ้อกาหนดต่างๆ ทีบ ่ งั คับใช ้ซึง่ เกีย
่ วข ้องกับ
5.2.d ฝ่ ายบริหารสงสุดได ้จัดตัง้ นโยบายการรักษาความปลอดภัยของข ้อมูลที่

รวมคามั่นสัญญาในการปรับปรุงระบบบริหารด ้านการรักษาความปลอดภัยของ
ข ้อมูลอย่างต่อเนือ
5.2.e มีการทาให ้นโยบายการรักษาความปลอดภัยของข ้อมูลมีพร ้อมใช ้เป็ น

ข ้อมูลทีเ่ ป็ นเอกสารหรือไม่
่ สารนโยบายการรักษาความปลอดภัยของข ้อมูลภายในองค์กร
5.2.f มีการสือ
หรือไม่
5.2.g มีการทานโยบายการรักษาความปลอดภัยของข ้อมูลมีพร ้อมใช ้สาหรับผู ้

มีสว่ นได ้ส่วนเสียอย่างเหมาะสมหรือไม่
5 ความเป็ นผู ้นา 5.3.a ฝ่ ายบริหารสูงสุดทาให ้มั่นใจว่ามีการมอบหมายและสือ ่ สารความ
5.3 บทบาทองค์กร รับผิดชอบและอานาจหน ้าทีส ่ าหรับบทบาทต่าง ๆ ทีเ่ กีย
่ วข ้องกับการรักษา
ความรับผิดชอบและ ความปลอดภัยของข ้อมูลหรือไม่
อานาจหน ้าที่
5.3.b ฝ่ ายบริหารสูงสุดได ้มอบหมายความรับผิดชอบและอานาจหน ้าทีใ่ นการ
ทาให ้มั่นใจว่าระบบบริหารด ้านการรักษาความปลอดภัยของข ้อมูลมีความ
สอดคล ้องกับข ้อกาหนดต่างๆ ของ ISO/IEC 27001 หรือไม่

5.3.c ฝ่ ายบริหารสูงสุดได ้มอบหมายความรับผิดชอบและอานาจหน ้าทีใ่ นการ
รายงานประสิทธิภาพการทางานของระบบบริหารด ้านการรักษาความปลอดภัย
ของข ้อมูลให ้ฝ่ ายบริหารสูงสุดหรือไม่
6 การวางแผน 6.1.1.a เมือ ่ ทาการวางแผนระบบบริหารด ้านการรักษาความปลอดภัยของ
6.1 ปฏิบต ั ก
ิ ารใน ข ้อมูล องค์กรพิจารณาปั ญหาต่าง ๆ ทีอ ่ ้างอิงใน 4.1 และตามข ้อกาหนดต่างๆ
การหาความเสีย ่ ง ทีอ่ ้างอิงใน 4.2 รวมถึงตัดสินความเสีย ่ งและโอกาสต่าง ๆ ทีต ่ ้องหาเพือ
่ ทาให ้
และโอกาสต่าง ๆ มั่นใจว่าระบบบริหารในการรักษาความปลอดภัยของข ้อมูลจะสามารถบรรลุ
6.1.1 ทัว่ ไป ผลลัพธ์ (ต่าง ๆ) ทีต ่ งั ้ ใจไว ้หรือไม่
6.1.1.b เมือ ่ ทาการวางแผนระบบบริหารด ้านการรักษาความปลอดภัยของ

ข ้อมูล องค์กรพิจารณาปั ญหาต่าง ๆ ทีอ ่ ้างอิงใน 4.1 และตามข ้อกาหนดต่างๆ
ทีอ ่ งและโอกาสต่าง ๆ ทีต
่ ้างอิงใน 4.2 รวมถึงตัดสินความเสีย ่ ้องหาเพือ
่
ป้ องกันหรือลดผลกระทบต่าง ๆ ทีไ่ ม่พงึ ปรารถนาหรือไม่
6.1.1.c เมือ่ ทาการวางแผนระบบบริหารด ้านการรักษาความปลอดภัยของ

ข ้อมูล พิจารณาปั ญหาต่าง ๆ ทีอ่ ้างอิงใน 4.1 และตามข ้อกาหนดต่างๆ ที่
อ ้างอิงใน 4.2 รวมถึงตัดสินความเสีย ่ งและโอกาสต่าง ๆ ทีต
่ ้องหาเพือ
่ บรรลุ
การปรับปรุงอย่างต่อเนือ่ งหรือไม่
6.1.1.d องค์กรวางแผนปฏิบต
ั ก
ิ ารต่าง ๆ เพือ ่ งและโอกาสต่าง ๆ
่ หาความเสีย
เหล่านีห
้ รือไม่
6.1.1.e องค์กรวางแผนวิธท
ี จ
ี่ ะ 1) รวมและดาเนินปฏิบต ั กิ ารต่างๆ เหล่านีเ้ ข ้า
ในขัน
้ ตอนของระบบบริหารด ้านการรักษาความปลอดภัยของข ้อมูลขององค์กร
และ 2) ประเมินประสิทธิภาพของปฏิบัตก ิ ารต่างๆ เหล่านี้ หรือไม่
6 การวางแผน 6.1.2.a องค์กรกาหนดและประยุกต์ใช ้ขัน ้ ตอนการประเมินความเสีย ่ งด ้านการ
6.1 ปฏิบตั ก
ิ ารใน รักษาความปลอดภัยของข ้อมูลทีจ ่ ัดตัง้ และรักษาเกณฑ์ความเสีย ่ งด ้านการ
การหาความเสีย ่ ง รักษาความปลอดภัยของข ้อมูลทีจ ่ ะรวมถึง 1) เกณฑ์การยอมรับความเสีย ่ ง
และโอกาสต่าง ๆ และ 2) เกณฑ์สาหรับการปฏิบัตก ิ ารประเมินความเสีย ่ งด ้านการรักษาความ
6.1.2 การประเมิน ปลอดภัยของข ้อมูลหรือไม่
่ งด ้านการ
ความเสีย
รักษาความ 6.1.2.b องค์กรกาหนดและประยุกต์ใช ้ขัน้ ตอนการประเมินความเสีย ่ งด ้านการ
ปลอดภัยของข ้อมูล รักษาความปลอดภัยของข ้อมูลทีท่ าให ้มั่นใจว่าการประเมินความเสีย ่ งด ้านการ
้
รักษาความปลอดภัยของข ้อมูลซาจะสร ้างผลทีส ่ อดคล ้อง ถูกต ้องและ
สามารถเปรียบเทียบ หรือไม่
6.1.2.c องค์กรกาหนดและประยุกต์ใช ้ขัน

้ ตอนการประเมินความเสีย ่ งด ้านการ
้ วามเสีย
รักษาความปลอดภัยของข ้อมูลที่ 1) บ่งชีค ่ งต่าง ๆ ทีเ่ กีย
่ วข ้องกับการ

สูญเสียการรักษาข ้อมูลความลับ บูรณภาพและการมีข ้อมูลพร ้อมใช ้ภายใน
ขอบเขตของระบบบริหารด ้านการรักษาความปลอดภัยของข ้อมูล และ 2)
บ่งชีเ้ จ ้าของความเสีย
่ งต่าง ๆ หรือไม่
6.1.2.d องค์กรกาหนดและประยุกต์ใช ้ขัน ้ ตอนการประเมินความเสีย ่ งด ้านการ

รักษาความปลอดภัยของข ้อมูลทีว่ เิ คราะห์ความเสีย ่ งด ้านการรักษาความ
ปลอดภัยของข ้อมูลดังต่อไปนี้ 1) ประเมินผลทีต ่ ามมาทีเ่ ป็ นไปได ้ทีจ ่ ะส่งผล
หากผลต่าง ๆ ทีบ ่ ง่ ชีใ้ น 6.1.2 c) 1) ถูกทาให ้เป็ นรูปเป็ นร่างขึน ้ 2) ประเมิน
ความเป็ นไปได ้ทีเ่ ป็ นจริงในการเกิดความเสีย ่ งต่าง ๆ ทีบ ่ ง่ ชีใ้ น 6.1.2 c) 1)
และ 3) ตัดสินระดับความเสีย ่ งต่าง ๆ หรือไม่
6.1.2.e องค์กรกาหนดและประยุกต์ใช ้ขัน ้ ตอนการประเมินความเสีย ่ งด ้านการ

รักษาความปลอดภัยของข ้อมูลทีป ่ ระเมินความเสีย่ งด ้านการรักษาความ
ปลอดภัยของข ้อมูลทีว่ เิ คราะห์ความเสีย ่ งด ้านการรักษาความปลอดภัยของ
ข ้อมูลดังต่อไปนี้ 1) เปรียบเทียบผลการวิเคราะห์ความเสีย ่ งต่าง ๆ กับเกณฑ์
ความเสีย ่ งทีก
่ าหนดไว ้ใน 6.1.2 a) และ 2) จัดลาดับความสาคัญสาหรับความ
เสีย่ งทีถ
่ ูกวิเคราะห์เพือ ่ ง หรือไม่
่ ดูแลความเสีย
6.1.2.f องค์กรเก็บรักษาข ้อมูลทีเ่ ป็ นเอกสารเกีย

่ วกับการประเมินความเสีย ่ ง
ด ้านการรักษาความปลอดภัยของข ้อมูลหรือไม่
6 การวางแผน 6.1.3.a องค์กรกาหนดและประยุกต์ใช ้ขัน ้ ตอนการดูแลความเสีย ่ งด ้านการ
6.1 ปฏิบตั ก
ิ ารใน รักษาความปลอดภัยของข ้อมูลเพือ ่ คัดเลือกทางเลือกในการดูแลความเสีย ่ ง
การหาความเสีย ่ ง ด ้านการรักษาความปลอดภัยของข ้อมูลโดยคานึงถึงผลการประเมินความเสีย ่ ง
และโอกาสต่าง ๆ ต่าง ๆ หรือไม่
6.1.3 การดูแล
ความเสีย 6.1.3.b องค์กรกาหนดและประยุกต์ใช ้ขัน ้ ตอนการดูแลความเสีย ่ งด ้านการ
รักษาความ รักษาความปลอดภัยของข ้อมูลเพือ ่ ตัดสินการควบคุมต่างๆ ทัง้ หมดทีจ ่ าเป็ น
ปลอดภัยของข ้อมูล ในการดาเนินทางเลือกในการดูแลความเสีย ่ งด ้านการรักษาความปลอดภัย
ของข ้อมูล (ต่าง ๆ) ทีเ่ ลือกไว ้หรือไม่
6.1.3.c องค์กรกาหนดและประยุกต์ใช ้ขัน ่ งด ้านการ

้ ตอนการดูแลความเสีย
รักษาความปลอดภัยของข ้อมูลเพือ ่ เปรียบเทียบการควบคุมต่าง ๆ ทีต ่ ด
ั สินไว ้
ใน 6.1.3.b ข ้างต ้นกับการควบคุมต่าง ๆ ในภาคผนวก A และตรวจพิสจ ู น์วา่
ไม่มก
ี ารควบคุมต่าง ๆ ทีจ่ าเป็ นถูกข ้ามไป หรือไม่
6.1.3.d องค์กรกาหนดและประยุกต์ใช ้ขัน ่ งด ้านการ

รักษาความปลอดภัยของข ้อมูลเพือ ่ สร ้างเอกสารแสดงมาตรการในมาตรฐานที่
มีการควบคุมต่าง ๆ ทีจ
่ าเป็ น (ดูท ี่ 6.1.3.b และ c) และการให ้เหตุผลสาหรับ

การรวมเข ้าไปต่าง ๆ ทีม
่ ก
ี ารดาเนินการหรือไม่ รวมถึงการให ้เหตุผลสาหรับ
การยกเว ้นการควบคุมต่าง ๆ จากภาคผนวก A หรือไม่
6.1.3.e องค์กรกาหนดและประยุกต์ใช ้ขัน ่ งด ้านการ

รักษาความปลอดภัยของข ้อมูลเพือ ่ งด ้านการ
่ สร ้างแผนการดูแลความเสีย
รักษาความปลอดภัยของข ้อมูลหรือไม่
6.1.3.f องค์กรกาหนดและประยุกต์ใช ้ขัน ้ ตอนการดูแลความเสีย ่ งด ้านการ

รักษาความปลอดภัยของข ้อมูลเพือ ่ ได ้รับอนุมัตจ
ิ ากเจ ้าของความเสีย่ งต่างๆ
สาหรับแผนการดูแลความเสีย ่ งด ้านการรักษาความปลอดภัยของข ้อมูลและ
การยอมรับความเสีย่ งทีเ่ หลือด ้านการรักษาความปลอดภัยของข ้อมูลหรือไม่
6.1.3.h องค์กรเก็บรักษาข ้อมูลทีเ่ ป็ นเอกสารเกีย ่ วกับขัน

้ ตอนแผนการดูแล
ความเสีย ่ งด ้านการรักษาความปลอดภัยของข ้อมูลหรือไม่
6 การวางแผน 6.2.a องค์กรจัดตัง้ วัตถุประสงค์ตา่ ง ๆ ด ้านการรักษาความปลอดภัยของ
6.2 วัตถุประสงค์ ข ้อมูลในหน ้าทีง่ านและระดับต่าง ๆ ทีเ่ กีย
่ วข ้องหรือไม่
ด ้านการรักษาความ
ปลอดภัยของข ้อมูล 6.2.b วัตถุประสงค์ด ้านการรักษาความปลอดภัยของข ้อมูลมีความสอดคล ้อง
และแผนงานต่างๆ กับนโยบายการรักษาความปลอดภัยของข ้อมูลหรือไม่
เพือ่ ทาให ้บรรลุ
6.2.c วัตถุประสงค์ด ้านการรักษาความปลอดภัยของข ้อมูลสามารถวัดผลได ้
(หากสามารถปฏิบัตไิ ด ้) หรือไม่
6.2.d วัตถุประสงค์ด ้านการรักษาความปลอดภัยของข ้อมูลมีการคานึงถึง

ข ้อกาหนดต่าง ๆ ด ้านการรักษาความปลอดภัยของข ้อมูลทีบ ่ ังคับใช ้ และผล
การประเมินความเสีย ่ งรวมถึงผลการดูแลความเสีย
่ สารวัตถุประสงค์ด ้านการรักษาความปลอดภัยของข ้อมูล

6.2.e มีการสือ
6.2.f มีการอัพเดตวัตถุประสงค์ด ้านการรักษาความปลอดภัยของข ้อมูลอย่าง

เหมาะสมหรือไม่
6.2.g องค์กรเก็บรักษาข ้อมูลทีเ่ ป็ นเอกสารเกีย

่ วกับวัตถุประสงค์ด ้านการรักษา
ความปลอดภัยของข ้อมูลหรือไม่
6.2.h เมือ
่ ทาการวางแผนวิธท
ี จ
ี่ ะบรรลุวต ั ถุประสงค์ด ้านการรักษาความ
ปลอดภัยของข ้อมูล องค์กรตัดสินสิง่ ทีจ
่ ะต ้องทาหรือไม่

6.2.i เมือ
ี จ
ี่ ะบรรลุวต
ั ถุประสงค์ด ้านการรักษาความ
ปลอดภัยของข ้อมูล องค์กรตัดสินทรัพยากรอะไรทีต ่ ้องการหรือไม่
6.2.j เมือ
ี จ
ปลอดภัยของข ้อมูล องค์กรตัดสินบุคคลทีจ ่ ะรับผิดชอบหรือไม่
6.2.k เมือ
ี จ
ปลอดภัยของข ้อมูล องค์กรตัดสินว่าจะทาเสร็จสมบูรณ์เมือ ่ ไหร่หรือไม่
6.2.l เมือ่ ทาการวางแผนวิธท ี จ ี่ ะบรรลุวต ั ถุประสงค์ด ้านการรักษาความ

ปลอดภัยของข ้อมูล องค์กรตัดสินวิธท ี จ
ี่ ะประเมินผลต่างๆ หรือไม่
7 การสนับสนุน 7.1. มีขน ั ้ ตอนทีอ ่ งค์กรใช ้เพือ่ ตัดสินและให ้ทรัพยากรทีจ ่ าเป็ นสาหรับการ
7.1 ทรัพยากร จัดตัง้ การดาเนินการ การบารุงรักษาและการปรับปรุงอย่างต่อเนือ ่ งสาหรับ
วัตถุประสงค์ตา่ ง ๆ ของระบบบริหารด ้านการรักษาความปลอดภัยของข ้อมูลที่
กาหนดไว ้ใน 6.2 หรือไม่
7. การสนั บสนุน 7.2.a มีขน ่ งค์กรใช ้เพือ
ั ้ ตอนทีอ ่ ตัดสินความชานาญทีจ ่ าเป็ นของบุคคล (ต่าง
7.2 ความชานาญ ๆ) ทีท ่ างานภายใต ้การควบคุมขององค์กรทีส ่ ง่ ผลกระทบต่อประสิทธิภาพการ
ทางานด ้านการรักษาความปลอดภัยของข ้อมูลหรือไม่
7.2.b มีขนั ้ ตอนทีใ่ ช ้เพือ

่ ทาให ้มั่นใจว่าบุคคลต่าง ๆ เหล่านีม
้ ค
ี วามชานาญ
ด ้านพืน
้ ฐานการศึกษา การฝึ กอบรมหรือประสบการณ์ทเี่ หมาะสมหรือไม่
7.2.c มีขน ั ้ ตอนทีใ่ ช ้เพือ

่ ดาเนินปฏิบต
ั ก
ิ ารต่าง ๆ ในการได ้รับความชานาญที่
่ มีการบังคับใช ้ รวมถึงประเมินประสิทธิภาพของปฏิบต
จาเป็ นเมือ ั ก
ิ ารต่าง ๆ ที่
ดาเนินการหรือไม่
7.2.d มีการเก็บรักษาข ้อมูลทีเ่ ป็ นเอกสารทีเ่ หมาะสมให ้เป็ นหลักฐานด ้าน

ความชานาญหรือไม่
7. การสนั บสนุน 7.3.a มีขน ่ งค์กรใช ้เพือ
ั ้ ตอนทีอ ่ ทาให ้มั่นใจว่าบุคคลต่าง ๆ ทีท
่ างานภายใต ้
7.3 การตระหนั กถึง การควบคุมขององค์กรมีการตระหนักถึงนโยบายด ้านการรักษาความปลอดภัย
ของข ้อมูลหรือไม่
7.3.b มีขน ่ งค์กรใช ้เพือ

ั ้ ตอนทีอ ่ ทาให ้มั่นใจว่าบุคคลต่าง ๆ ทีท
การควบคุมขององค์กรมีการตระหนักถึงการสนับสนุนประสิทธิภาพของระบบ
บริหารด ้านการรักษาความปลอดภัยของข ้อมูลโดยรวมถึงประโยชน์ตา่ ง ๆ
ของประสิทธิภาพในการทางานด ้านการรักษาความปลอดภัยของข ้อมูลทีม ่ ก
ี าร
ปรับปรุงแล ้ว หรือไม่

7.3.c มีขนั ้ ตอนทีอ ่ งค์กรใช ้เพือ
่ ทาให ้มั่นใจว่าบุคคลต่าง ๆ ทีท
การควบคุมขององค์กรมีการตระหนักถึงความเกีย ่ วพันของการไม่ปฏิบัตติ าม
ข ้อกาหนดต่าง ๆ ของระบบบริหารในการรักษาความปลอดภัยของข ้อมูล
7. การสนั บสนุน 7.4.a มีขน ั ้ ตอนทีอ่ งค์กรใช ้เพือ
่ ตัดสินความต ้องการสาหรับการสือ ่ สารภายใน
7.4 การสือ่ สาร และภายนอกทีเ่ กีย ่ วข ้องกับระบบบริหารด ้านการรักษาความปลอดภัยของ
7.4.b ขัน ้ งิ่ ทีจ

้ ตอนนีไ้ ด ้บ่งชีส ่ สารหรือไม่
่ ะสือ
้ ตอนนีไ้ ด ้บ่งชีเ้ วลาทีจ

7.4.c ขัน ่ สารหรือไม่
่ ะสือ
้ ตอนนีไ้ ด ้บ่งชีว้ า่ จะต ้องสือ

7.4.d ขัน ่ สารถึงใครหรือไม่
้ ตอนนี้ได ้บ่งชีว้ า่ ใครจะทาการสือ

7.4.e ขัน ่ สารหรือไม่
7.4.f ขัน ้ น
้ ตอนนี้ได ้บ่งชีข ั ้ ตอนต่าง ๆ ทีจ ่ สารหรือไม่
่ ะส่งผลกระทบต่อการสือ
7. การสนั บสนุน 7.5.1.a ระบบบริหารด ้านการรักษาความปลอดภัยของข ้อมูลขององค์กรได ้
7.5 ข ้อมูลทีเ่ ป็ น รวมข ้อมูลทีเ่ ป็ นเอกสารซึง่ กาหนดโดย ISO/IEC 27001:2013 หรือไม่
เอกสาร
7.5.1 ทัว่ ไป 7.5.1.b ระบบบริหารด ้านการรักษาความปลอดภัยของข ้อมูลขององค์กรได ้
รวมข ้อมูลทีเ่ ป็ นเอกสารซึง่ ตัดสินโดยองค์กรว่ามีความจาเป็ นสาหรับ
ประสิทธิภาพของระบบบริหารด ้านการรักษาความปลอดภัยของข ้อมูลหรือไม่
7. การสนั บสนุน 7.5.2.a เมือ ่ ทาการสร ้างและอัพเดตข ้อมูลทีเ่ ป็ นเอกสาร องค์กรมีขนั ้ ตอนทีจ
่ ะ
7.5 ข ้อมูลทีเ่ ป็ น ทาให ้มั่นใจในการบ่งชีแ ้ ละรายละเอียดทีเ่ หมาะสม (ตัวอย่างเช่น ชือ่ เรือ่ ง
เอกสาร วันที่ ผู ้เขียนหรือหมายเลขอ ้างอิง ) หรือไม่
7.5.2 การสร ้างและ
การอัพเดต 7.5.2.b เมือ่ ทาการสร ้างและอัพเดตข ้อมูลทีเ่ ป็ นเอกสาร องค์กรมีขนั ้ ตอนทีจ
่ ะ
ทาให ้มั่นใจในรูปแบบ (ตัวอย่างเช่น ภาษา เวอร์ชน ั่ ซอฟต์แวร์ กราฟิ ก) และ
่ (ตัวอย่างเช่น กระดาษ ทางอิเลคทรอนิกส์) ทีเ่ หมาะสมหรือไม่
สือ
7.5.2.c เมือ่ ทาการสร ้างและอัพเดตข ้อมูลทีเ่ ป็ นเอกสาร องค์กรมีขนั ้ ตอนทีจ

่ ะ
ทาให ้มั่นใจในการทบทวนและการอนุมัตท ิ เี่ หมาะสมสาหรับความเหมาะสม
และความเพียงพอหรือไม่
7 การสนับสนุน 7.5.3.a องค์กรมีขน ั ้ ตอนในการควบคุมข ้อมูลทีเ่ ป็ นเอกสารทีก่ าหนดโดย
7.5 ข ้อมูลทีเ่ ป็ น ระบบบริหารในการรักษาความปลอดภัยของข ้อมูลและโดย ISO/IEC
เอกสาร 27001:2013 เพือ ่ ทาให ้มั่นใจว่าข ้อมูลมีพร ้อมใช ้และเหมาะสมในการใช ้งาน

7.5.3 การควบคุม สถานทีแ
่ ละเวลาทีต
่ ้องการ หรือไม่
ข ้อมูลทีเ่ ป็ นเอกสาร
7.5.3.b องค์กรมีขนั ้ ตอนในการควบคุมข ้อมูลทีเ่ ป็ นเอกสารทีก่ าหนดโดย
ระบบบริหารในการรักษาความปลอดภัยของข ้อมูลและโดย ISO/IEC
27001:2013 เพือ ่ ทาให ้มั่นใจว่ามีการปกป้ องข ้อมูลอย่างเพียงพอ
(ตัวอย่างเช่น จากการสูญเสียการรักษาข ้อมูลความลับ การใช ้งานทีไ่ ม่
เหมาะสม หรือการสูญเสียบูรณภาพ) หรือไม่
7.5.3.c องค์กรมีขนั ้ ตอนในการควบคุมข ้อมูลทีเ่ ป็ นเอกสารทีก

่ าหนดโดยระบบ
บริหารในการรักษาความปลอดภัยของข ้อมูลและโดย ISO/IEC 27001:2013
่ กล่าวถึงการกระจาย การเข ้าถึง การกู ้คืนและการใช ้งานตามความ
เพือ
เหมาะสม หรือไม่
7.5.3.d องค์กรมีขน
ั ้ ตอนในการควบคุมข ้อมูลทีเ่ ป็ นเอกสารทีก
่ าหนดโดย
27001:2013 เพือ่ กล่าวถึงการจัดเก็บ และการรักษาโดยรวมถึงการรักษา
ความถูกต ้องตามกฎหมายอย่างเหมาะสมหรือไม่
7.5.3.e องค์กรมีขน ั ้ ตอนในการควบคุมข ้อมูลทีเ่ ป็ นเอกสารทีก

่ าหนดโดย
27001:2013 เพือ ่ กล่าวถึงการควบคุมการเปลีย่ นแปลง (ตัวอย่างเช่น การ
ควบคุมเวอร์ชนั่ ) อย่างเหมาะสมหรือไม่
7.5.3.f องค์กรมีขนั ้ ตอนในการควบคุมข ้อมูลทีเ่ ป็ นเอกสารทีก

่ าหนดโดยระบบ
บริหารในการรักษาความปลอดภัยของข ้อมูลและโดย ISO/IEC 27001:2013
เพือ
่ กล่าวถึงการเก็บรักษาและการทิง้ อย่างเหมาะสมหรือไม่
7.5.3.g องค์กรมีขน
ั ้ ตอนในการบ่งชีอ ้ ย่างเหมาะสมสาหรับข ้อมูลทีเ่ ป็ น
เอกสารจากแหล่งทีม ่ าภายนอกซึง่ องค์กรตัดสินว่าจาเป็ นสาหรับการวางแผน
และการดาเนินงานของระบบบริหารด ้านการรักษาความปลอดภัยของข ้อมูล
7.5.3.h องค์กรมีขน ั ้ ตอนในควบคุมข ้อมูลทีเ่ ป็ นเอกสารจากแหล่งทีม

่ า
ภายนอกซึง่ องค์กรตัดสินว่าจาเป็ นสาหรับการวางแผนและการดาเนินงานของ
ระบบบริหารด ้านการรักษาความปลอดภัยของข ้อมูลหรือไม่
8 การดาเนินงาน 8.1.a มีขน ่ งค์กรใช ้ในการวางแผน ดาเนินการและควบคุมขัน
ั ้ ตอนทีอ ้ ตอนต่าง
8.1 การวางแผน ๆ ทีจ่ าเป็ นต่อการบรรลุข ้อกาหนดต่าง ๆ ด ้านการรักษาความปลอดภัยของ
และการควบคุมด ้าน ข ้อมูลรวมถึงดาเนินปฏิบต ั ก
ิ ารต่างๆ ทีต
่ ัดสินไว ้ใน 6.1 หรือไม่

การดาเนินงาน
8.1.b องค์กรได ้ดาเนินแผนงานต่าง ๆ ในการบรรลุวต ั ถุประสงค์ด ้านการรักษา
ความปลอดภัยของข ้อมูลขององค์กรตามทีต ่ ด
ั สินไว ้ใน 6.2 หรือไม่
8.1.c องค์กรเก็บข ้อมูลทีเ่ ป็ นเอกสารในขอบเขตทีจ

่ าเป็ นต่อการมีความ
่ มั่นว่ามีการดาเนินขัน
เชือ ้ ตอนต่างๆ ตามแผนหรือไม่
8.1.d องค์กรควบคุมการเปลีย่ นแปลงต่างๆ ตามแผนและทบทวนผลทีต ่ ามมา

ต่าง ๆ สาหรับการเปลีย
่ นแปลงทีไ่ ม่ได ้ตัง้ ใจไว ้โดยดาเนินปฏิบัตก
ิ ารในการ
บรรเทาผลกระทบย ้อนกลับต่างๆ ตามทีจ ่ าเป็ นหรือไม่
8.1.e องค์กรทาให ้มั่นใจว่ามีการตัดสินและควบคุมขัน ้ ตอนทีจ ่ ้างผู ้รับเหมา

8 การดาเนินงาน ั ้ ตอนทีใ่ ช ้ในการดาเนินการประเมินความเสีย
8.2.a มีขน ่ งด ้านการรักษาความ
8.2 การบริหาร ปลอดภัยของข ้อมูลในช่วงเวลาตามแผนหรือเมือ ่ มีการนาเสนอหรือมีการ
ความเสีย เปลีย
่ นแปลงทีม ่ น
ี ัยสาคัญเกิดขึน้ โดยคานึงถึงเกณฑ์ทจ ี่ ัดตัง้ ไว ้ใน 6.1.2 a)
รักษาความ หรือไม่
ปลอดภัยของข ้อมูล
่ ง
8.2.b องค์กรเก็บรักษาข ้อมูลทีเ่ ป็ นเอกสารสาหรับผลการประเมินความเสีย
ด ้านการรักษาความปลอดภัยของข ้อมูลหรือไม่
8. การดาเนินงาน 8.3.a องค์กรกาลังดาเนินแผนการดูแลความเสีย ่ งด ้านการรักษาความ
8.3 การดูแลความ ปลอดภัยของข ้อมูลหรือไม่
เสีย่ งด ้านการรักษา
ความปลอดภัยของ 8.3.b องค์กรเก็บรักษาข ้อมูลทีเ่ ป็ นเอกสารสาหรับผลการดูแลความเสีย่ งด ้าน
ข ้อมูล ข ้อมูล การรักษาความปลอดภัยของข ้อมูลหรือไม่
9 การประเมิน ั ้ ตอนทีใ่ ช ้ในการประเมินประสิทธิภาพการทางานด ้านการรักษา
9.1.a มีขน
ประสิทธิภาพในการ ความปลอดภัยของข ้อมูลและประสิทธิภาพของระบบบริหารด ้านการรักษา
ทางาน ความปลอดภัยของข ้อมูลหรือไม่
9.1 การ
สังเกตการณ์ การ 9.1.b ขัน
้ ตอนตัดสินความต ้องการอะไรทีจ
่ ะต ้องทาการสังเกตการณ์และ
วัดผล การวิเคราะห์ วัดผลโดยรวมถึงขัน ้ ตอนและการควบคุมต่างๆ ด ้านการรักษาความปลอดภัย
และการประเมินผล ของข ้อมูลหรือไม่
9.1.c ขัน
้ ตอนตัดสินวิธก
ี ารต่างๆ สาหรับการสังเกตการณ์ การวัดผล การ
วิเคราะห์และการประเมินผลอย่างเหมาะสมเพือ ่ ทาให ้มั่นใจในผลทีถ
่ ก
ู ต ้อง
9.1.d ขัน
้ ตอนตัดสินว่าจะต ้องดาเนินการสังเกตการณ์และการวัดผลเมือ
่ ไหร่

9.1.e ขัน
้ ตอนตัดสินผู ้ทีจ
่ ะสังเกตการณ์และวัตผลหรือไม่
9.1.f ขัน
้ ตอนตัดสินว่าเมือ
่ ไหร่ทจ
ี่ ะวิเคราะห์และประเมินผลต่างๆ จากการ
สังเกตการณ์และการวัดผลหรือไม่
9.1.g ขัน
้ ตอนตัดสินว่าใครจะวิเคราะห์และประเมินผลต่าง ๆ เหล่านีห
้ รือไม่
9.1.h องค์กรเก็บรักษาข ้อมูลทีเ่ ป็ นเอกสารทีเ่ หมาะสมให ้เป็ นหลักฐานของผล

การสังเกตการณ์และการวัดผลหรือไม่
9 การประเมิน ั ้ ตอนทีใ่ ช ้ในการทาให ้มั่นใจว่าองค์กรดาเนินการตรวจติดตาม
9.2.a มีขน
ประสิทธิภาพในการ ภายในในช่วงเวลาตามแผนหรือไม่
ทางาน
9.2 ภายใน 9.2.b การตรวจติดตามภายในให ้ข ้อมูลว่าระบบบริหารในการรักษาความ
ปลอดภัยของข ้อมูลมีความสอดคล ้องกับข ้อกาหนดต่างๆ ขององค์กรสาหรับ
ระบบบริหารด ้านการรักษาความปลอดภัยของข ้อมูลหรือไม่
9.2.c การตรวจติดตามภายในให ้ข ้อมูลว่าระบบบริหารในการรักษาความ

ปลอดภัยของข ้อมูลมีความสอดคล ้องกับข ้อกาหนดต่างๆ ของ ISO/IEC
27001:2013 หรือไม่
9.2.d การตรวจติดตามภายในให ้ข ้อมูลว่ามีการดาเนินและรักษาระบบบริหาร

ในการรักษาความปลอดภัยของข ้อมูลอย่างมีประสิทธิภาพหรือไม่
9.2.e องค์กรวางแผน จัดตัง้ ดาเนินการและรักษาโปรแกรมการตรวจติดตาม

(ต่าง ๆ) โดยรวมถึงความถี่ วิธก
ี าร ความรับผิดชอบ ข ้อกาหนดในการวางแผน
ต่างๆ และการรายงานหรือไม่
9.2.f โปรแกรมการตรวจติดตาม (ต่าง ๆ) มีการพิจารณาความสาคัญของ

ขัน
้ ตอนต่าง ๆ ทีเ่ กีย
่ วข ้องและผลการตรวจติดตามครัง้ ทีแ
่ ล ้วหรือไม่
9.2.g องค์กรกาหนดเกณฑ์และขอบเขตการตรวจติดตามสาหรับแต่ละการ
ตรวจติดตามหรือไม่
9.2.h องค์กรคัดเลือกผู ้ตรวจติดตามและดาเนินการตรวจติดตามทีท

่ าให ้มั่นใจ
ในความเป็ นกลางและความยุตธิ รรมของขัน ้ ตอนการตรวจติดตามหรือไม่

9.2.i องค์กรทาให ้มั่นใจว่ามีการรายงานผลการตรวจติดตามต่าง ๆ ถึงฝ่ าย
บริหารทีเ่ กีย
9.2.j องค์กรเก็บรักษาข ้อมูลทีเ่ ป็ นเอกสารให ้เป็ นหลักฐานสาหรับโปรแกรม

การตรวจติดตาม (ต่าง ๆ) และผลการตรวจติดตามหรือไม่
9. การประเมิน 9.3.a มีขน ่ ่ ายบริหารสูงสุดใช ้เพือ
ั ้ ตอนทีฝ ่ ทบทวนระบบบริหารการรักษาความ
ประสิทธิภาพในการ ปลอดภัยของข ้อมูลขององค์กรในช่วงเวลาตามแผนเพือ ่ ทาให ้มั่นใจในความ
ทางาน เหมาะสม ความเพียงพอและประสิทธิภาพอย่างต่อเนือ ่ งหรือไม่
9.3 การทบทวน
ของฝ่ ายบริหาร 9.3.b การทบทวนได ้รวมการพิจารณาสถานะของปฏิบต
ั ก
ิ ารต่างๆ จากการ
ทบทวนของฝ่ ายบริหารครัง้ ทีแ
่ ล ้วหรือไม่
9.3.c การทบทวนได ้รวมการพิจารณาการเปลีย ่ แนปลงต่าง ๆ ในปั ญหา

ภายนอกและภายในทีเ่ กีย
่ วข ้องกับระบบบริหารด ้านการรักษาความปลอดภัย
ของข ้อมูลหรือไม่
9.3.d การทบทวนได ้รวมการพิจารณาข ้อคิดเห็นด ้านประสิทธิภาพการทางาน

สาหรับการรักษาความปลอดภัยของข ้อมูลโดยรวมถึงแนวโน ้มต่าง ๆ ใน 1)
ความไม่สอดคล ้องและปฏิบตั ก
ิ ารแก ้ไขต่าง ๆ 2) ผลการสังเกตการณ์และการ
วัดผลต่าง ๆ 3) ผลการตรวจติดตามต่าง ๆ และ 4) การบรรลุวต ั ถุประสงค์ด ้าน
9.3.e การทบทวนได ้รวมการพิจารณาข ้อคิดเห็นจากผู ้มีสว่ นได ้ส่วนเสีย

่ งต่าง ๆ และ
9.3.f การทบทวนได ้รวมการพิจารณาผลการประเมินความเสีย
สถานะของแผนการดูแลความเสีย ่ งหรือไม่
9.3.g การทบทวนได ้รวมการพิจารณาโอกาสสาหรับการปรับปรุงอย่าง

ต่อเนือ
9.3.h ผลลัพธ์ตา่ ง ๆ ของการทบทวนของฝ่ ายบริหารได ้รวมการตัดสินใจต่าง

ๆ เกีย
่ วกับโอกาสสาหรับการปรับปรุงอย่างต่อเนือ
่ งและการเปลีย
่ แนปลงต่าง ๆ
ทีจ
่ าเป็ นสาหรับระบบบริหารด ้านการรักษาความปลอดภัยของข ้อมูลหรือไม่
9.3.i องค์กรเก็บรักษาข ้อมูลทีเ่ ป็ นเอกสารให ้เป็ นหลักฐานสาหรับผลการ

ทบทวนของฝ่ ายบริหารหรือไม่
10.1 ความไม่ 10.1.a มีขน ่ งค์กรใช ้เพือ
ั ้ ตอนทีอ ่ ตอบสนองต่อความไม่สอดคล ้องและ 1)

สอดคล ้องและ ดาเนินปฏิบตั ก
ิ ารในการควบคุมและแก ้ไข รวมถึง 2) จัดการกับผลทีต
่ ามมา
ปฏิบต
ั ก
ิ ารแก ้ไข ต่าง ๆ อย่างเหมาะสมหรือไม่
10.1.b มีขน ่ งค์กรใช ้เพือ

ั ้ ตอนทีอ ่ ประเมินความต ้องการสาหรับปฏิบัตก ิ ารใน
การขจัดสาเหตุของความไม่สอดคล ้องต่าง ๆ เพือ ่ ะไม่เกิดซ้าหรือเกิดขึน
่ ทีจ ้
ในทีอ
่ น
ื่ ใดด ้วย 1) การทบทวนความไม่สอดคล ้อง 2) การตัดสินสาเหตุของ
ความไม่สอดคล ้อง และ 3) การตัดสินว่ามีความไม่สอดคล ้องทีเ่ หมือนกันหรือ
อาจเกิดขึน ้ ได ้หรือไม่
10.1.c มีขน ่ งค์กรใช ้เพือ

ั ้ ตอนทีอ ่ ดาเนินปฏิบต
ั ก
ิ ารทีจ
่ าเป็ นหรือไม่
10.1.d มีขน ่ งค์กรใช ้เพือ

ั ้ ตอนทีอ ่ ทบทวนประสิทธิภาพของปฏิบต
ั ก
ิ ารแก ้ไขที่
ดาเนินการหรือไม่
10.1.e มีขน ่ งค์กรใช ้เพือ

ั ้ ตอนทีอ ่ ทาการเปลีย
่ นแปลงต่าง ๆ สาหรับระบบ
บริหารด ้านการรักษาความปลอดภัยของข ้อมูลหากจาเป็ น หรือไม่
10.1.f มีขน ่ งค์กรใช ้เพือ

ั ้ ตอนทีอ ่ ทาให ้มั่นใจว่าปฏิบต
ั ก
ิ ารแก ้ไขต่าง ๆ มีความ
เหมาะสมกับผลกระทบต่างๆ ของความไม่สอดคล ้องทีเ่ ผชิญหน ้าหรือไม่
10.1.g องค์กรเก็บรักษาข ้อมูลทีเ่ ป็ นเอกสารให ้เป็ นหลักฐานสาหรับลักษณะ

ของความไม่สอดคล ้องต่าง ๆ และปฏิบต ิ ารซึง่ ดาเนินการต่อมาหรือไม่
ั ก
10.1.h องค์กรเก็บรักษาข ้อมูลทีเ่ ป็ นเอกสารให ้เป็ นหลักฐานสาหรับผลของ

ปฏิบต
ั ก
ิ ารแก ้ไขหรือไม่
10 การปรับปรุง 10.2 มีขนั ้ ตอนทีใ่ ช ้ในการปรับปรุงความเหมาะสม ความเพียงพอและ

10.2 การปรับปรุง ประสิทธิภาพของระบบบริหารด ้านการรักษาความปลอดภัยของข ้อมูลอย่าง
อย่างต่อเนือ
่ ง ต่อเนือ

รายการตรวจสอบเพือ
่ ทวนสอบความสอดคล้องก ับข้อกาหนด ISO27001: 2013(การประเมินมาตรการควบคุม)
มาตรา จุดตรวจสอบ หล ักฐานการสอดคล้อง ผลการ
ประเมิน
A.5 นโยบายการรักษาความ A.5.1.1 มีการกาหนดชุดเอกสารสาหรับนโยบายด ้านการรักษา
ปลอดภัยของข ้อมูล ความปลอดภัยของข ้อมูล ได ้รับการอนุมัตจิ ากฝ่ ายบริหาร ทา
A.5.1 ทิศทางการบริหารด ้านการ การเผยแพร่และทาการสือ ่ สารถึงพนักงานทุกคนและ
รักษาความปลอดภัยของข ้อมูล บุคคลภายนอกทีเ่ กีย
วัตถุประสงค์: เพือ
่ ให ้ทิศทางและ A.5.1.2 มีการทบทวนนโยบายการรักษาความปลอดภัยของ
การสนั บสนุนการบริหารด ้านการ ข ้อมูลในช่วงเวลาตามแผนหรือหากมีการเปลีย ่ นแปลงทีม
่ ี
รักษาความปลอดภัยของข ้อมูล นัยสาคัญเกิดขึน้ เพือ
่ ทาให ้มั่นใจในความเหมาะสม ความ
ตามข ้อกาหนดทางธุรกิจและ เพียงพอและประสิทธิภาพอย่างต่อเนือ ่ งหรือไม่
กฎหมายรวมถึงกฎระเบียบที่
เกีย
่ วข ้อง
A.6 องค์กรด ้านการรักษาความ
ปลอดภัยของข ้อมูล A.6.1.1 มีการกาหนดและจัดสรรความรับผิดชอบด ้านการรักษา
A.6.1 องค์กรภายใน ความปลอดภัยของข ้อมูลทัง้ หมดหรือไม่
่ จัดตัง้ กรอบ A.6.1.2 มีการแยกพืน ้ ทีข
่ องหน ้าทีท
่ ม
ี่ ค
ี วามขัดแย ้งและพืน
้ ที่
การทางานของฝ่ ายบริหารในการ ความรับผิดชอบเพือ ่ ลดโอกาสในการดัดแปลงแก ้ไขทีไ่ ม่ได ้รับ
ริเริม
่ และควบคุมการปฏิบต ั แ
ิ ละ อนุญาตหรือไม่ได ้ตัง้ ใจหรือใช ้งานผิดสาหรับสินทรัพย์ของ
ดาเนินการด ้านการรักษาความ องค์กรหรือไม่
ปลอดภัยของข ้อมูลภายใน
องค์กร A.6.1.3 มีการรักษาการติดต่อทีเ่ หมาะสมกับผู ้มีอานาจหน ้าทีท
่ ี่
เกีย
A.6.1.4 มีการรักษาการติดต่อทีเ่ หมาะสมกับกลุม่ ผลประโยชน์

่ วชาญด ้านการรักษาความปลอดภัยและ
พิเศษหรือฟอรั่มผู ้เชีย
สมาคมทางอาชีพอืน ่ ๆ หรือไม่
A.6.1.5 มีการกล่าวถึงการรักษาความปลอดภัยของข ้อมูลใน

ฝ่ ายบริหารโครงการโดยไม่คานึงถึงประเภทของโครงการหรือไม่
A.6 องค์กรด ้านการรักษาความ A.6.2.1 มีการปรับใช ้นโยบายและมาตรการการรักษาความ
ปลอดภัยของข ้อมูล ปลอดภัยสนั บสนุนสาหรับการบริหารความเสีย่ งต่าง ๆ ทีเ่ กิดจาก
A.6.2 อุปกรณ์มอื ถือและการ การใช ้อุปกรณ์มอ
ื ถือหรือไม่
ทางานทางไกล

A.6.2.2 มีการดาเนินนโยบายและมาตรการการรักษาความ
่ ทาให ้มั่นใจใน ปลอดภัยสนั บสนุนเพือ
่ ปกป้ องข ้อมูลทีถ
่ ก
ู เข ้าถึง ประมวลหรือ
การรักษาความปลอดภัยสาหรับ จัดเก็บทีส
่ ถานประกอบการทางานทางไกลหรือไม่
การทางานทางไกลและการใช ้
อุปกรณ์มอื ถือ
A.7 การรักษาความปลอดภัยด ้าน A.7.1.1. มีการดาเนินการตรวจสอบในการตรวจพิสจ ู น์ภมู หิ ลัง
ทรัพยากรบุคคล ผู ้สมัครทุกคนสาหรับการว่าจ ้างตามกฎหมาย กฎระเบียบและ
A.7.1 ก่อนการว่าจ ้าง หลักจริยธรรมทีเ่ กีย ่ วข ้อง รวมถึงการตรวจสอบพอเหมาะกับ
ข ้อกาหนดทางธุรกิจต่าง ๆ การแบ่งประเภทข ้อมูลทีจ ่ ะเข ้าถึง
่ ทาให ้มั่นใจว่า และความเสีย ่ งทีร่ ับรู ้หรือไม่
พนักงานและผู ้รับเหมาต่าง ๆ มี
ความเข ้าใจความรับผิดชอบของ A.7.1.2. ข ้อตกลงตามสัญญากับพนั กงานและผู ้รับเหมามีการ
ตนเองและมีความเหมาะสม กล่าวถึงความรับผิดชอบของพนักงานและผู ้รับเหมารวมถึง
สาหรับบทบาทต่าง ๆ ทีถ ่ ก
ู องค์กรในด ้านการรักษาความปลอดภัยของข ้อมูลหรือไม่
พิจารณา
A.7 การรักษาความปลอดภัยด ้าน A.7.2.1 ฝ่ ายบริหารกาหนดให ้พนักงานและผู ้รับเหมาทุกคน
ทรัพยากรบุคคล ประยุกต์ใช ้การรักษาความปลอดภัยของข ้อมูลตามนโยบายและ
A.7.2 ระหว่างการว่าจ ้าง กระบวนการทางานต่าง ๆ ทีจ ่ ัดตัง้ ไว ้ขององค์กรหรือไม่
่ ทาให ้มั่นใจว่า A.7.2.2 พนักงานทุกคนขององค์กรและผู ้รับเหมาทีเ่ กีย่ วข ้อง
พนักงานและผู ้รับเหมาต่าง ๆ มี ได ้รับการศึกษาและการฝึ กอบรมด ้านการตระหนักถึงทีเ่ หมาะสม
ความตระหนั กถึงและบรรลุความ รวมถึงการอัพเดตทั่วไปในด ้านนโยบายและกระบวนการทางาน
รับผิดชอบด ้านการรักษาความ ขององค์กรตามทีเ่ กีย
่ วข ้องกับหน ้าทีง่ านของตนเองหรือไม่
ปลอดภัยของข ้อมูลของตนเอง
A.7.2.3 มีขน ั ้ ตอนด ้านระเบียบวินัยทีเ่ ป็ นทางการและถูกสือ ่ สาร
ในการดาเนินการกับพนักงานทีท ่ าการละเมิดการรักษาความ
ปลอดภัยของข ้อมูลหรือไม่
A.7 การรักษาความปลอดภัยด ้าน A.7.3.1 มีการกาหนดและสือ ่ สารความรับผิดชอบและหน ้าทีด ่ ้าน
ทรัพยากรบุคคล การรักษาความปลอดภัยของข ้อมูลทีย ่ ังคงมีผลใช ้ได ้หลังการ
้ สุดและการ
A.7.3 การสิน ้ สุดการว่าจ ้างถึงพนักงานหรือผู ้รับเหมารวมถึงการบังคับใช ้
สิน
เปลีย
่ นแปลงการว่าจ ้าง หรือไม่
่ ป้ องกัน
ผลประโยชน์ขององค์กรให ้เป็ น
ส่วนหนึง่ ของขัน
้ ตอนการ
เปลีย ้ สุดการ
่ นแปลงหรือสิน
ว่าจ ้าง
A.8 การบริหารสินทรัพย์ ้ น
A.8.1.1 มีการบ่งชีส ิ ทรัพย์ทเี่ กีย
่ วข ้องกับข ้อมูลและสิง่ อานวย

A.8.1 ความรับผิดชอบต่อ ความสะดวกในการประมวลข ้อมูล มีการทาสินทรัพย์คงคลัง
สินทรัพย์ เหล่านีใ้ ห ้เป็ นระเบียบ และมีการบารุงรักษาหรือไม่
วัตถุประสงค์: เพือ ้ น
่ บ่งชีส ิ ทรัพย์ A.8.1.2 มีการรักษาสินทรัพย์ตา่ ง ๆ ทัง้ หมดในคงคลังทีม
่ ก
ี าร
ขององค์กรและกาหนดความ มอบหมายเจ ้าของหรือไม่
รับผิดชอบในการป้ องกันที่
เหมาะสม A.8.1.3 มีการบ่งชี้ ทาเอกสารและดาเนินกฎระเบียบสาหรับการ
ใช ้งานข ้อมูลและสินทรัพย์เกีย
่ วกับข ้อมูลและสิง่ อานวยความ
สะดวกในการประมวลข ้อมูลทีย ่ อมรับได ้หรือไม่
A.8.1.4 พนักงานและผู ้ใช ้งานทีเ่ ป็ นบุคคลภายนอกทุกคนได ้

ส่งคืนสินทรัพย์ขององค์กรทัง้ หมดทีอ ่ ยูใ่ นการครอบครองเมือ
่
้ สุดการว่าจ ้าง สัญญาหรือข ้อตกลงแล ้วหรือไม่
สิน
A.8 การบริหารสินทรัพย์
A.8.2 การจัดประเภทข ้อมูล A.8.2.1 มีการแบ่งประเภทข ้อมูลในด ้านข ้อกาหนดทางกฎหมาย
ต่าง ๆ มูลค่า ภาวะวิกฤต และความละเอียดอ่อนต่อการเปิ ดเผย
วัตถุประสงค์: เพือ ่ ทาให ้มั่นใจว่า หรือการดัดแปลงแก ้ไขทีไ่ ม่ได ้รับอนุญาตหรือไม่
ข ้อมูลได ้รับการป้ องกันในระดับที่ A.8.2.2 มีการพัฒนาและดาเนินชุดกระบวนการทางานต่าง ๆ ที่
เหมาะสมตามความสาคัญของ เหมาะสมสาหรับการการติดป้ ายข ้อมูลตามรายการการแบ่ง
ข ้อมูลสาหรับองค์กร ประเภทข ้อมูลทีอ่ งค์กรปรับใช ้หรือไม่
A.8.2.3 มีการพัฒนาและดาเนินกระบวนการทางานสาหรับการ
จัดการสินทรัพย์ตามรายการการแบ่งประเภทข ้อมูลทีอ
่ งค์กรปรับ
ใช ้หรือไม่
A.8 การบริหารสินทรัพย์ A.8.3.1 มีการดาเนินกระบวนการทางานสาหรับการบริหารสือ ่ ที่
่
A.8.3 การจัดการสือ ถอดออกได ้ตามรายการการแบ่งประเภทข ้อมูลทีอ่ งค์กรปรับใช ้
วัตถุประสงค์:เพือ
่ ป้ องกันการ
เปิ ดเผย การดัดแปลงแก ้ไข การ ่ อย่างปลอดภัยในเวลาทีไ่ ม่ต ้องการแล ้วโดย
A.8.3.2 มีการทิง้ สือ
นาออกหรือการทาลายข ้อมูลที่ ใช ้กระบวนการท างานทีเ่ ป็ นทางการหรือไม่
่ โดยไม่ได ้รับ
จัดเก็บบนสือ
อนุญาต A.8.3.3 มีการปกป้ องสือ่ ทีบ
่ รรจุข ้อมูลจากการเข ้าถึงทีไ่ ม่ได ้รับ
้ผิ
อนุญาต การใช ดหรือการขัดจังหวะขณะโอนถ่ายข ้อมูล หรือไม่
A.9 การควบคุมการเข ้าถึง A.9.1.1 มีการจัดตัง้ ทาเอกสารและทบทวนนโยบายการควบคุม
A.9.1 ข ้อกาหนดทางธุรกิจ การเข ้าถึงโดยอิงตามข ้อกาหนดทางธุรกิจและการรักษาความ
สาหรับการควบคุมการเข ้าถึง ปลอดภัยของข ้อมูลหรือไม่
่ จากัดการ A.9.1.2 มีการให ้ผู ้ใช ้งานเท่านั น
้ ทีจ
่ ะเข ้าถึงเครือข่ายและบริการ

เข ้าถึงข ้อมูลและสิง่ อานวยความ ของเครือข่ายทีผ ่ ู ้ใช ้งานได ้รับอนุญาตเฉพาะในการใช ้งาน
สะดวกในการประมวลข ้อมูล หรือไม่
A.9 การควบคุมการเข ้าถึง A.9.2.1 มีการดาเนินขัน ้ ตอนการลงทะเบียนหรือถอนทะเบียน
A.9.2 การบริหารการเข ้าถึง ผู ้ใช ้งานเพือ
่ ทาให ้สามารถมอบหมายสิทธิการเข ้าถึงหรือไม่
สาหรับผู ้ใช ้งาน
A.9.2.2 มีการดาเนินขัน ้ ตอนการให ้การเข ้าถึงสาหรับผู ้ใช ้งาน
วัตถุประสงค์: เพือ ่ ทาให ้มั่นใจใน อย่างเป็ นทางการในการมอบหมายหรือถอนสิทธิการเข ้าถึง
การเข ้าถึงของผู ้ใช ้ทีไ่ ด ้รับ สาหรับผู ้ใช ้งานทุกประเภทสาหรับระบบและบริการต่าง ๆ
อนุญาตและเพือ ่ ป้ องกันการ ทัง้ หมดหรือไม่
เข ้าถึงระบบและบริการทีไ่ ม่ได ้รับ
อนุญาต A.9.2.3 มีการจากัดและควบคุมการจัดสรรและการใช ้สิทธิการ
เข ้าถึงทีม
่ ส ิ ธิพเิ ศษหรือไม่
ี ท
A.9.2.4 มีการควบคุมการจัดสรรข ้อมูลการพิสจู น์ตวั ตนทีเ่ ป็ น

ความลับผ่านขัน
้ ตอนการบริหารทีเ่ ป็ นทางการหรือไม่
A.9.2.5 เจ ้าของสินทรัพย์ตา่ ง ๆ ได ้ทบทวนสิทธิการเข ้าถึงของ

ผู ้ใช ้งานต่าง ๆ ในช่วงเวลาปกติหรือไม่
A.9.2.6 มีการถอนสิทธิการเข ้าถึงของพนักงานทุกคนและ

ผู ้ใช ้งานทีเ่ ป็ นบุคคลภายนอกสาหรับข ้อมูลและสิง่ อานวยความ
สะดวกในการประมวลข ้อมูลออกเมือ ่ สิน ้ สุดการว่าจ ้าง สัญญา
หรือข ้อตกลงหรือปรับแก ้ตามการเปลีย ่ นแปลงหรือไม่
A.9 การควบคุมการเข ้าถึง A.9.3.1 ผู ้ใช ้งานต่าง ๆ จะต ้องปฏิบต ั ติ ามแนวทางปฏิบต ั ข
ิ อง
A.9.3 ความรับผิดชอบของ องค์กรในการใช ้งานข ้อมูลการพิสจ ู น์ตัวตนทีเ่ ป็ นความลับหรือไม่
ผู ้ใช ้งาน
วัตถุประสงค์: เพือ่ ทาให ้ผู ้ใช ้งาน

มีความรับผิดชอบในการป้ องกัน
ข ้อมูลด ้านการพิสจ ู น์ตวั ตน
A.9 การควบคุมการเข ้าถึง A.9.4.1 มีการจากัดการเข ้าถึงข ้อมูลและหน ้าทีง่ านของระบบ
A.9.4 การควบคุมการเข ้าถึง แอพพลิเคชัน่ ตามนโยบายการควบคุมการเข ้าถึงหรือไม่
ระบบและแอพพลิเคชัน ่
A.9.4.2 หากนโยบายการควบคุมการเข ้าถึงมีการกาหนด ได ้มี
่ ป้ องกันการ การควบคุมการเข ้าถึงระบบและแอพพลิเคชัน ่ ด ้วยกระบวนการ
เข ้าถึงระบบและแอพพลิเคชัน ่ ที่ ทางานในการเข ้าสูร่ ะบบทีป
่ ลอดภัยหรือไม่
ไม่ได ้รับอนุญาต
ั พันธ์และทาให ้มั่นใจ
A.9.4.3 ระบบการบริหารรหัสผ่านมีปฏิสม

ในรหัสผ่านทีม
่ ค
ี ณ
ุ ภาพหรือไม่
A.9.4.4 การจากัดและควบคุมการใช ้งานโปรแกรม

อรรถประโยชน์ตา่ ง ๆ ทีอ
่ าจสามารถทาให ้ผ่านข ้ามการควบคุม
ของระบบและแอพพลิเคชัน ่ มีหรือไม่
A.9.4.5. มีการจากัดการเข ้าถึงรหัสต ้นทางของโปรแกรมหรือไม่

A.10 การเข ้ารหัส A.10.1.1 มีการพัฒนาและดาเนินนโยบายการใช ้การควบคุมด ้วย
A.10.1 การควบคุมด ้วยการ การเข ้ารหัสเพือ
่ ปกป้ องข ้อมูลหรือไม่
เข ้ารหัส
A.10.1.2 มีการพัฒนานโยบายการใช ้งาน การป้ องกันและอายุ
่ ทาให ้มั่นใจใน การใช ้งานของคียก ์ ารเข ้ารหัส และมีการดาเนินการผ่านวงจร
การใช ้งานการเข ้ารหัสที่ อายุทงั ้ หมดหรือไม่
เหมาะสมและมีประสิทธิภาพเพือ ่
ป้ องกันการรักษาข ้อมูลความลับ
ความถูกต ้องและ/หรือบูรณภาพ
ของข ้อมูล
A.11 การรักษาความปลอดภัย A.11.1.1 มีการกาหนดและใช ้แนวขอบการรักษาความปลอดภัย
ทางกายภาพและสิง่ แวดล ้อม เพือ
่ ป้ องกันพืน
้ ทีต
่ า่ ง ๆ ทีบ
่ รรจุข ้อมูลทีอ
่ อ
่ นไหวง่ายหรือสาคัญ
A.11.1 พืน้ ทีป
่ ลอดภัย รวมถึงสิง่ อานวยความสะดวกในการประมวลข ้อมูลหรือไม่
่ ป้ องกันการ A.11.1.2 มีการป้ องกันพืน ้ ทีป
่ ลอดภัยด ้วยการควบคุมการเข ้า
เข ้าถึงทางกายภาพทีไ่ ม่ได ้รับ อย่างเหมาะสมเพือ ่ ทาให ้มั่นใจว่ามีเพียงบุคลากรทีไ่ ด ้รับอนุญาต
อนุญาต ความเสียหายและการ ทีจ
่ ะเข ้าถึงได ้เท่านัน
้ หรือไม่
เข ้าแทรกแซงข ้อมูลขององค์กร
และสิง่ อานวยความสะดวกในการ A.11.1.3 มีการออกแบบการรักษาความปลอดภัยทางกายภาพ
ประมวลข ้อมูล สาหรับสานั กงาน ห ้องและสิง่ อานวยความสะดวกต่าง ๆ และมี
การประยุกต์ใช ้ด ้วยหรือไม่
A.11.1.4 มีการออกแบบการป้ องกันทางกายภาพสาหรับภัย

พิบต
ั ท
ิ างธรรมชาติ การจูโ่ จมทีป
่ ระสงค์ร ้ายหรืออุบัตเิ หตุตา่ ง ๆ
และมีการประยุกต์ใช ้ด ้วยหรือไม่
A.11.1.5 มีการออกแบบกระบวนการทางานสาหรับการทางาน
ในพืน ่ ลอดภัย และมีการประยุกต์ใช ้ด ้วยหรือไม่
้ ทีป
A.11.1.6 มีการควบคุมจุดเข ้าถึงต่าง ๆ อาทิเช่น พืน ่ ง่ มอบ

้ ทีส
และการโหลดรวมถึงจุดอืน ่ ๆ ทีบ่ ค
ุ คลทีไ่ ม่ได ้รับอนุญาตสามารถ

เข ้าในสถานทีต ่ า่ งๆ และหากเป็ นไปได ้ ให ้แยกต่างหากจากสิง่
อานวยความสะดวกในการประมวลข ้อมูลเพือ ่ หลีกเลีย
่ งการ
เข ้าถึงทีไ่ ม่ได ้รับอนุญาตหรือไม่
A.11 การรักษาความปลอดภัย A.11.2.1 มีการจัดตัง้ และปกป้ องอุปกรณ์เพือ ่ ลดความเสีย่ งต่าง
ทางกายภาพและสิง่ แวดล ้อม ๆ จากการคุกคามและอันตรายทางสิง่ แวดล ้อมรวมถึงโอกาสใน
A.11.2 อุปกรณ์ การเข ้าถึงทีไ่ ม่ได ้รับอนุญาตหรือไม่
่ ป้ องกันการ A.11.2.2 มีการป้ องกันอุปกรณ์จากไฟฟ้ าดับและการหยุดชะงัก
สูญเสีย ความเสียหาย การขโมย อืน
่ ๆ ทีเ่ กิดจากความล ้มเหลวของสาธารณู ปโภคสนั บสนุน
หรือการทาให ้สินทรัพย์อยูใ่ น หรือไม่
อันตรายและการขัดจังหวะการ
ดาเนินงานขององค์กร A.11.2.3 มีการป้ องกันไฟฟ้ าและโทรคมนาคมต่าง ๆ ทีเ่ ดินสาย
เคเบิล
้ ในการลาเลียงข ้อมูลหรือสนั บสนุนการให ้บริการข ้อมูลจาก
การสกัดกัน้ การแทรกแซงหรือความเสียหายหรือไม่
A.11.2.4 มีการบารุงรักษาอุปกรณ์อย่างถูกต ้องเพือ

่ ทาให ้มั่นใจ
ในการมีพร ้อมใช ้อย่างต่อเนือ
่ งและบูรณภาพหรือไม่
A.11.2.5 ไม่มก
ี ารนาอุปกรณ์ ข ้อมูลหรือซอฟต์แวร์ออกนอก
สถานประกอบการโดยไม่ได ้รับการอนุญาตก่อนหรือไม่
A.11.2.6 มีการประยุกต์ใช ้การรักษาความปลอดภัยกับสินทรัพย์

นอกสถานประกอบการโดยคานึงถึงความเสีย ่ งทีแ
่ ตกต่างของ
การทางานนอกสถานทีข ่ ององค์กรหรือไม่
A.11.2.7 มีการตรวจสอบอุปกรณ์ทก ุ รายการทีบ ื่ จัดเก็บ

่ รรจุสอ
เพือ ่ ทาให ้มั่นใจว่ามีการนาข ้อมูลทีอ
่ อ่ นไหวง่ายและซอฟต์แวร์ท ี่
มีใบอนุญาตออกหรือทาการเขียนทับอย่างปลอดภัยก่อนทาการ
ทิง้ หรือใช ้ซ้าหรือไม่
A.11.2.8 ผู ้ใช ้ต่าง ๆ ทาให ้มั่นใจว่าอุปกรณ์ทไี่ ม่ได ้ใส่ข ้อมูลมี

การป้ องกันอย่างเหมาะสมหรือไม่
A.11.2.9 มีการใช ้นโยบายจัดเก็บเอกสารสาหรับเอกสารทีเ่ ป็ น

กระดาษและสือ ่ จัดเก็บทีถ
่ อดออกได ้รวมถึงนโยบายการใช ้งาน
คอมพิวเตอร์สาหรับสิง่ อานวยความสะดวกในการประมวลข ้อมูล
A.12 การรักษาความปลอดภัย A.12.1.1 มีการทาเอกสารกระบวนการทางานในการดาเนินงาน

ด ้านการดาเนินงาน และทาให ้มีพร ้อมใช ้สาหรับผู ้ใช ้งานทุกคนทีต
่ ้องการหรือไม่
A.12.1 กระบวนการทางานด ้าน
การดาเนินงานและความ A.12.1.2 มีการควบคุมการเปลีย ่ นแปลงสาหรับองค์กร ขัน
้ ตอน
รับผิดชอบต่างๆ ทางธุรกิจ สิง่ อานวยความสะดวกในการประมวลข ้อมูลและระบบ
่ ง่ ผลกระทบต่อขัน
ทีส ้ ตอนการรักษาความปลอดภัยของข ้อมูล
่ ทาให ้มั่นใจใน หรือไม่
การดาเนินงานทีถ ่ ูกต ้องและ
ปลอดภัยของสิง่ อานวยความ A.12.1.3 มีการสังเกตการณ์ ปรับแต่งการใช ้ทรัพยากรหรือไม่
สะดวกในการประมวลข ้อมูล และทาการวางแผนจากข ้อกาหนดด ้านสมรรถนะในอนาคตเพือ ่
ทาให ้มั่นใจในประสิทธิภาพการทางานของระบบทีต ่ ้องการ
A.12.1.4 มีการแยกการพัฒนา การทดสอบและสภาพแวดล ้อม

ในการดาเนินงานออกต่างหากเพือ ่ งจากการเข ้าถึง
่ ลดความเสีย
หรือการเปลีย ่ นแปลงทีไ่ ม่ได ้รับอนุญาตสาหรับสภาพแวดล ้อมใน
การดาเนินงานหรือไม่
A.12 การรักษาความปลอดภัย A.12.2.1 มีการดาเนินการควบคุมด ้านการตรวจพบ การป้ องกัน
ด ้านการดาเนินงาน และการฟื้ นฟูเพือ ่ ป้ องกันมัลแวร์ และรวมกับการตระหนั กถึงของ
A.12.2 การป้ องกันมัลแวร์ ผู ้ใช ้งานทีเ่ หมาะสมหรือไม่
(malware)
่ ทาให ้มั่นใจว่า
มีการปกป้ องข ้อมูลและสิง่ อานวย
ความสะดวกในการประมวลข ้อมูล
จากมัลแวร์
A.12 การรักษาความปลอดภัย A.12.3.1 มีการทาสาเนาการสารองภาพข ้อมูล ซอฟต์แวร์และ
ด ้านการดาเนินงาน ระบบ รวมถึงทาการทดสอบเป็ นประจาตามนโยบายการสารองที่
A.12.3 การสารองข ้อมูล ตกลงกันไว ้หรือไม่
วัตถุประสงค์:เพือ
่ ป้ องกันการ
สูญเสียข ้อมูล
A.12 การรักษาความปลอดภัย A.12.4.1 มีการสร ้าง เก็บและทบทวนสมุดบันทึกเหตุการณ์ท ี่
ด ้านการดาเนินงาน บันทึกกิจกรรมของผู ้ใช ้งาน ข ้อยกเว ้น ความผิดพลาดและ
A.12.4 การเข ้าออกระบบและ เหตุการณ์ด ้านการรักษาความปลอดภัยของข ้อมูลเป็ นประจา
การสังเกตการณ์ หรือไม่
่ บันทึก A.12.4.2 มีการป้ องกันสิง่ อานวยความสะดวกในการเข ้าออก
เหตุการณ์ตา่ งๆ และสร ้าง ระบบและข ้อมูลการเข ้าออกระบบจากการปลอมแปลงและการ

หลักฐาน เข ้าถึงทีไ่ ม่ได ้รับอนุญาตหรือไม่
A.12.4.3 มีการป้ องกันและทบทวนผู ้ดูแลระบบและผู ้ปฏิบตั ก

ิ าร
ระบบทีต ่ ้องเข ้าออกระบบและการเข ้าออกระบบเป็ นประจา
ิ
A.12.4.4 นาฬกาต่ าง ๆ ของระบบการประมวลข ้อมูลทีเ่ กีย
่ วข ้อง
ทัง้ หมดภายในองค์กรหรือโดเมนการรักษาความปลอดภัยถูกตัง้
เวลาให ้ตรงกับแหล่งเวลาอ ้างอิงทีเ่ ดียวหรือไม่
A.12 การรักษาความปลอดภัย
ด ้านการดาเนินงาน A.12.5.1 มีการดาเนินกระบวนการทางานเพือ
่ ควบคุมการติดตัง้
A.12.5 การควบคุมซอฟต์แวร์ ซอฟต์แวร์บนระบบปฏิบัตก ิ ารหรือไม่
ปฏิบตั ก
ิ าร
่ ทาให ้มั่นใจใน
บูรณภาพของระบบปฏิบต ั กิ าร
A.12 การรักษาความปลอดภัย A.12.6.1 มีการได ้รับข ้อมูลเกีย ่ วกับช่องโหว่ทางเทคนิคของ
ด ้านการดาเนินงาน ระบบข ้อมูลทีใ่ ช ้ในลักษณะทีท่ ันเวลาหรือไม่ มีการประเมินการ
A.12.6 การบริหารช่องโหว่ทาง เปิ ดขององค์กรต่อโหว่ตา่ ง ๆ ดังกล่าว และมีการใช ้มาตรการที่
เทคนิค เหมาะสมเพือ่ หาความเสีย ่ งทีเ่ กีย
่ ป้ องกันการใช ้
วัตถุประสงค์: เพือ A.12.6.2 มีการกาหนดและดาเนินกฎระเบียบทีก
่ ากับดูแลการ
ช่องโหว่ทางเทคนิค ติดตัง้ ซอฟต์แวร์โดยผู ้ใช ้งานหรือไม่
A.12 การรักษาความปลอดภัย
ด ้านการดาเนินงาน A.12.7.1 ข ้อกาหนดและกิจกรรมในการตรวจติดตามมีความ
A.12.7 การพิจารณาการตรวจ เกีย
่ วข ้องกับการตรวจสอบระบบปฏิบัตก ิ ารทีว่ างแผนและตกลง
ติดตามระบบข ้อมูล กันอย่างระมัดระวังเพือ
่ ลดการขัดจังหวะขัน
้ ตอนทางธุรกิจหรือไม่
่ ลดผลกระทบ
ของกิจกรรมการตรวจติดตาม
สาหรับระบบปฏิบต ั ก
ิ าร
A.13 การรักษาความปลอดภัย A.13.1.1 มีการบริหารและควบคุมเครือข่ายต่าง ๆ เพือ
่ ป้ องกัน
่ สาร
ด ้านการสือ ่ หรือไม่
ข ้อมูลในระบบและแอพพลิเคชัน
A.13.1 การบริหารการรักษา
ความปลอดภัยของเครือข่าย A.13.1.2 มีการบ่งชีก้ ลไกการรักษาความปลอดภัย ระดับการ
ให ้บริการและข ้อกาหนดด ้านการบริหารของการให ้บริการ
วัตถุประสงค์: เพือ่ ทาให ้มั่นใจใน เครือข่ายทัง้ หมด และรวมอยูใ่ นข ้อตกลงการให ้บริการว่าจะมีการ
การป้ องกันข ้อมูลในเครือข่าย ให ้บริการต่าง ๆ เหล่านีภ
้ ายในบริษัทหรือโดยผู ้รับเหมาหรือไม่

ต่างๆ และสิง่ อานวยความสะดวก
ในการประมวลข ้อมูลสนับสนุน A.13.1.3 มีการแยกกลุม ่ การให ้บริการข ้อมูล ผู ้ใช ้งานและระบบ
ข ้อมูลบนเครือข่ายต่าง ๆ หรือไม่
A.13 การรักษาความปลอดภัย A.13.2.1 มีนโยบายการโอนถ่ายอย่างเป็ นทางการ กระบวนการ
่ สาร
ด ้านการสือ ทางานและการควบคุมต่าง ๆ เพือ ่ ป้ องกันการโอนถ่ายข ้อมูลผ่าน
A.13.2 การโอนถ่ายข ้อมูล การใช ้สิง่ อานวยความสะดวกด ้านการสือ ่ สารทุกประเภทหรือไม่
่ รักษาการ A.13.2.2 มีข ้อตกลงต่าง ๆ เพือ
่ กล่าวถึงการโอนถ่ายทีป
่ ลอดภัย
รักษาความปลอดภัยของข ้อมูลที่ สาหรับข ้อมูลทางธุรกิจระหว่างองค์กรกับบุคคลภายนอกหรือไม่
โอนถ่ายภายในองค์กรและกับ
องค์กรภายนอก A.13.2.3 มีการป้ องกันข ้อมูลทีเ่ กีย
่ วข ้องในการส่งข ้อความทาง
อิเล็คทรอนิกส์อย่างเหมาะสมหรือไม่
A.13.2.4 มีการบ่งชี้ ทบทวนเป็ นประจาเกีย ่ วกับข ้อกาหนดต่างๆ

สาหรับข ้อตกลงในการรักษาข ้อมูลความลับหรือการไม่เปิ ดเผยที่
สะท ้อนให ้เห็นความต ้องการขององค์กรในการป้ องกันข ้อมูล
รวมทัง้ ทาเป็ นเอกสารหรือไม่
A.14 การครอบครอง การพัฒนา A.14.1.1 ข ้อกาหนดเกีย ่ วกับการรักษาความปลอดภัยของข ้อมูล
และการบารุงรักษาระบบ ได ้รวมอยูใ่ นข ้อกาหนดต่างๆ สาหรับระบบข ้อมูลใหม่หรือการ
A.14.1 ข ้อกาหนดด ้านการรักษา ยกระดับข ้อมูลทีม ่ อ
ี ยูห
่ รือไม่ สาหรับระบบหรือไม่
ความปลอดภัยของระบบข ้อมูล
A.14.1.2 มีการป้ องกันข ้อมูลทีเ่ กีย
่ วข ้องในการให ้บริการ
วัตถุประสงค์: เพือ ่ ทาให ้มั่นใจว่า แอพพลิเคชัน่ ทีส
่ ง่ ผ่านเครือข่ายสาธารณะจากกิจกรรมที่
การรักษาความปลอดภัยของ หลอกลวง ข ้อพิพาททางสัญญา รวมถึงการเปิ ดเผยและการ
ข ้อมูลเป็ นส่วนสาคัญของระบบ ดัดแปลงแก ้ไขทีไ่ ม่ได ้รับอนุญาต หรือไม่
ข ้อมูลตลอดทัง้ วงจรชีวต ิ รวมถึง
ข ้อกาหนดต่างๆ สาหรับระบบ A.14.1.3 มีการป้ องกันข ้อมูลทีเ่ กีย่ วข ้องในธุรกรรมการให ้บริการ
ข ้อมูลทีใ่ ห ้บริการทัว่ เครือข่าย แอพพลิเคชัน ่ เพือ
่ ป้ องกันการโอนทีไ่ ม่สมบูรณ์ การส่งผิด
สาธารณะ เส ้นทาง การเปลีย ่ นข ้อความทีไ่ ม่ได ้รับอนุญาต การเปิ ดเผยที่
ไม่ได ้รับอนุญาต การทาซ้าหรือการเล่นซ้าข ้อความทีไ่ ม่ได ้รับ
อนุญาตหรือไม่
A.14 การครอบครอง การพัฒนา A.14.2.1 มีการจัดตัง้ กฎระเบียบสาหรับการพัฒนาซอฟต์แวร์
และการบารุงรักษาระบบ และระบบและมีการประยุกต์ใช ้กฎระเบียบต่างๆ เพือ ่ การพัฒนา
A.14.2 การรักษาความปลอดภัย ภายในองค์กรหรือไม่
ในขัน
้ ตอนการพัฒนาและ
สนับสนุน A.14.2.2 มีการควบคุมการเปลีย ่ นแปลงต่าง ๆ สาหรับระบบ
ภายในวงจรชีวติ ในการพัฒนาด ้วยการใช ้กระบวนการทางานใน
่ ทาให ้มั่นใจว่า การควบคุมการเปลีย่ นแปลงทีเ่ ป็ นทางการหรือไม่

มีการออกแบบและดาเนินการ
รักษาความปลอดภัยของข ้อมูล A.14.2.3 เมือ่ แพลตฟอร์มปฏิบัตก ิ ารมีการเปลีย
่ นแปลง ได ้มีการ
ภายในวงจรชีวต
ิ ในการพัฒนา ทบทวนแอพพลิเคชัน ่ ทีส
่ าคัญทางธุรกิจและทาการทดสอบเพือ ่
ระบบข ้อมูล ทาให ้มั่นใจว่าไม่มผ
ี ลกระทบย ้อนกลับต่อการดาเนินงานของ
องค์กรหรือการรักษาความปลอดภัยหรือไม่
A.14.2.4 มีการกีดกันการดัดแปลงแก ้ไขต่าง ๆ สาหรับชุด

ซอฟต์แวร์ มีการจากัดการเปลีย
่ นแปลงทีจ
่ าเป็ นและมีการ
ควบคุมการเปลีย่ นแปลงต่างๆ ทัง้ หมดอย่างเข ้มงวดหรือไม่
A.14.2.5 มีการจัดตัง้ ทาเอกสาร รักษาและประยุกต์ใช ้หลักการ

ต่างๆ เกีย
่ วกับระบบความปลอดภัยด ้านวิศวกรรมสาหรับความ
พยายามในการดาเนินระบบข ้อมูลหรือไม่
A.14.2.6 องค์กรจัดตัง้ และปกป้ องสภาพแวดล ้อมในการพัฒนา

ทีป่ ลอดภัยอย่างเหมาะสมสาหรับความพยายามในการพัฒนา
และบูรณาการระบบหรือไม่ สภาพแวดล ้อมในการพัฒนาที่
ปลอดภัยเหล่านี้ได ้ครอบคลุมวงจรชีวติ ในการพัฒนาระบบ
ทัง้ หมดหรือไม่
A.14.2.7 องค์กรได ้ชีแ ้ นะและสังเกตการณ์กจิ กรรมการพัฒนา

ระบบทีใ่ ช ้ผู ้รับเหมาหรือไม่
A.14.2.8 มีการดาเนินการทดสอบการทางานด ้านการรักษา

ความปลอดภัยระหว่างการพัฒนาหรือไม่
A.14.2.9 มีการจัดตัง้ โปรแกรมการทดสอบการยอมรับและ

เกณฑ์ทเี่ กีย
่ วข ้องสาหรับระบบข ้อมูลใหม่ การอัพเกรดและเวอร์
่ ใหม่หรือไม่
ชัน
A.14 การครอบครอง การพัฒนา A.14.3.1 มีการคัดเลือกข ้อมูลการทดสอบอย่างระมัดระวัง
และการบารุงรักษาระบบ รวมถึงป้ องกันและควบคุมหรือไม่
A.14.3 ข ้อมูลการทดสอบ
วัตถุประสงค์: เพือ่ ทาให ้มั่นใจใน

การป้ องกันข ้อมูลทีใ่ ช ้เพือ
่ การ
ทดสอบ
A.15 ความสัมพันธ์กับซัพพลาย A.15.1.1 มีการตกลงข ้อกาหนดด ้านการรักษาความปลอดภัย
เออร์ ของข ้อมูลสาหรับการบรรเทาความเสีย่ งต่าง ๆ ทีเ่ กีย
่ วข ้องกับ

A.15.1 การรักษาความปลอดภัย การเข ้าถึงสินทรัพย์ขององค์กรของแต่ละซัพพลายเออร์กบ
ั ซัพ
ของข ้อมูลในความสัมพันธ์กบ ั ซัพ พลายเออร์ และทาเป็ นเอกสารหรือไม่
พลายเออร์
่ ทาให ้มั่นใจใน A.15.1.2 มีการจัดตัง้ และตกลงข ้อกาหนดด ้านการรักษาความ
การป้ องกันสินทรัพย์ขององค์กร ปลอดภัยของข ้อมูลทีเ่ กีย
่ วข ้องทัง้ หมดกับแต่ละซัพพลายเออร์ท ี่
ทีซ
่ พั พลายเออร์สามารถเข ้าถึง อาจเข ้าถึง ประมวลผล จัดเก็บ สือ ่ สารหรือให ้ส่วนประกอบ
ได ้ โครงสร ้างพืน
้ ฐานด ้าน IT สาหรับข ้อมูลขององค์กรหรือไม่
A.15.1.3 ข ้อตกลงกับซัพพลายเออร์ตา่ ง ๆ ได ้รวมข ้อกาหนดใน

การหาความเสีย ่ งด ้านการรักษาความปลอดภัยของข ้อมูลที่
เกีย ่ สาร
่ วข ้องกับข ้อมูลและการให ้บริการด ้านเทคโนโลยีการสือ
รวมถึงห่วงโซ่อป ุ ทานสินค ้าหรือไม่
A.15 ความสัมพันธ์กับซัพพลาย A.15.2.1 องค์กรมีการสังเกตการณ์ ทบทวนและตรวจติดตาม
เออร์ การส่งมอบบริการของซัพพลายเออร์เป็ นประจาหรือไม่
A.15.2 การบริหารการส่งมอบ
บริการของซัพพลายเออร์ A.15.2.2 มีการบริหารการเปลีย ่ นแปลงต่างๆ สาหรับการ
ให ้บริการโดยซัพพลายเออร์ซงึ่ รวมถึงการบารุงรักษาและการ
่ รักษาการ ปรับปรุงนโยบายการรักษาความปลอดภัยของข ้อมูลทีม ่ อ
ี ยู่
รักษาความปลอดภัยของข ้อมูล กระบวนการทางานและการควบคุมต่าง ๆ โดยคานึงถึงภาวะ
ในระดับทีต
่ กลงกันและการส่ง วิกฤตของข ้อมูลทางธุรกิจ ระบบและขัน ้ ตอนต่าง ๆ ทีเ่ กีย่ วข ้อง
มอบบริการตามข ้อตกลงของซัพ และการประเมินความเสีย ่ งต่าง ๆ ซ้าหรือไม่
พลายเออร์
A.16 การบริหารอุบัตก ิ ารณ์ด ้าน A.16.1.1 มีการกาหนดความรับผิดชอบของฝ่ ายบริหารและ
การรักษาความปลอดภัยของ กระบวนการทางานเพือ ่ ทาให ้มั่นใจในการตอบสนองทีร่ วดเร็ว มี
ข ้อมูล ประสิทธิภาพและเป็ นระเบียบต่ออุบต ั ก
ิ ารณ์ด ้านการรักษาความ
A.16.1 การบริหารอุบต ั ก
ิ ารณ์ ปลอดภัยของข ้อมูลหรือไม่
และการปรับปรุงด ้านการรักษา
ความปลอดภัยของข ้อมูล A.16.1.2 มีการรายงานเหตุการณ์ด ้านการรักษาความปลอดภัย
ของข ้อมูลผ่านช่องทางการบริการทีเ่ หมาะสมโดยเร็วทีส
่ ด
ุ เท่าที่
วัตถุประสงค์: เพือ ่ ทาให ้มั่นใจใน จะเป็ นไปได ้หรือไม่
วิธกี ารทีส่ อดคล ้องและมี
ประสิทธิภาพสาหรับการบริหาร A.16.1.3 มีการกาหนดให ้พนักงานและผู ้รับเหมาทีใ่ ช ้ระบบ
อุบต ั ก
ิ ารณ์ด ้านการรักษาความ ข ้อมูลขององค์กรและบริการจะต ้องจดบันทึกและรายงานจุดอ่อน
ปลอดภัยของข ้อมูลรวมถึงการ ด ้านการรักษาความปลอดภัยของข ้อมูลทีส่ งั เกตเห็นหรือทีส่ งสัย
่ สารด ้านเหตุการณ์การรักษา
สือ ในระบบหรือการให ้บริการต่างๆ หรือไม่
ความปลอดภัยและจุดอ่อนต่างๆ
A.16.1.4 มีการประเมินเหตุการณ์ด ้านการรักษาความปลอดภัย
ของข ้อมูลและมีการตัดสินว่าเหตุการณ์ตา่ ง ๆ ต ้องแยกประเภท

เป็ นอุบัตก
ิ ารณ์ด ้านการรักษาความปลอดภัยของข ้อมูลหรือไม่
A.16.1.5 มีการตอบสนองอุบต
ั ก
ิ ารณ์ด ้านการรักษาความ
ปลอดภัยของข ้อมูลตามกระบวนการทางานทีเ่ ป็ นเอกสารหรือไม่
A.16.1.6 มีการใช ้ความรู ้ทีไ่ ด ้รับจากการวิเคราะห์และการแก ้ไข

อุบตั ก
ิ ารณ์ด ้านการรักษาความปลอดภัยของข ้อมูลเพือ ่ ลดความ
เป็ นไปได ้หรือผลกระทบของอุบต ั ก
ิ ารณ์ในอนาคตหรือไม่
A.16.1.7 องค์กรได ้กาหนดและประยุกต์ใช ้กระบวนการทางาน
ในการบ่งชี้ การจัดเก็บ การครอบครอง และการข ้อมูลทีส ่ ามารถ
ใช ้เป็ นหลักฐานหรือไม่
A.17 ด ้านต่าง ๆ เกีย
่ วกับการ A.17.1.1 องค์กรได ้ตัดสินข ้อกาหนดต่างๆ สาหรับการรักษา
รักษาความปลอดภัยของข ้อมูล ความปลอดภัยของข ้อมูลและการบริการต่อเนือ ่ งด ้านการรักษา
สาหรับการบริหารความต่อเนือ ่ ง ความปลอดภัยของข ้อมูลในสถานการณ์ย ้อนกลับ ตัวอย่างเช่น
ทางธุรกิจ ระหว่างวิกฤตหรือภัยพิบต ั ิ หรือไม่
A.17.1 ความต่อเนือ ่ งด ้านการ
รักษาความปลอดภัยของข ้อมูล A.17.1.2 องค์กรได ้จัดตัง้ ทาเอกสารและดาเนินการ รวมถึง
รักษาขัน ้ ตอน กระบวนการทางานและการควบคุมต่าง ๆ เพือ ่ ทา
่ ให ้ความ ให ้มั่นใจในระดับทีจ
่ าเป็ นสาหรับการต่อเนือ
่ งด ้านการรักษาความ
ต่อเนือ
่ งด ้านการรักษาความ ปลอดภัยของข ้อมูลระหว่างสถานการณ์ย ้อนกลับหรือไม่
ปลอดภัยของข ้อมูลฝั งตัวอยูใ่ น
ระบบบริหารความต่อเนื่องทาง A.17.1.3 องค์กรได ้ตรวจสอบการควบคุมการต่อเนือ ่ งด ้านการ
ธุรกิจขององค์กร รักษาความปลอดภัยของข ้อมูลทีจ ่ ัดตัง้ และดาเนินการใน
ช่วงเวลาตามแผนเพือ ่ ทาให ้มั่นใจว่าการควบคุมมีผลใช ้ได ้และมี
ประสิทธิภาพระหว่างสถานการณ์ย ้อนกลับหรือไม่
A.17 ด ้านต่าง ๆ เกีย
่ วกับการ A.17.2.1 มีการดาเนินการสิง่ อานวยความสะดวกในการประมวล
รักษาความปลอดภัยของข ้อมูล ข ้อมูลทีม ี วามซ้าซ ้อนเพียงพอทีจ
่ ค ่ ะบรรลุข ้อกาหนดในการมี
สาหรับการบริหารความต่อเนือ ่ ง พร ้อมใช ้หรือไม่?
ทางธุรกิจ
A.17.2 ความซ้าซ ้อน
่ ทาให ้มั่นใจใน
การมีสงิ่ อานวยความสะดวกใน
การประมวลข ้อมูลพร ้อมใช ้
A.18 ความสอดคล ้อง A.18.1.1 มีการบ่งชี้ ทาเอกสาร ข ้อกาหนดทางกฎหมาย
A.18.1 ความสอดคล ้องกับ พระราชบัญญัต ิ กฎระเบียบและตามสัญญาทัง้ หมดรวมถึงวิธก ี าร
ข ้อกาหนดทางกฎหมายและตาม ขององค์กรในการบรรลุข ้อกาหนดต่าง ๆ เหล่านีอ
้ ย่างชัดเจน
สัญญา และคอยอัพเดตแต่ละระบบข ้อมูลและองค์กรหรือไม่

วัตถุประสงค์: เพือ่ หลีกเลีย
่ งการ A.18.1.2 มีการดาเนินกระบวนการทางานทีเ่ หมาะสมเพือ ่ ทาให ้
ละเมิดข ้อบังคับตามกฎหมาย มั่นใจในความสอดคล ้องกับข ้อกาหนดทางกฎหมาย กฎระเบียบ
พระราชบัญญัต ิ กฎระเบียบ หรือ และตามสัญญาทีเ่ กีย
่ วกับสิทธิทรัพย์สน ิ ทางปั ญญาและการใช ้
ตามสัญญาทีเ่ กีย่ วกับข ้อ ผลิตภัณฑ์ซอฟต์แวร์ทม ี่ ก
ี รรมสิทธิห
์ รือไม่
กาหนดการรักษาความปลอดภัย
ของข ้อมูลและข ้อกาหนดด ้าน A.18.1.3 มีการป้ องกันบันทึกต่าง ๆ จากการสูญเสีย การทาลาย
การรักษาความปลอดภัยอืน ่ ๆ การปลอมแปลง การเข ้าถึงทีไ่ ม่ได ้รับอนุญาตและการปล่อยที่
ไม่ได ้รับอนุญาตตามข ้อกาหนดทางกฎหมาย กฎระเบียบ สัญญา
และทางธุรกิจ หรือไม่
A.18.1.4 มีการทาให ้มั่นใจในความเป็ นส่วนตัวและการปกป้ อง

ข ้อมูลทีส
่ ามารถบ่งชีต้ วั บุคคลตามทีก
่ าหนดในกฎหมายและ
กฎระเบียบเมือ ่ บังคับใช ้หรือไม่
A.18.1.5 มีการใช ้การควบคุมการเข ้ารหัสโดยสอดคล ้องกับ

ข ้อตกลง กฎหมายและกฎระเบียบทีเ่ กีย ่ วข ้องทัง้ หมดหรือไม่
A.18 ความสอดคล ้อง A.18.2.1 มีการทบทวนวิธก ี ารขององค์กรในการบริหารการรักษา
A.18.2 การทบทวนด ้านการ ความปลอดภัยของข ้อมูลและการดาเนินงาน (ตัวอย่างเช่น
รักษาความปลอดภัยของข ้อมูล วัตถุประสงค์ในการควบคุม การควบคุม นโยบาย ขัน ้ ตอนและ
กระบวนการทางานต่าง ๆ สาหรับการรักษาความปลอดภัยของ
่ ทาให ้มั่นใจว่า ข ้อมูล) อย่างเป็ นอิสระในช่วงเวลาตามแผนหรือเมือ ่ มีการ
มีการปฏิบัตแ
ิ ละดาเนินการรักษา เปลีย่ นแปลงทีม ่ น
ี ัยสาคัญเกิดขึน
้ หรือไม่
ความปลอดภัยของข ้อมูลตาม
นโยบายและกระบวนการทางาน A.18.2.2 ผู ้จัดการต่าง ๆ ได ้ทบทวนความสอดคล ้องของการ
ขององค์กร ประมวลข ้อมูลและกระบวนการทางานภายในพืน ้ ทีร่ ับผิดชอบ
ของตนเองด ้วยนโยบายการรักษาความปลอดภัยทีเ่ หมาะสม
มาตรฐานและข ้อกาหนดด ้านการรักษาความปลอดภัยอืน ่ ๆ
A.18.2.3 มีการทบทวนระบบข ้อมูลด ้านความสอดคล ้องกับ

นโยบายและมาตรฐานการรักษาความปลอดภัยของข ้อมูลของ
องค์กรเป็ นประจาหรือไม่

BSI 0102-27001 self-checklist-TH-R0

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

BSI 0102-27001 self-checklist-TH-R0

Uploaded by

Copyright:

Available Formats

รายการตรวจสอบเพือ

่ ทวนสอบความสอดคล้องก ับข้อกาหนด ISO27001: 2013

4.3.e องค์กรได ้ทาขอบเขตทีม ่ พ

สถาบันมาตรฐานอังกฤษ ISO27001:2013 Self Checklist Ver 0 Page 1

4.4.d องค์กรมีขน ั ้ ตอนต่าง ๆ สาหรับการปรับปรุงระบบบริหารด ้านการรักษา

5.1.b ฝ่ ายบริหารสูงสุดแสดงให ้เห็นความเป็ นผู ้นาและคามั่นสัญญาในด ้าน

5.1.c ฝ่ ายบริหารสูงสุดแสดงให ้เห็นความเป็ นผู ้นาและคามั่นสัญญาในด ้าน

5.1.d ฝ่ ายบริหารสูงสุดแสดงให ้เห็นความเป็ นผู ้นาและคามั่นสัญญาในด ้าน

5.1.e ฝ่ ายบริหารสูงสุดแสดงให ้เห็นความเป็ นผู ้นาและคามั่นสัญญาในด ้าน

5.1.f ฝ่ ายบริหารสูงสุดแสดงให ้เห็นความเป็ นผู ้นาและคามั่นสัญญาในด ้าน

5.1.g ฝ่ ายบริหารสูงสุดแสดงให ้เห็นความเป็ นผู ้นาและคามั่นสัญญาในด ้าน

สถาบันมาตรฐานอังกฤษ ISO27001:2013 Self Checklist Ver 0 Page 2

5.1.h ฝ่ ายบริหารสูงสุดแสดงให ้เห็นความเป็ นผู ้นาและคามั่นสัญญาในด ้าน

5.2.b ฝ่ ายบริหารสงสุดได ้จัดตัง้ นโยบายการรักษาความปลอดภัยของข ้อมูลที่

5.2.c ฝ่ ายบริหารสงสุดได ้จัดตัง้ นโยบายการรักษาความปลอดภัยของข ้อมูลที่

5.2.d ฝ่ ายบริหารสงสุดได ้จัดตัง้ นโยบายการรักษาความปลอดภัยของข ้อมูลที่

5.2.e มีการทาให ้นโยบายการรักษาความปลอดภัยของข ้อมูลมีพร ้อมใช ้เป็ น

5.2.g มีการทานโยบายการรักษาความปลอดภัยของข ้อมูลมีพร ้อมใช ้สาหรับผู ้

สถาบันมาตรฐานอังกฤษ ISO27001:2013 Self Checklist Ver 0 Page 3

6.1.1.b เมือ ่ ทาการวางแผนระบบบริหารด ้านการรักษาความปลอดภัยของ

6.1.1.c เมือ่ ทาการวางแผนระบบบริหารด ้านการรักษาความปลอดภัยของ

6.1.2.c องค์กรกาหนดและประยุกต์ใช ้ขัน

สถาบันมาตรฐานอังกฤษ ISO27001:2013 Self Checklist Ver 0 Page 4

6.1.2.d องค์กรกาหนดและประยุกต์ใช ้ขัน ้ ตอนการประเมินความเสีย ่ งด ้านการ

6.1.2.e องค์กรกาหนดและประยุกต์ใช ้ขัน ้ ตอนการประเมินความเสีย ่ งด ้านการ

6.1.2.f องค์กรเก็บรักษาข ้อมูลทีเ่ ป็ นเอกสารเกีย

6.1.3.c องค์กรกาหนดและประยุกต์ใช ้ขัน ่ งด ้านการ

6.1.3.d องค์กรกาหนดและประยุกต์ใช ้ขัน ่ งด ้านการ

สถาบันมาตรฐานอังกฤษ ISO27001:2013 Self Checklist Ver 0 Page 5

6.1.3.e องค์กรกาหนดและประยุกต์ใช ้ขัน ่ งด ้านการ

6.1.3.f องค์กรกาหนดและประยุกต์ใช ้ขัน ้ ตอนการดูแลความเสีย ่ งด ้านการ

6.1.3.h องค์กรเก็บรักษาข ้อมูลทีเ่ ป็ นเอกสารเกีย ่ วกับขัน

6.2.d วัตถุประสงค์ด ้านการรักษาความปลอดภัยของข ้อมูลมีการคานึงถึง

่ สารวัตถุประสงค์ด ้านการรักษาความปลอดภัยของข ้อมูล

6.2.f มีการอัพเดตวัตถุประสงค์ด ้านการรักษาความปลอดภัยของข ้อมูลอย่าง

6.2.g องค์กรเก็บรักษาข ้อมูลทีเ่ ป็ นเอกสารเกีย

สถาบันมาตรฐานอังกฤษ ISO27001:2013 Self Checklist Ver 0 Page 6

6.2.l เมือ่ ทาการวางแผนวิธท ี จ ี่ ะบรรลุวต ั ถุประสงค์ด ้านการรักษาความ

7.2.b มีขนั ้ ตอนทีใ่ ช ้เพือ

7.2.c มีขน ั ้ ตอนทีใ่ ช ้เพือ

7.2.d มีการเก็บรักษาข ้อมูลทีเ่ ป็ นเอกสารทีเ่ หมาะสมให ้เป็ นหลักฐานด ้าน

7.3.b มีขน ่ งค์กรใช ้เพือ

สถาบันมาตรฐานอังกฤษ ISO27001:2013 Self Checklist Ver 0 Page 7

7.4.b ขัน ้ งิ่ ทีจ

้ ตอนนีไ้ ด ้บ่งชีเ้ วลาทีจ

้ ตอนนีไ้ ด ้บ่งชีว้ า่ จะต ้องสือ

้ ตอนนี้ได ้บ่งชีว้ า่ ใครจะทาการสือ

7.5.2.c เมือ่ ทาการสร ้างและอัพเดตข ้อมูลทีเ่ ป็ นเอกสาร องค์กรมีขนั ้ ตอนทีจ

สถาบันมาตรฐานอังกฤษ ISO27001:2013 Self Checklist Ver 0 Page 8

7.5.3.c องค์กรมีขนั ้ ตอนในการควบคุมข ้อมูลทีเ่ ป็ นเอกสารทีก

7.5.3.e องค์กรมีขน ั ้ ตอนในการควบคุมข ้อมูลทีเ่ ป็ นเอกสารทีก

7.5.3.f องค์กรมีขนั ้ ตอนในการควบคุมข ้อมูลทีเ่ ป็ นเอกสารทีก

7.5.3.h องค์กรมีขน ั ้ ตอนในควบคุมข ้อมูลทีเ่ ป็ นเอกสารจากแหล่งทีม

สถาบันมาตรฐานอังกฤษ ISO27001:2013 Self Checklist Ver 0 Page 9

8.1.c องค์กรเก็บข ้อมูลทีเ่ ป็ นเอกสารในขอบเขตทีจ

8.1.d องค์กรควบคุมการเปลีย่ นแปลงต่างๆ ตามแผนและทบทวนผลทีต ่ ามมา

8.1.e องค์กรทาให ้มั่นใจว่ามีการตัดสินและควบคุมขัน ้ ตอนทีจ ่ ้างผู ้รับเหมา

สถาบันมาตรฐานอังกฤษ ISO27001:2013 Self Checklist Ver 0 Page 10

9.1.h องค์กรเก็บรักษาข ้อมูลทีเ่ ป็ นเอกสารทีเ่ หมาะสมให ้เป็ นหลักฐานของผล

9.2.c การตรวจติดตามภายในให ้ข ้อมูลว่าระบบบริหารในการรักษาความ

9.2.d การตรวจติดตามภายในให ้ข ้อมูลว่ามีการดาเนินและรักษาระบบบริหาร

9.2.e องค์กรวางแผน จัดตัง้ ดาเนินการและรักษาโปรแกรมการตรวจติดตาม

9.2.f โปรแกรมการตรวจติดตาม (ต่าง ๆ) มีการพิจารณาความสาคัญของ

9.2.h องค์กรคัดเลือกผู ้ตรวจติดตามและดาเนินการตรวจติดตามทีท