Professional Documents
Culture Documents
BSI 0102-27001 self-checklist-TH-R0
BSI 0102-27001 self-checklist-TH-R0
4.3.d เมือ
่ ทาการตัดสินขอบเขตของ ISMS องค์กรได ้พิจารณาอินเตอร์เฟซ
และการพึง่ พาต่าง ๆ ระหว่างกิจกรรมต่าง ๆ ทีป
่ ฏิบต
ั โิ ดยองค์กรและทีป
่ ฏิบต
ั ิ
โดยองค์กรอืน่ ๆ หรือไม่
4.4.c องค์กรมีขน
ั ้ ตอนต่าง ๆ สาหรับการรักษาระบบบริหารด ้านการรักษา
ความปลอดภัยของข ้อมูลขององค์กรตามข ้อกาหนดต่างๆ ของ ISO/IEC
่ สารนโยบายการรักษาความปลอดภัยของข ้อมูลภายในองค์กร
5.2.f มีการสือ
หรือไม่
6.1.1.d องค์กรวางแผนปฏิบต
ั ก
ิ ารต่าง ๆ เพือ ่ งและโอกาสต่าง ๆ
่ หาความเสีย
เหล่านีห
้ รือไม่
6.1.1.e องค์กรวางแผนวิธท
ี จ
ี่ ะ 1) รวมและดาเนินปฏิบต ั กิ ารต่างๆ เหล่านีเ้ ข ้า
ในขัน
้ ตอนของระบบบริหารด ้านการรักษาความปลอดภัยของข ้อมูลขององค์กร
และ 2) ประเมินประสิทธิภาพของปฏิบัตก ิ ารต่างๆ เหล่านี้ หรือไม่
6 การวางแผน 6.1.2.a องค์กรกาหนดและประยุกต์ใช ้ขัน ้ ตอนการประเมินความเสีย ่ งด ้านการ
6.1 ปฏิบตั ก
ิ ารใน รักษาความปลอดภัยของข ้อมูลทีจ ่ ัดตัง้ และรักษาเกณฑ์ความเสีย ่ งด ้านการ
การหาความเสีย ่ ง รักษาความปลอดภัยของข ้อมูลทีจ ่ ะรวมถึง 1) เกณฑ์การยอมรับความเสีย ่ ง
และโอกาสต่าง ๆ และ 2) เกณฑ์สาหรับการปฏิบัตก ิ ารประเมินความเสีย ่ งด ้านการรักษาความ
6.1.2 การประเมิน ปลอดภัยของข ้อมูลหรือไม่
่ งด ้านการ
ความเสีย
รักษาความ 6.1.2.b องค์กรกาหนดและประยุกต์ใช ้ขัน้ ตอนการประเมินความเสีย ่ งด ้านการ
ปลอดภัยของข ้อมูล รักษาความปลอดภัยของข ้อมูลทีท่ าให ้มั่นใจว่าการประเมินความเสีย ่ งด ้านการ
้
รักษาความปลอดภัยของข ้อมูลซาจะสร ้างผลทีส ่ อดคล ้อง ถูกต ้องและ
สามารถเปรียบเทียบ หรือไม่
6.2.h เมือ
่ ทาการวางแผนวิธท
ี จ
ี่ ะบรรลุวต ั ถุประสงค์ด ้านการรักษาความ
ปลอดภัยของข ้อมูล องค์กรตัดสินสิง่ ทีจ
่ ะต ้องทาหรือไม่
6.2.j เมือ
่ ทาการวางแผนวิธท
ี จ
ี่ ะบรรลุวต
ั ถุประสงค์ด ้านการรักษาความ
ปลอดภัยของข ้อมูล องค์กรตัดสินบุคคลทีจ ่ ะรับผิดชอบหรือไม่
6.2.k เมือ
่ ทาการวางแผนวิธท
ี จ
ี่ ะบรรลุวต
ั ถุประสงค์ด ้านการรักษาความ
ปลอดภัยของข ้อมูล องค์กรตัดสินว่าจะทาเสร็จสมบูรณ์เมือ ่ ไหร่หรือไม่
7.4.f ขัน ้ น
้ ตอนนี้ได ้บ่งชีข ั ้ ตอนต่าง ๆ ทีจ ่ สารหรือไม่
่ ะส่งผลกระทบต่อการสือ
7. การสนั บสนุน 7.5.1.a ระบบบริหารด ้านการรักษาความปลอดภัยของข ้อมูลขององค์กรได ้
7.5 ข ้อมูลทีเ่ ป็ น รวมข ้อมูลทีเ่ ป็ นเอกสารซึง่ กาหนดโดย ISO/IEC 27001:2013 หรือไม่
เอกสาร
7.5.1 ทัว่ ไป 7.5.1.b ระบบบริหารด ้านการรักษาความปลอดภัยของข ้อมูลขององค์กรได ้
รวมข ้อมูลทีเ่ ป็ นเอกสารซึง่ ตัดสินโดยองค์กรว่ามีความจาเป็ นสาหรับ
ประสิทธิภาพของระบบบริหารด ้านการรักษาความปลอดภัยของข ้อมูลหรือไม่
7. การสนั บสนุน 7.5.2.a เมือ ่ ทาการสร ้างและอัพเดตข ้อมูลทีเ่ ป็ นเอกสาร องค์กรมีขนั ้ ตอนทีจ
่ ะ
7.5 ข ้อมูลทีเ่ ป็ น ทาให ้มั่นใจในการบ่งชีแ ้ ละรายละเอียดทีเ่ หมาะสม (ตัวอย่างเช่น ชือ่ เรือ่ ง
เอกสาร วันที่ ผู ้เขียนหรือหมายเลขอ ้างอิง ) หรือไม่
7.5.2 การสร ้างและ
การอัพเดต 7.5.2.b เมือ่ ทาการสร ้างและอัพเดตข ้อมูลทีเ่ ป็ นเอกสาร องค์กรมีขนั ้ ตอนทีจ
่ ะ
ทาให ้มั่นใจในรูปแบบ (ตัวอย่างเช่น ภาษา เวอร์ชน ั่ ซอฟต์แวร์ กราฟิ ก) และ
่ (ตัวอย่างเช่น กระดาษ ทางอิเลคทรอนิกส์) ทีเ่ หมาะสมหรือไม่
สือ
7.5.3.d องค์กรมีขน
ั ้ ตอนในการควบคุมข ้อมูลทีเ่ ป็ นเอกสารทีก
่ าหนดโดย
ระบบบริหารในการรักษาความปลอดภัยของข ้อมูลและโดย ISO/IEC
27001:2013 เพือ่ กล่าวถึงการจัดเก็บ และการรักษาโดยรวมถึงการรักษา
ความถูกต ้องตามกฎหมายอย่างเหมาะสมหรือไม่
7.5.3.g องค์กรมีขน
ั ้ ตอนในการบ่งชีอ ้ ย่างเหมาะสมสาหรับข ้อมูลทีเ่ ป็ น
เอกสารจากแหล่งทีม ่ าภายนอกซึง่ องค์กรตัดสินว่าจาเป็ นสาหรับการวางแผน
และการดาเนินงานของระบบบริหารด ้านการรักษาความปลอดภัยของข ้อมูล
หรือไม่
9.1.c ขัน
้ ตอนตัดสินวิธก
ี ารต่างๆ สาหรับการสังเกตการณ์ การวัดผล การ
วิเคราะห์และการประเมินผลอย่างเหมาะสมเพือ ่ ทาให ้มั่นใจในผลทีถ
่ ก
ู ต ้อง
หรือไม่
9.1.d ขัน
้ ตอนตัดสินว่าจะต ้องดาเนินการสังเกตการณ์และการวัดผลเมือ
่ ไหร่
9.1.e ขัน
้ ตอนตัดสินผู ้ทีจ
่ ะสังเกตการณ์และวัตผลหรือไม่
9.1.f ขัน
้ ตอนตัดสินว่าเมือ
่ ไหร่ทจ
ี่ ะวิเคราะห์และประเมินผลต่างๆ จากการ
สังเกตการณ์และการวัดผลหรือไม่
9.1.g ขัน
้ ตอนตัดสินว่าใครจะวิเคราะห์และประเมินผลต่าง ๆ เหล่านีห
้ รือไม่
9.2.g องค์กรกาหนดเกณฑ์และขอบเขตการตรวจติดตามสาหรับแต่ละการ
ตรวจติดตามหรือไม่
่ งต่าง ๆ และ
9.3.f การทบทวนได ้รวมการพิจารณาผลการประเมินความเสีย
สถานะของแผนการดูแลความเสีย ่ งหรือไม่
วัตถุประสงค์: เพือ
่ ให ้ทิศทางและ A.5.1.2 มีการทบทวนนโยบายการรักษาความปลอดภัยของ
การสนั บสนุนการบริหารด ้านการ ข ้อมูลในช่วงเวลาตามแผนหรือหากมีการเปลีย ่ นแปลงทีม
่ ี
รักษาความปลอดภัยของข ้อมูล นัยสาคัญเกิดขึน้ เพือ
่ ทาให ้มั่นใจในความเหมาะสม ความ
ตามข ้อกาหนดทางธุรกิจและ เพียงพอและประสิทธิภาพอย่างต่อเนือ ่ งหรือไม่
กฎหมายรวมถึงกฎระเบียบที่
เกีย
่ วข ้อง
A.6 องค์กรด ้านการรักษาความ
ปลอดภัยของข ้อมูล A.6.1.1 มีการกาหนดและจัดสรรความรับผิดชอบด ้านการรักษา
A.6.1 องค์กรภายใน ความปลอดภัยของข ้อมูลทัง้ หมดหรือไม่
วัตถุประสงค์: เพือ
่ จัดตัง้ กรอบ A.6.1.2 มีการแยกพืน ้ ทีข
่ องหน ้าทีท
่ ม
ี่ ค
ี วามขัดแย ้งและพืน
้ ที่
การทางานของฝ่ ายบริหารในการ ความรับผิดชอบเพือ ่ ลดโอกาสในการดัดแปลงแก ้ไขทีไ่ ม่ได ้รับ
ริเริม
่ และควบคุมการปฏิบต ั แ
ิ ละ อนุญาตหรือไม่ได ้ตัง้ ใจหรือใช ้งานผิดสาหรับสินทรัพย์ของ
ดาเนินการด ้านการรักษาความ องค์กรหรือไม่
ปลอดภัยของข ้อมูลภายใน
องค์กร A.6.1.3 มีการรักษาการติดต่อทีเ่ หมาะสมกับผู ้มีอานาจหน ้าทีท
่ ี่
เกีย
่ วข ้องหรือไม่
วัตถุประสงค์: เพือ
่ ทาให ้มั่นใจว่า A.7.2.2 พนักงานทุกคนขององค์กรและผู ้รับเหมาทีเ่ กีย่ วข ้อง
พนักงานและผู ้รับเหมาต่าง ๆ มี ได ้รับการศึกษาและการฝึ กอบรมด ้านการตระหนักถึงทีเ่ หมาะสม
ความตระหนั กถึงและบรรลุความ รวมถึงการอัพเดตทั่วไปในด ้านนโยบายและกระบวนการทางาน
รับผิดชอบด ้านการรักษาความ ขององค์กรตามทีเ่ กีย
่ วข ้องกับหน ้าทีง่ านของตนเองหรือไม่
ปลอดภัยของข ้อมูลของตนเอง
A.7.2.3 มีขน ั ้ ตอนด ้านระเบียบวินัยทีเ่ ป็ นทางการและถูกสือ ่ สาร
ในการดาเนินการกับพนักงานทีท ่ าการละเมิดการรักษาความ
ปลอดภัยของข ้อมูลหรือไม่
A.7 การรักษาความปลอดภัยด ้าน A.7.3.1 มีการกาหนดและสือ ่ สารความรับผิดชอบและหน ้าทีด ่ ้าน
ทรัพยากรบุคคล การรักษาความปลอดภัยของข ้อมูลทีย ่ ังคงมีผลใช ้ได ้หลังการ
้ สุดและการ
A.7.3 การสิน ้ สุดการว่าจ ้างถึงพนักงานหรือผู ้รับเหมารวมถึงการบังคับใช ้
สิน
เปลีย
่ นแปลงการว่าจ ้าง หรือไม่
วัตถุประสงค์: เพือ
่ ป้ องกัน
ผลประโยชน์ขององค์กรให ้เป็ น
ส่วนหนึง่ ของขัน
้ ตอนการ
เปลีย ้ สุดการ
่ นแปลงหรือสิน
ว่าจ ้าง
A.8 การบริหารสินทรัพย์ ้ น
A.8.1.1 มีการบ่งชีส ิ ทรัพย์ทเี่ กีย
่ วข ้องกับข ้อมูลและสิง่ อานวย
วัตถุประสงค์: เพือ ้ น
่ บ่งชีส ิ ทรัพย์ A.8.1.2 มีการรักษาสินทรัพย์ตา่ ง ๆ ทัง้ หมดในคงคลังทีม
่ ก
ี าร
ขององค์กรและกาหนดความ มอบหมายเจ ้าของหรือไม่
รับผิดชอบในการป้ องกันที่
เหมาะสม A.8.1.3 มีการบ่งชี้ ทาเอกสารและดาเนินกฎระเบียบสาหรับการ
ใช ้งานข ้อมูลและสินทรัพย์เกีย
่ วกับข ้อมูลและสิง่ อานวยความ
สะดวกในการประมวลข ้อมูลทีย ่ อมรับได ้หรือไม่
A.8.2.3 มีการพัฒนาและดาเนินกระบวนการทางานสาหรับการ
จัดการสินทรัพย์ตามรายการการแบ่งประเภทข ้อมูลทีอ
่ งค์กรปรับ
ใช ้หรือไม่
A.8 การบริหารสินทรัพย์ A.8.3.1 มีการดาเนินกระบวนการทางานสาหรับการบริหารสือ ่ ที่
่
A.8.3 การจัดการสือ ถอดออกได ้ตามรายการการแบ่งประเภทข ้อมูลทีอ่ งค์กรปรับใช ้
หรือไม่
วัตถุประสงค์:เพือ
่ ป้ องกันการ
เปิ ดเผย การดัดแปลงแก ้ไข การ ่ อย่างปลอดภัยในเวลาทีไ่ ม่ต ้องการแล ้วโดย
A.8.3.2 มีการทิง้ สือ
นาออกหรือการทาลายข ้อมูลที่ ใช ้กระบวนการท างานทีเ่ ป็ นทางการหรือไม่
่ โดยไม่ได ้รับ
จัดเก็บบนสือ
อนุญาต A.8.3.3 มีการปกป้ องสือ่ ทีบ
่ รรจุข ้อมูลจากการเข ้าถึงทีไ่ ม่ได ้รับ
้ผิ
อนุญาต การใช ดหรือการขัดจังหวะขณะโอนถ่ายข ้อมูล หรือไม่
A.9 การควบคุมการเข ้าถึง A.9.1.1 มีการจัดตัง้ ทาเอกสารและทบทวนนโยบายการควบคุม
A.9.1 ข ้อกาหนดทางธุรกิจ การเข ้าถึงโดยอิงตามข ้อกาหนดทางธุรกิจและการรักษาความ
สาหรับการควบคุมการเข ้าถึง ปลอดภัยของข ้อมูลหรือไม่
วัตถุประสงค์: เพือ
่ จากัดการ A.9.1.2 มีการให ้ผู ้ใช ้งานเท่านั น
้ ทีจ
่ ะเข ้าถึงเครือข่ายและบริการ
วัตถุประสงค์: เพือ
่ ป้ องกันการ A.11.1.2 มีการป้ องกันพืน ้ ทีป
่ ลอดภัยด ้วยการควบคุมการเข ้า
เข ้าถึงทางกายภาพทีไ่ ม่ได ้รับ อย่างเหมาะสมเพือ ่ ทาให ้มั่นใจว่ามีเพียงบุคลากรทีไ่ ด ้รับอนุญาต
อนุญาต ความเสียหายและการ ทีจ
่ ะเข ้าถึงได ้เท่านัน
้ หรือไม่
เข ้าแทรกแซงข ้อมูลขององค์กร
และสิง่ อานวยความสะดวกในการ A.11.1.3 มีการออกแบบการรักษาความปลอดภัยทางกายภาพ
ประมวลข ้อมูล สาหรับสานั กงาน ห ้องและสิง่ อานวยความสะดวกต่าง ๆ และมี
การประยุกต์ใช ้ด ้วยหรือไม่
A.11.1.5 มีการออกแบบกระบวนการทางานสาหรับการทางาน
ในพืน ่ ลอดภัย และมีการประยุกต์ใช ้ด ้วยหรือไม่
้ ทีป
วัตถุประสงค์: เพือ
่ ป้ องกันการ A.11.2.2 มีการป้ องกันอุปกรณ์จากไฟฟ้ าดับและการหยุดชะงัก
สูญเสีย ความเสียหาย การขโมย อืน
่ ๆ ทีเ่ กิดจากความล ้มเหลวของสาธารณู ปโภคสนั บสนุน
หรือการทาให ้สินทรัพย์อยูใ่ น หรือไม่
อันตรายและการขัดจังหวะการ
ดาเนินงานขององค์กร A.11.2.3 มีการป้ องกันไฟฟ้ าและโทรคมนาคมต่าง ๆ ทีเ่ ดินสาย
เคเบิล
้ ในการลาเลียงข ้อมูลหรือสนั บสนุนการให ้บริการข ้อมูลจาก
การสกัดกัน้ การแทรกแซงหรือความเสียหายหรือไม่
A.11.2.5 ไม่มก
ี ารนาอุปกรณ์ ข ้อมูลหรือซอฟต์แวร์ออกนอก
สถานประกอบการโดยไม่ได ้รับการอนุญาตก่อนหรือไม่
วัตถุประสงค์: เพือ
่ ทาให ้มั่นใจว่า
มีการปกป้ องข ้อมูลและสิง่ อานวย
ความสะดวกในการประมวลข ้อมูล
จากมัลแวร์
A.12 การรักษาความปลอดภัย A.12.3.1 มีการทาสาเนาการสารองภาพข ้อมูล ซอฟต์แวร์และ
ด ้านการดาเนินงาน ระบบ รวมถึงทาการทดสอบเป็ นประจาตามนโยบายการสารองที่
A.12.3 การสารองข ้อมูล ตกลงกันไว ้หรือไม่
วัตถุประสงค์:เพือ
่ ป้ องกันการ
สูญเสียข ้อมูล
A.12 การรักษาความปลอดภัย A.12.4.1 มีการสร ้าง เก็บและทบทวนสมุดบันทึกเหตุการณ์ท ี่
ด ้านการดาเนินงาน บันทึกกิจกรรมของผู ้ใช ้งาน ข ้อยกเว ้น ความผิดพลาดและ
A.12.4 การเข ้าออกระบบและ เหตุการณ์ด ้านการรักษาความปลอดภัยของข ้อมูลเป็ นประจา
การสังเกตการณ์ หรือไม่
วัตถุประสงค์: เพือ
่ บันทึก A.12.4.2 มีการป้ องกันสิง่ อานวยความสะดวกในการเข ้าออก
เหตุการณ์ตา่ งๆ และสร ้าง ระบบและข ้อมูลการเข ้าออกระบบจากการปลอมแปลงและการ
ิ
A.12.4.4 นาฬกาต่ าง ๆ ของระบบการประมวลข ้อมูลทีเ่ กีย
่ วข ้อง
ทัง้ หมดภายในองค์กรหรือโดเมนการรักษาความปลอดภัยถูกตัง้
เวลาให ้ตรงกับแหล่งเวลาอ ้างอิงทีเ่ ดียวหรือไม่
A.12 การรักษาความปลอดภัย
ด ้านการดาเนินงาน A.12.5.1 มีการดาเนินกระบวนการทางานเพือ
่ ควบคุมการติดตัง้
A.12.5 การควบคุมซอฟต์แวร์ ซอฟต์แวร์บนระบบปฏิบัตก ิ ารหรือไม่
ปฏิบตั ก
ิ าร
วัตถุประสงค์: เพือ
่ ทาให ้มั่นใจใน
บูรณภาพของระบบปฏิบต ั กิ าร
A.12 การรักษาความปลอดภัย A.12.6.1 มีการได ้รับข ้อมูลเกีย ่ วกับช่องโหว่ทางเทคนิคของ
ด ้านการดาเนินงาน ระบบข ้อมูลทีใ่ ช ้ในลักษณะทีท่ ันเวลาหรือไม่ มีการประเมินการ
A.12.6 การบริหารช่องโหว่ทาง เปิ ดขององค์กรต่อโหว่ตา่ ง ๆ ดังกล่าว และมีการใช ้มาตรการที่
เทคนิค เหมาะสมเพือ่ หาความเสีย ่ งทีเ่ กีย
่ วข ้องหรือไม่
่ ป้ องกันการใช ้
วัตถุประสงค์: เพือ A.12.6.2 มีการกาหนดและดาเนินกฎระเบียบทีก
่ ากับดูแลการ
ช่องโหว่ทางเทคนิค ติดตัง้ ซอฟต์แวร์โดยผู ้ใช ้งานหรือไม่
A.12 การรักษาความปลอดภัย
ด ้านการดาเนินงาน A.12.7.1 ข ้อกาหนดและกิจกรรมในการตรวจติดตามมีความ
A.12.7 การพิจารณาการตรวจ เกีย
่ วข ้องกับการตรวจสอบระบบปฏิบัตก ิ ารทีว่ างแผนและตกลง
ติดตามระบบข ้อมูล กันอย่างระมัดระวังเพือ
่ ลดการขัดจังหวะขัน
้ ตอนทางธุรกิจหรือไม่
วัตถุประสงค์: เพือ
่ ลดผลกระทบ
ของกิจกรรมการตรวจติดตาม
สาหรับระบบปฏิบต ั ก
ิ าร
A.13 การรักษาความปลอดภัย A.13.1.1 มีการบริหารและควบคุมเครือข่ายต่าง ๆ เพือ
่ ป้ องกัน
่ สาร
ด ้านการสือ ่ หรือไม่
ข ้อมูลในระบบและแอพพลิเคชัน
A.13.1 การบริหารการรักษา
ความปลอดภัยของเครือข่าย A.13.1.2 มีการบ่งชีก้ ลไกการรักษาความปลอดภัย ระดับการ
ให ้บริการและข ้อกาหนดด ้านการบริหารของการให ้บริการ
วัตถุประสงค์: เพือ่ ทาให ้มั่นใจใน เครือข่ายทัง้ หมด และรวมอยูใ่ นข ้อตกลงการให ้บริการว่าจะมีการ
การป้ องกันข ้อมูลในเครือข่าย ให ้บริการต่าง ๆ เหล่านีภ
้ ายในบริษัทหรือโดยผู ้รับเหมาหรือไม่
วัตถุประสงค์: เพือ
่ รักษาการ A.13.2.2 มีข ้อตกลงต่าง ๆ เพือ
่ กล่าวถึงการโอนถ่ายทีป
่ ลอดภัย
รักษาความปลอดภัยของข ้อมูลที่ สาหรับข ้อมูลทางธุรกิจระหว่างองค์กรกับบุคคลภายนอกหรือไม่
โอนถ่ายภายในองค์กรและกับ
องค์กรภายนอก A.13.2.3 มีการป้ องกันข ้อมูลทีเ่ กีย
่ วข ้องในการส่งข ้อความทาง
อิเล็คทรอนิกส์อย่างเหมาะสมหรือไม่
A.16.1.5 มีการตอบสนองอุบต
ั ก
ิ ารณ์ด ้านการรักษาความ
ปลอดภัยของข ้อมูลตามกระบวนการทางานทีเ่ ป็ นเอกสารหรือไม่
วัตถุประสงค์: เพือ
่ ทาให ้มั่นใจใน
การมีสงิ่ อานวยความสะดวกใน
การประมวลข ้อมูลพร ้อมใช ้
A.18 ความสอดคล ้อง A.18.1.1 มีการบ่งชี้ ทาเอกสาร ข ้อกาหนดทางกฎหมาย
A.18.1 ความสอดคล ้องกับ พระราชบัญญัต ิ กฎระเบียบและตามสัญญาทัง้ หมดรวมถึงวิธก ี าร
ข ้อกาหนดทางกฎหมายและตาม ขององค์กรในการบรรลุข ้อกาหนดต่าง ๆ เหล่านีอ
้ ย่างชัดเจน
สัญญา และคอยอัพเดตแต่ละระบบข ้อมูลและองค์กรหรือไม่