3/23/2023

ความรู้ พืน้ ฐานเกีย่ วกับ

ISO 27001:2022

อ.จีรวัฒน์ สวนกัน

• ISO 27001 คืออะไร?

• ความสําคัญของระบบ ISO 27001
• การดําเนินงานให้สอดคล้องกับ ISO 27001
• การทํางานภายในองค์กรที่มีระบบ ISO 27001

1
 3/23/2023

ISO 27001 คืออะไร?

ISO 27001 (เวอร์ชนั่ ปั จจุบนั คือ 2022) คือมาตรฐานด้านความปลอดภัยของข้อมูลที่มา

จากประเทศอังกฤษ โดยองค์กรจะต้องดําเนินงานให้สอดคล้องกับมาตรฐานนี้ (ข้อกําหนด
หลักๆ 4-10 และ Annex A) เพื่อที่จะได้รับการรับรองจากสถาบันที่ทาํ การตรวจระบบ
เพื่อให้การรับรองภายในประเทศไทย (ยกตัวอย่างเช่น BSI IGC URS เป็ นต้น)

ความสํ าคัญของระบบ ISO 27001

การที่องค์กรดําเนินงานสอดคล้องกับ ISO 27001 นั้นมีขอ้ ดีต่างๆมากมาย เช่น

• การทํางานมีข้นั ตอนที่ชดั เจน ลดข้อผิดพลาดที่อาจจะเกิดขึ้นกับข้อมูลและระบบ
• มีการตรวจสอบการทํางาน และการพัฒนาองค์กรให้ดียงิ่ ขึ้นในอนาคต

นอกจากนี้แล้ว หากองค์กรได้รับการรับรองจากสถาบัน (ยกตัวอย่างเช่น BSI IGC URS

เป็ นต้น) จะเป็ นการสร้างความน่าเชื่อถือขององค์กรต่อลูกค้าอีกด้วย (ในปัจจุบันนั้น มีหลาย
องค์ กรกําหนดให้ บริษทั ทีท่ าํ ธุรกิจด้ วยจะต้ องได้ รับการรับรอง ISO 27001)

2
 3/23/2023

การดําเนินงานให้ สอดคล้ องกับ ISO 27001

หน่วยงานต่างๆภายในองค์กรนั้นจะต้องทําตามข้อกําหนดที่เกี่ยวข้องกับตัวเอง (ทั้งทางตรง
และทางอ้อม) โดยมีฝ่ายบริ หารเป็ นคนให้แนวทางและสนับสนุนให้การดําเนินงานของ
องค์กรนั้นสอดคล้องกับ ISO 27001

ISO 27001 นั้นมีโครงสร้ างของข้ อกําหนดดังนี้

ข้อ 0 บทนํา ข้อ 6 การวางแผน

ข้อ 1 ขอบข่าย ข้อ 7 การสนับสนุน
ข้อ 2 อ้างอิง ข้อ 8 การดําเนินการ
ข้อ 3 นิยามและคําจํากัดความ ข้อ 9 การวัดผล
ข้อ 4 บริ บทขององค์กร ข้อ 10 การปรับปรุ ง
ข้อ 5 ภาวะผูน้ าํ
ในการวางระบบขององค์ กรให้ สอดคล้ องกับ ISO 27001 นั้นจะเริ่มจากข้ อกําหนด 4-10

3
 3/23/2023

หลักการ PDCA กับ ISO 27001 ISO 27001 นั้นมีการใช้ หลักการ PDCA ดังนี้

Plan : วางแผนในการจัดทําระบบ โดยการ

Plan ดําเนินการตามข้ อกําหนดที่ 4,5,6,7
(4,5,6,7)
Do : ดําเนินงานตามระบบที่จดั ทํา โดยการ
ดําเนินการตามข้ อกําหนดที่ 8
Act (10) Do (8) Check : วัดผลว่าระบบที่จดั ทํามีประสิ ทธิภาพ
หรื อไม่ โดยการดําเนินการตามข้ อกําหนดที่ 9
Check Act : ทําการแก้ไขและปรับปรุ งระบบที่จดั ทําขึ้น
(9)
จากข้อบกพร่ องที่พบเจอ โดยการดําเนินการตาม
ข้ อกําหนดที่ 10

Plan : วางแผนในการจัดทําระบบ
ข้ อกําหนดที่ 4 : กําหนดแนวทางและขอบเขตในการจัดทําระบบ ISO 27001 ของ
องค์กร โดยการวิเคราะห์บริ บทของทางองค์กร, ความต้องการของผูม้ ีส่วนได้ส่วนเสี ย

ข้ อกําหนดที่ 5 : กําหนดให้ผบู ้ ริ หารสู งสุ ดทําการสนับสนุนระบบที่กาํ ลังจัดทํา โดยการ

สนับสนุนทรัพยากรในด้านต่างๆ กําหนดนโยบาย และอํานาจหน้าที่รวมถึงความรับผิดชอบ
ต่างๆของพนักงานที่มีต่อระบบที่จดั ทําขึ้น

4
 3/23/2023

Plan : วางแผนในการจัดทําระบบ (ต่ อ)

ข้ อกําหนดที่ 6 : กําหนดแนวทางและทําการประเมินความเสี่ ยงและโอกาสขององค์กร รวม
ไปถึงมาตรการควบคุมตาม Annex A รวมไปถึงแผนลดความเสี่ ยง และกําหนดเป้าหมาย
ของระบบ ISO 27001 ในแต่ละกระบวนการ

ข้ อกําหนดที่ 7 : จัดเตรี ยมทรัพยากรที่จาํ เป็ นในการจัดทําและรักษาระบบที่จดั ทําขึ้น (คน,

เครื่ องจักรหรื ออุปกรณ์,ระบบเอกสาร) รวมไปถึงกําหนดวิธีการสื่ อสารและสร้างความ
ตระหนักเกี่ยวกับระบบ ISO 27001 ไปยังพนักงานในองค์กรด้วย

Do : ดําเนินงานตามระบบทีจ่ ดั ทํา

ข้ อกําหนดที่ 8 : กล่าวถึงการดําเนินงานตามมาตรการควบคุมตาม Annex A และแผนลด

ความเสี่ ยงที่จดั ทําขึ้น (ในข้อที่ 6) โดยต้องควบคุมการเปลี่ยนแปลงต่างๆที่เกิดขึ้น และต้อง
ควบคุมผูใ้ ห้บริ การจากภายนอกด้วย

นอกจากนั้นแล้ว ยังต้องประเมินความเสี่ ยงตามแผนที่วางเอาไว้ (ยกตัวอย่างเช่น ปี ละ 1 ครั้ง

เป็ นต้น) หรื อเมื่อมีการเปลี่ยนแปลงที่สาํ คัญเกิดขึ้นด้วย

5
 3/23/2023

Check : วัดผลว่ าระบบทีจ่ ดั ทํามีประสิ ทธิภาพหรื อไม่

ข้ อกําหนดที่ 9 : กล่าวถึงการตรวจสอบระบบที่จดั ทําขึ้นผ่านกระบวนการต่างๆ เช่น
• ความไม่สอดคล้องต่อสิ นค้าหรื อบริ การที่เกิดขึ้น
• ข้อร้องเรี ยน/ข้อติชมของผูม้ ีส่วนได้ส่วนเสี ย (เช่นลูกค้า หรื อผูใ้ ห้บริ การจากภายนอก)
• การตรวจติดตามภายในองค์กร

จากนั้นทําการรายงานประสิ ทธิภาพของระบบต่อฝ่ ายบริ หารผ่านการประชุมทบทวนฝ่ าย

บริ หารตามวาระที่กาํ หนด เพื่อหาแนวทางในการพัฒนาระบบขององค์กรต่อไป

Act : ทําการแก้ ไขและปรับปรุ งระบบทีจ่ ดั ทําขึน้

ข้ อกําหนดที่ 10 : กล่าวถึงการตอบสนองต่อความไม่สอดคล้องที่เกิดขึ้น ไม่วา่ จะเกิดกับ
สิ นค้า/บริ การ/ระบบที่จดั ทําขึ้นอย่างเป็ นขั้นตอน (แก้ไข > หาสาเหตุ > หาแนวทางป้องกัน
ไม่ให้เกิดขึ้นในอนาคต > ทบทวนความเสี่ ยงที่ประเมินไว้)

จากนั้นทําการวางแผนเพื่อพัฒนาระบบที่จดั ทําขึ้นจากประสบการณ์ที่ได้รับจากการ
ดําเนินการในระบบที่จดั ทําและความผิดพลาดที่เกิดขึ้น

6
 3/23/2023

C,I,A : Confidential, Integrity, Availability

การรักษาความปลอดภัยของข้อมูลนั้น จะประกอบไปด้วยองค์ประกอบสามอย่างดังต่อไปนี้
Confidential (ความลับ) : ข้อมูลและทรัพย์สินต่างๆควรที่จะเข้าถึงได้โดยผูท้ ี่มีสิทธิ
เท่านั้น

Integrity (ความถูกต้อง) : ข้อมูลและทรัพย์สินต่างๆจะต้องมีความถูกต้อง,สมบูรณ์ ไม่

ถูกแก้ไข,เปลี่ยนแปลงโดยผูท้ ี่ไม่มีสิทธิ

Availability (ความพร้อมใช้) : ข้อมูลและทรัพย์สินต่างๆจะต้องพร้อมใช้งานอยูเ่ สมอ

การวางแผนในการจัดทําระบบ
(ข้ อกําหนดที่ 4)

7
 3/23/2023

ข้ อกําหนดที่ 4 : บริบทขององค์ กร

หาว่ าองค์ กรและคนที่

ระบุกระบวนการที่
เกีย่ วข้ องมีความต้ องการ วางขอบเขตของระบบ
เกีย่ วข้ องในขอบเขตที่
ด้ านความปลอดภัยของ จากความต้ องการนั้น
กําหนด
ข้ อมูลอย่ างไรบ้ าง

องค์ กรและคนทีเ่ กีย่ วข้ องมีความต้ องการด้ านความปลอดภัยของข้ อมูลอย่ างไรบ้ าง

ตัวอย่ างความต้ องการด้ านความ

ตัวอย่ างความต้ องการด้ านความ
ปลอดภัยของข้ อมูลของธุรกิจ
ปลอดภัยของข้ อมูลของคนที่เกีย่ วข้ อง
- ระบบที่มีมาตรฐาน ทั้งการ
พนักงาน : แนวทางการดําเนินงานที่
ให้ บริการและความปลอดภัยของ
ตัวอย่ าง : บริษทั ที่ให้ บริการ Data ชัดเจน
ข้ อมูล
Center ลูกค้า : รักษาความลับของข้ อมูลที่
- ปฏิบัตติ ามกฎหมายที่เกีย่ วข้ อง
ได้ รับระหว่างการทําธุรกิจ
องค์กรอาจจะใช้ SWOT ในการ
ภาครัฐ : ปฏิบัตติ ามกฎหมาย เช่ น
วิเคราะห์ องค์กร เป็ นตัวช่ วยในการวาง
พรบ.คุ้มครองข้ อมูลส่ วนบุคคล
ระบบ (ส่ งเสริมจุดแข็ง แก้ไขจุดอ่อน)

8
 3/23/2023

วางขอบเขตของระบบจากความต้ องการนั้น

จากความต้ องการของตัวธุรกิจเองและผู้ทเี่ กีย่ วข้ อง (ผู้มสี ่ วนได้ ส่วนเสี ย) ให้ ทาํ การวางขอบเขตและขอบข่ ายที่
สอดคล้องกับความต้ องการเหล่านั้น

ตัวอย่าง : บริษัททีใ่ ห้ บริการ Data Center

ขอบข่ าย : ระบบบริหารความปลอดภัยของข้ อมูลสํ าหรับการให้ บริการ Data Center

ขอบเขต : ชื่ อบริษัท / ทีอ่ ยู่ (มีทเี่ ดียว หรื อ หลายทีก่ ไ็ ด้ )

ขอบข่ าย, ขอบเขตต้ องระบุเป็ นเอกสารชัดเจน

ระบุกระบวนการทีเ่ กีย่ วข้ องในขอบเขตทีก่ าํ หนด

หลังจากทีก่ าํ หนดขอบข่ าย, ขอบเขตแล้วนั้น ให้ ทาํ การระบุกระบวนต่ างๆทีเ่ กีย่ วข้ อง รวมถึงแสดงความสั มพันธ์
ของกระบวนการเหล่ านั้น (อาจจะใช้ Flow Chart เพื่อให้ ง่ายต่ อการเข้ าใจ)

ตัวอย่าง : ระบบบริหารความปลอดภัยของข้ อมูลสํ าหรับการให้ บริการ Data Center

กระบวนการหลัก : ขาย, จัดซื้อ, ฝ่ ายปฏิบัตกิ าร (Facility Support/NOC/Network)

กระบวนการสนับสนุน : ฝ่ ายบุคคล, ฝ่ าย IT Support

องค์ กรจะต้ องทําการกําหนดตัวชี้วดั (KPI), ประเมินความเสี่ ยงและโอกาส, เฝ้าระวังการเปลีย่ นแปลงทีเ่ กิดขึน้ ,

จัดทําเอกสารสนับสนุนกระบวนการเหล่านี้

9
 3/23/2023

การวางแผนในการจัดทําระบบ
(ข้ อกําหนดที่ 5)

ข้ อกําหนดที่ 5 : ภาวะของผู้นํา

ผู้นําจะต้ องให้ การ

วางนโยบายหลักของ แต่ งตั้งทีมงานที่
สนับสนุนและมีส่วน
องค์ กร รับผิดชอบให้ ชัดเจน
ร่ วมในการทําระบบ

10
 3/23/2023

ผู้นําจะต้ องให้ การสนับสนุนและมีส่วนร่ วมในการทําระบบ

ตัวอย่ างของการสนับสนุนและมีส่วนร่ วมในการทําระบบ

- การตั้งนโยบายและเป้ าหมาย/วัตถุประสงค์ (KPI)
- ทําให้ มั่นใจว่ าระบบได้ นําไปใช้ ในกระบวนการต่ างๆ
- จัดสรรทรัพยากรให้ เพียงพอ (เงิน, ผู้ปฏิบัตงิ าน, อุปกรณ์ ต่างๆ)
- สื่ อสารประโยชน์ ของการมีระบบ
- ทําให้ มั่นใจว่ าระบบเป็ นไปตามทีว่ างแผนเอาไว้
- สนับสนุนให้ พนักงานทําตามระบบทีว่ างไว้
- พัฒ นาระบบอย่ างต่ อเนื่อง

วางนโยบายหลักขององค์ กร

ทําเอกสารประกาศนโยบาย (กําหนดโดยฝ่ ายบริหาร)

ยกตัวอย่ างเช่ น
“ข้ อมูลปลอดภัย ใส่ ใจลูกค้ า พัฒ นาอย่ างต่ อเนื่อง”

จากนั้นทําการสื่ อสารไปยังภายในและภายนอกองค์ กร
ภายใน : ติดประกาศ, ประชุม, ลงใน website ขององค์ กร
ภายนอก : ติดประกาศ, ลงใน website ขององค์ กร

11
 3/23/2023

แต่ งตั้งทีมงานทีร่ ับผิดชอบให้ ชัดเจน

ทําเอกสารประกาศทีมงาน ISMS โดยประกอบขึน้ จากตัวแทนจากแต่ ละแผนกที่

เกีย่ วข้ อง (ระดับหัวหน้ า) และหัวหน้ าทีม (ISMR)

โดยทีมงานจะทําหน้ าทีร่ ่ างนโยบายเชิงปฏิบัต,ิ สื่ อสารข้ อมูลทีเ่ กีย่ วกับระบบให้ แก่

พนักงานในองค์ กร, ติดตามการดําเนินงานของระบบว่ าเป็ นไปตามแผนหรื อไม่ และ
รายงานผลการดําเนินงานให้ แก่ ผู้บริหารได้ รับทราบ (เช่ นผ่ านการประชุมรายเดือน
ประชุมทบทวนฝ่ ายบริหารเป็ นต้ น)

การวางแผนในการจัดทําระบบ
(ข้ อกําหนดที่ 6)

12
 3/23/2023

ข้ อกําหนดที่ 6 : วางแผนจัดทําระบบ

ประเมินความเสี่ ยงและ
โอกาส รวมไปถึงการ วางเป้าหมาย/ ควบคุมการเปลีย่ นแปลง
จัดทํามาตรการควบคุมที่ วัตถุประสงค์ ของระบบ ทีเ่ กิดขึน้
เหมาะสม

ประเมินความเสี่ ยงและโอกาส

การประเมินความเสี่ ยงนั้น โดยทัว่ ไปจะทําการประเมินหัวข้ อต่ างๆ ยกตัวอย่ างเช่ น

- กระบวนการทํางานทีเ่ กีย่ วข้ อง
- ทรัพย์ สินทีเ่ กีย่ วข้ อง
- ซอฟท์ แวร์ ทเี่ กีย่ วข้ อง
- บุคลากรทีเ่ กีย่ วข้ อง
- ระบบการทํางานทีเ่ กีย่ วข้ อง
- ข้ อมูลประเภทต่ างๆทีอ่ งค์ กรใช้ งาน

13
 3/23/2023

ประเมินความเสี่ ยงและโอกาส

จัดทําแบบฟอร์ มการประเมินความเสี่ ยง ทีม่ ีการลงรายละเอียดของหัวข้ อทีท่ าํ การ

ประเมิน

พิจารณาว่ ามีความเสี่ ยงอะไรบ้ างทีจ่ ะทําให้ สิ่งเหล่ านั้นผิดปกติ (เกิดการรั่วไหลของ

ข้ อมูล, เกิดการผิดพลาดของข้ อมูล หรื อทําให้ ข้อมูลไม่ พร้ อมใช้ )

ประเมินความเสี่ ยงและโอกาส

สามารถตั้งเกณฑ์ ในการคัดเลือกว่ าจะประเมินความเสี่ ยงในหัวข้ อใดบ้ าง (ขึน้ อยู่กบั

ความสํ าคัญของหัวข้ อนั้นๆ) หรื อจะทําการประเมินทั้งหมดก็ได้

ยกตัวอย่ างเช่ น
ความสํ าคัญ (คะแนน 1-5)
• 1 คือไม่ มีความสํ าคัญเลยถ้ าเกิดเหตุผดิ ปกติ ส่ วน
• 5 นั้นคือส่ งผลกระทบอย่ างมาก (เช่ นทําให้ องค์ กรเสี ยชื่ อเสี ยง, ถูกยกเลิกสั ญญา
ต่ างๆ, ถูกดําเนินคดี, กิจการหลักไม่ สามารถดําเนินต่ อไปได้ เกินกว่ าทีก่ าํ หนดไว้ )

14
 3/23/2023

ประเมินความเสี่ ยงและโอกาส

หลังจากเลือกแล้ วว่ าจะประเมินความเสี่ ยงในหัวข้ อใดบ้ างแล้ วนั้น ให้ ทาํ การประเมิน
ความเสี่ ยงตามเกณฑ์ ทกี่ าํ หนดขึน้ ต่ อไป

ตัวอย่ างของเกณฑ์ ในการประเมินความเสี่ ยง

ระดับของความเสี่ ยง = ระดับความรุ นแรงของเหตุการณ์ x โอกาสในการเกิด

ประเมินความเสี่ ยงและโอกาส
ยกตัวอย่างของความรุนแรงเช่ น
ความรุนแรง (คะแนน 1-5)
• 1 คือไม่ ส่งผลเลยหรื อส่ งผลเล็กน้ อยต่ อ C,I,A
• 5 คือส่ งผลกระทบเป็ นจํานวนมากต่ อ C,I,A

เขียนอธิบายความหมายแต่ ละช่ วงคะแนนเพื่อความละเอียดในการประเมิน ยกตัวอย่ างเช่ น

• 2 คือข้ อมูลรั่วไหลในพนักงานระดับเดียวกันในแผนก, ข้ อมูลทีผ่ ดิ พลาดเป็ นส่ วนทีไ่ ม่ สําคัญ หรื อ ข้ อมูลยัง
พร้ อมใช้ มากกว่ า 99%
• 5 นั้นคือ ข้ อมูลรั่วไหลต่ อสาธารณะ, ข้ อมูลผิดพลาดจนไม่ สามารถใช้ งานได้ หรื อ ข้ อมูลไม่ พร้ อมใช้ งาน
มากกว่ า 70%

15
 3/23/2023

ประเมินความเสี่ ยงและโอกาส

ยกตัวอย่ างของโอกาสในการเกิดเช่ น
โอกาสในการเกิด (คะแนน 1-5)
• 1 คือไม่ เคยเกิดขึน้ เลยหรื อเกิดขึน้ เพียง 1 ครั้งในรอบ 2-3 ปี
• 5 คือเกิดขึน้ มากกว่ า 1 ครั้งต่ อเดือน เป็ นต้ น

เขียนอธิบายความหมายแต่ ละช่ วงคะแนนเพื่อความละเอียดในการประเมิน (แบบเดียวกับความ

รุนแรง)

ประเมินความเสี่ ยงและโอกาส
ระบุว่าเจ้ าของความเสี่ ยงนั้นคือใคร (คนทีเ่ กีย่ วข้ องกับความเสี่ ย งนั้นๆ)

จากนั้นทําการหาระดับของความเสี่ ย งจากเกณฑ์ ที่ต้งั มาและทําการตั้งเกณฑ์ ของระดับความเสี่ ย งด้ วย

ยกตัวอย่างของระดับความเสี่ ยงจากสมการ
ระดับของความเสี่ ยง = ระดับความรุนแรงของเหตุการณ์ x โอกาสในการเกิด
• คะแนน 1-6 : ยอมรับได้
• คะแนน 9-12 : ต้ องมีนโยบายหรื อมาตรการควบคุม
• คะแนน 16-25 : ต้ องจัดทําแผนลดความเสี่ ย ง

ต้ องจัดเก็บบันทึกทีเ่ กีย่ วข้ องกับการประเมินความเสี่ ย งด้ วย

16
 3/23/2023

จัดทํามาตรการควบคุมทีเ่ หมาะสม
หลังจากทําการประเมินความเสี่ ย งแล้ ว ทําการดําเนินการกับความเสี่ ย งตามเกณฑ์ ทกี่ าํ หนดเอาไว้
• ความเสี่ ยงทีอ่ ยู่ในระดับทีย่ อมรับได้ หรื อต้ องควบคุม : ทําการเลือกมาตรการควบคุมตาม Annex A
(ทั้งหมด 93 หัวข้ อ)
• ความเสี่ ยงทีอ่ ยู่ในระดับทีต่ ้ องทําการลด/จัดการความเสี่ ย ง : ทําแผนลดความเสี่ ย ง เพื่อทําการลดระดับของ
ความเสี่ ยงให้ กลับมาอยู่ในระดับทีย่ อมรับได้ หรื อต้ องควบคุม

ดําเนินการตามแผนลดความเสี่ ย งทีจ่ ัดทําขึน้ และตามมาตรการควบคุมใน Annex A

ทําการจัดทําเอกสาร Statement of Applicability (SOA) เพื่ออธิบายรายละเอียดการใช้ มาตรการ

ควบคุมใน Annex A

วางเป้ าหมาย /วัตถุประสงค์ ของระบบ

จัดทําเป้าหมาย /วัตถุประสงค์ ด้านความปลอดภัยของข้ อมูล (KPI) โดยต้ องวัดผลได้ และสอดคล้ องกับนโยบาย

ด้ านความความปลอดภัยของข้ อมูลด้ วย
ยกตัวอย่างเช่ น
1. ระบบและข้ อมูลถูกเข้ าถึงหรื อรั่วไหลไปยังผู้ทไี่ ม่ เกีย่ วข้ อง 0 ครั้งต่ อปี (ดูจาก log ทีเ่ ข้ าใช้ งานสํ าเร็จ หรื อจาก
ข้ อร้ องเรียน) - สอดคล้ องกับหัวข้ อ C
2. ข้ อมูลหลักมีความถูกต้ อง (ไม่ มขี ้ อมูลทีเ่ สี ยหาย/ผิดพลาด) 99% ต่ อเดือน (วัดจากการสุ่ มทดสอบ หรื อจากข้ อ
ร้ องเรียน) - สอดคล้ องกับหัวข้ อ I
3. ระบบและข้ อมูลหลักต้ องพร้ อมใช้ งานมากกว่ า 99% ต่ อเดือน (วัดจากค่ า Uptime ของระบบหลัก) -
สอดคล้ องกับหัวข้ อ A

17
 3/23/2023

วางเป้ าหมาย /วัตถุประสงค์ ของระบบ

แต่ ละ KPI จะต้ องมีแผนทีท่ าํ ให้ บรรลุผลด้ วย โดยรายละเอียดของแผนประกอบไปด้ วย (ทําอะไร, ใช้ ทรัพยากร
อะไร, ใครเป็ นคนรับผิดชอบ, จะเสร็จสิ้นอย่างไร, จะวัดผลอย่ างไร)
ยกตัวอย่างเช่ น
แผนงาน : ลดและป้องกันข้ อมูลรั่วไหล
สิ่ งทีท่ าํ : ติดตั้ง Firewall/Log analyzer เพื่อป้ องกันและตรวจสอบการรั่วไหลของข้ อมูล
ใครรับผิดชอบ : หน่ วยงาน IT
ระยะเวลา : ภายใน 3 เดือน
วัดผลอย่างไร : สามารถตรวจสอบ log ต่ างๆได้ หรื อป้ องกันระบบจากการถูกโจมตีจากภายนอกได้

วางเป้ าหมาย /วัตถุประสงค์ ของระบบ

ต้ องจัดเก็บบันทึกทีเ่ กีย่ วข้ องกับเป้ าหมาย /วัตถุประสงค์ ของระบบและแผนทีจ่ ะทําให้ บรรลุผลด้ วย

(แบบฟอร์ ม KPI / แบบฟอร์ มแผนการดําเนินงาน)

18
 3/23/2023

ควบคุมการเปลีย่ นแปลงทีเ่ กิดขึน้

จัดนํานโยบายและขั้นตอนควบคุมการเปลีย่ นแปลงทีเ่ กิดขึน้ ในองค์ กร (เช่ น

เปลีย่ นแปลงระบบทีใ่ ช้ งาน, อุปกรณ์ ทใี่ ช้ งาน, ขั้นตอนการทํางาน ทีอ่ าจจะเกิดขึน้ )

จะต้ องมีการวิเคราะห์ การเปลีย่ นแปลงทีเ่ กิดขึน้ ว่ ากระทบต่ อระบบบริหารความ

ปลอดภัยของข้ อมูลหรื อไม่ เพื่อทีจ่ ะได้ เปลีย่ นแปลงแก้ ไขระบบให้ สอดคล้ องกับการ
เปลีย่ นแปลงนั้นๆ

การวางแผนในการจัดทําระบบ
(ข้ อกําหนดที่ 7)

19
 3/23/2023

ข้ อกําหนดที่ 7 : วางแผนจัดทําระบบ

จัดเตรียมทรัพยากรที่ สร้ างความตระหนัก

กําหนดวิธีการสื่ อสาร
จําเป็ น เกีย่ วกับระบบ

จัดเตรียมทรัพยากรทีจ่ าํ เป็ น (คน)

จัดทํา Job Description สํ าหรับแต่ ละตําแหน่ งในองค์ กรทีร่ ะบุคุณสมบัตทิ ี่

จําเป็ นในการทํางาน (ทั้งในการทํางานตามธุรกิจหลักขององค์ กร และภายใต้ ระบบ
บริหารความปลอดภัยของข้ อมูล)

ต้ องทําการตรวจสอบคุณสมบัตขิ องพนักงานว่ าเหมาะสมกับตําแหน่ งนั้นหรื อไม่ และ

ต้ องเก็บบันทึกไว้ เป็ นหลักฐานด้ วย (เช่ นใบสมัคร/สํ าเนาวุฒ กิ ารศึกษา,บันทึกการ
ฝึ กอบรมต่ างๆ,ใบรับรองต่ างๆ)

20
 3/23/2023

จัดเตรียมทรัพยากรทีจ่ าํ เป็ น (ระบบเอกสาร)

ในระบบบริหารความปลอดภัยของข้ อมูลนั้นประกอบไปด้ วยเอกสารทีข่ ้ อกําหนดร้ อง

ขอให้ ทาํ (เช่ น บันทึก KPI) หรื อ บันทึกทีอ่ งค์ กรจัดทําขึน้ มาเองเพื่อประโยชน์ ของ
องค์ กร (เช่ น ใบร้ องขอการฝึ กอบรม แผนการฝึ กอบรม เป็ นต้ น)

ระบบเอกสารนั้นจะแตกต่ างกันไปขึน้ กับประเภท/ขนาด/ความสามารถของคนใน

องค์ กร

จัดเตรียมทรัพยากรทีจ่ าํ เป็ น (ระบบเอกสาร)

จัดทําคู่มือในการควบคุมเอกสารในองค์กร โดยเอกสารในระบบนั้นจะต้ อง
• ชี้บ่งชัดเจน : ด้ วยชื่ อเอกสาร, รหัสเอกสาร
• รู ปแบบเหมาะสม : อยู่ในรู ปแบบของกระดาษ หรื อไฟล์ แล้ วแต่ ความเหมาะสมใน
การใช้ งาน หรื อการเข้ าถึงของผู้ใช้
• ทบทวนและอนุมัตโิ ดยผู้ทกี่ าํ หนดอย่ างเหมาะสมและเพียงพอ : เอกสารจะต้ องมี
การกําหนดผู้อนุมัตใิ นเรื่ องของความถูกต้ องและให้ ใช้ งานอย่ างชัดเจน เช่ น คู่มือ
อนุมัตโิ ดยผู้จดั การ, นโยบายหลักอนุมัตโิ ดยผู้บริหาร เป็ นต้ น

21
 3/23/2023

จัดเตรียมทรัพยากรทีจ่ าํ เป็ น (ระบบเอกสาร)

ในการควบคุมเอกสารขององค์ กรนั้น จะประกอบไปด้ วยหัวข้ อต่ อไปนี้

• พร้ อมใช้ งาน : จัดทําเอกสารทีจ่ ําเป็ นในการทํางานให้ เรียบร้ อย และระบุอายุของเอกสารแต่ ละชนิดให้ ชัดเจน
(โดยเฉพาะแบบฟอร์ มบันทึกข้ อมูลต่ างๆ)
• ดูแลอย่างเหมาะสม : เอกสารนั้นจะต้ องอยู่ในสภาพทีใ่ ช้ งานได้ (ไม่ ฉีดขาด, อ่านไม่ ได้ , เปิ ดไม่ ได้ )
• การแจกจ่ าย การเข้ าถึงและนําไปใช้ : ผู้ปฏิบัตงิ านจะต้ องเข้ าถึงเอกสารทีจ่ ําเป็ นได้ (ไม่ ว่าจะเป็ นกระดาษ หรื อ
ไฟล์)
• การเรียกคืน : กรณีทมี่ กี ารเปลีย่ นแปลงเอกสาร (อัพเดทข้ อมูลใหม่ หรื อยกเลิกการใช้ งาน) จะต้ องมีการเรียก
เอกสารเก่ าคืน พร้ อมทั้งแจกจ่ ายเอกสารใหม่ (หรื อนําออกจากระบบถ้ าเป็ นไฟล์) เพื่อป้ องกันการใช้ เอกสารที่
ไม่ อพั เดท

จัดเตรียมทรัพยากรทีจ่ าํ เป็ น (ระบบเอกสาร)

ในการควบคุมเอกสารขององค์ กรนั้น จะประกอบไปด้ วยหัวข้ อต่ อไปนี้ (ต่ อ)

• การจัดเก็บ : เอกสารแต่ ละประเภทจะต้ องมีการจัดเก็บอย่ างเหมาะสม (สอดคล้องกับระดับชั้นของข้ อมูลใน
เอกสารนั้นๆด้ วย)
• การควบคุมการเปลีย่ นแปลง : จะต้ องมีการตรวจสอบว่ าเอกสารทีใ่ ช้ งานอยู่น้ันมีความเป็ นปัจจุบันอยู่เสมอ
• การทําลาย : เอกสารเมื่อครบอายุการจัดเก็บแล้ว จะต้ องทําการทําลายทิง้ อย่ างเหมาะสม (เหมาะสมกับ
ประเภทของข้ อมูลทีอ่ ยู่ในเอกสารนั้นๆ)

22
 3/23/2023

กําหนดวิธีการสื่ อสาร

ในการเขียนนโยบาย/มาตรการ/ขั้นตอนการปฏิบัติงาน/คู่มือการทํางานต่ างๆนั้นจะต้ องมีการลงรายละเอียดของ

การสื่ อสารในนั้นให้ ชัดเจนด้ วย (ใครเป็ นคนสื่ อสาร/สื่ อสารเมีอ่ ไหร่ /สื่ อสารไปยังใคร/สื่ อสารอย่ างไร)
ยกตัวอย่างเช่ น
หัวข้ อ : การสื่ อสารแนวทางการปฏิบัติตวั ในห้ อง Server ขององค์ กรสํ าหรับบุคคลทีไ่ ม่ เกีย่ วข้ อง
ใครเป็ นคนสื่ อสาร : พนักงานฝ่ าย IT
สื่ อสารเมื่อไหร่ : ในกรณีทมี่ บี ุคคลอื่นทีไ่ ม่ มสี ิ ทธิในการเข้ าห้ อง Server ต้ องการทีจ่ ะเข้ าห้ อง (เพื่อตรวจสอบ/
ซ่ อมบํารุ ง)
สื่ อสารไปยังใคร : บุคคลทีม่ าติดต่ อ (ลูกค้ า/ผู้ให้ บริการจากภายนอก เป็ นต้ น)
สื่ อสารอย่างไร : ส่ งเอกสารให้ บุคคลได้ อ่านก่ อนเข้ าพืน้ ที/่ แจ้ งต่ อผู้มาติดต่ อโดยตรง

สร้ างความตระหนักเกีย่ วกับระบบ

ทําการสื่ อสารเกีย่ วกับระบบบริหารความปลอดภัยของข้ อมูลใหแก่ บุคคลทีท่ าํ งานแก่

องค์ กรได้ รับทราบ
ยกตัวอย่ างเช่ น
- ติดประกาศนโยบาย, มาตรการต่ างๆทีเ่ กีย่ วข้ อง
- สื่ อต่ างๆทีแ่ สดงผลดี/ผลเสี ยของการมีระบบบริหารความปลอดภัยของข้ อมูล

23
 3/23/2023

การดําเนินงานตามระบบทีจ่ ดั ทํา
(ข้ อกําหนดที่ 8)

ข้ อกําหนดที่ 8 : ดําเนินงานตามระบบทีจ่ ดั ทํา

ประเมินความเสี่ ยงตาม
ดําเนินงานตามมาตรการ ทําตามแผนลดความ
แผนทีว่ างเอาไว้ หรื อเมื่อ
ควบคุมการเปลีย่ นแปลง เสี่ ยงทีจ่ ัดทําขึน้
มีการเปลีย่ นแปลง

24
 3/23/2023

ดําเนินงานตามมาตรการควบคุมการเปลีย่ นแปลง

ทางองค์ กรต้ องทําตามสิ่ งทีว่ างแผนเอาไว้ ในข้ อ 6.1 (ดําเนินงานตาม SOA และแผนลด
ความเสี่ ยง) เพื่อให้ บรรลุเป้าหมายทีก่ าํ หนดไว้ ในข้ อ 6.2 (KPI ในหัวข้ อต่ างๆ)

ควบคุมการเปลีย่ นแปลงต่ างๆทีเ่ กิดขึน้ (โดยใช้ นโยบายควบคุมการเปลีย่ นแปลงทีจ่ ดั ทํา

ขึน้ )

คํานึงถึงกระบวนการทีด่ าํ เนินการโดยผู้ให้ บริการจากภายนอกด้ วย (ผู้ให้ บริการจาก

ภายนอกจะต้ องทําตามนโยบายและมาตรการต่ างๆด้ วย)

ประเมินความเสี่ ยงตามแผนทีว่ างเอาไว้ หรื อเมื่อมีการเปลีย่ นแปลง

องค์ กรจะต้ องประเมินความเสี่ ยงตามแผนทีว่ างเอาไว้ (ยกตัวอย่ างเช่ น ปี ละ 1 ครั้งเป็ น

ต้ น) หรื อเมื่อมีการเปลีย่ นแปลงทีส่ ํ าคัญเกิดขึน้

ทําการจัดเก็บบันทึกการประเมินความเสี่ ยงไว้ เป็ นหลักฐานด้ วย

25
 3/23/2023

ทําตามแผนลดความเสี่ ยงทีจ่ ดั ทําขึน้

องค์ กรจะต้ องทําตามแผนการลดความเสี่ ย งทีว่ างเอาไว้ (แผนทีจ่ ัดทําเมื่อความเสี่ ยงอยู่ในเกณฑ์ ที่ยอมรับไม่ ได้ ใน
ขั้นตอนการประเมินความเสี่ ย ง ทั้งจากทีป่ ระเมินในตอนแรก และหลังจากทีด่ าํ เนินงานตามระบบทีว่ างไว้ ซัก
ระยะหนึ่งแล้ว)

จะต้ องทําการจัดเก็บบันทึกการดําเนินการตามแผนการลดความเสี่ ย งด้ วย

ยกตัวอย่างเช่ น
แผนในการติดตั้ง Firewall สํ าหรับ Network หลักขององค์ กร ถ้ าผลการประเมินความเสี่ ย งออกมาว่ า
ระบบมีโอกาสถูกจู่โจมจากภายนอก ทําให้ ระบบล่ม - จะต้ องแสดงหลักฐานการติดตั้ง Firewall และผลการ
ตรวจสอบระบบว่ าได้ รับผลกระทบจากการโจมตีลดน้ อยลง

การวัดผลระบบทีจ่ ดั ทํา(ข้ อกําหนด

ที่ 9)

26
 3/23/2023

ข้ อกําหนดที่ 9 : การวัดผลระบบทีจ่ ดั ทํา

จัดการตรวจติดตาม จัดการทบทวนฝ่ าย
ติดตามผลระบบทีจ่ ัดทํา
ภายใน บริหาร

ติดตามผลระบบทีจ่ ดั ทํา

ทําการติดตามผลการดําเนินงานของระบบทีจ่ ัดทําขึน้ ด้ วย โดยสามารถวัดผลได้ จากหัวข้ อต่ อไปนี้

• KPI ต่ างๆ : บรรลุผลหรื อไม่ (ถ้ าไม่ บรรลุผล ควรพิจารณาปรับแผนการดําเนินงานของ KPI
นั้นๆ)
• ความไม่ สอดคล้ องทีเ่ กิดขึน้ : จากทั้งในองค์ กร (ข้ อผิดพลาดทีพ่ บเจอระหว่ างการทํางานและ
การตรวจติดตามภายใน) และภายนอก (ข้ อร้ องเรียนจากผู้ทเี่ กีย่ วข้ อง)

โดยทัว่ ไปแล้วการติดตามผลจําดําเนินการโดยทีมงาน ISMS โดยอาจจะกําหนดให้ มีการประชุ ม

สรุ ปผลในทีมทุกๆเดือน หรื อเมื่อมีความจําเป็ น

27
 3/23/2023

จัดการตรวจติดตามภายใน

จัดทําการตรวจติดตามภายใน (ตรวจว่ าระบบทีจ่ ดั ทําขึน้ เป็ นไปตามทีว่ างแผนไหม โดย

เป็ นการตรวจกันเองภายในองค์ กร ในทุกหน่ วยงานทีอ่ ยู่ในขอบข่ ายและขอบเขตของ
ระบบ) โดยจัดตามรอบทีก่ าํ หนดไว้ (เช่ นปี ละ 1 ครั้ง เป็ นต้ น)

จัดการตรวจติดตามภายใน

จัดเตรียมหัวข้ อเหล่านีส้ ํ าหรับการตรวจติดตามภายใน

• แผนสํ าหรับการตรวจติดตามภายใน : กําหนดว่ าการตรวจติดตามจะจัดขึน้ ในช่ วงไหน,
กําหนดการเป็ นอย่ างไร (กําหนดแผนกทีร่ ับการตรวจพร้ อมวันและเวลาให้ ชัดเจน), วิธีการ
ตรวจรวมถึงการรายงานผลการตรวจ (ผลการตรวจมีอะไรบ้ าง, การแก้ ไขข้ อผิดพลาดทีพ่ บ
จากการตรวจต้ องทําอย่ างไรบ้ าง)
• ทีมผู้ตรวจติดตามภายใน : คัดเลือกบุคคลทีจ่ ะเป็ นผู้ตรวจติดตามภายใน (คนเดียวหรื อเป็ นทีม
ก็ได้ ) โดยเลือกจากคุณสมบัติ (ผ่ านการอบรมข้ อกําหนด, หลักการตรวจติดตามภายใน)

28
 3/23/2023

จัดการตรวจติดตามภายใน

• การตรวจนั้นจะไม่ ตรวจหน่ วยงานของตัวเอง (สามารถมีพ นักงานในหน่ วยงานเป็ นทีมผู้ตรวจ

ได้ เพื่อให้ รายละเอียดของหน่ วยงานให้ กบั ทีมผู้ตรวจ แต่ ผ้ ูตัดสิ นใจในการตรวจของทีมไม่ ควร
อยู่ในหน่ วยงานทีร่ ับตรวจ)
• ตรวจให้ ครอบคลุมข้ อกําหนดทีเ่ กีย่ วข้ องกับหน่ วยงานนั้นๆ (ทั้งส่ วนของข้ อกําหนดและ
Annex A)
• จัดเก็บผลการตรวจติดตามภายในของแต่ ละหน่ วยงานไว้เป็ นหลักฐานด้ วย

จัดการทบทวนฝ่ ายบริหาร

ฝ่ ายบริหารทําการทบทวนระบบบริหารของความปลอดภัยของข้ อมูลขององค์ กรว่ าเป็ นไปตามที่

วางแผนหรื อไม่ เช่ น เข้ าร่ วมการประชุ มรายเดือนของทีม ISMS หรื อผ่ านการประชุ มทบทวน
ฝ่ ายบริหาร

29
 3/23/2023

จัดการทบทวนฝ่ ายบริหาร
การทบทวนของฝ่ ายบริหาร (โดยทัว่ ไปจะเป็ นการจัดการประชุ ม) จะต้ องประกอบไปด้ วยหัวข้ อ
ต่ อไปนี้
• สถานะของการดําเนินการในหัวข้ อต่ างๆจากการทบทวนฝ่ ายบริหารครั้งทีแ่ ล้ว : ทุกๆการ
ทบทวน จะมีการสรุปสิ่ งทีจ่ ะต้ องพัฒ นา/ปรับปรุงต่ อ โดยจะต้ องมีการรายงานสถานะของการ
ดําเนินการในการทบทวนครั้งถัดไปด้ วย
• การเปลีย่ นแปลงของประเด็นภายในและภายนอกทีเ่ กีย่ วข้ องกับระบบบริหารความปลอดภัย
ของข้ อมูล : สรุปความเปลีย่ นแปลงทีเ่ กิดขึน้ ทั้งภายในและภายนอก (มองทั้งส่ วนของบริบท
ขององค์ กรและความต้ องการของผู้มีส่วนได้ ส่วนเสี ย) รวมไปถึงการเปลีย่ นแปลงทีเ่ กิดขึน้ กับ
ระบบ เพื่อให้ สอดคล้ องกับการเปลีย่ นแปลงเหล่านั้นด้ วย

จัดการทบทวนฝ่ ายบริหาร
การทบทวนของฝ่ ายบริหาร (โดยทัว่ ไปจะเป็ นการจัดการประชุ ม) จะต้ องประกอบไปด้ วยหัวข้ อต่ อไปนี้ (ต่ อ)
• ประสิ ทธิภาพของระบบบริหารความปลอดภัยของข้ อมูลตามหัวข้ อดังต่ อไปนี้
- ความไม่ สอดคล้องทีเ่ กิดขึน้ และการแก้ไข : รายงานถึงความไม่ สอดคล้องทีเ่ กิดขึน้ และการแก้ ไข (สาเหตุ/การ
แก้ไข/การป้องกัน)
- ผลของการเฝ้าติดตามและวัดผล : ภาพรวมของระบบทีจ่ ัดทําขึน้ ว่ าเป็ นไปตามทีว่ างแผนหรื อไม่ (อาจจะเป็ น
การสรุปจากทีมงาน ISMS ให้ กบั ทางผู้บริหาร)
- ผลจากการตรวจประเมิน : รายงานผลการตรวจติดตามภายในที่ผ่านมาให้ กบั ทางผู้บริหารได้ รับทราบ,
นอกจากนั้นแล้วถ้ ามีการตรวจประเมินจากผู้มสี ่ วนได้ ส่วนเสี ย (เช่ นลูกค้ า หรื อหน่ วยตรวจประเมินจากภายนอก)
ให้ ทาํ การรายงานผู้บริหารด้ วย
- ผลของวัตถุประสงค์ ด้านความปลอดภัยของข้ อมูล : รายงานผลของ KPI ทีต่ ้งั ในแต่ ละหัวข้ อ

30
 3/23/2023

จัดการทบทวนฝ่ ายบริหาร

การทบทวนของฝ่ ายบริหาร (โดยทัว่ ไปจะเป็ นการจัดการประชุ ม) จะต้ องประกอบไปด้ วยหัวข้ อต่ อไปนี้ (ต่ อ)
• ผลตอบกลับจากผู้มสี ่ วนได้ ส่วนเสี ย : รายงานว่ ามีประเด็นร้ องเรียน,คําแนะนําจากผู้มสี ่ วนได้ ส่วนเสี ย
อะไรบ้ าง (เช่ นลูกค้ า,ผู้ให้ บริการจากภายนอก) และมีการนําประเด็นเหล่านั้นมาปรับปรุ งระบบอย่ างไร
• ผลลัพธ์ จากการประเมินความเสี่ ย ง และสถานะของแผนลดความเสี่ ย ง : รายงานสถานะของการประเมิน
ความเสี่ ยงล่าสุ ดทีด่ าํ เนินการ (ภาพรวมของความเสี่ ย งทั้งหมด, ความเสี่ ยงทีย่ อมรับไม่ ได้ และแผนการ
ดําเนินการลดความเสี่ ย งทีจ่ ัดทํา)
• โอกาสสํ าหรับการปรับปรุ งพัฒ นาอย่างต่ อเนื่อง : สรุปประเด็นทีท่ มี งานอยากให้ ทางองค์ กรมีการปรับปรุ ง
เพื่อให้ ระบบดียงิ่ ขึน้

จัดการทบทวนฝ่ ายบริหาร

หลังจากทําการทบทวนประเด็นทั้งหมดเบื้องต้ นแล้ ว ฝ่ ายบริหารทําการตัดสิ นใจในหัวข้ อดังต่ อไปนี้

• การเปลีย่ นแปลงทีจ่ ําเป็ น : จากสิ่ งทีท่ มี งานรายงานมานั้น มีการดําเนินการอะไรบ้ างที่ต้องทําขึน้ เพื่อให้
ระบบนั้นยังคงเป็ นไปตามแผนทีว่ างไว้ (เช่ นการออกนโยบายใหม่ เพื่อให้ สอดคล้องกับระบบใหม่ ทนี่ ํามาใช้
งาน)
• สิ่ งทีจ่ ะพัฒ นา/ปรับปรุง : จากหัวข้ อโอกาสสํ าหรับการปรับปรุ งพัฒ นาอย่ างต่ อเนื่องทีท่ มี งานนําเสนอมานั้น
ฝ่ ายบริหารเป็ นคนตัดสิ นใจและจัดลําดับของหัวข้ อทีจ่ ะนําไปดําเนินการเพื่อพัฒ นาระบบอย่ างต่ อเนื่อง
ต่ อไป

จะต้ องเก็บหลักฐานการทบทวนของฝ่ ายบริหารในแต่ ละครั้งด้ วย (ในรูปแบบของวาระการประชุ ม เป็ นต้ น)

31
 3/23/2023

การแก้ ไขและปรับปรุ งระบบที่

จัดทํา(ข้ อกําหนดที่ 10)

ข้ อกําหนดที่ 10 : การแก้ ไขและปรับปรุ งระบบ

ความไม่ สอดคล้ องและ

การพัฒ นาอย่ างต่ อเนื่อง
การแก้ ไข

32
 3/23/2023

การพัฒ นาอย่ างต่ อเนื่อง

องค์ กรจะต้ องแสดงให้ เห็นว่ ามีการพัฒ นาระบบอย่ างต่ อเนื่อง (เช่ น ดําเนินการตามหัวข้ อทีฝ่ ่ าย
บริหารกําหนดในการพัฒ นาระบบให้ ดยี งิ่ ขึน้ รวมไปถึงการปรับปรุงนโยบายต่ างๆให้ เป็ นปัจจุบัน
และมีประสิ ทธิภาพเสมอ)

ความไม่ สอดคล้ องและการแก้ ไข

เมื่อมีความไม่ สอดคล้ องเกิดขึน้ (ไม่ ว่าจะเป็ นความผิดพลาดจากการทํางาน, ข้ อ

ร้ องเรียนจากผู้มีส่วนได้ ส่วนเสี ย) ความไม่ สอดคล้ องเหล่ านั้นจะต้ องจัดการอย่ างเป็ น
ระบบ โดยจะต้ อง
• รับมือกับเหตุการณ์ น้ันโดยทันที
• ประเมินผลทีอ่ าจจะตามมาจากเหตุการณ์ น้นั และหาทางรับมือด้ วย (ความผิดพลาด
บางอย่ าง อาจจะส่ งผลต่ อระบบอื่นๆด้ วย)

33
 3/23/2023

ความไม่ สอดคล้ องและการแก้ ไข

หลังจากจัดการกับเหตุการณ์ และผลกระทบอื่นๆทีอ่ าจจะตามมาแล้ ว ต้ องหาทางจัดการ

กับต้ นตอของความไม่ สอดคล้ องนั้นๆด้ วย โดยมีข้นั ตอนดังนี้
• ทบทวนเหตุการณ์ อกี ครั้ง
• ประเมินสิ่ งทีอ่ าจจะเป็ นสาเหตุของความไม่ สอดคล้ องนั้น และหาความไม่
สอดคล้ องทีค่ ล้ ายคลึงกันทีเ่ คยเกิดมาแล้ ว (เพื่อหาสาเหตุทอี่ าจจะเหมือนกัน)

ความไม่ สอดคล้ องและการแก้ ไข

หลังจากนั้นดําเนินการจัดการกับต้ นตอของความไม่ สอดคล้องนั้นๆ และตรวจสอบว่ าได้ ผลหรื อไม่ (ความรุ นแรง

ของความไม่ สอดคล้องลดลง หรื อลดโอกาสเกิดความไม่ สอดคล้ องนั้นๆ) และถ้ าจําเป็ นทีจ่ ะต้ องมีการ
เปลีย่ นแปลงระบบทีจ่ ัดทํา ก็ต้องดําเนินการด้ วย (ดําเนินการตามนโยบายควมคุมการเปลีย่ นแปลงด้ วย)

ทําการจัดเก็บเอกสารการแก้ไขต่ างๆไว้ เป็ นหลักฐานด้ วย (โดยทัว่ ไปจะเป็ นแบบฟอร์ ม Corrective

Action Request)

สามารถทบทวนความเสี่ ยงเทียบกับความไม่ สอดคล้องทีเ่ กิดขึน้ เพื่อทําการเพิม่ เติมความเสี่ ย งและจัดการตาม

ระบบบริหารความเสี่ ยงต่ อไป

34
 3/23/2023

Annex A (มาตรการควบคุมด้ านความปลอดภัยของ

ข้ อมูล)

ISO 27001:2013
แยกออกเป็ นการควบคุมทั้งหมด 14 หัวข้ อ (A.5-A.18) ยกตัวอย่ างเช่ น

การรักษา
ทรัพ ย์ สินและ การเข้ ารหัส
บุคคล ความปลอดภัย
การเข้ าถึง ข้ อมูล
เชิงพืน้ ที่

การพัฒ นาและ การควบคุม

การทํางาน ระบบ
จัดหา ผู้ให้ บริการ
อย่ างปลอดภัย เครื อข่ าย
ซอฟท์ แวร์ จากภายนอก

35
 3/23/2023

ISO 27001:2022
แยกออกเป็ นการควบคุมสิ่ งต่ างๆออกเป็ น 4 หัวข้ อ (A.5-A.8) ดังต่ อไปนี้

การควบคุมด้ วยนโยบายต่ างๆ การควบคุมด้ านบุคลากร

การควบคุมด้ านกายภาพ การควบคุมด้ วยเทคโนโลยีต่างๆ

การควบคุมด้ วยนโยบายต่ างๆสํ าหรับ

• ประเด็นทัว่ ๆไปในองค์ กร และการตรวจสอบระบบทีจ่ ัดทํา
• ทรัพย์สินและการเข้ าถึง
• ผู้ให้ บริการจากภายนอก การควบคุมด้ านบุคลากร
• เหตุการณ์ ทไี่ ม่ ปกติ
• ความต่ อเนื่องทางธุรกิจ
• กฎหมายและข้ อบังคับ

การควบคุมด้ วยเทคโนโลยีต่างๆสํ าหรับ

• ทรัพ ย์ สินและการเข้ าถึง
การควบคุมด้ านกายภาพ • การทํางานอย่ างปลอดภัย
• ระบบเครื อข่ าย
• การพัฒ นาและจัดหาซอฟท์ แวร์

36
 3/23/2023

การควบคุมสํ าหรับประเด็นทัว่ ๆไปในองค์กร (เชิงนโยบาย) (1)

จัดทํานโยบายด้ านความปลอดภัยของข้ อมูล

ในหัวข้ อต่ างๆ อนุมตั ิและสื่ อสารไปยังผู้ที่ กําหนดทีมงานผู้รับผิดชอบในระบบ ISMS
เกีย่ วข้ อง

ไม่ ควรจัดให้ มกี ารทํางานในลักษณะ

ดังต่ อไปนีใ้ นองค์ กร
- ทํางานคนเดียว โดยทีไ่ ม่ มผี ้ ูตรวจสอบการ
ทํางาน
- เป็ นทั้งผู้ปฏิบตั ิงาน และผู้ตรวจสอบ/อนุมตั ิ
ในเวลาเดียวกัน
ผู้บริหารต้ องทําการให้ พ นักงานทุกคน
ประยุกต์ ใช้ ข้อกําหนดด้ านความปลอดภัยของ
ข้ อมูลในการทํางาน (ทําตามนโยบายต่ างๆที่
จัดทําขึน้ )

การควบคุมสํ าหรับประเด็นทัว่ ๆไปในองค์กร (เชิงนโยบาย) (2)

จัดเตรียมรายชื่ อขององค์ กรต่ างๆทีม่ คี วาม

จัดเตรียมรายชื่ อองค์ กรภาครัฐทีเ่ กีย่ วข้ องกับ
สนใจและความเชี่ยวชาญด้ านความปลอดภัย
ธุรกิจขององค์ กรและด้ านความปลอดภัยของ
ของข้ อมูลรวมไปถึงวิธีการติดต่ อบุคคล
ข้ อมูลรวมไปถึงวิธีการติดต่ อบุคคลเหล่ านั้น
เหล่ านั้น

จัดเตรียมช่ องทางและแนวทางในการปฏิบตั ิ
ในการอัพ เดทข้ อมูลทีเ่ กีย่ วข้ องภัยคุกคามทาง
มีข้อกําหนดด้ านความปลอดภัยของข้ อมูลใน
ไซเบอร์ และจัดทําฐานข้ อมูลของข้ อมูล
ทุกๆโครงการทีเ่ กิดขึน้ ในองค์ กร
เหล่ านั้น และนํามาวิเคราะห์ ว่ามีผลกระทบ
ต่ อระบบของทางองค์ กรหรื อไม่

37
 3/23/2023

การควบคุมทรัพย์ สินขององค์ กร (เชิงนโยบาย)

จัดทําบัญชีทรัพ ย์ สินทีเ่ กีย่ วข้ องกับ จัดทํานโยบายในการใช้ งาน

ความปลอดภัยของข้ อมูลและระบุ
เจ้ าของ/ผู้รับผิดชอบทรัพ ย์ สิน
เหล่ านั้นด้ วย
พนักงานและคนทีเ่ กีย่ วข้ องจะต้ อง
ทรัพ ย์ สินขององค์ กรในแต่ ละ
คืนทรัพ ย์ สินหลังจากเลิกจ้ างหรื อ
ประเภทและทําการประกาศให้
เปลีย่ นแปลงหน้ าทีแ่ ล้ ว
พนักงานได้ รับทราบและปฏิบตั ิตาม

องค์ กรจะต้ องแบ่ งระดับชั้นของ มีการชี้บ่งข้ อมูลในแต่ ละประเภทให้ จัดทําข้ อตกลงในการส่ งข้ อมูลให้
ข้ อมูลออกตามความเหมาะสม เหมาะสม ยกตัวอย่ างเช่ น ชัดเจน

การควบคุมการเข้ าถึงต่ างๆ (เชิงนโยบาย)

กําหนดกฎในการเข้ าถึงข้ อมูลและทรัพ ย์ สิน มีการกําหนดวงจรชีวติ ของข้ อมูลทีใ่ ช้ ในการ

ต่ างๆให้ ชัดเจน ยืนยันตัวตนในองค์ กร

มีการกําหนดนโยบายสํ าหรับการบริหาร มีการกําหนดสิ ทธิในการเข้ าถึงข้ อมูลและ

ข้ อมูลทีใ่ ช้ ในการยืนยันตัวตน ระบบต่ างๆให้ ชัดเจน

38
 3/23/2023

การควบคุมผู้ให้ บริการจากภายนอกและบริการต่ างๆทีเ่ กีย่ วข้ อง (เชิงนโยบาย)

กําหนดนโยบายการควบคุมผู้ให้ บริการ
จากภายนอก
ระบุข้อตกลงในการรักษาความปลอดภัย
ของข้ อมูลระหว่ างองค์ กรกับผู้ให้ บริการ
จากภายนอกทีเ่ กีย่ วข้ องกับระบบบริหาร
ความปลอดภัยของข้ อมูล
ในกรณีทผี่ ้ ูให้ บริการจากภายนอกมีการ
ว่ าจ้ างบุคคล/นิติบุคคลอื่นๆให้ ทาํ งานที่
เกีย่ วข้ องกับองค์ กร ต้ องทําการปฏิบตั ิ
ตามข้ อตกลงในการรักษาความปลอดภัย
ของข้ อมูล หรื อนโยบายการทํางานของ
ทางองค์ กรด้ วย

ในกรณีทผี่ ้ ูให้ บริการจากภายนอกมีการ

กรณีทอี่ งค์ กรจําเป็ นทีจ่ ะต้ องใช้ บริการ
เปลีย่ นแปลงสั ญญา/แนวทางในการ
Cloud จะต้ องมีนโยบายการบริหาร
ให้ บริการต่ างๆ ต้ องทําการประเมินและ
Cloud ขององค์ กรทีใ่ ช้ งานด้ วย
บริหารการเปลีย่ นแปลงเหล่ านั้นด้ วย

การควบคุมผู้ให้ บริการจากภายนอกและบริการต่ างๆทีเ่ กีย่ วข้ อง (เชิงนโยบาย)

ระบุข้อตกลงในการรักษาความ
ปลอดภัยของข้ อมูลระหว่ างองค์ กร
กําหนดนโยบายการควบคุมผู้ให้
กับผู้ให้ บริการจากภายนอกที่
บริการจากภายนอก
เกีย่ วข้ องกับระบบบริหารความ
ปลอดภัยของข้ อมูล
ในกรณีทผี่ ้ ูให้ บริการจากภายนอกมี
การว่ าจ้ างบุคคล/นิติบุคคลอื่นๆให้
ทํางานทีเ่ กีย่ วข้ องกับองค์ กร ต้ องทํา
การปฏิบตั ิตามข้ อตกลงในการ
รักษาความปลอดภัยของข้ อมูล
หรื อนโยบายการทํางานของทาง
องค์ กรด้ วย

ในกรณีทผี่ ู้ให้ บริการจากภายนอกมี

กรณีทอี่ งค์ กรจําเป็ นทีจ่ ะต้ องใช้
การเปลีย่ นแปลงสั ญญา/แนวทางใน
บริการ Cloud จะต้ องมีนโยบาย
การให้ บริการต่ างๆ ต้ องทําการ
การบริหาร Cloud ขององค์ กรที่
ประเมินและบริหารการ
ใช้ งานด้ วย
เปลีย่ นแปลงเหล่ านั้นด้ วย

39
 3/23/2023

การควบคุมสํ าหรับเหตุการณ์ ผดิ ปกติ (เชิงนโยบาย)

กําหนดบทบาทหน้ าที่ในองค์ กรที่

จะต้ องทําการประเมินว่ า
เกีย่ วข้ องกับการรับมือกับ
เหตุการณ์ ไม่ ปกติทเี่ กิดขึน้ นั้นเป็ น จัดทํานโยบายรับมือต่ อเหตุการณ์
เหตุการณ์ ไม่ ปกติทอี่ าจจะ
เหตุการณ์ ทเี่ กีย่ วกับความไม่ ด้ านความปลอดภัยของข้ อมูล
เกีย่ วข้ องกับความปลอดภัยของ
ปลอดภัยของข้ อมูลหรื อไม่
ข้ อมูล

มีกระบวนการนําความรู้ทไี่ ด้ จาก
เหตุการณ์ ด้านความปลอดภัยของ จัดทํานโยบายรับมือต่ อเหตุการณ์
ข้ อมูลทีเ่ กิดขึน้ ไปปรับปรุ งระบบ ด้ านความปลอดภัยของข้ อมูล
ให้ ดยี งิ่ ขึน้

การรักษาความต่ อเนื่องทางธุรกิจ (เชิงนโยบาย)

จะต้ องมีการจัดทําแผนต่ อเนื่องทางธุรกิจ

จะต้ องมีการรักษาความปลอดภัยของข้ อมูล
(ขึน้ อยู่กบั ประเภทของธุรกิจและเป้ าหมายของ
ถึงแม้ ว่าจะอยู่ระหว่ างทีเ่ กิดเหตุการณ์ ทไี่ ม่
องค์ กร) และต้ องทําการทดสอบว่ าสามารถ
ปกติ (เช่ นไฟไหม้ โรคระบาด เป็ นต้ น)
ดําเนินการตามแผนดังกล่ าวได้ หรื อไม่

40
 3/23/2023

กฎหมายและข้ อกําหนดทีเ่ กีย่ วข้ อง (เชิงนโยบาย)

จัดทําขั้นตอนเพื่อให้ มนั่ ใจว่ า
ทําการระบุกฎหมาย ระเบียบ
องค์ กรสอดคล้ องกับกฎหมาย
ข้ อบังคับ และข้ อผูกพันตาม
ระเบียบข้ อบังคับ และข้ อผูกพัน
สั ญญาทีเ่ กีย่ วข้ องทั้งหมดให้
ตามสั ญญาทีเ่ กีย่ วข้ องกับ
ชัดเจน จัดทําเป็ นเอกสาร และ
ทรัพ ย์ สินทางปัญญาและ
อัพ เดทให้ เป็ นปัจจุบนั
ซอฟท์ แวร์ ทมี่ ลี ขิ สิ ทธิ์

กําหนดวิธีการดูแลบันทึกที่
เกีย่ วข้ องกับกฎหมาย ระเบียบ
ข้ อบังคับ และข้ อผูกพันตาม มีการดูแลและรักษาข้ อมูลส่ วน
สั ญญาไม่ ให้ สูญหาย ทําลาย บุคคลอย่ างเหมาะสม
ปลอมแปลง เข้ าถึงโดยไม่ ได้ รับ
อนุญาติ

การตรวจสอบระบบทีจ่ ัดทํา (เชิงนโยบาย)

มีการตรวจสอบว่ าระบบบริหาร
ความปลอดภัยของข้ อมูลนั้นเป็ นไป
ตามทีว่ างไว้ หรื อไม่
จัดทําขั้นตอนการทํางานสํ าหรับการ
ทวนสอบนโยบายด้ านความ
ทํางานกับระบบทีเ่ กีย่ วข้ องกับความ
ปลอดภัยของข้ อมูลในหัวข้ อต่ างๆอยู่
ปลอดภัยของข้ อมูลและส่ งมอบให้
เสมอ
ผู้ปฏิบตั ิงาน

41
 3/23/2023

การควบคุมทีเ่ กีย่ วกับคน (1)

มีการตรวจสอบประวัติ
ระบุข้อตกลงในการรักษา
พนักงานก่ อนเข้ าทํางาน (ถ้ ามี
ความปลอดภัยของข้ อมูลใน
ข้ อกําหนดของกฎหมายหรื อ
องค์ กรลงในสั ญญาการว่ าจ้ าง
ธุรกิจให้ นํามาพิจารณาด้ วย)
งานอย่ างเป็ นทางการ และ
และจะต้ องเหมาะสมกับระดับ
กําหนดลงในหน้ าทีก่ ารทํางาน
ความเสี่ ยงของข้ อมูลที่
ของพนักงานในองค์ กรด้ วย
พนักงานคนนั้นจะเข้ าถึงได้

สร้ างความตระหนัก ให้

มีการกําหนดบทลงโทษกรณีที่
ความรู้ และการฝึ กอบรมที่
ทําการฝ่ าฝื นนโยบายที่
เหมาะสม สื่ อสารและอัพ เดท
เกีย่ วข้ องกับความปลอดภัย
นโยบายและขั้นตอนการ
ของข้ อมูลและทําการสื่ อสาร
ทํางานทีเ่ กีย่ วข้ องกับตัว
ให้ พ นักงาน/ผู้ทเี่ กีย่ วข้ องอื่นๆ
ผู้ปฏิบตั ิงานและผู้ทเี่ กีย่ วข้ อง
รับทราบ
อยู่เสมอ

การควบคุมทีเ่ กีย่ วกับคน (2)

กําหนดให้ พ นักงานทีล่ าออกหรื อ มีการจัดทําสั ญญารักษาความลับ

มีเปลีย่ นแปลงการจ้ างงานทําการ ขององค์ กรเพื่อให้ บุคคล/องค์ กร
รักษาความลับของข้ อมูลทีไ่ ด้ ไป อื่นๆทีเ่ กีย่ วข้ องกับองค์ กรได้ รับ
ในระหว่ างทํางาน ทราบและยินยอม

กําหนดบทบาทหน้ าที่ในองค์ กรที่

เกีย่ วข้ องกับการรับมือกับ
มีการจัดทํานโยบายการทํางาน
เหตุการณ์ ไม่ ปกติทอี่ าจจะ
นอกสถานทีข่ ององค์ กร
เกีย่ วข้ องกับความปลอดภัยของ
ข้ อมูล

42
 3/23/2023

การควบคุมด้ านกายภาพ (1)

มีการจัดทําแนวกั้นพืน้ ทีท่ มี่ ี มีการติดตั้งระบบการป้ องกัน

พืน้ ทีห่ วงห้ ามควรมีการป้ อง
ข้ อมูลอ่ อนไหวหรื อมี การเข้ าถึงสํ าหรับสถานทีท่ าํ งาน
การเข้ าถึงและจุดการเข้ าถึง
ความสํ าคัญ รวมไปถึงอุปกรณ์ , ห้ องต่ างๆและโครงสร้ าง
อย่ างเหมาะสม
ทีใ่ ช้ ในการประมวลผลข้ อมูล พืน้ ฐานอย่ างเหมาะสม

จัดเตรียมอุปกรณ์ ป้องกัน
มีการตรวจสอบการเข้ าถึงเชิง
เหตุการณ์ ทางด้ านกายภาพตาม
กายภาพอยู่เสมอ เพื่อหาการ
ความจําเป็ น เช่ น กรณีไฟไหม้
เข้ าถึงโดยไม่ ได้ รับอนุญาติ
หรื ออาคารถูกบุกรุก

การควบคุมด้ านกายภาพ (2)

จัดทํานโยบายสํ าหรับการ
จัดเก็บเอกสาร/อุปกรณ์ ทใี่ ช้
บันทึกข้ อมูลพกพาประเภท
จัดทํานโยบายการทํางานใน
ต่ างๆ (USB/External
พืน้ ทีห่ วงห้ าม
HDD) และข้ อกําหนดในการ
จัดเก็บข้ อมูลต่ างๆไว้ ทหี่ น้ าจอ
อย่ างเหมาะสม

อุปกรณ์ ทใี่ ช้ ภายนอกองค์ กร

ควรได้ รับการดูแลและป้ องกัน
อุปกรณ์ ต่างๆควรจะต้ องมีการ
อย่ างเหมาะสม (สามารถเขียน
จัดวางและดูแลอย่ างเหมาะสม
รวมอยู่ในนโยบายการทํางาน
นอกสถานทีไ่ ด้ )

43
 3/23/2023

การควบคุมด้ านกายภาพ (3)

ทําการจัดสายไฟต่ างๆใน
มีการบริหารจัดการอุปกรณ์ ทใี่ ช้
มีการป้ องกันทรัพ ย์ สินทีใ่ ช้ สถานทีท่ าํ งานให้ เป็ นระเบียบ
ในการบันทึกข้ อมูลตลอดช่ วง
ประมวลผลข้ อมูลเสี ยหายจาก และมีการป้องกันจากความ
อายุการใช้ งาน (ได้ รับมา, ใช้
ไฟดับหรื อจากระบบอื่นๆ เสี ยหายภายนอกทีอ่ าจจะ
งาน, ทําลาย)
เกิดขึน้

มีการซ่ อมบํารุ งและดูแล

มีการตรวจสอบว่ าทําการลบ
อุปกรณ์ ต่างๆทีเ่ กีย่ วข้ องกับ
ข้ อมูลทีส่ ํ าคัญรวมไปถึง
ระบบบริหารความปลอดภัย
ซอฟท์ แวร์ ทมี่ ลี ขิ สิ ทธิ์ออกจาก
ของข้ อมูลให้ พ ร้ อมใช้ งานอยู่
อุปกรณ์ ต่างๆ
เสมอ

การควบคุมทรัพย์ สินและการเข้ าถึง (เชิงเทคโนโลยี)

มีมาตรการป้องกันสํ าหรับ จํากัดสิ ทธิการเข้ าถึงข้ อมูลและ

จํากัดสิ ทธิการใช้ งานแบบพิเศษ
อุปกรณ์ ทใี่ ช้ งานโดยผู้ใช้ งาน ทรัพ ย์ สินต่ างๆให้ สอดคล้ องกับ
(สามารถเข้ าถึงระบบต่ างๆได้
ทัว่ ๆไป (เช่ น บุคคลทีม่ าติดต่ อ นโยบายการควบคุมการเข้ าถึง
กับทางองค์ กร เป็ นต้ น) หมด - Admin เป็ นต้ น)
ข้ อมูลและระบบต่ างๆ

ทําการควบคุม
- การเข้ าถึงและการแก้ ไข นําเทคโนโลยีทใี่ ช้ ควบคุมการ
source code เข้ าถึงเพื่อจํากัดการเข้ าถึง
- การเข้ าใช้ งานเครื่ องมือทีใ่ ช้ ข้ อมูลและระบบต่ างๆ รวมไป
ในการพัฒ นา (เช่ น Gitlab ถึงการใช้ วธิ ีการยืนยันตัวตน
เป็ นต้ น) อย่ างปลอดภัย
- ไลบรารี่ของซอฟท์ แวร์ ต่างๆ

44
 3/23/2023

การทํางานอย่ างปลอดภัย (เชิงเทคโนโลยี) (1)

จัดเตรียมช่ องทางและ
ทําการในการเฝ้าระวัง ทําการลงซอฟท์ แวร์ ทใี่ ช้
แนวทางในการปฏิบตั ิในการ
ทรัพยากรในด้ านต่ างๆ ป้ องกัน malware
อัพ เดทข้ อมูลทีเ่ กีย่ วข้ องกับ
ยกตัวอย่ างเช่ น อุปกรณ์ , หรื อ ประเภทต่ างๆ และต้ องมัน่ ใจ
ช่ องโหว่ ความปลอดภัยของ
หน่ วยความจํา/ประมวลผล ว่ าสามารถอัพ เดทได้ และ
ข้ อมูล และนํามาวิเคราะห์ ว่ามี
ของ Server และ Cloud ผู้ปฏิบตั ิงานมีความเข้ าใจเรื่ อง
ผลกระทบต่ อระบบของทาง
ให้ มเี พียงพอต่ อความต้ องการ ของ malware
องค์ กรหรื อไม่

ทําการจัดทําคู่มือรวบรวม
เกีย่ วกับการตั้งค่ าต่ างๆของ
ระบบและอุปกรณ์ ทใี่ ช้ ใน ทําการลบข้ อมูลตามระยะเวลา
องค์ กร และคู่มือต้ องทําการ การจัดเก็บเอกสารทีก่ าํ หนดไว้
ทบทวนให้ เป็ นปัจจุบนั อยู่
เสมอ

การทํางานอย่ างปลอดภัย (เชิงเทคโนโลยี) (2)

องค์ กรต้ องมีการใช้ งาน Data

masking และ
มีมาตรการตรวจสอบการ
Encryption ร่ วมกับการ
รั่วไหลของข้ อมูล
ควบคุมการเข้ าถึงข้ อมูล/
ข้ อกําหนดของธุรกิจ/กฎหมาย

ทํารายการอุปกรณ์ หรื อระบบที่

จัดทํานโยบายการสํ ารองข้ อมูล
จําเป็ นต่ อการทํางาน และ
ในองค์ กร และทําการตรวจสอบ
จัดเตรียมอุปกรณ์ หรื อระบบ
และทดสอบอยู่เสมอ
เหล่ านีส้ ํ ารองไว้

45
 3/23/2023

การทํางานอย่ างปลอดภัย (เชิงเทคโนโลยี) (3)

มีการตรวจสอบว่ าระบบวันที/่
ต้ องมีการตรวจสอบเครื อข่ าย/
เวลาของระบบหรื ออุปกรณ์
ระบบ/การใช้ งานแอพพลิเคชั่น
ต่ างๆทีอ่ งค์ กรนั้นมีความ
ทําระบบการจัดเก็บ log ต่ างๆ ต่ างๆเพื่อหาพฤติกรรมที่
เทีย่ งตรงกับเวลา
ขององค์ กร ผิดปกติ และดําเนินการจัดการ
มาตรฐานสากล (เพื่อยืนยัน
เพื่อป้ องกันเหตุการณ์ ผดิ ปกติ
ความถูกต้ องของ Log ทีท่ าํ
ด้ านความปลอดภัยของข้ อมูล
การจัดเก็บ)

ถ้ ามีการใช้ งานโปรแกรมทีม่ ี
ความสามารถทีจ่ ะแทรกแทรง
การทํางานของโปรแกรมอื่น ต้ องมีข้อกําหนดในการลง
จะต้ องมัน่ ใจว่ าโปรแกรม โปรแกรมทีจ่ ะใช้ ในการทํางาน
เหล่ านั้นถูกใช้ เมื่อจําเป็ นและใช้
งานอย่ างระมัดระวัง

การควบคุมระบบเครื อข่ าย (เชิงเทคโนโลยี)

มีการประยุกต์ ใช้ หัวข้ อดังต่ อไปนีส้ ํ าหรับ
เครื อข่ ายของทางองค์ กร
เครื อข่ ายและอุปกรณ์ ใน - Security mechanisms วิธีการ
เครื อข่ ายจะต้ องมีการป้ องกัน, ในการสร้ างบริการด้ านความปลอดภัยแก่
ระบบ
จัดการและควบคุมเพื่อป้ องกัน - Service levels คือระดับของการ
ข้ อมูลในระบบและ ให้ บริการในระบบ เช่ น ระดับพนักงาน ระดับ
หัวหน้ า เป็ นต้ น
แอพพลิเคชั่น - Service requirement คือข้ อตกลง
ในการให้ บริการ

ทําการแบ่ งเครื อข่ าย/กลุ่ม ทําการควบคุมการเข้ าถึง

ผู้ใช้ งานออกจากกันให้ ชัดเจนใน website ภายนอกเพื่อ
องค์ กร ป้ องกันเนื้อหาทีอ่ นั ตราย

46
 3/23/2023

การพัฒ นาและจัดหาซอฟท์ แวร์ (เชิงเทคโนโลยี) (1)

จัดทํานโยบายสํ าหรับการพัฒ นา จะต้ องมีการกําหนดข้ อกําหนด นโยบายสํ าหรับการพัฒ นา

ซอฟท์ แวร์ สํ าหรับใช้ งานทั้งการ ด้ านความปลอดภัยของข้ อมูลเมื่อ ซอฟท์ แวร์ จะต้ องสอดคล้ องกับ
พัฒ นาด้ วยองค์ กรเอง หรื อจ้ าง ทําการพัฒ นาหรื อจัดหา หลักการของ engineering
บุคคลภายนอก แอพพลิเคชั่นด้ วย secure systems ด้ วย

นโยบายสํ าหรับการพัฒ นา นโยบายสํ าหรับการพัฒ นา

ซอฟท์ แวร์ จะต้ องมีรายละเอียด ซอฟท์ แวร์ จะต้ องมีรายละเอียด
ของ Secure Coding และ ของการทดสอบในด้ านความ
จะต้ องเป็ นข้ อกําหนดทีผ่ ู้พ ฒ
ั นา ปลอดภัยของข้ อมูลระหว่ างการ
จะต้ องดําเนินการด้ วย พัฒ นาด้ วย

การพัฒ นาและจัดหาซอฟท์ แวร์ (เชิงเทคโนโลยี) (2)

นโยบายสํ าหรับการพัฒ นา
ซอฟท์ แวร์ ท้งั หมดนั้นจะต้ อง
ประยุกต์ ใช้ กบั ผู้ให้ บริการจาก
ภายนอกทีร่ ับพัฒ นาซอฟท์ แวร์
ด้ วย และทางองค์ กรจะต้ องคอย
ตรวจสอบว่ าทําตามนโยบายที่
องค์ กรกําหนดไว้ หรื อไม่
ทําการแยกระบบทีใ่ ช้ ในการ
ทดสอบระหว่ างการพัฒ นา ออก
จากระบบทีใ่ ช้ งานจริง
การเปลีย่ นแปลงทีเ่ กิดขึน้ ใน
องค์ กร (เกิดขึน้ เป็ นผลจาก
ซอฟท์ แวร์ ทพี่ ฒ ั นาใหม่ ) จะต้ อง
มีการวิเคราะห์ การเปลีย่ นแปลง
ทีเ่ กิดขึน้ ว่ ากระทบต่ อระบบ
บริหารความปลอดภัยของ
ข้ อมูลหรื อไม่

การตรวจสอบระบบโดยผู้ตรวจ
ประเมินและกิจกรรมการตรวจ
นโยบายสํ าหรับการพัฒ นา
ประเมินอื่นๆ ทีเ่ กีย่ วข้ องกับ
ซอฟท์ แวร์ จะต้ องมีรายละเอียด
ตรวจสอบระบบทีท่ าํ งานจะ
ของการควบคุมข้ อมูลทีใ่ ช้ ใน
ต้ องมีการวางแผนและตกลงกัน
การทดสอบด้ วย
ระหว่ างผู้ทดสอบและฝ่ าย
บริหารทีเ่ กีย่ วข้ อง

47
 3/23/2023

95

48