Professional Documents
Culture Documents
Iso 27001-2022 R.01
Iso 27001-2022 R.01
อ.จีรวัฒน์ สวนกัน
1
3/23/2023
2
3/23/2023
หน่วยงานต่างๆภายในองค์กรนั้นจะต้องทําตามข้อกําหนดที่เกี่ยวข้องกับตัวเอง (ทั้งทางตรง
และทางอ้อม) โดยมีฝ่ายบริ หารเป็ นคนให้แนวทางและสนับสนุนให้การดําเนินงานของ
องค์กรนั้นสอดคล้องกับ ISO 27001
3
3/23/2023
หลักการ PDCA กับ ISO 27001 ISO 27001 นั้นมีการใช้ หลักการ PDCA ดังนี้
Plan : วางแผนในการจัดทําระบบ
ข้ อกําหนดที่ 4 : กําหนดแนวทางและขอบเขตในการจัดทําระบบ ISO 27001 ของ
องค์กร โดยการวิเคราะห์บริ บทของทางองค์กร, ความต้องการของผูม้ ีส่วนได้ส่วนเสี ย
4
3/23/2023
Do : ดําเนินงานตามระบบทีจ่ ดั ทํา
5
3/23/2023
จากนั้นทําการวางแผนเพื่อพัฒนาระบบที่จดั ทําขึ้นจากประสบการณ์ที่ได้รับจากการ
ดําเนินการในระบบที่จดั ทําและความผิดพลาดที่เกิดขึ้น
6
3/23/2023
การวางแผนในการจัดทําระบบ
(ข้ อกําหนดที่ 4)
7
3/23/2023
ข้ อกําหนดที่ 4 : บริบทขององค์ กร
8
3/23/2023
วางขอบเขตของระบบจากความต้ องการนั้น
จากความต้ องการของตัวธุรกิจเองและผู้ทเี่ กีย่ วข้ อง (ผู้มสี ่ วนได้ ส่วนเสี ย) ให้ ทาํ การวางขอบเขตและขอบข่ ายที่
สอดคล้องกับความต้ องการเหล่านั้น
9
3/23/2023
การวางแผนในการจัดทําระบบ
(ข้ อกําหนดที่ 5)
ข้ อกําหนดที่ 5 : ภาวะของผู้นํา
10
3/23/2023
วางนโยบายหลักขององค์ กร
จากนั้นทําการสื่ อสารไปยังภายในและภายนอกองค์ กร
ภายใน : ติดประกาศ, ประชุม, ลงใน website ขององค์ กร
ภายนอก : ติดประกาศ, ลงใน website ขององค์ กร
11
3/23/2023
การวางแผนในการจัดทําระบบ
(ข้ อกําหนดที่ 6)
12
3/23/2023
ข้ อกําหนดที่ 6 : วางแผนจัดทําระบบ
ประเมินความเสี่ ยงและ
โอกาส รวมไปถึงการ วางเป้าหมาย/ ควบคุมการเปลีย่ นแปลง
จัดทํามาตรการควบคุมที่ วัตถุประสงค์ ของระบบ ทีเ่ กิดขึน้
เหมาะสม
ประเมินความเสี่ ยงและโอกาส
13
3/23/2023
ประเมินความเสี่ ยงและโอกาส
ประเมินความเสี่ ยงและโอกาส
ยกตัวอย่ างเช่ น
ความสํ าคัญ (คะแนน 1-5)
• 1 คือไม่ มีความสํ าคัญเลยถ้ าเกิดเหตุผดิ ปกติ ส่ วน
• 5 นั้นคือส่ งผลกระทบอย่ างมาก (เช่ นทําให้ องค์ กรเสี ยชื่ อเสี ยง, ถูกยกเลิกสั ญญา
ต่ างๆ, ถูกดําเนินคดี, กิจการหลักไม่ สามารถดําเนินต่ อไปได้ เกินกว่ าทีก่ าํ หนดไว้ )
14
3/23/2023
ประเมินความเสี่ ยงและโอกาส
หลังจากเลือกแล้ วว่ าจะประเมินความเสี่ ยงในหัวข้ อใดบ้ างแล้ วนั้น ให้ ทาํ การประเมิน
ความเสี่ ยงตามเกณฑ์ ทกี่ าํ หนดขึน้ ต่ อไป
ประเมินความเสี่ ยงและโอกาส
ยกตัวอย่างของความรุนแรงเช่ น
ความรุนแรง (คะแนน 1-5)
• 1 คือไม่ ส่งผลเลยหรื อส่ งผลเล็กน้ อยต่ อ C,I,A
• 5 คือส่ งผลกระทบเป็ นจํานวนมากต่ อ C,I,A
15
3/23/2023
ประเมินความเสี่ ยงและโอกาส
ยกตัวอย่ างของโอกาสในการเกิดเช่ น
โอกาสในการเกิด (คะแนน 1-5)
• 1 คือไม่ เคยเกิดขึน้ เลยหรื อเกิดขึน้ เพียง 1 ครั้งในรอบ 2-3 ปี
• 5 คือเกิดขึน้ มากกว่ า 1 ครั้งต่ อเดือน เป็ นต้ น
ประเมินความเสี่ ยงและโอกาส
ระบุว่าเจ้ าของความเสี่ ยงนั้นคือใคร (คนทีเ่ กีย่ วข้ องกับความเสี่ ย งนั้นๆ)
ยกตัวอย่างของระดับความเสี่ ยงจากสมการ
ระดับของความเสี่ ยง = ระดับความรุนแรงของเหตุการณ์ x โอกาสในการเกิด
• คะแนน 1-6 : ยอมรับได้
• คะแนน 9-12 : ต้ องมีนโยบายหรื อมาตรการควบคุม
• คะแนน 16-25 : ต้ องจัดทําแผนลดความเสี่ ย ง
16
3/23/2023
จัดทํามาตรการควบคุมทีเ่ หมาะสม
หลังจากทําการประเมินความเสี่ ย งแล้ ว ทําการดําเนินการกับความเสี่ ย งตามเกณฑ์ ทกี่ าํ หนดเอาไว้
• ความเสี่ ยงทีอ่ ยู่ในระดับทีย่ อมรับได้ หรื อต้ องควบคุม : ทําการเลือกมาตรการควบคุมตาม Annex A
(ทั้งหมด 93 หัวข้ อ)
• ความเสี่ ยงทีอ่ ยู่ในระดับทีต่ ้ องทําการลด/จัดการความเสี่ ย ง : ทําแผนลดความเสี่ ย ง เพื่อทําการลดระดับของ
ความเสี่ ยงให้ กลับมาอยู่ในระดับทีย่ อมรับได้ หรื อต้ องควบคุม
17
3/23/2023
แต่ ละ KPI จะต้ องมีแผนทีท่ าํ ให้ บรรลุผลด้ วย โดยรายละเอียดของแผนประกอบไปด้ วย (ทําอะไร, ใช้ ทรัพยากร
อะไร, ใครเป็ นคนรับผิดชอบ, จะเสร็จสิ้นอย่างไร, จะวัดผลอย่ างไร)
ยกตัวอย่างเช่ น
แผนงาน : ลดและป้องกันข้ อมูลรั่วไหล
สิ่ งทีท่ าํ : ติดตั้ง Firewall/Log analyzer เพื่อป้ องกันและตรวจสอบการรั่วไหลของข้ อมูล
ใครรับผิดชอบ : หน่ วยงาน IT
ระยะเวลา : ภายใน 3 เดือน
วัดผลอย่างไร : สามารถตรวจสอบ log ต่ างๆได้ หรื อป้ องกันระบบจากการถูกโจมตีจากภายนอกได้
18
3/23/2023
การวางแผนในการจัดทําระบบ
(ข้ อกําหนดที่ 7)
19
3/23/2023
ข้ อกําหนดที่ 7 : วางแผนจัดทําระบบ
20
3/23/2023
จัดทําคู่มือในการควบคุมเอกสารในองค์กร โดยเอกสารในระบบนั้นจะต้ อง
• ชี้บ่งชัดเจน : ด้ วยชื่ อเอกสาร, รหัสเอกสาร
• รู ปแบบเหมาะสม : อยู่ในรู ปแบบของกระดาษ หรื อไฟล์ แล้ วแต่ ความเหมาะสมใน
การใช้ งาน หรื อการเข้ าถึงของผู้ใช้
• ทบทวนและอนุมัตโิ ดยผู้ทกี่ าํ หนดอย่ างเหมาะสมและเพียงพอ : เอกสารจะต้ องมี
การกําหนดผู้อนุมัตใิ นเรื่ องของความถูกต้ องและให้ ใช้ งานอย่ างชัดเจน เช่ น คู่มือ
อนุมัตโิ ดยผู้จดั การ, นโยบายหลักอนุมัตโิ ดยผู้บริหาร เป็ นต้ น
21
3/23/2023
22
3/23/2023
กําหนดวิธีการสื่ อสาร
23
3/23/2023
การดําเนินงานตามระบบทีจ่ ดั ทํา
(ข้ อกําหนดที่ 8)
ประเมินความเสี่ ยงตาม
ดําเนินงานตามมาตรการ ทําตามแผนลดความ
แผนทีว่ างเอาไว้ หรื อเมื่อ
ควบคุมการเปลีย่ นแปลง เสี่ ยงทีจ่ ัดทําขึน้
มีการเปลีย่ นแปลง
24
3/23/2023
ดําเนินงานตามมาตรการควบคุมการเปลีย่ นแปลง
ทางองค์ กรต้ องทําตามสิ่ งทีว่ างแผนเอาไว้ ในข้ อ 6.1 (ดําเนินงานตาม SOA และแผนลด
ความเสี่ ยง) เพื่อให้ บรรลุเป้าหมายทีก่ าํ หนดไว้ ในข้ อ 6.2 (KPI ในหัวข้ อต่ างๆ)
25
3/23/2023
องค์ กรจะต้ องทําตามแผนการลดความเสี่ ย งทีว่ างเอาไว้ (แผนทีจ่ ัดทําเมื่อความเสี่ ยงอยู่ในเกณฑ์ ที่ยอมรับไม่ ได้ ใน
ขั้นตอนการประเมินความเสี่ ย ง ทั้งจากทีป่ ระเมินในตอนแรก และหลังจากทีด่ าํ เนินงานตามระบบทีว่ างไว้ ซัก
ระยะหนึ่งแล้ว)
26
3/23/2023
จัดการตรวจติดตาม จัดการทบทวนฝ่ าย
ติดตามผลระบบทีจ่ ัดทํา
ภายใน บริหาร
ติดตามผลระบบทีจ่ ดั ทํา
27
3/23/2023
จัดการตรวจติดตามภายใน
จัดการตรวจติดตามภายใน
28
3/23/2023
จัดการตรวจติดตามภายใน
จัดการทบทวนฝ่ ายบริหาร
29
3/23/2023
จัดการทบทวนฝ่ ายบริหาร
การทบทวนของฝ่ ายบริหาร (โดยทัว่ ไปจะเป็ นการจัดการประชุ ม) จะต้ องประกอบไปด้ วยหัวข้ อ
ต่ อไปนี้
• สถานะของการดําเนินการในหัวข้ อต่ างๆจากการทบทวนฝ่ ายบริหารครั้งทีแ่ ล้ว : ทุกๆการ
ทบทวน จะมีการสรุปสิ่ งทีจ่ ะต้ องพัฒ นา/ปรับปรุงต่ อ โดยจะต้ องมีการรายงานสถานะของการ
ดําเนินการในการทบทวนครั้งถัดไปด้ วย
• การเปลีย่ นแปลงของประเด็นภายในและภายนอกทีเ่ กีย่ วข้ องกับระบบบริหารความปลอดภัย
ของข้ อมูล : สรุปความเปลีย่ นแปลงทีเ่ กิดขึน้ ทั้งภายในและภายนอก (มองทั้งส่ วนของบริบท
ขององค์ กรและความต้ องการของผู้มีส่วนได้ ส่วนเสี ย) รวมไปถึงการเปลีย่ นแปลงทีเ่ กิดขึน้ กับ
ระบบ เพื่อให้ สอดคล้ องกับการเปลีย่ นแปลงเหล่านั้นด้ วย
จัดการทบทวนฝ่ ายบริหาร
การทบทวนของฝ่ ายบริหาร (โดยทัว่ ไปจะเป็ นการจัดการประชุ ม) จะต้ องประกอบไปด้ วยหัวข้ อต่ อไปนี้ (ต่ อ)
• ประสิ ทธิภาพของระบบบริหารความปลอดภัยของข้ อมูลตามหัวข้ อดังต่ อไปนี้
- ความไม่ สอดคล้องทีเ่ กิดขึน้ และการแก้ไข : รายงานถึงความไม่ สอดคล้องทีเ่ กิดขึน้ และการแก้ ไข (สาเหตุ/การ
แก้ไข/การป้องกัน)
- ผลของการเฝ้าติดตามและวัดผล : ภาพรวมของระบบทีจ่ ัดทําขึน้ ว่ าเป็ นไปตามทีว่ างแผนหรื อไม่ (อาจจะเป็ น
การสรุปจากทีมงาน ISMS ให้ กบั ทางผู้บริหาร)
- ผลจากการตรวจประเมิน : รายงานผลการตรวจติดตามภายในที่ผ่านมาให้ กบั ทางผู้บริหารได้ รับทราบ,
นอกจากนั้นแล้วถ้ ามีการตรวจประเมินจากผู้มสี ่ วนได้ ส่วนเสี ย (เช่ นลูกค้ า หรื อหน่ วยตรวจประเมินจากภายนอก)
ให้ ทาํ การรายงานผู้บริหารด้ วย
- ผลของวัตถุประสงค์ ด้านความปลอดภัยของข้ อมูล : รายงานผลของ KPI ทีต่ ้งั ในแต่ ละหัวข้ อ
30
3/23/2023
จัดการทบทวนฝ่ ายบริหาร
การทบทวนของฝ่ ายบริหาร (โดยทัว่ ไปจะเป็ นการจัดการประชุ ม) จะต้ องประกอบไปด้ วยหัวข้ อต่ อไปนี้ (ต่ อ)
• ผลตอบกลับจากผู้มสี ่ วนได้ ส่วนเสี ย : รายงานว่ ามีประเด็นร้ องเรียน,คําแนะนําจากผู้มสี ่ วนได้ ส่วนเสี ย
อะไรบ้ าง (เช่ นลูกค้ า,ผู้ให้ บริการจากภายนอก) และมีการนําประเด็นเหล่านั้นมาปรับปรุ งระบบอย่ างไร
• ผลลัพธ์ จากการประเมินความเสี่ ย ง และสถานะของแผนลดความเสี่ ย ง : รายงานสถานะของการประเมิน
ความเสี่ ยงล่าสุ ดทีด่ าํ เนินการ (ภาพรวมของความเสี่ ย งทั้งหมด, ความเสี่ ยงทีย่ อมรับไม่ ได้ และแผนการ
ดําเนินการลดความเสี่ ย งทีจ่ ัดทํา)
• โอกาสสํ าหรับการปรับปรุ งพัฒ นาอย่างต่ อเนื่อง : สรุปประเด็นทีท่ มี งานอยากให้ ทางองค์ กรมีการปรับปรุ ง
เพื่อให้ ระบบดียงิ่ ขึน้
จัดการทบทวนฝ่ ายบริหาร
31
3/23/2023
32
3/23/2023
องค์ กรจะต้ องแสดงให้ เห็นว่ ามีการพัฒ นาระบบอย่ างต่ อเนื่อง (เช่ น ดําเนินการตามหัวข้ อทีฝ่ ่ าย
บริหารกําหนดในการพัฒ นาระบบให้ ดยี งิ่ ขึน้ รวมไปถึงการปรับปรุงนโยบายต่ างๆให้ เป็ นปัจจุบัน
และมีประสิ ทธิภาพเสมอ)
33
3/23/2023
34
3/23/2023
ISO 27001:2013
แยกออกเป็ นการควบคุมทั้งหมด 14 หัวข้ อ (A.5-A.18) ยกตัวอย่ างเช่ น
การรักษา
ทรัพ ย์ สินและ การเข้ ารหัส
บุคคล ความปลอดภัย
การเข้ าถึง ข้ อมูล
เชิงพืน้ ที่
35
3/23/2023
ISO 27001:2022
แยกออกเป็ นการควบคุมสิ่ งต่ างๆออกเป็ น 4 หัวข้ อ (A.5-A.8) ดังต่ อไปนี้
36
3/23/2023
จัดเตรียมช่ องทางและแนวทางในการปฏิบตั ิ
ในการอัพ เดทข้ อมูลทีเ่ กีย่ วข้ องภัยคุกคามทาง
มีข้อกําหนดด้ านความปลอดภัยของข้ อมูลใน
ไซเบอร์ และจัดทําฐานข้ อมูลของข้ อมูล
ทุกๆโครงการทีเ่ กิดขึน้ ในองค์ กร
เหล่ านั้น และนํามาวิเคราะห์ ว่ามีผลกระทบ
ต่ อระบบของทางองค์ กรหรื อไม่
37
3/23/2023
องค์ กรจะต้ องแบ่ งระดับชั้นของ มีการชี้บ่งข้ อมูลในแต่ ละประเภทให้ จัดทําข้ อตกลงในการส่ งข้ อมูลให้
ข้ อมูลออกตามความเหมาะสม เหมาะสม ยกตัวอย่ างเช่ น ชัดเจน
38
3/23/2023
39
3/23/2023
มีกระบวนการนําความรู้ทไี่ ด้ จาก
เหตุการณ์ ด้านความปลอดภัยของ จัดทํานโยบายรับมือต่ อเหตุการณ์
ข้ อมูลทีเ่ กิดขึน้ ไปปรับปรุ งระบบ ด้ านความปลอดภัยของข้ อมูล
ให้ ดยี งิ่ ขึน้
40
3/23/2023
กําหนดวิธีการดูแลบันทึกที่
เกีย่ วข้ องกับกฎหมาย ระเบียบ
ข้ อบังคับ และข้ อผูกพันตาม มีการดูแลและรักษาข้ อมูลส่ วน
สั ญญาไม่ ให้ สูญหาย ทําลาย บุคคลอย่ างเหมาะสม
ปลอมแปลง เข้ าถึงโดยไม่ ได้ รับ
อนุญาติ
จัดทําขั้นตอนการทํางานสํ าหรับการ
มีการตรวจสอบว่ าระบบบริหาร ทวนสอบนโยบายด้ านความ
ทํางานกับระบบทีเ่ กีย่ วข้ องกับความ
ความปลอดภัยของข้ อมูลนั้นเป็ นไป ปลอดภัยของข้ อมูลในหัวข้ อต่ างๆอยู่
ปลอดภัยของข้ อมูลและส่ งมอบให้
ตามทีว่ างไว้ หรื อไม่ เสมอ
ผู้ปฏิบตั ิงาน
41
3/23/2023
42
3/23/2023
จัดเตรียมอุปกรณ์ ป้องกัน
มีการตรวจสอบการเข้ าถึงเชิง
เหตุการณ์ ทางด้ านกายภาพตาม
กายภาพอยู่เสมอ เพื่อหาการ
ความจําเป็ น เช่ น กรณีไฟไหม้
เข้ าถึงโดยไม่ ได้ รับอนุญาติ
หรื ออาคารถูกบุกรุก
43
3/23/2023
ทําการจัดสายไฟต่ างๆใน
มีการบริหารจัดการอุปกรณ์ ทใี่ ช้
มีการป้ องกันทรัพ ย์ สินทีใ่ ช้ สถานทีท่ าํ งานให้ เป็ นระเบียบ
ในการบันทึกข้ อมูลตลอดช่ วง
ประมวลผลข้ อมูลเสี ยหายจาก และมีการป้องกันจากความ
อายุการใช้ งาน (ได้ รับมา, ใช้
ไฟดับหรื อจากระบบอื่นๆ เสี ยหายภายนอกทีอ่ าจจะ
งาน, ทําลาย)
เกิดขึน้
ทําการควบคุม
- การเข้ าถึงและการแก้ ไข นําเทคโนโลยีทใี่ ช้ ควบคุมการ
source code เข้ าถึงเพื่อจํากัดการเข้ าถึง
- การเข้ าใช้ งานเครื่ องมือทีใ่ ช้ ข้ อมูลและระบบต่ างๆ รวมไป
ในการพัฒ นา (เช่ น Gitlab ถึงการใช้ วธิ ีการยืนยันตัวตน
เป็ นต้ น) อย่ างปลอดภัย
- ไลบรารี่ของซอฟท์ แวร์ ต่างๆ
44
3/23/2023
ทําการจัดทําคู่มือรวบรวม
เกีย่ วกับการตั้งค่ าต่ างๆของ
ระบบและอุปกรณ์ ทใี่ ช้ ใน ทําการลบข้ อมูลตามระยะเวลา
องค์ กร และคู่มือต้ องทําการ การจัดเก็บเอกสารทีก่ าํ หนดไว้
ทบทวนให้ เป็ นปัจจุบนั อยู่
เสมอ
45
3/23/2023
ถ้ ามีการใช้ งานโปรแกรมทีม่ ี
ความสามารถทีจ่ ะแทรกแทรง
การทํางานของโปรแกรมอื่น ต้ องมีข้อกําหนดในการลง
จะต้ องมัน่ ใจว่ าโปรแกรม โปรแกรมทีจ่ ะใช้ ในการทํางาน
เหล่ านั้นถูกใช้ เมื่อจําเป็ นและใช้
งานอย่ างระมัดระวัง
46
3/23/2023
การตรวจสอบระบบโดยผู้ตรวจ
ประเมินและกิจกรรมการตรวจ
นโยบายสํ าหรับการพัฒ นา
ประเมินอื่นๆ ทีเ่ กีย่ วข้ องกับ
ซอฟท์ แวร์ จะต้ องมีรายละเอียด
ตรวจสอบระบบทีท่ าํ งานจะ
ของการควบคุมข้ อมูลทีใ่ ช้ ใน
ต้ องมีการวางแผนและตกลงกัน
การทดสอบด้ วย
ระหว่ างผู้ทดสอบและฝ่ าย
บริหารทีเ่ กีย่ วข้ อง
47
3/23/2023
95
48