เนื้อหาวันที่ : 2009-09-03 17:31:54 จำนวนผู้เข้าชมแล้ว : 7065 views

ISO 27001 IT Security Management Systems มาตรฐานระบบบริหารความมั่นคงปลอดภัยสารสนเทศ (ตอนที่ 1)

ความก้าวหน้าของเทคโนโลยีสารสนเทศที่เพิ่มมากขึ้น ส่งผลให้ความต้องการในการดูแลความมั่นคงปลอดภัยของสารสนเทศเพิ่มสูงขึ้นด้วย องค์กรต่าง ๆ ต่างให้ความสำคัญอย่างมากต่อการพัฒนาระบบเพื่อการดูแลรักษาความมั่นคงปลอดภัยของสารสนเทศขององค์กร มีการพัฒนามาตรฐานเกี่ยวกับการดูแลรักษาความมั่นคงปลอดภัยสารสนเทศออกมาอย่างต่อเนื่อง เพื่อป้องกันความเสียหายที่จะเกิดขึ้นจากภัยคุกคามในรูปแบบต่าง ๆ ที่มีต่อระบบสารสนเทศขององค์กร ซึ่งนับวันจะทวีความรุนแรง และท้าทายต่อผู้บริหารองค์กรที่รับผิดชอบในการดูแลระบบอย่างมาก

กิตติพงศ์ จิรวัสวงศ์
kitroj@yahoo.com

.

.

ความก้าวหน้าของเทคโนโลยีสารสนเทศที่เพิ่มมากขึ้น ส่งผลให้ความต้องการในการดูแลความมั่นคงปลอดภัยของสารสนเทศเพิ่มสูงขึ้นด้วย องค์กรต่าง ๆ ทั้งภาครัฐและภาคเอกชนต่างก็ให้ความสำคัญอย่างมากต่อการพัฒนาระบบเพื่อการดูแลรักษาความมั่นคงปลอดภัยของสารสนเทศขององค์กร มีการพัฒนามาตรฐานเกี่ยวกับการดูแลรักษาความมั่นคงปลอดภัยสารสนเทศออกมาอย่างต่อเนื่อง เพื่อป้องกันความเสียหายที่จะเกิดขึ้นจากภัยคุกคามในรูปแบบต่าง ๆ ที่มีต่อระบบสารสนเทศขององค์กร ซึ่งนับวันจะทวีความรุนแรง และท้าทายต่อผู้บริหารองค์กรที่รับผิดชอบในการดูแลระบบอย่างมาก 

.

มาตรฐาน ISO/IEC27001 เป็นมาตรฐานที่พัฒนาขึ้นโดย ISO (International Organization for Standardization) โดยเป็นข้อกำหนดสำหรับการพัฒนาระบบบริหารความมั่นคงปลอดภัยสารสนเทศ (Information Security Management System: ITSM) เพื่อสร้างความมั่นใจถึงความมีประสิทธิผลและประสิทธิภาพของความมั่นคงปลอดภัยสารสนเทศขององค์กร รวมถึงการดำเนินการที่สอดคล้องตามข้อกำหนดด้านระบบความมั่นคงปลอดภัยทั้งของลูกค้า ข้อกฎหมาย และระเบียบข้อบังคับต่าง ๆ ที่เกี่ยวข้องด้วย

.

นอกจากมาตรฐาน ISO/IEC 27001 แล้ว ยังได้มีการพัฒนามาตรฐานขึ้นมาอีกฉบับหนึ่งคือมาตรฐาน ISO/IEC 17799 (Information Technology + Security Techniques - Code of Practices for Information Security Management) ซึ่งเป็นมาตรฐานที่ระบุถึงแนวปฏิบัติสำหรับการประเมินและจัดการความเสี่ยง รวมถึงแนวทางในการควบคุม ตามมาตรฐาน ISO/IEC 27001 โดยล่าสุดได้ออกมาเป็นรุ่นที่ 2 (Version 2) แล้วในปี 2005 (ปีเดียวกับมาตรฐาน ISO/IEC 27001)

.

ข้อกำหนดของมาตรฐาน ISO/IEC 27001 ได้แบ่งเนื้อหาของข้อกำหนดออกเป็น 2 ส่วนประกอบด้วย ส่วนของการบริหารจัดการระบบความมั่นคงปลอดภัยสารสนเทศ และส่วนของรายการควบคุม และวัตถุประสงค์ของการควบคุม

.
แนวทางการบริหารความมั่นคงปลอดภัยสารสนเทศ

ในการบริหารจัดการระบบบริหารความมั่นคงปลอดภัยสารสนเทศ จะขับเคลื่อนผ่านวงจร PDCA (ดังรูป) ซึ่งประกอบด้วย การวางแผน (Plan) การลงมือทำ (Do) การตรวจสอบ (Check) และการปรับปรุงแก้ไข (Act)

.

รูปที่ 1 วงจร PDCA สำหรับการรักษาความมั่นคงปลอดภัยสารสนเทศ

.
การวางแผน (Plan)
ในขั้นตอนของการวางแผนระบบการบริหารความมั่นคงปลอดภัยสารสนเทศ จะประกอบด้วยขั้นตอนต่าง ๆ ดังนี้

1. การกำหนดขอบเขต (Scope) ของระบบ โดยคำนึงถึงลักษณะทางธุรกิจ องค์กร สถานที่ ทรัพย์สิน และเทคโนโลยี รวมถึงรายละเอียดและเหตุผลของสิ่งที่ไม่นำมารวมไว้ในขอบเขตของระบบด้วย

.

2. การกำหนดนโยบายความมั่นคงปลอดภัยสารสนเทศ (Information Security Management System Policy) โดยที่นโยบายจะต้อง
* เป็นกรอบในการจัดทำวัตถุประสงค์ (Objectives) รวมถึงทิศทางและหลักการในการดำเนินการเกี่ยวกับความมั่นคงปลอดภัยสารสนเทศ
* คำนึงถึงข้อกำหนดทางธุรกิจและกฎหมาย รวมถึงข้อบังคับตามสัญญาที่เกี่ยวกับความมั่นคงปลอดภัยสารสนเทศ
* สอดคล้องกับการบริหารความเสี่ยงเชิงกลยุทธ์ขององค์กร
* กำหนดเกณฑ์ที่จะใช้ในการประเมินความเสี่ยง และ
* ได้รับการอนุมัติโดยฝ่ายบริหาร

.

3. การกำหนดแนวทางในการประเมินความเสี่ยงสำหรับองค์กรที่เหมาะสมกับ ISMS และความมั่นคงปลอดภัยสารสนเทศทางธุรกิจ รวมถึงข้อกำหนดทางกฎหมายที่เกี่ยวข้อง

.

4. การระบุความเสี่ยง ซึ่งประกอบด้วย
* การระบุทรัพย์สินภายในขอบเขตของ ISMS และเจ้าของทรัพย์สินนั้น ๆ
* การระบุภัยคุกคามที่มีต่อทรัพย์สิน
* การระบุจุดอ่อนที่ทำให้ภัยคุกคามมีผลกับทรัพย์สิน
* การระบุถึงผลกระทบที่มีต่อการรักษาความลับ ความสมบูรณ์ และความพร้อมใช้ของทรัพย์สิน

.

5. การวิเคราะห์และประเมินความเสี่ยง โดย
* การประเมินถึงผลกระทบทางธุรกิจ ซึ่งเกิดจากความล้มเหลวในความมั่นคงปลอดภัย โดยคำนึงถึงความสูญเสียในการรักษาความลับ ความสมบูรณ์หรือความพร้อมของทรัพย์สิน
* การประเมินถึงโอกาสในการเกิดขึ้นของความล้มเหลวที่มีต่อความมั่นคงปลอดภัย
* การคำนวณระดับของความเสี่ยง
* การพิจารณาความสามารถในการยอมรับความเสี่ยง หรือความจำเป็นในการจัดการกับความเสี่ยง โดยใช้เกณฑ์การยอมรับความเสี่ยงที่กำหนดขึ้น

.

6. การกำหนดและประเมินแนวทางในการจัดการความเสี่ยง โดยแนวทางที่ใช้ในการจัดการความเสี่ยง จะประกอบด้วย
* การกำหนดมาตรการควบคุมที่เหมาะสม
* การยอมรับความเสี่ยงที่เกิดขึ้น
* การหลีกเลี่ยงความเสี่ยง และ
* การโอนย้ายความเสี่ยงไปยังหน่วยงานอื่น ๆ เช่น การประกันภัย 

.

7. การคัดเลือกรายการควบคุม และวัตถุประสงค์การควบคุมสำหรับการจัดการความเสี่ยง โดยในขั้นตอนนี้จะเป็นการคัดเลือกหัวข้อการควบคุม และวัตถุประสงค์การควบคุม รวมถึงการนำไปปฏิบัติเพื่อให้สอดคล้องกับแนวทางที่กำหนดจากการประเมิน และกระบวนการจัดการความเสี่ยง โดยการคัดเลือกจะพิจารณาถึงเกณฑ์การยอมรับความเสี่ยง รวมถึงข้อกำหนดทางกฎหมาย และข้อสัญญาต่าง ๆ 
8. การอนุมัติความเสี่ยงที่เหลืออยู่โดยผู้บริหารระดับสูงขององค์กร
9. การอนุมัติโดยผู้บริหารในการดำเนินการ ISMS

.

10. การจัดเตรียมเอกสารแสดงการประยุกต์ใช้งาน หรือ Statement of Applicability (SOA) โดยเอกสาร SOA จะเป็นเอกสารที่อธิบายถึงรายการของหัวข้อควบคุม (Control) และวัตถุประสงค์การควบคุม (Control Objectives) ที่ได้เลือกไว้ และเหตุผลของการเลือก รวมถึงหัวข้อควบคุมและวัตถุประสงค์ควบคุมที่มีการดำเนินการอยู่ในปัจจุบัน หรือที่เรียกว่า Base Line Control ในกรณีที่หัวข้อการควบคุมใดที่ระบุว่าจะไม่มีการดำเนินการ จะต้องมีการระบุถึงเหตุผลของการยกเว้นไว้ด้วย 

.
การลงมือทำ (Do)
ในขั้นตอนของการลงมือทำ จะประกอบด้วย 

1. การจัดทำแผนการจัดการความเสี่ยง โดยระบุรายละเอียดของการดำเนินงาน ทรัพยากรที่ต้องการ ความรับผิดชอบและลำดับความสำคัญในการดำเนินงาน สำหรับการจัดการกับความเสี่ยงที่มีต่อความมั่นคงปลอดภัยสารสนเทศ
2. การดำเนินการตามแผนการจัดการความเสี่ยง เพื่อให้บรรลุตามวัตถุประสงค์การควบคุมที่ได้กำหนดไว้ รวมถึงการพิจารณาจัดสรรเงินทุนและกำหนดหน้าที่ความรับผิดชอบในการดำเนินการด้วย
3. การดำเนินการตามการควบคุมที่ได้กำหนดไว้ เพื่อให้ได้ตามวัตถุประสงค์การควบคุม
4. การกำหนดแนวทางในการวัดความมีประสิทธิผลของการควบคุม หรือกลุ่มการควบคุมที่ได้กำหนด
5. การจัดฝึกอบรมและการสร้างการรับรู้ขึ้นภายในองค์กร
6. การบริหารงาน ISMS
7. การจัดการทรัพยากรสำหรับ ISMS
8. การดำเนินงานตามวิธีการปฏิบัติงาน และการควบคุมอื่น ๆ เพื่อให้สามารถตรวจสอบเหตุการณ์เกี่ยวกับความมั่นคงปลอดภัย และการตอบสนองต่อเหตุการณ์นั้น ๆ 

.
การตรวจสอบ (Check) 
องค์กรจะต้องมีการดำเนินการต่าง ๆ ประกอบด้วย

1. การดำเนินการเฝ้าติดตาม และทบทวนวิธีการปฏิบัติงาน และการควบคุมต่าง ๆ เพื่อ
* ตรวจจับความผิดพลาดของผลลัพธ์ที่ได้จากการประมวลผล
* ระบุถึงการละเมิดความมั่นคงปลอดภัยและเหตุการณ์ต่าง ๆ ที่เกิดขึ้น
* ช่วยให้ฝ่ายบริหารสามารถระบุถึงการดำเนินการความมั่นคงที่ได้มอบหมายให้บุคลากรต่าง ๆ เป็นไปตามที่คาดหมายไว้
* ช่วยในการตรวจจับเหตุการณ์ที่เกี่ยวกับความมั่นคงปลอดภัยโดยการใช้ดัชนีวัดที่เหมาะสม
* พิจารณาถึงความมีประสิทธิผลในการดำเนินการเพื่อแก้ไขการละเมิดความมั่นคงปลอดภัย

.

2. การดำเนินการทบทวนความมีประสิทธิผลของ ISMS อย่างสม่ำเสมอ โดยคำนึงถึงผลของการตรวจประเมินความมั่นคงปลอดภัย (Audit) เหตุการณ์ที่เกิดขึ้น ผลของการวัดความมีประสิทธิผล ข้อเสนอแนะ และข้อมูลแจ้งกลับจากหน่วยงานต่าง ๆ ที่เกี่ยวข้อง
3. การวัดความมีประสิทธิผลของการควบคุม เพื่อทวนสอบถึงความสอดคล้องตามข้อกำหนดความมั่นคงปลอดภัย

.

4. ทบทวนการประเมินความเสี่ยงตามแผนที่ได้กำหนดไว้ รวมถึงทบทวนความเสี่ยงที่เหลืออยู่และระดับของความเสี่ยงที่สามารถยอมรับได้ โดยคำนึงถึงการเปลี่ยนแปลงในองค์กร เทคโนโลยี วัตถุประสงค์และกระบวนการทางธุรกิจ ภัยคุกคามที่ระบุไว้ ความมีประสิทธิผลของการควบคุม และเหตุการณ์ภายนอก เช่น การเปลี่ยนแปลงในข้อกฎหมาย ข้อบังคับตามสัญญาที่เปลี่ยนแปลง และการเปลี่ยนแปลงทางสังคม

.

5. การดำเนินการตรวจประเมิน ISMS ภายใน
6. การดำเนินการทบทวนโดยฝ่ายบริหาร เพื่อดูแลความเพียงพอของขอบเขต และการดำเนินการปรับปรุงกระบวนการ ISMS
7. การปรับปรุงแผนความมั่นคงปลอดภัย โดยคำนึงถึงสิ่งที่พบจากการเฝ้าติดตาม และการทบทวน
8. การบันทึกผลการดำเนินการ และเหตุการณ์ที่อาจส่งผลต่อความมีประสิทธิผล หรือผลการดำเนินงานของ ISMS 

.
การปรับปรุงแก้ไข (Act)
ในขั้นตอนการของการปรับปรุงและแก้ไขระบบ จะประกอบด้วย 

1. การดำเนินการปรับปรุง ISMS ตามที่ได้กำหนดไว้
2. การปฏิบัติการแก้ไขและการป้องกันอย่างเหมาะสม รวมถึงการนำบทเรียนจากประสบการณ์ความมั่นคงปลอดภัยขององค์กรอื่น ๆ และขององค์กรเองมาปรับใช้อย่างเหมาะสม 
3. การสื่อสารการดำเนินการ และการปรับปรุงไปยังหน่วยงานต่าง ๆ ที่เกี่ยวข้องทั้งหมด
4. การดูแลให้มั่นใจว่าการปรับปรุงเป็นไปตามวัตถุประสงค์ที่ได้กำหนดไว้

.
ข้อกำหนดทางด้านเอกสาร 
เอกสารใน ISMS จะประกอบด้วย

1. เอกสารแสดงนโยบาย ISMS และวัตถุประสงค์
2. ขอบเขตของ ISMS
3. วิธีการปฏิบัติงาน และการควบคุมเพื่อสนับสนุนต่อ ISMS
4. คำอธิบายเกี่ยวกับวิธีการประเมินความเสี่ยง
5. รายงานการประเมินความเสี่ยง
6. แผนการจัดการความเสี่ยง
7. เอกสารวิธีการปฏิบัติงานที่จำเป็นสำหรับองค์กร เพื่อให้มั่นใจได้ถึงความมีประสิทธิผลในการวางแผน การดำเนินการ และการควบคุมกระบวนการความมั่นคงปลอดภัยสารสนเทศ และอธิบายถึงแนวทางในการวัดความมีประสิทธิผลของการควบคุม
8. บันทึกที่จำเป็นสำหรับมาตรฐาน
9. เอกสาร Statement of Applicability

.
การควบคุมเอกสารและบันทึก 

เอกสารที่กำหนดโดย ISMS จะต้องได้รับการปกป้องดูแลและควบคุม ทั้งนี้จะต้องมีการจัดทำเอกสารระเบียบการปฏิบัติงานสำหรับการควบคุมเอกสาร โดยระบุถึง

.

* การอนุมัติเอกสารก่อนนำไปใช้งาน
* การทบทวน และปรับปรุงเอกสารให้ทันสมัย รวมถึงมีการอนุมัติซ้ำ
* การดูแลการเปลี่ยนแปลง และสถานะล่าสุดของเอกสาร
* การดูแลให้เอกสารฉบับที่เกี่ยวข้อง อยู่ ณ จุดใช้งาน
* เอกสารจะต้องสามารถอ่าน และทำความเข้าใจได้ง่าย
* การดูแลให้เอกสารพร้อมสำหรับผู้ที่ต้องการใช้งาน รวมถึงมีการแจกจ่าย จัดเก็บ และทำลายให้สอดคล้องตามวิธีการปฏิบัติงานที่กำหนด
* การระบุอย่างชัดเจนถึงเอกสารจากภายนอกที่มีการนำมาใช้งาน
* การควบคุมการแจกจ่ายเอกสาร
* การป้องกันการใช้งานเอกสารที่ยกเลิกแล้ว
* การชี้บ่งอย่างเหมาะสมกรณีมีการนำเอกสารที่ยกเลิกแล้วกลับมาใช้งาน

.

ในส่วนของบันทึก จะต้องมีการจัดเก็บและดูแลรักษา เพื่อเป็นหลักฐานแสดงถึงความสอดคล้องตามข้อกำหนด และความมีประสิทธิผลของการดำเนินการ ISMS ทั้งนี้บันทึกต่าง ๆ จะต้องได้รับการปกป้องดูแลและควบคุม โดยจะต้องคำนึงถึงข้อกำหนดทางกฎหมายที่เกี่ยวข้องและข้อบังคับตามสัญญาด้วย 

.

นอกจากนั้น บันทึกต่าง ๆ จะต้องอ่าน และเข้าใจได้ง่าย มีการระบุอย่างชัดเจน และสามารถนำมาใช้งานได้โดยง่ายด้วย แนวทางในการควบคุมจะต้องมีการจัดทำเป็นเอกสารระเบียบการปฏิบัติงานไว้อย่างชัดเจน โดยเนื้อหาจะต้องครอบคลุมถึงการระบุ การจัดเก็บ การปกป้องดูแลรักษา การนำมาใช้งาน ระยะเวลาในการจัดเก็บ และการทำลายบันทึกต่าง ๆ 

.
ความรับผิดชอบของฝ่ายบริหาร 

ผู้บริหารระดับสูงขององค์กร จะต้องแสดงให้เห็นถึงความมุ่งมั่นต่อการจัดทำ การนำไปปฏิบัติ การปฏิบัติการ การเฝ้าติดตาม การทบทวน การบำรุงรักษา และการปรับปรุง ISMS โดยการ

.

1. จัดทำนโยบาย ISMS
2. การดูแลให้มีการจัดทำวัตถุประสงค์ของ ISMS
3. การกำหนดบทบาท หน้าที่ความรับผิดชอบสำหรับการดูแลความมั่นคงปลอดภัยสารสนเทศ
4. การสื่อสารถึงความสำคัญของการดำเนินการตามนโยบาย และวัตถุประสงค์ความมั่นคงปลอดภัยสารสนเทศ
5. การจัดให้มีทรัพยากรอย่างเพียงพอ สำหรับการจัดทำ การนำไปปฏิบัติ การดำเนินงาน การเฝ้าติดตาม การทบทวน การดูแลรักษา และการปรับปรุง ISMS
6. การตัดสินใจเกี่ยวกับเกณฑ์การยอมรับ และระดับของความเสี่ยงที่สามารถยอมรับได้
7. การดูแลให้มีการตรวจประเมินภายใน (Internal ISMS Audit)
8. การดำเนินการทบทวนโดยฝ่ายบริหาร

.
การจัดสรรทรัพยากร  

องค์กรจะต้องมีการพิจารณา และจัดสรรทรัพยากรอย่างเพียงพอ สำหรับ
1. การจัดทำ การนำไปปฏิบัติ การดำเนินการ การเฝ้าติดตาม การทบทวน การดูแลรักษา และการปรับปรุง ISMS
2. การดูแลให้วิธีการปฏิบัติงานเกี่ยวกับความมั่นคงปลอดภัยสารสนเทศ สามารถสนับสนุนต่อความต้องการทางธุรกิจ
3. การระบุข้อกำหนดทางกฎหมาย และข้อบังคับด้านความมั่งคงปลอดภัยตามสัญญา
4. การดูแลความเพียงพอของความมั่นคงปลอดภัย โดยการใช้มาตรการที่ถูกต้อง
5. การทบทวน และการดำเนินการจากผลการทบทวน
6. การปรับปรุงความมีประสิทธิผลของ ISMS

.
การฝึกอบรม การรับรู้ และความสามารถ  

บุคลากรที่ได้รับมอบหมายหน้าที่ตามที่กำหนดใน ISMS จะต้องมีความสามารถอย่างเพียงพอ โดยที่จะต้อง
1. มีการกำหนดความสามารถที่จำเป็นสำหรับการดำเนินงานที่มีผลกระทบต่อ ISMS
2. จัดให้มีการฝึกอบรมหรือการดำเนินตามความเหมาะสม เพื่อตอบสนองต่อความจำเป็นดังกล่าว
3. มีการประเมินความมีประสิทธิผลของการดำเนินงานที่เกิดขึ้น
4. ดูแลบันทึกเกี่ยวกับการศึกษา การฝึกอบรม ทักษะ ประสบการณ์ และคุณสมบัติ 

.

นอกจากนั้น องค์กรจะต้องดูแลให้มั่นใจว่าบุคลากรที่เกี่ยวข้องทั้งหมด รับรู้ถึงความสำคัญและความเกี่ยวข้องที่มีต่อความมั่นคงปลอดภัยสารสนเทศ และการมีส่วนร่วมต่อความสำเร็จของวัตถุประสงค์ ISMS

.
การตรวจประเมินภายใน (Internal Audit)  

กระบวนการหนึ่งที่สำคัญที่จะช่วยให้มั่นใจได้ถึงความเพียงพอ ความเหมาะสม และความสอดคล้องตามข้อกำหนดของ ISMS รวมถึงเป็นช่องทางในการหาโอกาสในการปรับปรุงระบบให้ดียิ่งขึ้น ได้แก่ การตรวจประเมินภายใน หรือ Internal ISMS Audit โดยองค์กรจะต้องจัดให้มีการตรวจประเมินภายในตามแผนการตรวจที่กำหนดไว้ ทั้งนี้การตรวจประเมินจะมีเป้าหมายเพื่อพิจารณาว่าวัตถุประสงค์การควบคุม การควบคุม กระบวนการ และวิธีการปฏิบัติงานของ ISMS

.

1. สอดคล้องตามข้อกำหนดของมาตรฐาน ISO/IEC 27001 รวมถึงข้อกำหนดทางกฎหมายที่เกี่ยวข้อง
2. สอดคล้องตามข้อกำหนดความมั่นคงปลอดภัยสารสนเทศที่ได้กำหนดไว้
3. มีการดำเนินการ และดูแลรักษาอย่างมีประสิทธิผล
4. เป็นไปตามที่ได้คาดหมายไว้ 

.

ทั้งนี้จะต้องมีการจัดทำโปรแกรมการตรวจประเมินภายใน โดยคำนึงถึงสถานะและความสำคัญของกระบวนการ และหน่วยงานที่จะทำการตรวจ รวมถึงผลการตรวจที่ผ่านมา ทั้งนี้จะต้องมีการกำหนดเกณฑ์ในการตรวจประเมิน ขอบเขต ความถี่ และวิธีการที่ใช้ในการตรวจ รวมถึงการคัดเลือกผู้ตรวจประเมิน และการดำเนินการตรวจประเมินด้วยความยุติธรรม และเสมอภาค ทั้งนี้ผู้ตรวจประเมินจะต้องไม่ตรวจในหน่วยงานของตนเอง 

.

ผู้รับผิดชอบในหน่วยงานที่ถูกตรวจ จะต้องดำเนินการเพื่อขจัดความไม่เป็นไปตามข้อกำหนดที่ตรวจพบโดยไม่ให้เกิดความล่าช้าขึ้น รวมถึงจะต้องมีการติดตามผลการดำเนินการแก้ไข และมีการรายงานผลการติดตามด้วย

.
การทบทวนโดยฝ่ายบริหาร 

อย่างที่ได้อธิบายไปแล้วในบทบาทของฝ่ายบริหาร ที่จะต้องจัดให้มีการทบทวนโดยฝ่ายบริหาร ตามช่วงเวลาที่ได้วางแผนไว้ เพื่อให้มั่นใจถึงความเหมาะสม ความเพียงพอ และความมีประสิทธิผลของระบบอย่างต่อเนื่อง โดยการทบทวนจะรวมไปถึงการประเมินโอกาสในการปรับปรุงระบบ และความจำเป็นในการเปลี่ยนแปลง ISMS ทั้งในส่วนของนโยบายความมั่นคงปลอดภัย และวัตถุประสงค์ความมั่นคงปลอดภัยสารสนเทศ ผลของการทบทวนจะต้องมีการจัดทำเป็นเอกสารอย่างชัดเจน และได้รับการควบคุมตามข้อกำหนดการควบคุมบันทึกด้วย 

.
สิ่งที่จะต้องน่ามาทบทวน ประกอบด้วย 

1. ผลของการตรวจประเมินและการทบทวน ISMS
2. การแจ้งข้อมูลกลับจากหน่วยงานต่าง ๆ ที่เกี่ยวข้อง
3. เทคนิค ผลิตภัณฑ์ หรือวิธีการปฏิบัติงาน ซึ่งใช้ในการปรับปรุงผลการดำเนินงาน และความมีประสิทธิผลของ ISMS
4. สถานะของการปฏิบัติการแก้ไข และการป้องกัน
5. จุดอ่อนหรือภัยคุกคาม ที่ยังไม่นำมาประเมินความเสี่ยง
6. ผลของการวัดความมีประสิทธิผล
7. การติดตามความคืบหน้าจากการทบทวนโดยฝ่ายบริหารที่ผ่านมา
8. การเปลี่ยนแปลงที่มีผลกระทบต่อ ISMS และ
9. ข้อเสนอแนะเพื่อการปรับปรุงงาน  

.
ผลลัพธ์ที่ได้จากการทบทวนโดยฝ่ายบริหาร จะเป็นการตัดสินใจ และการดำเนินการในส่วนที่เกี่ยวกับ

1. การปรับปรุงความมีประสิทธิผลของ ISMS
2. การปรับปรุงการประเมินความเสี่ยง และแผนการจัดการความเสี่ยง
3. การปรับเปลี่ยนวิธีการปฏิบัติงาน และการควบคุมที่มีผลกระทบต่อความมั่นคงปลอดภัย เพื่อตอบสนองต่อเหตุการณ์ทั้งภายในและภายนอกซึ่งมีผลกระทบต่อ ISMS เช่น การเปลี่ยนแปลงในข้อกำหนดทางธุรกิจ ข้อกำหนดความมั่นคงปลอดภัย กระบวนการทางธุรกิจที่มีผลกระทบต่อข้อกำหนดทางธุรกิจ ข้อกำหนดทางกฎหมาย ข้อบังคับตามสัญญา และระดับของความเสี่ยงหรือเกณฑ์การยอมรับความเสี่ยง
4. ทรัพยากรที่จำเป็น
5. การปรับปรุงแนวทางในการสร้างความมีประสิทธิผลของการควบคุม 

.
การปรับปรุงอย่างต่อเนื่อง (Continual Improvement)

ในการปรับปรุงความมีประสิทธิผลอย่างต่อเนื่องของ ISMS จะต้องมีการดำเนินการโดยพิจารณาจากนโยบายความมั่นคงปลอดภัยสารสนเทศ วัตถุประสงค์ความมั่นคงปลอดภัยสารสนเทศ ผลการตรวจประเมิน การวิเคราะห์เหตุการณ์ที่เกิดขึ้น การปฏิบัติการแก้ไขและการป้องกัน และการทบทวนโดยฝ่ายบริหาร

.
การปฏิบัติการแก้ไข (Corrective Action)

ในกรณีที่เกิดความไม่สอดคล้องตามข้อกำหนดของ ISMS ขึ้น องค์กรจะต้องมีการดำเนินการเพื่อขจัดสาเหตุของความไม่สอดคล้องนั้น ๆ เพื่อป้องกันการเกิดขึ้นซ้ำ ทั้งนี้จะต้องมีการจัดทำเอกสารระเบียบวิธีการปฏิบัติงาน ที่ระบุถึง

.

1. การระบุความไม่สอดคล้องตามข้อกำหนด
2. การพิจารณาสาเหตุของความไม่สอดคล้องตามข้อกำหนด
3. การประเมินถึงความจำเป็นในการดำเนินการ เพื่อให้มั่นใจได้ว่าความไม่สอดคล้องตามข้อกำหนดจะไม่เกิดขึ้นซ้ำ
4. การดำเนินการปฏิบัติการแก้ไข
5. การบันทึกผลของการดำเนินการ
6. การทบทวนการปฏิบัติการแก้ไข

.
การปฏิบัติการป้องกัน (Preventive Action)

องค์กรจะต้องมีการกำหนดมาตรการดำเนินการ เพื่อขจัดสาเหตุของความไม่สอดคล้องตามข้อกำหนดของ ISMS ที่อาจจะเกิดขึ้นด้วย เพื่อป้องกันไม่ให้ความไม่สอดคล้องตามข้อกำหนดนั้นสามารถเกิดขึ้นได้ ทั้งนี้จะต้องมีการจัดทำเอกสารระเบียบการปฏิบัติงาน ที่ระบุถึง

.

1. การระบุถึงความไม่สอดคล้องตามข้อกำหนดที่อาจจะเกิดขึ้น รวมถึงสาเหตุ
2. การประเมินถึงความจำเป็นในการดำเนินการ เพื่อป้องกันการเกิดขึ้นของความไม่สอดคล้องตามข้อกำหนด
3. การดำเนินการปฏิบัติการป้องกัน
4. การบันทึกผลการดำเนินการ
5. การทบทวนการปฏิบัติการป้องกัน  

.

นอกจากนั้น องค์กรยังต้องมีการระบุถึงความเสี่ยงที่เปลี่ยนแปลงไป และดำเนินการป้องกันโดยคำนึงถึงความเสี่ยงที่เปลี่ยนแปลงไปอย่างมีนัยสำคัญด้วย

.

(อ่านต่อในตอนถัดไป)

.

สงวนลิขสิทธิ์ ตามพระราชบัญญัติลิขสิทธิ์ พ.ศ. 2539 www.thailandindustry.com
Copyright (C) 2009 www.thailandindustry.com All rights reserved.

ขอสงวนสิทธิ์ ข้อมูล เนื้อหา บทความ และรูปภาพ (ในส่วนที่ทำขึ้นเอง) ทั้งหมดที่ปรากฎอยู่ในเว็บไซต์ www.thailandindustry.com ห้ามมิให้บุคคลใด คัดลอก หรือ ทำสำเนา หรือ ดัดแปลง ข้อความหรือบทความใดๆ ของเว็บไซต์ หากผู้ใดละเมิด ไม่ว่าการลอกเลียน หรือนำส่วนหนึ่งส่วนใดของบทความนี้ไปใช้ ดัดแปลง โดยไม่ได้รับอนุญาตเป็นลายลักษณ์อักษร จะถูกดำเนินคดี ตามที่กฏหมายบัญญัติไว้สูงสุด