27001-2013 Thai

8/18/2019 27001-2013 Thai

1/31

บรษัท ท‐เนต จากัด

หนา 1 จาก 31บรษัท ท‐เนต จากัด จัดทาเอกสารเผยแพรฉบับน มจดประสงคเพ อใช ในการศกษา คนควา และวจัยพัฒนา

มาตรฐาน ISO/IEC 27001 : 2013

ระบบบรหารจัดการความมั นคงปลอดภัยสารสนเทศ (ISMS)ขอกาหนดหลักท ตองปฏบัตตามในการขอการรับรองตามมาตรฐาน ISO/IEC 27001 : 2013

ขอ 1 บรบทขององคกร (Context of the organization)1.1 การทาความเขาใจองคกรและบรบทขององคกร (Understanding the organization andits context)

องคกรตองกาหนดประเดนภายในและภายนอกองคกรท เก ยวของกับจดประสงคขององคกรและท สงผลตอความสามารถในการบรรลผลลัพธตามท ตองการของระบบบรหารจัดการความม ันคง

ปลอดภัยสารสนเทศ

ขอสังเกต การกาหนดประเดนดังกลาวหมายถงการกาหนดบรบทภายในและภายนอกองคกร ท มการพจารณาในขอ 2.3 ของมาตรฐาน ISO 31000:2009

1.2 การกาหนดความจาเปนและความคาดหวังของผ ท เก ยวของ (Understanding the needsand expectations of interested parties)

องคกรตองกาหนด:

a)

ผ ท เก ยวของ ซ งเปนผ ท เก ยวของกับระบบบรหารจัดการความม ันคงปลอดภัยสารสนเทศ และ b)

ความตองการของผ ท เก ยวของเหลาน ันซ งเก ยวของกับความมั นคงปลอดภัยสารสนเทศ

ขอสังเกต ความตองการของผ ท เก ยวของอาจรวมถงความตองการดานกฎหมายและระเบยบขอบังคับและขอกาหนดในสัญญาจาง

1.3 การกาหนดขอบเขตของระบบบรหารจัดการความมั นคงปลอดภัยสารสนเทศ (Determiningthe scope of the information security management system)

องคกรตองกาหนดกรอบและการประยกตระบบบรหารจัดการความม ันคงปลอดภัยสารสนเทศเพ อระบขอบเขตการดาเนนการ

ในการระบขอบเขต องคกรตองพจารณา:a) ประเดนภายในและภายนอกองคกร โดยอางองจากขอ 1.1b) ความตองการ โดยอางองจากขอ 1.2 และ

8/18/2019 27001-2013 Thai

2/31



c) การเช อมโยงและการสัมพันธกันของกจกรรมในลักษณะท กจกรรมข นอย กับซ งกันและกัน โดยท กจกรรมเหลาน ันอาจดาเนนการโดยองคกรเองหรอโดยองคกรอ นๆ

ขอบเขตตองสามารถเขาถงได โดยจัดทาเปนลายลักษณอักษร

1.4 ระบบบรหารจัดการความมั นคงปลอดภัยสารสนเทศ (Information securitymanagement system)

องคกรตองกาหนด ลงมอปฏบัต บารงรักษา และปรับปรงอยางตอเน องตอระบบบรหารจัดการความม ันคงปลอดภัยสารสนเทศ โดยตองมความสอดคลองกับขอกาหนดในเอกสารมาตรฐานฉบับน

ขอ 2 ภาวะผ นา (Leadership)2.1 ภาวะผ นาและการใหความสาคัญ (Leadership and commitment)

ผ บรหารระดับสงตองแสดงใหเหนถงภาวะผ นาและการใหความสาคัญตอระบบบรหารจัดการความมั นคงปลอดภัยสารสนเทศโดย

a)

ตองทาใหนโยบายความม ันคงปลอดภัยสารสนเทศและวัตถประสงคความม ันคงปลอดภัยสารสนเทศมการกาหนดข นมาและมความสอดคลองกับทศทางเชงกลยทธขององคกร

b)

ตองทาใหมการรวมความตองการของระบบบรหารจัดการความม ันคงปลอดภัยสารสนเทศ เขากับกระบวนการขององคกร

c)

ตองทาใหมทรัพยากรท จาเปนสาหรับระบบบรหารจัดการความม ันคงปลอดภัยสารสนเทศเพ อใช ในการดาเนนการ

d)

ตองส อสารความสาคัญของระบบบรหารจัดการความม ันคงปลอดภัยสารสนเทศท สัมฤทธ ผลและของการดาเนนการตามความตองการของระบบบรหารจัดการความม ันคงปลอดภัยสารสนเทศท กาหนดไว

e)

ตองทาใหระบบบรหารจัดการความมั นคงปลอดภัยสารสนเทศบรรลผลลัพธตามท ตองการ f)

ตองส ังการและสนับสนนบคลากรเพ อนาส ความสัมฤทธ ผลของระบบบรหารจัดการความม ันคงปลอดภัยสารสนเทศ

g)

ตองสงเสรมใหมการปรับปรงอยางตอเน อง และ h)

ตองสนับสนนบทบาทการบรหารอ นๆ ภายใตขอบเขตความรับผดชอบของเพ อแสดงภาวะผ นาของตนเอง

8/18/2019 27001-2013 Thai

3/31



2.2 นโยบาย (Policy)ผ บรหารระดับสงตองกาหนดนโยบายความมั นคงปลอดภัยสารสนเทศซ ง:

a)

เหมาะสมตอจดประสงคขององคกร b)

รวมวัตถประสงคความม ันคงปลอดภัยสารสนเทศไวดวย (ดขอ 3.2) หรอกาหนดกรอบการปฏบัตสาหรับการกาหนดวัตถประสงคดังกลาว

c) รวมการใหความสาคัญของผ บรหารเพ อใหสอดคลองกับความตองการท เก ยวของกับความม ันคงปลอดภัยสารสนเทศ และ

d)

รวมการใหความสาคัญของผ บรหารในการปรับปรงอยางตอเน องตอระบบบรหารจัดการความมั นคงปลอดภัยสารสนเทศ

นโยบายความมั นคงปลอดภัยสารสนเทศ:e) ตองสามารถเขาถงได โดยจัดทาเปนลายลักษณอักษร

f) ตองมการส อสารใหทราบกันภายในองคกร และ

g)

ตองสามารถเขาถงได โดยผ ท เก ยวของตามความเหมาะสม

2.3 บทบาท หนาท ความรับผดชอบ และอานาจหนาท (Organizational roles,responsibilities and authorities)

ผ บรหารระดับสงตองทาใหหนาท ความรับผดชอบและอานาจหนาท ตามบทบาทท เก ยวของ

กับความมั นคงปลอดภัยสารสนเทศมการมอบหมายและส อสารให ไดรับทราบกัน

ผ บรหารระดับสงตองมอบหมายหนาท ความรับผดชอบและอานาจหนาท เพ อ:a)

ใหระบบบรหารจัดการความม ันคงปลอดภัยสารสนเทศมความสอดคลองกับขอกาหนดของเอกสารมาตรฐานฉบบัน และ

b) ใหมการรายงานประสทธภาพและประสทธผลของระบบบรหารจัดการความม ันคงปลอดภัยสารสนเทศตอผ บรหารระดับสง

ขอสังเกต ผ บรหารระดับสงอาจมอบหมายหนาท ความรับผดชอบและอานาจหนาท ในการรายงาน

ประสทธภาพและประสทธผลของระบบบรหารจัดการความม ันคงปลอดภัยสารสนเทศภายในองคกรดวย

8/18/2019 27001-2013 Thai

4/31



ขอ 3 การวางแผน (Planning)3.1 การดาเนนการเพ อจัดการกับความเส ยงและโอกาส (Actions to address risks and

opportunities)

3.1.1 ภาพรวม (General)เม อวางแผนสาหรับระบบบรหารจัดการความมั นคงปลอดภัยสารสนเทศ องคกรตองพจารณา

ประเดนภายในและภายนอกท อางถงในขอ 1.1 และความตองการท อางถงในขอ 1.2 และตองกาหนดความเส ยงและโอกาสท จาเปนตองจัดการเพ อ:

a)

ใหระบบบรหารจัดการความมั นคงปลอดภัยสารสนเทศบรรลผลลัพธตามท ตองการ b)

ปองกัน หรอลดผลท ไมพงปรารถนา และ c)

ใหบรรลการปรับปรงอยางตอเน อง

องคกรตองวางแผน:d)

การดาเนนการเพ อจัดการกับความเส ยงและโอกาส และ e)

วธการท จะ 1) รวมการดาเนนการดังกลาวเขากับกระบวนการของระบบบรหารจัดการความ

ม ันคงปลอดภัยสารสนเทศและนาส การปฏบัต และ 2) ประเมนความสัมฤทธ ผลของการดาเนนการดังกลาว

3.1.2 การประเมนความเส ยงดานความม ันคงปลอดภัยสารสนเทศ (Information security riskassessment)

องคกรตองกาหนดและประยกตกระบวนการประเมนความเส ยงดานความม ันคงปลอดภัยสารสนเทศซ งตอง:

a) กาหนดและปรับปรงเกณฑความเส ยงดานความมั นคงปลอดภัยสารสนเทศ ซ งตองรวมถง 1) เกณฑการยอมรับความเส ยง และ 2) เกณฑสาหรับการประเมนความเส ยงดานความมั นคงปลอดภัยสารสนเทศ

b) ทาใหการประเมนความเส ยงดานความมั นคงปลอดภัยสารสนเทศไดผลการประเมนท

สอดคลองกัน ถกตอง และเปรยบเทยบกันได c) ระบความเส ยงดานความมั นคงปลอดภัยสารสนเทศ:

1) ประยกตกระบวนการประเมนความเส ยงดานความมั นคงปลอดภัยสารสนเทศเพ อ ระบความเส ยงท เก ยวของกับการสญเสยความลับ ความถกตองสมบรณ และสภาพ

8/18/2019 27001-2013 Thai

5/31



ความพรอมใชของสารสนเทศภายในขอบเขตของระบบบรหารจัดการความมั นคง ปลอดภัยสารสนเทศ และ

2) ระบผ เปนเจาของความเส ยง d) วเคราะหความเส ยงดานความมั นคงปลอดภัยสารสนเทศ:

1) ประเมนผลท เปนไปไดท จะเกดข นถาความเส ยงท ระบ ไว ในขอ 3.1.2 c) เกดข นจรง 2) ประเมนโอกาสการเกดข นท สมจรงของความเส ยงท ระบ ไว ในขอ 3.1.2 c) และ 3) กาหนดระดับของความเส ยง

e) ประเมนความเส ยงดานความมั นคงปลอดภัยสารสนเทศ:1) เปรยบเทยบผลการวเคราะหความเส ยงกับเกณฑความเส ยงท กาหนดไว ในขอ 3.1.2 a)

และ

2) จัดลาดับความเส ยงท วเคราะหน ันเพ อการจัดการท เหมาะสม องคกรตองจัดเกบสารสนเทศท เก ยวของกับกระบวนการประเมนความเส ยงดานความม ันคง

ปลอดภัยสารสนเทศ อยางเปนลายลักษณอักษร

3.1.3 การจัดการกับความเส ยงดานความม ันคงปลอดภัยสารสนเทศ (Information securityrisk treatment)

องคกรตองกาหนดและประยกตกระบวนการจัดการความเส ยงดานความม ันคงปลอดภัยสารสนเทศซ งตอง:

a) กาหนดทางเลอกท เหมาะสมในการจัดการความเส ยงดานความมั นคงปลอดภัยสารสนเทศ โดยตองนาผลการประเมนความเส ยงมาพจารณาดวย

b) กาหนดมาตรการทั งหมดท จาเปนเพ อดาเนนการตามทางเลอกท กาหนดไว

ขอสังเกต องคกรสามารถออกแบบมาตรการไดเองตามท ตองการ หรอระบมาตรการโดยอางอ งจากแหลงใดกตาม

c) เปรยบเทยบมาตรการท กาหนดไว ในขอ 3.1.3 b) กับมาตรการใน Annex A และ ตรวจสอบวาไมมมาตรการขอใดท ละเลยไป

ขอสังเกต 1 Annex A ประกอบดวยรายการท ังหมดของวัตถประสงคของมาตรการ และตัวมาตรการของมาตรฐานฉบบัน ขอใหผ ใชงานมาตรฐานฉบับน อางองไปยัง Annex A เพ อใหม ันใจวาไมมมาตรการขอใดท ถกมองขามไป ขอสังเกต 2 วัตถประสงคของมาตรการถกรวมแฝงไวกับมาตรการท เลอก

8/18/2019 27001-2013 Thai

6/31



วัตถประสงคของมาตรการและมาตรการใน Annex A ยังไม ไดครอบคลมท ังหมด วัตถประสงคและมาตรการเพ มเตมอาจจะจาเปนตองนามาใชดวย

d) จัดทาเอกสารแสดงการใชมาตรการ SoA (Statement of Applicability) ซ ง ประกอบดวยมาตรการท จาเปน (ดขอ 3.1.3 b) และ c)) และคาอธบายเหตผลของการ ใชมาตรการไมวามาตรการเหลาน ันจะไดรับการปฏบัตแลวหรอไมกตาม และคาอธบาย เหตผลของการไม ใชมาตรการจาก Annex A

e) จัดทาแผนการจัดการความเส ยงดานความมั นคงปลอดภัยสารสนเทศ และ f) ขอการรับรองจากผ เปนเจาของความเส ยงสาหรับแผนการจัดการความเส ยงดานความ ม ันคงปลอดภัยสารสนเทศ และการยอมรับสาหรับความเส ยงดานความมั นคงปลอดภัย สารสนเทศท ยังเหลออย

องคกรตองจัดเกบสารสนเทศท เก ยวของกับกระบวนการจัดการกับความเส ยงดานความม ันคงปลอดภัยสารสนเทศ อยางเปนลายลักษณอักษร

ขอสังเกต กระบวนการประเมนและจัดการกับความเส ยงดานความม ันคงปลอดภัยสารสนเทศในมาตรฐานฉบับน สอดคลองกับหลักการและแนวทางท เสนอไว ในมาตรฐาน ISO 31000

3.2 วัตถประสงคดานความมั นคงปลอดภัยสารสนเทศและแผนการบรรลวัตถประสงค (Information security objectives and plans to achieve them)

องคกรตองกาหนดวัตถประสงคดานความมั นคงปลอดภัยสารสนเทศในฟงกชันงานและระดับท เก ยวของ

วัตถประสงคดานความมั นคงปลอดภัยสารสนเทศตอง:a) สอดคลองกับนโยบายความมั นคงปลอดภัยสารสนเทศ b) สามารถวัดได (ถาสามารถปฏบัต ได)c) นาความตองการดานความมั นคงปลอดภัยสารสนเทศ ผลการประเมนและการจัดการ

ความเส ยงมาพจารณาดวย d)

มการส อสารใหผ ท เก ยวของไดรับทราบ

และ

e) มการปรับปรงตามความเหมาะสม องคกรตองจดัเกบสารสนเทศสาหรับวัตถประสงคดานความม ันคงปลอดภัยสารสนเทศ ไว

อยางเปนลายลักษณอักษร

8/18/2019 27001-2013 Thai

7/31



เม อวางแผนวธการท จะบรรลวัตถประสงคดานความม ันคงปลอดภัยสารสนเทศ องคกรตองกาหนด:

f) ส งท ตองดาเนนการ g) ทรัพยากรท ตองใช h) ผ รับผดชอบในการดาเนนการ i) ระยะเวลาท จะดาเนนการใหเสรจ และ j) วธประเมนผลการปฏบัตการ

ขอ 4 การสนับสนน (Support) 4.1 ทรัพยากร (Resources)

องคกรตองกาหนดและใหทรัพยากรท จา เปนสาหรับการกาหนด การลงมอปฏบัต การบารงรักษา และการปรับปรงอยางตอเน องตอระบบบรหารจัดการความมั นคงปลอดภัยสารสนเทศ

4.2 สมรรถนะ (Competence)องคกรตอง:a) กาหนดสมรรถนะของบคลากรท ทางานภายใตการควบคมดแลขององคกร ซ งสงผลตอ

ประสทธภาพในการปฏบัตงานดานความมั นคงปลอดภัยสารสนเทศ b) ทาใหบคลากรเหลาน มความสามารถโดยการใหความร การฝกอบรม หรอจาก

ประสบการณการทางานท ไดรับ c) ดาเนนการตามความเหมาะสมเพ อให ไดมาซ งสมรรถนะท จาเปน และประเมนความ

สัมฤทธ ผลของการดาเนนการน ัน และ d) จัดเกบสารสนเทศท เหมาะสมอยางเปนลายลักษณอักษรเพ อใชเปนหลักฐานแสดง

สมรรถนะ

ขอสังเกต การดาเนนการตามความเหมาะสมอาจรวมถงการฝกอบรม การเปนพ เล ยง การมอบหมายหมายงานใหผ อ น หรอการจางหรอทาสัญญากับบคลากรท มความสามารถ เปนตน

4.3 การสรางความตระหนกั (Awareness)บคลากรท ทางานภายใตการควบคมดแลขององคกรตองตระหนักถง:a) นโยบายความมั นคงปลอดภัยสารสนเทศขององคกร b) การท ตนเองมสวนในความสัมฤทธ ผลของระบบบรหารจัดการความมั นคงปลอดภัย

8/18/2019 27001-2013 Thai

8/31



สารสนเทศ ซ งรวมถงขอดของการปรับปรงประสทธภาพในการปฏบัตงานดานความมั นคง ปลอดภัยสารสนเทศของตนเอง และ

c) ส งท เก ยวของของการไมปฏบัตตามความตองการของระบบบรหารจัดการความมั นคง ปลอดภัยสารสนเทศ

4.4 การส อสารใหทราบ (Communication)องคกรตองกาหนดความจาเปนสาหรับการส อสารใหทราบท ังภายในและภายนอกท เก ยวของ

กับระบบบรหารจัดการความมั นคงปลอดภัยสารสนเทศ ซ งรวมถง:a) อะไรบางท ตองส อสารใหทราบ b) เม อไรท ตองส อสารใหทราบ

c) ใครบางท ตองส อสารใหทราบ d) ใครเปนผ ส อสารออกไป และ e) กระบวนการท เก ยวของกับการส อสาร

4.5 สารสนเทศท เปนลายลักษณอักษร (Documented information)4.5.1 ภาพรวม (General)

ระบบบรหารจัดการความมั นคงปลอดภัยสารสนเทศขององคกรตองรวม:a)

สารสนเทศท เปนลายลักษณอักษรซ งกาหนดโดยมาตรฐานฉบบัน และ b)

สารสนเทศท เปนลายลักษณอักษรซ งกาหนดโดยองคกรเองและจาเปนสาหรับความสัมฤทธ ผลของระบบบรหารจัดการความมั นคงปลอดภัยสารสนเทศ

ขอสังเกต ปรมาณของสารสนเทศท เปนลายลักษณอักษรสาหรับระบบบรหารจัดการความม ันคงปลอดภัยสารสนเทศสามารถแตกตางกันในแตละองคกร เน องจาก:

a) ขนาดขององคกรและประเภทของกจกรรม กระบวนการ ผลตภัณฑ และบรการขององคกร

b)

ความซับซอนของกระบวนการและการเช อมโยงระหวางกระบวนการ และ c) ความสามารถของบคลากร

8/18/2019 27001-2013 Thai

9/31



4.5.2 การสรางและปรับปรง (Creating and updating)เม อมการสรางและปรับปรงสารสนเทศท เปนลายลักษณอกัษร องคกรตองกาหนดประเดน

เหลาน ใหมความเหมาะสม:a)

ช อและรายละเอยด (เชน ช อเอกสาร วันท ผ แตง หรอเลขท อางอง)b)

รปแบบ (เชน ภาษา เวอรชัน กราฟก) และส อบันทก (เชน กระดาษ อเลกทรอนกส)และ

c)

การทบทวนและการอนมัตเพ อความเหมาะสมและเพยงพอ

4.5.3 การควบคมสารสนเทศท เปนลายลักษณอักษร (Control of documentedinformation)

สารสนเทศท เปนลายลักษณอักษรท จาเปนตองมสาหรับระบบบรหารจัดการความม ันคงปลอดภัยสารสนเทศและตามมาตรฐานฉบบัน ตองมการควบคมเพ อให:

a) สารสนเทศสามารถเขาถงไดและเหมาะสมสาหรับการใชงาน สถานท และวันเวลาในการใช งาน และ

b) สารสนเทศไดรับการปองกันอยางเพยงพอ (เชน จากการสญเสยความลับ การใชงานท ไม เหมาะสม หรอการสญเสยความถกตองสมบรณ)

สาหรับการควบคมสารสนเทศท เปนลายลักษณอักษร องคกรตองระบกจกรรมดังตอไปน ตาม

ความเหมาะสม:c) การแจกจาย การเขาถง การนาข นมาใช และการใชงาน d) การจัดเกบและการรักษาไว รวมถงการรักษาไว ใหสามารถอานใชงานได e) การควบคมการเปล ยนแปลง (เชน การควบคมเวอรช ัน) และ f) การจัดเกบ ระยะเวลาการจัดเกบ และการทาลาย

สารสนเทศท มาจากแหลงภายนอกท องคกรกาหนดวาจาเปนสาหรับการวางแผนและดาเนนการระบบบรหารจัดการความม ันคงปลอดภัยสารสนเทศ ตองมการระบตามความจาเปน และตองมการควบคม

ขอสังเกต การเขาถงสารสนเทศหมายรวมถงการตัดสนใจเก ยวกับการอนญาตใหดสารสนเทศไดเทาน ัน หรอการอนญาตและการใหอานาจในการดและเปล ยนแปลงสารสนเทศไดดวย หรออ นๆ

8/18/2019 27001-2013 Thai

10/31



ขอ 5 การดาเนนการ (Operation) 5.1 การวางแผนท เก ยวของกับการดาเนนการและการควบคม (Operational planning and

control)

องคกรตองวางแผน ลงมอปฏบัต และควบคมกระบวนการท จาเปนเพ อใหสอดคลองกับความตองการดานความม ันคงปลอดภัยสารสนเทศ และลงมอปฏบัตตามท กาหนดไวในขอ 3.1 องคกรยังตองลงมอปฏบัตตามแผนเพ อใหบรรลวัตถประสงคดานความมั นคงปลอดภัยสารสนเทศท กาหนดไว ในขอ 3.2

องคกรตองเกบรักษาสารสนเทศท เปนลายลักษณอักษรในระดับท จาเปนเพ อใหมความม ันใจวากระบวนการเหลาน ันมการดาเนนการตามแผน

องคกรตองควบคมการเปล ยนแปลงท มการวางแผนลวงหนา และทบทวนผลของการ

เปล ยนแปลงท เกดข นอยางไม ไดต ังใจ (เชน การเปล ยนแปลงท ไม ไดวางแผนไวและเกดข นแบบฉกเฉน)ดาเนนการเพ อลดผลในทางลบตามความจาเปน

องคกรตองทาใหมั นใจวากระบวนการท มการจางหนวยงานภายนอกดาเนนการมการระบและควบคมการดาเนนการ

5.2 การประเมนความเส ยงดานความม ันคงปลอดภัยสารสนเทศ (Information security riskassessment)

องคกรตองดาเนนการประเมนความเส ยงดานความม ันคงปลอดภัยสารสนเทศตามรอบ

ระยะเวลาท ก าหนดไว หรอเม อมการ เปล ยนแปลงท มากเสนอขอดาเนนการ หรอเม อมการเปล ยนแปลงท มากเกดข น โดยนาเกณฑความเส ยงท กาหนดไว ในขอ 3.1.2 a) มาพจารณาดวย

องคกรตองจัดเกบสารสนเทศท เปนลายลักษณอักษร ซ งเปนผลของการประเมนความเส ยงดานความมั นคงปลอดภัยสารสนเทศ

5.3 การจัดการกับความเส ยงดานความม ันคงปลอดภัยสารสนเทศ (Information security risktreatment)

องคกรตองลงมอปฏบัตตามแผนการจัดการความเส ยงดานความมั นคงปลอดภัยสารสนเทศ องคกรตองจัดเกบสารสนเทศท เปนลายลักษณอักษร ซ งเปนผลของการจัดการความเส ยงดาน

ความมั นคงปลอดภัยสารสนเทศ

8/18/2019 27001-2013 Thai

11/31



ขอ 6 การประเมนประสทธภาพและประสทธผล (Performance evaluation)6.1 การเฝาระวัง การวัดผล การวเคราะห และการประเมน (Monitoring, measurement,

analysis and evaluation)

องคกรตองประเมนประสทธภาพและประสทธผลและความไดผลของระบบบรหารจัดการความมั นคงปลอดภัยสารสนเทศ

องคกรตองกาหนด: a)

อะไรท จาเปนตองเฝาระวังและวัดผล ซ งรวมถงกระบวนการและมาตรการดานความม ันคงปลอดภัยสารสนเทศ

b)

วธการในการเฝาระวัง วัดผล วเคราะห และประเมนตามท เหมาะสม เพ อใหไดผลการ

ประเมนท ถกตอง

ขอสังเกต วธการท เลอกใชควรใหผลการประเมนท สามารถเปรยบเทยบกันไดและท สามารถทาซ าไดเพ อให ไดผลท ถกตอง

c)

เม อไรท การเฝาระวังและวัดผลตองดาเนนการ d)

ใครเปนผ เฝาระวังและวัดผล e)

เม อไรท ผลจากการเฝาระวังและวัดผลตองไดรับการวเคราะหและประเมน และ f)

ใครเปนผ วเคราะหและประเมนผล องคกรตองจัดเกบสารสนเทศท เปนลายลักษณอักษรท เหมาะสม เพ อใชเปนหลักฐานแสดง

การเฝาระวังและวัดผล

6.2 การตรวจประเมนภายใน (Internal audit)องคกรตองดาเนนการตรวจประเมนภายในตามรอบระยะเวลาท ก าหนดไว เพ อ ใหม

สารสนเทศสาหรับการระบวาระบบบรหารจัดการความมั นคงปลอดภัยสารสนเทศ:

a) สอดคลองกับ 1) ความตองการขององคกรเองสาหรับระบบบรหารจัดการความม ันคงปลอดภัย

สารสนเทศ และ 2) ขอกาหนดของมาตรฐานฉบบัน

b) มการปฏบัตและบารงรักษาไวอยางสัมฤทธ ผล

8/18/2019 27001-2013 Thai

12/31



องคกรตอง:c) วางแผน กาหนด ลงมอปฏบัต และบารงรักษาโปรแกรมการตรวจประเมน ซ งรวมถง

ความถ วธการท ใช หนาท ความรับผดชอบ ความตองการในการตรวจประเมนท วางแผนไว และการรายงานผล โปรแกรมการตรวจประเมนตองนาความสาคัญของกระบวนการท เก ยวของและผลการตรวจประเมนคร ังกอนมาพจารณารวมดวย

d) กาหนดเกณฑการตรวจประเมนและขอบเขตของการตรวจประเมนแตละครั ง e) เลอกผ ตรวจประเมนและดาเนนการตรวจประเมนซ งเปนไปตามขอเทจจรงและหลักฐาน

และมความเปนกลางของกระบวนการตรวจประเมน f) ทาใหผลของการตรวจประเมนมการรายงานไปยังผ บรหารท เก ยวของ และ g) จัดเกบสารสนเทศท เปนลายลักษณอักษรเพ อใชเปนหลักฐานแสดงโปรแกรมการตรวจ

ประเมนและผลการตรวจประเมน

6.3 การทบทวนของผ บรหาร (Management review)ผ บรหารระดับสงตองทบทวนระบบบรหารจัดการความมั นคงปลอดภัยสารสนเทศขององคกร

ตามรอบระยะเวลาท กาหนดไวเพ อใหมความเหมาะสม ความเพยงพอ และความสัมฤทธ ผล การทบทวนของผ บรหารตองรวมการพจารณาในเร อง:a) สถานะของการดาเนนการจากผลการทบทวนครั งกอน b) การเปล ยนแปลงในประเดนภายในและภายนอกองคกรท เก ยวของกับระบบบรหารจัดการ

ความมั นคงปลอดภัยสารสนเทศ c) ผลตอบกลับของประสทธภาพและประสทธผลดานความมั นคงปลอดภัยสารสนเทศ ซ ง

รวมถงแนวโนมในเร อง 1) ความไมสอดคลองและการดาเนนการแก ไข 2) ผลการเฝาระวังและวัดผล 3) ผลการตรวจประเมน และ 4) ความสาเรจตามวัตถประสงคดานความมั นคงปลอดภัยสารสนเทศ

d) ผลตอบกลับจากผ ท เก ยวของ e) ผลการประเมนความเส ยงและสถานะของแผนการจัดการความเส ยง และ f) โอกาสสาหรับการปรับปรงอยางตอเน อง ผลการทบทวนของผ บรหารตองรวมการตัดสนใจเก ยวกับโอกาสในการปรับปรงอยางตอเน อง

และความจาเปนสาหรับการเปล ยนแปลงตอระบบบรหารจัดการความมั นคงปลอดภัยสารสนเทศ

8/18/2019 27001-2013 Thai

13/31



องคกรตองจัดเกบสารสนเทศท เปนลายลักษณอักษรเพ อใชเปนหลักฐานแสดงผลการทบทวนของผ บรหาร

ขอ 7 การปรับปรง (Improvement) 7.1 ความไมสอดคลองและการดาเนนการแก ไข (Nonconformity and corrective action)

เม อความไมสอดคลองหน งเกดข น องคกรตอง:a) ตอบกลับตอความไมสอดคลองน ันตามความเหมาะสม และ:

1) ดาเนนการเพ อควบคมและแก ไขความไมสอดคลอง และ 2) จัดการกับผลท เกดข น

b) ประเมนความจาเปนสาหรับการดาเนนการเพ อขจัดสาเหตของความไมสอดคลองเพ อให

ไมเกดข นซ าหรอไมเกดข นในท อ นโดย:1) การทบทวนความไมสอดคลอง 2) การระบสาเหตของความไมสอดคลอง และ 3) การระบวาความไมสอดคลองท คลายกันมหรอไม หรออาจเปนไปไดท จะเกดข น

c) ดาเนนการแก ไขท จาเปน d) ทบทวนความสัมฤทธ ผลของการดาเนนการแก ไขท ไดดาเนนการไป และ e) ทาการเปล ยนแปลงตอระบบบรหารจัดการความมั นคงปลอดภัยสารสนเทศ ถาจาเปน การดาเนนการแก ไขตองเหมาะสมตอผลของความไมสอดคลองท พบ

องคกรตองจัดเกบสารสนเทศท เปนลายลักษณอักษรเพ อใชเปนหลักฐานแสดง:f) สภาพของความไมสอดคลองและการดาเนนการใดๆ ท ไดดาเนนการไป และ g) ผลของการดาเนนการแก ไข

7.2 การปรับปรงอยางตอเน อง (Continual improvement) องคกรตองปรับปรงความเหมาะสม ความเพยงพอ และความสัมฤทธ ผลของระบบบรหาร

จัดการความมั นคงปลอดภัยสารสนเทศอยางตอเน อง

8/18/2019 27001-2013 Thai

14/31



มาตรการการจัดการความมั นคงปลอดภัยสาหรับสารสนเทศ 1. นโยบายความมั นคงปลอดภัยสารสนเทศ (Information Security Policy)1.1 ทศทางการบรหารจัดการความม ันคงปลอดภัยสารสนเทศ (Management Directions forInformation Security)

วัตถประสงค เพ อใหมการกาหนดทศทางการบรหารจัดการและการสนับสนนดานความมั นคงปลอดภยัสารสนเทศโดยสอดคลองกบัความตองการทางธรกจและกฎหมายและระเบยบขอบงัคบัท เก ยวของ

1.1.1 นโยบายสาหรับความม ันคงปลอดภัยสารสนเทศ (Policies for informationsecurity)

นโยบายสาหรับความมั นคงปลอดภัยสารสนเทศตองมการจัดทา อนมัต โดยผ บรหาร เผยแพร และส อสารใหพนักงานและหนวยงานภายนอกท เก ยวของไดรับทราบ

1.1.2 การทบทวนนโยบายสาหรับการบรหารจัดการความมั นคงปลอดภัยสารสนเทศ (Review of the policies for information security)

นโยบายความมั นคงปลอดภัยตองมการทบทวนตามรอบระยะเวลาท กาหนดไว หรอเม อมการเปล ยนแปลงท สาคัญตอองคกร เพ อใหนโยบายมความเหมาะสม เพยงพอ และไดผล

2. โครงสรางความมั นคงปลอดภัยสารสนเทศ (organization of InformationSecurity)

2.1 โครงสรางภายในองคกร (Internal organization)วัตถประสงค เพ อใหมการกาหนดกรอบการบรหารจัดการโดยตองมการเร มตนและควบคม

การปฏบัตและการดาเนนการดานความมั นคงปลอดภัยสารสนเทศภายในองคกร 2.1.1 บทบาทและหนาท ความรับผดชอบดานความม ันคงปลอดภัยสารสนเทศ

(Information security roles and responsibilities)

หนาท ความรับผดชอบท ังหมดดานความม ันคงปลอดภัยสารสนเทศตองมการกาหนดและมอบหมายความรบัผดชอบ

2.1.2 การแบงแยกหนาท ความรับผดชอบ (Segregation of duties)หนาท และสวนงานท รับผดชอบท จะทาใหเกดการขัดตอการปฏบัตงานโดยจะทาใหมการ

เปล ยนแปลงทรัพยสนขององคกรหรอมการใชทรัพยสนผดวัตถประสงค โดยไมไดรับอนญาตหรอโดย ไม ไดเจตนากตาม ตองมการแยกหนาท ดังกลาวออกจากกัน เพ อลดโอกาสการเกดข นน ัน

2.1.3 การตดตอกับหนวยงานผ มอานาจ (Contact with authorities)การตดตอกับหนวยงานผ มอานาจท เก ยวของตองมการรักษาไวซ งการตดตอน ันเพ อให

สามารถตดตอไดอยางตอเน อง

8/18/2019 27001-2013 Thai

15/31



2.1.4 การตดตอกับกล มท มความสนใจเปนพเศษในเร องเดยวกัน (Contact with specialinterest groups)

การตดตอกับกล มท มความสนใจเปนพเศษในเร องเดยวกัน กล มท มความเช ยวชาญดานความม ันคงปลอดภัยสารสนเทศ และสมาคมอาชพ ตองมการรักษาไวซ งการตดตอนั นเพ อใหสามารถตดตอ ไดอยางตอเน อง

2.1.5 ความม ันคงปลอดภัยสารสนเทศกับการบรหารจัดการโครงการ (Informationsecurity in project management)

การบรหารโครงการไมวาจะเปนประเภทใดของโครงการกตามตองมการระบความม ันคงปลอดภัยสารสนเทศของโครงการนั น

2.2 อปกรณคอมพวเตอรแบบพกพาและการปฏบัตงานจากระยะไกล (Mobile devices andteleworking)

วัตถประสงค เพ อรักษาความม ันคงปลอดภัยของการปฏบัตงานจากระยะไกลและของการใชงานอปกรณคอมพวเตอรแบบพกพา

2.2.1 นโยบายสาหรับอปกรณคอมพวเตอรแบบพกพา (Mobile device policy)นโยบายและมาตรการสนับสนนสาหรับการใชงานอปกรณคอมพวเตอรแบบพกพาตองมการ

นามาใชงานเพ อบรหารจัดการความเส ยงท มตออปกรณดังกลาว 2.2.2 การปฏบัตงานจากระยะไกล (Teleworking)นโยบายและมาตรการสนับสนนสาหรับการปฏบัตงานจากสถานท หน งในระยะไกลตองมการ

นามาใชงานเพ อปองกันขอมลท มการเขาถง การประมวลผล หรอการจัดเกบ จากสถานท ดังกลาว

3. ความมั นคงปลอดภัยสาหรับทรัพยากรบคคล (Human Resource Security)3.1 กอนการจางงาน (Prior to employment)

วัตถประสงค เพ อใหพนักงานและผ ท ทาสัญญาจางเขาใจในหนาท ความรับผดชอบของตนเอง และมความเหมาะสมตามบทบาทของตนเองท ไดรับการพจารณา

3.1.1 การคัดเลอก (Screening)การตรวจสอบภมหลังของผ สมคัรงานตองมการดาเนนการโดยมความสอดคลองกับกฎหมาย

ระเบยบ ขอบังคับ และจรยธรรมท เก ยวของ และตองดาเนนการในระดับท เหมาะสมกับความตองการทางธรกจ ช ันความลับของขอมลท จะถกเขาถง และความเส ยงท เก ยวของ

3.1.2 ขอตกลงและเง อนไขการจางงาน (Terms and conditions of employment)ขอตกลงและเง อนไขในสัญญาจางกับพนักงานและผ ท ทาสัญญาจางตองกลาวถงหนาท ความรับผดชอบดานความมั นคงปลอดภัยสารสนเทศของพนักงาน ของผ ท ทาสัญญาจาง และขององคกร

8/18/2019 27001-2013 Thai

16/31



3.2 ระหวางการจางงาน (During employment)วัตถประสงค เพ อใหพนักงานและผ ท ทาสัญญาจางตระหนักและปฏบัตตามหนาท ความ

รับผดชอบดานความมั นคงปลอดภัยสารสนเทศของตนเอง 3.2.1 หนาท ความรับผดชอบของผ บรหาร (Management responsibilities)ผ บรหารตองกาหนดใหพนักงานและผ ท ทาสัญญาจางท ังหมดรักษาความม ันคงปลอดภัย

สารสนเทศโดยปฏบัต ใหสอดคลองกับนโยบายและขั นตอนปฏบัตขององคกรท กาหนดไว 3.2.2 การสรางความตระหนัก การใหความร และการฝกอบรมดานความมั นคงปลอดภัย

สารสนเทศ (Information security awareness, education and training)พนักงานขององคกรท ังหมดและผ ท ทาสัญญาจางท เก ยวขอ ง ตองไดรับการสรางความ

ตระหนัก ใหความร และฝกอบรมดานความมั นคงปลอดภัยสารสนเทศ และตองมการเรยนร และทบทวนเพ มเตมในนโยบายและขั นตอนปฏบัตขององคกรท เก ยวของกับงานท ตนเองปฏบัต

3.2.3

กระบวนการทางวนัย (Disciplinary process)

กระบวนการทางวนัยตองมการกาหนดอย างเปนทางการและมการส อสารใหพนักงานไดรับทราบ เพ อดาเนนการตอพนักงานท ละเมดความมั นคงปลอดภัยสารสนเทศขององคกร

3.3 การส นสดหรอการเปล ยนการจางงาน (Termination and change of employment)วัตถประสงค เพ อปองกันผลประโยชนขององคกรซ งเปนสวนหน งของกระบวนการเปล ยน

หรอส นสดการจางงาน 3.3.1 การส นสดหรอการเปล ยนหนาท ความรับผดชอบของการจางงาน (Termination or

change of employment responsibilities)

หนาท ความรับผดชอบดานความม ันคงปลอดภัยสารสนเทศท ยังตองคงไวหลังการส นสดหรอเปล ยนการจางงาน ตองมการกาหนดและส อสารใหไดรับทราบตอพนักงานหรอผ ท ทาสัญญาจาง รวมทั งควบคมใหปฏบัตตามอยางสอดคลอง

4. การบรหารจัดการทรัพยสน (Asset Management)4.1 หนาท ความรับผดชอบตอทรัพยสน (Responsibility for Assets)

วัตถประสงค เพ อใหมการระบทรัพยสนขององคกรและกาหนดหนาท ความรับผดชอบในการปองกันทรัพยสนอยางเหมาะสม

4.1.1 บัญชทรัพยสน (Inventory of assets)

ทรัพยสนท เก ยวของกับสารสนเทศและอปกรณประมวลผลสารสนเทศตองมการระบ จัดทาเปนทะเบยนทรัพยสน และปรับปรงใหทันสมัย 4.1.2 ผ ถอครองทรัพยสน (Ownership of assets)ทรัพยสนในทะเบยนทรัพยสนตองมผ ถอครองทรัพยสน 4.1.3 การใชทรัพยสนอยางเหมาะสม (Acceptable use of assets)

8/18/2019 27001-2013 Thai

17/31



กฎเกณฑการใชอยางเหมาะสมสาหรับการใชงานสารสนเทศและทรัพยสนท เก ยวของกับสารสนเทศและอปกรณประมวลผลสารสนเทศ ตองมการระบ จัดทาเปนลายลักษณอักษร และบังคับ ใช ใหเปนไปอยางสอดคลอง

4.1.4 การคนทรัพยสน (Return of assets)พนักงานและลกจางของหนวยงานภายนอกทั งหมดตองคนทรัพยสนขององคกรท ังหมดท

ตนเองถอครอง เม อส นสดการจางงาน หมดสัญญา หรอส นสดขอตกลงการจาง

4.2 การจัดช ันความลับของสารสนเทศ (Information classification)วัตถประสงค เพ อ ใหสารสนเทศไดรับระดับการปองกันท เหมาะสมโดยสอดคลองกับ

ความสาคัญของสารสนเทศนั นท มตอองคกร 4.2.1 ช ันความลับของสารสนเทศ (Classification of information)

สารสนเทศตองมการจัดช ันความลับโดยพจารณาจากความตองการดานกฎหมาย

คณคา

ระดับความสาคัญ และระดับความออนไหวหากถกเปดเผยหรอเปล ยนแปลงโดยไม ไดรับอนญาต 4.2.2 การบงช สารสนเทศ (Labeling of information)ข ันตอนปฏบัตสาหรับการบงช สารสนเทศตองมการจัดทาและปฏบัตตาม โดยตองมความ

สอดคลองกับวธหรอข ันตอนการจัดช ันความลับของสารสนเทศท องคกรกาหนดไว 4.2.3 การจัดการทรัพยสน (Handling of assets)ข ันตอนปฏบัตสาหรับการจัดการทรัพยสนตองมการจัดทาและปฏบัตตาม โดยตองมความ

สอดคลองกับวธหรอข ันตอนการจัดช ันความลับของสารสนเทศท องคกรกาหนดไว

4.3

การจัดการส อบันทกขอมล (Media Handling)

วัตถประสงค เพ อปองกันการเปดเผยโดยไมไดรับอนญาต การเปล ยนแปลง การขนยายการลบ หรอการทาลายสารสนเทศท จัดเกบอย บนส อบันทกขอมล

4.3.1 การบรหารจัดการส อบันทกขอมลท ถอดแยกได (Management of removablemedia)

ข ันตอนปฏบัตสาหรับการบรหารจัดการกับส อบันทกขอมลท ถอดแยกไดตองมการจัดทาและปฏบัตตาม โดยตองมความสอดคลองกับวธหรอข ันตอนการจัดช ันความลับของสารสนเทศท องคกรกาหนดไว

4.3.2 การทาลายส อบันทกขอมล (Disposal of media)

ส อบันทกขอมลตองมการกาจัดหรอทาลายท งอยางม ันคงปลอดภัย

เม อหมดความตองการในการใชงาน โดยปฏบัตตามขั นตอนปฏบัตสาหรับการทาลายซ งกาหนดไวอยางเปนทางการ 4.3.3 การขนยายส อบันทกขอมล (Physical media transfer)ส อบันทกขอมลท มขอมลตองมการปองกันขอมลจากการถกเขาถงโดยไม ไดรับอนญาต การ

นาไปใชผดวัตถประสงค หรอความเสยหายในระหวางท นาสงหรอขนยายส อบันทกขอมลน ัน

8/18/2019 27001-2013 Thai

18/31



5. การควบคมการเขาถง (Access Control)

5.1 ความตองการทางธรกจสาหรับการควบคมการเขาถง (Business requirements ofaccess control)วัตถประสงค เพ อจากัดการเขาถงสารสนเทศและอปกรณประมวลผลสารสนเทศ 5.1.1 นโยบายควบคมการเขาถง (Access control policy)นโยบายควบคมการเขาถงตองมการกาหนด จัดทาเปนลายลักษณอักษร และทบทวนตาม

ความตองการทางธรกจและความตองการดานความมั นคงปลอดภัยสารสนเทศ 5.1.2 การเขาถงเครอขายและบรการเครอขาย (Access to networks and network

services)

ผ ใชงานตองไดรับสทธการเขาถงเฉพาะเครอขายและบรการเครอขายตามท ตนไดรับอนมัต

การเขาถงเทาน ัน

5.2 การบรหารจัดการการเขาถงของผ ใชงาน (User access management)วัตถประสงค เพ อควบคมการเขาถงของผ ใชงานเฉพาะผ ท ไดรับอนญาต และปองกันการ

เขาถงระบบและบรการโดยไม ไดรับอนญาต 5.2.1 การลงทะเบยนและการถอดถอนสทธผ ใชงาน (User registration and de-

registration)

กระบวนการลงทะเบยนและถอดถอนสทธผ ใชงานอยางเปนทางการตองมการปฏบัตตามเพ อเปนการใหสทธการเขาถง

5.2.2 การจัดการสทธการเขาถงของผ ใชงาน (User access provisioning)กระบวนการจัดการสทธการเขาถงของผ ใชงานตองมการปฏบัตตาม ท ังใหและถอดถอนสทธการเขาถงสาหรับผ ใชงานทกประเภทและทกระบบและบรการท ังหมดขององคกร

5.2.3 การบรหารจัดการสทธการเขาถงตามระดับสทธ (Management of privilegedaccess right)

การใหและใชสทธการเขาถงตามระดับสทธตองมการจากัดและควบคม 5.2.4 การบรหารจัดการขอมลความลับสาหรับการพสจนตัวตนของผ ใชงาน (Management

of secret authentication information of users)

การมอบขอมลการพสจนตัวตนของผ ใชงานซ งเปนขอมลลับ ตองมการควบคมโดยผาน

กระบวนการบรหารจัดการท เปนทางการ 5.2.5 การทบทวนสทธการเขาถงของผ ใชงาน (Review of user access rights)เจาของทรัพยสนตองมการทบทวนสทธการเขาถงของผ ใชงานตามรอบระยะเวลาท กาหนดไว 5.2.6 การถอดถอนหรอปรับปรงสทธการเขาถง (Removal or adjustment of access

rights)

8/18/2019 27001-2013 Thai

19/31



สทธการเขาถงของพนักงานและลกจางของหนวยงานภายนอกตอสารสนเทศและอปกรณประมวลผลสารสนเทศตองไดรับการถอดถอนเม อส นสดการจางงาน หมดสัญญา หรอส นสดขอตกลงการจาง หรอตองไดรับการปรับปรงใหถกตองเม อมการเปล ยนการจางงาน

5.3 หนาท ความรับผดชอบของผ ใชงาน (User responsibilities)เพ อใหผ ใชงานมความรับผดชอบในการปองกันขอมลการพสจนตัวตน 5.3.1 การใชขอมลการพสจนตัวตนซ งเปนขอมลลับ (Use of secret authentication

information)

ผ ใชงานตองดาเนนตามวธปฏบัตขององคกรสาหรับการใชงานขอมลการพสจนตั วตนซ งเปนขอมลลับ

5.4

การควบคมการเขาถงระบบ (System and application access control)

วัตถประสงค เพ อปองกันการเขาถงระบบโดยไม ไดรับอนญาต 5.4.1 การจากัดการเขาถงสารสนเทศ (Information access restriction)การเขาถงสารสนเทศและฟงกชันในระบบงานตองมการจากัดใหสอดคลองกับนโยบาย

ควบคมการเขาถง 5.4.2 ข ันตอนปฏบัตสาหรับการลอกอนเขาระบบท มความม ันคงปลอดภัย (Secure log-on

procedures)

กรณมการกาหนดโดยนโยบายควบคมการเขาถง การเขาถงระบบตองมการควบคมโดยผานทางข ันตอนปฏบัตสาหรับการลอกอนเขาระบบท มความมั นคงปลอดภัย

5.4.3

ระบบบรหารจัดการรหัสผาน (Password management system)

ระบบบรหารจัดการรหัสผานตองมปฏสัมพันธกับผ ใชง านและบังคับการต ังรหัสผานท มคณภาพ

5.4.4 การใช โปรแกรมอรรถประโยชน (Use of privileged utility programs)การใช โปรแกรมอรรถประโยชนท อาจละเมดมาตรการความม ันคงปลอดภัยของระบบ ตองม

การจากัดและควบคมการใชอยางใกลชด 5.4.5 การควบคมการเขาถงซอรสโคดของโปรแกรม (Access control to program

source code)

การเขาถงซอรสโคดของโปรแกรมตองมการจากัดและควบคม

6. การเขารหัสขอมล (Cryptography)6.1 มาตรการเขารหัสขอมล (Cryptographic controls)

วัตถประสงค เพ อใหมการใชการเขารหัสขอมลอยางเหมาะสมและไดผลและปองกันความลับ การปลอมแปลง หรอความถกตองของสารสนเทศ

8/18/2019 27001-2013 Thai

20/31



6.1.1 นโยบายการใชมาตรการเขารหัสขอมล (Policy on the use of cryptographiccontrols)

นโยบายการใชมาตรการเขารหัสขอมลเพ อปองกันสารสนเทศตองมการจัดทาและปฏบัตตาม 6.1.2 การบรหารจัดการกญแจ (Key management)นโยบายการใชงาน การปองกัน และอายการใชงานของกญแจ ตองมการจัดทาและปฏบัต

ตามตลอดวงจรชวตของกญแจ

7. ความมั นคงปลอดภัยทางกายภาพและสภาพแวดลอม (Physical andenvironmental Security)

7.1 พ นท ท ตองการการรักษาความมั นคงปลอดภัย (Secure areas)วัตถประสงค เพ อปองกันการเขาถงทางกายภาพโดยไม ไดรับอนญาต ความเสยหาย และการ

แทรกแซงการทางาน ท มตอสารสนเทศและอปกรณประมวลผลสารสนเทศขององคกร 7.1.1 ขอบเขตหรอบรเวณโดยรอบทางกายภาพ (Physical security perimeter)ขอบเขตหรอบรเวณโดยรอบพ นท ท ตองการการรักษาความม ันคงปลอดภัย ตองมการกาหนด

ข นมาเพ อใชในการปองกันพ นท สาคัญดังกลาวอันประกอบไปดวยสารสนเทศหรออปกรณประมวลผลสารสนเทศท มความสาคัญ

7.1.2 การควบคมการเขาออกทางกายภาพ (Physical entry controls)พ นท ท ตองการการรักษาความม ันคงปลอดภัย ตองมการปองกันโดยมการควบคมการเขา

ออกอยางเหมาะสม โดยกาหนดใหเฉพาะผ ท ไดรับอนญาตแลวเทาน ันท สามารถเขาถงพ นท สาคัญได 7.1.3 การรักษาความม ันคงปลอดภัยสาหรับสานักงาน หองทางาน และอปกรณ (Securing

office, room and facilities)ความม ันคงปลอดภัยทางกายภาพของสานักงาน หองทางาน และอปกรณตางๆ ตองมการ

ออกแบบและดาเนนการ 7.1.4 การปองกันตอภัยคกคามจากภายนอกและสภาพแวดลอม (Protecting against

external end environmental threats)

การปองกันทางกายภาพตอภัยพบัตทางธรรมชาต การโจมตหรอการบกรก หรออบัตเหต ตองมการออกแบบและดาเนนการ

7.1.5 การปฏบัตงานในพ นท ท ตองการการรักษาความม ันคงปลอดภัย (Working in secureareas)

ข ันตอนปฏบัตสาหรับการปฏบัตงานในพ นท ท ตองการการรักษาความม ันคงปลอดภัย ตองมการจัดทาและปฏบัตตาม 7.1.6 พ นท สาหรับรับสงส งของ (Delivery and loading areas)จดหรอบรเวณท สามารถเขาถงองคกร เชน พ นท สาหรับรับสงส งของ บรเวณอ นๆ ท ผ ท ไม ได

รับอนญาตสามารถเขาถงพ นท ขององคกรได ตองมการควบคม และหากเปนไปได จดหรอบรเวณ

8/18/2019 27001-2013 Thai

21/31



ดังกลาวควรแยกออกมาจากบรเวณท มอปกรณประมวลผลสารสนเทศ เพ อหลกเล ยงการเขาถงโดย ไม ไดรับอนญาต

7.2 อปกรณ (Equipment)วัตถประสงค เพ อปองกันการสญหาย การเสยหาย การขโมย หรอการเปนอันตรายตอ

ทรัพยสนและปองกันการหยดชะงักตอการดาเนนงานขององคกร 7.2.1 การจัดต ังและปองกันอปกรณ (Equipment sitting and protection)อปกรณตองมการจัดต ังและปองกันเพ อลดความเส ยงจากภัยคกคามและอันตรายดาน

สภาพแวดลอม และจากโอกาสในการเขาถงโดยไม ไดรับอนญาต 7.2.2 ระบบและอปกรณสนับสนนการทางาน (Supporting utilities)อปกรณตองไดรับการปองกันจากการลมเหลวของกระแสไฟฟาและการหยดชะงักอ นๆ ท ม

สาเหตมาจากการลมเหลวของระบบและอปกรณสนับสนนการทางานตางๆ

7.2.3 ความม ันคงปลอดภัยของการเดนสายสัญญาณและสายส อสาร (Cabling security)การเดนสายไฟฟาและสายส อสารโทรคมนาคม ซ งสงขอมลหรอสนับสนนบรการสารสนเทศ

ตองมการปองกันจากการขัดขวางการทางาน การแทรกแซงสัญญาณ หรอการทาใหเสยหาย 7.2.4 การบารงรักษาอปกรณ (Equipment maintenance)อปกรณตองไดรบัการบารงรักษาอยางถกตองเพ อใหมสภาพความพรอมใชงานและการ

ทางานท ถกตองอยางตอเน อง 7.2.5 การนาทรัพยสนขององคกรออกนอกสานักงาน (Removal of assets)อปกรณ สารสนเทศ หรอซอฟตแวร ตองไมมการนาออกนอกสานักงาน โดยปราศจากการขอ

อนญาตกอน

7.2.6 ความม ันคงปลอดภัยของอปกรณและทรัพยสนท ใชงานอย ภายนอกสานักงาน (Security of equipment and assets off- premises)

ทรัพยสนท ใชงานอย ภายนอกสานักงานตองมการรักษาความม ันคงปลอดภัยโดยพจารณาจากความเส ยงของการปฏบัตงานอย ภายนอกสานักงาน

7.2.7 ความม ันคงปลอดภัยสาหรับการกาจัดหรอทาลายอปกรณ หรอการนาอปกรณไปใชงานอยางอ น (Secure disposal or re-use of equipment)

อปกรณท มส อบันทกขอมลตองมการตรวจสอบเพ อให�

27001-2013 Thai

Documents

Transcript of 27001-2013 Thai