มาตรการความมั่นคงปลอดภัยสารสนเทศของมาตรฐาน ISO/IEC 27001:2022

มาตรการความมั่นคงปลอดภัยสารสนเทศของมาตรฐาน ISO/IEC 27001:2022

  1. มาตรการขององค์กร (Organizational controls)

5.1 นโยบายด้านความมั่นคงปลอดภัยสารสนเทศ (Policies for information security)

นโยบายความมั่นคงปลอดภัยสารสนเทศ และนโยบายเฉพาะแยกตามเรื่องต้องมีการกำหนดอนุมัติโดยผู้บริหาร จัดพิมพ์ สื่อสาร และสร้างการรับรู้ให้แก่บุคลากรและหน่วยงานภายนอกที่เกี่ยวข้อง ตลอดจนทบทวนตามรอบระยะเวลาที่กำหนดไว้ หรือเมื่อมีการเปลี่ยนแปลงที่มีนัยสำคัญต่อองค์กร

5.2 บทบาทและหน้าที่ความรับผิดชอบด้านความมั่นคงปลอดภัยสารสนเทศ (Information security roles and responsibilities)

บทบาทและหน้าที่ความรับผิดชอบด้านความมั่นคงปลอดภัยสารสนเทศ ต้องมีการกำหนดและแบ่งความรับผิดชอบตามที่องค์กรต้องการ

5.3 การแบ่งแยกหน้าที่ความรับผิดชอบ (Segregation of duties)

หน้าที่และส่วนของการปฏิบัติหน้าที่ดังกล่าวที่จะก่อให้เกิดการขัดต่อผลประโยชน์ขององค์กร ต้องมีการแยกส่วนของการปฏิบัติหน้าที่ดังกล่าวออกจากกัน

5.4 หน้าที่ความรับผิดชอบของผู้บริหาร (Management responsibilities)

ผู้บริหารต้องกำหนดให้บุคลากรทั้งหมดยึดมั่นและรักษาความมั่นคงปลอดภัยสารสนเทศ โดยกำหนดให้ปฏิบัติตามตามนโยบายความมั่นคงปลอดภัยสารสนเทศนโยบายเฉพาะแยกตามเรื่อง และขั้นตอนปฏิบัติที่กำหนดไว้

5.5 การติดต่อกับหน่วยงานผู้มีอำนาจ (Contact with authorities)

องค์กรต้องกำหนดและปรับปรุงข้อมูลสำหรับการติดต่อกับหน่วยงานผู้มีอำนาจ (เพื่อใช้ในการติดต่อประสานงานในเรื่องต่างๆที่สำคัญและจำเป็น)

5.6 การติดต่อกับกลุ่มพิเศษที่มีความสนใจในเรื่องเดียวกัน (Contact with special interest groups)

องค์กรต้องกำหนดและปรับปรุงข้อมูลสำหรับการติดต่อกับกลุ่มพิเศษที่มีความสนใจในเรื่องเดียวกัน กลุ่มที่มีความเชี่ยวชาญด้านความมั่นคงปลอดภัยสารสนเทศและสมาคมที่มีความเป็นมืออาชีพ

5.7 ข้อมูลหรือข่าวกรองด้านความมั่นคงปลอดภัย (Threat intelligence)

ข้อมูลที่เกี่ยวข้องกับภัยคุกคามด้านความมั่นคงปลอดภัยสารสนเทศต้องมีการเก็บรวบรวมและวิเคราะห์เพื่อจัดทำหรือผลิตข้อมูลหรือข่าวกรองด้านความมั่นคงปลอดภัย

​5.8 ความมั่นคงปลอดภัยสารสนเทศกับการบริหารจัดการโครงการ (Information security in project management)

ความมั่นคงปลอดภัยสารสนเทศต้องมีการบูรณาการเข้าไปกับการบริหารจัดการโครงการ

​5.9 บัญชีของข้อมูลและทรัพย์สินที่เกี่ยวข้องอื่นๆ (Inventory of information and other associated assets)

บัญชีของข้อมูลและทรัพย์สินที่เกี่ยวข้องอื่นๆรวมถึงเจ้าของทรัพย์สิน ต้องมีการจัดทำและปรับปรุงเพื่อให้ข้อมูลมีความเป็นปัจจุบันและถูกต้อง

5.10 การใช้ทรัพย์สินอย่างเหมาะสม (Acceptable use of assets)

กฎเกณฑ์การใช้อย่างเหมาะสมและขั้นตอนปฏิบัติสำหรับการจัดการข้อมูลและทรัพย์สินที่เกี่ยวข้องอื่นๆ ต้องมีการกำหนดจัดทำเป็นลายลักษณ์อักษรและนำไปปฏิบัติ

5.11 การคืนทรัพย์สิน (Return of assets)

บุคลากรและผู้ที่เกี่ยวข้องจากหน่วยงานภายนอกต้องคืนทรัพย์สินขององค์กรทั้งหมดที่ตนเองถือครองเมื่อสิ้นสุด หรือเปลี่ยนการจ้างงานสัญญาจ้าง หรือข้อตกลงการจ้าง

5.12 ชั้นความลับของข้อมูล (Classification of information)

ข้อมูลต้องมีการแยกหมวดหมู่ให้เป็นไปตามความต้องการด้านความมั่นคงปลอดภัยสารสนเทศขององค์กร โดยพิจารณาจากความลับ ความถูกต้อง ความพร้อมใช้ และความต้องการจากหน่วยงานต่างๆที่เกี่ยวข้อง

5.13 การบ่งชี้ข้อมูล (Labeling of information)

ชุดขั้นตอนปฏิบัติสำหรับการบ่งชี้ข้อมูลตามความเหมาะสม ต้องมีการกำหนดขึ้นมาและมีการนำไปปฏิบัติให้มีความสอดคล้องกับวิธีการจัดชั้นความลับของข้อมูลที่องค์กรได้กำหนดไว้

5.14 การถ่ายโอนข้อมูล (Information transfer)

กฎเกณฑ์ ขั้นตอนปฏิบัติ หรือข้อตกลงสำหรับการถ่ายโอนข้อมูลต้องมีการกำหนดขึ้นมาสำหรับเครื่องมือหรืออุปกรณ์ในการถ่ายโอนข้อมูลทุกประเภท ทั้งการถ่ายโอนภายในองค์กรระหว่างองค์กร ตลอดจน หน่วยงานภายนอกอื่นๆ

5.15 การควบคุมการเข้าถึง (Access control)

กฎเกณฑ์สำหรับการเข้าถึงข้อมูลและทรัพย์สินที่เกี่ยวข้องอื่นๆ ทั้งทางกายภาพและที่ไม่ได้เป็นการเข้าถึงทางกายภาพ เช่น การเข้าถึงระบบจากระยะไกล ต้องมีการกำหนดและนำสู่การปฏิบัติโดยขึ้นอยู่กับความต้องการทางธุรกิจและความต้องการด้านความมั่นคงปลอดภัยสารสนเทศ

5.16 การบริหารจัดการอัตลักษณ์ (ที่ใชในการพิสูจน์ตัวตนเข้าระบบ) (Identity management)

วัฏจักรทั้งวงจรชีวิตของข้อมูลอัตลักษณ์ ที่เป็นส่วนหนึ่งของการพิสูจน์ตัวตนในการเข้าถึงระบบ ต้องได้รับการบริหารจัดการตลอดวงจรชีวิตของข้อมูลดังกล่าว

5.17 ข้อมูลที่เกี่ยวข้องกับการพิสูจน์ตัวตน (Authentication information)

การจัดสรรและการบริหารจัดการข้อมูลที่เกี่ยวข้องกับการพิสูจน์ตัวตน ต้องได้รับการควบคุมผ่านกระบวนการบริหารจัดการซึ่งรวมถึงการให้คำแนะนำแก่บุคลากรเกี่ยวกับการจัดการอย่างเหมาะสมสำหรับข้อมูลการพิสูจน์ตัวตนดังกล่าว

5.18 สิทธิการเข้าถึง (Access rights)

สิทธิการเข้าถึงข้อมูลและทรัพย์สินที่เกี่ยวข้องอื่นๆต้องมีการดำเนินการ ทบทวน ปรับปรุง และถอดถอนให้เป็นไปตามนโยบายเฉพาะแยกตามเรื่องและกฎเกณฑ์สำหรับควบคุมการเข้าถึงขององค์กร

5.19 ความมั่นคงปลอดภัยสารสนเทศกับความสัมพันธ์กับผู้ให้บริการภายนอก (Information security in supplier relationships)

กระบวนการและขั้นตอนปฏิบัติต้องมีการกำหนดและนำสู่การปฏิบัติเพื่อบริหารจัดการความเสี่ยงต่อความมั่นคงปลอดภัยสารสนเทศที่เกี่ยวข้องกับการใช้ผลิตภัณฑ์หรือบริการของผู้ให้บริการภายนอก

5.20 การระบุความมั่นคงปลอดภัยสารสนเทศในข้อตกลงการให้บริการของผู้บริการภายนอก (Addressing information security within supplier agreements)

ความต้องการด้านความมั่นคงปลอดภัยสารสนเทศที่เกี่ยวข้องต้องมีการกำหนดและตกลงกับผู้ให้บริการภายนอกแต่ละราย โดยขึ้นอยู่กับประเภทและความสมพันธ์กับผู้ให้บริการภายนอกนั้น

5.21 การบริหารจัดการความมั่นคงปลอดภัยสารสนเทศในห่วงโซ่การให้บริการและผลิตภัณฑ์ด้าน ICT

กระบวนการและขั้นตอนปฏิบัติต้องมีการกำหนดและนำสู่การปฏิบัติ เพื่อบริหารจัดการความเสี่ยงที่มีต่อความมั่นคงปลอดภัยสารสนเทศที่เกี่ยวข้องกับห่วงโซ่การให้บริการและผลิตภัณฑ์ด้าน ICT โดยห่วงโซ่การให้บริการนี้เกิดขึ้นจากผู้ให้บริการภายนอกขององค์กรมีการจ้างต่อหรือที่เรียกว่า "จ้างช่วง" ไปยังผู้ให้บริการภายนอกในลำดับถัดไป จึงทำให้เกิดลักษณะของห่วงโซ่ที่เชื่อมโยงจากองค์กรไปสู่ผู้ให้บริการภายนอก และผู้ให้บริการในลำดับถัดไป

5.22 การติดตาม การทบทวน และการบริหารจัดการการเปลี่ยนแปลงของบริการจากผู้ให้บริการภายนอก (Monitoring review and change management of supplier services)

องค์กรต้องมีการติดตาม ทบทวน ประเมิน และบริหารจัดการการเปลี่ยนแปลงอย่างสม่ำเสมอในวิธีปฏิบัติด้านความมั่นคงปลอดภัย สารสนเทศและการส่งมอบบริการของผู้ให้บริการภายนอก

5.23 ความมั่นคงปลอดภัยสารสนเทศสำหรับการใช้บริการ Cloud (Information security for use of cloud services)

กระบวนการสำหรับการจัดหาการใช้บริการการบริหารจัดการ และการสิ้นสุดการใช้บริการ Cloud ต้องมีการกำหนดโดยให้เป็นไปตามความต้องการด้านความมั่นคงปลอดภัยสารสนเทศขององค์กร

5.24 การวางแผนและการเตรียมการสำหรับการบริหารจัดการเหตุการณ์ด้านความมั่นคงปลอดภัยสารสนเทศ (Information security incident management planning and preparation)

องค์กรต้องมีการวางแผนและเตรียมการสำหรับการบริหารจัดการเหตุการณ์ด้านความมั่นคงปลอดภัยสารสนเทศ โดยต้องกำหนดและสื่อสารกระบวนการ บทบาทและหน้าที่ความรับผิดชอบสำหรับการบริหารจัดการเหตุการณด้านความมั่นคงปลอดภัยสารสนเทศ

5.25 การประเมินและตัดสินใจสำหรับเหตุการณ์ที่เกี่ยวข้องกับความมั่นคงปลอดภัยสารสนเทศ (Assessment and decision on information security events)

องค์กรต้องประเมินเหตุการณ์ที่เกี่ยวข้องกับความมั่นคงปลอดภัยสารสนเทศ ที่ได้รับแจ้งเข้ามานั้น และตัดสินใจว่าเหตุดังกล่าวนั้นจัดอยู่ในประเภทของเหตุการณ์ด้านความมั่นคงปลอดภัยสารสนเทศหรือไม่ เพื่อรับมือกับเหตุการณ์ที่เกิดขึ้นนั้นต่อไป

5.26 การรับมือกับเหตุการณด้านความมั่นคงปลอดภัยสารสนเทศ (Response to information security incidents)

เหตุการณ์ด้านความมั่นคงปลอดภัยสารสนเทศต้องมีการรับมือให้เป็นไปตามขั้นตอนปฏิบัติที่กำหนดไว้อย่างเป็นลายลักษณ์อักษร

5.27 การเรียนรู้จากเหตุการณ์ด้านความมั่นคงปลอดภัยสารสนเทศ (Learning from information security incidents)

ความรู้ที่ได้รับจากเหตุการณ์ด้านความมั่นคงปลอดภัยสารสนเทศต้องนำมาใช้เพื่อเสริมสร้างความแข็งแกร่งและปรับปรุงมาตรการความมั่นคงปลอดภัยสารสนเทศ

​5.28 การเก็บรวบรวมหลักฐาน (Collection of evidence)

องค์กรต้องมีการกำหนดและนำไปปฏิบัติสำหรับขั้นตอนปฏิบัติเพื่อระบุ รวบรวม ค้นหาเพื่อให้ได้มาและเก็บรักษาหลักฐานของเหตุการณ์ที่เกี่ยวข้องกับความมั่นคงปลอดภัยสารสนเทศ

5.29 ความมั่นคงปลอดภัยสารสนเทศในช่วงที่เกิดการหยุดชะงัก (Information security during disruption)

องค์กรต้องวางแผนเพื่อรักษาความมั่นคงปลอดภัยสารสนเทศให้อยู่ในระดับที่เหมาะสมในช่วงที่เกิดการหยุดชะงัก เช่น ของระบบสารสนเทศขององค์กรความมั่นคงปลอดภัยสารสนเทศจะหมายรวมถึงความพร้อมใช้ของระบบด้วย ดังนั้นการหยุดชะงักของระบบจึงมีความเกี่ยวข้องกับความมั่นคงปลอดภัยสารสนเทศขององค์กรด้วยจึงมีความจำเป็นต้อง

5.30 ความพร้อมด้าน ICT เพื่อความต่อเนื่องทางธุรกิจ (ICT readiness for business continuity)

ความพร้อมด้าน ICT ต้องมีการวางแผนนำไปปฏิบัติ บำรุงรักษา และมีการทดสอบเพื่อให้เกิดความมั่นใจและมีความพร้อมอยู่เสมอ โดยให้เป็นไปตามวัตถุประสงค์และความต้องการด้านความต่อเนื่องทางธุรกิจและของระบบ ICT ที่เกี่ยวข้อง

5.31 ความต้องการที่เกี่ยวข้องกับกฎหมาย ระเบียบข้อบังคับ และสัญญาจ้าง (Legal, statutory, regulatory and contractual requirements)

ความต้องการด้านความมั่นคงปลอดภัยสารสนเทศ อันสืบเนื่องมาจากกฎหมายระเบียบข้อบังคับ และสัญญาจ้างที่องค์กรต้องปฏิบัติตามและวิธีการขององค์กรที่จะต้องปฏิบัติเพื่อให้สอดคล้องกับความต้องการเหล่านั้น ต้องมีการกำหนดบันทึกไว้เป็นลายลักษณ์อักษร และปรับปรุงให้เป็นปัจจุบัน

5.32 สิทธิในทรัพย์สินทางปัญญา (Intellectual property rights)

องค์กรต้องมีและนำสู่การปฏิบัติสำหรับขั้นตอนปฏิบัติที่เหมาะสมเพื่อป้องกันสิทธิในทรัพย์สินทางปัญญา เพื่อป้องกันการละเมิดทรัพย์สินทางปัญญาทั้งขององค์กรและของผู้อื่น

5.33 การป้องกันข้อมูล (Protection of records)

ข้อมูลขององค์กรต้องได้รับการป้องกันจากการสูญหาย การทำลาย การปลอมแปลง การเข้าถึงโดยไม่ได้รับอนุญาต และการเผยแพร่ออกไปโดยไม่ได้รับอนุญาต ข้อมูลในลักษณะ record โดยทั่วไปหมายถึงข้อมูลที่มีลักษณะเป็นชุด เช่น ข้อมูลประวัติของพนักงาน ข้อมูลการฝึกอบรมของ พนักงานข้อมูลค่าใช้จ่ายของพนักงาน ข้อมูลเหล่านี้มีลักษณะเป็นชุดของข้อมูล

5.34 ความเป็นส่วนตัวและการป้องกันข้อมูลส่วนบุคคล (Privacy and protection of personal identifiable information)

องค์กรต้องระบุและดำเนินการให้สอดคล้องกับความต้องการที่เกี่ยวข้องกับการรักษาความเป็นส่วนตัวและการป้องกันข้อมูลส่วนบุคคลตามที่กฎหมาย ระเบียบข้อบังคับ และสัญญาจ้างได้กำหนดให้ต้องปฏิบัติตาม

5.35 การทบทวนด้านความมั่นคงปลอดภัยสารสนเทศอย่างเป็นอิสระ (Independent review of information security)

วิธีการขององค์กรในการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ และการนำสู่การปฏิบัติ ซึ่งรวมถึงบุคลากร กระบวนการ และเทคโนโลยีที่ใช้เพื่อดำเนินการ ต้องมีการทบทวนอย่างเป็นอิสระตามรอบระยะเวลาที่กำหนดไว้หรือเมื่อมีการเปลี่ยนแปลงที่มีนัยสำคัญเกิดขึ้น ผู้ที่ต้องปฏิบัติตามกระบวนการด้านความมั่นคงปลอดภัยสารสนเทศขององค์กร ไม่ควรดำเนินการทบทวนด้านความมั่นคงปลอดภัยสารสนเทศด้วยตนเอง ควรมีหน่วยงานแยกที่เป็นหน่วยงานอิสระเข้ามาดำเนินการทบทวนและควรเป็นหน่วยงานที่ไม่เกี่ยวข้องกับการปฏิบัติตามกระบวนการดังกล่าว

5.36 การปฏิบัติตามนโยบาย กฎเกณฑ์ และมาตรฐานด้านความมั่นคงปลอดภัยสารสนเทศ (Compliance with policies, rules and standards for information security)

การปฏิบัติตามนโยบาย นโยบายเฉพาะแยกตามเรื่อง กฎเกณฑ์ และมาตรฐานด้านความมั่นคงปลอดภัยสารสนเทศขององค์กรต้องมีการทบทวนอย่างสม่ำเสมอ

5.37 ขั้นตอนปฏิบัติงานที่เป็นลายลักษณ์อักษร (Documented operating procedures)

ขั้นตอนปฏิบัติที่เกี่ยวข้องกับงานประมวลผลข้อมูล ซึ่งอาจเป็นระบบ หรืออุปกรณ์ประมวลผลข้อมูลก็ตาม ต้องมีการจัดทำอย่างเป็นลายลักษณ์อักษร และต้องมีพร้อมไว้สำหรับบุคลากรที่มีความจำเป็นต้องใช้งาน

  1. มาตรการด้านบุคลากร (Organizational controls)

6.1 การคัดเลือก (Screening)

การตรวจสอบภูมิหลังของผู้สมัครงานต้องมีการดำเนินการก่อนที่ผู้สมัครนั้นจะเริ่มเข้ามาปฏิบัติงานกับองค์กร โดยพิจารณาควบคู่ไปกับกฎหมายระเบียบข้อบังคับและจริยธรรมที่เกี่ยวข้อง และต้องดำเนินการในระดับที่เหมาะสมกับความต้องการทางธุรกิจ ชั้นความลับของข้อมูลที่จะถูกเข้าถึง และความเสยงที่เกี่ยวข้อง

6.2 ข้อตกลงและเงื่อนไขการจ้างงาน (Terms and conditions of employment)

ข้อตกลงในสัญญาจ้างงานต้องกล่าวถึงหน้าที่ความรับผิดชอบ ด้านความมั่นคงปลอดภัยสารสนเทศของบุคลากรและขององค์กร

6.3 การสร้างความตระหนัก การให้ความรู้ และการฝึกอบรมด้านความมั่นคงปลอดภัยสารสนเทศ (Information security awareness, education and training)

บุคลากรขององค์กรและผู้ที่เกี่ยวข้องจากหน่วยงานภายนอก ต้องได้รับการสร้างความตระหนัก การให้ความรู้ และการฝึกอบรมด้านความมั่นคงปลอดภัยสารสนเทศอย่างเหมาะสม ตลอดจนการให้ความรู้เป็นประจำเกี่ยวกับนโยบายความมั่นคงปลอดภัยสารสนเทศ นโยบายเฉพาะแยกตามเรื่อง และขั้นตอนปฏิบัติที่มีความเกี่ยวข้องกับงานที่ต้องปฏิบัติของบุคลากรเหล่านั้น

6.4 กระบวนการทางวินัย (Disciplinary process)

กระบวนการทางวินัยต้องมีการกำหนดอย่างเป็นทางการและสื่อสารให้ได้รับทราบตลอดจนการดำเนินการต่อบุคลากรและผู้ที่เกี่ยวข้องจากหน่วยงานภายนอกสำหรับการละเมิดนโยบายความมั่นคงปลอดภัยสารสนเทศขององค์กร

6.5 ความรับผิดชอบภายหลังการสิ้นสุด หรือการเปลี่ยนแปลงการจ้างงาน (Responsibilities after termination or change of employment)

ความรับผิดชอบและหน้าที่ด้านความมั่นคงปลอดภัยสารสนเทศที่ต้องคงไว้หลังสิ้นสุดหรือเปลี่ยนแปลงการจ้างงาน ต้องมีการกำหนดบังคับให้เป็นไปตามที่กำหนดนั้น และสื่อสารไปยังบุคลากรและหน่วยงานที่เกี่ยวข้องต่างๆ

6.6 ข้อตกลงการรักษาความลับหรือการไม่เปิดเผยความลับ (Confidentiality or non- disclosure agreements)

ข้อตกลงการรักษาความลับหรือการไม่เปิดเผยความลับ ที่สะท้อนถึงความต้องการขององค์กรในการป้องกันข้อมูล ต้องมีการระบุ จัดทำเป็นลายลักษณ์อักษร ทบทวนอย่างสม่ำเสมอ และมีการลงนามโดยบุคลากรและผู้ที่เกี่ยวข้องจากหน่วยงานต่างๆ

6.7 การปฏิบัติงานจากระยะไกล (Remote working)

มาตรการความมั่นคงปลอดภัยต้องมีการปฏิบัติเมื่อบุคลากรกำลังจะปฏิบัติงานจากระยะไกล เพื่อป้องกันข้อมูลที่มีการเข้าถึงประมวลผลหรือจัดเก็บไว้ภายนอกองค์กร

6.8 การรายงานเหตุการณ์ที่เกี่ยวข้องกับความมั่นคงปลอดภัยสารสนเทศ (Information security event reporting)

องค์กรต้องมีกลไกสำหรับบุคลากรในการรายงานเหตุการณ์ที่ตนสังเกตพบหรือที่เกิดความสงสัยเกี่ยวข้องกับความมั่นคง ปลอดภัยสารสนเทศ โดยผ่านช่องทางการรายงานที่เหมาะสมและอย่างทันกาล

  1. มาตรการทางกายภาพ (Physical controls)

7.1 ขอบเขตหรือบริเวณโดยรอบทางกายภาพ (Physical security perimeter)

ขอบเขตหรือบริเวณโดยรอบที่ต้องการการรักษาความมั่นคงปลอดภัยทางกายภาพ ต้องมีการกำหนดขึ้นมาเพื่อใช้ในการป้องกันพื้นที่ที่มีข้อมูลและทรัพย์สินที่เกี่ยวข้องอื่นๆ ที่ตั้งอยู่ภายในขอบเขตหรือบริเวณดังกล่าว

7.2 การควบคุมการเข้าออกทางกายภาพ (Physical entry)

พื้นที่ที่ต้องการการรักษาความมั่นคงปลอดภัย ต้องมีการป้องกันโดยควบคุมการเข้าออกพื้นที่และควบคุมจุดที่มีการเข้าถึงอย่างเหมาะสม

7.3 การรักษาความมั่นคงปลอดภัยสำหรับสำนักงาน ห้องทำงาน และอุปกรณ์ (Securing office, room and facilities)

ความมั่นคงปลอดภัยทางกายภาพของสำนักงาน ห้องทำงานและอุปกรณ์ต่างๆ ต้องมีการออกแบบและนำสู่การปฏิบัติเพื่อให้เกิดการป้องกันอย่างเป็นรูปธรรม

7.4 การเฝ้าระวังด้านความมั่นคงปลอดภัยทางกายภาพ (Physical security monitoring)

บริเวณอาคารหรือสถานที่ขององค์กรต้องมีการเฝ้าระวังและติดตามอย่างต่อเนื่องเพื่อป้องกันการเข้าถึงการกายภาพโดยไม่ได้รับอนุญาต

​7.5 การป้องกันต่อภัยคุกคามทางกายภาพ และด้านสภาพแวดล้อม (Protecting against physical and environmental threats)

การป้องกันต่อภัยคุกคามทางกายภาพและด้านสภาพแวดล้อม เช่น ภัยพิบัติทางธรรมชาติ ภัยคุกคามทางกายภาพทั้งที่เจตนา หรือไม่เจตนาก็ตามต้องมีการออกแบบและนำสู่การปฏิบัติ

7.6 การปฏิบัติงานในพื้นที่ที่ต้องการการรักษาความมั่นคงปลอดภัย (Working in secure areas)

มาตรการความมั่นคงปลอดภัยสำหรับการปฏิบัติงานในพื้นที่ที่ต้องการการรักษาความมั่นคงปลอดภัย ต้องมีการออกแบบและนำสู่การปฏิบัติ

7.7 โต๊ะทำงานปลอดเอกสารสำคัญและการป้องกันหน้าจอคอมพิวเตอร์ (Clear desk and clear screen)

กฎเกณฑ์ 'โต๊ะทำงานปลอดเอกสารสำคัญ' เพื่อป้องกันเอกสารกระดาษและสื่อบันทึกข้อมูลที่ถอดแยกได้ และกฎเกณฑ์ 'การป้องกันหน้าจอคอมพิวเตอร์' เพื่อป้องกันข้อมูลในอุปกรณ์ประมวลผลข้อมูล ต้องมีการกำหนดและบังคับใช้งานเพื่อป้องกันการเข้าถึงทางกายภาพต่อเอกสารและข้อมูลสำคัญขององค์กร

7.8 การจัดวางและป้องกันอุปกรณ์ (Equipment sitting and protection)

อุปกรณ์ต้องมีการจัดวางและป้องกันให้มีความปลอดภัย

7.9 ความมั่นคงปลอดภัยของทรัพย์สินที่มีการใช้งานนอกองค์กร (Security of assets off-premises)

ทรัพย์สินที่มีการใช้งานนอกองค์กรต้องมีการป้องกัน

​7.10 สื่อบันทึกข้อมูล (Storage media)

สื่อบันทึกข้อมูลต้องได้รับการบริหารจัดการตลอดวัฏจักรชีวิตนับตั้งแต่การจดหาการใช้งาน การขนย้ายการขนส่งและการจำหน่ายออก โดยให้เป็นไปตามวิธีการจัดชั้นความลับและการจัดการข้อมูลและทรัพย์สินที่เกี่ยวข้องขององค์กรที่ได้กำหนดไว้

7.11 ระบบสาธารณูปโภคสนับสนุน (Supporting utilities)

ระบบหรืออุปกรณ์ประมวลผลข้อมูลต้องได้รับการป้องกันจากการล้มเหลวของกระแสไฟฟ้าและการหยุดชะงักอื่นๆ ที่มีสาเหตุมาจากการล้มเหลวของระบบสาธารณูปโภคสนับสนุน ระบบสาธารณูปโภคดังกล่าวครอบคลุมถึง ไฟฟ้า ประปา เป็นต้น

7.12 ความมั่นคงปลอดภัยของสายสัญญาณ (Cabling security)

สายสัญญาณที่นำพาไฟฟ้า ข้อมูล หรือบริการสนับสนุนด้านข้อมูลอื่นๆ ต้องได้รับการป้องกันจากการขัดขวางการทำงานการแทรกแซงสัญญาณ หรือการทำให้เสียหาย

7.13 การบำรุงรักษาอุปกรณ์ (Equipment maintenance)

อุปกรณ์ต้องได้รับการบำรุงรักษาอย่างถูกต้อง เพื่อให้มีความพร้อมใช้งาน สามารถรักษาความถูกต้องและความลับของข้อมูล

7.14 ความมั่นคงปลอดภัยสำหรบการจำหน่ายออกหรือการทำลายอุปกรณ์ หรือการนำอุปกรณ์ไปใช้งานอย่างอื่น (Secure disposal or re-use of equipment)

อุปกรณ์ที่มีสื่อบันทึกข้อมูลต้องมีการตรวจสอบเพื่อให้มั่นใจว่าข้อมูลสำคัญและซอฟต์แวร์ที่มีใบอนุญาตมีการลบทิ้งหรือเขียนทับอย่างมั่นคงปลอดภัย ก่อนการจำหน่ายออกอุปกรณ์หรือก่อนการนำอุปกรณ์นั้นไปใช้งานอย่างอื่น

  1. มาตรการทางเทคโนโลยี (Technological controls)

8.1 อุปกรณ์ปลายทางของผู้ใช้งาน (User end point devices)

ข้อมูลที่มีการจัดเก็บไว้มีการประมวลผลหรือมีการเข้าถึงโดยอุปกรณ์ปลายทางของผู้ใช้งาน ต้องได้รับการป้องกันอุปกรณ์ปลายทางนี้โดยทั่วไปหมายรวมถึงเครื่องคอมพิวเตอร์โน้ตบุ๊ค โทรศัพท์มือถือ และอุปกรณ์ที่สามารถประมวลผลข้อมูลอื่นๆ ที่มีการใช้งานโดยผู้ใช้งานโดยทั่วไป อุปกรณ์เหล่านี้สามารถติดต่อสื่อสารข้อมูลผ่านทางเครือข่ายได้

8.2 สิทธิการเข้าถึงในระดับพิเศษ (Privileged access rights)

การจัดสรรและให้สิทธิการเข้าถึงในระดับพิเศษ เช่น ระดับของผู้ดูแลระบบ ระดับของผู้จัดการ ต้องมีการจำกัดและบริหารจัดการ

8.3 การจำกัดการเข้าถึงข้อมูล (Information access restriction)

การควบคุมการเข้าถึงข้อมูลและทรัพย์สินที่เกี่ยวข้องอื่นๆ ต้องมีการจำกัดให้เป็นไปตามนโยบายเฉพาะแยกตามเรื่องที่เกี่ยวข้องกับการควบคุมการเข้าถึงที่ได้กำหนดไว้

8.4 การจำกัดการเข้าถึงซอร์สโค้ด (Access to source code)

การเข้าถึงซอร์สโค้ด เครื่องมือที่ใช้ในการพัฒนาระบบ และซอฟต์แวร์ไลบรารี่ที่สามารถอ่านและเขียนทับข้อมูลเหล่านั้นได้ ต้องมีการบริหารจัดการอย่างเหมาะสม

8.5 การพิสูจน์ตัวตนที่มีความมั่นคงปลอดภัย (Secure authentication)

เทคโนโลยีและขั้นตอนปฏิบัติสำหรับใช้ในการพิสูจน์ตัวตนที่มีความมั่นคงปลอดภัย ต้องมีการนำสู่การปฏิบัติโดยขึ้นอยู่กับการจำกัดการเข้าถึงข้อมูลและนโยบายเฉพาะแยกตามเรื่องที่เกี่ยวข้องกับการควบคุมการเข้าถึง

8.6 การบริหารจัดการขีดความสามารถของระบบ (Capacity management)

การใช้ทรัพยากรของระบบต้องมีการเฝ้าระวัง ติดตาม และปรับปรุงให้เป็นไปตามความต้องการทรัพยากรในปัจจุบันและที่คาดการณ์ว่าจะเกิดขึ้น

8.7 การป้องกันจากโปรแกรมไม่ประสงค์ดี (Protection against malware)

การป้องกันจากโปรแกรมไม่ประสงค์ดีต้องมีการนำสู่การปฏิบัติ และได้รับการสนับสนุนโดยการสร้างความตระหนักให้แก่ผู้ใช้งานอย่างเหมาะสม

8.8 การบริหารจัดการช่องโหว่ทางเทคนิค (Management of technical vulnerabilities)

ข้อมูลที่เกี่ยวข้องกับช่องโหว่ทางเทคนิคของระบบสารสนเทศที่มีการใช้งาน ต้องมีการติดตามเพื่อให้ได้มาซึ่งข้อมูลดังกล่าว ความเสี่ยงต่อช่องโหว่ดังกล่าวขององค์กรต้องได้รับการประเมิน และมีการกำหนดมาตรการที่เหมาะสมเพื่อดำเนินการ

8.9 การบริหารจัดการการตั้งค่าระบบ (Configuration Management) 

การตั้งค่าระบบซึ่งรวมถึงการตั้งค่าด้านความมั่นคงปลอดภัย ของฮาร์ดแวร์ ซอฟต์แวร์ บริการ และเครือข่าย ต้องมีการกำหนด จัดทำเป็นลายลักษณ์อักษร นำสู่การปฏิบัติ ติดตาม และทบทวน เพื่อให้เป็นไปตามการตั้งค่าที่กำหนดไว้นั้น

8.10 การลบข้อมูล (Information deletion)

ข้อมูลที่มีการจัดเก็บไว้ในระบบสารสนเทศ อุปกรณ์ หรือบนสื่อบันทึกข้อมูลอื่นๆ ต้องมีการลบทำลายเมื่อไม่มีความจำเป็นในการใช้งานอีกต่อไป

8.11 การปิดบังข้อมูล (Data masking)

การปิดบังข้อมูล เพื่อไม่ให้ข้อมูลที่จัดเก็บไว้ในระบบถูก มองเห็น หรือถูกนำไปใช้ประโยชน์ได้ ต้องมีการนำมาใช้งานโดยให้เป็นไปตามนโยบายเฉพาะแยกตามเรื่องที่เกี่ยวข้องกับการควบคุมการเข้าถึงนโยบายเฉพาะแยกตามเรื่องอื่นๆ ที่เกี่ยวข้อง และความต้องการทางธุรกิจขององค์กร โดยต้องพิจารณากฎหมายที่เกี่ยวข้องประกอบด้วย

8.12 การป้องกันการรั่วไหลของข้อมูล (Data Leakage Prevention)

มาตรการการป้องกันการรั่วไหลของข้อมูลต้องมีการนำมาประยุกต์ใช้กับระบบ เครือข่าย และอุปกรณ์ต่างๆ ที่มีการประมวลผล จัดเก็บ หรือรับส่งข้อมูลสำคัญ

8.13 การสำรองข้อมูล (Information backup)

สำเนาของข้อมูลซอฟต์แวร์ และระบบต้องมีการจัดเก็บรักษาไว้ และทดสอบอย่างสม่ำเสมอโดยให้เป็นไปตามนโยบายเฉพาะแยกตามเรื่องที่เกี่ยวข้องกับการสำรองข้อมูล

8.14 การสำรองอุปกรณ์ประมวลผลข้อมูล (Redundancy of information processing facilities)

อุปกรณ์ประมวลผลข้อมูลต้องมีการเตรียมการสำรองไว้ให้เพียงพอเพื่อให้เป็นไปตามความต้องการด้านสภาพความพร้อมใช้ของอุปกรณ์เหล่านั้น

8.15 การบันทึกข้อมูลล็อก (Logging)

ข้อมูลล็อกที่มีการบันทึกกิจกรรมต่างๆ ข้อยกเว้น ข้อผิดพลาด และเหตุการณ์ที่เกี่ยวข้องอื่นๆ ของระบบ ต้องมีการจัดเตรียมระบบไว้ สำหรับข้อมูลล็อกดังกล่าวเพื่อให้สามารถผลิต จัดเก็บ ป้องกัน และนำมาวิเคราะห์ข้อมูลได้

8.16 กิจกรรมการเฝ้าระวังการทำงานของ ระบบและอุปกรณ์ (Monitoring Activities)

เครือข่าย ระบบ และแอพพลิเคชั่นต้องมีการเฝ้าระวังการทำงานเพื่อตรวจหาพฤติกรรมที่ผิดปกติ และดำเนินการเพื่อประเมินความเป็นไปได้ของเหตุการณ์ด้านความมั่นคงปลอดภัยสารสนเทศที่อาจเกิดขึ้น

8.17 การตั้งนาฬิกาให้ถูกต้อง (Clock Synchronization)

นาฬิกาของระบบสารสนเทศที่มีการใช้งานภายในองค์กรต้องได้รับการตั้งค่าเวลาให้เที่ยงตรงโดยเทียบกับแหล่งเทียบเวลาที่ได้รับการรับรอง      

​8.18 การใช้โปรแกรมอรรถประโยชน์ที่ได้รับสิทธิในระดับพิเศษ (Use of privileged utility programs)

การใช้โปรแกรมอรรถประโยชน์ที่ได้รับสิทธิในระดับพิเศษ ซึ่งทำให้สามารถละเมิดมาตรการควบคุมของแอพพลิเคชั่นและระบบต้องมีการจำกัดและควบคุมการใช้งานอย่างเคร่งครัด

8.19 การติดตั้งซอฟต์แวร์บนระบบให้บริการ (Installation of software on operational systems)

ขั้นตอนปฏิบัติและมาตรการที่จำเป็นต้องมีการนำสู่การปฏิบัติ เพื่อบริหารจัดการการติดตั้งซอฟต์แวร์บนระบบให้บริการให้มีความมั่นคงปลอดภัย ระบบให้บริการเป็นระบบที่ไม่ได้เป็นระบบสำหรับการทดสอบ และไม่ได้เป็นระบบที่ใช้ในการพัฒนา ระบบเมื่อผ่านขั้นตอนการพัฒนาและได้รับการทดสอบเป็นที่เรียบร้อยแล้ว จะมีการนำไปติดตั้งบนระบบให้บริการเพื่อให้บริการแก่ผู้ใช้งาน ดังนั้นการปฏิบัติงานภายในองค์กรของผู้ใช้งานจะกระทำบนระบบให้บริการ

8.20 ความมั่นคงปลอดภัยของเครือข่าย (Networks security)

เครือข่ายและอุปกรณ์เครือข่าย ต้องมีการรักษาความมั่นคง ปลอดภัย ได้รับการบริหารจัดการ และมีการควบคุมเพื่อป้องกันข้อมูลทั้งในระบบและแอพพลิเคชั่น ที่มีการทำงาน ผ่านเครือข่ายและอุปกรณ์เครือข่ายขององค์กร

8.21 ความมั่นคงปลอดภัยของบริการ เครือข่าย (Security of network services)

กลไกด้านความมั่นคงปลอดภัย ระดับการให้บริการ และความต้องการด้านบริการที่มีต่อบริการเครือข่ายหนึ่ง ที่อาจมาจากผู้บริหารหรือผู้มีส่วนได้ส่วนเสียของบริการดังกล่าว ต้องมีการกำหนด นำสู่การปฏิบัติ ติดตาม และเฝ้าระวัง เพื่อให้เป็นไปตามกลไก ระดับการให้บริการ และความต้องการที่ได้กำหนดไว้นั้น

8.22 การแบ่งแยกเครือข่าย (Segregation in networks)

กลุ่มของบริการสารสนเทศ ผู้ใช้งาน และระบบสารสนเทศ ต้องมีการแบ่งแยกออกจากกันในเครือข่ายขององค์กรตามความต้องการขององค์กร

8.23 การคัดกรองเว็บ (Web filtering)

การเข้าถึงเว็บไซต์ภายนอกต้องได้รับการบริหารจัดการเพื่อลดโอกาสการเข้าถึงเนื้อหาที่เป็นอันตราย เช่น โปรแกรมไม่ประสงค์ดี ซอฟต์แวร์ที่เป็นอันตรายต่างๆ เป็นต้น ที่อาจสร้างความเสียหายให้แก่ข้อมูลและเครื่องคอมพิวเตอร์ขององค์กรได้ในลักษณะใดลักษณะหนึ่ง

8.24 การใช้การเข้ารหัสข้อมูล (Use of cryptography)

กฎเกณฑ์สำหรับการใช้การเข้ารหัสข้อมูลที่ได้ผล ซึ่งรวมถึงการบริหารจัดการกุญแจสำหรับการเข้ารหัส ต้องมีการกำหนดและนำสู่การปฏิบัติ

8.25 วัฏจักรการพัฒนาระบบให้มีความมั่นคงปลอดภัย (Secure development life cycle)

กฎเกณฑ์สำหรับการพัฒนาซอฟต์แวร์และระบบให้มีความมั่นคงปลอดภัย ต้องมีการกำหนดและนำสู่การปฏิบัติ

8.26 ความต้องการด้านความมั่นคงปลอดภัยของแอพพลิเคชั่น (Application security requirements)

ความต้องการด้านความมั่นคงปลอดภัยสารสนเทศของแอพพลิเคชั่นต้องมีการกำหนดและอนุมัติเมื่อมีการพัฒนา หรือจัดหาแอพพลิเคชั่น

8.27 สถาปัตยกรรมของระบบที่มีความมั่นคงปลอดภัยและหลักการวิศวกรรมระบบ (Secure system architecture and engineering principles)

หลักการวิศวกรรมระบบให้มีความมั่นคงปลอดภัย หลักการการออกแบบและพัฒนาระบบให้มีความมั่นคงปลอดภัย ต้อง มีการกำหนดจัดทำเป็นลายลักษณ์อักษร ปรับปรุง และนำมา ปฏิบัติต่อกิจกรรมการพัฒนาระบบสารสนเทศ เพื่อให้ระบบที่ออกแบบและพัฒนามีความมั่นคงปลอดภัย

8.28 การเขียนโปรแกรมให้มีความมั่นคงปลอดภัย (Secure Coding)

หลักการการเขียนโปรแกรมให้มีความมั่นคงปลอดภัยต้องมี การนำมาปฏิบัติกับการพัฒนาซอฟต์แวร์

8.29 การทดสอบด้านความมั่นคงปลอดภัยในการพัฒนาและรับรองระบบ (Security testing in development and acceptance)

กระบวนการสำหรับการทดสอบด้านความมั่นคงปลอดภัยต้องมีการกำหนดและนำสู่การปฏิบัติในวัฏจักรของการพัฒนาระบบ

8.30 การพัฒนาระบบโดยหน่วยงานภายนอก (Outsourced development)

องค์กรต้องกำกับดูแล เฝ้าระวัง ติดตาม และทบทวนกิจกรรม การพัฒนาระบบที่จ้างหน่วยงานภายนอกเป็นผู้ดำเนินการ

8.31 การแยกสภาพแวดล้อมสำหรับการ พัฒนาการทดสอบ และการให้บริการออกจากกัน (Separation of development, testing and operational environments)

สภาพแวดล้อมสำหรับการพัฒนา การทดสอบ และการให้บริการ ต้องมีการแยกออกจากกันและต้องมีการรักษาความมั่นคงปลอดภัย

8.32 การบริหารจัดการการเปลี่ยนแปลง (Change management)

การเปลี่ยนแปลงต่ออุปกรณ์ประมวลผลข้อมูลและระบบสารสนเทศ ต้องมีการควบคุมผ่านขั้นตอนปฏิบัติสำหรับการบริหารจัดการการเปลี่ยนแปลง

8.33 ข้อมูลสำหรับการทดสอบ (Test information)

ข้อมูลสำหรับการทดสอบระบบต้องมีการคัดเลือก มีการป้องกัน และมีการบริหารจัดการอย่างเหมาะสม

8.34 การป้องกันระบบสารสนเทศในช่วงที่มีการทดสอบระบบโดยผู้ตรวจประเมิน (Protection of information systems during audit testing)

การทดสอบระบบโดยผู้ตรวจประเมินและกิจกรรมการตรวจประเมินอื่นๆ ที่เกี่ยวข้องกับการประเมินระบบให้บริการต้องมีการวางแผนและตกลงกันระหว่างผู้ดำเนินการทดสอบและผู้บริหารที่เกี่ยวข้อง เพื่อป้องกันปัญหาต่างๆ ที่อาจจะเกิดขึ้นกับระบบให้บริการ เช่น ระบบเกิดการหยุดชะงักในระหว่างที่ทำการทดสอบ ข้อมูลสำคัญในระบบถูกเข้าถึงโดยไม่ได้รับอนุญาต เป็นต้น

แหล่งข้อมูลอ้างอิง

https://www.iso.org/standard/27001

มาตรฐาน ISO/IEC 27001:2022 ฉบับภาษาไทย, https://www.tnetsecurity.com

ISO/IEC 27001 Transition Guide, https://www.bsigroup.com/globalassets/localfiles/en-th/iso-27001/resources/iso-iec-27001-transition-guide-th.pdf

ผู้บันทึกข้อมูล : wallop
View : 3348
เราใช้คุกกี้เพื่อเพิ่มประสิทธิภาพในการให้บริการและปรับปรุงบริการ คุณสามารถเลือกตั้งค่าความยินยอมการใช้คุกกี้ได้ที่ปุ่ม "ตั้งค่าคุกกี้" Privacy Policy    ยอมรับทั้งหมด