มาตรการความมั่นคงปลอดภัยสารสนเทศของมาตรฐาน ISO/IEC 27001:2022
มาตรการความมั่นคงปลอดภัยสารสนเทศของมาตรฐาน ISO/IEC 27001:2022
- มาตรการขององค์กร (Organizational controls)
5.1 นโยบายด้านความมั่นคงปลอดภัยสารสนเทศ (Policies for information security)
นโยบายความมั่นคงปลอดภัยสารสนเทศ และนโยบายเฉพาะแยกตามเรื่องต้องมีการกำหนดอนุมัติโดยผู้บริหาร จัดพิมพ์ สื่อสาร และสร้างการรับรู้ให้แก่บุคลากรและหน่วยงานภายนอกที่เกี่ยวข้อง ตลอดจนทบทวนตามรอบระยะเวลาที่กำหนดไว้ หรือเมื่อมีการเปลี่ยนแปลงที่มีนัยสำคัญต่อองค์กร
5.2 บทบาทและหน้าที่ความรับผิดชอบด้านความมั่นคงปลอดภัยสารสนเทศ (Information security roles and responsibilities)
บทบาทและหน้าที่ความรับผิดชอบด้านความมั่นคงปลอดภัยสารสนเทศ ต้องมีการกำหนดและแบ่งความรับผิดชอบตามที่องค์กรต้องการ
5.3 การแบ่งแยกหน้าที่ความรับผิดชอบ (Segregation of duties)
หน้าที่และส่วนของการปฏิบัติหน้าที่ดังกล่าวที่จะก่อให้เกิดการขัดต่อผลประโยชน์ขององค์กร ต้องมีการแยกส่วนของการปฏิบัติหน้าที่ดังกล่าวออกจากกัน
5.4 หน้าที่ความรับผิดชอบของผู้บริหาร (Management responsibilities)
ผู้บริหารต้องกำหนดให้บุคลากรทั้งหมดยึดมั่นและรักษาความมั่นคงปลอดภัยสารสนเทศ โดยกำหนดให้ปฏิบัติตามตามนโยบายความมั่นคงปลอดภัยสารสนเทศนโยบายเฉพาะแยกตามเรื่อง และขั้นตอนปฏิบัติที่กำหนดไว้
5.5 การติดต่อกับหน่วยงานผู้มีอำนาจ (Contact with authorities)
องค์กรต้องกำหนดและปรับปรุงข้อมูลสำหรับการติดต่อกับหน่วยงานผู้มีอำนาจ (เพื่อใช้ในการติดต่อประสานงานในเรื่องต่างๆที่สำคัญและจำเป็น)
5.6 การติดต่อกับกลุ่มพิเศษที่มีความสนใจในเรื่องเดียวกัน (Contact with special interest groups)
องค์กรต้องกำหนดและปรับปรุงข้อมูลสำหรับการติดต่อกับกลุ่มพิเศษที่มีความสนใจในเรื่องเดียวกัน กลุ่มที่มีความเชี่ยวชาญด้านความมั่นคงปลอดภัยสารสนเทศและสมาคมที่มีความเป็นมืออาชีพ
5.7 ข้อมูลหรือข่าวกรองด้านความมั่นคงปลอดภัย (Threat intelligence)
ข้อมูลที่เกี่ยวข้องกับภัยคุกคามด้านความมั่นคงปลอดภัยสารสนเทศต้องมีการเก็บรวบรวมและวิเคราะห์เพื่อจัดทำหรือผลิตข้อมูลหรือข่าวกรองด้านความมั่นคงปลอดภัย
5.8 ความมั่นคงปลอดภัยสารสนเทศกับการบริหารจัดการโครงการ (Information security in project management)
ความมั่นคงปลอดภัยสารสนเทศต้องมีการบูรณาการเข้าไปกับการบริหารจัดการโครงการ
5.9 บัญชีของข้อมูลและทรัพย์สินที่เกี่ยวข้องอื่นๆ (Inventory of information and other associated assets)
บัญชีของข้อมูลและทรัพย์สินที่เกี่ยวข้องอื่นๆรวมถึงเจ้าของทรัพย์สิน ต้องมีการจัดทำและปรับปรุงเพื่อให้ข้อมูลมีความเป็นปัจจุบันและถูกต้อง
5.10 การใช้ทรัพย์สินอย่างเหมาะสม (Acceptable use of assets)
กฎเกณฑ์การใช้อย่างเหมาะสมและขั้นตอนปฏิบัติสำหรับการจัดการข้อมูลและทรัพย์สินที่เกี่ยวข้องอื่นๆ ต้องมีการกำหนดจัดทำเป็นลายลักษณ์อักษรและนำไปปฏิบัติ
5.11 การคืนทรัพย์สิน (Return of assets)
บุคลากรและผู้ที่เกี่ยวข้องจากหน่วยงานภายนอกต้องคืนทรัพย์สินขององค์กรทั้งหมดที่ตนเองถือครองเมื่อสิ้นสุด หรือเปลี่ยนการจ้างงานสัญญาจ้าง หรือข้อตกลงการจ้าง
5.12 ชั้นความลับของข้อมูล (Classification of information)
ข้อมูลต้องมีการแยกหมวดหมู่ให้เป็นไปตามความต้องการด้านความมั่นคงปลอดภัยสารสนเทศขององค์กร โดยพิจารณาจากความลับ ความถูกต้อง ความพร้อมใช้ และความต้องการจากหน่วยงานต่างๆที่เกี่ยวข้อง
5.13 การบ่งชี้ข้อมูล (Labeling of information)
ชุดขั้นตอนปฏิบัติสำหรับการบ่งชี้ข้อมูลตามความเหมาะสม ต้องมีการกำหนดขึ้นมาและมีการนำไปปฏิบัติให้มีความสอดคล้องกับวิธีการจัดชั้นความลับของข้อมูลที่องค์กรได้กำหนดไว้
5.14 การถ่ายโอนข้อมูล (Information transfer)
กฎเกณฑ์ ขั้นตอนปฏิบัติ หรือข้อตกลงสำหรับการถ่ายโอนข้อมูลต้องมีการกำหนดขึ้นมาสำหรับเครื่องมือหรืออุปกรณ์ในการถ่ายโอนข้อมูลทุกประเภท ทั้งการถ่ายโอนภายในองค์กรระหว่างองค์กร ตลอดจน หน่วยงานภายนอกอื่นๆ
5.15 การควบคุมการเข้าถึง (Access control)
กฎเกณฑ์สำหรับการเข้าถึงข้อมูลและทรัพย์สินที่เกี่ยวข้องอื่นๆ ทั้งทางกายภาพและที่ไม่ได้เป็นการเข้าถึงทางกายภาพ เช่น การเข้าถึงระบบจากระยะไกล ต้องมีการกำหนดและนำสู่การปฏิบัติโดยขึ้นอยู่กับความต้องการทางธุรกิจและความต้องการด้านความมั่นคงปลอดภัยสารสนเทศ
5.16 การบริหารจัดการอัตลักษณ์ (ที่ใชในการพิสูจน์ตัวตนเข้าระบบ) (Identity management)
วัฏจักรทั้งวงจรชีวิตของข้อมูลอัตลักษณ์ ที่เป็นส่วนหนึ่งของการพิสูจน์ตัวตนในการเข้าถึงระบบ ต้องได้รับการบริหารจัดการตลอดวงจรชีวิตของข้อมูลดังกล่าว
5.17 ข้อมูลที่เกี่ยวข้องกับการพิสูจน์ตัวตน (Authentication information)
การจัดสรรและการบริหารจัดการข้อมูลที่เกี่ยวข้องกับการพิสูจน์ตัวตน ต้องได้รับการควบคุมผ่านกระบวนการบริหารจัดการซึ่งรวมถึงการให้คำแนะนำแก่บุคลากรเกี่ยวกับการจัดการอย่างเหมาะสมสำหรับข้อมูลการพิสูจน์ตัวตนดังกล่าว
5.18 สิทธิการเข้าถึง (Access rights)
สิทธิการเข้าถึงข้อมูลและทรัพย์สินที่เกี่ยวข้องอื่นๆต้องมีการดำเนินการ ทบทวน ปรับปรุง และถอดถอนให้เป็นไปตามนโยบายเฉพาะแยกตามเรื่องและกฎเกณฑ์สำหรับควบคุมการเข้าถึงขององค์กร
5.19 ความมั่นคงปลอดภัยสารสนเทศกับความสัมพันธ์กับผู้ให้บริการภายนอก (Information security in supplier relationships)
กระบวนการและขั้นตอนปฏิบัติต้องมีการกำหนดและนำสู่การปฏิบัติเพื่อบริหารจัดการความเสี่ยงต่อความมั่นคงปลอดภัยสารสนเทศที่เกี่ยวข้องกับการใช้ผลิตภัณฑ์หรือบริการของผู้ให้บริการภายนอก
5.20 การระบุความมั่นคงปลอดภัยสารสนเทศในข้อตกลงการให้บริการของผู้บริการภายนอก (Addressing information security within supplier agreements)
ความต้องการด้านความมั่นคงปลอดภัยสารสนเทศที่เกี่ยวข้องต้องมีการกำหนดและตกลงกับผู้ให้บริการภายนอกแต่ละราย โดยขึ้นอยู่กับประเภทและความสมพันธ์กับผู้ให้บริการภายนอกนั้น
5.21 การบริหารจัดการความมั่นคงปลอดภัยสารสนเทศในห่วงโซ่การให้บริการและผลิตภัณฑ์ด้าน ICT
กระบวนการและขั้นตอนปฏิบัติต้องมีการกำหนดและนำสู่การปฏิบัติ เพื่อบริหารจัดการความเสี่ยงที่มีต่อความมั่นคงปลอดภัยสารสนเทศที่เกี่ยวข้องกับห่วงโซ่การให้บริการและผลิตภัณฑ์ด้าน ICT โดยห่วงโซ่การให้บริการนี้เกิดขึ้นจากผู้ให้บริการภายนอกขององค์กรมีการจ้างต่อหรือที่เรียกว่า "จ้างช่วง" ไปยังผู้ให้บริการภายนอกในลำดับถัดไป จึงทำให้เกิดลักษณะของห่วงโซ่ที่เชื่อมโยงจากองค์กรไปสู่ผู้ให้บริการภายนอก และผู้ให้บริการในลำดับถัดไป
5.22 การติดตาม การทบทวน และการบริหารจัดการการเปลี่ยนแปลงของบริการจากผู้ให้บริการภายนอก (Monitoring review and change management of supplier services)
องค์กรต้องมีการติดตาม ทบทวน ประเมิน และบริหารจัดการการเปลี่ยนแปลงอย่างสม่ำเสมอในวิธีปฏิบัติด้านความมั่นคงปลอดภัย สารสนเทศและการส่งมอบบริการของผู้ให้บริการภายนอก
5.23 ความมั่นคงปลอดภัยสารสนเทศสำหรับการใช้บริการ Cloud (Information security for use of cloud services)
กระบวนการสำหรับการจัดหาการใช้บริการการบริหารจัดการ และการสิ้นสุดการใช้บริการ Cloud ต้องมีการกำหนดโดยให้เป็นไปตามความต้องการด้านความมั่นคงปลอดภัยสารสนเทศขององค์กร
5.24 การวางแผนและการเตรียมการสำหรับการบริหารจัดการเหตุการณ์ด้านความมั่นคงปลอดภัยสารสนเทศ (Information security incident management planning and preparation)
องค์กรต้องมีการวางแผนและเตรียมการสำหรับการบริหารจัดการเหตุการณ์ด้านความมั่นคงปลอดภัยสารสนเทศ โดยต้องกำหนดและสื่อสารกระบวนการ บทบาทและหน้าที่ความรับผิดชอบสำหรับการบริหารจัดการเหตุการณด้านความมั่นคงปลอดภัยสารสนเทศ
5.25 การประเมินและตัดสินใจสำหรับเหตุการณ์ที่เกี่ยวข้องกับความมั่นคงปลอดภัยสารสนเทศ (Assessment and decision on information security events)
องค์กรต้องประเมินเหตุการณ์ที่เกี่ยวข้องกับความมั่นคงปลอดภัยสารสนเทศ ที่ได้รับแจ้งเข้ามานั้น และตัดสินใจว่าเหตุดังกล่าวนั้นจัดอยู่ในประเภทของเหตุการณ์ด้านความมั่นคงปลอดภัยสารสนเทศหรือไม่ เพื่อรับมือกับเหตุการณ์ที่เกิดขึ้นนั้นต่อไป
5.26 การรับมือกับเหตุการณด้านความมั่นคงปลอดภัยสารสนเทศ (Response to information security incidents)
เหตุการณ์ด้านความมั่นคงปลอดภัยสารสนเทศต้องมีการรับมือให้เป็นไปตามขั้นตอนปฏิบัติที่กำหนดไว้อย่างเป็นลายลักษณ์อักษร
5.27 การเรียนรู้จากเหตุการณ์ด้านความมั่นคงปลอดภัยสารสนเทศ (Learning from information security incidents)
ความรู้ที่ได้รับจากเหตุการณ์ด้านความมั่นคงปลอดภัยสารสนเทศต้องนำมาใช้เพื่อเสริมสร้างความแข็งแกร่งและปรับปรุงมาตรการความมั่นคงปลอดภัยสารสนเทศ
5.28 การเก็บรวบรวมหลักฐาน (Collection of evidence)
องค์กรต้องมีการกำหนดและนำไปปฏิบัติสำหรับขั้นตอนปฏิบัติเพื่อระบุ รวบรวม ค้นหาเพื่อให้ได้มาและเก็บรักษาหลักฐานของเหตุการณ์ที่เกี่ยวข้องกับความมั่นคงปลอดภัยสารสนเทศ
5.29 ความมั่นคงปลอดภัยสารสนเทศในช่วงที่เกิดการหยุดชะงัก (Information security during disruption)
องค์กรต้องวางแผนเพื่อรักษาความมั่นคงปลอดภัยสารสนเทศให้อยู่ในระดับที่เหมาะสมในช่วงที่เกิดการหยุดชะงัก เช่น ของระบบสารสนเทศขององค์กรความมั่นคงปลอดภัยสารสนเทศจะหมายรวมถึงความพร้อมใช้ของระบบด้วย ดังนั้นการหยุดชะงักของระบบจึงมีความเกี่ยวข้องกับความมั่นคงปลอดภัยสารสนเทศขององค์กรด้วยจึงมีความจำเป็นต้อง
5.30 ความพร้อมด้าน ICT เพื่อความต่อเนื่องทางธุรกิจ (ICT readiness for business continuity)
ความพร้อมด้าน ICT ต้องมีการวางแผนนำไปปฏิบัติ บำรุงรักษา และมีการทดสอบเพื่อให้เกิดความมั่นใจและมีความพร้อมอยู่เสมอ โดยให้เป็นไปตามวัตถุประสงค์และความต้องการด้านความต่อเนื่องทางธุรกิจและของระบบ ICT ที่เกี่ยวข้อง
5.31 ความต้องการที่เกี่ยวข้องกับกฎหมาย ระเบียบข้อบังคับ และสัญญาจ้าง (Legal, statutory, regulatory and contractual requirements)
ความต้องการด้านความมั่นคงปลอดภัยสารสนเทศ อันสืบเนื่องมาจากกฎหมายระเบียบข้อบังคับ และสัญญาจ้างที่องค์กรต้องปฏิบัติตามและวิธีการขององค์กรที่จะต้องปฏิบัติเพื่อให้สอดคล้องกับความต้องการเหล่านั้น ต้องมีการกำหนดบันทึกไว้เป็นลายลักษณ์อักษร และปรับปรุงให้เป็นปัจจุบัน
5.32 สิทธิในทรัพย์สินทางปัญญา (Intellectual property rights)
องค์กรต้องมีและนำสู่การปฏิบัติสำหรับขั้นตอนปฏิบัติที่เหมาะสมเพื่อป้องกันสิทธิในทรัพย์สินทางปัญญา เพื่อป้องกันการละเมิดทรัพย์สินทางปัญญาทั้งขององค์กรและของผู้อื่น
5.33 การป้องกันข้อมูล (Protection of records)
ข้อมูลขององค์กรต้องได้รับการป้องกันจากการสูญหาย การทำลาย การปลอมแปลง การเข้าถึงโดยไม่ได้รับอนุญาต และการเผยแพร่ออกไปโดยไม่ได้รับอนุญาต ข้อมูลในลักษณะ record โดยทั่วไปหมายถึงข้อมูลที่มีลักษณะเป็นชุด เช่น ข้อมูลประวัติของพนักงาน ข้อมูลการฝึกอบรมของ พนักงานข้อมูลค่าใช้จ่ายของพนักงาน ข้อมูลเหล่านี้มีลักษณะเป็นชุดของข้อมูล
5.34 ความเป็นส่วนตัวและการป้องกันข้อมูลส่วนบุคคล (Privacy and protection of personal identifiable information)
องค์กรต้องระบุและดำเนินการให้สอดคล้องกับความต้องการที่เกี่ยวข้องกับการรักษาความเป็นส่วนตัวและการป้องกันข้อมูลส่วนบุคคลตามที่กฎหมาย ระเบียบข้อบังคับ และสัญญาจ้างได้กำหนดให้ต้องปฏิบัติตาม
5.35 การทบทวนด้านความมั่นคงปลอดภัยสารสนเทศอย่างเป็นอิสระ (Independent review of information security)
วิธีการขององค์กรในการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ และการนำสู่การปฏิบัติ ซึ่งรวมถึงบุคลากร กระบวนการ และเทคโนโลยีที่ใช้เพื่อดำเนินการ ต้องมีการทบทวนอย่างเป็นอิสระตามรอบระยะเวลาที่กำหนดไว้หรือเมื่อมีการเปลี่ยนแปลงที่มีนัยสำคัญเกิดขึ้น ผู้ที่ต้องปฏิบัติตามกระบวนการด้านความมั่นคงปลอดภัยสารสนเทศขององค์กร ไม่ควรดำเนินการทบทวนด้านความมั่นคงปลอดภัยสารสนเทศด้วยตนเอง ควรมีหน่วยงานแยกที่เป็นหน่วยงานอิสระเข้ามาดำเนินการทบทวนและควรเป็นหน่วยงานที่ไม่เกี่ยวข้องกับการปฏิบัติตามกระบวนการดังกล่าว
5.36 การปฏิบัติตามนโยบาย กฎเกณฑ์ และมาตรฐานด้านความมั่นคงปลอดภัยสารสนเทศ (Compliance with policies, rules and standards for information security)
การปฏิบัติตามนโยบาย นโยบายเฉพาะแยกตามเรื่อง กฎเกณฑ์ และมาตรฐานด้านความมั่นคงปลอดภัยสารสนเทศขององค์กรต้องมีการทบทวนอย่างสม่ำเสมอ
5.37 ขั้นตอนปฏิบัติงานที่เป็นลายลักษณ์อักษร (Documented operating procedures)
ขั้นตอนปฏิบัติที่เกี่ยวข้องกับงานประมวลผลข้อมูล ซึ่งอาจเป็นระบบ หรืออุปกรณ์ประมวลผลข้อมูลก็ตาม ต้องมีการจัดทำอย่างเป็นลายลักษณ์อักษร และต้องมีพร้อมไว้สำหรับบุคลากรที่มีความจำเป็นต้องใช้งาน
- มาตรการด้านบุคลากร (Organizational controls)
6.1 การคัดเลือก (Screening)
การตรวจสอบภูมิหลังของผู้สมัครงานต้องมีการดำเนินการก่อนที่ผู้สมัครนั้นจะเริ่มเข้ามาปฏิบัติงานกับองค์กร โดยพิจารณาควบคู่ไปกับกฎหมายระเบียบข้อบังคับและจริยธรรมที่เกี่ยวข้อง และต้องดำเนินการในระดับที่เหมาะสมกับความต้องการทางธุรกิจ ชั้นความลับของข้อมูลที่จะถูกเข้าถึง และความเสยงที่เกี่ยวข้อง
6.2 ข้อตกลงและเงื่อนไขการจ้างงาน (Terms and conditions of employment)
ข้อตกลงในสัญญาจ้างงานต้องกล่าวถึงหน้าที่ความรับผิดชอบ ด้านความมั่นคงปลอดภัยสารสนเทศของบุคลากรและขององค์กร
6.3 การสร้างความตระหนัก การให้ความรู้ และการฝึกอบรมด้านความมั่นคงปลอดภัยสารสนเทศ (Information security awareness, education and training)
บุคลากรขององค์กรและผู้ที่เกี่ยวข้องจากหน่วยงานภายนอก ต้องได้รับการสร้างความตระหนัก การให้ความรู้ และการฝึกอบรมด้านความมั่นคงปลอดภัยสารสนเทศอย่างเหมาะสม ตลอดจนการให้ความรู้เป็นประจำเกี่ยวกับนโยบายความมั่นคงปลอดภัยสารสนเทศ นโยบายเฉพาะแยกตามเรื่อง และขั้นตอนปฏิบัติที่มีความเกี่ยวข้องกับงานที่ต้องปฏิบัติของบุคลากรเหล่านั้น
6.4 กระบวนการทางวินัย (Disciplinary process)
กระบวนการทางวินัยต้องมีการกำหนดอย่างเป็นทางการและสื่อสารให้ได้รับทราบตลอดจนการดำเนินการต่อบุคลากรและผู้ที่เกี่ยวข้องจากหน่วยงานภายนอกสำหรับการละเมิดนโยบายความมั่นคงปลอดภัยสารสนเทศขององค์กร
6.5 ความรับผิดชอบภายหลังการสิ้นสุด หรือการเปลี่ยนแปลงการจ้างงาน (Responsibilities after termination or change of employment)
ความรับผิดชอบและหน้าที่ด้านความมั่นคงปลอดภัยสารสนเทศที่ต้องคงไว้หลังสิ้นสุดหรือเปลี่ยนแปลงการจ้างงาน ต้องมีการกำหนดบังคับให้เป็นไปตามที่กำหนดนั้น และสื่อสารไปยังบุคลากรและหน่วยงานที่เกี่ยวข้องต่างๆ
6.6 ข้อตกลงการรักษาความลับหรือการไม่เปิดเผยความลับ (Confidentiality or non- disclosure agreements)
ข้อตกลงการรักษาความลับหรือการไม่เปิดเผยความลับ ที่สะท้อนถึงความต้องการขององค์กรในการป้องกันข้อมูล ต้องมีการระบุ จัดทำเป็นลายลักษณ์อักษร ทบทวนอย่างสม่ำเสมอ และมีการลงนามโดยบุคลากรและผู้ที่เกี่ยวข้องจากหน่วยงานต่างๆ
6.7 การปฏิบัติงานจากระยะไกล (Remote working)
มาตรการความมั่นคงปลอดภัยต้องมีการปฏิบัติเมื่อบุคลากรกำลังจะปฏิบัติงานจากระยะไกล เพื่อป้องกันข้อมูลที่มีการเข้าถึงประมวลผลหรือจัดเก็บไว้ภายนอกองค์กร
6.8 การรายงานเหตุการณ์ที่เกี่ยวข้องกับความมั่นคงปลอดภัยสารสนเทศ (Information security event reporting)
องค์กรต้องมีกลไกสำหรับบุคลากรในการรายงานเหตุการณ์ที่ตนสังเกตพบหรือที่เกิดความสงสัยเกี่ยวข้องกับความมั่นคง ปลอดภัยสารสนเทศ โดยผ่านช่องทางการรายงานที่เหมาะสมและอย่างทันกาล
- มาตรการทางกายภาพ (Physical controls)
7.1 ขอบเขตหรือบริเวณโดยรอบทางกายภาพ (Physical security perimeter)
ขอบเขตหรือบริเวณโดยรอบที่ต้องการการรักษาความมั่นคงปลอดภัยทางกายภาพ ต้องมีการกำหนดขึ้นมาเพื่อใช้ในการป้องกันพื้นที่ที่มีข้อมูลและทรัพย์สินที่เกี่ยวข้องอื่นๆ ที่ตั้งอยู่ภายในขอบเขตหรือบริเวณดังกล่าว
7.2 การควบคุมการเข้าออกทางกายภาพ (Physical entry)
พื้นที่ที่ต้องการการรักษาความมั่นคงปลอดภัย ต้องมีการป้องกันโดยควบคุมการเข้าออกพื้นที่และควบคุมจุดที่มีการเข้าถึงอย่างเหมาะสม
7.3 การรักษาความมั่นคงปลอดภัยสำหรับสำนักงาน ห้องทำงาน และอุปกรณ์ (Securing office, room and facilities)
ความมั่นคงปลอดภัยทางกายภาพของสำนักงาน ห้องทำงานและอุปกรณ์ต่างๆ ต้องมีการออกแบบและนำสู่การปฏิบัติเพื่อให้เกิดการป้องกันอย่างเป็นรูปธรรม
7.4 การเฝ้าระวังด้านความมั่นคงปลอดภัยทางกายภาพ (Physical security monitoring)
บริเวณอาคารหรือสถานที่ขององค์กรต้องมีการเฝ้าระวังและติดตามอย่างต่อเนื่องเพื่อป้องกันการเข้าถึงการกายภาพโดยไม่ได้รับอนุญาต
7.5 การป้องกันต่อภัยคุกคามทางกายภาพ และด้านสภาพแวดล้อม (Protecting against physical and environmental threats)
การป้องกันต่อภัยคุกคามทางกายภาพและด้านสภาพแวดล้อม เช่น ภัยพิบัติทางธรรมชาติ ภัยคุกคามทางกายภาพทั้งที่เจตนา หรือไม่เจตนาก็ตามต้องมีการออกแบบและนำสู่การปฏิบัติ
7.6 การปฏิบัติงานในพื้นที่ที่ต้องการการรักษาความมั่นคงปลอดภัย (Working in secure areas)
มาตรการความมั่นคงปลอดภัยสำหรับการปฏิบัติงานในพื้นที่ที่ต้องการการรักษาความมั่นคงปลอดภัย ต้องมีการออกแบบและนำสู่การปฏิบัติ
7.7 โต๊ะทำงานปลอดเอกสารสำคัญและการป้องกันหน้าจอคอมพิวเตอร์ (Clear desk and clear screen)
กฎเกณฑ์ 'โต๊ะทำงานปลอดเอกสารสำคัญ' เพื่อป้องกันเอกสารกระดาษและสื่อบันทึกข้อมูลที่ถอดแยกได้ และกฎเกณฑ์ 'การป้องกันหน้าจอคอมพิวเตอร์' เพื่อป้องกันข้อมูลในอุปกรณ์ประมวลผลข้อมูล ต้องมีการกำหนดและบังคับใช้งานเพื่อป้องกันการเข้าถึงทางกายภาพต่อเอกสารและข้อมูลสำคัญขององค์กร
7.8 การจัดวางและป้องกันอุปกรณ์ (Equipment sitting and protection)
อุปกรณ์ต้องมีการจัดวางและป้องกันให้มีความปลอดภัย
7.9 ความมั่นคงปลอดภัยของทรัพย์สินที่มีการใช้งานนอกองค์กร (Security of assets off-premises)
ทรัพย์สินที่มีการใช้งานนอกองค์กรต้องมีการป้องกัน
7.10 สื่อบันทึกข้อมูล (Storage media)
สื่อบันทึกข้อมูลต้องได้รับการบริหารจัดการตลอดวัฏจักรชีวิตนับตั้งแต่การจดหาการใช้งาน การขนย้ายการขนส่งและการจำหน่ายออก โดยให้เป็นไปตามวิธีการจัดชั้นความลับและการจัดการข้อมูลและทรัพย์สินที่เกี่ยวข้องขององค์กรที่ได้กำหนดไว้
7.11 ระบบสาธารณูปโภคสนับสนุน (Supporting utilities)
ระบบหรืออุปกรณ์ประมวลผลข้อมูลต้องได้รับการป้องกันจากการล้มเหลวของกระแสไฟฟ้าและการหยุดชะงักอื่นๆ ที่มีสาเหตุมาจากการล้มเหลวของระบบสาธารณูปโภคสนับสนุน ระบบสาธารณูปโภคดังกล่าวครอบคลุมถึง ไฟฟ้า ประปา เป็นต้น
7.12 ความมั่นคงปลอดภัยของสายสัญญาณ (Cabling security)
สายสัญญาณที่นำพาไฟฟ้า ข้อมูล หรือบริการสนับสนุนด้านข้อมูลอื่นๆ ต้องได้รับการป้องกันจากการขัดขวางการทำงานการแทรกแซงสัญญาณ หรือการทำให้เสียหาย
7.13 การบำรุงรักษาอุปกรณ์ (Equipment maintenance)
อุปกรณ์ต้องได้รับการบำรุงรักษาอย่างถูกต้อง เพื่อให้มีความพร้อมใช้งาน สามารถรักษาความถูกต้องและความลับของข้อมูล
7.14 ความมั่นคงปลอดภัยสำหรบการจำหน่ายออกหรือการทำลายอุปกรณ์ หรือการนำอุปกรณ์ไปใช้งานอย่างอื่น (Secure disposal or re-use of equipment)
อุปกรณ์ที่มีสื่อบันทึกข้อมูลต้องมีการตรวจสอบเพื่อให้มั่นใจว่าข้อมูลสำคัญและซอฟต์แวร์ที่มีใบอนุญาตมีการลบทิ้งหรือเขียนทับอย่างมั่นคงปลอดภัย ก่อนการจำหน่ายออกอุปกรณ์หรือก่อนการนำอุปกรณ์นั้นไปใช้งานอย่างอื่น
- มาตรการทางเทคโนโลยี (Technological controls)
8.1 อุปกรณ์ปลายทางของผู้ใช้งาน (User end point devices)
ข้อมูลที่มีการจัดเก็บไว้มีการประมวลผลหรือมีการเข้าถึงโดยอุปกรณ์ปลายทางของผู้ใช้งาน ต้องได้รับการป้องกันอุปกรณ์ปลายทางนี้โดยทั่วไปหมายรวมถึงเครื่องคอมพิวเตอร์โน้ตบุ๊ค โทรศัพท์มือถือ และอุปกรณ์ที่สามารถประมวลผลข้อมูลอื่นๆ ที่มีการใช้งานโดยผู้ใช้งานโดยทั่วไป อุปกรณ์เหล่านี้สามารถติดต่อสื่อสารข้อมูลผ่านทางเครือข่ายได้
8.2 สิทธิการเข้าถึงในระดับพิเศษ (Privileged access rights)
การจัดสรรและให้สิทธิการเข้าถึงในระดับพิเศษ เช่น ระดับของผู้ดูแลระบบ ระดับของผู้จัดการ ต้องมีการจำกัดและบริหารจัดการ
8.3 การจำกัดการเข้าถึงข้อมูล (Information access restriction)
การควบคุมการเข้าถึงข้อมูลและทรัพย์สินที่เกี่ยวข้องอื่นๆ ต้องมีการจำกัดให้เป็นไปตามนโยบายเฉพาะแยกตามเรื่องที่เกี่ยวข้องกับการควบคุมการเข้าถึงที่ได้กำหนดไว้
8.4 การจำกัดการเข้าถึงซอร์สโค้ด (Access to source code)
การเข้าถึงซอร์สโค้ด เครื่องมือที่ใช้ในการพัฒนาระบบ และซอฟต์แวร์ไลบรารี่ที่สามารถอ่านและเขียนทับข้อมูลเหล่านั้นได้ ต้องมีการบริหารจัดการอย่างเหมาะสม
8.5 การพิสูจน์ตัวตนที่มีความมั่นคงปลอดภัย (Secure authentication)
เทคโนโลยีและขั้นตอนปฏิบัติสำหรับใช้ในการพิสูจน์ตัวตนที่มีความมั่นคงปลอดภัย ต้องมีการนำสู่การปฏิบัติโดยขึ้นอยู่กับการจำกัดการเข้าถึงข้อมูลและนโยบายเฉพาะแยกตามเรื่องที่เกี่ยวข้องกับการควบคุมการเข้าถึง
8.6 การบริหารจัดการขีดความสามารถของระบบ (Capacity management)
การใช้ทรัพยากรของระบบต้องมีการเฝ้าระวัง ติดตาม และปรับปรุงให้เป็นไปตามความต้องการทรัพยากรในปัจจุบันและที่คาดการณ์ว่าจะเกิดขึ้น
8.7 การป้องกันจากโปรแกรมไม่ประสงค์ดี (Protection against malware)
การป้องกันจากโปรแกรมไม่ประสงค์ดีต้องมีการนำสู่การปฏิบัติ และได้รับการสนับสนุนโดยการสร้างความตระหนักให้แก่ผู้ใช้งานอย่างเหมาะสม
8.8 การบริหารจัดการช่องโหว่ทางเทคนิค (Management of technical vulnerabilities)
ข้อมูลที่เกี่ยวข้องกับช่องโหว่ทางเทคนิคของระบบสารสนเทศที่มีการใช้งาน ต้องมีการติดตามเพื่อให้ได้มาซึ่งข้อมูลดังกล่าว ความเสี่ยงต่อช่องโหว่ดังกล่าวขององค์กรต้องได้รับการประเมิน และมีการกำหนดมาตรการที่เหมาะสมเพื่อดำเนินการ
8.9 การบริหารจัดการการตั้งค่าระบบ (Configuration Management)
การตั้งค่าระบบซึ่งรวมถึงการตั้งค่าด้านความมั่นคงปลอดภัย ของฮาร์ดแวร์ ซอฟต์แวร์ บริการ และเครือข่าย ต้องมีการกำหนด จัดทำเป็นลายลักษณ์อักษร นำสู่การปฏิบัติ ติดตาม และทบทวน เพื่อให้เป็นไปตามการตั้งค่าที่กำหนดไว้นั้น
8.10 การลบข้อมูล (Information deletion)
ข้อมูลที่มีการจัดเก็บไว้ในระบบสารสนเทศ อุปกรณ์ หรือบนสื่อบันทึกข้อมูลอื่นๆ ต้องมีการลบทำลายเมื่อไม่มีความจำเป็นในการใช้งานอีกต่อไป
8.11 การปิดบังข้อมูล (Data masking)
การปิดบังข้อมูล เพื่อไม่ให้ข้อมูลที่จัดเก็บไว้ในระบบถูก มองเห็น หรือถูกนำไปใช้ประโยชน์ได้ ต้องมีการนำมาใช้งานโดยให้เป็นไปตามนโยบายเฉพาะแยกตามเรื่องที่เกี่ยวข้องกับการควบคุมการเข้าถึงนโยบายเฉพาะแยกตามเรื่องอื่นๆ ที่เกี่ยวข้อง และความต้องการทางธุรกิจขององค์กร โดยต้องพิจารณากฎหมายที่เกี่ยวข้องประกอบด้วย
8.12 การป้องกันการรั่วไหลของข้อมูล (Data Leakage Prevention)
มาตรการการป้องกันการรั่วไหลของข้อมูลต้องมีการนำมาประยุกต์ใช้กับระบบ เครือข่าย และอุปกรณ์ต่างๆ ที่มีการประมวลผล จัดเก็บ หรือรับส่งข้อมูลสำคัญ
8.13 การสำรองข้อมูล (Information backup)
สำเนาของข้อมูลซอฟต์แวร์ และระบบต้องมีการจัดเก็บรักษาไว้ และทดสอบอย่างสม่ำเสมอโดยให้เป็นไปตามนโยบายเฉพาะแยกตามเรื่องที่เกี่ยวข้องกับการสำรองข้อมูล
8.14 การสำรองอุปกรณ์ประมวลผลข้อมูล (Redundancy of information processing facilities)
อุปกรณ์ประมวลผลข้อมูลต้องมีการเตรียมการสำรองไว้ให้เพียงพอเพื่อให้เป็นไปตามความต้องการด้านสภาพความพร้อมใช้ของอุปกรณ์เหล่านั้น
8.15 การบันทึกข้อมูลล็อก (Logging)
ข้อมูลล็อกที่มีการบันทึกกิจกรรมต่างๆ ข้อยกเว้น ข้อผิดพลาด และเหตุการณ์ที่เกี่ยวข้องอื่นๆ ของระบบ ต้องมีการจัดเตรียมระบบไว้ สำหรับข้อมูลล็อกดังกล่าวเพื่อให้สามารถผลิต จัดเก็บ ป้องกัน และนำมาวิเคราะห์ข้อมูลได้
8.16 กิจกรรมการเฝ้าระวังการทำงานของ ระบบและอุปกรณ์ (Monitoring Activities)
เครือข่าย ระบบ และแอพพลิเคชั่นต้องมีการเฝ้าระวังการทำงานเพื่อตรวจหาพฤติกรรมที่ผิดปกติ และดำเนินการเพื่อประเมินความเป็นไปได้ของเหตุการณ์ด้านความมั่นคงปลอดภัยสารสนเทศที่อาจเกิดขึ้น
8.17 การตั้งนาฬิกาให้ถูกต้อง (Clock Synchronization)
นาฬิกาของระบบสารสนเทศที่มีการใช้งานภายในองค์กรต้องได้รับการตั้งค่าเวลาให้เที่ยงตรงโดยเทียบกับแหล่งเทียบเวลาที่ได้รับการรับรอง
8.18 การใช้โปรแกรมอรรถประโยชน์ที่ได้รับสิทธิในระดับพิเศษ (Use of privileged utility programs)
การใช้โปรแกรมอรรถประโยชน์ที่ได้รับสิทธิในระดับพิเศษ ซึ่งทำให้สามารถละเมิดมาตรการควบคุมของแอพพลิเคชั่นและระบบต้องมีการจำกัดและควบคุมการใช้งานอย่างเคร่งครัด
8.19 การติดตั้งซอฟต์แวร์บนระบบให้บริการ (Installation of software on operational systems)
ขั้นตอนปฏิบัติและมาตรการที่จำเป็นต้องมีการนำสู่การปฏิบัติ เพื่อบริหารจัดการการติดตั้งซอฟต์แวร์บนระบบให้บริการให้มีความมั่นคงปลอดภัย ระบบให้บริการเป็นระบบที่ไม่ได้เป็นระบบสำหรับการทดสอบ และไม่ได้เป็นระบบที่ใช้ในการพัฒนา ระบบเมื่อผ่านขั้นตอนการพัฒนาและได้รับการทดสอบเป็นที่เรียบร้อยแล้ว จะมีการนำไปติดตั้งบนระบบให้บริการเพื่อให้บริการแก่ผู้ใช้งาน ดังนั้นการปฏิบัติงานภายในองค์กรของผู้ใช้งานจะกระทำบนระบบให้บริการ
8.20 ความมั่นคงปลอดภัยของเครือข่าย (Networks security)
เครือข่ายและอุปกรณ์เครือข่าย ต้องมีการรักษาความมั่นคง ปลอดภัย ได้รับการบริหารจัดการ และมีการควบคุมเพื่อป้องกันข้อมูลทั้งในระบบและแอพพลิเคชั่น ที่มีการทำงาน ผ่านเครือข่ายและอุปกรณ์เครือข่ายขององค์กร
8.21 ความมั่นคงปลอดภัยของบริการ เครือข่าย (Security of network services)
กลไกด้านความมั่นคงปลอดภัย ระดับการให้บริการ และความต้องการด้านบริการที่มีต่อบริการเครือข่ายหนึ่ง ที่อาจมาจากผู้บริหารหรือผู้มีส่วนได้ส่วนเสียของบริการดังกล่าว ต้องมีการกำหนด นำสู่การปฏิบัติ ติดตาม และเฝ้าระวัง เพื่อให้เป็นไปตามกลไก ระดับการให้บริการ และความต้องการที่ได้กำหนดไว้นั้น
8.22 การแบ่งแยกเครือข่าย (Segregation in networks)
กลุ่มของบริการสารสนเทศ ผู้ใช้งาน และระบบสารสนเทศ ต้องมีการแบ่งแยกออกจากกันในเครือข่ายขององค์กรตามความต้องการขององค์กร
8.23 การคัดกรองเว็บ (Web filtering)
การเข้าถึงเว็บไซต์ภายนอกต้องได้รับการบริหารจัดการเพื่อลดโอกาสการเข้าถึงเนื้อหาที่เป็นอันตราย เช่น โปรแกรมไม่ประสงค์ดี ซอฟต์แวร์ที่เป็นอันตรายต่างๆ เป็นต้น ที่อาจสร้างความเสียหายให้แก่ข้อมูลและเครื่องคอมพิวเตอร์ขององค์กรได้ในลักษณะใดลักษณะหนึ่ง
8.24 การใช้การเข้ารหัสข้อมูล (Use of cryptography)
กฎเกณฑ์สำหรับการใช้การเข้ารหัสข้อมูลที่ได้ผล ซึ่งรวมถึงการบริหารจัดการกุญแจสำหรับการเข้ารหัส ต้องมีการกำหนดและนำสู่การปฏิบัติ
8.25 วัฏจักรการพัฒนาระบบให้มีความมั่นคงปลอดภัย (Secure development life cycle)
กฎเกณฑ์สำหรับการพัฒนาซอฟต์แวร์และระบบให้มีความมั่นคงปลอดภัย ต้องมีการกำหนดและนำสู่การปฏิบัติ
8.26 ความต้องการด้านความมั่นคงปลอดภัยของแอพพลิเคชั่น (Application security requirements)
ความต้องการด้านความมั่นคงปลอดภัยสารสนเทศของแอพพลิเคชั่นต้องมีการกำหนดและอนุมัติเมื่อมีการพัฒนา หรือจัดหาแอพพลิเคชั่น
8.27 สถาปัตยกรรมของระบบที่มีความมั่นคงปลอดภัยและหลักการวิศวกรรมระบบ (Secure system architecture and engineering principles)
หลักการวิศวกรรมระบบให้มีความมั่นคงปลอดภัย หลักการการออกแบบและพัฒนาระบบให้มีความมั่นคงปลอดภัย ต้อง มีการกำหนดจัดทำเป็นลายลักษณ์อักษร ปรับปรุง และนำมา ปฏิบัติต่อกิจกรรมการพัฒนาระบบสารสนเทศ เพื่อให้ระบบที่ออกแบบและพัฒนามีความมั่นคงปลอดภัย
8.28 การเขียนโปรแกรมให้มีความมั่นคงปลอดภัย (Secure Coding)
หลักการการเขียนโปรแกรมให้มีความมั่นคงปลอดภัยต้องมี การนำมาปฏิบัติกับการพัฒนาซอฟต์แวร์
8.29 การทดสอบด้านความมั่นคงปลอดภัยในการพัฒนาและรับรองระบบ (Security testing in development and acceptance)
กระบวนการสำหรับการทดสอบด้านความมั่นคงปลอดภัยต้องมีการกำหนดและนำสู่การปฏิบัติในวัฏจักรของการพัฒนาระบบ
8.30 การพัฒนาระบบโดยหน่วยงานภายนอก (Outsourced development)
องค์กรต้องกำกับดูแล เฝ้าระวัง ติดตาม และทบทวนกิจกรรม การพัฒนาระบบที่จ้างหน่วยงานภายนอกเป็นผู้ดำเนินการ
8.31 การแยกสภาพแวดล้อมสำหรับการ พัฒนาการทดสอบ และการให้บริการออกจากกัน (Separation of development, testing and operational environments)
สภาพแวดล้อมสำหรับการพัฒนา การทดสอบ และการให้บริการ ต้องมีการแยกออกจากกันและต้องมีการรักษาความมั่นคงปลอดภัย
8.32 การบริหารจัดการการเปลี่ยนแปลง (Change management)
การเปลี่ยนแปลงต่ออุปกรณ์ประมวลผลข้อมูลและระบบสารสนเทศ ต้องมีการควบคุมผ่านขั้นตอนปฏิบัติสำหรับการบริหารจัดการการเปลี่ยนแปลง
8.33 ข้อมูลสำหรับการทดสอบ (Test information)
ข้อมูลสำหรับการทดสอบระบบต้องมีการคัดเลือก มีการป้องกัน และมีการบริหารจัดการอย่างเหมาะสม
8.34 การป้องกันระบบสารสนเทศในช่วงที่มีการทดสอบระบบโดยผู้ตรวจประเมิน (Protection of information systems during audit testing)
การทดสอบระบบโดยผู้ตรวจประเมินและกิจกรรมการตรวจประเมินอื่นๆ ที่เกี่ยวข้องกับการประเมินระบบให้บริการต้องมีการวางแผนและตกลงกันระหว่างผู้ดำเนินการทดสอบและผู้บริหารที่เกี่ยวข้อง เพื่อป้องกันปัญหาต่างๆ ที่อาจจะเกิดขึ้นกับระบบให้บริการ เช่น ระบบเกิดการหยุดชะงักในระหว่างที่ทำการทดสอบ ข้อมูลสำคัญในระบบถูกเข้าถึงโดยไม่ได้รับอนุญาต เป็นต้น
แหล่งข้อมูลอ้างอิง
https://www.iso.org/standard/27001
มาตรฐาน ISO/IEC 27001:2022 ฉบับภาษาไทย, https://www.tnetsecurity.com
ISO/IEC 27001 Transition Guide, https://www.bsigroup.com/globalassets/localfiles/en-th/iso-27001/resources/iso-iec-27001-transition-guide-th.pdf