ISO 27001:2022 การดำเนินงาน (Operation)
การดำเนินงาน (Operation) เป็นการนำแผน ISMS ใน Clause 6 มาปฏิบัติจริง โดยมีประเด็นหลัก ๆ ดังนี้
1. การวางแผนและควบคุมการปฏิบัติงาน: องค์กรต้องวางแผน นำไปปฏิบัติ และควบคุมกระบวนการต่าง ๆ เพื่อให้เป็นไปตามข้อกำหนดของ ISMS
ตัวอย่าง:
- กำหนดขั้นตอนการอนุมัติการเข้าถึงข้อมูล (Access control)
- กำหนดวิธีการสำรองข้อมูล (Backup) และทดสอบการกู้คืนข้อมูล (Restore)
- กำหนดขั้นตอนการจัดการเหตุการณ์ด้านความมั่นคงปลอดภัยสารสนเทศ (Incident management)
- จัดทำคู่มือปฏิบัติงาน (Operating procedures)
2. การประเมินความเสี่ยง: องค์กรต้องประเมินความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศเป็นระยะ หรือเมื่อมีการเปลี่ยนแปลงที่สำคัญ
ตัวอย่าง:
- ประเมินความเสี่ยงจากการนำเทคโนโลยีใหม่ ๆ มาใช้
- ประเมินความเสี่ยงจากการเปลี่ยนแปลงกฎหมาย หรือข้อบังคับ
- ประเมินความเสี่ยงจากภัยคุกคามรูปแบบใหม่
3. การจัดการความเสี่ยง: องค์กรต้องดำเนินการตามแผนการจัดการความเสี่ยง เช่น นำมาตรการควบคุมมาใช้ ยอมรับความเสี่ยง หลีกเลี่ยงความเสี่ยง หรือโอนความเสี่ยง
4. การควบคุมการเปลี่ยนแปลง: องค์กรต้องควบคุมการเปลี่ยนแปลงที่เกิดขึ้น และประเมินผลกระทบ
ตัวอย่าง:
- การเปลี่ยนแปลงระบบ (System change)
- การเปลี่ยนแปลงซอฟต์แวร์ (Software change)
- การเปลี่ยนแปลงกระบวนการทำงาน (Process change)
- การเปลี่ยนแปลงบุคลากร (Personnel change)
5. การควบคุมสิ่งต่าง ๆ จากภายนอก: องค์กรต้องควบคุมกระบวนการ ผลิตภัณฑ์ หรือบริการจากภายนอกที่เกี่ยวข้องกับ ISMS
ตัวอย่าง:
- การใช้บริการ Cloud
- การจ้าง Outsource พัฒนา Software
- การใช้บริการ Call center
โดยสรุป เรื่องนี้เน้นย้ำให้เห็นถึงความสำคัญของการนำแผน ISMS ไปปฏิบัติ การประเมินและจัดการความเสี่ยง การควบคุมการเปลี่ยนแปลง และการควบคุมสิ่งต่าง ๆ ที่มาจากภายนอก เพื่อให้ ISMS สามารถดำเนินการได้อย่างมีประสิทธิภาพและบรรลุวัตถุประสงค์
ผู้เขียน ปริญญ์ เสรีพงศ์ CISA,CEH,CC ที่ปรึกษา ISO 27001 mr.pryn@gmail.com
About the Author
Write admin description here..
Get Updates
Subscribe to our e-mail newsletter to receive updates.
Share This Post
Related posts
0 ความคิดเห็น :