ISO/IEC 27001:2013 Requirements ขอก ำหนดระบบบรหำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ หนำ 1 / 37

ISO/IEC 27001:2013

Information Security Management Systems

Just for Customer

Guide Series

ISO/IEC 27001:2013 Requirements ขอก ำหนดระบบบรหำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ หนำ 2 / 37

1 Scope

This International Standard specifies the requirements for establishing, implementing, maintaining and continually improving an information security management system within the context of the organization. This International Standard also includes requirements for the assessment and treatment of information security risks tailored to the needs of the organization. The requirements set out in this International Standard are generic and are intended to be applicable to all organizations, regardless of type, size or nature. Excluding any of the requirements specified in Clauses 4 to 10 is not acceptable when an organization claims conformity to this International Standard.

1 ขอบขาย

มำตรฐำนสำกลฉบบน ระบขอก ำหนดในกำรจดตง กำรน ำปฏบต กำรรกษำให คงไว และกำรปรบปรงพฒนำอยำงตอเนอง ของระบบบรหำรจดกำรควำมมนคง

ปลอดภยส ำหรบสำรสนเทศภำยในบรบทขององคกร และยงรวมถงขอก ำหนดส ำหรบกำรประเมนและกำรจดกำรควำมเสยงดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศทปรบใหเหมำะสมกบควำมจ ำเปนขององคกร ขอก ำหนดทระบใน

มำตรฐำนสำกลฉบบน เปนขอก ำหนดทวไป โดยมวตถประสงคเพอใหสำมำรถใชไดกบทกองคกร ไมวำจะมขนำด ประเภท หรอลกษณะใดกตำม กำรยกเวนขอก ำหนดใดๆ ทระบไวในขอก ำหนด 4 ถง ขอก ำหนด 10 ไมสำมำรถยอมรบไดเมอองคกรอำงควำมสอดคลองกบมำตรฐำนน

2 Normative references

The following documents, in whole or in part, are normatively referenced in this document and are indispensable for its application. For dated references, only the edition cited applies. For undated references, the latest edition of the referenced document (including any amendments) applies.

ISO/IEC 27000, Information technology — Security techniques — Information security management systems — Overview and vocabulary

2 การอางองเชงบรรทดฐาน

เอกสำรตอไปน, ทงหมดหรอบำงสวน, ถกอำงองไวในเอกสำรฉบบนเปน

บรรทดฐำน และเปนสงทขำดไมไดส ำหรบกำรน ำไปประยกตใช ส ำหรบกำรอำงองวนทเอกสำรระบจำก Edition ทก ำหนดวนทไว กรณทไมระบวนท ให อำงองจำก Edition ลำสดของเอกสำรอำงอง (รวมถงเอกสำรเพมเตมใดๆ)

ISO/IEC 27000, Information technology — Security techniques — ระบบบรหำรจดกำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ – ภำพรวมและค ำศพท

3 Terms and definitions

For the purposes of this document, the terms and definitions given in ISO/IEC 27000 apply.

3 ค าศพทและนยาม

ตำมวตถประสงคของเอกสำรฉบบน ค ำศพทและนยำม ระบไวในมำตรฐำน ISO/IEC 27000

4 Context of the organization 4 บรบทขององคกร

ISO/IEC 27001:2013 Requirements ขอก ำหนดระบบบรหำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ หนำ 3 / 37

4.1 Understanding the organization and its context

The organization shall determine external and internal issues that are relevant to its purpose and that affect its ability to achieve the intended outcome(s) of its information security management system.

NOTE Determining these issues refers to establishing the external and internal context of the organization considered in Clause 5.3 of ISO 31000:2009[5].

4.1 ความเขาใจในองคกรและบรบทขององคกร

องคกรตองก ำหนดประเดนภำยนอกและภำยในตำงๆ ทเกยวของกบวตถประสงคองคกรและทมผลกระทบตอควำมสำมำรถในกำรบรรลผลลพธตำมทตงใจไวของระบบบรหำรจดกำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ

หมำยเหต กำรก ำหนดประเดนดงกลำว อำงถงกำรจดตงบรบทภำยนอกและภำยในขององคกร ซงพจำรณำตำมขอก ำหนด 5.3 ของมำตรฐำน ISO

31000:2009[5].

4.2 Understanding the needs and expectations of interested parties

The organization shall determine:

a) interested parties that are relevant to the information security management system; and

b) the requirements of these interested parties relevant to information security.

NOTE The requirements of interested parties may include legal and regulatory requirements and contractual obligations.

4.2 ความเขาใจในความตองการและความคาดหวงของผท

สนใจ

องคกรตองก ำหนด

a) ผทสนใจ (Interested Parties) ทเกยวของกบระบบบรหำรจดกำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ และ

b) ขอก ำหนดของผทสนใจดงกลำว ทเกยวของกบควำมมนคงปลอดภยส ำหรบสำรสนเทศ

หมำยเหต ขอก ำหนดของผทสนใจ อำจรวมถงขอกฎหมำย ขอก ำหนด

กฎระเบยบบงคบ และขอผกผนตำมสญญำ

4.3 Determining the scope of the information security management system

The organization shall determine the boundaries and applicability of the information security management system to establish its scope.

When determining this scope, the organization shall consider:

4.3 การก าหนดขอบขายของระบบบรหารจดการความม นคงปลอดภยส าหรบสารสนเทศ

องคกรตองก ำหนดขอบเขตและกำรบงคบใชของระบบบรหำรจดกำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ เพอจดตงขอบขำยของระบบ

เมอก ำหนดขอบขำยน องคกรตองพจำรณำ

ISO/IEC 27001:2013 Requirements ขอก ำหนดระบบบรหำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ หนำ 4 / 37

a) the external and internal issues referred to in 4.1;

b) the requirements referred to in 4.2; and

c) interfaces and dependencies between activities performed by the organization, and those that are performed by other organizations.

The scope shall be available as documented information.

a) ประเดนภำยนอกและภำยใน ทอำงถงในขอก ำหนด 4.1

b) ควำมตองกำร ทอำงถงในขอก ำหนด 4.2 และ

c) ควำมสมพนธเชอมโยงและขนตอกนระหวำงกจกรรมทองคกรด ำเนนงำนเอง และกจกรรมเหลำนน ทด ำเนนงำนโดยองคกรอน

ขอบขำยตองเปนขอมลทจดท ำเปนลำยลกษณอกษร

4.4 Information security management system

The organization shall establish, implement, maintain and continually improve an information security management system, in accordance with the requirements of this International Standard.

4.4 ระบบบรหารจดการความม นคงปลอดภยส าหรบสารสนเทศ

องคกรตองจดตง น ำไปปฏบต รกษำใหคงไว และปรบปรงพฒนำระบบบรหำรจดกำรควำมมนคงปลอดภยส ำหรบสำรสนเทศอยำงตอเนอง เพอใหสอดคลอง

กบขอก ำหนดของมำตรฐำนสำกลฉบบน

5 Leadership

5.1 Leadership and commitment

When determining this Top management shall demonstrate leadership and commitment with respect to the information security management system by:

a) ensuring the information security policy and the information security objectives are established and are compatible with the strategic direction of the organization;

b) ensuring the integration of the information security management system requirements into the organization’s processes;

c) ensuring that the resources needed for the information security management system are available;

d) communicating the importance of effective information security management and of conforming to the information security

5 ภาวะผน า

5.1 ภาวะผน าและพนธสญญา

ผบรหำรระดบสงตองแสดงใหเหนถงควำมเปนผน ำและพนธสญญำทมตอระบบบรหำรจดกำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ โดย

a) ท ำใหมนใจวำนโยบำยควำมมนคงปลอดภยส ำหรบสำรสนเทศ และวตถประสงคควำมมนคงปลอดภยส ำหรบสำรสนเทศไดจดท ำขน และ

สอดคลองกบทศทำงเชงกลยทธขององคกร

b) ท ำใหมนใจวำมกำรผสมผสำนขอก ำหนดระบบบรหำรจดกำรควำมมนคงปลอดภยส ำหรบสำรสนเทศเขำไปผนวกในกระบวนกำรตำงๆ ขององคกร

c) ท ำใหมนใจวำมทรพยำกรทจ ำเปนส ำหรบระบบบรหำรจดกำรควำมมนคงปลอดภย

d) กำรสอสำรถงควำมส ำคญของประสทธผลในกำรบรหำรจดกำรควำมมนคง

ปลอดภยส ำหรบสำรสนเทศ และควำมสอดคลองกบขอก ำหนดของระบบบรหำรจดกำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ

ISO/IEC 27001:2013 Requirements ขอก ำหนดระบบบรหำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ หนำ 5 / 37

management system requirements;

e) ensuring that the information security management system achieves its intended outcome(s);

f) directing and supporting persons to contribute to the effectiveness of the information security management system;

g) promoting continual improvement; and

h) supporting other relevant management roles to demonstrate their leadership as it applies to their areas of responsibility.

e) ท ำใหมนใจวำระบบบรหำรจดกำรควำมมนคงปลอดภยส ำหรบสำรสนเทศบรรลผลตำมทตงใจไว

f) กำรสงกำรและใหกำรสนบสนนผทมสวนรวมตอประสทธผลของระบบบรหำรจดกำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ

g) กำรสงเสรมกำรปรบปรงพฒนำอยำงตอเนอง

h) กำรสนบสนผอนทมบทบำทในกำรบรหำรทเกยวของ เพอแสดงควำมเปนผน ำตำมขอบเขตควำมรบผดชอบของบคคลเหลำนน

5.2 Policy

Top management shall establish an information security policy that:

a) is appropriate to the purpose of the organization;

b) includes information security objectives (see 6.2) or provides the framework for setting information security objectives;

c) includes a commitment to satisfy applicable requirements related to information security; and

d) includes a commitment to continual improvement of the information security management system.

The information security policy shall:

e) be available as documented information;

f) be communicated within the organization; and

g) be available to interested parties, as appropriate.

5.2 นโยบาย

ผบรหำรระดบสงตองก ำหนดนโยบำยควำมมนคงปลอดภยส ำหรบสำรสนเทศ ท

a) เหมำะสมตอวตถประสงคขององคกร

b) รวมถงวตถประสงคควำมมนคงปลอดภยส ำหรบสำรสนเทศ (ดขอก ำหนด 6.2) หรอมเคำโครงรำง (Framework) เพอก ำหนดวตถประสงคควำมมนคงปลอดภยส ำหรบสำรสนเทศ

c) รวมถงพนธสญญำ เพอใหเปนไปตำมขอก ำหนดตำงๆ ทเกยวของกบควำมมนคงปลอดภยส ำหรบสำรสนเทศ และ

d) รวมถงพนธสญญำ เพอกำรปรบปรงอยำงตอเนองของระบบบรหำรจดกำร

ควำมมนคงปลอดภยส ำหรบสำรสนเทศ

นโยบำยควำมมนคงปลอดภยส ำหรบสำรสนเทศ ตอง

e) เปนขอมลทจดท ำเปนลำยลกษณอกษร

f) น ำไปสอสำรภำยในองคกร และ

g) จดใหแกผทสนใจตำมควำมเหมำะสม

ISO/IEC 27001:2013 Requirements ขอก ำหนดระบบบรหำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ หนำ 6 / 37

5.3 Organizational roles, responsibilities and authorities

Top management shall ensure that the responsibilities and authorities for roles relevant to information security are assigned and communicated.

Top management shall assign the responsibility and authority for:

a) ensuring that the information security management system conforms to the requirements of this International Standard; and

b) reporting on the performance of the information security management system to top management.

NOTE Top management may also assign responsibilities and authorities for reporting performance of the information security management system within the organization.

5.3 บทบาท ความรบผดชอบ และอ านาจหนาท

ผบรหำรระดบสงตองมนใจวำ ควำมรบผดชอบและอ ำนำจหนำทส ำหรบบทบำททเกยวของกบควำมมนคงปลอดภยส ำหรบสำรสนเทศ ไดมกำรมอบหมำยและมกำรสอสำร

ผบรหำรระดบสงตองมอบหมำยควำมรบผดชอบและอ ำนำจหนำท ส ำหรบ

a) กำรท ำใหมนใจไดวำระบบบรหำรจดกำรควำมมนคงปลอดภยส ำหรบสำรสนเทศสอดคลองตำมขอก ำหนดของมำตรฐำนฉบบน และ

b) กำรรำยงำนถงประสทธภำพของระบบบรหำรจดกำรควำมมนคงปลอดภย

ส ำหรบสำรสนเทศตอผบรหำรระดบสง

หมำยเหต ผบรหำรระดบสง ยงอำจมอบหมำยควำมรบผดชอบและอ ำนำจ

หนำทเพอกำรรำยงำนประสทธภำพของระบบบรหำรจดกำรควำมมนคงปลอดภยส ำหรบสำรสนเทศภำยในองคกรไดเชนกน

6 Planning

6.1 Actions to address risks and opportunities

6.1.1 General

When planning for the information security management system, the organization shall consider the issues referred to in 4.1 and the requirements referred to in 4.2 and determine the risks and opportunities that need to be addressed to:

a) ensure the information security management system can achieve its intended outcome(s);

b) prevent, or reduce, undesired effects; and

6 การวางแผน

6.1 การด าเนนการเพอจดการความเสยงและโอกาส

6.1.1 ท วไป

เมอท ำกำรวำงแผนส ำหรบระบบบรหำรจดกำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ องคกรตองพจำรณำถงประเดนตำงๆ ทอำงถงในขอก ำหนด 4.1

และขอก ำหนดตำงๆ ทอำงถงในขอก ำหนด 4.2 และก ำหนดควำมเสยงและโอกำสทจ ำเปนตองจดกำร เพอ

a) ใหมนใจวำระบบบรหำรจดกำรควำมมนคงปลอดภยส ำหรบสำรสนเทศสำมำรถบรรลผลตำมทผลลพธทตงใจไว

b) ปองกนหรอลดผลกระทบทไมพงปรำรถนำ และ

ISO/IEC 27001:2013 Requirements ขอก ำหนดระบบบรหำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ หนำ 7 / 37

c) achieve continual improvement

The organization shall plan:

d) actions to address these risks and opportunities; and

e) how to

1) integrate and implement the actions into its information security management system processes; and

2) evaluate the effectiveness of these actions.

c) ใหบรรลเปำหมำยของกำรปรบปรงอยำงตอเนอง

องคกรตองวำงแผน

d) กำรด ำเนนกำรเพอจดกำรกบควำมเสยงและโอกำส และ

e) วธกำร

1) ผนวกรวม และน ำกำรด ำเนนกำรไปปฏบตใหเขำกบกระบวนกำรของระบบบรหำรจดกำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ และ

2) ประเมนประสทธผลของกำรด ำเนนกำรดงกลำว

6.1.2 Information security risk assessment

The organization shall define and apply an information security risk assessment process that:

a) establishes and maintains information security risk criteria that include:

1) the risk acceptance criteria; and

2) criteria for performing information security risk assessments;

b) ensures that repeated information security risk assessments produce consistent, valid and comparable results;

c) identifies the information security risks:

1) apply the information security risk assessment process to identify risks associated with the loss of confidentiality, integrity and availability for information within the scope of the information security management system; and

2) identify the risk owners;

d) analyses the information security risks:

1) assess the potential consequences that would result if the risks

6.1.2 การประเมนความเสยงดานความม นคงปลอดภยส าหรบ

สารสนเทศ

องคกรตองก ำหนดและประยกตใชกระบวนกำรประเมนควำมเสยงดำนควำม

มนคงปลอดภยส ำหรบสำรสนเทศ โดย

a) จดตงและรกษำเกณฑควำมเสยง (Risk Criteria) ดำนควำมมนคง

ปลอดภยส ำหรบสำรสนเทศ ซงรวมถง

1) เกณฑกำรยอมรบควำมเสยง (Risk Acceptance Criteria) และ

2) เกณฑส ำหรบด ำเนนกำรประเมนควำมเสยงดำนควำมมนคงปลอดภย

ส ำหรบสำรสนเทศ

b) ท ำใหมนใจวำกำรประเมนควำมเสยงดงกลำวสำมำรถท ำซ ำ และไดผลลพธทตรงกน ถกตอง และสำมำรถเปรยบเทยบได

c) ระบควำมเสยงดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศ

1) ประยกตใชกระบวนกำรประเมนควำมเสยงดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศ เพอระบควำมเสยงทเกยวของกบกำรสญเสยควำมลบ ควำมถกตองสมบรณ และควำมพรอมใชงำนของสำรสนเทศ

ภำยในขอบเขตของระบบบรหำรจดกำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ และ

ISO/IEC 27001:2013 Requirements ขอก ำหนดระบบบรหำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ หนำ 8 / 37

identified in 6.1.2 c) 1) were to materialize;

2) assess the realistic likelihood of the occurrence of the risks identified in 6.1.2 c) 1); and

3) determine the levels of risk;

e) evaluates the information security risks:

1) compare the results of risk analysis with the risk criteria established in 6.1.2 a); and

2) prioritize the analysed risks for risk treatment.

The organization shall retain documented information about the information security risk assessment process.

2) ระบผเปนเจำของควำมเสยง (Risk Owner)

d) วเครำะหควำมเสยงดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศ

1) ประเมนผลกระทบทเปนไปได ถำควำมเสยงทระบไวในขอก ำหนด 6.1.2 c) เกดขนจรง

2) ประเมนโอกำสทสมเหตผล ของกำรเกดควำมเสยงทระบไวใน

ขอก ำหนด 6.1.2 c) และ

3) ก ำหนดระดบคำควำมเสยง

e) ประเมนควำมเสยงดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศ

1) เปรยบเทยบผลกำรวเครำะหควำมเสยงกบเกณฑควำมเสยงทตงขนในขอก ำหนด 6.1.2 a) และ

2) จดล ำดบควำมส ำคญของควำมเสยงทไดวเครำะหแลว เพอกำรจดกำร

ควำมเสยง

องคกรตองเกบรกษำขอมลทเปนลำยลกษณอกษร เกยวกบกระบวนกำรประเมน

ควำมเสยงดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศ

6.1.3 Information security risk treatment

The organization shall define and apply an information security risk treatment process to:

a) select appropriate information security risk treatment options, taking account of the risk assessment results;

b) determine all controls that are necessary to implement the information security risk treatment option(s) chosen;

NOTE Organizations can design controls as required, or identify them from any source.

c) compare the controls determined in 6.1.3 b) above with those in

6.1.3 การจดการความเสยงดานความม นคงปลอดภยส าหรบสารสนเทศ

องคกรตองก ำหนดและประยกตใชกระบวนกำรจดกำรควำมเสยงดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศ เพอ

a) เลอกตวเลอกของกำรจดกำรควำมเสยงดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศทเหมำะสม โดยพจำรณำจำกผลประเมนควำมเสยง

b) ก ำหนดมำตรกำรควบคม (Controls) ทงหมดทจ ำเปน เพอน ำไปใชตำมตวเลอกกำรจดกำรควำมเสยงดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศทไดเลอกไว

หมำยเหต องคกรสำมำรถออกแบบมำตรกำรควบคมตำมทตองกำร หรอ

ISO/IEC 27001:2013 Requirements ขอก ำหนดระบบบรหำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ หนำ 9 / 37

Annex A and verify that no necessary controls have been omitted;

NOTE 1 Annex A contains a comprehensive list of control objectives and controls. Users of this International Standard are directed to Annex A to ensure that no necessary controls are overlooked

NOTE 2 Control objectives are implicitly included in the controls chosen. The control objectives and controls listed in Annex A are not exhaustive and additional control objectives and controls may be needed.

d) .produce a Statement of Applicability that contains the necessary controls (see 6.1.3 b) and c)) and justification for inclusions, whether they are implemented or not, and the justification for exclusions of controls from Annex A;

e) formulate an information security risk treatment plan; and f) obtain risk owners’ approval of the information security risk

treatment plan and acceptance of the residual information security risks.

The organization shall retain documented information about the information security risk treatment process.

NOTE The information security risk assessment and treatment process in this International Standard aligns with the principles and generic guidelines provided in ISO 31000[5].

ระบมำตรกำรควบคมจำกแหลงอำงองใดๆ

c) เปรยบเทยบมำตรกำรควบคมทก ำหนดไวในขอก ำหนด 6.1.3 b) กบมำตรกำรควบคมใน Annex A และทวนสอบวำไมมมำตรกำรควบคมทจ ำเปนใดๆ ไดละเวนออกไป

หมำยเหต 1 Annex A ประกอบดวย รำยกำรวตถประสงคของมำตรกำรควบคม และมำตรกำรควบคม ผใชมำตรฐำนฉบบน ไดรบกำรชแนะไปท

Annex A เพอใหมนใจวำไมมมำตรกำรควบคมทจ ำเปนใดๆ ถกมองขำมไป

หมำยเหต 2 วตถประสงคของมำตรกำรควบคมถกรวมแฝงไวกบมำตรกำร

ควบคมทเลอก รำยกำรวตถประสงคของมำตรกำรควบคมและมำตรกำรควบคมใน Annex A ไมใชมำตรกำรควบคมทงหมดทงสน และกำรเพมเตมวตถประสงคของมำตรกำรควบคม และมำตรกำรควบคมอนๆ อำจมควำม

จ ำเปน

d) จดท ำเอกสำรแสดงกำรประยกตใช (Statement of Applicability)

ประกอบดวย มำตรกำรควบคมทจ ำเปน (ดขอก ำหนด 6.1.3 b) และ c)) และเหตผลของกำรน ำมำใช ไมวำจะน ำไปด ำเนนกำรแลวหรอไมกตำม และเหตผลของกำรละเวนมำตรกำรควบคมจำก Annex A

e) จดท ำแผนกำรจดกำรควำมเสยงดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศ และ

f) ขออนมตแผนกำรจดกำรควำมเสยงดำนควำมมนคงปลอดภยส ำหรบ

สำรสนเทศ และกำรยอมรบควำมเสยงดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศทหลงเหลออย (Residual Risks) จำกผเปนเจำของควำมเสยง

องคกรตองเกบรกษำขอมลทเปนลำยลกษณอกษร เกยวกบกระบวนกำรจดกำร

ควำมเสยงดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศ

หมำยเหต กระบวนกำรประเมนควำมเสยงและกระบวนกำรจดกำรควำมเสยงดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศในมำตรฐำนฉบบน สอดคลองกลบหลกกำรและแนวทำงโดยทวไปทระบไวในมำตรฐำน ISO 31000[5].

ISO/IEC 27001:2013 Requirements ขอก ำหนดระบบบรหำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ หนำ 10 / 37

6.2 Information security objectives and planning to achieve them

The organization shall establish information security objectives at relevant functions and levels.

The information security objectives shall:

a) be consistent with the information security policy;

b) be measurable (if practicable);

c) take into account applicable information security requirements, and results from risk assessment and risk treatment;

d) be communicated; and

e) be updated as appropriate.

The organization shall retain documented information on the information security objectives.

When planning how to achieve its information security objectives, the organization shall determine:

f) what will be done;

g) what resources will be required;

h) who will be responsible;

i) when it will be completed; and

j) how the results will be evaluated.

6.2 วตถประสงคความม นคงปลอดภยส าหรบสารสนเทศ และการวางแผนเพอการบรรลผล

องคกรตองจดตงวตถประสงคควำมมนคงปลอดภยส ำหรบสำรสนเทศทกำรปฏบตงำน (Functions) และระดบ (Levels) ทเกยวของ

วตถประสงคควำมมนคงปลอดภยส ำหรบสำรสนเทศ ตอง

a) สอดคลองกบนโยบำยควำมมนคงปลอดภยส ำหรบสำรสนเทศ

b) สำมำรถวดผลได (ถำปฏบตได)

c) พจำรณำถงขอก ำหนดตำงๆ ดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศ

และผลลพธจำกกำรประเมนควำมเสยงและกำรจดกำรควำมเสยง

d) ไดรบกำรสอสำร และ

e) ไดรบกำรปรบปรงตำมควำมเหมำะสม

องคกรตองเกบรกษำขอมลทเปนลำยลกษณอกษร เกยวกบวตถประสงคดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศ

เมอวำงแผนวธกำรเพอใหบรรลวตถประสงคดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศ องคกรตองก ำหนด

f) กจกรรมทจะท ำใหเสรจ

g) ทรพยำกรตำงๆ ทจะตองกำร

h) ใครจะเปนผรบผดชอบ

i) เมอไหรทจะแลวเสรจ และ

j) ผลลพธทไดจะประเมนอยำงไร

7 Support 7 การสนบสนน

ISO/IEC 27001:2013 Requirements ขอก ำหนดระบบบรหำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ หนำ 11 / 37

7.1 Resources

The organization shall determine and provide the resources needed for the establishment, implementation, maintenance and continual improvement of the information security management system.

7.1 ทรพยากร

องคกรตองก ำหนด และจดหำทรพยำกรทจ ำเปนในกำรจดตง กำรน ำไปปฏบต และกำรรกษำใหคงไว และกำรปรบปรงพฒนำอยำงตอเนอง ของระบบบรหำรจดกำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ

7.2 Competence

The organization shall:

a) determine the necessary competence of person(s) doing work under its control that affects its information security performance;

b) ensure that these persons are competent on the basis of appropriate education, training, or experience;

c) where applicable, take actions to acquire the necessary competence, and evaluate the effectiveness of the actions taken; and

d) retain appropriate documented information as evidence of competence.

NOTE Applicable actions may include, for example: the provision of training to, the mentoring of, or the reassignment of current employees; or the hiring or contracting of competent persons.

7.2 ความสามารถ

องคกรตอง

a) ก ำหนดควำมสำมำรถทจ ำเปนของบคลำกรทปฏบตงำนอยภำยใตกำร

ควบคมขององคกร ซงสงผลตอประสทธภำพดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศ

b) ท ำใหมนใจวำบคลำกรดงกลำวมควำมสำมำรถจำกพนฐำนทำงกำรศกษำ

กำรฝกอบรม หรอประสบกำรณท ำงำนทเหมำะสม

c) ตำมควำมเหมำะสม ด ำเนนกำรเพอใหไดมำซงควำมสำมำรถทจ ำเปนนน และประเมนประสทธผลของกำรด ำเนนกำร และ

d) เกบรกษำขอมลทเปนลำยลกษณอกษรขอมล เพอเปนหลกฐำนแสดงควำมสำมำรถ

หมำยเหต กำรด ำเนนกำรทเหมำะสม อำจรวมถง ตวอยำงเชน กำรจดฝกอบรม

กำรมพเลยง หรอกำรมอบหมำยงำนใหใหมแกพนกงำนปจจบน หรอกำรวำจำงงำนงำน หรอท ำสญญำจำงผทมควำมสำมำรถ

7.3 Awareness

Persons doing work under the organization’s control shall be aware of:

a) the information security policy;

b) their contribution to the effectiveness of the information security

7.3 ความตระหนก

บคลำกรทปฏบตงำนภำยใตกำรควบคมขององคกร ตองตระหนกถง

a) นโยบำยควำมมนคงปลอดภยส ำหรบสำรสนเทศ

b) กำรมสวนรวมตอประสทธผลของระบบบรหำรจดกำรควำมมนคงปลอดภย

ISO/IEC 27001:2013 Requirements ขอก ำหนดระบบบรหำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ หนำ 12 / 37

management system, including the benefits of improved information security performance; and

c) the implications of not conforming with the information security management system requirements.

ส ำหรบสำรสนเทศ รวมถงประโยชนทไดจำกกำรปรบปรงประสทธผลของระบบบรหำรจดกำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ

c) นยยะของควำมไมสอดคลองกบขอก ำหนดของระบบบรหำรจดกำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ

7.4 Communication

The organization shall determine the need for internal and external communications relevant to the information security management system including:

a) on what to communicate;

b) when to communicate;

c) with whom to communicate;

d) who shall communicate; and

e) the processes by which communication shall be effected.

7.4 การสอสาร

องคกรตองก ำหนดควำมจ ำเปนของกำรสอสำรทเกยวของกบระบบบรหำร

จดกำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ ทงภำยในและภำยนอกองคกร รวมถง

a) สงทตองกำรสอสำร

b) เมอไรทจะสอสำร

c) สอสำรถงใคร

d) ใครเปนผสอสำร และ

e) กระบวนกำรทใชสอสำรใหเกดผล

7.5 Documented information

7.5.1 General

The organization’s information security management system shall include:

a) documented information required by this International Standard; and

b) documented information determined by the organization as being necessary for the effectiveness of the information security management system.

NOTE The extent of documented information for an information

7.5 ขอมลทเปนลายลกษณอกษร

7.5.1 ท วไป

ระบบบรหำรจดกำรควำมมนคงปลอดภยส ำหรบสำรสนเทศขององคกร ตอง

รวมถง

a) ขอมลเอกสำรทก ำหนดโดยมำตรฐำนฉบบน และ

b) ขอมลเอกสำรทก ำหนดโดยองคกรวำเปนสงทจ ำเปนตอประสทธผลของระบบบรหำรจดกำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ

หมำยเหต ปรมำณขอมลเอกสำรทมกำรบนทกส ำหรบระบบบรหำรจดกำรควำม

มนคงปลอดภยส ำหรบสำรสนเทศสำมำรถแตกตำงกนตำมแตละองคกร

ISO/IEC 27001:2013 Requirements ขอก ำหนดระบบบรหำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ หนำ 13 / 37

security management system can differ from one organization to another due to:

1) size of organization and its type of activities, processes, products and services;

2) the complexity of processes and their interactions; and

3) the competence of persons.

เนองจำก

1) ขนำดขององคกร และประเภทของกจกรรม กระบวนกำร ผลตภณฑ และบรกำร

2) ควำมซบซอนของกระบวนกำร และปฏสมพนธของกระบวนกำรเหลำนน

และ

3) ควำมสำมำรถของบคลำกร

7.5.2 Creating and updating

When creating and updating documented information the organization shall ensure appropriate:

a) identification and description (e.g. a title, date, author, or reference number);

b) format (e.g. language, software version, graphics) and media (e.g. paper, electronic); and

c) review and approval for suitability and adequacy.

7.5.2 การจดท าและการปรบปรง

เมอจดท ำและปรบปรงขอมลทมกำรบนทกไว องคกรตองมนใจ มควำม

เหมำะสมของ

a) กำรชบงและค ำอธบำย (เชน ชอเอกสำร วนท ผจดท ำ หรอเลขทอำงอง)

b) รปแบบ (เชน ภำษำทใช เวอรชนของซอฟตแวร กรำฟก) และสอบนทก (เชน กระดำษ อเลกทรอนกส) และ

c) กำรทบทวนและกำรอนมตอยำงเหมำะสม และเพยงพอ

7.5.3 Control of documented information

Documented information required by the information security management system and by this International Standard shall be controlled to ensure:

a) it is available and suitable for use, where and when it is needed; and

b) it is adequately protected (e.g. from loss of confidentiality, improper use, or loss of integrity).

For the control of documented information, the organization shall address the following activities, as applicable:

c) distribution, access, retrieval and use;

7.5.3 การควบคมขอมลทเปนลายลกษณอกษร

ขอมลทเปนลำยลกษณอกษรซงก ำหนดขนโดยระบบบรหำรจดกำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ และโดยมำตรฐำนฉบบน ตองถกควบคม เพอให มนใจวำ

a) พรอมใช และเหมำะสมตอกำรน ำไปใช ในสถำนท และในเวลำทจ ำเปนตองใช และ

b) ไดรบกำรปกปองอยำงเพยงพอ (เชน จำกกำรสญเสยควำมลบ กำรใชงำนทไมเหมำะสม หรอกำรสญเสยควำมถกตองสมบรณ)

ส ำหรบกำรควบคมขอมลทเปนลำยลกษณอกษร องคกรตองระบกจกรรม

ISO/IEC 27001:2013 Requirements ขอก ำหนดระบบบรหำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ หนำ 14 / 37

d) storage and preservation, including the preservation of legibility;

e) control of changes (e.g. version control); and

f) retention and disposition.

Documented information of external origin, determined by the organization to be necessary for the planning and operation of the information security management system, shall be identified as appropriate, and controlled.

NOTE Access implies a decision regarding the permission to view the documented information only, or the permission and authority to view and change the documented information, etc.

ดงตอไปน ตำมควำมเหมำะสม

c) กำรแจกจำย กำรเขำถง กำรเรยกคน และกำรน ำไปใช

d) กำรจดเกบ และรกษำสภำพ รวมถงกำรคงไวใหสำมำรถอำนได

e) กำรควบคมกำรเปลยนแปลง (เชน กำรควบคมเวอรชน) และ

f) กำรเกบรกษำ และกำรท ำลำย

ขอมลเอกสำรทมำจำกแหลงภำยนอก (External Origin) ทก ำหนดโดยองคกร

วำ เปนสงทจ ำเปนตอกำรวำงแผนและกำรด ำเนนงำนของระบบบรหำรจดกำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ ตองไดรบชบงตำมควำมเหมำะสม และไดรบกำรควบคม

หมำยเหต กำรเขำถง หมำยควำมรวมถง กำรตดสนใจเกยวกบกำรไดรบอนญำตใหเรยกดขอมลเอกสำรเทำนน หรอกำรไดรบอนญำตและอ ำนำจใหเรยกดและ

เปลยนแปลงขอมล เปนตน

8 Operation

8.1 Operational planning and control

The organization shall plan, implement and control the processes needed to meet information security requirements, and to implement the actions determined in 6.1. The organization shall also implement plans to achieve information security objectives determined in 6.2.

The organization shall keep documented information to the extent necessary to have confidence that the processes have been carried out as planned.

The organization shall control planned changes and review the consequences of unintended changes, taking action to mitigate any

8 การปฏบตการ

8.1 การวางแผนปฏบตการและควบคม

องคกรตองวำงแผน น ำไปปฏบต และควบคมกระบวนกำรทจ ำเปนเพอให

เปนไปตำมขอก ำหนดดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศ และปฏบตตำมสงทก ำหนดไวในขอก ำหนด 6.1 องคกรยงตองลงมอปฏบตตำมแผนเพอใหบรรลวตถประสงคดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศทก ำหนดไวในขอก ำหนด 6.2

องคกรตองเกบขอมลทเปนลำยลกษณอกษรตำมปรมำณเทำทจ ำเปน เพอควำมมนใจวำ กระบวนกำรตำงๆ ดงกลำว มกำรด ำเนนงำนตำมแผนทไดวำงไว

องคกรตองควบคมกำรเปลยนแปลงตำมแผนทไดวำงไว (Planned Changes) และทบทวนผลทตำมมำของกำรเปลยนแปลงทไมไดตงใจ (Unintended

ISO/IEC 27001:2013 Requirements ขอก ำหนดระบบบรหำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ หนำ 15 / 37

adverse effects, as necessary.

The organization shall ensure that outsourced processes are determined and controlled.

Changes) เพอด ำเนนกำรลดผลกระทบดำนลบใดๆ ตำมควำมจ ำเปน

องคกรตองมนใจวำ กระบวนกำรทด ำเนนกำรโดยหนวยงำนภำยนอก ไดรบกำรระบ และควบคม

8.2 Information security risk assessment

The organization shall perform information security risk assessments at planned intervals or when significant changes are proposed or occur, taking account of the criteria established in 6.1.2 a).

The organization shall retain documented information of the results of the information security risk assessments.

8.2 การประเมนความเสยงดานความม นคงปลอดภยส าหรบสารสนเทศ

องคกรตองท ำกำรประเมนควำมเสยงดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศตำมชวงเวลำทไดวำงแผนไว หรอเมอกำรเปลยนแปลงทมนยส ำคญถกเสนอใหพจำรณำหรอมเกดขน โดยพจำรณำตำมเกณฑทจดท ำขนใน

ขอก ำหนด 6.1.2 a)

องคกรตองเกบรกษำขอมลทเปนลำยลกษณอกษร ทเปนผลลพธของกำร

ประเมนควำมเสยงดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศ

8.3 Information security risk treatment

The organization shall implement the information security risk treatment plan.

The organization shall retain documented information of the results of the information security risk treatment.

8.3 การจดการความเสยงดานความม นคงปลอดภยส าหรบสารสนเทศ

องคกรตองปฏบตตำมแผนกำรจดกำรควำมเสยงดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศ

องคกรตองเกบรกษำขอมลทเปนลำยลกษณอกษร ทเปนผลลพธของกำรจดกำรควำมเสยงดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศ

9 Performance evaluation

9.1 Monitoring, measurement, analysis and evaluation

The organization shall evaluate the information security performance and the effectiveness of the information security management system.

9 การประเมนผลการปฏบตงาน

9.1 การเฝาตดตาม ตรวจวด วเคราะห และประเมนผล

องคกรตองประเมนประสทธภำพของควำมมนคงปลอดภยส ำหรบสำรสนเทศ และประสทธผลของระบบบรหำรจดกำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ

ISO/IEC 27001:2013 Requirements ขอก ำหนดระบบบรหำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ หนำ 16 / 37

The organization shall determine:

a) what needs to be monitored and measured, including information security processes and controls;

b) the methods for monitoring, measurement, analysis and evaluation, as applicable, to ensure valid results;

NOTE The methods selected should produce comparable and reproducible results to be considered valid.

c) when the monitoring and measuring shall be performed;

d) who shall monitor and measure;

e) when the results from monitoring and measurement shall be analysed and evaluated; and

f) who shall analyse and evaluate these results.

The organization shall retain appropriate documented information as evidence of the monitoring and measurement results.

องคกรตองก ำหนด

a) สงทจ ำเปนตองไดรบกำรเฝำตดตำมและตรวจวด ซงรวมถงกระบวนกำรและมำตรกำรควบคมดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศ

b) วธกำรส ำหรบกำรเฝำตดตำม ตรวจวด วเครำะห กำรประเมนผลทเหมำะสม

เพอใหมนใจวำผลทไดถกตอง

หมำยเหต วธกำรทเลอกใชควรใหผลลพธทถกตอง ทสำมำรถเปรยบเทยบ

ได และท ำซ ำได

c) เมอไรทตองเฝำตดตำมและวดผล

d) ใครตองเฝำตดตำมและวดผล

e) เมอไรทผลทไดจำกกำรเฝำตดตำมและวดผลตองน ำมำวเครำะหและประเมนผล และ

f) ใครตองวเครำะหและประเมนผลดงกลำว

องคกรตองเกบรกษำขอมลทเปนลำยลกษณอกษรอยำงเหมำะสม เพอเปน

หลกฐำนแสดงผลลพธของกำรเฝำตดตำมและวดผล

9.2 Internal audit

The organization shall conduct internal audits at planned intervals to provide information on whether the information security management system:

a) conform to

1) the organization’s own requirements for its information security management system; and

2) the requirements of this International Standard;

b) is effectively implemented and maintained.

9.2 การตรวจประเมนภายใน

องคกรตองด ำเนนกำรตรวจประเมนภำยในตำมรอบระยะเวลำทก ำหนด เพอให ขอมลทแสดงวำระบบบรหำรจดกำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ

a) สอดคลองกบ

1) ขอก ำหนดขององคกรเองส ำหรบระบบบรหำรจดกำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ และ

2) ขอก ำหนดของมำตรฐำนฉบบน

b) ไดน ำไปปฏบตและรกษำใหคงไวอยำงมประสทธผล

ISO/IEC 27001:2013 Requirements ขอก ำหนดระบบบรหำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ หนำ 17 / 37

The organization shall:

c) plan, establish, implement and maintain an audit programme(s), including the frequency, methods, responsibilities, planning requirements and reporting. The audit programme(s) shall take into consideration the importance of the processes concerned and the results of previous audits;

d) define the audit criteria and scope for each audit;

e) select auditors and conduct audits that ensure objectivity and the impartiality of the audit process;

f) ensure that the results of the audits are reported to relevant management; and

g) retain documented information as evidence of the audit programme(s) and the audit results.

องคกรตอง

c) วำงแผน จดตง น ำไปปฏบต และรกษำใหคงไวของแผนงำนกำรตรวจประเมน ซงรวมถงควำมถ วธกำร หนำทควำมรบผดชอบ ขอก ำหนดของ

กำรวำงแผน และกำรรำยงำนผล โดยแผนงำนกำรตรวจประเมนตองพจำรณำถงควำมส ำคญของกระบวนกำรทเกยวของและผลทไดจำกกำรตรวจประเมนครงกอน

d) ก ำหนดเกณฑกำรตรวจประเมน และขอบเขตส ำหรบกำรตรวจประเมนแตละครง

e) คดเลอกผตรวจประเมนและด ำเนนกำรตรวจประเมน ทมนใจไดถงควำมเปน

กลำงและควำมเปนธรรมของกระบวนกำรตรวจประเมน

f) มนใจวำผลทไดจำกกำรตรวจประเมนไดน ำไปรำยงำนตอผบรหำรทเกยวของ และ

g) เกบรกษำขอมลทเปนลำยลกษณอกษร เพอเปนหลกฐำนแสดงแผนงำนกำรตรวจประเมนและผลทไดจำกกำรตรวจประเมน

9.3 Management review

Top management shall review the organization’s information security management system at planned intervals to ensure its continuing suitability, adequacy and effectiveness.

The management review shall include consideration of:

a) the status of actions from previous management reviews;

b) changes in external and internal issues that are relevant to the information security management system;

c) feedback on the information security performance, including trends in:

9.3 การทบทวนของฝายบรหาร

ผบรหำรระดบสงตองทบทวนระบบบรหำรจดกำรควำมมนคงปลอดภยส ำหรบสำรสนเทศขององคกรตำมรอบระยะเวลำทก ำหนด เพอใหมนใจถงควำม

เหมำะสม เพยงพอ และประสทธผลของระบบ

กำรทบทวนของฝำยบรหำร ตองรวมถงกำรพจำรณำ

a) สถำนะของกำรด ำเนนงำนจำกกำรทบทวนของฝำยบรหำรครงกอน

b) กำรเปลยนแปลงของประเดนภำยในและภำยนอกทเกยวของกบระบบ

บรหำรจดกำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ

c) ผลตอบกลบจำกประสทธภำพของควำมมนคงปลอดภยส ำหรบสำรสนเทศ รวมถงแนวโนม

ISO/IEC 27001:2013 Requirements ขอก ำหนดระบบบรหำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ หนำ 18 / 37

1) nonconformities and corrective actions;

2) monitoring and measurement results;

3) audit results; and

4) fulfillment of information security objectives;

d) feedback from interested parties;

e) results of risk assessment and status of risk treatment plan; and

f) opportunities for continual improvement.

The outputs of the management review shall include decisions related to continual improvement opportunities and any needs for changes to the information security management system.

The organization shall retain documented information as evidence of the results of management reviews.

1) ควำมไมสอดคลอง และกำรปฏบตกำรแกไข

2) ผลลพธของกำรเฝำตดตำมและวดผล

3) ผลลพธจำกกำรตรวจประเมน และ

4) ควำมส ำเรจของวตถประสงคดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศ

d) ผลตอบกลบจำกผทสนใจ

e) ผลลพธจำกกำรประเมนควำมเสยง และสถำนะของแผนกำรจดกำรควำมเสยง และ

f) โอกำสส ำหรบกำรปรบปรงพฒนำอยำงตอเนอง

ผลลพธกำรทบทวนของฝำยบรหำร ตองรวมถง กำรตดสนใจทเกยวกบกำร

ปรบปรงพฒนำอยำงตอเนอง และควำมจ ำเปนใดๆ เพอกำรเปลยนแปลงตอระบบบรหำรจดกำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ

องคกรตองเกบรกษำขอมลทเปนลำยลกษณอกษร เพอเปนหลกฐำนแสดงผลลพธกำรทบทวนของฝำยบรหำร

10 Improvement

10.1 Nonconformity and corrective action

When a nonconformity occurs, the organization shall:

a) react to the nonconformity, and as applicable

1) take action to control and correct it; and

2) deal with the consequences;

b) evaluate the need for action to eliminate the causes of nonconformity, in order that it does not recur or occur elsewhere, by:

10 การปรบปรงพฒนา

10.1 ความไมสอดคลองและการปรบปรงแกไข

เมอควำมไมสอดคลองเกดขน องคกรตอง

a) ตอบสนองตอควำมไมสอดคลอง และตำมควำมเหมำะสม

1) ด ำเนนกำรเพอควบคมและแกไข และ

2) รบมอกบผลกระทบทตำมมำ

b) ประเมนควำมจ ำเปนส ำหรบด ำเนนกำรขจดสำเหตของควำมไมสอดคลอง เพอไมใหควำมไมสอดคลองเกดขนซ ำ หรอไมเกดขนทอนๆ โดย

ISO/IEC 27001:2013 Requirements ขอก ำหนดระบบบรหำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ หนำ 19 / 37

1) reviewing the nonconformity

2) determining the causes of the nonconformity; and

3) determining if similar nonconformities exist, or could potentially occur;

c) implement any action needed;

d) review the effectiveness of any corrective action taken; and

e) make changes to the information security management system, if necessary.

Corrective actions shall be appropriate to the effects of the nonconformities encountered.

The organization shall retain documented information as evidence of:

f) the nature of the nonconformities and any subsequent actions taken, and

g) the results of any corrective action.

1) ทบทวนควำมไมสอดคลอง

2) ระบสำเหตของควำมไมสอดคลอง และ

3) ระบ ถำควำมไมสอดคลองทคลำยกนมอย หรอสำมำรถมโอกำสเกดขนได

c) ด ำเนนกำรปฏบตทจ ำเปน

d) ทบทวนประสทธผลของกำรปฏบตกำรแกไข และ

e) ท ำกำรเปลยนแปลงระบบบรหำรจดกำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ ถำจ ำเปน

กำรปฏบตกำรแกไขตองเหมำะสมตอผลกระทบของควำมไมสอดคลองทพบ

องคกรตองเกบรกษำขอมลทเปนลำยลกษณอกษร เพอเปนหลกฐำนแสดง

f) ลกษณะของควำมไมสอดคลอง และกำรปฏบตใดๆ ทไดด ำเนนกำร และ

g) ผลลพธของกำรปฏบตกำรแกไข

10.2 Continual improvement

The organization shall continually improve the suitability, adequacy and effectiveness of the information security management system.

10.2 การปรบปรงพฒนาอยางตอเนอง

องคกรตองท ำกำรปรบปรงพฒนำควำมเหมำะสม เพยงพอ และประสทธผลของ

ระบบบรหำรจดกำรควำมมนคงปลอดภยส ำหรบสำรสนเทศอยำงตอเนอง

ISO/IEC 27001:2013 Requirements ขอก ำหนดระบบบรหำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ หนำ 20 / 37

A.5 Information security policies นโยบายความม นคงปลอดภยส าหรบสารสนเทศ

A.5.1 Management direction for information security ทศทางการบรหารส าหรบความม นคงปลอดภยส าหรบสารสนเทศ

วตถประสงค เพอก ำหนดทศทำงและใหกำรสนบสนนดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศตำมขอก ำหนดทำงธรกจกฏหมำยและระเบยบขอบงคบทเกยวของ

A.5.1.1 Policies for information security

นโยบำยส ำหรบควำมมนคงปลอดภยส ำหรบสำรสนเทศ

มำตรกำรควบคม

ชดนโยบำยดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศ ตองมกำรก ำหนด อนมตโดยผบรหำร เผยแพรและสอสำรไปยง

พนกงำน และหนวยงำนภำยนอกทเกยวของ

A.5.1.2 Review of the policies for information security กำรทบทวนนโยบำยควำมมนคงปลอดภยส ำหรบสำรสนเทศ

มำตรกำรควบคม

ชดนโยบำยดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศ ตองถกทบทวนตำมรอบระยะเวลำทก ำหนด หรอเมอมกำร

เปลยนแปลงทมนยส ำคญกบองคกร เพอใหมนใจวำในควำมเหมำะสม เพยงพอ และประสทธผลทคงไวอยำงตอเนอง

A.6 Organization of information security โครงสรางดานความม นคงปลอดภยส าหรบสารสนเทศขององคกร

Annex A

(Normative)

Reference control objectives and controls

The control objectives and controls listed in Table A.1 are directly

derived from and aligned with those listed in ISO/IEC 27002:2013[1],

Clauses 5 to 18 and are to be used in context with Clause 6.1.3.

Table A.1 — Control objectives and controls

Annex A

(บรรทดฐำน)

วตถประสงคของมาตรการควบคม และมาตรการควบคมอางอง

วตถประสงคของมำตรกำรควบคม (Control Objectives) และมำตรกำรควบคม

(Controls) ทมรำยกำรอยในตำรำง A.1 ไดมำโดยตรงจำกและสอดคลองกบ

รำยกำรทมอยในมำตรฐำน ISO/IEC 27002:2013[1] ขอก ำหนด 5 ถง 18

และถกใชในขอก ำหนด 6.1.3

ตาราง A.1 – วตถประสงคของมาตรการควบคม และมาตรการควบคม

ISO/IEC 27001:2013 Requirements ขอก ำหนดระบบบรหำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ หนำ 21 / 37

A.6.1 Internal organization โครงสรางภายในองคกร

วตถประสงค เพอจดตงโครงรำงกำรบรหำรจดกำรในกำรรเรมและควบคมกำรน ำไปปฏบตและกำรด ำเนนงำนดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศภำยในองคกร

A.6.1.1 Information security roles and responsibilities บทบำทและหนำทควำมรบผดชอบดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศ

มำตรกำรควบคม

หนำทควำมรบผดชอบดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศทงหมด ตองมกำรก ำหนดและ

มอบหมำยงำน

A.6.1.2 Segregation of duties กำรแบงงำนและหนำทควำมรบผดชอบ

มำตรกำรควบคม

งำนและหนำทรบผดชอบทขดกนตองแบงแยกเพอลดโอกำสในกำรเปลยนแปลงโดยไมไดรบอนญำต หรอ

โดยไมไดตงใจ หรอกำรใชทรพยสนขององคกรผดวตถประสงค

A.6.1.3 Contact with authorities กำรตดตอหนวยงำนผมอ ำนำจ

มำตรกำรควบคม

กำรตดตอกบหนวยงำนผมอ ำนำจทเกยวของอยำงเหมำะสม ตองถกรกษำไว

A.6.1.4 Contact with special interest groups กำรตดตอกบกลมทมควำมสนใจเปนพเศษ

มำตรกำรควบคม

กำรตดตอกบกลมทมควำมสนใจเปนพเศษในเรองเดยวกน กลมผเช ยวชำญดำนควำมมนคงปลอดภย

(Specialist Security Forums) และสมำคมวชำชพตองถกรกษำไว

A.6.1.5 Information security in project management ควำมมนคงปลอดภยส ำหรบสำรสนเทศในกำรบรกำรโครงกำร

มำตรกำรควบคม

ควำมมนคงปลอดภยส ำหรบสำรสนเทศ ตองมก ำหนดไวในกำรบรหำรโครงกำรไมวำจะเปนโครงกำร

ประเภทใดกตำม

A.6.2 Mobile devices and teleworking อปกรณพกพาและการปฏบตงานจากระยะไกล

วตถประสงค เพอใหมนใจถงควำมมนคงปลอดภยของกำรปฏบตงำนจำกระยะไกลและกำรใชงำนอปกรณพกพำ

A.6.2.1 Mobile device policy นโยบำยส ำหรบอปกรณพกพำ

มำตรกำรควบคม

นโยบำยและมำตรกำรสนบสนนดำนควำมมนคงปลอดภย ตองมกำรน ำมำใชเพอบรหำรจดกำรควำมเสยง

ทมำจำกกำรใชงำนอปกรณพกพำ

A.6.2.2 Teleworking กำรปฏบตงำนจำกระยะไกล

มำตรกำรควบคม

นโยบำยและมำตรกำรสนบสนนดำนควำมมนคงปลอดภย ตองมกำรน ำไปปฏบตเพอปองกนขอมลทไดรบ

กำรเขำถง กำรประมวลผล หรอกำรจดเกบจำกสถำนททมกำรปฏบตงำนจำกระยะไกล

A.7 Human resource security ความม นคงปลอดภยดานทรพยากรมนษย

A.7.1 Prior to employment กอนการจางงาน

ISO/IEC 27001:2013 Requirements ขอก ำหนดระบบบรหำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ หนำ 22 / 37

วตถประสงค เพอใหมนใจวำพนกงำน (Employees) และผทองคกรท ำสญญำจำง (Contractors) เขำใจควำมรบผดชอบของตน และเหมำะสมตอบทบำททไดรบกำรพจำรณำ

A.7.1.1 Screening กำรคดกรอง

มำตรกำรควบคม

กำรตรวจสอบประวตควำมเปนมำของผสมครงำนทงหมดตองด ำเนนกำร โดยใหสอดคลองกบกฎหมำย

ระเบยบขอบงคบ และจรยธรรมทเกยวของ และเหมำะสมตอขอก ำหนดทำงธรกจ ชนควำมลบขอมลทจะ

เขำถง และควำมเสยงทเกยวของ

A.7.1.2 Terms and conditions of employment ขอตกลงและเงอนไขกำรจำงงำน

มำตรกำรควบคม

ขอตกลงและเงอนไขในสญญำจำงงำนของพนกงำนและผทท ำสญญำจำงตองกลำวถงหนำทควำม

รบผดชอบของผรบกำรวำจำง และขององคกรในดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศ

A.7.2 During employment ในระหวางการจางงาน

วตถประสงค เพอใหมนใจวำพนกงำนและผทองคกรท ำสญญำจำงตระหนกถงและปฏบตตำมหนำทควำมรบผดชอบดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศของตน

A.7.2.1 Management responsibilities หนำทควำมรบผดชอบของผบรหำร

มำตรกำรควบคม

ผบรหำรตองก ำหนดใหพนกงำนและผท ำสญญำจำงทงหมดปฏบตตำมนโยบำยและขนตอนปฏบตงำนดำน

ควำมมนคงปลอดภยส ำหรบสำรสนเทศทองคกรจดท ำข น

A.7.2.2 Information security awareness, education and training ควำมตระหนก กำรใหควำมร และกำรฝกอบรมดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศ

มำตรกำรควบคม

พนกงำนขององคกรทกคนและผท ำสญญำจำงทเกยวของ ตองไดรบกำรสรำงควำมตระหนก กำรใหควำมร

และกำรฝกอบรมอยำงเหมำะสม และรบทรำบนโยบำยและขนตอนปฏบตงำนขององคกรทปรบปรง ท

เกยวของกบงำนทรบผดชอบอยำงสม ำเสมอ

A.7.2.3 Disciplinary process กระบวนกำรทำงวนย

มำตรกำรควบคม

ตองมกระบวนกำรทำงวนยอยำงเปนทำงกำรและสอสำรใหรบทรำบ เพอลงโทษพนกงำนทฝำฝน ละเมด

ควำมมนคงปลอดภยส ำหรบสำรสนเทศ

A.7.3 Termination and change of employment การส นสภาพหรอการเปลยนแปลงการจางงาน

วตถประสงค เพอปองกนผลประโยชนขององคกรซงเปนสวนหนงของกระบวนกำรเปลยนแปลงหรอส นสภำพกำรวำจำง

A.7.3.1 Termination or change of employment responsibilities

กำรส นสภำพหรอกำรเปลยนหนำทควำมรบผดชอบของกำรวำจำง

มำตรกำรควบคม

ควำมรบผดชอบและหนำทดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศทยงคงไวภำยหลงกำรส นสภำพ

หรอกำรเปลยนแปลงกำรวำจำงงำน ตองมก ำหนดไวและสอสำรใหพนกงำนและผท ำสญญำจำง และน ำไป

บงคบใช

A.8 Asset management การบรหารจดการทรพยสน

ISO/IEC 27001:2013 Requirements ขอก ำหนดระบบบรหำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ หนำ 23 / 37

A.8.1 Responsibility for assets หนาทความรบผดชอบตอทรพยสน

วตถประสงค เพอระบทรพยสนขององคกร และก ำหนดหนำทควำมรบผดชอบในกำรปองกนทรพยสนอยำงเหมำะสม

A.8.1.1 Inventory of assets บญชทะเบยนทรพยสน

มำตรกำรควบคม

ทรพยสนทเกยวของกบสำรสนเทศและอปกรณประมวลผลขอมลตองถกระบ และบญชทะเบยนทรพยสน

ตองจดท ำข นและรกษำไว

A.8.1.2 Ownership of assets ควำมเปนเจำของทรพยสน

มำตรกำรควบคม

ทรพยสนในบญชทะเบยนทรพยสนตองมกำรระบควำมเปนเจำของ

A.8.1.3 Acceptable use of assets กำรใชงำนทรพยสนอยำงเหมำะสม

มำตรกำรควบคม

กฎกำรใชงำนอยำงเหมำะสมของสำรสนเทศ และทรพยสนทเกยวของกบสำรสนเทศและอปกรณ

ประมวลผลขอมล ตองถกก ำหนดอยำงเปนลำยลกษณอกษรและน ำไปปฏบต

A.8.1.4 Return of assets กำรคนทรพยสน

มำตรกำรควบคม

พนกงำนและผใชงำนจำกหนวยงำนภำยนอกทกคน ตองคนทรพยสนขององคกรทงหมดทตนถอครองไว

เมอส นสภำพกำรวำจำงงำน ส นสดสญญำหรอขอตกลง

A.8.2 Information classification การจดหมวดหมสารสนเทศ

วตถประสงค เพอใหมนใจไดวำสำรสนเทศไดรบระดบของกำรปองกนอยำงเหมำะสมตำมควำมส ำคญทมตอองคกร

A.8.2.1 Classification of information

กำรจดหมวดหมของสำรสนเทศ

มำตรกำรควบคม

สำรสนเทศตองไดรบกำรแยกหมวดหมตำมคณคำ (Value) ขอก ำหนดทำงกฎหมำย ควำมส ำคญ

(Criticality) และควำมออนไหว (Sensitivity) ตอกำรถกเปดเผยหรอเปลยนแปลงโดยไมไดรบอนญำต

A.8.2.2 Labelling of information กำรท ำปำยชบงสำรสนเทศ

มำตรกำรควบคม

ชดขนตอนปฏบตงำนทเหมำะสมส ำหรบกำรท ำปำยชบงสำรสนเทศ ตองจดท ำและน ำไปปฏบตตำมให

สอดคลองกบวธกำรจดหมวดหมสำรสนเทศทองคกรก ำหนดไว

A.8.2.3 Handling of assets กำรจดกำรทรพยสน

มำตรกำรควบคม

ขนตอนปฏบตงำนส ำหรบกำรจดกำรทรพยสน ตองจดท ำและน ำไปปฏบตใหสอดคลองกบวธกำรจด

หมวดหมสำรสนเทศทองคกรก ำหนดไว

A.8.3 Media handling การจดการสอบนทกขอมล

วตถประสงค เพอปองกนกำรเปดเผย กำรเปลยนแปลง กำรก ำจด หรอกำรท ำลำยขอมลทจดเกบบนสอบนทกโดยไมไดรบอนญำต

ISO/IEC 27001:2013 Requirements ขอก ำหนดระบบบรหำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ หนำ 24 / 37

A.8.3.1 Management of removable media กำรบรหำรจดกำรสอบนทกทสำมำรถเคลอนยำยได

มำตรกำรควบคม

ขนตอนปฏบตงำนส ำหรบกำรบรหำรจดกำรสอบนทกทสำมำรถเคลอนยำยได ตองมกำรน ำไปปฏบตให

สอดคลองกบวธกำรจดหมวดหมสำรสนเทศทองคกรก ำหนดไว

A.8.3.2 Disposal of media กำรก ำจดสอบนทกขอมล

มำตรกำรควบคม

สอบนทกขอมลตองถกก ำจดอยำงมนคงปลอดภย เมอไมมควำมจ ำเปนตองใชงำนอกตอไป ตำมขนตอน

ปฏบตงำนอยำงเปนทำงกำร

A.8.3.3 กำรขนยำยสอบนทก Physical media transfer

มำตรกำรควบคม

สอบนทกทมขอมลตองไดรบกำรปองกนจำกกำรถกเขำถงโดยไมไดรบอนญำต กำรนไปใชงำนผด

วตถประสงค หรอกำรท ำใหเกดควำมเสยหำยระหวำงขนยำย

A.9 Access control การควบคมการเขาถง

A.9.1 Business requirements of access control ขอก าหนดทางธรกจส าหรบควบคมการเขาถง

วตถประสงค เพอจ ำกดกำรเขำถงสำรสนเทศและอปกรณประมวลผลขอมล

A.9.1.1 Access control policy นโยบำยควบคมกำรเขำถง

มำตรกำรควบคม

นโยบำยควบคมกำรเขำถงตองจดท ำข นเปนลำยลกษณอกษร และทบทวนตำมขอก ำหนดทำงธรกจและ

ขอก ำหนดดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศ

A.9.1.2 กำรเขำถงเครอขำยและบรกำรเครอขำย Access to networks and network services

มำตรกำรควบคม

ผใชงำนตองจดใหเขำถงเครอขำยและบรกำรเครอขำยตำมทไดรบกำรอนญำตใหใชงำนตำมทก ำหนดไว

เทำนน

A.9.2 User access management การบรหารจดการการเขาถงของผใชงาน

วตถประสงค เพอใหแนใจวำผทไดรบอนญำตสำมำรถเขำถง และเพอปองกนผไมไดรบอนญำตในกำรเขำถงระบบและบรกำร

A.9.2.1 User registration and de-registration กำรลงทะเบยน และกำรถอนทะเบยนผใชงำน

มำตรกำรควบคม

กระบวนกำรลงทะเบยนและถอนทะเบยนผใชงำนอยำงเปนทำงกำร ตองน ำไปปฏบตเพอท ำใหเกดกำร

มอบสทธในกำรเขำถง

A.9.2.2 User access provisioning กำรใหกำรเขำถงของผใชงำน

มำตรกำรควบคม

กระบวนกำรใหกำรเขำถงของผใชงำนอยำงเปนทำงกำร ตองน ำไปปฏบต เพอมอบ หรอถอนสทธในกำร

เขำถงส ำหรบทกประเภทผใชงำนของทกระบบและทกบรกำร

ISO/IEC 27001:2013 Requirements ขอก ำหนดระบบบรหำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ หนำ 25 / 37

A.9.2.3 Management of privileged access rights กำรบรหำรจดกำรสทธกำรเขำถงพเศษ

มำตรกำรควบคม

กำรใหและใชงำนของสทธกำรเขำถงพเศษตองถกจ ำกดและควบคม

A.9.2.4 Management of secret authentication information of users กำรบรหำรจดกำรขอมลลบทใชพสจนตวตนของผใชงำน

มำตรกำรควบคม

กำรใหขอมลลบทใชพสจนตวตน ตองถกควบคมผำนกระบวนกำรบรหำรจดกำรอยำงเปนทำงกำร

A.9.2.5 Review of user access rights กำรทบทวนสทธกำรเขำถงของผใชงำน

มำตรกำรควบคม

เจำของทรพยสนตองทบทวนสทธในกำรเขำถงของผใชงำนตำมรอบระยะเวลำทก ำหนด

A.9.2.6 Removal or adjustment of access rights กำรลบหรอปรบเปลยนสทธกำรเขำถง

มำตรกำรควบคม

สทธของพนกงำนและผใชงำนจำกหนวยงำนภำยนอกทกคน ส ำหรบเขำถงสำรสนเทศและอปกรณ

ประมวลผลขอมล ตองถกถอนเมอส นสภำพกำรวำจำง ส นสดสญญำ หรอขอตกลง หรอปรบปรงเมอมกำร

เปลยนแปลง

A.9.3 User responsibilities หนาทความรบผดชอบของผใชงาน

วตถประสงค เพอท ำใหผใชงำนมควำมรบผดชอบในกำรปกปองขอมลทใชพสจนตวตน

A.9.3.1 Use of secret authentication information กำรใชขอมลลบของกำรพสจนตวตน

มำตรกำรควบคม

ผใชงำนตองปฏบตตำมแนวปฏบตขององคกรในกำรใชขอมลลบทใชในกำรพสจนตวตน

A.9.4 System and application access control การควบคมการเขาถงระบบและโปรแกรมประยกต (Application)

วตถประสงค เพอปองกนกำรเขำถงระบบและโปรแกรมประยกต (Application) โดยผไมไดรบอนญำต

A.9.4.1 Information access restriction กำรจ ำกดกำรเขำถงสำรสนเทศ

มำตรกำรควบคม

กำรเขำถงสำรสนเทศและฟงกชนของระบบของโปรแกรมประยกต (Application) ตองถกจ ำกดตำม

นโยบำยควบคมกำรเขำถง

A.9.4.2 Secure log-on procedures ขนตอนกำรเขำสอยำงมนคงปลอดภย

มำตรกำรควบคม

กรณทก ำหนดโดยนโยบำยควบคมกำรเขำถง กำรเขำถงระบบและโปรแกรมประยกต (Application) ตำงๆ

ตองไดรบกำรควบคมโดยขนตอนกำรเขำสระบบอยำงมนคงปลอดภย

A.9.4.3 Password management system ระบบบรหำรจดกำรรหสผำน

มำตรกำรควบคม

ระบบบรหำรจดกำรรหสผำน ตองมปฏสมพนธ (Interactive) และตองมนใจไดถงรหสผำนทมคณภำพ

ISO/IEC 27001:2013 Requirements ขอก ำหนดระบบบรหำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ หนำ 26 / 37

A.9.4.4 Use of privileged utility programs กำรใชงำนโปรแกรมยทลตพเศษ

มำตรกำรควบคม

กำรใชงำนโปรแกรมยทลต อำจจะสำมำรถขำมมำตรกำรควบคมของระบบและแอพลเคชนได จงตองถก

จ ำกดและควบคมอยำงเครงครด

A.9.4.5 Access control to program source code กำรควบคมกำรเขำถงซอรส โคดของโปรแกรม

มำตรกำรควบคม

กำรเขำถงซอรสโคดของโปรแกรมตองถกจ ำกด

A.10 Cryptography การเขารหสขอมล

A.10.1 Cryptography controls มาตรการควบคมการเขารหสขอมล

วตถประสงค เพอใหมนใจไดวำกำรใชงำนกำรเขำรหสขอมลเปนไปอยำงเหมำะสมและมประสทธผล เพอปองกนควำมลบ (Confidentiality) กำรพสจนตวตน (Authentication) และ/หรอควำมถกตองครบถวน (Integrity) ของสำรสนเทศ

A.10.1.1 Policy on the use of cryptographic controls นโยบำยกำรใชมำตรกำรควบคมกำรเขำรหสขอมล

มำตรกำรควบคม

นโบำยกำรใชมำตรกำรควบคมกำรเขำรหสขอมลเพอปกปองสำรสนเทศ ตองจดท ำข นและน ำไปปฏบต

A.10.1.2 Key management กำรบรหำรจดกำรกญแจ

มำตรกำรควบคม

นโยบำยกำรใชงำน กำรปองกน และอำยกำรใชงำนกญแจเขำรหสขอมล (Cryptographic Keys) ตอง

จดท ำข น และน ำไปปฏบตตลอดวงจรชวตของกญแจ

A.11 Physical and environmental security ความม นคงปลอดภยทางกายภาพและสภาพแวดลอม

A.11.1 Secure areas บรเวณทตองรกษาความม นคงปลอดภย

วตถประสงค เพอปองกนกำรเขำถงทำงกำยภำพโดยไมไดรบอนญำต ควำมเสยหำย กำรแทรกแซงตอสำรสนเทศและอปกรณประมวลผลขอมลขององคกร

A.11.1.1 Physical security perimeter

ควำมมนคงปลอดภยของแนวกนทำงกำยภำพ

มำตรกำรควบคม

แนวกนเขตควำมมนคงปลอดภยทำงกำยภำพ ตองถกก ำหนด และน ำไปใชเพอปกปองพนทดงกลำว ทม

สำรสนเทศและอปกรณประมวลผลขอมล ทงทมควำมออนไหว (Sensitive) และทมควำมส ำคญ (Critical)

อยภำยใน

A.11.1.2 Physical entry controls มำตรกำรควบคมกำรเขำ-ออกพนท

มำตรกำรควบคม

บรเวณทตองรกษำควำมมนคงปลอดภยตองไดรบกำรปกปองโดยมำตรกำรควบคมทำงเขำ-ออกอยำง

เหมำะสม เพอใหมนใจวำเฉพำะผทไดรบอนญำตเทำนน จงอนญำตใหเขำถงได

ISO/IEC 27001:2013 Requirements ขอก ำหนดระบบบรหำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ หนำ 27 / 37

A.11.1.3 Securing offices, rooms and facilities ควำมมนคงปลอดภยของส ำนกงำน หองท ำงำน และอำคำรสถำนท

มำตรกำรควบคม

ควำมมนคงปลอดภยทำงกำยภำพของส ำนกงำน หองท ำงำน และอำคำรสถำนท ตองไดรบกำรออกแบบ

และน ำไปประยกตใช

A.11.1.4 Protecting against external and environmental threats กำรปองกนภยคกคำมจำกภำยนอกและสภำพแวดลอม

มำตรกำรควบคม

กำรปองกนทำงกำยภำพจำกภยพบตทำงธรรมชำต กำรบกรกทไมพงประสงค หรออบตเหต ตองไดรบกำร

ออกแบบและน ำไปประยกตใช

A.11.1.5 Working in secure areas กำรปฏบตงำนในบรเวณทตองรกษำควำมมนคงปลอดภย

มำตรกำรควบคม

ขนตอนปฏบตงำนในบรเวณทตองรกษำควำมปลอดภย ตองไดรบกำรออกแบบและน ำไปประยกตใช

A.11.1.6 Delivery and loading area พนทจดสงและรบของ

มำตรกำรควบคม

ต ำแหนงทเขำถงได เชน พนทจดสงและรบของ และต ำแหนงอนๆ ทผท ไมไดรบอนญำตสำมำรถเขำถง

พนทองคกรได ตองถกควบคม และถำเปนไปได ใหแยกออกจำกบรเวณทมอปกรณประมวลผลขอมล

ตงอย เพอหลกเลยงกำรเขำถงไมไดรบอนญำต

A.11.2 Equipment อปกรณ

วตถประสงค เพอปองกนกำรสญหำย ควำมเสยหำย กำรขโมยหรอท ำใหเปนอนตรำย (Compromise) ตอทรพยสน และท ำใหเกดกำรหยดชะงกในกำรด ำเนนงำนขององคกร

A.11.2.1 Equipment siting and protection กำรจดวำงและกำรปองกนอปกรณ

มำตรกำรควบคม

อปกรณตองไดรบกำรจดวำงและปองกน เพอลดควำมเสยงจำกภยคกคำมและอนตรำยจำกสภำพแวดลอม

และโอกำสในกำรเขำถงโดยไมไดรบอนญำต

A.11.2.2 Supporting utilities ระบบสำธำรณปโภคสนบสนน

มำตรกำรควบคม

อปกรณตองไดรบกำรปองกนจำกควำมลมเหลวของกระแสไฟฟำ (Power Failure) และกำรหยดชะงกอนๆ

(disruption) ทมสำเหตมำจำกควำมผดพลำดของระบบสำธำรณปโภคสนบสนน

A.11.2.3 Cabling security ควำมมนคงปลอดภยของกำรเดนสำยไฟฟำ สำยสอสำร และสำยสญญำณ

มำตรกำรควบคม

สำยไฟฟำและสำยโทรคมนำคมทสงขอมลหรอสนบสนนบรกำรทำงขอมล ตองไดรบกำรปกปองจำกกำร

ขดขวำงกำรท ำงำน (Interception) กำรแทรกแซงสญญำณ (Interference) หรอกำรท ำใหเสยหำย

(Damage)

A.11.2.4 Equipment maintenance กำรบ ำรงรกษำอปกรณ

มำตรกำรควบคม

อปกรณตองไดรบกำรบ ำรงรกษำอยำงถกตอง เพอใหมนใจถงควำมพรอมใชงำนและควำมถกตองในกำร

ท ำงำน

ISO/IEC 27001:2013 Requirements ขอก ำหนดระบบบรหำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ หนำ 28 / 37

A.11.2.5 Removal of assets กำรน ำทรพยสนออก

มำตรกำรควบคม

อปกรณ สำรสนเทศ หรอซอฟตแวร ตองไมน ำออกนอกสถำนทโดยไมไดรบอนญำต

A.11.2.6 Security of equipment and assets off-premises ควำมมนคงปลอดภยของอปกรณและทรพยสนทใชงำนอยนอกส ำนกงำน

มำตรกำรควบคม

มำตรกำรดำนควำมปลอดภย ตองน ำมำใชกบทรพยสนทน ำออกไปใชงำนนอกส ำนกงำน โดยพจำรณำถง

ควำมเสยงตำงๆ ทมตอทรพยสนเมอน ำไปปฏบตงำนนอกสถำนท

A.11.2.7 Secure disposal or reuse of equipment กำรก ำจดอปกรณหรอน ำมำใชซ ำอยำงมนคงปลอดภย

มำตรกำรควบคม

อปกรณทงหมด ทมส อบนทกขอมล ตองไดรบกำรตรวจสอบ เพอใหมนใจวำขอมลส ำคญและซอฟตแวร

ลขสทธท ตดตงอย ไดถกลบทง หรอบนทกทบอยำงมนคงปลอดภย กอนน ำไปท ำลำยหรอน ำไปใชซ ำ

A.11.2.8 Unattended user equipment

อปกรณทไมมผดแล

มำตรกำรควบคม

ผใชงำนตองมนใจวำอปกรณทไมมผดแลไดรบกำรปองกนอยำงเหมำะสม

A.11.2.9 Clear desk and clear screen policy นโยบำยกำรเกบโตะท ำงำน และลบหนำจอใหวำง

มำตรกำรควบคม

นโยบำยกำรเกบโตะท ำงำนส ำหรบกระดำษเอกสำรและสอบนทกขอมลทเคลอนยำยได และนโยบำยกำร

ลบหนำจอใหวำง ส ำหรบอปกรณประมวลผลขอมล ตองมกำรน ำไปปฏบต

A.12 Operation security ความม นคงปลอดภยในการปฏบตงาน

A.12.1 Operation procedures and responsibilities ข นตอนการปฏบตงานและหนาทความรบผดชอบ

วตถประสงค เพอใหมนใจวำกำรปฏบตงำนของอปกรณประมวลผลขอมลมควำมถกตองและมนคงปลอดภย

A.12.1.1 Documented operating procedures ขนตอนกำรปฏบตงำนทเปนลำยลกษณอกษร

มำตรกำรควบคม

ขนตอนกำรปฏบตงำนตองมกำรจดท ำเปนลำยลกษณอกษร และมพรอมใชแกผใชงำนทกคนทจ ำเปนตอง

ใช

A.12.1.2 Change management

กำรบรหำรจดกำรควำมเปลยนแปลง

มำตรกำรควบคม

กำรเปลยนแปลงขององคกร กระบวนกำรทำงธรกจ อปกรณประมวลผลขอมล และระบบตำงๆ ทม

ผลกระทบตอควำมมนคงปลอดภยส ำหรบสำรสนเทศ ตองไดรบกำรควบคม

A.12.1.3 Capacity management กำรบรหำรจดกำรขดควำมสำมำรถ

มำตรกำรควบคม

กำรใชงำนทรพยำกร ตองไดรบกำรเฝำระวง ปรบแตง คำดกำรณควำมตองกำรของขดควำมสำมำรถใน

อนำคต เพอใหมนใจในประสทธภำพของระบบตำมทตองกำร

ISO/IEC 27001:2013 Requirements ขอก ำหนดระบบบรหำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ หนำ 29 / 37

A.12.1.4 Separation of development, testing and operational environments กำรแบงแยกสภำพแวดลอมของกำรพฒนำ กำรทดสอบ และกำรท ำงำนจรงออกจำกกน

มำตรกำรควบคม

สภำพแวดลอมของกำรพฒนำ กำรทดสอบ และกำรท ำงำนจรง ตองถกแบงแยกออกจำกกน เพอลดควำม

เสยงของกำรเขำถงโดยไมไดรบอนญำต หรอกำรเปลยนแปลงสภำพแวดลอมของกำรปฏบตงำนจรง

A.12.2 Protection from malware การปองกนโปรแกรมไมพงประสงค

วตถประสงค เพอใหมนใจวำสำรสนเทศและอปกรณประมวลผลขอมลไดรบกำรปองกนจำกโปรแกรมไมพงประสงค

A.12.2.1 Controls against malware มำตรกำรควบคมโปรแกรมไมพงประสงค

มำตรกำรควบคม

มำตรกำรตรวจจบ กำรปองกน และกำรกคน เพอปองกนจำกโปรแกรมไมพงประสงค ตองน ำไปปฏบต

รวมกบกำรสรำงควำมตระหนกแกผใชงำนอยำงเหมำะสม

A.12.3 Backup การส ารองขอมล

วตถประสงค เพอปองกนกำรสญหำย/สญเสยขอมล

A.12.3.1 Information backup กำรส ำรองขอมล

มำตรกำรควบคม

กำรส ำรองสำรสนเทศ ซอฟตแวร และอมเมจของระบบ ตองมกำรปฏบต และทดสอบอยำงสม ำเสมอ

สอดคลองกบนโยบำยส ำรองขอมลทก ำหนดไว

A.12.4 Logging and monitoring การบนทกลอกและการเฝาระวง

วตถประสงค เพอบนทกเหตกำรณและกำรสรำง (generate) หลกฐำน

A.12.4.1 Event logging กำรบนทกลอกของเหตกำรณ

มำตรกำรควบคม

ลอกเหตกำรณทบนทกกจกรรมของผใชงำน ขอยกเวน (Exception) ขอผดพลำด (Fault) และเหตกำรณ

ดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศ ตองมกำรจดท ำข น จดเกบ และทบทวนอยำงสม ำเสมอ

A.12.4.2 Protection of log information กำรปองกนขอมลลอก

มำตรกำรควบคม

อปกรณบนทกลอกและขอมลลอก ตองไดรบกำรปองกนจำกกำรเปลยนแปลงเพอท ำลำย (Tempering)

และเขำถงโดยไมไดรบอนญำต

A.12.4.3 Administrator and operator logs ลอกของผดแลระบบและเจำหนำทปฏบตกำร

มำตรกำรควบคม

กจกรรมของผดแลระบบและเจำหนำทปฏบตกำร ตองไดรบกำรบนทกลอก และขอมลลอกตองไดรบกำร

ปองกนและทบทวนอยำงสม ำเสมอ

ISO/IEC 27001:2013 Requirements ขอก ำหนดระบบบรหำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ หนำ 30 / 37

A.12.4.4 Clock synchronization กำรประสำนเวลำของนำฬกำ

มำตรกำรควบคม

นำฬกำของระบบทงหมดทเกยวของกบอปกรณประมวลผลขอมลภำยในองคกร หรอโดเมนควำมมนคง

(Security Domain) ตองไดรบกำรประสำนเวลำใหตรงกบแหลงเทยบเวลำอำงองเดยวกน

A.12.5 Control of operation software การควบคมซอฟตแวรปฏบตการ

วตถประสงค เพอใหมนใจวำระบบปฏบตกำรมควำมถกตองครบถวน

A.12.5.1 Installation of software on operational systems กำรตดตงซอฟตแวรบนระบบปฏบตกำร

มำตรกำรควบคม

ขนตอนปฏบตงำนตองน ำมำปฏบตเพอควบคมกำรตดตงซอฟตแวรบนระบบปฏบตกำร

A.12.6 Technical vulnerability management การบรหารจดการชองโหวทางเทคนค

วตถประสงค เพอปองกนกำรแสวงหำประโยชนจำกชองโหวทำงเทคนค

A.12.6.1 Management of technical vulnerabilities กำรบรหำรจดกำรชองโหวทำงเทคนค

มำตรกำรควบคม

ขอมลเกยวกบชองโหวทำงเทคนคของระบบสำรสนเทศทใชงำน ตองไดรบภำยในเวลำททนทวงท กำร

เปดเผยชองโหวดงกลำวขององคกรตองถกประเมนและระบมำตรกำรทเหมำะสมเพอจดกำรควำมเสยงท

เกยวของ

A.12.6.2 Restrictions on software installation กำรจ ำกดกำรตดตงซอฟตแวร

มำตรกำรควบคม

กฏบรหำรงำนของกำรตดตงซอฟตแวรโดยผใชงำน ตองจดท ำข นและน ำไปปฏบต

A.12.7 Information systems audit consideration

การพจารณาส าหรบการตรวจสอบระบบสารสนเทศ

วตถประสงค เพอลดผลกระทบจำกกจกรรมกำรตรวจประเมนระบบกำรด ำเนนงำน

A.12.7.1 Information systems audit controls มำตรกำรควบคมของกำรตรวจสอบระบบสำรสนเทศ

มำตรกำรควบคม

ขอก ำหนดและกจกรรมของกำรตรวจตรวจสอบทเกยวของกบกำรทวนสอบระบบปฏบตกำร ตองมกำร

วำงแผนอยำงระมดระวง และไดรบควำมเหนชอบเพอลดกำรหยดชะงกตอกระบวนกำรทำงธรกจใหนอย

ทสด

A.13 Communication security ความม นคงปลอดภยดานการสอสาร

A.13.1 Network security management การบรหารจดการความปลอดภยส าหรบเครอขาย

วตถประสงค เพอใหมนใจถงกำรปองกนสำรสนเทศบนเครอขำยและอปกรณประมวลผลทสนบสนนเครอขำย

ISO/IEC 27001:2013 Requirements ขอก ำหนดระบบบรหำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ หนำ 31 / 37

A.13.1.1 มำตรกำรควบคมของเครอขำย Network controls

มำตรกำรควบคม

เครอขำยตองไดรบกำรบรหำรจดกำรและควบคมเพอปองกนสำรสนเทศบนระบบและโปรแกรมประยกต

(Application)

A.13.1.2 Security of network services ควำมมนคงปลอดภยของบรกำรเครอขำย

มำตรกำรควบคม

กลไกดำนควำมมนคงปลอดภย ระดบกำรใหบรกำร และขอก ำหนดของกำรบรกำรจดกำรของบรกำร

เครอขำยทงหมด ตองไดรบกำรระบ และรวมอยในขอตกลงกำรใหบรกำรเครอขำย ไมวำจะเปนกำร

ใหบรกำรโดยหนวยงำนภำยใน (In-house) หรอหนวยงำยภำยนอก (Outsourced)

A.13.1.3 Segregation in networks กำรแบงแยกเครอขำย

มำตรกำรควบคม

กลมของบรกำรดำนสำรสนเทศ ผใชงำน และระบบสำรสนเทศตำงๆ ตองไดรบกำรแบงแยกบนเครอขำย

A.13.2 Information transfer การถายโอนขอมล

วตถประสงค เพอรกษำควำมมนคงปลอดภยของสำรสนเทศทถกถำยโอนภำยในองคกร และทถำยโอนไปยงหนวยงำนภำยนอกใหคงไว

A.13.2.1 Information transfer policies and procedures นโยบำยและขนตอนปฏบตงำนในกำรถำยโอนขอมล

มำตรกำรควบคม

นโยบำย ขนตอนปฏบตงำน และมำตรกำรควบคมตำงๆ อยำงเปนทำงกำร ตองมไวเพอปองกนกำรถำย

โอนสำรสนเทศผำนกำรใชอปกรณสอสำรทกประเภท

A.13.2.2 Agreements on information transfer ขอตกลงในกำรถำยโอนขอมล

มำตรกำรควบคม

ขอตกลงตองมก ำหนดถงกำรถำยโอนสำรสนเทศทำงธรกจอยำงมนคงปลอดภยระหวำงองคกรและ

หนวยงำนภำยนอก

A.13.2.3 Electronic messaging กำรสงขอควำมอเลกทรอนกส

มำตรกำรควบคม

ขอมลทมกำรสงผำนทำงกำรสงขอควำมอเลกทรอนกส ตองไดรบกำรปกปองอยำงเหมำะสม

A.13.2.4 ขอตกลงกำรรกษำควำมลบหรอกำรไมเปดเผยควำมลบConfidentiality or nondisclosure agreements

มำตรกำรควบคม

ขอก ำหนดส ำหรบกำรรกษำควำมลบ หรอกำรไมเปดเผยควำมลบทสะทอนใหเหนถงควำมจ ำเปนของ

องคกรในกำรปกปองขอมล ตองไดรบกำรระบ ทบทวนอยำงสม ำเสมอ และจดท ำเปนลำยลกษณอกษร

A.14 System acquisition, development and maintenance การจดหา การพฒนา และการบ ารงรกษาระบบ

A.14.1 Security requirements of information systems ขอก าหนดดานความม นคงปลอดภยของระบบสารสนเทศ

วตถประสงค เพอใหมนใจวำควำมมนคงปลอดภยส ำหรบสำรสนเทศเปนสวนทไดผนวกรวมเขำไปในระบบสำรสนเทศตลอดวงจรชวต และยงรวมถงขอก ำหนดของระบบสำรสนเทศทไดใหบรกำรผำนเครอขำยสำธำรณะ

ISO/IEC 27001:2013 Requirements ขอก ำหนดระบบบรหำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ หนำ 32 / 37

A.14.1.1 Information security requirements analysis and specification กำรวเครำะหและระบขอก ำหนดดำนมนคงปลอดภยส ำหรบสำรสนเทศ

มำตรกำรควบคม

ขอก ำหนดดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศทเกยวของตองรวมไวในขอก ำหนดของระบบ

สำรสนเทศใหม หรอกำรพฒนำปรบปรงระบบสำรสนเทศเดม

A.14.1.2 Securing application services on public networks กำรรกษำควำมมนคงปลอดภยของบรกำรโปรแกรมประยกต (Application) บนเครอขำยสำธำรณะ

มำตรกำรควบคม

สำรสนเทศทอยในกำรใหบรกำรโปรแกรมประยกต (Application) บนเครอขำยสำธำรณะ ตองไดรบกำร

ปกปองจำกกำรฉอโกง กำรโตแยงสญญำ (Contract dispute) และกำรเปดเผยและกำรเปลยนแปลงโดย

ไมไดรบอนญำต

A.14.1.3 Protecting application services transactions กำรปองกนธรกรรมของบรกำรโปรแกรมประยกต

(Application)

มำตรกำรควบคม

สำรสนเทศทเกยวของกบธรกรรมของบรกำรโปรแกรมประยกต (Application) ตองไดรบกำรปองกนจำก

กำรสอสญญำณทไมสมบรณ (Incomplete Transmission) กำรจดเสนทำงผด (Mis-routing) กำรปรบแก

ขอควำมโดยไมไดรบอนญำต กำรเปดเผยโดยไมไดรบอนญำต กำรท ำส ำเนำหรอเลนขอควำมซ ำ

(Replay) โดยไมไดรบอนญำต

A.14.2 Security in development and support process

ความม นคงปลอดภยในกระบวนการพฒนาและกระบวนการสนบสนน

วตถประสงค เพอใหมนใจวำควำมมนคงปลอดภยส ำหรบสำรสนเทศไดถกออกแบบและน ำไปปฏบตตลอดวงจรชวตของกำรพฒนำระบบสำรสนเทศ

A.14.2.1 Secure development policy นโยบำยส ำหรบกำรพฒนำอยำงมนคงปลอดภย

มำตรกำรควบคม

กฎส ำหรบกำรพฒนำซอฟตแวรและระบบงำน ตองจดท ำข นและน ำไปประยกตใชกบกำรพฒนำตำงๆ

ภำยในองคกร

A.14.2.2 System change control procedures ขนตอนปฏบตงำนกำรควบคมควำมเปลยนแปลงของระบบ

มำตรกำรควบคม

ควำมเปลยนแปลงของระบบภำยในวงจรชวตของกำรพฒนำ ตองไดรบกำรควบคมโดยใชขนตอน

ปฏบตงำนควบคมควำมเปลยนแปลงอยำงเปนทำงกำร

A.14.2.3 Technical review of applications after operating platform changes กำรทบทวนทำงเทคนคของโปรแกรมประยกต (Application) ภำยหลงกำรเปลยนแปลงแพลตฟอรมปฏบตกำร

มำตรกำรควบคม

เมอแพลตฟอรมปฏบตกำร (Operating Platforms) ถกเปลยนแปลง โปรแกรมประยกตทมควำมส ำคญ

ทำงธรกจ ตองไดรบกำรทบทวน และทดสอบ เพอใหมนใจวำไมมผลกระทบในทำงลบตอกำรปฏบตงำน

(Operation) และควำมมนคงปลอดภยขององคกร

A.14.2.4 Restrictions on changes to software packages กำรจ ำกดกำรเปลยนแปลงกบซอฟตแวรส ำเรจรป

มำตรกำรควบคม

กำรปรบปรงซอฟตแวรส ำเรจรป ตองไดรบกำรหำมกระท ำ กำรจ ำกดกำรเปลยนแปลงทงทจ ำเปนและ

ทงหมดตองถกควบคมอยำงเครงครด

ISO/IEC 27001:2013 Requirements ขอก ำหนดระบบบรหำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ หนำ 33 / 37

A.14.2.5 Secure system engineering principles หลกกำรทำงวศวกรรมระบบควำมมนคงปลอดภย

มำตรกำรควบคม

หลกกำรของวศวกรรมระบบควำมมนคงปลอดภย ตองมกำรจดตงข น จดท ำเปนลำยลกษณอกษร รกษำให

คงไว และน ำไปใชกบกำรประยกตใชระบบสำรสนเทศใดๆ กตำม

A.14.2.6 Secure development environment สภำพแวดลอมกำรพฒนำทมนคงปลอดภย

มำตรกำรควบคม

องคกรตองจดตงและปองกนสภำพแวดลอมกำรพฒนำอยำงเหมำะสม ส ำหรบกำรพฒนำและบรณำกำร

ระบบ โดยใหครอบคลมตลอดทงวงจรชวตของกำรพฒนำระบบ

A.14.2.7 Outsourced development กำรพฒนำโดยหนวยงำนภำยนอก

มำตรกำรควบคม

องคกรตองก ำกบดแลและเฝำตดตำมกจกรรมกำรพฒนำระบบทด ำเนนกำรโดยหนวยงำนภำยนอก

A.14.2.8 System security testing

กำรทดสอบควำมมนคงปลอดภยของระบบ

มำตรกำรควบคม

กำรทดสอบคณสมบตดำนควำมมนคงปลอดภย (Security Functionality) ตองด ำเนนกำรในระหวำงกำร

พฒนำ

A.14.2.9 System acceptance testing กำรทดสอบตรวจรบระบบ

มำตรกำรควบคม

โปรแกรมกำรทดสอบตรวจรบและเกณฑทเกยวของ ตองจดท ำข นส ำหรบระบบสำรสนเทศใหม ระบบท

ยกระดบขน (Upgrade) และเวอรชนใหมของระบบ

A.14.3 Test data ขอมลทดสอบ

วตถประสงค เพอใหมนใจวำขอมลทใชในกำรทดสอบไดรบกำรปกปอง

A.14.3.1 Protection of test data กำรปกปองขอมลทดสอบ

มำตรกำรควบคม

ขอมลทดสอบตองถกคดเลอกอยำงระมดระวง และไดรบกำรปกปองและควบคม

A.15 Supplier relationships ความสมพนธกบผขาย

A.15.1 Information security in supplier relationships

ความม นคงปลอดภยส าหรบสารสนเทศในความสมพนธกบผขาย

วตถประสงค เพอใหมนใจวำทรพยสนขององคกรทสำมำรถเขำถงไดโดยหนวยงำนภำยนอกไดรบกำรปองกน

A.15.1.1 Information security policy for supplier relationships นโยบำยควำมมนคงปลอดภยส ำหรบสำรสนเทศส ำหรบควำมสมพนธกบผขำย

มำตรกำรควบคม

ขอก ำหนดดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศเพอจดกำรควำมเสยงทเกยวของกบกำรเขำถง

ทรพยสนองคกรโดยหนวยงำนภำยนอก ตองไดรบกำรตกลงรวมกนกบหนวยงำนภำยนอก และจดท ำเปน

ลำยลกษณอกษร

ISO/IEC 27001:2013 Requirements ขอก ำหนดระบบบรหำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ หนำ 34 / 37

A.15.1.2 Addressing security within supplier agreements กำรระบขอก ำหนดในขอตกลงกบผขำย

มำตรกำรควบคม

ขอก ำหนดทงหมดทเกยวของดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศ ตองจดท ำข น และตกลงรวมกน

กบผขำยแตละรำย ทอำจท ำกำรเขำถง ประมวลผล จดเกบ สอสำรกบสำรสนเทศขององคกร หรอ

ใหบรกำรสวนประกอบของโครงสรำงพนฐำนดำนเทคโนโลยสำรสนเทศ (IT Infrastructure

Components) ส ำหรบสำรสนเทศขององคกร

A.15.1.3 Information and communication technology supply chain หวงโซอปทำนของเทคโนโลยสำรสนเทศและกำรสอสำร

มำตรกำรควบคม

ขอตกลงกบผขำย ตองรวมถงขอก ำหนดทระบถงควำมเสยงดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศท

เกยวของกบสำรสนเทศและบรกำรเทคโนโลยกำรสอสำรทกอใหเกดหวงโซอปทำน (Supply Chain)

A.15.2 Supplier service delivery management การบรหารจดการการสงมอบบรการของผขาย

วตถประสงค เพอรกษำระดบของควำมมนคงปลอดภยส ำหรบสำรสนเทศ และระดบของกำรสงมอบบรกำร ทเหนชอบรวมกนใหคงไวตำมขอตกลงกบผขำย

A.15.2.1 Monitoring and review of supplier services กำรตดตำมและทบทวนบรกำรของผขำย

มำตรกำรควบคม

องคกรตองตดตำม ทบทวน และตรวจประเมนกำรสงมอบบรกำรของผขำยอยำงสม ำเสมอ

A.15.2.2 Managing changes to supplier services กำรบรหำรจดกำรควำมเปลยนแปลงบรกำรของผขำย

มำตรกำรควบคม

กำรเปลยนแปลงกำรใหบรกำรของผขำย รวมถงกำรรกษำใหคงไว และกำรปรบปรงนโยบำย ขนตอน

ปฏบตงำน และมำตรกำรควบคมดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศทมอย ตองไดรบกำรบรหำร

จดกำร โดยพจำรณำถงควำมส ำคญของสำรสนเทศ ระบบ และกระบวนกำรทำงธรกจทเกยวของ และตอง

ประเมนควำมเสยงซ ำ

A.16 Information security incident management การบรหารจดการเหตการณดานความม นคงปลอดภยส าหรบสารสนเทศ

A.16.1 Management of information security incident and improvements การบรหารจดการเหตการณดานความม นคงปลอดภยส าหรบสารสนเทศและการปรบปรงพฒนา

วตถประสงค เพอมนใจถงวธกำรทสม ำเสมอและมประสทธภำพในกำรบรหำรจดกำรเหตกำรณดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศ รวมถงกำรสอสำรเกยวกบจดออนและสถำนกำรณดำนควำมมนคงปลอดภย

A.16.1.1 Responsibilities and procedures หนำทควำมรบผดชอบและขนตอนปฏบตงำน

มำตรกำรควบคม

หนำทควำมรบผดชอบของผบรหำรและขนตอนปฏบตงำน ตองจดท ำข นเพอใหมนใจถงกำรตอบสนองได

อยำงรวดเรว (Quick) มประสทธผล (Effective) และเปนระเบยบแบบแผน (Orderly) ตอเหตกำรณดำน

ควำมมนคงปลอดภยส ำหรบสำรสนเทศ

ISO/IEC 27001:2013 Requirements ขอก ำหนดระบบบรหำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ หนำ 35 / 37

A.16.1.2 Reporting information security events กำรรำยงำนเหตกำรณดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศ

มำตรกำรควบคม

สถำนกำรณควำมมนคงปลอดภยส ำหรบสำรสนเทศ ตองถกรำยงำนผำนชองทำงกำรบรหำรจดกำรท

เหมำะสมอยำงรวดเรวเทำทท ำได

A.16.1.3 Reporting information security weaknesses กำรรำยงำนจดออนดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศ

มำตรกำรควบคม

พนกงำนและผท ำสญญำจำงทใชงำนระบบและบรกำรสำรสนเทศขององคกร ตองท ำกำรจดบนทก และ

รำยงำนขอสงเกตหรอจดออนดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศทนำสงสยใดๆ ในระบบหรอ

บรกำรตำงๆ

A.16.1.4 Assessment of and decision on information security events กำรประเมนและตดสนใจตอเหตกำรณดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศ

มำตรกำรควบคม

สถำนกำรณ (Events) ควำมมนคงปลอดภยส ำหรบสำรสนเทศ ตองถกประเมนและถกตดสนใจ ถำ

สถำนกำรณดงกลำวถกจดหมวดหมเปนเหตกำรณ (Incidents) ดำนควำมมนคงปลอดภยส ำหรบ

สำรสนเทศ

A.16.1.5 Response to information security incidents กำรตอบสนองตอเหตกำรณดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศ

มำตรกำรควบคม

เหตกำรณดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศ ตองไดรบกำรตอบสนองตำมขนนตอนปฏบตงำนท

จดท ำเปนลำยลกษณอกษร

A.16.1.6 Learning from information security incidents กำรเรยนรจำกเหตกำรณดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศ

มำตรกำรควบคม

ควำมรทไดรบจำกกำรวเครำะหและกำรแกปญหำเหตกำรณควำมมนคงปลอดภยส ำหรบสำรสนเทศ ตองถก

น ำไปใชเพอลดโอกำสหรอผลกระทบของเหตกำรณในอนำคต

A.16.1.7 Collection of evidence กำรเกบรวบรวมหลกฐำน:

มำตรกำรควบคม

องคกรตองก ำหนดขนตอนปฏบตงำนและน ำมำใชในกำรระบ (Identification), กำรเกบรวบรวม

(Collection) กำรจดหำ (Acquisition) กำรเกบรกษำ (Preservation) สำรสนเทศทสำมำรถน ำมำเปน

หลกฐำน

A.17 Information security aspect of business continuity management ความม นคงปลอดภยส าหรบสารสนเทศในแงมมของการบรหารจดการความตอเนองทางธรกจ

A.17.1 Information security continuity ความตอเนองดานความม นคงปลอดภยส าหรบสารสนเทศ

วตถประสงค ควำมตอเนองดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศ ตองถกฝงลงไปในระบบบรหำรจดกำรควำมตอเนองทำงธรกจขององคกร

A.17.1.1 Planning information security continuity กำรวำงแผนควำมตอเนองของควำมมนคงปลอดภยส ำหรบสำรสนเทศ

มำตรกำรควบคม

องคกรตองระบขอก ำหนดของตน ส ำหรบควำมมนคงปลอดภยส ำหรบสำรสนเทศขององคกร และควำมม

ตอเนองของกำรบรหำรจดกำรควำมมนคงปลอดภยส ำหรบสำรสนเทศภำยใตสถำนกำรณทไมพงประสงค

เชน ในชวงวกฤต หรอภยพบต

ISO/IEC 27001:2013 Requirements ขอก ำหนดระบบบรหำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ หนำ 36 / 37

A.17.1.2 Implementing information security continuity กำรน ำไปปฏบตดำนควำมตอเนองของควำมมนคงปลอดภยส ำหรบสำรสนเทศ

มำตรกำรควบคม

องคกรตองจดตงข น จดท ำเปนลำยลกษณอกษร น ำไปปฏบต และรกษำกระบวนกำร ขนตอนปฏบตงำน

และมำตรกำรควบคม เพอใหมนใจถงระดบควำมตอเนองของควำมมนคงปลอดภยส ำหรบสำรสนเทศท

ตองกำรในระหวำงสถำนกำรณทไมพงประสงค

A.17.1.3 Verify, review and evaluate information security continuity ทวนสอบ ทบทวน และประเมนควำมตอเนองดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศ

มำตรกำรควบคม

องคกรตองทวนสอบมำตรกำรควำมตอเนองดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศทจดท ำข นและ

น ำไปปฏบตตำมรอบระยะเวลำทก ำหนด เพอใหมนวำยงคงมำตรกำรเหลำนนยงคงใชไดสมเหตสมผล และ

มประสทธผลในระหวำงสถำนกำรณทไมพงประสงค

A.17.2 Redundancies การส ารองซ าซอน

วตถประสงค เพอใหมนใจวำอปกรณประมวลผลขอมลมควำมพรอมใชงำน

A.17.2.1 Availability of information processing facilities ควำมพรอมใชงำนของอปกรณประมวลผลขอมล

มำตรกำรควบคม

อปกรณประมวลผลขอมล ตองมกำรส ำรองซ ำซอนไวอยำงเพยงพอ เพอใหเปนไปตำมขอก ำหนดดำน

ควำมพรอมใชงำน

A.18 Compliance การปฏบตตามขอก าหนด

A.18.1 Compliance with legal and contractual requirements การปฏบตตามขอก าหนดดานกฎหมายและสญญา

วตถประสงค เพอหลกเลยงกำรละเมดกฎหมำย ระเบยบขอบงคบ ขอก ำหนด หรอขอผกพนตำมสญญำทเกยวของกบควำมมนคงปลอดภยส ำหรบสำรสนเทศ และขอก ำหนดดำนควำมมนคงปลอดภยใดๆ กตำม

A.18.1.1 Identification of applicable legislation and contractual requirements กำรระบขอก ำหนดดำนกฎหมำยและสญญำทเกยวของ

มำตรกำรควบคม

กฎหมำย ขอก ำหนดทำงกฎหมำย ระเบยบขอบงคบ และขอผกพนตำมสญญำทเกยวของทงหมด และ

วธกำรขององคกรเพอใหเปนไปตำมขอก ำหนดดงกลำว ตองถกระบอยำงชดเจน จดท ำเปนลำยลกษณ

อกษร และปรบปรงใหทนสมย ส ำหรบแตละระบบสำรสนเทศ และส ำหรบองคกร

A.18.1.2 Intellectual property rights สทธในทรพยสนทำงปญญำ

มำตรกำรควบคม

ขนตอนปฏบตทเหมำะสมตองน ำไปปฏบต เพอใหมนใจวำสอดคลองกบกฎหมำย ระเบยบขอบงคบ และ

ขอผกพนตำมสญญำทเกยวของกบสทธในทรพยสนทำงปญญำ และกำรใชซอฟตแวรทมกรรมสทธ

(Proprietary Software)

ISO/IEC 27001:2013 Requirements ขอก ำหนดระบบบรหำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ หนำ 37 / 37

A.18.1.3 Protection of records กำรปองกนบนทก

มำตรกำรควบคม

บนทกตองไดรบกำรปองกนจำกกำรสญหำย กำรท ำลำย กำรปลอมแปลง กำรเขำถงโดยไมไดรบอนญำต และกำรเผยแพรออกไปโดยไมไดรบอนญำต ตำมทกฏหมำย ระเบยบขอบงคบ ขอผกพนตำมสญญำ และขอก ำหนดทำงธรกจทไดก ำหนดไว

A.18.1.4 Privacy and protection of personally identifiable information

ควำมเปนสวนตวและกำรปกปองขอมลสวนบคคล

มำตรกำรควบคม

กำรรกษำควำมเปนสวนตว และกำรปกปองขอมลสวนบคคล ตองมนใจวำเปนไปตำมทระบไวในกฎหมำย

และระเบยบขอบงคบทเกยวของ ถำเหมำะสม

A.18.1.5 Regulation of cryptographic controls ขอบงคบของมำตรกำรควบคมของกำรเขำรหสขอมล

มำตรกำรควบคม

มำตรกำรควบคมกำรเขำรหส ตองน ำไปใชเพอใหสอดคลองกบขอตกลง กฏหมำย และระเบยบขอบงคบท

เกยวของทงหมด

A.18.2 Information security reviews การทบทวนความม นคงปลอดภยดานสารสนเทศ

วตถประสงค เพอใหมนใจวำควำมมนคงปลอดภยส ำหรบสำรสนเทศมกำรน ำไปปฏบตและมกำรด ำเนนงำนตำมนโยบำยและขนตอนปฏบตงำนขององคกร

A.18.2.1 Independent review of information security กำรทบทวนดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศอยำงเปนอสระ

มำตรกำรควบคม

วธกำรขององคกรทใชเพอบรกำรจดกำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ และกำรน ำไปปฏบต เชน

วตถประสงคของมำตรกำร (Control objectives) มำตรกำรควบคม (Controls) นโยบำย กระบวนกำร และ

ขนตอนปฏบตงำนส ำหรบควำมมนคงปลอดภยส ำหรบสำรสนเทศ ตองไดรบกำรทบทวนอยำงเปนอสระ

ตำมรอบระยะเวลำทก ำหนด หรอเมอมควำมเปลยนแปลงทมนยส ำคญเกดข น

A.18.2.2 Compliance with security policies and standards กำรปฏบตตำมนโยบำยและมำตรฐำนดำนควำมมนคงปลอดภย

มำตรกำรควบคม

ผจดกำรตองทบทวนควำมสอดคลองอยำงสม ำเสมอของกำรประมวลผลขอมล และขนตอนปฏบตงำนทอย

ภำยใตควำมรบผดชอบของตน กบนโยบำยและมำตรฐำนควำมมนคงปลอดภย และขอก ำหนดดำนควำม

มนคงปลอดภยอนๆ ทเหมำะสม

A.18.2.3 Technical compliance review กำรทบทวนควำมสอดคลองทำงเทคนค

มำตรกำรควบคม

ระบบสำรสนเทศตองไดรบกำรทบทวนควำมสอดคลองอยำงสม ำเสมอกบนโยบำยและมำตรฐำนควำม

มนคงปลอดภยส ำหรบสำรสนเทศขององคกร