การแก้ไข ISO 27001 หากคุณเคยสงสัยว่าเอกสารใดบ้างที่จำเป็นในการปรับปรุงISO/IEC 27001 ในปี 2022 นี่คือรายการที่คุณต้องการ ด้านล่างนี้ คุณจะเห็นเอกสารบังคับพร้อมกับเอกสารที่ไม่บังคับที่ใช้บ่อยที่สุดสำหรับการใช้งาน ISO 27001
เอกสารบังคับ ISO 27001
ต่อไปนี้คือรายการที่คุณต้องจัดทำเอกสารหากคุณต้องการให้สอดคล้องกับ ISO 27001 และวิธีทั่วไปในการตั้งชื่อเอกสารเหล่านั้น:
| สิ่งที่ต้องทำเป็นเอกสาร | เอกสารอ้างอิง ISO 27001 | เอกสารมักจะผ่าน |
| ขอบเขตของ ISMS | ข้อ 4.3 | เอกสารขอบเขต ISMS |
| นโยบายความปลอดภัยของข้อมูล | ข้อ 5.2 | นโยบายความปลอดภัยของข้อมูล |
| กระบวนการประเมินความเสี่ยงและการรักษาความเสี่ยง | ข้อ 6.1.2 | การประเมินความเสี่ยงและวิธีการรักษา |
| คำชี้แจงการบังคับใช้ | ข้อ 6.1.3 ง) | คำชี้แจงการบังคับใช้ |
| แผนการรักษาความเสี่ยง | ข้อ 6.1.3 จ 6.2 และ 8.3 | แผนการรักษาความเสี่ยง |
| วัตถุประสงค์ด้านความปลอดภัยของข้อมูล | ข้อ 6.2 | รายการวัตถุประสงค์ด้านความปลอดภัย |
| รายงานการประเมินความเสี่ยงและการรักษา | ข้อ 8.2 และ 8.3 | รายงานการประเมินความเสี่ยงและการรักษา |
| สินค้าคงคลังของสินทรัพย์ | ควบคุม ก.5.9* | รายการสินทรัพย์หรือรายการสินทรัพย์ในทะเบียนความเสี่ยง |
| การใช้สินทรัพย์ที่ยอมรับได้ | ควบคุม ก.5.10* | นโยบายความปลอดภัยด้านไอที |
| ขั้นตอนการตอบสนองเหตุการณ์ | ควบคุม ก.5.26* | ขั้นตอนการจัดการเหตุการณ์ |
| ข้อกำหนดทางกฎหมาย ข้อบังคับ และสัญญา | ควบคุม ก.5.31* | รายการข้อกำหนดทางกฎหมาย ข้อบังคับ และสัญญา |
| ขั้นตอนการดำเนินงานด้านความปลอดภัยสำหรับการจัดการด้านไอที | ควบคุม ก.5.37* | ขั้นตอนการรักษาความปลอดภัยสำหรับแผนกไอที |
| คำจำกัดความของ Security role และความรับผิดชอบ | การควบคุม ก.6.2 และ ก.6.6* | ข้อตกลง NDA และการระบุความรับผิดชอบในแต่ละนโยบายและขั้นตอนความปลอดภัย |
| คำจำกัดความของการกำหนดค่าความปลอดภัย | ควบคุม A.8.9* | ขั้นตอนการรักษาความปลอดภัยสำหรับแผนกไอที |
| หลักการทางวิศวกรรมระบบที่ปลอดภัย | ควบคุม ก.8.27* | นโยบายการพัฒนาที่ปลอดภัย |
*หมายเหตุ: เอกสารหรือบันทึก ISO 27001 ที่กำหนดโดยการควบคุมภาคผนวก A มีผลบังคับใช้ก็ต่อเมื่อมีความเสี่ยงหรือข้อกำหนดจากผู้มีส่วนได้ส่วนเสียที่ต้องการให้ดำเนินการควบคุมเหล่านั้น
บันทึก ISO 27001 ที่จำเป็น
นี่คือบันทึกบังคับ:
| สิ่งที่ต้องบันทึก | เอกสารอ้างอิง ISO 27001 | มักจะบันทึกผ่าน |
| การฝึกอบรม ทักษะ ประสบการณ์ และคุณสมบัติ | ข้อ 7.2 | ใบรับรองการฝึกอบรมและ CVs |
| การติดตามและการวัดผล | ข้อ 9.1 | รายงานการวัด |
| โปรแกรมตรวจสอบภายใน | ข้อ 9.2 | โครงการตรวจสอบภายใน |
| ผลการตรวจสอบภายใน | ข้อ 9.2 | รายงานการตรวจสอบภายใน |
| ผลการทบทวนฝ่ายบริหาร | ข้อ 9.3 | รายงานการประชุมทบทวนฝ่ายบริหาร |
| ผลลัพธ์ของการดำเนินการแก้ไข | ข้อ 10.2 | แบบฟอร์มการดำเนินการแก้ไข |
| บันทึกกิจกรรมของผู้ใช้ ข้อยกเว้น และเหตุการณ์ด้านความปลอดภัย | ควบคุม ก.8.15* | เข้าสู่ระบบข้อมูลอัตโนมัติ |
เอกสาร ISO 27001 ที่ไม่บังคับ
การแก้ไข ISO 27001 มีเอกสาร ISO 27001 ที่ไม่บังคับจำนวนมากที่สามารถนำมาใช้สำหรับการนำไปใช้งาน โดยเฉพาะอย่างยิ่งสำหรับการควบคุมความปลอดภัยจากภาคผนวก A แต่ไม่ใช่ทั้งหมดที่มีประโยชน์เท่าเทียมกัน ฉันพบว่าเอกสารที่ไม่บังคับเหล่านี้ถูกใช้บ่อยที่สุด:
- ขั้นตอนการควบคุมเอกสารและบันทึก (ข้อ 7.5 การควบคุม ก.5.33)
- ขั้นตอนการตรวจสอบภายใน (ข้อ 9.2)
- ขั้นตอนการดำเนินการแก้ไข (ข้อ 10.2)
- นโยบายการจัดประเภทข้อมูล (ควบคุม ก.5.10 ก.5.12 และ ก.5.13)
- นโยบายการถ่ายโอนข้อมูล (ควบคุม ก.5.14)
- นโยบายการควบคุมการเข้าถึง (การควบคุม A.5.15)
- นโยบายรหัสผ่าน (การควบคุม ก.5.16, ก.5.17 และ ก.8.5)
- นโยบายการรักษาความปลอดภัยของซัพพลายเออร์ (การควบคุม ก.5.19, ก.5.21, ก.5.22 และ ก.5.23)
- แผนการกู้คืนความเสียหาย (ควบคุม ก.5.29, ก.5.30 และ ก.8.14)
- นโยบายเกี่ยวกับอุปกรณ์เคลื่อนที่ การทำงานระยะไกล และการทำงานจากที่บ้าน (การควบคุม A.6.7, A.7.8, A.7.9 และ A.8.1)
- ขั้นตอนการทำงานในพื้นที่ปลอดภัย (ควบคุม ก.7.4 และ ก.7.6)
- นโยบายเคลียร์เดสก์และเคลียร์สกรีน (ควบคุม ก.7.7)
- นโยบายการนำอุปกรณ์มาเอง (BYOD) (การควบคุม A.7.8 และ A.8.1)
- นโยบายการกำจัดและการทำลาย (การควบคุม ก.7.10, ก.7.14 และ ก.8.10)
- นโยบายการสำรองข้อมูล (การควบคุม A.8.13)
- นโยบายการเข้ารหัส (การควบคุม A.8.24)
- นโยบายการจัดการการเปลี่ยนแปลง (การควบคุม ก.8.32)
การแก้ไข ISO 27001 2022 ส่งผลกระทบต่อเอกสารและบันทึกที่จำเป็นอย่างไร
ISO 27001:2022 ใหม่นำเสนอข่าวดีในด้านเอกสาร:
- การปรับปรุงใหม่นี้ต้องการเอกสารบังคับน้อยกว่าเมื่อเทียบกับการปรับปรุง ISO 27001:2013 เดิม
- แม้ว่าจะมีการควบคุมความปลอดภัยใหม่ 11 รายการในการแก้ไขปี 2022 แต่ก็ไม่จำเป็นต้องเขียนเอกสารใหม่ใดๆ เนื่องจากการควบคุมเหล่านี้ – การรวมส่วนใหม่เกี่ยวกับการควบคุมเหล่านั้นไว้ในเอกสารที่คุณเขียนไว้แล้วสำหรับการแก้ไขปี 2013 นั้นเพียงพอแล้ว มาตรฐาน – ดูตารางด้านล่าง
| การควบคุมความปลอดภัยใหม่ใน ISO 27001:2022 | เอกสาร ISO 27001 ที่มีอยู่ซึ่งสามารถรวมการควบคุมเหล่านี้ได้ |
| ก.5.7 ข้อมูลภัยคุกคาม | ขั้นตอนการจัดการเหตุการณ์ |
| ก.5.23 ความปลอดภัยของข้อมูลสำหรับการใช้บริการคลาวด์ | นโยบายการรักษาความปลอดภัยของซัพพลายเออร์ |
| ก.5.30 ความพร้อมด้าน ICT เพื่อความต่อเนื่องทางธุรกิจ | แผนการกู้คืนความเสียหาย |
| ก.7.4 การตรวจสอบความปลอดภัยทางกายภาพ | ขั้นตอนการทำงานในพื้นที่ปลอดภัย |
| ก.8.9 การจัดการการกำหนดค่า | ขั้นตอนการรักษาความปลอดภัยสำหรับแผนกไอที |
| ก.8.10 การลบข้อมูล | นโยบายการกำจัดและทำลาย |
| ก.8.11 การปกปิดข้อมูล | นโยบายการพัฒนาที่ปลอดภัย |
| ก.8.12 การป้องกันการรั่วไหลของข้อมูล | ขั้นตอนการรักษาความปลอดภัยสำหรับแผนกไอที |
| ก.8.16 กิจกรรมการตรวจติดตาม | ขั้นตอนการรักษาความปลอดภัยสำหรับแผนกไอที |
| ก.8.23 การกรองเว็บ | ขั้นตอนการรักษาความปลอดภัยสำหรับแผนกไอที |
| ก.8.28 การเข้ารหัสที่ปลอดภัย | นโยบายการพัฒนาที่ปลอดภัย |
สำหรับองค์กรที่ต้องการ Document and Content Management Solution ที่สมบูรณ์แบบ พร้อม Professional Services ที่มีประสบการณ์ Implement Alfresco มามากกว่า 100 โครงการณ์ สามารถติดขอคำปรึกษากับ K&O Systems
ทั้งนี้บริษัทเคแอนด์โอ จึงได้มุ่งเน้นการจัดการแก้ไขปัญหา จัดการเอกสาร ด้านเอกสารขององค์กรมาอย่างยาวนาน และ ให้ความสำคัญกับด้านงานเอกสาร ต่อลูกค้าเป็นอย่างดี จนถึงปัจจุบันก็ได้ความยอมรับจากองค์กร ขนาดใหญ่ ขนาดกลาง และขนาดเล็กมากมาย จึงใคร่ขออาสาดูและปัญหาด้านเอกสารให้กับองค์กรของท่านอย่างสุดความสามารถ เพราะเราเป็นหนึ่งในธุรกิจ ระบบจัดเก็บเอกสาร ที่ท่านไว้ใจได้
สนใจรับคำปรึกษาด้านวางระบบจัดการเอกสารอิเล็กทรอนิกส์ EDMS โดยทีมงานผู้เชี่ยวชาญจาก K&O ที่มีประสบการณ์มากว่า 15 ปี รวมถึงซอฟต์แวร์ระดับโลก ติดต่อ 0 2 – 8 6 0 – 6 6 5 9
สนใจ บทความ หรือ Technology สามารถติดต่อได้ตามเบอร์ที่ให้ไว้ด้านล่างนี้
Tel.086-594-5494
Tel.095-919-6699
e-mail cs@ko.in.th หรือ K&O FB / เว็บไซต์หลัก สแกนเพื่อแอด Line พูดคุยตอนนี้
