bsi iso27001 requirements r1
TRANSCRIPT
ISO/IEC 27001:2013 Requirements ขอก ำหนดระบบบรหำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ หนำ 1 / 38
ISO/IEC 27001:2013
Information Security Management Systems
Just for Customer
Guide Series
ISO/IEC 27001:2013 Requirements ขอก ำหนดระบบบรหำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ หนำ 2 / 38
1 Scope
This International Standard specifies the requirements for establishing, implementing, maintaining and continually improving an information security management system within the context of the organization. This International Standard also includes requirements for the assessment and treatment of information security risks tailored to the needs of the organization. The requirements set out in this International Standard are generic and are intended to be applicable to all organizations, regardless of type, size or nature. Excluding any of the requirements specified in Clauses 4 to 10 is not acceptable when an organization claims conformity to this International Standard.
1 ขอบขาย
มำตรฐำนสำกลฉบบน ระบขอก ำหนดในกำรจดตง กำรน ำปฏบต กำรรกษำให คงไว และกำรปรบปรงพฒนำอยำงตอเนอง ของระบบบรหำรจดกำรควำมมนคง
ปลอดภยส ำหรบสำรสนเทศภำยในบรบทขององคกร และยงรวมถงขอก ำหนดส ำหรบกำรประเมนและกำรจดกำรควำมเสยงดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศทปรบใหเหมำะสมกบควำมจ ำเปนขององคกร ขอก ำหนดทระบใน
มำตรฐำนสำกลฉบบน เปนขอก ำหนดทวไป โดยมวตถประสงคเพอใหสำมำรถใชไดกบทกองคกร ไมวำจะมขนำด ประเภท หรอลกษณะใดกตำม กำรยกเวนขอก ำหนดใดๆ ทระบไวในขอก ำหนด 4 ถง ขอก ำหนด 10 ไมสำมำรถยอมรบไดเมอองคกรอำงควำมสอดคลองกบมำตรฐำนน
2 Normative references
The following documents, in whole or in part, are normatively referenced in this document and are indispensable for its application. For dated references, only the edition cited applies. For undated references, the latest edition of the referenced document (including any amendments) applies.
ISO/IEC 27000, Information technology — Security techniques — Information security management systems — Overview and vocabulary
2 การอางองเชงบรรทดฐาน
เอกสำรตอไปน, ทงหมดหรอบำงสวน, เปนกฎเกณฑอำงองในเอกสำรฉบบน
และเปนสงทขำดไมไดส ำหรบกำรน ำไปประยกตใช เพอกำรอำงองวนท กำรอำงองวนทเอกสำรระบจำก Edition ทก ำหนดวนทไว กรณทไมระบวนท ให อำงองจำก Edition ลำสดของเอกสำรอำงอง (รวมถงเอกสำรเพมเตมใดๆ)
ISO/IEC 27000, Information technology — Security techniques — Information security management systems — Overview and vocabulary ระบบบรหำรจดกำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ – ภำพรวมและค ำศพท
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO/IEC 27000 apply.
3 ค าศพทและนยาม
ตำมวตถประสงคของเอกสำรฉบบน ค ำศพทและนยำม ระบไวในมำตรฐำน ISO/IEC 27000
ISO/IEC 27001:2013 Requirements ขอก ำหนดระบบบรหำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ หนำ 3 / 38
4 Context of the organization
4.1 Understanding the organization and its context
The organization shall determine external and internal issues that are relevant to its purpose and that affect its ability to achieve the intended outcome(s) of its information security management system.
NOTE Determining these issues refers to establishing the external and internal context of the organization considered in Clause 5.3 of ISO 31000:2009[5].
4 บรบทขององคกร
4.1 ความเขาใจองคกรและบรบทขององคกร
องคกรตองก ำหนดประเดนภำยนอกและภำยในตำงๆ ทเกยวของกบวตถประสงคองคกรและทมผลกระทบตอควำมสำมำรถในกำรบรรลผลลพธ
ตำมทตงใจไวของระบบบรหำรจดกำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ
หมำยเหต กำรก ำหนดประเดนดงกลำว อำงถงกำรจดตงบรบทภำยนอกและ
ภำยในขององคกร ซงพจำรณำตำมขอก ำหนด 5.3 ของมำตรฐำน ISO 31000:2009[5].
4.2 Understanding the needs and expectations of interested parties
The organization shall determine:
a) interested parties that are relevant to the information security management system; and
b) the requirements of these interested parties relevant to information security.
NOTE The requirements of interested parties may include legal and regulatory requirements and contractual obligations.
4.2 ความเขาใจความตองการและความคาดหวงของผท สนใจ
องคกรตองก ำหนด
a) ผทสนใจ (Interested Parties) ทเกยวของกบระบบบรหำรจดกำรควำม
มนคงปลอดภยส ำหรบสำรสนเทศ และ
b) ขอก ำหนดของผทสนใจดงกลำว ทเกยวของกบควำมมนคงปลอดภยส ำหรบสำรสนเทศ
หมำยเหต ขอก ำหนดของผทสนใจ อำจรวมถงขอกฎหมำย ขอก ำหนด กฎระเบยบบงคบ และขอผกผนตำมสญญำ
4.3 Determining the scope of the information security management system
The organization shall determine the boundaries and applicability of the
4.3 การก าหนดขอบขายของระบบบรหารจดการความม นคงปลอดภยส าหรบสารสนเทศ
องคกรตองก ำหนดขอบเขตและกำรบงคบใชของระบบบรหำรจดกำรควำมมนคง
ISO/IEC 27001:2013 Requirements ขอก ำหนดระบบบรหำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ หนำ 4 / 38
information security management system to establish its scope.
When determining this scope, the organization shall consider:
a) the external and internal issues referred to in 4.1;
b) the requirements referred to in 4.2; and
c) interfaces and dependencies between activities performed by the organization, and those that are performed by other organizations.
The scope shall be available as documented information.
ปลอดภยส ำหรบสำรสนเทศ เพอจดตงขอบขำยของระบบ
เมอก ำหนดขอบขำยน องคกรตองพจำรณำ
a) ประเดนภำยนอกและภำยใน ทอำงถงในขอก ำหนด 4.1
b) ควำมตองกำร ทอำงถงในขอก ำหนด 4.2 และ
c) ควำมสมพนธเชอมโยงและขนตอกนระหวำงกจกรรมทองคกรด ำเนนงำนเอง และกจกรรมเหลำนน ทด ำเนนงำนโดยองคกรอน
ขอบขำยตองจดท ำเปนลำยลกษณอกษร
4.4 Information security management system
The organization shall establish, implement, maintain and continually improve an information security management system, in accordance with the requirements of this International Standard.
4.4 ระบบบรหารจดการความม นคงปลอดภยส าหรบสารสนเทศ
องคกรตองจดตง น ำไปปฏบต รกษำใหคงไว และปรบปรงพฒนำระบบบรหำรจดกำรควำมมนคงปลอดภยส ำหรบสำรสนเทศอยำงตอเนอง เพอใหสอดคลองกบขอก ำหนดของมำตรฐำนสำกลฉบบน
5 Leadership
5.1 Leadership and commitment
When determining this Top management shall demonstrate leadership and commitment with respect to the information security management system by:
a) ensuring the information security policy and the information security objectives are established and are compatible with the strategic direction of the organization;
b) ensuring the integration of the information security management system requirements into the organization’s processes;
5 ภาวะผน า
5.1 ภาวะผน าและพนธสญญา
ผบรหำรระดบสงตองแสดงใหเหนถงควำมเปนผน ำและพนธสญญำทมตอระบบบรหำรจดกำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ โดย
a) ท ำใหมนใจวำนโยบำยควำมมนคงปลอดภยส ำหรบสำรสนเทศ และวตถประสงคควำมมนคงปลอดภยส ำหรบสำรสนเทศไดจดท ำขน และ
สอดคลองกบทศทำงเชงกลยทธขององคกร
b) ท ำใหมนใจวำมกำรผสมผสำนขอก ำหนดระบบบรหำรจดกำรควำมมนคงปลอดภยส ำหรบสำรสนเทศเขำไปผนวกในกระบวนกำรตำงๆ ขององคกร
c) ท ำใหมนใจวำมทรพยำกรทจ ำเปนส ำหรบระบบบรหำรจดกำรควำมมนคง
ISO/IEC 27001:2013 Requirements ขอก ำหนดระบบบรหำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ หนำ 5 / 38
c) ensuring that the resources needed for the information security management system are available;
d) communicating the importance of effective information security management and of conforming to the information security management system requirements;
e) ensuring that the information security management system achieves its intended outcome(s);
f) directing and supporting persons to contribute to the effectiveness of the information security management system;
g) promoting continual improvement; and
h) supporting other relevant management roles to demonstrate their leadership as it applies to their areas of responsibility.
ปลอดภย
d) กำรสอสำรถงควำมส ำคญของประสทธผลในกำรบรหำรจดกำรควำมมนคง
ปลอดภยส ำหรบสำรสนเทศ และควำมสอดคลองกบขอก ำหนดของระบบบรหำรจดกำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ
e) ท ำใหมนใจวำระบบบรหำรจดกำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ
บรรลผลตำมทตงใจไว
f) กำรสงกำรและใหกำรสนบสนนผทมสวนรวมตอประสทธผลของระบบบรหำรจดกำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ
g) กำรสงเสรมกำรปรบปรงพฒนำอยำงตอเนอง
h) กำรสนบสนผอนทมบทบำทในกำรบรหำรทเกยวของ เพอแสดงควำมเปนผน ำตำมขอบเขตควำมรบผดชอบของบคคลเหลำนน
5.2 Policy
Top management shall establish an information security policy that:
a) is appropriate to the purpose of the organization;
b) includes information security objectives (see 6.2) or provides the framework for setting information security objectives;
c) includes a commitment to satisfy applicable requirements related to information security; and
d) includes a commitment to continual improvement of the information security management system.
The information security policy shall:
e) be available as documented information;
f) be communicated within the organization; and
5.2 นโยบาย
ผบรหำรระดบสงตองก ำหนดนโยบำยควำมมนคงปลอดภยส ำหรบสำรสนเทศซง
a) เหมำะสมตอวตถประสงคขององคกร
b) รวมถงวตถประสงคควำมมนคงปลอดภยส ำหรบสำรสนเทศ (ดขอก ำหนด 6.2) หรอมเคำโครงรำง (Framework) เพอก ำหนดวตถประสงคควำมมนคงปลอดภยส ำหรบสำรสนเทศ
c) รวมถงพนธสญญำ เพอใหเปนไปตำมขอก ำหนดตำงๆ ทเกยวของกบควำมมนคงปลอดภยส ำหรบสำรสนเทศ และ
d) รวมถงพนธสญญำ เพอกำรปรบปรงอยำงตอเนองของระบบบรหำรจดกำร
ควำมมนคงปลอดภยส ำหรบสำรสนเทศ
นโยบำยควำมมนคงปลอดภยส ำหรบสำรสนเทศ ตอง
e) เปนขอมลทจดท ำเปนลำยลกษณอกษร
ISO/IEC 27001:2013 Requirements ขอก ำหนดระบบบรหำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ หนำ 6 / 38
g) be available to interested parties, as appropriate. f) น ำไปสอสำรภำยในองคกร และ
g) จดใหแกผทสนใจตำมควำมเหมำะสม
5.3 Organizational roles, responsibilities and authorities
Top management shall ensure that the responsibilities and authorities for roles relevant to information security are assigned and communicated.
Top management shall assign the responsibility and authority for:
a) ensuring that the information security management system conforms to the requirements of this International Standard; and
b) reporting on the performance of the information security management system to top management.
NOTE Top management may also assign responsibilities and authorities for reporting performance of the information security management system within the organization.
5.3 บทบาท ความรบผดชอบ และอ านาจหนาท
ผบรหำรระดบสงตองมนใจวำ ควำมรบผดชอบและอ ำนำจหนำทส ำหรบบทบำททเกยวของกบควำมมนคงปลอดภยส ำหรบสำรสนเทศ ไดมกำรมอบหมำยและมกำรสอสำร
ผบรหำรระดบสงตองมอบหมำยควำมรบผดชอบและอ ำนำจหนำท ส ำหรบ
a) กำรท ำใหมนใจไดวำระบบบรหำรจดกำรควำมมนคงปลอดภยส ำหรบสำรสนเทศสอดคลองตำมขอก ำหนดของมำตรฐำนฉบบน และ
b) กำรรำยงำนถงประสทธภำพของระบบบรหำรจดกำรควำมมนคงปลอดภย
ส ำหรบสำรสนเทศตอผบรหำรระดบสง
หมำยเหต ผบรหำรระดบสงอำจมอบหมำยหนำทควำมรบผดชอบและอ ำนำจ
หนำทส ำหรบกำรรำยงำนประสทธภำพของระบบบรหำรจดกำรควำมมนคงปลอดภยส ำหรบสำรสนเทศภำยในองคกรไดเชนกน
6 Planning
6.1 Actions to address risks and opportunities
6.1.1 General
When planning for the information security management system, the organization shall consider the issues referred to in 4.1 and the requirements referred to in 4.2 and determine the risks and opportunities that need to be addressed to:
a) ensure the information security management system can achieve its
6 การวางแผน
6.1 การด าเนนการเพอจดการความเสยงและโอกาส
6.1.1 ท วไป
เมอท ำกำรวำงแผนส ำหรบระบบบรหำรจดกำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ องคกรตองพจำรณำถงประเดนตำงๆ ทอำงถงในขอก ำหนด 4.1
และขอก ำหนดตำงๆ ทอำงถงในขอก ำหนด 4.2 และก ำหนดควำมเสยงและโอกำสทจ ำเปนตองด ำเนนกำร เพอ
ISO/IEC 27001:2013 Requirements ขอก ำหนดระบบบรหำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ หนำ 7 / 38
intended outcome(s);
b) prevent, or reduce, undesired effects; and
c) achieve continual improvement
The organization shall plan:
d) actions to address these risks and opportunities; and
e) how to
1) integrate and implement the actions into its information security management system processes; and
2) evaluate the effectiveness of these actions.
a) ใหมนใจวำระบบบรหำรจดกำรควำมมนคงปลอดภยส ำหรบสำรสนเทศสำมำรถบรรลผลตำมทผลลพธทตงใจไว
b) ปองกนหรอลดผลกระทบทไมพงปรำรถณำ และ
c) ใหบรรลเปำหมำยของกำรปรบปรงอยำงตอเนอง
องคกรตองวำงแผน
d) กำรด ำเนนกำรเพอจดกำรกบควำมเสยงและโอกำส และ
e) วธกำร
1) ผนวกรวม และน ำกำรด ำเนนกำรไปปฏบตใหเขำกบกระบวนกำรของระบบบรหำรจดกำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ และ
2) ประเมนประสทธผลของกำรด ำเนนกำรดงกลำว
6.1.2 Information security risk assessment
The organization shall define and apply an information security risk assessment process that:
a) establishes and maintains information security risk criteria that include:
1) the risk acceptance criteria; and
2) criteria for performing information security risk assessments;
b) ensures that repeated information security risk assessments produce consistent, valid and comparable results;
c) identifies the information security risks:
1) apply the information security risk assessment process to identify risks associated with the loss of confidentiality, integrity and availability for information within the scope of the
6.1.2 การประเมนความเสยงดานความม นคงปลอดภยส าหรบสารสนเทศ
องคกรตองก ำหนดและประยกตใชกระบวนกำรประเมนควำมเสยงดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศ โดย
a) จดตงและรกษำเกณฑควำมเสยง (Risk Criteria) ดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศ ซงรวมถง
1) เกณฑกำรยอมรบควำมเสยง (Risk Acceptance Criteria) และ
2) เกณฑส ำหรบด ำเนนกำรประเมนควำมเสยงดำนควำมมนคงปลอดภย
ส ำหรบสำรสนเทศ
b) ท ำใหมนใจวำกำรประเมนควำมเสยงดงกลำวสำมำรถท ำซ ำและไดผลลพธทตรงกน ถกตอง และสำมำรถเปรยบเทยบได
c) ระบควำมเสยงดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศ
1) ประยกตใชกระบวนกำรประเมนควำมเสยงดำนควำมมนคงปลอดภย
ISO/IEC 27001:2013 Requirements ขอก ำหนดระบบบรหำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ หนำ 8 / 38
information security management system; and
2) identify the risk owners;
d) analyses the information security risks:
1) assess the potential consequences that would result if the risks identified in 6.1.2 c) 1) were to materialize;
2) assess the realistic likelihood of the occurrence of the risks identified in 6.1.2 c) 1); and
3) determine the levels of risk;
e) evaluates the information security risks:
1) compare the results of risk analysis with the risk criteria established in 6.1.2 a); and
2) prioritize the analysed risks for risk treatment.
The organization shall retain documented information about the information security risk assessment process.
ส ำหรบสำรสนเทศ เพอระบควำมเสยงทเกยวของกบกำรสญเสยควำมลบ ควำมถกตองสมบรณ และควำมพรอมใชงำนของสำรสนเทศ
ภำยในขอบเขตของระบบบรหำรจดกำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ และ
2) ระบผเปนเจำของควำมเสยง (Risk Owner)
d) วเครำะหควำมเสยงดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศ
1) ประเมนผลกระทบทเปนไปได ถำควำมเสยงทระบไวในขอก ำหนด 6.1.2 c) เกดขนจรง
2) ประเมนโอกำสทสมเหตผล ของกำรเกดควำมเสยงทระบไวในขอก ำหนด 6.1.2 c) และ
3) ก ำหนดระดบคำควำมเสยง
e) ประเมนควำมเสยงดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศ
1) เปรยบเทยบผลกำรวเครำะหควำมเสยงกบเกณฑควำมเสยงทสรำงขนในขอก ำหนด 6.1.2 a) และ
2) จดล ำดบควำมส ำคญของควำมเสยงทไดวเครำะหแลว เพอกำรจดกำรควำมเสยง
องคกรตองเกบรกษำขอมลทเปนลำยลกษณอกษร เกยวกบกระบวนกำรประเมน
ควำมเสยงดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศ
6.1.3 Information security risk treatment
The organization shall define and apply an information security risk treatment process to:
a) select appropriate information security risk treatment options, taking account of the risk assessment results;
b) determine all controls that are necessary to implement the information security risk treatment option(s) chosen;
6.1.3 การจดการความเสยงดานความม นคงปลอดภยส าหรบสารสนเทศ
องคกรตองก ำหนดและประยกตใชกระบวนกำรจดกำรควำมเสยงดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศ เพอ
a) เลอกตวเลอกของกำรจดกำรควำมเสยงดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศทเหมำะสม โดยพจำรณำจำกผลประเมนควำมเสยง
b) ก ำหนดมำตรกำรควบคม (Controls) ทงหมดทจ ำเปน เพอน ำไปใชตำม
ISO/IEC 27001:2013 Requirements ขอก ำหนดระบบบรหำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ หนำ 9 / 38
NOTE Organizations can design controls as required, or identify them from any source.
c) compare the controls determined in 6.1.3 b) above with those in Annex A and verify that no necessary controls have been omitted;
NOTE 1 Annex A contains a comprehensive list of control objectives and controls. Users of this International Standard are directed to Annex A to ensure that no necessary controls are overlooked
NOTE 2 Control objectives are implicitly included in the controls chosen. The control objectives and controls listed in Annex A are not exhaustive and additional control objectives and controls may be needed.
d) .produce a Statement of Applicability that contains the necessary controls (see 6.1.3 b) and c)) and justification for inclusions, whether they are implemented or not, and the justification for exclusions of controls from Annex A;
e) formulate an information security risk treatment plan; and f) obtain risk owners’ approval of the information security risk
treatment plan and acceptance of the residual information security risks.
The organization shall retain documented information about the information security risk treatment process.
NOTE The information security risk assessment and treatment process in this International Standard aligns with the principles and generic guidelines provided in ISO 31000[5].
ตวเลอกกำรจดกำรควำมเสยงดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศทไดเลอกไว
หมำยเหต องคกรสำมำรถออกแบบมำตรกำรควบคมตำมทตองกำร หรอระบมำตรกำรควบคมจำกแหลงอำงองใดๆ
c) เปรยบเทยบมำตรกำรควบคมทก ำหนดไวในขอก ำหนด 6.1.3 b) กบมำตรกำรควบคมใน Annex A และทวนสอบวำไมมมำตรกำรควบคมท
จ ำเปนใดๆ ไดละเวนออกไป
หมำยเหต 1 Annex A ประกอบดวย รำยกำรวตถประสงคของมำตรกำร
ควบคม และมำตรกำรควบคม ผใชมำตรฐำนฉบบน ไดรบกำรชแนะไปท Annex A เพอใหมนใจวำไมมมำตรกำรควบคมทจ ำเปนใดๆ ถกมองขำมไป
หมำยเหต 2 วตถประสงคของมำตรกำรควบคมถกรวมแฝงไวกบมำตรกำรควบคมทเลอก รำยกำรวตถประสงคของมำตรกำรควบคมและมำตรกำรควบคมใน Annex A ไมใชมำตรกำรควบคมทงหมดทงสน และกำรเพมเตม
วตถประสงคของมำตรกำรควบคม และมำตรกำรควบคมอนๆ อำจมควำมจ ำเปน
d) จดท ำเอกสำรแสดงกำรประยกตใช (Statement of Applicability) ประกอบดวย มำตรกำรควบคมทจ ำเปน (ดขอก ำหนด 6.1.3 b) และ c)) และเหตผลของกำรน ำมำใช ไมวำจะน ำไปด ำเนนกำรแลวหรอไมกตำม
และเหตผลของกำรละเวนมำตรกำรควบคมจำก Annex A
e) จดท ำแผนกำรจดกำรควำมเสยงดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศ และ
f) ขออนมตแผนกำรจดกำรควำมเสยงดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศ และกำรยอมรบควำมเสยงดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศทหลงเหลออย (Residual Risks) จำกผเปนเจำของควำมเสยง
องคกรตองเกบรกษำขอมลทเปนลำยลกษณอกษร เกยวกบกระบวนกำรจดกำรควำมเสยงดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศ
ISO/IEC 27001:2013 Requirements ขอก ำหนดระบบบรหำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ หนำ 10 / 38
หมำยเหต กระบวนกำรประเมนควำมเสยงและกระบวนกำรจดกำรควำมเสยงดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศในมำตรฐำนฉบบน สอดคลองกลบ
หลกกำรและแนวทำงโดยทวไปทระบไวในมำตรฐำน ISO 31000[5].
6.2 Information security objectives and planning to achieve them
The organization shall establish information security objectives at relevant functions and levels.
The information security objectives shall:
a) be consistent with the information security policy;
b) be measurable (if practicable);
c) take into account applicable information security requirements, and results from risk assessment and risk treatment;
d) be communicated; and
e) be updated as appropriate.
The organization shall retain documented information on the information security objectives.
When planning how to achieve its information security objectives, the organization shall determine:
f) what will be done;
g) what resources will be required;
h) who will be responsible;
i) when it will be completed; and
6.2 วตถประสงคความม นคงปลอดภยส าหรบสารสนเทศ และการวางแผนเพอการบรรลผล
องคกรตองจดตงวตถประสงคควำมมนคงปลอดภยส ำหรบสำรสนเทศทกำรปฏบตงำน (Functions) และระดบ (Levels) ทเกยวของ
วตถประสงคควำมมนคงปลอดภยส ำหรบสำรสนเทศ ตอง
a) สอดคลองกบนโยบำยควำมมนคงปลอดภยส ำหรบสำรสนเทศ
b) สำมำรถวดผลได (ถำปฏบตได)
c) พจำรณำถงขอก ำหนดตำงๆ ดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศ และผลลพธจำกกำรประเมนควำมเสยงและกำรจดกำรควำมเสยง
d) ไดรบกำรสอสำร และ
e) ไดรบกำรปรบปรงตำมควำมเหมำะสม
องคกรตองเกบรกษำขอมลทเปนลำยลกษณอกษร เกยวกบวตถประสงคดำน
ควำมมนคงปลอดภยส ำหรบสำรสนเทศ
เมอวำงแผนวธกำรเพอใหบรรลวตถประสงคดำนควำมมนคงปลอดภยส ำหรบ
สำรสนเทศ องคกรตองก ำหนด
f) กจกรรมทจะท ำใหเสรจ
g) ทรพยำกรตำงๆ ทจะตองกำร
h) ใครจะเปนผรบผดชอบ
i) เมอไหรทจะแลวเสรจ และ
ISO/IEC 27001:2013 Requirements ขอก ำหนดระบบบรหำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ หนำ 11 / 38
j) how the results will be evaluated. j) ผลลพธทไดจะประเมนอยำงไร
7 Support
7.1 Resources
The organization shall determine and provide the resources needed for the establishment, implementation, maintenance and continual improvement of the information security management system.
7 การสนบสนน
7.1 ทรพยากร
องคกรตองก ำหนด และจดหำทรพยำกรทจ ำเปนในกำรจดตง กำรน ำไปปฏบต และกำรรกษำใหคงไว และกำรปรบปรงพฒนำอยำงตอเนอง ของระบบบรหำร
จดกำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ
7.2 Competence
The organization shall:
a) determine the necessary competence of person(s) doing work under its control that affects its information security performance;
b) ensure that these persons are competent on the basis of appropriate education, training, or experience;
c) where applicable, take actions to acquire the necessary competence, and evaluate the effectiveness of the actions taken; and
d) retain appropriate documented information as evidence of competence.
NOTE Applicable actions may include, for example: the provision of training to, the mentoring of, or the reassignment of current employees; or the hiring or contracting of competent persons.
7.2 ความสามารถ
องคกรตอง
a) ก ำหนดควำมสำมำรถทจ ำเปนของบคลำกรทปฏบตงำนอยภำยใตกำรควบคมขององคกร ซงสงผลตอประสทธภำพดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศ
b) ท ำใหมนใจวำบคลำกรดงกลำวมควำมสำมำรถจำกพนฐำนทำงกำรศกษำ กำรฝกอบรม หรอประสบกำรณท ำงำนทเหมำะสม
c) ถำเหมำะสม ด ำเนนกำรเพอใหไดมำซงควำมสำมำรถทจ ำเปนนน และ
ประเมนประสทธผลของกำรด ำเนนกำร และ
d) เกบรกษำขอมลทเปนลำยลกษณอกษรขอมล เพอเปนหลกฐำนแสดงควำมสำมำรถ
หมำยเหต กำรด ำเนนกำรทเหมำะสม อำจรวมถง ตวอยำงเชน กำรจดฝกอบรม กำรมพเลยง หรอกำรมอบหมำยงำนใหใหมแกพนกงำนปจจบน หรอกำรวำจำง
งำนงำน หรอท ำสญญำจำงผทมควำมสำมำรถ
ISO/IEC 27001:2013 Requirements ขอก ำหนดระบบบรหำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ หนำ 12 / 38
7.3 Awareness
Persons doing work under the organization’s control shall be aware of:
a) the information security policy;
b) their contribution to the effectiveness of the information security management system, including the benefits of improved information security performance; and
c) the implications of not conforming with the information security management system requirements.
7.3 ความตระหนก
บคลำกรทปฏบตงำนภำยใตกำรควบคมขององคกร ตองตระหนกถง
a) นโยบำยควำมมนคงปลอดภยส ำหรบสำรสนเทศ
b) กำรมสวนรวมตอประสทธผลของระบบบรหำรจดกำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ รวมถงประโยชนทไดจำกกำรปรบปรงประสทธผลของระบบบรหำรจดกำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ
c) นยยะของควำมไมสอดคลองกบขอก ำหนดของระบบบรหำรจดกำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ
7.4 Communication
The organization shall determine the need for internal and external communications relevant to the information security management system including:
a) on what to communicate;
b) when to communicate;
c) with whom to communicate;
d) who shall communicate; and
e) the processes by which communication shall be effected.
7.4 การสอสาร
องคกรตองก ำหนดควำมจ ำเปนของกำรสอสำรทเกยวของกบระบบบรหำรจดกำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ ทงภำยในและภำยนอกองคกร รวมถง
a) สงทตองกำรสอสำร
b) เมอไรทจะสอสำร
c) สอสำรถงใคร
d) ใครเปนผสอสำร และ
e) กระบวนกำรทใชสอสำรใหเกดผล
7.5 Documented information
7.5.1 General
7.5 ขอมลทเปนลายลกษณอกษร
7.5.1 ท วไป
ISO/IEC 27001:2013 Requirements ขอก ำหนดระบบบรหำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ หนำ 13 / 38
The organization’s information security management system shall include:
a) documented information required by this International Standard; and
b) documented information determined by the organization as being necessary for the effectiveness of the information security management system.
NOTE The extent of documented information for an information security management system can differ from one organization to another due to:
1) size of organization and its type of activities, processes, products and services;
2) the complexity of processes and their interactions; and
3) the competence of persons.
ระบบบรหำรจดกำรควำมมนคงปลอดภยส ำหรบสำรสนเทศขององคกร ตองรวมถง
a) ขอมลเอกสำรทก ำหนดโดยมำตรฐำนฉบบน และ
b) ขอมลเอกสำรทก ำหนดโดยองคกรวำเปนสงทจ ำเปนตอประสทธผลของ
ระบบบรหำรจดกำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ
หมำยเหต ขอบเขต (Extent) ของขอมลเอกสำรทมกำรบนทกส ำหรบระบบ
บรหำรจดกำรควำมมนคงปลอดภยส ำหรบสำรสนเทศสำมำรถแตกตำงกนตำมแตละองคกร เนองจำก
1) ขนำดขององคกร และประเภทของกจกรรม กระบวนกำร ผลตภณฑ และบรกำร
2) ควำมซบซอนของกระบวนกำร และปฏสมพนธของกระบวนกำรเหลำนน
และ
3) ควำมสำมำรถของบคลำกร
7.5.2 Creating and updating
When creating and updating documented information the organization shall ensure appropriate:
a) identification and description (e.g. a title, date, author, or reference number);
b) format (e.g. language, software version, graphics) and media (e.g. paper, electronic); and
c) review and approval for suitability and adequacy.
7.5.2 การจดท าและการปรบปรง
เมอจดท ำและปรบปรงขอมลทมกำรบนทกไว องคกรตองมนใจ มควำม
เหมำะสมของ
a) กำรชบงและค ำอธบำย (เชน ชอเอกสำร วนท ผจดท ำ หรอเลขทอำงอง)
b) รปแบบ (เชน ภำษำทใช เวอรชนของซอฟตแวร กรำฟก) และสอบนทก (เชน กระดำษ อเลกทรอนกส) และ
c) กำรทบทวนและกำรอนมตอยำงเหมำะสม และเพยงพอ
7.5.3 Control of documented information 7.5.3 การควบคมขอมลทเปนลายลกษณอกษร
ISO/IEC 27001:2013 Requirements ขอก ำหนดระบบบรหำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ หนำ 14 / 38
Documented information required by the information security management system and by this International Standard shall be controlled to ensure:
a) it is available and suitable for use, where and when it is needed; and
b) it is adequately protected (e.g. from loss of confidentiality, improper use, or loss of integrity).
For the control of documented information, the organization shall address the following activities, as applicable:
c) distribution, access, retrieval and use;
d) storage and preservation, including the preservation of legibility;
e) control of changes (e.g. version control); and
f) retention and disposition.
Documented information of external origin, determined by the organization to be necessary for the planning and operation of the information security management system, shall be identified as appropriate, and controlled.
NOTE Access implies a decision regarding the permission to view the documented information only, or the permission and authority to view and change the documented information, etc.
ขอมลทเปนลำยลกษณอกษรซงก ำหนดขนโดยระบบบรหำรจดกำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ และตำมมำตรฐำนฉบบน ตองถกควบคม เพอให
มนใจวำ
a) พรอมใช และเหมำะสมตอกำรน ำไปใช ในสถำนท และในเวลำทจ ำเปนตอง
ใช และ
b) ไดรบกำรปกปองอยำงเพยงพอ (เชน จำกกำรสญเสยควำมลบ กำรใชงำนทไมเหมำะสม หรอกำรสญเสยควำมถกตองสมบรณ)
ส ำหรบกำรควบคมขอมลทเปนลำยลกษณอกษร องคกรตองระบกจกรรม ดงตอไปน ตำมควำมเหมำะสม
c) กำรแจกจำย กำรเขำถง กำรเรยกคน และกำรน ำไปใช
d) กำรจดเกบ และรกษำสภำพ รวมถงกำรคงไวใหสำมำรถอำนได
e) กำรควบคมกำรเปลยนแปลง (เชน กำรควบคมเวอรชน) และ
f) กำรเกบรกษำ และกำรท ำลำย
ขอมลเอกสำรทมำจำกแหลงภำยนอก (External Origin) ทก ำหนดโดยองคกร
วำเปนสงทจ ำเปนตอกำรวำงแผนและกำรด ำเนนงำนของระบบบรหำรจดกำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ ตองไดรบชบงตำมควำมเหมำะสม และ
ไดรบกำรควบคม
หมำยเหต กำรเขำถง หมำยควำมรวมถง กำรตดสนใจเกยวกบกำรไดรบอนญำต
ใหเรยกดขอมลเอกสำรเทำนน หรอกำรไดรบอนญำตและอ ำนำจใหเรยกดและเปลยนแปลงขอมล เปนตน
8 Operation
8.1 Operational planning and control
The organization shall plan, implement and control the processes
8 การปฏบตการ
8.1 การวางแผนปฏบตการและควบคม
องคกรตองวำงแผน น ำไปปฏบต และควบคมกระบวนกำรทจ ำเปนเพอให
ISO/IEC 27001:2013 Requirements ขอก ำหนดระบบบรหำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ หนำ 15 / 38
needed to meet information security requirements, and to implement the actions determined in 6.1. The organization shall also implement plans to achieve information security objectives determined in 6.2.
The organization shall keep documented information to the extent necessary to have confidence that the processes have been carried out as planned.
The organization shall control planned changes and review the consequences of unintended changes, taking action to mitigate any adverse effects, as necessary.
The organization shall ensure that outsourced processes are determined and controlled.
เปนไปตำมขอก ำหนดดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศ และปฏบตตำมสงทก ำหนดไวในขอก ำหนด 6.1 องคกรยงตองลงมอปฏบตตำมแผน
เพอใหบรรลวตถประสงคดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศทก ำหนดไวในขอก ำหนด 6.2
องคกรตองเกบขอมลทเปนลำยลกษณอกษรตำมปรมำณเทำทจ ำเปนเพอควำมมนใจวำ กระบวนกำรตำงๆ ดงกลำว มกำรด ำเนนงำนตำมแผนทไดวำงไว
องคกรตองควบคมกำรเปลยนแปลงตำมแผนทไดวำงไว (Planned Changes) และทบทวนผลทตำมมำของกำรเปลยนแปลงทไมไดตงใจ (Unintended Changes) เพอด ำเนนกำรลดผลกระทบดำนลบใดๆ ตำมควำมจ ำเปน
องคกรตองมนใจวำ กระบวนกำรทด ำเนนกำรโดยหนวยงำนภำยนอก ไดรบกำรระบ และควบคม
8.2 Information security risk assessment
The organization shall perform information security risk assessments at planned intervals or when significant changes are proposed or occur, taking account of the criteria established in 6.1.2 a).
The organization shall retain documented information of the results of the information security risk assessments.
8.2 การประเมนความเสยงดานความม นคงปลอดภยส าหรบ
สารสนเทศ
องคกรตองท ำกำรประเมนควำมเสยงดำนควำมมนคงปลอดภยส ำหรบ
สำรสนเทศตำมชวงเวลำทไดวำงแผนไว หรอเมอกำรเปลยนแปลงทมนยส ำคญถกเสนอใหพจำรณำหรอมเกดขน โดยพจำรณำตำมเกณฑทจดท ำขนในขอก ำหนด 6.1.2 a)
องคกรตองเกบรกษำขอมลทเปนลำยลกษณอกษร ทเปนผลลพธของกำรประเมนควำมเสยงดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศ
8.3 Information security risk treatment
The organization shall implement the information security risk treatment plan.
8.3 การจดการความเสยงดานความม นคงปลอดภยส าหรบสารสนเทศ
องคกรตองปฏบตตำมแผนกำรจดกำรควำมเสยงดำนควำมมนคงปลอดภย
ISO/IEC 27001:2013 Requirements ขอก ำหนดระบบบรหำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ หนำ 16 / 38
The organization shall retain documented information of the results of the information security risk treatment.
ส ำหรบสำรสนเทศ
องคกรตองเกบรกษำขอมลทเปนลำยลกษณอกษร ทเปนผลลพธของกำรจดกำรควำมเสยงดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศ
9 Performance evaluation
9.1 Monitoring, measurement, analysis and evaluation
The organization shall evaluate the information security performance and the effectiveness of the information security management system.
The organization shall determine:
a) what needs to be monitored and measured, including information security processes and controls;
b) the methods for monitoring, measurement, analysis and evaluation, as applicable, to ensure valid results;
NOTE The methods selected should produce comparable and reproducible results to be considered valid.
c) when the monitoring and measuring shall be performed;
d) who shall monitor and measure;
e) when the results from monitoring and measurement shall be analysed and evaluated; and
f) who shall analyse and evaluate these results.
The organization shall retain appropriate documented information as evidence of the monitoring and measurement results.
9 การประเมนผลการปฏบตงาน
9.1 การเฝาตดตาม ตรวจวด วเคราะห และประเมนผล
องคกรตองประเมนประสทธภำพของควำมมนคงปลอดภยส ำหรบสำรสนเทศ และประสทธผลของระบบบรหำรจดกำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ
องคกรตองก ำหนด
a) สงทจ ำเปนตองไดรบกำรเฝำตดตำมและตรวจวด ซงรวมถงกระบวนกำรและมำตรกำรควบคมดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศ
b) วธกำรส ำหรบกำรเฝำตดตำม ตรวจวด วเครำะห กำรประเมนผลทเหมำะสม
เพอใหมนใจวำผลทไดถกตอง
หมำยเหต วธกำรทเลอกใชควรใหผลลพธทถกตองทสำมำรถเปรยบเทยบ
ได และท ำซ ำได
c) เมอไรทตองเฝำตดตำมและวดผล
d) ใครตองเฝำตดตำมและวดผล
e) เมอไรทผลทไดจำกกำรเฝำตดตำมและวดผลตองน ำมำวเครำะหและประเมนผล และ
f) ใครตองวเครำะหและประเมนผลดงกลำว
องคกรตองเกบรกษำขอมลทเปนลำยลกษณอกษรอยำงเหมำะสม เพอเปนหลกฐำนแสดงผลลพธของกำรเฝำตดตำมและวดผล
ISO/IEC 27001:2013 Requirements ขอก ำหนดระบบบรหำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ หนำ 17 / 38
9.2 Internal audit
The organization shall conduct internal audits at planned intervals to provide information on whether the information security management system:
a) conform to
1) the organization’s own requirements for its information security management system; and
2) the requirements of this International Standard;
b) is effectively implemented and maintained.
The organization shall:
c) plan, establish, implement and maintain an audit programme(s), including the frequency, methods, responsibilities, planning requirements and reporting. The audit programme(s) shall take into consideration the importance of the processes concerned and the results of previous audits;
d) define the audit criteria and scope for each audit;
e) select auditors and conduct audits that ensure objectivity and the impartiality of the audit process;
f) ensure that the results of the audits are reported to relevant management; and
g) retain documented information as evidence of the audit programme(s) and the audit results.
9.2 การตรวจประเมนภายใน
องคกรตองด ำเนนกำรตรวจประเมนภำยในตำมรอบระยะเวลำทก ำหนด เพอให ขอมลทแสดงวำระบบบรหำรจดกำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ
a) สอดคลองกบ
1) ขอก ำหนดขององคกรเองส ำหรบระบบบรหำรจดกำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ และ
2) ขอก ำหนดของมำตรฐำนฉบบน
b) ไดน ำไปปฏบตและรกษำใหคงไวอยำงมประสทธผล
องคกรตอง
c) วำงแผน จดตง น ำไปปฏบต และรกษำใหคงไวของแผนงำนกำรตรวจ
ประเมน ซงรวมถงควำมถ วธกำร หนำทควำมรบผดชอบ ขอก ำหนดของกำรวำงแผน และกำรรำยงำนผล โดยแผนงำนกำรตรวจประเมนตองพจำรณำถงควำมส ำคญของกระบวนกำรทเกยวของและผลทไดจำกกำร
ตรวจประเมนครงกอน
d) ก ำหนดเกณฑกำรตรวจประเมน และขอบเขตส ำหรบกำรตรวจประเมนแตละครง
e) คดเลอกผตรวจประเมนและด ำเนนกำรตรวจประเมน ทมนใจไดถงควำมเปนกลำงและควำมเปนธรรมของกระบวนกำรตรวจประเมน
f) มนใจวำผลทไดจำกกำรตรวจประเมนไดน ำไปรำยงำนตอผบรหำรท
เกยวของ และ
g) เกบรกษำขอมลทเปนลำยลกษณอกษร เพอเปนหลกฐำนแสดงแผนงำนกำรตรวจประเมนและผลทไดจำกกำรตรวจประเมน
9.3 Management review 9.3 การทบทวนของฝายบรหาร
ISO/IEC 27001:2013 Requirements ขอก ำหนดระบบบรหำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ หนำ 18 / 38
Top management shall review the organization’s information security management system at planned intervals to ensure its continuing suitability, adequacy and effectiveness.
The management review shall include consideration of:
a) the status of actions from previous management reviews;
b) changes in external and internal issues that are relevant to the information security management system;
c) feedback on the information security performance, including trends in:
1) nonconformities and corrective actions;
2) monitoring and measurement results;
3) audit results; and
4) fulfillment of information security objectives;
d) feedback from interested parties;
e) results of risk assessment and status of risk treatment plan; and
f) opportunities for continual improvement.
The outputs of the management review shall include decisions related to continual improvement opportunities and any needs for changes to the information security management system.
The organization shall retain documented information as evidence of the results of management reviews.
ผบรหำรระดบสงตองทบทวนระบบบรหำรจดกำรควำมมนคงปลอดภยส ำหรบสำรสนเทศขององคกรตำมรอบระยะเวลำทก ำหนด เพอใหมนใจถงควำม
เหมำะสม เพยงพอ และประสทธผลของระบบ
กำรทบทวนของฝำยบรหำร ตองรวมถงกำรพจำรณำ
a) สถำนะของกำรด ำเนนงำนจำกกำรทบทวนของฝำยบรหำรครงกอน
b) กำรเปลยนแปลงของประเดนภำยในและภำยนอกทเกยวของกบระบบ
บรหำรจดกำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ
c) ผลตอบกลบจำกประสทธภำพของควำมมนคงปลอดภยส ำหรบสำรสนเทศ รวมถงแนวโนม
1) ควำมไมสอดคลอง และกำรปฏบตกำรแกไข
2) ผลลพธของกำรเฝำตดตำมและวดผล
3) ผลลพธจำกกำรตรวจประเมน และ
4) ควำมส ำเรจของวตถประสงคดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศ
d) ผลตอบกลบจำกผทสนใจ
e) ผลลพธจำกกำรประเมนควำมเสยง และสถำนะของแผนกำรจดกำรควำมเสยง และ
f) โอกำสส ำหรบกำรปรบปรงพฒนำอยำงตอเนอง
ผลลพธกำรทบทวนของฝำยบรหำร ตองรวมถง กำรตดสนใจทเกยวกบกำรปรบปรงพฒนำอยำงตอเนอง และควำมจ ำเปนใดๆ เพอกำรเปลยนแปลงตอ
ระบบบรหำรจดกำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ
องคกรตองเกบรกษำขอมลทเปนลำยลกษณอกษร เพอเปนหลกฐำนแสดง
ผลลพธกำรทบทวนของฝำยบรหำร
10 Improvement 10 การปรบปรงพฒนา
ISO/IEC 27001:2013 Requirements ขอก ำหนดระบบบรหำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ หนำ 19 / 38
10.1 Nonconformity and corrective action
When a nonconformity occurs, the organization shall:
a) react to the nonconformity, and as applicable
1) take action to control and correct it; and
2) deal with the consequences;
b) evaluate the need for action to eliminate the causes of nonconformity, in order that it does not recur or occur elsewhere, by:
1) reviewing the nonconformity
2) determining the causes of the nonconformity; and
3) determining if similar nonconformities exist, or could potentially occur;
c) implement any action needed;
d) review the effectiveness of any corrective action taken; and
e) make changes to the information security management system, if necessary.
Corrective actions shall be appropriate to the effects of the nonconformities encountered.
The organization shall retain documented information as evidence of:
f) the nature of the nonconformities and any subsequent actions taken, and
g) the results of any corrective action.
10.1 ความไมสอดคลองและการปรบปรงแกไข
เมอควำมไมสอดคลองเกดขน องคกรตอง
a) ตอบสนองตอควำมไมสอดคลอง และตำมควำมเหมำะสม
1) ด ำเนนกำรเพอควบคมและแกไข และ
2) รบมอกบผลกระทบทตำมมำ
b) ประเมนควำมจ ำเปนส ำหรบด ำเนนกำรขจดสำเหตของควำมไมสอดคลอง
เพอไมใหควำมไมสอดคลองเกดขนซ ำ หรอไมเกดขนทอนๆ โดย
1) ทบทวนควำมไมสอดคลอง
2) ระบสำเหตของควำมไมสอดคลอง และ
3) ระบ ถำควำมไมสอดคลองทคลำยกนมอย หรอสำมำรถมโอกำสเกดขนได
c) ด ำเนนกำรปฏบตทจ ำเปน
d) ทบทวนประสทธผลของกำรปฏบตกำรแกไข และ
e) ท ำกำรเปลยนแปลงระบบบรหำรจดกำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ ถำจ ำเปน
กำรปฏบตกำรแกไขตองเหมำะสมตอผลกระทบของควำมไมสอดคลองทพบ
องคกรตองเกบรกษำขอมลทเปนลำยลกษณอกษร เพอเปนหลกฐำนแสดง
f) ลกษณะของควำมไมสอดคลอง และกำรปฏบตใดๆ ทไดด ำเนนกำร และ
g) ผลลพธของกำรปฏบตกำรแกไข
ISO/IEC 27001:2013 Requirements ขอก ำหนดระบบบรหำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ หนำ 20 / 38
10.2 Continual improvement
The organization shall continually improve the suitability, adequacy and effectiveness of the information security management system.
10.2 การปรบปรงพฒนาอยางตอเนอง
องคกรตองท ำกำรปรบปรงพฒนำควำมเหมำะสม เพยงพอ และประสทธผลของระบบบรหำรจดกำรควำมมนคงปลอดภยส ำหรบสำรสนเทศอยำงตอเนอง
ISO/IEC 27001:2013 Requirements ขอก ำหนดระบบบรหำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ หนำ 21 / 38
A.5 Information security policies นโยบายความม นคงปลอดภยส าหรบสารสนเทศ
A.5.1 Management direction for information security ทศทางการบรหารส าหรบความม นคงปลอดภยส าหรบสารสนเทศ
วตถประสงค เพอก ำหนดทศทำงและใหกำรสนบสนนดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศตำมขอก ำหนดทำงธรกจกฏหมำยและระเบยบขอบงคบทเกยวของ
A.5.1.1 Policies for information security
นโยบำยส ำหรบควำมมนคงปลอดภยส ำหรบสำรสนเทศ
มำตรกำรควบคม
ชดนโยบำยดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศ ตองมกำรก ำหนด อนมตโดยผบรหำร เผยแพรและสอสำรไปยง
พนกงำน และหนวยงำนภำยนอกทเกยวของ
A.5.1.2 Review of the policies for information security กำรทบทวนนโยบำยควำมมนคงปลอดภยส ำหรบสำรสนเทศ
มำตรกำรควบคม
ชดนโยบำยดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศ ตองถกทบทวนตำมรอบระยะเวลำทก ำหนด หรอเมอมกำร
เปลยนแปลงทมนยส ำคญกบองคกร เพอใหมนใจวำในควำมเหมำะสม เพยงพอ และประสทธผลทคงไวอยำงตอเนอง
A.6 Organization of information security โครงสรางดานความม นคงปลอดภยส าหรบสารสนเทศขององคกร
Annex A
(Normative)
Reference control objectives and controls
The control objectives and controls listed in Table A.1 are directly
derived from and aligned with those listed in ISO/IEC 27002:2013[1],
Clauses 5 to 18 and are to be used in context with Clause 6.1.3.
Table A.1 — Control objectives and controls
Annex A
(บรรทดฐำน)
วตถประสงคของมาตรการควบคม และมาตรการควบคมอางอง
วตถประสงคของมำตรกำรควบคม (Control Objectives) และมำตรกำรควบคม
(Controls) ทมรำยกำรอยในตำรำง A.1 ไดมำโดยตรงจำกและสอดคลองกบ
รำยกำรทมอยในมำตรฐำน ISO/IEC 27002:2013[1] ขอก ำหนด 5 ถง 18
และถกใชในขอก ำหนด 6.1.3
ตาราง A.1 – วตถประสงคของมาตรการควบคม และมาตรการควบคม
ISO/IEC 27001:2013 Requirements ขอก ำหนดระบบบรหำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ หนำ 22 / 38
A.6.1 Internal organization โครงสรางภายในองคกร
วตถประสงค เพอจดตงโครงรำงกำรบรหำรจดกำรในกำรรเรมและควบคมกำรน ำไปปฏบตและกำรด ำเนนงำนดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศภำยในองคกร
A.6.1.1 Information security roles and responsibilities บทบำทและหนำทควำมรบผดชอบดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศ
มำตรกำรควบคม
หนำทควำมรบผดชอบดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศทงหมด ตองมกำรก ำหนดและ
มอบหมำยงำน
A.6.1.2 Segregation of duties กำรแบงงำนและหนำทควำมรบผดชอบ
มำตรกำรควบคม
งำนและหนำทรบผดชอบทขดกนตองแบงแยกเพอลดโอกำสในกำรเปลยนแปลงโดยไมไดรบอนญำต หรอ
โดยไมไดตงใจ หรอกำรใชทรพยสนขององคกรผดวตถประสงค
A.6.1.3 Contact with authorities กำรตดตอหนวยงำนผมอ ำนำจ
มำตรกำรควบคม
กำรตดตอกบหนวยงำนผมอ ำนำจทเกยวของอยำงเหมำะสม ตองถกรกษำไว
A.6.1.4 Contact with special interest groups กำรตดตอกบกลมทมควำมสนใจเปนพเศษ
มำตรกำรควบคม
กำรตดตอกบกลมทมควำมสนใจเปนพเศษในเรองเดยวกน กลมผเช ยวชำญดำนควำมมนคงปลอดภย
(Specialist Security Forums) และสมำคมวชำชพตองถกรกษำไว
A.6.1.5 Information security in project management ควำมมนคงปลอดภยส ำหรบสำรสนเทศในกำรบรกำรโครงกำร
มำตรกำรควบคม
ควำมมนคงปลอดภยส ำหรบสำรสนเทศ ตองมก ำหนดไวในกำรบรหำรโครงกำรไมวำจะเปนโครงกำร
ประเภทใดกตำม
A.6.2 Mobile devices and teleworking อปกรณพกพาและการปฏบตงานจากระยะไกล
วตถประสงค เพอใหมนใจถงควำมมนคงปลอดภยของกำรปฏบตงำนจำกระยะไกลและกำรใชงำนอปกรณพกพำ
A.6.2.1 Mobile device policy นโยบำยส ำหรบอปกรณพกพำ
มำตรกำรควบคม
นโยบำยและมำตรกำรสนบสนนดำนควำมมนคงปลอดภย ตองมกำรน ำมำใชเพอบรหำรจดกำรควำมเสยง
ทมำจำกกำรใชงำนอปกรณพกพำ
A.6.2.2 Teleworking กำรปฏบตงำนจำกระยะไกล
มำตรกำรควบคม
นโยบำยและมำตรกำรสนบสนนดำนควำมมนคงปลอดภย ตองมกำรน ำไปปฏบตเพอปองกนขอมลทไดรบ
กำรเขำถง กำรประมวลผล หรอกำรจดเกบจำกสถำนททมกำรปฏบตงำนจำกระยะไกล
A.7 Human resource security ความม นคงปลอดภยดานทรพยากรมนษย
A.7.1 Prior to employment กอนการจางงาน
ISO/IEC 27001:2013 Requirements ขอก ำหนดระบบบรหำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ หนำ 23 / 38
วตถประสงค เพอใหมนใจวำพนกงำน (Employees) และผทองคกรท ำสญญำจำง (Contractors) เขำใจควำมรบผดชอบของตน และเหมำะสมตอบทบำททไดรบกำรพจำรณำ
A.7.1.1 Screening กำรคดกรอง
มำตรกำรควบคม
กำรตรวจสอบประวตควำมเปนมำของผสมครงำนทงหมดตองด ำเนนกำร โดยใหสอดคลองกบกฎหมำย
ระเบยบขอบงคบ และจรยธรรมทเกยวของ และเหมำะสมตอขอก ำหนดทำงธรกจ ชนควำมลบขอมลทจะ
เขำถง และควำมเสยงทเกยวของ
A.7.1.2 Terms and conditions of employment ขอตกลงและเงอนไขกำรจำงงำน
มำตรกำรควบคม
ขอตกลงและเงอนไขในสญญำจำงงำนของพนกงำนและผทท ำสญญำจำงตองกลำวถงหนำทควำม
รบผดชอบของผรบกำรวำจำง และขององคกรในดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศ
A.7.2 During employment ในระหวางการจางงาน
วตถประสงค เพอใหมนใจวำพนกงำนและผทองคกรท ำสญญำจำงตระหนกถงและปฏบตตำมหนำทควำมรบผดชอบดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศของตน
A.7.2.1 Management responsibilities หนำทควำมรบผดชอบของผบรหำร
มำตรกำรควบคม
ผบรหำรตองก ำหนดใหพนกงำนและผท ำสญญำจำงทงหมดปฏบตตำมนโยบำยและขนตอนปฏบตงำนดำน
ควำมมนคงปลอดภยส ำหรบสำรสนเทศทองคกรจดท ำข น
A.7.2.2 Information security awareness, education and training ควำมตระหนก กำรใหควำมร และกำรฝกอบรมดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศ
มำตรกำรควบคม
พนกงำนขององคกรทกคนและผท ำสญญำจำงทเกยวของ ตองไดรบกำรสรำงควำมตระหนก กำรใหควำมร
และกำรฝกอบรมอยำงเหมำะสม และรบทรำบนโยบำยและขนตอนปฏบตงำนขององคกรทปรบปรง ท
เกยวของกบงำนทรบผดชอบอยำงสม ำเสมอ
A.7.2.3 Disciplinary process กระบวนกำรทำงวนย
มำตรกำรควบคม
ตองมกระบวนกำรทำงวนยอยำงเปนทำงกำรและสอสำรใหรบทรำบ เพอลงโทษพนกงำนทฝำฝน ละเมด
ควำมมนคงปลอดภยส ำหรบสำรสนเทศ
A.7.3 Termination and change of employment การส นสภาพหรอการเปลยนแปลงการจางงาน
วตถประสงค เพอปองกนผลประโยชนขององคกรซงเปนสวนหนงของกระบวนกำรเปลยนแปลงหรอส นสภำพกำรวำจำง
A.7.3.1 Termination or change of employment responsibilities
กำรส นสภำพหรอกำรเปลยนหนำทควำมรบผดชอบของกำรวำจำง
มำตรกำรควบคม
ควำมรบผดชอบและหนำทดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศทยงคงไวภำยหลงกำรส นสภำพ
หรอกำรเปลยนแปลงกำรวำจำงงำน ตองมก ำหนดไวและสอสำรใหพนกงำนและผท ำสญญำจำง และน ำไป
บงคบใช
A.8 Asset management การบรหารจดการทรพยสน
ISO/IEC 27001:2013 Requirements ขอก ำหนดระบบบรหำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ หนำ 24 / 38
A.8.1 Responsibility for assets หนาทความรบผดชอบตอทรพยสน
วตถประสงค เพอระบทรพยสนขององคกร และก ำหนดหนำทควำมรบผดชอบในกำรปองกนทรพยสนอยำงเหมำะสม
A.8.1.1 Inventory of assets บญชทะเบยนทรพยสน
มำตรกำรควบคม
ทรพยสนทเกยวของกบสำรสนเทศและอปกรณประมวลผลขอมลตองถกระบ และบญชทะเบยนทรพยสน
ตองจดท ำข นและรกษำไว
A.8.1.2 Ownership of assets ควำมเปนเจำของทรพยสน
มำตรกำรควบคม
ทรพยสนในบญชทะเบยนทรพยสนตองมกำรระบควำมเปนเจำของ
A.8.1.3 Acceptable use of assets กำรใชงำนทรพยสนอยำงเหมำะสม
มำตรกำรควบคม
กฎกำรใชงำนอยำงเหมำะสมของสำรสนเทศ และทรพยสนทเกยวของกบสำรสนเทศและอปกรณ
ประมวลผลขอมล ตองถกก ำหนดอยำงเปนลำยลกษณอกษรและน ำไปปฏบต
A.8.1.4 Return of assets กำรคนทรพยสน
มำตรกำรควบคม
พนกงำนและผใชงำนจำกหนวยงำนภำยนอกทกคน ตองคนทรพยสนขององคกรทงหมดทตนถอครองไว
เมอส นสภำพกำรวำจำงงำน ส นสดสญญำหรอขอตกลง
A.8.2 Information classification การจดหมวดหมสารสนเทศ
วตถประสงค เพอใหมนใจไดวำสำรสนเทศไดรบระดบของกำรปองกนอยำงเหมำะสมตำมควำมส ำคญทมตอองคกร
A.8.2.1 Classification of information
กำรจดหมวดหมของสำรสนเทศ
มำตรกำรควบคม
สำรสนเทศตองไดรบกำรแยกหมวดหมตำมคณคำ (Value) ขอก ำหนดทำงกฎหมำย ควำมส ำคญ
(Criticality) และควำมออนไหว (Sensitivity) ตอกำรถกเปดเผยหรอเปลยนแปลงโดยไมไดรบอนญำต
A.8.2.2 Labelling of information กำรท ำปำยชบงสำรสนเทศ
มำตรกำรควบคม
ชดขนตอนปฏบตงำนทเหมำะสมส ำหรบกำรท ำปำยชบงสำรสนเทศ ตองจดท ำและน ำไปปฏบตตำมให
สอดคลองกบวธกำรจดหมวดหมสำรสนเทศทองคกรก ำหนดไว
A.8.2.3 Handling of assets กำรจดกำรทรพยสน
มำตรกำรควบคม
ขนตอนปฏบตงำนส ำหรบกำรจดกำรทรพยสน ตองจดท ำและน ำไปปฏบตใหสอดคลองกบวธกำรจด
หมวดหมสำรสนเทศทองคกรก ำหนดไว
A.8.3 Media handling การจดการสอบนทกขอมล
วตถประสงค เพอปองกนกำรเปดเผย กำรเปลยนแปลง กำรก ำจด หรอกำรท ำลำยขอมลทจดเกบบนสอบนทกโดยไมไดรบอนญำต
ISO/IEC 27001:2013 Requirements ขอก ำหนดระบบบรหำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ หนำ 25 / 38
A.8.3.1 Management of removable media กำรบรหำรจดกำรสอบนทกทสำมำรถเคลอนยำยได
มำตรกำรควบคม
ขนตอนปฏบตงำนส ำหรบกำรบรหำรจดกำรสอบนทกทสำมำรถเคลอนยำยได ตองมกำรน ำไปปฏบตให
สอดคลองกบวธกำรจดหมวดหมสำรสนเทศทองคกรก ำหนดไว
A.8.3.2 Disposal of media กำรก ำจดสอบนทกขอมล
มำตรกำรควบคม
สอบนทกขอมลตองถกก ำจดอยำงมนคงปลอดภย เมอไมมควำมจ ำเปนตองใชงำนอกตอไป ตำมขนตอน
ปฏบตงำนอยำงเปนทำงกำร
A.8.3.3 กำรขนยำยสอบนทก Physical media transfer
มำตรกำรควบคม
สอบนทกทมขอมลตองไดรบกำรปองกนจำกกำรถกเขำถงโดยไมไดรบอนญำต กำรนไปใชงำนผด
วตถประสงค หรอกำรท ำใหเกดควำมเสยหำยระหวำงขนยำย
A.9 Access control การควบคมการเขาถง
A.9.1 Business requirements of access control ขอก าหนดทางธรกจส าหรบควบคมการเขาถง
วตถประสงค เพอจ ำกดกำรเขำถงสำรสนเทศและอปกรณประมวลผลขอมล
A.9.1.1 Access control policy นโยบำยควบคมกำรเขำถง
มำตรกำรควบคม
นโยบำยควบคมกำรเขำถงตองจดท ำข นเปนลำยลกษณอกษร และทบทวนตำมขอก ำหนดทำงธรกจและ
ขอก ำหนดดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศ
A.9.1.2 กำรเขำถงเครอขำยและบรกำรเครอขำย Access to networks and network services
มำตรกำรควบคม
ผใชงำนตองจดใหเขำถงเครอขำยและบรกำรเครอขำยตำมทไดรบกำรอนญำตใหใชงำนตำมทก ำหนดไว
เทำนน
A.9.2 User access management การบรหารจดการการเขาถงของผใชงาน
วตถประสงค เพอใหแนใจวำผทไดรบอนญำตสำมำรถเขำถง และเพอปองกนผไมไดรบอนญำตในกำรเขำถงระบบและบรกำร
A.9.2.1 User registration and de-registration กำรลงทะเบยน และกำรถอนทะเบยนผใชงำน
มำตรกำรควบคม
กระบวนกำรลงทะเบยนและถอนทะเบยนผใชงำนอยำงเปนทำงกำร ตองน ำไปปฏบตเพอท ำใหเกดกำร
มอบสทธในกำรเขำถง
A.9.2.2 User access provisioning กำรใหกำรเขำถงของผใชงำน
มำตรกำรควบคม
กระบวนกำรใหกำรเขำถงของผใชงำนอยำงเปนทำงกำร ตองน ำไปปฏบต เพอมอบ หรอถอนสทธในกำร
เขำถงส ำหรบทกประเภทผใชงำนของทกระบบและทกบรกำร
ISO/IEC 27001:2013 Requirements ขอก ำหนดระบบบรหำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ หนำ 26 / 38
A.9.2.3 Management of privileged access rights กำรบรหำรจดกำรสทธกำรเขำถงพเศษ
มำตรกำรควบคม
กำรใหและใชงำนของสทธกำรเขำถงพเศษตองถกจ ำกดและควบคม
A.9.2.4 Management of secret authentication information of users กำรบรหำรจดกำรขอมลลบทใชพสจนตวตนของผใชงำน
มำตรกำรควบคม
กำรใหขอมลลบทใชพสจนตวตน ตองถกควบคมผำนกระบวนกำรบรหำรจดกำรอยำงเปนทำงกำร
A.9.2.5 Review of user access rights กำรทบทวนสทธกำรเขำถงของผใชงำน
มำตรกำรควบคม
เจำของทรพยสนตองทบทวนสทธในกำรเขำถงของผใชงำนตำมรอบระยะเวลำทก ำหนด
A.9.2.6 Removal or adjustment of access rights กำรลบหรอปรบเปลยนสทธกำรเขำถง
มำตรกำรควบคม
สทธของพนกงำนและผใชงำนจำกหนวยงำนภำยนอกทกคน ส ำหรบเขำถงสำรสนเทศและอปกรณ
ประมวลผลขอมล ตองถกถอนเมอส นสภำพกำรวำจำง ส นสดสญญำ หรอขอตกลง หรอปรบปรงเมอมกำร
เปลยนแปลง
A.9.3 User responsibilities หนาทความรบผดชอบของผใชงาน
วตถประสงค เพอท ำใหผใชงำนมควำมรบผดชอบในกำรปกปองขอมลทใชพสจนตวตน
A.9.3.1 Use of secret authentication information กำรใชขอมลลบของกำรพสจนตวตน
มำตรกำรควบคม
ผใชงำนตองปฏบตตำมแนวปฏบตขององคกรในกำรใชขอมลลบทใชในกำรพสจนตวตน
A.9.4 System and application access control การควบคมการเขาถงระบบและโปรแกรมประยกต (Application)
วตถประสงค เพอปองกนกำรเขำถงระบบและโปรแกรมประยกต (Application) โดยผไมไดรบอนญำต
A.9.4.1 Information access restriction กำรจ ำกดกำรเขำถงสำรสนเทศ
มำตรกำรควบคม
กำรเขำถงสำรสนเทศและฟงกชนของระบบของโปรแกรมประยกต (Application) ตองถกจ ำกดตำม
นโยบำยควบคมกำรเขำถง
A.9.4.2 Secure log-on procedures ขนตอนกำรเขำสอยำงมนคงปลอดภย
มำตรกำรควบคม
กรณทก ำหนดโดยนโยบำยควบคมกำรเขำถง กำรเขำถงระบบและโปรแกรมประยกต (Application) ตำงๆ
ตองไดรบกำรควบคมโดยขนตอนกำรเขำสระบบอยำงมนคงปลอดภย
A.9.4.3 Password management system ระบบบรหำรจดกำรรหสผำน
มำตรกำรควบคม
ระบบบรหำรจดกำรรหสผำน ตองมปฏสมพนธ (Interactive) และตองมนใจไดถงรหสผำนทมคณภำพ
ISO/IEC 27001:2013 Requirements ขอก ำหนดระบบบรหำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ หนำ 27 / 38
A.9.4.4 Use of privileged utility programs กำรใชงำนโปรแกรมยทลตพเศษ
มำตรกำรควบคม
กำรใชงำนโปรแกรมยทลต อำจจะสำมำรถขำมมำตรกำรควบคมของระบบและแอพลเคชนได จงตองถก
จ ำกดและควบคมอยำงเครงครด
A.9.4.5 Access control to program source code กำรควบคมกำรเขำถงซอรส โคดของโปรแกรม
มำตรกำรควบคม
กำรเขำถงซอรสโคดของโปรแกรมตองถกจ ำกด
A.10 Cryptography การเขารหสขอมล
A.10.1 Cryptography controls มาตรการควบคมการเขารหสขอมล
วตถประสงค เพอใหมนใจไดวำกำรใชงำนกำรเขำรหสขอมลเปนไปอยำงเหมำะสมและมประสทธผล เพอปองกนควำมลบ (Confidentiality) กำรพสจนตวตน (Authentication) และ/หรอควำมถกตองครบถวน (Integrity) ของสำรสนเทศ
A.10.1.1 Policy on the use of cryptographic controls นโยบำยกำรใชมำตรกำรควบคมกำรเขำรหสขอมล
มำตรกำรควบคม
นโบำยกำรใชมำตรกำรควบคมกำรเขำรหสขอมลเพอปกปองสำรสนเทศ ตองจดท ำข นและน ำไปปฏบต
A.10.1.2 Key management กำรบรหำรจดกำรกญแจ
มำตรกำรควบคม
นโยบำยกำรใชงำน กำรปองกน และอำยกำรใชงำนกญแจเขำรหสขอมล (Cryptographic Keys) ตอง
จดท ำข น และน ำไปปฏบตตลอดวงจรชวตของกญแจ
A.11 Physical and environmental security ความม นคงปลอดภยทางกายภาพและสภาพแวดลอม
A.11.1 Secure areas บรเวณทตองรกษาความม นคงปลอดภย
วตถประสงค เพอปองกนกำรเขำถงทำงกำยภำพโดยไมไดรบอนญำต ควำมเสยหำย กำรแทรกแซงตอสำรสนเทศและอปกรณประมวลผลขอมลขององคกร
A.11.1.1 Physical security perimeter
ควำมมนคงปลอดภยของแนวกนทำงกำยภำพ
มำตรกำรควบคม
แนวกนเขตควำมมนคงปลอดภยทำงกำยภำพ ตองถกก ำหนด และน ำไปใชเพอปกปองพนทดงกลำว ทม
สำรสนเทศและอปกรณประมวลผลขอมล ทงทมควำมออนไหว (Sensitive) และทมควำมส ำคญ (Critical)
อยภำยใน
A.11.1.2 Physical entry controls มำตรกำรควบคมกำรเขำ-ออกพนท
มำตรกำรควบคม
บรเวณทตองรกษำควำมมนคงปลอดภยตองไดรบกำรปกปองโดยมำตรกำรควบคมทำงเขำ-ออกอยำง
เหมำะสม เพอใหมนใจวำเฉพำะผทไดรบอนญำตเทำนน จงอนญำตใหเขำถงได
ISO/IEC 27001:2013 Requirements ขอก ำหนดระบบบรหำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ หนำ 28 / 38
A.11.1.3 Securing offices, rooms and facilities ควำมมนคงปลอดภยของส ำนกงำน หองท ำงำน และอำคำรสถำนท
มำตรกำรควบคม
ควำมมนคงปลอดภยทำงกำยภำพของส ำนกงำน หองท ำงำน และอำคำรสถำนท ตองไดรบกำรออกแบบ
และน ำไปประยกตใช
A.11.1.4 Protecting against external and environmental threats กำรปองกนภยคกคำมจำกภำยนอกและสภำพแวดลอม
มำตรกำรควบคม
กำรปองกนทำงกำยภำพจำกภยพบตทำงธรรมชำต กำรบกรกทไมพงประสงค หรออบตเหต ตองไดรบกำร
ออกแบบและน ำไปประยกตใช
A.11.1.5 Working in secure areas กำรปฏบตงำนในบรเวณทตองรกษำควำมมนคงปลอดภย
มำตรกำรควบคม
ขนตอนปฏบตงำนในบรเวณทตองรกษำควำมปลอดภย ตองไดรบกำรออกแบบและน ำไปประยกตใช
A.11.1.6 Delivery and loading area พนทจดสงและรบของ
มำตรกำรควบคม
ต ำแหนงทเขำถงได เชน พนทจดสงและรบของ และต ำแหนงอนๆ ทผท ไมไดรบอนญำตสำมำรถเขำถง
พนทองคกรได ตองถกควบคม และถำเปนไปได ใหแยกออกจำกบรเวณทมอปกรณประมวลผลขอมล
ตงอย เพอหลกเลยงกำรเขำถงไมไดรบอนญำต
A.11.2 Equipment อปกรณ
วตถประสงค เพอปองกนกำรสญหำย ควำมเสยหำย กำรขโมยหรอท ำใหเปนอนตรำย (Compromise) ตอทรพยสน และท ำใหเกดกำรหยดชะงกในกำรด ำเนนงำนขององคกร
A.11.2.1 Equipment siting and protection กำรจดวำงและกำรปองกนอปกรณ
มำตรกำรควบคม
อปกรณตองไดรบกำรจดวำงและปองกน เพอลดควำมเสยงจำกภยคกคำมและอนตรำยจำกสภำพแวดลอม
และโอกำสในกำรเขำถงโดยไมไดรบอนญำต
A.11.2.2 Supporting utilities ระบบสำธำรณปโภคสนบสนน
มำตรกำรควบคม
อปกรณตองไดรบกำรปองกนจำกควำมลมเหลวของกระแสไฟฟำ (Power Failure) และกำรหยดชะงกอนๆ
(disruption) ทมสำเหตมำจำกควำมผดพลำดของระบบสำธำรณปโภคสนบสนน
A.11.2.3 Cabling security ควำมมนคงปลอดภยของกำรเดนสำยไฟฟำ สำยสอสำร และสำยสญญำณ
มำตรกำรควบคม
สำยไฟฟำและสำยโทรคมนำคมทสงขอมลหรอสนบสนนบรกำรทำงขอมล ตองไดรบกำรปกปองจำกกำร
ขดขวำงกำรท ำงำน (Interception) กำรแทรกแซงสญญำณ (Interference) หรอกำรท ำใหเสยหำย
(Damage)
A.11.2.4 Equipment maintenance กำรบ ำรงรกษำอปกรณ
มำตรกำรควบคม
อปกรณตองไดรบกำรบ ำรงรกษำอยำงถกตอง เพอใหมนใจถงควำมพรอมใชงำนและควำมถกตองในกำร
ท ำงำน
ISO/IEC 27001:2013 Requirements ขอก ำหนดระบบบรหำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ หนำ 29 / 38
A.11.2.5 Removal of assets กำรน ำทรพยสนออก
มำตรกำรควบคม
อปกรณ สำรสนเทศ หรอซอฟตแวร ตองไมน ำออกนอกสถำนทโดยไมไดรบอนญำต
A.11.2.6 Security of equipment and assets off-premises ควำมมนคงปลอดภยของอปกรณและทรพยสนทใชงำนอยนอกส ำนกงำน
มำตรกำรควบคม
มำตรกำรดำนควำมปลอดภย ตองน ำมำใชกบทรพยสนทน ำออกไปใชงำนนอกส ำนกงำน โดยพจำรณำถง
ควำมเสยงตำงๆ ทมตอทรพยสนเมอน ำไปปฏบตงำนนอกสถำนท
A.11.2.7 Secure disposal or reuse of equipment กำรก ำจดอปกรณหรอน ำมำใชซ ำอยำงมนคงปลอดภย
มำตรกำรควบคม
อปกรณทงหมด ทมส อบนทกขอมล ตองไดรบกำรตรวจสอบ เพอใหมนใจวำขอมลส ำคญและซอฟตแวร
ลขสทธท ตดตงอย ไดถกลบทง หรอบนทกทบอยำงมนคงปลอดภย กอนน ำไปท ำลำยหรอน ำไปใชซ ำ
A.11.2.8 Unattended user equipment
อปกรณทไมมผดแล
มำตรกำรควบคม
ผใชงำนตองมนใจวำอปกรณทไมมผดแลไดรบกำรปองกนอยำงเหมำะสม
A.11.2.9 Clear desk and clear screen policy นโยบำยกำรเกบโตะท ำงำน และลบหนำจอใหวำง
มำตรกำรควบคม
นโยบำยกำรเกบโตะท ำงำนส ำหรบกระดำษเอกสำรและสอบนทกขอมลทเคลอนยำยได และนโยบำยกำร
ลบหนำจอใหวำง ส ำหรบอปกรณประมวลผลขอมล ตองมกำรน ำไปปฏบต
A.12 Operation security ความม นคงปลอดภยในการปฏบตงาน
A.12.1 Operation procedures and responsibilities ข นตอนการปฏบตงานและหนาทความรบผดชอบ
วตถประสงค เพอใหมนใจวำกำรปฏบตงำนของอปกรณประมวลผลขอมลมควำมถกตองและมนคงปลอดภย
A.12.1.1 Documented operating procedures ขนตอนกำรปฏบตงำนทเปนลำยลกษณอกษร
มำตรกำรควบคม
ขนตอนกำรปฏบตงำนตองมกำรจดท ำเปนลำยลกษณอกษร และมพรอมใชแกผใชงำนทกคนทจ ำเปนตอง
ใช
A.12.1.2 Change management
กำรบรหำรจดกำรควำมเปลยนแปลง
มำตรกำรควบคม
กำรเปลยนแปลงขององคกร กระบวนกำรทำงธรกจ อปกรณประมวลผลขอมล และระบบตำงๆ ทม
ผลกระทบตอควำมมนคงปลอดภยส ำหรบสำรสนเทศ ตองไดรบกำรควบคม
A.12.1.3 Capacity management กำรบรหำรจดกำรขดควำมสำมำรถ
มำตรกำรควบคม
กำรใชงำนทรพยำกร ตองไดรบกำรเฝำระวง ปรบแตง คำดกำรณควำมตองกำรของขดควำมสำมำรถใน
อนำคต เพอใหมนใจในประสทธภำพของระบบตำมทตองกำร
ISO/IEC 27001:2013 Requirements ขอก ำหนดระบบบรหำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ หนำ 30 / 38
A.12.1.4 Separation of development, testing and operational environments กำรแบงแยกสภำพแวดลอมของกำรพฒนำ กำรทดสอบ และกำรท ำงำนจรงออกจำกกน
มำตรกำรควบคม
สภำพแวดลอมของกำรพฒนำ กำรทดสอบ และกำรท ำงำนจรง ตองถกแบงแยกออกจำกกน เพอลดควำม
เสยงของกำรเขำถงโดยไมไดรบอนญำต หรอกำรเปลยนแปลงสภำพแวดลอมของกำรปฏบตงำนจรง
A.12.2 Protection from malware การปองกนโปรแกรมไมพงประสงค
วตถประสงค เพอใหมนใจวำสำรสนเทศและอปกรณประมวลผลขอมลไดรบกำรปองกนจำกโปรแกรมไมพงประสงค
A.12.2.1 Controls against malware มำตรกำรควบคมโปรแกรมไมพงประสงค
มำตรกำรควบคม
มำตรกำรตรวจจบ กำรปองกน และกำรกคน เพอปองกนจำกโปรแกรมไมพงประสงค ตองน ำไปปฏบต
รวมกบกำรสรำงควำมตระหนกแกผใชงำนอยำงเหมำะสม
A.12.3 Backup การส ารองขอมล
วตถประสงค เพอปองกนกำรสญหำย/สญเสยขอมล
A.12.3.1 Information backup กำรส ำรองขอมล
มำตรกำรควบคม
กำรส ำรองสำรสนเทศ ซอฟตแวร และอมเมจของระบบ ตองมกำรปฏบต และทดสอบอยำงสม ำเสมอ
สอดคลองกบนโยบำยส ำรองขอมลทก ำหนดไว
A.12.4 Logging and monitoring การบนทกลอกและการเฝาระวง
วตถประสงค เพอบนทกเหตกำรณและกำรสรำง (generate) หลกฐำน
A.12.4.1 Event logging กำรบนทกลอกของเหตกำรณ
มำตรกำรควบคม
ลอกเหตกำรณทบนทกกจกรรมของผใชงำน ขอยกเวน (Exception) ขอผดพลำด (Fault) และเหตกำรณ
ดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศ ตองมกำรจดท ำข น จดเกบ และทบทวนอยำงสม ำเสมอ
A.12.4.2 Protection of log information กำรปองกนขอมลลอก
มำตรกำรควบคม
อปกรณบนทกลอกและขอมลลอก ตองไดรบกำรปองกนจำกกำรเปลยนแปลงเพอท ำลำย (Tempering)
และเขำถงโดยไมไดรบอนญำต
A.12.4.3 Administrator and operator logs ลอกของผดแลระบบและเจำหนำทปฏบตกำร
มำตรกำรควบคม
กจกรรมของผดแลระบบและเจำหนำทปฏบตกำร ตองไดรบกำรบนทกลอก และขอมลลอกตองไดรบกำร
ปองกนและทบทวนอยำงสม ำเสมอ
ISO/IEC 27001:2013 Requirements ขอก ำหนดระบบบรหำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ หนำ 31 / 38
A.12.4.4 Clock synchronization กำรประสำนเวลำของนำฬกำ
มำตรกำรควบคม
นำฬกำของระบบทงหมดทเกยวของกบอปกรณประมวลผลขอมลภำยในองคกร หรอโดเมนควำมมนคง
(Security Domain) ตองไดรบกำรประสำนเวลำใหตรงกบแหลงเทยบเวลำอำงองเดยวกน
A.12.5 Control of operation software การควบคมซอฟตแวรปฏบตการ
วตถประสงค เพอใหมนใจวำระบบปฏบตกำรมควำมถกตองครบถวน
A.12.5.1 Installation of software on operational systems กำรตดตงซอฟตแวรบนระบบปฏบตกำร
มำตรกำรควบคม
ขนตอนปฏบตงำนตองน ำมำปฏบตเพอควบคมกำรตดตงซอฟตแวรบนระบบปฏบตกำร
A.12.6 Technical vulnerability management การบรหารจดการชองโหวทางเทคนค
วตถประสงค เพอปองกนกำรแสวงหำประโยชนจำกชองโหวทำงเทคนค
A.12.6.1 Management of technical vulnerabilities กำรบรหำรจดกำรชองโหวทำงเทคนค
มำตรกำรควบคม
ขอมลเกยวกบชองโหวทำงเทคนคของระบบสำรสนเทศทใชงำน ตองไดรบภำยในเวลำททนทวงท กำร
เปดเผยชองโหวดงกลำวขององคกรตองถกประเมนและระบมำตรกำรทเหมำะสมเพอจดกำรควำมเสยงท
เกยวของ
A.12.6.2 Restrictions on software installation กำรจ ำกดกำรตดตงซอฟตแวร
มำตรกำรควบคม
กฏบรหำรงำนของกำรตดตงซอฟตแวรโดยผใชงำน ตองจดท ำข นและน ำไปปฏบต
A.12.7 Information systems audit consideration
การพจารณาส าหรบการตรวจสอบระบบสารสนเทศ
วตถประสงค เพอลดผลกระทบจำกกจกรรมกำรตรวจประเมนระบบกำรด ำเนนงำน
A.12.7.1 Information systems audit controls มำตรกำรควบคมของกำรตรวจสอบระบบสำรสนเทศ
มำตรกำรควบคม
ขอก ำหนดและกจกรรมของกำรตรวจตรวจสอบทเกยวของกบกำรทวนสอบระบบปฏบตกำร ตองมกำร
วำงแผนอยำงระมดระวง และไดรบควำมเหนชอบเพอลดกำรหยดชะงกตอกระบวนกำรทำงธรกจใหนอย
ทสด
A.13 Communication security ความม นคงปลอดภยดานการสอสาร
A.13.1 Network security management การบรหารจดการความปลอดภยส าหรบเครอขาย
วตถประสงค เพอใหมนใจถงกำรปองกนสำรสนเทศบนเครอขำยและอปกรณประมวลผลทสนบสนนเครอขำย
ISO/IEC 27001:2013 Requirements ขอก ำหนดระบบบรหำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ หนำ 32 / 38
A.13.1.1 มำตรกำรควบคมของเครอขำย Network controls
มำตรกำรควบคม
เครอขำยตองไดรบกำรบรหำรจดกำรและควบคมเพอปองกนสำรสนเทศบนระบบและโปรแกรมประยกต
(Application)
A.13.1.2 Security of network services ควำมมนคงปลอดภยของบรกำรเครอขำย
มำตรกำรควบคม
กลไกดำนควำมมนคงปลอดภย ระดบกำรใหบรกำร และขอก ำหนดของกำรบรกำรจดกำรของบรกำร
เครอขำยทงหมด ตองไดรบกำรระบ และรวมอยในขอตกลงกำรใหบรกำรเครอขำย ไมวำจะเปนกำร
ใหบรกำรโดยหนวยงำนภำยใน (In-house) หรอหนวยงำยภำยนอก (Outsourced)
A.13.1.3 Segregation in networks กำรแบงแยกเครอขำย
มำตรกำรควบคม
กลมของบรกำรดำนสำรสนเทศ ผใชงำน และระบบสำรสนเทศตำงๆ ตองไดรบกำรแบงแยกบนเครอขำย
A.13.2 Information transfer การถายโอนขอมล
วตถประสงค เพอรกษำควำมมนคงปลอดภยของสำรสนเทศทถกถำยโอนภำยในองคกร และทถำยโอนไปยงหนวยงำนภำยนอกใหคงไว
A.13.2.1 Information transfer policies and procedures นโยบำยและขนตอนปฏบตงำนในกำรถำยโอนขอมล
มำตรกำรควบคม
นโยบำย ขนตอนปฏบตงำน และมำตรกำรควบคมตำงๆ อยำงเปนทำงกำร ตองมไวเพอปองกนกำรถำย
โอนสำรสนเทศผำนกำรใชอปกรณสอสำรทกประเภท
A.13.2.2 Agreements on information transfer ขอตกลงในกำรถำยโอนขอมล
มำตรกำรควบคม
ขอตกลงตองมก ำหนดถงกำรถำยโอนสำรสนเทศทำงธรกจอยำงมนคงปลอดภยระหวำงองคกรและ
หนวยงำนภำยนอก
A.13.2.3 Electronic messaging กำรสงขอควำมอเลกทรอนกส
มำตรกำรควบคม
ขอมลทมกำรสงผำนทำงกำรสงขอควำมอเลกทรอนกส ตองไดรบกำรปกปองอยำงเหมำะสม
A.13.2.4 ขอตกลงกำรรกษำควำมลบหรอกำรไมเปดเผยควำมลบConfidentiality or nondisclosure agreements
มำตรกำรควบคม
ขอก ำหนดส ำหรบกำรรกษำควำมลบ หรอกำรไมเปดเผยควำมลบทสะทอนใหเหนถงควำมจ ำเปนของ
องคกรในกำรปกปองขอมล ตองไดรบกำรระบ ทบทวนอยำงสม ำเสมอ และจดท ำเปนลำยลกษณอกษร
A.14 System acquisition, development and maintenance การจดหา การพฒนา และการบ ารงรกษาระบบ
A.14.1 Security requirements of information systems ขอก าหนดดานความม นคงปลอดภยของระบบสารสนเทศ
วตถประสงค เพอใหมนใจวำควำมมนคงปลอดภยส ำหรบสำรสนเทศเปนสวนทไดผนวกรวมเขำไปในระบบสำรสนเทศตลอดวงจรชวต และยงรวมถงขอก ำหนดของระบบสำรสนเทศทไดใหบรกำรผำนเครอขำยสำธำรณะ
ISO/IEC 27001:2013 Requirements ขอก ำหนดระบบบรหำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ หนำ 33 / 38
A.14.1.1 Information security requirements analysis and specification กำรวเครำะหและระบขอก ำหนดดำนมนคงปลอดภยส ำหรบสำรสนเทศ
มำตรกำรควบคม
ขอก ำหนดดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศทเกยวของตองรวมไวในขอก ำหนดของระบบ
สำรสนเทศใหม หรอกำรพฒนำปรบปรงระบบสำรสนเทศเดม
A.14.1.2 Securing application services on public networks กำรรกษำควำมมนคงปลอดภยของบรกำรโปรแกรมประยกต (Application) บนเครอขำยสำธำรณะ
มำตรกำรควบคม
สำรสนเทศทอยในกำรใหบรกำรโปรแกรมประยกต (Application) บนเครอขำยสำธำรณะ ตองไดรบกำร
ปกปองจำกกำรฉอโกง กำรโตแยงสญญำ (Contract dispute) และกำรเปดเผยและกำรเปลยนแปลงโดย
ไมไดรบอนญำต
A.14.1.3 Protecting application services transactions กำรปองกนธรกรรมของบรกำรโปรแกรมประยกต
(Application)
มำตรกำรควบคม
สำรสนเทศทเกยวของกบธรกรรมของบรกำรโปรแกรมประยกต (Application) ตองไดรบกำรปองกนจำก
กำรสอสญญำณทไมสมบรณ (Incomplete Transmission) กำรจดเสนทำงผด (Mis-routing) กำรปรบแก
ขอควำมโดยไมไดรบอนญำต กำรเปดเผยโดยไมไดรบอนญำต กำรท ำส ำเนำหรอเลนขอควำมซ ำ
(Replay) โดยไมไดรบอนญำต
A.14.2 Security in development and support process
ความม นคงปลอดภยในกระบวนการพฒนาและกระบวนการสนบสนน
วตถประสงค เพอใหมนใจวำควำมมนคงปลอดภยส ำหรบสำรสนเทศไดถกออกแบบและน ำไปปฏบตตลอดวงจรชวตของกำรพฒนำระบบสำรสนเทศ
A.14.2.1 Secure development policy นโยบำยส ำหรบกำรพฒนำอยำงมนคงปลอดภย
มำตรกำรควบคม
กฎส ำหรบกำรพฒนำซอฟตแวรและระบบงำน ตองจดท ำข นและน ำไปประยกตใชกบกำรพฒนำตำงๆ
ภำยในองคกร
A.14.2.2 System change control procedures ขนตอนปฏบตงำนกำรควบคมควำมเปลยนแปลงของระบบ
มำตรกำรควบคม
ควำมเปลยนแปลงของระบบภำยในวงจรชวตของกำรพฒนำ ตองไดรบกำรควบคมโดยใชขนตอน
ปฏบตงำนควบคมควำมเปลยนแปลงอยำงเปนทำงกำร
A.14.2.3 Technical review of applications after operating platform changes กำรทบทวนทำงเทคนคของโปรแกรมประยกต (Application) ภำยหลงกำรเปลยนแปลงแพลตฟอรมปฏบตกำร
มำตรกำรควบคม
เมอแพลตฟอรมปฏบตกำร (Operating Platforms) ถกเปลยนแปลง โปรแกรมประยกตทมควำมส ำคญ
ทำงธรกจ ตองไดรบกำรทบทวน และทดสอบ เพอใหมนใจวำไมมผลกระทบในทำงลบตอกำรปฏบตงำน
(Operation) และควำมมนคงปลอดภยขององคกร
A.14.2.4 Restrictions on changes to software packages กำรจ ำกดกำรเปลยนแปลงกบซอฟตแวรส ำเรจรป
มำตรกำรควบคม
กำรปรบปรงซอฟตแวรส ำเรจรป ตองไดรบกำรหำมกระท ำ กำรจ ำกดกำรเปลยนแปลงทงทจ ำเปนและ
ทงหมดตองถกควบคมอยำงเครงครด
ISO/IEC 27001:2013 Requirements ขอก ำหนดระบบบรหำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ หนำ 34 / 38
A.14.2.5 Secure system engineering principles หลกกำรทำงวศวกรรมระบบควำมมนคงปลอดภย
มำตรกำรควบคม
หลกกำรของวศวกรรมระบบควำมมนคงปลอดภย ตองมกำรจดตงข น จดท ำเปนลำยลกษณอกษร รกษำให
คงไว และน ำไปใชกบกำรประยกตใชระบบสำรสนเทศใดๆ กตำม
A.14.2.6 Secure development environment สภำพแวดลอมกำรพฒนำทมนคงปลอดภย
มำตรกำรควบคม
องคกรตองจดตงและปองกนสภำพแวดลอมกำรพฒนำอยำงเหมำะสม ส ำหรบกำรพฒนำและบรณำกำร
ระบบ โดยใหครอบคลมตลอดทงวงจรชวตของกำรพฒนำระบบ
A.14.2.7 Outsourced development กำรพฒนำโดยหนวยงำนภำยนอก
มำตรกำรควบคม
องคกรตองก ำกบดแลและเฝำตดตำมกจกรรมกำรพฒนำระบบทด ำเนนกำรโดยหนวยงำนภำยนอก
A.14.2.8 System security testing
กำรทดสอบควำมมนคงปลอดภยของระบบ
มำตรกำรควบคม
กำรทดสอบคณสมบตดำนควำมมนคงปลอดภย (Security Functionality) ตองด ำเนนกำรในระหวำงกำร
พฒนำ
A.14.2.9 System acceptance testing กำรทดสอบตรวจรบระบบ
มำตรกำรควบคม
โปรแกรมกำรทดสอบตรวจรบและเกณฑทเกยวของ ตองจดท ำข นส ำหรบระบบสำรสนเทศใหม ระบบท
ยกระดบขน (Upgrade) และเวอรชนใหมของระบบ
A.14.3 Test data ขอมลทดสอบ
วตถประสงค เพอใหมนใจวำขอมลทใชในกำรทดสอบไดรบกำรปกปอง
A.14.3.1 Protection of test data กำรปกปองขอมลทดสอบ
มำตรกำรควบคม
ขอมลทดสอบตองถกคดเลอกอยำงระมดระวง และไดรบกำรปกปองและควบคม
A.15 Supplier relationships ความสมพนธกบผขาย
A.15.1 Information security in supplier relationships
ความม นคงปลอดภยส าหรบสารสนเทศในความสมพนธกบผขาย
วตถประสงค เพอใหมนใจวำทรพยสนขององคกรทสำมำรถเขำถงไดโดยหนวยงำนภำยนอกไดรบกำรปองกน
A.15.1.1 Information security policy for supplier relationships นโยบำยควำมมนคงปลอดภยส ำหรบสำรสนเทศส ำหรบควำมสมพนธกบผขำย
มำตรกำรควบคม
ขอก ำหนดดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศเพอจดกำรควำมเสยงทเกยวของกบกำรเขำถง
ทรพยสนองคกรโดยหนวยงำนภำยนอก ตองไดรบกำรตกลงรวมกนกบหนวยงำนภำยนอก และจดท ำเปน
ลำยลกษณอกษร
ISO/IEC 27001:2013 Requirements ขอก ำหนดระบบบรหำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ หนำ 35 / 38
A.15.1.2 Addressing security within supplier agreements กำรระบขอก ำหนดในขอตกลงกบผขำย
มำตรกำรควบคม
ขอก ำหนดทงหมดทเกยวของดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศ ตองจดท ำข น และตกลงรวมกน
กบผขำยแตละรำย ทอำจท ำกำรเขำถง ประมวลผล จดเกบ สอสำรกบสำรสนเทศขององคกร หรอ
ใหบรกำรสวนประกอบของโครงสรำงพนฐำนดำนเทคโนโลยสำรสนเทศ (IT Infrastructure
Components) ส ำหรบสำรสนเทศขององคกร
A.15.1.3 Information and communication technology supply chain หวงโซอปทำนของเทคโนโลยสำรสนเทศและกำรสอสำร
มำตรกำรควบคม
ขอตกลงกบผขำย ตองรวมถงขอก ำหนดทระบถงควำมเสยงดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศท
เกยวของกบสำรสนเทศและบรกำรเทคโนโลยกำรสอสำรทกอใหเกดหวงโซอปทำน (Supply Chain)
A.15.2 Supplier service delivery management การบรหารจดการการสงมอบบรการของผขาย
วตถประสงค เพอรกษำระดบของควำมมนคงปลอดภยส ำหรบสำรสนเทศ และระดบของกำรสงมอบบรกำร ทเหนชอบรวมกนใหคงไวตำมขอตกลงกบผขำย
A.15.2.1 Monitoring and review of supplier services กำรตดตำมและทบทวนบรกำรของผขำย
มำตรกำรควบคม
องคกรตองตดตำม ทบทวน และตรวจประเมนกำรสงมอบบรกำรของผขำยอยำงสม ำเสมอ
A.15.2.2 Managing changes to supplier services กำรบรหำรจดกำรควำมเปลยนแปลงบรกำรของผขำย
มำตรกำรควบคม
กำรเปลยนแปลงกำรใหบรกำรของผขำย รวมถงกำรรกษำใหคงไว และกำรปรบปรงนโยบำย ขนตอน
ปฏบตงำน และมำตรกำรควบคมดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศทมอย ตองไดรบกำรบรหำร
จดกำร โดยพจำรณำถงควำมส ำคญของสำรสนเทศ ระบบ และกระบวนกำรทำงธรกจทเกยวของ และตอง
ประเมนควำมเสยงซ ำ
A.16 Information security incident management การบรหารจดการเหตการณดานความม นคงปลอดภยส าหรบสารสนเทศ
A.16.1 Management of information security incident and improvements การบรหารจดการเหตการณดานความม นคงปลอดภยส าหรบสารสนเทศและการปรบปรงพฒนา
วตถประสงค เพอมนใจถงวธกำรทสม ำเสมอและมประสทธภำพในกำรบรหำรจดกำรเหตกำรณดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศ รวมถงกำรสอสำรเกยวกบจดออนและสถำนกำรณดำนควำมมนคงปลอดภย
A.16.1.1 Responsibilities and procedures หนำทควำมรบผดชอบและขนตอนปฏบตงำน
มำตรกำรควบคม
หนำทควำมรบผดชอบของผบรหำรและขนตอนปฏบตงำน ตองจดท ำข นเพอใหมนใจถงกำรตอบสนองได
อยำงรวดเรว (Quick) มประสทธผล (Effective) และเปนระเบยบแบบแผน (Orderly) ตอเหตกำรณดำน
ควำมมนคงปลอดภยส ำหรบสำรสนเทศ
ISO/IEC 27001:2013 Requirements ขอก ำหนดระบบบรหำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ หนำ 36 / 38
A.16.1.2 Reporting information security events กำรรำยงำนเหตกำรณดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศ
มำตรกำรควบคม
สถำนกำรณควำมมนคงปลอดภยส ำหรบสำรสนเทศ ตองถกรำยงำนผำนชองทำงกำรบรหำรจดกำรท
เหมำะสมอยำงรวดเรวเทำทท ำได
A.16.1.3 Reporting information security weaknesses กำรรำยงำนจดออนดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศ
มำตรกำรควบคม
พนกงำนและผท ำสญญำจำงทใชงำนระบบและบรกำรสำรสนเทศขององคกร ตองท ำกำรจดบนทก และ
รำยงำนขอสงเกตหรอจดออนดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศทนำสงสยใดๆ ในระบบหรอ
บรกำรตำงๆ
A.16.1.4 Assessment of and decision on information security events กำรประเมนและตดสนใจตอเหตกำรณดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศ
มำตรกำรควบคม
สถำนกำรณ (Events) ควำมมนคงปลอดภยส ำหรบสำรสนเทศ ตองถกประเมนและถกตดสนใจ ถำ
สถำนกำรณดงกลำวถกจดหมวดหมเปนเหตกำรณ (Incidents) ดำนควำมมนคงปลอดภยส ำหรบ
สำรสนเทศ
A.16.1.5 Response to information security incidents กำรตอบสนองตอเหตกำรณดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศ
มำตรกำรควบคม
เหตกำรณดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศ ตองไดรบกำรตอบสนองตำมขนนตอนปฏบตงำนท
จดท ำเปนลำยลกษณอกษร
A.16.1.6 Learning from information security incidents กำรเรยนรจำกเหตกำรณดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศ
มำตรกำรควบคม
ควำมรทไดรบจำกกำรวเครำะหและกำรแกปญหำเหตกำรณควำมมนคงปลอดภยส ำหรบสำรสนเทศ ตองถก
น ำไปใชเพอลดโอกำสหรอผลกระทบของเหตกำรณในอนำคต
A.16.1.7 Collection of evidence กำรเกบรวบรวมหลกฐำน:
มำตรกำรควบคม
องคกรตองก ำหนดขนตอนปฏบตงำนและน ำมำใชในกำรระบ (Identification), กำรเกบรวบรวม
(Collection) กำรจดหำ (Acquisition) กำรเกบรกษำ (Preservation) สำรสนเทศทสำมำรถน ำมำเปน
หลกฐำน
A.17 Information security aspect of business continuity management ความม นคงปลอดภยส าหรบสารสนเทศในแงมมของการบรหารจดการความตอเนองทางธรกจ
A.17.1 Information security continuity ความตอเนองดานความม นคงปลอดภยส าหรบสารสนเทศ
วตถประสงค ควำมตอเนองดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศ ตองถกฝงลงไปในระบบบรหำรจดกำรควำมตอเนองทำงธรกจขององคกร
A.17.1.1 Planning information security continuity กำรวำงแผนควำมตอเนองของควำมมนคงปลอดภยส ำหรบสำรสนเทศ
มำตรกำรควบคม
องคกรตองระบขอก ำหนดของตน ส ำหรบควำมมนคงปลอดภยส ำหรบสำรสนเทศขององคกร และควำมม
ตอเนองของกำรบรหำรจดกำรควำมมนคงปลอดภยส ำหรบสำรสนเทศภำยใตสถำนกำรณทไมพงประสงค
เชน ในชวงวกฤต หรอภยพบต
ISO/IEC 27001:2013 Requirements ขอก ำหนดระบบบรหำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ หนำ 37 / 38
A.17.1.2 Implementing information security continuity กำรน ำไปปฏบตดำนควำมตอเนองของควำมมนคงปลอดภยส ำหรบสำรสนเทศ
มำตรกำรควบคม
องคกรตองจดตงข น จดท ำเปนลำยลกษณอกษร น ำไปปฏบต และรกษำกระบวนกำร ขนตอนปฏบตงำน
และมำตรกำรควบคม เพอใหมนใจถงระดบควำมตอเนองของควำมมนคงปลอดภยส ำหรบสำรสนเทศท
ตองกำรในระหวำงสถำนกำรณทไมพงประสงค
A.17.1.3 Verify, review and evaluate information security continuity ทวนสอบ ทบทวน และประเมนควำมตอเนองดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศ
มำตรกำรควบคม
องคกรตองทวนสอบมำตรกำรควำมตอเนองดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศทจดท ำข นและ
น ำไปปฏบตตำมรอบระยะเวลำทก ำหนด เพอใหมนวำยงคงมำตรกำรเหลำนนยงคงใชไดสมเหตสมผล และ
มประสทธผลในระหวำงสถำนกำรณทไมพงประสงค
A.17.2 Redundancies การส ารองซ าซอน
วตถประสงค เพอใหมนใจวำอปกรณประมวลผลขอมลมควำมพรอมใชงำน
A.17.2.1 Availability of information processing facilities ควำมพรอมใชงำนของอปกรณประมวลผลขอมล
มำตรกำรควบคม
อปกรณประมวลผลขอมล ตองมกำรส ำรองซ ำซอนไวอยำงเพยงพอ เพอใหเปนไปตำมขอก ำหนดดำน
ควำมพรอมใชงำน
A.18 Compliance การปฏบตตามขอก าหนด
A.18.1 Compliance with legal and contractual requirements การปฏบตตามขอก าหนดดานกฎหมายและสญญา
วตถประสงค เพอหลกเลยงกำรละเมดกฎหมำย ระเบยบขอบงคบ ขอก ำหนด หรอขอผกพนตำมสญญำทเกยวของกบควำมมนคงปลอดภยส ำหรบสำรสนเทศ และขอก ำหนดดำนควำมมนคงปลอดภยใดๆ กตำม
A.18.1.1 Identification of applicable legislation and contractual requirements กำรระบขอก ำหนดดำนกฎหมำยและสญญำทเกยวของ
มำตรกำรควบคม
กฎหมำย ขอก ำหนดทำงกฎหมำย ระเบยบขอบงคบ และขอผกพนตำมสญญำทเกยวของทงหมด และ
วธกำรขององคกรเพอใหเปนไปตำมขอก ำหนดดงกลำว ตองถกระบอยำงชดเจน จดท ำเปนลำยลกษณ
อกษร และปรบปรงใหทนสมย ส ำหรบแตละระบบสำรสนเทศ และส ำหรบองคกร
A.18.1.2 Intellectual property rights สทธในทรพยสนทำงปญญำ
มำตรกำรควบคม
ขนตอนปฏบตทเหมำะสมตองน ำไปปฏบต เพอใหมนใจวำสอดคลองกบกฎหมำย ระเบยบขอบงคบ และ
ขอผกพนตำมสญญำทเกยวของกบสทธในทรพยสนทำงปญญำ และกำรใชซอฟตแวรทมกรรมสทธ
(Proprietary Software)
ISO/IEC 27001:2013 Requirements ขอก ำหนดระบบบรหำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ หนำ 38 / 38
A.18.1.3 Protection of records กำรปองกนบนทก
มำตรกำรควบคม
บนทกตองไดรบกำรปองกนจำกกำรสญหำย กำรท ำลำย กำรปลอมแปลง กำรเขำถงโดยไมไดรบอนญำต และกำรเผยแพรออกไปโดยไมไดรบอนญำต ตำมทกฏหมำย ระเบยบขอบงคบ ขอผกพนตำมสญญำ และขอก ำหนดทำงธรกจทไดก ำหนดไว
A.18.1.4 Privacy and protection of personally identifiable information
ควำมเปนสวนตวและกำรปกปองขอมลสวนบคคล
มำตรกำรควบคม
กำรรกษำควำมเปนสวนตว และกำรปกปองขอมลสวนบคคล ตองมนใจวำเปนไปตำมทระบไวในกฎหมำย
และระเบยบขอบงคบทเกยวของ ถำเหมำะสม
A.18.1.5 Regulation of cryptographic controls ขอบงคบของมำตรกำรควบคมของกำรเขำรหสขอมล
มำตรกำรควบคม
มำตรกำรควบคมกำรเขำรหส ตองน ำไปใชเพอใหสอดคลองกบขอตกลง กฏหมำย และระเบยบขอบงคบท
เกยวของทงหมด
A.18.2 Information security reviews การทบทวนความม นคงปลอดภยดานสารสนเทศ
วตถประสงค เพอใหมนใจวำควำมมนคงปลอดภยส ำหรบสำรสนเทศมกำรน ำไปปฏบตและมกำรด ำเนนงำนตำมนโยบำยและขนตอนปฏบตงำนขององคกร
A.18.2.1 Independent review of information security กำรทบทวนดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศอยำงเปนอสระ
มำตรกำรควบคม
วธกำรขององคกรทใชเพอบรกำรจดกำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ และกำรน ำไปปฏบต เชน
วตถประสงคของมำตรกำร (Control objectives) มำตรกำรควบคม (Controls) นโยบำย กระบวนกำร และ
ขนตอนปฏบตงำนส ำหรบควำมมนคงปลอดภยส ำหรบสำรสนเทศ ตองไดรบกำรทบทวนอยำงเปนอสระ
ตำมรอบระยะเวลำทก ำหนด หรอเมอมควำมเปลยนแปลงทมนยส ำคญเกดข น
A.18.2.2 Compliance with security policies and standards กำรปฏบตตำมนโยบำยและมำตรฐำนดำนควำมมนคงปลอดภย
มำตรกำรควบคม
ผจดกำรตองทบทวนควำมสอดคลองอยำงสม ำเสมอของกำรประมวลผลขอมล และขนตอนปฏบตงำนทอย
ภำยใตควำมรบผดชอบของตน กบนโยบำยและมำตรฐำนควำมมนคงปลอดภย และขอก ำหนดดำนควำม
มนคงปลอดภยอนๆ ทเหมำะสม
A.18.2.3 Technical compliance review กำรทบทวนควำมสอดคลองทำงเทคนค
มำตรกำรควบคม
ระบบสำรสนเทศตองไดรบกำรทบทวนควำมสอดคลองอยำงสม ำเสมอกบนโยบำยและมำตรฐำนควำม
มนคงปลอดภยส ำหรบสำรสนเทศขององคกร