bsi iso27001:2013 rev1

ISO/IEC 27001:2013 Requirements ขอก ำหนดระบบบรหำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ หนำ 1 / 37

ISO/IEC 27001:2013

Information Security Management Systems

Just for Customer

Guide Series


1 Scope

This International Standard specifies the requirements for establishing, implementing, maintaining and continually improving an information security management system within the context of the organization. This International Standard also includes requirements for the assessment and treatment of information security risks tailored to the needs of the organization. The requirements set out in this International Standard are generic and are intended to be applicable to all organizations, regardless of type, size or nature. Excluding any of the requirements specified in Clauses 4 to 10 is not acceptable when an organization claims conformity to this International Standard.

1 ขอบขาย

มำตรฐำนสำกลฉบบน ระบขอก ำหนดในกำรจดตง กำรน ำปฏบต กำรรกษำให คงไว และกำรปรบปรงพฒนำอยำงตอเนอง ของระบบบรหำรจดกำรควำมมนคง

ปลอดภยส ำหรบสำรสนเทศภำยในบรบทขององคกร และยงรวมถงขอก ำหนดส ำหรบกำรประเมนและกำรจดกำรควำมเสยงดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศทปรบใหเหมำะสมกบควำมจ ำเปนขององคกร ขอก ำหนดทระบใน

มำตรฐำนสำกลฉบบน เปนขอก ำหนดทวไป โดยมวตถประสงคเพอใหสำมำรถใชไดกบทกองคกร ไมวำจะมขนำด ประเภท หรอลกษณะใดกตำม กำรยกเวนขอก ำหนดใดๆ ทระบไวในขอก ำหนด 4 ถง ขอก ำหนด 10 ไมสำมำรถยอมรบไดเมอองคกรอำงควำมสอดคลองกบมำตรฐำนน

2 Normative references

The following documents, in whole or in part, are normatively referenced in this document and are indispensable for its application. For dated references, only the edition cited applies. For undated references, the latest edition of the referenced document (including any amendments) applies.

ISO/IEC 27000, Information technology — Security techniques — Information security management systems — Overview and vocabulary

2 การอางองเชงบรรทดฐาน

เอกสำรตอไปน, ทงหมดหรอบำงสวน, ถกอำงองไวในเอกสำรฉบบนเปน

บรรทดฐำน และเปนสงทขำดไมไดส ำหรบกำรน ำไปประยกตใช ส ำหรบกำรอำงองวนทเอกสำรระบจำก Edition ทก ำหนดวนทไว กรณทไมระบวนท ให อำงองจำก Edition ลำสดของเอกสำรอำงอง (รวมถงเอกสำรเพมเตมใดๆ)

ISO/IEC 27000, Information technology — Security techniques — ระบบบรหำรจดกำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ – ภำพรวมและค ำศพท

3 Terms and definitions

For the purposes of this document, the terms and definitions given in ISO/IEC 27000 apply.

3 ค าศพทและนยาม

ตำมวตถประสงคของเอกสำรฉบบน ค ำศพทและนยำม ระบไวในมำตรฐำน ISO/IEC 27000

4 Context of the organization 4 บรบทขององคกร


4.1 Understanding the organization and its context

The organization shall determine external and internal issues that are relevant to its purpose and that affect its ability to achieve the intended outcome(s) of its information security management system.

NOTE Determining these issues refers to establishing the external and internal context of the organization considered in Clause 5.3 of ISO 31000:2009[5].

4.1 ความเขาใจในองคกรและบรบทขององคกร

องคกรตองก ำหนดประเดนภำยนอกและภำยในตำงๆ ทเกยวของกบวตถประสงคองคกรและทมผลกระทบตอควำมสำมำรถในกำรบรรลผลลพธตำมทตงใจไวของระบบบรหำรจดกำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ

หมำยเหต กำรก ำหนดประเดนดงกลำว อำงถงกำรจดตงบรบทภำยนอกและภำยในขององคกร ซงพจำรณำตำมขอก ำหนด 5.3 ของมำตรฐำน ISO

31000:2009[5].

4.2 Understanding the needs and expectations of interested parties

The organization shall determine:

a) interested parties that are relevant to the information security management system; and

b) the requirements of these interested parties relevant to information security.

NOTE The requirements of interested parties may include legal and regulatory requirements and contractual obligations.

4.2 ความเขาใจในความตองการและความคาดหวงของผท

สนใจ

องคกรตองก ำหนด

a) ผทสนใจ (Interested Parties) ทเกยวของกบระบบบรหำรจดกำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ และ

b) ขอก ำหนดของผทสนใจดงกลำว ทเกยวของกบควำมมนคงปลอดภยส ำหรบสำรสนเทศ

หมำยเหต ขอก ำหนดของผทสนใจ อำจรวมถงขอกฎหมำย ขอก ำหนด

กฎระเบยบบงคบ และขอผกผนตำมสญญำ

4.3 Determining the scope of the information security management system

The organization shall determine the boundaries and applicability of the information security management system to establish its scope.

When determining this scope, the organization shall consider:

4.3 การก าหนดขอบขายของระบบบรหารจดการความม นคงปลอดภยส าหรบสารสนเทศ

องคกรตองก ำหนดขอบเขตและกำรบงคบใชของระบบบรหำรจดกำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ เพอจดตงขอบขำยของระบบ

เมอก ำหนดขอบขำยน องคกรตองพจำรณำ


a) the external and internal issues referred to in 4.1;

b) the requirements referred to in 4.2; and

c) interfaces and dependencies between activities performed by the organization, and those that are performed by other organizations.

The scope shall be available as documented information.

a) ประเดนภำยนอกและภำยใน ทอำงถงในขอก ำหนด 4.1

b) ควำมตองกำร ทอำงถงในขอก ำหนด 4.2 และ

c) ควำมสมพนธเชอมโยงและขนตอกนระหวำงกจกรรมทองคกรด ำเนนงำนเอง และกจกรรมเหลำนน ทด ำเนนงำนโดยองคกรอน

ขอบขำยตองเปนขอมลทจดท ำเปนลำยลกษณอกษร

4.4 Information security management system

The organization shall establish, implement, maintain and continually improve an information security management system, in accordance with the requirements of this International Standard.

4.4 ระบบบรหารจดการความม นคงปลอดภยส าหรบสารสนเทศ

องคกรตองจดตง น ำไปปฏบต รกษำใหคงไว และปรบปรงพฒนำระบบบรหำรจดกำรควำมมนคงปลอดภยส ำหรบสำรสนเทศอยำงตอเนอง เพอใหสอดคลอง

กบขอก ำหนดของมำตรฐำนสำกลฉบบน

5 Leadership

5.1 Leadership and commitment

When determining this Top management shall demonstrate leadership and commitment with respect to the information security management system by:

a) ensuring the information security policy and the information security objectives are established and are compatible with the strategic direction of the organization;

b) ensuring the integration of the information security management system requirements into the organization’s processes;

c) ensuring that the resources needed for the information security management system are available;

d) communicating the importance of effective information security management and of conforming to the information security

5 ภาวะผน า

5.1 ภาวะผน าและพนธสญญา

ผบรหำรระดบสงตองแสดงใหเหนถงควำมเปนผน ำและพนธสญญำทมตอระบบบรหำรจดกำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ โดย

a) ท ำใหมนใจวำนโยบำยควำมมนคงปลอดภยส ำหรบสำรสนเทศ และวตถประสงคควำมมนคงปลอดภยส ำหรบสำรสนเทศไดจดท ำขน และ

สอดคลองกบทศทำงเชงกลยทธขององคกร

b) ท ำใหมนใจวำมกำรผสมผสำนขอก ำหนดระบบบรหำรจดกำรควำมมนคงปลอดภยส ำหรบสำรสนเทศเขำไปผนวกในกระบวนกำรตำงๆ ขององคกร

c) ท ำใหมนใจวำมทรพยำกรทจ ำเปนส ำหรบระบบบรหำรจดกำรควำมมนคงปลอดภย

d) กำรสอสำรถงควำมส ำคญของประสทธผลในกำรบรหำรจดกำรควำมมนคง

ปลอดภยส ำหรบสำรสนเทศ และควำมสอดคลองกบขอก ำหนดของระบบบรหำรจดกำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ


management system requirements;

e) ensuring that the information security management system achieves its intended outcome(s);

f) directing and supporting persons to contribute to the effectiveness of the information security management system;

g) promoting continual improvement; and

h) supporting other relevant management roles to demonstrate their leadership as it applies to their areas of responsibility.

e) ท ำใหมนใจวำระบบบรหำรจดกำรควำมมนคงปลอดภยส ำหรบสำรสนเทศบรรลผลตำมทตงใจไว

f) กำรสงกำรและใหกำรสนบสนนผทมสวนรวมตอประสทธผลของระบบบรหำรจดกำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ

g) กำรสงเสรมกำรปรบปรงพฒนำอยำงตอเนอง

h) กำรสนบสนผอนทมบทบำทในกำรบรหำรทเกยวของ เพอแสดงควำมเปนผน ำตำมขอบเขตควำมรบผดชอบของบคคลเหลำนน

5.2 Policy

Top management shall establish an information security policy that:

a) is appropriate to the purpose of the organization;

b) includes information security objectives (see 6.2) or provides the framework for setting information security objectives;

c) includes a commitment to satisfy applicable requirements related to information security; and

d) includes a commitment to continual improvement of the information security management system.

The information security policy shall:

e) be available as documented information;

f) be communicated within the organization; and

g) be available to interested parties, as appropriate.

5.2 นโยบาย

ผบรหำรระดบสงตองก ำหนดนโยบำยควำมมนคงปลอดภยส ำหรบสำรสนเทศ ท

a) เหมำะสมตอวตถประสงคขององคกร

b) รวมถงวตถประสงคควำมมนคงปลอดภยส ำหรบสำรสนเทศ (ดขอก ำหนด 6.2) หรอมเคำโครงรำง (Framework) เพอก ำหนดวตถประสงคควำมมนคงปลอดภยส ำหรบสำรสนเทศ

c) รวมถงพนธสญญำ เพอใหเปนไปตำมขอก ำหนดตำงๆ ทเกยวของกบควำมมนคงปลอดภยส ำหรบสำรสนเทศ และ

d) รวมถงพนธสญญำ เพอกำรปรบปรงอยำงตอเนองของระบบบรหำรจดกำร

ควำมมนคงปลอดภยส ำหรบสำรสนเทศ

นโยบำยควำมมนคงปลอดภยส ำหรบสำรสนเทศ ตอง

e) เปนขอมลทจดท ำเปนลำยลกษณอกษร

f) น ำไปสอสำรภำยในองคกร และ

g) จดใหแกผทสนใจตำมควำมเหมำะสม


5.3 Organizational roles, responsibilities and authorities

Top management shall ensure that the responsibilities and authorities for roles relevant to information security are assigned and communicated.

Top management shall assign the responsibility and authority for:

a) ensuring that the information security management system conforms to the requirements of this International Standard; and

b) reporting on the performance of the information security management system to top management.

NOTE Top management may also assign responsibilities and authorities for reporting performance of the information security management system within the organization.

5.3 บทบาท ความรบผดชอบ และอ านาจหนาท

ผบรหำรระดบสงตองมนใจวำ ควำมรบผดชอบและอ ำนำจหนำทส ำหรบบทบำททเกยวของกบควำมมนคงปลอดภยส ำหรบสำรสนเทศ ไดมกำรมอบหมำยและมกำรสอสำร

ผบรหำรระดบสงตองมอบหมำยควำมรบผดชอบและอ ำนำจหนำท ส ำหรบ

a) กำรท ำใหมนใจไดวำระบบบรหำรจดกำรควำมมนคงปลอดภยส ำหรบสำรสนเทศสอดคลองตำมขอก ำหนดของมำตรฐำนฉบบน และ

b) กำรรำยงำนถงประสทธภำพของระบบบรหำรจดกำรควำมมนคงปลอดภย

ส ำหรบสำรสนเทศตอผบรหำรระดบสง

หมำยเหต ผบรหำรระดบสง ยงอำจมอบหมำยควำมรบผดชอบและอ ำนำจ

หนำทเพอกำรรำยงำนประสทธภำพของระบบบรหำรจดกำรควำมมนคงปลอดภยส ำหรบสำรสนเทศภำยในองคกรไดเชนกน

6 Planning

6.1 Actions to address risks and opportunities

6.1.1 General

When planning for the information security management system, the organization shall consider the issues referred to in 4.1 and the requirements referred to in 4.2 and determine the risks and opportunities that need to be addressed to:

a) ensure the information security management system can achieve its intended outcome(s);

b) prevent, or reduce, undesired effects; and

6 การวางแผน

6.1 การด าเนนการเพอจดการความเสยงและโอกาส

6.1.1 ท วไป

เมอท ำกำรวำงแผนส ำหรบระบบบรหำรจดกำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ องคกรตองพจำรณำถงประเดนตำงๆ ทอำงถงในขอก ำหนด 4.1

และขอก ำหนดตำงๆ ทอำงถงในขอก ำหนด 4.2 และก ำหนดควำมเสยงและโอกำสทจ ำเปนตองจดกำร เพอ

a) ใหมนใจวำระบบบรหำรจดกำรควำมมนคงปลอดภยส ำหรบสำรสนเทศสำมำรถบรรลผลตำมทผลลพธทตงใจไว

b) ปองกนหรอลดผลกระทบทไมพงปรำรถนำ และ


c) achieve continual improvement

The organization shall plan:

d) actions to address these risks and opportunities; and

e) how to

1) integrate and implement the actions into its information security management system processes; and

2) evaluate the effectiveness of these actions.

c) ใหบรรลเปำหมำยของกำรปรบปรงอยำงตอเนอง

องคกรตองวำงแผน

d) กำรด ำเนนกำรเพอจดกำรกบควำมเสยงและโอกำส และ

e) วธกำร

1) ผนวกรวม และน ำกำรด ำเนนกำรไปปฏบตใหเขำกบกระบวนกำรของระบบบรหำรจดกำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ และ

2) ประเมนประสทธผลของกำรด ำเนนกำรดงกลำว

6.1.2 Information security risk assessment

The organization shall define and apply an information security risk assessment process that:

a) establishes and maintains information security risk criteria that include:

1) the risk acceptance criteria; and

2) criteria for performing information security risk assessments;

b) ensures that repeated information security risk assessments produce consistent, valid and comparable results;

c) identifies the information security risks:

1) apply the information security risk assessment process to identify risks associated with the loss of confidentiality, integrity and availability for information within the scope of the information security management system; and

2) identify the risk owners;

d) analyses the information security risks:

1) assess the potential consequences that would result if the risks

6.1.2 การประเมนความเสยงดานความม นคงปลอดภยส าหรบ

สารสนเทศ

องคกรตองก ำหนดและประยกตใชกระบวนกำรประเมนควำมเสยงดำนควำม

มนคงปลอดภยส ำหรบสำรสนเทศ โดย

a) จดตงและรกษำเกณฑควำมเสยง (Risk Criteria) ดำนควำมมนคง

ปลอดภยส ำหรบสำรสนเทศ ซงรวมถง

1) เกณฑกำรยอมรบควำมเสยง (Risk Acceptance Criteria) และ

2) เกณฑส ำหรบด ำเนนกำรประเมนควำมเสยงดำนควำมมนคงปลอดภย

ส ำหรบสำรสนเทศ

b) ท ำใหมนใจวำกำรประเมนควำมเสยงดงกลำวสำมำรถท ำซ ำ และไดผลลพธทตรงกน ถกตอง และสำมำรถเปรยบเทยบได

c) ระบควำมเสยงดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศ

1) ประยกตใชกระบวนกำรประเมนควำมเสยงดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศ เพอระบควำมเสยงทเกยวของกบกำรสญเสยควำมลบ ควำมถกตองสมบรณ และควำมพรอมใชงำนของสำรสนเทศ

ภำยในขอบเขตของระบบบรหำรจดกำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ และ


identified in 6.1.2 c) 1) were to materialize;

2) assess the realistic likelihood of the occurrence of the risks identified in 6.1.2 c) 1); and

3) determine the levels of risk;

e) evaluates the information security risks:

1) compare the results of risk analysis with the risk criteria established in 6.1.2 a); and

2) prioritize the analysed risks for risk treatment.

The organization shall retain documented information about the information security risk assessment process.

2) ระบผเปนเจำของควำมเสยง (Risk Owner)

d) วเครำะหควำมเสยงดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศ

1) ประเมนผลกระทบทเปนไปได ถำควำมเสยงทระบไวในขอก ำหนด 6.1.2 c) เกดขนจรง

2) ประเมนโอกำสทสมเหตผล ของกำรเกดควำมเสยงทระบไวใน

ขอก ำหนด 6.1.2 c) และ

3) ก ำหนดระดบคำควำมเสยง

e) ประเมนควำมเสยงดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศ

1) เปรยบเทยบผลกำรวเครำะหควำมเสยงกบเกณฑควำมเสยงทตงขนในขอก ำหนด 6.1.2 a) และ

2) จดล ำดบควำมส ำคญของควำมเสยงทไดวเครำะหแลว เพอกำรจดกำร

ควำมเสยง

องคกรตองเกบรกษำขอมลทเปนลำยลกษณอกษร เกยวกบกระบวนกำรประเมน

ควำมเสยงดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศ

6.1.3 Information security risk treatment

The organization shall define and apply an information security risk treatment process to:

a) select appropriate information security risk treatment options, taking account of the risk assessment results;

b) determine all controls that are necessary to implement the information security risk treatment option(s) chosen;

NOTE Organizations can design controls as required, or identify them from any source.

c) compare the controls determined in 6.1.3 b) above with those in

6.1.3 การจดการความเสยงดานความม นคงปลอดภยส าหรบสารสนเทศ

องคกรตองก ำหนดและประยกตใชกระบวนกำรจดกำรควำมเสยงดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศ เพอ

a) เลอกตวเลอกของกำรจดกำรควำมเสยงดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศทเหมำะสม โดยพจำรณำจำกผลประเมนควำมเสยง

b) ก ำหนดมำตรกำรควบคม (Controls) ทงหมดทจ ำเปน เพอน ำไปใชตำมตวเลอกกำรจดกำรควำมเสยงดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศทไดเลอกไว

หมำยเหต องคกรสำมำรถออกแบบมำตรกำรควบคมตำมทตองกำร หรอ


Annex A and verify that no necessary controls have been omitted;

NOTE 1 Annex A contains a comprehensive list of control objectives and controls. Users of this International Standard are directed to Annex A to ensure that no necessary controls are overlooked

NOTE 2 Control objectives are implicitly included in the controls chosen. The control objectives and controls listed in Annex A are not exhaustive and additional control objectives and controls may be needed.

d) .produce a Statement of Applicability that contains the necessary controls (see 6.1.3 b) and c)) and justification for inclusions, whether they are implemented or not, and the justification for exclusions of controls from Annex A;

e) formulate an information security risk treatment plan; and f) obtain risk owners’ approval of the information security risk

treatment plan and acceptance of the residual information security risks.

The organization shall retain documented information about the information security risk treatment process.

NOTE The information security risk assessment and treatment process in this International Standard aligns with the principles and generic guidelines provided in ISO 31000[5].

ระบมำตรกำรควบคมจำกแหลงอำงองใดๆ

c) เปรยบเทยบมำตรกำรควบคมทก ำหนดไวในขอก ำหนด 6.1.3 b) กบมำตรกำรควบคมใน Annex A และทวนสอบวำไมมมำตรกำรควบคมทจ ำเปนใดๆ ไดละเวนออกไป

หมำยเหต 1 Annex A ประกอบดวย รำยกำรวตถประสงคของมำตรกำรควบคม และมำตรกำรควบคม ผใชมำตรฐำนฉบบน ไดรบกำรชแนะไปท

Annex A เพอใหมนใจวำไมมมำตรกำรควบคมทจ ำเปนใดๆ ถกมองขำมไป

หมำยเหต 2 วตถประสงคของมำตรกำรควบคมถกรวมแฝงไวกบมำตรกำร

ควบคมทเลอก รำยกำรวตถประสงคของมำตรกำรควบคมและมำตรกำรควบคมใน Annex A ไมใชมำตรกำรควบคมทงหมดทงสน และกำรเพมเตมวตถประสงคของมำตรกำรควบคม และมำตรกำรควบคมอนๆ อำจมควำม

จ ำเปน

d) จดท ำเอกสำรแสดงกำรประยกตใช (Statement of Applicability)

ประกอบดวย มำตรกำรควบคมทจ ำเปน (ดขอก ำหนด 6.1.3 b) และ c)) และเหตผลของกำรน ำมำใช ไมวำจะน ำไปด ำเนนกำรแลวหรอไมกตำม และเหตผลของกำรละเวนมำตรกำรควบคมจำก Annex A

e) จดท ำแผนกำรจดกำรควำมเสยงดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศ และ

f) ขออนมตแผนกำรจดกำรควำมเสยงดำนควำมมนคงปลอดภยส ำหรบ

สำรสนเทศ และกำรยอมรบควำมเสยงดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศทหลงเหลออย (Residual Risks) จำกผเปนเจำของควำมเสยง

องคกรตองเกบรกษำขอมลทเปนลำยลกษณอกษร เกยวกบกระบวนกำรจดกำร

ควำมเสยงดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศ

หมำยเหต กระบวนกำรประเมนควำมเสยงและกระบวนกำรจดกำรควำมเสยงดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศในมำตรฐำนฉบบน สอดคลองกลบหลกกำรและแนวทำงโดยทวไปทระบไวในมำตรฐำน ISO 31000[5].


6.2 Information security objectives and planning to achieve them

The organization shall establish information security objectives at relevant functions and levels.

The information security objectives shall:

a) be consistent with the information security policy;

b) be measurable (if practicable);

c) take into account applicable information security requirements, and results from risk assessment and risk treatment;

d) be communicated; and

e) be updated as appropriate.

The organization shall retain documented information on the information security objectives.

When planning how to achieve its information security objectives, the organization shall determine:

f) what will be done;

g) what resources will be required;

h) who will be responsible;

i) when it will be completed; and

j) how the results will be evaluated.

6.2 วตถประสงคความม นคงปลอดภยส าหรบสารสนเทศ และการวางแผนเพอการบรรลผล

องคกรตองจดตงวตถประสงคควำมมนคงปลอดภยส ำหรบสำรสนเทศทกำรปฏบตงำน (Functions) และระดบ (Levels) ทเกยวของ

วตถประสงคควำมมนคงปลอดภยส ำหรบสำรสนเทศ ตอง

a) สอดคลองกบนโยบำยควำมมนคงปลอดภยส ำหรบสำรสนเทศ

b) สำมำรถวดผลได (ถำปฏบตได)

c) พจำรณำถงขอก ำหนดตำงๆ ดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศ

และผลลพธจำกกำรประเมนควำมเสยงและกำรจดกำรควำมเสยง

d) ไดรบกำรสอสำร และ

e) ไดรบกำรปรบปรงตำมควำมเหมำะสม

องคกรตองเกบรกษำขอมลทเปนลำยลกษณอกษร เกยวกบวตถประสงคดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศ

เมอวำงแผนวธกำรเพอใหบรรลวตถประสงคดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศ องคกรตองก ำหนด

f) กจกรรมทจะท ำใหเสรจ

g) ทรพยำกรตำงๆ ทจะตองกำร

h) ใครจะเปนผรบผดชอบ

i) เมอไหรทจะแลวเสรจ และ

j) ผลลพธทไดจะประเมนอยำงไร

7 Support 7 การสนบสนน


7.1 Resources

The organization shall determine and provide the resources needed for the establishment, implementation, maintenance and continual improvement of the information security management system.

7.1 ทรพยากร

องคกรตองก ำหนด และจดหำทรพยำกรทจ ำเปนในกำรจดตง กำรน ำไปปฏบต และกำรรกษำใหคงไว และกำรปรบปรงพฒนำอยำงตอเนอง ของระบบบรหำรจดกำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ

7.2 Competence

The organization shall:

a) determine the necessary competence of person(s) doing work under its control that affects its information security performance;

b) ensure that these persons are competent on the basis of appropriate education, training, or experience;

c) where applicable, take actions to acquire the necessary competence, and evaluate the effectiveness of the actions taken; and

d) retain appropriate documented information as evidence of competence.

NOTE Applicable actions may include, for example: the provision of training to, the mentoring of, or the reassignment of current employees; or the hiring or contracting of competent persons.

7.2 ความสามารถ

องคกรตอง

a) ก ำหนดควำมสำมำรถทจ ำเปนของบคลำกรทปฏบตงำนอยภำยใตกำร

ควบคมขององคกร ซงสงผลตอประสทธภำพดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศ

b) ท ำใหมนใจวำบคลำกรดงกลำวมควำมสำมำรถจำกพนฐำนทำงกำรศกษำ

กำรฝกอบรม หรอประสบกำรณท ำงำนทเหมำะสม

c) ตำมควำมเหมำะสม ด ำเนนกำรเพอใหไดมำซงควำมสำมำรถทจ ำเปนนน และประเมนประสทธผลของกำรด ำเนนกำร และ

d) เกบรกษำขอมลทเปนลำยลกษณอกษรขอมล เพอเปนหลกฐำนแสดงควำมสำมำรถ

หมำยเหต กำรด ำเนนกำรทเหมำะสม อำจรวมถง ตวอยำงเชน กำรจดฝกอบรม

กำรมพเลยง หรอกำรมอบหมำยงำนใหใหมแกพนกงำนปจจบน หรอกำรวำจำงงำนงำน หรอท ำสญญำจำงผทมควำมสำมำรถ

7.3 Awareness

Persons doing work under the organization’s control shall be aware of:

a) the information security policy;

b) their contribution to the effectiveness of the information security

7.3 ความตระหนก

บคลำกรทปฏบตงำนภำยใตกำรควบคมขององคกร ตองตระหนกถง

a) นโยบำยควำมมนคงปลอดภยส ำหรบสำรสนเทศ

b) กำรมสวนรวมตอประสทธผลของระบบบรหำรจดกำรควำมมนคงปลอดภย


management system, including the benefits of improved information security performance; and

c) the implications of not conforming with the information security management system requirements.

ส ำหรบสำรสนเทศ รวมถงประโยชนทไดจำกกำรปรบปรงประสทธผลของระบบบรหำรจดกำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ

c) นยยะของควำมไมสอดคลองกบขอก ำหนดของระบบบรหำรจดกำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ

7.4 Communication

The organization shall determine the need for internal and external communications relevant to the information security management system including:

a) on what to communicate;

b) when to communicate;

c) with whom to communicate;

d) who shall communicate; and

e) the processes by which communication shall be effected.

7.4 การสอสาร

องคกรตองก ำหนดควำมจ ำเปนของกำรสอสำรทเกยวของกบระบบบรหำร

จดกำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ ทงภำยในและภำยนอกองคกร รวมถง

a) สงทตองกำรสอสำร

b) เมอไรทจะสอสำร

c) สอสำรถงใคร

d) ใครเปนผสอสำร และ

e) กระบวนกำรทใชสอสำรใหเกดผล

7.5 Documented information

7.5.1 General

The organization’s information security management system shall include:

a) documented information required by this International Standard; and

b) documented information determined by the organization as being necessary for the effectiveness of the information security management system.

NOTE The extent of documented information for an information

7.5 ขอมลทเปนลายลกษณอกษร

7.5.1 ท วไป

ระบบบรหำรจดกำรควำมมนคงปลอดภยส ำหรบสำรสนเทศขององคกร ตอง

รวมถง

a) ขอมลเอกสำรทก ำหนดโดยมำตรฐำนฉบบน และ

b) ขอมลเอกสำรทก ำหนดโดยองคกรวำเปนสงทจ ำเปนตอประสทธผลของระบบบรหำรจดกำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ

หมำยเหต ปรมำณขอมลเอกสำรทมกำรบนทกส ำหรบระบบบรหำรจดกำรควำม

มนคงปลอดภยส ำหรบสำรสนเทศสำมำรถแตกตำงกนตำมแตละองคกร


security management system can differ from one organization to another due to:

1) size of organization and its type of activities, processes, products and services;

2) the complexity of processes and their interactions; and

3) the competence of persons.

เนองจำก

1) ขนำดขององคกร และประเภทของกจกรรม กระบวนกำร ผลตภณฑ และบรกำร

2) ควำมซบซอนของกระบวนกำร และปฏสมพนธของกระบวนกำรเหลำนน

และ

3) ควำมสำมำรถของบคลำกร

7.5.2 Creating and updating

When creating and updating documented information the organization shall ensure appropriate:

a) identification and description (e.g. a title, date, author, or reference number);

b) format (e.g. language, software version, graphics) and media (e.g. paper, electronic); and

c) review and approval for suitability and adequacy.

7.5.2 การจดท าและการปรบปรง

เมอจดท ำและปรบปรงขอมลทมกำรบนทกไว องคกรตองมนใจ มควำม

เหมำะสมของ

a) กำรชบงและค ำอธบำย (เชน ชอเอกสำร วนท ผจดท ำ หรอเลขทอำงอง)

b) รปแบบ (เชน ภำษำทใช เวอรชนของซอฟตแวร กรำฟก) และสอบนทก (เชน กระดำษ อเลกทรอนกส) และ

c) กำรทบทวนและกำรอนมตอยำงเหมำะสม และเพยงพอ

7.5.3 Control of documented information

Documented information required by the information security management system and by this International Standard shall be controlled to ensure:

a) it is available and suitable for use, where and when it is needed; and

b) it is adequately protected (e.g. from loss of confidentiality, improper use, or loss of integrity).

For the control of documented information, the organization shall address the following activities, as applicable:

c) distribution, access, retrieval and use;

7.5.3 การควบคมขอมลทเปนลายลกษณอกษร

ขอมลทเปนลำยลกษณอกษรซงก ำหนดขนโดยระบบบรหำรจดกำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ และโดยมำตรฐำนฉบบน ตองถกควบคม เพอให มนใจวำ

a) พรอมใช และเหมำะสมตอกำรน ำไปใช ในสถำนท และในเวลำทจ ำเปนตองใช และ

b) ไดรบกำรปกปองอยำงเพยงพอ (เชน จำกกำรสญเสยควำมลบ กำรใชงำนทไมเหมำะสม หรอกำรสญเสยควำมถกตองสมบรณ)

ส ำหรบกำรควบคมขอมลทเปนลำยลกษณอกษร องคกรตองระบกจกรรม


d) storage and preservation, including the preservation of legibility;

e) control of changes (e.g. version control); and

f) retention and disposition.

Documented information of external origin, determined by the organization to be necessary for the planning and operation of the information security management system, shall be identified as appropriate, and controlled.

NOTE Access implies a decision regarding the permission to view the documented information only, or the permission and authority to view and change the documented information, etc.

ดงตอไปน ตำมควำมเหมำะสม

c) กำรแจกจำย กำรเขำถง กำรเรยกคน และกำรน ำไปใช

d) กำรจดเกบ และรกษำสภำพ รวมถงกำรคงไวใหสำมำรถอำนได

e) กำรควบคมกำรเปลยนแปลง (เชน กำรควบคมเวอรชน) และ

f) กำรเกบรกษำ และกำรท ำลำย

ขอมลเอกสำรทมำจำกแหลงภำยนอก (External Origin) ทก ำหนดโดยองคกร

วำ เปนสงทจ ำเปนตอกำรวำงแผนและกำรด ำเนนงำนของระบบบรหำรจดกำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ ตองไดรบชบงตำมควำมเหมำะสม และไดรบกำรควบคม

หมำยเหต กำรเขำถง หมำยควำมรวมถง กำรตดสนใจเกยวกบกำรไดรบอนญำตใหเรยกดขอมลเอกสำรเทำนน หรอกำรไดรบอนญำตและอ ำนำจใหเรยกดและ

เปลยนแปลงขอมล เปนตน

8 Operation

8.1 Operational planning and control

The organization shall plan, implement and control the processes needed to meet information security requirements, and to implement the actions determined in 6.1. The organization shall also implement plans to achieve information security objectives determined in 6.2.

The organization shall keep documented information to the extent necessary to have confidence that the processes have been carried out as planned.

The organization shall control planned changes and review the consequences of unintended changes, taking action to mitigate any

8 การปฏบตการ

8.1 การวางแผนปฏบตการและควบคม

องคกรตองวำงแผน น ำไปปฏบต และควบคมกระบวนกำรทจ ำเปนเพอให

เปนไปตำมขอก ำหนดดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศ และปฏบตตำมสงทก ำหนดไวในขอก ำหนด 6.1 องคกรยงตองลงมอปฏบตตำมแผนเพอใหบรรลวตถประสงคดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศทก ำหนดไวในขอก ำหนด 6.2

องคกรตองเกบขอมลทเปนลำยลกษณอกษรตำมปรมำณเทำทจ ำเปน เพอควำมมนใจวำ กระบวนกำรตำงๆ ดงกลำว มกำรด ำเนนงำนตำมแผนทไดวำงไว

องคกรตองควบคมกำรเปลยนแปลงตำมแผนทไดวำงไว (Planned Changes) และทบทวนผลทตำมมำของกำรเปลยนแปลงทไมไดตงใจ (Unintended


adverse effects, as necessary.

The organization shall ensure that outsourced processes are determined and controlled.

Changes) เพอด ำเนนกำรลดผลกระทบดำนลบใดๆ ตำมควำมจ ำเปน

องคกรตองมนใจวำ กระบวนกำรทด ำเนนกำรโดยหนวยงำนภำยนอก ไดรบกำรระบ และควบคม

8.2 Information security risk assessment

The organization shall perform information security risk assessments at planned intervals or when significant changes are proposed or occur, taking account of the criteria established in 6.1.2 a).

The organization shall retain documented information of the results of the information security risk assessments.

8.2 การประเมนความเสยงดานความม นคงปลอดภยส าหรบสารสนเทศ

องคกรตองท ำกำรประเมนควำมเสยงดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศตำมชวงเวลำทไดวำงแผนไว หรอเมอกำรเปลยนแปลงทมนยส ำคญถกเสนอใหพจำรณำหรอมเกดขน โดยพจำรณำตำมเกณฑทจดท ำขนใน

ขอก ำหนด 6.1.2 a)

องคกรตองเกบรกษำขอมลทเปนลำยลกษณอกษร ทเปนผลลพธของกำร

ประเมนควำมเสยงดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศ

8.3 Information security risk treatment

The organization shall implement the information security risk treatment plan.

The organization shall retain documented information of the results of the information security risk treatment.

8.3 การจดการความเสยงดานความม นคงปลอดภยส าหรบสารสนเทศ

องคกรตองปฏบตตำมแผนกำรจดกำรควำมเสยงดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศ

องคกรตองเกบรกษำขอมลทเปนลำยลกษณอกษร ทเปนผลลพธของกำรจดกำรควำมเสยงดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศ

9 Performance evaluation

9.1 Monitoring, measurement, analysis and evaluation

The organization shall evaluate the information security performance and the effectiveness of the information security management system.

9 การประเมนผลการปฏบตงาน

9.1 การเฝาตดตาม ตรวจวด วเคราะห และประเมนผล

องคกรตองประเมนประสทธภำพของควำมมนคงปลอดภยส ำหรบสำรสนเทศ และประสทธผลของระบบบรหำรจดกำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ


The organization shall determine:

a) what needs to be monitored and measured, including information security processes and controls;

b) the methods for monitoring, measurement, analysis and evaluation, as applicable, to ensure valid results;

NOTE The methods selected should produce comparable and reproducible results to be considered valid.

c) when the monitoring and measuring shall be performed;

d) who shall monitor and measure;

e) when the results from monitoring and measurement shall be analysed and evaluated; and

f) who shall analyse and evaluate these results.

The organization shall retain appropriate documented information as evidence of the monitoring and measurement results.

องคกรตองก ำหนด

a) สงทจ ำเปนตองไดรบกำรเฝำตดตำมและตรวจวด ซงรวมถงกระบวนกำรและมำตรกำรควบคมดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศ

b) วธกำรส ำหรบกำรเฝำตดตำม ตรวจวด วเครำะห กำรประเมนผลทเหมำะสม

เพอใหมนใจวำผลทไดถกตอง

หมำยเหต วธกำรทเลอกใชควรใหผลลพธทถกตอง ทสำมำรถเปรยบเทยบ

ได และท ำซ ำได

c) เมอไรทตองเฝำตดตำมและวดผล

d) ใครตองเฝำตดตำมและวดผล

e) เมอไรทผลทไดจำกกำรเฝำตดตำมและวดผลตองน ำมำวเครำะหและประเมนผล และ

f) ใครตองวเครำะหและประเมนผลดงกลำว

องคกรตองเกบรกษำขอมลทเปนลำยลกษณอกษรอยำงเหมำะสม เพอเปน

หลกฐำนแสดงผลลพธของกำรเฝำตดตำมและวดผล

9.2 Internal audit

The organization shall conduct internal audits at planned intervals to provide information on whether the information security management system:

a) conform to

1) the organization’s own requirements for its information security management system; and

2) the requirements of this International Standard;

b) is effectively implemented and maintained.

9.2 การตรวจประเมนภายใน

องคกรตองด ำเนนกำรตรวจประเมนภำยในตำมรอบระยะเวลำทก ำหนด เพอให ขอมลทแสดงวำระบบบรหำรจดกำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ

a) สอดคลองกบ

1) ขอก ำหนดขององคกรเองส ำหรบระบบบรหำรจดกำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ และ

2) ขอก ำหนดของมำตรฐำนฉบบน

b) ไดน ำไปปฏบตและรกษำใหคงไวอยำงมประสทธผล


The organization shall:

c) plan, establish, implement and maintain an audit programme(s), including the frequency, methods, responsibilities, planning requirements and reporting. The audit programme(s) shall take into consideration the importance of the processes concerned and the results of previous audits;

d) define the audit criteria and scope for each audit;

e) select auditors and conduct audits that ensure objectivity and the impartiality of the audit process;

f) ensure that the results of the audits are reported to relevant management; and

g) retain documented information as evidence of the audit programme(s) and the audit results.

องคกรตอง

c) วำงแผน จดตง น ำไปปฏบต และรกษำใหคงไวของแผนงำนกำรตรวจประเมน ซงรวมถงควำมถ วธกำร หนำทควำมรบผดชอบ ขอก ำหนดของ

กำรวำงแผน และกำรรำยงำนผล โดยแผนงำนกำรตรวจประเมนตองพจำรณำถงควำมส ำคญของกระบวนกำรทเกยวของและผลทไดจำกกำรตรวจประเมนครงกอน

d) ก ำหนดเกณฑกำรตรวจประเมน และขอบเขตส ำหรบกำรตรวจประเมนแตละครง

e) คดเลอกผตรวจประเมนและด ำเนนกำรตรวจประเมน ทมนใจไดถงควำมเปน

กลำงและควำมเปนธรรมของกระบวนกำรตรวจประเมน

f) มนใจวำผลทไดจำกกำรตรวจประเมนไดน ำไปรำยงำนตอผบรหำรทเกยวของ และ

g) เกบรกษำขอมลทเปนลำยลกษณอกษร เพอเปนหลกฐำนแสดงแผนงำนกำรตรวจประเมนและผลทไดจำกกำรตรวจประเมน

9.3 Management review

Top management shall review the organization’s information security management system at planned intervals to ensure its continuing suitability, adequacy and effectiveness.

The management review shall include consideration of:

a) the status of actions from previous management reviews;

b) changes in external and internal issues that are relevant to the information security management system;

c) feedback on the information security performance, including trends in:

9.3 การทบทวนของฝายบรหาร

ผบรหำรระดบสงตองทบทวนระบบบรหำรจดกำรควำมมนคงปลอดภยส ำหรบสำรสนเทศขององคกรตำมรอบระยะเวลำทก ำหนด เพอใหมนใจถงควำม

เหมำะสม เพยงพอ และประสทธผลของระบบ

กำรทบทวนของฝำยบรหำร ตองรวมถงกำรพจำรณำ

a) สถำนะของกำรด ำเนนงำนจำกกำรทบทวนของฝำยบรหำรครงกอน

b) กำรเปลยนแปลงของประเดนภำยในและภำยนอกทเกยวของกบระบบ

บรหำรจดกำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ

c) ผลตอบกลบจำกประสทธภำพของควำมมนคงปลอดภยส ำหรบสำรสนเทศ รวมถงแนวโนม


1) nonconformities and corrective actions;

2) monitoring and measurement results;

3) audit results; and

4) fulfillment of information security objectives;

d) feedback from interested parties;

e) results of risk assessment and status of risk treatment plan; and

f) opportunities for continual improvement.

The outputs of the management review shall include decisions related to continual improvement opportunities and any needs for changes to the information security management system.

The organization shall retain documented information as evidence of the results of management reviews.

1) ควำมไมสอดคลอง และกำรปฏบตกำรแกไข

2) ผลลพธของกำรเฝำตดตำมและวดผล

3) ผลลพธจำกกำรตรวจประเมน และ

4) ควำมส ำเรจของวตถประสงคดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศ

d) ผลตอบกลบจำกผทสนใจ

e) ผลลพธจำกกำรประเมนควำมเสยง และสถำนะของแผนกำรจดกำรควำมเสยง และ

f) โอกำสส ำหรบกำรปรบปรงพฒนำอยำงตอเนอง

ผลลพธกำรทบทวนของฝำยบรหำร ตองรวมถง กำรตดสนใจทเกยวกบกำร

ปรบปรงพฒนำอยำงตอเนอง และควำมจ ำเปนใดๆ เพอกำรเปลยนแปลงตอระบบบรหำรจดกำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ

องคกรตองเกบรกษำขอมลทเปนลำยลกษณอกษร เพอเปนหลกฐำนแสดงผลลพธกำรทบทวนของฝำยบรหำร

10 Improvement

10.1 Nonconformity and corrective action

When a nonconformity occurs, the organization shall:

a) react to the nonconformity, and as applicable

1) take action to control and correct it; and

2) deal with the consequences;

b) evaluate the need for action to eliminate the causes of nonconformity, in order that it does not recur or occur elsewhere, by:

10 การปรบปรงพฒนา

10.1 ความไมสอดคลองและการปรบปรงแกไข

เมอควำมไมสอดคลองเกดขน องคกรตอง

a) ตอบสนองตอควำมไมสอดคลอง และตำมควำมเหมำะสม

1) ด ำเนนกำรเพอควบคมและแกไข และ

2) รบมอกบผลกระทบทตำมมำ

b) ประเมนควำมจ ำเปนส ำหรบด ำเนนกำรขจดสำเหตของควำมไมสอดคลอง เพอไมใหควำมไมสอดคลองเกดขนซ ำ หรอไมเกดขนทอนๆ โดย


1) reviewing the nonconformity

2) determining the causes of the nonconformity; and

3) determining if similar nonconformities exist, or could potentially occur;

c) implement any action needed;

d) review the effectiveness of any corrective action taken; and

e) make changes to the information security management system, if necessary.

Corrective actions shall be appropriate to the effects of the nonconformities encountered.

The organization shall retain documented information as evidence of:

f) the nature of the nonconformities and any subsequent actions taken, and

g) the results of any corrective action.

1) ทบทวนควำมไมสอดคลอง

2) ระบสำเหตของควำมไมสอดคลอง และ

3) ระบ ถำควำมไมสอดคลองทคลำยกนมอย หรอสำมำรถมโอกำสเกดขนได

c) ด ำเนนกำรปฏบตทจ ำเปน

d) ทบทวนประสทธผลของกำรปฏบตกำรแกไข และ

e) ท ำกำรเปลยนแปลงระบบบรหำรจดกำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ ถำจ ำเปน

กำรปฏบตกำรแกไขตองเหมำะสมตอผลกระทบของควำมไมสอดคลองทพบ

องคกรตองเกบรกษำขอมลทเปนลำยลกษณอกษร เพอเปนหลกฐำนแสดง

f) ลกษณะของควำมไมสอดคลอง และกำรปฏบตใดๆ ทไดด ำเนนกำร และ

g) ผลลพธของกำรปฏบตกำรแกไข

10.2 Continual improvement

The organization shall continually improve the suitability, adequacy and effectiveness of the information security management system.

10.2 การปรบปรงพฒนาอยางตอเนอง

องคกรตองท ำกำรปรบปรงพฒนำควำมเหมำะสม เพยงพอ และประสทธผลของ

ระบบบรหำรจดกำรควำมมนคงปลอดภยส ำหรบสำรสนเทศอยำงตอเนอง


A.5 Information security policies นโยบายความม นคงปลอดภยส าหรบสารสนเทศ

A.5.1 Management direction for information security ทศทางการบรหารส าหรบความม นคงปลอดภยส าหรบสารสนเทศ

วตถประสงค เพอก ำหนดทศทำงและใหกำรสนบสนนดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศตำมขอก ำหนดทำงธรกจกฏหมำยและระเบยบขอบงคบทเกยวของ

A.5.1.1 Policies for information security

นโยบำยส ำหรบควำมมนคงปลอดภยส ำหรบสำรสนเทศ

มำตรกำรควบคม

ชดนโยบำยดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศ ตองมกำรก ำหนด อนมตโดยผบรหำร เผยแพรและสอสำรไปยง

พนกงำน และหนวยงำนภำยนอกทเกยวของ

A.5.1.2 Review of the policies for information security กำรทบทวนนโยบำยควำมมนคงปลอดภยส ำหรบสำรสนเทศ


ชดนโยบำยดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศ ตองถกทบทวนตำมรอบระยะเวลำทก ำหนด หรอเมอมกำร

เปลยนแปลงทมนยส ำคญกบองคกร เพอใหมนใจวำในควำมเหมำะสม เพยงพอ และประสทธผลทคงไวอยำงตอเนอง

A.6 Organization of information security โครงสรางดานความม นคงปลอดภยส าหรบสารสนเทศขององคกร

Annex A

(Normative)

Reference control objectives and controls

The control objectives and controls listed in Table A.1 are directly

derived from and aligned with those listed in ISO/IEC 27002:2013[1],

Clauses 5 to 18 and are to be used in context with Clause 6.1.3.

Table A.1 — Control objectives and controls

Annex A

(บรรทดฐำน)

วตถประสงคของมาตรการควบคม และมาตรการควบคมอางอง

วตถประสงคของมำตรกำรควบคม (Control Objectives) และมำตรกำรควบคม

(Controls) ทมรำยกำรอยในตำรำง A.1 ไดมำโดยตรงจำกและสอดคลองกบ

รำยกำรทมอยในมำตรฐำน ISO/IEC 27002:2013[1] ขอก ำหนด 5 ถง 18

และถกใชในขอก ำหนด 6.1.3

ตาราง A.1 – วตถประสงคของมาตรการควบคม และมาตรการควบคม


A.6.1 Internal organization โครงสรางภายในองคกร

วตถประสงค เพอจดตงโครงรำงกำรบรหำรจดกำรในกำรรเรมและควบคมกำรน ำไปปฏบตและกำรด ำเนนงำนดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศภำยในองคกร

A.6.1.1 Information security roles and responsibilities บทบำทและหนำทควำมรบผดชอบดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศ


หนำทควำมรบผดชอบดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศทงหมด ตองมกำรก ำหนดและ

มอบหมำยงำน

A.6.1.2 Segregation of duties กำรแบงงำนและหนำทควำมรบผดชอบ


งำนและหนำทรบผดชอบทขดกนตองแบงแยกเพอลดโอกำสในกำรเปลยนแปลงโดยไมไดรบอนญำต หรอ

โดยไมไดตงใจ หรอกำรใชทรพยสนขององคกรผดวตถประสงค

A.6.1.3 Contact with authorities กำรตดตอหนวยงำนผมอ ำนำจ


กำรตดตอกบหนวยงำนผมอ ำนำจทเกยวของอยำงเหมำะสม ตองถกรกษำไว

A.6.1.4 Contact with special interest groups กำรตดตอกบกลมทมควำมสนใจเปนพเศษ


กำรตดตอกบกลมทมควำมสนใจเปนพเศษในเรองเดยวกน กลมผเช ยวชำญดำนควำมมนคงปลอดภย

(Specialist Security Forums) และสมำคมวชำชพตองถกรกษำไว

A.6.1.5 Information security in project management ควำมมนคงปลอดภยส ำหรบสำรสนเทศในกำรบรกำรโครงกำร


ควำมมนคงปลอดภยส ำหรบสำรสนเทศ ตองมก ำหนดไวในกำรบรหำรโครงกำรไมวำจะเปนโครงกำร

ประเภทใดกตำม

A.6.2 Mobile devices and teleworking อปกรณพกพาและการปฏบตงานจากระยะไกล

วตถประสงค เพอใหมนใจถงควำมมนคงปลอดภยของกำรปฏบตงำนจำกระยะไกลและกำรใชงำนอปกรณพกพำ

A.6.2.1 Mobile device policy นโยบำยส ำหรบอปกรณพกพำ


นโยบำยและมำตรกำรสนบสนนดำนควำมมนคงปลอดภย ตองมกำรน ำมำใชเพอบรหำรจดกำรควำมเสยง

ทมำจำกกำรใชงำนอปกรณพกพำ

A.6.2.2 Teleworking กำรปฏบตงำนจำกระยะไกล


นโยบำยและมำตรกำรสนบสนนดำนควำมมนคงปลอดภย ตองมกำรน ำไปปฏบตเพอปองกนขอมลทไดรบ

กำรเขำถง กำรประมวลผล หรอกำรจดเกบจำกสถำนททมกำรปฏบตงำนจำกระยะไกล

A.7 Human resource security ความม นคงปลอดภยดานทรพยากรมนษย

A.7.1 Prior to employment กอนการจางงาน


วตถประสงค เพอใหมนใจวำพนกงำน (Employees) และผทองคกรท ำสญญำจำง (Contractors) เขำใจควำมรบผดชอบของตน และเหมำะสมตอบทบำททไดรบกำรพจำรณำ

A.7.1.1 Screening กำรคดกรอง


กำรตรวจสอบประวตควำมเปนมำของผสมครงำนทงหมดตองด ำเนนกำร โดยใหสอดคลองกบกฎหมำย

ระเบยบขอบงคบ และจรยธรรมทเกยวของ และเหมำะสมตอขอก ำหนดทำงธรกจ ชนควำมลบขอมลทจะ

เขำถง และควำมเสยงทเกยวของ

A.7.1.2 Terms and conditions of employment ขอตกลงและเงอนไขกำรจำงงำน


ขอตกลงและเงอนไขในสญญำจำงงำนของพนกงำนและผทท ำสญญำจำงตองกลำวถงหนำทควำม

รบผดชอบของผรบกำรวำจำง และขององคกรในดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศ

A.7.2 During employment ในระหวางการจางงาน

วตถประสงค เพอใหมนใจวำพนกงำนและผทองคกรท ำสญญำจำงตระหนกถงและปฏบตตำมหนำทควำมรบผดชอบดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศของตน

A.7.2.1 Management responsibilities หนำทควำมรบผดชอบของผบรหำร


ผบรหำรตองก ำหนดใหพนกงำนและผท ำสญญำจำงทงหมดปฏบตตำมนโยบำยและขนตอนปฏบตงำนดำน

ควำมมนคงปลอดภยส ำหรบสำรสนเทศทองคกรจดท ำข น

A.7.2.2 Information security awareness, education and training ควำมตระหนก กำรใหควำมร และกำรฝกอบรมดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศ


พนกงำนขององคกรทกคนและผท ำสญญำจำงทเกยวของ ตองไดรบกำรสรำงควำมตระหนก กำรใหควำมร

และกำรฝกอบรมอยำงเหมำะสม และรบทรำบนโยบำยและขนตอนปฏบตงำนขององคกรทปรบปรง ท

เกยวของกบงำนทรบผดชอบอยำงสม ำเสมอ

A.7.2.3 Disciplinary process กระบวนกำรทำงวนย


ตองมกระบวนกำรทำงวนยอยำงเปนทำงกำรและสอสำรใหรบทรำบ เพอลงโทษพนกงำนทฝำฝน ละเมด


A.7.3 Termination and change of employment การส นสภาพหรอการเปลยนแปลงการจางงาน

วตถประสงค เพอปองกนผลประโยชนขององคกรซงเปนสวนหนงของกระบวนกำรเปลยนแปลงหรอส นสภำพกำรวำจำง

A.7.3.1 Termination or change of employment responsibilities

กำรส นสภำพหรอกำรเปลยนหนำทควำมรบผดชอบของกำรวำจำง


ควำมรบผดชอบและหนำทดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศทยงคงไวภำยหลงกำรส นสภำพ

หรอกำรเปลยนแปลงกำรวำจำงงำน ตองมก ำหนดไวและสอสำรใหพนกงำนและผท ำสญญำจำง และน ำไป

บงคบใช

A.8 Asset management การบรหารจดการทรพยสน


A.8.1 Responsibility for assets หนาทความรบผดชอบตอทรพยสน

วตถประสงค เพอระบทรพยสนขององคกร และก ำหนดหนำทควำมรบผดชอบในกำรปองกนทรพยสนอยำงเหมำะสม

A.8.1.1 Inventory of assets บญชทะเบยนทรพยสน


ทรพยสนทเกยวของกบสำรสนเทศและอปกรณประมวลผลขอมลตองถกระบ และบญชทะเบยนทรพยสน

ตองจดท ำข นและรกษำไว

A.8.1.2 Ownership of assets ควำมเปนเจำของทรพยสน


ทรพยสนในบญชทะเบยนทรพยสนตองมกำรระบควำมเปนเจำของ

A.8.1.3 Acceptable use of assets กำรใชงำนทรพยสนอยำงเหมำะสม


กฎกำรใชงำนอยำงเหมำะสมของสำรสนเทศ และทรพยสนทเกยวของกบสำรสนเทศและอปกรณ

ประมวลผลขอมล ตองถกก ำหนดอยำงเปนลำยลกษณอกษรและน ำไปปฏบต

A.8.1.4 Return of assets กำรคนทรพยสน


พนกงำนและผใชงำนจำกหนวยงำนภำยนอกทกคน ตองคนทรพยสนขององคกรทงหมดทตนถอครองไว

เมอส นสภำพกำรวำจำงงำน ส นสดสญญำหรอขอตกลง

A.8.2 Information classification การจดหมวดหมสารสนเทศ

วตถประสงค เพอใหมนใจไดวำสำรสนเทศไดรบระดบของกำรปองกนอยำงเหมำะสมตำมควำมส ำคญทมตอองคกร

A.8.2.1 Classification of information

กำรจดหมวดหมของสำรสนเทศ


สำรสนเทศตองไดรบกำรแยกหมวดหมตำมคณคำ (Value) ขอก ำหนดทำงกฎหมำย ควำมส ำคญ

(Criticality) และควำมออนไหว (Sensitivity) ตอกำรถกเปดเผยหรอเปลยนแปลงโดยไมไดรบอนญำต

A.8.2.2 Labelling of information กำรท ำปำยชบงสำรสนเทศ


ชดขนตอนปฏบตงำนทเหมำะสมส ำหรบกำรท ำปำยชบงสำรสนเทศ ตองจดท ำและน ำไปปฏบตตำมให

สอดคลองกบวธกำรจดหมวดหมสำรสนเทศทองคกรก ำหนดไว

A.8.2.3 Handling of assets กำรจดกำรทรพยสน


ขนตอนปฏบตงำนส ำหรบกำรจดกำรทรพยสน ตองจดท ำและน ำไปปฏบตใหสอดคลองกบวธกำรจด

หมวดหมสำรสนเทศทองคกรก ำหนดไว

A.8.3 Media handling การจดการสอบนทกขอมล

วตถประสงค เพอปองกนกำรเปดเผย กำรเปลยนแปลง กำรก ำจด หรอกำรท ำลำยขอมลทจดเกบบนสอบนทกโดยไมไดรบอนญำต


A.8.3.1 Management of removable media กำรบรหำรจดกำรสอบนทกทสำมำรถเคลอนยำยได


ขนตอนปฏบตงำนส ำหรบกำรบรหำรจดกำรสอบนทกทสำมำรถเคลอนยำยได ตองมกำรน ำไปปฏบตให

สอดคลองกบวธกำรจดหมวดหมสำรสนเทศทองคกรก ำหนดไว

A.8.3.2 Disposal of media กำรก ำจดสอบนทกขอมล


สอบนทกขอมลตองถกก ำจดอยำงมนคงปลอดภย เมอไมมควำมจ ำเปนตองใชงำนอกตอไป ตำมขนตอน

ปฏบตงำนอยำงเปนทำงกำร

A.8.3.3 กำรขนยำยสอบนทก Physical media transfer


สอบนทกทมขอมลตองไดรบกำรปองกนจำกกำรถกเขำถงโดยไมไดรบอนญำต กำรนไปใชงำนผด

วตถประสงค หรอกำรท ำใหเกดควำมเสยหำยระหวำงขนยำย

A.9 Access control การควบคมการเขาถง

A.9.1 Business requirements of access control ขอก าหนดทางธรกจส าหรบควบคมการเขาถง

วตถประสงค เพอจ ำกดกำรเขำถงสำรสนเทศและอปกรณประมวลผลขอมล

A.9.1.1 Access control policy นโยบำยควบคมกำรเขำถง


นโยบำยควบคมกำรเขำถงตองจดท ำข นเปนลำยลกษณอกษร และทบทวนตำมขอก ำหนดทำงธรกจและ

ขอก ำหนดดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศ

A.9.1.2 กำรเขำถงเครอขำยและบรกำรเครอขำย Access to networks and network services


ผใชงำนตองจดใหเขำถงเครอขำยและบรกำรเครอขำยตำมทไดรบกำรอนญำตใหใชงำนตำมทก ำหนดไว

เทำนน

A.9.2 User access management การบรหารจดการการเขาถงของผใชงาน

วตถประสงค เพอใหแนใจวำผทไดรบอนญำตสำมำรถเขำถง และเพอปองกนผไมไดรบอนญำตในกำรเขำถงระบบและบรกำร

A.9.2.1 User registration and de-registration กำรลงทะเบยน และกำรถอนทะเบยนผใชงำน


กระบวนกำรลงทะเบยนและถอนทะเบยนผใชงำนอยำงเปนทำงกำร ตองน ำไปปฏบตเพอท ำใหเกดกำร

มอบสทธในกำรเขำถง

A.9.2.2 User access provisioning กำรใหกำรเขำถงของผใชงำน


กระบวนกำรใหกำรเขำถงของผใชงำนอยำงเปนทำงกำร ตองน ำไปปฏบต เพอมอบ หรอถอนสทธในกำร

เขำถงส ำหรบทกประเภทผใชงำนของทกระบบและทกบรกำร


A.9.2.3 Management of privileged access rights กำรบรหำรจดกำรสทธกำรเขำถงพเศษ


กำรใหและใชงำนของสทธกำรเขำถงพเศษตองถกจ ำกดและควบคม

A.9.2.4 Management of secret authentication information of users กำรบรหำรจดกำรขอมลลบทใชพสจนตวตนของผใชงำน


กำรใหขอมลลบทใชพสจนตวตน ตองถกควบคมผำนกระบวนกำรบรหำรจดกำรอยำงเปนทำงกำร

A.9.2.5 Review of user access rights กำรทบทวนสทธกำรเขำถงของผใชงำน


เจำของทรพยสนตองทบทวนสทธในกำรเขำถงของผใชงำนตำมรอบระยะเวลำทก ำหนด

A.9.2.6 Removal or adjustment of access rights กำรลบหรอปรบเปลยนสทธกำรเขำถง


สทธของพนกงำนและผใชงำนจำกหนวยงำนภำยนอกทกคน ส ำหรบเขำถงสำรสนเทศและอปกรณ

ประมวลผลขอมล ตองถกถอนเมอส นสภำพกำรวำจำง ส นสดสญญำ หรอขอตกลง หรอปรบปรงเมอมกำร

เปลยนแปลง

A.9.3 User responsibilities หนาทความรบผดชอบของผใชงาน

วตถประสงค เพอท ำใหผใชงำนมควำมรบผดชอบในกำรปกปองขอมลทใชพสจนตวตน

A.9.3.1 Use of secret authentication information กำรใชขอมลลบของกำรพสจนตวตน


ผใชงำนตองปฏบตตำมแนวปฏบตขององคกรในกำรใชขอมลลบทใชในกำรพสจนตวตน

A.9.4 System and application access control การควบคมการเขาถงระบบและโปรแกรมประยกต (Application)

วตถประสงค เพอปองกนกำรเขำถงระบบและโปรแกรมประยกต (Application) โดยผไมไดรบอนญำต

A.9.4.1 Information access restriction กำรจ ำกดกำรเขำถงสำรสนเทศ


กำรเขำถงสำรสนเทศและฟงกชนของระบบของโปรแกรมประยกต (Application) ตองถกจ ำกดตำม

นโยบำยควบคมกำรเขำถง

A.9.4.2 Secure log-on procedures ขนตอนกำรเขำสอยำงมนคงปลอดภย


กรณทก ำหนดโดยนโยบำยควบคมกำรเขำถง กำรเขำถงระบบและโปรแกรมประยกต (Application) ตำงๆ

ตองไดรบกำรควบคมโดยขนตอนกำรเขำสระบบอยำงมนคงปลอดภย

A.9.4.3 Password management system ระบบบรหำรจดกำรรหสผำน


ระบบบรหำรจดกำรรหสผำน ตองมปฏสมพนธ (Interactive) และตองมนใจไดถงรหสผำนทมคณภำพ


A.9.4.4 Use of privileged utility programs กำรใชงำนโปรแกรมยทลตพเศษ


กำรใชงำนโปรแกรมยทลต อำจจะสำมำรถขำมมำตรกำรควบคมของระบบและแอพลเคชนได จงตองถก

จ ำกดและควบคมอยำงเครงครด

A.9.4.5 Access control to program source code กำรควบคมกำรเขำถงซอรส โคดของโปรแกรม


กำรเขำถงซอรสโคดของโปรแกรมตองถกจ ำกด

A.10 Cryptography การเขารหสขอมล

A.10.1 Cryptography controls มาตรการควบคมการเขารหสขอมล

วตถประสงค เพอใหมนใจไดวำกำรใชงำนกำรเขำรหสขอมลเปนไปอยำงเหมำะสมและมประสทธผล เพอปองกนควำมลบ (Confidentiality) กำรพสจนตวตน (Authentication) และ/หรอควำมถกตองครบถวน (Integrity) ของสำรสนเทศ

A.10.1.1 Policy on the use of cryptographic controls นโยบำยกำรใชมำตรกำรควบคมกำรเขำรหสขอมล


นโบำยกำรใชมำตรกำรควบคมกำรเขำรหสขอมลเพอปกปองสำรสนเทศ ตองจดท ำข นและน ำไปปฏบต

A.10.1.2 Key management กำรบรหำรจดกำรกญแจ


นโยบำยกำรใชงำน กำรปองกน และอำยกำรใชงำนกญแจเขำรหสขอมล (Cryptographic Keys) ตอง

จดท ำข น และน ำไปปฏบตตลอดวงจรชวตของกญแจ

A.11 Physical and environmental security ความม นคงปลอดภยทางกายภาพและสภาพแวดลอม

A.11.1 Secure areas บรเวณทตองรกษาความม นคงปลอดภย

วตถประสงค เพอปองกนกำรเขำถงทำงกำยภำพโดยไมไดรบอนญำต ควำมเสยหำย กำรแทรกแซงตอสำรสนเทศและอปกรณประมวลผลขอมลขององคกร

A.11.1.1 Physical security perimeter

ควำมมนคงปลอดภยของแนวกนทำงกำยภำพ


แนวกนเขตควำมมนคงปลอดภยทำงกำยภำพ ตองถกก ำหนด และน ำไปใชเพอปกปองพนทดงกลำว ทม

สำรสนเทศและอปกรณประมวลผลขอมล ทงทมควำมออนไหว (Sensitive) และทมควำมส ำคญ (Critical)

อยภำยใน

A.11.1.2 Physical entry controls มำตรกำรควบคมกำรเขำ-ออกพนท


บรเวณทตองรกษำควำมมนคงปลอดภยตองไดรบกำรปกปองโดยมำตรกำรควบคมทำงเขำ-ออกอยำง

เหมำะสม เพอใหมนใจวำเฉพำะผทไดรบอนญำตเทำนน จงอนญำตใหเขำถงได


A.11.1.3 Securing offices, rooms and facilities ควำมมนคงปลอดภยของส ำนกงำน หองท ำงำน และอำคำรสถำนท


ควำมมนคงปลอดภยทำงกำยภำพของส ำนกงำน หองท ำงำน และอำคำรสถำนท ตองไดรบกำรออกแบบ

และน ำไปประยกตใช

A.11.1.4 Protecting against external and environmental threats กำรปองกนภยคกคำมจำกภำยนอกและสภำพแวดลอม


กำรปองกนทำงกำยภำพจำกภยพบตทำงธรรมชำต กำรบกรกทไมพงประสงค หรออบตเหต ตองไดรบกำร

ออกแบบและน ำไปประยกตใช

A.11.1.5 Working in secure areas กำรปฏบตงำนในบรเวณทตองรกษำควำมมนคงปลอดภย


ขนตอนปฏบตงำนในบรเวณทตองรกษำควำมปลอดภย ตองไดรบกำรออกแบบและน ำไปประยกตใช

A.11.1.6 Delivery and loading area พนทจดสงและรบของ


ต ำแหนงทเขำถงได เชน พนทจดสงและรบของ และต ำแหนงอนๆ ทผท ไมไดรบอนญำตสำมำรถเขำถง

พนทองคกรได ตองถกควบคม และถำเปนไปได ใหแยกออกจำกบรเวณทมอปกรณประมวลผลขอมล

ตงอย เพอหลกเลยงกำรเขำถงไมไดรบอนญำต

A.11.2 Equipment อปกรณ

วตถประสงค เพอปองกนกำรสญหำย ควำมเสยหำย กำรขโมยหรอท ำใหเปนอนตรำย (Compromise) ตอทรพยสน และท ำใหเกดกำรหยดชะงกในกำรด ำเนนงำนขององคกร

A.11.2.1 Equipment siting and protection กำรจดวำงและกำรปองกนอปกรณ


อปกรณตองไดรบกำรจดวำงและปองกน เพอลดควำมเสยงจำกภยคกคำมและอนตรำยจำกสภำพแวดลอม

และโอกำสในกำรเขำถงโดยไมไดรบอนญำต

A.11.2.2 Supporting utilities ระบบสำธำรณปโภคสนบสนน


อปกรณตองไดรบกำรปองกนจำกควำมลมเหลวของกระแสไฟฟำ (Power Failure) และกำรหยดชะงกอนๆ

(disruption) ทมสำเหตมำจำกควำมผดพลำดของระบบสำธำรณปโภคสนบสนน

A.11.2.3 Cabling security ควำมมนคงปลอดภยของกำรเดนสำยไฟฟำ สำยสอสำร และสำยสญญำณ


สำยไฟฟำและสำยโทรคมนำคมทสงขอมลหรอสนบสนนบรกำรทำงขอมล ตองไดรบกำรปกปองจำกกำร

ขดขวำงกำรท ำงำน (Interception) กำรแทรกแซงสญญำณ (Interference) หรอกำรท ำใหเสยหำย

(Damage)

A.11.2.4 Equipment maintenance กำรบ ำรงรกษำอปกรณ


อปกรณตองไดรบกำรบ ำรงรกษำอยำงถกตอง เพอใหมนใจถงควำมพรอมใชงำนและควำมถกตองในกำร

ท ำงำน


A.11.2.5 Removal of assets กำรน ำทรพยสนออก


อปกรณ สำรสนเทศ หรอซอฟตแวร ตองไมน ำออกนอกสถำนทโดยไมไดรบอนญำต

A.11.2.6 Security of equipment and assets off-premises ควำมมนคงปลอดภยของอปกรณและทรพยสนทใชงำนอยนอกส ำนกงำน


มำตรกำรดำนควำมปลอดภย ตองน ำมำใชกบทรพยสนทน ำออกไปใชงำนนอกส ำนกงำน โดยพจำรณำถง

ควำมเสยงตำงๆ ทมตอทรพยสนเมอน ำไปปฏบตงำนนอกสถำนท

A.11.2.7 Secure disposal or reuse of equipment กำรก ำจดอปกรณหรอน ำมำใชซ ำอยำงมนคงปลอดภย


อปกรณทงหมด ทมส อบนทกขอมล ตองไดรบกำรตรวจสอบ เพอใหมนใจวำขอมลส ำคญและซอฟตแวร

ลขสทธท ตดตงอย ไดถกลบทง หรอบนทกทบอยำงมนคงปลอดภย กอนน ำไปท ำลำยหรอน ำไปใชซ ำ

A.11.2.8 Unattended user equipment

อปกรณทไมมผดแล


ผใชงำนตองมนใจวำอปกรณทไมมผดแลไดรบกำรปองกนอยำงเหมำะสม

A.11.2.9 Clear desk and clear screen policy นโยบำยกำรเกบโตะท ำงำน และลบหนำจอใหวำง


นโยบำยกำรเกบโตะท ำงำนส ำหรบกระดำษเอกสำรและสอบนทกขอมลทเคลอนยำยได และนโยบำยกำร

ลบหนำจอใหวำง ส ำหรบอปกรณประมวลผลขอมล ตองมกำรน ำไปปฏบต

A.12 Operation security ความม นคงปลอดภยในการปฏบตงาน

A.12.1 Operation procedures and responsibilities ข นตอนการปฏบตงานและหนาทความรบผดชอบ

วตถประสงค เพอใหมนใจวำกำรปฏบตงำนของอปกรณประมวลผลขอมลมควำมถกตองและมนคงปลอดภย

A.12.1.1 Documented operating procedures ขนตอนกำรปฏบตงำนทเปนลำยลกษณอกษร


ขนตอนกำรปฏบตงำนตองมกำรจดท ำเปนลำยลกษณอกษร และมพรอมใชแกผใชงำนทกคนทจ ำเปนตอง

ใช

A.12.1.2 Change management

กำรบรหำรจดกำรควำมเปลยนแปลง


กำรเปลยนแปลงขององคกร กระบวนกำรทำงธรกจ อปกรณประมวลผลขอมล และระบบตำงๆ ทม

ผลกระทบตอควำมมนคงปลอดภยส ำหรบสำรสนเทศ ตองไดรบกำรควบคม

A.12.1.3 Capacity management กำรบรหำรจดกำรขดควำมสำมำรถ


กำรใชงำนทรพยำกร ตองไดรบกำรเฝำระวง ปรบแตง คำดกำรณควำมตองกำรของขดควำมสำมำรถใน

อนำคต เพอใหมนใจในประสทธภำพของระบบตำมทตองกำร


A.12.1.4 Separation of development, testing and operational environments กำรแบงแยกสภำพแวดลอมของกำรพฒนำ กำรทดสอบ และกำรท ำงำนจรงออกจำกกน


สภำพแวดลอมของกำรพฒนำ กำรทดสอบ และกำรท ำงำนจรง ตองถกแบงแยกออกจำกกน เพอลดควำม

เสยงของกำรเขำถงโดยไมไดรบอนญำต หรอกำรเปลยนแปลงสภำพแวดลอมของกำรปฏบตงำนจรง

A.12.2 Protection from malware การปองกนโปรแกรมไมพงประสงค

วตถประสงค เพอใหมนใจวำสำรสนเทศและอปกรณประมวลผลขอมลไดรบกำรปองกนจำกโปรแกรมไมพงประสงค

A.12.2.1 Controls against malware มำตรกำรควบคมโปรแกรมไมพงประสงค


มำตรกำรตรวจจบ กำรปองกน และกำรกคน เพอปองกนจำกโปรแกรมไมพงประสงค ตองน ำไปปฏบต

รวมกบกำรสรำงควำมตระหนกแกผใชงำนอยำงเหมำะสม

A.12.3 Backup การส ารองขอมล

วตถประสงค เพอปองกนกำรสญหำย/สญเสยขอมล

A.12.3.1 Information backup กำรส ำรองขอมล


กำรส ำรองสำรสนเทศ ซอฟตแวร และอมเมจของระบบ ตองมกำรปฏบต และทดสอบอยำงสม ำเสมอ

สอดคลองกบนโยบำยส ำรองขอมลทก ำหนดไว

A.12.4 Logging and monitoring การบนทกลอกและการเฝาระวง

วตถประสงค เพอบนทกเหตกำรณและกำรสรำง (generate) หลกฐำน

A.12.4.1 Event logging กำรบนทกลอกของเหตกำรณ


ลอกเหตกำรณทบนทกกจกรรมของผใชงำน ขอยกเวน (Exception) ขอผดพลำด (Fault) และเหตกำรณ

ดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศ ตองมกำรจดท ำข น จดเกบ และทบทวนอยำงสม ำเสมอ

A.12.4.2 Protection of log information กำรปองกนขอมลลอก


อปกรณบนทกลอกและขอมลลอก ตองไดรบกำรปองกนจำกกำรเปลยนแปลงเพอท ำลำย (Tempering)

และเขำถงโดยไมไดรบอนญำต

A.12.4.3 Administrator and operator logs ลอกของผดแลระบบและเจำหนำทปฏบตกำร


กจกรรมของผดแลระบบและเจำหนำทปฏบตกำร ตองไดรบกำรบนทกลอก และขอมลลอกตองไดรบกำร

ปองกนและทบทวนอยำงสม ำเสมอ


A.12.4.4 Clock synchronization กำรประสำนเวลำของนำฬกำ


นำฬกำของระบบทงหมดทเกยวของกบอปกรณประมวลผลขอมลภำยในองคกร หรอโดเมนควำมมนคง

(Security Domain) ตองไดรบกำรประสำนเวลำใหตรงกบแหลงเทยบเวลำอำงองเดยวกน

A.12.5 Control of operation software การควบคมซอฟตแวรปฏบตการ

วตถประสงค เพอใหมนใจวำระบบปฏบตกำรมควำมถกตองครบถวน

A.12.5.1 Installation of software on operational systems กำรตดตงซอฟตแวรบนระบบปฏบตกำร


ขนตอนปฏบตงำนตองน ำมำปฏบตเพอควบคมกำรตดตงซอฟตแวรบนระบบปฏบตกำร

A.12.6 Technical vulnerability management การบรหารจดการชองโหวทางเทคนค

วตถประสงค เพอปองกนกำรแสวงหำประโยชนจำกชองโหวทำงเทคนค

A.12.6.1 Management of technical vulnerabilities กำรบรหำรจดกำรชองโหวทำงเทคนค


ขอมลเกยวกบชองโหวทำงเทคนคของระบบสำรสนเทศทใชงำน ตองไดรบภำยในเวลำททนทวงท กำร

เปดเผยชองโหวดงกลำวขององคกรตองถกประเมนและระบมำตรกำรทเหมำะสมเพอจดกำรควำมเสยงท

เกยวของ

A.12.6.2 Restrictions on software installation กำรจ ำกดกำรตดตงซอฟตแวร


กฏบรหำรงำนของกำรตดตงซอฟตแวรโดยผใชงำน ตองจดท ำข นและน ำไปปฏบต

A.12.7 Information systems audit consideration

การพจารณาส าหรบการตรวจสอบระบบสารสนเทศ

วตถประสงค เพอลดผลกระทบจำกกจกรรมกำรตรวจประเมนระบบกำรด ำเนนงำน

A.12.7.1 Information systems audit controls มำตรกำรควบคมของกำรตรวจสอบระบบสำรสนเทศ


ขอก ำหนดและกจกรรมของกำรตรวจตรวจสอบทเกยวของกบกำรทวนสอบระบบปฏบตกำร ตองมกำร

วำงแผนอยำงระมดระวง และไดรบควำมเหนชอบเพอลดกำรหยดชะงกตอกระบวนกำรทำงธรกจใหนอย

ทสด

A.13 Communication security ความม นคงปลอดภยดานการสอสาร

A.13.1 Network security management การบรหารจดการความปลอดภยส าหรบเครอขาย

วตถประสงค เพอใหมนใจถงกำรปองกนสำรสนเทศบนเครอขำยและอปกรณประมวลผลทสนบสนนเครอขำย


A.13.1.1 มำตรกำรควบคมของเครอขำย Network controls


เครอขำยตองไดรบกำรบรหำรจดกำรและควบคมเพอปองกนสำรสนเทศบนระบบและโปรแกรมประยกต

(Application)

A.13.1.2 Security of network services ควำมมนคงปลอดภยของบรกำรเครอขำย


กลไกดำนควำมมนคงปลอดภย ระดบกำรใหบรกำร และขอก ำหนดของกำรบรกำรจดกำรของบรกำร

เครอขำยทงหมด ตองไดรบกำรระบ และรวมอยในขอตกลงกำรใหบรกำรเครอขำย ไมวำจะเปนกำร

ใหบรกำรโดยหนวยงำนภำยใน (In-house) หรอหนวยงำยภำยนอก (Outsourced)

A.13.1.3 Segregation in networks กำรแบงแยกเครอขำย


กลมของบรกำรดำนสำรสนเทศ ผใชงำน และระบบสำรสนเทศตำงๆ ตองไดรบกำรแบงแยกบนเครอขำย

A.13.2 Information transfer การถายโอนขอมล

วตถประสงค เพอรกษำควำมมนคงปลอดภยของสำรสนเทศทถกถำยโอนภำยในองคกร และทถำยโอนไปยงหนวยงำนภำยนอกใหคงไว

A.13.2.1 Information transfer policies and procedures นโยบำยและขนตอนปฏบตงำนในกำรถำยโอนขอมล


นโยบำย ขนตอนปฏบตงำน และมำตรกำรควบคมตำงๆ อยำงเปนทำงกำร ตองมไวเพอปองกนกำรถำย

โอนสำรสนเทศผำนกำรใชอปกรณสอสำรทกประเภท

A.13.2.2 Agreements on information transfer ขอตกลงในกำรถำยโอนขอมล


ขอตกลงตองมก ำหนดถงกำรถำยโอนสำรสนเทศทำงธรกจอยำงมนคงปลอดภยระหวำงองคกรและ

หนวยงำนภำยนอก

A.13.2.3 Electronic messaging กำรสงขอควำมอเลกทรอนกส


ขอมลทมกำรสงผำนทำงกำรสงขอควำมอเลกทรอนกส ตองไดรบกำรปกปองอยำงเหมำะสม

A.13.2.4 ขอตกลงกำรรกษำควำมลบหรอกำรไมเปดเผยควำมลบConfidentiality or nondisclosure agreements


ขอก ำหนดส ำหรบกำรรกษำควำมลบ หรอกำรไมเปดเผยควำมลบทสะทอนใหเหนถงควำมจ ำเปนของ

องคกรในกำรปกปองขอมล ตองไดรบกำรระบ ทบทวนอยำงสม ำเสมอ และจดท ำเปนลำยลกษณอกษร

A.14 System acquisition, development and maintenance การจดหา การพฒนา และการบ ารงรกษาระบบ

A.14.1 Security requirements of information systems ขอก าหนดดานความม นคงปลอดภยของระบบสารสนเทศ

วตถประสงค เพอใหมนใจวำควำมมนคงปลอดภยส ำหรบสำรสนเทศเปนสวนทไดผนวกรวมเขำไปในระบบสำรสนเทศตลอดวงจรชวต และยงรวมถงขอก ำหนดของระบบสำรสนเทศทไดใหบรกำรผำนเครอขำยสำธำรณะ


A.14.1.1 Information security requirements analysis and specification กำรวเครำะหและระบขอก ำหนดดำนมนคงปลอดภยส ำหรบสำรสนเทศ


ขอก ำหนดดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศทเกยวของตองรวมไวในขอก ำหนดของระบบ

สำรสนเทศใหม หรอกำรพฒนำปรบปรงระบบสำรสนเทศเดม

A.14.1.2 Securing application services on public networks กำรรกษำควำมมนคงปลอดภยของบรกำรโปรแกรมประยกต (Application) บนเครอขำยสำธำรณะ


สำรสนเทศทอยในกำรใหบรกำรโปรแกรมประยกต (Application) บนเครอขำยสำธำรณะ ตองไดรบกำร

ปกปองจำกกำรฉอโกง กำรโตแยงสญญำ (Contract dispute) และกำรเปดเผยและกำรเปลยนแปลงโดย

ไมไดรบอนญำต

A.14.1.3 Protecting application services transactions กำรปองกนธรกรรมของบรกำรโปรแกรมประยกต

(Application)


สำรสนเทศทเกยวของกบธรกรรมของบรกำรโปรแกรมประยกต (Application) ตองไดรบกำรปองกนจำก

กำรสอสญญำณทไมสมบรณ (Incomplete Transmission) กำรจดเสนทำงผด (Mis-routing) กำรปรบแก

ขอควำมโดยไมไดรบอนญำต กำรเปดเผยโดยไมไดรบอนญำต กำรท ำส ำเนำหรอเลนขอควำมซ ำ

(Replay) โดยไมไดรบอนญำต

A.14.2 Security in development and support process

ความม นคงปลอดภยในกระบวนการพฒนาและกระบวนการสนบสนน

วตถประสงค เพอใหมนใจวำควำมมนคงปลอดภยส ำหรบสำรสนเทศไดถกออกแบบและน ำไปปฏบตตลอดวงจรชวตของกำรพฒนำระบบสำรสนเทศ

A.14.2.1 Secure development policy นโยบำยส ำหรบกำรพฒนำอยำงมนคงปลอดภย


กฎส ำหรบกำรพฒนำซอฟตแวรและระบบงำน ตองจดท ำข นและน ำไปประยกตใชกบกำรพฒนำตำงๆ

ภำยในองคกร

A.14.2.2 System change control procedures ขนตอนปฏบตงำนกำรควบคมควำมเปลยนแปลงของระบบ


ควำมเปลยนแปลงของระบบภำยในวงจรชวตของกำรพฒนำ ตองไดรบกำรควบคมโดยใชขนตอน

ปฏบตงำนควบคมควำมเปลยนแปลงอยำงเปนทำงกำร

A.14.2.3 Technical review of applications after operating platform changes กำรทบทวนทำงเทคนคของโปรแกรมประยกต (Application) ภำยหลงกำรเปลยนแปลงแพลตฟอรมปฏบตกำร


เมอแพลตฟอรมปฏบตกำร (Operating Platforms) ถกเปลยนแปลง โปรแกรมประยกตทมควำมส ำคญ

ทำงธรกจ ตองไดรบกำรทบทวน และทดสอบ เพอใหมนใจวำไมมผลกระทบในทำงลบตอกำรปฏบตงำน

(Operation) และควำมมนคงปลอดภยขององคกร

A.14.2.4 Restrictions on changes to software packages กำรจ ำกดกำรเปลยนแปลงกบซอฟตแวรส ำเรจรป


กำรปรบปรงซอฟตแวรส ำเรจรป ตองไดรบกำรหำมกระท ำ กำรจ ำกดกำรเปลยนแปลงทงทจ ำเปนและ

ทงหมดตองถกควบคมอยำงเครงครด


A.14.2.5 Secure system engineering principles หลกกำรทำงวศวกรรมระบบควำมมนคงปลอดภย


หลกกำรของวศวกรรมระบบควำมมนคงปลอดภย ตองมกำรจดตงข น จดท ำเปนลำยลกษณอกษร รกษำให

คงไว และน ำไปใชกบกำรประยกตใชระบบสำรสนเทศใดๆ กตำม

A.14.2.6 Secure development environment สภำพแวดลอมกำรพฒนำทมนคงปลอดภย


องคกรตองจดตงและปองกนสภำพแวดลอมกำรพฒนำอยำงเหมำะสม ส ำหรบกำรพฒนำและบรณำกำร

ระบบ โดยใหครอบคลมตลอดทงวงจรชวตของกำรพฒนำระบบ

A.14.2.7 Outsourced development กำรพฒนำโดยหนวยงำนภำยนอก


องคกรตองก ำกบดแลและเฝำตดตำมกจกรรมกำรพฒนำระบบทด ำเนนกำรโดยหนวยงำนภำยนอก

A.14.2.8 System security testing

กำรทดสอบควำมมนคงปลอดภยของระบบ


กำรทดสอบคณสมบตดำนควำมมนคงปลอดภย (Security Functionality) ตองด ำเนนกำรในระหวำงกำร

พฒนำ

A.14.2.9 System acceptance testing กำรทดสอบตรวจรบระบบ


โปรแกรมกำรทดสอบตรวจรบและเกณฑทเกยวของ ตองจดท ำข นส ำหรบระบบสำรสนเทศใหม ระบบท

ยกระดบขน (Upgrade) และเวอรชนใหมของระบบ

A.14.3 Test data ขอมลทดสอบ

วตถประสงค เพอใหมนใจวำขอมลทใชในกำรทดสอบไดรบกำรปกปอง

A.14.3.1 Protection of test data กำรปกปองขอมลทดสอบ


ขอมลทดสอบตองถกคดเลอกอยำงระมดระวง และไดรบกำรปกปองและควบคม

A.15 Supplier relationships ความสมพนธกบผขาย

A.15.1 Information security in supplier relationships

ความม นคงปลอดภยส าหรบสารสนเทศในความสมพนธกบผขาย

วตถประสงค เพอใหมนใจวำทรพยสนขององคกรทสำมำรถเขำถงไดโดยหนวยงำนภำยนอกไดรบกำรปองกน

A.15.1.1 Information security policy for supplier relationships นโยบำยควำมมนคงปลอดภยส ำหรบสำรสนเทศส ำหรบควำมสมพนธกบผขำย


ขอก ำหนดดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศเพอจดกำรควำมเสยงทเกยวของกบกำรเขำถง

ทรพยสนองคกรโดยหนวยงำนภำยนอก ตองไดรบกำรตกลงรวมกนกบหนวยงำนภำยนอก และจดท ำเปน

ลำยลกษณอกษร


A.15.1.2 Addressing security within supplier agreements กำรระบขอก ำหนดในขอตกลงกบผขำย


ขอก ำหนดทงหมดทเกยวของดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศ ตองจดท ำข น และตกลงรวมกน

กบผขำยแตละรำย ทอำจท ำกำรเขำถง ประมวลผล จดเกบ สอสำรกบสำรสนเทศขององคกร หรอ

ใหบรกำรสวนประกอบของโครงสรำงพนฐำนดำนเทคโนโลยสำรสนเทศ (IT Infrastructure

Components) ส ำหรบสำรสนเทศขององคกร

A.15.1.3 Information and communication technology supply chain หวงโซอปทำนของเทคโนโลยสำรสนเทศและกำรสอสำร


ขอตกลงกบผขำย ตองรวมถงขอก ำหนดทระบถงควำมเสยงดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศท

เกยวของกบสำรสนเทศและบรกำรเทคโนโลยกำรสอสำรทกอใหเกดหวงโซอปทำน (Supply Chain)

A.15.2 Supplier service delivery management การบรหารจดการการสงมอบบรการของผขาย

วตถประสงค เพอรกษำระดบของควำมมนคงปลอดภยส ำหรบสำรสนเทศ และระดบของกำรสงมอบบรกำร ทเหนชอบรวมกนใหคงไวตำมขอตกลงกบผขำย

A.15.2.1 Monitoring and review of supplier services กำรตดตำมและทบทวนบรกำรของผขำย


องคกรตองตดตำม ทบทวน และตรวจประเมนกำรสงมอบบรกำรของผขำยอยำงสม ำเสมอ

A.15.2.2 Managing changes to supplier services กำรบรหำรจดกำรควำมเปลยนแปลงบรกำรของผขำย


กำรเปลยนแปลงกำรใหบรกำรของผขำย รวมถงกำรรกษำใหคงไว และกำรปรบปรงนโยบำย ขนตอน

ปฏบตงำน และมำตรกำรควบคมดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศทมอย ตองไดรบกำรบรหำร

จดกำร โดยพจำรณำถงควำมส ำคญของสำรสนเทศ ระบบ และกระบวนกำรทำงธรกจทเกยวของ และตอง

ประเมนควำมเสยงซ ำ

A.16 Information security incident management การบรหารจดการเหตการณดานความม นคงปลอดภยส าหรบสารสนเทศ

A.16.1 Management of information security incident and improvements การบรหารจดการเหตการณดานความม นคงปลอดภยส าหรบสารสนเทศและการปรบปรงพฒนา

วตถประสงค เพอมนใจถงวธกำรทสม ำเสมอและมประสทธภำพในกำรบรหำรจดกำรเหตกำรณดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศ รวมถงกำรสอสำรเกยวกบจดออนและสถำนกำรณดำนควำมมนคงปลอดภย

A.16.1.1 Responsibilities and procedures หนำทควำมรบผดชอบและขนตอนปฏบตงำน


หนำทควำมรบผดชอบของผบรหำรและขนตอนปฏบตงำน ตองจดท ำข นเพอใหมนใจถงกำรตอบสนองได

อยำงรวดเรว (Quick) มประสทธผล (Effective) และเปนระเบยบแบบแผน (Orderly) ตอเหตกำรณดำน



A.16.1.2 Reporting information security events กำรรำยงำนเหตกำรณดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศ


สถำนกำรณควำมมนคงปลอดภยส ำหรบสำรสนเทศ ตองถกรำยงำนผำนชองทำงกำรบรหำรจดกำรท

เหมำะสมอยำงรวดเรวเทำทท ำได

A.16.1.3 Reporting information security weaknesses กำรรำยงำนจดออนดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศ


พนกงำนและผท ำสญญำจำงทใชงำนระบบและบรกำรสำรสนเทศขององคกร ตองท ำกำรจดบนทก และ

รำยงำนขอสงเกตหรอจดออนดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศทนำสงสยใดๆ ในระบบหรอ

บรกำรตำงๆ

A.16.1.4 Assessment of and decision on information security events กำรประเมนและตดสนใจตอเหตกำรณดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศ


สถำนกำรณ (Events) ควำมมนคงปลอดภยส ำหรบสำรสนเทศ ตองถกประเมนและถกตดสนใจ ถำ

สถำนกำรณดงกลำวถกจดหมวดหมเปนเหตกำรณ (Incidents) ดำนควำมมนคงปลอดภยส ำหรบ

สำรสนเทศ

A.16.1.5 Response to information security incidents กำรตอบสนองตอเหตกำรณดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศ


เหตกำรณดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศ ตองไดรบกำรตอบสนองตำมขนนตอนปฏบตงำนท

จดท ำเปนลำยลกษณอกษร

A.16.1.6 Learning from information security incidents กำรเรยนรจำกเหตกำรณดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศ


ควำมรทไดรบจำกกำรวเครำะหและกำรแกปญหำเหตกำรณควำมมนคงปลอดภยส ำหรบสำรสนเทศ ตองถก

น ำไปใชเพอลดโอกำสหรอผลกระทบของเหตกำรณในอนำคต

A.16.1.7 Collection of evidence กำรเกบรวบรวมหลกฐำน:


องคกรตองก ำหนดขนตอนปฏบตงำนและน ำมำใชในกำรระบ (Identification), กำรเกบรวบรวม

(Collection) กำรจดหำ (Acquisition) กำรเกบรกษำ (Preservation) สำรสนเทศทสำมำรถน ำมำเปน

หลกฐำน

A.17 Information security aspect of business continuity management ความม นคงปลอดภยส าหรบสารสนเทศในแงมมของการบรหารจดการความตอเนองทางธรกจ

A.17.1 Information security continuity ความตอเนองดานความม นคงปลอดภยส าหรบสารสนเทศ

วตถประสงค ควำมตอเนองดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศ ตองถกฝงลงไปในระบบบรหำรจดกำรควำมตอเนองทำงธรกจขององคกร

A.17.1.1 Planning information security continuity กำรวำงแผนควำมตอเนองของควำมมนคงปลอดภยส ำหรบสำรสนเทศ


องคกรตองระบขอก ำหนดของตน ส ำหรบควำมมนคงปลอดภยส ำหรบสำรสนเทศขององคกร และควำมม

ตอเนองของกำรบรหำรจดกำรควำมมนคงปลอดภยส ำหรบสำรสนเทศภำยใตสถำนกำรณทไมพงประสงค

เชน ในชวงวกฤต หรอภยพบต


A.17.1.2 Implementing information security continuity กำรน ำไปปฏบตดำนควำมตอเนองของควำมมนคงปลอดภยส ำหรบสำรสนเทศ


องคกรตองจดตงข น จดท ำเปนลำยลกษณอกษร น ำไปปฏบต และรกษำกระบวนกำร ขนตอนปฏบตงำน

และมำตรกำรควบคม เพอใหมนใจถงระดบควำมตอเนองของควำมมนคงปลอดภยส ำหรบสำรสนเทศท

ตองกำรในระหวำงสถำนกำรณทไมพงประสงค

A.17.1.3 Verify, review and evaluate information security continuity ทวนสอบ ทบทวน และประเมนควำมตอเนองดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศ


องคกรตองทวนสอบมำตรกำรควำมตอเนองดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศทจดท ำข นและ

น ำไปปฏบตตำมรอบระยะเวลำทก ำหนด เพอใหมนวำยงคงมำตรกำรเหลำนนยงคงใชไดสมเหตสมผล และ

มประสทธผลในระหวำงสถำนกำรณทไมพงประสงค

A.17.2 Redundancies การส ารองซ าซอน

วตถประสงค เพอใหมนใจวำอปกรณประมวลผลขอมลมควำมพรอมใชงำน

A.17.2.1 Availability of information processing facilities ควำมพรอมใชงำนของอปกรณประมวลผลขอมล


อปกรณประมวลผลขอมล ตองมกำรส ำรองซ ำซอนไวอยำงเพยงพอ เพอใหเปนไปตำมขอก ำหนดดำน

ควำมพรอมใชงำน

A.18 Compliance การปฏบตตามขอก าหนด

A.18.1 Compliance with legal and contractual requirements การปฏบตตามขอก าหนดดานกฎหมายและสญญา

วตถประสงค เพอหลกเลยงกำรละเมดกฎหมำย ระเบยบขอบงคบ ขอก ำหนด หรอขอผกพนตำมสญญำทเกยวของกบควำมมนคงปลอดภยส ำหรบสำรสนเทศ และขอก ำหนดดำนควำมมนคงปลอดภยใดๆ กตำม

A.18.1.1 Identification of applicable legislation and contractual requirements กำรระบขอก ำหนดดำนกฎหมำยและสญญำทเกยวของ


กฎหมำย ขอก ำหนดทำงกฎหมำย ระเบยบขอบงคบ และขอผกพนตำมสญญำทเกยวของทงหมด และ

วธกำรขององคกรเพอใหเปนไปตำมขอก ำหนดดงกลำว ตองถกระบอยำงชดเจน จดท ำเปนลำยลกษณ

อกษร และปรบปรงใหทนสมย ส ำหรบแตละระบบสำรสนเทศ และส ำหรบองคกร

A.18.1.2 Intellectual property rights สทธในทรพยสนทำงปญญำ


ขนตอนปฏบตทเหมำะสมตองน ำไปปฏบต เพอใหมนใจวำสอดคลองกบกฎหมำย ระเบยบขอบงคบ และ

ขอผกพนตำมสญญำทเกยวของกบสทธในทรพยสนทำงปญญำ และกำรใชซอฟตแวรทมกรรมสทธ

(Proprietary Software)


A.18.1.3 Protection of records กำรปองกนบนทก


บนทกตองไดรบกำรปองกนจำกกำรสญหำย กำรท ำลำย กำรปลอมแปลง กำรเขำถงโดยไมไดรบอนญำต และกำรเผยแพรออกไปโดยไมไดรบอนญำต ตำมทกฏหมำย ระเบยบขอบงคบ ขอผกพนตำมสญญำ และขอก ำหนดทำงธรกจทไดก ำหนดไว

A.18.1.4 Privacy and protection of personally identifiable information

ควำมเปนสวนตวและกำรปกปองขอมลสวนบคคล


กำรรกษำควำมเปนสวนตว และกำรปกปองขอมลสวนบคคล ตองมนใจวำเปนไปตำมทระบไวในกฎหมำย

และระเบยบขอบงคบทเกยวของ ถำเหมำะสม

A.18.1.5 Regulation of cryptographic controls ขอบงคบของมำตรกำรควบคมของกำรเขำรหสขอมล


มำตรกำรควบคมกำรเขำรหส ตองน ำไปใชเพอใหสอดคลองกบขอตกลง กฏหมำย และระเบยบขอบงคบท

เกยวของทงหมด

A.18.2 Information security reviews การทบทวนความม นคงปลอดภยดานสารสนเทศ

วตถประสงค เพอใหมนใจวำควำมมนคงปลอดภยส ำหรบสำรสนเทศมกำรน ำไปปฏบตและมกำรด ำเนนงำนตำมนโยบำยและขนตอนปฏบตงำนขององคกร

A.18.2.1 Independent review of information security กำรทบทวนดำนควำมมนคงปลอดภยส ำหรบสำรสนเทศอยำงเปนอสระ


วธกำรขององคกรทใชเพอบรกำรจดกำรควำมมนคงปลอดภยส ำหรบสำรสนเทศ และกำรน ำไปปฏบต เชน

วตถประสงคของมำตรกำร (Control objectives) มำตรกำรควบคม (Controls) นโยบำย กระบวนกำร และ

ขนตอนปฏบตงำนส ำหรบควำมมนคงปลอดภยส ำหรบสำรสนเทศ ตองไดรบกำรทบทวนอยำงเปนอสระ

ตำมรอบระยะเวลำทก ำหนด หรอเมอมควำมเปลยนแปลงทมนยส ำคญเกดข น

A.18.2.2 Compliance with security policies and standards กำรปฏบตตำมนโยบำยและมำตรฐำนดำนควำมมนคงปลอดภย


ผจดกำรตองทบทวนควำมสอดคลองอยำงสม ำเสมอของกำรประมวลผลขอมล และขนตอนปฏบตงำนทอย

ภำยใตควำมรบผดชอบของตน กบนโยบำยและมำตรฐำนควำมมนคงปลอดภย และขอก ำหนดดำนควำม

มนคงปลอดภยอนๆ ทเหมำะสม

A.18.2.3 Technical compliance review กำรทบทวนควำมสอดคลองทำงเทคนค


ระบบสำรสนเทศตองไดรบกำรทบทวนควำมสอดคลองอยำงสม ำเสมอกบนโยบำยและมำตรฐำนควำม

มนคงปลอดภยส ำหรบสำรสนเทศขององคกร