M8.5    ก�รบริห�รคว�มมั่นคงปลอดภัยส�รสนเทศ

               องค์กรต้องกำ�หนดกระบวนก�รและวิธีก�รที่จำ�เป็น เพื่อลดคว�มเสี่ยงและคว�มเสียห�ยของข้อมูลและส�รสนเทศในทุกรูปแบบ รวมถึงก�รระวัง
               ป้องกันต่ออ�ชญ�กรรม ก�รโจมตี ก�รบ่อนทำ�ล�ย ก�รจ�รกรรม และคว�มผิดพล�ดต่�งๆ โดยคำ�นึงถึงองค์ประกอบพื้นฐ�นของคว�มปลอดภัย
               ของข้อมูล ได้แก่ ก�รรักษ�คว�มลับของข้อมูลก�รรักษ�คว�มคงสภ�พของข้อมูล หรือคว�มสมบูรณ์ของข้อมูลและคว�มพร้อมใช้ง�นของข้อมูล


               M8.5.1 ก�รบริห�รจัดก�รคว�มมั่งคงปลอดภัยส�รสนเทศ
                     องค์กรต้องจัดทำ�ระบบบริห�รจัดก�รคว�มมั่งคงปลอดภัยส�รสนเทศต�มม�ตรฐ�นส�กล โดยควรดำ�เนินก�รดังนี้
                     M8.5.1.1  กำ�หนดนโยบ�ยหรือแผนก�รบริห�รจัดก�รคว�มมั่นคงปลอดภัยส�รสนเทศ
                     M8.5.1.2  สื่อส�รนโยบ�ยหรือแผนก�รบริห�รจัดก�รคว�มมั่นคงปลอดภัยส�รสนเทศ
                     M8.5.1.3  กำ�หนดแนวท�งหรือวิธีก�รวัดประสิทธิผลของก�รบริห�รคว�มมั่นคงปลอดภัยส�รสนเทศ M8.4.1.4  กำ�หนดสิทธิ  หน�ที่
                                                                                                                   ้
                                                 ู
                              และคว�มรับผิดชอบของผ้มีส่วนได้ส่วนเสียในก�รบริห�รจัดก�รข้อมูล ทุกข้นตอน เพื่อให้ก�รได้ม�และก�รนำ�ไปใช้ข้อมูล
                                                                                    ั
                              ของหน่วยง�น ได้ถูกต้อง แม่นยำ� ครบถ้วน เป็นปัจจุบัน และใช้ง�นง่�ย
               M8.5.2 ก�รบริห�รจัดก�รคว�มเสี่ยงด้�นคว�มมั่นคงปลอดภัยส�รสนเทศ
                                                         ั
                     องค์กรต้องบริห�รจัดก�รคว�มเสี่ยงด้�นคว�มม่นคงปลอดภัยส�รสนเทศให้สอดคล้องกับก�รบริห�รจัดก�รคว�มเสี่ยงขององค์กร
                     และต้องเชื่อมโยงคว�มเสี่ยงกับคว�มเสี่ยงในระดับองค์กร / ธุรกิจ โดยควรดำ�เนินก�รดังนี้
                     M8.5.2.1  กำ�หนดประเด็นภ�ยในและประเด็นภ�ยนอกองค์กรที่เก่ยวข้องกับจุดประสงค์ขององค์กร และที่ส่งผลต่อคว�มส�ม�รถ
                                                                       ี
                              ในก�รบรรลุผลลัพธ์ต�มที่ต้องก�รของก�รบริห�รจัดก�รคว�มเสี่ยงด้�นคว�มมั่นคงปลอดภัยส�รสนเทศ
                     M8.5.2.2  กำ�หนดนโยบ�ยและแผนก�รบริห�รจัดก�รคว�มเสี่ยงด้�นคว�มมั่นคงปลอดภัยส�รสนเทศ
                     M8.5.2.3  สื่อส�รนโยบ�ยและแผนคว�มเสี่ยงด้�นคว�มมั่นคงปลอดภัยส�รสนเทศ
                     M8.5.2.4  กำ�หนดแนวท�งหรือวิธีก�รวัดประสิทธิผลของก�รบริห�รคว�มเสี่ยงด้�นคว�มมั่นคงปลอดภัยส�รสนเทศ

               M8.5.3 ก�รตรวจประเมินก�รบริห�รจัดก�รคว�มมั่งคงปลอดภัยส�รสนเทศ
                     องค์กรต้องกำ�หนดกระบวนก�รตรวจประเมินก�รบริห�รจัดก�รคว�มม่งคงปลอดภัยส�รสนเทศ ที่สอดคล้องกับม�ตรฐ�นส�กล
                                                                           ั
                     โดยควรดำ�เนินก�รดังนี้
                     M8.5.3.1 ว�งแผน กำ�หนด นำ�ไปปฏิบัติ และรักษ�ให้คงไว้ต�มแผนก�รตรวจประเมิน รวมถึงคว�มถี่ วิธีก�ร หน้�ที่คว�มรับผิดชอบ
                              ข้อกำ�หนดของก�รว�งแผนและก�รร�ยง�นผล รวมทั้งให้คว�มสำ�คัญกับกระบวนก�รที่เกี่ยวข้องและผลก�รประเมินครั้งก่อน
                     M8.5.3.2  กำ�หนดเกณฑ์ก�รตรวจประเมิน และขอบเขตก�รประเมินแต่ละครั้ง
                     M8.5.3.3  คัดเลือกผู้ตรวจประเมินและดำ�เนินก�รตรวจประเมินที่มีคว�มเป็นกล�งและคว�มเป็นธรรม
                     M8.5.3.4  ร�ยง�นผลก�รตรวจประเมินเสนอต่อผู้บริห�รที่เกี่ยวข้องและเก็บรักษ�เอกส�รสนเทศ
                     M8.5.3.5 กำ�หนดแนวท�งหรือวิธีก�รวัดประสิทธิผลของก�รตรวจประเมินก�รบริห�รจัดก�รคว�มมั่งคงปลอดภัยส�รสนเทศ











                                                                                                                    205