มาตรฐาน ISO/IEC 27001
มาตรฐาน ISO 27001 เป็นแนวทางเชิงระบบที่ประกอบด้วยกระบวนการ เทคโนโลยี และบุคคลที่ช่วยปกป้องและจัดการกับข้อมูลองค์กรด้วยการจัดการความเสี่ยงที่มีประสิทธิภาพอย่างถูกต้องและครอบคลุม โดยมีหลักการที่สำคัญ 3 ประการ ได้แก่ การปกป้องข้อมูลให้เข้าถึงได้เฉพาะผู้ที่ได้รับอนุญาตเท่านั้น การปกป้องความถูกต้องครบถ้วนของข้อมูล และความพร้อมใช้งานของระบบข้อมูล ระบบการจัดการความมั่นคงปลอดภัยด้านสารสนเทศ มีประโยชน์ดังต่อไปนี้
- ช่วยให้องค์กรมีการปรับปรุงระบบสารสนเทศอย่างต่อเนื่อง
- ปกป้องชื่อเสียงองค์กรจากภัยคุกคามด้านความมั่นคงปลอดภัยของข้อมูล
- ช่วยให้องค์กรปฏิบัติตามข้อกำหนดด้านการปกป้องข้อมูลอย่างสอดคล้อง
- ช่วยให้มั่นใจในงานด้านความมั่นคงปลอดภัยของข้อมูล
- สามารถสร้างความน่าเชื่อถือและไว้วางใจสำหรับองค์กรและลูกค้า
- สร้างความได้เปรียบทางการแข่งขัน
คำชี้แจง : เอกสารมาตรฐาน 27001 เป็น “เอกสารภายใน”
ผู้ที่สามารถเข้าถึงเอกสารได้ คือ ผู้บริหารและบุคลากรของสำนักคอมพิวเตอร์และเทคโนโลยีสารสนเทศ
หรือเป็นผู้ที่ต้องได้รับการอนุมัติจากผู้อำนวยการและผู้บริหารรับทราบแล้วเท่านั้น
ระบบจัดการเอกสาร ISO/IEC 27001
* สำหรับผู้รับผิดชอบข้อมูล และผู้ดูแลระบบ: [เข้าสู่ระบบ]
ระเบียบปฏิบัติ (QP: Quality Procedure)
- QP-01 การควบคุมเอกสาร (Document Control Procedure)
- QP-02 การสรรหาและฝึกอบรม (Recruitment and Training)
- QP-03 การประเมินความเสี่ยงปลอดภัยของข้อมูลสารสนเทศ (Information security management)
- QP-04 การบริหารจัดการทรัพย์สิน (Asset Management)
- QP-05 การขอเข้าพื้นที่ควบคุม (Physical Entry Control Procedure)
- QP-06 การควบคุมการเข้าถึง (Access Control) - (ความลับ)
- QP-07 การติดตามการใช้งานระบบสารสนเทศ (Monitoring System Use Procedure)
- QP-08 การบริหารจัดการอุบัติการณ์ที่ส่งผลต่อการให้บริการ (Incident Management)
- QP-09 การควบคุมการเปลี่ยนแปลงหรือแก้ไขระบบ (Change Control Procedure)
- QP-10 การสำรองและทดสอบกู้คืนข้อมูล (Backup and Restoration Procedure)
- QP-11 การออกแบบและพัฒนาระบบ (Design and Development)
- QP-12 การกำหนดวัตถุประสงค์ ประชุมทบทวนฝ่ายบริหารและการสื่อสาร (Objective, Management Review& Communication)
- QP-13 การควบคุมผู้ให้บริการภายนอก (External Provider Control)
- QP-14 การบริหารจัดการความต่อเนื่องในการดำเนินงานขององค์กร (Business continuity Plan)
- QP-15 การติดตามประเมินความสอดคล้องกฎหมายคอมพิวเตอร์ (Monitoring and Evaluation of Computer Law Compliance)
- QP-16 การตรวจติดตามภายใน (Internal Audit)
- QP-17 การปฏิบัติการแก้ไขและป้องกัน (Corrective and Preventive)
- QP-18 การจ้างหน่วยงานภายนอกพัฒนาระบบ (Outsourced development)
- QP-19 การคัดเลือกและประเมินผู้ให้บริการภายนอก (Outsourced Evaluation)
- QP-20 การขอใช้บริการคอมพิวเตอร์แม่ข่าย (Utilizing the server services)
แบบฟอร์ม (FM: Form/Template)
- ทะเบียนรายชื่อเอกสาร
- FM-01-01 DAR
- FM-01-02 รายชื่อเอกสาร
- FM-02-01 ใบกรอบภาระงาน
- FM-02-02 ใบฝึกอบรมที่จำเป็น
- FM-02-03 แผนฝึกอบรม
- FM-03-01 Risk Assessment Report
- FM-03-02 Risk Treatment Plan
- FM-03-03 Statement of Applicability
- FM-04-01 ทะเบียนทรัพย์สิน Inventory of Asset
- FM-04-02 ใบยืมครุภัณฑ์ชั่วคราว
- FM-04-03 ใบเบิกครุภัณฑ์
- FM-04-04 ใบคืนครุภัณฑ์
- FM-05-01 บันทึกการเข้า-ออก พื้นที่ Secure Area
- FM-05-02 แบบฟอร์มขออนุมัตินำทรัพย์สินเข้า-ออก พื้นที่เขตหวงห้าม
- FM-06-01 ตารางกำหนดสิทธิการเข้าระบบ
- FM-06-02 เอกสารขอเพิ่ม-ถอดสิทธิการเข้าถึงระบบงาน
- FM-06-03 การทบทวนสิทธิ Review Access Right
- FM-07-01 ตารางกำหนดค่ามาตรฐาน Health Check
- FM-07-02 บันทึกผลการตรวจค่ามาตรฐาน
- FM-09-01 Change Request Form
- FM-09-02 ทะเบียนควบคุมการเปลี่ยนแปลง
- FM-10-01 นโยบายการสำรองข้อมูล Backup Policy
- FM-12-01 ทะเบียนวัตถุประสงค์คุณภาพประจำปี
- FM-12-02 แผนการดำเนินการและการประเมิน
- FM-12-03 บันทึกการประชุมทบทวนโดยฝ่ายบริหาร
- FM-12-04 ตารางการสื่อสารภายในและภายนอก
- FM-13-01 ทะเบียนผู้ให้บริการภายนอก
- FM-13-02 ทะเบียนการติดต่อผู้สนใจ
- FM-13-03 สัญญารักษาข้อมูลที่เป็นความลับ
- FM-13-04 แบบสัญญาจ้างให้บริการ
- FM-14-01 รายงานผลการฝึกซ้อมการบริการความต่อเนื่องในการดำเนินงานขององค์กร
- FM-15-01 บันทึกการติดตามการเปลี่ยนแปลงกฎหมาย ระเบียบ ข้อบังคับ
- FM-15-02 ทะเบียนกฎหมาย ระเบียบ ข้อบังคับ
- FM-15-03 สรุปประเมินความสอดคล้องกฎหมาย ระเบียบ ข้อบังคับ
- FM-16-01 แผนการตรวจติดตามระบบภายใน
- FM-16-02 ทะเบียนผู้ตรวจติดตามภายใน
- FM-16-03 บันทึกผลตรวจติดตามภายใน
- FM-17-01 CAR
- FM-17-02 CAR Log
ISMS-01 คู่มือระบบการจัดการความปลอดภัยสารสนเทศ
SD-01 การวิเคราะห์บริบทองค์กร
SD-02 วิเคราะห์ความต้องการและคาดหวัง ผลกระทบ ของผู้มีส่วนได้ส่วนเสีย
SD-03 แนวนโยบายและแนวปฏิบัติการรักษาความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ
SD-04 แผนป้องกันและแก้ไขปัญหาจากสถานการณ์ความไม่แน่นอนและภัยพิบัติต่อระบบ
SD-05 RoPA RMUTL
SD-06 ISO-IEC 27001-2022 Awareness and Requirements
SD-07 Annex A_ISO-IEC 27001-2022
ออกแบบและพัฒนาโดย สำนักวิทยบริการและเทคโนโลยีสารสนเทศ มหาวิทยาลัยเทคโนโลยีราชมงคลล้านนา