การควบคุม ISO 27001 ภาคผนวก A ของISO 27001น่าจะเป็นภาคผนวกที่มีชื่อเสียงที่สุดในบรรดามาตรฐาน ISO ทั้งหมด เนื่องจากเป็นเครื่องมือที่จำเป็นสำหรับการจัดการความเสี่ยงด้านความปลอดภัยของข้อมูล : รายการของการควบคุมความปลอดภัย (หรือการป้องกัน) ที่จะใช้เพื่อปรับปรุงความปลอดภัยของ สินทรัพย์ข้อมูล
บทความนี้จะช่วยให้คุณเข้าใจว่าโครงสร้างภาคผนวก A เป็นอย่างไร ตลอดจนความสัมพันธ์กับส่วนหลักของ ISO 27001 และ ISO 27002
ISO 27001 มีกี่โดเมน
รายการควบคุม ISO 27001 อยู่ในภาคผนวก A และแบ่งออกเป็นสี่ส่วน (โดเมน) ตรงกันข้ามกับสิ่งที่ใครๆ คิด สิ่งเหล่านี้ไม่ได้มุ่งเน้นด้านไอทีทั้งหมด – มาตรฐานสร้างความสมดุลระหว่างการควบคุมขององค์กร บุคลากร กายภาพ และเทคโนโลยี
สี่โดเมนของ ISO 27001 คืออะไร
ต่อไปนี้เป็นคำอธิบายสั้นๆ ของแต่ละส่วนจากสี่ส่วน:
- A.5 การควบคุมองค์กร: ส่วนนี้ประกอบด้วยการควบคุมสำหรับการตั้งค่ากระบวนการรักษาความปลอดภัยและเอกสารประกอบที่สำคัญที่สุด
- A.6 การควบคุมบุคคล: ส่วนนี้เน้นการควบคุมที่เกี่ยวข้องกับการจัดการความปลอดภัยของทรัพยากรบุคคล
- A.7 การควบคุมทางกายภาพ: ส่วนนี้กำหนดการควบคุมที่เกี่ยวข้องกับพื้นที่ปลอดภัยและการป้องกันอุปกรณ์
- ก.8 การควบคุมทางเทคโนโลยี: ส่วนนี้เน้นที่การควบคุมด้านไอทีและการสื่อสาร
ISO 27001 มีการควบคุมกี่แบบ?
มีการควบคุมความปลอดภัยของข้อมูล ISO 27001 93 รายการที่ระบุไว้ในภาคผนวก A ของการปรับปรุงมาตรฐานในปัจจุบันในปี 2022 (เทียบกับ 114 รายการจากการปรับปรุงมาตรฐานครั้งก่อนในปี 2013) นี่คือรายละเอียดของประเภทของการควบคุมที่รวมอยู่:
- การควบคุมที่เกี่ยวข้องกับปัญหาขององค์กร: 37
- การควบคุมที่เกี่ยวข้องกับทรัพยากรบุคคล: 8
- การควบคุมที่เกี่ยวข้องกับไอที: 34
- การควบคุมที่เกี่ยวข้องกับความปลอดภัยทางกายภาพ: 14
วิธีที่ดีที่สุดในการทำความเข้าใจภาคผนวก A คือให้คิดว่าเป็นแค็ตตาล็อกของการควบคุมความปลอดภัยของข้อมูลที่คุณสามารถเลือกได้จากการควบคุม 93 รายการที่อยู่ในภาคผนวก A คุณสามารถเลือกการควบคุมที่เกี่ยวข้องกับขอบเขตของบริษัทของคุณได้ อีกแนวทางหนึ่งคือการใช้ภาคผนวก A เป็นรายการตรวจสอบการควบคุม ISO 27001 สำหรับการประเมินเบื้องต้นเกี่ยวกับความพร้อมขององค์กรของคุณสำหรับกระบวนการจัดการความปลอดภัยของข้อมูล
ความสัมพันธ์กับข้อหลัก ISO 27001
การควบคุม ISO 27001:2022 ทั้งหมดนี้ไม่ได้บังคับ – องค์กรสามารถเลือกได้เองว่าการควบคุมใดที่เห็นว่าเหมาะสม จากนั้นจึงต้องนำไปปฏิบัติ (ในกรณีส่วนใหญ่ การควบคุมอย่างน้อย 90% มีผลบังคับใช้) ส่วนที่เหลือจะถูกประกาศว่าไม่เกี่ยวข้อง ตัวอย่างเช่น การควบคุม A.8.30 การพัฒนาจากภายนอกสามารถทำเครื่องหมายว่าไม่เกี่ยวข้อง หากบริษัทไม่ได้จ้างการพัฒนาซอฟต์แวร์จากภายนอก เกณฑ์หลักในการเลือกการควบคุมคือการจัดการความเสี่ยง ซึ่งกำหนดไว้ในข้อ 6 และ 8 ของส่วนหลักของ ISO 27001 เรียนรู้เพิ่มเติมที่นี่: ISO 27001 Risk Assessment, Treatment, & Management: The Complete Guide
นอกจากนี้ ข้อ 5 ของส่วนหลักของ ISO IEC 27001 กำหนดให้คุณกำหนดความรับผิดชอบในการจัดการการควบคุมเหล่านั้น และข้อ 9 กำหนดให้คุณวัดผลว่าการควบคุมบรรลุวัตถุประสงค์หรือไม่ สุดท้าย ข้อ 10 กำหนดให้คุณแก้ไขสิ่งที่ผิดกับการควบคุมเหล่านั้น และเพื่อให้แน่ใจว่าคุณบรรลุวัตถุประสงค์ด้านความปลอดภัยของข้อมูลด้วยการควบคุมเหล่านั้น
ISO 27001 และ ISO 27002 แตกต่างกันอย่างไร?
การควบคุม ISO 27001 ความจริงก็คือ ภาคผนวก A ของ ISO27001 ไม่ได้ให้รายละเอียดเกี่ยวกับการควบคุมแต่ละรายการมากนัก โดยปกติจะมีประโยคหนึ่งประโยคสำหรับการควบคุมแต่ละรายการ ซึ่งให้แนวคิดเกี่ยวกับสิ่งที่คุณต้องทำให้สำเร็จ แต่ไม่ใช่วิธีการทำ
นี่คือเหตุผลที่ ISO 27002 ได้รับการเผยแพร่ – มีโครงสร้างเดียวกันกับ ISO 27001 ภาคผนวก A: การควบคุมแต่ละรายการจากภาคผนวก A มีอยู่ใน ISO 27002 แต่มีคำอธิบายโดยละเอียดมากขึ้นเกี่ยวกับวิธีการนำไปใช้ แต่อย่าตกหลุมพรางของการใช้เพียง ISO 27002 เพื่อจัดการความเสี่ยงด้านความปลอดภัยข้อมูลของคุณ – มันไม่ได้ให้เงื่อนงำใด ๆ แก่คุณเกี่ยวกับวิธีเลือกการควบคุมที่จะใช้ วิธีวัด วิธีมอบหมายความรับผิดชอบ ฯลฯ เรียนรู้เพิ่มเติมที่นี่: ISO 27001 เทียบกับ ISO 27002
การใช้งาน ภาคผนวก ก
มีสองสิ่งที่ฉันชอบเกี่ยวกับภาคผนวก A – มันให้ภาพรวมที่สมบูรณ์แบบของการควบคุมที่คุณสามารถนำไปใช้ได้ เพื่อที่คุณจะไม่ลืมบางอย่างที่สำคัญ และให้ความยืดหยุ่นในการเลือกเฉพาะสิ่งที่คุณพบ ใช้ได้กับธุรกิจของคุณ เพื่อที่คุณจะได้ไม่ต้องเสียทรัพยากรไปกับทรัพยากรที่ไม่เกี่ยวข้องกับคุณ
เป็นความจริงที่ภาคผนวก A ไม่ได้ให้รายละเอียดเกี่ยวกับการนำไปใช้มากนัก แต่นี่คือที่มาของ ISO 27002; เป็นความจริงที่ว่าบางบริษัทอาจใช้ความยืดหยุ่นของ ISO-27001 ในทางที่ผิดและมุ่งเป้าไปที่การควบคุมขั้นต่ำเท่านั้นเพื่อให้ผ่านการรับรอง แต่นี่เป็นหัวข้อสำหรับบล็อกโพสต์อื่น
สำหรับองค์กรที่ต้องการ Document and Content Management Solution ที่สมบูรณ์แบบ พร้อม Professional Services ที่มีประสบการณ์ Implement Alfresco มามากกว่า 100 โครงการณ์ สามารถติดขอคำปรึกษากับ K&O Systems
ทั้งนี้บริษัทเคแอนด์โอ จึงได้มุ่งเน้นการจัดการแก้ไขปัญหา จัดการเอกสาร ด้านเอกสารขององค์กรมาอย่างยาวนาน และ ให้ความสำคัญกับด้านงานเอกสาร ต่อลูกค้าเป็นอย่างดี จนถึงปัจจุบันก็ได้ความยอมรับจากองค์กร ขนาดใหญ่ ขนาดกลาง และขนาดเล็กมากมาย จึงใคร่ขออาสาดูและปัญหาด้านเอกสารให้กับองค์กรของท่านอย่างสุดความสามารถ เพราะเราเป็นหนึ่งในธุรกิจ ระบบจัดเก็บเอกสาร ที่ท่านไว้ใจได้
สนใจรับคำปรึกษาด้านวางระบบจัดการเอกสารอิเล็กทรอนิกส์ EDMS โดยทีมงานผู้เชี่ยวชาญจาก K&O ที่มีประสบการณ์มากว่า 15 ปี รวมถึงซอฟต์แวร์ระดับโลก ติดต่อ 0 2 – 8 6 0 – 6 6 5 9
สนใจ บทความ หรือ Technology สามารถติดต่อได้ตามเบอร์ที่ให้ไว้ด้านล่างนี้
Tel.086-594-5494
Tel.095-919-6699
e-mail cs@ko.in.th หรือ K&O FB / เว็บไซต์หลัก สแกนเพื่อแอด Line พูดคุยตอนนี้
