ตอนที่5 ข้อกำหนดข้อ 4 บริบทองค์กร (Context of organization) ตอนที่ 2

จากตอนที่แล้วเรามีการ อธิบาย ถึง ข้อกำหนด ข้อ 4.1 การทำความเข้าใจองค์กร และ บริบทองค์กร (Understanding the organization and its context) ในครั้งนี้ขออธิบาย ในข้อกำหนดที่ 4.2 การทำความเข้าใจความต้องการ ความคาดหวัง ของผู้มีส่วนได้เสีย (Understanding the needs and expectations of interested parties) ดังนี้

ข้อกำหนดที่ 4.2 การทำความเข้าใจความต้องการ ความคาดหวัง ของผู้มีส่วนได้เสีย (Understanding the needs and expectations of interested parties) องค์กรต้องกำหนด

a) ผู้มีส่วนได้เสีย (Interested Parties) ที่เกี่ยวข้องกับระบบบริหารจัดการความมั่นคงปลอดภัยสำหรับสำหรับสารสนเทศ และ

b) ข้อกำหนดของผู้ที่สนใจดังกล่าว ที่เกี่ยวข้องกับความมั่นคงปลอดภัยสำหรับสำหรับสารสนเทศ

หมายเหตุ ข้อกำหนดของผู้ที่สนใจ อาจรวมถึงข้อกฎหมาย ข้อกำหนด กฎระเบียบบังคับ และข้อผูกผันตามสัญญา

ข้อนี้ ให้ทางองค์กร กำหนดว่าใครบ้างที่เป็นผู้มีส่วนได้เสีย และมีความคาดหวัง และความต้องการอะไร รวมถึง ต้องมีการกำหนด  ข้อกฎหมาย ข้อกำหนด กฎระเบียบบังคับ และข้อผูกผันตามสัญญา ที่เกี่ยวกับ องค์กร

ผู้มีส่วนได้เสีย คือ บุคคล และกลุ่มอื่น ๆ ที่เพิ่มมูลค่าให้กับองค์กร หรือสนใจหรือรับผลกระทบจาก กิจกรรมขององค์กร การสอดคล้องกับความต้องการและความคาดหวังของผู้มีส่วนได้เสียจะสนับสนุนให้องค์กรประสบความสำเร็จอย่างยั่งยืน

ความต้องการและความคาดหวังของแต่ละผู้มีส่วนได้เสียมีสนใจที่แตกต่างกัน ซึ่งอาจขัดแย้งกับผู้มีส่วนได้เสียอื่น ๆ หรือสามารถเปลี่ยนแปลงได้อย่างรวดเร็ว การรู้ความจำเป็นและความคาดหวังและการทำให้สอดคล้อง นี้ทำได้หลากหลายรูปแบบวิธี ไม่ว่าการร่วมมือ ต่อรอง เจรจา การจ้าง หรือการยกเลิก หรือ การทำให้มีกิจกรรม

โดยตัวอย่างผู้มีส่วนได้เสียที่เกี่ยวข้องกับ ISMS ที่ได้รับการพิจารณาพร้อมกับความคาดหวังเป็นรายบุคคลดังต่อไปนี้

บุคคลภายนอก

ข้อกำหนดตัวอย่าง

Legal

พระราชบัญญัติการคุ้มครองข้อมูล

พระราชบัญญัติบริษัท

ลูกค้าประเภท ก

การปฏิบัติตาม ISO 27001

ความพร้อมของระบบต่างๆ Availability 99.9%

การดำเนินการให้เป็นไปตาม SLA (การตอบรับใน 4 ชั่วโมง – ศูนย์ติดต่อ)

ลูกค้าประเภท ข

ข้อกำหนด PCI DSS 9 & 12

การดำเนินการให้เป็นไปตาม SLA (การตอบรับใน 4 ชั่วโมง – ศูนย์ติดต่อ)

ผู้รับประกัน

การดำเนินการให้เป็นไปตามข้อกำหนดในกรมธรรม์

การชำระเบี้ยประกัน

การรายงานการเปลี่ยนแปลงในพฤติการณ์ต่างๆ

ผู้จัดหา

การยึดปฏิบัติตามข้อกำหนดในการชำระเงิน  

หน่วยงานและสมาคมการค้า

ข้อกำหนดในเรื่องความเป็นสมาชิก

การดำเนินการให้เป็นไปตามมาตรฐานที่หน่วยงานยึดปฏิบัติ

การจัดหาแนวทางต่างๆ

บริการฉุกเฉิน

ความปลอดภัยในเหตุเพลิงไหม้

การจัดหารการปฐมพยาบาล

การพึ่งพิงของพนักงาน

การจัดหาสิ่งแวดล้อมในการทำงานที่ปลอดภัย

การชำระอัตราค่าจ้างในงานอย่างเป็นธรรม

คู่แข่ง

ไม่มี

เจ้าของธุรกิจ/ผู้ถือหุ้น/นักลงทุน

คืนทุน

ธนาคาร และ/หรือ ผู้ให้ความช่วยเหลือทางการเงินอื่นๆ

การดำเนินการให้เป็นไปตามข้อกำหนดในการชำระเงินคืน

การปฏิบัติตามเงื่อนไขการกู้ยืมเงิน

คู่ค้า

การยึดปฏิบัติตามความตกลงในสัญญา

ผู้รับเหมา

การยึดปฏิบัติตามความตกลงในสัญญา


บุคคลภายใน

ข้อกำหนดตัวอย่าง

พนักงาน รวมถึงคนขับรถ, การบำรุงรักษา, การธุรการ, การขนบรรทุก เป็นต้น

ข้อกำหนดและเงื่อนไข

การฝึกอบรมและการให้ความช่วยเหลือ

สภาพการทำงานที่ปลอดภัย

การเก็บรักษาข้อมูลส่วนบุคคล

การจ้างงานอย่างต่อเนื่อง

โอกาสในความก้าวหน้า

ผู้รับเหมา

การยึดปฏิบัติตามสัญญา

คู่ค้า

การยึดปฏิบัติตามสัญญา

ผู้แทน (แรงงาน) คนงาน

ข้อกำหนดและเงื่อนไขสำหรับคนงาน

ข้อกำหนดกฏหมาย ของไทย ที่อาจเกี่ยวของกับ ความมั่นคงปลอดภัยสำหรับสำหรับสารสนเทศ ดังนี้

พระราชบัญญัติ ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ (ฉบับที่ ๒) พ.ศ. ๒๕๖๐

พระราชบัญญัติ ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ (ฉบับที่ ๒) พ.ศ. ๒๕๕๑

ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ เรื่อง แนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัย ด้านสารสนเทศของหน่วยงานของรัฐ (ฉบับที่ ๒) พ.ศ. ๒๕๕๖

ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ เรื่อง แนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ ของหน่วยงานของรัฐ พ.ศ. ๒๕๕๓

ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ เรื่อง แนวนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลของหน่วยงานของรัฐ พ.ศ. ๒๕๕๓

ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ เรื่อง หลักเกณฑ์ วิธีการ และเงื่อนไขในการประกอบธุรกิจบริการการชำระเงินทางอิเล็กทรอนิกส์ พ.ศ. ๒๕๕๙

ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ เรื่อง ประเภทของธุรกรรมทางอิเล็กทรอนิกส์ และหลักเกณฑ์การประเมินระดับผลกระทบของ ธุรกรรมทางอิเล็กทรอนิกส์ตามวิธีการแบบปลอดภัย พ.ศ. ๒๕๕๕

ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ เรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศตามวิธีการแบบปลอดภัย พ.ศ. ๒๕๕๕

ประกาศคณะกรรมการกำกับและส่งเสริมการประกอบธุรกิจประกันภัย เรื่อง หลักเกณฑ์ วิธีการออกกรมธรรม์ประกันภัย การเสนอขายกรมธรรม์ประกันภัย และการชดใช้เงิน หรือค่าสินไหมทดแทนตามสัญญาประกันภัย โดยใช้วิธีการทางอิเล็กทรอนิกส์

พ.ศ. ๒๕๖๐

ประกาศคณะกรรมการกำกับและส่งเสริมการประกอบธุรกิจประกันภัย เรื่อง หลักเกณฑ์ วิธีการออกกรมธรรม์ประกันภัย การเสนอขายกรมธรรม์ประกันภัย และการชดใช้เงินตามสัญญาประกันชีวิต โดยใช้วิธีการทางอิเล็กทรอนิกส์ พ.ศ. ๒๕๖๐

ประกาศแนวปฏิบัติ ที่ นป.3 /2559 เรื่อง แนวปฏิบัติในการจัดให้มีระบบเทคโนโลยีสารสนเทศ (คณะกรรมการกากับตลาดทุน)

ประกาศสานักงานคณะกรรมการกากับหลักทรัพย์และตลาดหลักทรัพย์ ที่ สธ.37 /2559 เรื่อง ข้อกาหนดในรายละเอียดเกี่ยวกับการจัดให้มี ระบบเทคโนโลยีสารสนเทศ

Note: เราอาจสามารถเข้าไปดูใน https://etda.or.th/laws-sharing.html    ในบางตัวครับ

 

กิตติพงษ์ เกียรตินิยมรุ่ง– สถาบันมาตรฐานอังกฤษ