ตอนที่ 3 ภาพรวม ข้อกำหนดระบบการจัดการ ISO/IEC 27001:2013

ข้อกำหนด ISO/IEC 27001:2013 ได้ประกาศ ใช้ในปี 2013 โดย โครงสร้างข้อกำหนดที่ออกมานั้น ได้ใช้หลักการ PDCA (Plan Do Check Action) และรูปแบบการเรียงข้อกำหนด ได้มีการเรียงตาม Annex SL (หรือชื่อเป็นทางการคือ Guide 83) โดยมีการเรียงข้อกำหนดดังนี้

 

หัวข้อ 0 Interoduction เป็น เรื่องทั่วๆไป เช่น การประยุกต์ใช้ตัวมาตราฐาน การล้อตาม Annex SL เป็นต้น

หัวข้อ 1 Scope เป็นการพูดถึง ขอบเขตของตัวISO/IEC 27001 โดยสามารถใช้ได้กั้บทุกองค์กร ไม่ว่าจะอยู่ในอุตสาหกรรม ขนาดหรือ ลักษณะใดๆก็ตาม และการยกเวน้ ขอ้ กาหนดใด ๆ ทรี่ ะบุในขอ้ 4 ถึง ขอ้ 10 ไม่สามารถยอมรับได้

หัวข้อ 2 Normative references หัวข้อนี้เป็นการกล่าวอ้างถึงเอกสารที่เกี่ยวข้อ โดยในที่นี้ จะอ้างถึง ISO/IEC 27000, Information technology — Security techniques — Information security management systems — Overview and vocabulary

หัวข้อ 3 Terms and definitions หัวข้อนี้ได้พูดถึง ความหมายของศัพย์ ที่อ้างในข้อกำหนด แต่ในที่นี้กล่าวว่า “นิยาม และคำจำกัดความใ นเอกสารฉบับนี้ ได้ถูกกาหนดไว้ใน ISO/IEC 27000” ดังนั้นหากจะดูรายละเอียดคำศัพย์ต้องไปเปิดที่ ISO/IEC 27000

หัวข้อ 4-10 เป็นตัวข้อกำหนด ที่เราจะต้องนำไปดำเนินการ ดังนั้นผมจะชี้แจงในตอนถัดๆไปในแต่ละข้อครับ

 

Cr.กิตติพงษ์ เกียรตินิยมรุ่ง– สถาบันมาตรฐานอังกฤษ