โครงการศึกษาการจัดทําแผนยุทธศาสตร์และออกแบบการพัฒนาศูนย์สารสนเทศ พลังงานแห่งชาติเพ่ือรองรับการใช้ข้อมูลขนาดใหญ่ (Big Data) ในการขับเคล่ือน แผนพลังงานของประเทศไทย
ในรุ่นปรับปรุงล่าสุดของ ISO/IEC 27001 คือรุ่น 2013 ได้มีการกําหนดข้อกําหนดหลักที่ต้องปฏิบัติ ในการทําแผนสําหรับระบบไว้ทั้งหมด 10 มาตรา (Clause) โดยอ้างอิงโครงสร้างจาก ISO Guide 83 ซึ่งทําให้การ นําเอามาตรฐานของ ISO ไปใช้ในองค์กรมีความสะดวกและเข้าใจได้ง่ายมากขึ้น โดยองค์กรจะต้องพิจารณา และ ดําเนินการไปตามลําดับโดยจะต้องมีความสอดคล้องเชื่อมโยงในแต่ละข้ออย่างชัดเจน
โดยมาตราทั้ง 10 ประกอบไปด้วย
1. ขอบเขต (Scope)
ในมาตรานี้จะอธิบายถึงประโยชน์ของมาตรฐานนี้และองค์กรที่เหมาะสมกับการนําไปใช้ ซึ่งตัวมาตรฐาน ISO/IEC 27001 ออกแบบมาสําหรับองค์กรใดก็ได้ที่มีข้อมูลที่มีความอ่อนไหวหรือมีคุณค่า โดยไม่จํากัดถึงขนาด ความซับซ้อน ประเภทของอุตสาหกรรม เป้าหมาย หรือ วุฒิภาวะ (Maturity) ขององค์กร ซึ่งสุดท้ายแล้ว องค์กรที่ทําตาม ISO/IEC 27001 จะได้มาซึ่งระบบการจัดการความปลอดภัยของสารสนเทศ ท่ีสอดคล้องกับมาตรฐาน
สําหรับศูนย์ฯ จําเป็นต้องมีระบบจัดการความปลอดภัยของสารสนเทศที่ได้มาตรฐาน ทั้งจาก วิสัยทัศน์ของศูนย์เอง และ จากข้อบังคับทางกฎหมายที่เกี่ยวข้อง การนําเอา ISO/IEC 27001 มาใช้เพื่อออกแบบ ระบบความปลอดภัยจึงเป็นวิธีการที่เหมาะสม และควรจะถูกนํามาพิจารณาตั้งแต่ขั้นการออกแบบ และควรจะใช้ วิธีการจัดหาที่ปรึกษาที่มีความเชี่ยวชาญในการจัดทําระบบจัดการความปลอดภัยของสารสนเทศเข้ามาช่วยจัดทํา แผนความปลอดภัยสารสนเทศของศูนย์ฯ เพื่อให้มั่นใจได้ว่า เมื่อทําตามขั้นตอนแล้ว ศูนย์ฯ จะได้รับการยอมรับ ตามมาตรฐาน ISO/IEC 27001 และเมื่อมีความพร้อม ก็ควระจัดหาบริษัทผู้ตรวจสอบ (Audit) ตามมาตรฐาน ISO/IEC 27001 ในระดับนานาชาติ มาทําการตรวจสอบศูนย์ฯ เพื่อยืนยันว่าศูนย์ฯ มีการปฏิบัติงานที่ได้มาตรฐาน ดังกล่าว และต้องมีการตรวจสอบตามรอบของมาตรฐานด้วย
2. การอ้างอิงถึงบรรทัดฐานต่าง ๆ
มาตรฐานของ ISO นั้นไม่ได้เป็นมาตรฐานที่เป็นอิสระโดยตัวมันเอง แต่จะอ้างอิงถึงมาตรฐาน อื่น ๆ ที่เกี่ยวข้อง โดย ISO/IEC 27001 อ้างอิงมาตรฐานเพียงตัวเดียวคือ ISO/IEC 27000 Information Technology – Overview and vocabulary ซึ่งรวบรวมการให้ความหมายของข้อกําหนด และ คําสําคัญต่าง ๆ ซึ่งการเขียนแผนความปลอดภัยตามมาตรฐาน ISO/IEC 27001 จะต้องอ้างอิงตามความหมายที่กําหนดใน ISO/IEC 27000
Final Report
รายงานฉบับสมบูรณ์
6.1-7
รายงานฉบับสมบูรณ์
 6- 7