Page 725 - NEIC_FINAL REPORT
P. 725
โครงการศึกษาการจัดทําแผนยุทธศาสตร์และออกแบบการพัฒนาศูนย์สารสนเทศ พลังงานแห่งชาติเพ่ือรองรับการใช้ข้อมูลขนาดใหญ่ (Big Data) ในการขับเคล่ือน แผนพลังงานของประเทศไทย
8. การดําเนินการ
องค์กรจะต้องมีดําเนินการนําเอาระบบจัดการความปลอดภัยสารสนเทศไปใช้ให้เกิดผล โดยสอดคล้องกับ ความเสี่ยงและวัตถุประสงค์ของระบบความปลอดภัยสารสนเทศ โดยมีประเด็นท่ีต้องพิจารณาคือ
8.1 การวางแผนเกี่ยวกับการดําเนินการและการควบคุม
องค์กรต้องวางแผน ปฏิบัติ และควบคุมกระบวนการที่จําเป็นที่สอดคล้องกับความต้องการด้านความ ปลอดภัยสารสนเทศ สอดคล้องกับความเสี่ยงที่แท้จริงขององค์กร และปฏิบัติตามแผนเพื่อให้บรรลุตาม วัตถุประสงค์ด้านความปลอดภัยสารสนเทศที่กําหนดไว้ใน 6.1 และ 6.2 ตามลําดับ โดยมีการเก็บเอกสารควบคุม การดําเนินการในระดับที่จะแน่ใจได้ว่า ได้ดําเนินตามแผนอย่างถูกต้อง และยังต้องควบคุมเปล่ียนแปลงในระดับของ บริบทองค์กร และทบทวนผลที่เกิดขึ้นของการเปลี่ยนแปลงเหล่านั้น
8.2 การประเมินและการจัดการความเสี่ยง
องค์กรต้องมีการประเมินความเสี่ยงความปลอดภัยสารสนเทศอย่างสม่ําเสมอตามระยะเวลาท่ีกําหนด หรือ เมื่อมีการเปลี่ยนแปลงในบริบทขององค์กร โดยนําเกณฑ์ความเสี่ยงในข้อ 6.1 มาพิจารณาประกอบด้วย เพื่อให้ มั่นใจได้ว่าองค์กรจะสามารถจัดการกับความเสี่ยงได้อย่างเหมาะสม ขบวนการทั้งหมดต้องมีการจัดเก็บเอกสารท่ี เป็นลายลักษณ์อักษรท้ังหมด
ในการดําเนินกิจกรรมของระบบจัดการความปลอดภัยสารสนเทศ ผู้ปฏิบัติงานด้านความปลอดภัยของ ศูนย์ฯ จะต้องวางแผนการควบคุมการดําเนินงานที่สอดคล้องกับความเสี่ยงและวัตถุประสงค์ของระบบฯ และปฏิบัติ ตามแผนอย่างเคร่งครัด พร้อมกันนั้นก็ต้องทําการประเมินความเสี่ยงอย่างต่อเนื่องเพ่ือใช้ในการปรับปรุงแผน
9. การประเมินประสิทธิภาพและประสิทธิผล
เนื่องจากมาตรฐาน ISO/IEC 27001 ใช้หลักการของวงรอบ PDCA ดังนั้นเมื่อมีการนําระบบความปลอดภัย สารสนเทศไปปฏิบัติ ก็ต้องมีการประเมินผล และปรับปรุงตามลําดับ โดยในการประเมินประสิทธิภาพและ ประสิทธิผลมีประเด็นที่ต้องพิจารณาดังต่อไปนี้
9.1 การเฝ้าระวัง การวัดผล การวเิ คราะห์ และการประเมิน
องค์กรต้องประเมินประสิทธิภาพและประสิทธิผลของระบบจัดการความปลอดภัยสารสนเทศ โดยจะต้อง กําหนดอย่างชัดเจนว่าอะไรที่ต้องเฝ้าระวังและวัดผล วิธีการเฝ้าระวัง วัดผล วิเคราะห์ และประเมินตามที่เหมาะสม โดยเลือกใช้การประเมินที่สามารถเปรียบเทียบและทําซ้ําได้ กําหนดระยะเวลาการเฝ้าระวังและวัดผล ผู้รับผิดชอบ การนําเอาผลไปใช้ และการจัดเก็บข้อมูลการเฝ้าระวัง วัดผล วิเคราะห์และประเมินทั้งหมดเป็นลายลักษณ์อักษรท่ี เหมาะสม
Final Report
รายงานฉบับสมบูรณ์
6.1-15
รายงานฉบับสมบูรณ์
6 - 15
