ตอนที่ 5 ข้อกำหนดข้อ 4 บริบทองค์กร (Context of organization) ตอนที่ 2
จากตอนที่แล้วเรามีการ อธิบาย ถึง ข้อกำหนด ข้อ 4.1 การทำความเข้าใจองค์กร และ บริบทองค์กร (Understanding the organization and its context) ในครั้งนี้ขออธิบาย ในข้อกำหนดที่ 4.2 การทำความเข้าใจความต้องการ ความคาดหวัง ของผู้มีส่วนได้เสีย (Understanding the needs and expectations of interested parties) ดังนี้
ข้อกำหนดที่ 4.2 การทำความเข้าใจความต้องการ ความคาดหวัง ของผู้มีส่วนได้เสีย (Understanding the needs and expectations of interested parties) องค์กรต้องกำหนด
a) ผู้มีส่วนได้เสีย (Interested Parties) ที่เกี่ยวข้องกับระบบบริหารจัดการความมั่นคงปลอดภัยสำหรับสำหรับสารสนเทศ และ
b) ข้อกำหนดของผู้ที่สนใจดังกล่าว ที่เกี่ยวข้องกับความมั่นคงปลอดภัยสำหรับสำหรับสารสนเทศ
หมายเหตุ ข้อกำหนดของผู้ที่สนใจ อาจรวมถึงข้อกฎหมาย ข้อกำหนด กฎระเบียบบังคับ และข้อผูกผันตามสัญญา
ข้อนี้ ให้ทางองค์กร กำหนดว่าใครบ้างที่เป็นผู้มีส่วนได้เสีย และมีความคาดหวัง และความต้องการอะไร รวมถึง ต้องมีการกำหนด ข้อกฎหมาย ข้อกำหนด กฎระเบียบบังคับ และข้อผูกผันตามสัญญา ที่เกี่ยวกับ องค์กร
ผู้มีส่วนได้เสีย คือ บุคคล และกลุ่มอื่น ๆ ที่เพิ่มมูลค่าให้กับองค์กร หรือสนใจหรือรับผลกระทบจาก กิจกรรมขององค์กร การสอดคล้องกับความต้องการและความคาดหวังของผู้มีส่วนได้เสียจะสนับสนุนให้องค์กรประสบความสำเร็จอย่างยั่งยืน
ความต้องการและความคาดหวังของแต่ละผู้มีส่วนได้เสียมีสนใจที่แตกต่างกัน ซึ่งอาจขัดแย้งกับผู้มีส่วนได้เสียอื่น ๆ หรือสามารถเปลี่ยนแปลงได้อย่างรวดเร็ว การรู้ความจำเป็นและความคาดหวังและการทำให้สอดคล้อง นี้ทำได้หลากหลายรูปแบบวิธี ไม่ว่าการร่วมมือ ต่อรอง เจรจา การจ้าง หรือการยกเลิก หรือ การทำให้มีกิจกรรม
โดยตัวอย่างผู้มีส่วนได้เสียที่เกี่ยวข้องกับ ISMS ที่ได้รับการพิจารณาพร้อมกับความคาดหวังเป็นรายบุคคลดังต่อไปนี้
ข้อกำหนดกฏหมาย ของไทย ที่อาจเกี่ยวของกับ ความมั่นคงปลอดภัยสำหรับสำหรับสารสนเทศ ดังนี้
พระราชบัญญัติ ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ (ฉบับที่ ๒) พ.ศ. ๒๕๖๐
พระราชบัญญัติ ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ (ฉบับที่ ๒) พ.ศ. ๒๕๕๑
ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ เรื่อง แนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัย ด้านสารสนเทศของหน่วยงานของรัฐ (ฉบับที่ ๒) พ.ศ. ๒๕๕๖
ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ เรื่อง แนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ ของหน่วยงานของรัฐ พ.ศ. ๒๕๕๓
ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ เรื่อง แนวนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลของหน่วยงานของรัฐ พ.ศ. ๒๕๕๓
ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ เรื่อง หลักเกณฑ์ วิธีการ และเงื่อนไขในการประกอบธุรกิจบริการการชำระเงินทางอิเล็กทรอนิกส์ พ.ศ. ๒๕๕๙
ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ เรื่อง ประเภทของธุรกรรมทางอิเล็กทรอนิกส์ และหลักเกณฑ์การประเมินระดับผลกระทบของ ธุรกรรมทางอิเล็กทรอนิกส์ตามวิธีการแบบปลอดภัย พ.ศ. ๒๕๕๕
ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ เรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศตามวิธีการแบบปลอดภัย พ.ศ. ๒๕๕๕
ประกาศคณะกรรมการกำกับและส่งเสริมการประกอบธุรกิจประกันภัย เรื่อง หลักเกณฑ์ วิธีการออกกรมธรรม์ประกันภัย การเสนอขายกรมธรรม์ประกันภัย และการชดใช้เงิน หรือค่าสินไหมทดแทนตามสัญญาประกันภัย โดยใช้วิธีการทางอิเล็กทรอนิกส์
พ.ศ. ๒๕๖๐
ประกาศคณะกรรมการกำกับและส่งเสริมการประกอบธุรกิจประกันภัย เรื่อง หลักเกณฑ์ วิธีการออกกรมธรรม์ประกันภัย การเสนอขายกรมธรรม์ประกันภัย และการชดใช้เงินตามสัญญาประกันชีวิต โดยใช้วิธีการทางอิเล็กทรอนิกส์ พ.ศ. ๒๕๖๐
ประกาศแนวปฏิบัติ ที่ นป.3 /2559 เรื่อง แนวปฏิบัติในการจัดให้มีระบบเทคโนโลยีสารสนเทศ (คณะกรรมการกากับตลาดทุน)
ประกาศสานักงานคณะกรรมการกากับหลักทรัพย์และตลาดหลักทรัพย์ ที่ สธ.37 /2559 เรื่อง ข้อกาหนดในรายละเอียดเกี่ยวกับการจัดให้มี ระบบเทคโนโลยีสารสนเทศ
Note: เราอาจสามารถเข้าไปดูใน https://etda.or.th/laws-sharing.html ในบางตัวครับ
กิตติพงษ์ เกียรตินิยมรุ่ง– สถาบันมาตรฐานอังกฤษ