ตอนที่ 3 ภาพรวม ข้อกำหนดระบบการจัดการ ISO/IEC 27001:2013
ข้อกำหนด ISO/IEC 27001:2013 ได้ประกาศใช้ในปี 2013 โดย โครงสร้างข้อกำหนดที่ออกมานั้น ได้ใช้หลักการ PDCA (Plan Do Check Action) และรูปแบบการเรียงข้อกำหนด ได้มีการเรียงตาม Annex SL (หรือชื่อเป็นทางการคือ Guide 83) โดยมีการเรียงข้อกำหนดดังนี้
หัวข้อ 0 Interoduction เป็น เรื่องทั่วๆไป เช่น การประยุกต์ใช้ตัวมาตรฐาน การล้อตาม Annex SL เป็นต้น
หัวข้อ 1 Scope เป็นการพูดถึง ขอบเขตของตัว ISO/IEC 27001 โดยสามารถใช้ได้กับทุกองค์กร ไม่ว่าจะอยู่ในอุตสาหกรรมขนาดหรือลักษณะใดๆก็ตาม และการยกเว้นข้อกำหนดใด ๆ ที่ระะบุในขอ้ 4 ถึง ข้อ 10 ไม่สามารถยอมรับได้
หัวข้อ 2 Normative references หัวข้อนี้เป็นการกล่าวอ้างถึงเอกสารที่เกี่ยวข้องโดยในที่นี้ จะอ้างถึง ISO/IEC 27000, Information technology — Security techniques — Information security management systems — Overview and vocabulary หรือก็คือภาพรวมและคำศัพท์
หัวข้อ 3 Terms and definitions หัวข้อนี้ได้พูดถึง ความหมายของคำศัพท์ที่อ้างในข้อกำหนด แต่ในที่นี้กล่าวว่า “นิยาม และคำจำกัดความในเอกสารฉบับนี้ ได้ถูกกำหนดไว้ใน ISO/IEC 27000” ดังนั้นหากจะดูรายละเอียดคำศัพท์ ต้องไปเปิดที่ ISO/IEC 27000
หัวข้อ 4-10 เป็นตัวข้อกำหนด ที่เราจะต้องนำไปดำเนินการ ดังนั้นผมจะชี้แจงในตอนถัดๆไปในแต่ละข้อครับ
Cr.กิตติพงษ์ เกียรตินิยมรุ่ง– สถาบันมาตรฐานอังกฤษ