ตอนที่ 3 ภาพรวม ข้อกำหนดระบบการจัดการ ISO/IEC 27001:2013

ข้อกำหนด ISO/IEC 27001:2013 ได้ประกาศใช้ในปี 2013 โดย โครงสร้างข้อกำหนดที่ออกมานั้น ได้ใช้หลักการ PDCA (Plan Do Check Action) และรูปแบบการเรียงข้อกำหนด ได้มีการเรียงตาม Annex SL (หรือชื่อเป็นทางการคือ Guide 83) โดยมีการเรียงข้อกำหนดดังนี้

 

หัวข้อ 0 Interoduction เป็น เรื่องทั่วๆไป เช่น การประยุกต์ใช้ตัวมาตรฐาน การล้อตาม Annex SL เป็นต้น

หัวข้อ 1 Scope เป็นการพูดถึง ขอบเขตของตัว ISO/IEC 27001 โดยสามารถใช้ได้กับทุกองค์กร ไม่ว่าจะอยู่ในอุตสาหกรรมขนาดหรือลักษณะใดๆก็ตาม และการยกเว้นข้อกำหนดใด ๆ ที่ระะบุในขอ้ 4 ถึง ข้อ 10 ไม่สามารถยอมรับได้

หัวข้อ 2 Normative references หัวข้อนี้เป็นการกล่าวอ้างถึงเอกสารที่เกี่ยวข้องโดยในที่นี้ จะอ้างถึง ISO/IEC 27000, Information technology — Security techniques — Information security management systems — Overview and vocabulary หรือก็คือภาพรวมและคำศัพท์

หัวข้อ 3 Terms and definitions หัวข้อนี้ได้พูดถึง ความหมายของคำศัพท์ที่อ้างในข้อกำหนด แต่ในที่นี้กล่าวว่า “นิยาม และคำจำกัดความในเอกสารฉบับนี้ ได้ถูกกำหนดไว้ใน ISO/IEC 27000” ดังนั้นหากจะดูรายละเอียดคำศัพท์ ต้องไปเปิดที่ ISO/IEC 27000

หัวข้อ 4-10 เป็นตัวข้อกำหนด ที่เราจะต้องนำไปดำเนินการ ดังนั้นผมจะชี้แจงในตอนถัดๆไปในแต่ละข้อครับ

 

Cr.กิตติพงษ์ เกียรตินิยมรุ่ง– สถาบันมาตรฐานอังกฤษ