|
ข้อกำหนดที่ 6. การจัดการด้านการสื่อสารและการปฏิบัติการ (Communications and
operation management)
|
|
6.1 การแบ่งหน้าที่ในการปฏิบัติงานและการจัดทำเอกสารประกอบการปฏิบัติงาน
(Operation procedure and responsibilities and Document operating
procedures)
|
|
6.1.1 การกำหนดบทบาทหน้าที่ในการปฏิบัติงาน
|
|
6.1.2 การจัดทำเอกสารกระบวนการในการปฏิบัติงาน (Document Operating procedures)
|
|
6.1.3 การบริหารการเปลี่ยนแปลง (Change management)
|
|
6.1.4 การแบ่งแยกสารสนเทศ (Segregation of duties)
|
|
6.2 การจัดการการใช้บริการจากหน่วยงานภายนอก (Third party service
delivery management)
|
|
6.2.1 การส่งมอบงานหรือบริการ (service delivery)
|
|
6.2.2 การตรวตสอบการติดตามและการประเมินผลการดำเนินงานของหน่วยงานภายนอก (Monitoring
and Review of third party services)
|
|
6.2.3 การบริหารการเปลี่ยนแปลงในบริการจากบุคคลภายนอก (Managing
changes to third party services)
|
|
6.3 การวางแผนการใช้งานทรัพยากรสารสนเทศและการตรวจรับระบบสารสนเทศ
(System Planning and Acceptable)
|
|
6.3.1 การบริหารจัดการความต้องการทรัพยากรสารสนเทศในองค์กร (Capacity
Management)
|
|
6.3.2 การตรวจรับระบบ (system
acceptance)
|
|
6.4 การป้องกันโปรแกรมไม่ประสงค์ดีและโปรแกรมแบบ Mobile code
(Protection against malicious and mobile code)
|
|
6.4.1 มาตรการควบคุมโปรแกรมที่ไม่ประสงค์ดี (Control against malicious
code)
|
|
6.4.2 มาตรการควบคุมโปรแกรมแบบ Mobile code (Controls against mobile
code)
|
|
6.5 การสำรองข้อมูล (Backup system)
|
|
6.6 การบริหารความปลอดภัยของเครือข่าย (Network security management)
|
|
6.6.1 การควบคุมเครือข่าย (Network Controls)
|
|
6.6.2 ความมั่นคงปลอดภัยสำหรับบริการเครือข่าย (Security of Network
Service)
|
|
6.7 การจัดการสื่อบันทึกข้อมูล (Media handling)
|
|
6.7.1 การจัดการสื่อบันทึกข้อมูล (Management of removable media)
|
|
6.7.2 การกำจัดสื่อบันทึกข้อมูล (Disposal of media)
|
|
6.7.3 การจัดเก็บเอกสารที่เกี่ยวข้องกับการบริหารจัดการระบบ (Information
handling procedure)
|
|
6.8 การแลกเปลี่ยนข้อมูล (Information Exchange Policy)
|
|
6.8.1 การแลกเปลี่ยนข้อมูลสารสนเทศในองค์กร (Information exchange
policies and procedures)
|
|
6.8.2 การแลกเปลี่ยนข้อมูลสารสนเทศระหว่างองค์กร (Exchange agreements)
|
|
6.8.3 การนำสื่อสำรองข้อมูลออกไปยังภายนอกองค์กร (Physical Media in
Transit)
|
|
6.8.4 การส่งข้อความแบบอิเลคทรอนิคส์ (Electronic Messaging)
|
|
6.8.5 ความมั่นคงปลอดภัยระบบข้อมูลสารสนเทศเชิงธุรกิจ (Business
Information Systems)
|
|
6.9 การให้บริการพาณิชย์อิเลคทรอนิคส์ (Electronic Commerce
Services)
|
|
6.9.1 การเผยแพร่ข้อมูลแก่ภายนอก (Public available information)
|
|
6.10 การเฝ้าระวังด้านความมั่นคงปลอดภัย (Monitoring)
|
|
6.10.1 การเฝ้าระวังโดยการบันทึกเหตุการณ์ที่เกี่ยวข้องกับการใช้งานระบบสารสนเทศ
(Audit Logging)
|
|
6.10.2 ตรวจสอบการใช้งานระบบ (Monitoring System use)
|
|
6.10.3 การป้องกันข้อมูลบันทึกเหตุการณ์ที่เกี่ยวข้องกับการใช้งานระบบสารสนเทศ
(Protection of log information)
|
|
6.10.4 การบันทึกกิจกรรมในการปฏิบัติงานของผู้ดูแลระบบ (Administrator
and Operator log)
|
|
6.10.5 การบันทึกเหตุการณ์ที่เกิดจากความผิดพลาดของระบบสารสนเทศ (Fault
logging)
|
|
6.10.6 การตั้งเวลาของเครื่องคอมพิวเตอร์ให้ตรงกัน (Clock
Synchronization)
|
|
ข้อกำหนดที่ 7. การควบคุมการเข้าถึง (Access Control)
|
|
7.1 การบริหารจัดการการเข้าใช้งานของผู้ใช้งาน (User access
management)
|
|
7.1.1 การลงทะเบียนผู้ใช้ (User registration)
|
|
7.1.2 การจัดการสิทธิ์การเข้าถึง (Privilege management)
|
|
7.1.3 การจัดการรหัสผ่านของผู้ใช้ (User password management)
|
|
7.1.4 การทบทวนสิทธิ์ของผู้ใช้ (Review of user access rights)
|
|
7.2 หน้าที่ความรับผิดชอบของผู้ใช้ (User responsibilities)
|
|
7.2.1 การใช้รหัสผ่าน (Password use)
|
|
7.2.2 การจัดการด้านความปลอดภัยของอุปกรณ์ที่ไม่มีผู้ดูแล (Unattended
user equipment)
|
|
7.2.3 การเคลียร์หน้าจอคอมพิวเตอร์และการจัดเก็บโต๊ะทำงาน, เครื่องถ่ายเอกสาร,โทรสาร (Clear desk
Clear screen policy)
|
|
7.3 การควบคุมการใช้งานระบบเครือข่าย (Network access control)
|
|
7.3.1 นโยบายในการใช้บริการเครือข่าย (Policy on use of network
services)
|
|
7.3.2 การตรวจสอบผู้ใช้งานซึ่งมีการเชื่อมต่อจากภายนอก (User
authentication for external connections)
|
|
7.3.3 การตรวจสอบอุปกรณ์ในระบบเครือข่าย (Equipment identification in
networks)
|
|
7.3.4 การป้องกันพอร์ตที่ใช้ในการตรวจสอบและปรับแต่งระบบ (Remote
diagnostic and configuration port protection)
|
|
7.3.5 การควบคุมการเชื่อมต่อระบบเครือข่าย (Segregation in network)
|
|
7.3.6 การควบคุมการเลือกเส้นทางข้อมูลของเครือข่าย (Network connection
control)
|
|
7.4 การควบคุมการเข้าใช้งานระบบปฏิบัติการ (Operation system access
control)
|
|
7.4.1 กระบวนการในการเข้าใช้งานระบบอย่างปลอดภัย (Secure log-on
procedure)
|
|
7.4.2 การตรวจสอบยืนยันผู้ใช้ (User identification and
authentication)
|
|
7.4.3 ระบบบริหารจัดการรหัสผ่าน (Password management system)
|
|
7.4.4 การใช้งานยูทิลิตี้ของระบบ (Use of system utilities)
|
|
7.4.5 การจำกัดระยะเวลาในการงาน (Session time out)
|
|
7.5 การควบคุมการเข้าใช้งานแอพพลิเคชั่นและข้อมูล (Application and
information access control)
|
|
7.5.1 การจำกัดการเข้าใช้งานข้อมูล (Information access restriction)
|
|
7.5.2 การแยกระบบข้อมูลที่มีความสำคัญ (Sensitive system isolation)
|
|
7.5.3 การใช้คอมพิวเตอร์แบบพกพาและการเชื่อมต่อระบบเครือข่าย (Mobile
computing and communication)
|
|
7.5.3.1 การป้องกันทางกายภาพ (Physical)
|
|
7.5.3.2 การป้องกันการเข้าถึงระบบ (Logical)
|
|
7.5.3.3 การเชื่อมต่อกับระบบเครือข่ายให้มีความปลอดภัย (Secure
Connection)
|
ข้อกำหนดที่ 8 การจัดหา การพัฒนา และการบำรุงรักษาระบบข้อมูล (Information systems acquisition, development and maintenance)
8.1 การจัดทำข้อกำหนดด้านความมั่นคงปลอดภัยของระบบสารสนเทศ (Security requirements of information systems)
ในการจัดซื้อจัดจ้างอุปกรณ์ หรือระบบต่างๆ เพื่อนำมาใช้ในองค์กรนั้น ควรต้องมีการประเมินว่า ฟีท์เจอร์ด้านความมั่นคงปลอดภัยของอุปกรณ์หรือเทคโนโลยีต่างๆ เพื่อลดความเสียหายอันเกิดจากระบบไม่สามารถรองรับปริมาณความต้องการใช้งานหรือไม่สามารถปฏิบัติตามข้อกำหนดด้านความมั่นคงปลอดภัยขององค์กรได้ โดยพิจารณาให้ระบบดังกล่าวมีฟีท์เจอร์ครอบคลุมประเด็นต่างๆ ดังต่อไปนี้
8.1.1 การจัดซื้อจัดจ้างระบบปฏิบัติการ
- การจัดการระบบ (เกี่ยวข้องกับ การอนุมัติและการพิสูจน์ตัวตนของผู้ใช้ในระบบ)
- การตั้งค่าระบบ (เกี่ยวข้องกับการตั้งค่า และการกำหนดบริการต่างๆ ที่มีในระบบ)
- การตรวจสอบและเฝ้าระวังระบบ (เกี่ยวข้องกับการจัดเก็บ log ของกิจกรรมต่างๆ ในระบบ)
- หากเกิดภัยพิบัติสามารถกู้คืนระบบได้ (เกี่ยวข้องกับการสำรองข้อมูลและการกู้คืนระบบ)
- สอดคล้องกับข้อกำหนดตามกฏหมาย
8.1.2 การจัดซื้อจัดจ้างแอพพลิเคชั่น
- การจัดการแอพพลิเคชั่น (เกี่ยวข้องกับการอนุมัติและการพิสูจน์ตัวตนของผู้ใช้ในระบบ)
- การจัดการข้อมูล (เกี่ยวข้องกับการอนุญาตให้เข้าใช้ข้อมูลสารสนเทศในระบบ)
- การตั้งค่าของข้อมูลสารสนเทศ (สามารถกำหนดระดับชั้นความลับของข้อมูล ตลอดจนมาตรการป้องกัน เช่น การเข้ารหัส)
- การตั้งค่าบนระบบแอพพลิเคชั่น (เกี่ยวข้องกับการตั้งค่า และกำหนกบริการต่างๆ ที่มีในระบบแอพพลิเคชั่น)
- การตรวจสอบและเฝ้าระวังระบบแอพพลิเคชั่น (สามารถจัดเก็บ Audit log ของระบบได้)
- หากเกิดภัยพิบัติสามารถกู้คืนระบบได้ (เกี่ยวข้องกับการสำรองข้อมูลและการกู้คืนระบบ)
- สอดคล้องกับข้อกำหนดตามกฏหมาย
8.1.3 บริการ
- การตั้งค่าของข้อมูลสารสนเทศ (สามารถกำหนดระดับชั้นความลับของข้อมูล ตลอดจนมาตรการป้องกัน เช่น การเข้ารหัส)
- การตรวจสอบและเฝ้าระวังระบบที่ให้บริการ
- สามารถกู้คืนระบบได้ (Fallback Arrangement)
- สอดคล้องกับข้อกำหนดตามกฏหมาย
8.1.4 ระบบโครงสร้างพื้นฐาน
- รองรับการตั้งค่าต่างๆ ตามที่กำหนดไว้ในระดับชั้นความลับ (Assuring confidentiality, Integrity and Availability)
- รองรับการให้บริการอย่างต่อเนื่อง (High Availability)
- หากเกิดภัยพิบัติสามารถกู้คืนระบบได้
- สอดคล้องกับข้อกำหนดตามกฏหมาย
โดยต้องมีการตรวจสอบความถูกต้องในการติดตั้งระบบและการทำงานในช่วงที่มีการพัฒนาระบบร่วมกับผู้เชี่ยวชาญด้านความมั่นคงปลอดภัย เพื่อให้มั่นใจว่าได้มีการประเมินระบบที่ถูกออกแบบและพัฒนา เป็นไปตามข้อกำหนดด้านความมั่นคงปลอดภัยที่กำหนดไว้แล้ว
8.2 การควบคุมการเข้ารหัสข้อมูล (Cryptographic controls)
8.2.1 นโยบายควบคุมการเข้ารหัสข้อมูล (Policy on the use of Cryptographic controls)
- ห้ามติดตั้งซอฟท์แวร์ที่ใช้ในการเข้ารหัสที่องค์กรไม่อนุญาตให้ใช้
- การเข้ารหัสข้อมูลใดๆ ให้เป็นไปตามข้อกำหนดในเอกสาร การจัดลำดับชั้นความลับ ขององค์กร
- ความยาวของคีย์ที่ใช้ในการเข้ารหัสต้องไม่น้อยกว่า 56 บิต สำหรับการเข้ารหัสแบบสมมาตร (Symmetric) และแบบ อสมมาตร (Asymmetric) ต้องมีความยาวไม่น้อยกว่าตามที่ตกลงกันไว้
8.2.2 การจัดการกุญแจเข้ารหัส (Key Management)
- กระบวนการในการจัดการกุญแจเข้ารหัส (key management) จะต้องสอดคล้องกับเทคนิคการเข้ารหัสที่องค์กรนำมาใช้
- ระบบการจัดการกุญแจเข้ารหัสนั้นจะต้องประกอบไปด้วยฟังก์ชั่นต่างๆ ดังต่อไปนี้
- การสร้างกุญแจเข้ารหัส (Key generation)
- การเปลี่ยนกุญแจเข้ารหส (Key change)
- การนำกุญแจเข้ารหัสมาใช้ใหม่ (Key renewal)
- ในการสร้างกุญแจเข้ารหัสใหม่ ทุกครั้งต้องได้รับการอนุญาตจากผู้บริหารอย่างเป็นลายลักษณ์อักษร
8.3 ความปลอดภัยของไฟล์ระบบ (Security of system files)
8.3.1 การควบคุมซอฟท์แวร์ที่ใช้ในระบบปฏิบัติการ (Confidential of operation software)
- ต้องมีกระบวนการควบคุมซอฟท์แวร์ที่นำมาใช้ในการปฏิบัติงาน
- ต้องมีการควบคุมการอัพเดทเวอร์ชั่นของซอฟท์แวร์ทุกครั้ง
- การตั้งค่าหรือเปลี่ยนแปลงค่าใดๆ (Configuration) ในระบบจะต้องมีการควบคุมทุกครั้ง
8.4 ความปลอดภัยในกระบวนการพัฒนาและกระบวนการสนับสนุนการปฏิบัติงาน (Security in development and support process)
8.4.1 การทบทวนมาตรการควบคุมเชิงเทคนิคของแอพพลิเคชั่นภายหลังที่มีการเปลี่ยนแปลงใดๆ บนระบบปฏิบัติการ ดังต่อไปนี้ (Technical review of applications after operating system changes)
- เมื่อมีการเปลี่ยนแปลง แก้ไข หรือปรับปรุงประสิทธิภาพของระบบปฏิบัติการ ควรมีการแจ้งล่วงหน้าเพื่อให้สามารถทบทวน และทดสอบระบบแอพพลิเคชั่นก่อนใช้งานจริง เพื่อให้มั่นใจว่าไม่มีผลกระทบต่อการทำงาน หรือกระทบต่อความมั่นคงปลอดภัยของระบบสารสนเทศ
- ปฏิบัติตามกระบวนการควบคุมการเปลี่ยนแปลง (Change Management Procedure)
8.4.2 การจำกัดการเปลี่ยนแปลงในแพ็คเกจซอฟท์แวร์ที่ใช้ (Restrictions on change to software)
- ห้ามมิให้มีการเปลี่ยนแปลงใดๆ บนซอฟท์แวร์สำเร็จรูป
8.4.3 การควบคุมการรั่วไหลของข้อมูล (Information leakage)
- จัดเตรียมรายชื่อซอฟท์แวร์ที่ได้รับการอนุมัติให้ติดตั้งได้โดยไม่ต้องขออนุญาต (pre-approved software)
- การจัดซื้อ การใช้งาน และการแก้ไขใดๆ จะต้องได้รับการควบคุม โดยพิจารณาประเด็นต่างๆ ดังต่อไปนี้
-
จัดซื้อซอฟท์แวร์ ที่สามารถตรวจสอบซอสโค้ดของโปรแกรมดังกล่าวได้ หรือ
-
จัดซื้อซอฟท์แวร์จากบริษัทที่เชื่อถือได้เท่านั้น
-
ใช้ผลิตภัณฑ์ที่ได้รับการรับรองแล้ว
8.5 การบริหารจัดการช่องโหว่ (Technical Vulnerability Management)
8.5.1 การควบคุมช่องโหว่ (Control of technical vulnerabilities)
- ต้องกำหนดขั้นตอนการจัดการแพทช์ เพื่อการบริหารปรับปรุงประสิทธิภาพด้านความปลอดภัยของระบบปฏิบัติการ/แอพพลิเคชั่น
- ต้องแต่งตั้งให้มีผู้รับผิดชอบในการติดตามข่าวสารและดำเนินการแก้ไขเมื่อพบช่องโหว่ในระบบ
- ต้องรายงานให้คณะกรรมการบริหารด้านความมั่นคงปลอดภัยทราบถึงช่องโหว่ที่พบ พร้อมทั้งรายงานสรุปผลการดำเนินงานเมื่อปิดช่องโหว่นั้นแล้ว
****************************************************************************
ข้อกำหนดที่ 9 การบริหารจัดการเหตุการณ์ด้านความมั่นคงปลอดภัย (Information security incident management)
9.1 การรายงานเหตุการณ์และจุดอ่อนด้านความมั่นคงปลอดภัย (Reporting information security events and weakness)
9.1.1 การรายงานเหตุการณ์ด้านความมั่นคงปลอดภัย (Reporting information security events)
- จัดเตรียมช่องทางที่ใช้ในการรายงานเหตุการณ์ด้านความมั่นคงปลอดภัย และเผยแพร่ให้บุคลากรในองค์กรทราบ
- จะต้องมีรายงานเหตุการณ์ด้านความมั่นคงปลอดภัย ตามกระบวนการรายงานเหตุการณ์ด้านความมั่นคงปลอดภัยและจุดอ่อนด้านความมั่นคงปลอดภัย (Security and Weakness Reporting procedure)
9.1.2 การรายงานจุดอ่อนด้านความมั่นคงปลอดภัย (Reporting security weakness)
- จัดเตรียมช่องทางที่ใช้ในการรายงานจุดอ่อนด้านความมั่นคงปลอดภัย และเผยแพร่ให้บุคลากรในองค์กรทราบ
- จะต้องมีรายงานจุดอ่อนด้านความมั่นคงปลอดภัย ตามกระบวนการรายงานเหตุการณ์ด้านความมั่นคงปลอดภัยและจุดอ่อนด้านความมั่นคงปลอดภัย (Security and Weakness Reporting procedure)
- ไม่พยายามแก้ไขหรือปิดช่องโหว่ที่พบ โดยไม่ได้รับอนุญาต
9.2 การบริหารและการปรับปรุงการรับมือกับเหตุการณ์ด้านความปลอดภัย (Management of information security incidents and improvements)
9.2.1 การกำหนดผู้รับผิดชอบดำเนินการและขั้นตอนการดำเนินการ (Responsibilities and procedure)
ต้องมีการกำหนดขั้นตอนในการจัดการเหตุการณ์และจุดอ่อนด้านความมั่นคงปลอดภัย สำหรับเหตุการณ์ในแต่ละรูปแบบ ได้แก่
- ระบบสารสนเทศล้มเหลว ไม่สามารถให้บริการได้
- มีการแพร่กระจายของไวรัสคอมพิวเตอร์ในระบบ
- ระบบสารสนเทศถูกโจมตี จนทำให้ไม่สามารถให้บริการได้
- เกิดความผิดพลาดในการทำงานของระบบสารสนเทศ เนื่องจากขาดการตรวจสอบความถูกต้องของข้อมูลในระบบสารสนเทศ
- มีการละเมิดความลับของข้อมูล
- มีการใช้งานระบบสารสนเทศโดยมิชอบ
9.3 การบริหารจัดการและปรับปรุงการรับมือกับเหตุการณ์ด้านความมั่นคงปลอดภัย
9.3.1 การเรียนรู้เหตุการณ์ด้านปลอดภัยของข้อมูล (Learning from information security incidents)
ควรมีการสรุปและรวบรวมประเภทเหตุการณ์และจุดอ่อนของความมั่นคงปลอดภัย ตลอดจนผลกระทบอันเกิดจากเหตุการณ์ดังกล่าว เพื่อนำมาใช้ในการปรับปรุงวิธีรับมือให้มีประสิทธิภาพต่อไป
9.3.2 การเก็บรวบรวมหลักฐาน (Collection of evidence)
ในกรณีที่ต้องมีการเก็บรักษาหลักฐานสนับสนุนอื่นๆ เช่น Email, Admin, Firewall, Access,ข้อความ exception และระบบตรวจจับการบุกรุก และ log ที่เกี่ยวข้อง โดยวิธีการเก็บรวบรวมหลักฐานควรจะสอดคล้องกับแนวทางในการเก็บรวบรวมและจัดการกับหลักฐาน
ข้อกำหนดที่ 10 การบริหารความต่อเนื่องของธุรกิจ (Business continuity management)
10.1 จัดทำกรอบการดำเนินการในการวางแผนการบริหารความต่อเนื่องทางธุรกิจ (Business continuity planning framework)
ควรกำหนดกรอบการดำเนินงานแบบเดียวกันเพื่อให้แผนการที่จัดทำขึ้น มีความสอดคล้องกันทั้งระบบ โดยกรอบการดำเนินงานควรประกอบไปด้วยองค์ประกอบหลัก 4 ประการ คือ
- ขั้นตอนการเริ่มดำเนินงาน (Activation Procedure) – เพื่ออธิบายถึงรายละเอียดของขั้นตอนต่างๆ ที่ต้องทำก่อนเริ่มที่จะใช้แผนบริหารความต่อเนื่องทางธุรกิจ
- ขั้นตอนกรณีฉุกเฉิน (Emergency Procedure) – การปฏิบัติกรณีฉุกเฉินที่จะต้องนำมาใช้เมื่อเกิดเหตุการณ์ที่คุกคามการดำเนินธุรกิจ หรือชีวิต
- ขั้นตอนการติดตั้งระบบสำรอง (Fallback Procedure) – ดำเนินการติดตั้งระบบสำรอง ณ สถานที่สำรองที่จัดเตรียมไว้ เพื่อให้สามารถให้บริการต่อได้ภายในระยะเวลาที่กำหนดไว้
- ขั้นตอนการทำฟื้นฟูระบบ (Resumption Procedure) – อธิบายขั้นตอนในการฟื้นฟูระบบงานเก่าให้สามารถกลับมาให้บริการได้ตามปกติ
10.2 การประเมินความเสี่ยงและความต่อเนื่องทางธุรกิจ (Business continuity and risk assessment)
- การประเมินความเสี่ยงต้องพิจารณาถึงกระบวนการทางธุรกิจที่เกี่ยวข้องทั้งหมด ไม่เพียงแต่ประเมินความเสี่ยงระบบสารสนเทศเท่านั้น
- ควรมีการประเมินผลกระทบทางธุรกิจเพื่อให้สามารถระบุเหตุการณ์ที่มีผลกระบวนการทางธุรกิจหยุดชะงักได้
10.3 การพัฒนาและจัดทำแผนการบริหารความต่อเนื่องทางธุรกิจรวมถึงความมั่นคงปลอดภัยของข้อมูลสารสนเทศ (Developing and implementing continuity plans including information security)
- แผนการบริหารความต่อเนื่องทางธุรกิจต้องประกอบไปด้วยประเด็นต่างๆ ดังต่อไปนี้
o
ระบุกระบวนการทางธุรกิจที่มีความสำคัญ
o
ลำดับความสำคัญของกระบวนการต่างๆ ที่ต้องถูกกู้คืนกลับมา
o
กำหนดหน้าที่ความรับผิดชอบของผู้ที่เกี่ยวข้องและการเตรียมการในกรณีฉุกเฉิน
o
จัดทำเอกสารถึงกลยุทธในการกู้คืนระบบ (สำหรับ hot/cold site ทรัพยากรที่ใช้)
o
จัดทำเอกสารเกี่ยวกับขั้นตอนการดำเนินงาน
- แผนดังกล่าวต้องครอบคลุมถึงความต่อเนื่องของกระบวนการทางธุรกิจและยริการที่สำคัญซึ่งรวมถึงพนักงาน ข้อกำหนดในการดำเนินงาน และการกู้คืนระบบการให้บริการต่างๆ จากภัยพิบัติ
- พนักงานควรได้รับการอบรมเกี่ยวกับขั้นตอนการกู้คืนระบบที่ได้จัดทำไว้แล้ว ทั้งนี้จะต้องทำการทดสอบเป็นประจำเพื่อให้พนักงานเข้าใจขั้นตอนและสามารถปฏิบัติงานได้ เมื่อต้องนำแผนบริหารความต่อเนื่องมาใช้
10.4 การทดสอบ การบำรุงรักษา และการประเมินแผนการบริหารความต่อเนื่องของธุรกิจ (testing, maintenance and re-assessing business continuity plans)
- ควรมีการทดสอบด้านความต่อเนื่องของธุรกิจอย่างน้อยปีละครั้ง
- จะต้องจัดทำวิธีการทดสอบก่อนที่จะทำการทดสอบจริง
- ข้อผิดพลาดหรือปัญหาที่พบในระหว่างการทดสอบจะต้องได้รับการแก้ไขให้เหมาะสมต่อไป
ข้อกำหนดที่ 11
----------------------------------
ข้อกำหนดแต่ละข้อ จะทยอยนำมาลงนะครับ
ขอบคุณที่เข้ามาอ่าน
