Café A101

กระทู้เมื่อเร็วๆ นี้

หน้า: [1]
1
ระบบบริหารความมั่นคงปลอดภัยสารสนเทศ / Re: ISO/IEC27001:2013 Requirements - (แปลไทย)
« กระทู้ล่าสุด โดย CHA-NOM เมื่อ ธันวาคม 03, 2020, 11:17:02 PM »
4.4 ระบบบริหารความมั่นคงปลอดภัยสารสนเทศ (Information Security Management System)

The organization shall establish, implement, maintain, and continually improve an information security management system, in accordance with the requirements of this International Standard.

องค์กรต้องจัดตั้ง นำมาใช้งาน รักษาไว้ และพัฒนาระบบบริหารความมั่นคงปลอดภัยสารสนเทศอย่างต่อเนื่อง
2
ระบบบริหารความมั่นคงปลอดภัยสารสนเทศ / Re: ISO/IEC27001:2013 Requirements - (แปลไทย)
« กระทู้ล่าสุด โดย CHA-NOM เมื่อ ธันวาคม 03, 2020, 11:14:59 PM »
4.3 การกำหนดขอบเขตของระบบบริหารความมั่นคงปลอดภัยสารสนเทศ (Determining the scope of the information security management system)

The organization shall determine the boundaries and applicability of the information security management system to establish its scope.

องค์กรต้องกำหนดขอบเขตของระบบบริหารความมั่นคงปลอดภัยสารสนเทศ

When determining this scope, the organization shall consider:

a) the external and internal issues referred to in 4.1;
b) the requirements referred to in 4.2; and
c) interfaces and dependencies between activities performed by the organization, and those that are performed by other organizations.

The scope shall be available as documented information.

ในการกำหนดขอบเขต องค์กรจะพิจารณา
a) ประเด็นทั้งภายในและภายนอกองค์กร ซึ่งอ้างถึงในข้อ 4.1
ิb) ความต้องการซึ่งอ้างถึงในข้อ 4.2 และ
c) ความเชื่อมต่อกันและความเกี่ยวข้องระหว่างกิจกรรม ที่ดำเนินการโดยองค์กรและโดยหน่วยงานอื่น

การกำหนดขอบเขตของระบบบริหารความมั่นคงปลอดภัยสารสนเทศ ต้องระบุเป็นลายลักษณ์อักษร
3
ระบบบริหารความมั่นคงปลอดภัยสารสนเทศ / Re: ISO/IEC27001:2013 Requirements - แปลไทย
« กระทู้ล่าสุด โดย CHA-NOM เมื่อ ธันวาคม 03, 2020, 11:03:46 PM »
4.2 ความเข้าใจในความต้องการ และความคาดหวังขององค์กรที่เกี่ยวข้อง (Understanding the needs and expectations of interested parties)

The organization shall determine:
a) interested parties that are relevant to the information security management system; and
b) the requirements of these interested parties relevant to information security.

องค์กรต้องกำหนด
a) องค์กรที่เกี่ยวข้อง ซึ่งเกี่ยวกับระบบบริหารความมั่นคงปลอดภัยสารสนเทศ
b) ความต้องการขององค์กรที่เกี่ยวกับระบบบริหารความมั่นคงปลอดภัยสารสนเทศ

NOTE The requirements of interested parties may include legal and regulatory requirements and contractual obligations.

หมายเหตุ ความต้องการขององค์กรที่เกี่ยวข้องอาจรวมถึงกฎหมาย กฎระเบียบ และภาระผูกพันตามสัญญา
4
ระบบบริหารความมั่นคงปลอดภัยสารสนเทศ / ISO/IEC27001:2013 Requirements Clause 4 - 10 (แปลไทย)
« กระทู้ล่าสุด โดย CHA-NOM เมื่อ ธันวาคม 03, 2020, 11:00:52 PM »
4. บริบทขององค์กร (Context of the organization)

4.1 ความเข้าใจในองค์กรและบริบทขององค์กร (Understanding the organization and its context)

The organization shall determine external and internal issues that are relevant to its purpose and that affect its ability to achieve the intended outcome(s) of its information security management system.

องค์กรต้องกำหนดประเด็นทั้งภายในและภายนอกที่มีผลกระทบกับจุดประสงค์และความสามารถในการบรรลุถึงผลลัพธ์ตามเป้าหมายของระบบบริหารความมั่นคงปลอดภัยสารสนเทศ

NOTE Determining these issues refers to establishing the external and internal context of the organization considered in Clause 5.3 of ISO 31000:2009
6
ปัจจัยความสำเร็จของการบริหารงานคุณภาพ (ผลการวิจัย)

    เป็นที่ทราบกันดีว่า คุณภาพของสินค้า และ การผลิตที่มีประสิทธิภาพ มีบทบาทเป็นอย่างมากต่อความสำเร็จทางการตลาด การบริหารงานคุณภาพช่วยให้องค์กรสามารถแก้ปัญหาด้านคุณภาพ ระยะเวลารอสินค้า และต้นทุนการผลิตด้วยการบริหารงานที่เป็นระบบ การบริหารงานคุณภาพไม่ได้มีประโยชน์แต่เพียงการพัฒนาด้านเทคนิคขององค์กร แต่ยังช่วยปรับปรุงการปฏิบัติงานของพนักงาน ให้พนักงานมีเจตคติที่ดี มีความจงรักภักดีต่อองค์กร สร้างบรรยากาศการทำงานที่ราบรื่นและมีการสื่อสารที่ดีระหว่างพนักงานกับผู้บังคับบัญชา บางองค์กรนำการบริหารงานคุณภาพมาใช้เป็นส่วนหนึ่งของการพัฒนาบุคลากร การมีส่วนร่วมของพนักงาน และการสร้างความพอใจในการทำงานด้วย

    จากงานวิจัยของ Jing Li และ Toni. Doolen เรื่อง “A study of Chinese quality circle effectiveness” โดยใช้แบบสอบถามมาตราส่วน 5 ระดับของ Likert กับพนักงานที่ทำงานเรื่องการควบคุมคุณภาพในโรงงานอุตสาหกรรมผลิตโทรทัศน์แห่งหนึ่งในประเทศจีนซึ่งมีการร่วมทุนกับบริษัทผู้ผลิตจอโทรทัศน์จอแบนแห่งหนึ่งของไต้หวัน ผู้วิจัยได้กำหนดตัวแปรอิสระเป็นตัววัดความสำเร็จในการการบริหารงานคุณภาพ ประกอบด้วย

    1. ความชัดเจนในเป้าหมาย (Goal clarity) ของงานคุณภาพ
    2. ความท้าทายอันเกิดจากการรับรู้ถึงความยุ่งยากซับซ้อนของเป้าหมาย (Goal difficulty) ของงานคุณภาพ
    3. การสนับสนุนของผู้บริหาร (Management support) ที่มีต่อทั้งทีมงานและงานคุณภาพ

    และได้กำหนดตัวแปรตามซึ่งเป็นผลสำเร็จของการบริหารงานคุณภาพ ประกอบด้วย
    1) ผลด้านเทคนิค (Technical system outcome) เช่น ผลผลิตที่สูงขึ้น ต้นทุนการผลิตที่ต่ำลง และสินค้ามีคุณภาพที่ดีขึ้น
    2) ผลด้านสังคม (Social system outcome)
        2.1 ความรู้ความเข้าใจในคุณค่าและความสำคัญของการปรับปรุงอย่างต่อเนื่อง
        2.2 ทักษะหรือระดับความชำนาญในการนำเครื่องมือด้านคุณภาพไปใช้ในการทำงาน
        2.3 เจตคติหรือความชื่นชอบของทีมงานในการร่วมงานคุณภาพ
        2.4 แรงจูงใจหรือความรู้สึกกระตือรือร้นในการเข้าร่วมในงานคุณภาพ

    ผลการวิจัยพบว่าแม้ตัวแปรอิสระทั้งสามจะมีอิทธิพลต่อตัวแปรตามทุกตัว แต่สำหรับพนักงานที่มีส่วนร่วมในการทำวิจัยนี้ ตัวแปรเหล่านี้มีอิทธิพลต่อการพัฒนาคุณภาพในระดับที่แตกต่างกัน กล่าวคือ

    (1) ปัจจัยที่มีอิทธิพลต่อความรู้ความเข้าใจ (Knowledge) ในคุณค่าและความสำคัญของการปรับปรุงอย่างต่อเนื่อง
         ความชัดเจนในเป้าหมาย และการสนับสนุนของผู้บริหาร มีอิทธิพลต่อความเข้าใจในความสำคัญของการปรับปรุงอย่างต่อเนื่อง (continuous improvement) ทั้งนี้อาจเป็นด้วยการสนับสนุนและความชัดเจนในเป้าหมายดังกล่าว พนักงานจึงมีโอกาสและกำลังใจในการเรียนรู้เรื่องเหล่านี้มากขึ้น

    (2) ปัจจัยที่มีอิทธิพลต่อเจตคติ (Attitude) และแรงจูงใจ (Motivation)
         ปัจจัยที่ส่งอิทธิพลต่อเจตคติเรียงตามลำดับมากไปหาน้อย คือ ความชัดเจนในเป้าหมาย ความท้าทายอันเกิดจากการรับรู้ถึงความยุ่งยากซับซ้อนของเป้าหมาย และอิทธิพลจากการสนับสนุนของผู้บริหาร ผลการวิจัยพบว่า
         2.1 พนักงานที่ทำงานเกี่ยวข้องโดยตรงกับการพัฒนาคุณภาพ มีเจตคติที่จะเปลี่ยนแปลงกระบวนการทำงานของตนมากกว่าพนักงานในส่วนงานอื่นขององค์กร
         2.2 ความชัดเจนในเป้าหมายเป็นปัจจัยเพียงปัจจัยเดียวที่มีอิทธิพลต่อแรงจูงใจ ทั้งนี้เพราะความชัดเจนในเป้าหมายทำให้พนักงานรับรู้ได้ว่าตนมีศักยภาพหรือความสามารถในการทำงานดังกล่าวให้สำเร็จได้ ในขณะเดียวกันก็จะพยายามหลีกเลี่ยงไม่เข้าไปเกี่ยวข้องกับเป้าหมายประเภทที่ยุ่งยากหรือท้าทาย

    (3) ปัจจัยที่มีอิทธิพลต่อความสำเร็จของการบริหารงานคุณภาพ
ความชัดเจนในเป้าหมาย และการสนับสนุนของผู้บริหาร มีอิทธิพลต่อความสำเร็จของการบริหารงานคุณภาพ ความสำเร็จที่ว่านี้มีส่วนเกี่ยวข้องโดยตรงต่อคุณภาพของสินค้า อัตราการสูญเสีย การเพิ่มของผลผลิต แม้ว่าความชัดเจนในเป้าหมายจะเป็นปัจจัยที่สำคัญแต่ก็น้อยกว่าการสนับสนุนของผู้บริหารเพราะหากปราศจากการสนับสนุนของผู้บริหารแล้ว แม้ว่าเป้าหมายจะมีความชัดเจนเพียงใดก็มีโอกาสที่จะประสบความสำเร็จได้ยาก

    จากผลการวิจัย อาจสรุปอิทธิพลที่มีต่อพนักงานชาวจีนที่เป็นกลุ่มตัวอย่างของการวิจัยแบ่งตามชนิดของปัจจัยที่เป็นตัวแปรอิสระได้ดังนี้

ตัวแปรอิสระ: ความชัดเจนของเป้าหมาย (Goal clarity)
ตัวแปรตาม: 1) ความสำเร็จทางด้านเทคนิค
          2) ความสำเร็จด้านสังคม
          3) ความรู้และความเข้าใจ
          4) เจตคติ
          5) แรงจูงใจ

ตัวแปรอิสระ: ความท้าทายอันเกิดจากการรับรู้ถึงความยุ่งยากซับซ้อนของเป้าหมาย (Goal difficulty)
ตัวแปรตาม: เจตคติ

ตัวแปรอิสระ: การสนับสนุนของผู้บริหาร (Management support)
ตัวแปรตาม: 1) ความสำเร็จทางด้านเทคนิค
          2) ความสำเร็จด้านสังคม
          3) ความรู้และความเข้าใจ

    ความชัดเจนในเป้าหมาย (Goal clarity) เป็นปัจจัยที่สำคัญต่อความสำเร็จของการบริหารงานคุณภาพทั้งด้านเทคนิคและสังคม ความชัดเจนของเป้าหมายจูงใจทีมงานคุณภาพและพัฒนาเจตคติของสมาชิกในทีม นอกจากนั้นยังเพิ่มความรู้ความเข้าใจในคุณค่าของการปรับปรุงอย่างต่อเนื่องอีกด้วย

    ความท้าทายอันเกิดจากการรับรู้ถึงความยุ่งยากซับซ้อนของเป้าหมาย (Goal difficulty) มีความสัมพันธ์เกี่ยวข้องโดยตรงกับเจตคติโดยสมาชิกในทีมงานจะมีความสนใจที่จะร่วมกันทำงานเพื่อให้บรรลุเป้าหมายที่มีความยุ่งยากซับซ้อน การร่วมมือกันมากขึ้นนี้เป็นเรื่องของการเปลี่ยนแปลงเจตคติ ไม่ใช่การเพิ่มขึ้นของแรงจูงใจ

    การสนับสนุนของผู้บริหาร (Management support) มีอิทธิพลต่อการพัฒนาทางด้านเทคนิคและการเรียนรู้เพื่อการปรับปรุงอย่างต่อเนื่อง

    จากผลการวิจัย ไม่พบความสัมพันธ์ทางตรงของปัจจัยหรือตัวแปรอิสระที่มีต่อทักษะในการทำงาน แต่ก็เชื่อได้ว่าทักษะน่าจะเป็นผลพลอยได้จากการเพิ่มของตัวแปรตามตัวอื่นๆ เช่น ความรู้ เจตคติ และการพัฒนาด้านเทคนิกและสังคม

    แม้ผลการวิจัยนี้จะได้จากการทำวิจัยกับพนักงานที่ทำงานด้านการควบคุมคุณภาพในประเทศจีน แต่ด้วยสภาพทางสังคมวัฒนธรรมที่ใกล้เคียงกันของจีนและไทย ผลการศึกษานี้น่าจะเป็นประโยชน์ต่อการพัฒนาคุณภาพผ่านบุคลากรด้านคุณภาพในองค์กรได้พอสมควร

     บทความที่เกี่ยวข้องซึ่งขอแนะนำให้อ่านประกอบ
  • Project Management & ISO Quality Management
  • Quality Management Techniques
  • Total Quality Management (TQM)

---
ปัจจัยความสำเร็จของการบริหารงานคุณภาพ (ผลการวิจัย) - ดร. ปิยนันท์ สวัสดิ์ศฤงฆาร. (2017). Retrieved 2 October 2020, from https://drpiyanan.com/2017/05/26/article4/
7
อาชีวอนามัยและความปลอดภัย / หมอนัด ถือว่าลาป่วยหรือไม่
« กระทู้ล่าสุด โดย CHA-NOM เมื่อ ตุลาคม 09, 2020, 09:46:45 PM »
พรบ. คุ้มครองแรงงาน พ.ศ. ๒๕๔๑ มาตรา ๓๒ เป็นบทบัญญัติที่ กาหนดให้ลูกจ้างลาป่วยได้เท่าที่ป่วยจริง โดยการลาป่วยตั้งแต่สามวันทางานขึ้นไป นายจ้างอาจให้ลูกจ้างแสดง ใบรับรองแพทย์แผนปัจจุบันชั้นหนึ่งหรือของสถานพยาบาลของทางราชการ

ทั้งนี้ในพระราชบัญญัติคุ้มครองแรงงานฯ ไม่ได้มีการกาหนดนิยามคาว่า “วันลาป่วย” หรือ “ป่วย” ไว้

จึงต้องพิจารณาความหมาย ตามพจนานุกรมฉบับราชบัณฑิตยสถาน พ.ศ. ๒๕๕๔ ซึ่งได้ให้ความหมายของคาว่า “ป่วย” หมายถึง รู้สึกไม่สบายเพราะโรคหรือความไข้ หรือเหตุอื่นใดที่ทาให้รู้สึกเช่นนั้น

ทั้งนี้ประกอบกับกฎหมายมีเจตนารมณ์ ในการกาหนดวันลาป่วยเพื่อให้ลูกจ้างได้มีโอกาสหยุดพักรักษาตัวในขณะที่เจ็บป่วย เพื่อให้สุขภาพฟื้นคืน สภาพเดิมพร้อมที่จะกลับมาทางานได้อย่างเต็มประสิทธิภาพตามปกติ

ลูกจ้างป่วย เป็นโรคไตจะต้องรักษาโดยการฟอกไตตามที่แพทย์นัดโดยมีกาหนดสัปดาห์ละ ๓ วัน ทำให้ลูกจ้างต้องหยุดงาน ในวันที่ต้องไปฟอกไต ตามที่แพทย์นัดนั้น เป็นการลาเพื่อรักษาโรค เนื่องจากการเจ็บป่วยเรื้อรัง และเป็นข้อเท็จจริงที่เกิดขึ้นในขณะที่ลูกจ้างขอลากับนายจ้าง

โดยขณะนั้นลูกจ้าง ยังคงมีอาการเจ็บป่วย รู้สึกไม่สบายและสภาพร่างกายยังไม่สมบูรณ์แข็งแรงเพราะอาการเจ็บป่วยจากโรคไต อันเป็นสาเหตุให้ลูกจ้างไม่สามารถทางานได้อย่างเต็มประสิทธิภาพตามปกติ

กรณีนี้วันลาดังกล่าวจึงถือว่า เป็นวันลาป่วยตามมาตรา ๓๒ แห่ง พรบ. คุ้มครองแรงงานฯ ซึ่งลูกจ้างสามารถขอลาป่วยกับนายจ้างได้ แต่ต้องเท่าที่ป่วยจริงเท่านั้น และเมื่อลูกจ้างได้ลาป่วยตามมาตรา ๕๗ แห่งพระราชบัญญัติคุ้มครองแรงงาน พ.ศ. ๒๕๔๑ กำหนดให้นายจ้างจ่ายค่าจ้างสำหรับวันลาป่วยแก่ลูกจ้างตามมาตรา ๓๒ เท่าอัตราค่าจ้าง ในวันทำงานตลอดระยะเวลาที่ลาแต่ปีหนึ่งต้องไม่เกิน ๓๐ วันทางาน

ดังนั้น เมื่อการลาไปฟอกไต ตามแพทย์นัดถือเป็นวันลาป่วย ลูกจ้างก็มีสิทธิได้รับเงินค่าจ้างระหว่างวันลาป่วย แต่จะได้รับเพียง ๓๐ วันทางาน ตามที่กฎหมายกำหนดเท่านั้น

ข้อสังเกต
-คดีนี้เป็นที่เห็นได้ชัดเจนว่าขณะที่ลาป่วยนั้น ลูกจ้างมีอาการป่วยจริง จะแตกต่างกับกรณีลาไปตรวจสุขภาพ หรือลาไปติดตามอาการป่วย ซึ่งในขณะที่ลานั้นไม่แน่ว่าลูกจ้างยังมีอาการป่วยหรือไม่  ซึ่งไม่น่าจะลาป่วยได้

วิธีแก้ปัญหา แอดมินขอแนะนำให้ลูกจ้างที่ไปตรวจสุขภาพ หรือไปติดตามอาการหากพบว่ามีอาการป่วยอยู่ ก็ควรขอใบรับรองแพทย์มายื่นกับนายจ้างเพื่อขอลาป่วย

-คดีนี้พอได้หลักว่าหมอนัดที่จะลาป่วยใด้ ต้องป่วยในขณะที่ลา ซึ่งเป็นลักษณะป่วยเรื้อรัง

ที่มา: ข้อหารือกองนิติการ ที่ รง ๐๕๐๕/๑๖๐๔ ลงวันที่ ๑๔ มิถุนายน ๒๕๖๐

___
https://www.facebook.com/265489857320459/posts/859110234625082/
8
แนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล - Thailand Data Protection Guidelines 2.0 ศูนย์วิจัยกฎหมายและการพัฒนา คณะนิติศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย

https://www.law.chula.ac.th/wp-content/uploads/2019/10/TDPG2.0-C5-20191009.pdf
9
ระบบบริหารความมั่นคงปลอดภัยสารสนเทศ / Annex-A | ISO/IEC 27001:2013
« กระทู้ล่าสุด โดย CHA-NOM เมื่อ ตุลาคม 02, 2020, 03:29:25 PM »
A5   Information security policies
   A5.1   Management direction for information security
1   A5.1.1   Policies for information security
2   A5.1.2   Review of policies for information security

A6   Organization of information security
   A6.1   Internal organization
3   A6.1.1   Information security roles and responsibilities
4   A6.1.2   Segregation of duties
5   A6.1.3   Contact with authorities
6   A6.1.4   Contact with special interest groups
7   A6.1.5   Information security in project management
   A6.2   Mobile devices and teleworking
8   A6.2.1   Mobile device policy
9   A6.2.2   Teleworking

A7   Human resource security
   A7.1   Prior to employment
10   A7.1.1   Screening
11   A7.1.2   Terms and conditions of employment
   A7.2   During employment
12   A7.2.1   Management responsibilities
13   A7.2.2   Information security awareness, education and training
14   A7.2.3   Disciplinary process
   A7.3   Termination and change of employment
15   A7.3.1   Termination or change fo employment responsibilities

A8   Asset management
   A8.1   Responsibility for assets
16   A8.1.1   Inventory of assets
17   A8.1.2   Ownership of assets
18   A8.1.3   Acceptable use of assets
19   A8.1.4   Return of assets
   A8.2   Information classification
20   A8.2.1   Classification of information
21   A8.2.2   Labelling of information
22   A8.2.3   Handling of assets
   A8.3   Media handling
23   A8.3.1   Management of removable media
24   A8.3.2   Disposal of media
25   A8.3.3   Physical media transfer

A9   Access control
   A9.1   Business requirements for access control
26   A9.1.1   Access control policy
27   A9.1.2   Access to networks and network services
   A9.2   User access management
28   A9.2.1   User registration and de-registration
29   A9.2.2   User access provisioning
30   A9.2.3   Management of privileged access rights
31   A9.2.4   Management of secret authentication information of users
32   A9.2.5   Review of user access rights
33   A9.2.6   Removal or adjustment of access rights
   A9.3   User responsibilities
34   A9.3.1   Use of secret authentication information
   A9.4   System and application access control
35   A9.4.1   Information access restriction
36   A9.4.2   Secure log-on procedures
37   A9.4.3   Password management system
38   A9.4.4   Use of privileged utility programs
39   A9.4.5   Access control to program source code

A10   Cryptography
   A10.1   Cryptographic controls
40   A10.1.1   Policy on the use of cryptographic controls
41   A10.1.2   Key management

A11   Physical and environmental security
   A11.1   Secure areas
42   A11.1.1   Physical security perimeter
43   A11.1.2   Physical entry controls
44   A11.1.3   Securing offices, rooms and facilities
45   A11.1.4   Protecting against external and environmental threats
46   A11.1.5   Working in secure areas
47   A11.1.6   Delivery and loading areas
   A11.2   Equipment
48   A11.2.1   Equipment sitting and protection
49   A11.2.2   Supporting utilities
50   A11.2.3   Cabling security
51   A11.2.4   Equipment maintenance
52   A11.2.5   Removal of assets
53   A11.2.6   Security of equipment and assets off-premises
54   A11.2.7   Secure disposal and re-use of equipment
55   A11.2.8   Unattended user equipment
56   A11.2.9   Clear desk and clear screen policy

A12   Operations security
   A12.1   Operational procedures and responsibilities
57   A12.1.1   Documented operating procedures
58   A12.1.2   Change management
59   A12.1.3   Capacity management
60   A12.1.4   Separation of development, testing and operational environments
   A12.2   Protection from malware
61   A12.2.1   Controls against malware
   A12.3   Backup
62   A12.3.1   Information backup
   A12.4   Logging and monitoring
63   A12.4.1   Event logging
64   A12.4.2   Protection of log information
65   A12.4.3   Administrator and operator logs
66   A12.4.4   Clock synchronisation
   A12.5   Control of operational software
67   A12.5.1   Installation of software on operational systems
   A12.6   Technical vulnerability management
68   A12.6.1   Management of technical vulnerabilities
69   A12.6.2   Restrictions on software installation
   A12.7   Information systems audit consideration
70   A12.7.1   Information system audit controls

A13   Communications security
   A13.1   Network security management
71   A13.1.1   Network controls
72   A13.1.2   Security of network services
73   A13.1.3   Segregation in networks
   A13.2   Information transfer
74   A13.2.1   Information transfer policies and procedures
75   A13.2.2   Agreements on information transfer
76   A13.2.3   Electronic messaging
77   A13.2.4   Confidentiality or non-disclosure agreements

A14   System acqusition, development and maintenance
   A14.1   Security requirements of information systems
78   A14.1.1   Information security requirements analysis and specification
79   A14.1.2   Securing application services on public networks
80   A14.1.3   Protecting application services transactions
   A14.2   Security in development and support processes
81   A14.2.1   Secure development policy
82   A14.2.2   System change control procedures
83   A14.2.3   Technical review of applications after operating platform changes
84   A14.2.4   Restrictions on changes to software packages
85   A14.2.5   Secure system engineering principles
86   A14.2.6   Secure development environment
87   A14.2.7   Outsourced development
88   A14.2.8   System security testing
89   A14.2.9   System acceptance testing
   A14.3   Test data
90   A14.3.1   Protection of test data

A15   Supplier relationships
   A15.1   Information security in supplier relationships
91   A15.1.1   Information security policy for supplier relationships
92   A15.1.2   Addressing security within supplier agreements
93   A15.1.3   Information and communication technology supply chain
   A15.2   Supplier service delivery management
94   A15.2.1   Monitoring and review of supplier services
95   A15.2.2   Managing changes to supplier services

A16   Information security incident management
   A16.1   Management of information security incidents and improvements
96   A16.1.1   Responsibilities and procedures
97   A16.1.2   Reporting information security events
98   A16.1.3   Reporting information security weaknesses
99   A16.1.4   Assessment of and decision on information security events
100   A16.1.5   Response to information security incidents
101   A16.1.6   Learning from information security incidents
102   A16.1.7   Collection of evidence

A17   Information security aspects of business continuity management
   A17.1   Information security continuity
103   A17.1.1   Planning information security continuity
104   A17.1.2   Implementing information security continuity
105   A17.1.3   Verify, review and evaluate information security continuity
   A17.2   Redundancies
106   A17.2.1   Availability of information processing facilities

A18   Compliance
   A18.1   Compliance with legal and contractual requirements
107   A18.1.1   Identification of applicable legislation and contractual requirements
108   A18.1.2   Intellectual property rights
109   A18.1.3   Protection of records
110   A18.1.4   Privacy and protection of personally identifiable information
111   A18.1.5   Regulation on cryptographic controls
   A18.2   Information security reviews
112   A18.2.1   Independent review of information security
113   A18.2.2   Compliance with security policies and standards
114   A18.2.3   Technical compliance review
หน้า: [1]