การจัดการความปลอดภัยระบบสารสนเทศ (Information Security Management System : ISMS) ด้วย เกณฑ์มาตรฐานการรักษาความมั่นคงปลอดภัย ISO/IEC 27001 และ ISO/IEC 17799

การจัดการความปลอดภัยระบบสารสนเทศ (Information Security Management System : ISMS) ด้วย เกณฑ์มาตรฐานการรักษาความมั่นคงปลอดภัย ISO/IEC 27001 และ ISO/IEC 17799 ISO/IEC 27001 และ ISO/IEC 17799 เป็นกรอบ (เกณฑ์) มาตรฐานการรักษาความมั่นคงปลอดภัยระบบสารสนเทศที่ได้รับการยอมรับจากหลายประเทศและถูกนำมาประยุกต์เพื่อช่วยบริหารจัดการระบบสารสนเทศในองค์กรของประเทศต่างๆ มากขึ้น ความเป็นมา และพัฒนาการของมาตรฐานทั้งสองในภูมิภาคเอเชียแปซิฟิกและประเทศไทย ความแตกต่างระหว่างมาตรฐาน ISO/IEC 27001 และ ISO/IEC 17799 สรุปสาระสำคัญของมาตรฐานดังกล่าวฉบับภาษาไทย (เวอร์ชั่น 2.5) ปี 2550 ซึ่งเป็นฉบับปรังปรุงล่าสุดเพื่อเป็นคู่มือแนวทางสำหรับผู้ดูแลระบบและผู้เกี่ยวข้องในการบริหารจัดการด้านความมั่นคงปลอดภัยให้เกิดประสิทธิภาพมากยิ่งขึ้น

ก่อนจะมาเป็นมาตรฐาน  ISO/IEC 27001 และ ISO/IEC 17799 มาตรฐาน ISO/IEC 27001 เป็นมาตรฐานหนึ่งที่เกี่ยวข้องกับระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (Information Security Management System: ISMS) ซึ่งพัฒนามาจากมาตรฐานในตระกูล ISO/IEC 27000 มาตรฐาน ISO/IEC 27001ได้ผ่านการปรับปรุงและนำออกเผยแพร่เมื่อเดือนตุลาคม ปี 2005 โดย  International Organization for Standardization (ISO) และ International Electrotechnical  Commission (IEC) มีชื่อเต็มคือ ISO/IEC 27001:2005 - Information technology -- Security techniques -- Information security management systems – Requirements 

ก่อนจะมาเป็นมาตรฐาน  ISO/IEC 27001 และ ISO/IEC 17799                 มาตรฐาน ISO/IEC 17799 เกิดจากการรวบรวมเอามาตรฐานพื้นฐาน (Baseline) ที่มีชื่อ BS 7799 ซึ่งเป็นมาตรฐานที่องค์กรอุตสาหกรรมหลายองค์กรยึดถือร่วมกันเพื่อใช้เป็นมาตรฐานอุตสาหกรรม ปี 2000 องค์กร BSI ได้ผลักดันให้ BS 7799 ได้รับโหวตให้เป็นมาตรฐานสากล และประกาศสู่สาธารณะภายใต้ชื่อมาตรฐาน “ISO/IEC 17799” และคณะทำงานได้ปรับปรุงมาตรฐานดังกล่าวต่อไป ปี 2005 จึงได้ประกาศมาตรฐาน ISO/IEC 17799 ฉบับปรับปรุงล่าสุดสู่สาธารณะ ปัจจุบัน มาตรฐาน ISO/IEC 17799 ยังคงได้รับการปรับปรุงต่อเนื่องเพื่อให้มีความเหมาะสมกับสภาพแวดล้อมของธุรกิจ BSI (British Standards Institution) เป็นองค์กรดำเนินงานทางด้านมาตรฐานการบริหารและการจัดการ BSI ร่วมงานกับผู้เชี่ยวชาญในวงธุรกิจ องค์กรภาครัฐ สมาคมการค้า และกลุ่มผู้บริโภค ในการทำให้ได้มาซึ่งแนวทางปฏิบัติที่ดี

การประยุกต์มาตรฐาน ISO/IEC 27001 และ ISO/IEC 17799 ในภูมิภาคเอเชียแปซิฟิก หลังจากประกาศมาตรฐานการรักษาความมั่นคงปลอดภัยระบบสารสนเทศ ISO/IEC  27001 และ ISO/IEC 17799 อย่างเป็นทางการ หลายประเทศได้เริ่มนำมาตรฐานทั้งสองมาประยุกต์ในองค์กรทำให้เกิดการสร้างกลุ่มความร่วมมือทั้งในระดับโลกและระดับภูมิภาค ลักษณะการร่วมมือนี้ ได้แก่ การพัฒนาด้านเทคนิคร่วมกัน การให้ความเห็นต่อประเด็นของการรักษาความมั่นคงปลอดภัย การแบ่งปันความรู้และประสบการณ์ระหว่างกัน เป็นต้น ต่อมา มีการประชุมครั้งแรกในเดือนพฤศจิกายนปี 2004 ณ กรุงโตเกียว ประเทศญี่ปุ่น ภายใต้ชื่อ RAISS Forum หรือ Forum of Regional Asia Information Security Standards เพื่อให้กลุ่มภูมิภาคเอเชียแปซิฟิกได้เข้ามาร่วมรับทราบข่าวสาร และรับเอามาตรฐานไปปรับใช้ต่อไป  ซึ่งในการประชุมครั้งนี้มีตัวแทนจากหลายประเทศเข้าร่วมประชุม อาทิ ออสเตรเลีย มาเลเซีย ไต้หวัน ญี่ปุ่น สิงคโปร์ รวมถึงประเทศไทย โดยมีศูนยประสานงานการรักษาความปลอดภัยคอมพิวเตอร์ประเทศไทย(ThaiCERT) ซึ่งในขณะนั้นเป็นหน่วยงานหนึ่งภายใต้การดูแลของศูนย์เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติ (NECTEC) ได้ส่งตัวแทนเข้าร่วมประชุมในเวทีดังกล่าวด้วย

พัฒนาการมาตรฐาน  ISO/IEC 27001 และ ISO/IEC 17799 ของประเทศไทย ในเวทีความร่วมมือ RAISS ซึ่งมีตัวแทนจาก ThaiCERT เข้าร่วมการประชุม ได้นำเสนอ Paper ที่ได้นำมาตรฐาน ISO/IEC 27001 และ ISO/IEC 17799 เป็นแนวทางปฎิบัติงานของผู้ดูแลระบบและเครือข่าย กลุ่มผู้เข้าร่วมประชุมต่างให้ความเห็นกับ Paper นี้ว่าเป็นพัฒนาการที่สามารถนำไปใช้งานได้จริงและมีประเด็นที่ครอบคลุมมาตรฐานความปลอดภัยที่ค่อนข้างครบถ้วน ซึ่งภายหลังได้มีการพัฒนาและแปลร่างมาตรฐานฉบับภาษาไทยขึ้น และส่งมอบให้คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์นำไปประกอบการพิจารณา และได้มีการปรับปรุงร่างมาตรฐานที่จัดทำขึ้น พร้อมทั้งประชาสัมพันธ์และรับฟังความคิดเห็นจากหน่วยงานที่เกี่ยวข้องและประชาชนอีกจำนวนหลายครั้ง จนมีความสมบูรณ์และเหมาะสม สำหรับมาตรฐานฉบับปรับปรุงล่าสุดคือภายใต้ชื่อ มาตรฐานการรักษาความมั่นคงปลอดภัย ในการประกอบธุรกรรมทางอิเล็กทรอนิกส์ (เวอร์ชั่น 2.5) ประจำปี 2550

ความแตกต่างระหว่างมาตรฐาน ISO/IEC 27001 และ ISO/IEC 17799 ความแตกต่างระหว่างมาตรฐาน  ISO/IEC 27001 และ ISO/IEC 17799 มาตรฐาน ISO/IEC 27001 และ ISO/IEC 17799 นี้เป็นมาตรฐานสากลที่เน้นด้านการรักษาความมั่นคงปลอดภัยให้กับระบบสารสนเทศขององค์กร และใช้เป็นมาตรฐานอ้างอิงเพื่อเป็นแนวทางในการเสริมสร้างความมั่นคงปลอดภัยให้กับระบบสารสนเทศขององค์กรอย่างแพร่หลาย ความแตกต่างระหว่างมาตรฐานทั้งสองอธิบายได้ดังนี้ มาตรฐาน ISO/IEC 27001  กล่าวถึงข้อกำหนดในการจัดทำระบบบริหารจัดการความมั่นคงปลอดภัย (Information Security Management : ISMS) ให้กับองค์กร เพื่อให้องค์กรสามารถบริหารจัดการทางด้านความปลอดภัยได้อย่างเหมาะสมต่อการดำเนินธุรกิจขององค์กร มาตรฐานดังกล่าวมีหัวข้อที่เกี่ยวข้องได้แก่ 1) ขอบเขต (Scope) 2) ศัพท์เทคนิคและนิยาม (Terms and definitions) 3) โครงสร้างของมาตรฐาน (Structure of this standard) 4) การประเมินความเสี่ยงและการจัดการกับความเสี่ยง ลด/ เอาออก/ ยอมรับความเสี่ยง (Risk assessment and treatment) และรักษาทรัพย์สินสารสนเทศที่มีค่า นอกจากนี้ มาตรฐาน ISO/IEC 27001 ยังประกอบด้วยไปด้วยวงจรบริหารจัดการความมั่นคงปลอดภัยตามขั้นตอน Plan-Do-Check-Act (P-C-D-A)

มาตรฐาน ISO/IEC 27001 (ต่อ...)  แสดงวงจรบริหารจัดการความมั่นคงปลอดภัยตามขั้นตอน Plan-Do-Check-Act (P-C-D-A)

แผนภาพแสดงวงจรการบริหารจัดการความมั่นคงปลอดภัยตามขั้นตอน Plan-Do-Check-Act 

มาตรฐาน ISO/IEC 17799  เป็นมาตรฐานที่กล่าวถึงเรื่องวิธีปฎิบัติที่จะนำไปสู่ระบบบริหารจัดการความมั่นคงปลอดภัยที่องค์กรได้จัดทำขึ้นตามข้อกำหนดในมาตรฐาน ISO/IEC 27001 รายละเอียดของมาตรฐานนี้จะบอกถึงวิธีปฏิบัติในการลดความเสี่ยงที่เกิดจากจุดอ่อนของระบบโดยแบ่งหัวข้อหลักที่เกี่ยวข้องกับระบบ และให้แนวทางว่าผู้จัดทำควรปฎิบัติอย่างไร ซึ่งผู้ใช้สามารถเพิ่มเติมมาตรการหรือใช้วิธีการที่มีความมั่นคงปลอดภัยเพียงพอและเหมาะสม ซึ่งหัวข้อสำคัญหรือ 11 โดเมนหลักในมาตรฐานดังกล่าว มีดังนี้ 1) นโยบายความมั่นคงปลอดภัยขององค์กร (Security policy) 2) โครงสร้างด้านความมั่นคงปลอดภัยสำหรับองค์กร (Organization of information security) 3) การบริหารจัดการทรัพย์สินขององค์กร (Asset management) 4) ความมั่นคงปลอดภัยที่เกี่ยวข้องกับบุคลากร  (Human resources security)

มาตรฐาน ISO/IEC 17799  (ต่อ...) 5) การสร้างความมั่นคงปลอดภัยทางกายภาพและสิ่งแวดล้อม (Physical and environmental security)  6) การบริหารจัดการด้านการสื่อสารและการดำเนินงานของเครือข่ายสารสนเทศ (Communication and operations management) 7) การควบคุมการเข้าถึง (Access Control) 8) การจัดหา การพัฒนาและบำรุงรักษาระบบสารสนเทศ (Information systems acquisition, development and maintenance) 9) การบริหารจัดการเหตุการณ์ที่เกี่ยวข้องกับความมั่นคงปลอดภัยขององค์กร (Information security incident management) 10) การบริหารความต่อเนื่องในการดำเนินงานขององค์กร (Business continuity management) 11) การปฏิบัติตามข้อกำหนด (Compliance)  

สรุปความแตกต่างของมาตรฐาน ISO/IEC 27001 และ ISO/IEC 17799 ความแตกต่างของมาตรฐาน ISO/IEC 27001 และมาตรฐาน ISO/IEC 17799 คือ มาตรฐาน ISO/IEC 27001 จะเน้นเรื่องข้อกำหนดในการจัดทำระบบ ISMS ให้กับองค์กรตามขั้นตอน Plan-Do-Check-Act และใช้แนวทางในการประเมินความเสี่ยงมาประกอบการพิจารณาเพื่อหาวิธีการหรือมาตรการที่เหมาะสม ส่วนมาตรฐาน ISO/IEC 17799 จะเน้นเรื่องวิธีปฎิบัติที่จะนำไปสู่ระบบ ISMS ที่องค์กรได้จัดทำขึ้น ซึ่งจะต้องเป็นไปตามมาตรฐาน ISO/IEC 27001 กำหนดไว้ด้วย

สาระสำคัญของมาตรฐาน  ISO/IEC 27001 และ ISO/IEC 17799 ฉบับประเทศไทย (เวอร์ชั่น 2.5) ประจำปี 2550

ส่วนที่ 1 กระบวนการการจัดทำระบบบริหารจัดการความมั่นคงปลอดภัยสำหรับสารสนเทศ (อ้างอิงข้อกำหนดตามมาตรฐาน ISO/IEC 27001) มี 4 ข้อ ข้อ 1 ระบบบริหารจัดการความปลอดภัยสำหรับสารสนเทศ  ประกอบด้วยข้อกำหนด 2 ประการคือ ข้อกำหนดทั่วไป และ ข้อกำหนดทางด้านการจัดทำเอกสาร ข้อกำหนดทั่วไป องค์กรจะต้องกำหนด ลงมือปฎิบัติ ดำเนินการ เฝ้าระวัง ทบทวน บำรุง รักษาและปรับปรุงระบบบริหารจัดการความมั่นคงปลอดภัยตามที่ได้กำหนดไว้เป็นลายลักษณ์อักษร ภายในกรอบกิจกรรมการดำเนินการทางธุรกิจต่างๆ รวมทั้งความเสี่ยงที่เกี่ยวข้อง  แนวทางที่ใช้ในมาตรฐานฉบับนี้จะใช้กระบวนการ Plan-Do-Check-Act หรือ P-D-C-A มาประยุกต์ใช้

Plan คือการกำหนดนโยบาย และขอบเขตของระบบบริหารจัดการความมั่นคงปลอดภัยโดยพิจารณาถึงลักษณะของธุรกิจ องค์กร สถานที่ตั้ง ทรัพย์สิน และเทคโนโลยี พร้อมทั้งกำหนดวิธีการประเมินความเสี่ยงที่เป็นรูปธรรมขององค์กร วิเคราะห์และประเมินความเสี่ยง เลือกมาตรการด้านความปลอดภัยเพื่อจัดการกับความเสี่ยง ขอการอนุมัติเพื่อลงมือปฎิบัติสำหรับความเสี่ยงที่ยังลงเหลืออยู่ในระบบ ISMS และสุดท้ายคือ จัดทำเอกสาร SoA (Statement of Applicability) แสดงการใช้งานมาตรฐานตามที่แสดงไว้ในส่วนของมาตรฐานการรักษาความมั่นคงปลอดภัยในการประกอบธุรกรรมทางด้านอิเล็กทรอนิกส์ Do คือการลงมือปฎิบัติตามแผนการจัดการความเสี่ยง ซึ่งช่วยในการตรวจจับและรับมือกับเหตุการณ์ทางด้านความมั่นคงปลอดภัย พร้อมทั้งกำหนดวิธีการในการวัดความสัมฤทธิ์ผลของมาตรการที่เลือกมาใช้งาน

Check คือ การเฝ้าระวัง ตรวจสอบและทบทวนผลการดำเนินการตามระบบ ISMS อย่างสม่ำเสมอ วัดความสัมฤทธิ์ผลของมาตรการทางด้านความมั่นคงปลอดภัย ทบทวนผลการประเมินความเสี่ยงตามรอบระยะเวลาที่กำหนดไว้สำหรับความเสี่ยงที่เหลืออยู่และระดับความเสี่ยงที่ยอมรับได้ ดำเนินการตรวจสอบและทบทวนระบบบริหารจัดการความมั่นคงปลอดภัย ปรับปรุงแผนทางด้านความปลอดภัยโดยนำผลของการเฝ้าระวังและทบทวนกิจกรรมต่างๆ มาพิจารณาร่วมด้วย และบันทึกการดำเนินการซึ่งอาจมีผลกระทบต่อความสัมฤทธิ์ผลหรือประสิทธิภาพของระบบบริหารจัดการความมั่นคงปลอดภัย Act  คือ บำรุงรักษาและปรับปรุงคุณภาพของระบบ ISMS รวมถึงการใช้มาตรการเชิงแก้ไข ป้องกัน และใช้บทเรียนจากประสบการณ์ทางด้านความมั่นคงปลอดภัยขององค์กรเองและองค์กรอื่น แจ้งการปรับปรุงและดำเนินการให้แก่ทุกหน่วยงานที่เกี่ยวข้อง และตรวจสอบว่าการปรับปรุงที่ทำไปแล้วนั้นบรรลุตามวัตถุประสงค์ที่กำหนดไว้หรือไม่

ข้อกำหนดทางด้านการจัดทำเอกสาร เอกสารจำเป็นต้องจัดทำ หมายถึงถึง บันทึกแสดงการตัดสินใจของผู้บริหาร ได้แก่  นโยบายความมั่นคงปลอดภัย ขอบเขตของระบบบริหารจัดการความมั่นคงปลอดภัย วิธีการประเมินความเสี่ยง เป็นต้น การบริหารจัดการเอกสาร เอกสารตามข้อกำหนดของระบบบริหารจัดการความมั่นคงปลอดภัยจะต้องได้รับการป้องกันและควบคุม ขั้นตอนการปฎิบัติที่เกี่ยวข้องกับการจัดการเอกสาร ได้แก่ อนุมัติการใช้งานเอกสารก่อนที่จะเผยแพร่ ทบทวน ปรับปรุง และอนุมัติเอกสารอีกตามความจำเป็น ระบุการเปลี่ยนแปลงและสภานภาพของเอกสารปัจจุบัน การจัดการบันทึกข้อมูลหรือฟอร์มต่างๆ องค์กรจะต้องมีการกำหนด จัดทำและบำรุงรักษาบันทึกข้อมูลหรือฟอร์มต่างๆ เพื่อใช้เป็นหลักฐานแสดงความสอดคล้องกับข้อกำหนดและการดำเนินการของระบบบริหารจัดการความมั่นคงปลอดภัย

ข้อ 2 หน้าที่ความรับผิดชอบของผู้บริหาร ผู้บริหารจะต้องแสดงถึงการให้ความสำคัญต่อการลงมือปฎิบัติการ ดำเนินการเฝ้าระวัง ทบทวน การบำรุงรักษาและการปรับปรุงระบบบริหารจัดการความมั่นคงปลอดภัย การสร้างความตระหนักและการเพิ่มขีดความสามารถเพื่อให้บุคลากรที่ได้รับมอบหมายหน้าที่ สามารถปฎิบัติงานได้ตามที่กำหนดในนโยบายความมั่นคงปลอดภัย ข้อ 3 การตรวจสอบระบบบริหารจัดการความมั่นคงปลอดภัย  องค์กรควรตรวจสอบตามรอบระยะเวลาที่กำหนดไว้เพื่อดูว่า วัตถุประสงค์ มาตรการ กระบวนการ และขั้นตอนปฎิบัติของระบบบริหารจัดการความมั่นคงปลอดภัยมีความสอดคล้องกับข้อกำหนดในมาตรฐานฉบับนี้และกฎหมาย ระเบียบ ข้อบังคับต่างๆ หรือไม่ รวมทั้งจัดทำรายงานผลการตรวจสอบและบันทึกข้อมูลของการตรวจสอบนั้น ข้อ 4 การทบทวนระบบบริหารจัดการความมั่นคงปลอดภัยโดยผู้บริหาร                  ผู้บริหารจะต้องทบทวนระบบบริหารจัดการความมั่นคงปลอดภัยตามรอบระยะเวลาที่กำหนดไว้ (เช่นปีละ 1 ครั้ง) เพื่อให้มีการดำเนินการที่เหมาะสม พอเพียงและสัมฤทธิ์ผล การทบทวนจะต้องรวมถึงการปรับปรุงระบบบริหารจัดการความมั่นคงปลอดภัย ซึ่งลของการทบทวนจะต้องได้รับการบันทึกไว้อย่างเป็นลายลักษณ์อักษร

ส่วนที่ 2 มาตรการการจัดการด้านความมั่นคงปลอดภัยสำหรับสารสนเทศ (อ้างอิงมาตรฐาน ISO/IEC 27001 และศึกษารายละเอียดวิธีปฎิบัติทางเทคนิคจาก ISO/IEC 17799:2005) ประกอบด้วยข้อกำหนด 11 ข้อ ดังนี้ นโยบายความมั่นคงปลอดภัย (Security policy) มีผู้บริหารต้องจัดทำนโยบายความมั่นคงปลอดภัยเป็นลายลักษณ์อักษร เพื่อกำหนดทิศทางและให้การสนับสนุนการดำเนินการด้านความมั่นคงปลอดภัยสำหรับสารสนเทศขององค์กร เพื่อให้สอดคล้องกับข้อกำหนดทางธุรกิจ กฎหมาย และระเบียบปฎิบัติที่เกี่ยวข้อง รวมถึงการทบทวนนโยบายตามระยะเวลาที่กำหนดหรือเมื่อมีการเปลี่ยนแปลงที่สำคัญขององค์กร โครงสร้างด้านความมั่นคงปลอดภัยสำหรับองค์กร (Internal organization) กล่าวถึงบทบาทของผู้บริหารองค์กร และหัวหน้างาน สารสนเทศ ดังนี้ - โครงสร้างทางด้านความมั่นคงปลอดภัยภายในองค์กร - โครงสร้างทางด้านความมั่นคงปลอดภัยที่เกี่ยวข้องกับลูกค้าหรือหน่วยงานภายนอก เพื่อบริหาร- จัดการความมั่นคงปลอดภัยสำหรับสารสนเทศและอุปกรณ์ประมวลผลสารสนเทศขององค์กรที่ถูกเข้าถึง ถูกประมวลผล หรือถูกใช้ในการติดต่อสื่อสารกับลูกค้าหรือหน่วยงานภายนอก

การบริหารจัดการทรัพย์สินขององค์กร (Asset management) กล่าวถึงบทบาทของหัวหน้างานสารสนเทศและหัวหน้างานพัสดุ - หน้าที่ความรับผิดชอบต่อทรัพย์สินขององค์กร เพื่อป้องกันความเสียหาย ที่อาจขึ้นได้ การจัดหมวดหมู่สารสนเทศ เพื่อกำหนดระดับของการป้องกันสารสนเทศ ขององค์กรอย่างเหมาะสม

ความมั่นคงปลอดภัยที่เกี่ยวข้องกับบุคลากร (Human resources security) กล่าวถึงบทบาทของผู้บริหารสารสนเทศ หัวหน้างานสารสนเทศ หัวหน้างานบุคคลและหัวหน้างานที่เกี่ยวข้อง ดังนี้ การสร้างความมั่นคงปลอดภัยก่อนการจ้างงาน เพื่อให้พนักงานและผู้เกี่ยวข้องจากหน่วยงานภายนอก เข้าใจถึงบทบาทและหน้าที่ความรับผิดชอบของตน และเพื่อลดความเสี่ยงอันเกิดจากการขโมย การฉ้อโกง และการใช้อุปกรณ์ผิดวัตถุประสงค์ การสร้างความมั่นคงปลอดภัยในระหว่างการจ้างงาน เพื่อให้พนักงานและผู้เกี่ยวข้องจากหน่วยงานภายนอกได้ตระหนักถึงภัยคุกคามและปัญหาที่เกี่ยวข้องกับความมั่นคงปลอดภัย และทำความเข้าใจกับนโยบาย เพื่อลดความเสี่ยงอันเกิดจากความผิดพลาดในการปฎิบัติหน้าที่ การสิ้นสุดและการเปลี่ยนการจ้างงาน เพื่อให้พนักงานและผู้เกี่ยวข้องจากหน่วยงานภายนอกได้ทราบถึงหน้าที่ความรับผิดชอบและบทบาทของตน เมื่อสิ้นสุดหรือมีการเปลี่ยนการจ้างงาน

การสร้างความมั่นคงปลอดภัยทางกายภาพและสิ่งแวดล้อม (Physical and environmental security) กล่าวถึงบทบาทของหัวหน้างาน สารสนเทศและหัวหน้างานอาคารในด้านต่างๆ ดังนี้ บริเวณที่ต้องมีการรักษาความมั่นคงปลอดภัย เพื่อป้องกันการเข้าถึงทางกายภาพโดยไม่ได้รับอนุญาต การก่อให้เกิดความเสียหาย และการก่อกวนหรือแทรกแซงต่อทรัพย์สินสารสนเทศขององค์กร ความมั่นคงปลอดภัยของอุปกรณ์ เพื่อป้องกันการสูญหาย เสียหาย ถูกขโมย หรือการถูกเปิดเผยโดยไม่ได้รับอนุญาต ส่งผลให้กิจกรรมการดำเนินงานต่างๆ ขององค์กรเกิดการติดขัดหรือหยุดชะงัก การบริหารจัดการด้านการสื่อสารและการดำเนินงานของเครือข่ายสารสนเทศขององค์กร (Communications and operations management) กล่าวถึงบทบาทของผู้บริหารองค์กร ผู้บริหารสารสนเทศ หัวหน้างานสารสนเทศ ผู้ที่เป็นเจ้าของกระบวนการทางธุรกิจและพนักงานสารสนเทศในด้านต่างๆ ดังนี้ การกำหนดหน้าที่ความรับผิดชอบและขั้นตอนการปฎิบัติงาน เพื่อให้การดำเนินงานที่เกี่ยวข้องกับอุปกรณ์ประมวลผลสารสนเทศเป็นไปอย่างถูกต้องและปลอดภัย

การบริหารจัดการการให้บริการของหน่วยงานภายนอก เพื่อจัดทำและรักษาระดับความมั่นคงปลอดภัยของการปฎิบัติหน้าที่โดยหน่วยงานภายนอกให้เป็นไปตามข้อตกลงที่จัดทำไว้ระหว่างองค์กรกับหน่วยงานภายนอก การวางแผนและการตรวจรับทรัพยากรสารสนเทศ เพื่อลดความเสี่ยงจากความล้มเหลวของระบบ การป้องกันโปรแกรมที่ไม่ประสงค์ดี เพื่อรักษาซอฟต์แวร์และสารสนเทศให้ปลอดภัยจากการถูกทำลายโดยซอฟต์แวร์ที่ไม่ประสงค์ดี การสำรองข้อมูล เพื่อรักษาความถูกต้องสมบูรณ์และความพร้อมใช้ของสารสนเทศและอุปกรณ์ประมวลผลสารสนเทศ การบริหารจัดการทางด้านความปลอดภัยสำหรับเครือข่ายขององค์กร เพื่อป้องกันสารสนเทศบนเครือข่ายและโครงสร้างพื้นฐานที่สนับสนุนการทำงานของเครือข่าย การจัดการสื่อที่ใช้ในการบันทึกข้อมูล เพื่อป้องกันการเปิดเผย การเปลี่ยนแปลง การลบหรือทำลายทรัพย์สินสารสนเทศโดยไม่ได้รับอนุญาต และการติดขัดหรือหยุดชะงักทางธุรกิจ

การแลกเปลี่ยนสารสนเทศ เพื่อรักษาความมั่นคงปลอดภัยของสารสนเทศและซอฟต์แวร์ที่มีการแลกเปลี่ยนกันภายในองค์กร และที่มีการแลกเปลี่ยนกับหน่วยงานภายนอก การสร้างความมั่นคงปลอดภัยสำหรับบริการพาณิชย์อิเล็กทรอนิกส์ เพื่อสร้างความมั่นคงปลอดภัยสำหรับบริการพาณิชย์อิเล็กทรอนิกส์และในการใช้งาน การเฝ้าระวังทางด้านความมั่นคงปลอดภัย เพื่อตรวจจับกิจจกรรมการประมวลผลสารสนเทศที่ไม่ได้รับอนุญาต

การควบคุมการเข้าถึง (Access control) กล่าวถึงบทบาทของผู้บริหาร สารสนเทศ หัวหน้างานสารสนเทศ ผู้ดูแลระบบและพนักงานในด้านต่างๆ ดังนี้ ข้อกำหนดทางธุรกิจสำหรับการควบคุมการเข้าถึงสารสนเทศ เพื่อควบคุมการเข้าถึงสารสนเทศ การบริหารจัดการการเข้าถึงของผู้ใช้ เพื่อควบคุมการเข้าถึงเฉพาะที่ได้รับอนุญาตแล้วและป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต หน้าที่ความรับผิดชอบของผู้ใช้งาน การเปิดเผยหรือการขโมยสารสนเทศและอุปกรณ์ประมวลผลสารสนเทศ การควบคุมการเข้าถึงเครือข่ายที่ไม่ได้รับอนุญาต การควบคุมการเข้าถึงระบบปฎิบัติการที่ไม่ได้รับอนุญาต การควบคุมการเข้าถึง Application และสารสนเทศที่ไม่ได้รับอนุญาต การควบคุมอุปกรณ์สื่อสารประเภทพกพาและการปฎิบัติงานจากภายนอกเพื่อสร้างความมั่นคงปลอดภัยให้กับอุปกรณ์และการปฎิบัติงานที่เกี่ยวข้อง

8. การจัดหา การพัฒนาและการบำรุงรักษาระบบสารสนเทศ (Information systems acquisition, development and maintenance) กล่าวถึงบทบาทของหัวหน้างานสารสนเทศ ผู้พัฒนาระบบ และผู้เป็นเจ้าของระบบในด้านต่างๆ ดังนี้ ข้อกำหนดด้านความมั่นคงปลอดภัยสำหรับระบบสารสนเทศ เพื่อให้การจัดหาและพัฒนาระบบสารสนเทศได้พิจารณาถึงประเด็นทางด้านความมั่นคงปลอดภัยเป็นองค์ประกอบพื้นฐานที่สำคัญ การประมวลผลสารสนเทศใน Application เพื่อป้องกันความผิดพลาดในสารสนเทศ การสูญหายของสารสนเทศ การเปล่ยนแปลงสารสนเทศโดยไม่ได้รับอนุญาต หรือการใช้งานสารสนเทศผิดวัตถุประสงค์ มาตรการการเข้ารหัสข้อมูลเพื่อรักษาความลับของข้อมูล ยืนยันตัวตนของผู้ส่งข้อมล หรือรักษาความครบถ้วนสมบูรณ์ของข้อมูลโดยใช้วิธีการเข้ารหัสข้อมูล การสร้างความมั่นคงปลอดภัยให้กับไฟล์ของระบบที่ให้บริการ การสร้างความมั่นคงปลอดภัยสำหรับกระบวนการการพัฒนาระบบเพื่อรักษาความมั่นคงปลอดภัยสำหรับซอฟต์แวร์และสารสนเทศของระบบ การจัดการช่องโหว่ในฮาร์ดแวร์และซอฟต์แวร์ เพื่อลดความเสี่ยงจากการโจมตีโดยอาศัยช่องโหว่ทางเทคนิคที่มีการเผยแพร่หรือตีพิมพ์

9. การบริหารจัดการเหตุการณ์ที่เกี่ยวข้องกับความมั่นคงปลอดภัยขององค์กร (Information security incident management) กล่าวถึงบทบาทของหัวหน้างานสารสนเทศ หัวหน้างานนิติกร ผู้ดูแลระบบและพนักงานในด้านต่างๆ ดังนี้ การรายงานเหตุการณ์และจุดอ่อนที่เกี่ยวข้องกับความมั่นคงปลอดภัยของระบบสารสนเทศขององค์กร เพื่อให้มีการดำเนินการที่ถูกต้องในช่วงระยะเวลาที่เหมาะสม การบริหารจัดการและการปรับปรุงแก้ไขต่อเหตุการณ์ที่เกี่ยวข้องกับความมั่นคงปลอดภัย เพื่อให้มีวิธีการที่สอดคล้องและได้ผลในการบริหารจัดการเหตุการณ์ที่เกี่ยวข้องกับความมั่นคงปลอดภัยสำหรับสารสนเทศขององค์กร 10. การบริหารความต่อเนื่องในการดำเนินงานขององค์กร (Business continuity management) กล่าวถึงบทบาทของผู้บริหารสารสนเทศ และหัวหน้างานสารสนเทศ ที่เกี่ยวกับหัวข้อพื้นฐานสำหรับการบริหารความต่อเนื่องในการดำเนินงานขององค์กร เพื่อป้องกันการติดขัดหรือการหยุดชะงักของกิจกรรมต่างๆ ทางธุรกิจอันเป็นผลมาจากการล้มเหลวหรือหายนะที่มีต่อระบบสารสนเทศ และเพื่อให้สามารถกู้ระบบกลับคืนมาได้ภายในระยะเวลาที่เหมาะสม

11. การปฎิบัติตามข้อกำหนด (Compliance) กล่าวถึงบทบาทของหัวหน้างานสารสนเทศและหัวหน้างานนิติกร  ในด้านต่างๆ ดังนี้ การปฏิบัติตามข้อกำหนดทางกฎหมาย ระเบียบปฏิบัติ ข้อกำหนดในสัญญา และข้อกำหนดทางด้านความมั่นคงปลอดภัยอื่นๆ การปฎิบัติตามนโยบาย มาตรฐานความปลอดภัยและข้อกำหนดทางเทคนิค เพื่อให้ระบบเป็นตามนโยบายและมาตรฐานความมั่นคงปลอดภัยตามที่องค์กรกำหนดไว้ การตรวจประเมินระบบสารสนเทศตามรอบระยะเวลาที่กำหนดเพื่อประสิทธิภาพสูงสุดของการทำงานระบบ และมีการแทรกแซงที่ทำให้ระบบหยุดชะงักน้อยที่สุด