- ชื่อมาตรฐาน
ภาษาอังกฤษ : Security and resilience — Security management systems — Requirements
- การประกาศใช้
ISO : 15 มีนาคม 2022
- หน่วยงานเจ้าของมาตรฐาน
ISO : International Organization for Standardization (ISO/TC 292 Security and resilience)
- ประเภทมาตรฐาน
ISO 28000 เป็นมาตรฐานระบบการจัดการความมั่นคงปลอดภัย โดยมีโครงสรางของมาตรฐานเชนเดียวกับมาตรฐานระบบการจัดการ เชน ระบบการจัดการคุณภาพ ระบบการจัดการสิ่งแวดลอม สามารถขอการรับรองจากหน่วยรับรองระบบ (Certification Body) ที่ให้บริการได้
- ขอบเขตและการนำมาตรฐานไปใช้
มาตรฐานนี้ระบุข้อกำหนดสำหรับระบบการจัดการความมั่นคงปลอดภัย รวมถึงประเด็นที่มีความสำคัญต่อการประกันความปลอดภัยของห่วงโซ่อุปทาน ต้องการให้องค์กร:
- ประเมินสภาพแวดล้อมการรักษาความปลอดภัยที่ดำเนินการรวมถึงห่วงโซ่อุปทาน (รวมถึงการพึ่งพาและการพึ่งพาซึ่งกันและกัน)
- พิจารณาว่ามีการใช้มาตรการรักษาความปลอดภัยที่เพียงพอเพื่อจัดการความเสี่ยงด้านความปลอดภัยอย่างมีประสิทธิผลหรือไม่
- จัดการการปฏิบัติตามภาระผูกพันตามกฎหมาย ระเบียบข้อบังคับ และโดยสมัครใจที่องค์กรสมัครเป็นสมาชิก
- จัดแนวกระบวนการและการควบคุมด้านความปลอดภัย รวมถึงกระบวนการต้นน้ำและปลายน้ำที่เกี่ยวข้องและการควบคุมของห่วงโซ่อุปทานเพื่อให้เป็นไปตามวัตถุประสงค์ขององค์กร
มาตรฐานนี้สามารถนําไปใชกับองคกรใดๆ ทุกสถานที่ตั้ง ขนาด กลุมประเภท รูปแบบการดําเนินธุรกิจ และอุตสาหกรรม (เช่น องค์กรการค้า รัฐบาลหรือหน่วยงานสาธารณะอื่นๆ และองค์กรไม่แสวงหาผลกำไร) และสามารถนำไปใช้กับกิจกรรมใดๆ ทั้งภายในและภายนอก ในทุกระดับ
องค์กรสามารถยืนยันความสอดคล้องกับมาตรโดยการตรวจสอบภายในหรือโดยหน่วยงานรับรองที่เป็นบุคคลที่สามที่ได้รับการรับรอง
- ประโยชน์ของการนำมาตรฐานไปใช้
- องค์กรสามารถการจัดการความไม่แน่นอนและความผันผวนที่เพิ่มขึ้นในสภาพแวดล้อมความปลอดภัย
อย่างเป็นระบบภายในระบบการจัดการขององค์กร
- องค์กรมีแนวทางอย่างเป็นทางการในการจัดการความปลอดภัยสามารถส่งผลโดยตรงต่อความสามารถทางธุรกิจและความน่าเชื่อถือขององค์กร
- องค์กรต่าง ๆ ตั้งแต่ ผู้ผลิตวัตถุดิบ ผู้จัดส่ง ผู้ผลิต คลังสินค้า ผู้จัดจำหน่าย ผู้กระจายสินค้า ผู้ให้บริการ รวมไปถึงผู้บริโภคทำงานประสานกันอย่างมีประสิทธิภาพ สามารถผลิตสินค้า และส่งมอบไปยังแหล่งต่าง ๆ ได้ถูกต้องตามปริมาณ สถานที่ และเวลาตามเป้าหมายที่กำหนดไว้ เพื่อสร้างความพึงพอใจสูงสุดให้กับลูกค้าด้วยต้นทุนที่ต่ำที่สุด
- สาระสำคัญของมาตรฐาน
มาตรฐาน ISO 28000 นี้ พัฒนาเพื่อให้มีความสอดคล้องกับมาตรฐานระบบการจัดการอื่นๆ เช่น ISO 9001, ISO 14001, ISO 22301, ISO/IEC 27001, ISO 45001 เป็นต้น ซึ่งจะช่วยสนับสนุนการใช้งานและการดำเนินงานที่สอดคล้องและบูรณาการกับระบบการจัดการที่เกี่ยวข้อง โดยพัฒนาตาม PDCA Model
PDCA Model applied to the security management systems
มาตรฐานนี้ ประกอบด้วย ส่วนที่เป็นข้อกำหนดทั่วไป คือ ข้อ 1 – ข้อ 3 และส่วนที่เป็นข้อกำหนดสำหรับนำไปปฏิบัติ คือ ข้อ 4 – ข้อ 10 และภาคผนวก (Annex) ดังนี้
บทนํา
- ขอบข่าย
- เอกสารอ้างอิง (Informative reference) : ISO 22300, Security and resilience — Vocabulary
- ศัพท์และนิยามศัพท์ : มีจำนวน 21 ข้อ ตาม ISO 22300, Security and resilience — Vocabulary
- บริบทองค์กร: การทําความเข้าใจและกําหนดระบบการจัดการความมั่งคงปลอดภัย ที่เหมาะสม โดยองค์กรต้องมี
4.1 การเข้าใจบริบทองค์กร
4.2 การเข้าใจความต้องการและความคาดหวังของผู้มีส่วนได้เสีย (ตาม Principles of Value Creation and Protection)
4.3 การกําหนดขอบข่ายของระบบการจัดการความมั่งคงปลอดภัยขององค์กร
4.4 ระบบการจัดการความมั่งคงปลอดภัยสําหรับองค์กร โดยองค์กรต้องจัดทํา นําไปปฏิบัติ คงไว้ และปรับปรุงอย่างต่อเนื่อง
Principles of Value Creation and Protection
ความเป็นผู้นํา: การทําความเข้าใจบทบาท หน้าที่ความรับผิดชอบ นโยบาย และอํานาจหน้าที่ขององค์กร ต้องรวมถึง
5.1 ความเป็นผู้นําและความมุ่งมั่น โดยผู้บริหารระดับสูงขององค์กรต้องแสดงให้เห็นถึงภาวะผู้นําและความมุ่งมั่นในการยอมรับต่อระบบการจัดการความมั่นคงปลอดภัย
5.2 นโยบาย โดยผู้บริหารระดับสูงต้องกําหนดนโยบายการจัดการความมั่นคงปลอดภัย
5.3 บทบาท ความรับผิดชอบ และอํานาจหน้าที่ โดยผู้บริหารระดับสูงต้องทําให้มั่นใจว่ามีการมอบหมายหน้าที่ความรับผิดชอบและอํานาจหน้าที่ตามบทบาทเกี่ยวข้อง และสื่อสารภายในองค์กร
การวางแผน: การทําความเข้าใจความเสี่ยง วัตถุประสงค์เชิงกลยุทธ์ และนโยบายในปัจจุบัน ครอบคลุมถึง
6.1 การดําเนินการเพื่อจัดการกับความเสี่ยงและโอกาส
- วัตถุประสงค์ความมั่นคงปลอดภัย และการวางแผนเพื่อบรรลุตามวัตถุประสงค์
- แผนของการเปลี่ยนแปลง เมื่อระบบการจัดการความมั่นคงปลอดภัยมีการเปลี่ยนแปลงจะต้องดำเนินการในลักษณะที่วางแผนไว้
การสนับสนุน:
7.1 ทรัพยากร : กําหนดและจัดหาทรัพยากรทั้งหมดที่จําเป็น สําหรับการจัดทํา นําไปปฏิบัติ รักษาไว้ และการปรับปรุงอยางตอเนื่องสําหรับระบบการจัดการความมั่นคงปลอดภัย
7.2 ความรู้ ความสามารถของบุคลากร : ต้องกําหนดความรู้ ความสามารถที่จําเป็นของบุคลากรที่ปฏิบัติงานภายใตการควบคุมขององคกรทีมีผลกระทบต่อผลการดำเนินงานด้านความมั่นคงปลอดภัย ต้องทำให้มั่นใจว่าความสามารถอยู่บนพื้นฐานการศึกษา การฝึกอบรม และประสบการณ์ที่เหมาะสม และต้องมีการประเมินผลความสามารถของบุคลากร
7.3 ความตระหนัก : บุคลากรที่ต้องตระหนักถึงนโยบายความมั่นคงปลอดภัย การสนับสนุนของบุคลากรเพื่อให้เกิดประสิทธิผลของระบบการจัดการความมั่นคงปลอดภัย ความหมายของความไม่สอดคล้องตามข้อกำหนดมาตรฐาน และบทบาทหน้าที่ในการทำให้บรรลุตามนโยบาย ข้อปฏิบัติ และการเตรียมความพร้อมต่อสถานการณ์ฉุกเฉินและการตอบสนอง
7.4 การสื่อสาร: กําหนดกความต้องการของสื่อสารภายในและภายนอกที่เกี่ยวข้องกับระบบการจัดการความมั่นคงปลอดภัย รวมถึง ข้อมูลอะไรที่จะสื่อสาร จะสื่อสารเมื่อไหร่ จะสื่อสารข้อมูลกับใคร วิธีการสื่อสารคืออะไร และการเรียงลำดับความสำคัญของข้อมูลที่จะสื่อสาร
7.5 เอกสารสารสนเทศ: ต้องรวมถึงเอกสารสารสนเทศที่กําหนดโดยมาตรฐานนี้ และเอกสารสารสนเทศที่กําหนดโดยองค์กรว่าจําเป็นต่อประสิทธิผลของระบบการจัดการความมั่นคงปลอดภัย การจัดทําและปรับปรุงให้ทันสมัย และการควบคุมเอกสารสารสนเทศ
การดําเนินการ
8.1 การวางแผนและควบคุมการปฏิบัติงาน: องค์กรต้องวางแผน นําไปปฏิบัติ และควบคุมกระบวนการที่จําเป็นเพื่อให้เป็นไปตามข้อกําหนดและเพื่อนําการดําเนินงานต่างๆไปปฏิบัติตามที่กําหนดไว้
8.2 การระบุกระบวนการและกิจกรรมที่จำเป็นเพื่อให้บรรลุความสอดคล้องกับนโยบายความมั่นคงปลอดภัย และกฎหมาย กฎระเบียบ และข้อกำหนดด้านความมั่นคงปลอดภัย วัตถุประสงค์ของการจัดการความมั่นคงปลอดภัย การส่งมอบของระบบการจัดการความมั่นคงปลอดภัย และระดับความต้องการด้านความปลอดภัยในห่วงโซ่อุปทาน
8.3 การประเมินความเสี่ยงและการแก้ไข โดยต้องมีกระบวนการจัดการตามที่ระบุใน ISO 31000
8.4 การควบคุม: ตามกระบวนการควบคุมในข้อ 8.2 จะต้องรวมถึงการควบคุมการจัดการทรัพยากรมนุษย์ การออกแบบ การติดตั้ง การดำเนินการ การทำใหม่ และการปรับปรุงเปลี่ยนแปลง ของอุปกรณ์ เครื่องมือ และสารสนเทศ ที่เกี่ยวข้องกับความมั่นคงปลอดภัยอย่างเหมาะสม
8.5 กลยุทธ์ความมั่นคงปลอดภัย ขั้นตอนดำเนินการ กระบวนการ และการดูแลรักษา
8.6 แผนความมั่นคงปลอดภัย
การประเมินสมรรถนะ: การเปรียบเทียบกับมาตรฐาน การเฝ้าระวัง และการปฏิบัติตามข้อกําหนดที่เป็นเป้าหมาย ประกอบด้วย
9.1 การตรวจติดตาม การตรวจวัด การวิเคราะห์ และการประเมินผล
9.2 การตรวจประเมินภายใน
9.3 การทบทวนฝ่ายบริหาร
การปรับปรุง: ประกอบด้วย
10.1 การปรับปรุงอย่างต่อเนื่อง สําหรับความเหมาะสม ความเพียงพอ และประสิทธิผลของระบบ ความมั่นคงปลอดภัย
10.2 สิ่งที่ไม่เป็นไปตามข้อกําหนดและการปฏิบัติการแกไข (Nonconformity and corrective action) ต้องมีการจัดการที่เหมาะสม
- แหล่งข้อมูลอ้างอิง
- https://www.iso.org/standard/79612.html
- https://www.iso.org/standard/77008.html
- https://www.iso.org/standard/65694.html
ปรับปรุงข้อมูลเมื่อเดือนกันยายน 2565