Reconix LogoReconix
ISO 27001:2022

ข้อกำหนดการทดสอบเจาะระบบและประเมินความปลอดภัยตาม ISO 27001:2022

ข้อควบคุม Annex A A.8.8 กำหนดให้องค์กรต้องจัดการช่องโหว่ทางเทคนิคผ่านการระบุและแก้ไขอย่างเป็นระบบ บริการทดสอบเจาะระบบของเราจัดทำหลักฐานที่พร้อมรับการตรวจสอบสำหรับ ISMS ของคุณ

A.8.8
ข้อควบคุมหลัก
ประจำปี
รอบการประเมิน
2022
เวอร์ชันล่าสุด
93
ข้อควบคุม Annex A
รับการประเมิน ISO 27001

ISO 27001 คืออะไร?

ISO/IEC 27001:2022 เป็นมาตรฐานสากลที่ได้รับการยอมรับอย่างกว้างขวางสำหรับระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศ (ISMS) โดยเป็นกรอบงานบนพื้นฐานความเสี่ยง (Risk-Based Framework) — มาตรฐานหลัก (Clauses 4–10) กำหนดแนวทางอย่างเป็นระบบสำหรับการจัดตั้ง นำไปปฏิบัติ บำรุงรักษา และปรับปรุงอย่างต่อเนื่อง เพื่อได้รับการรับรอง องค์กรต้องนำข้อควบคุมอ้างอิงใน Annex A (ปรับปรุงตาม ISO 27002:2022) ไปปฏิบัติ ซึ่งทำให้การประเมินความปลอดภัยไซเบอร์อย่างเข้มงวดกลายเป็นสิ่งจำเป็นในทางปฏิบัติ

  • กำหนดข้อกำหนดสำหรับ ISMS ที่ครอบคลุมทั้งด้านบุคลากร กระบวนการ และเทคโนโลยี
  • เวอร์ชัน 2022 จัดกลุ่มข้อควบคุมใหม่เป็น 4 หมวดหมู่ รวม 93 ข้อควบคุม Annex A
  • แนวทางบนพื้นฐานความเสี่ยง: องค์กรประเมินความเสี่ยงด้านความมั่นคงปลอดภัยและเลือกมาตรการจัดการจาก Annex A
  • ได้รับความนิยมอย่างแพร่หลายในประเทศไทยจากองค์กรที่ต้องการแสดงความมุ่งมั่นด้านความปลอดภัยต่อลูกค้าและพันธมิตร

อ้างอิง: ISO/IEC 27001:2022 Information Security Management Systems

ใครได้ประโยชน์จากการทดสอบเจาะระบบตาม ISO 27001?

องค์กรที่กำลังขอรับรอง

บริษัทที่ต้องการขอ ISO 27001 เป็นครั้งแรกและต้องมีหลักฐานตาม A.8.8

รักษาการรับรอง

องค์กรที่เตรียมพร้อมสำหรับ Surveillance Audit ประจำปี

ข้อกำหนดจากลูกค้า

บริษัทที่ลูกค้าหรือพันธมิตรกำหนดให้ต้องมี ISO 27001

สถาบันการเงิน

ธนาคารและฟินเทคที่ ISO 27001 เสริมข้อกำหนดของ ธปท.

บริษัทเทคโนโลยี

ผู้ให้บริการ SaaS และบริษัทเทคที่ต้องแสดงวุฒิภาวะด้านความปลอดภัย

เพิ่มวุฒิภาวะด้านความปลอดภัย

องค์กรทุกประเภทที่ต้องการแนวทางจัดการความเสี่ยงอย่างเป็นระบบ

Annex A

ข้อควบคุม ISO 27001 ที่เกี่ยวข้องกับการทดสอบความปลอดภัย

ข้อควบคุม Annex A และข้อกำหนดหลักจาก ISO 27001:2022 หลายข้อที่เกี่ยวข้องโดยตรงหรือได้ประโยชน์จากการทดสอบเจาะระบบและการประเมินความปลอดภัย

A.8.8

การจัดการช่องโหว่ทางเทคนิค

องค์กรต้องรวบรวมข้อมูลช่องโหว่ทางเทคนิคอย่างเชิงรุก ประเมินความเสี่ยง และดำเนินมาตรการแก้ไขที่เหมาะสม เช่น การแพตช์

การดำเนินการ: การสแกนช่องโหว่อย่างเป็นระบบ จัดลำดับความรุนแรง กำหนดผู้รับผิดชอบแก้ไข กำหนดเวลาแพตช์ตามระดับความรุนแรง และติดตามจนแก้ไขเสร็จสิ้น

A.8.29

การทดสอบความปลอดภัยในการพัฒนาและการยอมรับ

ต้องกำหนดและนำกระบวนการทดสอบความปลอดภัยไปปฏิบัติตลอดวงจรการพัฒนา

การดำเนินการ: การทำ Penetration Testing และ Vulnerability Scanning ตลอด SDLC รวมถึงการทดสอบซ้ำเพื่อยืนยันว่าแก้ไขได้ผล

A.8.28

การเขียนโค้ดอย่างปลอดภัย (Secure Coding)

ต้องนำหลักการเขียนโค้ดอย่างปลอดภัยไปใช้ในการพัฒนาซอฟต์แวร์ เป็นข้อควบคุมใหม่ในเวอร์ชัน 2022

การดำเนินการ: แนวทางการเขียนโค้ดที่ปลอดภัย การตรวจโค้ดโดย Peer Review เครื่องมือ SAST และ SCA ในระบบ CI/CD

A.5.7

ข่าวกรองภัยคุกคาม (Threat Intelligence)

ต้องรวบรวมและวิเคราะห์ข้อมูลภัยคุกคามด้านความปลอดภัย เป็นข้อควบคุมใหม่ในเวอร์ชัน 2022

การดำเนินการ: การทดสอบเชิงรุกตาม Threat Intelligence, จำลอง TTP และวิเคราะห์ภูมิทัศน์ภัยคุกคาม

A.8.25

วงจรการพัฒนาที่ปลอดภัย (Secure SDLC)

ต้องกำหนดและประยุกต์ใช้กฎเกณฑ์สำหรับการพัฒนาซอฟต์แวร์และระบบอย่างปลอดภัย

การดำเนินการ: การทำ Secure Code Review, การทดสอบความปลอดภัยก่อน Release และ Security Gates ตลอดการพัฒนา

สนับสนุนการตรวจรับรอง (Audit Support)

โปรแกรมการทดสอบของเราจัดเตรียมหลักฐานที่ตรงจุดสำหรับแต่ละขั้นตอนของวงจรการรับรอง ISO 27001 สอดคล้องกับ Clause 9.1 (การติดตามและประเมินผล) และ Clause 7.5 (เอกสารสารสนเทศ)

1

การตรวจสอบเอกสาร ISMS (Clause 7.5)

จัดเตรียมเอกสารกระบวนการจัดการช่องโหว่ วิธีการทดสอบ ผลการค้นพบ การประเมินความเสี่ยง และแผนจัดการความเสี่ยง — ในรูปแบบพร้อมให้ Auditor ตรวจสอบ

2

การตรวจสอบประสิทธิผลของมาตรการควบคุม (Clause 9.1)

การทำ Penetration Testing เป็นหลักฐานโดยตรงว่ามาตรการความปลอดภัยที่ดำเนินการอยู่ได้ผลจริง โดยผลการค้นพบจะถูกแมปกลับไปยัง Risk Register

3

การตรวจติดตามและปรับปรุงอย่างต่อเนื่อง

การประเมินสม่ำเสมอที่แสดงถึงการปรับปรุงความปลอดภัยอย่างต่อเนื่องตามวงจร PDCA ช่องโหว่ได้รับการแก้ไขและทดสอบซ้ำเพื่อพิสูจน์ว่าการแก้ไขได้ผล

การทดสอบเจาะระบบสนับสนุน ISO 27001 อย่างไร

ระบุช่องโหว่

A.8.8 การจัดการช่องโหว่ทางเทคนิค

ทดสอบความปลอดภัยใน SDLC

A.8.29 การทดสอบในการพัฒนาและยอมรับ

ตรวจสอบโค้ด

A.8.28 Secure Coding & A.8.25 Secure SDLC

ตรวจสอบประสิทธิผลมาตรการ

Clause 9.1 การติดตามและประเมินผล

ข่าวกรองภัยคุกคาม

A.5.7 วิเคราะห์ภัยคุกคาม

จัดทำเอกสารและรายงาน

Clause 7.5 หลักฐานพร้อมตรวจสอบ

เช็คลิสต์

Checklist การทดสอบความปลอดภัยตาม ISO 27001

โปรแกรม Penetration Testing จัดตั้งแล้ว โดยมีขอบเขตสอดคล้องกับ Statement of Applicability ของ ISMS
กระบวนการจัดการช่องโหว่มีเอกสาร ระบุระดับความรุนแรง ผู้รับผิดชอบแก้ไข และกำหนดเวลาแพตช์
วิธีการทดสอบ ผลการค้นพบ และการประเมินความเสี่ยงมีเอกสารครบถ้วน (Clause 7.5)
ระบบติดตามการแก้ไขพร้อมหลักฐานว่าช่องโหว่ได้รับการทดสอบซ้ำและแก้ไขสำเร็จ
ผลการทดสอบรายงานต่อผู้บริหาร (Clause 9.1)
แผน Risk Treatment อัปเดตตามผลการค้นพบที่แมปกลับไปยัง Risk Register
แนวทาง Secure Coding และการทดสอบความปลอดภัยใน SDLC ได้รับการยืนยัน (A.8.28, A.8.29)

เอกสารอ้างอิงอย่างเป็นทางการ

ศึกษาเอกสารมาตรฐานฉบับเต็มจากแหล่งข้อมูลอย่างเป็นทางการ

มาตรฐาน ISO/IEC 27001:2022ภาพรวมตระกูล ISO/IEC 27000ISO/IEC 27001:2022/Amd 1:2024

บริการที่เกี่ยวข้อง

Vulnerability Assessment

การสแกนและระบุจุดอ่อนด้านความปลอดภัยอย่างเป็นระบบ

เรียนรู้เพิ่มเติม

Cybersecurity Consulting

คำปรึกษาจากผู้เชี่ยวชาญด้านการออกแบบและนำ ISMS ไปปฏิบัติ

เรียนรู้เพิ่มเติม

Penetration Testing

การทดสอบความปลอดภัยที่ครอบคลุมทั่วทั้งโครงสร้างพื้นฐาน

เรียนรู้เพิ่มเติม
กลับสู่ภาพรวม Compliance

คำถามที่พบบ่อยเกี่ยวกับ Pentest ตาม ISO 27001

คำถามที่พบบ่อยเกี่ยวกับข้อกำหนดการทดสอบเจาะระบบสำหรับการรับรองมาตรฐาน ISO 27001

พร้อมสำหรับการรับรอง ISO 27001

รับบริการทดสอบเจาะระบบที่สอดคล้องกับข้อกำหนด Annex A รายงานที่พร้อมรับการตรวจสอบของเราให้หลักฐานที่ ISMS ของคุณต้องการ

Reconix เป็นบริษัทชั้นนำด้านความปลอดภัยไซเบอร์ในประเทศไทย ที่ให้บริการระดับโลกแก่ธุรกิจทุกขนาด