១.ព័ត៌មានទូទៅ
គោលការណ៍សន្តិសុខសាយប័រនៅក្នុង ISM គឺដើម្បីផ្តល់ការណែនាំជាយុទ្ធសាស្រ្តអំពីរបៀបដែលអង្គភាពអាចការពារ ប្រព័ន្ធ និងទិន្នន័យរបស់ពួកគេពីការគំរាមកំហែង។ គោលការណ៍សន្តិសុខទាំងនេះត្រូវបានដាក់ជាក្រុម ហើយបែងចែកជាសកម្មភាពសំខាន់ៗ ចំនួនបួន៖ ការគ្រប់គ្រង ការពារ ការរកឃើញ និងការឆ្លើយតប។ អង្គភាពគួរតែបង្ហាញអំពី គោលការណ៍សន្តិសុខសាយប័រដែលកំពុងអនុវត្តនៅក្នុងអង្គភាពរបស់ខ្លួន។
២.ការផ្តល់សិទ្ធិឱ្យប្រព័ន្ធ
ការផ្តល់សិទ្ធិឱ្យប្រព័ន្ធដំណើរការដោយផ្អែកលើការទទួលយកហានិភ័យនៃប្រព័ន្ធសុវត្ថិភាពដែលទាក់ទងនឹងការធ្វើប្រតិបត្តិការ។
មុនពេលផ្តល់សិទ្ធិឱ្យប្រព័ន្ធដំណើការ គួរតែផ្តល់ព័ត៌មានឱ្យបានគ្រប់គ្រាន់ទៅឱ្យមន្ត្រី ដើម្បីឱ្យពួកគេ ធ្វើការសម្រេចចិត្តផ្អែកលើព័ត៌មានហានិភ័យ ថាតើហានិភ័យដែលទាក់ទងនឹងប្រព័ន្ធដំណើការរបស់ វាអាចទទួលយកបានឬអត់។ ព័ត៌មាននេះគួរតែធ្វើទម្រង់អនុញ្ញាតជាកញ្ចប់ ដែលរួមបញ្ចូលទាំងផែន ការសុវត្ថិភាពរបស់ប្រព័ន្ធ ផែនការឆ្លើយតបឧប្បត្តិហេតុ, ផែនការត្រួតពិនិត្យបន្ត, របាយការណ៍វាយតម្លៃ សន្តិសុខ, និងផែនការសកម្មភាពនៃព្រឹត្ដិការណ៍។
ក្នុងករណីខ្លះ ហានិភ័យដែលទាក់ទងនឹងដំណើរការរបស់ប្រព័ន្ធ អាចនឹងទទួលយកបានហើយវាត្រូវ បានផ្តល់សិទ្ធិឱ្យប្រព័ន្ធធ្វើការដំណើរការ។ ទោះជាយ៉ាងណាក៏ដោយ ក៏មានករណីហានិភ័យផ្សេងទៀត ដែលទាក់ទងនឹងដំណើរការនៃប្រព័ន្ធអាចនឹងមិនអាចទទួលយកបានទេ។ ក្នុងករណីនេះ អាចអនុញ្ញាត ឱ្យមន្ត្រីធ្វើការស្នើសុំការងារបន្ថែមទៀតពីម្ចាស់គ្រប់គ្រងប្រព័ន្ធ។ នៅក្នុងពេលធ្វើប្រតិបត្តិការអន្តរាគមន៍ អនុញ្ញាតឱ្យមន្ត្រីអាចជ្រើសរើសសិទ្ធក្នុងការដំណើរការ ប៉ុន្តែត្រូវដាក់កំហិតទៅលើការប្រើប្រាស់របស់ ប្រព័ន្ធដូចជាការកំណត់មុខងាររបស់ប្រព័ន្ធ ឬបញ្ជាក់ពី កាលបរិច្ឆេទ ការផុតកំណត់ សម្រាប់ការ អនុញ្ញាតឲ្យដំណើរការ។ ជាចុងក្រោយ បើមន្ត្រីមានសមត្ថកិច្ចសម្រេចថាហានិភ័យសុវត្ថិភាពទាំងនេះ មិនអាចទទួលយកបានទេ ទោះបីជាមានការដាក់កម្រិតនៅលើការប្រើប្រាស់ប្រព័ន្ធយ៉ាងណាក៏ដោយ ក៏មន្ត្រីមានសមត្ថកិច្ចអាចហាមឃាត់មិនឱ្យដំណើរការរហូតដល់ពេលមានមធ្យោបាយដោះស្រាយហានិភ័យត្រូវបានអនុវត្តទៅតាមស្ដង់ដារអាចទទួលយកបាន។
សម្រាប់ប្រព័ន្ធ TOP SECRET និងប្រព័ន្ធដែលដំណើរការ, រក្សាទុក ឬទំនាក់ទំនងព័ត៌មានដែលងាយ យល់, មន្ត្រីដែលអនុញ្ញាតគឺជា Director-General ASD ឬគណៈប្រតិភូរបស់ពួកគេ; សម្រាប់ប្រព័ន្ធ សម្ងាត់ខាងក្រោមមន្ត្រីដែលអនុញ្ញាតគឺជា CISO របស់អង្គភាពមួយឬប្រតិភូរបស់ពួកគេ។
សម្រាប់ប្រព័ន្ធពហុជាតិ និងពហុស្ថាប័ន មន្ត្រីផ្តល់សិទ្ធិគួរតែត្រូវបានកំណត់ដោយកិច្ចព្រមព្រៀងផ្លូវការ រវាងភាគីពាក់ព័ន្ធ។
សម្រាប់អ្នកផ្តល់សេវាពាណិជ្ជកម្មដែលផ្តល់សេវាកម្មដល់អង្គភាព មន្ត្រីដែលផ្តល់សិទ្ធិគឺជា CISO នៃអង្គភាពដែលគាំទ្រ ឬប្រតិភូរបស់ពួកគេ។
គ្រប់ករណីទាំងអស់ មន្ត្រីដែលមានសិទ្ធិអំណាចគួរតែមានកម្រិតអតីតភាពការងារសមរម្យ និងយល់ដឹង អំពីហានិភ័យសុវត្ថិភាពដែលពួកគេកំពុងទទួលយកក្នុងនាមអង្គភាពរបស់ពួកគេ។ ករណីដែលអង្គភាព មិនមានមន្ត្រី CISO អ្នកដែលទទួលបន្ទុកកាងារអាចជាប្រធានសន្តិសុខ ប្រធានផ្នែកព័ត៌មាន ឬនាយក ប្រតិបត្តិជាន់ខ្ពស់ផ្សេងទៀតនៅក្នុងអង្គភាព។
៣.ការត្រួតពិនិត្យប្រព័ន្ធ
ការត្រួតពិនិត្យប្រព័ន្ធ និងការគំរាមកំហែងសន្តិសុខសាយប័រដែលពាក់ព័ន្ធហានិភ័យសុវត្ថិភាព និងការគ្រប់គ្រង មូលដ្ឋានដែលកំពុងដំណើរការ។
ការត្រួតពិនិត្យតាមពេលវេលាជាក់ស្តែងនៃការគំរាមកំហែងសន្តិសុខសាយប័រ ហានិភ័យសុវត្ថិភាព និងការគ្រប់គ្រងដែលពាក់ព័ន្ធ ជាមួយប្រព័ន្ធ និងបរិយាកាសប្រតិបត្តិការរបស់ប្រព័ន្ធ ដូចដែលបានរៀបរាប់នៅ ក្នុងផែនការត្រួតពិនិត្យបន្ត វាមានសារៈសំខាន់ក្នុងការរក្សាឥរិយាបថសុវត្ថិភាពរបស់ប្រព័ន្ធ។ ដោយនៅក្នុងនោះព្រឹត្តិការណ៍ជាក់លាក់អាចត្រូវការសកម្មភាព គ្រប់គ្រងហានិភ័យបន្ថែមដែលសកម្មភាពគ្រប់គ្រងហានិភ័យមានដួចជា៖
- ការផ្លាស់ប្តូរគោលនយោបាយសុវត្ថិភាពដែលទាក់ទងនឹងប្រព័ន្ធ
- ការរកឃើញការគំរាមកំហែងសន្តិសុខសាយប័រ ឬសកម្មភាពដែលកំពុងកើតមានលើប្រព័ន្ធ ឬនៅពេលធ្វើប្រតិបត្តិការរបស់ប្រព័ន្ធ
- ការរកឃើញថាការគ្រប់គ្រងប្រព័ន្ធមិនមានប្រសិទ្ធភាពដូចការគ្រោងទុកទេ
- ឧប្បត្តិហេតុសន្តិសុខសាយប័រដ៏ធំមួយដែលពាក់ព័ន្ធនឹងប្រព័ន្ធ
- ការផ្លាស់ប្តូរស្ថាបត្យកម្មសំខាន់ៗចំពោះប្រព័ន្ធ។
បន្ទាប់ពីការអនុវត្ត ឬការកែប្រែការគ្រប់គ្រងហានិភ័យរបស់ប្រព័ន្ធ លទ្ធផលនៃសកម្មភាពវាយតម្លៃសុវត្ថិភាពគួរតែត្រូវបាន បញ្ចប់ហើយកញ្ចប់ការអនុញ្ញាតរបស់ប្រព័ន្ធគួរតែត្រូវបានធ្វើបច្ចុប្បន្នភាព។ អនុញ្ញាតផ្តល់សិទ្ធិឱ្យមន្ត្រីធ្វើការសម្រេចចិត្ត ផ្អែកទៅលើព័ត៌មាននៃហានិភ័យថាតើហានិភ័យដែលទាក់ទងនឹងសុវត្ថិភាពប្រតិបត្តិការរបស់ប្រព័ន្ធនៅតែអាចទទួលយកបាន ដែរឬទេ។ ប្រសិនបើហានិភ័យផ្នែកសុវត្ថិភាពមិនអាចទទួលយកបាន មន្ត្រីដែលបានផ្តល់សិទ្ធិអាចជ្រើសរើសដាក់កម្រិត លើការប្រើប្រាស់ប្រព័ន្ធ ដូចជាការណែនាំ ឬកែប្រែកាលបរិច្ឆេទផុតកំណត់សម្រាប់ ការអនុញ្ញាត ឱ្យដំណើរការ ឬដកហូតការអនុញ្ញាត ឱ្យដំណើរការទាំងអស់គ្នា។
៤.ឯកសារពាក់ព័ន្ធ
- – https://www.cyber.gov.au/resources-business-and-government/essential-cyber-
