១.ព័ត៌មានទូទៅ
គោលការណ៍សន្តិសុខសាយប័រនៅក្នុង ISM គឺដើម្បីផ្តល់ការណែនាំជាយុទ្ធសាស្រ្តអំពីរបៀបដែលអង្គភាពអាចការពារ ប្រព័ន្ធ និងទិន្នន័យរបស់ពួកគេពីការគំរាមកំហែង។ គោលការណ៍សន្តិសុខទាំងនេះត្រូវបានដាក់ជាក្រុម ហើយបែងចែកជាសកម្មភាពសំខាន់ៗ ចំនួនបួន៖ ការគ្រប់គ្រង ការពារ ការរកឃើញ និងការឆ្លើយតប។ អង្គភាពគួរតែបង្ហាញអំពី គោលការណ៍សន្តិសុខសាយប័រដែលកំពុងអនុវត្តនៅក្នុងអង្គភាពរបស់ខ្លួន ។
២.គោលការណ៍ណែនាំអំពីសុវត្ថិភាពសន្តិសុខសាយប័រ
គោលការណ៍ណែនាំអំពីសុវត្ថិភាពសន្តិសុខសាយប័រនៅក្នុង ISM គឺដើម្បីផ្តល់នូវការណែនាំ អំពីរបៀបដែលអង្គភាពអាចការពារប្រព័ន្ធ និងទិន្នន័យរបស់ពួកគេពីការគំរាមកំហែង។ គោលការណ៍ណែនាំ សន្តិសុខសាយប័រទាំងនេះគ្របដណ្តប់ លើអភិបាលកិច្ចសន្តិសុខរូបវន្ត សុវត្ថិភាពបុគ្គលិក ទំនាក់ទំនង និងប្រធានបទសុវត្ថិភាពបច្ចេកវិទ្យាព័ត៌មាន។ ស្ថាប័ន ឬអង្គភាព គួរតែពិចារណាអំពីគោលការណ៍ណែនាំសន្តិសុខសាយប័រដែលពាក់ព័ន្ធនឹងប្រព័ន្ធនីមួយៗដែលពួកគេកំពុងដំណើរការ។
៣.ការប្រើប្រាស់ក្របខ័ណ្ឌគ្រប់គ្រងហានិភ័យ
ក្របខ័ណ្ឌគ្រប់គ្រងហានិភ័យដែលប្រើប្រាស់ដោយ ISM មានប្រាំមួយជំហាន៖ ការកំណត់លក្ខណៈ ប្រព័ន្ធ ជ្រើសរើសយន្តការគ្រប់គ្រង អនុវត្តយន្តការគ្រប់គ្រង វាយតម្លៃយន្តការគ្រប់គ្រង ផ្តល់សិទ្ធិ និង ត្រួតពិនិត្យប្រព័ន្ធ។
៤.ការកំណត់លក្ខណៈប្រព័ន្ធ
ការកំណត់លក្ខណៈប្រព័ន្ធ គឺផ្អែកទៅលើប្រភេទ តម្លៃ និងគោលបំណងសុវត្ថិភាពសម្រាប់ប្រព័ន្ធ ដោយវាយតម្លៃនៃផលប៉ះពាល់ក្នុងករណីត្រូវបានគេវាយប្រហារ។ នៅពេលអ្នកចាប់ផ្តើមកំណត់រចនាប្រព័ន្ធ អ្នកគួរតែគិតពីសុវត្ថិភាព សម្រាប់ប្រព័ន្ធដោយផ្អែកលើ ការរក្សាការសម្ងាត់ សុចរិតភាព និងភាពដែលអាចរកបាន ហើយចំណុចទាំងនេះគួរតែធ្វើការកំណត់ជាអទិភាព។ ជាចុងក្រោយ សូមណែនាំសកម្មភាពដូចជា ការជ្រើសរើស និងការគ្រប់គ្រងបំណៈ ដើម្បីបំពេញនូវសុវត្ថិភាព និងកំណត់ កម្រិតហានិភ័យនៅសេសសល់ ដែលនឹងត្រូវបានទទួលយកមុនពេលប្រព័ន្ធត្រូវបានអនុញ្ញាត ឱ្យដំណើរការ ។
៥.ការជ្រើសរើសយន្តការគ្រប់គ្រង
ខណៈពេលដែលហានិភ័យ និងការគ្រប់គ្រងសុវត្ថិភាពត្រូវបានយកមកពិភាក្សានៅក្នុងគោលការណ៍ណែនាំ សុវត្ថិភាពសន្តិសុខសាយប័រនិងដើរតួជាមូលដ្ឋានសំខាន់ៗ ដែលសកម្មភាពទាំនោះនឹង អាចត្រូវបានចាត់ទុកថាជាបញ្ជីពេញលេញសម្រាប់ប្រភេទប្រព័ន្ធឬបច្ចេកវិទ្យាជាក់លាក់។ ដូច្នេះហើយ គោលការណ៍ណែនាំសុវត្ថិភាពសន្តិសុខសាយប័រផ្ដល់នូវធាតុចូលដ៏សំខាន់ទៅលើការកំណត់អត្តសញ្ញាណ ហានិភ័យ និងសកម្មភាពព្យាបាលហានិភ័យរបស់ស្ថាប័នមួយ ទោះជាយ៉ាងណាក៏ដោយវាក៏មិនតំណាងឱ្យវិសាលភាពពេញលេញនៃសកម្មភាពទេ។
គោលការណ៍ណែនាំអំពីសុវត្ថិភាពតាមអ៊ីនធឺណិតអាចជួយកំណត់អត្តសញ្ញាណហានិភ័យ និងសកម្មភាព ស្តារឡើងវិញនូវហានិភ័យរបស់អង្គភាពមួយ ដោយត្រូវធ្វើការវិភាគហានិភ័យ និងវាយតម្លៃហានិភ័យនៃប្រព័ន្ធនីមួយៗ ការធ្វើប្រតិបត្តិការ និងភាពអត់ធ្មត់របស់អង្គភាពនៅពេលមានហានិភ័យ។
បន្ទាប់ពីការជ្រើសរើស និងការកែតម្រូវការគ្រប់គ្រងសម្រាប់ប្រព័ន្ធនីមួយៗ អ្នកត្រូវធ្វើការកត់ត្រាជាមួយនឹងព័ត៌មានលម្អិត នៃការអនុវត្តដែលបានគ្រោងទុកនៅក្នុងឧបសម្ព័ន្ធផែនការសុវត្ថិភាពប្រព័ន្ធ។ លើសពីនេះ ការត្រួតពិនិត្យក៏គួរតែត្រូវបានកត់ត្រា នៅក្នុងផែនការឆ្លើយតបឧប្បត្តិហេតុ និងផែនការត្រួតពិនិត្យប្រព័ន្ធជាបន្តបន្ទាប់។
ជាចុងក្រោយ ការជ្រើសរើសការគ្រប់គ្រងសម្រាប់ប្រព័ន្ធមួយ គួរត្រូវបានកត់ត្រានៅក្នុងឧបសម្ព័ន្ធផែនការសុវត្ថិភាពរបស់ប្រព័ន្ធ ដែលត្រូវបានយល់ព្រមនិងផ្តល់សិទ្ធិដោយមន្ត្រីគ្រប់គ្រងប្រព័ន្ធ។
៦.ការអនុវត្តយន្តការគ្រប់គ្រង
អនុវត្តយន្តការគ្រប់គ្រងប្រព័ន្ធ និងបរិយាកាសប្រតិបត្តិការ។
នៅពេលដែលអនុវត្តយន្តការគ្រប់គ្រងប្រព័ន្ធ ត្រូវកំណត់អត្តសញ្ញាណប្រព័ន្ធនីមួយៗដែល ប្រព័ន្ធទាំងនោះត្រូវបានអនុម័តផ្តល់សិទ្ធិដោយមន្ត្រីដែលត្រូវបានអនុវត្ត។ ព័ត៌មានលម្អិតនៃការអនុវត្តជាក់ស្តែងគួរតែកត់ត្រា ប្រសិនបើមានការ អនុវត្តខុសពីអ្វីដែលបានគ្រោងទុកត្រូវតែកត់ត្រានៅក្នុង ឧបសម្ព័ន្ធផែនការសុវត្ថិភាពប្រព័ន្ធរបស់ប្រព័ន្ធ។
៧.ការវាយតម្លៃយន្តការគ្រប់គ្រង
ការវាយតម្លៃយន្តការគ្រប់គ្រងប្រព័ន្ធនិងបរិយាកាសប្រតិបត្តិការ ដើម្បីកំណត់ថាតើត្រូវបានអនុវត្តត្រឹមត្រូវ និងកំពុង ដំណើរការដែរឬទេ។
ក្នុងការអនុវត្តការវាយតម្លៃសុវត្ថិភាព វាជារឿងសំខាន់សម្រាប់អ្នកវាយតម្លៃ និងម្ចាស់ប្រព័ន្ធត្រូវយល់ព្រមជាមុនចំពោះ វិសាលភាព ប្រភេទ និងសមត្ថភាពការវាយតម្លៃដែលត្រូវបានចងក្រងជាឯកសារ នៅក្នុងផែនការវាយតម្លៃសុវត្ថិភាព ដូចជាហានិភ័យណាមួយដែលទាក់ទងនឹងការវាយតម្លៃសុវត្ថិភាព អាចត្រូវបានគ្រប់គ្រង។ ក្នុងកម្រិតធំ សមត្ថភាពនៃការវាយតម្លៃសុវត្ថិភាពនឹងត្រូវបានកំណត់ដោយ ប្រភេទនៃប្រព័ន្ធនិងការគ្រប់គ្រងដែលត្រូវបានអនុវត្តសម្រាប់ប្រព័ន្ធ និងបរិយាកាសប្រតិបត្តិការ។
សម្រាប់ប្រព័ន្ធ TOP SECRET រួមទាំងប្រព័ន្ធព័ត៌មានដែលមានលក្ខណៈរសើបការវាយតម្លៃសុវត្ថិភាពអាចត្រូវបានធ្វើឡើង ដោយអ្នកវាយតម្លៃ ASD (ឬប្រតិភូរបស់ពួកគេ)។ ការវាយតម្លៃសុវត្ថិភាពអាចត្រូវបានធ្វើឡើងដោយអ្នកវាយតម្លៃផ្ទាល់ របស់អង្គភាព ឬអ្នកវាយតម្លៃកម្មវិធីមកពី Infosec Registered Assessors Program (IRAP)។ គ្រប់ករណីទាំងអស់ អ្នកវាយតម្លៃគួរតែពិនិត្យសំអាតប្រព័ន្ធសុវត្ថិភាព អោយបានត្រឹមត្រូវនិងមានកម្រិតសមស្រប នៃបទពិសោធន៍និងការយល់ដឹងអំពីប្រភេទនៃប្រព័ន្ធដែលពួកគេកំពុងវាយតម្លៃ។
នៅពេលបញ្ចប់នៃការវាយតម្លៃសុវត្ថិភាពរបាយការណ៍វាយតម្លៃគួរតែត្រូវបានគូសបញ្ជាក់ពីវិសាលភាពនៃភាពខ្លាំងរបស់ប្រព័ន្ធនិងភាពខ្សោយ, ហានិភ័យផ្នែកសុវត្ថិភាពដែលបានផ្សារភ្ជាប់ជាមួយនឹងការប្រតិបត្ដិនៃប្រព័ន្ធ ប្រសិទ្ធភាពនៃការអនុវត្តន៍ ការត្រួតពិនិត្យ និងការផ្ដល់ជាមតិណែនាំ។ ការធ្វើបែបនេះ អាចជួយកាស្តារឡើងវិញនៃប្រព័ន្ធ ហើយក៏ដូចជាការណែនាំអំពីការអភិវឌ្ឍផែនការសកម្មភាពនៃចំណុច ដែលជាគោលដៅ។
៨.ឯកសារពាក់ព័ន្ធ
- – https://www.cyber.gov.au/resources-business-and-government/essential-cyber-security/ism/using-information-security-manual
