Reconix LogoReconix
ISO 27001:2022

Penetration Testing สำหรับ ISO 27001 Certification

Annex A A.8.8 กำหนดให้จัดการช่องโหว่ทางเทคนิคอย่างเป็นระบบ เราช่วยทดสอบและออกรายงานพร้อมยื่น Auditor ตามขอบเขต ISMS ขององค์กรคุณ

A.8.8
ข้อควบคุมหลัก
ประจำปี
รอบการประเมิน
2022
เวอร์ชันล่าสุด
93
ข้อควบคุม Annex A
รับการประเมิน ISO 27001

ISO 27001 คืออะไร?

ISO/IEC 27001:2022 คือมาตรฐานสากลระดับแนวหน้าสำหรับระบบ ISMS เป็น Risk-Based Framework ที่ Clauses 4-10 วางแนวทางตั้งแต่การจัดตั้ง นำไปใช้ ดูแลรักษา ไปจนถึงการปรับปรุงอย่างต่อเนื่อง การจะได้รับ Certification องค์กรต้องปฏิบัติตามข้อควบคุมใน Annex A (อิงตาม ISO 27002:2022) ซึ่งทำให้การทดสอบ Cybersecurity อย่างจริงจังเป็นสิ่งที่ขาดไม่ได้

  • วาง ISMS ที่ครอบคลุมทั้งคน กระบวนการ และเทคโนโลยี
  • เวอร์ชัน 2022 จัดข้อควบคุมใหม่เป็น 4 หมวด รวม 93 ข้อควบคุม Annex A
  • ใช้แนวทาง Risk-Based คือประเมินความเสี่ยงแล้วเลือกมาตรการจัดการจาก Annex A ที่เหมาะสม
  • เป็นที่นิยมในไทย โดยเฉพาะองค์กรที่ต้องการพิสูจน์ให้ลูกค้าและพาร์ทเนอร์เห็นว่าจริงจังเรื่อง Security

อ้างอิง: ISO/IEC 27001:2022 Information Security Management Systems

ใครต้องทำ Penetration Testing ตาม ISO 27001?

ขอ Certification ครั้งแรก

องค์กรที่กำลังเตรียมขอ ISO 27001 และต้องสร้างหลักฐาน A.8.8 ตั้งแต่ต้น

เตรียม Surveillance Audit

องค์กรที่ได้ Certification แล้ว ต้องอัปเดตหลักฐานการทดสอบสำหรับ Audit ประจำปี

ลูกค้ากำหนดให้ต้องมี

บริษัทที่ลูกค้าหรือพาร์ทเนอร์ต้องการให้ถือ ISO 27001

สถาบันการเงิน

ธนาคารและ Fintech ที่ใช้ ISO 27001 ควบคู่กับข้อกำหนดของ ธปท.

บริษัท Technology

ผู้ให้บริการ SaaS และบริษัท Tech ที่ต้องพิสูจน์ Security Maturity ให้ลูกค้า Enterprise

ยกระดับ Security

องค์กรที่ต้องการจัดการความเสี่ยงด้าน Information Security อย่างเป็นระบบ

Annex A

ข้อควบคุม Annex A ที่กำหนดให้ทดสอบความปลอดภัย

ข้อควบคุม Annex A และ Clauses หลักหลายข้อใน ISO 27001:2022 กำหนดให้ต้องมี — หรือได้ประโยชน์อย่างมากจาก — Penetration Testing และการประเมินความปลอดภัย

A.8.8

Management of Technical Vulnerabilities

ต้องติดตามข้อมูลช่องโหว่ทางเทคนิคอย่างสม่ำเสมอ ประเมินความเสี่ยง แล้วดำเนินการแก้ไข เช่น Patch

การดำเนินการ: สแกนช่องโหว่เป็นระบบ จัดลำดับความรุนแรง กำหนดผู้รับผิดชอบและ Deadline การ Patch ติดตามจนปิดจบ

A.8.29

Security Testing in Development and Acceptance

ต้องมีกระบวนการ Security Testing ตลอด Development Lifecycle

การดำเนินการ: ทำ Penetration Testing และ Vulnerability Scanning ตลอด SDLC พร้อม Re-test หลังแก้ไข

A.8.28

Secure Coding

ต้องนำหลัก Secure Coding ไปใช้ในการพัฒนาซอฟต์แวร์ (ข้อควบคุมใหม่ในเวอร์ชัน 2022)

การดำเนินการ: วาง Secure Coding Guidelines ทำ Peer Code Review ใช้เครื่องมือ SAST และ SCA ใน CI/CD Pipeline

A.5.7

Threat Intelligence

ต้องรวบรวมและวิเคราะห์ข้อมูลภัยคุกคามด้าน Security (ข้อควบคุมใหม่ในเวอร์ชัน 2022)

การดำเนินการ: ทดสอบแบบ Intelligence-Led จำลอง TTP ของผู้โจมตี และวิเคราะห์ Threat Landscape

A.8.25

Secure Development Lifecycle

ต้องกำหนดกฎเกณฑ์สำหรับการพัฒนาซอฟต์แวร์และระบบอย่างปลอดภัย

การดำเนินการ: ทำ Secure Code Review ทดสอบ Security ก่อน Release และวาง Security Gates ตลอดขั้นตอนการพัฒนา

สนับสนุนการ Audit ทุกขั้นตอน

บริการทดสอบของเราจัดเตรียมหลักฐานตรงจุดสำหรับทุกขั้นตอนของวงจร Certification ISO 27001 — ตาม Clause 9.1 (การติดตามและประเมินผล) และ Clause 7.5 (เอกสารสารสนเทศ)

1

ตรวจเอกสาร ISMS (Clause 7.5)

เราจัดเตรียมเอกสารกระบวนการจัดการช่องโหว่ วิธีทดสอบ ผลการค้นพบ การประเมินความเสี่ยง และแผน Risk Treatment ในรูปแบบที่ Auditor พร้อมตรวจได้ทันที

2

ตรวจประสิทธิผลมาตรการ (Clause 9.1)

Penetration Testing พิสูจน์ว่ามาตรการ Security ขององค์กรได้ผลจริง ไม่ใช่แค่บนเอกสาร โดยผลที่พบจะแมปกลับไปยัง Risk Register โดยตรง

3

Surveillance และปรับปรุงต่อเนื่อง

การประเมินอย่างสม่ำเสมอแสดงให้เห็นการพัฒนาด้าน Security ตามวงจร PDCA ทุกช่องโหว่ได้รับการแก้ไขและทดสอบซ้ำเพื่อยืนยันว่าแก้ได้จริง

Penetration Testing ช่วย ISO 27001 ได้อย่างไร

ระบุช่องโหว่

A.8.8 การจัดการช่องโหว่ทางเทคนิค

ทดสอบความปลอดภัยใน SDLC

A.8.29 การทดสอบในการพัฒนาและยอมรับ

ตรวจสอบโค้ด

A.8.28 Secure Coding & A.8.25 Secure SDLC

ตรวจสอบประสิทธิผลมาตรการ

Clause 9.1 การติดตามและประเมินผล

ข่าวกรองภัยคุกคาม

A.5.7 วิเคราะห์ภัยคุกคาม

จัดทำเอกสารและรายงาน

Clause 7.5 หลักฐานพร้อมตรวจสอบ

เช็คลิสต์

Checklist การทดสอบความปลอดภัยตาม ISO 27001

มีโปรแกรม Penetration Testing ที่ขอบเขตตรงกับ Statement of Applicability ของ ISMS
กระบวนการจัดการช่องโหว่มีเอกสาร ระบุ Severity ผู้รับผิดชอบ และ Deadline การ Patch ชัดเจน
Methodology ผลการทดสอบ และการประเมินความเสี่ยงมีเอกสารครบตาม Clause 7.5
มีระบบติดตามการแก้ไข พร้อมหลักฐาน Re-test ว่าช่องโหว่ปิดจบแล้ว
ผลการทดสอบรายงานต่อผู้บริหารตาม Clause 9.1
แผน Risk Treatment อัปเดตแล้ว ผลที่พบแมปกลับไปยัง Risk Register
Secure Coding Guidelines และ Security Testing ใน SDLC ผ่านการยืนยัน (A.8.28, A.8.29)

เอกสารอ้างอิง

ศึกษารายละเอียดเพิ่มเติมได้จากเอกสารมาตรฐานฉบับเต็ม

มาตรฐาน ISO/IEC 27001:2022
ภาพรวมตระกูล ISO/IEC 27000
ISO/IEC 27001:2022/Amd 1:2024

บริการที่เกี่ยวข้อง

Vulnerability Assessment

สแกนและระบุจุดอ่อนด้าน Security ทั่วทั้ง Infrastructure อย่างเป็นระบบ

เรียนรู้เพิ่มเติม

Cybersecurity Consulting

ปรึกษาผู้เชี่ยวชาญเรื่องการออกแบบและวาง ISMS ให้เหมาะกับองค์กร

เรียนรู้เพิ่มเติม

Penetration Testing

ทดสอบ Security แบบครบวงจรทั่วทั้ง Infrastructure ขององค์กร

เรียนรู้เพิ่มเติม
กลับหน้า Compliance ทั้งหมด

คำถามที่พบบ่อย — Pentest สำหรับ ISO 27001

คำตอบสำหรับคำถามที่องค์กรในไทยถามบ่อยเกี่ยวกับการทดสอบความปลอดภัยเพื่อรับรอง ISO 27001

พร้อมรับ Audit ISO 27001 หรือยัง?

รับบริการ Penetration Testing ที่สอดคล้องกับ Annex A รายงานของเราจัดทำพร้อมใช้ในการ Audit เพื่อให้ ISMS ขององค์กรมีหลักฐานครบถ้วน

Reconix เป็นบริษัทชั้นนำด้านความปลอดภัยไซเบอร์ในประเทศไทย ที่ให้บริการระดับโลกแก่ธุรกิจทุกขนาด