2. การวางแผน

การประเมินภัยคุกคามที่มีต่อการรักษาความปลอดภัย และความเสี่ยง

ในข้อกำหนดนี้ องค์กรจะต้องมีการกำหนดขั้นตอนการทำงานในการชี้บ่งภัยคุกคามอันตรายที่อาจเกิดขึ้น การประเมินความเสี่ยง การประเมินจุดอ่อน การประเมินภาวะวิกฤต และการวิเคราะห์ผลกระทบ

ทั้งนี้ องค์กรจะต้องมีการใช้เทคนิคการวิเคราะห์อย่างเป็นระบบ เพื่อพิจารณาโอกาสของภัยคุกคามที่จะสร้างความเสียหายให้กับทั้งทรัพย์สิน บุคลากร และการทำงานขององค์กร โดยการประเมินความเสี่ยง จะครอบคลุมทั้ง การประเมินภัยคุกคาม การประเมินจุดอ่อน และการประเมินภาวะวิกฤต ภัยคุกคามจะรวมไปถึงการกระทำทั้งที่ตั้งใจ ไม่ได้ตั้งใจ และที่เกิดจากภัยธรรมชาติ ที่ส่งผลกระทบต่อองค์กร ผู้เกี่ยวข้อง ห่วงโซ่อุปทาน และชุมชน

ประเด็นที่จะต้องนำมาพิจารณาในการประเมินภัยคุกคามด้านการรักษาความปลอดภัย และการชี้บ่งความเสี่ยง จะประกอบด้วย ความเสียหายทางกายภาพ ภัยคกคามและความเสี่ยงจากการดำเนินงาน สุขภาพและความปลอดภัยของบุคลากรในพื้นที่ สุขภาพและความปลอดภัยของบุคลากรที่เกี่ยวข้องกับเหตุการณ์ที่เกิดขึ้น การดำเนินงานอย่างต่อเนื่องในการให้บริการ ความเสียหายของทรัพย์สิน อุปกรณ์ การรักษาห่วงโซ่อุปทาน สิ่งแวดล้อมและเหตุการณ์ทางธรรมชาติ สภาวะทางเศรษฐกิจและการเงิน ความรับผิดชอบต่อข้อกฏหมาย ข้อมูลการสื่อสารและเครือข่าย การจัดการข้อมูลและการรักษาความปลอดภัยของเอกสาร ภัยคุกคามและความเสี่ยงต่อผู้เกี่ยวข้องต่างๆ และความเสียหายต่อการเสียชื่อเสียง ความเชื่อมั่นของพนักงาน ตราสินค้า และความเชื่อมั่นที่มีต่อองค์กร

โดยผลของการประเมินจุดอ่อน และภาวะวิกฤต จะนำมากำหนดนโยบาย และวัตถุประสงค์การรักษาความปลอดภัย และการพัฒนาโปรแกรมต่างๆ เพื่อให้สามารถป้องกัน ลด ควบคุม บรรเทาทั้งภัยคุกคาม ความเสี่ยงและผลกระทบที่จะเกิดขึ้น

นอกจากนั้น องค์กรจะต้องมีการดูแลข้อมูลต่างๆ ที่ได้จากการประเมินภัยคุกคาม ความเสี่ยง และจุดวิกฤตให้มีความทันสมัย จัดเก็บอย่างเหมาะสม และมีการนำมาทบทวนอย่างสม่ำเสมอ หรือเมื่อมีการเปลี่ยนแปลงที่สำคัญเกิดขึ้น

กฏหมาย และข้อกำหนดอื่นๆ

องค์กรจะต้องมีการกำหนดขั้นตอนการดำเนินการ ในการ

1.       ชี้บ่ง และติดตามข้อกฏหมาย และระเบียบข้อบังคับต่างๆ ที่เกี่ยวกับภัยคุกคาม และความเสี่ยงในการรักษาความปลอดภัยขององค์กร

2.       กำหนดวิธีการ และมีการจัดทำเป็นเอกสาร สำหรับการนำข้อกฏหมาย และระเบียบข้อบังคับต่างๆ มาประยุกต์ใช้งาน  

ข้อมูลต่างๆ จะต้องมีการดูแลให้มีความทันสมัยอยู่เสมอ โดยมีการสื่อสารข้อมูลทางกฏหมายต่าง             ๆ ไปยังบุคลากรภายในองค์กรทุกคน รวมถึงผู้รับเหมาจากภายนอกที่เข้ามาปฏิบัติงานภายในองค์กร

วัตถุประสงค์ เป้าหมาย และแผนงาน

องค์กรจะต้องมีการจัดทำเอกสารที่ระบุถึงวัตถุประสงค์ด้านการรักษาความปลอดภัย โดยวัตถุประสงค์จะต้องครอบคลุมถึงการป้องกัน การบรรเทา และการฟื้นฟูจากภัยคุกคามด้านการรักษาความปลอดภัยในทุกๆ หน่วยงาน และทุกๆ ระดับภายในองค์กร

วัตถุประสงค์ และเป้าหมายด้านการรักษาความปลอดภัย จะต้องสามารถนำไปปฏิบัติได้ และสอดคล้องกับนโยบายที่กำหนดขึ้น มีการปรับปรุงอย่างต่อเนื่อง และได้รับการทบทวนตามช่วงเวลาที่กำหนด 

แผนการดำเนินงานด้านการรักษาความปลอดภัย จะประกอบด้วย 2 ส่วน ประกอบด้วย

1.       แผนงานการจัดการป้องกัน และการบรรเทา

2.       แผนงานการจัดการตอบสนอง และการฟื้นฟู

แผนงานการจัดการป้องกัน และการบรรเทา

แผนงานด้านการป้องกัน และการบรรเทา จะต้องมีความสอดคล้องกับผลของการชี้บ่งภัยคุกคาม และอันตรายที่เกี่ยวกับการรักษาความปลอดภัย และการประเมินความเสี่ยง โดยมีเป้าหมายที่จะลดผลกระทบของเหตุการณ์ที่เกิดขึ้น ให้เหลือน้อยที่สุด 

ทั้งนี้ แผนงานจะครอบคลุมถึง การเคลื่อนย้าย การกำจัด และการบรรเทาจากภัยคุกคาม และภัยอันตรายต่างๆ ด้วยวิธีการและเทคโนโลยีที่เหมาะสม โดยการจัดทำแผนงาน จะคำนึงถึง ประโยชน์และค่าใช้จ่ายที่เกิดขึ้น เทคโนโลยี ผลกระทบของการรักษาความปลอดภัย และการรักษาความต่อเนื่องในการดำเนินงาน การเปรียบเทียบต้นทุนของกลยุทธ์ต่างๆ ที่จะเลือกใช้ และผลตอบแทนจากการลงทุน

นอกจากนั้น แผนงานยังต้องคำนึงแนวทางในการอพยพ และเคลื่อนย้ายคน ทรัพย์สินที่มีสภาพเสี่ยง การจัดหาระบบและเครื่องมือเพื่อการป้องกัน ข้อมูลข่าวสาร เอกสาร และการสื่อสาร ระบบการเตือนภัย ขั้นตอนการสื่อสาร บุคลากร วัสดุต่างๆ รวมถึงสิ่งต่างๆ ที่สามารถหาได้จากหน่วยงานอื่นๆ

แผนงานการจัดการตอบสนอง และการฟื้นฟู

องค์กรจะต้องมีการจัดทำแผนสำหรับการตอบสนองกับเหตุการณ์ด้านความปลอดภัยที่เกิดขึ้น ซึ่งจะครอบคลุมถึง

1.       การตอบสนองต่อเหตุฉุกเฉิน เป็นการเข้าระงับเหตุเบื้องต้น เพื่อป้องกันความเสียหายที่จะเกิดขึ้นกับบุคคล และทรัพย์สินต่างๆ

2.       การดำเนินการอย่างต่อเนื่อง จะเป็นการจัดเตรียมกระบวนการ การควบคุม และทรัพยากร เพื่อให้มั่นใจว่าจะสามารถดำเนินการตามวัตถุประสงค์การดำเนินงานในภาวะวิกฤตได้

3.       การฟื้นฟู จะเป็นกระบวนการในการฟื้นฟูองค์กรให้กลับสู่สภาพปกติที่สามารถดำเนินงานได้ตามภารกิจขององค์กร ภายหลังจากเกิดเหตุการณ์ขึ้น

แผนงานการตอบสนองและการฟื้นฟู จะประกอบด้วย

1.       การกำหนดบทบาทหน้าที่ ความรับผิดชอบ ของบุคลากรในหน่วยงานต่างๆ ทั้งภายในและภายนอกองค์กร

2.       การกำหนดสายการบังคับบัญชา และอำนาจในการตัดสินใจ

3.       การกำหนดความสามารถ และทรัพยากรที่จำเป็น

แผนการดำเนินงานสำหรับการตอบสนอง และการฟื้นฟู จะต้องพิจารณาถึงทรัพยากรต่างๆ ที่เกี่ยวข้อง ได้แก่ บัญชีรายชื่อสำหรับการติดต่อกับพนักงานที่เกี่ยวข้อง คู่มือขั้นตอนการดำเนินงาน โครงสร้างพื้นฐานทางด้านเทคโนโลยีสารสนเทศ อุปกรณ์และเครื่องมือในการอำนวยความสะดวก อุปกรณ์การติดต่อสื่อสาร อุปกรณ์สำนักงาน และระบบสาธารณูปโภค