แบบฟอร์มอนุมัติข้อยกเว้นด้านความปลอดภัย
กลุ่มเป้าหมาย: CISO, SOC Manager, Security Owner, Business Owner, Change Approver
วัตถุประสงค์: ใช้แบบฟอร์มนี้เมื่อจำเป็นต้องยกเว้น security policy, baseline, หรือ control requirement เป็นการชั่วคราวหรืออย่างเป็นทางการ
graph TD
A["ร้องขอข้อยกเว้น"] --> B["ตรวจสอบ Policy หรือ Baseline"]
B --> C["ประเมินผลกระทบด้านความปลอดภัยและธุรกิจ"]
C --> D{"อนุมัติหรือไม่"}
D -->|อนุมัติ| E["กำหนดเงื่อนไขและวันหมดอายุ"]
D -->|ไม่อนุมัติ| F["ปฏิเสธและให้แก้ไข"]
1. ใช้แบบฟอร์มนี้เมื่อใด
2. รายละเอียดข้อยกเว้น
| รายการ |
ค่า |
| Exception ID |
EX-[YYYYMMDD]-[001] |
| ผู้ร้องขอ |
[ชื่อ / บทบาท] |
| ระบบ / บริการ |
|
| Policy / Control ที่ขอยกเว้น |
|
| วันที่เริ่มข้อยกเว้น |
|
| วันที่สิ้นสุดข้อยกเว้น |
|
| เหตุผลของข้อยกเว้น |
|
3. ผลกระทบด้านความปลอดภัย
| คำถาม |
คำตอบ |
| Control ใดที่ขาดหายหรืออ่อนลง |
|
| Attack scenario ใดมีโอกาสเกิดมากขึ้น |
|
| ข้อมูล ผู้ใช้ หรือบริการใดถูกเปิดรับความเสี่ยง |
|
| ยังคงมี monitoring หรือ restrictions อะไรอยู่บ้าง |
|
4. เงื่อนไขการตัดสินใจ
| เงื่อนไข |
สถานะ |
หมายเหตุ |
| Compensating controls ถูกกำหนดแล้ว |
☐ |
|
| Business owner ยอมรับความเสี่ยงเชิงปฏิบัติการ |
☐ |
|
| กำหนดวันทบทวนแล้ว |
☐ |
|
| มี rollback หรือ remediation path |
☐ |
|
| ตรวจสอบ conflict ด้านกฎหมายหรือสัญญาแล้ว |
☐ |
|
5. มาตรการป้องกันที่ต้องมี
6. การอนุมัติ
| บทบาท |
ชื่อ |
การตัดสินใจ |
วันที่ |
| Security Owner |
|
☐ เห็นชอบ · ☐ ไม่เห็นชอบ |
|
| SOC Manager |
|
☐ ทบทวนแล้ว |
|
| Business Owner |
|
☐ ยอมรับ |
|
| CISO / Delegate |
|
☐ อนุมัติ · ☐ ไม่อนุมัติ |
|
7. การติดตามและการปิดงาน
| การดำเนินการ |
ผู้รับผิดชอบ |
กำหนดเสร็จ |
สถานะ |
| ยืนยันว่า safeguards ทำงานอยู่ |
|
|
☐ |
| ทบทวนก่อนหมดอายุ |
|
|
☐ |
| ยกเลิกข้อยกเว้นหรือขอต่ออายุพร้อมเหตุผล |
|
|
☐ |
| อัปเดต decision log |
|
|
☐ |
8. เส้นทางส่งต่อใน Governance
References