7 ขั้นตอนการทำ ISO 27001:2013 Gap Analysis

Posted by pryn on วันพฤหัสบดีที่ 27 พฤศจิกายน พ.ศ. 2557 5

 ISO 27001:2013 Gap analysis คืออะไร

คือการสำรวจตรวจสอบและประเมินสิ่งที่เป็นอยู่ ณ.ปัจจุบัน(ก่อนเริ่มทำระบบ) เปรียบเทียบกับข้อกำหนดของ ISO 27001:2013

พูดอีกอย่างก็คือ การตรวจประเมินด้วยข้อกำหนด ISO 27001:2013 เพื่อดูว่าหน่วยงานมีอะไรอยู่แล้ว และยังขาดอะไรที่ต้องทำเพิ่ม

7 ขั้นตอนการทำ ISO 27001:2013 Gap Analysis

  1. ชี้แจงสื่อสารทำความเข้าใจวัตถุประสงค์ของการทำ Gap Analysis ให้ทราบทั้งองค์กร โดยเฉพาะหน่วยงานที่จะถูกประเมิน
  2. ผู้ทำ Gap Analysis ศึกษาข้อกำหนด  (ISO 27001 Requirements) ของ ISO 27001:2013 ให้เข้าใจ
  3. จัดทำ Checklist ตามข้อกำหนด - ควรใช้คำถามที่เกี่ยวข้อง และถ้าให้ดีควรถามให้ตรงกับ context ของหน่วยงานที่ไปประเมิน (จากการเป็นที่ปรึกษา เจอบ่อยมาก ที่ใช้ standard checklist ไปตาม ปรากฏว่าคนถูกถามไม่เข้าใจว่าอยากรู้อะไร ?? )
  4. สอบถามขั้นตอน ความเข้าใจของผู้ตอบ และเรียกดูหลักฐาน ทั้งเอกสารและข้อมูลในระบบที่เกี่ยวข้อง
  5. บันทึกสิ่งที่พบให้ชัดเจน เช่น สัมภาษณ์ใคร ชื่อ,ตำแหน่ง หน่วยงาน   เอกสารอะไร(ชื่อเอกสาร,รหัส)ที่พบว่าไม่สอดคล้อง
  6. สรปผลและทำรายงาน - โดยสรุปตามข้อกำหนด ISO 27001:2013 ทุกข้อ เช่น เรื่องประเมินความเสี่ยง องค์กรมีหรือไม่มี ถ้ามีแล้วมีครบตามข้อกำหนดหรือไม่ เป็นต้น
  7. นำเสนอต่อผู้บริหารสูงสุด (Top Management) เพื่อรายงานให้ทราบถึงสถานะปัจจุบัน ว่าอยู่ในระดับใด ยังขาดอะไรบ้างที่จะได้มาตรฐาน ตามISO 27001:2013

หัวใจสำคัญของ ISO 27001:2013 Gap Analysis  คือ ข้อมูลทำให้รู้ว่าองค์กรของเรายังขาดอะไร แค่ไหน ที่สำคัญคือ มีอะไรที่ยังไม่สอดคล้องตามกฎหมายบ้าง  Report ที่ได้จากกิจกรรมนี้ เป็นจุดตั้งต้นของการปรับปรุงองค์กรให้มีความมั่นคงปลอดภัย  ให้ผู้บริหารหยิบไปใช้วางแผนเตรียมงาน เตรียมคน เตรียมงบประมาณ เพื่อปิด Gap เหล่านี้


ผู้เขียน : Pryn Sereepong, CISA, CEH, ISMS(IRCA)
ISO 27001 Consultant    สถาบันเพิ่มผลผลิตแห่งชาติ
pryn@ftpi.or.th
www.facebook.com/club27001 

Tagged as:
About the Author

Write admin description here..

Get Updates

Subscribe to our e-mail newsletter to receive updates.

Enter your email address:

Delivered by FeedBurner

Share This Post

Related posts

5 ความคิดเห็น :

back to top