7 ขั้นตอนการทำ ISO 27001:2013 Gap Analysis
Posted by
pryn
on
วันพฤหัสบดีที่ 27 พฤศจิกายน พ.ศ. 2557
5
ISO 27001:2013 Gap analysis คืออะไร
คือการสำรวจตรวจสอบและประเมินสิ่งที่เป็นอยู่ ณ.ปัจจุบัน(ก่อนเริ่มทำระบบ) เปรียบเทียบกับข้อกำหนดของ ISO 27001:2013พูดอีกอย่างก็คือ การตรวจประเมินด้วยข้อกำหนด ISO 27001:2013 เพื่อดูว่าหน่วยงานมีอะไรอยู่แล้ว และยังขาดอะไรที่ต้องทำเพิ่ม
7 ขั้นตอนการทำ ISO 27001:2013 Gap Analysis
- ชี้แจงสื่อสารทำความเข้าใจวัตถุประสงค์ของการทำ Gap Analysis ให้ทราบทั้งองค์กร โดยเฉพาะหน่วยงานที่จะถูกประเมิน
- ผู้ทำ Gap Analysis ศึกษาข้อกำหนด (ISO 27001 Requirements) ของ ISO 27001:2013 ให้เข้าใจ
- จัดทำ Checklist ตามข้อกำหนด - ควรใช้คำถามที่เกี่ยวข้อง และถ้าให้ดีควรถามให้ตรงกับ context ของหน่วยงานที่ไปประเมิน (จากการเป็นที่ปรึกษา เจอบ่อยมาก ที่ใช้ standard checklist ไปตาม ปรากฏว่าคนถูกถามไม่เข้าใจว่าอยากรู้อะไร ?? )
- สอบถามขั้นตอน ความเข้าใจของผู้ตอบ และเรียกดูหลักฐาน ทั้งเอกสารและข้อมูลในระบบที่เกี่ยวข้อง
- บันทึกสิ่งที่พบให้ชัดเจน เช่น สัมภาษณ์ใคร ชื่อ,ตำแหน่ง หน่วยงาน เอกสารอะไร(ชื่อเอกสาร,รหัส)ที่พบว่าไม่สอดคล้อง
- สรปผลและทำรายงาน - โดยสรุปตามข้อกำหนด ISO 27001:2013 ทุกข้อ เช่น เรื่องประเมินความเสี่ยง องค์กรมีหรือไม่มี ถ้ามีแล้วมีครบตามข้อกำหนดหรือไม่ เป็นต้น
- นำเสนอต่อผู้บริหารสูงสุด (Top Management) เพื่อรายงานให้ทราบถึงสถานะปัจจุบัน ว่าอยู่ในระดับใด ยังขาดอะไรบ้างที่จะได้มาตรฐาน ตามISO 27001:2013
หัวใจสำคัญของ ISO 27001:2013 Gap Analysis คือ ข้อมูลทำให้รู้ว่าองค์กรของเรายังขาดอะไร แค่ไหน ที่สำคัญคือ มีอะไรที่ยังไม่สอดคล้องตามกฎหมายบ้าง Report ที่ได้จากกิจกรรมนี้ เป็นจุดตั้งต้นของการปรับปรุงองค์กรให้มีความมั่นคงปลอดภัย ให้ผู้บริหารหยิบไปใช้วางแผนเตรียมงาน เตรียมคน เตรียมงบประมาณ เพื่อปิด Gap เหล่านี้
ผู้เขียน : Pryn Sereepong, CISA, CEH, ISMS(IRCA)
ISO 27001 Consultant สถาบันเพิ่มผลผลิตแห่งชาติ
pryn@ftpi.or.th
www.facebook.com/club27001
Tagged as:
About the Author
Write admin description here..
Get Updates
Subscribe to our e-mail newsletter to receive updates.
Share This Post
Related posts
ขอบคุณครับ
ตอบลบกำลังหาข้อมูลอยู่พอดีเลยค่ะ
ตอบลบขอบพระคุณอย่างสูง
ตอบลบขอบคุณครับ
ตอบลบขอบคุณครับ เข้ามาศึกษาครับ เอาไปใช้ทำสารนิพนธ์
ตอบลบ