7 ขั้นตอนวางแผนตรวจประเมินภายใน(Internal Audit) ISO 27001:2013

Posted by pryn on วันพฤหัสบดีที่ 11 ธันวาคม พ.ศ. 2557 0

7 ขั้นตอนวางแผนตรวจประเมินภายใน(Internal Audit) ISO 27001:2013 
(Internal Audit ISO 27001:2013 Information Management System)



 การตรวจประเมินภายใน(Internal Audit ISO 27001:2013) เป็นกิจกรรมบังคับสำหรับหน่วยงานที่จัดทำระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศ(Information Security Management System:ISMS) ISO 27001:2013  ภาพรวมของการวางแผนแบ่งเป็น 7 ขั้นตอนดังนี้

1. เตรียมบุคลากรที่จะทำหน้าที่เป็นผู้ตรวจประเมินภายใน (Internal auditor ISO 27001:2013) โดยผู้ตรวจประเมินเหล่านี้จะต้องมีความรู้และเข้าใจในข้อกำหนด(Requirements)ของ ISO 27001:2013  ว่าแต่ละข้อกำหนดมีเจตนารมณ์อย่างไร และควรจะดูหลักฐานอะไรเพื่อยืนยันว่าได้ปฏิบัติตามข้อกำหนดเหล่านั้น (ไม่เน้นจำข้อกำหนด ขอเพียงเข้าใจและทำ Checklist ล่วงหน้าก็ตรวจประเมินได้ระดับหนึ่งแล้ว)

2. กำหนดช่วงเวลาที่จะทำการตรวจประเมินไว้ล่วงหน้า โดยส่วนใหญ่นิยมตรวจปีละ 2 ครั้ง  และมีการแจ้งกำหนดการตรวจประเมิน(Audit Schedule)ล่วงหน้าไปยังหน่วยงานที่อยู่ภายในขอบเขต(Scope) ของการทำระบบ  เพื่อให้หน่วยงานได้รับทราบและเตรียมตัว เตรียมข้อมูลไว้รับการตรวจ

3. กำหนดขอบเขตของการตรวจประเมิน โดยกำหนดเป็นพื้นที่  หน่วยงาน หรือระบบงาน ให้ชัดเจน เพื่อจะได้วางแผนตรวจประเมินโดยพิจารณาถึงขนาดและความซับซ้อนของระบบงานหรือหน่วยงานที่ไปตรวจ รวมถึงการจัดเวลาและผู้ตรวจประเมินที่มีทักษะและความสามารถตรงกับภาระกิจได้อย่างเหมาะสม

4. หากเป็นการตรวจประเมินภายในครั้งแรก (มือใหม่หัดตรวจ) แนะนำให้นำ Gap Analysis ISO 27001:2013 มาเป็นแนวทางการวางแผน โดยให้list สิ่งที่รายงาน Gap Analysis ระบุว่ายังไม่ได้ทำ หรือยังไม่มี  เช่น ยังไม่มีนโยบายความมั่นคงปลอดภัยของสารสนเทศเป็นลายลักษณ์อักษร นี่แหละคือสิ่งที่จะต้องFocus เวลาไปตรวจประเมิน    ส่วนที่รายงานGap Analysis ระบุว่ามีแล้ว ก็ให้ Internal Auditor ไปตรวจว่ายังรักษาอยู่ได้หรือไม่ เป็นต้น

5. ถ้าเป็นการตรวจประเมินครั้งที่ 2เป็นต้นไป   เวลาวางแผนตรวจประเมินควรดูผล Audit คราวก่อนด้วย จะได้รู้ว่าตอนตรวจประเมินความก่อนมีปัญหาอุปสรรคอะไร เช่น  ในแผนให้เวลามากไป น้อยไป  ผู้ตรวจถามตรงประเด็นมั้ย ฯลฯ  นอกจากนี้ให้ดูว่าการตรวจประเมินคราวก่อนพบข้อบกพร่องที่หน่วยงานใดมากที่สุด  ตรวจคราวนี้จะได้ไปทวนสอบดูว่าได้แก้ปัญหาเหล่านั้นเรียบร้อยหรือยัง  แก้ตรงจุดได้ผลชงัดหรือไม่ เป็นต้น

6.  วางแผนการตรวจประเมินภายใน (Internal Audit) โดยพิจารณาว่าแต่ละหน่วยงานจะถูกตรวจข้อกำหนด ISO 27001:2013ใดบ้าง  จุดสำคัญคือผู้ที่วางแผนนี้จะต้องเข้าใจในข้อกำหนด และบริบทของหน่วยงานที่ถูกตรวจ ผลที่ได้คือ วางแผนตรวจประเมินภายในได้ครอบคลุม ครบถ้วนและกำหนดเวลาได้เหมาะสม

7. เมื่อจัดทำแผนการตรวจประเมินภายใน (Internal audit ISO 27001:2013) เรียบร้อยแล้ว ให้เสนอตัวแทนฝ่ายบริหาร (Management Representative) พิจารณาและแนะนำให้เสนอต่อ Top Management  ลงนามในแผนให้มีผลบังคับใช้อย่างเป็นทางการ (ไม่มีใครกล้าเบี้ยว ถ้าไม่มีเหตุจำเป็นจริงๆ)

บทความนี้กล่าวถึงขั้นตอนการวางแผนตรวจประเมินเพื่อให้เข้าใจภาพรวมกว้าง   เวลาที่วางแผนจริงจะต้องอ้างอิงระเบียบปฏิบัติ(Procedure) ซึ่งจะกำหนดหน้าที่ไว้อย่างชัดเจนว่าใครเป็นผู้จัดทำ Audit Plan  ใช้แบบฟอร์มอะไร  ใครเป็นผู้อนุมัติ และแจ้งหน่วยงานให้ทราบล่วงหน้าอย่างน้อยกี่วัน  รวมถึงอาจกำหนดคุณสมบัติของผู้ตรวจประเมิน (ISO 27001:2013 Internal auditor) ไว้เป็นลายลักษณ์อักษรด้วย


ผู้เขียน : Pryn Sereepong, CISA, CEH, ISMS(IRCA)
ISO 27001 Consultant    สถาบันเพิ่มผลผลิตแห่งชาติ
pryn@ftpi.or.th
www.facebook.com/club27001 

Tagged as:
About the Author

Write admin description here..

Get Updates

Subscribe to our e-mail newsletter to receive updates.

Enter your email address:

Delivered by FeedBurner

Share This Post

Related posts

0 ความคิดเห็น :

back to top