การเตรียมตัวก่อนรับการตรวจประเมินขอรับรอง ISO 27001 (ISMS Certification Assessment)
Posted by
pryn
on
วันอังคารที่ 17 ธันวาคม พ.ศ. 2562
0
การเตรียมตัวก่อนรับการตรวจประเมินขอรับรอง ISO 27001
ผู้เขียน ปริญญ์ เสรีพงศ์ CISA CEH ISMS(IRCA)
Email : mr.pryn@gmail.com
การเตรียมความพร้อมก่อนรับการตรวจประเมินเพื่อขอการรับรองมาตรฐานมีความสำคัญไม่น้อยไปกว่าการสร้างและดำเนินระบบ
เนื่องจากในการตรวจประเมินองค์กรมีเวลาจำกัดในการแสดงหลักฐานเพื่อให้ผู้ตรวจตรวจประเมินมั่นใจว่ามีมาตรการการจัดการความมั่นคงปลอดภัยของสารสนเทศสอดคล้องตามมาตรฐานที่กำหนดไว้
หากไม่ได้เตรียมพร้อมที่ดีพออาจก่อให้เกิดอุปสรรคในระหว่างการตรวจประเมินได้ เช่น
ไม่ได้กำหนดผู้รับผิดชอบในการรับการตรวจประเมิน ไม่มีการเตรียมเอกสารไว้ให้พร้อม
หรือบุคลากรขาดความเข้าใจในระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศ ปัญหาเหล่านี้สะท้อนให้เห็นว่าองค์กรยังขาดความสามารถในการรักษามาตรฐานให้คงอยู่อย่างมีประสิทธิภาพตามวัตถุประสงค์ของมาตรฐาน
ดังนั้น องค์กรต้องเตรียมความพร้อมให้สมบูรณ์ทุกด้าน
ตั้งแต่การทบทวนว่าประยุกต์ใช้ข้อกำหนดครบถ้วนหรือไม่ การปฏิบัติตามมาตรการที่กำหนดไว้มีประสิทธิภาพเพียงใด
รวมถึงผู้ที่เกี่ยวข้องมีความตระหนักและเข้าใจในเรื่องความมั่นคงปลอดภัยของสารสนเทศ
และสามารถนำไปปฏิบัติได้ถูกต้องเหมาะสม เป็นต้น
Photo by Glenn Carstens-Peters on Unsplash
ประเด็นสำคัญในการประเมินความพร้อมด้วยตนเองก่อนตรวจประเมินเพื่อขอรับการรับรองมีดังนี้
· องค์กรกำหนดขอบเขตของระบบชัดเจนหรือไม่
· ผู้บริหารมีความมุ่งมั่นและให้การสนับสนุนอย่างเป็นรูปธรรมหรือไม่
· องค์กรเข้าใจข้อกำหนดของมาตรฐานและนำข้อกำหนดของ
ISO/IEC
27001 มาประยุกต์ใช้ครบถ้วนหรือไม่
· เอกสารระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศครบถ้วนสมบูรณ์หรือไม่
· องค์กรได้นำระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศไปปฏิบัติครบถ้วนหรือไม่
· ผลลัพธ์ของการดำเนินระบบมีเพียงพอที่จะประเมินความสามารถในการควบคุมจัดการความเสี่ยงต่างๆ
หรือไม่
· ผลลัพธ์ของการดำเนินระบบผ่านเกณฑ์หรือเป้าหมายหรือไม่ เช่น การปฏิบัติตามมาตรการลดความเสี่ยงส่งผลให้เกิดเหตุการณ์ไม่พึงประสงค์
(Information
security incidents) ทางด้านความมั่นคงปลอดภัยของสารสนเทศลดลงตามเป้าหมาย
เป็นต้น
· องค์กรสามารถแสดงหลักฐานการปฏิบัติภายใต้ระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศได้หรือไม่
เพียงพอหรือไม่ เช่น แผนงาน บันทึกการปฏิบัติงาน เป็นต้น
· ผลการดำเนินงานภายใต้ระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศมีประสิทธิภาพเพียงพอต่อการแก้ไขและป้องกันความเสี่ยงในรูปแบบต่างๆ
ขององค์กร
· ทุกหน่วยงานมีความเข้าใจในบทบาทและหน้าที่ของตนเองในการปฏิบัติงานภายใต้ระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศ
การประเมินตนเองด้วยคำถามข้างต้น
องค์กรต้องให้คำตอบทุกประเด็นอย่างชัดเจนเป็นรูปธรรม โดยมีเอกสารและหลักฐานต่างๆ ยืนยัน รวมทั้งมีผลลัพธ์จากการดำเนินระบบที่แสดงให้เห็นว่าองค์กรสามารถจัดการ
ควบคุม และลดความเสี่ยงให้อยู่ในระดับที่ยอมรับได้ รวมถึงมีกลไกที่สามารถปรับปรุงระบบให้สอดรับกับการเปลี่ยนแปลงต่าง
ๆ เช่น ภัยคุกคามใหม่ และกฎหมายที่ปรับปรุงเพิ่มเติม และที่สำคัญคือ บุคลากรทุกระดับต้องตระหนักถึงความสำคัญและเข้าใจบทบาทของตนเอง
สามารถปฏิบัติตามระบบได้อย่างถูกต้อง ครบถ้วน สม่ำเสมอ และมีประสิทธิภาพ
About the Author
Write admin description here..
Get Updates
Subscribe to our e-mail newsletter to receive updates.
Share This Post
Related posts
0 ความคิดเห็น :