ISO 27001:2022 การประเมินสมรรถนะ (Performance Evaluation)

Posted by pryn on วันจันทร์ที่ 30 ธันวาคม พ.ศ. 2567 0

    การประเมินสมรรถนะ (Performance Evaluation) เป็นกระบวนการที่สำคัญอย่างยิ่งในการดำเนินงานระบบการจัดการความมั่นคงปลอดภัยสารสนเทศ (ISMS) ตามมาตรฐาน ISO 27001:2022 โดยมีวัตถุประสงค์เพื่อประเมินประสิทธิผลของ ISMS ว่าสามารถบรรลุวัตถุประสงค์ที่ตั้งไว้หรือไม่ และเพื่อระบุโอกาสในการปรับปรุง ISMS ให้ดียิ่งขึ้น


    มาตรฐาน ISO 27001:2022 กำหนดข้อกำหนดสำหรับการประเมินสมรรถนะ โดยมีองค์ประกอบหลัก 3 ประการ ดังนี้

1. การติดตาม การวัดผล การวิเคราะห์ และการประเมินผล (Monitoring, measurement, analysis and evaluation)

องค์กรต้องกำหนดสิ่งต่าง ๆ ที่ต้องติดตามและวัดผล เช่น ประสิทธิผลของมาตรการควบคุม (Controls) จำนวนเหตุการณ์ด้านความมั่นคงปลอดภัยสารสนเทศ (Information security incidents) และความพึงพอใจของผู้มีส่วนได้ส่วนเสีย (Interested parties)

องค์กรต้องกำหนดวิธีการติดตาม การวัดผล การวิเคราะห์ และการประเมินผล รวมถึงกำหนดความถี่ และผู้รับผิดชอบ

2. การตรวจสอบภายใน (Internal audit)

องค์กรต้องดำเนินการตรวจสอบภายใน (Internal audit) เป็นระยะ เพื่อให้ข้อมูลเกี่ยวกับ ISMS ว่า

  • เป็นไปตามข้อกำหนดของมาตรฐาน ISO 27001:2022 หรือไม่
  • ได้รับการนำไปปฏิบัติ และบำรุงรักษาอย่างมีประสิทธิผลหรือไม่

องค์กรต้องจัดทำแผนการตรวจสอบภายใน (Internal audit program) โดยกำหนดความถี่ วิธีการ ผู้รับผิดชอบ และการรายงานผล

3. การทบทวนโดยฝ่ายบริหาร (Management review)

ฝ่ายบริหารระดับสูงต้องทบทวน ISMS เป็นระยะ เพื่อให้มั่นใจว่า ISMS ยังคงมีความเหมาะสม เพียงพอ และมีประสิทธิผล

การทบทวนโดยฝ่ายบริหารต้องพิจารณา

  • สถานะของการดำเนินการจากการทบทวนครั้งก่อน
  • การเปลี่ยนแปลงของปัจจัยภายใน และภายนอก
  • ข้อมูลย้อนกลับเกี่ยวกับ ISMS
  • ผลการประเมินความเสี่ยง
  • โอกาสในการปรับปรุง

ผลลัพธ์ของการทบทวนโดยฝ่ายบริหารต้องรวมถึงการตัดสินใจเกี่ยวกับโอกาสในการปรับปรุง และการเปลี่ยนแปลงใด ๆ ที่จำเป็นต่อ ISMS

การประเมินสมรรถนะ (Performance evaluation) ช่วยให้องค์กรสามารถติดตาม วัดผล วิเคราะห์ และประเมินผล ISMS ได้อย่างเป็นระบบ ซึ่งจะนำไปสู่การปรับปรุง ISMS อย่างต่อเนื่อง และช่วยให้มั่นใจได้ว่า ISMS ยังคงมีความเหมาะสม เพียงพอ และมีประสิทธิผลในการสนับสนุนวัตถุประสงค์ทางธุรกิจขององค์กร


ผู้เขียน ปริญญ์ เสรีพงศ์ CISA,CEH,CC ที่ปรึกษา ISO 27001  mr.pryn@gmail.com

Tagged as:
About the Author

Write admin description here..

Get Updates

Subscribe to our e-mail newsletter to receive updates.

Enter your email address:

Delivered by FeedBurner

Share This Post

Related posts

0 ความคิดเห็น :

back to top