บทบาทและหน้าที่ของผู้บริหารระดับสูง (Top Management) ใน ISO 27001:2022

  บทบาทและหน้าที่ของผู้บริหารระดับสูง 

(Top Management) ใน ISO 27001:2022

ผู้เขียน ปริญญ์ เสรีพงศ์ CISA CEH ISMS(IRCA) ที่ปรึกษา ISO27001 Email : mr.pryn@gmail.com

ผู้บริหารระดับสูงมีบทบาทสำคัญ:

•  กำหนดนโยบาย ทิศทาง วัตถุประสงค์ และเป้าหมายของ ISMS ให้สอดคล้องกับทิศทางเชิงกลยุทธ์ขององค์กร รวมถึงการกำหนดบริบทขององค์กร, ความต้องการและความคาดหวังของผู้มีส่วนได้ส่วนเสีย, ระดับความเสี่ยงที่ยอมรับได้ และขอบเขตของ ISMS
•  จัดสรรทรัพยากรที่จำเป็น เพื่อสนับสนุน ISMS ได้แก่ งบประมาณ บุคลากร โครงสร้างพื้นฐาน เทคโนโลยี และเวลา
•  สื่อสารและส่งเสริม ให้ทุกคนในองค์กร รวมถึงผู้ที่เกี่ยวข้องภายนอก รับทราบและเข้าใจถึงความสำคัญของ ISMS นโยบาย วัตถุประสงค์ และเป้าหมาย
•  กำกับดูแล การดำเนินงานของ ISMS ให้เป็นไปตามข้อกำหนดของมาตรฐาน
•  ทบทวน ISMS เป็นระยะ เพื่อประเมินประสิทธิผล ประสิทธิภาพ และความเหมาะสม  รวมถึงการระบุโอกาสในการปรับปรุง
•  ตัดสินใจ เกี่ยวกับ ISMS เช่น การอนุมัตินโยบาย การจัดการความเสี่ยง การตอบสนองต่อเหตุการณ์ 
•  สนับสนุน การปรับปรุง ISMS อย่างต่อเนื่อง

ตัวอย่างกิจกรรมที่แสดงให้เห็นถึงความมุ่งมั่นของผู้บริหารระดับสูง:

•  อนุมัตินโยบาย ISMS
•  จัดสรรงบประมาณและทรัพยากรสำหรับ ISMS
•  เข้าร่วมการประชุมทบทวน ISMS
•  สื่อสารกับพนักงานเกี่ยวกับความสำคัญของ ISMS
•  สนับสนุนให้มีการฝึกอบรมและสร้างความตระหนักรู้ด้านความมั่นคงปลอดภัยสารสนเทศ
•  มอบหมายความรับผิดชอบให้กับบุคคลที่เหมาะสม เช่น ผู้จัดการ ISMS 
•  ติดตามผลการดำเนินงานของ ISMS

ตัวอย่างเอกสารที่เกี่ยวข้อง:

•  นโยบาย ISMS
•  ขอบเขตของ ISMS
•  การประเมินความเสี่ยง
•  แผนปฏิบัติการ ISMS
•  รายงานการทบทวน ISMS

หมายเหตุ: บทบาทและหน้าที่ของผู้บริหารระดับสูงอาจแตกต่างกันไป ขึ้นอยู่กับขนาด ลักษณะ และความซับซ้อนขององค์กร