You are here: Home » ISO 27001:2022 » ISMS Internal Audit – หัวใจสำคัญในการยกระดับความมั่นคงปลอดภัยสารสนเทศ (ตามแนวทาง ISO 27001:2022)

ISMS Internal Audit – หัวใจสำคัญในการยกระดับความมั่นคงปลอดภัยสารสนเทศ (ตามแนวทาง ISO 27001:2022)

Posted by pryn on วันจันทร์ที่ 5 พฤษภาคม พ.ศ. 2568 0

การนำระบบการจัดการความปลอดภัยสารสนเทศ (Information Security Management System: ISMS) ตามมาตรฐาน ISO 27001:2022 มาใช้นั้น เป็นการแสดงถึงความมุ่งมั่นขององค์กรในการปกป้องข้อมูลและสารสนเทศอันมีค่าให้รอดพ้นจากภัยคุกคามต่างๆ อย่างไรก็ตาม การมีระบบที่ดีเพียงอย่างเดียวยังไม่เพียงพอ การตรวจสอบภายใน (Internal Audit) เปรียบเสมือน "กระจกสะท้อน" ที่ช่วยให้องค์กรได้เห็นภาพรวมของการดำเนินงาน ISMS ว่ามีประสิทธิภาพและประสิทธิผลตามที่คาดหวังไว้หรือไม่




หลักการสำคัญของการตรวจประเมินภายใน ISMS

การตรวจประเมินภายในตามข้อกำหนดของ ISO 27001:2022 (ข้อ 9.2) มีหลักการพื้นฐานที่สำคัญ ดังนี้

  1. ความเป็นอิสระและความเที่ยงธรรม (Objectivity and Impartiality): ผู้ตรวจประเมินภายในควรมีความเป็นอิสระจากพื้นที่หรือกระบวนการที่ตนเองกำลังตรวจประเมิน เพื่อให้การประเมินเป็นไปอย่างเที่ยงตรง ไม่ลำเอียง และสะท้อนสภาพความเป็นจริง

  2. การยึดตามหลักฐาน (Evidence-based Approach): การสรุปผลการตรวจประเมินต้องอ้างอิงจากหลักฐานที่เป็นรูปธรรม เช่น เอกสารบันทึก การสัมภาษณ์ หรือการสังเกตการณ์หน้างาน

  3. การสร้างคุณค่า (Value Addition): การตรวจประเมินไม่เพียงแค่ค้นหาข้อบกพร่อง แต่ควรมุ่งเน้นการให้ข้อเสนอแนะที่เป็นประโยชน์ เพื่อนำไปสู่การปรับปรุงและพัฒนาระบบ ISMS ให้ดียิ่งขึ้นอย่างต่อเนื่อง

แนวทางในการดำเนินการตรวจประเมินภายใน ISMS

การตรวจประเมินภายใน ISMS ควรดำเนินไปตามขั้นตอนที่เป็นระบบ เพื่อให้เกิดประสิทธิภาพสูงสุด:

  1. การวางแผนโปรแกรมการตรวจประเมิน (Audit Programme Planning): องค์กรควรกำหนดแผนการตรวจประเมินประจำปี โดยพิจารณาจากความสำคัญของแต่ละกระบวนการ ผลการตรวจประเมินครั้งก่อนๆ และการเปลี่ยนแปลงที่สำคัญภายในองค์กร แผนนี้ควรกำหนดขอบเขต ความถี่ วิธีการ และผู้รับผิดชอบในการตรวจประเมินแต่ละส่วนไว้อย่างชัดเจน

  2. การวางแผนการตรวจประเมินแต่ละครั้ง (Audit Planning): ก่อนการตรวจประเมินแต่ละครั้ง หัวหน้าคณะผู้ตรวจประเมินควรวางแผนรายละเอียด เช่น กำหนดวัตถุประสงค์ ขอบเขต เกณฑ์การตรวจประเมิน (เช่น ข้อกำหนด ISO 27001:2022, นโยบายและกระบวนการภายในองค์กร) และจัดทำเอกสารที่เกี่ยวข้อง เช่น Checklist

  3. การดำเนินการตรวจประเมิน (Conducting the Audit): ผู้ตรวจประเมินจะทำการเก็บรวบรวมหลักฐานโดยใช้วิธีการต่างๆ เช่น:

  • การทบทวนเอกสาร (Document Review): ตรวจสอบนโยบาย ขั้นตอนการปฏิบัติงาน บันทึกต่างๆ ที่เกี่ยวข้องกับ ISMS

  • การสัมภาษณ์ (Interviews): สัมภาษณ์บุคลากรในหน่วยงานที่ถูกตรวจ เพื่อทำความเข้าใจกระบวนการและวิธีการทำงานจริง

  • การสังเกตการณ์ (Observation): สังเกตสภาพแวดล้อมการทำงาน การเข้าถึงพื้นที่ควบคุม หรือการใช้งานระบบสารสนเทศ

  • การสุ่มตรวจ (Sampling): สุ่มตรวจสอบบันทึกหรือข้อมูล เพื่อยืนยันการปฏิบัติตามข้อกำหนด

  1. การรายงานผลการตรวจประเมิน (Audit Reporting): เมื่อดำเนินการตรวจประเมินแล้วเสร็จ ผู้ตรวจประเมินจะสรุปผลการตรวจ รวมถึงการระบุข้อบกพร่อง (Nonconformity) ที่พบ พร้อมหลักฐานสนับสนุน และจัดทำรายงานเสนอต่อผู้บริหารที่เกี่ยวข้อง

  2. การดำเนินการแก้ไขและป้องกัน (Corrective and Preventive Actions): หน่วยงานที่ถูกตรวจประเมินมีหน้าที่ในการวางแผนและดำเนินการแก้ไขข้อบกพร่องที่พบ พร้อมทั้งกำหนดมาตรการป้องกันเพื่อไม่ให้ปัญหาเดิมเกิดขึ้นซ้ำอีก ควรมีการกำหนดผู้รับผิดชอบและระยะเวลาในการดำเนินงานให้ชัดเจน

  3. การติดตามผล (Follow-up): ผู้ตรวจประเมินหรือผู้ที่ได้รับมอบหมายจะทำการติดตามผลการดำเนินงานแก้ไขและป้องกันเพื่อให้มั่นใจว่าข้อบกพร่องได้รับการแก้ไขอย่างมีประสิทธิผล

ตัวอย่างประกอบ:

สมมติว่าทีมผู้ตรวจประเมินภายในได้ทำการตรวจประเมินกระบวนการจัดการผู้ใช้งานระบบสารสนเทศ (User Access Management) และพบข้อบกพร่องว่า บันทึกการให้สิทธิ์การเข้าถึงระบบของพนักงานที่ลาออกไปแล้วบางส่วนยังไม่มีการอัปเดตและยกเลิกสิทธิ์ตามระยะเวลาที่กำหนดไว้ในนโยบาย (Nonconformity)

  • หลักฐาน: ทีมผู้ตรวจพบรายชื่อพนักงานที่ลาออกในแผนก A เมื่อ 3 เดือนที่แล้ว แต่บันทึกการให้สิทธิ์ในระบบงาน X ยังคงแสดงว่าพนักงานคนดังกล่าวยังมีสิทธิ์เข้าถึงอยู่

  • สาเหตุของข้อบกพร่อง (Root Cause): กระบวนการสื่อสารระหว่างฝ่ายบุคคลและทีมผู้ดูแลระบบยังไม่ครอบคลุมและทันท่วงที ทำให้ข้อมูลพนักงานที่ลาออกไม่ถูกส่งต่อเพื่อดำเนินการยกเลิกสิทธิ์ตามกำหนด

  • มาตรการแก้ไข (Corrective Action): ทีมผู้ดูแลระบบดำเนินการยกเลิกสิทธิ์การเข้าถึงระบบงาน X ของพนักงานที่ลาออกทั้งหมดในทันที

  • มาตรการป้องกัน (Preventive Action): กำหนดให้มีการประชุมร่วมกันระหว่างฝ่ายบุคคลและทีมผู้ดูแลระบบทุกสัปดาห์ เพื่อทบทวนรายชื่อพนักงานเข้าใหม่และลาออก พร้อมทั้งกำหนด Checkist ในการดำเนินการให้สิทธิ์และยกเลิกสิทธิ์ให้ครบถ้วน

สรุป:

การตรวจประเมินภายใน ISMS ไม่ใช่เพียงแค่การทำตามข้อกำหนดของมาตรฐาน แต่เป็นเครื่องมือสำคัญที่ช่วยให้องค์กรสามารถประเมินประสิทธิผลของระบบ ISMS ได้ด้วยตนเอง ค้นหาจุดที่ต้องปรับปรุง และนำไปสู่การพัฒนาอย่างต่อเนื่อง การดำเนินการตรวจประเมินอย่างเป็นระบบและยึดตามหลักการที่ถูกต้อง จะช่วยยกระดับความมั่นคงปลอดภัยสารสนเทศขององค์กรให้แข็งแกร่งยิ่งขึ้น พร้อมรับมือกับความท้าทายด้านความปลอดภัยในยุคดิจิทัลได้อย่างมั่นใจ

ผู้เขียน ปริญญ์ เสรีพงศ์ ที่ปรึกษา ISO 27001 pryn@sdxdataverse.com

Tagged as: , ,
About the Author

Write admin description here..

Get Updates

Subscribe to our e-mail newsletter to receive updates.

Enter your email address:

Delivered by FeedBurner

Share This Post

Related posts

0 ความคิดเห็น :

สมัครสมาชิก: ส่งความคิดเห็น ( Atom )
back to top