News

| Monday, 26 February 2018 |
Written by 

7 ขั้นตอนวางแผนตรวจประเมินภายใน(Internal Audit) ISO 27001:2013

การตรวจประเมินภายใน(Internal Audit ISO 27001:2013) เป็นกิจกรรมบังคับสำหรับหน่วยงานที่จัดทำระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศ(Information Security Management System:ISMS) ISO 27001:2013  ภาพรวมของการวางแผนแบ่งเป็น 7 ขั้นตอนดังนี้

1. เตรียมบุคลากรที่จะทำหน้าที่เป็นผู้ตรวจประเมินภายใน (Internal auditor ISO 27001:2013) โดยผู้ตรวจประเมินเหล่านี้จะต้องมีความรู้และเข้าใจในข้อกำหนด(Requirements)ของ ISO 27001:2013 ว่าแต่ละข้อกำหนดมีเจตนารมณ์อย่างไร และควรจะดูหลักฐานอะไรเพื่อยืนยันว่าได้ปฏิบัติตามข้อกำหนดเหล่านั้น (ไม่เน้นจำข้อกำหนด ขอเพียงเข้าใจและทำ Checklist ล่วงหน้าก็ตรวจประเมินได้ระดับหนึ่งแล้ว)

2. กำหนดช่วงเวลาที่จะทำการตรวจประเมินไว้ล่วงหน้า โดยส่วนใหญ่นิยมตรวจปีละ 2 ครั้ง และมีการแจ้งกำหนดการตรวจประเมิน(Audit Schedule)ล่วงหน้าไปยังหน่วยงานที่อยู่ภายในขอบเขต(Scope) ของการทำระบบ เพื่อให้หน่วยงานได้รับทราบและเตรียมตัว เตรียมข้อมูลไว้รับการตรวจ

3. กำหนดขอบเขตของการตรวจประเมิน โดยกำหนดเป็นพื้นที่ หน่วยงาน หรือระบบงาน ให้ชัดเจน เพื่อจะได้วางแผนตรวจประเมินโดยพิจารณาถึงขนาดและความซับซ้อนของระบบงานหรือหน่วยงานที่ไปตรวจ รวมถึงการจัดเวลาและผู้ตรวจประเมินที่มีทักษะและความสามารถตรงกับภาระกิจได้อย่างเหมาะสม

4. หากเป็นการตรวจประเมินภายในครั้งแรก (มือใหม่หัดตรวจ) แนะนำให้นำ Gap Analysis ISO 27001:2013 มาเป็นแนวทางการวางแผน โดยให้list สิ่งที่รายงาน Gap Analysis ระบุว่ายังไม่ได้ทำ หรือยังไม่มี เช่น ยังไม่มีนโยบายความมั่นคงปลอดภัยของสารสนเทศเป็นลายลักษณ์อักษร นี่แหละคือสิ่งที่จะต้องFocus เวลาไปตรวจประเมิน ส่วนที่รายงานGap Analysis ระบุว่ามีแล้ว ก็ให้ Internal Auditor ไปตรวจว่ายังรักษาอยู่ได้หรือไม่ เป็นต้น

5. ถ้าเป็นการตรวจประเมินครั้งที่ 2เป็นต้นไป เวลาวางแผนตรวจประเมินควรดูผล Audit คราวก่อนด้วย จะได้รู้ว่าตอนตรวจประเมินความก่อนมีปัญหาอุปสรรคอะไร เช่น ในแผนให้เวลามากไป น้อยไป ผู้ตรวจถามตรงประเด็นมั้ย ฯลฯ นอกจากนี้ให้ดูว่าการตรวจประเมินคราวก่อนพบข้อบกพร่องที่หน่วยงานใดมากที่สุด ตรวจคราวนี้จะได้ไปทวนสอบดูว่าได้แก้ปัญหาเหล่านั้นเรียบร้อยหรือยัง แก้ตรงจุดได้ผลชงัดหรือไม่ เป็นต้น

6. วางแผนการตรวจประเมินภายใน (Internal Audit) โดยพิจารณาว่าแต่ละหน่วยงานจะถูกตรวจข้อกำหนด ISO 27001:2013ใดบ้าง จุดสำคัญคือผู้ที่วางแผนนี้จะต้องเข้าใจในข้อกำหนด และบริบทของหน่วยงานที่ถูกตรวจ ผลที่ได้คือ วางแผนตรวจประเมินภายในได้ครอบคลุม ครบถ้วนและกำหนดเวลาได้เหมาะสม

7. เมื่อจัดทำแผนการตรวจประเมินภายใน (Internal audit ISO 27001:2013) เรียบร้อยแล้ว ให้เสนอตัวแทนฝ่ายบริหาร (Management Representative) พิจารณาและแนะนำให้เสนอต่อ Top Management ลงนามในแผนให้มีผลบังคับใช้อย่างเป็นทางการ (ไม่มีใครกล้าเบี้ยว ถ้าไม่มีเหตุจำเป็นจริงๆ)

บทความนี้กล่าวถึงขั้นตอนการวางแผนตรวจประเมินเพื่อให้เข้าใจภาพรวมกว้าง เวลาที่วางแผนจริงจะต้องอ้างอิงระเบียบปฏิบัติ(Procedure) ซึ่งจะกำหนดหน้าที่ไว้อย่างชัดเจนว่าใครเป็นผู้จัดทำ Audit Plan ใช้แบบฟอร์มอะไร ใครเป็นผู้อนุมัติ และแจ้งหน่วยงานให้ทราบล่วงหน้าอย่างน้อยกี่วัน รวมถึงอาจกำหนดคุณสมบัติของผู้ตรวจประเมิน (ISO 27001:2013 Internal auditor) ไว้เป็นลายลักษณ์อักษรด้วย

 

แหล่งที่มา : www.club27001.com

 

 

Last modified on Monday, 17 September 2018