การตรวจประเมินภายในตามข้อกำหนดมาตรฐานสากลสำหรับระบบบริหารความมั่นคงปลอดภัยของสารสนเทศ
DOI:
https://doi.org/10.14456/jmu.2021.18คำสำคัญ:
การตรวจประเมินภายใน, ระบบบริหารความมั่นคงปลอดภัยของสารสนเทศ, ข้อกำหนดมาตรฐาน ISO/IEC 27001:2013บทคัดย่อ
ความก้าวหน้าของเทคโนโลยีสารสนเทศที่เพิ่มมากขึ้นและเข้ามามีบทบาทมากมายในองค์กรต่างๆ ทั้งภาครัฐและภาคเอกชน ซึ่งองค์กรต่างๆ มีข้อมูลที่มีความสำคัญ และข้อมูลที่เป็นความลับขององค์กร ส่งผลให้ความต้องการในการดูแลความมั่นคงปลอดภัยของสารสนเทศเพิ่มสูงขึ้น เพื่อป้องกันความเสียหายที่จะเกิดขึ้นจากภัยคุกคามในรูปแบบต่างๆ ที่สามารถบุกรุกโจมตีข้อมูลขององค์กร
มาตรฐาน ISO/IEC 27001 คือ มาตรฐานสากลสำหรับระบบบริหารความมั่นคงปลอดภัยสารสนเทศ (Information Security Management System: ISMS) ได้ถูกนำมาใช้เป็นมาตรฐานในการดำเนินงานขององค์กรต่างๆ เพื่อให้เกิดประสิทธิภาพในการปกป้องทรัพย์สินสารสนเทศขององค์กร และให้การดำเนินงานขององค์กรสอดคล้องกับกฎหมาย กฎระเบียบ ข้อบังคับ และข้อกำหนดต่างๆ ที่เกี่ยวข้อง โดยหลักการพื้นฐานประการหนึ่งของมาตรฐาน ISO/IEC 27001 คือ การตรวจประเมินภายใน (Internal Audits) ซึ่งการตรวจประเมินภายในเป็นการให้หลักประกันอย่างเที่ยงธรรมและการให้คำปรึกษาอย่างเป็นอิสระ เพิ่มคุณค่าและปรับปรุงการปฏิบัติงานขององค์กรให้ดีขึ้น การตรวจประเมินภายในช่วยให้องค์กรบรรลุถึงเป้าหมายที่วางไว้ ด้วยการประเมินและปรับปรุงประสิทธิภาพของกระบวนการบริหารความเสี่ยง การควบคุมและการกำกับดูแลอย่างเป็นระบบและเป็นระเบียบ
ดังนั้นผู้ตรวจประเมินภายในที่จะดำเนินการตรวจประเมินภายในตามมาตรฐาน ISO/IEC 27001 ต้องมีความรู้ในเรื่องข้อกำหนดมาตรฐาน (Requirements) และมาตรการควบคุม (Control) จัดการความมั่นคงปลอดภัยสารสนเทศของ ISO/IEC 27001:2013 และขั้นตอนการตรวจประเมินภายในตามข้อกำหนดมาตรฐานสากลสำหรับระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศ
References
ปริญญ์ เสรีพงศ์. (2556). 7 ขั้นตอนวางแผนตรวจประเมินภายใน (Internal Audit) ISO 27001:2013, สืบค้นเมื่อ 2 กันยายน 2562, จาก http://www.club27001.com/2014/12/7-Steps-to-planning-ISO-27001-2013-Audit-Plan.html
ปริญญ์ เสรีพงศ์. (2556). มาตรการ (Control) จัดการความมั่นคงปลอดภัยของสารสนเทศ ISO 27001:2013, สืบค้นเมื่อ 2 กันยายน 2562, จาก http://www.club27001.com/2014/02/ISO-27001-2013-Controls-requirement.html
ปริญญ์ เสรีพงศ์. (2557). รีวิว ISO 27001 : 2013 - ตอนที่1 พื้นฐานความมั่นคงปลอดภัยของสารสนเทศ. [เว็บบล็อก]. สืบค้นเมื่อ 6 พฤศจิกายน 2562, จาก http://www.club27001.com/2014/01/review-iso27001-2013-part1.html
ปริญญ์ เสรีพงศ์. (2557). รีวิว ISO 27001 :2013 - ตอนที่2 ความสำคัญของการประเมินความเสี่ยงสารสนเทศ. [เว็บบล็อก]. สืบค้นเมื่อ 6 พฤศจิกายน 2562, จาก http://www.club27001.com/2014/01/review-iso27001-2013-part1.html
วชิราพร ปัญญาพินิจนุกุร. (2552). มาตรฐานการรักษาความมั่นคงปลอดภัย ISO/IEC 27001 และ ISO/IEC 17799 ฉบับประเทศไทย. [เว็บบล็อก]. สืบค้นเมื่อ 6 พฤศจิกายน 2562, จาก http://oknation.nationtv.tv/blog/weblog/2009/02/27/entry-4
สุวันต์นา เสมอเนตร. (2562). การพัฒนาระบบบริหารความมั่นคงปลอดภัยสารสนเทศภายใต้มาตรฐาน ISO/IEC 27001:2013 ศูนย์ปฏิบัติการ Ministry of Public Health Internet Data Center (MOPH IDC). วารสารวิชาการสาธารณสุข, 28(1), 117-132.
ALshbiel, S.O. (2017). Internal Auditing Effectiveness Success Model: A Study on Jordanian Industrial Firms. Al al-Bayt University, Jordan.
Perry L. Johnson. (2018). ISO 27001, สืบค้นเมื่อ 2 กันยายน 2562, จาก http://www.pjrthailand.com/standards/iso-27001
Russell, J.P. (2007). The Internal Auditing Pocket Guide, Second Edition: Preparing, Performing, Reporting, and Follow-up. 2nd Ed. Milwaukee, WI: ASQ Quality Press.
Sriprapar Ngamhongtong. (2562). อะไรเปลี่ยนไปใน ISO/ IEC 27001 เวอร์ชั่นใหม่. สืบค้นเมื่อวันที่ 6 พฤศจิกายน 2562, จาก https://www.isotoyou.com/index.php/article/447-iso27001-dis-what-change.html