การตรวจประเมินภายในตามข้อกำหนดมาตรฐานสากลสำหรับระบบบริหารความมั่นคงปลอดภัยของสารสนเทศ

Abstract

ความก้าวหน้าของเทคโนโลยีสารสนเทศที่เพิ่มมากขึ้นและเข้ามามีบทบาทมากมายในองค์กรต่างๆ ทั้งภาครัฐและภาคเอกชน ซึ่งองค์กรต่างๆ มีข้อมูลที่มีความสำคัญ และข้อมูลที่เป็นความลับขององค์กร ส่งผลให้ความต้องการในการดูแลความมั่นคงปลอดภัยของสารสนเทศเพิ่มสูงขึ้น เพื่อป้องกันความเสียหายที่จะเกิดขึ้นจากภัยคุกคามในรูปแบบต่างๆ ที่สามารถบุกรุกโจมตีข้อมูลขององค์กรมาตรฐาน ISO/IEC 27001 คือ มาตรฐานสากลสำหรับระบบบริหารความมั่นคงปลอดภัยสารสนเทศ (Information Security Management System: ISMS) ได้ถูกนำมาใช้เป็นมาตรฐานในการดำเนินงานขององค์กรต่างๆ เพื่อให้เกิดประสิทธิภาพในการปกป้องทรัพย์สินสารสนเทศขององค์กร และให้การดำเนินงานขององค์กรสอดคล้องกับกฎหมาย กฎระเบียบ ข้อบังคับ และข้อกำหนดต่างๆ ที่เกี่ยวข้อง โดยหลักการพื้นฐานประการหนึ่งของมาตรฐาน ISO/IEC 27001 คือ การตรวจประเมินภายใน (Internal Audits) ซึ่งการตรวจประเมินภายในเป็นการให้หลักประกันอย่างเที่ยงธรรมและการให้คำปรึกษาอย่างเป็นอิสระ เพิ่มคุณค่าและปรับปรุงการปฏิบัติงานขององค์กรให้ดีขึ้น การตรวจประเมินภายในช่วยให้องค์กรบรรลุถึงเป้าหมายที่วางไว้ ด้วยการประเมินและปรับปรุงประสิทธิภาพของกระบวนการบริหารความเสี่ยง การควบคุมและการกำกับดูแลอย่างเป็นระบบและเป็นระเบียบ ดังนั้นผู้ตรวจประเมินภายในที่จะดำเนินการตรวจประเมินภายในตามมาตรฐาน ISO/IEC 27001 ต้องมีความรู้ในเรื่องข้อกำหนดมาตรฐาน (Requirements) และมาตรการควบคุม (Control) จัดการความมั่นคงปลอดภัยสารสนเทศของ ISO/IEC 27001:2013 และขั้นตอนการตรวจประเมินภายในตามข้อกำหนดมาตรฐานสากลสำหรับระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศ

Currently, the advancement of information technology become backbones in various organizations. There are important information and confidential information about the organization which affecting increased demand for information security from various forms of threats that can attack an organization's information. ISO/IEC 27001 is an international standard for Information Security Management System (ISMS). The ISO/IEC 27001 has been applied as a standard in operations of various organizations in order to be effective in protecting the information assets of the organization and ensure that the operations of the organization comply with the laws, rules, regulations and various requirements. Internal audit is the basic principles of the ISO/IEC 27001, conducting internal audits is guaranteeing along with independent consulting. The internal audit becomes enrichment and improves the operations of the organization. In addition, an internal audit helps the organization achieve the goals, onward to evaluating and improving the efficiency of the risk management process Systematic and orderly control and supervision. The internal auditors will be conducting internal audits in accordance with requirements and controls with ISO/IEC 27001:2013 standard. The internal auditor exceptional skills and knowledge in internal audit procedures.