บทบาทและความสำคัญของผู้ตรวจสอบภายใน ระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ

Abstract

ในปัจจุบันเทคโนโลยีสารสนเทศได้มีการพัฒนาไปอย่างรวดเร็วและเข้ามามีบทบาทสำคัญในการดำเนินงานขององค์กรต่าง ๆ ทำให้การรักษาความปลอดภัยของระบบสารสนเทศได้กลายเป็นประเด็นที่สำคัญสำหรับองค์กรต่าง ๆ ในประเทศไทย และในหลาย ๆ ประเทศ เพื่อเป็นการป้องกันการเข้าถึงข้อมูลที่สำคัญต่าง ๆ จึงต้องปฏิบัติตามข้อกำหนดด้านความปลอดภัยสารสนเทศ อย่างไรก็ตามองค์กรต้องเผชิญกับปัญหาต่าง ๆ ในปรับปรุงระบบบริหารจัดการความมั่นคงปลอดภัยระบบสารสนเทศให้ได้ตามมาตรฐานข้อกำหนด ระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (Information Security Management System: ISMS) หรือ ISO/IEC 27001:2013 คือมาตรการในการรักษาความปลอดภัยระบบสารสนเทศ ถือเป็นหัวใจหลักในการบริหารจัดการระบบเทคโนโลยีสารสนเทศขององค์กร และได้ถูกนำมาใช้เป็นมาตรฐานในการบริหารจัดการด้านความมั่นคงปลอดภัยสารสนเทศอย่างแพร่หลาย ซึ่งหนึ่งในกระบวนการที่สำคัญที่ทำให้การดำเนินโครงการดังกล่าวประสบความสำเร็จ คือการตรวจสอบภายใน ซึ่งถือเป็นปัจจัยสำคัญของการควบคุมคุณภาพภายในขององค์กร ทำให้การตรวจประเมินมีความเป็นอิสระ และตรงตามวัตถุประสงค์ของการตรวจสอบภายใน ทำให้การควบคุม ติดตามการดำเนินกิจกรรมต่าง ๆ ให้มีประสิทธิภาพ และประสิทธิผล ดังนั้น ผู้ตรวจสอบภายในถือเป็นหัวใจสำคัญในการผลักดัน ส่งเสริมการปฏิบัติงานให้บรรลุวัตถุประสงค์และเป้าหมายขององค์กร ที่จะนำระบบบริหารจัดการความมั่นคงปลอดภัยระบบสารสนเทศมาใช้ เช่น ส่งเสริมให้เกิดกระบวนการกำกับดูแลที่ดี (Good Corporate Governance), ส่งเสริมให้เกิดการรายงานตามหน้าที่ความรับผิดชอบ (Accountability and Responsibility), ส่งเสริมให้เกิดประสิทธิภาพและประสิทธิผลของการปฏิบัติงาน (Efficiency and Effectiveness of Performance), เป็นมาตรการถ่วงดุลแห่งอำนาจ (Check and Balance) และ ให้สัญญาณเตือนภัยล่วงหน้า (Warning Signals) ของการประพฤติมิชอบหรือการทุจริตในองค์กร

Currently, the information technology had developed rapidly an important role in the operation of various organizations. The Information security had become an important issue for the various business in Thailand and other countries in the world. The information security prevents access to the necessary information. The organizations need to comply with data security requirements. However, the organizations faced many problems in improving the Information Security Management System. Information Security Management System ( ISMS) or ISO27001: 2013 is the measures for the security of information systems. It is key to managing an organization's information technology systems and has been widely used as a standard in the management of information security. The key to processes that made the project successful was the internal audit. The internal audit is an important part of quality control within the organization. The internal auditors achieve objectives of the internal audit and internal control of the activities was effectiveness. Therefore, internal auditors are the key to driving, encourage and promote the implementation of the objectives and goals for instance 1) To encourage good corporate governance. 2) To promote accountability and responsibility for reporting. 3) To encourage efficiency and effectiveness performance of the operation. 4) Check and balance Internal Controls and 5) Warning signals for misconduct or corruption in the organization.