Clause 9 – Performance evaluation (การประเมินผลการดำเนินการ)

9.1 การเฝ้าติดตาม ตรวจวัด วิเคราะห์ และประเมินผล

องค์กรต้องกำหนด

• a) สิ่งที่ต้องได้รับการเฝ้าติดตามและดรวจวัด ซึ่งรวมถึงกระบวนการและมาตรการควบคุมด้านความมั่นคงปลอดภัยสารสนเทศ
• b) วิธีการสำหรับการเฝ้าติดตาม ตรวจวัด วิเคราะห์ การประเมินผลที่เหมาะสม เพื่อให้มั่นใจว่าผลที่ได้ถูกต้อง วิธีการที่เลือกใช้ควรให้ผลลัพธ์ที่ถูกต้องที่สามารถเปรียบเทียบได้ และทำซ้ำได้
• c) เมื่อไรที่ต้องเฝ้าติดตามและวัดผล
• d) ใครต้องเฝ้าติดตามและวัดผล
• e) เมื่อไรที่ผลที่ได้จากการเฝ้าติดตามและวัดผลต้องนำมาวิเคราะห์และประเมินผล และ
• f) ใครต้องวิเคราะห์และประเมินผลดังกล่าว

เอกสารสารสนเทศจะต้องจัดทำเพื่อเป็นหลักฐานแสดงผลลัพธ์

องค์กรต้องประเมินประสิทธิภาพด้านความมั่นคงปลอดภัยสารสนเทศและประสิทธิภาพของระบบการจัดการด้านความมั่นคงปลอดภัยสารสนเทศ

9.2 การตรวจประเมินภายใน

9.2.1 ทั่วไป

องค์กรต้องดำเนินการตรวจประเมินภายในตามรอบระยะเวลาที่กำหนด เพื่อให้ข้อมูลที่แสดงว่าระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ:

a) สอดคล้องกับ

1. ข้อกำหนดขององค์กรเอง สำหรับระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ;
2. ข้อกำหนดของเอกสารฉบับนี้;

b) ได้นำไปปฏิบัติและรักษาให้คงไว้อย่างมีประสิทธิผล

9.2.2 โปรแกรมตรวจสอบภายใน

องค์กรต้องวางแผน จัดตั้ง นำไปปฏิบัติ และรักษาให้คงไว้ของโปรแกรมการตรวจประเมิน (Audit Programme) ซึ่งรวมถึงความถี่ วิธีการ หน้าที่ความรับผิดชอบ ข้อกำหนดของการวางแผน และการรายงาน

เมื่อจัดตั้งโปรแกรมการตรวจประเมินภายใน องค์กรต้องพิจารณาถึงความสำคัญของกระบวนการที่เกี่ยวข้องและผลการตรวจประเมินครั้งก่อน

องค์กรต้อง

• a) กำหนดเกณฑ์การตรวจประเมิน และขอบเขตสำหรับการตรวจประเมินแต่ละครั้ง
• b) คัดเลือกผู้ตรวจประเมินและดำเนินการตรวจประเมิน เพื่อให้มันใจได้ถึงความเป็นกลาง และความเป็นธรรมของกระบวนการตรวจประเมิน
• c) มั่นใจว่าผลที่ได้จากการตรวจประเมินได้นำไปรายงานต่อผู้บริหารที่เกี่ยวข้อง;

เอกสารสารสนเทศจะต้องจัดทำเพื่อเป็นหลักฐานของการดำเนินการตามโปรแกรมการตรวจประเมินและผลการตรวจประเมิน

9.3 การทบทวนของฝ่ายบริหาร

9.3.1 ทั่วไป

ผู้บริหารระดับสูงต้องทบทวนระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศขององค์กรตามรอบระยะเวลาที่กำหนด เพื่อให้มันใจถึงความเหมาะสม เพียงพอ และประสิทธิผล ของระบบ

9.3.2 สิ่งที่ผู้บริหารต้องพิจารณาทบทวน

การทบทวนของฝ่ายบริหาร ต้องรวมถึงการพิจารณา

• a) สถานะของการดำเนินงานจากการทบทวนของฝ่ายบริหารครั้งก่อน;
• b) การเปลี่ยนแปลงของประเด็นภายในและภายนอกที่เกี่ยวข้องกับระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ;
• c) การเปลี่ยนแปลงความต้องการและความคาดหวังของผู้มีส่วนได้ส่วนเสียที่เกี่ยวข้องกับระบบการจัดการความมั่นคงปลอดภัยสารสนเทศ;
• d) ผลตอบกลับจากประสิทธิภาพของความมั่นคงปลอดภัยสารสนเทศ รวมถึงแนวโน้ม;
       1) ความไม่สอดคล้อง และการดำเนินการแก้ไข;
       2) ผลลัพธ์ของการเฝ้าติดตามและวัดผล;
       3) ผลลัพธ์จากการตรวจประเมิน;
       4) ความสำเร็จของวัตถุประสงค์ความมั่นคงปลอดภัยสารสนเทศ;
• e) ผลตอบกลับจากผู้มีส่วนได้ส่วนเสีย;
• f) ผลลัพธ์จากการประเมินความเสี่ยง และสถานะของแผนการจัดการความเสี่ยง;
• g) โอกาสสำหรับการปรับปรุงพัฒนาอย่างต่อเนื่อง

9.3.3 ผลการทบทวนของฝ่ายบริหาร

ผลลัพธ์การทบทวนของฝ่ายบริหาร ต้องรวมถึง การตัดสินใจที่เกี่ยวกับการปรับปรุงพัฒนาอย่างต่อเนื่อง และความจำเป็นใด ๆ เพื่อการเปลี่ยนแปลงต่อระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ

เอกสารสารสนเทศจะต้องจัดทำเพื่อเป็นหลักฐานแสดงผลลัพธ์การทบทวนของฝ่ายบริหาร

>>> ISO/IEC 27001:2022 มาตรฐานระบบบริหารความมั่นคงปลอดภัยสารสนเทศ ความมั่นคงปลอดภัยไซเบอร์ และการปกป้องความเป็นส่วนตัว

 --- 

International Organization for Standardization. (2022). Information security, cybersecurity, and privacy protection – Information security management systems – Requirements (ISO/IEC 27001:2022). https://www.iso.org/standard/82875.html