Showing posts with label Clause 9. Show all posts
Showing posts with label Clause 9. Show all posts

Saturday, November 19, 2022

Clause 9 – Performance evaluation (การประเมินผลการดำเนินการ)


9.1 การเฝ้าติดตาม ตรวจวัด วิเคราะห์ และประเมินผล

องค์กรต้องกำหนด

  • a) สิ่งที่ต้องได้รับการเฝ้าติดตามและดรวจวัด ซึ่งรวมถึงกระบวนการและมาตรการควบคุมด้านความมั่นคงปลอดภัยสารสนเทศ
  • b) วิธีการสำหรับการเฝ้าติดตาม ตรวจวัด วิเคราะห์ การประเมินผลที่เหมาะสม เพื่อให้มั่นใจว่าผลที่ได้ถูกต้อง วิธีการที่เลือกใช้ควรให้ผลลัพธ์ที่ถูกต้องที่สามารถเปรียบเทียบได้ และทำซ้ำได้
  • c) เมื่อไรที่ต้องเฝ้าติดตามและวัดผล
  • d) ใครต้องเฝ้าติดตามและวัดผล
  • e) เมื่อไรที่ผลที่ได้จากการเฝ้าติดตามและวัดผลต้องนำมาวิเคราะห์และประเมินผล และ
  • f) ใครต้องวิเคราะห์และประเมินผลดังกล่าว

เอกสารสารสนเทศจะต้องจัดทำเพื่อเป็นหลักฐานแสดงผลลัพธ์

องค์กรต้องประเมินประสิทธิภาพด้านความมั่นคงปลอดภัยสารสนเทศและประสิทธิภาพของระบบการจัดการด้านความมั่นคงปลอดภัยสารสนเทศ


9.2 การตรวจประเมินภายใน

9.2.1 ทั่วไป

องค์กรต้องดำเนินการตรวจประเมินภายในตามรอบระยะเวลาที่กำหนด เพื่อให้ข้อมูลที่แสดงว่าระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ:

a) สอดคล้องกับ

  1. ข้อกำหนดขององค์กรเอง สำหรับระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ;
  2. ข้อกำหนดของเอกสารฉบับนี้;

b) ได้นำไปปฏิบัติและรักษาให้คงไว้อย่างมีประสิทธิผล


9.2.2 โปรแกรมตรวจสอบภายใน

องค์กรต้องวางแผน จัดตั้ง นำไปปฏิบัติ และรักษาให้คงไว้ของโปรแกรมการตรวจประเมิน (Audit Programme) ซึ่งรวมถึงความถี่ วิธีการ หน้าที่ความรับผิดชอบ ข้อกำหนดของการวางแผน และการรายงาน

เมื่อจัดตั้งโปรแกรมการตรวจประเมินภายใน องค์กรต้องพิจารณาถึงความสำคัญของกระบวนการที่เกี่ยวข้องและผลการตรวจประเมินครั้งก่อน

องค์กรต้อง

  • a) กำหนดเกณฑ์การตรวจประเมิน และขอบเขตสำหรับการตรวจประเมินแต่ละครั้ง
  • b) คัดเลือกผู้ตรวจประเมินและดำเนินการตรวจประเมิน เพื่อให้มันใจได้ถึงความเป็นกลาง และความเป็นธรรมของกระบวนการตรวจประเมิน
  • c) มั่นใจว่าผลที่ได้จากการตรวจประเมินได้นำไปรายงานต่อผู้บริหารที่เกี่ยวข้อง;

เอกสารสารสนเทศจะต้องจัดทำเพื่อเป็นหลักฐานของการดำเนินการตามโปรแกรมการตรวจประเมินและผลการตรวจประเมิน


9.3 การทบทวนของฝ่ายบริหาร

9.3.1 ทั่วไป

ผู้บริหารระดับสูงต้องทบทวนระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศขององค์กรตามรอบระยะเวลาที่กำหนด เพื่อให้มันใจถึงความเหมาะสม เพียงพอ และประสิทธิผล ของระบบ


9.3.2 สิ่งที่ผู้บริหารต้องพิจารณาทบทวน

การทบทวนของฝ่ายบริหาร ต้องรวมถึงการพิจารณา

  • a) สถานะของการดำเนินงานจากการทบทวนของฝ่ายบริหารครั้งก่อน;
  • b) การเปลี่ยนแปลงของประเด็นภายในและภายนอกที่เกี่ยวข้องกับระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ;
  • c) การเปลี่ยนแปลงความต้องการและความคาดหวังของผู้มีส่วนได้ส่วนเสียที่เกี่ยวข้องกับระบบการจัดการความมั่นคงปลอดภัยสารสนเทศ;
  • d) ผลตอบกลับจากประสิทธิภาพของความมั่นคงปลอดภัยสารสนเทศ รวมถึงแนวโน้ม;
         1) ความไม่สอดคล้อง และการดำเนินการแก้ไข;
         2) ผลลัพธ์ของการเฝ้าติดตามและวัดผล;
         3) ผลลัพธ์จากการตรวจประเมิน;
         4) ความสำเร็จของวัตถุประสงค์ความมั่นคงปลอดภัยสารสนเทศ;
  • e) ผลตอบกลับจากผู้มีส่วนได้ส่วนเสีย;
  • f) ผลลัพธ์จากการประเมินความเสี่ยง และสถานะของแผนการจัดการความเสี่ยง;
  • g) โอกาสสำหรับการปรับปรุงพัฒนาอย่างต่อเนื่อง


9.3.3 ผลการทบทวนของฝ่ายบริหาร

ผลลัพธ์การทบทวนของฝ่ายบริหาร ต้องรวมถึง การตัดสินใจที่เกี่ยวกับการปรับปรุงพัฒนาอย่างต่อเนื่อง และความจำเป็นใด ๆ เพื่อการเปลี่ยนแปลงต่อระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ

เอกสารสารสนเทศจะต้องจัดทำเพื่อเป็นหลักฐานแสดงผลลัพธ์การทบทวนของฝ่ายบริหาร



 --- 


International Organization for Standardization. (2022). Information security, cybersecurity, and privacy protection – Information security management systems – Requirements (ISO/IEC 27001:2022). https://www.iso.org/standard/82875.html