9.1 การเฝ้าติดตาม ตรวจวัด วิเคราะห์ และประเมินผล
องค์กรต้องกำหนด
- a) สิ่งที่ต้องได้รับการเฝ้าติดตามและดรวจวัด ซึ่งรวมถึงกระบวนการและมาตรการควบคุมด้านความมั่นคงปลอดภัยสารสนเทศ
- b) วิธีการสำหรับการเฝ้าติดตาม ตรวจวัด วิเคราะห์ การประเมินผลที่เหมาะสม เพื่อให้มั่นใจว่าผลที่ได้ถูกต้อง วิธีการที่เลือกใช้ควรให้ผลลัพธ์ที่ถูกต้องที่สามารถเปรียบเทียบได้ และทำซ้ำได้
- c) เมื่อไรที่ต้องเฝ้าติดตามและวัดผล
- d) ใครต้องเฝ้าติดตามและวัดผล
- e) เมื่อไรที่ผลที่ได้จากการเฝ้าติดตามและวัดผลต้องนำมาวิเคราะห์และประเมินผล และ
- f) ใครต้องวิเคราะห์และประเมินผลดังกล่าว
เอกสารสารสนเทศจะต้องจัดทำเพื่อเป็นหลักฐานแสดงผลลัพธ์
องค์กรต้องประเมินประสิทธิภาพด้านความมั่นคงปลอดภัยสารสนเทศและประสิทธิภาพของระบบการจัดการด้านความมั่นคงปลอดภัยสารสนเทศ
9.2 การตรวจประเมินภายใน
9.2.1 ทั่วไป
องค์กรต้องดำเนินการตรวจประเมินภายในตามรอบระยะเวลาที่กำหนด เพื่อให้ข้อมูลที่แสดงว่าระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ:
a) สอดคล้องกับ
- ข้อกำหนดขององค์กรเอง สำหรับระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ;
- ข้อกำหนดของเอกสารฉบับนี้;
b) ได้นำไปปฏิบัติและรักษาให้คงไว้อย่างมีประสิทธิผล
9.2.2 โปรแกรมตรวจสอบภายใน
องค์กรต้องวางแผน จัดตั้ง นำไปปฏิบัติ และรักษาให้คงไว้ของโปรแกรมการตรวจประเมิน (Audit Programme) ซึ่งรวมถึงความถี่ วิธีการ หน้าที่ความรับผิดชอบ ข้อกำหนดของการวางแผน และการรายงาน
เมื่อจัดตั้งโปรแกรมการตรวจประเมินภายใน องค์กรต้องพิจารณาถึงความสำคัญของกระบวนการที่เกี่ยวข้องและผลการตรวจประเมินครั้งก่อน
องค์กรต้อง
- a) กำหนดเกณฑ์การตรวจประเมิน และขอบเขตสำหรับการตรวจประเมินแต่ละครั้ง
- b) คัดเลือกผู้ตรวจประเมินและดำเนินการตรวจประเมิน เพื่อให้มันใจได้ถึงความเป็นกลาง และความเป็นธรรมของกระบวนการตรวจประเมิน
- c) มั่นใจว่าผลที่ได้จากการตรวจประเมินได้นำไปรายงานต่อผู้บริหารที่เกี่ยวข้อง;
เอกสารสารสนเทศจะต้องจัดทำเพื่อเป็นหลักฐานของการดำเนินการตามโปรแกรมการตรวจประเมินและผลการตรวจประเมิน
9.3 การทบทวนของฝ่ายบริหาร
9.3.1 ทั่วไป
ผู้บริหารระดับสูงต้องทบทวนระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศขององค์กรตามรอบระยะเวลาที่กำหนด เพื่อให้มันใจถึงความเหมาะสม เพียงพอ และประสิทธิผล ของระบบ
9.3.2 สิ่งที่ผู้บริหารต้องพิจารณาทบทวน
การทบทวนของฝ่ายบริหาร ต้องรวมถึงการพิจารณา
- a) สถานะของการดำเนินงานจากการทบทวนของฝ่ายบริหารครั้งก่อน;
- b) การเปลี่ยนแปลงของประเด็นภายในและภายนอกที่เกี่ยวข้องกับระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ;
- c) การเปลี่ยนแปลงความต้องการและความคาดหวังของผู้มีส่วนได้ส่วนเสียที่เกี่ยวข้องกับระบบการจัดการความมั่นคงปลอดภัยสารสนเทศ;
- d) ผลตอบกลับจากประสิทธิภาพของความมั่นคงปลอดภัยสารสนเทศ รวมถึงแนวโน้ม;
1) ความไม่สอดคล้อง และการดำเนินการแก้ไข;
2) ผลลัพธ์ของการเฝ้าติดตามและวัดผล;
3) ผลลัพธ์จากการตรวจประเมิน;
4) ความสำเร็จของวัตถุประสงค์ความมั่นคงปลอดภัยสารสนเทศ; - e) ผลตอบกลับจากผู้มีส่วนได้ส่วนเสีย;
- f) ผลลัพธ์จากการประเมินความเสี่ยง และสถานะของแผนการจัดการความเสี่ยง;
- g) โอกาสสำหรับการปรับปรุงพัฒนาอย่างต่อเนื่อง
9.3.3 ผลการทบทวนของฝ่ายบริหาร
ผลลัพธ์การทบทวนของฝ่ายบริหาร ต้องรวมถึง การตัดสินใจที่เกี่ยวกับการปรับปรุงพัฒนาอย่างต่อเนื่อง และความจำเป็นใด ๆ เพื่อการเปลี่ยนแปลงต่อระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ
เอกสารสารสนเทศจะต้องจัดทำเพื่อเป็นหลักฐานแสดงผลลัพธ์การทบทวนของฝ่ายบริหาร
---
International Organization for Standardization. (2022). Information security, cybersecurity, and privacy protection – Information security management systems – Requirements (ISO/IEC 27001:2022). https://www.iso.org/standard/82875.html