Information Security Management System (isms) : Iso 27001
This document was uploaded by user and they confirmed that they have the permission to share it. If you are author or own the copyright of this book, please report to us by using this DMCA report form. Report DMCA
Overview
Download & View Information Security Management System (isms) : Iso 27001 as PDF for free.
More details
- Words: 1,227
- Pages: 8
Information Security Management Systems (ISMS) : ISO 27001 ในธุรกิจ IT โดยทั่วไปจะประกอบดวย Information Security อยูในทั้ง 3 ระดับไดแก ระดับที่ 1 คือ Organizational Security ซึ่งเปนระดับที่อยูบนสุดประกอบดวย การจัดการ ความปลอดภัยของระบบ, มาตราฐาน ISO/IEC 17799:2005, มาตราฐาน ISO/IEC 27001:2005, ITBPM, GSM Audit/TU4 เปนตน ระดับที่ 2 คือ IT System Security ซึ่งเปนระดับที่อยูตรงกลางประกอบดวย • การประเมินระบบIT และ Certification • ความปลอดภัยของเครือขาย ระบบปฏิบัติการ Application และ Physical • SQ (System Qualification), SigG ระดับที่ 3 คือ Product Security ซึ่งเปนระดับที่อยูลางสุดประกอบดวย • การทดสอบ ประเมิน และ รับรองผลิตภัณฑ • Software และ Hardware • มาตราฐาน ISO 15408 (common criteria) ขอมูล (Information) ถือเปนทรัพยสิน(asset) ที่สําคัญตอธุรกิจขององคกรที่ตองไดรับการปกปองและการรักษาความ ปลอดภัยของขอมูลตองคํานึงถึง 3 ประเด็นหลักคือ Confidentiality Integrity และ Availability โดยอาจรวมถึง authenticity accountability non-repudiation และ reliability ดวย ISO/IEC 17799:2005 คือมาตราฐานสําหรับการจัดการความปลอดภัยของขอมูล (Information Security Management) ที่ ประกอบดวยกระบวนการ (Procedure) มาตรการ (Measure) และ ขอเสนอแนะของมาตรการ (Recommendation of measure) ซึ่ง ISO/IEC 27001:2005 ประกอบดวย 133 controls (11 detailed control clauses และ 39 control objectives) ISO/IEC 27001 Framework ประกอบดวย Plan Do Check และ Act. • Plan ตรงกับการสราง ISMS (ขอ 4.2.1) • Do ตรงกับการ Implement และ Operate ISMS (ขอ4.2.2) • Check ตรงกับการตรวจสอบและ Review ISMS (ขอ4.2.3) • Act ตรงกับการบํารุงรักษาและปรับปรุง ISMS (ขอ4.2.4) หัวขออบรมไดกลาวถึง กระบวนในการจัดการดานความเสี่ยง ซึ่งรวมถึง การประเมินความเสี่ยง, การจัดการบริหารความ เสี่ยง และการจัดทําเอกสาร statement of applicability ในการประเมินความเสี่ยงสามารถเลือกใชแนวทางไดหลายวิธีซึ่งวิธีที่เลือกใช นั้นจะตองเปนวิธีที่สามารถเปรียบเทียบไดและสามารถทําไดใหมเพื่อใหการปรับปรุงประสิทธภาพเปนไปอยางตอเนื่อง ในสวนของการ จัดเตรียมเอกสารของการประเมินความเสี่ยงนั้นจะตองประกอบไปดวย 1. การกําหนดความเสี่ยง (Risk identification) - สินทรัพย (assests)/ ภัยคุกคาม (threats)/ ชองโหว (vulnerabilities) - ผลกระทบที่เกิดขึ้นจากความเสี่ยง (risk impact) 2. การประเมินความเสี่ยง (Assessment of the risks)
1/8
Information Security Management Systems (ISMS) : ISO 27001 - ประเมินจํานวนขั้นของความเสี่ยง (estimate the levels) - ประเมินเกณทของความเสี่ยงทีย่ อมรับได (acceptable level of risk) 3. การบริหารความเสี่ยง (Treatment of the risks) - เลือกใชการจัดการ (controls) ที่เหมาะสม เพื่อใหสามารถควบคุมความเสี่ยงใหอยูในเกณทที่กําหนด เกณฑในการยอมรับความเสี่ยงและขั้นของความเสี่ยงที่ยอมรับไดนั้นจะตองถูกกําหนดอยางชัดเจน กอนการจัดทําเอกสาร statement of applicability ซึ่งจะกําหนด (i) การจัดการ (controls) ที่เลือกใช และเหตุผลของการเลือก (ii) การจัดการ (controls) ที่ใช อยูในปจจุบัน (iii) การจัดการ (controls) ที่ไมไดเลือกใช จะตองระบุเหตุผลและเกณฑในการไมเลือกใชการจัดการนั้นๆ หัวขออบรมไดกลาวถึงประเภทของการตรวจสอบ (audit), หนวยงานที่เกีย่ วของในการรับรองมาตราฐานระบบที่เกี่ยวของ รวมถึงมาตราฐาน ISMS, หลักการในการทํา audit, กระบวนการและขั้นตอนในการทํา audit, คุณสมบัติของผูทําการ audit หลักการ สําคัญในการทํา audit ตามมาตราฐาน ISMS นั้นเพื่อที่จะยืนยันหลักฐานของการมีอยูจริงของการปฏิบัติตาม ISMS ในองคกร และ หากมีการปฏิบัติแลวนั้นจะตองตรวจสอบวากระบวนการตางๆ ตาม ISMS ที่ใชปฏิบตั ิมีประสิทธิภาพดวยหรือไม ในการทํา audit นั้นจะมีอยูสองขั้นตอนหลักคือ ในเฟสแรกการ audit จะทําการตรวจสอบเอกสาร (document review) และ เตรียมพรอมในการทําการ audit ณ.สถานที่จริง (on-site audit) ในเฟสที่สองการ audit จะทํา on-site audit และเตรียมเอกสารขอ การรับรอง และจัดสง รายงานการตรวจสอบ (audit report) กอนที่จะเริ่มทําการ audit นั้นในขั้นตนทางผูตรวจสอบจะตองทําการวาง แผนการตรวจสอบ เพื่อเลือกหัวหนาคณะตรวจสอบ (lead auditor), กําหนดจุดประสงคของการตรวจสอบ, กําหนดขอบเขตและ เกณฑในการตรวจสอบ, กําหนดความเปนไปไดในการดําเนินการตรวจสอบ, เลือกคณะผูตรวจสอบ (auditor), ติดตอประสานงานกับ ผูที่จะเขาดําเนินการตรวจสอบ หลังจากการวางแผนงานดังกลาวแลวจึงจะสามารถเริ่มทําการ audit ในสองเฟสได ผูตรวจสอบจะตองจัดเตรียม Audit checklist และ Audit questionnaire • Audit checklist o เพื่อเปนการเตรียมความพรอมสําหรับการตรวจสอบ o เพื่อยืนยันความลึกซึ้งและเปนแนวทางในการตรวจสอบ o ควรจะตองสะทอนสภาพแวดลอมและขอบเขตของการตรวจสอบ o ตองไมสามารถคาดเดาลวงหนาได o ควรตองเปนคําถาม “ถูก” หรือ “ผิด” • Audit questionnaire o เพื่อเสริมกับ Audit checklist o เพื่อพิสูจนคําตอบของ Checklist วาเปนจริง o เปนคําถามเปด ขึ้นตนดวยคําเชน How, Where, Who, When, Why, What, What if ในการพัฒนาระบบ ISMS จะตองประกอบไปดวยขบวนการ (Process) มากมายกลาวคือ PROCESS คือกลุมของงาน (activities) ที่เกี่ยวของและมีความสัมพันธกันเพื่อแปลจาก input เปน output โดย output จะวัดไดเปนผลลัพธ (Effectiveness) ซึ่งวัด จากวางานนั้นไดผลตามที่คาดหมายหรือไม และผลสัมฤทธิ์ (Efficiency) ซึ่งวัดจากวาผลลัพธที่ไดใชทรัพยากรคุมคาหรือไม
2/8
Information Security Management Systems (ISMS) : ISO 27001 Process จะเนนความสําคัญของ 1. ความเขาใจความตองการของ Information security และความจําเปนในการสรางนโยบาย (Policy) และเปาหมาย (Objective) 2. Implement และ operate control ตางๆ เพื่อบริหารความเสี่ยงองคกร 3. Monitor และ Review ประสิทธิภาพ (Performance) และผลลัพธ (Effectiveness) ของ ISMS 4. Continual improvement ตามตัวชี้วัด การ Audit ในขั้นตอนที่สอง (Stage two audit) จุดประสงคเพื่อ 1. สรางความมั่นใจวาองคกรปฎิบัติตามนโยบาย (Policy) จุดประสงค (Objective) และขั้นตอน (Procedure) ที่ทําขึ้น 2. สรางความมั่นใจวา ISMS เปนไปตามความตองการของมาตรฐาน ISMS และเอกสารบังคับ (Normative document: Annex A) และบรรลุจุดประสงคของนโยบายขององคกร Stage two audit มุงเนนเรื่อง 1. การประเมินความเสี่ยงและการออกแบบผลลัพธของ ISMS 2. Statement of Applicability (SOA) 3. จุดประสงค (Objective) และเปาหมาย (target) 4. Monitoring, measuring, reporting และ reviewing เปรียบเทียบกับจุดประสงค และเปาหมาย 5. Security และ management review 6. ความรับผิดชอบของผูบริหารตอนโยบายความปลอดภัย 7. ความสัมพันธระหวางนโยบาย การประเมินความเสี่ยง จุดประสงคและเปาหมาย ความรับผิดชอบ โปรแกรม ขั้นตอน ขอมูลประสิทธิภาพ (performance data) และ Security review สวนประกอบของทีมงาน Audit และความรับผิดชอบ 1. Lead Auditor a. เปนผูนําทีม Audit b. รับผิดชอบตอการ Audit c. ตัดสินใจตอการสรุปผล Audit 2. Auditor(s) a. ชวยเหลือ Lead Auditor b. ดําเนินการ Audit งานที่ไดรับมอบหมาย 3. Expert a. ชวยเหลือใหขอมูลเฉพาะทางตางๆ 4. Observer สวนประกอบของทีมงาน Auditee และความรับผิดชอบ 1. Top management
3/8
Information Security Management Systems (ISMS) : ISO 27001 2. Representative (MR) a. เปนตัวกลางในการสื่อสาร b. ยอมรับการตัดสินใจของทีม Audit 3. Guides a. นําทีม Audit ในการเดินทางตรวจสอบหนวยงานตางๆ b. สังเกตุการณ Audit 4. Head of Department 5. Staff 6. Consultant การประชุม (Meeting) 1. Opening meeting a. เพื่อยืนยันแผนการตรวจสอบและขอบเขตของการตรวจสอบ b. บรรยายสรุปกิจกรรมการตรวจสอบ c. ใหโอกาส Auditee ในการซักถาม d. ยืนยันวัน เวลา การประชุม Closing meeting 2. Team meeting a. เฉพาะสําหรับสมาชิกทีม Audit b. ทบทวนความคืบหนา c. รายงาน Noncomformity และคําแนะนํา d. วางแผนสําหรับการ Audit ตอไป e. แกปญหาความขัดแยงภายในทีม 3. Daily review meeting with auditee a. ไมเกิน 15 ถึง 20 นาที b. ควรจะจัดขึ้นทุกสิ้นวัน c. ทบทวน Nonconformity d. แกไขปญหา e. แสดงความคืบหนาของการตรวจสอบ f. ชี้แจงจุดที่เขาใจผิดระหวางกัน 4. Final team meeting a. ทําความเขาใจกับสิ่งที่ตรวจพบ b. จัดชนิดและประเภทสิ่งที่ตรวจพบ c. เตรียมการสําหรับ Closing meeting d. เตรียมรายงาน e. ทําความตกลงกับผลของการ Audit
4/8
Information Security Management Systems (ISMS) : ISO 27001 Collection Information and Audit Skills เริ่มตนจะกลาวถึงกระบวนการที่เกี่ยวของกับการรวบรวมขอมูล ขณะทําการ on-site audit (audit) จนถึงการสรุปผลการ audit โดยมีทั้งหมด 5 ขั้นตอนไดแก 1) การระบุแหลงขอมูล 2) การรวบรวมขอมูลโดยการสุม และตรวจสอบขอมูลที่ได 3) การประเมินผลโดยใชเกณฑการ audit ที่ตั้งไว 4) การทบทวนผลที่ได 5) การสรุป สําหรับวิธีการรวบรวมขอมูลนั้นหลักๆ แลวไดแก 1) สัมภาษณพนักงานตําแหนงสําคัญๆ 2) ตรวจดูเอกสารตางๆ 3) ตรวจผลของกิจกรรมตางๆ เชน log file 4) สังเกตสถานที่ หรือกิจกรรมที่เกิดขึ้น ทักษะของการ audit ที่สําคัญคือ การสุมตัวอยางเพื่อการ audit โดย auditor ตองสุมตัวอยางใหเพียงพอ เพื่อใหมั่นใจไดวา auditee ทําตาม standard ซึ่งไมมีหลักเกณฑของการสุมที่แนนอนตายตัว สวนใหญขึ้นอยูกับประสบการณของ auditor และผลที่ได จากการสุม ในกรณี ที่ auditor ตอง auditor ลูกคาที่มีหลาย site ลําดับของ site ที่จะสุมตัวอยางขึ้นอยูกับ auditor พิจารณาเทานั้น ตอมา จะเปนคําแนะนําสําหรับ วิธกี ารสัมภาษณ ซึ่งสรุปคราวๆไดวา auditor ตองทําใหผูถูกสัมภาษณไมตกอยูในสถาน การณตึงเครียด และควรใชเวลาไมมากนักสําหรับการสัมภาษณ top management นั้นคือตองถามที่สําคัญๆ และเปนภาพรวมของ บริษัทเทานั้น สิ่งสําคัญของการสัมภาษณคือการตั้งคําถาม auditor ตองวางแผนในการตั้งคําถาม เพื่อใหไดคําตอบ ที่มีขอมูลครบถวน และมีประสิทธิภาพ และสิ่งที่ขาดไมไดในการ audit คือการจดขอมูลที่ไดรับขณะ audit ลงบนกระดาษ Audit Finding and Nonconformity ภาพรวมของบทนี้ จะกลาวถึง สิ่งที่พบจากการ Audit (audit finding) ในบทที่แลวไดกลาวถึงวิธีการใหไดมาซึงขอมูลขณะ ทําการ audit เมื่อ auditor ไดขอมูลมาแลว สิ่งตอไปที่ตองทําคือ การนําขอมูลมาประมวลผล เพื่อหาหลักฐานที่อิงกับขอมูลจริง ซึ่งตอง ใชตอนเขียน audit report Audit finding สามารถแบงไดเปน 4 ระดับไดแก 1) Conformity คือพบวาลูกคาทําตาม standard ซึ่งการจะสรุปในลักษณะ นี้ไดตองมีหลักฐาน ขอมูลยืนยันที่แนนอน 2) Nonconformity 3) Observation คือระดับที่ลูกคาจําเปนตองดูตรวจตราตอไป เพราะ อาจจะเกิดสิ่งที่ขัดกับ standard ไดในอนาคตอันใกล 4) Opportunities for Improvement หรือระดับที่มีแตคําชี้แนะ สําหรับระดับ Nonconformity สรุปคือการที่ management system ขาดบางสวนที่สําคัญของ standard ไป หรือมีการ implement เพื่อใหไดตรงตาม standard แตไมสําเร็จ ซึ่งระดับนี้แบงยอยไดเปน Major และ Minor
Writing Nonconformity Report (NCR) ในกรณีที่ auditor พบวา audit finding มี nonconformity เกิดขึ้น auditor ตองแจงใหบุคคลที่เกี่ยวของรับทราบ โดยผาน ทาง Nonconformity Report (NCR) ซึ่งการเขียน NCR นี้จะมีแบบฟอรมที่ชัดเจน ซึ่งไดระบุรายละเอียดสําคัญๆ ที่ auditor ตองปอน ไว เชน ระดับของ nonconformity วันที่ของตัว report และ clause number ของ standard ที่เกี่ยวของกับ nonconformity สําหรับรายละเอียดของ nonconformity ที่เขียนไวใน NCR ตองบอกไดวาเกิดอะไรที่ขัดกับ standard ขึ้น เกิดขึ้น ณ ที่ไหน ใน ISMS ทําไมจึงขัดกับ standard และขัดกับ standard ขออะไร
5/8
Information Security Management Systems (ISMS) : ISO 27001 เราสามารถสรุปขั้นตอนสรุปทายของการ Audit ไดดังนี้ ITEM
Description / Objectives 1 2 3 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11.
6/8
Preparing Audit Conclusion Review the audit information finding Audit conclusions agreement Prepare recommendation Audit Conclusion The extent of conformity of the management system review process, implement, maintenance, improvement with the audit criteria Matrix of Nonconformities and summary report Closing Meeting Content of Closing Meeting Introductions Records of attendance Thank for …. Restate objectives and scope Limitation of audit Report Findings Statement of confidentiality Summary of Nonconformance reports(NCR) Recommendation Corrective action and follow-up (with agreed timescales) Questions
Information Security Management Systems (ISMS) : ISO 27001 ITEM
Description / Objectives 4 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16. 17. 18. 5 6 -
7/8
Audit Report The audit report should provide a complete, accurate, concise and clear record of the audit, and should include or refer to the following: the audit objectives; the audit scope, particularly identification of the organizational and functional units or processes audited and the time period covered; identification of the audit client; identification of audit team; the date and place of on-site audit activities; the audit criteria; the audit findings; the audit conclusions; the audit plan; a list of auditee representatives; The audit report may also or refer to the following: a summary of the audit process, the uncertainty, the obstacles encountered that could decrease the reliability of the audit conclusion; confirmation that the audit objectives have been accomplished within the audit scope in accordance with the audit plan; No covered area; any unresolved diverging opinions between audit team and auditee; recommendations for improvement; follow-up action plan agreement; a statement of the confidential nature of contents; the distribution list of the audit report. Corrective / Preventive process Initiation process Action process Close Out process Follow up action ISMS Certification Audit Lifecycle of third party Audit ISO 27001 Certification Audit
Information Security Management Systems (ISMS) : ISO 27001 ITEM
Description / Objectives -
8/8
ISMS Certification process Surveillance assessment Repeat Audit (Triennial Re-assessment) in 3 years issue Certificate Cancellation
1/8
Information Security Management Systems (ISMS) : ISO 27001 - ประเมินจํานวนขั้นของความเสี่ยง (estimate the levels) - ประเมินเกณทของความเสี่ยงทีย่ อมรับได (acceptable level of risk) 3. การบริหารความเสี่ยง (Treatment of the risks) - เลือกใชการจัดการ (controls) ที่เหมาะสม เพื่อใหสามารถควบคุมความเสี่ยงใหอยูในเกณทที่กําหนด เกณฑในการยอมรับความเสี่ยงและขั้นของความเสี่ยงที่ยอมรับไดนั้นจะตองถูกกําหนดอยางชัดเจน กอนการจัดทําเอกสาร statement of applicability ซึ่งจะกําหนด (i) การจัดการ (controls) ที่เลือกใช และเหตุผลของการเลือก (ii) การจัดการ (controls) ที่ใช อยูในปจจุบัน (iii) การจัดการ (controls) ที่ไมไดเลือกใช จะตองระบุเหตุผลและเกณฑในการไมเลือกใชการจัดการนั้นๆ หัวขออบรมไดกลาวถึงประเภทของการตรวจสอบ (audit), หนวยงานที่เกีย่ วของในการรับรองมาตราฐานระบบที่เกี่ยวของ รวมถึงมาตราฐาน ISMS, หลักการในการทํา audit, กระบวนการและขั้นตอนในการทํา audit, คุณสมบัติของผูทําการ audit หลักการ สําคัญในการทํา audit ตามมาตราฐาน ISMS นั้นเพื่อที่จะยืนยันหลักฐานของการมีอยูจริงของการปฏิบัติตาม ISMS ในองคกร และ หากมีการปฏิบัติแลวนั้นจะตองตรวจสอบวากระบวนการตางๆ ตาม ISMS ที่ใชปฏิบตั ิมีประสิทธิภาพดวยหรือไม ในการทํา audit นั้นจะมีอยูสองขั้นตอนหลักคือ ในเฟสแรกการ audit จะทําการตรวจสอบเอกสาร (document review) และ เตรียมพรอมในการทําการ audit ณ.สถานที่จริง (on-site audit) ในเฟสที่สองการ audit จะทํา on-site audit และเตรียมเอกสารขอ การรับรอง และจัดสง รายงานการตรวจสอบ (audit report) กอนที่จะเริ่มทําการ audit นั้นในขั้นตนทางผูตรวจสอบจะตองทําการวาง แผนการตรวจสอบ เพื่อเลือกหัวหนาคณะตรวจสอบ (lead auditor), กําหนดจุดประสงคของการตรวจสอบ, กําหนดขอบเขตและ เกณฑในการตรวจสอบ, กําหนดความเปนไปไดในการดําเนินการตรวจสอบ, เลือกคณะผูตรวจสอบ (auditor), ติดตอประสานงานกับ ผูที่จะเขาดําเนินการตรวจสอบ หลังจากการวางแผนงานดังกลาวแลวจึงจะสามารถเริ่มทําการ audit ในสองเฟสได ผูตรวจสอบจะตองจัดเตรียม Audit checklist และ Audit questionnaire • Audit checklist o เพื่อเปนการเตรียมความพรอมสําหรับการตรวจสอบ o เพื่อยืนยันความลึกซึ้งและเปนแนวทางในการตรวจสอบ o ควรจะตองสะทอนสภาพแวดลอมและขอบเขตของการตรวจสอบ o ตองไมสามารถคาดเดาลวงหนาได o ควรตองเปนคําถาม “ถูก” หรือ “ผิด” • Audit questionnaire o เพื่อเสริมกับ Audit checklist o เพื่อพิสูจนคําตอบของ Checklist วาเปนจริง o เปนคําถามเปด ขึ้นตนดวยคําเชน How, Where, Who, When, Why, What, What if ในการพัฒนาระบบ ISMS จะตองประกอบไปดวยขบวนการ (Process) มากมายกลาวคือ PROCESS คือกลุมของงาน (activities) ที่เกี่ยวของและมีความสัมพันธกันเพื่อแปลจาก input เปน output โดย output จะวัดไดเปนผลลัพธ (Effectiveness) ซึ่งวัด จากวางานนั้นไดผลตามที่คาดหมายหรือไม และผลสัมฤทธิ์ (Efficiency) ซึ่งวัดจากวาผลลัพธที่ไดใชทรัพยากรคุมคาหรือไม
2/8
Information Security Management Systems (ISMS) : ISO 27001 Process จะเนนความสําคัญของ 1. ความเขาใจความตองการของ Information security และความจําเปนในการสรางนโยบาย (Policy) และเปาหมาย (Objective) 2. Implement และ operate control ตางๆ เพื่อบริหารความเสี่ยงองคกร 3. Monitor และ Review ประสิทธิภาพ (Performance) และผลลัพธ (Effectiveness) ของ ISMS 4. Continual improvement ตามตัวชี้วัด การ Audit ในขั้นตอนที่สอง (Stage two audit) จุดประสงคเพื่อ 1. สรางความมั่นใจวาองคกรปฎิบัติตามนโยบาย (Policy) จุดประสงค (Objective) และขั้นตอน (Procedure) ที่ทําขึ้น 2. สรางความมั่นใจวา ISMS เปนไปตามความตองการของมาตรฐาน ISMS และเอกสารบังคับ (Normative document: Annex A) และบรรลุจุดประสงคของนโยบายขององคกร Stage two audit มุงเนนเรื่อง 1. การประเมินความเสี่ยงและการออกแบบผลลัพธของ ISMS 2. Statement of Applicability (SOA) 3. จุดประสงค (Objective) และเปาหมาย (target) 4. Monitoring, measuring, reporting และ reviewing เปรียบเทียบกับจุดประสงค และเปาหมาย 5. Security และ management review 6. ความรับผิดชอบของผูบริหารตอนโยบายความปลอดภัย 7. ความสัมพันธระหวางนโยบาย การประเมินความเสี่ยง จุดประสงคและเปาหมาย ความรับผิดชอบ โปรแกรม ขั้นตอน ขอมูลประสิทธิภาพ (performance data) และ Security review สวนประกอบของทีมงาน Audit และความรับผิดชอบ 1. Lead Auditor a. เปนผูนําทีม Audit b. รับผิดชอบตอการ Audit c. ตัดสินใจตอการสรุปผล Audit 2. Auditor(s) a. ชวยเหลือ Lead Auditor b. ดําเนินการ Audit งานที่ไดรับมอบหมาย 3. Expert a. ชวยเหลือใหขอมูลเฉพาะทางตางๆ 4. Observer สวนประกอบของทีมงาน Auditee และความรับผิดชอบ 1. Top management
3/8
Information Security Management Systems (ISMS) : ISO 27001 2. Representative (MR) a. เปนตัวกลางในการสื่อสาร b. ยอมรับการตัดสินใจของทีม Audit 3. Guides a. นําทีม Audit ในการเดินทางตรวจสอบหนวยงานตางๆ b. สังเกตุการณ Audit 4. Head of Department 5. Staff 6. Consultant การประชุม (Meeting) 1. Opening meeting a. เพื่อยืนยันแผนการตรวจสอบและขอบเขตของการตรวจสอบ b. บรรยายสรุปกิจกรรมการตรวจสอบ c. ใหโอกาส Auditee ในการซักถาม d. ยืนยันวัน เวลา การประชุม Closing meeting 2. Team meeting a. เฉพาะสําหรับสมาชิกทีม Audit b. ทบทวนความคืบหนา c. รายงาน Noncomformity และคําแนะนํา d. วางแผนสําหรับการ Audit ตอไป e. แกปญหาความขัดแยงภายในทีม 3. Daily review meeting with auditee a. ไมเกิน 15 ถึง 20 นาที b. ควรจะจัดขึ้นทุกสิ้นวัน c. ทบทวน Nonconformity d. แกไขปญหา e. แสดงความคืบหนาของการตรวจสอบ f. ชี้แจงจุดที่เขาใจผิดระหวางกัน 4. Final team meeting a. ทําความเขาใจกับสิ่งที่ตรวจพบ b. จัดชนิดและประเภทสิ่งที่ตรวจพบ c. เตรียมการสําหรับ Closing meeting d. เตรียมรายงาน e. ทําความตกลงกับผลของการ Audit
4/8
Information Security Management Systems (ISMS) : ISO 27001 Collection Information and Audit Skills เริ่มตนจะกลาวถึงกระบวนการที่เกี่ยวของกับการรวบรวมขอมูล ขณะทําการ on-site audit (audit) จนถึงการสรุปผลการ audit โดยมีทั้งหมด 5 ขั้นตอนไดแก 1) การระบุแหลงขอมูล 2) การรวบรวมขอมูลโดยการสุม และตรวจสอบขอมูลที่ได 3) การประเมินผลโดยใชเกณฑการ audit ที่ตั้งไว 4) การทบทวนผลที่ได 5) การสรุป สําหรับวิธีการรวบรวมขอมูลนั้นหลักๆ แลวไดแก 1) สัมภาษณพนักงานตําแหนงสําคัญๆ 2) ตรวจดูเอกสารตางๆ 3) ตรวจผลของกิจกรรมตางๆ เชน log file 4) สังเกตสถานที่ หรือกิจกรรมที่เกิดขึ้น ทักษะของการ audit ที่สําคัญคือ การสุมตัวอยางเพื่อการ audit โดย auditor ตองสุมตัวอยางใหเพียงพอ เพื่อใหมั่นใจไดวา auditee ทําตาม standard ซึ่งไมมีหลักเกณฑของการสุมที่แนนอนตายตัว สวนใหญขึ้นอยูกับประสบการณของ auditor และผลที่ได จากการสุม ในกรณี ที่ auditor ตอง auditor ลูกคาที่มีหลาย site ลําดับของ site ที่จะสุมตัวอยางขึ้นอยูกับ auditor พิจารณาเทานั้น ตอมา จะเปนคําแนะนําสําหรับ วิธกี ารสัมภาษณ ซึ่งสรุปคราวๆไดวา auditor ตองทําใหผูถูกสัมภาษณไมตกอยูในสถาน การณตึงเครียด และควรใชเวลาไมมากนักสําหรับการสัมภาษณ top management นั้นคือตองถามที่สําคัญๆ และเปนภาพรวมของ บริษัทเทานั้น สิ่งสําคัญของการสัมภาษณคือการตั้งคําถาม auditor ตองวางแผนในการตั้งคําถาม เพื่อใหไดคําตอบ ที่มีขอมูลครบถวน และมีประสิทธิภาพ และสิ่งที่ขาดไมไดในการ audit คือการจดขอมูลที่ไดรับขณะ audit ลงบนกระดาษ Audit Finding and Nonconformity ภาพรวมของบทนี้ จะกลาวถึง สิ่งที่พบจากการ Audit (audit finding) ในบทที่แลวไดกลาวถึงวิธีการใหไดมาซึงขอมูลขณะ ทําการ audit เมื่อ auditor ไดขอมูลมาแลว สิ่งตอไปที่ตองทําคือ การนําขอมูลมาประมวลผล เพื่อหาหลักฐานที่อิงกับขอมูลจริง ซึ่งตอง ใชตอนเขียน audit report Audit finding สามารถแบงไดเปน 4 ระดับไดแก 1) Conformity คือพบวาลูกคาทําตาม standard ซึ่งการจะสรุปในลักษณะ นี้ไดตองมีหลักฐาน ขอมูลยืนยันที่แนนอน 2) Nonconformity 3) Observation คือระดับที่ลูกคาจําเปนตองดูตรวจตราตอไป เพราะ อาจจะเกิดสิ่งที่ขัดกับ standard ไดในอนาคตอันใกล 4) Opportunities for Improvement หรือระดับที่มีแตคําชี้แนะ สําหรับระดับ Nonconformity สรุปคือการที่ management system ขาดบางสวนที่สําคัญของ standard ไป หรือมีการ implement เพื่อใหไดตรงตาม standard แตไมสําเร็จ ซึ่งระดับนี้แบงยอยไดเปน Major และ Minor
Writing Nonconformity Report (NCR) ในกรณีที่ auditor พบวา audit finding มี nonconformity เกิดขึ้น auditor ตองแจงใหบุคคลที่เกี่ยวของรับทราบ โดยผาน ทาง Nonconformity Report (NCR) ซึ่งการเขียน NCR นี้จะมีแบบฟอรมที่ชัดเจน ซึ่งไดระบุรายละเอียดสําคัญๆ ที่ auditor ตองปอน ไว เชน ระดับของ nonconformity วันที่ของตัว report และ clause number ของ standard ที่เกี่ยวของกับ nonconformity สําหรับรายละเอียดของ nonconformity ที่เขียนไวใน NCR ตองบอกไดวาเกิดอะไรที่ขัดกับ standard ขึ้น เกิดขึ้น ณ ที่ไหน ใน ISMS ทําไมจึงขัดกับ standard และขัดกับ standard ขออะไร
5/8
Information Security Management Systems (ISMS) : ISO 27001 เราสามารถสรุปขั้นตอนสรุปทายของการ Audit ไดดังนี้ ITEM
Description / Objectives 1 2 3 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11.
6/8
Preparing Audit Conclusion Review the audit information finding Audit conclusions agreement Prepare recommendation Audit Conclusion The extent of conformity of the management system review process, implement, maintenance, improvement with the audit criteria Matrix of Nonconformities and summary report Closing Meeting Content of Closing Meeting Introductions Records of attendance Thank for …. Restate objectives and scope Limitation of audit Report Findings Statement of confidentiality Summary of Nonconformance reports(NCR) Recommendation Corrective action and follow-up (with agreed timescales) Questions
Information Security Management Systems (ISMS) : ISO 27001 ITEM
Description / Objectives 4 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16. 17. 18. 5 6 -
7/8
Audit Report The audit report should provide a complete, accurate, concise and clear record of the audit, and should include or refer to the following: the audit objectives; the audit scope, particularly identification of the organizational and functional units or processes audited and the time period covered; identification of the audit client; identification of audit team; the date and place of on-site audit activities; the audit criteria; the audit findings; the audit conclusions; the audit plan; a list of auditee representatives; The audit report may also or refer to the following: a summary of the audit process, the uncertainty, the obstacles encountered that could decrease the reliability of the audit conclusion; confirmation that the audit objectives have been accomplished within the audit scope in accordance with the audit plan; No covered area; any unresolved diverging opinions between audit team and auditee; recommendations for improvement; follow-up action plan agreement; a statement of the confidential nature of contents; the distribution list of the audit report. Corrective / Preventive process Initiation process Action process Close Out process Follow up action ISMS Certification Audit Lifecycle of third party Audit ISO 27001 Certification Audit
Information Security Management Systems (ISMS) : ISO 27001 ITEM
Description / Objectives -
8/8
ISMS Certification process Surveillance assessment Repeat Audit (Triennial Re-assessment) in 3 years issue Certificate Cancellation
Related Documents
Information Security Management System (isms) : Iso 27001
December 2019 40
Information Security Management System
July 2020 45
Iso 27001 Chile.pdf
June 2020 13
Iso 27001 Los Controles
October 2019 15
Iso 27001 Pdca Cycle.docx
April 2020 16
Iso 27001 Certificate
July 2020 12More Documents from "Nguyen Trung Kien"
Information Security Management System (isms) : Iso 27001
December 2019 40
