GRC ซึ่งย่อมาจาก Governance, Risk และ Compliance เป็นที่แพร่หลายในโลกไซเบอร์ในปัจจุบัน ซึ่งเป็นผลมาจากองค์กรมาตรฐานอุตสาหกรรมและรัฐบาลที่ตอบสนองต่อแนวการละเมิดข้อมูล ข้อกำหนดใหม่ของการปฏิบัติตามข้อกำหนดมีความสำคัญอย่างยิ่งในการสร้าง แผนการจัดการความเสี่ยง ที่มีประสิทธิภาพสูงสุด อีกวิธีหนึ่งในการพิจารณา GRC ก็คือการใช้แนวทางที่มีโครงสร้างในการปรับเทคโนโลยีสารสนเทศให้เข้ากับวัตถุประสงค์ทางธุรกิจไปพร้อมๆ กัน บริหารจัดการความเสี่ยงและปฏิบัติตามข้อกำหนด

การกำกับดูแล: ตรวจสอบให้แน่ใจว่ากิจกรรมขององค์กรทั้งหมดสอดคล้องเพื่อสนับสนุนเป้าหมายทางธุรกิจในระยะยาว ธรรมาภิบาลสื่อสารกับผู้มีส่วนได้ส่วนเสียทั้งภายนอกและภายในเพื่อตรวจสอบและดำเนินกระบวนการทั้งหมดอย่างราบรื่น

ความเสี่ยงพยายามทำให้แน่ใจว่าทั้งความเสี่ยงและโอกาสที่เชื่อมโยงกับกิจกรรมขององค์กรสอดคล้องกับเป้าหมายทางธุรกิจ

การปฏิบัติตาม: ตรวจสอบให้แน่ใจว่ากิจกรรมภายในองค์กรดำเนินการภายใต้กฎหมายและข้อบังคับที่ส่งผลต่อระบบ

การตรวจสอบการกำกับดูแล

การกำกับดูแลกิจการคืออะไร?

บริษัทจำเป็นต้องกำหนดกระบวนการ แนวทางปฏิบัติ และกฎเกณฑ์เพื่อพิสูจน์การกำกับดูแล ที่สำคัญ ความรับผิดชอบในการตรวจสอบความเสี่ยงนั้นขึ้นอยู่กับผู้บริหารระดับสูงและคณะกรรมการบริษัท ธรรมาภิบาลให้อำนาจแก่ทั้งสองฝ่าย

การกำกับดูแลกิจการใน Cyber ​​​​Security คืออะไร?

การกำกับดูแลกิจการมีความปลอดภัยในโลกไซเบอร์ คณะกรรมการและผู้บริหารระดับสูงต้องเข้าใจความเสี่ยงด้านความปลอดภัยทางไซเบอร์บ่อยครั้งอันเป็นผลจากวัตถุประสงค์ทางธุรกิจ แต่ไม่จำเป็นต้องทำการตัดสินใจเกี่ยวกับความปลอดภัย นอกจากนี้ การกำกับดูแลความปลอดภัยทางไซเบอร์จำเป็นต้องทบทวนความสำเร็จของการควบคุมภายในด้วย

ความรับผิดชอบของคณะกรรมการตรวจสอบคืออะไร?

หลายบริษัทกำลังมุ่งเน้นไปที่การรักษาความปลอดภัยทางไซเบอร์และทำให้คณะกรรมการตรวจสอบเชื่อมโยงระหว่างคณะกรรมการบริษัทกับโปรแกรมการตรวจสอบ

ดังนั้น กรรมการตรวจสอบจึงต้องเข้าใจความเสี่ยงทางไซเบอร์มากกว่าสมาชิกรายอื่นในองค์กร อย่างไรก็ตาม พวกเขาไม่จำเป็นต้องเข้าใจเทคโนโลยี พวกเขาเพียงต้องทำงานร่วมกับผู้นำด้านไอที (เทคโนโลยีสารสนเทศ) ภายในบริษัทเพื่อมีส่วนร่วมในการสนทนาโดยละเอียด

แผนการตรวจสอบบริษัทต้องใส่ใจกับภัยคุกคามของข้อมูล แม้ว่าพวกเขาจะใช้ผู้ให้บริการ Platform-as-a-Service (PaaS), Infrastructure-as-a-Service (IaaS) และ Software-as-a-Service (SaaS) มากขึ้น . กระบวนการที่คุณใช้เพื่อกำหนดตัวชี้วัดประสิทธิภาพหลัก (KPI) สำหรับโปรแกรมการปฏิบัติตามข้อกำหนดของคุณเป็นจุดสนใจหลักของแผนการตรวจสอบ ดังนั้น การจัดทำแผนการตรวจสอบความปลอดภัยทางไซเบอร์จะแนะนำคุณเกี่ยวกับวิธีพัฒนาและพิสูจน์การกำกับดูแล

เวลา

การวางแผนการตรวจสอบภายในเป็นกระบวนการที่ต่อเนื่อง ทบทวนการตรวจสอบข้อบกพร่องในการควบคุมที่ผ่านมาก่อนที่คุณจะกำหนดแผนการตรวจสอบ หลังจากนั้นคุณสามารถกำหนดขอบเขตได้

ตัวอย่างเช่น หากองค์กรของคุณไม่มีระบบปฏิบัติการและการจัดการแพตช์ซอฟต์แวร์ที่จำเป็น นั่นควรเป็นส่วนหนึ่งของขอบเขตในการตรวจสอบครั้งต่อไป หากการแพตช์นั้นสมบูรณ์แบบ แต่การตรวจสอบที่ผ่านมาของคุณพบว่าเครือข่ายและระบบจำนวนมากรักษาการเข้าสู่ระบบที่ตั้งไว้ล่วงหน้าจากโรงงาน ให้เน้นที่สิ่งนั้น

กล่าวคือ ให้วางแผนและกำหนดเวลาอย่างต่อเนื่องตามการปรับปรุงที่คุณทำในการกำกับดูแลความปลอดภัยทางไซเบอร์ของคุณ

การประเมินความเสี่ยง

ทุกแผนการตรวจสอบควรรวมความเสี่ยงด้านความปลอดภัยทางไซเบอร์ในมุมมองแบบองค์รวม เมื่อสร้างแผนการตรวจสอบ ให้กำหนดระดับความเสี่ยงที่รวมเอาศักยภาพในการละเมิดข้อมูล ตำแหน่ง ต้นทุนการละเมิดข้อมูลที่อาจเกิดขึ้น และข้อมูล เน้นที่การประเมินข้อมูลที่มีความเสี่ยงสูงสุดเมื่อคุณกำหนดขอบเขตแผนการตรวจสอบ

คณะกรรมการกำกับการปฏิบัติตามกฎระเบียบ

คณะกรรมการการปฏิบัติตามกฎระเบียบประกอบด้วยผู้มีส่วนได้ส่วนเสียภายในซึ่งมีหน้าที่จัดทำเอกสารและติดตามการควบคุมภายใน ร่วมกับคณะกรรมการตรวจสอบ คณะกรรมการกำกับการปฏิบัติตามเพื่อให้มั่นใจว่าบริษัทสอดคล้องกับการเปลี่ยนแปลงกฎระเบียบและมาตรฐาน ดังนั้นพวกเขาจึงเป็นแนวป้องกันแรกในการพยายามทำให้การควบคุมมีประสิทธิผลและเป็นโปรแกรมสำหรับการกำกับดูแล

ผู้ตรวจสอบภายในทบทวนการกำกับดูแลความปลอดภัยทางไซเบอร์อย่างไร

ขอบเขตที่มีขั้นตอนที่จำเป็นสำหรับการพิสูจน์การกำกับดูแลถูกกำหนดโดยแผนการตรวจสอบ เนื่องจากคุณต้องมีตาคู่ที่สอง หน่วยงานตรวจสอบภายในของคุณจึงมีบทบาทนั้น

คุณจะต้องมีบุคคลที่เป็นอิสระสำหรับการตรวจสอบภายในเพื่อประเมินและตรวจสอบว่าการรักษาความปลอดภัยทางไซเบอร์เป็นไปตามมาตรฐานและข้อบังคับที่กำหนดโดยข้อกำหนดการปฏิบัติตามข้อกำหนดของอุตสาหกรรมหรือไม่ ผู้ตรวจสอบภายในจะพิจารณาเอกสารทั้งหมดที่เกี่ยวข้องกับโปรแกรมการปฏิบัติตามข้อกำหนดด้านความปลอดภัยทางไซเบอร์ การตรวจสอบจะตรวจสอบว่าคุณรักษาการปฏิบัติตามข้อกำหนดผ่านการควบคุมภายในที่กำหนดไว้หรือไม่

สำหรับการกำกับดูแล ผู้ตรวจสอบภายในจะตรวจสอบว่าคณะกรรมการการปฏิบัติตามรายงานต่อคณะกรรมการตรวจสอบและทบทวนการควบคุมที่กำหนดโดยกระบวนการและนโยบายหรือไม่

ตัวอย่างของบทบาทหน้าที่ของคณะกรรมการภายในคืออาจทบทวนรายงานการประชุมของคณะกรรมการตรวจสอบและการปฏิบัติตามข้อกำหนดสำหรับการประชุมเพื่อให้แน่ใจว่าทีมสื่อสารความเสี่ยงและติดตามอย่างมีประสิทธิภาพ ผู้สอบบัญชีจะเปรียบเทียบหมายเหตุกับรายงานการประชุมของคณะกรรมการเพื่อให้แน่ใจว่าข้อมูลจะถูกส่งผ่านไปยังทุกคนที่เกี่ยวข้อง

ตามหลักการแล้ว การบันทึกกิจกรรมและการสื่อสารจะช่วยให้ผู้ตรวจสอบมีหลักฐานที่จำเป็นในการตรวจสอบการกำกับดูแลโปรแกรมความปลอดภัยทางไซเบอร์

วิธีการใช้เอกสารเพื่อให้ง่ายต่อการตรวจสอบธรรมาภิบาล

ระบบอัตโนมัติช่วยอำนวยความสะดวกในการตรวจสอบการกำกับดูแลภายใน เนื่องจากช่วยให้มีเอกสารและการสื่อสารจำนวนมาก

องค์กรมีขนาดแตกต่างกัน ขนาดขององค์กรส่งผลโดยตรงต่อการประสานงานของข้อความในคณะกรรมการตรวจสอบ คณะกรรมการกำกับการปฏิบัติตามกฎเกณฑ์ และคณะกรรมการบริษัท เอกสารของคณะกรรมการตรวจสอบควรประกอบด้วยบทสรุปผู้บริหารที่จำเป็นสำหรับการระบุปัญหา ความเสี่ยง และขั้นตอนต่อไป

ระบบอัตโนมัติมีบทบาทสำคัญในการปรับปรุงระบบการตรวจสอบการกำกับดูแล การแชร์ไดรฟ์ช่วยแบ่งเบาภาระการสื่อสารได้มาก ด้านพลิกของการแชร์คือเมื่อการเปลี่ยนแปลงใด ๆ ได้รับผลกระทบ ไฟล์ที่แชร์จะอัปเดตโดยอัตโนมัติ การค้นหาเอกสารทางประวัติศาสตร์ในกรณีนี้ใช้เวลานาน เนื่องจากใครก็ตามที่มีสิทธิ์เข้าถึงสามารถทำการเปลี่ยนแปลงและอัปเดตไฟล์ที่แชร์ทั้งหมดได้ ความสมบูรณ์ของข้อมูลจึงถูกบุกรุกจึงบ่อนทำลายการกำกับดูแล

องค์กรจึงต้องมีแหล่งข้อมูลส่วนกลางที่กำหนดให้จัดทำเอกสารกิจกรรมการปฏิบัติตามข้อกำหนดทั้งหมด รวมทั้งระบุเฉพาะผู้ที่สามารถแก้ไขหรือเปลี่ยนแปลงเอกสารได้

ก่อนการนำ GRC ไปใช้ คุณต้องเตรียมสภาพแวดล้อมก่อน ตรวจสอบว่าคุณมีการควบคุมที่เพียงพอหรือไม่และการควบคุมที่มีอยู่นั้นทำงานได้อย่างสมบูรณ์หรือไม่ แม้ว่า GRC จะเน้นที่ไอที แต่การมีส่วนร่วมของทั้งองค์กรก็เป็นสิ่งสำคัญเมื่อนำกลยุทธ์ไปใช้ คุณจะต้องให้ความสนใจและสร้างกระบวนการและบุคลากรทั้งหมดที่การนำไปใช้งานอาจได้รับผลกระทบล่วงหน้า

มีความคิดเกี่ยวกับเรื่องนี้หรือไม่? แจ้งให้เราทราบด้านล่างในความคิดเห็นหรือดำเนินการสนทนาไปที่ Twitter หรือ Facebook ของเรา

คำแนะนำของบรรณาธิการ:

• ความรับผิดชอบของผู้จัดการการปฏิบัติตามกฎระเบียบ
• การบริหารความเสี่ยงสำหรับอุตสาหกรรมประกันภัย
• ความปลอดภัยทางไซเบอร์และการศึกษาระดับอุดมศึกษา
• การรักษาความปลอดภัยบนคลาวด์
• การยอมรับความเสี่ยงและความเสี่ยงคืออะไร