4. การตรวจสอบ และการปฏิบัติการแก้ไข
การเฝ้าติดตาม และการวัดผล
องค์กรจะต้องมีการกำหนดขั้นตอนการทำงานในการเฝ้าติดตาม และการวัดคุณลักษณะที่สำคัญของการดำเนินงาน ที่มีผลกระทบต่อการรักษาความปลอดภัย หรือต่อระบบการจัดการ โดยในการดำเนินงาน จะต้องมีการเฝ้าติดตามตรวจสอบผลการปฏิบัติงาน การควบคุมการปฏิบัติงานที่เกี่ยวข้อง และความสอดคล้องตามวัตถุประสงค์ และเป้าหมายด้านการรักษาความปลอดภัย โดยองค์กรจะต้องเลือกใช้เครื่องมือที่ได้รับการสอบเทียบ หรือการทวนสอบสำหรับการเฝ้าติดตาม และการวัดผล
การประเมินระบบ
องค์กรจะต้องจัดให้มีการประเมินแผนงานการจัดการด้านการรักษาความปลอดภัย ขั้นตอนการดำเนินงาน และขีดความสามารถ ตามช่วงเวลาที่กำหนด รวมถึงการทดสอบ รายงานที่เกิดขึ้นภายหลังเกิดเหตุการณ์ บทเรียนที่ผ่านมา การประเมินผลการดำเนินงานและการทดลองปฏิบัติ นอกจากนั้น องค์กรยังต้องมีการประเมินความสอดคล้องตามข้อกฏหมาย แนวทางการปฏิบัติที่ดี และความสอดคล้องตามนโยบายและวัตถุประสงค์ขององค์กร
ความไม่สอดคล้องตามข้อกำหนด การปฏิบัติการแก้ไข และการปฏิบัติการป้องกัน
ในกรณีที่องค์กรพบความไม่สอดคล้องตามข้อกำหนดต่างๆ จะต้องมีการดำเนินการปฏิบัติการแก้ไขกับความไม่สอดคล้องที่เกิดขึ้นแล้ว และการปฏิบัติการป้องกัน กับความไม่สอดคล้องที่มีแนวโน้มที่จะเกิดขึ้น ทั้งนี้จะต้องมีการระบุถึงขั้นตอนการดำเนินงานที่ครอบคลุมถึง
1. ระยะเวลาในการตอบสนองที่เหมาะสมกับจุดอ่อน และภาวะวิกฤตที่พบ
2. การชี้บ่ง และการดำเนินการแก้ไขสิ่งที่ไม่เป็นไปตามข้อกำหนด รวมถึงการดำเนินการเพื่อลดผลกระทบต่อการรักษาความปลอดภัย
3. การดำเนินการสอบสวน เพื่อหาสาเหตุของความไม่สอดคล้องตามข้อกำหนด และการดำเนินการเพื่อไม่ให้เกิดขึ้นซ้ำอีก
4. การพิจารณาถึงความจำเป็นในการดำเนินการป้องกัน เพื่อไม่ให้ความไม่สอดคล้องตามข้อกำหนดได้เกิดขึ้น
5. การบันทึกผลของการปฏิบัติการแก้ไข และการปฏิบัติการป้องกัน
6. การทบทวนผลของการปฏิบัติการแก้ไข และการปฏิบัติการป้องกันที่ได้ดำเนินการไปแล้ว
การตรวจประเมินภายใน
การตรวจประเมินภายใน หรือ Internal audit จะเป็นการดำเนินการ เพื่อให้มั่นใจว่า
1. ระบบการจัดการด้านการรักษาความปลอดภัย มีการจัดทำ ดำเนินการและดูแลรักษาตามแผนงานที่กำหนดไว้ รวมถึงตามข้อกำหนดต่างๆ ของมาตรฐานนี้
2. ได้มีการจัดทำรายงานผลตามตรวจประเมิน เสนอให้ผู้บริหารได้รับทราบ
ทั้งนี้ องค์กรจะต้องมีการวางแผน ดำเนินการ และดูแลรักษาโปรแกรมสำหรับการตรวจประเมินภายใน รวมถึงการกำหนดหน้าที่ความรับผิดชอบ และข้อกำหนดต่างๆ สำหรับการวางแผน การดำเนินการ การรายงานผล และการจัดเก็บบันทึกการตรวจประเมินไว้อย่างชัดเจน โดยผู้ที่ทำการตรวจประเมิน จะต้องมีความเป็นธรรม และไม่ลำเอียงในการตรวจด้วย
5. การทบทวนโดยฝ่ายบริหาร
ในการจัดทำระบบ จะต้องมีการทบทวนความเหมาะสม ความเพียงพอ และความมีประสิทธิผลของระบบการจัดการด้านการรักษาความปลอดภัยขององค์กรอย่างต่อเนื่อง โดยผู้บริหารระดับสูงขององค์กร นอกจากนั้น การทบทวนยังเป็นการดำเนินการ เพื่อหาโอกาสในการปรับปรุง และเปลี่ยนแปลงระบบ รวมถึงนโยบาย วัตถุประสงค์ และเป้าหมายในการรักษาความปลอดภัย ทั้งนี้ สิ่งที่จะต้องนำมาทบทวนตามมาตรฐานนี้ ประกอบด้วย
1. ผลของการตรวจประเมินภายในองค์กร รวมถึงความสอดคล้องตามข้อกฏหมาย หรือระเบียบข้อบังคับอื่นๆ ที่เกี่ยวข้องกับองค์กร
2. การสื่อสารจากหน่วยงานต่างๆ ที่มีส่วนได้ส่วนเสียกับองค์กร รวมถึงข้อร้องเรียนที่เกิดขึ้น
3. ความมีประสิทธิผลของการดำเนินการรักษาความปลอดภัย
4. ความสำเร็จของเป้าหมาย และวัตถุประสงค์
5. สถานะของการปฏิบัติการแก้ไข และการป้องกัน
6. การติดตามความคืบหน้าการดำเนินงานจากการทบทวนที่ผ่านมา
7. การเปลี่ยนแปลงของภัยคุกคาม แหล่งอันตราย และข้อกฏหมาย หรือระเบียบข้อบังคับต่างๆ ที่เกี่ยวข้อง
8. ข้อเสนอแนะ เพื่อการปรับปรุงระบบ
จากที่อธิบายข้อกำหนดต่างๆ ของมาตรฐานนี้ จะเห็นได้ว่ามาตรฐานนี้มุ่งเน้นที่การสร้างระบบการจัดการที่เข้มแข็ง มีความชัดเจน และมีประสิทธิผล โดยไม่ได้ลงในรายละเอียดของวิธีการในการรักษาความปลอดภัยของแต่ละกิจกรรม ซึ่งเป็นสิ่งที่องค์กรจะต้องกำหนดขึ้นมาเอง ตามลักษณะของภัยคุกคาม และความเสี่ยงที่อาจจะเกิดขึ้น อาจจะเหมือน หรือแตกต่างกันไป ตามลักษณะ รายละเอียด ขนาด และความซับซ้อนของการดำเนินงานขององค์กรนั้นๆ ดังนั้นการได้รับการรับรองในมาตรฐานนี้ จะช่วยให้การบริหารจัดการด้านการรักษาความปลอดภัยของการจัดประชุม สัมมนา และนิทรรศการมีประสิทธิภาพ และประสิทธิผลที่มากขึ้น
