กิตติพงศ์  จิรวัสวงศ์
kitroj@yahoo.com

ในขั้นตอนของการตรวจสอบ และการปฏิบัติการแก้ไข จะประกอบด้วยกระบวนการต่าง ๆ ดังนี้
• การวัด และการเฝ้าติดตามผลการดำเนินงาน
• การประเมินระบบ
• การผิดพลาด เหตุการณ์ร้ายที่เกิดขึ้น ความไม่เป็นไปตามข้อกำหนด การปฏิบัติการแก้ไข และการป้องกัน
• การควบคุมบันทึก
• การตรวจประเมิน

องค์กรจะต้องกำหนดให้มีการดำเนินการในการเฝ้าติดตาม และการวัดผลการดำเนินงานระบบการจัดการด้านการรักษาความปลอดภัย โดยจะต้องพิจารณาถึงภัยคุกคาม และความเสี่ยงที่มีต่อความปลอดภัยในด้านต่าง ๆ รวมถึงลักษณะของการเสื่อมสภาพที่จะเกิดขึ้น และผลกระทบที่จะตามมา

ทั้งนี้ วิธีการปฏิบัติงานที่จัดทำขึ้น จะประกอบด้วย
1. การวัดทั้งในเชิงปริมาณ และเชิงคุณภาพ
2. การเฝ้าติดตามความสำเร็จตามนโยบาย วัตถุประสงค์ และเป้าหมายของระบบการจัดการด้านการรักษาความปลอดภัย
3. การวัดผลการดำเนินงาในแบบก้าวหน้า (Proactive) เพื่อติดตามถึงความสอดคล้องตามโปรแกรมของระบบการจัดการ เกณฑ์การควบคุมการปฏิบัติงาน รวมถึงข้อกำหนดทางกฎหมาย และข้อกำหนดด้านความปลอดภัยอื่น ๆ ที่เกี่ยวข้อง
4. การวัดผลการดำเนินงานในแบบตั้งรับ (Reactive) เพื่อติดตามถึงการเสื่อมสภาพ ความผิดพลาด ความไม่ต่อเนื่อง ความไม่สอดคล้องตามข้อกำหนดที่เกี่ยวกับความปลอดภัย รวมถึงเหตุการณ์ของความไม่มีประสิทธิภาพในผลการดำเนินงานระบบบริหารความปลอดภัยที่ผ่านมา
5. การบันทึกข้อมูล และผลของการเฝ้าติดตามและการวัด การวิเคราะห์การปฏิบัติการแก้ไข และการป้องกัน

• ความสำเร็จของนโยบายและวัตถุประสงค์ของระบบการจัดการ
• ภาวะคุกคามที่ได้รับการควบคุม และบรรเทา รวมถึงความมีประสิทธิผลของการดำเนินการ
• บทเรียนจากความล้มเหลวในระบบการจัดการด้านการรักษาความปลอดภัย รวมถึงเหตุร้ายในการรักษาความปลอดภัย และที่เกือบจะเกิดเหตุการณ์ขึ้น

• ความมีประสิทธิผลของการสร้างความตระหนัก การฝึกอบรม การสื่อสารและการให้คำแนะนำ ไปยังพนักงานและผู้มีส่วนได้ส่วนเสียต่าง ๆ
• ข้อมูลที่นำมาใช้ในการทบทวนและปรับปรุงองค์ประกอบของระบบการจัดการด้านการรักษาความปลอดภัย
ตัวอย่างของวิธีการที่สามารถนำมาใช้ในการวัดผลการปฏิบัติงานในการรักษาความปลอดภัย ประกอบด้วย
• ผลของการบ่งชี้ภัยคุกคาม การประเมินและการควบคุมความเสี่ยง
• การตรวจสอบระบบโดยใช้ใบตรวจสอบ

องค์กรจะต้องตัดสินใจว่าจะทำการเฝ้าติดตามผลอะไร บ่อยแค่ไหน โดยตารางการตรวจสอบจะขึ้นอยู่กับการระบุภัยอันตรายต่อการรักษาความปลอดภัย และผลการประเมินความเสี่ยง รวมถึงข้อกำหนดทางกฎหมาย ระเบียบข้อบังคับ ทั้งนี้ เทคนิคทางสถิติหรือทฤษฎีการวิเคราะห์อื่น ๆ จะถูกนำมาใช้เพื่อทำการประเมินสถานการณ์ของการรักษาความปลอดภัย ในการวินิจฉัยเหตุร้ายหรือความบกพร่อง

รวมถึงช่วยในการตัดสินใจที่เกี่ยวกับการรักษาความปลอดภัยโดยอาศัยหลักการทางวิทยาศาสตร์ ผู้บริหารระดับสูงจะต้องแน่ใจว่าเทคนิคต่าง ๆ ได้รับการกำหนด และมีการจัดทำเป็นเอกสารไว้อย่างชัดเจนด้วย

สำหรับอุปกรณ์รักษาความปลอดภัยที่นำมาใช้ในการเฝ้าติดตามและสร้างการรักษาปลอดภัย เช่น กล้อง รั้ว ประตู ระบบสัญญาณเตือน เป็นต้น จะต้องได้รับการกำหนด ระบุและควบคุม ความถูกต้องของเครื่องมือ นอกจากนั้น จะต้องมีการกำหนดวิธีการปฏิบัติงาน และจัดทำเป็นเอกสารในการสอบเทียบและการบำรุงรักษา

สำหรับอุปกรณ์การรักษาความปลอดภัย จะประกอบด้วย ความถี่ในการสอบเทียบและการบำรุงรักษา การอ้างอิงถึงวิธีการทดสอบ การระบุเครื่องมือที่นำมาใช้ในการสอบเทียบ และการดำเนินการเมื่อพบว่าเครื่องมือไม่ผ่านเกณฑ์การสอบเทียบ

บันทึกการสอบเทียบจะต้องได้รับการจัดเก็บ รวมถึงบันทึกการบำรุงรักษาและผลที่เกิดขึ้น โดยบันทึกจะต้องระบุรายละเอียดของการวัดทั้งก่อนและหลังการปรับแต่ง รวมถึงจะต้องมีการแสดงสถานะของการสอบเทียบไว้อย่างชัดเจนกับผู้ใช้งานด้วย ในกรณีของอุปกรณ์การรักษาความปลอดภัยที่ไม่ทราบสถานะของการสอบเทียบหรือการบำรุงรักษา หรือแสดงสถานะที่ไม่ผ่านการสอบเทียบ จะต้องยกเลิกการนำมาใช้งาน และจะต้องนำออกจากบริเวณที่ใช้งาน รวมถึงติดฉลากหรือทำเครื่องหมายไว้อย่างชัดเจน เพื่อป้องกันการนำไปใช้งาน

อุปกรณ์ในการรักษาความปลอดภัยที่ใช้โดยผู้รับจ้างช่วง จะต้องได้รับการควบคุมเช่นเดียวกับอุปกรณ์ที่ใช้ภายในองค์กร ผู้รับจ้างช่วงจะต้องรับประกันว่าอุปกรณ์ต่าง ๆ สอดคล้องกับข้อกำหนดต่าง ๆ ก่อนที่จะมีการนำมาใช้งาน ผู้รับจ้างช่วงจะต้องจัดเตรียมสำเนาของบันทึกการทดสอบและการบำรุงรักษาเครื่องมือต่าง ๆ  สำหรับการบ่งชี้เครื่องมือที่สำคัญ ในกรณีที่ต้องการการฝึกอบรมเป็นพิเศษ จะต้องมีการจัดเตรียมบันทึกการฝึกอบรมไว้สำหรับการทบทวนโดยลูกค้าด้วย

องค์กรจะต้องจัดให้มีการประเมินแผนการจัดการด้านการรักษาความปลอดภัย รวมถึงวิธีการปฏิบัติงาน และความสามารถในการจัดการอย่างสม่ำเสมอ โดยเป้าหมายเพื่อให้มั่นใจได้ว่าแผนการรักษาความปลอดภัย และวิธีการปฏิบัติได้รับการดูแลให้มีความทันสมัย สอดคล้องกับข้อกำหนดและการเปลี่ยนแปลงต่าง ๆ ที่เกิดขึ้น 

• รายงานเหตุการณ์ร้ายที่เกิดขึ้น
• ผลของการวางแผนและการเตรียมความพร้อมสำหรับเหตุการณ์ร้าย
• รายงานการระบุภัยอันตราย การประเมินและควบคุมความเสี่ยง
• รายงานการตรวจประเมินระบบจัดการด้านงานรักษาความปลอดภัย รวมถึงรายงานความผิดปกติที่เกิดขึ้น
• รายงานการทบทวนโดยฝ่ายบริหารและการดำเนินการ
• ความคืบหน้าของการดำเนินการตามวัตถุประสงค์
• การเปลี่ยนแปลงในข้อกำหนดทางกฎหมาย
• การเปลี่ยนแปลงความคาดหวังของส่วนงานและผู้มีส่วนได้เสียที่เกี่ยวข้อง
• การเปลี่ยนแปลงในขอบเขตของงาน กิจกรรม และลูกค้า
ทั้งนี้ องค์กรจะต้องจัดเก็บบันทึก ของผลการประเมินเป็นระยะ ๆ ด้วย

4.3 ความผิดพลาด เหตุการณ์ร้ายที่เกิดขึ้น ความไม่เป็นไปตามข้อกำหนด การปฏิบัติการแก้ไข และการป้องกัน

องค์กรจะต้องมีการกำหนดวิธีการปฏิบัติงาน ในการปฏิบัติการแก้ไข (Corrective Action) ในความผิดพลาด หรือเหตุการณ์ร้าย รวมถึงความไม่เป็นไปตามข้อกำหนดที่เกิดขึ้น และการปฏิบัติการป้องกัน (Preventive Action) สำหรับที่คาดว่าจะเกิดขึ้น ทั้งนี้ การดำเนินการ จะต้องมีความเหมาะสมต่อความสำคัญของปัญหา ซึ่งผลของการปฏิบัติการแก้ไข และการป้องกัน อาจจะนำไปสู่การดำเนินการเปลี่ยนแปลงในเอกสารวิธีการปฏิบัติงานในส่วนต่าง ๆ รวมถึงอาจจะต้องจัดให้มีการฝึกอบรมเพิ่มเติมตามความจำเป็นด้วย   

• ระบุผู้มีอำนาจหน้าที่และความรับผิดชอบในการดำเนินการ รายงาน ค้นหา ติดตามผลและเฝ้าติดตามการปฏิบัติการแก้ไขและการป้องกัน
• รายงานความผิดปกติ เหตุร้ายและภาวะอันตรายต่อการรักษาความปลอดภัย
• นำไปใช้งานกับพนักงานในทุกระดับ ทั้งพนักงานปกติ พนักงานชั่วคราว พนักงานของหน่วยงานที่รับจ้างช่วง ผู้มาติดต่อ และบุคคลอื่น ๆ ที่เกี่ยวข้องกับห่วงโซ่อุปทาน
• คำนึงถึงผลกระทบที่มีต่อผู้มีส่วนได้ส่วนเสียขององค์กร
• มีการกำหนดไว้อย่างชัดเจนถึงการดำเนินการกับความผิดปกติที่พบในระบบการจัดการด้านการรักษาความปลอดภัย
ทั้งนี้ จะต้องมีการดำเนินการโดยทันทีเพื่อแก้ไขปัญหาเหตุร้ายที่เกิดขึ้น รวมถึงเมื่อเกิดเหตุร้าย หรือ ภาวะอันตรายต่อระบบการรักษาความปลอดภัย โดยในเอกสารวิธีการปฏิบัติงานจะต้องระบุ
• กระบวนการในการแจ้งให้ทราบ
• การประสานงานกับแผนฉุกเฉินและวิธีการปฏิบัติ
• ขอบเขตของการวินิจฉัยที่เกี่ยวกับภาวะอันตรายที่เกิดขึ้นและที่มีโอกาสเกิดขึ้น รวมถึงการวินิจฉัยโดยฝ่ายบริหาร กรณีเกิดเหตุร้ายแรง

นอกจากนั้น จะต้องมีการนำแนวทางที่เหมาะสมมาใช้สำหรับการบันทึกข้อมูลที่เกิดขึ้น รวมถึงผลของการตรวจวินิจฉัยในทันที (Immediate Investigation) และรายละเอียดของการวินิจฉัยที่เกิดขึ้นในภายหลัง องค์กรจะต้องแน่ใจว่าวิธีการปฏิบัติงานได้รับการดำเนินการ เพื่อบันทึกรายละเอียดของความผิดปกติ เหตุร้ายและภาวะคุกคามต่อการรักษาความปลอดภัย และการกำหนดสถานที่และผู้รับผิดชอบในการจัดเก็บบันทึกด้วย

วิธีการปฏิบัติงาน ยังต้องระบุถึงแนวทางในการสืบสวนหาสาเหตุ โดยจะต้องระบุ
• ประเภทของเหตุการณ์ที่จะทำการค้นหาสาเหตุ
• เป้าหมายของการค้นหา
• ผู้รับผิดชอบในการดำเนินการ อำนาจหน้าที่ในการค้นหา คุณสมบัติที่ต้องการ รวมถึงสายการบังคับบัญชา
• สาเหตุหลักของความผิดปกติ
• การสัมภาษณ์พยาน
• การดูแลความพร้อมของอุปกรณ์ต่าง ๆ เช่น กล้องถ่ายรูปเพื่อจัดเก็บหลักฐานต่าง ๆ
• การจัดทำรายงานการสืบสวน รวมถึงการรายงานให้กับผู้มีส่วนได้เสียต่าง ๆ

ทั้งนี้ บุคคลที่ทำหน้าที่ในการสืบสวน จะต้องเริ่มต้นที่การวิเคราะห์เบื้องต้นในข้อเท็จจริง การรวบรวมและวิเคราะห์ข้อมูลจะต้องมีการดำเนินการอย่างต่อเนื่อง จนกว่าจะเพียงพอ

ในการปฏิบัติการแก้ไข (Corrective Action) จะเป็นการดำเนินการเพื่อค้นหาสาเหตุหลักของความบกพร่องและเหตุร้ายต่อระบบรักษาความปลอดภัยที่เกิดขึ้น และดำเนินการแก้ไขเพื่อป้องกันไม่ให้ปัญหาเกิดขึ้นซ้ำอีก ตัวอย่างของสิ่งที่จะต้องพิจารณาในการดำเนินการและการดูแลรักษาการปฏิบัติการแก้ไข ประกอบด้วย

• การกำหนดและดำเนินการในการวัดการปฏิบัติการแก้ไขและการป้องกัน ทั้งในระยะสั้น และระยะยาว 
• การประเมินผลกระทบของการบ่งชี้ภาวะอันตรายต่อระบบรักษาความปลอดภัย และผลการประเมินความเสี่ยง
• บันทึกการเปลี่ยนแปลงที่จำเป็นในวิธีการปฏิบัติงาน ซึ่งเป็นผลจากการปฏิบัติการแก้ไขหรือจากการบ่งชี้ภาวะอันตรายต่อการรักษาความปลอดภัย การประเมินและการจัดการความเสี่ยง
• การประยุกต์ใช้ หรือการปรับแต่งระบบบริหารความเสี่ยง เพื่อให้มั่นใจว่าการปฏิบัติการแก้ไขได้รับการดำเนินการอย่างมีประสิทธิผล

ส่วนการปฏิบัติการป้องกัน (Preventive Action) จะเป็นการดำเนินการ เพื่อป้องกันไม่ให้ความบกพร่องในการรักษาความปลอดภัยมีโอกาสเกิดขึ้น ตัวอย่างของสิ่งที่จะต้องนำมาพิจารณาในการดำเนินการปฏิบัติการป้องกัน ประกอบด้วย

• การใช้แหล่งข้อมูลที่เหมาะสม เช่น ผลของการปฏิบัติการแก้ไข แนวโน้มเหตุร้ายต่อการรักษาความปลอดภัย รายงานการตรวจประเมินระบบบริหารการรักษาความปลอดภัย การประเมินความเสี่ยง ข้อมูลใหม่ ๆ เกี่ยวกับการรักษาความปลอดภัย คำแนะนำจากพนักงานและผู้มีส่วนได้เสีย เป็นต้น

• การกำหนดและดำเนินการในการปฏิบัติการป้องกัน รวมถึงการควบคุมเพื่อให้มั่นใจถึงความมีประสิทธิผล
• การบันทึกการเปลี่ยนแปลงต่าง ๆ ในวิธีการปฏิบัติงาน อันเป็นผลจากการปฏิบัติการป้องกัน และนำเสนอเพื่อการอนุมัติ
ในการวิเคราะห์หาสาเหตุของความไม่สอดคล้อง และเหตุการณ์ร้ายต่อการรักษาความปลอดภัย จะต้องได้รับการแจกแจงและวิเคราะห์ เพื่อให้มั่นใจว่าสาเหตุหลักได้รับการดำเนินการ ความถี่และระดับความรุนแรงจะต้องมีการเทียบเคียงกับผู้ที่มีส่วนได้เสียกับห่วงโซ่อุปทาน

• อัตราความถี่และความรุนแรงของเหตุร้ายที่มีต่อการรักษาความปลอดภัย
• สถานที่ กิจกรรมที่เกี่ยวข้อง หน่วยงานที่เกี่ยวข้อง วัน เวลา
• ประเภทและระดับ หรือผลกระทบที่มีต่อสิ่งอำนวยความสะดวก ห่วงโซ่อุปทาน เป็นต้น
• สาเหตุโดยตรง และสาเหตุหลัก

โดยจะต้องมีการจัดทำข้อสรุปและนำไปสู่การปฏิบัติการแก้ไข นอกจากนั้นจะต้องมีการแจ้ง ผลการวิเคราะห์ไปยังผู้บริหารขององค์กรให้ทราบ รวมถึงนำเข้าสู่การทบทวนโดยฝ่ายบริหารด้วย

บันทึกต่าง ๆ ที่จัดทำขึ้น เพื่อเป็นหลักฐานแสดงถึงความสอดคล้องตามข้อกำหนดต่าง ๆ ของระบบการจัดการด้านการรักษาความปลอดภัย และความสำเร็จของการดำเนินงาน จะต้องได้รับการควบคุมตามแนวทางที่องค์กรได้กำหนดขึ้น โดยแนวทางในการควบคุมบันทึก จะต้องครอบคลุมถึง การระบุ การจัดเก็บ การดูแลรักษา การนำมาใช้งาน ระยะเวลาในการจัดเก็บ และการยกเลิกบันทึก 

บันทึกต่าง ๆ จะต้องมีความสมบูรณ์ อ่านได้ง่าย และมีการชี้บ่งอย่างเพียงพอ รวมถึงได้รับการจัดเก็บในสถานที่ที่ปลอดภัยจากการเกิดเพลิงไหม้ หรือจากความเสียหายอื่น ๆ ตามที่กำหนดไว้ในข้อกฎหมายที่เกี่ยวข้อง 

ในกรณีของเอกสารในระบบดิจิตอล และอิเลคทรอนิคส์ จะต้องได้รับการตรวจสอบ การสำรองข้อมูล และการอนุญาตให้เข้าถึงได้โดยบุคลากรที่ได้รับอนุญาตเท่านั้น

ทั้งนี้ บันทึกที่จะต้องมีการจัดเก็บ ประกอบด้วย
• บันทึกการฝึกอบรมและความสามารถ
• บันทึกการตรวจสอบระบบการรักษาความปลอดภัย
• ความไม่สอดคล้องตามข้อกำหนดของระบบการจัดการด้านการรักษาความปลอดภัย
• ผลของการปฏิบัติการแก้ไขและการป้องกัน
• รายงานการตรวจประเมินระบบการจัดการด้านการรักษาความปลอดภัย
• บันทึกการประชุมเกี่ยวกับการจัดการด้านการรักษาความปลอดภัย
• รายงานการทบทวนโดยฝ่ายบริหาร
• บันทึกการระบุถึงภัยคุกคามต่อการรักษาความปลอดภัย การประเมินความเสี่ยง และการบริหารความเสี่ยง เป็นต้น

นอกจากนั้น จะต้องมีการกำหนดอำนาจหน้าที่ในการทำลายบันทึกการรักษาความปลอดภัย การดูแลรักษาความลับของบันทึก  ระยะเวลาในการจัดเก็บบันทึกตามข้อกำหนดทางกฎหมาย หรือข้อกำหนดอื่น ๆ และการใช้ข้อมูลในรูปแบบอิเลคทรอนิคส์

การตรวจประเมินระบบการจัดการด้านการรักษาความปลอดภัย จะเป็นการดำเนินการเพื่อ
1. พิจารณาการดำเนินการของระบบการจัดการด้านการรักษาความปลอดภัย มีความสอดคล้องตามสิ่งที่ได้วางแผนไว้ รวมถึงข้อกำหนดทั้งหมดของมาตรฐานนี้ มีการนำไปใช้งาน และดูแลรักษาอย่างเหมาะสม และมีการดำเนินการที่สอดคล้องตามนโยบาย และวัตถุประสงค์อย่างมีประสิทธิผล
2. ทบทวนผลของการตรวจประเมินที่ผ่านมา และการดำเนินการเพื่อแก้ไขความไม่สอดคล้องตามข้อกำหนด
3. จัดเตรียมข้อมูล และรายงานที่ได้จากการตรวจประเมิน นำเสนอให้กับฝ่ายบริหารขององค์กร
4. ทวนสอบอุปกรณ์การรักษาความปลอดภัย รวมถึงบุคลากรได้มีการเตรียมการอย่างเหมาะสม 

องค์ประกอบที่สำคัญของการจัดทำกระบวนการในการตรวจประเมินระบบการจัดการด้านการรักษาความปลอดภัย จะประกอบด้วย
การตรวจประเมิน

ในการตรวจประเมินระบบการจัดการ จะเป็นการประเมินอย่างเป็นทางการ ตามแผนการดำเนินการที่กำหนดไว้ ส่วนการตรวจประเมินเพิ่มเติม จะกระทำเมื่อมีเหตุการณ์ที่สำคัญเกิดขึ้น เช่น ภายหลังจากการเกิดความไม่ต่อเนื่องที่มีผลกระทบต่อระบบการรักษาความปลอดภัย การเปลี่ยนแปลงขององค์กร หรือสิ่งอำนวยความสะดวกต่าง ๆ ที่เกี่ยวข้อง หรือการเปลี่ยนแปลงขอบเขตของห่วงโซ่อุปทาน เป็นต้น 

ภายหลังจากการตรวจประเมิน จะต้องมีการจัดทำรายงานผลลัพธ์ของการตรวจประเมิน รวมถึงบันทึกการประเมินความมีประสิทธิผลของวิธีการปฏิบัติงาน ระดับของความสอดคล้องตามวิธีการปฏิบัติงานที่กำหนด และระบุถึงการปฏิบัติการแก้ไขที่จำเป็น เพื่อเสนอให้กับผู้บริหารในช่วงเวลาที่เหมาะสมต่อไป 

ตารางเวลาการตรวจประเมิน

แผนการตรวจประเมิน (โดยทั่วไปจะเป็นแผนงานประจำปี) จะถูกจัดทำขึ้น โดยความถี่ในการตรวจประเมิน และขอบเขตของการตรวจประเมิน จะต้องสัมพันธ์กันกับความเสี่ยงที่เกี่ยวกับองค์ประกอบต่าง ๆ ของระบบการจัดการด้านการรักษาความปลอดภัย รวมถึงความพร้อมของข้อมูลเกี่ยวกับผลการดำเนินงานของระบบ ผลลัพธ์ที่ได้จากการทบทวนโดยฝ่ายบริหาร และการเปลี่ยนแปลงของระบบการจัดการ ทั้งนี้ การตรวจประเมินที่เพิ่มขึ้น หรือที่ไม่ได้วางแผนไว้ อาจจะเกิดขึ้น ในกรณีที่เกิดเหตุการณ์พิเศษขึ้น เช่น ภายหลังจากเกิดเหตุการณ์ที่มีผลกระทบต่อการรักษาความปลอดภัยขึ้น

เพื่อให้การตรวจประเมินระบบเป็นไปอย่างมีคุณค่า จำเป็นอย่างยิ่งที่ผู้บริหารระดับสูง จะต้องให้การสนับสนุนอย่างเต็มที่ต่อการตรวจประเมิน และจะต้องพิจารณาถึงสิ่งที่พบจากการตรวจประเมิน รวมถึงข้อเสนอแนะต่าง ๆ เพื่อดำเนินการแก้ไขข้อบกพร่อง หรือปรับปรุงระบบให้ดีขึ้น
ทั้งนี้ บุคลากรที่เกี่ยวข้องกับการตรวจประเมิน จะต้องได้รับการแจ้งให้ทราบถึงวัตถุประสงค์ และประโยชน์ของการตรวจประเมิน โดยจะต้องมีการชี้แจ้งให้กับพนักงาน ในการให้ความร่วมมืออย่างเต็มที่กับผู้ตรวจประเมิน และให้การตอบสนองต่อคำถามด้วยความซื่อสัตย์ ตั้งใจ และสร้างสรรค์

ผู้ตรวจประเมิน อาจจะเป็นเพียงแค่หนึ่งคน หรือรวมกันเป็นทีมผู้ตรวจประเมินก็ได้ แต่แนวทางในการทำงานเป็นทีมจะช่วยให้เกิดการมีส่วนร่วม และปรับปรุงการประสานงาน รวมถึงเปิดโอกาสในการนำทักษะ และความรู้ของผู้เชี่ยวชาญมาประยุกต์ใช้ในการตรวจประเมินได้ ทั้งนี้ ผู้ตรวจประเมินจะต้องเป็นอิสระจากส่วนงาน หรือกิจกรรมที่จะถูกตรวจประเมิน

ผู้ตรวจประเมินจะต้องเข้าใจถึงภารกิจ และมีความสามารถในการตรวจอย่างเพียงพอ โดยจำเป็นที่จะต้องมีประสบการณ์ และความรู้ ในมาตรฐานที่เกี่ยวข้อง หลักปฏิบัติ และระบบที่กำลังจะทำการตรวจ เพื่อให้สามารถทำการประเมินผลการดำเนินงาน และระบุถึงความไม่มีประสิทธิภาพที่เกิดขึ้นได้ นอกจากนั้นผู้ตรวจประเมินจะต้องมีความคุ้นเคยกับข้อกฎหมาย และระเบียบข้อบังคับต่าง ๆ ที่เกี่ยวข้องกับการรักษาความปลอดภัยด้วย 

เทคนิคที่จะนำมาใช้ในการรวบรวมข้อมูล จะขึ้นอยู่กับลักษณะของระบบการจัดการที่จะทำการตรวจประเมิน โดยการตรวจประเมิน จะต้องมั่นใจว่า ตัวอย่างของกิจกรรมที่จำเป็นได้รับการตรวจประเมินและบุคคลที่เกี่ยวข้องได้รับการสัมภาษณ์ เอกสารต่าง ๆ ที่เกี่ยวข้องจะต้องได้รับการตรวจประเมิน ซึ่งประกอบด้วย

1. นโยบาย และวัตถุประสงค์ของระบบการจัดการด้านการรักษาความปลอดภัย
2. วิธีการปฏิบัติงานด้านการรักษาความปลอดภัย
3. การระบุภัยคุกคามที่มีต่อการรักษาความปลอดภัย ผลการประเมินและการบริหารความเสี่ยง
4. ข้อกฎหมาย และแนวปฏิบัติที่ดีที่สุด (Best Practice)
5. รายงานความไม่เป็นไปตามข้อกำหนด
6. วิธีการปฏิบัติงานในการตรวจประเมินระบบการจัดการ
7. รายละเอียดของผู้ตรวจประเมินภายใน (หรือภายนอก) ที่มีความสามารถ และเป็นอิสระ
8. วิธีการปฏิบัติงานในการจัดการความไม่เป็นไปตามข้อกำหนดที่เกิดขึ้น
9. ข้อมูลภัยคุกคามในการรักษาความปลอดภัย จากหน่วยงานภายนอก

รายงานการตรวจประเมินระบบบริหารความปลอดภัยจะต้องมีความชัดเจน ถูกต้อง และสมบูรณ์ รวมถึงจะต้องมีการระบุวันที่ และการลงนามโดยผู้ตรวจประเมิน ทั้งนี้เนื้อหาที่ควรจะมีในรายงานการตรวจประเมิน ประกอบด้วย

• วัตถุประสงค์ และขอบเขตการตรวจประเมิน
• แผนการตรวจประเมิน ที่ระบุสมาชิกของทีมผู้ตรวจประเมิน และผู้แทนของหน่วยงานที่ถูกตรวจ วันที่ทำการตรวจ และการระบุถึงพื้นที่ที่ทำการตรวจประเมิน
• การระบุถึงเอกสารอ้างอิงที่ใช้ในการดำเนินการตรวจประเมิน
• รายละเอียดของความไม่เป็นไปตามข้อกำหนด
• การประเมินของผู้ตรวจ ถึงระดับของความสอดคล้องตามมาตรฐาน
• ความสามารถของระบบการจัดการ ตามวัตถุประสงค์ที่กำหนด
• การแจกจ่ายรายงานการตรวจประเมินไปยังผู้ที่เกี่ยวข้อง 

นอกจากนั้น จะต้องมีการแจ้งผลของการตรวจประเมิน กลับไปยังหน่วยงานที่เกี่ยวข้องทั้งหมดเพื่อนำไปสู่การปฏิบัติการแก้ไข โดยจะต้องมีการระบุแผนการดำเนินงานของการแก้ไข ผู้รับผิดชอบในการดำเนินการ และวันที่จะดำเนินการให้แล้วเสร็จ ทั้งนี้ จะต้องมีการติดตามผลการดำเนินงานด้วย เพื่อให้มั่นใจได้ว่ามีการดำเนินการเป็นที่น่าพอใจ และมีการรายงานผลการตรวจประเมินให้กับผู้บริหารระดับสูง เพื่อทำการทบทวนความมีประสิทธิผลของระบบต่อไป

ผู้บริหารระดับสูงขององค์กร จะต้องจัดให้มีการทบทวนระบบการจัดการด้านการรักษาความปลอดภัยขององค์กรในช่วงเวลาที่กำหนด เพื่อให้มั่นใจได้ว่าระบบยังมีความเหมาะสม ความเพียงพอ และประสิทธิผลอย่างต่อเนื่อง การทบทวนยังรวมไปถึงการประเมินโอกาสในการปรับปรุง และความจำเป็นในการเปลี่ยนแปลงระบบ รวมถึงนโยบาย วัตถุประสงค์ ภัยคุกคามและความเสี่ยงด้วย

ในการวางแผนสำหรับการทบทวนโดยฝ่ายบริหาร จะพิจารณาจาก หัวข้อที่จะทำการทบทวน ผู้เข้าร่วมในการทบทวน (ผู้จัดการ ผู้เชี่ยวชาญด้านการรักษาความปลอดภัย หรือบุคคลอื่น ๆ) ความรับผิดชอบของส่วนต่าง ๆ ต่อการทบทวน และข้อมูลสารสนเทศที่จะต้องทำการทบทวน

• ความเหมาะสมของนโยบายที่ใช้ในปัจจุบัน
• การกำหนด และปรับปรุงวัตถุประสงค์เพื่อการปรับปรุงอย่างต่อเนื่อง
• ความเพียงพอของการกำหนดภัยคุกคาม การประเมินความเสี่ยง และกระบวนการบริหารความเสี่ยง
• ระดับปัจจุบันของความเสี่ยง และความมีประสิทธิผลของการควบคุมที่มีอยู่ในปัจจุบัน
• ความเพียงพอของทรัพยากร
• ความมีประสิทธิผลของกระบวนการตรวจสอบการรักษาความปลอดภัย
• ความมีประสิทธิผลของกระบวนการรายงานความเสี่ยงต่อการรักษาความปลอดภัย
• ข้อมูลเกี่ยวกับการรักษาความปลอดภัย และเหตุร้ายที่เกิดขึ้น
• บันทึกของวิธีการปฏิบัติงานที่ไม่มีประสิทธิผล
• ผลของการตรวจประเมินระบบการจัดการด้านการรักษาความปลอดภัยทั้งจากภายในและภายนอกองค์กร
• สถานะของความพร้อมต่อเหตุฉุกเฉิน และการฟื้นฟูสถานการณ์ในการรักษาความปลอดภัย
• การปรับปรุงระบบการจัดการด้านการรักษาความปลอดภัย
• ผลการสอบสวนเหตุร้ายที่เกิดขึ้น 
• การประเมินผลกระทบของการเปลี่ยนแปลงที่เกิดขึ้น จากกฎหมาย ระเบียบข้อบังคับ เทคโนโลยี หรือข้อมูลความรู้ทางด้านการรักษาความปลอดภัย

ผลลัพธ์ที่ได้ของการทบทวนโดยฝ่ายบริหาร จะประกอบด้วยการตัดสินใจ และการดำเนินการที่เกี่ยวกับการเปลี่ยนแปลงใน นโยบาย วัตถุประสงค์ เป้าหมาย และองค์ประกอบอื่น ๆ ของระบบการจัดการด้านการรักษาความปลอดภัย รวมถึงการปรับปรุงระบบอย่างต่อเนื่อง ทั้งนี้ การทบทวนระบบการจัดการด้านการรักษาความปลอดภัยโดยฝ่ายบริหาร สามารถดำเนินการไปพร้อมกับการทบทวนโดยฝ่ายบริหารในระบบอื่น ๆ เช่น ระบบคุณภาพ สิ่งแวดล้อม หรือการบริหารความปลอดภัย และระบบบริหารอื่น ๆ

ในการจัดทำมาตรฐาน ISO 28000 นอกจากที่จะให้ประโยชน์กับองค์กรในการสร้างความเชื่อมั่นต่อระบบการจัดการด้านการรักษาความปลอดภัยที่ดีต่อการดำเนินธุรกิจขององค์กรต่าง ๆ ในห่วงโซ่อุปทานแล้ว ยังเป็นพื้นฐานที่ดีสำหรับการพัฒนาไปสู่มาตรฐานด้านการรักษาความปลอดภัยในระดับนานาชาติอื่น ๆ ได้อีก

เช่น The International Maritime Organization’s International Ship and Port Facility (ISPS) Code, the National Customs Department’s Authorized Economic Operator (AEO) program, the EC’s Regulation for Enhancing Supply Chain Security AEO program, และ US Customers and Border Protection Initiative, the Customs-Trade Partnership Against Terrorism (C-TPAT)

ปัจจุบันมีหลาย ๆ องค์กรต่างได้รับการรับรองมาตรฐานนี้ ทั้งในองค์กรที่ทำธุรกิจเกี่ยวกับการขนส่ง คลังสินค้า นำเข้าและส่งออก ท่าเรือ ขนส่งทางเรือ สายการบิน หน่วยงานของรัฐ โรงงานผู้ผลิตสินค้า เป็นต้น ซึ่งแนวโน้มคาดว่าจะมีองค์กรที่ทำธุรกิจอยู่ในห่วงโซ่อุปทานอีกเป็นจำนวนมากที่จะมีการจัดทำ และขอรับรองในมาตรฐานนี้ ตามการเปลี่ยนแปลง และการให้ความสำคัญกับการรักษาความปลอดภัยของสินค้าที่เพิ่มสูงขึ้นอย่างต่อเนื่อง