ขั้นตอนที่ 1
ตรวจประเมินเบื้องต้น โดยตรวจประเมินแบบคำขอ น.ร. 01 เพื่อประเมินความพร้อมของผู้ยื่นคำขอ
กรณีข้อมูลไม่ครบถ้วน สำนักงานสามารถขอข้อมูลเพิ่มเติมได้
ขั้นตอนที่ 2
วางแผนกิจกรรมและการเตรียมการที่เกี่ยวกับการดำเนินการตรวจประเมินตามกระบวนการที่จัดทำขึ้นอย่างเป็นระบบ
ขั้นตอนที่ 3
ตรวจประเมินเพื่อประเมินความสอดคล้องกับเกณฑ์การตรวจประเมินที่กำหนด
กรณีที่พบความไม่สอดคล้องสำคัญ
ผู้รับการตรวจประเมินจะต้องส่งแผนการแก้ไขภายใน 30 วัน และต้องแก้ไขความไม่สอดคล้องสำคัญภายใน 90 วัน
กรณีที่พบความไม่สอดคล้องย่อย
ผู้รับการตรวจประเมินจะต้องส่งแผนการแก้ไขความไม่สอดคล้องย่อยมายังสำนักงานภายใน 30 วัน
ขั้นตอนที่ 4
นำเสนอคณะกรรมการทบทวนเพื่อทบทวนความถูกต้องครบถ้วนของผลการตรวจประเมิน ก่อนนำเสนอคณะกรรมการ รับรองพิจารณาให้ความเห็นชอบผลการตรวจประเมิน
ขั้นตอนที่ 5
คณะกรรมการรับรองพิจารณาตัดสินให้การรับรอง
ขั้นตอนที่ 6
สำนักงานออกหนังสือรับรองอย่างเป็นทางการแก่ผู้ยื่นคำขอรับการตรวจประเมินว่าการให้บริการนั้นมีความมั่นคงปลอดภัยสารสนเทศเป็นไปตามหลักเกณฑ์ วิธีการ และเงื่อนไขที่กำหนดและประกาศรายชื่อผู้ได้รับการรับรองผ่านทางเว็บไซต์
ตรวจติดตามผลทุก 1 ปี
ตรวจประเมินเพื่อติดตามการดำเนินการในช่วงก่อนครบรอบการตรวจประเมินใหม่อย่างน้อยปีละ 1 ครั้ง นับจากวันที่ออกหนังสือรับรอง (Surveillance Audit)
ตรวจประเมินเพื่อต่ออายุ
ตรวจประเมินใหม่เพื่อต่ออายุการรับรอง โดยจะดำเนินการทุก 3 ปี เพื่อการทบทวนความมั่นคงปลอดภัยสารสนเทศของผู้ให้บริการอีกครั้งว่าบริษัท/หน่วยงานมีการนำเกณฑ์การตรวจประเมินไปปฏิบัติ และยังมีประสิทธิผลอยู่ (แจ้งล่วงหน้าอย่างน้อย 180 วัน)
หมายเหตุ:
1. ผู้ขอรับการรับรองต้องผ่านการทดสอบระบบนำส่งข้อมูลกับกรมสรรพากร
2. ระยะเวลาในการตรวจประเมินขึ้นอยู่กับ สถานที่ บุคลากรที่เกี่ยวข้อง Business Complexity IT Complexity