Wednesday, October 29, 2014

ความมั่นคงปลอดภัยทางกายภาพที่ดี ตามมาตรฐาน ISO 27001



ความมั่นคงปลอดภัยทางกายภาพที่ดี ตามมาตรฐาน ISO 27001



อาคารสำนักงานเป็นอีกหนึ่งสิ่งที่ใช้บ่งบอกถึงภาพลักษณ์อันดีงามขององค์กร ออฟฟิสหลายแห่งได้รับการออกแบบอย่างสวยงามหรูหรา ตกแต่งด้วยวัสดุนำเข้าชั้นดี เพื่อตอกย้ำความน่าเชื่อถือของบริษัท แต่คุณทราบหรือไม่ว่า การออกแบบโครงสร้างสำนักงานที่ดีนั้น ยังจำเป็นต้องตอบโจทย์ด้านความมั่นคงปลอดภัยทางกายภาพอีกด้วย




ลักษณะทางกายภาพของสำนักงานที่ดีนั้น จะต้องสามารถปกป้องคุ้มครองทรัพย์สินจากภัยคุกคามต่างๆ ได้ ไม่ว่าเหตุร้ายนั้นจะเกิดขึ้นจากภายนอกหรือภายใน เพราะเราไม่สามารถคาดการณ์ได้ล่วงหน้าว่าจะมีภัยเกิดขึ้นที่ไหน เมื่อไหร่ อย่างไร ดังนั้น เราจึงควรวางแผนล่วงหน้าไว้อย่างรอบคอบ เริ่มตั้งแต่การเลือกทำเลที่ตั้งอย่างเหมาะสม ไปจนถึงการกำหนดมาตรการรักษาความปลอดภัยต่างๆ ถ้าหากคุณยังลังเลไม่แน่ใจว่าควรจะดำเนินการในเรื่องนี้ยังไง ผมมีตัวช่วยดีๆ มาบอกครับ
 

ตามมาตรฐาน ISO 27001 ได้มีหัวข้อสำคัญ ที่กล่าวถึงแนวทางในการบริหารจัดการความมั่นคงปลอดภัยทางกายภาพ ซึ่งเป็นที่ยอมรับอย่างแพร่หลายในระดับสากล และผมได้สรุปใจความสำคัญมาเล่าสู่กันฟัง ดังนี้



ความมั่นคงปลอดภัยทางโครงสร้าง คุณต้องเริ่มต้นพิจารณาตั้งแต่ทำเลที่ตั้ง สภาพแวดล้อมโดยรอบเป็นอย่างไร ใกล้แหล่งที่มีความเสี่ยงใดๆ บ้างหรือไม่ มีสาธารณูปโภคครบถ้วนเพียงพอไหม สำนักงานของเราตั้งอยู่ชั้นไหน มีรั้วรอบขอบชิดไหม โครงสร้างอาคารทนต่อแผ่นดินไหวไหม มีผนังกันไฟหรือไม่ มีระบบดับเพลิงที่มีประสิทธิภาพหรือเปล่า ตำแหน่งเส้นทางหนีไฟอยู่จุดใด เป็นต้น

การควบคุมการเข้าออกพื้นที่ คุณควรจัดให้มีเจ้าหน้าที่ควบคุมการเข้าออก ผู้ที่มาติดต่อต้องมีการแลกบัตรประจำตัวและลงบันทึกการเข้าพื้นที่ มีการติดตั้งกล้องวงจรปิด และระบบตรวจสอบตัวตนผู้มีสิทธิ์เข้าใช้พื้นที่ เช่น ระบบสแกนบัตรประจำตัวพนักงาน นอกจากนี้ ในพื้นที่บางส่วนอาจจะต้องมีการทำเอกสารขออนุญาตเข้าออกล่วงหน้า มีระเบียบขอเข้าใช้พื้นที่ในวันหยุด มีแบบฟอร์มควบคุมการนำพัสดุออกนอกพื้นที่ เป็นต้น




การแบ่งแยกพื้นที่ พื้นที่แต่ละส่วนภายในสำนักงานย่อมมีระดับความสำคัญไม่เท่ากัน จึงควรมีการแบ่งแยกอย่างชัดเจน เพื่อให้สามารถกำหนดมาตรการรักษาความมั่นคงปลอดภัยได้อย่างเหมาะสมสอดคล้องตามระดับความเสี่ยง เช่น พื้นที่รับรองผู้มาติดต่อ พื้นที่รับส่งสินค้า พื้นที่ทำงาน พื้นที่มั่นคง พื้นที่ตั้งอุปกรณ์โทรคมนาคม เป็นต้น

ขั้นตอนปฏิบัติงานในพื้นที่ควบคุม คุณจะต้องกำหนดว่าในแต่ละพื้นที่นั้น มีสิ่งใดที่ทำได้และสิ่งใดที่ทำไม่ได้บ้าง ยิ่งพื้นที่ที่มีความเสี่ยงสูงยิ่งจะต้องมีกติการการเข้าทำงานที่เข้มงวด เพื่อความมั่นคงปลอดภัยของทั้งต่อทรัพย์สินและสวัสดิภาพของพนักงาน เช่น การห้ามถ่ายรูป การห้ามนำอาหารและเครื่องดื่มเข้าพื้นที่ การห้ามนำสื่อบันทึกข้อมูลเข้าพื้นที่ เป็นต้น

ระบบป้องกันและระบบตรวจจับสิ่งผิดปกติ ระบบเหล่านี้ยิ่งมีมากก็ยิ่งมั่นใจในความปลอดภัยได้มากขึ้น ซึ่งในปัจจุบันนี้มีอยู่มากมายหลายระบบ เช่น ระบบตรวจจับความเคลื่อนไหว ระบบตรวจจับผู้บุกรุก ระบบตรวจจับความร้อน ระบบตรวจจับความชื้น ระบบดับเพลิง เป็นต้น โดยในการพิจารณาเลือกใช้นั้น ควรตัดสินจากความจำเป็น และงบประมาณขององค์กรเป็นสำคัญ

ระบบสนับสนุน ทุกองค์กรควรจะมีการวางแผนรับมือล่วงหน้าในกรณีที่ระบบหลักต่างๆ เกิดเหตุหยุดชะงัก เช่น ระบบไฟฟ้าสำรอง ระบบสายสัญญาณสำรอง ระบบสื่อสารหรือโทรคมนาคมสำรอง รวมถึงระบบสำรองที่จำเป็นอื่นๆ เพื่อให้ธุรกิจสามารถดำเนินต่อไปได้อย่างราบรื่นต่อเนื่อง

การจัดวางตำแหน่ง อุปกรณ์และระบบต่างๆ จะต้องมีการจัดวางตำแหน่งให้เหมาะสมตามคุณสมบัติ รูปลักษณ์ และความมั่นคงปลอดภัยเป็นสำคัญ ไม่ว่าจะเป็นโต๊ะทำงาน อุปกรณ์สำนักงาน ระบบไอที ระบบสื่อสาร ฯลฯ ยิ่งมีความสำคัญมาก ก็ต้องตั้งอยู่ในตำแหน่งที่ยากต่อการเข้าถึง ไม่สามารถแอบมองหรือดักฟังได้ เป็นต้น



พื้นที่สำนักงานทีได้รับการวางแผนจัดการเป็นอย่างดี ย่อมสะท้อนให้เห็นถึงความมุ่งมั่นตั้งใจขององค์กรในการรักษาความมั่นคงปลอดภัย ซึ่งเป็นการแสดงออกถึงความรับผิดชอบที่มีต่อธุรกิจ พนักงาน และผู้มีส่วนเกี่ยวข้องทุกฝ่าย และเป็นปัจจัยหนึ่งที่ช่วยให้องค์กรสามารถมุ่งสู่ความสำเร็จได้อย่างยั่งยืน



Content Cr : DestinationOne Counselor

Photo Cr : Freeimages.com

Monday, October 20, 2014

ความรู้เบื้องต้นเกี่ยวกับการจัดการกระบวนการ (Process Management) ตอนที่ 2



ความรู้เบื้องต้นเกี่ยวกับการจัดการกระบวนการ (Process Management) ตอนที่ 2



จากบทความเดิมในตอนที่ 1 เราได้ทราบกันไปแล้วว่าทุกองค์กรย่อมต้องมีกระบวนการทำงาน ซึ่งในแต่ละกระบวนการจะประกอบขึ้นด้วยกิจกรรมต่างๆ เพื่อให้เกิดผลลัพธ์ตามวัตถุประสงค์ โดยการจัดการกระบวนการที่มีประสิทธิภาพนั้น เราจะต้องเริ่มต้นจากการ “วางแผน” ก่อนเป็นอันดับแรก




ผมขออธิบายเกี่ยวกับการวางแผนโดยยกตัวอย่างอิงกีฬายอดฮิตอย่างฟุตบอล ซึ่งคณะโค้ชของแต่ละทีมจะต้องวางแผนกำหนดตำแหน่งผู้เล่น ในบางครั้งก็ต้องพิจารณาซื้อตัวนักเตะเพิ่ม บางทีก็จะต้องมีการสลับตำแหน่งกันบ้างเพื่อความเหมาะสม โดยกำหนดบทบาทหน้าที่ของแต่ละตำแหน่ง แจกแจงแผนการเล่นอย่างรัดกุมว่าจะจัดทัพแบบใด  จะเป็น 4-3-3 ดี หรือ 4-4-2 ดี เรื่อยไปจนถึงจะใช้แทคติกแบบไหนเพื่อให้ทีมทำประตูเอาชนะฝ่ายตรงข้ามได้อย่างเด็ดขาด เปรียบไปก็เหมือนกับองค์กรที่มีเป้าหมายในการเอาชนะสนามแข่งขันทางธุรกิจ จึงต้องมีการวางแผนอย่างรอบคอบ มีการควบคุมและปรับปรุงกระบวนการอย่างสม่ำเสมอ ซึ่งจะช่วยลดการสิ้นเปลืองงบประมาณ ทรัพยากร และเวลา ส่งผลให้ต้านทุนต่ำลงในขณะที่ผลกำไรเพิ่มขึ้น



การออกแบบกระบวนการก็จัดเป็นการวางแผนอย่างหนึ่ง ที่จะช่วยให้มองเห็นภาพรวมและความสัมพันธ์ของแต่ละกระบวนการที่เชื่อมโยงกัน ดังนั้น แผนงานที่ดีจะสะท้อนถึงภาพลักษณ์และตัวตนขององค์กรในทางที่ดีด้วยเช่นกัน




การออกแบบกระบวนการนั้น จะต้องคำนึงถึงปัจจัยที่เกี่ยวข้องหลายด้าน เช่น ระยะเวลา ต้นทุน ทรัพยากร ความเสี่ยง เป็นต้น ยกตัวอย่างเช่นในการพัฒนาระบบสารสนเทศ จำเป็นต้องมีการวางแผนกิจกรรมต่างๆ ที่ต้องทำไว้ล่วงหน้า เพื่อควบคุมการดำเนินโครงการให้เป็นไปตามต้องการภายใต้ระยะเวลา งบประมาณ และทรัพยากรที่มีอยู่



หลายท่านอาจจะสงสัยว่า แล้วแผนงานที่ดีจะต้องมีอะไรบ้างล่ะ? ผมจึงขอไขข้อข้องใจให้ทราบว่าคุณควรจะมีสิ่งเหล่านี้เป็นอย่างน้อยครับ

      กำหนดวัตถุประสงค์ เช่น เพื่อให้มีมาตรฐานในการทำงาน, เพื่อให้สอดคล้องตามบทบัญญัติของกฎหมาย

     กำหนดขอบเขต เช่น ครอบคลุมบุคลากรทุกคนในองค์กร, ครอบคลุมอุปกรณ์ที่อยู่ภายใต้การดูแลของแผนกไอที

     กำหนดเป้าหมาย ซึ่งจะต้องตอบสนองภารกิจหลักขององค์กร เช่น เพิ่มยอดขาย +10% จากปีที่แล้ว

     ประเมินระยะเวลา ทรัพยากร และค่าใช้จ่ายที่จำเป็นต้องใช้ในแต่ละกิจกรรม รวมถึงกำหนดตารางกิจกรรม

     กำหนดบทบาทหน้าที่และความรับผิดชอบของคนที่เกี่ยวข้อง

     ประเมินความเสี่ยงและผลกระทบอันอาจจะเกิดขึ้น

     จัดทำแผนภาพความสัมพันธ์ของกิจกรรมและกระบวนการทั้งกระบวนการหลักและสนับสนุน

     กำหนดกระบวนการควบคุมติดตาม KPI (Key Performance Indicator)



การออกแบบกระบวนการนั้นจะเกิดขึ้นในระหว่างการวิเคราะห์ความต้องการและการเริ่มต้นสร้างกระบวนการทำงาน ขนาดและความซับซ้อนของมันจะขึ้นอยู่กับวัตถุประสงค์ขององค์กร ในช่วงการออกแบบนี่เองจะช่วยให้คุณมองเห็นโครงสร้างทั้งหมดและตัดสินใจเลือกวิธีการ (Solution) ที่มีประสิทธิภาพ.. คุณลองนึกภาพตามผมดูนะครับว่ามีลูกฟุตบอลวางขายอยู่ข้างกัน 2 ลูก ถึงจะเป็นคนละยี่ห้อแต่ทั้งคู่ก็มีรูปร่างลักษณะเหมือนกันทุกประการ ซึ่งคนทั่วไปอย่างเราคงไม่มีทางแยกแยะความแตกต่างได้ แต่เบื้องหลังการผลิตของแต่ละยี่ห้อนั้นอาจจะมีกระบวนการผลิตที่ไม่เหมือนกันโดยสิ้นเชิง ด้วยคุณภาพสินค้าที่เท่าเทียมกันนี้ ยี่ห้อหนึ่งอาจจะสามารถควบคุมกระบวนการผลิตให้ได้ต้นทุนที่ต่ำกว่า ส่งผลให้ได้สัดส่วนกำไรที่สูงกว่า ซึ่งถือเป็นข้อได้เปรียบในการเอาชนะการแข่งขันเชิงการค้า และสามารถอยู่รอดได้อย่างยั่งยืนกว่าอีกฝ่ายนั่นเอง



ขั้นตอนการออกแบบกระบวนการ

     1. พิจารณาข้อกำหนดที่ต้องการ

     2. พิจารณาขั้นตอนในการดำเนินการ เพื่อให้ได้ผลลัพธ์ตามข้อกำหนด 
          รวมถึงทบทวนเงื่อนไขของสภาพปัจจุบัน

     3. กำหนดทรัพยากรที่จำเป็นต้องใช้

     4. กำหนดผู้รับผิดชอบในการดำเนินการในแต่ละขั้นตอน

     5. กำหนดวิธีการในการควบคุมและตรวจสอบ

     6. พิจารณาเอกสารแบบฟอร์มที่จำเป็นต้องใช้ในแต่ละขั้นตอน

     7. ทดลองปฏิบัติตามกระบวนการที่ได้ออกแบบไว้

     8.  ตรวจสอบ และนำมาปรับปรุงแก้ไขให้เหมาะสม

     9. จัดทำเป็นเอกสารมาตรฐาน เพื่อใช้ในการอ้างอิงในองค์กร



กระบวนการทำงานที่ดีจะต้องมาจากการออกแบบที่ดี จึงจะส่งผลให้สามารถทำงานได้อย่างมีประสิทธภาพ บรรลุตามความต้องการหรือวัตถุประสงค์ที่วางไว้ โดยกระบวนการที่ดีจะต้องมีความคล่องตัวสูงสามารถปรับเปลี่ยนได้ตามความเหมาะสมของสถานการณ์ ที่สำคัญจะต้องไม่ซับซ้อนเกินความจำเป็น และมีความรอบคอบ รัดกุม ชัดเจนครับ


Content Cr: DestinationOne Counselor


Monday, October 13, 2014

วิธี “ทำลายข้อมูล” อย่างมั่นคงปลอดภัยตามมาตรฐาน ISO 27001:2013


วิธี “ทำลายข้อมูล” อย่างมั่นคงปลอดภัยตามมาตรฐาน ISO 27001:2013



“ข้อมูล” มหาศาลถือเป็นสิ่งจำเป็นที่ใช้ประกอบการดำเนินธุรกิจ ไม่ว่าจะเป็นข้อมูลผลิตภัณฑ์ ข้อมูลการตลาด ข้อมูลระบบ ข้อมูลการเงิน ข้อมูลลูกค้า ฯลฯ ซึ่งบางอย่างก็เป็นข้อมูลลับ ในขณะที่บางอย่างคงต้องเรียกว่า “ลับสุดยอด” ซึ่งโดยทั่วไปแล้วเราจะต้องดูแลรักษาข้อมูลเหล่านี้ตามระดับชั้นความลับหรือความเสี่ยงของมัน แต่คุณเคยคิดไปถึงวาระสุดท้ายของข้อมูลนั้นบ้างหรือไม่



ข้อมูลเองก็มีวงจรชีวิต เมื่อเราใช้มันไปเป็นระยะเวลาหนึ่ง ข้อมูลเหล่านั้นก็จะล้าสมัยหรือหมดความจำเป็น นั่นก็คือถึงเวลาที่เราต้องกำจัดข้อมูลนั้นทิ้งไป เมื่อถึงจุดนี้หลายท่านอาจจะใช้วิธีโยนกองเอกสารลงถังขยะ ลบไฟล์ข้อมูลแล้วขายทอดตลาดฮาร์ดไดรฟ์ไปเป็นเศษเหล็ก โดยที่หลงลืมไปว่าถึงแม้ข้อมูลจะหมดความจำเป็นในการใช้งาน แต่มันก็ยังคงความลับอยู่ จึงไม่แปลกที่เรามักจะได้ข่าวข้อมูลรั่วไหลอยู่บ่อยๆ จากคนที่บังเอิญได้เอกสารนั้นไปอยู่ในมือ หรือกู้คืนข้อมูลจากเศษเหล็กที่คุณขายทิ้งไปแล้วนั้นได้



 ดังนั้น องค์กรของคุณจึงควรกำหนดวิธีการทำลายข้อมูลตามแนวทางของมาตรฐานสากล อาทิเช่น DoD 5220.22-M และ SP 800-88 เป็นต้น ซึ่งมีความมั่นคงปลอดภัยและสามารถตรวจสอบได้ ซึ่งวิธีการนั้นก็มีอยู่หลากหลายรูปแบบ ขึ้นอยู่กับประเภทของข้อมูล และประเภทของสื่อบันทึกข้อมูล มีตั้งแต่การทุบทำลาย การใช้เครื่องย่อยเอกสาร การใช้โปรแกรมลบข้อมูลถาวรต่างๆ ฯลฯ โดยคุณจะต้องพิจารณาตามความเหมาะสมกับความเสี่ยงและการตกลงร่วมกันภายในองค์กร



ตารางด้านล่างนี้ แสดงตัวอย่างของวิธีการทำลายข้อมูล




ตารางด้านล่างนี้ แสดงตัวอย่างโปรแกรมทำลายข้อมูล



 
วิธีการทำลายข้อมูลอย่างมั่นคงปลอดภัยนั้น จะต้องได้รับการประกาศใช้ภายในองค์กรอย่างเป็นทางการ และต้องมีการสื่อสารไปยังพนักงานทุกคนให้รับทราบและปฏิบัติตาม รวมถึงต้องคอยมีการตรวจสอบอย่างสม่ำเสมอ เพื่อให้มั่นใจว่าข้อมูลเหล่านั้นจะสาปสูญอย่างไร้ร่องรอย และไม่มีวันย้อนกลับมารั่วไหลโดยเด็ดขาด!!

Content Cr : DestinationOne Counselor

Tuesday, October 7, 2014

สรุปข้อกำหนด ISO 22301 แบบเข้าใจง่าย



สรุปข้อกำหนด ISO 22301 แบบเข้าใจง่าย



มาตรฐาน ISO 22301:2012 การบริหารความต่อเนื่องของธุรกิจ (Business Continuity Management) กำลังอยู่ในความสนใจของผู้ประกอบการธุรกิจทุกขนาด ตั้งแต่ SME ท้องถิ่นไปจนถึงบริษัทยักษ์ข้ามชาติ ซึ่งทุกองค์กรสามารถเลือกนำเอาคำแนะนำของมาตรฐานมาประยุกต์ใช้ได้ตามความเหมาะสม แต่สำหรับองค์กรที่ต้องการจะผ่านการตรวจประเมินเพื่อขอประกาศนีบัตรรับรองมาตรฐานดังกล่าว จำเป็นต้องปฏิบัติตนให้สอดคล้องตามข้อกำหนดหลักทั้งหมดของเอกสารมาตรฐาน ISO 22301:2012 (ข้อกำหนดที่ 4-10) ดังนั้น ในบทความนี้ผมจึงอยากจะเล่าถึงข้อกำหนดหลักเหล่านั้นให้ท่านฟังแบบง่ายๆ ครับ



ข้อกำหนดที่ 4 : Context of the Organization (การระบุบริบทขององค์กร)

>> คุณต้องทำความเข้าใจบริบททั้งหมดขององค์กร โดยระบุประเด็นหรือปัจจัยทั้งภายในและภายนอกที่เกี่ยวข้องและมีผลกระทบต่อเป้าหมายทางธุรกิจ

>> คุณต้องทำความเข้าใจกับความต้องการและความคาดหวังของผู้มีส่วนเกี่ยวข้องทุกภาคส่วน (Stakeholder) ที่มีต่อการบริหารความต่อเนื่องของธุรกิจ

>> คุณจะต้องระบุขอบเขต (Scope) ของระบบบริหารความต่อเนื่องของธุรกิจ รวมถึงชี้แจงข้อยกเว้นต่างๆ (ถ้ามี) พร้อมเหตุผลกำกับอย่างชัดเจน

>> คุณจะต้องกำหนดกลยุทธ์ แผนงานดำเนินการ การบำรุงรักษา และการปรับปรุงระบบบริหารความต่อเนื่องของธุรกิจ



ข้อกำหนดที่ 5 : Leadership (ภาวะความเป็นผู้นำ)

>> ผู้บริหารระดับสูงจะต้องแสดงออกถึงความเป็นผู้นำ (Leadership) และคำมั่นสัญญา (Commitment) ในกระบวนการบริหารความต่อเนื่องของธุรกิจ

>> สิ่งหนึ่งที่แสดงถึงคำมั่นสัญญา (Commitment) คือการกำหนดนโยบายการบริหารความต่อเนื่องของธุรกิจให้สอดคล้องกับวัตถุประสงค์ในการดำเนินธุรกิจขององค์กร และมีการจัดหาทรัพยากรสนับสนุนที่จำเป็นอย่างพอเพียง

>> คุณจะต้องมีการประกาศ บังคับใช้ และสื่อสารการใช้งานนโยบายการบริหารความต่อเนื่องของธุรกิจอย่างทั่วถึงทั้งองค์กร

>> คุณจะต้องมีการกำหนดบทบาท อำนาจ หน้าที่ และความรับผิดชอบของบุคลากรที่เกี่ยวข้องกับระบบการบริหารความต่อเนื่องของธุรกิจอย่างชัดเจน



ข้อกำหนดที่ 6 : Planning (การวางแผน)

>> คุณจะต้องกำหนดแผนงานในการจัดการกับความเสี่ยงในการบริหารความต่อเนื่องทางธุรกิจ และต้องกำหนดมาตรการเพื่อบริหารระดับความเสี่ยงให้อยู่ในระดับที่องค์กรสามารถยอมรับได้

>> คุณจะต้องมั่นใจว่าวัตถุประสงค์และแผนการดำเนินงานได้ถูกสื่อสารออกไปยังหน่วยงานต่างๆ ที่เกี่ยวข้อง




ข้อกำหนดที่ 7 : Support (การสนับสนุน)

>> คุณจะต้องจัดหาทรัพยากรที่พอเพียงและให้การสนับสนุนการดำเนินงานอย่างเหมาะสม

>> คุณจะต้องกำหนดทักษะความสามารถที่จำเป็นสำหรับแต่ละตำแหน่งงานที่เกี่ยวข้อง (Competency) และให้การอบรมเพื่อให้พนักงานเหล่านั้นสามารถปฏิบัติหน้าที่ได้อย่างมีประสิทธิภาพ

>> ผู้ที่เกี่ยวข้องทั้งหมดภายใต้ขอบเขตของระบบบริหารความต่อเนื่องของธุรกิจจะต้องมีความตระหนักรู้ (Awareness) เกี่ยวกับวัตถุประสงค์ นโยบาย และแผนการดำเนินงาน

>> คุณจะต้องจัดให้มีการสื่อสารข้อมูลเกี่ยวกับการบริหารความต่อเนื่องของธุรกิจให้ผู้ที่เกี่ยวข้องทั้งหมดรับทราบอย่างเหมาะสม ทั้งบุคคลภายในและภายนอกองค์กร

>> คุณจะต้องมีการบริหารจัดการเอกสารต่างๆ ที่เกี่ยวข้อง โดยให้คงไว้ซึ่งความถูกต้องครบถ้วนและความพร้อมใช้งานอยู่เสมอ



ข้อกำหนดที่ 8 : Operation (การปฏิบัติงาน)

>> คุณจะต้องมีการบริหารจัดการความเปลี่ยนแปลงต่างๆ (Change Management) ที่เกิดขึ้นในระหว่างการดำเนินงาน รวมถึงต้องมีการควบคุมการทำงานของผู้ให้บริการจากภายนอกด้วย

>> คุณจะต้องมีการวิเคราะห์ผลกระทบทางธุรกิจ (Business Impact Analysis) และการประเมินความเสี่ยง (Risk Assessment) เพื่อให้ทราบถึงลำดับความสำคัญของแต่ละกระบวนการทางธุรกิจ ความเสี่ยง ระยะเวลา และเงื่อนไขต่างๆ ที่เกี่ยวข้อง

>> คุณจะต้องกำหนดกลยุทธ์ในการสร้างความต่อเนื่องในการบริหารธุรกิจ (Business Continuity Strategy) พิจารณาใช้ทรัพยากรที่มีอยู่ให้เกิดประโยชน์สูงสุดและตอบโจทย์ทางธุรกิจเมื่อตกอยู่ในภาวะอันไม่พึงประสงค์และเหตุหยุดชะงักต่างๆ ที่ส่งผลให้ธุรกิจขาดความต่อเนื่อง

>> คุณจะต้องจัดให้มีขั้นตอนการปฏิงาน (Business Continuity Procedure) ที่สอดคล้องตามผลการวิเคราะห์ผลกระทบทางธุรกิจและผลการประเมินความเสี่ยง รวมถึงแผนการรับมือเหตุล่วงละเมิดต่างๆ แผนการเฝ้าระวัง และแผนการติดต่อสื่อสาร ที่สำคัญก็คือจะต้องจัดเตรียมแผนการกู้คืนระบบหรือกระบวนการที่สำคัญต่างๆ ขององค์กรเมื่อเกิดการหยุดชะงัก

>> คุณจะต้องจัดให้มีการฝึกซ้อมและทดสอบ (Exercising and Testing) แผนความต่อเนื่องทางธุรกิจ เพื่อให้แน่ใจว่ามีความสอดคล้องตามวัตถุประสงค์และเป้าหมายที่ได้กำหนดไว้



ข้อกำหนดที่ 9 : Performance Evaluation (การประเมินผล)

>> คุณต้องมีการตรวจสอบ ประเมิน และวิเคราะห์ผลการบริหารความต่อเนื่องของธุรกิจ โดยกำหนดตัวชี้วัดที่ชัดเจน เพื่อให้สะท้อนถึงประสิทธิภาพและประสิทธิผลของการดำเนินงาน

>> คุณจะต้องมีการตรวจประเมินภายใน (Internal Audit) ระบบบริหารความต่อเนื่องในการดำเนินธุรกิจตามรอบระยะเวลาที่กำหนดไว้อย่างเหมาะสม ครอบคลุมถึงปัจจัยทั้งหมดที่อยู่ภายใต้ขอบเขตที่ได้ระบุไว้

>> ผู้บริหารระดับสูงและผู้บริหารที่เกี่ยวข้องจะต้องทบทวนรายละเอียดต่างๆ (Management Reviews) ที่เกี่ยวข้องกับระบบบริหารความต่อเนื่องทางธุรกิจตามรอบระยะเวลาที่กำหนดไว้อย่างเหมาะสม



ข้อกำหนดที่ 10 : Improvement (การพัฒนาและปรับปรุง)

>> คุณจะต้องระบุว่าในปัจจุบันมีสิ่งใดบ้างที่ยังไม่เป็นไปตามข้อกำหนดของมาตรฐาน (Non-Conformity) และจัดทำแผนการแก้ไขให้ครบถ้วน (Corrective Action) รวมถึงกำหนดตัวชี้วัดผลการแก้ไขอีกด้วย

>> คุณจะต้องมีการปรับปรุงและพัฒนาระบบบริหารความต่อเนื่องทางธุรกิจอย่างสม่ำเสมอ เพื่อให้มีความทันสมัยและสอดคล้องกับวัตถุประสงค์ทางธุรกิจ และปัจจัยต่างๆ ที่มีการเปลี่ยนแปลงอย่างไม่หยุดนิ่ง



การปฏิบัติตามข้อกำหนดทั้งหมดข้างต้นนี้ จะช่วยให้ท่านประสบความสำเร็จในการขอรับการรับรองมาตรฐาน ISO 22301:2012 อีกทั้งยังเป็นการแสดงออกถึงความมุ่งมั่นในการสร้างความต่อเนื่องให้กับธุรกิจ เพื่อให้ความมั่นใจกับทั้งบุคลากรภายในและสาธารณชนโดยทั่วกัน



Content Cr : DestinationOne Counselor

Photo Cr : FreeImages.com