Thursday, April 23, 2015

วัฒนธรรมความมั่นคงปลอดภัยที่ทุกองค์กรต้องสร้างให้สำเร็จ



วัฒนธรรมความมั่นคงปลอดภัยที่ทุกองค์กรต้องสร้างให้สำเร็จ

วัฒนธรรมองค์กร คือ แนวทางหรือความเชื่อที่สมาชิกขององค์กรร่วมกันยึดถือปฏิบัติ เพื่อความเป็นระเบียบ สร้างความเจริญก้าวหน้า และช่วยให้สามารถฝันฝ่าปัญหาและอุปสรรคต่างๆ ไปได้พร้อมกัน ดังนั้น เมื่อพิจารณาแล้วทุกท่านคงจะเห็นตรงกันว่าวัฒนธรรมองค์กรนี้มีความสำคัญต่อความอยู่รอดขององค์กรมากเพียงใด

ในบทความนี้ ผมอยากจะพูดเจาะจงถึงการสร้างวัฒนธรรมองค์กรในด้านที่เกี่ยวกับความมั่นคงปลอดภัย ซึ่งจำเป็นอย่างยิ่งที่จะต้องให้ความรู้กับบุคลากรในทุกระดับชั้น เพื่อให้มีความเข้าใจถึงประโยชน์และมองเห็นคุณค่า จนเกิดเป็นจิตสำนึกในการปฏิบัติภารกิจการงานทุกชนิดโดยคำนึงถึงความมั่นคงปลอดภัยเป็นหลักอยู่ตลอดเวลา ซึ่งจะส่งผลให้ข้อมูล ระบบ บริการ และทรัพย์สินต่างๆ ขององค์กรคงไว้ซึ่ง ความลับ (Confidentiality), ความถูกต้อง (Integrity) และความพร้อมใช้งาน (Availability) อยู่เสมอ ธุรกิจขององค์กรจึงจะสามารถดำเนินไปได้อย่างราบรื่นและมีภาพลักษณ์ที่น่าเชื่อถือ



โดยผมและทีมงาน DestinationOne ได้ช่วยกันรวบรวมและสรุปมาตรการความมั่นคงปลอดภัยพื้นฐาน ที่ท่านผู้บริหารจะต้องมุ่งมั่นสนับสนุนผลักดัน และบุคลากรทั้งหมดจะต้องร่วมมือปฏิบัติและร่วมใจยึดถือ เพื่อสร้างวัฒนธรรมองค์กรด้านความมั่นคงปลอดภัยให้สำเร็จเกิดขึ้นจนได้ครับ

12 วัฒนธรรมความมั่นคงปลอดภัยที่ทุกองค์กรต้องมี

  1. ทำอะไรก็ตาม ต้องคำนึงถึง “ความเสี่ยง” ด้านความมั่นคงปลอดภัย
  2. ต้อง “ป้องกัน” ก่อนแก้ไขเสมอ
  3. จำไว้ว่าข้อมูล กระบวนการทำงาน และทรัพย์สินทุกอย่างมีมูลค่าทางด้านความมั่นคงปลอดภัย
  4. ต้องมี “การควบคุมการเข้าถึง” กับทรัพย์สิน ระบบ และสถานที่ทุกประเภท
  5. หนึ่งคน “หนึ่งผู้ใช้งาน”
  6.  “รหัสผ่าน” ต้องยาก หลากหลาย แต่จดจำง่าย (สำหรับเจ้าของ)
  7. การเปลี่ยนแปลงต่างๆ ต้องผ่าน “กระบวนการควบคุมการเปลี่ยนแปลง” เสมอ
  8. หากสังเกตพบสิ่งผิดปกติต้องรายงานผ่าน ”กระบวนการบริหารจัดการเหตุอุบัติการณ์” ทางด้านความมั่นคงปลอดภัย
  9. การจัดซื้อ จัดจ้าง จัดพัฒนา และจัดบำรุงรักษาอะไรก็ตาม ต้องคำนึงถึง “ความมั่นคงปลอดภัย” เสมอ
  10. มัลแวร์  หรือ ไวรัส  พร้อมโจมตีอยู่เสมอและตลอดเวลา โปรดระมัดระวัง
  11. ทุกอย่างของความมั่นคงปลอดภัย เริ่มต้นที่ “คน”
  12. กฎหมาย และนโยบายองค์กรต้อง “ปฎิบัติ” อย่างสม่ำเสมอ

การสร้างวัฒนธรรมองค์กรให้ได้ผลดี ต้องเริ่มจากผู้บริหารที่มีความเข้าใจ ให้การสนับสนุน และประพฤติตนเป็นแบบอย่าง โดยกำหนดนโยบายและแนวทางการปฏิบัติงานที่ชัดเจนแล้วสื่อสารออกไปอย่างทั่วถึงทั้งองค์กร เมื่อบุคลากรมองเห็นและยอมรับก็จะเกิดเป็นการปฏิบัติโดยกิจวัตร นั่นคือรู้สึกว่าการทำงานต่างๆ อย่างมั่นคงปลอดภัยนั้นเป็นเรื่องปกติ ไม่ใช่ภาระส่วนเกินแต่อย่างใด รวมถึงมีการเรียนรู้และพัฒนาอย่างต่อเนื่อง เมื่อนั้นองค์กรก็จะมีความมั่นคงปลอดภัยอย่างยั่งยืน และเจริญเติบโตต่อไปได้อย่างมั่นใจ



Content Cr : DestinationOne Counselor
Photo Cr : MS Cliparts 
Posted by at No comments:
Labels: , , , , ,

Wednesday, April 22, 2015

12 แนวทางการบริหารจัดการเอกสารและข้อมูลตามมาตรฐาน ISO 27001:2013



12 แนวทางการบริหารจัดการเอกสารและข้อมูลตามมาตรฐาน ISO 27001:2013

การดำเนินธุรกิจในปัจจุบันนี้ ต้องการความมั่นคงปลอดภัยในระดับที่สูงมากขึ้น เนื่องจากบริการทางธุรกิจและข้อมูลที่สำคัญต่างๆ ส่วนใหญ่ขององค์กรมักจะถูกใช้งานและเก็บรักษาไว้บนระบบเทคโนโลยีสารสนเทศ โดยมีรูปแบบของการใช้งาน เครื่องมือ และสื่อบันทึกข้อมูลที่หลากหลายแตกต่างกันไป

ดังนั้น ทุกองค์กรจึงจำเป็นต้องใส่ใจและให้ความสำคัญในการปกป้องข้อมูล เอกสาร และระบบ
เทคโนโลยีสารสนเทศเป็นภารกิจลำดับต้นๆ  โดยควรจะวางแผนกระบวนการต่างๆ ให้สอดคล้องตามมาตรฐานสากลด้านการบริหารความมั่นคงปลอดภัยของสารสนเทศ ISO 27001:2013 โดยเฉพาะอย่างยิ่งตามข้อกำหนดที่ 7.5 การบริหารจัดการเอกสารข้อมูล ซึ่งในบทความนี้ทีมงาน DestinationOne ได้สรุปแนวทางดังกล่าวมาให้ท่านผู้อ่านได้ทำความเข้าใจเบื้องต้นอย่างง่ายๆ ดังนี้



12 แนวทางการบริหารจัดการเอกสารและข้อมูลตามมาตรฐาน ISO 27001:2013 

  1. องค์กรต้องจัดทำเอกสารข้อมูลต่างๆ ตามที่ข้อกำหนดของมาตรฐาน ISO 27001 ได้กำหนดไว้
  2. องค์กรต้องจัดทำเอกสารข้อมูลต่างๆ ตามที่กฎหมายได้กำหนดไว้
  3. องค์กรต้องมีการระบุและกำหนดรายละเอียดต่างๆ ของเอกสารข้อมูลอย่างเป็นระบบระเบียบ
  4. องค์กรต้องมีการกำหนดรูปแบบของเอกสารข้อมูลให้เป็นมาตรฐาน รวมถึงสื่อบันทึกข้อมูลที่จะนำมาใช้
  5. องค์กรต้องมีการทบทวนและกำหนดขั้นตอนการพิจารณาอนุมัติการใช้งานเอกสารเสมอ และต้องสื่อสารให้ผู้ที่เกี่ยวข้องทั้งหมดรับทราบ
  6. องค์กรต้องมีความพร้อมใช้งานเอกสารข้อมูล (Availability) เสมอ เมื่อมีความต้องการใช้งานหรือต้องการเข้าถึง
  7. องค์กรต้องมีการควบคุมความมั่นคงปลอดภัยของเอกสารข้อมูลเสมอ
  8. องค์กรต้องมีการควบคุมการแจกจ่าย การเข้าถึง การใช้งาน และการยกเลิกเอกสารข้อมูลเสมอ
  9. องค์กรต้องมีการควบคุมการจัดเก็บเอกสารข้อมูลให้มีความมั่นคงปลอดภัยและเป็นไปตามที่กฎหมายกำหนด
  10. องค์กรต้องมีการควบคุมการเปลี่ยนแปลงของเอกสารข้อมูลต่างๆ อย่างเป็นระบบและมีมาตรฐาน
  11. องค์กรต้องมีการกำหนดระยะเวลาการจัดเก็บ และกำหนดรูปแบบการทำลายข้อมูลอย่างเหมาะสมและมั่นคงปลอดภัย
  12. องค์กรต้องมีการระบุและมีการบริหารจัดการเอกสารที่นำเข้ามาจากภายนอกอย่างมั่นคงปลอดภัย

ลองนำแนวทางเหล่านี้ไปลองแระยุกต์ใช้ในองค์กรของท่านดูนะครับ แล้วท่านจะพบว่านอกจากเอกสารข้อมูลต่างๆ จะมีความมั่นคงปลอดภัยมากขึ้นแล้ว ยังช่วยให้การทำงานต่างๆ ของท่านง่ายขึ้นและเป็นระเบียบมากขึ้นอีกด้วยครับ


Content Cr: DestinationOne Counselor
Photo Cr: MS Clipart
Posted by at No comments:
Labels: , , , , ,

Wednesday, April 15, 2015

องค์กรของคุณเกี่ยวข้องกับธุรกรรมทางอิเล็กทรอนิกส์หรือไม่



องค์กรของคุณเกี่ยวข้องกับ “ธุรกรรมทางอิเล็กทรอนิกส์” หรือไม่?

หลายท่านอาจจะสงสัยว่า ธุรกรรมทางอิเล็กทรอนิกส์คืออะไร? แล้วองค์กรของท่าน มีความเกี่ยวข้องกับธุรกรรมทางอิเล็กทรอนิกส์หรือไม่? อย่างไร?

ลองพิจารณาดูนะครับ ท่านจะเห็นได้ว่าการดำเนินธุรกิจของทุกองค์กรในปัจจุบันนี้ ไม่ว่าจะมีขนาดใหญ่หรือขนาดย่อม ต่างก็มีการใช้งานข้อมูลต่างๆ เป็นจำนวนมาก อาทิเช่น ข้อมูลสินค้า ข้อมูลวิจัยพัฒนา ข้อมูลการตลาด ข้อมูลการเงิน ข้อมูลลูกค้า และข้อมูลส่วนบุคคล เป็นต้น ซึ่งล้วนแล้วแต่ถูกเก็บรักษาและใช้งานบนระบบเทคโนโลยีสารสนเทศ และมีความเกี่ยวข้องกับธุรกรรมทางอิเล็กทรอนิกส์อย่างแน่นอน ในรูปแบบหลากหลายแตกต่างกันไป

ดังนั้น ทุกองค์กรจึงจำเป็นที่จะต้องปกป้องข้อมูลและการทำธุรกรรมทางอิเล็กทรอนิกส์ให้มีความมั่นคงปลอดภัยอยู่เสมอ สามารถดำเนินธุรกิจได้อย่างราบรื่นต่อเนื่องตลอดเวลา ในอีกมุมหนึ่ง ภาครัฐเองก็ให้ความสำคัญกับความมั่นคงปลอดภัยของการประกอบธุรกรรมทางอิเล็กทรอนิกส์เป็นอย่างมาก จึงได้ออกกฎหมายมาเพี่อควบคุมการดำเนินการต่างๆ ให้มีมาตรฐานและความน่าเชื่อถือ และองค์กรทุกแห่งมีหน้าที่ที่จะต้องปฏิบัติตามอย่างเคร่งครัด


ในบทความนี้ ผมและทีมงาน DestinationOne จึงได้รวบรวมสาระสำคัญของกฎหมายที่เกี่ยวข้องกับธุรกรรมทางอิเล็กทรอนิกส์มาให้ท่านที่สนใจได้ทำความเข้าใจเบื้องต้น ดังนี้

สาระสำคัญของกฎหมายธุรกรรมทางอิเล็กทรอนิกส์ที่ควรรู้..

กฏหมาย พระราชบัญญัติว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. ๒๕๔๔

     >>ธุรกรรม” หมายความว่า การกระทําใดๆ ที่เกี่ยวกับกิจกรรมในทางแพ่งและพาณิชย์หรือ ในการดําเนินงานของรัฐตามที่กําหนดในหมวด ๔
      >> อิเล็กทรอนิกส์” หมายความว่า การประยุกต์ใช้วิธีการทางอิเล็กตรอน ไฟฟ้า คลื่นแม่เหล็กไฟฟ้า หรือวิธีอื่นใดในลักษณะคล้ายกัน และให้หมายความรวมถึงการประยุกต์ใช้วิธีการทาง แสง วิธีการทางแม่เหล็ก หรืออุปกรณ์ที่เกี่ยวข้องกับการประยุกต์ใช้วิธีต่างๆ เช่นว่านั้น
      >> ธุรกรรมทางอิเล็กทรอนิกส์” หมายความว่า ธุรกรรมที่กระทําขึ้นโดยใช้วิธีการทางอิเล็กทรอนิกส์ทั้งหมดหรือแต่บางส่วน


กฏหมาย “ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ เรื่อง ประเภทของธุรกรรมทางอิเล็กทรอนิกส์ และหลักเกณฑ์การประเมินระดับผลกระทบของธุรกรรมทางอิเล็กทรอนิกส์ตามวิธีการแบบปลอดภัย พ.ศ. ๒๕๕๕”

     >> โดยที่พระราชกฤษฎีกาว่าด้วยวิธีการแบบปลอดภัยในการทําธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. ๒๕๕๓ กําหนดให้คณะกรรมการประกาศกําหนดประเภทของธุรกรรมทางอิเล็กทรอนิกส์ หรือหลักเกณฑ์ การประเมินระดับผลกระทบของธุรกรรมทางอิเล็กทรอนิกส์ เพื่อให้การทําธุรกรรมทางอิเล็กทรอนิกส์ใด ที่ได้กระทําตามวิธีการแบบปลอดภัยที่คณะกรรมการกําหนดเป็นวิธีการที่เชื่อถือได้
     >> ข้อ ๒ ให้ธุรกรรมทางอิเล็กทรอนิกส์ในประเภทดังต่อไปนี้ ใช้วิธีการแบบปลอดภัยในระดับ เคร่งครัด
    • (๑) ธุรกรรมทางอิเล็กทรอนิกส์ด้านการชําระเงินทางอิเล็กทรอนิกส์ตามพระราชกฤษฎีกา ว่าด้วยการควบคุมดูแลธุรกิจบริการการชําระเงินทางอิเล็กทรอนิกส์ พ.ศ. ๒๕๕๑
    • (๒) ธุรกรรมทางอิเล็กทรอนิกส์ด้านการเงินของธนาคารพาณิชย์ตามกฎหมายว่าด้วยธุรกิจ สถาบันการเงิน
    • (๓) ธุรกรรมทางอิเล็กทรอนิกส์ด้านประกันภัยตามกฎหมายว่าด้วยประกันชีวิตและประกันวินาศภัย
    • (๔) ธุรกรรมทางอิเล็กทรอนิกส์ด้านหลักทรัพย์ของผู้ประกอบธุรกิจหลักทรัพย์ตามกฎหมาย ว่าด้วยหลักทรัพย์และตลาดหลักทรัพย์
    • (๕) ธุรกรรมทางอิเล็กทรอนิกส์ที่จัดเก็บ รวบรวม และให้บริการข้อมูลของบุคคลหรือทรัพย์สิน หรือทะเบียนต่าง ๆ ที่เป็นเอกสารมหาชนหรือที่เป็นข้อมูลสาธารณะ
    • (๖) ธุรกรรมทางอิเล็กทรอนิกส์ในการให้บริการด้านสาธารณูปโภคและบริการสาธารณะที่ต้องดําเนินการอย่างต่อเนื่องตลอดเวลา
     >> ข้อ ๙ หากปรากฏว่ามีผลประเมินที่เป็นผลกระทบในระดับสูงด้านหนึ่งด้านใดให้ธุรกรรมทางอิเล็กทรอนิกส์นั้นต้องใช้วิธีการแบบปลอดภัยในระดับเคร่งครัด และหากมีผลกระทบในระดับกลางอย่างน้อยสองด้านขึ้นไปให้ใช้วิธีการแบบปลอดภัยในระดับกลางขึ้นไป
ในกรณีที่ไม่เป็นไปตามวรรคหนึ่ง ให้ธุรกรรมทางอิเล็กทรอนิกส์ใช้วิธีการแบบปลอดภัยในระดับไม่ต่ำกว่าระดับพื้นฐาน


กฏหมาย “ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ เรื่อง มาตรฐาน การรักษาความมั่นคงปลอดภัยของระบบสารสนเทศตามวิธีการแบบปลอดภัย พ.ศ. ๒๕๕๕” 

     >> มาตรฐานการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศเป็นมาตรการสําหรับใช้ในการควบคุมให้ระบบ สารสนเทศมีความมั่นคงปลอดภัย ซึ่งครอบคลุมการรักษาความลับ (Confidentiality) การรักษาความครบถ้วน (Integrity) และการรักษาสภาพพร้อมใช้งาน (Availability) ของระบบสารสนเทศและสารสนเทศในระบบ นั้น โดยการทําธุรกรรมทางอิเล็กทรอนิกส์ด้วยระบบสารสนเทศ ต้องดําเนินการตามมาตรการที่เกี่ยวข้องตามบัญชีแนบ ท้ายนี้และต้องพิจารณาให้สอดคล้องกับระดับความเสี่ยงที่ได้จากการประเมิน ทั้งนี้ มาตรฐานการรักษาความมั่นคง ปลอดภัยของระบบสารสนเทศ แบ่งออกเป็น ๑๑ ข้อ ได้แก่
    • (๑) การสร้างความมั่นคงปลอดภัยด้านบริหารจัดการ
    • (๒) การจัดโครงสร้างด้านความมั่นคงปลอดภัยของระบบสารสนเทศในส่วนการบริหารจัดการด้านความ มั่นคงปลอดภัยของระบบสารสนเทศ ทั้งภายในและภายนอกหน่วยงานหรือองค์กร
    • (๓) การบริหารจัดการทรัพย์สินสารสนเทศ
    • (๔) การสร้างความมั่นคงปลอดภัยของระบบสารสนเทศด้านบุคลากร
    • (๕) การสร้างความมั่นคงปลอดภัยด้านกายภาพและสภาพแวดล้อม
    • (๖) การบริหารจัดการด้านการสื่อสารและการดําเนินงานของระบบเครือข่ายคอมพิวเตอร์ระบบ คอมพิวเตอร์ระบบงานคอมพิวเตอร์และระบบสารสนเทศ
    • (๗) การควบคุมการเข้าถึงระบบเครือข่ายคอมพิวเตอร์ระบบคอมพิวเตอร์ระบบงานคอมพิวเตอร์ระบบ สารสนเทศ ข้อมูลสารสนเทศ ข้อมูลอิเล็กทรอนิกส์และข้อมูลคอมพิวเตอร์
    • (๘) การจัดหาหรือจัดให้มีการพัฒนา และการบํารุงรักษาระบบเครือข่ายคอมพิวเตอร์ระบบคอมพิวเตอร์ ระบบงานคอมพิวเตอร์และระบบสารสนเทศ
    • (๙) การบริหารจัดการสถานการณ์ด้านความมั่นคงปลอดภัยที่ไม่พึงประสงค์หรือไม่อาจคาดคิด
    • (๑๐) การบริหารจัดการด้านการบริการหรือการดําเนินงานของหน่วยงานหรือองค์กรเพื่อให้มีความ ต่อเนื่อง
    • (๑๑) การตรวจสอบและการประเมินผลการปฏิบัติตามนโยบาย มาตรการ หลักเกณฑ์หรือกระบวนการใด ๆ รวมทั้งข้อกําหนดด้านความมั่นคงปลอดภัยของระบบสารสนเทศ
เคล็ดลับสำคัญของความสำเร็จ คือ การที่ผู้บริหารระดับสูงและผู้ที่เกี่ยวข้องกับธุรกรรมทางอิเล็กทรอนิกส์ทุกคนต้องศึกษาและทำความเข้าใจในสาระของข้อกฎหมาย เพื่อให้การสนับสนุนและวางแผนปฏิบัติการได้อย่างถูกต้องเหมาะสม เพื่อสร้างความมั่นคงปลอดภัยสำหรับข้อมูลและธุรกรรมทางอิเล็กทรอนิกส์ ซึ่งจะช่วยสร้างความมั่นใจในการดำเนินธุรกิจ และสร้างความน่าเชื่อถือให้กับลูกค้าต่อไปครับ



Content Cr : DestinationOne Counselor
Photo Cr: MS Clipart
Posted by at No comments:
Labels: , , , , , ,
Subscribe to: Posts (Atom)