SMEs กับการบริหารความมั่นคงปลอดภัยของข้อมูลตาม
ISO 27001:2013
ขึ้นชื่อว่า “ธุรกิจ” ไม่ว่าจะมีขนาดใหญ่
กลาง หรือเล็ก ก็ล้วนแต่ต้องอาศัย “ข้อมูล” ในการทำงานทั้งสิ้น
ไม่ว่าจะเป็นข้อมูลเกี่ยวกับสินค้าและบริการ ข้อมูลการตลาด ข้อมูลระบบ
ข้อมูลการเงิน ข้อมูลส่วนตัวของลูกค้า และข้อมูลประกอบอื่นๆ อีกมากมาย ดังนั้น
ทุกองค์กรจึงจำเป็นต้องมีการบริหารจัดการความมั่นคงปลอดภัยของข้อมูลอย่างเหมาะสม
เพื่อให้ธุรกิจสามารถดำเนินไปได้อย่างราบรื่นต่อเนื่อง รวมถึงประสบความสำเร็จอย่างยั่งยืน
สำหรับผู้บริหารองค์กรขนาดกลางและขนาดย่อม
หรือ SMEs นั้น อาจจะรู้สึกกังวลใจเมื่อต้องวางแผนบริหารความมั่นคงปลอดภัยของข้อมูล
เพราะมักคิดว่าตนเองอาจจะมีความรู้และทรัพยากรไม่เพียงพอ แต่อันที่จริงแล้วมาตรฐาน
ISO 27001:2013 Information Security Management นั้น
มีแนวทางที่สามารถประยุกต์ใช้ได้กับองค์กรทุกขนาด ซึ่งทีมงาน DestinationOne
ได้ทำการสรุปกระบวนการบริหารจัดการที่องค์กร SMEs ควรจะพิจารณาดำเนินการดังต่อไปนี้ครับ
การเตรียมความพร้อม และการทำความเข้าใจธุรกิจ/องค์กร
- การสนับสนุนของผู้บริหารเป็นปัจจัยสำคัญในการดำเนินการ ยิ่งมีการสนับสนุนจากผู้บริหารมากเพียงใดความสำเร็จก็จะยิ่งใกล้เข้ามามากเท่านั้น ในที่นี้หมายรวมถึงการสนับสนุนจากทุกฝ่ายที่เกี่ยวข้องอีกด้วย
- การทำความเข้าใจธุรกิจ/องค์กรอย่างลึกซึ่งมีความสำคัญมาก เพราะจะช่วยให้ทราบถึงลักษณะและตัวตนที่แท้จริงขององค์กร ทำให้เราทราบบริบท ปัจจัยภายใน และปัจจัยภายนอกที่เกี่ยวข้อง ทั้งทางทางตรงและทางอ้อม รวมถึงความต้องการและความคาดหวังของผู้ที่มีส่วนเกี่ยวข้องทั้งหมด
- ต้องกำหนดวัตถุประสงค์และเป้าหมายว่าองค์กรต้องการอะไร แล้วทำการสื่อสารให้ทีมงานที่เกี่ยวข้องทุกฝ่ายรับทราบ เพื่อให้เกิดความเข้าใจที่ตรงกัน และกำหนดวิธีการเดินไปสู่เป้าหมายได้อย่างถูกต้อง
- กำหนดโครงสร้างการทำงาน บทบาท และหน้าที่ความรับผิดชอบเกี่ยวกับความมั่นคงปลอดภัยของแต่ละส่วนงานอย่างชัดเจน จากนั้นจะต้องสื่อสารและอบรมให้ความรู้ให้กับพนักงานรวมถึงผู้ที่เกี่ยวข้องอย่างเหมาะสม
การดำเนินงาน การบริหารความเสี่ยง และการจัดทำมาตรการควบคุม
- องค์กรต้องสร้างกระบวนการดำเนินงาน และวิธีการทำงานต่างๆ อย่างเหมาะสม และจะต้องทำการสื่อสารจัดอบรมให้ความรู้กับผู้ที่เกี่ยวข้องทุกฝ่าย
- องค์กรต้องวิเคราะห์และประเมินความเสี่ยง หากผลความเสี่ยงที่ได้สูงกว่าระดับที่องค์กรกำหนดไว้ องค์กรจะต้องพิจารณาดำเนินการแก้ไข โดยจัดหามาตรการหรือวิธีการต่างๆ มาใช้เพื่อลดความเสี่ยงให้ลงมาอยู่ในระดับที่องค์กรยอมรับได้ รวมถึงเฝ้าระวังและทบทวนค่าความเสี่ยงต่างๆ ตลอดเวลา
- องค์กรต้องสร้างและจัดทำมาตรการควบคุมทางด้านความมั่นคงปลอดภัยความมั่นคงปลอดภัย โดยพิจารณาเลือกจากกลุ่มมาตรการดังต่อไปนี้ >> (ตัวอย่าง) มาตรการควบคุมของมาตรฐาน ISO 27001:2013 (อ้างอิงหมายเลขตาม Annex A.)
- กลุ่มมาตรการควบคุมที่ 9 การควบคุมการเข้าถึง
- กลุ่มมาตรการควบคุมที่ 11 ความมั่นคงปลอดภัยทางกายภาพและสิ่งแวดล้อม
- กลุ่มมาตรการควบคุมที่ 12 ความมั่นคงปลอดภัยในการปฏิบัติงาน
- กลุ่มมาตรการควบคุมที่ 13 ความมั่นคงปลอดภัยในการติดต่อสื่อสาร
- กลุ่มมาตรการควบคุมที่ 15 ความสัมพันธ์ของผู้ให้บริการภายนอกหรือห่วงโซ่อุปทาน
- กลุ่มมาตรการควบคุมที่ 16 การบริหารจัดการเหตุละเมิดความมั่นคงปลอดภัย
- กลุ่มมาตรการควบคุมที่ 17 ความมั่นคงปลอดภัยในการบริหารจัดการความต่อเนื่องในการดำเนินธุรกิจ
หรือจัดหามาตรการอื่นใดที่องค์กรเห็นว่ามีประโยชน์
หรือสอดคล้องกับวัฒนธรรมขององค์กรมากกว่ามาตรการที่กล่าวมาแล้วข้างต้น
การเฝ้าระวัง การวัดผล และการประเมินผล
- การวัดผลและการประเมินผลจะเป็นตัวบ่งชี้ว่ากระบวนการต่างๆ ที่ดำเนินการมาทั้งหมดนั้น เป็นไปตามเป้าหมาย วัตถุประสงค์ และความต้องการขององค์กรหรือไม่อย่างไร
- การตรวจสอบจะเป็นเครื่องยืนยันและสนับสนุนกระบวนการในการบริหารความต่อเนื่องขององค์กร ว่ามีความสอดคล้องกับมาตรฐานที่ได้กำหนดไว้หรือไม่อย่างไร ทั้งนี้ หากตรวจพบความไม่สอดคล้องก็จะต้องดำเนินการแก้ไขและปรับปรุงต่อไป
- ผู้บริหารต้องดำเนินการทบทวน ให้ความเห็น และประเมินผลเกี่ยวกับกระบวนการต่างๆ ที่ได้จัดทำขึ้น ว่า มีความสอดคล้องกับความต้องการหรือไม่อย่างไร รวมถึงมีสิ่งใดบ้างที่ต้องปรับปรุงพัฒนา
การปรับปรุง และการพัฒนาอย่างต่อเนื่อง
- องค์กรต้องดำเนินการแก้ไขหรือปรับปรุงกระบวนการทำงาน รวมถึงมาตรการความมั่นคงปลอดภัยต่างๆ ให้เป็นไปตามเป้าหมายและความต้องการขององค์กรอยู่เสมอ นอกจากนี้ ปัญหาต่างๆ ที่เกิดขึ้นจะต้องได้รับการวิเคราะห์หาสาเหตุที่แท้จริงและดำเนินการแก้ไขอย่างถูกต้องเหมาะสม
- กระบวนการต่างๆ ในการบริหารจัดการความมั่นคงปลอดภัย จะต้องได้รับการปรับปรุงและพัฒนาอย่างต่อเนื่องตลอดเวลา เพื่อให้ข้อมูลคงไว้ซึ่งความลับ ความถูกต้อง และความพร้อมใช้งาน รวมถึงเพื่อสร้างความเข้มแข็งและความพร้อมรับมือกับภัยคุกคามหรือจุดอ่อนต่างๆ ที่อาจเกิดขึ้นได้
SMEs ที่มีความมั่นคงปลอดภัย จะสามารถส่งมอบสินค้าและบริการให้กับลูกค้าได้อย่างถูกต้อง
ตรงเวลา ไม่ผิดพลาด อีกทั้งยังยกระดับภาพลักษณ์ความน่าเชื่อถือ
ซึ่งจะนำไปสู่การเติบโตอย่างยั่งยืนต่อไป
Content Cr: DestinationOne Counselor
Photo Cr: PhotoStx.com
No comments:
Post a Comment
Note: Only a member of this blog may post a comment.