Wednesday, June 17, 2015

SMEs กับการบริหารความมั่นคงปลอดภัยของข้อมูลตาม ISO 27001:2013



SMEs กับการบริหารความมั่นคงปลอดภัยของข้อมูลตาม ISO 27001:2013

ขึ้นชื่อว่า “ธุรกิจ” ไม่ว่าจะมีขนาดใหญ่ กลาง หรือเล็ก ก็ล้วนแต่ต้องอาศัย “ข้อมูล” ในการทำงานทั้งสิ้น ไม่ว่าจะเป็นข้อมูลเกี่ยวกับสินค้าและบริการ ข้อมูลการตลาด ข้อมูลระบบ ข้อมูลการเงิน ข้อมูลส่วนตัวของลูกค้า และข้อมูลประกอบอื่นๆ อีกมากมาย ดังนั้น ทุกองค์กรจึงจำเป็นต้องมีการบริหารจัดการความมั่นคงปลอดภัยของข้อมูลอย่างเหมาะสม เพื่อให้ธุรกิจสามารถดำเนินไปได้อย่างราบรื่นต่อเนื่อง รวมถึงประสบความสำเร็จอย่างยั่งยืน

สำหรับผู้บริหารองค์กรขนาดกลางและขนาดย่อม หรือ SMEs นั้น อาจจะรู้สึกกังวลใจเมื่อต้องวางแผนบริหารความมั่นคงปลอดภัยของข้อมูล เพราะมักคิดว่าตนเองอาจจะมีความรู้และทรัพยากรไม่เพียงพอ แต่อันที่จริงแล้วมาตรฐาน ISO 27001:2013 Information Security Management นั้น มีแนวทางที่สามารถประยุกต์ใช้ได้กับองค์กรทุกขนาด ซึ่งทีมงาน DestinationOne ได้ทำการสรุปกระบวนการบริหารจัดการที่องค์กร SMEs ควรจะพิจารณาดำเนินการดังต่อไปนี้ครับ



การเตรียมความพร้อม และการทำความเข้าใจธุรกิจ/องค์กร

  • การสนับสนุนของผู้บริหารเป็นปัจจัยสำคัญในการดำเนินการ ยิ่งมีการสนับสนุนจากผู้บริหารมากเพียงใดความสำเร็จก็จะยิ่งใกล้เข้ามามากเท่านั้น ในที่นี้หมายรวมถึงการสนับสนุนจากทุกฝ่ายที่เกี่ยวข้องอีกด้วย 
  • การทำความเข้าใจธุรกิจ/องค์กรอย่างลึกซึ่งมีความสำคัญมาก เพราะจะช่วยให้ทราบถึงลักษณะและตัวตนที่แท้จริงขององค์กร ทำให้เราทราบบริบท ปัจจัยภายใน และปัจจัยภายนอกที่เกี่ยวข้อง ทั้งทางทางตรงและทางอ้อม รวมถึงความต้องการและความคาดหวังของผู้ที่มีส่วนเกี่ยวข้องทั้งหมด
  • ต้องกำหนดวัตถุประสงค์และเป้าหมายว่าองค์กรต้องการอะไร แล้วทำการสื่อสารให้ทีมงานที่เกี่ยวข้องทุกฝ่ายรับทราบ เพื่อให้เกิดความเข้าใจที่ตรงกัน และกำหนดวิธีการเดินไปสู่เป้าหมายได้อย่างถูกต้อง
  • กำหนดโครงสร้างการทำงาน บทบาท และหน้าที่ความรับผิดชอบเกี่ยวกับความมั่นคงปลอดภัยของแต่ละส่วนงานอย่างชัดเจน จากนั้นจะต้องสื่อสารและอบรมให้ความรู้ให้กับพนักงานรวมถึงผู้ที่เกี่ยวข้องอย่างเหมาะสม 

การดำเนินงาน การบริหารความเสี่ยง และการจัดทำมาตรการควบคุม

  • องค์กรต้องสร้างกระบวนการดำเนินงาน และวิธีการทำงานต่างๆ อย่างเหมาะสม และจะต้องทำการสื่อสารจัดอบรมให้ความรู้กับผู้ที่เกี่ยวข้องทุกฝ่าย
  • องค์กรต้องวิเคราะห์และประเมินความเสี่ยง หากผลความเสี่ยงที่ได้สูงกว่าระดับที่องค์กรกำหนดไว้ องค์กรจะต้องพิจารณาดำเนินการแก้ไข โดยจัดหามาตรการหรือวิธีการต่างๆ มาใช้เพื่อลดความเสี่ยงให้ลงมาอยู่ในระดับที่องค์กรยอมรับได้ รวมถึงเฝ้าระวังและทบทวนค่าความเสี่ยงต่างๆ ตลอดเวลา
  • องค์กรต้องสร้างและจัดทำมาตรการควบคุมทางด้านความมั่นคงปลอดภัยความมั่นคงปลอดภัย โดยพิจารณาเลือกจากกลุ่มมาตรการดังต่อไปนี้ >> (ตัวอย่าง) มาตรการควบคุมของมาตรฐาน ISO 27001:2013 (อ้างอิงหมายเลขตาม Annex A.)
  • กลุ่มมาตรการควบคุมที่ 9 การควบคุมการเข้าถึง
  • กลุ่มมาตรการควบคุมที่ 11 ความมั่นคงปลอดภัยทางกายภาพและสิ่งแวดล้อม
  • กลุ่มมาตรการควบคุมที่ 12 ความมั่นคงปลอดภัยในการปฏิบัติงาน
  • กลุ่มมาตรการควบคุมที่ 13 ความมั่นคงปลอดภัยในการติดต่อสื่อสาร
  • กลุ่มมาตรการควบคุมที่ 15 ความสัมพันธ์ของผู้ให้บริการภายนอกหรือห่วงโซ่อุปทาน
  • กลุ่มมาตรการควบคุมที่ 16 การบริหารจัดการเหตุละเมิดความมั่นคงปลอดภัย
  • กลุ่มมาตรการควบคุมที่ 17 ความมั่นคงปลอดภัยในการบริหารจัดการความต่อเนื่องในการดำเนินธุรกิจ
               หรือจัดหามาตรการอื่นใดที่องค์กรเห็นว่ามีประโยชน์ หรือสอดคล้องกับวัฒนธรรมขององค์กรมากกว่ามาตรการที่กล่าวมาแล้วข้างต้น

การเฝ้าระวัง การวัดผล และการประเมินผล

  • การวัดผลและการประเมินผลจะเป็นตัวบ่งชี้ว่ากระบวนการต่างๆ ที่ดำเนินการมาทั้งหมดนั้น เป็นไปตามเป้าหมาย วัตถุประสงค์ และความต้องการขององค์กรหรือไม่อย่างไร
  • การตรวจสอบจะเป็นเครื่องยืนยันและสนับสนุนกระบวนการในการบริหารความต่อเนื่องขององค์กร ว่ามีความสอดคล้องกับมาตรฐานที่ได้กำหนดไว้หรือไม่อย่างไร  ทั้งนี้ หากตรวจพบความไม่สอดคล้องก็จะต้องดำเนินการแก้ไขและปรับปรุงต่อไป
  • ผู้บริหารต้องดำเนินการทบทวน ให้ความเห็น และประเมินผลเกี่ยวกับกระบวนการต่างๆ ที่ได้จัดทำขึ้น ว่า มีความสอดคล้องกับความต้องการหรือไม่อย่างไร รวมถึงมีสิ่งใดบ้างที่ต้องปรับปรุงพัฒนา

การปรับปรุง และการพัฒนาอย่างต่อเนื่อง

  • องค์กรต้องดำเนินการแก้ไขหรือปรับปรุงกระบวนการทำงาน รวมถึงมาตรการความมั่นคงปลอดภัยต่างๆ ให้เป็นไปตามเป้าหมายและความต้องการขององค์กรอยู่เสมอ  นอกจากนี้ ปัญหาต่างๆ ที่เกิดขึ้นจะต้องได้รับการวิเคราะห์หาสาเหตุที่แท้จริงและดำเนินการแก้ไขอย่างถูกต้องเหมาะสม
  • กระบวนการต่างๆ ในการบริหารจัดการความมั่นคงปลอดภัย จะต้องได้รับการปรับปรุงและพัฒนาอย่างต่อเนื่องตลอดเวลา เพื่อให้ข้อมูลคงไว้ซึ่งความลับ ความถูกต้อง และความพร้อมใช้งาน รวมถึงเพื่อสร้างความเข้มแข็งและความพร้อมรับมือกับภัยคุกคามหรือจุดอ่อนต่างๆ ที่อาจเกิดขึ้นได้

SMEs ที่มีความมั่นคงปลอดภัย จะสามารถส่งมอบสินค้าและบริการให้กับลูกค้าได้อย่างถูกต้อง ตรงเวลา ไม่ผิดพลาด อีกทั้งยังยกระดับภาพลักษณ์ความน่าเชื่อถือ ซึ่งจะนำไปสู่การเติบโตอย่างยั่งยืนต่อไป





Content Cr: DestinationOne Counselor
Photo Cr: PhotoStx.com

No comments:

Post a Comment

Note: Only a member of this blog may post a comment.