Nuclear Science
STKC 2555

บทบาทของผู้บริหาร

กับการบริหารความเสี่ยงด้านเทคโนโลยีสารสนเทศ

ปริญญา อินทร์คง
หน่วยตรวจสอบภายใน
สถาบันเทคโนโลยีนิวเคลียร์แห่งชาติ (องค์การมหาชน)

ในปัจจุบันเทคโนโลยีสารสนเทศเข้ามามีบทบาทอย่างมากในองค์กร โดยมีมาตรฐานต่าง ๆ ที่เกี่ยวข้อง ซึ่งองค์กรต้อง เตรียมความพร้อมเพื่อมุ่งสู่สากลดังนี้  COSO  CobiT  ITIL  ISO/IEC27001  CMMI  &  PMBOX   ดังนั้น การศึกษา การบริหารและจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศจึงเป็นสิ่งที่ผู้บริหาร ควรให้ความสำคัญ  เพื่อเตรียมองค์กร ให้พร้อมสู่การเป็นไอทีธรรมาภิบาล (IT Governance)

  1. หลักการกำกับดูแลกิจการ (Principles of Corporate Governance)
  2. การบริหารความเสี่ยงภายในองค์กรตามแนว COSO และ CobiT
  3. ISO 27001 กับการบริหารความเสี่ยงเทคโนโลยีสารสนเทศ
  4. บทบาทของผู้บริหารต่อการสนับสนุนให้เกิดการบริหารจัดการด้านความมั่นคงปลอดภัย ระบบเทคโนโลยีสารสนเทศและเครือข่าย (Information Security Management Systems – Requirements)
  5. ความเสี่ยงด้านการละเมิดต่อข้อกำหนดกฎหมาย สัญญาต่าง ๆ
  6. ผู้บริหารกับการรับมือกับเหตุฉุกเฉิน
  7. กฎหมายไอทีกับการควบคุมความเสี่ยง

1. หลักการกำกับดูแลกิจการ (Principles of Corporate Governance)

    • ความโปร่งใส (Transparency)
    • ความรับผิดชอบในหน้าที่ (Accountability)
    • หน้าที่ที่รับผิดชอบ (Responsibility)
    • ความเป็นอิสระ (Independence)
    • ความยุติธรรม (Fairness)
  • ความโปร่งใส (Transparency) จัดให้มีการเปิดเผยข้อมูลสำคัญ ที่ชัดเจนในเวลาที่เหมาะสม และสามารถ เปรียบเทียบได้ระหว่างข้อมูลทางการเงินกับการตัดสินใจของคณะกรรมการในเรื่องที่สำคัญ
    • ผู้มีส่วนได้เสีย (Stakeholders) :
    • นักลงทุน
    • พนักงาน
    • ลูกค้าและคู่ค้า
    • ประเด็นสำคัญที่นักลงทุนให้ความสนใจ
    • ความเสี่ยงของธุรกิจ
    • รายการที่เกิดกับผู้เกี่ยวข้อง (Related party)
    • รายการที่มีผลประโยชน์ทับซ้อน (Conflict of interest transactions)
    • คุณภาพของข้อมูลที่ผู้ลงทุนคาดหวัง
    • ถูกต้อง  และทันกาล
    • เหมาะสม และสมบูรณ์ เป็นข้อมูลที่ตรงไปตรงมา
    • กระบวนการสำคัญ
    • กระบวนการตัดสินใจของฝ่ายบริหาร
    • การเลือกคณะกรรมการ การตั้งตัวแทน การประเมินผลงานและค่าตอบแทนกรรมการ
  • ความรับผิดชอบในหน้าที่ (Accountability) กำหนดบทบาทและความรับผิดชอบที่ชัดเจน และสามารถวัดผลงานทั้งระดับกรรมการและทุกหน้าที่ในองค์กร
    • กระบวนการในการกำหนดวัตถุประสงค์องค์กร
    • การลงนามรับรองในรายงานประจำปีเกี่ยวกับจุดมุ่งหมายขององค์กรและความผูกพันกับฝ่ายจัดการ
    • มีเอกสารแสดงภาระที่รับผิดชอบอย่างชัดเจน และติดตามผลการปฏิบัติหน้าที่อย่างเป็นทางการ
    • กำหนดการประเมินผล และการให้ผลตอบแทนอย่างชัดเจน ทั้งผลสำเร็จระยะสั้นและระยะยาว
    • การรายงานผลเกี่ยวกับการปฏิบัติตามภาระหน้าที่รับผิดชอบ
  • หน้าที่ที่รับผิดชอบ (Responsibility) ให้ความมั่นใจว่าการดำเนินการต่าง ๆ ยึดมั่นในวินัย และเคร่งครัด ในการปฏิบัติตามกฎหมาย ข้อกำหนดของทางการ รวมทั้งกำหนดให้มีระบบการบริหารความเสี่ยง และการควบคุมภายในที่เหมาะสม
    • ให้ผลตอบแทนสูงต่อผู้ถือหุ้น กรรมการ โดยไม่เบียดบังผู้มีส่วนได้เสียอื่น
    • จัดให้มีกระบวนการบริหารความเสี่ยง
    • นโยบายเกี่ยวกับการรักษาความลับทางธุรกิจ (Confidentiality policy)
    • ปฏิบัติตามกฎ และข้อกำหนดของทางราชการ
  • ความเป็นอิสระ (Independence) ไม่มีผลประโยชน์ทับซ้อน
    • ความเป็นอิสระในการรับรองรายงานประจำปี
    • กระบวนการตัดสินใจ
    • คณะกรรมการมีความชัดเจนและระมัดระวังในการตัดสินใจหรือไม่
    • ที่ผ่านมาคณะกรรมการได้มีการประชุมเกี่ยวกับประเด็นข้อกังวลหรือปัญหาขององค์กรหรือไม่
    • มีขั้นตอนปฏิบัติเพื่อหลีกเลี่ยงกรณีผลประโยชน์ทับซ้อน อย่างเหมาะสม ในส่วนที่คณะกรรมการพิจารณาหรือไม่
  • ความยุติธรรม (Fairness) ให้ความมั่นใจในสิทธิของผู้ถือหุ้น พนักงาน ลูกค้า และผู้เกี่ยวข้องอื่นรวมทั้ง สังคมโดยรวม
    • ความเป็นอิสระของกรรมการ
    • Policy for insider trading
    • การเข้าถึงข้อมูลของผู้เกี่ยวข้อง (Stakeholders)
    • ความเท่าเทียมกันในการดำเนินการเรื่องการจัดหาและการควบคุม

2. การบริหารความเสี่ยงภายในองค์กรตามแนว COSO และ CobiT

ศึกษามาตรฐาน COSO และ CobiT เพื่อนำมาใช้ในการบริหารจัดการความเสี่ยงภายในองค์กร

    • COSO ERM กับข้อควรคำนึงถึงการบริหารการเปลี่ยนแปลงที่เกี่ยวข้องกับสารสนเทศขององค์กร
    • การเฝ้าติดตามประเมิน (Monitoring)
    • สารสนเทศและการสื่อสาร (Information and communication)
    • กิจกรรมการควบคุม (Control activities)
    • การตอบสนองความเสี่ยง (Risk response)
    • การประเมินความเสี่ยง (Risk assessment)
    • การระบุเหตุการณ์ (Event identification)
    • การกำหนดวัตถุประสงค์ (Objective setting)
    • สภาพแวดล้อมภายใน (Internal environment)
    • COBIT
    • การวางแผนและการจัดการองค์กร (Plan and Organize – PO)
    • การจัดหาและการนำไปใช้ให้บรรลุผลสำเร็จ (Acquire and Implement – AI)
    • การส่งมอบและการบำรุงรักษา (Deliver and Support – DS)
    • การติดตามและประเมินผล (Monitor and Evaluate – ME)

3. ISO 27001 กับการบริหารความเสี่ยงเทคโนโลยีสารสนเทศ

ศึกษามาตรฐาน ISO 27001 ที่เกี่ยวข้องกับการบริหารความเสี่ยงด้านเทคโนโลยี

    • นโยบายความมั่นคงปลอดภัยขององค์กร (Security policy)
    • โครงสร้างความมั่นคงปลอดภัยภายในองค์กร (Organization of information security)
    • การจัดหมวดหมู่และการควบคุมทรัพย์สินขององค์กร (Asset management)
    • มาตรฐานของบุคลากรเพื่อสร้างความมั่นคงปลอดภัยให้องค์กร (Human resource security)
    • ความมั่นคงปลอดภัยทางด้านกายภาพและสิ่งแวดล้อมขององค์กร (Physical and environment security)
    • การบริหารจัดการด้านการสื่อสารและการดำเนินงานของเครือข่ายสารสนเทศขององค์กร (Communication and operation management)

4. บทบาทของผู้บริหารต่อการสนับสนุนให้เกิดการบริหารจัดการด้านความมั่นคงปลอดภัย ระบบเทคโนโลยีสารสนเทศและเครือข่าย (Information Security Management Systems – Requirements)

4.1 ผู้บริหารต้องให้ความสำคัญกับ “การรักษาความมั่นคงปลอดภัยระบบเทคโนโลยีสารสนเทศ”

การไม่มีนโยบายความมั่นคงปลอดภัยจากระดับผู้บริหารสู่เจ้าหน้าที่ระดับล่าง ทำให้เจ้าหน้าที่ขององค์กรไม่มีแนวทาง การปฏิบัติที่เหมาะสม และอาจทำการละเมิดความปลอดภัยของระบบสารสนเทศในองค์กรได้

4.2 ผู้บริหารต้องมีส่วนร่วมในกระบวนการตั้งแต่เริ่มต้น

  • วางแผน
    • ผู้บริหารต้องพิจารณาอนุมัติหลักการในการดำเนินการเพื่อจัดทำระบบ Information Security Management System
    • ผู้บริหารต้องพิจารณาเอกสารที่เกี่ยวข้องกับ
      • การประเมินความเสี่ยง
      • วิธีการที่ใช้
      • การวิเคราะห์ความเสี่ยงและการประเมิน
      • ความเสี่ยงที่ต้องจัดการ ความเสี่ยงที่ยังหลงเหลือ และความเสี่ยงที่ต้องยอมรับ
      • แผนการจัดการกับความเสี่ยง
  • ลงมือปฏิบัติ (Implement and Operate the ISMS)
    • ผู้บริหารต้องให้ทรัพยากรที่จำเป็นเพื่อการสร้างความมั่นคงปลอดภัยให้กับระบบเทคโนโลยี สารสนเทศ และเครือข่ายขององค์กร เช่น  จัดให้มีโครงสร้างคณะทำงาน ด้านความมั่นคงปลอดภัย
    • ผู้บริหารต้องอนุญาตให้บุคลากรขององค์กรในแผนกต่าง ๆ เข้าไปมีส่วนร่วมและรับผิดชอบ ต่อความมั่นคง ปลอดภัยในส่วนที่ตนเองเกี่ยวข้อง
    • ผู้บริหารต้องจัดสรรงบประมาณในการจัดทำระบบให้มีความมั่นคงปลอดภัยมากยิ่งขึ้น หรือจัดสรรงบประมาณ ให้สามารถดำเนินการตามแผนการจัดการกับความเสี่ยง ที่ผู้บริหารได้เห็นชอบแล้ว ได้แก่ จัดสร้างห้องเครื่องให้มี มาตรฐานความมั่นคงปลอดภัย หรือให้การสนับสนุนด้านการส่งบุคลากรเข้ารับการอบรมเกี่ยวกับความรู้ ด้านความมั่นคงปลอดภัย
    • ผู้บริหารต้องให้การสนับสนุนในการบริหารจัดการด้านการสื่อสาร และการดำเนินงาน ของคณะทำงานด้านความมั่นคงปลอดภัยให้กับองค์กร
    • ผู้บริหารต้องให้การดูแล และสนับสนุนให้เกิดการบริหารจัดการในเรื่องของการควบคุมการเข้าถึง ระบบ เครือข่าย และทรัพยากรสารสนเทศที่สำคัญ
    • ผู้บริการต้องให้หลักการ และเสริมสร้างมาตรฐานในการจัดหา การพัฒนา และการบำรุงรักษา ระบบสารสนเทศในประเด็นเรื่องความมั่นคงปลอดภัยอย่างใกล้ชิด
    • อำนวยการให้เกิดการบริหารจัดการเหตุการณ์ที่เกี่ยวข้องกับความมั่นคงปลอดภัยขององค์กร
  • ตรวจสอบติดตาม (Monitor and Improve the ISMS)
    • ผู้บริหารต้องให้ความสำคัญต่อการตรวจสอบกิจกรรมต่าง ๆ ที่เกิดขึ้นตามแผนการดำเนินงาน ISMS
      • จัดให้มีการตรวจสอบโดยทีม Internal audit
      • จัดให้มีการตรวจสอบโดยผู้ตรวจสอบอิสระตามความเหมาะสม
    • เมื่อได้ดำเนินการ Corrective action , Preventive action การตามผลการตรวจสอบแล้ว ผู้บริหารต้องจัดให้มี วิธีการวัดประสิทธิภาพและประสิทธิผลของการดำเนินการระบบ ISMS เพื่อให้สามารถปรับปรุงระบบการรักษา ความมั่นคงปลอดภัยได้ดีขึ้น และเป็นไปอย่างต่อเนื่อง

5. ความเสี่ยงด้านการละเมิดต่อข้อกำหนดกฎหมาย สัญญาต่าง ๆ

  • ประเด็นความเสี่ยงต่อการละเมิดสิ่งเหล่านี้ จำเป็นอย่างยิ่งที่ผู้บริหารต้องให้ความสำคัญ คอยติดตาม คอยศึกษา ความคืบหน้าอย่างสม่ำเสมอ เพื่อเป็นการป้องกันมิให้องค์กรหรือหน่วยงานภายใต้การดูแล ละเมิดต่อข้อกำหนดนี้ ดังนั้น ผู้บริหารจึงต้องอำนวยการให้องค์กรปฏิบัติตามข้อกำหนดขององค์กร และข้อกำหนด จากภายนอก
  • ผู้บริหารควรดำเนินการออกระเบียบเพื่อควบคุม และระมัดระวังการใช้ทรัพยากรขององค์กรผิดวัตถุประสงค์ ดังตัวอย่างต่อไปนี้
    • เจ้าหน้าที่จะต้องไม่ใช้ระบบเครือข่าย โดยมีวัตถุประสงค์ดังต่อไปนี้
      • เพื่อการกระทำผิดกฎหมาย หรือเพื่อก่อให้เกิดความเสียหายแก่บุคคลอื่น
      • เพื่อการกระทำที่ขัดต่อความสงบเรียบร้อยหรือศีลธรรมอันดีของประชาชน
      • เพื่อการพาณิชย์
      • เพื่อให้ทราบข้อมูลข่าวสารของบุคคลอื่นโดยไม่ได้รับอนุญาตจากผู้เป็นเจ้าของ หรือผู้ที่มีสิทธิ ในข้อมูลดังกล่าว
      • เพื่อการรับ หรือส่งข้อมูลซึ่งก่อ หรืออาจก่อให้เกิดความเสียหายให้แก่องค์กร เช่น การรับ หรือส่งข้อมูลที่มีลักษณะ เป็นจดหมายลูกโซ่ หรือการรับหรือส่งข้อมูลที่ได้รับ จากบุคคลภายนอก อันมีลักษณะเป็นการละเมิดต่อกฎหมาย หรือสิทธิของบุคคลอื่น ไปยังเจ้าหน้าที่หรือบุคคลอื่น เป็นต้น
      • เพื่อแสดงความคิดเห็นส่วนบุคคลในเรื่องที่เกี่ยวข้องกับการดำเนินงานขององค์กร ไปยังเว็บไซต์ใด ๆ ในลักษณะ ที่จะก่อ หรืออาจก่อให้เกิดความเข้าใจที่คลาดเคลื่อนไปจากความเป็นจริง
      • เพื่อการอื่นใดที่อาจขัดต่อผลประโยชน์ขององค์กร หรืออาจก่อให้เกิดความขัดแย้งหรือความเสียหายแก่องค์กร

6. ผู้บริหารกับการรับมือกับเหตุฉุกเฉิน

    • ผู้บริหารต้องอำนวยการให้เกิดการบริหารความต่อเนื่องในการดำเนินงานขององค์กร เช่น จัดทำแผนกู้คืนระบบ ที่สำคัญ ๆ เพื่อให้องค์กรสามารถดำเนินการในภาวะฉุกเฉินได้
    • ผู้บริหารควรให้ความสำคัญต่อการทดสอบแผนกู้คืนระบบ หรือแผนรับมือกับเหตุฉุกเฉินอย่างสม่ำเสมอ เช่น
      • จัดให้มีการซ้อมแผนการกู้คืนระบบอย่างน้อยปีละ 1 ครั้ง และปรับปรุงแผนฯ ตามความเหมาะสม รวมทั้งจัดให้มี การทำแผนเพื่อปรับปรุง หรือแก้ไขปัญหาที่พบ
      • จัดให้มีการทดสอบแผนรับมือกรณีเกิดเหตุเพลิงไหม้ ปีละครั้งและก่อนที่จะมีการซ้อมหนีไฟ ให้มีการสร้างความตระหนัก (เช่น ประชาสัมพันธ์ผ่านเสียงตามสายในช่วงเวลาตอนเที่ยง และตอนเย็น) เพื่อให้เห็นถึง ความสำคัญของการซ้อมหนีไฟ
    • ผู้บริหารควรอำนวยการให้เกิดกระบวนการสร้างความต่อเนื่องทางธุรกิจ (Business Continuity Management: BCM)

7. กฎหมายไอทีกับการควบคุมความเสี่ยง

          กฎหมายทางกิจการเทคโนโลยีสารสนเทศและการสื่อสาร รวมทั้งกิจการโทรคมนาคม  กฎหมายที่เกี่ยวข้อง กับการประกอบธุรกรรมอิเล็กทรอนิกส์ที่เกี่ยวข้องกับการควบคุมความเสี่ยง

  • ระบบบริหารจัดการความมั่นคงปลอดภัยระบบสารสนเทศ
    • การกำหนดสิทธิในการใช้งานระบบ
      • พ.ร.บ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ มาตรา 5 “ผู้ใดเข้าถึงโดยมิชอบ ซึ่งระบบคอมพิวเตอร์ที่มี มาตรการป้องกันการเข้าถึงโดยเฉพาะ และมาตรการนั้นมิได้มีไว้สำหรับตน ต้องระวางโทษจำคุกไม่เกินหกเดือน หรือปรับไม่เกินหนึ่งหมื่นบาท หรือทั้งจำทั้งปรับ”
    • การกำหนดสิทธิในการเข้าถึงข้อมูล
      • พ.ร.บ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ มาตรา 6 “ผู้ใดล่วงรู้มาตรการป้องกันเข้าถึงระบบคอมพิวเตอร์ที่ผู้อื่นจัดทำขึ้นเป็นการเฉพาะ ถ้านำมาตรการดังกล่าว ไปเปิดเผยโดยมิชอบในประการที่น่าจะเกิดความเสียหายแก่ผู้อื่น ต้องระวางโทษจำคุกไม่เกินหนึ่งปี หรือปรับ ไม่เกินสองหมื่นบาท หรือทั้งจำทั้งปรับ”
    • การตรวจสอบข้อมูลการใช้งาน
      • พ.ร.บ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ มาตรา 8 “ผู้ใดกระทำด้วยประการใดโดยมิชอบด้วยวิธีการทางอิเล็กทรอนิกส์เพื่อดักรับไว้ ซึ่งข้อมูลคอมพิวเตอร์ของผู้อื่น ที่อยู่ระหว่างการส่งในระบบคอมพิวเตอร์ และข้อมูลคอมพิวเตอร์นั้น  มิได้มีไว้เพื่อประโยชน์สาธารณะหรือเพื่อให้ บุคคลทั่วไปใช้ประโยชน์ได้ต้องระวางโทษจำคุกไม่เกิน สามปี หรือปรับไม่เกินหนึ่งหมื่นบาท หรือทั้งจำทั้งปรับ”
    • การจัดเก็บข้อมูลของผู้ใช้บริการ
      • ประกาศกระทรวงเทคโนโลยีสารสนเทศ และการสื่อสาร เรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทาง คอมพิวเตอร์
    • การรักษาความลับ (Confidentiality)
    • การรักษาความถูกต้องครบถ้วนของข้อมูล (Integrity)
      • ประกาศกระทรวงเทคโนโลยีสารสนเทศ  และการสื่อสาร เรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทาง คอมพิวเตอร์
      • พ.ร.บ. ธุรกรรมทางอิเลคทรอนิคส์
      • พ.ร.บ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ มาตรา 9 “ผู้ใดทำให้เสียหาย ทำลาย แก้ไข เปลี่ยนแปลงหรือ เพิ่มเติมไม่ว่าทั้งหมดหรือบางส่วน ซึ่งข้อมูลคอมพิวเตอร์ของผู้อื่นโดยมิชอบ ต้องระวางโทษจำคุกไม่เกินห้าปี หรือปรับไม่เกินหนึ่งแสนบาท หรือทั้งจำทั้งปรับ”
    • การรักษาความพร้อมในการใช้งาน (Availability)
      • พ.ร.บ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ มาตรา 10 “ผู้ใดกระทำด้วยประการใดโดยมิชอบเพื่อให้การทำงานของระบบคอมพิวเตอร์ของผู้อื่นถูกระงับ ชะลอ ขัดขวาง หรือรบกวนจนไม่สามารถทำงานได้ตามปกติได้ต้องระวางโทษจำคุก ไม่เกินห้าปี หรือปรับไม่เกินหนึ่งแสนบาท หรือทั้งจำทั้งปรับ”
      • พ.ร.บ.  ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ มาตรา 11 “ผู้ใดส่งข้อมูลคอมพิวเตอร์หรือจดหมายอิเล็กทรอนิกส์แก่บุคคลอื่นโดยปกปิด หรือปลอมแปลงแหล่งที่มาของ การส่งข้อมูลดังกล่าว อันเป็นการรบกวนการใช้ระบบคอมพิวเตอร์ของบุคคลอื่นโดยปกติสุข ต้องระวางโทษปรับ ไม่เกินหนึ่งแสนบาท”

โพสต์เมื่อ : 2 มีนาคม 2555