ปริญญา อินทร์คง หน่วยตรวจสอบภายใน สถาบันเทคโนโลยีนิวเคลียร์แห่งชาติ (องค์การมหาชน)
ในปัจจุบันเทคโนโลยีสารสนเทศเข้ามามีบทบาทอย่างมากในองค์กร โดยมีมาตรฐานต่าง ๆ ที่เกี่ยวข้อง ซึ่งองค์กรต้อง เตรียมความพร้อมเพื่อมุ่งสู่สากลดังนี้ COSO CobiT ITIL ISO/IEC27001 CMMI & PMBOX ดังนั้น การศึกษา การบริหารและจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศจึงเป็นสิ่งที่ผู้บริหาร ควรให้ความสำคัญ เพื่อเตรียมองค์กร ให้พร้อมสู่การเป็นไอทีธรรมาภิบาล (IT Governance)
1. หลักการกำกับดูแลกิจการ (Principles of Corporate Governance)
2. การบริหารความเสี่ยงภายในองค์กรตามแนว COSO และ CobiT
ศึกษามาตรฐาน COSO และ CobiT เพื่อนำมาใช้ในการบริหารจัดการความเสี่ยงภายในองค์กร
3. ISO 27001 กับการบริหารความเสี่ยงเทคโนโลยีสารสนเทศ
ศึกษามาตรฐาน ISO 27001 ที่เกี่ยวข้องกับการบริหารความเสี่ยงด้านเทคโนโลยี
4. บทบาทของผู้บริหารต่อการสนับสนุนให้เกิดการบริหารจัดการด้านความมั่นคงปลอดภัย ระบบเทคโนโลยีสารสนเทศและเครือข่าย (Information Security Management Systems – Requirements)
4.1 ผู้บริหารต้องให้ความสำคัญกับ “การรักษาความมั่นคงปลอดภัยระบบเทคโนโลยีสารสนเทศ”
การไม่มีนโยบายความมั่นคงปลอดภัยจากระดับผู้บริหารสู่เจ้าหน้าที่ระดับล่าง ทำให้เจ้าหน้าที่ขององค์กรไม่มีแนวทาง การปฏิบัติที่เหมาะสม และอาจทำการละเมิดความปลอดภัยของระบบสารสนเทศในองค์กรได้
4.2 ผู้บริหารต้องมีส่วนร่วมในกระบวนการตั้งแต่เริ่มต้น วางแผน ผู้บริหารต้องพิจารณาอนุมัติหลักการในการดำเนินการเพื่อจัดทำระบบ Information Security Management System ผู้บริหารต้องพิจารณาเอกสารที่เกี่ยวข้องกับ การประเมินความเสี่ยง วิธีการที่ใช้ การวิเคราะห์ความเสี่ยงและการประเมิน ความเสี่ยงที่ต้องจัดการ ความเสี่ยงที่ยังหลงเหลือ และความเสี่ยงที่ต้องยอมรับ แผนการจัดการกับความเสี่ยง ลงมือปฏิบัติ (Implement and Operate the ISMS) ผู้บริหารต้องให้ทรัพยากรที่จำเป็นเพื่อการสร้างความมั่นคงปลอดภัยให้กับระบบเทคโนโลยี สารสนเทศ และเครือข่ายขององค์กร เช่น จัดให้มีโครงสร้างคณะทำงาน ด้านความมั่นคงปลอดภัย ผู้บริหารต้องอนุญาตให้บุคลากรขององค์กรในแผนกต่าง ๆ เข้าไปมีส่วนร่วมและรับผิดชอบ ต่อความมั่นคง ปลอดภัยในส่วนที่ตนเองเกี่ยวข้อง ผู้บริหารต้องจัดสรรงบประมาณในการจัดทำระบบให้มีความมั่นคงปลอดภัยมากยิ่งขึ้น หรือจัดสรรงบประมาณ ให้สามารถดำเนินการตามแผนการจัดการกับความเสี่ยง ที่ผู้บริหารได้เห็นชอบแล้ว ได้แก่ จัดสร้างห้องเครื่องให้มี มาตรฐานความมั่นคงปลอดภัย หรือให้การสนับสนุนด้านการส่งบุคลากรเข้ารับการอบรมเกี่ยวกับความรู้ ด้านความมั่นคงปลอดภัย ผู้บริหารต้องให้การสนับสนุนในการบริหารจัดการด้านการสื่อสาร และการดำเนินงาน ของคณะทำงานด้านความมั่นคงปลอดภัยให้กับองค์กร ผู้บริหารต้องให้การดูแล และสนับสนุนให้เกิดการบริหารจัดการในเรื่องของการควบคุมการเข้าถึง ระบบ เครือข่าย และทรัพยากรสารสนเทศที่สำคัญ ผู้บริการต้องให้หลักการ และเสริมสร้างมาตรฐานในการจัดหา การพัฒนา และการบำรุงรักษา ระบบสารสนเทศในประเด็นเรื่องความมั่นคงปลอดภัยอย่างใกล้ชิด อำนวยการให้เกิดการบริหารจัดการเหตุการณ์ที่เกี่ยวข้องกับความมั่นคงปลอดภัยขององค์กร ตรวจสอบติดตาม (Monitor and Improve the ISMS) ผู้บริหารต้องให้ความสำคัญต่อการตรวจสอบกิจกรรมต่าง ๆ ที่เกิดขึ้นตามแผนการดำเนินงาน ISMS จัดให้มีการตรวจสอบโดยทีม Internal audit จัดให้มีการตรวจสอบโดยผู้ตรวจสอบอิสระตามความเหมาะสม เมื่อได้ดำเนินการ Corrective action , Preventive action การตามผลการตรวจสอบแล้ว ผู้บริหารต้องจัดให้มี วิธีการวัดประสิทธิภาพและประสิทธิผลของการดำเนินการระบบ ISMS เพื่อให้สามารถปรับปรุงระบบการรักษา ความมั่นคงปลอดภัยได้ดีขึ้น และเป็นไปอย่างต่อเนื่อง
4.2 ผู้บริหารต้องมีส่วนร่วมในกระบวนการตั้งแต่เริ่มต้น
5. ความเสี่ยงด้านการละเมิดต่อข้อกำหนดกฎหมาย สัญญาต่าง ๆ
6. ผู้บริหารกับการรับมือกับเหตุฉุกเฉิน
7. กฎหมายไอทีกับการควบคุมความเสี่ยง
กฎหมายทางกิจการเทคโนโลยีสารสนเทศและการสื่อสาร รวมทั้งกิจการโทรคมนาคม กฎหมายที่เกี่ยวข้อง กับการประกอบธุรกรรมอิเล็กทรอนิกส์ที่เกี่ยวข้องกับการควบคุมความเสี่ยง
โพสต์เมื่อ : 2 มีนาคม 2555