หน้าที่ของ Top Management หรือ ผู้บริหารระดับสูง

Top Management หรือ ผู้บริหารระดับสูง อาจจะเป็นคนหรือกลุ่มบุคคลที่มีบทบาทในการสั่งการและควบคุมองค์กรในระดับสูงสุด เปรียบเสมือนหัวใจสำคัญขององค์กร ทำหน้าที่ กำหนดทิศทางและกลยุทธ์ เพื่อนำพาองค์กรไปสู่เป้าหมาย โดยมีหน้าที่หลักดังนี้

1. เป็นผู้กำหนดนโยบายและนโยบายต่างๆ ขององค์กร ครอบคลุมทั้งด้านกลยุทธ์ การเงิน การตลาด การผลิต ทรัพยากรบุคคล ฯลฯ โดยคำนึงถึงปัจจัยภายในและภายนอกองค์กร วิเคราะห์โอกาสและความเสี่ยง กำหนดเป้าหมายและแผนการดำเนินงาน
2. สื่อสารนโยบายและทิศทางให้ชัดเจนแก่พนักงานทุกระดับ เพื่อสร้างความเข้าใจร่วม กระตุ้นให้เกิดการมีส่วนร่วม และทำงานไปในทิศทางเดียวกัน
3. จัดสรรทรัพยากรต่างๆ ขององค์กร เช่น เงินทุน บุคลากร อุปกรณ์ เทคโนโลยี ฯลฯ  ให้เพียงพอต่อความต้องการเพื่อบรรลุเป้าหมายที่กำหนดไว้
4. กำกับ ควบคุมดูแล และติดตามการดำเนินงานขององค์กร ติดตามผลลัพธ์ วิเคราะห์ปัญหาและอุปสรรค์หาแนวทางแก้ไข ปรับปรุงพัฒนาองค์กรอย่างต่อเนื่อง
5. ตัดสินใจในเรื่องสำคัญๆ ขององค์กรโดยใช้วิจารณญาณ ความรู้ ประสบการณ์ วิเคราะห์ข้อมูลโดยคำนึงถึงผลประโยชน์ขององค์กรและผู้เกี่ยวข้อง
6. เป็นผู้นำองค์กร สร้างแรงบันดาลใจปลูกฝังวัฒนธรรมองค์กรที่ดี ส่งเสริมให้พนักงานทำงานอย่างมีประสิทธิภาพ
7. สร้างความสัมพันธ์กับผู้เกี่ยวข้องทั้งภายในและภายนอกองค์กร เช่น ลูกค้า คู่ค้า นักลงทุน หน่วยงานภาครัฐ ฯลฯ เพื่อบรรลุเป้าหมายที่กำหนดไว้
8. รับผิดชอบต่อผลการดำเนินงานและผลประกอบการขององค์กร รวมถึงการปฏิบัติตามกฎหมาย ระเบียบ และมาตรฐานต่างๆ

Clause 5 – Leadership (ผู้นำ)

 

ผู้นำมีบทบาทหน้าที่สำคัญมากในระบบบริหารจัดการ เชื่อได้ว่าหากผู้นำไม่สนับสนุน หรือเห็นความสำคัญไม่มีทางที่ระบบการจัดการจะมีประสิทธิภาพ มาตรฐาน ISO/IEC27001:2022 ได้กำหนดบทบาทหน้าที่ของผู้นำองค์กรไว้ 3 ข้อ คือข้อที่ 5.1-5.3

ข้อที่ 5.1 ภาวะผู้นำและความมุ่งมั่น อย่างที่ได้พูดไว้แล้วข้างต้นว่าการทำระบบไม่มีทางสำเร็จถ้าผู้นำไม่เห็นด้วยและสนับสนุน ดังนั้นข้อนี้จึงเน้นที่การแสดงออกของภาวะผู้นำที่จะต้องแสดงให้เห็นถึงความเป็นผู้นำ และความมุ่งมั่นที่จะดำเนินการ เช่น ทำให้มั่นใจว่านโยายและวัตถุประสงค์ด้านความมั่นคงปลอดภัยสารสนเทศ ได้ถูกดำเนินการ และสอดคล้องกับทิศทางขององค์กร, ทำให้มั่นใจว่าข้อกำหนดตามมาตรฐานนี้ได้ถูกนำไปประยุกต์ใช้ในกระบวนการต่าง ๆ ขององค์กร, สนับสนุนทรัพยากรที่จำเป็น เป็นต้น

ไปต่อที่ข้อ 5.2 กำหนดให้ผู้บริหารระดับสูงต้องกำหนดนโยบายความมั่นคงปลอดภัยสารสนเทศ โดยนโยบายนั้นควรต้องเหมาะสมต่อวัตถุประสงค์ขององค์กร มีการกำหนวัตถุประสงค์ด้านความมั่นคงปลอดภัยสารสนเทศ และแสดงให้เห็นถึงความมุ่งมั่นที่จะปฏิบัติตามข้อกำหนดที่เกี่ยวข้องกับความมั่นคงปลอดภัยสารสนเทศ ตลอดจนความมุ่งมั่นที่จะพัฒนาระบบการจัดการอย่างต่อเนื่อง ในข้อกำหนดนี้กำหนดให้นโยบายจะต้องจัดทำเป็นเอกสารสารสนเทศ และสื่อสารให้กับผู้ที่เกี่ยวข้องในองค์กร และมีไว้ให้ผู้มีส่วนได้เสียตามความเหมาะสม

ข้อสุดท้าย ข้อที่ 5.3 กำหนดให้ผู้บริหารระดับสูงต้องมอบหมายบทบาทหน้าที่, ความรับผิดชอบ และอำนาจหน้าที่ ที่เกี่ยวข้องกับความมั่นคงปลอดภัยสารสนเทศ และสื่อสารกับผู้ที่เกี่ยวข้อง ในการมอบหมายความรับผิดชอบ และอำนาจหน้าที่ก็เพื่อให้มั่นใจว่าระบบการจัดการเป็นไปตามข้อกำหนด และให้มีการรายงานผลการดำเนินการไปยังผู้บริหารระดับสูง

Clause 6 – Planning (การวางแผน)

หัวข้อนี้อธิบายได้นะแต่พอต้องมาเขียนเป็นภาษาเขียนแล้วรู้สึกติด จะเขียนเสร็จไหม เขียนเสร็จแล้วจะอ่านรู้เรื่องใหม? เพราะหัวข้อนี้ใหญ่มากเขียนแบบสรุป ๆ เฉพาะสิ่งที่ต้องดำเนินการหลัก ๆ ก็แล้วกันนะ เพราะถ้าลงรายละเอียดไม่น่าจะจบ

ข้อกำหนดที่ 6 ตามมาตรฐาน ISO/IEC27001:2022  แบ่งออกเป็น 2 หัวข้อ คือ

ข้อกำหนดที่ 6.1  การดำเนินการเพื่อจัดการกับความเสี่ยงและโอกาส แบ่งออกเป็นหัวข้อย่อย 3 หัวข้อ 

ในหัวข้อที่ 6.1.1 สิ่งที่ต้องดำเนินการคือจัดทำแผนในการดำเนินการเพื่อจัดการกับความเสี่ยงและโอกาส ในการวางแผนการดำเนินการจะต้องพิจารณาถึงประเด็นที่มีการวิเคราะห์ตามข้อกำหนดที่ 4.1 และ 4.2 ด้วย

หัวข้อที่ 6.1.2 องค์กรจะต้องกำหนดเกณฑ์ในการประเมินความเสี่ยง และเกณฑ์การยอมรับความเสี่ยง มีกระบวนการในการระบุความเสี่ยง วิเคราะห์ความเสี่ยง และประเมินความเสี่ยง 

และ 6.1.3 หัวข้อสุดท้าย กำหนดให้องค์กรจัดทำกระบวนการจัดการความเสี่ยง โดยเลือกมาตรการควบคุมความเสี่ยงที่เหมาะสม จากนั้นเทียบมาตรการควบคุมกับ Annex A ของมาตรฐาน ISO27001:2022 และจัดทำเอกสารแสดงการประยุกต์ใช้มาตรการควบคุม (Statement of Applicability: SOA)

ข้อกำหนดที่ 6.2 วัตถุประสงค์ความมั่นคงปลอดภัยสารสนเทศ

กำหนดให้องค์กรต้องกำหนดวัตถุประสงค์ด้านความมั่นคงปลอดภัยสารสนเทศ โดยวัตถุประสงค์นั้นต้องสอดคล้องกับนโยบายฯที่จัดทำขึ้น, ต้องวัดผลได้ มีการสื่อสารไปยังผู้ที่เกี่ยวข้อง และมีการติดตามผล เป็นต้น โดยจะต้องจัดทำเป็นเอกสารสารสนเทศ 

นอกจากจะกำหนดวัตถุประสงค์ฯแล้ว องค์กรจะต้องวางแผนการดำเนินการเพื่อให้บรรลุวัตถุประสงค์ดังกล่าว โดยจะต้องกำหนดกิจกรรม ทรัพยากรที่ต้องการ ผู้รับผิดชอบ ระยะเวลาแล้วเสร็จ และวิธีการประเมินผล

ISO/IEC 27001:2022 มาตรฐานระบบบริหารความมั่นคงปลอดภัยสารสนเทศ ความมั่นคงปลอดภัยไซเบอร์ และการปกป้องความเป็นส่วนตัว

ISO/IEC 27001:2013 เป็นมาตรฐานสากล ด้านระบบบริหารความมั่นคงปลอดภัยสารสนเทศ ความมั่นคงปลอดภัยไซเบอร์ และการปกป้องความเป็นส่วนตัว ขององค์กรระหว่างประเทศว่าด้วยการมาตรฐาน (International Organization for Standardization - ISO) ประกาศใช้อย่างเป็นทางการครั้งแรกเมื่อปี ค2005 ปัจจุบันเป็นฉบับปี 2022 มีข้อกำหนดเพื่อให้องค์กรนำไปประยุกต์ใช้เป็นกรอบมาตรฐานในการรักษาความมั่นคงปลอดภัยสารสนเทศ ความมั่นคงปลอดภัยไซเบอร์ และการปกป้องความเป็นส่วนตัว เป็นระบบบริหารที่มีความยืดหยุ่น สามารถนำไปประยุกต์ใช้ได้กับองค์กรที่มีความหลากหลาย โดยใช้หลักการ PDCA (Plan - Do - Check - Act) เป็นรูปแบบการดำเนินการเช่นเดียวกับมาตรฐาน ISO อื่น ๆ เช่น ISO9001, ISO14001, ISO22301, ISO45001, ISO5001 เป็นต้น ข้อกำหนดในมาตรฐานระบบบริหารความมั่นคงปลอดภัยสารสนเทศ ISO27001:2022 มีทั้งหมด 10 ข้อ แบ่งออกเป็น 2 ส่วน คือ 1. บทนำ (Clause 1-3) และ 2. ข้อกำหนด (Clause 4-10) ดังภาพ ทั้งนี้หากองค์กรต้องการขอการรับรองมาตรฐาน จากหน่วยงานที่ให้การรับรอง (Certify body) จะต้องดำเนินการตามข้อกำหนดที่ 4-10 โดยไม่สามารถยกเว้นได้ 

ข้อกำหนดตามมาตรฐาน ISO/IEC27001:2022 (10 ข้อ)

1. Scope -- ขอบข่ายของมาตรฐาน
2. Normative reference -- การอ้างอิง 
3. Terms and definitions -- คำศัพท์ และความหมาย
   ^^^ 1-3 ไม่ต้องสนใจมาก ^^^
4. Context of Organization -- บริบทองค์กร
5. Leadership -- ผู้นำ
6. Plan -- การวางแผน
7. Support -- การสนับสนุน
8. Operation -- การดำเนินการ
9. Performance evaluation -- การประเมินผล
10. Improvement -- การพัฒนาปรับปรุง

นอกจากนี้ในมาตรฐาน ISO/IEC27001 ยังมีการกำหนดมาตรการควบคุมไว้ใน Annex A ของมาตรฐาน แบ่งออกเป็น 4 กลุ่ม จำนวนทั้งสิ้น 93 ข้อ เพื่อให้องค์กรเลือกนำไปประยุกต์ใช้ในการควบคุมความเสี่ยงที่เกี่ยวข้อง ซึ่งประกอบด้วย Security control ที่กำหนดขึ้นมาใหม่จำนวน 11 ข้อ

Clause 4 – Context of the organization (บริบทองค์กร)

 

มาตรฐาน ISO27001:2022 มีข้อกำหนดทั้งหมด 10 ข้อ สำหรับบล็อกนี้จะเป็นเรื่องของข้อกำหนดที่ 4 ซึ่งเกี่ยวข้องกับบริบทขององค์กร โดยจะแบ่งออกเป็น 4 หัวข้อย่อย 4.1-4.4 สำหรับมาตรฐานไปหาอ่านเอง หรือดูจากรูป แต่จะสรุปความต้องการในแต่ละข้อประมาณนี้

4.1 การทำความเข้าใจองค์กร และบริบทขององค์กร ในข้อนี้ได้กำหนดให้องค์กรต้องศึกษาประเด็นภายใน และประเด็นภายนอกที่เกี่ยวข้อง/ส่งผลต่อการบรรลุวัตถุประสงค์ หรือส่งผลต่อความสามารถในการดำเนินการ/การบรรลุผลลัพธ์ของระบบการจัดการความมั่นคงปลอดภัยสารสนเทศ 

การดำเนินการให้เป็นไปตามข้อกำหนดข้อนี้ที่นิยมกันก็จะใช้เครื่องมือ SWOT Analysis และ PESTEL แต่ในมาตรฐานไม่ได้กำหนดว่าจะต้องเป็นวิธีไหน องค์กรอาจจะเลือกวิธีอื่น ๆ ที่เหมาะสมตามบริบทขององค์กรก็ได้

4.2 กำหนดให้องค์กรต้องทำความเข้าใจความต้องการและความคาดหวังของผู้มีส่วนได้ส่วนเสีย ในการดำเนินการเพื่อให้เป็นไปตามข้อกำหนดนี้องค์กรต้องกำหนดว่าใครเป็นผู้มีส่วนได้เสียที่เกี่ยวข้อง และศึกษาความต้องการและความคาดหวังของผู้มีส่วนได้เสียที่กำหนดไว้ 

สิ่งที่ลืมไม่ได้สำหรับการวิเคราะห์ในข้อนี้คือ การศึกษากฎหมายที่เกี่ยวข้อง เช่น พรบ.ความมั่นคงปลอดภัยไซเบอร์, พรบ.คุ้มครองข้อมูลส่วนบุคคล, พรบ.คอมพิวเตอร์ ฯลฯ ระเบียบข้อบังคับ ตลอดจนสัญญา และข้อผู้พันธ์ตามสัญญากับผู้ให้หรือผู้รับบริการที่เกี่ยวข้องกับองค์กร

4.3 เมื่อทำการศึกษาเพื่อเข้าใจองค์กร, บริบทขององค์กร และความคาดหวังของผู้มีส่วนได้เสียแล้ว ก็นำข้อมูลที่ได้มากำหนดขอบเขตของระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ 

ข้อกำหนดที่ 4.3 เป็นข้อกำหนดเดียวในข้อกำหนดที่ 4 ที่กำหนดให้จัดทำเป็นเอกสารสารสนเทศ ข้อกำหนดอื่นไม่ได้กำหนดให้จัดทำ ดังนั้นองค์กรไม่จำเป็นต้องทำเป็นเอกสารก็ได้ แต่ในการตรวจประเมินองค์กรต้องสามารถแสดงให้เห็นได้ว่ามีการวิเคราะห์/ประเมินตามข้อ 4.1-4.2

4.4 กำหนดให้องค์กรจัดตั้ง ดำเนินการ รักษา และพัฒนาปรับปรุงอย่างต่อเนื่อง (Establish, implement, maintain, and continually improve) ระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ รวมถึงกระบวนการจำเป็นที่เกี่ยวข้อง