ความมุ่งมั่นของฝ่ายบริหาร (Leadership & Commitment)

มาตรฐานได ๆ ไม่อาจสำเร็จ หรือบรรลุวัตถุประสงค์ได้หากไม่ได้รับการสนับสนุนจากผู้บริหาร ถ้าแค่ไม่ค่อยเห็นความสำคัญอาจจะยังไม่เป็นปัญหาเท่าใหร่ แต่หากผู้บริหารไม่รู้ว่าการดำเนินการเหล่านี้มีไว้ทำไม หรือมีประโยชน์อะไร อันนี้ตัวใครตัวมันแล้ว !!!

ความมุ่งมั่นของฝ่ายบริหาร (Management commitment) เป็นส่วนหนึ่งของข้อกำหนดในมาตรฐานระบบการจัดการ ในที่นี้จะยกมาในส่วนของระบบการจัดการความมั่นคงปลอดภัยสารสนเทศฯ ตามมาตรฐาน ISO27001 ซึ่งได้วางข้อกำหนดเกี่ยวกับความมุ่งมั่นของผู้บริหารไว้ดังนี้

ซึ่งประเด็นสำคัญของมันก็คือ ผู้บริหารระดับสูงต้องแสดงให้เห็นถึงความมุ่งมั่นในการพัฒนาและนำระบบการจัดการด้านความมั่นคงปลอดภัยสารสนเทศฯ ไปปฏิบัติใช้ รวมถึงการปรับปรุงประสิทธิภาพของระบบอย่างต่อเนื่อง

คำถามที่ตามมาคือ ในฐานะผู้บริหารจะแสดงความมุ่งมั่นอย่างไร ในฐานะผู้ตรวจปัญหาสำคัญคือจะทำอย่างไรในการเก้บรวบรวมหลักฐานที่แสดงให้เห็นถึงความมุ่งมั่นในการดำเนินการของผู้บริหาร

ผู้บริหารเซ็นต์ลงนามในประกาศนโยบาย และระเบียบปฎิบัติ เพียงพอใหมที่จะบอกว่าผู้บริหารมีความมุ่งมั่น? เอาตามตรงมันอาจจะยังไม่เพียงพอ แต่อย่างไรก็ตามก็สามารถมององค์ประกอบอื่นๆ  เพิ่มเติมได้ ถึงแม้บางอย่างในข้อกำหนดจะให้เก็บเป็นหลักฐานเชิงประจักษ์ยากหน่อยก็เหอะ

แล้วเราจะดูอะไรได้ หรือผู้บริหารจะทำยังไงให้เห็นถึงความมุ่งมั่นหละ สิ่งเหล่านี้อาจจะพอเป็นแนวทางได้นะครับ เช่น ผู้บริหารเข้าร่วมประชุมทบทวนระบบ กำกับดูแล และติดตามผลการดำเนินการ ให้ข้อเสนอแนะ และตัดสินใจในประเด้นที่เกี่ยวข้อง (เช่น แผนการจัดการความเสี่ยง, ประสิทธิผลการดำเนินการ เป็นต้น), ผู้บริหารจัดสรรทรัพยากรที่จำเป็นให้, ผู้บริหารสนับสนุนให้มีการฝึกอบรมพนักงาน เป็นต้น