Showing posts with label Top Management. Show all posts
Showing posts with label Top Management. Show all posts

Monday, January 13, 2025

ตัวอย่างการประชุมทบทวนฝ่ายบริหาร (Management Review)

 การประชุม Management Review มีบทบาทสำคัญในการประเมินและทวนสอบประสิทธิผลของระบบบริหารงานด้านคุณภาพและความปลอดภัยอาหาร โดยผู้บริหารระดับสูงต้องเข้าร่วมอย่างน้อยปีละ 1 ครั้ง เพื่อพิจารณาประสิทธิภาพขององค์กรตามมาตรฐานและวัตถุประสงค์ที่กำหนดไว้   ในบริบทตามมาตรฐาน ISO/IEC 27001 มุ่งเน้นไปที่การกำกับดูแล และติดตามประสิทธิภาพของระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (ISMS) เพื่อให้มั่นใจว่าองค์กรสามารถปกป้องข้อมูลสำคัญได้อย่างเหมาะสม รวมถึงสอดคล้องกับข้อกำหนดของมาตรฐานและเป้าหมายด้านความปลอดภัยสารสนเทศ

วาระการประชุมและตัวอย่าง

  1. สถานะการดำเนินงานจากการประชุมครั้งก่อน
    ตัวอย่าง: ในการประชุมครั้งก่อน มีข้อเสนอให้ปรับปรุงนโยบายการจัดการรหัสผ่านให้มีความเข้มงวดมากขึ้น เช่น การบังคับใช้ MFA (Multi-Factor Authentication) ภายใน 6 เดือน
    การติดตาม: ในการประชุมนี้ รายงานผลว่าได้ดำเนินการติดตั้ง MFA สำเร็จแล้วใน 80% ของระบบ โดยส่วนที่เหลือกำลังอยู่ระหว่างการทดสอบการใช้งาน

  2. การเปลี่ยนแปลงภายนอกและภายใน
    ตัวอย่าง: พบว่ามีการเปลี่ยนแปลงกฎหมายคุ้มครองข้อมูลส่วนบุคคล (PDPA) ที่ส่งผลต่อการจัดเก็บและประมวลผลข้อมูล
    การพิจารณา: ทบทวนและปรับเปลี่ยนนโยบายการจัดเก็บข้อมูลส่วนบุคคลให้สอดคล้องกับกฎหมายใหม่

  3. ผลการทวนสอบและปรับปรุงระบบควบคุมความปลอดภัย (Security Controls)
    ตัวอย่าง: มีการอัปเกรดระบบไฟร์วอลล์เพื่อป้องกันการโจมตีจากภายนอก เช่น การโจมตีแบบ DDoS
    การรายงาน: ผลการติดตั้งไฟร์วอลล์ใหม่ลดการโจมตีได้ถึง 90%

Read more »
Labels: ,

Wednesday, November 15, 2023

ความมุ่งมั่นของฝ่ายบริหาร (Leadership & Commitment)

มาตรฐานได ๆ ไม่อาจสำเร็จ หรือบรรลุวัตถุประสงค์ได้หากไม่ได้รับการสนับสนุนจากผู้บริหาร ถ้าแค่ไม่ค่อยเห็นความสำคัญอาจจะยังไม่เป็นปัญหาเท่าใหร่ แต่หากผู้บริหารไม่รู้ว่าการดำเนินการเหล่านี้มีไว้ทำไม หรือมีประโยชน์อะไร อันนี้ตัวใครตัวมันแล้ว !!!

ความมุ่งมั่นของฝ่ายบริหาร (Management commitment) เป็นส่วนหนึ่งของข้อกำหนดในมาตรฐานระบบการจัดการ ในที่นี้จะยกมาในส่วนของระบบการจัดการความมั่นคงปลอดภัยสารสนเทศฯ ตามมาตรฐาน ISO27001 ซึ่งได้วางข้อกำหนดเกี่ยวกับความมุ่งมั่นของผู้บริหารไว้ดังนี้


ซึ่งประเด็นสำคัญของมันก็คือ ผู้บริหารระดับสูงต้องแสดงให้เห็นถึงความมุ่งมั่นในการพัฒนาและนำระบบการจัดการด้านความมั่นคงปลอดภัยสารสนเทศฯ ไปปฏิบัติใช้ รวมถึงการปรับปรุงประสิทธิภาพของระบบอย่างต่อเนื่อง

คำถามที่ตามมาคือ ในฐานะผู้บริหารจะแสดงความมุ่งมั่นอย่างไร ในฐานะผู้ตรวจปัญหาสำคัญคือจะทำอย่างไรในการเก้บรวบรวมหลักฐานที่แสดงให้เห็นถึงความมุ่งมั่นในการดำเนินการของผู้บริหาร

ผู้บริหารเซ็นต์ลงนามในประกาศนโยบาย และระเบียบปฎิบัติ เพียงพอใหมที่จะบอกว่าผู้บริหารมีความมุ่งมั่น? เอาตามตรงมันอาจจะยังไม่เพียงพอ แต่อย่างไรก็ตามก็สามารถมององค์ประกอบอื่นๆ  เพิ่มเติมได้ ถึงแม้บางอย่างในข้อกำหนดจะให้เก็บเป็นหลักฐานเชิงประจักษ์ยากหน่อยก็เหอะ

แล้วเราจะดูอะไรได้ หรือผู้บริหารจะทำยังไงให้เห็นถึงความมุ่งมั่นหละ สิ่งเหล่านี้อาจจะพอเป็นแนวทางได้นะครับ เช่น ผู้บริหารเข้าร่วมประชุมทบทวนระบบ กำกับดูแล และติดตามผลการดำเนินการ ให้ข้อเสนอแนะ และตัดสินใจในประเด้นที่เกี่ยวข้อง (เช่น แผนการจัดการความเสี่ยง, ประสิทธิผลการดำเนินการ เป็นต้น), ผู้บริหารจัดสรรทรัพยากรที่จำเป็นให้, ผู้บริหารสนับสนุนให้มีการฝึกอบรมพนักงาน เป็นต้น
Labels:

Tuesday, September 12, 2023

ผู้บริหารจะมีส่วนอย่างไรในการดำเนินการให้องค์กรบรรลุเป้าหมาย

  1. กำหนดเป้าหมายที่ชัดเจน: กำหนดหลักการสำคัญที่เป็นแนวทางให้กับองค์กร โดยอาจเขียนเป็นนโยบาย กลยุทธ์ และเผยแพร่ให้พนักงานทราบ
  2. สื่อสารอย่างสม่ำเสมอ: พูดถึงหลักนำนี้อย่างสม่ำเสมอ เน้นย้ำให้พนักงานจดจำ เพื่อให้พนักงานทราบว่าผู้บริหารระดับสูงให้ความสำคัญกับเรื่องนี้
  3. เป็นแบบอย่าง: ผู้นำต้องแสดงให้เห็นเป็นตัวอย่างที่ดี ปฏิบัติตามแนวทาง หรือเป้าหมายที่กำหนดไว้
  4. ยกย่องผู้ปฏิบัติตาม: ประกาศยกย่องและให้รางวัลแก่พนักงานที่ปฏิบัติตามแนวทาง หรือเป้าหมายที่กำหนดไว้
  5. ไม่สนับสนุนผู้ละเมิด: ไม่ให้รางวัลหรือยกย่องผู้ที่ฝ่าฝืน แม้จะสร้างผลประโยชน์ระยะสั้นให้กับองค์กรก็ตาม และตักเตือนหรือลงโทษพนักงานที่ละเมิดอย่างจริงจัง

Labels:

Thursday, November 17, 2022

หน้าที่ของ Top Management หรือ ผู้บริหารระดับสูง

Top Management หรือ ผู้บริหารระดับสูง อาจจะเป็นคนหรือกลุ่มบุคคลที่มีบทบาทในการสั่งการและควบคุมองค์กรในระดับสูงสุด เปรียบเสมือนหัวใจสำคัญขององค์กร ทำหน้าที่ กำหนดทิศทางและกลยุทธ์ เพื่อนำพาองค์กรไปสู่เป้าหมาย โดยมีหน้าที่หลักดังนี้

  1. เป็นผู้กำหนดนโยบายและนโยบายต่างๆ ขององค์กร ครอบคลุมทั้งด้านกลยุทธ์ การเงิน การตลาด การผลิต ทรัพยากรบุคคล ฯลฯ โดยคำนึงถึงปัจจัยภายในและภายนอกองค์กร วิเคราะห์โอกาสและความเสี่ยง กำหนดเป้าหมายและแผนการดำเนินงาน
  2. สื่อสารนโยบายและทิศทางให้ชัดเจนแก่พนักงานทุกระดับ เพื่อสร้างความเข้าใจร่วม กระตุ้นให้เกิดการมีส่วนร่วม และทำงานไปในทิศทางเดียวกัน
  3. จัดสรรทรัพยากรต่างๆ ขององค์กร เช่น เงินทุน บุคลากร อุปกรณ์ เทคโนโลยี ฯลฯ  ให้เพียงพอต่อความต้องการเพื่อบรรลุเป้าหมายที่กำหนดไว้
  4. กำกับ ควบคุมดูแล และติดตามการดำเนินงานขององค์กร ติดตามผลลัพธ์ วิเคราะห์ปัญหาและอุปสรรค์หาแนวทางแก้ไข ปรับปรุงพัฒนาองค์กรอย่างต่อเนื่อง
  5. ตัดสินใจในเรื่องสำคัญๆ ขององค์กรโดยใช้วิจารณญาณ ความรู้ ประสบการณ์ วิเคราะห์ข้อมูลโดยคำนึงถึงผลประโยชน์ขององค์กรและผู้เกี่ยวข้อง
  6. เป็นผู้นำองค์กร สร้างแรงบันดาลใจปลูกฝังวัฒนธรรมองค์กรที่ดี ส่งเสริมให้พนักงานทำงานอย่างมีประสิทธิภาพ
  7. สร้างความสัมพันธ์กับผู้เกี่ยวข้องทั้งภายในและภายนอกองค์กร เช่น ลูกค้า คู่ค้า นักลงทุน หน่วยงานภาครัฐ ฯลฯ เพื่อบรรลุเป้าหมายที่กำหนดไว้
  8. รับผิดชอบต่อผลการดำเนินงานและผลประกอบการขององค์กร รวมถึงการปฏิบัติตามกฎหมาย ระเบียบ และมาตรฐานต่างๆ

Labels: