มาตรฐานสากล: พฤษภาคม 2016

วันจันทร์ที่ 9 พฤษภาคม พ.ศ. 2559

COBIT

COBIT เป็นกรอบแนวคิดที่ช่วยเชื่อมโยงการดำเนินธุรกิจกับการใช้งานทางด้าน เทคโนโลยีสารสนเทศ ให้มีความสอดคล้องกัน โดยเริ่มต้นที่ตั้งวัตถุประสงค์ทางธุรกิจ และมีแนวคิดในการนำ เทคโนโลยีสารสนเทศ มาใช้งานซึ่งจะต้องมีการกำกับดูแล ให้ชัดเจนและมีวัตถุประสงค์ในการกำกับดูแลควบคุมไว้ด้วย การจะควบคุมได้นั้นก็จะต้องมีข้อมูลสารสนเทศที่จำเป็นจะต้องใช้

ซึ่งจะทำให้การควบคุมการใช้งาน เทคโนโลยีสารสนเทศ ในองค์กรเป็นไปอย่างถูกต้องและมีประสิทธิผล และสุดท้ายส่งผลให้ตรงกับความต้องการทางธุรกิจและบรรลุเป้าหมายทางธุรกิจที่ได้วางเอาไว้ได้

การทำ IT Governance มุ่งเน้นใน 5 ด้าน คือ

-การจัดวางกลยุทธ์ (Strategic Alignment)

-การนำเสนอคุณค่า (Value Delivery)

-การจัดการทรัพยากร (Resource Management)

-การจัดการความเสี่ยง (Risk Management)

-การวัดผลการดำเนินงาน (Performance Measurement)

มีขอบเขตของกระบวนการ 4 ด้านหลักด้วยกัน คือ

-การวางแผนและการจัดองค์กร (Planning and Organization : PO)

-การจัดหาและนำไปใช้ (Acquisition and Implementation : AI)

-การนำส่งและสนับสนุน (Delivery and Support : DS)

-การตรวจสอบและประเมินผล (Monitoring and Evaluation : ME)

-โดยที่แต่ละด้านนั้นจะมีกระบวนการย่อยอยู่ภายใน ซึ่งจะมีกระบวนการรวมทั้งหมด 34 กระบวนการ

แนวทางการใช้งานกรอบแนวคิดในการกำกับดูแลเทคโนโลยีสารสนเทศ

ภาพ แสดงระดับและขอบเขตในการนำตัวแบบต่างๆ มาใช้งาน

แนวทางประยุกต์ใช้ COBIT ให้เข้ากับธุรกิจ

-ในกรอบแนวคิดของ COBIT จะมีรูปแบบแนวทางการบริหารจัดการ ซึ่งจะมีองค์ประกอบย่อยๆ ที่อยู่ภายใน ทำให้ธุรกิจสามารถที่จะเชื่อมโยงและได้รับข้อมูลสารสนเทศที่จำเป็นสำหรับการบรรลุเป้าหมายขององค์กร

-COBIT สนับสนุนการทำงานทางด้าน IT Governance การบริหารงาน การควบคุม

-COBIT จะเป็นเครื่องมือที่ช่วยให้ผู้บริหารเชื่อมโยงช่องว่างระหว่าง ความต้องการในการควบคุม เรื่องทางด้านเทคนิค กับความเสี่ยงทางธุรกิจได้ พร้อมทั้งสื่อสารให้ผู้ที่เกี่ยวข้องรับทราบ

-เริ่มต้น ให้ความต้องการทางธุรกิจแก่กระบวนการทางด้านเทคโนโลยีสารสนเทศต่างๆ

-ให้กระบวนการทางด้านเทคโนโลยีสารสนเทศมีการทำงานให้ได้ตามเป้าหมายของระดับกิจกรรม

-วัดผลได้โดย KPIs (Key Performance Indicators) เป็นตัววัดผลการดำเนินงาน และใช้ KGI (Key Goal Indicators) ซึ่งเป็นการวัดผลได้ในกระบวนการ

-วัดระดับความสามารถขององค์กร ว่าอยู่ในขั้นใด (ระดับ 0 – 5 ) ซึ่งโดยสามารถใช้ COBIT เป็นแนวทาง และทราบได้ว่าอยู่ระดับใดในแต่ละกระบวนการ

ภาพ แสดงความสัมพันธ์ขององค์ประกอบ COBIT ที่มา COBIT 4.0

-ความเชื่อมโยงที่เกิดขึ้น คือ สามารถจัดกลุ่มขององค์ประกอบที่เกี่ยวข้องกับ ปัจจัยทางด้าน สารสนเทศ โดยมีองค์ประกอบหลักคือ เป้าหมายทางธุรกิจ

-มีตัวผลักดันในเรื่องของการกำกับดูแลเข้ามาเกี่ยวข้อง โดยจะดูจากผลลัพธ์ที่เกิดขึ้นทางธุรกิจ

-ตัวผลักดันนั้นจะมาจากกระบวนการทางเทคโนโลยีสารสนเทศ

-กระบวนการทางเทคโนโลยีสารสนเทศนี้จะมีการใช้ทรัพยากรทั้ง 4 ด้านที่เกี่ยวข้อง คือ โปรแกรมประยุกต์ ข้อมูลสารสนเทศ โครงสร้างพื้นฐาน และคน เป็นตัวผลักดันให้ทำงานได้

ภาพ แสดงการการจัดการของ COBIT, การควบคุม, การจัดวางและการตรวจสอบดูแล ที่มา COBIT 4.0

-จากลูกบาศก์ COBIT จะเห็นได้ว่าความต้องการของธุรกิจจะมีอยู่ 7 ด้าน ก็คือ ประสิทธิผล ประสิทธิภาพ การเป็นความลับ ความสมบูรณ์ การมีใช้งาน การปฏิบัติตามกฎ และความเชื่อถือได้

-มีการใช้ทรัพยากรทางด้าน IT เข้าไปเพื่อทำให้การทำงานในกระบวนการต่างๆ ของ IT สามารถที่จะให้ข้อมูลสารสนเทศตรงนี้ออกมาได้ และจะได้วัดใน 7 ด้านทางธุรกิจด้วย

-กระบวนการทางด้าน IT จะมีขอบเขตที่เกี่ยวข้องอยู่ ดูว่าสิ่งที่ทำ อยู่ในขอบเขตเรื่องใด และแบ่งออกเป็นกระบวนการต่างๆ จากนั้น ก็จะมีการแบ่งย่อยในระดับกิจกรรมด้วยว่าแต่ละกระบวนการจำเป็นต้องทำกิจกรรมใดบ้าง

การนำไปใช้

-มีแนวคิดการทำ IT Governance เปิดเผยข้อมูลตามที่กฎหมายกำหนด

-นำแนวทางในการบริหารจัดการต่างๆ ของ COSO มาใช้เพื่อที่จะวางแนวทางการปฏิบัติงานทั้ง 5 ด้าน ผู้บริหารจะได้ดูแลงานได้ถูกด้าน

-ใช้แนวทางของ COBIT มาช่วยสร้างความเชื่อมโยงทางด้านเป้าหมายทางธุรกิจ กับเป้าหมายทางด้าน เทคโนโลยีสารสนเทศ

-การนำมาใช้นั้นไม่จำเป็นจะต้องนำมาทั้งหมด แต่ให้เลือกกระบวนการที่เกี่ยวข้องกับเป้าหมายทางธุรกิจเป็นหลักก่อน

ภาพ แสดงขั้นตอนการใช้ COBIT ในแต่ละกระบวนการ

-เริ่มต้นที่การควบคุมในระดับบน ซึ่งหมายถึงภาพรวมของกระบวนการนั้นๆ และทราบว่ากระบวนการที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศนี้ จะต้องทำอะไร เพื่อที่จะตอบสนองความต้องการด้านธุรกิจด้านไหน รวมถึงทราบตัววัดโดยรวมด้วยว่า จะวัดผลการดำเนินการของกระบวนการนี้ด้วย ว่าจะใช้ตัวชี้วัดหลักใด มาวัดผลสำเร็จของกระบวนการ

-ในแต่ละกระบวนการเองนั้น ก็จะมีเรื่องของ IT Governance เข้ามาเกี่ยวข้องด้วย คือ ทาง COBIT เองก็จะบอกว่า เป็นการกำกับดูแลเทคโนโลยีสารสนเทศทางด้านใด ซึ่งจะมีอยู่ด้วยกัน 5 ด้าน และบอกต่อด้วยว่า ด้านใดเป็นด้านหลัก และด้านใดเป็นด้านสนับสนุน

ภาพ แสดงความสัมพันธ์ระหว่างกระบวนการ , เป้าหมาย และตัววัด (ตัวอย่างกระบวนการ DS5) ที่มา COBIT 4.0

ISO/IEC 27001

ISO/IEC 27001ISO/IEC 27001:2005 (Information Security Management System: ISMS) เป็นมาตรฐานการจัดการข้อมูลที่มีความสำคัญเพื่อให้ธุรกิจดำเนินไปอย่างต่อเนื่อง ซึ่งข้อกำหนดต่างๆกำหนดขึ้นโดยองค์กรที่มีชื่อเสียงและมีความน่าเชื่อถือระหว่างประเทศ คือ ISO (The International Organization for Standardization) และ IEC (The International Electrotechnical Commission) การประยุกต์ใช้ ISMS จะช่วยให้กิจกรรมทางธุรกิจต่อเนื่องไม่สะดุด, ช่วยป้องกันกระวนการทางธุรกิจจากภัยร้ายแรงต่างๆเช่น แผ่นดินไหว, วาตภัย, อุทกภัย ฯลฯ และ ความเสียหายของระบบข้อมูล โดยครอบคุม ทุกกลุ่มอุตสาหกรรมและทุกกลุ่มธุรกิจ

มาตรฐานนี้เป็นมาตรฐานสากลที่มุ่งเน้นด้านการรักษาความมั่นคงปลอดภัยให้กับระบบสารสนเทศขององค์กร และใช้เป็นมาตรฐานอ้างอิงเพื่อเป็นแนวทางในการเสริมสร้างความมั่นคงปลอดภัย ให้กับระบบสารสนเทศขององค์กรอย่างแพร่หลาย ก่อนจะมาเป็นมาตรฐานสากลนี้ มาตรฐาน ISO/IEC 27001 และ ISO/IEC 17799:2005 ได้รับการแก้ไขปรับปรุงมาจากมาตรฐานเดืมที่ชื่อว่า BS 7799-1 และ ISO/IEC 17799 : 2000 ตามลำดับ เนื้อหาของมาตรฐาน ISO 27001 : 2005 จะเกี่ยวข้องกับการจัดตั้งและปฏิบัติใช้งาน “ระบบบริหารความมั่นคงของข้อมูล” ขึ้นในองค์กร ซึ่งในแนวคิดของมาตรฐานส่วนนี้จะเป็นแนวทางสำคัญเนื้อหาของมาตรฐาน ISO 27001 : 2005 แบ่งออกเป็น 8 ส่วนดังนี้

1.ขอบเขต (Scope)

2.มาตรฐานอ้างอิง (Normative reference)

3.คำจำกัดความและนิยาม (Term and definitions)

4.ระบบบริหารความมั่นคงของข้อมูล (Information security management system)

5. หน้าที่ ความรับผิดชอบของฝ่ายบริหาร (Management responsibility)

6.การตรวจประเมินการบริหารความมั่งคงของข้อมูลภายใน (Internal ISMS audit)

7.การทบทวนการบริหารความมั่นคงของข้อมูล (Management review of the ISMS)

8.การปรับปรุงการบริหารความมั่นคงของข้อมูล (ISMS improvement)

ความแตกต่างระหว่างมาตรฐาน ISO/IEC27001 กับ ISO/IEC17799-2005 สามารถอธิบายโดยย่อได้ดังนี้

1.ขอบเขต (Scope)

2.ศัพท์เทคนิคและนิยาม (Terms and definitions)

3.โครงสร้างของมาตรฐาน (Structure of this standard)

4.การประเมินความเสี่ยงและการจัดการกับความเสี่ยง / ลด / โอนย้าย / ยอมรับความเสี่ยง (Risk assessment and treatment)

สำหรับมาตรฐาน ISO/IEC 17799-2005 ว่าด้วยเรื่องของวิธีปฏิบัติที่จะนำไปสู่ระบบบริหาร จัดการความมั่นคงปลอดภัยที่องค์กรได้จัดทำขึ้น ซึ่งจะต้องเป็นไปตามข้อกำหนดในมาตรฐาน ISO/IEC27001 รายละเอียดของมาตรฐานนี้จะบอกถึงวิธีปฏิบัติในการลดความเสี่ยงที่เกิดจากจุดอ่อนของระบบโดยแบ่งเป็นหัวข้อหลักที่เกี่ยวข้องกับระบบ และให้แนวทางว่าผู้จัดทำควรปฏิบัติอย่างไร ซึ่งผู้ใช้สามารถเพิ่มเติมมาตรการหรือใช้วิธีการที่มีความมั่นคงปลอดภัยเพียงพอ หรือเหมาะสมตามที่องค์กระได้ประเมินไว้

หลักการของการออกแบบโครงสร้างระบบ ISO/IEC27001:2005 เป็นระบบพลวัตร (Dynamic System)ซึ่งอ้างอิง รูปแบบ PDCA Model (Plan Do Check Action) ซึ่งเป็นโครงสร้างเดียวกับ ระบบ การบริหารที่เป็นสากลที่ใช้กันทั่วโลก เช่น ระบบการจัดการคุณภาพ (ISO 9001:2000), ระบบการจัดการสิ่งแวดล้อม (ISO14001:2004), ระบบการจัดการคุณภาพสำหรับอุตสาหกรรมรถยนต์ (ISO/TS 16949), ระบบการจัดการจัดการคุณภาพสำหรับอตสาหกรรมอาหาร (ISO 21001) ฯลฯ ซึ่งองค์ที่มีการประยุกต์ระบบการจัดการต่างๆนี้แล้ว จะสามารถต่อยอดระบบ ISO/IEC27001:2005 ได้เร็วและง่ายขึ้น แต่สำหรับ องค์กรที่ยังไม่มีระบบการจัดการใดๆ ก็ใช่ว่าจะประยุกต์ใช้ยากเพราะ ระบบ มีการเขียนที่เข้าใจง่ายและแบ่งหมวดให้ง่ายต่อความเข้าใจตาม PDCA อยู่แล้วเพียงแต่ต้องทำความเข้าใจกับระบบให้มากขึ้น

ISO/IEC27001:2005 หรือ Information Security Management System (ISMS) เป็นระบบการจัดการความปลอดภัยของข้อมูล เพื่อให้ระบบข้อมูลสารสนเทศขององค์กรมีคุณสมบัติในด้านต่างๆดังต่อไปนี้

• Confidentiality เพื่อให้มั่นใจได้ว่าข้อมูลต่างๆ สามารถเข้าถึงได้เฉพาะ ผู้ที่มี สิทธิที่จะเข้าเท่านั้น

• Integrity เพื่อให้มั่นใจได้ว่า ข้อมูลมีความถูกต้องครบถ้วนสมบูรณ์ โดยไม่ได้ถูกเปลี่ยนแปลงหรือแก้ไข จากผู้ไม่ได้รับอนุญาติ

• Availability เพื่อให้มั่นใจได้ว่าข้อมูลพร้อมที่จะใช้งานอยู่เสมอ โดยผู้ที่มีสิทธิในการเข้าถึงข้อมูลสามารถเข้าถึงได้ทุกเมื่อ หากต้องการ

ระบบ ISMS เป็นระบบ Dynamic system ที่ใช้โครงสร้าง PDCA ดังนั้น ระบบจะมีการหมุนเพื่อปรับปรุงอย่างต่อเนื่องอยู่ตลอดเวลามี่ที่สิ้นสุด โดยโครงสร้างของข้อกำหนด จะถูกแบ่งตาม PDCA ดังนี้

Plan - การจัดทำระบบ ISMS

Establish ISMS

a) กำหนด scope และ ขอบเขตการจัดทำระบบ ISMS

b) กำหนด ISMS Policy

c) กำหนด รูปแบบการประเมินความเสี่ยง

d) กำหนดความเสี่ยง

e) วิเคราะห์ และ ประเมินความเสี่ยง

f) กำหนดและประเมิน วิธีการเพื่อลดความเสี่ยง

g) เลือกการควบคุม เพื่อลดความเสี่ยง

h) เห็นชอบความเสี่ยงที่เหลืออยู่โดย management

I) เห็นชอบและประยุกต์ใช้ ระบบ โดย management

J) จัดทำ Statement of Applicable(SOA)

Do - ประยุกต์ใช้และดำเนินการ ระบบ ISMS

Implement and Operate the ISMS

a) กำหนดแผนการลดความเสี่ยง

b) ดำเนินการตามแผนลดความเสี่ยง

c) ดำเนินการ ตามการควบคุมที่เลือกตาม 4.2.1g

d) กำหนดการวัดประสิทธิภาพของระบบการควบคุม

e) จัดทำรายการฝึกอบรม

f) จัดการการประยุกต์ใช้ระบบ

g) ประยุกต์ใช้ ระเบียบปฎิบัติงาน

Check - เฝ้าระวังและตรวจสอบระบบ ISMS

Monitor and review ISMS

a) จัดทำ ระเบียบปฏิบัติการ เฝ้าระวังและตรวจสอบระบบ ISMS

b) ทบทวนประสิทธิภาพของ ระบบอย่างสม่ำเสมอ

c) วัดประสิทธิภาพการควบคุมในการปฏิบัติตามข้อกำหนด

d) ทบทวน การประเมินความเสี่ยงตามแผน ความเสี่ยงที่เหลือ ระบบการประเมินความเสี่ยง และการเปลี่ยนแปลงต่างๆ ตามรอบเวลาที่กำหนด

e) ดำเนินการ ตรวจติดตามภายในระบบISMS

f) ดำเนินการ จัดทำ management review

g) ปรับปรุง security plan ให้ทันสมัย

h) บนทึกการการทำงานและหลักฐานที่มีผลต่อประสิทธิภาพและประสิทธิผลของระบบ

Action - รักษาและปรับปรุง ระบบ ISMS

Maintain and improve the ISMS

a) ดำเนินการ corrective action และ preventive action

b) สื่อสาร วิธีการและการปรับปรุงต่างๆ ให้กับผู้ที่เกี่ยข้องต่างๆ

c) แน่ใจว่า วิธีการที่ปรับปรุงขึ้น บรรลุจุดประสงค์ที่วางไว้

นอกจากนี้ บางข้อกำหนดในระบบ ISMS ถูกแยกมากล่าวเพื่อชี้แจงรายละเอียดดังนี้

4.3 Document control

4.3.1 General

4.3.2 Control of Document

4.3.3 Control of Record

5. Management Responsibility

5.1 Management Commitment

5.2 Resource management

6 Internal Audit

7 Management Review

7.1 General

7.2 Review Input

7.3 Review Out put

8 ISMS Improvement

8.1 Continual Improvement

8.2 Corrective action

8.3 Preventive action

..... อ่านต่อได้ที่: https://www.gotoknow.org/posts/334135