1 92 Table of Contents 94 249

สำนักงานราชบัณฑิตยสภา

แนวทางการจั ดท� ำนโยบายความมั่ นคงปลอดภั ยด้านไอซี ที 84 The Journal of the Royal Institute of Thailand Vol. 38 No. 4 Oct-Dec 2013 ค� ำถามข้อหนึ่งที่เกี่ยวกับประโยชน์ข้างต้นก็คือ มาตรฐานไอเอสโอ ๒๗๐๐๑ คืออะไร และ ท� ำไมมหาวิทยาลัยต้องพยายามก� ำหนดนโยบายให้บรรลุมาตรฐานไอเอสโอ ๒๗๐๐๑ ด้วย มาตรฐานนี้ เกี่ยวข้องกับการจัดท� ำข้อก� ำหนดเพื่อให้หน่วยงานพัฒนา อนุวัติ บ� ำรุงรักษา และปรับปรุงระบบจัดการ ความมั่นคงสารสนเทศ (Information Security Management System หรือ ISMS) ซึ่งเป็นระบบส� ำคัญ อย่างยิ่งของหน่วยงาน ระบบนี้จะช่วยปกป้องรักษาข้อมูลและสารสนเทศของหน่วยงานให้มีความถูกต้อง พร้อมใช้ และมีความมั่นคง ซึ่งจะช่วยให้ผู้เกี่ยวข้องกับหน่วยงานทั้งบุคลากรภายใน พันธมิตร คู่ค้า ผู้ถือ หุ้นและลูกค้า มั่นใจที่จะด� ำเนินธุรกิจกับหน่วยงาน การที่หน่วยงานได้จัดท� ำระบบ ISMS จนสามารถผ่าน การรับรองจากหน่วยงานรับรองได้ว่า ระบบ ISMS ที่จัดท� ำขึ้นนั้นสอดคล้องกับมาตรฐานไอเอสโอ ๒๗๐๐๑ เท่ากับเป็นการยืนยันให้ทุกคนมั่นใจและเชื่อถือในการด� ำเนินงานของหน่วยงานมากยิ่งขึ้น ระบบ ISMS ที่กล่าวถึงข้างต้นนี้ มีความหมายถึงระบบที่สร้างขึ้นเพื่อจัดการกับข้อมูล และสารสนเทศที่มีความส� ำคัญของหน่วยงานเพื่อให้มีความมั่นคงตลอดเวลา ระบบนี้เกิดจากการ ประเมินความเสี่ยงด้านสารสนเทศของหน่วยงาน และจัดท� ำกระบวนการตลอดจนวิธีปฏิบัติด้านไอซีที และสารสนเทศขึ้นเพื่อให้แน่ใจว่าจะสามารถปกป้องและรักษาความมั่นคงปลอดภัยด้านสารสนเทศ ได้จริง แนวคิดในการพัฒนาระบบ ISMS ตามที่ก� ำหนดไว้ในมาตรฐานไอเอสโอ ๒๗๐๐๑ นั้น สามารถ น� ำไปประยุกต์ได้กับหน่วยงานทุกประเภท ไม่ว่าจะมีขนาดเล็ก หรือใหญ่ (http://www.27000.org/iso- 27001.htm) โครงสร้างของเอกสารนโยบาย นโยบายความมั่นคงปลอดภัยตามมาตรฐานไอเอสโอ ๒๗๐๐๑ นั้นมีอยู่ด้วยกัน ๔ ระดับดังนี้ ๑. นโยบายหลัก คือนโยบายที่ก� ำหนดวัตถุประสงค์และความต้องการด้านความมั่นคงปลอดภัย ของหน่วยงานในระดับสูง และครอบคลุมหน่วยงานย่อยทุกระดับ นโยบายนี้เมื่อจัดท� ำขึ้นแล้วก็ไม่จ� ำเป็น ต้องปรับปรุงแก้ไขบ่อยครั้ง เนื้อหาของนโยบายเป็นภาพกว้างเพื่อให้เกิดความยืดหยุ่นที่หน่วยงานย่อย จะน� ำไปใช้ได้ ผู้ลงนาม และประกาศนโยบายระดับนี้คือผู้บริหารระดับสูง นโยบายที่ก� ำหนดขึ้นนั้นต้องการ เอกสารสนับสนุนในระดับล่าง (ระดับที่ ๒, ๓ และ ๔) เพื่อใช้เป็นแนวทางปฏิบัติให้บรรลุวัตถุประสงค์ ที่ก� ำหนดในนโยบาย ๒. เอกสารขั้นตอนการปฏิบัติ (procedure) เป็นเอกสารที่ระบุว่า “ใคร” เป็นผู้ปฏิบัติตาม ข้อก� ำหนดของนโยบาย และผู้นั้นต้องปฏิบัติ “อะไร”, “ที่ใด” และ “เมื่อใด” เอกสารนี้จะต้อง ระบุขั้นตอนการปฏิบัติงานส� ำหรับงานแต่ละประเภทอย่างชัดเจน เพื่อช่วยให้นโยบายสามารถบังคับใช้ได้ จริง เอกสารนี้เมื่อจัดท� ำขึ้นแล้วก็สามารถใช้ทั้งเป็นเอกสารอ้างอิงในการปฏิบัติงานจริงและใช้ในการ

RkJQdWJsaXNoZXIy NTk0NjM=