สำนักงานราชบัณฑิตยสภา
แนวทางการจั ดท� ำนโยบายความมั่ นคงปลอดภั ยด้านไอซี ที 86 The Journal of the Royal Institute of Thailand Vol. 38 No. 4 Oct-Dec 2013 ในการใช้งานที่ก� ำหนด เอกสารนี้อาจจะเป็นกระดาษหรืออยู่ในรูปแบบอิเล็กทรอนิกส์ที่ผู้เกี่ยวข้องจะต้อง สามารถเข้าถึงและน� ำไปใช้งานได้จริง ขั้นตอนในการท� ำนโยบายมีดังต่อไปนี้ ๑. เตรียมความพร้อมและบริหารจัดการ โดยทั่วไปแล้ว การจัดท� ำนโยบายด้านความมั่นคง ปลอดภัยของไอซีทีมักจะเริ่มเมื่อมีผู้สนใจด้านความมั่นคงปลอดภัย และริเริ่มผลักดันเรื่องนี้ขึ้นสู่ความ สนใจของผู้บริหารระดับสูง หรือหน่วยงานภาครัฐที่ก� ำกับดูแลหน่วยงานนั้นได้ออกประกาศให้หน่วยงาน ในก� ำกับจัดท� ำนโยบายขึ้น ต่อมาผู้บริหารระดับสูงก็พิจารณาสั่งการให้ผู้บริหารสารสนเทศระดับสูง (CIO) รับไปด� ำเนินการ หน่วยงานภาครัฐซึ่งไม่มีความช� ำนาญด้านความมั่นคงปลอดภัยของไอซีทีก็มักจะจ้าง บริษัทที่ปรึกษาให้ด� ำเนินการให้ ส่วนหน่วยงานเช่นมหาวิทยาลัย ก็อาจจะด� ำเนินการเอง อย่างไรก็ตาม งานอันดับแรกก็คือการเลือกทีมงานที่จะรับผิดชอบในการก� ำหนดนโยบายขึ้น และในกรณีที่ทีมงานอาจ จะมีประสบการณ์ด้านนี้น้อย ก็จะต้องส่งทีมงานเข้ารับการฝึกอบรมก่อน ต่อจากนั้น หัวหน้าทีมงานก็จะ ต้องวางแผนและก� ำกับดูแลงานจัดท� ำนโยบายให้เป็นไปตามแผนนั้น ๒. ประเมินความเสี่ยงด้านไอซีที งานขั้นที่ ๒ คือการประเมินความเสี่ยงด้านไอซีทีของ หน่วยงาน วิธีการคือรวบรวมเหตุการณ์ต่าง ๆ ที่เกี่ยวข้องกับปัญหาและเหตุการณ์ละเมิดความมั่นคง ปลอดภัยด้านไอซีทีที่เคยเกิดกับหน่วยงาน ในหน่วยงานหลายแห่งที่ไม่เคยสนใจปัญหานี้มาก่อน และ ไม่เคยจดบันทึกประเด็นปัญหาเหล่านี้เอาไว้ การประเมินอาจจะท� ำได้ยาก เพราะต้องอาศัยความจ� ำของ ผู้ปฏิบัติงานว่าเคยมีประสบการณ์กับปัญหาและเหตุการณ์เหล่านั้นหรือไม่ อย่างไรก็ตาม ในกรณีของการ ว่าจ้างบริษัทที่ปรึกษา บุคลากรของบริษัทที่ปรึกษาย่อมจะมีประสบการณ์ที่เคยพบมาแล้ว และช่วยน� ำ การประเมินความเสี่ยงได้รวดเร็วขึ้น การประเมินความเสี่ยงจะท� ำให้เห็นสภาพของปัญหาที่มีต่อความ มั่นคงปลอดภัยของไอซีทีของหน่วยงาน และสามารถบอกได้ว่า ปัญหาใดเป็นปัญหาส� ำคัญที่จะต้องด� ำเนิน การป้องกันโดยเร็ว งานต่อมาก็คือการท� ำความเข้าใจขอบเขตของการให้บริการและการใช้งานอุปกรณ์ ไอซีที ระบบเครือข่าย และระบบสารสนเทศต่าง ๆ ภายในหน่วยงาน ปัญหาส� ำคัญของการพัฒนา นโยบายในมหาวิทยาลัยก็คือ ปัจจุบันนี้การใช้ไอซีทีของคณะและส� ำนักต่าง ๆ มีลักษณะเป็นแบบกระจาย จากศูนย์กลาง (decentralization) บ้าง เป็นแบบแจกกระจาย (distribution) บ้าง ท� ำให้รูปแบบการใช้ งานไอซีทีในคณะและส� ำนักเหล่านั้นแตกต่างกันมาก ดังนั้น หัวหน้าทีมงานจัดท� ำนโยบายจึงต้องใช้ความ อดทนและพยายามผลักดันให้เกิดความร่วมมือระดับมหาวิทยาลัยให้ได้ ๓. เขียนนโยบาย เมื่อทราบลักษณะของงานบริการและการใช้ไอซีที ระบบเครือข่าย ระบบ ข้อมูลและสารสนเทศ ตลอดจนการกระจายของอุปกรณ์ไอซีทีในหน่วยงาน รวมทั้งประเด็นปัญหาต่าง ๆ
Made with FlippingBook
RkJQdWJsaXNoZXIy NTk0NjM=