สำนักงานราชบัณฑิตยสภา
แนวทางการจั ดท� ำนโยบายความมั่ นคงปลอดภั ยด้านไอซี ที 88 The Journal of the Royal Institute of Thailand Vol. 38 No. 4 Oct-Dec 2013 เพื่อพิจารณาให้ความเห็นชอบ ถ้าหากนโยบายนี้ได้รับความเห็นชอบแล้ว ก็เสนอให้ผู้บริหารระดับสูง ลงนามเพื่อประกาศใช้ต่อไป ๕. แจกจ่ายนโยบาย ขั้นตอนนี้เป็นการน� ำประกาศนโยบายที่ผู้บริหารระดับสูงลงนามแล้ว ส่งไปให้แก่หน่วยงานย่อยต่าง ๆ ที่เกี่ยวข้องเพื่อปฏิบัติตามนโยบาย การส่งเอกสารนโยบายไปให้หน่วย งานใดรับไปปฏิบัติบ้างนั้นจะต้องจัดท� ำรายชื่อก� ำกับไว้ในเอกสารนโยบายด้วย ๖. สื่อสาร/ให้ความรู้ เกี่ยวกับนโยบาย นโยบายด้านความมั่นคงปลอดภัยสารสนเทศ หลายเรื่องเป็นเรื่องที่เข้าใจยาก ดังนั้น ผู้รับผิดชอบนโยบาย เช่น ศูนย์คอมพิวเตอร์ จะต้องจัดฝึกอบรม วิธีการปฏิบัติตามนโยบายให้ผู้เกี่ยวข้องในหน่วยงานสามารถปฏิบัติตามนโยบายได้อย่างถูกต้อง นอกจาก การฝึกอบรมแล้ว ศูนย์คอมพิวเตอร์ก็ควรปรับปรุงกระบวนงานที่เกี่ยวข้องกับการควบคุมความมั่นคง ปลอดภัยโดยสอดแทรกวิธีการปฏิบัติตามนโยบายลงในกระบวนงานนั้น ๆ จัดท� ำค� ำแนะน� ำส� ำหรับการ ปฏิบัติตามนโยบายออกเผยแพร่ในระบบอินทราเน็ต จัดให้มีพนักงานส� ำหรับตอบค� ำถามแก่ผู้สงสัย ในการด� ำเนินงานตามนโยบาย ฯลฯ ๗. บังคับใช้นโยบาย การน� ำนโยบายที่จัดท� ำขึ้นไปใช้งานนั้นไม่ใช่เรื่องยาก เรื่องส� ำคัญก็ คือการที่จะบังคับให้พนักงานและผู้เกี่ยวข้องปฏิบัติตามนโยบายอย่างถูกต้องทุกครั้ง ยกตัวอย่างเช่น การก� ำหนดนโยบายว่า อาคารส� ำนักทะเบียนนั้นห้ามมิให้ผู้หนึ่งผู้ใดน� ำอุปกรณ์โน้ตบุ๊กหรืออุปกรณ์พกพา เข้าไปในอาคารโดยไม่ได้รับอนุญาต นโยบายเช่นนี้บังคับได้ง่ายแก่บุคลากรที่ปฏิบัติงาน แต่อาจจะมีปัญหา กับพนักงานของบริษัทคอมพิวเตอร์ซึ่งจะต้องน� ำอุปกรณ์คอมพิวเตอร์เข้ามาใช้ในบริเวณอาคาร ดังนั้น มหาวิทยาลัยก็จ� ำเป็นจะต้องก� ำหนดวิธีการตรวจสอบหมายเลขล� ำดับประจ� ำเครื่อง (serial number) และ ชื่อเครื่องก่อนน� ำเข้าไปภายใน เนื่องจากพนักงานบริษัทอาจจะคุ้นเคยกับเจ้าหน้าที่ผู้ดูแลการเข้าอาคาร ดังนั้น เมื่อนานไปเจ้าหน้าที่ก็อาจจะละเลยหรือหย่อนยาน ไม่ปฏิบัติตามนโยบายนั่นเอง ด้วยเหตุนี้ หน่วย งานที่ก� ำหนดนโยบายขึ้นจึงจ� ำเป็นต้องพิจารณาให้รอบคอบว่า จะก� ำหนดนโยบายขึ้นมาบังคับมากเพียงใด การมีนโยบายแต่บังคับใช้ไม่ได้ ก็ไม่มีประโยชน์ และจะท� ำให้เกิดการเพิกเฉยไม่ปฏิบัติตามนโยบายอื่น ๆ ด้วย ๘. ทบทวนและปรับปรุงนโยบายตามรอบระยะเวลาที่เหมาะสม เมื่อจัดท� ำและประกาศ ใช้นโยบายแล้ว หน่วยงานที่รับผิดชอบดูแลการปฏิบัติตามนโยบาย ก็จะต้องคอยตรวจสอบว่านโยบาย นั้น ๆ ได้รับการปฏิบัติตามอย่างถูกต้องจริงหรือไม่ ที่ส� ำคัญก็คือ การควบคุมด้วยนโยบายนั้นยังกระท� ำได้ หรือไม่ เพราะอาจเกิดการเปลี่ยนแปลงทางด้านเทคโนโลยี อุปกรณ์ที่ใช้งาน ระบบสารสนเทศ ระเบียบ หรือกฎหมายที่เกี่ยวข้อง ดังนั้น หน่วยงานจะต้องทบทวนนโยบายที่จัดท� ำขึ้นเป็นระยะ ๆ หากเห็นว่า นโยบายนั้นล้าสมัยหรือไม่เหมาะสมแล้ว ก็อาจจะต้องพิจารณายกเลิกหรือปรับปรุงให้เหมาะสมมาก ขึ้นต่อไป
Made with FlippingBook
RkJQdWJsaXNoZXIy NTk0NjM=