BS25999: Business Continuity Management (BCM) Standard จับกระแสมาตรฐานการบริหารจัดการดำเนินธุรกิจอย่างต่อเนื่องภายใต้ภาวะวิกฤติ
by A.Prinya Hom-anek
CISSP, SSCP, CISA, CISM, SANS GIAC GCFW, CompTIA Security+, CCSA 2000,
CCNA, MCSE, MCDBA, MCP+Internet, Master CNE, CNI, CNA, ITIL,
(ISC)2 Asian Advisory Board Member, ISACA Bangkok Chapter Board Member
President & Founder, ACIS Professional Center
ACIS
ในปัจจุบันระบบสารสนเทศกลายเป็นหัวใจหลักของระบบธุรกิจส่วนใหญ่ทั้งภาครัฐและเอกชนล้วนนำระบบสารสนเทศมาใช้ในองค์กรอย่างกว้างขวาง ไม่ว่าจะเป็นระบบ Web Site ขององค์กร, ระบบ Electronic Mail หรือ ระบบเฉพาะทางต่างๆ เช่น ระบบ Intranet, ระบบ Portal, ระบบ ERP, CRM และ SCM เป็นต้น ทำให้การใช้งานคอมพิวเตอร์ในการเข้าถึงข้อมูลองค์กรจึงกลายเป็นเรื่องที่พนักงานในองค์กรทุกคนคุ้นเคยและใช้ปฏิบัติงานอยู่ในชีวิตประจำวัน โดยอาศัยระบบสารสนเทศและระบบเครือข่ายเป็นโครงสร้างพื้นฐานในการทำงานของระบบต่างๆ ดังกล่าว
ปัญหาที่หลายองค์กรกำลังเผชิญอยู่ทั้งในอดีต ปัจจุบัน และอนาคต คือ ปัญหาระบบสารสนเทศไม่สามารถทำงานตามปกติ หรือ ปัญหาระบบสารสนเทศล่ม ยกตัวอย่าง เช่น หากพนักงานเข้าระบบไม่ได้ในช่วงระยะเวลาที่ระบบล่มอยู่ พนักงานก็ไม่สามารถเรียกข้อมูลต่างๆ ที่ถูกเก็บอยู่ในรูปของดิจิตอลฟอร์เมต (Digital format) หรือ e – Document ออกมาได้ อีกทั้งลูกค้าก็ไม่สามารถเข้าถึงข้อมูลขององค์กร เช่น เข้าชม Web Site ขององค์กร หรือ ไม่สามารถส่งอิเล็กโทรนิคส์เมล์ได้ ยิ่งถ้าเป็นระบบของโรงพยาบาล, ระบบฝากถอนเงินของธนาคาร หรือ ระบบที่ใช้ในการควบคุมขนส่งมวลชน ตลอดจนระบบที่ใช้ในการควบคุมสาธารณูปโภค เช่น ไฟฟ้า, น้ำประปา เป็นต้น ล้วนเป็นระบบที่มีความสำคัญอย่างยิ่งยวด เป็นโครงสร้างพื้นฐานของประเทศ (Critical Infrastructure) ดังนั้น หากระบบดังกล่าวไม่สามารถใช้งานได้ การเข้าถึงข้อมูลที่อยู่ในระบบก็ไม่สามารถเข้าถึงได้ทันท่วงที ทำให้องค์กรไม่สามารถดำเนินธุรกิจธุรกรรมต่างๆได้ตามปกติ ส่งผลให้องค์กรเกิดความเสียหายได้
ตัวอย่างภัยคุกคามที่ทำให้ระบบล่ม ได้แก่ ภัยธรรมชาติ เช่น สึนามิ, พายุเฮอริเคน, น้ำท่วม หรือ ภัยจากมนุษย์ เช่น การก่อวินาศกรรม เช่น กรณี 911, การจราจล, การลอบวางเพลิง ก็ล้วนเป็นปัจจัยกระตุ้นให้ผู้บริหารองค์กรจำเป็นต้องให้ความสำคัญอย่างยิ่งยวดต่อระบบสารสนเทศที่เป็นกระดูกสันหลังในการดำเนินธุรกิจขององค์กร เพราะหากระบบเกิดปัญหา องค์กรก็ควรที่จะมีแผนฉุกเฉินในการทำให้ระบบสารสนเทศขององค์กรสามารถให้บริการได้อย่างไม่ติดขัดจนก่อให้เกิดความเสียหายแก่องค์กรทั้งทางตรงและทางอ้อม
ดังนั้นศาสตร์และองค์ความรู้ทางด้านการบริหารจัดการให้องค์กรสามารถดำเนินธุรกิจได้อย่างต่อเนื่องภายใต้ภาวะวิกฤติ หรือ “Business Continuity Management (BCM)” ดูรูปที่ 1 จึงกลายเป็นประเด็นร้อนที่ผู้บริหารองค์กรต้องศึกษาและทำความเข้าใจเพื่อนำมาประยุกต์ใช้ในทางปฏิบัติอย่างเป็นรูปธรรม
Business Continuity Management (BCM) เป็นกระบวนการบริหารจัดการแบบองค์รวม (Holistic Management Process) ที่เป็นระบบทำให้องค์กรสามารถกำหนดปัจจัยเสี่ยง และ ผลกระทบที่อาจเกิดขึ้นได้จากปัจจัยเสี่ยงดังกล่าวว่ามีผลเสียหายต่อองค์กรมากน้อยเพียงใด ในทางทฤษฏีเราเรียกว่า “การวิเคราะห์ผลกระทบของปัจจัยเสี่ยงและเหตุการณ์ไม่พึงประสงค์ต่อธุรกิจ หรือ Business Impact Analysis (BIA) และ ดำเนินการกำหนดยุทธศาสตร์ในการทำให้องค์กรสามารถดำเนินธุรกิจต่อไปได้ในภาวะฉุกเฉินตลอดจนลดผลกระทบจากการที่ระบบไม่สามารถให้บริการได้อย่างมีประสิทธิภาพถูกต้องตามหลักวิชาการ การทำ BIAเป็นส่วนหนึ่งของแผนการดำเนินธุรกิจอย่างต่อเนื่อง หรือ Business Continuity Planning (BCP) ดูรูปที่ 2
การจัดทำ BCP มีขั้นตอนหลักทั้งหมด 5 ขั้นตอนโดยสังเขป ประกอบด้วย
ขั้นตอนที่ 1 : Analysis Phase เป็นขั้นตอนการวิเคราะห์ปัจจัยเสี่ยงและผลกระทบที่เรียกว่าการทำ “Business Impact Analysis” (BIA) ดังที่กล่าวมาแล้วในตอนต้น โดยมีหลักการในการวิเคราะห์ความแตกต่างของ Critical Function และ Non – Critical Function ขององค์กรเสียก่อน โดยดูจาก ค่า RTO และ RPO เป็นหลักโดยค่า Recovery Time Objective (RTO) หมายถึงระยะเวลาที่องค์กรยอมรับได้ในการกู้คืนระบบในกรณีที่เกิดเหตุฉุกเฉินขึ้น ซึ่งเป็นค่าที่ถูกกำหนดโดยเจ้าของระบบ ต้องให้ผู้บริหารระดับสูงรับรู้ และยอมรับในค่า RTO ที่ถูกกำหนดขึ้น เช่น RTO = 1 ชั่วโมง หมายถึง ต้องกู้ระบบคืนภายในหนึ่งชั่วโมง เป็นต้น สำหรับค่า Recovery Point Objective (RPO) หมายถึง ปริมาณข้อมูลสูญหายที่องค์กรยอมรับได้ในช่วงเวลาหนึ่ง (Acceptable Loss) เช่น ถ้าค่า RPO = 2 ชั่วโมง หากเรา Backup ระบบไว้เวลา 13.00 น. และ ระบบล่มเวลา 14.50 น. เราสามารถกู้คืนข้อมูลได้ถึงเวลา 13.00 น. ก็ยังถือว่าอยู่ในเวลาที่กำหนดไว้ตาม RPO คือ ข้อมูลสูญหายไม่เกิน 2 ชั่วโมง เป็นต้น
ขั้นตอนที่ 2 : Solution Design Phase เป็นขั้นตอนในออกแบบยุทธศาสตร์ในการกู้ข้อมูล (Disaster Recovery) ที่เหมาะสมกับความต้องการขององค์กร
ขั้นตอนที่ 3 : Implementation Phase เป็นขั้นตอนในการนำยุทธศาสตร์ที่ออกแบบไว้ในขั้นตอนที่ 2 มาทำเป็นแผนปฏิบัติการ โดยการเขียนแผน Business Continuity (BC) ที่สามารถนำไปใช้ปฏิบัติจริงได้
ขั้นตอนที่ 4 : Testing and Organization Acceptance Phase เป็นขั้นตอนในการทดสอบแผน Business Continuity ที่ได้เขียนไว้ในขั้นตอนที่ 3 ว่าสามารถนำมาใช้งานได้จริงเมื่อเกิดปัญหาหรือไม่ ส่วนใหญ่นิยมเรียกขั้นตอนนี้ว่า ขั้นตอน “การซ้อมแผน BCP” ซึ่งปกติจะทดสอบปีละหนึ่งครั้งเป็นอย่างน้อย
ขั้นตอนที่ 5 : Maintenance Phase เป็นขั้นตอนในการปรับปรุงแผน BCP ในคู่มือ BCP ให้เป็นปัจจุบัน และรองรับขั้นตอนการกู้คือข้อมูลตามค่า RTO, RPO ที่ได้กำหนดไว้ในการทำ BIA ตลอดจนการฝึกอบรมพนักงาน (staff awareness) ให้มีความรู้ความเข้าใจในการนำแผน Business Continuity (BC) มาใช้ในยามฉุกเฉิน ปกติจะจัดทำและฝึกอบรมอย่างน้อยปีละหนึ่งครั้งเช่นกัน
การจัดทำ BCP นั้นคลอบคลุมทั้งระบบ IT และระบบ Non – IT แต่ถ้ากล่าวถึงการจัดทำ Disaster Recovery Planning หรือ DRP ซึ่งเป็นส่วนหนึ่งของ BCP จะเน้นไปที่การกู้คืนระบบ IT เป็นหลัก
ในปัจจุบันสถาบัน BCI (Business Continuity Institute) www.thebci.org ซึ่งมีสำนักงานใหญ่อยู่ในประเทศอังกฤษ เป็นหน่วยงานที่กำหนดมาตรฐานในการทำ BCM และให้การรับรองผู้เชี่ยวชาญด้าน Business Continuity ทั่วโลกโดยมีสมาชิกกว่าสี่พันคนในกว่า 85 ประเทศ โดยสถาบัน BCI ได้อ้างอิงมาตรฐาน BCM จากสถาบัน BSI คือมาตรฐาน BS25999 ซึ่งเป็นมาตรฐานที่มาแทนที่มาตรฐาน PAS 56
มาตรฐาน BS25999 แบ่งออกได้เป็น 2 ส่วน ส่วนที่หนึ่งเรียกว่า “BS 25999-1:2006 — Business Continuity Management. Code of Practice” เป็นแนวปฏิบัติที่ทาง BSI แนะนำให้ปฏิบัติแต่ไม่บังคับ (โดยจะใช้คำว่า “Should” ในข้อกำหนดมาตรฐาน) สำหรับส่วนที่สองเรียกว่า “BS 25999-2:2007 — Specification for Business Continuity Management” เป็นข้อกำหนดภาคบังคับที่ต้องปฏิบัติ (ใช้คำว่า “Shall” ในมาตรฐาน) เรียกว่า ระบบบริหารจัดการธุรกิจอย่างต่อเนื่อง “Business Continuity Management System หรือ BCMS” ซึ่งสามารถต่อยอดไปยังการรับรองมาตรฐานโดย Certification Body ซึ่งในขณะนี้มาตรฐาน BS 25999 นั้น accredit โดย LRQA และ BSI
ซึ่งในอนาคตอันใกล้คาดว่ามาตรฐาน BS 25999 จะกลายเป็นมาตรฐานนานาชาติ ISO/IEC ดังเช่น มาตรฐาน BS7799 กลายเป็นมาตรฐาน ISO/IEC 17799 และ ISO/IEC 270001 มาแล้ว เป็นต้น
จะเห็นว่าทิศทางของการประยุกต์ใช้มาตรฐาน BS 25999 ในเรื่องการจัดทำ BCM และการรับรองผู้เชี่ยวชาญด้าน BCM ของสถาบัน BCI ตามกระแสความต้องการบุคลากรด้าน BCM นั้นมีแนวโน้มที่จะได้รับความนิยมมากขึ้นในอนาคตอันใกล้นี้ ผู้บริหารองค์กรในปัจจุบันควรให้ความสนใจในการศึกษาศาสตร์และองค์ความรู้ทางด้าน BCM เพื่อเป็นประโยชน์ต่อองค์กรในยามที่องค์กรเผชิญกับภาวะฉุกเฉิน อีกทั้งการจัดทำกระบวนการ BCM ยัง “Comply” กับข้อกำหนดและกฏหมายต่างๆ ที่จะทยอยออกมาบังคับใช้ในอนาคตอีกด้วยเพราะ BCM เป็นหนึ่งในสิบเอ็ดโดเมนของมาตรฐาน ISO/IEC 27001 ซึ่งกำลังจะกลายเป็นกฎหมายลูกในพรบ.ธุรกรรมอิเล็คโทรนิกส์ของประเทศไทยในอนาคต อีกทั้งทาง สำนักงานคณะกรรมการนโยบายรัฐวิสาหกิจ หรือ สคร. ได้นำเรื่องการจัดทำ BCM มาเป็นข้อกำหนดในการประเมินประสิทธิภาพของการบริหารจัดการภายในรัฐวิสาหกิจ ซึ่งรัฐวิสาหกิจ ควรต้องมีแผนงานในการจัดทำ BCM ที่เป็นรูปธรรม สามารถนำแผน BC มาใช้ในการปฏิบัติจริงได้ จึงกล่าวโดยสรุปได้ว่ากระแส BCM และ BCP นั้นเป็น Trend ใหม่ที่กำลังมาแรง และ ต้องจับตามองต่อไปในอนาคต
จาก : หนังสือ eEnterprise Thailand
ประจำเดือน กันยายน 2551
Update Information : 26 กันยายน 2551