บทความนี้ มีเป้าประสงค์ให้ผู้อ่านได้ทำความเข้าใจถึง 9 ปัจจัยสำคัญ ในการนำระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ หรือ ISMS มาประยุกต์ใช้ในการรักษาความมั่นคงปลอดภัยสารสนเทศภายในองค์กรให้ประสบผลสำเร็จ ซึ่งจำเป็นต้องอาศัยความเข้าใจในปัจจัยทั้ง 9 ปัจจัย ดังต่อไปนี้

รูปที่ 1

1. Internal Approach
การที่จะทำให้โครงการด้านการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศเกิดความสำเร็จได้นั้น ต้องมาจากความร่วมมือของบุคลากรภายในบริษัทตั้งแต่ ผู้บริหารระดับสูงถึงพนักงานทุกคนที่เกี่ยวข้อง ซึ่งจำเป็นต้องได้รับความร่วมมือจากทุกฝ่ายในการ Implement ISMS ไม่เฉพาะฝ่ายความมั่นคงปลอดภัยและฝ่ายที่ปรึกษาเท่านั้น ผู้ปฏิบัติมีความจำเป็นต้องมีความเชื่อ (Belief) เสียก่อนจึงจะสามารถนำไปสู่ทัศนคติ (Attitudes) ในเชิงบวก และจะส่งผลให้พฤติกรรม (Behavior) ออกมาในที่สุด (ดูรูปที่ 2) ดังนั้น จึงมีความจำเป็นอย่างยิ่งยวดในการให้ความเข้าใจและเพื่อให้เกิดความตระหนักในประโยชน์ของ ISMS จึงควรฝึกอบรมผู้ที่เกี่ยวข้องในแนวทาง “AT&E” ได้แก่ “Awareness Training & Education” (ดูรูปที่ 3) ซึ่งเป็นแนวทางฝึกอบรมตามมาตรฐานของ NIST SP800-50  “Building an Information Technology Security Awareness and Training Program” จะช่วยทำให้การ Implement ISMS เป็นไปอย่างราบรื่นมากขึ้น เพราะได้รับความร่วมมือจากผู้เกี่ยวข้อง เนื่องจากผู้เกี่ยวข้องทำจากความเข้าใจของตนเอง ไม่ได้เกิดจากการบังคับให้ทำโดยไม่มีความเข้าใจ

รูปที่ 2

รูปที่ 3

 2. Management Support
ผู้บริหารระดับสูงมีส่วนสำคัญอย่างยิ่งยวดในความสำเร็จของโครงการ Implement ISMS ในองค์กร เพราะตามหลักการบริหารตามแนว “Governance, Risk Management and Compliance” (GRC) แล้ว ผู้บริหารระดับสูงควรต้อง “สนับสนุน” และ “ใส่ใจ” กับโครงการดังกล่าวอย่างชัดเจนเพื่อกระตุ้นให้ผู้เกี่ยวข้องในองค์กรเกิดความตื่นตัวและตระหนักว่าการ Implement ISMS นั้น ถือเป็นเรื่องสำคัญที่ทุกคนต้องช่วยกันทำ เพื่อให้เกิดระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศที่ดีขึ้นในองค์กร เพราะ หากปราศจากการสนับสนุนของผู้บริหารระดับสูงแล้วโครงการคงไม่สามารถประสบความสำเร็จได้ทันเวลาที่กำหนดไว้ และส่งผลด้านลบแก่ผู้บริหารระดับสูงและองค์กรในที่สุด
3. Scoping
การกำหนดขอบเขตในการ Implement ISMS ถือเป็นหัวใจในการทำ ISMS มาใช้ในองค์กร เนื่องจากการกำหนด Scope ที่ใหญ่เกินไปจะทำให้โครงการมีความเสี่ยงที่อาจไม่เป็นไปตามระยะเวลาที่กำหนดไว้ แนะนำว่าควรจะเริ่มจาก Scope เล็ก ๆ ก่อน แล้วค่อยขยาย Scope เพิ่มเติมในภายหลัง (ดูรูปที่ 4)

รูปที่ 4

4. Planning
ผู้จัดการโครงการ หรือ “Project Manager” ก็มีส่วนสำคัญในการช่วยวางแผน และควบคุมโครงการให้เป็นไปตามที่ได้วางแผนไว้ล่วงหน้า โดยการวางแผนควรสอดคล้องกับความเป็นจริงในองค์กร รวมทั้งทรัพยากรที่พึงมีในโครงการ ตลอดจนระยะเวลาที่เหมาะสมในการ Implement ISMS กับระบบที่ไม่ใหญ่จนเกินไป แนะนำว่าระยะเวลาที่เหมาะสมประมาณ 9-12 เดือน
5. Communication
การติดต่อสื่อสารซึ่งกันและกันระหว่างผู้ที่เกี่ยวข้องในการ Implement ISMS นั้น เป็นเรื่องสำคัญที่มองข้ามไม่ได้ ผู้ที่เกี่ยวข้อง (Stakeholder) ควรได้รับการฝึกอบรมให้เกิดความเข้าใจใน เรื่อง “ISMS” ก่อนเริ่มโครงการ Implement ISMS และ ควรมีการติดต่อ Update กันอย่างสม่ำเสมอ เพื่อให้เกิดความเข้าใจร่วมกันในกระบวนการภายในโครงการที่กำลังดำเนินการอยู่ หากการติดต่อสื่อสารไม่ดีจะทำให้เกิดความไม่เข้าใจซึ่งกันและกันระหว่างผู้ที่เกี่ยวข้องส่งผลให้เกิดปัญหาในโครงการได้ในที่สุด
6. Risk Assessment
กระบวนการประเมินความเสี่ยงทรัพย์สิน (Asset) ที่อยู่ภายใต้ขอบเขต (Scope) ของโครงการนั้น เป็นเรื่องสำคัญที่ใช้เวลาพอสมควรในการประเมินความเสี่ยง (Risk Assessment) องค์กรมีความจำเป็นที่จะต้องมี “Risk Assessment Methodology” เสียก่อนที่จะทำการประเมินความเสี่ยงเพื่อให้เกิดความชัดเจนในการประเมิน ตลอดจนต้องมีการนำเสนอ “Risk Treatment Plan” (RTP) เพื่อแสดงให้ผู้ตรวจประเมินเข้าใจได้ว่าผู้บริหารองค์กรได้รับรู้ถึงความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ และ มีแผนปฏิบัติในการลดความเสี่ยงดังกล่าวให้อยู่ในระดับที่ยอมรับได้ (Risk Acceptance Level หรือ Risk Appetite ที่ผู้บริหารกำหนด)
7. Documentation
เป็นที่ทราบกันดีว่า เรื่องการบริหารจัดการเอกสารต่าง ๆ ที่เกิดขึ้นเป็นเรื่องที่สำคัญในการ Implement ISMS ดังนั้นองค์กรจึงจำเป็นต้องมีระบบริหารจัดการเอกสาร หรือ “Document Management System” ที่ดีเพื่อใช้ในจัดการกับเอกสารต่าง ๆ ให้อยู่ในรูปแบบที่เป็นระเบียบและสืบค้นเข้าถึงได้ง่าย ตลอดจนเป็นไปตาม “ข้อกำหนด” ในมาตรฐาน ISO/IEC 27001:2005
8. Consultant
ที่ปรึกษามีส่วนสำคัญในความสำเร็จของโครงการเช่นกันกับปัจจัยอื่นๆ เนื่องจากที่ปรึกษาที่มีความรู้และมีประสบการณ์ในการ Implement ISMS มีส่วนช่วยองค์กร ในการลดเวลาในการปฏิบัติโดยไม่ต้องลองผิดลองถูก รวมทั้งลดเวลาในการตระเตรียมเอกสาร “Document Templates” ที่เกี่ยวกับ Policy, Standard, Guideline และ Procedure ต่าง ๆ ที่จำเป็นในการ Implement ISMS ภายใน ดังนั้น การเลือกที่ปรึกษาจึงเป็นส่วนสำคัญที่ต้องพิจารณาให้ดีสำหรัลองค์กรที่ต้องการได้รับการรับรองมาตรฐาน ISO/IEC 27001:2005 ได้ตามเป้าหมายและกำหนดเวลาที่ได้วางไว้
9. Business Owner , Custodian and End User Involvement
เจ้าของระบบและผู้ดูแลระบบ ตลอดจนผู้ใช้งานระบบก็มีส่วนประกอบในความสำเร็จเช่นกัน ถ้าทุกคนมีความตระหนักและความเข้าใจในเรื่องภัยต่าง ๆ เกี่ยวกับเรื่องความมั่นคงปลอดภัยสารสนเทศ (Cyber Security Threats) ก็จะทำให้ทุกคนให้ความร่วมมือโดยไม่ต้องร้องขอ การที่จะทำให้ทุกคนเกิดความรู้ ความเข้าใจได้นั้น จำเป็นต้องมีการจัดฝึกอบรมที่เรียกว่า “Information Security Awareness Training (iSAT)” เพื่อให้เกิดความตื่นตัวและเข้าใจภัยในรูปแบบต่าง ๆ ในการใช้งานระบบสารสนเทศ (ดูรูปที่ 5)
ตามหลักวิชาการเกี่ยวกับการจัดฝึกอบรม “Information Security Awareness Training (iSAT)” ได้กำหนดไว้ว่า ผู้เกี่ยวข้อง หรือ Stakeholder ที่ควรได้รับการอบรมมีทั้งหมด 5 กลุ่ม ได้แก่

• กลุ่มผู้บริหารระดับสูง (iSAT for Top Management/Executives) ควรอบรมอย่างน้อยปีละ 1-2 ครั้ง ครั้งละประมาณ 2-3 ชั่วโมง
• กลุ่มผู้บริหารระดับกลาง (iSAT for Middle Management) ควรอบรมอย่างน้อยปีละ 1-2 ครั้ง ครั้งละประมาณ 3-6 ชั่วโมง
• กลุ่มผู้บริหารระบบ (iSAT for Network/System Administrators) ควรอบรมอย่างน้อยปีละ 2 ครั้ง ครั้งละประมาณ 3-6 ชั่วโมง
• กลุ่มผู้ตรวจสอบ (iSAT for Auditors/IT Auditors) ควรอบรมอย่างน้อยปีละ 1-2 ครั้ง ครั้งละประมาณ 3-6 ชั่วโมง
• กลุ่มผู้ใช้งานคอมพิวเตอร์ทั่วไป (iSAT for Users) ควรอบรมอย่างน้อยปีละ 2 ครั้ง ครั้งละประมาณ 3-6 ชั่วโมง

เมื่อผู้เกี่ยวข้องทุกฝ่ายเกิดความเข้าใจในภัยเกี่ยวกับเรื่องความมั่นคงปลอดภัยสารสนเทศและผลกระทบต่างๆอาจเกิดขึ้นต่อตนเองและองค์กรแล้ว ก็จะช่วยให้ผู้เกี่ยวข้องปฏิบัติตามข้อกำหนดในมาตรฐาน ISO/IEC 27001:2005 ด้วยความเข้าใจมากขึ้น ดังนั้นการปฏิบัติตามข้อกำหนดในมาตรฐานจึงไม่ใช่เรื่องยากที่จะปฏิบัติอีกต่อไป

รูปที่ 5

สรุปได้ว่าปัจจัยสำคัญในการจัดทำระบบบริหารความมั่นคงปลอดภัยของสารสนเทศให้ประสบผลสำเร็จจำเป็นต้องอาศัยความเข้าใจใน 9 ปัจจัยดังที่กล่าวมาแล้ว ตลอดจน ความร่วมมือร่วมใจของทีมงานผู้เกี่ยวข้อง การสนับสนุนจากผู้บริหารระดับสูงทั้งด้านทรัพยากร งบประมาณ และ เวลา รวมทั้งระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ หรือ ISMS ที่จัดทำขึ้นควรจะต้องตอบโจทย์วัตถุประสงค์ขององค์กร (Align with business objectives) ตามหลัก Information Security Governance (ISG) เพื่อนำทางสู่ IT governance และ Corporate Governance ต่อไปในที่สุด