ดังที่ทราบโดยทั่วกันว่า “ข้อมูล” (Information) ที่มีความถูกต้อง และสามารถใช้ในการติดต่อสื่อสารได้อย่างรวดเร็วนั้น คือหัวใจสำคัญของการดำเนินธุรกิจในปัจจุบัน องค์กรทั้งขนาดใหญ่ และขนาดย่อมต่างก็มีข้อมูลเป็นทรัพย์สินของตนเอง และถือได้ว่าเป็นทรัพย์สินที่มีค่ามากที่สุดสำหรับองค์กร เนื่องจากทรัพย์สินประเภทอื่น เช่น อาคารสถานที่ อุปกรณ์ บุคลากร โดยทั่วไปสามารถจัดซื้อ จัดหา หรือจัดจ้างใหม่ได้ไม่ยากนัก แต่หากข้อมูลสำคัญ ยกตัวอย่างเช่น สูตรการผลิต รายละเอียดการออกแบบระบบสารสนเทศหลัก ฯลฯ เกิดการสูญหาย หรือถูกล่วงละเมิดความลับ ก็เป็นการยากที่จะกอบกู้ หรือสร้างขึ้นใหม่ในระยะเวลาอันสั้น อย่างไรก็ตาม เป็นที่น่าเสียดายที่องค์กรส่วนใหญ่ในประเทศไทยยังไม่ได้ตระหนักถึงความสำคัญของทรัพย์สินประเภทข้อมูลของตนเองมากนัก ส่งผลให้ขาดการควบคุมความมั่นคงของข้อมูล อันนำไปสู่ความเสี่ยงที่อาจจะทำให้องค์กรไม่สามารถดำเนินธุรกิจได้อีกต่อไป หากเกิดเหตุการณ์ไม่คาดฝันขึ้นกับข้อมูลสำคัญขององค์กร

“ความมั่นคงของข้อมูล” (Information Security) หมายถึง การที่ข้อมูลมีองค์ประกอบครบถ้วนทั้ง 3 ด้านดังต่อไปนี้ ความลับ (Confidentiality) ความถูกต้องและสมบูรณ์ครบถ้วน (Integrity) และ ความพร้อมใช้งาน (Availability)

ทั้งนี้ เพื่อเป็นการรักษาความมั่นคงของข้อมูล องค์กรจำเป็นต้องกำหนด “วิธีการควบคุม” (Control) ที่เหมาะสมขึ้นมา โดยเป็นวิธีการใดๆ ก็ตามที่มีจุดประสงค์เพื่อการรักษาไว้ซึ่งองค์ประกอบอย่างน้อยด้านใดด้านหนึ่งจากที่กล่าวมาแล้ว ดังนั้น วิธีการควบคุมจึงสามารถเป็นได้ตั้งแต่วิธีการง่ายๆ เช่น การจัดเก็บเอกสารสำคัญในตู้ที่ปิดล็อคเพื่อป้องกันการถูกลักลอบทำสำเนาโดยบุคคลที่ไม่ได้รับอนุญาต ไปจนถึงวิธีการที่สลับซับซ้อน เช่น การออกแบบระบบเครือข่ายเพื่อป้องกันการโจมตีจากผู้ไม่ประสงค์ดี

มาตรฐาน ISO/IEC 27002:2005 Code of Practice for Information Security Management ได้นำเสนอแนวทาง และจัดแบ่งการควบคุมความมั่นคงของข้อมูลออกเป็น 11 กลุ่ม (Domain) ดังนี้

1. Security Policy
2. Organization of Information Security
3. Asset Management
4. Human Resources Security
5. Physical and Environmental Security
6. Communications and Operations Management
7. Access Control
8. Information Systems Acquisition, Development and Maintenance
9. Information Security Incident Management
10. Business Continuity Management
11. Compliance
หากสังเกตจากหัวข้อด้านบนจะพบว่า วิธีการควบคุมความมั่นคงของข้อมูลนั้นไม่ได้จำกัดอยู่แค่วิธีการทางเทคนิคเท่านั้น  แต่ยังครอบคลุมไปถึงวิธีการบริหารจัดการด้านอื่นๆ อีกด้วย ยกตัวอย่างเช่น การคัดเลือกบุคลากร (Personnel Security) การควบคุมดูแลความมั่นคงปลอดภัยของอาคารสถานที่ (Physical Security) เป็นต้น

องค์กรแต่ละแห่งต่างก็มีรูปแบบของธุรกิจ วัฒนธรรมองค์กร งบประมาณ รวมถึงปัจจัยสำคัญอื่นๆ ที่แตกต่างกันไป ดังนั้น การกำหนดวิธีการควบคุมความมั่นคงของข้อมูลจึงต้องพิจารณาให้เหมาะสมกับเงื่อนไขขององค์กรนั้นๆ เนื่องจากวิธีการที่ดีสำหรับองค์กรหนึ่งอาจจะไม่เหมาะสมกับองค์กรแห่งอื่นก็เป็นได้ ซึ่งโดยทั่วไปแล้ว องค์กรควรจะคัดเลือกวิธีการควบคุมความมั่นคงของข้อมูลให้สอดคล้องกับผลการประเมินความเสี่ยง (Risk Assessment) และข้อบังคับของกฎหมายที่เกี่ยวข้อง

ารควบคุมความมั่นคงของข้อมูลนั้นจำเป็นต้องใช้ทรัพยากรในการดำเนินการ ผู้บริหารขององค์กรย่อมคาดหวังให้วิธีการควบคุมนั้นได้ผลตามวัตถุประสงค์ และคุ้มค่ากับงบประมาณที่ได้ลงทุนไป ยกตัวอย่างเช่น การติดตั้งโปแกรมป้องกันไวรัสต้องสามารถลดอัตราความเสี่ยงที่ข้อมูลสำคัญในเครื่องคอมพิวเตอร์จะถูกโจมตีจากไวรัสต่างๆ โดยมีค่าบำรุงรักษาและค่าลิขสิทธิ์ของโปรแกรมอยู่ภายในงบประมาณที่ได้กำหนดไว้ ฉะนั้น เพื่อให้ทราบว่าวิธีการควบคุมความมั่นคงของข้อมูลต่างๆ ที่องค์กรนำมาใช้นั้นบรรลุตามวัตถุประสงค์ และความคาดหวังหรือไม่ องค์กรจึงต้องมีการนำเครื่องมืออย่างหนึ่งมาใช้ ซึ่งก็คือ “การวัดประสิทธิผลของการควบคุมความมั่นคงของข้อมูล” (Effectiveness Measurement) นั่นเอง

การวัดมีจุดประสงค์เพื่อให้ได้ผลที่มีความถูกต้องแม่นยำ และสามารถนำมาใช้ในการเปรียบเทียบได้ ดังนั้น การวัดที่ดีจึงต้องมีการอ้างอิงกับมาตรฐานอย่างหนึ่งอย่างใดเสมอ ยกตัวอย่างเช่น การวัดความยาวโดยอ้างอิงมาตรฐานระบบเมตริก นอกจากนี้ ยังต้องนำวิธีการ และเครื่องมือสำหรับการวัดที่เหมาะสมมาใช้งานอีกด้วย เช่น การใช้ไม้บรรทัดวัดความยาวที่ต้องการความแม่นยำในระดับเซนติเมตร  หรือใช้เวอร์เนียวัดความยาวเมื่อต้องการความแม่นยำในระดับมิลลิเมตร เป็นต้น ในทำนองเดียวกัน การวัดประสิทธิผลของวิธีการควบคุมความมั่นคงของข้อมูลก็อาศัยหลักการดังกล่าวข้างต้น และได้รับการบรรจุให้เป็นหนึ่งในข้อกำหนดของมาตรฐาน ISO/IEC 27001:2005 Information technology — Security techniques — Information security management systems – Requirements

องค์กรจำเป็นต้องกำหนดตัววัด (Metric) สำหรับแต่ละวิธีการควบคุมที่ต้องการวัดประสิทธิผล เพื่อให้การวัดประสิทธิผลมีความถูกต้องแม่นยำ และได้ผลลัพธ์ที่ตรงกันไม่ว่าการวัดนั้นได้รับการดำเนินการโดยผู้ใดก็ตาม โดยตัววัดจะต้องประกอบไปด้วย 3 ส่วนหลัก ดังนี้

• รายละเอียดของวิธีการควบคุมความมั่นคงของข้อมูลที่ต้องการวัดประสิทธิผล  เป็นการระบุรายละเอียดที่จำเป็นเกี่ยวกับวิธีการควบคุมที่องค์กรต้องการวัดประสิทธิผล เช่น ชื่อวิธีการควบคุม วัตถุประสงค์ และขอบเขตของการวัดผลประสิทธิผล เป็นต้น
• รายละเอียดของวิธีการที่ใช้ในการวัดประสิทธิผล เป็นการระบุรายรายละเอียดที่จำเป็นเกี่ยวกับวิธีการที่องค์กรนำมาใช้ในการวัดประสิทธิผล เช่น แหล่งข้อมูลที่จะนำมาใช้ วิธีการรวบรวมข้อมูล ตารางเวลาที่จะทำการวัดประสิทธิผล ผู้รับผิดชอบ และวิธีการประมวลผลข้อมูล เป็นต้น
• การตั้งเป้าหมาย เป็นการกำหนดระดับของผลการวัด เพื่อใช้เป็นตัวชี้วัดว่าวิธีการควบคุมความมั่นคงของข้อมูลนั้นบรรลุตามวัตถุประสงค์หรือไม่ เช่น การวัดประสิทธิผลของการฝึกอบรมด้วยการทดสอบความรู้ความเข้าใจของพนักงาน หากได้คะแนนเฉลี่ยมากกว่าเป้าหมายที่ 80% หมายถึง การฝึกอบรมนั้นบรรลุตามวัตถุประสงค์ หรือ การวัดด้วยจำนวนชั่วโมงของการฝึกอบรมด้านความมั่นคงของข้อมูล โดยในปีแรกกำหนดเป้าหมายเป็น 10 ชั่วโมง/คน/ปี และปีที่สองกำหนดเป็น 15 ชั่วโมง/คน/ปี หากผลการวัดเป็นไปตามเป้าหมายนี้ ถือว่าการวางแผนและการจัดฝึกอบรมนั้นบรรลุตามวัตถุประสงค์

การกำหนดตัววัดประสิทธิผลของการควบคุมความมั่นคงของข้อมูลนั้น ต้องได้รับการพิจารณาอย่างรอบคอบโดยผู้เกี่ยวข้องแต่ละฝ่ายภายในองค์กรอย่างเหมาะสม เพื่อให้ตัววัดนั้นสามารถสะท้อนให้เห็นประสิทธิผลของวิธีการควบคุมความมั่นของข้อมูลได้อย่างแท้จริง โดยต้องระมัดระวังไม่ให้วิธีการวัดสลับซับซ้อนจนเกินไป และไม่กำหนดเป้าหมายสูง หรือต่ำจนเกินไป ฯลฯ อันเป็นปัญหาที่พบบ่อยครั้งในการกำหนดรายละเอียดของตัววัด

การวัดประสิทธิผลของการควบคุมความมั่นคงของข้อมูลมีประโยชน์หลายประการ เช่นการแสดงให้เห็นถึงประสิทธิผลของวิธีการควบคุมความมั่นคงของข้อมูลว่าเป็นไปตามที่ต้องการหรือไม่ การแสดงให้เห็นถึงแนวโน้มการพัฒนาของวิธีการควบคุมความมั่นคงของข้อมูลว่าดีขึ้นหรือด้อยลงเมื่อเปรียบเทียบผลการวัดในแต่ละช่วงเวลา ซึ่งผู้บริหารสามารถนำมาใช้เป็นข้อมูลประกอบการตัดสินใจในการจัดสรรงบประมาณ และทรัพยากรสนับสนุนสำหรับแต่ละส่วนงานได้อย่างเหมาะสม นอกจากนี้ ผลการวัดยังสามารถยืนยันได้ว่า องค์กรมีการควบคุมความมั่นคงของข้อมูลในระดับที่ดี และมีการวัดประสิทธิผลเพื่อการปรับปรุงอยู่อย่างสม่ำเสมอ

ในบทความถัดไปจะเป็นการกล่าวถึงตัวอย่างการวัด เพื่อเสริมสร้างความเข้าใจเกี่ยวกับการวัดประสิทธิผลให้เห็นภาพพจน์ชัดเจนมากยิ่งขึ้น