นโยบายความมั่นคงของข้อมูล (Information Security Policy)

สิ่งสำคัญที่สุดในการดำเนินธุรกิจในยุคปัจจุบันคือ ข้อมูลต่างๆ ที่ใช้ประกอบการดำเนินธุรกิจ แต่หลายองค์กร แทบจะไม่ได้ให้ความ สนใจในจุดนี้นัก โดยทั่วไปมักจะให้ความสำคัญกับสิ่งที่จับต้องได้ หรือ ที่มีราคาแพงมากกว่า ทั้งที่ในความเป็นจริงแล้ว สิ่งของเหล่านั้นสามารถหามาทดแทนได้หากเกิดความเสียหายขึ้น แต่หากข้อมูลเสียหายไปโดยที่ไม่มีการสำรองไว้ก็ยากที่จะนำกลับคืนมา หรือ หากทำได้ก็ต้องใช้เวลานานในการที่จะรวบรวมข้อมูลที่เหมือนเดิมกลับมา แน่นอนว่าเราสามารถที่จะซื้อเครื่อง Server เครื่องใหม ่ได้ทุกเมื่อ แต่เราไม่สามารถหาซื้อข้อมูลที่เรารวบรวมไว้ภายในเครื่องได้ ดังนั้นเราจึงควรให้ความสำคัญกับการปกป้องข้อมูลมากขึ้น

การที่จะเสริมความมั่นคงของข้อมูล ให้กับองค์กรสามารถกระทำได้ 3 แนวทางหลักๆ คือ

  • การใช้เทคโนโลยี เช่น การติดตั้งระบบ IPS (Intrusion Prevention System)
  • การปรับปรุงทางกายภาพ เช่น การติดตั้งระบบควบคุมการเข้า – ออก ( Access Control )
  • การใช้วิธีในการบริหารจัดการ เช่น การออกกฎระเบียบ หรือ นโยบายต่างๆ

เพื่อให้ได้ระบบที่ดี จะต้องใช้ทั้ง 3 แนวทางร่วมกันอย่างเหมาะสม ในส่วนของการใช้เทคโนโลยี และ การปรับปรุงทางกายภาพ สามารถกระทำได้โดยง่าย เพียงแค่เลือกหา และ จัดซื้อสินค้าที่เหมาะสมมาติดตั้งก็สามารถใช้งานได้แล้ว แต่การใช้วิธีในการบริหาร จัดการจะกระทำได้ยากกว่าเนื่องจากจะต้องเกี่ยวข้องกับการปรับเปลี่ยนพฤติกรรมของคน ซึ่งเป็นตัวแปรที่ควบคุมได้ยาก เครื่องมือหลัก ที่จะใช้ควบคุมคน และ กระบวนการต่างๆ ได้ก็คือ กฎ, ข้อบังคับ, นโยบาย และ วิธีการปฏิบัติงาน โดยสิ่งสำคัญอันดับต้นๆ ที่ควรจะจัดทำให้มีในองค์กรก็คือ นโยบายความมั่นคงของข้อมูล (Information Security Policy)

นโยบายความมั่นคงของข้อมูลคือ ?

ปัญหาหลายอย่างไม่สามารถแก้ไขได้ด้วยวิธีการทางเทคนิค หรือ กายภาพ เราไม่มีเทคโนโลยีใดๆ ที่สามารถห้ามไม่ให้พนักงานบอก รหัสผ่านของตนเองแก่ผู้อื่น ปัญหาในรูปแบบนี้จะต้องแก้ไขด้วยวิธีการทางด้านการบริหารจัดการ โดยการออกกฎระเบียบ ข้อบังคับต่างๆ ที่เกี่ยวข้องกับการปกป้องข้อมูล และการปฏิบัติงานอย่างมั่นคง ซึ่งมักจะถูกเรียกว่า นโยบายความมั่นคงของข้อมูล

นโยบาย ความมั่นคงของข้อมูล คือ ชุดของเอกสารที่ระบุถึงวัตถุประสงค์ เป้าหมาย วิธีการปฏิบัติ เพื่อที่จะรักษาความมั่นคงของ ข้อมูลเอาไว้ โดยเอกสารนี้จะต้องได้รับการอนุมัติให้มีผลบังคับใช้โดยผู้บริหารระดับสูง และจะต้องสอดคล้องกับแนวทางการ ดำเนินธุรกิจขององค์กรด้วย

การที่จะจัดทำนโยบายความมั่นคงของข้อมูลขึ้นมาสำหรับองค์กรใดๆ นั้น ไม่ใช่แค่การไปนำคำแนะนำต่างๆ จากมาตรฐาน หรือเอกสาร ที่หาได้ทั่วไปมาใช้แล้วจะประสบผลสำเร็จ เนื่องจากแต่ละองค์กรก็มีรูปแบบการดำเนินงานและวัฒนธรรมองค์กรที่แตกต่างกันไป ดังนั้นจึงต้องมีกระบวนการในการออกแบบ และพัฒนานโยบายความมั่นคงที่สอดคล้องกับรูปแบบการดำเนินธุรกิจ และความต้องการ ขององค์กร

นโยบายความมั่นคงของข้อมูลที่ดี ควรมีคุณสมบัติดังต่อไปนี้

  • กำหนดขอบเขตแน่ชัด ต้องกำหนดขอบเขตที่นโยบายนั้นเกี่ยวข้อง หรือ มีผลบังคับใช้ให้ชัดเจน
  • ปฏิบัติได้จริง วิธีการ หรือ จุดประสงค์ที่ต้องการที่ระบุไว้ในนโยบายจะต้องสามารถปฏิบัติได้จริงภายในองค์กร และไม่ขัดแย้งกับวิธีการปฏิบัติที่มีอยู่เดิมมากนัก ไม่มีประโยชน์ที่จะเขียนนโยบายฯ ที่เนื้อหายอดเยี่ยม แต่ไม่สามารถปฏิบัติได้
  • เข้าใจได้ง่าย นโยบายฯ ควรใช้ภาษาที่สามารถอ่านเข้าใจได้ง่าย ไม่ซับซ้อน หรือ รวบรัดจนเกินไป ผู้อ่านควรจะอ่านแล้วเข้าใจตามที่ผู้กำหนดนโยบายต้องการให้เป็น
  • เนื้อหาไม่ขัดแย้งกันเอง เนื้อหาของนโยบายในทุกส่วนจะต้องสอดคล้องกัน หากมีส่วนใดขัดแย้ง จะทำให้ผู้อ่านสับสนในการนำไปปฏิบัติ
  • บังคับใช้ได้ ผู้บริหารจะต้องสนับสนุนการปฏิบัติตามนโยบายอย่างจริงจัง ไม่ใช่เพียงแค่ลงนามอนุมัติเท่านั้น เนื่องจากถ้าหากผู้บริหารไม่สนับสนุนอย่างจริงจังและทบทวนประสิทธิภาพของการนำไปใช้อย่างเหมาะสมแล้ว นโยบายอาจถูกละเลย และไม่ได้มีการปฏิบัติตาม
  • ทบทวนและปรับปรุงอย่างสม่ำเสมอ เนื้อหาของนโยบายจะต้องถูกทบทวน และ ปรับปรุงแก้ไขให้ทันสมัยอยู่เสมอ อาจจะกระทำทุก 6 เดือน หรือ เมื่อได้รับคำแนะนำจากผู้เกี่ยวข้อง
  • เป็นเอกสารควบคุม ต้องมีการควบคุมเวอร์ชั่นทุกครั้งที่ทำการปรับปรุง และนโยบายฯ จะต้องถูกแจกจ่ายไปยังผู้เกี่ยวข้องตามที่ระบุไว้ โดยต้องแน่ใจได้ว่าผู้เกี่ยวข้องได้รับเอกสารที่เป็นปัจจุบันที่สุด

การจัดสร้างนโยบายความมั่นคงปลอดภัยของข้อมูล

ตามที่ได้กล่าวไปแล้ว นโยบายความมั่นคงของข้อมูลไม่ใช่สิ่งที่สร้างขึ้นมาได้ง่ายๆ ต้องมีกระบวนการในการออกแบบ โดยทุกฝ่าย ที่เกี่ยวข้องได้เข้ามามีส่วนร่วม โดยควรมีขั้นตอนในการจัดทำดังนี้

  1. จัดประชุมผู้บริหารเพื่อกำหนดแนวทาง และระดับความมั่นคงที่ต้องการสำหรับองค์กร
  2. จัดตั้งทีมงานจากฝ่ายที่เกี่ยวข้องเช่น MIS ฝ่ายบุคคล ฝ่ายอาคารสถานที่ เป็นต้น
  3. ทีมงานทำการประเมินว่าขอบเขตของนโยบายฯ ควรจะครอบคลุมสิ่งใด และแต่ละสิ่งสำคัญอย่างไรต่อองค์กร
  4. กำหนดหัวข้อต่างๆ ที่ควรมีในนโยบายฯ และวัตถุประสงค์ของแต่ละหัวข้อ
  5. ทีมงานทำการร่างนโยบายที่เหมาะสมกับองค์กร โดยควรศึกษาแนวทางจากมาตรฐานสากลต่างๆ เช่น BS 7999 และ ISO/IEC17799 เป็นต้น
  6. ทบทวน และตรวจสอบเนื้อหาโดยผู้ที่เกี่ยวข้อง
  7. เสนอผู้บริหารเพื่อทำการประกาศใช้งาน

การปรับปรุงแก้ไขนโยบายความมั่นคงปลอดภัยของข้อมูล

หลังจากที่นโยบายฯ ได้ถูกประกาศใช้งานไปได้ซักระยะ จะต้องมีกระบวนการในการทบทวนความเหมาะสมของเนื้อหาว่า ยังมีความเหมาะสมสามารถใช้งานได้อย่างมีประสิทธิภาพอยู่หรือไม่ โดยสามารถทำการรวบรวมข้อมูล สำหรับการพิจารณา ได้จากวิธีการเหล่านี้

  • จัดทำแบบสำรวจ เพื่อสอบถามความคิดเห็นจากผู้ที่เกี่ยวข้องต่างๆ
  • ทำการตรวจสอบประสิทธิภาพการทำงานโดยรวมในส่วนต่างๆ และความสามารถในการปฏิบัติตามนโยบายของพนักงาน