Project Description

โดย : เอกรัตน์ สาธุธรรม
ปัจจุบันมีระบบมาตรฐานเกิดขึ้นในแต่ละอุตสาหกรรมมากมายทั่วโลก ในไทยที่รู้จักกันดี คือ มาตรฐานไอเอสโอ (ISO) มาตรฐานที่กำหนดร่วมกันระหว่างผู้เชี่ยวชาญในอุตสาหกรรม เทคนิค และธุรกิจ กำหนดเป็นหลักเกณฑ์ เพื่อให้เกิดบรรทัดฐานที่ได้มาตรฐานเดียวกันในอุตสาหกรรมแต่ละประเภท วันนี้ระบบมาตรฐานกำลังเดินหน้าไปพร้อมๆ กับเทคโนโลยี จนเกิดไอเอสโอด้านไอทีขึ้นครั้งแรกภายใต้ “ไอเอสโอ 27001″

“ISO 27001 เป็นมาตรฐานอุตสาหกรรมระดับสากลที่เป็นคำตอบ สำหรับการทำงานในยุคที่ข้อมูล และการสื่อสารเป็นสินทรัพย์สำคัญ มาตรฐานนี้พัฒนาขึ้นมาเพื่อให้เหมาะสมกับยุคสมัยที่การบริหารจัดการ และการใช้ข้อมูลเป็นสิ่งสำคัญที่องค์กรจำเป็นจะต้องปกป้องในทุกวิถีทาง มาตรฐานนี้ จะช่วยให้องค์กรต่างๆ พัฒนาระบบการจัด การจัดเก็บ และเรียกใช้ข้อมูลขององค์กรได้อย่างเหมาะสม สะดวก และปลอดภัย”

นี่เป็นคำจำกัดความ “ไอเอสโอ 27001” ระบบมาตรฐานตัวล่าสุด ที่ “แอนโทนิโอ เพคลี่” ประธานกรรมการบริหารของบริษัท บีวีคิวไอ (BVQI) ประจำภาคพื้นที่เอเชียตะวันออกเฉียงใต้ และเอเชียแปซิฟิก ว่าไว้

“บีวีคิวไอ” ถือเป็นหนึ่งในองค์กรตรวจรับรองมาตรฐานระดับโลก ได้รับการรับรองมาตรฐานระบบ (Accreditation) จากหน่วยงานระดับประเทศในกว่า 30 ประเทศ ให้บริการตรวจสอบ และรับรอง มาตรฐานผลิตภัณฑ์ทั้งในด้านคุณภาพ ความปลอดภัยในการบริโภค ความปลอดภัยในชีวิตและทรัพย์สิน สิ่งแวดล้อม และสังคม

“ไอเอสโอ 27001” เป็นมาตรฐานระบบรักษาความปลอดภัยของข้อมูลองค์กร ที่เพิ่งเกิดขึ้นมาไม่นานเปรียบเหมือนเป็นเกราะปกป้องจัดการ และสร้างผลประโยชน์ให้เกิดขึ้นจากข้อมูลขององค์กร ถือเป็นระบบมาตรฐานที่เข้ามาช่วยพัฒนา และสร้างมาตรฐานให้กับกระบวนการทำงานในองค์กร ในยุคที่ต้องแข่งขันกันในระดับโลก

มาตรฐานตัวใหม่นี้ ยังรวมถึงการจัดระเบียบข้อมูลที่ครอบคลุมการวางแผน และทิศทางของกลยุทธ์สำหรับการบริหาร สามารถประเมินการทำงาน วัดค่าความเสี่ยง และป้องกันการคุกคามจากภายนอกโดยใช้วิธีการจัดระบบการทำงานที่มีความสมบูรณ์ และมั่นคง

ประเด็นสำคัญที่สุดของไอเอสโอ 27001 คือ การเน้นไปที่การสร้างระบบ การนำระบบไปใช้งาน และการบำรุงรักษาระบบ การจัด เก็บเอกสาร Information Security Management System (ISMS) ขององค์กร

“เพคลี่” บอกว่า ไอเอสโอ 27001 ได้รับการพัฒนามาจากส่วนที่ 2 ของ “British Standard BS 7799” โดย “ไอเอสโอ 27001″ ออกแบบมาให้องค์กรต่างๆ นำไปประยุกต์ใช้กับระบบการจัดการข้อมูลเดิมที่องค์กรใช้งานอยู่ง่ายขึ้นโดยสามารถ นำมาตรฐานใหม่ไปใช้กับมาตรฐาน ISO 9001 ซึ่งเป็นมาตรฐานที่เกือบทุกองค์กรใช้กัน เพื่อบริหารจัดการระบบองค์กรได้มีประสิทธิภาพยิ่งขึ้น

“ไอเอสโอ 27001 จะเข้ามาสร้างสภาพแวดล้อมที่มั่นคงในการทำงานให้กับองค์กร และทำให้บริษัทคู่ค้ามีความมั่นใจที่จะทำธุรกิจต่อไป ทำให้องค์กรมีความได้เปรียบต่อคู่แข่งทางการค้า” เพคลี่ ว่า

“คุณอุดมเดช คงทวีเลิศ” กรรมการบริหาร “บีวีคิวไอ” (ประเทศไทย) จำกัด เล่าให้ฟังว่า บีวีคิวไอในประเทศไทย เป็นหนึ่งในบริษัทลูกของ “บูโร เวอริทัส” (Bureau Veritas) องค์กรที่ออกใบรับรองมาตรฐานในอุตสาหกรรมต่างๆ (ISO) ทั่วโลกมีสำนักงานใหญ่อยู่ในกรุงลอนดอน ประเทศอังกฤษ ประเทศที่ถือว่ามีไอเอสโอที่ active ที่สุด

“บีวีคิวไอในไทยเริ่มดำเนินงานมาตั้งแต่ปี 1993 ประมาณ 14 ปีแล้ว จนปัจจุบันเราได้มีการออกมาตรฐานไอเอสโอไปประมาณ 10 ตัว ไม่ว่าจะเป็นไอเอสโอในอุตสาหกรรมยานยนต์ อาหาร อุตสาหกรรมการผลิต รวมถึงด้านเทเลคอม ซึ่งในแต่ละอุตสาหกรรมก็จะมีมาตรฐานเฉพาะของอุตสาหกรรมนั้นๆ ไป แต่เรามักจะคุ้นเคยกับมาตรฐานทางอุตสาหกรรมเพียงไม่กี่ชนิด ที่รู้จักกันดี คือไอเอสโอ 9001”

คุณอุดมเดช บอกว่า วันนี้ มาตรฐานไอเอสโอ 27001 กำลังได้รับการพูดถึงกันอย่างกว้างขวาง โดยเฉพาะในต่างประเทศ และกำลังเข้ามาสร้างความตื่นตัวให้กับผู้ประกอบธุรกิจในไทย

“ในไทยเท่าที่ทราบยังไม่มีบริษัทไหนได้ไอเอสโอตัวนี้ไป เพราะเป็นมาตรฐานตัวที่ใหม่มาก เป็นมาตรฐานที่เน้นในเรื่องของความปลอดภัย (Security) ข้อมูล มาตรฐานนี้เริ่มขึ้นในประเทศอังกฤษเมื่อปีที่แล้ว ซึ่งไม่ได้ใช้สำหรับบริษัทไอทีอย่างเดียว แต่รวมไปถึงทุกองค์กรที่ต้องใช้ไอทีในการทำงาน ไม่ว่าจะเป็นธนาคาร สถาบันการเงิน ประกันภัย”

บริษัทที่ดำเนินธุรกิจทางด้านไอที ส่วนใหญ่มักมีระบบรับรองมาตรฐานการทำงานของตัวเองอยู่แล้ว ไอเอสโอตัวใหม่นี้ จะเป็นหนึ่งมาตรฐานที่ “คุณอุดมเดช” บอกว่า ค่อนข้างครอบคลุมมากที่สุด หากพูดถึงการรับรองมาตรฐานทางด้านไอที

“วันนี้ เกือบทุกองค์กรต้องใช้ไอทีมาก และยิ่งมีพวกอี-คอมเมิร์ซ หรือข้อมูลที่ต้องทำทรานเซคชั่นต่อกัน ก็จะค่อนข้างเสี่ยง อาจเคยได้ยินว่า ข้อมูลเกิดโดนแฮค หรือข้อมูลตกไปอยู่กับคู่แข่ง เกิดการโจรกรรมของข้อมูล มาตรฐานนี้จะครอบคลุม ช่วยป้องกันตรงนี้ได้”

คุณอุดมเดช เล่าว่า แม้จะเป็นมาตรฐานใหม่ แต่ขณะนี้บริษัทไอทีหลายแห่ง รวมถึงบริษัทที่มีระบบไอทีเป็นหนึ่งในการบริหารงาน กำลังอยู่ระหว่างปรับระบบภายใน เพื่อยื่นขอใบรับรองมาตรฐานนี้ โดยมีบริษัทไอทีอย่างน้อยประมาณ 2-3 บริษัท เป็นบริษัทที่ใช้ไอทีค่อนข้างมาก เป็นกลุ่มองค์กรประเภทไอทีจริงๆ มีทั้งราชการ และเอกชน ยื่นขอมาตรฐานประเภทใหม่นี้มา และเชื่อว่าจากนี้ไปจนถึงสิ้นปีจะมีบริษัทจำนวนไม่น้อยที่จะยื่นขอมาตรฐานไอเอสโอ 27001

“ผมเชื่อว่า ตอนนี้ บริษัทไอทีที่อยู่ในไทยก็มีมาตรฐานรับรองระบบงานของเขาอยู่แล้ว มาตรฐานไอเอสโอ 27001 นี้ จะเป็นอีกหนึ่งมาตรฐานที่เป็นการต่อยอดให้บริษัทที่ดำเนินธุรกิจไอที รวมไปถึงบริษัทที่มีกลไกการใช้งานด้านไอทีอยู่แล้ว มีระบบงานที่มีประสิทธิภาพ และมีความเป็นสากลมากขึ้น ซึ่งผมเชื่อว่า บริษัทไอทีสนใจแน่นอน เพราะโดยธรรมชาติของบริษัทต่างๆ มักจะต้องหาระบบมาตรฐานมาให้กับองค์กรตัวเอง เพื่อสร้างความเชื่อมั่น และขีดการแข่งขันให้กับองค์กรได้ในอนาคต”

“ถ้าพูดถึงบริษัทไอทีข้ามชาติ ผมเชื่อว่าเขาตื่นตัวเรื่องนี้ค่อนข้างเยอะ แต่ถ้าพูดถึงบริษัทในประเทศเอง ผมเชื่อว่ายังมีอยู่มากที่ยังให้ความสนใจในเรื่องนี้น้อยเกินไป และยังมีบริษัทในประเทศจำนวนไม่น้อยที่ยังไม่ทราบถึงมาตรฐานนี้”

คุณอุดมเดช บอกว่า มี 2-3 เหตุผลที่บริษัทไอที และบริษัทที่ไม่ใช่ไอทีต้องให้ความสนใจในมาตรฐานไอเอสโอ 27001 ไม่ว่าจะเป็นการเป็นตัวช่วยทำให้การทำมาร์เก็ตติ้งขององค์กรประสบความสำเร็จได้เร็วขึ้น เพราะคงไม่ดีแน่ หากลูกค้า หรือคู่ค้าพันธมิตรถามหาคุณภาพของบริการ ถามหาความปลอดภัยของข้อมูล แน่นอนว่า บริษัทที่ได้รับการรับรองมาตรฐานจะได้รับความไว้วางใจมากกว่า

“ไอเอสโอ 27001 ยังสามารถเป็นเกราะป้องกันทรัพย์สินทางปัญญา โดยเฉพาะนวัตกรรมต่างๆ ที่คิดขึ้นภายในองค์กร หากมีไอเอสโอตัวนี้ ก็ยากที่จะถูกก๊อบปี้ไอเดีย”

คุณอุดมเดช บอกว่า บริษัทมีทีมงานที่เชี่ยวชาญในสาขาไอที เข้ามาเป็นผู้ประเมิน ซึ่งเป็นผู้ที่ต้องสอบประเมินความรู้ ต้องเชี่ยวชาญจริงๆ เพื่อทำหน้าที่ไปตรวจ เพื่อออกใบรับรองมาตรฐานให้กับองค์กร ปัจจุบันบีวีคิวไอมีผู้ตรวจสอบ (audit) ทั้งหมด 50 คน

“มาตรฐานไอเอสโอ ส่วนใหญ่จะมีข้อบังคับอยู่แล้วว่าบริษัทจะต้องทำอะไรบ้าง บริษัทที่จะขอมาตรฐานนี้ ต้องมีนโยบายชัดเจนเกี่ยวกับเรื่องซิเคียวริตี้ ต้องไปประเมินความเสี่ยง ไม่ว่าจะเป็นเรื่องข้อมูลหาย โดนโจรกรรมข้อมูลอย่างไรบ้างวิเคราะห์ออกมาว่าอะไรมีความเสี่ยงมาก เสี่ยงน้อย แล้วจะจัดการความเสี่ยงอย่างไร เวลาเราเข้าไปตรวจ เราก็จะดูรายงานตรงนี้ประกอบ พร้อมทั้งเข้าไปตรวจอีกที” คุณอุดมเดช อธิบาย

ผู้บริหารบีวีคิวไอ ประเมินว่า ปัจจุบันมาตรฐานของบริษัทไอทีข้ามชาติในไทย ค่อนข้างจะมีความชัดเจนเรื่องของมาตรฐานต่างๆ มาก ส่วนบริษัทในประเทศ ถ้าเป็นรูปบริษัทจริงๆ ดำเนินธุรกิจมาระยะหนึ่ง ระบบมาตรฐานน่าจะดีขึ้นพอสมควร บางบริษัทก็เทียบเท่ากับต่างประเทศ

“เรามองเห็นศักยภาพตรงนี้ค่อนข้างมาก ติดตามมานานตั้งแต่ยังไม่เป็นไอเอสโอ เราค่อนข้างมีกลยุทธ์ชัดเจนเกี่ยวกับมาตรฐานประเภทนี้ เพราะมันเป็นเรื่องที่มีความจำเป็นของกลุ่มอุตฯ ไอที จะคล้ายๆ กับรูปแบบของไอเอสโอ 9001 ที่ออกมาเมื่อ 10 ปีที่แล้ว ตรงที่ว่าตอนนั้นทุกคน ก็จะทำระบบคุณภาพอะไรเต็มไปหมด แต่ไม่มีมาตรฐานอะไรที่เป็นสากล ทุกคนก็จะยืนยันด้วยตัวเองกับลูกค้า กับสาธารณชนว่าของตัวเองดี”

คุณอุดมเดช บอกด้วยว่า วันนี้หลายๆ องค์กรยังคงต้องมีระบบรับรองมาตรฐานในหลายๆ เรื่องอยู่ ยังไม่สามารถที่จะคิดค้นให้เกิดมาตรฐานใบเดียว และสามารถครอบคลุมได้ทุกเรื่อง

ทั้งนี้ มาตรฐานไอเอสโอ จะกำหนดร่วมกันโดยคณะกรรมการฝ่ายเทคนิค ซึ่งประกอบด้วยผู้เชี่ยวชาญในสาขาอุตสาหกรรม เทคนิค และธุรกิจ ที่ได้รับเชิญให้เข้ามามีส่วนร่วมในการกำหนดหลักเกณฑ์เพื่อนำไปใช้ในทางปฏิบัติต่อไป ซึ่งในขั้นตอนนี้ต้องมีผู้เชี่ยวชาญจากองค์กรด้านการออกใบรับรองร่วมอยู่ด้วย

เช่น จากบีวีคิวไอ ผู้เชี่ยวชาญเหล่านี้อาจต้องทำงานร่วมกับผู้เชี่ยวชาญท่านอื่นๆ ที่มีความรู้ความชำนาญในสาขาที่เกี่ยวข้อง อย่างเช่น ตัวแทนจากหน่วยงานภาครัฐ ห้องทดลอง สมาคมผู้บริโภค ผู้เชี่ยวชาญด้านสิ่งแวดล้อมและอื่นๆ

มีคำถามตามมาว่า มาตรฐานไอเอสโอแท้ที่จริงแล้ว มีผลอะไรกับการทำธุรกิจการค้า? คุณอุดมเดช ตอบโดยไม่ลังเลว่า

“แม้จะไม่ใช่เรื่องยากสำหรับบรรดาบริษัทผู้นำเข้าที่จะหาซัพพลายเออร์ในต่างประเทศ เพื่อสั่งผลิตสินค้าที่ต้องการ แต่การหาคู่ค้าที่มีชื่อเสียงเป็นที่ยอมรับ มีความมุ่งมั่นซื่อสัตย์ และเอาใจใส่เรื่องคุณภาพ นับเป็นปัจจัยสำคัญอย่างยิ่งต่อความสำเร็จในการนำเข้าสินค้า ด้วยเหตุนี้ มาตรฐานจึงเข้ามามีบทบาท และถือเป็นกลไกสำคัญในแวดวงการค้าระหว่างประเทศ”

 

ที่มา : กรุงเทพธุรกิจ