เล่าสู่กันฟัง Key Success Factors เบื้องหลังการทำระบบ ISO 27001ให้สำเร็จจากประสบการณ์จริง

เล่าสู่กันฟัง Key Success Factors เบื้องหลังการทำระบบ ISO 27001ให้สำเร็จจากประสบการณ์จริง

Posted by pryn on วันอังคารที่ 11 กุมภาพันธ์ พ.ศ. 2557 3

5 Key Success factors ของการทำระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศ ISO27001 ได้แก่

1.ได้รับการสนับสนุนจากผู้บริหารระดับสูง (Top Management) อย่างเป็นรูปธรรม 

การทำระบบ Information Security Management System(ISMS) - ISO 27001 นั้นทำให้ผู้เกี่ยวข้องโดยเฉพาะผู้ใช้งานทั่วไป(User)รู้สึกยุ่งยากกว่าเดิม  และจะเริ่มบ่น เริ่มดื้อ

บางครั้งคนที่บ่นและดื้อก็เป็นระดับบริหารซะเอง แบบนี้ทำให้คณะทำงานงานสร้างระบบฯทำงานลำบาก ร้อนถึงผู้บริหารระดับสูง(Top Management) ต้องแสดงจุดยืนชัดๆว่าสนับสนุนให้ทำระบบฯให้สำเร็จ  เพราะหากเบอร์1 ไม่ทุบโต๊ะเสียงบ่นก็จะเริ่มดังขึ้น การดื้อไม่ให้ความร่วมมือก็จะมากขึ้นและลงท้ายด้วยการเลิกทำระบบในที่สุด

2. กำหนดขอบเขตของระบบ(Scope)ให้ชัดเจน

ขอบเขตการทำระบบ(Scope) เป็นตัวกำหนดว่าผู้เกี่ยวข้องมีใครบ้าง ระบบงานใดบ้าง สถานที่และระบบสนับสนุนที่เกี่ยวข้อง    ในการกำหนดขอบเขต(Scope) มาตรฐานISO27001:2013 กำหนดให้พิจารณาบริบท(Context)ขององค์กรซึ่งต้องพิจารณาถึง Interested parties ที่เกี่ยวข้องด้วย 

ประเด็นสำคัญคือ ขอบเขตที่จัดทำระบบฯต้องสมเหตุผล ตอบโจทย์ของInterested parties  และไม่ควรกว้างเกินไปจนไม่สามารถกำกับดูแลได้อย่างมีประสิทธิภาพ เช่น บางบริษัทฯมีสาขากระจายอยู่ทั่วประเทศ และสาขาต่างจังหวัดหลายแห่งก็ขาดบุคลากรที่มีความรู้ความสามารถเพียงพอ แบบนี้ถ้าทำระบบทั้งหมดครอบคลุมทุกสาขาก็มีแนวโน้มว่าจะสำเร็จได้ยาก เป็นต้น

3. ตัวแทนผู้บริหาร หรือ Information Security Management Representative (ISMR) กำกับดูแลควบคุมและติดตามงาน

Project Leader ของการทำ ISO27001 ก็คือ ตัวแทนฝ่ายบริหาร หรือISMR นี่แหละครับ  ถ้าจะบอกว่าความสำเร็จของการทำระบบฯมาจากการเอาจริงเอาจังทั้งบุ๋นและบู๊ของ ISMR ก็ไม่ใช่เรื่องเกินจริงแต่อย่างใด  เพราะว่า ISMR นั้นกำกับทุกขั้นตอนตั้งแต่เริ่มทำระบบ(Establish) นำไปใช้(Implement) ตรวจประเมิน(Audit) เฝ้าระวังและตรวจสอบ(Monitor and Measurement)  รวมถึงการแก้ไขปรับปรุงอย่างต่อเนื่อง (Continual Improvement)

ISMRนั้นควรมีความรู้ในบริบทขององค์กรเป็นอย่างดีและควรมีความรู้เกี่่ยวกับข้อกำหนดของ ISO27001 ในระดับปานกลางขึ้นไป คือเข้าใจภาพรวมและการนำไปใช้จริงในองค์กร  ที่สำคัญ ISMR ควรมี Power ในระดับที่สามารถตามงานจากหน่วยงานต่างๆ สามารถเชิญประชุม และตัดสินใจได้ (ยกเว้นบางเรื่องที่ต้องขอไฟเขียวจาก Top Management เช่นเรื่องงบประมาณ ฯลฯ) 

4. กระจายงานให้คณะทำงานอย่างเหมาะสม

ปัญหาที่เจอบ่อยมากๆในการทำระบบฯคือ งานกระจุกตัวอยู่ที่คนใดคนหนึ่งมากเกินไป  อาจเป็นเพราะแบ่งงานไม่ดีหรือมีปัญหาในการกระจายงาน(เกี่ยงไม่ยอมรับงาน)  เจอแบบนี้ ISMR ต้องActionครับ  และบางกรณีอาจต้องขอให้ Top Management สั่งลงมาเป็นทางการก็เคยเจอ  หากปล่อยไว้แบบนี้งานไม่เดินและคนที่รับโหลดงานเยอะก็จะล้าและถอดใจ สุดท้ายระบบนี้fail ครับ

5. สร้างแรงจูงใจให้คณะทำงาน  

จากประสบการณ์ในฐานะที่ปรึกษา(Consultant)ผมพบว่าส่วนใหญ่คณะทำงานระบบฯ มีงานประจำในตำแหน่งต่างๆ ไม่ใช่ทำระบบฯแบบ Full Time พูดแบบไม่เกรงใจ การทำระบบฯคืองานที่เพิ่มขึ้นมานั่นเอง !!  ดังนั้นการสร้างแรงจูงใจให้คณะทำงานฯจึงสำคัญไม่แพ้เรื่องอื่นๆ

หลายบริษัทฯมีแต้มพิเศษให้คณะทำงานในฐานะที่Contribute ให้กับองค์กร  บางแห่งมีมีงบฯสำหรับเลี้ยงขนม อาหารให้คณะทำงานฯในกรณีอยู่ดึกหรือทำงานวันหยุด บางที่แจกเสื้อJacket ฯลฯ  เรื่องนี้อาจดูไม่สำคัญในสายตาผู้บริหาร แต่เชื่อมั้ยครับว่าเรื่องเล็กๆน้อยนี่แหละมีส่วนช่วยให้หลายๆที่ทำระบบสำเร็จและรักษาระบบไว้ได้หลังจากได้ใบรับรองแล้ว