ตอนที่4 ข้อกำหนดข้อ 4 บริบทองค์กร (Context of organization)

จากตอนที่แล้วเรามีการ พูดถึง ข้อกำหนด 0 ถึง 3 วันนี้เราจะมีการพูดถึง ข้อกำหนดข้อ 4 บริบทองค์กร (Context of organization) โดยในหัวข้อนี้มี 3 ข้อกำหนดย่อย คือ 4.1 การทำความเข้าใจองค์กร และ บริบทองค์กร (Understanding the organization and its context), 4.2 การทำความเข้าใจความต้องการ และความคาดหวังผู้มีส่วนได้เสีย(Understanding the needs and expectations of interested parties) และ 4.3 การกาหนดขอบข่ายของระบบบริหารจัดการความมั่นคงปลอดภัยสาหรับสารสนเทศ ((Determining the scope of the information security management system)

ข้อกำหนดนี้เป็นข้อกำหนดเริ่มแรก โดย ISO ต้องการให้องค์กร ย้อนกลับมามองตัวเอง มองสิ่งที่เรามี มองสิ่งที่เราต้องการ มอง ผู้มีส่วนได้เสีย ก่อนที่จะมีการ ดำเนินการใดๆ    

4.1 การทำความเข้าใจองค์กร และ บริบทองค์กร (Understanding the organization and its context) ข้อนี้บอไว้ว่า

องค์กรต้องกำหนดประเด็นภายนอกและภายในต่างๆ ที่เกี่ยวข้องกับวัตถุประสงค์องค์กรและที่มีผลกระทบต่อความสามารถในการบรรลุผลลัพธ์ตามที่ตั้งใจไว้ของระบบบริหารจัดการความมั่นคงปลอดภัยสำหรับสำรสนเทศ

ข้อนี้เขาให้เรากำหนด วัตถุประสงค์องค์กร และ ความคาดหวังหรือความตั้งใจ ของการจัดทำ ระบบบริหารจัดการความมั่นคงปลอดภัยสำหรับสารสนเทศ และหลังจากนั้น ให้เรา กำหนด ปัจจัย ทั้งภายนอกละภายใน ที่เกี่ยวข้องกับ วัตถุประสงค์องค์กร และ ความคาดหวังหรือความตั้งใจ ของการจัดทำ ระบบบริหารจัดการความมั่นคงปลอดภัยสำหรับสารสนเทศ

อะไรคือจุดมุ่งหมายองค์กร/ วัตถุประสงค์องค์กร (Purpose)

จุดมุ่งหมายองค์กร/ วัตถุประสงค์องค์กร (Purpose) เป็นสิ่งที่องค์กรคาดหวังและต้องการในการดำเนินงานในปัจจุบันและอนาคต การบรรลุจุดมุ่งหมายขององค์กรได้จะต้องมีสิ่งสนับสนุนที่สอดคล้องได้แก่การมีวิสัยทัศน์และสร้างวิสัยทัศน์ร่วม (Vision and share vision) การกำหนดพันธกิจ (Mission)ที่ครอบคลุมเหมาะสม การกำหนดเป้าประสงค์ (Goals) ที่ชัดเจนในแง่ของปริมาณหรือพื้นที่ปฏิบัติการหรือการสร้างคุณค่าแก่องค์กรและการกำหนดวัตถุประสงค์ขององค์กร (Objective) ในแต่ละห้วงเวลาของการปฏิบัติการตามแผนกลยุทธ์

จุดมุ่งหมายองค์กร/ วัตถุประสงค์องค์กร (Purpose) หมายถึงสิ่งที่องค์กรต้องการในอนาคตสามารถกำหนดได้ 4 ประการเรียงลำดับจากการเจาะจงน้อยที่สุดไปถึงมากที่สุดคือ - วิสัยทัศน์ (Vision), - พันธกิจ (Mission), - เป้าหมายหรือเป้าประสงค์ (Goals)ม - วัตถุประสงค์ (Objectives)

อะไรคือผลลัพธ์ตามที่คาดหวังไว้ต่อระบบบริหารจัดการความมั่นคงปลอดภัยสำหรับสารสนเทศ

สิ่งนี้เป็นเรื่องใหม่และเรื่องใหญ่สำหรับระบบบริหารจัดการความมั่นคงปลอดภัยสำหรับสารสนเทศ ในอดีตการจัดทำระบบเพียงมุ่งเน้นเพื่อให้ได้การรับรองเพราะไม่ได้กำหนดสิ่งที่ต้องการจากระบบการบริหาร องค์กรโดยทั่วไปจึงสนใจเฉพาะ shall ที่มาตรฐานกำหนด และไม่รู้ว่าทำระบบการบริหารจัดการความปลอดภัยข้อมูล ไปทำไมเนื่องจากไม่ได้กำหนดสิ่งที่ต้องการจากระบบการบริหารจัดการความปลอดภัยข้อมูล

ข้อกำหนดจึงต้องการให้องค์กรกำหนด "ผลลัพธ์ตามที่คาดหวังไว้ต่องระบบบริหารจัดการความมั่นคงปลอดภัยสำหรับสารสนเทศ" เพื่อเป็นเข็มมุ่งในการจัดวางระบบการบริหาร และมีข้อกำหนดเรื่องความเสี่ยงและโอกาส (6.1) ในการรับรองว่าระบบจะได้ถูกจัดวางเพื่อให้ได้ตามผลลัพธ์นี้

ผู้ที่กำหนดอนุมัติ ผลลัพธ์ตามที่คาดหวังไว้ต่อระบบบริหารจัดการความมั่นคงปลอดภัยสำหรับสารสนเทศ ควรเป็นผู้บริหารระดับสูงเพื่อให้ชัดเจนว่าระบบบริหารจัดการความมั่นคงปลอดภัยสำหรับสารสนเทศที่ดีสำหรับองค์กรควรเป็นอย่างไร รวมถึงเพื่อให้ได้การสนับสนุนและเป็นเนื้อเดียวกับการบริหารประจำวันในธุรกิจ

เมื่อเราได้ วัตถุประสงค์องค์กร และ ความคาดหวังหรือความตั้งใจ ของการจัดทำ ระบบบริหารจัดการความมั่นคงปลอดภัยสำหรับสารสนเทศ แล้ว ข้อกำหนด ให้ทางองค์กร กำหนดปัจจัยที่มีผม ต่อ วัตถุประสงค์องค์กร และ ความคาดหวังหรือความตั้งใจ ของการจัดทำ ระบบบริหารจัดการความมั่นคงปลอดภัยสำหรับสารสนเทศ โดยให้ครอบคลุมทั้ง ภายในองค์กร และ ภายนอกองค์กร เช่น

ปัจจัยภายใน – โครงสร้างหน่วยงาน, บทบาทภายในหน่วยงาน, ความพร้อมของแรงงานที่มีคุณสมบัติและมีความสามารถที่เชื่อถือได้, ความมั่นคงของแรงงาน, การรักษาพนักงาน, ผลกระทบของการจัดตั้งสหภาพแรงงาน, ระดับการฝึกอบรมพนักงาน, การจัดการตามสัญญากับลูกค้า, ข้อกำหนดการชำระเงินจากลูกค้า, ความสามารถในการชำระหนี้ของลูกค้า, การขยายฐานลูกค้า, ความเข้มแข็งโดยภาพรวมของกิจการในการสนับสนุนความต้องการทางการเงิน, โอกาสในการพัฒนาเทคโนโลยี เช่น การให้เช่าซื้ออุปกรณ์, ความสามารถของศูนย์ข้อมูล (ทางกายภาพและทางสิ่งแวดล้อม), ความยืดหยุ่นของโครงสร้างพื้นฐาน, เป็นต้น

ประเด็นภายนอก - ประเด็นทางการเมือง, เศรษฐกิจ, สังคม, เทคโนโลยี, กฎหมายและการกำกับดูแล, ประเด็นเกี่ยวกับสิ่งแวดล้อม เช่น การใช้พลังงาน, การรีไซเคิล หรือการทำลายอุปกรณ์ เป็นต้น, การปฏิบัติการทางเศรษฐกิจในภาพรวมในประเทศ,          แผนเศรษฐกิจในอนาคต , สภาพและผลกระทบของเศรษฐกิจในตลาดรับ, ประเด็นเกี่ยวกับประชากรลูกค้า, ระดับความเชื่อถือของผู้บริโภคทั่วไป, การเติบโตของกิจการจ้างงานหน่วยงานภายนอก, สภาวะแวดล้อมในการแข่งขัน – ค่าใช้จ่ายต่ำในการเข้าสู่ตลาดโดยภาพรวม, ความคาดหวังของลูกค้า, การวางมาตรฐานและการรับรองภายในอุตสาหกรรม, ราคาเชื้อเพลิง – ความกดดันระหว่างประเทศ, ความกดดันของตลาดภายในประเทศ, ระบอบทางภาษีของรัฐบาล เป็นต้น

กิตติพงษ์ เกียรตินิยมรุ่ง– สถาบันมาตรฐานอังกฤษ