สำหรับหัวข้อ 5 ภาวะผู้นำ (Leadership) ในตัวข้อกำหนดได้แบ่งเป็น 3 ส่วน คื่อ 5.1 ภาวะผู้นำ และพันธสัญญา (Leadership and commitment), 5.2 นโยบาย (Policy) และ 5.3 บทบาท ความรับผิดชอบ และอำนาจหน้าที่ (Organizational roles, responsibilities and authorities) ถ้าถามว่า ข้อนี้เป็นข้อกำหนดของใคร ก็ต้องบอกว่าเป็นของ ผู้บริหารสูง โดยครั้งนี้เราจะพูดถึง ข้อ 5.1 ภาวะผู้นำ และพันธสัญญา (Leadership and commitment)
5.1 ภาวะผู้นำ และพันธสัญญา (Leadership and commitment)
ผู้บริหารระดับสูงต้องแสดงให้เห็นถึงภาวะผู้นำ และการให้พันธสัญญาต่อระบบบริหารจัดการความปลอดภัยข้อมูล โดย:
a) ต้องทำให้การจัดตั้งนโยบายและวัตถุประสงค์ความปลอดภัยข้อมูล สอดคล้องกับทิศทาง กลยุทธ์ขององค์กร
b) ต้องทำให้ความต้องการด้านระบบบริหารจัดการความปลอดภัยข้อมูล ผนวกเข้ากับกระบวนการขององค์กร
c) ต้องทำให้มีทรัพยากรที่จำเป็นสำหรับการดำเนินการระบบบริหารจัดการความปลอดภัยข้อมูล
d) มีการสื่อสารความสำคัญ เรื่องประสิทธิผลในการบริหารจัดการความปลอดภัยข้อมูล และความสอดคล้องของข้อกำหนดในระบบบริหารจัดการความปลอดภัยข้อมูล
e) ต้องทำให้ระบบบริหารจัดการความปลอดภัยข้อมูลบรรลุผลตามที่ตั้งไว้
f) ต้องสั่งการและให้การสนับสนุน เพื่อนำไปสู่ประสิทธิผลของระบบบริหารจัดการความปลอดภัยข้อมูล
g) ส่งเสริมการปรับปรุงพัฒนาอย่างต่อเนื่อง
h) เพื่อแสดงให้เห็นถึงภาวะผู้นำ ผู้บริหารต้องสนับสนุนบทบาทการบริหารอื่นๆ ที่เกี่ยวข้องภายในขอบเขตที่รับผิดชอบ
ใครคือผู้บริหารระดับสูง
ตามนิยาม ผู้บริหารระดับสูงคือ คนหรือกลุ่มคนที่ซึ่งสั่งการและควบคุมองค์กรในระดับสูงสุด (person or group of people who directs and controls an organization at the highest level)
มาตรฐานต้องการให้ ผู้บริหารสูงสุดต้องแสดงให้เห็นถึงการเป็นผู้นำ....... ต่อระบบการบริหารความมั่นคงปลอดภัยสารสนเทศ
ความเป็นผู้นำเป็นข้อกำหนดใหม่ที่มาตรฐานกำหนดให้ผู้บริหารระดับสูงต้องปฏิบัติ
การแสดงข้อผูกพัน การมุ่งมั่น และการเข้ามามีส่วนร่วมของผู้บริหารสูงสุดอย่างเอาการเอางาน คือ หัวใจสำคัญในการพัฒนาและคงไว้ซึ่งระบบการบริหารความมั่นคงปลอดภัยสารสนเทศที่มีประสิทธิภาพและประสิทธิผลเพื่อบรรลุถึงผลประโยชน์ของผู้มีส่วนได้เสีย ทำให้องค์กรมีความยั่งยืน แข่งขันได้ และบรรลุถึง การปกป้อง ข้อมูลที่สำคัญขององค์กร ในแง่ของ Confidential (ความลับ) Integrity(ความถูกต้องครบถ้วน) Availability (ความพร้อมใช้) หรือ ที่เราเรียกติดปากกันว่า CIA เพื่อให้บรรลุถึงผลประโยชน์นี้จึงเป็นหน้าที่ของผู้บริหารระดับสูงที่ต้องใส่ใจกับระบบการบริหารความมั่นคงปลอดภัยสารสนเทศ
สิ่งที่ผู้บริหารสูงสุดควรพิจารณางานในส่วนตนเอง มีหลากหลายเช่น ทำการกำหนดวิสัยทัศน์ นโยบายและวัตถุประสงค์เชิงกลยุทธ์ ให้สอดคล้องกับจุดประสงค์ขององค์กร นำองค์กรโดยทำเป็นตัวอย่าง เพื่อสร้างความเชื่อใจกันในหมู่พนักงาน
สื่อสารทิศทางและคุณค่าขององค์กรเกี่ยวกับ การปกป้อง ข้อมูลที่สำคัญขององค์กร และระบบการบริหารความมั่นคงปลอดภัยสารสนเทศ รวมถึงการที่สนับสนุนทรัพยากรต่างๆ อย่างเหมาะสม ในแต่ละด้าน สร้างบรรยากาศที่สนับสนุนการเข้ามามีส่วนร่วมและการพัฒนาบุคลากร และ จัดให้มีโครงสร้างและทรัพยากรซึ่งจำเป็นต่อการสนับสนุนแผนกลยุทธ์ขององค์กร
มากกว่านั้น ไม่มีใครควรรับผิดชอบต่อองค์กรมากกว่าผู้บริหารระดับสูง ด้วยเหตุนี้ผู้บริหารสูงสุดควรเป็นผู้ริเริ่มใส่ใจในการกำหนด วิธีการวัดสมรรถนะขององค์กร เพื่อพิจารณาว่าวัตถุประสงค์ที่วางแผนไว้บรรลุผลสำเร็จหรือไม่
สำหรับผู้บริหาร ประเด็นที่นำมาพิจารณาเมื่อมีการพัฒนา การนำไปปฏิบัติ และการบริหารระบบการบริหารความมั่นคงปลอดภัยสารสนเทศขององค์กร ผู้บริหารสูงสุดควรแสดงออกถึงการนำ และ ข้อผูกพันต่อกิจกรรมดังต่อไปนี้
- เข้าใจความต้องการและความคาดหวังของผู้มีส่วนเกี่ยวข้องทั้งในปัจจุบันและอนาคต นอกเหนือจากข้อกำหนดและกฏหมายต่างๆ
- ส่งเสริมนโยบายและวัตถุประสงค์เพื่อเพิ่มความตระหนัก แรงจูงใจ และการเข้ามามีส่วนร่วมของบุคลากรในองค์กร
- กำหนดเป้าหมายการปรับปรุงกระบวนการต่าง ๆ ขององค์กรอย่างต่อเนื่อง
- กำหนด และสื่อสารกรอบงานเกี่ยวกับการบรรลุถึงความต้องการของผู้มีส่วนได้เสีย
กิตติพงษ์ เกียรตินิยมรุ่ง– สถาบันมาตรฐานอังกฤษ
