IT Risk Assessment and Management Service สารสนเทศเป็นทรัพยากรที่มีคุณค่าสูงสุดขององค์กร การบริหารจัดการสารสนเทศจึงมีความจำเป็นโดยพื้นฐานเพื่อสร้างความมั่นคง ปลอดภัยและความต่อเนื่องในการดำเนินงาน ก่อให้เกิดข้อได้เปรียบทางด้านการแข่งขัน สร้างความเชื่อมั่นต่อหน่วยงานภายนอกที่เกี่ยวข้อง รวมทั้งรักษาภาพพจน์และชื่อเสียงที่ดีขององค์กร
โดยทั่วไปองค์กรมีความจำเป็นที่จะต้องสร้างความมั่นคงปลอดภัยให้กับสารสนเทศขององค์กรทั้งในแง่ของความลับ ความถูกต้อง และความพร้อมใช้งานของสารสนเทศ ดังนั้นองค์กรจึงมีความจำเป็นต้องประเมินความเสี่ยงที่อาจเกิดขึ้นต่อสารสนเทศที่ใช้งาน และกำหนดแนวทางในการบริหารจัดการความเสี่ยงเหล่านั้นเพื่อให้องค์กรสามารถดำเนินงานต่อไปได้อย่างต่อเนื่องและมีประสิทธิภาพ การประเมินความเสี่ยง คือการศึกษา วิเคราะห์ และประเมินว่าทรัพย์สินสารสนเทศขององค์กรมีความเสี่ยงต่อการเกิดความเสียหายมากน้อยเพียงใด โดยพิจารณาจากระดับความสำคัญของทรัพย์สิน ภัยคุกคามที่อาจเกิดขึ้นต่อทรัพย์สิน และจุดอ่อนของทรัพย์สินเหล่านั้น ซึ่งผลลัพธ์จากการประเมินจะทำให้ทราบระดับความเสี่ยงต่อทรัพย์สินแต่ละอย่างทั้งที่ที่ยอมรับได้และยอมรับไม่ได้โดยจะต้องผ่านการอนุมัติจากผู้บริหารขององค์กร จากนั้นก็สามารถบริหารจัดการกับความเสี่ยงโดยกำหนดมาตรการอันเหมาะสมในการแก้ไขจุดอ่อน และป้องกันภัยคุกคามโดยอ้างอิงตามมาตรฐานความปลอดภัยสากล ISO17799 / BS7799

บริการนี้ประกอบด้วยการแนะนำวิธีการและการทำสัมมนาเชิงปฏิบัติการเพื่อให้ตัวแทนขององค์กรได้ฝึกปฏิบัติและเรียนรู้วิธีการบริหารจัดการความเสี่ยงที่มีต่อสารสนเทศโดยอาศัยเทคนิคการบริหารจัดการความเสี่ยงอ้างอิงตามข้อกำหนดในมาตรฐาน ISO17799 / BS7799 รวมทั้งสามารถวางแผนเพื่อบริหารความเสี่ยงที่มีต่อสารสนเทศขององค์กรต่อไปโดยผู้ให้บริการเป็นผู้เชี่ยวชาญจากทีมงาน ThaiCERT ที่ได้รับประกาศนียบัตรการผ่านการฝึกอบรมหลักสูตร Information Security Management System (ISMS) Auditor/Lead Auditor ซึ่งอ้างอิงมาตรฐานความปลอดภัยสากล ISO17799 / BS7799

Security Auditing Service การรักษาความมั่นคงปลอดภัยของระบบเครือข่ายทั้งที่ใช้งานภายในองค์กรและให้บริการแก่ลูกค้าหรือผู้ใช้บริการมีความจำเป็นและสำคัญต่อองค์กร ดังนั้นองค์กรจึงควรจัดหาหน่วยงานที่มีความเชี่ยวชาญและมีประสบการณ์สูงทางด้านการรักษาความปลอดภัยเครือข่ายคอมพิวเตอร์ เพื่อทำการศึกษาและวิเคราะห์ระบบความปลอดภัยของระบบเครือข่ายที่เกี่ยวข้องทั้งหมดขององค์กร ประเมินระดับความปลอดภัย ค้นหาจุดอ่อนที่สำคัญ พร้อมทั้งเสนอแนะมาตรการในการแก้ไขปัญหาที่พบตามความเหมาะสม บริการนี้ประกอบด้วย 3 ส่วน ได้แก่

1. Penetration Test ระบบของท่านเคยโดน Hack หรือไม่? ท่านมั่นใจได้แค่ไหนว่าระบบของท่านจะป้องกัน Hacker ได้ 100 เปอร์เซ็นต์ ? บริการนี้เป็นการให้บริการทดสอบบุกรุกระบบเพื่อตรวจสอบว่าระบบมีจุดอ่อนหรือช่องโหว่ทางด้านใดบ้าง เป็นการจำลองสถานการณ์หากมีการถูกเจาะระบบโดยแฮกเกอร์ฝีมือชั้นเยี่ยม การให้บริการทดสอบการบุกรุกระบบนี้จะดำเนินการจากภายนอกหรือภายในระบบเครือข่ายขององค์กร การทดสอบจากทั้งสองแบบนั้น ผู้เชี่ยวชาญจะทราบข้อมูลเพียงเบื้องต้นเกี่ยวกับระบบขององค์กรเท่านั้น ซึ่งจะเสมือนเป็นการบุกรุกจาก Hacker ตัวจริง ทั้งนี้เมื่อการทดสอบการบุกรุกระบบเสร็จสิ้นลง ผู้เชี่ยวชาญจะระบุจุดอ่อนของระบบที่พบและนำเสนอวิธีการแก้ไขเป็นการเฉพาะสำหรับระบบนั้นๆ

2. Vulnerability Scanning องค์กรส่วนใหญ่ไม่สามารถทราบได้ว่าระบบเครือข่าย คอมพิวเตอร์ หรือเซิร์ฟเวอร์ในองค์กรมีช่องโหว่ที่เป็นช่องทางให้แฮกเกอร์ หรือผู้บุกรุกเข้ามาจู่โจมระบบได้หรือไม่ การเฝ้าระวัง และตรวจสอบค้นหาช่องโหว่อย่างสม่ำเสมอถือเป็นวิธีการที่สำคัญเพื่อขจัดปัญหาดังกล่าวข้างต้น เพราะผู้ดูแลระบบสามารถแก้ไขและซ่อมแซมช่องโหว่ได้ทันก่อนจะเกิดการบุกรุกจากแฮกเกอร์ ทีมงาน ThaiCERT มีบริการผ่านเว็บ (Web Service) นั่นคือบริการ ThaiCERT Web-Based Vulnerability Scanner (https://webscan.thaicert.nectec.or.th/) ซึ่งมอบความสมบูรณ์แบบและลักษณะการใช้งานที่สะดวกแก่องค์กรในการค้นหาและทดสอบช่องโหว่ของเครื่องเซิร์ฟเวอร์ และระบบเครือข่าย ผลการตรวจสอบจะอยู่ในรูปแบบของรายงาน พร้อมคำแนะนำจากผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยของทีมงาน ThaiCERT ซึ่งสามารถนำไปประยุกต์ใช้ หรือแก้ไขได้ตรงจุดของช่องโหว่ได้ทันที

3. Information Security Assessment (ISA) ทีมงาน ThaiCERT ซึ่งประกอบด้วยผู้เชี่ยวชาญที่ได้รับประกาศนียบัตรการผ่านการฝึกอบรมหลักสูตร Information Security Management System (ISMS) Auditor/Lead Auditor ซึ่งอ้างอิงมาตรฐานความปลอดภัยสากล ISO17799 / BS7799 ทีมงานจะดำเนินการศึกษา วิเคราะห์ และเสนอแนวทางในการปรับปรุงระดับความมั่นคงปลอดภัยของระบบเครือข่ายขององค์กรเพื่อเพิ่มประสิทธิภาพและประสิทธิผลในการดำเนินงานหรือปฏิบัติหน้าที่ของพนักงานภายในองค์กร รักษาทรัพย์สินสารสนเทศขององค์กรให้ปลอดภัยจากภัยคุกคามที่อาจเกิดขึ้น ระบบสามารถให้บริการทั้งภายในและภายนอกอย่างต่อเนื่องหรือมีการหยุดชะงักของระบบน้อยที่สุด และสร้างความเชื่อมั่นต่อลูกค้าหรือผู้ใช้บริการซึ่งใช้ระบบเครือข่ายขององค์กร

บริการวางแผนสร้างความปลอดภัยให้แก่สารสนเทศขององค์กร (IT Security Plan Development Service)

องค์กรที่ใช้ระบบสารสนเทศในการดำเนินงานหลายองค์กรประสบปัญหาภัยคุกคามและเกิดผลกระทบต่อองค์กรทั้งในแง่ของการสูญเสียชื่อเสียงและทรัพย์สินอันมีค่า ทั้งนี้เนื่องมาจากองค์กรไม่ได้ตระหนักถึงความสำคัญของการรักษาความปลอดภัยของสารสนเทศรวมถึงไม่มีการวางแผนที่ดีในการป้องกันและรักษาทรัพย์สินสารสนเทศขององค์กรให้มีความปลอดภัยและสามารถใช้งานได้อย่างมีประสิทธิภาพเพื่อให้องค์กรดำเนินงานได้อย่างต่อเนื่องและมีประสิทธิภาพ ดังนั้นทีมงาน ThaiCERT จึงได้มีบริการนี้ขึ้น โดยทีมงานจะศึกษา และวิเคราะห์สถานภาพของระบบสารสนเทศปัจจุบันขององค์กรและเสนอแนะแผนการสร้างความปลอดภัยให้กับสารสนเทศขององค์กร เพื่อให้องค์กรนำแนวทางดังกล่าวไปใช้ปกป้องทรัพย์สินสารสนเทศขององค์กรให้ปลอดภัยและสามารถใช้งานได้อย่างมีประสิทธิภาพมากขึ้น

: http://www.nectec.or.th/index.php?option=com_content&task=view&id=231&Itemid=139

Wiless Security Service

ระบบเครือข่ายแบบไร้สาย (WLAN) ในปัจจุบัน ได้รับความนิยมมากขึ้นจากผู้ใช้งานที่อยู่ใน องค์กร, offices, บ้าน หรือตามจุดให้บริการอินเทอร์เน็ตสาธารณะ (Hot Spot) เนื่องจากให้ความสะดวกสบายในการเชื่อมต่อโดยไม่ต้องอยู่ตามตำแหน่งตามจุด ที่ให้บริการการเชื่อมต่อระบบตามแบบเดิมที่เป็นระบบเครือข่ายแบบมีสาย (LAN) แต่เพราะความสะดวยสบายในการใช้งานทำให้ผู้ใช้งานระบบเครือข่ายแบบไร้สาย ส่วนใหญ่ละเลยหรือไม่ได้ตระหนักในเรื่องของความปลอดภัยในการใช้งาน ด้วยเหตุนี้เองทางศูนย์ประสานงานการรักษาความปลอดภัยคอมพิวเตอร์ ประเทศไทย (ThaiCERT) ภายใต้ศูนย์เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติ (NECTEC) จึงได้ศึกษาและพัฒนาความเชี่ยวชาญในการออกแบบ ติดตั้งและดูแลระบบเครือข่ายแบบไร้สายให้ทั้งมีความสะดวก คุณภาพ ประสิทธิภาพและความปลอดภัยที่เหมาะสมกับความต้องการตามลักษณะการใช้งานของผู้ใช้ ทั้งนี้ยังได้วิจัยและพัฒนาในส่วนประกอบต่างๆ สำหรับระบบเครือข่ายแบบไร้สายที่มีความปลอดภัยสูงและใช้งานสะดวก (โดยวิจัยพัฒนาต่อยอดจากแหล่งซอฟต์แวร์ Open Source) รวมถึงการร่างนโยบายความปลอดภัยด้านการใช้งานระบบเครือข่ายแบบไร้สายในองค์กร โดยบุคลากรที่มีประสบการณ์ ความรู้ ความสามารถ และผู้เชี่ยวชาญด้านระบบเครือข่ายแบบไร้สาย ที่ได้รับประกาศนียบัตร Certified Wireless Network Administrator (CWNA) จากประเทศสหรัฐอเมริกา ThaiCERT ให้บริการด้านตรวจสอบ ให้คำแนะนำ ออกแบบและติดตั้งระบบเครือข่ายแบบไร้สาย ให้มีระดับความปลอดภัยที่ตอบสนองความต้องการของผู้ใช้งาน โดยมีบริการดังต่อไปนี้
Design & Implementation Service
- RF Site Survey ตรวจสอบพื้นที่ให้สัญญาณครอบคลุม เพื่อจัดวางตำแหน่งติดตั้งที่เหมาะสมของอุปกรณ์ Access Point

- ออกแบบและกำหนดแผนผังโครงสร้างระบบเครือข่ายแบบไร้สาย
- เลือกเทคโนโลยีของระบบเครือข่ายแบบไร้สายทั้งในส่วนของ Hardware และ Software ให้เหมาะสมต่อการใช้งานและมีความปลอดภัย
- ออกแบบและกำหนดแผนผังตำแหน่งที่ติดตั้ง Access Point
- ติดตั้งและทดสอบระบบเครือข่ายแบบไร้สายให้สอดคล้องและเป็นไปตามที่ได้กำหนดไว้
- จัดทำนโยบายด้านความปลอดภัยในการใช้งานและคู่มือการดูแลระบบเครือข่ายแบบไร้สาย
- ฝึกอบรมการใช้งานเบื้องต้นสำหรับผู้ดูแลระบบเครือข่ายแบบไร้สาย

บริการติดตั้งระบบเครื่อข่ายไร้สายสำหรับงานประชุม

ในงานประชุมที่มีความประสงค์จะเปิดให้บริการเครือข่ายไร้สายสำหรับผู้เข้าร่วมประชุม ThaiCERT ให้บริการครบวงจร ทั้งการออกแบบ วางระบบเครือข่ายไร้สายที่เหมาะสมกับสถานที่ และลักษณะงานประชุม รวมถึงระบบรักษาความปลอดภัย โดยทีมงานที่มีประสบการณ์ทั้งจากงานประชุมในประเทศและงานประชุมนานาชาติ

Wi-Fi Security Solutions

1. Wi-Fi Authentication Gateway การเชื่อมต่อนี้ ผู้ใช้จะสามารถเข้าใช้ระบบเครือข่ายแบบ ไร้สายได้ก็ต่อเมื่อได้ทำการพิสูจน์ตัวตน (Login) ผ่าน ทางหน้า web browser ซึ่งมีความสะดวกสบายในการใช้งาน แต่การส่งข้อมูลระหว่าง client กับ อินเทอเนต จะไม่มีการเข้ารหัสของข้อมูล จีงมีระดับความปลอดภัยที่ต่ำ การเชื่อมต่อรู้แบบนี้เป็นที่นิยมสำหรับการใช้งานใน รูปแบบ Wi-Fi Hot Spot โดยทั่วไป


2. Wi-Fi VPN การเชื่อมต่อนี้ client จะทำการพิสูจน์ตัวตนและสร้างเครือข่ายส่วนบุคคลกับ VPN server การส่งข้อมูลระหว่าง VPN client กับ VPN server จะมีการเข้ารหัส ซึ่งการเข้ารหัสนี้จะครอบคลุมถึงส่วนของ wireless link ด้วย เทคโนโลยี VPN ที่ใช้คือ PPTP VPN ซึ่งผู้ใช้สามารถติดตั้ง PPTP client ที่มาพร้อมกับระบบปฎิบัติการ Windows อยู่แล้วได้อย่างสะดวกสบาย ระบบนี้ช่วยเพิ่มความปลอดภัยให้กับเครือข่ายไร้สาย

3. Wi-Fi WPA & IEEE 802.11i การเชื่อมต่อนี้เป็นการนำมาตรฐานความปลอดภัยแบบใหม่ล่าสุดของ IEEE 802.11i หรือ WPA ซึ่งทาง haiCERT ได้พัฒนาระบบ Backend solution เพื่อมารองรับและใช้งานร่วมกับ WPA ได้อย่างเหมาะสม การพิสูจน์ตัวตนที่มีความยืดหยุ่น ผู้ใช้สามารถเลือกใช้งานได้หลายรูปแบบเช่น EAP-TLS หรือ PEAP การเชื่อม ต่อรูปแบบนี้เหมาะกับผู้ใช้หรือองค์กรที่ต้องการเครื่อข่าย ไร้สายที่มีความปลอดภัยสูง


4. WLAN Manager
เป็น software ที่ ThaiCERT ได้พัฒนาขึ้นเพื่อมาควบคุม และบริการจัดการ ระบบทั้งสามที่กล่าวมาข้างต้น ผู้ควบคุมระบบสามารถเรียกใช้งาน WLAN Manager ได้อย่างสะดวกสบายผ่านทาง Web User Interface Features ของ WLAN Manager เช่น การจัดการฐานข้อมูล ผู้ใช้งาน การควบคุมตั้งค่าระบบ backend นอกจากนี้ ผู้ใช้สามารถแก้ไขข้อมูลส่วนบุคคล ผ่านทาง WLAN Manager โดยตรงได้อีกด้วย
: http://www.nectec.or.th/index.php?option=com_content&task=view&id=232&Itemid=139

CIO นำธงความสำเร็จสู่องค์กร

ผลวิจัยชี้ CIO มีบทบาทต่อความสำเร็จขององค์กรสูง นอกจากภารกิจด้านการพัฒนาควบคุมและดูแลระบบสารสนเทศในองค์กรแล้ว ยังมีบทบาทด้านการวางแผนยุทธศาสตร์ด้วย
จากการจัดทำวิจัยเพื่อศึกษาถึง “บทบาทของผู้บริหารระดับสูงด้านเทคโนโลยีสารสนเทศที่มีผลต่อความสำเร็จขององค์กร” ซึ่งจัดทำโดย eENTERPRISE ร่วมกับศิลปศาสตรมหาบัณฑิต สาขาผู้นำสังคม ธุรกิจ และการเมือง (ระบบการศึกษาทางไกลทางอินเทอร์เน็ต) วิทยาลัยนวัตกรรมสังคม มหาวิทยาลัยรังสิต เมื่อช่วงเดือนกันยายนที่ผ่านมา พบว่าผู้บริหารระดับสูงด้านเทคโนโลยีสารสนเทศในองค์กร (ซีไอโอ) มีบทบาทในระดับมากในองค์กร ซึ่งนอกจากบทบาทในหน้าที่แล้วยังมีบทบาทในด้านการวางแผนยุทธ์ศาสตร์ในองค์กรอีกด้วย
โดยการทำวิจัยในครั้งนี้ใช้การวิเคราะห์จากการตอบแบบสอบถามของบรรดาซีไอโอที่อยู่ภายใต้สภาอุตสาหกรรมแห่งประเทศไทย และ International Academy of CIO สถาบันผู้บริหารระดับสูงด้านเทคโนโลยีสารสนเทศของภาครัฐ ในเขตกรุงเทพมหานครฯ และปริมณฑล จำนวน 364 คน ซึ่งได้ข้อสรุปเป็นค่าเฉลี่ยดังจะได้กล่าวต่อจากนี้
จากการสำรวจพบว่าเพศชาย คิดเป็นร้อยละ 84.3 มีอายุระหว่าง 31-40 ปี คิดเป็นร้อยละ 43.7 รองลงมามีอายุมากกว่า 50 ปีขึ้นไป โดยมีรายได้เฉลี่ยต่อเดือน มากกว่า 40,000 บาท คิดเป็นร้อยละ 90.9 มีอายุงานปัจจุบัน 15 ปี คิดเป็นร้อยละ 50.0 ส่วนใหญ่มีการศึกษาในระดับปริญญาโท คิดเป็นร้อยละ 64.0 และมีประสบการณ์ทำงานมากกว่า 15 ปี คิดเป็นร้อยละ 53.6 ตามตารางประกอบ 1 (ข้อมูลผู้ตอบแบบสอบถาม)

CIO บทบาทที่มากกว่าหน้าที่หลัก

โดยการสำรวจความคิดเห็นเกี่ยวกับบทบาทของซีไอโอต่อความสำเร็จขององค์กรนั้นพบว่า หน้าที่หลักมีผลต่อความสำเร็จต่อองค์กรอยู่ในระดับมากตามลำดับ ดังนี้ ด้านการควบคุมดูแลระบบงาน ด้านการพัฒนาระบบงาน ด้านการตระหนักถึงลูกค้าและการให้บริการ ส่วนบทบาทต่อการวางแผนยุทธศาสตร์ขององค์กรซึ่งไม่ได้เป็นหน้าที่โดยตรงแต่มีผลต่อความสำเร็จขององค์กรเป็นลำดับที่สี่ ขณะที่ด้านการพัฒนาบุคลากรนั้นมีนัยสำคัญอยู่แต่องค์กรไม่ได้ให้ความสำคัญเรื่องนี้มากนัก โดยสรุปคือองค์กรจึงควรพัฒนาบทบาทของซีไอโอเพื่อให้องค์กรมีความสำเร็จมากขึ้น


แต่อย่างไรก็ตามการสำรวจในครั้งนี้ประเด็นที่น่าสังเกตุ คือเมื่อเปรียบเทียบบทบาทกับเพศ ปรากฎว่า เพศมีผลต่อความสำเร็จในองค์กรด้านการวางแผนยุทธศาสตร์ แต่ไม่มีผลต่อด้านอื่นๆ ได้แก่ด้านการควบคุมดูแลระบบงาน ด้านการพัฒนาระบบงาน ด้านการตระหนักถึงลูกค้าและการให้บริการ และด้านการพัฒนาบุคลากร ดังนั้นอธิบายได้ว่า ในสังคมไทยเพศหญิงยังไม่เป็นที่ยอมรับอย่างชัดเจน โดยเฉพาะเรื่องที่สำคัญ โดยจะเห็นได้ว่าเพศมีผลเฉพาะด้านการวางแผนยุทธศาสตร์ซึ่งเป็นหัวใจของการดำเนินธุรกิจขององค์กร


โดยผลสำรวจดังกล่าวเป็นไปในทิศทางเดียวกันกับการสำรวจบทบาทของซีไอโอในระดับอาเซียน ซึ่งพบว่า 94% ของประธานเจ้าหน้าที่ฝ่ายสารสนเทศ (ซีไอโอ) ในอาเซียนระบุว่า บทบาทของซีไอโอในอาเซียนมีความสำคัญเพิ่มมากขึ้นในภาคธุรกิจ โดยหากวัดความเป็นผู้นำขององค์กรจากความสามารถของบุคลากรและทักษะความเป็นผู้นำแล้ว พบว่า ยังคงตามหลังการจัดการและทักษะทางเทคโนโลยีของประเทศต่างๆ ในอาเซียน
นอกจากนี้ผลสำรวจซีไอโอในอาเซียนนั้ง ซีไอโอยังตระหนักถึงความสำคัญในการพัฒนาบทบาทของตนเองจากผู้นำทางด้านไอที ไปสู่บทบาทผู้นำทางด้านธุรกิจ ซึ่งมีความชำนาญในการบริหารจัดการ การกำหนดกลยุทธ์ และการปกครองผู้ใต้บังคับบัญชา(อ่านข้อมูลผลการสำรวจเพิ่มเติมใน โพลล์อาเซียนชี้ CIO สำคัญต่อภาคธุรกิจ)


จากผลการสำรวจบทบาทของซีไอโอต่อความสำเร็จขององค์กรของ eENTERPRISE และวิทยาลัยนวัตกรรมสังคม มหาวิทยาลัยรังสิต ในครั้งนี้ ยังได้รับความเห็นจากข้อเสนอแนะต่างๆ ที่กล่าวถึงบทบาทของซีไอโอที่มีผลต่อความสำเร็จขององค์กรจากผู้ตอบแบบสอบถามอีกด้วย โดยข้อมูลระบุว่า “ซีไอโอต้องรู้เรื่องธุรกิจมากขึ้นไม่ได้เน้นเรื่องเทคนิคด้านเดียว” ขณะที่ข้อเสนอแนะของซีไอโอผู้ตอบแบบสอบถามอีกท่านกล่าวว่า “ซีไอโอเป็นหน้าที่ที่ยากมาก ต้องอยู่เบื้องหลังความสำเร็จ ต้องรู้จักธุรกิจ และทิศทางธุรกิจ” (อ่านข้อมูลเพิ่มเติมใน ข้อชี้แนะ CIO ต้องรู้เรื่องธุรกิจ )


นอกจากนี้ในแบบสอบถามยังได้ผลในรายละเอียดเกี่ยวกับขีดความสามารถขององค์กรต่อระดับความคิดเห็นกับผลสัมฤทธิ์ ซึ่งในแบบสอบถามให้ซีไอโอแสดงความคิดเห็นใน 5 ระดับคือ 1-5 โดย 1 = ระดับน้อยที่สุด, 2 = ระดับน้อย, 3 = ระดับปานกลาง, 4 = ระดับมาก และ 5 = ระดับมากที่สุด ซึ่งผลที่ออกมาว่า การมุ่งเน้นการบริหารจัดการด้านการพัฒนาระบบไอทีให้ประหยัดพลังงานนั้นอยู่ในระดับปานกลาง แสดงความองค์กรยังไม่ได้ให้ความสำคัญด้านนี้มากนัก
เช่นเดียวกับในประเด็นการจัดการงบประมาณในด้านการวางแผนต้นทุนการใช้งานนอกระบบ (outsourcing) ยังอยู่ในระดับปานกลาง แปลว่าองค์กรไม่ได้ให้ความสำคัญด้านดังกล่าวเท่านั้น (โปรดดูรายละเอียดในตารางประกอบ 2 ข้อมูลระดับแปลผลของผู้ตอบแบบสอบถามเกี่ยวกับขีดความสามารถขององค์กร)


จากตาราง ข้อมูลระดับแปลผลของผู้ตอบแบบสอบถามเกี่ยวกับบทบาทซีไอโอในองค์กร (ดูตารางประกอบ 3) มีนัยสำคัญด้านการพัฒนาบุคลากร ซึ่งหากองค์กรให้ความสำคัญต่อการส่งเสริมให้บุคลากรสอบใบรับรองสารสนเทศด้านต่างๆ ที่สนับสนุนความเชี่ยวชาญในระบบมากขึ้น และหากมีการกำหนดเส้นทางการเติบโตในสายงานอาชีพด้วย จะช่วยยกระดับบุคลากรในสายงานไอทีนั่นเอง


ข้อชี้แนะ CIO ต้องรู้เรื่องธุรกิจ
จากข้อเสนอแนะในตอนท้ายของแบบสอบถามของการสำรวจบทบาทซีไอโอพบความคิดเห็นที่เสนอแนะในหลายด้าน ซึ่งมีส่วนที่สอดคล้องกับบทบาทซีไอโอต่อความสำเร็จขององค์กร คือซีไอโอควรมีความรู้ด้านธุรกิจควบคู่ไปกับหน้าที่หลักจะยิ่งทำให้องค์กรประสบความสำเร็จมากขึ้น ทั้งนี้ได้นำแนวคิดจากซีไอโอผู้ตอบแบบสอบถามแต่ละท่านมาถ่ายทอดดังนี้
ซีไอโอต้องรู้เรื่องธุรกิจมากขึ้นไม่ได้เน้นเรื่องเทคนิคด้านเดียว รวมถึงให้ความรู้และพัฒนาคน จัดระเบียบคนทั้งด้านการใช้งาน ผลกระทบและความสามารถ สำหรับองค์กรเป็นเรื่องสำคัญที่ต้องมีหลักคิดที่ดี มี framework ที่ดี รู้ว่าอะไรควรกำหนดในระดับนโยบาย ระดับปฏิบัติ บางเรื่องต้องมีเทคโนโลยีมาช่วยในการปฏิบัติงานมีขั้นตอนในการตรวจสอบที่ทำให้มั่นใจว่าทุกคนสามารถปฏิบัติตามได้อย่างสม่ำเสมอ หากปรุงแต่งส่วนผสมให้เหมาะสมจึงจะเป็นปัจจัยแห่งความสำเร็จขององค์กร รวมถึงการเรียนรู้อย่างต่อเนื่อง แลกเปลี่ยนและต่อยอด เพื่อลดต้นทุนและรับประกันความสำเร็จในการขับเคลื่อน
การสร้างความสำคัญให้องค์กรเห็นประโยชน์การใช้ไอทีอย่างต่อเนื่อง เพื่อพัฒนาองค์กรไปสู่การใช้งานระบบออนไลน์อย่างเต็มรูปแบบ
ซีไอโอเป็นหน้าที่ที่ยากมาก ต้องอยู่เบื้องหลังความสำเร็จ ต้องรู้จักธุรกิจ และทิศทางธุรกิจ ตลอดจนถึง chain ที่เกี่ยวเชื่อมโยง ต้องทำหน้าที่ change agent ไปพร้อมๆ กับ ต้องเก่ง communicate ; collaborate ; consolidate ; connected คน กระบวนการ และ เทคโนโลยี ให้สอดคล้องซึ่งกันและกัน โดยต้องมีวิวัฒนาการเปลี่ยนแปลง ปรับปรุง อยู่เสมอ ( continuous change & improvement ) โดยต้องสร้างและพัฒนาทายาท อย่างต่อเนื่อง ให้สู้คู่แข่ง ประเทศใกล้เคียงให้ได้
ควรเน้นแนวทางในการดำเนินงาน ด้านนวัตกรรมและร่วมมือกับหน่วยงานภายนอก เพื่อให้เกิดผลกระทบต่อเศรษฐกิจ และสังคมอย่างเท่าเทียบกัน
ควรสร้างมาตรฐานในองค์กรให้สอดคล้องกับนโยบายและขั้นตอนการดำเนินงานด้านไอที
ต้องติดตามและเอาใจใส่ต่อระบบงานสารสนเทศที่ใช้งานอยู่โดยตลอด เพื่อให้เกิดการดูแลรักษาระบบโดยทีมงานอย่างเต็มที่ เพื่อให้เกิดความพึงพอใจแก่ผู้ใช้บริการ มีการติดตามวิทยาการใหม่ๆ และให้โอกาสทีมงานได้ทดสอบวิทยาการเหล่านั้น ก่อนจะพิจารณานํามาใช้จริง
ซีไอโอต้องกําหนดนโยบายการประยุกต์ใช้ระบบสารสนเทศ ให้กับหน่วยงานภายในองค์กรอย่างทั่วถึง ศึกษากฎระเบียบของภาครัฐที่เกี่ยวกับการประยุกต์ใช้เทคโนโลยีสารสนเทศทั้งที่มีผลบังคับใช้แล้วและที่หลังจะประกาศตามมา เพื่อนํามาปรับปรุงระบบสารสนเทศที่ดูแลอยู่ ให้มีความสามารถสอดคล้องกับกฎระเบียบต่างๆ เพื่อไม่ให้เกิดการปฏิบัติผิดกฎหมายขึ้นในองค์กร
โดยผลสำรวจชี้ให้เห็นถึงแนวคิดของซีไอโอในยุคปัจจุบันที่แตกต่างจากอดีตที่ผ่านมา ซึ่งพบว่าความเปลี่ยนแปลงในบทบาทของซีไอโอที่มากขึ้นและสำคัญขึ้นนั้น ไม่ต่างไปจากการที่องค์กรจะต้องปรับเปลี่ยนแนวคิดด้านการพัฒนาระบบไอที จากที่ในอดีตมองว่าเป็นต้นทุน แต่ในยุคนี้ต้องมองเป็นการลงทุนเพื่อพัฒนาองค์กร ทั้งนี้เนื่องจากไอทีเป็นเครื่องมือสำคัญในการดำเนินธุรกิจไปแล้ว
โพลล์อาเซียนชี้ CIO สำคัญต่อภาคธุรกิจ
การสำรวจความคิดเห็นของซีไอโอในระดับอาเซี่ยนที่กล่าวข้างต้น เกิดขึ้นจากความร่วมมือระหว่างสถาบันอินซีแอด (INSEAD) และไอบีเอ็มเมื่อช่วงเดือนมกราคม-พฤษภาคมที่ผ่านมา โดยได้ทำการในการสำรวจความเป็นผู้นำของซีไอโอในอาเซียนในประเทศสมาชิกอาเซียน 6 ประเทศ ได้แก่ อินโดนีเซีย มาเลเซีย ฟิลิปปินส์ สิงคโปร์ ไทย และเวียดนาม ระบุว่า บทบาทของซีไอโอในอาเซียนมีความสำคัญเพิ่มมากขึ้นในภาคธุรกิจ
โดยด้านการจัดการความสามารถของบุคลากร ซีไอโอมองว่าบุคลากรที่มีความรู้ความสามารถเป็นปัจจัยหลักในการเสริมสร้างองค์กร ทั้งนี้ซีไอโอในอาเซียนเชื่อว่านอกเหนือจากการบริหารจัดการและดูแลพนักงานฝ่ายไอทีโดยรวมแล้ว ตนเองยังมีบทบาทในการระบุและบ่มเพาะความสามารถของบุคลากรอีกด้วย 80.4% ของผู้ตอบแบบสำรวจเห็นด้วยว่าการระบุและการพัฒนาบุคลากรฝ่ายไอทีถือเป็นส่วนสำคัญในการปฏิบัติงานในฐานะซีไอโอ
ส่วนด้านการจัดการความเปลี่ยนแปลงและลูกค้า ซีไอโอตระหนักว่าควรมีการจัดการการเปลี่ยนแปลงในฝ่ายไอทีภายในกรอบโครงสร้างที่เหมาะสมสำหรับการบริหารองค์กรและงานไอทีอย่างโปร่งใส นอกจากนี้ ผู้บริหารระดับซีไอโอในอาเซียนยังชี้ว่า การปรับปรุงประสบการณ์และความพึงพอใจของลูกค้าทั้งภายในและภายนอกองค์กรถือเป็นหนึ่งในงานสำคัญที่สุดของซีไอโอ นอกเหนือจากการพัฒนาโครงสร้างพื้นฐานไอทีที่มีเสถียรภาพและประหยัดค่าใช้จ่าย
ด้านการจัดการความหลากหลายนั้นบรรดาซีไอโอต่างยอมรับว่าไอทีเป็นเครื่องมือสำคัญ และยังต้องรับรู้ถึงความจำเป็นของระดับความเป็นผู้นำในเชิงคุณภาพ กล่าวคือ คุณสมบัติที่สำคัญอย่างยิ่งของผู้นำแบบ “e-leader” ในระบบเศรษฐกิจแห่งองค์ความรู้ (Knowledge Economy) ก็คือ ความเข้าใจที่ลึกซึ้งเกี่ยวกับผลกระทบของเครือข่ายสารสนเทศที่มีต่องค์กร สังคม และวัฒนธรรม
นอกจากนี้ซีไอโอในภูมิภาคอาเซียนยังมองว่าตนเองเป็นหนึ่งในผู้บริหารระดับสูงที่มีความสำคัญถึง 88.5% ขณะที่ความเข้าใจในระบบงานธุรกิจถือเป็นเรื่องดี ปัจจุบันซีไอโอจำเป็นที่จะต้องเข้าใจกระบวนการทางธุรกิจ ทั้งยังต้องสามารถกำหนดมาตรฐานและลดความยุ่งยากซับซ้อนในระบบงานดังกล่าว
ทั้งนี้ 76.7% ของผู้ตอบแบบสำรวจในระดับอาเซี่ยนระบุว่า ประสบการณ์ทางด้านการดำเนินธุรกิจถือเป็นเกณฑ์สำคัญในการรับสมัครซีไอโอในปัจจุบัน นอกจากนั้น 81.2% ยังชี้ว่า ความพร้อมทางด้านทรัพยากรถือเป็นจุดแข็งประการหนึ่งในแนวทางการพัฒนาความเป็นผู้นำ
ขณะที่ด้านความตระหนักรู้ (Awareness) โดยทั่วไปแล้ว ซีไอโอในอาเซียนตระหนักถึงความสำคัญในการพัฒนาบทบาทของตนเองจากผู้นำทางด้านไอที ไปสู่บทบาทผู้นำทางด้านธุรกิจ ซึ่งมีความชำนาญในการบริหารจัดการ การกำหนดกลยุทธ์ และการปกครองผู้ใต้บังคับบัญชา แต่กระนั้น บรรดาผู้บริหารคนอื่นๆ รวมถึงคู่ค้าและลูกค้าของบริษัท มักจะละเลยความสำคัญดังกล่าว รวมทั้งประเด็นเรื่องประโยชน์ที่จะได้รับจากการพัฒนาบทบาทนี้ เช่น การเพิ่มขีดความสามารถในการแข่งขัน และความสำเร็จโดยรวมขององค์กร
การที่เศรษฐกิจโลกในปัจจุบันมีวงจรการสร้างสรรค์นวัตกรรมและการผลิตที่สั้นลง ทั้งยังมีการเปลี่ยนแปลงลำดับชั้นของผู้ผลิต ผู้ขาย และผู้ซื้ออย่างต่อเนื่อง นั่นหมายความว่าองค์กรต่างๆ จำเป็นที่จะต้องตัดสินใจเรื่องที่เกี่ยวข้องภายในเวลาอันรวดเร็ว และดังนั้นจึงเพิ่มแรงกดดันให้แก่ซีไอโอมากยิ่งขึ้น การระบุโอกาสใหม่ๆ เกี่ยวกับเทคโนโลยี ตลาด รูปแบบธุรกิจ และโครงสร้างบริษัท เป็นสิ่งที่เกิดขึ้นอยู่ทุกวันในองค์กรทั่วโลกที่มีความคล่องตัวสูงและประสบความสำเร็จในการดำเนินงาน และซีไอโอก็มีบทบาทสำคัญอย่างมากในเรื่องนี้
ข้อเสนอในผลสำรวจระบุว่าวิธีหนึ่งในการพัฒนา ‘ซีไอโอที่ดี’ สำหรับภูมิภาคอาเซียนก็คือ การเสริมสร้างทักษะใหม่ๆ ให้แก่ซีไอโอ ทั้งนี้ผลการสำรวจชี้ว่า ซีไอโอในอาเซียนได้ขยายขอบเขตทักษะทางวิชาชีพและความสนใจในด้านต่างๆ ซึ่งช่วยปรับปรุงขีดความสามารถในการสื่อสารกับบุคลากรในแผนกอื่นๆ ภายในองค์กร รวมถึงคู่ค้า ลูกค้า และซัพพลายเออร์
ธันวา เลาหศิริวงศ์ กรรมการผู้จัดการใหญ่ บริษัท ไอบีเอ็ม ประเทศไทย จำกัด ได้กล่าวสรุปถึงการสำรวจความคิดเห็นในครั้งนี้ว่า หลายๆ องค์กรจำเป็นที่จะต้องเปลี่ยนแปลงทัศนคติและมุมมองในเรื่องบทบาทของไอที จากเดิมที่มองว่าไอทีเป็นแหล่งที่มาของค่าใช้จ่าย แต่ในปัจจุบัน หลายๆ ฝ่ายเริ่มตระหนักว่าไอทีคือกลจักรสำคัญในการเสริมสร้างขีดความสามารถในการแข่งขัน ทั้งยังช่วยกระตุ้นการเติบโตของธุรกิจ ไอบีเอ็มมีประวัติที่ยาวนานในเรื่องของการประสานงานร่วมกับซีไอโอจากทั่วทุกมุมโลก เพื่อปรับเปลี่ยนรูปแบบธุรกิจโดยอาศัยเทคโนโลยี และเรายังมีส่วนผลักดันบทบาทของซีไอโอให้ก้าวขึ้นสู่สถานะของผู้บริหารระดับสูงเพื่อความสำเร็จในอนาคตอีกด้วย : http://www.arip.co.th/2006/mag_list.php?g3=3&ofsy=2008&ofsm=10&id=eWEEK&g3s=3&halfmonth=0&mag_no=223&element_id=407312&mag_g=A&g3as=2&g3tmp=A

มาตรฐานสากลทางด้านความปลอดภัยระบบเทคโนโลยีสารสนเทศที่ CIO ควรรู้

มาตรฐานสากลทางด้านความปลอดภัยระบบเทคโนโลยีสารสนเทศที่ CIO ควรรู้เพื่อนำมาใช้เป็นแนวทางปฏิบัติในองค์กร และ กลยุทธ์ CIO กับการบริหารระบบความปลอดภัยเทคโนโลยีสารสนเทศในองค์กรสมัยใหม่by A.Pinya Hom-anek,GCFW, CISSP, CISA, (ISC)2 Asian Advisory BoardPresident, ACIS Professional Center E-mail: ในสถานการณ์ปัจจุบันผู้บริหารระบบเทคโนโลยีสารสนเทศระดับสูงหรือ CIO นั้น มีความจำเป็นที่จะต้องศึกษามาตรฐานสากลด้านการรักษาความมั่นคงปลอดภัยในระบบเทคโนโลยีสารสนเทศ เพื่อนำมาประยุกต์ใช้ในองค์กร เหตุผลมีหลายประการ เช่น องค์กรต้อง "Compliance" หรือ "ผ่านการตรวจสอบ" จากผู้ตรวจสอบระบบสารสนเทศ (Information System Internal / External Auditor) เพื่อให้เป็นไปตามกฎหมายของประเทศที่องค์กรนั้นตั้งสำนักงานอยู่ เช่น ในประเทศสหรัฐอเมริกา องค์กรที่จดทะเบียนในตลาดหลักทรัพย์ต้องปฎิบัติตามกฎหมาย Gramm-Leach-Bliley (GLB) กฎหมาย Health Insurance Portability and Accountability Act (HIPAA) และ ล่าสุดกฎหมาย Sarbanes-Oxley (SOX) ซึ่งทำให้อาชีพทางด้านผู้ตรวจสอบระบบสารสนเทศกำลังเป็นที่ต้องการของหลาย ๆ องค์กรโดยเฉพาะองค์กรที่ต้องเตรียมรับการตรวจสอบจากองค์กรภายนอก ขณะเดียวกัน ผู้บริหารสารสนเทศขององค์กรต้องมีการเตรียมตัวเพื่อที่จะรับการตรวจสอบจากผู้ตรวจสอบสารสนเทศภายในที่อาจมาจากต่างประเทศในกรณีที่องค์กรเป็นบริษัทข้ามชาติหรือ มาจากผู้ตรวจสอบสารสนเทศภายนอกที่มีความชำนาญและมีความเป็นกลางในการตรวจสอบ ดังนั้น ผู้บริหารระบบเทคโนโลยีสารสนเทศระดับสูงขององค์กรจึงมีความจำเป็นอย่างยิ่งยวดที่จะต้องเตรียมพร้อมและศึกษาถึงมาตรฐานสากลทางด้านการรักษาความปลอดภัยระบบสารสนเทศแล้วนำมากำหนดเป็น "กรอบแนวทางปฏิบัติ" ซึ่งมาตรฐานสากลที่นิยมใช้กันทั่วโลก ได้แก่

1. มาตรฐาน ISO/IEC17799: 2005 (Second Edition) หรือ BS7799-1 มาตรฐาน ISO/IEC17799: 2005 (Second Edition) ถูกประกาศอย่างเป็นทางการในเดือนมิถุนายน ปี 2005 ได้มีการปรับปรุงแก้ไขมาจากต้นฉบับ ISO/IEC 17799:2000 (First Edition) จากปี 2000 ในประเทศไทยคณะอนุกรรมการความมั่นคงภายใต้คณะกรรมการธุรกรรมทางอิเล็กโทรนิคส์ซึ่งจัดตั้งขึ้นตามพระราชบัญญัติการประกอบธุรกรรมทางอิเล็กโทรนิคส์ พ.ศ. 2546 (http://www.etcommission.go.th) ได้นำมาตรฐาน ISO/IEC17799 :2000 (First Edition) หรือ BS7799-1 มาเป็นแนวทางในการกำหนด มาตรฐานการรักษาความปลอดภัยในการประกอบธุรกรรมทางอิเล็กโทรนิคส์ของประเทศไทยจำนวน 144 ข้อ เพื่อให้เป็นแนวทางเสริมสร้างการรักษาความปลอดภัยให้กับองค์กรหรือหน่วยงานที่เกี่ยวข้องกับการประกอบธุรกรรมทางอิเล็กโทรนิคส์โดยกำหนดมาตรฐานออกเป็น 3 ระดับ คือ ระดับ 1 ควรปฏิบัติ 31 ข้อ, ระดับ 2 ควรปฏิบัติ 104 ข้อ และ ระดับ 3 ซึ่งเป็นระดับความปลอดภัยสูงสุด ควรปฏิบัติทั้งหมด 144 ข้อ การนำมาตรฐาน ISO/IEC17799 : 2005 มาปฏิบัติในองค์กร สามารถนำองค์กรไปสู่การ "Certified" โดย Certification Body ตามมาตรฐาน BS7799-2:2002 ขณะนี้องค์กรทั่วโลกกำลังให้ความสนใจเรื่องความปลอดภัยระบบเทคโนโลยีสารสนเทศ ตัวอย่างในประเทศญี่ปุ่นนั้นมีองค์กรได้รับการรับรองมาตรฐาน BS7799-2 ไปแล้วกว่าเก้าร้อยองค์กร แสดงให้เห็นถึงมาตรฐานด้านความปลอดภัยระบบเทคโนโลยีสารสนเทศที่พัฒนากว่าประเทศเพื่อนบ้าน ขณะนี้การรับรองมาตรฐาน BS7799-2: 2002 กำลังพัฒนาเปลี่ยนแปลงเป็น ISO/IEC 27001:2005 ที่คาดว่าจะประกาศอย่างเป็นทางการประมาณเดือน พฤศจิกายน คศ. 2005 ซึ่งจะสอดคล้องกับมาตรฐาน ISO/IEC17799:2005(BS7799-1) ที่ถูกประกาศบอกมาแล้วก่อนหน้านี้

2. มาตรฐาน CobiT (Control Objective for Information and Related Technology)มาตรฐาน CobiT ถูกพัฒนาขึ้นโดย ISACA (http://www.isaca.org) และ IT Governance Institute (http://www.itgi.org ) เพื่อ องค์กรที่ต้องการมุ่งสู่การเป็น "ไอทีภิบาล" หรือ "IT Governance" มาตรฐาน CobiT เป็นแนวคิดและแนวทางปฏิบัติของผู้บริหารระบบสารสนเทศ และขณะเดียวกันก็เป็นแนวทางปฏิบัติสำหรับผู้ตรวจสอบระบบสารสนเทศด้วย โครงสร้างของมาตรฐาน CobiT นั้นแบ่งออกเป็น 4 กระบวนการหลัก ซึ่งทั้ง 4 กระบวนการหลักจะประกอบด้วย High Level Control Objective ทั้งหมด 34หัวข้อ และ Detail Control Objective แบ่งแยกย่อยอีกทั้งหมด 318 หัวข้อย่อยในปัจจุบันมาตรฐาน CobiT เป็นมาตรฐานเปิดที่สามารถ Download ได้ที่ Web Site ของ ISACA ในประเทศไทย สมาคมผู้ตรวจสอบและควบคุมระบบสารสนเทศ ภาคพื้นกรุงเทพฯ มีโครงการในการแปลมาตรฐาน CobiT ออกมาเป็นภาษาไทย และ ทางสมาคม ISACA สหรัฐอเมริกากำลังจะออก CobiT Version 4 ซึ่งมีการปรับปรุงจาก COBIT Version 3.2 ปัจจุบันแนวคิดของมาตรฐาน CobiT กำลังเป็นที่นิยมในกลุ่มธุรกิจด้านการเงินและการธนาคาร ยกตัวอย่าง เช่น ธนาคารแห่งประเทศไทยและ สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ หรือ กลต. ได้ให้ความสนใจในการนำมาตรฐาน CobiT มาเป็นแนวทางในการออกข้อกำหนดและกฎข้อบังคับต่าง ๆ ที่ธนาคารพาณิชย์และบริษัทหลักทรัพย์ต่าง ๆ ควรนำมาปฏิบัติ ซึ่งขณะนี้ทางธนาคารแห่งประเทศไทย และ กลต. ได้ออกประกาศเรื่องการควบคุมการปฏิบัติงานและแนวทางปฏิบัติในการรักษาความปลอดภัยด้านเทคโนโลยีสารสนเทศและการให้บริการการเงินทางอิเล็กโทรนิคส์เพื่อเป็นแนวทางให้กับธนาคารพาณิชย์และบริษัทหลักทรัพย์ต่าง ๆ ในประเทศไทย

3. มาตรฐาน ITIL (IT Infrastructure Library)/BS15000มาตรฐาน ITIL นั้นมีต้นตอมาจากประเทศอังกฤษ ซึ่งทางรัฐบาลประเทศอังกฤษ โดย OGC (Office of Government Commerce) พัฒนาร่วมกับ BSI (British Standard Institute) มีวัตถุประสงค์ในการสร้าง Best Practice สำหรับกระบวนการบริหารงานบริการด้านสารสนเทศ (IT Service Management) มาตรฐาน ITIL กล่าวถึง "Best Practice" ในการบริหารจัดการงานให้บริการด้านระบบสารสนเทศที่ควรจะเป็นและมีประสิทธิภาพและ ประสิทธิผลชัดเจน เช่น มาตรฐานด้าน Service Support และ Service Delivery ตลอดจน การกำหนด SLA (Service Level Agreement) เป็นต้นมาตรฐาน ITIL ถูกจัดทำเป็นหนังสือหลายเล่าโดยแบ่งออกเป็น 2 ส่วนได้แก่ BS15000-1 Specfication for Service management และ BS15000-2 Code of pratice for service management ปัจจุบันแนวโน้มด้านการ "Outsource" การบริหารจัดการเทคโนโลยีสารสนเทศมีการเพิ่มขึ้นอย่างรวดเร็ว ดังนั้นมาตรฐานในการควบคุมคุณภาพของการให้บริการนั้นจึงถือเป็นเรื่องสำคัญที่องค์กรควรจะศึกษาและกำหนดเป็นมาตรฐานขั้นต่ำให้กับ Outsourcer Company ที่รับงานบริการด้านสารสนเทศไปจัดการแทนองค์กรเพื่อให้เกิดประสิทธิผลและประสิทธิภาพสูงสุดในการให้บริการ และ ส่งผลด้านความพึงพอใจของผู้ใช้คอมพิวเตอร์ (Computer Users) ทั่ว ๆ ไป และ ส่งผลต่อภาพลักษณ์ของผู้บริหารเทคโนโลยีสารสนเทศระบบสูงในทางอ้อมอีกด้วย

4. มาตรฐาน SANS TOP20 มาตรฐาน SANS TOP20 เป็น มาตรฐานในการตรวจสอบระบบสารสนเทศสำหรับระบบความปลอดภัยบนระบบปฏิบัติการ Microsoft Windows และ UNIX/Linux ที่ได้รับการยอมรับกันโดยทั่วไป มาตรฐาน SANS Top 20 มีมาตั้งแต่ปี 2000 ขณะนี้ SANS Top 20 ล่าสุดได้มีการปรับปรุงมา 4 ครั้ง และ ปรับปรุงในปี 2004 เรียกว่า SANS Top 20 2004 โดยแบ่งออกเป็นการเตือนช่องโหว่ของระบบปฏิบัติการ Windows 10 ช่องโหว่ และ การเตือนช่องโหว่ระบบปฏิบัติการ UNIX/ Linux อีก 10 ช่องโหว่ รายละเอียดดูที่ http://www.sans.org/top20 ปัจจุบัน SANS ได้ออก SANS Top 20 2005 Quarter 1 and Quarter 2 update มาเพิ่มเติมด้วย

5. มาตรฐาน ISMF 7 (Information Security Management Framework)

มาตรฐาน ISMF ทั้ง 7 ขั้นตอน เป็น มาตรฐานในการตรวจสอบและประเมินความปลอดภัยระบบสารสนเทศที่พัฒนาโดยนักวิชาการคนไทย จุดประสงค์เพื่อให้เป็นแนวทางในการปริหารจัดการระบบรักษาความปลอดภัยข้อมูลอย่างเป็นระบบและมีประสิทธิภาพให้ทันกับสถานการณ์ปัจจุบันของการโจมตีระบบโดย Hacker และ MalWare ต่างๆกลยุทธ์ CIO กับการบริหารระบบความปลอดภัยเทคโนโลยีสารสนเทศในองค์กรสมัยใหม่ตำแหน่งผู้บริหารเทคโนโลยีสารสนเทศระดับสูง หรือ CIO (Chief Information Officer) นั้นเป็นตำแหน่งสำคัญที่ทุกองค์กรทั้ง ภาครัฐ และ เอกชนต้องมีบุคลากรที่รับผิดชอบในเรื่องนี้โดยตรง โดยเฉพาะในองค์กรขนาดใหญ่ CIO ควรมีหน้าที่ในการกำหนดยุทธศาสตร์ (Strategy) ทิศทางด้านเทคโนโลยีสารสนเทศขององค์กร ตลอดจนมาตรการในการรักษาความปลอดภัยเทคโนโลยีสารสนเทศขององค์กร ในกรณีที่ยังไม่มีตำแหน่ง CSO (Chief Security Office) หรือ CISO (Chief Information Security Officer) มารับผิดชอบด้านความปลอดภัยสารสนเทศ โดยตรง CIO ก็ต้องรับผิดชอบเรื่องความปลอดภัยไปด้วยในตัว ซึ่งนับว่าเป็นภาวะความรับผิดชอบที่ค่อนข้างสูง เพราะ เรื่องความปลอดภัยเทคโนโลยีระบบสารสนเทศนั้นมีการเปลี่ยนแปลงอยู่เสมอ CIO ต้องคอยติดตามความเคลื่อนไหวและปรับปรุงความรู้ความสามารถให้สอดคล้องกับสถานการณ์ปัจจุบัน และยังต้องตัดสินใจเรื่องการเลือกใชเทคโนโลยีด้านความปลอดภัยที่เหมาะสมแก่องค์กรทั้งในเรื่องของ TCO (Total Cost of Ownership) และ ROI (Return On Investment) จากข้อมูลของ Gartner เรื่อง Hype Cycle for Information Security 2004 ปัญหาด้านความปลอดภัยระบบเทคโนโลยีสารสนเทศยังเป็นประเด็นสำคัญที่ CIO ต้องให้ความสนใจและจัดการอย่างเป็นระบบ

รูปที่ 1 แสดงให้เห็นถึง Cyber Threat ต่าง ๆ ที่ กำลังเป็นปัญหาอยู่ในปัจจุบัน ปัญหาใหญ่ของ CIO ในวันนี้ก็คือ เรื่อง Spyware, Phishing, SPAM และ Peer-to-Peer Exploit ขณะเดียวกัน

ดูรูปที่ 2 แสดงถึงเทคโนโลยีและบริการที่ CIO ควรนำใช้ในการแก้ปัญหาดังกล่าว บางเทคโนโลยีเช่น IDS นั้น ล้าสมัยไปแล้ว ขณะนี้เทคโนโลยีใหม่เข้ามาแทนที่ เช่น IPS, Vulnerability Management และ Patch Management เป็นต้น การให้บริการเผ้าระวังระบบรักษาความปลอดภัยจากบริษัทที่รับดูแลด้านความปลอดภัยโดยตรงที่เรียกตัวเองว่า MSSP (Managed Security Service Provider) ก็กำลังได้รับความนิยมจาก CIO เพิ่มขึ้นเช่นกัน ดังนั้น CIO ควรมีกลยุทธ์ในการบริหารจัดการเทคโนโลยีสารสนเทศที่ดีและเตรียมพร้อมกับสถานการณ์ปัจจุบัน และอนาคตโดยสรุปได้ 6 ข้อดังนี้

1. CIO ต้องมีกลยุทธ์ในการรับผิดชอบดูแลเรื่องการประหยัดงบประมาณ การใช้จ่ายทางด้านเทคโนโลยีสารสนเทศ การจัดซื้อจัดจ้างระบบเทคโนโลยีสารสนเทศนั้นจำเป็นต้องใช้งบประมาณค่อนข้างสูง การตัดสินใจเลือกใช้เทคโนโลยีใหม่ ๆ จึงเป็นความท้าทายของ CIO เพราะหากตัดสินใจผิดก็อาจส่งผลเสียในระยะยาวให้แก่องค์กรได้ ขณะที่งบประมาณด้านการรักษาความปลอดภัยนั้นมีแนวโน้มที่จะลดลงตามสภาวะเศรษฐกิจโลกที่ถดถอย แต่การโจมตีจากแฮกเกอร์ และ ไวรัสกลับมีแนวโน้มที่เพิ่มขึ้นอย่างมาก ดังนั้น CIO จึงจำเป็นต้อง "Balance" ปรับสมดุล ระหว่างความปลอดภัยขั้นต่ำที่องค์กรควรมี และ งบประมาณที่จะถูกใช้จ่ายออกไปเพื่อให้ได้มาซึ่งอุปกรณ์ฮาร์ดแวร์และซอฟท์แวร์ ตลอดจนการบริการจาก IT Auditor, IT Consultant, System Integrator และ IT Outsourcer รวมถึง งบประมาณการฝึกอบรม Information Security Awareness Training และ Information Security Technical Training จาก IT Training Center ต่าง ๆ อีกด้วย

2. CIO ควรกำหนดแผนยุทธ์ศาสตร์ ด้านความปลอดภัยระบบสารสนเทศ (Information Security Strategic Planning) ให้ชัดเจนและนำไปปฏิบัติจริงได้แผนยุทธ์ศาสตร์ในระยะยาวควรกำหนดออกมาให้ชัดเจน เพื่อเป็นแนวทางในการดำเนินการด้านสารสนเทศและการรักษาความปลอดภัยข้อมูลสารสนเทศ จากนั้น แผนระยะกลางและแผนระยะสั้น ก็ควรถูกกำหนดออกมาเช่นกัน ยกตัวอย่าง เช่น องค์กรควรมีการจัดทำการประเมินความเสี่ยงระบบสารสนเทศ (IT Risk Assessment) เป็นประจำทุกปี และควรมีการจัดทำแผนฝึกอบรม Information Security Awareness Training ในทุกๆ 3 - 6 เดือน เป็นต้น

3. CIO ควรเพิ่มความรู้และมีความรอบรู้เพียงพอเพื่อใช้ประกอบการตัดสินใจเลือกใช้เทคโนโลยีที่เหมาะสมและไม่ล้าสมัยให้แก่องค์กรยกตัวอย่างการเลือกใช้ Platform ว่าจะใช้ Windows Server 2003 Platform หรือ UNIX/LINUX Platform การเลือกใช้เทคโนโลยี J2EE (Jave 2 Enterpirse Edition) หรือ เลือกใช้เทคโนโลยี Dot NET ของ Microsoft เป็นต้น การหมั่นเข้าร่วมฟังงานสัมมนาเทคโนโลยีใหม่ ๆ ก็เป็นเรื่องจำเป็นของ CIO เช่นเดียวกัน ซึ่งก็คงต้องปลีกเวลาการทำงานบ้างเพื่อเพิ่มพูนความรู้ใหม่ ๆ ที่เป็นประโยชน์ในการตัดสินใจในอนาคต การเดินทางไปชมงาน ICT Expo ในต่างประเทศ ก็ควรอยู่ในโปรแกรมของ CIO ด้วย

4. CIO ควรนำองค์กรเข้าสู่มาตรฐานกำหนดความปลอดภัยสารสนเทศที่สากลให้การยอมรับและเตรียมพร้อมสำหรับในการตรวจสอบจากผู้ตรวจสอบระบบสารสนเทศ การนำมาตรฐานสากลด้านความปลอดภัยระบบสารสนเทศเช่น ISO/IEC17799 หรือ CobiT มาประยุกต์ใช้บางส่วน ถือเป็นเรื่องจำเป็น CIO ต้องให้ความสำคัญเช่นกัน โดยองค์กรอาจจะไม่จำเป็นต้องได้รับใบรับรองมาตรฐาน BS7799-2 ในกรณีที่องค์กรมองว่าประโยชน์ที่ได้รับจากการได้รับใบรับรองมาตรฐานด้านความปลอดภัยนั้นยังไม่ชัดเจน แต่องค์กรก็ควรนำมาตรฐานสากลที่เป็น "Best Practice" ต่าง ๆ มาประยุกต์ใช้ เพื่อความปลอดภัยขององค์กรเอง และ เพื่อให้สอดคล้องกับยุคของ IT Governance การตรวจสอบระบบสารสนเทศโดยผู้ตรวจสอบภายนอกหรือผู้ตรวจสอบภายในเป็นเรื่องจำเป็นที่ต้องทำเป็นประจำทุกปีเพื่อให้แน่ใจถึงระดับของความเสี่ยงที่ผู้บริหารยอมรับได้ และ ไม่ส่งผลกระทบต่อองค์กร

5. CIO ควรรักษาความสัมพันธ์ที่ดีกับผู้ร่วมงานและพัฒนาการสื่อสารกับผู้ร่วมงานให้มีความชัดเจนและความเข้าใจในทิศทางเดียวกันปัญหาของ CIO ในหลาย ๆ องค์ก คือ CIO ไม่สามารถอธิบายการทำงานด้านสารสนเทศต่าง ๆ ให้แก่ ผู้บริหารระดับสูง เช่น CEO หรือ CFO เพื่อให้เกิดความเข้าใจ และ ให้การสนับสนุนได้อย่างมากพอ ทำให้หลายๆ โครงการด้านสารสนเทศ ไม่ประสบความสำเร็จ ดังนั้น CIO ควรต้องมี Communication Skill หรือ ทักษะในการพูดคุย การติดต่อ ตลอดจน การนำเสนอในรูปแบบมืออาชีพ ที่มีความชัดเจน และ ง่ายต่อการเข้าใจของผู้บริหารระดับสูงที่ไม่ใช่ "คนไอที" ตลอดจน CIO ควรรักษาความสัมพันธ์กับ System Integrator, Consultant, Supplier และ Outsourcer เพื่อให้บริษัทเหล่านี้มาช่วยแบ่งเบาภาระของ CIO และ เป็นการ Transfer Risk ไปในตัว ความสัมพันธ์ที่ดีกับหน่วยงานต่าง ๆ ดังกล่าวจะส่งผลช่วย CIO ในทางอ้อมต่อประสิทธิภาพในการปฏิบัติงานและภาพลักษณ์ของตัว CIO เอง

6. CIO ควรเตรียมรับสถานการณ์ฉุกเฉินด้านความปลอดภัยสารสนเทศที่อาจเกิดขี้นได้แผน BCP (Business Continuity Planning) และ DRP (Disaster Recovery Planning) ควรถูกจัดทำขึ้นเพื่อให้องค์กรพร้อมกับการเตรียมรับเหตุการณ์ฉุกเฉิน หรือ Incident Response Management ที่อาจเกิดขึ้นและส่งผลกระทบต่อการทำงานโดยรวมขององค์กรได้ โดย CIO ต้องช่วยสนับสนุนและเป็นแกนหลักในการจัดทำแผนดังกล่าวด้วยกล่าวโดยสรุป ตำแหน่ง CIO นั้นเป็นตำแหน่งที่มีความสำคัญต่อองค์กรอย่างสูงในยุคที่เทคโนโลยีระบบสารสนเทศ และ การสื่อสาร เข้ามามีบทบาทสำคัญต่อการดำเนินงานขององค์กรในปัจจุบัน การกำหนดกลยุทธ์ในการบริหารจัดการเทคโนโลยีสารสนเทศและการรักษาความปลอดภัยสารสนเทศเป็นเรื่องสำคัญที่ CIO ทุกท่านต้องจัดทำขึ้น และ CIO จะต้องมีความรับผิดชอบในเรื่องดังกล่าวโดยปริยาย เพราะ ในอนาคตกฏหมายต่าง ๆ ที่กำลังจะถูกประกาศใช้ เช่น กฏหมายการกระทำผิดเกี่ยวกับคอมพิวเตอร์ หรือ ประกาศกฏข้อบังคับต่าง ๆ ขององค์กรที่มีหน้าที่ในการควบคุม เช่น สตง. ธนาคารแห่งประเทศไทย หรือ กลต. มีแนวโน้มที่จะเข้มงวด เรื่องการรักษาความปลอดภัยข้อมูลระบบสารสนเทศมากขึ้น CIO ก็ควรจะปรับตัวให้เข้ากับยุคสมัยทศวรรษแห่งดิจิตอลเพื่อนำองค์กรเข้าสู่ IT Governance หรือ "ไอทีภิบาล" เพื่อจุดมุงหมายปลายทาง คือ Corporate Governance หรือ "บรรษัทภิบาล" ในที่สุด
จาก : http://www.acisonline.net/article_prinya_eleader_0948.htm