มาตรฐานสากล

มาตรฐาน
บทความนี้ เป็นการกล่าวถึงความรู้พื้นฐานเกี่ยวกับมาตรฐาน ซึ่งเป็นสิ่งที่สำคัญในการศึกษามาตรฐานระบบการจัดการต่างๆ เช่น มาตรฐานระบบการจัดการคุณภาพ (ISO 9001:2000) มาตรฐานระบบการจัดการสิ่งแวดล้อม (ISO 14001:1996) และมาตรฐานระบบการจัดการอาชีวอนามัยและความปลอดภัย (มอก.18001-2542)
เนื่องจากในการอบรมเกี่ยวกับมาตรฐานระบบการจัดการต่างๆ มักจะสอนกันถึง ที่มาของมาตรฐาน รายละเอียดของข้อกำหนดในมาตรฐาน การจัดทำเอกสารขั้นตอนการดำเนินงานต่างๆ ส่งผลให้บุคคลต่างๆที่มีส่วนร่วมในการจัดทำระบบการจัดการตามมาตรฐานนั้นๆ เกิดข้อสงสัยว่า ทำระบบการจัดการตามมาตรฐานแล้วจะได้อะไร ทำไมต้องมีมาตรฐานด้วย ซึ่งในบทความนี้ก็จะสิ่งที่ช่วยตอบข้อสงสัยดังกล่าว นอกจากนี้รายละเอียดที่อยู่ในบทความนี้ จะพยายามใช้การอธิบาย เพื่อให้เกิดความเข้าใจที่ง่ายๆ เนื่องจากนิยามบางนิยามในการมาตรฐานมักจะใช้ภาษาที่ยากต่อการทำความเข้าใจ
เหตุผลในการกำหนดมาตรฐานนั้น เริ่มจากการติดต่อประสานงาน และการซื้อขายกันระหว่าง ผู้ผลิตกับผู้บริโภค หรือผู้ผลิตกับหน่วยงานราชการที่กำกับดูแลนั้น จะประสบปัญหาในเรื่องของความเข้าใจ การยอมรับซึ่งกันและกัน เนื่องจากแต่ละฝ่ายก็มีแนวทางในการปฏิบัติ และบทบาทหน้าที่ที่แตกต่างกัน ยกตัวอย่าง เช่น โรงงานผลิตรองเท้า จ้างให้อีกโรงงานหนึ่งผลิตพื้นรองเท้าให้ โรงงานผลิตพื้นรองเท้าก็ต้องปฏิบัติตามข้อกำหนดของโรงงานที่ผลิตรองเท้าซึ่งจะระบุถึง วัตถุดิบที่ใช้ วิธีการทดสอบ ขนาดและรูปร่างของพื้นรองเท้า เป็นต้น หากโรงงานผลิตพื้นรองเท้าไม่นำเอาข้อกำหนดของโรงงานผลิตรองเท้ามาใช้ก็จะทำให้ขายไม่ได้ แต่ถ้ามีการจ้างผลิตทุกครั้งต้องมีการแจ้งข้อกำหนดทุกครั้งก็จะยุ่งยากต่อการดำเนินการ ดังนั้น หากมีการตกลงร่วมกัน เพื่อหาหลักเกณฑ์ที่ยอมรับได้ ก็จะช่วยให้การประสานงานมีความง่ายขึ้น ดังนั้นมาตรฐานก็เปรียบเหมือนภาษาที่ช่วยในการติดต่อประสานงานรวมถึงการซื้อขายง่ายขึ้น และถ้าหากโรงงานผลิตพื้นรองเท้าผลิตส่งโรงงานผลิตรองเท้าไม่ทัน ก็สามารถนำข้อตกลงที่ทำร่วมกับโรงงานผลิตรองเท้าไปจ้างให้โรงงานอื่นช่วยผลิตได้
แต่ในบางครั้งการตกลงร่วมกันของผู้ผลิตและผู้บริโภคเพียงสองฝ่ายอาจ ไม่เพียงพอ ดังนั้น จึงจำเป็นต้องมีหน่วยงานกลางเข้ามาร่วมในการหาข้อตกลง โดยมีการให้ผู้บริโภค ผู้ผลิต นักวิชาการ และหน่วยงานราชการ มาพิจารณาร่วมกัน เพื่อให้เกิดการสื่อสารที่ตรงกัน เช่น
ผู้ผลิตก็ให้ข้อมูลเกี่ยวกับข้อจำกัดในการผลิต ผู้บริโภคก็ให้ข้อมูลเกี่ยวกับความต้องการ นักวิชาการก็มาช่วยในการพิจารณาข้อมูลทางเทคนิค ส่วนหน่วยงานราชการก็เข้ามาช่วยในเรื่องการให้รายละเอียดเกี่ยวกับเงื่อนไขตามกฎหมาย หรือที่สากลกำหนดไว้ จากการพิจารณาร่วมกันของทุกฝ่ายที่เกี่ยวข้องก็จะส่งผลให้เกิดหลักเกณฑ์หรือข้อกำหนดที่ยอมรับร่วมกัน หลักเกณฑ์หรือข้อตกตงร่วมกันนั้นก็คือ มาตรฐาน        หากจะกล่าวถึงคำว่า "มาตรฐาน" แล้ว จากนิยามตามพระราชบัญญัติมาตรฐานผลิตภัณฑ์อุตสาหกรรม พ.ศ.2511 ได้กำหนดเอาไว้ว่า "มาตรฐาน" คือ ข้อกำหนดรายการอย่างใดอย่างหนึ่ง หรือหลายอย่างเกี่ยวกับ        - จำพวก แบบ รูปร่าง มิติ การทำ เครื่องประกอบคุณภาพ ชั้น ส่วนประกอบ ความสามารถ ความทนทาน และความปลอดภัยเกี่ยวกับการทำผลิตภัณฑ์อุตสาหกรรม         - วิธีทำ วิธีออกแบบ วิธีเขียนรูป วิธีใช้วัตถุที่นำมาทำผลิตภัณฑ์อุตสาหกรรม และความปลอดภัยเกี่ยวกับการทำผลิตภัณฑ์          - จำพวก แบบ รูปร่าง มิติ หีบห่อ วิธีการบรรจุชนิดอื่นๆรวมถึงการทำหีบห่อ วิธีการบรรจุ หุ้มห่อ หรือ ผูกมัด และวัตถุที่ใช้ในการนั้นด้วย          - วิธีทดลอง วิธีวิเคราะห์ วิธีเปรียบเทียบ วิธีตรวจ วิธีทดสอบและวิธีชั่ง ตวง วัด อันเกี่ยวกับผลิตภัณฑ์อุตสาหกรรม          - คำเฉพาะ คำย่อ สัญลักษณ์ เครื่องหมาย สี เลขหมาย และหน่วยที่ใช้ในทางวิชาการอันเกี่ยวกับผลิตภัณฑ์อุตสาหกรรม          - ข้อกำหนดรายการอย่างอื่น อันเกี่ยวกับผลิตภัณฑ์อุตสาหกรรม ตามที่รัฐมนตรีประกาศหรือตามพระราชกฤษฎีกา
จากนิยามข้างต้น จะเห็นว่า ความหมายของมาตรฐานมิใช่เป็นเพียงการปฏิบัติเท่านั้น แต่ครอบคลุมตั้งแต่การออกแบบ การใช้วัตถุดิบ การวิเคราะห์ การแสดงรายละเอียดของบรรจุภัณฑ์ ซี่งนิยามดังกล่าวจะเน้นเฉพาะมาตรฐานที่เป็นมาตรฐานที่ตัวผลิตภัณฑ์
นอกจากนี้นิยามเกี่ยวกับ "มาตรฐาน" ที่น่าสนใจอีก ได้แก่นิยามขององค์การระหว่างประเทศว่าด้วยการมาตรฐาน ( International Organization for Standardization : ISO) ที่กล่าวว่า "มาตรฐาน" คือ ผลที่ได้จากการปฏิบัติการอย่างใดอย่างหนึ่งทางการมาตรฐานที่ได้รับความเห็นชอบจากองค์การที่เป็นที่เชื่อถือกัน มาตรฐานอาจอยู่ในรูปของเอกสารที่ระบุรายการข้อกำหนดต่างๆ หน่วยมูลฐานหรือค่าคงที่ทางกายภาพ และสิ่งสำหรับเปรียบเทียบทางกายภาพ
จากนิยามที่กล่าวมาทั้งหมด จะเห็นได้ว่า คำว่า "มาตรฐาน" มิใช่เป็นเพียงหลักเกณฑ์หรือข้อกำหนดเพื่อการปฏิบัติเท่านั้น แต่หมายรวมถึงนั้นๆ จำเป็นต้องมี การยอมรับด้วย นั่นก็คือ ในการกำหนดมาตรฐานใดๆก็ตาม องค์กรใดองค์กรหนึ่งก็สามารถกำหนดมาตรฐานได้ แต่มาตรฐานเหล่านั้นจะมีความน่าเชื่อถือ และมีการนำไปใช้หรือไม่นั้นขึ้นอยู่กับการเป็นที่ยอมรับขององค์กรที่ออกมาตรฐาน
มาตรฐานที่ใช้กันอยู่ในปัจจุบัน สามารถแบ่งมาตรฐานตามวัตถุประสงค์ของการกำหนดมาตรฐานได้เป็น 2 ประเภทหลักๆ ได้แก่ มาตรฐานผลิตภัณฑ์อุตสาหกรรม และมาตรฐานระบบการจัดการ โดย 1. มาตรฐานผลิตภัณฑ์อุตสาหกรรม คือ มาตรฐานที่เน้นที่ผลิตภัณฑ์ โดยมีรายละเอียดที่ระบุถึงคุณลักษณะของผลิตภัณฑ์นั้นๆ รวมถึงการใช้วัตถุดิบ การทดสอบด้วย เช่น มาตรฐานเหล็กเส้น มาตรฐานเหล็กข้ออ้อย มาตรฐานสายไฟฟ้า เป็นต้น
2. มาตรฐานระบบการจัดการ คือ มาตรฐานที่ระบุถึงกระบวนการในการบริหารจัดการเพื่อให้บรรลุตามวัตถุประสงค์ขององค์กร เช่น มาตรฐานระบบการจัดการคุณภาพ (ISO 9001:2000) มาตรฐานระบบการจัดการสิ่งแวดล้อม (ISO 14001:1996) มาตรฐานระบบการจัดการอาชีวอนามัยและความปลอดภัย (มอก.18001-2542)มาตรฐานแรงงานไทย (มรท.8001-2546) เป็นต้น
นอกจากนี้มาตรฐานยังสามารถ แบ่งตามหน่วยงานที่ออกมาตรฐานได้ประมาณ 3 ระดับด้วยกัน ได้แก่ 1. มาตรฐานระดับองค์กรหรือหน่วยงาน คือ มาตรฐานที่ออกโดยหน่วยงานใดหน่วยงานหนึ่ง เพื่อใช้เป็นบรรทัดฐานในการดำเนินกิจกรรมใดกิจกรรมหนึ่งที่เกี่ยวข้องสัมพันธ์กับหน่วยงานที่เป็นเจ้าของมาตรฐาน เช่น มาตรฐาน ของ Addidas หรือ Nike ซึ่งมีการออกมาตรฐานมาเพื่อให้บริษัทที่รับจ้างผลิตสินค้าให้กับ Addidas หรือNike ต้องปฏิบัติตามจึงจะว่าจ้าง นอกจากนี้อาจจะเป็นการกำหนดมาตรฐานโดยกลุ่มธุรกิจประเภทเดียวกับก็ได้ เช่น มาตรฐาน QS 9000 ซึ่งกำหนดโดยบริษัทผู้ผลิตยานยนต์ 3 บริษัท Gerneral Motors , Ford และ Chrysler ในบางครั้งหากมาตรฐานระดับนี้ออกมาโดยหน่วยงานที่เป็นที่ยอมรับในสังคมหรือในระดับสากล ก็อาจส่งผลให้มีการนำมาตรฐานเหล่านี้ไปใช้กันอย่างแพร่หลายก็อาจจะเป็นได้ เช่น มาตรฐาน OHSAS 18001-1999 ซึ่งออกโดยบริษัทที่ให้การรับรองระบบการจัดการ ทั้งหมด 13 บริษัท ซึ่งเป็นบริษัทที่เป็นที่รู้จักกันในหลายประเทศ และประกาศโดย หน่วยงาน BSI ซึ่งเป็นหน่วยงานที่ทำหน้าที่เกี่ยวกับการมาตรฐานของประเทศอังกฤษ ดังนั้นมาตรฐานจึงมีความน่าเชื่อถือมากขึ้น
2. มาตรฐานระดับประเทศ คือ มาตรฐานที่ได้จากการพิจารณาหารือกันของหน่วยงานต่างๆที่เกี่ยวข้องกันภายในประเทศ เพื่อหาข้อตกลงร่วมกัน และจะต้องมีการออกกฎหมายรองรับมาตรฐานระดับนี้ ซึ่งหน่วยงานที่จะออกมาตรฐานระดับนี้ ส่วนใหญ่จะเป็นราชการ แต่ก็มีไม่น้อยที่เป็นเอกชน แต่อย่างไรก็ตามแต่ละประเทศจะมีหน่วยงานที่ทำหน้าที่ยกร่างมาตรฐานของประเทศเพียงหน่วยงานเดียวเท่านั้น ซึ่งหน่วยงานดังกล่าวนอกจากจะทำหน้าที่ในการกำหนดมาตรฐานของประเทศแล้ว ก็จะทำหน้าที่ในการเป็นสมาชิกของหน่วยงานมาตรฐานสากลด้วย เช่น ประเทศไทย ก็คือ สำนักงานมาตรฐานผลิตภัณฑ์อุตสาหกรรม
3. มาตรฐานระดับสากล คือ มาตรฐานที่ได้จากการพิจารณาร่วมกันของประเทศต่างๆ เพื่อหาข้อตกลงร่วมกัน ทั้งนี้มาตรฐานในระดับนี้จำเป็นต้องมีการเห็นพ้องร่วมกัน ดังนั้น หน่วยงานสากลที่รับผิดชอบในการยกร่างมาตรฐานนั้น จำเป็นต้องมีกระบวนการในการขอข้อคิดเห็นเกี่ยวกับมาตรฐานที่จะออกมาจากสมาชิกในแต่ละประเทศด้วย สำหรับหน่วยงานสากล ที่รู้จักกันดี คือ องค์การระหว่างประเทศว่าด้วยการมาตรฐาน (International Organization for Standard :ISO) ซึ่งเป็นผู้ออกมาตรฐาน ISO 9001:2000 และ ISO 14001: 1996 เป็นต้น
จากที่กล่าวมาจะเห็นได้ว่า ประเภทและที่มาของการออกมาตรฐานมีความเกี่ยวข้องสัมพันธ์กับหลายๆหน่วยงาน ทั้งภายในประเทศ และระดับสากล ซึ่งเป็นการยอมรับและมีข้อตกลงร่วมกัน ดังนั้นในการการดำเนินการในธุรกิจที่มีการติดต่อซื้อขายกันทั้งในระดับองค์กร ระดับประเทศหรือในระดับสากล ล้วนจำเป็นต้องนำมาตรฐานเข้ามาดำเนินการทั้งสิ้น

ISO คืออะไร

ISO คือ องค์กรสากลว่าด้วยการมาตรฐาน (International Organization for Standardization: ISO) ซึ่งตั้งอยู่ที่กรุงเจนีวา ประเทศสวิตเซอร์แลนด์ ได้ก่อตั้งเป็นทางการเมื่อวันที่ 14 ตุลาคม 1947 (พ.ศ. 2490) ปัจจุบันมีสมาชิก 143 ประเทศ ซึ่งครั้งแรกนั้นมีผู้แทนจากประเทศต่างๆ 25 ประเทศร่วมประชุมกันที่กรุงลอนดอน มีมติตั้งองค์การระหว่างประเทศว่าด้วยการมาตรฐานขึ้น และสหประชาชาติได้ให้การยอมรับเป็นองค์การชำนาญพิเศษประเภทที่ไม่ใช่หน่วยงานของรัฐบาล

                      ISO เดิมใช้คำย่อว่า "IOS" โดยมีความหมายในภาษากรีก แปลว่า ความสับสน (ไม่เป็นมงคล) จึงเปลี่ยนมาเป็น ISO ซึ่งมาจากภาษากรีก คือ ISOS แปลว่า "เท่าเทียมกัน" และตรงกับเจตนารมณ์ขององค์การ ISO ที่ต้องการให้ทั่วโลกมีมาตรฐานที่มีความเท่าเทียมกัน (ทัดเทียมกัน)

                                 วัตถุประสงค์ของ ISO

                         วัตถุประสงค์ขององค์กร ISO ก็เพื่อส่งเสริมการกำหนดมาตรฐานระหว่างประเทศ และกิจกรรมที่เกี่ยวข้อง เพื่อการพัฒนาอุตสาหกรรมเศรษฐกิจ และขจัดข้อโต้แย้ง รวมถึงการกีดกัน ทางการค้าระหว่างประเทศ ตลอดจนการพัฒนาความร่วมมือระหว่างประเทศ ในด้านวิชาการวิทยาศาสตร์ และเทคโนโลยีกล่าวง่าย ๆ ได้ว่า บริษัท หรือองค์กรใดได้รับ ISO ก็หมายความว่า สินค้าหรือบริการขององค์กรนั้น เข้าขั้นมาตรฐาน เป็นที่ยอมรับในระดับสากล

              ภารกิจ

                       ปัจจุบันองค์การระหว่างประเทศว่าด้วยมาตรฐาน หรือ ISO มี ประกอบด้วยสมาชิกจากประเทศต่าง ๆ ทั่วโลกปัจจุบัน 143 ประเทศ โดยมีภารกิจ หลักคือ 

v  ให้การสนับสนุนและพัฒนามาตรฐาน และกิจกรรมที่เกี่ยวข้อง เพื่อสนองต่อการค้าขายแลกเปลี่ยนสินค้า และการบริการของนานาชาติทั่วโลก

                     พัฒนาความร่วมมือในด้านวิทยาศาสตร์เทคโนโลยี เศรษฐศาสตร์ และภูมิปัญญาของมวลมนุษยชาติ

                         ISO ประกอบด้วยสมาชิก 3 ประเภท คือ

                1. Member Body เป็นสถาบันมาตรฐานแห่งชาติ ซึ่งหมายถึง เป็นตัวแทนทางด้านการมาตรฐานของประเทศนั้น ๆ มีสิทธิออกเสียงในเรื่องของวิชาการ มีสิทธิเข้ารับการเลือกตั้งเป็นคณะมนตรี ISO และสามารถเข้าร่วมประชุมสมัชชาใหญ่

                2. Correspondent Member เป็นหน่วยงานของประเทศกำลังพัฒนา ซึ่งยังไม่มีสถาบันมาตรฐานเป็นของตัวเอง สมาชิกประเภทนี้จะไม่เข้าร่วมในเรื่องของวิชาการ แต่มีสิทธิจะได้รับข่าวสารความเคลื่อนไหวของ ISO และเข้าร่วมประชุมสมัชชาใหญ่ในฐานะผู้สังเกตการณ์

                3. Subscribe Membership สมาชิกประเภทนี้ เปิดสำหรับกลุ่มประเทศที่มีเศรษฐกิจค่อนข้างเล็กให้สามารถติดต่อกับ ISO ได้

ISO 27001

ISO/IEC 27001:2005 Information Security Management Systems (ISMS)

 ระบบมาตรฐานด้านความปลอดภัยของข้อมูล

            เป็นมาตรฐานที่มีวัตถุประสงค์เพื่อให้การดำเนินธุรกิจเป็นไปอย่างต่อเนื่อง ซึ่งข้อกำหนดต่างๆ ถูกกำหนดขึ้นโดยองค์กรสากล ISO(International Organization for Standardization ) และ IEC (International Electro technical Commission) การประยุกต์ใช้ ISO 27001 จะช่วยให้กิจกรรมทางธุรกิจสามารถดำเนินไปได้อย่างต่อเนื่อง ช่วยป้องกันระบบข้อมูลและสารสนเทศขององค์กรจากความเสี่ยงต่อภัยคุกคามต่างๆ สำหรับทุกประเภท Electro technologies ทั้ง ISO และ IEC ได้รับการสนับสนุน โดยองค์กรสมาชิกระดับชาติ

                                               ที่มาของ ISO 27001

          ที่มาของความสำคัญสำหรับ ISO 27001

                หัวใจสำคัญของระบบบริหารความปลอดภัยสารสนเทศนั้นอยู่ที่ 3 ปัจจัยหลักโดยพื้นฐานดังต่อไปนี้

                1. ข้อมูลส่วนตัว ข้อมูลสำคัญขององค์กร

                การรักษาความปลอดภัยด้านข้อมูลไม่ให้ถูกขโมย ลักลอบนำไปใช้ ดัดแปลง หรือทำให้เกิดข้อผิดพลาดอื่นใด ซึ่งสำหรับหลายหน่วยงานอาจเป็นอันตรายระดับวิกฤติได้ ซึ่งข้อมูลนี้ไม่เพียงเฉพาะข้อมูลสำคัญขององค์กรแต่ยังรวมถึงข้อมูลส่วนตัว ของลูกค้าหรือบุคคลที่สามที่เกี่ยวข้องอื่นๆ ด้วย

               ที่มาของ ISO 27001

      3. บริหารระบบเพื่อป้องกันความปลอดภัยของข้อมูล

                รายละเอียดการบริหารระบบเพื่อป้องกันความปลอดภัยของข้อมูล ซึ่งหัวข้อนี้นับเป็นหนึ่งในรายละเอียดหลักของเนื้อหาในร่างมาตรฐาน ISO 27000 ทั้งหมดก็ว่าได้ โดยครอบคลุมตั้งแต่นโยบาย แผน กลยุทธ์ การตรวจวัด การบริหาร และการควบคุมการปฏิบัติการ

      ปัจจัยในการพิจารณาความปลอดภัยของระบบสารสนเทศ

n ความลับของข้อมูล (Confidentiality)

n ความถูกต้องสมบูรณ์ของข้อมูล (Integrity)

n ความพร้อมใช้งานของข้อมูล (Availability)

n การยืนยันตัวตนของผู้ใช้ (Authentication)

n การควบคุมสิทธิในการใช้งานของผู้ใช้ (Authorization)

n การไม่สามารถปฏิเสธการกระทำ (Non repudiation)

    แนวทางในการนำมาตรฐาน ISO/IEC 27001 มาใช้ในองค์กร

    แนวทางในการนำมาตรฐาน ISO/IEC 27001 มาใช้ในองค์กรนั้น ควรมีขั้นตอน 7 ขั้นตอน ดังนี้

v ขั้นตอนที่ 1

                จัดตั้งคณะทำงาน IT Security Steering หรือ IT Security Working Group) เฉพาะเรื่องมาตรฐาน ISO/IEC 27001 และ Regulatory Compliance เพื่อทำการศึกษาตัวมาตรฐานโดยละเอียดและหาแนวทางนำมาปรับประยุกต์ใช้ภายในองค์กร

   แนวทางในการนำมาตรฐาน ISO/IEC 27001 มาใช้ในองค์กร

v ขั้นตอนที่ 2

                จัดฝึกอบรม ทำความเข้าใจในส่วนของข้อกำหนดทั้ง 11 Domains ของมาตรฐาน ISO/IEC 27001 ซึ่งควรใช้ระยะเวลาประมาณ 3-5 วัน โดยการฝึกอบรมอาจใช้แนวทางในการทำ Internal ISO 27001 Workshop หรือ อบรมหลักสูตรมาตรฐานของ IRCA ได้แก่ หลักสูตร ISO 27001 (ISMS) Lead Auditor (IRCA2016) ซึ่งจะทำให้ทีมงานได้เข้าใจแนวทางของการตรวจสอบโดยการนำมาตรฐาน ISO/IEC 27001 มาใช้อย่างถูกต้องเหมาะสำหรับองค์กรที่ต้องการได้รับใบรับรองจากผู้ให้บริการออกใบรับรอง หรือ Certification Body เพื่อเป็นการเตรียมตัวในการตรวจสอบเพื่อผ่านการรับรองต่อไป

v ขั้นตอนที่ 3

                จัดทำการประเมินระบบในภาพรวม (Holistic Approach) โดยนำเทคนิค “Gap Analysis” มาใช้ กล่าวคือ นำมาตรฐาน ISO/IEC 27001 ในส่วน Control ที่อยู่ใน Annex A. มาทำเป็นประโยคคำถามในรูปแบบของ Questionnaire มาใช้ในการสัมภาษณ์ผู้ที่เกี่ยวข้องในองค์กรในลักษณะ Workshop ที่ทุกคนสามารถเข้ามามีส่วนร่วมในการตอบคำถามและให้ความเห็น รายงานจากการทำ Gap Analysis จะทำให้ผู้บริหารระดับสูงขององค์กรได้ทราบถึงสถานะล่าสุดขององค์กร (“AS IS”) และ ความแตกต่างกับข้อกำหนดในมาตรฐาน (“TO BE”) ว่าระบบในองค์กรยังไม่ได้ปฏิบัติตามข้อกำหนดในมาตรฐานและมีความแตกต่างจาก “สิ่งที่ควรจะเป็น” หรือ “สิ่งที่ควรจะต้องทำ” ตามมาตรฐานอย่างไร

v ขั้นตอนที่ 4

                หลังจากการทำ “Gap Analysis Workshop” แล้วควรมีการจัดทำรายงานและมีการนำเสนอต่อ Board of Director เพื่อที่จะให้ผู้บริหารระดับสูงเกิดความเข้าใจในปัญหาที่เกิดขึ้น และ สร้าง “Management Buy-In” คือ การทำให้ผู้บริหารระดับสูงตัดสินใจให้การสนับสนุนในการปฏิบัติตามมาตรฐาน ISO/IEC 27001 และดำเนินการแก้ไขข้อบกพร่องจากการที่องค์กรยังไม่ได้ปฏิบัติตามมาตรฐานดังกล่าวอย่างเป็นรูปธรรม (Corrective Action)

v ขั้นตอนที่ 5

                องค์กรควรลงรายละเอียดหลังจากการนำเสนอ Gap Analysis Report โดยการทำกระบวนการบริหารความเสี่ยง (Risk Management) ในสามมุมมอง ได้แก่ มุมมองด้านบุคลากร (People) มุมมองด้านกระบวนการ (Process) และ มุมมองด้านเทคโนโลยี (Technology) เพื่อที่จะได้ประเมินความเสี่ยง (Risk Assessment) ของระบบ และ จัดทำแผนปฏิบัติการเพื่อลดความเสี่ยง (Risk Treatment Plan) เช่น การทำ Hardening การจัดฝึกอบรม Security Awareness Training ในองค์กร การจัดทำระบบ Centralized Log Management เพื่อปฏิบัติตามข้อกำหนดของมาตรฐาน ISO/IEC 27001 และ เป็นการปฏิบัติตาม พรบ.การกระทำผิดเกี่ยวกับคอมพิวเตอร์อีกด้วย

v ขั้นตอนที่ 6

                ทำการ Implement ในภาคปฏิบัติตามแผนที่ได้กำหนดไว้จากขั้นตอนที่ 5 เช่น การทำ Vulnerability Assessment หรือ Penetration Testing, การปิดช่องโหว่ด้วยการ Hardening หรือ การติดตั้ง Patch ให้กับระบบ การจัดทำ Policy, Standard, Guideline ต่างๆ ที่จำเป็น การฝึกอบรม Security Awareness Program ให้กับทุกคนในองค์กร การจัดทำ Acceptable Use Policy (AUP), การจัดซื้อจัดจ้างฮาร์ดแวร์และซอฟต์แวร์ในส่วนของเทคโนโลยีที่จำเป็น เช่น Firewall , Anti-Virus Software เป็นต้น

v ขั้นตอนที่ 7

                หลังจากปฏิบัติตามขั้นตอนที่ 6 แล้ว ควรมีการทบทวน (Review) และ การเฝ้าระวัง (Monitor) เพื่อเปรียบเทียบความเปลี่ยนแปลงระหว่างก่อนการปฏิบัติตามมาตรฐาน และ หลังจากการปฏิบัติตามมาตรฐาน (Before and After) ซึ่งควรจะเห็นผลลัพธ์ในเชิงบวกเป็นรูปธรรมชัดเจน และ ควรทำการเฝ้าระวังระบบด้วยแนวคิด “Continuous 

     Audit” เพื่อที่จะได้แน่ใจว่าระบบสามารถทำงานได้ปกติโดยไม่เกิดผลกระทบจากการค้นพบช่องโหว่ใหม่ๆ (New Vulnerability) และ ภัยใหม่ๆ จากแฮกเกอร์ หรือ Malicious Software ต่างๆ (New Threat) ตลอดจนสามารถปรับตัวแก้ไขปัญหาได้อย่างทันท่วงที (Agility)

   สาเหตุของปัญหาด้านความปลอดภัยของระบบสารสนเทศ  

 http://chamnoiphrom-it.blogspot.com/