ตอนที่ 7 ข้อกำหนดข้อ 4 บริบทองค์กร (Context of organization) ตอนที่ 4 (จบ)
จากตอนที่แล้วเรามีการอธิบายถึง ข้อกำหนดที่ 4.3 การกำหนดขอบเขตระบบการบริหารความปลอดภัยสารสนเทศ (Determining the scope of the information security management system) มาตอนนี้จะพูดถึงข้อกำหนด 44 ซึ่งเป็นข้อกำหนดในส่วนของข้อกำหนดข้อ 4 บริบทองค์กร (Context of organization)
4.4 ระบบบริหารจัดการความปลอดภัยข้อมูล (Information security management system)
องค์กรต้องจัดทำ (establish) นำไปปฏิบัติงาน (implement) ธำรงค์รักษา(maintain) และปรับปรุงพัฒนาอย่างต่อเนื่องต่อระบบบริหารจัดการความปลอดภัยสารสนเทศ รวมถึงสอดคล้องกับข้อกำหนดของมาตรฐานสากลฉบับนี้ มาตรฐานต้องการให้ "จัดทำ นำไปปฏิบัติ ธำรงรักษา และปรับปรุงระบบการบริหารความปลอดภัยสารสนเทศอย่างต่อเนื่อง
คำว่าจัดทำ ( establish) แปลว่า สถาปนา ก่อตั้ง จัดตั้ง ซึ่งมีความหมายง่ายๆคือไม่ใช่เรื่องชั่วคราว ไม่ใช่โครงการ หากท่านไม่ได้ทำจริงทำจัง ทำระบบการบริหารความปลอดภัยสารสนเทศเฉพาะให้เป็นกระดาษ เฉพาะเพื่อโชว์ ย่อมไม่ใช่เป็นการจัดทำ ( established) ท่านจึงจำต้องทำการการควบรวม ผสาน ระบบการบริหารคุณภาพกับการดำเนินธุรกิจประจำวันของท่าน คำว่าเป็นไปตาม ตามข้อกำหนดของมาตรฐานสากลฉบับนี้ ( ISO/IEC 27001:2013) หมายถึง องค์กรต้องทำให้ระบบการบริหารคุณภาพขององค์กรให้สอดคล้องกับข้อกำหนดของมาตรฐาน ISO/IEC 27001:2013 ก็เป็นที่ชัดเจนเช่นกันว่าระบบการบริหารความปลอดภัยสารสนเทศของท่าน นต้องเป็นเรื่องเดียวกันกับการบริหารงานประจำวัน เป็นการทำธุรกิจปกติ
การธำรงรักษา (maintain) หากไม่มีการธำรงรักษา สิ่งต่างต่างจะเสื่อมถอยลงและไม่ทันสมัย ไม่สอดคล้องกับบริบท ภาวะปัจจัยประเด็นปัญหาปัจจุบันขององค์กร ระบบการบริหารเช่นกันย่อมไม่มีข้อยกเว้น หากขาดการใส่ใจในระบบการบริหารจัดการย่อมนำไปสู่การลดลงของกำลังความสามารถในการให้บริการ การสูญเสียลูกค้า สมรรถนะด้านคุณภาพตกต่ำ การธำรงรักษาเป็นเรื่องของ การ retaining หรือ restoring บางสิ่งบางอย่างการกระทำใด ๆ เพื่อ ลดความแปรปรวน รักษาความสามารถของพนักงาน การจัดหาทรัพยากรเพิ่ม การจัดให้มีวิธีการทำงานใหม่ๆ ปรับปรุงวิธีการทำงานให้เหมาะสมกับปัญหาปัจจุบัน ล้วนแล้วแต่เป็นเรื่องของการธำรงรักษา
การปรับปรุงระบบ (improvement) หากระบบการบริหารมีไว้เพื่อให้องค์กรบรรลุจุประสงค์ แล้วทำไมจะไม่ต้องปรับปรุงระบบเพื่อให้องค์กรบรรลุกลยุทธ์ แผนธุรกิจ มีความปลอดภัย สร้างความสามารถในการแข่งขันให้มากขึ้น การปรับปรุงเป็นการทำให้ดีขึ้น ผู้มีส่วนได้ส่วนเสียพอใจมากขึ้น แข่งขันได้ดีขึ้น การปรับปรุงจึงหมายถึงการสร้างสมรรถนะให้กับองค์กร เป็นการฉกฉวยโอกาสเพื่อการปรับปรุงองค์กร
กิตติพงษ์ เกียรตินิยมรุ่ง– สถาบันมาตรฐานอังกฤษ