ตอนที่9 ข้อกำหนดข้อ 5 ภาวะผู้นำ (Leadership) ตอนที่ 2
หัวข้อที่จะคุยวันนี้ เราจะพูดถึง ข้อกำหนดที่ 5.2 นโยบาย (Policy) ดังต่อไปนี้
5.2 นโยบาย (Policy)
ผู้บริหารระดับสูงต้องกำหนดนโยบายความปลอดภัยสารสนเทศ ที่:
a) เหมาะสมต่อวัตถุประสงค์ขององค์กร
b) รวมวัตถุประสงค์ความปลอดภัยข้อมูล (ดู 6.2) หรือกำหนดกรอบในการกำหนดวัตถุประสงค์ความปลอดภัยข้อมูล
c) รวมการให้ความสำคัญของผู้บริหาร เพื่อให้สอดคล้องกับความต้องการที่เกี่ยวข้องกับความปลอดภัยข้อมูล และ
d) รวมการให้ความสำคัญของผู้บริหาร ในการปรับปรุงอย่างต่อเนื่องต่อระบบบริหารจัดการความปลอดภัยข้อมูล
นโยบายความปลอดภัยข้อมูล ต้อง:
e) ต้องมีการจัดทำเป็นเอกสาร (documented information)
f) ต้องสื่อสารให้ทราบกันภายในองค์กร และ
g) ต้องจัดหาให้กับผู้ที่เกี่ยวข้อง (interested parties) ตามความเหมาะสม
นิยามนโยบายคือ เจตนาและคำสั่งการโดยรวมที่เป็นทางการโดยผู้บริหารระดับสูง คงเป็นเรื่องพิกลที่ผู้บริหารระดับสูงจะไม่ใส่ใจ หรือไม่ได้เป็นผู้จัดกำหนดสาระของนโยบายนี้ นโยบายนี้กำหนดขึ้นสำหรับระบบการบริหาร จึงจำต้องเป็นนโยบายที่เป็นการเฉพาะสำหรับกำหนดทิศทางที่องค์กรจะมุ่งไป สิ่งที่องค์กรต้องการที่จะบรรลุจากระบบการบริหารของตน หลักฐานอาจจะหมายถึงการที่ผู้บริหารคับสูงอธิบายได้ ว่าทำไมถ้อยแถลงนโยบายถึงต้องเป็นอย่างที่เป็นอยู่ อะไรที่ต้องการบรรลุจากนโยบาย และเกี่ยวพันกับกลยุทธ์องค์กรอย่างไร เหมาะสมกับองค์กรด้านไหน มีความสอดคล้องกับนโยบายด้านอื่นๆรวมถึง สอดคล้องกับความต้องการของผู้มีส่วนเกี่ยวข้อง โดยตัวนโยบายนี้ จะเป็นกรอบในการกำหนด วัตถุประสงค์เป้าหมายทางด้านความปลอดภัยสารสนเทศน์ (เราจะพูดถึง ในข้อ 6.2)
นโยบายนี้ต้องมีการจัดทำเป็นรูปแบบเอกสาร และต้องมีการสื่อสาร ให้กับทุกคนในองค์ทราบ รวมถึงผู้มีส่วนเกี่ยวข้องต่างไ เพื่อจะได้ปฏิบัติไปในทางเดียวกัน
กิตติพงษ์ เกียรตินิยมรุ่ง– สถาบันมาตรฐานอังกฤษ