ตอนที่ 6 ข้อกำหนดข้อ 4 บริบทองค์กร (Context of organization) ตอนที่ 3

จากตอนที่แล้วเรามีการ อธิบาย ถึง ข้อกำหนดที่ 4.2 การทำความเข้าใจความต้องการ ความคาดหวัง ของผู้มีส่วนได้เสีย (Understanding the needs and expectations of interested parties) มาตอนนี้จะพูดถึงข้อกำหนด 4.3 ซึ่งเป็นข้อกำหนดในส่วนของข้อกำหนดข้อ 4 บริบทองค์กร (Context of organization)

ข้อกำหนดที่ 4.3 การกำหนดขอบเขตระบบการบริหารความปลอดภัยสารสนเทศ (Determining the scope of the information security management system)

องค์กรต้องมีการกำหนดกรอบและ การประยุกต์ใช้ในการจัดทำขอบเขตของระบบบริหารจัดการความปลอดภัยสารสนเทศ

เมื่อระบุขอบเขต องค์กรต้องพิจารณาถึง:

a) ประเด็นภายนอก และภายใน ที่อ้างถึงใน ข้อ 4.1

b)  ความต้องการ ที่อ้างถึงในข้อ 4.2 และ

c)  ความเชื่อมโยม และความสัมพันธ์ระหว่างกิจกรรมทั้งที่ดำเนินการโดยองค์กรเอง และดำเนินการองค์กรอื่น

ขอบเขตต้องจัดทำเป็นเอกสารข้อมูล (documented information)

การกำหนดขอบข่ายของระบบ ในอดีตองค์กรสามารถกำหนดขอบข่ายตามความต้องการขององค์กรเอง เนื่องจากมาตรฐานฉบับเดิมไม่ได้กำหนดเงื่อนไข ขีดจำกัด แนวทางในการกำหนดขอบข่ายการนำระบบไปประยุกต์ใช้

มาตรฐานนี้ได้ระบุข้อกำหนดในการระบุขอบข่ายที่จะนำมาตรฐานไปประยุกต์ใช้ (รายละเอียด ชนิดของผลิตภัณฑ์และบริการที่ครอบคลุม ซึ่งรวมถึง หน่วยงานขององค์กร, ฟังชั่น, ขอบเขตทางกายภาพ)

การพิจารณานำระบบไปประยุกต์ใช้นี้ ต้องมาจากผลการพิจารณาจาก

-          ปัจจัยภายนอกและภายใน ที่ได้พิจารณาระหว่างการวิเคราะห์บริบทองค์กร

-          ข้อกำหนดที่ได้พิจารณาระหว่างการวิเคราะห์ผู้มีส่วนได้ส่วนเกี่ยวข้อง

-          ความเชื่อมโยงและความสัมพันธ์ระหว่างกิจกรรมทั้งที่ดำเนินการโดยองค์กรเอง และดำเนินการองค์กรอื่น

ขอบข่ายที่กำหนดนี้ต้องได้รับการธำรงรักษาเป็นเอกสารสารสนเทศ

คำว่าขอบข่ายนี้ของระบบ ISMS แท้จริงก็คือกระบวนการขององค์กรหรือส่วนใดขององค์กรที่จะต้องรวมอยู่ในระบบการบริหารความปลอดภัยสารสนเทศ และต้องอยู่เป็นเอกสาร และขอบข่ายอีกนัยยะคือ ข้อกำหนดISO/IEC 27001:2013 ที่ท่านต้องนำไปประยุกต์ใช้

ขอบข่ายนี้เป็นสิ่งสำคัญเป็นอย่างยิ่งเพราะ ท่านจะใช้เป็นกรอบในการวางระบบและใช้เป็นส่วนสำคัญกับการรับรองระบบกับผู้ให้การรับรองของท่าน เพื่อกำหนดกรอบ กำหนดผลิตภัณฑ์/บริการ กำหนดกระบวนการ กำหนดสถานที่ที่ระบบจะไปครอบคลุมถึง

ท่านไม่จำเป็นต้องระบุให้ทุกผลิตภัณฑ์ ทุกบริการ ทุกสาขา ทุกระบวนการ รวมอยู่ในขอบข่ายของระบบการบริหารความปลอดภัยสารสนเทศน์ หากท่านไม่ประสงค์ ท่านยังคงเป็นคนกำหนดขอบข่าย เพียงแต่ต้องมีเหตุผลเพียงพอ ที่จะไม่รวมหรือรวมเข้าในระบบ

หากมีประโยชน์ สำหรับการจัดการธุรกิจของท่านในมุมต่างๆตามบริบท องค์กร ท่านควรนำระบบการบริหารความปลอดภัยสารสนเทศน์ ไปประยุกต์เพื่อเป็นโอกาสต่อการดำเนินธุรกิจ

ขอบข่ายของการนำระบบปฏิบัติใช้ควรได้รับการพิจารณาทบทวนเป็นประจำ และปรับเปลี่ยนได้ในภายหลัง ซึ่งแปรผันตามปัจจัยต่างๆที่กำหนดไว้ข้างต้น

ข้อกำหนดไม่ได้บังคับให้ต้องมีกระบวนการในการจัดทำขอบข่ายของระบบ หรือกำหนดว่าจะต้องทบทวนปรับปรุงให้ทันสมัยเมื่อไหร่ อย่างไร แต่จะเป็นการดี ถ้าท่านทำการกำหนดเรื่องนี้ไว้สำหรับ ISO/IEC 27001:2013

จะกำหนดขอบข่ายไว้ที่เอกสารไหนดี เนื่องจากคู่มือการจัดการความปลอดภัยสารสนเทศเป็นสิ่งที่ไม่จำเป็น มาตรฐาน ISO/IEC27001:2013 ไม่ได้กำหนดว่าต้องระบุขอบข่ายของระบบการบริหารความปลอดภัยสารสนเทศนี้ไว้ที่เอกสารใด และ คู่มือการจัดการความปลอดภัยสารสนเทศก็เป็นสิ่งที่มาตรฐาน ISO/IEC 27001:2013 ไม่ได้บังคับท่านให้ต้องมีแต่อย่างไร แต่ไม่ว่าอย่างไรจากข้อกำหนดข้อนี้ รวมถึงข้อกำหนดข้อ 4.4 ที่ท่านต้องจัดทำ (establish) นำไปปฎิบัติ (implement) รักษาให้คงไว้ (maintain) และปรับปรุงพัฒนาอย่างต่อเนื่องต่อระบบบริหารจัดการความปลอดภัยข้อมูล รวมถึงสอดคล้องกับข้อกำหนดของมาตรฐานสากลฉบับนี้ ดังนั้นหากท่านเห็นประโยชน์ของเอกสารที่เรียกว่าคู่มือการจัดการความปลอดภัยสารสนเทศ หากอยากจะเก็บไว้ ก็ดูมีเหตุผลดี

 

กิตติพงษ์ เกียรตินิยมรุ่ง– สถาบันมาตรฐานอังกฤษ