บริษัทตรวจสอบภายใน

เรื่อง จะใช้มาตรฐานอะไรดี เพื่อให้มั่นใจถึงความมั่นคงปลอดภัยของระบบสารสนเทศขององค์กร

ระบบคุณภาพมาตรฐานที่เกี่ยวข้องโดยตรงกับภาย IT ปัจจุบันที่มีการพูดถึงมาก มีอยู่ 3 มาตรฐาน ได้แก่ ISO27001, ITIL และ COBIT ซึ่งแต่ละมาตรฐานนั้นก็มีจุดแข็งและจุดอ่อนที่แตกต่างกัน โดยผมขอสรุปสั้น ๆ ดังนี้ครับ

1. ISO27001 เป็นมาตรฐานที่ให้ความสำคัญกับเรื่องความปลอดภัยของระบบสาร ข้อมูลในสนเทศในองค์กร ซึ่งเป็นมาตรฐานที่บริษัทที่เกี่ยวข้องกับการเงิน เกี่ยวข้องกับการเก็บรักษาข้อมูล ให้บริการ Server จำเป็นที่จะต้องได้ จุดเข็งของมาตรฐานนี้คือ มีข้อกำหนดที่ชัดเจน ถ้าทำครบทุกข้อก็สอบผ่าน และเป็นมาตรฐานที่ บริษัทตรวจสอบภายใน และภายนอก นิยมใช้เป็นแนวทางในการตรวจสอบ เพราะสามารถอ้างอิงข้อกำหนดได้อย่างชัดเจน

2. ITIL เป็นมาตรฐานที่ให้ความสำคัญกับการให้บริการแก้ไขปัญหา และปรับปรุงการทำงานเพื่อให้ปัญหาต่าง ๆ ที่เกิดขึ้นลดลง เหมาะกับหน่วยงานที่ต้องการทำระบบ Call Center ที่มีผู้ใช้ระบบ IT จำนวนมาก และมีการแจ้งปัญหาเข้ามาอยู่ตลอดเวลา

3. COBIT เป็นมาตรฐานที่รวมเอาข้อ 1, 2 และรวมเอาเรื่องอื่น ๆ อีกมากมายเข้ามา ทำให้ครอบคลุมงานที่เกี่ยวข้องกับ IT เอาไว้อย่างครบถ้วน มีการปรับปรุง Version อย่างต่อเนื่อง จุดอ่อนคือ เรื่องข้อกำหนดที่ไม่ชัดเจนในแต่ละเรื่อง ทำให้การนำไป และการตีความในแต่ละเรื่องที่จะต้องดำเนินการนั้นขึ้นอยู่กับดุลพินิจของผู้ตรวจสอบ หรือผู้นำไปประยุกต์ใช้งาน

สำหรับบริษัทที่เตรียมเข้าตลาดหลักทรัพย์ หรือที่เข้าไปแล้ว หากจะนำมาตรฐานไปใช้และลองรับการตรวจสอบทั้งจากบริษัทตรวจสอบภายใน หรือภายนอก แนะนำให้เริ่มต้นที่ ISO27001 ก่อน เพราะมีข้อกำหนดเป็นแนวทางในการปฏิบัติที่ชัดเจน และได้รับใบรับรอง ISO ที่เป็นที่ยอมรับทั่วโลก (ที่สำคัญค่าใช้จ่ายในการ Implement ก็ไม่สูงเมื่อเทียบกับมาตรฐานอื่น ๆ) จากนั้นค่อยต่อยอดการทำงานโดยนำ ITIL หรือ COBIT มาเพิ่มเติมในภายหลังก็จะทำได้อย่างรวดเร็วขึ้น เพราะถือว่ามีโครงพื้นฐานที่ดีในระดีบหนึ่งแล้ว


ดร. สุรพรรษ์ เพ็ญจำรัส
อังคารที่ 24 ตุลาคม 2560


“ขอสงวนสิทธิ์ ข้อมูล เนื้อหา บทความ และรูปภาพ (ในส่วนที่ทำขึ้นเอง) ทั้งหมดที่ปรากฎอยู่ในเว็บไซต์ ห้ามมิให้บุคคลใด คัดลอก หรือ ทำสำเนา หรือ ดัดแปลง ข้อความหรือบทความใดๆ ของเว็บไซต์ หากผู้ใดละเมิด ไม่ว่าการลอกเลียน หรือนำส่วนหนึ่งส่วนใดของบทความนี้ไปใช้ ดัดแปลง เพื่อการพาณิชย์โดยไม่ได้รับอนุญาตเป็นลายลักษณ์อักษร จะถูกดำเนินคดี ตามที่กฎหมายบัญญัติไว้สูงสุด ในกรณีต้องการอ้างอิงเพื่อการศึกษา กรุณาให้เครดิตโดยอ้างอิงถึงผู้เรียบเรียงและบริษัทเจ้าของเว็บไซด์ด้วย”