กระบวนการสร้างนวัตกรรม

อรุณี ชัยสวัสดิ์
นักวิจัย
ศูนย์เชี่ยวชาญนวัตกรรมหุ่นยนต์และเครื่องจักรกลอัตโนมัติ (ศนย.)

     การพัฒนานวัตกรรม ให้เป็นที่ยอมรับและต้องการของตลาด  มีมูลค่าเชิงพาณิชย์ สามารถขายและสร้างเป็นธุรกิจได้นั้น  ต้องมีองค์ประกอบหลายประการ  เช่น ความใหม่ (Newness)   ความคิดสร้างสรรค์ (Creative Thinking) มีความแตกต่าง ไม่ซ้ำ หรือเลียนแบบ สามารถใช้ประโยชน์เชิงเศรษฐกิจ (Economic Benefit) หรือสามารถขยายผลสร้างมูลค่าเพิ่มต่อเนื่องได้

     กระบวนการสร้างนวัตกรรม เกิดขึ้นหลากหลายวิธี เช่น ความคิดสร้างสรรค์ (Creative Thinking) ความต้องการแก้ปัญหา (Problem) การจัดการและต่อยอดองค์ความรู้ (Knowledge Management) และการปรับปรุงและพัฒนา (Improvement) ซึ่งวิธีนี้เป็นที่นิยม เนื่องจากประหยัดทั้งเวลาและงบประมาณ อีกทั้งมีโอกาสสำเร็จสูง สามารถนำไปใช้ได้ทั้ง นวัตกรรมกระบวนการ (Process Innovation) และนวัตกรรมผลิตภัณฑ์ (Product Innovation) วิธีการโดยการระดมความคิด เพื่อค้นหาจุดบกพร่องของผลิตภัณฑ์หรือกระบวนการเดิม ประกอบกับการประเมินความต้องการหรือความพึงพอใจของผู้ใช้ นำมาใช้เป็นข้อมูลป้อนเข้า (Input) เพื่อใช้วิเคราะห์หาสาเหตุและปัจจัยที่แท้จริงของปัญหา ดังนั้น การวางแผนเพื่อพัฒนานวัตกรรมด้วยวิธีนี้ จึงต้องมีการกำหนดแผนและวิธีการดำเนินงาน ในรูปแบบของกระบวนการ (Process Approach) โดยพิจารณาถึงความสัมพันธ์และความเชื่อมโยงที่ส่งผลกระทบต่อเนื่องกัน รูปแบบนี้สามารถใช้ได้กับ งาน กระบวนการ และ กิจกรรมทุกประเภท นั่นคือ พิจารณาจาก ส่วนปัจจัยนำเข้า (Input) คือ ทรัพยากร วัตถุดิบ ประกอบด้วย ชนิด ประเภท สัดส่วน ปริมาณ น้ำหนัก ความชื้น ฯลฯ ส่วนกระบวนการ (Process) คือ วิธีการ ขั้นตอนการทำงาน ขั้นตอนการผลิต ได้แก่ กระบวนการ เทคโนโลยี เครื่องมืออุปกรณ์ ระยะเวลาการผลิต อุณหภูมิ ความดัน ระบบควบคุม ระบบ IT การตรวจสอบและควบคุมคุณภาพ ฯลฯ เพื่อให้ได้ผลผลิต (Output) คือ ผลิตภัณฑ์ กระบวนการ บริการใหม่ หรือนวัตกรรมใหม่ ตามต้องการ

     หลักการ Process Approach เมื่อมีการเปลี่ยนแปลง ปัจจัยนำเข้า (Input) เช่น เปลี่ยนวัตถุดิบ สัดส่วนหรือปริมาณฯลฯ ก็จะทำให้ผลผลิตหรือผลิตภัณฑ์เปลี่ยนแปลงเป็นผลิตภัณฑ์ใหม่ สำหรับกระบวนการ (Process) สามารถจำแนกเป็น กระบวนการผลิตในภาคอุตสาหกรรม เมื่อมีการเปลี่ยนแปลงขั้นตอนหรือวิธีการ เช่น เปลี่ยนเทคโนโลยี/เปลี่ยนระบบ เปลี่ยนเครื่องมือ ระยะเวลา อุณหภูมิ ความดัน ฯลฯ ทำให้ผลผลิตที่เกิดขึ้นเปลี่ยนแปลง เกิดเป็นผลิตภัณฑ์ใหม่เช่นกัน สำหรับกระบวนการทำงานในภาคธุรกิจบริการ เมื่อมีการเปลี่ยนแปลงระบบ เช่น การบริหารงานคุณภาพ การนำระบบ IT มาใช้ สามารถลดขั้นตอน การซ้ำซ้อน ใช้คนน้อยลง ลดความผิดพลาด รวดเร็วขึ้น ส่งผลให้ประสิทธิภาพการทำงานเพิ่มขึ้น เกิดเป็นกระบวนการใหม่ ซึ่งผลิตภัณฑ์หรือกระบวนการใหม่นี้ หากสามารถสร้างรายได้ หรือมูลค่าเชิงพาณิชย์ ก็จะกลายเป็นนวัตกรรมใหม่นั่นเอง

     อย่างไรก็ตาม เนื่องจากการดำเนินงานในภาคธุรกิจ หรือภาคอุตสาหกรรมการผลิตนั้น ประกอบด้วย กิจกรรมหรือกระบวนการต่างๆมากมาย เมื่อนำมาเชื่อมโยงกัน จะทำให้ Output ของ Process หนึ่งไปเป็น Input ของอีก Process หนึ่ง เกิดความสัมพันธ์และเชื่อมโยงกันอย่างต่อเนื่อง กลายเป็นห่วงโซ่คุณค่า (Value chain) จนเกิดเป็นระบบ (System Approach) ดังนั้น หาก Input เริ่มต้นดี จะส่งผลให้ได้ Output ดี เช่นกัน แต่หาก Input ไม่ดี ก็จะส่งผล Output ไม่ดีหรือด้อยคุณภาพ ซึ่ง Output ที่ไม่ดีหรือด้อยคุณภาพนี้จะกลายเป็น Input ของกระบวนการต่อไปอีก ส่งผลกระทบต่อเนื่อง ทำให้ผลิตภัณฑ์ที่เป็นผลลัพธ์ด้อยคุณภาพ ดังนั้นการปรับปรุงและพัฒนา เพื่อสร้างนวัตกรรมใหม่โดยใช้ Process Approach และ System Approach จะช่วยให้นวัตกร (Innovator) สามารถตรวจสอบความเชื่อมโยงของกระบวนการ และค้นหาจุดบกพร่อง เพื่อดำเนินการแก้ไขปรับปรุง ทำให้สามารถลดความเสี่ยงจากความผิดพลาดที่จะเกิดขึ้นได้ง่ายและรวดเร็วขึ้น นอกจากนี้การปรับปรุงอย่างต่อเนื่อง (Continual Improvement) โดยใช้กระบวนการ PDCA เป็นเครื่องมือดำเนินการ ประกอบกับความคิดสร้างสรรค์ จะทำให้สามารถสร้างนวัตกรรมใหม่ได้อย่างต่อเนื่องและหลากหลาย สามารถตอบสนองความคาดหวัง และความต้องการของผู้บริโภค มีความทันสมัย โดดเด่นและแตกต่าง สร้างเป็นธุรกิจต่อเนื่องได้อย่างไม่สิ้นสุด

ISO27001 ป้อมปราการที่สำคัญสำหรับการดำเนินธุรกิจในยุคสมัยนี้

ปัจจุบันข้อมูลสารสนเทศเปรียบเสมือนสินทรัพย์ที่มีมูลค่าและบทบาทสำคัญต่อการบริหารจัดการองค์กร ดังนั้นองค์กรต่างๆจึงเริ่มตระหนักถึงการปกป้องรักษาข้อมูลสารสนเทศที่สำคัญๆ อันนำมาซึ่งความท้าทายในการบริหารความมั่นคงปลอดภัยสำหรับสารสนเทศอย่างเป็นมาตรฐาน และมีประสิทธิภาพคุ้มค่ากับการลงทุน เพื่อให้ผู้ใช้ข้อมูลสารสนเทศมีความเชื่อมั่นว่าข้อมูลสารสนเทศดังกล่าวมีความปลอดภัยตามหลักของ C I A ซึ่งประกอบด้วย มีกระบวนการรักษาความลับที่เหมาะสม ผู้มีสิทธิเท่านั้นถึงจะเข้าถึงได้ (C : Confidentiality) มีความสมบูรณ์ถูกต้องของเนื้อหาสาระ (I : Integrity) และมีความพร้อมใช้งานอยู่เสมอ ผู้ใช้สามารถเข้าถึงข้อมูลเมื่อต้องการได้ทุกเวลา (A : Availability) โดยเฉพาะในโอกาสที่ประเทศไทยจะก้าวไปสู่ประชาคมอาเซียนในปี 2015 (ASEAN Community 2015) องค์กรต่างๆในประเทศไทยจึงจำเป็นต้องเริ่มตระหนักถึงความสำคัญในการบริหารจัดการความมั่นคงปลอดภัยสำหรับสารสนเทศ เพื่อสร้างความมั่นใจให้กับผู้บริหาร พนักงาน ลูกค้า และคู่ค้า ว่าสารสนเทศขององค์กรจะมีคุณสมบัติครบตามหลัก C I A

390509_2790834165560_921662489_n

ในปีที่ผ่านมา ผู้เขียนได้มีโอกาสรับการสนับสนุนจาก องค์การเพิ่มผลผลิตแห่งเอเชีย หรือ Asian Productivity Organization (APO) ในการเข้าร่วมโครงการ Training Course on the Information Security Management System: ISO 27000 Series ซึ่งมีจุดมุ่งหมายเพื่อให้การฝึกอบรมเชิงลึกเกี่ยวกับการประยุกต์ใช้ระบบการจัดการตามระบบคุณภาพ ISO 27000 อันเป็นมาตรฐานของระบบคุณภาพที่ใช้ในการบริหารความมั่นคงปลอดภัยสำหรับสารสนเทศ หรือ Information Security Management (ISM) และเตรียมความพร้อมให้ผู้ร่วมโครงการที่มาจากประเทศสมาชิกต่างๆดังกล่าวสามารถเป็นผู้นำการประเมินและการปฏิบัติงานตามมาตรฐาน ISO 27000 ได้อย่างมีประสิทธิภาพ ทำให้ผู้เขียนมีความเข้าใจถึงความสำคัญและการประยุกต์ใช้ระบบคุณภาพตามมาตรฐาน ISO 27000 ยิ่งขึ้น ด้วยเหตุนี้ผู้เขียนจึงอยากนำความรู้และประสบการณ์ที่ได้ มาแลกเปลี่ยนแบ่งปันกับผู้อ่านเพื่อให้ทุกท่านได้ตระหนักถึงการรักษาความมั่นคงปลอดภัยสำหรับสารสนเทศและสามารถนำไปประยุกต์ให้เกิดประโยชน์ต่อตนเองและองค์กรได้ต่อไป

ระบบบริหารจัดการความมั่นคงปลอดภัยสำหรับสารสนเทศ หรือ Information Security Management System (ISMS) นั้น คือ ระบบหรือกระบวนการที่ใช้ในการบริหารจัดการสารสนเทศที่มีความสำคัญขององค์กรให้มีความมั่นคงปลอดภัยตามหลัก C I A ซึ่งมีแนวทางการปฏิบัติตามขั้นตอนของกระบวนการดังนี้

เริ่มตั้งแต่ทำการวิเคราะห์และประเมินความเสี่ยงเพื่อทำให้ทราบว่าสารสนเทศใดที่มีความสำคัญต่อการดำเนินธุรกิจขององค์กร โอกาสที่จะเกิดความเสี่ยงและความเสียหายอันส่งผลกระทบต่อการดำเนินธุรกิจขององค์กรจากภัยคุกคามทั้งภายในภายนอกกับสารสนเทศนั้นมากน้อยแค่ไหน มีวิธีการบริหารจัดการในการป้องกันความเสี่ยงดังกล่าวอย่างไร โดยจำเป็นต้องจัดลำดับความสำคัญของความเสี่ยงทั้งหมดที่พบ และพิจารณาว่าสิ่งใดจำเป็นต้องรีบบริหารจัดการก่อนและหลัง จากนั้นจึงดำเนินการตามวงจร P (Plan หรือ การวางแผน) D (Do หรือ การประยุกต์ใช้หรือการดำเนินการ) C (Check หรือ การตรวจสอบ) A (Action หรือ การบำรุงรักษาหรือการปรับปรุง) โดยเริ่มจากทำการออกแบบระบบบริหารจัดการ ซึ่งในที่นี้หมายถึงกระบวนการที่เปรียบเสมือนเป็นเครื่องมือในการรักษาความมั่นคงปลอดภัย แต่ไม่ได้หมายรวมเพียงแค่การนำระบบเทคโนโลยีสารสนเทศมาสนับสนุนเท่านั้น ยังหมายรวมถึงการพัฒนาขั้นตอนปฏิบัติหรือการนำขั้นตอนปฏิบัติที่มีอยู่เดิมมาปรับปรุงเพื่อให้เกิดกระบวนการป้องกันและรักษาความมั่นคงปลอดภัยของสารสนเทศที่ใช้ในการดำเนินธุรกิจขององค์กรอย่างเหมาะสม โดยหลังจากที่ได้ระบบที่ต้องการแล้วก็ทำการดำเนินการตามระบบที่ได้วางแผนไว้ จากนั้นทำการตรวจสอบการดำเนินงานว่ามีการดำเนินงานครบถ้วนตามวัตถุประสงค์และแผนที่วางไว้หรือไม่ และยังมีจุดอ่อนอยู่ที่จุดใด อย่างไร เมื่อได้ข้อมูลครบถ้วนแล้วก็นำมาพิจารณาทำการบำรุงรักษากระบวนการเดิมที่มีประสิทธิภาพเหมาะสมเพียงพอ และทำการปรับปรุงกระบวนการที่ยังมีจุดอ่อนให้ดีขึ้น เพื่อทำให้ระบบบริหารจัดการที่ประยุกต์ใช้ในองค์กรนั้นมีคุณภาพ ทันสมัย และเหมาะสมอยู่เสมอ

สำหรับระบบการจัดการตามระบบคุณภาพ ISO/IEC 27000 อันเป็นมาตรฐานของระบบคุณภาพที่ใช้ในการบริหารความมั่นคงปลอดภัยสำหรับสารสนเทศ หรือ Information Security Management (ISM) นั้นประกอบด้วยมาตรฐานย่อยอื่นๆดังนี้

  1. ISO/IEC 27000 : 2008 ว่าด้วย ภาพรวมและคำศัพท์ต่างๆที่ใช้ในมาตรฐาน
  2. ISO/IEC 27001 : 2005 ว่าด้วย ความต้องการตามมาตรฐาน ว่าสิ่งที่จำเป็นต้องดำเนินการนั้นมีเรื่องใดบ้าง
  3. ISO/IEC 27002  ว่าด้วย เกณฑ์มาตรฐานในการปฏิบัติ ว่าควรปฏิบัติอย่างไรเพื่อให้เป็นไปตามความต้องการของมาตรฐาน สิ่งใดที่จำเป็นต้องมี และต้องมีในระดับไหน
  4. ISO/IEC 27003 : 2009  ว่าด้วย แนวทางการดำเนินงานตามมาตรฐาน
  5. ISO/IEC 27004  ว่าด้วย การวัดประเมินตามมาตรฐาน
  6. ISO/IEC 27005 : 2008 ว่าด้วย การบริหารความเสี่ยงตามมาตรฐาน
  7. ISO/IEC 27006 : 2008 ว่าด้วย แนวทางการปฏิบัติเพื่อให้ได้รับการรับรองตามมาตรฐาน
  8. ISO/IEC 27007 ว่าด้วย แนวทางการตรวจประเมินตามมาตรฐานของผู้ตรวจประเมิน

แต่โดยทั่วไปหากพูดถึงมาตรฐานการบริหารความมั่นคงปลอดภัยสำหรับสารสนเทศ เราก็จะไปให้ความสนใจกับความต้องการตามมาตรฐาน แล้วเรียกรวมๆว่า ISO 27001 นั่นเอง ซึ่งสิ่งที่ขาดไม่ได้เมื่อต้องการจะประยุกต์ใช้ระบบคุณภาพตามมาตรฐาน ISO 27000 ในองค์กร ก็คือองค์กรต้องมีการดำเนินการดังต่อไปนี้

  • จัดทำนโยบายระบบบริหารความมั่นคงปลอดภัยสำหรับสารสนเทศ (ISMS)
  • กำหนดขอบเขตของระบบบริหารความมั่นคงปลอดภัยสำหรับสารสนเทศ (ISMS)
  • จัดทำขั้นตอนและการควบคุมในการสนับสนุนระบบบริหารความมั่นคงปลอดภัยสำหรับสารสนเทศ (ISMS)
  • เลือกและจัดทำวิธีการประเมินความเสี่ยง
  • จัดทำรายงานการประเมินความเสี่ยง
  • จัดทำแผนการรักษาความเสี่ยงขั้นตอนการบันทึกตามระบบบริหารความมั่นคงปลอดภัยสำหรับสารสนเทศ (ISMS)
  • จัดทำบันทึกในระบบบริหารความมั่นคงปลอดภัยสำหรับสารสนเทศ (ISMS)
  • จัดทำ Statement of Applicability (SoA) หรือ เอกสารแสดงมาตรการในมาตรฐาน ISO/IEC 27001 ที่องค์กรได้มีการนำมาใช้งานและเหตุผลของการใช้ รวมทั้งมาตรการที่ไม่ได้นำมาใช้งานและเหตุผลที่ไม่ได้ใช้งาน

โดยการดำเนินการดังกล่าวต้องครอบคลุมหัวข้อหลัก (Domain) ที่จำเป็นในการปฏิบัติตามเกณฑ์มาตรฐานระบบคุณภาพ ISO 27001 ซึ่งมีอยู่ทั้งหมด 11 หัวข้อหลัก คือ

  • Domain ที่ 1 ในมาตรฐานคือหมวด A5 เป็นหัวข้อที่ว่าด้วยเรื่อง Security Policy หรือ นโยบายการรักษาความมั่นคงปลอดภัยสำหรับสารสนเทศขององค์กร
  • Domain ที่ 2 ในมาตรฐานคือหมวด A6 เป็นหัวข้อที่ว่าด้วยเรื่อง Organization  of Information Security หรือ โครงสร้างพื้นฐานด้านการรักษาความมั่นคงปลอดภัยสำหรับสารสนเทศขององค์กร
  • Domain ที่ 3 ในมาตรฐานคือหมวด A7 เป็นหัวข้อที่ว่าด้วยเรื่อง Asset Management หรือ การบริหารจัดการสินทรัพย์ที่เกี่ยวกับสารสนเทศขององค์กร
  • Domain ที่ 4 ในมาตรฐานคือหมวด A8 เป็นหัวข้อที่ว่าด้วยเรื่อง Human Resource Security หรือ การรักษาความมั่นคงปลอดภัยด้านทรัพยากรบุคคลที่มีผลกระทบต่อความมั่นคงปลอดภัยสำหรับสารสนเทศ
  • Domain ที่ 5 ในมาตรฐานคือหมวด A9 เป็นหัวข้อที่ว่าด้วยเรื่อง Physical & Environmental Security หรือ การรักษาความมั่นคงปลอดภัยทางกายภาพที่มีผลกระทบต่อความมั่นคงปลอดภัยสำหรับสารสนเทศ
  • Domain ที่ 6 ในมาตรฐานคือหมวด A10 เป็นหัวข้อที่ว่าด้วยเรื่อง Communications & Operations Management หรือ การบริหารจัดการเรื่องการสื่อสารและการปฏิบัติงานที่มีผลกระทบต่อความมั่นคงปลอดภัยสำหรับสารสนเทศ
  • Domain ที่ 7 ในมาตรฐานคือหมวด A11 เป็นหัวข้อที่ว่าด้วยเรื่อง Access Control หรือ การควบคุมการเข้าถึงข้อมูลสารสนเทศ
  • Domain ที่ 8 ในมาตรฐานคือหมวด A12 เป็นหัวข้อที่ว่าด้วยเรื่อง Information Systems Acquisition Development & Maintenance หรือ การพัฒนาและการบำรุงรักษาระบบสารสนเทศ
  • Domain ที่ 9 ในมาตรฐานคือหมวด A13 เป็นหัวข้อที่ว่าด้วยเรื่อง Information Security Incident Management หรือ การบริหารการเตรียมความพร้อมเพื่อรับเหตุการณ์ที่ไม่คาดฝันที่อาจเกิดขึ้นกับระบบสารสนเทศ
  • Domain ที่ 10 ในมาตรฐานคือหมวด A14 เป็นหัวข้อที่ว่าด้วยเรื่อง Business Continuity Management  หรือ การบริหารการดำเนินธุรกิจอย่างต่อเนื่อง
  • Domain ที่ 11 ในมาตรฐานคือหมวด A15 เป็นหัวข้อที่ว่าด้วยเรื่อง Compliance หรือ การปฏิบัติตามกฏระเบียบข้อบังคับ

ทั้งนี้ในแต่ละหัวข้อหลัก หรือ Domain จะประกอบไปด้วย วัตถุประสงค์ของการควบคุมตามเกณฑ์มาตรฐาน หรือ Control Objectives และในแต่ละ Control Objectives จะประกอบไปด้วย ตัวควบคุมตามเกณฑ์มาตรฐาน หรือ Controls  ดังนั้นใน เกณฑ์มาตรฐานระบบคุณภาพ ISO 27001 ซึ่งประกอบด้วย Domain ทั้งหมด 11 หัวข้อ จะมี Control Objectives ทั้งหมด 39 ข้อ และมี Controls ทั้งหมด 133 ข้อ  อย่างไรก็ตามองค์กรไม่จำเป็นต้องมีการดำเนินงานตาม Control Objectives ทั้งหมด 39 ข้อ และไม่จำเป็นต้องมีการดำเนินงานตาม Controls ทั้งหมด 133 ข้อ  เนื่องจากทั้งนี้ทั้งนั้นขึ้นอยู่กับ ลักษณะภารกิจ และ การวิเคราะห์ผลกระทบทางธุรกิจ หรือ  Business Impact Analysis : BIA ของแต่ละองค์กรนั่นเอง

การรักษาความมั่นคงปลอดภัยของระบบสารสนเทศ

ระบบสารสนเทศประกอบด้วย 5 องค์ประกอบ คือ

  1. Hardware – อุปกรณ์
  2. Software – โปรแกรมประยุกต์, ระบบ, OS, DB, Application
  3. Data – ข้อมูลดิบ, Information, Knowledge
  4. People (User) – คน (Personnel)
  5. Business Process (Process, Procedure)

องค์ประกอบของความมั่นคงปลอดภัยของสารสนเทศ ประกอบด้วย

1. ความลับ (Confidentiality) – เป็นการทำให้มั่นใจว่ามีเฉพาะผู้มีสิทธิ์หรือได้รับอนุญาตเท่านั้นที่สามารถเข้าถึงได้

2. ความถูกต้องสมบูรณ์(Integrity) – ข้อมูลที่ปกป้องนั้น ต้องมีความถูกต้องสมบูรณ์ ต้องมีกลไกในการตรวจสอบสิทธิ์ การอนุญาตให้เปลี่ยนแปลงหรือแก้ไขข้อมูล

3. ความพร้อมใช้งาน (Availability) – ต้องสามารถตอบสนองความต้องการของผู้ใช้งานที่มีสิทธิ์เข้าถึงระบบได้เมื่อต้องการ

สิ่งที่ต้องคำนึงถึงในการการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศ คือ

1. ระบบรักษาความมั่นคงปลอดภัยของระบบสารสนเทศต้องป้องกัน (สม่ำเสมอ) ทุกองค์ประกอบ (ทั้ง 5 องค์ประกอบ) ความเข้มแข็งรวมของระบบนั้นมาจากความอ่อนแอของระบบรักษาความมั่นคงปลอดภัย

2. ระบบรักษาความมั่นคงปลอดภัยของระบบสารสนเทศป้องกันตามมูลค่า คุ้มครองข้อมูลตามมูลค่า (มูลค่า – การลงทุนป้องกัน, มูลค่าความเสียหายถ้าไม่ป้องกัน) จัดเกรดข้อมูลว่าอันไหนสำคัญ เพื่อจะได้วางระบบรักษาความปลอดภัยได้ถูก

3. การรักษาความมั่นคงปลอดภัยของระบบรักษาความมั่นคงปลอดภัยของระบบสารสนเทศ ไม่มีระบบที่สมบูรณ์แบบ ไม่มีระบบที่ใช้ได้ตลอดไป

4. การรักษาความมั่นคงปลอดภัยของระบบรักษาความมั่นคงปลอดภัยของระบบสารสนเทศ เป็นกระบวนการที่ต้องทำต่อเนื่องตลอดไป

ในรูปของการปรับปรุงให้ดียิ่งขึ้น ให้ทันต่อภัยคุกคาม โดยใช้ PDCA, PDCA, … ทำหลายๆ รอบ A ตัวสุดท้ายจะเป็นเหตุให้ต้องทำ P รอบถัดไป วงรอบที่เหมาะสมในการทำ PDCA คือ 1 ปี

โดยที่ PDCA คือ กระบวนการของการทำ P (Plan คือ วางแผน), D (Do คือ ดำเนินการตามแผน), C (Check หรือ ตรวจสอบสอบทานการดำเนินงานตามแผน), A (Act หรือ เมื่อพบข้อผิดพลาดมีการสั่งการหรือหาแนวทางในการดำเนินการแก้ไข)

5. ผู้ที่จะเข้ามาโจมตีระบบสารสนเทศ จะเลือกเข้ามาในทิศทางที่คุณคาดไม่ถึงเสมอ

หลักการของการทำให้ปลอดภัย แบ่งเป็น 3 วิธี คือ

  1. Prevention       – ถ้ากันได้กัน      ß เป็นวิธีที่ดีที่สุด (เรื่องไม่เคยเกิดขึ้น, ไม่มีวันเกิดขึ้น)
  2. Detection        – กันไม่ได้แต่รู้ทันทีที่เกิด ß ทำให้มีปฏิกิริยาได้เร็ว บางครั้งแพง
  3. Recovery         – ปล่อยให้เกิดแล้วค่อยไปตามแก้ไข ต้องมีความสามารถเหมือน Detection แต่ช้ากว่า

ที่มา :  ผศ. พีรวัฒน์ วัฒนพงศ์ (วิชา Information System Security)