มาร่วมเรียนรู้เกี่ยวกับ การใช้สัตว์เพื่องานทางวิทยาศาสตร์

มาตรการเพิ่มประสิทธิภาพการใช้จ่ายงบประมาณรายจ่ายประจำปี 2560 และงบประมาณรายจ่ายเพิ่มเติมปี 2560

ร่วมเรียนรู้ พ.ร.บ.การจัดซื้อจัดจ้างและการบริหารพัสดุภาครัฐ 2560 กับ วว.

พ.ร.บ.จัดซื้อจัดจ้างและการบริหารพัสดุภาครัฐ พ.ศ. 2560 มีผลบังคับ 180 วันนับแต่วันที่ประกาศในราชกิจจานุเบกษาเมื่อวันที่ 24 กุมภาพันธ์ 2560 โดยเริ่มบังคับใช้ในวันที่ 23 สิงหาคม 2560 ที่ผ่านมา เรามาเรียนรู้ร่วมกันเพื่อจะได้ปฏิบัติได้อย่างถูกต้องจากการชมวีดีทัศน์การเสวนาให้ความรู้ได้ที่นี่ ทั้งนี้ มีทั้งหมด 17 ตอน

ท่านสามารถอ่านเอกสารเพิ่มเติมประกอบที่นี่ ประกอบด้วย

การจัดการข้อร้องเรียนของ วว.

     วว. ได้มีการทบทวนและปรับปรุงขั้นตอนในการจัดการข้อร้องเรียนอย่างต่อเนื่อง โดยมุ่งเน้นให้ผลิตภัณฑ์และบริการของ วว. ตอบสนองต่อความพึงพอใจของลูกค้าและความต้องการของตลาดสูงสุด

เทคนิคการสร้าง EQ สำหรับผู้บริหาร

เทคนิคการสร้าง EQ สำหรับผู้บริหาร

>>> โดย ดร. วรุตม์ ทวีศรี <<<

Boss Man Angry

          หลายต่อหลายปีที่ผู้บริหารระดับสูงอย่าง Chief Executive Officer หรือ CEO ต้องทนกับความกดดันในการบริหารงานและดูแลองค์กรให้พัฒนาก้าวหน้า จนทำให้ผู้บริหารหลายต่อหลายคนกลายเป็นคนที่มีพฤติกรรมโมโboredom1หง่ายหรือขาด Emotional-Intelligence Quotient (EQ) ซึ่งหมายความง่ายๆ ก็คือ ความสามารถในการควบคุมอารมณ์ในสภาวการณ์ต่างๆ ผู้บริหารระดับสูงหลายคนรับความกดดันจากภายนอกมา และไม่สามารถทนต่อสภาวะกดดันต่างๆ เหล่านั้นได้ ส่งผลต่อจิตใจของตนเอง ทำให้เกิดความเครียด ความขุ่นมัว หรือความระแวงต่อความล้มเหลวมากเกินไป จนทำให้ความสามารถในการควบคุมอารมณ์ของตนเองลดต่ำลง ทำให้ผู้ใต้บังคับบัญชาต้องทนกับอารมณ์ที่ขึ้นๆ ลงๆ ไม่คงที่ของผู้บริหาร จนส่งผลเกิดความเบื่อหน่ายต่อผู้บริหาร และอาจส่งผลเสียต่อประสิทธิภาพการทำงานได้ เช่น การขาดความคิดสร้างสรรค์ในการทำงาน เนื่องจากเกิดความเบื่อหน่ายในการจะนำเสนอความคิดใหม่ เพราะต้องการหลีกเลี่ยงที่จะสนทนากับผู้บริหาร ดังนั้นจะเห็นได้ว่า การควบคุมอารมณ์ของผู้บริหารนั้น เป็นสิ่งที่จำเป็นต่อการบริหารงานอย่างยิ่ง เพราะการมีความรอบรู้ในการบริหารงานแต่เพียงอย่างเดียว ไม่สามารถจะนำพาองค์กรไปสู่จุดสูงสุดได้หากขาด EQ

          ดังนั้นผู้บริหารที่ดีจึงควรจะมีการจัดการบริหาร EQ ของตนเอง เพื่อเพิ่มประสิทธิภาพในการปฏิบัติงานให้ดีขึ้น นอกจากนี้ ยังจะช่วยสร้างความสัมพันธที่ดีกับผู้ใต้บังคับบัญชาด้วย ส่งผลให้ผู้ใต้บังคับบัญชารู้สึกเคารพ และพร้อมที่จะทุ่มกายและใจในการปฏิบัติงานอย่างเต็มกำลังความสามารถ สำหรับเทคนิคง่ายๆ ในการเริ่มสร้าง EQ บริหารนั้น สามารถเริ่มต้นทำได้จาก 5 เทคนิค ดังนี้

ให้ความสำคัญกับความรู้สึกผู้อื่น

meeting1         ผู้บริหารระดับสูงที่ประสบความสำเร็จ ต้องไม่ละเลยที่จะรับรู้หรือเข้าใจความรู้สึกผู้อื่น การที่มีความเข้าใจ และใส่ใจเพื่อนร่วมงาน หรือผู้ใต้บังคับบัญชานั้น ก็เพื่อที่จะทำให้อารมณ์ต่างๆ เหล่านั้นของเพื่อนร่วมงานหรือผู้ใต้บังคับบัญชาไม่เป็นอุปสรรคต่อการปฏิบัติงาน การทำความเข้าใจอารมณ์ของเพื่อนร่วมงานหรือผู้ใต้บังคับบัญชา อาจสามารถทำได้โดยการพูดคุย การแสดงความเห็นอกเห็นใจ การรับฟัง การปลอบโยน ให้กำลังใจ ถึงแม้บางครั้งผู้บริหารอาจจะไม่สามารถช่วยแก้ปัญหาได้ แต่การแสดงความเห็นอกเห็นใจนั้น ก็สามารถทำให้เพื่อนร่วมงานหรือผู้ใต้บังคับบัญชารู้สึกไม่โดดเดี่ยว และมีความเข้มแข็งในการก้าวข้ามปัญหาที่เขาเหล่านั้นกำลังเผชิญไปได้ ทำให้พวกเขาเหล่านั้นสามารถกลับมาปฏิบัติงานได้อย่างเต็มประสิทธิภาพโดยเร็ว

ชมเชยผู้ใต้บังบัญชา

         ผู้บริหารที่ดีจะต้องมองเห็นความดีและความทุ่มเทของผู้ร่วมงานและผู้บังคับบัญชา หากผู้บริหารเห็น ความดีและความทุ่มเทในการปฏิบัติงานอย่างเต็มความสามารถ ทำให้ผลงานออกมาดี ทันต่อเวลา ผู้บริหารที่ดี จะต้องไม่ละเลยที่จะแสดงออกถึงความภาคภูมิใจในตัวเพื่อนร่วมงาน หรือผู้ใต้บังคับบัญชา โดยการกล่าวชมเชยเป็นคำพูด หรือเขียนอีเมลชมเชยเป็นลายลักษณ์อักษร เพื่อให้พวกเขาเหล่านั้นเกิดความภาคภูมิใจในตนเอง นอกจากนี้การชมเชยของผู้บริหารจะสร้างความรู้สึกภักดีให้กับพวกเขา ทำให้รู้สึกว่าตนได้รับการยกย่อง เชิดชู จึงพร้อมที่จะปฏิบัติงานอย่างเต็มกำลังความสามารถเมื่อถูกร้องขอในโอกาสต่อไป

ระมัดระวังอารมณ์ของตนเอง

angryboss1         ผู้บริหารที่มีประสิทธิภาพต้องมีการเฝ้าระมัดระวังอารมณ์ของตนเองหรือมีการควบคุมอารมณ์ของตนอยู่เสมอ โดยต้องตระหนักถึงอารมณ์ของตนเองที่จะไปกระทบกับผู้อื่น ต้องระมัดระวังคำพูด ในขณะที่อารมณ์ของตนเองขุ่นมัว ต้องเข้าใจถึงบทบาทและหน้าที่ของตนเองในสถานการณ์ต่างๆ ที่ต้องเผชิญ การฝึกฝนการเฝ้าระวังอารมณ์อาจสามารถทำได้โดยการหยุดเพื่อจดบันทึกอารมณ์ ความคิดต่างๆ ในสถานการณ์ที่พบเจอ เพื่อที่จะช่วยให้ตนเองไม่ด่วนตัดสินใจกระทำพฤติกรรมในใดๆ ไปอย่างหุนหันพลันแล่น และเพื่อตรวจสอบดูว่า อารมณ์ต่างๆ ที่เกิดขึ้นเหล่านั้น ส่งผลต่อพฤติกรรมและการตัดสินใจของตนเองอย่างไร

การนอนหลับพักผ่อน

          การนอนหลับพักผ่อนที่เพียงพอทำให้ร่างกายและสมองได้รับการพักผ่อนไปด้วย และการที่สมองได้รับ การพักผ่อนอย่างเพียงพอจะทำให้สมองได้รับการรีชาร์จ (recharge) ทำให้มีการจัดเรียงข้อมูลที่รับมาในแต่ละวัน ความทรงจำที่ดีมีประโยชน์ก็จะถูกเก็บไว้ในพื้นที่ที่สามารถเรียกใช้ต่อไป ส่วนที่ไม่ดี ไม่มีประโยชน์ ก็จะถูกสมองจัดเก็บไว้ในส่วนลึก และในที่สุดก็จะกลายเป็นเพียงแค่ความทรงจำ และเมื่อสมองได้จัดเก็บข้อมูลต่างๆ เหล่านั้นแล้ว เราก็จะตื่นเช้ามาด้วยความสดชื่น ไม่ขุ่นมัว พร้อมที่จะปฏิบัติงานได้อย่างเต็มที่มีประสิทธิภาพ ผู้บริหารหลายคนประสบปัญหาการพักผ่อนไม่เพียงพอ หลับไม่สนิทหรือไม่เต็มที่ ทำให้สมองไม่ได้รับการรีชาร์จ เมื่อตื่นนอนมาจึงไม่รู้สึกสดชื่น และไม่สามารถควบคุมอารมณ์ตนเองได้เมื่อพอเจอปัญหาหรืออุปสรรคต่างๆ  ที่เพิ่ม เข้ามาในแต่ละวัน

เลิกคิดและพูดในเชิงลบ

          การเลิกคิดและเลิกพูดในเชิงลบถือว่าเป็นก้าวสำคัญในการพัฒนา EQ ของผู้บริหาร เพราะยิ่งผู้บริหารมีความคิดในเชิงลบมากเท่าใด พฤติกรรมการแสดงออกหรือคำพูดที่ออกมาก็จะเป็นไปในเชิงลบในลักษณะของอคติ มากกว่าที่จะเป็นข้อเท็จจริง ดังนั้นจึงควรหมั่นฝึกฝนตนเองโดยการควบคุมความคิดในเชิงลบด้วยการหยุดพฤติกรรมดังกล่าว ซึ่งอาจทำได้โดยการหยุดการกระทำต่างๆ ไว้ก่อนหากตนเองเริ่มเกิดความคิดในเชิงลบกับสิ่งต่างๆ จากนั้นจึงเขียนบันทึกความคิดต่างๆ เหล่านั้นเอาไว้ เพื่อที่จะชะลอตนเองไม่กระทำพฤติกรรมในเชิงลบออกไปก่อนที่จะไตร่ตรองอย่างรอบคอบ จากนั้นอ่านทบทวนสิ่งที่ตนเองบันทึกไว้ และพิจารณาอย่างรอบคอบว่าสิ่งนั้นเป็นข้อเท็จจริงหรือเป็นเพียงแค่ทัศนคติในเชิงลบที่ไม่ก่อให้เกิดประโยชน์ใดๆ หากมีการสื่อออกมา

          เทคนิคทั้ง 5 ข้อที่นำเสนอมานี้ เป็นเพียงเทคนิคในการเริ่มต้นของการสร้าง EQ ของผู้บริหาร ซึ่งคนทั่วไปก็อาจนำไปประยุกต์ใช้ได้ เพื่อให้เกิดประโยชน์ต่อตนเอง

แปลและเรียบเรียงจาก Why Your Boss Lacks Emotional Intelligence จากนิตยสาร Forbes โดย Travis Bradberry

จิตวิทยาในการสื่อสาร

ทุกวันนี้การสื่อสารเป็นสิ่งจำเป็นและเป็นสิ่งขับเคลื่อนให้ธุรกิจและการดำเนินงานต่างๆ เป็นไปอย่างราบรื่น มีประสิทธิภาพ และประสบความสำเร็จ แต่อย่างไรก็ตาม หลายองค์กรอาจประสบปัญหาเรื่องการสื่อสาร ทำให้องค์กรไม่สามารถก้าวหน้าไปได้ตามความคาดหวังของผู้บริหารระดับสูง ทั้งนี้ปัญหาที่ข้องเกี่ยวกับการสื่อสารนี้อาจมาจากการสื่อสารทั้งภายในและภายนอกองค์กรก็ได้ ซึ่งปัจจัยที่เกี่ยวข้องกับปัญหานี้โดยตรงก็คือ บุคลากรภายในองค์กรขาดทักษะในการสื่อสารและไม่เข้าใจถึงหลักจิตวิทยาในการสื่อสาร ทำให้ไม่สามารถสื่อสารกันเองภายใน หรือติดต่อประสานงานกับหน่วยงานภายนอกได้สำเร็จ ดังนั้นการแก้ปัญหาดังกล่าวนั้น จำเป็นต้องสร้างความรู้ ความเข้าใจในหลักจิตวิทยาพื้นฐานของการสื่อสาร เพื่อให้การสื่อสารและการมีปฏิสัมพันธ์ของบุคลากรใน องค์กรมีความราบรื่นอันจะนำไปสู่ความสำเร็จของงาน เพราะปฏิสัมพันธ์ระหว่างบุคคลนั้น ขึ้นอยู่กับการคิดวิเคราะห์ในระดับจิตใต้ สำนึกเกี่ยวกับประโยชน์หรือผลเสียที่จะได้รับจากการมีปฏิสัมพันธ์ ซึ่งการคิดวิเคราะห์นี้จะส่งผลต่อพฤติกรรมของบุคคลที่แสดงออกมา ซึ่งโดยทั่วไปแล้วบุคคลจะเลือกกระทำพฤติกรรมที่ประเมินแล้วว่า ตนเองจะไม่เสียผลประโยชน์ หรือได้รับผลเสียจากการเลือกกระทำพฤติกรรมใดพฤติกรรมหนึ่ง ตัวอย่างเช่น ในการประชุมหากมีการขอความคิดเห็นในการแก้ปัญหาเรื่องใดเรื่องที่องค์กรกำลังประสบอยู่ แต่ไม่มีบุคคลใดเสนอความคิดเห็น ซึ่งนี่ก็อาจไม่ได้เป็นเพราะบุคคลเหล่านั้นไม่มีแนวความคิดในการแก้ไขปัญหา แต่อาจเป็นเพราะบุคคลเหล่านั้นได้ประเมินแล้วว่า การเสนอแนวความคิดในการแก้ปัญหาออกไปจะเป็นการเพิ่มภาระงานให้กับตนเอง เพราะผู้บังคับบัญชาอาจโยนความรับผิดชอบให้ตนเองเพียงผู้เดียว เป็นต้น ดังนั้นจึงเห็นได้ว่า เราจำเป็นต้องเข้าใจหลักจิตวิทยาในการสื่อสาร เพื่อสร้างความรู้สึกเป็นบวก (positive) ในการมีปฏิสัมพันธ์กันของบุคลากรในองค์กร ทั้งนี้เพื่อให้องค์กรมีความก้าวหน้าและเติบโต ไปได้อย่างมีประสิทธิภาพและยั่งยืน

พื้นฐานของหลักจิตวิทยาในการสื่อสารเบื้องต้นนั้น สามารถสรุปได้สั้นๆ คือ การสื่อสารด้วยการสร้างแรงจูงใจด้วยความสนุก เป็นกันเอง มีความเห็นอกเห็นใจ และให้เกียรติ นอกจากนี้ตัวสารหรือข้อความที่ต้องการจะสื่อออกไปนั้นต้องกระชับ เข้าใจง่าย และที่สำคัญอย่างยิ่ง คือ เป็นข้อความในเชิงบวกเท่านั้น ลักษณะการพูดในเชิงการออกคำสั่ง การขู่บังคับ การพูดตัดพ้อ หรือการพูดเหน็บแนม ประชดประชัน เป็นสิ่งที่ควรหลีกเลี่ยงอย่างยิ่งในการสื่อสารภายในองค์กร เพราะจะทำให้เกิดความขัดแย้งอันจะส่งผลเสียระยะยาวต่อองค์กรได้ การสื่อสารด้วยการสร้างแรงจูงใจ ด้วยความสนุก เป็นกันเอง เห็นอกเห็นใจและให้เกียรตินี้ เป็นการประยุกต์มาจากทฤษฎีลำดับขั้นความต้องการของมนุษย์ของ Maslow’s hierarchy of needs ซึ่งมีการตีพิมพ์ในวารสารด้านจิตวิทยามาตั้งแต่ปี 1943 และถูกใช้อ้างอิงอย่างกว้างจนมาถึงปัจจุบัน ตามหลักทฤษฎีของ Maslow ได้กล่าวไว้ว่า มนุษย์นั้น มีความต้องการเป็นลำดับ 5 ขั้นพีระมิด ดังนี้

ลำดับขั้นความต้องการของมนุษย์ตามทฤษฎีของ Maslow นี้เริ่มตั้งแต่ฐานพีระมิดไปจนถึงยอดพีระมิด Maslow เชื่อว่า หากมนุษย์ได้รับความต้องพื้นฐานในการดำรงชีวิตอยู่แล้ว ก็จะเริ่มต้องการความปลอดภัยและความมั่นคงในชีวิต จากนั้นจึงจะต้องการความรักและความรู้สึกร่วมเป็นส่วนหนึ่งของสังคมหรือองค์กรที่ตนเองสังกัด จากนั้นจึงจะเริ่มต้องการการให้เกียรติและการได้รับความเคารพจากบุคคลอื่น และเมื่อได้รับการยอมรับจากบุคคลอื่น มนุษย์ก็จะมีความต้องการที่จะตระหนักถึงศักยภาพของตนเอง ซึ่งอาจหมายถึงความต้องการพัฒนาศักยภาพ และการเรียนรู้จักผิดชอบชั่วดี การให้เกียรติคนอื่น และการควบคุมอารมณ์ ซึ่งถือเป็นจุดสูงสุดของความต้องการของมนุษย์ ซึ่งความต้องการสุดท้ายนี้จะเกิดขึ้นไม่ได้เลย หากความต้องการพื้นฐานด้านล่างของพีระมิดยังไม่ได้รับการเติมเต็ม

ดังนั้น หลักจิตวิทยาในการสื่อสารจึงจำเป็นต้องคำนึงถึงหลักทฤษฎีความต้องการนี้โดยใช้วิธีการสื่อสารที่สร้างแรงจูงใจมีความสนุก เป็นกันเอง เต็มไปด้วยความเห็นอกเห็นใจ และให้เกียรติ ซึ่งทำได้โดยการเลือกใช้ภาษา ถ้อย คำ หรือน้ำเสียงที่เป็นไปในเชิงบวก เช่น การพูดชมเชย การพูดในเชิงขอความร่วมมือแทนการออกคำสั่งและชี้แจงให้ทราบถึงเหตุผลหรือความจำเป็นในการขอความร่วมมือ โดยอาจชี้แจงถึงผลกระทบในภาพรวม หากไม่ได้รับความร่วมมือ ซึ่งควรพูดในเชิงขอความเห็นใจไม่ใช่การขู่ถึงผลที่จะตามมา นอกจากนี้หากจำเป็นต้องมีการติเตียน ควรจะสื่อสารในลักษณะที่เป็นไปในเชิงบวก เช่น การให้ข้อเสนอแนะเพื่อปรับปรุงแทนการต่อว่า เป็นต้น ทั้งนี้เพื่อให้ผู้ฟังไม่เกิดความรู้สึกว่ากำลังถูกดูถูกเหยียดหยามหรือไม่ได้รับความเคารพหรือนั่นเอง

นอกจากนี้การสื่อสารที่มีความสนุกและเป็นกันเองนั้น ยังช่วยให้ผู้ฟังมีทัศนคติที่เป็นไปในเชิงบวกต่อผู้พูด ซึ่งส่งผลให้ผู้ฟังมีความตั้งใจที่จะฟังผู้พูด และไม่เกิดอคติแก่ผู้พูด ทำให้ไม่เกิดการแปลความหมายของข้อความที่ผู้พูดต้องการจะสื่อสารผิดเพี้ยนไป และอาจส่งผลให้ผู้ฟังคล้อยตามผู้พูดอีกด้วย เทคนิคการสื่อสารที่มีบรรยากาศของความสนุกสนานเป็นกันเองนั้น โดยส่วนใหญ่มักจะใช้ในการสื่อสารกับคนหมู่มาก เช่น การปาฐกถา การบรรยายต่างๆ ซึ่งเทคนิคการสื่อสารในลักษณะนี้ ผู้สื่อสารจำเป็นที่จะต้องเข้าใจถึงลักษณะอารมณ์ต่างๆ ของผู้ฟัง หรือรู้ทันอารมณ์ของผู้ฟัง สามารถประเมินอารมณ์ของผู้ฟังได้โดยอาจสังเกตจากสีหน้าและภาษากายของผู้ฟัง ซึ่งความสามารถการประเมินอารมณ์ของผู้ฟังนี้จะช่วยให้ผู้พูดสามารถปรับวิธีการสื่อสารและรับมือกับเหตุการณ์เฉพาะหน้าได้ดี โดยเฉพาะในกรณีการสื่อสารกับลูกค้าภายนอกองค์กร

การสื่อสารที่สร้างแรงจูงใจ มีความสนุกเป็นกันเอง เต็มไปด้วยความเห็นอกเห็นในนั้น เป็นเรื่องที่ต้องฝึกฝน และตัวผู้สื่อสารเองจำเป็นต้องมีความตระหนักรู้ถึงอารมณ์ตนเอง รู้จักควบคุมอารมณ์ และมีความใจกว้าง เห็นอกเห็นใจ และรับฟังความเห็นผู้อื่นอย่างเป็นธรรม เพื่อให้สารที่ส่งออกไปสามารถโน้มน้าวผู้ฟังให้เชื่อ ยินยอมทำตาม หรือแม้แต่นำสารที่เราสื่อออกไปกลับไปคิดพิจารณา ดังนั้นจึงเห็นได้ว่า การเรียนรู้หลักจิตวิทยาในการสื่อสารไม่ใช่เรื่องที่เราจะต้องทำความเข้าใจผู้ฟังฝ่ายเดียว ผู้สื่อสารเองก็จำเป็นที่จะต้องเข้าใจและรู้เท่าทันอารมณ์ของตนเองด้วย เพื่อให้สารที่ส่งไปยังผู้พูดไม่เป็นข้อความในเชิงลบ ซึ่งอาจจะส่งผลให้เกิดความขัดแย้ง ความหวาดกลัว หรือความตื่นตระหนัก ส่งผลการสื่อสารนั้นล้มเหลว จากข้อมูลทั้งหมดที่นำเสนอมานี้ จึงกล่าวได้ว่า จิตวิทยาในการสื่อสารเป็นสิ่งจำเป็นที่ทุกคนควรให้ความสำคัญ เพราะเป็นปัจจัยสำคัญที่ทำให้เกิดการพัฒนาในหลายๆ ด้านขององค์กร ไม่ว่าจะเป็น การบริหารงานภายในองค์การ การถ่ายทอดองค์ความรู้ภายในองค์กร หรือแม้แต่ภาพลักษณ์ขององค์กรต่อสาธารณะ ดังนั้นจึงอาจกล่าวได้ว่า การพยายามสร้างบุคลากรที่มีทักษะในการสื่อสารที่ดีเรียนรู้จิตวิทยาในการสื่อสารจึงนับเป็นสิ่งสำคัญที่องค์กรควรไม่ควรจะละเลย

บรรณานุกรม
Harré, N. (2011). Psychology for a better world. Lulu. com.
Maslow, A. H. (1943). A theory of human motivation. Psychological review,50(4), 370.
Tannenbaum, A. (2013). Social psychology of the work organization. Routledge.

ISO27001 ป้อมปราการที่สำคัญสำหรับการดำเนินธุรกิจในยุคสมัยนี้

ปัจจุบันข้อมูลสารสนเทศเปรียบเสมือนสินทรัพย์ที่มีมูลค่าและบทบาทสำคัญต่อการบริหารจัดการองค์กร ดังนั้นองค์กรต่างๆจึงเริ่มตระหนักถึงการปกป้องรักษาข้อมูลสารสนเทศที่สำคัญๆ อันนำมาซึ่งความท้าทายในการบริหารความมั่นคงปลอดภัยสำหรับสารสนเทศอย่างเป็นมาตรฐาน และมีประสิทธิภาพคุ้มค่ากับการลงทุน เพื่อให้ผู้ใช้ข้อมูลสารสนเทศมีความเชื่อมั่นว่าข้อมูลสารสนเทศดังกล่าวมีความปลอดภัยตามหลักของ C I A ซึ่งประกอบด้วย มีกระบวนการรักษาความลับที่เหมาะสม ผู้มีสิทธิเท่านั้นถึงจะเข้าถึงได้ (C : Confidentiality) มีความสมบูรณ์ถูกต้องของเนื้อหาสาระ (I : Integrity) และมีความพร้อมใช้งานอยู่เสมอ ผู้ใช้สามารถเข้าถึงข้อมูลเมื่อต้องการได้ทุกเวลา (A : Availability) โดยเฉพาะในโอกาสที่ประเทศไทยจะก้าวไปสู่ประชาคมอาเซียนในปี 2015 (ASEAN Community 2015) องค์กรต่างๆในประเทศไทยจึงจำเป็นต้องเริ่มตระหนักถึงความสำคัญในการบริหารจัดการความมั่นคงปลอดภัยสำหรับสารสนเทศ เพื่อสร้างความมั่นใจให้กับผู้บริหาร พนักงาน ลูกค้า และคู่ค้า ว่าสารสนเทศขององค์กรจะมีคุณสมบัติครบตามหลัก C I A

390509_2790834165560_921662489_n

ในปีที่ผ่านมา ผู้เขียนได้มีโอกาสรับการสนับสนุนจาก องค์การเพิ่มผลผลิตแห่งเอเชีย หรือ Asian Productivity Organization (APO) ในการเข้าร่วมโครงการ Training Course on the Information Security Management System: ISO 27000 Series ซึ่งมีจุดมุ่งหมายเพื่อให้การฝึกอบรมเชิงลึกเกี่ยวกับการประยุกต์ใช้ระบบการจัดการตามระบบคุณภาพ ISO 27000 อันเป็นมาตรฐานของระบบคุณภาพที่ใช้ในการบริหารความมั่นคงปลอดภัยสำหรับสารสนเทศ หรือ Information Security Management (ISM) และเตรียมความพร้อมให้ผู้ร่วมโครงการที่มาจากประเทศสมาชิกต่างๆดังกล่าวสามารถเป็นผู้นำการประเมินและการปฏิบัติงานตามมาตรฐาน ISO 27000 ได้อย่างมีประสิทธิภาพ ทำให้ผู้เขียนมีความเข้าใจถึงความสำคัญและการประยุกต์ใช้ระบบคุณภาพตามมาตรฐาน ISO 27000 ยิ่งขึ้น ด้วยเหตุนี้ผู้เขียนจึงอยากนำความรู้และประสบการณ์ที่ได้ มาแลกเปลี่ยนแบ่งปันกับผู้อ่านเพื่อให้ทุกท่านได้ตระหนักถึงการรักษาความมั่นคงปลอดภัยสำหรับสารสนเทศและสามารถนำไปประยุกต์ให้เกิดประโยชน์ต่อตนเองและองค์กรได้ต่อไป

ระบบบริหารจัดการความมั่นคงปลอดภัยสำหรับสารสนเทศ หรือ Information Security Management System (ISMS) นั้น คือ ระบบหรือกระบวนการที่ใช้ในการบริหารจัดการสารสนเทศที่มีความสำคัญขององค์กรให้มีความมั่นคงปลอดภัยตามหลัก C I A ซึ่งมีแนวทางการปฏิบัติตามขั้นตอนของกระบวนการดังนี้

เริ่มตั้งแต่ทำการวิเคราะห์และประเมินความเสี่ยงเพื่อทำให้ทราบว่าสารสนเทศใดที่มีความสำคัญต่อการดำเนินธุรกิจขององค์กร โอกาสที่จะเกิดความเสี่ยงและความเสียหายอันส่งผลกระทบต่อการดำเนินธุรกิจขององค์กรจากภัยคุกคามทั้งภายในภายนอกกับสารสนเทศนั้นมากน้อยแค่ไหน มีวิธีการบริหารจัดการในการป้องกันความเสี่ยงดังกล่าวอย่างไร โดยจำเป็นต้องจัดลำดับความสำคัญของความเสี่ยงทั้งหมดที่พบ และพิจารณาว่าสิ่งใดจำเป็นต้องรีบบริหารจัดการก่อนและหลัง จากนั้นจึงดำเนินการตามวงจร P (Plan หรือ การวางแผน) D (Do หรือ การประยุกต์ใช้หรือการดำเนินการ) C (Check หรือ การตรวจสอบ) A (Action หรือ การบำรุงรักษาหรือการปรับปรุง) โดยเริ่มจากทำการออกแบบระบบบริหารจัดการ ซึ่งในที่นี้หมายถึงกระบวนการที่เปรียบเสมือนเป็นเครื่องมือในการรักษาความมั่นคงปลอดภัย แต่ไม่ได้หมายรวมเพียงแค่การนำระบบเทคโนโลยีสารสนเทศมาสนับสนุนเท่านั้น ยังหมายรวมถึงการพัฒนาขั้นตอนปฏิบัติหรือการนำขั้นตอนปฏิบัติที่มีอยู่เดิมมาปรับปรุงเพื่อให้เกิดกระบวนการป้องกันและรักษาความมั่นคงปลอดภัยของสารสนเทศที่ใช้ในการดำเนินธุรกิจขององค์กรอย่างเหมาะสม โดยหลังจากที่ได้ระบบที่ต้องการแล้วก็ทำการดำเนินการตามระบบที่ได้วางแผนไว้ จากนั้นทำการตรวจสอบการดำเนินงานว่ามีการดำเนินงานครบถ้วนตามวัตถุประสงค์และแผนที่วางไว้หรือไม่ และยังมีจุดอ่อนอยู่ที่จุดใด อย่างไร เมื่อได้ข้อมูลครบถ้วนแล้วก็นำมาพิจารณาทำการบำรุงรักษากระบวนการเดิมที่มีประสิทธิภาพเหมาะสมเพียงพอ และทำการปรับปรุงกระบวนการที่ยังมีจุดอ่อนให้ดีขึ้น เพื่อทำให้ระบบบริหารจัดการที่ประยุกต์ใช้ในองค์กรนั้นมีคุณภาพ ทันสมัย และเหมาะสมอยู่เสมอ

สำหรับระบบการจัดการตามระบบคุณภาพ ISO/IEC 27000 อันเป็นมาตรฐานของระบบคุณภาพที่ใช้ในการบริหารความมั่นคงปลอดภัยสำหรับสารสนเทศ หรือ Information Security Management (ISM) นั้นประกอบด้วยมาตรฐานย่อยอื่นๆดังนี้

  1. ISO/IEC 27000 : 2008 ว่าด้วย ภาพรวมและคำศัพท์ต่างๆที่ใช้ในมาตรฐาน
  2. ISO/IEC 27001 : 2005 ว่าด้วย ความต้องการตามมาตรฐาน ว่าสิ่งที่จำเป็นต้องดำเนินการนั้นมีเรื่องใดบ้าง
  3. ISO/IEC 27002  ว่าด้วย เกณฑ์มาตรฐานในการปฏิบัติ ว่าควรปฏิบัติอย่างไรเพื่อให้เป็นไปตามความต้องการของมาตรฐาน สิ่งใดที่จำเป็นต้องมี และต้องมีในระดับไหน
  4. ISO/IEC 27003 : 2009  ว่าด้วย แนวทางการดำเนินงานตามมาตรฐาน
  5. ISO/IEC 27004  ว่าด้วย การวัดประเมินตามมาตรฐาน
  6. ISO/IEC 27005 : 2008 ว่าด้วย การบริหารความเสี่ยงตามมาตรฐาน
  7. ISO/IEC 27006 : 2008 ว่าด้วย แนวทางการปฏิบัติเพื่อให้ได้รับการรับรองตามมาตรฐาน
  8. ISO/IEC 27007 ว่าด้วย แนวทางการตรวจประเมินตามมาตรฐานของผู้ตรวจประเมิน

แต่โดยทั่วไปหากพูดถึงมาตรฐานการบริหารความมั่นคงปลอดภัยสำหรับสารสนเทศ เราก็จะไปให้ความสนใจกับความต้องการตามมาตรฐาน แล้วเรียกรวมๆว่า ISO 27001 นั่นเอง ซึ่งสิ่งที่ขาดไม่ได้เมื่อต้องการจะประยุกต์ใช้ระบบคุณภาพตามมาตรฐาน ISO 27000 ในองค์กร ก็คือองค์กรต้องมีการดำเนินการดังต่อไปนี้

  • จัดทำนโยบายระบบบริหารความมั่นคงปลอดภัยสำหรับสารสนเทศ (ISMS)
  • กำหนดขอบเขตของระบบบริหารความมั่นคงปลอดภัยสำหรับสารสนเทศ (ISMS)
  • จัดทำขั้นตอนและการควบคุมในการสนับสนุนระบบบริหารความมั่นคงปลอดภัยสำหรับสารสนเทศ (ISMS)
  • เลือกและจัดทำวิธีการประเมินความเสี่ยง
  • จัดทำรายงานการประเมินความเสี่ยง
  • จัดทำแผนการรักษาความเสี่ยงขั้นตอนการบันทึกตามระบบบริหารความมั่นคงปลอดภัยสำหรับสารสนเทศ (ISMS)
  • จัดทำบันทึกในระบบบริหารความมั่นคงปลอดภัยสำหรับสารสนเทศ (ISMS)
  • จัดทำ Statement of Applicability (SoA) หรือ เอกสารแสดงมาตรการในมาตรฐาน ISO/IEC 27001 ที่องค์กรได้มีการนำมาใช้งานและเหตุผลของการใช้ รวมทั้งมาตรการที่ไม่ได้นำมาใช้งานและเหตุผลที่ไม่ได้ใช้งาน

โดยการดำเนินการดังกล่าวต้องครอบคลุมหัวข้อหลัก (Domain) ที่จำเป็นในการปฏิบัติตามเกณฑ์มาตรฐานระบบคุณภาพ ISO 27001 ซึ่งมีอยู่ทั้งหมด 11 หัวข้อหลัก คือ

  • Domain ที่ 1 ในมาตรฐานคือหมวด A5 เป็นหัวข้อที่ว่าด้วยเรื่อง Security Policy หรือ นโยบายการรักษาความมั่นคงปลอดภัยสำหรับสารสนเทศขององค์กร
  • Domain ที่ 2 ในมาตรฐานคือหมวด A6 เป็นหัวข้อที่ว่าด้วยเรื่อง Organization  of Information Security หรือ โครงสร้างพื้นฐานด้านการรักษาความมั่นคงปลอดภัยสำหรับสารสนเทศขององค์กร
  • Domain ที่ 3 ในมาตรฐานคือหมวด A7 เป็นหัวข้อที่ว่าด้วยเรื่อง Asset Management หรือ การบริหารจัดการสินทรัพย์ที่เกี่ยวกับสารสนเทศขององค์กร
  • Domain ที่ 4 ในมาตรฐานคือหมวด A8 เป็นหัวข้อที่ว่าด้วยเรื่อง Human Resource Security หรือ การรักษาความมั่นคงปลอดภัยด้านทรัพยากรบุคคลที่มีผลกระทบต่อความมั่นคงปลอดภัยสำหรับสารสนเทศ
  • Domain ที่ 5 ในมาตรฐานคือหมวด A9 เป็นหัวข้อที่ว่าด้วยเรื่อง Physical & Environmental Security หรือ การรักษาความมั่นคงปลอดภัยทางกายภาพที่มีผลกระทบต่อความมั่นคงปลอดภัยสำหรับสารสนเทศ
  • Domain ที่ 6 ในมาตรฐานคือหมวด A10 เป็นหัวข้อที่ว่าด้วยเรื่อง Communications & Operations Management หรือ การบริหารจัดการเรื่องการสื่อสารและการปฏิบัติงานที่มีผลกระทบต่อความมั่นคงปลอดภัยสำหรับสารสนเทศ
  • Domain ที่ 7 ในมาตรฐานคือหมวด A11 เป็นหัวข้อที่ว่าด้วยเรื่อง Access Control หรือ การควบคุมการเข้าถึงข้อมูลสารสนเทศ
  • Domain ที่ 8 ในมาตรฐานคือหมวด A12 เป็นหัวข้อที่ว่าด้วยเรื่อง Information Systems Acquisition Development & Maintenance หรือ การพัฒนาและการบำรุงรักษาระบบสารสนเทศ
  • Domain ที่ 9 ในมาตรฐานคือหมวด A13 เป็นหัวข้อที่ว่าด้วยเรื่อง Information Security Incident Management หรือ การบริหารการเตรียมความพร้อมเพื่อรับเหตุการณ์ที่ไม่คาดฝันที่อาจเกิดขึ้นกับระบบสารสนเทศ
  • Domain ที่ 10 ในมาตรฐานคือหมวด A14 เป็นหัวข้อที่ว่าด้วยเรื่อง Business Continuity Management  หรือ การบริหารการดำเนินธุรกิจอย่างต่อเนื่อง
  • Domain ที่ 11 ในมาตรฐานคือหมวด A15 เป็นหัวข้อที่ว่าด้วยเรื่อง Compliance หรือ การปฏิบัติตามกฏระเบียบข้อบังคับ

ทั้งนี้ในแต่ละหัวข้อหลัก หรือ Domain จะประกอบไปด้วย วัตถุประสงค์ของการควบคุมตามเกณฑ์มาตรฐาน หรือ Control Objectives และในแต่ละ Control Objectives จะประกอบไปด้วย ตัวควบคุมตามเกณฑ์มาตรฐาน หรือ Controls  ดังนั้นใน เกณฑ์มาตรฐานระบบคุณภาพ ISO 27001 ซึ่งประกอบด้วย Domain ทั้งหมด 11 หัวข้อ จะมี Control Objectives ทั้งหมด 39 ข้อ และมี Controls ทั้งหมด 133 ข้อ  อย่างไรก็ตามองค์กรไม่จำเป็นต้องมีการดำเนินงานตาม Control Objectives ทั้งหมด 39 ข้อ และไม่จำเป็นต้องมีการดำเนินงานตาม Controls ทั้งหมด 133 ข้อ  เนื่องจากทั้งนี้ทั้งนั้นขึ้นอยู่กับ ลักษณะภารกิจ และ การวิเคราะห์ผลกระทบทางธุรกิจ หรือ  Business Impact Analysis : BIA ของแต่ละองค์กรนั่นเอง

“Six Thinking Hats” การคิดแบบหมวก 6 ใบ

ดร.เอ็ดเวิร์ด เดอ โบ โน เป็นปรมาจารย์ทางด้านการคิดชาวอังกฤษที่มีชื่อเสียงรู้จักกันทั่วโลก เขาได้ศึกษาและคิดค้นวิธีคิด (Thinking Method) เพื่อช่วยให้มนุษย์มีการคิดที่มีประสิทธิภาพ สร้างสรรค์ และครอบคลุม รอบด้านยิ่งขึ้น

เดอ โบ โน เกิดเมื่อปี ค.ศ.1935 จบการศึกษาทางด้านการแพทย์ศาสตร์จากมหาวิทยาลัยออกซ์ฟอร์ด เขามีความ สนใจเรื่องการทำงานของสมอง และใช้เวลาค้นคว้าในเรื่องทักษะการคิดมาเป็นเวลายาวนานกว่า 20 ปี โดย เดอ โบ โน ไม่เห็นด้วยกับวิธีคิดในรูปแบบเดิม ที่คนเรามักนิยมทำกันเมื่อถกเถียงหรืออธิบายหาเหตุผล (นั่นคือเอาข้อเท็จจริง อารมณ์ หรือเหตุผลส่วนตัว มาปะปนกันในการถกเถียงเพื่อหวังเป็นผู้ชนะ)

เดอ โบ โน เชื่อว่าวิธีการคิด การหาเหตุผลดังกล่าวข้างต้นเป็นวิธีที่ผิดและเสียเวลา ดังนั้นในช่วงต้นศตวรรษที่ 1970 เขาจึงเสนอวิธีคิดแบบ Six Thinking Hats หรือ การคิดแบบหมวก 6 ใบ ขึ้น โดยแยกกรอบความคิดออกเป็นด้านๆ อย่างชัดเจน จากนั้นจึงวิเคราะห์หา เหตุผลภายในกรอบความคิดนั้นๆ อันจะช่วยพิจารณาสิ่งต่างๆ ได้ครอบคลุม และมีคุณภาพมากขึ้น แทนที่จะคิดทุกด้านในเวลาเดียวกัน ซึ่งมักก่อให้เกิดความสับสน

หมวกแห่งความคิด 6 ใบ หรือการคิด 6 ด้าน ประกอบด้วย
• หมวกสีขาว หมายถึงข้อมูลข่าวสาร
• หมวกสีแดง หมายถึงอารมณ์ความรู้สึก
• หมวกสีดำ หมายถึงการตั้งคำถามหรือตั้งข้อสงสัย
• หมวกสีเหลือง หมายถึงการมองในแง่ดีเต็มไปด้วยความหวัง
• หมวกสีเขียว หมายถึงการ คิดอย่างสร้างสรรค์
• หมวกสีฟ้า หมายถึงการสามารถควบคุมความคิดทั้งหมดให้มองเห็นภาพรวมของการคิด

ดร.เดอ โบ โน ได้ยกตัวอย่างการนำวิธีคิดแบบหมวก 6 ใบ มาใช้ในการบริหารองค์กรเช่น ในการประชุมแทนที่ทุกคนจะตั้งป้อมหาเหตุผล มาหักล้างกันผู้บริหารอาจเริ่มให้ทุกคนสวม “หมวกสีขาว” คิด ด้วยการนำเสนอข้อมูลข่าวสารของแต่ละคนออกมา ไม่ต้องวิเคราะห์หรือ ถกเถียงกันว่าข้อมูลของใครดีกว่ากัน ต่อมาถึงขั้นตอนการคิดแบบ “หมวกสีแดง” ทุกคนสามารถแสดงอารมณ์ความรู้สึกในเรื่องนั้นได้อย่าง เต็มที่ จากนั้นเป็น “หมวกสีดำ” ขั้นตอนของการใช้เหตุผลวิพากษ์ วิเคราะห์ ตั้งข้อสงสัย ข้อควรระวัง ตามด้วย “หมวกสีเหลือง” ซึ่งเป็นสีของความหวัง ที่ทุกคนจะหาแง่มุมด้านบวกของประเด็นนี้ (แม้คนไม่เห็นด้วยก็ต้องพยายามหาข้อดีของประเด็นนั้น) เมื่อถึงช่วง ของ “หมวกสีเขียว” จะเป็นโอกาสที่ทุกคนต้องแสดงความคิดสร้างสรรค์ กล่าวคือหาทางออก หรือแนวคิดใหม่ๆ เพื่อแก้ปัญหาที่มีอยู่

ลำดับสุดท้ายเมื่อทุกคนสวม “หมวกสีฟ้า” จะเป็นการมองภาพรวมหาบทสรุป และสำรวจความคืบหน้าของการคิดหรือการอภิปราย ที่ได้ดำเนินมาตั้งแต่ต้น

Continue reading “Six Thinking Hats” การคิดแบบหมวก 6 ใบ