เอกรัตน์ สาธุธรรม
               ปัจจุบันมีระบบมาตรฐานเกิดขึ้นในแต่ละอุตสาหกรรมมากมายทั่วโลก ในไทยที่รู้จักกันดี คือ มาตรฐานไอเอสโอ
(ISO) มาตรฐานที่กำหนดร่วมกันระหว่างผู้เชี่ยวชาญในอุตสาหกรรม เทคนิค และธุรกิจ กำหนดเป็นหลักเกณฑ์ เพื่อให้เกิด
บรรทัดฐานที่ได้มาตรฐานเดียวกันในอุตสาหกรรมแต่ละประเภท วันนี้ระบบมาตรฐานกำลังเดินหน้าไปพร้อมๆ กับเทคโนโลยี
จนเกิดไอเอสโอด้านไอทีขึ้นครั้งแรกภายใต้ "ไอเอสโอ 27001"
               “ISO 27001 เป็นมาตรฐานอุตสาหกรรมระดับสากลที่เป็นคำตอบ สำหรับการทำงานในยุคที่ข้อมูลและ
การสื่อสารเป็นสินทรัพย์สำคัญ มาตรฐานนี้พัฒนาขึ้นมาเพื่อให้เหมาะสมกับยุคสมัยที่การบริหารจัดการและการใช้ข้อมูล
เป็นสิ่งสำคัญที่องค์กรจำเป็นจะต้องปกป้องในทุกวิถีทาง มาตรฐานนี้ จะช่วยให้องค์กรต่างๆ พัฒนาระบบการจัด การจัดเก็บ
และเรียกใช้ข้อมูลขององค์กรได้อย่างเหมาะสม สะดวก และปลอดภัย" นี่เป็นคำจำกัดความ "ไอเอสโอ 27001"
               ระบบมาตรฐานตัวล่าสุด ที่ "แอนโทนิโอ เพคลี่" ประธานกรรมการบริหารของบริษัท บีวีคิวไอ (BVQI) ประจำ
ภาคพื้นที่เอเชียตะวันออกเฉียงใต้ และเอเชียแปซิฟิก ว่าไว้ "บีวีคิวไอ" ถือเป็นหนึ่งในองค์กรตรวจรับรองมาตรฐานระดับโลก
ได้รับการรับรองมาตรฐานระบบ (Accreditation) จากหน่วยงานระดับประเทศในกว่า 30 ประเทศ ให้บริการตรวจสอบและ
รับรองมาตรฐานผลิตภัณฑ์ ทั้งในด้านคุณภาพ ความปลอดภัยในการบริโภคความปลอดภัยในชีวิตและทรัพย์สิน
สิ่งแวดล้อม และสังคม "ไอเอสโอ 27001" เป็นมาตรฐานระบบรักษาความปลอดภัยของข้อมูลองค์กรที่เพิ่งเกิดขึ้นมา
ไม่นานเปรียบเหมือนเป็นเกราะปกป้องจัดการและสร้างผลประโยชน์ให้เกิดขึ้นจากข้อมูลขององค์กรถือเป็นระบบมาตรฐาน
ที่เข้ามาช่วยพัฒนา และสร้างมาตรฐานให้กับกระบวนการทำงานในองค์กร ในยุคที่ต้องแข่งขันกันในระดับโลก มาตรฐาน
ตัวใหม่นี้ ยังรวมถึงการจัดระเบียบข้อมูลที่ครอบคลุมการวางแผน และทิศทางของกลยุทธ์สำหรับการบริหาร สามารถประเมิน
การทำงาน วัดค่าความเสี่ยง และป้องกันการคุกคามจากภายนอกโดยใช้วิธีการจัดระบบการทำงานที่มีความสมบูรณ์
และมั่นคง
               ประเด็นสำคัญที่สุดของไอเอสโอ 27001 คือ การเน้นไปที่การสร้างระบบ การนำระบบไปใช้งานและการบำรุง
รักษาระบบ การจัด เก็บเอกสาร Information Security Management System (ISMS) ขององค์กร "เพคลี่" บอกว่า
ไอเอสโอ 27001 ได้รับการพัฒนามาจากส่วนที่ 2 ของ "British Standard BS 7799" โดย "ไอเอสโอ 27001"
ออกแบบมาให้องค์กรต่างๆ นำไปประยุกต์ใช้กับระบบการจัดการข้อมูลเดิมที่องค์กรใช้งานอยู่ง่ายขึ้นโดยสามารถนำ
มาตรฐานใหม่ไปใช้กับมาตรฐานISO 9001 ซึ่งเป็นมาตรฐานที่เกือบทุกองค์กรใช้กัน เพื่อบริหารจัดการระบบองค์กร
ได้มีประสิทธิภาพยิ่งขึ้น
               “ไอเอสโอ 27001 จะเข้ามาสร้างสภาพแวดล้อมที่มั่นคงในการทำงานให้กับองค์กร และทำ ให้บริษัทคู่ค้า
มีความมั่นใจที่จะทำธุรกิจต่อไป ทำให้องค์กรมีความได้เปรียบต่อคู่แข่งทางการค้า" เพคลี่ ว่า
               "คุณอุดมเดช คงทวีเลิศ" กรรมการบริหาร "บีวีคิวไอ" (ประเทศไทย) จำกัด เล่าให้ฟังว่า บีวีคิวไอในประเทศไทย
เป็นหนึ่งในบริษัทลูกของ "บูโร เวอริทัส" (Bureau Veritas) องค์กรที่ออกใบรับรองมาตรฐานในอุตสาหกรรมต่างๆ (ISO)
ทั่วโลกมีสำนักงานใหญ่อยู่ในกรุงลอนดอน ประเทศอังกฤษ ประเทศที่ถือว่ามีไอเอสโอที่ active ที่สุด "บีวีคิวไอในไทย
เริ่มดำเนินงานมาตั้งแต่ปี 1993 ประมาณ 14 ปีแล้ว จนปัจจุบันเราได้มีการออกมาตรฐานไอเอสโอไปประมาณ 10 ตัว
ไม่ว่าจะเป็นไอเอสโอในอุตสาหกรรมยานยนต์ อาหาร อุตสาหกรรมการผลิต รวมถึงด้านเทเลคอม ซึ่งในแต่ละอุตสาหกรรม
ก็จะมีมาตรฐานเฉพาะของอุตสาหกรรมนั้นๆ ไป แต่เรามักจะคุ้นเคยกับมาตรฐานทางอุตสาหกรรมเพียงไม่กี่ชนิด ที่รู้จักกันดี
คือไอเอสโอ 9001" คุณอุดมเดช บอกว่า วันนี้ มาตรฐานไอเอสโอ 27001 กำลังได้รับการพูดถึงกันอย่างกว้างขวาง
โดยเฉพาะในต่างประเทศ และกำลังเข้ามาสร้างความตื่นตัวให้กับผู้ประกอบธุรกิจในไทย
               "ในไทยเท่าที่ทราบยังไม่มีบริษัทไหนได้ไอเอสโอตัวนี้ไป เพราะเป็นมาตรฐานตัวที่ใหม่มากเป็นมาตรฐานที่เน้น
ในเรื่องของความปลอดภัย (Security) ข้อมูล มาตรฐานนี้เริ่มขึ้นในประเทศอังกฤษเมื่อปีที่แล้ว ซึ่งไม่ได้ใช้สำหรับบริษัท
ไอทีอย่างเดียวแต่รวมไปถึงทุกองค์กรที่ต้องใช้ไอทีในการทำงาน ไม่ว่าจะเป็นธนาคาร สถาบันการเงิน ประกันภัย" บริษัทที่
ดำเนินธุรกิจทางด้านไอทีส่วนใหญ่มักมีระบบรับรองมาตรฐานการทำงานของตัวเองอยู่แล้ว ไอเอสโอตัวใหม่นี้จะเป็นหนึ่ง
มาตรฐานที่"คุณอุดมเดช" บอกว่าค่อนข้างครอบคลุมมากที่สุด หากพูดถึงการรับรองมาตรฐานทางด้านไอที
               "วันนี้ เกือบทุกองค์กรต้องใช้ไอทีมาก และยิ่งมีพวกอี-คอมเมิร์ซ หรือข้อมูลที่ต้องทำทรานเซคชั่นต่อกัน ก็จะ
ค่อนข้างเสี่ยงอาจเคยได้ยินว่า ข้อมูลเกิดโดนแฮคหรือข้อมูลตกไปอยู่กับคู่แข่ง เกิดการโจรกรรมของข้อมูลมาตรฐานนี้จะ
ครอบคลุมช่วยป้องกันตรงนี้ได้" คุณอุดมเดช เล่าว่า แม้จะเป็นมาตรฐานใหม่ แต่ขณะนี้บริษัทไอทีหลายแห่งรวมถึงบริษัท
ที่มีระบบไอทีเป็นหนึ่งในการบริหารงาน กำลังอยู่ระหว่างปรับระบบภายใน เพื่อยื่นขอใบรับรองมาตรฐานนี้ โดยมีบริษัทไอที
อย่างน้อยประมาณ 2-3 บริษัท เป็นบริษัทที่ใช้ไอทีค่อนข้างมาก เป็นกลุ่มองค์กรประเภทไอทีจริงๆ มีทั้งราชการ และเอกชน
ยื่นขอมาตรฐานประเภทใหม่นี้มาและเชื่อว่าจากนี้ไปจนถึงสิ้นปีจะมีบริษัทจำนวนไม่น้อยที่จะยื่นขอมาตรฐานไอเอสโอ
27001 "ผมเชื่อว่า ตอนนี้บริษัทไอทีที่อยู่ในไทย ก็มีมาตรฐานรับรองระบบงานของเขาอยู่แล้ว มาตรฐานไอเอสโอ
27001 นี้ จะเป็นอีกหนึ่งมาตรฐานที่เป็นการต่อยอดให้บริษัทที่ดำเนินธุรกิจไอที รวมไปถึงบริษัทที่มีกลไกการใช้งาน
ด้านไอทีอยู่แล้ว มีระบบงานที่มีประสิทธิภาพ และมีความเป็นสากลมากขึ้น ซึ่งผมเชื่อว่า บริษัทไอทีสนใจแน่นอน เพราะ
โดยธรรมชาติของบริษัทต่างๆ มักจะต้องหาระบบมาตรฐานมาให้กับองค์กรตัวเองเพื่อสร้างความเชื่อมั่น และขีดการแข่งขัน
ให้กับองค์กรได้ในอนาคต"
               "ถ้าพูดถึงบริษัทไอทีข้ามชาติ ผมเชื่อว่าเขาตื่นตัวเรื่องนี้ค่อนข้างเยอะ แต่ถ้าพูดถึงบริษัทในประเทศเอง
ผมเชื่อว่ายังมีอยู่มากที่ยังให้ความสนใจในเรื่องนี้น้อยเกินไป และยังมีบริษัทในประเทศจำนวนไม่น้อยที่ยังไม่ทราบถึง
มาตรฐานนี้" คุณอุดมเดชบอกว่า มี 2-3 เหตุผลที่บริษัทไอที และบริษัทที่ไม่ใช่ไอทีต้องให้ความสนใจในมาตรฐาน
ไอเอสโอ 27001ไม่ว่าจะเป็นการเป็นตัวช่วย ทำให้การทำมาร์เก็ตติ้งขององค์กรประสบความสำเร็จได้เร็วขึ้น เพราะ
คงไม่ดีแน่ หากลูกค้า หรือคู่ค้าพันธมิตรถามหาคุณภาพของบริการ ถามหาความปลอดภัยของข้อมูล แน่นอนว่า บริษัทที่
ได้รับการรับรองมาตรฐานจะได้รับความไว้วางใจมากกว่า
               "ไอเอสโอ 27001 ยังสามารถเป็นเกราะป้องกันทรัพย์สินทางปัญญา โดยเฉพาะนวัตกรรมต่างๆ ที่คิดขึ้นภายใน
องค์กร หากมีไอเอสโอตัวนี้ ก็ยากที่จะถูกก๊อบปี้ไอเดีย" คุณอุดมเดช บอกว่า บริษัทมีทีมงานที่เชี่ยวชาญในสาขาไอที
เข้ามาเป็นผู้ประเมินซึ่งเป็นผู้ที่ต้องสอบประเมินความรู้ ต้องเชี่ยวชาญจริงๆ เพื่อทำหน้าที่ไปตรวจ เพื่อออกใบรับรอง
มาตรฐานให้กับองค์กร ปัจจุบันบีวีคิวไอมีผู้ตรวจสอบ (audit) ทั้งหมด 50 คน
               "มาตรฐานไอเอสโอ ส่วนใหญ่จะมีข้อบังคับอยู่แล้วว่าบริษัทจะต้องทำอะไรบ้าง บริษัทที่จะขอมาตรฐานนี้ต้องมี
นโยบายชัดเจน เกี่ยวกับเรื่องซิเคียวริตี้ ต้องไปประเมินความเสี่ยง ไม่ว่าจะเป็นเรื่องข้อมูลหาย โดนโจรกรรมข้อมูล
อย่างไรบ้าง วิเคราะห์ออกมาว่าอะไรมีความเสี่ยงมาก เสี่ยงน้อย แล้วจะจัดการความเสี่ยงอย่างไร เวลาเราเข้าไปตรวจ
เราก็จะดูรายงานตรงนี้ประกอบพร้อมทั้งเข้าไปตรวจอีกที" คุณอุดมเดช อธิบาย
               ผู้บริหารบีวีคิวไอ ประเมินว่า ปัจจุบันมาตรฐานของบริษัทไอทีข้ามชาติในไทยค่อนข้างจะมีความชัดเจน
เรื่องของมาตรฐานต่างๆ มาก ส่วนบริษัทในประเทศ ถ้าเป็นรูปบริษัทจริงๆ ดำเนินธุรกิจมาระยะหนึ่งระบบมาตรฐาน
น่าจะดีขึ้นพอสมควร บางบริษัทก็เทียบเท่ากับต่างประเทศ "เรามองเห็นศักยภาพตรงนี้ค่อนข้างมากติดตามมานานตั้งแต่
ยังไม่เป็นไอเอสโอ เราค่อนข้างมีกลยุทธ์ชัดเจนเกี่ยวกับมาตรฐานประเภทนี้ เพราะมันเป็นเรื่องที่มีความจำเป็นของกลุ่มอุตฯ
ไอที จะคล้ายๆ กับรูปแบบของไอเอสโอ 9001 ที่ออกมาเมื่อ 10 ปีที่แล้ว ตรงที่ว่าตอนนั้นทุกคน ก็จะทำระบบคุณภาพอะไร
เต็มไปหมด แต่ไม่มีมาตรฐานอะไรที่เป็นสากล ทุกคนก็จะยืนยันด้วยตัวเองกับลูกค้า กับสาธารณชนว่าของตัวเองดี"
คุณอุดมเดช บอกด้วยว่า วันนี้หลายๆ องค์กรยังคงต้องมีระบบรับรองมาตรฐานในหลายๆ เรื่องอยู่ ยังไม่สามารถที่จะคิดค้น
ให้เกิดมาตรฐานใบเดียว และสามารถครอบคลุมได้ทุกเรื่อง ทั้งนี้ มาตรฐานไอเอสโอ จะกำหนดร่วมกันโดยคณะกรรมการ
ฝ่ายเทคนิค ซึ่งประกอบด้วยผู้เชี่ยวชาญในสาขาอุตสาหกรรมเทคนิค และธุรกิจ ที่ได้รับเชิญให้เข้ามามีส่วนร่วมในการ
กำหนดหลักเกณฑ์เพื่อนำไปใช้ในทางปฏิบัติต่อไป ซึ่งในขั้นตอนนี้ต้องมีผู้เชี่ยวชาญจากองค์กรด้านการออกใบรับรอง
ร่วมอยู่ด้วย เช่น จากบีวีคิวไอ ผู้เชี่ยวชาญเหล่านี้อาจต้องทำงานร่วมกับผู้เชี่ยวชาญท่านอื่นๆ ที่มีความรู้ ความชำนาญ
ในสาขาที่เกี่ยวข้อง อย่างเช่น ตัวแทนจากหน่วยงาน ภาครัฐ ห้องทดลอง สมาคมผู้บริโภค ผู้เชี่ยวชาญด้านสิ่งแวดล้อม
และอื่นๆ มีคำถามตามมาว่า มาตรฐานไอเอสโอแท้ที่จริงแล้ว มีผลอะไรกับการทำธุรกิจการค้า?
               คุณอุดมเดช ตอบโดยไม่ลังเลว่า "แม้จะไม่ใช่เรื่องยากสำหรับบรรดาบริษัทผู้นำเข้าที่จะหาซัพพลายเออร์
ในต่างประเทศ เพื่อสั่งผลิตสินค้าที่ต้องการ แต่การหาคู่ค้าที่มีชื่อเสียงเป็นที่ยอมรับ มีความมุ่งมั่นซื่อสัตย์ และเอาใจใส่เรื่อง
คุณภาพนับเป็นปัจจัย สำคัญอย่างยิ่งต่อความสำเร็จในการนำเข้าสินค้า ด้วยเหตุนี้ มาตรฐานจึงเข้ามามีบทบาท และถือเป็น
กลไก สำคัญในแวดวงการค้าระหว่างประเทศ"