แกะรอย ไอทีภิบาล (IT Governance) ตอนที่ 1

          ก่อนอื่นต้องขอเรียนท่านผู้อ่านตามตรงว่าเรื่องที่จะเขียนต่อไปนี้ (IT Governance หรือไอทีภิบาล) เป็นเรื่องที่ผมไม่มีความรู้ความเข้าใจมาก่อน เคยรับรู้มาบ้างแต่เป็นเพียงผิวๆ จนมาวันหนึ่งที่ต้องไปเกี่ยวข้องกับ IT Security หรือเรื่องเกี่ยวกับการรักษาความปลอดภัยของข้อมูลคอมพิวเตอร์ในองค์กร ซึ่งมีการพูดถึงมาตรฐานของ Sarbanes Oxley (Sarbanes-Oxley Act of 2002) ที่ต้องทำให้ผมต้องมาศึกษาหาข้อมูลเพิ่มเติมเกี่ยวกับมาตรฐานต่างๆ ของระบบไอทีต่างๆ ที่มีอยู่ในปัจจุบัน

          สืบเนื่องมาจากในปัจจุบันที่ทุกคนรู้อยู่แล้วว่าระบบไอทีและคอมพิวเตอร์เป็นส่วนหนึ่งของการดำเนินธุรกิจให้ก้าวไปข้างหน้า ทุกลมหายใจของธุรกิจขึ้นอยู่ระบบคอมพิวเตอร์และไอทีในองค์กร ถ้าวันใดเครื่องคอมพิวเตอร์ทำงานไม่ได้นั่นหมายความว่าธุรกิจก็หยุดสิ้นลมหายใจตามไปด้วย และจากในปัจจุบันที่โลกของการแข่งขันที่นับวันจะทวีความยิ่งรุนแรงขึ้น การนำระบบคอมพิวเตอร์เข้ามาช่วยบริหารงานในการทำงานส่วนต่างๆ จึงเพิ่มมากขึ้น ทั้งช่วยการเพิ่มผลิตผล การควบคุมการทำงาน การลดความเสี่ยงต่างๆ ที่จะเกิดขึ้น แต่เนื่องจากระบบคอมพิวเตอร์และไอทีที่นับวันจะยิ่งสลับซับซ้อนมากขึ้น แนวทางในการควบคุม การตรวจสอบ และการป้องกันระบบทั้งจากภายในและภายนอกจึงต้องมีการตรวจสอบกันและป้องกันกันอย่างเข้มงวด เพื่อป้องกันปัญหาต่างๆ ที่จะเกิดขึ้นในอนาคต ดังนั้นผู้บริหารองค์กรจึงต้องหามาตรการต่างๆ มาป้องกัน เพื่อมากำหนดนโยบาย การตรวจสอบ การควบคุมการใช้ไอทีให้อยู่ในร่องในรอยที่สามารถติดตามตรวจสอบและควบคุมได้ในอนาคต

          ไอทีภิบาล (ไอที + ธรรมภิบาล) = ธรรมาภิบาลทางด้านเทคโนโลยีสารสนเทศ คือหน้าที่และความรับผิดชอบเกี่ยวกับการจัดการด้านเทคโนโลยีสารสนเทศควบคู่ไปกับการวางนโยบาย กลยุทธ์ แนวทาง การวัดผล การลดความเสี่ยงและการจัดการ เพื่อเพิ่มผลผลิตและคุณค่าของผลิตภัณฑ์และมวลรวมขององค์กร เป็นกรอบทางความคิดและแนวทางในการปฏิบัติงาน ซึ่งมีวิธีการหลายๆ วิธีการหลายมาตรฐานด้วยกัน

          สำหรับคนทำงานทั่วไป นโยบายกับแนวทางปฏิบัติมักจะสวนทางการกันอยู่เสมอๆ นโยบายดีแต่ปฏิบัติไม่ได้ก็เห็นออกบ่อย เพราะการทำงานจริง การที่จะทำให้องค์กรมีมาตรฐานใดๆ ที่สามารถตรวจสอบได้ไม่ใช่เรื่องง่ายๆ จะต้องทำอย่างต่อเนื่องและใช้เงินลงทุนไม่ใช่น้อย ต้อง Suffer กันไปทั้งคนทำงานและผู้บริหารองค์กร

          แต่ในปัจจุบัน IT Governance เป็นสิ่งที่จำเป็นสำหรับองค์กร เพราะนอกจากจะมีผลสำหรับการดำเนินธุรกิจแล้วยังมีผลต่อกฎหมายเช่นกัน โดยเฉพาะอย่างยิ่งที่มีกฏหมายเกี่ยวกับการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ ปี 2550 ได้บังคับใช้แล้ว ยิ่งทำให้เรื่องของ IT Governance ยิ่งถูกหยิบยกมาพูดถึงกันมากขึ้น โดยเฉพาะองค์กรที่เกี่ยวข้องกับธุรกิจการเงินการธนาคารหรือองค์กรชั้นนำทั่วไป ในหัวข้อของ "Best Practices" หรือ การเตรียมความพร้อมขององค์กรเพื่อเข้ายุค IT Governance ประมาณนี้ ซึ่งมักจะอ้างถึงวิธีการและแนวทางการจากมาตรฐาน COBIT (Control Objectives for Information and related Technology) และ ITIL (Information Technology Infrastructure Library) และ มาตรฐานอย่าง ISO/IEC 17799:2005
สำหรับตอนหน้าเราจะมาค่อยๆ แกะกันครับว่าแต่ละมาตรฐานนั้นเป็นอย่างไร สวัสดีครับ

แกะรอย ไอทีภิบาล (IT Governance) ตอนที่ 2 - กำเนิด COBIT http://gotoknow.org/blog/xxl/159156

แกะรอย ไอทีภิบาล (IT Governance) ตอนที่ 3 - เปิดฝา COBIT http://gotoknow.org/blog/xxl/159158

ไปเรื่องอื่นๆ http://gotoknow.org/blog/xxl/toc