วิเคราะห์มาตรฐาน CobiT 4.0 และ การประยุกต์ใช้
CobiT 4.0 ร่วมกับ
มาตรฐานสากลด้านการรักษาความมั่นคงปลอดภัยระบบสารสนเทศอื่น ๆ
ปริญญา หอมเอนก ,
CISSP, CISA, SANS GIAC GCFW
ในยุคที่หลายคนกำลังตื่นตัวเรื่อง
Corporate
Governance หรือ
บรรษัทภิบาลนั้น ประเด็นเรื่อง IT
Governance และ Regulatory
Compliance กลายเป็นความจำเป็นที่หลายองค์กรต้อง
Comply หรือ ปฎิบัติตาม มาตรฐานสากล และ กฏหมายต่างๆ รวมทั้ง สอบผ่าน
การตรวจสอบโดยผู้ตรวจสอบระบบสารสนเทศ หรือ IT Auditor ด้วยเหตุผลดังกล่าวทำให้ผู้บริหารระบบสารสนเทศ
หรือ CIO จำเป็นต้องมีความรู้ความเข้าใจ และศึกษามาตร.ฐาน
และ กฏหมายต่างๆ เพื่อเตรียมพร้อมกับกระแส IT Governance ซึ่งกลายเป็นหน้าที่หลักผู้บริหารไม่สามารถจะหลีกเลี่ยงได้
โดยที่กฏหมายส่วนใหญ่เป็นกฏหมายที่บังคับให้บริษัทข้ามชาติต้องปฏิบัติตาม ได้แก่
กฏหมาย SOX, GLBA และ HIPAA ตลอดจนมาตรฐานสากล
เช่น มาตรฐาน ISO/IEC17799 (ปัจจุบันคือ ISO/IEC
27001),Basel II , CMM, COSO และ CobiT
ซึ่งปัจจุบันมาตรฐาน
CobiT มีการปรับปรุงครั้งสำคัญ จาก CobiT 3rd Edition เป็น CobiT 4.0
มาตรฐาน CobiT 4.0 เป็น De facto Standard ที่ได้รับความนิยมในกลุ่มสถาบันการเงินในประเทศไทย
องค์กรภาครัฐที่มีหน้าที่ควบคุมสถาบันการเงิน เช่น กลต. และ ธนาคารแห่งประเทศไทย
มีความตื่นตัวเรื่องการนำมาตรฐาน CobiT 4.0 มาศึกษา และ ทำการประยุกต์ใช้ในองค์กร ตลอดจนใช้ในการตรวจสอบสถาบันการเงินต่างๆ
ในปัจจุบันมาตรฐาน CobiT 4.0 ได้มีการปรับปรุงแก้ไขครั้งใหญ่
จากการเริ่มต้นสร้างมาตรฐาน CobiT ในปี คศ. 1992 เพื่อสนับสนุนแนวคิด IT
Governance จนถึงมาตรฐาน CobiT 3rd
Edition ในปี 2000
ทาง ITGI (IT Governance Institute) ได้ประกาศมาตรฐาน CobiT 4.0 ในปี 2005
โดยความร่วมมือของผู้เชี่ยวชาญทั่วโลกกว่าหนึ่งร้อยคน มาตรฐาน CobiT 4.0 ได้มีการเปลี่ยนแปลงหลายอย่างเกิดขึ้น
เพื่อให้มาตรฐาน CobiT 4.0 มีความสอดคล้องกับโลกสารสนเทศและภัยอินเทอร์เน็ตในปัจจุบันที่มีการเปลี่ยนแปลงหลายอย่างรวดเร็ว
การใช้งานมาตรฐาน CobiT 4.0 ร่วมกับมาตรฐานสากลอื่น
เช่น ISO/IEC17799 เป็นสิ่งสำคัญที่ทาง ITGI คำนึงถึง เช่น มีการเปรียบเทียบมาตรฐาน CobiT
และ ISO/IEC17799:2000 ในเอกสาร CobiT Mapping ซึ่งทำให้หลายองค์กรสามารถเปรียบเทียบทั้งสองมาตรฐานได้ง่ายขึ้น และ สามารถทำความเข้าใจตลอดจนนำไปประยุกต์ใช้ร่วมกันได้อย่างมีประสิทธิภาพเพิ่มขึ้น
ความเปลี่ยนแปลงครั้งสำคัญใน CobiT 4.0 ได้แก่
การปรับเปลี่ยนปัจจัยเรื่องทรัพยากรระบบสารสนเทศ IT Resources ให้เหลือเพียง 4 เรื่อง ได้แก่ People,
Applications, Infrastructure และ Information ตลอดจนมีการปรับเปลี่ยนชื่อ Domain ที่ 4 ใน CobiT 3rd
Edtion จาก Monitor (M) เป็น Monitor
and Evaluate (ME) แต่โครงสร้างหลักของ CobiT
ทั้ง 4 Domain และ 34 Processes ยังคงเหมือนเดิม มาตรฐาน CobiT 4.0 นั้น
เน้นความเชื่อมโยงในสามเรื่องหลักๆ คือ ความต้องการของธุรกิจ (Business Requirements),
ทรัพยากรระบบสารสนเทศ (IT Resources) และ
กระบวนการระบบสารสนเทศ (IT Processes)
ดูรูปที่ 1
รูปที่ 1
มาตรฐาน CobiT 4.0 นั้นเน้นเรื่อง
Compliance และ Governance เพิ่มขึ้น
ดูรูปที่ 2
โดย CobiT 3rd Edition กล่าวถึง Business Objective เป็นหลัก แต่ใน CobiT 4.0 นั้นได้เพิ่มเรื่อง
Governance Objective ขึ้นมาด้วย ตามยุคสมัยที่ Regulatory
Compliance กำลังมาแรง
รูปที่ 2
องค์กรสามารถนำมาตรฐาน CobiT 4.0 มาประยุกต์ใช้ร่วมกับมาตรฐานอื่นอย่างสอดคล้องและเสริมกันได้
ดูรูปที่ 3
รูปที่ 3
จะเห็นว่ามาตรฐาน ITIL และ CMM จะเน้นเรื่อง Process Execution และ Process
Control ขณะที่มาตรฐาน ISO/IEC17799 และ CobiT จะเน้นเรื่อง Process Control และ Strategic
สำหรับผู้บริหาร มาตรฐาน CobiT
4.0 นั้นมีประโยชน์กับคน 3 กลุ่ม ได้แก่
กลุ่มที่หนึ่งคือ ผู้บริหาร (Management) สามารถใช้ CobiT 4.0 ช่วยกำหนดแนวทางในการควบคุม
บริหารจัดการระบบสารสนเทศได้อย่างมั่นคงและปลอดภัยมากขึ้น กลุ่มที่ 2 คือ บุคลากรฝ่ายสารสนเทศและผู้ใช้คอมพิวเตอร์ทั่วไป สามารถใช้ CobiT 4.0 ช่วยในการปฏิบัติงานประจำวันได้อย่างมีประสิทธิภาพและปลอดภัยมากขึ้น
และ กลุ่มสุดท้ายคือ ผู้ตรวจสอบระบบสารสนเทศและผู้เชี่ยวชาญตลอดจนที่ปรึกษาด้านความปลอดภัยระบบสารสนเทศสามารถใช้
CobiT 4.0 ช่วยการนำเสนอความเห็นและสร้างความมั่นใจในเรื่องการควบคุมภายใน
(Internal Control) ให้แก่องค์กรได้อย่างมีหลักการ และเป็น
มาตรฐานสากลมากยิ่งขึ้น
กล่าวโดยสรุป คือ องค์กรควรนำ มาตรฐาน
CobiT 4.0 และมาตรฐานอื่น
ๆ ดังที่กล่าวมาแล้ว มาประยุกต์ใช้งานร่วมกัน เพื่อให้เกิดประสิทธิผลและประสิทธิภาพกับการใช้งานระบบสารสนเทศในองค์กรมากขึ้น
ทำให้ระบบมีความมั่นคงและปลอดภัยจากความเสี่ยงต่าง ๆ และสอดคล้องกับแนวคิด IT
Governance ตลอดจนปฏิบัติตามกฏข้อบังคับและกฏหมายต่าง ๆ อย่างถูกต้องสอดคล้องกับยุค Corporate
Governance