นโยบายสำคัญในการบริหารความเสี่ยงในการใช้งานเทคโนโลยีสารสนเทศ ของแต่ละองค์กรนั้น ต้องมีหน่วยงานควบคุมดูแลป้องกันถึงความเสี่ยงด้าน IT เพื่อทำหน้าที่รองรับหรือสนับสนุนการทำงานให้มีประสิทธิภาพที่สูงขึ้น หรือมีนโยบายการกำหนดกรอบและโครงสร้างการกำกับดูแลและบริหารจัดการความเสี่ยงด้าน IT ให้กับผู้ปฎิบัติการ
ผู้ปฏิบัติงานต้องรู้ถึงหลักเกณฑ์และวิธีปฏิบัติในการบริหารจัดการข้อมูล ดังนี้
1.ความเสี่ยงจากภัยไซเบอร์ เป็นความเสี่ยงที่เกิดจากการกระทำหรือการดำเนินการโดยใช้คอมพิวเตอร์ส่งผลให้ระบบคอมพิวเตอร์หรือข้อมูล การดำเนินงานหยุดจะชัก ส่งผลกระทบต่อความน่าเชื่อถือขององค์กร ตัวอย่างเช่น การส่ง fishing mail เพื่อหลอกลวงให้ผู้รับเมล คลิ๊ก link หากหลงเชื่ออีเมลนั้นและยืนยันในการเปิดเผยข้อมูล ก็จะทำให้กลุ่มหลอกลวงเจาะข้อมูลส่วนบุคคล ทำให้ hacker เข้าถึงข้อมูล ขโมยข้อมูลสำคัญ หรือการโจมตีทำให้ระบบเสียหายไม่สามารถใช้บริการได้ ดังนั้นข้อกำหนดในการใช้งานที่แจ้งให้พนักงานปฏิบัติและพึงระวัง จึงมีความสำคัญอย่างมาก
2. ความเสี่ยงข้อมูลสำคัญรั่วไหล ถูกเปิดเผยหรือการใช้งานอย่างไม่เหมาะสม มีผลให้การดำเนินงานหยุดชะงักความเสี่ยงด้านข้อมูลรั่วไหล ไม่มีการรักษาข้อมูลอย่างรอบคอบเพียงพอ ผู้ปฏิบัติงานอาจจะต้องถูกดำเนินการตามกฎหมายเป้าหมายหรือผิดวินัยแบบไม่รู้ตัวก็เป็นได้ ดังนั้นจึงควรมีการสร้างขั้นตอนนี้การจัดการสร้างระบบตั้งแต่การเริ่มต้นให้มีทะเบียนข้อมูล การกำหนดชั้นความลับให้กับไฟล์หรืองาน โดยแยกตามหมวดหมู่ข้อมูล เพื่อการหยิบแฟ้มหรือเปิดไฟล์ใช้งานได้ง่ายและรวดเร็ว การเก็บข้อมูลเป็นไฟล์กระดาษควรมีการจัดเรียงประเภทเป็นหมวดหมู่ เรียงตามชื่อเรื่อง วันที่ หรือบางแห่งอาจมีการจัดทำสารบัญแฟ้ม หรือสแกนเอกสารเป็น .pdf ไฟล์ไว้ และแยกอายุเอกสารสำหรับการจัดเก็บถาวรหรือการทำลายเพื่อไม่ให้เอกสารมีจำนวนมากเกินความจำเป็น
3. การดูแลข้อมูลตามวงจรข้อมูล เช่น เริ่มตั้งแต่การสร้างข้อมูลการเก็บข้อมูล การประมวลผล การจัดเก็บดูแลรักษาข้อมูล การเปิดเผยข้อมูล การจัดการหลังสิ้นสุดของข้อมูล รวมถึงการใช้เครื่องมือต่าง ๆ ในการใช้งาน ถูกเข้าถึง ใช้งานหรือเปิดเผยโดยมิชอบ ต่อจากนั้นจะมีหน่วยงานที่ทำหน้าที่ตรวจสอบและประเมินผลการปฏิบัติตามหลักเกณฑ์การกำกับดูแลข้อมูลอีกครั้งหนึ่งว่าระบบที่ใช้อยู่ผ่านการประเมินผลแล้ว ซึ่งการตรวจสอบนี้แล้วแต่การกำหนดของหน่วยงานเอง เช่น การตรวจสอบประจำปี ซึ่งบริบทของงานอาจจะมีการกำหนดไว้อย่างกว้าง ๆ แต่สามารถกำหนดสังเขปได้เมื่อมีการตรวจสอบจริง เช่น การตรวจสอบเอกสารที่ต้องจัดเก็บ, การตรวจสอบจำนวนเอกสารที่ต้องทำลายและส่งทำลาย เป็นต้น
การจัดการสิทธิการใช้ข้อมูลอาจมีการกำหนดผู้ดูแลข้อมูลและถือปฏิบัติตามอย่างเคร่งครัดว่าข้อมูลใดอยู่ในชั้นความลับ ข้อมูลใดสามารถเปิดเผยได้ หากมีการละเมิดไปกว่าที่กำหนด ก็ควรแจ้งผลทันที ความเสี่ยงจากการใช้บริการ หรือการเข้าถึงจากบุคคลภายนอก หน่วยงาน องค์การต่างๆ ต้องกำหนดตามพิธีปฏิบัติหรือระเบียบ เช่น ให้บริการเฉพาะในส่วนงาน ไม่อนุญาตให้นำเอกสารฉบับจริงออกจากส่วนงานได้ เว้นแต่ระบุว่า “ต้องใช้เป็นเอกสารหลักฐานในชั้นศาล” หรือ“ต้องใช้เอกสารในการเบิกจ่ายเงิน” หรือ “ต้องใช้เอกสารในการจัดนิทรรศการ” เป็นต้น
การจัดการเอกสารต่าง ๆ เหล่านี้ องค์กรต่างๆ จึงจำเป็นต้องใช้ IT เข้ามาจัดการเพื่อรักษา ปกป้องข้อมูลต่าง ๆ ไว้ การจัดการข้อมูลในงานสารสนเทศในปัจจุบัน นับว่ามีความสำคัญอย่างยิ่งในการขับเคลื่อนองค์กร
บทความโดยนายกรธวัช สมกมลชนก
นักศึกษามหาวิทยาลัยแม่ฟ้าหลวง