ความปลอดภัยในโลกไซเบอร์ กระบวนการในการปกป้องข้อมูลสารสนเทศและทรัพย์สิน โดยการจำกัดการเกิด การตรวจจับ และการตอบสนองต่อการโจมตี กรอบความปลอดภัยในโลกไซเบอร์ ระบุ (IDENTIFY) พัฒนาความเข้าใจขององค์กร เพื่อจัดการความเสี่ยงด้านความปลอดภัยในโลกไซเบอร์ให้กับระบบ ทรัพย์สิน ข้อมูล และความสามารถต่างๆ ป้องกัน (PROTECT) พัฒนาและใช้มาตรการป้องกันที่เหมาะสม เพื่อให้มั่นใจ ในการส่งมอบบริการด้านโครงสร้างพื้นฐานที่สำคัญ ตรวจจับ (DETECT) พัฒนาและใช้กิจกรรมที่เหมาะสม เพื่อระบุเหตุการณ์ที่เกิดขึ้นในโลกไซเบอร์ ตอบสนอง (RESPOND) พัฒนาและใช้กิจกรรมที่เหมาะสม ในการดำเนินการเกี่ยวกับเหตุการณ์ในโลกไซเบอร์ที่ตรวจพบ กู้คืน (RECOVER) พัฒนาและดำเนินกิจกรรมที่เหมาะสม เพื่อรักษาความยืดหยุ่นและเรียกคืนความสามารถหรือบริการที่บกพร่อง เนื่องจากเหตุการณ์ความปลอดภัยในโลกไซเบอร์ Adapted from: Baldrige Cybersecurity Excellence Builder

1. พันเอก มารวย ส่งทานินทร์
maruays@hotmail.com
3 กุมภาพันธ์ 2561

2. Adapted from:
Key questions for improving your organization’s cybersecurity performance

3. ความปลอดภัยในโลกไซเบอร์
 กระบวนการในการปกป้ องข้อมูลสารสนเทศและทรัพย์สิน โดย
การจากัดการเกิด การตรวจจับ และการตอบสนองต่อการโจมตี
CYBERSECURITY
 The process of protecting information and assets by limiting the
occurrence of, detecting, and responding to attacks.

4. กรอบความปลอดภัยในโลกไซเบอร์
 ระบุ (IDENTIFY) พัฒนาความเข้าใจขององค์กร เพื่อจัดการความเสี่ยง
ด้านความปลอดภัยในโลกไซเบอร์ให้กับระบบ ทรัพย์สิน ข้อมูล และ
ความสามารถต่างๆ
 ป้ องกัน (PROTECT) พัฒนาและใช้มาตรการป้ องกันที่เหมาะสม
เพื่อให้มั่นใจ ในการส่งมอบบริการด้านโครงสร้างพื้นฐานที่สาคัญ
 ตรวจจับ (DETECT) พัฒนาและใช้กิจกรรมที่เหมาะสม เพื่อระบุ
เหตุการณ์ที่เกิดขึ้นในโลกไซเบอร์
 ตอบสนอง (RESPOND) พัฒนาและใช้กิจกรรมที่เหมาะสม ในการ
ดาเนินการเกี่ยวกับเหตุการณ์ในโลกไซเบอร์ที่ตรวจพบ
 กู้คืน (RECOVER) พัฒนาและดาเนินกิจกรรมที่เหมาะสม เพื่อรักษา
ความยืดหยุ่นและเรียกคืนความสามารถหรือบริการที่บกพร่อง
เนื่องจากเหตุการณ์ความปลอดภัยในโลกไซเบอร์

6. การปรับปรุงผลงานในการรักษาความปลอดภัยในโลกไซเบอร์
 การประเมินตนเองของ Baldrige Cybersecurity Excellence
Builder ช่วยให้เข้าใจและปรับปรุงสิ่งที่มีความสาคัญ ต่อการ
จัดการความเสี่ยงในโลกไซเบอร์ขององค์กร
 ช่วยให้องค์กรระบุจุดแข็งและโอกาสในการปรับปรุง การจัดการ
ความเสี่ยงด้านความปลอดภัยในโลกไซเบอร์ โดยพิจารณาจาก
พันธกิจ ความต้องการ และวัตถุประสงค์ขององค์กร

7. Baldrige Cybersecurity Excellence Builder
 เป็นการผสมผสานแนวคิด กรอบการปรับปรุงโครงสร้างพื้นฐาน
ด้านความปลอดภัยในโลกไซเบอร์ที่สาคัญ และกรอบความเป็น
เลิศ (Framework for Improving Critical Infrastructure
Cybersecurity and the Baldrige Excellence Framework)
 เช่นเดียวกันทั้งสองแหล่ง ไม่มีวิธีเดียวที่เหมาะกับทุกรูปแบบ
 องค์กรสามารถปรับตัวและปรับขนาด ขึ้นกับความต้องการ
เป้ าประสงค์ ความสามารถ และสภาพแวดล้อมขององค์กร

8. Baldrige Cybersecurity Excellence Builder
 ไม่ได้กาหนดวิธี ที่คุณใช้กาหนดนโยบายและการดาเนินงาน ด้าน
ความปลอดภัยในโลกไซเบอร์ขององค์กร
 ชุดของคาถามปลายเปิดที่เกี่ยวข้อง จะช่วยกระตุ้นให้คุณใช้
แนวทางที่เหมาะสมที่สุดกับองค์กรของคุณ

9. การประเมินตนเองนี้ ทาให้คุณสามารถ
 กาหนดกิจกรรมที่เกี่ยวกับความปลอดภัยในโลกไซเบอร์ ที่สาคัญ
ต่อกลยุทธ์ทางธุรกิจ และการให้บริการที่สาคัญ
 จัดลาดับความสาคัญของการลงทุน ในการจัดการความเสี่ยงใน
โลกไซเบอร์
 กาหนดวิธีการที่ดีที่สุด เพื่อให้พนักงาน ลูกค้า ผู้ส่งมอบ พันธมิตร
และผู้ให้ความร่วมมือ ให้ความสาคัญกับความเสี่ยง การรักษา
ความปลอดภัย และเพื่อตอบสนองบทบาทและความรับผิดชอบ
ของตนในโลกไซเบอร์

10. การประเมินตนเองนี้ ทาให้คุณสามารถ (ต่อ)
 ประเมินประสิทธิภาพและประสิทธิผล ของการใช้มาตรฐาน
แนวทาง และการปฏิบัติในโลกไซเบอร์
 ประเมินผลความสาเร็จ การรักษาความปลอดภัยในโลกไซเบอร์
 ระบุจุดแข็งเพื่อใช้ประโยชน์ และลาดับความสาคัญในการ
ปรับปรุง

11. ใครในองค์กรที่ควรใช้ Baldrige Cybersecurity Excellence Builder?
 Baldrige Cybersecurity Excellence Builder มีจุดมุ่งหมายเพื่อการ
ใช้งานโดยผู้นาและผู้จัดการในองค์กร ที่มีความกังวลและ
รับผิดชอบต่อนโยบาย เกี่ยวข้องกับพันธกิจและความปลอดภัย
ในโลกไซเบอร์
 ผู้นาและผู้จัดการเหล่านี้ อาจรวมถึงผู้นาอาวุโส หัวหน้าเจ้าหน้าที่
รักษาความปลอดภัย หัวหน้าเจ้าหน้าที่ข้อมูล และอื่น ๆ

12. ทาไมต้องถามเกี่ยวกับองค์กรโดยรวม?
 สถานการณ์ในองค์กร และความเสี่ยงด้านความปลอดภัยในโลก
ไซเบอร์ของคุณ มีความเป็นเอกลักษณ์
 ดังนั้น Baldrige Cybersecurity Excellence Builder ทาให้คุณเข้าใจ
นโยบาย และการดาเนินงานด้านความปลอดภัยในโลกไซเบอร์
ขององค์กร บริบทขององค์กรในลักษณะต่าง ๆ และสถานการณ์
เชิงกลยุทธ์

14. 7 ขั้นตอนในการใช้ Baldrige Cybersecurity Excellence Builder
 1. ขอบเขต
 2. บริบทขององค์กร
 3. คาถามเกี่ยวกับกระบวนการ (หมวด 1-6)
 4. คาถามเกี่ยวกับผลลัพธ์ (หมวด 7)
 5. ประเมินคาตอบ
 6. จัดลาดับความสาคัญการดาเนินการ จัดทาแผนปฏิบัติการ
 7. วัดผล และประเมินความก้าวหน้า

15. 1. ขอบเขต
 Baldrige Cybersecurity Excellence Builder มีคุณค่ามากที่สุดใน
ฐานะการประเมินโดยสมัครใจ ในการจัดการความเสี่ยงด้าน
ความปลอดภัยในโลกไซเบอร์ขององค์กร และยังมีประโยชน์ใน
การประเมินหน่วยย่อย หรือส่วนต่างๆ ขององค์กรด้วย

16. 2. บริบทขององค์กร
 ช่วยให้คุณสามารถระบุช่องว่างของข้อมูลสาคัญ และมุ่งเน้นไปที่
ข้อกาหนด และผลการปฏิบัติงานที่สาคัญในโลกไซเบอร์
 คุณสามารถใช้เป็นแบบประเมินตนเองเบื้องต้น หากคุณระบุ
หัวข้อที่มีข้อมูลที่ขัดแย้งกันหรือที่ยังไม่มีเลย ทาให้คุณสามารถ
ใช้หัวข้อเหล่านี้ เพื่อวางแผนการดาเนินการได้
 การกาหนดบริบท ช่วยให้คุณสามารถตอบสนองความต้องการ
ด้านความปลอดภัยในโลกไซเบอร์ขององค์กร และในการ
ตอบสนองต่อคาถามในส่วนที่เหลือของ Baldrige Cybersecurity
Excellence Builder

17. 3. คาถามเกี่ยวกับกระบวนการ (หมวด 1-6)
คาถามใน 12 หัวข้อนี้ เริ่มจาก "อย่างไร" ที่เกี่ยวข้องกับกระบวนการ ความ
ปลอดภัยในโลกไซเบอร์ขององค์กร:
•แนวทาง (Approach): คุณบรรลุงาน ที่เกี่ยวข้องกับความปลอดภัยในโลกไซ
เบอร์ขององค์กรได้อย่างไร? ระบบสาคัญที่คุณใช้คืออะไร?
•การนาไปปฏิบัติ (Deployment): กระบวนการรักษาความปลอดภัยในโลกไซ
เบอร์ของคุณ ที่ใช้กับหน่วยงานที่เกี่ยวข้องขององค์กรอย่างทั่วถึง คืออะไร?
•การเรียนรู้ (Learning): คุณประเมินและปรับปรุงกระบวนการที่เกี่ยวข้องกับ
ระบบรักษาความปลอดภัยในโลกไซเบอร์ได้ดีเพียงใด? การปรับปรุงที่ดีขึ้นได้มี
การแบ่งปันภายในองค์กรอย่างไร?
•การบูรณาการ (Integration): กระบวนการที่เกี่ยวข้องกับระบบความปลอดภัย
ในโลกไซเบอร์ สามารถตอบสนองความต้องการขององค์กรในปัจจุบันและ
อนาคตของคุณได้ดีเพียงใด?

18. 4. คาถามเกี่ยวกับผลลัพธ์ (หมวด 7)
สาหรับ 5 หัวข้อนี้ เป็นการให้ข้อมูลที่เกี่ยวข้องกับระบบรักษาความ
ปลอดภัยในโลกไซเบอร์ ที่สาคัญที่สุดต่อความสาเร็จขององค์กร:
•ระดับ (Levels): มาตรการสาคัญ เกี่ยวกับประสิทธิภาพและ
ประสิทธิผลของกระบวนการความปลอดภัยในโลกไซเบอร์ ในปัจจุบัน
ของคุณเป็นอย่างไร?
•แนวโน้ม (Trends): ผลลัพธ์ ดีขึ้น อยู่ที่เดิม หรือเลวร้ายลง?
•การเปรียบเทียบ (Comparisons): ผลการปฏิบัติงานมีการเปรียบเทียบ
กับองค์กรและคู่แข่งอื่น ๆ หรือเกณฑ์มาตรฐาน?
•การบูรณาการ (Integration): ผลการรักษาความปลอดภัยในโลกไซ
เบอร์ที่มีความสาคัญต่อองค์กร ตามความคาดหวังและความต้องการ
ของผู้มีส่วนได้ส่วนเสียที่สาคัญ? และการใช้ผลลัพธ์ในการตัดสินใจ?

19. 5. ประเมินคาตอบ
 ใช้การประเมินผลแบบ rubrics ประเมินกระบวนการและผลลัพธ์
(Reactive, Early, Developing, Mature, Leading, or Exemplary) ใน
การตอบสนองของแต่ละหัวข้อ

22. 6. จัดลาดับความสาคัญการดาเนินการ จัดทาแผนปฏิบัติการ
 จากนั้นกาหนดความสาคัญของจุดแข็ง และโอกาสในการปรับปรุง
 เฉลิมฉลองจุดแข็งของการจัดการความเสี่ยงในโลกไซเบอร์ และใช้สิ่ง
เหล่านี้ เพื่อปรับปรุงต่อยอดสิ่งที่คุณทาได้ดี
 แบ่งปันสิ่งที่ทาได้ดีกับส่วนที่เหลือขององค์กร เพื่อปรับปรุงได้เร็วขึ้น
 นอกจากนี้ ให้จัดลาดับความสาคัญของโอกาสในการปรับปรุง ในด้าน
กระบวนการและผลลัพธ์ ที่เกี่ยวข้องกับระบบความปลอดภัยในโลก
ไซเบอร์ เพราะคุณไม่สามารถทาทุกอย่างพร้อมกันได้
 นึกถึงสิ่งที่สาคัญที่สุดสาหรับองค์กรโดยรวมในขณะนี้ โดยให้สมดุล
กับความต้องการและความคาดหวังที่ต่างกันของผู้มีส่วนได้ส่วนเสีย
และผลที่คาดหวังของคุณ แล้วตัดสินใจว่าจะทาอะไรเป็นสิ่งแรก

23. 7. วัดผล และประเมินความก้าวหน้า
 ในขณะที่คุณตอบคาถามเทียบกับ rubric คุณจะเริ่มระบุจุดแข็ง
และช่องว่างภายในหมวดก่อน และระหว่างหมวดหลังจากนั้น
 การประสานงานระหว่างกระบวนการที่สาคัญ และความ
เชื่อมโยงระหว่างกระบวนการและผลลัพธ์ จะนาไปสู่วงรอบของ
การปรับปรุง
 ในขณะที่คุณใช้เครื่องมือประเมินนี้ ต่อ ๆ ไป คุณจะได้เรียนรู้
เพิ่มเติมเกี่ยวกับองค์กรของคุณ และเริ่มกาหนดวิธีที่ดีที่สุดใน
การนาจุดแข็งเพื่อปิดช่องว่าง และสร้างนวัตกรรม

24. บทบาทและหน้าที่ของคณะกรรมการและผู้บริหาร (Board and
Executive Management)
 ทาความเข้าใจว่า ความปลอดภัยในโลกไซเบอร์ทั้งภายในและ
ภายนอก สนับสนุนวัตถุประสงค์ขององค์กร (ธุรกิจ) รวมถึงสนับสนุน
ลูกค้าอย่างไร
 ทาความเข้าใจ กระบวนการสร้างความผูกพันของพนักงาน
 ทาความเข้าใจ เกี่ยวกับโอกาสในการปรับปรุงความปลอดภัยในโลก
ไซเบอร์ ที่สอดคล้องกับวัตถุประสงค์ขององค์กร
 ทาความเข้าใจ เกี่ยวกับศักยภาพของสินทรัพย์ขององค์กร ต่อความ
เสี่ยงต่างๆ
 กาหนดนโยบายและแนวทาง การรักษาความปลอดภัยในโลกไซเบอร์
ให้สอดคล้องกับพันธกิจ วิสัยทัศน์ และค่านิยมขององค์กร

25. บทบาทและหน้าที่ของหัวหน้าสานักงานสารสนเทศ (Chief
Information Officer - CIO)
 ทาความเข้าใจว่า ระบบรักษาความปลอดภัยในโลกไซเบอร์ มีผล
ต่อการปฏิบัติและวัฒนธรรม ในการจัดการข้อมูลขององค์กร
อย่างไร
 ปรับปรุงการสื่อสาร และการมีส่วนร่วมของผู้นาองค์กร และ
ทีมงานด้านความปลอดภัยในโลกไซเบอร์
 ทาความเข้าใจว่า ความปลอดภัยในโลกไซเบอร์ ส่งผลต่อ
วัฒนธรรมและสิ่งแวดล้อมขององค์กรอย่างไร

26. บทบาทและหน้าที่ของหัวหน้ารักษาความปลอดภัยข้อมูลสารสนเทศ
(Chief Information Security Officer - CISO)
 สนับสนุนความมุ่งมั่นขององค์กร ต่อพฤติกรรมทางกฎหมายและจริยธรรม
 สร้างและใช้นโยบาย การรักษาความปลอดภัยในโลกไซเบอร์ เพื่อสนับสนุน
พันธกิจ วิสัยทัศน์ และค่านิยมขององค์กร
 ตอบสนองต่อการเปลี่ยนแปลงในองค์กรหรือภายนอก ที่รวดเร็วหรือไม่คาดคิด
 สนับสนุนการปรับปรุงอย่างต่อเนื่อง โดยใช้เครื่องมือประเมินตนเองเป็นระยะ
 สนับสนุนความเข้าใจขององค์กร เกี่ยวกับการปฏิบัติตามข้อกาหนดตาม
สัญญา/ข้อบังคับต่างๆ
 ทาความเข้าใจเกี่ยวกับประสิทธิภาพของการสื่อสาร การเรียนรู้ และการมีส่วน
ร่วมของพนักงาน รวมทั้งข้อควรปฏิบัติในการดาเนินงาน เพื่อความปลอดภัย
ในโลกไซเบอร์

27. การจัดการกระบวนการด้านเทคโนโลยีสารสนเทศ (IT Process
Management)
 ปรับปรุงความเข้าใจ เกี่ยวกับความต้องการทางธุรกิจ
วัตถุประสงค์ของพันธกิจ และลาดับความสาคัญ
 กาหนดประสิทธิผลของกระบวนการด้านเทคโนโลยีสารสนเทศ
และศักยภาพในการปรับปรุง
 ทาความเข้าใจระบบรักษาความปลอดภัยในโลกไซเบอร์ ว่ามี
การบูรณาการกับกระบวนการจัดการการเปลี่ยนแปลงองค์กร
อย่างไร

28. การบริหารความเสี่ยง (Risk Management)
 พิจารณาถึงผลกระทบของความปลอดภัยทางโลกไซเบอร์ ต่อ
ลูกค้าภายใน/ภายนอก พันธมิตร และพนักงาน
 การทาความเข้าใจเกี่ยวกับการมีส่วนร่วมของพนักงาน ในการ
รักษาความปลอดภัยในโลกไซเบอร์ และการสื่อสารกับพนักงาน
เกี่ยวกับความปลอดภัยในโลกไซเบอร์ ที่ส่งผลกระทบต่อความ
เสี่ยงโดยรวมขององค์กร
 ปรับปรุงการจัดการและการสื่อสาร เกี่ยวกับความเสี่ยงที่
เกี่ยวข้องกับผู้ส่งมอบและพันธมิตร

29. บทบาทด้านกฎหมาย/การปฏิบัติตาม (Legal/Compliance Roles)
 ทาความเข้าใจเกี่ยวกับพฤติกรรมทางกฎหมายและจริยธรรมของ
พนักงาน รวมถึงสภาพแวดล้อมทางวัฒนธรรมโดยรวม
 ทาความเข้าใจว่า องค์กรใช้นโยบายและการดาเนินงานที่
เกี่ยวข้องกับระบบรักษาความปลอดภัยในโลกไซเบอร์ เพื่อให้
แน่ใจการกากับดูแลที่รับผิดชอบ รวมถึงข้อกังวลด้านกฎหมาย
ระเบียบ และชุมชน
 ทาความเข้าใจว่า องค์กรบูรณาการผู้ส่งมอบและพันธมิตร ไว้ใน
การจัดการความเสี่ยงในโลกไซเบอร์ รวมถึงข้อผูกมัดตามสัญญา
ในการปกป้ องและรายงานข้อมูลในโลกไซเบอร์

30. บทบาทและหน้าที่ของพนักงาน/บุคลากร (Employees/Workforce)
 ทาความเข้าใจกับความคาดหวังของผู้นา
 เตรียมพร้อมสาหรับการเปลี่ยนแปลงความสามารถในการรักษา
ความปลอดภัยในโลกไซเบอร์ และความสามารถด้านการผลิต
 ได้รับประโยชน์จากวัฒนธรรมและสภาพแวดล้อมในที่ทางานที่
โดดเด่น ด้วยการสื่อสารแบบเปิด ประสิทธิภาพสูง และมีส่วน
ร่วมในเรื่องความปลอดภัยในโลกไซเบอร์
 เรียนรู้เพื่อเติมเต็มบทบาท และความรับผิดชอบในโลกไซเบอร์

33. January 30, 2018
By: Christine Schaefe

34. ศูนย์การแพทย์มหาวิทยาลัยแคนซัส (University of Kansas Medical
Center - KUMC)
 เมื่อ Baldrige Program เผยแพร่ Baldrige Cybersecurity Excellence
Builder ในปีที่ผ่านมา ซึ่งเป็นการประเมินตนเองที่มุ่งเน้นไปที่
cybersecurity ทาให้ Steffani Webb กระตือรือร้นที่จะนามาใช้ และ
แบ่งปันกับสมาชิกในทีมของเธอ
 ในฐานะรองฝ่ายบริหารศูนย์การแพทย์มหาวิทยาลัยแคนซัส Webb ได้
ใช้กรอบ Baldrige Excellence Framework กับเจ้าหน้าที่ในแผนกของ
เธอ ในการปรับปรุงการดาเนินงานด้านการบริหาร ตั้งแต่เธอเข้ารับ
ตาแหน่งในปี พ.ศ. 2554

35. การใช้ Baldrige Cybersecurity Excellence Builder (BCEB)
 การใช้ BCEB ในวันนี้ เจ้าหน้าที่ของ KUMC ใช้วิธีประเมินตนเอง
แบบเดียวกันกับ Baldrige Excellence Framework เพื่อความ
ปลอดภัยในโลกไซเบอร์
 Webb กล่าวว่า "เป้ าหมายที่ครอบคลุมของเราคือ การพัฒนา
แผนปฏิบัติการ สาหรับระบบรักษาความปลอดภัยในโลกไซเบอร์
โดยใช้ BCEB"

36. 6 ขั้นตอนในการใช้ BCEB
 ขั้นตอนที่ 1. การจัดตั้งสานักงานความมั่นคงสารสนเทศ
 ขั้นตอนที่ 2. การกาหนดบทบาทและความรับผิดชอบ
 ขั้นตอนที่ 3. การจัดทาโครงร่างองค์กร
 ขั้นตอนที่ 4. การตอบคาถามการประเมินตนเอง
 ขั้นตอนที่ 5. การให้ความรู้ทั้งองค์กร
 ขั้นตอนที่ 6. การวัดและการปรับปรุงผลลัพธ์

37. ขั้นตอนที่ 1. การจัดตั้งสานักงานความมั่นคงสารสนเทศ
 ทีมรักษาความปลอดภัยข้อมูล ที่ใช้กรอบ BCEB ของ KUMC มี
CISO 1 คน; ผู้อานวยการ IS คนใหม่; ผู้จัดการโครงการภายใน
สานักงาน CISO 1 คน; และนักวิเคราะห์ความมั่นคงสารสนเทศ
4 คน
 "ความแตกต่างที่เห็นได้ชัดคือ การที่ BCEB ช่วยให้เราสามารถ
ลดช่องว่าง และทาในสิ่งที่ระบุไว้ตามความจาเป็น ใน NIST
Cybersecurity Framework"

38. ขั้นตอนที่ 2. การกาหนดบทบาทและความรับผิดชอบ
 จากการสัมภาษณ์เป็นกลุ่ม พวกเขาอธิบายว่า การใช้ BCEB ช่วย
ให้พวกเขาเข้าใจบทบาทของตนเองได้ดีขึ้น สร้างความสัมพันธ์
กับลูกค้าของตน (เช่นพนักงานคนอื่น ๆ ในศูนย์การแพทย์ และ
พันธมิตร) ในการปกป้ ององค์กร และช่วยให้บรรลุพันธกิจของ
สานักงานรักษาความปลอดภัยข้อมูลสารสนเทศ
 "เรามีแนวคิดว่า การรักษาความปลอดภัยข้อมูล ไม่ได้ทาเพียง
แค่กลุ่มของเราที่นี่ แต่เป็นการทาโดยทั้งองค์กร"

39. ขั้นตอนที่ 3. การจัดทาโครงร่างองค์กร
 พวกเขาได้รับข้อมูลเชิงลึกใหม่ ๆ ในขณะที่พวกเขาตอบคาถาม
การประเมินตนเอง ในโครงร่างองค์กร
 "เมื่อเราพูดถึงบริการที่เราระบุไว้ในนั้น [ในโครงร่างองค์กร]
และโครงการที่สาคัญของเรา เราได้พบวิธีใหม่ ๆ ในการสร้าง
ความสัมพันธ์กับลูกค้าของเรา"

40. ขั้นตอนที่ 4. การตอบคาถามการประเมินตนเอง
 กลุ่มเริ่มตอบคาถามการประเมินตนเองของ BCEB ในหมวด
สุดท้าย (ผลลัพธ์) ก่อน
 "เราเริ่มต้นจากหมวด 7 เพื่อให้เราได้ทราบถึงผลลัพธ์ของเรา
และจัดลาดับความสาคัญการปรับปรุง แล้วจึงค่อยทาหมวด
กระบวนการ"

41. ขั้นตอนที่ 5. การให้ความรู้ทั้งองค์กร
 เนื่องจากทีมรักษาความปลอดภัยข้อมูลสารสนเทศต้องรับผิดชอบใน
การทางาน แต่ไม่มีอานาจในการควบคุมความเสี่ยงทั้งหมด การให้
ความรู้แก่บุคลากรที่เหลือ เป็นสิ่งสาคัญต่อความสาเร็จของพวกเขา
 BCEB ได้ช่วยทีมเกี่ยวกับการสื่อสาร และกิจกรรมการรับรู้ความ
ปลอดภัยในโลกไซเบอร์
 พนักงานของ IS ได้ใช้ลูกอมรูปปลา ในความพยายามให้การศึกษาใน
โลกไซเบอร์ โดยมอบให้กับพนักงานของ KUMC เป็นการให้ความรู้แก่
พวกเขา เนื่องจาก การฟิ ชชิ่งอีเมล์ (phishing) เป็นความเสี่ยงอันดับ
หนึ่ง ด้านความปลอดภัยในโลกไซเบอร์ในมหาวิทยาลัย

42. ขั้นตอนที่ 6. การวัดและการปรับปรุงผลลัพธ์
 ตัววัดผลลัพธ์ที่เกี่ยวข้องกับ BCEB ยังคงเป็นงานที่กาลังดาเนิน
อยู่ โดยเฉพาะการหาข้อมูลผลลัพธ์ที่สาคัญที่สุด สาหรับองค์กร
ในการติดตาม
 "ความรู้สึกคือ การที่เราก้าวไปในทิศทางที่เป็นบวกอย่างยิ่ง และ
มีศักยภาพที่จะประสบความสาเร็จได้อย่างมาก"

43. 4 เคล็ดลับในการใช้ BCEB
1. เริ่มต้นด้วยการระบุความรับผิดชอบหลักและกิจกรรมของพนักงาน
ใน spreadsheet/ตาราง แล้วกรอกข้อมูลในโครงร่างองค์กร (เพื่อให้
เข้าใจถึงขอบเขตและหน้าที่เกี่ยวกับความปลอดภัยข้อมูลสารสนเทศ)
2. เริ่มต้นการตอบคาถามการประเมิน BCEB ในหมวด 7 คือผลลัพธ์
(เริ่มต้นด้วยจุดสิ้นสุด ซึ่งจะช่วยให้เข้าใจว่า คุณต้องเน้นที่
กระบวนการอะไรบ้าง) จากนั้นจึงไปที่หมวด 1 ถึง 6 (กระบวนการ)
3. ตรวจสอบให้แน่ใจว่า ผู้นาขององค์กรเข้าใจกระบวนการ BCEB
ด้วยใจที่เปิดกว้าง (โดยเฉพาะคาแนะนา ที่อาจเกิดจากการอภิปราย)
4. ให้เวลาที่เพียงพอ และมีการประชุมตามปกติ สาหรับการประเมิน
BCEB แบบเต็มรูปแบบ (เป็นรายสัปดาห์ จนกว่าจะผ่าน)

44. George Bernard Shaw