ความสำคัญและข้อควรของเทคโนโลยีสารสนเทศ
เนื่องจากเทคโนโลยีสารสนเทศมีความสำคัญต่อการดำเนินธุรกิจ อย่างไรก็ดี การนำเทคโนโลยีสารสนเทศมาใช้ในการดำเนินธุรกิจองค์กรควรที่จะคำนึงถึงเรื่องที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศดังต่อไปนี้
1. คณะกรรมการ และผู้บริหารระดับสูง มีหน้าที่ดูแลให้มีการกำหนดนโยบายการจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศเป็นลายลักษณ์อักษร รวมทั้งทำหน้าที่ในการพิจารณาอนุมัตินโยบายดังกล่าว ทั้งนี้ องค์กรต้องสื่อสารนโยบายดังกล่าวเพื่อสร้างความเข้าใจและให้สามารถปฏิบัติตามได้อย่างถูกต้อง โดยเฉพาะอย่างยิ่งระหว่างหน่วยงานด้านเทคโนโลยีสารสนเทศและหน่วยงานธุรกิจภายในองค์กร เพื่อให้มีการประสานงานและสามารถดำเนินธุรกิจได้ตามเป้าหมายที่ตั้งไว้
นโยบายการบริหารความเสี่ยงด้านเทคโนโลยีสารสนเทศควรครอบคลุมเรื่องต่าง ๆ ดังต่อไปนี้
– การรักษาความถูกต้อง และปลอดภัยในการปฏิบัติงานที่เกี่ยวข้องกับระบบสารสนเทศ
– การควบคุมการเข้าถึงระบบสารสนเทศ และข้อมูล
– การรักษาความปลอดภัยของข้อมูล
– การติดตามตรวจสอบความผิดปกติและช่องโหว่ของระบบสารสนเทศ
– การบริหารจัดการระบบ IT ให้มีความพร้อมในการรองรับการดำเนินธุรกิจอย่างต่อเนื่อง
2. องค์กรควรจัดให้มีการประเมินประสิทธิภาพของนโยบายการรักษาความปลอดภัยของระบบเทคโนโลยีสารสนเทศเป็นประจำ หรือเมื่อมีการเปลี่ยนแปลงที่มีผลกระทบต่อการรักษาความปลอดภัยขององค์กร ทั้งนี้ การประเมินประสิทธิภาพองค์กรสามารถกระทำได้โดยหน่วยงานตรวจสอบภายในด้านเทคโนโลยีสารสนเทศขององค์กร (IT Audit) หรือผู้ตรวจสอบภายนอก เพื่อปรับปรุงแก้ไขข้อบกพร่องของการรักษาความปลอดภัยของระบบเทคโนโลยีสารสนเทศขององค์กร
3. กรณีที่องค์กรมีการใช้บริการด้านงานเทคโนโลยีสารสนเทศจากผู้ให้บริการจากภายนอก (Outsource) องค์กรควรจัดให้มีนโยบายเพื่อรองรับการใช้บริการดังกล่าว ซึ่งต้องครอบคลุมถึงวิธีการคัดเลือกและพิจารณาคุณสมบัติของผู้ให้บริการ และมีข้อกำหนดเกี่ยวกับการใช้บริการเพื่อลดความเสี่ยง
จากการเข้าถึงทรัพย์สินสารสนเทศอย่างไม่เหมาะสม รวมถึงข้อกำหนดเกี่ยวกับการรักษาความลับของข้อมูล และไม่เปิดเผยข้อมูลที่มีความสำคัญ องค์กรควรมีมาตรการเพื่อให้มั่นใจได้ว่าสามารถควบคุมการปฏิบัติงานของผู้ให้บริการจากภายนอกให้เป็นไปตามข้อตกลงที่กำหนดไว้ โดยสามารถตรวจสอบกระบวนการปฏิบัติงาน รวมทั้งมีแผนรองรับในกรณีที่เกิดเหตุการณ์ที่อาจส่งผลกระทบต่อความปลอดภัยของระบบสารสนเทศ (Incident Response Plan)
4. การบริหารจัดการทรัพย์สินด้านเทคโนโลยีสารสนเทศ (IT Asset Management) องค์กรควรจัดให้มีการบริหารจัดการทรัพย์สินด้านเทคโนโลยีสารสนเทศที่เหมาะสม โดยต้องมีการจัดทำทะเบียนรายการทรัพย์สินด้านเทคโนโลยีสารสนเทศ เพื่อให้สามารถระบุรายการทรัพย์สินด้านเทคโนโลยีสารสนเทศได้อย่างครบถ้วน และสามารถนำไปใช้ในการกำหนดแนวทางการรักษาความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศได้อย่างเหมาะสม รวมถึงต้องจัดให้มีการบำรุงรักษาทรัพย์สินด้านเทคโนโลยีสารสนเทศอย่างสม่ำเสมอ เพื่อให้มีความพร้อมใช้งานและสามารถรองรับการดำเนินธุรกิจได้อย่างต่อเนื่อง
5. การรักษาความมั่นคงปลอดภัยของข้อมูล (Information Security) องค์กรควรจัดให้มีการรักษาความมั่นคงปลอดภัยของข้อมูล ทั้งในการรับส่งข้อมูลผ่านเครือข่ายสื่อสารและการจัดเก็บข้อมูลบนระบบงานและสื่อบันทึกข้อมูลต่าง ๆ มีการจัดชั้นความลับของข้อมูล (Information classification) มีการเก็บรักษาและทำลายข้อมูลให้เหมาะสมกับชั้นความลับ และมีการบริหารจัดการการเข้ารหัสข้อมูล (Cryptography) ที่เชื่อถือได้และเป็นมาตรฐานสากล เพื่อรักษาความมั่นคงปลอดภัยและความลับของข้อมูล
6. การควบคุมการเข้าถึง (Access Control) องค์กรควรจัดให้มีการควบคุมการเข้าถึงระบบปฏิบัติการ ระบบงาน และระบบฐานข้อมูล โดยกำหนดให้มีการบริหารจัดการสิทธิและตรวจสอบยืนยันตัวตนตามสิทธิที่กำหนดไว้ตามความจำเป็นในการใช้งานและระดับความเสี่ยง เพื่อป้องกันการเข้าถึงและเปลี่ยนแปลงระบบหรือข้อมูลโดยผู้ที่ไม่มีสิทธิหรือไม่ได้รับอนุญาต
7. การรักษาความมั่นคงปลอดภัยทางกายภาพและสภาพแวดล้อม (Physical and Environmental Security) องค์กรควรจัดให้มีการรักษาความมั่นคงปลอดภัยของศูนย์คอมพิวเตอร์ สถานที่ปฏิบัติงานที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ และพื้นที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศที่สำคัญ รวมทั้งมีระบบการป้องกันและกระบวนการในการบำรุงรักษาอุปกรณ์คอมพิวเตอร์ และระบบสาธารณูปโภค (Facility) ที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศเพื่อป้องกันความเสียหายที่อาจเกิดขึ้นจากการบุกรุกหรือจากภัยธรรมชาติ และให้มีความพร้อมใช้งานสามารถรองรับการดำเนินธุรกิจอย่างต่อเนื่อง
8. การรักษาความมั่นคงปลอดภัยของระบบเครือข่ายสื่อสาร (Communications Security) องค์กรควรจัดให้มีการรักษาความมั่นคงปลอดภัยของระบบเครือข่ายสื่อสารขององค์กร เพื่อให้ระบบเครือข่ายสื่อสารและข้อมูลที่มีการรับส่งผ่านเครือข่ายสื่อสารมีความมั่นคงปลอดภัย และสามารถป้องกันการบุกรุกหรือภัยคุกคามที่อาจเกิดขึ้น
9. การรักษาความมั่นคงปลอดภัยในการปฏิบัติงานด้านเทคโนโลยีสารสนเทศ (IT Operations Security) องค์กรควรจัดให้มีการรักษาความมั่นคงปลอดภัยในการปฏิบัติงานด้านเทคโนโลยีสารสนเทศ เพื่อให้การปฏิบัติงานด้านเทคโนโลยีสารสนเทศมีความมั่นคงปลอดภัย โดยต้องครอบคลุมอย่างน้อยในเรื่อง ดังต่อไปนี้
9.1 การบริหารจัดการขีดความสามารถของระบบและระบบสาธารณูปโภค (Capacity Management) เช่น การประเมินแนวโน้มการใช้ทรัพยากรด้านเทคโนโลยีสารสนเทศ เพื่อให้สามารถบริหารทรัพยากรด้านเทคโนโลยีสารสนเทศได้อย่างเพียงพอต่อการรองรับการดำเนินธุรกิจและสามารถวางแผนการจัดการเทคโนโลยีสารสนเทศให้รองรับการใช้งานในอนาคต
9.2 การรักษาความมั่นคงปลอดภัยของเครื่องแม่ข่าย (Server) และอุปกรณ์ที่ใช้ปฏิบัติงานของผู้ใช้เทคโนโลยีสารสนเทศ (Endpoint) เช่น การติดตั้งโปรแกรมป้องกันไวรัสหรือระบบตรวจจับการแฝงตัวของโปรแกรมไม่ประสงค์ดี (Malware) หรือการโจมตีด้วยรูปแบบต่าง ๆ เพื่อป้องกันการรั่วไหลของข้อมูลหรือการเข้าใช้งานโดยไม่ได้รับอนุญาต
9.3 การสำรองข้อมูล (Data Backup) ด้วยวิธีการและระยะเวลาที่เหมาะสม เช่น การสำรองข้อมูลประจำวัน เพื่อให้มีข้อมูลสำรองที่มีความพร้อมใช้งานในกรณีที่ระบบและข้อมูลหลักเกิดเหตุขัดข้องหรือได้รับความเสียหาย
9.4 การจัดเก็บข้อมูลบันทึกเหตุการณ์ (Logging) ของเครื่องแม่ข่าย ระบบงาน และอุปกรณ์เครือข่ายที่สำคัญ เช่น การจัดเก็บและสอบทานบันทึกการเข้าถึงระบบ (Access Log) และบันทึกการดำเนินงาน (Activity Log) เพื่อให้สามารถติดตามและตรวจสอบการเข้าถึงและการใช้งานระบบหรือข้อมูลและใช้เป็นหลักฐานการทำธุรกรรมทางอิเล็กทรอนิกส์ให้แก่ผู้ใช้บริการ
9.5 การติดตามดูแลระบบและเฝ้าระวังภัยคุกคาม (Security Monitoring) โดยมีกระบวนการหรือเครื่องมือในการตรวจจับเหตุการณ์ผิดปกติ หรือภัยคุกคามที่มีผลกระทบต่อความมั่นคงปลอดภัยของระบบที่สำคัญ เช่น เครื่องมือในการติดตามและวิเคราะห์ภัยคุกคามทางไซเบอร์อย่างต่อเนื่อง เพื่อให้สามารถตรวจจับ ป้องกัน และรับมือเหตุการณ์ผิดปกติและภัยคุกคามได้อย่างทันท่วงที
9.6 การบริหารจัดการช่องโหว่ (Vulnerability management) ของระบบที่เหมาะสมตามระดับความเสี่ยง เพื่อให้ทราบถึงช่องโหว่และสามารถดำเนินการแก้ไขและป้องกันภัยคุกคามที่อาจเกิดขึ้นได้อย่างทันกาล องค์กรควรมีการประเมินช่องโหว่ของระบบงานสำคัญทุกระบบเป็นประจำ และทุกครั้งที่มีการเปลี่ยนแปลงอย่างมีนัยสำคัญ
9.7 การทดสอบเจาะระบบ (Penetration Test) โดยจัดให้มีผู้เชี่ยวชาญภายในหรือภายนอกที่มีความเป็นอิสระทำหน้าที่ทดสอบเจาะระบบ โดยเฉพาะระบบงาน (Application) และระบบเครือข่าย (Network) ที่มีการเชื่อมต่อกับระบบเครือข่ายสื่อสารสาธารณะ (Internet Facing) เป็นประจำและเมื่อมีการเปลี่ยนแปลงอย่างมีนัยสำคัญเพื่อให้ทราบถึงช่องโหว่และสามารถดำเนินการแก้ไขและป้องกันภัยคุกคามที่อาจเกิดขึ้นได้อย่างทันกาล
9.8 การบริหารจัดการการเปลี่ยนแปลง (Change Management) โดยจัดให้มีกระบวนการบริหารจัดการการเปลี่ยนแปลงและควบคุมการเปลี่ยนแปลงอย่างรัดกุมและเพียงพอ เช่น การนำระบบขึ้นใช้งานจริง (System Deployment) การตั้งค่าระบบ (System Configuration) เพื่อให้การเปลี่ยนแปลงเป็นไปตามวัตถุประสงค์ที่กำหนดไว้อย่างถูกต้องครบถ้วน และป้องกันการเปลี่ยนแปลงโดยที่ไม่ได้รับอนุญาต
9.9 การบริหารจัดการการตั้งค่าระบบ (System Configuration Management) โดยจัดให้มีกระบวนการควบคุมการตั้งค่าของระบบที่ใช้งานจริงและมีการสอบทานการตั้งค่าอย่างสม่ำเสมอ เพื่อป้องกันข้อผิดพลาดในการปฏิบัติงาน
9.10 การบริหารจัดการ Patch (Patch management) โดยจัดให้มีกระบวนการควบคุมการติดตั้ง Patch ของระบบที่ใช้งานจริงเพื่อให้สามารถติดตั้ง Patch ที่สำคัญในการรักษาความมั่นคงปลอดภัยได้อย่างทันกาล
10. การจัดหาและการพัฒนาระบบ (System Acquisition and Development)
10.1 การจัดหาระบบ (System Acquisition) องค์กรควรกำหนดหลักเกณฑ์ที่ชัดเจนและเหมาะสมในการคัดเลือกระบบและผู้ให้บริการ เช่น ความน่าเชื่อถือของระบบและผู้ให้บริการ การได้รับการรับรองตามมาตรฐานสากลหรือมาตรฐานด้านเทคโนโลยีสารสนเทศที่เกี่ยวข้องที่ได้รับการยอมรับโดยทั่วไป (Certificate) ความมั่นคงปลอดภัยของระบบ การสนับสนุนและการบำรุงรักษาระบบ เพื่อให้มั่นใจว่าระบบและผู้ให้บริการสามารถตอบสนองต่อความต้องการในการดำเนินธุรกิจขององค์กรได้ รวมถึงต้องคำนึงถึงความยืดหยุ่นในการเปลี่ยนแปลงผู้ให้บริการ การเปลี่ยนแปลงเทคโนโลยี หรือการเปลี่ยนแปลงกลยุทธ์การดำเนินธุรกิจในอนาคต
10.2 การพัฒนาระบบ (System Development) องค์กรควรจัดให้มีการออกแบบพัฒนา และทดสอบระบบ เพื่อให้มั่นใจว่าระบบมีความถูกต้อง มั่นคงปลอดภัยเชื่อถือได้ พร้อมใช้งานและมีความยืดหยุ่นเพียงพอที่จะรองรับการปรับปรุงเปลี่ยนแปลงระบบในอนาคต โดยองค์กรควรจัดให้มีอย่างน้อยในเรื่อง ดังต่อไปนี้
– เอกสารรายละเอียดคุณสมบัติทางเทคนิค (Technical Specification) โดยครอบคลุมถึงเรื่องการรักษาความมั่นคงปลอดภัย ซึ่งรวมถึงกระบวนการในการทดสอบ การดูแล และการติดตามความมั่นคงปลอดภัยในการใช้งาน
– กระบวนการหรือเครื่องมือในการควบคุมเวอร์ชันของคำสั่งในการเขียนโปรแกรม (Source Code Version Control)
– การแบ่งแยกบทบาทหน้าที่และความรับผิดชอบของผู้ที่เกี่ยวข้องในกระบวนการพัฒนาระบบ เช่น การแบ่งแยกระหว่างผู้พัฒนาระบบและผู้นำระบบขึ้นใช้งานจริง
– การแบ่งแยกสภาพแวดล้อมของระบบงานที่ใช้สำหรับการพัฒนา (Development) และการทดสอบ (Testing) ออกจากระบบงานที่ให้บริการจริง (Production)
– การทดสอบระบบก่อนการใช้งานจริง เช่น ทดสอบการทำงานของแต่ละระบบ (Unit Test) ทดสอบการทำงานร่วมกันของระบบต่าง ๆ (System Integration Test) ทดสอบความพร้อมใช้งานตามกระบวนการและความต้องการของผู้ใช้งาน (User Acceptance Test) และทดสอบความปลอดภัยของระบบ (Security Test) ตามกระบวนการในการรักษาความมั่นคงปลอดภัยที่กำหนดในเอกสารรายละเอียดคุณสมบัติทางเทคนิค (Technical Specification)
– การพัฒนาหรือการเปลี่ยนแปลงระบบที่เกี่ยวข้องกับการให้บริการหรือการทำธุรกรรมทางอิเล็กทรอนิกส์ องค์กรต้องจัดให้มีการทดสอบประสิทธิภาพ (Performance Test)
– แนวทางในการควบคุมการรักษาความมั่นคงปลอดภัยและความลับของข้อมูลสำคัญที่นำไปใช้ในการทดสอบ
– การจัดทำคู่มือและอบรมผู้ใช้งานระบบและผู้ดูแลระบบ
11. การบริหารจัดการเหตุการณ์ผิดปกติและปัญหา (IT Incident and Problem Management) องค์กรควรจัดให้มีการบริหารจัดการเหตุการณ์ผิดปกติและปัญหาที่เกิดจากการใช้เทคโนโลยีสารสนเทศอย่างเหมาะสมและทันท่วงทีโดยมีการบันทึก วิเคราะห์ และรายงานเหตุการณ์ผิดปกติและปัญหา และการแก้ไข ให้คณะกรรมการขององค์กร คณะกรรมการที่ได้รับมอบหมาย หรือผู้บริหารระดับสูงที่ได้รับมอบหมาย ทราบในระยะเวลาที่เหมาะสม นอกจากนี้ องค์กรยังต้องมีการวิเคราะห์สาเหตุที่แท้จริง (Root cause) ของปัญหา เพื่อหาแนวทางแก้ไขจากสาเหตุที่แท้จริง และป้องกันไม่ให้เกิดเหตุการณ์ผิดปกติซ้ำ
ในอนาคต
12. การจัดทำแผนฉุกเฉินด้านเทคโนโลยีสารสนเทศเพื่อการลดความเสี่ยงด้านเทคโนโลยีสารสนเทศขององค์กร
12.1 องค์กรควรจัดให้มีคณะทำงานหรือหน่วยงานที่รับผิดชอบในการจัดทำแผนฉุกเฉินด้านเทคโนโลยีสารสนเทศอย่างเป็นลายลักษณ์อักษรให้เป็นไปตามนโยบายที่กำหนดไว้ และแผนฉุกเฉินด้านเทคโนโลยีสารสนเทศดังกล่าวต้องได้รับอนุมัติโดยคณะกรรมการขององค์กร
12.2 การจัดทำแผนฉุกเฉินด้านเทคโนโลยีสารสนเทศ องค์กรควรคำนึงถึงลักษณะการดำเนินธุรกิจ ปริมาณธุรกรรม ความซับซ้อนของเทคโนโลยีสารสนเทศ และความเสี่ยงที่เกี่ยวข้องในการดำเนินธุรกิจ รวมทั้งการบริหารความเสี่ยงที่อาจเกิดจากเหตุการณ์ความเสียหายต่าง ๆ และความเสี่ยงทั่วไป เช่น ความเสี่ยงด้านปฏิบัติการ (Operational Risk) ความเสี่ยงด้านชื่อเสียง (Reputational Risk) และความเสี่ยงอื่นที่เกี่ยวข้อง เช่น ความเสี่ยงจากการพึ่งพาองค์กรอื่นในการดำเนินธุรกิจ (Interdependency Risk) ความเสี่ยงจากการกระจุกตัวของระบบงานหรือทรัพยากรที่สำคัญ (Concentration Risk) และความเสี่ยงที่มีผลกระทบต่อองค์กร ผู้ใช้บริการ ผู้มีส่วนได้เสีย เป็นต้น
12.3 แผนฉุกเฉินด้านเทคโนโลยีสารสนเทศต้องมีความเป็นไปได้ในทางปฏิบัติ สามารถนำมาใช้รองรับความเสียหายที่เกิดขึ้นได้จริง และสอดคล้องกับแนวปฏิบัติขององค์กร (ถ้ามี) ในเรื่องการบริหารความต่อเนื่องทางธุรกิจ (Business Continuity Management: BCM) และการจัดทำแผนรองรับการดำเนินธุรกิจอย่างต่อเนื่อง (Business Continuity Plan: BCP) โดยแผนฉุกเฉินดังกล่าวควรครอบคลุมถึงการกำหนดระยะเวลาในการกู้คืนระบบ (Recovery Time Objective: RTO) และระยะเวลาสูงสุดที่ยอมให้ข้อมูลเสียหาย (Recovery Point Objective: RPO) ที่สอดคล้องกับความสำคัญของระบบ รวมทั้งการกำหนดระยะเวลาสูงสุดที่ยอมให้ธุรกิจหยุดชะงัก (Maximum Tolerance Period of Disruption: MTPD) เพื่อรองรับการดำเนินธุรกิจอย่างต่อเนื่อง และรองรับการเกิดเหตุการณ์ผิดปกติต่าง ๆ ที่อาจส่งผลให้เกิดการหยุดชะงักหรือเกิดความเสียหายต่อระบบ เช่น ภัยคุกคามทางไซเบอร์ ภัยธรรมชาติ เพื่อให้องค์กรดำเนินการกู้ระบบและกลับสู่การทำงานได้ตามปกติให้เร็วที่สุด
12.4 องค์กรควรจัดทำ คู่มือหรือเอกสารประกอบการดำเนินการตามแผนฉุกเฉินด้านเทคโนโลยีสารสนเทศ รวมทั้งประชาสัมพันธ์แผนและฝึกอบรมเพื่อให้พนักงานทุกคนที่มีส่วนเกี่ยวข้องกับการดำเนินการตามแผนฉุกเฉินด้านเทคโนโลยีสารสนเทศมีความเข้าใจและสามารถปฏิบัติตามแผนได้
12.5 องค์กรควรจัดให้มีการทบทวนและทดสอบการปฏิบัติตามแผนฉุกเฉินด้านเทคโนโลยีสารสนเทศเป็นประจำและในทุกครั้งที่มีการเปลี่ยนแปลงอย่างมีนัยสำคัญ
12.6 องค์กรควรจัดให้มีศูนย์คอมพิวเตอร์สำรอง (Disaster Recovery Site) ที่มีความพร้อมใช้งานและสามารถปฏิบัติงานทดแทนได้เมื่อศูนย์คอมพิวเตอร์หลัก (Primary Site) หยุดชะงัก โดยองค์กรควรพิจารณาให้ศูนย์คอมพิวเตอร์สำรองอยู่ห่างจากศูนย์คอมพิวเตอร์หลักเพียงพอที่จะมิให้เกิดปัญหาหรือได้รับผลกระทบในลักษณะเดียวกันในช่วงเวลาเดียวกัน เช่น ระบบไฟฟ้าขัดข้อง และภัยธรรมชาติ เป็นต้น
13. การบริหารจัดการผู้ให้บริการภายนอก (Third Party Management) ในกรณีที่องค์กรมีการจัดจ้างผู้ให้บริการภายนอก หรือมีพันธมิตรทางธุรกิจที่มีการเชื่อมต่อกับระบบเทคโนโลยีสารสนเทศระหว่างกัน หรือสามารถเข้าถึงข้อมูลสำคัญขององค์กรหรือของลูกค้าได้ องค์กรต้องมีการจัดทำสัญญาหรือข้อตกลงการให้บริการโดยระบุหน้าที่ ความรับผิดชอบ และเงื่อนไขในการให้บริการอย่างชัดเจน เช่น การทำลายข้อมูลของลูกค้าทั้งหมดเมื่อสิ้นสุดสัญญา หรือเลิกใช้บริการ ความรับผิดชอบต่อการรั่วไหลของข้อมูลอันเนื่องมาจากการนำข้อมูลไปใช้นอกเหนือจากที่ระบุไว้ในสัญญาหรือข้อตกลงการให้บริการ นอกจากนี้ ในการจัดจ้างผู้ให้บริการภายนอก หรือมีพันธมิตรทางธุรกิจในการร่วมพัฒนาหรือให้บริการ องค์กรควรคำนึงถึงความต่อเนื่องในการดำเนินธุรกิจ ข้อจำกัดหรือข้อตกลงในการเปลี่ยนแปลงผู้ให้บริการภายนอกหรือพันธมิตรทางธุรกิจ และการยกเลิกหรือสิ้นสุดสัญญา (Exit Strategy) เพื่อให้องค์กรสามารถดำเนินธุรกิจได้อย่างต่อเนื่อง และพร้อมรับการเปลี่ยนแปลงด้านเทคโนโลยีที่อาจเกิดขึ้นในอนาคต