(อาจารย์ธิดารัตน์) อย่าเสียงดัง ๆ เดี๋ยวเรามาเริ่มเรียนนะคะ คาบนี้เดี๋ยวจะอธิบายเกี่ยวกับตัวมาตรฐานที่เราจะเข้าไปเก็บข้อมูลนะคะ จะเป็นมาตรฐานความมั่นคงปลอดภัยของสารสนเทศนะคะ จากปกติแล้ว สำหรับการเป็นข้อมูล แต่ก่อนนี่อาจารย์จะให้ลงไปหน่วยงานเองก็คือ ให้เลือกหน่วยงานที่สนใจ แล้วก็ลงไปเก็บข้อมูลนะคะ ยัง ๆ ๆ ฟังให้จบก่อน แต่คราวนี้นี่ เนื่องจากเรามีหลาย Section นะคะ แล้วก็เนื่องด้วยมีหลายกลุ่มนะ อาจารย์ก็เลยว่าจะให้เก็บข้อมูล ในภายในมหาวิทยาลัยเพื่อจะได้ลดปัญหาการเดินทาง หรือว่าการติดต่อประสานงานนั่นเองนะคะ ข้างนอกไม่ได้เดี๋ยวจะมันจะยาก ช่วงนี้น่ะมันออกไปเอาขอข้อมูลยาก ก็เลยเดี๋ยวให้ทำข้างในนี่แหละ ก็คืออาจารย์จะให้ไป ดูการเก็บข้อมูลเกี่ยวกับตัวศูนย์คอมพิวเตอร์นะคะ แต่ว่าจะแบ่งเป็นกลุ่มไปให้ แล้วก็จะแบ่งเป็นหัวข้อในการดูแลความมั่นคงปลอดภัยของสารสนเทศนั่นเองนะคะ ว่าแต่ละกลุ่มได้หัวข้อไหนก็จะแบ่งไปเก็บข้อมูลแต่ละประเภทไม่เหมือนกันนะคะ ก็แยกส่วนกันอยู่แล้วนะคะแค่นั้นเองแต่แค่เป็นหน่วยงานเดียวกัน แล้วก็สำหรับเรื่องความสะดวกของทางศูนย์คอมพิวเตอร์ว่า หน่วยงานเขาจะสะดวกเป็นช่วงวันเวลาไหน เดี๋ยวอาจารย์จะมาแจ้งอีกรอบหนึ่งนะคะ จะได้ง่ายนั่นเอง โอเค คราวนี้เราจะมาดูเนื้อหา ตัวมาตรฐานที่เราจะไปปรับประยุกต์หรือว่านำมาเป็นเกณฑ์นะคะ ที่ใช้ในการเก็บข้อมูลในครั้งนี้ ก็คือตัวมาตรฐาน ISO 27001 ของเรานั่นเองนะคะ ตัวเอกสารของอาจารย์ให้ไปก็จะมี 2 อันก็คือตัวเนื้อหาหลัก ๆ เลยนะคะ เกี่ยวกับความมั่นคงปลอดภัยของสารสนเทศนะคะ เบื้องต้นนักศึกษาอาจจะเข้าใจเป็นบางส่วนและเดี๋ยวเราจะมาดูแต่ละหัวข้อ ที่เราจะเข้าไปเก็บจริง ๆ นะคะ ว่ามีอะไร เนื่องจาก เนื้อหาของตัวมาตรฐานนี่จะค่อนข้างเยอะ อาจารย์ก็จะปรับบางส่วนนะคะ คือเลือกเฉพาะหัวข้อที่น่าจะเข้าใจและก็เห็นภาพได้ง่ายที่สุดนะคะ ในการเก็บข้อมูล ทั้งผู้ให้ข้อมูลแล้วก็ผู้รับข้อมูลด้วยจะได้เข้าใจตรงกันนะคะ เพราะว่าบางทีไปแล้วเก็บข้อมูลอาจจะผู้ให้และผู้รับอาจจะไม่เข้าใจว่า การเก็บข้อมูลนี่ ในประเภทนี้หมายถึงการดูแลรักษา ตัวข้อมูลสนเทศอย่างไรบ้างนั่นเองนะคะ ตัวความมั่นคงปลอดภัยของตัวสารสนเทศก็แน่นอนว่าเราจะ ดูแลอย่างไรให้ข้อมูลของเราสามารถ สามารถใช้พร้อมงาน ข้อมูลไม่เสียหายนะคะ แล้วก็มีวิธีป้องกันนะคะ หรือว่ามีการวางแผนอย่างไร ให้ตัวข้อมูลของเรานี่ไม่ได้รับผลกระทบนะคะ หรือจะรวมถึงอุปกรณ์และก็สิ่งแวดล้อมรวมถึงบุคคลรวมถึงนโยบายด้วยนะคะ อันนี้ก็จะไปแบบคร่าว ๆ นะ เพราะว่าเป็นเอกสารเดี๋ยวจะให้ไปศึกษาต่อนะคะ น่าจะเป็นเรื่องที่น่าจะเคยเรียนมาบ้างแล้วนะคะ อย่างที่บอกไป ความมั่นคงปลอดภัยของสารสนเทศก็มีอะไร ความลับ สมบูรณ์พร้อมใช้งานนั่นเองนะคะ อันนี้ก็จะเป็นลักษณะภัยคุกคามที่อาจจะเกิดขึ้นนะคะ เกี่ยวกับตัวสิ่งแวดล้อม ฝนตก น้ำท่วมนะคะ ไฟไหม้อะไรต่าง ๆ นะคะ ว่าเขามีการสำรองข้อมูลไว้ไหมนะคะ ไม่ว่าจะเป็นภัยพิบัติต่าง ๆ ที่เกิดขึ้นนะคะ มีการทำประกันไว้กับหน่วยงานข้างนอกหรือเปล่านะคะ มีการสำรองข้อมูลเป็น Data Center ไว้ที่อื่นไหม กรณีที่ข้อมูลเกิดเสียหาย เป็นต้นนั่นเองนะคะ เราต้องมาดูว่ามีวิธีป้องกันอย่างไรบ้าง ป้องกันที่ 1 ป้องกันที่ 2 ป้องกันที่ 3 นะคะ หรืออันนี้จากภัยธรรมชาติแล้ว คราวนี้จากมนุษย์นะคะ อาจจะเป็นพวกการขโมยข้อมูลนะคะ หรือการแฮ็กข้อมูลต่าง ๆ มีพวกตัวสแกนไวรัสไหม Antivirus ไหม หรือว่ามีพวก Firewall ต่าง ๆ ติดตั้งระบบไว้อย่างดีหรือเปล่า อันนี้ก็จะไปเช็กกันตามหัวข้อ ที่แต่ละคนจะได้รับไปนั่นเองนะคะ การเข้าถึงโดยไม่รับอนุญาตการมีตัว ลงชื่อการใช้งานทุกครั้งไหมนะคะ ในการใช้ระบบหรืออุปกรณ์ต่าง ๆ เป็นช่องโหว่ต่าง ๆ เกิดขึ้นน่ะมีตรงไหน มีวิธีแก้ไขอย่างไรบ้างนะคะ อันนี้เราก็พูดไปแล้วนะคะ เกี่ยวกับตัวมาตรฐาน ISO 27001 นะคะ มาตรฐานระบบการจัดการความมั่นคงปลอดภัยของระบบสารสนเทศนะคะ ซึ่งตัวนี้ที่ยกมาเนื่องจากจะทำให้นักศึกษาเข้าใจแล้วก็เห็นภาพที่สุดนะคะ ในการใช้ตัวระบบสารสนเทศของเรานะคะ เราจะมาดูรายการมาตรฐานที่ยกมาบางส่วนนะคะ อย่างอันที่ 1 นะคะ เริ่มแรกเลยนะคะ ตามหน่วยงานองค์กรนี่ เขาก็ต้องมีแผนในการรองรับนะคะ ตัวสารสนเทศภายในองค์กรของเขานี่ พูดง่าย ๆ ก็คือ มีการวางแผนนะคะ คำศัพท์ คำอธิบายนะคะ เกี่ยวกับตัวสารสนเทศของเราอย่างไรหรือเปล่านะคะ มีข้อกำหนดนะคะ มีการเฝ้าระวังไหม มีการทบทวน มีระบบรักษาแล้วก็ปรับปรุงหรือเปล่า เฝ้าระวังว่าทุก ๆ 3 เดือนนี่ หรือว่าทุกเดือนนี้มีการสำรองข้อมูลไว้ไหม เราก็มาเช็กข้อมูล เช็กตัวอุปกรณ์ อุปกรณ์สำรองไฟหรือเปล่านะคะ อุปกรณ์ Firewall นะคะ สามารถป้องกันได้ครบไหมนะคะ แล้วก็มาเช็กทุกระบบ ทุกเครือข่ายรวมถึงสิ่งแวดล้อมนะคะ อาจจะเป็นในรูปแบบกายภาพที่สามารถจับต้องได้นะคะ วิธีป้องกันการเข้ารหัสต่าง ๆ คราวนี้ก็จะมีพวกคู่มือ คำแนะนำ ข้อปฏิบัติต่าง ๆ ที่เราสามารถนำไปปฏิบัติ และก็ประยุกต์ใช้ได้นั่นเอง ในความมั่นคงปลอดภัยของเรานะคะว่า มีข้อกำหนดอะไร มีนโยบายไหม มีการกำหนดถึงหน้าที่ของแต่ละบุคคลในการดูแลอุปกรณ์นะคะ บุคลากร ซอฟต์แวร์ต่าง ๆ อย่างไร แล้วก็มีข้อห้ามตรงไหน มีข้อปฏิบัติอะไรบ้างนั่นเอง มีการนำมาตรฐานไปประยุกต์ใช้ ภายในองค์กร ภายในหน่วยงานของเราในส่วนไหนบ้าง ในข้อไหนบ้าง มีการวัดผลไหม ทางความมั่นคงปลอดภัยของเรา เอาไปใช้แล้ว เกิดประโยชน์จริงหรือเปล่านะคะ เอาไปใช้แล้วลดปัญหาต่าง ๆ ที่เกิดขึ้นในองค์กรหรือไม่นะคะ แล้วก็ท้ายที่สุดนี่ ก็จะเป็นการประเมินความเสี่ยง ซึ่งในหัวข้อนี้เราจะนำมาใช้คือ การประเมินความเสี่ยงทางด้านเทคโนโลยีสารสนเทศของเรานั่นเอง อย่างประเมินว่าสมมติว่า ระบบไฟ อย่างตึกนี้นะ เราจะสังเกตว่าไฟนี่จะตกบ่อย อาทิตย์หนึ่ง กี่ครั้ง เดือนหนึ่งเฉลี่ยเป็นกี่ครั้ง ไฟตกแล้วส่งผลกระทบกับตัวระบบคอมพิวเตอร์ไหม ระบบคอมพิวเตอร์เราสามารถใช้งานได้ปกติหรือเปล่า พร้อมใช้งานเปิดได้ ทุกโปรแกรมหรือเปล่า ทำให้อายุการใช้งานของตัวระบบคอมพิวเตอร์ มันต่ำลงไหม อันนี้ก็จะมาประเมินกันว่า ความเสี่ยงที่เกิดขึ้นนี่ มันจะส่งผลต่ออุปกรณ์คอมพิวเตอร์ไหม ความพร้อมใช้งานของอุปกรณ์หรือเปล่านั่นเองนะคะ อันนี้จะเป็นสิ่งที่เราจะมาประเมินกัน ซึ่งจะเป็นหัวข้อต่าง ๆ ที่นักศึกษาจะได้รับไปนะคะ ในการเข้าไปขอข้อมูลตรงนี้นั่นเองนะคะ อันนี้ก็จะเป็นโครงสร้างนะคะต่าง ๆ อันนี้ให้นักศึกษาไปศึกษาต่อนะคะ มันจะเป็นพวกเนื้อหาทั่วไป ในการประเมินความเสี่ยงนะคะ อาจจะเป็นเริ่มต้นจากการระบุทรัพย์สิน พูดง่าย ๆ ก็คือ ในองค์กรหน่วยงานของเรานี่มีอุปกรณ์ มีฮาร์ดแวร์ มีซอฟต์แวร์อะไรบ้างที่ใช้งานอยู่ มีเครื่องคอมพิวเตอร์เท่าไรนะคะ อินเทอร์เน็ต เราเตอร์ ไวไฟ สวิตช์ ทุกอย่าง ร่วมถึงซอฟต์แวร์ ว่ามีทรัพย์สินอะไร ใช้งานได้กี่ปี ต้อง Maintenance ไหม หรือว่าต้องเปลี่ยนอุปกรณ์นะคะ ก็ต้องระบุให้หมด ระบุภัยคุกคามที่จะเกิดต่อทรัพย์สินของเรา มันจะเกิดกับอะไรบ้างนะคะ กรณีถ้าเว็บล่ม เกิดจากสาเหตุไหนนะคะ จากบุคคลไหมนะคะ หรือว่าจากตัวอุปกรณ์ฮาร์ดแวร์เองหรือเปล่านะคะ เนื่องจากอายุการใช้งานที่มากเกินไป หรือกรณีที่ผู้ใช้งานเข้ามาใช้งานพร้อมกันมากเกินไปหรือเปล่า มันก็จะมีข้อต่าง ๆ นะคะ ยกตัวอย่าง ตัวภัยคุกคามที่จะเกิด ภัยธรรมชาติ ผู้ใช้งาน ผู้ก่อการร้าย อันนี้ก็จะเป็นการระบุนั่นเองนะคะ ว่าพวกภัยต่าง ๆ นี่ จะเกิดมาจากอะไรบ้างนั่นเองนะคะ การระบุช่องโหว่ ช่องโหว่ที่อาจจะทำให้บุคคลภายนอกที่ไม่ประสงค์ดีต่อหน่วยงาน หรือต่อองค์กรของเรานี่ สามารถที่จะเอาช่องโหว่ตัวนี้นะคะ เข้ามาทำร้ายหน่วยงานของเราได้นะคะ ส่งโปรแกรมไม่ประสงค์ดีนะคะ ผ่านทางอีเมล ทางเว็บไซต์ต่าง ๆ ขึ้นมานะคะ แล้วเราก็มาประเมินความเสี่ยงระดับความเสี่ยง โดยเราก็จะเช็กระดับความเสี่ยงแล้วอันไหนที่มันเกิดผลกระทบ ที่วิกฤติสุดสุด ส่งผลกระทบมากที่สุดภายในหน่วยงานหรือว่าองค์กรเรา เราก็ต้องมีวิธีแก้ปัญหา ตัวที่มีปัญหาแล้วก็ส่งผลกระทบมากที่สุดกับในองค์กรของเรานั่นเองนะคะ ความเสี่ยงเป็นระดับไหน ยอมรับได้ไหมนะคะ อย่างไฟตกนะคะ บางตึกอาจจะเป็น 6 เดือนต่อครั้ง ก็ตกปีหนึ่งแค่ 2 ครั้ง อันนี้ก็ยอมรับได้ ไม่ได้ส่งผลกระทบกับตัวอุปกรณ์ หรือการใช้งานของบุคลากรในองค์กรของเราก็คือ อุปกรณ์ไม่ได้เป็นอะไร เรามีพวกไฟสำรองกรองระดับหนึ่งมี Utilization ไม่ให้ไฟมันไปกระชากหรือส่งผลกระทบกับตัวอุปกรณ์ของเรา อันนี้ก็จะไม่มีผลต่อการใช้งานนั่นเองนะคะ หรือความเสี่ยงที่ต้องแก้ไขปรับปรุงก็ต้องแก้ไขระดับไหน เร่งด่วนไหม หรือไม่เร่งด่วนนะคะ ถ้าเราแบบว่าเกิดไฟตกถี่ ๆ ๆ ๆ ขึ้นมานะคะ อุปกรณ์ ที่เป็นอิเล็กทรอนิกส์ทุก ๆ อย่างที่ใช้งานก็จะมีผลกระทบ แล้วก็ใช้งานไม่ได้นั่นเองนะคะ มันจะเป็นความเสี่ยงที่ต้องรีบแก้ไขนั่นเองนะคะ พูดง่าย ๆ เราไปเช็กความเสี่ยง สิ่งที่มันจะส่งผลต่อระบบสารสนเทศภายในองค์กรของเรา ไม่ว่าจะเป็นระบบหรืออุปกรณ์นะคะ ต่าง ๆ เราจะได้ประเมินความเสี่ยงแล้วก็มีวิธีแก้ปัญหาที่จะติดตามมานั่นเอง แนวความคิด คราวนี้เราจะทำแผนจัดการความเสี่ยง เมื่อมันมีความเสี่ยงเกิดขึ้นนะคะ ความเสี่ยงนี่มันเกิดขึ้นได้ทุก ๆ หน่วยงาน ทุก ๆ อย่างนั่นเองนะคะ มีวิธีไหนบ้าง หลีกเลี่ยงความเสี่ยง หลีกเลี่ยงได้อย่างไร ยกตัวอย่างนะคะ อาจจะเกิดจากไวรัสที่เราไปเสียบตามคอมพิวเตอร์ เราก็อาจจะเป็นการแชร์เข้าสู่ไดรฟ์ต่าง ๆ ได้ วิธีไหนที่มันป้องกันไม่ให้เกิดปัญหาที่จะตามมาเข้าสู่ตัวระบบสารสนเทศของเรานะคะ ลดระดับความเสี่ยงนะคะ ทำอย่างไรให้ความเสี่ยงนี้มันน้อยลงนะคะ เราอาจจะเข้าข้อมูล รหัสข้อมูลในการส่งข้อมูลเข้าไปนะคะ คนอื่นที่ดักฟังข้อมูลของเราไป มันก็ไม่สามารถที่จะนำข้อมูลไปใช้งานต่อได้นะคะ ความเสี่ยงที่จะเอาข้อมูลภายในองค์กรของเราไปใช้งานก็จะน้อยลงนะคะ ถ่ายโอนนะคะ อาจจะมีหน่วยงานตัวอื่นเข้ามาช่วยดูแล ความเสี่ยงตรงนี้ อาจจะมีพวกบริษัทเข้ามาดูแลความปลอดภัย หรือว่ามีบริษัทในการจัดการข้อมูล Data Center ของเราให้นะคะ เป็น Outsource ต่าง ๆ อันนี้ก็จะทำให้ความเสี่ยงที่จะเกิดขึ้น ภายในองค์กรของเรานี่น้อยลงนั่นเองนะคะ เราก็จะต้องไปกังวลนะคะ เกี่ยวกับตัวความเสี่ยงตรงนี้นั่นเอง อันนี้ก็จะเป็นคร่าว ๆ นะคะ เวลาเรามีความเสี่ยงแล้วเราจะต้องมีวิธีการอย่างไรนะคะ อันนี้ก็จะเป็นตัวขั้นตอนโครงสร้างต่าง ๆ เป็นคร่าว ๆ แล้วกันนะ มันเยอะ นโยบาย โอเค ก็จะเป็นลักษณะการเข้าไปเก็บข้อมูลนะคะ ของตัวสารสนเทศ ประเมินความเสี่ยงนะคะว่า ความเสี่ยงที่จะเกิดขึ้นนี่ ระดับไหน แล้วก็ต้องแก้ไขไหม หรือว่าหน่วยงานมีวิธีป้องกันอยู่แล้วหรือเปล่านะคะ เดี๋ยวเราจะมาดูแต่ละหัวข้อดีกว่า เดี๋ยวขอเช็กนิดหนึ่ง บุคลากรต่าง ๆ ดูเป็นคร่าว ๆ แล้วกันนะ เดี๋ยวอันตัวเอกสารเดี๋ยวให้นักศึกษาไปศึกษาต่อนะคะ ว่าเขามีการแยกประเภทอะไรบ้างนะคะ คราวนี้เดี๋ยวอาจารย์จะให้ยกตัวอย่างนะคะ อย่างที่นักศึกษาเดี๋ยวจะแบ่งกลุ่มนะคะ เรามีกันอยู่ 3 ห้องนะ เดี๋ยวอาจารย์จะแบ่งออกเป็นน่าจะเป็น 4 กลุ่มนะคะ โดยแต่ละหัวข้อเดี๋ยวอาจารย์จะแบ่งให้นะคะ ว่าแต่ละกลุ่มจะดูแลในหัวข้อไหนบ้าง วิธีการนะคะ เดี๋ยวเรามาดูตัวอย่างก่อน เราจะไปเก็บข้อมูลจริงกันนะคะ ในหน่วยงานนะคะ ที่ปฏิบัติงานจริงเกี่ยวกับตัวระบบสารสนเทศนั่นเอง อาจารย์จะมีตารางให้ นักศึกษาไปเก็บข้อมูลนะคะ โดยเราจะไปเก็บข้อมูลกับผู้ปฏิบัติงานจริง สมมตินะคะ กลุ่มที่ 1 นะคะได้เกี่ยวกับพวกอุปกรณ์นะคะ ก็จะไปถามพี่เจ้าหน้าที่ที่เกี่ยวกับอุปกรณ์ ฮาร์ดแวร์ต่าง ๆ นะคะ อาจจะเริ่มจากเขามีนโยบายไหมนะคะ ถ้าเป็นอุปกรณ์ก็ต้องมีการลงครุภัณฑ์ถูกไหมค่ะว่าอุปกรณ์ตัวนี้ รหัสนี้นะคะเข้ามาปีไหน ใช้งานนะคะ มี Warrantee หรือว่ารับประกันอะไรบ้าง แล้วมันใช้งานได้ถึงไหน โดยระยะความปลอดภัยก็จะเริ่มมาจาก ผู้บริหาร ผอ. ที่จริงก็มาจากของมหาวิทยาลัยแล้วก็เป็นนโยบายที่ นำมาปฏิบัติต่อตามแต่ละสำนักนะคะ ตามแต่ละหน่วยงานนะคะ ตามแต่ละหัวหน้านะคะ มีเอกสารนโยบายไหมนะคะ และในช่องก็จะมีผลกระทบ โอกาส แล้วก็ความเสี่ยง ผลกระทบคืออะไรยกตัวอย่าง เรากลับไปดูข้อมูลด้านบน ผลกระทบหรือ Impact นะคะ ตารางนี้จะแสดงถึงผลกระทบ มีผลกระทบอยู่ระดับไหน ความเสียหาย ระดับไหน อย่างหัวข้อ มูลค่าความเสียหาย ผู้ใช้งานได้รับผลกระทบไหม ระดับความเสียหายอยู่ระดับไหน อันตรายถึงชีวิตหรือเปล่า ผลกระทบต่อภาครัฐขององค์กรไหม เป็นหน้าเป็นตาอย่างนี้ค่ะ อีกฝั่งหนึ่ง ระดับความรุนแรงนั่นเอง น้อยมาก น้อย ปานกลาง สูง สูงมากนั่นเองนะคะ เราก็มาดูนะคะ ผลกระทบของเรา สมมติตามนโยบายของเรานะ ก็จะเป็นลักษณะภาพลักษณ์ต่อองค์กรของเรานะคะ ว่ามีผลกระทบสูงมากขนาดไหน เนื่องจากเป็นนโยบายแน่นอนต้องมีผลกระทบที่ค่อนข้างสูง เพราะทุกคนต้องมีรับนโยบายมาจากหน่วยงานข้างบนนะคะ สมมติสูงมาก สูงมากก็คือมีค่าเป็น 5 อันนี้อาจารย์จะอธิบายให้เข้าใจนะ แล้วทุกคนจะไป กรอกเก็บข้อมูลตามละกลุ่ม กลุ่มใครกลุ่มมัน มีผลกระทบคือสมมติถ้ามีนโยบายมีค่าเป็นมาก คราวนี้นะคะ เราก็จะมาดูในตารางเรามีอะไรอีก โอกาส โอกาสที่จะเกิดขึ้นนะคะ เมื่อกี้ผลกระทบนะคะ แล้วก็โอกาส ความเสี่ยงนะคะ โอกาสที่จะเกิดขึ้นระดับไหน เกิดขึ้นบ่อยไหม หรือว่าเกิดขึ้นไม่บ่อยนะคะ สูงมาก แล้วก็จะเป็นค่าที่คูณออกมา งงไหมหนอ โอกาสที่เราจะเกิดขึ้น เมื่อเราใส่ตรงนี้ ผลกระทบโอกาสที่เกิดขึ้นเกิดบ่อยมากนะคะ ค่าที่คูณกันระหว่างผลกระทบและโอกาสก็จะเป็นความเสี่ยง ระดับความเสี่ยงที่จะเกิดขึ้นนะคะ เราดูจากตาราง ผลกระทบมาก ทั้งภาพลักษณ์ภายในองค์กร แล้วก็ โอกาสที่จะเกิดก็คือ มันอาจจะเกิดได้ตลอดเพราะว่ามันเป็นนโยบายนะคะ คูณออกมาก็จะเป็น 25 ก็คือ มันจะต้องเร่งด่วน พูดง่าย ๆ 25 ก็คือระดับความเสี่ยงที่องค์กรต้องมีการปรับปรุงอย่างเร่งด่วน เนื่องจากไม่มีนโยบายความปลอดภัยเลย ดังนั้น ต้องรีบให้มีนโยบายนะคะ เมื่อเร่งด่วนแล้ว แล้วอย่างไร ณ ปัจจุบันคืออะไรนะคะ ไม่มีเอกสารที่เป็นลายลักษณ์อักษร เนื่องจากไม่มีนโยบายนะคะ เราก็เลยประเมินออกมาแล้ว ความเสี่ยงที่มันจะเกิด ตรงนี้นี่ มันส่งผลกระทบต่อองค์กรของเรา ดังนั้นก็ควรที่จะมีนโยบายเพื่อมารองรับ แล้วก็ดูแลเกี่ยวกับตัวระบบสารสนเทศของเรานั่นเอง อันนี้ระดับความเสี่ยง เอาแบบ ถัดมา เอาแบบที่แบบมองภาพง่าย ๆ เอาอันไหนดีที่จะมองภาพง่ายที่สุด ในหัวข้อการสิ้นสุดหรือการเปลี่ยนแปลงการจ้างงาน เนื่องจากในทุกหน่วยงานนี่ก็จะมีบุคคลเข้า บุคคลออก อาจจะย้ายถิ่นนะคะ หรือมีบุคคล บุคลากรที่รับเข้ามาใหม่นะคะ ก็คือการเปลี่ยนจ้างงานนะคะ กรณีที่บุคลากรของเรานี่สิ้นสุดนะคะ หรือเปลี่ยนการทำงาน ก็คือจะลาออก ย้ายไปรับตำแหน่งใหม่ หรือย้ายไปที่หน่วยงานอื่นนะคะ มีการคืนทรัพย์สินขององค์กรหรือเปล่า สมมติ บุคลากรนั้นก็มีคอมพิวเตอร์โน้ตบุ๊กนะคะ ที่เป็นครุภัณฑ์ที่ไว้ใช้งานนะคะ ซึ่งสามารถเข้ารหัสนะคะ ดึงข้อมูลต่าง ๆ ภายในองค์กรได้ เขาก็จะทำการคืนทรัพย์สินที่เป็นขององค์กรลงไปให้กับฝ่าย HR หรือว่าบุคลากร ที่ดูแลเกี่ยวกับอุปกรณ์เหล่านั้น เราก็จะมาดูผลกระทบของเรานะคะว่ามัน การคืนทรัพย์สินตรงนี้นะคะ อยู่ที่ผลกระทบอะไรนะคะ เราก็จะมาดูตารางผลกระทบของเรานะคะ ผลกระทบ คืนกับไม่คืนนะ สมมติเราคืนไป แล้วมันจะส่งผลกระทบ ระดับความเสียหายอย่างไรนะคะ ถ้าเป็นอุปกรณ์ที่ราคาไม่แพง ล้าหลังล้าสมัย ไม่ได้มีความสำคัญมาก มูลค่าความเสียหาย น้อยกว่า 10,000 บาทไหมนะคะ เนื่องจากอุปกรณ์ใช้งานไปนะคะ ราคาของตัวอุปกรณ์ก็จะลดลงตามระยะเวลานะคะ สมมติทางหน่วยงานประเมินมาให้แล้วนะคะว่า มันน้อยมากนะคะ ก็ประมาณหนึ่งนะคะ คราวนี้เราก็จะมาดูนะคะ ตัวโอกาสที่จะเกิดความเสียหายว่ามันเกิดบ่อยไหมต่อปีนะคะ ต่อเดือนนะคะ หรือถ้าเราคืนอุปกรณ์แล้วนะคะ หรือว่าเนื่องจากหน่วยงานของเรานี่ไม่มีการเข้าออกของบุคลากรเลย อันนี้อาจจะเป็นเคสแรก หรือว่าเป็นคนแรกที่เริ่มขึ้นก็ อาจจะค่อนข้างต่ำมากนะคะโอกาสที่จะเกิดก็ไม่ค่อยเยอะ อาจจะประเมินไว้ที่ 1 นะคะ ดังนั้น ความเสี่ยงของเราที่เกิดขึ้นนี่ ก็จะเป็นประมาณที่ระดับ 1 ค่า 1 x 1 นั่นเองนะคะ เนื่องจากได้มีการคืนนะคะ มีการคืนอุปกรณ์นะคะ แล้วก็ทรัพย์สินที่ได้นำมาใช้ในแผนกหรือว่าเป็นของส่วนตัวน่ะ คืนไปหมดเรียบร้อยแล้วนะคะ มันก็จะทำการประเมินนะคะ แต่ละส่วนไปนั่นเอง มันก็จะมีหัวข้อที่ค่อนข้างเยอะนะคะ เดี๋ยวอาจารย์จะปรับลดลงให้ ตามหัวข้อที่น่าจะให้บุคลากรเขาเข้าใจ แล้วก็สามารถที่จะประเมินนะคะ ณ ปัจจุบัน ณ งานที่เขาทำอยู่นี่ มีระดับความเสี่ยงที่ระดับไหน แล้วก็จะได้สื่อสารกับผู้ที่ไปรับข้อมูลได้อย่างถูกต้องนั่นเองนะคะ มันอาจจะฟังงง ๆ นิดหน่อยนะคะ แต่ว่าถ้าเราเข้าใจกับตัวตารางแล้ว ก็สามารถประเมินออกมาได้นะคะ ความมั่น… ความมั่นคงปลอดภัยทางกายภาพแล้วก็สิ่งแวดล้อม พูดง่าย ๆ ว่าอย่างห้อง Data Center นะคะ มีการปิดนะคะ หรือว่าเป็นห้องปิด มีตัวระบบล็อกคีย์การ์ดนะคะ หรือมีการเข้ารหัสเกี่ยวกับการเข้าไปใช้งาน ลงชื่อใช้งานหรือว่าระดับ ความสำคัญของผู้ใช้งานหรือว่า User นั่นเองนะคะ มันก็จะมีหลายขั้นตอนที่จะ ช่วยป้องกันนะคะ เกี่ยวกับข้อมูลเกี่ยวกับสารสนเทศตรงนี้ได้นะคะ ความมั่นคงปลอดภัยทางกายภาพนะคะ ความมั่นคงปลอดภัยของอุปกรณ์ การจัดวาง การป้องกัน กรณีที่อุปกรณ์ที่ต้องการสภาพอากาศที่มีความเย็น เพื่อไม่ให้อุปกรณ์นี่เกิดความ Heat หรือทำให้ตัวระบบนี่ ไม่สามารถทำงานได้ อาจจะมีระบบ Condition นะคะ หรือไม่วางอุปกรณ์ให้ติดกับตัวผนัง เพื่อให้มีการถ่ายเทของอากาศนะคะ ก็จะเป็นรูปแบบของการจัดวางอุปกรณ์ มันก็จะสามารถที่จะเช็กเกี่ยวกับความเสี่ยงที่อาจจะเกิดขึ้นได้นะคะ ว่ามันมีการจัดวางหรือว่าการดูแลอุปกรณ์ในรูปแบบไหน การบริหารด้านการจัดการ การสื่อสาร ดำเนินงานเครือข่าย การมีการแบ่งความรับผิดชอบนะคะ ให้แก่บุคลากร สำหรับทุกคนตามแผนก ตามหน้าที่ แล้วก็ตามศักยภาพนะคะ หลัก ๆ ก็จะประมาณนี้ การป้องกันโปรแกรมที่ไม่ประสงค์ดีนะคะ พวกโปรแกรม Antivirus ตัว Firewall ต่าง ๆ การสำรองข้อมูล มีการจัดเก็บไว้ไหมนะคะ มาตรฐานทางเครือข่าย มีการปิดช่องโหว่ต่าง ๆ หรือเปล่านะคะ ก็สามารถที่จะไปเก็บข้อมูลนะคะ กับผู้ปฏิบัติงานจริงในหน่วยงานได้นั่นเอง การทำธุรกรรมออนไลน์ต่าง ๆ อะไรมีบ้างนะคะ การควบคุมการเข้าถึงนะคะ การลงทะเบียนผู้ใช้งานนะคะ การใช้งานรหัสผ่าน กรณีอุปกรณ์ที่ไม่มีคนดูแลนี่ เขามีวิธีการป้องกันแล้วก็ควบคุมอย่างไร การแบ่งแยกเครือข่ายนะคะ การระบุแล้วก็พิสูจน์ตัวตนของผู้ใช้งาน ดูแล้วเป็นอย่างไร พอจะเข้าใจไหม เราต้องไปเก็บข้อมูลจริง ๆ ตามกลุ่มที่อาจารย์จะแบ่งให้นะคะ แล้วก็จะมีฟอร์มที่เป็นรูปแบบลักษณะแบบนี้นะคะ แต่ว่าตามหัวข้อ แต่พวกข้อมูลเหล่านี้นี่ เราจะไปเติมเอง เพราะว่าแต่ละแผนก ข้อมูลก็จะไม่เหมือนกันนะ ใช่ค่ะเดี๋ยวอาจารย์จะให้ไปทำอยู่ศูนย์คอมฯ นี่แหละค่ะ แต่ว่า แบ่งแผนก เพราะว่ามันจะได้แบ่งกันไปทำจะได้คนไม่เยอะ พอดีถ้าจะให้ออกไปข้างนอกน่ะ กลัวมันยาก เพราะว่าต้องทำหนังสือแล้วก็ขอความอนุเคราะห์เข้าไป ต้องไปดูเขาอีกเขาว่างไหม แล้วก็เขาจะให้เราเข้าช่วงไหน มีพี่เจ้าหน้าที่ดูแลหรือเปล่าอะไรอย่างนี้ค่ะ ก็เลยเลือกเป็นศูนย์คอมฯ เพราะว่ามันจะได้สะดวก นักศึกษาน่าจะคุ้นชินอยู่แล้วนะคะ เดี๋ยวจะติดต่อว่าจะแบ่งเป็นแผนกไหน แล้วก็ให้พี่ใครดูแลไปบ้างนะคะ เนื่องจากเรามีหมู่อื่นด้วย เพราะว่าต้องมีพี่ล่ามนี่ไปด้วยในกรณีที่ เป็นหมู่ที่ต้องใช้ล่ามในการสื่อสารนั่นเองนะคะ ก็จะเป็นคร่าว ๆ ประมาณนี้ จริง ๆ มันจะค่อนข้างละเอียดเยอะอยู่นะคะ แต่อาจารย์จะตัดลงเอาเฉพาะที่เข้าใจกันง่ายดีกว่านะคะ ในหัวข้อไหน คราวนี้เมื่อเราได้ความเสี่ยงแล้วเดี๋ยวเราก็จะมาสรุปกัน ว่าความเสี่ยงที่เราไปเก็บมานี่ ตัวไหนที่มันมีความเสี่ยงสูง มากสุดอะไรนี่ มันต้องไล่ลำดับเพื่อจะได้จัดการนะคะ ในความเสี่ยงที่มันจะวิกฤตสุด ๆ ต้องทำลำดับที่มี… ที่มีความเสี่ยงสูงที่สุดก่อน ไล่มาเรื่อย ๆ นั่นเองนะคะ โอเค เดี๋ยวอาจารย์ขอดูรายชื่อสักแป๊บ เดี๋ยวเราจะแบ่งออกเป็น 4 กลุ่มนะคะ ปี 2 กลุ่มหนึ่งนะคะ แล้วก็ปี 3 จะมีทั้งหมด 3 กลุ่ม โดย ห้อง 2 นะคะ ก็จะเป็นกลุ่มหนึ่งแล้วก็ห้อง 1 อาจารย์จะแบ่งออกเป็น 2 กลุ่มนะคะ จะให้อาจารย์สุ่มแบ่งให้ไหมห้อง 1 โอเค อาจารย์จะสุ่มตามรายชื่อแล้วกันนะ เรามีทั้งหมด 10 เท่าไร 12 นะ ก็จะเลือกออกมา 6 คนแรกก่อนนะคะ เป็นกลุ่มหนึ่ง แล้วก็ที่เหลือก็จะเป็นอีกกลุ่ม 2 นะคะ เริ่มเลยนะ กันตวิชญ์กลุ่ม 1 กันตวิชญ์ เห็นไหม มันมีชื่ออยู่นะ อันนี้กลุ่ม 1 นะ กรพจน์ นราวิชญ์ เดี๋ยวพี่ล่ามพักก่อนก็ได้นะคะ ตอนนี้กำลังแบ่งกลุ่ม เอ้าไม่ได้ออกเหรอเมื่อกี้ เมื่อกี้ไม่ได้ลบเหรอ เมื่อกี้มันลบไปแล้วไม่ใช่เหรอ ยังไม่ออกเลย โอเค ๆ ยังไม่ลบเหรอ ลบอย่างไรเล่านี่ ถ้ารวมหมดกลัวแบบล่ามจะดูแลยาก กลัวจะมีหลายกลุ่ม ไม่เป็นไร เมื่อกี้ใครนะ พัทธนันท์ เดี๋ยวค่อยลบ เอาใหม่ 4 แล้ว ศศิกานต์ 1 2 3 4 5 อานุภาพ ครบแล้ว ที่เหลือก็เป็นอีกกลุ่ม 1 นะคะ มงคล เดี๋ยวนะ เดี๋ยวนะ ศักดา อัษฎาวุธอยากอยู่กลุ่มกับห้อง 1 ไหมคะ หรือว่า ไม่ เลือกได้ จะมี 3 กลุ่ม 1 2 อัษฎาวุธ โอเค ก็จะประมาณนี้นะ อัษฎาวุธ แล้วก็ศักดา 2 เราก็จะมีทั้งหมด 4 กลุ่มนะคะ จะมีฟอร์มไปให้แบบนี้เลย หน้าตาแบบนี้แหละ ฟอร์มมีให้ แต่ต้องไปคุยกับพี่เขาให้รู้เรื่อง พูดให้ถูก ประเมินเป็นอย่างไร ความเสี่ยงเป็นอย่างไร อธิบายให้เขาเข้าใจ อ่านตัวอย่างแล้วก็อ่านเนื้อหาไปก่อนเราจะได้เข้าใจความหมาย ความเสี่ยงเป็นอย่างไร ความเสี่ยงที่จะเกิดขึ้น วิกฤติ ไม่วิกฤตินะคะ สงสัยไหมหนอนี้ กลัวไปตอนทำจริงแล้วจะ เขาจะงง แต่ว่าพี่เขาน่าจะเคย รุ่นก่อน ๆ แต่มันก็นานมากแล้วอ่ะ พวกประเมินความเสี่ยง พี่เขาอาจจะเข้าใจอยู่นะคะ แต่เราต้องสื่อสารให้เข้าใจนะ เดี๋ยวกลุ่ม 1 นะ อาจารย์พูดอีกรอบนึง กรพจน์ นราวิชญ์ อานุภาพ พัทธนันท์ ศศิกานต์ กันตวิชญ์ ตามนี้ ที่เหลือก็จะเป็นกลุ่ม 2 แล้วก็ห้อง 2 ก็จะเป็นกลุ่ม 3 แล้วก็ปี 2 ก็จะเป็นกลุ่ม 4 โอเคนะ ใครมีคำถามไหม กรอกฟอร์มแล้วก็เดี๋ยวเราจะทำรายงานส่งด้วย ฟอร์มน่ะมีให้อยู่แล้ว เราต้องมา นำเสนอ ให้เพื่อนด้วยว่าเราไป รับข้อมูลมาและของฝ่ายนี่ การเก็บข้อมูลแบบนี้ อาจจะเป็นลักษณะของเก็บข้อมูลการดูแลอุปกรณ์ เป็นอย่างไร เขามีการจัดการอย่างไรนะคะ ความเสี่ยงเขามีเยอะไหมนะคะ พี่เขามีกระบวนการดูแลอย่างไรนั่นเอง มาสื่อสารให้เพื่อน ๆ ในห้องที่เหลือ อีก 3 กลุ่มเข้าใจ ให้เข้าใจนะ หัวข้อเดี๋ยวอาจารย์มีให้ ค่ะ เดี๋ยวหนังสืออาจารย์ทำให้ด้วย คือ ไปแล้วคุยกับเขารู้เรื่องแล้วได้ข้อมูลกลับมาแค่นั้นแหละ ทำให้ทุกอย่างนะคะ แต่ว่าเดี๋ยวจะฝากทางล่ามไปด้วย สำหรับห้อง ก็จะเหลือ ปี 2 แล้วก็ปี 3 นะ ว่าน้อง ๆ ไปวันไหนก็ฝากไปสื่อสารช่วยให้หน่อย กลัวแบบ เด็ก ๆ จะคุยกันไม่รู้เรื่องนะคะ กับพวกพี่ ๆ เขา ก็เดี๋ยวมีให้ไปเก็บข้อมูลเอามานำเสนอ เดี๋ยวอาจารย์จะดูอีก ถ้าเวลาเหลือนะคะ อาจจะมีให้ตัวมาตรฐานมาเพิ่ม หรือว่าอย่างไรเดี๋ยวจะแจ้งอีกรอบหนึ่งนะคะ โอเค เดี๋ยวขอเช็กชื่อก่อน แล้วก็งานเห็นแล้วนะรายชื่อที่อาจารย์ประกาศไปนะคะ สำหรับใครที่ยังมีงานที่ค้างอยู่ บางคนอาจจะคิดว่าทำแล้ว แต่ยังไม่ได้ทำ หรือว่าใครมั่นใจว่าทำครบ ไปเช็กกับอาจารย์ได้นะคะหลักฐานมีไป ไปรื้อกันนะคะ ว่าอันไหนส่งไปแล้วหรือยังไม่ส่ง เช็กได้ ใช่ค่ะ คนที่ค้างก็จะมีแค่รหัสที่ขึ้น ใครที่ไม่มีก็คือครบหมดแล้ว หรือบางคนอาจจะจำรหัสตัวเองไม่ได้หรือเปล่า ไปเช็กดูนะ เดี๋ยวขอเช็กชื่อก่อนนะคะ ศิริรัตน์ ศิริรัตน์ มาอยู่ไหม อดิศร นพกฤต อาจารย์จำไม่ได้แล้วนี่ พงษ์พร จันทกานต์ มานะ กัญญาณัฐ ธัญลักษณ์ วริษา โอเค โอเคนะคะ ภัทร ภัทรา อ๋อ นี่ออกไปแล้ว เทพอัปษร ภากร ธนภัทร มาอยู่นะ โอเค ทวีรัตน์ จักรพันธ์ ศิตาพร กรพจน์ นราวิทย์ อานุภาพ ทศทิศ พัทธนันท์ ศศิกานต์ มัณฑนา ปรเมษฐ์ กันตวิชญ์ จุฑารัตน์ ศักดา โอเค ดำรงศักดิ์ สรจักร มงคล อัษฎาวุธ นิชนันท์ สุมาวดี โอเค คาบนี้น่าจะเข้าใจกันนะคะ น่าจะไม่ยากเท่าไรนะคะ เพราะมีตัวอย่างให้มีตารางให้ มีคำอธิบาย มีเอกสารให้ กลับไปอ่านได้อีกรอบ 1 จะได้เข้าใจนะ ก่อนที่เราจะ… หน่วยงานอาจารย์คิดให้เลยเป็นศูนย์คอมฯ แค่แบ่งไปว่าจะได้หัวข้อไหนค่ะ เดี๋ยวก็แบ่งไปตามกลุ่มของเรา โอเค แล้วก็ถ้าของเราก็จะมีพวกพี่ ๆ เขาไปดูแลด้วยอีกรอบหนึ่งนะคะ โอเค ใครมีคำถามเพิ่มเติมอะไรไหมคะ ไม่มีนะ อย่าลืมส่งงานสำหรับใครที่ยังค้างอยู่ โอเค ถ้าไม่มีคำถามก็ เดี๋ยวอาจารย์ขอนัดดูก่อนว่า ไปเช็กก่อนว่าทางศูนย์คอมฯ เขาให้ประมาณช่วงไหน ถ้าไม่ตรงกับที่เรียนสัปดาห์หน้าเดี๋ยวอาจารย์จะแจ้งอีกรอบหนึ่ง หรือว่าถ้าทางศูนย์คอมฯ เขาสะดวกเป็นวันที่เราเรียน ก็ค่อยมาแจ้งประกาศอีกรอบหนึ่งแล้วกันนะคะ ว่าจะให้ไปเก็บข้อมูลแทนหรือว่าเราจะมาเรียนก่อน โอเค ถ้าไม่มีคำถามอะไรก็เดี๋ยวเจอกัน สัปดาห์หน้าหรือถัดไปแล้วแต่กรณีของหน่วยงานเขาให้เข้าไปดูวันไหนนะคะ โอเค ถ้าไม่มีคำถามก็สวัสดีค่ะ สวัสดีล่ามทางไกลด้วยนะคะ [สิ้นสุดการถอดความ]