(อาจารย์ธิดารัตน์) ค่ะ สำหรับวันนี้นะคะ เราก็จะมาเรียนต่อกับสัปดาห์ที่แล้วนะคะ สัปดาห์นี้จะเป็นตัวมาตรฐานสากลอีกตัวหนึ่งนะคะ ที่หน่วยงานองค์กรนี่นิยมนำมาใช้ ไม่ว่าจะเป็นหน่วยงานที่มีขนาดไหนก็ได้ สามารถที่จะนำมาใช้ แล้วก็ปรับประยุกต์กับหน่วยงานของเรา มาตรฐานตัวนั้นก็คือมาตรฐาน ISO นะคะ เราก็อาจจะเคยเห็นนะคะ ตามหน่วยงานต่าง ๆ ที่อยู่ในชุมชน หรือว่าในบริเวณที่เราอาจจะขับรถผ่าน หรือว่าเห็นหน่วยงานต่าง ๆ นี่ มันจะมีตัวชื่อมาตรฐาน ISO ตัวนี้นี่ แปะอยู่ เพื่อจะได้รองรับนะคะ แล้วก็ชี้ให้เห็นว่าองค์กรของเขานี่ได้มีการรับรองจากตัวมาตรฐานสากลนะคะ อย่างที่เห็นง่าย ๆ ก็จะเป็นพวก ISO เกี่ยวกับสิ่งแวดล้อมน่ะค่ะ พวกหน่วยงานองค์กรนะคะ จะค่อนข้างถูกให้ปฏิบัติตามตัวมาตรฐาน ก็คือรักษาสิ่งแวดล้อมด้วยนั่นเองนะคะ คราวนี้นะคะ เข้ามาเกี่ยวกับตัวมาตรฐานสากลที่เราจะมาพูดถึงในครั้งนี้นะคะ ก็จะเป็นมาตรฐานสากลที่เกี่ยวกับตัวเทคโนโลยีสารสนเทศนะคะ ก่อนที่จะไปเรียนรู้เกี่ยวกับตัวมาตรฐานสากลที่เกี่ยวกับตัวเทคโนโลยีสารสนเทศนี่ เดี๋ยวเราก็จะมาดูนะคะ ว่าตัวมาตรฐานสากล ISO หรือว่าหน่วยงานองค์กรที่กำกับ แล้วก็ดูแลกับตัวมาตรฐานตัวนี้ เขามีจุดกำเนิดหรือว่าจุดริเริ่มนะคะ ของตัวมาตรฐานนี่ มาจากไหนนั่นเองนะคะ เริ่มต้นมานะคะ จากตัวเทคโนโลยีสารสนเทศนะคะ ก็ถูกนำมาใช้รวมถึงตัวระบบสารสนเทศนี่ ก็ได้ถูกยกแล้วก็นำมาใช้กับธุรกิจหรือว่าหน่วยงานเกือบทุกหน่วยงานนะคะ ไม่ว่าจะเป็นภาครัฐหรือว่าเอกชนนะคะ ดังนั้น ตัวเทคโนโลยีสารสนเทศนี่ ก็จะเข้ามาตอบโจทย์นะคะ แล้วก็เข้ามาซัปพอร์ต ไม่ว่าจะเป็นธุรกิจในรูปแบบไหนนะคะ จะมีความซับซ้อนนะคะ หรือว่ามีการปฏิบัติงานที่แตกต่างกัน ก็สามารถที่จะรองรับได้ ดังนั้นนะคะ การบริหารนะคะ ทางด้านเทคโนโลยีสารสนเทศของเรานี่ ณ ปัจจุบันก็ต้องปฏิบัติตามความต้องการอยู่ 2 ข้อนะคะ ก็คือผลงาน แน่นอน ก็คือ องค์กรของเรานี่ต้องการผลลัพธ์ขององค์กรในรูปแบบไหนนะคะ การให้บริการ หรือการให้ความพึงพอใจหรือเปล่านะคะ และก็ต้องสอดคล้องนะคะ กับกลุ่มหรือเป้าหมายขององค์กรเป้าประสงค์ขององค์กรนั่นเอง ที่เราตั้งไว้นะคะ จากรูปเราก็จะเห็นว่าการบริหารทางด้านเทคโนโลยีสารสนเทศของเรานี่ ก็ต้องมีความสอดคล้อง ไม่ว่าจะเป็นผลลัพธ์หรือว่าความต้องการก็ต้องสอดคล้องกันไปนะคะ จากรูปนะคะ ฝั่งซ้ายมือตรงนี้นะคะ ก็จะพูดถึงความเป็นไปเป็นมานะคะ เกี่ยวกับการนำตัวเทคโนโลยีสารสนเทศนี่ เข้ามาใช้นะคะ ในช่วงกี่ ค.ศ. หรือว่าตัวคริสต์ศักราชของเรานั่นเองนะคะ ก็จะเห็นว่าตัวเองมีสารสนเทศนี่ก็จะเป็นเครื่องมือนะคะ ที่เข้ามาช่วยสนับสนุนของตัวองค์กรของเรานั่นเอง ถัดมา จะมาดูว่าตัวมาตรฐาน ISO ของเรานี่คืออะไรนะคะ ก็ตัว ISO นะคะ ก็จะเป็นตัวองค์กรที่ดูแลจัดการเกี่ยวกับมาตรฐานนะคะ โดยเริ่มต้นนะคะ ก็เกิดที่กรุงเจนิวา ของสวิตเซอร์แลนด์นะคะ เริ่มก่อตั้งที่วันที่ 14 ตุลาคม คริสต์ศักราช 1947 นะคะ ปัจจุบันนี่ ก็จะมีจำนวนสมาชิกที่เพิ่มขึ้นนะคะ เป็น 143 ประเทศนะคะ จากเริ่มต้นแรก ๆ ที่ได้ก่อตั้งขึ้นมา ก็จะมี 25 ประเทศที่เข้ามาก่อตั้งนั่นเองนะคะ โดยได้เริ่มประชุมกันนะคะ ที่กรุงลอนดอน แล้วก็มีมติเกี่ยวกับการบริหารจัดการนะคะ ว่าทำอย่างไรนะคะ ให้ตัวผู้ที่นำสารสนเทศ หรือผู้ที่นำเกี่ยวกับมาตรฐานตรงนี้นี่ นำไปใช้ แล้วมีมาตรฐานเดียวกัน และสถาบันชาติก็ได้ยอมรับนะคะ เกี่ยวกับองค์กรสากลนี้นะคะ ว่าเป็นองค์กรที่ชำนาญพิเศษ ที่ไม่ใช่หน่วยงานของภาครัฐนั่นเองนะคะ อันนี้ก็ถือว่าเป็นที่ไปที่มา จุดเริ่มต้นของตัวมาตรฐาน ISO ของเรา ISO นะคะ เราได้คำนี้มาจากอะไรนะคะ เริ่มต้นนะคะ ก็ ISO ก็เป็นคำย่อนะคะ ของ IOS ซึ่งเป็นภาษากรีก แปลว่า ความสับสนนะคะ เมื่อสื่อความหมายออกมาแล้วดูไม่เหมาะสมนะคะ ก็เลยได้ทำการปรับเปลี่ยนนะคะ จากตัว IOS นี่ มาเป็นตัว ISO ซึ่งภาษากรีก ก็ตรงกันว่า ISOS นะคะ ซึ่งจะแปลว่าความเท่าเทียม ดังนั้นก็ตรงกับวัตถุประสงค์ขององค์กรสากลของเรานี่ ว่าต้องการให้ตัวองค์กรทุกองค์กรที่เอามาตรฐานตัวนี้นี่ มีความเท่าเทียมกัน หรือว่าทัดเทียมกันของทุก ๆ องค์กรนั่นเอง วัตถุประสงค์นะคะ ของตัว ISO ของเรานะคะ ก็เป็นการที่จะส่งเสริมมาตรฐานระหว่างประเทศ กิจกรรมที่เกี่ยวข้องนะคะ การพัฒนาอุตสาหกรรม เศรษฐกิจ แล้วก็ขจัดความโต้แย้ง ป้องกันการกีดกันการค้าระหว่างประเทศนะคะ แล้วก็เพิ่มความร่วมมือระหว่างประเทศ สำหรับในด้านวิทยาศาสตร์แล้วก็เทคโนโลยีนะคะ ก็จะเป็นองค์กรไหนที่ได้รับตัวมาตรฐาน ISO ก็แสดงให้เห็นว่าสินค้าหรือว่าบริการขององค์กรนั้นน่ะ เป็นไปตามมาตรฐาน ก็แสดงให้เห็นว่าองค์กรนี้เป็นที่ยอมรับในระดับสากลนั่นเองนะคะ มันก็จะสะท้อนให้เห็นว่ามาตรฐานขององค์กรอยู่ในระดับไหนนะคะ ผู้บริโภคหรือว่าผู้มาใช้บริการก็จะเกิดความเชื่อมั่นที่ดี ตัวภารกิจของตัวองค์กร ISO ของเรานะคะ ก็องค์กรระหว่างประเทศนะคะ ก็จะประกอบด้วย สมาชิกจากต่างประเทศนะคะ จำนวน 143 ประเทศ โดยภารกิจหลัก ๆ นะคะ ก็จะมีการสนับสนุน พัฒนานะคะ เพื่อตอบสนองการค้า การแลกเปลี่ยนนะคะ แล้วก็การให้บริการระหว่างประเทศหรือว่านานาชาติทั่วโลกนั่นเอง พัฒนาความร่วมมือด้านวิทยาศาสตร์ เศรษฐกิจ แล้วก็ภูมิปัญญา ทั้งในแล้วก็ต่างประเทศนั่นเอง อันนี้ก็จะเป็นภารกิจหลัก ๆ นะคะ ของตัวองค์กร คราวนี้เราจะมาดูสมาชิกนะคะ ของตัวองค์กร ISO เรานี่ ว่าประกอบด้วยสมาชิกอย่างไร ประเทศต่างชาติ หรือว่าประเทศไหนที่สนใจนะคะ ก็จะสามารถเข้าร่วม แล้วก็จะมีสถานะของคุณสมบัติของสมาชิกอะไรบ้างนั่นเอง เดี๋ยวเราจะมาดูนะคะ เริ่มต้นนะคะ ที่ 1 นะคะ Member Body ก็จะเป็นสภามาตรฐานแห่งชาตินะคะ ก็จะเป็นตัวแทนมาตรฐานของประเทศนั้น มีสิทธิ์ในการออกเสียง ไม่ว่าจะเป็นเรื่องวิชาการ การเลือกตั้ง คณะมนตรีนะคะ แล้วก็สามารถเข้าร่วมประชุม พูดง่าย ๆ คือสามารถที่จะเข้าร่วมกิจกรรมต่าง ๆ การประชุมต่าง ๆ สามารถมีสิทธิ์ออกเสียงเพื่อเสนอความคิดเห็นในทุก ๆ ด้านนั่นเอง ถัดมานะคะ สมาชิกในรูปแบบที่ 2 ก็จะเป็น Correspondent Member นะคะ อันนี้ก็จะเป็นสมาชิกในรูปแบบของประเทศที่กำลังพัฒนา ซึ่งยังไม่มีองค์กร ที่เป็นมาตรฐานของตนเองนะคะ ก็ต้องการที่จะมาใช้ตัวมาตรฐานตัวนี้นะคะ สมาชิกเหล่านี้นะคะ ไม่สามารถเข้าร่วมในเรื่องวิชาการได้นะคะ แต่ก็จะได้รับข่าวสารความเคลื่อนไหวของตัวองค์กร ISO ของเรา แล้วก็สามารถเข้าร่วมรับฟังนะคะ ในฐานะของผู้สังเกตการณ์ พูดง่าย ๆ ก็คือสามารถรับรู้ข่าวสารความเคลื่อนไหวความเป็นไปนะคะ กรณีที่มีการปรับเปลี่ยนหรือว่าแก้มาตรฐาน หรือว่ามีการปรับผู้บริหารต่าง ๆ นะคะ เข้าร่วมประชุมได้ทุกการประชุม สมาชิกในรูปแบบที่ 3 นะคะ ก็จะเป็น Sybscribe Membership สมาชิกในรูปแบบนี้ ก็จะเป็นสมาชิกที่กลุ่มประเทศที่มีเศรษฐกิจของข้างเล็กนะคะ ก็คือสามารถติดต่อกับตัว ISO ได้นั่นเองนะคะ เราก็จะเห็นการไล่ลำดับของคุณสมบัติของสมาชิกทั้ง 3 ประเภทนั่นเองนะคะ มี Member  body, Correspondent Member นะคะ Subscribe Membership นะคะ จะมี 3 อัน ถัดมาคราวนี้เรารู้คร่าว ๆ เกี่ยวกับตัว ISO องค์กรของเรานะคะ มีมาตรฐาน มีวัตถุประสงค์ มีความเป็นมาอย่างไรแล้ว คราวนี้ เนื่องจากเรานี่ เรียนแล้วก็ศึกษาเกี่ยวกับเทคโนโลยีสารสนเทศ ตัว ISO ตัวไหน ที่มันจะเหมาะสมแล้วก็เชื่อมโยงกับตัวเทคโนโลยีสารสนเทศ วันนี้ก็จะมาพูดถึงตัวมาตรฐาน ISO 27001 ซึ่งเป็นมาตรฐานด้านความปลอดภัยข้อมูล อันนี้ก็จะสอดคล้องนะคะ เกี่ยวกับตัวสาขาวิชาที่เราศึกษา ตัวมาตรฐานตัวนี้นะคะ ก็มีวัตถุประสงค์ที่จะทำให้ธุรกิจของเรานี่ดำเนินไปอย่างต่อเนื่อง ไม่หยุดชะงักนะคะ โดยจะมีข้อกำหนดต่าง ๆ ที่เราได้อาศัยของตัวมาตรฐาน ISO ของเรานี่ ที่รวมกับตัว IEC นะคะ มาประยุกต์ใช้ตัวมาตรฐาน ISO 27001 ซึ่งจะช่วยให้ธุรกิจของเรานี่ ดำเนินไปได้อย่างราบรื่น แล้วก็ต่อเนื่องนะคะ ช่วยป้องกันระบบข้อมูลสารสนเทศนะคะ จากความเสี่ยงต่าง ๆ ไม่ว่าจะเป็นภัยธรรมชาติหรือว่าบุคคลนะคะ หรือว่าสิ่งแวดล้อมอื่น ๆ นะคะ รวมถึงประเภทของ Electro technologies นะคะ ตัวมาตรฐานตัวนี้ก็จะสนับสนุนนะคะ กับสมาชิกที่ได้มาเข้าร่วม ก็คือสามารถที่จะนำตัวแนวทางวิธีการปฏิบัตินี่ เข้ามาใช้ในองค์กรเพื่อให้หน่วยงานหรือองค์กรของเรานี่ ดำเนินงานตัวธุรกิจ อย่างไม่มีปัญหานะคะ ตามวิธีการตัวมาตรฐานสากลที่ได้ตั้งเอาไว้นั่นเอง คราวนี้เราก็จะมาดูที่มาของตัวมาตรฐานสากล ISO 27001 นะคะ หัวใจสำคัญของตัวบริหารความปลอดภัยสารสนเทศนะคะ ก็จะมีทั้งหมด 3 ปัจจัยหลัก อันที่ 1 นะคะ อันนี้ก็ถือว่าเป็นส่วนสำคัญเลย ก็จะเป็นด้านข้อมูลส่วนตัว ข้อมูลสำคัญขององค์กร ซึ่งเป็นข้อมูลที่สำคัญที่สุดภายในองค์กรของเรา จะมีวิธีการรักษาความปลอดภัยอย่างไรนะคะ ไม่ให้ข้อมูลของเรานี่ เกิดรั่วไหล หรือถูกขโมยนะคะ ลักลอบแล้วก็นำไปใช้นะคะ ไม่ว่าจากคู่แข่งหรือว่าจากองค์กรอื่น ๆ นะคะ จนทำให้เกิดผลกระทบกับองค์กรของเรา ทำให้การดำเนินงานของธุรกิจอาจจะหยุดชะงัก หรือว่าส่งผลกระทบต่อปัญหาอื่น ๆ นะคะ ที่อยู่ในตัวโครงการที่องค์กรที่เราดูแล ซึ่งบางทีอาจจะส่งผลกระทบถึงขั้นวิกฤต ทำให้กระบวนการการทำงานขององค์กรหยุดชะงักได้ ตัวข้อมูลนี่ะ ค่อนข้างจะสำคัญนะคะ เป็นข้อมูลขององค์กร หรือว่าจะเป็นข้อมูลส่วนตัวนะคะ รวมถึงข้อมูลลูกค้าหรือบุคคลนะคะ อาจจะเป็น Partner, Vendor ต่าง ๆ ที่มีการประสานงานเกี่ยวกับการทำงานหรือว่าธุรกิจนะคะ ซึ่งข้อมูลเหล่านี้ย่อมสำคัญและมีส่วนสำคัญในการดำเนินธุรกิจขององค์กรนะคะ ตัวนี้ก็จะเป็นรูปแบบของการรักษาความปลอดภัย ไม่ให้ข้อมูลนี่ เกิดปัญหา หรือรั่วไหลนั่นเอง ถัดมา หัวใจสำคัที่ 2 นะคะ ก็จะเป็นการบริหารความเสี่ยงนะคะ จากสิ่งแวดล้อมนะคะ จากบุคคลนะคะ จากปัจจัยอื่น ๆ ที่อยู่รอบด้านนะคะ การบริหารความเสี่ยงนะคะ เหล่านี้นี่ ค่อนข้างสำคัญนะคะ เพราะว่า สิ่งที่คาดการณ์ว่าจะเกิดผลกระทบกับองค์กร กับกระบวนการทำงาน โครงการของธุรกิจนะคะ จะต้องมีวิธีการรับมืออย่างไร ยกตัวอย่าง กรณีถ้าเราต้องการติดตั้งไซต์สำรอง เพื่อป้องกันนะคะ ให้ตัวระบบสารสนเทศของเรานี่ สามารถที่จะดำเนินงานได้ กรณีอาจจะมีภัยพิบัติขึ้นมานะคะ ไฟดับนะคะ น้ำท่วม ฝนตก หรือจะเป็นแผ่นดินไหว เราสามารถที่จะมีศูนย์สำรองข้อมูลนะคะ แล้วก็สามารถที่จะกู้คืนระบบภายหลังภัยพิบัติ หรือว่า Disaster Recovery Center นะคะ ก็คือสามารถที่จะกู้ระบบขึ้นมาใช้งานได้ เพื่อไม่ทำให้ธุรกิจหรือว่าการดำเนินงานของเรานี่ เกิดสะดุดนะคะ ซึ่งค่อนข้างมีความสำคัญนะคะ กับหลายธุรกิจ ยกตัวอย่างที่เรามองภาพใกล้ ๆ เลยนะคะ อย่างธนาคารนะคะ ถ้าเป็นในรูปแบบขององค์กรนะคะ หรือบริษัทที่เป็นธนาคารใหญ่ ๆ นะคะ ที่เป็น Head Quarter หรือว่าเป็นบริษัทใหญ่ ๆ ถ้าเรากำลังทำธุรกรรมออนไลน์นะคะ หรือกำลังฝากถอนเงินต่าง ๆ นะคะ แล้วตัวระบบเกิดมีปัญหานะคะ เราจะทำอย่างไร จะมีวิธีรับมือแก้ปัญหาตรงนี้อย่างไร ให้การถอนเงินของเรา หรือว่าการฝากเงินเข้าไปในตัวระบบนี่ สามารถดำเนินการ แล้วไม่ทำให้ข้อมูลของเรานี่ เกิดปัญหา สมมติกำลังจะกดถอนเงิน แล้วเกิดระบบส่วนควบคุมใหญ่ของธนาคารเกิดมีปัญหาขึ้นมา ตัวระบบมันตัดยอดว่าเราได้ทำการถอนเงินไปแล้วนะคะ อันนี้ก็จะทำให้ตัวระบบนี่มีปัญหา ส่งผลต่อผู้ใช้บริการ ก็คือตัวเรานั่นเองนะคะ ดังนั้น ระบบการให้บริการทางสารสนเทศตรงนี้ ก็คือต้องดำเนินงานอย่างต่อเนื่องแล้วก็ไม่มีปัญหา หรือการบริการด้านสุขภาพ อันนี้ก็จะค่อนข้างสำคัญ มองไปใกล้ ๆ ตัวมากที่สุด กรณีที่เราเข้าไปรับบริการของโรงพยาบาล คุณหมอกำลังอยู่ในห้องผ่าตัดนะคะ หรือว่ากำลังผ่าตัดในรูปแบบออนไลน์นะคะ ก็คือปรึกษากับแพทย์ทางไกลอยู่ แล้วเกิดระบบสื่อสารหรือระบบสารสนเทศ อุปกรณ์เครื่องมืออิเล็กทรอนิกส์นี่ เกิดมีปัญหา ก็จะส่งผลกระทบต่อผลเสีย คือผู้มารับบริการหรือว่าคนไข้นั่นเอง ดังนั้นนี่ เราจะทำอย่างไร ให้ตัวระบบสารสนเทศ หรือว่าพวกระบบให้บริการเหล่านี้ สามารถดำเนินงานได้อย่างต่อเนื่องนะคะ เพราะว่าข้อมูล หรือว่ากระบวนการทำงานนี่ต่าง ๆ นี่ค่อนข้างมีสำคัญนะคะ ต่อการดำเนินธุรกิจของเรานะคะ พูดง่าย ๆ ก็คือทำอย่างไรให้ธุรกิจของเรานี่ ดำเนินการต่อเนื่อง อย่างไม่มีการสะดุด หรือว่า Business continuity นะคะ อันนี้จะเป็นความสำคัญที่ 2 ก็คือการบริหารความเสี่ยงที่จะเกิดขึ้นนั่นเอง ถัดมานะคะ ก็จะเป็นระบบเพื่อป้องกันความปลอดภัยของข้อมูลนะคะ ตัวนี้นะคะ อาจจะมองว่าเราจะบริหาร เพื่อให้ข้อมูลของเรานี่ ปลอดภัยได้อย่างไร ต้องเริ่มต้นจากไหน จากผู้บริหารเลยหรือเปล่านะคะ ที่มาจากการดูแลนะคะ มีนโยบายมีแผนกลยุทธ์นะคะ การตรวจวัด การบริหาร การควบคุม และก็การปฏิบัติการ ดังนั้น สิ่งสำคัญที่สุด ในการบริหารที่จะสำคัญมาก ก็คือ ต้องมีตั้งแต่แผนกลยุทธ์ขององค์กรนะคะ ว่าเราจะป้องกันหรือว่ากลยุทธ์เกี่ยวกับระบบสารสนเทศอย่างไรนะคะ เราก็มาบริหารจัดการนะคะ บริหารคนนะคะ บริหารโครงการนะคะ มีกระบวนการ วิธีการควบคุมอย่างไรนะคะ ให้ปลอดภัย ในด้านของตัวข้อมูลของในองค์กรของเรานั่นเองนะคะ อันนี้ก็จะเห็นถึงความสำคัญนะคะ ที่เราจะนำตัวมาตรฐาน ISO 27001 มาใช้ เมื่อนำมาใช้แล้วจะทำให้กระบวนการต่าง ๆ นะคะ เกี่ยวกับตัวระบบสารสนเทศของเรานี่ ไม่เกิดติดขัด แล้วก็ไม่มีปัญหา แล้วก็ไม่ส่งผลกระทบในทุก ๆ ด้านกับองค์กรของเรานั่นเอง ถัดมาเราจะมาดูปัจจัยนะคะ ความปลอดภัยของตัวระบบสารสนเทศ อันนี้ก็จะเป็นปัจจัยหลัก ๆ เลยนะคะ ที่ทำให้ตัวระบบสารสนเทศของเรานี่มีความปลอดภัย เริ่มจาก ความลับของข้อมูลนะคะ ความถูกต้องสมบูรณ์ของข้อมูล ความพร้อมใช้งาน การยืนยันตัวของผู้ใช้ การควบคุมสิทธิ์ในการใช้งาน และการไม่สามารถปฏิเสธการกระทำนะคะ เริ่มจากความลับของข้อมูลนะคะ ข้อมูลของเรานะคะ อาจจะเป็นข้อมูลสำคัญขององค์กร หรือว่าข้อมูลสำคัญของส่วนบุคคล ก็จะมีวิธีการเก็บข้อมูลเหล่านี้อย่างไรนะคะ ความถูกต้องสมบูรณ์ของข้อมูล ข้อมูลที่ถูกบรรจุเข้ามาในระบบ มีการเช็กข้อมูลนะคะ ว่าบรรจุมาครบไหมนะคะ สมบูรณ์หรือเปล่า ถัดมาก็คือพร้อมใช้งาน ก็คือสามารถให้บริการนะคะ ได้ทันทีหรือเปล่า การยืนยันตัวตนของผู้ใช้ เป็นการเช็กว่าคุณสามารถมีสิทธิ์ในการใช้งานตัวระบบนี้ จริงหรือไม่ การควบคุมสิทธิในการใช้งานนะคะ ก็คือคุณมีสิทธิ์เข้าสู่ระบบในระดับไหน และสุดท้าย การไม่สามารถปฏิเสธการกระทำนะคะ เพราะเราจะสามารถสืบแหล่งที่มาในการใช้งานตัวระบบสารสนเทศ รวมถึงการทำงานที่เกี่ยวข้องกับระบบสารสนเทศได้ ดังนั้น ผู้ใช้งานกระทำสิ่งใดไว้ ก็สามารถที่จะสืบ แล้วก็บ่งชี้ตัวบุคคลได้นั่นเอง อันนี้ก็จะเป็นปัจจัยนะคะ เกี่ยวกับความปลอดภัยของระบบสารสนเทศนั่นเอง ถัดมาเราจะมาดูแนวทางนะคะ กรณีที่องค์กรของเรานี่ ต้องการการรักษาความปลอดภัยในตัวระบบสารสนเทศนะคะ จึงได้เลือกใช้ตัวมาตรฐาน ISO 27001 มาใช้ในองค์กรของเรา ซึ่งการปฏิบัติตามตัวมาตรฐานตัวนี้นี่นะคะ ก็จะมีทั้งหมด 7 ขั้นตอน ซึ่งเราก็จะมาดูตั้งแต่ขั้นตอนที่ 1 เลยนะคะ ว่าแต่ละขั้นตอนนี่ มีอะไรบ้างนะคะ มีรายละเอียดอย่างไร ขั้นตอนที่ 1 เริ่มจัดตั้งคณะทำงานเกี่ยวกับตัว IT Security Steering นะคะ ก็คือเฉพาะเรื่องเกี่ยวกับตัวมาตรฐาน ISO ของเรานั่นเอง จัดตั้งคณะทำงานนะคะ เพื่อจะได้ไปศึกษาแล้วก็ทำความเข้าใจกับตัวมาตรฐานที่เราจะนำมาใช้ มาปรับประยุกต์ใช้กับองค์กรนะคะ จะได้รู้ว่าเราจะเอาแนวทางไหนนี่ ที่จะนำมาใช้กับองค์กรของเราได้ เพราะว่าแต่ละองค์กรนี่ ก็จะมีขนาดที่แตกต่างกัน มีกระบวนการทำงานที่แตกต่างกันนะคะ มีการให้บริการที่แตกต่างกัน อาจจะเป็นผลิตภัณฑ์หรือว่าการให้บริการ มันก็มีความซับซ้อนของตัวโครงการไม่เหมือนกัน รวมถึงทรัพยากร กลยุทธ์ แผนนโยบาย การบริหาร ดังนั้นนี่ เราก็จะได้นำแนวทางนี่ มาใช้กับองค์กรได้อย่างถูกต้องนั่นเอง ก็คือไปทำความเข้าใจ มีหน่วยงานที่มาดูแลเกี่ยวกับตัวมาตรฐานสากลตัวนี้โดยเฉพาะ ถัดมา เมื่อเราไปทำความเข้าใจ แล้วก็มีคณะกรรมการที่มาดูแลเรียบร้อยแล้ว ขั้นตอนที่ 2 นะคะ ก็จะมีการฝึกอบรมเพื่อให้เข้าใจถึงกระบวนการทำงานนะคะ ของตัวมาตรฐานสากล ISO 27001 ซึ่งมีทั้งหมด 11 Domains ระยะเวลานะคะ ก็จะใช้ประมาณ 3-5 วันนะคะ ในการที่เข้าร่วมฝึกอบรมแนวทางที่จะนำตัวมาตรฐานสากลตัวนี้มาประยุกต์ใช้นะคะ โดยนะคะ มาตรฐานหลักสูตรที่เข้ามาในอบรมนะคะ ก็จะมีมาตรฐาน ISO ISMS นะคะ ซึ่งจะส่งผลทำให้แนวทางนี่ เข้าใจเกี่ยวกับการตรวจสอบ การนำมาตรฐานมาใช้อย่างถูกต้องเหมาะสม จนกระทั่งองค์กรของเรานี่ได้ใบรับรองจากผู้บริหารนะคะ เพื่อเป็นการการันตี หรือว่าการเตรียมตัวเพื่อจะสอบนะคะ เพื่อขอใบรับรองขั้นต่อไปนั่นเองนะคะ ขั้นตอนที่ 2 ขั้นตอนที่ 3 นะคะ จะเป็นการประเมินระบบนะคะ ในตัวภาพรวมของเรานะคะ โดยใช้  Gap Analysis นะคะ มาดูว่าองค์กรหน่วยงานของเรานี่ อยู่ในรูปแบบไหน ซึ่งเราจะนำตัวเอกสารนะคะ ที่มาใส่รายละเอียดเกี่ยวกับประโยคคำถาม เพื่อจะได้ไปเจาะลึกนะคะ ว่าผู้ที่มีเกี่ยวข้องในองค์กรของเรานี่ สามารถให้รายละเอียดเพื่อจะชี้วัดเกี่ยวกับตัวองค์กรได้ รวมถึงนะคะ ให้ผู้ที่เกี่ยวข้องในองค์กรนะคะ มาทำ Workshop ในการตอบคำถามแล้วก็ให้ความเห็นนะคะ ทำรายงานกับตัวกับ Gap Analysis นะคะ เพื่อจะให้ผู้บริหารระดับสูง ทราบถึงสถานการณ์ ณ ปัจจุบันขององค์กร และข้อแตกต่างที่เปรียบเทียบกับมาตรฐานที่เราจะนำมาใช้นั่นเอง ดังนั้น ก็จะแสดงให้เห็นว่าระบบในองค์กรยังไม่ได้ปฏิบัติตามข้อกำหนดในมาตรฐานข้อไหนบ้าง และมีข้อแตกต่าง สิ่งที่ควรจะเป็นหรือสิ่งที่ควรจะต้องทำจากมาตรฐานอะไรบ้าง พูดง่าย ๆ ก็คือ เกิดช่องว่างอะไรนี่ที่อยู่ในองค์กรที่เราพลาดไป ที่เรายังไม่ได้ปฏิบัติตามตัวมาตรฐานนั่นเอง ก็จะมา List ตามแบบสอบถามนั่นเองนะคะ เพื่อข้อไหนที่เรายังไม่ได้ปฏิบัติจะได้เอามาแก้ไขแล้วก็ปรับปรุง ตามตัวมาตรฐานที่ได้วางไว้นะคะ โดยเปรียบเทียบกับตัวมาตรฐานที่กำหนดนั่นเอง ถัดมา ขั้นตอนที่ 4 หลังจากเราทำการตอบแบบสอบถามประเมินเกี่ยวกับองค์กรไปเรียบร้อยแล้ว คราวนี้ก็จะมีการสรุป จัดทำเป็นรูปแบบรายงาน แล้วก็นำไปเสนอต่อผู้บริหาร เพื่อให้ผู้บริหารนี่เข้าใจแล้ว ว่าปัญหาที่เกิดภายในองค์กรของเรานี่ มันมีจุดไหน ที่ตกหล่น หรือว่าบกพร่องไปนะคะ เราก็จะทำให้ผู้บริหารนี่ เข้าใจ แล้วก็เขาจะได้ตัดสินใจในการสนับสนุนนะคะ ในการปฏิบัติ ว่าจะทำอย่างไรให้องค์กรของเรานี่ สามารถปฏิบัติตามตัวมาตรฐานสากลตัวนี้ได้ แก้ไขข้อบกพร่องอย่างไรนะคะ จากองค์กรที่ไม่ได้ปฏิบัติตามมาตรฐานนะคะ ให้ปฏิบัติตามนะคะ ตามมาตรฐานที่ได้กำหนดไว้ ตามข้อกำหนดนะคะ ที่กล่าวอย่างเป็นรูปธรรมหรือว่า Corrective Action นั่นเอง พูดง่าย ๆ ข้อที่ 3 นี่ ไปดูแล้ว ปัญหาหรือข้อบกพร่องต่าง ๆ ของในองค์กร เมื่อเปรียบเทียบกับตัวมาตรฐานสากล ขั้นตอนที่ 4 ก็คือเอานำไปเสนอกับผู้บริหาร เพื่อให้ผู้บริหารนี่ มองเห็นปัญหาตรงนี้ แล้วก็จะได้มาแก้ปัญหาข้อบกพร่องนั่นเอง ถัดมาขั้นตอนที่ 5 นะคะ คราวนี้เราก็จะมาพิจารณาตัวรูปแบบรายงานที่เรานำไปเสนอนั่นเองนะคะ ว่าเราจะมีกระบวนการบริหารความเสี่ยงอย่างไร เพื่อไม่ให้เกิดปัญหาเหล่านี้ โดยแบ่งออกเป็น 3 มุมมองนะคะ เริ่มจากมุมมองด้านบุคลากรนะคะ มุมมองด้านกระบวนการ และก็มุมมองด้านเทคโนโลยี เพื่อจะได้ประเมินความเสี่ยง จัดแผนปฏิบัติการลดความเสี่ยงนะคะ เช่น การฝึกอบรมนะคะ การทำระบบ Centralized Log นะคะ เพื่อจัดการดูแลเกี่ยวกับตัวระบบสารสนเทศ การปฏิบัติตามข้อกำหนดของมาตรฐานและปฏิบัติตาม พรบ. ที่กระทำผิดเกี่ยวกับตัวระบบคอมพิวเตอร์ พูดง่าย ๆ นะคะ ก็คือขั้นตอนที่ 5 คือเราจะเอาตัวรายงานที่ไปเสนอกับผู้บริหารนี่ มาดูวิธีการที่จะบริหารความเสี่ยง เพื่อให้เกิดความเสี่ยงกับองค์กรของเรา มันมีแผนปฏิบัติการลดความเสี่ยงอย่างไร เราไปฝึกอบรมดีไหม หรือว่าทำตัวระบบให้มีรูปแบบการจัดการที่ดีขึ้นตามตัวมาตรฐาน แล้วก็ทุก ๆ อย่างนี่ที่เราปฏิบัติเกี่ยวกับการบริหารความเสี่ยงก็ต้องภายใต้ พรบ. คอมพิวเตอร์ ภายใต้ของตัวบทกฎหมายด้วยเช่นเดียวกัน ถัดมา ขั้นตอนที่ 6 ก็จะเป็นการปฏิบัติตามแผนที่เราได้วางไว้ ในขั้นตอนที่ 5 แล้ว ว่าเราจะไปฝึกอบรมไหม หรือว่ามีวิธีการป้องกันอะไรบ้างเกี่ยวกับความเสี่ยง อาจจะยกตัวอย่างเช่นนะคะ การติดตั้ง Patch เพื่อให้ระบบนี่ มีความพร้อมใช้งาน มีเป็นเวอร์ชันที่ล่าสุด เป็นเวอร์ชันที่ไม่มีปัญหาในการทำงาน ในการประมวลผลนะคะ จัดทำนโยบาย Policy มาตรฐาน แล้วก็แนวทางต่าง ๆ ที่จำเป็นกับองค์กร ที่เกี่ยวกับตัวระบบสารสนเทศ ไปฝึกอบรมให้กับบุคลากรในองค์กร จัดทำตัว AUP นะคะ เพื่อให้เกิดการยอมรับเกี่ยวกับการใช้นโยบายต่าง ๆ การซื้ออุปกรณ์ฮาร์ดแวร์ ซอฟต์แวร์นะคะ ที่จำเป็นเกี่ยวกับตัวระบบสารสนเทศของเรา ไม่ว่าจะเป็นพวก Firewall, Anti-Virus นะคะ อุปกรณ์ต่าง ๆ ที่เข้ามา Support แล้วก็ป้องกันความเสี่ยงที่จะเกิดขึ้นภายในตัวระบบ หรือจะเป็นระบบสำรองไฟนะคะ ตัวระบบป้องกันต่าง ๆ ที่เข้ามาซัปพอร์ตการทำงานตรงนี้ ขั้นตอนที่ 6 ก็จะเป็นแผนที่ ปฏิบัติตาม ตามขั้นตอนที่ 5 ที่เราวางไว้นั่นเอง ถัดมาเมื่อเราถึงขั้นตอนที่ 7 คือเราได้ปฏิบัติตามขั้นตอนที่ 6 ที่เราได้วางเอาไว้แล้ว คราวนี้เราก็จะมาดูว่าสิ่งที่เราปฏิบัติ หรือว่าลงมือทำไปแล้วนี่ มันมีผลอย่างไรบ้าง ก็คือเราจะมาทบทวนแล้วก็เฝ้าระวัง เปรียบเทียบนะคะ ก่อนและหลังปฏิบัติตามมาตรฐาน Before and After ว่ามันมีผลลัพธ์ดีขึ้นไหม ผลลัพธ์ในเชิงบวกที่เป็นรูปธรรมที่ชัดเจน เรามองเห็นภาพว่าระบบทำงานได้ดีขึ้น มีประสิทธิภาพการทำงานที่สูงขึ้น ไม่มีผลกระทบนะคะ ดังนั้น ควรทำการเฝ้าระวังนะคะ ด้วยแนวคิดของตัวผู้มาตรวจหรือว่า Continuous Audit นั่นเอง เพื่อจะได้แน่ใจว่าระบบที่เราได้ลงมือทำนี่ สามารถทำงานได้ปกติโดยไม่เกิดผลกระทบ ไม่เกิดช่องโหว่ หรือภัยใหม่ ๆ ที่จะเกิดในองค์กรของเรา ตลอดจนสามารถปรับแก้ปัญหาได้อย่างทันท่วงที พูดง่าย ๆ ปฏิบัติตามแล้ว ตามตัวมาตรฐาน ตามตัว Gap Analysis ที่เราวางไว้ ทบทวนดูสินะคะ สิ่งที่เราทำก่อนหน้ากับหลังที่นำตัวรูปแบบต่าง ๆ มาใช้นี่ มันเกิดผลดีอย่างไรนั่นเองนะคะ เมื่อกี้ก็จะเป็นทั้งหมด 7 ขั้นตอนที่เป็นแนวทางในการนำตัวมาตรฐาน ISO 27001 มาใช้ในองค์กร เราก็จะเห็นว่าเป็นขั้นตอนปกติ นะคะ ใน... เหมือนเราจะต้องการนำตัวมาตรฐาน หรือว่าต้องการนำนโยบายสัก 1 นโยบาย  มาใช้ในองค์กร มันจะมีขั้นตอนอะไร ซึ่งจะเป็นขั้นตอนโดยทั่วไปที่ต้องนำมาปรับใช้ รวมถึงมาปรับใช้กับด้านเทคโนโลยีสารสนเทศของเรานั่นเอง ถัดมาคราวนี้เราจะมาดูพวก Gap Analysis ที่เราไปตอบแบบสอบถามมาว่ามันมีสาเหตุตรงไหนบ้างที่มันจะทำให้เกิดข้อบกพร่อง หรือว่าช่องโหว่ที่เกิดในตัวระบบสารสนเทศ จนเป็นสาเหตุปัญหาด้านความปลอดภัยของระบบสารสนเทศนะคะ อันนี้ก็จะเป็นตารางตัวอย่างที่เกิดขึ้นนะคะ ยกตัวอย่างปัญหา ตัวเทคโนโลยีของเรานี่ ยังไม่มีความปลอดภัยนะคะ กระบวนการ ก็คือก็เรายังไม่ได้ออกแบบ หรือว่ามีมาตรการมารองรับด้านความปลอดภัย หรือบุคลากรนี่ ก็ยังไม่มีความรู้ ถัดมา สมมติมีช่องโหว่ หรือยังไม่ได้ลง Patch แก้ไข อาจจะมาจากยังไม่มีการแจกแจงงานให้กับบุคลากร ให้มารับผิดชอบนะคะ ดูแลความปลอดภัยในด้านนี้ หรือบุคลากรน่ะมีแล้ว ถูก Assign งานมาเรียบร้อยแล้วแต่ไม่มีความใส่ใจในการแก้ปัญหา ตัวอย่างถัดมา ไม่มีมาตรฐาน อาจจะยังไม่เคยตรวจประเมิน ติดตาม ความมั่นคงปลอดภัย เนื่องมาจากอาจจะเป็นบุคลากรนี่ ไม่ได้มีการสื่อสารที่ดีนะคะ เกี่ยวกับเรื่องความปลอดภัย แล้วก็ตัวอย่างสุดท้ายก็จะเป็นการปรับปรุงปัญหาความเสี่ยงด้านความปลอดภัย ให้ทันต่อเหตุการณ์ กระบวนการที่เรายังไม่มี ก็คือยังไม่มีแผนรองรับภัยพิบัติ ไม่มีกระบวนการรองรับเกี่ยวกับความทันสมัย ความปลอดภัยในตัวระบบ และบุคลากรของเรา ก็อาจจะมีความผิดพลาดในการทำงาน อันนี้ก็จะเป็นสาเหตุเบื้องต้น นะคะ ที่จะส่งผลกระทบเกี่ยวกับกระบวนการทำงานด้านเทคโนโลยีสารสนเทศ ส่งผลกระทบกับตัวองค์กรนะคะ ซึ่งเป็นสาเหตุหลัก ๆ ที่จะเจอกับหน่วยงานแล้วก็องค์กรส่วนมากนั่นเอง ดังนั้น เราเมื่อวิเคราะห์สาเหตุก็สามารถที่จะเข้าไปสู่กระบวนการ 7 ขั้นตอนตรงนั้น ว่ากระบวนการ มีวิธีการแก้ปัญหาในการปรับประยุกต์ นำตัวมาตรฐานตัว ISO 27001 มาใช้ ก็จะทำให้เกิดช่องโหว่ หรือว่าข้อบกพร่องต่าง ๆ นี่ ได้ถูกการแก้ไขแล้วก็ปรับปรุงนะคะ เมื่อเราได้ทราบเห็นถึงความสำคัญแล้วก็ประโยชน์ที่จะเกิดขึ้นกับองค์กร ดังนั้น การนำตัวมาตรฐานมาใช้ตรงนี้ก็จะเป็นสิ่งสำคัญนะคะ เพื่อจะให้ผู้ใช้บริการ คู่แข่ง หรือว่าบุคคลภายนอกนี่ ได้มองเห็นว่า ตัวมาตรฐานนี่ เป็นสิ่งสำคัญ แล้วก็องค์กรของเราที่ให้บริการผลิตภัณฑ์ หรือว่าผลิตพวกผลิตภัณฑ์ออกมานี่ ได้มีการรองรับตัวมาตรฐานสากลตัวนี้นะคะ ผู้ใช้บริการ ลูกค้าก็จะได้เกิดความมั่นใจ ที่จะเข้ามาใช้งาน มาใช้บริการ มาซื้อผลิตภัณฑ์นั่นเองนะคะ เราก็จะได้มองภาพลักษณ์ขององค์กรที่ดีขึ้น ดังนั้น นักศึกษาก็จะเข้าใจมากยิ่งขึ้นว่าการที่เรานำตัวมาตรฐานสากลมาใช้นี่มันก่อให้เกิดประโยชน์จริง ๆ และก็ก่อประโยชน์กับตัวระบบสารสนเทศ แล้วเราก็จะมองภาพได้ง่ายยิ่งขึ้น เนื่องจากเราเรียนเกี่ยวกับตัวระบบสารสนเทศมาแล้วนะคะ มันก็จะเข้าใจถึงกระบวนการการทำงานต่าง ๆ รวมถึงการที่จะยกหรือว่าหยิบเอาตัวมาตรฐานตัวนี้มาใช้ มันก็จะได้มองภาพได้ง่ายยิ่งขึ้นนั่นเองนะคะ อันนี้ก็จะเป็นเนื้อหาเกี่ยวกับตัวมาตรฐาน ISO นะคะ แล้วก็เลือกมาตรฐาน ISO 27001 มาใช้นะคะ เราก็จะทราบถึงตัวประโยชน์ที่จะเกิดขึ้นนั่นเองนะคะ อันนี้จะเป็นเนื้อหาทั้งหมดของสัปดาห์นี้นะคะ ถัดมา ก็จะเป็นคำถามท้ายบทที่จะให้นักศึกษามาทบทวน แล้วก็เข้าใจถึงมาตรฐาน ISO 27001 มากยิ่งขึ้นนั่นเอง เริ่มแรกข้อที่ 1 ของเรานะคะ ก็จะพูดถึงปัจจัยนะคะ ในกรณีที่เราจะทำให้ตัวระบบสารสนเทศของเราเกิดความปลอดภัย มีกี่ข้อ และแต่ละข้อมีรายละเอียดอะไรบ้างนั่นเอง ถัดมาข้อที่ 2 นะคะ ก็จะเป็นแนวทางในการนำมาตรฐาน ISO เช่นเดียวกัน แต่เป็นมาตรฐาน ISO 27001 มาใช้ในองค์กร อย่างที่อาจารย์กล่าวไปแล้วทั้งหมด 7 ขั้นตอนที่พูดมานี่ เขามีรายละเอียดอะไรบ้าง 1 2 3 4 5 6 7 นำมาใช้ แล้วก็สามารถประยุกต์ และเกิดประโยชน์อย่างไรนั่นเองนะคะ อันนี้จะเป็นตัวมาตรฐาน ISO 27001 นะคะ ที่จะให้นักศึกษาทบทวนเพื่อให้เกิดความเข้าใจนะคะ อันนี้ก็จะเป็นภาพรวม มองภาพเป็นรวม ๆ ขององค์กรก่อนนะคะ ก่อนถัดไปนะคะ ของสัปดาห์หน้า แล้วก็สัปดาห์หน้าอาจจะเป็นการพูดถึงเกี่ยวกับตัวมาตรฐานสากล ISO 27001 ซึ่งจะมีกระบวนการการทำงานอย่างไร เดี๋ยวอาจารย์จะมายกตัวอย่าง วิธีการวิเคราะห์ วิธีการคำนวณนะคะ ว่าต้องดูตรงไหนนะคะ เราถึงได้ทราบว่า อ๋อ องค์กรของเรามีปัญหาตรงนี้ เราจะมีวิธีการแก้ปัญหา การมั่นคงความปลอดภัยของข้อมูลอย่างไร ต้องมีข้อคำถามตรงไหนที่จะไปใช้นะคะ เพื่อจะได้วิเคราะห์ได้ว่าองค์กรของเรานี่ เกิดข้อบกพร่องนะคะ หรือว่าช่องโหว่ตรงไหนนั่นเองนะคะ เหมือนเดิมนะคะ สำหรับท้ายบทของเรานะคะ เมื่อทำเสร็จแล้ว ตอบรายละเอียดเสร็จแล้ว อาจารย์ก็จะเปิดไว้ใน Classroom นะคะ ให้นักศึกษาส่งงานตามตัว Classroom นะคะ ใครมีคำถามอะไรเพิ่มเติมไหมคะ  สัปดาห์นี้น่าจะเข้าใจง่ายนะ มันมองภาพง่ายมาก เพราะว่าเป็นเกี่ยวกับเนื้อหากับรายวิชาที่เราได้ยินแล้วก็ได้สัมผัสนะ แล้วก็จะเป็นภาษาไทยส่วนมากนะ มันจะแบบศัพท์ไม่ค่อยเยอะเท่าไร โอเคนะคะ ถ้าไม่มีคำถามอะไร ก็อย่างนั้นก็ขอขอบคุณล่ามออนไลน์แล้วกันนะคะ ค่ะ ก็นักศึกษาก็ทำงาน แล้วก็เอามาส่งใน Classroom ใครมีปัญหาระหว่างที่ทำการบ้าน หรือว่าท้ายบท ก็ยกมือถามได้เลยนะคะ ขอบคุณล่าม Online นะคะ เรียบร้อยแล้ว โอเค สัปดาห์นี้ก็เข้าใจมากยิ่งขึ้น… เดี๋ยวสัปดาห์ อ๋อ สัปดาห์หน้าเดี๋ยวก็จะมีการสอบแก้มิดเทอมด้วยนะ แล้วก็สัปดาห์ถัดไป เดี๋ยวอาจารย์จะเอาตัวอย่างเกี่ยวกับตัวมาตรฐาน ISO 27001 นี่ มาให้ดูว่าเวลาเอาไปใช้กับองค์กรจริง ๆ นี่ เขาจะปรับประยุกต์แล้วก็ทำอย่างไร [สิ้นสุดการถอดความ]