(อาจารย์ธิดารัตน์) สวัสดีค่ะ สวัสดี สวัสดีล่ามทางไกลด้วยนะคะ วันนี้ตัวรายวิชาตัวมาตรฐานสากลนะคะ ก็จะมาพูดถึงตัวมาตรฐานความมั่นคงปลอดภัยที่ต่อเนื่องมาจากตัวสัปดาห์ที่แล้วนะคะ เกี่ยวกับตัวมาตรฐาน ISO ของเรานะคะ วันนี้นะคะ ก็จะมาพูดถึงรายละเอียดที่ลงลึกมากยิ่งขึ้นนะคะ เกี่ยวกับตัวมาตรฐาน ISO 27001 นะคะ ว่าจะเป็นความมั่นคงปลอดภัยของสารสนเทศ ซึ่งตัวมาตรฐานตัวนี้นะคะ ก็จะเป็นตัวมาตรฐานที่เราทุก ๆ คนสามารถที่จะนำไปประยุกต์ใช้เกี่ยวกับตัวงานนะคะ ไม่ว่าจะเป็นองค์กร หน่วยงาน ภาครัฐต่าง ๆ นั่นเองนะคะ เดี๋ยวเราจะมาทราบถึงรายละเอียดนะคะ ว่าวิธีการป้องกันเกี่ยวกับความมั่นคงปลอดภัยของสารสนเทศของเรานี่ จะเริ่มปฏิบัติอย่างไร มีวิธีการคิดแบบไหน มีกระบวนการ มีวิธีการวางแผน แล้วก็ทบทวนกระบวนการอย่างไร เดี๋ยวเริ่มต้นนะคะ ก็จะมาดูนะคะ เกี่ยวกับความหมายตรงตามตัวเลยนะคะ ความมั่นคงปลอดภัยของสารสนเทศนะคะ ก็พูดง่าย ๆ คือเราจะรักษาให้ข้อมูลสารสนเทศทุกประเภทไม่ว่าจะเป็นบุคลากร อุปกรณ์นะคะ เครื่องมือต่าง ๆ ที่ประกอบรวมเป็นสารสนเทศที่อยู่ในองค์กรหรือว่าหน่วยงานของเราอย่างไรนะคะ โดยนะคะ องค์ประกอบของความมั่นคงปลอดภัยของสารสนเทศก็จะแบ่งออกเป็น 3 ประเภทนะคะ หลัก ๆ ก็เริ่มจากความลับนะคะ อันที่ 2 ก็คือความถูกต้องสมบูรณ์ อันที่ 3 ก็คือความพร้อมใช้งานนั่นเองนะคะ ถ้าเรามีองค์ประกอบที่ครบนะคะ ทั้ง 3 ส่วนนี้ ตัวสารสนเทศของเราก็จะมีความมั่นคงและก็ปลอดภัยนะคะ เริ่มมาดูที่ความลับของเรานะคะ พูดง่าย ๆ ทรัพย์สินต่าง ๆ ที่อยู่ภายในองค์กรของเรานะคะ เราจะมีวิธีป้องกันอย่างไร ให้ตัวทรัพย์สินเหล่านั้นนี่ ไม่ถูกผู้อื่น หรือว่าผู้ที่ไม่มีสิทธิ์นะคะ เข้ามาใช้ตัวข้อมูลเหล่านี้นั่นเอง ยกตัวอย่างง่าย ๆ ที่มองภาพนะคะ กรณีที่เราจะเข้ามาใช้งาน ไม่ว่าจะเป็นระบบคอมพิวเตอร์หรือว่าระบบเครือข่ายต่าง ๆ นี่ กระบวนการต่าง ๆ ในการใช้งานก็จะมีการใส่ Username Password เพื่อระบุตัวตนว่าผู้ใช้งานมีสิทธิ์ที่จะเข้ามาใช้งานข้อมูลสารสนเทศเหล่านั้นหรือไม่นะคะ ดังนั้น ตัว Password ก็จะเป็นอีกกระบวนการหนึ่ง ที่สามารถที่จะมารองรับนะคะ ให้ตัวข้อมูลของเรานี่ ให้เฉพาะผู้ที่มีสิทธิ์ที่จะเข้ามาใช้งาน สำหรับสิทธิ์ที่จะเข้ามาใช้งานก็จะมีหลายระดับนะคะ แล้วแต่องค์กรแล้วแต่หน่วยงานว่าบุคคลนะคะ แผนกไหนหรือเป็นผู้บริหารหรือเปล่านะคะ หรือว่าระดับไหนนี่สามารถที่จะเข้าถึงข้อมูลได้กี่ส่วน สามารถเข้าไปใช้งาน ดูข้อมูลได้หรือไม่ หรือสามารถที่จะแก้ไขข้อมูลเหล่านั้นได้นะคะ อันนี้ก็จะเป็นรูปแบบว่า เราพร้อมที่จะปกป้องข้อมูล ก็คือรักษาข้อมูลของเราให้เป็นความลับนั่นเอง ถัดมา ความถูกต้องสมบูรณ์นะคะ ก็คือการที่เราให้ระบบสารสนเทศของเรานี่ พร้อมใช้งานข้อมูลที่ถูกต้องนะคะ สำหรับอุปสรรคที่ทำให้ตัวระบบสารสนเทศของเรานี่ ไม่สามารถที่จะพร้อมใช้งานนะคะ ก็จะมีกรณีที่มีผู้ไม่ประสงค์ดีมาดึงข้อมูลหรือแฮ็กระบบของสารสนเทศของเรา ไม่ว่าจะเป็นระบบเว็บไซต์ ระบบฐานข้อมูลต่าง ๆ นะคะ อันนี้ยกตัวอย่างของตัวเว็บไซต์ Yahoo ก็มีผู้มาดึงข้อมูล หรือว่าแฮ็กระบบนั่นเองนะคะ อันนี้ก็จะเป็นลักษณะของอุปสรรคที่เกิดขึ้น ดังนั้นนะคะ เราจะทำอย่างไรนะคะ ให้ตัวระบบสารสนเทศของเรานี่ พร้อมใช้งาน หรือแม้กระทั่งตัวสภาพแวดล้อมนะคะ สถานที่ต่าง ๆ ที่เราติดตั้งตัวระบบสารสนเทศ อาจจะเกิดตัวภัยพิบัติหรือว่าภัยธรรมชาติที่จะส่งผลกระทบตัวระบบสารสนเทศ มองภาพง่าย ๆ อย่างห้องแล็บของเรานะคะ ก็จะมีอุปกรณ์คอมพิวเตอร์นะคะ รวมถึงระบบให้ความเย็นหรือว่าตัว Air Condition ตัว Air Condition ของเราเกิดมีปัญหา แล้วเกิดน้ำรั่วซึมแล้วส่งผลกระทบกับตัวระบบคอมพิวเตอร์ของเรา อันนี้ก็จะถือว่าเป็นอุปสรรคที่จะส่งผลให้ตัวระบบคอมพิวเตอร์ของเราเกิดปัญหาขึ้นมานะคะ ดังนั้น ก็จะมีวิธีการป้องกันอย่างไรไม่ให้เกิดระบบมีปัญหา อาจจะมีการตรวจสอบนะคะ การซ่อมบำรุงเกี่ยวกับตัว Air Conditioner หรือว่าวิธีป้องกัน กรณีถ้าคอมพิวเตอร์ของเราเสียหรือว่ามีการสำรองข้อมูลไว้นะคะ วิธีนี้ก็จะเป็นวิธีการป้องกันอุปสรรคที่จะทำให้ตัวระบบคอมพิวเตอร์ของเรานี่ ไม่สามารถที่จะใช้งานได้นั่นเองนะคะ หรือระบบคอมพิวเตอร์ของเราทำงานอย่างด้อยประสิทธิภาพ ก็กรณีที่อย่างที่บอกไป มีการแฮ็กข้อมูลต่าง ๆ นะคะ อาจจะมีติดตั้ง Firewall หรือว่าตัวสแกนไวรัส เพื่อป้องกันให้การเข้าถึงข้อมูลของผู้ไม่ประสงค์ดีนี่ ไม่สามารถที่จะเข้ามาใช้งานนะคะ หรือว่าไม่สามารถที่จะมาทำลายข้อมูลของตัวสารสนเทศที่อยู่ในองค์กรของเราได้นั่นเองนะคะ ถัดมานะคะ ก็จะเป็นตัวภัยคุกคามหรือว่าช่องโหว่ที่อาจจะเกิดขึ้น อย่างที่กล่าวไปก่อนข้างต้นนะคะ ไม่ว่าจะเป็นลักษณะของตัวภัยธรรมชาตินะคะ การคุกคามจากคน ก็คือพวกแฮ็กข้อมูล แล้วก็ดักฟังข้อมูล ดึงข้อมูลจากหน่วยงานของเราโดยไม่ได้รับอนุญาตนะคะ หรือนการเข้าถึงข้อมูลการใช้ซอฟต์แวร์ละเมิดลิขสิทธิ์ อันนี้ก็คือเป็นภัยคุกคามจากมนุษย์นั่นเองนะคะ ที่จะทำให้ตัวระบบสารสนเทศของเราเกิดปัญหาขึ้น รวมถึงซอฟต์แวร์ไม่ประสงค์ดีหรืออุบัติเหตุ อย่างที่บอกไปอาจจะเป็นอุบัติเหตุที่เกิดจากสิ่งแวดล้อม จากบุคคลนะคะ หรือจากอุปกรณ์อิเล็กทรอนิกส์ต่าง ๆ ที่อาจจะไม่มีการบำรุงรักษานะคะ หรือว่ามีการเช็กระบบนะคะ มันก็ส่งผลกระทบตัวต่อตัวระบบสารสนเทศของเราได้ อาจจะทำให้ตัวระบบ Server ของเราเกิดหยุดการทำงานนะคะ ไม่สามารถที่จะทำงานต่อได้ ดังนั้น พวกนี้ก็ถือว่าเป็นตัวภัยคุกคามแล้วก็ช่องโหว่ที่อาจจะเกิดขึ้นกับตัวระบบสารสนเทศของเราได้ ถัดมา เดี๋ยวเราจะมาดูตัวมาตรฐาน ISO 27001 นะคะ เกี่ยวกับตัวระบบการจัดการความมั่นคงปลอดภัยของระบบสารสนเทศ ว่าเราจะมีกระบวนการวิธีการป้องกันอย่างไรนะคะ ให้ตัวอุปสรรคช่องโหว่ภัยคุกคามที่เราได้กล่าวมาเบื้องต้นนี่ ไม่เกิดขึ้นกับตัวระบบสารสนเทศภายในองค์กร ภายในหน่วยงานของเราได้นั่นเองนะคะ ตัวมาตรฐาน ISO 27001 นี่ก็ถือว่าเป็นมาตรฐานที่เข้ามารองรับแล้วก็มีกระบวนการนะคะ เพื่อทำอย่างไรให้ตัวระบบสารสนเทศในองค์กรของเรานี่ เกิดความปลอดภัยแล้วก็ใช้งานได้ ไม่หยุดชะงัก หรือว่าสามารถทำงาน หรือว่าดำเนินงานได้ตลอดนั่นเองนะคะ ตัวมาตรฐาน ISO27001 นะคะ ก็จะเป็นมาตรฐานที่จัดการกับความมั่นคงปลอดภัยตามการวางแผนนะคะ วงจรคุณภาพหรือว่า  PDCA ซึ่งตัวนี้น่าจะเป็นตัวแผนที่นักศึกษาน่าจะได้เรียนมาบ้างแล้วนะคะ ว่าตัว PDCA ของเรานี่ก็จะมีกระบวนการอะไรบ้าง ไม่ว่าจะเป็นการวางแผน การลงมือทำ การเช็กแล้วก็ทบทวนนะคะ แล้วก็อันสุดท้ายก็จะเป็น Act ก็จะดูว่ามีการผลิตคู่มือว่าทำอย่างไรที่จะให้แผนปฏิบัติของเรานี่ ดำเนินการไปได้อย่างดี หรือว่าดียิ่งขึ้นไปอีกนั่นเองนะคะ เพื่อจะได้ลดปัญหาหรือว่าตัวความเสี่ยงที่จะส่งผลกระทบกับสารสนเทศภายในองค์กรของเรานั่นเองนะคะ เดี๋ยวจะขอสรุปเป็นข้อ ๆ แล้วกันนะคะ เดี๋ยวตัวเอกสารก็นักศึกษาสามารถที่จะกลับไปทบทวนนะคะ เพราะว่าจะค่อนข้างมีเนื้อหารายละเอียดค่อนข้างเยอะนั่นเองนะคะ เราจะมาดูว่า ข้อดีก่อน ทำไมเราต้องเอาตัวมาตรฐาน ISO 27001 นี่ มาใช้ เริ่มแรกตามชื่อเลยนะคะ ตัวมาตรฐานนะคะ ที่เป็นสากลก็จะเป็นที่ยอมรับระดับสากลแน่นอนนะคะ ว่าหน่วยงาน องค์กรตัวนี้ ผ่านการรับรองจากตัวมาตรฐานนะคะ ผู้ใช้บริการนะคะ หรือว่าผลิตภัณฑ์ที่เขาผลิตขึ้นมานี่ ก็เป็นเครื่องการันตีได้ว่ามั่นใจ ใช้งานแล้วไม่เกิดปัญหาเป็นอุปกรณ์ที่ดีนะคะ มีการันตีรองรับหรือว่าเข้าไปใช้บริการก็ไม่มีผลกระทบ หรือผลเสียที่จะส่งผลกระทบกับหน่วยงานของเรานั่นเองนะคะ มีการตรวจประเมินเพื่อการรองรับ มีหน่วยงานต่าง ๆ ที่มารองรับอีกครั้งหนึ่ง ก็จะทำให้เกิดความมั่นใจมากยิ่งขึ้นนะคะ ทำให้เรามีองค์ความรู้นะคะ เกี่ยวกับพวกกระบวนการต่าง ๆ นะคะ วิธีการในการป้องกันแล้วก็จัดการกับความมั่นคงปลอดภัยของสารสนเทศของเรานะคะ แล้วก็ตัวนี้ก็จะเป็นตัวมาตรฐานที่ไม่ได้ผูกมัดกับเทคโนโลยี เทคนิคหรือว่าขั้นตอนเฉพาะ ดังนั้น ก็สามารถที่จะนำไปประยุกต์ใช้กับทุกหน่วยงาน แล้วก็ทุกองค์กรได้ ก็คือสามารถนำไปใช้เลยว่าองค์ประกอบหรือว่าส่วนไหนที่มันเหมาะสมกับหน่วยงาน เราก็สามารถที่จะนำไปใช้ ไม่ว่าจะเป็นองค์กรที่มีขนาดเล็ก ขนาดกลาง หรือว่าขนาดใหญ่ ก็สามารถที่จะเอาตัวมาตรฐานตัวนี้น่ะ ไปใช้นั่นเองนะคะ ตัวมาตรฐาน ISO 27001 นี่ ก็จะมีกระบวนการ แล้วก็วิธีการปฏิบัติตามขั้นตอน ดังนั้น ผู้ที่นำไปปฏิบัติก็สามารถที่จะปฏิบัติตามนะคะ แล้วก็ผลลัพธ์ที่จะตามมา แน่นอน ก็จะเกิดผลดีที่ส่งกับกระบวนการ หรือว่าการทำงานของฝ่ายเทคโนโลยีสารสนเทศที่ดีขึ้น แล้วก็ไม่ประสบปัญหานั่นเองนะคะ คราวนี้นะคะ เดี๋ยวเราจะมาพูดถึงตัว ISO 27000 นะคะ ว่าเขามีตัวเพื่อน ๆ ของเขาหรือว่ามีตัวมาตรฐานตัวอื่นบ้างอย่างไรบ้างนะคะ เริ่มจากตัว ISO 27000 นะคะ ตัวนี้ก็จะเป็นลักษณะการกำหนดพื้นฐาน แนวคิด แล้วก็อธิบายความหมาย องค์ประกอบต่าง ๆ ที่เกี่ยวข้อง พูดง่าย ๆ คือจะเป็นตัวเริ่มต้นของตัวมาตรฐาน ISO 27001 นั่นเองนะคะ ถัดมา ISO 27001 ก็จะเป็นพวกข้อกำหนดมาตรฐานนะ รวมถึงวิธีการปฏิบัตินั่นแหละนะคะ ที่เราสามารถที่จะหยิบยกแล้วก็นำมาใช้ได้เลยนะคะ เกี่ยวกับการรักษาความมั่นคงปลอดภัย ถัดมา ISO 27002 นะคะ ก็จะเป็นคำแนะนำนะคะ ในการปฏิบัติเบื้องต้นนะคะ ว่ามีกระบวนการอย่างไรนะคะ แล้วก็สามารถปรับปรุงความมั่นคงปลอดภัยได้อย่างไรนั่นเองนะคะ มันก็จะเป็น พูดง่าย ๆ ก็คือจะเป็นการต่อเนื่องนะคะ ของตัวมาตรฐานต่าง ๆ ของภายใต้ของตระกูล ISO 27000 นั่นเองนะคะ ถัดมา ตัวที่ 3 ของเรานะคะ ก็จะเป็น ISO 27003 นะคะ ก็จะเป็นการประยุกต์ใช้นะคะ ว่าจะสามารถใช้อย่างไร แล้วก็ ISO27004 ก็จะเป็นการวัดผลนั่นเองนะคะ ว่านำมาใช้แล้วเกิดผลลัพธ์อย่างไร แล้วก็ ISO 27005 ก็จะเป็นการประเมินความเสี่ยงที่จะเกิดขึ้นของเรานะคะ เกี่ยวกับตัวระบบสารสนเทศภายในองค์กร ตัวนี้ก็จะเป็นตระกูลของ ISO 27000 นั่นเองนะคะ ซึ่งจะเป็นบางส่วนที่ถูกหยิบยกมานะคะ ก็จะมีตัวมาตรฐานตัวอื่น ๆ นะคะ ส่วนสำหรับวันนี้เราก็จะเจาะลึก แล้วก็ลงรายละเอียดเกี่ยวกับ ISO 27001 ของเรานั่งเองนะคะ ก็จะมีข้อกำหนด ข้อปฏิบัตินะคะ วิธีการทบทวนนะคะ แล้วก็รักษาระบบ แล้วก็ทำอย่างไรให้ตัวระบบนี่ สามารถทำงานได้อย่างต่อเนื่องนั่นเองนะคะ เดี๋ยวเราจะมาดูแนวทางที่จะนำตัวมาตรฐาน ISO 27001 เข้ามาใช้นะคะ กรณีที่หน่วยงานของเรามีข้อมูลที่ถูกใช้งานอยู่ทุก ๆ วันนะคะ อย่างถ้ามองภาพอย่างมหาวิทยาลัยนะคะ กระบวนการของข้อมูลก็จะมีลักษณะของข้อมูลนักศึกษา ถ้าเป็นช่วงเปิดรับสมัครนักเรียน ก็จะมีข้อมูลของนักเรียนที่เข้ามาสมัครจำนวนนะคะ สาขาวิชานะคะ ค่าลงทะเบียน ค่าลงทะเบียนต่าง ๆ รายวิชาที่เปิดสอน แล้วรวมถึงอาจารย์ผู้สอน อาจารย์ประจำหลักสูตรต่าง ๆ พวกนี้ก็จะมีข้อมูลที่เพิ่มเติมแล้วก็หมุนเวียนเข้ามา ดังนั้นนี่ เราจะดูแลแล้วก็รักษาความปลอดภัยเกี่ยวกับตัวข้อมูลสารสนเทศขององค์กรนี้อย่างไรนะคะ ก็เราก็สามารถนำตัวกระบวนการมาตรฐานตัวนี้น่ะ มาใช้นะคะ ตัวมาตรฐาน ISO 27001 ก็จะมีกระบวนการนะคะ อยู่ 4 ขั้นตอน เริ่มจากมาดูขั้นตอนแรกของเรานะคะ ก็จะเป็นการวางแผนก่อนนะคะ ว่าหน่วยงานของเรานี่ กำหนดขอบเขตนะคะ เกี่ยวกับการจัดการความมั่นคงสารสนเทศอย่างไร ตั้งแต่มองภาพก่อน ว่าองค์กรของเราเป็นองค์กรประเภทไหนนะคะ แล้วก็มีพูดง่าย ๆ คือ ทรัพยากรนะคะ เกี่ยวกับสารสนเทศอะไรบ้าง ต้องระบุให้ครบ แล้วก็ครอบคลุมนะคะ ดังนั้น ก็จะมีนโยบายจากผู้บริหารนั่นเองนะคะ ว่าเราจะควบคุมจัดการดูแลเกี่ยวกับตัวทรัพยากรเหล่านี้อย่างไรนะคะ แล้วก็จะมีหน่วยงานที่เข้ามาดูแลแล้วก็จัดการนะคะ เกี่ยวกับตัวกำกับดูแลสารสนเทศตัวนี้ โดยกระบวนการวางแผนในการกำกับดูแลความปลอดภัยตรงนี้นะคะ ก็จะมีเริ่มจากกำหนดขอบเขตนะคะ ว่ามีกลุ่มหรือว่าหน่วยงานแผนกไหนที่จะเข้ามาดูแล ควบคุมนะคะ มีหัวหน้างาน มีผู้ที่มาสนับสนุนเกี่ยวกับกระบวนการนี้นะคะ แล้วก็จะมีการควบคุมดูแลนะคะ หากเกิดปัญหานะคะ จะมีกลุ่มหรือว่าหน่วยงานไหนที่เข้ามาสนับสนุน หรือ Support นะคะ หรือว่าถ้าไม่มีบุคลากรอาจจะมีการอบรมแล้วก็ฝึกนะคะ เพื่อให้มีบุคลากรที่สามารถมารองรับแล้วก็สนับสนุนเกี่ยวกับการดูแลระบบสารสนเทศตัวนี้ได้นั่นเองนะคะ ถัดมา เมื่อกี้เราวางแผนไปเรียบร้อยแล้วว่าเรามีทรัพยากรอะไร มีบุคลากรเท่าไร มีหน่วยงานไหนที่จะมากำกับดูแลเกี่ยวกับตัวระบบสารสนเทศตรงนี้ ถัดมาก็จะมีนโยบาย พูดง่าย ๆ ก็คือ นโยบายของผู้บริหาร นโยบายขององค์กรนะคะ ที่จัดตั้งขึ้นเพื่อให้ทุก ๆ คนนี่ ปฏิบัติตามเกี่ยวกับการจัดการความมั่นคงปลอดภัยของหน่วยงานของเรานะคะ ว่าเรามีเป้าหมายอย่างไร แล้วก็ต้องการให้ระบบสารสนเทศเกิดความมั่นคงและปลอดภัยเชื่อถือได้ ต้องมีนโยบายอะไรบ้าง ที่มาเป็นนโยบายที่ให้ทุก ๆ คนปฏิบัติตาม อาจจะเป็นรูปแบบนะคะ การประเมินความเสี่ยง หรือว่าวิธีการปฏิบัติตามที่ต้องอยู่ภายใต้ตัวกฎหมายนะคะ ถัดมาเมื่อกี้ เรามีการวางแผนมีนโยบายที่ตั้งเสร็จแล้ว เราก็ต้องมีการบริหารความเสี่ยง แน่นอน องค์กรทุกหน่วยงานจะมีความเสี่ยงที่จะเกิดขึ้นในการปฏิบัติงานในทุก ๆ รูปแบบนั่นเอง ดังนั้น เราจะบริหารความเสี่ยงอย่างไรนะคะ เพื่อไม่ให้เกิดผลกระทบในการทำงานของเรา เริ่มจากเราก็จะมาประเมินความเสี่ยงที่จะเกิดขึ้นก่อน ว่าความเสี่ยงที่จะเกิดขึ้น รวมถึงผลกระทบที่จะเกิดขึ้นด้วยว่ามันมีระดับความรุนแรงระดับไหน เริ่มจาก เราก็ต้องมาระบุทรัพย์สินนะคะ เนื่องจากระบบสารสนเทศนี่ เป็นสิ่งที่อาจจะไม่สามารถจับต้องได้ อาจจะเป็นข้อมูลที่ล่องลอยอยู่นะคะ ดังนั้น สิ่งที่สามารถที่จะสื่อ หรือว่าทำให้รู้ว่ามีตัวข้อมูลสารสนเทศนั้น ก็จะเป็นพวกอุปกรณ์ที่สามารถจับต้องได้ ก็เช่น พวกคอมพิวเตอร์นะคะ ตัว Hardware Server ต่าง ๆ นะคะ ดังนั้นนะคะ ก็ต้องมีการระบุทรัพย์สินนะคะ ว่าเป็นของผู้ใด เป็นของฝ่ายไหน เป็นของหน่วยงานไหนนะคะ แล้วก็ต้องมีการดูแลกระบวนการทำงาน ไม่ว่าจะเป็นการสำรองข้อมูลนะคะ มีวิธีการป้องกันอย่างไร กรณีถ้าระบบไม่สามารถใช้งานได้ มีการกู้คืนหรือว่ามีแผนสำรองอะไรไว้บ้างหรือเปล่านะคะ ซึ่งตัวนี้ก็จะเป็นลักษณะที่เราจะได้บ่งบอกว่าเรามีตัวทรัพยากรนะคะ ก็คืออะไรบ้างนั่นเอง รวมถึงสามารถที่จะแบ่งประเภทของตัวทรัพยากรนะคะ ออกเป็น 5 ประเภท เริ่มจากเริ่มต้นเลยก็จะเป็นข้อมูลที่เราต้องรักษานะคะ ก็คือสารสนเทศ กระบวนการ แล้วก็การบริการนะคะ ว่าเรามีการให้บริการกับลูกค้า การให้บริการกับผู้ใช้งานอย่างไรบ้าง ซอฟต์แวร์ที่เราใช้อยู่มีอะไร เครื่องมือ อุปกรณ์นะคะ แล้วก็อันสุดท้ายก็จะเป็นบุคลากรนะคะ อันนี้ก็สามารถที่จะระบุให้ชี้ชัดนะคะ ว่าตัวอุปกรณ์ของเรานี่ มีแต่ละประเภทอะไรบ้าง ถัดมา ก็จะเป็นพวกระบุภัยคุกคามที่จะเกิดนะคะ พวกแฮ็กเกอร์หรือเปล่า พวกที่จะมาดึงข้อมูลของเรานะคะ ด้านล่างก็จะเป็นตัวอย่างของภัยคุกคามที่จะเกิดนะคะ อาจจะเป็นผู้ใช้งาน อาจจะเป็นด้วยความตั้งใจหรือไม่ตั้งใจที่จะส่งผลกับตัวระบบสารสนเทศหรือเปล่า อาจจะเผลอไปลบข้อมูลบางส่วนไป ทำให้ข้อมูลไม่สามารถที่จะพร้อมใช้งานนะคะ ทำให้ตัวระบบปฏิบัติการของเรา ไม่สามารถที่จะดำเนินงานได้นะคะ หรือจากภัยธรรมชาติต่าง ๆ นะคะ อันนี้ก็จะส่งผลกระทบหมดนะคะ ระบุภัยคุกคามเรียบร้อยแล้ว คราวนี้ก็จะมาดูช่องโหว่ ก็คือ จุดอ่อนที่จะทำให้เกิดภัยคุกคามกับเรานะคะ ตั้งแต่ความเสียหายเล็ก ๆ น้อย ๆ นะคะ จนถึงความเสียหายรุนแรงจนไม่สามารถที่จะดำเนินการทางธุรกิจได้นั่นเองนะคะ ตัวช่องโหว่พวกนี้นะคะ ก็อาจจะมีปัจจัยหลายอย่างที่อาจจะเกิดขึ้นนะคะ อาจจะเป็นผู้ใช้งานนี่ ไม่มีองค์ความรู้นะคะ เกี่ยวกับการใช้งานตัวระบบสารสนเทศได้นะคะ หรือช่องโหว่ที่เกิดจากตัวระบบเครือข่ายต่าง ๆ ที่จะส่งผลนะคะ ให้เกิดผู้ที่ไม่หวังดีเข้ามาทำลายตัวระบบสารสนเทศของเรานะคะ เสร็จแล้วเราก็ต้องมาดูระบบผลกระทบที่ส่งต่อทรัพย์สินของเรานะคะ ว่าถ้ามีช่องโหว่หรือว่าภัยคุกคามตรงนี้นะคะ จะส่งผลกระทบกับทรัพย์สิน หรือว่าตัวทรัพยากรของเราอย่างไรบ้าง แล้วก็ขั้นตอนที่ 5 ของเรา ก็คือประเมินระดับความเสี่ยงนะคะ ว่ามันรุนแรงนะคะ หรือว่ามีความเสี่ยงระดับไหนนะคะ อันที่ 6 ก็คือกำหนดแนวทางรองรับความเสี่ยงที่จะเกิดขึ้นของเรานะคะ ว่าความเสี่ยงเหล่านี้นะคะ เราสามารถจำแนกออกเป็น 2 กลุ่มนะคะ ก็คือความเสี่ยงที่ยอมรับได้ แล้วก็ความเสี่ยงที่ต้องปรับปรุงนะคะ ว่ามันอาจจะเกิดผลกระทบที่ไม่รุนแรงมาก ก็สามารถที่จะยอมรับได้ หรือความเสี่ยงที่ต้องปรับปรุง ก็คือความเสี่ยงที่ค่อนข้างมีผลกระทบกับองค์กรค่อนข้างสูง ดังนั้นเราก็ต้องมีวิธีการแก้ปัญหาไม่ให้เกิดความเสี่ยงตัวนี้นะคะ ที่จะส่งผลกระทบกับองค์กรของเรานะคะ อันนี้เดี๋ยวเขาข้ามนะ ถัดมาเมื่อกี้เราเป็น P นะคะ อันที่ 2 ก็จะเป็นขั้นตอนที่ 2 คือ Do นะคะ ก็คือการนำมาปฏิบัติ เมื่อเรามีการประเมินความเสี่ยงนะคะ เราก็จะมาจัดทำแผนการจัดการความเสี่ยงนะคะ ว่าเราจะจัดการกับความเสี่ยงอย่างไรบ้างนะคะ ที่จะช่วยให้การบริหารจัดการของเรานี่ มีประสิทธิภาพมากยิ่งขึ้นนะคะ อาจจะมีนะคะ การติดตั้งนะคะ พวกระบบต่าง ๆ ไม่ว่าจะเป็น Firewall Antivirus ภัยคุกคามนะคะ ผู้รับผิดชอบแผนกต่าง ๆ นะคะ เกี่ยวกับการจัดความเสี่ยง อาจจะมีบุคลากรนะคะ เป็นฝ่ายเป็นทีมที่จะเข้ามากำกับดูแลตรงนี้นะคะ กำหนดแนวทาง วัดประสิทธิภาพนะคะ ของตัวมาตรฐานด้านความมั่นคงปลอดภัยของเรานะคะ การฝึกอบรม แล้วก็สร้างจิตสำนึกนะคะ เกี่ยวกับการใช้ระบบสารสนเทศให้มันถูกต้อง เพื่อให้ผู้ใช้งานหรือผู้ปฏิบัตินี่มีความรู้ รวมถึงภัยคุกคามแล้วก็ความเสี่ยงที่จะเกิด ว่าเราจะมีกระบวนการหลีกเลี่ยงอย่างไรนะคะ กรณีถ้าตัวอุปกรณ์ต่อเชื่อมของเราไม่ว่าจะเป็น External Hardisk หรือว่าเป็นพวก Thumdrive ต่าง ๆ ที่มีการเชื่อมต่อนะคะ กับตัวเครือข่ายที่อาจจะส่งผลกับตัวระบบเครือข่ายภายในองค์กรของเรานะคะ ก็อาจจะหลีกเลี่ยง อาจจะใช้เป็นระบบที่อยู่บนคลาวด์ขึ้นมานะคะ อันนี้ก็จะเป็นกระบวนการที่เข้ามาช่วยป้องกัน เพื่อไม่ให้เกิดผลกระทบ หรือว่าความเสี่ยงที่จะเกิดในองค์กรของเรานะคะ มีการฝึกอบรม อาจจะเป็นระยะสั้น ๆ นะคะ เพื่อให้มีความรู้นะคะ ระดับพื้นฐานนะคะ ถัดมาขั้นตอนที่ 3 ก็จะเป็นเฝ้า ระวัง แล้วก็ทบทวนนะคะ ว่าผลกระทบขึ้นมานะคะ เราจะมีการวัดผลสัมฤทธิ์ของนโยบายที่เราวางไว้ ว่าประสบผลอย่างไร ประเมินนะคะ ว่าครอบคลุมมีหรือเปล่า การวัดผลสัมฤทธิ์ของเราก็จะทำอย่างไร ก็จะเป็นรูปแบบรายงานนะคะ เพื่อสรุปนะคะ ว่าตัวกระบวนการการฝึกอบรมเข้าไปนะคะ หรือว่าวิธีการป้องกันความเสี่ยงที่สร้างขึ้นนี่ มันมีผลลัพธ์ที่ดีอย่างไร อาจจะมีฝึกอบรมแล้ว ทำให้ระบบเครือข่ายของเรานี่ ไม่เจอปัญหาเกี่ยวกับพวกไวรัสต่าง ๆ ที่เข้าสู่ในตัวระบบเครือข่ายลดน้อยลงกี่เปอร์เซ็นต์นะคะ อันนี้ก็จะแสดงผลสัมฤทธิ์ของตัวโครงการตัวนี้ รวมถึงทบทวนความเสี่ยงว่าตัวไหนที่ยังมีความเสี่ยงที่อาจจะเกิดการเปลี่ยนแปลงกับตัวองค์กรของเรานะคะ ตัวนี้ก็จะช่วยนะคะ ให้เรากระตุ้นถึงความเสี่ยงที่อาจจะเกิดขึ้นนะคะ ว่าเรา แม้ว่าจะมีกระบวนการมีการฝึกอบรมแล้วนะคะ ตัวความเสี่ยงตัวนี้ก็อาจจะยังคงมีอยู่ ต้องมีวิธีแก้ไขและก็ป้องกันอย่างไรนั่นเอง ขั้นตอนที่ 4 หรือว่าเป็นขั้นตอนสุดท้ายของ PDCA  ก็คือตัวการรักษามาตรฐานแล้วก็ปรับปรุงให้ดีขึ้นนะคะ หลังจากที่เราพบปัญหานะคะ หรือว่าตรวจสอบแล้วนะคะ เกิดปัญหาตรงนี้นะคะ ดังนั้น บุคคลที่อยู่ในแผนกหรือฝ่ายนั้น ๆ ก็ต้องร่วมมือกันนะคะ เพื่อป้องกันไม่ให้เกิดปัญหาซ้ำในอนาคต รวมถึงมองหาแนวทางแล้ว ว่าเราจะปรับปรุงให้ตัวระบบของเรานี่มีประสิทธิภาพอย่างไรนะคะ ไม่ว่าจะเป็นผู้บริหารหรือว่าเป็นผู้ปฏิบัติงานต่าง ๆ ก็ต้องร่วมมือแล้วก็ปฏิบัติตามแนวทางหรือว่านโยบายที่วางไว้นั่นเองนะคะ เราก็ต้องมาดูการแก้ปัญหานั่นเองนะคะ ข้อบกพร่องต่าง ๆ ที่จะเกิดขึ้นนะคะ อันนี้จะเป็น… เป็นคร่าว ๆ ไปแล้วกันนะ เดี๋ยวจะอาจารย์จะข้าม ๆ ไปนะคะ โอเค เราก็จะรู้ว่าตัวมาตรฐาน ตัว ISO 27001 นี่ มันก็จะใช้กระบวนการ PDCA Plan Do Check แล้วก็ Act เข้ามานะคะ เราก็จะทราบว่ากระบวนการที่ต้องทำนี่ มีอะไร วางแผน ลงมือทำ แล้วก็ทบทวน แล้วก็ปฏิบัติอย่างไรนะคะ ให้มันมีกระบวนการที่ดีขึ้นนะคะ ไม่มีปัญหาเพิ่มมากขึ้น ก็คือรักษามาตรฐานแล้วก็ปรับปรุงให้ดีขึ้นนั่นเองนะคะ ถัดมา ด้านล่าง ๆ นี่ก็จะเป็นเกี่ยวกับนโยบายความมั่นคงปลอดภัยต่าง ๆ นะคะ มันก็จะมีหลาย ๆ ด้าน เดี๋ยวก็จะให้ศึกษานี่ เข้าไปดูนะคะ เกี่ยวกับตัวความมั่นคงแต่ละประเภทนั่นเองนะคะ ไม่ว่าจะเป็นพวกการบริหารจัดการต่าง ๆ ซึ่งตัวนี้นี่ ยกตัวอย่างง่าย ๆ อย่างนี้ การบริหารจัดการ การบริการของหน่วยงานนะคะ หรือการป้องกันโปรแกรมไม่ประสงค์ดีขึ้นมานี่ เราจะมีนโยบายวิธีการป้องกันนะคะ รวมถึงนโยบาย แล้วมีกระบวนการการปฏิบัติ ลงมือทำ มีการฝึกอบรมไหมนะคะ อบรมให้ผู้ใช้นะคะ หรืออบรมให้ผู้ดูแลระบบอย่างไรบ้างนั่นเองนะคะ ยกไปคร่าว ๆ เดี๋ยวเข้า… เข้าไปดูรายละเอียดจะค่อนข้างเยอะนิดหนึ่งแต่ว่ามันจะค่อนข้างทำให้เราเข้าใจกระบวนการต่าง ๆ นะคะ ว่าเขามีวิธีการกระบวนการอย่างไร การเข้าถึง ข้อมูลวิธีการอย่างไรนะคะ มีการตั้งพาสวง Password อย่างไรนั่นเองนะคะ เดี๋ยวดูคร่าว ๆ เดี๋ยวอาจารย์จะให้ดูตัวอย่าง ตัวนี้ก็จะทำให้ศึกษานี่ มองภาพแล้วก็เข้าใจมากขึ้น เกี่ยวกับความเสี่ยงที่จะเกิดกับตัวระบบสารสนเทศ แล้วก็กระบวนการวิธีการป้องกันนะคะ ว่าทุกคนในหน่วยงานองค์กรนี่ ก็ต้องมีส่วนร่วม มีนโยบาย มีวิธีการปฏิบัติต่าง ๆ รวมถึงมีกฎลงโทษ แล้วก็ภายใต้กฎหมายด้วยนะคะ ว่าถ้าเราไม่ปฏิบัติตาม หรือฝ่าฝืน จะมีวิธีการอย่างไร แน่นอนก็ต้องภายใต้กฎหมายอยู่แล้วนะคะ ที่ส่งผลกระทบโดยตรงกับทุก ๆ คน ไม่ว่าจะปฏิบัติงานในหน่วยงาน หรือว่านอกหน่วยงานนะคะ รองลงมาก็จะเป็นพวกนโยบายนะคะ ข้อปฏิบัติ บทลงโทษต่าง ๆ ขององค์กรด้วยเช่นเดียวกัน ว่าไม่ปฏิบัติ หรือว่าส่งผลเสียกับองค์กรนะคะ การปฏิบัติงานตรงนี้ส่งผลเสียต่อองค์กรอย่างไร จะมีบทลงโทษอย่างไร ไม่ว่าจะเป็นค่าปรับนะคะ หรือการเลิกจ้างงาน หรือว่าผลกระทบที่จะให้หยุดพักงานอะไรอย่างนี้ มันก็จะมีส่งผลกระทบต่อมานะคะ อันนี้จะเป็นตัวอย่าง เหมือนกรณีถ้าเราทำผิดนะคะ ตามมาตราหรือว่ากฎหมายนะคะ ของพวกพระราชบัญญัติการกระทำความผิดทางคอมพิวเตอร์นั่นเองนะคะ การเข้าถึงคอมพิวเตอร์โดยมิชอบ มีคอมพิวเตอร์ของคนอื่นนะคะ เข้าไปขโมยข้อมูลนะคะ ก็จะมีการจำคุกไหม มีการปรับโทษระดับไหนนะคะ การเปลี่ยนแปลงข้อมูล จำคุกไม่เกิน 5 ปี โทษปรับสูงไม่เกิน 1 แสนบาทนะคะ มันก็จะมีกระบวนการนะคะ มาควบคุมแล้วก็ดูแลไม่ให้เรานี่ ละเมิดหรือว่าประพฤติผิดนั่นเองนะคะ ยกตัวอย่างนะคะ การจัดทำระบบการจัดการความมั่นคงปลอดภัยของระบบสารสนเทศนะคะ อย่างบริษัทแห่งหนึ่งนี่ ทำธุรกิจรับฝาก แล้วก็ดูแล รับฝากเอกสารทางธุรกิจ โดยผ่านมาตรฐาน ISO 27001 กรรมการผู้จัดการก็ได้รับนโยบายตัวนี้นะคะ เพื่อยกระดับนะคะ มันก็ต้องมีการมองถึงวัตถุประสงค์ ขอบเขตต่าง ๆ นะคะ ผู้รับผิดชอบโครงการว่ามีใครบ้างนะคะ ก็มีหากรรมการที่เข้ามาควบคุมดูแลนะคะ จัดทำแผนที่เราจะมาวิเคราะห์นะคะ ความเสี่ยงต่าง ๆ ที่อยู่ในองค์กรของเรานะคะ มีการอบรมอะไรไหม ศึกษาถึงข้อมาตรฐานนะคะ ประเมินสถานะความปลอดภัยนะคะ ประเมินความเสี่ยง แล้วก็จัดทำแผนความเสี่ยง แล้วก็จัดทำเอกสารนะคะ พวกคู่มือต่าง ๆ ในระบบการจัดการความมั่นคงปลอดภัยของเรานะคะ ฝึกอบรมให้ด้วยกับหน่วยงาน กับแผนกที่มาดูแล รวมถึงพัฒนาทุกคนในเป็นการฝึกปฏิบัติเบื้องต้นนะคะ แล้วก็ทำแผนปฏิบัตินะคะ ดำเนินแผนควบคุมให้ปฏิบัติตามแผนที่เราวางไว้ เฝ้าระวังทบทวน ตรวจ… การตรวจประเมินภายใน แก้ไขข้อบกพร่องนะคะ แล้วก็ประชุมทบทวนฝ่ายผู้บริหาร แล้วก็เข้าไปขอรับตัวมาตรฐาน  ISO 27001 ของเรานั่นเองนะคะ อันนี้ก็จะเป็นตัวอย่าง ภาพรวมนะคะ กรณีถ้าหน่วยงานหรือว่าองค์กรไหนต้องการตัวมาตรฐาน ISO 27001 นี่ เข้ามารับรองมันก็จะมีกระบวนการนะคะ ตามตัวแผนของตัวมาตรฐานที่วางไว้อยู่แล้ว ว่าจะมีขั้นตอนไหนบ้างนั่นเองนะคะ  คราวนี้เราก็จะมองภาพออกแล้วว่าตัวมาตรฐานการรักษาความมั่นคงปลอดภัยนี่ ขององค์กรนี่ จะมีกระบวนการอย่างไรบ้าง เมื่อนักศึกษามีองค์ความรู้เหล่านี้แล้วนะคะ เดี๋ยวอาจารย์จะมอบหมายนะคะ ให้นักศึกษานี่ ไปลองศึกษานะคะ เป็นหน่วยงานนะคะ เนื่องจากของเรานี่ จำนวนไม่ค่อยเยอะนะ เดี๋ยวเราก็จะให้ไปเก็บข้อมูลนะคะ เกี่ยวกับหน่วยงานนะคะ ก็จะให้ไปเตรียมตัวก่อนนะคะ ไปเข้าใจทบทวนองค์ความรู้กระบวนการขั้นตอนนะคะ ของตัวมาตรฐานตัวนี้นะคะ เราก็จะหยิบยกตัวกระบวนการเหล่านี้มาบางส่วนนั่นเอง ว่าจะมีวิธีการป้องกันอย่างไรบ้างนั่นเอง เดี๋ยวอาจารย์จะขอพูดถึงตัวตารางคร่าว ๆ ให้ดูนะคะ อย่างประเมินความเสี่ยงต่าง ๆ นี่ สมมติเราไปเช็กความเสี่ยงที่อาจจะเกิดนะคะ อันนี้ไม่เอานโยบายนะ เอาแบบง่าย ๆ เลย ตัวตารางนี้อาจจะเป็นตัวอย่างให้ดูนะคะ แต่ว่าเวลาประยุกต์หรือว่าใช้งานจริงอาจจะมีบางส่วน หรือว่าบางส่วนตัวไหนที่ไม่ได้ใช้นะคะ ตัวอย่างง่าย ๆ กระบวนการทางวินัยเพื่อลงโทษอย่างที่บอกไปนะ องค์กรทุกองค์กรก็จะมีนโยบาย ข้อกำหนด แล้วก็ควบคุม เพื่อให้บุคลากรทุกคนนี่ ปฏิบัติตามตัวนโยบายที่องค์กรได้วางแผนไว้นั่นเอง ถ้ามีใครละเมิด หรือว่าทำผิด ก็ต้องมีบทลงโทษต่าง ๆ เช่นเดียวกันกับตัวดูแลความปลอดภัยของระบบสารสนเทศถ้ามีบุคลากรท่านไหน ที่ทำแล้วส่งผลกระทบกับกระบวนการทำงานขององค์กรนะคะ ทำให้ตัวข้อมูลรั่วไหลเกิดความผิดพลาด หรือการหยุดชะงักของกระบวนการทำงานขององค์กรนะคะ ก็จะมีบทลงโทษเช่นเดียวกันนั่นเอง เราก็จะมาประเมินว่าหยุดชะงักไปนานไหม ตัวระบบ Server ทำงานไม่ได้ เหมือน Server ล่ม เข้าไม่ได้กี่นาที กี่ชั่วโมงอะไร เกิดขึ้นบ่อยไหม มีผลกระทบ แล้วก็ส่งผลกระทบแล้วส่งผลต่อเงินที่องค์กรได้หยุดการทำงานไป อย่างสมมติถ้ามองภาพง่าย ๆ เหมือนสมมติโรงงาน ถ้าโรงงานหยุดสายการผลิต หยุดไปกี่นาที แน่นอน เงินที่ถูกหยุดไปก็จะถูกคำนวณออกมาเช่นเดียวกันนั่นเอง ก็มีโอกาสที่เกิดขึ้นนะคะ ระดับความเสี่ยงยอมรับได้ไหม ยอมรับไม่ได้ อันนี้ก็เอากลับไปดูเป็นตัวอย่างนะคะ คราวนี้นะคะ อย่างที่นักศึกษาเข้าใจตัวมาตรฐาน ISO 27001 เรียบร้อยแล้ว อาจารย์จะมีนะคะ ให้นักศึกษานี่ ไปวิเคราะห์ตัวมาตรฐานภายในหน่วยงานของเรานะคะ ภายในมหาวิทยาลัยราชภัฏสกลนครนั่นเองนะคะ ก็จะเป็น ปกติไม่แน่ใจว่าอาคาร 7 นักศึกษาได้ไปใช้ห้องแล็บกันไหมคะ ไม่ได้ใช้นะ โอเค ก็เดี๋ยวจะให้ไปเก็บข้อมูลนะคะ เกี่ยวกับห้องแล็บอาคาร 7 นั่นแหละนะคะ เกี่ยวกับตัวมาตรฐานเบื้องต้นของเรานะคะ ว่าเขามีอุปกรณ์ มีเครื่องมือ มีกระบวนการป้องกันความเสี่ยงที่จะเกิด หรือว่าปัญหา ทำอย่างไรให้ตัวระบบแล็บของเรานี่พร้อมใช้งาน แล้วก็มีกระบวนการ วิธีการป้องกันอย่างไร ซึ่งตอนนี้นะคะ เรามีทั้งหมดกี่คนเอ่ย 2 4 5 6 7… 7 4 5 6 7 ก็จะเป็นห้องแล็บ ห้องแล็บของเราก็จะมีอาคาร 7 ทั้งหมด 6… 6 แล็บ แล้วก็มีอาคาร 9 อีก 1 ก็จะเป็น 7 ห้องนะคะ เนื่องจากเราเป็นกลุ่มเล็ก ๆ นะ อาจารย์ก็เลย ถ้าออกไปหน่วยงานข้างนอก ก็จะ... อาจจะต้องมีพี่ล่ามอะไรไป มันก็จะค่อนข้างติดต่อหรือว่าประสานงาน อาจจะยุ่งยากนิดหนึ่ง ก็เลยมองภาพว่า เดี๋ยวเรามาเก็บข้อมูลนะคะ ภายในสาขาวิชาของเรานะคะ เแล้วก็จะได้เข้าใจ แล้วก็คุ้นเคยกับห้องปฏิบัติการด้วย เพราะว่าเรายังไม่ได้เข้าไปใช้บริการเกี่ยวกับห้องแล็บของสาขาวิชาคอมพิวเตอร์เลยนะ นะคะ อันนี้ก็จะให้แต่ละคนนี่ ต่อ 1 แล็บเลยนะคะ ก็จะมีอาคาร 7 6 ห้องแล้วก็อาคาร 9 ห้องหนึ่งก็แล้วแต่ว่าให้แบ่งจัดสรรกันเองนะคะ ก็จะไปดู จะงงกันไหม จะมองภาพง่าย ๆ คือ ห้องแล็บของเรานี่ มันก็จะมีอุปกรณ์คอมพิวเตอร์ ไม่ว่าจะเป็น Switch Router Wi-Fi ต่าง ๆ นะคะ รวมถึงสายอุปกรณ์นะคะ เริ่มต้นก็เข้าไปดูตัวอุปกรณ์ก่อนก็ได้นะคะ เหมือนเวลาเราจะไปตามกระบวนการขั้นตอนนะ ก็จะไปดูตัวทรัพยากรก่อน ว่ามีอุปกรณ์อะไรบ้างในห้อง อันนี้แล็บใครแล็บมันนะ จะได้แบบมองภาพออกนะคะ เดี๋ยวอาจารย์จะให้ดูว่ามีขั้นตอนอย่างไรจะได้ไปทำถูก ถ้าไปศูนย์คอมพิวเตอร์นะคะ มันก็จะคล้าย ๆ กับปีก่อน ๆ เดี๋ยวก็จะเป็นพี่เจ้าหน้าที่ที่อยู่ศูนย์คอมฯ ก็จะมีการทบทวนบ่อยนะคะ ก็เลยเดี๋ยวลองเปลี่ยนมาเป็นสาขาวิชาของเราบ้างนะคะ ก็เริ่มจากนะ เราก็จะไปเช็กก่อนนะคะ ว่าห้องแล็บของเรานี่มีอุปกรณ์คอมพิวเตอร์อะไร เช็กทรัพยากรก่อนถูกไหมคะ มีสายเป็นตามมาตรฐานไหม มีอุปกรณ์เป็นไปตามมาตรฐานไหม มีกี่เครื่อง มีซอฟต์แวร์คืออะไร ซอฟต์แวร์ที่ลงเป็นอย่างไร ภายใต้ License หรือไม่ภายใต้ License มีวิธีการอย่างไร มีการใส่แอนตีไวรัสไหมนะคะ แล้วทุกเครื่องเวลาใช้งานใส่ Password แล้วการเข้าระบบอินเทอร์เน็ตมี Password ไหม ห้องแล็บ กรณีที่ใช้งานเสร็จแล้วมีวิธีการใส่กุญแจหรือเปล่า หรือว่าอย่างไร เวลาจะไปขอเข้าใช้งานนี่ ทุกคนเข้าใช้งานได้ไหม หรือว่าต้องเป็นนักศึกษาที่ทำหนังสือมาขอใช้งาน หรือว่าตามรายวิชาหรือเปล่า ความเสี่ยงที่จะเกิดขึ้น มีอะไรบ้างที่จะเกิดขึ้น คนเข้ามาใช้งานใช้งานเป็นไหม มีความรู้หรือเปล่า ถูกไหมคะ คนที่อาจจะทำให้เกิดปัญหา ยกตัวอย่าง นักศึกษาเข้ามาเรียนนี่ เขาสามารถที่จะเอาพวกอุปกรณ์ หรือว่าของใช้ที่จะส่งผลกระทบกับตัวระบบคอมพิวเตอร์ มีน้ำ มีของกินอะไรหรือเปล่าหรือสภาวะแวดล้อม ฝนตก ฝนสาด ทรัพยากรธรรมชาติ ภัยคุกคามต่าง ๆ จะเกิดขึ้นไหม จะโอเคอยู่นะ หรือว่าระบบให้ความเย็นของเรา พวก Air Conditioner นี่ มีน้ำหยดแล้วมันจะส่งผลกับตัวระบบ Server ระบบคอมฯ ระบบไฟฟ้าของเรา ของหน่วยงาน ไฟตก ไฟดับไฟอะไรบ่อยไหม ไปเช็ก พูดง่าย ๆ คือ มันต้องเช็กทั้งหมดนะคะ ตัวไปเก็บข้อมูลเหล่านี้ ก็จะมีพี่ที่เขาดูแลเกี่ยวกับห้องแล็บอยู่นะคะ สำหรับอาคาร 7 ชั้น 2 ก็จะเป็นพี่ตุ้ยนะคะ แล้วก็อาคาร 7 ชั้น 3 ก็จะเป็นพี่เจมส์ รวมถึงอาคาร 9 ด้วยเช่นเดียวกันก็จะเป็นพี่เจมส์ดูแล ดังนั้น ก็นักศึกษาเตรียมตัวความรู้รวมถึงวางแผนไปก่อนว่าเราจะเก็บข้อมูลอะไรบ้าง มีแผนนโยบาย มีการขั้นตอนอะไรบ้าง ให้ตามหัวข้อที่อาจารย์อธิบายไปนะคะ แล้วก็ไปเก็บข้อมูล เสร็จแล้วก็ให้สรุปเขียนเป็นรายงานมาให้ ของแต่ละคน แต่ละห้องแล็บ ว่าของเรานี่ได้รับมอบหมายเกี่ยวกับห้องแล็บ… ห้องแล็บ 721 722 724 725 ก็แล้วแต่นะคะ ก็เขียนรายละเอียดไปตามที่อาจารย์บอกคร่าว ๆ ข้างต้น หรืออันไหนที่คิดว่าอาจจะมีผลกระทบหรือว่าความเสี่ยง กรณีอาจจะเป็นนักศึกษาสาขาวิชาอื่นที่เข้ามาใช้ในกรณีเป็นรายวิชาศึกษาทั่วไปเข้ามานี่ มันจะส่งผลกระทบกับตัวห้องปฏิบัติการของเราอย่างไรหรือเปล่านะคะ ความเสี่ยงที่จะเกิดขึ้น จะทำให้เกิดการใช้งานนะคะ ที่ระบบไม่สามารถพร้อมใช้งานได้หรือไม่นะคะ ตรงนี้นั่นเอง อันนี้ใครงงหรือใครมีข้อคำถามอะไรไหมคะ มีคำถามไหม อาจารย์สั่งงานไปว่าอย่างไร เข้าใจกันไหมคะ เพราะว่าเดี๋ยวจะให้ลงไป อันนี้จะให้ลงไปติดต่อแล้วก็ประสานงานกันเองนะคะ เพราะเป็นหน่วยงานภายในสาขาวิชาเราอยู่แล้วนะคะ มีคำถามไหม ไม่มี เข้าใจอยู่นะ สัปดาห์หน้าอาจารย์จะให้ลงไปเก็บข้อมูลนะคะ แล้วก็จะไปแบ่งกันเองว่าใครจะเก็บข้อมูลของห้องแล็บไหน แล้วก็ทำเป็นสรุปรูปแบบรายงานด้วย ตัวไปเก็บข้อมูลเกี่ยวกับทรัพยากรอีก เราก็ต้องบอกด้วยว่าตัวห้องแล็บปฏิบัติการของเรานี่ มีพร้อมใช้งานที่จะให้บริการเกี่ยวกับอะไรบ้าง เพราะว่าบางห้องก็จะเป็นห้องเกี่ยวกับพวกเครือข่าย ก็ต้องเช็กดูว่าอันนี้เครือข่ายไหม หรือว่าให้บริการเกี่ยวกับอะไรบ้าง เป็น… หรือว่าให้บริการทั่วไปนะคะ ต้องเก็บข้อมูลให้ครบนะคะ หรือถ้าสงสัยอย่างไร หรือว่าจะให้อาจารย์ไกด์ตรงไหน ก็บอกมาได้นะ เพราะว่า ไม่แน่ใจว่าสั่งไปแล้วอาจจะตอนนี้เข้าใจ แต่ตอนไปทำจริง ๆ อาจจะลืมไปแล้ว แล้วก็จำไม่ได้ว่าเราต้องทำอะไรบ้างนะคะ อันนี้จะไม่มีตารางให้นะคะ เพราะว่าเนื่องจากเราก็จัดเก็บข้อมูลเบื้องต้นแล้วก็เนื่องจากรายละเอียดพวกนี้นี่ ตามแผนนโยบายต่าง ๆ นี่อาจจะไม่ครอบคลุมถึงตรงนี้ แน่นอนเนื่องจากว่าเป็นหน่วยงานขนาดเล็ก เล็กลงมาอีกนะคะ เราก็จะเก็บข้อมูลเบื้องต้นก่อนนะคะ ที่สามารถเก็บได้ที่ว่าเขามีนโยบายหรือว่าแผนการป้องกัน แล้วก็ควบคุมความปลอดภัยเกี่ยวกับสารสนเทศอย่างไรนะคะ รวมถึงให้เช็กตัวอุปกรณ์ด้วยว่าแต่ละประเภทนี่ อยู่ภายใต้มาตรฐานหรือเปล่า สายสื่อสารที่เราไปสาย LAN เขามีอยู่ตรงไหนบ้าง หรือว่าเป็นสายประเภทอะไร ดูออกอยู่นะ ตามตัวรายวิชาที่อาจารย์พูดไปเบื้องต้นนะคะ อุปกรณ์ต่าง ๆ นะคะ เป็นสาย LAN หมดไหม มีไฟเบอร์ออปติกหรือเปล่านะคะ เช็กให้ดีเพราะแต่ละที่อาจจะไม่เหมือนกัน มีตัวกระจายสัญญาณหรือเปล่า ประจำห้อง หรือว่าเป็นนอกห้องแล็บนะคะ แล้วก็ดูด้วยว่าบุคลากรหรือว่าพี่ที่ดูแลควบคุมของแต่ห้องแล็บนั้นเป็นใครนะคะ ใส่รายละเอียดมาให้ครบนะคะ เหมือนเราจะทำแผนนั่นแหละว่าเราจะเช็กวิธีการนะคะ มีกระบวนการอย่างไร เกี่ยวกับการป้องกันความมั่นคงปลอดภัยของห้องปฏิบัติการหรือว่าห้องแล็บของสาขาวิชาคอมพิวเตอร์ของเรานั่นเองนะคะ มีใครมีคำถามไหมคะ เข้าใจอยู่นะ ใช่ค่ะ สัปดาห์นี้ให้ไปเตรียมตัวก่อน ความรู้ เพราะว่าเอกสารเนื้อหามันจะค่อนข้างเยอะจะได้ไปทบทวนก่อน ถ้ามีคำถามก็จะได้ถาม สัปดาห์หน้าเดี๋ยวจัดให้ลงไปเก็บข้อมูลนะ นะคะ สำหรับเรื่องช่วงวันเวลาก็จะเป็นสัปดาห์หน้าทั้งหมดนะคะ ก็ให้ไปติดต่อ เพราะว่าเนื่องจากห้องแล็บเขาก็จะมีการใช้การเรียนการสอนนะ ก็ไปติดต่อว่าช่วงเวลาไหนที่ว่างที่จะขอเข้าไปเก็บข้อมูลเบื้องต้นนะคะ ไปเก็บข้อมูล ห้ามไปถอดสายของห้องแล็บนะคะ เพราะว่ามันจะมีห้องพวกเป็นระบบเครือข่ายนี่ เผื่ออาจารย์เขา Run Through Server อยู่ เดี๋ยวจะมีปัญหา เราแค่ไปเช็กข้อมูลเฉย ๆ ว่ามีอะไรบ้าง เข้าไปดู เหมือนเราเข้าไปใช้งานระบบคอมพิวเตอร์นะ มันจะมีบางห้องแล็บเขามีตัวล็อก Password เข้าก่อนใช้เครื่องไหม หรือว่าจะมีระบบเครือข่ายแบบไหน อันนี้ก็ต้องมีอยู่แล้วนะ แล้วก็ไปเช็กนะคะ ว่าเป็นโปรแกรมนะคะ อะไรบ้าง ที่พร้อมใช้งานเป็น License หรือไม่ License นะคะ มีกระบวนการตัวไหนอีกนะคะ ที่ช่วยป้องกัน แล้วก็ตัวข้อมูลสารสนเทศของเรา หรือถ้ากลัวว่าจะเก็บข้อมูล อาจจะไปเป็นคู่ แต่ก็แบ่งเป็นห้องไปพร้อมกันทีละ 2 คนก็ได้ แต่ละห้องแล็บแล้วแต่ บริหาร แต่ว่าตัวรายงาน ก็จะเป็นเฉพาะ 1 คนต่อ 1 ห้องแล็บนะคะ หรือจะไปพร้อม ๆ กัน แล้วก็ให้พี่เขาอธิบายครั้งเดียวไปเลยก็ได้นะคะ ว่ามีระบบแบบไหนบ้าง ต้องการข้อมูลอย่างไร เก็บข้อมูลเบื้องต้นอย่างไรบ้างนั่นเองนะคะ อันนี้น่าจะไม่ยาก แต่อาจจะก็ไม่ง่ายนะคะ เพราะว่าเราอาจจะไม่เคยลงมือปฏิบัตินะคะ ก็เดี๋ยวลองดูนะคะ กระบวนการไม่ค่อยยุ่งยาก มันก็จะเป็นการใช้งานที่เราเคยใช้งาน แต่ว่าอาจจะมองข้ามไป เราก็จะมาเช็กกระบวนการแล้วก็รายละเอียดให้มันมากยิ่งขึ้น อาจจะเข้าใจ แต่ว่าอาจจะต้องทำอย่างไร สื่อสารออกมาเขียนเป็นรูปแบบรายงานนะคะ ว่าแต่ละกระบวนการมีอะไรบ้างนั่นเองนะคะ สำหรับวันนี้ก็จะไม่มีงานนะคะ ให้ไปทบทวนเนื้อหา แล้วก็เตรียมพร้อมไปร่างไว้ก่อนก็ได้นะคะ ว่าเราจะเก็บข้อมูลอย่างไร มันจะมีขั้นตอนตามตัวเอกสารที่อาจารย์พูดในวันนี้แหละค่ะ ว่ามีกระบวนการอย่างไรบ้าง ตั้งแต่สำรวจตัวทรัพยากรที่อยู่ในห้องแล็บนะคะ เขามีตัวช่องโหว่หรือว่ามีปัญหา แล้วก็มีวิธีการป้องกันอย่างไรนะคะ สงสัยอะไรเพิ่มเติมไหมคะ น่าจะไม่มีปัญหานะ โอเค ถ้าไม่มีอะไรก็อย่างนั้นก็เดี๋ยวของคุณทางพี่ล่ามทางไกลด้วยนะคะ เดี๋ยวจะให้น้อง ๆ นักศึกษานี่ไปทบทวนตัวเนื้อหานะคะ เพื่อจะเตรียมพร้อมของสัปดาห์หน้า ก็ขอบคุณมากนะคะ สวัสดีค่ะ นั่นแหละก็ลองดูนะคะ แล้วก็ให้เช็กงานให้ด้วยนะ เดี๋ยวก็… ก็ถือว่าให้ปอยมาพูด เดี๋ยวรอให้ปอยมาพูดก่อน [สิ้นสุดการถอดความ]