---
title: (Revoice) มาตรฐานสากลด้านเทคโนโลยีคอมพิวเตอร์และดิจิทัล
subtitle: 
date: วันพฤหัสบดีที่ 9 กุมภาพันธ์ 2566  เวลา 12.50 น.
---

								(ข้อความสดจากระบบถอดความเสียงพูดทางไกล)


(อาจารย์ธิดารัตน์)  อย่าเสียงดัง เริ่มเรียนนะคะ ภาพหลุดจากพิมายเกี่ยวกับตัวมาตรฐานที่เราจะเข้าไปข้อมูลนะคะจะเป็นมาตรฐานความมั่นคงปลอดภัยของสารสนเทศนะคะ ปกติแล้ว สำหรับการจัดเก็บข้อมูลแต่ก่อนนี้อาจารย์จะให้ลงไปหน่วยงานเอง ก็คือให้เลือกหน่วยงานที่สนใจ แล้วก็ลงไปเก็บข้อมูลนะคะ ยัง ๆ ฟังให้จบก่อน แต่คราวนี้นี่เนื่องจากเรามีหลาย Section นะคะ แล้วก็เนื่องด้วยมีหลายกลุ่มนะ อาจารย์ก็เลยว่าจะให้เก็บข้อมูลในภายในมหาวิทยาลัยเพื่อจะให้ลดปัญหาการเดินทาง หรือว่าการติดต่อประสานงานนั่นเองนะคะ มันออกไม่ได้ มันจะยากช่วงนี้น่ะ ออกไปเอาขอข้อมูลยาก ก็เลยเดี๋ยวให้ทำข้างในนี่แหละ ก็คืออาจารย์จะให้ไปดูการเก็บข้อมูลเกี่ยวกับตัวศูนย์คอมพิวเตอร์นะคะ แต่ว่าจะแบ่งเป็นกลุ่มไปให้แล้ว ก็จะแบ่งเป็นหัวข้อดูแลความมั่นคงปลอดภัยของสารสนเทศนั้นเองนะคะ ว่าแต่ละกลุ่มได้หัวข้อไหน ก็จะไปเก็บข้อมูล แต่ละประเภทไม่เหมือนกันนะคะ ก็แยกส่วนกันอยู่แล้วนะคะ แค่นั้นเองแต่ถ้าเป็นหน่วยงานเดียวกัน แล้วก็สำหรับเครื่องความสะดวกของทางศูนย์คอมพิวเตอร์ว่า หน่วยงานเขาจะสะดวกเป็นช่วงวันเวลาไหน เดี๋ยวอาจารย์จะมาแจ้งอีกรอบหนึ่งนะคะ จะได้ง่ายนั่นเอง โอเค คราวนี้เราจะมาดูเนื้อหาตัวมาตรฐานที่เราจะไปปรับประยุกต์ หรือนำมาเป็นเกณฑ์นะคะ ที่ใช้ในการเก็บข้อมูลในครั้งนี้ก็คือตัวมาตรฐาน ISO 27001 ของเรานั่นเองนะคะ ตัวเอกสารอาจารย์ให้ไปก็จะมี 2 อัน ก็คือตัวเนื้อหาหลัก ๆ เลยนะคะ เกี่ยวกับความมั่นคงปลอดภัยของสารสนเทศนะคะ เบื้องต้นนักศึกษาอาจจะเข้าใจเป็นบางส่วนแล้ว เดี๋ยวเราจะมาดูแลข้อที่เราจะเข้าไปเก็บจริง ๆ นะคะ ว่ามีอะไร เนื่องจากเนื้อหาของตัวมาตรฐานนี่ค่อนข้างเยอะ อาจารย์ก็จะปรับบางส่วนนะคะ คือ เลือกเฉพาะหัวข้อที่น่าจะเข้าใจ และก็เห็นภาพได้ง่ายที่สุดนะคะ ในการเก็บข้อมูลทางผู้ให้ข้อมูล แล้วก็ผู้รับข้อมูลด้วยจะได้เข้าใจตรงกันนะคะ เพราะบางทีไปแล้วเก็บข้อมูลอาจจะให้และผู้รับอาจจะไม่เข้าใจว่า การเก็บข้อมูลนี่ ในประเภทนี้ หมายถึง การดูแลรักษาตัวข้อมูลสารสนเทศอย่างอะไรบ้าง นั่นเองนะคะ ตัวความมั่นคงปลอดภัยของตัวสารสนเทศ ก็แน่นอนว่าเราจะดูแลอย่างไรให้ข้อมูลของเราสามารถใช้พร้อมงาน ข้อมูลเสียหายนะคะ แล้วก็มีวิธีป้องกันนะคะ หรือว่ามีการวางแผนอย่างไร ให้ตัวข้อมูลของเรานี่ ไม่ได้รับผลกระทบนะคะ หรือจะรวมถึงอุปกรณ์ และก็สิ่งแวดล้อม รวมถึงบุคคล รวมถึงนโยบายด้วยนะคะ อันนี้ก็จะไปแบบคร่าว ๆ นะ เพราะว่าเป็นเอกสาร เดี๋ยวจะให้ไปศึกษาต่อนะคะ น่าจะเป็นเรื่องที่น่าจะเคยเรียนมาบ้างแล้วนะคะ อย่างที่บอกไป ความมั่นคงปลอดภัยของสารสนเทศ ก็มีอะไร ความลับ สมบูรณ์ พร้อมใช้งานนั่นเองนะคะ อันนี้ก็จะเป็นลักษณะภัยคุกคาม ที่อาจจะเกิดขึ้นนะคะ เกี่ยวกับตัวสิ่งแวดล้อม ฝนตก น้ำท่วมนะคะ ไฟไหม้ อะไรต่าง ๆ นะคะ ว่าเขามีการสำรองข้อมูลไว้ไหมนะคะ ไม่ว่าจะเป็นภัยพิบัติต่าง ๆ ที่เกิดขึ้นนะคะ มีการทำประกันไว้กับหน่วยงานข้างนอกหรือเปล่านะคะ มีการสำรองข้อมูลเป็น Data Center ไว้ที่อื่นไหม กรณที่ข้อมูลเกิดเสียหาย เป็นต้นนั่นเองนะคะ เราต้องมาดูว่ามีวิธีป้องกันอย่างไรบ้าง ป้องกันที่ 1 ป้องกันที่ 2 ป้องกันที่ 3 นะคะ หรืออันนี้ภัยธรรมชาติแล้ว คราวนี้จะมนุษย์นะคะ อาจจะเป็นพวกการขโมยข้อมูลนะคะ หรือการแฮกข้อมูลต่าง ๆ มีพวกตัวสแกนไวรัสไหม antivirus ไหม หรือว่ามีพวก Firewall ต่าง ๆ ติดตั้งระบบ ไว้อย่างดีหรือเปล่า อันนี้ก็จะไปเช็กกัน ตามหัวข้อที่แต่ละคนจะได้รับไปนั่นเองนะคะ การเข้าถึงโดยไม่ได้รับอนุญาต การมีตัวลงชื่อการใช้งานทุกครั้งไหมนะคะ ในการใช้ระบบ หรืออุปกรณ์ต่าง ๆ เป็นช่องโหว่ต่าง ๆ เกิดขึ้นนะ มีตรงไหน มีวิธีแก้ไขอย่างไรบ้างนะคะ อันนี้เราก็พูดไปแล้วนะคะ เกี่ยวกับตัวมาตรฐาน ISO 27001 นะคะ มาตรฐานระบบการจัดการความมั่นคงปลอดภัยของระบบสารสนเทศนะคะ ซึ่งตัวนี้ที่ยกมา เนื่องจากจะทำให้นักศึกษาเข้าใจ แล้วก็เห็นภาพที่สุดนะคะ ในการใช้ตัวระบบสารสนเทศของเรานะคะ เราจะมาดูรายการมาตรฐานที่ยกมาบางส่วนนะคะ อย่างอันที่ 1 นะคะ เริ่มแรกเลยนะคะ ตามหน่วยงานองค์กรนี่ เขาก็ต้องมีแผนในการรองรับนะคะ ตัวสารสนเทศภายในองค์กรของเขานี่ พูดง่าย ๆ ก็คือมีการวางแผนนะคะ คำศัพท์ คำอธิบายนะคะ เกี่ยวกับตัวสารสนเทศของเรา อย่างไรหรือเปล่าคะ มีข้อกำหนดนะคะ มีการเฝ้าระวังไหม มีการทบทวน มีระบบรักษาแล้วก็ปรับปรุงหรือเปล่า เฝ้าระวังว่าทุก 3 เดือนนี้ หรือว่าทุกเดือนนี่ มีการสำรองข้อมูลไว้ไหม เราก็มาเช็กข้อมูล เช็กอุปกรณ์ อุปกรณ์สำรองไฟหรือเปล่านะคะ อุปกรณ์ Firewall สามารถป้องกันได้ครบไหมนะคะ แล้วก็มาเช็คระบบทุกเครือข่ายรวมถึงสิ่งแวดล้อมนะคะ อาจจะเป็นในรูปแบบกายภาพ ที่สามารถจับต้องได้นะคะ วิธีป้องกันการเข้ารหัสต่าง ๆ คราวนี้ก็จะมีพวกคู่มือ คำแนะนำ ข้อปฏิบัติต่าง ๆ ที่เราสามารถนำไปปฏิบัติ และก็ประยุกต์ใช้ได้นั่นเอง ในความมั่นคงปลอดภัยของเราค่ะ ว่ามีข้อกำหนดอะไร มีนโยบายไหม มีการกำหนดถึงหน้าที่ของแต่ละบุคคล ในการดูแลอุปกรณ์นะคะ บุคลากร ซอฟต์แวร์ต่าง ๆ อย่างไร แล้วก็มีข้อห้ามตรงไหน มีข้อปฏิบัติอะไรบ้าง นั่นเอง มีการนำมาตรฐานไปประยุกต์ใช้ภายในองค์กร ภายในหน่วยงานของเรา ในส่วนไหนบ้าง ในข้อไหนบ้าง มีการวัดผลไหม ทางความมั่นคงปลอดภัยของเรา เอาไปใช้แล้วเกิดประโยชน์จริงหรือเปล่านะคะ เอาไปใช้แล้วลดปัญหาต่าง ๆ ที่เกิดขึ้นในองค์กรหรือไม่นะคะ แล้วก็ทางที่สุดนี่ ก็จะเป็นการประเมินความเสี่ยง ซึ่งในหัวข้อนี้เราจะนำมาใช้ คือ การประเมินความเสี่ยงทางด้านเทคโนโลยีสารสนเทศของเรานั่นเอง อย่างประเมินว่า สมมติว่า ระบบไฟ อย่างตึกนี้นะ เราจะสังเกตว่าไฟนี้จะตกบ่อย อาทิตย์หนึ่งกี่ครั้ง เดือนหนึ่งเฉลี่ยเป็นกี่ครั้ง ไฟตกแล้วส่งผลกระทบกับตัวระบบคอมพิวเตอร์ไหม ระบบคอมพิวเตอร์เราสามารถใช้งานได้ปกติหรือเปล่า พร้อมใช้งาน เปิดได้ทุกโปรแกรมหรือเปล่า ทำให้อายุการใช้งานของตัวระบบคอมพิวเตอร์มันต่ำลงไหม อันนี้ก็จะมาประเมินกันว่านำสิ่งที่เกิดขึ้นนี่ มันจะส่งผลต่ออุปกรณ์คอมพิวเตอร์ไหมความพร้อมใช้งานของอุปกรณ์หรือเปล่านั่นเองนะคะ อันนี้เป็นสิ่งที่เราประเมินกัน ซึ่งจะเป็นหัวข้อต่าง ๆ ที่นักศึกษาจะได้รับไปนะคะ ในการเข้าไปกรอกข้อมูลตรงนี้มันเองนะคะ อันนี้ก็จะเป็นโครงสร้างนะคะ ต่าง ๆ อันนี้ให้นักศึกษาไปศึกษาต่อนะคะ มันจะเป็นพวกเนื้อหาทั่วไป ในการประเมินความเสี่ยงนะคะ อาจจะเป็นเริ่มต้นจากการระบุทรัพย์สิน พูดง่าย ๆ ก็คือในองค์กร หน่วยงานของเรานี่ มีอุปกรณ์ มีฮาร์ดแวร์ มีซอฟต์แวร์อะไรบ้าง ที่ใช้งานอยู่ มีเครื่องคอมพิวเตอร์เท่าไรนะคะ internet router wifi switch ทุกอย่าง รวมถึงซอฟต์แวร์ ว่ามีทรัพย์สินอะไร ใช้งานได้กี่ปี ต้อง matanance ไหมหรือว่าต้องเปลี่ยนอุปกรณ์นะคะ ก็ต้องระบุให้หมด ระบุภัยคุกคามที่จะเกิดต่อทรัพย์สินของเรา มันจะเกิดกับอะไรบ้างนะคะ กรณีถ้าเว็บล่ม เกิดจากสาเหตุไหนนะคะ จากบุคคลไหม นะคะ หรือว่าจากตัวอุปกรณ์ฮาร์ดแวร์เองหรือเปล่านะคะ เนื่องจากการใช้งานที่มากเกินไป หรือกรณีที่ผู้ใช้งานเอามาใช้งานพร้อมกันมากเกินไปหรือเปล่า มันก็จะมีข้อต่าง ๆ นะคะ ยกตัวอย่าง ตัวภัยคุกคามที่จะเกิด ภัยธรรมชาติ ผู้ใช้งาน ผู้ก่อการร้าย อันนี้ก็จะเป็นการระบุนั่นเองนะคะ ว่าพวกภัยต่าง ๆ จะเกิดมาจากอะไรบ้าง นั่นเองนะคะ การระบุช่องโหว่ ช่องโหว่ที่อาจจะทำให้บุคคลภายนอกที่ไม่ประสงค์ดีต่อหน่วยงานหรือต่อองค์กรของเรานี่ สามารถที่จะเอาช่องโหว่ตัวนี้นะคะ เข้ามาทำร้ายหน่วยงานของเราได้นะคะ ส่งโปรแกรมไม่ประสงค์ดีนะคะ ผ่านทางอีเมล ทางเว็บไซต์ต่าง ๆ ขึ้นมานะคะ แล้วเราก็มาประเมินความเสี่ยง ระดับความเสี่ยง โดยเราก็จะเช็กระดับความเสี่ยง แล้วอันไหนที่มันเกิดผลกระทบ วิกฤตสุด ๆ ส่งผลกระทบมากที่สุดภายในหน่วยงานหรือองค์กรเราเราก็ต้องมีวิธีการแก้ปัญหา ตัวที่มีปัญหา แล้วก็ส่งผลกระทบมากที่สุดกับในองค์กรของเรานั่นเองนะคะ ความเสี่ยงเป็นระดับไหน ยอมรับได้ไหม นะคะ อย่างไฟตกนะคะ บางตึกอาจจะเป็น 6 เดือน ต่อ 1 ครั้ง ตกปีหนึ่งแค่ 2 ครั้ง อันนี้ก็ยอมรับได้ ไม่ได้ส่งผลกระทบกับตัวอุปกรณ์ หรือการใช้งานของบุคลากรในองค์กรของเรา ก็คือไม่ได้เป็นอะไร มีพวกไฟสำรองรองระดับหนึ่ง  Utilization นะคะ ไม่ให้ไฟกระชากหรือส่งผลกระทบกับอุปกรณ์ของเราอันนี้ก็จะเป็นไม่มีผลต่อการใช้งานนั้นเองนะคะ หรือความเสี่ยงที่ต้องแก้ไขปรับปรุง ก็ต้องแก้ไขระดับไหน เร่งด่วนไหม หรือไม่เร่งด่วนนะคะ ถ้าเราแบบว่า เกิดไฟตกถี่ ๆ ถี่ ๆ ขึ้นมานะคะ อุปกรณ์ที่เป็นอิเล็กทรอนิกส์ที่ใช้งาน ก็จะมีผลกระทบแล้วก็ใช้งานไม่ได้นั่นเองนะคะ มันจะเป็นความเสี่ยงที่ต้องรีบแก้ไขนั่นเองนะคะ พูดง่าย ๆ เราไปเช็กความเสี่ยงสิ่งที่มันจะส่งผลต่อระบบสารสนเทศภายในองค์กรของเรา ไม่ว่าจะเป็นระบบ หรืออุปกรณ์นะคะ ต่าง ๆ เราจะได้ประเมินความเสี่ยง แล้วก็มีวิธีแก้ปัญหาที่จะติดตามมานั่นเอง แนวความคิด คราวนี้เราจะทำแผนจัดการความเสี่ยง เมื่อมีความเสี่ยงเกิดขึ้นนะคะ ความเสี่ยงนี่ มันเกิดขึ้นได้ทุก ๆ หน่วยงาน ทุก ๆ อย่าง นั่นเองนะคะ มีวิธีไหนบ้าง หลีกเลี่ยงความเสี่ยง หลีกเลี่ยงได้อย่างไร ยกตัวอย่างนะคะ อาจจะเกิดจากไวรัสที่เราไปเสียบตามคอมพิวเตอร์ แล้วอาจจะเป็นการแชร์เข้าสู่ Drive ต่าง ๆ ได้ วิธีไหนที่มันป้องกันไม่ให้เกิดปัญหาที่จะตาม มา เข้าสู่ระบบสารสนเทศของเรานะคะ ลดระดับความเสี่ยงนะคะ ทำอย่างไรให้ความเสี่ยงนี่มันน้อยลงนะคะ เราอาจจะเข้าข้อมูล รหัสข้อมูลในการส่งข้อมูลเข้าไปนะคะ คนอื่นที่ดักฟังข้อมูลของเราไป มันก็ไม่สามารถที่จะนำข้อมูลไปใช้งานต่อได้นะคะ ความเสี่ยงที่จะเอาข้อมูลภายในองค์กรของเราไปใช้งาน ก็จะน้อยลงนะคะ ถ่ายโอนนะคะ อาจจะมีหน่วยงานตัวอื่นเข้ามาช่วยดูแลความเสี่ยงตรงนี้ อาจจะมีพวกบริษัทเข้ามาดูแลความปลอดภัย หรือว่ามีบริษัทในการจัดการข้อมูล Data Center ของเราให้นะคะ เป็น OUTSOURCE ต่าง ๆ จะทำให้ความเสี่ยงที่จะเกิดขึ้นภายในองค์กรของเรานี่น้อยลงนั่นเองนะคะ เราก็จะต้องกังวลนะคะ เกี่ยวกับตัวความเสี่ยงตรงนี้นั่นเอง อันนี้ก็จะเป็นคร่าว ๆ นะคะ เวลาเรามีความเสี่ยง แล้วเราจะจะมีวิธีการอย่างไรนะคะ อันนี้ก็จะเป็นตัวขั้นตอน โครงสร้างต่าง ๆ เป็นคร่าว ๆ แล้วกันนะ มันเยอะ นโยบาย โอเค ก็จะเป็นลักษณะการเข้าไปเก็บข้อมูลนะคะ ของตัวสารสนเทศ ประเมินความเสี่ยงนะคะ ว่าความเสี่ยงที่จะเกิดขึ้นนี่ ระดับไหน แล้วก็ต้องแก้ไขไหม หน่วยงานมีวิธีป้องกันแล้วหรือเปล่านะคะ เดี๋ยวเราจะมาดูแต่ละหัวข้อดีกว่า เดี๋ยวขอเช็กนิดบหนึ่ง บุคลากรต่าง ๆ ดูเป็นคร่าว ๆ แล้วกันนะ เดี๋ยวตัวเอกสารให้นักศึกษาไปศึกษาต่อนะคะ ว่าเขามีการแยกประเภทอะไรบ้าง นะคะ คราวนี้ เดี๋ยวอาจารย์จะให้ยกตัวอย่างนะคะ อย่างที่นักศึกษา เดี๋ยวแบ่งกลุ่มนะคะ เรามีกันอยู่ 3 ห้องนะ เดี๋ยวอาจารย์จะแบ่งออกเป็น น่าจะเป็น 4 กลุ่มนะคะ โดยแต่ละหัวข้อเดี๋ยวอาจารย์จะแบ่งให้นะคะ ว่าแต่ละกลุ่มจะดูแลในหัวข้อไหนบ้าง วิธีการนะคะ เดี๋ยวเรามาดูตัวอย่างก่อน เราจะไปเก็บข้อมูลจริงกันนะคะ ในหน่วยงานนะคะ ที่ปฏิบัติงานจริง เกี่ยวกับระบบสารสนเทศนั่นเอง อาจารย์จะมีตารางให้ ให้นักศึกษาปิดข้อมูลนะคะ โดยเราจะไปเก็บข้อมูลกับผู้ปฏิบัติงานจริง สมมตินะคะ กลุ่มที่ 1 นะคะ ได้เกี่ยวกับพวกอุปกรณ์นะคะ ก็จะไปถามพี่เจ้าหน้าที่ที่เกี่ยวกับอุปกรณ์ ฮาร์ดแวร์ต่าง ๆ นะคะ อาจจะเริ่มจากเขามีนโยบายไหมนะคะ ถ้าเป็นอุปกรณ์ ก็ต้องมีการลงครุภัณฑ์ ถูกไหมคะ ว่าอุปกรณ์ตัวนี้รหัสนี้นะคะ เข้ามาปีไหนใช้งานนะคะ มี Varanty หรือว่ารับประกันอะไรบ้าง แล้วมันใช้งานได้ถึงไหน โดยความปลอดภัย ก็เริ่มมาจากผู้บริหาร ผอ. จริง ๆ ก็มาจากมหาวิทยาลัย เป็นนโยบายที่ทำแผนผังงานนะคะ ตามแต่ละสำนัก ตามแต่ละหน่วยงาน ตามแต่ละหัวหน้านะคะ มีเอกสารนโยบายไหมนะคะ และในช่องก็จะมีผลกระทบโอกาสแล้วก็ความเสี่ยง ผลกระทบคืออะไร ยกตัวอย่าง เรากลับไปดูข้อมูลด้านบน ผลกระทบ หรือ Impact นะคะ ตารางนี้จะแสดงถึงผลกระทบมีผลกระทบอยู่ระดับไหน ความเสียหายระดับไหน อย่างหัวข้อ มูลค่าความเสียหาย ผู้ใช้งานได้รับผลกระทบไหม ระดับความเสียหายอยู่ระดับไหน อันตรายถึงชีวิตหรือเปล่า ผลกระทบต่อภาพลักษณ์ขององค์กรไหม เป็นหน้าเป็นตาอย่างนี้ค่ะ อีกฝั่งหนึ่งระดับความรุนแรงนั่นเอง น้อยมาก น้อย ปานกลาง สูง สูงมากนั่นเองนะคะ เราก็มาดู ผลกระทบของเรา สมมติตามนโยบายของเรานะ ก็จะเป็นภาพลักษณ์องค์กรของเรานะคะ ว่ามีผลกระทบสูงขนาดไหน เนื่องจากเป็นนโยบาย ผลกระทบที่ค่อนข้างสูงพอสมควร ต้องมีนโยบายมาจากหน่วยงานข้างบนนะคะ สมมติสูงมาก สูงมากก็มีค่าเป็น 5 อันนี้อาจารย์จะอธิบายให้เข้าใจแล้วทุกคนจะไปกรอกเก็บข้อมูลกลุ่มใครกลุ่มมันมีผลกระทบคือสมมตินโยบายมีค่าเป็นมาก คราวนี้นะคะ เราก็จะมาดูในตารางเรามีอะไรอีก โอกาส โอกาสที่จะเกิดขึ้นนะคะ เมื่อกี้ผลกระทบนะคะ แล้วก็โอกาส ความเสี่ยงนะคะ โอกาสที่จะเกิดขึ้นระดับไหน เกิดขึ้นบ่อยไหม หรือว่าเกิดขึ้นไม่บ่อยนะคะ สูงมาก แล้วก็จะเป็นค่าที่คูณออกมา งงไหมนะ โอกาสที่เราจะเกิดขึ้น เมื่อเราใส่ตรงนี้ ผลกระทบ โอกาสที่เกิดขึ้น เกิดบ่อยมากนะคะ ค่าที่คูณกันระหว่างผลกระทบและโอกาส ก็จะเป็นความเสี่ยง ระดับความเสี่ยงก็จะเกิดขึ้นนะคะ เราดูจากตาราง ผลกระทบมาก ทั้งภาพลักษณ์ภายในองค์กร แล้วก็โอกาสที่จะเกิด ก็คือมันอาจจะเกิดได้ตลอด เพราะว่ามันเป็นนโยบายนะคะ คูณออกมาก็จะเป็น 25 ก็คือมันจะต้องเร่งด่วน พูดง่าย ๆ 25 ก็คือลดความเสี่ยงที่องค์กรต้องมีการปรับปรุงอย่างเร่งด่วน เนื่องจากมีนโยบายความปลอดภัยเลย ดังนั้น ต้องรีบให้มีนโยบายนะคะ เมื่อเร่งด่วนแล้ว แล้วอย่างไร ณ ปัจจุบันคืออะไร ไม่มีเอกสารที่มีลายลักษณ์อักษร เนื่องจากไม่มีนโยบายนะคะ เราก็เลยประเมินออกมาแล้ว ความเสี่ยงที่มันจะเกิดตรงนี้นี่ มันส่งผลกระทบกับองค์กรของเรา ดังนั้น ก็ควรที่จะมีนโยบายเพื่อมารองรับแล้วก็ดูแลเกี่ยวกับระบบสารสนเทศของเรานั่นเอง อันนี้ระดับความเสี่ยง เอาแบบ ถัดมา เอาแบบที่แบบมองภาพง่าย ๆ เอาอันไหนดีที่จะมองภาพง่ายที่สุด ในหัวข้อการสิ้นสุด หรือการเปลี่ยนแปลงการจ้างงาน เนื่องจากในทุกหน่วยงานนี่ ก็จะมีบุคคลเข้า บุคคลออก อาจจะย้ายถิ่นนะคะ หรือมีบุคลากรที่รับเข้ามาใหม่ ก็คือการเปลี่ยนจ้างงานนะคะ กรณีที่บุคลากรของเรานี่ สิ้นสุดนะคะ หรือเปลี่ยนการทำงาน ก็คือลาออก ย้ายไปรับตำแหน่งใหม่ หรือย้ายไปที่หน่วยงานอื่นนะคะ มีการคืนทรัพย์สินขององค์กรหรือเปล่า สมมติบุคลากรนั้นก็มีคอมพิวเตอร์ Notebook นะคะ เป็นคุรุภัณฑ์ที่เอาไว้ใช้งาน ซึ่งสามารถเข้ารหัส ดึงข้อมูลต่าง ๆ ภายในองค์กรได้ เขาก็จะทำการคืนทรัพย์สินที่เป็นขององค์กรลงไป ให้กับฝ่าย HR หรือว่าบุคลากรที่ดูแลเกี่ยวกับอุปกรณ์เหล่านั้น เราก็จะมาดูผลกระทบของเรานะคะ ว่ามัน การคืนทรัพย์สินตรงนี้นะคะ อยู่ที่ผลกระทบอะไรนะคะ เราก็จะมาดูตารางผลกระทบของเรานะคะ ผลกระทบ คืนกับไม่คืนนะ สมมติเอาคืนไปมันก็จะส่งผลกระทบระดับความเสียหายอย่างไรนะคะ ถ้าเป็นอุปกรณ์ที่ราคาไม่แพง ล้าหลัง ล้าสมัย ไม่ได้มีความสำคัญมาก มูลค่าความเสียหาย 10,000 บาทไหมนะคะ เนื่องจากอุปกรณ์ใช้งานไปนะคะ ราคาของอุปกรณ์ลดลงตามระยะเวลานะคะ สมมติทางหน่วยงานประเมินมาให้แล้วว่ามันน้อยมากนะคะ ก็ประมาณหนึ่งนะคะ คราวนี้เราก็จะมาดูนะคะ โอกาสที่จะเกิดความเสียหายว่ามันจะเกิดบ่อยไหมหมอปีต่อเดือน หรือถ้าเรามีอุปกรณ์แล้วนะคะ หรือว่าเนื่องจากหน่วยงานของเรานี่ ไม่มีการเข้าออกของบุคลากรเลย อันนี้ก็จะเป็นเคสแรก หรือว่าเป็นคนแรกที่เริ่มขึ้น ก็อาจจะค่อนข้างต่ำมากนะคะ โอกาสที่จะเกิดก็ไม่ค่อยเยอะ อาจจะประเมินไว้ที่ 1 ดังนั้น ความเสี่ยงของเราที่เกิดขึ้นนี่ ก็จะเป็นประมาณที่ระดับ 1 หรือค่า 1 * 1 นั่นเองนะคะ เนื่องจากได้มีการคืนนะคะ มีการคืนอุปกรณ์นะคะ แล้วก็ทรัพย์สินที่ได้นำมาใช้ในแผนกหรือว่าเป็นของส่วนตนคืนไปหมดเรียบร้อยแล้วนะคะ มันก็ทำการประเมินนะคะ แต่ละส่วนไปนั่นเอง  มันก็จะมีหัวข้อที่ค่อนข้างเยอะนะคะ เดี๋ยวอาจารย์ปรับลดลงให้ ตามหัวข้อที่น่าจะให้บุคลากรเขาเข้าใจ แล้วก็สามารถที่จะประเมินนะคะ ณ ปัจจุบันนะ งานที่เขาทำอยู่นี่ มีระดับความเสี่ยงที่ระดับไหน เราจะได้ศึกษากับผู้ที่ไปรับข้อมูลได้อย่างถูกต้องนั่นเองนะคะ มันอาจจะฟังงง ๆ นิดหน่อยนะคะ แต่ว่าถ้าเราเข้าใจกับตัวตารางออกมาได้นะคะ ความมั่นคงปลอดภัยทางกายภาพและสิ่งแวด พูดง่าย ๆ ว่าอย่างห้อง Data Center เป็นห้องปิดนะคะ หรือว่าปิดห้องปิดมีการระบบล็อคคีย์การ์ดนะคะ ลืมรหัสไปงานหรือมันเอง น่าจะมีหลายขั้นตอนที่จะช่วยป้องกัน เกี่ยวกับข้อมูลเกี่ยวกับสารสนเทศตรงนี้ได้นะคะ ความมั่นคงปลอดภัยทางกายภาพนะ ความมั่นคงปลอดภัยของอุปกรณ์ การจัดวาง การป้องกัน กรณีอุปกรณ์ที่ต้องการสภาพอากาศที่มีความเย็น เพื่อไม่ให้ปกรณ์เกิดความฮีต หรือว่าตัวระบบนี่ไม่สามารถทำงานได้อาจจะมีระบบ condition หรือว่าไม่วางอุปกรณ์ให้ติดกับตัวผนัง เพื่อให้มีการถ่ายเทของอากาศนะคะ ก็จะเป็นรูปแบบของการจัดวางอุปกรณ์ มันก็จะ สามารถที่จะเช็กเกี่ยวกับความเสี่ยงที่จะเกิดขึ้นได้นะคะ ว่ามีการจัดวางหรือว่าการอุปกรณ์ในรูปแบบไหน การบริหารด้านการจัดการการสื่อสาร ดำเนินงานเครือข่าย การมีการแบ่งรับผิดชอบนะคะ ให้แก่บุคลากร สำหรับทุกคน ตามแผนก ตามหน้าที่แล้ว ก็ตามศักยภาพนะคะ หลัก ๆ ก็จะประมาณนี้ การป้องกันโปรแกรมที่ไม่ประสงค์ดีนะคะ โปรแกรม Antivirus ตัว Firewall ต่าง ๆ การสำรองข้อมูลในการจัดเก็บไว้ไหมนะคะ มาตรฐานทางเครือข่าย มีการปิดช่องโหว่ต่างหรือเปล่านะคะ ว่าสามารถที่จะเก็บข้อมูลกับผู้ปฏิบัติงานจริงในหน่วยงานได้นั่นเอง การทำธุรกรรมออนไลน์ต่าง ๆ มีอะไรบ้าง การควบคุมการเข้าถึงนะคะ การลงทะเบียนผู้ใช้งานนะคะ การใช้งานรหัสผ่าน กรณีอุปกรณ์ที่ไม่มีคนดูแลนี่ เขามีวิธีการป้องกันแล้วก็ควบคุมดูแลอย่างไร การแบ่งแยกเครือข่ายนะคะ การระบุแล้วก็พิสูจน์ตัวตนของผู้ใช้งาน ดูแล้วเป็นอย่างไร พอจะเข้าใจไหม เราต้องไปเก็บข้อมูลจริง ๆ ตามกลุ่มที่อาจารย์จะแบ่งให้นะคะ แล้วก็จะมีฟอร์มที่เป็นรูปแบบ ลักษณะแบบนี้นะคะ แต่ว่าตามหัวข้อ แต่พวกข้อมูลเหล่านี้นี่ เราจะไปเติมเอง เพราะว่าแต่ละแผนก ข้อมูลก็จะไม่เหมือนกันนะ ใช่ค่ะ เดี๋ยวอาจารย์จะให้ไปศูนย์คอมนี่ล่ะค่ะ แบ่งแผนก เพราะว่ามันจะได้แบ่งกันไปทำ จะได้คนเยอะ ๆ พอดีถ้าจะให้ออกไปข้างนอกกลัวมันยาก เพราะว่าต้องทำหนังสือ ขอความอนุเคราะห์ ต้องไปดูเขาอีกเขาว่างไหม แล้วก็เขาจะให้เราเข้าช่วงไหน มีพี่เจ้าหน้าที่ดูแลหรือเปล่า อะไรอย่างนี้ค่ะ ก็เลยเลือกเป็นศูนย์คอมเพราะว่ามันจะได้สะดวก นักศึกษาน่าจะคุ้นชินอยู่แล้วนะคะ เดี๋ยวจะติดต่อว่าจะแบ่งเป็นแผนกไหน แล้วก็พี่ใครดูแลไปบ้าง เนื่องจากเราหมู่อื่นด้วย ตื่นด้วยต้องมีพี่ไปด้วยในกรณีที่เป็นกลุ่มที่เป็นต้องใช้ล่ามในการสื่อสารนั้นเองนะคะ ก็จะเป็นคร่าว ๆ ประมาณนี้ จริง ๆ มันจะค่อนข้างละเอียดเยอะอยู่นะคะ แต่อาจารย์จะตัดลง เอาเฉพาะที่เข้าใจกันง่ายดีกว่านะคะ ในหัวข้อไหน คราวนี้ เมื่อเราได้ความเสี่ยงแล้ว เดี๋ยวเราก็จะมาสรุปกัน ว่าความเสี่ยงที่เราไปเก็บมานี่ ตัวไหนที่มันมีความเสี่ยงสูงมากสุด อะไรนี่ มันต้องไล่ลำดับ เพื่อจะได้จัดการนะคะ ในความเสี่ยงที่มันจะวิกฤติสุด ๆ ทำลำดับที่มีความเสียงสูงที่สุดก่อน ไล่มาเรื่อย ๆ นั่นเองนะคะ โอเค เดี๋ยวอาจารย์ขอดูรายชื่อสักแป๊บ เดี๋ยวจะแบ่งออกเป็น 4 กลุ่มนะคะ ปี 2 กลุ่มหนึ่งนะคะ แล้วก็ปี 3 จะมีทั้งหมด 3 กลุ่ม โดยห้อง 2 นะคะ ก็จะเป็นกลุ่มหนึ่งแล้วก็จะแบ่งออกเป็น 2 กลุ่มนะคะ จะให้อาจารย์สุแบ่งให้ไหมห้อง 1 โอเค อาจารย์ จะสุ่มตามรายชื่อแล้วกันนะ เรามีทั้งหมด 10 เท่าไรน ี่12 นะ ก็จะเลือกออกมา 6 คนแรกก่อนนะคะ เป็นกลุ่มหนึ่ง แล้วก็ที่เหลือก็จะเป็นกลุ่ม 2 นะคะ เริ่มเลยนะ กันตวิชญ์ กลุ่ม 1 กันตวิชญ์ เห็นไหม มันมีชื่ออยู่นะ อันนี้กลุ่ม 1 นะ กรพจน์ นราวิชญ์ เดี๋ยวพี่ล่ามพักก่อนก็ได้นะคะ ตอนนี้กำลังแบ่งกลุ่ม ไม่ได้ออกหรือ เมื่อกี้ไม่ได้ลบหรือ เมื่อกี้มันลบไปแล้วไม่ใช่หรือ มันไม่อโอเค โอเค อกอีก ยังไม่ได้ลบหรือ ลบอย่างไรทีนี้นี่ ถ้ารวมหมด กลัวแบบล่ามจะดูแลยาก กลัวแบบจะมีหลายกลุ่ม ไม่เป็นไร เมื่อกี้ใครนะ ณัฐนันท์ เดี๋ยวค่อยลบ เอาใหม่ 4 แล้ว ศศิกานต์ 1 2 3 4 5 อนุภาพ ครบแล้ว ที่เหลือก็เป็นอีกกลุ่มหนึ่งนะคะ 1 คน มงคล เดี๋ยวนะ เดี๋ยวนะ ศักดา อัษฎาวุธอยากอยู่กลุ่มกับห้อง 1 ไหมคะ หรือว่า ไม่ เลือกได้ จะมี 3 กลุ่ม 1 2 อัษฎาวุธ โอเค ก็จะประมาณนี้นะ อัษฎาวุธ แล้วก็ศักดา 2 เราก็จะมีทั้งหมด 4 กลุ่มนะคะ จะมีฟอร์มไปให้แบบนี้เลย หน้าตาแบบนี้แหละ ฟอร์มมีให้ แต่ต้องไปคุยกับพี่เขาให้รู้เรื่อง พูดให้ถูก ประเมินเป็นอย่างไร ความเสี่ยงเป็นอย่างไร อธิบายให้เขาเข้าใจ อ่านตัวอย่าง แล้วก็อ่านเนื้อหาไปก่อน จะได้เข้าใจความหมายความ เสี่ยงเป็นอย่างไร ความเสี่ยงที่จะเกิดขึ้น วิกฤต ไม่วิกฤตนะคะ สงสัยไม่นะ กลัวไปตอนทำจริงแล้วจะเขาจะงง แต่ว่าพี่เขาน่าจะเคยมีรุ่นก่อน ๆ แต่มันก็นานมากแล้วน่ะ พวกประเมินความเสี่ยงก่อนหน้าพี่เขาน้จะเข้าใจอยู่แต่เราต้องสื่อสารให้เข้าใจนะเดี๋ยวทุ่มนึงนะอาจารย์พูดอีกรอบหนึ่ง กรพจน์ นราวิชญ์ อนุภาพ พัทธนันท์ ศศิกาญจน์ กันตวิชญ์ ตามนี้ ที่เหลือก็จะเป็นกลุ่ม 2 แล้วก็ห้อง 2 ก็จะเป็นกลุ่ม 3 แล้วก็ปี 2 ก็จะเป็นกลุ่ม 4 โอเคนะ ใครมีคำถามไหม กรอกฟอร์ม แล้วก็เดี๋ยวเราจะทำรายงานส่งด้วย ฟอร์มน่ะมีให้อยู่แล้ว เราต้องมานำเสนอให้เพื่อนด้วยว่าเราไปรับข้อมูลมาแล้ว ของฝ่ายนี้ การเก็บข้อมูลแบบนี้ อาจจะเป็นลักษณะของเก็บข้อมูลการดูแลอุปกรณ์ เป็นอย่างไร เขามีการจัดการอย่างไร ความเสี่ยงของเยอะไหมนะคะ พี่เขามีกระบวนการดูแลอย่างไร สื่อสารให้เพื่อน ๆ ในห้องที่เหลือ 3 กลุ่ม ให้เข้าใจ ให้เข้าใจนะ บอกพอเดี๋ยวอาจารย์มีให้ซื้อที่นัดไว้ให้ด้วยไปแล้วคุยกับเขาให้เขารู้เรื่องแล้วได้ข้อมูลกลับมาแค่นั้นแหละ ทำให้ทุกอย่างนะคะ แต่ว่าเดี๋ยวจะฝากทางล่ามไปด้วย สำหรับห้อง ก็จะเหลือปี 2 แล้วก็ปี 3 นะ ว่าน้อง ๆ ไปวันไหน ก็ฝากไปสื่อสารช่วยให้หน่อย กลัวเด็ก ๆ จะคุยกันไม่รู้เรื่องนะคะ กับพวกพี่ ๆ เขา ก็เดี๋ยวมีให้ไปเก็บข้อมูลแล้วมานำเสนอ เดี๋ยวอาจารย์จะดูอีก ว่าถ้าเวลาเหลืออาจจะมีให้ตัวมาตรฐานมาเพิ่ม หรือว่าอย่างไร เดี๋ยวจะแจ้งอีกรอบหนึ่งนะคะ โอเคเดี๋ยวขอเช็กชื่อก่อน แล้วก็งาน เห็นแล้วนะ รายชื่อที่อาจารย์ประกาศไป สำหรับใครที่ยังมีงานที่ค้างอยู่ บางคนอาจจะคิดว่าทำแล้ว แต่ยังไม่ได้ทำ หรือว่าใครมั่นใจว่าทำครบ ไปเช็กกับอาจารย์ได้ หลักฐานมีไปดูกันว่าอันไหนส่งไปแล้วหรือยังไม่ส่ง เช็กได้ ใช่ค่ะ คนที่ค้างก็จะมีแค่รหัสที่ขึ้น ใครที่ไม่มี ก็คือครบหมดแล้ว หรือบางคนอาจจะจำรหัสตัวเองไม่ได้หรือเปล่า ไปเช็กดูนะ เดี๋ยวขอเช็กชื่อก่อนนะคะ ศิริรัตน์ ศิริรัตน์ มาอยู่ไหม อดิศร นพกิจ อาจารย์จำไม่ได้น่ะนี่ พงศ์พร จันทกานต์ มานะ กัญญาณัฐ โอเค ธัญลักษณ์ วริษา โอเค โอเค ได้ค่ะ ภัทรรดา ออกไปแล้ว เทพอักษร ภากรณ์ ธนภัทร มาอยู่นะ โอเค โอเค ทวีรัตน์ จักรพันธ ์สิตาพร กรพจน์ นราวิชญ์ อนุภาพ ทศทิศ พัทธนันท์ ศศิกานต์ มัณฑนา ปรเมศร์ กันตวิชญ์ จุฑารัตน์ ศักดา โอเค ดำรงค์ศักดิ์ สรจักร มงคล อัษฎาวุธ ณิชานันท์ สุมาวดี โอเค คาบนี้น่าจะเข้าใจกันนะคะ น่าจะไม่ยากเท่าไร นะคะ เพราะมีตัวอย่างให้ มีจัดตารางให้ มีคำอธิบายให้ มีเอกสารให้ อ่านอีกรอบหนึงจะได้เข้าใจนะก่อนที่เราจะเหนื่อยงานอาจารย์ตีให้เลยแค่แบ่งแปลว่าจะได้หัวข้อไหนเราก็แบ่งไปตามกลุ่มของเราโอเคถ้าของเราก็จะมีพวกพี่ ๆ เขาไปดูแลด้วยอีกรอบหนึ่งนะคะ โอเค ใครมีคำถามเพิ่มเติมอะไรไหมคะ ไม่มีนะ อย่าลืมส่งงานสำหรับใครที่ยังค้างอยู่โอเค  ถ้าไม่มีคำถาม ก็เดี๋ยวอาจารย์ขอนัดดูก่อน ว่าไปเช็กก่อนว่า ทางศูนย์คอมได้ประมาณช่วงไหน ถ้าไม่ตรงกับที่เรียน สัปดาห์หน้าเดี๋ยวอาจารย์จะแจ้งอีกรอบหนึ่ง หรือว่าทางศูนย์เขาสะดวกวันที่เราเรียนค่อยมาประกาศอีกรอบหนึ่งนะคะ ว่าจะให้ไปเก็บข้อมูลแทนหรือว่าเราจะไปเรียนต่อ ถ้าไม่มีคำถามอะไรก็เดี๋ยวเจอกัน สัปดาห์หน้าหรือถัดไปแล้วแต่กรณีของหน่วยงานเขาให้เข้าไปดูวันไหนนะคะ โอเค ถ้าไม่มีคำถามก็สวัสดีค่ะ สวัสดีล่ามทางไกลด้วยนะคะ 

[สิ้นสุดการถอดความ]