---
title: (ฝึก PE กับ Bot ASR) ห้องเรียนสกลฯ มาตรฐานสากลด้านเทคโนโลยีคอมพิวเตอร์และดิจิทัล อ.ธิดารัตน์ วันที่ 9 ก.พ. 2566 นาโน
subtitle: 
date: วันจันทร์ที่ 13 กุมภาพันธ์ 2566  เวลา 09.00 น.
---

								(ข้อความสดจากระบบถอดความเสียงพูดทางไกล)


(อาจารย์ธิดารัตน์)  อย่าเสียงดัง อย่าเสียงดัง เดี๋ยวเรามาเริ่มเรียนนะคะ คาบนี้เดี๋ยวเรามาเรียนเกี่ยวกับตัวมาตรฐานที่เราจะเข้าไปข้อมูลนะคะ จะเป็นมาตรฐานความมั่นคงปลอดภัยของสารสนเทศนะคะ ปกติแล้ว สำหรับการไปเก็บข้อมูล แต่ก่อนนี่ อาจารย์จะให้ลงไปหน่วยงานเอง ก็คือให้เลือกหน่วยงานที่สนใจ แล้วก็ลงไปเก็บข้อมูลนะคะ ยัง ๆ ยัง ฟังให้จบก่อน แต่คราวนี้นี่ เนื่องจากเรามีหลาย Section นะคะ แล้วก็เนื่องด้วยมีหลายกลุ่มนะ อาจารย์ก็เลยว่าจะให้เก็บข้อมูลในภายในมหาวิทยาลัย เพื่อจะให้ลดปัญหาการเดินทาง หรือว่าการติดต่อประสานงานนั่นเองนะคะ ข้างนอกไม่ได้ มันจะยาก ช่วงนี้น่ะออกไปเอาขอข้อมูลยาก ก็เลยเดี๋ยวให้ทำข้างในนี่แหละ ก็คืออาจารย์จะให้ไปดูการเก็บข้อมูลเกี่ยวกับตัวศูนย์คอมพิวเตอร์นะคะ แต่ว่าจะแบ่งเป็นกลุ่มไปให้ แล้วก็จะแบ่งเป็นหัวข้อในการดูแลความมั่นคง ปลอดภัย ของสารสนเทศนั้นเองนะคะ ว่าแต่ละกลุ่มได้หัวข้อไหนก็จะแบ่งไปเก็บข้อมูลแต่ละประเภทไม่เหมือนกันนะคะ ก็แยกส่วนกันอยู่แล้วนะคะ แค่นั้นเอง แต่ถ้าเป็นหน่วยงานเดียวกันแล้วก็สำหรับเครื่องความสะดวกของทางศูนย์คอมพิวเตอร์ ว่าหน่วยงานเขาจะสะดวกเป็นช่วงวันเวลาไหน เดี๋ยวอาจารย์จะมาแจ้งอีกรอบหนึ่งนะคะ จะได้ง่ายนั่นเอง โอเค คราวนี้เราจะมาดูเนื้อหา ตัวมาตรฐาน ที่เราจะไปปรับประยุกต์ หรือว่านำมาเป็นเกณฑ์นะคะ ที่ใช้ในการเก็บข้อมูลในครั้งนี้ ก็คือตัวมาตรฐานISO 27001 ของเรานั่นเองนะคะ ตัวเอกสารของอาจารย์ให้ไป ก็จะมี 2 อัน ก็คือตัวเนื้อหาหลัก ๆ เลยนะคะ เกี่ยวกับความมั่นคงปลอดภัยของสารสนเทศนะคะ เบื้องต้น นักศึกษาอาจจะเข้าใจเป็นบางส่วนแล้ว เดี๋ยวเราจะมาดูแต่ละหัวข้อที่เราจะเข้าไปเก็บจริง ๆ นะคะ ว่ามีอะไร เนื่องจากเนื้อหาของตัวมาตรฐานนี่ ค่อนข้างเยอะ อาจารย์ก็จะปรับบางส่วนนะคะ อาจารย์ก็จะเลือกเฉพาะหัวข้อที่น่าจะเข้าใจ และก็เห็นภาพได้ง่ายที่สุดราคาในการเก็บข้อมูลทางผู้ให้ข้อมูลแล้วก็ผู้รับข้อมูลด้วยจะได้เข้าใจตรงกันนะคะ เพราะบางทีไปแล้วเก็บข้อมูลอาจจะ ผู้ให้และผู้รับอาจจะไม่เข้าใจว่า การเก็บข้อมูลนี่ ในประเภทนี้ หมายถึง การดูแลรักษาตัวข้อมูลสารสนเทศอย่างอะไรบ้างนั่นเองนะคะ ตัวความมั่นคงปลอดภัยของตัวสารสนเทศ ก็แน่นอนว่าเราจะดูแลอย่างไร ให้ข้อมูลของเราสามารถพร้อมใช้งาน ข้อมูลเสียหายนะคะ แล้วก็มีวิธีป้องกันนะคะ หรือว่ามีการวางแผนอย่างไร ให้ตัวข้อมูลของเรานี่ ไม่ได้รับผลกระทบนะคะ หรือจะรวมถึงอุปกรณ์ และก็สิ่งแวดล้อม รวมถึงบุคคล รวมถึงนโยบายด้วยนะคะ อันนี้ก็จะไปแบบคร่าว ๆ นะ เพราะว่าเป็นเอกสาร เดี๋ยวจะให้ไปศึกษาต่อนะคะ น่าจะเป็นเรื่องที่น่าจะเคยเรียนมาบ้างแล้วนะคะ อย่างที่บอกไป ความมั่นคงปลอดภัยของสารสนเทศ ก็มีอะไร ความลับ สมบูรณ์ พร้อมใช้งานนั่นเองนะคะ อันนี้ก็จะเป็นลักษณะภัยคุกคามที่อาจจะเกิดขึ้นนะคะ เกี่ยวกับตัวสิ่งแวดล้อม ฝนตก น้ำท่วม นะคะ ไฟไหม้ อะไรต่าง ๆ นะคะ ว่าเขามีการสำรองข้อมูลไว้ไหม นะคะ ไม่ว่าจะเป็นภัยพิบัติต่าง ๆ ที่เกิดขึ้นนะคะ มีการทำประกันไว้กับหน่วยงานข้างนอกหรือเปล่านะคะ มีการสำรองข้อมูลเป็น Data Center ไว้ที่อื่นไหม กรณีที่ข้อมูลเกิดเสียหาย เป็นต้นนั่นเองนะคะ เราต้องมาดูว่ามีวิธีป้องกันอย่างไรบ้าง ป้องกันที่ 1 ป้องกันที่ 2 ป้องกันที่ 3 นะคะ หรืออันนี้จากภัยธรรมชาติแล้ว คราวนี้จะมนุษย์นะคะ อาจจะเป็นพวกการขโมยข้อมูลนะคะ หรือการ Hack ข้อมูลต่าง ๆ มีพวกตัวสแกนไวรัสไหม antivirus ไหม หรือว่ามีพวก Firewall ต่าง ๆ ติดตั้งระบบไว้อย่างดีหรือเปล่า อันนี้ก็จะไปเช็กกัน ตามหัวข้อที่แต่ละคนจะได้รับไปนั่นเองนะคะ การเข้าถึงโดยไม่ได้รับอนุญาต การมีตัวลงชื่อการใช้งานทุกครั้งไหมนะคะ ในการใช้ระบบหรืออุปกรณ์ต่าง ๆ เป็นช่องโหว่ต่าง ๆ เกิดขึ้นน่ะ มีตรงไหน มีวิธีแก้ไขอย่างไรบ้างนะคะ อันนี้เราก็พูดไปแล้วนะคะ เกี่ยวกับตัวมาตรฐาน ISO 27001 นะคะ มาตรฐานระบบการจัดการความมั่นคงปลอดภัยของระบบสารสนเทศนะคะ ซึ่งตัวนี้ ที่ยกมา เนื่องจากจะทำให้นักศึกษาเข้าใจ แล้วก็เห็นภาพที่สุดนะคะ ในการใช้ตัวระบบสารสนเทศของเรานะคะ เราจะมาดูรายการมาตรฐานที่ยกมาบางส่วนนะคะ อย่างอันที่ 1 นะคะ เริ่มแรกเลยนะคะ ตามหน่วยงานองค์กรนี่ เขาต้องมีแผนในการรองรับนะคะ ตัวสารสนเทศภายในองค์กรของเขานี่ พูดง่าย ๆ ก็คือมีการวางแผนนะคะ คำศัพท์คำอธิบายนะคะ เกี่ยวกับตัวสารสนเทศของเราอย่างไร หรือเปล่าคะ มีข้อกำหนดนะคะ มีการเฝ้าระวังไหม มีการทบทวน มีระบบรักษา แล้วก็ปรับปรุงหรือเปล่า เฝ้าระวังว่า ทุก 3 เดือนนี้ หรือว่าทุกเดือนนี่ มีการสำรองข้อมูลไว้ไหม เราก็มาเช็กข้อมูล เช็กตัวอุปกรณ์ อุปกรณ์สำรองไฟหรือเปล่านะคะ อุปกรณ์ Firewall สามารถป้องกันได้ครบไหมนะคะ แล้วก็มาเช็กระบบทุกเครือข่ายรวมถึงสิ่งแวดล้อมนะคะ อาจจะเป็นในรูปแบบกายภาพ ที่สามารถจับต้องได้นะคะ วิธีป้องกันการเข้ารหัสต่าง ๆ คราวนี้ ก็จะมีพวกคู่มือ คำแนะนำ ข้อปฏิบัติต่าง ๆ ที่เราสามารถนำไปปฏิบัติ และก็ประยุกต์ใช้ได้นั่นเอง ในความมั่นคงปลอดภัยของเรานะคะ ว่ามีข้อกำหนดอะไร มีนโยบายไหม มีการกำหนดถึงหน้าที่ของแต่ละบุคคลในการดูแลอุปกรณ์นะคะ บุคลากร Software แบบต่าง ๆ อย่างไร แล้วก็มีข้อห้ามตรงไหน มีข้อปฏิบัติอะไรบ้าง นั่นเอง มีการนำมาตรฐานไปประยุกต์ใช้ภายในองค์กร ภายในหน่วยงานของเรา ในส่วนไหนบ้าง ในข้อไหนบ้าง มีการวัดผลไหม ทางความมั่นคงปลอดภัยของเรา เอาไปใช้แล้วเกิดประโยชน์จริงหรือเปล่านะคะ เอาไปใช้แล้วลดปัญหาต่าง ๆ ที่เกิดขึ้นในองค์กรหรือไม่นะคะ แล้วก็ท้ายที่สุดนี่ ก็จะเป็นการประเมินความเสี่ยง ซึ่งในหัวข้อนี้เราจะนำมาใช้ คือ การประเมินความเสี่ยงทางด้านเทคโนโลยีสารสนเทศของเรานั่นเอง อย่างประเมินว่าสมมติว่าระบบไฟ อย่างตึกนี้นะ เราจะสังเกตว่าไฟนี้จะตกบ่อย อาทิตย์หนึ่งกี่ครั้ง เดือนหนึ่งเฉลี่ยเป็นกี่ครั้ง ไฟตกแล้ว ส่งผลกระทบกับตัวระบบคอมพิวเตอร์ไหม ระบบคอมพิวเตอร์เราสามารถใช้งานได้ปกติหรือเปล่า พร้อมใช้งาน เปิดได้ทุกโปรแกรมหรือเปล่า ทำให้อายุการใช้งานของตัวระบบคอมพิวเตอร์มันต่ำลงไหม อันนี้ก็จะมาประเมินกันว่าความเสี่ยงที่เกิดขึ้นนี่มันจะส่งผลต่ออุปกรณ์คอมพิวเตอร์ไหม ความพร้อมใช้งานของอุปกรณ์หรือเปล่านั่นเองนะคะ อันนี้เป็นสิ่งที่เราจะมาประเมินกัน ซึ่งจะหัวข้อต่าง ๆ ที่นักศึกษาจะได้รับไปนะคะ ในการเข้าไปกรอกข้อมูลตรงนี้นั่นเองนะคะ อันนี้ก็จะเป็นโครงสร้างนะคะ ต่าง ๆ อันนี้ให้นักศึกษาไปศึกษาต่อนะคะ มันจะเป็นพวกเนื้อหาทั่วไป ในการประเมินความเสี่ยงนะคะ อาจจะเป็น เริ่มต้นจากการระบุทรัพย์สิน พูดง่าย ๆ ก็คือในองค์กรหน่วยงานของเรานี่ มีอุปกรณ์ มีฮาร์ดแวร์ มีซอฟต์แวร์อะไรบ้าง ที่ใช้งานอยู่ มีเครื่องคอมพิวเตอร์เท่าไรนะคะ internet router wifi switch ทุกอย่าง รวมถึงซอฟต์แวร์ ว่ามีทรัพย์สินอะไร ใช้งานได้กี่ปี ต้อง Mantanance ไหม หรือว่าต้องเปลี่ยนอุปกรณ์นะคะ ก็ต้องระบุให้หมด ระบุภัยคุกคามที่จะเกิดต่อทรัพย์สินของเรา มันจะเกิดกับอะไรบ้างนะคะ กรณีถ้าเว็บล่ม เกิดจากสาเหตุไหนนะคะ จากบุคคลไหม นะคะ หรือว่าจากตัวอุปกรณ์ Hardware เอง หรือเปล่านะคะ เนื่องจากอายุการใช้งานที่มากเกินไป หรือกรณีที่ผู้ใช้งานเข้ามาใช้งานพร้อมกันมากเกินไปหรือเปล่า มันก็จะมีข้อต่าง ๆ นะคะ ยกตัวอย่าง ตัวภัยคุกคามที่จะเกิด ไปธรรมชาติ ผู้ใช้งาน ผู้ก่อการร้าย อันนี้ก็จะเป็นการระบุนั่นเองนะคะ ว่าพวกภัยต่าง ๆ ที่เกิดมาจากอะไรบ้างนั่นเองนะคะ การระบุช่องโหว่ ช่องโหว่ที่อาจจะทำให้บุคคลภายนอกที่ไม่ประสงค์ดีต่อหน่วยงาน หรือต่อองค์กรของเรานี่ สามารถที่จะเอาช่องโหว่ตัวนี้นะคะ เข้ามาทำร้ายหน่วยงานของเราได้นะคะ ส่งโปรแกรมไม่ประสงค์ดีนะคะ ผ่านทางอีเมล ทางเว็บไซต์ต่าง ๆ ขึ้นมานะคะ แล้วเราก็มาประเมินความเสี่ยง ระดับความเสี่ยง โดยเราก็จะเช็กระดับความเสี่ยง แล้วอันไหนที่มันเกิดผลกระทบหิววิกฤตสุด ๆ ส่งผลกระทบมากที่สุด ภายในหน่วยงาน หรือองค์กรเรา เราก็ต้องมีวิธีการแก้ปัญหาตัวที่มีปัญหา แล้วก็ส่งผลกระทบมากที่สุดกับในองค์กรของเรานั่นเองนะคะ ความเสี่ยงเป็นระดับไหน ยอมรับได้ไหม นะคะ อย่างไฟตกนะคะ บางตึกอาจจะเป็น 6 เดือนต่อครั้ง ก็ตกปีหนึ่ง แค่ 2 ครั้ง อันนี้ก็ยอมรับได้ ไม่ได้ส่งผลกระทบกับตัวอุปกรณ์ หรือการใช้งานของบุคลากรในองค์กรของเรา ก็คืออุปกรณ์ไม่ได้เป็นอะไร มีพวกไฟสำรองรองระดับหนึ่ง Utilization นะคะ ไม่ให้ไฟกระชาก หรือส่งผลกระทบกับอุปกรณ์ของเราอันนี้ก็จะเป็นไม่มีผลการใช้งานนั้นเองนะคะ หรือความเสี่ยงที่ต้องแก้ไขปรับปรุง ก็ต้องแก้ไขระดับไหน เร่งด่วนไหม หรือไม่เร่งด่วน นะคะ ถ้าเราแบบว่า เกิดไฟตกถี่ ๆ ถี่ ๆ ขึ้นมานะคะ อุปกรณ์ที่เป็นอิเล็กทรอนิกส์ที่ใช้งาน ก็จะมีผลกระทบ แล้วก็ใช้งานไม่ได้นั่นเอง นะคะ มันจะเป็นความเสี่ยงที่ต้องรีบแก้ไขนั่นเองนะคะ พูดง่าย ๆ เราไปเช็กความเสี่ยงสิ่งที่มันจะส่งผลต่อระบบสารสนเทศภายในองค์กรของเรา ไม่ว่าจะเป็นระบบ หรืออุปกรณ์นะคะ ต่าง ๆ เราจะได้ประเมินความเสี่ยง แล้วก็มีวิธีแก้ปัญหาที่จะติดตามมานั่นเอง แนวความคิด คราวนี้เราจะทำแผนจัดการความเสี่ยง เมื่อมันมีความเสี่ยงเกิดขึ้นนะคะ ความเสี่ยงนี่ มันเกิดขึ้นได้ทุก ๆ หน่วยงาน ทุก ๆ อย่างนั้นเองนะคะ มีวิธีไหนบ้าง หลีกเลี่ยงความเสี่ยง หลีกเลี่ยงได้อย่างไร ยกตัวอย่างนะคะ อาจจะเกิดจากไวรัสที่เราไปเสียบตามคอมพิวเตอร์ แล้วก็อาจจะเป็นการแชร์เข้าสู่ Drive ต่าง ๆ ได้ วิธีไหนที่มันป้องกันไม่ให้เกิดปัญหาที่จะตามมา เข้าสู่ระบบสารสนเทศของเรานะคะ ระดับความเสี่ยงนะคะ ทำอย่างไรให้ความเสี่ยงนี่มันน้อยลงนะคะ เราอาจจะเข้าข้อมูล รหัสข้อมูล ในการส่งข้อมูลเข้าไปนะคะ คนอื่นที่ดักฟังข้อมูลของเราไป มันก็ไม่สามารถที่จะนำข้อมูลไปใช้งานต่อได้นะคะ ความเสี่ยงที่จะเอาข้อมูลภายในองค์กรของเราไปใช้งาน ก็จะน้อยลงนะคะ ถ่ายโอนนะคะ อาจจะมีหน่วยงานตัวอื่นเข้ามาช่วยดูแลความเสี่ยงตรงนี้ อาจจะมีพวกบริษัทเข้ามาดูแลความปลอดภัย หรือว่ามีบริษัทในการจัดการข้อมูล Data Center ของเราให้นะคะ เป็น Outsource ต่าง ๆ จะทำให้ความเสี่ยงที่จะเกิดขึ้นภายในองค์กรของเรานี่น้อยลงนั่นเองนะคะ เราก็จะต้องกังวลนะคะ เกี่ยวกับตัวความเสี่ยงตรงนี้นั่นเอง อันนี้ก็จะเป็นคร่าว ๆ นะคะ เวลาเรามีความเสี่ยง แล้วเราจะต้องมีวิธีการอย่างไรนะคะ อันนี้ก็จะเป็นตัวขั้นตอน โครงสร้างต่าง ๆ เป็นคร่าว ๆ แล้วกันนะเ มันเยอะ นโยบาย โอเค ก็จะเป็นลักษณะการเข้าไปเก็บข้อมูลนะคะ ของตัวสารสนเทศ ประเมินความเสี่ยงนะคะ ว่าความเสี่ยงที่จะเกิดขึ้นนี่ ระดับไหน แล้วก็ต้องแก้ไขไหม หน่วยงานมีวิธีป้องกันแล้วหรือเปล่านะคะ เดี๋ยวเราจะมาดูแต่ละหัวข้อดีกว่า เดี๋ยวขอเช็กนิดหนึ่ง บุคลากรต่าง ๆ ดูเป็นคร่าว ๆ แล้วกันนะ เดี๋ยวตัวเอกสาร เดี๋ยวให้นักศึกษาไปศึกษาต่อนะคะ ว่าเขามีการแยกประเภทอะไรบ้าง นะคะ คราวนี้ เดี๋ยวอาจารย์จะให้ยกตัวอย่างนะคะ อย่างที่นักศึกษา เดี๋ยวจะแบ่งกลุ่มนะคะ เรามีกันอยู่ 3 ห้องนะ เดี๋ยวอาจารย์จะแบ่งออกเป็น น่าจะเป็น 4 กลุ่มนะคะ โดยแต่ละหัวข้อนะคะ เดี๋ยวอาจารย์จะแบ่งให้นะคะ ว่าแต่ละกลุ่มดูแลในหัวข้อไหนบ้าง วิธีการนะคะ เดี๋ยวเรามาดูตัวอย่างก่อน เราจะไปเก็บข้อมูลจริงกันนะคะ ในหน่วยงานนะคะ ที่ปฏิบัติงานจริง เกี่ยวกับตัวระบบสารสนเทศนั่นเอง อาจารย์จะมีตารางให้ ให้นักศึกษาปิดข้อมูลนะคะ โดยเราจะไปเก็บข้อมูลกับผู้ปฏิบัติงานจริง สมมตินะคะ กลุ่มที่ 1 นะคะ ได้เกี่ยวกับพวกอุปกรณ์นะคะ ก็จะไปด่าถามพี่เจ้าหน้าที่ที่เกี่ยวกับอุปกรณ์ฮาร์ดแวร์ต่าง ๆ นะคะ อาจจะเริ่มจาก เขามีนโยบายไหมนะคะ ถ้าเป็นอุปกรณ์ ก็ต้องมีการลงคุรุภัณฑ์ อุปกรณ์ตัวนี้รหัสนี้นะคะ เข้ามาปีไหนใช้งานนะคะ มีวารันตีหรือว่ารับประกันอะไรบ้าง แล้วมันใช้งานได้ถึงไหน โดย นโยบายความปลอดภัย ก็เริ่มมาจากผู้บริหาร ผอ. จริง ๆ ก็มาจากมหาวิทยาลัย แล้วก็เป็นนโยบายที่ทำต่อ ตามแต่ละสำนัก ตามแต่ละหน่วยงาน ตามแต่ละหัวหน้านะคะ มีเอกสารนโยบายไหมนะคะ และในช่องก็จะมีผลกระทบ โอกาสแล้วก็ความเสี่ยง ผลกระทบคืออะไร ยกตัวอย่าง เรากลับไปดูข้อมูลด้านบน ผลกระทบ หรือ Impact นะคะ ตารางนี้จะแสดงถึงผลกระทบ มีผลกระทบอยู่ระดับไหน ความเสียหายระดับไหน อย่างหัวข้อ มูลค่าความเสียหาย ผู้ใช้งานได้รับผลกระทบไหม ระดับความเสียหายอยู่ระดับไหน อันตรายถึงชีวิตหรือเปล่า ผลกระทบต่อภาพลักษณ์ ขององค์กรไหม เป็นหน้าเป็นตาอย่างนี้ค่ะ อีกฝั่งหนึ่ง ระดับความรุนแรงนั่นเอง น้อยมาก น้อย ปานกลาง สูง สูงมาก นั่นเองนะคะ เราก็มาดูนะคะ ผลกระทบของเรา สมมติตามนโยบายของเรานะ ก็จะเป็นภาพลักษณ์องค์กรของเรานะคะ ว่ามีผลกระทบสูงมากขนาดไหน เนื่องจากเป็นนโยบาย ผลกระทบที่ค่อนข้างสูงพอสมควร ต้องมีนโยบายมาจากหน่วยงานข้างบนนะคะ สมมติสูงมาก มีค่าเป็น 5 วันนี้จะอธิบายให้เข้าใจแล้วทุกคนจะไปกรอกเก็บข้อมูล กลุ่มใคร กลุ่มมัน มีผลกระทบคือสมมุตินโยบายมีค่าเป็นมาก คราวนี้นะคะ เราก็จะมาดู ในตารางเรามีอะไรอีก โอกาส โอกาสที่จะเกิดขึ้นนะคะ เมื่อกี้ ผลกระทบนะคะ แล้วก็โอกาส ความเสี่ยงนะคะ โอกาสที่จะเกิดขึ้นระดับไหน เกิดขึ้นบ่อยไหม หรือว่าเกิดขึ้นไม่บ่อยนะคะ สูงมาก แล้วก็จะเป็นค่าที่คูณออกมา งงไหมนะ โอกาสที่เราจะเกิดขึ้น เมื่อเราใส่ ตรงนี้ ผลกระทบ โอกาสที่เกิดขึ้น เกิดบ่อยมากนะคะ ค่าที่คูณกันระหว่างผลกระทบและโอกาส ก็จะเป็นความเสี่ยง ระดับความเสี่ยงก็จะเกิดขึ้นนะคะ เราดูจากตาราง ผลกระทบมาก ทั้งภาพลักษณ์ในองค์กร แล้วก็โอกาสที่จะเกิด ก็คือมันอาจจะเกิดได้ตลอด เพราะมันเป็นนโยบายนะคะ คูณออกมาก็จะเป็น 25 ก็คือมันจะต้องเร่งด่วน พูดง่าย ๆ 25 ก็คือระดับความเสี่ยงที่องค์กรต้องมีการปรับปรุงอย่างเร่งด่วน เนื่องจากไม่มีนโยบายความปลอดภัยเลย ดังนั้น ต้องรีบให้มีนโยบายนะคะ เมื่อเร่งด่วนแล้ว แล้วอย่างไร ณ ปัจจุบันคืออะไร ไม่มีเอกสารที่มีลายลักษณ์อักษร เนื่องจากไม่มีนโยบายนะคะ เราก็เลยประเมินออกมาแล้ว ความเสี่ยงที่มันจะเกิดตรงนี้นี่ มันส่งกับพจน์องค์กรของเรา ดังนั้น ก็ควรที่จะมีนโยบายเพื่อมารองรับแล้วก็ดูแลเกี่ยวกับตัวระบบสารสนเทศของเรานั่นเอง อันนี้ระดับความเสี่ยง เอาแบบ ถัดมา เอาแบบที่แบบมองภาพง่าย ๆ เอาอันไหนดีที่จะมองภาพง่ายที่สุด ในหัวข้อการสิ้นสุดหรือการเปลี่ยนแปลงการจ้างงาน เนื่องจากในทุกหน่วยงานนี่ ก็จะมีบุคคลบุกเข้า บุคคลออก อาจจะย้ายถิ่นนะคะ หรือมีบุคลากรที่รับเข้ามาใหม่นะคะ ก็คือการเปลี่ยนจ้างงานนะคะ กรณีที่บุคลากรของเรานี่ สิ้นสุดนะคะ หรือเปลี่ยนการทำงาน ก็คือจะลาออก ย้ายไปรับตำแหน่งใหม่ หรือย้ายไปที่หน่วยงานอื่นนะคะ มีการคืนทรัพย์สินขององค์กรหรือเปล่า สมมติบุคลากรนั้น ก็มีคอมพิวเตอร์ Notebook นะคะ ที่เป็นคุรุภัณฑ์ที่ไว้ใช้งานนะคะ ซึ่งสามารถเข้ารหัส ดึงข้อมูลต่าง ๆ ภายในองค์กรได้ เขาก็จะทำการคืนทรัพย์สินที่เป็นขององค์กรลงไป ให้กับฝ่าย HR หรือว่าบุคลากรที่ดูแลเกี่ยวกับอุปกรณ์เหล่านั้น เราก็จะมาดูผลกระทบของเรานะคะ ว่ามัน การคืนทรัพย์สินตรงนี้นะคะ อยู่ที่ผลกระทบอะไรนะคะ เราก็จะมาดูตารางผลกระทบของเรานะคะ ผลกระทบ คืนกับไม่คืนนะ สมมติเราคืนไป มันก็จะส่งผลกระทบระดับความเสียหายอย่างไรนะคะ ถ้าเป็นอุปกรณ์ที่ราคาไม่แพง ล้าหลัง ล้าสมัย ไม่ได้มีความสำคัญมาก มูลค่าความเสียหาย 10000 บาท ไหมนะคะ เนื่องจากอุปกรณ์ใช้งานไปนะคะ ราคาของอุปกรณ์ก็จะลดลงตามระยะเวลานะคะ สมมติทางหน่วยงานประเมินมาให้แล้วว่ามันน้อยมากนะคะ ก็ประมาณหนึ่งนะคะ คราวนี้เราก็จะมาดูนะคะ อาจเกิดความเสียหายว่ามันจะเกิดบ่อยไหม ต่อปี ต่อเดือนนะคะ หรือถ้าเรามีอุปกรณ์แล้วนะคะ หรือว่าเนื่องจากหน่วยงานของเรานี่ ไม่มีการเข้าออกของบุคลากรเลย อันนี้ก็จะเป็นเคสแรก หรือว่าเป็นคนแรกที่เริ่มขึ้น ก็อาจจะค่อนข้างต่ำมากนะคะ โอกาสที่จะเกิดก็ไม่ค่อยเยอะ อาจจะประเมินไว้ที่ 1 นะคะ ดังนั้น ความเสี่ยงของเราที่เกิดขึ้นนี่ ก็จะเป็นประมาณที่ระดับ 1 หรือค่า 1 x 1 นั่นเองนะคะ เนื่องจากได้มีการคืนนะคะ มีการคืนอุปกรณ์นะคะ แล้วก็ทรัพย์สินที่ได้นำมาใช้ในแผนก หรือว่าเป็นของส่วนตัว คืนไปหมดเรียบร้อยแล้วนะคะ มันก็ทำการประเมินนะคะ แต่ละส่วนไปนั่นเอง มันก็จะมีหัวข้อที่ค่อนข้างเยอะนะคะ เดี๋ยวอาจารย์ปรับลดลงให้ ตามหัวข้อที่น่าจะให้บุคลากรเขาเข้าใจ แล้วก็สามารถที่จะประเมินนะคะ ณ ปัจจุบัน ณ งานที่เขาทำอยู่นี่ มีระดับความเสี่ยงที่ระดับไหนเราก็จะได้ศึกษากับผู้ที่ไปรับข้อมูลได้อย่างถูกต้องนั่นเองนะคะ มันอาจจะฟังงง ๆ นิดหน่อยนะคะ แต่ถ้าเกิดเราเข้าใจกับตัวตาราง จะประเมินออกมาได้นะคะ ความมั่นคงปลอดภัยทางกายภาพและสิ่งแวด อย่าง Data Center การนะคะ หรือว่าปิดห้องปิดมีการระบบล็อกคีย์การ์ดนะคะ ลืมรหัสไปงานหรือมันเองน่าจะมีหลายขั้นตอนที่จะช่วยป้องกันนะคะ เกี่ยวกับข้อมูลเกี่ยวกับสารสนเทศตรงนี้ได้นะคะ ความมั่นคงปลอดภัยทางกายภาพนะ ความมั่นคงปลอดภัยของอุปกรณ์ งานจัดวาง การป้องกัน กรณีที่อุปกรณ์ที่ต้องการ สภาพอากาศที่มีความเย็น เพื่อไม่ให้อุปกรณ์เกิดความฮีต หรือว่าตัวระบบนี่ไม่สามารถทำงานได้อาจจะมีระบบ condition หรือว่าไม่วางอุปกรณ์ให้ติดกับตัวผนัง เพื่อให้มีการถ่ายเทของอากาศ จะเป็นรูปแบบของการจัดวางอุปกรณ์ สามารถที่จะเช็กเกี่ยวกับความเสี่ยงที่จะเกิดขึ้นได้นะคะ ว่ามันมีการจัดวาง หรือว่าการจัดการอุปกรณ์ในรูปแบบไหน การบริหารด้านการจัดการการสื่อสาร ดำเนินงานเครือข่าย การมีการแบ่งรับผิดชอบนะคะ ให้แก่บุคลากร สำหรับทุกคน ตามแผนก ตามหน้าที่ แล้วก็ตามศักยภาพนะคะ หลัก ๆ ก็จะประมาณนี้ การป้องกันโปรแกรมที่ไม่ประสงค์ดีนะคะ พวกโปรแกรม Anti virus ตัว Firewall ต่าง ๆ การสำรองข้อมูลในการจัดเก็บไว้ไหมนะคะ มาตรฐานทางเครือข่ายมีการปิดช่องโหว่ต่างหรือเปล่านะคะ ว่าสามารถที่จะเก็บข้อมูลกับผู้ปฏิบัติงานจริงในหน่วยงานได้นั่นเอง การทำธุรกรรมต่าง ๆ ออนไลน์ มีอะไรบ้าง การควบคุมการเข้าถึงนะคะ การลงทะเบียนผู้ใช้งานนะคะ การใช้งานรหัสผ่าน กรณีอุปกรณ์ที่ไม่มีคนดูแลนี่ เขามีวิธีการป้องกันและควบคุมดูแลอย่างไร การแบ่งแยกเครือข่ายนะคะ การระบุ แล้วก็พิสูจน์ตัวตนของผู้ใช้งาน ดูแล้วเป็นอย่างไร พอจะเข้าใจไหม เราต้องไปเก็บข้อมูลจริง ๆ ตามกลุ่มที่อาจารย์จะแบ่งให้นะคะ แล้วก็จะมีฟอร์มที่เป็นรูปแบบลักษณะแบบนี้นะคะ แต่ว่าตามหัวข้อ แต่พวกข้อมูลเหล่านี้นี่ เราจะไปเติมเอง เพราะว่าแต่ละแผนก ข้อมูลก็จะไม่เหมือนกันนะ ใช่ค่ะ เดี๋ยวอาจารย์จะให้ไปศูนย์คอมนี่ล่ะค่ะ แต่ว่าแบ่งแผนก มันจะได้แบ่งกันไปทำ จะได้คนไม่เยอะ พอดีถ้าจะให้ออกไปข้างนอกกลัวมันยาก เพราะมันต้องทำหนังสือ ขอความอนุเคราะห์เข้าไป ต้องดูเขาอีกเขาว่างไหม แล้วก็เขาจะให้เราเข้าช่วงไหน มีพี่เจ้าหน้าที่ดูแลหรือเปล่า อะไรอย่างนี้ ก็เลยเลือกเป็นศูนย์คอมเพราะว่ามันจะได้สะดวก นักศึกษาน่าจะคุ้นชินอยู่แล้วนะคะ เดี๋ยวจะติดต่อว่าจะแบ่งเป็นแผนกไหน แล้วก็ให้พี่ใครไปดูแลบ้าง เนื่องจากเรามีกลุ่มอื่นด้วย ต้องมีพี่ไปด้วยในกรณีที่เป็นกลุ่มที่เป็นต้องใช้ล่ามในการสื่อสารนั้นเองนะคะ ก็จะเป็นคร่าว ๆ ประมาณนี้ จริง ๆ มันจะค่อนข้างละเอียดเยอะอยู่นะคะ แต่อาจารย์จะตัดลง เอาเฉพาะที่เข้าใจกันง่ายดีกว่านะคะ ในหัวข้อไหน คราวนี้ เมื่อเราได้ความเสี่ยงแล้ว เดี๋ยวเราก็จะมาสรุปกัน ว่าความเสี่ยงที่เราไปเก็บมานี่ ตัวไหนที่มันมีความเสี่ยงสูงมากสุด อะไรนี่ มันต้องไล่ลำดับ เพื่อจะได้จัดการนะคะ ในความเสี่ยงที่มันจะวิกฤติสุด ๆ นะคะ ต้องทำลำดับที่มีความเสียงสูงที่สุดก่อน ไล่มาเรื่อย ๆ นั่นเองนะคะ โอเค เดี๋ยวอาจารย์ขอดูรายชื่อสักแป๊บ เดี๋ยวเราจะแบ่งออกเป็น 4 กลุ่มนะคะ ปี 2 กลุ่มหนึ่งนะคะ แล้วก็ปี 3 จะมีทั้งหมด 3 กลุ่ม โดย ห้อง 2 นะคะ ก็จะเป็นกลุ่มหนึ่ง แล้วก็จะแบ่งออกเป็น 2 กลุ่มนะคะ จะให้อาจารย์สุ่มแบ่งให้ไหม ห้อง 1 โอเค อาจารย์จะสุ่มตามรายชื่อแล้วกันนะ เรามีทั้งหมด 10 เท่าไหร่นี่ 12 นะ ก็จะเลือกออกมา 6 คนแรกก่อนนะคะ เป็นกลุ่มหนึ่ง แล้วก็ที่เหลือก็จะเป็นกลุ่ม 2 นะคะ เริ่มเลยนะ กันตวิชญ์ กลุ่ม 1 กันตวิชญ์ เห็นไหม มันมีชื่ออยู่นะ อันนี้กลุ่ม 1 นะ กรพจน์ นราวิชญ์ เดี๋ยวพี่ล่ามพักก่อนก็ได้นะคะ ตอนนี้กำลังแบ่งกลุ่ม ไม่ได้ออกหรือเมื่อกี้ ไม่ได้ลบหรือ เมื่อกี้มันลบไปแล้วไม่ใช่หรือ มันไม่ออก โอเค โอเค ยังไม่ได้ลบหรือ ลบอย่างไรทีนี้นี่ ถ้ารวมหมด กลัวแบบล่ามจะดูแลยาก กลัวจะมีหลายกลุ่ม ไม่เป็นไร เมื่อกี้ใครนะ ภัทรนันท์ เดี๋ยวค่อยลบ เอาใหม่ 4 แล้ว ศศิกานต์ 1 2 3  4 5 อนุภาพ ครบแล้ว ที่เหลือก็เป็นกลุ่มหนึ่งนะคะ มงคล มงคล เดี๋ยวนะ เดี๋ยวนะ ศักดา อัษฎาวุธอยากอยู่กลุ่มกับห้อง 1 ไหมคะ  หรือว่า ไม่ เลือกได้ จะมี 3 กลุ่ม 1 2 อัษฎาวุธ โอเค ก็จะประมาณนี้นะ อัษฎาวุธแล้วก็ศักดา 2 เราก็จะมีทั้งหมด 4 กลุ่มนะคะ จะมีฟอร์มไปให้แบบนี้เลย หน้าตาแบบนี้แหละ ฟอร์มมีให้ แต่ต้องไปคุยกับพี่เขาให้รู้เรื่อง พูดให้ถูก ประเมินเป็นอย่างไร ความเสี่ยงเป็นอย่างไร อธิบายให้เขาเข้าใจ อ่านตัวอย่างแล้วก็อ่านเนื้อหาไปก่อน จะได้เข้าใจความหมายความ ความเสี่ยงเป็นอย่างไร ความเสี่ยงที่จะเกิดขึ้น วิกฤต ไม่วิกฤตนะคะ สงสัยไหมนะ กลัวไปตอนทำจริงแล้วจะเขาจะงง แต่ว่าพี่เขาน่าจะเคยมีรุ่นก่อน ๆ แต่มันก็นานมากแล้ว พวกประเมินความเสี่ยง พี่เขาน่าจะเข้าใจอยู่ แต่เราต้องสื่อสารให้เข้าใจนะ เดี๋ยวกลุ่ม 1 นะ อาจารย์พูดอีกรอบหนึ่ง กรพจน์ นราวิชญ์ อานุภาพ พัทธนันท์ ศศิกาญจน์ กันตวิชญ์ ตามนี้ ที่เหลือก็จะเป็นกลุ่ม 2 แล้วก็ห้อง 2 ก็จะเป็นกลุ่ม 3 แล้วก็ปี 2 ก็จะเป็นกลุ่ม 4 โอเคนะ ใครมีคำถามไหม กรอกฟอร์ม แล้วก็เดี๋ยวเราจะทำรายงานส่งด้วย ฟอร์มน่ะมีให้อยู่แล้ว เราต้องมานำเสนอให้เพื่อนด้วยว่า เราไปรับข้อมูลมาแล้ว ของฝ่ายนี้ การเก็บข้อมูลแบบนี้ อาจจะเป็นลักษณะของเก็บข้อมูลการดูแลอุปกรณ์ เป็นอย่างไร เขามีการจัดการอย่างไร ความเสี่ยงของเยอะไหมนะคะ พี่เขามีกระบวนการดูแลอย่างไร สื่อสารให้เพื่อน ๆ ในห้องที่เหลืออีก 3 กลุ่มเข้าใจให้เข้าใจนะ หัวข้อเดี๋ยวอาจารย์มีให้ ซื้อที่นัดไว้ให้ด้วยไป แล้วคุยกับเขาให้เขารู้เรื่อง แล้วได้ข้อมูลกลับมาแค่นั้นแหละ ทำให้ทุกอย่างนะคะ แต่ว่าเดี๋ยวจะฝากทางล่ามไปด้วย สำหรับห้อง ก็จะเหลือปี 2 แล้วก็ปี 3 นะ ว่าน้อง ๆ ไปวันไหน ก็ฝากไปสื่อสารช่วยให้หน่อย กลัวเด็ก ๆ จะคุยกันไม่รู้เรื่องนะคะ กับพวกพี่ ๆ เขา ก็เดี๋ยวมีให้ไปเก็บข้อมูล แล้วมานำเสนอ เดี๋ยวอาจารย์จะดูอีก ถ้าเวลาเหลืออาจจะมีให้ ตัวมาตรฐานมาเพิ่ม หรือว่าอย่างไร เดี๋ยวจะแจ้งอีกรอบหนึ่งนะคะ โอเค เดี๋ยวขอเช็กชื่อก่อน แล้วก็งาน เห็นแล้วนะรายชื่อที่อาจารย์ประกาศไป สำหรับใครที่ยังมีงานที่ค้างอยู่ บางคนอาจจะคิดว่าทำแล้ว แต่ยังไม่ได้ทำ หรือว่าใครมั่นใจว่าทำครบ ไปเช็กกับอาจารย์ได้ หลักฐานมี ไปลื้อกัน ว่าอันไหนส่งไปแล้วหรือยังไม่ส่ง เช็กได้ ใช่ค่ะ คนที่ค้างก็จะมีแค่รหัสที่ขึ้น ใครที่ไม่มี ก็คือครบหมดแล้ว หรือบางคนอาจจะจำรหัสตัวเองไม่ได้หรือเปล่า ลองไปเช็กดูนะ เดี๋ยวขอเช็กชื่อก่อนนะคะ ศิริรัตน์ ศิริรัตน์ มาอยู่ไหม อดิศร นพกิจ อาจารย์จำไม่ได้นะนี่ พงศ์พร จันทกานต์ มานะ กัญญาณัฐ โอเค ธัญลักษณ์ วาริษา โอเค โอเค ได้ค่ะ ภัทรลดา ออกไปแล้ว เทพอักษร ภากรณ์ ธนภัทร มาอยู่นะ โอเค โอเค ทวีรัตน์ จักรพันธ์ สิตาพร กรพจน์ นราวิชญ์ อนุภาพ ทศทิศ ภัทรนันท์ ศศิกานต์ มัณฑนา ปรเมศฐ์ กันตวิชญ์ จุฑารัตน์ ศักดา โอเค ดำรงค์ศักดิ์ สรจักร มงคล อัษฎาวุธ ณิชานันท์ สุมาวดีโอ เค คาบนี้น่าจะเข้าใจกันนะคะ น่าจะไม่ยากเท่าไรนะคะ เพราะมีตัวอย่างให้ มีตารางให้มี คำอธิบายให้ มีเอกสารให้ อ่านอีกรอบหนึ่ง จะได้เข้าใจนะก่อนที่เราจะ งานอาจารย์ตีให้เลย แค่แบ่งแปลว่าจะได้หัวข้อไหนเราก็แบ่งไปตามกลุ่มของเราโอเคถ้าของเราก็จะมีพวกพี่ ๆ เขาไปดูแลด้วยอีกรอบหนึ่งนะคะ โอเค ใครมีคำถามเพิ่มเติมอะไรไหมคะ ไม่มีนะ อย่าลืมส่งงาน สำหรับใครที่ยังค้างอยู่ โอเค ถ้าไม่มีคำถาม ก็เดี๋ยวอาจารย์ขอนัดดูก่อนว่า ไปเช็กก่อนว่าทางศูนย์คอมได้ประมาณช่วงไหน ถ้าไม่ตรงกับที่เรียนสัปดาห์หน้า เดี๋ยวอาจารย์จะแจ้งอีกรอบหนึ่ง หรือว่าทางศูนย์เขาสะดวกวันที่เราเรียนค่อยมาประกาศอีกรอบหนึ่งนะคะ ว่าจะให้ไปเก็บข้อมูลแทน หรือว่าเราจะไปเรียนต่อ ถ้าไม่มีคำถามอะไรก็เดี๋ยวเจอกันสัปดาห์หน้า หรือถัดไป แล้วแต่กรณีของหน่วยงานเขาให้เข้าไปดูวันไหนนะคะ ถ้าไม่มีคำถามก็สวัสดีค่ะ สวัสดีล่ามทางไกลด้วยนะคะ