---
title: (ฝึก PE กับ Bot ASR) ห้องเรียนสกลฯ มาตรฐานสากลด้านเทคโนโลยีคอมพิวเตอร์และดิจิทัล อ.ธิดารัตน์ วันที่ 9 ก.พ. 2566 มาริก
subtitle: 
date: วันจันทร์ที่ 13 กุมภาพันธ์ 2566  เวลา 09.00 น.
---

								(ข้อความสดจากระบบถอดความเสียงพูดทางไกล)


(อาจารย์ธิดารัตน์) อย่าเสียงดัง เดี๋ยวเรามาเริ่มเรียนนะคะ ตัวนี้จะอธิบายเกี่ยวกับตัวมาตรฐานที่เราจะเข้าไปข้อมูลนะคะ จะเป็นมาตรฐานความมั่นคงปลอดภัยของสารสนเทศนะคะ ปกติแล้วสำหรับการจัดเก็บข้อมูลแต่ก่อนนี้อาจารย์จะให้ลงไปหน่วยงานเอง ก็คือให้เลือกหน่วยงานที่สนใจแล้วก็ลงไปเก็บข้อมูลนะคะ ยัง ๆ ฟังให้จบก่อน แต่คราวนี้นี่เนื่องจากเรามีหลาย Session  นะคะ แล้วก็เนื่องด้วยมีหลายกลุ่มนะ อาจารย์ก็เลยว่าจะให้เก็บข้อมูลในภายในมหาวิทยาลัย เพื่อจะให้ลดปัญหาการเดินทางหรือว่าการติดต่อประสานงานนั่นเองนะคะ ข้างนอกไม่ได้ มันจะยากช่วงนี้น่ะ ออกไปเอาขอข้อมูลยาก ก็เลยเดี๋ยวให้ทำข้างในนี่แหละ ก็คืออาจารย์จะให้ไปดูการเก็บข้อมูลเกี่ยวกับตัวศูนย์คอมพิวเตอร์นะคะ แต่ว่าจะแบ่งเป็นกลุ่มไปให้ แล้วก็จะแบ่งเป็นหัวข้อในการดูแลความมั่นคงปลอดภัยของสารสนเทศนั่นเองนะคะ ว่าแต่ละกลุ่มได้หัวข้อไหน ก็จะไปเก็บข้อมูลแต่ละประเภทไม่เหมือนกันนะคะ แยกส่วนกันอยู่แล้วนะคะ แค่นั้นเอง แต่ถ้าเป็นหน่วยงานเดียวกันแล้วก็สำหรับเรื่องความสะดวกของทางศูนย์คอมพิวเตอร์ว่าหน่วยงานเขาจะสะดวกเป็นช่วงวันเวลาไหน เดี๋ยวอาจารย์จะมาแจ้งอีกรอบหนึ่งนะคะ จะได้ง่ายนั่นเอง โอเคคราวนี้เราจะมาดูเนื้อหาตัวมาตรฐานที่เราจะไปปรับประยุกต์แนะนำมาเป็นเกณฑ์นะคะ ที่ใช้ในการเก็บข้อมูลในครั้งนี้ ก็คือตัวมาตรฐานISO 27001 ของเรานั่นเองนะคะ ตัวเอกสารอาจารย์ให้ไปก็จะมี 2 อัน ก็คือตัวเนื้อหาหลัก ๆ เลยนะคะ เกี่ยวกับความมั่นคงปลอดภัยของสารสนเทศนะคะ เบื้องต้นนักศึกษาอาจจะเข้าใจเป็นบางส่วนแล้ว เดี๋ยวเราจะมาดูแต่ละข้อที่เราจะเข้าไปเก็บจริง ๆ นะคะ ว่ามีอะไรเนื่องจากเนื้อหาของตัวมาตรฐานนี่ค่อนข้างเยอะ อาจารย์ก็จะปรับบางส่วนนะคะ คือ เลือกเฉพาะหัวข้อที่น่าจะเข้าใจ และก็เห็นภาพได้ง่ายที่สุดนะคะ ในการเก็บข้อมูลทางผู้ให้ข้อมูลแล้วก็ผู้รับข้อมูลด้วยจะได้เข้าใจตรงกันนะคะ เพราะบางทีไปแล้วเก็บข้อมูลอาจจะ... ผู้ให้และผู้รับอาจจะไม่เข้าใจว่าการเก็บข้อมูลนี่ในประเภทนี้ หมายถึง การดูแลรักษาตัวข้อมูลสารสนเทศอย่างอะไรบ้างนั่นเองนะคะ ตัวความมั่นคงปลอดภัยของตัวสารสนเทศ ก็แน่นอนว่าเราจะดูแลอย่างไรให้ข้อมูลของเราสามารถใช้พร้อมงาน ข้อมูลเสียหายนะคะ แล้วก็มีวิธีป้องกันนะคะ หรือว่ามีการวางแผนอย่างไร ให้ตัวข้อมูลของเรานี่ไม่ได้รับผลกระทบนะคะ หรือจะรวมถึงอุปกรณ์และก็สิ่งแวดล้อม รวมไปถึงบุคคล รวมถึงนโยบายด้วยนะคะ อันนี้ก็จะไปแบบคร่าว ๆ นะ เพราะว่าเป็นเอกสาร เดี๋ยวจะให้ไปศึกษาต่อนะคะ น่าจะเป็นเรื่องที่น่าจะเคยเรียนมาบ้างแล้วนะคะ อย่างที่บอกไป ความมั่นคงปลอดภัยของสารสนเทศก็มีอะไร ความลับ สมบูรณ์ พร้อมใช้งาน นั่นเองนะคะ อันนี้ก็จะเป็นลักษณะภัยคุกคามที่อาจจะเกิดขึ้นนะคะ เกี่ยวกับตัวสิ่งแวดล้อม ฝนตก น้ำท่วมนะคะ ไฟไหม้ อะไรต่าง ๆ นะคะ ว่าเขามีการสำรองข้อมูลไว้ไหมนะคะ ไม่ว่าจะเป็นภัยพิบัติต่าง ๆ ที่เกิดขึ้นนะคะ มีการทำประกันไว้กับหน่วยงานข้างนอกหรือเปล่านะคะ มีการสำรองข้อมูลเป็น Data Center ไว้ที่อื่นไหม กรณีข้อมูลเกือบเสียหาย เป็นต้นนั่นเองนะคะ เราต้องมาดูว่ามีวิธีป้องกันอย่างไรบ้าง ป้องกันที่ 1 ป้องกันที่ 2 ป้องกันที่ 3 นะคะ หรืออันนี้จากภัยธรรมชาติแล้ว คราวนี้จะมนุษย์นะคะ อาจจะเป็นพวกการขโมยข้อมูลนะคะ หรือการแฮกข้อมูลต่าง ๆ มีพวกตัวสแกนไวรัสไหม Antivirus ไหม หรือว่ามีพวก Firewall ต่าง ๆ ติดตั้งระบบไว้อย่างดีหรือเปล่า อันนี้ก็จะไปเช็คกันตามหัวข้อที่แต่ละคนจะได้รับไปนั่นเองนะคะ การเข้าถึงโดยไม่ได้รับอนุญาต การมีตัวลงชื่อการใช้งานทุกครั้งไหมนะคะ ในการใช้ระบบหรืออุปกรณ์ต่าง ๆ เป็นช่องโหว่ต่าง ๆ เกิดขึ้นน่ะ มีตรงไหน มีวิธีแก้ไขอย่างไรบ้างนะคะ อันนี้เราก็พูดไปแล้วนะคะ เกี่ยวกับตัวมาตรฐาน ISO 27001 นะคะ มาตรฐานระบบการจัดการความมั่นคงปลอดภัยของระบบสารสนเทศนะคะ ซึ่งตัวนี้ที่ยกมาเนื่องจากจะทำให้นักศึกษาเข้าใจ แล้วก็เห็นภาพที่สุดนะคะ ในการใช้ตัวระบบสารสนเทศของเรานะคะ เราจะมาดูรายการมาตรฐานที่ยกมาบางส่วนนะคะ อย่างอันที่ 1 นะคะ เริ่มแรกเลยนะคะ ตามหน่วยงานองค์กรนี่ต้องมีแผนในการรองรับนะคะ ตัวสารสนเทศภายในองค์กรของเขานี่ พูดง่าย ๆ ก็คือมีการวางแผนนะคะ คำศัพท์ คำอธิบายนะคะ เกี่ยวกับตัวสารสนเทศของเราอย่างไรหรือเปล่าคะ มีข้อกำหนดนะคะ มีการเฝ้าระวังไหม มีการทบทวน มีระบบรักษาแล้วก็ปรับปรุงหรือเปล่า เฝ้าระวังว่าทุก 3 เดือนนี้หรือว่าทุกเดือนนี้มีการสำรองข้อมูลไว้ไหม แล้วก็มาเช็กข้อมูล เช็กอุปกรณ์ อุปกรณ์สำรองไฟมีหรือเปล่านะคะ อุปกรณ์ Firewall สามารถป้องกันได้ครบไหมนะคะ แล้วก็มาเช็กระบบทุกเครือข่ายรวมถึงสิ่งแวดล้อมนะคะ อาจจะเป็นในรูปแบบกายภาพที่สามารถจับต้องได้นะคะ วิธีป้องกันการเข้ารหัสต่าง ๆ คราวนี้ก็จะมีพวกคู่มือคำแนะนำการปฏิบัติต่าง ๆ ที่เราสามารถนำไปปฏิบัติ และก็ประยุกต์ใช้ได้นั่นเองในความมั่นคงปลอดภัยของเรา ว่ามีข้อกำหนดอะไรมีนโยบายไหม มีการกำหนดถึงหน้าที่ของแต่ละบุคคลในการดูแลอุปกรณ์นะคะ บุคลากร ซอฟต์แวร์ต่าง ๆ แล้ว ก็มีข้อห้ามตรงไหน มีข้อปฏิบัติอะไรบ้างนั่นเอง มีการนำมาตรฐานไปประยุกต์ใช้ภายในองค์กร ภายในหน่วยงานของเราในส่วนไหนบ้าง ในข้อไหนบ้าง มีการวัดผลไหม ทางความมั่นคงปลอดภัยของเรา เอาไปใช้แล้วเกิดประโยชน์จริงหรือเปล่านะคะ เอาไปใช้แล้วลดปัญหาต่าง ๆ ที่เกิดขึ้นในองค์กรหรือไม่นะคะ แล้วก็ทางที่สุดนี่ก็จะเป็นการประเมินความเสี่ยง ซึ่งในหัวข้อนี้เราจะนำมาใช้ คือ การประเมินความเสี่ยงทางด้านเทคโนโลยีสารสนเทศของเรานั่นเอง อย่างประเมินว่าสมมติว่าระบบไฟ อย่างตึกนี้นะ เราจะสังเกตว่าไฟนี้จะตกบ่อย อาทิตย์หนึ่งกี่ครั้ง เดือนหนึ่งเฉลี่ยมีกี่ครั้ง ไฟตกแล้วส่งผลกระทบกับตัวระบบคอมพิวเตอร์ไหม ระบบคอมพิวเตอร์เราสามารถใช้งานได้ปกติหรือเปล่า พร้อมใช้งานเปิดได้ทุกโปรแกรมหรือเปล่า ทำให้อายุการใช้งานของตัวระบบคอมพิวเตอร์มันต่ำลงไหม อันนี้ก็จะมาประเมินกันว่าความเสี่ยงที่เกิดขึ้นนี่มันจะส่งผลต่ออุปกรณ์คอมพิวเตอร์ไหม ความพร้อมใช้งานของอุปกรณ์หรือเปล่านั่นเองนะคะ อันนี้เป็นสิ่งที่เราประเมินกัน ซึ่งจะหัวข้อต่าง ๆ ที่นักศึกษาจะได้รับไปนะคะ ในการเข้าไปกรอกข้อมูลตรงนี้นั่นเองนะคะ อันนี้ก็จะเป็นโครงสร้างนะคะ ต่าง ๆ อันนี้ให้นักศึกษาไปศึกษาต่อนะคะ มันจะเป็นพวกเนื้อหาทั่วไป ในการประเมินความเสี่ยงนะคะ อาจจะเป็นเริ่มต้นจากการระบุทรัพย์สิน พูดง่าย ๆ ก็คือในองค์กรหน่วยงานของเรานี่มีอุปกรณ์ มีฮาร์ดแวร์ มีซอฟต์แวร์อะไรบ้าง ที่ใช้งานอยู่ มีเครื่องคอมพิวเตอร์เท่าไรนะคะ Internet Router WiFi Switch ทุกอย่างรวมถึงซอฟต์แวร์ ว่ามีทรัพย์สินอะไร ใช้งานได้กี่ปี ต้องเมนเทนแนนซ์ไหมหรือว่าต้องเปลี่ยนอุปกรณ์นะคะ ก็ต้องระบุให้หมด ระบุภัยคุกคามที่จะเกิดต่อทรัพย์สินของเรา มันจะเกิดกับอะไรบ้างนะคะ กรณีถ้าเว็บล่ม เกิดจากสาเหตุไหนนะคะ จากบุคคลไหมนะคะ หรือว่าจากตัวอุปกรณ์ฮาร์ดแวร์เองหรือเปล่านะคะ เนื่องจากการใช้งานที่มากเกินไปหรือกรณีที่ผู้ใช้งานเอามาใช้งานพร้อมกันมากเกินไปหรือเปล่า มันก็จะมีข้อต่าง ๆ นะคะ ยกตัวอย่างภัยคุกคามที่จะเกิด ภัยธรรมชาติ ผู้ใช้งาน ผู้ก่อการร้าย อันนี้ก็จะเป็นการระบุนั่นเองนะคะ ว่าโรคภัยต่าง ๆ ที่เกิดมาจากอะไรบ้างนั่นเองนะคะ การระบุช่องโหว่ ช่องโหว่ที่อาจจะทำให้บุคคลภายนอกที่ไม่ประสงค์ดีต่อหน่วยงาน หรือต่อองค์กรของเรานี่ สามารถที่จะเอาช่องโหว่ตัวนี้นะคะ เข้ามาทำร้ายหน่วยงานของเราได้นะคะ ส่งโปรแกรมไม่ประสงค์ดีนะคะ ผ่านทางอีเมล ทางเว็บไซต์ต่าง ๆ ขึ้นมานะคะ แล้วเราก็มาประเมินความเสี่ยง ระดับความเสี่ยง โดยเราก็จะเช็กระดับความเสี่ยงแล้วอันไหนที่มันเกิดผลกระทบหิววิกฤตสุด ๆ ส่งผลกระทบมากที่สุดภายในหน่วยงาน หรือองค์กรเราเราก็ต้องมีวิธีการแก้ปัญหาตัวที่มีปัญหา แล้วก็ส่งผลกระทบมากที่สุดกับในองค์กรของเรานั่นเองนะคะ ความเสี่ยงเป็นระดับไหน ยอมรับได้ไหมนะคะ อย่างไฟตกนะคะ บางตึกอาจจะเป็น 6 เดือนต่อครั้ง ก็ตกปีหนึ่งแค่ 2 ครั้ง อันนี้ก็ยอมรับได้ไม่ได้ส่งผลกระทบกับตัวอุปกรณ์ หรือการใช้งานของบุคลากรในองค์กรของเรา ก็คือไม่ได้เป็นอะไรมีพวกไฟสำรองรองระดับหนึ่ง อยู่ในไรเซชั่นนะคะ ไม่ให้ไฟกระชากหรือส่งผลกระทบกับอุปกรณ์ของเรา อันนี้ก็จะเป็นไม่มีผลต่อการใช้งานนั่นเองนะคะ หรือความเสี่ยงที่ต้องแก้ไขปรับปรุง ก็ต้องแก้ไขระดับไหน เร่งด่วนไหม หรือไม่เร่งด่วนนะคะ ถ้าเราแบบว่าเกิดไฟตกถี่ ๆ ถี่ ๆ ขึ้นมานะคะ อุปกรณ์ที่เป็นอิเล็กทรอนิกส์ที่ใช้งานก็จะมีผลกระทบ แล้วก็ใช้งานไม่ได้นั่นเองนะคะ มันจะเป็นความเสี่ยงที่ต้องรีบแก้ไขนั่นเองนะคะ พูดง่าย ๆ เราไปเช็กความเสี่ยงสิ่งที่มันจะส่งผลต่อระบบสารสนเทศภายในองค์กรของเรา ไม่ว่าจะเป็นระบบหรืออุปกรณ์นะคะ ต่าง ๆ เราจะได้ประเมินความเสี่ยงแล้วก็มีวิธีแก้ปัญหาที่จะติดตามมานั่นเอง แนวความคิด คราวนี้เราจะทำแผนจัดการความเสี่ยง เมื่อมีความเสี่ยงเกิดขึ้นนะคะ ความเสี่ยงนี่มันเกิดขึ้นได้ทุก ๆ หน่วยงานทุก ๆ อย่างนั่นเองนะคะ มีวิธีไหนบ้าง หลีกเลี่ยงความเสี่ยง หลีกเลี่ยงได้อย่างไร ยกตัวอย่างนะคะ อาจจะเกิดจากไวรัสที่เราไปเสียบตามคอมพิวเตอร์ แล้วอาจจะเป็นการแชร์เข้าสู่ Drive ต่าง ๆ ได้ วิธีไหนที่มันป้องกันไม่ให้เกิดปัญหาที่จะตามมาเข้าสู่ระบบสารสนเทศของเรานะคะ ลดระดับความเสี่ยงนะคะ ทำอย่างไรให้ความเสี่ยงนี่มันน้อยลงนะคะ เราอาจจะเข้าข้อมูล รหัสข้อมูลในการส่งข้อมูลเข้าไปนะคะ คนอื่นที่ดักฟังข้อมูลของเราไป มันก็ไม่สามารถที่จะนำข้อมูลไปใช้งานต่อได้นะคะ ความเสี่ยงที่จะเอาข้อมูลภายในองค์กรของเราไปใช้งานก็จะน้อยลงนะคะ ถ่ายโอนนะคะ อาจจะมีหน่วยงานตัวอื่นเข้ามาช่วยดูแลความเสี่ยงตรงนี้ อาจจะมีพวกบริษัทเข้ามาดูแลความปลอดภัย หรือว่ามีบริษัทในการจัดการข้อมูล Data Center ของเราให้นะคะ เป็น Outsource ต่าง ๆ จะทำให้ความเสี่ยงที่จะเกิดขึ้นภายในองค์กรของเรานี่น้อยลงนั่นเองนะคะ เราก็จะต้องกังวลนะคะ ตัวความเสี่ยงตรงนี้นั่นเอง อันนี้ก็จะเป็นคร่าว ๆ นะคะ เวลาเรามีความเสี่ยงแล้วเราจะจะมีวิธีการอย่างไรนะคะ อันนี้ก็จะเป็นตัวขั้นตอนโครงสร้างต่าง ๆ เป็นคร่าว ๆ แล้วกันนะ มันเยอะ นโยบาย โอเค ก็จะเป็นลักษณะการเข้าไปเก็บข้อมูลนะคะ ของตัวสารสนเทศ ประเมินความเสี่ยงนะคะ ว่าความเสี่ยงที่จะเกิดขึ้นที่ไหน เราก็ต้องแก้ไขไหม หน่วยงานมีวิธีป้องกันแล้วหรือเปล่านะคะ เดี๋ยวเราจะมาดูแต่ละหัวข้อดีกว่า เดี๋ยวขอเช็กนิดหนึ่ง บุคลากรต่าง ๆ ดูเป็นคร่าว ๆ แล้วกันนะ เดี๋ยวตัวเอกสารให้นักศึกษาไปศึกษาต่อนะคะ ว่าเขามีการแยกประเภทอะไรบ้างนะคะ คราวนี้เดี๋ยวอาจารย์จะให้ยกตัวอย่างนะคะ อย่างที่นักศึกษานี่จะแบ่งกลุ่มนะคะ เรามีกันอยู่ 3 ห้องนะ เดี๋ยวอาจารย์จะแบ่งออกเป็น 4 กลุ่มนะคะ โดยแต่ละหัวข้อ เดี๋ยวอาจารย์จะแบ่งให้นะคะ ว่าแต่ละกลุ่มดูแลในหัวข้อไหนบ้าง วิธีการนะคะ เดี๋ยวเรามาดูตัวอย่างก่อน เราจะไปเก็บข้อมูลจริงกันนะคะ ในหน่วยงานนะคะ ที่ปฏิบัติงานจริงเกี่ยวกับระบบสารสนเทศนั่นเอง อาจารย์จะมีตารางให้ นักศึกษาไปเก็บข้อมูลนะคะ โดยเราจะไปเก็บข้อมูลกับผู้ปฏิบัติงานจริง สมมตินะคะ กลุ่มที่ 1 นะคะ ได้เกี่ยวกับพวกอุปกรณ์นะคะ ก็จะไปถามพี่เจ้าหน้าที่ที่เกี่ยวกับอุปกรณ์ฮาร์ดแวร์ต่าง ๆ นะคะ อาจจะเริ่มจากเขามีนโยบายไหมนะคะ ถ้าเป็นอุปกรณ์ก็ต้องมีการลงครุภัณฑ์นะคะ อุปกรณ์ตัวนี้รหัสนี้นะคะ เข้ามาปีไหนใช้งานนะคะ มีวารันตีหรือว่ารับประกันอะไรบ้าง แล้วมันใช้งานได้ถึงไหน โดยความปลอดภัยก็เริ่มมาจากผู้บริหาร ผอ. ที่จริงก็มาจากของมหาวิทยาลัย เป็นนโยบายที่ทำแผนนะคะ ตามแต่ละหัวหน้านะคะ มีเอกสารนโยบายไหมนะคะ และในช่องก็จะมีผลกระทบโอกาสแล้วก็ความเสี่ยงผลกระทบคืออะไร ยกตัวอย่างดูข้อมูลด้านบน ผลกระทบหรือ Impact นะคะ ตารางนี้จะแสดงถึงผลกระทบ มีผลกระทบอยู่ระดับไหน ความเสียหายระดับไหน อย่างหัวข้อมูลค่าความเสียหาย ผู้ใช้งานได้รับผลกระทบไหม ระดับความเสียหายอยู่ระดับไหน อันตรายถึงชีวิตหรือเปล่า ผลกระทบต่อภาพลักษณ์ขององค์กรไหม เป็นหน้าเป็นตาอย่างนี้ค่ะ อีกฝั่งหนึ่ง ความรุนแรงนั่นเอง น้อยมาก น้อย ปานกลาง สูง สูงมาก นั่นเองนะคะ เราก็มาดูนะคะ ผลกระทบของเรา สมมติตามนโยบายของเรานะคะ ก็จะเป็นภาพลักษณ์องค์กรของเรานะคะ ว่ามีผลกระทบสูงขนาดไหน เนื่องจากเป็นนโยบายจะต้องมีผลกระทบที่ค่อนข้างสูงพอสมควร ต้องมีนโยบายมาจากหน่วยงานข้างบนนะคะ สมมติสูงมาก สูงมากมีค่าเป็น 5 อันนี้จะอธิบายให้เข้าใจแล้วทุกคนจะไปกรอกเก็บข้อมูลกลุ่มใครกลุ่มมันมีผลกระทบ คือ สมมตินโยบายมีค่าเป็นมากคราวนี้นะคะ เราก็จะมาดูในตารางเรามีอะไรอีกโอกาส โอกาสที่จะเกิดขึ้นนะคะ เมื่อกี้ผลกระทบนะคะ แล้วก็โอกาส ความเสี่ยงนะคะ โอกาสที่จะเกิดขึ้นระดับไหน เกิดขึ้นบ่อยไหม หรือว่าเกิดขึ้นไม่บ่อยนะคะ สูงมาก แล้วก็จะเป็นค่าที่คูณออกมา งงไหมนะ โอกาสที่เราจะเกิดขึ้น เมื่อเราใส่ตรงนี้ ผลกระทบโอกาสที่เกิดขึ้น เกิดบ่อยมากนะคะ ค่าที่คูณกันระหว่างผลกระทบและโอกาสก็จะเป็นความเสี่ยง ระดับความเสี่ยงก็จะเกิดขึ้นนะคะ ดูจากตารางผลกระทบมากทั้งภาพลักษณ์ในองค์กร แล้วก็โอกาสที่จะเกิด ก็คือมันอาจจะเกิดได้ตลอด เพราะมันเป็นนโยบายนะคะ คูณออกมาได้ 25 ก็คือมันจะต้องเร่งด่วนพูดง่าย ๆ 25 ก็คือลดความเสี่ยงที่องค์กรต้องมีการปรับปรุงอย่างเร่งด่วน เนื่องจากมีนโยบายความปลอดภัยเลย ดังนั้น ต้องรีบให้มีนโยบายนะคะ เมื่อเร่งด่วนแล้วแล้วอย่างไร ณ ปัจจุบันคืออะไร ไม่มีเอกสารที่มีลายลักษณ์อักษร เนื่องจากไม่มีนโยบาย เราก็เลยประเมินออกมาและความเสี่ยงที่มันจะเกิด ตรงนี้มันส่งผลกระทบต่อองค์กรของเรา ดังนั้น ก็ควรที่จะมีนโยบายเพื่อมารองรับแล้วก็ดูแลเกี่ยวกับระบบสารสนเทศของเรานั่นเอง อันนี้ระดับความเสี่ยง เอาแบบ... ถัดมา เอาแบบที่มองภาพง่าย ๆ เอาอันไหนดีที่จะมองภาพง่ายที่สุด ในหัวข้อการสิ้นสุดหรือการเปลี่ยนแปลงการจ้างงาน เนื่องจากในทุกหน่วยงานนี่ก็จะมีบุคคลเข้าบุคคลออก อาจจะย้ายถิ่นนะคะ หรือมีบุคลากรที่รับเข้ามาใหม่ ก็คือการเปลี่ยนจ้างงานนะคะ กรณีที่บุคลากรของเรานี่สิ้นสุดนะคะ หรือเปลี่ยนการทำงาน ก็คือลาออก ย้ายไปรับตำแหน่งใหม่ หรือย้ายไปที่หน่วยงานอื่นนะคะ มีการคืนทรัพย์สินขององค์กรหรือเปล่า สมมติบุคลากรนั้นก็มีคอมพิวเตอร์โน้ตบุ๊กที่เป็นคุรุภัณฑ์ที่เป็นใช้งาน ซึ่งสามารถเข้ารหัสดึงข้อมูลต่าง ๆ ภายในองค์กรได้ เขาก็จะทำการคืนทรัพย์สินที่เป็นขององค์กรไปให้กับฝ่าย HR หรือว่าบุคลากรที่ดูแลเกี่ยวกับอุปกรณ์เหล่านั้น เราก็จะมาดูผลกระทบของเรานะคะ ว่ามัน... การคืนทรัพย์สินตรงนี้นะคะ อยู่ที่ผลกระทบอะไรนะคะ มาดูที่ตารางผลกระทบของเรานะคะ ผลกระทบ คืนกลับไม่คืนนะ สมมติเอาคืนไปมันก็จะส่งผลกระทบระดับความเสียหายอย่างไรนะคะ ถ้าเป็นอุปกรณ์ที่ราคาไม่แพง ล้าหลังล้าสมัยไม่ได้มีความสำคัญมาก มูลค่าความเสียหาย 10,000 บาทไหมนะคะ เนื่องจากอุปกรณ์ใช้งานไปนะคะ ราคาของอุปกรณ์ลดลงตามระยะเวลานะคะ สมมติทางหน่วยงานประเมินมาให้แล้วว่ามันน้อยมากนะคะ ก็ประมาณหนึ่งนะคะ อันนี้เราก็จะมาดูนะคะ อาจเกิดความเสียหายว่ามันจะเกิดบ่อยไหม ต่อปี ต่อเดือน หรือถ้าเรามีอุปกรณ์แล้วนะคะ หรือว่าเนื่องจากหน่วยงานของเรานี่ไม่มีการเข้าออกของบุคลากรเลย อันนี้ก็จะเป็นเคสหรือว่าเป็นคนแรกที่เริ่มขึ้น ก็อาจจะค่อนข้างต่ำมากนะคะ โอกาสที่จะเกิดก็ไม่ค่อยเยอะ ก็อาจจะประเมินไว้ที่ 1 นะคะ ดังนั้น ความเสี่ยงของเราที่เกิดขึ้นนี่ก็จะเป็นประมาณที่ระดับ 1 หรือค่า 1 x 1 นั่นเองนะคะ เนื่องจากได้มีการคืนนะคะ มีการคืนอุปกรณ์นะคะ แล้วก็ทรัพย์สินที่ได้นำมาใช้ในแผนกหรือว่าเป็นของส่วนตน ได้คืนไปหมดเรียบร้อยแล้วนะคะ มันก็ทำการประเมินนะคะ แต่ละส่วนไปนั่นเอง มันก็จะมีหัวข้อที่ค่อนข้างเยอะนะคะ เดี๋ยวอาจารย์ปรับลดลงให้ ตามหัวข้อที่น่าจะให้บุคลากรเขาเข้าใจ แล้วก็สามารถที่จะประเมินนะคะ ณ ปัจจุบัน ณ งานที่เขาทำอยู่นี่ มีระดับความเสี่ยงที่ระดับไหน เราจะได้ศึกษากับผู้ที่ไปรับข้อมูลได้อย่างถูกต้องนั่นเองนะคะ มันอาจจะฟังงง ๆ นิดหน่อยนะครับ แต่ถ้าเราเข้าใจกับตัวตารางและประเมินออกมาได้นะคะ มีความมั่นคงปลอดภัยทางกายภาพและสิ่งแวด Data Center เนื้อช้างมีการนะคะ หรือว่าปิดห้องปิดมีการระบบล็อกคีย์การ์ดนะคะ ลืมรหัสไปงานหรือมันเองน่าจะมีหลายขั้นตอนที่จะช่วยป้องกันเกี่ยวกับข้อมูลเกี่ยวกับสารสนเทศตรงนี้ได้นะคะ คงปลอดภัยทางกายภาพนะคะ ความมั่นคงปลอดภัยของอุปกรณ์ การจัดวาง การป้องกัน กรณีอุปกรณ์ที่ต้องการสภาพอากาศที่มีความเย็นเพื่อไม่ให้อุปกรณ์นี่เกิดความฮีทหรือว่าตัวระบบนี่ไม่สามารถทำงานได้ อาจจะมีระบบ Condition หรือว่าไม่วางอุปกรณ์ให้ติดกับตัวผนัง เพื่อให้มีการถ่ายเทของอากาศจะเป็นรูปแบบของการจัดวางอุปกรณ์สามารถที่จะเช็กเกี่ยวกับความเสี่ยงที่จะเกิดขึ้นได้นะคะ ว่ามีการจัดวางหรือว่าการอุปกรณ์ในรูปแบบไหน การบริหารด้านการจัดการการสื่อสาร ดำเนิน เครือข่าย การมีการแบ่งความรับผิดชอบนะคะ ให้แก่บุคลากร สำหรับทุกคนในแผนก หน้าที่แล้วก็ตามศักยภาพนะคะ หลัก ๆ ก็จะประมาณนี้ การป้องกันโปรแกรมที่ไม่ประสงค์ดีนะคะ พวกโปรแกรม Antivirus ตัว Firewall ต่าง ๆ การสำรองข้อมูลในการจัดเก็บไว้ไหมนะคะ มาตรฐานทางเครือข่าย มีการปิดช่องโหว่ต่างหรือเปล่านะคะ สามารถที่จะเก็บข้อมูลกับผู้ปฏิบัติงานจริงในหน่วยงานได้นั้นเอง การทำธุรกรรมต่างมีอะไรบ้าง การควบคุมการเข้าถึงนะคะ การลงทะเบียนผู้ใช้งานนะคะ การใช้งานรหัสผ่าน กรณีอุปกรณ์ที่ไม่มีคนดูแลนี่ เขามีวิธีการป้องกันและควบคุมดูแลอย่างไร การแบ่งแยกเครือข่ายนะคะ การระบุ แล้วก็พิสูจน์ตัวตนของผู้ใช้งาน ดูแล้วเป็นอย่างไร พอจะเข้าใจไหม เราต้องไปเก็บข้อมูลจริง ๆ ตามกลุ่มที่อาจารย์จะแบ่งให้นะคะ แล้วก็จะมีฟอร์มที่เป็นรูปแบบลักษณะแบบนี้นะคะ แต่ว่าตามหัวข้อ แต่ว่าข้อมูลเหล่านี้นี่เราจะไปเติมเอง เพราะว่าแต่ละแผนกข้อมูลก็จะไม่เหมือนกันนะ ใช่ค่ะ เดี๋ยวอาจารย์จะให้ไปศูนย์คอมฯ นี่ล่ะค่ะ แต่ว่าแบ่งแผนก มันจะได้แบ่งกันไปทำจะได้คนเยอะ ๆ พอดีถ้าจะให้ออกไปข้างนอกกลัวมันยาก เพราะมันต้องทำหนังสือ ขอความอนุเคราะห์เข้าไป ต้องไปดูเขาอีกเขาว่างไหม แล้วก็เขาจะให้เราเข้าช่วงไหน มีเจ้าหน้าที่ดูแลหรือเปล่าอะไรอย่างนี้ ก็เลยเลือกเป็นศูนย์คอมฯ เพราะว่ามันจะได้สะดวกนักศึกษาน่าจะคุ้นชินอยู่แล้วนะคะ เดี๋ยวจะติดต่อว่าจะแบ่งเป็นแผนกไหน แล้วก็ไปดูแล เนื่องจากเรามีหมู่อื่นด้วย ต้องมีพี่ล่ามไปด้วยในกรณีที่เป็นกลุ่มที่เป็นต้องใช้ล่ามในการสื่อสารนั่นเองนะคะ ก็จะเป็นคร่าว ๆ ประมาณนี้ จริง ๆ มันจะค่อนข้างละเอียดเยอะอยู่นะคะ แต่อาจารย์จะตัดลงเอาเฉพาะที่เข้าใจกันง่ายดีกว่านะคะ ในหัวข้อไหน คราวนี้เมื่อเราได้ความเสี่ยงแล้ว เดี๋ยวเราก็จะมาสรุปกันว่าความเสี่ยงที่เราไปเก็บมานี่ ตัวไหนที่มันมีความเสี่ยงสูงมากสุดอะไรนี่ มันต้องไล่ลำดับนะคะ เพื่อจะได้จัดการนะคะ ในความเสี่ยงที่มันจะวิกฤติสุด ทำลำดับที่มีความเสียงสูงที่สุดก็ได้มาเรื่อย ๆ นั่นเองนะคะ โอเค เดี๋ยวอาจารย์ขอดูรายชื่อสักแป๊บ เดี๋ยวจะแบ่งออกเป็น 4 กลุ่มนะคะ ปี 2 กลุ่มหนึ่งนะคะ แล้วก็ปี 3 จะมีทั้งหมด 3 กลุ่ม โดยห้อง  2 นะคะ ก็จะเป็นกลุ่มหนึ่ง แล้วก็จะแบ่งออกเป็น 2 กลุ่มนะคะ จะให้อาจารย์สุ่มแบ่งให้ไหมห้อง 1 โอเค อาจารย์จะสุ่มตามรายชื่อแล้วกันนะ เรามีทั้งหมด 10 เท่าไรนี่ 12 นะ ก็จะเลือกออกมา 6 คนแรกก่อนนะคะ เป็นกลุ่ม 1 แล้วก็ที่เหลือก็จะเป็นกลุ่ม 2 นะคะ เริ่มเลยนะ กันตวิชญ์กลุ่ม 1 กันตวิชญ์ เห็นไหมมีชื่ออยู่นะ อันนี้กลุ่ม 1 นะ กรพจน์ นราวิชญ์ เดี๋ยวพี่ล่ามพักก่อนก็ได้นะครับ ตอนนี้กำลังแบ่งกลุ่ม ไม่ได้ออกหรือ เมื่อกี้ไม่ได้ลบหรือ เมื่อกี้มันลบไปแล้วไม่ใช่หรือ โอเค ๆ ยังไม่ได้ลบหรือ ลบอย่างไรนี่ ถ้ารวมหมดกลัวแบบจะดูแลยาก รวมจะมีหลายกลุ่ม ไม่เป็นไร เมื่อกี้ใครนะ ณัฐนันท์ เดี๋ยวค่อยลบ เอาใหม่ ศศิกานต์ อนุภาพ ครบแล้ว ที่เหลือก็เป็นกลุ่ม 1 นะคะ มงคล เดี๋ยวนะ เดี๋ยวนะ ศักดา อัษฎาวุธอยากอยู่กลุ่มกับห้อง 1 ไหมคะ หรือว่า... ไม่ เลือกได้ มันมี 3 กลุ่ม 1 2 อัษฎาวุธ โอเค ก็จะประมาณนี้นะ อัษฎาวุธแล้วก็ศักดา 2 เราก็จะมีทั้งหมด 4 กลุ่มนะคะ จะมีฟอร์มไปให้แบบนี้เลย หน้าตาแบบนี้แหละ ฟอร์มมีให้แต่ต้องไปคุยกับพี่เขาให้รู้เรื่อง พูดให้ถูก ประเมินเป็นอย่างไร ความเสี่ยงเป็นอย่างไร อธิบายให้เขาเข้าใจ อ่านตัวอย่างแล้วก็อ่านเนื้อหาไปก่อน เราจะได้เข้าใจความหมาย ความเสี่ยงเป็นอย่างไร ความเสี่ยงที่จะเกิดขึ้น วิกฤต ไม่วิกฤตนะคะ สงสัยไม่นะ กลัวไปตอนทำจริงแล้วจะ... เขาจะงง แต่ว่าพี่เขาน่าจะเคยมีรุ่นก่อน ๆ แต่มันก็นานมากแล้ว พวกประเมินความเสี่ยง แต่พี่เขาก็น่าจะเข้าใจอยู่ แต่เราต้องสื่อสารให้เข้าใจนะ เดี๋ยวกลุ่ม 1 นะอาจารย์พูดอีกรอบหนึ่ง กรพจน์ นราวิชญ์ อานุภาพ ณัฐนันท์ ศศิกาญจน์ กันตวิชญ์ ตามนี้ ที่เหลือก็จะเป็นกลุ่ม 2 แล้วก็ห้อง 2 ก็จะเป็นกลุ่ม 3 แล้วก็ปี 2 ก็จะเป็นกลุ่ม 4 โอเคนะ ใครมีคำถามไหม กรอกฟอร์มแล้วก็เดี๋ยวเราจะทำรายงานส่งด้วย ฟอร์มจะมีให้อยู่แล้ว เราต้องมานำเสนอให้เพื่อนด้วย ว่าเราไปรับข้อมูลมาแล้ว ของฝ่ายนี้ การเก็บข้อมูลแบบนี้ อาจจะเป็นลักษณะของเก็บข้อมูลการดูแลอุปกรณ์เป็นอย่างไร เขามีการจัดการอย่างไร ความเสี่ยงของเยอะไหมนะคะ พี่เขามีกระบวนการดูแลอย่างไร สื่อสารให้เพื่อน ๆ ในห้อง ที่เหลือ 3 กลุ่ม เข้าใจไม่เข้าใจนะ เดี๋ยวอาจารย์มีให้ที่นัดไว้ให้ด้วยไปแล้วคุยกับเขาให้เขารู้เรื่อง แล้วได้ข้อมูลกลับมาแค่นั้นแหละ ทำให้ทุกอย่างนะคะ แต่ว่าเดี๋ยวจะฝากทางล่ามไปด้วยสำหรับห้องว่าจะเหลือปี 2 แล้วก็ปี 3 นะ ว่าน้องไปวันไหนก็ฝากไปสื่อสารช่วยให้หน่อย กลัวเด็ก ๆ จะคุยกันไม่รู้เรื่องนะคะ กับพวกพี่ ๆ เขา ก็เดี๋ยวมีให้ไปเก็บข้อมูลแล้วมานำเสนอ เดี๋ยวอาจารย์จะดูอีก ถ้าเวลาเหลืออาจจะมีให้ตัวมาตรฐานมาเพิ่มหรือว่าอย่างไร เดี๋ยวจะแจ้งอีกรอบหนึ่งนะคะ โอเค เดี๋ยวขอเช็กชื่อก่อน แล้วก็งานเห็นแล้วนะ รายชื่อที่อาจารย์ประกาศไป สำหรับใครที่ยังมีงานที่ค้างอยู่ บางคนอาจจะคิดว่าทำแล้วแต่ยังไม่ได้ทำ หรือว่าใครมั่นใจว่าทำครบ ไปเช็กกับอาจารย์ได้หลักฐานมี ไปดูกันว่าอันไหนส่งไปแล้วหรือยังไม่ส่ง เช็กได้ ใช่ค่ะ คนที่ค้างก็จะมีแค่รหัสที่ขึ้น ใครที่ไม่มี ก็คือครบหมดแล้ว หรือบางคนอาจจะจำรหัสตัวเองไม่ได้หรือเปล่า ไปเช็กดูนะ เดี๋ยวขอเช็กชื่อก่อนนะคะ ศิริรัตน์ ศิริรัตน์มาอยู่ไหม อดิศร นพกิจ อาจารย์จำไม่ได้ พงศ์พร จันทกานต์ มานะ กัญญาณัฐ โอเค ธัญลักษณ์ วริษา โอเค โอเคได้ค่ะ ภราดา อ๋อ อันนี้ออกไปแล้ว เทพอักษร ภากร ธนภัทร มาอยู่นะโอเค โอเค ทวีรัตน์ จักรพันธ์ สิตาพร กรพจน์ นราวิชญ์ อนุภาพ ทศทิศ พัทธนันท์ ศศิกานต์ มัณฑนา ปรเมศ กันตวิชญ์ จุฑารัตน์  ศักดาโอเค ดำรงค์ศักดิ์ สรจักร มงคล อัษฎาวุธ นิชนันท์ สุมาวดี โอเค คาบนี้น่าจะเข้าใจกันนะคะ น่าจะไม่ยากเท่าไรนะคะ เพราะมีตัวอย่างให้ มีจัดตารางให้ มีคำอธิบายให้ มีเอกสารให้ อ่านอีกรอบหนึ่งจะได้เข้าใจนะ ก่อนที่เราจะงานอาจารย์ตีให้เลยแค่แบ่งแปลว่าจะได้หัวข้อไหน เราก็แบ่งไปตามกลุ่มของเรา โอเค ถ้าของเราก็จะมีพวกพี่ ๆ เขาไปดูแลด้วยอีกรอบหนึ่งนะคะ โอเคใครมีคำถามเพิ่มเติมอะไรไหมคะ ไม่มีนะ อย่าลืมส่งงานสำหรับใครที่ยังค้างอยู่ โอเค ถ้าไม่มีคำถามก็เดี๋ยวอาจารย์ขอนัดดูก่อนว่าไปเช็กก่อนว่าศูนย์คอมฯ ได้ประมาณช่วงไหน ถ้าไม่ตรงกับที่เรียนสัปดาห์หน้า เดี๋ยวอาจารย์จะแจ้งอีกรอบหนึ่งหรือว่าทางศูนย์เขาสะดวกวันที่เราเรียนค่อยมาประกาศอีกรอบหนึ่งนะคะ ว่าจะให้ไปเก็บข้อมูลแทนหรือว่าเราจะไปเรียนต่อ ถ้าไม่มีคำถามอะไรก็เดี๋ยวเจอกันสัปดาห์หน้าหรือถัดไป แล้วแต่กรณีของหน่วยงานเขาให้เข้าไปดูวันไหนนะคะ ถ้าไม่มีคำถามก็สวัสดีค่ะ สวัสดีล่ามทางไกลด้วยนะคะ