(อาจารย์ธิดารัตน์) ค่ะ สำหรับวันนี้นะคะ เราก็จะมาเรียนต่อกับสัปดาห์ที่แล้วนะคะ สัปดาห์นี้จะเป็นตัวมาตรฐานสากลอีกตัวหนึ่งนะคะ ที่หน่วยงานองค์กรนิยมนำมาใช้ ไม่ว่าจะเป็นหน่วยงานที่มีขนาดไหนก็ได้ สามารถที่จะนำมาใช้ แล้วก็ปรับประยุกต์กับหน่วยงานของเรา ตัวนั้นก็คือมาตรฐาน ISO นะคะ เราก็อาจจะเคยเห็นนะคะ  ตามหน่วยงานต่าง ๆ ที่อยู่ในชุมชน หรือว่าในบริเวณ ที่เราอาจจะขับรถผ่าน หรือว่าเห็นหน่วยงานต่าง ๆ นี่ มันจะมีชื่อมาตรฐาน ISO ตัวนี้นี่แปะอยู่ เพื่อจะได้รองรับแล้วก็พี่เห็นว่าองค์กรของเขานี่ได้มีการรับรองจากตัวมาตรฐานสากลนะคะ อย่างที่เห็นง่าย ๆ ก็จะเป็นพวก ISO เกี่ยวกับสิ่งแวดล้อมนะคะ พวกหน่วยงานองค์กรนะคะ จะค่อนข้างถูกนะคะ ให้ปฏิบัติตามตัวมาตรฐาน ก็คือรักษาสิ่งแวดล้อมด้วยนั่นเองนะคะ คราวนี้นะคะ เข้ามาเกี่ยวกับตัวมาตรฐานสากลที่เราจะมาพูดถึงในครั้งนี้นะคะ ก็จะเป็นมาตรฐานสากลที่เกี่ยวกับตัว เทคโนโลยีสารสนเทศ ก่อนที่จะไปเรียนรู้เกี่ยวกับตัวมาตรฐานสากลที่เกี่ยวกับตัวเทคโนโลยีสารสนเทศนี่ เดี๋ยวเราก็จะมาดูนะคะ ว่าตัวมาตรฐานสากล ISO หรือว่าหน่วยงานองค์กรที่กำกับ แล้วก็ดูแลมาตรฐานตัวนี้ เขามีจุดกำเนิดรั้วจุดเริ่มนะคะ ของตัวมาตรฐานนี่ มาจากไหนนั่นเอง เริ่มต้นมานะคะ จากตัวเทคโนโลยีสารสนเทศนะคะ ก็ถูกนำมาใช้รวมถึงตัวระบบสารสนเทศนี่ ก็ได้ถูกยกแล้วก็นำมาใช้กับธุรกิจหรือว่าหน่วยงานเกือบทุกหน่วยงานนะคะ ไม่ว่าจะเป็นภาครัฐหรือเอกชนนะคะ ดังนั้น ตัวเทคโนโลยีสารสนเทศ ก็จะเข้ามาตอบโจทย์ เราก็เข้ามาซับพอร์ต ไม่ว่าจะเป็นธุรกิจในรูปแบบไหนนะคะ จะมีความซับซ้อนนะคะ  หรือว่ามีการปฏิบัติงานที่แตกต่างกัน ก็สามารถที่จะรองรับได้ดังนั้นนะคะ การบริหารนะคะ ทางด้านเทคโนโลยีสารสนเทศของเรานี่ ปัจจุบันก็ต้องปฏิบัติตามนะคะ ความต้องการอยู่ 2 ข้อนะคะ ก็คือผลงานแน่นอน ก็คือองค์กรนะคะ ของเรานี่ต้องการผลลัพธ์ขององค์กร ในรูปแบบไหนนะคะ การให้บริการ หรือการให้ความพึงพอใจหรือเปล่า นะคะ และก็ต้องสอดคล้องนะคะ กับกลุ่มนะคะ หรือเป้าหมายขององค์กร เป้าประสงค์ขององค์กร นั่นเอง ที่เราตั้งไว้นะคะ จากรูปเราก็จะเห็นว่าการบริหารทางด้านเทคโนโลยีสารสนเทศของเรานี่ ก็ต้องอาจมีความสอดคล้อง ไม่ว่าจะเป็นผลลัพธ์หรือว่าความต้องการก็ต้องสอดคล้องกันไปนะคะ จากรูปนะคะ ฝั่งซ้ายมือตรงนี้นะคะ ก็จะพูดถึงความเป็นไปเป็นมานะคะ เกี่ยวกับการนำตัวเทคโนโลยีสารสนเทศนี่ เข้ามาใช้นะคะ ในช่วงกี่ ค.ศ. หรือว่าตัวคริสต์ศักราชของเรานั่นเองนะคะ ก็จะเห็นว่าตัวเองมีสารสนเทศ อย่างก็จะเป็นเครื่องมือนะคะ ที่เข้ามาช่วยสนับสนุนของตัวองค์กรของเรานั่นเอง ถัดมา มาดูว่าตัวมาตรฐาน ISO ของเรานี่คืออะไร ก็ตัวISO นะคะ ก็จะเป็นตัวองค์กรดูแลจัดการเกี่ยวกับมาตรฐานนะคะ โดยเริ่มต้นนะคะ เกิดที่กรุงเจนิวา ของสวิตเซอร์แลนด์นะคะ เริ่มก่อตั้งที่วันที่ 14 ตุลาคม พุทธศักราช 1977 ปัจจุบันนี่ ก็จะมีจำนวนสมาชิกที่เพิ่มขึ้นนะคะ เป็น 143 ประเทศ เริ่มต้นแรก ที่ได้ก่อตั้งขึ้นมา ก็จะมี25 ประเทศที่เข้ามา ก่อตั้งนั่นเองนะคะ โดยได้เริ่มประชุมกันนะคะ ที่กรุงลอนดอน แล้วก็มีมติเกี่ยวกับการบริหารจัดการนะคะ ว่าทำอย่างไรนะคะ ให้ตัวผู้ที่นำสารสนเทศ หรือผู้ที่นำเกี่ยวกับมาตรฐานตรงนี้นี่ นำไปใช้ แล้วมีมาตรฐานเดียวกัน และสถาบันชาติก็ได้ยอมรับนะคะ เกี่ยวกับองค์กรสากลนี้นะคะ ว่าเป็นองค์กรที่ชำนาญพิเศษ ที่ไม่ใช่หน่วยงานของภาครัฐนั่นเองนะคะ อันนี้ก็ถือว่าเป็นที่ไปที่มา จุดเริ่มต้นของตัวมาตรฐาน ISO ของเราISO นะคะ เราได้คำนี้มาจากอะไรนะคะ เริ่มต้นนะคะ ISO ก็เป็นคำย่อนะคะ ของ iOS ซึ่งเป็นภาษากรีก แปลว่า ความสับสน เมื่อสื่อความหมายออกมาแล้วดูไม่เหมาะสมนะคะ ก็เลยได้ทำการปรับเปลี่ยนนะคะ จากตัว IOS นี่ มาเป็นตัว ISO ซึ่งภาษากรีก ก็ต้องกันว่า IOS ซึ่งจะแปลว่าความเท่าเทียม  ตรงกับวัตถุประสงค์ของสากลของเรานี่ ว่าต้องการให้องค์กร องค์กรที่เอามาตรฐานตัวนี้นี่ มีความเท่าเทียมกัน หรือว่าทัดเทียมกันของทุก ๆ องค์กรนั่นเอง วัตถุประสงค์นะคะ ของตัว ISO ของเรานะคะ ก็เป็นการที่จะส่งเสริมนะคะ มาตรฐาน ระหว่างประเทศ กิจกรรมนะคะ ที่เกี่ยวข้องนะคะ การพัฒนาอุตสาหกรรม เศรษฐกิจ แล้วก็ขจัดความโต้แย้ง ป้องกันการกีดกันการค้าระหว่างประเทศนะคะ แล้วก็เพิ่มความร่วมมือระหว่างประเทศ สำหรับในด้านวิทยาศาสตร์ แล้วก็เทคโนโลยีนะคะ ก็จะเป็นองค์กรนะคะ ไหนที่ได้รับตัวมาตรฐาน ISO ก็แสดงให้เห็นว่าสินค้าหรือบริการขององค์กรนั้นน่ะเป็นไปตามมาตรฐาน ก็แสดงให้เห็นว่าองค์กรนี้เป็นที่ยอมรับในระดับสากลนั่นเองนะคะ มันก็จะสะท้อนให้เห็นว่ามาตรฐานขององค์กรอยู่ในระดับไหนนะคะ ผู้บริโภคหรือว่าผู้มาใช้บริการ ก็จะเกิดความเชื่อมั่นที่ดี ตัวภารกิจของตัวองค์กร ISO ของเรานะคะ ก็องค์กรระหว่างประเทศนะคะ ก็จะประกอบด้วย สมาชิกจากต่างประเทศนะคะ จำนวน 143 ประเทศ โดยภารกิจหลัก ๆ นะคะ ก็จะมีการสนับสนุน พัฒนานะคะ เพื่อตอบสนองการค้า การแลกเปลี่ยนนะคะ แล้วก็การให้บริการนะคะ ระหว่างประเทศ หรือว่านานาชาติทั่วโลกนั่นเอง พัฒนาความร่วมมือนะคะ ด้านวิทยาศาสตร์ เศรษฐกิจ แล้วก็ภูมิปัญญา ทั้งในแล้วก็ต่างประเทศนั่นเอง อันนี้ก็จะเป็นภารกิจหลัก ๆ นะคะ ของตัวองค์กร คราวนี้เราจะมาดูสมาชิกนะคะ ของตัวองค์กร ISO เรานี่ ว่าประกอบด้วยสมาชิกอย่างไร ประเทศนะคะ ต่างชาติ หรือว่าประเทศไหนที่สนใจนะคะ ก็จะสามารถเข้าร่วม แล้วก็จะมีสถานะของคุณสมบัติของสมาชิกอะไรบ้างนั่นเอง เดี๋ยวเราจะมาดูนะคะ เริ่มต้นนะคะ ที่ 1 นะคะ Member Body ก็จะเป็นสภามาตรฐานแห่งชาตินะคะ ก็จะเป็นตัวแทนมาตรฐานของประเทศนั้น มีสิทธินะคะ ในการออกเสียง ไม่ว่าจะเป็นเรื่องวิชาการ การเลือกตั้ง คณะมนตรีนะคะ แล้วก็สามารถเข้าร่วมประชุม พูดง่าย ๆ  สามารถที่จะเข้าร่วมกิจกรรมต่าง ๆ การประชุมต่าง ๆ สามารถมีสิทธิ์ออกเสียงเพื่อเสนอความคิดเห็นนะคะ ในทุก ๆ ด้านนั่นเอง ถัดมานะคะ สมาชิกในรูปแบบที่ 2 ก็จะเป็น Correspondent Member นะคะ อันนี้ก็จะเป็นสมาชิกในรูปแบบของประเทศที่กำลังพัฒนา ซึ่งยังไม่มีองค์กร ที่เป็นมาตรฐานของตนเองนะคะ ก็ต้องการที่จะมาใช้ตัวมาตรฐานตัวนี้นะคะ สมาชิกเหล่านี้นะคะ ไม่สามารถเข้าร่วมในเรื่องวิชาการได้ นะคะ แต่ก็จะได้รับข่าวสารความเคลื่อนไหว ของตัวองค์กร ISO ของเรา แล้วก็สามารถเข้าร่วมรับฟังนะคะ ในฐานะของผู้สังเกตการณ์ พูดง่าย ๆ ก็คือสามารถรับรู้ข่าวสารความเคลื่อนไหวความเป็นไปนะคะ กรณีที่มีการปรับเปลี่ยนหรือว่าแก้มาตรฐาน หรือว่ามีการผู้บริหารต่าง ๆ นะคะ ร่วมประชุมได้ทุกการประชุม สมาชิกในรูปแบบที่ 3 นะคะ ก็จะเป็น สมาชิกในรูปแบบนี้ ก็จะเป็นสมาชิกที่ประเทศที่มีเศรษฐกิจของข้างเล็ก ก็คือสามารถติดต่อกับตัว ISO ได้นั่นเอง เราก็จะเห็นการไล่ลำดับของคุณสมบัติของสมาชิกทั้ง 3 ประเภทนั่นเองนะคะ มี Member  body Correspondent Member นะคะ Subscribe Membership มี 3 อัน ถัดมาคราวนี้เรารู้คร่าว ๆ เกี่ยวกับตัว ISO องค์กรของเรานะคะ มีมาตรฐาน มีวัตถุประสงค์ มีความเป็นมาอย่างไรแล้ว คราวนี้เนื่องจากเรานี่ เรียนแล้วก็ศึกษาเกี่ยวกับเทคโนโลยีสารสนเทศตัวไหน ที่มันจะเหมาะสมแล้วก็เชื่อมโยง กับตัวเทคโนโลยีสารสนเทศ วันนี้ก็จะมาพูดถึงตัวมาตรฐาน 27001 ซึ่งเป็นมาตรฐานด้านความปลอดภัยข้อมูล อันนี้ก็จะสอดคล้องนะคะ เกี่ยวกับตัวสาขาวิชาที่เราศึกษา ตัวมาตรฐานตัวนี้นะคะ ก็มีวัตถุประสงค์ที่จะทำให้ธุรกิจของเรานี่ดำเนินไปอย่างต่อเนื่อง ไม่หยุดชะงักนะคะ โดยจะมีข้อกำหนดต่าง ๆ ที่เราได้อาศัยของตัวมาตรฐาน ISO ของเรานี่ ที่รวมกับตัว IEC  มามาตรฐาน ISO 27001 ซึ่งจะช่วยให้ธุรกิจของเรานี่ ดำเนินไปได้อย่างราบรื่น แล้วก็ต่อเนื่องนะึะ ช่วยป้องกันนะคะ ระบบข้อมูลสารสนเทศนะคะ จากความเสี่ยงต่าง ๆ ไม่ว่าจะเป็นภัยธรรมชาติหรือว่าบุคคลนะคะ หรือว่าสิ่งแวดล้อมอื่น ๆ นะคะ รวมถึงประเภทของ Electro technologies ตัวมาตรฐานตัวนี้ก็จะสนับสนุนนะคะ กับสมาชิกที่ได้มาเข้าร่วม ก็คือสามารถที่จะนำตัวแนวทางวิธีการปฏิบัตินี่ เข้ามาใช้ในองค์กรเพื่อให้หน่วยงานหรือองค์กรของเรานี่ ดำเนินงานตัวธุรกิจ อย่างไม่มีปัญหานะคะ ตามวิธีการตรวจมาตรฐานสากลที่ได้ตอนนี้เราก็จะมาดูที่มาของตัวมาตรฐานสากล ISO 27001 นะคะ หัวใจสำคัญของตัวบริหารความปลอดภัยสารสนเทศนะคะ ก็จะมีทั้งหมด 3 ปัจจัยหลัก อันที่ 1 นะคะ อันนี้ก็ถือว่าเป็นส่วนสำคัญเลย ก็จะเป็นด้านข้อมูลส่วนตัว ข้อมูลสำคัญขององค์กร ซึ่งเป็นข้อมูลที่สำคัญที่สุดในองค์กรของเรา จะมีวิธีการรักษาความปลอดภัยอย่างไร ไม่ให้ข้อมูลของเรานี่ รั่วไหล หรือถูกขโมยนะคะ ลักลอบแล้วก็นำไปใช้ ไม่ว่าจะคู่แข่งหรือว่าจากองค์กรอื่น ๆ นะคะ จนทำให้เกิดผลกระทบกับองค์กรของเรา ทำให้การดำเนินงานของธุรกิจอาจจะหยุดชะงัก หรือว่าส่งผลกระทบต่อปัญหาอื่น ๆ นะคะ ที่อยู่ในตัวโครงการที่องค์กรที่เราดูแล ซึ่งบางทีอาจจะส่งผลกระทบถึงขั้นวิกฤต ทำให้กระบวนการการทำงานขององค์กรหยุดชะงักได้ ตัวข้อมูลน่ะ ค่อนข้างจะสำคัญนะคะ เป็นข้อมูลขององค์กร หรือว่าจะเป็นข้อมูลส่วนตัวรวมถึงข้อมูลลูกค้าหรือบุคคลนะคะ อาจจะเป็น Partner Vendor ต่าง ๆ ที่มีการประสานงานเกี่ยวกับการทำงานหรือว่าธุรกิจนะคะ ซึ่งข้อมูลเหล่านี้ย่อมสำคัญและมีส่วนสำคัญในการดำเนินธุรกิจขององค์กรนะคะ ตัวนี้ก็จะเป็นรูปแบบของการรักษาความปลอดภัย ไม่ให้ข้อมูลนี่ เกิดปัญหา หรือรั่วไหลนั่นเอง ถัดมาหัวใจสำคัที่ 2 นะคะ ก็จะเป็นการบริหารความเสี่ยงนะคะ สิ่งแวดล้อมนะคะ จาก 6 นะคะ  จากปัจจัยอื่น ๆ ที่อยู่รอบด้านนะคะ การบริหารความเสี่ยงนะคะ เหล่านี้นี่ค่อนข้างสำคัญ นะคะ สิ่งที่คาดการณ์ว่าจะเกิดผลกระทบกับองค์กร กับกระบวนการทำงานโครงการของธุรกิจนะคะ จะต้องมีวิธีการรับมืออย่างไร ยกตัวอย่าง กรณีถ้าเราต้องการติดตั้งไซต์สำรอง เพื่อป้องกันนะคะ ให้ตัวระบบสารสนเทศของเรานี่ สามารถที่จะดำเนินงาน ได้กรณีอาจจะมีภัยพิบัติขึ้นมานะคะ ไฟดับนะคะ น้ำท่วม ฝนตก หรือจะเป็นแผ่นดินไหว เราสามารถที่จะมีศูนย์สำรองข้อมูลนะคะ แล้วก็สามารถที่จะกู้คืนระบบภายหลังภัยพิบัติ หรือว่า Disaster Recovery Center นะคะ ก็คือสามารถที่จะกู้ระบบขึ้นมาใช้งานได้ เพื่อไม่ทำให้ธุรกิจหรือว่าการดำเนินงานของเรานี่ เกิดสะดุด ซึ่งค่อนข้างมีความสำคัญนะคะ กับธุรกิจ ยกตัวอย่างที่เรามองภาพใกล้ ๆ เลยนะคะ ธนาคาร ถ้าเป็นในรูปแบบขององค์กรนะคะ หรือบริษัทที่เป็นธนาคารใหญ่ ๆ นะคะ ที่เป็น Head หรือว่าเป็นบริษัทใหญ่ ๆ ถ้าเรากำลังทำธุรกรรมออนไลน์นะคะ หรือกำลังฝากถอนเงินต่าง ๆ นะคะ แล้วตัวระบบเกิดมีปัญหานะคะ เราจะทำอย่างไร จะมีวิธีรับมือแก้ปัญหาตรงนี้อย่างไร ให้การถอนเงินของเรา หรือว่าการฝากเงินเข้าไปในตัวระบบนี่ สามารถดำเนินการแล้วไม่ทำให้ข้อมูลของเรานี่ สมมุติกำลังจะกดถอนเงิน แล้วเกิดระบบส่วนควบคุมใหญ่นะคะ ของธนาคารเกิดมีปัญหาขึ้นมา ตัวระบบมันตัดยอดว่าเราได้ทำการถอนเงินไปแล้วนะคะ อันนี้ก็จะทำให้ตัวระบบนี่มีปัญหา ส่งผลต่อผู้ใช้บริการ ก็คือตัวเรานั่นเองนะคะ ดังนั้น ระบบการให้บริการทางสารสนเทศตรงนี้ ก็คือต้องดำเนินงานนะคะ อย่างต่อเนื่องแล้วก็ไม่มีปัญหา หรือการบริการด้านสุขภาพ อันนี้ก็ค่อนข้างสำคัญ มองไปใกล้ ๆ ตัวมากที่สุด กรณีที่เราเข้าไปรับบริการของโรงพยาบาล คุณหมอกำลังอยู่ในห้องผ่าตัดนะคะ หรือว่ากำลังผ่าตัดในรูปแบบออนไลน์นะคะ ก็คือปรึกษาธนาคารกับแพทย์ทางไกลอยู่ แล้วเกิดระบบสื่อสารหรือระบบสารสนเทศอุปกรณ์เครื่องมืออิเล็กทรอนิกส์เกิดมีปัญหา ก็จะส่งผลกระทบต่อผลเสีย คือผู้มารับบริการ หรือคนไข้นั่นเอง ดังนั้นนี่ เราจะทำอย่างไร ให้ตัวระบบสารสนเทศ หรือว่าพวกระบบให้บริการเราเนี่ สามารถดำเนินงานได้อย่างต่อเนื่องเพราะว่าข้อมูลหรือว่ากระบวนการทำงานนี่ต่าง ๆ นี่ค่อนข้างมีสำคัญนะคะ ต่อการดำเนินธุรกิจของเรานะคะ พูดง่าย ๆ ทำอย่างไรให้ธุรกิจของเรานี่ดำเนินการต่อเนื่อง การสะดุด หรือว่า Business continuity อันนี้จะเป็นความสำคัญที่ 2 ก็คือการบริหารความเสี่ยงที่จะเกิดขึ้นนั่นเอง ถัดมานะคะ จจะเป็นระบบเอป้องกันความปลอดภัยของข้อมูลตัวนี้นะคะ อาจจะมองว่าเราจะบริหาร เพื่อให้ข้อมูลของเรานี่ปลอดภัยแล้วอย่างไร ต้องเริ่มต้นจากไหนจากผู้บริหารเลยหรือเปล่านะคะ มาจากการดูแลนะคะ มีนโยบายมีแผนกลยุทธ์นะคะ การตรวจวัด การบริหาร การควบคุม และก็การปฏิบัติการ ดังนั้น สิ่งสำคัญที่สุด ในการบริหารที่จะสำคัญมาก ก็คือต้องมีตั้งแต่แผนกลยุทธ์ ขององค์กรนะคะ ว่าเราจะป้องกันหรือว่ากลยุทธ์เกี่ยวกับระบบสารสนเทศอย่างไร เราก็มาบริหารจัดการนะคะ บริหารคน บริหารโครงการนะคะ มีกระบวนการ วิธีการควบคุมอย่างไรนะคะ ให้ปลอดภัย ในด้านของตัวข้อมูลของในองค์กรของเรานั่นเอง อันนี้ก็จะเห็นถึงความสำคัญนะคะ ที่เราจะนำตัวมาตรฐาน ISO 27001 มาใช้ เมื่อนำมาใช้แล้ว จะทำให้กระบวนการต่าง ๆ นะคะ เกี่ยวกับตัวระบบสารสนเทศของเรานี่ ไม่มีปัญหา แล้วก็ไม่ส่งผลกระทบกับอุปกรณ์ของเรา ถัดมาเราจะมาดูปัจจัย นะคะ ความปลอดภัยของตัวระบบสารสนเทศ อันนี้ก็จะเป็นปัจจัยหลัก ๆ เลยนะคะ ที่ทำให้ตัวระบบสารสนเทศของเรานี่มีความปลอดภัย เริ่มจากความลับของข้อมูลความถูกต้องสมบูรณ์ของข้อมูล ความพร้อมใช้งาน การยืนยันตัวของผู้ใช้ การควบคุมสิทธิ์ในการใช้งาน และการไม่สามารถปฏิเสธการกระทำนะคะ เริ่มจากความลับของข้อมูลนะคะ ข้อมูลของเรานะคะ อาจจะเป็นข้อมูลสำคัญขององค์กร หรือว่าข้อมูลสำคัญของส่วนบุคคล ก็จะมีวิธีการเก็บข้อมูลเหล่านี้อย่างไรนะคะ ความถูกต้องสมบูรณ์ของข้อมูล ข้อมูลที่ถูกบรรจุเข้ามาในระบบ มีการเช็กข้อมูลนะคะ ว่าบรรจุมาครบไหมนะคะ สมบูรณ์หรือเปล่า ถัดมาก็คือพร้อมใช้งาน ก็คือสามารถให้บริการนะคะ ได้ทันทีหรือเปล่า การยืนยันตัวตนของผู้ใช้ เป็นการเช็กว่าคุณสามารถมีสิทธิ์ในการใช้งานตัวระบบนี้ จริงหรือไม่ การควบคุมสิทธิในการใช้งานนะคะ ก็คือคุณมีสิทธิ์เข้าสู่ระบบในระดับไหน และสุดท้ายการไม่สามารถปฏิเสธการกระทำนะคะ เพราะเราจะสามารถสืบนะคะ แหล่งที่มาในการใช้งานตัวระบบสารสนเทศ รวมถึงการทำงานที่เกี่ยวข้องกับระบบสารสนเทศได้ ดังนั้น ผู้ใช้งานกระทำสิ่งใดไว้ ก็สามารถที่จะสืบ แล้วก็บ่งชี้ตัวบุคคลได้นั่นเอง เป็นอีกอันนี้ก็จะเป็นปัจจัยนะคะ เกี่ยวกับความปลอดภัยของระบบสารสนเทศ ทำอะไรจะมาดูแนวทางนะคะ  กรณีที่องค์กรของเรานี่ต้องการการรักษาความปลอดภัยในตัวระบบสารสนเทศนะคะ จึงได้เลือกใช้ตัวมาตรฐาน ISO 27001 มาใช้ในองค์กรของเรา ซึ่งการปฏิบัติตามตัวมาตรฐานตัวนี้นี่นะคะ ก็จะมีทั้งหมด 7 ขั้นตอน ซึ่งเราก็จะมาดูตั้งแต่ขั้นตอนที่ 1 เลยนะคะ ว่าแต่ละขั้นตอนนี่มีอะไรบ้างนะคะ มีรายละเอียดอย่างไร ขั้นตอนที่ 1 เริ่มจัดตั้งคณะทำงานเกี่ยวกับตัว IT Security Steering นะคะ ก็คือเฉพาะเรื่องเกี่ยวกับตัวมาตรฐาน ISO ของเรานั่นเอง จัดตั้งคณะทำงานนะคะ เพื่อจะได้ไปศึกษาแล้วก็ทำความเข้าใจกับตัวมาตรฐานที่เราจะนำมาใช้ มาปรับประยุกต์ใช้กับองค์กรนะคะ จะได้รู้ว่าเราจะเอาแนวทางไหนนี่ ที่จะนำมาใช้กับองค์กรของเราได้ เพราะว่าแต่ละองค์กรนี่ ก็จะมีขนาดที่แตกต่างกัน มีกระบวนการทำงานที่แตกต่างกัน มีการให้บริการที่แตกต่างกัน อาจจะเป็นผลิตภัณฑ์หรือว่าการให้บริการ มันก็มีความซับซ้อนของตัวโครงการไม่เหมือนกัน รวมถึงทรัพยากร กลยุทธ์ แผนนโยบาย การบริหาร ดังนั้นนี่ เราก็จะได้นำแนวทางนี่ มาใช้กับองค์กรได้อย่างถูกต้องนั่นเอง ก็คือไปทำความเข้าใจหน่วยงานนะคะ  ที่มาดูแลเกี่ยวกับตัวมาตรฐานสากล ตัวนี้โดยเฉพาะ ถัดมาเมื่อเราไปทำความเข้าใจ แล้วก็มีคณะกรรมการที่มาดูแลเรียบร้อยแล้ว ขั้นตอนที่ 2 นะคะ ก็จะมีการฝึกอบรมเพื่อให้เข้าใจถึงกระบวนการทำงานนะคะ ของตัวมาตรฐานสากล ISO 27001 ซึ่งมีทั้งหมด 11 Domains ระยะเวลานะคะ ก็จะใช้ประมาณ 3-5 วันนะคะ ในการที่เข้าร่วมฝึกอบรมแนวทางที่จะนำตัวมาตรฐานสากลตัวนี้มาประยุกต์ใช้นะคะ โดยนะคะ มาตรฐานหลักสูตรที่เข้ามาในอบรมนะคะ ก็จะมีมาตรฐาน ISO ISMS นะคะ ซึ่งจะส่งผลทำให้แนวทางนี่ เข้าใจนะคะ เกี่ยวกับการตรวจสอบ การนำมาตรฐาน มาใช้อย่างถูกต้องเหมาะสมจนกระทั่งองค์กรของเรานี่ได้ใบรับรองนะคะ จากผู้บริหารนะคะ เพื่อเป็นการการันตี หรือว่าการเตรียมตัวเพื่อจะสอบนะคะ เพื่อขอใบรับรองขั้นต่อไปนั่นเองนะคะ ขั้นตอนที่ 2 ขั้นตอนที่ 3 นะคะ จะเป็นการประเมินระบบนะคะ ในตัวภาพรวมของเรา นะคะ โดยใช้  Gap Analysis นะคะ มาดูนะคะ ว่าองค์กรหน่วยงานของเรานี่ อยู่ในรูปแบบไหน ซึ่งเราจะนำตัวเอกสารนะคะ ที่มาใส่รายละเอียดเกี่ยวกับประโยคคำถาม เพื่อจะได้ไปเจาะลึกนะคะ ว่าผู้ที่มีเกี่ยวข้องในองค์กรของเรานี่ สามารถให้รายละเอียด เพื่อจะชี้วัดนะคะ เกี่ยวกับองค์กรได้ รวมถึงนะคะ ให้ผู้ที่เกี่ยวข้องในองค์กรนะคะ มาทำ ทำ Workshop ในการตอบคำถามแล้วก็ให้ความเห็นนะคะ ทำรายงานกับตัวกับ Gap Analysis  เพื่อจะให้ผู้บริหารระดับสูง ทราบถึงสถานการณ์ปัจจุบันขององค์กร และข้อแตกต่างที่เปรียบเทียบกับมาตรฐาน ที่เราจะนำมาใช้นั่นเอง ดังนั้น ก็จะแสดงให้เห็นว่าระบบในองค์กรยังไม่ได้ปฏิบัติตามข้อกำหนดในมาตรฐานข้อไหนบ้าง และมีข้อแตกต่างสิ่งที่ควรจะเป็นหรือสิ่งที่ควรจะต้องทำจากมาตรฐานอะไรบ้าง พูดง่าย ๆ ก็คือเกิดช่องว่างอะไรนี่ที่อยู่ในองค์กรที่เราพลาดไป ที่เรายังไม่ได้ปฏิบัติตาม ก็จะมา List ตามแบบสอบถามนั่นเอง เพื่อข้อไหนที่เรายังไม่ได้เป็นจะได้เอามา แก้ไขแล้วก็ปรับปรุง ตามตัวมาตรฐานที่ได้วางไว้ ไปเปรียบเทียบกับตัวมาตรฐาน ที่จัดมา ขั้นตอนที่ 4 หลังจากเราทำการตอบแบบสอบถามประเมินเกี่ยวกับองค์กรไปเรียบร้อยแล้ว อันนี้ก็จะมีการสรุปจะทำเป็นรูปแบบรายงานเราก็นำไปเสนอต่อผู้บริหาร เพื่อให้ผู้บริหารนี่เข้าใจแล้วว่าปัญหาที่เกิดภายในองค์กรของเรานี่มันมีจุดไหน ที่ตกหล่น หรือว่าบกพร่องไป เราก็จะทำให้ผู้บริหารเข้าใจ แล้วก็เขาจะได้ตัดสินใจในการสนับสนุนนะคะ ในการปฏิบัติว่าจะทำอย่างไรให้องค์กรของเรานี่ สามารถปฏิบัติตามตัวมาตรฐานสากลตัวนี้ได้ แก้ไขข้อบกพร่องอย่างไรนะคะ จากองค์กรที่ไม่ได้ปฏิบัติตามมาตรฐานนะคะ ให้ปฏิบัติตามนะคะ ตามมาตรฐานที่ได้กำหนดไว้ ตามข้อกำหนดนะคะ ที่กล่าวนะคะ อย่างเป็นรูปธรรมหรือว่า Corrective Action นั่นเอง พูดง่าย ๆ ข้อที่ 3 นี่ ไปดูละ ปัญหาหรือข้อบกพร่องต่าง ๆ ออกในองค์กร เมื่อเปรียบเทียบกับตัวมาตรฐานสากล ขั้นตอนที่ 4 ก็คือเอานำไปเสนอกับผู้บริหาร เพื่อให้ผู้บริหารมองเห็นปัญหาตรงนี้ แล้วก็จะได้มาแก้ปัญหาข้อบกพร่องนั่นเอง ถัดมาขั้นตอนที่ 5 นะคะ คราวนี้เราก็จะมาพิจารณาตัวรูปแบบรายงานที่เรานำไปเสนอนั่นเองนะคะ ว่าเราจะมีกระบวนการบริหารความเสี่ยงอย่างไร ไม่ให้เกิดปัญหาเหล่านี้ โดยเอาเป็น 3 มุมมองนะคะ เริ่มจากมุมมองด้านบุคลากร มุมมองด้านกระบวนการ และก็มุมมองด้านเทคโนโลยี เพื่อจะได้ประเมินความเสี่ยง จัดแผนปฏิบัติการลดความเสี่ยง นะคะ เช่น นะคะ การฝึกอบรมนะคะ การทำระบบนะคะ เพื่อจัดการดูแลนะคะ เกี่ยวกับตัวระบบสารสนเทศ การปฏิบัติตามข้อกำหนดของมาตรฐานและปฏิบัติตาม พรบ. ที่กระทำผิดเกี่ยวกับตัวระบบคอมพิวเตอร์ พูดง่าย ๆ พูดง่าย ๆ นะคะ ก็คือขั้นตอนที่ 5 คือเราจะเอาตัวรายงานที่ไปเสนอกับผู้บริหารนี่ มาดูสถานที่จะบริหารความเสี่ยง เพื่อให้เกิดความเสี่ยงกับองค์กรของเรา มันมีแผนปฏิบัติการลดความเสี่ยงอย่างไร เราไปฝึกอบรมดีไหม หรือว่าทำตัวระบบให้มีรูปแบบการจัดการที่ดีขึ้นตามตัวมาตรฐาน แล้วก็ทุก ๆ อย่างนี่ที่เราปฏิบัติเกี่ยวกับการบริหารความเสี่ยงก็ต้องภายใต้ พรบ. คอมพิวเตอร์ ภายใต้ของกฎหมายด้วยเช่นเดียวกัน ถัดมา ขั้นตอนที่ 6 ก็จะเป็นการปฏิบัติตามแผนที่เราได้วางไว้ ในขั้นตอนที่ 5 เราจะไปฝึกอบรมไหม หรือว่ามีวิธีการป้องกันอะไรบ้าง เกี่ยวกับความเสี่ยง อาจจะยกตัวอย่างเช่นนะคะ การติดตั้ง Patch ระบบนี่มีความพร้อมใช้งาน มีเป็นเวอร์ชันที่ล่าสุดเป็นเวอร์ชันที่ไม่มีปัญหาในการทำงาน ในการประมวลผลนะคะ จัดทำนโยบาย Policy มาตรฐาน แล้วก็แนวทางต่าง ๆ ที่จำเป็นกับองค์กร ที่เกี่ยวกับตัวระบบสารสนเทศ ไปฝึกอบรมนะคะ ให้กับบุคลากรในองค์กร จัดทำนะคะ ตัว AUP นะคะ เพื่อให้เกิดการยอมรับ เกี่ยวกับการใช้นโยบายต่าง ๆ  การซื้ออุปกรณ์ฮาร์ดแวร์ ซอฟต์แวร์นะคะ ที่จำเป็นเกี่ยวกับตัวระบบสารสนเทศของเรา ไม่ว่าจะเป็นพวก  Firewall, Anti-Virus นะคะ อุปกรณ์ต่าง ๆ ที่เข้ามา Support แล้วก็ป้องกันความเสี่ยงที่จะเกิดขึ้นไปในตัวระบบ จะเป็นระบบสำรองไฟนะคะ ระบบป้องกันต่าง ๆ ที่เข้ามาซับพอร์ตการทำงานตรงนี้ ขั้นตอนที่ 6 ก็จะเป็นแผนที่ ปฏิบัติตามขั้นตอนที่ 5 ที่เราวางไว้นั่นเอง ถัดมาเมื่อเราถึงขั้นตอนที่ 7 คือเราได้ปฏิบัติตามขั้นตอนที่ 6 ที่เราได้วางเอาไว้แล้ว คราวนี้เราจะมาดูว่าสิ่งที่เราปฏิบัติ หรือว่าลงมือทำไปแล้วนี่ มันมีผลอย่างไรบ้าง ก็คือเราจะมาทบทวนแล้วก็เฝ้าระวัง เปรียบเทียบนะคะ ก่อนและหลังปฏิบัติตามมาตรฐาน  Before and After ว่ามันมีผลลัพธ์ดีขึ้นไหม ผลลัพธ์ในเชิงบวกที่เป็นรูปประธรรมที่ชัดเจน เรามองเห็นภาพว่าระบบทำงานได้ดีขึ้น มีประสิทธิภาพการทำงานที่สูงขึ้น ไม่มีผลกระทบนะคะ ดังนั้น ควรทำการเฝ้าระวังนะคะ ด้วยแนวคิดนะคะ ของตัวผู้มาตรวจหรือว่า Continuous Audit นั่นเอง เพื่อจะได้แน่ใจว่าระบบที่เราได้ลงมือทำนี่ สามารถทำงานได้ปกติโดยไม่เกิดผลกระทบ ไม่เกิดช่องโหว่ หรือใหม่ ๆ ที่จะเกิดในองค์กรของเรา ตลอดจนสามารถปรับแก้ปัญหาได้อย่างทันท่วงที พูดง่าย ๆ ปฏิบัติตามแล้ว ตามตัวมาตรฐาน ตามตัวแก้ปัญหาในสิ่งที่เราวางไว้ ทบทวนดูสินะคะ สิ่งที่เราทำก่อนหน้ากับหลังที่นำตัวรูปแบบต่าง ๆ มาใช้นี่มันเกิดผลดีอย่างไรนั่นเองนะคะ เมื่อกี้ก็จะเป็นทั้งหมด 7 ขั้นตอนที่เป็นแนวทางในการนำตัวมาตรฐาน ISO 27001 มาใช้ในองค์กร เราก็จะเห็นว่าเป็นขั้นตอนปกติ นะคะ ใน... เหมือนเราจะต้องการจะนำตัวมาตรฐาน หรือว่าต้องการนำนโยบายสัก 1  มาใช้ในองค์กร มันจะมีขั้นตอนอะไร ซึ่งจะเป็นขั้นตอนโดยทั่วไป ที่ต้องนำมาปรับใช้ รวมถึงมาปรับใช้กับด้านเทคโนโลยีสารสนเทศของเรานี่ ถัดมาคราวนี้เราจะมาดูพวก Gap Analysis ที่เราไปตอบแบบสอบถามมาว่ามันมีสาเหตุตรงไหนบ้างที่มันจะทำให้เกิดข้อบกพร่องหรือว่าช่องโหว่ที่เกิดในตัวระบบสารสนเทศ จนเป็นสาเหตุปัญหาด้านความปลอดภัยของระบบสารสนเทศนะคะ อันนี้ก็จะเป็นตารางตัวอย่าง ที่เกิดขึ้นยกตัวอย่างปัญหา ตัวเทคโนโลยีของเรานี่ ยังไม่มีความปลอดภัย ก็คือก็เรายังไม่ได้ออกแบบ หรือว่ามีมาตรการมารองรับด้านความปลอดภัย หรือบุคลากรนี่ ก็ยังไม่มีความรู้ถัดมาสมมติมีช่องโหว่ หรือยังไม่ได้ลง Patch แก้ไข อาจจะมาจากยังไม่มีการแจกแจงงานให้กับบุคลากร ให้มารับผิดชอบนะคะ ดูแลความปลอดภัยในด้านนี้ หรือบุคลากรน่ะมีแล้ว ถูก adsignมาเรียบร้อยแล้วแต่ไม่มีความใส่ใจตัวอย่างถัดมาไม่มีมาตรฐาน อาจจะยังไม่เคยตรวจประเมิน ติดตาม ความมั่นคงปลอดภัย เนื่องมาจากอาจจะเป็นบุคลากรนี่ ไม่ได้มีการสื่อสารที่ดีนะคะ เกี่ยวกับเรื่องความปลอดภัย แล้วก็ตัวอย่างสุดท้ายก็จะเป็นการปรับปรุงปัญหา ความเสี่ยงด้านความปลอดภัย ให้ทันต่อเหตุการณ์กระบวนการที่เรายังไม่มี ก็คือยังไม่มีแผนรองรับภัยพิบัติ ไม่มีกระบวนการรองรับเกี่ยวกับความทันสมัย ความปลอดภัยในตัวระบบ และบุคลากรของเรา ก็อาจจะมีความผิดพลาดในการทำงาน อันนี้ก็จะเป็นสาเหตุเบื้องต้น นะคะ ที่จะส่งผลกระทบเกี่ยวกับกระบวนการทำงานด้านเทคโนโลยีสารสนเทศ ส่งผลกระทบกับตัวองค์กรนะคะ ซึ่งเป็นสาเหตุหลัก ๆ ที่จะเจอกับหน่วยงานแล้วก็องค์กรส่วนมากมันอีก ดังนั้น เราเมื่อวิเคราะห์สาเหตุก็สามารถที่จะเข้าไปสู่กระบวนการ 7 ขั้นตอนตรงนั้น ว่ากระบวนการ มีวิธีการแก้ปัญหาในการประยุกต์ นำตัวมาตรฐานตัว ISO 27001 มาใช้ จะทำให้เกิดช่องโหว่ หรือว่าข้อบกพร่องต่าง ๆ ได้ถูกการแก้ไขแล้วก็ปรับปรุงนะคะ เมื่อเราได้ทราบเห็นถึงความสำคัญแล้วก็ประโยชน์ที่จะเกิดขึ้นกับองค์กร ดังนั้น การนำตัวมาตรฐานมาใช้ตรงนี้ก็จะเป็นสิ่งสำคัญนะคะ เพื่อจะให้ผู้ใช้บริการ คู่แข่ง หรือว่าบุคคลภายนอกนี่ได้มองเห็นว่าตัวมาตรฐานนี่เป็นสิ่งสำคัญ แล้วก็องค์กรของเราที่ให้บริการผลิตภัณฑ์ หรือว่าพวกผลิตภัณฑ์ออกมานี่ ได้มีการรองรับตัวมาตรฐานสากลตัวนี้  ผู้ใช้บริการ ลูกค้าก็จะได้เกิดความมั่นใจ ที่จะเข้ามาใช้งาน มาใช้บริการ มาซื้อผลิตภัณฑ์นั่นเอง เราก็จะได้มองภาพลักษณ์ขององค์กรที่ดีขึ้น ดังนั้น นักศึกษาก็จะเข้าใจมากยิ่งขึ้นว่าการที่เรานำตัวมาตรฐานสากลมาใช้นี่มันก่อให้เกิดประโยชน์จริง ๆ และก็ก่อประโยชน์กับตัวระบบสารสนเทศ แล้วก็จะมองภาพได้ง่ายยิ่งขึ้น เนื่องจากเราเรียนเกี่ยวยกับระบบสารสนเทศมาแล้วนะคะ มันก็จะเข้าใจถึงกระบวนการการทำงานต่าง ๆ รวมถึงการที่จะยกหรือว่าหยิบเอาตัวมาตรฐานตัวนี้ มาใช้มันก็จะได้มองภาพได้ง่ายยิ่งขึ้นนั่นเอง อันนี้ก็จะเป็นเนื้อหาเกี่ยวกับตัวมาตรฐาน ISO นะคะ แล้วก็เลือกมาตรฐาน ISO 27001 มาใช้นะคะ เราก็จะทราบถึงตัวประโยชน์ที่จะเกิดขึ้นนั่นเองนะคะ อันนี้จะเป็นเนื้อหาทั้งหมดของสัปดาห์นี้นะคะ ถัดมา ก็จะเป็นคำถามท้ายบทที่จะให้นักศึกษามาทบทวน เราก็เข้าใจถึงมาตรฐาน ISO 27001 มากขึ้น เริ่มแรกเข้าที่ 1 ของเรานะคะ ก็จะพูดถึงนะคะ ในกรณี ที่เราจะทำให้ตัวระบบสารสนเทศของเราเกิดความปลอดภัย มีกี่ข้อ และแต่ละข้อมีรายละเอียดอะไรบ้างนั่นเอง ถัดมาข้อที่ 2 นะคะ ก็จะเป็นแนวทางในการนำมาตรฐาน ISO เช่นเดียวกัน แต่เป็นมาตรฐาน ISO 27001 มาใช้ในองค์กร อย่างที่อาจารย์กล่าวไปแล้วทั้งหมด  7 ขั้นตอนที่พูดมานี่ เขามีรายละเอียดอะไรบ้าง 1 2 3 4 5 6 7 นำมาใช้ แล้วก็สามารถประยุกต์ และเกิดประโยชน์อย่างไรนันเองนะคะ อันนี้จะเป็นตัวมาตรฐาน ISO 27001 ที่จะให้นักศึกษาทบทวนเพื่อให้เกิดความเข้าใจนะคะ อันนี้ก็จะเป็นภาพรวม มองภาพรวม ๆ ขององค์กรก่อนนะคะ ก่อนถัดไปของสัปดาห์หน้า แล้วก็สัปดาห์หน้าอาจจะเป็นการพูดถึงเกี่ยวกับตัวมาตรฐานสากล ISO 27001 ซึ่งจะมีกระบวนการการทำงานอย่างไร เดี๋ยวอาจารย์จะมายกตัวอย่าง วิธีการวิเคราะห์ วิธีการคำนวณนะคะ ว่าต้องดูตรงไหนนะคะ เราจะได้ทราบว่าองค์กรของเรามีปัญหาตรงนี้ เราจะมีวิธีการแก้ปัญหา การมั่นคงความปลอดภัยของข้อมูลอย่างไร ต้องมีข้อคำถามตรงไหนที่จะไปใช้นะคะ เพื่อจะได้วิเคราะห์ได้ว่าองค์กรของเรานี่ เกิดข้อบกพร่องนะคะ หรือว่าช่องโหว่ตรงไหนนั่นเอง เหมือนเดิมนะคะ สำหรับท้ายบทของเรานะคะ ทำเสร็จแล้ว ตอบรายละเอียดเสร็จแล้ว อาจารย์ก็จะเปิดไว้ใน Classroom นะคะ นักศึกษางานตามตัว Classroom นะคะ ใครมีคำถามอะไรเพิ่มเติมไหมคะ  สัปดาห์นี้น่าจะเข้าใจง่ายนะ มันมองภาพง่ายมาก กับรายวิชาที่เราได้ยินแล้วก็ได้สัมผัส แล้วก็จะเป็นภาษาไทย ส่วนมากศัพท์มันจะไม่ค่อยเยอะเท่าไร โอเคนะคะ ถ้าไม่มีคำถามอะไร อย่างนั้นก็ขอขอบคุณล่ามออนไลน์แล้วกันนะคะ ค่ะ นักศึกษาก็ทำงาน แล้วก็เอามาส่งใน Classroom ใครมีปัญหาระหว่างที่ทำการบ้าน หรือว่าท้ายบท ก็ยกมือถามได้เลยนะคะ ขอบคุณล่าม Online นะคะ เรียบร้อยแล้ว  โอเค สัปดาห์นี้ก็เข้าใจมากขึ้น