(อาจารย์ธิดารัตน์) สวัสดีค่ะ สวัสดีค่ะ สวัสดี สวัสดีล่ามทางไกลด้วยนะคะ วันนี้ตัวรายวิชาตัวมาตรฐานสากลนะคะ ก็จะมาพูดถึงตัวมาตรฐานความมั่นคงปลอดภัยที่ต่อเนื่องมาจากตัวสัปดาห์ที่แล้วนะคะ เกี่ยวกับตัวมาตรฐาน ISO ของเรานะคะ วันนี้นะคะ ก็จะมาพูดถึงรายละเอียดที่ลงลึกมากยิ่งขึ้นนะคะ เกี่ยวกับตัวมาตรฐาน ISO 27001 นะคะ ว่าจะเป็นความมั่นคงปลอดภัยของสารสนเทศ ซึ่งตัวมาตรฐานตัวนี้นะคะ ก็จะเป็นตัวมาตรฐานที่เรานะคะ ทุก ๆ คนสามารถที่จะนำไปประยุกต์ใช้เกี่ยวกับตัวงานนะคะ ไม่ว่าจะเป็นองค์กร หน่วยงาน ภาครัฐต่าง ๆ นะคะ เดี๋ยวเราจะมาทราบถึงรายละเอียดวิธีการป้องกันนะคะ เกี่ยวกับความมั่นคงปลอดภัยของสารสนเทศของเรานี่ จะเริ่มปฏิบัติอย่างไร มีวิธีการคิดแบบไหน มีกระบวนการ มีวิธีการวางแผน แล้วก็ทบทวนกระบวนการอย่างไร เดี๋ยวเริ่มต้นนะคะ ก็จะมาดูนะคะ เกี่ยวกับความหมายตรงตามตัวเลยนะคะ ความมั่นคงปลอดภัยของสารสนเทศ ก็พูดง่าย ๆ คือเราจะรักษาให้ข้อมูลสารสนเทศทุกประเภทไม่ว่าจะเป็นบุคลากร อุปกรณ์นะคะ เครื่องมือต่าง ๆ ที่ประกอบรวมเป็นสารสนเทศที่อยู่ในองค์กรหรือหน่วยงานของเราอย่างไรนะคะ โดยนะคะ ประกอบของความมั่นคงปลอดภัยของสารสนเทศก็จะ แบ่งออกเป็น 3 ประเภท หลัก ๆ ก็เริ่มจากความลับนะคะ อันที่ 2 ก็คือความถูกต้องสมบูรณ์ อันที่ 3 ก็คือความพร้อมใช้งานนั่นเองนะคะ ถ้าเรามีองค์ประกอบที่ครบนะคะ ทั้ง 3 ส่วนนี้ ตัวสารสนเทศของเราก็จะมีความมั่นคงและก็ความปลอดภัยนะคะ เริ่มมาดูที่ความลับของเรานะคะ พูดง่าย ๆ ทรัพย์สินต่าง ๆ ที่อยู่ภายในองค์กรของเรานะคะ เราจะมีวิธีป้องกันอย่างไร ให้ตัวทรัพย์สินเหล่านั้นนี่ ไม่ถูกผู้อื่น หรือว่าผู้ที่ไม่มีสิทธิ์เข้ามาใช้นะคะ ตัวข้อมูลเหล่านี้นั่นเอง ยกตัวอย่างง่าย ๆ ที่มองภาพนะคะ กรณีที่เราจะเข้ามาใช้งาน ไม่ว่าจะเป็นระบบคอมพิวเตอร์หรือว่าระบบเครือข่ายต่าง ๆ นี่ กระบวนการต่าง ๆ ในการใช้งานก็จะมีการใส่ Username Password คืออะไร ว่าผู้ใช้งานมีสิทธิ์ที่จะเข้ามาใช้งานข้อมูลสารสนเทศเหล่านั้นหรือไม่ดังนั้น ตัว Password ก็จะเป็นอีกกระบวนการหนึ่ง ที่สามารถที่จะมารองรับนะคะ ให้ตัวข้อมูลของเรานี่ ให้เฉพาะผู้ที่มีสิทธิ์ที่จะเข้ามาใช้งาน สำหรับสิทธิ์ที่จะเข้ามาใช้งานก็จะมีหลายระดับนะคะ แล้วแต่องค์กรแล้วแต่หน่วยงานว่าบุคคลนะคะ แผนกไหนหรือเป็นผู้บริหารหรือเปล่านะคะ หรือว่าระดับไหนสามารถที่จะเข้าถึงข้อมูลได้กี่ส่วน สามารถเข้าไปใช้งาน ดูข้อมูลได้หรือไม่ หรือสามารถที่จะแก้ไขข้อมูลเหล่านั้นได้นะคะ อันนี้ก็จะเป็นรูปแบบว่า เราพร้อมที่จะปกป้องข้อมูล ก็คือรักษาข้อมูลของเราให้เป็นความลับนั่นเอง ถัดมา ความถูกต้องสมบูรณ์นะคะ ก็คือการที่เราให้ระบบสารสนเทศของเรานี่ พร้อมใช้งาน ข้อมูลที่ถูกต้องสำหรับนะคะ อุปสรรคที่ทำให้ตัวระบบสารสนเทศของเรานี่ ไม่สามารถที่จะพร้อมใช้งานนะคะ ก็จะมีกรณีที่มีผู้ไม่ประสงค์ดีมาดึงข้อมูลหรือแฮ็กระบบของสารสนเทศของเรา ไม่ว่าจะเป็นระบบเว็บไซต์ ระบบฐานข้อมูลต่าง ๆ นะคะ อันนี้ยกตัวอย่างของตัวเว็บไซต์ Yahoo ก็มีผู้มาดึงข้อมูล หรือว่าแฮ็กระบบนั่นเองนะคะ อันนี้จะเป็นลักษณะของอุปสรรคที่เกิดขึ้น ดังนั้นนะคะ เราจะทำอย่างไรนะคะ ให้ตัวระบบสารสนเทศของเรานี่ พร้อมใช้งานหรือแม้กระทั่งตัวสภาพแวดล้อมนะคะ สถานที่ต่าง ๆ ที่เราติดตั้งตัวระบบสารสนเทศอาจจะเกิดภัยพิบัติหรือว่าภัยธรรมชาติที่จะส่งผลกระทบนะคะ ตัวระบบสารสนเทศ มองภาพง่าย ๆ อย่างห้องแล็บของเรานะคะ ก็จะมีอุปกรณ์คอมพิวเตอร์นะคะ รวมถึงระบบให้ความเย็นหรือว่าตัว Air Condition ตัว Air Condition ของเราเกิดมีปัญหาแล้วเกิดน้ำรั่วซึมแล้วส่งผลกระทบกว่ากับตัวระบบคอมพิวเตอร์ของเราอันนี้ก็ถือว่าเป็นอุปสรรคจะส่งผลให้ตัวระบบคอมพิวเตอร์ของเราเกิดปัญหาขึ้นมานะคะ ดังนั้น ก็จะมีวิธีการป้องกันอย่างไรไม่ให้เกิดระบบมีปัญหา อาจจะมีการตรวจสอบนะคะ การซ่อมบำรุงเกี่ยวกับตัว air conditioner หรือว่าวิธีป้องกัน กรณีถ้าคอมพิวเตอร์ของเราเสียหรือว่ามีการสำรองข้อมูลไว้นะคะ วิธีนี้ก็จะเป็นวิธีการป้องกันอุปสรรคที่จะทำให้ตัวระบบคอมพิวเตอร์ของเรานี่ไม่สามารถที่จะใช้งานได้นั่นเองนะคะ หรือระบบคอมพิวเตอร์ของเราทำงานยังด้อยประสิทธิภาพ ก็กรณีที่อย่างที่บอกไป มีการแฮกข้อมูลต่าง ๆ นะคะ อาจจะมีติดตั้ง Firewall หรือว่าตัวสแกนไวรัส เพื่อป้องกันให้การเข้าถึงข้อมูลของผู้ไม่ประสงค์ดีนี่ ไม่สามารถที่จะเข้ามาใช้งานนะคะ หรือว่าไม่สามารถที่จะมาทำลายข้อมูลของตัวสารสนเทศที่อยู่ในองค์กรของเราได้นั่นเองนะคะ  ถัดมานะคะ ก็จะเป็นตัวภัยคุกคามหรือว่าช่องโหว่ที่อาจจะเกิดขึ้นอย่างที่กล่าวไปก่อนข้างต้นนะคะ ไม่ว่าจะเป็นลักษณะของตัวภัยธรรมชาตินะคะ การคุกคามจากคน ก็คือพวกแฮกข้อมูลืแล้วก็ดักฟังข้อมูล ดึงข้อมูลจากหน่วยงานของเราโดยไม่ได้รับอนุญาตหรือนะคะ การเข้าถึงข้อมูลการใช้ซอฟต์แวร์ละเมิดลิขสิทธิ์ อันนี้ก็คือเป็นภัยคุกคามจากมนุษย์นั่นเองนะคะ ที่จะทำให้ตัวระบบสารสนเทศของเราเกิดปัญหาขึ้น รวมถึงนะคะ ซอฟต์แวร์ไม่ประสงค์ดีหรืออุบัติเหตุอย่างที่บอกไปอาจจะเป็นอุบัติเหตุที่เกิดจากสิ่งแวดล้อม จากบุคคลนะคะ หรือจากอุปกรณ์อิเล็กทรอนิกส์ต่าง ๆ ที่อาจจะไม่มีการบำรุงรักษานะคะ หรือว่ามีการเช็กระบบนะคะ มันก็ส่งผลกระทบตัว ต่อตัวระบบสารสนเทศของเราได้ อาจจะทำให้ตัวระบบ Server ของเราเกิดหยุดการทำงานนะคะ ไม่สามารถที่จะทำงานต่อได้ ดังนั้น พวกนี้ก็ถือว่าเป็นตัวภัยคุกคามแล้วก็ช่องโหว่ที่อาจจะเกิดขึ้นกับตัวระบบสารสนเทศของเราได้ถัดมาเดี๋ยวเราจะมาดูตัวมาตรฐาน ISO 27001 นะคะ เกี่ยวกับตัวระบบการจัดการความมั่นคงปลอดภัยของระบบสารสนเทศ ว่าเราจะมีกระบวนการวิธีการป้องกันอย่างไรนะคะ ให้ตัวอุปสรรคช่องโหว่ภัยคุกคามที่เราได้กล่าวมาเบื้องต้นนี่ ไม่เกิดขึ้นกับตัวระบบสารสนเทศภายในองค์กร ภายในหน่วยงานของเราได้นั่นเองนะคะ มาตรฐาน ISO 27001 นี่ก็ถือว่าเป็นมาตรฐานที่เข้ามารองรับแล้วก็มีกระบวนการนะคะ เพื่อทำอย่างไรให้ตัวระบบสารสนเทศในองค์กรของเรานี่เกิดความปลอดภัยใช้งานได้ ไม่หยุดชะงัก หรือว่าสามารถทำงานหรือว่าดำเนินงานได้ตลอดนั่นเองนะคะ ตัวมาตรฐาน ISO27001 นะคะ ก็จะเป็นมาตรฐานที่จัดการกับความมั่นคงปลอดภัยตามการวางแผนนะคะ วงจรคุณภาพหรือว่า  PDCA ซึ่งตัวนี้น่าจะเป็นตัวแผนที่นักศึกษาน่าจะได้เรียนมาบ้างแล้วนะคะ ว่า PDCA ของเรานี่ก็จะมีกระบวนการอะไรบ้าง ไม่ว่าจะเป็นการวางแผนการลงมือทำเช็กแล้วก็ทบทวนราคาแล้วก็อันสุดท้ายก็จะเป็นแอปก็จะดูว่ามีการผลิตคู่มือว่าทำอย่างไรที่จะให้แผนปฏิบัติของเรานี่ ดำเนินการไปได้อย่างดี หรือว่าดียิ่งขึ้นไปอีก เผื่อจะได้ลดปัญหาหรือว่าตัวความเสี่ยงที่จะส่งผลกระทบกับสารสนเทศภายในองค์กรของเรานั่นเองนะคะ แล้วจะขอสรุปเป็นข้อ ๆ แล้วกันนะคะ เดี๋ยวตัวเอกสารก็นักศึกษาสามารถที่จะไปส่วนนะคะ เพราะว่าจะค่อนข้างมีเนื้อหารายละเอียดค่อนข้างเยอะนะ  เราจะมาดูว่านะคะ ข้อดีก่อนทำไมเราต้องเอาตัวมาตรฐาน ISO 27001 นี่ มาใช้ เริ่มแรกตามชื่อเลยนะคะ ตัวมาตรฐานนะคะ ที่เป็นสากลก็จะเป็นที่ยอมรับระดับสากลแน่นอนนะคะ ว่าหน่วยงาน องค์กรตัวนี้ ผ่านการรับรองจากตัวมาตรฐานนะคะ ผู้ใช้บริการนะคะ หรือว่าผลิตภัณฑ์ที่เขาผลิตขึ้นมานี่ ก็เป็นเครื่องการันตีได้ว่ามั่นใจ ใช้งานแล้วไม่เกิดปัญหาเป็นอุปกรณ์ที่ดีนะคะ มีการันตีรองรับหรือว่าไปใช้บริการก็ไม่มีผลกระทบ หรือผลเสียที่จะส่งผลกระทบกับหน่วยงานของเรานั่นเองนะคะ มีการตรวจประเมินเพื่อการรองรับ มีหน่วยงานต่าง ๆ ที่มารองรับอีกครั้งหนึ่ง ก็จะทำให้เกิดความมั่นใจยิ่งขึ้นนะคะ ทำให้เรามีองค์ความรู้นะคะ เกี่ยวกับพวกกระบวนการต่าง ๆ นะคะ วิธีการนะคะ ในการป้องกันแล้วก็จัดการกับความมั่นคงปลอดภัยของสารสนเทศของเรา  แล้วก็ตัวนี้ก็จะเป็นตัวมาตรฐานที่ไม่ได้ผูกมัดกับเทคโนโลยีหรือว่าขั้นตอนเฉพาะ ดังนั้น ก็สามารถที่จะนำไปประยุกต์ใช้กับทุกหน่วยงาน แล้วก็ทุกองค์กรได้ ก็คือสามารถนำไปใช้เลย ว่าองค์ประกอบ หรือว่าส่วนไหนที่มันเหมาะสมกับหน่วยงาน แล้วก็สามารถที่จะนำไปใช้ ไม่ว่าจะเป็นองค์กรที่มีขนาดเล็ก ขนาดกลางหรือว่าขนาดใหญ่ ก็สามารถที่จะตัวมาตรฐานตัวนี้น่ะ ไปใช้ ตัวมาตรฐาน ISO 27001 นี่ ก็จะมีกระบวนการเราก็วิธีการปฏิบัติตามขั้นตอน ดังนั้น ผู้ที่นำไปปฏิบัติก็สามารถที่จะปฏิบัติตามนะคะ แล้วก็ผลลัพธ์ที่จะตามมา แน่นอน ก็จะเกิดผลดีที่ส่งกับกระบวนการ หรือว่าการทำงานของฝ่ายเทคโนโลยีสารสนเทศที่ดีขึ้น แล้วก็ไม่ประสบปัญหานั่นเองนะคะ คราวนี้นะคะ เดี๋ยวเราจะมาพูดถึงตัว ISO 27000 นะคะ ว่าเขามีเพื่อน ๆ ของเขาหรือว่ามีตัวมาตรฐานตัวอื่นบ้างอย่างไรบ้าง เริ่มจากตัว ISO 27000 นะคะ ตัวนี้ก็จะเป็นลักษณะกำหนดพื้นฐานแนวคิดแล้วก็อธิบายความหมาย องค์ประกอบต่าง ๆ ที่เกี่ยวข้อง พูดง่าย ๆ คือจะเป็นตัวเริ่มต้นของตัวมาตรฐาน ISO 27001 นั่นเองนะคะ ถัดมา ISO 27001 ก็จะเป็นพวกข้อกำหนดมาตรฐาน รวมถึงวิธีการปฏิบัตินั่นแหละนะคะ ที่เราสามารถที่จะหยิบยกแล้วก็นำมาใช้ได้เลย เกี่ยวกับการรักษาความมั่นคงปลอดภัย ถัดมา ISO 27002 นะคะ ก็จะเป็นคำแนะนำนะคะ ในการปฏิบัติเบื้องต้นนะคะ ว่ามีกระบวนการอย่างไรนะคะ เราก็สามารถปรับปรุงความมั่นคงปลอดภัยได้อย่างไรนั่นเองนะคะ มันก็จะเป็น พูดง่าย ๆ ก็จะเป็นต่อเนื่องนะคะ ของตัวมาตรฐานต่าง ๆ ภายใต้ของตระกูล ISO 27000 นั่นเองนะคะ ถัดมา ตัวที่ 3 ของเรานะคะ ก็จะเป็น ISO 27003 นะคะ ก็จะเป็นการประยุกต์ใช้นะคะ ว่าจะสามารถใช้อย่างไร แล้วก็ ISO27004 ก็จะเป็นการวัดผลนะคะ ว่ามันใช้แล้วเกิดผลลัพธ์อย่างไร ISO 27005 ก็จะเป็นการประเมินความเสี่ยงที่จะเกิดขึ้นของเรานะคะ เกี่ยวกับตัวระบบสารสนเทศภายในองค์กร ตัวนี้ก็จะเป็นตระกูลของ ISO 27000 นั่นเองนะคะ ซึ่งจะเป็นบางส่วนที่ถูกหยิบยกมานะคะ ก็จะมีตัวมาตรฐานตัวอื่น ๆ นะคะ ส่วนสำหรับวันนี้เราก็จะเจาะลึก แล้วก็ลงรายละเอียดเกี่ยวกับISO 27001 ของเรานั่งเองนะคะ ว่าจะมีข้อกำหนด ข้อปฏิบัติ นะคะ วิธีการทบทวนนะคะ แล้วก็รักษาระบบแล้วก็ทำอย่างไรให้ตัวระบบสามารถทำงานได้อย่างต่อเนื่องนั่นเองนะคะ เดี๋ยวเราจะมาดูแนวทางที่จะนำตัวมาตรฐาน ISO 27001 เข้ามาใช้นะคะกรณีที่หน่วยงานของเรา มีข้อมูลที่ถูกใช้งานอยู่ทุก ๆ วันนะคะ อย่างถ้ามองภาพอย่างมหาวิทยาลัยนะคะ กระบวนการนะคะ ของข้อมูลก็จะมีลักษณะของข้อมูลนักศึกษา ถ้าเป็นช่วงเปิดรับสมัครนักเรียน ก็จะมีข้อมูลของนักเรียนที่เข้ามาสมัครจำนวนนะคะ สาขาวิชานะคะ ค่าลงทะเบียน ค่าลงทะเบียนต่าง ๆ รายวิชาที่เปิดสอน แล้วรวมถึงอาจารย์ผู้สอนอาจารย์ประจำวิชาต่าง ๆ เป็นข้อมูลที่เพิ่มเติมแล้วก็หมุนเวียนเข้ามาได้เราจะดูแลแล้วก็รักษาความปลอดภัยเกี่ยวกับตัวข้อมูลสารสนเทศขององค์กรได้อย่างไรนะคะ ก็เราก็สามารถนำตัวกระบวนการมาตรฐานตัวนี้น่ะ มาใช้นะคะ ตัวมาตรฐาน ISO 27001 ก็จะมีกระบวนการนะคะ อยู่ 4 ขั้นตอนเริ่มจากมาดูขั้นตอนแรกของเรานะคะ ก็จะเป็นการวางแผนก่อนนะคะ ว่าหน่วยงานของเรานี่ กำหนดขอบเขตนะคะ เกี่ยวกับการจัดการความมั่นคงสารสนเทศอย่างไร ตั้งแต่มองภาพก่อน ว่าองค์กรของเราเป็นองค์กรประเภทไหนนะคะ เราก็มี พูดง่าย ๆ คือ ทรัพยากรนะคะ เกี่ยวกับสารสนเทศอะไรบ้าง ต้องระบุให้ครบ แล้วก็ครอบคลุมนะคะ ดังนั้น ก็จะมีนโยบายจากผู้บริหารนั่นเองนะคะ ว่าเราจะควบคุมจัดการดูแลเกี่ยวกับตัวทรัพยากรเหล่านี้อย่างไรนะคะ แล้วก็จะมีหน่วยงานที่เข้ามาดูแลแล้วก็จัดการนะคะ เกี่ยวกับตัวกำกับดูแลสารสนเทศตัวนี้ โดยกระบวนการวางแผนในการกำกับดูแลความปลอดภัยตัวนี้นะคะ ก็จะมีเริ่มจากกำหนดขอบเขต ว่ามีกลุ่มหรือว่าหน่วยงานแผนกไหนที่จะเข้ามาดูแล ควบคุมนะคะ มีหัวหน้างาน มีผู้ที่มาสนับสนุนนะคะ เกี่ยวกับกระบวนการนี้นะคะ แล้วก็จะมีการควบคุมดูแลนะคะ หากเกิดปัญหานะคะ จะมีหรือว่าหน่วยงานไหนที่เข้ามาสนับสนุนหรือ Support นะคะ หรือว่าถ้าไม่มีบุคลากรอาจจะมีการอบรมแล้วก็ฝึกนะคะ เพื่อให้มีบุคลากรที่สามารถมารองรับแล้วก็สนับสนุนเกี่ยวกับการดูแลระบบสารสนเทศตัวนี้นั่นเองนะคะ ผ่านมาเมื่อกี้เราวางแผนไปเรียบร้อยแล้วว่าเรามีทรัพยากรอะไรมี บุคลากรเท่าไหร่มีหน่วยงานเท่าไร ที่จะมากำกับดูแลเกี่ยวกับตัวระบบสารสนเทศตรงนี้ ถัดมาก็จะมีนโยบาย พูดง่าย ๆ ก็คือนโยบายของผู้บริหาร นโยบายขององค์กรนะคะ ที่จัดตั้งขึ้นเพื่อให้ปฏิบัติตามเกี่ยวกับการจัดการความมั่นคงปลอดภัยของหน่วยงานของเรานะคะ ว่าเรามีเป้าหมายอย่างไรเราก็ต้องการให้ระบบสารสนเทศเกิดความมั่นคงและปลอดภัยเชื่อถือได้ ต้องมีนโยบายอะไรบ้าง ที่มาเป็นนโยบายที่ให้ทุก ๆ คนปฏิบัติตาม อาจจะเป็นรูปแบบนะคะ การประเมินความเสี่ยง หรือว่าวิธีการปฏิบัติตามที่ต้องอยู่ภายใต้กฎหมายนะคะ ตัวกฎหมายนะคะ ถัดมาเมื่อกี้เรามีการวางแผนมีนโยบายที่ตั้งเสร็จแล้วแล้วก็ต้องมีการบริหารความเสี่ยง แน่นอนองค์กรทุกหน่วยงานจะมีความเสี่ยงที่จะเกิดขึ้นในการปฏิบัติงานในทุก ๆ แบบนั่นเองดังนั้น เราจะบริหารความเสี่ยงอย่างไรนะคะ เพื่อไม่ให้เกิดผลกระทบในการทำงานของเรา เริ่มจากเราก็จะมาประเมินความเสี่ยงที่จะเกิดขึ้นก่อน ว่าความเสี่ยงที่จะเกิดขึ้น รวมถึงผลกระทบที่จะเกิดขึ้นด้วยว่ามันมีระดับความรุนแรงระดับไหน เริ่มจากระบุทรัพย์สินนะคะ เราก็ต้องมาระบบทรัพย์สินเนื่องจากระบบสารสนเทศนี่เป็นสิ่งที่อาจจะไม่สามารถจับต้องได้อาจจะเป็นข้อมูลที่ร่องรอยอยู่นะคะ ดังนั้นสิ่งที่สามารถที่จะสื่อ หรือว่าทำให้รู้ว่ามีตัวข้อมูลสารสนเทศนั้นก็จะเป็นพวกอุปกรณ์ที่สามารถจับต้องได้ ก็เช่น พวกคอมพิวเตอร์นะคะ ตัว Hardware Server ต่าง ๆ นะคะ นะคะ ก็ต้องมีการระบบทรัพย์สินนะคะ ว่าเป็นของผู้ใด เป็นของฝ่ายไหน เป็นของหน่วยงานไหนนะคะ แล้วก็ต้องมีการดูแลกระบวนการทำงานไม่ว่าจะเป็นการสำรองข้อมูลนะคะ มีวิธีการป้องกันอย่างไร กรณีถ้าระบบไม่สามารถใช้งานได้ มีการกู้คืนหรือว่ามีแผนสำรองอะไรไว้บ้างหรือเปล่า ซึ่งตัวนี้ก็จะเป็นลักษณะที่เราจะได้บ่งบอกว่าเรามีตัวทรัพยากรนะคะ ก็คืออะไรบ้างนั่นเอง รวมถึงสามารถที่จะแบ่งประเภทของตัวทรัพยากรนะคะ ออกเป็น 5 ประเภท เริ่มจากเริ่มต้นเลยก็จะเป็นข้อมูลที่เราต้องรักษานะคะ ก็คือสารสนเทศ กระบวนการแล้วก็การบริการนะคะ ว่าเรามีการให้บริการกับลูกค้า การให้บริการกับผู้ใช้งานอย่างไรบ้าง ซอฟต์แวร์ที่เราใช้อยู่มีอะไร เครื่องมือ อุปกรณ์นะคะ แล้วก็เอาสุดท้าย ก็จะเป็นบุคลากรนะคะ อันนี้ก็สามารถที่จะระบุให้ชี้ชัดนะคะ ว่าตัวอุปกรณ์ของเรานี่ มีแต่ละประเภทอะไรบ้าง ถัดมา ก็จะเป็นพวกระบุภัยคุกคามที่จะเกิดนะคะ นะคะ พวกแฮกเกอร์หรือเปล่าพวกที่จะมาดึงข้อมูลของเรานะคะ ด้านล่างก็จะเป็นตัวอย่างของภัยคุกคามที่จะเกิดนะคะ อาจจะเป็นผู้ใช้งานอาจจะเป็นด้วยความตั้งใจหรือไม่ตั้งใจที่จะส่งผลกับตัวระบบสารสนเทศ หรือเปล่า อาจจะเผลอไปลบข้อมูลบางส่วนไป ทำให้ข้อมูลไม่สามารถที่จะพร้อมใช้งานนะคะ ทำให้ตัวระบบปฏิบัติการของเราไม่สามารถที่จะดำเนินงานได้นะคะ หรือจากภัยธรรมชาติต่าง ๆ นะคะ อันนี้ก็จะส่งผลกระทบหมดนะคะ  ระบุภัยคุกคามเรียบร้อย แล้วคราวนี้ก็จะมาดูช่องโหว่ ก็คือจุดอ่อนที่จะทำให้เกิดภัยคุกคามเรานะคะ ตั้งแต่ความเสียหายเล็ก ๆ น้อย ๆ นะคะ จนถึงความเสียหายรุนแรงจนไม่สามารถที่จะดำเนินการทางธุรกิจได้นั่นเองนะคะ ตัวช่องโหว่พวกนี้นะคะ ก็อาจจะมีปัจจัยหลายอย่างที่อาจจะเกิดขึ้น อาจจะเป็นผู้ใช้งานนี่ ไม่มีองค์ความรู้นะคะ เกี่ยวกับการใช้งานตัวระบบสารสนเทศได้นะคะ หรือช่องโหว่ที่เกิดจากตัวระบบเครือข่ายต่าง ๆ ที่จะส่งผลนะคะ ให้เกิดผู้ที่ไม่หวังดีเข้ามาทำลายตัวระบบสารสนเทศของเรานะคะ เสร็จแล้วเราก็ต้องมาดูระบบผลกระทบที่ส่งต่อทรัพย์สินของเรานะคะ ว่าถ้ามีช่องโหว่หรือว่าภัยคุกคามตรงนี้นะคะ จะส่งผลกระทบกับทรัพย์สิน หรือว่าตัวทรัพยากรของเราอย่างไรบ้าง แล้วก็ขั้นตอนที่ 5 ของเรา ก็คือประเมินระดับความเสี่ยงนะคะ ว่ามันรุนแรงนะคะ หรือว่ามีความเสี่ยงระดับไหนนะคะ อันที่ 6 ก็คือกำหนดแนวทางรองรับความเสี่ยงที่จะเกิดขึ้นของเรานะคะ ว่าความสิ่งเหล่านี้นะคะ เราสามารถจำแนกออกเป็น 2 กลุ่มนะคะ ก็คือความเสี่ยงที่ยอมรับได้ แล้วก็ความเสี่ยงที่ต้องปรับปรุงว่ามันอาจจะเกิดผลกระทบที่ไม่รุนแรงมาก ก็สามารถที่จะยอมรับได้ หรือความเสี่ยงที่ต้องปรับปรุง ก็คือความเสี่ยงที่ค่อนข้างมีผลกระทบกับองค์กรค่อนข้างสูง ดังนั้นเราก็ต้องมีวิธีการแก้ปัญหาไม่ให้เกิดความเสี่ยงตัวนี้นะคะ ที่ส่งผลกระทบกับองค์กรของเรานะคะ นี่เดี๋ยวเขาข้ามนะ ถัดมาผ่านมาเมื่อกี้เราเป็นความเสี่ยงนะคะ อันนี้ 2 ก็จะเป็นขั้นตอนที่ 2 คือดูนะคะ ก็คือเมื่อเรามีการประเมินความเสี่ยงนะคะ เราก็จะมาจัดทำแผนการจัดการความเสี่ยงนะคะ ว่าเราจะจัดการกับความเสี่ยงอย่างไรบ้างนะคะ ช่วยให้การบริหารจัดการของเรานี่ มีประสิทธิภาพมากยิ่งขึ้นนะคะ อาจจะมีนะคะ การติดตั้งนะคะ พวกระบบต่าง ๆ มันเป็น Firewall Antivirus ภัยคุกคามนะคะ ผู้รับผิดชอบแผนกต่าง ๆ นะคะ เกี่ยวกับการจัดความเสี่ยงอาจจะมีบุคลากรนะคะ เป็นฝ่ายเป็นทีมที่จะเข้ามากำกับดูแลตรงนี้กำหนดแนวทาง วัดประสิทธิภาพนะคะ ของตัวสถานด้านความมั่นคง ปลอดภัยของเรานะคะ การฝึกอบรม นักสร้างจิตสำนึกนะคะ เกี่ยวกับการใช้ระบบสารสนเทศให้มันถูกต้อง เพื่อให้ผู้ใช้งานหรือผู้พัฒนามีความรู้ รวมถึงภัยคุกคามแล้วก็ความเสี่ยงที่จะเกิดว่าเราจะมีกระบวนการหลีกเลี่ยงอย่างไรนะคะ กรณีถ้าตัวอุปกรณ์ต่อเชื่อมของเราไม่ว่าจะเป็น External Hardisk หรือว่าเป็นพวก Thumdrive ต่าง ๆ ที่มีการเชื่อมต่อนะคะ กับตัวเครือข่ายที่จัดส่งผลกับตัวระบบเครื่อข่ายภายในองค์กรของเรานะคะ ก็อาจจะหลีกเลี่ยงอาจจะใช้เป็นระบบที่อยู่บนคลาวด์ขึ้นมาใช้ ก็จะเป็นกระบวนการที่เข้ามาช่วยป้องกัน เพื่อให้เกิดผลกระทบความเสี่ยงที่เกิดในองค์กรของเรานะคะ มีการฝึกอบรมอาจจะเป็นระยะสั้น ๆ นะคะ เพื่อให้มีความรู้นะคะ ระดับพื้นฐานนะคะ ถัดมาขั้นตอนที่ 3 ก็จะเป็นเฝ้าระวังแล้วก็ทบทวนนะคะ ว่าผลกระทบขึ้นมานะคะ เราจะมีการวัดผลสัมฤทธิ์นโยบายที่เราวางไว้ ว่าปนะสบผลอย่างไร ประเมินนะคะ ว่าครอบคลุมมีหรือเปล่า การวัดผลสัมฤทธิ์ของเราก็จะทำอย่างไร ก็จะเป็นรูปแบบรายงานนะคะ เพื่อสรุปนะคะ ว่าตัวกระบวนการการฝึกอบรมเข้าไปนะคะ หรือว่าวิธีการป้องกันความเสี่ยงที่สร้างขึ้นนี่ มันมีผลลัพธ์ที่อย่างไร อาจจะมีฝึกอบรมและทำให้ระบบเครือข่ายของเรานี่ ไม่เจอปัญหาเกี่ยวกับพวกไวรัสต่าง ๆ ที่เข้าสู่ในตัวระบบเครือข่ายลดน้อยลงกี่เปอร์เซ็นต์นะคะ อันนี้ก็จะแสดงผลสัมฤทธิ์ของตัวโครงการตัวนี้ รวมถึงทบทวนความเสี่ยงว่าตัวไหนที่ยังมีความเสี่ยงที่อาจจะเกิดการเปลี่ยนแปลงกับตัวองค์กรของเรานะคะ ตัวนี้ก็จะช่วยนะคะ ให้เรากระตุ้นถึงความเสี่ยงที่อาจจะเกิดขึ้นนะคะ ว่าเรา แม้ว่าจะมีกระบวนการมีการฝึกอบรมแล้วนะคะ ตัวความเสี่ยงตัวนี้ก็อาจจะยังคงมีอยู่ต้องมีวิธีแก้ไขและป้องกันอย่างไรนั่นเอง ขั้นตอนที่ 4 หรือว่าเป็นขั้นตอนสุดท้ายของ PDCA   ก็คือการรักษามาตรฐานแล้วก็ปรับปรุงให้ดีขึ้นนะคะ หลังจากที่เราพบปัญหานะคะ หรือว่าตรวจสอบแล้วนะคะ เกิดปัญหาตรงนี้นะคะ ดังนั้น บุคคลที่อยู่ในแผนกหรือฝ่ายนั้น ๆ ก็ต้องร่วมมือกันนะคะ เพื่อป้องกันไม่ให้เกิดปัญหาซ้ำในอนาคต รวมถึงมองหาแนวทางแล้วว่าเราจะปรับปรุงให้ตัวระบบของเรามีประสิทธิภาพอย่างไร เราจะเป็นผู้บริหารหรือควบคู่ปฏิบัติงานต่าง ๆ ก็ต้องร่วมมือแล้วก็ปฏิบัติตามแนวทางหรือว่านโยบายที่วางไว้นั่นเองเราก็ต้องมาดูนะคะ การแก้ปัญหานั่นเองนะคะ ข้อบกพร่องต่าง ๆ นะคะ ที่จะเกิดขึ้นนะคะ อันนี้จะเป็นเป็นคร่าว ๆ ไปแล้วกันนะ เดี๋ยวจะอาจารย์จะข้ามไปนะคะ โอเคเราก็ได้รู้ว่าตัวมาตรฐาน ตัว ISO 27001 นี่ มันก็จะใช้กระบวนการ PDCA Plan Do Check แล้วก็ Add เข้ามานะคะ เราก็จะทราบว่ากระบวนการที่ต้องทำนี่ มีอะไร วางแผนลงมือทำแล้วก็ชวนแล้วก็ปฏิบัติอย่างไรนะคะ ให้มันมีกระบวนการที่ดีขึ้นนะคะ ไม่มีปัญหาเพิ่มมากขึ้นเพื่อรักษามาตรฐานถัดมา ต้านล่าง ๆ นี่ กจะเป็นเกี่ยวกับนโยบายความมั่นคงปลอดภัยต่าง ๆ นะคะ ก็จะมีหลาย ๆ ด้าน เดี๋ยวก็จะให้ศึกษานี่เข้าไปดูนะคะ เกี่ยวกับตัวความมั่นคงแต่ละประเภทนั่นเองนะคะ ว่าจะเป็นพวกการบริหารจัดการนะคะ ต่าง ๆ ซึ่งคราวนี้นี่ยกตัวอย่างง่าย ๆ การบริหารจัดการ การบริการของหน่วยงานนะคะ หรือการป้องกันโปรแกรมไม่ประสงค์ดีขึ้นมานี่ เราจะมีนโยบายวิธีการป้องกันนะคะ รวมถึงนโยบายแล้วมีกระบวนการการปฏิบัติลงมือทำ มีการฝึกอบรมไหมนะคะ อบรมให้ผู้ใช้ หรืออบรมให้ผู้ดูแลระบบอย่างไรบ้างนั่นเองนะคะ ลจะไปเข้าเครื่อข่าย เดี๋ยวเขาเข้าไปดูรายละเอียดค่อนข้างเยอะนิดหนึ่งแต่ว่ามันจะค่อนข้างทำให้เราเข้าใจกระบวนการต่าง ๆ นะคะ ว่าเขามีวิธีการกระบวนการอย่างไร การเข้าถึงข้อมูลวิธีการอย่างไรนะคะ มีการตั้ง Password อย่างไรนั่นเองนะคะ เดี๋ยวดูคร่าว ๆ เดี๋ยวจะให้ดูตัวอย่าง ตัวนี้ก็จะทำให้ศึกษานี่ มองภาพแล้วก็เข้าใจมากขึ้น เกี่ยวกับความเสี่ยงที่จะเกิดกับตัวระบบสารสนเทศ แล้วก็กระบวนการวิธีการป้องกันนะคะ ในหน่วยงานองค์กรก็ต้องมีส่วนร่วมมีนโยบาย มีวิธีการปฏิบัติต่าง ๆ รวมถึงมีกฎลงโทษแล้วก็ภายใต้กฎหมายด้วยนะคะ ว่าถ้าเราไม่ปฏิบัติตามหรือฝ่าฝืนจะมีวิธีการอย่างไร แน่นอนก็ต้องภายใต้กฎหมายอยู่แล้วนะคะ ที่ส่งผลกระทบโดยตรงกับทุก ๆ คน ไม่ว่าจะปฏิบัติงานในหน่วยงาน หรือว่านอกหน่วยงาน รองลงมาก็จะเป็นพวกนโยบายนะคะ ข้อปฏิบัติ บทลงโทษต่าง ๆ ขององค์กรด้วยเช่นเดียวกัน ว่าไม่ปฏิบัติ หรือว่าส่งผลเสียกับองค์กรนะคะ การปฏิบัติงานตรงนี้ส่งผลเสียต่อองค์กรอย่างไร จะมีบทลงโทษอย่างไรไม่ว่าจะเป็นค่าปรับนะคะ หรือการเลิกจ้างงานหรือว่าผลกระทบที่จะให้หยุดพักงานอะไรอย่างนี้ มันก็จะมีส่งผลกระทบต่อมาอันนี้จะเป็นตัวอย่าง เหมือนกรณีถ้าเราทำผิดนะคะ ตามมาตราหรือว่ากฎหมายนะคะ องพวกพระราชบัญญัติการกระทำความผิดทางคอมพิวเตอร์นั่นเองนะคะ การเข้าถึงคอมพิวเตอร์โดยมิชอบ เข้าคอมพิวเตอร์ของคนอื่นนะคะ เข้าไปขโมยข้อมูลนะคะ ก็จะมีการจำคุกไหม มีการปรับโทษระดับไหนนะคะ การเปลี่ยนแปลงข้อมูล จำคุกไม่เกิน 5 ปี โทษปรับสูงไม่เกิน 1 แสนบาทนะคะ มันก็จะมีกระบวนการนะคะ มาควบคุมแล้วก็ดูแลไม่ให้เรานี่ ละเมิดหรือว่าประพฤติผิดนั่นเองนะคะ ยกตัวอย่างนะคะ การจัดทำระบบการจัดการความมั่นคงปลอดภัยของระบบสารสนเทศนะคะ อย่างบริษัทแห่งหนึ่งนี่ ทำธุรกิจรับฝาก แล้วก็ดูแล รับฝากเอกสารทางธุรกิจ ผ่านมาตรฐาน ISO 27001 กรรมการผู้จัดการก็ได้รับนโยบายตัวนี้นะคะ เพื่อยกระดับนะคะ มันก็ต้องมีการมองถึงวัตถุประสงค์ขอบเขตต่าง ๆ นะคะ ผู้รับผิดชอบโครงการว่ามีใครบ้างนะคะ ก็มีหากรรมการที่เข้ามาควบคุมดูแลนะคะ จัดทำนะคะ แผนที่เราจะมาวิเคราะห์นะคะ ความเสี่ยงต่าง ๆ ที่อยู่ในองค์กรของเรานะคะ มีการอบรมอะไรไหม ศึกษาถึงข้อมาตรฐานนะคะ ประเมินสถานะความปลอดภัย ประเมินความเสี่ยง แล้วก็จัดทำแผนความเสี่ยง แล้วก็จะทำเอกสารนะคะ พวกคู่มือต่าง ๆ ในระบบการจัดการความมั่นคงปลอดภัยของเรานะคะ ฝึกอบรมให้ด้วยกับหน่วยงาน กับแผนกที่มาดูแลรวมถึงพัฒนาทุกคนในเป็นการฝึกปฏิบัติเบื้องต้นนะคะ แล้วก็ทำแผนปฏิบัตินะคะ ดำเนินแผนควบคุมให้ปฏิบัติตามแผนที่เราวางไว้ระหว่างทบทวน ตรวจ การตรวจประเมินภายใน แก้ไขข้อบกพร่องนะค่ะ แล้วก็ประชุมทบทวนฝ่ายผู้บริหาร เราก็เข้าไปขอรับตัวมาตรฐาน  ISO 27001 ของเรานั่นเองนะคะ อันนี้ก็จะเป็นตัวอย่าง ภาพรวมนะคะ กรณีถ้าหน่วยงานหรือองค์กรไหนต้องการตัวมาตรฐาน ISO 27001นี่ เข้ามารับรองมันก็จะมีกระบวนการนะคะ ตัวแผนที่วางไว้อยู่แล้วว่าจะมีขั้นตอนไหนบ้าง  คราวนี้เราก็จะมองภาพออกแล้วว่าตัวมาตรฐานการรักษาความมั่นคงปลอดภัยนี่ ขององค์กรจะมีกระบวนการอย่างไรบ้างเมื่อนักศึกษามีองค์ความรู้เหล่านี้แล้วนะคะ เดี๋ยวอาจารย์จะมอบหมายนะคะ ให้นักศึกษานี่ ไปลองศึกษานะคะ เป็นหน่วยงานนะคะ เนื่องจากของเรานี่ จำนวนไม่ค่อยเยอะนะ เดี๋ยวเราก็จะให้ไปเก็บข้อมูลนะคะ เกี่ยวกับหน่วยงานนะคะ ก็จะให้ไปเตรียมตัวก่อนนะคะ ไปเข้าใจทบทวนความรู้กระบวนการขั้นตอนนะคะ ของตัวมาตรฐานตัวนี้นะคะ เราก็จะหยิบยกตัวกระบวนการเหล่านี้มาบางส่วนนั่นเองว่าจะมีวิธีการป้องกันอย่างไรบ้างนั่นเอง เดี๋ยวอาจารย์จะขอพูดถึงตัวตารางคร่าว ๆ ให้ดูนะคะ อย่างประเมินความเสี่ยงต่าง ๆ นี่ สมมติเราไปเช็กความเสี่ยงที่อาจจะเกิดนะคะ เอาแนวนโยบายนะ เอาแบบง่าย ๆ เลยตารางนี้อาจจะเป็นตัวอย่างให้ดูนะคะ แต่ว่าเวลาประยุกต์หรือว่าใช้งานจริงอาจจะมีบางส่วนหรือว่าบางส่วนตัวไหนที่ไม่ได้ใช้นะคะ ตัวอย่างง่าย ๆ กระบวนการทางวินัยเพื่อลงโทษอย่างที่บอกไปนะ องค์กรทุกองค์กรก็จะมีนโยบาย ข้อกำหนด แล้วก็ควบคุม เพื่อให้บุคลากรทุกคนนี่ ปฏิบัติตามตัวนโยบายที่องค์กรได้วางแผนไว้นั่นเอง ถ้ามีใครละเมิด หรือว่าทำผิด ก็ต้องมีบทลงโทษต่าง ๆ เช่นเดียวกันกับตัวดูแลความปลอดภัยของระบบสารสนเทศถ้ามีบุคลากรท่านไหนที่ทำแล้วส่งผลกระทบกับตัวกระบวนการทำงานขององค์กรนะคะ ทำให้ตัวข้อมูลรั่วไหลเกิดความผิดพลาดหรือการหยุดชะงักของกระบวนการทำงานขององค์กรนะคะ ก็จะมีบทลงโทษเช่นเดียวกันนั่นเอง แล้วก็จะมาประเมินว่าอาจจะหยุดชะงักไปนานไหม ตัวระบบ Server ทำงานไม่ได้ เหมือน server ล่ม เข้าไม่ได้กี่นาที กี่ชั่วโมงอะไรไหว มีผลกระทบ แล้วก็ส่งผลกระทบแล้วส่งผลต่อเงินที่องค์กรได้หยุดการทำงานไปยังถ้ามองข้าง ๆ เหมือน สมมติ โรงงาน ถ้าโรงงานหยุดสายการผลิต หยุดไปกี่นาที แน่นอนเงินที่หยุดไปก็จะคำนวณออกมาเช่นเดียวกันนั่นเอง พอจะมีโอกาสที่เกิดขึ้นนะคะ ระดับความเสี่ยงยอมรับได้ ยอมรับไม่ได้ อันนี้ก็กลับไปดูเป็นตัวอย่างนะคะ คราวนี้นะคะ อย่างที่นักศึกษาเข้าใจตัวมาตรฐาน ISO 27001 ไปเรียบร้อยแล้ว อาจารย์จะมีนะคะ ให้นักศึกษานี่ ไปวิเคราะห์มาตรฐานนะคะ ภายในหน่วยงานของเรานะคะ ภายในมหาวิทยาลัยราชภัฏสกลนครเองนะคะ ก็จะเป็น ปกติ ไม่แน่ใจว่าอาคาร 7 นักศึกษาได้ไปห้อง Lab กันไหมคะ ไม่ได้ใช้นะ โอเค ก็เดี๋ยวจะให้ไปเก็บข้อมูลนะคะ เกี่ยวกับห้องแล็บอาคาร 7 นั่นแหละนะคะ เกี่ยวกับตัวมาตรฐานเบื้องต้นของเรานะ ะเขามีอุปกรณ์ มีเครื่องมือ มีกระบวนการป้องกันความเสี่ยงที่จะเกิด หรือว่าปัญหา ทำอย่างไรให้ตัวระบบแล็บของเรานี่พร้อมใช้งาน แล้วก็มีกระบวนการวิธีการป้องกันอย่างไร ซึ่งตอนนี้นะคะ เรามีทั้งหมดกี่คนเอ่ย 2 4 5 6 7 ก็จะเป็นห้องแล็บห้องแล็บของเราก็จะมีอาคาร 7 ทั้งหมด 6 6 แล็บ แล้วก็มีอีก 1 น่าจะเป็น 7 ห้องเนื่องจากเราเป็นกลุ่มเล็ก ๆ น้อย ๆ อาจารย์ก็เลยถ้าออกไปหน่วยงานข้างนอก ก็จะ... อาจจะต้องมีพี่ล่ามอะไรไป มันก็จะค่อนข้างติดต่อหรือประสานงาน อาจจะยุ่งยากนิดหนึ่ง ก็เลยมองภาพว่า เดี๋ยวเรามาเก็บข้อมูลนะคะ ภายในสาขาวิชาของเรานะคะ เแล้วก็จะได้เข้าใจ แล้วก็คุ้นเคยกับห้องปฏิบัติการนะคะ ด้วยเพราะเรายังไม่ได้เข้าไปใช้บริการเกี่ยวกับห้องแล็บของสาขาวิชาคอมพิวเตอร์เลยนะนะคะ อันนี้ก็จะให้แต่ละคนนี่ ต่อ 1 แล็บเลยนะคะ ก็จะมีอาคาร 7 6 ห้องแล้วก็อาคาร 9 ห้องหนึ่งก็แล้วแต่ว่าให้แบ่งจัดสรรกันเองนะคะ ก็จะไปดู จะงงกันไหม จะมองภาพง่าย ๆ คือ ห้องแลบของเรานี่ มันก็จะมีอุปกรณ์คอมพิวเตอร์ ไม่ว่าจะเป็น Switch router wifi ต่าง ๆ รวมถึงสายอุปกรณ์นะคะ เริ่มต้นก็เข้าไปดูตัวอุปกรณ์ก่อนก็ได้นะคะ เหมือนเวลาเราจะไปตามกระบวนการขั้นตอนนะ ก็จะไปดูตัวทรัพยากรก่อนว่ามีอุปกรณ์อะไรบ้างในห้อง อันนี้แล็บใครแล็บมันนะ จะได้มองภาพออกนะคะ อยากจะให้ดูว่ามีขั้นตอนอย่างไรจะได้ไปถูกถ้าไปศูนย์คอมพิวเตอร์นะคะ มันก็จะคล้าย ๆ กับปีก่อน ๆ เดี๋ยวก็จะเป็นพี่เจ้าหน้าที่ที่อยู่ศูนย์คอมก็จะมีการทบทวนบ่อย ก็เลยเดี๋ยวลองเปลี่ยนมาเป็นสาขาวิชาของเราบ้างนะคะ ก็เริ่มจากนะ เราก็จะไปเช็กก่อนนะคะ ว่าห้องแล็บของเรานี่มีอุปกรณ์คอมพิวเตอร์อะไร เช็กทรัพยากรก่อนถูกไหมคะ มีสายเป็นตามมาตรฐานไหม มีอุปกรณ์ไปตามมาตรฐานไหม มีกี่เครื่อง ซอฟต์แวร์คืออะไร ซอฟต์แวร์ที่ลงเป็นอย่างไรภายใต้ license หรือไม่ภายใต้ license มีวิธีการอย่างไรมี การใส่แอนตีไวรัสไหมนะคะ แล้วทุกเครื่องเวลาใช้งานใส่ password แล้วการเข้าระบบอินเทอร์เน็ตมี Password ไหม ห้องแล็บในกรณีที่ใช้งานเสร็จแล้วมีวิธีการใส่กุญแจหรือเปล่า หรือว่าอย่างไรเวลาจะไปขอเข้าใช้งานเหมือนทุกคนเข้าใช้งานได้ไหม หรือว่าต้องเป็นภาษาที่ทำหนังสือมาขอใช้งานหรือว่าตามรายวิชาหรือเปล่า ความเสี่ยงที่จะเกิดขึ้นมีอะไรบ้างที่จะเกิดขึ้น คนเข้ามาใช้งานใช้งานเป็นไหม มีความรู้หรือเปล่า ถูกไหมคะ คนที่อาจจะทำให้เกิดปัญหา ยกตัวอย่าง นักศึกษาเข้ามาเรียนนี่ เขาสามารถที่จะเอาพวกอุปกรณ์ หรือว่าของใช้ที่จะส่งผลกระทบกับตัวระบบคอมพิวเตอร์ มีน้ำ มีของกิน อะไรหรือเปล่าหรือสภาวะแวดล้อม ฝนตก ฝนสาด ทรัพยากรธรรมชาติภัยคุกคามต่าง ๆ จะเกิดขึ้นไหม จะโอเคอยู่นะ หรือว่าระบบให้ความเย็นของเรา พวก Air Condition  นี่ มีน้ำหยดแล้วมันจะส่งผลกับระบบ Server ระบบคอม ระบบไฟฟ้าของเรา ของหน่วยงาน ไฟตก ไฟดับไฟอะไรบ่อยไหม ไปเช็กข้อมูลได้ คือ มันต้องเช็กทั้งหมดนะคะ ตัวไปเก็บข้อมูลเหล่านี้ ก็จะมีพี่ที่เขาดูแลเกี่ยวกับห้องแล็บอยู่นะคะ สำหรับอาคาร 7 ชั้น 2 ก็จะเป็นพี่ตุ้ยนะคะ แล้วก็อาคาร 7 ชั้น 3 ก็จะเป็นพี่เจมส์รวมถึงอาคาร 9 ด้วยเช่นเดียวกันก็จะเป็นพี่เจมส์ดูแล ดังนั้น ก็นักศึกษาเตรียมตัวความรู้รวมถึงวางแผนไปก่อนว่าเราจะเก็บข้อมูลอะไรบ้าง นโยบายมีการขั้นตอนอะไรบ้าง ให้ตามหัวข้อที่อาจารย์อธิบายไปนะคะ แล้วก็ไปเก็บข้อมูล เสร็จแล้วก็ให้สรุปเขียนเป็นรายงานมาให้ ของแต่ละคน แต่ละห้องแล็บ ว่าของเรานี่ได้รับมอบหมายเกี่ยวกับห้องแล็บห้องแล็บ 721 727 724 725 ก็แล้วแต่นะคะ  ก็เขียนรายละเอียดไปตามที่อาจารย์บอกคร่าว ๆ หรืออันไหนที่คิดว่าอาจจะมีผลกระทบหรือว่าความเสี่ยงกรณีอาจจะเป็นนักศึกษาสาขาวิชาอื่นที่เข้ามาใช้ในกรณีเป็นรายวิชาศึกษาทั่วไปเข้ามานี่ มันจะส่งผลกระทบกับตัวห้องปฏิบัติการของเราอย่างไรหรือเปล่านะคะ ความเสี่ยงที่จะเกิดขึ้น จะทำให้เกิดการใช้งานนะคะ ที่ระบบไม่สามารถพร้อมใช้งานได้หรือไม่นะคะ อันนี้ใครงงหรือมีข้อคำถามอะไรไหมคะ มีคำถามไหม อาจารย์สั่งงานไปว่าอย่างไรเข้าใจกันไหมคะ เพราะว่าเดี๋ยวจะให้ลงไป อันนี้จะให้ลงไปติดต่อแล้วก็ประสานงานกันเองนะคะ เพราะเป็นหน่วยงานภายในสาขาวิชาเราอยู่แล้วนะคะ มีคำถามไหม ไม่มี เขาใจอยู่นะ สัปดาห์หน้าจะให้ลงไปข้อมูลนะคะ เราก็จะไม่แบ่งกันเองว่าใครจะข้อมูลของห้องแล็บไหน เราก็ทำเป็นสรุปรูปแบบรายงานด้วย ไปเก็บข้อมูลเกี่ยวกับทรัพยากรอีก แล้วก็ต้องบอกด้วยว่าตัวห้องแล็บปฏิบัติการของเรานี่ มีพร้อมใช้งานที่จะให้บริการเกี่ยวกับอะไรบ้าง เพราะว่าบางห้องก็จะเป็นห้องเกี่ยวกับพวกเครือข่ายก็ต้องเช็กดูว่าอันนี้หรือว่าให้บริการเกี่ยวกับอะไรบ้าง เป็นหรือว่าให้บริการทั่วไปนะคะ ต้องเก็บข้อมูลให้ครบ หรือถ้าสงสัยอย่างไร หรือว่าจะให้อาจารย์ไกด์ตรงไหน ก็บอกมาได้นะ ไม่แน่ใจว่าสั่งไปแล้วอาจจะตอนนี้เข้าใจ แต่ตอนไปทำจริง ๆ อาจจะลืมไปแล้วก็จำไม่ได้ว่าเราต้องทำอะไรบ้างนะคะ อันนี้จะไม่มีตารางให้นะคะ เพราะว่าเนื่องจากเราก็จัดเก็บข้อมูลเบื้องต้นแล้วก็เนื่องจากรายละเอียดพวกนี้นี่ ตามแผนนโยบายต่าง ๆ นี่อาจจะไม่ครอบคลุมถึงตรงนี้ แน่นอนเนื่องจากเป็นหน่วยงานขนาดเล็ก เล็กลงมาอีกเราก็จะเก็บข้อมูลเบื้องต้นก่อนนะคะ ที่สามารถเก็บได้ดีว่าเขามีนโยบายหรือว่าแผนการป้องกันอย่างไร ต้องการแล้วก็ควบคุมความปลอดภัยเกี่ยวกับสารสนเทศอย่างไร รวมถึงให้เช็กตัวอุปกรณ์ด้วยว่าแต่ละประเภทนี่ อยู่ภายใต้มาตรฐานหรือเปล่า สายสื่อสารที่เราไปสาย Lan เขามีดูตรงไหนบ้าง หรือว่าเป็นสายประเภทอะไร ดูออกอยู่นะ ตามตัวรายวิชาที่อาจารย์พูดไปเบื้องต้นนะคะ อุปกรณ์ต่าง ๆ นะคะ เป็นสายแลนหมดไหม มีไฟเบอร์ออปติกหรือเปล่านะคะ เช็กให้ดีว่าแต่ละที่อาจจะไม่เหมือนกัน มีตัวกระจายสัญญาณหรือเปล่า ประจำห้องหรือว่าเป็นนอกห้อง แล้วก็ดูด้วยว่าบุคลากรหรือว่าพี่ที่ดูแลควบคุมของแต่ห้องแล็บนั้นเป็นใครนะคะ ใส่รายละเอียดมาให้ครบ เหมือนเราจะทำแผนนั่นแหละว่าเราจะเช็กวิธีการนะคะ มีกระบวนการอย่างไร ต้องการความมั่นคงปลอดภัยของห้องปฏิบัติการหรือห้องแล็บของสาขาวิชาคอมพิวเตอร์ของเรานั่นเองมีีใครมีคำถามไหมคะ เข้าใจอยู่นะ ใช่ค่ะ สัปดาห์นี้ให้ไปเตรียมตัวก่อน ความรู้ ว่าเอกสารเนื้อหานั้นจะค่อนข้างเอจะได้ไปเดี๋ยวจัดให้ลงไปเก็บข้อมูล สำหรับเรื่องช่วงวันเวลาก็จะเป็นสัปดาห์หน้าทั้งหมดนะคะ ก็ให้ไปติดต่อ เนื่องจากห้องแล็บเขาก็จะมีการใช้กันต่อนะ ติดต่อว่าช่วงเวลาไหนที่ว่างที่จะข้อมูลเบื้องต้นไปเก็บข้อมูลเบื้องต้นนะคะ ไปเก็บข้อมูลห้ามไปถอดสายนะคะ เพราะว่ามันจะมีห้องพวกเป็นระบบข้อมูลเข้าไปดูเราเอาไปใช้งานระบบคอมพิวเตอร์นะมันจะมีบาง เขามีตัว password ก่อนใช้เครื่องไหม หรือว่าจะมีระบบเครือข่าย แบบนี้ก็ต้องมีอยู่แล้วน้องแล้วก็ไปเช็กนะคะ ว่าเป็นโปรแกรมนะคะ อะไรบ้าง ที่พร้อมใช้งานเป็น License หรือไม่ License นะคะ มีกระบวนการตัวไหนอีกที่ช่วยป้องกันตัวสารสนเทศของเเราก็ม หรือถ้ากลัวว่าจะเก็บข้อมูลจะไปเป็นคู่ แต่ก็แบ่งเป็นห้องไปพร้อมกันทีละ 2 คนก็ได้ แต่ละห้องแล็บแล้วแต่ตัวรายงาน ก็จะเป็นเฉพาะ 1 คนต่อ 1 ห้องแล็บ หรือจะไปพร้อม ๆ กัน แล้วก็ให้พี่เขาอธิบายไปเลยก็ได้นะคะ ว่ามีระบบแบบไหนบ้าง ต้องการข้อมูลอย่างไร เก็บข้อมูลเบื้องต้นอย่างไรบ้างนั่นเองนะคะ อันนี้ก็อาจจะไม่ยาก แต่อาจจะก็ไม่ง่ายนะคะ เพราะว่าเราอาจจะไม่เคยลงมือปฏิบัตินะคะ ก็เดี๋ยวลองดูนะคะ กระบวนการไม่ค่อยยุ่งยาก มันก็จะเป็นการใช้งานที่เราไม่เคยใช้งานแต่ว่าอาจจะมองข้ามไปเราก็จะมาเช็กรวมกันแล้วก็รายละเอียดอาจจะเข้าใจแต่ว่าต้องทำอย่างไร ถึงจะให้เขามาเขียนเป็นรูปแบบรายงานนะคะ ว่าแต่ละกระบวนการมีอะไรบ้างนั่นเอง สำหรับวันนี้ก็จะไม่มีงานนะคะ ให้ไปทบทวนเนื้อหา แล้วก็เตรียมพร้อมไปร่างไว้ก่อนก็ได้นะคะ ว่าเรามันจะมีขั้นตอนตามตัวเอกสารที่อาจารย์พูดในวันนี้แหละ มีกระบวนการอย่างไรบ้าง สำรวจทรัพยากรห้องแล็บนะคะ ว่าเขามีตัวมีปัญหาแล้วก็มีวิธีการอย่างไร สงสัยอะไรเพิ่มเติมไหมคะ น่าจะไม่มีปัญหานะ โอเค ถ้าไม่มีอะไรก็อย่างนั้นก็เดี๋ยวของคุณทางพี่ล่ามทางไกลด้วยนะคะ ไปทบทวนตัวเองนะคะ เพื่อเตรียมพร้อมสัปดาห์ ก็ขอบคุณมากนะคะ นั่นแหละก็ลองดู แล้วก็ให้เช็กงานให้ด้วยนะ เดี๋ยวให้ปอยมาพูดหรือว่า