ISO 
 
            ISO 9001 : 2000  เป็นมาตรฐานสากลที่องค์กรธุรกิจทั่วโลกให้ความสำคัญ เพื่อความเป็นเลิศทางด้านคุณภาพ และความมีประสิทธิภาพของการดำเนินงานภายในองค์กร    
ISO 9001 : 2000  จึงเป็นระบบบริหารงานคุณภาพมาตรฐานสากล แนวคิดสำคัญของ ISO 9001 : 2000 คือ การจัดวางระบบบริหารงาน เพื่อการประกันคุณภาพซึ่งเป็นระบบที่ทำให้เชื่อมั่นได้ว่ากระบวนการต่างๆ ได้รับการควบคุม และสามารถตรวจสอบได้โดยผ่านเอกสารที่ระบุขั้นตอน และวิธีการทำงาน เพื่อให้มั่นใจได้ว่าบุคลากรในองค์กรรู้หน้าที่ความรับผิดชอบและขั้นตอน ต่างๆ ในการปฏิบัติงาน โดยต้องมีการฝึกอบรมให้ความรู้และทักษะในการปฏิบัติงานมีการจดบันทึกข้อมูล รวมทั้งการตรวจสอบการปฏิบัติงานว่าเป็นไปตามที่ระบุไว้ในเอกสารหรือไม่ และมีการแก้ไขข้อผิดพลาดรวมทั้งมีแนวทางในการป้องกันข้อผิดพลาดเดิมในปัจจุบันมาตรฐาน ISO 9001 : 2000 จึงกลายเป็นเงื่อนไขหรือข้อกำหนดทางการค้าในการติดต่อธุรกิจระหว่างประเทศ รวมทั้งเป็นใบเบิกทางไปสู่การค้าในระดับสากล


   
มาตรฐานที่ใช้ได้กับทุกองค์กร   
 
            ISO 9001 : 2000 เน้นบทบาทของผู้บริหารระดับสูงที่จะต้องให้ความสำคัญกับความต้องการ ความคาดหวังของลูกค้า และผู้ที่เกี่ยวข้อง องค์กรทุกประเภทไม่ว่าจะเป็นภาคอุตสาหกรรมการผลิตหรือภาคบริการทั้งรัฐและ เอกชน สามารถนำระบบการบริหารงานคุณภาพ ISO 9001 : 2000 ไปใช้ได้ และไม่มีขีดจำกัดว่าต้องใช้กับองค์กรขนาดใหญ่ที่การลงทุนสูงและบุคลากร จำนวนมากเท่านั้น แต่ยังใช้ได้กับวิสาหกิจขนาดกลางและขนาดย่อม (SMEs) ซึ่งจะช่วยยกระดับคุณภาพผลิตภัณฑ์ และบริการให้เทียบเคียงกับองค์กรขนาดใหญ่ที่มีชื่อเสียงได้  

 
ประโยชน์ที่ได้รับภายในองค์กร    

• มีกระบวนการทำงานที่เป็นระบบยิ่งขึ้น
• มีคุณภาพสินค้าที่ดีขึ้น
• ช่วยลดค่าใช้จ่ายที่เกิดจากของเสียได้อย่างเป็นรูปธรรม
• เกิดประสิทธิภาพและประสิทธิผลในการทำงานดีขึ้น
• มีระบบเอกสารที่ดีขึ้น
  

ประโยชน์ที่ได้รับภายนอกองค์กร

• ลูกค้าเกิดความมั่นใจในสินค้าและบริการ
• ก้าวสู่ตลาดต่างประเทศได้ง่าย
• เพิ่มความพึงพอใจให้กับลูกค้า
• สร้างความสัมพันธ์อันดีกับลูกค้า
• เพิ่มศักยภาพในการแข่งขัน
  

หลักการของการบริหารงานคุณภาพ  (Quality Management Principle – QMP) มี 8 ประการ ได้แก่

1. การให้ความสำคัญกับลูกค้า (Customer Focus)
2. ความเป็นผู้นำ (Leadership)
3. การมีส่วนร่วมของบุคลากร (Involvement of People)
4. การบริหารเชิงกระบวนการ (Process Approach)
5. การบริหารที่เป็นระบบ (System Approach)
6. การปรับปรุงอย่างต่อเนื่อง (Continual Improvement)
7. การตัดสินใจบนพื้นฐานความเป็นจริง (Factual Approach to Decision Making)
8. ความสัมพันธ์กับผู้ขายเพื่อประโยชน์ร่วมกัน (Mutually Beneficial Supplier Relationship)
   
   

              ISO 9000 เป็นมาตรฐานสากลสำหรับระบบคุณภาพอันเกี่ยวกับการ จัดการ ด้านคุณภาพ และการประกันคุณภาพ โดยเน้น “ความพึงพอใจ ของลูกค้า” (Customer Satisfaction) เป็นสำคัญ
มาตรฐานงานคุณภาพ ISO 9000 จัดทำขึ้นโดยองค์การระหว่างประเทศ ว่าด้วยมาตรฐาน(International Organization for Standardization)ISO 9000 เป็นระบบคุณภาพที่ใช้ได้ทั่วไปไม่ว่าจะเป็นธุรกิจอุตสาหกรรม การผลิตหรือการบริการ โดยไม่คำนึงถึงขนาดเทคโนโลยี หรือความ ซับซ้อนขององค์การหลักการของระบบมาตรฐานงานคุณภาพ ISO 9000 นั้น ตั้งอยู่บนความคิดพื้นฐานที่ว่า เมื่อกระบวนการ (Process) ดีแล้ว ผลที่ได้รับ (Outputs) ก็ย่อมจะดีตามไปด้วย ซึ่งกระบวนการในที่นี้เป็นกระบวนการใดๆ ก็ได้ ที่ก่อให้เกิดผล และผลที่ได้เป็นทั้งรูปธรรมและนามธรรม โดยคำนึงถึงความต้องการของลูกค้าเป็นสำคัญซึ่งย่อมก่อให้เกิดความพึงพอใจของลูกค้าก็คือความหมายของ“คุณภาพ” นั่นเองการควบคุมกระบวนการให้ดีเพื่อให้ลูกค้ามั่นใจในสินค้าหรือการบริการนั้น โดยหลักการก็คือการจัดทำระบบ ที่ทำให้เชื่อมั่นได้ว่า กระบวนการ ต่างๆได้รับการควบคุมโดยมีเอกสารระบบขั้นตอนวิธีการทำงานเพื่อให้เกิดความ มั่นใจว่าหน่วยงานรู้หน้าที่ความรับผิดชอบของตนอีกทั้งขั้นตอนต่างๆในการ ปฏิบัติงาน หน่วยงานและบุคลากรจะต้องได้รับการอบรมเพื่อให้มีทักษะในการปฏิบัติงานมีการ บันทึกข้อมูลและตรวจสอบว่าการปฏิบัติงานเป็นไปตามที่ระบุไว้ มีการแก้ไขข้อผิดพลาด รวมทั้งมีการป้องกันปัญหามิให้เกิดซ้ำขึ้นอีก ดังนั้น เอกสารที่จัดทำขึ้นในระบบคุณภาพ ISO 9000 ก็เพื่อสร้างระบบ ให้ หน่วยงานนั่นเอง เพื่อให้การทำงานต่างๆ ภายในองค์กร ขึ้นอยู่กับ“ระบบ”ไม่ใช่ขึ้นอยู่กับ “คน” แต่เพียงอย่างเดียว


มาตรฐานคืออะไร

               มาตรฐานคือ ข้อตกลงที่จัดทำขึ้นเป็นเอกสาร โดยการรวบรวมข้อมูลหรือข้อกำหนดทางเทคนิค (Technical Specifications) หรือวิธีการทำงาน ที่ถูกต้อง เป็นที่ยอมรับโดยทั่วไป แล้วร่วมกำหนดเป็นเกณฑ์ข้อบังคับขึ้นมาหรือ นิยาม คำจำกัดความคุณลักษณะเฉพาะ (Definition of Characteristics)ของสิ่งนั้นๆที่จะทำให้เกิดความเชื่อมั่นว่า วัสดุ ผลิตภัณฑ์ ขบวนการ หรือการบริการนั้นๆ บรรลุตามวัตถุประสงค์ที่ต้องการดังนั้น มาตรฐาน (Standards) ก็คือ ข้อตกลงหรือพันธะร่วมที่ยอมรับระหว่างผู้ผลิตกับผู้รับบริการ หรือ เกิดจากเกณฑ์เฉลี่ยจากสมรรถนะ ของหน่วยงานและผู้ปฏิบัติงาน หรือ เกิดจากข้อกำหนดด้านวิธีการหรือการทำงาน (Procedures manual หรือ Work Instruction) นั้นเององค์การระหว่างประเทศว่าด้วยมาตรฐาน(International Organization for Standardization:ISO) เป็นองค์กรอิสระ(Non–govermential Organization) จัดตั้งขึ้นในปี คศ.1947 มีสำนักงานใหญ่อยู่ที่ กรุงเจนีวา ประเทศสวิสเซอร์แลนด์ มีสมาชิกกว่า 130 ประเทศทั่วโลก มีพันธกิจ (Mission) ในการกระตุ้นให้เกิดการพัฒนามาตรฐานงานต่างๆ และกิจกรรมอื่นๆ ที่เกี่ยวข้องเพื่อส่งเสริมให้มีการแลกเปลี่ยนสินค้าและบริการ และพัฒนาความร่วมมือในเรื่องทรัพย์สินทางปัญญา วิทยาศาสตร์ เทคโนโลยีและเศรษฐกิจ อย่างครบวงจรองค์การระหว่างประเทศว่าด้วยมาตรฐาน (International Organization for Standardization) มีชื่อเรียกสั้น ๆว่า ISO เป็นภาษากรีก ซึ่งมีความหมายว่า “เท่าเทียมกัน” ดังเช่น “ ISOMETRIC” ซึ่งมีความหมายว่า “วัดได้เท่ากันหรือขนาดเท่ากัน” หรือ “ISONOMY”ซึ่งหมายถึง “มีความเท่าเทียมกันตามกฎหมาย”เป็นต้น ดังนั้นคำว่า“ ISO” จึงไม่ใช่คำที่ย่อมาจากชื่อเต็มขององค์การ
องค์การระหว่างประเทศว่าด้วยมาตรฐาน (International Organization for Standardization) ประสพความสำเร็จในการกำหนดมาตรฐาน ต่างๆมากมาย ที่นานาประเทศนำไปใช้อย่างแพร่หลาย ก่อให้เกิดประโยชน์ต่อวงการค้า อุตสาหกรรมและต่อผู้บริโภคเอง เช่น

• กำหนดรหัสความเร็วของฟิล์มถ่ายรูป (The ISO Film Speed Code)
• กำหนดมาตรฐานของบัตรโทรศัพท์และบัตรเครดิต (Telephone and Banking Cards)
• องค์กรธุรกิจกว่า 10,000 องค์กร ได้มีการนำระบบมาตรฐานงานคุณภาพ ISO 9000 เป็นกรอบไปปฏิบัติว่ามีการบริหารจัดการ อย่างมี คุณภาพและประกันคุณภาพ ขณะเดียวกันก็ได้นำมาตรฐาน ISO 14000 นำไปเป็นกรอบปฏิบัติในเรื่องของการจัดการสภาพแวดล้อมอย่างได้ผล
• กำหนดตู้ Container (Internationally Standard Freight Container) ให้เป็นมาตรฐานเดียวกันหมด เพื่อให้เกิดความสะดวกในการขนส่งไม่ว่า จะขนส่ง ด้วยเครื่องบิน เรือเดินทะเล รถไฟ รถยนต์บนทางหลวง หรือในการจัดเก็บ พร้อมทั้งกำหนดเป็นเอกสารมาตรฐาน ชี้บ่งประเภท ของ สินค้าที่จะต้องเฝ้าระวังด้วยทำให้ต้นทุนการค้าขายมีราคาถูกลง มีความรวดเร็วและปลอดภัยมากขึ้น
• กำหนดระบบการวัดมาตรฐาน (Universal System of Measurement) ขึ้นมา 7 หน่วยพื้นฐานซึ่งเป็นที่รู้จักกันทั่วไปว่า ระบบ SI Unit ซึ่งถ้า ปราศจากหน่วยมาตรฐานเหล่านี้แล้วงานทางด้านช่างก็จะไร้จุดยึดเหนี่ยวการ พัฒนาทางด้านเทคโนโลยีก็จะชลอตัวลงเสียเปรียบกับด้านอื่นๆที่มีการพัฒนา อย่างด่อเนื่อง
• กำหนดมาตรฐานขนาดกระดาษ (Paper Sizes) เช่น ISO 216 เพื่อเป็นประโยชน์แก่ผู้ผลิตและลูกค้าในเรื่องของราคา
• กำหนดมาตรฐานสัญญาลักษณ์ ควบคุมการทำงานต่างๆ ภายในรถยนต์ (Symbols for Automobile Controls)ให้เป็นมาตรฐานเดียวกันทั่ว โลก ไม่ว่าจะผลิตจากแหล่งใด
• กำหนดมาตรฐานความปลอดภัยของลวดสลิง (Safety of Wire Ropes) ที่ใช้ในฐานขุดเจาะน้ำมัน เรือประมง อุตสาหกรรมเหมืองแร่ ลิฟท์ (Lift) ในอาคารและในรถกระเช้า (Cable Car) เป็นต้น
• กำหนดรหัสมาตรฐาน สำหรับชื่อประเทศ สกุลเงิน และภาษาที่ใช้ (ISO International Codes for Country Names, Currency and Language)
• กำหนดเกลียวมาตรฐาน (ISO Metric Screw Threads) สำหรับ Bolts และ Nuts ต่างๆ ที่ใช้อยู่ทั่วโลก
  

เหตุผลสำคัญที่ทั่วโลกยอมรับ ISO 9000

• เป็นมาตรฐานที่ใช้กันทั่วโลก
• คุณภาพเป็นสิ่งสำคัญในการแข่งขันของธุรกิจทั้งในปัจจุบันและอนาคต
• มีความหลากหลายในการนำไปประยุกต์ใช้
• การยอมรับของประเทศชั้นนำมากกว่า 130 ประเทศ
• สามารถขึ้นทะเบียนใบรับรองได้ทั่วโลก

ธุรกิจที่ประยุกต์ใช้ ISO 9000 แล้วได้แก่

• น้ำมัน ปิโตรเลี่ยม ปิโตรเคมี ก๊าซธรรมชาติ
• ชิ้นส่วนรถยนต์
• พลาสติก กระดาษ โลหะ
• อิเลคโทรนิคส์ และไฟฟ้า
• อาหาร และ Catering
• เคมี และยาเวชภัณฑ์
• บริการ เช่น โรงแรม โรงพยาบาล การประกันภัย การขนส่ง
• ก่อสร้าง
  
  

 หลักการโดยทั่วไป

               ใน ปัจจุบันองค์กรต่างๆต่างเล็งเห็นถึงประโยชน์ของเทคโนโลยีที่จะนำมาใช้ในการ ดำเนินงาน อย่างไรก็ดีองค์กรที่ได้รับความสำเร็จอย่างแท้จริงจากการนำ เทคโนโลยีใช้ให้เกิดประโยชน์จะได้แก่องค์กรที่ผู้บริหารมีความรู้ความเข้าใจ ที่จะจัดการกับความเสี่ยงด้านการนำเทคโนโลยีมาใช้ในองค์กรอย่างเหมาะสการบริ หารและจัดการความเสี่ยงด้านเทคโนโลยีจึงกลายเป็นส่วนที่มีนัยสำคัญในการ บริหารจัดการความเสี่ยงขององค์กรโดยรวมโดยเฉพาะองค์กรที่มุ่งสู่การเป็น บรรษัทภิบาล (Good Corporate Governance)

               CoBIT^â หรือ Control Objectives for Information and Related Technologyเป็นทั้งแนวคิดและแนวทางการปฎิบัติ (Framework) เพื่อการควบคุมภายในที่ดีด้านเทคโนโลยีสำหรับองค์กรต่างๆที่จะใช้อ้างอิงถึง แนวทางการปฎิบัติที่ดี (Best Practice)ซึ่งสามารถนำไปปรับใช้ได้ในทุกองค์กรสำหรับกิจกรรมที่เกี่ยวข้อง กับเทคโนโลยีสารสนเทศ โดยโครงสร้างของ CoBIT^â ออกแบบอยู่บนพื้นฐานของกระบวนการทางธุรกิจ Business Process ซึ่งแบ่งเป็น 4 กระบวนการหลัก (Domain) ได้แก่

• การวางแผนและการจัดการองค์กร (Planning and Organization)
• การจัดหาและติดตั้ง (Acquisition and Implementation)
• การส่งมอบและบำรุงรักษา (Delivery and Support)
• การติดตามผล (Monitoring)

ในแต่ละกระบวนการหลักข้างต้น CoBIT^â แสดง วัตถุประสงค์ของการควบคุมหลัก ( High-level Control Objectives  รวมถึง34หัวข้อและในแต่ละหัวข้อจะประกอบด้วยวัตถุประสงค์ของการควบคุมย่อยลง ไปอีกขั้นหนึ่ง(Detailed Control Objectives) รวมถึง 318หัวข้อย่อยพร้อมทั้งแนวทางการตรวจสอบ (Audit Guidelines) สำหรับแต่ละหัวข้ออีกด้วยในแต่ละหัวข้อของวัตถุประสงค์ของการควบคุม CoBIT^â แสดงถึงความสัมพันธ์ต่อปัจจัย 2 ประการ ได้แก่

• คุณภาพของระบบข้อมูล ประการ (Information Criteria)
• ทรัพยากรด้านเทคโนโลยี (IT Resources) 5 ประเภท

              นอกจากโครงสร้างของ CoBIT^â ดังกล่าวข้างต้นแล้ว CoBIT^â ยังให้แนวทางสำหรับผู้บริหาร (Management Guidelines) เพื่อใช้ในการในการวัดผลการนำ CoBIT^â  ไปใช้ในองค์กร โดยประกอบด้วย 4 ปัจจัยหลัก ได้แก่

• Maturity Model
• Critical Success Factors
• Key Goal Indicators
• Key Performance Indicators
  
  

คุณภาพของระบบข้อมูล 7 ประการ (Information Criteria)
 

• ประสิทธิผล (Efficiency) หมายถึง มีการใช้ประโยชน์จากทรัพยากรอย่างเต็มที่เพื่อให้ได้มาซึ่งข้อมูลสารสนเทศ
• ความลับ (Confidentiality) หมายถึง การป้องกันการเปิดเผยข้อมูลที่สำคัญต่อบุคคลหรือหน่วยงานที่ไม่ได้รับอนุญาต
• ความสมบูรณ์ (Integrity) หมายถึงความครบถ้วนถูกต้องของข้อมูล ตลอดจนเป็นข้อมูลใช้ได้(Vali
• ประสิทธิภาพ (Effectiveness) หมายถึงข้อมูลที่ใช้เกี่ยวข้องกับกระบวนการทางธุรกิจ รวมทั้งมีการส่งมอบข้อมูลแก่ผู้ใช้อย่าง ถูกต้อง ตรงเวลา สม่ำเสมอ (Consistent) และใช้ประโยชน์ได้ (Usable)
• dity) ในแง่ของความคาดหมายและการให้ความสำคัญของธุรกิจ (business values and expectations)
• การ มีใช้เมื่อต้องการ (Availability) หมายถึง เป็นข้อมูลที่เรียกใช้ได้เมื่อต้องการและจำเป็นใช้ ทั้งในปัจจุบันและอนาคต และรวมทั้งการป้องกันภัยให้กับทรัพยากรต่างๆที่จำเป็นและการรักษาระดับความ สามารถในการทำงานของทรัพยากรเหล่านั้น
• การปฎิบัติตามระบบ (Compliance) หมายถึง การที่ข้อมูลได้จัดทำขึ้นตามกฎ ระเบียบ ข้อบังคับ หลักเกณฑ์ ข้อตกลง หรือกฎหมาย ที่มีขึ้นเพื่อบังคับใช้ทั้งจากหน่วยงานภายในและภายนอกองค์กร เช่น ข้อบังคับของตลาดหลักทรัพย์ ประมวลกฎหมายภาษีอากร หลักการบัญชีที่ยอมรับโดยทั่วไป เป็นต้น
• ความ น่าเชื่อถือของข้อมูล (Reliability of Information) หมายถึงความสามารถในการจัดหาข้อมูลที่เหมาะสมให้แก่ผู้บริหารของกิจการเพื่อ สามารถดำเนินธุรกิจและเพื่อให้สามารถจัดทำรายงานทางการเงินและรายงานที่จำ เป็นอื่นๆภายใต้ความรับผิดชอบของผู้บริหาร
  
  

ทรัพยากรด้านเทคโนโลยี (IT Resources) 5 ประเภท

• ข้อมูล (Data) รวมความถึงข้อมูลในรูปแบบต่างๆทั้งที่มีโครงสร้างและไม่มีโครงสร้าง ข้อมูลด้านกราฟฟิค และข้อมูลที่เป็นเสียง
• ระบบงาน (Application System) ได้แก่ขั้นตอนและกระบวนการปฎิบัติงานทั้งที่ทำด้วยมือและโปรแกรมคอมพิวเตอร์
• (Technology) ได้แก่ เครื่องคอมพิวเตอร์ (hardware) โปรแกรมระบบ (Operating Systems) ระบบบริหารฐานข้อมูล (database management system) ระบบเครือข่าย (Networking) และระบบมัลติมีเดีย
• (Facilities) ได้แก่ทรัพยากรต่างๆที่ใช้เป็นสถานที่ติดตั้งหรือจัดวาง ตลอดจนสาธารณูปโภคที่จำเป็นเพื่อการปฎิบัติงานของระบบสารสนเทศ
• บุคลากร (People) ได้แก่บุคคลากรที่มีความรู้ความชำนาญในการบริหารและปฎิบัติงาน สำหรับการดูแลและจัดทำระบบสารสนเทศ
  
  

 โครงสร้างของโคบิต (CoBIT Structure)

•         การนำระบบเทคโนโลยีสารสนเทศเข้ามาใช้เพื่อสนับสนุนการทำงานและ กลยุทธ์ต่างๆ ขององค์กร จะสามารถประสบความสำเร็จได้นั้น องค์กรจะต้องมีการกำหนดหน้าที่ความรับผิดชอบต่างๆ ให้ชัดเจน และพนักงานทุกคนจะต้องเข้าใจว่าอะไรคือสิ่งที่ได้จากการนำเทคโนโลยีสารสนเทศ เข้ามาใช้ และจะใช้สิ่งต่างๆ เหล่านั้นให้เกิดประโยชน์ได้อย่างไร ซึ่งโคบิตได้จัดเตรียมเนื้อหาที่ครอบคลุมในเรื่องของการบริหารจัดการ เทคโนโลยีสารสนเทศที่นำมาใช้ในองค์กร โดยจะแบ่งออกเป็น 4 โดเมนหลักๆ ซึ่งมีรายละเอียดดังนี้ 
  
  

การวางแผนและการจัดองค์กร (Plan and Organize : PO) 

           เนื้อหาในโดเมนนี้ครอบคลุมในเรื่องของกลยุทธ์และวิธีการที่นำมาใช้ในองค์กร โดยจะเน้นในเรื่องของการกำหนดวิธีที่จะทำให้เทคโนโลยีสารสนเทศมีบทบาทสำคัญ เพื่อให้สารสนเทศนั้นสามารถตอบสนองความต้องการทางด้านธุรกิจขององค์กรได้ ซึ่งการกำหนดกลยุทธ์ที่สามารถนำมาใช้ได้จริงนั้นจำเป็นที่จะต้องมีการวางแผน มีการบริหารจัดการที่ดี และต้องมีการสื่อสารให้พนักงานทั้งองค์กรรับทราบร่วมกัน และท้ายสุดองค์กรจำเป็นต้องมีการจัดวางโครงสร้างพื้นฐานด้านเทคโนโลยี สารสนเทศที่เหมาะสม จากเนื้อหาในโดเมนนี้จะทำให้ผู้บริหารสามารถตอบคำถามต่างๆ เหล่านี้ได้

• ทำให้ผู้บริหารทราบว่ากลยุทธ์ทางด้าน IT และกลยุทธ์ทางด้านธุรกิจเป็นไปในทิศทางเดียวกันหรือไม่
• ประสิทธิภาพและคุณภาพของระบบ IT ที่องค์กรนำมาใช้ มีความเหมาะสมกับความต้องการทางด้านธุรกิจหรือไม่
• เพื่อให้ผู้บริหารสามารถทราบได้ว่าองค์กรกำลังประสบความสำเร็จด้วยการใช้ทรัพยากรต่างๆ อย่างเต็มที่หรือไม่
• เพื่อให้ทราบได้ว่าพนักงานในองค์กรมีความเข้าใจในวัตถุประสงค์ขององค์กรหรือไม่
• เพื่อ ให้ทราบว่าผู้ปฏิบัติงานมีความรู้ความเข้าใจในความเสี่ยงทางด้าน IT ที่เกี่ยวข้องกับการปฏิบัติงานของตนหรือไม่ และจะมีวิธีการบริหารจัดการกับความเสี่ยงดังกล่าวได้อย่างไร
  
  

การจัดหาและนำระบบออกใช้งานจริง (Acquire and Implement : AI)
 
            เนื้อหาในโดเมนนี้จะเน้นที่เรื่องของการทำให้กลยุทธ์ที่ได้กำหนดไว้ประสบผล สำเร็จ ซึ่งการดำเนินงานตามกลยุทธ์ที่ได้วางไว้นั้น จะต้องมีการระบุ พัฒนาหรือจัดซื้อจัดหา นำไปติดตั้งใช้งาน รวมถึงการผนวกรวมเทคโนโลยีสารสนเทศเข้าเป็นส่วนหนึ่งของกระบวนการทางธุรกิจ และในโดเมนนี้ยังรวมถึงการเปลี่ยนแปลงและการดูแลรักษาระบบงานที่องค์กรมี อยู่ เพื่อให้สามารถมั่นใจได้ว่าเทคโนโลยีสารสนเทศยังคงสามารถสนับสนุนการทำงาน และวัตถุประสงค์ของธุรกิจได้อยู่ตลอดเวลา จากเนื้อหาในโดเมนนี้จะทำให้ผู้บริหารสามารถตอบคำถามต่างๆ เหล่านี้ได้

• โครงการด้านเทคโนโลยีสารสนเทศใหม่ที่กำลังพัฒนาหรือจัดหานั้น สามารถนำมาใช้เพื่อแก้ไขปัญหาหรือสร้างประโยชน์ให้กับธุรกิจได้หรือไม่
• โครงการที่กำลังพัฒนาหรือจัดหานั้น สามารถนำมาใช้งานได้ทันตามระยะเวลาและงบประมาณที่กำหนดไว้หรือไม่
• ระบบใหม่ที่นำมาใช้งานนั้น สามารถทำงานได้อย่างมีประสิทธิภาพ ตรงตามความต้องการของธุรกิจหรือไม่
• การเปลี่ยนแปลงที่เกิดขึ้นทำให้เกิดผลเสียต่อการปฏิบัติงานของธุรกิจในปัจจุบันหรือไม่
  
  

  การส่งมอบและการสนับสนุน (Delivery and Support : DS)
 
              เนื้อหาในโดเมนนี้จะเน้นในเรื่องของการส่งมอบบริการด้านเทคโนโลยีสารสนเทศ เมื่อมีความต้องการจากภาคธุรกิจ ซึ่งรวมตั้งแต่การส่งมอบบริการ การดำเนินงานด้านการรักษาความปลอดภัยและความต่อเนื่องของการให้บริการ การบริหารจัดการสารสนเทศและอุปกรณ์อำนวยความสะดวกต่างๆ ที่ใช้ในการปฏิบัติงาน ไปจนถึงการฝึกอบรมพนักงานเพื่อให้มีความรู้ในเรื่องของเทคโนโลยีสารสนเทศที่ เกี่ยวข้องกับงานที่ตนเองปฏิบัติ จากเนื้อหาในโดเมนนี้จะทำให้ผู้บริหารสามารถตอบคำถามต่างๆ เหล่านี้ได้

• การให้บริการด้านเทคโนโลยีสารสนเทศสามารถสนับสนุนกรปฏิบัติงานด้านธุรกิจได้อย่างสอดคล้องกับเป้าหมายและวัตถุประสงค์ของธุรกิจหรือไม่
• ต้นทุนด้านเทคโนโลยีสารสนเทศที่ใช้ไปคุ้มค่าแล้วหรือไม่
• การปฏิบัติงานต่างๆ ขององค์กรสามารถที่จะใช้งานระบบสารสนเทศได้อย่างมีประสิทธิภาพและเกิดความปลอดภัยหรือไม่
• ระบบ เทคโนโลยีสารสนเทศที่ใช้อยู่ในปัจจุบันมีการรักษาความลับ (Confidentiality) ความถูกต้องตรงกัน (Integrity) และความพร้อมใช้งาน (Availability) เพียงพอแล้วหรือไม่

การติดตามและประเมินผล (Monitor and Evaluate)
               เนื้อหาในโดเมนนี้จะเน้นในเรื่องของการตรวจสอบติดตามและประเมินผลของระบบ เทคโนโลยีสารสนเทศ โดยกระบวนการด้านเทคโนโลยีสารสนเทศทั้งหมดจะต้องได้รับการประเมินอยู่เสมอ เพื่อรับประกันได้ถึงคุณภาพและการปฏิบัติตามขอบังคับของการควบคุม ในโดเมนนี้จะเป็นการระบุถึงการบริหารจัดการในด้านของประสิทธิภาพของระบบ สารสนเทศ ซึ่งจะต้องได้รับการประเมินจากผู้ตรวจสอบทั้งภายในและภายนอกองค์กร จากเนื้อหาในโดเมนนี้จะทำให้ผู้บริหารสามารถตอบคำถามต่างๆ เหล่านี้ได้

• มีการประเมินหรือวัดประสิทธิภาพของระบบเทคโนโลยีสารสนเทศ เพื่อตรวจหาปัญหาก่อนที่ปัญหานั้นจะเกิดขึ้นจริงหรือไม่
• ผู้บริหารจะสามารถมั่นใจได้อย่างไรว่าการควบคุมต่างๆ ที่องค์กรนำมาใช้นั้นมีประสิทธิภาพและประสิทธิผลจริง
• ประสิทธิภาพของระบบเทคโนโลยีสารสนเทศที่มีอยู่นั้นสามารถสนับสนุนเป้าหมายทางด้านธุรกิจหรือไม่
• มีการวัดผลและรายงานในเรื่องของความเสี่ยง การควบคุม การปฏิบัติตามกฎ และประสิทธิภาพ ไปยังผู้บริหารระดับสูงขององค์กรหรือไม่
  

  IT Infrastructure Library (ITIL)

                   ในปัจจุบันชื่อ ITIL นี้คงเป็นที่คุ้นหูของหลายๆท่านที่อยู่ในวงการ IT โดยเฉพาะอย่างยิ่ง ท่านที่ต้องบริหารจัดการศูนย์ปฏิบัติการคอมพิวเตอร์   ITIL คืออะไร วันนี้เราจะได้นำท่านมาทำความรู้จักกับ ITIL กัน หากเราลองนึกถึงสิ่งที่เกิดขึ้นในแต่ละวันในศูนย์ปฏิบัติการคอมพิวเตอร์ (ศูนย์ฯ)  ไม่ว่าเราจะไปที่ศูนย์ฯใด เราจะพบว่ามีคนกลุ่มหนึ่งกำลังขะมักเขม้นกับการรับโทรศัพท์แจ้งปัญหาจาก ลูกค้า หรือผู้ใช้บริการ  ในขณะที่อีกกลุ่มหนึ่งกำลังนั่งวิเคราะห์ปัญหาที่เกิดขึ้นกับระบบงานที่ ลูกค้าแจ้งเข้ามา  อีกกลุ่มหนึ่งอาจจะกำลังพยายามแก้ปัญหาที่เกิดขึ้นให้ผ่านลุล่วงไปก่อนโดย ยังไม่สนใจสาเหตุที่แท้จริงของปัญหา เพื่อให้บริการดังกล่าวสามารถเปิดให้บริการแก่ลูกค้าได้อีกครั้งอย่างรวด เร็วที่สุด อีกกลุ่มหนึ่งอาจจะกำลังทดสอบกับระบบงานใหม่ที่กำลังจะเปิดตัวให้แก่ลูกค้า ในเร็ววันนี้     หากสมมติว่าท่านเป็นผู้อำนวยการศูนย์ฯ ท่านคิดว่าตัวอย่างของสิ่งที่เกิดขึ้นนี้เป็นสิ่งที่เกิดขึ้นตามปกติหรือ ไม่   และท่านเองได้รับมือ แก้ไข บริหาร และจัดการ กับสิ่งที่ว่านี้อย่างไร   รวมไปถึงว่าท่านเองก็คงต้องให้คำมั่นสัญญากับลูกค้าหรือผู้ใช้ว่า จะไม่เกิดเหตุการณ์ดังกล่าวขึ้นอีก หรือหากเกิดท่านจะสามารถแก้ไขได้ภายในเวลาเท่าไร  หากต้องการไม่ให้เกิดปัญหาดังกล่าว ในระยะสั้น ระยะกลาง ระยะยาว ท่านสามารถเตรียมการให้กับผู้ใช้หรือลูกค้าได้อย่างไร  คิดเป็นเงินลงทุนเท่าไร ความคุ้มค่าของเงินลงทุนเป็นอย่างไร เป็นต้นครับ ผมได้นำท่านเข้าสู่ห้วงแห่งความคิดคำนึงและความหนักอกหนักใจของท่านที่ต้อง รับผิดชอบดูแลศูนย์ฯ  ว่าท่านจะต้องคำนึงถึงเรื่องอะไร เช่นใดบ้าง  เราจะพบว่าไม่ว่าท่านจะเป็นผู้บริหารจัดการศูนย์ฯขนาดเล็ก หรือใหญ่แค่ไหน  จะเป็นศูนย์ฯสำหรับธุรกิจประเภทใด  เป็นศูนย์ฯเฉพาะทางสำหรับงานใดๆ  สิ่งนี้เป็นสิ่งที่เป็นปัญหาทั่วไปของท่านผู้ดูแลศูนย์ฯ ที่จะต้องบริหารจัดการให้ได้อย่างมีประสิทธิภาพ และด้วยความเป็นมืออาชีพเมื่อสิ่งเหล่านี้เป็นปัญหาทั่วไปที่เกิดขึ้น จึงทำให้มีการรวบรวมองค์ความรู้ในการบริหารจัดการศูนย์ เพื่อให้ท่านผู้ดูแล หรือผู้บริหารจัดการศูนย์ฯ สามารถนำความรู้ดังกล่าวมาใช้บริหารจัดการศูนย์ฯอย่างมีประสิทธิภาพและด้วย ความเป็นมืออาชีพได้    นี่คือที่มาของ ITIL หรือ IT Infrastructure Library ครับ
  ผมคิดว่าจำเป็นต้องเขียนบทความเกี่ยวกับ ITIL นี้หลายตอน จึงจะนำท่านผู้อ่านเข้าสัมผัสกับเรื่องราวที่น่าสนใจนี้ได้ครบทุกเรื่อง ครับ  สำหรับตอนแรกนี้ผมจะกล่าวโดยสรุปสำหรับท่านที่จำเป็นต้องใช้เวลากับการทำงาน ของท่านมาก มีเวลาให้กับการอ่านบทความนี้น้อยก่อนนะครับ
  มารู้จักประวัติกันก่อน
                    ก่อนจะเข้าสู่เรื่องนั้น  หากท่านใดมีความสนใจอยากทราบที่มาที่ไปของ ITIL นั้น ก็เชิญได้ครับ หากท่านใดไม่มีความสนใจ ก็สามารถข้ามไปได้เลยครับ ผมจะไม่ทำให้เนื้อหาขาดตอน หรือไม่ต่อเนื่องสำหรับท่านผู้อ่านครับประวัติตอนต้นที่แท้จริงต้องย้อนไปถึงช่วงปลายทศวรรษ 1980 โดยรัฐบาลประเทศอังกฤษตระหนักว่าคุณภาพของการให้บริการด้าน IT นั้นไม่เพียงพอเสียแล้ว จึงได้มีการมอบหมายให้ CCTA (The Central Computer and Telecommunication Agency)  ซึ่งได้กลายเป็น OGC (Office of Government Commerce) เมื่อปี 2000   ทำการพัฒนากรอบความรู้ขึ้นสำหรับการบริหารทรัพยากรด้าน IT ที่มีประสิทธิภาพให้แก่ภาครัฐและเอกชน  โดยตอนเริ่มต้นนั้นยังไม่ได้ใช้ชื่อ ITIL แต่ใช้ชื่อว่า GITIMM (Government Information Technology Infrastructure Management Method)  ซึ่งต่อมาได้มีการชี้ประเด็นกันว่า ไม่น่าจะเรียกว่าวิธีการ(Method) น่าจะเรียกว่าเป็นคู่มือช่วย(Guidance) มากกว่า   และก็ได้มีการจัดตั้งคณะผู้ใช้ซึ่งแต่เดิมเรียกว่า IT Infrastructure Management Forum ซึ่งต่อมาได้กลายเป็น itSMF หรือ IT Service Management Forum   เมื่อประมาณปี ’94-’95   ผลงานเรื่องแรกที่ออกมาคือผลงานเรื่อง Service Level Management ในปี 1989  และผลงานเรื่องสุดท้ายคือเรื่อง Availability Management ซึ่งออกมาเมื่อปี 1994    จากนั้นก็ได้มีการรวบรวมผลงานทั้งหมดเข้าด้วยกัน โดยแบ่งออกเป็น 2 เล่มหลัก คือหนังสือปกน้ำเงิน กับหนังสือปกแดง    หนังสือปกน้ำเงิน(blue book) นั้นเป็นเรื่องเกี่ยวกับ Service Support และ หนังสือปกแดง(red book) นั้นเป็นเรื่องเกี่ยวกับ Service Delivery   หนังสือสองเล่มนี้ถือเป็นสองเล่มหลักของ ITIL framework ที่มีปัจจัยต่อการปรับปรุงกระบวนการในการให้บริการทางด้าน IT  ต่อจากนั้นมาก็ได้มีผลงานด้านอื่นที่เกี่ยวข้องตามออกมาอีกดังแสดงในภาพ 
  
  
  
  
  
  
   ประโยชน์ของ ITIL
  
  
                 ความรู้ด้าน ITIL ที่เป็นหลักที่ผมจะกล่าวถึงตั้งแต่ตอนนี้เป็นต้นไป ผมจะกล่าวถึงความรู้ที่จัดอยู่ในกรอบการบริหารจัดการบริการทางด้าน IT ซึ่งแบ่งออกได้เป็น 2 เรื่องคือ Service support และ Service Delivery นะครับ    สำหรับด้านอื่นๆที่มีออกมาในภายหลังเช่น Planning to Implement Service Management หรือ Application Management ผมจะขอยังไม่กล่าวถึงครับ ITIL จัดว่าเป็นการรวบรวมเอาความรู้ที่มีอยู่แล้วในการบริหารจัดการศูนย์ฯ  ซึ่งได้ถูกนำไปใช้แล้วในวงการอุตสาหกรรมต่างๆที่จำเป็นต้องใช้ IT ในช่วงเวลาหลายสิบปีที่ผ่านมา   ITIL จึงถูกเรียกว่าเป็น Best Practice ของการบริหารจัดการ IT   ซึ่งในเวลาต่อมาได้มีการกล่าวถึง ITIL ในแง่ที่เป็น IT Service Management Framework กันอย่างแพร่หลาย  และได้กลายเป็น de facto standard ไปในปัจจุบัน 
  ประโยชน์จากการนำความรู้ ITIL มาใช้นั้น คือประโยชน์ที่เกิดขึ้นจากการที่สามารถปรับปรุงกระบวนการให้ดีขึ้น มีประสิทธิภาพมากขึ้นนั่นเอง  ซึ่งได้แก่
         • การใช้ทรัพยากรที่มีอยู่ได้คุ้มค่ามากขึ้น
         • สร้างเสริมความสามารถในการแข่งขันกับคู่แข่งในตลาด
         • ช่วยลดงานซ้ำซ้อนหรืองานที่ไม่จำเป็นลงได้
         • ช่วยทำให้งานแต่ละโปรเจคท์ดำเนินไปได้ตามที่วางแผนไว้
         • ปรับปรุงความสามารถในการให้บริการ IT แก่ลูกค้าให้ดีขึ้น
         • สามารถหาต้นทุนของการให้บริการที่มีคุณภาพตามที่กำหนดได้
         • สามารถให้บริการที่มีคุณภาพแก่ลูกค้าได้ตามที่สัญญาไว้
  เป็นต้น   ประโยชน์ต่างๆเหล่านี้ที่เกิดขึ้นในแต่ละองค์กร สามารถนำมาคำนวณเพื่อหามูลค่าความคุ้มค่าได้  และโดยเหตุที่ ITIL นั้นครอบคลุม 10 กระบวนการ กับอีก 1 ฟังก์ชัน (ภาพด้านล่าง) 
  
  
  
  
   การปรับปรุงกระบวนการในแต่ละกระบวนการก็จะให้ค่าความคุ้มค่าที่ต่างกันออกไปด้วย   ตัวอย่างขององค์กรที่ได้ประโยชน์จาก ITIL 1 ได้แก่
              • Procter & Gamble    P&G นำ ITIL เข้ามาใช้งานในองค์กรตั้งแต่ปี 1999 หลังจากผ่านไป 4 ปี P&G รายงานว่าสามารถประหยัดต้นทุนไปได้ถึง 500 ล้านเหรียญสหรัฐ ซึ่งคิดเป็นต้นทุนด้านการปฏิบัติงาน (operation cost) ที่ลดลงประมาณ 6-8%  และบุคคลากรทางด้าน IT ลดลงประมาณ 15-20%
                • Caterpillar  บริษัท Caterpillar นำ ITIL มาใช้ในองค์กรเมื่อปี 2000 เพื่อจัดการปัญหาที่เกิดขึ้น (incident management)  และได้พบว่าสามารถเพิ่มอัตราการตอบสนองต่อผู้ใช้บริการตามเกณฑ์ที่ตั้งไว้ จาก 60-70% เป็น 90%
                 • Ontario Justice Enterprise  บริษัทนายหน้าที่ทำหน้าที่ดูแลระบบของรัฐบาลแคนาดา นำ ITIL มาใช้ในองค์กรในปี 1999  โดยการทำ virtual service desk ทำให้ลดค่าใช้จ่ายด้านการ supportลงได้ถึง 40% คงต้องขอย้ำอีกครั้งคับว่า ITIL นั้นเป็น Best Practice ซี่งหมายความว่า ITIL ไม่ใช่มาตรฐานประเภทเดียวกันกับพวก ISO หรือ BSxxxx   จึงไม่ได้มีการทำ certification ขององค์กรบน ITIL กัน  แต่ก็ได้มีการนำหลักการ ITILมาทำเป็นมาตรฐานทางด้านนี้เช่นกันครับ มาตรฐานดังกล่าวได้แก่มาตรฐาน BS15000 ซึ่งเป็นของทางอังกฤษ  และในปัจจุบันได้มีการนำเสนอเข้าสู่กระบวนการในการทำให้เป็นมาตรฐาน ISO20000 เรียบร้อยแล้ว ดังนั้นสำหรับมาตรฐาน ISO นั้น เราคงต้องรออีกสักระยะครับ  ส่วนทางด้านของ ITIL เองนั้น ได้ถูกเน้นหนักไปในด้านของการให้การศึกษาหรือความรู้ในหลักการ  จึงได้มีการทำ certification ของการศึกษานี้ออกมา โดยแบ่งออกเป็น
   
  
  
  
  ITIL Foundation   คอร์สนี้เป็นคอร์สเบื้องต้นพื้นฐานสำหรับท่านที่ยังใหม่ต่อเรื่องนี้อยู่ เมื่อเรียนจนจบและสอบผ่านก็จะได้ ITIL Foundation Certificate และได้ ITIL Badge เป็นรูปสี่เหลี่ยมข้ามหลามตัดสีเขียวดังในภาพครับ
            • ITIL Practitioner   คอร์สนี้เป็นคอร์สเจาะลึกลงในแต่ละกระบวนการ  แต่ละกระบวนการใช้เวลา 3 วัน เมื่อเรียนจนจบและสอบผ่านก็จะได้ ITIL Practitioner Certificate และได้ ITIL Badge เป็นรูปสี่เหลี่ยมข้ามหลามตัดสีฟ้าดังในภาพครับ  ผู้ที่จะเรียนหรือสอบคอร์สเฉพาะทางนี้ได้ต้องผ่านการสอบ ITIL Foundation มาก่อนครับ
            • ITIL Service Manager คอร์สนี้เป็นคอร์สสำหรับผู้ที่ต้องการเจาะลึกลงในทุกกระบวนการที่เกี่ยวข้อง ของ ITIL ทั้งหมด  ซี่งใช้เวลาเรียนนานกว่าเพื่อน และข้อสอบก็ยากกว่ามากครับ แต่เมื่อเรียนจบและสอบผ่านก็จะได้ ITIL Service Manager Certificate และได้ ITIL Badge เป็นรูปสี่เหลี่ยมข้ามหลามตัดสีแดงดังในภาพครับ  แน่นอนครับผู้ที่จะเรียนหรือสอบคอร์สเฉพาะทางนี้ได้ต้องผ่านการสอบ ITIL Foundation มาก่อนครับ  คอร์สนี้ถือเป็นอันสิ้นสุดของ certificate ด้านสาย service management ที่มีให้ในปัจจุบันครับ ขอให้สังเกตว่า Certification ทางด้าน ITIL นี้ เป็น certification ที่ให้แก่บุคคลที่ผ่านการทดสอบความรู้ และนอกจากนั้น certification นี้เป็นชนิดที่เป็นตลอดชีวิต ทั่วโลกรู้จัก (word-wide recogition, entire life certification)  เพราะฉะนั้นท่านใดได้แล้ว ไม่ต้องคอยสอบใหม่เพื่อต่ออายุครับ
  นอกจาก certificate ของบุคคล และมาตรฐาน BS 15000 หรือ ISO20000 ที่จะมีในอนาคต  ที่จะให้แก่องค์กรแล้ว ก็ยังมี certification ที่ให้กับ’บริการ’ อีกเช่นกัน  certification นี้มีผู้ให้บริการจัดทำคือบริษัท ซันไมโครซิสเต็ม จำกัด  โดยการนำเอาหลักการทางด้าน ITIL มาประยุกต์ใช้เพื่อให้หลักประกันว่าบริการหนึ่งๆขององค์กรนั้นๆ มีมาตรฐานในการให้บริการสอดคล้องกับแนวทางของ ITIL หรือไม่ประการใด  การให้ certification แบบนี้เรียกว่า SunTone Service ซึ่งเป็นบริการที่บริษัท ซันไมโครซิสเต็ม จำกัด ได้ให้บริการอยู่แล้วในปัจจุบัน 
  
  
  
  
  
  
  
  
  
  

   

มาตรการจัดการความมั่นคงปลอดภัยของสารสนเทศ

มาตรฐาน ISO/IEC 27002 กำหนดมาตรการด้านความมั่นคงปลอดภัยของสาสนเทศ (Information security controls) ไว้เพื่อให้ผู้ที่สนใจศึกษานำมาใช้จัดระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศในองค์กร ประกอบด้วย

1. นโยบายความมั่นคงปลอดภัย (Security policy)

• นโยบายความมั่นคงปลอดภัยของสารนเทศ(Information security policy)

วัตถุประสงค์ : กำหนดทิศทางการบริหารและการสนับสนุนการดำเนินงานด้านความมั่นคงปลอดภัยของสารสนเทศให้สอดคล้องกับข้อกำหนดทางธุรกิจ กฎหมาย และกฎระเบียบที่เกี่ยวข้อง

            การกำหนดนโยบายด้านความมั่นคงปลอดภัยของสารสนเทศโดยกำหนดทิศทางและเป้าหมายในการดำเนินงานให้ชัดเจน เป็นเครื่องมือสำคัญที่แสดงให้เห็นว่าผู้บริหารมีความมุ่งมั่นและสนับสนุนการจัดทำระบบอย่างเป็นรูปธรรม และควรมีความมุ่งมั่นและสนับสนุนการจัดทำระบบอย่างเป็นรูปธรรม และควรมีการสื่อสารนโยบายดังกล่าวให้พนักงานทุกระดับในองค์กร และบุคคลภายนอกที่มีส่วนเกี่ยวข้อง เช่น พันธมิตรทางธุรกิจ และลูกค้ารับรู้ด้วย

            นโยบายความมั่นคงปลอดภัยอาจจำแนกเป็น 3 ระดับตามวัตถุประสงค์ของผู้กำหนดนโยบาย และผู้นำนโยบายไปปฏิบัติ ได้แก่

            1. นโยบายระดับองค์กร (Organizational policy) กล่าวถึงวิสัยทัศน์ และเป้าหมายเชิงกลยุทธ์ขององค์กร โดยให้ความสำคัญกับการบริหารจัดการความมั่นคงปลอดภัยของสารสนเทศเพื่อรักษาความลับ (Confidentiality) ความถูกต้องสมบูรณ์ (Integrity) และความพร้อมใช้งาน (Availability) ของทรัพย์สินสารสนเทศ

            2. นโยบายระดับปฏิบัติ (Issue-specific policy) กล่าวถึงการบริหารจัดการและแนวทางการประยุกต์ใช้มาตรการความมั่นคงปลอดภัยทุกด้าน ครอบคลุมประเด็นสำคัญต่างๆและคาดหวังการนำไปปฏิบัติให้เกิดผล

             3. นโยบายระดับเทคนิค (System-specific policy) เป็นนโยบายเชิงเทคนิคที่ขยายความในภาคปฏิบัติซึ่งมีรายละเอียดเฉพาะเจาะจงในเชิงเทคโนโลยีมากกว่านโยบายระดับปฏิบัติ เช่น นโยบายการสร้างความแข็งแกร่งให้แก่ระบบปฏิบัติการ Windows 2003 ที่สนับสนุนนโยบายการควบคุมการเข้าถึงระบบปฏิบัติการ เป็นต้น

2. โครงสร้างด้านความมั่นคงปลอดภัยของสารสนเทศสำหรับองค์กร (Organization of information security)

• โครงสร้างด้านความมั่นคงปลอดภัยภายในองค์กร (Internal organization)

วัตถุประสงค์ : จัดการความมั่นคงปลอดภัยของสารสนเทศภายในองค์กร

            ความมุ่งมั่นของผู้บริหารเป็นกุญแจสำคัญสู่ความสำเร็จของระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศ โดยกำหนดแนวทางการบริหารงานให้เกิดความมั่นคงปลอดภัยที่ชัดเจน ผู้บริหารต้องมอบหมายหน้าที่และความรับผิดชอบให้แก่ผู้ที่เกี่ยวข้อง รวมถึงทบทวนความเหมาะสมและปรับปรุงให้เกิดดุลยภาพระหว่างความมั่นคงปลอดภัยของสารสนเทศและการดำเนินธุรกิจขององค์กร

โครงสร้างด้านความมั่นคงปลอดภัยที่เกี่ยวข้องกับลูกค้าหรือหน่วยงานภานอก (External parties)

วัตถุประสงค์ : เพื่อจัดการสารสนเทศและอุปกรณ์ประมวลผลขององค์กรให้เกิดความมั่นคงปลอดภัยจากการที่ลูกค้าหรือหน่วยงานภายนอกสามารถเข้าถึงระบบประมวลผล และติดต่อสื่อสารกับองค์กร

            องค์กรต้องให้ความสำคัญกับความเสี่ยงที่เกิดจากลุกค้าหรือหน่วยงานภายนอกที่สามารถเข้าถึงข้อมูลเช่นเดียวกับความเสี่ยงด้านอื่นๆดังนั้น จึงต้องมีการประเมินความเสี่ยงให้ครอบคลุมทุกประเด็น ตั้งแต่การเข้าถึงระบบประมวลผลทางกายภาพ (Physical access) การเข้าถึงจากระยะไกล (Remote access) ผ่านเครือข่ายสื่อสาร เป็นต้น และควรกำหนดนโยบายความมั่นคงปลอดภัยสำหรับกรณีนี้ให้ครอบคลุมความเสี่ยงที่จะเกิดขึ้นรวมทั้งมีมาตรการรองรับที่ชัดเจน เพื่อให้ผู้ที่เกี่ยวข้องใช้เป็นแนวทางปฏิบัติ

3. การบริหารจัดการทรัพย์สินขององค์กร (Asset management)

• หน้าที่ความรับผิดชอบต่อทรัพย์สินขององค์กร (Responsibility for assets)

วัตถุประสงค์ : กำหนดมาตรการที่เหมาะสมเพื่อป้องกันทรัพย์สินขององค์กร

            การทำบัญชีรายการทรัพย์สินจะช่วยให้องค์กรรู้ว่ามีทรัพย์สินใดบ้างที่ต้องดูแลให้เกิดความมั่นคงปลอดภัย โดยให้ความสำคัญกับทรัพย์สินที่มีผลกระทบต่อการดำเนินธุรกิจขององค์กร ซึ่งจำแนกเป็น 5 กลุ่ม ดังนี้

• ข้อมูลสารสนเทศ (Information asset)

• บริการสนับสนุนและกระบวนการ (Services and processes asset)

• ทรัพย์สินทางกายภาพ (Physical asset)

• ซอฟท์แวร์ (Software asset)

• บุคลากร (People asset)

การจัดหมวดหมู่สารสนเทศ (Information classification)

วัตถุประสงค์ : กำหนดระดับการป้องกันสารสนเทศอย่างเหมาะสมข้อมูลสารสนเทศในองค์กรมีความหลากหลาย และนับวันเพิ่มมากขึ้น มีทั้งข้อมูลสำคัญมากและสำคัญน้อย ข้อมูลแต่ละกลุ่มมีมาตรการการดูแลแตกต่างกัน การจัดหมวดหมู่สารสนเทศจะช่วยให้องค์กรสามารถจำแนกข้อมูลแต่ละกลุ่มตามความสำคัญ และความอ่อนไหวอย่างถูกต้องและเหมาะสมรวมถึงกำหนดแนวทางการชี้บ่ง การป้องกันการเข้าถึง และวิธีการสื่อสารที่ปลอดภัย

4. ความมั่นคงปลอดภัยที่เกี่ยวข้องกับบุคลากร (Human resources security)

• การสร้างความมั่นคงปลอดภัยก่อนการจ้างงาน (Prior to employment)

วัตถุประสงค์ : เพื่อให้พนักงาน ผู้รับจ้างช่วง และหน่วยงานภายนอกที่องค์กรใช้บริการเข้าใจหน้าที่ ความรับผิดชอบ และบทบาทของตนเอง เพื่อพิจารณาความเสี่ยงที่อาจเกิดขึ้น และลดความเสี่ยงจากการโจรกรรม การฉ้อโกง และการใช้งานอุปกรณ์ผิดวัตถุประสงค์

             มาตรการกลั่นกรองช่วยลดความเสี่ยงให้แก่องค์กร โดยพิจารณาคุณสมบัติ ประวัติ และภูมิหลังที่เกี่ยวข้องกับความมั่นคงปลอดภัยของผู้สมัครตำแหน่งที่สามารถเข้าถึงข้อมูลที่เป็นความลับขององค์กรได้ เช่น ตำแหน่งผู้บริหารที่เกี่ยวข้องกับการเงิน หรือตำแหน่งผู้บริหารที่สามารถเข้าถึงทรัพย์สินทางปัญญาขององค์กร เป็นต้น ทั้งนี้องค์กรจะต้องดำเนินการภายใต้ขอบเขตกฎหมายและไม่ละเมิดข้อมูลที่เป็นความลับส่วนบุคคลเด็ดขาด

• การสร้างความมั่นคงปลอดภัยในระหว่างการจ้างงาน (During employment)

วัตถุประสงค์ : เพื่อให้พนักงาน ผู้นับจ้างช่วง และหน่วยงานภายนอกที่องค์กรใช้บริการตระหนักถึงภัยคุกคามด้านความมั่นคงปลอดภัยของสารสนเทศ รวมถึงหน้าที่ ความรับผิดชอบ และภาระผูกพันตามกฎหมายทั้งบุคลากรภายในและบุคลากรภายนอก โดยสนับสนุนนโยบายด้านความมั่นคงปลอดภัยขององค์การในการปฏิบัติงาน และการลดความเสี่ยงจากความผิดพลาดในการปฏิบัติงาน

• การสิ้นสุดหรือการเปลี่ยนการจ้างงาน (Termination or change of employment)

วัตถุประสงค์ : เพื่อให้พนักงาน ผู้รับจ้างช่วง และหน่วยงานภายนอกที่องค์กรใช้บริการรู้บทบาทหน้าที่และความรับผิดชอบ เมื่อมีการเปลี่ยนแปลงหรือสิ้นสุดการจ้างงาน

5. การสร้างความมั่นคงปลอดภัยทางกายภาพและสิ่งแวดล้อม (physical and environmental security)

• บริเวณที่ต้องมีการรักษาความมั่นคงปลอดภัย (Secure areas)

วัตถุประสงค์ : ป้องกันการเข้าถึงทางกายภาพโดยไม่ได้รับอนุญาต ป้องกันความเสียหายและการรบกวนทรัพย์สินสารสนเทศขององค์กร

            การป้องกันการเข้าถึงทางกายภาพเป็นมาตรการพื้นฐานที่ใช้ป้องกันทรัพย์สินขององค์กร ทรัพย์สินที่มีความสำคัญจำเป็นต้องมีมาตรการควบคุมการเข้าถึงที่ทีประสิทธิภาพ เช่น ระบบคอมพิวเตอร์ต้องติดตั้งในอาคารที่มั่นคงแข็งแรง มีการควบคุมการเข้า-ออกและมาตรการการรักษาความปลอดภัยที่ชัดเจน

• ความมั่นคงปลอดภัยของอุปกรณ์ (Equipment security)

วัตถุประสงค์ : ป้องกันทรัพย์สินขององค์กรจากการสูญหาย ความเสียหาย และการถูกโจรกรรมหรือถูกเปิดเผยโดยไม่ได้รับอนุญาต รวมถึงการทำให้การดำเนินงานขององค์กรเกิดอุปสรรค ติดขัด หรือหยุดดำเนินการ

6. การบริหารจัดการด้านการสื่อสารและเครือข่ายสารสนเทศขององค์กร (Communications and operations management)

• การกำหนดหน้าที่ความรับผิดชอบและขั้นตอนการปฏิบัติงาน (Operational procedures and responsibilities)

วัตถุประสงค์ : เพื่อให้การดำเนินงานที่เกี่ยวข้องกับอุปกรณ์ประมวลผลสารสนเทศมีความถูกต้องและปลอดภัย

            การจัดทำเอกสารขั้นตอนการปฏิบัติงานช่วยกำกับการปฏิบัติงานให้เป็นไปอย่างถูกต้องเหมาะสม ลดความเสี่ยงที่เกิดจากการปฏิบัติงานผิดพลาด ใช้เป็นคู่มือการปฏิบัติงานสำหรับผู้ปฏิบัติงาน และเป็นคู่มืออ้างอิงในการตรวจประเมินภายใน (Internal audit) ได้ด้วย

• การบริหารจัดการการให้บริการของหน่วยงานภายนอก (Third party service delivery management)

วัตถุประสงค์ : เพื่อดำเนินการและรักษาระดับความมั่นคงปลอดภัยในการปฏิบัติหน้าที่โดยหน่วยงานภายนอกให้เป็นไปตามข้อตกลงระหว่างองค์กรกับหน่วยงานภายนอก

• การวางแผนและการตรวจรับทรัพยากรสารสนเทศ (System planning and acceptance)

วัตถุประสงค์ : เพื่อลดความเสี่ยงที่เกิดจากระบบสารสนเทศล้มเหลว

             ทรัพยากรในระบบมีความสำคัญต่อการให้บริการสารสนเทศปัจจุบันเทคโนโลยีสารสนเทศกลายเป็นปัจจัยพื้นฐานของการดำเนินธุรกิจองค์กรควรตรวจสอบความสามารถในการให้บริการของระบบคอมพิวเตอร์ไม่ว่าจะเป็นความสามารถในการประมวลผล พื้นที่จัดเก็บข้อมูล ต้องมั่นใจว่าระบบมีความสามารถรองรับความต้องการใช้งานเชิงธุรกิจในอนาคตได้

• การป้องกันโปรแกรมไม่ประสงค์ดี (Protection against malicious and mobile code)

วัตถุประสงค์ : เพื่อปกป้องซอฟท์แวร์และสารสนเทศให้มีความถูกต้องสมบูรณ์

โปรแกรมไม่ประสงค์ดีสร้างความเสียหายให้แก่ระบบคอมพิวเตอร์มีหลายชนิด เช่น ไวรัสคอมพิวเตอร์ (Computer viruses) ม้าโทรจัน (Trojan horses ) หนอนเครือข่าย (Network worms) เป็นต้น

• การสำรองข้อมูล (Back-up)

วัตถุประสงค์ : เพื่อรักษาสารสนเทศและอุปกรณ์ประมวลผลสารสนเทศให้มีความถูกต้องสมบูรณ์และความพร้อมใช้งาน

            การสำรองข้อมูลมีความจำเป็นเมื่อต้องการเรียกคืนข้อมูลย้อนหลังซึ่งอาจเกิดจากภัยคุกคามภายนอกหรือความผิดพลาดของผู้ใช้เอง เช่น ผู้ใช้เผลอลบข้อมูลสำคัญทั้งๆที่จำเป็นต้องใช้ หรือการบันทึกข้อมูลใหม่ทับข้อมูลเดิม เป็นต้น

• การบริหารจัดการทางด้านความมั่นคงปลอดภัยสำหรับเครือข่ายขององค์กร (Network security management )

วัตถุประสงค์ : เพื่อป้องกันสารสนเทศบนเครือข่ายและโครงสร้างพื้นฐานที่สนับสนุนให้เครือข่ายทำงานได้

            มาตรการรักษาความปลอดภัยของข้อมูลในเครือข่าย ประกอบด้วย การกำหนดหน้าที่และความรับผิดชอบในการจัดการเครือข่ายจากระยะไกล (Remote management) การป้องกันการเข้าถึงข้อมูลที่ส่งผ่านเครือข่ายโดยไม่ได้รับอนุญาต การเก็บข้อมูลจราจรทางคอมพิวเตอร์ไว้ตรวจสอบ รวมถึงการจัดการเครือข่ายให้ตอบสนองความต้องการใช้งานขณะเดียวกันก็ดำเนินมาตรการป้องกันความปลอดภัยที่สอดคล้องกันทั้งองค์กร

• การจัดการสื่อบันทึกข้อมูล (Media handling)

วัตถุประสงค์ : เพื่อป้องกันการเปิดเผย การแก้ไขเปลี่ยนแปลงการลบหรือการทำลายทรัพย์สินสารสนเทศ และการป้องกันการติดขัดทางธุรกิจ

            การขาดมาตรการดูแลด้านความมั่นคงปลอดภัยของสื่อบันทึกข้อมูลเป็นช่องโหว่ที่สร้างความเสียหายแก่องค์กร นโยบายควบคุมการใช้การบำรุงรักษา และการส่งข้อมูลระหว่างกัน ช่วยควบคุมดูแลสื่อบันทึกข้อมูลให้มีประสิทธิภาพยิ่งขึ้น ไม่ว่าจะเป็นสื่อสิ่งพิมพ์หรือสื่ออิเล็กทรอนิกส์

• การแลกเปลี่ยนสารสนเทศ (Exchange of information )

วัตถุประสงค์ : เพื่อรักษาสารสนเทศและซอฟท์แวร์ที่มีการแลกเปลี่ยนภายในองค์กร และระหว่างองค์กรกับหน่วยงานภายนอกให้มั่นคงปลอดภัย

            องค์กรมีมาตรการควบคุมการแลกเปลี่ยนสารสนเทศที่ชัดเจนและครอบคลุมการสร้างความตระหนักในเรื่องผลกระทบที่อาจเกิดจากการทำข้อมูลรั่วไหล มีแนวทางป้องกันการดักรับข้อมูลระหว่างทาง และการเปลี่ยนแปลงผู้รับสาร เป็นต้น

• การสร้างความมั่นคงปลอดภัยสำหรับบริการพาณิชย์อิเล็กทรอนิกส์ (Electronic commerce services)

วัตถุประสงค์ : เพื่อรักษาความมั่นคงปลอดภัยให้แก่บริการพาณิชย์อิเล็กทรอนิกส์ และการใช้งานอย่างมั่นคงปลอดภัย

            ปัจจัยสำคัญที่ส่งเสริมให้พาณิชย์อิเล็กทรอนิกส์ขยายตัวในภาคธุรกิจคือ ความเชื่อมั่นในความปลอดภัย ดังนั้น มาตรการที่ใช้ควบคุมดูแลต้องครอบคลุมความเสี่ยงประกอบด้วย การทำธุรกรรมผ่านเครือข่าย (Online transaction) การเผยแพร่ข้อมูลข่าวสารผ่านสื่อขององค์กรต่อสาธารณะ เช่น เว็บไซต์ขององค์กร เว็บบอร์ด เป็นต้น

• การเฝ้าระวังทางด้านความมั่นคงปลอดภัย (Monitoring)

วัตถุประสงค์ : เพื่อตรวจจับการประมวลผลที่ไม่ได้รับอนุญาต

            การเฝ้าระวังจะช่วยให้องค์กรรับรู้เมื่อเกิดเหตุการณ์ผิดปกติ ผู้ที่เกี่ยวข้องสามารถจำกัดผลกระทบไม่ให้ขยายตัวในวงกว้าง และใช้ข้อมูลจากการเฝ้าระวังกำหนดแนวทางตอบสนองได้ทันต่อเหตุการณ์ผิดปกติ ผู้ที่เกี่ยวข้องสามารถจำกัดผลกระทบไม่ให้ขยายตัวในวงกว้าง และใช้ข้อมูลจากการเฝ้าระวังกำหนดแนวทางตอบสนองได้ทันต่อเหตุการณ์

7. การควบคุมการเข้าถึง (Access control)

• ข้อกำหนดทางธุรกิจสำหรับการควบคุมการเข้าถึงสารสนเทศ (Business requirement for access control)

วัตถุประสงค์ : เพื่อควบคุมการเข้าถึงสารสนเทศ

• การบริหารจัดการการเข้าถึงของผู้ใช้ (User access management)

วัตถุประสงค์ : เพื่อสร้างความเชื่อมั่นว่าผู้มีสิทธิ์สามารถเข้าถึงสารสนเทศได้ และป้องกันผู้ที่ไม่มีสิทธิ์เข้าถึงระบบสารสนเทศ

• หน้าที่ความรับผิดชอบของผู้ใช้งาน (User responsibilities)

วัตถุประสงค์ : เพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต การเปิดเผยหรือการโจรกรรมข้อมูลสารสนเทศ

• การควบคุมการเข้าถึงเครือข่าย (Network access control)

วัตถุประสงค์ : เพื่อป้องกันการเข้าถึงบริการเครือข่ายโดยไม่ได้รับอนุญาต

• การควบคุมการเข้าถึงระบบปฏิบัติการ (Operating system access control)

วัตถุประสงค์ : เพื่อป้องกันการเข้าถึงระบบปฏิบัติการโดยไม่ได้รับอนุญาต

• การควบคุมการเข้าถึงแอปพลิเคชันและสารสนเทศ (Application and information access control)

วัตถุประสงค์ : เพื่อป้องกันการเข้าถึงสารสนเทศที่อยู่ในแอปพลิเคชันโดยไม่ได้รับอนุญาต การวบคุมการเข้าถึงข้อมูลผ่านแอปพลิเคชันเป็นมาตรการป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต ผู้ดูแลรับผิดชอบแอปพลิเคชันและข้อมูลควรกำหนดสิทธิ์ในการดำเนินการกับข้อมูล เช่น อ่าน เขียน หรือลบข้อมูล เป็นต้น

• การควบคุมอุปกรณ์สื่อสารประเภทพกพาและการปฏิบัติงานจากภายนอกองค์กร (Mobile computing and teleworking)

วัตถุประสงค์ : เพื่อสร้างความเชื่อมั่นในการใช้งานอุปกรณ์สื่อสารประเภทพกพาและการปฏิบัติงานจากภายนอกองค์กร ให้เกิดความมั่นคงปลอดภัยต่อสารสนเทศ

8. การจัดหา การพัฒนาและการบำรุงรักษาระบบสารสนเทศ (Information systems acquisition, development and maintenance)

• ข้อกำหนดด้านความมั่นคงปลอดภัยสำหรับระบบสารสนเทศ (Security requirement of information systems)

วัตถุประสงค์ : เพื่อสร้างความเชื่อมั่นว่าเป็นประเด็นความมั่นคงปลอดภัยเป็นข้อกำหนดที่ได้รับการพิจารณาในระบบสารสนเทศ

• การประมวลผลสารสนเทศในแอปพลิเคชัน (Correct processing in applications)

วัตถุประสงค์ : เพื่อป้องกันสารสนเทศไม่ให้เกิดความผิดพลาดสูญเสีย ถูกแก้ไขโดยไม่ได้รับอนุญาต และการใช้สารสนเทศผิดวัตถุประสงค์

• มาตรการการเข้ารหัสข้อมูล (Cryptographic controls)

วัตถุประสงค์ : เพื่อดูแลรักษาความลับของสารสนเทศ การยืนยันตัวตนของผู้ส่งสารสนเทศ หรือความถูกต้องสมบูรณ์ของสารสนเทศโดยใช้การเข้ารหัส

• การสร้างความมั่นคงปลอดภัยให้แก่ไฟล์ของระบบที่ให้บริการ (Security of system files)

วัตถุประสงค์ : เพื่อสร้างความมั่นคงปลอดภัยให้แก่ไฟล์ของระบบที่ให้บริการ

• การสร้างความมั่นคงปลอดภัยสำหรับกระบวนการในการพัฒนาระบบและกระบวนการสนับสนุน (Security in development and support processes)

วัตถุประสงค์ : เพื่อรักษาความมั่นคงปลอดภัยให้แก่ซอฟท์แวร์และสารสนเทศ

• การบริหารการช่องโหว่ในฮาร์ดแวร์และซอฟท์แวร์ (Technical vulnerability management)

วัตถุประสงค์ : เพื่อลดความเสี่ยงจากการที่ภัยคุกคามใช้ช่องโหว่ด้านเทคนิคที่ได้รับการเผยแพร่หรือตีพิมพ์

9. การบริหารจัดการเหตุการณ์ที่เกี่ยวข้องกับความมั่นคงปลอดภัยขององค์กร (Information security incident management)

• การรายงานเหตุการณ์และจุดอ่อนที่เกี่ยวกับความมั่นคงปลอดภัย (Reporting information security events and weaknesses)

วัตถุประสงค์ : เพื่อให้มีมาตรการสื่อสารและการดำเนินการที่เหมาะสม ทันเวลาเมื่อเกิดเหตุการณ์และจุดอ่อนที่เกี่ยวกับความมั่นคงปลอดภัยของสารสนเทศ

• การบริหารจัดการและการปรับปรุงแก้ไขเหตุการณ์ที่เกี่ยวข้องกับความมั่นคงปลอดภัย (Management of information security incident and improvements)

วัตถุประสงค์ : เพื่อให้มีมาตรการที่มีประสิทธิภาพและสอดคล้องกับการดำเนินการกับเหตุการณ์ที่เกี่ยวข้องกับความมั่นคงของสารสนเทศ

10. การบริหารความต่อเนื่องในการดำเนินงานขององค์กร (Business continuity management)

• หัวข้อพื้นฐานสำหรับการบริหารความต่อเนื่องในการดำเนินงานขององค์กร (Information security aspects of business continuity management)

วัตถุประสงค์ : เพื่อป้องกันการติดขัดของกระบวนการธุรกิจและป้องกันกระบวนการธุรกิจที่สำคัญจากผลกระทบที่เกิดจากระบบสารสนเทศล้มเหลวหรือเสียหายรุนแรง และเพื่อให้สามารถกู้ระบบคืนได้ในระยะเวลาที่เหมาะสม

11. การปฏิบัติตามข้อกำหนด (Compliance)

• การปฏิบัติตามข้อกำหนดทางกฎหมาย (Compliance with legal requirements)

วัตถุประสงค์ : เพื่อป้องกันการละเมิดกฎหมาย ระเบียบปฏิบัติ ข้อบังคับ สัญญา และข้อกำหนดด้านความมั่นคงปลอดภัย

• การปฏิบัติตามนโยบาย มาตรฐานความมั่นคงปลอดภัยและข้อกำหนดทางเทคนิค (Compliance with security policies and standards and technical compliance)

วัตถุประสงค์ : เพื่อให้ระบบสอดคล้องกับนโยบายขององค์กรและมาตรฐานด้านความมั่นคงปลอดภัย

• การตรวจประเมินระบบสารสนเทศ (Information systems audit considerations)

วัตถุประสงค์ : เพื่อให้กระบวนการตรวจประเมินระบบสารสนเทศมีประสิทธิภาพมากที่สุด และก่อให้เกิดการรบกวนหรือเป็นอุปสรรคต่อการดำเนินธุรกิจขององค์กรน้อยที่สุด