Yearly Archives: 2008

/2008

ISO 20000: มาตรฐานงานบริการด้าน IT สำหรับองค์กรในโลกยุคดิจิตอล [ Part II ]

บทความในตอนที่ผ่านมาได้อธิบายถึงรายละเอียดเบื้องต้นของมาตรฐานสากล ISO 20000 ซึ่งเป็นมาตรฐานเกี่ยวกับระบบบริหารบริการ IT ซึ่งกระบวนการพื้นฐานนั้นสามารถแบ่งออกได้เป็น 5 กลุ่มดังที่ได้กล่าวไปแล้ว ในบทความตอนนี้จะเป็นการให้รายละเอียดเกี่ยวกับกระบวนการพื้นฐานในกลุ่มแรก ได้แก่ กลุ่ม Service Delivery Processes 1. กลุ่ม Service Delivery Processes 1.1 Service Level Management วัตถุประสงค์ของกระบวนการนี้ คือ เพื่อระบุข้อตกลงระหว่างผู้ให้บริการ และผู้ใช้บริการเป็นลายลักษณ์อักษรอย่างชัดเจน โดยทั้ง 2 ฝ่ายต้องร่วมกันกำหนดขอบเขตของการให้บริการ เช่น ชนิด/ประเภทของบริการ รายละเอียดของบริการ บทบาทและหน้าที่ของทั้ง 2 ฝ่าย และโดยเฉพาะอย่างยิ่งต้องกำหนดระดับการให้บริการ (Service [...]

ISO 20000: มาตรฐานงานบริการด้าน IT สำหรับองค์กรในโลกยุคดิจิตอล [ Part I ]

องค์กรที่ประสบความสำเร็จในโลกยุคดิจิตอลนี้ ทุกแห่งต่างก็มีระบบเทคโนโลยีสารสนเทศ (IT System) ที่มีประสิทธิภาพรองรับ และสนับสนุนการดำเนินธุรกิจอยู่ ซึ่งถือเป็นปัจจัยสำคัญที่ไม่มีผู้ใดสามารถปฏิเสธได้ ดังนั้น คำถามที่มักจะได้ยินกันอยู่บ่อยๆ ก็คือ การให้บริการด้าน IT (IT Services) ขององค์กรเหล่านั้นได้รับการบริหารจัดการอย่างไร           ที่ผ่านมา การบริหารบริการ IT (IT Service Management) ของแต่ละองค์กรมักจะขึ้นอยู่กับ IT Manager หรือผู้ที่มีหน้าที่รับผิดชอบดูแลศูนย์เทคโนโลยีสารสนเทศเป็นหลัก ซึ่งส่วนมากต่างก็บริหารงานไปตามวิธีการที่ตนเองคิดว่าดีที่สุด โดยนำเอาประสบการณ์ที่เคยได้รับในอดีตมาผนวกกับการแสวงหาความรู้เพิ่มเติมเพื่อปรับใช้เป็นแนวทางในการทำงาน ลักษณะดังกล่าวนี้จึงไม่ต่างไปจากการลองผิดลองถูก และบ่อยครั้งที่ฝ่ายบริหารไม่สามารถตรวจสอบความโปร่งใส และประสิทธิภาพการทำงานของฝ่าย IT ได้ ส่งผลให้ฝ่ายบริหารไม่ทราบถึงปัญหา รวมถึงไม่สามารถใช้ประโยชน์จากทรัพยากร และบริการ IT ขององค์กรเพื่อตอบสนองต่อความต้องการในการดำเนินธุรกิจได้อย่างเต็มที่ นอกจากนี้ เมื่อมีการปรับเปลี่ยนบุคลากรภายในฝ่าย IT ก็มักจะส่งผลกระทบถึงการให้บริการ IT ขององค์กรเสมอ เนื่องจากบุคลากรที่เข้ามารับตำแหน่งใหม่นั้นไม่ทราบ หรือไม่เข้าใจถึงวิธีการทำงานที่เป็นอยู่เดิม จึงต้องใช้เวลาในการศึกษางานเป็นระยะเวลาหนึ่งกว่าจะสามารถบริหารบริการ IT ให้เข้าที่เข้าทางได้           ดังนั้น [...]

แนวปฏิบัติและการตีความ : ประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ. 2550 (ตอนจบ)

ในบทความสองตอนที่แล้วนั้น ได้มีการตีความ “ประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ. 2550” ทั้งในส่วนเนื้อหา และภาคผนวกไปแล้ว ดังนั้น บทความในตอนสุดท้ายนี้จึงเป็นการยกตัวอย่างกรณีศึกษา เพื่อความเข้าใจที่ดียิ่งขึ้น กรณีศึกษา (Case Study) Question: กรณีที่องค์กรมีขนาดเล็กมาก เช่น มีเครื่อง PC ไม่กี่เครื่อง ต่ออินเทอร์เน็ตแบบ ADSL และมีผู้ใช้งาน Share กันใช้เครื่อง PC เพื่อเข้าสู่อินเทอร์เน็ต รวมถึงใช้อีเมล์แบบ Share กันด้วย ควรจะดำเนินการอย่างไร Answer: สำหรับองค์กรขนาดเล็ก การจะลงทุนตั้ง Log Server หรือซื้อบริการManaged Security Service ดูจะเป็นแนวทางที่ไม่เหมาะสมนัก ดังนั้นควรดำเนินการในลักษณะที่พอเหมาะพอควร แต่ในขณะเดียวกันก็ครบถ้วนตามที่ พรบ.ต้องการ ดังนี้ ประเด็น การดำเนินการ การเก็บ Log ในการเข้าสู่อินเทอร์เน็ต ปกติองค์กรขนาดเล็กมักจะ Share อินเทอร์เน็ตโดยใช้ ADSL [...]

แนวปฏิบัติและการตีความ : ประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ. 2550 (ตอนที่ 2)

นอกจากส่วนเนื้อหาของประกาศฯ เรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ. 2550 แล้ว ประกาศฯ ฉบับนี้ยังมีส่วนของภาคผนวกแนบท้ายที่มีความสำคัญอีกด้วย   ภาคผนวก ก  แนบท้ายประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ. 2550 .................................... อธิบายประเภทของผู้ให้บริการ โดยมีการให้ตัวอย่างของผู้ให้บริการที่เข้าข่ายต้องจัดเก็บ Log ตาม พรบ. ภาคผนวก ข  แนบท้ายประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ. 2550 ....................................  2 ข้อมูลจราจรคอมพิวเตอร์ซึ่งผู้ให้บริการตามประกาศข้อ [...]

แนวปฏิบัติและการตีความ : ประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ. 2550 (ตอนที่ 1)

บทนำ เอกสารนี้จัดทำขึ้นเพื่อเผยแพร่และให้ความรู้แก่องค์กรต่างๆ ที่ต้องจัดเก็บข้อมูลจราจรทางคอมพิวเตอร์ตามข้อกำหนดของกฎหมาย เพื่อให้การจัดเก็บนั้นทำได้อย่างถูกต้องครบถ้วน ประหยัดค่าใช้จ่าย และมีประสิทธิภาพ เนื้อหาของเอกสารนี้มีรากฐานมาจากการตีความกฎหมายและการทำงานจริงของที่ปรึกษาของเอซีอินโฟเทค กรณีที่เกิดข้อโต้แย้งหรือความไม่แน่ใจ องค์กรควรยึดถือข้อกฎหมายเป็นหลัก แนวปฏิบัติและการตีความ ข้อ 1 ชื่อของประกาศ ข้อ 2 วันบังคับใช้ ข้อ 3 รัฐมนตรีรักษาการ ข้อ 4 คำจำกัดความ “ผู้ให้บริการ” หมายความว่า           (1) ผู้ให้บริการแก่บุคคลอื่นในการเข้าสู่อินเทอร์เน็ต หรือให้สามารถติดต่อถึงกันได้โดยประการอื่น โดยผ่านทางระบบคอมพิวเตอร์ ทั้งนี้ ไม่ว่าจะเป็นการให้บริการในนามของตนเองหรือเพื่อประโยชน์ของบุคคลอื่น           (2) ผู้ให้บริการเก็บรักษาข้อมูลคอมพิวเตอร์เพื่อประโยชน์ของบุคคลอื่น “ข้อมูลจราจรคอมพิวเตอร์” หมายความว่า ข้อมูลเกี่ยวกับการติดต่อสื่อสารของระบบคอมพิวเตอร์ ซึ่งแสดงถึงแหล่งกำเนิด ต้นทาง ปลายทาง เส้นทาง เวลา วันที่ [...]

Overview of ISO 27001 and ISO 27002: The International Standards for Information Security Management [ Part III ]

ในบทความตอนสุดท้ายนี้มีเนื้อหากล่าวถึงการออกใบรับรอง ทั้งในแง่การรับรองความมีมาตรฐานขององค์กร และในแง่การรับรองความรู้ ความสามารถของบุคคล รวมถึง แนวโน้มการประยุกต์ใช้มาตรฐาน ISO 27001 ทั้งในประเทศไทย และทั่วโลก   การออกใบรับรอง (Certification) ในแง่ขององค์กร (Organization Certification) การออกใบรับรอง (Certification) เป็นวิธีหนึ่งที่จะสามารถรับรองได้ว่าองค์กรมีระบบบริหารความมั่นคงของข้อมูล (ISMS) ที่มีประสิทธิภาพ แต่การที่จะจัดทำระบบ ISMS จนถึงขั้นได้รับการรับรองนั้น ก็จะมีต้นทุนที่สูงพอสมควร ทั้งนี้ ขึ้นอยู่กับนโยบาย ความมุ่งมั่นของผู้บริหาร และความจำเป็นของแต่ละองค์กร อย่างไรก็ตาม ถึงแม้ว่าองค์กรอาจจะไม่ได้มีความจำเป็นในการจัดทำระบบเพื่อให้ได้รับการรับรอง (Certification) แต่การนำแนวคิดของระบบ ISMS และหัวข้อการควบคุมที่กำหนดไว้ในมาตรฐาน ISO 27001 และ ISO 27002 ไปประยุกต์ใช้เพียงบางส่วน เพื่อปกป้องข้อมูลและระบบคอมพิวเตอร์ขององค์กรนั้น ก็มีประโยชน์ต่อองค์กรเป็นอย่างมาก โดยเฉพาะอย่างยิ่ง ต้นทุนของการดำเนินการเพื่อป้องกัน (Preventive) นั้น [...]

Overview of ISO 27001 and ISO 27002: The International Standards for Information Security Management [ Part II ]

จากบทความในตอนที่แล้ว ซึ่งได้กล่าวถึงประวัติความเป็นมาของ ISO 27001 และ ISO 27002 นั้น ในบทความตอนนี้จะเป็นการกล่าวถึงเนื้อหาของมาตรฐาน โดยมีรายละเอียดดังนี้   11 หมวดหลักของมาตรฐาน ISO 27001 และ ISO 27002 หัวข้อต่อไปนี้คือ 11 หมวดหลักที่ครอบคลุมโดยมาตรฐาน ISO 27001 และ ISO 27002 1. Security policy ครอบคลุมเรื่องนโยบายการจัดการความมั่นคงของข้อมูลในองค์กร การเล็งเห็นถึงความสำคัญของนโยบายฯ และการให้การสนับสนุนจากผู้บริหารระดับสูงเพื่อให้มีการนำนโยบายฯ ไปใช้อย่างมีประสิทธิภาพ 2. Organizational of information security ครอบคลุมเรื่องการจัดตั้งหน่วยงานขึ้นเพื่อประสานงานและดำเนินงานด้านการดูแลรักษาความมั่นคงของข้อมูล ตลอดจนการบริหารจัดการด้านความมั่นคงของข้อมูลภายในองค์กร และการประสานงานทั้งภายในและภายนอกองค์กร 3. Asset management ครอบคลุมเรื่องการจัดทำทะเบียนทรัพย์สิน การจัดจำแนกประเภทของข้อมูลตามระดับความสำคัญ การควบคุมการเข้าถึงข้อมูลแต่ละประเภท และการควบคุมทรัพย์สินด้านสารสนเทศขององค์กร [...]

Overview of ISO 27001 and ISO 27002: The International Standards for Information Security Management [ Part I ]

ISO 27001 และ ISO 27002 คือ มาตรฐานสากลด้านการบริหารความมั่นคงของข้อมูล ซึ่งเน้นความสำคัญที่ “ระบบการบริหารจัดการ” (Management System) โดยมีข้อกำหนดต่างๆ ที่องค์กรพึงปฏิบัติในการรักษาความมั่นคงของข้อมูล เพื่อปกป้องข้อมูล กระบวนการทางธุรกิจ และทรัพย์สินด้านสารสนเทศที่สำคัญให้พ้นจากภัยคุกคาม และความเสี่ยงในรูปแบบต่างๆ รวมถึงกำหนดให้มีการจัดทำแผนรับมือเหตุฉุกเฉินที่อาจเกิดขึ้น เพื่อลดความสูญเสีย และคงไว้ซึ่งความสามารถในการดำเนินธุรกิจได้อย่างต่อเนื่อง ในปัจจุบัน ได้มีการนำมาตรฐานดังกล่าวไปใช้งานกันอย่างแพร่หลายทั่วโลก โดยเฉพาะในประเทศญี่ปุ่น ประเทศอังกฤษ รวมถึงประเทศในแถบยุโรป ซึ่งเป็นที่น่าสนใจว่ามาตรฐาน ISO 27001 กำลังได้รับความนิยมเทียบเท่า หรืออาจจะมากกว่ามาตรฐาน ISO 9001(มาตรฐานเกี่ยวกับระบบการบริหารจัดการคุณภาพ) ก็เป็นได้ ทั้งนี้ เนื่องมาจากการพัฒนาเทคโนโลยีที่ก้าวหน้าอย่างรวดเร็ว และบทบาทของ IT ที่มีต่อการขับเคลื่อนการดำเนินธุรกิจ สำหรับในประเทศไทยเองก็เริ่มมีองค์กรต่างๆ ทั้งภาครัฐและเอกชนให้ความสนใจนำเอามาตรฐานดังกล่าวมาใช้ในการปรับปรุงการบริหารความมั่นคงของข้อมูล และระบบ IT ภายในองค์กร [...]