OpenLandscape ยืนยันมาตรฐานความปลอดภัยระดับสากลด้วย ISO 20000
OpenLandscape ผ่านการรับรองมาตรฐาน ISO/IEC 20000 และ ISO/IEC 27001 เพื่อรองรับการบริการที่มีคุณภาพทั้งทางด้านระบบและกระบวนการตามมาตรฐานระดับสากล ที่ได้รับการดูแลจากทีมงานผู้เชี่ยวชาญ
ISO คืออะไร ?
ISO ย่อมาจาก International Organization for Standardization คือ มาตรฐานการวัดคุณภาพขององค์กรต่าง ๆ เพื่อรับรองการบริหารและการดำเนินงานขององค์กรในแต่ละประเทศให้เป็นมาตรฐานเดียวกันทั่วโลก ช่วยทำให้ผู้ใช้บริการมีความมั่นใจต่อสินค้าและบริการว่าได้รับการคุ้มครองในเรื่องคุณภาพและความปลอดภัย
IEC คืออะไร ?
IEC ย่อมาจาก International Electrotechnical Commission คือ องค์กรระหว่างประเทศสาขาอิเล็กทรอนิกส์ เพื่อจัดทำมาตรฐานทางด้านไฟฟ้า, อิเล็กทรอนิกส์ และเทคโนโลยีที่เกี่ยวข้อง รวมถึงการจัดทำระบบการตรวจประเมิน เพื่อรับรองคุณภาพให้กับมาตรฐานของ IEC ทำให้การออกแบบ, การผลิต การใช้งานอุปกรณ์ไฟฟ้าและอิเล็กทรอนิกส์ไปในทิศทางเดียวกัน
มาตรฐาน ISO/IEC 20000 คืออะไร ?
มาตรฐาน ISO/IEC 20000 เป็นมาตรฐานเกี่ยวกับการบริหารการบริการด้านเทคโนโลยีสารสนเทศ โดยมาตรฐาน ISO/IEC 20000-1 ระบุข้อกำหนดสำหรับการบริหารด้าน IT (Service Management System : SMS) มาตรฐานนี้ครอบคลุมข้อกำหนดในเรื่องการวางแผนบริการ, ความรู้ในการบริหาร, การจัดการสินทรัพย์, การจัดการอุปสงค์ และการส่งมอบบริการให้แก่ผู้ใช้บริการ
เพื่อให้ผู้ใช้บริการรับทราบถึงการบริหารงานขององค์กร จึงมีการตรวจติดตามและตรวจสอบคุณภาพการบริการอย่างสม่ำเสมอ รวมถึงการรายงานผลที่ส่งมอบให้แก่ผู้ใช้บริการ เพื่อสร้างความพึงพอใจของผู้ใช้บริการได้เป็นอย่างดี ซึ่งสามารถนำไปประยุกต์ใช้ได้ทั้งในองค์กรขนาดเล็กและขนาดใหญ่
PDCA คืออะไร ? ทำไมถึงเป็นมาตรฐาน ISO/IEC 20000 ที่สำคัญสำหรับการบริหารงานด้าน IT ?
การบริหารงานด้าน IT ตามมาตรฐาน ISO/IEC 20000 มีการนำระบบ PDCA ซึ่งเป็นตัวอักษรย่อมาจาก Plan, Do, Check และ Act หรือ กระบวนการที่สามารถทำซ้ำเป็นวงจรได้ นำมาประยุกต์ใช้ให้สอดคล้องกับธุรกิจขององค์กร แบ่งออกเป็น 4 หัวข้อ โดยมีรายละเอียด ดังนี้
- กระบวนการวางแผน (Plan) คือ การวางแผนงานที่จัดทำขึ้นประกอบด้วย เป้าหมาย, ขอบเขตการให้บริการ, วัตถุประสงค์, ข้อกำหนดของการบริหารงาน, บทบาท และผู้รับผิดชอบในตำแหน่งต่าง ๆ ที่เกี่ยวข้อง เพื่อเตรียมพร้อมการรับมือความเสี่ยงหรือปัญหาได้อย่างเหมาะสม
- การนำไปปฏิบัติ (Do) คือ การดำเนินตามแผนที่กำหนดไว้ประกอบด้วย การจัดสรรงบประมาณ, การจัดสรรบทบาทและความรับผิดชอบ, การจัดทำเอกสารนโยบายการให้บริการ, แผนงาน, ระเบียบปฏิบัติงาน, การรายงานความคืบหน้าและเก็บบันทึกข้อมูลเทียบกับแผนงานตลอดระยะการดำเนินงาน เป็นต้น
- การทบทวนตรวจสอบ (Check) คือ การกำหนดวิธีการที่เหมาะสม สำหรับการติดตามผล, การวัดผล และการทบทวนเพื่อตรวจสอบความถูกต้อง รวมถึงการนำไปปฏิบัติและมีการดูแลรักษาอย่างเต็มประสิทธิภาพ นอกจากนี้ยังมีการตรวจประเมิน (Audit) ซึ่งมีเกณฑ์การตรวจประเมิน เช่น ขอบเขต, ความถี่ และวิธีการที่ได้รับการกำหนดไว้เป็นระเบียบปฏิบัติงาน (Procedure) อย่างชัดเจน เป็นต้น
- การแก้ไขปรับปรุง (Act) คือ การจัดทำนโยบายในการปรับปรุงงานบริการ รวมถึงมีการแก้ไขข้อบกพร่องต่าง ๆ ที่มีผลต่อมาตรฐานหรือแผนการบริหารงาน โดยมีการกำหนดบทบาทและหน้าที่ความรับผิดชอบ ในการปรับปรุงงานบริการอย่างชัดเจน นอกจากนี้ ข้อเสนอแนะในการปรับปรุงงานบริการควรได้รับการกำหนด บันทึก จัดลำดับความสำคัญ และให้อำนาจในการดำเนินการ
5 องค์ประกอบในการบริหารด้าน IT ตามมาตรฐาน ISO/IEC 20000 มีอะไรบ้าง ?
การบริหารด้าน IT ตามข้อกำหนดของมาตรฐาน ISO/IEC 20000 แบ่งออกเป็น 5 องค์ประกอบ คือ กระบวนการให้บริการ, กระบวนการควบคุม, กระบวนการส่งมอบ, กระบวนการ
แก้ไขปัญหา และกระบวนการบริหารความสัมพันธ์ โดยมีรายละเอียด ดังนี้
1. กระบวนการให้บริการ
การให้บริการ (Service Delivery) คือ การส่งมอบบริการที่มีคุณภาพ เพื่อสร้างความเชื่อมั่นในการบริการให้กับผู้ใช้บริการ ด้วยกระบวนการที่มีมาตรฐาน โดยกระบวนการการให้บริการแบ่งออกเป็น 6 ประเภทย่อยดังนี้
- การบริหารระดับการให้บริการ (Service Level Management) คือ การสร้างข้อตกลงที่ชัดเจนกับผู้ใช้บริการ เกี่ยวกับประเภทและคุณภาพของการให้บริการด้าน IT โดยมุ่งเน้นตามความต้องการของผู้ใช้บริการเป็นหลัก
- การจัดทำรายงานด้านการบริการ (Service Reporting) คือ ผู้ให้บริการมีการจัดทำรายงานการบริการให้กับผู้ใช้บริการ โดยรายงานควรมีความถูกต้อง จัดทำตรงต่อเวลาและมีความน่าเชื่อถือ
- กระบวนการบริหารความต่อเนื่องและความพร้อมใช้ในงานบริการ (Service Continuity and Availability Management Process) คือ การเตรียมแผนสำหรับมาตรการแก้ไขภัยพิบัติหรือเหตุร้ายที่อาจเกิดขึ้น ซึ่งมีผลต่อการบริการด้าน IT และมีผลกระทบต่อการดำเนินธุรกิจ หรือที่เรียกว่า การวางแผนเพื่อความสม่ำเสมอ (Consistency Planning) ซึ่งเป็นการรวมมาตรการต่าง ๆ เพื่อรักษาความต่อเนื่องในการให้บริการ เมื่อเกิดเหตุการณ์ภัยพิบัติขึ้นและบริหารความพร้อมใช้ในงานบริการว่ามีการจัดการทรัพยากรและการบำรุงรักษาอย่างเหมาะสม เพื่อเพิ่มประสิทธิภาพการใช้งานที่ต่อเนื่องมากที่สุด
- การจัดทำงบประมาณและบัญชีค่าใช้จ่ายในงานบริการ (Budgeting and Accounting for IT Services) คือ การจัดการด้านการเงินที่ช่วยให้การบริการด้าน IT ดำเนินไปอย่างรอบคอบ เพื่อนำไปสู่การจัดสรรงบประมาณให้เหมาะสมสำหรับการดำเนินการต่อไป
- การบริหารขีดความสามารถในการให้บริการ (Capacity Management Process) คือ การให้บริการในปัจจุบันและในอนาคตที่ตรงตามความต้องการของผู้ใช้บริการตามข้อตกลง โดยมุ่งเน้นถึงการให้ความสำคัญในการบริหาร เช่น การบริหารทรัพยากร และการบริหารความต้องการของผู้ใช้บริการ เป็นต้น เพื่อสร้างความมั่นใจในการใช้บริการอย่างมีประสิทธิภาพ
- การบริหารความปลอดภัยระบบสารสนเทศ (Information Security Management) คือ การรักษาความลับ ความสมบูรณ์ และความพร้อมใช้ ที่มีความสอดคล้องกับการบริหารระดับการให้บริการที่เกี่ยวกับข้อกำหนดในข้อตกลง ข้อกฎหมาย และนโยบายขององค์กร ซึ่งการบริหารความปลอดภัยประกอบด้วย การปฏิบัติตามข้อกำหนดของนโยบายความปลอดภัย และการบริหารความเสี่ยงที่เกี่ยวข้องการบริการหรือระบบ โดยการควบคุมความปลอดภัยควรมีการจัดทำเอกสารอธิบายถึงความเสี่ยงที่เกี่ยวกับการควบคุม การดำเนินการ และการดูแลรักษา นอกจากนั้นผลกระทบของการเปลี่ยนแปลง ควรได้รับการประเมินก่อนการนำไปปฏิบัติ
2. กระบวนการควบคุม
กระบวนการควบคุม (Control Processes) คือ การควบคุมการบริหารจัดการด้านต่าง ๆ เพื่อควบคุมประสิทธิภาพการบริการให้เป็นไปตามมาตรฐานที่กำหนดไว้ ประกอบด้วย 2 ประเภทย่อย โดยมีรายละเอียด ดังนี้
- กระบวนการบริหารการปรับแต่งระบบ (Configuration Management Process) คือ การกำหนดและควบคุมองค์ประกอบต่าง ๆ ของการบริการ และโครงสร้างพื้นฐาน รวมถึงการดูแลรักษาความถูกต้องของข้อมูลในการปรับแต่งระบบ โดยองค์กรควรมีนโยบายกำหนดรายการสำหรับการปรับแต่ง (Configuration Items) รวมถึงองค์ประกอบต่าง ๆ ที่เกี่ยวข้องกับการให้บริการ ซึ่งเป็นการควบคุมการเปลี่ยนแปลงโครงสร้างพื้นฐานทางด้าน IT
- กระบวนการบริหารการเปลี่ยนแปลง (Change Management Process) คือ การดำเนินการเพื่อให้มั่นใจว่าการเปลี่ยนแปลงต่าง ๆ ที่เกิดขึ้น ได้รับการประเมิน อนุมัติ นำไปปฏิบัติ และทบทวน ทั้งนี้การขอเปลี่ยนแปลงควรมีการบันทึกไว้ รวมถึงการประเมินถึงความเสี่ยง ผลกระทบ และประโยชน์ที่องค์กรได้รับ และทำการแยกประเภทของการเปลี่ยนแปลง เช่น กรณีเร่งด่วน, กรณีฉุกเฉิน, เรื่องหลักและเรื่องรอง เป็นต้น
3. กระบวนการส่งมอบ
กระบวนการส่งมอบ (Delivery Processes) คือ การบริหารการส่งมอบสินค้าหรือบริการให้กับลูกค้า เพื่อส่งมอบบริการที่มีคุณภาพ โดยมีรายละเอียด ดังนี้
- การบริหารการส่งมอบ (Release Management Process) คือ การวางแผนในการส่งมอบการบริการระบบ ซอฟต์แวร์ และฮาร์ตแวร์ โดยแผนในการส่งมอบควรได้รับความเห็นชอบจากผู้เกี่ยวข้องต่าง ๆ ไม่ว่าจะเป็นลูกค้า, ผู้ให้บริการ, เจ้าหน้าที่ดำเนินการ และเจ้าหน้าที่สนับสนุน โดยเป้าหมายหลักของการบริหารการส่งมอบ คือ การดำเนินการเพื่อให้มั่นใจถึงความสำเร็จของการส่งมอบ รวมถึงการเชื่อมโยงสิ่งต่าง ๆ เข้าด้วยกัน เช่น การทดสอบและการจัดเก็บ โดยมีการดูแลให้มั่นใจว่ามีการส่งมอบที่ถูกต้องและผ่านการทดสอบแล้ว ซึ่งการบริหารการส่งมอบนี้ เป็นการทำงานเชื่อมโยงกับกระบวนการบริหารการปรับแต่งระบบ และกระบวนการบริหารการเปลี่ยนแปลง
4. กระบวนการแก้ไขปัญหา
กระบวนการแก้ไขปัญหา (Resolution Processes) คือ การจัดการและแก้ไขปัญหาด้านการให้บริการ เพื่อเตรียมความพร้อมและรับมือกับข้อบกพร่องที่อาจเกิดขึ้นได้อย่างทันท่วงที ประกอบด้วย 2 ประเภทย่อย โดยมีรายละเอียด ดังนี้
- การบริหารความไม่ต่อเนื่องในการให้บริการ (Incident Management) คือ การที่มีเป้าหมายในการแก้ไขความไม่ต่อเนื่องที่เกิดขึ้น เพื่อกลับสู่สภาพเดิมของการให้บริการอย่างรวดเร็ว ทั้งนี้ความไม่ต่อเนื่องต่าง ๆ ที่เกิดขึ้นควรได้รับการบันทึกหรือจัดเก็บเป็นหลักฐานไว้ด้วย รวมถึงควรมีการจัดทำวิธีการรับมือและแก้ไขผลกระทบที่เกิดขึ้น โดยผู้ใช้บริการควรได้รับแจ้งให้ทราบถึงความคืบหน้าของรายงานความไม่ต่อเนื่องในการบริการ รวมถึงได้รับการแจ้งเตือน กรณีที่ระดับของการบริการไม่สามารถดำเนินการได้
- การบริหารการแก้ไขปัญหา (Problem Management) คือ การระบุสาเหตุของปัญหาที่พบและทำการแก้ไขปัญหา เพื่อให้เกิดผลกระทบต่อธุรกิจน้อยที่สุด และสามารถให้บริการได้อย่างต่อเนื่อง โดยมุ่งเน้นไปที่การดำเนินการ เพื่อป้องกันการเกิดปัญหาขึ้นซ้ำ ซึ่งปัญหาทั้งหมดที่เกิดขึ้นควรทำการบันทึกไว้ รวมถึงควรมีการกำหนดการจัดประเภทการปรับปรุง การแก้ไขปัญหา การขยายผล และการปิดปัญหา นอกจากนี้ควรมีการดำเนินการป้องกัน เพื่อลดปัญหาที่อาจเกิดขึ้น เช่น การวิเคราะห์แนวโน้มของความไม่ต่อเนื่อง และการปรับปรุงข้อมูลสารสนเทศให้ทันสมัย เป็นต้น
5. กระบวนการบริหารความสัมพันธ์
กระบวนการบริหารความสัมพันธ์ (Relationship Processes) คือ การบริหารความสัมพันธ์ระหว่างผู้ให้บริการกับผู้ใช้บริการ ด้วยการให้บริการที่มีมาตรฐานในขั้นตอนต่าง ๆ เพื่อรักษาคุณภาพและความสัมพันธ์ที่ดีกับผู้ใช้บริการได้อย่างต่อเนื่อง ประกอบด้วย 2 ประเภทย่อย โดยมีรายละเอียด ดังนี้
- การบริหารความสัมพันธ์ทางธุรกิจ (Business Relationship Management) คือ การสร้างและรักษาความสัมพันธ์ที่ดีระหว่างผู้ให้บริการและผู้ใช้บริการ โดยผู้ให้บริการจะต้องกำหนดและจัดทำเอกสารในส่วนของผู้มีส่วนได้เสียกับองค์กรและผู้ใช้บริการ ซึ่งควรมีการทบทวนร่วมกันถึงรายละเอียดของการให้บริการเมื่อมีการเปลี่ยนแปลงอย่างน้อยปีละ 1 ครั้ง
- การบริหารผู้ส่งมอบ (Supplier Management) คือ การสร้างความมั่นใจว่าผู้ส่งมอบสามารถดำเนินการได้อย่างเรียบร้อย รวมถึงการให้บริการที่มีคุณภาพ ทั้งนี้ผู้ให้บริการควรมีการจัดทำเอกสารเกี่ยวกับการบริหารผู้ส่งมอบและควรมีรายชื่อของผู้จัดการที่รับผิดชอบผู้ส่งมอบแต่ละรายด้วย โดยมีข้อตกลงของระดับการให้บริการ (SLA) หรือเอกสารอื่น ๆ ซึ่งสามารถนำไปวัดผล ทบทวน และนำไปสู่การปรับปรุงการให้บริการให้ดีขึ้นในลำดับต่อไป
5 ประโยชน์ของมาตรฐาน ISO/IEC 20000 มีอะไรบ้าง ?
- ได้รับการรับรองจากมาตรฐานระดับสากล ด้านการบริหารเทคโนโลยีสารสนเทศ (IT)
- มีความน่าเชื่อถือและได้รับความไว้วางใจต่อผู้ใช้บริการ ในเรื่องการบริหารเทคโนโลยีสารสนเทศ (IT) ที่มีคุณภาพ
- ช่วยจัดสรรระบบการทำงานของบุคลากร กระบวนการ และเทคโนโลยีให้มีประสิทธิภาพสูง
- รักษามาตรการควบคุมเพื่อติดตามและวัดผลการบริการที่ดีอย่างสม่ำเสมอ
- มีการปรับปรุงระบบและการบริหารจัดการด้าน IT อย่างต่อเนื่อง ป้องกันการเกิดข้อผิดพลาดได้ดีขึ้น
หากท่านสนใจสมัครใช้บริการ OpenLandscape สามารถสมัครใช้บริการได้ที่เว็บไซต์ https://gate.openlandscape.cloud/ และหากมีข้อสงสัยหรือต้องการสอบถามข้อมูลเพิ่มเติม ท่านสามารถติดต่อผ่านทางอีเมล technical-support@ols.co.th หรือ Call Center 02-257-7189 ได้ตลอด 24 ชั่วโมง
ข้อมูลอ้างอิง
https://www.torwitchukorn.com/th
https://www.lrqa.com/th-th/iso-20000/
จบการศึกษาจากคณะมนุษยศาสตร์ มหาวิทยาลัยศรีนครินทรวิโรฒ