Tag: ความปลอดภัย

  • วิธีตั้งรหัสผ่าน และวิธีป้องกันข้อมูลให้ปลอดภัยจากการโจรกรรมข้อมูล !

    วิธีตั้งรหัสผ่าน และวิธีป้องกันข้อมูลให้ปลอดภัยจากการโจรกรรมข้อมูล !

    วิธีตั้งรหัสผ่าน ที่ดี เป็นสิ่งสำคัญที่ช่วยเพิ่มความรัดกุมและความปลอดภัยให้กับบัญชีออนไลน์ของคุณ เพื่อป้องกันการโจรกรรมข้อมูลส่วนตัวและอาชญากรรมทางไซเบอร์ โดย Intel บริษัทผลิตชิปสารกึ่งตัวนำ (Semiconductor) ที่ใหญ่ที่สุดในโลก จึงได้จัดตั้ง World Password Day เพื่อให้ทุกคนตระหนักถึงความสำคัญของการตั้งรหัสผ่านที่ดี ช่วยให้คุณสามารถออนไลน์บนโลกอินเทอร์เน็ตได้อย่างปลอดภัยและรักษาข้อมูลสำคัญได้มากยิ่งขึ้น


    ประวัติความเป็นมาของ World Password Day

    ในปี 2005 นักวิจัยด้านความปลอดภัย Mark Burnett แนะนําว่าทุกคนควรมี “Password Day” ของตัวเอง เพื่อกำหนดวันเปลี่ยนรหัสผ่านให้มีความปลอดภัยมากยิ่งขึ้น ซึ่ง Mark ได้สรุปแนวคิดนี้ไว้ในหนังสือเรื่อง “Perfect Passwords” ซึ่งเป็นแรงบันดาลใจให้บริษัท Intel สร้างแนวทางปฏิบัติสากล สำหรับการเปลี่ยนรหัสผ่านในวันพฤหัสบดีแรกของเดือนพฤษภาคมในทุกปี โดยประกาศให้เป็น World Password Day ครั้งแรกในปี 2013 ซึ่งในปี 2023 นี้ตรงกับวันที่ 4 พฤษภาคม


    ทำไม World Password Day จึงมีความสำคัญ ?

    จุดประสงค์ที่สำคัญสำหรับ World Password Day เพื่อป้องกันการรั่วไหลของรหัสผ่าน ที่อาจทำให้ตัวตนดิจิทัลหรือข้อมูลส่วนบุคคลของคุณ รวมถึงข้อมูลภายในองค์กรและทุกข้อมูลสำคัญทั้งหมดของคุณมีโอกาสสูญหายหรือพบความสูญเสียโดยผู้ไม่ประสงค์ดี ซึ่งคุณอาจคิดว่าไม่มีใครสามารถคาดเดารหัสผ่านของคุณได้ แต่ภัยเงียบอย่าง Hacker ตัวร้ายอาจสามารถคาดเดารหัสผ่านของคุณได้ในไม่กี่วินาที ! ทำให้รหัสผ่านที่มีความรัดกุมจึงมีความสำคัญเป็นอย่างยิ่ง โดยเฉพาะเมื่อทุกคนต้องทำงานหรือทำธุรกรรมผ่านทางออนไลน์ จึงเป็นทางเลือกที่ดีกว่า หากคุณมีรหัสผ่านที่ซับซ้อนและไม่ซ้ำใคร เพราะช่วยให้การคาดเดารหัสผ่านของคุณมีความยากเพิ่มมากขึ้น

    เพื่อความไม่ประมาท ถึงคุณจะมีรหัสผ่านที่แข็งแกร่ง แต่ควรเปลี่ยนรหัสผ่านอย่างน้อยในทุก 6 เดือน หรือทุกปี เพื่อช่วยป้องกันกรณีรหัสผ่านของคุณรั่วไหลจากการถูกละเมิดข้อมูลโดยไม่รู้ตัว ซึ่งรหัสผ่านใหม่ที่มีการคาดเดาได้ยากสามารถช่วยป้องกันการเข้าถึงข้อมูลส่วนบุคคลของคุณให้มีความปลอดภัยได้มากยิ่งขึ้น

    ซึ่งมีคนจำนวนมากทราบความเสี่ยงในเรื่องนี้ แต่ผู้คนส่วนใหญ่ไม่คุ้นเคยกับการเปลี่ยนรหัสผ่านบ่อย ๆ ดังนั้น OpenLandscape ขอแนะนำให้ทุกท่านได้ใช้ World Password Day นี้เป็นโอกาสที่ดีในการเปลี่ยนรหัสผ่านของอีเมล, บัญชีโซเชียลมีเดียและที่สำคัญที่สุดคือ บัญชีที่ใช้เก็บข้อมูลส่วนตัวหรือข้อมูลสำคัญของคุณให้เรียบร้อย ด้วย 5 วิธีตั้งรหัสผ่าน อย่างปลอดภัยในหัวข้อต่อไปนี้


    5 วิธีตั้งรหัสผ่าน อย่างปลอดภัย ป้องกันภัยร้ายจาก Hacker !

    ภาพประกอบ 1 วิธีตั้งรหัสผ่าน

    🔐 ตั้งรหัสผ่านให้มีตัวอักษรหลายรูปแบบ

    การตั้งรหัสผ่านให้ปลอดภัย ควรประกอบไปด้วยรูปแบบที่คาดเดาได้ยากและมีความหลากหลาย ซึ่งอาจประกอบไปด้วย ตัวเลข, ตัวอักษรพิมพ์เล็ก, ตัวอักษรพิมพ์ใหญ่และอักขระพิเศษ เช่น ! + – * / $ = , ” ” เป็นต้น เพื่อสร้างรหัสผ่านที่แข็งแกร่งและยากต่อการถูกถอดรหัสผ่าน

    🔐 รหัสผ่านควรมีความยาวอย่างพอดี

    การตั้งรหัสผ่านให้มีความยาวที่เหมาะสม ซึ่งอาจมี 10 ตัวอักษรขึ้นไป เพื่อให้รหัสผ่านไม่สั้นจนคาดเดาได้ง่ายหรือยาวเกินไป จนเกิดความสับสนต่อการจดจำและยังช่วยเพิ่มความปลอดภัยเบื้องต้นในการสร้างรหัสผ่านที่ดี 

    🔐 หลีกเลี่ยงการนำข้อมูลส่วนตัวมาตั้งรหัสผ่าน 

    ไม่ควรนำข้อมูลส่วนตัวมาตั้งรหัสผ่าน เนื่องจากเป็นรูปแบบที่คาดเดาได้ง่ายและหากเป็นข้อมูลหรือตัวเลขสำคัญ เช่น ชื่อ, วันเกิด, หมายเลขโทรศัพท์, หมายเลขบัตรประชาชนและหมายเลขบัตรนักเรียน / นักศึกษา เป็นต้น เพราะอาจส่งผลเสียร้ายแรงในการถูกผู้ไม่ประสงค์ดีขโมยข้อมูลสำคัญของคุณได้

    🔐 หลีกเลี่ยงการใช้ตัวเลขแทนตัวอักษรที่คล้ายกัน

    ไม่ควรใช้ตัวเลขแทนที่ตัวอักษรที่มีลักษณะคล้ายกัน เนื่องจากเป็นรูปแบบการรวมคำที่ยังไม่มีความรัดกุม เช่น “C0mputer” เป็นการนำเลข “0” มาแทนตัวอักษร “o” เป็นต้น ซึ่งการตั้งรหัสผ่านโดยใช้วิธีนี้ ถึงแม้จะเป็นการผสมผสานระหว่างตัวเลขกับตัวอักษร แต่ยังเป็นรูปแบบที่ง่ายต่อการคาดเดา 

    🔐 หลีกเลี่ยงการใช้รหัสผ่านเดียวกันทุกบัญชี

    ไม่ควรตั้งรหัสผ่านเหมือนเดิมในทุกบัญชีหรือทุกแพลตฟอร์มที่คุณเข้าใช้งาน เนื่องจากหากรหัสผ่านของคุณถูกขโมยโดยมิจฉาชีพ อาจเกิดความเสียหายในระดับร้ายแรงกับทุกบัญชีออนไลน์ทั้งหมดของคุณได้ หากคุณยังใช้วิธีนี้อยู่ ควรรีบเปลี่ยนรหัสผ่านโดยด่วนให้มีความแตกต่างกันในแต่ละแพลตฟอร์ม เพื่อความปลอดภัยของทุกบัญชีออนไลน์

    นอกจาก 5 วิธีตั้งรหัสผ่านอย่างปลอดภัยในบทความข้างต้น OpenLandscape ยังมีตัวอย่างรหัสผ่านที่คุณไม่ควรใช้ในหัวข้อต่อไปนี้ 


    5 รหัสผ่านที่ไม่ควรใช้งาน มีอะไรบ้าง ?

    ภาพประกอบ 2 วิธีตั้งรหัสผ่าน

    ข้อมูลสถิติจากเว็บไซต์ Nationaltoday ได้รวม 5 รหัสผ่านที่ง่ายต่อการถูกแฮกข้อมูล โดยใช้เวลาน้อยกว่า 1 วินาทีและเป็นรหัสผ่านที่ถูกใช้งานมากที่สุดจากการศึกษาครั้งนี้

    อันดับที่ 1 🚫 123456 

    รหัสผ่านนี้มีการถูกใช้งานมากกว่า 3.5 ล้านครั้งในการศึกษา

    อันดับที่ 2 🚫 Password

    รหัสผ่านนี้มีการถูกใช้งานมากกว่า 1.7 ล้านครั้งในการศึกษา

    อันดับที่ 3 🚫 abc123

    รหัสผ่านนี้มีการถูกใช้งานมากกว่า 610,000 ครั้งในการศึกษา

    อันดับที่ 4 🚫 qwerty

    รหัสผ่านนี้มีการถูกใช้งานมากกว่า 382,000 ครั้งในการศึกษา

    อันดับที่ 5 🚫 11111

    รหัสผ่านนี้มีการถูกใช้งานมากกว่า 369,000 ครั้งในการศึกษา

    รหัสผ่านที่ยกตัวอย่างมานี้ มีการค้นพบบ่อยที่สุดในรายการที่ถูกละเมิดข้อมูลส่วนตัว ซึ่งหากคุณกำลังใช้งานรหัสผ่านเหล่านี้หรือมีลักษณะที่ใกล้เคียง ขอแนะนำให้รีบเปลี่ยนรหัสผ่านทันที !

    นอกจากเลี่ยงการใช้งานรหัสผ่านที่ไม่ควรใช้งานและเปลี่ยนรหัสผ่านที่มีความปลอดภัยอย่างเป็นประจำ คุณยังสามารถหลีกเลี่ยงช่องทางหลอกลวงต่าง ๆ ที่อาจนำภัยร้ายมาสู่คุณได้ในหัวข้อต่อไปนี้ 


    2 ภัยออนไลน์ใกล้ตัวที่ควรระวัง มีอะไรบ้าง ?

    ⚠ ระวังถูกหลอกลวงในรูปแบบ Phishing !

    การหลอกลวงรูปแบบ Phishing คือ การแอบอ้างเป็นเว็บไซต์หรือองค์กรที่มีความน่าเชื่อถือ เช่น เว็บไซต์ธนาคารและบัญชีโซเชียลมีเดียแบบทางการ โดยมีการเปลี่ยนตัวอักษรหรือเพิ่มตัวอักษรให้มีความแตกต่างจากบัญชีของจริงเพียงเล็กน้อย เพื่อทำให้เกิดความเข้าใจผิดว่าเป็นบัญชีหรือลิงก์จริง 

    ซึ่งรูปแบบ Phishing นี้มักส่งเนื้อหาที่สร้างความตื่นตระหนกหรือดึงดูดความน่าสนใจ ผ่านอีเมลหรือข้อความ เพื่อให้คุณรีบติดต่อกลับหรือดำเนินการตามคำแนะนำต่าง ๆ ตามขั้นตอนจนคุณอาจเปิดเผยรหัสผ่าน รวมถึงข้อมูลยืนยันตัวตนและข้อมูลทางการเงิน จนทำให้ผู้ไม่หวังดีโจรกรรมข้อมูลและก่อให้เกิดความเสียหายร้ายแรง

    ⚠ ระวัง Malware ที่เป็นอันตราย ! 

    Malware ย่อมาจาก Malicious Software คือ โปรแกรมคอมพิวเตอร์ที่ถูกเขียนขึ้นมาเพื่อทำอันตรายกับข้อมูลในระบบคอมพิวเตอร์ เช่น การทำลายหรือสร้างความเสียหายร้ายแรงต่อข้อมูลภายในคอมพิวเตอร์, การขโมยข้อมูลส่วนบุคคลและการเข้าควบคุมเครื่องคอมพิวเตอร์ เพื่อจุดประสงค์ที่ไม่หวังดี เป็นต้น 

    ดังนั้นคุณควรระมัดระวังการกดรับข้อมูลจากเว็บไซต์ที่ไม่คุ้นเคย ไม่ควรคลิกลิงก์ที่แนบมาหรือดาวน์โหลดเอกสารจากอีเมลที่ไม่รู้จัก เพราะจะเป็นการเปิดช่องทางให้อาชญากรไซเบอร์ใช้เป็นเครื่องมือ ในการเข้าถึงรหัสผ่านและขโมยข้อมูลสำคัญของคุณอย่างง่ายดาย 

    นอกจากนี้ยังมีภัยออนไลน์ร้ายแรงเกิดขึ้นมาในรูปแบบใหม่ ๆ อยู่เสมอ ยกตัวอย่างเช่น Ransomware ซึ่งเป็น Malware อีกประเภทหนึ่งที่ทำงานในรูปแบบของการเข้ารหัสหรือล็อกไฟล์ผู้เสียหาย เพื่อทำการเรียกค่าไถ่ ซึ่งหากคุณไม่อยากตกเป็นเหยื่อร้ายแรงเหล่านี้ ควรเตรียมรับมือและหาวิธีป้องกันภัยออนไลน์ต่าง ๆ ให้ทันท่วงที ซึ่งเบื้องต้นสามารถทำตามวิธีง่าย ๆ ในการปกป้องข้อมูลออนไลน์ด้วยตัวคุณเองดังหัวข้อต่อไปนี้  


    5 วิธีง่าย ๆ ในการปกป้องข้อมูลออนไลน์ให้ปลอดภัย

    1. สร้างรหัสผ่านที่แข็งแกร่งและเก็บเป็นความลับ

    เมื่อคุณสร้างรหัสผ่านที่คาดเดาได้ยากตาม 5 วิธีตั้งรหัสผ่านอย่างปลอดภัย ตามบทความข้างต้น อย่าลืมเปลี่ยนรหัสผ่านใหม่อย่างสม่ำเสมอและไม่ควรใช้รหัสผ่านที่สร้างขึ้นมาร่วมกับใคร ไม่ว่าจะเป็นเพื่อนหรือสมาชิกในครอบครัว เพื่อความปลอดภัยสูงสุด

    2. อย่าแชร์ข้อมูลส่วนตัวมากเกินไป ! 

    ในปัจจุบันสื่อสังคมออนไลน์กลายเป็นส่วนหนึ่งในชีวิตของผู้คนส่วนใหญ่ เช่น การแชร์โพสต์เรื่องราวส่วนตัวและข้อมูลส่วนบุคคลต่าง ๆ ที่พบเห็นบนโซเชียลได้จนกลายเป็นเรื่องธรรมดาทั่วไป เช่น รูปถ่ายพาสปอร์ต, รูปถ่ายบัตรประชาชน, รูปบัตรเครดิต / บัตรเดบิตและเอกสารที่ระบุข้อมูลสำคัญ เป็นต้น ซึ่งมิจฉาชีพสามารถนำข้อมูลเหล่านั้น มาใช้สำหรับเจาะรหัสผ่าน ปลอมตัวตน ปลอมแปลงเอกสารหรือขโมยข้อมูลส่วนบุคคลของคุณและนำไปทำเรื่องไม่ดีได้ 

    ดังนั้น เพื่อความปลอดภัยของข้อมูลส่วนบุคคล โปรดระมัดระวังเรื่องราวที่คุณแชร์สู่โลกออนไลน์ หลีกเลี่ยงการโพสต์ข้อมูลที่สำคัญหรือละเอียดอ่อนในทุกช่องทาง เช่น อีเมล โซเชียลมีเดีย และเว็บไซต์หรือบริการใด ๆ ที่คุณไม่รู้จัก เป็นต้น

    3. ตรวจสอบบัญชีทางการเงินอย่างสม่ำเสมอและรักษาความลับเรื่องรหัสผ่านทางการเงินให้ดี

    หากคุณมีการทำธุรกรรมผ่านช่องทางออนไลน์ เช่น การผูกบัตรเครดิต อย่าลืมตรวจสอบรายการบัญชีรวมถึงยอดใช้จ่ายเป็นประจํา เพื่อป้องกันการเรียกเก็บยอดที่ไม่ตรงตามความเป็นจริงและไม่ควรแจ้งหมายเลขบัตรเครดิตให้ผู้อื่นทราบ โดยเฉพาะรหัส CVV หรือตัวเลข 3 ตัวด้านหลังบัตรเครดิต เพราะอาจทำให้เสี่ยงต่อการถูกนำไปทำธุรกรรมผ่านช่องทางออนไลน์ต่าง ๆ ได้ รวมถึงการบันทึกหมายเลขบัตรเครดิตกับช่องทางออนไลน์ที่ไม่น่าเชื่อถือ เพราะอาจเป็นกลลวงของมิจฉาชีพได้เช่นเดียวกัน 

    นอกจากนี้หากพบความผิดปกติกับยอดใช้จ่ายหรือการทำธุรกรรมใด ๆ แนะนำให้ติดต่อกับธนาคารเจ้าของบัญชีโดยตรงทันที เพื่อลดความเสียหายร้ายแรงที่อาจเกิดขึ้น

    4. อัปเดตความปลอดภัยคอมพิวเตอร์ให้เป็นรุ่นล่าสุด !

    อัปเดตระบบปฏิบัติการ (Operating System) และโปรแกรมอื่น ๆ อย่างสม่ำเสมอ โดยเฉพาะโปรแกรมป้องกันไวรัส ซึ่งคุณสามารถลดความเสี่ยงในการถูกโจรกรรมข้อมูลด้วยการอัปเดตอัตโนมัติ เพื่ออัปเดตแพทช์โปรแกรมให้เป็นรุ่นใหม่ล่าสุดอยู่เสมอ รวมถึงปกป้อง Wireless Router Wifi ของคุณด้วยรหัสผ่านที่ปลอดภัยและใช้งาน Flash Drive อย่างระมัดระวังด้วยการสแกนไวรัสอย่างสม่ำเสมอ

    5. เพิ่มความปลอดภัยของข้อมูลด้วยการสำรองข้อมูลแบบ Offline และ Online

    การสำรองข้อมูลให้ปลอดภัยแบบ Offline ด้วยวิธี Backup Rule 3-2-1 หรือการแบ่งชุดข้อมูลออกเป็น 3 ชุด โดย 2 ชุดแรกเป็นข้อมูลสำรองเก็บไว้ในอุปกรณ์ที่ใช้เทคโนโลยีต่างกันหรือหลาย ๆ เวอร์ชัน และนำข้อมูลสำรอง 1 ชุดสุดท้ายเก็บไว้นอกองค์กร (Off-Site) หรือในอุปกรณ์ภายนอก เช่น Extranal Harddisk เพื่อให้มั่นใจว่าถ้า 2 อุปกรณ์ที่จัดเก็บข้อมูลเกิดปัญหา ยังสามารถมีข้อมูลสำรองที่ปลอดภัยเหลืออีก 1 ชุดสุดท้าย 

    สำรองข้อมูลแบบ Online บนระบบ Cloud ด้วย File Storage ที่ช่วยเพิ่มความปลอดภัยของข้อมูลให้มากขึ้น เพราะมีระบบรักษาความปลอดภัยของข้อมูลที่แข็งแกร่งจาก OpenLandscape และสามารถเพิ่มพื้นที่จัดเก็บข้อมูลได้สะดวกตามต้องการ รวมถึงการสำรองข้อมูลไม่มีพลาดด้วย Snapshot การเก็บข้อมูลในรูปแบบ Image เพื่อทำการย้อนคืนข้อมูลหรือ Roll Back ข้อมูลกลับมาใช้ใหม่ในภายหลัง ซึ่งช่วยให้การใช้ Virtual Machine สำหรับทดสอบหรือพัฒนาระบบต่าง ๆ บน Cloud สะดวกได้มากยิ่งขึ้น ดังนั้นการสำรองข้อมูลที่มีประสิทธิภาพ สามารถช่วยกู้คืนข้อมูลที่เสียหาย ให้กลับคืนมาได้อย่างปลอดภัยและสมบูรณ์


    คุณพร้อมเพิ่มความปลอดภัยให้รหัสผ่านของคุณแล้วหรือยัง ?

    การตั้งรหัสผ่านที่ดีและปลอดภัย ควรมีความยาวที่เหมาะสม หลีกเลี่ยงการนำข้อมูลส่วนตัวมาใช้ในการตั้งรหัสผ่านและมีความซับซ้อนยากต่อการคาดเดา แต่ง่ายต่อการจดจำเพียงเฉพาะคุณเท่านั้น เพื่อความปลอดภัยขั้นสูง ซึ่งหากคุณยังไม่ได้เปลี่ยนรหัสผ่าน หรือยังไม่ได้ระบุวันสำหรับการเปลี่ยนรหัสผ่านประจำเดือนหรือประจำปี คุณสามารถใช้ World Password Day นี้เป็นวันเพิ่มความปลอดภัยบนโลกออนไลน์ของคุณได้เลย !


    ข้อมูลอ้างอิง 

    https://nationaltoday.com/world-password-day/

    https://support.microsoft.com/th

  • OpenLandscape ยกระดับความปลอดภัยข้อมูลองค์กรตามมาตรฐานระดับสากลด้วย ISO 27001

    OpenLandscape ยกระดับความปลอดภัยข้อมูลองค์กรตามมาตรฐานระดับสากลด้วย ISO 27001

    OpenLandscape ผ่านการรับรองมาตรฐาน ISO/IEC 20000 เพื่อรองรับความน่าเชื่อถือ และสามารถให้บริการที่มีคุณภาพ ทั้งด้านการให้บริการระบบและการใช้งานเทคโนโลยีที่ตรงตามความต้องการของผู้ใช้บริการ รวมถึงมีการรักษาความปลอดภัยที่ได้รับการดูแลจากผู้เชี่ยวชาญเป็นอย่างดี เป็นไปตามมาตรฐาน ISO/IEC 27001 ในเรื่องการจัดการระบบการรักษาความปลอดภัยข้อมูลองค์กรในระดับสากล


    ISO คืออะไร ? 

    ISO ย่อมาจาก International Organization for Standardization คือ มาตรฐานการวัดคุณภาพขององค์กรต่าง ๆ เพื่อรับรองการบริหารและการดำเนินงานขององค์กรในแต่ละประเทศให้เป็นมาตรฐานเดียวกันทั่วโลก ช่วยทำให้ผู้ใช้บริการมีความมั่นใจต่อสินค้าและบริการว่าได้รับการคุ้มครองในเรื่องคุณภาพและความปลอดภัย


    IEC คืออะไร ?

    IEC ย่อมาจาก International Electrotechnical Commission คือ องค์กรระหว่างประเทศสาขาอิเล็กทรอนิกส์ เพื่อจัดทำมาตรฐานทางด้านไฟฟ้า, อิเล็กทรอนิกส์ และเทคโนโลยีที่เกี่ยวข้อง รวมถึงการจัดทำระบบการตรวจประเมิน เพื่อรับรองคุณภาพให้กับมาตรฐานของ IEC ทำให้การออกแบบ, การผลิต การใช้งานอุปกรณ์ไฟฟ้าและอิเล็กทรอนิกส์ไปในทิศทางเดียวกัน 


    มาตรฐาน ISO 27001 คืออะไร ?

    มาตรฐาน ISO/IEC 27001 เป็นมาตรฐานระดับสากลในการจัดการด้านระบบการรักษาความปลอดภัยข้อมูลองค์กร (Information Security Management Systems: ISMS) มาจากนโยบายและวิธีการต่าง ๆ โดยวิเคราะห์ความเสี่ยงจากจุดอ่อนหรือช่องโหว่ของระบบ และหาวิธีปกป้องข้อมูลจากภัยคุกคามภายนอก เช่น การถูกโจรกรรมข้อมูลจากแฮกเกอร์ (Hacker) เป็นต้น 

    การได้รับมาตรฐาน ISO/IEC 27001 ต้องผ่านการประเมินความเสี่ยง, การสร้างกลยุทธ์ และการป้องกันการคุกคามจากภายนอก โดยกระบวนการจัดการความเสี่ยงตามมาตรฐาน ISO/IEC 27001


    4 องค์ประกอบสำคัญในการนำ ISO/IEC 27001 มาใช้ในองค์กร มีอะไรบ้าง ?

    ภาพประกอบ 1 ISO 27001

    • การจัดทำระบบ (Establish) คือ การเตรียมแผนงาน เพื่อปกป้องข้อมูลภายในองค์กรให้มีความปลอดภัย 
    • การนำไปปฏิบัติ (Implement) คือ การทำตามแผนงานที่วางไว้ เพื่อให้สามารถนำแผนงานไปปฏิบัติได้จริง โดยไม่มีข้อผิดพลาด
    • การรักษาไว้ (Maintain) คือ การนำแผนงานไปปฏิบัติควบคู่การทำงานตามปกติ เพื่อรักษามาตรฐานตามที่กำหนดไว้ 
    • การปรับปรุงอย่างต่อเนื่อง (Continual Improvement) คือ การทบทวนและปรับปรุงระบบอย่างสม่ำเสมอ เพื่ออุดช่องโหว่สำหรับการลดประสิทธิภาพในด้านความปลอดภัย รวมถึงจัดทำเอกสาร คู่มือ และบันทึกข้อมูลให้มีความสอดคล้องกับสถานการณ์ในปัจจุบัน เพื่อให้สามารถแก้ไขข้อมูลได้อย่างทันที 

    3 ระบบการรักษาความปลอดภัยข้อมูลที่สำคัญขององค์กร ในการนำ ISO/IEC 27001 มาใช้มีอะไรบ้าง ?

    ภาพประกอบ 2 ISO 27001

    ระบบการรักษาความปลอดภัยข้อมูลที่สำคัญขององค์กร ในการนำ ISO/IEC 27001 มาใช้ มี Model ที่เรียกว่า CIA ย่อมาจาก Confidentiality, Integrity และ Availabilityโดยมีรายละเอียด ดังนี้

    • การรักษาความลับ (Confidentiality) คือ การรักษาข้อมูลขององค์กร โดยห้ามเผยแพร่ข้อมูลให้กับบุคคลอื่นที่ไม่ได้รับอนุญาต ซึ่งเป็นข้อมูลที่เข้าได้เฉพาะผู้ที่มีสิทธิเข้าถึงเท่านั้น เพื่อป้องกันการรั่วไหลของข้อมูลออกไปสู่ภายนอก
    • ความครบถ้วนถูกต้อง (Integrity) คือ การปกป้องความถูกต้องของข้อมูล ไม่ให้ถูกบุคคลภายนอกเข้ามาทำการเปลี่ยนแปลง แก้ไข และก่อให้เกิดความเสียหายได้ และเพื่อป้องกันไม่ให้ข้อมูลสูญหายหรือเกิดความเสียหาย ควรให้สิทธิการเปลี่ยนแปลงข้อมูลเฉพาะผู้ที่ได้รับอนุญาตเท่านั้น 
    • ความพร้อมใช้งาน (Availability) คือ การเตรียมความพร้อมสำหรับการใช้งานข้อมูลหรือทรัพยากรได้อยู่เสมอ เพื่อให้ผู้ใช้งานสามารถเข้าถึงได้ทุกครั้ง ตามความต้องเสมอ และควรมีการสำรองข้อมูลเมื่อเกิดเหตุอุปกรณ์ขัดข้องหรือเหตุการณ์ที่ไม่คาดฝัน เพื่อป้องกันความเสียหายร้ายแรงที่อาจเกิดขึ้น

    แนวทางการบริหารความมั่นคงปลอดภัยสารสนเทศของ ISO/IEC 27001 มีอะไรบ้าง ?

    การนำแนวทางการบริหารความมั่นคงปลอดภัยสารสนเทศของ ISO/IEC 27001 มาประยุกต์ใช้ให้สอดคล้องกับธุรกิจขององค์กร ผ่านมาตรฐานการจัดการระบบตามแบบ PDCA ย่อมาจาก Plan, Do, Check และ Act ซึ่งเป็นกระบวนการที่สามารถทำซ้ำเป็นวงจรได้ โดยมีรายละเอียด ดังนี้

    • กระบวนการวางแผน (Plan) คือ การตั้งเป้าหมายจากปัญหา แล้ววางแผนรับมืออย่างเหมาะสม เพื่อป้องกันการเกิดข้อผิดพลาดและแก้ปัญหาได้อย่างทันท่วงที
    • การนำไปปฏิบัติ (Do) คือ การดำเนินตามแผนที่กำหนดไว้ รวมถึงเก็บข้อมูลตลอดระยะการดำเนินงาน เพื่อนำไปปรับใช้ให้เกิดประสิทธิภาพมากยิ่งขึ้น
    • การทบทวนตรวจสอบ (Check) คือ การตรวจสอบผลลัพธ์ว่าเป็นไปตามแผนที่วางไว้หรือไม่ เพื่อลดข้อผิดพลาดที่อาจเกิดขึ้นได้ นอกจากนี้ยังมีการตรวจประเมิน (Audit) ที่ได้รับการกำหนดไว้เป็นระเบียบปฏิบัติงาน (Procedure) อย่างชัดเจน 
    • การแก้ไขปรับปรุง (Act) คือ การแก้ไขปัญหา เมื่อผลลัพธ์ไม่เป็นไปตามแผนที่วางไว้ เพื่อกำจัดข้อบกพร่องและนำมาปรับปรุงใหม่ให้ได้ผลลัพธ์ที่ดีขึ้นอยู่เสมอ 

    การจัดการความเสี่ยงตามมาตรฐาน ISO/IEC 27001 สำคัญอย่างไร ?

    การประเมินความเสี่ยงของสารสนเทศ (Information Security Risk Assessment) เป็นหัวใจสำคัญของ ISO/IEC 27001 เนื่องจาก หากมีการประเมินความเสี่ยงที่ไม่ครบถ้วน อาจทำให้การจัดการความเสี่ยงไม่ถูกต้อง เพราะจะไม่สามารถแก้ปัญหาได้ตรงจุด ซึ่งการจัดทำมาตรฐานนี้ ควรมีแบบแผนการจัดการความเสี่ยง (Risk Treatment) โดยเฉพาะ เช่น เมื่อมีการประเมินแล้วพบเรื่องผิดกฎหมาย ควรจัดระดับเป็นความเสี่ยงสูงและมีความจำเป็นต้องรีบแก้ไขโดยด่วน เป็นต้น

    นอกจากนี้ องค์กรควรมีแผนรองรับความเสี่ยงต่อเหตุการณ์ฉุกเฉินต่าง ๆ ที่เรียกว่า BCP หรือ แผนบริหารความต่อเนื่อง (Business Continuity Plan) ซึ่งเป็นแผนที่สามารถช่วยในการปฏิบัติงานที่มีสภาวะวิกฤตหรือเหตุการณ์ฉุกเฉินได้ เช่น ภัยธรรมชาติและอุบัติเหตุ เป็นต้น โดยมีการนำมาตรการต่าง ๆ มาดูแลและจัดการตามแผนที่วางไว้ โดยต้องมั่นใจว่ามีความพร้อมใช้งานเป็นอย่างดี ในทุก ๆ สถานการณ์ รวมถึงสามารถปกป้องข้อมูลสารสนเทศต่าง  ๆ ได้อย่างเหมาะสม และนำมาประยุกต์ใช้ให้สอดคล้องกับธุรกิจขององค์กรได้อย่างเต็มประสิทธิภาพ


    4 ประโยชน์ของมาตรฐาน ISO/IEC 27001 มีอะไรบ้าง ?

    ภาพประกอบ 3 ISO 27001

    • มีการรับรองด้านการจัดการระบบการรักษาความปลอดภัยข้อมูลองค์กร ตามมาตรฐานระดับสากล 
    • มีการประเมินความปลอดภัยของข้อมูลอย่างมีประสิทธิภาพเป็นประจำ 
    • มีมาตรฐานด้านความปลอดภัยของข้อมูลและความปลอดภัยทางไซเบอร์ ตามข้อบังคับใช้ทางกฎหมาย
    • ตรวจสอบความเสี่ยงที่อาจเกิดขึ้นและสามารถควบคุม จัดการ และรับมือกับปัญหาที่เกิดขึ้นได้อย่างมีประสิทธิภาพ

    หากท่านสนใจสมัครใช้บริการ OpenLandscape สามารถสมัครใช้บริการได้ที่เว็บไซต์  https://gate.openlandscape.cloud/


    ข้อมูลอ้างอิง

    http://www.club27001.com/2013/08/isoiec-27001_21.html

    http://www.club27001.com/2014/01/iso27001-2013-Information-Risk-Assessment.html

    http://www.club27001.com/2013/08/normal-0-false-false-false-en-us-x-none.html

    https://www.nstda.or.th/

    https://www.torwitchukorn.com/th/articles/

  • OpenLandscape ยืนยันมาตรฐานความปลอดภัยระดับสากลด้วย ISO 20000

    OpenLandscape ยืนยันมาตรฐานความปลอดภัยระดับสากลด้วย ISO 20000

    OpenLandscape ผ่านการรับรองมาตรฐาน ISO/IEC 20000 และ ISO/IEC 27001 เพื่อรองรับการบริการที่มีคุณภาพทั้งทางด้านระบบและกระบวนการตามมาตรฐานระดับสากล ที่ได้รับการดูแลจากทีมงานผู้เชี่ยวชาญ


    ISO คืออะไร ? 

    ISO ย่อมาจาก International Organization for Standardization คือ มาตรฐานการวัดคุณภาพขององค์กรต่าง ๆ เพื่อรับรองการบริหารและการดำเนินงานขององค์กรในแต่ละประเทศให้เป็นมาตรฐานเดียวกันทั่วโลก ช่วยทำให้ผู้ใช้บริการมีความมั่นใจต่อสินค้าและบริการว่าได้รับการคุ้มครองในเรื่องคุณภาพและความปลอดภัย


    IEC คืออะไร ?

    IEC ย่อมาจาก International Electrotechnical Commission คือ องค์กรระหว่างประเทศสาขาอิเล็กทรอนิกส์ เพื่อจัดทำมาตรฐานทางด้านไฟฟ้า, อิเล็กทรอนิกส์ และเทคโนโลยีที่เกี่ยวข้อง รวมถึงการจัดทำระบบการตรวจประเมิน เพื่อรับรองคุณภาพให้กับมาตรฐานของ IEC ทำให้การออกแบบ, การผลิต การใช้งานอุปกรณ์ไฟฟ้าและอิเล็กทรอนิกส์ไปในทิศทางเดียวกัน 


    มาตรฐาน ISO/IEC 20000 คืออะไร ?

    มาตรฐาน ISO/IEC 20000 เป็นมาตรฐานเกี่ยวกับการบริหารการบริการด้านเทคโนโลยีสารสนเทศ โดยมาตรฐาน ISO/IEC 20000-1 ระบุข้อกำหนดสำหรับการบริหารด้าน IT (Service Management System : SMS) มาตรฐานนี้ครอบคลุมข้อกำหนดในเรื่องการวางแผนบริการ, ความรู้ในการบริหาร, การจัดการสินทรัพย์, การจัดการอุปสงค์ และการส่งมอบบริการให้แก่ผู้ใช้บริการ 

    เพื่อให้ผู้ใช้บริการรับทราบถึงการบริหารงานขององค์กร จึงมีการตรวจติดตามและตรวจสอบคุณภาพการบริการอย่างสม่ำเสมอ รวมถึงการรายงานผลที่ส่งมอบให้แก่ผู้ใช้บริการ เพื่อสร้างความพึงพอใจของผู้ใช้บริการได้เป็นอย่างดี ซึ่งสามารถนำไปประยุกต์ใช้ได้ทั้งในองค์กรขนาดเล็กและขนาดใหญ่


    PDCA คืออะไร ? ทำไมถึงเป็นมาตรฐาน ISO/IEC 20000 ที่สำคัญสำหรับการบริหารงานด้าน IT ?

    การบริหารงานด้าน IT ตามมาตรฐาน ISO/IEC 20000 มีการนำระบบ PDCA ซึ่งเป็นตัวอักษรย่อมาจาก Plan, Do, Check และ Act หรือ กระบวนการที่สามารถทำซ้ำเป็นวงจรได้ นำมาประยุกต์ใช้ให้สอดคล้องกับธุรกิจขององค์กร แบ่งออกเป็น 4 หัวข้อ โดยมีรายละเอียด ดังนี้

    • กระบวนการวางแผน (Plan) คือ การวางแผนงานที่จัดทำขึ้นประกอบด้วย เป้าหมาย, ขอบเขตการให้บริการ, วัตถุประสงค์, ข้อกำหนดของการบริหารงาน, บทบาท และผู้รับผิดชอบในตำแหน่งต่าง ๆ ที่เกี่ยวข้อง เพื่อเตรียมพร้อมการรับมือความเสี่ยงหรือปัญหาได้อย่างเหมาะสม
    • การนำไปปฏิบัติ (Do) คือ การดำเนินตามแผนที่กำหนดไว้ประกอบด้วย การจัดสรรงบประมาณ, การจัดสรรบทบาทและความรับผิดชอบ, การจัดทำเอกสารนโยบายการให้บริการ, แผนงาน, ระเบียบปฏิบัติงาน, การรายงานความคืบหน้าและเก็บบันทึกข้อมูลเทียบกับแผนงานตลอดระยะการดำเนินงาน เป็นต้น
    • การทบทวนตรวจสอบ (Check) คือ การกำหนดวิธีการที่เหมาะสม สำหรับการติดตามผล, การวัดผล และการทบทวนเพื่อตรวจสอบความถูกต้อง รวมถึงการนำไปปฏิบัติและมีการดูแลรักษาอย่างเต็มประสิทธิภาพ นอกจากนี้ยังมีการตรวจประเมิน (Audit) ซึ่งมีเกณฑ์การตรวจประเมิน เช่น ขอบเขต, ความถี่ และวิธีการที่ได้รับการกำหนดไว้เป็นระเบียบปฏิบัติงาน (Procedure) อย่างชัดเจน เป็นต้น
    • การแก้ไขปรับปรุง (Act) คือ การจัดทำนโยบายในการปรับปรุงงานบริการ รวมถึงมีการแก้ไขข้อบกพร่องต่าง ๆ ที่มีผลต่อมาตรฐานหรือแผนการบริหารงาน โดยมีการกำหนดบทบาทและหน้าที่ความรับผิดชอบ ในการปรับปรุงงานบริการอย่างชัดเจน นอกจากนี้ ข้อเสนอแนะในการปรับปรุงงานบริการควรได้รับการกำหนด บันทึก จัดลำดับความสำคัญ และให้อำนาจในการดำเนินการ


    5 องค์ประกอบในการบริหารด้าน IT ตามมาตรฐาน ISO/IEC 20000 มีอะไรบ้าง ?

    ภาพประกอบ 1 ISO 20000

    การบริหารด้าน IT ตามข้อกำหนดของมาตรฐาน ISO/IEC 20000 แบ่งออกเป็น 5 องค์ประกอบ คือ กระบวนการให้บริการ, กระบวนการควบคุม, กระบวนการส่งมอบ, กระบวนการ

    แก้ไขปัญหา และกระบวนการบริหารความสัมพันธ์ โดยมีรายละเอียด ดังนี้

    1. กระบวนการให้บริการ 

    การให้บริการ (Service Delivery) คือ การส่งมอบบริการที่มีคุณภาพ เพื่อสร้างความเชื่อมั่นในการบริการให้กับผู้ใช้บริการ ด้วยกระบวนการที่มีมาตรฐาน โดยกระบวนการการให้บริการแบ่งออกเป็น 6 ประเภทย่อยดังนี้

    • การบริหารระดับการให้บริการ (Service Level Management) คือ การสร้างข้อตกลงที่ชัดเจนกับผู้ใช้บริการ เกี่ยวกับประเภทและคุณภาพของการให้บริการด้าน IT โดยมุ่งเน้นตามความต้องการของผู้ใช้บริการเป็นหลัก
    • การจัดทำรายงานด้านการบริการ (Service Reporting) คือ ผู้ให้บริการมีการจัดทำรายงานการบริการให้กับผู้ใช้บริการ โดยรายงานควรมีความถูกต้อง จัดทำตรงต่อเวลาและมีความน่าเชื่อถือ 
    • กระบวนการบริหารความต่อเนื่องและความพร้อมใช้ในงานบริการ (Service Continuity and Availability Management Process) คือ การเตรียมแผนสำหรับมาตรการแก้ไขภัยพิบัติหรือเหตุร้ายที่อาจเกิดขึ้น ซึ่งมีผลต่อการบริการด้าน IT และมีผลกระทบต่อการดำเนินธุรกิจ หรือที่เรียกว่า การวางแผนเพื่อความสม่ำเสมอ (Consistency Planning) ซึ่งเป็นการรวมมาตรการต่าง ๆ เพื่อรักษาความต่อเนื่องในการให้บริการ เมื่อเกิดเหตุการณ์ภัยพิบัติขึ้นและบริหารความพร้อมใช้ในงานบริการว่ามีการจัดการทรัพยากรและการบำรุงรักษาอย่างเหมาะสม เพื่อเพิ่มประสิทธิภาพการใช้งานที่ต่อเนื่องมากที่สุด
    • การจัดทำงบประมาณและบัญชีค่าใช้จ่ายในงานบริการ (Budgeting and Accounting for IT Services) คือ การจัดการด้านการเงินที่ช่วยให้การบริการด้าน IT ดำเนินไปอย่างรอบคอบ เพื่อนำไปสู่การจัดสรรงบประมาณให้เหมาะสมสำหรับการดำเนินการต่อไป
    • การบริหารขีดความสามารถในการให้บริการ (Capacity Management Process) คือ การให้บริการในปัจจุบันและในอนาคตที่ตรงตามความต้องการของผู้ใช้บริการตามข้อตกลง โดยมุ่งเน้นถึงการให้ความสำคัญในการบริหาร เช่น การบริหารทรัพยากร และการบริหารความต้องการของผู้ใช้บริการ เป็นต้น เพื่อสร้างความมั่นใจในการใช้บริการอย่างมีประสิทธิภาพ
    • การบริหารความปลอดภัยระบบสารสนเทศ (Information Security Management) คือ การรักษาความลับ ความสมบูรณ์ และความพร้อมใช้ ที่มีความสอดคล้องกับการบริหารระดับการให้บริการที่เกี่ยวกับข้อกำหนดในข้อตกลง ข้อกฎหมาย และนโยบายขององค์กร ซึ่งการบริหารความปลอดภัยประกอบด้วย การปฏิบัติตามข้อกำหนดของนโยบายความปลอดภัย และการบริหารความเสี่ยงที่เกี่ยวข้องการบริการหรือระบบ โดยการควบคุมความปลอดภัยควรมีการจัดทำเอกสารอธิบายถึงความเสี่ยงที่เกี่ยวกับการควบคุม การดำเนินการ และการดูแลรักษา นอกจากนั้นผลกระทบของการเปลี่ยนแปลง ควรได้รับการประเมินก่อนการนำไปปฏิบัติ

    2. กระบวนการควบคุม

    กระบวนการควบคุม (Control Processes) คือ การควบคุมการบริหารจัดการด้านต่าง ๆ  เพื่อควบคุมประสิทธิภาพการบริการให้เป็นไปตามมาตรฐานที่กำหนดไว้ ประกอบด้วย 2 ประเภทย่อย โดยมีรายละเอียด ดังนี้

    • กระบวนการบริหารการปรับแต่งระบบ (Configuration Management Process) คือ การกำหนดและควบคุมองค์ประกอบต่าง ๆ ของการบริการ และโครงสร้างพื้นฐาน รวมถึงการดูแลรักษาความถูกต้องของข้อมูลในการปรับแต่งระบบ โดยองค์กรควรมีนโยบายกำหนดรายการสำหรับการปรับแต่ง (Configuration Items) รวมถึงองค์ประกอบต่าง ๆ ที่เกี่ยวข้องกับการให้บริการ ซึ่งเป็นการควบคุมการเปลี่ยนแปลงโครงสร้างพื้นฐานทางด้าน IT 
    • กระบวนการบริหารการเปลี่ยนแปลง (Change Management Process) คือ การดำเนินการเพื่อให้มั่นใจว่าการเปลี่ยนแปลงต่าง ๆ ที่เกิดขึ้น ได้รับการประเมิน อนุมัติ นำไปปฏิบัติ และทบทวน ทั้งนี้การขอเปลี่ยนแปลงควรมีการบันทึกไว้ รวมถึงการประเมินถึงความเสี่ยง ผลกระทบ และประโยชน์ที่องค์กรได้รับ และทำการแยกประเภทของการเปลี่ยนแปลง เช่น กรณีเร่งด่วน, กรณีฉุกเฉิน, เรื่องหลักและเรื่องรอง เป็นต้น

    3. กระบวนการส่งมอบ

    กระบวนการส่งมอบ (Delivery Processes) คือ การบริหารการส่งมอบสินค้าหรือบริการให้กับลูกค้า เพื่อส่งมอบบริการที่มีคุณภาพ โดยมีรายละเอียด ดังนี้

    • การบริหารการส่งมอบ (Release Management Process) คือ การวางแผนในการส่งมอบการบริการระบบ ซอฟต์แวร์ และฮาร์ตแวร์ โดยแผนในการส่งมอบควรได้รับความเห็นชอบจากผู้เกี่ยวข้องต่าง ๆ ไม่ว่าจะเป็นลูกค้า, ผู้ให้บริการ, เจ้าหน้าที่ดำเนินการ และเจ้าหน้าที่สนับสนุน โดยเป้าหมายหลักของการบริหารการส่งมอบ คือ การดำเนินการเพื่อให้มั่นใจถึงความสำเร็จของการส่งมอบ รวมถึงการเชื่อมโยงสิ่งต่าง ๆ เข้าด้วยกัน เช่น การทดสอบและการจัดเก็บ โดยมีการดูแลให้มั่นใจว่ามีการส่งมอบที่ถูกต้องและผ่านการทดสอบแล้ว ซึ่งการบริหารการส่งมอบนี้ เป็นการทำงานเชื่อมโยงกับกระบวนการบริหารการปรับแต่งระบบ และกระบวนการบริหารการเปลี่ยนแปลง

    4. กระบวนการแก้ไขปัญหา 

    กระบวนการแก้ไขปัญหา (Resolution Processes) คือ การจัดการและแก้ไขปัญหาด้านการให้บริการ เพื่อเตรียมความพร้อมและรับมือกับข้อบกพร่องที่อาจเกิดขึ้นได้อย่างทันท่วงที ประกอบด้วย 2 ประเภทย่อย โดยมีรายละเอียด ดังนี้

    • การบริหารความไม่ต่อเนื่องในการให้บริการ (Incident Management) คือ การที่มีเป้าหมายในการแก้ไขความไม่ต่อเนื่องที่เกิดขึ้น เพื่อกลับสู่สภาพเดิมของการให้บริการอย่างรวดเร็ว ทั้งนี้ความไม่ต่อเนื่องต่าง ๆ ที่เกิดขึ้นควรได้รับการบันทึกหรือจัดเก็บเป็นหลักฐานไว้ด้วย รวมถึงควรมีการจัดทำวิธีการรับมือและแก้ไขผลกระทบที่เกิดขึ้น โดยผู้ใช้บริการควรได้รับแจ้งให้ทราบถึงความคืบหน้าของรายงานความไม่ต่อเนื่องในการบริการ รวมถึงได้รับการแจ้งเตือน กรณีที่ระดับของการบริการไม่สามารถดำเนินการได้ 
    • การบริหารการแก้ไขปัญหา (Problem Management) คือ การระบุสาเหตุของปัญหาที่พบและทำการแก้ไขปัญหา เพื่อให้เกิดผลกระทบต่อธุรกิจน้อยที่สุด และสามารถให้บริการได้อย่างต่อเนื่อง โดยมุ่งเน้นไปที่การดำเนินการ เพื่อป้องกันการเกิดปัญหาขึ้นซ้ำ ซึ่งปัญหาทั้งหมดที่เกิดขึ้นควรทำการบันทึกไว้ รวมถึงควรมีการกำหนดการจัดประเภทการปรับปรุง การแก้ไขปัญหา การขยายผล และการปิดปัญหา นอกจากนี้ควรมีการดำเนินการป้องกัน เพื่อลดปัญหาที่อาจเกิดขึ้น เช่น การวิเคราะห์แนวโน้มของความไม่ต่อเนื่อง และการปรับปรุงข้อมูลสารสนเทศให้ทันสมัย เป็นต้น

    5. กระบวนการบริหารความสัมพันธ์

    กระบวนการบริหารความสัมพันธ์ (Relationship Processes) คือ การบริหารความสัมพันธ์ระหว่างผู้ให้บริการกับผู้ใช้บริการ ด้วยการให้บริการที่มีมาตรฐานในขั้นตอนต่าง ๆ เพื่อรักษาคุณภาพและความสัมพันธ์ที่ดีกับผู้ใช้บริการได้อย่างต่อเนื่อง ประกอบด้วย 2 ประเภทย่อย โดยมีรายละเอียด ดังนี้

    • การบริหารความสัมพันธ์ทางธุรกิจ (Business Relationship Management) คือ การสร้างและรักษาความสัมพันธ์ที่ดีระหว่างผู้ให้บริการและผู้ใช้บริการ โดยผู้ให้บริการจะต้องกำหนดและจัดทำเอกสารในส่วนของผู้มีส่วนได้เสียกับองค์กรและผู้ใช้บริการ ซึ่งควรมีการทบทวนร่วมกันถึงรายละเอียดของการให้บริการเมื่อมีการเปลี่ยนแปลงอย่างน้อยปีละ 1 ครั้ง 
    • การบริหารผู้ส่งมอบ (Supplier Management) คือ การสร้างความมั่นใจว่าผู้ส่งมอบสามารถดำเนินการได้อย่างเรียบร้อย รวมถึงการให้บริการที่มีคุณภาพ ทั้งนี้ผู้ให้บริการควรมีการจัดทำเอกสารเกี่ยวกับการบริหารผู้ส่งมอบและควรมีรายชื่อของผู้จัดการที่รับผิดชอบผู้ส่งมอบแต่ละรายด้วย โดยมีข้อตกลงของระดับการให้บริการ (SLA) หรือเอกสารอื่น ๆ ซึ่งสามารถนำไปวัดผล ทบทวน และนำไปสู่การปรับปรุงการให้บริการให้ดีขึ้นในลำดับต่อไป


    5 ประโยชน์ของมาตรฐาน ISO/IEC 20000 มีอะไรบ้าง ?

    ภาพประกอบ 2 ISO 20000

    • ได้รับการรับรองจากมาตรฐานระดับสากล ด้านการบริหารเทคโนโลยีสารสนเทศ (IT)  
    • มีความน่าเชื่อถือและได้รับความไว้วางใจต่อผู้ใช้บริการ ในเรื่องการบริหารเทคโนโลยีสารสนเทศ (IT) ที่มีคุณภาพ
    • ช่วยจัดสรรระบบการทำงานของบุคลากร กระบวนการ และเทคโนโลยีให้มีประสิทธิภาพสูง
    • รักษามาตรการควบคุมเพื่อติดตามและวัดผลการบริการที่ดีอย่างสม่ำเสมอ
    • มีการปรับปรุงระบบและการบริหารจัดการด้าน IT อย่างต่อเนื่อง ป้องกันการเกิดข้อผิดพลาดได้ดีขึ้น 

    หากท่านสนใจสมัครใช้บริการ OpenLandscape สามารถสมัครใช้บริการได้ที่เว็บไซต์  https://gate.openlandscape.cloud/


     

    ข้อมูลอ้างอิง

    https://www.tpa.or.th.pdf

    https://www.nstda.or.th

    https://www.torwitchukorn.com/th

    https://www.lrqa.com/th-th/iso-20000/