มาตรฐานสากลด้านเทคโนโลยีสารสนเทศ

วันเสาร์ที่ 14 พฤษภาคม พ.ศ. 2559

มาตรฐาน ISO 27001

มาตรฐานระบบบริหารความมั่นคงปลอดภัยสารสนเทศ

Information Security Management Systems

ความก้าวหน้าของเทคโนโลยีสารสนเทศที่เพิ่มมากขึ้น ส่งผลให้ความต้องการในการดูแลความมั่นคงปลอดภัยของ สารสนเทศเพิ่มสูงขึ้นด้วย องค์กรต่างๆ ทั้งภาครัฐและภาคเอกชนต่างก็ให้ความส าคัญอย่างมากต่อการพัฒนาระบบเพื่อ การดูแลรักษาความมั่นคงปลอดภัยของสารสนเทศขององค์กร มีการพัฒนามาตรฐานเกี่ยวกับการดูแลรักษาความมั่นคง ปลอดภัยสารสนเทศออกมาอย่างต่อเนื่อง เพื่อป้องกันความเสียหายที่จะเกิดขึ้นจากภัยคุกคามในรูปแบบต่างๆ ที่มีต่อ ระบบสารสนเทศขององค์กร ซึ่งนับวันจะทวีความรุนแรง และท้าทายต่อผู้บริหารองค์กรที่รับผิดชอบในการดูแลระบบเป็น อย่างมาก
มาตรฐาน ISO/IEC27001 เป็นมาตรฐานที่พัฒนาขึ้นโดย ISO (International Organization for Standardization) โดย เป็นข้อก าหนดส าหรับการพัฒนาระบบบริหารความมั่นคงปลอดภัยสารสนเทศ (Information security management system, ITSM) เพื่อสร้างความมั่นใจถึงความมีประสิทธิผลและประสิทธิภาพของความมั่นคงปลอดภัยสารสนเทศของ องค์กร รวมถึงการด าเนินการที่สอดคล้องตามข้อก าหนดด้านระบบความมั่นคงปลอดภัยทั้งของลูกค้า ข้อกฏหมาย และ ระเบียบข้อบังคับต่างๆ ที่เกี่ยวข้องด้วย
นอกจากมาตรฐาน ISO/IEC 27001 แล้ว ยังได้มีการพัฒนามาตรฐานขึ้นมาอีกฉบับหนึ่งคือมาตรฐาน ISO/IEC 17799 (Information technology –Security techniques – Code of practices for information security management) ซึ่ง เป็นมาตรฐานที่ระบุถึงแนวปฏิบัติส าหรับการประเมินและจัดการความเสี่ยง รวมถึงแนวทางในการควบคุม ตามมาตรฐาน ISO/IEC 27001 โดยล่าสุดได้ออกมาเป็นรุ่นที่ 2 (Version 2) แล้วในปี 2005 (ปีเดียวกับมาตรฐาน ISO/IEC 27001)
ข้อกำหนดของมาตรฐาน ISO/IEC 27001 ได้แบ่งเนื้อหาของข้อก าหนดออกเป็น 2 ส่วนประกอบด้วย ส่วนของการบริหาร จัดการระบบความมั่นคงปลอดภัยสารสนเทศ และส่วนของรายการควบคุม และวัตถุประสงค์ของการควบคุม

1 ระบบบริหารจัดการความปลอดภัยสำหรับสารสนเทศ สรุปรายละเอียดที่สำคัญได้ดังต่อไปนี้

ข้อกำหนดทั่วไป

องค์กรจะต้องกำหนด ลงมือปฎิบัติ ดำเนินการ เฝ้าระวัง ทบทวน บำรุง รักษาและปรับปรุงระบบบริหารจัดการความมั่นคงปลอดภัยตามที่ได้กำหนดไว้เป็นลายลักษณ์อักษร ภายในกรอบกิจกรรมการดำเนินการทางธุรกิจต่างๆ รวมทั้งความเสี่ยงที่เกี่ยวข้อง แนวทางที่ใช้ในมาตรฐานฉบับนี้จะใช้กระบวนการ Plan-Do-Check-Act หรือ P-D-C-A มาประยุกต์ใช้ตามแสดงในภาพที่ 2

ภาพที่ 2 แผนภาพแสดงวงจรการบริหารจัดการความมั่นคงปลอดภัยตามขั้นตอน Plan-Do-Check-Act
จากภาพที่ 2 แสดงให้เห็นถึงแบบจำลองขั้นตอนการทำงานของระบบ ISMS ที่ตรงตามความต้องการของกลุ่มองค์กร รวมถึงระบบการปฎิบัติงานต่างๆ ที่เกิดขึ้นทำให้ระบบการรักษาความปลอดภัยข้อมูลตรงตามความต้องการและความคาดหมายได้ ซึ่งแต่ละขั้นตอนประกอบด้วยรายละเอียดโดยย่อดังต่อไปนี้ 1) Plan คือการวางแผน/กำหนดนโยบายความมั่นคงและจัดทำระบบ ISMS 2) Do คือการลงมือปฎิบัติหรือดำเนินการตามระบบ ISMS 3) Check คือการตรวจสอบและทบทวนผลการดำเนินการตามระบบ ISMS และ 4) Act
คือ การแก้ไขปรับปรุง/บำรุงรักษาหรือปรับปรุงคุณภาพของระบบ ISMS

กำหนดและบริหารจัดการ ระบบบริหารจัดการความมั่นคงปลอดภัย ดังต่อไปนี้
1. กำหนดระบบบริหารจัดการความมั่นคงปลอดภัย (Plan) โดยองค์กรควรกำหนดขอบเขตของระบบบริหารจัดการความมั่นคงปลอดภัยและกำหนดนโยบายความมั่นคงปลอดภัย โดยพิจารณาถึงลักษณะของธุรกิจ องค์กร สถานที่ตั้ง ทรัพย์สิน และเทคโนโลยี นอกจากนี้ ยังต้องกำหนดวิธีการประเมินความเสี่ยงที่เป็นรูปธรรมขององค์กร ระบบความเสี่ยง วิเคราะห์และประเมินความเสี่ยง ระบุและประเมินทางเลือกในการจัดการกับความเสี่ยงการดำเนินการที่เป็นไปได้ เลือกวัตถุประสงค์และมาตรการทางด้านความปลอดภัยเพื่อจัดการกับความเสี่ยง ขออนุมัติและความเห็นชอบสำหรับความเสี่ยงที่ยังหลงเหลืออยู่ในระบบบริหารจัดการความมั่นคงปลอดภัย ขอการอนุมัติเพื่อลงมือปฎิบัติและดำเนินการ และสุดท้ายคือ จัดทำเอกสาร SoA (Statement of Applicability) แสดงการใช้งานมาตรฐานตามที่แสดงไวในส่วนของมาตรฐานการรักษาความมั่นคงปลอดภัยในการประกอบธุรกรรมทางด้านอิเล็กทรอนิกส์
2. ลงมือปฎิบัติและดำเนินการระบบบริหารจัดการความมั่นคงปลอดภัย (Do) โดยองค์กรควรจัดทำแผนการจัดการความเสี่ยง ลงมือปฎิบัติตามแผนการจัดการความเสี่ยงและตามมาตรฐานที่เลือกไว้ กำหนดวิธีการในการวัดความสัมฤทธิ์ผลของมาตรการที่เลือกมาใช้งาน จัดทำและลงมือปฎิบัติตามแผนการอบรมและสร้างความตระหนัด บริหารจัดการดำเนินงานและบริหารทรัพยากรสำหรับระบบบริหารจัดการความมั่นคงปลอดภัย รวมถึงจัดทำและลงมือปฎิบัติตามขั้นตอนปฎิบัติและมาตรการอื่นๆ ซึ่งช่วยในการตรวจจับและรับมือกับเหตุการณ์ทางด้านความมั่นคงปลอดภัย
3. เฝ้าระวังและทบทวนระบบบริหารจัดการความมั่นคงปลอดภัย (Check) โดยองค์กรควรลงมือปฎิบัติตามขั้นตอนปฎิบัติและมาตรการอื่นๆ สำหรับการเฝ้าระวังและทบทวน ดำเนินการทบทวนความสัมฤทธิ์ผลของระบบบริหารจัดการความมั่นคงปลอดภัยอย่างสม่ำเสมอ วัดความสัมฤทธิ์ผลของมาตรการทางด้านความมั่นคงปลอดภัย ทบทวนผลการประเมินความเสี่ยงตามรอบระยะเวลาที่กำหนดไว้กับระดับความเสี่ยงที่เหลืออยู่และระดับความเสี่ยงที่ยอมรับได้ ดำเนินการตรวจสอบและทบทวนระบบบริหารจัดการความมั่นคงปลอดภัย ปรับปรุงแผนทางด้านความปลอดภัยโดยนำผลของการเฝ้าระวังและทบทวนกิจกรรมต่างๆ มาพิจารณาร่วมด้วย และบันทึกการดำเนินการซึ่งอาจมีผลกระทบต่อความสัมฤทธิ์ผลหรือประสิทธิภาพของระบบบริหารจัดการความมั่นคงปลอดภัย
4. บำรุงรักษาและปรับปรุงระบบบริหารจัดการด้านความมั่นคงปลอดภัย (Act) โดยองค์กรควรปรับปรุงระบบบริหารจัดการความมั่นคงปลอดภัยตามที่ระบุไว้ รวมถึงการใช้มาตรการเชิงแก้ไข ป้องกัน และใช้บทเรียนจากประสบการณ์ทางด้านความมั่นคงปลอดภัยขององค์กรเองและองค์กรอื่น แจ้งการปรับปรุงและดำเนินการให้แก่ทุกหน่วยงานที่เกี่ยวข้อง และตรวจสอบว่าการปรับปรุงที่ทำไปแล้วนั้นบรรลุตามวัตถุประสงค์ที่กำหนดไว้หรือไม่
ข้อกำหนดทางด้านการจัดทำเอกสาร
1. ความต้องการทั่วไป เอกสารที่จำเป็นต้องจัดทำจะรวมถึงบันทึกแสดงการตัดสินใจของผู้บริหาร ได้แก่ นโยบายความมั่นคงปลอดภัย ขอบเขตของระบบบริหารจัดการความมั่นคงปลอดภัย วิธีการประเมินความเสี่ยง เป็นต้น
2. การบริหารจัดการเอกสาร ซึ่งเอกสารตามข้อกำหนดของระบบบริหารจัดการความมั่นคงปลอดภัยจะต้องได้รับการป้องกันและควบคุม ขั้นตอนการปฎิบัติที่เกี่ยวข้องกับการจัดการเอกสาร ได้แก่ อนุมัติการใช้งานเอกสารก่อนที่จะเผยแพร่ ทบทวน ปรับปรุงและอนุมัติเอกสารตามความจำเป็น ระบุการเปลี่ยนแปลงและสภานภาพของเอกสารปัจจุบัน เป็นต้น
3. การบริหารจัดการบันทึกข้อมูลหรือฟอร์มต่างๆ องค์กรจะต้องมีการกำหนด จัดทำและบำรุงรักษาบันทึกข้อมูลหรือฟอร์ต่างๆ เพื่อใช้เป็นหลักฐานแสดงความสอดคล้องกับข้อกำหนดและการดำเนินการที่มีประสิทธิภาพของระบบบริหารจัดการความมั่นคงปลอดภัย

2 หน้าที่ความรับผิดชอบของผู้บริหาร

การให้ความสำคัญในการบริหารจัดการ โดยผู้บริหารจะต้องแสดงถึงการให้ความสำคัญต่อการกำหนดการลงมือปฎิบัติการ ดำเนินการ เฝ้าระวัง การทบทวน การบำรุงรักษาและการปรับปรุงระบบบริหารจัดการความมั่นคงปลอดภัย
การบริหารจัดการทรัพยากรที่จำเป็นและการอบรม การสร้างความตระหนักและการเพิ่มขีดความสามารถเพื่อให้บุคลากรทั้งหมดที่ได้รับมอบหมายหน้าที่สามารถปฎิบัติงานได้ตามที่กำหนดไว้ในนโยบายความมั่นคงปลอดภัย

3 การตรวจสอบภายในระบบบริหารจัดการความมั่นคงปลอดภัย
องค์กรควรดำเนินการตรวจสอบภายในตามรอบระยะเวลาที่กำหนดไว้เพื่อตรวจสอบว่า วัตถุประสงค์ มาตรการ กระบวนการ และขั้นตอนปฎิบัติของระบบบริหารจัดการความมั่นคงปลอดภัยมีความสอดคล้องกับข้อกำหนดในมาตรฐานฉบับนี้และกฎหมาย ระเบียบ ข้อบังคับต่างๆ รวมถึงสอดคล้องกับข้อกำหนดด้านความมั่นคงปลอดภัย และได้รับการลงมือปฎิบัติและบำรุงรักษาอย่างสัมฤทธิ์ผลและเป็นไปตามที่คาดหมายไว้ นอกจากนี้ องค์กรจะต้องวางแผนตรวจสอบภายในโดยพิจารณาถึงสถานาพและความสำคัญของกระบวนการและส่วนต่างๆ ที่จะได้รับการตรวจสอบและผลการตรวจสอบในครั้งที่ผ่านมา รวมถึงองค์กรจะต้องระบุหน้าที่ความรับผิดชอบและข้อกำหนดต่างๆ ในการวางแผนและดำเนินการตรวจสอบ จัดทำรายงานผลการตรวจสอบและบันทึกข้อมูลของการตรวจสอบนั้น
4 การทบทวนระบบบริหารจัดการความมั่นคงปลอดภัยโดยผู้บริหาร
ผู้บริหารจะต้องทบทวนระบบบริหารจัดการความมั่นคงปลอดภัยตามรอบระยะเวลาที่กำหนดไว้ (เช่นปีละ 1 ครั้ง) เพื่อให้มีการดำเนินการที่เหมาะสม พอเพียงและสัมฤทธิ์ผล การทบทวนจะต้องรวมถึงการปรับปรุงหรือเปลี่ยนแปลงระบบบริหารจัดการความมั่นคงปลอดภัย ซึ่งหมายรวมถึงนโยบายความมั่นคงปลอดภัยและวัตถุประสงค์ทางด้านความปลอดภัย ผลของการทบทวนจะต้องได้รับการบันทึกไว้อย่างเป็นลายลักษณ์อักษรแ

นโยบายความมั่นคงปลอดภัย (Security policy) ประกอบด้วยนโยบายความมั่นคงปลอดภัยสำหรับสารสนเทศ ซึ่งมีวัตถุประสงค์เพื่อกำหนดทิศทางและให้การสนับสนุนการดำเนินการด้านความมั่นคงปลอดภัยสำหรับสารสนเทศขององค์กร เพื่อให้เป็นไปตามหรือสอดคล้องกับข้อกำหนดทางธุรกิจ กฎหมายและระเบียบปฎิบัติที่เกี่ยวข้อง โดยผู้บริหารองค์กรจะต้องมีการจัดทำนโยบายที่เป็นลายลักษณ์อักษร รวมถึงการทบทวนนโยบายตามระยะเวลาที่กำหนดหรือมีการเปลี่ยนแปลงที่สำคัญขององค์กร
โครงสร้างด้านความมั่นคงปลอดภัยสำหรับองค์กร (Internal organization) โดยได้กล่าวถึงบทบาทของผู้บริหารองค์กรและหัวหน้างานสารสนเทศ ในด้านต่างๆ ดังต่อไปนี้
1. โครงสร้างทางด้านความมั่นคงปลอดภัยภายในองค์กร เพื่อบริหารและจัดการความมั่นคงปลอดภัยสำหรับสารสนเทศขององค์กร
2. โครงสร้างทางด้านความมั่นคงปลอดภัยที่เกี่ยวข้องกับลูกค้าหรือหน่วยงานภายนอก เพื่อบริหารจัดการความมั่นคงปลอดภัยสำหรับสารสนเทศและอุปกรณ์ประมวลผลสารสนเทศขององค์กรที่ถูกเข้าถึง ถูกประมวลผล หรือถูกใช้ในการติดต่อสื่อสารกับลูกค้าหรือหน่วยงานภายนอก
การบริหารจัดการทรัพย์สินขององค์กร (Asset management) โดยได้กล่าวถึงบทบาทของหัวหน้างานสารสนเทศและหัวหน้างานพัสดุในด้านต่างๆ ดังต่อไปนี้
1. หน้าที่ความรับผิดชอบต่อทรัพย์สินขององค์กร เพื่อป้องกันทรัพย์สินขององค์กรจากความเสียหายที่อาจขึ้นได้
2. การจัดหมวดหมู่สารสนเทศ เพื่อกำหนดระดับของการป้องกันสารสนเทศขององค์กรอย่างเหมาะสม
ความมั่นคงปลอดภัยที่เกี่ยวข้องกับบุคลากร (Human resources security) โดยได้กล่าวถึงบทบาทของผู้บริหารสารสนเทศ หัวหน้างานสารสนเทศ หัวหน้างานบุคคลและหัวหน้างานที่เกี่ยวข้องในต่างๆ ดังต่อไปนี้
1. การสร้างความมั่นคงปลอดภัยก่อนการจ้างงาน เพื่อให้พนักงานและผู้เกี่ยวข้องจากหน่วยงานภายนอก เข้าใจถึงบทบาทและหน้าที่ความรับผิดชอบของตน และเพื่อลดความเสี่ยงอันเกิดจากการขโมย การฉ้อโกง และการใช้อุปกรณ์ผิดวัตถุประสงค์
2. การสร้างความมั่นคงปลอดภัยในระหว่างการจ้างงาน เพื่อให้พนักงานและผู้เกี่ยวข้องจากหน่วยงานภายนอกได้ตระหนักถึงภัยคุกคามและปัญหาที่เกี่ยวข้องกับความมั่นคงปลอดภัย หน้าที่ความรับผิดชอบและทำความเข้าใจกับนโยบาย เพื่อลดความเสี่ยงอันเกิดจากความผิดพลาดในการปฎิบัติหน้าที่
3. การสิ้นสุดและการเปลี่ยนการจ้างงาน เพื่อให้พนักงานและผู้เกี่ยวข้องจากหน่วยงานภายนอกได้ทราบถึงหน้าที่ความรับผิดชอบและบทบาทของตน เมื่อสิ้นสุดการจ้างงานหรือมีการเปลี่ยนการจ้างงาน
การสร้างความมั่นคงปลอดภัยทางกายภาพและสิ่งแวดล้อม (Physical and environmental security)โดยได้กล่าวถึงบทบาทของหัวหน้างานสารสนเทศและหัวหน้างานอาคารในด้านต่างๆ ดังต่อไปนี้
1. บริเวณที่ต้องมีการรักษาความมั่นคงปลอดภัย เพื่อป้องกัยการเข้าถึงทางกายภาพโดยไม่ได้รับอนุญาต การก่อให้เกิดความเสียหาย และการก่อกวนหรือแทรกแซงต่อทรัพย์สินสารสนเทศขององค์กร
2. ความมั่นคงปลอดภัยของอุปกรณ์ เพื่อป้องกันการสูญหาย การเกิดความเสียหาย การถูกขโมย หรือการถูกเปิดเผยโดยไม่ได้รับอนุญาตของทรัพย์สินขององค์กร และทำให้กิจกรรมการดำเนินงานต่างๆ ขององค์กรเกิดการติดขัดหรือหยุดชะงัก
การบริหารจัดการด้านการสื่อสารและการดำเนินงานของเครือข่ายสารสนเทศขององค์กร (Communications and operations management) โดยได้กล่าวถึงบทบาทของผู้บริหารองค์กร ผู้บริหารสารสนเทศ หัวหน้างานสารสนเทศ ผู้ที่เป็นเจ้าของกระบวนการทางธุรกิจและพนักงานสารสนเทศในด้านต่างๆ ดังต่อไปนี้
1. การกำหนดหน้าที่ความรับผิดชอบและขั้นตอนการปฎิบัติงาน เพื่อให้การดำเนินงานที่เกี่ยวข้องกับอุปกรณ์ประมวลผลสารสนเทศเป็นไปอย่างถูกต้องและปลอดภัย
2. การบริหารจัดการการให้บริการของหน่วยงานภายนอก เพื่อจัดทำและรักษาระดับความมั่นคงปลอดภัยของการปฎิบัติหน้าที่โดยหน่วยงานภายนอกให้เป็นไปตามข้อตกลงที่จัดทำไว้ระหว่างองค์กรกับหน่วยงานภายนอก
3. การวางแผนและการตรวจรับทรัพยากรสารสนเทศ เพื่อลดความเสี่ยงจากความล้มเหลวของระบบ
4. การป้องกันโปรแกรมที่ไม่ประสงค์ดี เพื่อรักษาซอฟต์แวร์และสารสนเทศให้ปลอดภัยจากการถูกทำลายโดยซอฟต์แวร์ที่ไม่ประสงค์ดี
5. การสำรองข้อมูล เพื่อรักษาความถูกต้องสมบูรณ์และความพร้อมใช้ของสารสนเทศและอุปกรณ์ประมวลผลสารสนเทศ
6. การบริหารจัดการทางด้านความปลอดภัยสำหรับเครือข่ายขององค์กร เพื่อป้องกันสารสนเทศบนเครือข่ายและโครงสร้างพื้นฐานที่สนับสนุนการทำงานของเครือข่าย
7. การจัดการสื่อที่ใช้ในการบันทึกข้อมูล เพื่อป้องกันการเปิดเผย การเปลี่ยนแปลงแก้ไข การลบหรือทำลายทรัพย์สินสารสนเทศโดยไม่ได้รับอนุญาต และการติดขัดหรือหยุดชะงักทางธุรกิจ
8. การแลกเปลี่ยนสารสนเทศ เพื่อรักษาความมั่นคงปลอดภัยของสารสนเทศและซอฟต์แวร์ที่มีการแลกเปลี่ยนกันภายในองค์กร และที่มีการแลกเปลี่ยนกับหน่วยงานภายนอก
9. การสร้างความมั่นคงปลอดภัยสำหรับบริการพาณิชย์อิเล็กทรอนิกส์ เพื่อสร้างความมั่นคงปลอดภัยสำหรับบริการพาณิชย์อิเล็กทรอนิกส์และในการใช้งาน
10. การเฝ้าระวังทางด้านความมั่นคงปลอดภัย เพื่อตรวจจับกิจจกรรมการประมวลผลสารสนเทศที่ไม่ได้รับอนุญาต
การควบคุมการเข้าถึง (Access control) โดยได้กล่าวถึงบทบาทของผู้บริหารสารสนเทศ หัวหน้างานสารสนเทศ ผู้ดูแลระบบและพนักงานในด้านต่างๆ ดังต่อไปนี้
1. ข้อกำหนดทางธุรกิจสำหรับการควบคุมการเข้าถึงสารสนเทศ เพื่อควบคุมการเข้าถึงสารสนเทศ
2. การบริหารจัดการการเข้าถึงของผู้ใช้ เพื่อควบคุมการเข้าถึงระบบสารสนเทศเฉพาะผู้ที่ได้รับอนุญาตแล้วและป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต
3. หน้าที่ความรับผิดชอบของผู้ใช้งาน เพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต การเปิดเผยหรือการขโมยสารสนเทศและอุปกรณ์ประมวลผลสารสนเทศ
4. การควบคุมการเข้าถึงเครือข่ายที่ไม่ได้รับอนุญาต
5. การควบคุมการเข้าถึงระบบปฎิบัติการที่ไม่ได้รับอนุญาต
6. การควบคุมการเข้าถึง Application และสารสนเทศที่ไม่ได้รับอนุญาต
7. การควบคุมอุปกรณ์สื่อสารประเภทพกพาและการปฎิบัติงานจากภายนอกเพื่อสร้างความมั่นคงปลอดภัยให้กับอุปกรณ์และการปฎิบัติงานที่เกี่ยวข้อง
การจัดหา การพัฒนาและการบำรุงรักษาระบบสารสนเทศ (Information systems acquisition, development and maintenance) โดยได้กล่าวถึงบทบาทของหัวหน้างานสารสนเทศ ผู้พัฒนาระบบ และผู้เป็นเจ้าของระบบในด้านต่างๆ ดังต่อไปนี้
1. ข้อกำหนดด้านความมั่นคงปลอดภัยสำหรับระบบสารสนเทศ เพื่อให้การจัดหาและพัฒนาระบบสารสนเทศได้พิจารณาถึงประเด็นทางด้านความมั่นคงปลอดภัยเป็นองค์ประกอบพื้นฐานที่สำคัญ
2. การประมวลผลสารสนเทศใน Application เพื่อป้องกันความผิดพลาดในสารสนเทศ การสูญหายของสารสนเทศ การเปล่ยนแปลงสารสนเทศโดยไม่ได้รับอนุญาต หรือการใช้งานสารสนเทศผิดวัตถุประสงค์
3. มาตรการการเข้ารหัสข้อมูล เพื่อรักษาความลับของข้อมูล ยืนยันตัวตนของผู้ส่งข้อมล หรือรักษาความถูกต้องสมบูรณ์ของข้อมูลโดยใช้วิธีการทางการเข้ารหัสข้อมูล
4. การสร้างความมั่นคงปลอดภัยให้กับไฟล์ของระบบที่ให้บริการ
5. การสร้างความมั่นคงปลอดภัยสำหรับกระบวนการในการพัฒนาระบบและกระบวนการสนับสนุน เพื่อรักษาความมั่นคงปลอดภัยสำหรับซอฟต์แวร์และสารสนเทศของระบบ
6. การบริหารจัดการช่องโหว่ในฮาร์ดแวร์และซอฟต์แวร์ เพื่อลดความเสี่ยงจากการโจมตีโดยอาศัยช่องโหว่ทางเทคนิคที่มีการเผยแพร่หรือตีพิมพ์ในสถานที่ต่างๆ
การบริหารจัดการเหตุการณ์ที่เกี่ยวข้องกับความมั่นคงปลอดภัยขององค์กร (Information security incident management) โดยได้กล่าวถึงบทบาทของหัวหน้างานสารสนเทศ หัวหน้างานนิติกร ผู้ดูแลระบบและพนักงานในด้านต่างๆ ดังต่อไปนี้
1. การรายงานเหตุการณ์และจุดอ่อนที่เกี่ยวข้องกับความมั่นคงปลอดภัย เพื่อให้เหตุการณ์และจุดอ่อนที่เกี่ยวข้องกับความมั่นคงปลอดภัยของระบบสารสนเทศขององค์กรได้รับการดำเนินการที่ถูกต้องในช่วงระยะเวลาที่เหมาะสม
2. การบริหารจัดการและการปรับปรุงแก้ไขต่อเหตุการณ์ที่เกี่ยวข้องกับความมั่นคงปลอดภัย เพื่อให้มีวิธีการที่สอดคล้องและได้ผลในการบริหารจัดการเหตุการณ์ที่เกี่ยวข้องกับความมั่นคงปลอดภัยสำหรับสารสนเทศขององค์กร

ละบันทึกข้อมูลที่เกี่ยวข้องกับการทบทวนจะต้องได้รับการบำรุงรักษาไว้
ส่วนที่ 2 มาตรการการจัดการด้านความมั่นคงปลอดภัยสำหรับสารสนเทศ (อ้างอิงมาตรฐาน ISO/IEC 27001 Annex A และศึกษารายละเอียดวิธีปฎิบัติทางเทคนิคจาก ISO/IEC 17799:2005)

การบริหารความต่อเนื่องในการดำเนินงานขององค์กร (Business continuity management) โดยได้กล่าวถึงบทบาทของผู้บริหารสารสนเทศ และหัวหน้างานสารสนเทศ ที่เกี่ยวกับหัวข้อพื้นฐานสำหรับการบริหารความต่อเนื่องในการดำเนินงานขององค์กร เพื่อป้องกันการติดขัดหรือการหยุดชะงักของกิจกรรมต่างๆ ทางธุรกิจเพื่อป้องกันกระบวนการทางธุรกิจที่สำคัญอันเป็นผลมาจากการล้มเหลวหรือหายนะที่มีต่อระบบสารสนเทศ และเพื่อให้สามารถกู้ระบบกลับคืนมาได้ภายในระยะเวลาที่เหมาะสม
การปฎิบัติตามข้อกำหนด (Compliance) โดยได้กล่าวถึงบทบาทของหัวหน้างานสารสนเทศและหัวหน้างานนิติกร ในด้านต่างๆ ดังต่อไปนี้

การปฏิบัติตามข้อกำหนดทางกฎหมาย เพื่อหลีกเลี่ยงการละเมิดข้อกำหนดทางกฎหมาย ระเบียบปฏิบัติ ข้อกำหนดในสัญญา และข้อกำหนดทางด้านความมั่นคงปลอดภัยอื่นๆ
การปฎิบัติตามนโยบาย มาตรฐานความปลอดภัยและข้อกำหนดทางเทคนิค เพื่อให้ระบบเป็นตามนโยบายและมาตรฐานความมั่นคงปลอดภัยตามที่องค์กรกำหนดไว้
การตรวจประเมินระบบสารสนเทศ เพื่อตรวจประเมินระบบสารสนเทศให้ได้ประสิทธิภาพสูงสุดและมีการแทรกแซงหรือทำให้หยุดชะงักต่อกระบวนการทางธุรกิจน้อยที่สุด

มาตรฐาน COBIT

การใช้ COBIT ในการช่วยวางแผนกลยุทธ์ทางด้าน IT
การดำเนินธุรกิจปัจจุบัน เทคโนโลยีสารสนเทศ (Information Technology หรือ IT) เป็นเครื่องมือหนึ่งที่องค์กรธุรกิจนำมาประยุกต์ใช้เพื่อเป้าหมายทางธุรกิจ (Business Goal) ในการช่วงชิงความได้เปรียบทางการแข่งขัน เช่น การเข้าถึงข้อมูลทางธุรกิจ การช่วยอำนวยความสะดวกในการดำเนินธุรกิจ เป็นต้น ขณะเดียวกันองค์กรธุรกิจหลายแห่งก็ประสบปัญหาการสูญเสียเงินลงทุนในระบบเทคโนโลยีสารสนเทศที่ไม่คุ้มค่า หรือระบบเทคโนโลยีสารสนเทศที่เลือกไม่สามารถตอบสนองเป้าหมายขององค์กร ซึ่งทำให้เกิดช่องว่าง (Gap) ในการประยุกต์ไอทีและการปรับเปลี่ยนกระบวนการทำงานไม่สอดคล้องสัมพันธ์กับเป้าหมายทางธุรกิจ ดังนั้นองค์กรธุรกิจระดับสากลจึงได้นำแนวคิดการบริหารจัดการเทคโนโลยีสารสนเทศที่ดีหรือที่รู้จักกันอย่างแพร่หลายว่า “ไอทีภิบาล” (IT Governance) มาปรับใช้เป็นแนวทาง เพื่อสร้างความเชื่อมั่นให้กับองค์กรว่าจะสามารถบริหารจัดการกระบวนการทำงานทางด้านไอทีให้มีความสอดประสานกับวัตถุประสงค์ขององค์กร ทั้งนี้เครื่องมือที่ช่วยให้องค์กรสามารถปฏิบัติตามระเบียบข้อบังคับจากทั้งภายในและภายนอกองค์กร (Compliance Management) ให้สอดคล้องกับหลักไอทีภิบาล คือกรอบแนวคิดโคบิต (COBIT Framework) ซึ่งเป็นหนึ่งในแนวคิดที่ถูกปรับประยุกต์ใช้ ในองค์กรธุรกิจ ช่วยประสานกลวิธีทางธุรกิจให้สามารถจัดการไอทีได้อย่างลงตัว

โคบิต (COBIT) คืออะไร?
โคบิตได้รับการพัฒนาโดยถูกตีพิมพ์และเผยแพร่ในปี พ.ศ. 2539 เวอร์ชั่นแรก (COBIT 1st Edition) โดยสมาคมการควบคุมและการตรวจสอบระบบสารสนเทศ หรือ The Information Systems Audit and Control Association (ISACA) และ สถาบันเทคโนโลยีสารสนเทศภิบาล หรือ Information Technology Governance Institute (ITGI) มาตรฐานโคบิตที่ถูกเผยแพร่ในเว็บไซด์ ISACA ปัจจุบันถูกปรับปรุงอยู่ในเวอร์ชั่น 4.1การปรับปรุงเนื้อหาให้มีความใกล้เคียงกับมาตรฐานสากลต่างๆ เช่น Sarbanes-Oxley Act. สร้างความมั่นใจให้กับองค์กรมากขึ้นในการปรับปรุงเป้าหมายการควบคุมเทคโนโลยีสารสนเทศ ในทิศทางเดียวกับเป้าหมายทางธุรกิจโดยกำหนดความรับผิดชอบต่อกระบวนการไอที ให้สอดคล้องกับโครงสร้างความสัมพันธ์ขององค์กร ขณะเดียวกันการดำเนินธุรกิจปัจจุบันที่ต้องการความฉับไวเพื่อขยายขีดความสามารถในการตอบสนองความต้องการของลูกค้า เมื่อองค์กรต้องมี กลยุทธ์ทางธุรกิจ (Business Strategy) กำหนดทิศทางของการดำเนินงาน ที่ประกอบไปด้วยแผนระยะสั้นและแผนระยะยาว อันจะเป็นแนวทางที่ชี้ให้เห็นว่าองค์กรจะก้าวไปข้างหน้าอย่างไรให้ประสบความสำเร็จ องค์กรจำเป็นต้องอาศัยปัจจัยดังกล่าวในการกำหนดกลยุทธ์ในการจัดการทางด้านเทคโนโลยีสารสนเทศ (IT Strategy) เพื่อจัดสรรทรัพยากรสารสนเทศ เงินทุน เวลาและทรัพยากรบุคคลในการพัฒนาประยุกต์ใช้ระบบเทคโนโลยีสารสนเทศขององค์กรให้เหมาะสมสอดคล้องกับธุรกิจ โดยพิจารณาถึงสภาพแวดล้อมภายในองค์กร (Internal Environment) และสภาพแวดล้อมภายนอก (External Environment) เพื่อสร้างความได้เปรียบจากการใช้ทรัพยากรขององค์กรในการปรับตัว และได้ประโยชน์จากความเปลี่ยนแปลงที่เกิดขึ้นในสิ่งแวดล้อมภายนอก
เทคโนโลยีสารสนเทศกับมุมมองของผู้บริหาร
กลายเป็นวาระของผู้บริหารด้านสารสนเทศ (CIO: Chief Information Officer) และผู้บริหารระดับสูงขององค์กร (CEO: Chief Executive Officer) ต้องตระหนักถึงการวิเคราะห์จุดแข็ง (Strength) จุดอ่อน (Weakness) โอกาส (Opportunity) และอุปสรรค์ (Threat) ไปพร้อมๆ กับการกำหนดนโยบายที่สำคัญที่เกี่ยวข้องกับการนำไอทีมาใช้ประยุกต์ใช้ ซึ่งปัจจุบันแนวทางการนำเทคโนโลยีสารสนเทศมาใช้ในองค์กรมี 2 ประการ คือ ประการที่หนึ่ง เพื่อช่วยสนับสนุนธุรกิจในแง่ของการเปลี่ยนแปลง โดยองค์กรมีการปรับเปลี่ยนตัวเองให้เหมาะสม เพื่อรองรับกับการเปลี่ยนแปลงแบบพลวัตร (to support Dynamic changes) และ ประการที่สองเป็นตัวส่งเสริม (Enable) หรือผลักดัน (Drive) ธุรกิจ ให้สามารถสร้างความได้เปรียบทางการแข่งขันให้องค์กรประสบความสำเร็จได้
แม้ว่าเทคโนโลยีจะเป็นปัจจัยสำคัญที่ช่วยเพิ่มความสะดวกให้กับภาคธุรกิจ หากแต่หลายครั้งพบว่าองค์กรธุรกิจไม่สามารถจัดการเทคโนโลยีสารสนเทศได้อย่างมีประสิทธิภาพ หรืออย่างคุ้มค่า ตัวอย่างเช่น การนำระบบการวางแผนทรัพยากรในองค์กร (ERP: Enterprise Resource Planning) มาใช้ ซึ่งเป็นระบบเชื่อมโยงทุกหน่วยงานในองค์กร และงานหลัก(core business process) ต่างๆ เข้าไว้ด้วยกัน ผู้บริหารองค์กรย่อมคาดหวังผลตอบแทนจากการลงทุน โดยอาจไม่ได้คำนึงถึงผลลัพธ์จากความเสี่ยง ไม่ว่าจะเป็นการประมาณต้นทุนผิดพลาด หรือระบบใหม่ที่ไม่สามารถทำงานร่วมกับระบบเดิมได้ ซึ่งล้วนเป็นความเสี่ยงที่เกิดจากการใช้เทคโนโลยีอย่างไม่คุ้มค่าและไม่ตรงตามวัตถุประสงค์ของธุรกิจ (Business Objective) อย่างแท้จริง
ซีไอโอนอกเหนือจากมีหน้าที่กำหนดกลยุทธ์ด้านเทคโนโลยีสารสนเทศแล้ว ยังมีหน้าที่รับผิดชอบตามสายการบังคับบัญชาหลัก ดังนั้นจึงต้องทำหน้าที่เชื่อมโยงกลยุทธ์ทางเทคโนโลยีสารสนเทศ ให้มีความสอดคล้องกับเป้าหมาย ภารกิจหลักหรือกลยุทธ์ทางธุรกิจ ซึ่งมีรูปความสัมพันธ์แบบบนลงล่าง (Top-down) ในขณะเดียวกันนั้น อาจมีการร้องขอความต้องการทางด้านเทคโนโลยีสารสนเทศจากภายในองค์กร (Strategy demand for IT) หรือการขอให้มีการพัฒนาซอฟแวร์โดยมีวัตถุประสงค์หรือเป้าหมายเพื่ออำนวยความสะดวกและช่วยให้สามารถปฏิบัติงานได้รวดเร็ว ในลักษณะการบริหารจัดการเชิงกลยุทธ์ตามหน้าที่ของหน่วยงาน (Functional Strategy) ที่มีลักษณะการเชื่อมโยงแบบล่างขึ้นบน (Bottom-up) ตามแผนภาพที่ 1 ดังนี้

ภาพที่ 1 ดัดแปลงจาก: Pearlson, K.&Saunders, C.(2549)

จากแผนภาพ สามารถอธิบายได้ว่าธุรกิจโดยส่วนใหญ่มักพบปัญหาการขาดการสอดประสานกันระหว่างหน่วยงานที่เกี่ยวข้อง และช่องว่างของความต้องการทางด้านเทคโนโลยีสารสนเทศ ในลักษณะเชื่อมโยงแบบบนลงล่าง และรูปแบบการเชื่อมโยงจากล่างขึ้นบน หรือมีการดำเนินงานตามสายการบังคับบัญชาที่ไม่สอดคล้องกัน มุ่งไปยังเป้าหมายและทิศทางที่แตกต่างกันไป ปัญหาที่องค์กรส่วนใหญ่พบ คือ การจัดการภายใน ที่ส่วนงานแต่ละแผนกมีความต้องการที่ไม่ตรงกัน เช่น การร้องขอโปรแกรมปฏิบัติการต่างจากที่องค์กรกำหนด หรือมีการร้องขอการเข้าถึงระบบฐานข้อมูลที่มากกว่าเดิม เป็นต้น
ดังนั้น หากธุรกิจมีการกำหนดด้านทิศทางขององค์กร แต่กำหนดแผนระยะสั้นและระยะยาวไม่สอดคล้องกัน จะทำให้เกิดช่องว่างระหว่างกลยุทธ์ของธุรกิจ และกลยุทธ์ด้านเทคโนโลยีสารสนเทศ สิ่งสำคัญในการบริหารจัดการองค์กร คือ ควรเติมเต็มส่วนที่ขาดหายไปและเชื่อมต่อความต้องการด้านเทคโนโลยีสารสนเทศของระบบงานทั้งหมดเข้าไว้ด้วยพร้อมพัฒนาและปรับปรุงแผนกลยุทธ์ของธุรกิจให้มีความต่อเนื่องควบคู่กันไป

บทบาทของคณะกรรมการบริษัทฯ
อย่างไรก็ดี ผู้ทีเป็นกำลังสำคัญในการเชื่อมโยงความต้องการทั้งหมดเข้าไว้ด้วยกัน และผลักดันให้เกิดขึ้นอย่างเป็นรูปธรรม คือ คณะกรรมการบริษัทฯ (Board of Director) ต้องตระหนักถึง ความสำคัญในการกำหนดนโยบายองค์กรให้สอดคล้องกับกลยุทธ์องค์กรและกลยุทธ์ทางด้านเทคโนโลยีสารสนเทศ โดยสนับสนุนให้มีการประชุมหารือร่วมกัน ระหว่างคณะกรรมการบริษัทฯ ผู้บริหารระดับสูง (C-Level) และผู้บริหารทุกระดับขององค์กร ตั้งแต่การกำหนดแผนกลยุทธ์ขององค์กร กลยุทธ์การใช้เทคโนโลยีสารสนเทศและการจัดสรรทรัพยากรบุคคล ทั้งนี้อาจกล่าวได้ว่าคณะกรรมการบริษัทฯ คือบุคคลหนึ่ง ที่มีความสำคัญในการสนับสนุนให้เป้าหมายทางด้านเทคโนโลยีสารสนเทศสอดประสานไปในทิศทางเดียวกับวัตถุประสงค์ขององค์กร (IT Alignment) ทำให้ผู้บริหารสามารถตัดสินใจได้อย่างรอบคอบ สามารถลด TCO (Total Cost of Ownership) และ เพิ่ม ROI (Return on Investment) ให้กับองค์กร หากธุรกิจมีการดำเนินงานตามแนวปฏิบัติที่ดีดังกล่าวแล้ว ยังมีประโยชน์อีกประการช่วยให้องค์กรมีการบริหารจัดการทางด้านเทคโนโลยีสารสนเทศที่มีความโปร่งใสและสามารถตรวจสอบเพื่อประโยชน์โดยรวมสู่องค์กรธุรกิจ

การประยุกต์ใช้เทคโนโลยีทางธุรกิจมีความสำคัญหลายประการต่อองค์กรธุรกิจ เพื่อให้การดำเนินงานร่วมกันสามารถก้าวต่อไปอย่างมีระบบระเบียบปัจจุบันมีแนวคิดและแนวทางปฏิบัติของผู้บริหารระบบสารสนเทศ สามารถนำมาประยุกต์ให้องค์กรปฏิบัติตามแนวคิดต่างๆ ได้จริงนั้น มาตรฐานที่นิยมใช้กันอย่างแพร่หลาย อาทิเช่น มาตรฐาน ISO/IEC 27001 ISMS Requirement หรือ CMMI (Capability Maturity Model Integration) มาตรฐาน ITIL (IT Infrastructure Library) /BS15000 หรือมาตรฐาน COBIT (Control Objective for Information and Related Technology) เป็นต้น
กรอบวิธีปฏิบัติโคบิต (COBIT Framework) เป็นรูปแบบหนึ่งที่มีพัฒนาขึ้นโดยกลุ่มความร่วมมือ (Information Systems Audit and Control Association -ISACA) สำหรับผู้ตรวจสอบเทคโนโลยีสารสนเทศ (IT Audit) ใช้เป็นกรอบควบคุมการปฏิบัติงานด้านเทคโนโลยีสารสนเทศ โดยเนื้อหาโคบิตในเว็บไซด์ ISACA ได้กล่าวว่า โคบิตเป็นทั้งแนวคิดและแนวทางการปฎิบัติ (Framework) เพื่อการควบคุมภายในที่ดีด้านเทคโนโลยีสำหรับองค์กรต่างๆที่จะใช้อ้างอิงถึงแนวทางการปฎิบัติที่ดี (Best Practice) ซึ่งสามารถนำไปปรับใช้ได้ในทุกองค์กรสำหรับกิจกรรมที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ ประเทศไทยก็เป็นประเทศหนึ่งที่นำแนวความคิดเกี่ยวกับมาตรฐานโคบิตมาประยุกต์ใช้ เป็นกรอบให้หน่วยงานรัฐวิสาหกิจภายใต้กำกับดูแลของรัฐต้องมีการกำกับดูแลการปฏิบัติงาน(Compliance Controls) ทางด้านไอทีขององค์กรให้ดำเนินงานอยู่ภายใต้หลักการพื้นฐานไอทีภิบาล เพื่อสร้างความมั่นใจให้กับประชาชนทั่วไปหรือผู้ประกอบการที่ต้องเกี่ยวข้องกับสาธารณูปโภคภายในประเทศ ในการบริหารจัดการทรัพยากรด้านสารสนเทศไม่ให้ถูกใช้อย่างสิ้นเปลืองหรือไม่คุ้มค่ากับการลงทุน ประโยชน์ของโคบิตยังประกอบไปด้วยตัววัดผลการดำเนินงานในแต่ละกระบวนการ ซึ่งได้รับความนิยมแพร่หลายในกลุ่มธุรกิจการเงินและการธนาคาร นอกจากนี้ยังมีการประยุกต์ใช้มาตรฐานโคบิตเพื่อช่วยเชื่อมโยงความสัมพันธ์ (Alignment) ระหว่างเป้าหมายทางธุรกิจ (Business Goal) และเป้าหมายทางด้านเทคโนโลยีสารสนเทศ (IT Goal) รวมถึงกระบวนการทางเทคโนโลยีสารสนเทศ (IT Process) (COBIT 4.1,IT Governance Institute, 2551) และโครงสร้างพื้นฐานของเทคโนโลยีสารสนเทศ (IT Infrastructure) ซึ่งเป็นการเชื่อมโยงระบบข้อมูลเข้าไว้ด้วยกัน ส่งผลให้เกิดความสอดคล้องกันในกระบวนการทำงาน ในขณะเดียวกันการวางแผนจัดสรรทรัพยากรขององค์กรก็จำเป็นต้องเชื่อมโยงระบบการบริหารและระบบเทคโนโลยีสารสนเทศเพื่อให้เกิดการทำงานอย่างมีประสิทธิภาพและประสิทธิผล ซึ่งสอดคล้องกับหลักการพื้นฐานของการบริหารจัดการเทคโนโลยีสารสนเทศที่ดี ก่อให้เกิดประโยชน์ในการบริหารตามหลักการพื้นฐานขององค์กรที่มีการบริหารจัดการเทคโนโลยีสารสนเทศที่ดี 5 ประการ คือ การจัดวางกลยุทธ์ (IT Strategic Alignment) การนำเสนอคุณค่า (Value Delivery) การจัดการทรัพยากรด้านเทคโนโลยีสารสนเทศ (IT Resource Management) การจัดการความเสี่ยง (Risk Management) และการวัดประสิทธิภาพ (Performance Measurement)
เมื่อองค์กรธุรกิจมีความคาดหวังจะมีการบริหารจัดการเทคโนโลยีสารสนเทศที่ดี จึงต้องพิจารณาถึงกรอบปฏิบัติ 4 กระบวนการหลักของโคบิต อันได้แก่ 1) การวางแผนและการจัดการองค์กร (Planning and Organization) 2) การจัดหาและติดตั้ง (Acquisition and Implementation) 3) การส่งมอบและบำรุงรักษา (Delivery and Support) และ 4) การติดตามผล (Monitoring) แต่ละกระบวนการหลักมีความสำคัญแตกต่างกันไป เพื่อสร้างศักยภาพในการบริหารจัดการเทคโนโลยีสารสนเทศให้ครอบคลุมทุกด้านขององค์กร แต่สำหรับองค์กรที่เพิ่งเริ่มจัดตั้งขึ้นผู้บริหารทุกระดับต่างให้ความสำคัญกับการวางกลยุทธ์ขององค์กรพร้อมกับการเร่งพัฒนาเทคโนโลยีในการขับเคลื่อนธุรกิจ
จุดเริ่มต้นของนำแนวคิดโคบิตมาประยุกต์ใช้เป็นกรอบในการควบคุมระบบสารสนเทศ และเชื่อมโยงกลยุทธ์ขององค์กรให้สอดคล้องกับกลยุทธ์ในการบริหารจัดการสารสนเทศได้อย่างลงตัว องค์กรต้องคำนึงถึงกระบวนการแรกของโคบิตในเรื่องการวางแผนและการจัดองค์กร เพื่อสร้างแนวทางในการบริหารจัดการที่ดี ประกอบด้วยกระบวนการดังต่อไปนี้
PO1 การกำหนดแผนกลยุทธ์ด้านเทคโนโลยีสารสนเทศ (Define a Strategic IT Plan)
PO2 การกำหนดโครงสร้างด้านสารสนเทศ (Define the Information Architecture)
PO3 การกำหนดทิศทางด้านเทคโนโลยี (Determine Technological Direction)
PO4 การจัดโครงสร้างองค์กรด้านเทคโนโลยีสารสนเทศและความสัมพันธ์กับ หน่วยงานอื่น (Define the IT Organization and Relationships)
PO5 การจัดการด้านการลงทุนในเทคโนโลยีสารสนเทศ (Manage the IT Investment)
PO6 การจัดการเป้าหมายของการสื่อสารและทิศทางขององค์กร (Communicate Management Aims and Direction)
PO7 การจัดการทรัพยากรบุคคล (Manage Human Resources)
PO8 การจัดการคุณภาพ (Management Quality)
PO9 การประเมินและจัดการความเสี่ยงทางด้านเทคโนโลยีสารสนเทศ (Assess and Manage IT Risks)
PO10 การจัดการโครงการ (Manage projects. )

ภาพที่ 2 (ที่มา : ดัดแปลงจากเอกสาร IT Governance Institute, 2551)

Plan and Organise จากแผนภาพที่ 2 ได้แสดงความสัมพันธ์ของการจัดวางกลยุทธ์ ตามวัตถุประสงค์ทำให้องค์กรมีการบริหารจัดการเทคโนโลยีสารสนเทศที่ดี มีความสอดคล้องกับขอบเขตโดเมนวางแผนการจัดองค์กร (Planning and Organization) ตามกรอบปฏิบัติแนวคิดโคบิต ซึ่งเป็นวิธีที่ดีที่สุดสำหรับองค์กรที่กำลังเริ่มจัดตั้งขึ้น โดยมุ่งเน้นการวางแผนและจัดการองค์กรไปพร้อมกับการกำหนดกลยุทธ์ในการพัฒนาระบบสารสนเทศให้มีความต่อเนื่องสัมพันธ์กัน และเพื่อเป็นประโยชน์ในการวางโครงสร้างด้านเทคโนโลยีสารสนเทศให้บรรลุผลสัมฤทธิ์
การวางแผนและการจัดองค์กรเป็นขอบเขตการบริหารจัดการสารสนเทศที่ดีให้กับองค์กรแล้ว การดำเนินธุรกิจที่มุ่งเน้นสร้างกำไรสูงสุด อาจเกิดปัญหาการจัดการองค์กรภายใน ที่ผู้บริหารระดับสูงหรือบุคลากรในองค์กรไม่ให้ความร่วมมือในการจัดการเทคโนโลยีสารสนเทศ อย่างจริงจัง ทำให้ประสบปัญหาสูญเสียเงินจำนวนมากในการลงทุนในเทคโนโลยีสารสนเทศ ดังนั้นเพื่อช่วยเพิ่มประสิทธิภาพและประสิทธิผลในการปฏิบัติงาน ผู้บริหารระบบสารสนเทศควรให้น้ำหนักเฉลี่ยของงบประมาณการลงทุนเพื่อปรับปรุงกระบวนการทำงานที่สำคัญ 3 ประการ คือ 1) People เรื่องบุคลากร 2) Process หรือ Policy กล่าวคือกระบวนการปฏิบัติหรือนโยบายที่ดี (Policy and Procedure) และ 3) Technology คือ เทคโนโลยีสารสนเทศ ตามแนวคิด PT Concept สามารถสรุปเป็นแผนภาพได้ดังนี้

ภาพที่ 3 (Thailand ICT Law, 2549)

จากแผนภาพที่ 3 แสดงให้เห็นถึงความสัมพันธ์ระหว่างปัจจัย People Process Policy และ Technology ที่มีความเกี่ยวเนื่องกัน แต่ปัจจัยที่มีความสำคัญที่สุดที่มีผลต่อความสำเร็จในการปรับปรุงกระบวนการทำงาน คือ People หรือบุคลากร เพราะเป็นแรงผลักดันที่ทำให้เป้าหมายขององค์กรบรรลุผลสัมฤทธิ์และมีการบริหารจัดการเทคโนโลยีสารสนเทศที่ดีได้ กรอบแนวคิดโคบิต 4.0 ได้มีการปรับเปลี่ยนเวอร์ชั่นจาก 3.2 โดยให้ความสำคัญบุคลากรขององค์กรมากขึ้น เพิ่มการจัดการรูปแบบโครงสร้างความสัมพันธ์หน้าที่และความรับผิดชอบของผู้มีส่วนเกี่ยวข้องกับองค์กร (RACI Diagram) กล่าวว่า ผู้บริหารทุกระดับในองค์กร ไม่ว่าจะซีไอโอ, ซีอีโอ, IT Service Manager หรือ Development Manager ก็ตาม ควรถูกกำหนดหน้าที่และรับผิดชอบต่อกระบวนในแต่ละกิจกรรมตามโครงสร้างความสัมพันธ์ RACI ควรแสดงให้เห็นถึง 4 องค์ประกอบ คือ 1) ความรับผิดชอบให้กับเจ้าของกระบวนการ (Responsible) 2) มีการกำหนดตัวผู้รับผิดชอบได้ต่อกระบวนการนั้นๆ (Accountable) 3) กำหนดผู้ที่มีหน้าที่ให้การสนับสนุนหรือให้ความรู้คำแนะนำต่างๆ ในกระบวนการปฏิบัติงาน (Consulted) และ 4) ผู้ที่รับรู้ถึงข้อมูลในส่วนข้องหน้าที่ความรับผิดชอบของกระบวนการนั้นๆ

วันศุกร์ที่ 13 พฤษภาคม พ.ศ. 2559

มาตรฐาน ITIL

ITIL (Information Technology Infrastructure Library)

ในปัจจุบันโลกธุรกิจมีการขยายตัวอย่างรวดเร็ว ธุรกิจแทบจะทุกประเภทได้มีการนำเทคโนโลยีสารสนเทศเข้ามามีส่วนช่วย หรือเป็นหน่วยสนับสนุนทำให้สามารถเจริญเติบโตและแข่งขันกับธุรกิจอื่นๆ ได้ หรือเพื่อเพิ่มขีดความสามารถในการแข่งขันให้กับธุรกิจในปัจจุบัน และเนื่องจากมีการนำเป็นเครื่องมือในการพัฒนาศักยภาพในธุรกิจแล้ว ซึ่งโดยพื้นฐานแล้วการพัฒนาด้านเทคโนโลยีสารสนเทศให้มีความทันสมัยและพร้อมใช้งานอยู่ตลอดเวลา จะทำให้ประสิทธิภาพตอบสนองการดำเนินธุรกิจขององค์กร จึงมีความจำเป็นและได้กำหนดเป็นแผนงานการพัฒนาของทุกองค์กรธุรกิจ เพื่อให้หน่วยงานด้านเทคโนโลยีสารสนเทศสามารถพัฒนาและบริหารการจัดการ “งานบริการด้านเทคโนโลยีที่มีคุณภาพ” หลักการในการดำเนินธุรกิจให้ประสบความสำเร็จ คือ การลดค่าใช้จ่ายเพิ่มรายได้ การรู้และควบคุมต้นทุนทำให้รายจ่ายลดลงและมีรายได้เพิ่มขึ้น จึงได้มีการคิดหาแนวทางที่จะมาช่วยควบคุมตามแนวทางดังกล่าว โดยที่แนวทางนั้นต้องไม่ส่งผลให้ผลิตภัณฑ์หรือบริการที่มีอยู่มีประสิทธิภาพลดลง การนำเทคโนโลยีเข้ามาใช้นับเป็นทางเลือกหนึ่งที่นิยมใช้กันมาเพื่อให้ธุรกิจบรรลุเป้าหมาย และการนำเทคโนโลยีมาใช้เพื่อให้ผู้ใช้งานให้เกิดความพึงพอใจสูงสุด โดยเน้นไปที่ “คุณภาพในการให้บริการ” หรือ “Quality of Service” เช่น การปฏิบัติตามข้อตกลง Service Level Agreement (SLA) ในสัญญาการให้บริการเทคโนโลยีสารสนเทศ เป็นต้น

ในปัจจุบันองค์กรส่วนใหญ่สบความสำเร็จในการดำเนินธุรกิจนั้น ซึ่งล้วนแล้วแต่จะมีระบบเทคโนโลยีสารสนเทศที่เข้มแข็งและมีกระบวนการดำเนินงานที่เป็นรูปธรรม ที่ใช้เป็นรากฐานทางธุรกิจ และด้วยเทคโนโลยีที่มีการเปลี่ยนแปลงอยู่ตลอดเวลา ทำให้องค์กรจะต้องมีการพัฒนาและปรับปรุงการให้บริการต่างๆ เพื่อเพิ่มคุณภาพและประสิทธิภาพในการปฏิบัติงาน การพัฒนาการบริการด้านเทคโนโลยีสารสนเทศโดยมุ่งตอบสนองความต้องการของผู้ใช้งานและการทำให้เกิดความพึงพอใจของผู้ใช้งานนั้น จึงต้องมีการนำกระบวนการทางเทคโนโลยีสารสนเทศมาใช้เพื่อพัฒนา และปรับปรุงให้การปฏิบัติงานมีคุณภาพและมีประสิทธิภาพมากขึ้นเป็นการยกระดับงานบริการด้านเทคโนโลยี จึงนำ ITIL (Information Technology Infrastructure Library) มาประยุกต์ใช้ปรับปรุงกระบวนการทำงานให้มีประสิทธิภาพ ช่วยให้การประสานงานระหว่างหน่วยงานต่างๆเพื่อติดตามและแก้ไขปัญหาเป็นไปอย่างเป็นระบบและมีข้อมูลเพียงพอต่อการวิเคราะห์ผลลัพธ์ของกระบวนการ จึงมีการกำหนดกฎเกณฑ์ทีใช้วัดระดับการใช้บริการที่ชัดเจน เพื่อการตอบสนองความต้องการของผู้ใช้บริการด้วยบริการที่มีคุณภาพภายใต้ข้อตกลงรวมกัน

โดยได้นำเสนอทฤษฏี แนวความคิดที่เกี่ยวข้องในรายละเอียด ดังนี้

IT Service Management

“IT Service Management” (ITSM) ซึ่งเป็น “กระบวนการบริหารจัดการงานบริการเทคโนโลยีสารสนเทศ”ปรัชญาของหลักการ IT Service Management ก็คือ การใช้เทคโนโลยีสารสนเทศเพื่อสนับสนุนความต้องการและเป้าหมายทางธุรกิจขององค์กร (Business Requirements & Objectives) เรียกได้ว่า IT ต้อง การสนับสนุนทางธุรกิจซึ่งองค์กรส่วนใหญ่ในปัจจุบันนั้นให้ความสำคัญแก่ “Business Requirement” เป็นลำดับแรก โดยใช้หลัก “BusinessLeads IT” เทคโนโลยีสารสนเทศถูกนำมาใช้เพื่อเป็นกลไกในการขับเคลื่อนทางธุรกิจธุรกรรมต่างๆขององค์กร ดังนั้นการนำเทคโนโลยีสารสนเทศมาใช้ในการให้บริการโดยอ้างอิงจากกระบวนการบริหารจัดการงานบริการเทคโนโลยีสารสนเทศ “IT Service Management” หรือ“ITSM” โดยจะเน้นเรื่องการบริหารจัดการทางด้านเทคโนโลยีสารสนเทศให้ตอบสนองต่อความต้องการของธุรกิจ และให้ความสำคัญกับความพึงพอใจของผู้ใช้ระบบสารสนเทศ (Users) หรือลูกค้า (Customers) เป็นหลัก การนำเทคโนโลยีสารสนเทศมาใช้ในอดีตมักจะเน้นเรื่องทางด้านเทคนิค หรือ“Technology” เป็นจุดสำคัญและมุ่งไปที่การให้บริการภายในองค์กรเท่านั้น แต่ในปัจจุบันองค์กรสมัยใหม่นิยมนำเทคโนโลยีสารสนเทศมาใช้ในการให้บริการลูกค้าให้เกิดความพึงพอใจสูงสุด (Customer Satisfaction) โดยเน้นไปที่“คุณภาพในการให้บริการ” หรือ “Quality of Service” เช่น เรื่อง Service Level Agreement (SLA) ในสัญญาการให้บริการเทคโนโลยีสารสนเทศ เป็นต้น

โดย “ITSM” เป็นหลักการที่เน้นเรื่องของ “กระบวนการ” หรือ “Process-focused” ซึ่งมุ่งเน้นในการพัฒนากระบวนการให้มีประสิทธิภาพมากยิ่งขึ้น โดยสามารถใช้ร่วมกับหลักการ“Best Practice” (วิธีการที่ดีที่สุด) อื่นๆ ยกตัวอย่างเช่น การนำหลักการ TQM, Six Sigma, CMMI หรือ Business Process Improvement (BPM) มาใช้ร่วมกับ ITSM เป็นต้น โดยแนวความคิด ITSM ไม่เน้นเรื่อง “Technology” หรือ “Product” แต่อย่างใด แต่จะเน้นเรื่องกระบวนการในการให้บริการแก่ users และ customers เป็นหลัก และ ITSM ยังสนับสนุนหลักการ “IT Governance” หรือ “GRC” (Governance, Risk Management and Compliance) อีกด้วย

ในปัจจุบันหลักการ “IT Service Management” หรือ “ITSM” นั้น มีหลากหลาย Framework ให้องค์กรเลือกนำมาใช้ ได้แก่ ITIL Framework ของ OGC (Office of Government Commerce), CobiT และ Val IT Framework ของ ISACA, ITUP ของ IBM, ASL ของNetherlands และ MOF ของ Microsoft เป็นต้น

ความหมายของ ITIL (Information Technology Infrastructure Library)

(เข้าถึงได้จาก: http://www.acisonline.net/article_prinya_eEnterprise-oct_08.htm, สืบค้นเมื่อวันที่ 18 ธันวาคม 2554)

ITIL (Information Technology Infrastructure Library) ถูกพัฒนาโดย Office for Government Commerce (OGC) ของประเทศอังกฤษ ซึ่งเป็น Open Knowledge ที่มีการรวบรมเป็นเอกสารที่อธิบายถึงแนวทางที่ดีสุด (Best Practice) ในด้านการบริหารจัดการโครงสร้างของหน่วยงานด้านไอที (IT Infrastructure) โดยในอกสารดังกล่าวจะเป็นการการรวบรวมแนวทางปฏิบัติจากหน่วยงานทางด้านไอทีต่างๆทั่วโลก เพื่อนำมากำหนดเป็น Best Practice ซึ่งจะกำหนดให้ไอทีเป็นบริการที่ต้องตอบสนองต่อความต้องการของธุรกิจ ผู้ใช้ รวมถึงลูกค้า โดยคำว่า Best Practice มุ่งเน้นที่กระบวนการจัดการการให้บริการทางด้านไอที ซึ่ง ITIL จะถูกใช้เป็นแนวทางในการจัดการด้าน IT Infrastructure ที่ให้แต่แนวทางแต่ไม่ได้กล่าวถึงวิธีการดำเนินการโดยทั่วไปจะถือว่า ITIL เป็น Best Practice ที่เป็นที่ยอมรับในระดับสากลและมีการใช้อย่างแพร่หลายจนทำให้กลายเป็นมาตรฐานที่ยอมรับกันโดยปริยาย (de facto standard) จากการศึกษาของ Gartner พบว่าการมี IT Service ที่ดีสามารถลด Cost ได้ 48 % ปัจจุบันมีผู้ที่ได้รับCertificate ของ ITIL กว่า 100,000 คนทั่วโลกทั้ง ในยุโรป ออสเตรเลีย แคนาดา

ประวัติของ ITIL

ITIL ได้เริ่มเกิดขึ้นช่วงปลายทศวรรษ 1980 โดยรัฐบาลประเทศอังกฤษตระหนักว่าคุณภาพของการให้บริการด้าน IT นั้นไม่เพียงพอ จึงได้มีการมอบหมายให้ CCTA (The Central Computer and Telecommunication Agency) ซึ่งได้กลายเป็น OGC (Office of Government Commerce) เมื่อปี 2000 ทำการพัฒนากรอบความรู้ขึ้นสำหรับการบริหารทรัพยากรด้าน IT ที่มีประสิทธิภาพให้แก่ภาครัฐและเอกชน โดยตอนเริ่มต้นนั้น ยังไม่ได้ใช้ชื่อ ITILแต่ใช้ชื่อว่า GITIMM (Government Information Technology Infrastructure Management Method) ซึ่งต่อมาได้มีการชี้ประเด็นกันว่า ไม่น่าจะเรียกว่า วิธีการ (Method) น่าจะเรียกว่า เป็นคู่มือช่วย (Guidance) มากกว่าและก็ได้มีการจัดตั้งคณะผู้ใช้ซึ่งแต่เดิมเรียกว่า IT Infrastructure Management Forum ซึ่งต่อมาได้กลายเป็น itSMF หรือ IT Service Management Forum เมื่อประมาณปี ‘94-95’ ผลงานเรื่องแรกที่ออกมาคือผลงานเรื่อง Service Level Management ในปี1989 และผลงานเรื่องสุดท้าย คือ เรื่อง Availability Managementซึ่งออกมาเมื่อปี 1994 จากนั้นก็ได้มีการรวบรวมผลงานทั้งหมดเข้าด้วยกัน โดยแบ่งออกเป็น 2 เล่มหลัก คือ หนังสือปกน้ำเงิน กับหนังสือปกแดง หนังสือปกน้ำเงิน(blue book) นั้นเป็นเรื่องเกี่ยวกับ Service Support และ หนังสือปกแดง(red book) นั้น เป็นเรื่องเกี่ยวกับ Service Delivery หนังสือสองเล่มนี้ถือเป็นสองเล่มหลักของ ITIL framework ที่มีปัจจัยต่อการปรับปรุงกระบวนการในการให้บริการทางด้าน IT

ประโยชน์ของ ITIL

ประโยชน์ของ ITIL นั้น จากการศึกษาพบว่ากรณีที่มีการนำ ITIL มาประยุกต์ใช้ในการบริหารจัดการงานบริการด้านเทคโนโลยีสารสนเทศนั้น จะก่อให้เกิดประโยชน์หลายประการ เน้นการประหยัดค่าใช้จ่ายในการบริการจัดการด้านเทคโนโลยีสารสนเทศ นอกจากนี้คุณประโยชน์หลักของ ITIL คือการทำให้เกิดการจัดระบบการทำงานของหน่วยงานเทคโนโลยีสารสนเทศรวมทัง􀀱 การบริหารจัดการวิธีการดำเนินงานของหน่วยงานที่แตกต่างกันหลายระดับให้เป็นหนึ่งเดียว ช่วยให้เกิดความคล่องตัว และสามารถแก้ปัญหาต่างๆ ที่เกิดขึ้นได้อย่างรวดเร็ว ซึ่ง ITIL จึงถูกใช้เป็นแนวทางในการปฏิบัติงานและพบอีกว่าสามารถทำงานได้เป็นอย่างดี

ประโยชน์ของการนา ITIL มาใช้งาน

- ช่วยลดต้นทุนค่าใช้จ่ายในการบริหารเทคโนโลยีสารสนเทศ

- ช่วยปรับปรุงระบบการให้บริการด้านเทคโนโลยีสารสนเทศด้วยกระบวนการ หรือระเบียบขั้นตอนการทำงานเชิงปฏิบัติ

- ช่วยให้หน่วยบริการเทคโนโลยีสารสนเทศได้รับความพึงพอใจจากลูกค้าผู้ใช้บริการมากขึ้น อันเนื่องมาจากประสิทธิภาพในการให้บริการที่เป็นระบบ และมีความเป็นมืออาชีพ มากยิ่งขึ้น

- ช่วยให้องค์กรในส่วนของหน่วยงานเทคโนโลยีสารสนเทศได้รับมาตรฐานสากล เป็นที่ยอมรับจากองค์กร หรือหน่วยงานจากนานาประเทศ

- ช่วยเพิ่มประสิทธิภาพ และทักษะการทำงานมากขึ้น

- ช่วยให้บริการขององค์กร มีความคล่องตัว และมีประสิทธิภาพมากยิ่งขึ้น จากคุณลักษณะพิเศษที่มีอยู่แล้วของ ITIL

ITIL เป็นระเบียบวิธีการที่ใช้เพื่อบริหารจัดการในด้านการให้บริการของหน่วยงานเทคโนโลยีสารสนเทศในองค์กรขนาดเล็กไปจนถึงขนาดใหญ่ พัฒนาขึ้นโดย OGC (Office of Government Commerce) ซึ่งเป็นสานักงานหรือองค์กรของรัฐบาลแห่งสหราชอาณาจักร ITIL ได้รับการสนับสนุนโดยการตีพิมพ์ การพิสูจน์คุณภาพ ตลอดจนการได้รับการยอมรับจากหน่วยงานระหว่างประเทศต่างๆ ITIL ถูกออกแบบมาเพื่อช่วยให้องค์กรสามารถพัฒนาแผนงานหรือแผนแม่บทในการจัดบริหารจัดการเกี่ยวกับการให้บริการของ IT

ตัวอย่างขององค์กรที่ได้ประโยชน์จาก ITIL 1 ได้แก่

- Procter & Gamble P&G นำ ITIL เข้ามาใช้งานในองค์กรตั้งแต่ปี 1999 หลังจากผ่านไป 4 ปี P&Gรายงานว่าสามารถประหยัดต้นทุนไปได้ถึง 500 ล้านเหรียญสหรัฐ ซึง􀀫 คิดเป็นต้นทุนด้านการปฏิบัติงาน (operation cost) ที่ลดลงประมาณ 6-8% และบุคคลากรทางด้าน IT ลดลงประมาณ 15-20%

- Caterpillar บริษัท Caterpillar นำ ITIL มาใช้ในองค์กรเมื่อ ปี 2000 เพื่อจัดการปัญหาที่เกิดขึ้น(incident management) และได้พบว่าสามารถเพิ่มอัตราการตอบสนองต่อผู้ใช้บริการตามเกณฑ์ที่ตั้งไว้ จาก 60-70% เป็น 90%

- Ontario Justice Enterprise บริษัทนายหน้าที่ทำหน้าที่ดูแลระบบของรัฐบาลแคนาดา นำ ITIL มาใช้ในองค์กรในปี 1999 โดยการทำ virtual service desk ทำให้ลดค่าใช้จ่ายด้านการ supportลงได้ถึง 40%

ITIL Version 3

ปัจจุบัน ITIL ได้สร้างประโยชน์ตามวัตถุประสงค์ คือ การมอบแนวทางต้นแบบสำหรับการพัฒนา ITSM ที่มีประสิทธิภาพและประสบความสำเร็จ โดย ITIL จะให้หลักประกันในการรักษาระดับการให้บริการตามข้อตกลง (Service-level agreements, SLAs) ขององค์กร เพื่อให้กระบวนการที่ประกันถึงความสอดคล้องระหว่างไอทีและธุรกิจอย่างต่อเนื่อง เพื่อเพิ่มมูลค่าแก่ธุรกิจ ลดค่าใช้จ่าย เพิ่มผลตอบแทนจาการลงทุน (ROI) แต่อย่างไรก็ตาม เมื่อองค์กรและปัจจัยทางธุรกิจเปลี่ยนแปลงไป แม้แต่เครื่องมือสำหรับบริหารจัดการขึ้นที่ดีที่สุดก็ยังต้องมีการแก้ไขปรับปรุงอยู่ตลอดเวลา ส่วนของITIL ก็ต้องปรับปรุงเช่นเดียวกัน โดยในเวอร์ชัน 3 ของ ITIL หรือที่รู้จักในชื่อ "ITIL Refresh" ได้ปรับปรุงการออกแบบเพื่อองค์กรนำไปใช้ได้เร็วและง่ายกว่าเดิมเพิ่มการปรับเปลี่ยนที่ดีกว่า และปรับปรุงเพื่อมุ่งกระบวนการบริหารงานบริการ ให้เกิดความเป็นเลิศในด้านการดำเนินงาน คุณสมบัติที่เพิ่มใน ITIL V3 ซึ่งจะส่งผลต่อการดำเนินงานของ ITSMเดิมที่มีอยู่ในองค์กร ได้แก่ การปรับปรุงในด้านของวงจรชีวิตของการบริการ มูลค่าทางธุรกิจความสอดคล้อง การเชื่อมโยงเข้ากับต้นแบบและมาตรฐานอื่น แนวทางสำหรับธุรกิจเฉพาะด้านกลยุทธ์การให้บริการ และการบริหารจัดการความรู้ของงานบริการ บริษัท HP ในฐานะที่เป็นผู้ให้การสนับสนุนการพัฒนา ITIL ได้มอบสิ่งสำคัญให้แก่ ITIL V3 นั้นคือ มาตรฐานคำศัพท์ใหม่ของ ITIL(ITIL Glossary) แผนที่กระบวนการ ITIL แบบรวมยอด (Integrated ITIL Process Map) และยังช่วยทำหน้าที่เผยแพร่ข้อมูลหลักในเรื่องการดำเนินงานบริการ (Service Operations) อีกประการหนึ่งด้วย

ในเดือนธันวาคม ปี 2005 ทาง OGC (Office of Government Commerce) ได้เผยแพร่ ITIL ให้มีที่ได้พัฒนาต่อยอดมาจาก ITIL v.2 ซึ่งเป็น Version ก่อนหน้านี้เรียกว่า ITIL v.3 มีชื่อเรียกเต็มว่า Information Technology Infrastructure version 3 ภายใต้ Version 3 นี้ได้กำหนดมาตรฐานหลักออกเป็น 5 มาตรฐาน ข้อแตกต่างระหว่าง version 2 กับ version 3 ได้แก่ การเปลี่ยนแปลงโครงสร้างการทำงานที่แต่เดิม เน้นวงจรชีวิตของกระบวนการและปรับแต่งให้ ITสามารถเข้ากันได้กับธุรกิจ ไปเป็นการบริหารจัดการวงจรชีวิตของกระบวนการบริการ ที่หน่วยงานที่ให้บริการด้านเทคโนโลยีสารสนเทศสามารถให้กับหน่วยธุรกิจ หรือมีการบริหารการให้บริการเชิงปฏิบัติที่มีประสิทธิภาพมากยิ่งขึ้น โดยเน้นคำว่า “Best Practice” หรือวิธีการทำงานเชิงปฏิบัติที่ดีที่สุด

โครงสร้างของ ITIL version 3

กระบวนการภายใน IT Service Management ให้มั่นใจว่าบริการที่เน้นความสะดวกและต้นทุน IT Services มีการกำหนดอย่างชัดเจนสามารถวัดความสำเร็จกับการไปถึงให้บริการและมาตรการปรับปรุงการกำหนดเป้าหมายสามารถนำความจำเป็นที่ ITIL Version 3 (ITIL V3) ซึ่งมีหัวข้อหลักดังต่อไปนี้

Service Strategy (Core of ITIL V3) เป็นกลยุทธ์ในด้านบริการเป็นการกำหนดแนวทางโดยให้หลักไว้ว่าService Management จะเป็นพื้นฐานในการกำหนดและบริหารนโยบายแนวทางปฏิบัติ และกระบวนการในการบริหารการบริการอย่างครบวงจร ในการพัฒนาระบบการให้บริการแก่ตลาดธุรกิจเพื่อให้สอดคล้องต่อความต้องการของผู้ใช้บริการ IT ในองค์การ และลูกค้าที่เข้ารับบริการจะประสงค์เพื่อให้เกิดผลลัพธ์ของวิธีการบริการที่ดีที่สุด รวมทั้ง การออกแบบวิธีการนำเอาระบบที่ให้บริการที่มีประสิทธิภาพไปใช้ ตลอดจนการดูแลรักษาและการปรับปรุง แก้ไขกระบวนการบริการที่ต่อเนื่อง กุญแจหลักของ Service Strategy ได้แก่ Service Portfolio Management และFinancial Management โดยใน Service Strategy จะแบ่งออกเป็น

- Financial Management การจัดการบริหารการเงินกับการให้บริการด้าน IT เพื่อรองรับการจัดการมูลค่าได้อย่างมีประสิทธิภาพ เช่น ทรัพย์สินด้าน IT และทรัพยากรที่ถูกใช้ในการให้บริการ เพื่อสร้างความมั่นใจให้ลูกค้า และ รองรับข้อมูลอย่างแม่นยำเพื่อนำไปสู่การลงทุน

- Strategy Generation เพื่อให้ฝ่ายบริการทราบเหตุผลในโครงการต่างๆ ที่จำเป็นต่อการบริการงานด้าน ITมีการสำรวจยุทธศาสตร์ การกำหนดวัตถุประสงค์วิเคราะห์คู่แข่ง เป็นต้น

- Service Portfolio Management เป็นการดูแลการลงทุน ในการจัดการบริการที่มีรูปแบบไดนามิกที่มีการข้ามโครงสร้างภายในองค์กรและการจัดการมูลค่า จะทำให้เกิดประโยชน์

- Demand Management เพื่อให้ผู้รับผิดชอบบริการด้าน IT ใช้ทรัพยากรที่มีอยู่ให้ได้อย่างมีประสิทธิภาพมากที่สุด

Service Design เน้นการออกแบบกิจกรรมที่จะเกิดขึ้น ในการะบวนการให้บริการรวมทั้ง การพัฒนากลยุทธ์และวิธีการบริหารจัดการระบบบริการ โดยมีกุญแจหลักอยู่ที่ Availability Management หรือความพร้อมที่จะให้บริการ Capacity Management หรือ ขีดความสามารถในการให้บริการอย่างรวดเร็วและมีประสิทธิภาพ รวมทั้งContinuity Management หรือความสามารถในการให้บริการที่ต่อเนื่อง และ Security Management หรือการบริหารระบบรักษาความปลอดภัย โดย Service Design จะแบ่งออกเป็น

- Service Catalogue Management คือ คำอธิบายหน้าที่บริการต่อธุรกิจ เพื่อให้บริการ Catalogue การผลิตและการเก็บมีข้อมูลที่ถูกต้องในการปฏิบัติงานด้านบริการ และผู้มีการเตรียมการเพื่อใช้ให้สามารถใช้งานService Catalogue Management ได้และเป็นการให้ข้อมูลสำคัญสำหรับทุกบริการอื่นๆ รวมถึงการจัดการกระบวนการรายละเอียด Service สถานะปัจจุบันและจุดที่ให้บริการในด้านต่างๆ

- Information Security Management เพื่อให้งานบริการมีความมั่นคงและปลอดภัยตามหลัก CIA โดยมีการจัดทำนโยบาย มาตรฐานและขั้นตอนการปฏิบัติเพื่อทราบถึงความเสี่ยงในปัจจุบัน ลดช่องโหว่จากภัยคุกคามต่างๆ

- Service Level Management เพื่อการเจรจาข้อตกลงระดับการบริการกับลูกค้าและการบริการออกแบบตามออกแบบตามเป้าหมายที่ตกลงกัน โดยในการให้บริการจะแบ่งระดับการให้บริการออกเป็น Service Level Management ยังรับผิดชอบในการตรวจสอบให้แน่ใจว่าปฏิบัติระดับข้อตกลงและการหนุนสัญญาที่เหมาะสมกับการตรวจสอบและรายงานระดับบริการ มีความชัดเจนสามารถวัดผลการดำเนินงานด้านสารสนเทศจากระดับการให้บริการ

- Availability Management เพื่อกำหนดการวิเคราะห์แบบแผนวัดและปรับปรุงในทุกด้านให้พร้อมทั้งการบริการด้าน IT ให้มีการจัดการรับผิดชอบ เพื่อให้มั่นใจว่าโครงสร้างพื้นฐานไอทีทั้งหมดกระบวนการเครื่องมือ ฯลฯ ให้เหมาะสมสำหรับการตกลง ซึ่งเป้าหมายหลักก็เพื่อการเตรียมความพร้อมในทุกด้านของ IT และทำให้ทราบถึงการออกแบบโครงสร้างเพื่อรองรับความพร้อม ความเชื่อถือ ความถูกต้อง และ ความปลอดภัย

- Capacity Management เพื่อให้มั่นใจว่าผู้ให้บริการดำเนินการได้ตามที่ต้องการ เช่น เวลา ความสามารถของระบบ โดยรองรับการทำงานได้ในปัจจุบันและอนาคตตามข้อตกลงที่ลูกค้าต้องการ

- IT Service Continuity Management เพื่อรองรับการจัดการแผนธุรกิจต่อเนื่องโดยรวม และมั่นใจได้ว่าโครงสร้างพื้นฐาน และ บริการสามารถครอบคลุมความต้องการและตอบรับกับข้อตกลงของเวลาในการดำเนินการของธุรกิจ ทำให้ธุรกิจที่ใช้ระบบสารสนเทศสามารถดำเนินการได้อย่างต่อเนื่องจากภัยพิบัติ และเหตุการณ์ผิดปกติ ลดความเสียหายของธุรกิจ มีแผนรับมือความเสียงที่จะเกิดและ สร้างความพร้อมของทีมงานเมื่อเกิดภัยพิบัติขึ้น

- Supplier Management เพื่อให้มั่นใจว่าทุกสัญญาที่ทำกับ Supplier จะสนับสนุนความต้องการของธุรกิจและ Supplier ทั้งหมดจะต้องทำตามสัญญาข้อผูกพันของบริษัท ให้ได้รับบริการที่มีคุณภาพจากผู้ให้บริการที่มีความพร้อม และเหมาะสมกับความต้องการขององค์กร เพื่อประสิทธิภาพการติดต่อกับผู้ให้บริการ เพิ่มประสิทธิภาพของระบบงานเนื่องจากได้ผู้ให้บริการที่มีความเหมาะสม

Service Transition เน้นที่การดำเนินการเพื่อให้ได้ผลลัพธ์ของการบริการที่ดีที่สุดเป็นบริการที่ส่งมอบเพื่อนำไปใช้ในระบบปฏิบัติงาน การรับข้อมูลจาก Service Design การส่งมอบสถานะการดำเนินงานในทุกรายการเพื่อให้ระบบปฏิบัติการทำงานได้อย่างต่อเนื่อง โดยมีกุญแจหลักของ Service Transition คือ Change Management Configuration Management Release Management และ Service Knowledge Management โดยในService Transition จะแบ่งออกเป็น

- Transition Planning and support เพื่อการวางแผนและประสานงานทรัพยากรรวมถึงการปรับใช้หลักRelease เข้ามาภายใต้ต้นทุนที่คาดการณ์ไว้ที่เวลาและการประเมินคุณภาพไว้แล้ว ได้แผนงานที่มีประสิทธิภาพก่อนที่จะดำเนินการ

- Service Asset and Configuration Management เพื่อกำหนดและความคุมส่วนประกอบของบริการและโครงสร้างพื้นฐาน มีการบำรุงรักษา และจัดทำเวอร์ชั่นในการกำหนดการติดตั้ง

- Change Management เพื่อมั่นใจว่าวิธีการมาตรฐาน และขั้นตอนปฏิบัติได้ถูกใช้อย่างมีประสิทธิภาพ และพร้อมการรับมือกับการเปลี่ยนแปลงโดยต้องได้รับผลกระทบต่อคุณภาพน้อยที่สุด

- Release and Deployment Management เพื่อวางแผนตารางเวลาและการควบคุมการเคลื่อนไหวของVersion ที่จะทดสอบและ Environment ที่จะใช้ ซึ่งเป้าหมายหลักของการจัดการประชาสัมพันธ์เพื่อให้ความสมบูรณ์ของสิ่งแวดล้อมอยู่ที่การป้องกันและส่วนประกอบที่มีความถูกต้อง เมื่อได้มีการเปิดตัวใช้งานระบบ ซึ่งภายใต้ Release and Deployment Management

- Service Validation and Testing Evaluation เพื่อให้แน่ใจว่าการติดตั้ง และบริการมีผลตามความคาดหวังของลูกค้าและยืนยันว่าการดำเนินงาน IT สามารถรองรับบริการใหม่ที่เกิดขึ้นมาได้

- Knowledge Management เพื่อรวบรวมวิเคราะห์จัดเก็บและแบ่งปันความรู้และข้อมูลภายในองค์กร หรือเป็นการจัดการความรู้เพื่อปรับปรุงประสิทธิภาพโดยการลดความจำเป็นในการที่จะต้องทำการค้นหาความรู้อีกครั้ง ซึ่งให้เป็นศูนย์รวมความรู้ทั้งหมดให้ทุกคนในองค์กรเข้ามาหาความรู้กัน ซึ่งจะเป็นประโยชน์ในการตอบปัญหาของ Service ที่ได้เปิดให้บริการอีกทางด้วย

Service Operation เน้นไปทางด้านกิจกรรมที่จำเป็นต่อการปฏิบัติงานเพื่อให้บรรลุผลสำเร็จในการดูแลรักษาหน้าที่การทำงานหรือบริการ ที่เป็นไปตามข้อตกลง ว่า ด้วย พันธะ สัญญาบริการ (Service Level Agreement)ที่มีต่อลูกค้า กุญแจหลัก Service Operation คือ Incident Management, Problem Management และ Request Fulfillment และ Event Management โดยใน Service Operation จะแบ่งออกเป็น

- Event Management เพื่อตรวจสอบเหตุการณ์ โดยดูความเหมาะสมของเหตุการณ์และพิจารณากิจกรรมควบคุม ที่เหมาะสมเพื่อดำเนินการ Event Management และเพื่อใช้ในการกรองการจัดกลุ่มงานและการตัดสินใจในการดำเนินการที่เหมาะสม Event Management เป็นหนึ่งในกิจกรรมหลักของ Service Operations

- Request Fulfillment เพื่อในการปฏิบัติงานด้านการให้บริการคำร้องซึ่งในกรณีส่วนใหญ่เป็นรายย่อย (มาตรฐาน) การเปลี่ยนแปลง (เช่น ขอเปลี่ยนรหัสผ่าน) หรือขอข้อมูลต่าง ๆ

- Access Management เพื่อให้ผู้ใช้อำนาจสิทธิในการใช้บริการขณะที่การป้องกันการเข้าถึงที่ไม่อนุญาตให้ผู้ใช้เข้าจัดการกระบวนการอย่างเป็นธรรมชาติใช้นโยบายที่กำหนดใน IT Security Management เข้าManagement เป็นบางครั้ง เรียกว่า ยัง Rights Management หรือ Identity Management

- Service Desk เป็น “ศูนย์กลางในการติดต่อ” Single Point Of Contact (SPOC) ในการรับแจ้งปัญหา (Incident) ที่เกิดขึ้นจากผู้ใช้บริการ IT โดยแจ้งผ่านทางโทรศัพท์ เว็บ อีเมล์ และ เป็นศูนย์กลางในการติดต่อสื่อสารและประสานงานระหว่างผู้ใช้งาน IT กับ IT Groups และทีม งาน Support เพื่อทำการแก้ไขปัญหาต่างๆ ที่เกิดขึ้น ให้สามารถใช้งานได้เป็นปกติโดยเร็วที่สุดเท่าที่จะเป็นไปได้

- Incident Management เป็นกระบวนการเกี่ยวกับการจัดการ Incident ทั้งหมด ตั้งแต่การรับปัญหาIncident ข้อผิดพลาดของระบบงานบริการ IT ต่างๆ ที่เกิดขึ้นการตอบคำถาม หรือข้อซักถามต่าง ๆ จากผู้ใช้งาน การแก้ไขปัญหา การส่งต่อการติดตามความคืบหน้า ของปัญหา Incident ที่เกิดขึ้นเพื่อกู้คืน Service ให้กลับคืนสู่สภาวะปกติให้เร็วที่สุดเท่าที่จะทำได้และลดผลกระทบที่ส่งผลต่อการดำเนินทางธุรกิจให้น้อยที่สุด และต้องอยู่ภายในระดับการให้บริการที่ตกลงไว้ (SLA)

- Problem Management เพื่อในการจัดการวงจรของปัญหาทั้งหมด และถึงการจัดการปัญหาในแง่ป้องกันเหตุการณ์ที่เกิดขึ้น และเพื่อการลดผลกระทบของเหตุการณ์ที่ไม่สามารถทำให้เชิงรุกวิเคราะห์ปัญหาการจัดการบันทึกเหตุการณ์และใช้ข้อมูลที่เก็บรวบรวมโดยอื่นๆ IT Service Management กระบวนการเพื่อระบุแนวโน้มหรือปัญหาสำคัญต่าง ๆ

Continual Service Improvement เน้นที่ขีดความสามารถที่ทำให้เกิดขีดความสามารถในการปรับปรุงการให้บริการที่มีคุณภาพอยู่แล้ว ให้มีความต่อเนื่อง กุญแจหลักอยู่ที่ Service Reporting Service Measurement และService Level Management

ITIL V3 เป็นการนำ Service Support และ Service Delivery มารวมกัน โดย ITIL V3 จะพัฒนาเป็นService Lifecycle โดยมีหลักการแนวคิด ITIL V3 มีการออกแบบใหม่ให้ใกล้เคียงกับมาตรฐาน ISO/IEC 20000 และยังเน้นในเรื่องการ Alignment ระหว่าง IT กับ Business ITIL V3 จะมองในเรื่องการสร้าง Business Valueมากว่า Process Execution จะเห็นได้ว่า ITIL V3 นั้นจะเป็น Best Practice ที Support Business อย่างเต็มรูปแบบ

มาตรฐาน IEEE

IEEE คืออะไร

IEEE คือ สถาบันวิศวกรรมไฟฟ้าและวิศวกรรมอิเล็กทรอนิกส์นานาชาติ ชื่อเต็มคือ Institute of Electrical and Electronic Engineers ก่อตั้งขึ้นเมื่อปี ค.ศ.1963 ในประเทศสหรัฐอเมริกา โดยการรวมตัวของวิศวกรไฟฟ้าและวิศวกรอิเล็กทรอนิกส์ ซึ่งดำเนินกิจกรรมร่วมกันวิจัยและพัฒนาเทคโนโลยีด้านโทรคมนาคม ระบบไฟฟ้ากำลัง และระบบแสง

สถาบัน IEEE เป็นสถาบันที่กำกับ ดูแลมาตรฐานวิจัยและพัฒนาความรู้และงานวิจัยใหม่ๆตลอดจนเผยแพร่ความรู้ โดยเน้นด้านไฟฟ้ากำลัง คอมพิวเตอร์ โทรคมนาคม ระบบอิเล็กทรอนิกส์ระบบวัดคุม โดยนักวิจัยเหล่านี้มีอยู่ทั่วโลก และจะแบ่งกลุ่มศึกษาตามความเชี่ยวชาญของแต่ละบุคคล กลุ่มหมายเลขIEEE ที่ได้รับการยอมรับจากองค์กรควบคุมมาตรฐาน

มาตรฐาน IEEE แบ่งออกได้ดังนี้

IEEE 802.1 การบริหารจัดการระบบเครือข่าย

IEEE 802.2 ถูกออกแบบใน LLC ไม่ต้องการให้เครื่องรู้จักกับ MAC sub layer กับ physical layer

IEEE 802.3 สำหรับเป็น โปรโตคอลมาตรฐานเครือข่าย Ethernet ที่มีอัตราเร็วในการส่งข้อมูล10Mbps

IEEE 802.4 มาตรฐาน IEEE 802.4 เป็นมาตรฐานกำหนดโปรโตคอลสำหรับเลเยอร์ชั้น MAC

IEEE 802.5 เครือข่ายที่ใช้โทโปโลยีแบบ Ring

IEEE 802.6 กำหนดมาตรฐานของ MAN ซึ่งข้อมูลในระบบเครือข่ายถูกออกแบบมาให้ใช้งานในระดับ เขต และเมือง

IEEE 802.7 ใช้ให้คำปรึกษากับกลุ่มเทคโนโลยีการส่งสัญญาณแบบ Broadband

IEEE 802.8 ใช้ให้คำปรึกษากับกลุ่มเทคโนโลยีเคเบิลใยแก้วนำแสง

IEEE 802.9 ใช้กำหนดการรวมเสียงและข้อมูลบนระบบเครือข่ายรองรับ

IEEE 802.10 ใช้กำหนดความปลอดภัยบนระบบเครือข่าย

IEEE 802.11 ใช้กำหนดมาตรฐานเทคโนโลยีสำหรับ WLAN

IEEE802.12 ใช้กำหนดลำดับความสำคัญของความต้องการเข้าไปใช้งานระบบเครือข่าย

IEEE 802.14 ใช้กำหนดมาตรฐานของสาย Modem

IEEE 802.15 ใช้กำหนดพื้นที่ของเครือข่ายไร้สายส่วนบุคคล

IEEE 802.16 ใช้กำหนดมาตรฐานของ Broadband แบบไร้สาย หรือ WiMAX

IEEE 802.11

IEEE (Institute of Electrical and Electronic Engineer) ซึ่งเป็นองค์กรที่กำหนดมาตรฐาน
อุตสาหกรรมอิเล็กทรอนิกส์ ได้กำหนดมาตรฐานเครือข่ายไร้สาย โดยใช้การกำหนดตัวเลข 802.11แล้วตามด้วยตัวอักษร เช่น 802.11b, 802.11a, 802.11g และ 802.11n

IEEE 802.11 คือมาตรฐานการทำงานของระบบเครือข่ายไร้สายกำหนดขึ้นโดย Institute of Electrical and Electronics Engineers (IEEE) เป็นมาตรฐานกลาง ที่ได้นำมาปฏิบัติใช้ในมาตรฐานของการรับ – ส่งข้อมูล โดยอาศัยคลื่นความถี่ ตัวอย่างของการใช้งาน เช่น Wireless Lanหรือ Wi-Fi เพื่อที่จะทำการเชื่อมโยงอุปกรณ์เครือข่ายไร้สายเข้าด้วยกันบนระบบ

ในทางปกติแล้ว การเชื่อมต่อระบบเครือข่ายไร้สาย จำเป็นต้องใช้อุปกรณ์สองชิ้น นั่นคือ แอคเซสพอยต์ คือ ตัวกลางที่ช่วยในการติดต่อระหว่าง ตัวรับ-ส่งสัญญาญไวเลส ของผู้ใช้ กับ สายนำสัญญาณที่จากทองแดงที่ได้รับการเชื่อมต่อกับระบบเครือข่ายแล้ว เช่น สายแลน ตัวรับ-ส่งสัญญาณไวเลส ทำหน้าที่รับ-ส่ง สัญญาณ ระหว่างตัวรับส่งแต่ละตัวด้วยกัน หลังจากที่เทคโนโลยีเครือข่ายไร้สายนี้ได้เกิดขึ้น ก็ได้เกิดมาตรฐานตามมาอีกมายมาย โดยที่การจะเลือกซื้อหรือเลือกใช้อุปกรณ์เครือข่ายไร้สายเหล่านั้น เราจำเป็นจะต้องคำนึงถึงเทคโนโลยีที่ใช้ในผลิตภัณฑ์นั้นๆ รวมถึงความเข้ากันได้ของเทคโนโลยีที่ต่างๆ ด้วย

IEEE 802.11a

เป็นมาตรฐานที่ได้รับการตีพิมพ์และเผยแพร่เมื่อปี พ.ศ. 2542 โดยใช้เทคโนโลยี OFDM (Orthogonal Frequency Division Multiplexing) เพื่อพัฒนาให้ผลิตภัณฑ์ไร้สายมีความสามารถในการ รับส่งข้อมูลด้วยอัตราความเร็วสูงสุด 54 เมกะบิตต่อวินาที โดยใช้คลื่นวิทยุย่านความถี่ 5 กิกะเฮิรตซ์ ซึ่งเป็นย่านความถี่ที่ไม่ได้รับอนุญาตให้ใช้งานโดย ทั่วไปในประเทศไทย เนื่องจากสงวนไว้สำหรับกิจการทางด้านดาวเทียม

ข้อเสียของ IEEE 802.11a

ข้อเสียของผลิตภัณฑ์มาตรฐาน IEEE 802.11a ก็คือ การที่มาตรฐานนี้ ใช้การเชื่อมต่อที่ความถี่สูงๆ ทำให้มาตรฐานนี้ มีระยะการรับส่งที่ค่อนข้างใกล้ คือ ประมาณ 35 เมตร ในโครงสร้างปิด(เช่น ในตึก ในอาคาร) และ 120 เมตรในที่โล่ง เนื่องด้วยอุปกรณ์ไร้สายที่รองรับเทคโนโลยี IEEE 802.11a มีรัศมีการใช้งานในระยะสั้นและมีราคาแพง ดังนั้นผลิตภัณฑ์ไร้สายมาตรฐาน IEEE 802.11a จึงได้รับความนิยมน้อยและยังไม่สามารถเข้ากันได้กับอุปกรณ์ที่รองรับมาตรฐาน IEEE 802.11b และ IEEE 802.11g อีกด้วย

IEEE 802.11b

เป็นมาตรฐานที่ถูกตีพิมพ์และเผยแพร่ออกมาพร้อมกับมาตรฐาน IEEE 802.11a เมื่อปี พ.ศ.2542 มาตรฐาน IEEE 802.11b ได้รับความนิยมในการใช้งานอย่างแพร่หลายมาก ใช้เทคโนโลยีที่เรียกว่า CCK (Complimentary Code Keying) ร่วมกับเทคโนโลยี DSSS (Direct Sequence Spread Spectrum) เพื่อให้สามารถรับส่งข้อมูลได้ด้วยอัตราความเร็วสูงสุดที่ 11 เมกะบิตต่อวินาทีโดยใช้คลื่นสัญญาณวิทยุย่านความถี่ 2.4 กิกะเฮิรตซ์ ซึ่งเป็นย่านความถี่ที่อนุญาตให้ใช้งานในแบบสาธารณะ ทางด้านวิทยาศาสตร์ อุตสาหกรรม และการแพทย์ โดยผลิตภัณฑ์ที่ใช้ความถี่ย่านนี้มีหลายชนิด

ข้อดีของ IEEE 802.11b

ข้อดีของมาตรฐาน IEEE 802.11b ก็คือ การใช้คลื่นความถี่ที่ต่ำกว่าอุปกรณ์ที่รองรับมาตรฐาน IEEE 802.11a ทำให้อุปกรณ์ที่ใช้มาตรฐานนี้จะมีความสามารถในการส่งคลื่นสัญญาณไปได้ไกลกว่าคือประมาณ 38 เมตรในโครงสร้างปิดและ 140 เมตรในที่โล่งแจ้ง รวมถึง สัญญาณสามารถทะลุทะลวงโครงสร้างตึกได้มากกว่าอุปกรณ์ที่รองรับกับมาตรฐาน IEEE 802.11a ด้วยผลิตภัณฑ์มาตรฐาน IEEE 802.11b เป็นที่รู้จักในเครื่องหมายการค้า Wi-Fi

IEEE 802.11e

เป็นมาตรฐานที่ออกแบบมาสำหรับการใช้งาน แอพพลิเคชันทางด้านมัลติมีเดียอย่าง VoIP (Voice over IP) เพื่อควบคุมและรับประกันคุณภาพของการ ใช้งานตามหลักการ QoS (Quality of Service) โดยการปรับปรุง MAC Layer ให้มีคุณสมบัติในการรับรองการใช้งานให้มีประสิทธิภาพ

IEEE 802.11f

มาตรฐานนี้เป็นที่รู้จักกันในนาม IAPP (Inter Access Point Protocol) ซึ่งเป็นมาตรฐานที่ออกแบบมาสำหรับจัดการกับผู้ใช้งานที่เคลื่อนที่ข้ามเขต การให้บริการของ Access Point ตัวหนึ่งไปยัง Access Point อีกตัวหนึ่งเพื่อให้บริการในแบบ โรมมิงสัญญาณระหว่างกัน

มาตรฐาน IEEE 802.11g

มาตรฐาน IEEE 802.11g เป็นมาตรฐานที่ได้รับการพัฒนาขึ้นมาทดแทนผลิตภัณฑ์ที่รองรับมาตรฐาน IEEE 802.11b โดยยังคงใช้คลื่นความถี่ 2.4 GHz แต่มีความเร็วในการรับ - ส่งข้อมูลเพิ่มขึ้นอยู่ที่ระดับ 54 Mbps หรือเท่ากับมาตรฐาน 802.11a โดยใช้เทคโนโลยี OFDM บนคลื่นวิทยุและมีรัศมีการทำงานที่มากกว่า IEEE 802.11a พร้อมความสามารถในการใช้งานร่วมกันกับมาตรฐาน IEEE 802.11b ได้ (Backward-Compatible) เพียงแต่ว่าความถี่ 2.4 GHz ยังคงเป็นคลื่นความถี่สาธารณะอยู่เหมือนเดิม ดังนั้นจึงยังมีปัญหาเรื่องของสัญญาณรบกวนจากอุปกรณ์ที่ใช้คลื่นความถี่เดียวกันอยู่ดี

IEEE 802.11h

มาตรฐานที่ออกแบบมาสำหรับผลิตภัณฑ์เครือข่ายไร้สายที่ใช้งานย่านความถี่ 5 กิกะเฮิรตซ์ให้ทำงานถูกต้องตามข้อกำหนดการใช้ความถี่ของประเทศ ในทวีปยุโรป

IEEE 802.11i

เป็นมาตรฐานในด้านการรักษาความปลอดภัย ของผลิตภัณฑ์เครือข่ายไร้สาย โดยการปรับปรุงMAC Layer เนื่องจากระบบเครือข่ายไร้สายมีช่องโหว่มากมายในการใช้งาน โดยเฉพาะฟังก์ชันการเข้ารหัสแบบ WEP 64/128-bit ซึ่ง ใช้คีย์ที่ไม่มีการเปลี่ยนแปลง ซึ่งไม่เพียงพอสำหรับสภาพการใช้งานที่ต้องการ ความมั่นใจในการรักษาความปลอดภัยของการสื่อสารระดับสูง มาตรฐาน IEEE 802.11i จึงกำหนดเทคนิคการเข้ารหัสที่ใช้คีย์ชั่วคราวด้วย WPA, WPA2 และการเข้ารหัสในแบบAES (Advanced Encryption Standard) ซึ่งมีความน่าเชื่อถือสูง

IEEE 802.11k

เป็น มาตรฐานที่ใช้จัดการการทำงานของระบบ เครือข่ายไร้สาย ทั้งจัดการการใช้งานคลื่นวิทยุให้มีประสิทธิภาพ มีฟังก์ชันการเลือกช่องสัญญาณ การโรมมิงและการควบคุมกำลังส่ง นอกจากนั้นก็ยังมีการร้องขอและปรับแต่งค่าให้เหมาะสมกับการทำงาน การหารัศมีการใช้งานสำหรับเครื่องไคลเอนต์ที่เหมาะสมที่สุดเพื่อให้ระบบ จัดการสามารถทำงานจากศูนย์กลางได้

IEEE 802.1x

เป็นมาตรฐานที่ใช้งานกับระบบรักษาความปลอดภัย ซึ่งก่อนเข้าใช้งานระบบเครือข่ายไร้สายจะต้องตรวจสอบสิทธิ์ในการใช้งานก่อน โดย IEEE 802.1x จะใช้โพรโตคอลอย่าง LEAP, PEAP,
EAP-TLS, EAP-FAST ซึ่งรองรับการตรวจสอบผ่านเซิร์ฟเวอร์ เช่น RADIUS, Kerberos เป็นต้น

มาตรฐาน IEEE 802.11N

มาตรฐาน IEEE 802.11N (มาตรฐานล่าสุด) เป็นมาตรฐานของผลิตภัณฑ์เครือข่ายไร้สายที่คาดหมายกันว่า จะเข้ามาแทนที่มาตรฐาน IEEE 802.11a, IEEE 802.11b และ IEEE 802.11g ซึ่ง
มาตรฐาน 802.11N

มาตรฐาน IEEE 802.11N

โดยจะมีความเร็วอยู่ที่ 300 Mbps หรือเร็วกว่าแลนแบบมีสายที่มาตรฐาน 100 BASE-TXนอกจากนี้ยังมีระยะพื้นที่ให้บริการกว้างขึ้น โดยเทคโนโลยีที่ 802.11N นำมาใช้ก็คือเทคโนโลยี
MIMO ซึ่งเป็นการรับส่งข้อมูลจากเสาสัญญาณหลายๆ ต้น พร้อมๆ กัน ทำให้ได้ความเร็วสูงมากขึ้นและยังใช้คลื่นความถี่แบบ Dual Band คือ ทำงานบนย่านความถี่ทั้ง 2.4 GHz และ 5 GHz