เทคโนโลยีสารสนเทศการควบคุมทั่วไป
การควบคุมทั่วไปในระบบสารสนเทศ และการควบคุมภายในกระบวนการทำงานด้านสารสนเทศ ซึ่งเน้นการใช้งานโดยรวม ไม่เจาะจงว่าเป็นการควบคุมระบบงานใด
วัตถุประสงค์ของการควบคุมทั่วไป
มั่นใจว่าการดำเนินการด้านสามารถตอบสนองต่อความต้องการด้านสารสนเทศโดยรวมขององค์กรการควบคุมทั่วไป ประกอบด้วย
ความต้องการด้านประสิทธิภาพ ประสิทธิผลของการดำเนินงาน ความปลอดภัยของข้อมูล ความถูกต้องครบถ้วน และความพร้อมใช้ข้อมูล
วัตถุประสงค์ของการกำหนดนโยบาย การวางแผนและจัดโครงสร้างงานสารสนเทศมั่นใจว่าการดำเนินการด้านสารสนเทศสอดคล้องกับหลักการควบคุมที่ดี + แผนงาน
วัตถุประสงค์ของการวางแผนนโยบาย แผนงานและการลงทุนด้านสารสนเทศ สอดคล้องกับ วัตถุประสงค์ทางธุรกิจควรมีการสอบทานปรับปรุงนโยบายบ่อยแค่ไหน1-2 ปีควรมีนโยบายการใช้ระบบสารสนเทศ เพื่อเป็นแนวทางสำหรับการบริหารจัดการ (พัฒนาและความปลอดภัย)นโยบายเกี่ยวกับมาตรฐาน software ควรกำหนด version ให้เหมือนกัน
ถ้าคุณไม่รักษาความปลอดภัยเครือข่ายไร้สายจากแฮกเกอร์ ผลนี้ยังอาจรวมถึงการใช้เครือข่ายของเราในการโจมตีเครือข่ายอื่น ๆ ด้วย เพื่อความปลอดภัย ควรปฏิบัติตามเคล็ดลับง่าย ๆ เหล่านี้
1. การกำหนดตำแหน่งเสาอากาศ
สิ่งแรกที่คุณต้องทำคือการ กำหนดตำแหน่งของจุดเชื่อมต่อสัญญาณเสาอากาศในสถานที่ที่ จำกัด ในช่วงที่ส่งสัญญาณที่จำเป็น. คุณไม่ติดตั้งเสาอากาศใกล้กับหน้าต่างกระจกเพราะไม่สามารถบังสัญญาณออกจากอาคารของเราได้ . แนะนำให้วางไว้ในตำแหน่งกลางของอาคาร
2. ใช้การเข้ารหัสรหัสผ่านแบบ WEP , WPA , WPA2:
เป็นโปรโตคอลการเข้ารหัสแบบไร้สาย มันเป็นเทคนิคสำหรับการเข้ารหัสการจราจรบนเครือข่ายไร้สาย คุณไม่ควรข้ามไปเพราะจะช่วยให้แฮกเกอร์สามารถเข้าใช้งานเครื่อข่ายของเราได้ทันที
3. เปลี่ยน ปิดการใช้งานกระจาย SSID, SSID
SSID เป็นชื่ออุปกรณ์ไร้สายที่ปล่อยกระจายให้เชื่อต่อ โดยเป็นจุดการเข้าถึงเครือข่ายแบบไร้สายจากการที่ลูกค้า สำหรับการเข้าถึงแบบไร้สายทุกจุดควรกำหนดชื่อที่ไม่ซ้ำกันรวมทั้ง และควรซ่อนการออกอากาศ SSID ซึ่งมันจะไม่ปรากฏปรากฏในในรายการเครือข่ายที่ผู้ใช้ค้นหา
4. ปิดบริการแบบ DHCP
หากเรามีการแจก ip อัตโนมัติ แฮกเกอร์จะใช้การถอดรหัส TCP/IP , subnet mask เช่นเดียวกับ IP address เพื่อตัดเครือข่ายไร้สายของคุณ ไม่ให้สามารถใช้งานได้ ซึ่งมันแย่ มาก ๆ
5. ปิดการใช้งานหรือแก้ไขการตั้งค่า SNMP
ปิดการใช้งาน มิฉะนั้นแฮ็กเกอร์จะสามารถใช้ประโยชน์จาก SNMP เพื่อรับข้อมูลสำคัญเกี่ยวกับเครือข่ายไร้สายของคุณ
6. ใช้ประโยชน์จากรายการ ผู้ใช้ที่เข้าถึงได้
สำหรับการรักษาความปลอดภัยเพิ่มเติมของเครือข่ายไร้สายของคุณ หากว่าอุปกรณ์ต่าง ๆ ที่ใช้ หรือโปรแกรมเสริม มีบริการที่ช่วยให้เราทราบเกี่ยวกับผู้ที่ได้รับอนุญาต จัดการผู้ใช้งานได้ เช่นการทำ Authentication ก็จะเป็นการรักษาความปลอดภัยที่ดีมากๆ
การควบคุมสำหรับระบบเครือข่ายเดินสาย
ไมโครคอมพิวเตอร์ (Microcomputer) ไมโครคอมพิวเตอร์เป็นเครื่องคอมพิวเตอร์ที่มีขนาดเล็ก บางคนเห็นว่าเป็นเครื่องคอมพิวเตอร์ที่ใช้งานส่วนบุคคล หรือเรียกว่า พีซี (Personal Computer : PC) สามารถใช้เป็นเครื่องต่อเชื่อมในเครือข่าย หรือใช้เป็นเครื่องปลายทาง (terminal) ซึ่งอาจจะทำหน้าที่เป็นเพียงอุปกรณ์รับและแสดงผลสำหรับป้อนข้อมูลและดูผลลัพธ์ โดยดำเนินการการประมวลผลบนเครื่องอื่นในเครือข่าย อาจจะกล่าวได้ว่าไมโครคอมพิวเตอร์ คือเครื่องคอมพิวเตอร์ที่มีหน่วยประมวลผลกลางเป็นไมโครโพรเซสเซอร์ ใช้งานง่าย ทำงานในลักษณะส่วนบุคคลได้ สามารถแบ่งแยกไมโครคอมพิวเตอร์ตามขนาดของเครื่องได้ดังนี้
คอมพิวเตอร์ตั้งโต๊ะ Desktop หรือ Desktop Computer เป็นคอมพิวเตอร์ที่ออกแบบมาเพื่อใช้ งานบนโต๊ะ ที่ใช้ตามบ้านหรือสำนักงานทั่วไป มีการแยกชิ้นส่วนประกอบเป็น ซีพียู จอภาพ และแป้นพิมพ์ เช่น คอมพิวเตอร์ส่วนบุคคล( PC Computer ) เป็นต้น ปัจจุบันคอมพิวเตอร์ตั้งโต๊ะ มีการผลิตที่เน้นให้มีความสวยงาม น่าใช้มากยิ่งขึ้น และได้รับความนิยมในการใช้งานมาก เนื่องจากราคาไม่แพงมาก เมื่อเทียบกับคอมพิวเตอร์แบบอื่นๆ
การจัดวางระบบการควบคุมภายใน หมายถึง การกำหนดหรือออกแบบวิธีการควบคุม และนำมาใช้เพื่อให้เกิดความมั่นใจว่าการปฏิบัติงาน เป็นไปอย่างมีระเบียบและมีประสิทธิภาพ
วัตถุประสงค์ของการควบคุมภายใน เพื่อให้การดำเนินงานขององค์กรเกิดประสิทธิภาพและประสิทธิผล (Operation Objectives : O) เพื่อให้การปฏิบัติและรายงานทางการเงิน ถูกต้อง เชื่อถือได้ และทันเวลา (Financial Reporting Objectives : F) เพื่อให้มีการปฏิบัติตามกฎหมาย ระเบียบ ข้อบังคับ หรือมติคณะรัฐมนตรีที่เกี่ยวข้องกับการดำเนินงาน รวมถึงนโยบายของหน่วยรับตรวจ (กรม) (Compliance Objectives : C)
การควบคุมภายในทั่วไปสำหรับองค์กร
การควบคุมภายในทั่วไป เป็นการควบคุมที่อาศัยนโยบาย และระเบียบปฏิบัติงาน เป็นหลักในการควบคุมกิจกรรมของหน่วยงานคอมพิวเตอร์
1.1. การควบคุมการดำเนินงานของศูนย์คอมพิวเตอร์
การควบคุมศูนย์คอมพิวเตอร์ เป็นการควบคุมเกี่ยวกับเครื่องคอมพิวเตอร์ อุปกรณ์คอมพิวเตอร์และพนักงานด้านปฏิบัติการของศูนย์คอมพิวเตอร์ มีขอบเขตดังนี้
1) การจัดตารางปฏิบัติงาน การควบคุมข้อมูลนำเข้า และการควบคุมข้อมูลที่ได้จากการประมวลผล ได้แก่ การจัดตารางกำหนดเวลาปฏิบัติงาน การควบคุมการปฏิบัติงานข้อมูลที่นำเข้าประมวลผลและการควบคุมการใช้ข้อมูล เพื่อให้การจัดทำข้อมูลขั้นตอนต่อเนื่องแล้วเสร็จทันเวลา มีความถูกต้องครบถ้วนทุกรายการ และป้องกันข้อมูลที่เป็นความลับรั่วไหลไปสู่ภายนอก
2) การควบคุมการจัดเก็บแฟ้มข้อมูลและโปรแกรม เช่น เทป และจานแม่เหล็ก เป็นต้น ให้ปลอดภัยและเพียงพอในการประมวลผล
3) การรายงานเหตุขัดข้องและการซ่อมบำรุงเพื่อป้องกันความเสียหาย จะช่วยให้ทราบถึงสภาพของเครื่องจักรและโปรแกรมจัดระบบการทำงานของเครื่องคอมพิวเตอร์ และการดำเนินการให้เครื่องจักรและโปรแกรมดังกล่าวอยู่ในสภาพสมบูรณ์ สามารถตรวจสอบข้อผิดพลาดหรือบกพร่องในระบบด้วยตนเอง ซึ่งอาจตรวจไม่พบ หากมีส่วนประกอบชำรุดเสียหายซุกซ่อนอยู่ ไม่ปรากฏอาการที่เห็นได้ชัดเจน
4) การควบคุมสภาพแวดล้อมและการรักษาความปลอดภัยทรัพย์สินของศูนย์คอมพิวเตอร์ ได้แก่ การควบคุมการใช้ทรัพย์สิน การป้องกันทรัพย์สินเสียหายและการจัดเตรียมระบบสำรอง ไว้ให้ทดแทน
5) การแบ่งแยกหน้าที่ ได้แก่ การแบ่งแยกหน้าที่ในหน่วยงานคอมพิวเตอร์ และหน่วยงานผู้ใช้ข้อมูลเพื่อให้การปฏิบัติงานไม่ซ้ำซ้อนกัน และป้องกันความเสียหายที่อาจเกิดขึ้นจากการใช้เครื่องคอมพิวเตอร์ อุปกรณ์คอมพิวเตอร์ และแฟ้มข้อมูลเนื่องจากมีการปฏิบัติไม่ชอบ
6) การกำกับ ได้แก่ การควบคุมดูแลให้มีการปฏิบัติตามระเบียบหรือหน้าที่อย่างเคร่งครัด หากมีการปฏิบัติที่ผิดแตกต่างจากระเบียบแผนที่เคยถือปฏิบัติ จะต้องมีเอกสารหลักฐานรายงานให้ทราบทุกครั้ง
7) การวางแผนทรัพยากร เป็นการวางแผนและประเมินสถานะของทรัพยากรในหน่วยงานคอมพิวเตอร์ และหน่วยงานผู้ใช้ข้อมูลทั้งปัจจุบันและอนาคต เพื่อให้มีทรัพยากรเพียงพอต่อการดำเนินงาน ทรัพยากรเหล่านี้ได้แก่ เครื่องคอมพิวเตอร์ อุปกรณ์คอมพิวเตอร์ โปรแกรมและบุคลากร
8) การคำนวณค่าบริการคอมพิวเตอร์จากผู้ใช้ข้อมูล เป็นการคำนวณเพื่อประโยชน์ในการควบคุมทางการบริหาร นอกจากนี้ กรณีกิจการไม่มีคอมพิวเตอร์เป็นของตนเอง ควรคำนึงถึงการจัดทำสัญญาใช้บริการและระเบียบปฏิบัติที่ใช้ควบคุมการชำระค่าบริการด้วย
9) การตระเตรียมวิธีการปรับปรุงแก้ไขระบบคอมพิวเตอร์ที่ได้รับความเสียหายให้ปฏิบัติงานได้ตามปกติ วิธีการที่นำมาใช้ต้องสามารถแก้ไขสถานการณ์ที่เลวร้ายได้รวดเร็ว และป้องกันธุรกิจหยุดชะงักได้แน่นอน
1.2. การควบคุมการพัฒนาระบบงาน
การควบคุมภายในเฉพาะงานที่สร้างไว้ภายในระบบงานคอมพิวเตอร์จะรัดกุมและเหมาะสมเพียงใด ขึ้นอยู่กับความรู้ความชำนาญหรือประสบการณ์ของการออกแบบระบบงานเป็นสำคัญ
– ควบคุมค่าใช้จ่ายและรายะเวลาที่ใช้ในการพัฒนาระบบงาน
– ช่วยให้แน่ใจว่าการควบคุมภายในเฉพาะงานที่สร้างไว้ในระบบ มีความรัดกุมและเหมาะสม
– ช่วยให้แน่ใจว่ามีการทดสอบการควบคุมภายในเฉพาะงาน ด้วยวิธีการที่เหมาะสมก่อนนำไปใช้ข้างหน้า
การควบคุมการพัฒนาระบบงานมีขอบเขตดังนี้
1) System Development Life Cycle (SDLC) ได้แก่ การแบ่งงานพัฒนาระบบออกเป็นขั้นตอนต่าง ๆ หลายขั้นตอน เพื่อความสะดวกในการกำหนดจุดที่จะจัดการควบคุม ซึ่งนอกจากจะช่วยให้ฝ่ายบริหารมีเครื่องมือในการควบคุมค่าใช้จ่ายและระยะเวลาในการพัฒนาระบบงานแล้ว ยังช่วยทำให้เกิดช่องทางในการติดต่อประสานงานกับผู้ใช้ข้อมูล ผู้ตรวจสอบ พนักงานวางแผนจัดหาเครื่องคอมพิวเตอร์และอุปกรณ์คอมพิวเตอร์มาใช้งานพนักงานที่รับผิดชอบในการพัฒนาระบบและพนักงานชั้นบริหาร
2) การบริหารโครงการ ได้แก่ การใช้เทคนิคในการวัดความก้าวหน้าของโครงการในแต่ละขั้นตอน เป็นหลักในการควบคุมเพื่อ
– ให้ทราบว่าผู้ใช้ข้อมูลให้ความเห็นชอบผลงานที่อยู่ในระหว่างการพัฒนาถึงขั้นตอนใดแล้ว
– เปรียบเทียบค่าใช้จ่ายที่เกิดขึ้นจริงกับค่าใช้จ่ายตามงบประมาณ และเปรียบเทียบระยะเวลาที่ปฏิบัติงานจริง กับระยะเวลาที่กำหนดไว้ล่วงหน้า
– เสนอรายงานสถานะของโครงการให้ผู้บริหารระดับสูงได้ทราบทุกระยะ
3) การกำหนดมาตรฐานหรือระเบียบปฏิบัติในการเขียนโปรแกรม เพื่อเป็นแนวทางปฏิบัติงานของผู้เขียนโปรแกรม ปัจจุบันนิยมใช้เทคนิคการเขียนโปรแกรมโครงสร้าง ช่วยลดความซ้ำซ้อนของงานเขียนโปรแกรม และเพื่อให้ผู้อื่นที่จะมาใช้โปรแกรมในภายหลังหรือผู้ที่จะมาปฏิบัติงานแทนผู้เขียนโปรแกรม ตั้งแต่เริ่มแรกสามารถทำความเข้าใจ และทำงานต่อไปได้
4) การทดสอบเพื่อตรวจรับระบบงาน คือ การทดสอบระบบงานและโปรแกรมก่อนนำไปใช้งานจริง เพื่อให้แน่ใจว่าระบบงานและโปรแกรมสามารถทำงานได้ตามประสงค์ของผู้ใช้ข้อมูลและสอดคล้องกับระเบียบปฏิบัติในการประมวลข้อมูลของศูนย์คอมพิวเตอร์
5) การควบคุมการแก้ไขโปรแกรม ได้แก่ การกำหนดระเบียบปฏิบัติในการปรับปรุงแก้ไข Application Program และ Operating Systems โดยจัดให้มีเอกสารหลักฐานและการขอความเห็นชอบในการแก้ไขโปรแกรม เพื่อป้องกันการปฏิบัติไม่ชอบ
6) การจัดทำเอกสารสนับสนุนการปฏิบัติงาน ซึ่งได้แก่ เอกสารที่อธิบายลักษณะการทำงานของระบบงานโดยละเอียด เพื่อให้ผู้อื่นที่ไม่ได้มีส่วนเกี่ยวข้องกับการพัฒนาระบบงาน เช่น ผู้ใช้ข้อมูล ผู้ตรวจสอบและพนักงานปฏิบัติการประมวลผล เป็นต้น สามารถทำความเข้าใจและประเมินผลได้
7) การบริหารงานฐานข้อมูล กรณีที่มีการนำระบบฐานข้อมูลมาใช้เพื่อให้ระบบต่าง ๆ สามารถใช้ข้อมูลร่วมกันและช่วยลดความซ้ำซ้อนในการจัดเก็บข้อมูลจะมีผลกระทบต่อการจัดองค์กรของศูนย์คอมพิวเตอร์ และการพัฒนาระบบงาน ซึ่งจำเป็นต้องปรับปรุงการควบคุมให้เหมาะสมด้วย
เรื่องที่นำเสนอไปในข้างต้นนี้นั้น เป็นส่วนของการควบคุมภายในทั่วไป (General Controls) ที่กล่าวโดยย่อ ๆ ในภาพกว้าง ๆ เท่านั้น ส่วนในรายละเอียดไว้ผมจะนำเสนอในโอกาสต่อ ๆ ไปครับ ในครั้งหน้าผมจะพูดถึงการควบคุมภายใน ในอีกลักษณะหนึ่งที่เรียกว่าเป็นการควบคุมภายในเฉพาะงาน หรือ Application Controls
การบูรณาการ (Integration) หมายถึง การประสานกลมกลืนกันของแผน กระบวนการ สารสนเทศ การจัดสรรทรัพยากร การปฏิบัติการ ผลลัพธ์ และการวิเคราะห์ เพื่อสนับสนุนเป้าประสงค์ที่สำคัญขององค์กร การบูรณาการที่มีประสิทธิผล เป็นมากกว่าความสอดคล้องไปในแนวทางเดียวกัน (Alignment) และจะสำเร็จได้ก็ต่อเมื่อการดำเนินการของแต่ละองค์ประกอบภายในระบบการจัดการผลการดำเนินการมีความเชื่อมโยงกันเป็นหนึ่งเดียวอย่างสมบูรณ์
การบริหารจัดการสู่ความเป็นเลิศ
เครือไทยออยล์ เป็นผู้ประกอบธุรกิจการกลั่นน้ำมันและปิโตรเคมีอย่างบูรณาการ ซึ่งได้รับการยอมรับในวงการพลังงานว่าเป็นโรงกลั่นที่มีความทันสมัยและมีประสิทธิภาพสูงสุดแห่งหนึ่งในภูมิภาคเอเชียแปซิฟิก โดยเครือไทยออยล์ ได้บริหารและพัฒนาโครงสร้างธุรกิจ โครงสร้างเงินทุน รวมทั้งระบบบริหารจัดการให้อยู่ในระดับมาตรฐานสากลอย่างต่อเนื่อง ปัจจุบันเครือไทยออยล์ได้มุ่งมั่นพัฒนากระบวนการบริหารจัดการ ด้วยการกำหนดกลยุทธ์องค์กรให้ทุกหน่วยงานมีการขับเคลื่อนไปด้วยกัน เพื่อรองรับปัจจัยเสี่ยงต่าง ๆ ที่อาจจะเกิดขึ้นและเชื่อมโยงให้หน่วยงานต่าง ๆ ทำงานร่วมกันอย่างคล่องตัวและได้รับประโยชน์สูงสุด โดยในการบริหารจัดการสู่ความเป็นเลิศได้ใช้แนวทางในการดำเนินงาน (Operational Excellence Framework) ซึ่งแบ่งเป็น 3 ส่วนดังนี้
Operational Excellence Framework
1. การจัดการอย่างเป็นระบบ
เครือไทยออยล์มีระบบการจัดการแบบบูรณาการ เป็นพื้นฐานในการจัดกระบวนการปฏิบัติงานต่าง ๆ ให้เกิดความเชื่อมโยงกันทั้งกระบวนการปฏิบัติงาน และผลลัพธ์ และเชื่อมโยงกับวิสัยทัศน์ พันธกิจ และเป้าหมายหลักขององค์กร มีกรอบการปฏิบัติงานที่ชัดเจน ทำให้เกิดการประสานงานกัน (Synergy) ทั้งภายในเครือไทยออยล์ และบริษัทอื่นในกลุ่ม ปตท. โดยการบูรณาการข้อกำหนดตามมาตรฐานสากล (International Standard Requirement) เช่นระบบการจัดการ ISO ต่าง ๆ ระบบการจัดการสู่ความเป็นเลิศ (Operational Management System: OEMS) เข้ามาเป็นส่วนหนึ่งของกระบวนการทำงาน และใช้เป็นเครื่องมือในการปรับปรุงกระบวนการทำงาน เพื่อให้มีระบบการดำเนินงาน และการบริหารจัดการองค์กรที่แข็งแกร่ง และต่อยอดสู่ความเป็นเลิศ (TOP Quartile)ในระดับสากลกับผลลัพธ์ด้าน Safety, Reliability, Cash Cost, ROIC และ Energy Efficiency
2. นำไปสู่การปฏิบัติ
สัมฤทธิผลของการบริหารจัดการสู่ความเป็นเลิศเกิดจากการนำไปสู่การปฎิบัติโดยผู้เกี่ยวข้องทุกฝ่ายอย่างทั่วถึง และถือปฏิบัติเป็นงานประจำ ซึ่งมีหลักสำคัญดังนี้
• มีการวางแผนและปฏิบัติตามแผนงานที่กำหนดไว้
• กำหนดบทบาทหน้าที่ความรับผิดชอบอย่างชัดเจน
• ปฏิบัติตามตัวชี้วัดของกระบวนการทำงาน
• เชื่อมโยงการปฏิบัติและตัวชี้วัด กับวัตถุประสงค์เป้าหมายหลักขององค์กร
• รับฟังเสียงของผู้มีส่วนได้ส่วนเสียเพื่อนำมาปรับปรุง
3. วัฒนธรรมการปฎิบัติงาน
เครือไทยออยล์สร้างวัฒธรรมการปฏิบัติงานเชิงรุก และปรับปรับปรุงประสิทธิภาพ ประสิทธิผลของการปฏิบัติงาน โดยวัฒนธรรมที่ยึดถือปฏิบัติมาอย่างสม่ำเสมอ ได้แก่
• มุ่งเน้นการปรับปรุงอย่างต่อเนื่อง
• วิเคราะห์หาสาเหตุของสิ่งที่ไม่เป็นไปตามที่กำหนด
• มีการแลกเปลี่ยนเรียนรู้อย่างเป็นระบบ
• ติดตามและตรวจสอบให้เป็นไปตามแผนงาน
• มีการทบทวนโดยผู้บริหารที่เกี่ยวข้อง
การควบคุมทั่งไปในสภาพแวดล้อม หมายถึง ปัจจัยต่างๆ ซึ่งส่งเสริมให้องค์ประกอบของการควบคุมภายในอื่นๆ มีประสิทธิผลในหน่วยรับตรวจ (กรม) หรือทำให้การควบคุมที่มีอยู่มีประสทธิผลยิ่งขึ้น หรือทำให้บุคลากรให้ความสำคัญกับการควบคุมภายในมากขึ้น เป็นการสร้างความตระหนัก (Control Consciousness) และบรรยากาศ ของการควบคุมในหน่วยงานให้บุคลากรเกิดจิตสำนึกที่ดีในการปฏิบัติงาน ตามความรับผิดชอบ เน้นการสร้างบรรยากาศโดยผู้บริหารระดับสูง
สภาพแวดล้อมของการควบคุม ความซื่อสัตย์และจริยธรรม ความรู้ ทักษะและความสามารถของบุคลากร ปรัชญาและรูปแบบการทำงานของผู้บริหาร ความซื่อสัตย์และจริยธรรม โครงสร้างองค์กร การมอบอำนาจและหน้าที่ความรับผิดชอบ นโยบายและวิธีบริหารงานบุคคล
การประเมินความเสี่ยง
ความเสี่ยง หมายถึง เหตุการณ์ที่ไม่มีความแน่นอนที่อาจเกิดขึ้น และส่งผลกระทบทำให้องค์กรเกิดความเสียหาย ไม่สามารถดำเนินงานให้บรรลุวัตถุประสงค์หรือเป้าหมายขององค์กร
การประเมินความเสี่ยง หมายถึง กระบวนการที่สำคัญที่ใช้ในการระบุและวิเคราะห์ความเสี่ยง ที่มีผลกระทบต่อการบรรลุวัตถุประสงค์หรือเป้าหมายขององค์กร รวมทั้งการค้นหาและนำเอาวิธีการควบคุมเพื่อป้องกัน หรือลดความเสี่ยงมาใช้ให้ เกิดประสิทธิภาพและประสิทธิผลขององค์กร
การประเมินความเสี่ยง
การสำรองข้อมูล (Backup Data)
เนื่องจากในช่วงที่ผ่านมา ได้มีการกระจายของ Malware ที่เป็นอันตรายเป็นจำนวนมาก และ Malware ประเภทหนึ่งที่สร้างความเสียหายเป็นอย่างมากให้กับข้อมูลที่อยู่ภายในคอมพิวเตอร์ของผู้ใช้งานและการที่จะนำข้อมูลกลับมาเป็นอย่างเดิมนั้น ต้องจ่ายเงินให้ผู้ไม่หวังดี ซึ่งเป็นค่าใช้จ่ายที่สูง นั้นก็คือ ransomware สิ่งนึงที่มีความจำเป็นและมีความสำคัญมากโดยที่ขาดไม่ได้ในการดูแลรักษาข้อมูลของผู้ใช้งานคอมพิวเตอร์รวมถึงข้อมูลอื่นๆที่อยู่ภายในคอมพิวเตอร์ และต้องทำไปควบคู่กับการป้องกัน Malware นั้นก็คือการสำรองข้อมูล (Backup Data) ซึ่งเป็นสิ่งที่คนส่วนใหญ่ ไม่ค่อยที่จะให้ความสำคัญในส่วนนี้ ทำให้เมื่อเกิดความเสียหายของข้อมูล จากการติด ransomware และไม่ได้มีการสำรองข้อมูลไว้ ทำให้ต้องยอมที่จะเสียเงินให้ผู้ไม่หวังดี เพื่อให้ได้ข้อมูลกลับมา ในวันนี้จะมาแนะนำการสำรองข้อมูลโดยวิธีต่างๆ โดยเป็นข้อมูลจาก ศูนย์ประสานการรักษาความมั่นคงปลอดภัยไซเบอร์ (ThaiCERT)
การวางแผนงานรับมือเหตุฉุกเฉิน IT contingency plan
ระบบการทำงานของไอที มีความเสี่ยงต่อความล้มเหลวในการปฏิบัติงาน เริ่มตั้งแต่ปัญหาสถานเบา เช่นปัญหาการหยุดชะงักการจ่ายไฟฟ้า ปัญหาการทำงานของ Disk ไปจนถึงปัญหาหนักหน่วง เช่น อุปกรณ์ระบบใหญ่ เช่น Server หรือระบบโครงสร้างพื้นฐานเสียหาย รวมทั้งการเกิดอัคคีภัย เป็นต้น โดยปัญหาเหล่านี้ สามารถเกิดขึ้นได้หลายสาเหตุ นับตั้งแต่ภัยพิบัติโดยธรรมชาติ ไปจนถึงการก่อการร้าย เป็นต้น ขณะที่ปัญหาบางอย่าง สามารถแก้ไขได้ในทางเทคนิค ขณะที่บางปัญหาขนาดใหญ่ มากเสียจนต้องระดมทรัพยากรทั้งองค์กร รวมทั้งต้องว่าจ้าง องค์กรภายนอกมาแก้ไขปัญหา ทั้งหมดนี้เป็นความเสี่ยงที่สามารถเกิดขึ้นได้ในหลายๆกรณี ปัญหาที่เกิดขึ้น อยู่นอกเหนือที่องค์กรจะสามารถควบคุมได้ เช่น ปัญหาเกี่ยวกับระบบการจ่ายไฟฟ้า เช่นไฟดับ หรือ ปัญหาเกี่ยวกับการสื่อสารโทรคมนาคม เป็นต้น ปัญหาเหล่านี้ ทางองค์กรไม่สามารถให้หลักประกันในด้านความพร้อมของการบริการ เนื่องจากเป็นผู้รับบริการจากภายนอก ด้วยเหตุนี้ การจัดทำแผนงานเพื่อรับมือกับปัญหาที่เกิดขึ้นแบบฉุกเฉิน รวมทั้งแผนการทดสอบจึงเป็นสิ่งที่จำเป็น ในการรับมือกับความเสี่ยงต่อการหยุดชะงักของการให้บริการไอที และเมื่อมีแผนการรับมือกับเหตุฉุกเฉิน จำเป็นจะต้องพิจารณาดังนี้
· เข้าใจกระบวนการทำงานของแผนรับมือต่อสถานการณ์ฉุกเฉิน ที่จะนำมาปฏิบัติใช้งานเพื่อให้การดำเนินงานด้านไอที รวมทั้งธุรกรรมด้านธุรกิจสามารถดำเนินต่อไปได้อย่างต่อเนื่อง
· พัฒนาหรือทดสอบนโยบายรับมือต่อสถานการณ์ฉุกเฉิน รวมทั้งกระบวนการทำงาน ตลอดจนส่วนประกอบของแผนงาน รวมทั้ง การวิเคราะห์ผลกระทบที่มีต่อธุรกิจ การเลือกสถานที่ทำการสำรอง และกลยุทธ์การกู้คืนระบบ
· พัฒนาหรือทดสอบนโยบายรับมือต่อสถานการณ์ฉุกเฉิน รวมทั้งกระบวนการทำงาน ที่เน้นการดูแลบำรุงรักษา การฝึกอบรม และแผนงานการทดสอบการรับมือต่อสถานการณ์ฉุกเฉิน
กระบวนการบริหารจัดการแผนรับมือเหตุฉุกเฉิน และการบริหารความเสี่ยง
การบริหารความเสี่ยงปกติจะต้องครอบคลุมกิจกรรมที่มีความหลากหลายเพื่อระบุวิธีการควบคุมและลดความเสี่ยงให้กับระบบไอที จากมุมมองของ กิจกรรมการบริหารความเสี่ยง จากแผนปฏิบัติการรับมือเหตุฉุกเฉินจะเห็นว่า มี 2 หน้าที่หลักได้แก่ การบริหารความสี่ยงจะต้องสามารถระบุภยันตรายหรือภัยคุกคาม รวมทั้งช่องโหว่ เพื่อที่จะทำให้สามารถจัดทำแผนการควบคุมที่เหมาะสม และสามารถนำมาใช้งานได้อย่างถูกที่ถูกเวลา ทั้งนี้ก็เพื่อป้องกันเหตุไม่คาดฝันที่อาจเกิดขึ้น การควบคุมในที่นี้หมายถึงการป้องกันระบบไอทีจากภัยคุกคาม 3 ประเภทดังนี้
· ภัยพิบัติทางธรรมชาติ —เช่น อุทกภัย และอัคคีภัย
· ภัยพิบัติจากน้ำมือมนุษย์ — การทำงานผิดพลาดหรือการใช้งานผิดวิธี การจารกรรมหรือวินาศกรรม ปัญหาการติดไวรัสของระบบและข้อมูลข่าวสาร ปัญหาการก่อการร้ายเป็นต้น
· ปัญหาสภาพแวดล้อม — การทำงานผิดพลาดของอุปกรณ์ในระบบ การทำงานผิดพลาดของระบบ Software การหยุดชะงักการให้บริการของระบบเครือข่ายโทรคมนาคม และระบบไฟฟ้าขัดข้อง
ประการที่สอง การบริหารความเสี่ยงควรระบุความเสี่ยงที่เหลือ(นอกเหนือจากที่กล่าวมาแล้วทั้งสามข้อ) ซึ่งแผนฉุกเฉินจะต้องสามารถนำมาใช้งานได้อย่างถูกที่ถูกจังหวะ แผนฉุกเฉินจึงจะสามารถเชื่อมโยงอย่างใกล้ชิดกับผลการประเมินความเสี่ยงและกระบวนการลดความเสี่ยง รูปที่ 1 แสดงให้เห็นถึงความสัมพันธ์ระหว่างการระบุและการดำเนินการควบคุมความปลอดภัย, การพัฒนาและรักษาแผนฉุกเฉินและการดำเนินการตามแผนฉุกเฉินทันทีที่มีเหตุการณ์เกิดขึ้น
การควบคุมสิ่งอำนวยความสะดวกคอมพิวเตอร์
ค้นหาศูนย์ประมวลผลข้อมูลในที่ที่ปลอดภัยประชาชนไม่สามารถเข้าถึงได้มันได้รับการปกป้องโดยบุคลากรมีทางเข้าที่ปลอดภัยจำนวน จำกัดมีการป้องกันภัยธรรมชาติ จำกัด การเข้าถึงของพนักงานโดย
การผสมผสานป้ายระบุรหัสแม่เหล็กรหัสอิเล็กทรอนิกส์หรือออปติคัล การเข้าถึงไฟล์คอมพิวเตอร์
ไฟล์คอมพิวเตอร์ หมายถึงกลุ่มระเบียนสารสนเทศใด ๆ หรือทรัพยากรสำหรับเก็บบันทึกสารสนเทศ ซึ่งสามารถใช้งานได้กับโปรแกรมคอมพิวเตอร์ และโดยปกติจะอยู่บนหน่วยเก็บบันทึกถาวรบางชนิด ซึ่งไฟล์นั้นคงทนถาวรในแง่ว่า ยังคงใช้งานได้สำหรับโปรแกรมอื่นหลังจากโปรแกรมปัจจุบันใช้งานเสร็จสิ้น ไฟล์คอมพิวเตอร์ถือได้ว่าเป็นของทันสมัยคู่กับเอกสารกระดาษ ซึ่งแต่เดิมจะถูกเก็บไว้ในตู้แฟ้มเอกสารของสำนักงานและห้องสมุด
การควบคุมแอปพลิเคชันสำหรับการประมวลผลธุรกรรม
หน่วยความจำสำหรับธุรกรรม (TM) เป็นโครงสร้างการซิงโครไนซ์หน่วยความจำ ที่แบ่งใช้ ซึ่งช่วยให้เธรดกระบวนการสามารถทำการดำเนินการหน่วยเก็บข้อมูล ที่ละเอียดมากเมื่อเทียบกับเธรดกระบวนการหรือแอ็พพลิเคชันอื่น
สถานะเช็คพอยต์
เมื่อเริ่มต้นธุรกรรม ชุดของรีจิสเตอร์จะมีการบันทึกไว้ ซึ่งแสดงถึงสถานะเช็คพอยต์ของ ตัวประมวลผล ในกรณีที่ธุรกรรมล้มเหลว ชุดของรีจิสเตอร์ จะถูกเรียกคืนไปยังจุดก่อนหน้าการเริ่มต้นธุรกรรม สถานะ เช็คพอยต์ของตัวประมวลผลยังมีการเรียกอีกอย่างว่า สถานะก่อนหน้า ธุรกรรม สถานะเช็คพอยต์มีรีจิสเตอร์ที่เขียนได้และระบุปัญหา ยกเว้นสำหรับรีจิสเตอร์ CR0, FXCC, EBBHR, EBBRR, BESCR, รีจิสเตอร์การมอนิเตอร์ประสิทธิภาพ และ TM SPRs
ธุรกรรมตัวอย่าง
การส่ง สัญญาณ
สัญญาณอะซิงโครนัสที่ ได้รับโดยแอ็พพลิเคชันขณะอยู่ในธุรกรรมมีการส่ง ในลักษณะที่ไม่ใช่ธุรกรรม เมื่ออยู่ในสถานะธุรกรรม ไม่อนุญาตการส่ง สัญญาณซิงโครนัส และส่งผลให้เกิดความล้มเหลว ของธุรกรรมแบบถาวรชนิด TM_SYNC_SIGNAL ตามที่กำหนดไว้ ในไฟล์ /usr/include/sys/machine.h
การเรียกระบบ
ขอแนะนำว่า ไม่ควรเรียกใช้ การเรียกระบบภายในธุรกรรม การเรียกระบบได้รับการสนับสนุน ภายในธุรกรรมเฉพาะถ้าธุรกรรมถูกระงับไว้ผ่าน คำสั่ง tsuspend. ใหม่เมื่อเรียกใช้การเรียกระบบ ขณะตัวประมวลผลหรือเธรดอยู่ในสถานะธุรกรรม และธุรกรรม ไม่ได้ถูกระงับไว้ การเรียกระบบจะไม่มีการเรียกใช้โดยเคอร์เนล AIX และธุรกรรมที่เชื่อมโยงจะล้มเหลว แบบถาวร เมื่อเกิดข้อผิดพลาดนี้ ฟิลด์ FC ของรีจิสเตอร์ TEXASR มีโค้ดระบุความล้มเหลว TM_ILL_SC ซึ่งมีการกำหนดไว้ ในไฟล์ /usr/sys/include/machine.h มีการ สมมติว่า การดำเนินการใดๆ ที่ทำภายใต้ธุรกรรมซึ่งระงับไว้ เมื่อแอ็พพลิเคชันโปรแกรมเมอร์ระงับธุรกรรมไว้อย่างชัดแจ้ง ถือว่าเป็นแบบถาวรโดยตั้งใจ การดำเนินการใดๆ ที่ทำโดย การเรียกระบบซึ่งเรียกใช้ขณะอยู่ในสถานะระงับไว้ไม่มีการย้อนกลับ แม้ว่าธุรกรรมจะล้มเหลว
การควบคุมอินพุต
รับเข้า/ส่งออก ในทางคอมพิวเตอร์ หมายถึงการสื่อสารระหว่างระบบประมวลผลสารสนเทศ (เช่นคอมพิวเตอร์) กับโลกภายนอก ซึ่งอาจเป็นมนุษย์หรือระบบประมวลผลสารสนเทศอีกระบบหนึ่ง อินพุตหรือสิ่งรับเข้าคือสัญญาณหรือข้อมูลที่ระบบรับเข้ามา และเอาต์พุตหรือสิ่งส่งออกคือสัญญาณหรือข้อมูลที่ระบบส่งออกไป ศัพท์นี้ใช้เรียกการกระทำเพียงส่วนหนึ่ง กล่าวคือ “การกระทำไอ/โอ” หมายถึงการปฏิบัติการรับเข้าหรือส่งออกสัญญาณหรือข้อมูล บุคคลหนึ่ง (หรือระบบอื่น) สามารถใช้อุปกรณ์ไอ/โอเพื่อสื่อสารกับคอมพิวเตอร์ ตัวอย่างเช่น คีย์บอร์ดหรือเมาส์จัดว่าเป็นอุปกรณ์รับเข้าสำหรับคอมพิวเตอร์ ในขณะที่จอภาพและเครื่องพิมพ์จัดว่าเป็นอุปกรณ์ส่งออกสำหรับคอมพิวเตอร์ ส่วนอุปกรณ์ที่สื่อสารระหว่างคอมพิวเตอร์ด้วยกัน เช่นโมเด็มหรือแผ่นวงจรเครือข่าย โดยปกติสามารถเป็นได้ทั้งอุปกรณ์รับเข้าและส่งออกมีข้อสังเกตเกี่ยวกับการออกแบบของอุปกรณ์ว่าจะเป็นการรับเข้าหรือการส่งออกขึ้นอยู่กับมุมมอง ตัวอย่างเช่น เมาส์และคีย์บอร์ดรับเข้าการเคลื่อนไหวทางกายภาพที่ส่งออกโดยมนุษย์ผู้ใช้งาน และแปลงเป็นสัญญาณที่คอมพิวเตอร์สามารถเข้าใจ สัญญาณส่งออกจากอุปกรณ์เหล่านี้จึงเป็นสัญญาณรับเข้าของคอมพิวเตอร์ และเช่นเดียวกัน เครื่องพิมพ์และจอภาพรับเข้าสัญญาณที่ส่งออกจากคอมพิวเตอร์ และแปลงสัญญาณเหล่านี้เป็นการแสดงผลที่มนุษย์ผู้ใช้งานสามารถมองเห็นหรืออ่านได้ กระบวนการอ่านหรือการมองเห็นการแสดงผลก็เป็นข้อมูลรับเข้าของมนุษย์ผู้ใช้งาน การศึกษาการโต้ตอบเหล่านี้อยู่ในขอบเขตที่เรียกว่าการโต้ตอบระหว่างมนุษย์กับคอมพิวเตอร์ (human-computer interaction)
การควบคุมการประมวลผล
การควบคุมการประมวลผล มุ่งเน้นไปที่การจัดการข้อมูลบัญชีหลังจากที่ป้อนเข้าสู่ระบบคอมพิวเตอร์
วัตถุประสงค์หลักคือแนวทางการตรวจสอบที่ชัดเจน
การควบคุมการประมวลผลมีสองประเภท:
1. การควบคุมการเข้าถึงข้อมูล
2. การควบคุมการจัดการข้อมูล
มาตรการคว่ำบาตรและควบคุมการส่งออก
วิธีการปฏิบัติตามมาตรการคว่ำบาตรและควบคุมการส่งออก
การจัดส่งสินค้าไปยังบางประเทศ อาจได้รับผลกระทบจากมาตรการคว่ำบาตรและควบคุมการส่งออกจากนานาชาติ ที่ดำเนินอยู่ตามประเภทของสินค้า ในประเทศต้นทางและประเทศปลายทาง หรือฝ่ายต่าง ๆ ที่มีส่วนร่วมในการจัดส่งดังกล่าวแม้ว่าในปัจจุบัน TNT จะให้บริการในหลายประเทศซึ่งอยู่ภายใต้ข้อบังคับการคว่ำบาตรจากนานาชาติ แต่เราจะทำการจัดส่งโดยปฏิบัติตามข้อบังคับการคว่ำบาตรที่กำหนดโดยสหประชาชาติ สหภาพยุโรป สหรัฐอเมริกา และประเทศอื่น ๆ โปรดดูการจัดการสินค้าเชิงกลยุทธ์และประเทศปลายทางที่ถูกคว่ำบาตรในข้อกำหนดและเงื่อนไขของ TNT ด้านล่าง เพื่อศึกษารายละเอียดเกี่ยวกับการจัดการการค้าที่ถูกควบคุม แต่ชอบด้วยกฎหมาย
แอปพลิเคชั่นควบคุมเอาต์พุตหลักสองประเภท
ประเภทของแอพพลิเคชั่น
1. แอพพลิเคชั่นระบบ
เป็นส่วนซอฟต์แวร์ระบบหรือระบบปฏิบัติการ (Operating system) ที่ทำหน้าที่ควบคุมการทำงานของอุปกรณ์และรองรับการใช้งานของแอพพลิเคชั่นหรือโปรแกรมต่างๆ ที่ติดตั้งอยู่ภายในคอมพิวเตอร์เคลื่อนที่
2. แอพพลิเคชั่นที่ตอบสนองความต้องการของกลุ่มผู้ใช้
เป็นซอฟต์แวร์ประยุกต์หรือโปรแกรมประยุกต์ ที่ทำงานภายใต้ระบบปฏิบัติการ มีวัตถุประสงค์เฉพาะอย่างเนื่องจากผู้ใช้มีความต้องการใช้แอพพลิเคชั่นที่แตกต่างกันจำนวนของอุปกรณ์คอมพิวเตอร์เคลื่อน
ที่มีหลากหลายชนิด ขนาดหน้าจอที่แตกต่าง จึงมีผู้ผลิตและพัฒนาแอพพลิเคชั่นใหม่ๆ ขึ้นเป็นจำนวนมาก เพื่อรองรับการใช้งานในทุกๆด้าน
ที่มา :
ไม่มีความคิดเห็น:
แสดงความคิดเห็น