รหัส 56102106210
สาขา เทคโนโลยีสารสนเทศ
วันเสาร์ที่ 11 เมษายน พ.ศ. 2558
มาตรการความปลอดภัยขั้นพื้นฐาน (Basic Security Measures)
มาตรการความปลอดภัยขั้นพื้นฐาน (Basic Security Measures)
ระบบคอมพิวเตอร์ทุกระบบ จำเป็นต้องมีมาตรการความปลอดภัยขั้นพื้นฐาน ยกตัวอย่างง่าย ๆ เช่น คอมพิวเตอร์ที่ผู้คนส่วนใหญ่ใช้งาน มักจะมีโปรแกรมป้องกันไวรัสเพื่อป้องกันไวรัสเข้าสู่ระบบ และแพร่ระบาดบนเครือข่าย นอกจากนี้ อาจจำเป็นต้องล็อกเครื่องคอมพิวเตอร์เพื่อมิให้ผู้อื่นเข้ามาเปิดใช้งาน การล็อกกลอนประตู และการเข้ารหัสข้อมูล เพื่อป้องกันการลักลอยนำข้อมูลไปใช้งาน สิ่งเหล่านี้จัดเป็นการป้องกันความปลอดภัย ซึ่งก็มีหลายวีให้เลือกใช้งานตามความเหมาะสม อย่างไรก็ตาม สำหรับเนื้อหาต่อไปนี้จะทำให้เราๆได้ทราบถึงมาตรการด้านความปลอดภัยขั้นพื้นฐานที่พึงมี ซึ่งแต่ละมาตรการก็จะมีเทคนิควิธีที่แตกต่างกันไป โดยสามารถแบ่งออกได้เป็น 7 ประเภทด้วยกันดังนี้
ความปลอดภัยบนสภาพแวดล้อมภายนอก (External Security)
ความปลอดภัยด้านการปฏิบัติงาน (Operational Security)
การตรวจตราเฝ้าระวัง (Surveillance)
การใช้รหัสผ่านและระบบแสดงตัวตน (Passwords and ID Systems)
การตรวจสอบ (Auditing)
สิทธิ์การเข้าถึง (Access Rights)
การป้องกันไวรัส (Guarding Against Viruses)
ความปลอดภัยบนสภาพแวดล้อมภายนอก (External Security)
- การป้องกันการเข้าห้องศูนย์บริการคอมพิวเตอร์
- การจัดวางสายเคเบิลต่าง ๆ
- การยึดอุปกรณ์ให้อยู่กับที่
- เครื่องปรับอากาศภายในศูนย์คอมพิวเตอร์
- ควรมีระบบป้องกันทางไฟฟ้า
- การป้องกันภัยธรรมชาติ
ความปลอดภัยด้านการปฏิบัติงาน (Operational Security)
เป็นเรื่องที่เกี่ยวข้องกับการสร้างข้อจำกัดในบุคคลใดบุคคลหนึ่งในการเข้าถึงระบบ ตัวอย่างเช่น ในองค์กรขนาดใหญ่ที่มีพนักงานจำนวนมาก จำเป็นต้องมีการกำหนดระดับการใช้งานผู้ใช้แต่ละฝ่าย การระบุวันปฏิบัติงาน สามารถนำมาใช้ได้ดีเช่นกัน
การตรวจตราเฝ้าระวัง (Surveillance)
ผู้บริหารเครือข่ายจำเป็นต้องมีมาตรการหรือกระบวนการตรวจตราเฝ้าระวัง เพื่อมิให้ระบบคอมพิวเตอร์ถูกทำลายหรือถูกลักขโมย เช่น การติดตั้งกล้องโทรทัศน์วงจรปิด, การส่งสัญญาณไปยังโทรศัพท์มือถือหากมีผู้บุกรุก
การใช้รหัสผ่านและระบบแสดงตัวตน (Passwords and ID Systems)
การใช้รหัสผ่านเป็นมาตรการหนึ่งของความปลอดภัยขั้นพื้นฐาน ที่นิยมใช้กันมานาน การกำหนดรหัสผ่านยังมีกระบวนการปลีกย่อยต่าง ๆ ที่สามารถนำมาใช้เพื่อควบคุมและสร้างข้อจำกัดเพื่อความปลอดภัยยิ่งขึ้น เช่น การกำหนดอายุการใช้งานของรหัสผ่าน
การแสดงตัวตนในระดับสูง ที่เรียกว่า ไบโอเมตริก (Biometric) เช่น เครื่องอ่านลายนิ้วมือ และเครื่องอ่านเลนส์ม่านตา
การตรวจสอบ (Auditing)
ระบบตรวจสอบส่วนใหญ่มักใช้ซอฟต์แวร์เพื่อบันทึกข้อมูล และตรวจสอบเฝ้าระวังทุก ๆ ทรานแซกชั่น
ที่เข้ามายังระบบ โดยบันทึกข้อมูลต่าง ๆ ไว้เป็นหลักฐานในรูปแบบของไฟล์ที่เรียกว่า Log File
สิทธิ์การเข้าถึง (Access Rights)
การกำหนดสิทธิ์การใช้งานอุปกรณ์หรือไฟล์ข้อมูล ให้กับผู้ใช้บางกลุ่ม เช่น Read, Write, Modify, Create
การป้องกันไวรัส (Guarding Against Viruses)
ไวรัสคอมพิวเตอร์เป็นโปรแกรมขนาดเล็กที่จะเข้าไปแก้ไขเปลี่ยนแปลงการทำงานของคอมพิวเตอร์ ทำให้คอมพิวเตอร์ที่ใช้งานอยู่นั้นเกิดปัญหาต่าง ๆ
วิธีการโจมตีระบบ (System Attacks Method)
การโจมตีเพื่อเจาะระบบ (Hacking Attacks)
การโจมตีเพื่อปฏิเสธการให้บริการ (Denial of Service Attacks : DOS)
การโจมตีแบบไม่ระบุเป้าหมาย (Malware Attacks)
1. การโจมตีเพื่อเจาะระบบ (Hacking Attacks)
เป็นการโจมตีต่อเป้าหมายที่วางไว้อย่างชัดเจน เช่น ต้องการเจาะระบบเพื่อให้สามารถเข้าสู่ระบบเครือข่ายภายใน เพื่อให้ได้มาซึ่งข้อมูลความลับ ครั้นเมื่อเจาะระบบได้แล้ว ก็จะคัดลอกข้อมูล เปลี่ยนแปลงข้อมูล หรือทำลายข้อมูล รวมถึงการติดตั้งโปรแกรมที่ไม่พึงประสงค์เพื่อเข้าไปทำลายข้อมูลภายในให้เสียหายทั้งหมด
2. การโจมตีเพื่อปฏิเสธการให้บริการ (Denial of Service Attacks : DoS)
เป็นการโจมตีชนิดทั่วไปที่มักถูกกล่าวขานกันบ่อย ๆ โดย DoS จะเป็นการโจมตีเพื่อให้คอมพิวเตอร์หรือระบบเครือข่ายหยุดการตอบสนองงานบริการใด ๆ ตัวอย่างเช่น กรณีที่เซิร์ฟเวอร์ถูกโจมตีด้วย DoS แล้วนั่นหมายความว่าจะอยู่ในสภาวะที่ไม่สามารถบริการทรัพยากรใดๆ ได้ ครั้นเมื่อไคลเอนต์ได้พยายามติดต่อกับเซิร์ฟเวอร์ก็จะถูกขัดขวาง และถูกปฏิเสธการให้บริการ
อาจผสมผสานกับการโจมตีประเภทอื่น ๆ เข้าร่วมด้วย เช่น การส่งเมล์บอมบ์ การแพร่แพ็กเก็ตข่าวสารจำนวนมหาศาลบนเครือข่าย การแพร่ระบาดของหนอนไวรัสบนเครือข่าย ซึ่งสิ่งเหล่านี้จะส่งผลต่อระบบจราจรบนเครือข่ายที่เต็มไปด้วยขยะ
3. การโจมตีแบบไม่ระบุเป้าหมาย (Malware Attacks)
คำว่า Malware มาจากคำเต็มว่า Malicious ซึ่งเป็นคำที่ใช้เรียกกลุ่มโปรแกรมจำพวกไวรัสคอมพิวเตอร์, หนอนไวรัส (Worm), โทรจัน (Trojan), สปายแวร์ (Spyware) และแอดแวร์ (Adware) สามารถแพร่กระจายแบบอัตโนมัติไปทั่วเครือข่าย โดยมัลแวร์มีจุดประสงค์ร้ายด้ายการแพร่โจมตีแบบหว่านไปทั่ว ไม่เจาะจง
ตัวอย่างเช่น ผู้ประสงค์ร้ายได้ส่งจดหมายอิเล็กทรอนิกส์ที่แนบมาพร้อมกับไวรัสคอมพิวเตอร์และส่งกระจายไปทั่วเมลบ็อกซ์ ครั้นเมื่อพนักงานในองค์กรหนึ่งได้รับเมลดังกล่าว และมีการเปิดเมลนี้ขึ้นมา ไวรัสที่มาพร้อมกับเมลนี้ก็สามารถแพร่เข้ามายังเครือข่ายภายในองค์กรได้ทันที
เทคนิคพื้นฐานการเข้ารหัสข้อมูลและการถอดรหัสข้อมูล(Basic Encryption and Decryption Techniques)
คริพโตกราฟี (Cryptography) เป็นเทคนิควิธีต่าง ๆ ที่ใช้สำหรับการเข้ารหัสและการถอดรหัสข้อมูล สำหรับเทคนิคหรือแนวทางในการเข้ารหัสข้อมูล เพื่อแปลงเพลนเท็กซ์ไปเป็นไซเฟอร์เท็กซ์ แบ่งเป็น 2 วิธี คือ
เทคนิคการแทนที่ (Substitution Techniques)
เทคนิคการสับเปลี่ยน (Transposition Techniques)
เทคนิคการแทนที่ (Substitution Techniques)
การเข้ารหัสด้วยวิธีการแทนที่แบบโมโนอัลฟาเบติก (Monoalphabetic Substitution-Based Cipher)
เทคนิคการสับเปลี่ยน (Transposition Techniques)
การเข้ารหัสด้วยวิธีการสับเปลี่ยนแบบเรสเฟ็นซ์ (Rail Fence Transposition Cipher)
การเข้ารหัสแบบ Single Key
การเข้ารหัสกุญแจสาธารณะ (Public Key Cryptography)
ลายเซ็นดิจิตอล (Digital Signatures)
ไฟร์วอลล์ (Firewall)
แพ็กเก็ตฟิลเตอร์ (Packet Filter) ปกติหมายถึงเร้าเตอร์ที่กลั่นกรองหมายเลขไอพี หรือหมายเลขพอร์ตที่ได้รับการอนุญาตเท่านั้น
พร็อกซีเซิร์ฟเวอร์หรือแอพพลิเคชั่นเกตเวย์ (Proxy Server/Application Gateway) คือคอมพิวเตอร์ที่ได้ติดตั้งซอฟต์แวร์พร็อกซีเซิร์ฟเวอร์ โดยทุก ๆ ทรานแซกชั่นของเครือข่ายภายนอกที่ได้มีการร้องขอเข้ามาจะต้องผ่านพร็อกซีเซิร์ฟเวอร์เสมอ
ระบบเครือข่ายคอมพิวเตอร์ของคุณก็ต้องการการป้องกันในลักษณะเดียวกัน
เทคโนโลยีด้านความปลอดภัยของเครือข่ายช่วยป้องกันเครือข่ายของคุณจากการโจรกรรมและการใช้ข้อมูลลับทางธุรกิจไปในทางที่ผิด และยังช่วยป้องกันการโจมตีที่เป็นอันตรายจากไวรัสและเวิร์มจากอินเทอร์เน็ตด้วย หากบริษัทของคุณไม่มีระบบความปลอดภัยของระบบเครือข่าย บริษัทของคุณจะเสี่ยงต่อการบุกรุกที่ไม่ได้รับอนุญาต เวลาสูญเปล่าของเครือข่าย การชะงักงันของบริการ การไม่ปฏิบัติตามระเบียบข้อบังคับ และแม้แต่การดำเนินคดีทางกฎหมาย
ระบบความปลอดภัยทำงานอย่างไร
ความปลอดภัยของระบบเครือข่ายไม่ได้ขึ้นอยู่กับวิธีใดวิธีหนึ่ง แต่เป็นการใช้ชุดของตัวป้องกันที่ทำหน้าที่ป้องกันธุรกิจของคุณด้วยวิธีการที่แตกต่างกัน แม้เมื่อโซลูชันหนึ่งทำงานล้มเหลว โซลูชันอื่นๆ ยังคงทำงานอยู่ ซึ่งจะช่วยปกป้องบริษัทของคุณและข้อมูลของบริษัทจากการโจมตีเครือข่ายที่มีหลากหลายรูปแบบชั้นของความปลอดภัยบนระบบเครือข่ายของคุณ หมายถึง ข้อมูลที่มีค่าที่คุณจำเป็นต้องใช้ในการดำเนินธุรกิจ พร้อมสำหรับการใช้งานและได้รับการปกป้องจากภัยคุกคามต่างๆ โดยเฉพาะอย่างยิ่ง ความปลอดภัยของระบบเครือข่าย:
- ช่วยป้องกันการโจมตีระบบเครือข่ายจากภายในและภายนอก ภัยคุกคามสามารถเกิดขึ้นได้ทั้งภายในและภายนอกกำแพงสี่ด้านของธุรกิจของคุณ ระบบความปลอดภัยที่มีประสิทธิภาพจะตรวจสอบกิจกรรมของระบบ เครือข่ายทั้งหมด ทำเครื่องหมายพฤติกรรมที่ผิดปกติ และทำการตอบสนองที่เหมาะสม
- ทำให้มั่นใจว่าการสื่อสารทั้งหมดมีความเป็นส่วนตัว ในทุกที่และทุกเวลา พนักงานสามารถเข้าถึงระบบเครือข่ายจากบ้านหรือบนท้องถนนได้โดยมั่นใจว่าการสื่อสารของตนยังคงมีความเป็นส่วนตัวและได้รับการปกป้อง
- ควบคุมการเข้าถึงข้อมูลโดยการระบุผู้ใช้และระบบของผู้ใช้อย่างแม่นยำ ธุรกิจต่างๆ สามารถตั้งกฏของตนเองเพื่อปกป้องการเข้าถึงข้อมูลได้ สามารถทำการปฏิเสธหรืออนุมัติตามข้อมูลการยืนยันตัวตนของผู้ใช้ ฟังก์ชันของงาน หรือเกณฑ์เฉพาะธุรกิจอื่นๆ
- ช่วยให้คุณมีภาพลักษณ์ที่ไว้วางใจได้มากขึ้น เนื่องจากเทคโนโลยีด้านความปลอดภัยช่วยป้องกันระบบของคุณจากการโจมตี และช่วยปรับให้เข้ากับภัยคุกคามใหม่ๆ ดังนั้นพนักงาน ลูกค้า และคู่ค้าทางธุรกิจจึงมั่นใจได้ว่าข้อมูลของตนยังคงมีความปลอดภัย
ITIL (Information Technology Infrastructure Library)
ITIL (Information Technology Infrastructure Library)
ในปัจจุบันโลกธุรกิจมีการขยายตัวอย่างรวดเร็ว ธุรกิจแทบจะทุกประเภทได้มีการนำเทคโนโลยีสารสนเทศเข้ามามีส่วนช่วย หรือเป็นหน่วยสนับสนุนทำให้สามารถเจริญเติบโตและแข่งขันกับธุรกิจอื่นๆ ได้ หรือเพื่อเพิ่มขีดความสามารถในการแข่งขันให้กับธุรกิจในปัจจุบัน และเนื่องจากมีการนำเป็นเครื่องมือในการพัฒนาศักยภาพในธุรกิจแล้ว ซึ่งโดยพื้นฐานแล้วการพัฒนาด้านเทคโนโลยีสารสนเทศให้มีความทันสมัยและพร้อมใช้งานอยู่ตลอดเวลา จะทำให้ประสิทธิภาพตอบสนองการดำเนินธุรกิจขององค์กร จึงมีความจำเป็นและได้กำหนดเป็นแผนงานการพัฒนาของทุกองค์กรธุรกิจ เพื่อให้หน่วยงานด้านเทคโนโลยีสารสนเทศสามารถพัฒนาและบริหารการจัดการ “งานบริการด้านเทคโนโลยีที่มีคุณภาพ” หลักการในการดำเนินธุรกิจให้ประสบความสำเร็จ คือ การลดค่าใช้จ่ายเพิ่มรายได้ การรู้และควบคุมต้นทุนทำให้รายจ่ายลดลงและมีรายได้เพิ่มขึ้น จึงได้มี
การคิดหาแนวทางที่จะมาช่วยควบคุมตามแนวทางดังกล่าว โดยที่แนวทางนั้นต้องไม่ส่งผลให้ผลิตภัณฑ์หรือบริการที่มีอยู่มีประสิทธิภาพลดลง การนำเทคโนโลยีเข้ามาใช้นับเป็นทางเลือกหนึ่งที่นิยมใช้กันมาเพื่อให้ธุรกิจบรรลุเป้าหมาย และการนำเทคโนโลยีมาใช้เพื่อให้ผู้ใช้งานให้เกิดความพึงพอใจสูงสุด โดยเน้นไปที่ “คุณภาพในการให้บริการ” หรือ “Quality of Service” เช่น การปฏิบัติตามข้อตกลง Service Level Agreement (SLA) ในสัญญาการให้บริการเทคโนโลยีสารสนเทศ เป็นต้น
ในปัจจุบันองค์กรส่วนใหญ่สบความสำเร็จในการดำเนินธุรกิจนั้น ซึ่งล้วนแล้วแต่จะมีระบบเทคโนโลยีสารสนเทศที่เข้มแข็งและมีกระบวนการดำเนินงานที่เป็นรูปธรรม ที่ใช้เป็นรากฐานทางธุรกิจ และด้วยเทคโนโลยีที่มีการเปลี่ยนแปลงอยู่ตลอดเวลา ทำให้องค์กรจะต้องมีการพัฒนาและปรับปรุงการให้บริการต่างๆ เพื่อเพิ่มคุณภาพและประสิทธิภาพในการปฏิบัติงาน การพัฒนาการบริการด้านเทคโนโลยีสารสนเทศโดยมุ่งตอบสนองความต้องการของผู้ใช้งานและการทำให้เกิดความพึงพอใจของผู้ใช้งานนั้นจึงต้องมีการนำกระบวนการทางเทคโนโลยีสารสนเทศมาใช้เพื่อพัฒนา และปรับปรุงให้การปฏิบัติงานมีคุณภาพและมีประสิทธิภาพมากขึ้นเป็นการยกระดับงานบริการด้านเทคโนโลยี จึงนำ ITIL (Information Technology Infrastructure Library) มาประยุกต์ใช้ปรับปรุงกระบวนการทำงานให้มีประสิทธิภาพ ช่วยให้การประสานงานระหว่างหน่วยงานต่างๆเพื่อติดตามและแก้ไขปัญหาเป็นไปอย่างเป็นระบบและมีข้อมูลเพียงพอต่อการวิเคราะห์ผลลัพธ์ของกระบวนการ จึงมีการกำหนดกฎเกณฑ์ทีใช้วัดระดับการใช้บริการที่ชัดเจน เพื่อการตอบสนองความต้องการของผู้ใช้บริการด้วยบริการที่มีคุณภาพภายใต้ข้อตกลงรวมกัน
โดยได้นำเสนอทฤษฏี แนวความคิดที่เกี่ยวข้องในรายละเอียด ดังนี้
IT Service Management
“IT Service Management” (ITSM) ซึ่งเป็น “กระบวนการบริหารจัดการงานบริการเทคโนโลยีสารสนเทศ” ปรัชญาของหลักการ IT Service Management ก็คือ การใช้เทคโนโลยีสารสนเทศเพื่อสนับสนุนความต้องการและเป้าหมายทางธุรกิจขององค์กร (Business Requirements & Objectives) เรียกได้ว่า IT ต้อง การสนับสนุนทางธุรกิจซึ่งองค์กรส่วนใหญ่ในปัจจุบันนั้นให้ความสำคัญแก่ “Business Requirement” เป็นลำดับแรก โดยใช้หลัก “Business Leads IT” เทคโนโลยีสารสนเทศถูกนำมาใช้เพื่อเป็นกลไกในการขับเคลื่อนทางธุรกิจธุรกรรมต่างๆขององค์กร ดังนั้น การนำเทคโนโลยีสารสนเทศมาใช้ในการให้บริการโดยอ้างอิงจากกระบวนการบริหารจัดการงานบริการเทคโนโลยีสารสนเทศ “IT Service Management” หรือ“ITSM” โดยจะเน้นเรื่องการบริหารจัดการทางด้านเทคโนโลยีสารสนเทศให้ตอบสนองต่อความต้องการของธุรกิจ และให้ความสำคัญกับความพึงพอใจของผู้ใช้ระบบสารสนเทศ (Users) หรือลูกค้า (Customers) เป็นหลัก การนำเทคโนโลยีสารสนเทศมาใช้ในอดีตมักจะเน้นเรื่องทางด้านเทคนิค หรือ “Technology” เป็นจุดสำคัญและมุ่งไปที่การให้บริการภายในองค์กรเท่านั้น แต่ในปัจจุบันองค์กรสมัยใหม่นิยมนำเทคโนโลยีสารสนเทศมาใช้ในการให้บริการลูกค้าให้เกิดความพึงพอใจสูงสุด (Customer Satisfaction) โดยเน้นไปที่ “คุณภาพในการให้บริการ” หรือ “Quality of Service” เช่น เรื่อง Service Level Agreement (SLA) ในสัญญาการให้บริการเทคโนโลยีสารสนเทศ เป็นต้น
โดย “ITSM” เป็นหลักการที่เน้นเรื่องของ “กระบวนการ” หรือ “Process-focused” ซึ่งมุ่งเน้นในการพัฒนากระบวนการให้มีประสิทธิภาพมากยิ่งขึ้น โดยสามารถใช้ร่วมกับหลักการ“Best Practice” (วิธีการที่ดีที่สุด) อื่นๆ ยกตัวอย่างเช่น การนำหลักการ TQM, Six Sigma, CMMI หรือ Business Process Improvement (BPM) มาใช้ร่วมกับ ITSM เป็นต้น โดยแนวความคิด ITSM ไม่เน้นเรื่อง “Technology” หรือ“Product” แต่อย่างใด แต่จะเน้นเรื่องกระบวนการในการให้บริการแก่ users และcustomers เป็นหลัก และ ITSM ยังสนับสนุนหลักการ “IT Governance” หรือ“GRC” (Governance, Risk Management and Compliance) อีกด้วย
ในปัจจุบันหลักการ “IT Service Management” หรือ “ITSM” นั้น มีหลากหลาย Framework ให้องค์กรเลือกนำมาใช้ ได้แก่ ITIL Framework ของ OGC (Office of Government Commerce), CobiT และ Val IT Framework ของ ISACA, ITUP ของ IBM, ASL ของNetherlands และMOF ของ Microsoft เป็นต้น
ความหมายของ ITIL (Information Technology Infrastructure Library)
(เข้าถึงได้จาก:http://www.acisonline.net/article_prinya_eEnterprise-oct_08.htm, สืบค้นเมื่อวันที่ 18 ธันวาคม 2554)
ITIL (Information Technology Infrastructure Library) ถูกพัฒนาโดย Office for Government Commerce (OGC) ของประเทศอังกฤษ ซึ่งเป็น Open Knowledge ที่มีการรวบรมเป็นเอกสารที่อธิบายถึงแนวทางที่ดีสุด (Best Practice) ในด้านการบริหารจัดการโครงสร้างของหน่วยงานด้านไอที (IT Infrastructure)โดยในเอกสารดังกล่าวจะเป็นการการรวบรวมแนวทางปฏิบัติจากหน่วยงานทางด้านไอทีต่างๆทั่วโลก เพื่อนำมากำหนดเป็น Best Practice ซึ่งจะกำหนดให้ไอทีเป็นบริการที่ต้องตอบสนองต่อความต้องการของธุรกิจ ผู้ใช้ รวมถึงลูกค้า โดยคำว่า Best Practice มุ่งเน้นที่กระบวนการจัดการการให้บริการทางด้านไอที ซึ่ง ITIL จะถูกใช้เป็นแนวทางในการจัดการด้าน IT Infrastructure ที่ให้แต่แนวทางแต่ไม่ได้กล่าวถึงวิธีการดำเนินการโดยทั่วไปจะถือว่า ITIL เป็น Best Practice ที่เป็นที่ยอมรับในระดับสากลและมีการใช้อย่างแพร่หลายจนทำให้กลายเป็นมาตรฐานที่ยอมรับกันโดยปริยาย (de facto standard) จากการศึกษาของ Gartner พบว่าการมี IT Serviceที่ดีสามารถลด Cost ได้ 48 % ปัจจุบันมีผู้ที่ได้รับ Certificate ของ ITIL กว่า 100,000 คนทั่วโลกทั้ง ในยุโรป ออสเตรเลีย แคนาดา
ประวัติของ ITIL
ITIL ได้เริ่มเกิดขึ้นช่วงปลายทศวรรษ 1980 โดยรัฐบาลประเทศอังกฤษตระหนักว่าคุณภาพของการให้บริการด้าน IT นั้นไม่เพียงพอ จึงได้มีการมอบหมายให้ CCTA (The CentralComputer and Telecommunication Agency) ซึ่งได้กลายเป็น OGC (Office of Government Commerce) เมื่อปี 2000 ทำการพัฒนากรอบความรู้ขึ้นสำหรับการบริหารทรัพยากรด้าน IT ที่มีประสิทธิภาพให้แก่ภาครัฐและเอกชน โดยตอนเริ่มต้นนั้น ยังไม่ได้ใช้ชื่อ ITILแต่ใช้ชื่อว่า GITIMM (Government Information Technology Infrastructure Management Method) ซึ่งต่อมาได้มีการชี้ประเด็นกันว่า ไม่น่าจะเรียกว่า วิธีการ (Method) น่าจะเรียกว่า เป็นคู่มือช่วย (Guidance) มากกว่าและก็ได้มีการจัดตั้งคณะผู้ใช้ซึ่งแต่เดิมเรียกว่า IT Infrastructure Management Forum ซึ่งต่อมาได้กลายเป็น itSMF หรือ IT Service Management Forum เมื่อประมาณปี ‘94-95’ผลงานเรื่องแรกที่ออกมาคือผลงานเรื่อง Service Level Management ในปี1989 และผลงานเรื่องสุดท้าย คือ เรื่อง Availability Managementซึ่งออกมาเมื่อปี 1994 จากนั้นก็ได้มีการรวบรวมผลงานทั้งหมดเข้าด้วยกัน โดยแบ่งออกเป็น 2 เล่มหลัก คือ หนังสือปกน้ำเงิน กับหนังสือปกแดง หนังสือปกน้ำเงิน(blue book) นั้นเป็นเรื่องเกี่ยวกับ Service Supportและ หนังสือปกแดง(red book) นั้น เป็นเรื่องเกี่ยวกับ Service Delivery หนังสือสองเล่มนี้ถือเป็นสองเล่มหลักของ ITIL framework ที่มีปัจจัยต่อการปรับปรุงกระบวนการในการให้บริการทางด้าน IT
ประโยชน์ของ ITIL
ประโยชน์ของ ITIL นั้น จากการศึกษาพบว่ากรณีที่มีการนำ ITIL มาประยุกต์ใช้ในการบริหารจัดการงานบริการด้านเทคโนโลยีสารสนเทศนั้น จะก่อให้เกิดประโยชน์หลายประการ เน้นการประหยัดค่าใช้จ่ายในการบริการจัดการด้านเทคโนโลยีสารสนเทศ นอกจากนี้คุณประโยชน์หลักของITIL คือการทำให้เกิดการจัดระบบการทำงานของหน่วยงานเทคโนโลยีสารสนเทศรวมทัง�� การบริหารจัดการวิธีการดำเนินงานของหน่วยงานที่แตกต่างกันหลายระดับให้เป็นหนึ่งเดียว ช่วยให้เกิดความคล่องตัว และสามารถแก้ปัญหาต่างๆ ที่เกิดขึ้นได้อย่างรวดเร็ว ซึ่ง ITIL จึงถูกใช้เป็นแนวทางในการปฏิบัติงานและพบอีกว่าสามารถทำงานได้เป็นอย่างดี
ประโยชน์ของการนา ITIL มาใช้งาน
- ช่วยลดต้นทุนค่าใช้จ่ายในการบริหารเทคโนโลยีสารสนเทศ
- ช่วยปรับปรุงระบบการให้บริการด้านเทคโนโลยีสารสนเทศด้วยกระบวนการ หรือระเบียบขั้นตอนการทำงานเชิงปฏิบัติ
- ช่วยให้หน่วยบริการเทคโนโลยีสารสนเทศได้รับความพึงพอใจจากลูกค้าผู้ใช้บริการมากขึ้นอันเนื่องมาจากประสิทธิภาพในการให้บริการที่เป็นระบบ และมีความเป็นมืออาชีพ มากยิ่งขึ้น
- ช่วยให้องค์กรในส่วนของหน่วยงานเทคโนโลยีสารสนเทศได้รับมาตรฐานสากล เป็นที่ยอมรับจากองค์กร หรือหน่วยงานจากนานาประเทศ
- ช่วยเพิ่มประสิทธิภาพ และทักษะการทำงานมากขึ้น
- ช่วยให้บริการขององค์กร มีความคล่องตัว และมีประสิทธิภาพมากยิ่งขึ้น จากคุณลักษณะพิเศษที่มีอยู่แล้วของ ITIL
ITIL เป็นระเบียบวิธีการที่ใช้เพื่อบริหารจัดการในด้านการให้บริการของหน่วยงานเทคโนโลยีสารสนเทศในองค์กรขนาดเล็กไปจนถึงขนาดใหญ่ พัฒนาขึ้นโดย OGC (Office ofGovernment Commerce) ซึ่งเป็นสานักงานหรือองค์กรของรัฐบาลแห่งสหราชอาณาจักรITIL ได้รับการสนับสนุนโดยการตีพิมพ์ การพิสูจน์คุณภาพ ตลอดจนการได้รับการยอมรับจากหน่วยงานระหว่างประเทศต่างๆ ITIL ถูกออกแบบมาเพื่อช่วยให้องค์กรสามารถพัฒนาแผนงานหรือแผนแม่บทในการจัดบริหารจัดการเกี่ยวกับการให้บริการของ IT
ตัวอย่างขององค์กรที่ได้ประโยชน์จาก ITIL 1 ได้แก่
- Procter & Gamble P&G นำ ITIL เข้ามาใช้งานในองค์กรตั้งแต่ปี 1999 หลังจากผ่านไป 4 ปี P&G รายงานว่าสามารถประหยัดต้นทุนไปได้ถึง 500 ล้านเหรียญสหรัฐ ซึง�� คิดเป็นต้นทุนด้านการปฏิบัติงาน (operation cost) ที่ลดลงประมาณ 6-8% และบุคคลากรทางด้าน IT ลดลงประมาณ 15-20%
- Caterpillar บริษัท Caterpillar นำ ITIL มาใช้ในองค์กรเมื่อ ปี 2000 เพื่อจัดการปัญหาที่เกิดขึ้น (incident management) และได้พบว่าสามารถเพิ่มอัตราการตอบสนองต่อผู้ใช้บริการตามเกณฑ์ที่ตั้งไว้ จาก 60-70% เป็น 90%
- Ontario Justice Enterprise บริษัทนายหน้าที่ทำหน้าที่ดูแลระบบของรัฐบาลแคนาดา นำ ITIL มาใช้ในองค์กรในปี 1999 โดยการทำ virtual service desk ทำให้ลดค่าใช้จ่ายด้านการ supportลงได้ถึง 40%
ITIL Version 3
ปัจจุบัน ITIL ได้สร้างประโยชน์ตามวัตถุประสงค์ คือ การมอบแนวทางต้นแบบสำหรับการพัฒนา ITSM ที่มีประสิทธิภาพและประสบความสำเร็จ โดย ITIL จะให้หลักประกันในการรักษาระดับการให้บริการตามข้อตกลง (Service-level agreements, SLAs) ขององค์กร เพื่อให้กระบวนการที่ประกันถึงความสอดคล้องระหว่างไอทีและธุรกิจอย่างต่อเนื่อง เพื่อเพิ่มมูลค่าแก่ธุรกิจ ลดค่าใช้จ่าย เพิ่มผลตอบแทนจาการลงทุน (ROI) แต่อย่างไรก็ตาม เมื่อองค์กรและปัจจัยทางธุรกิจเปลี่ยนแปลงไป แม้แต่เครื่องมือสำหรับบริหารจัดการขึ้นที่ดีที่สุดก็ยังต้องมีการแก้ไขปรับปรุงอยู่ตลอดเวลา ส่วนของITIL ก็ต้องปรับปรุงเช่นเดียวกัน โดยในเวอร์ชัน 3 ของ ITIL หรือที่รู้จักในชื่อ "ITIL Refresh" ได้ปรับปรุงการออกแบบเพื่อองค์กรนำไปใช้ได้เร็วและง่ายกว่าเดิมเพิ่มการปรับเปลี่ยนที่ดีกว่า และปรับปรุงเพื่อมุ่งกระบวนการบริหารงานบริการ ให้เกิดความเป็นเลิศในด้านการดำเนินงาน คุณสมบัติที่เพิ่มใน ITIL V3 ซึ่งจะส่งผลต่อการดำเนินงานของ ITSMเดิมที่มีอยู่ในองค์กร ได้แก่ การปรับปรุงในด้านของวงจรชีวิตของการบริการ มูลค่าทางธุรกิจความสอดคล้อง การเชื่อมโยงเข้ากับต้นแบบและมาตรฐานอื่น แนวทางสำหรับธุรกิจเฉพาะด้านกลยุทธ์การให้บริการ และการบริหารจัดการความรู้ของงานบริการ บริษัท HP ในฐานะที่เป็นผู้ให้การสนับสนุนการพัฒนา ITIL ได้มอบสิ่งสำคัญให้แก่ ITIL V3 นั้นคือ มาตรฐานคำศัพท์ใหม่ของ ITIL(ITIL Glossary) แผนที่กระบวนการ ITIL แบบรวมยอด (Integrated ITIL Process Map) และยังช่วยทำหน้าที่เผยแพร่ข้อมูลหลักในเรื่องการดำเนินงานบริการ (Service Operations) อีกประการหนึ่งด้วย
ในเดือนธันวาคม ปี 2005 ทาง OGC (Office of Government Commerce) ได้เผยแพร่ ITIL ให้มีที่ได้พัฒนาต่อยอดมาจาก ITIL v.2 ซึ่งเป็น Versionก่อนหน้านี้เรียกว่า ITIL v.3 มีชื่อเรียกเต็มว่า Information Technology Infrastructure version 3 ภายใต้ Version 3 นี้ได้กำหนดมาตรฐานหลักออกเป็น 5 มาตรฐาน ข้อแตกต่างระหว่าง version 2 กับ version 3 ได้แก่ การเปลี่ยนแปลงโครงสร้างการทำงานที่แต่เดิม เน้นวงจรชีวิตของกระบวนการและปรับแต่งให้ ITสามารถเข้ากันได้กับธุรกิจ ไปเป็นการบริหารจัดการวงจรชีวิตของกระบวนการบริการ ที่หน่วยงานที่ให้บริการด้านเทคโนโลยีสารสนเทศสามารถให้กับหน่วยธุรกิจ หรือมีการบริหารการให้บริการเชิงปฏิบัติที่มีประสิทธิภาพมากยิ่งขึ้น โดยเน้นคำว่า“Best Practice” หรือวิธีการทำงานเชิงปฏิบัติที่ดีที่สุด
โครงสร้างของ ITIL version 3
กระบวนการภายใน IT Service Management ให้มั่นใจว่าบริการที่เน้นความสะดวกและต้นทุน IT Services มีการกำหนดอย่างชัดเจนสามารถวัดความสำเร็จกับการไปถึงให้บริการและมาตรการปรับปรุงการกำหนดเป้าหมายสามารถนำความจำเป็นที่ ITIL Version 3 (ITIL V3) ซึ่งมีหัวข้อหลักดังต่อไปนี้
Service Strategy (Core of ITIL V3) เป็นกลยุทธ์ในด้านบริการเป็นการกำหนดแนวทางโดยให้หลักไว้ว่า Service Management จะเป็นพื้นฐานในการกำหนดและบริหารนโยบายแนวทางปฏิบัติ และกระบวนการในการบริหารการบริการอย่างครบวงจร ในการพัฒนาระบบการให้บริการแก่ตลาดธุรกิจเพื่อให้สอดคล้องต่อความต้องการของผู้ใช้บริการ IT ในองค์การ และลูกค้าที่เข้ารับบริการจะประสงค์เพื่อให้เกิดผลลัพธ์ของวิธีการบริการที่ดีที่สุด รวมทั้ง การออกแบบวิธีการนำเอาระบบที่ให้บริการที่มีประสิทธิภาพไปใช้ ตลอดจนการดูแลรักษาและการปรับปรุง แก้ไขกระบวนการบริการที่ต่อเนื่อง กุญแจหลักของ Service Strategy ได้แก่ Service Portfolio Management และ Financial Management โดยใน Service Strategy จะแบ่งออกเป็น
- Financial Management การจัดการบริหารการเงินกับการให้บริการด้าน ITเพื่อรองรับการจัดการมูลค่าได้อย่างมีประสิทธิภาพ เช่น ทรัพย์สินด้าน IT และทรัพยากรที่ถูกใช้ในการให้บริการ เพื่อสร้างความมั่นใจให้ลูกค้า และ รองรับข้อมูลอย่างแม่นยำเพื่อนำไปสู่การลงทุน
- Strategy Generation เพื่อให้ฝ่ายบริการทราบเหตุผลในโครงการต่างๆ ที่จำเป็นต่อการบริการงานด้าน IT มีการสำรวจยุทธศาสตร์ การกำหนดวัตถุประสงค์วิเคราะห์คู่แข่ง เป็นต้น
- Service Portfolio Management เป็นการดูแลการลงทุน ในการจัดการบริการที่มีรูปแบบไดนามิกที่มีการข้ามโครงสร้างภายในองค์กรและการจัดการมูลค่า จะทำให้เกิดประโยชน์
- Demand Management เพื่อให้ผู้รับผิดชอบบริการด้าน IT ใช้ทรัพยากรที่มีอยู่ให้ได้อย่างมีประสิทธิภาพมากที่สุด
Service Design เน้นการออกแบบกิจกรรมที่จะเกิดขึ้น ในการะบวนการให้บริการรวมทั้ง การพัฒนากลยุทธ์และวิธีการบริหารจัดการระบบบริการ โดยมีกุญแจหลักอยู่ที่ AvailabilityManagement หรือความพร้อมที่จะให้บริการ Capacity Management หรือ ขีดความสามารถในการให้บริการอย่างรวดเร็วและมีประสิทธิภาพ รวมทั้ง Continuity Management หรือความสามารถในการให้บริการที่ต่อเนื่อง และ Security Management หรือการบริหารระบบรักษาความปลอดภัย โดย Service Design จะแบ่งออกเป็น
- Service Catalogue Management คือ คำอธิบายหน้าที่บริการต่อธุรกิจ เพื่อให้บริการ Catalogue การผลิตและการเก็บมีข้อมูลที่ถูกต้องในการปฏิบัติงานด้านบริการ และผู้มีการเตรียมการเพื่อใช้ให้สามารถใช้งาน Service CatalogueManagement ได้และเป็นการให้ข้อมูลสำคัญสำหรับทุกบริการอื่นๆ รวมถึงการจัดการกระบวนการรายละเอียด Service สถานะปัจจุบันและจุดที่ให้บริการในด้านต่างๆ
- Information Security Management เพื่อให้งานบริการมีความมั่นคงและปลอดภัยตามหลัก CIA โดยมีการจัดทำนโยบาย มาตรฐานและขั้นตอนการปฏิบัติเพื่อทราบถึงความเสี่ยงในปัจจุบัน ลดช่องโหว่จากภัยคุกคามต่างๆ
- Service Level Management เพื่อการเจรจาข้อตกลงระดับการบริการกับลูกค้าและการบริการออกแบบตามออกแบบตามเป้าหมายที่ตกลงกัน โดยในการให้บริการจะแบ่งระดับการให้บริการออกเป็น Service Level Management ยังรับผิดชอบในการตรวจสอบให้แน่ใจว่าปฏิบัติระดับข้อตกลงและการหนุนสัญญาที่เหมาะสมกับการตรวจสอบและรายงานระดับบริการ มีความชัดเจนสามารถวัดผลการดำเนินงานด้านสารสนเทศจากระดับการให้บริการ
- Availability Management เพื่อกำหนดการวิเคราะห์แบบแผนวัดและปรับปรุงในทุกด้านให้พร้อมทั้งการบริการด้าน IT ให้มีการจัดการรับผิดชอบ เพื่อให้มั่นใจว่าโครงสร้างพื้นฐานไอทีทั้งหมดกระบวนการเครื่องมือ ฯลฯ ให้เหมาะสมสำหรับการตกลง ซึ่งเป้าหมายหลักก็เพื่อการเตรียมความพร้อมในทุกด้านของ IT และทำให้ทราบถึงการออกแบบโครงสร้างเพื่อรองรับความพร้อม ความเชื่อถือ ความถูกต้อง และ ความปลอดภัย
- Capacity Management เพื่อให้มั่นใจว่าผู้ให้บริการดำเนินการได้ตามที่ต้องการ เช่น เวลา ความสามารถของระบบ โดยรองรับการทำงานได้ในปัจจุบันและอนาคตตามข้อตกลงที่ลูกค้าต้องการ
- IT Service Continuity Management เพื่อรองรับการจัดการแผนธุรกิจต่อเนื่องโดยรวม และมั่นใจได้ว่าโครงสร้างพื้นฐาน และ บริการสามารถครอบคลุมความต้องการและตอบรับกับข้อตกลงของเวลาในการดำเนินการของธุรกิจ ทำให้ธุรกิจที่ใช้ระบบสารสนเทศสามารถดำเนินการได้อย่างต่อเนื่องจากภัยพิบัติ และเหตุการณ์ผิดปกติ ลดความเสียหายของธุรกิจ มีแผนรับมือความเสียงที่จะเกิดและ สร้างความพร้อมของทีมงานเมื่อเกิดภัยพิบัติขึ้น
- Supplier Management เพื่อให้มั่นใจว่าทุกสัญญาที่ทำกับ Supplier จะสนับสนุนความต้องการของธุรกิจและ Supplier ทั้งหมดจะต้องทำตามสัญญาข้อผูกพันของบริษัท ให้ได้รับบริการที่มีคุณภาพจากผู้ให้บริการที่มีความพร้อม และเหมาะสมกับความต้องการขององค์กร เพื่อประสิทธิภาพการติดต่อกับผู้ให้บริการ เพิ่มประสิทธิภาพของระบบงานเนื่องจากได้ผู้ให้บริการที่มีความเหมาะสม
Service Transition เน้นที่การดำเนินการเพื่อให้ได้ผลลัพธ์ของการบริการที่ดีที่สุดเป็นบริการที่ส่งมอบเพื่อนำไปใช้ในระบบปฏิบัติงาน การรับข้อมูลจาก Service Design การส่งมอบสถานะการดำเนินงานในทุกรายการเพื่อให้ระบบปฏิบัติการทำงานได้อย่างต่อเนื่อง โดยมีกุญแจหลักของ Service Transition คือ Change Management Configuration Management Release Management และ Service Knowledge Management โดยใน Service Transition จะแบ่งออกเป็น
- Transition Planning and support เพื่อการวางแผนและประสานงานทรัพยากรรวมถึงการปรับใช้หลัก Release เข้ามาภายใต้ต้นทุนที่คาดการณ์ไว้ที่เวลาและการประเมินคุณภาพไว้แล้ว ได้แผนงานที่มีประสิทธิภาพก่อนที่จะดำเนินการ
- Service Asset and Configuration Management เพื่อกำหนดและความคุมส่วนประกอบของบริการและโครงสร้างพื้นฐาน มีการบำรุงรักษา และจัดทำเวอร์ชั่นในการกำหนดการติดตั้ง
- Change Management เพื่อมั่นใจว่าวิธีการมาตรฐาน และขั้นตอนปฏิบัติได้ถูกใช้อย่างมีประสิทธิภาพ และพร้อมการรับมือกับการเปลี่ยนแปลงโดยต้องได้รับผลกระทบต่อคุณภาพน้อยที่สุด
- Release and Deployment Management เพื่อวางแผนตารางเวลาและการควบคุมการเคลื่อนไหวของ Version ที่จะทดสอบและ Environment ที่จะใช้ ซึ่งเป้าหมายหลักของการจัดการประชาสัมพันธ์เพื่อให้ความสมบูรณ์ของสิ่งแวดล้อมอยู่ที่การป้องกันและส่วนประกอบที่มีความถูกต้อง เมื่อได้มีการเปิดตัวใช้งานระบบ ซึ่ง ภายใต้Release and Deployment Management
- Service Validation and Testing Evaluation เพื่อให้แน่ใจว่าการติดตั้ง และบริการมีผลตามความคาดหวังของลูกค้าและยืนยันว่าการดำเนินงาน IT สามารถรองรับบริการใหม่ที่เกิดขึ้นมาได้
- Knowledge Management เพื่อรวบรวมวิเคราะห์จัดเก็บและแบ่งปันความรู้และข้อมูลภายในองค์กร หรือเป็นการจัดการความรู้เพื่อปรับปรุงประสิทธิภาพโดยการลดความจำเป็นในการที่จะต้องทำการค้นหาความรู้อีกครั้ง ซึ่งให้เป็นศูนย์รวมความรู้ทั้งหมดให้ทุกคนในองค์กรเข้ามาหาความรู้กัน ซึ่งจะเป็นประโยชน์ในการตอบปัญหาของ Service ที่ได้เปิดให้บริการอีกทางด้วย
Service Operation เน้นไปทางด้านกิจกรรมที่จำเป็นต่อการปฏิบัติงานเพื่อให้บรรลุผลสำเร็จในการดูแลรักษาหน้าที่การทำงานหรือบริการ ที่เป็นไปตามข้อตกลง ว่า ด้วย พันธะ สัญญาบริการ (Service Level Agreement) ที่มีต่อลูกค้า กุญแจหลัก Service Operation คือ Incident Management, Problem Management และRequest Fulfillment และ Event Management โดยใน Service Operation จะแบ่งออกเป็น
- Event Management เพื่อตรวจสอบเหตุการณ์ โดยดูความเหมาะสมของเหตุการณ์และพิจารณากิจกรรมควบคุม ที่เหมาะสมเพื่อดำเนินการ EventManagement และเพื่อใช้ในการกรองการจัดกลุ่มงานและการตัดสินใจในการดำเนินการที่เหมาะสม Event Management เป็นหนึ่งในกิจกรรมหลักของ Service Operations
- Request Fulfillment เพื่อในการปฏิบัติงานด้านการให้บริการคำร้องซึ่งในกรณีส่วนใหญ่เป็นรายย่อย (มาตรฐาน) การเปลี่ยนแปลง (เช่น ขอเปลี่ยนรหัสผ่าน) หรือขอข้อมูลต่าง ๆ
- Access Management เพื่อให้ผู้ใช้อำนาจสิทธิในการใช้บริการขณะที่การป้องกันการเข้าถึงที่ไม่อนุญาตให้ผู้ใช้เข้าจัดการกระบวนการอย่างเป็นธรรมชาติใช้นโยบายที่กำหนดในIT Security Management เข้า Management เป็นบางครั้ง เรียกว่า ยังRights Management หรือ Identity Management
- Service Desk เป็น “ศูนย์กลางในการติดต่อ” Single Point Of Contact (SPOC) ในการรับแจ้งปัญหา (Incident) ที่เกิดขึ้นจากผู้ใช้บริการ ITโดยแจ้งผ่านทางโทรศัพท์ เว็บ อีเมล์ และ เป็นศูนย์กลางในการติดต่อสื่อสารและประสานงานระหว่างผู้ใช้งาน IT กับ IT Groups และทีม งาน Support เพื่อทำการแก้ไขปัญหาต่างๆ ที่เกิดขึ้น ให้สามารถใช้งานได้เป็นปกติโดยเร็วที่สุดเท่าที่จะเป็นไปได้
- Incident Management เป็นกระบวนการเกี่ยวกับการจัดการ Incidentทั้งหมด ตั้งแต่การรับปัญหา Incident ข้อผิดพลาดของระบบงานบริการ IT ต่างๆ ที่เกิดขึ้นการตอบคำถาม หรือข้อซักถามต่าง ๆ จากผู้ใช้งาน การแก้ไขปัญหา การส่งต่อการติดตามความคืบหน้า ของปัญหา Incident ที่เกิดขึ้นเพื่อกู้คืน Service ให้กลับคืนสู่สภาวะปกติให้เร็วที่สุดเท่าที่จะทำได้และลดผลกระทบที่ส่งผลต่อการดำเนินทางธุรกิจให้น้อยที่สุด และต้องอยู่ภายในระดับการให้บริการที่ตกลงไว้ (SLA)
- Problem Management เพื่อในการจัดการวงจรของปัญหาทั้งหมด และถึงการจัดการปัญหาในแง่ป้องกันเหตุการณ์ที่เกิดขึ้น และเพื่อการลดผลกระทบของเหตุการณ์ที่ไม่สามารถทำให้เชิงรุกวิเคราะห์ปัญหาการจัดการบันทึกเหตุการณ์และใช้ข้อมูลที่เก็บรวบรวมโดยอื่นๆ IT Service Management กระบวนการเพื่อระบุแนวโน้มหรือปัญหาสำคัญต่าง ๆ
Continual Service Improvement เน้นที่ขีดความสามารถที่ทำให้เกิดขีดความสามารถในการปรับปรุงการให้บริการที่มีคุณภาพอยู่แล้ว ให้มีความต่อเนื่อง กุญแจหลักอยู่ที่Service Reporting Service Measurement และ Service Level Management
ITIL V3 เป็นการนำ Service Support และ Service Delivery มารวมกัน โดย ITIL V3 จะพัฒนาเป็น Service Lifecycle โดยมีหลักการแนวคิด ITIL V3 มีการออกแบบใหม่ให้ใกล้เคียงกับมาตรฐาน ISO/IEC 20000 และยังเน้นในเรื่องการ Alignmentระหว่าง IT กับ Business ITIL V3 จะมองในเรื่องการสร้าง Business Value มากว่าProcess Execution จะเห็นได้ว่า ITIL V3 นั้นจะเป็น Best Practice ทีSupport Business อย่างเต็มรูปแบบ
ในปัจจุบันโลกธุรกิจมีการขยายตัวอย่างรวดเร็ว ธุรกิจแทบจะทุกประเภทได้มีการนำเทคโนโลยีสารสนเทศเข้ามามีส่วนช่วย หรือเป็นหน่วยสนับสนุนทำให้สามารถเจริญเติบโตและแข่งขันกับธุรกิจอื่นๆ ได้ หรือเพื่อเพิ่มขีดความสามารถในการแข่งขันให้กับธุรกิจในปัจจุบัน และเนื่องจากมีการนำเป็นเครื่องมือในการพัฒนาศักยภาพในธุรกิจแล้ว ซึ่งโดยพื้นฐานแล้วการพัฒนาด้านเทคโนโลยีสารสนเทศให้มีความทันสมัยและพร้อมใช้งานอยู่ตลอดเวลา จะทำให้ประสิทธิภาพตอบสนองการดำเนินธุรกิจขององค์กร จึงมีความจำเป็นและได้กำหนดเป็นแผนงานการพัฒนาของทุกองค์กรธุรกิจ เพื่อให้หน่วยงานด้านเทคโนโลยีสารสนเทศสามารถพัฒนาและบริหารการจัดการ “งานบริการด้านเทคโนโลยีที่มีคุณภาพ” หลักการในการดำเนินธุรกิจให้ประสบความสำเร็จ คือ การลดค่าใช้จ่ายเพิ่มรายได้ การรู้และควบคุมต้นทุนทำให้รายจ่ายลดลงและมีรายได้เพิ่มขึ้น จึงได้มี
การคิดหาแนวทางที่จะมาช่วยควบคุมตามแนวทางดังกล่าว โดยที่แนวทางนั้นต้องไม่ส่งผลให้ผลิตภัณฑ์หรือบริการที่มีอยู่มีประสิทธิภาพลดลง การนำเทคโนโลยีเข้ามาใช้นับเป็นทางเลือกหนึ่งที่นิยมใช้กันมาเพื่อให้ธุรกิจบรรลุเป้าหมาย และการนำเทคโนโลยีมาใช้เพื่อให้ผู้ใช้งานให้เกิดความพึงพอใจสูงสุด โดยเน้นไปที่ “คุณภาพในการให้บริการ” หรือ “Quality of Service” เช่น การปฏิบัติตามข้อตกลง Service Level Agreement (SLA) ในสัญญาการให้บริการเทคโนโลยีสารสนเทศ เป็นต้น
ในปัจจุบันองค์กรส่วนใหญ่สบความสำเร็จในการดำเนินธุรกิจนั้น ซึ่งล้วนแล้วแต่จะมีระบบเทคโนโลยีสารสนเทศที่เข้มแข็งและมีกระบวนการดำเนินงานที่เป็นรูปธรรม ที่ใช้เป็นรากฐานทางธุรกิจ และด้วยเทคโนโลยีที่มีการเปลี่ยนแปลงอยู่ตลอดเวลา ทำให้องค์กรจะต้องมีการพัฒนาและปรับปรุงการให้บริการต่างๆ เพื่อเพิ่มคุณภาพและประสิทธิภาพในการปฏิบัติงาน การพัฒนาการบริการด้านเทคโนโลยีสารสนเทศโดยมุ่งตอบสนองความต้องการของผู้ใช้งานและการทำให้เกิดความพึงพอใจของผู้ใช้งานนั้นจึงต้องมีการนำกระบวนการทางเทคโนโลยีสารสนเทศมาใช้เพื่อพัฒนา และปรับปรุงให้การปฏิบัติงานมีคุณภาพและมีประสิทธิภาพมากขึ้นเป็นการยกระดับงานบริการด้านเทคโนโลยี จึงนำ ITIL (Information Technology Infrastructure Library) มาประยุกต์ใช้ปรับปรุงกระบวนการทำงานให้มีประสิทธิภาพ ช่วยให้การประสานงานระหว่างหน่วยงานต่างๆเพื่อติดตามและแก้ไขปัญหาเป็นไปอย่างเป็นระบบและมีข้อมูลเพียงพอต่อการวิเคราะห์ผลลัพธ์ของกระบวนการ จึงมีการกำหนดกฎเกณฑ์ทีใช้วัดระดับการใช้บริการที่ชัดเจน เพื่อการตอบสนองความต้องการของผู้ใช้บริการด้วยบริการที่มีคุณภาพภายใต้ข้อตกลงรวมกัน
โดยได้นำเสนอทฤษฏี แนวความคิดที่เกี่ยวข้องในรายละเอียด ดังนี้
IT Service Management
“IT Service Management” (ITSM) ซึ่งเป็น “กระบวนการบริหารจัดการงานบริการเทคโนโลยีสารสนเทศ” ปรัชญาของหลักการ IT Service Management ก็คือ การใช้เทคโนโลยีสารสนเทศเพื่อสนับสนุนความต้องการและเป้าหมายทางธุรกิจขององค์กร (Business Requirements & Objectives) เรียกได้ว่า IT ต้อง การสนับสนุนทางธุรกิจซึ่งองค์กรส่วนใหญ่ในปัจจุบันนั้นให้ความสำคัญแก่ “Business Requirement” เป็นลำดับแรก โดยใช้หลัก “Business Leads IT” เทคโนโลยีสารสนเทศถูกนำมาใช้เพื่อเป็นกลไกในการขับเคลื่อนทางธุรกิจธุรกรรมต่างๆขององค์กร ดังนั้น การนำเทคโนโลยีสารสนเทศมาใช้ในการให้บริการโดยอ้างอิงจากกระบวนการบริหารจัดการงานบริการเทคโนโลยีสารสนเทศ “IT Service Management” หรือ“ITSM” โดยจะเน้นเรื่องการบริหารจัดการทางด้านเทคโนโลยีสารสนเทศให้ตอบสนองต่อความต้องการของธุรกิจ และให้ความสำคัญกับความพึงพอใจของผู้ใช้ระบบสารสนเทศ (Users) หรือลูกค้า (Customers) เป็นหลัก การนำเทคโนโลยีสารสนเทศมาใช้ในอดีตมักจะเน้นเรื่องทางด้านเทคนิค หรือ “Technology” เป็นจุดสำคัญและมุ่งไปที่การให้บริการภายในองค์กรเท่านั้น แต่ในปัจจุบันองค์กรสมัยใหม่นิยมนำเทคโนโลยีสารสนเทศมาใช้ในการให้บริการลูกค้าให้เกิดความพึงพอใจสูงสุด (Customer Satisfaction) โดยเน้นไปที่ “คุณภาพในการให้บริการ” หรือ “Quality of Service” เช่น เรื่อง Service Level Agreement (SLA) ในสัญญาการให้บริการเทคโนโลยีสารสนเทศ เป็นต้น
โดย “ITSM” เป็นหลักการที่เน้นเรื่องของ “กระบวนการ” หรือ “Process-focused” ซึ่งมุ่งเน้นในการพัฒนากระบวนการให้มีประสิทธิภาพมากยิ่งขึ้น โดยสามารถใช้ร่วมกับหลักการ“Best Practice” (วิธีการที่ดีที่สุด) อื่นๆ ยกตัวอย่างเช่น การนำหลักการ TQM, Six Sigma, CMMI หรือ Business Process Improvement (BPM) มาใช้ร่วมกับ ITSM เป็นต้น โดยแนวความคิด ITSM ไม่เน้นเรื่อง “Technology” หรือ“Product” แต่อย่างใด แต่จะเน้นเรื่องกระบวนการในการให้บริการแก่ users และcustomers เป็นหลัก และ ITSM ยังสนับสนุนหลักการ “IT Governance” หรือ“GRC” (Governance, Risk Management and Compliance) อีกด้วย
ในปัจจุบันหลักการ “IT Service Management” หรือ “ITSM” นั้น มีหลากหลาย Framework ให้องค์กรเลือกนำมาใช้ ได้แก่ ITIL Framework ของ OGC (Office of Government Commerce), CobiT และ Val IT Framework ของ ISACA, ITUP ของ IBM, ASL ของNetherlands และMOF ของ Microsoft เป็นต้น
ความหมายของ ITIL (Information Technology Infrastructure Library)
(เข้าถึงได้จาก:http://www.acisonline.net/article_prinya_eEnterprise-oct_08.htm, สืบค้นเมื่อวันที่ 18 ธันวาคม 2554)
ITIL (Information Technology Infrastructure Library) ถูกพัฒนาโดย Office for Government Commerce (OGC) ของประเทศอังกฤษ ซึ่งเป็น Open Knowledge ที่มีการรวบรมเป็นเอกสารที่อธิบายถึงแนวทางที่ดีสุด (Best Practice) ในด้านการบริหารจัดการโครงสร้างของหน่วยงานด้านไอที (IT Infrastructure)โดยในเอกสารดังกล่าวจะเป็นการการรวบรวมแนวทางปฏิบัติจากหน่วยงานทางด้านไอทีต่างๆทั่วโลก เพื่อนำมากำหนดเป็น Best Practice ซึ่งจะกำหนดให้ไอทีเป็นบริการที่ต้องตอบสนองต่อความต้องการของธุรกิจ ผู้ใช้ รวมถึงลูกค้า โดยคำว่า Best Practice มุ่งเน้นที่กระบวนการจัดการการให้บริการทางด้านไอที ซึ่ง ITIL จะถูกใช้เป็นแนวทางในการจัดการด้าน IT Infrastructure ที่ให้แต่แนวทางแต่ไม่ได้กล่าวถึงวิธีการดำเนินการโดยทั่วไปจะถือว่า ITIL เป็น Best Practice ที่เป็นที่ยอมรับในระดับสากลและมีการใช้อย่างแพร่หลายจนทำให้กลายเป็นมาตรฐานที่ยอมรับกันโดยปริยาย (de facto standard) จากการศึกษาของ Gartner พบว่าการมี IT Serviceที่ดีสามารถลด Cost ได้ 48 % ปัจจุบันมีผู้ที่ได้รับ Certificate ของ ITIL กว่า 100,000 คนทั่วโลกทั้ง ในยุโรป ออสเตรเลีย แคนาดา
ประวัติของ ITIL
ITIL ได้เริ่มเกิดขึ้นช่วงปลายทศวรรษ 1980 โดยรัฐบาลประเทศอังกฤษตระหนักว่าคุณภาพของการให้บริการด้าน IT นั้นไม่เพียงพอ จึงได้มีการมอบหมายให้ CCTA (The CentralComputer and Telecommunication Agency) ซึ่งได้กลายเป็น OGC (Office of Government Commerce) เมื่อปี 2000 ทำการพัฒนากรอบความรู้ขึ้นสำหรับการบริหารทรัพยากรด้าน IT ที่มีประสิทธิภาพให้แก่ภาครัฐและเอกชน โดยตอนเริ่มต้นนั้น ยังไม่ได้ใช้ชื่อ ITILแต่ใช้ชื่อว่า GITIMM (Government Information Technology Infrastructure Management Method) ซึ่งต่อมาได้มีการชี้ประเด็นกันว่า ไม่น่าจะเรียกว่า วิธีการ (Method) น่าจะเรียกว่า เป็นคู่มือช่วย (Guidance) มากกว่าและก็ได้มีการจัดตั้งคณะผู้ใช้ซึ่งแต่เดิมเรียกว่า IT Infrastructure Management Forum ซึ่งต่อมาได้กลายเป็น itSMF หรือ IT Service Management Forum เมื่อประมาณปี ‘94-95’ผลงานเรื่องแรกที่ออกมาคือผลงานเรื่อง Service Level Management ในปี1989 และผลงานเรื่องสุดท้าย คือ เรื่อง Availability Managementซึ่งออกมาเมื่อปี 1994 จากนั้นก็ได้มีการรวบรวมผลงานทั้งหมดเข้าด้วยกัน โดยแบ่งออกเป็น 2 เล่มหลัก คือ หนังสือปกน้ำเงิน กับหนังสือปกแดง หนังสือปกน้ำเงิน(blue book) นั้นเป็นเรื่องเกี่ยวกับ Service Supportและ หนังสือปกแดง(red book) นั้น เป็นเรื่องเกี่ยวกับ Service Delivery หนังสือสองเล่มนี้ถือเป็นสองเล่มหลักของ ITIL framework ที่มีปัจจัยต่อการปรับปรุงกระบวนการในการให้บริการทางด้าน IT
ประโยชน์ของ ITIL
ประโยชน์ของ ITIL นั้น จากการศึกษาพบว่ากรณีที่มีการนำ ITIL มาประยุกต์ใช้ในการบริหารจัดการงานบริการด้านเทคโนโลยีสารสนเทศนั้น จะก่อให้เกิดประโยชน์หลายประการ เน้นการประหยัดค่าใช้จ่ายในการบริการจัดการด้านเทคโนโลยีสารสนเทศ นอกจากนี้คุณประโยชน์หลักของITIL คือการทำให้เกิดการจัดระบบการทำงานของหน่วยงานเทคโนโลยีสารสนเทศรวมทัง�� การบริหารจัดการวิธีการดำเนินงานของหน่วยงานที่แตกต่างกันหลายระดับให้เป็นหนึ่งเดียว ช่วยให้เกิดความคล่องตัว และสามารถแก้ปัญหาต่างๆ ที่เกิดขึ้นได้อย่างรวดเร็ว ซึ่ง ITIL จึงถูกใช้เป็นแนวทางในการปฏิบัติงานและพบอีกว่าสามารถทำงานได้เป็นอย่างดี
ประโยชน์ของการนา ITIL มาใช้งาน
- ช่วยลดต้นทุนค่าใช้จ่ายในการบริหารเทคโนโลยีสารสนเทศ
- ช่วยปรับปรุงระบบการให้บริการด้านเทคโนโลยีสารสนเทศด้วยกระบวนการ หรือระเบียบขั้นตอนการทำงานเชิงปฏิบัติ
- ช่วยให้หน่วยบริการเทคโนโลยีสารสนเทศได้รับความพึงพอใจจากลูกค้าผู้ใช้บริการมากขึ้นอันเนื่องมาจากประสิทธิภาพในการให้บริการที่เป็นระบบ และมีความเป็นมืออาชีพ มากยิ่งขึ้น
- ช่วยให้องค์กรในส่วนของหน่วยงานเทคโนโลยีสารสนเทศได้รับมาตรฐานสากล เป็นที่ยอมรับจากองค์กร หรือหน่วยงานจากนานาประเทศ
- ช่วยเพิ่มประสิทธิภาพ และทักษะการทำงานมากขึ้น
- ช่วยให้บริการขององค์กร มีความคล่องตัว และมีประสิทธิภาพมากยิ่งขึ้น จากคุณลักษณะพิเศษที่มีอยู่แล้วของ ITIL
ITIL เป็นระเบียบวิธีการที่ใช้เพื่อบริหารจัดการในด้านการให้บริการของหน่วยงานเทคโนโลยีสารสนเทศในองค์กรขนาดเล็กไปจนถึงขนาดใหญ่ พัฒนาขึ้นโดย OGC (Office ofGovernment Commerce) ซึ่งเป็นสานักงานหรือองค์กรของรัฐบาลแห่งสหราชอาณาจักรITIL ได้รับการสนับสนุนโดยการตีพิมพ์ การพิสูจน์คุณภาพ ตลอดจนการได้รับการยอมรับจากหน่วยงานระหว่างประเทศต่างๆ ITIL ถูกออกแบบมาเพื่อช่วยให้องค์กรสามารถพัฒนาแผนงานหรือแผนแม่บทในการจัดบริหารจัดการเกี่ยวกับการให้บริการของ IT
ตัวอย่างขององค์กรที่ได้ประโยชน์จาก ITIL 1 ได้แก่
- Procter & Gamble P&G นำ ITIL เข้ามาใช้งานในองค์กรตั้งแต่ปี 1999 หลังจากผ่านไป 4 ปี P&G รายงานว่าสามารถประหยัดต้นทุนไปได้ถึง 500 ล้านเหรียญสหรัฐ ซึง�� คิดเป็นต้นทุนด้านการปฏิบัติงาน (operation cost) ที่ลดลงประมาณ 6-8% และบุคคลากรทางด้าน IT ลดลงประมาณ 15-20%
- Caterpillar บริษัท Caterpillar นำ ITIL มาใช้ในองค์กรเมื่อ ปี 2000 เพื่อจัดการปัญหาที่เกิดขึ้น (incident management) และได้พบว่าสามารถเพิ่มอัตราการตอบสนองต่อผู้ใช้บริการตามเกณฑ์ที่ตั้งไว้ จาก 60-70% เป็น 90%
- Ontario Justice Enterprise บริษัทนายหน้าที่ทำหน้าที่ดูแลระบบของรัฐบาลแคนาดา นำ ITIL มาใช้ในองค์กรในปี 1999 โดยการทำ virtual service desk ทำให้ลดค่าใช้จ่ายด้านการ supportลงได้ถึง 40%
ITIL Version 3
ปัจจุบัน ITIL ได้สร้างประโยชน์ตามวัตถุประสงค์ คือ การมอบแนวทางต้นแบบสำหรับการพัฒนา ITSM ที่มีประสิทธิภาพและประสบความสำเร็จ โดย ITIL จะให้หลักประกันในการรักษาระดับการให้บริการตามข้อตกลง (Service-level agreements, SLAs) ขององค์กร เพื่อให้กระบวนการที่ประกันถึงความสอดคล้องระหว่างไอทีและธุรกิจอย่างต่อเนื่อง เพื่อเพิ่มมูลค่าแก่ธุรกิจ ลดค่าใช้จ่าย เพิ่มผลตอบแทนจาการลงทุน (ROI) แต่อย่างไรก็ตาม เมื่อองค์กรและปัจจัยทางธุรกิจเปลี่ยนแปลงไป แม้แต่เครื่องมือสำหรับบริหารจัดการขึ้นที่ดีที่สุดก็ยังต้องมีการแก้ไขปรับปรุงอยู่ตลอดเวลา ส่วนของITIL ก็ต้องปรับปรุงเช่นเดียวกัน โดยในเวอร์ชัน 3 ของ ITIL หรือที่รู้จักในชื่อ "ITIL Refresh" ได้ปรับปรุงการออกแบบเพื่อองค์กรนำไปใช้ได้เร็วและง่ายกว่าเดิมเพิ่มการปรับเปลี่ยนที่ดีกว่า และปรับปรุงเพื่อมุ่งกระบวนการบริหารงานบริการ ให้เกิดความเป็นเลิศในด้านการดำเนินงาน คุณสมบัติที่เพิ่มใน ITIL V3 ซึ่งจะส่งผลต่อการดำเนินงานของ ITSMเดิมที่มีอยู่ในองค์กร ได้แก่ การปรับปรุงในด้านของวงจรชีวิตของการบริการ มูลค่าทางธุรกิจความสอดคล้อง การเชื่อมโยงเข้ากับต้นแบบและมาตรฐานอื่น แนวทางสำหรับธุรกิจเฉพาะด้านกลยุทธ์การให้บริการ และการบริหารจัดการความรู้ของงานบริการ บริษัท HP ในฐานะที่เป็นผู้ให้การสนับสนุนการพัฒนา ITIL ได้มอบสิ่งสำคัญให้แก่ ITIL V3 นั้นคือ มาตรฐานคำศัพท์ใหม่ของ ITIL(ITIL Glossary) แผนที่กระบวนการ ITIL แบบรวมยอด (Integrated ITIL Process Map) และยังช่วยทำหน้าที่เผยแพร่ข้อมูลหลักในเรื่องการดำเนินงานบริการ (Service Operations) อีกประการหนึ่งด้วย
ในเดือนธันวาคม ปี 2005 ทาง OGC (Office of Government Commerce) ได้เผยแพร่ ITIL ให้มีที่ได้พัฒนาต่อยอดมาจาก ITIL v.2 ซึ่งเป็น Versionก่อนหน้านี้เรียกว่า ITIL v.3 มีชื่อเรียกเต็มว่า Information Technology Infrastructure version 3 ภายใต้ Version 3 นี้ได้กำหนดมาตรฐานหลักออกเป็น 5 มาตรฐาน ข้อแตกต่างระหว่าง version 2 กับ version 3 ได้แก่ การเปลี่ยนแปลงโครงสร้างการทำงานที่แต่เดิม เน้นวงจรชีวิตของกระบวนการและปรับแต่งให้ ITสามารถเข้ากันได้กับธุรกิจ ไปเป็นการบริหารจัดการวงจรชีวิตของกระบวนการบริการ ที่หน่วยงานที่ให้บริการด้านเทคโนโลยีสารสนเทศสามารถให้กับหน่วยธุรกิจ หรือมีการบริหารการให้บริการเชิงปฏิบัติที่มีประสิทธิภาพมากยิ่งขึ้น โดยเน้นคำว่า“Best Practice” หรือวิธีการทำงานเชิงปฏิบัติที่ดีที่สุด
โครงสร้างของ ITIL version 3
กระบวนการภายใน IT Service Management ให้มั่นใจว่าบริการที่เน้นความสะดวกและต้นทุน IT Services มีการกำหนดอย่างชัดเจนสามารถวัดความสำเร็จกับการไปถึงให้บริการและมาตรการปรับปรุงการกำหนดเป้าหมายสามารถนำความจำเป็นที่ ITIL Version 3 (ITIL V3) ซึ่งมีหัวข้อหลักดังต่อไปนี้
Service Strategy (Core of ITIL V3) เป็นกลยุทธ์ในด้านบริการเป็นการกำหนดแนวทางโดยให้หลักไว้ว่า Service Management จะเป็นพื้นฐานในการกำหนดและบริหารนโยบายแนวทางปฏิบัติ และกระบวนการในการบริหารการบริการอย่างครบวงจร ในการพัฒนาระบบการให้บริการแก่ตลาดธุรกิจเพื่อให้สอดคล้องต่อความต้องการของผู้ใช้บริการ IT ในองค์การ และลูกค้าที่เข้ารับบริการจะประสงค์เพื่อให้เกิดผลลัพธ์ของวิธีการบริการที่ดีที่สุด รวมทั้ง การออกแบบวิธีการนำเอาระบบที่ให้บริการที่มีประสิทธิภาพไปใช้ ตลอดจนการดูแลรักษาและการปรับปรุง แก้ไขกระบวนการบริการที่ต่อเนื่อง กุญแจหลักของ Service Strategy ได้แก่ Service Portfolio Management และ Financial Management โดยใน Service Strategy จะแบ่งออกเป็น
- Financial Management การจัดการบริหารการเงินกับการให้บริการด้าน ITเพื่อรองรับการจัดการมูลค่าได้อย่างมีประสิทธิภาพ เช่น ทรัพย์สินด้าน IT และทรัพยากรที่ถูกใช้ในการให้บริการ เพื่อสร้างความมั่นใจให้ลูกค้า และ รองรับข้อมูลอย่างแม่นยำเพื่อนำไปสู่การลงทุน
- Strategy Generation เพื่อให้ฝ่ายบริการทราบเหตุผลในโครงการต่างๆ ที่จำเป็นต่อการบริการงานด้าน IT มีการสำรวจยุทธศาสตร์ การกำหนดวัตถุประสงค์วิเคราะห์คู่แข่ง เป็นต้น
- Service Portfolio Management เป็นการดูแลการลงทุน ในการจัดการบริการที่มีรูปแบบไดนามิกที่มีการข้ามโครงสร้างภายในองค์กรและการจัดการมูลค่า จะทำให้เกิดประโยชน์
- Demand Management เพื่อให้ผู้รับผิดชอบบริการด้าน IT ใช้ทรัพยากรที่มีอยู่ให้ได้อย่างมีประสิทธิภาพมากที่สุด
Service Design เน้นการออกแบบกิจกรรมที่จะเกิดขึ้น ในการะบวนการให้บริการรวมทั้ง การพัฒนากลยุทธ์และวิธีการบริหารจัดการระบบบริการ โดยมีกุญแจหลักอยู่ที่ AvailabilityManagement หรือความพร้อมที่จะให้บริการ Capacity Management หรือ ขีดความสามารถในการให้บริการอย่างรวดเร็วและมีประสิทธิภาพ รวมทั้ง Continuity Management หรือความสามารถในการให้บริการที่ต่อเนื่อง และ Security Management หรือการบริหารระบบรักษาความปลอดภัย โดย Service Design จะแบ่งออกเป็น
- Service Catalogue Management คือ คำอธิบายหน้าที่บริการต่อธุรกิจ เพื่อให้บริการ Catalogue การผลิตและการเก็บมีข้อมูลที่ถูกต้องในการปฏิบัติงานด้านบริการ และผู้มีการเตรียมการเพื่อใช้ให้สามารถใช้งาน Service CatalogueManagement ได้และเป็นการให้ข้อมูลสำคัญสำหรับทุกบริการอื่นๆ รวมถึงการจัดการกระบวนการรายละเอียด Service สถานะปัจจุบันและจุดที่ให้บริการในด้านต่างๆ
- Information Security Management เพื่อให้งานบริการมีความมั่นคงและปลอดภัยตามหลัก CIA โดยมีการจัดทำนโยบาย มาตรฐานและขั้นตอนการปฏิบัติเพื่อทราบถึงความเสี่ยงในปัจจุบัน ลดช่องโหว่จากภัยคุกคามต่างๆ
- Service Level Management เพื่อการเจรจาข้อตกลงระดับการบริการกับลูกค้าและการบริการออกแบบตามออกแบบตามเป้าหมายที่ตกลงกัน โดยในการให้บริการจะแบ่งระดับการให้บริการออกเป็น Service Level Management ยังรับผิดชอบในการตรวจสอบให้แน่ใจว่าปฏิบัติระดับข้อตกลงและการหนุนสัญญาที่เหมาะสมกับการตรวจสอบและรายงานระดับบริการ มีความชัดเจนสามารถวัดผลการดำเนินงานด้านสารสนเทศจากระดับการให้บริการ
- Availability Management เพื่อกำหนดการวิเคราะห์แบบแผนวัดและปรับปรุงในทุกด้านให้พร้อมทั้งการบริการด้าน IT ให้มีการจัดการรับผิดชอบ เพื่อให้มั่นใจว่าโครงสร้างพื้นฐานไอทีทั้งหมดกระบวนการเครื่องมือ ฯลฯ ให้เหมาะสมสำหรับการตกลง ซึ่งเป้าหมายหลักก็เพื่อการเตรียมความพร้อมในทุกด้านของ IT และทำให้ทราบถึงการออกแบบโครงสร้างเพื่อรองรับความพร้อม ความเชื่อถือ ความถูกต้อง และ ความปลอดภัย
- Capacity Management เพื่อให้มั่นใจว่าผู้ให้บริการดำเนินการได้ตามที่ต้องการ เช่น เวลา ความสามารถของระบบ โดยรองรับการทำงานได้ในปัจจุบันและอนาคตตามข้อตกลงที่ลูกค้าต้องการ
- IT Service Continuity Management เพื่อรองรับการจัดการแผนธุรกิจต่อเนื่องโดยรวม และมั่นใจได้ว่าโครงสร้างพื้นฐาน และ บริการสามารถครอบคลุมความต้องการและตอบรับกับข้อตกลงของเวลาในการดำเนินการของธุรกิจ ทำให้ธุรกิจที่ใช้ระบบสารสนเทศสามารถดำเนินการได้อย่างต่อเนื่องจากภัยพิบัติ และเหตุการณ์ผิดปกติ ลดความเสียหายของธุรกิจ มีแผนรับมือความเสียงที่จะเกิดและ สร้างความพร้อมของทีมงานเมื่อเกิดภัยพิบัติขึ้น
- Supplier Management เพื่อให้มั่นใจว่าทุกสัญญาที่ทำกับ Supplier จะสนับสนุนความต้องการของธุรกิจและ Supplier ทั้งหมดจะต้องทำตามสัญญาข้อผูกพันของบริษัท ให้ได้รับบริการที่มีคุณภาพจากผู้ให้บริการที่มีความพร้อม และเหมาะสมกับความต้องการขององค์กร เพื่อประสิทธิภาพการติดต่อกับผู้ให้บริการ เพิ่มประสิทธิภาพของระบบงานเนื่องจากได้ผู้ให้บริการที่มีความเหมาะสม
Service Transition เน้นที่การดำเนินการเพื่อให้ได้ผลลัพธ์ของการบริการที่ดีที่สุดเป็นบริการที่ส่งมอบเพื่อนำไปใช้ในระบบปฏิบัติงาน การรับข้อมูลจาก Service Design การส่งมอบสถานะการดำเนินงานในทุกรายการเพื่อให้ระบบปฏิบัติการทำงานได้อย่างต่อเนื่อง โดยมีกุญแจหลักของ Service Transition คือ Change Management Configuration Management Release Management และ Service Knowledge Management โดยใน Service Transition จะแบ่งออกเป็น
- Transition Planning and support เพื่อการวางแผนและประสานงานทรัพยากรรวมถึงการปรับใช้หลัก Release เข้ามาภายใต้ต้นทุนที่คาดการณ์ไว้ที่เวลาและการประเมินคุณภาพไว้แล้ว ได้แผนงานที่มีประสิทธิภาพก่อนที่จะดำเนินการ
- Service Asset and Configuration Management เพื่อกำหนดและความคุมส่วนประกอบของบริการและโครงสร้างพื้นฐาน มีการบำรุงรักษา และจัดทำเวอร์ชั่นในการกำหนดการติดตั้ง
- Change Management เพื่อมั่นใจว่าวิธีการมาตรฐาน และขั้นตอนปฏิบัติได้ถูกใช้อย่างมีประสิทธิภาพ และพร้อมการรับมือกับการเปลี่ยนแปลงโดยต้องได้รับผลกระทบต่อคุณภาพน้อยที่สุด
- Release and Deployment Management เพื่อวางแผนตารางเวลาและการควบคุมการเคลื่อนไหวของ Version ที่จะทดสอบและ Environment ที่จะใช้ ซึ่งเป้าหมายหลักของการจัดการประชาสัมพันธ์เพื่อให้ความสมบูรณ์ของสิ่งแวดล้อมอยู่ที่การป้องกันและส่วนประกอบที่มีความถูกต้อง เมื่อได้มีการเปิดตัวใช้งานระบบ ซึ่ง ภายใต้Release and Deployment Management
- Service Validation and Testing Evaluation เพื่อให้แน่ใจว่าการติดตั้ง และบริการมีผลตามความคาดหวังของลูกค้าและยืนยันว่าการดำเนินงาน IT สามารถรองรับบริการใหม่ที่เกิดขึ้นมาได้
- Knowledge Management เพื่อรวบรวมวิเคราะห์จัดเก็บและแบ่งปันความรู้และข้อมูลภายในองค์กร หรือเป็นการจัดการความรู้เพื่อปรับปรุงประสิทธิภาพโดยการลดความจำเป็นในการที่จะต้องทำการค้นหาความรู้อีกครั้ง ซึ่งให้เป็นศูนย์รวมความรู้ทั้งหมดให้ทุกคนในองค์กรเข้ามาหาความรู้กัน ซึ่งจะเป็นประโยชน์ในการตอบปัญหาของ Service ที่ได้เปิดให้บริการอีกทางด้วย
Service Operation เน้นไปทางด้านกิจกรรมที่จำเป็นต่อการปฏิบัติงานเพื่อให้บรรลุผลสำเร็จในการดูแลรักษาหน้าที่การทำงานหรือบริการ ที่เป็นไปตามข้อตกลง ว่า ด้วย พันธะ สัญญาบริการ (Service Level Agreement) ที่มีต่อลูกค้า กุญแจหลัก Service Operation คือ Incident Management, Problem Management และRequest Fulfillment และ Event Management โดยใน Service Operation จะแบ่งออกเป็น
- Event Management เพื่อตรวจสอบเหตุการณ์ โดยดูความเหมาะสมของเหตุการณ์และพิจารณากิจกรรมควบคุม ที่เหมาะสมเพื่อดำเนินการ EventManagement และเพื่อใช้ในการกรองการจัดกลุ่มงานและการตัดสินใจในการดำเนินการที่เหมาะสม Event Management เป็นหนึ่งในกิจกรรมหลักของ Service Operations
- Request Fulfillment เพื่อในการปฏิบัติงานด้านการให้บริการคำร้องซึ่งในกรณีส่วนใหญ่เป็นรายย่อย (มาตรฐาน) การเปลี่ยนแปลง (เช่น ขอเปลี่ยนรหัสผ่าน) หรือขอข้อมูลต่าง ๆ
- Access Management เพื่อให้ผู้ใช้อำนาจสิทธิในการใช้บริการขณะที่การป้องกันการเข้าถึงที่ไม่อนุญาตให้ผู้ใช้เข้าจัดการกระบวนการอย่างเป็นธรรมชาติใช้นโยบายที่กำหนดในIT Security Management เข้า Management เป็นบางครั้ง เรียกว่า ยังRights Management หรือ Identity Management
- Service Desk เป็น “ศูนย์กลางในการติดต่อ” Single Point Of Contact (SPOC) ในการรับแจ้งปัญหา (Incident) ที่เกิดขึ้นจากผู้ใช้บริการ ITโดยแจ้งผ่านทางโทรศัพท์ เว็บ อีเมล์ และ เป็นศูนย์กลางในการติดต่อสื่อสารและประสานงานระหว่างผู้ใช้งาน IT กับ IT Groups และทีม งาน Support เพื่อทำการแก้ไขปัญหาต่างๆ ที่เกิดขึ้น ให้สามารถใช้งานได้เป็นปกติโดยเร็วที่สุดเท่าที่จะเป็นไปได้
- Incident Management เป็นกระบวนการเกี่ยวกับการจัดการ Incidentทั้งหมด ตั้งแต่การรับปัญหา Incident ข้อผิดพลาดของระบบงานบริการ IT ต่างๆ ที่เกิดขึ้นการตอบคำถาม หรือข้อซักถามต่าง ๆ จากผู้ใช้งาน การแก้ไขปัญหา การส่งต่อการติดตามความคืบหน้า ของปัญหา Incident ที่เกิดขึ้นเพื่อกู้คืน Service ให้กลับคืนสู่สภาวะปกติให้เร็วที่สุดเท่าที่จะทำได้และลดผลกระทบที่ส่งผลต่อการดำเนินทางธุรกิจให้น้อยที่สุด และต้องอยู่ภายในระดับการให้บริการที่ตกลงไว้ (SLA)
- Problem Management เพื่อในการจัดการวงจรของปัญหาทั้งหมด และถึงการจัดการปัญหาในแง่ป้องกันเหตุการณ์ที่เกิดขึ้น และเพื่อการลดผลกระทบของเหตุการณ์ที่ไม่สามารถทำให้เชิงรุกวิเคราะห์ปัญหาการจัดการบันทึกเหตุการณ์และใช้ข้อมูลที่เก็บรวบรวมโดยอื่นๆ IT Service Management กระบวนการเพื่อระบุแนวโน้มหรือปัญหาสำคัญต่าง ๆ
Continual Service Improvement เน้นที่ขีดความสามารถที่ทำให้เกิดขีดความสามารถในการปรับปรุงการให้บริการที่มีคุณภาพอยู่แล้ว ให้มีความต่อเนื่อง กุญแจหลักอยู่ที่Service Reporting Service Measurement และ Service Level Management
ITIL V3 เป็นการนำ Service Support และ Service Delivery มารวมกัน โดย ITIL V3 จะพัฒนาเป็น Service Lifecycle โดยมีหลักการแนวคิด ITIL V3 มีการออกแบบใหม่ให้ใกล้เคียงกับมาตรฐาน ISO/IEC 20000 และยังเน้นในเรื่องการ Alignmentระหว่าง IT กับ Business ITIL V3 จะมองในเรื่องการสร้าง Business Value มากว่าProcess Execution จะเห็นได้ว่า ITIL V3 นั้นจะเป็น Best Practice ทีSupport Business อย่างเต็มรูปแบบ
Token Bus and Token Ring(IEEE 802.4, IEEE 802.5)
Token Bus and Token Ring(IEEE 802.4, IEEE 802.5)
หลักการพื้นฐานและความเป็นมาของ IEEE 802.4, IEEE 802.5
การทำงานและหน้าที่ของ MAC ในรูปแบบ Token passing
หลักการพื้นฐานและความเป็นมา
แม้ว่าระบบ 802.3 จะได้รับความนิยมในการใช้ระดับสำนักงานเป็นอย่างมาก แต่การใช้งานที่เป็นเครือข่ายขนาดใหญ่จะประสบปัญหาในเรื่องระยะเวลาการรอคอยเมื่อเกิดสัญญาณซ้อน ในบางโอกาสบางสถานีต้องรอส่งสัญญาณเป็นเวลานานมาก (ตามทฤษฎีแล้วระยะเวลารอคอยจะไม่มีขอบเขตแต่อย่างใด) อีกปัญหาหนึ่งคือระบบ 802.3 ไม่มีการกำหนดลำดับความสำคัญของเฟรม ทำให้ไม่สามารถนำไปใช้ในระบบเรียลไทม์ ( real-time system) เฟรมที่มีความสำคัญมากควรจะได้รับบริการก่อนเฟรมที่มีความสำคัญน้อยกว่า
802.4 เป็นระบบเครือข่ายที่ เปิดโอกาสให้สถานีต่างๆ ผลัดเปลี่ยนหมุนเวียนกันส่งเฟรมข้อมูลของตนเองโดยสามารถคำนวณระยะเวลาการรอคอยสูงสุดได้ล่วงหน้า ถ้าสมมุติให้มีสถานีจำนวน n แห่งอยู่ในระบบ แต่ละสถานีใช้เวลาในการส่งเฟรมข้อมูลครั้งละ T วินาที เวลาสูงสุดที่แต่ละสถานีจะต้องรอคอย คือ nxT วินาที ผู้ที่อยู่ในวงการคอมพิวเตอร์สำหรับโรงงานจึงชอบแนวความคิดของระบบเครื่อข่ายแบบวงแหวน แต่ก็ไม่ชอบลักษณะการเชื่อมต่อทางกายภาพเพราะการเสียหายของเคเบิลที่จุดใดก็ตามจะทำให้ระบบทั้งระบบใช้การไม่ได้ ยิ่งกว่านั้นการเดินสายเคเบิลแบบวงแหวนก็ไม่เหมาะกับลักษณะสายการผลิตภายในโรงงาน ผลที่ได้รับคือ การพัฒนามาตรฐานใหม่เรียกว่า 802.4 ที่นำจุดเด่นของระบบ 802.3 มารวมเข้ากับความสามารถในการคำนวณระยะเวลาการรอคอยสูงสุดได้ล่วงหน้าของระบบวงแหวน
802.5 เป็นระบบเครือข่ายวงแหวนได้รับการพัฒนาขึ้นมาใช้งานทั้งในระบบเครือข่ายเฉพาะบริเวณและระบบเครือข่ายวงกว้าง โครงสร้างแบบวงแหวนนั้นที่จริงก็คือการเชื่อมต่อแบบจุด-ต่อ-จุด เรียงลำดับเป็นรูปวงกลมพอดี สายสื่อสารอาจเป็นแบบธรรมดา เช่น สายคู่ตีเกลียว สายโคแอกซ์ หรือสายใยแก้วก็ได้ สัญญาณที่ใช้ในระบบนี้อาจเป็นแบบดิจิตอลหรือแบบอนาล็อกก็ได้ ยิ่งไปกว่านั้นระบบวงแหวนยังสามารถคำนวณระยะเวลารอคอยที่ค่อนข้างคงที่ได้ ด้วยเหตุผลเหล่านี้ บริษัท IBM จึงเลือกระบบเครือข่ายวงแหวนเป็นระบบเครือข่ายเฉพาะบริเวณของตนเอง ส่วน IEEE ก็ได้ออกมาตรฐานรองรับโดยกำหนดรหัสหมายเลขเป็น 802.5 ข้อพิจารณาหลักของระบบเครือข่ายวงแหวนคือการกำหนดระยะเวลาหรือความยาวของการส่งสัญญาณแต่ละบิต
การทำงานและหน้าที่ของ MAC ในรูปแบบ Token passing
ส่วนประกอบของเฟรมข้อมูลของ IEEE 802.4
Preamble มีความยาว 1 ไบต์ แต่ละไบต์จะมีข้อมูลเหมือนกันหมด มีวัตถุประสงค์เพื่อให้ผู้รับได้มีโอกาสรู้และเทียบสัญญาณนาฬิกาของตนเองกับผู้ส่งให้ตรงกัน
Start delimiter & End delimiter มีความยาว 1 ไบต์ สำหรับบอกเครื่องรับ ระบุจุดเริ่มต้นและสิ้นสุดของเฟรม ดังนั้นจึงไม่มี Frame length บอกความยาวของ Data
การทำงานและหน้าที่ของ MAC ในรูปแบบ Token passing
Frame control (ฟิลด์ควบคุมเฟรม)ใช้แยกระหว่างเฟรมข้อมูลและเฟรมควบคุมการส่งข้อมูล เช่น ในกรณีของการส่งโทเคนไปยังสถานีที่มีแอดเดรสรองลงไปนั้นค่าของไบต์นี้จะมีค่า 00001000 เป็นต้น
Source address and Destination address คือ ที่อยู่ของผู้ส่ง และที่อยู่ของผู้รับ มีขนาดอย่างละ 6 ไบต์ IEEE เป็นผู้รับผิดชอบในการกำหนดที่อยู่สากล (global address) ซึ่งมีขอบเขตการใช้งานได้ทั่วโลก
Data มีความยาว 0-8182 ไบต์ คือข้อมูลที่รับจากชั้น LLC
Checksum มีขนาด 4 ไบต์ มีไว้สำหรับการตรวจสอบความถูกต้องของข้อมูลที่รับได้ ถ้าเกิดการผิดพลาดขึ้นในระหว่างการนำส่งข้อมูลในส่วนนี้จะช่วยให้ตรวจพบความผิดพลาดนี้ได้ เช่น CRC (Cyclic redundancy)
การทำงานและหน้าที่ของ MAC ในรูปแบบ Token passing
Access control ประกอบด้วย 4 ส่วนคือ
Priority กำหนดความสำคัญของเฟรม หรือเลขความสำคัญของโหนดในวง
Token ระบุว่าเฟรมดังกล่าวเป็น Token หรือเฟรมข้อมูล
Monitor สำหรับกำหนดเวลาป้องกัน เฟรมหายไปจากวง
Reserve สำหรับจอง Token เมื่อใดที่ Token ว่างลง
Frame control ใช้ระบุประเภทของสิ่งที่อยู่ในส่วน Data ว่าเป็นคำสั่งควบคุมหรือข้อมูล
Source address and Destination address คือ อยู่ของผู้ส่ง และที่อยู่ของผู้รับ มีขนาดอย่างละ 6 ไบต์ IEEE เป็นผู้รับผิดชอบในการกำหนดที่อยู่สากล (global address) ซึ่งมีขอบเขตการใช้งานได้ทั่วโลก
Data มีความยาว 0-4500 ไบต์ คือข้อมูลที่รับจากชั้น LLC
Checksum มีขนาด 4 ไบต์ มีไว้สำหรับการตรวจสอบความถูกต้องของข้อมูลที่รับได้ ถ้าเกิดการผิดพลาดขึ้นในระหว่างการนำส่งข้อมูลในส่วนนี้จะช่วยให้ตรวจพบความผิดพลาดนี้ได้ เช่น CRC (Cyclic redundancy)
Frame status ใช้งาน 2 บิท (A, C) สำหรับควบคุมการส่งข้อมูล โดยที่เมื่อฝั่งรับได้รับข้อมูล มันจะกำหนดค่าของบิตภายในเพื่อบ่งบอกสภาวะของการรับเฟรมข้อมูล ซึ่งค่าของบิตนี้มีได้ 3 รูปแบบ คือ
§ค่า A = 0 และ C = 0 หมายความว่าปลายทางฝั่งรับไม่อยู่ในวงแหวน
§ค่า A= 1 และ C = 0 หมายความว่าฝั่งรับอยู่ในวงแหวนแต่ไม่รับเฟรมนั้น ซึ่งอาจเป็นเพราะว่ามันไม่มีบัฟเฟอร์ว่างที่จะรับข้อมูล
§ค่า A = 1 และ C = 1 หมายความว่าปลายทางรับข้อมูลแล้ว
Token Frame มีลักษณะของ เฟรมที่เป็น Token ประกอบด้วย3 ไบท์ เป็นเฟรมที่ส่งรอบวงเพื่อรอให้เครื่องใดๆ ในวงที่ต้องการส่งข้อมูลรับไป ส่วนประกอบคือ
Start delimiter
Access control
End delimiter
Abort Frame สำหรับผู้ส่งที่ต้องการยกเลิกเฟรมที่ส่งออกไปก่อนหน้านี้ ประกอบด้วย 2 ส่วนคือ
Start delimiter
End delimiter
หลักการเชื่อมต่อ Token Bus, Token Ring
Token Bus
โดยลักษณะทางกายภาพ โทเคนบัสมีการต่อเชื่อมแบบเป็นเส้นตรง สถานีต่างๆ เชื่อมต่อเข้าที่จุดใดๆ แต่ในทางตรรกะ สถานีจะถูกจัดกลุ่มในลักษณะวง แต่ละสถานีจะทราบหมายเลขที่อยู่ของสถานีที่อยู่ทางด้ายซ้ายและด้านขวา ของตนเองตลอดเวลา เมื่อเริ่มต้นการทำงานสถานีที่มีหมายเลขสูงสุดของวงนั้นๆ สามารถส่งเฟรมข้อมูลออกมาได้เป็นลำดับแรก หลังจากนั้นจะส่งเฟรม “โทเคน” ไปยังสถานีข้างเคียงของตนเอง
Token Ring
วงแหวนประกอบด้วยอุปกรณ์เชื่อมต่อวงแหวน (ring interface) ที่เชื่อมต่อถึงกันแบบจุด-ต่อ-จุด
MAU
อุปกรณ์กระจายสัญญาณสำหรับ Token Ring เรียกว่า Multistation Access Unit (MAU) ภายในประกอบด้วยส่วนสลับวงจรอัตโนมัติ เพื่อต่อแผงวงจรเครือข่ายของเครื่องเข้ากับเครือข่ายภายในอุปกรณ์
FDDI (Fiber Distributed Data Interface)
เป็นเครือข่ายคอมพิวเตอร์ที่อาศัยลักษณะการทำงานของ Token Ring กำหนดเป็นมาตรฐานโดย ANSI และ ITU มีความเร็วของการสื่อสาร 100 Mbps โดยใช้Fiber Optic เป็นสื่อ (มีรุ่นที่ใช้สายประเภทลวดโลหะ ใช้ชื่อ CDDI)
Layer ของ FDDI ประกอบด้วย 4 ส่วน คือ
เครือข่าย FDDI จะใช้สร้างเป็นวง จำนวน 2 วง เพื่อใช้แก้ปัญหาหากเกิดข้อผิดพลาดในวงเครือข่าย เช่นเครื่องใดๆ ในวงไม่ทำงาน วงของเครือข่ายประกอบด้วย
วงหลัก (Primary Ring) สำหรับสื่อสารข้อมูลปกติ
วงสำรอง (Backup Ring) สำหรับแก้ปัญหาเมื่อวงหลักเกิดขาด หรือใช้งานไม่ได้โดยการส่งข้อมูลในวงสำรองแบบทิศทางตรงข้ามกับวงหลัก
International Organization for Standardization : ISO
International Organization for Standardization : ISO
ระบบ IT ในปัจจุบัน สามารถ ตอบโจทย์การดำเนินธุรกิจได้ ในวงกว้าง แต่มีความ ซับซ้อนมากขึ้นกว่าเดิม หลายเท่าตัว
ดังนั้น การบริหารจัดการด้าน IT ในปัจจุบัน จะต้องตอบโจทย์อยู่ 2 ข้อ คือ Performance และ Conformance
ISO คือ องค์กรสากลว่าด้วยการมาตรฐาน (International Organization for Standardization: ISO) ซึ่งตั้งอยู่ที่กรุงเจนีวา ประเทศสวิตเซอร์แลนด์ ได้ก่อตั้งเป็นทางการเมื่อวันที่ 14 ตุลาคม 1947 (พ.ศ. 2490) ปัจจุบันมีสมาชิก 143 ประเทศ ซึ่งครั้งแรกนั้นมีผู้แทนจากประเทศต่างๆ 25 ประเทศร่วมประชุมกันที่กรุงลอนดอน มีมติตั้งองค์การระหว่างประเทศว่าด้วยการมาตรฐานขึ้น และสหประชาชาติได้ให้การยอมรับเป็นองค์การชำนาญพิเศษประเภทที่ไม่ใช่หน่วยงานของรัฐบาล
ISO เดิมใช้คำย่อว่า "IOS" โดยมีความหมายในภาษากรีก แปลว่า ความสับสน (ไม่เป็นมงคล) จึงเปลี่ยนมาเป็น ISO ซึ่งมาจากภาษากรีก คือ ISOS แปลว่า "เท่าเทียมกัน" และตรงกับเจตนารมณ์ขององค์การ ISO ที่ต้องการให้ทั่วโลกมีมาตรฐานที่มีความเท่าเทียมกัน (ทัดเทียมกัน)
วัตถุประสงค์ขององค์กร ISO ก็เพื่อส่งเสริมการกำหนดมาตรฐานระหว่างประเทศ และกิจกรรมที่เกี่ยวข้อง เพื่อการพัฒนาอุตสาหกรรมเศรษฐกิจ และขจัดข้อโต้แย้ง รวมถึงการกีดกัน ทางการค้าระหว่างประเทศ ตลอดจนการพัฒนาความร่วมมือระหว่างประเทศ ในด้านวิชาการวิทยาศาสตร์ และเทคโนโลยีกล่าวง่าย ๆ ได้ว่า บริษัท หรือองค์กรใดได้รับ ISO ก็หมายความว่า สินค้าหรือบริการขององค์กรนั้น เข้าขั้นมาตรฐาน เป็นที่ยอมรับในระดับสากล
ปัจจุบันองค์การระหว่างประเทศว่าด้วยมาตรฐาน หรือ ISO มี ประกอบด้วยสมาชิกจากประเทศต่าง ๆ ทั่วโลกปัจจุบัน 143 ประเทศ โดยมีภารกิจ หลักคือ
ให้การสนับสนุนและพัฒนามาตรฐาน และกิจกรรมที่เกี่ยวข้อง เพื่อสนองต่อการค้าขายแลกเปลี่ยนสินค้า และการบริการของนานาชาติทั่วโลก
พัฒนาความร่วมมือในด้านวิทยาศาสตร์เทคโนโลยี เศรษฐศาสตร์ และภูมิปัญญาของมวลมนุษยชาติ
ISO ประกอบด้วยสมาชิก 3 ประเภท คือ
1. Member Body เป็นสถาบันมาตรฐานแห่งชาติ ซึ่งหมายถึง เป็นตัวแทนทางด้านการมาตรฐานของประเทศนั้น ๆ มีสิทธิออกเสียงในเรื่องของวิชาการ มีสิทธิเข้ารับการเลือกตั้งเป็นคณะมนตรี ISO และสามารถเข้าร่วมประชุมสมัชชาใหญ่
2. Correspondent Member เป็นหน่วยงานของประเทศกำลังพัฒนา ซึ่งยังไม่มีสถาบันมาตรฐานเป็นของตัวเอง สมาชิกประเภทนี้จะไม่เข้าร่วมในเรื่องของวิชาการ แต่มีสิทธิจะได้รับข่าวสารความเคลื่อนไหวของ ISO และเข้าร่วมประชุมสมัชชาใหญ่ในฐานะผู้สังเกตการณ์
3. Subscribe Membership สมาชิกประเภทนี้ เปิดสำหรับกลุ่มประเทศที่มีเศรษฐกิจค่อนข้างเล็กให้สามารถติดต่อกับ ISO ได้
ISO/IEC 27001:2005 Information Security Management Systems (ISMS)
ระบบมาตรฐานด้านความปลอดภัยของข้อมูล
เป็นมาตรฐานที่มีวัตถุประสงค์เพื่อให้การดำเนินธุรกิจเป็นไปอย่างต่อเนื่อง ซึ่งข้อกำหนดต่างๆ ถูกกำหนดขึ้นโดยองค์กรสากล ISO(International Organization for Standardization ) และ IEC (International Electro technical Commission) การประยุกต์ใช้ ISO 27001 จะช่วยให้กิจกรรมทางธุรกิจสามารถดำเนินไปได้อย่างต่อเนื่อง ช่วยป้องกันระบบข้อมูลและสารสนเทศขององค์กรจากความเสี่ยงต่อภัยคุกคามต่างๆ สำหรับทุกประเภท Electro technologies ทั้ง ISO และ IEC ได้รับการสนับสนุน โดยองค์กรสมาชิกระดับชาติ
ที่มาของความสำคัญสำหรับ ISO 27001
หัวใจสำคัญของระบบบริหารความปลอดภัยสารสนเทศนั้นอยู่ที่ 3 ปัจจัยหลักโดยพื้นฐานดังต่อไปนี้
1. ข้อมูลส่วนตัว ข้อมูลสำคัญขององค์กร
การรักษาความปลอดภัยด้านข้อมูลไม่ให้ถูกขโมย ลักลอบนำไปใช้ ดัดแปลง หรือทำให้เกิดข้อผิดพลาดอื่นใด ซึ่งสำหรับหลายหน่วยงานอาจเป็นอันตรายระดับวิกฤติได้ ซึ่งข้อมูลนี้ไม่เพียงเฉพาะข้อมูลสำคัญขององค์กรแต่ยังรวมถึงข้อมูลส่วนตัว ของลูกค้าหรือบุคคลที่สามที่เกี่ยวข้องอื่นๆ ด้วย
2. การบริหารความเสี่ยงจากเหตุการณ์และปัจจัยต่างๆ
การบริหารความเสี่ยงจากเหตุการณ์และปัจจัยต่างๆ ซึ่งปัจจุบันมีการคำนึงถึงการตั้งไซต์สำรอง ในลักษณะของศูนย์สำรองข้อมูลและดำเนินการกู้คืนระบบภายหลังภัยพิบัติหรือ Disaster Recovery Center (DRC) ซึ่งมีความสำคัญมากในหลายธุรกิจ เช่น ธุรกิจการเงิน หรือบริการด้านสุขภาพ เพราะข้อมูลเหล่านั้นมีความสำคัญยิ่งยวดต่อความสามารถในการดำเนินธุรกิจให้ ต่อเนื่องต่อไปได้ (Business continuity)
3. บริหารระบบเพื่อป้องกันความปลอดภัยของข้อมูล
รายละเอียดการบริหารระบบเพื่อป้องกันความปลอดภัยของข้อมูล ซึ่งหัวข้อนี้นับเป็นหนึ่งในรายละเอียดหลักของเนื้อหาในร่างมาตรฐาน ISO 27000 ทั้งหมดก็ว่าได้ โดยครอบคลุมตั้งแต่นโยบาย แผน กลยุทธ์ การตรวจวัด การบริหาร และการควบคุมการปฏิบัติการ
ปัจจัยในการพิจารณาความปลอดภัยของระบบสารสนเทศ
ความลับของข้อมูล (Confidentiality)
ความถูกต้องสมบูรณ์ของข้อมูล (Integrity)
ความพร้อมใช้งานของข้อมูล (Availability)
การยืนยันตัวตนของผู้ใช้ (Authentication)
การควบคุมสิทธิในการใช้งานของผู้ใช้ (Authorization)
การไม่สามารถปฏิเสธการกระทำ (Non repudiation)
แนวทางในการนำมาตรฐาน ISO/IEC 27001 มาใช้ในองค์กรนั้น ควรมีขั้นตอน 7 ขั้นตอน ดังนี้
ขั้นตอนที่ 1
จัดตั้งคณะทำงาน IT Security Steering หรือ IT Security Working Group) เฉพาะเรื่องมาตรฐาน ISO/IEC 27001 และ Regulatory Compliance เพื่อทำการศึกษาตัวมาตรฐานโดยละเอียดและหาแนวทางนำมาปรับประยุกต์ใช้ภายในองค์กร
ขั้นตอนที่ 2
จัดฝึกอบรม ทำความเข้าใจในส่วนของข้อกำหนดทั้ง 11 Domains ของมาตรฐาน ISO/IEC 27001 ซึ่งควรใช้ระยะเวลาประมาณ 3-5 วัน โดยการฝึกอบรมอาจใช้แนวทางในการทำ Internal ISO 27001 Workshop หรือ อบรมหลักสูตรมาตรฐานของ IRCA ได้แก่ หลักสูตร ISO 27001 (ISMS) Lead Auditor (IRCA2016) ซึ่งจะทำให้ทีมงานได้เข้าใจแนวทางของการตรวจสอบโดยการนำมาตรฐาน ISO/IEC 27001 มาใช้อย่างถูกต้องเหมาะสำหรับองค์กรที่ต้องการได้รับใบรับรองจากผู้ให้บริการออกใบรับรอง หรือ Certification Body เพื่อเป็นการเตรียมตัวในการตรวจสอบเพื่อผ่านการรับรองต่อไป
ขั้นตอนที่ 3
จัดทำการประเมินระบบในภาพรวม (Holistic Approach) โดยนำเทคนิค “Gap Analysis” มาใช้ กล่าวคือ นำมาตรฐาน ISO/IEC 27001 ในส่วน Control ที่อยู่ใน Annex A. มาทำเป็นประโยคคำถามในรูปแบบของ Questionnaire มาใช้ในการสัมภาษณ์ผู้ที่เกี่ยวข้องในองค์กรในลักษณะ Workshop ที่ทุกคนสามารถเข้ามามีส่วนร่วมในการตอบคำถามและให้ความเห็น รายงานจากการทำ Gap Analysis จะทำให้ผู้บริหารระดับสูงขององค์กรได้ทราบถึงสถานะล่าสุดขององค์กร (“AS IS”) และ ความแตกต่างกับข้อกำหนดในมาตรฐาน (“TO BE”) ว่าระบบในองค์กรยังไม่ได้ปฏิบัติตามข้อกำหนดในมาตรฐานและมีความแตกต่างจาก “สิ่งที่ควรจะเป็น” หรือ “สิ่งที่ควรจะต้องทำ” ตามมาตรฐานอย่างไร
ขั้นตอนที่ 4
หลังจากการทำ “Gap Analysis Workshop” แล้วควรมีการจัดทำรายงานและมีการนำเสนอต่อ Board of Director เพื่อที่จะให้ผู้บริหารระดับสูงเกิดความเข้าใจในปัญหาที่เกิดขึ้น และ สร้าง “Management Buy-In” คือ การทำให้ผู้บริหารระดับสูงตัดสินใจให้การสนับสนุนในการปฏิบัติตามมาตรฐาน ISO/IEC 27001 และดำเนินการแก้ไขข้อบกพร่องจากการที่องค์กรยังไม่ได้ปฏิบัติตามมาตรฐานดังกล่าวอย่างเป็นรูปธรรม (Corrective Action)
ขั้นตอนที่ 5
องค์กรควรลงรายละเอียดหลังจากการนำเสนอ Gap Analysis Report โดยการทำกระบวนการบริหารความเสี่ยง (Risk Management) ในสามมุมมอง ได้แก่ มุมมองด้านบุคลากร (People) มุมมองด้านกระบวนการ (Process) และ มุมมองด้านเทคโนโลยี (Technology) เพื่อที่จะได้ประเมินความเสี่ยง (Risk Assessment) ของระบบ และ จัดทำแผนปฏิบัติการเพื่อลดความเสี่ยง (Risk Treatment Plan) เช่น การทำ Hardening การจัดฝึกอบรม Security Awareness Training ในองค์กร การจัดทำระบบ Centralized Log Management เพื่อปฏิบัติตามข้อกำหนดของมาตรฐาน ISO/IEC 27001 และ เป็นการปฏิบัติตาม พรบ.การกระทำผิดเกี่ยวกับคอมพิวเตอร์อีกด้วย
ขั้นตอนที่ 6
ทำการ Implement ในภาคปฏิบัติตามแผนที่ได้กำหนดไว้จากขั้นตอนที่ 5 เช่น การทำ Vulnerability Assessment หรือ Penetration Testing, การปิดช่องโหว่ด้วยการ Hardening หรือ การติดตั้ง Patch ให้กับระบบ การจัดทำ Policy, Standard, Guideline ต่างๆ ที่จำเป็น การฝึกอบรม Security Awareness Program ให้กับทุกคนในองค์กร การจัดทำ Acceptable Use Policy (AUP), การจัดซื้อจัดจ้างฮาร์ดแวร์และซอฟต์แวร์ในส่วนของเทคโนโลยีที่จำเป็น เช่น Firewall , Anti-Virus Software เป็นต้น
ขั้นตอนที่ 7
หลังจากปฏิบัติตามขั้นตอนที่ 6 แล้ว ควรมีการทบทวน (Review) และ การเฝ้าระวัง (Monitor) เพื่อเปรียบเทียบความเปลี่ยนแปลงระหว่างก่อนการปฏิบัติตามมาตรฐาน และ หลังจากการปฏิบัติตามมาตรฐาน (Before and After) ซึ่งควรจะเห็นผลลัพธ์ในเชิงบวกเป็นรูปธรรมชัดเจน และ ควรทำการเฝ้าระวังระบบด้วยแนวคิด “Continuous Audit” เพื่อที่จะได้แน่ใจว่าระบบสามารถทำงานได้ปกติโดยไม่เกิดผลกระทบจากการค้นพบช่องโหว่ใหม่ๆ (New Vulnerability) และ ภัยใหม่ๆ จากแฮกเกอร์ หรือ Malicious Software ต่างๆ (New Threat) ตลอดจนสามารถปรับตัวแก้ไขปัญหาได้อย่างทันท่วงที (Agility)
สาเหตุของปัญหาด้านความปลอดภัยของระบบสารสนเทศ
สมัครสมาชิก:
ความคิดเห็น (Atom)