ภัยคุกคาม (Threat) คือสิ่งที่อาจจะก่อให้เกิดความเสียหายต่อคุณสมบัติของข้อมูลในด้านต่างๆ ภัยคุกคามอาจมีลักษณะเป็นการโจมตี (Attack) หรือการบุกรุกเครือข่าย ซึ่งสามารถทำลายข้อมูล หรือทำให้ระบบไม่สามารถใช้งานได้ นอกจากนี้ การเปิดเผยข้อมูล (Disclosure) การหลอกลวงหรือการให้ข้อมูลที่เป็นเท็จ (Deception) และการควบคุมระบบโดยไม่ได้รับอนุญาต (Usurpation) ก็ถือเป็นส่วนหนึ่งของภัยคุกคาม
Friday, May 10, 2024
Friday, April 19, 2024
Wednesday, April 10, 2024
Who is responsible for developing procedures??? --- หน้าที่ในการเขียนคู่มือการปฏิบัติงานคือใคร !!!
หน้าที่ในการเขียนคู่มือหรือขั้นตอนการปฏิบัติงาน ... คือใคร หรือหน่วยงานใหน??? มักจะเป็นคำถามที่ถูกถามเมื่อเริ่มต้นในการนำระบบมาตรฐานมาใช้ในองค์กร
บางหน่วยงานคาดหวังให้ทีมคุณภาพเป็นผู้เขียน คุณภาพก็อาจจะบอกว่ามันใช่หน้าที่ของฉัน??? ก่อนอื่นต้องเข้าใจก่อนว่าคู่มือหรือขั้นตอนการปฏิบัติงาน เป็นเอกสารที่ถูกจัดทำเพื่อเป็นแนวทางในการทำงาน เป็นขั้นตอนการปฏิบัติงาน หรือวิธีการที่กำหนดไว้เพื่อใช้ในการปฏิบัติงาน ดังนั้นโดยทั่วไปแล้วคู่มือหรือขั้นตอนการปฏิบัติงานจะถูกจัดทำ หรือเขียนโดยเจ้าของกระบวนการ (Process owner) เช่น คู่มือการผลิต ก็ควรเป็นของทีมผลิต คู่มือการจัดการความเสี่ยง ก็ควรเป็นของทีมความเสี่ยง คู่มือการตรวจสอบภายในก็ควรเป็นของทีมตรวจสอบภายใน เนื่องจากเจ้าของกระบวนการจะทราบรายละเอียดขั้นตอนการทำงานดีที่สุด
Friday, March 15, 2024
ประกาศกระทวงมหาดไทยกำหนดสีถังขยะ
กระทรวงมหาดไทยได้ออกประกาศ เรื่องการจัดการมูลฝอย ปี พ.ศ.2567 เมื่อวันที่ 11 มีนาคม 2567 โดยอาศัยอำนาจตาม พรบ.รักษาความสะอาดแบะความเป็นระเบียบเรียบร้อยของบ้านเมือง พ.ศ.2560 กำหนดสีของถังขยะ ดังนี้
- สีน้ำเงิน สำหรับมูลฝอยทั่วไป
- สีเขียว สำหรับมูลฝอยอินทรีย์
- สีเหลือง สำหรับมูลฝอยนำกลับมาใช้ใหม่
- สีส้ม สำหรับมูลฝอยที่เป็นพิษ หรืออันตราย
- สีแดง สำหรับมูลฝอยติดเชื้อ
---
ข้อมูลเพิ่มเติม
Thursday, March 14, 2024
ประเภทของเอกสารคุณภาพ
ไม่มีข้อกำหนดในระบบมาตรฐานที่แบ่งประเภทของเอกสารอย่าชัดเจน แต่โดยทั่วไปสามารถแบ่งออกเป็นหลายประเภทตามหน้าที่และความสำคัญ ดังนี้:
- นโยบาย (Policy), คู่มือคุณภาพ (Quality Manual: QM): เป็นแนวทาง หลักการ หรือแนวปฏิบัติที่กำหนดไว้เพื่อเป็นแนวทางในการตัดสินใจ หรือดำเนินการเกี่ยวกับเรื่องใดเรื่องหนึ่ง ที่ถูกกำหนดโดยองค์กร เพื่อเป็นแนวทางในการดำเนินงาน บริหารจัดการ และควบคุมดูแลกิจกรรมต่างๆ
- ระเบียบปฏิบัติ (Standard Procedure: SP / Quality Procedure: QP): เอกสารที่อธิบายลำดับขั้นตอน หรือวิธีการที่กำหนดไว้เพื่อเป็นแนวทางในการปฏิบัติงาน ซึ่งองค์กรได้กำหนดไว้
กฎหมาย และประกาศที่เกี่ยวข้องกับความมั่นคงปลอดภัยไซเบอร์
- พระราชบัญญัติว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544 (ฉบับแก้ไขเพิ่มเติม)
- พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 (ฉบับแก้ไขเพิ่มเติม)
- พระราชบัญญัติการบริหารงานและการให้บริการภาครัฐผ่านระบบดิจิทัล พ.ศ. 2562
- พระราชบัญญัติว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562
- พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
- ฯลฯ
- ประกาศธนาคารแห่งประเทศไทย ที่ สนส. 21/2562 เรื่อง หลักเกณฑ์การกำกับดูแลความเสี่ยงด้านเทคโนโลยีสารสนเทศ (Information Technology Risk) ของสถาบันการเงิน
- แนวปฏิบัติในการบริหารความเสี่ยงด้านเทคโนโลยีสารสนเทศ (IT Risk Implementation Guideline)
- แนวปฏิบัติการบริหารจัดการความเสี่ยงจากบุคคลภายนอก (Third Party Risk Management Implementation Guideline)
- กรอบการประเมินความพร้อมด้าน Cyber Resilience
- แนวปฏิบัติการทดสอบเจาะระบบแบบ Intelligence-led (iPentest)
- แนวนโยบาย เรื่องการรักษาความมั่นคงปลอดภัยของการให้บริการทางการเงินและการชำระเงินบนอุปกรณ์เคลื่อนที่ (Guiding Principles for Mobile Banking Security)
- ประกาศคณะกรรมการกำกับและส่งเสริมการประกอบธุรกิจประกันภัย เรื่อง หลักเกณฑ์การกำกับดูแลและบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศของบริษัทประกันชีวิต / ประกันวินาศภัย พ.ศ. 2563
- แนวปฏิบัติ เรื่อง การกำกับดูแลและบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศของบริษัทประกันชีวิต / ประกันวินาศภัย พ.ศ. 2563
- แนวปฏิบัติเรื่อง หลักเกณฑ์การกำกับดูแลการใช้บริการจากผู้ให้บริการภายนอกด้านเทคโนโลยีสารสนเทศของบริษัทประกันชีวิต / ประกันวินาศภัย พ.ศ. 2563
- ประกาศสำนักงานคณะกรรมการ ก.ล.ต. ที่ สธ. 38/2565
- กรอบการประเมินความพร้อมด้าน cyber resilience (CRAF)
- คู่มือแนวทางปฏิบัติการกำกับดูแลและบริหารจัดการเทคโนโลยีระดับองค์กรที่ดี (IT governance)
- คู่มือแนวทางปฏิบัติการบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศ (IT risk management)
- คู่มือแนวทางปฏิบัติการบริหารจัดการการใช้บริการ cloud computing
Tuesday, March 5, 2024
ISO add Climate Change Consideration in Management System Standard - ประเด็นการเปลี่ยนแปลงสภาพภูมิอากาศที่ถูกเพิ่มในมาตรฐานระบบการจัดการโดยองค์กรมาตรฐานนานาชาติ
ในช่วงเดือนกุมภาพันธ์ที่ผ่านมาได้มีการเปลี่ยนแปลงของมาตรฐานระดับนานาชาติเกี่ยกับประเด็นการเปลี่ยนแปลงสภาพอากาศที่ถูกเพิ่มในมาตรฐานระบบการจัดการ ซึ่งองค์กรมาตรฐานนานาชาติ (ISO) ได้มีการปรับเพิ่มข้อกำหนดนี้ในมาตรฐานกว่า 30 ฉบับ
โดยประเด็นที่ถูกเพิ่มเข้ามาคือ การกำหนดให้การเปลี่ยนเเปลงสภาพภูมิอากาศ (Climate Change) เป็นประเด็นที่องค์กรที่มีการดำเนินการตามมาตรฐานดังกล่าวจะต้องนำมาพิจารณาตามข้อกำหนดที่ 4.1 และ 4.2
โดยสิ่งที่องค์กรควรพิจารณาตาม 4.1 คือ 1) การเปลี่ยนเเปลงสภาพภูมิอากาศ มีประเด็นไดบ้างที่อาจส่งผลกระทบต่อ ผลิตภันฑ์ หรือบริการขององค์กร และ 2) ในการผลิตผลิตภันฑ์ หรือบริการขององค์กร ส่งผลต่อการเปลี่ยนแปลงสภาพภูมิอากาศอย่างไรบ้าง
และสิ่งที่องค์กรควรพิจารณาตาม 4.2 คือ ผู้มีเส่วนได้เสียมีความคาดหวัง หรือข้อกำหนดอะไรที่เกี่ยวข้องกับการเปลี่ยนแปลงสภาพภูมิอากาศหรือไม่ อย่างไร เช่น Net Zero Policy เป็นต้น
---
อ่านเพิ่มเติม
Wednesday, February 21, 2024
BCM ไม่เท่ากับ BCP !!!
BCM ไม่เท่ากับ BCP ... สองคำนี้มักมีคนใช้แทนกันโดยที่ไม่เข้าใจความหมายที่แท้จริง
มาดูนิยามของคำทั้งสองคำนี้กัน อ้างอิงตาม มอก.22301
การบริหารความต่อเนื่องทางธุรกิจ (Business continuity management: BCM) หมายถึง กระบวนการบริหารแบบองค์รวมซึ่งบ่งชี้ภัยคุกคามที่อาจเกิดขึ้นต่อองค์กร และผลกระทบของภัยคุกคามนั้นต่อกำดำเนินธุรกิจ และให้แนวทางในการสร้างขีดความสามารถให้องค์กรมีความยืดหยุ่น เพื่อการตอบสนองและปกป้องผลประโยชน์ของผู้มีส่วนได้เสียหลัก ชื่อเสียง ภาพลักษณ์ และกิจกรรมที่สร้างมูลค่าที่มีประสิทธิผล
แผนความต่อเนื่องทางธุรกิจ (Business continuity plan: BCP) หมายถึง เอกสารขั้นตอนการดำเนินการ และข้อมูลสำคัญ เพื่อใช้เป็นแนวทางการดำเนินการเพื่อให้สามารถดำเนินการใด้ในระดับที่กำหนดภายหลังการเกิดอุบัติการณ์ที่ทำให้เกิดการหยุดชะงัก
BCM เป็นการจัดการเพื่อให้เกิดความต่อเนื่องในการดำเนินธุรกิจ ซึ่งประกอบด้วยขั้นตอนการจัดการหลาย ๆ ขั้นตอนไม่ว่าจะเป็น การประเมินความเสี่ยงต่อการหยุดชะงักขององค์กร, การวิเคราะห์ผลกระทบทางธุรกิจ (Business Impact Analysis: BIA), การวิเคราะห์ความเสี่ยงของการหยุดชะงักของระบบงานสำคัญ, การกำหนดกลยุทธ์ในการจัดการความเสี่ยงต่อการหยุดชะงักของระบบงานสำคัญ, การจัดทำแผนความต่อเนื่องทางธุรกิจ (Business continuity plan: BCP), การฝึกซ้อมแผนความต่อเนื่องทางธุรกิจ
จะเห็นได้ว่า BCP เป็นส่วนหนึ่งของ BCM ไม่ใช่ทั้งหมด
---
Wednesday, February 14, 2024
ทะเบียนกฎหมาย vs การดำเนินการตามกฎหมาย
การมีทะเบียนกฎหมาย ไม่เท่ากับว่าองค์กรได้ดำเนินการตามกฎหมาย สองอย่างนี้ต่างกัน การมีทะเบียนกฎหมายเพื่อให้ทราบว่ามีกฎหมายอะไรที่เกี่ยวข้องกับองค์กรบ้าง ครอบคลุมหรือไม่ ส่วนการดำเนินการตามกฎหมายองค์กรจะต้องเช็คในแต่ละข้อกำหนดของกฎหมาย กฎระเบียบนั้นๆ และการจัดการขององค์กรในปัจจุบันว่าสอดคล้องตามข้อกำหนดหรือไม่ ถ้าไม่สอดคล้องจะมีแผนในการดำเนินการอย่างไร?
ดังนั้นสิ่งที่องค์กรควรต้องทำไม่ใช่แค่อย่างได้อย่างหนึ่ง แต่ต้องทำทั้งสองอย่าง คือ
- จัดทำทะเบียนกฏหมาย
- ประเมินความสอดคล้องในการดำเนินการตามกฏหมาย
Monday, February 5, 2024
POOR Management?
ระบบการจัดการที่ดี ไม่ว่ายูสเซอร์จะเป็นใคร จากใหน อะไร ยังไง ... ผลลัพธ์ที่ได้ถึงจะไม่เหมือนกันเป๊ะ แต่ก็ออกมาอยู่ในรูปแบบที่คาดหวังได้ว่ามันจะเหมือนกัน
แต่เมื่อใหร่ที่ระบบการจัดการแย่ ... ผลของงานนั้นก็ขึ้นอยู่กับยูสเซอร์แต่ละคน
แล้วควระเริ่มปรับที่ใคร ยูสเซอร์ หรือระบบ ???