Please enable JavaScript.
Coggle requires JavaScript to display documents.
การพัฒนาระบบสารสนเทศและการจัดการความมั่นคง จริยธรรมและการรักษาความปลอดภัย…
การพัฒนาระบบสารสนเทศและการจัดการความมั่นคง
จริยธรรมและการรักษาความปลอดภัยของระบบสารสนเทศ บทที่ 9
9.1 การวางแผนระบบสารสนเทศในองค์การ
การพัฒนาระบบสารสนเทศใหม่เป็นสิ่งสำคัญอย่างหนึ่งข้อกระบวนการวางแผนองค์กร
โดยต้องมีการพัฒนาแผนระบบสารสนเทศให้สนับสนุนกับแผนรวมขององค์กรทั้งหมด
องค์กรควรจะมีแผนกลยุทธ์ขององค์กรก่อนเพื่อใช้เป็นแนวทางในการกำหนดแผนกลยุทธ์ด้านระบบสารสนเทศ
รองรับกับแผนกลยุทธ์ขององค์กร จากนั้นจึงกำหนดแผนปฏิบัติการและโครงสร้างด้านสารสนเทศ
9.1.1 แผนกลยุทธ์ด้านระบบสารสนเทศ
เป็นการกำหนดวัตถุประสงค์ระยะยาวเกี่ยวกับโครงสร้างพื้นฐานด้านเทคโนโลยีสารสนเทศ
และการริเริ่มในการนำระบบสารสนเทศมาใช้ในการดำเนินงานให้บรรลุวัตถุประสงค์ขององค์การ
แผนกลยุทธ์ด้านระบบสารสนเทศ มีลักษณะ 3 ประการ ดังนี้
แผนกลยุทธ์ด้านระบบสารสนเทศจะต้องสัมพันธ์กับแผนกลยุทธ์ขององค์กร
มีแผนงาน กรอบเวลา กำหนดหน้าที่ความรับผิดชอบที่ชัดเจน และสามารถติดตามความคืบหน้าในการดำเนินงานตามแผนงานที่วางไว้ได้
แผนกลยุทธ์ด้านระบบสารสนเทศ ต้องกำหนดโครงสร้างด้านเทคโนโลยี ที่สอดคล้องกัน ได้แก่ รูปแบบของฐานข้อมูล
9.1.2 แผนปฏิบัติการด้านระบบสารสนเทศ
ประกอบด้วย พันธกิจของระบบสารสนเทศ สภาพแวดล้อมของระบบสารสนเทศ
การทำงานของระบบสารสนเทศขององค์กรที่มีการติดต่อทั้งภายในและภายนอกองค์กรสามารถใช้ระบบเดียวกันหรือสอดคล้องกัน
วิเคราะห์ถึงความสามารถ ข้อจำกัดในการใช้งาน แผนระยะสั้นและระยะยาวในการดำเนินการพัฒนาด้านระบบสารสนเทศขององค์กร
9.1.3 การวางแผนระบบสารสนเทศในองค์การ
วิสัยทัศน์และแผนกลยุทธ์ขององค์การ วิสัยทัศน์เป็นทิศทางการดำเนินงานขององค์กร โดยมีแผนกลยุทธ์ เป็นวิธีการที่จะไปถึงเป้าหมายและทิศทางที่กำหนดไว้
ระบบสารสนเทศ เป็นบทบาทสำคัญในการสนับสนุนวิสัยทัศน์และกลยุทธ์ขององค์กร
จึงต้องมีการวิเคราะห์เพื่อดูทิศทางการดำเนินการด้านสารสนเทศขององค์กร จากระบบเดิม ระบบปัจจุบัน
สรุปผลการวิเคราะห์ พิจารณา หลักการและเหตุผล ความสามารถด้านเทคโนโลยีสารสนเทศ ทั้ง ฮาร์ดแวร์ ซอฟต์แวร์ ฐานข้อมูล
พัฒนากลยุทธ์ทางการบริหาร แผนปฏิบัติการ งบประมาณ ระยะเวลาการดำเนินการ การพัฒนาการทดสอบ การใช้งาน การอบรม
9.1.4 รูปแบบการเปลี่ยนแปลงระบบ
9.1.4.1 Automization โดยเปลี่ยนจากระบบที่ทำด้วยมือ เป็นระบบอัตโนมัติ
9.1.4.2 Rationalization เป็นการเปลี่ยนแปลงระบบการดำเนินงานโดยใช้เครื่องมือด้านเทคโนโลยีสารสนเทศมากขึ้น
9.1.4.3 Reengineering เป็นการศึกษาทั้งระบบ ไม่ได้ไปเฉพาะส่วนใดส่วนหนึ่ง การเปลี่ยนแปลงอาจถึงขั้นยุบกระบวนการ
9.1.4.4 Paradigms Shift เป็นการปรับกระบวนทัศน์ หรือแนวความคิดใน
การดำเนินการธุรกิจโดยสิ้นเชิง
9.2 การพัฒนาระบบสารสนเทศ
การพัฒนาระบบสารสนเทศ เป็นการนำระบบสารสนเทศมาใช้เพื่อแก้ปัญหาหรือสร้างโอกาสให้กับองค์กร
โดยเน้นที่การพัฒนาซอฟต์แวร์หรือโปรแกรมในรูปแบบต่าง ๆ ที่ได้มี
การวิเคราะห์เพื่อหาแนวทางในการพัฒนาระบบสารสนเทศ
แบบวงจรชีวิต การพัฒนาต้นแบบ การการพัฒนาโดยเน้นผู้ใช้เป็นหลัก การพัฒนาโดยการจ้างบุคคลภายนอก
9.2.1 การพัฒนาระบบงานแบบวงจรชีวิต
เป็นวิธีที่ใช้ในองค์การส่วนใหญ่ เทคนิคนี้ประกอบด้วยวิธีการดำเนินการหลายวิธี
ขึ้นอยู่กับลักษณะของระบบ ความรู้ความถนัดของผู้พัฒนาระบบ เครื่องมือการพัฒนาระบบด้วย ตัวอย่าง
วิธีการที่นิยมใช้ในการพัฒนาระบบ เช่น แบบ Objected Oriented และแบบ Waterfall Methodology
9.2.1.1 การสาํ รวจระบบ เป็นการศึกษาความเป็นไปได้ของโครงการว่ามี
โอกาสความสำเร็จมากน้อยเพียงใด รวมทั้งประเมินความเป็นไปได้ด้านต่าง ๆ ดังนี้
ความเป็นไปได้ด้านเทคนิค เป็นการศึกษาด้านความสามารถของ
ฮาร์ดแวร์ ซอฟต์แวร์
ความเป็นไปได้ด้านเศรษฐศาสตร์ งบประมาณ ความเสี่ยงทางการเงิน
ระยะเวลาดำเนินการ
ความเป็นไปได้ด้านพฤติกรรม ระบบสารสนเทศส่งผลต่อ
การต่อต้านระบบของผู้ใช้ที่ไม่สามารถสร้างความเป็นสะดวก
การวิเคราะห์ระบบ เป็นการวิเคราะห์ปัญหาขององค์กรที่แก้ไขโดยระบบ
สารสนเทศ เป็นการระบุปัญหาขององค์การ
การออกแบบระบบ เป็นการบรรยายเกี่ยวกับสิ่งที่ระบบต้องทำเพื่อแก้ปัญหาองค์กร และวิธีการดำเนินงาน
การออกแบบระบบมี 2ประเภท คือ
1) การออกแบบเชิงตรรกะ
2) การออกแบบด้านกายภาพ
การเขียนโปรแกรม เป็นการเปลี่ยนแปลงจากรายละเอียดของการออกแบบ เป็นรหัสคอมพิวเตอร์ (Computer code)
การทดสอบ การทดสอบเป็นขั้นตอนการเขียนโปรแกรม ส่วนใหญ่เป็นการดำเนินงานของผู้พัฒนาระบบสารสนเทศหรือโปรแกรมเมอร์
การทดสอบเพื่อหาข้อผิดพลาด (Bugs) เกิดจากความผิดพลาด 2 ประการ คือ
1) ความผิดพลาดในเรื่องของรูปแบบ
2) ความผิดพลาดเชิงตรรกะ
การนำระบบไปติดตั้ง เป็นกระบวนการที่เปลี่ยนจากระบบเก่าเข้าสู่ระบบใหม่ซึ่งวิธีการเปลี่ยนระบบสามารถทำได้ 4 รูปแบบคือ
แบบคู่ขนาน
แบบเปลี่ยนทั้งหมด
การเปลี่ยนแปลงโดยใช้โครงการนำร่อง
การเปลี่ยนแปลงแบบมีขั้นตอน
การดำเนินการและการบำรุงรักษา เมื่อมีการติดตั้งระบบใหม่แล้ว จะต้องมีการบำรุงรักษา ซึ่งมีหลายลักษณะ คือ
ตรวจความถูกต้องของโปรแกรม
การปรับปรุงระบบให้ทันสมัยสอดคล้องกับการเปลี่ยนแปลงของเงื่อนไข การปฏิบัติที่อาจเปลี่ยนแปลงไป
การเพิ่มหน้าที่ทำงานให้ระบบตามความต้องการของผู้ใช้แต่ต้องอยู่ในเงื่อนไขและขอบเขตของระบบที่ได้ตกลงกับผู้พัฒนาระบบสารสนเทศ
ข้อดีการพัฒนาระบบแบบการพัฒนาระบบงานแบบวงจรชีวิต
ได้ความต้องการระบบสารสนเทศที่สอดคล้องกับความต้องการขององค์กรได้อย่างครอบคลุม
มีระบบการดำเนินการและระเบียบที่ชัดเจน ทำให้เกิดความผิดพลาดน้อย
เป็นรูปแบบที่ใช้พัฒนาระบบสารสนเทศมานาน จึงมีเครื่องมือในการสนับสนุนมาก
ข้อเสียของการพัฒนาระบบแบบการพัฒนาระบบงานแบบวงจรชีวิต
ใช้ทรัพยากรมาก เนื่องจากมีขั้นตอนการดำเนินงานที่ละเอียดรอบครอบ
ไม่ยืดหยุ่น และการเปลี่ยนแปลงทำได้ยาก ไม่สอดคล้องกับสภาพแวดล้อมที่เปลี่ยนแปลงอย่างรวดเร็ว
ไม่เหมาะสมกับระบบสารสนเทศในการสนับสนุนตัดสินใจ ต้องการความรวดเร็วที่ทันต่อการเปลี่ยนแปลงของสภาพแวดล้อมทางธุรกิจ
9.2.2 การสร้างต้นแบบ
การสร้างต้นแบบจะไม่พัฒนาทั้งระบบเดียวทั้งหมด แต่จะพัฒนาโดยใช้ต้นแบบ
ประกอบด้วยส่วนต่าง ๆ ของระบบใหม่ แต่จำลองให้มีขนาดเล็ก เพื่อให้ผู้ใช้ได้ทดลองใช้ก่อน
และให้ข้อเสนอแนะเพื่อใช้ในการปรับปรุงต้นแบบนี้ให้เหมาะสมต่อไป
ขั้นตอนของวิธีการสร้างต้นแบบมี 4 ขั้นตอนดังนี้
การหาความต้องการพื้นฐานของผู้ใช้
การออกแบบต้นแบบ
การนำต้นแบบไปทดลองใช้
การปรับปรุงต้นแบบปรับปรุงจนกระทั่งผู้ใช้เกิดความพึงพอใจ และนำต้นแบบไปใช้งาน
ข้อดีการสร้างต้นแบบ
สามารถดำเนินการพัฒนาระบบได้อย่างรวดเร็ว สอดคล้องกับการเปลี่ยนแปลงปัจจุบัน
สามารถหยุดการพัฒนาระบบได้ หากไม่ตรงตามความต้องการของผู้ใช
ระบุความต้องการของผู้ใช้ได้อย่างแม่นยำ เพราะเป็นไปตามความต้องการของผู้ใช้และมีการร่างโปรแกรมเพื่อทดลองใช
ข้อเสียการสร้างต้นแบบ
ไม่ละเอียดรอบคอบเหมือนการพัฒนาแบบการพัฒนาระบบงานแบบวงจรชีวิต
ผู้ใช้อาจนำต้นแบบ (Prototype) ที่ยังไม่สมบูรณ์ไปใช้เป็นระบบจริง
ไม่เหมาะสมกับโครงการขนาดใหญ่ เพราะไม่สามารถตอบสนองความต้องการของผู้ใช้ทุกคนได้ตรงเหมือนกัน
9.2.3 การพัฒนาระบบโดยผู้ใช้
เป็นการพัฒนาระบบโดยผู้ใช้ ซึ่งอาศัยความช่วยเหลือจากผู้เชี่ยวชาญน้อยมาก
วิธีนี้มีความนิยมใช้กันมากเนื่องจากความก้าวหน้าของโปรแกรม
สำเร็จรูป
ทำให้ผู้ใช้สามารถพัฒนาระบบที่สอดคล้องกับความต้องการของผู้ใช้เอง
ข้อดีการพัฒนาระบบโดยผู้ใช้
ประสิทธิภาพและความสามารถของโปรแกรมสูง โดยอาศัยการสนับสนุนจากความสามารถของโปรแกรมสำเร็จรูปที่มีการทดสอบ
การศึกษาหาความต้องการของผู้ใช้ได้ดี
ผู้ใช้มีส่วนร่วมมากขึ้น อันทำให้ผู้ใช้มีความพอใจสูงขึ้น
ข้อเสียการพัฒนาระบบโดยผู้ใช้
ขีดความสามารถของโปรแกรมสำเร็จรูปมีจำกัด และต้นทุนสูงมาก ไม่เหมาะสมกับองค์กรขนาดเล็ก
ไม่เหมาะกับการทำงานที่มีลักษณะเฉพาะขององค์กร ที่ต้องการพัฒนาระบบให้สอดคล้องกับกลยุทธ์ทางธุรกิจที่แตกต่างจากคู่แข่งขัน
9.2.4 การจ้างบุคคลภายนอก
การจ้างบุคคลภายนอกมาดำเนินงาน พัฒนาตามความต้องการขององค์กร
หากเป็นโปรแกรมใหญ่ใช้การจ้างในรูปแบบบริษัทที่มีความเชี่ยวชาญทั้งเครื่องมือ
หรือจ้างเฉพาะงานกับผู้พัฒนาโปรแกรมอิสระ แต่ต้องควบคุมข้อมูลที่เกี่ยวข้องกับความลับขององค์กร
และสอดคล้องกับงบประมาณขององค์กรด้วย จึงต้องกำหนดเงื่อนไขวิธีการจ้างบุคคลภายนอก
ข้อดี
ประหยัดค่าใช้จ่าย จากการแข่งขันด้านราคาและคุณภาพของผู้พัฒนาระบบสารสนเทศ
คุณภาพการบริการ จากความเชี่ยวชาญของผู้พัฒนาระบบสารสนเทศ
ลดความไม่แน่นอน สามารถควบคุมค่าใช้จ่าย ลดความเสี่ยงด้านความสามารถการทาํ งานของระบบ
ข้อเสีย
หน่วยงานสูญเสียการควบคุมระบบสารสนเทศและความลบั ทางการค้า
พนักงานในองค์การขาดโอกาสในการพัฒนาทักษะ
9.2.5 การใช้โปรแกรมสำเร็จรูป
เป็นการใช้โปรแกรมสำเร็จรูปที่ได้รับการพัฒนาแล้ว มีขายหรือให้เช่าตามความต้องการของผู้ใช้
ทั้งโปรแกรมที่ซื้อแบบครั้งเดียวแล้วลงที่เครื่องของผู้ใช้ หรือโปรแกรมที่สามารถทำงานผ่านเครือข่ายอินเทอร์เน็ต
ผู้ใช้สามารถเลือกคุณลักษณะของซอฟต์แวร์ตามความต้องการได้ โปรแกรมเหล่านี้มีมากตั้งแต่งานง่ายจนถึงการทำงานที่มีความซับซ้อน
9.2.5.1 ขั้นตอนการจัดซื้อซอฟต์แวร์สำเร็จ
ขั้นที่ 1 : ประเมินความต้องการของระบบสารสนเทศ
ขั้นที่ 2 : กำหนดหาผู้ขายซอฟต์แวร์
ขั้นที่ 3 : ประเมินทางเลือกต่างของซอฟต์แวร์สำเร็จ
ขั้นที่ 4 : การซื้อซอฟต์แวร์
ขั้นที่ 5 : การติดตั้งระบบ
9.2.5.2 การปรับซอฟต์แวร์สำเร็จสามารถทำได้ 3 วิธี
ซื้อซอฟต์แวร์พื้นฐานที่ผู้ขายมีการปรับเปลี่ยนให้ตามความต้องการ
เจรจากับผู้ขายเพื่อให้ดำเนินการตามที่ต้องการ
ซื้อซอฟต์แวร์มาปรับเปลี่ยนเองตามความต้องการ
ข้อดีโปรแกรมสำเร็จรูป
โปรแกรมสำเร็จรูปมีการทดสอบก่อนนำออกสู่ตลาด ได้รับการพิสูจน์ความน่าเชื่อถือและการวัดเปรียบสมรรถนะ
ผู้ขายมักมีการบำรุงรักษาและให้การสนับสนุนระบบอย่างต่อเนื่องทำให้มั่นใจในระดับหนึ่งว่าระบบมีการพัฒนาให้ทันสมัย
ต้นทุนต่ำ ใช้เวลาในการติดตั้งน้อย
ใช้เจ้าหน้าที่ทางเทคนิคน้อย การอัพเกรดในอนาคตกระทำโดยผู้ขายได้ธุรกิจอื่นเป็นแหล่งทรัพยากร
ข้อเสียโปรแกรมสำเร็จรูป
ไม่สอดคล้องกับความต้องการงานที่มีลักษณะเฉพาะขององค์กรโปรแกรมสำเร็จรูปไม่สามารถสนองต่อความต้องการ
ซอฟต์แวร์สำเร็จรูปที่มาจากต่างประเทศอาจไม่เหมาะกับ ลักษณะขององค์กรในประเทศไทย
9.3 การนำระบบสารสนเทศไปติดตั้ง
การติดตั้งระบบบางครั้งอาจประสบความล้มเหลวในการทำงาน
หมายถึงระบบไม่สามารถดำเนินการตามที่คาดหวังไว้ หรือไม่สามารถนำไปใช้ตามวัตถุประสงค์ที่ตั้งไว้
ดังนั้นจึงเกี่ยวข้องกับตัวชี้วัดของความสำเร็จของระบบ, ปัจจัยที่นำไปสู่ความสำเร็จหรือความล้มเหลวของระบบ , การจัดการกับการติดตั้งระบบ
การเลือกในการเปลี่ยนแปลงระบบ
โดยมีปัจจัยที่สำคัญในการเลือกพัฒนาระบบรูปแบบต่าง ๆ
ได้แก่ ต้นทุน (Cost) การพัฒนาระบบสารสนเทศโดยพนักงานภายในองค์กรหรือผู้ใช้จะเสียค่าใช้จำนวนมากได้หากผู้พัฒนาไม่มีความเชี่ยวชาญเพียงพอ
ด้าวความสามารถในการกำหนดได้ การพัฒนาระบบเอง
สามารถกำหนดความต้องการได้ การจ้างภายนอก
9.4 การรักษาความปลอดภัยของระบบสารสนเทศ
9.4.1 คุณสมบัติในการรักษาความปลอดภัยของข้อมูล 3 ด้าน คือ
ด้านความลับของข้อมูล เป็นการรักษาความลับของข้อมูลหมายถึง การทำให้ข้อมูลเข้าถึงหรือเปิดเผยเฉพาะผู้ที่ได้รับอนุญาตเท่านั้น
ด้านความคงสภาพหรือความถูกต้องของข้อมูล เป็นการรักษาความถูกต้องและสมบูรณ์ของข้อมูลคือ ทำให้ข้อมูลมีความเชื่อถือได้ ซึ่งประกอบด้วยสองส่วนคือ 1)
ด้านความพร้อมใช้งาน เป็นการรักษาไว้ซึ่งความพร้อมต่อการใช้งานและการเข้าถึงข้อมูล คือ การให้ผู้ที่ได้รับอนุญาตสามารถเข้าถึงข้อมูลได้เมื่อต้องการ
9.4.2 ภัยคุกคามกับข้อมูล การเปิดเผย คือการเข้าถึงหรือเปิดเผยข้อมูลโดยไม่ได้รับอนุญาต การหลอกลวง คือการให้ข้อมูลเป็นเท็จ การขัดขวาง
9.4.3 การป้องกันระบบสารสนเทศขององค์กร
ข้อมูล
การป้องกันข้อมูล สิทธิ์การใช้ข้อมูลและความรับผิดชอบ ,รหัสผ่าน , การเข้ารหัส
ฮาร์ดแวร์
การป้องกันทางเทคนิค การบ่งชี้และตรวจสอบสิทธิ์,การเข้ารหัส,ไฟร์วอลล์การป้องกัน malware,การออกแบบ แอฟพลิเคชัน
ซอฟต์แวร์
การป้องกันทางเทคนิค การบ่งชี้และตรวจสอบสิทธิ์,การเข้ารหัส,ไฟร์วอลล์การป้องกัน malware,การออกแบบ แอฟพลิเคชัน
คน
การป้องกันด้านคน การว่าจ้าง,การฝึกอบรม,การให้การศึกษา,การออกแบบกระบวนการ,การบริหารจัดการ, การบริหารจัดการ
กระบวนการ
การป้องกันด้านคน การว่าจ้าง,การฝึกอบรม,การให้การศึกษา,การออกแบบกระบวนการ,การบริหารจัดการ, การบริหารจัดการ
9.4.4 การควบคุมการเข้าถึงระบบคอมพิวเตอร์ ทั้งด้านอุปกรณ์ และข้อมูล
โดยวางคอมพิวเตอร์ในห้องที่ปิดล๊อคได้ และอนุญาตให้เข้าถึงได้เฉพาะบุคคล
มีหน้าที่เกี่ยวข้องมีทางเข้าห้องคอมพิวเตอร์ได้ทางเดียวหรือสองทางเท่านั้น
ควรจัดให้มีบัตรประจำตัวพนักงาน บัตรควรมีแถบรักษาความปลอดภัยที่อนุญาตให้เข้าได้เฉพาะที่
ต้องให้ผู้เข้าใช้ลงชื่อเข้าและประกาศหรือแจ้งนโยบายการรักษาความปลอดภัย
9.4.5 การควบคุมการเข้าถึงข้อมูล
โดยให้เข้าถึงเฉพาะในส่วนงานที่มีหน้าที่และเกี่ยวข้องเท่านั้นโดย
กำหนดรหัสผ่าน
การพิสูจน์ทราบของสิ่งของที่ครอบครอง เช่น บัตรประจำตัว บัตรเปิด-ปิด ประตู เป็นต้น
การพิสูจน์ทราบจากการจัดด้านชีวลักษณะ เช่น การสแกนม่านตา สแกนลายนิ้วมือ เสียง เป็นต้น
การกำหนดสิทธิ์ในการเข้าถึงข้อมูลในแต่ละระดับ
9.4.6 การควบคุมการจัดเก็บข้อมูล
จำแนกชนิดของข้อมูลและกำหนดระดับความสำคัญในการปกป้องข้อมูลแต่ละชนิด
ติดตามแนวทางการรักษาความปลอดภัยข้อมูล เก็บรักษาเอกสารและข้อมูลที่เป็นความลับ ตรวจสอบ ติดตาม
การเข้าถึงข้อมูลลับและวิเคราะห์พฤติกรรมที่มีแนวโน้มที่มีการเข้าถึงข้อมูลผิดปกติ
ให้พนักงานเซ็นสัญญาที่จะปกปิดข้อมูลของบริษัทเป็นการลับ การติดฉลาก
9.4.7 การควบคุมการส่งผ่านข้อมูล
ควรมีเครือข่ายที่สามารถใช้ตรวจหาจุดอ่อน การจัดเก็บข้อมูลย้อนหลัง การออกแบบเครือข่ายเพื่อรองรับผู้ใช้งานอย่างเพียงพอ
เพื่อลดความเสี่ยงสำหรับความล้มเหลวของการส่งผ่านข้อมูล การตรวจสอบการเข้าออกของเครือข่าย
การเก็บข้อมูลผู้ใช้งานอินเทอร์เน็ต เพิ่มช่องทางส่งผ่านข้อมูล
เพื่อให้ระบบทำงานได้กรณีช่องทางหนึ่งล้มเหลว ควรมีระบบบริหารจัดการควบคุมสารสนเทศที่จุดเดียว
9.4.8 วิธีการในการลดความผิดพลาดในการส่งผ่านข้อมูล
การเข้ารหัสข้อมูล ความเป็นความลับความครบถ้วนสมบูรณ์ ความเชื่อถือได้
การตรวจสอบเส้นทาง
การจับคู่
เทคนิคการรับรู้ข้อมูลข่าวสาร การสอบยันคำนวณจำนวนบิตที่รับส่งว่าตรงกันหรือไม่ ป้ายบอกทาง
การควบคุมการส่งผ่านข้อมูลสำหรับการแลกเปลี่ยนข้อมูลระหว่างกัน และการโอนเงินทางอิเล็คทรอนิคส์
การวางแผนการกู้คืนข้อมูล
จัดลำดับของการฟื้นฟูว่าจะทำอะไรก่อนหลัง
การเก็บสำรองข้อมูลและแฟ้มข้อมูล ข้อมูลสำรองอาจส่งผ่านไปยังที่ต่าง ๆ การสำรองข้อมูลแบบ (Grandfather-Father-Son)
การมอบหมายงานที่เฉพาะเจาะจง ในการฟื้นฟูความเสียหาย การป้องกัน และวางแผนในการกู้คืนข้อมูล
การจัดทำเอกสารอย่างครบถ้วน แผนงานการฟื้นฟูความ
เสียหาย จะต้องมีเอกสารครบถ้วนและ เก็บสำเนาไว้หลาย ๆ แห่ง
การจัดหาคอมพิวเตอร์ และการติดต่อสื่อสารสำหรับการสำรอง การทำสัญญาช่วยเหลือซึ่งกันและกันกับหน่วยงานที่คล้ายคลึงกัน
9.4.9 การปกป้องคอมพิวเตอร์ส่วนบุคคล และระบบเครือข่าย
การฝึกอบรมผู้ใช้ ให้เข้าใจแนวคิดและความปลอดภัยในการใช้โปรแกรม
เข้มงวดการเข้าถึง ในการล็อคอุปกรณ์
วางนโยบายและวิธีการ ควบคุมข้อมูลที่จะต้องจัดเก็บ และดาวน์โหลดสู่เครื่องคอมพิวเตอร์ส่วนบุคคล
เก็บข้อมูลสำคัญในที่ที่ปลอดภัยที่สุดเท่านั้น
ข้อมูลที่สำคัญในเครื่องคอมพิวเตอร์แบบพกพา
การติดตั้งซอฟแวร์ที่ปิดตัวเองแบบอัตโนมัติ
การสำรองข้อมูลในฮาร์ดดิสก์อย่างสม่ำเสมอ
การใช้ซอฟต์แวร์ที่สามารถลบข้อมูลได้อย่างสมบูรณ์
การป้องกันไม่ให้ผู้ใช้เปลี่ยนแปลงแฟ้มข้อมูลระบบ
การเปิดใช้คอมพิวเตอร์ส่วนบุคคล ต้องผ่านระบบรักษาความปลอดภัย
หากไม่สามารถแบ่งแยกหน้าที่ได้ ควรมีการควบคุมโดยใช้รหัสผ่านหลายระดับ เพื่อจำกัดการเข้าถึงข้อมูล
ใช้ผู้ชำนาญงาน หรือระบบรักษาความปลอดภัยที่หาจุดอ่อนในระบบ
9.4.10 การควบคุมอินเตอรเ์น็ต
การติดตั้งซอฟต์แวร์ป้องกัน เป็นระบบควบคุมการเข้าออกเครือข่าย ซึ่งป้องกันเครือข่ายภายในองค์กรจากการโจมตีภายนอกได้ โดยไฟล์วอลล์จะทำหน้าที่ตรวจสอบข้อมูลเข้าออกเครือข่าย
ติดตั้งซอฟต์แวร์ป้องกันไวรัส เป็นโปรแกรมคอมพิวเตอร์ประเภทหนึ่งที่ถูกออกแบบมาให้แพร่กระจายตัวเองจากไฟล์หนึ่งไปยังไฟล์อื่นภายในเครื่องคอมพิวเตอร์
การตรวจจับการบุกรุก โดยตรวจสอบพฤติกรรมการเข้าถึงข้อมูลผ่านเครือข่ายที่มีความผิดปกติ และรายงานผลการใช้ข้อมูล และการเข้าถึงข้อมูลจาก log file ของผู้ใช้
การสร้างซอฟต์แวร์ป้องกันที่สามารถป้องกันการเข้าถึงระบบของบุคคลที่ไม่เกี่ยวข้อง
การเข้ารหัสข้อมูล ด้วยอัลกอริทึม และโพรโตคอลในรูปแบบต่าง ๆ
ป้องกันข้อมูลทางอีเมล์ได้โดยใช้ซองจดหมายอิเล็คทรอนิกส์
Phishing : การที่ Hacker ใช้วิธีส่ง email ปลอมตัวเป็นสถาบันการเงิน เช่น ธนาคารที่เชื่อถือได้เพื่อหลอกให้ลูกค้าของธนาคารให้ click link
Denial of Service เป็นลักษณะการโจมตีระบบคอมพิวเตอร์วิธีหนึ่ง มีชื่อเรียกย่อๆว่า Dosattack
9.4.11 ความต้องการการรักษาความปลอดภัย
ความสามารถในการระบุตัวตนได้ กล่าวคือ ประกันในการที่จะทราบความมีตัวตนที่แท้จริงของบุคคลที่ตนเองติดต่อด้วย
ความเป็นหนึ่งเดียวของข้อมูล มีความจำเป็นที่จะต้องมีหลักประกันว่าข้อมูลและสารสนเทศที่รับส่งในการทำพาณิชย์อิเล็กทรอนิกส์
ความไม่สามารถปฏิเสธได้ ผู้ขายต้องการความคุมครองหากผู้ซื้อปฏิเสธคำสั่งซื้อที่ตนได้ดำเนินการไปแล้ว
สิทธิส่วนบุคคล ลูกค้าหลายคนไม่ต้องการให้มีการเปิดเผยข้อมูลว่าตนเองซื้ออะไรไปบ้าง
ความปลอดภัยิ ลูกค้าต้องการความแน่ใจในความปลอดภัย
9.4.12 วิธีรักษาความปลอดภัย
1) การใส่รหัสลับ
เป็นกระบวนการทำให้ข้อความไม่สามารถอ่านออก ยกเว้นผู้ที่มีกุญแจถอดรหัสลับที่ได้รับมอบหมาย
วิธีการใส่รหัสลับแบบพื้นฐานมี 3 แบบ คือ 1.) การใช้กุญแจตัวเดียว 2.) การใช้กุญแจรหัส 2 ตัว 3.)ใช้แบบผสมตัวที่ 1) กับตัวที่ 2)
(1) การใช้กุญแจรหัสตัวเดียว
(2) การใช้กุญแจสาธารณะ/กุญแจส่วนบุคคล
2) ใบรับรองทางอิเล็กทรอนิกส์
ใบรับรองอิเล็กทรอนิกส์ออกโดยกลุ่มบุคคลที่สามที่ไว้ใจได้ เรียกว่า เป็นหน่วยงานออกใบรับรอง ทำหน้าที่ดังนี้
1) รับรองคุณลักษณะของผู้ใช้ เช่น ชื่อ อายุ เพศ หน่วยงานที่สังกัด ที่อยู่
2) ออกกุญแจให้ผู้ใช้ (บางครั้งผู้ใช้สามารถสร้างกุญแจขึ้นเองก็ได้
3) รับรองกุญแจสาธารณะของผู้ใช้
3) โปรโตคอล
(1) Secure Socket Layer (SSL) เป็นโปรโตคอลที่นิยมมากที่สุด มีความสามารถในการเปลี่ยนรหัสข้อความโดยอัตโนมัติ
(2) Secure Electronic Transaction Protocol (SET) SET เป็นการออกแบบให้ลูกค้าซื้อของที่ไหนก็ได้ด้วยความสะดวกขณะที่มีความปลอดภัย
9.4.13 กรอบการบริหารและจัดการเพื่อความมั่นคงด้านเทคโนโลยีสารสนเทศ
องค์กรมีเทคโนโลยีที่สอดคล้อง การทำธุรกิจของกิจการ และช่วยให้กิจการสามารถบรรลุวัตถุประสงค์
กำหนดใช้ ทรัพยากรเทคโนโลยีสารสนเทศของกิจการถูกใช้อย่างรับผิดชอบ
และเหมาะสมกิจการมีการจัดการความเสี่ยง กำกับดูแล และควบคุมเพื่อให้มั่นใจว่า ผู้ที่เกี่ยวกับการจัดการ การใช้
ทรัพยากรเทคโนโลยีสารสนเทศ ประกอบด้วย 5 ส่วนหลัก
ข้อมูล ประกอบด้วยข้อมูลภายในและภายนอก องค์กร และอาจอยู่ในรูปแบบใดก็ได้ เช่น เป็นตัวอักษร รูปภาพ เสียง เป็นต้น
ระบบงาน ประกอบด้วยขั้นตอนการทำงานด้วยมือ และเครื่อ
เทคโนโลยี เป็นองค์ประกอบด้านเทคนิคของระบบสารสนเทศ เช่น Hardware Software การจัดการฐานข้อมูล และโครงข่ายข้อมูล
ห้องคอมพิวเตอร์และสาธารณูปโภค ที่สนับสนุนการดำเนินงานด้านเทคโนโลยีสารสนเทศ
เจ้าหน้าที่ด้าน IT และ ผู้ใช้ (People) โดยเน้นถึงทักษะการตระหนักถึง (Awareness) และระดับความสามารถในการผลิต
ความต้องการด้านสารสนเทศของธุรกิจ ประกอบด้วย 7 ด้านดังนี้
ประสิทธิผล ความต้องการของธุรกิจ กับความสามารถของระบบเทคโนโลยีสารสนเทศในการให้ข้อมูลที่มีความสำคัญ
ประสิทธิภาพ ความต้องการของธุรกิจที่เกี่ยวข้องกับการใช้ทรัพยากรในการจัดหาหรือ จัดทำข้อมูลที่ใช้ให้เพิ่มผลผลิต และประหยัด
การรักษาความลับ ปกป้อง และรักษาข้อมูลที่เป็นความลับจากการเปิดเผยโดย ไม่ได้รับอนุญาต
ความถูกต้อง ความถูกต้อง และความครบถ้วนของข้อมูลความเหมาะสม และสะท้อนความจริงของข้อมูล
การมีอยู่และพร้อมให้ใช้งาน ข้อมูล เมื่อต้องการใช้ในกระบวนการธุรกิจ ทั้งในปัจจุบันและอนาคต
การปฏิบัติตามกฎ ระเบียบ ข้อบังคับ
ความน่าเชื่อถือของข้อมูล การจัดหาข้อมูลที่เหมาะสมให้กับผู้บริหาร
ความรับผิดชอบในการเสนอรายงานทางการเงิน และรายงานอื่นตามข้อบังคับ
กระบวนการดา้ นเทคโนโลยี ประกอบด้วย 4 กระบวนการ
การวางแผนด้านเทคโนโลยีสารสนเทศ การจัดองค์กร ของหน่วยงานด้านเทคโนโลยีสารสนเทศ
การจัดหา พัฒนา และปรับปรุงดูแลระบบเทคโนโลยีสารสนเทศ
การส่งมอบ และให้บริการสนับสนุนการใช้งานระบบเทคโนโลยีสารสนเทศ
การติดตามและตรวจสอบการปฏิบัติงาน และควบคุมด้านเทคโนโลยีสารสนเทศ
9.5 จริยธรรมทางด้านคอมพิวเตอร์
9.5.1 จริยธรรมและกฎหมาย
จริยธรรม แบบแผนความประพฤติหรือความมีสามัญสำนึกต่อสังคมที่ดีโดยมีมีกฎเกณฑ์ตายตัว
กฎหมาย กฎที่สถาบันหรือผู้มีอำนาจสูงสุดในรัฐตราขึ้น หรือที่เกิดขึ้นจากจารีตประเพณีอันเป็นที่ยอมรับนับถือ
9.5.2 จริยธรรมทางด้านคอมพิวเตอร์
9.5.2.1 สิทธิส่วนบุคคล
สิทธิส่วนบุคคลทางด้านกายภาพ
สิทธิส่วนบุคคลทางด้านสารสนเทศ
9.5.2.2 ความถูกต้อง ความถูกต้องของข้อมูลและสารสนเทศที่จัดเก็บอยู่ในข้อมูลของระบบสารสนเทศมีความสำคัญเป็นอย่างมาก
9.5.2.3 ความเป็นเจ้าของ กฎหมายทรัพย์สินทางปัญญา ทรัพย์สินทางปัญญา มี 3 ประเภท ได้แก่
1.) ลิขสิทธิ์
2.) เครื่องหมายทางการค้า
3.) สิทธิบัตร
9.5.2.4 การเข้าถึง สิทธิในการเข้าถึงข้อมูลข่าวสารสนเทศ และการจ่ายค่าธรรมเนียมในการเข้าถึงข้อมูล