วันอาทิตย์ที่ 10 กรกฎาคม พ.ศ. 2559

Virtual Desktop Infrastructure (VDI)

ประโยชน์และความคุ้มค่าของระบบ 

Virtual Desktop Infrastructure ( VDI )





สำหรับเทคโนโลยีสารสนเทศในองค์กรที่โดดเด่นในปี 2011 มากๆ และน่าจะกลายเป็นเทรนด์ที่มาแรงที่สุดอันหนึ่งในปี 2012 ก็คงจะหนีไม่พ้นเทคโนโลยี Virtual Desktop Infrastructure หรือที่เรามักจะได้ยินคำย่อว่า VDI นั่นเอง เนื่องจากแนวคิดของ VDI นั้นสามารถเพิ่มความคล่องตัว และความปลอดภัยให้แก่ระบบเทคโนโลยีสารสนเทศภายในองค์กรได้อย่างครบถ้วน และถือเป็นทางเลือกในการลงทุนระยะยาวที่คุ้มค่าที่สุดระบบหนึ่งในปัจจุบัน

Virtual Desktop Infrastructure (VDI) คืออะไร?

กล่าวโดยสรุปแล้ว VDI คือการนำเทคโนโลยี Virtualization เข้ามาช่วยปรับปรุงระบบ PC ของผู้ใช้งาน โดยแทนที่เราจะต้องซื้อ Hardware ที่มีประสิทธิภาพสูงมาใช้งานเป็น PC แต่ละเครื่องสำหรับผู้ใช้งานแต่ละคน โดยที่ผู้ใช้งานแต่ละคนต่างก็ไม่ได้ใช้งานประสิทธิภาพของ Hardware เหล่านั้นอย่างเต็มที่ตลอดเวลา เราก็ได้นำแนวคิดของการทำ Consolidation เหมือนกับที่ทำกับ Server (Server Consolidation) ไม่ว่าจะเป็นการนำ VMware vSphereCitrix XenServer หรือ Microsoft Hyper-V เข้ามาใช้งาน เพื่อลดจำนวนของ Hardware ลง และเพิ่มความคุ้มค่าในการใช้งาน Hardware เหล่านั้นให้มากขึ้น โดยการยุบรวม Image ของ PC ในองค์กรทั้งหมดมาอยู่บน Virtualization Infrastructure ให้ใช้ Hardware ร่วมกันทั้ง CPU, RAM และ Hard Drives และให้ผู้ใช้งานทำการเข้าถึง Image เหล่านี้ผ่าน Remote Client Software แทน
และเช่นเดียวกับการนำ Virtualization มาประยุกต์ใช้กับ Server การนำแนวคิดนี้มาใช้กับ PC ยังส่งผลดีอื่นๆ อีกมากมายนอกเหนือไปจาก Hardware Consolidation ด้วย ไม่ว่าจะเป็นประเด็นทางด้านความคล่องตัวในการบริหารจัดการ, ความปลอดภัยที่มากขึ้น รวมถึงการปกป้องการรั่วไหลของข้อมูลในองค์กรได้ดีขึ้นอีกด้วย

ตัวอย่างการ Deploy ระบบ VDI ด้วย VMware View และ Nutanix


สำหรับตัวอย่างการ Deploy ระบบ VDI ด้วย VMware View ร่วมกับโซลูชัน Cloud Server นั้น สามารถดูได้จาก Nutanix VDI with VMware View Architecture ซึ่งจะเห็นได้ว่าสำหรับการออกแบบระบบ VDI ที่ดีนั้น การใช้ Hardware เฉพาะทางอย่าง Nutanix จะช่วยให้ Virtual Desktop ทั้งหมดทำงานได้อย่างรวดเร็วเสมอ ไม่ว่าจะเป็นการ Deploy ระดับ 300 Virtual Desktop หรือ 3,000 Virtual Desktop ก็ตาม อีกทั้งยังช่วยประหยัดพื้นที่ได้อีกด้วย เนื่องจาก Nutanix ถูกออกแบบมาสำหรับงานประเภท Private Cloud และ VDI โดยเฉพาะนั่นเอง ซึ่งประสิทธิภาพของระบบนี้เป็นสิ่งที่สำคัญมาก เพราะถ้าหากระบบ VDI ทำงานได้ช้า นั่นแปลว่าผู้ใช้งานทั้งระบบก็จะประสบกับความช้าเหล่านี้พร้อมกันทุกคนนั่นเอง การเลือก Hardware ที่มีประสิทธิภาพเหนือกว่าระบบ SAN Storage ทั่วๆ ไปจึงเป็นปัจจัยที่สำคัญเป็นอย่างมากว่าระบบ VDI จะสามารถใช้งานได้ดีหรือไม่นั่นเอง
คราวนี้เรามาดูกันต่อว่าประโยชน์ของระบบ VDI นั้นมีอะไรบ้าง



ประโยชน์ของระบบ Virtual Desktop Infrastructure (VDI)


1. ลดความซ้ำซ้อนของ Hardware ประสิทธิภาพสูง
สำหรับหน่วยงานต่างๆ ที่ผู้ใช้งานแต่ละคนในองค์กร จำเป็นต้องมีการประมวลผลด้วย CPU ประสิทธิภาพสูง, Network ความเร็วสูง หรือ Hard Drive ความเร็วสูง แต่ผู้ใช้งานแต่ละคนไม่ได้ทำการประมวลผลนี้พร้อมๆ กันทุกคน การยุบรวม PC ทั้งหมดให้มาใช้งาน Server ตรงกลางร่วมกันแทน ก็ทำให้เราสามารถประหยัดค่าใช้จ่ายในการลงทุนทั้งตัว Hardware PC และ Client Network ลงไปได้

2. เพิ่มความยืดหยุ่นในการบริหารจัดการ
เนื่องจากระบบ VDI นั้น เป็นการใช้งาน Image ของระบบปฏิบัติการของผู้ใช้งานร่วมกัน ดังนั้นการบริหารจัดการ Virtual PC ทั้งหมดจึงสามารถทำได้จากศูนย์กลาง และการเปลี่ยนแปลงใดๆ บน Image หลักของ Virtual PC นั้น ก็จะส่งผลต่อไปยัง Virtual PC ของผู้ใช้งานทั้งหมดได้ทันที ไม่ว่าจะเป็นการติดตั้ง Client Software เพิ่มเติม, อัพเดต Antivirus, อัพเดต Patch หรือแม้แต่การอัพเกรดระบบปฏิบัติการของผู้ใช้งานก็ตาม
จินตนาการถึงองค์กรที่มี PC 200 เครื่อง และมีผู้ดูแลระบบเพียง 1 คน การปรับปรุงระบบของผู้ใช้งาน 200 คนพร้อมๆ กันคงไม่ใช่เรื่องง่ายนัก แต่ถ้านำ VDI มาใช้งานแทน ผู้ดูแลระบบเพียง 1 คน ก็สามารถบริหารจัดการ PC ของผู้ใช้งานจำนวน 200 คน หรือ 2,000 คนได้ เสมือนกับการบริหารจัดการ PC เพียงแค่เครื่องเดียวเท่านั้น
3. เพิ่มความปลอดภัยให้แก่ PC ทุกเครื่อง
หนึ่งในแนวทางที่จัดได้ว่าเป็น Best Practice ที่สุดทางด้านความปลอดภัยในระบบเครือข่ายขององค์กร ก็คงจะหนีไม่พ้นการติดตั้งระบบ Microsoft Active Directory หรือเรียกสั้นๆ ว่า MS AD นั่นเอง เนื่องจาก AD จะช่วยให้การยืนยันตัวตนของผู้ใช้งานและการบริหารจัดการด้านความปลอดภัยเป็นไปได้อย่างง่ายดายยิ่งขึ้น ซึ่งในปัจจุบันการติดตั้ง AD นั้นยังถือว่าทำได้ยากในทางปฏิบัติสำหรับหลายๆ องค์กร เพราะการทำ AD นั้นถือได้ว่าเป็นงานที่ใช้เวลาเยอะ และผู้ดูแลระบบต้องเข้าไปจัดการปรับปรุงเครื่องของผู้ใช้งานแต่ละคนด้วยตนเอง และส่งผลให้มีปัญหาต่างๆ ตามมามากมายในระหว่างการปฏิบัติงาน
แต่สำหรับระบบ VDI นั้น ผู้ดูแลระบบเพียงแค่ทำการ Join AD ให้กับ Image ของ PC หลักเพียงเครื่องเดียวเท่านั้น จากนั้น Virtual PC ทั้งหมดก็จะมีสภาพเหมือนได้ทำการ Join AD เอาไว้แล้วทันที

4. ควบคุมสิทธิ์ในการเข้าถึงระบบเครือข่ายได้ง่ายยิ่งขึ้น
เดิมทีนั้น การออกแบบระบบความปลอดภัยให้แก่ PC ทั้งหมดในองค์กรถือเป็นเรื่องที่ซับซ้อนและสิ้นเปลืองเป็นอย่างมาก เนื่องจากมีประเด็นทางด้าน Physical ที่ต้องวางแผนให้ครอบคลุมอยู่มาก ทำให้การลงทุนต่างๆ ทั้งสำหรับ Firewall, IPS, Bandwidth Shaper และ Network Access Control ยิ่งสูงตามไปด้วย จนอาจจะเรียกได้ว่าความปลอดภัยในระดับของ Network Layer 2 สำหรับผู้ใช้งานนั้นแทบจะเป็นไปไม่ได้เลยทีเดียว
แต่สำหรับระบบ VDI นั้น Traffic ทุกอย่างในระบบเครือข่ายจะถูกรวมอยู่ที่ศูนย์กลาง ทำให้การตรวจสอบดูแลและควบคุมนั้นเป็นไปได้ง่ายยิ่งขึ้น เพราะไม่มีประเด็นทางด้าน Physical มากนัก อีกทั้งปัจจุบันระบบ Security ในระดับ Layer 2 บน Hypervisor เองก็ได้พัฒนาไปมาก และมีผู้ผลิตรายที่น่าสนใจอย่าง Catbird (www.catbird.com) ที่สามารถตรวจสอบและควบคุม Traffic ต่างๆ ที่เกิดขึ้นบนระบบ Virtualization Infrastructure ได้อย่างมีประสิทธิภาพ โดยใช้เทคโนโลยี Virtual Appliance เข้ามาช่วยลดต้นทุนทางด้าน Hardware ลง ซึ่งถือได้ว่าเป็นแนวคิดที่น่าสนใจมาก
5. ลดค่าใช้จ่ายของระบบในระยะยาว
การลงทุน VDI ในครั้งแรกนั้น จะมีค่าใช้จ่ายทางด้านตัว Virtualization Infrastructure ค่อนข้างสูง และต้องมีการลงทุนทางด้านลิขสิทธิ์ซอฟต์แวร์ค่อนข้างมาก โดยในช่วงแรกๆ ของการลงทุนนั้น สิ่งที่สามารถเห็นผลได้ชัดเจนที่สุดคือความคล่องตัวในการบริหารจัดการ และความปลอดภัยที่เพิ่มขึ้นอย่างมากในระบบเครือข่าย
แต่ในระยะยาวนั้น ค่าใช้จ่ายในการดูแลรักษาอุปกรณ์ฝั่ง Client จะค่อยๆ ลดลงด้วย เนื่องจากเราสามารถนำ Thin Client Device เข้ามาใช้แทน PC ได้ อีกทั้งอุปกรณ์ PC เก่าๆ ก็ยังสามารถนำมาประยุกต์ใช้เป็น VDI Client ได้อีกด้วย ถือเป็นการยืดอายุการใช้งานให้กับ Hardware ต่างๆ ในระบบอีกมากมาย




การประเมินความคุ้มค่าของระบบ Virtual Desktop Infrastructure


1. ความคุ้มค่าจากการลดลงของค่าใช้จ่ายทางด้านการบริหารจัดการ
สมมติในแต่ละปี ผู้ดูแลระบบมีงานดังต่อไปนี้
  • การ Join AD จำนวน 1,000 เครื่อง
  • การอัพเกรด OS Patch จำนวน 1,000 เครื่อง ทุกๆ 6 เดือน
  • การอัพเกรด Antivirus จำนวน 1,000 เครื่อง ทุกๆ 1 เดือน
  • การกำจัด Virus จำนวน 100 เครื่อง ทุกๆ 1 เดือน
  • การติดตั้ง Software ใหม่ จำนวน 1,000 เครื่อง ทุกๆ 6 เดือน
  • การติดตั้ง PC ใหม่ จำนวน 100 เครื่อง
ซึ่งจากตัวเลขนี้เป็นการประมาณการคร่าวๆ เท่านั้น ก็จะเห็นได้ว่าผู้ดูแลระบบที่มีเครื่อง PC ถึง 1,000 เครื่องนั้น มีงานต้องทำถึง 1,000 + 2*1,000 + 12*1,000 + 12*100 + 2*1,000 + 100 = 18,300 งานต่อ 1 ปีเลยทีเดียว โดยสำหรับองค์กรที่ต้องการความปลอดภัยสูงนั้น อาจจะต้องทำการอัพเกรดระบบต่างๆ ถึงขั้นราย 3 วัน นั่นแปลว่าปริมาณงานในการดูแลเครื่อง PC ทั้งองค์กรยังมีเยอะกว่านี้อีกมาก
แต่สำหรับการทำ VDI นั้น การกระทำใดๆ ต่อ 100 เครื่อง หรือ 1,000 เครื่อง สำหรับผู้ดูแลระบบก็เปรียบเสมือนงานเพียงงานเดียวเท่านั้น ดังนั้นสำหรับองค์กรที่มีเครื่อง PC 1,000 เครื่อง งานก็จะลดลงเหลือเพียงแค่ 1 + 2 + 12 + 2 + 1 = 18 งานต่อ 1 ปีเท่านั้น ทำให้ผู้ดูแลระบบมีเวลาว่างมากขึ้นในการไปจัดการปัญหาอื่นๆ ในระบบเครือข่าย หรือยกระดับความปลอดภัยของผู้ใช้งานโดยทำการอัพเกรด Patch, Antivirus ให้ถี่ขึ้น และเพิ่มการติดตั้ง Antispyware และระบบ Backup ให้กับผู้ใช้งานด้วย โดยจำนวนงานต่อ 1 ปีก็ยังคงไม่เกิน 50 งานเท่านั้นได้ ทำให้ผู้ดูแลระบบที่มักจะมีจำนวนน้อยมากเมื่อเทียบกับผู้ใช้งาน ยังคงสามารถดูแลระบบได้อย่างมีประสิทธิภาพ

2. ความคุ้มค่าของการลดค่าใช้จ่ายทางด้าน Hardware และการดูแลระบบในระยะยาว
ในระยะยาวแล้ว ผู้บริหารขององค์กรการเพิ่มอายุการใช้งานของเครื่อง PC และ Thin Client ได้ เนื่องจากการประมวลผลทั้งหมดตกไปอยู่ที่เครื่อง VDI ส่วนกลางแล้ว และการจัดซื้ออุปกรณ์ทดแทน PC ในรอบ 3 – 5 ปี ก็สามารถเปลี่ยนไปใช้เป็น Thin Client เพื่อลดค่าใช้จ่ายได้อีกด้วย
ในขณะเดียวกัน การจัดซื้อระบบต่างๆ ก็ไม่จำเป็นต้องซื้อลิขสิทธิ์ของ Microsoft Windows ทุกรอบที่มีการจัดซื้อ PC อีก เนื่องจากลิขสิทธิ์ของผู้ใช้งานได้จัดเก็บเอาไว้ที่ระบบ VDI ส่วนกลางแล้ว และผู้ดูแลระบบก็ไม่ต้องกังวลปัญหาเรื่อง Hardware Compatibility, Driver และอื่นๆ อีกมากมาย รวมถึงบางครั้งการที่ระบบปฏิบัติการเดิมที่ใช้งานอยู่อาจจะเก่าเกินกว่ารุ่นปัจจุบันและหาซื้อไม่ได้ แต่ทางองค์กรยังจำเป็นต้องใช้งานต่อ ในระบบ VDI ก็รองรับงานลักษณะนี้ด้วยเช่นกัน

3. ความคุ้มค่าทางอ้อมของระบบ VDI
3.1 คุณประโยชน์จากการ Join AD
เป็นที่รู้กันว่าการดูแลระบบที่มีการ Join AD กับการดูแลระบบทั่วๆ ไปที่ไม่มีการ Join AD นั้น ทางองค์กรต้องลงทุนอุปกรณ์ต่างๆ สำหรับความปลอดภัยต่างๆ มากมาย แต่ในขณะที่การ Join AD จะช่วยลดภาระค่าใช้จ่ายเบื้องต้นไปได้มาก ไม่ว่าจะเป็นระบบการยืนยันตัวตน, การบริหารจัดการจากศูนย์กลาง, การจัดเก็บ Log ต่างๆ เป็นต้น ทำให้อุปกรณ์ความปลอดภัยที่จะลงทุนถัดจากนี้ สามารถตัดประเด็นเรื่อง Throughput ในการยืนยันตัวตน และการทำ Single Sign-on ออกไปได้
3.2 ระบบเครือข่ายที่ซับซ้อนน้อยลง
เนื่องจาก Traffic ทั้งหมดของผู้ใช้งาน VDI ถูกรวมไปอยู่ที่ศูนย์กลางทั้งหมดแล้ว ดังนั้นสิ่งที่ผู้ดูแลระบบต้องสนใจในระบบเครือข่ายนี้จึงลดน้อยลงมาก จนอาจเหลือเพียงแค่การจัดการกับผู้ใช้งานแบบขาจร เช่น ผู้ใช้งานระบบเครือข่ายไร้สาย และแขกผู้ใช้งานชั่วคราว ทำให้การลงทุนเพื่อดูแลระบบเครือข่ายลดน้อยลงไปมาก
3.3 เพิ่มความเป็นไปได้ในการทำงานแบบ Remote และ Disaster Recovery
ระบบ VDI สามารถต่อยอดให้มีการส่งหน้าจอของ Virtual PC หรือ Application บางชนิดไปให้ผู้ใช้งานที่อยู่ภายนอกองค์กรได้ เช่น Microsoft Office หรือ ระบบ ERP ที่พัฒนาเอง เป็นต้น โดยผู้ดูแลระบบไม่จำเป็นต้องเอาตัว Application นั้นๆ ไปลงที่เครื่องของผู้ใช้งานตรงๆ หรือทำการอัพเดตซอฟต์แวร์บนเครื่องเหล่านั้น เพียงแค่ผู้ดูแลระบบทำการติดตั้ง Application นี้บนระบบ VDI และติดตั้งซอฟต์แวร์ Agent ให้ปลายทางสามารถ Remote เข้ามาใช้งานได้เท่านั้น โดยการใช้งานในกลักษณะนี้จะมีชื่อเรียกว่า Application Virtualization และสามารถใช้ได้บน Platform ที่หลากหลาย ทั้ง Microsoft Windows, Linux, Mac OS X, iPhone, iPad, Android หรือแม้แต่ Nokia Symbian และ Windows Phone ก็ตาม



สำหรับผู้ที่สนใจในระบบ VDI นี้ ทาง Throughwave Thailand มีทีมสำหรับให้คำปรึกษาโดยเฉพาะ และสามารถนำเสนอระบบ Hardware ชั้นนำได้ ไม่ว่าจะเป็นระบบ Server จาก Supermicro และ SAN Storage จาก Infortrend สำหรับการออกแบบระบบ Virtualization ในแบบปัจจุบัน หรือ Cloud Server และ Cloud Storage จาก Nutanix สำหรับการออกแบบระบบ Virtualization ในอนาคตด้วยสถาปัตยกรรมเดียวกับ Google, Facebook และ Amazon รวมถึงระบบ VMware Security จาก Catbird ที่จะทำให้สามารถยกระดับความปลอดภัยบนระบบ VMware ให้เป็นมาตรฐานระดับสถาบันการเงินชั้นสูงได้ทันที


ที่ ไม่มีความคิดเห็น:

วันอาทิตย์ที่ 3 กรกฎาคม พ.ศ. 2559

「ระบบการบริหารความปลอดภยัของข้อมูล ISO 270001」


ระบบมาตรฐานด้านความปลอดภัยของข้อมูล ISO 27001

  ISO/IEC 27001:2005 (Information Security Management System: ISMS) เป็นมาตรฐานการจัดการข้อมูลที่มีความสำคัญเพื่อให้ธุรกิจดำเนินไปอย่างต่อเนื่อง ซึ่งข้อกำหนดต่างๆกำหนดขึ้นโดยองค์กรที่มีชื่อเสียงและมีความน่าเชื่อถือระหว่างประเทศ คือ ISO (The International Organization for Standardization) และ IEC (The International Electrotechnical Commission) การประยุกต์ใช้ ISMS จะช่วยให้กิจกรรมทางธุรกิจต่อเนื่องไม่สะดุดช่วยป้องกันกระวนการทางธุรกิจจากภัยร้ายแรงต่างๆเช่น แผ่นดินไหววาตภัยอุทกภัย ฯลฯ และ ความเสียหายของระบบข้อมูล โดยครอบคุม ทุกกลุ่มอุตสาหกรรมและทุกกลุ่มธุรกิจ

  มาตรฐานนี้เป็นมาตรฐานสากลที่มุ่งเน้นด้านการรักษาความมั่นคงปลอดภัยให้กับระบบสารสนเทศขององค์กร และใช้เป็นมาตรฐานอ้างอิงเพื่อเป็นแนวทางในการเสริมสร้างความมั่นคงปลอดภัย ให้กับระบบสารสนเทศขององค์กรอย่างแพร่หลาย ก่อนจะมาเป็นมาตรฐานสากลนี้ มาตรฐานISO/IEC 27001 และ ISO/IEC 17799:2005 ได้รับการแก้ไขปรับปรุงมาจากมาตรฐานเดืมที่ชื่อว่า BS 7799-1 และ ISO/IEC 17799 : 2000 ตามลำดับ เนื้อหาของมาตรฐาน ISO 27001 : 2005 จะเกี่ยวข้องกับการจัดตั้งและปฏิบัติใช้งาน ระบบบริหารความมั่นคงของข้อมูล” ขึ้นในองค์กร ซึ่งในแนวคิดของมาตรฐานส่วนนี้จะเป็นแนวทางสำคัญเนื้อหาของมาตรฐาน ISO 27001 : 2005 แบ่งออกเป็น ส่วนดังนี้



1.ขอบเขต (Scope)
2.มาตรฐานอ้างอิง (Normative reference)
3.คำจำกัดความและนิยาม (Term and definitions)
4.ระบบบริหารความมั่นคงของข้อมูล (Information security management system)
5. หน้าที่ ความรับผิดชอบของฝ่ายบริหาร (Management responsibility)
6.การตรวจประเมินการบริหารความมั่งคงของข้อมูลภายใน (Internal ISMS audit)
7.การทบทวนการบริหารความมั่นคงของข้อมูล (Management review of the ISMS)
8.การปรับปรุงการบริหารความมั่นคงของข้อมูล (ISMS improvement)



ความแตกต่างระหว่างมาตรฐาน ISO/IEC27001 กับ ISO/IEC17799-2005 สามารถอธิบายโดยย่อได้ดังนี้
1.ขอบเขต (Scope)
2.ศัพท์เทคนิคและนิยาม (Terms and definitions)
3.โครงสร้างของมาตรฐาน (Structure of this standard)
4.การประเมินความเสี่ยงและการจัดการกับความเสี่ยง / ลด / โอนย้าย / ยอมรับความเสี่ยง (Risk assessment and treatment)
สำหรับมาตรฐาน ISO/IEC 17799-2005 ว่าด้วยเรื่องของวิธีปฏิบัติที่จะนำไปสู่ระบบบริหาร จัดการความมั่นคงปลอดภัยที่องค์กรได้จัดทำขึ้น ซึ่งจะต้องเป็นไปตามข้อกำหนดในมาตรฐาน ISO/IEC27001 รายละเอียดของมาตรฐานนี้จะบอกถึงวิธีปฏิบัติในการลดความเสี่ยงที่เกิดจากจุดอ่อนของระบบโดยแบ่งเป็นหัวข้อหลักที่เกี่ยวข้องกับระบบ และให้แนวทางว่าผู้จัดทำควรปฏิบัติอย่างไร ซึ่งผู้ใช้สามารถเพิ่มเติมมาตรการหรือใช้วิธีการที่มีความมั่นคงปลอดภัยเพียงพอ หรือเหมาะสมตามที่องค์กระได้ประเมินไว้
  หลักการของการออกแบบโครงสร้างระบบ ISO/IEC27001:2005 เป็นระบบพลวัตร (Dynamic System)ซึ่งอ้างอิง รูปแบบ PDCA Model (Plan Do Check Action) ซึ่งเป็นโครงสร้างเดียวกับ ระบบ การบริหารที่เป็นสากลที่ใช้กันทั่วโลก เช่น ระบบการจัดการคุณภาพ (ISO 9001:2000), ระบบการจัดการสิ่งแวดล้อม (ISO14001:2004), ระบบการจัดการคุณภาพสำหรับอุตสาหกรรมรถยนต์ (ISO/TS 16949), ระบบการจัดการจัดการคุณภาพสำหรับอตสาหกรรมอาหาร (ISO 21001) ฯลฯ ซึ่งองค์ที่มีการประยุกต์ระบบการจัดการต่างๆนี้แล้ว จะสามารถต่อยอดระบบ ISO/IEC27001:2005ได้เร็วและง่ายขึ้น แต่สำหรับ องค์กรที่ยังไม่มีระบบการจัดการใดๆ ก็ใช่ว่าจะประยุกต์ใช้ยากเพราะ ระบบ มีการเขียนที่เข้าใจง่ายและแบ่งหมวดให้ง่ายต่อความเข้าใจตาม PDCA อยู่แล้วเพียงแต่ต้องทำความเข้าใจกับระบบให้มากขึ้น
ISO/IEC27001:2005 หรือ Information Security Management System (ISMS) เป็นระบบการจัดการความปลอดภัยของข้อมูล เพื่อให้ระบบข้อมูลสารสนเทศขององค์กรมีคุณสมบัติในด้านต่างๆดังต่อไปนี้
• Confidentiality เพื่อให้มั่นใจได้ว่าข้อมูลต่างๆ สามารถเข้าถึงได้เฉพาะ ผู้ที่มี สิทธิที่จะเข้าเท่านั้น
• Integrity เพื่อให้มั่นใจได้ว่า ข้อมูลมีความถูกต้องครบถ้วนสมบูรณ์ โดยไม่ได้ถูกเปลี่ยนแปลงหรือแก้ไข จากผู้ไม่ได้รับอนุญาติ
• Availability เพื่อให้มั่นใจได้ว่าข้อมูลพร้อมที่จะใช้งานอยู่เสมอ โดยผู้ที่มีสิทธิในการเข้าถึงข้อมูลสามารถเข้าถึงได้ทุกเมื่อ หากต้องการ

ระบบ ISMS เป็นระบบ Dynamic system ที่ใช้โครงสร้าง PDCA ดังนั้น ระบบจะมีการหมุนเพื่อปรับปรุงอย่างต่อเนื่องอยู่ตลอดเวลามี่ที่สิ้นสุด โดยโครงสร้างของข้อกำหนด จะถูกแบ่งตาม PDCA ดังนี้
Plan - การจัดทำระบบ ISMS
Establish ISMS
a) กำหนด scope และ ขอบเขตการจัดทำระบบ ISMS
b) กำหนด ISMS Policy
c) กำหนด รูปแบบการประเมินความเสี่ยง
d) กำหนดความเสี่ยง
e) วิเคราะห์ และ ประเมินความเสี่ยง
f) กำหนดและประเมิน วิธีการเพื่อลดความเสี่ยง
g) เลือกการควบคุม เพื่อลดความเสี่ยง
h) เห็นชอบความเสี่ยงที่เหลืออยู่โดย management
I) เห็นชอบและประยุกต์ใช้ ระบบ โดย management
J) จัดทำ Statement of Applicable(SOA)
Do - ประยุกต์ใช้และดำเนินการ ระบบ ISMS
Implement and Operate the ISMS
a) กำหนดแผนการลดความเสี่ยง
b) ดำเนินการตามแผนลดความเสี่ยง
c) ดำเนินการ ตามการควบคุมที่เลือกตาม 4.2.1g
d) กำหนดการวัดประสิทธิภาพของระบบการควบคุม
e) จัดทำรายการฝึกอบรม
f) จัดการการประยุกต์ใช้ระบบ
g) ประยุกต์ใช้ ระเบียบปฎิบัติงาน
Check - เฝ้าระวังและตรวจสอบระบบ ISMS
Monitor and review ISMS
a) จัดทำ ระเบียบปฏิบัติการ เฝ้าระวังและตรวจสอบระบบ ISMS
b) ทบทวนประสิทธิภาพของ ระบบอย่างสม่ำเสมอ
c) วัดประสิทธิภาพการควบคุมในการปฏิบัติตามข้อกำหนด
d) ทบทวน การประเมินความเสี่ยงตามแผน ความเสี่ยงที่เหลือ ระบบการประเมินความเสี่ยง และการเปลี่ยนแปลงต่างๆ ตามรอบเวลาที่กำหนด
e) ดำเนินการ ตรวจติดตามภายในระบบISMS
f) ดำเนินการ จัดทำ management review
g) ปรับปรุง security plan ให้ทันสมัย
h) บนทึกการการทำงานและหลักฐานที่มีผลต่อประสิทธิภาพและประสิทธิผลของระบบ
Action - รักษาและปรับปรุง ระบบ ISMS
Maintain and improve the ISMS
a) ดำเนินการ corrective action และ preventive action
b) สื่อสาร วิธีการและการปรับปรุงต่างๆ ให้กับผู้ที่เกี่ยข้องต่างๆ
c) แน่ใจว่า วิธีการที่ปรับปรุงขึ้น บรรลุจุดประสงค์ที่วางไว้
นอกจากนี้ บางข้อกำหนดในระบบ ISMS ถูกแยกมากล่าวเพื่อชี้แจงรายละเอียดดังนี้
4.3 Document control
4.3.1 General
4.3.2 Control of Document
4.3.3 Control of Record
5. Management Responsibility
5.1 Management Commitment
5.2 Resource management
6 Internal Audit
7 Management Review
7.1 General
7.2 Review Input
7.3 Review Out put
8 ISMS Improvement
8.1 Continual Improvement
8.2 Corrective action
8.3 Preventive action



ปัจจุบันข้อมูลสารสนเทศเปรียบเสมือนสินทรัพย์ที่มีมูลค่าและบทบาทสำคัญต่อการบริหารจัดการองค์กร ดังนั้นองค์กรต่างๆจึงเริ่มตระหนักถึงการปกป้องรักษาข้อมูลสารสนเทศที่สำคัญๆ อันนำมาซึ่งความท้าทายในการบริหารความมั่นคงปลอดภัยสำหรับสารสนเทศอย่างเป็นมาตรฐาน และมีประสิทธิภาพคุ้มค่ากับการลงทุน เพื่อให้ผู้ใช้ข้อมูลสารสนเทศมีความเชื่อมั่นว่าข้อมูลสารสนเทศดังกล่าวมีความปลอดภัยตามหลักของ C I A ซึ่งประกอบด้วย มีกระบวนการรักษาความลับที่เหมาะสม ผู้มีสิทธิเท่านั้นถึงจะเข้าถึงได้ (C : Confidentiality) มีความสมบูรณ์ถูกต้องของเนื้อหาสาระ (I : Integrity) และมีความพร้อมใช้งานอยู่เสมอ ผู้ใช้สามารถเข้าถึงข้อมูลเมื่อต้องการได้ทุกเวลา (A : Availability) โดยเฉพาะในโอกาสที่ประเทศไทยจะก้าวไปสู่ประชาคมอาเซียนในปี 2015 (ASEAN Community 2015) องค์กรต่างๆในประเทศไทยจึงจำเป็นต้องเริ่มตระหนักถึงความสำคัญในการบริหารจัดการความมั่นคงปลอดภัยสำหรับสารสนเทศ เพื่อสร้างความมั่นใจให้กับผู้บริหาร พนักงาน ลูกค้า และคู่ค้า ว่าสารสนเทศขององค์กรจะมีคุณสมบัติครบตามหลัก C I A


ในปีที่ผ่านมา ผู้เขียนได้มีโอกาสรับการสนับสนุนจาก องค์การเพิ่มผลผลิตแห่งเอเชีย หรือ Asian Productivity Organization (APO) ในการเข้าร่วมโครงการ Training Course on the Information Security Management System: ISO 27000 Series ซึ่งมีจุดมุ่งหมายเพื่อให้การฝึกอบรมเชิงลึกเกี่ยวกับการประยุกต์ใช้ระบบการจัดการตามระบบคุณภาพ ISO 27000 อันเป็นมาตรฐานของระบบคุณภาพที่ใช้ในการบริหารความมั่นคงปลอดภัยสำหรับสารสนเทศ หรือ Information Security Management (ISM) และเตรียมความพร้อมให้ผู้ร่วมโครงการที่มาจากประเทศสมาชิกต่างๆดังกล่าวสามารถเป็นผู้นำการประเมินและการปฏิบัติงานตามมาตรฐาน ISO 27000 ได้อย่างมีประสิทธิภาพ ทำให้ผู้เขียนมีความเข้าใจถึงความสำคัญและการประยุกต์ใช้ระบบคุณภาพตามมาตรฐาน ISO 27000 ยิ่งขึ้น ด้วยเหตุนี้ผู้เขียนจึงอยากนำความรู้และประสบการณ์ที่ได้ มาแลกเปลี่ยนแบ่งปันกับผู้อ่านเพื่อให้ทุกท่านได้ตระหนักถึงการรักษาความมั่นคงปลอดภัยสำหรับสารสนเทศและสามารถนำไปประยุกต์ให้เกิดประโยชน์ต่อตนเองและองค์กรได้ต่อไป
ระบบบริหารจัดการความมั่นคงปลอดภัยสำหรับสารสนเทศ หรือ Information Security Management System (ISMS) นั้น คือ ระบบหรือกระบวนการที่ใช้ในการบริหารจัดการสารสนเทศที่มีความสำคัญขององค์กรให้มีความมั่นคงปลอดภัยตามหลัก C I A ซึ่งมีแนวทางการปฏิบัติตามขั้นตอนของกระบวนการดังนี้
เริ่มตั้งแต่ทำการวิเคราะห์และประเมินความเสี่ยงเพื่อทำให้ทราบว่าสารสนเทศใดที่มีความสำคัญต่อการดำเนินธุรกิจขององค์กร โอกาสที่จะเกิดความเสี่ยงและความเสียหายอันส่งผลกระทบต่อการดำเนินธุรกิจขององค์กรจากภัยคุกคามทั้งภายในภายนอกกับสารสนเทศนั้นมากน้อยแค่ไหน มีวิธีการบริหารจัดการในการป้องกันความเสี่ยงดังกล่าวอย่างไร โดยจำเป็นต้องจัดลำดับความสำคัญของความเสี่ยงทั้งหมดที่พบ และพิจารณาว่าสิ่งใดจำเป็นต้องรีบบริหารจัดการก่อนและหลัง จากนั้นจึงดำเนินการตามวงจร P (Plan หรือ การวางแผน) D (Do หรือ การประยุกต์ใช้หรือการดำเนินการ)C (Check หรือ การตรวจสอบ) A (Action หรือ การบำรุงรักษาหรือการปรับปรุง) โดยเริ่มจากทำการออกแบบระบบบริหารจัดการ ซึ่งในที่นี้หมายถึงกระบวนการที่เปรียบเสมือนเป็นเครื่องมือในการรักษาความมั่นคงปลอดภัย แต่ไม่ได้หมายรวมเพียงแค่การนำระบบเทคโนโลยีสารสนเทศมาสนับสนุนเท่านั้น ยังหมายรวมถึงการพัฒนาขั้นตอนปฏิบัติหรือการนำขั้นตอนปฏิบัติที่มีอยู่เดิมมาปรับปรุงเพื่อให้เกิดกระบวนการป้องกันและรักษาความมั่นคงปลอดภัยของสารสนเทศที่ใช้ในการดำเนินธุรกิจขององค์กรอย่างเหมาะสม โดยหลังจากที่ได้ระบบที่ต้องการแล้วก็ทำการดำเนินการตามระบบที่ได้วางแผนไว้ จากนั้นทำการตรวจสอบการดำเนินงานว่ามีการดำเนินงานครบถ้วนตามวัตถุประสงค์และแผนที่วางไว้หรือไม่ และยังมีจุดอ่อนอยู่ที่จุดใด อย่างไร เมื่อได้ข้อมูลครบถ้วนแล้วก็นำมาพิจารณาทำการบำรุงรักษากระบวนการเดิมที่มีประสิทธิภาพเหมาะสมเพียงพอ และทำการปรับปรุงกระบวนการที่ยังมีจุดอ่อนให้ดีขึ้น เพื่อทำให้ระบบบริหารจัดการที่ประยุกต์ใช้ในองค์กรนั้นมีคุณภาพ ทันสมัย และเหมาะสมอยู่เสมอ
สำหรับระบบการจัดการตามระบบคุณภาพ ISO/IEC 27000 อันเป็นมาตรฐานของระบบคุณภาพที่ใช้ในการบริหารความมั่นคงปลอดภัยสำหรับสารสนเทศ หรือ Information Security Management (ISM) นั้นประกอบด้วยมาตรฐานย่อยอื่นๆดังนี้
ISO/IEC 27000 : 2008 ว่าด้วย ภาพรวมและคำศัพท์ต่างๆที่ใช้ในมาตรฐาน
ISO/IEC 27001 : 2005 ว่าด้วย ความต้องการตามมาตรฐาน ว่าสิ่งที่จำเป็นต้องดำเนินการนั้นมีเรื่องใดบ้าง
ISO/IEC 27002  ว่าด้วย เกณฑ์มาตรฐานในการปฏิบัติ ว่าควรปฏิบัติอย่างไรเพื่อให้เป็นไปตามความต้องการของมาตรฐาน สิ่งใดที่จำเป็นต้องมี และต้องมีในระดับไหน
ISO/IEC 27003 : 2009  ว่าด้วย แนวทางการดำเนินงานตามมาตรฐาน
ISO/IEC 27004  ว่าด้วย การวัดประเมินตามมาตรฐาน
ISO/IEC 27005 : 2008 ว่าด้วย การบริหารความเสี่ยงตามมาตรฐาน
ISO/IEC 27006 : 2008 ว่าด้วย แนวทางการปฏิบัติเพื่อให้ได้รับการรับรองตามมาตรฐาน
ISO/IEC 27007 ว่าด้วย แนวทางการตรวจประเมินตามมาตรฐานของผู้ตรวจประเมิน
แต่โดยทั่วไปหากพูดถึงมาตรฐานการบริหารความมั่นคงปลอดภัยสำหรับสารสนเทศ เราก็จะไปให้ความสนใจกับความต้องการตามมาตรฐาน แล้วเรียกรวมๆว่า ISO 27001 นั่นเอง ซึ่งสิ่งที่ขาดไม่ได้เมื่อต้องการจะประยุกต์ใช้ระบบคุณภาพตามมาตรฐาน ISO 27000 ในองค์กร ก็คือองค์กรต้องมีการดำเนินการดังต่อไปนี้
-          จัดทำนโยบายระบบบริหารความมั่นคงปลอดภัยสำหรับสารสนเทศ (ISMS)
-          กำหนดขอบเขตของระบบบริหารความมั่นคงปลอดภัยสำหรับสารสนเทศ (ISMS)
-          จัดทำขั้นตอนและการควบคุมในการสนับสนุนระบบบริหารความมั่นคงปลอดภัยสำหรับสารสนเทศ (ISMS)
-          เลือกและจัดทำวิธีการประเมินความเสี่ยง
-          จัดทำรายงานการประเมินความเสี่ยง
-          จัดทำแผนการรักษาความเสี่ยงขั้นตอนการบันทึกตามระบบบริหารความมั่นคงปลอดภัยสำหรับสารสนเทศ (ISMS)
-          จัดทำบันทึกในระบบบริหารความมั่นคงปลอดภัยสำหรับสารสนเทศ (ISMS)
-          จัดทำ Statement of Applicability (SoA) หรือ เอกสารแสดงมาตรการในมาตรฐาน ISO/IEC 27001 ที่องค์กรได้มีการนำมาใช้งานและเหตุผลของการใช้ รวมทั้งมาตรการที่ไม่ได้นำมาใช้งานและเหตุผลที่ไม่ได้ใช้งาน
โดยการดำเนินการดังกล่าวต้องครอบคลุมหัวข้อหลัก (Domain) ที่จำเป็นในการปฏิบัติตามเกณฑ์มาตรฐานระบบคุณภาพ ISO 27001 ซึ่งมีอยู่ทั้งหมด 11 หัวข้อหลัก คือ
-          Domain ที่ 1 ในมาตรฐานคือหมวด A5 เป็นหัวข้อที่ว่าด้วยเรื่อง Security Policy หรือ นโยบายการรักษาความมั่นคงปลอดภัยสำหรับสารสนเทศขององค์กร
-          Domain ที่ 2 ในมาตรฐานคือหมวด A6 เป็นหัวข้อที่ว่าด้วยเรื่อง Organization  of Information Security หรือ โครงสร้างพื้นฐานด้านการรักษาความมั่นคงปลอดภัยสำหรับสารสนเทศขององค์กร
-          Domain ที่ 3 ในมาตรฐานคือหมวด A7 เป็นหัวข้อที่ว่าด้วยเรื่อง Asset Management หรือ การบริหารจัดการสินทรัพย์ที่เกี่ยวกับสารสนเทศขององค์กร
-          Domain ที่ 4 ในมาตรฐานคือหมวด A8 เป็นหัวข้อที่ว่าด้วยเรื่อง Human Resource Security หรือ การรักษาความมั่นคงปลอดภัยด้านทรัพยากรบุคคลที่มีผลกระทบต่อความมั่นคงปลอดภัยสำหรับสารสนเทศ
-          Domain ที่ 5 ในมาตรฐานคือหมวด A9 เป็นหัวข้อที่ว่าด้วยเรื่อง Physical & Environmental Security หรือ การรักษาความมั่นคงปลอดภัยทางกายภาพที่มีผลกระทบต่อความมั่นคงปลอดภัยสำหรับสารสนเทศ
-          Domain ที่ 6 ในมาตรฐานคือหมวด A10 เป็นหัวข้อที่ว่าด้วยเรื่อง Communications & Operations Management หรือ การบริหารจัดการเรื่องการสื่อสารและการปฏิบัติงานที่มีผลกระทบต่อความมั่นคงปลอดภัยสำหรับสารสนเทศ
-          Domain ที่ 7 ในมาตรฐานคือหมวด A11 เป็นหัวข้อที่ว่าด้วยเรื่อง Access Control หรือ การควบคุมการเข้าถึงข้อมูลสารสนเทศ
-          Domain ที่ 8 ในมาตรฐานคือหมวด A12 เป็นหัวข้อที่ว่าด้วยเรื่อง Information Systems Acquisition Development & Maintenance หรือ การพัฒนาและการบำรุงรักษาระบบสารสนเทศ
-          Domain ที่ 9 ในมาตรฐานคือหมวด A13 เป็นหัวข้อที่ว่าด้วยเรื่อง Information Security Incident Management หรือ การบริหารการเตรียมความพร้อมเพื่อรับเหตุการณ์ที่ไม่คาดฝันที่อาจเกิดขึ้นกับระบบสารสนเทศ
-          Domain ที่ 10 ในมาตรฐานคือหมวด A14 เป็นหัวข้อที่ว่าด้วยเรื่อง Business Continuity Management  หรือ การบริหารการดำเนินธุรกิจอย่างต่อเนื่อง
-          Domain ที่ 11 ในมาตรฐานคือหมวด A15 เป็นหัวข้อที่ว่าด้วยเรื่อง Compliance หรือ การปฏิบัติตามกฏระเบียบข้อบังคับ
ทั้งนี้ในแต่ละหัวข้อหลัก หรือ Domain จะประกอบไปด้วย วัตถุประสงค์ของการควบคุมตามเกณฑ์มาตรฐาน หรือ Control Objectives และในแต่ละControl Objectives จะประกอบไปด้วย ตัวควบคุมตามเกณฑ์มาตรฐาน หรือ Controls  ดังนั้นใน เกณฑ์มาตรฐานระบบคุณภาพ ISO 27001 ซึ่งประกอบด้วย Domain ทั้งหมด 11 หัวข้อ จะมี Control Objectives ทั้งหมด 39 ข้อ และมี Controls ทั้งหมด 133 ข้อ  อย่างไรก็ตามองค์กรไม่จำเป็นต้องมีการดำเนินงานตาม Control Objectives ทั้งหมด 39 ข้อ และไม่จำเป็นต้องมีการดำเนินงานตาม Controls ทั้งหมด 133 ข้อ  เนื่องจากทั้งนี้ทั้งนั้นขึ้นอยู่กับ ลักษณะภารกิจ และ การวิเคราะห์ผลกระทบทางธุรกิจ หรือ  Business Impact Analysis : BIA ของแต่ละองค์กรนั่นเอง





ที่ ไม่มีความคิดเห็น:
สมัครสมาชิก: บทความ (Atom)

[ Review ] Team Viewer

Team Viewer คืออะไร     Team Viewer คือ  โปรแกรมควบคุมระยะไกล ทำให้มันเป็นจุดเด่นอย่างมาก ที่คอยช่วยเหลือจัดการเกี่ยวกับคอมพิวเตอร์ตามสถาน...

  • เทคโนโลยีสารสนเทศ「 Information Technology: IT 」
    เทคโนโลยีสารสนเทศ ( Information Technology: IT) ความหมายของเทคโนโลยีสารสนเทศ              ให้ความหมายของเทคโนโลยีสารสนเทศว่า เทคโนโ...
  • 「ระบบการบริหารความปลอดภยัของข้อมูล ISO 270001」
    ระบบมาตรฐานด้านความปลอดภัยของข้อมูล  ISO 27001   ISO/IEC 27001:2005 (Information Security Management System: ISMS)  เป็นมาตรฐานการจัดก...
  • [ Review ] Team Viewer
    Team Viewer คืออะไร     Team Viewer คือ  โปรแกรมควบคุมระยะไกล ทำให้มันเป็นจุดเด่นอย่างมาก ที่คอยช่วยเหลือจัดการเกี่ยวกับคอมพิวเตอร์ตามสถาน...