Professional Documents
Culture Documents
Ea 2024
Ea 2024
Ea 2024
ENTERPRISE
ARCHITECTURE
การจัดทำสถาปัตยกรรมองค์กรนับได้ว่ามีความสำคัญอย่างมากต่อการดำเนินธุรกิจขององค์กร ทั้งนี้
เพราะสถาปัตยกรรมองค์กรเปรียบเสมือนกับพิมพ์เขียวขององค์กร ที่ทำให้ผู้บริหารและผู้มีส่วนได้ส่วนเสียที่
เกี่ยวข้องมองเห็นภาพรวมของธุรกิจ และปัจจัยสนับสนับสนุนต่าง ๆ (กระบวนการทางธุรกิจ ข้อมูล โครงสร้าง
พื้นฐาน ระบบงาน และความมั่นคงปลอดภัย) ที่ช่วยขับเคลื่อนองค์กรไปสู่เป้าหมาย พันธกิจ และวิสัยทัศน์ที่
กำหนดไว้ นอกจากนั้นแล้ว สถาปัตยกรรมองค์กรยังช่วยให้การพัฒนาด้านเทคโนโลยีดิจิทัลเป็นไปอย่างมีระบบ
ป้องกันมิให้เกิดการลงทุนที่ซ้ำซ้อน ก่อให้เกิดการลงทุนที่คุ้มค่า และลดความเสี่ยงด้านต่อภัยคุกคามด้าน
เทคโนโลยีดิจิทัลที่อาจจะเกิดขึ้นจากทั้งภายในและภายนอกองค์กร เช่น การละเมิดกฎหมายด้านเทคโนโลยี
ดิจิทัล หรือภัยคุกคามทางไซเบอร์ (Cyberattack) เป็นต้น โดยสาระสำคัญของบทนี้ได้อธิบายถึง ความเป็นมา
และความสำคัญ วัตถุประสงค์ เป้าหมาย ประโยชน์ และนิยามศัพท์เฉพาะของการจัดทำสถาปัตยกรรมองค์กร
ด้านดิจิทัล ของ อ.ส.ค. (สำหรับปี 2567) ดังนี้
1.1. ความเป็นมาและความสำคัญ
ปัจจุบัน องค์การส่งเสริมกิจการโคนมแห่งประเทศไทย (อ.ส.ค.) มีสถาปัตยกรรมองค์กรด้านดิจิทัล ของ
อ.ส.ค. (DPO Enterprise Architecture 4.0 : DPO EA 4.0) (สำหรับปี 2566) เพื่อการพัฒนาระบบเทคโนโลยี
ดิจิทัล สำหรับใช้เป็นแนวทางในการบูรณาการทั้งด้านการบริหารจัดการ กระบวนงานและเทคโนโลยีดิจิทัลให้
สอดคล้องกับวิสัยทัศน์ วัตถุประสงค์เชิงธุรกิจและวัตถุประสงค์เชิงปฏิบัติการ และให้ อ.ส.ค. มีขีดความสามารถ
ในการก้ า วสู ่ ก ารเป็ น องค์ ก รดิ จ ิ ท ั ล (Digital Organization) อย่ า งยั ่ ง ยื น ในอนาคต โดยมี ส าระสำคั ญ
ประกอบด้ว ย การกำกับ ดูแลการบริห ารวิส าหกิจ (Enterprise Governance) และส่ว นองค์ประกอบของ
สถาปัตยกรรมและกรอบการบริหารจัดการเทคโนโลยีดิจิทัล ได้แก่ สถาปัตยกรรมด้านธุรกิจ (Business
Architecture) สถาปัตยกรรมด้านข้อมูล (Data Architecture) สถาปัตยกรรมด้านระบบงาน (Application
Architecture) สถาปัตยกรรมด้านเทคโนโลยี (Technology Architecture) สถาปัตยกรรมด้านการรักษา
ความปลอดภั ย ข้ อ มู ล (Security Architecture) และการเฝ้ า ระวั ง และบริ ห ารจั ด การระบบ (System
Monitoring and Management)
อย่างไรก็ตาม สำนักงานคณะกรรมการนโยบายรัฐ วิส าหกิจ (สคร.) ในฐานะหน่ว ยงานกำกับดูแล
รัฐวิสาหกิจได้กำหนดหลักเกณฑ์ในการประเมินผลใหม่ หรือที่เรียกว่า ระบบการประเมินผลการดำเนินงาน
รัฐวิสาหกิจตามระบบประเมินผลรัฐวิสาหกิจ (State Enterprise Assessment Model : SE-AM) สำหรับใช้
เป็นแนวทางในการประเมินผลการดำเนินงานของรัฐวิสาหกิจทุกแห่ง โดยหลักเกณฑ์ดังกล่าวได้ให้ความสำคัญ
กับการจัดทำสถาปัตยกรรมองค์กรของรัฐวิสาหกิจ ที่ต้องมีแนวทางการดำเนินงานอย่างเป็นระบบ ประกอบกับ
ผลการศึกษารายงานสถานะการดำเนินงานของรัฐวิสาหกิจด้าน Core Business Enablers ประจำปีบัญชี
2565 ของ อ.ส.ค. ด้านเทคโนโลยีดิจิทัล ที่ได้มีข้อเสนอแนะเพื่อยกระดับสถาปัตยกรรมองค์กรของ อ.ส.ค. ให้ดี
ยิ่งขึ้น ดังนั้น ด้วยหลักการ เหตุผล และความจำเป็นดังกล่าว จึงต้องกำหนดให้มีการทบทวน สถาปัตยกรรม
หน้าที่ 1-1
องค์กรด้านดิจิทัล ของ อ.ส.ค. (DPO EA 4.0) (สำหรับปี 2567) เพื่อปิดช่องว่าง (Gap) เป็นไปตามหลักเกณฑ์
ของ สคร. และสามารถนำไปสู่การพัฒนาเทคโนโลยีดิจิทัลขององค์กรได้อย่างมีประสิทธิภาพ
1.2. วัตถุประสงค์ของการจัดทำสถาปัตยกรรมองค์กร
ในการทบทวนสถาปัต ยกรรมองค์ ก รด้ านดิจ ิ ทั ล ของ อ.ส.ค. (DPO EA 4.0) (สำหรับปี 2567) มี
วัตถุประสงค์ดังนี้
1.2.1 เพื่อทบทวนโครงสร้างสถาปัตยกรรมองค์กรของ อ.ส.ค. พร้อมวิเคราะห์ปัญหา ความต้องการ
ขององค์กรที่มีการเปลี่ยนแปลง ทั้งในเชิงการดำเนินธุรกิจที่มีการแข่งขันรุนแรงมากขึ้น กระบวนงาน และการ
จัดการที่ทันสมัย รวมถึงบริบทการใช้งานระบบสารสนเทศที่เปลี่ยนแปลงไป เพื่อนำมาใช้ประกอบการปรับปรุง
สถาปัตยกรรมองค์กรและการจัดทำแผนปฏิบัติการดิจิทัลฯ ในยุค Thailand 4.0
1.2.2 เพื่อสร้างความเข้าใจและความสัมพันธ์ที่ชัดเจนต่อสถานะในปัจจุบันของสถาปัตยกรรมองค์กร
(“AS-IS” Enterprise Architecture) ทั้ง 5 ด้าน ประกอบไปด้วย ด้านธุรกิจ (Business Architecture) ด้าน
ข้ อ มู ล (Data Architecture) ด้ า นระบบงาน (Application Architecture) ด้ า นเทคโนโลยี (Technology
Architecture) และด้านความปลอดภัย (Security Architecture)
1.2.3 เพื ่ อ กำหนดกรอบของสถานะในอนาคต และปรั บ ปรุ ง สถาปั ต ยกรรมองค์ ก ร (“TO - BE”
Enterprise Architecture) ทั้ง 5 ด้าน เพื่อนำมาปรับปรุงประสิทธิภาพให้เป็นไปตามยุทธศาสตร์ด้านดิจิทัล
ของ อ.ส.ค.
1.2.4 เพื่อจัดทำสถาปัตยกรรมองค์กรด้านดิจิทัล ของ อ.ส.ค. (สำหรับปี 2567) ที่มีประสิทธิภาพ
สอดคล้องกับหลักเกณฑ์ด้านการพัฒนาเทคโนโลยีดิจิทัลตามที่ สคร. การเปลี่ยนแปลงด้านเทคโนโลยีดิจิทัลจาก
ทั้งภายในและภายนอกองค์กร ระดับขั้น (Stage) การพัฒนาสถาปัตยกรรมองค์กร และข้อเสนอแนะด้ านการ
พัฒนาสถาปัตยกรรมองค์กรจากคณะกรรมการ สคร.
1.2.5 เพื่อกำหนดแนวทางการกำกับดูแล การบริหารจัดการและการนำสถาปัตยกรรมองค์กรของ
อ.ส.ค. ในยุค Thailand 4.0 หรือ DPO Enterprise Architecture 4.0 (DPO EA 4.0) ไปใช้งานได้ อย่ า งมี
ประสิทธิภาพสอดคล้องกับแผนพัฒนาดิจิทัลฯ ของ อ.ส.ค.
1.2.6 เพื่อกำหนดแผนกลยุทธ์ (Roadmap) สู่การพัฒนาสถาปัตยกรรมองค์กรอย่างสมบูรณ์ (EA
Maturity) ที่ส่งผลต่อสมรรถนะและขีดความสามารถขององค์กรของ อ.ส.ค. ในการดำเนินธุรกิจให้เป็นไปตาม
วิสัยทัศน์ที่กำหนดไว้ในแผนวิสาหกิจ ฯ อ.ส.ค. รวมถึงการสร้างความพร้อมในการเชื่อมต่อแบบบูรณาการทั้ง
ด้านกระบวนงานทางธุรกิจและด้านสารสนเทศ (Business Process and Information System Integration)
กับหน่วยงานภายนอก อาทิ หน่วยงานราชการ กลุ่ มสหกรณ์ พันธมิตรทางการค้า รวมถึงกลุ่มลูกค้าที่มีความ
หลากหลายได้อย่างรวดเร็วและมีประสิทธิภาพ (Dynamic Venturing)
1.3. เป้าหมายของการจัดทำสถาปัตยกรรมองค์กร
เป้าหมายการจัดทำสถาปัตยกรรมองค์กรของ อ.ส.ค. มีดังนี้
(1) อ.ส.ค. สามารถนำเทคโนโลยีดิจิทัลมาปรับใช้กับทุกส่วนขององค์กรและทุกส่วนของธุรกิจ
จนนำมาสู่การช่วยเพิ่มรายได้ ลดรายจ่าย หรือสนับสนุนกระบวนการทางธุรกิจให้มีประสิทธิภาพมากขึ้น
(2) ปรับ ปรุงและพั ฒ นากระบวนการปฏิบ ัต ิง านด้า นดิจิ ทัล อย่ างเป็ นระบบ มีมาตรฐาน
(Standardized Practice) และสามารถทำซ้ำได้ (Repeatable Practice)
หน้าที่ 1-2
ตารางที่ 1.3-1 เป้าหมายโดยภาพรวมของการพัฒนาเทคโนโลยีดิจิทัลของ อ.ส.ค.
เป้าหมาย ตัวชี้วัด
1. รายได้ของ อ.ส.ค. เพิ่มขึ้น รายได้เพิ่มขึ้นอย่างน้อยร้อยละ 5
2. รายจ่ายของ อ.ส.ค. ลดลง รายได้ลดลงอย่างน้อยร้อยละ 10
3. กระบวนการทางธุรกิจให้มีประสิทธิภาพมากขึ้น เกิดผลลัพธ์ตามตัวชี้วัดข้อใดข้อหนึ่งดังนี้
• ระยะเวลาในการดำเนิ นงานทางธุ รกิจ ลดลง
ร้อยละ 20
• ระยะเวลาในการดำเนินงานเพื่อให้บริการแก่
ประชาชนลดลง ร้อยละ 20
• ไม่ ม ี ข ้ อ ผิ ด พลาดจากการดำเนิ น งานตาม
กระบวนการทางธุรกิจ
1.4. ประโยชน์ของสถาปัตยกรรมองค์กร
การปรับปรุงสถาปัตยกรรมองค์กรด้านดิจิทัล ของ อ.ส.ค. (สำหรับปี 2567) ให้มีความทันสมัยสอดคล้อง
กับแผนวิสาหกิจฯ ของ อ.ส.ค. และบริบทความต้องการใช้เทคโนโลยีในการดำเนินธุรกิจที่เปลี่ยนแปลงไปอย่าง
รวดเร็วและสอดรับกับ นโยบาย Thailand 4.0 ของ อ.ส.ค. นั้น เปรียบเสมือนพิมพ์เขียว (Blueprint) ที่ให้
ผู้เกี่ยวข้อง (Stakeholders) มีความเข้าใจที่ถูกต้องตรงกัน โดยที่ สถาปัตยกรรมองค์กรด้านดิจิทัล ของ อ.ส.ค.
(สำหรับปี 2567) ในยุค Thailand 4.0 หรือ DPO Enterprise Architecture 4.0 (DPO EA 4.0) ที่ได้รับการ
ปรับปรุงนี้จะเป็นประโยชน์แก่องค์กร อ.ส.ค. อย่างน้อยดังต่อไปนี้
1.4.1 มีแนวทางในการวางแนวที่สอดคล้อง (Alignment) ตั้งแต่ระดับการกำหนดนโยบาย (Policy)
การจัดการ (Management) กระบวนงานระหว่างหน่วยงาน (Cross Functional Process) ให้มีการบูรณา
การที่มีความยืดหยุ่น (Flexibility) มากขึ้น
1.4.2 มีการเชื่อมโยงระหว่างกระบวนงาน (Process) และเทคโนโลยีดิจิทัล (Digital Technology)
ทั้ง 5 ด้าน ได้แก่ ด้านธุรกิจ (Business) ด้านข้อมูล (Data) ด้านระบบงาน (Application) ด้านเทคโนโลยี
(Technology) และด้านความปลอดภัยของข้อมูล (Security) ได้อย่างเป็นรูปธรรมและมีประสิทธิภาพ
1.4.3 มีแนวทางการกำกับดูแลการบริหารจัดการด้านเทคโนโลยีดิจิทัล (Digital Governance) และ
การนำสถาปัตยกรรมองค์กรด้านดิจิทัล ของ อ.ส.ค. (สำหรับปี 2567) ในยุค Thailand 4.0 ไปใช้งานได้อย่างมี
ประสิทธิภาพสอดคล้องกับแผนวิสาหกิจฯ และแผนพัฒนาดิจิทัลฯ ของ อ.ส.ค.
1.4.4 สามารถกำหนดแผนกลยุทธ์ (Roadmap) สู่การพัฒนาสถาปัตยกรรมองค์กรอย่างสมบูรณ์ (EA
Maturity) ในระยะยาวที่ส่งผลต่อสมรรถนะและขีดความสามารถขององค์กร ในการดำเนินธุรกิจให้เป็นไปตาม
วิสัยทัศน์ขององค์กร รวมถึงการสร้างความพร้อมในการเชื่อมต่อ แบบบูรณาการทั้งด้านกระบวนงานเชิงธุรกิจ
และด้านสารสนเทศ (Business Process and Information System Integration) กับหน่ว ยงานภายนอก
อาทิ หน่วยงานราชการ กลุ่มสหกรณ์ พันธมิตรทางการค้า รวมถึงกลุ่มลูกค้าที่มีความหลากหลายได้อย่าง
รวดเร็วและมีประสิทธิภาพ (Dynamic Venturing)
1.4.5 เป็นเครื่องมือสื่อสารระหว่างผู้ที่เกี่ยวข้อง (Stakeholders) ทั้งในและนอกองค์กรให้เกิดความ
เข้าใจ รวมทั้งสร้างความสัมพันธ์ระหว่างหน่วยธุรกิจ ฝ่ายและระหว่างองค์กรได้เป็นอย่างดี
หน้าที่ 1-3
1.4.6 เป็นเครื่องมือที่ช่วยในการจัดการการเปลี่ยนแปลง (Change Management) อันเนื่องมาจาก
การพัฒนาขององค์กร สภาพการแข่งขันทางธุรกิจและสภาพแวดล้ อมอื่น ๆ รวมถึงการช่วยกำหนดกลยุทธ์การ
ลงทุนในด้านเทคโนโลยีดิจิทัลอย่างเหมาะสม
1.5. นิยามศัพท์เฉพาะ
การศึกษาทบทวนสถาปัตยกรรมองค์กรของ อ.ส.ค. (สำหรับปี 2567) ของ อ.ส.ค. ได้กำหนดนิยามศัพท์
เฉพาะไว้ดังนี้
ตารางที่ 1.5-1 นิยามศัพท์เฉพาะสถาปัตยกรรมองค์กรฯ ของ อ.ส.ค. (สำหรับปี 2567) ของ อ.ส.ค.
คำศัพท์ คำนิยาม
1. แผนวิสาหกิจฯ แผนวิสาหกิจ อ.ส.ค.ปี 2566 – 2570 เป็นแผนการดำเนินงานของ อ.ส.ค.
ที่ได้กำหนดแนวทางการบริหารจัดการองค์กรที่สอดคล้องและเป็นไปตาม
ทิศทางทางเดียวกับนโยบายของรัฐบาล รวมทั้งหลักเกณฑ์การประเมินผล
การดำเนินงานของ สคร. เพื่อมุ่งสู่การเป็นผู้นำในอุตสาหกรรมโคนมไทย
2. แผนพัฒนาดิจิทัลฯ แผนพั ฒ นาดิ จ ิ ท ั ล ปี 2566 – 2570 (สำหรั บ ปี 2567) หรื อ แผนพั ฒ นา
ดิจิทัลฯ หรือแผนปฏิบัติการดิจิทัลระยะ 3 - 5 ปี (Digital Roadmap) เป็น
แผนการดำเนินงานด้านเทคโนโลยีดิจิทัลระยะยาวของ อ.ส.ค. ที่มีความ
เชื่อมโยงและสอดคล้องกับแผนวิสาหกิจ ฯ ขององค์กรและนโยบายต่าง ๆ
เต็มตามศักยภาพของระบบเทคโนโลยีดิจิทัล โดยมุ่งเน้นการนำเทคโนโลยี
ดิจ ิทัล มาปรับใช้ กับ ทุ กส่ว นขององค์ กรและทุ กส่ว นของธุร กิจ (Digital
Transformation) ทั ้ ง ในส่ ว นของกระบวนการทำงาน การสร้ า งสรรค์
ผลิตภัณฑ์การตลาด วัฒนธรรมองค์กร และการกำหนดเป้าหมายการเติบโต
ในอนาคต
3. แผนปฏิบัติการดิจิทัลฯ แผนปฏิบัติการดิจิทัล สำหรับปี 2567 ของ อ.ส.ค. หรือแผนปฏิบัติการ
ดิ จ ิ ท ั ล ฯ หรื อ แผนปฏิ บ ั ต ิ ก ารประจำปี (Action Plan) เป็ น แผนการ
ดำเนินงานด้านเทคโนโลยีดิจิทัลระยะสั้นของ อ.ส.ค. ที่ถ่ายทอดมาจาก
แผนพัฒนาดิจิทัล ปี 2566 – 2570 (สำหรับปี 2567) ซึ่งได้มีการกำหนด
แผนงาน โครงการ และกิจกรรมภายใต้ยุทธศาสตร์ต่าง ๆ รวมทั้งตัวชี้วัด
(KPI) ที่แสดงถึงความสำเร็จและสะท้อนผลลัพธ์ที่คาดหวัง
4. สถาปัตยกรรมองค์กรฯ สถาปัตยกรรมองค์กรด้านดิจิทัล ของ อ.ส.ค. (สำหรับปี 2567) คือ แผนผัง
ภาพ (Scenario) ที่ถูกวาดขึ้นจากวิสัยทัศน์ขององค์กร หรือผู้บริหาร ด้วย
สภาพแวดล้อมขององค์กรในปัจจุบัน เพื่อการพัฒนาระบบเทคโนโลยีดิจิทัล
สำหรั บ ใช้ เ ป็ น แนวทางในการบู ร ณาการทั ้ ง ด้ า นการบริ ห ารจั ด การ
กระบวนงาน และเทคโนโลยีดิจิทัลให้สอดคล้องกับวิสัยทัศน์ วัตถุประสงค์
เชิ ง ธุ ร กิ จ และวั ต ถุ ป ระสงค์ เ ชิ ง ปฏิ บ ั ต ิ ก าร รวมทั ้ ง ให้ อ.ส.ค. มี ขี ด
ความสามารถในการก้าวสู่การเป็นองค์กรดิจิทัล (Digital Organization)
อย่างยั่งยืนในอนาคต โดยมีองค์ประกอบของสถาปัตยกรรมและกรอบการ
บริหารจัดการเทคโนโลยีดิจิทัล ได้แก่ สถาปัตยกรรมด้านธุรกิจ (Business
Architecture) ส ถ า ป ั ต ย ก ร ร ม ด ้ า น ข ้ อ ม ู ล (Data Architecture)
หน้าที่ 1-4
คำศัพท์ คำนิยาม
สถาปัตยกรรมด้านระบบงาน(Application Architecture) สถาปัตยกรรม
ด้านเทคโนโลยี (Technology Architecture) และสถาปัตยกรรมด้านการ
รักษาความปลอดภัยข้อมูล (Security Architecture)
5. อ.ส.ค. องค์การส่งเสริมกิจการโคนมแห่งประเทศไทย
6. สคร. สำนักงานคณะกรรมการนโยบายรัฐวิสาหกิจ
หน้าที่ 1-5
บทที่ 2
หลักคิดในการจัดทำสถาปัตยกรรมองค์กรด้านดิจิทัล ของ อ.ส.ค. (สำหรับปี 2567)
z
หน้าที่ 2-1
ภาพที่ 2.1-1 สถาปัตยกรรมองค์กรด้านดิจิทัล ของ อ.ส.ค. (สำหรับปี 2566)
หน้าที่ 2-2
อย่างไรก็ตาม คณะกรรมการนโยบายรัฐวิสาหกิจ (สคร.) ในฐานะหน่วยงานที่กำกับดูแลรัฐวิสาหกิจทั่ว
ประเทศ ได้กำหนดหลักเกณฑ์ในการกำกับดูแลรัฐวิสาหกิจใหม่ จากเดิมที่ใช้ระบบประเมินคุณภาพรัฐวิสาหกิจ
(State Enterprise Performance Appraisal: SEPA) และระบบบริหารจัดการองค์กรเป็นระบบการประเมินผล
การดำเนินงานรัฐวิสาหกิจตามระบบประเมินผลรัฐวิสาหกิจ (State Enterprise Assessment Model : SE-AM)
ซึ่งประกอบด้วยหลักเกณฑ์ที่ได้พัฒนาขึ้นใหม่ในด้านต่าง ๆ จำนวน 8 ด้าน หรือที่เรียกว่า หลักเกณฑ์การประเมิน
กระบวนการปฏิบัติงานและการจัดการ (Enablers) ของรัฐวิสาหกิจ โดยด้านที่มีความเกี่ยวข้องกับฝ่ายเทคโนโลยี
ดิจิทัลโดยตรง ได้แก่ การพัฒนาเทคโนโลยีดิจิทัล (Digital Technology : DT) ซึ่งในด้านดังกล่าวนั้น ได้มีการ
อธิบายถึงประเด็นที่เกี่ยวข้องกับแนวทางการดำเนินงานด้านสถาปัตยกรรมองค์กร ดังนั้น อ .ส.ค. ในฐานะ
หน่วยงานรัฐวิสาหกิจที่อยู่ภายใต้การกำกับดูแลของ สคร. จึงควรดำเนินงานตามแนวทางที่หน่วยงานกำกับดูแล
(Regulator) กำหนด ประกอบกับการศึกษารายงานสถานะการดำเนินงานของรัฐวิสาหกิจด้าน Core Business
Enablers ประจำปีบัญชี 2565 ของ อ.ส.ค. ด้านเทคโนโลยีดิจิทัล พบประเด็นสำคัญที่เกี่ยวข้องกับการจัดทำ
สถาปัตยกรรมองค์กร ของ อ.ส.ค. ดังนี้
อ.ส.ค. มีการกำหนดกระบวนการวิเคราะห์และจัดทำสถาปัตยกรรมองค์กรให้มีแนวทางปฏิบัติอย่างเป็น
ระบบที่สามารถทำซ้ำได้ (Repeatable Practice) และเป็นมาตรฐาน (Standardized Practice) แสดงให้เห็นภาพ
ในปัจจุบันก่อนนำเทคโนโลยีดิจิทัลมาปรับใช้กับทุกส่วนขององค์กร (As is) และภาพในอนาคตในการนำเทคโนโลยี
ดิ จ ิ ท ั ล มาปรั บ ใช้ ก ั บ ทุ ก ส่ ว นขององค์ ก ร(To be) ครอบคลุ ม ในส่ ว นของ Business Architecture, Data
Architecture, Application Architecture, Infrastructure Architecture และSecurity Architecture อย่างไรก็
ตาม ยังไม่มีการกำหนดกรอบ/แนวทางการใช้สถาปัตยกรรมองค์กรกับโครงการด้านดิจิทัลอย่างเป็นรูปธรรม และ
แนวทางการประเมินประสิทธิผล/ความคุ้มค่าของการนำเทคโนโลยีดิจิทัลมาปรับใช้กับทุกส่วนขององค์กร รวมถึง
ควรมีการถ่ายทอดแนวทางปฏิบัติแบบเดียวกันทั่วทั้งองค์กร ครอบคลุมผู้มีส่วนได้ส่วนเสียที่สำคัญทั้งหมด โดยมี
การวัด วิเคราะห์ และประเมินประสิทธิผลของกระบวนการอย่างเป็นรูปธรรม เพื่อนำมาปรับปรุงและพัฒนา
กระบวนการอย่างต่อเนื่อง
รัฐวิสาหกิจมีการกำหนดกระบวนการบริหารโครงการและการดำเนินงานด้านเทคโนโลยีดิจิทัลอย่างมี
ประสิทธิภาพให้มีแนวทางปฏิบัติอย่างเป็นระบบที่สามารถทำซ้ำได้ (Repeatable Practice) และเป็นมาตรฐาน
(Standardized Practice) โดยมีข้อกำหนดด้านการบริหารจัดการโครงการหน้าที่ของผู้จัดการโครงการ ความรู้
และเครื่องมือในการบริหารโครงการ และมีข้อกำหนดการบริหารจัดการการเปลี่ยนแปลง รวมถึงมีการกำหนดแนว
ทางการประเมินความสำเร็จของโครงการด้านดิจิทัลที่บรรลุเป้าหมาย/ผลลัพธ์ตามที่กำหนดไว้ อย่างไรก็ตามยังไม่
พบหลักฐานที่ชัดเจนในการจัดทำแผนบริหารความเสี่ยงของโครงการ และการกำหนดแนวทางในการทบทวน
หลังจากการดำเนินงานโครงการ รวมถึงควรมีการถ่ายทอดแนวทางปฏิบัติแบบเดียวกันทั่วทั้งองค์กร โดยมีการวัด
วิเคราะห์ และประเมินประสิทธิผลของกระบวนการอย่างเป็นรูปธรรม เพื่อนำมาปรับปรุงและพัฒนากระบวนการ
อย่างต่อเนื่อง
รัฐวิสาหกิจมีการจัดการด้านคุณภาพด้านการพัฒนาเทคโนโลยีดิจิทัล เช่น มีการตรวจสอบด้านเทคโนโลยี
ดิจิทัล (Digital Audit) หรือ Computer Audit เป็นต้น อย่างไรก็ตามควรมีการกำหนดกระบวนการจัดการด้าน
คุณภาพให้มีแนวทางปฏิบ ั ติอย่างเป็ นระบบที่ สามารถทำซ้ำได้ (Repeatable Practice) และเป็นมาตรฐาน
(Standardized Practice) ที่มีการกำหนดขอบเขตและแนวทางในการสร้างระบบบริหารคุณภาพที่ชัดเจน มีการ
ประเมินประสิ ทธิผลของ Quality Management System (QMS) ตลอดจนมี การกำหนดเป้าหมายด้ านการ
จัดการด้านคุณภาพที่ยอมรับได้และสามารถดำเนินการได้ตามเป้าหมาย
หน้าที่ 2-3
ทั้งนี้ จากการศึกษาทบทวนสถาปัตยกรรมองค์กรด้านดิจิทัล ของ อ.ส.ค. (สำหรับปี 2566) เปรียบเทียบกับ
หลักเกณฑ์การวิเคราะห์และจัดทำสถาปัตยกรรมองค์กรของ สคร. และการศึกษารายงานสถานะการดำเนินงาน
ของรั ฐ วิ ส าหกิ จ ด้ า น Core Business Enablers ประจำปี บ ั ญ ชี 2565 ของ อ.ส.ค. จะพบว่ า การจั ด ทำ
สถาปัตยกรรมองค์กรด้านดิจิทัล ของ อ.ส.ค. (สำหรับปี 2566) ที่ผ่านมาในหลาย ๆ ประเด็นมีความสอดคล้องกับ
หลักเกณฑ์ดังที่ สคร. กำหนด เช่น กระบวนการวิเคราะห์และจัดทำสถาปัตยกรรมองค์กร การจัดทำสถาปัตยกรรม
องค์กรที่ครอบคลุมถึงมิติต่าง ๆ ตามที่กำหนด หรือการประเมินความคุ้มค่าของการนำเทคโนโลยีดิจิทัลมาปรับใช้
กับทุกส่วนขององค์กร เป็นต้น โดยหากพิจารณาการประเมินรูปแบบระดับวุฒิภาวะ (Maturity Level) จะพบว่า
สถาปัตยกรรมองค์กรด้านดิจิทัล ของ อ.ส.ค. (สำหรับปี 2566) อยู่ในระดับ 2 คือ รัฐวิสาหกิจมีกระบวนการ
วิเคราะห์และจัดทำสถาปัตยกรรมองค์กรและแนวปฏิบัติที่กำหนดอย่างครบถ้วนและเป็นระบบ ส่วนในระดับ 3, 4
และ 5 นั้น ยังอยู่ในระหว่างการดำเนินงาน
โดยสรุป สถาปัตยกรรมองค์กรด้านดิจิทัล ของ อ.ส.ค. (สำหรับปี 2566) เป็นไปตามมาตรฐานสากลที่นิยม
ใช้โดยทั่วไป เช่นเดียวกับสถาปัตยกรรมองค์กรของสำนักงานรัฐบาลอิเล็กทรอนิกส์ (องค์การมหาชน) หรือ EGA ที่
ได้ให้ความสำคัญกับสถาปัตยกรรมทั้ง 5 ด้าน ได้แก่ ด้านธุรกิจ ด้านข้อมูล ด้านระบบงาน ด้านเทคโนโลยี และด้าน
การรั กษาความปลอดภั ยข้ อมู ล อย่ างไรก็ ตาม การที ่ จะยกระดั บสถาปั ตยกรรมองค์ กรของ อ.ส.ค. ให้ มี
ประสิทธิภาพมากยิ่งขึ้น เป็นไปตามหลักเกณฑ์ที่ สคร. กำหนด จะต้องอาศัยระยะเวลา และการดำเนินงานอย่าง
ต่อเนื่องและเป็นระบบ รวมทั้งจะต้องสร้างความรู้ความเข้าใจให้ทุกคนในองค์กรได้รับรู้ พร้อมปฏิบัติตามไปใน
ทิศทางเดียวกัน
หน้าที่ 2-4
ภาพที่ 2.2-1กระบวนการวิเคราะห์และจัดทำสถาปัตยกรรมองค์กรด้านดิจิทัล ของ อ.ส.ค. (สำหรับปี 2567)
หน้าที่ 2-5
2.2.1.1 การศึกษาข้อมูล
1) กรอบสถาปัตยกรรมองค์กร (Enterprise Architecture Framework)
กรอบสถาปัตยกรรมองค์กรได้ถูกพัฒนาขึ้นเพื่อการนำเสนอรูปแบบของการนำเอาเทคโนโลยีดิจิทัลมา
สนับสนุนการดำเนินธุรกิจให้เกิดประสิทธิภาพสูงสุดด้วยความถูกต้อง และมีธรรมาภิบาล ซึ่งตลอดเวลาเกือบ 3
ทศวรรษ ที่กรอบสถาปัตยกรรมองค์กรได้ถูกพัฒนาขึ้นโดยนักวิจัยและนัก ปฏิบัติ โดยจะมีความแตกต่างกัน
ออกไปตามแต่ ล ะกรอบสถาปั ต ยกรรมองค์ ก รที่ ไ ด้ ใ ห้ ค วามสำคั ญกั บ องค์ ประกอบต่า ง ๆ ภายใต้ ก รอบ
สถาปัตยกรรมองค์กรที่มาก – น้อย แตกต่างกันไป โดยสรุปได้ดังนี้
2) กรอบสถาปัตยกรรมองค์กรแบบ Zachman (The Zachman Framework)
กรอบสถาปัตยกรรมองค์กรแบบ Zachman ประกอบด้วยองค์ประกอบ 2 ส่วน ได้แก่ 5W1H (ตาม
แนวนอนของรูป) ซึ่งเป็นองค์ประกอบเพื่อการสื่อสารและเชื่อมโยงความสัมพันธ์ระหว่างกันโดยการสอบถาม
ด้วย 6 คำถาม ได้แก่ ใคร (Who) ทำอะไร (What) ที่ไหน (Where) เมื่อไร (When) ทำไม (Why) และอย่างไร
(How) คำถามเหล่านี้จะช่วยรวบรวมและวิเคราะห์เรื่องราวหรือสิ่งต่าง ๆ และการหาความสัมพันธ์ในเชิงเหตุผล
ของสิ่งเหล่านั้น องค์ประกอบที่ 2 เป็นมุมมองผู้รับฟัง (ตามแนวตั้งของรูป) เป็นองค์ประกอบที่กล่าวถึงมุมมอง
ของผู้ที่เกีย่ วข้องกับสถาปัตยกรรมองค์กรในมุมมองต่าง ๆ ซึ่งประกอบไปด้วย 6 มุมมอง ได้แก่ มุมมองผู้บริหาร
(Executive) มุ ม มองผู ้ จ ั ด การธุ ร กิ จ (Business Manager) มุ ม มองสถาปนิ ก (Architect) มุ ม มองวิ ศ วกร
(Engineer) มุมมองช่างเทคนิค (Technician) และมุมมองระดับองค์กร (Enterprise) มุมมองเหล่านี้จะมองสิ่ง
ที่ได้มาจาก 5W1H จากนามธรรมสู่รูปธรรมมากขึ้นตามลำดับ
หน้าที่ 2-6
ภาพที่ 2.3-2 กรอบสถาปัตยกรรมแบบ TOGAF (TOGAF Architecture Development Method)
5) เกณฑ์การประเมินผลการดำเนินงานรัฐวิสาหกิจตามระบบประเมินผลใหม่ (State
Enterprise Assessment Model: SE-AM)
การปรับปรุงสถาปัตยกรรมองค์กรของ อ.ส.ค. ได้พิจารณาเกณฑ์การประเมินผลการดำเนินงานรัฐวิสาหกิจ
ตามระบบประเมิ น ผลใหม่ ด้ า นเทคโนโลยี ด ิ จิ ท ั ล หั ว ข้ อ การวิ เ คราะห์ แ ละจั ด ทำสถาปั ต ยกรรมองค์กร
(Enterprise Architecture) ในประเด็นต่าง ๆ ที่สำคัญ ดังนี้
ก) กระบวนการวิเคราะห์และจัดทำสถาปัตยกรรมองค์กรของรัฐวิสาหกิจ
ข) การวิเคราะห์และจัดทำสถาปัตยกรรมองค์กร เพื่อมุ่งเน้นการนำเทคโนโลยีดิจิทัลมา
ปรับใช้กับทุกส่วนขององค์กร และทุกส่วนของธุรกิจทั้งในส่วนของกระบวนการ
ทำงานการสร้า งสรรค์ ผ ลิต ภั ณ ฑ์ก ารตลาด วั ฒ นธรรมองค์ ก ร และการกำหนด
เป้าหมายการเติบโตในอนาคต โดยแสดงให้เห็นภาพในปัจจุบันก่อนนำเทคโนโลยี
ดิ จ ิ ท ั ล มาปรั บ ใช้ ก ั บ ทุ ก ส่ ว นขององค์ ก ร (As is) และภาพในอนาคตในการนำ
เทคโนโลยี ด ิ จ ิ ท ั ล มาปรั บ ใช้ ก ั บ ทุ ก ส่ ว นขององค์ ก ร (To be) ซึ ่ ง ครอบคลุ ม ถึ ง
สถาปัตยกรรมด้านธุรกิจ สถาปัตยกรรมด้านข้อมูล สถาปัตยกรรมด้านระบบงาน
สถาปัตยกรรมด้านเทคโนโลยี และสถาปัตยกรรมด้านการรักษาความปลอดภัยข้อมูล
ค) การสื่อสารสถาปัตยกรรมองค์กร
ง) การกำหนดกรอบ/แนวทางการใช้สถาปัตยกรรมองค์กรกับโครงการด้านดิจิทัลอย่าง
เป็นรูปธรรม
หน้าที่ 2-8
จ) การกำหนดแนวทางการประเมิน ประสิ ทธิผ ล/ความคุ้ ม ค่า ของการนำ
เทคโนโลยีดิจิทัลมาปรับใช้กับทุกส่วนขององค์กร (Evaluation of Digital
Transformation)
6) ผลการประเมินของ อ.ส.ค. ปีบัญชี 2565 รายงานสถานะการดำเนินงานของ
รัฐวิสาหกิจด้าน Core Business Enablers ประจำปีบัญชี 2565
การพิจารณาสถานะผลการดำเนินงานของรัฐวิสาหกิจ หรือการวิเคราะห์ช่องว่าง (Gap Analysis) ของ
อ.ส.ค. ตามเกณฑ์การประเมิน ผลการดำเนินงานรัฐ วิสากิจตามระบบประเมินผลใหม่ (State Enterprise
Assessment Model: SE-AM) ของ อ.ส.ค. พบว่า โดยภาพรวมอยู่ที่ระดับ 2.1232 ทั้งนี้ เมื่อพิจารณาเป็นราย
ด้าน พบว่า ด้านที่ได้รับคะแนนมากที่สุดเป็นอันดับหนึ่ง ได้แก่ การบริหารทุนมนุษย์ (HCM) รองลงมา คือ การ
ตรวจสอบภายใน (IA) การกำกับดูแลที่ดีและการนำองค์การ (CG) การวางแผนเชิงกลยุทธ์ (SP) การบริหาร
ความเสี่ยงและควบคุมภายใน (RM & IC) การพัฒนาเทคโนโลยีดิจิทัล (DT) การมุ่งเน้นผู้มีส่วนได้ส่วนเสียและ
ลูกค้า (SCM) และการจัดการความรู้และนวัตกรรม (KM & IM) ตามลำดับ
.…
05
การกากับ…
หน้าที่ 2-9
จากการศึกษาผลการประเมินของ อ.ส.ค. ปีบัญชี 2565 สามารถสรุปได้ว่า อ.ส.ค. มีผลการดำเนินงาน
ด้าน Core Business Enabler อยู่ในระดับ Maturity “ระดับ 2” ซึ่งหมายถึง เริ่มมีระบบกระบวนการ หรือมี
ไม่เพียงพอ หรือไม่มีคุณภาพไม่ทันสมัย ไม่เหมาะสมกับการปฏิบัติงานทั้งในด้านนโยบายเป้าหมาย กรอบเกณฑ์
ระเบียบ วิธีการทำงาน มีคู่มือการปฏิบัติงานในการดำเนินงานในระบบ กระบวนการนั้นไม่ครบถ้วนสมบูรณ์
รวมทั้งแม้จะมีการติดตามกำกับประเมินผลปรับปรุงแก้ไขปัญหาและสนับสนุนเพียงพอสำหรับการทำงาน
ตามปกติ แต่ไม่สม่ำเสมอ
นอกจากนั้นแล้ว เมื่อพิจารณาเฉพาะด้านการพัฒนาเทคโนโลยีดิจิทัล พบว่า การพัฒนาเทคโนโลยี
ดิจิทัล อ.ส.ค. ยังไม่มีการพัฒนาเทคโนโลยีดิจิทัลอย่างเป็นระบบ ต้องเร่งพัฒนาในด้านการกำกับดูแลเทคโนโลยี
ดิจ ิทัล การนำเทคโนโลยีดิจ ิทัลมาปรับ ใช้กับทุกส่วนขององค์กร การบูรณาการเชื่อมโยงข้อมูล และการ
ดำเนินงานร่วมกันระหว่างหน่วยงาน และการดำเนินการด้านการบริหารจัดการการใช้ทรัพยากรอย่างเหมาะสม
7) ผลการประเมินด้านการพัฒนาเทคโนโลยีดิจิทัลของ อ.ส.ค. ปีบัญชี 2565
ผลการดำเนินงานด้าน Core Business Enables หัวข้อการพัฒนาเทคโนโลยีดิจิทัลของ อ.ส.ค. ปีบัญชี
2565 พบว่า ในภาพรวมได้รับคะแนนอยู่ในระดับ 1.7260 โดยด้านที่ได้รับคะแนนมากที่สุดเป็นอันดับหนึ่ง ได้แก่
การบริหารความต่อเนื่องทางธุรกิจ และความพร้อมใช้ของระบบ (Business Continuity and Availability
Management) และ การบริหารความมั่นคงปลอดภัยของสารสนเทศ (Information Security
Management) รองลงมาคือ การกำกับดูแลด้านเทคโนโลยีดิจิทัล และแผนปฏิบัติการดิจิทัลขององค์กร
(Digital Governance and Roadmap) การบูรณาการเชื่อมโยงข้อมูลและการดำเนินงานรวมกันระหว่าง
หน่วยงาน (Government Integration) การกำกับดูแลข้อมูลและการบริหาร จัดการข้อมูลขนาดใหญ่ของ
องค์กร (Data Governance and Big Data Management) การนาเทคโนโลยีดิจิทัลมาปรับใช้กับทุกส่วน
ขององค์กร (Digital Transformation) การดำเนินการด้านการบริหารจัดการการใช้ทรัพยากรอย่างเหมาะสม
(Resource Optimization Management) ตามลำดับ
แผนภูมิที่ 2.3-2 ผลการประเมินรายงานสถานการณ์ดำเนินงานของรัฐวิสาหกิจด้าน Core Business Enablers หัวข้อ
การพัฒนาเทคโนโลยีดิจิทัลของ อ.ส.ค. ปีบัญชี 2564
หน้าที่ 2-10
8) แนวปฏิบัติที่ดี (Best Practices) ด้านสถาปัตยกรรมองค์กร
กรอบสถาปัตยกรรมองค์กรแบบการใช้แนวปฏิบัติที่ดี (Best Practices) ของบริษัท Dragon (Dragon
One’s Enterprise Architecture) ซึ่งเป็นหนึ่งในผู้นำด้านการให้คำปรึกษาจัดทำสถาปัตยกรรมองค์กรให้แก่
องค์กรชั้นนำในกว่า 110 ประเทศทั่วโลก โดยโครงสร้างของสถาปัตยกรรมองค์กร แบ่งเป็น 5 องค์ประกอบ
หลัก ดังนี้
9) กรอบการกำกับดูแลการบริหารวิสาหกิจ (Enterprise Governance)
กรอบการกำกับดูแลการบริหารวิสาหกิจ ประกอบด้วย วิสัยทัศน์ พันธกิจ แผนงานสำคัญ แนวนโยบาย
ของผู ้ ถ ื อ หุ ้ น และคณะกรรมการบริ ห าร (Board of Directors) ตั ว ชี ้ ว ั ด ผลสำเร็ จ ขององค์ ก ร (KPI) และ
ยุทธศาสตร์ในการดำเนินธุรกิจ เป็นต้น
ก) สถาปัตยกรรมด้านธุรกิจ (Business Architecture)
สถาปัตยกรรมด้านธุรกิจ กล่าวถึง กระบวนงานทางธุรกิจ (Business Processes) การ
กำกั บ ดู แ ลและการจั ด การทั ้ ง ระดั บ หน่ ว ยธุ ร กิ จ และระดั บ โครงการ รวมทั ้ ง โครงสร้ า ง
กระบวนงาน การเปลี่ยนแปลง ให้เกิดประสิทธิภาพในการผลิตและการบริการแก่ล ูก ค้า
รวมทั้งการทำธุรกรรมต่าง ๆ กับพันธมิตรทางการค้าและหน่วยงานภายนอกองค์กร
ข) สถาปัตยกรรมด้านบริการสารสนเทศและสิ่ งอำนวยความสะดวก(Information Services
and Facilities Architecture)
สถาปัตยกรรมด้านบริการสารสนเทศและสิ่งอำนวยความสะดวก อธิบายถึง รูปแบบและ
รายละเอียดของการให้บ ริการด้านสารสนเทศแก่ห น่วยงานแต่ล ะหน่วยงาน และองค์กร
โดยรวม ซึ่งจะเน้นด้านการบูรณาการของระบบงาน คุณภาพการบริการสารสนเทศ ข้อมูลทั้ง
ในระดับองค์ประกอบ (Components) และข้อมูลระดับองค์กรที่ใช้ร่วมกัน
ค) สถาปั ต ยกรรมด้ า นโครงสร้ า งพื ้ น ฐานของเทคโนโลยี ส ารสนเทศ (IT Infrastructure
Architecture)
สถาปั ต ยกรรมด้ านโครงสร้า งพื ้น ฐานของเทคโนโลยีส ารสนเทศกล่ า วถึ งการนำเอา
ซอฟต์แวร์ (Software) และฮาร์ดแวร์ (Hardware) มาสนับสนุนการด้านบริหารจัดการ ด้าน
ข้ อ มู ล ด้ า นระบบงาน และด้ า นกระบวนงานทางธุ ร กิ จ รวมถึ ง โครงสร้ า งของระบบ
คอมพิวเตอร์ ระบบเครือข่ายสื่อสารข้อมูล กระบวนการจัดการด้านเทคโนโลยีสารสนเทศ
และมาตรฐานในการจัดการและการปฏิบัติการด้านเทคโนโลยีสารสนเทศ
ง) สถาปัตยกรรมด้านความปลอดภัยของข้อมูล (Security Architecture)
สถาปัตยกรรมด้านความปลอดภัยของข้อมูลอธิบายถึงการออกแบบและกำหนดมาตรการ
(Measures) ความมั ่ น คงปลอดภั ย ของข้ อ มู ล การบริ ห ารจั ด การความเสี ่ ย ง (Risk
Management) และการลดผลกระทบจากเหตุการณ์ที่เกิดขึ้น เพื่อให้การดำเนินการด้าน
ธุรกิจและการบริการสารสนเทศเป็นไปด้วยความถูกต้อง (Integrity) มีความพร้อมใช้งาน
(Availability) ความโปร่งใส (Transparency) และตรวจสอบได้ (Accountability) รวมถึง
การรักษาความลับ (Confidentiality) ได้อย่างมีประสิทธิภาพ
หน้าที่ 2-11
2.2.1.2 การสำรวจข้อมูล
อ.ส.ค. ได้มีการสำรวจสถานภาพการใช้งานเทคโนโลยีดิจิทัลของบุคลากรในองค์กร ณ สำนักงานภาค
กลาง โดยมีผู้เข้าร่วมประชุม ทั้งในระดับผู้บริหาร และพนักงาน ครอบคลุมทั้ง 4 กลุ่มงานหลัก ได้แก่ กลุ่ม
อุตสาหกรรมนม กลุ่มส่งเสริมกิจการโคนม และกลุ่มการตลาดและการขาย เพื่อรวบรวมข้อมูลสถานภาพใน
เบื้องต้นของปัญหา อุปสรรค และข้อจำกัดต่าง ๆ ที่เกี่ยวข้องกับการใช้งานเทคโนโลยีดิจิทัลในองค์กร จากนั้น
จึงนำข้อมูลที่ได้รับมาวิเคราะห์เพื่อเป็นส่วนหนึ่งของการปรับปรุงสถาปัตยกรรมองค์กรของ อ.ส.ค. ที่เหมาะสม
กับบริบทการดำเนินงานขององค์กร
หน้าที่ 2-12
2.2.3 กระบวนการกำหนดแผนงานและข้อเสนอแนะ (Planning &
Recommendation)
เป็นการนำเสนอแนวคิดด้านการพัฒนาสถาปัตยกรรมองค์กรเพื่อยกระดับขีดความสามารถด้าน
เทคโนโลยีดิจิทัลของ อ.ส.ค. สู่การเป็นองค์กรดิจิทัล (Digital Organization) ซึ่งประกอบด้วย ระดับขั้นของ
การพัฒนาสถาปัตยกรรมองค์กร (EA Stages) การประเมินสัดส่วนการลงทุนในแต่ละขั้น (Stage) ของการ
พัฒนาด้านเทคโนโลยีดิจิทัล แผนกลยุทธ์ (Roadmap) สู่การพัฒนาสถาปัตยกรรมองค์กรอย่างสมบูรณ์ (EA
Maturity) รวมถึงบทสรุป และข้อเสนอแนะที่เกี่ยวข้ องกับแนวทาง วิธ ีการในการเพิ่มประสิทธิภ าพเพื่ อ
ประกอบการประเมินผลการดำเนินงานการบริหารจัดการองค์กรด้านการบริห ารจัดการสารสนเทศและการ
กำหนดนโยบาย การออกแบบระเบียบข้อบังคับด้านเทคโนโลยีสารสนเทศของ อ.ส.ค. เป็นต้น
หน้าที่ 2-13
2.3.3.2 เว็บไซต์ digital.dpo.co.th
ถ่ า ยทอดกระบวนการวิ เ คราะห์ แ ละจั ด ทำสถาปั ต ยกรรมองค์ ก ร ผ่ า น เว็ บ ไซต์
digital.dpo.co.th ซึ่งเป็นระบบภายในองค์กร ช่วยให้ผู้บริหาร และพนักงานทุกส่วนงาน สามารถที่จะเข้าถึง
ข้อมูลได้ตามที่ต้องการตลาดเวลา
2.3.3.3 การประชุมคณะทำงานด้านเทคโนโลยีดิจิทัลต่างๆ
ถ่ายทอดถ่ายทอดกระบวนการวิเคราะห์และจัดทำสถาปัตยกรรมองค์กร ผ่านการประชุม
คณะอนุกรรมการพัฒนาเทคโนโลยีดิจิทัล และคณะทำงานขับเคลื่อนงานด้านเทคโนโลยีดิจิทัล ให้พนักงานและ
ผู้บริหารได้รับทราบ
2.3.3.4 InfoGraphic
ถ่ายทอดถ่ายทอดกระบวนการวิเคราะห์และจัดทำสถาปัตยกรรมองค์กร ผ่าน infographic
และแจ้งเวียนทาง email เพื่อให้พนักงานรับทราบ
หน้าที่ 2-15
2.5.3 การให้ความสำคัญกับกระบวนงาน (Business Process) การไหลของงาน (Work Flow) รายงาน
(Report) ที ่ ต ้ อ งการที ่ จ ุ ด ต่ า ง ๆ ความเชื ่ อ มโยงของแต่ ล ะกระบวนงาน (Integration) และผู ้ เ กี ่ ย วข้ อ ง
(Stakeholder)
2.5.4 ความยืดหยุ่น (Flexibility)
2.5.5 คุณภาพการให้บริการ (Quality of Service : QoS)
2.5.6 ความคงทนยืนยาวและขยายระบบได้ (Longevity and Scalability)
2.5.7 การควบคุมกำกับดูแลด้านดิจิทัล (Digital Governance)
2.5.8 มาตรฐานแบบเปิด (Open Architecture)
2.5.9 ความมั่นคงปลอดภัย (Security)
หน้าที่ 2-16
บทที่ 3
สถาปัตยกรรมองค์กร 4.0 ของ อ.ส.ค. (DPO EA 4.0) (สำหรับปี 2567)
หน้าที่ 3-1
ภาพที่ 3.1-1 กระบวนงานผลิตผลิตภัณฑ์นม
หน้าที่ 3-2
ภาพที่ 3.1-3 กระบวนงานด้านคลังพัสดุ
หน้าที่ 3-3
3.1.2. กลุ่มส่งเสริมกิจการโคนม
กลุ่มส่งเสริมกิจการโคนมรับผิดชอบการปฏิบัติงานการส่งเสริมการเลี้ยงโคนมให้แก่เกษตรกรผู้
เลี ้ ย งโคนมที ่ ส ่ ง น้ ำ นมดิ บ ผ่ า นศู น ย์ ร ั บ น้ ำ นมดิ บ ของ อ.ส.ค. และสมาชิ ก สหกรณ์ โ คนมบางแห่ ง
โ ด ย ม ี ต ั ว อ ย ่ าง ก ร ะ บ ว นง า นท ี ่ เ ก ี ่ ย วข ้ อ ง อ า ท ิ ก า ร ใ ห ้ บ ร ิ ก า ร สั ตว แพ ท ย ์ แล ะ ผส ม เที ย ม
การให้บริการปัจจัยการเลี้ยงโคนม การวิจัยและพัฒนา และนวัตกรรมด้านการเลี้ยงโคนม ดังแสดงในภาพที่
3.1-5 และมีองค์ประกอบด้านกระบวนงานที่สำคัญได้แก่
(1) กระบวนงานส่งเสริมกิจการโคนม
(2) กระบวนงานให้บริการสัตวแพทย์และผสมเทียม
(3) กระบวนงานวิจัยและพัฒนาด้านการเลี้ยงโคนม
(4) กระบวนงานเลี้ยงโคนมฟาร์มอินทรีย์
(5) กระบวนงานบริการปัจจัยการเลี้ยงโคนม
(6) กระบวนงานผลิตน้ำเชื้อพ่อพันธุ์
(7) กระบวนงานถ่ายทอดเทคโนโลยี
หน้าที่ 3-4
ดังนั้น สถาปัตยกรรมด้านธุรกิจกลุ่มการส่งเสริมกิจการโคนม สามารถกำหนดดังในภาพที่ 3.1-6
3.1.3. กลุ่มการบริหารและอำนวยการ
กลุ่มการบริหารและอำนวยการ รับผิดชอบการปฏิบัติงานในด้านบุคลากร ด้านบัญชีและการเงิน
ด้านแผนงานและงบประมาณ และด้านพัสดุ มีหน้าที่หลักเพื่อสนับสนุนการปฏิบัติงานในกลุ่มอื่น ๆ อาทิ
กลุ ่ ม อุ ตสาหกรรมนม กลุ ่ ม ส่ ง เสริ ม กิ จ การโ คนม และกลุ ่ ม การตลาดและการท่ อ งเที ่ ย ว
ให้ดำเนินการได้อย่างมีประสิทธิภาพสามารถขับเคลื่อนองค์กรไปสู่เป้าหมายการดำเนินงานขององค์กรตามแผน
วิสาหกิจของ อ.ส.ค. โดยมีองค์ประกอบด้านกระบวนงานที่สำคัญ ได้แก่
(1) กระบวนงานกำหนดแผนงานและจัดทำงบประมาณ
(2) กระบวนงานบริหารงบประมาณและการเงิน
(3) กระบวนงานจัดซื้อจัดจ้างและทำสัญญา
(4) กระบวนงานติดตามและประเมินผล
(5) กระบวนงานบริหารความเสี่ยงและควบคุมภายใน
(6) กระบวนงานบริหารทรัพยากรบุคคล
(7) กระบวนงานประชาสัมพันธ์
(8) กระบวนงานควบคุมพัสดุ
ดังนั้น สถาปัตยกรรมด้านธุรกิจกลุ่มการส่งเสริมกิจการโคนม สามารถกำหนดดังในภาพที่ 3.1-7
หน้าที่ 3-5
ภาพที่ 3.1-7 สถาปัตยกรรมด้านธุรกิจกลุ่มการบริหารและอำนวยการ
3.1.4 กลุ่มการตลาดและการท่องเที่ยว
กลุ ่ ม การตลาดและการท่ อ งเที ่ ย ว รั บ ผิ ด ชอบการปฏิ บ ั ต ิ ง านด้ า นการตลาดและการขาย
และการท่องเที่ย วเชิงเกษตร ของภายในพื้นที่ของ อ.ส.ค. โดยมีตัว อย่างกระบวนงานที่เกี่ยวข้อง อาทิ
การบริหารการขาย การส่งเสริมการตลาด และมีองค์ประกอบด้านกระบวนงานที่สำคัญ ได้แก่
(1) กระบวนงานบริหารการขาย
(2) กระบวนงานบริหารการตลาด
(3) กระบวนงานส่งเสริมการตลาด
(4) กระบวนงานลูกค้าสัมพันธ์
(5) กระบวนงานประชาสัมพันธ์
ดังนั้น สถาปัตยกรรมด้านธุรกิจกลุ่มการตลาดและการท่องเที่ยว สามารถกำหนดดังในภาพที่ 3.1-8
หน้าที่ 3-6
3.2 สถาปัตยกรรมด้านข้อมูล (Data Architecture)
จากการศึกษา วิเคราะห์ กระบวนงานหลักของกลุ่มปฏิบัติงานต่าง ๆ ขององค์การส่งเสริมกิจการโคนม
แห่งประเทศไทย รายละเอียดดังในข้อ 3.4 ตลอดจนข้อมูลและสารสนเทศที่เกิดขึ้นจากกระบวนงานดังกล่าว
ระบบสารสนเทศที ่ ใ ช้ ง านทั ้ ง ภายในและภายนอกองค์ ก ร รวมถึ ง แผนพั ฒ นาดิ จ ิ ท ั ล ฯ ของ อ.ส.ค.
และแผนปฏิบัติการดิ จิทัลฯ ของ อ.ส.ค. ที่กำหนดให้มีการบูรณาการเชื่อมโยงข้อมูลและระบบสารสนเทศ
ทั่วทั้งองค์กรอย่างเป็นรูปธรรม และการขับเคลื่อนโครงการข้อมูลขนาดใหญ่ (Big Data) เพื่อสนับสนุนและ
เพิ่มประสิทธิภาพการปฏิบ ัติงานขององค์กร จึงกำหนดสถาปัตยกรรมด้านข้อมูล (Data Architecture)
ประกอบด้วยกลุ่มข้อมูลแยกตามกลุ่มภารกิจหลักขององค์กร ได้แก่ กลุ่มอุตสาหกรรมนม กลุ่มสนับสนุน
กิจการโคนม กลุ่มบริหารและอำนวยการ และกลุ่มการตลาดและการท่องเที่ยว และระบบสารสนเทศที่สำคัญ
อาทิ ระบบ ERP และดำเนิน การพัฒ นาศูนย์ข้อมูลกลางของ อ.ส.ค. เพื่อเชื่อมโยงฐานข้อมูล เดิมที่มีอยู่
และรองรั บ การบู ร ณาการข้ อ มู ล และสารสนเทศเดิ ม กั บ ฐานข้ อ มู ล Data Lake และ BI/DSS
ที่จ ะถูกพัฒ นาขึ้น ตามแผนพัฒ นาดิจ ิ ทัล ฯ ของ อ.ส.ค. และแผนปฏิบัติก ารดิจิ ทั ล ฯ ของ อ.ส.ค. ต่อ ไป
ดังแสดงในภาพที่ 3.2-1
3.2.1. สถาปัตยกรรมข้อมูลเดิม
สถาปัตยกรรมข้อมูลเดิม ประกอบด้วยฐานข้อมูลดังต่อไปนี้
3.2.1.1 ฐานข้อมูลด้านอุตสาหกรรมนม
ฐานข้อมูลด้านอุตสาหกรรมนม ประกอบด้วย ข้อมูลที่เกิดขึ้นระหว่างกระบวนงานการผลิต
ผลิตภัณฑ์นม รายละเอียดดังในหัวข้อ 3.1 ซึ่งประกอบด้วยข้อมูลต่าง ๆ ที่เกิดขึ้น ดังแสดงในตารางที่ 3.2-2
หน้าที่ 3-7
ตารางที่ 3.2-1 ฐานขอมูลดานอุตสาหกรรมนมและรายละเอียดหนวยงานที่สรางและใชขอมูล
กองงานเลขานุการคณะกรรมการโคนมและผลิตภัณฑนม
ฝายวิจัยและพัฒนาการเลี้ยงโคนม
สำนักงาน อ.ส.ค. ประจำภาค
ฝายนโยบายและยุทธศาสตร
ฝายสงเสริมการเลี้ยงโคนม
ฝายการตลาดและการขาย
สหกรณ/ศูนยรับน้ำนมดิบ
ฝายทองเที่ยวเชิงเกษตร
เกษตรกรผูเลี้ยงโคนม
ฝายบัญชีและการเงิน
ฝายทรัพยากรบุคคล
ฝายพัสดุและบริการ
ฝายอำนวยการ
ฐานขอมูล รายละเอียดขอมูล
หนาที่ 3-8
กองงานเลขานุการคณะกรรมการโคนมและผลิตภัณฑนม
ฝายวิจัยและพัฒนาการเลี้ยงโคนม
สำนักงาน อ.ส.ค. ประจำภาค
ฝายนโยบายและยุทธศาสตร
ฝายสงเสริมการเลี้ยงโคนม
ฝายการตลาดและการขาย
สหกรณ/ศูนยรับน้ำนมดิบ
ฝายทองเที่ยวเชิงเกษตร
เกษตรกรผูเลี้ยงโคนม
ฝายบัญชีและการเงิน
ฝายทรัพยากรบุคคล
ฝายพัสดุและบริการ
ฝายอำนวยการ
ฐานขอมูล รายละเอียดขอมูล
2.3 ประเภทและปริมาณ
วัตถุดิบ ทีใ่ ชในการผลิต
อาทิ น้ำตาล วัตถุแตง
กลิ่น/สี
2.4 ถังเก็บน้ำนมดิบ
และปริมาณน้ำนมดิบที่
ใชในการผลิต
2.5 ประเภทและ
จำนวนบรรจุภัณฑที่ใช
ในการผลิต
2.6 ประเภทและ
จำนวนหีบหอที่ใชใน
การผลิต
3. ขอมูลคุณภาพ 3.1 ผลการสุม ทดสอบ
น้ำนมและผลิตภัณฑ น้ำนมดิบหนาโรงงาน
ประกอบดวย วันที่/
เวลา ผลทดสอบ ขอมูล
สหกรณ/ศูนยรับน้ำนม
ดิบ ขอมูลรถขนสง
น้ำนมดิบ
3.2 ผลการสุม ทดสอบ
น้ำนมดิบในถังเก็บ
น้ำนมดิบ ประกอบดวย
วันที่/เวลา ผลทดสอบ
ขอมูลถังเก็บน้ำนมดิบ
3.3 ผลการสุม ทดสอบ
น้ำนมระหวางกระบวนการ
แปรรูป/ปรุงรส
ประกอบดวย วันที่/เวลา
หนาที่ 3-9
กองงานเลขานุการคณะกรรมการโคนมและผลิตภัณฑนม
ฝายวิจัยและพัฒนาการเลี้ยงโคนม
สำนักงาน อ.ส.ค. ประจำภาค
ฝายนโยบายและยุทธศาสตร
ฝายสงเสริมการเลี้ยงโคนม
ฝายการตลาดและการขาย
สหกรณ/ศูนยรับน้ำนมดิบ
ฝายทองเที่ยวเชิงเกษตร
เกษตรกรผูเลี้ยงโคนม
ฝายบัญชีและการเงิน
ฝายทรัพยากรบุคคล
ฝายพัสดุและบริการ
ฝายอำนวยการ
ฐานขอมูล รายละเอียดขอมูล
ผลทดสอบ ขอมูล
เครื่องจักรในกระบวนการ
แปรรูป และปรุงรส ขอมูล
Lot การผลิต
3.4 ผลการสุม ทดสอบ
ผลิตภัณฑนมทาย
สายการผลิต ประกอบดวย
วันที่/เวลา ผลทดสอบ
ขอมูลผลิตภัณฑนมที่
ทดสอบ ขอมูล Lot การ
ผลิต
3.5 ผลการทดสอบ
ผลิตภัณฑนมครั้ง
สุดทาย ประกอบดวย
วันที่/เวลาทีผลิต
ผลทดสอบ ขอมูล
ผลิตภัณฑนมทีท่ ดสอบ
ขอมูล Lot การผลิต
4. ขอมูลคลังสินคา 4.1 ประเภทผลิตภัณฑ
4.2 ตำแหนงทีจ่ ัดเก็บ
4.3 จำนวนคงเหลือ
4.4 ขอมูลหีบหอ
ผลิตภัณฑ
4.5 วันที่/เวลาที่จัดเก็บ
4.6 วันที่/เวลาที่ยาย
ตำแหนง
4.7 ตำแหนงใหมที่
จัดเก็บ
4.8 ขอมูลหีบหอ
ผลิตภัณฑและ วันที่/
หนาที่ 3-10
กองงานเลขานุการคณะกรรมการโคนมและผลิตภัณฑนม
ฝายวิจัยและพัฒนาการเลี้ยงโคนม
สำนักงาน อ.ส.ค. ประจำภาค
ฝายนโยบายและยุทธศาสตร
ฝายสงเสริมการเลี้ยงโคนม
ฝายการตลาดและการขาย
สหกรณ/ศูนยรับน้ำนมดิบ
ฝายทองเที่ยวเชิงเกษตร
เกษตรกรผูเลี้ยงโคนม
ฝายบัญชีและการเงิน
ฝายทรัพยากรบุคคล
ฝายพัสดุและบริการ
ฝายอำนวยการ
ฐานขอมูล รายละเอียดขอมูล
เวลาที่ออกจาก
คลังสินคา
5. ขอมูลเครื่องจักร 5.1 หมายเลขทรัพยสิน
และอะไหล 5.2 ขอมูลเครือ่ งจักร/
ถังจัดเก็บน้ำนมดิบ อาทิ
ประเภท ขนาด ยีหอ
รุน
5.2 ตำแหนงทีต่ ิดตั้ง
5.3 สัญญาซื้อ/ใบสั่งซื้อ
5.4 ขอมูลเจาหนาที่
ผูรับผิดชอบ
5.5 ขอมูลบริษทั จัด
จำหนายเครื่องจักร
5.6 วันที่ติดตั้ง/เริ่มใช
งาน
5.7 รายการชิน้ สวน
ประกอบเครื่องจักร
5.8 ขอมูลประสิทธิผล
ของเครื่องจักรโดยรวม
(OEE)
6. ขอมูลคลังวัตถุดิบ 6.1 ประเภทวัตถุดิบ
6.2 ตำแหนงทีจ่ ัดเก็บ
6.3 ปริมาณ/จำนวน
คงเหลือ
6.4 วันที่/เวลา และ
ปริมาณ/จำนวน ที่
จัดเก็บ
6.5 วันที่/เวลาที่ยาย
ตำแหนง
หนาที่ 3-11
กองงานเลขานุการคณะกรรมการโคนมและผลิตภัณฑนม
ฝายวิจัยและพัฒนาการเลี้ยงโคนม
สำนักงาน อ.ส.ค. ประจำภาค
ฝายนโยบายและยุทธศาสตร
ฝายสงเสริมการเลี้ยงโคนม
ฝายการตลาดและการขาย
สหกรณ/ศูนยรับน้ำนมดิบ
ฝายทองเที่ยวเชิงเกษตร
เกษตรกรผูเลี้ยงโคนม
ฝายบัญชีและการเงิน
ฝายทรัพยากรบุคคล
ฝายพัสดุและบริการ
ฝายอำนวยการ
ฐานขอมูล รายละเอียดขอมูล
6.6 ตำแหนงใหมที่
จัดเก็บ
6.7 ปริมาณ/จำนวน
และ วันที่/เวลาที่ออก
จากคลังวัตถุดิบ
7. ขอมูลการ 7.1 หมายเลขทรัพยสิน
บำรุงรักษา 7.2 ขอมูลเครือ่ งจักร
อาทิ ประเภท ขนาด ยี
หอ รุน
7.3 รายละเอียดการ
บำรุงรักษาเชิงปองกันที่
ดำเนินการ อาทิ วันที่/
เวลารายการที่
ดำเนินการ
รายละเอียด/จำนวน
อุปกรณที่เปลีย่ น
7.4 รายละเอียดการ
แจงซอม อาทิ วันที่/
เวลา อาการผิดปกติที่
เกิดขึ้น
7.5 รายละเอียดการ
ซอมเครื่องจักร อาทิ
วันที่/เวลา การแกไข
อุปกรณอะไหล/จำนวน
ที่ใช ผลการทดสอบ
8. ขอมูลน้ำนมดิบ 8.1 วันที่/เวลาที่รับน้ำนม
ดิบ
8.2 ขอมูลสหกรณ/ศูนย
รับน้ำนมดิบ
8.3 ปริมาณน้ำนมดิบ
หนาที่ 3-12
กองงานเลขานุการคณะกรรมการโคนมและผลิตภัณฑนม
ฝายวิจัยและพัฒนาการเลี้ยงโคนม
สำนักงาน อ.ส.ค. ประจำภาค
ฝายนโยบายและยุทธศาสตร
ฝายสงเสริมการเลี้ยงโคนม
ฝายการตลาดและการขาย
สหกรณ/ศูนยรับน้ำนมดิบ
ฝายทองเที่ยวเชิงเกษตร
เกษตรกรผูเลี้ยงโคนม
ฝายบัญชีและการเงิน
ฝายทรัพยากรบุคคล
ฝายพัสดุและบริการ
ฝายอำนวยการ
ฐานขอมูล รายละเอียดขอมูล
8.4 ผลการทดสอบ
คุณภาพ
8.5 ถังจัดเก็บน้ำนมดิบ
หมายถึง หนวยงานขององคกรที่สรางขอมูล หมายถึง หนวยงานขององคกรที่ตองการใชขอมูล
3.2.1.2 ฐานขอมูลดานการสงเสริมกิจการโคนม
ฐานข อ มู ล ด า นการส ง เสริ ม กิ จ การโคนม ประกอบด ว ย ข อ มู ล ที ่ เ กิ ด ขึ ้ น ใน
กระบวนงานดานการสงเสริมกิจการโคนม รายละเอียดดังในหั วข อ 3.1 ซึ่งประกอบดวยขอมูลตาง ๆ ที่
เกิดขึ้นดังแสดงในตารางที่ 3.2-2
ตารางที่ 3.2-2 ฐานขอมูลดานสงเสริมกิจการโคนมและรายละเอียดหนวยงานที่สรางและใชขอมูล
กองงานเลขานุการคณะกรรมการโคนมและผลิตภัณฑนม
ฝายวิจัยและพัฒนาการเลี้ยงโคนม
สำนักงาน อ.ส.ค. ประจำภาค
ฝายนโยบายและยุทธศาสตร
ฝายสงเสริมการเลี้ยงโคนม
ฝายการตลาดและการขาย
สหกรณ/ศูนยรับน้ำนมดิบ
ฝายทองเที่ยวเชิงเกษตร
เกษตรกรผูเลี้ยงโคนม
ฝายบัญชีและการเงิน
ฝายทรัพยากรบุคคล
ฝายพัสดุและบริการ
ฝายอำนวยการ
ฐานขอมูล รายละเอียดขอมูล
หนาที่ 3-13
กองงานเลขานุการคณะกรรมการโคนมและผลิตภัณฑนม
ฝายวิจัยและพัฒนาการเลี้ยงโคนม
สำนักงาน อ.ส.ค. ประจำภาค
ฝายนโยบายและยุทธศาสตร
ฝายสงเสริมการเลี้ยงโคนม
ฝายการตลาดและการขาย
สหกรณ/ศูนยรับน้ำนมดิบ
ฝายทองเที่ยวเชิงเกษตร
เกษตรกรผูเลี้ยงโคนม
ฝายบัญชีและการเงิน
ฝายทรัพยากรบุคคล
ฝายพัสดุและบริการ
ฝายอำนวยการ
ฐานขอมูล รายละเอียดขอมูล
1.9 เกษตรกรผูเลี้ยงโค
นม
2. ขอมูลสหกรณโค 2.1 ชื่อและตำแหนง
นม ที่ตั้ง
2.2 ขอมูลผู
ประสานงาน
2.3 รายชื่อสมาชิก
สหกรณ
2.4 ขอมูล MOU
ประกอบดวย เลขที่
MOU ปริมาณน้ำนมดิบ
ตาม MOU ปริมาณ
น้ำนมดิบคงเหลือ
2.5 ประวัติการสง
น้ำนมดิบ ประกอบดวย
วันที่/เวลา ปริมาณ
น้ำนมดิบ ผลการ
ตรวจสอบคุณภาพหนา
โรงงาน
2.5 ขอมูลการจายเงิน
คาน้ำนมดิบ
3. ขอมูลเกษตรกรผู 3.1 ชื่อและขอมูลการ
เลี้ยงโคนม ติดตอ
3.2 ชื่อฟารมโคนม
3.3 ประวัติการสง
น้ำนมดิบ ประกอบดวย
วันที่/เวลา ปริมาณ
น้ำนมดิบ ผลการ
หนาที่ 3-14
กองงานเลขานุการคณะกรรมการโคนมและผลิตภัณฑนม
ฝายวิจัยและพัฒนาการเลี้ยงโคนม
สำนักงาน อ.ส.ค. ประจำภาค
ฝายนโยบายและยุทธศาสตร
ฝายสงเสริมการเลี้ยงโคนม
ฝายการตลาดและการขาย
สหกรณ/ศูนยรับน้ำนมดิบ
ฝายทองเที่ยวเชิงเกษตร
เกษตรกรผูเลี้ยงโคนม
ฝายบัญชีและการเงิน
ฝายทรัพยากรบุคคล
ฝายพัสดุและบริการ
ฝายอำนวยการ
ฐานขอมูล รายละเอียดขอมูล
ตรวจสอบคุณภาพที่
ศูนยรับน้ำนมดิบ
3.4 ขอมูลการจายเงิน
คาน้ำนมดิบ
4. ขอมูลการ 4.1 การนัดหมาย
ใหบริการสัตวแพทย 4.2 วันที่/เวลา
ใหบริการ
4.3 ฟารมโคนม และ
สถานที่ตั้ง
4.4 ขอมูลโคนม
4.5 ขอมูลสัตวแพทย
4.6 อาการที่เกิดขึ้น
4.7 การรักษา
4.8 เวชภัณฑและ
อุปกรณที่ใช
4.9 คาบริการ
5. ขอมูลการ 5.1 การนัดหมาย
ใหบริการผสมเทียม 5.2 วันที่/เวลา
ใหบริการ
5.3 ฟารมโคนม และ
สถานที่ตั้ง
5.4 ขอมูลโคนม
5.5 ขอมูลเจาหนาที่
ผสมเทียม
5.6 รายละเอียดการ
ผสมเทียม
5.7 น้ำเชื่อและอุปกรณ
ที่ใช
5.8 คาบริการ
หนาที่ 3-15
กองงานเลขานุการคณะกรรมการโคนมและผลิตภัณฑนม
ฝายวิจัยและพัฒนาการเลี้ยงโคนม
สำนักงาน อ.ส.ค. ประจำภาค
ฝายนโยบายและยุทธศาสตร
ฝายสงเสริมการเลี้ยงโคนม
ฝายการตลาดและการขาย
สหกรณ/ศูนยรับน้ำนมดิบ
ฝายทองเที่ยวเชิงเกษตร
เกษตรกรผูเลี้ยงโคนม
ฝายบัญชีและการเงิน
ฝายทรัพยากรบุคคล
ฝายพัสดุและบริการ
ฝายอำนวยการ
ฐานขอมูล รายละเอียดขอมูล
หนาที่ 3-16
3.2.1.3 ฐานขอมูลดานการบริหารและอำนวยการ
ฐานข อ มู ล ด า นการบริ ห ารและอำนวยการ ประกอบด ว ย ข อ มู ล ที่ เ กิ ด ขึ้ น ใน
กระบวนงานดานการบริหารและอำนวยการ รายละเอียดดังในหัวขอ 3.1 ซึ่งประกอบดวยขอมูลตาง ๆ ที่
เกิดขึ้นดังแสดงในตารางที่ 3.2-3
กองงานเลขานุการคณะกรรมการโคนมและผลิตภัณฑนม
ฝายวิจัยและพัฒนาการเลี้ยงโคนม
สำนักงาน อ.ส.ค. ประจำภาค
ฝายนโยบายและยุทธศาสตร
ฝายสงเสริมการเลี้ยงโคนม
ฝายการตลาดและการขาย
ฝายทองเที่ยวเชิงเกษตร
ฝายตรวจสอบภายใน
ฝายบัญชีและการเงิน
ฝายเทคโนโลยีดิจิทัล
ฝายทรัพยากรบุคคล
ฝายพัสดุและบริการ
ฝายอำนวยการ
ฐานขอมูล รายละเอียดขอมูล
หนาที่ 3-17
กองงานเลขานุการคณะกรรมการโคนมและผลิตภัณฑนม
ฝายวิจัยและพัฒนาการเลี้ยงโคนม
สำนักงาน อ.ส.ค. ประจำภาค
ฝายนโยบายและยุทธศาสตร
ฝายสงเสริมการเลี้ยงโคนม
ฝายการตลาดและการขาย
ฝายทองเที่ยวเชิงเกษตร
ฝายตรวจสอบภายใน
ฝายบัญชีและการเงิน
ฝายเทคโนโลยีดิจิทัล
ฝายทรัพยากรบุคคล
ฝายพัสดุและบริการ
ฝายอำนวยการ
ฐานขอมูล รายละเอียดขอมูล
2.8 ขอมูลการสงมอบ
งาน อาทิ วันที่สงมอบ/
ตรวจรับงวดงาน
เอกสารสงมอบงาน
รายงานการประชุมที่
เกี่ยวของ
2.9 ขอมูลการเบิก
จายเงิน อาทิ งวดงาน
ขอมูลหนังสือแจงหนี้
จำนวนเงินที่จาย
2.10 สรุปผล
ความกาวหนาโครงการ
และผลการเบิกจายเงิน
3. ขอมูลบุคลากร 3.1 หมายเลขประจำตัว
พนักงาน
3.2 ขอมูลพนักงาน
อาทิ ชื่อ-นามสกุล อายุ
วัน/เดือน/ป เกิด เพศ
ศาสนา ขอมูล
ครอบครัว
3.3 ตำแหนงและ
หนวยงานตนสังกัด
3.4 หัวหนางาน
3.5 ประวัติการศึกษา
3.6 ประสบการณใน
การทำงาน
3.7 ประวัติการทำงาน
ในองคกร
หนาที่ 3-18
กองงานเลขานุการคณะกรรมการโคนมและผลิตภัณฑนม
ฝายวิจัยและพัฒนาการเลี้ยงโคนม
สำนักงาน อ.ส.ค. ประจำภาค
ฝายนโยบายและยุทธศาสตร
ฝายสงเสริมการเลี้ยงโคนม
ฝายการตลาดและการขาย
ฝายทองเที่ยวเชิงเกษตร
ฝายตรวจสอบภายใน
ฝายบัญชีและการเงิน
ฝายเทคโนโลยีดิจิทัล
ฝายทรัพยากรบุคคล
ฝายพัสดุและบริการ
ฝายอำนวยการ
ฐานขอมูล รายละเอียดขอมูล
3.8 ผลการประเมิน
ประสิทธิภาพการ
ปฏิบัติงาน
3.9 ประวัติการ
ฝกอบรม
3.10 สถิติการขาด/
สาย/ลาปวย
4. ขอมูลบัญชี/ 4.1 ขอมูลเจาหนี้
การเงิน เจาหนี้คางจาย
4.2 ขอมูลลูกหนี้ ลูกหนี้
คางรับ
4.3 ขอมูลรายรับ
รายจาย และประมาณ
การรายรับ รายจาย
4.4 ขอมูลยอดบัญชีเงิน
ฝาก และการรับจาย
จากบัญชีธนาคาร
4.5 ขอมูลภาษีตางๆ
อาทิ ภาษีมูลคาเพิ่ม
ภาษีหัก ณ ที่จา ย
4.6 ขอมูลการจาย
เงินเดือนและสวัสดิการ
4.7 ขอมูลเงินสดยอย
4.8 ขอมูลเงินกูระยะ
สั้นและระยะยาว
4.9 ขอมูลการลงทุน
และผลตอบแทน
หนาที่ 3-19
กองงานเลขานุการคณะกรรมการโคนมและผลิตภัณฑนม
ฝายวิจัยและพัฒนาการเลี้ยงโคนม
สำนักงาน อ.ส.ค. ประจำภาค
ฝายนโยบายและยุทธศาสตร
ฝายสงเสริมการเลี้ยงโคนม
ฝายการตลาดและการขาย
ฝายทองเที่ยวเชิงเกษตร
ฝายตรวจสอบภายใน
ฝายบัญชีและการเงิน
ฝายเทคโนโลยีดิจิทัล
ฝายทรัพยากรบุคคล
ฝายพัสดุและบริการ
ฝายอำนวยการ
ฐานขอมูล รายละเอียดขอมูล
4.10 ขอมูลทรัพยสิน
และมูลคาเสื่อม
4.11 ขอมูลสินคา
คงเหลือ
4.12 ขอมูลคลังพัสดุ
หนาที่ 3-20
กองงานเลขานุการคณะกรรมการโคนมและผลิตภัณฑนม
ฝายวิจัยและพัฒนาการเลี้ยงโคนม
สำนักงาน อ.ส.ค. ประจำภาค
ฝายนโยบายและยุทธศาสตร
ฝายสงเสริมการเลี้ยงโคนม
ฝายการตลาดและการขาย
ฝายทองเที่ยวเชิงเกษตร
ฝายตรวจสอบภายใน
ฝายบัญชีและการเงิน
ฝายเทคโนโลยีดิจิทัล
ฝายทรัพยากรบุคคล
ฝายพัสดุและบริการ
ฝายอำนวยการ
ฐานขอมูล รายละเอียดขอมูล
หนาที่ 3-21
3.2.1.4 ฐานขอมูลดานการตลาดและการทองเที่ยว
ฐานข อ มู ล ด า นการตลาดและการท อ งเที ่ ย ว ประกอบด ว ยข อ มู ล ที่ เ กิ ด ขึ้ น ใน
กระบวนงานดานการตลาดและการท องเที่ ยว รายละเอียดดังในหัวขอ 3.1 ซึ่งประกอบดวยขอมูลตาง ๆ ที่
เกิดขึ้นดังแสดงในตารางที่ 3.2-4
ตารางที่ 3.2-4 ฐานขอมูลดานการตลาดและรายละเอียดหนวยงานที่สรางและใชขอมูล
กองงานเลขานุการคณะกรรมการโคนมและผลิตภัณฑนม
ฝายวิจัยและพัฒนาการเลี้ยงโคนม
สำนักงาน อ.ส.ค. ประจำภาค
ฝายนโยบายและยุทธศาสตร
ฝายสงเสริมการเลี้ยงโคนม
ฝายการตลาดและการขาย
ฝายทองเที่ยวเชิงเกษตร
ฝายบัญชีและการเงิน
ฝายทรัพยากรบุคคล
ฝายพัสดุและบริการ
ตัวแทนจำหนาย
ฝายอำนวยการ
ฐานขอมูล รายละเอียดขอมูล
ลูกคา
1. ขอมูลตัวแทน 1.1 ประเภทตัวแทน
จำหนาย Modern จำหนาย
Trade และ 1.2 ขอมูลตัวแทน
Traditional Trade จำหนาย
1.3 ขอมูลยอดขาย
ของตัวแทนจำหนาย
1.4 ขอมูลการสั่งซื้อ
สินคา
1.5 ขอมูลการชำระ
เงิน
1.6 ขอมูลการทำ
โปรโมชั่นและสวนลด
สินคา
2. ขอมูลสินคาและ 2.1 ขอมูลสินคาและ
บริการ บริการ
2.2 ขอมูลยอดขาย
สินคาและบริการ
2.3 ราคาขายตอ
หนวย
2.4 ตนทุนสินคาตอ
หนวย
3. ขอมูลนมโรงเรียน 3.1 ขอมูลนมโรงเรียน
3.2 ขอมูลยอดขายนม
โรงเรียน
หนาที่ 3-22
กองงานเลขานุการคณะกรรมการโคนมและผลิตภัณฑนม
ฝายวิจัยและพัฒนาการเลี้ยงโคนม
สำนักงาน อ.ส.ค. ประจำภาค
ฝายนโยบายและยุทธศาสตร
ฝายสงเสริมการเลี้ยงโคนม
ฝายการตลาดและการขาย
ฝายทองเที่ยวเชิงเกษตร
ฝายบัญชีและการเงิน
ฝายทรัพยากรบุคคล
ฝายพัสดุและบริการ
ตัวแทนจำหนาย
ฝายอำนวยการ
ฐานขอมูล รายละเอียดขอมูล
ลูกคา
3.3 ราคาขายตอ
หนวย
3.4 ตนทุนสินคาตอ
หนวย
4. ขอมูลการ 4.1 ขอมูลลูกคา
ทองเที่ยวเชิง 4.2 ขอมูลรายไดจาก
เกษตรกรรม การเขาเยี่ยมชม
4.3 ขอมูลรายไดจาก
การขายสินคาหนา
ราน
4.4 ขอมูลราคาขาย
ตอหนวยของสินคา
หนาราน
4.5 ขอมูลตนทุน
สินคาตอหนวยของ
สินคาหนาราน
5. ขอมูลผลิตภัณฑ 5.1 ขอมูลผลิตภัณฑ
5.2 ราคาขายตอ
หนวย
5.3 ตนทุนสินคาตอ
หนวย
5.4 ขอมูลสวนลด
สินคา
6. ขอมูลลูกคา 6.1 ขอมูลลูกคา
ตางประเทศ 6.2 ขอมูลตัวแทน
จำหนาย
6.3 ยอดขายสินคา
6.4 ราคาขายสินคาตอ
หนวย
หนาที่ 3-23
กองงานเลขานุการคณะกรรมการโคนมและผลิตภัณฑนม
ฝายวิจัยและพัฒนาการเลี้ยงโคนม
สำนักงาน อ.ส.ค. ประจำภาค
ฝายนโยบายและยุทธศาสตร
ฝายสงเสริมการเลี้ยงโคนม
ฝายการตลาดและการขาย
ฝายทองเที่ยวเชิงเกษตร
ฝายบัญชีและการเงิน
ฝายทรัพยากรบุคคล
ฝายพัสดุและบริการ
ตัวแทนจำหนาย
ฝายอำนวยการ
ฐานขอมูล รายละเอียดขอมูล
ลูกคา
6.5 ตนทุนสินคาตอ
หนวย
6.6 ขอมูลการชำระ
เงิน
6.7 ขอมูลการทำ
โปรโมชั่นและสวนลด
สินคา
หมายถึง หนวยงานขององคกรที่สรางขอมูล หมายถึง หนวยงานขององคกรที่ตองการใชขอมูล
3.2.1.5 ฐานขอมูลระบบ ERP
ฐานข อ มู ล ระบบ ERP ประกอบด ว ยข อ มู ล และสารสนเทศที ่ เ กิ ด ขึ ้ น ใน
กระบวนงานด า นบั ญ ชี แ ละการเงิ น อาทิ กระบวนงานจั ด ทำงบประมาณ กระบวนงานทางการบั ญ ชี
กระบวนงานจัดซื้อและจัดจาง กระบวนงานบริหารจัดการครุภัณฑ โดยมีองคประกอบขอมูลและสารสนเทศ
ดังในตารางที่ 3.2-5
ตารางที่ 3.2-5 องคประกอบขอมูลและสารสนเทศของระบบ ERP
กลุมภารกิจ รายการขอมูล
1. ดานอำนวยการ ขอมูลดานบุคลากร
ขอมูลดานงบประมาณ บัญชี และการเงิน
ขอมูลพัสดุและบริการ
2. ดานอุตสาหกรรม ขอมูลการรับซื้อน้ำนมดิบ
ขอมูลการจำหนายน้ำนมดิบ
ขอมูลการผลิตผลิตภัณฑนม
ขอมูลการจำหนายผลิตภัณฑนม
ขอมูลการสูญเสียทั้งกระบวนการผลิต
3. ดานสงเสริมการเลี้ยงโคนมและทองเที่ยว ขอมูลการบริการสัตวแพทย
ขอมูลการบริการผสมเทียม
ขอมูลการผลิตน้ำนมของฟารม อ.ส.ค.
ขอมูลการจำหนายแรธาตุ
ขอมูลการฝกอบรมการเลี้ยงโคนม
ขอมูลการจำหนายน้ำเชื้อแชแข็ง
หนาที่ 3-24
กลุมภารกิจ รายการขอมูล
4. ดานการตลาดและการทองเที่ยว ขอมูลลูกคาตางประเทศ
ขอมูล MT/TT
ขอมูลนมโรงเรียน
ขอมูลผลิตภัณฑ
ขอมูลยอดขายสินคา/บริการ
ขอมูลสินคาหนารานการทองเที่ยว
หน้าที่ 3-26
ภาพที่ 3.2-5 ฐานข้อมูลด้านการตลาดและการท่องเที่ยว
3.2.2. สถาปัตยกรรมข้อมูลที่พัฒนาเพิ่มเติม
สถาปัตยกรรมข้อมูลที่พัฒนาเพิ่มเติมเป็นฐานข้อมูลที่จะถูกพัฒนาขึ้นตามแผนพัฒนาดิจิทัลฯ
และแผนปฏิบัติการดิจิทัลฯ ประกอบด้วยฐานข้อมูลดังต่อไปนี้
3.2.2.1. Data Lake
เป็ น ระบบการจั ด เก็ บ ข้ อ มู ล ดิ บ (Raw Data) ซึ ่ ง สามารถจั ด เก็ บ ข้ อ มู ล แบบ
Structured, Semi-Structured และ Unstructured จากทั ้ ง ภายในและภายนอกองค์ ก ร อาทิ
ข้ อ มู ล จากระบบฐานข้ อ มู ล ข้ อ มู ล รู ป ภาพ ข้ อ มู ล วิ ด ี โ อ ตลอดจนข้ อ มู ล จาก Social Media
โดยสามารถรองรับข้อมูลปริมาณมหาศาล การเรียกใช้และจัดเก็บข้อมูล อย่างรวดเร็ว และการวิเคราะห์
ข้อมูลของระบบข้อมูลขนาดใหญ่ (Big Data) ได้
3.2.2.2. ฐานข้อมูลสำหรับระบบ Business Intelligence และ Decision Support
System (BI/DSS)
เป็นฐานข้อมูลที่จัดเก็บข้อมูลเชิงวิเคราะห์ของข้อมูลแบบมีโครงสร้าง (Structured
Data) เพื่อสนับสนุนการติดตามงานและการตัดสินใจการแก้ไขปัญหาเชิงรุก และการวางแผนเชิงนโยบาย
ของระดับบริหาร สามารถบูรณาการข้อมูลร่วมกับระบบ MIS และ ระบบ EIS ได้อย่างมีประสิทธิภาพ ทั้งนี้
มีองค์ประกอบการวิเคราะห์ข้อมูล อาทิ On-Line Analytical Processing, Data Mining, Predictive
Analysis, Prescriptive Analysis เป็นต้น
3.2.2.3. คลังข้อมูลกลาง อ.ส.ค.
เป็นศูนย์รวมการจัดเก็บข้อมูลขององค์กรที่รวบรวมข้อมูลจากกลุ่มภารกิจหลัก 4
กลุ่ม ของอ.ส.ค. ได้แก่ กลุ่มอุตสาหกรรมนม กลุ่มสนับสนุน กิจ การโคนม กลุ่มบริห ารและอำนวยการ
และกลุ่มการตลาดและการท่ องเที่ ย ว ตลอดจนฐานข้อมูล ระบบ ERP ระบบ KM และรองรับสนั บ สนุ น
การวิเคราะห์ข้อมูลเชิงบริหารในรูปแบบต่าง ๆ ของระบบ MIS ระบบ BI/DSS ระบบ EIS และระบบ Big Data
หน้าที่ 3-27
ทั ้ ง นี ้ เ พื ่ อ รองรั บ การเชื ่ อ มโยงบู ร ณาการด้ า นข้ อ มู ล และระบบสารสนเทศทั ้ ง องค์ ก รอย่ า งเป็ น ระบบ
และขับเคลื่อนโครงการพัฒนาข้อมูลขนาดใหญ่ (Big Data) เพื่อการเพิ่มประสิทธิภาพในการปฏิบัติงานของ
อ.ส.ค. อย่างเป็นรูปธรรมและเต็มรูปแบบ
3.3.1 สถาปัตยกรรมระบบงานหลัก
สถาปัตยกรรมระบบงานหลัก ประกอบด้วยระบบงานดังต่อไปนี้
3.3.1.1 ระบบงานหลักเดิม ประกอบด้วย
1) ระบบวางแผนทรัพยากรองค์กร (ERP)
ระบบ ERP ที่ อ.ส.ค. นำมาใช้ประกอบด้วยระบบด้านบัญชีการเงิน ซึ่งมี
วัตถุประสงค์เพื่อช่วยในการปิดงบการเงินของ อ.ส.ค. ให้เสร็จตามกำหนดเวลา โดยมีตัวอย่างหน้าจอของระบบ
ฯ ดังแสดงในภาพที่ 3.3-2
หน้าที่ 3-28
ภาพที่ 3.3-2 ระบบวางแผนทรัพยากรองค์กร (ERP)
2) ระบบสารสนเทศเพื่อการบริหาร (MIS)
เป็นระบบจัดเก็บข้อมูลผลการดำเนินงานทั้ง 5 ด้าน ของ อ.ส.ค. ได้แก่ด้าน
อุตสาหกรรมนม ด้านส่งเสริมกิจการโคนม ด้านการให้บริการ ด้านรับซื้อและจำหน่ายน้ำนมดิบ และด้านอัตรา
กำลังคน ใช้ในการรายงานผลการดำเนินงานขององค์กรต่อฝ่ายบริหาร ทั้งในรูปแบบรายงานประจำเดือนและ
รายงานประจำปี รวมถึงรายงานเชิงเปรียบเทียบข้อมูลระหว่างเดือนเป็นรายปี ซึ่งแผนกติดตามและประเมินผล
จะนำข้อมูลที่ได้จากระบบ MIS มาจัดทำรายงานประจำเดือน และประจำปี เพื่อใช้ในการรายงานประชุมฝ่าย/
สำนักงานขึ้นไป อย่างน้อยเดือนละ 1 ครั้ง โดยมีตัวอย่างหน้าจอของระบบฯ ดังแสดงในภาพที่ 3.3-3
หน้าที่ 3-29
ภาพที่ 3.3-3 ระบบสารสนเทศเพื่อการบริหาร (MIS)
3) ระบบสารสนเทศสำหรับผู้บริหาร (EIS)
เป็นระบบสำหรับการประมวลผลข้อมูลที่จำเป็นโดยข้อมูลสำคัญนี้นำมาจาก 3
แหล่ง คือ ข้อมูลจากการสำรวจความต้องการของผู้บริหาร ข้อมูลสำคัญขององค์กร และข้อมูลความต้องการใน
อุตสาหกรรมเดียวกัน เพื่อประมวลผลใน 5 ด้าน ได้แก่ ด้านอุตสาหกรรมนม ด้านส่งเสริมกิจการโคนม ด้านการ
ให้บริการ ด้านรับซื้อและจำหน่ายน้ำนมดิบ และด้านอัตรากำลังคน และจัดทำให้อยู่ในรูปแบบที่ผู้บริหารของ
อ.ส.ค. ต้องการ อาทิ การแสดงข้อมูลในรูปแบบกราฟ และรูปแบบการเปรียบเทียบ เป็นต้น เพื่อให้ผู้บริหาร
องค์กรมีข้อมูลพร้อมใช้งานตลอดเวลา โดยมีตัวอย่างหน้าจอของระบบฯ ดังแสดงในภาพที่ 3.3-4
หน้าที่ 3-30
ภาพที่ 3.3-4 ระบบสารสนเทศสำหรับผู้บริหาร (EIS)
4) ระบบบริหารจัดการทรัพยากรบุคคล (e-HR)
ระบบ e-HR เป็ น ระบบสนั บ สนุ น การบริ ห ารจั ด การทรั พ ยากรบุ ค คล
ประกอบด้วย ทะเบียนประวัติ โครงสร้างองค์กร การประเมินบุคลากรที่รองรับการปรับเกณฑ์การประเมินใหม่
ตลอดจน รายงานในด้านต่าง ๆ อาทิรายงานอัตรากำลัง รายงานการพัฒนาบุคคล รายงานสิทธิและสวัสดิการ
พนักงาน โดยมีตัวอย่างหน้าจอของระบบฯ ดังแสดงในภาพที่ 3.3-5
หน้าที่ 3-31
ภาพที่ 3.3-5 ระบบบริหารจัดการทรัพยากรบุคคล (e-HR)
หน้าที่ 3-32
6) ระบบบริหารจัดการสหกรณ์ Zyan CooP
เป็นระบบที่ใช้บริหารจัดการ ฟาร์มในสังกัดสหกรณ์นั้นๆ สำหรับเก็บข้อมูลสมาชิกเกษตรกทีส่งนมดิบ คุณภาพ
ราคาน้ำนมดิบ ตลอดจนข้อมูลรายการสินค้าต่างๆ ที่ขายอยู่ในสหกรณ์ รายละเอียดรายได้และการหักเงิน
ภายในสหกรณ์เพื่อชำระหนี้สินต่างๆ โดยเป็นผ่านใช้งานผ่าน web Apllication และส่งข้อมูลไปยัง ระบบ
Zyan Dairy ของเกษตรที่สังกัดสหกรณ์นั้นๆ ดังแสดงในภาพที่ 3.3-7
หน้าที่ 3-33
7) ระบบ Zyan MCC
เป็นระบบจัดการศูนย์รวบรวมน้ำนมดิบอัจริยะ เพื่อใช้บันทึกและพิมพ์ข้อมูลน้ำหนักนมในเครื่องคอมพิวเตรอ์
บริหารจัดการข้อมูลปริมาณนม โดยเชื่อมต่อกับเครื่องชั่งน้ำหนักอิเล็กทรอนิกส์ มีการแจ้งเตือนปริมาณน้ำนม
ดิบของแต่ละศูนย์ผ่านแอพพลิเคชั่น Zyan Dairy ดังแสดงในภาพที่ 3.3-8
หน้าที่ 3-34
8) MSC (milk supply chain)
ระบบบริหารจัดการข้อมูลน้ำนมดิบสู่กระบวนการผลิตนม เป็นระบบสำหรับเก็บข้อมูลปริมาณการ
รับน้ำนมดิบของศูนย์รับน้ำนมดิบ ที่มาส่งให้กับโรงงานนมของ อ.ส.ค. ตลอดจนมีการบันทึกค่าคุณภาพและ
ราคาของนมดิบที่รับซื้อเข้ามา รวบรวมข้อมูลต่างๆ เพื่อให้ผู้บริหาร ใช้ในการวางแผนและวางนโยบาย เพื่อเพิ่ม
ศักยภาพในการผลิตน้ำนมดิบ ของ อ.ส.ค. ดังแสดงในภาพที่ 3.3-9
หน้าที่ 3-35
9) ระบบศูนย์ข้อมูลด้านกิจการโคนม Dairy Data Center : DDC
เป็นระบบที่เป็นรายงานข้อมูลด้านกิจการโคนมสำหรับผู้บริหาร โดยระบบจะสรุปข้อมูลจำนวนสมาชิกส่งนม
จำนวนโคแต่ละกลุ่ม ปริมาณน้ำนมดิบ และคุณภาพน้ำนมดิบที่รับซื้อ แสดงผลเป็นข้อมูลสรุปในรูปแบบต่างๆ
เพื่อผู้บริหารสามารถทำข้อมูลไปในใช้การวางแผน วางนโยบายต่างๆ ด้านกิจการโคนมได้ต่อไป ดังแสดงในภาพ
ที่ 3.3-10
หน้าที่ 3-36
ภาพที่ 3.3-11 สถาปัตยกรรมระบบงานหลัก
3.3.2 สถาปัตยกรรมระบบงานสนับสนุน
สถาปัตยกรรมระบบงานสนับสนุน ประกอบด้วยระบบงานดังต่อไปนี้
3.3.2.1 ระบบงานสนับสนุนเดิม ประกอบด้วย
1) ระบบบริหารจัดการองค์ความรู้ (Knowledge Management)
เป็นระบบสนับสนุนการจัดทำองค์ความรู้ในรูปแบบไฟล์อิเล็กทรอนิกส์ ซึ่ง
สามารถนำไปเผยแพร่ให้หน่วยงานภายใน อ.ส.ค. เป็นการจัดเก็บองค์ความรู้ของบุคลากรผู้มีความรู้ความ
เชี่ยวชาญและประสบการณ์ในรูปแบบเอกสาร ทั้งนี้ แผนพัฒนาดิจิทัลฯ และแผนปฏิบัติการดิจิทัลฯ ได้
กำหนดให้มีการปรับปรุงพัฒนาระบบบริหารจัดการองค์ความรู้ให้ครอบคลุมแนวทางการจัดทำและเผยแพร่องค์
ความรู้ในรูปแบบอื่น ๆ อาทิ ระบบ Expert System และระบบ Case-Based Reasoning โดยมีตัวอย่าง
หน้าจอของระบบฯ ดังแสดงในภาพที่ 3.3-12
หน้าที่ 3-37
ภาพที่ 3.3-12 ระบบบริหารจัดการองค์ความรู้
2) ระบบ e-Learning
เป็นระบบการเรียนการสอนแบบ On-Line โดยจัดทำเนื้อหาบทเรียนใน
ลักษณะสื่อ On-Line ประกอบด้วยสื่อวิดีโอบทเรียน และแบบทดสอบก่อนและหลังการเรียนแบบ On-Line
เพื่อให้พนักงานองค์กรและผู้มีส่วนได้ส่วนเสียที่เกี่ยวข้องสามารถเข้ามาศึกษาข้อมูลด้วยตนเองได้ตลอดเวลา
โดยมีตัวอย่างหน้าจอของระบบฯ ดังแสดงในภาพที่ 3.3-13
หน้าที่ 3-38
3) ระบบ e-Saraban
ระบบสารสนเทศสำหรับการบริหารจัดการงานด้านเอกสาร เพื่อรับ-ส่งเอกสาร
ภายในองค์กรโดยอยู่ในรูปแบบอิเล็กทรอนิกส์ เพื่อให้สามารถติดตามสถานะของหนังสือและสามารถลด
ระยะเวลาในการปฏิบัติงานได้ โดยมีตัวอย่างหน้าจอของระบบฯ ดังแสดงในภาพที่ 3.3-14
4) Cowdrive
โปรแกรมการจัดการเอกสารออนไลน์ของทาง Google หรือพื้นที่เก็บข้อมูล
ระบบคลาวด์ ผู้ใช้สามารถเข้าถึงเอกสารแบบออนไลน์ได้ โดยผ่านการใช้บนเว็บเบราว์เซอร์ต่าง ๆ เช่น Inter
Explorer, Chrome, Firefox และ Safari หรือติดตั้งระบบ Ownclooud ซึ่งจะทำให้การใช้งานของเอกสารมี
ความสะดวกมากขึ้น สามารถใช้งานหรือแก้ไขข้อมูลได้ทุกที่ทุกเวลา ทำให้เอกสารต่าง ๆ มีความเป็นปัจจุบัน
และยังสามารถใช้งานร่วมกับผู้อื่นได้ โดยบุคคลที่จะเข้ามาใช้งานต้องได้รับอนุญาตหรือคำเชิญจากเจ้าของ
เอกสาร โดยมีการบริหารจัดการผู้ใช้โดยเชื่อมโยงกับระบบ Active Directory ดังแสดงในภาพที่ 3.3-15
หน้าที่ 3-39
1) ระบบ E-mail
ปัจจุบัน อ.ส.ค. ใช้บริการระบบ E-mail บนระบบ Cloud SaaS (Microsoft
Exchange) โดยใช้ชื่อ Domain Name ของ E-mail เป็นชื่อเดียวกันกับ Website หลักของหน่วยงาน คือ
dpo.go.th และใช้หลักการกำหนดชื่อผู้ใช้คือ ชื่อจริงภาษาอังกฤษตามด้วยจุด “.” และตามด้วยอักษรตัวแรก
ของนามสกุล อาทิ name.l@dpo.go.th
ทั้งนี้ ระบบ email @dpo.go.th ยังสามารถบริหารจัดการผู้ใช้โดยเชื่อมโยง
กับระบบ Active Directory ได้ โดยสามารถเพิ่ม ลบ แก้ไข ข้อมูลของผู้ใช้งานระบบ e-mail ได้จากหน้าต่าง
ผู้ดูแลระบบ โดยมีตัวอย่างหน้าจอของระบบฯ ดังแสดงในภาพที่ 3.3-16
หน้าที่ 3-40
(1) ระบบเว็บไซต์ ของ อ.ส.ค.
หน้าที่ 3-41
ภาพที่ 3.3-18 สถาปัตยกรรมระบบงานสนับสนุน
3.3.3 สถาปัตยกรรมระบบงานภายนอก
สถาปัตยกรรมระบบงานภายนอก ประกอบด้วยระบบงานดังต่อไปนี้
3.3.3.1 ระบบงาน e-GP
เป็นระบบการจัดซื้อจัดจ้างภาครัฐด้วยอิเล็กทรอนิกส์ซึ่งจัดทำขึ้นเพื่อให้หน่วยงาน
ภาครัฐและเอกชนสามารถเข้าถึงแหล่งข้อมูล การจัดซื้อจัดจ้าง และพัสดุภาครัฐ ได้อย่างรวดเร็ว ถูกต้อง
ครบถ้วน เป็นศูนย์ข้อมูลการจัดซื้อจัดจ้างภาครัฐที่มีระบบบริหารจัดการรหัสสินค้าและบริก ารภาครัฐ เก็บ
ข้อมูลของหน่วยจัดซื้อและข้อมูลผู้ค้าสำหรับการจัดซื้อจัดจ้างรูปแบบต่าง ๆ เชื่อมต่อข้อมูลกับแหล่งข้อมูล
ภายนอกที่เกี่ยวข้อง โดยมีเป้าหมายเพื่อเพิ่มความโปร่งใส ลดปัญหาทุจริตคอร์รัปชั่น ลดความผิดพลาดในการ
ปฏิบัติตามระเบียบ และลดความซ้ำซ้อนการบันทึก
3.3.3.2 ระบบงาน GFMIS
ระบบสารสนเทศเพื ่ อ รองรั บ การบริ ห ารงานการเงิ น การคลั ง ภาครั ฐ แบบ
อิเล็กทรอนิกส์ และปรับ ปรุงระบบการจั ดการด้ านการเงิน การคลั งของภาครัฐ ให้มี ความทันสมัย และมี
ประสิทธิภาพยิ่งขึ้น และครอบคลุมกระบวนการดำเนินงานและการจัดการภาครัฐด้านการงบประมาณ การ
บัญชี การจัดซื้อจัดจ้าง การเบิกจ่าย และการบริหารทรัพยากร ให้เป็นไปในทิศทางเดียวกับนโยบายปฏิรูป
ราชการที่เน้นประสิทธิภาพและความคล่องตัวในการดำเนินงาน รวมทั้งมุ่งหวังให้เกิดการใช้ทรัพยากรภายใน
องค์กรอย่างคุ้มค่าเพื่อให้ได้มาซึ่งข้อมูลสถานภาพการคลังภาครัฐที่ถูกต้องรวดเร็ว สามารถตอบสนองนโยบาย
การบริหารเศรษฐกิจของประเทศ
3.3.3.3 ระบบงาน GFMIS-SOE
เป็นระบบ GFMIS เพื่อรองรับข้อมูลรัฐวิสาหกิจ (GFMIS–SOE) ของสำนักงาน
คณะกรรมการนโยบายรัฐวิสาหกิจ เพื่อการกำกับดูแลของสำนักงานคณะกรรมการนโยบายรัฐวิสาหกิจ ที่จะ
ควบคุมติดตาม ดูแล ประเมินผล ประสิทธิ ภาพ ประสิทธิผล การใช้จ่ายงบประมาณ การเงิน การนำส่งรายได้
ผลประกอบการของรัฐวิสาหกิจในแต่ละช่วงเวลา รวมถึงการรวบรวมข้อมูลเพื่อจัดทำข้อมูลบริหารรวมด้าน
การเงิน การคลัง การงบประมาณ จากหน่วยงานรัฐวิสาหกิจทั่วประเทศ
ดังนั้น สถาปัตยกรรมด้านระบบงานภายนอก สามารถกำหนดดังในภาพที่ 3.3-19
หน้าที่ 3-42
ภาพที่ 3.3-19 สถาปัตยกรรมระบบงานภายนอก
หน้าที่ 3-43
ภาพที่ 3.4-1 สถาปัตยกรรมเทคโนโลยี (Technology Architecture)
หน้าที่ 3-44
3.4.2 ฐานงานด้านการสื่อสาร (Communication Platform)
ฐานงานด้ า นการสื ่ อ สาร (Communication Platform) เป็ น การกำหนดมาตรฐาน
และข้อกำหนดคุณลักษณะเฉพาะด้านประสิทธิภาพในการทำงาน การเชื่อมโยงและการทำงานของอุปกรณ์
และระบบด้านการสื่อสาร (Communication Equipment and Systems)
ขององค์กรร่วมกับเทคโนโลยีภายใต้ฐานงานอื่น อาทิ อุปกรณ์คอมพิวเตอร์ภายใต้ฐานงานด้านการคำนวณ
(Computing Platform) เป็นต้น โดยที่อุปกรณ์และระบบภายใต้ฐานงานด้านการสื่อสาร (Communication
Platform) ประกอบด้วย ระบบ VoIP ระบบ E-Mail ระบบ Line ระบบ VDO Conference และระบบ
Contact Center ที ่ ต ิ ด ตั ้ ง ใช้ ง านอยู ่ แ ละจะดำเนิ น การติ ด ตั ้ ง ในอนาคต ดั ง นั ้ น จึ ง สามารถ
กำหนดฐานงานด้านการสื่อสาร (Communication Platform) ได้ดังในภาพที่ 3.4-3
หน้าที่ 3-45
ภาพที่ 3.4-4 ฐานงานด้านการบริหารจัดการข้อมูล (Data Management Platform)
หน้าที่ 3-46
ภาพที่ 3.4-6 ฐานงานด้านอุปกรณ์วัด (Sensor Platform)
หน้าที่ 3-47
ภาพที่ 3.4-8 ฐานงานด้านเครือข่ายและระบบสื่อสารข้อมูล (Network and Data Communications Platform)
หน้าที่ 3-48
พร้อมทั้งกำหนดแนวทางการ การระบุชั้นความลับ การสื่อสารและการจัดเก็บข้อมูลสารสนเทศในแต่ล ะ
ชั้นความลับอย่างชัดเจน มาตรการทางเทคนิคที่ใช้ใ นการปกป้องความลับ อาทิ การเข้ารหัส (Encryption)
อาจถูกนำมาใช้เสริมความแข็งแกร่งให้กับมาตรการปกป้องสารสนเทศที่ต้องการมาตรการดูแลอย่างเข้มงวด
2) ความถูกต้องสมบูรณ์ (Integrity)
การปกป้องสารสนเทศให้มีความถูกต้องสมบูรณ์ (Integrity) เป็นปัจจัย
สำคั ญ ที ่ ม ี ผ ลต่ อ ความน่ า เชื ่ อ ถื อ ของสารสนเทศนั ้ น ๆ โดยการกำหนดกลไกการตรวจสอบสิ ท ธิ ห รื อ
การได้รับอนุญาตให้ดำเนินการเปลี่ยนแปลงแก้ไขหรือกระทำการใด ๆ ต่อข้อมูลนั้น
3) ความพร้อมใช้งาน (Availability)
ระบบสารสนเทศต้องสามารถตอบสนองความต้องการของผู้ใช้งานที่มีสิทธิเข้
าถึ ง ระบบได้ โดยลดอุ ป สรรคที ่ บ ั ่ น ทอนความพร้ อ มใช้ ง านของระบบคอมพิ ว เตอร์ 2 ประเภท คื อ
การปฏิเสธการให้บริการ (Denial of Service) และความด้อยประสิทธิภาพในการทำงาน (Loss of Data
Processing Capability)
2) ภัยคุกคาม และช่องโหว่ (Threat and Vulnerability)
ภัย คุกคาม (Threat) เป็นปัจจัยที่มีแนวโน้มที่จะก่อให้เกิดความเสียหาย
ต่อระบบสารสนเทศ อาทิ ผู้ใช้งาน ผู้ไม่ประสงค์ดี ภัยธรรมชาติ ทั้งที่เจตนาสร้างความเสียหายหรือไม่เจตนา
ก็ตาม การทำความเข้าใจและตระหนักถึงภัยคุกคาม จะช่วยให้เข้าใจองค์ประกอบที่เกี่ยวข้องกันทั้งระบบ
ได้เป็นอย่างดี การจำแนกแหล่งกำเนิดของภัยคุกคาม อาจแบ่งได้ดังนี้
1) มนุษย์ อาทิ แฮกเกอร์ สายลับ ผู้ก่อการร้าย
ผู้ไม่ประสงค์ดีที่โจมตีระบบสารสนเทศ
2) ไวรัส โปรแกรมไม่ประสงค์ดีต่าง ๆ
3) ภัยธรรมชาติ อาทิ น้ำท่วม ฟ้าผ่า พายุ แผ่นดินไหว
3) ข้อผิดพลาดทางเทคนิค อาทิ อุปกรณ์ชำรุด เสื่อมสภาพ หรือทำงานผิดพลาด
ช่ อ งโหว่ (Vulnerability) เป็ น สถานะที ่ ภ ั ย คุ ก คามข้ า งต้ น จะใช้ ใ นการ
สร้ า งความเสี ย หายแก่ ร ะบบสารสนเทศ หากสามารถปิ ด ช่ อ งโหว่ ห รื อ จำกั ด ช่ อ งโหว่ ห รื อ จุ ด อ่ อ น
ให้มีจำนวนน้อยที่สุด ภัยคุกคามก็ไม่สามารถสร้างความเสียหายแก่ระบบสารสนเทศได้
4) บันได 4 ขั้นสู่มาตรฐาน ISO 27001 Information Security Management
การจัดทำระบบการจัด การความมั ่น คงปลอดภัย ของสารสนเทศ (ISMS)
แบ่งเป็น 4 ขั้นตอน ดังนี้
หน้าที่ 3-49
ภาพที่ 3.5-1 บันได 4 ขั้นสู่มาตรฐาน ISO/IEC 27001
หน้าที่ 3-50
โดยมีข้อกำหนดมาตรฐาน ISO/IEC 27001:2022 ดังนี้
1) บริบทขององค์กร (Context of the Organization)
ความเข้าใจเกี่ยวกับองค์กรและบริบทขององค์กร (Understanding the
Organization and its Context) พื ้ น ฐานสำคั ญ ในการวางระบบการจั ด การความมั ่ น คง
ปลอดภัยของสารสนเทศ ISO/IEC 27001:2022 คือความเข้าใจบริบทขององค์กร โดยต้องระบุประเด็นภายใน
(Internal Issues) และประเด็ น ภายนอก (External Issues) และนำทั ้ ง 2 ประเด็ น นี ้ ม าพิ จ ารณา
ในการวางระบบให้ครอบคลุมอย่างเหมาะสม
2) กำหนดความจำเป็นและความคาดหมายของบุคคลที่เกี่ยวข้อง
(Understanding the Needs and Expectations of Interested
Parties)
ในการทำ ISO/IEC 27001:2022 จะต้องกำหนดผู้เกี่ยวข้อง (Interested
Parties) และความต้ อ งการและคาดหวั ง ขององค์ ก ร (Needs and Expectations) บริ บ ทขององค์ ก ร
เป็นข้อมูลสำคัญในการกำหนดขอบเขตของการจัดทำระบบ (Scope)
3) การกำหนดขอบเขตของระบบการจัดการความปลอดภัยสารสนเทศ
(Determining the Scope of the Information Security
Management System)
ขอบเขต (Scope) ของการทำ ISO27001:2022ต้องพิจารณาถึงข้อกำหนด
(Interested Parties) ให้เหมาะสมและเพียงพอ
4) ระบบการจัดการความมั่นคงปลอดภัยสารสนเทศ (Information Security
Management System)
จั ด ทำระบบการจั ด การความมั ่ น คงปลอดภั ย สารสนเทศ ( ISMS)
โดยกำหนดนโยบาย จัดทำเอกสารที่เกี่ยวข้อง การนำไปปฏิบัติและรักษาไว้ รวมถึง การปรับปรุงอย่างต่อเนื่อง
โดย ISMS ต้องสอดคล้องตามข้อกำหนดของ ISO27001:2022 Information Security Management
System
5) ความเป็นผู้นำ (Leadership)
▪ ความเป็นผู้นำและความมุ่งมั่น (Leadership and commitment)
ผู้บริหารต้องแสดงให้เห็นถึงภาวะผู้นำและให้ความสำคัญกับระบบการจั
ดการความมั่นคงปลอดภัยสารสนเทศ (ISMS)
▪ นโยบาย (Policy)
▪ ผู้บริหารเป็นผู้กำหนดนโยบายความมั่นคงปลอดภัยสารสนเทศให้สอดค
ล้องกับจุดประสงค์ขององค์กรและสอดคล้องกับข้อกำหนด
▪ บทบาทขององค์ ก รและหน่ว ยงานที ่ร ั บผิ ดชอบ (Organizational
Roles, Responsibilities and Authorities)
กำหนดหน้าที่และความรับผิดชอบทางด้านความมั่นคงปลอดภัยของสาร
สนเทศ
หน้าที่ 3-51
6) การออกแบบ (Planning)
▪ การดำเนิ น การเพื ่ อ รั บ มื อ กั บ ความเสี ่ ย งและโอกาส (Actions to
Address Risks and Opportunities)
การวางแผนงานสำหรับระบบการจัดการความมั่นคงปลอดภัยของสารส
นเทศ จะต้องพิจ ารณาถึงบริบ ทขององค์กร พิจารณาความเสี่ยงที่เกี่ยวข้อง จากนั้นวางแนวทางจัดการ
อย่างเหมาะสม
▪ การรักษาความปลอดภัยสารสนเทศและวางแผนบรรลุวัตถุประสงค์
(Information Security Objectives and Plans to Achieve Them)
กำหนดวั ต ถุ ป ระสงค์ ด ้ า นความมั ่ น คงปลอดภั ย สารสนเ ทศ
(Information Security Objectives) และแผนการบรรลุวัตถุประสงค์ โดยวัตถุประสงค์นี้จะต้องวัดผลได้
และสอดคล้องกับนโยบายความมั่นคงปลอดภัยของสารสนเทศ (Information Security Policy)
7) การสนับสนุน (Support)
▪ ทรัพยากร (Resources)
การจัดทำระบบให้สำเร็จจำเป็นต้องมีทรัพยากรที่เพียงพอและเหมาะสม
ประกอบด้วย บุคลากร เวลา งบประมาณ และการสนับสนุนจากผู้บริหารอย่างเป็นรูปธรรม
▪ สมรรถนะ (Competence)
บุคลากรที่มีส่วนร่วมในการจัดทำระบบจะต้องมีความรู้ความสามารถ
ซึ่งต้องมีการให้ความรู้ที่ตรงกับภาระหน้าที่เพื่อให้บุคลากรสามารถปฏิบัติได้อย่างถูกต้อง
▪ ความตระหนัก (Awareness)
ความตระหนักเป็นเรื่องสำคัญในด้านความมั่นคงปลอดภัยของสารสนเ
ทศ เพราะหากบุ ค ลกรมี ค วามตระหนั ก ที ่ เ พี ย งพอ ย่ อ มจะลดความเสี ่ ย งได้ โ ดยปริ ย าย อาทิ
เรื่องการใช้รหัสผ่านที่แข็งแรงคาดเดายาก
▪ การสื่อสาร (Communication)
การสื่อสารประกอบด้วยสื่อสารภายใน (Internal Communication)
และการสื ่ อ สารภายนอก (External Communication) เพื ่ อ ให้ ค วามรู ้ ข ่ า วสารที ่ เ ป็ น ประโยชน์
เป็นวิธีในการสร้างความตระหนักที่ได้ผลดี
▪ เอกสารสารสนเทศ (Documented Information)
เอกสารมีความจำเป็นในการทำงานร่วมกันเพื่อให้เกิดความชัดเจนแก่ผู้ป
ฏิบัติและผู้ตรวจสอบ (Auditor) เอกสารในระบบISO27001:2013 นั้นจะต้องผ่านการจัดทำโดยผู้ที่มีความรู้
มีผู้ทบทวน และอนุมัติก่อนจะนำไปใช้งาน
หน้าที่ 3-52
8) การดำเนินการ (Operation)
▪ การวางแผนที่เกี่ยวข้องกับการดำเนินการและการควบคุม
(Operational and Control Planning)
ข้อนี้กล่าวถึงการปฏิบัติตามแผนที่วางไว้ โดยปฏิบัติตามแผนจัดการ
ความเสี่ย งการประเมิน ความเสี่ย งด้ านความมั่น คงปลอดภัยสารสนเทศ (Information Security Risk
Assessment)การประเมินความเสี่ยงต้องทำเป็นระยะและอย่างต่อเนื่อง ไม่ใช่ครั้งเดียวจบ เพราะเมื่อเวลา
ผ่านไปก็จะมีความเสี่ยงใหม่เกิดขึ้นมา ไม่ว่าจะเป็นความเสี่ยงจากเทคโนโลยีใหม่ๆ หรือ สภาพแวดล้อม
สังคมและการเมือง
▪ การจัดการความเสี่ยงด้านความปลอดภัยสารสนเทศ (Information
Security Risk Treatment)
Information Security Risk Treatment เป็ น เครื ่ อ งมื อ การจั ด การ
ความเสี่ยงที่จัดทำขึ้น ภายหลังการประเมินความเสี่ยงของทรัพย์สินสารสนเทศ โดยกำหนดรายละเอียด
ขั้นตอนวิธีการต่าง ๆ เพื่อนำไปปฏิบัติให้ได้ผลลัพธ์ตามที่กำหนดไว้
9) การประเมินประสิทธิภาพและประสิทธิผล (Performance Evaluation)
▪ การเฝ้าระวัง การวัดผล การวิเคราะห์ และการประเมิน(Monitoring,
Measurement, Analysis and Evaluation)
การเฝ้าระวัง (Monitoring) การวัด (Measurement) การวิเคราะห์
(Analysis) และการประเมิน (Evaluation) ระบบเป็นกิจกรรมสำคัญในการประเมินว่า ผลลัพธ์เป็นไปตาม
ที่วางแผนหรือไม่อย่างไร
▪ การตรวจประเมินภายใน (Internal Audit)
การตรวจประเมิ น ภายใน (Internal Audit) เป็ น เครื ่ อ งมือ สำคัญ
เพื่อตรวจสอบความสมบูรณ์และครบถ้วนของระบบที่จัดทำขึ้น ตลอดจนการนำไปปฏิบัติและผลลัพธ์ที่เกิดขึ้น
รวมถึงการตรวจสอบความเข้าใจ การปฏิบัติและเอกสารบันทึกที่เกี่ยวข้อง
▪ การทบทวนโดยฝ่ายบริหาร (Management Review)
Management Review เ ป ็ น ก า ร ป ร ะ ช ุ ม เ พ ื ่ อ ร า ย ง า น ผ ล
ของการจัดทำระบบ ISO 27001:2022 Information Security Management (ISMS) ต่อผู้บริหารระดับสูง
(Top Management) โดยรายงานถึ ง การเปลี ่ ย นแปลงภายในและภายนอกที ่ ม ี ผ ลกระทบต่ อ ระบบ
ผลการประเมิ น ความเสี ่ ย งและการจั ด การความเสี ่ ย ง ผลการเฝ้ า ระวั ง ด้ า น Information Security
ผลการตรวจประเมินภายใน (Internal Audit) ข้อบกพร่องจากการตรวจประเมินภายใน เป็นต้น
10) การแก้ไข (Improvement)
▪ ความไม่สอดคล้องและการดำเนินการแก้ไข (Nonconformity and
Corrective Action)
การระบุ ค วามไม่ ส อดคล้ อ ง (Nonconformity) และการแก้ ไ ข
(Corrective Action) อย่ า งเป็ น ระบบ มี ผ ู ้ ร ั บ ผิ ด ชอบและมี บ ั น ทึ ก ที ่ เ ป็ น ลายลั ก ษณ์ อ ั ก ษรเกี ่ ย วกั บ
ความไม่สอดคล้องและแนวทางการแก้ไข
▪ การแก้ไขอย่างต่อเนื่อง (Continual improvement)
ข้อกำหนดระบุให้องค์กรปรับปรุงระบบให้มีความเหมาะสม เพียงพอ
และมีการปรับปรุงอย่างต่อเนื่อง
หน้าที่ 3-53
3.5.2 COBIT (Control Objectives for Information and Related Technology)
เป็ น มาตรฐานการบริ ห ารจั ด การเทคโนโลยี ส ารสนเทศ ของสถาบั น ธรรมาภิ บ าลด้ า น
เทคโนโลยีสารสนเทศ (IT Governance Institute) ซึ่งกำหนดวัตถุประสงค์ควบคุม (Control Objectives) ใน
4 ด้ า น ได้ แ ก่ การวางแผนแล ะการจั ด การองค์ ก ร (PO - Planning and Organization)
การจัดหาและนำระบบออกใช้งานจริง ( AI – Acquisition and Implementation)
การส่งมอบและการสนับสนุน (DS – Delivery and Support) และการเฝ้าติดตาม (M – Monitoring)
เพื่อเป็นแนวทางการตรวจสอบ (Audit Guidelines) ดังภาพที่ 3.5-3
กระบวนงานด้านการบริหารจัดการเทคโนโลยีสารสนเทศขององค์กร ประกอบด้วยวัตถุประสงค์
ควบคุมจำนวน 34 ข้อ และวัตถุประสงค์ย่อยจำนวน 318 หัวข้อ รายละเอียดดังในภาพที่ 3.5-3 และ ตารางที่
3.5-1
ตารางที่ 3.5-1 วัตถุประสงค์ควบคุม 34 หัวข้อของมาตรฐาน COBIT
กลุม่ วัตถุประสงค์ควบคุม ตัวอย่างวัตถุประสงค์ย่อย
1. การวางแผนและ 1.1 1) แผนงานระยะยาวด้านเทคโนโลยีสารสนเทศ
การจัดการองค์ก การจัดทำแผนกลยุทธ์ด้านเ 2) วิธีการและโครงสร้างของการจัดทำแผนงานระยะ
ร ทคโนโลยีสารสนเทศ ยาวด้านเทคโนโลยีสารสนเทศ
(PO - Planning 3) แผนงานระยะสั้นสำหรับหน่วยงานด้านเทคโนโล
and ยีสารสนเทศ
Organization) 4) การสื่อสารแผนงานด้านเทคโนโลยีสารสนเทศ
หน้าที่ 3-54
กลุม่ วัตถุประสงค์ควบคุม ตัวอย่างวัตถุประสงค์ย่อย
5) การเฝ้าติดตามและประเมินผลการดำเนินงานตา
มแผนงานด้านเทคโนโลยีสารสนเทศ
1.2 1) ต้นแบบสถาปัตยกรรม
การกำหนดสถาปัตยกรรมด้ 2) พจนานุกรมและไวยากรณ์ข้อมูล
านสารสนเทศ 3) แบบแผนการจัดประเภทของข้อมูล
4) ระดับการรักษาความปลอดภัย
1.3 1) การวางแผนโครงสร้างพื้นฐานด้านเทคโนโลยีสาร
การกำหนดทิศทางด้านเทคโ สนเทศ
นโลยีสารสนเทศ 2) การติดตามแนวโน้มในอนาคตและกฎข้อบังคับต่าง
ๆ
3) การสำรองในโครงสร้างพื้นฐานด้านเทคโนโลยีสา
รสนเทศ
4) แผนการจัดซื้อฮาร์ดแวร์และซอฟต์แวร์
5) มาตรการด้านเทคโนโลยีสารสนเทศ
1.4 1) คณะกรรมการกำกับดูแลหรือวางแผนด้านเทคโน
การกำหนดโครงสร้างการจั โลยีสารสนเทศ
ดองค์กรด้านเทคโนโลยีสาร 2) การจัดสายการบังคับบัญชาสำหรับหน่วยงานด้าน
สนเทศและความสัมพันธ์กับ เทคโนโลยีสารสนเทศ
หน่วยงานอื่น 3) ความรับผิดชอบด้านการรักษาความปลอดภัยทั้ง
ทางด้านกายภาพและภายในระบบเทคโนโลยีสาร
สนเทศ
4) ความเป็นเจ้าของข้อมูลและระบบ
5) นโยบายและขั้นตอนการว่าจ้างบุคลากรภายนอก
1.5 1) งบประมาณประจำปีของการดำเนินงานด้านเทคโ
การจัดการด้านการลงทุนใน นโลยีสารสนเทศ
เทคโนโลยีสารสนเทศ 2) การติดตามดูแลค่าใช้จ่ายและประโยชน์ที่ได้รับ
3) ความเหมาะสมของค่าใช้จ่ายและประโยชน์ที่ได้รั
บ
1.6 1) ความรับผิดชอบด้านนโยบายของผู้บริหาร
การสื่อสารเป้าหมายและทิศ 2) การสื่อสารนโยบายขององค์กร
ทางการจัดการ 3) การปฏิบัติตามนโยบาย
ขั้นตอนการปฏิบัติงานและมาตรฐาน
4) การยึดมั่นในคุณภาพ
หน้าที่ 3-55
กลุม่ วัตถุประสงค์ควบคุม ตัวอย่างวัตถุประสงค์ย่อย
5) นโยบายด้านกรอบงานการรักษาความปลอดภัยแ
ละการควบคุมภายใน
1.7 1) การจ้างงานและการเลื่อนตำแหน่งบุคลากร
การจัดการทรัพยากรบุคคล 2) บทบาทและความรับผิดชอบ
3) การฝึกอบรมบุคลากร
4) การฝึกอบรมข้ามลักษณะงาน
หรือการมีพนักงานทดแทน
5) ระเบียบปฏิบัติการตรวจสอบพนักงาน
1.8 1) การสอบทานข้อกำหนดขององค์กรภายนอก
การปฏิบัติตามข้อกำหนดข 2) วิธีการปฏิบัติและระเบียบปฏิบัติเพื่อให้เป็นไปตา
ององค์กรภายนอก มข้อกำหนดขององค์กรภายนอก
3) การปฏิบัติตามมาตรฐานความปลอดภัยและสุขลั
กษณะในการทำงาน
4) ความเป็นส่วนตัว
ทรัพย์สินทางปัญญาและกระแสข้อมูล
5) การพาณิชย์อิเล็กทรอนิกส์
1.9 การประเมินความเสี่ยง 1) การประเมินความเสี่ยงทางธุรกิจ
2) วิธีการประเมินความเสี่ยง
3) แผนปฏิบัติการเพื่อจัดการความเสี่ยง
4) การยอมรับความเสี่ยง
5) การเลือกมาตรการควบคุม
1.10 การจัดการโครงการ 1) ข้อกำหนดของโครงการ
2) การอนุมัติโครงการ
3) แผนงานหลักของโครงการ
4) แผนงานรับรองคุณภาพระบบ
5) การบริหารความเสี่ยงของโครงการอย่างเป็นทาง
การ
1.11 การจัดการคุณภาพ 1) การวางแผนการรับรองคุณภาพ
2) กรรมวิธีวงจรการพัฒนาระบบงาน
3) กรอบงานของการจัดหาและบำรุงรักษาสำหรับโค
รงสร้างพื้นฐานด้านเทคโนโลยี
4) มาตรฐานการสร้างเอกสารโปรแกรม
5) มาตรฐานการทดสอบโปรแกรม
2. การจัดหาและก 2.1 1) การกำหนดความต้องการด้านสารสนเทศ
ารนำระบบออ การเลือกเทคโนโลยีมาใช้ใน 2) การศึกษาความเป็นไปได้ด้านเทคโนโลยี
กใช้งานจริง การปฏิบตั ิงาน 3) การศึกษาความเป็นไปได้ด้านเศรษฐกิจ
4) สถาปัตยกรรมสารสนเทศ
หน้าที่ 3-56
กลุม่ วัตถุประสงค์ควบคุม ตัวอย่างวัตถุประสงค์ย่อย
(AI – 5) รายงานการวิเคราะห์ความเสี่ยง
Acquisition 2.2 1) วิธีการออกแบบระบบ
and การจัดหาและบำรุงรักษาซอ 2) การกำหนดความต้องการของแฟ้มข้อมูล
Implementati ฟต์แวร์ประยุกต์ และการจัดทำเอกสาร
on) 3) การออกแบบวิธีการเก็บรวมรวบข้อมูลต้นทาง
4) การกำหนดความต้องการในการนำข้อมูลเข้าสู่ระ
บบและการจัดทำเอกสาร
5) การกำหนดเกี่ยวกับการเชื่อมโยง
2.3 1) การประเมินฮาร์ดแวร์และซอฟต์แวร์ใหม่
การจัดหาและบำรุงรักษาโค 2) การบำรุงรักษาเชิงป้องกันของฮาร์ดแวร์
รงสร้างพื้นฐานด้านเทคโนโ 3) การรักษาความปลอดภัยในซอฟต์แวร์ระบบ
ลยี 4) การบำรุงรักษาซอฟต์แวร์ระบบ
5) การควบคุมการแก้ไขเปลี่ยนแปลงซอฟต์แวร์ระบ
บ
2.4 1) ความต้องการในการปฏิบัติงานและระดับการให้บ
ระเบียบปฏิบัติในการพัฒนา ริการ
และบำรุงรักษา 2) คู่มือปฏิบัติงานของผู้ใช้
3) คู่มือปฏิบัติงานด้านปฏิบัติการคอมพิวเตอร์
4) เอกสารประกอบการฝึกอบรม
2.5 1) แผนการนำระบบออกใช้งานจริง
การติดตั้งและรับรองระบบ 2) การโอนระบบเดิมเข้าสู่ระบบใหม่
3) การโอนข้อมูลเดิมเข้าสู่ระบบใหม่
4) กลยุทธ์และแผนการทดสอบระบบ
5) การทดสอบและรับรองความปลอดภัยของระบบ
2.6 1) การขอเปลี่ยนแปลงและการควบคุม
การจัดการการเปลี่ยนแปลง 2) การประเมินผลกระทบ
3) การควบคุมการเปลี่ยนแปลง
4) การจัดทำเอกสารและระเบียบปฏิบัติ
5) นโยบายเกี่ยวกับการนำออกใช้งาน (Release)
ของซอฟต์แวร์
3. การส่งมอบและ 3.1 1) หลักเกณฑ์ของข้อตกลงเรื่องระดับการให้บริการ
การสนับสนุน การกำหนดและการจัดการร 2) ระเบียบปฏิบัติในการดำเนินงาน
(DS – ะดับการให้บริการ 3) การเฝ้าติดตามและการรายงาน
Delivery and 4) การสอบทานข้อตกลงและสัญญาเรื่องระดับการให้
Support) บริการ
5) โปรแกรมการปรับปรุงการให้บริการ
หน้าที่ 3-57
กลุม่ วัตถุประสงค์ควบคุม ตัวอย่างวัตถุประสงค์ย่อย
3.2 1) การประสานงานกับผู้ให้บริการ
การจัดการการใช้บริการจา 2) คุณสมบัติของผู้ให้บริการ
กบุคคลภายนอก 3) ข้อสัญญาการใช้บริการจากบุคคลภายนอก
4) ความต่อเนื่องของการบริการ
5) การตกลงร่วมมือในการรักษาความปลอดภัย
3.3 1) ความต้องการด้านความพร้อมใช้งานและสมรรถน
การจัดการด้านสมรรถนะแ ะของระบบ
ละความสามารถของระบบ 2) แผนด้านความพร้อมใช้งานของระบบ
3) เครื่องมือในการจัดทำแบบจำลองระบบ
4) การจัดการเชิงรุกด้านสมรรถนะของระบบ
5) การจัดการในด้านขีดความสามารถของทรัพยากรร
ะบบ
3.4 1) กรอบของการดำเนินงานอย่างต่อเนื่อง
ความต่อเนื่องในการให้บริก 2) ความต้องการขั้นต่ำสำหรับการดำเนินการอย่างต่
าร อเนื่องด้านเทคโนโลยีสารสนเทศ
3) การทดสอบแผนการดำรงอยู่ด้านเทคโนโลยีสารส
นเทศ
4) ฮาร์ดแวร์และศูนย์สำรอง
5) การจัดเก็บสื่อข้อมูลสำรองไว้นอกสถานที่
3.5 1) การจัดการด้านมาตรการการรักษาความปลอดภั
การรักษาความปลอดภัยระ ย
บบ 2) การแสดงตน การพิสูจน์ตน และการเข้าถึง
3) ความปลอดภัยในการเข้าถึงข้อมูลแบบออนไลน์
4) สถาปัตยกรรม firewall
และการเชื่อมโยงกับเครือข่ายสาธารณะ
5) การป้องกันค่าของข้อมูลอิเล็กทรอนิกส์
3.6 1) รายการที่คิดค่าบริการได้
การกำหนดและการจัดสรร 2) ระเบียบปฏิบัติในเรื่องต้นทุน
ต้นทุน 3) การเรียกเก็บค่าบริการและระเบียบปฏิบัติในการ
คิดค่าบริการกับผู้ใช้งาน
3.7 1) การกำหนดความต้องการการฝึกอบรม
การให้ความรู้และการฝึกอบ 2) การบริหารจัดการการฝึกอบรม
รมแก่ผู้ใช้งาน 3) การฝึกอบรมเรื่องหลักการและความตระหนักถึง
การรักษาความปลอดภัย
3.8 1) ศูนย์ช่วยเหลือผู้ใช้งาน
การช่วยเหลือและให้คำปรึก 2) การลงทะเบียนปัญหาข้อซักถามของผู้ใช้งาน
ษาแก่ลูกค้า 3) ขั้นตอนการแก้ไขปัญหาข้อซักถามของผู้ใช้งาน
หน้าที่ 3-58
กลุม่ วัตถุประสงค์ควบคุม ตัวอย่างวัตถุประสงค์ย่อย
4) การเฝ้าติดตามการแก้ไขปัญหาที่เกิดขึ้น
5) การวิเคราะห์แนวโน้มของปัญหาและการรายงาน
ผล
3.9 1) การบันทึกรายการรายละเอียดทรัพย์สิน
การจัดการรายละเอียดทรัพ 2) ข้อมูลพื้นฐานของรายละเอียดทรัพย์สิน
ย์สิน 3) การบันทึกสถานภาพทรัพย์สิน
4) การควบคุมรายละเอียดทรัพย์สิน
5) ซอฟต์แวร์ที่ไม่ได้รับอนุญาตให้ใช้งาน
3.10 1) ระบบการจัดการปัญหา
การจัดการปัญหาและเหตุก 2) ขั้นตอนการแก้ปัญหา
ารณ์ที่เกิดขึ้น 3) หลักฐานการตรวจสอบและการติดตามปัญหา
4) การอนุมัติให้เข้าถึงระบบในกรณีฉุกเฉินและชั่วคร
าว
3.11 การจัดการข้อมูล 1) ระเบียบปฏิบัติในการเตรียมข้อมูล
2) ระเบียบปฏิบัติว่าด้วยสิทธิการบันทึกข้อมูล
3) การจัดการด้านการจัดเก็บข้อมูล
4) การสำรองและกู้ข้อมูล
5) การเก็บถาวร
3.12 1) การรักษาความปลอดภัยทางกายภาพ
การจัดการกับสิ่งอำนวยควา 2) สถานที่ตั้งของศูนย์คอมพิวเตอร์ที่ไม่เป็นที่สังเกต
มสะดวก 3) การตามประกบผู้เข้าออกศูนย์คอมพิวเตอร์
4) การป้องกันภัยจากปัจจัยทางสภาพแวดล้อม
5) เครื่องจ่ายกระแสไฟฟ้าสำรอง
3.13 1) ระเบียบปฏิบัติและคู่มือคำสั่งการประมวลผล
การจัดการการปฏิบัติการ 2) การจัดตารางเวลาของงานประมวลผล
3) ความต่อเนื่องของการประมวลผล
4) การบันทึกเหตุการณ์ตามลำดับเวลาของการประ
มวลผล
5) การรักษาความปลอดภัยของเอกสาร
แบบฟอร์มพิเศษ และอุปกรณ์ประมวลผลลัพธ์
4. การเฝ้าติดตาม 4.1 1) การรวบรวมข้อมูล
(M – การเฝ้าติดตามกระบวนการ 2) การประเมินผลการดำเนินงาน
Monitoring) 3) การประเมินความพึงพอใจของลูกค้า
4) การรายงานสำหรับผู้บริหาร
4.2 1) การเฝ้าติดตามการควบคุมภายใน
การประเมินความเพียงพอข 2) การดำเนินการของการควบคุมภายใน
องการควบคุมภายใน 3) การรายงานระดับการควบคุมภายใน
หน้าที่ 3-59
กลุม่ วัตถุประสงค์ควบคุม ตัวอย่างวัตถุประสงค์ย่อย
4) การรับรองความปลอดภัยในการดำเนินงานและก
ารควบคุมภายใน
4.3 1) การออกใบรับรอง/การรับรองอย่างเป็นอิสระในด้
การรับรองอย่างเป็นอิสระ านการรักษาความปลอดภัยและการควบคุมภายใ
นของการให้บริการด้านเทคโนโลยีสารสนเทศ
2) การออกใบรับรอง/การรับรองอย่างเป็นอิสระในด้
านการรักษาความปลอดภัยและการควบคุมภายใ
นของการให้บริการจากบุคคลภายนอก
3) การประเมินประสิทธิผลอย่างเป็นอิสระของบริกา
รด้านเทคโนโลยีสารสนเทศ
4) การรับรองอย่างเป็นอิสระต่อการปฏิบัติตามกฎห
มาย ข้อบังคับ และข้อผูกมัดในสัญญา
5) การรับรองอย่างเป็นอิสระต่อการปฏิบัติตามกฎห
มาย ข้อบังคับ
และข้อผูกมัดในสัญญากับผู้ให้บริการภายนอก
4.4 1) กฎบัตรการตรวจสอบ
การจัดให้มีผู้ตรวจสอบอิสร 2) การวางแผน
ะ 3) การดำเนินงานตรวจสอบ
4) การรายงาน
5) การติดตามผล
หน้าที่ 3-60
กำลั ง เผชิ ญ กั บ ความเสี ่ ย งด้ า นเทคโนโลยีส ารสนเทศในหลายมิ ต ิม ากขึ ้ น หาก อ.ส.ค. ไม่ ม ี ก ารปรั บ ตัว
ให้เท่าทันกับการเปลี่ยนแปลง หรือไม่มีการบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศที่เพียงพอ
อาจนำไปสู ่ ค วามเสี ่ ย งด้ า นอื ่ น ที ่ ส ำคั ญ ด้ ว ย โดยปั จ จุ บ ั น ความเสี ่ ย งด้ า นเทคโนโลยี ส ารสนเทศ ไม่ เ ป็ น
เพียงส่วนหนึ่งของความเสี่ยงด้านปฏิบัติการอีกต่อไป แต่กลายเป็นหนึ่งในความเสี่ยงทางธุรกิจ ซึ่งอาจส่งผล
กระทบต่ อ กลยุ ท ธ์ ท างธุ ร กิ จ การปฏิ บ ั ต ิ ต ามกฎระเบี ย บต่ า ง ๆ ภาพลั ก ษณ์ ช ื ่ อ เสี ย งของ อ.ส.ค.
ทัง้ นี้การจัดการด้านความเสี่ยงข้อมูล (Risk Management) สามารถสรุปสาระสำคัญได้ดังต่อไปนี้
3.5.3.1 หลักการบริหารความเสี่ยงด้านเทคโนโลยีสารสนเทศ
หลักการบริหารความเสี่ยงด้านเทคโนโลยีสารสนเทศ สามารถสรุปได้ดังต่อไปนี้
1) การใช้เทคโนโลยีสารสนเทศสอดคล้องกับกลยุทธ์ในการดำเนิ นธุรกิจและการ
เปลี่ยนแปลง
ปัจจุบันเทคโนโลยีสารสนเทศเข้ามามีบทบาทสำคัญต่อการดำเนินธุรกิจขององค์กร
มากขึ้น โดยเป็นโครงสร้างพื้นฐานที่สำคัญที่รองรับกลยุทธ์ในการดำเนินธุรกิจ ช่วยเพิ่มประสิทธิภาพ ลดต้นทุน
ในการดำเนินงาน และเพิ่มศักยภาพในการแข่งขัน ตอบสนองต่อความต้องการของลูกค้าที่ต้องการผลิตภัณฑ์
และบริการที่ห ลากหลายได้ อย่า งสะดวกและรวดเร็ว นอกจากนี้ อ.ส.ค. ยังต้องเตรียมความพร้อ มของ
ระบบเทคโนโลยีสารสนเทศให้พร้อมรับการเปลี่ยนแปลงที่เป็นไปอย่างรวดเร็วเพื่อรองรับการดำเนินธุรกิจใน
อนาคต
2) คณะกรรมการของ อ.ส.ค. และผู้บริหารระดับสูงมีบทบาทสำคัญในการ
กำกับดูแลความเสี่ยงด้านเทคโนโลยีสารสนเทศ
การบริ ห ารความเสี ่ ย งด้ า นเทคโนโลยี ส ารสนเทศ ต้ อ งมี ก ารกำกั บ ดู แ ล
ในระดับองค์กรโดยเป็นความรับผิดชอบของคณะกรรมการของ อ.ส.ค. ที่ต้องสนับสนุน และผลักดันให้องค์กร
มี ก ลยุ ท ธ์ แ ละนโยบายด้ า นเทคโนโลยี ส ารสนเทศที ่ เ พิ ่ ม ประสิ ท ธิ ภ าพให้ แ ก่ ก ารดำเนิ น ธุ ร กิ จ
ความสามารถในการแข่งขัน มีความมั่นคงปลอดภัยและพร้อมรับมือภัยคุกคามทางเทคโนโลยี และภัยคุกคาม
ทางเครือข่าย Internet ที่อาจเกิดขึ้น รวมทั้งผลักดันให้องค์กรมีการสร้างความตระหนักในการบริหาร
ความเสี่ยงด้านเทคโนโลยีสารสนเทศ (IT Risk Awareness) อย่างต่อเนื่องและมีประสิทธิภาพ
3) ความเสี่ยงด้านเทคโนโลยีสารสนเทศเป็นความเสี่ยงในระดับองค์กร
(Enterprise Wide Risk)
เนื่องจากเทคโนโลยีสารสนเทศกลายเป็นโครงสร้างพื้นฐานสำคัญรองรับกระบ
วนการทางธุ ร กิ จ และการปฏิ บ ั ต ิ ง านด้ า นต่ า ง ๆ ของ อ.ส.ค. ดั ง นั ้ น การบริ ห ารความเสี ่ ย ง
ด้านเทคโนโลยีสารสนเทศไม่ได้เป็น ความรับผิดชอบอยู่เพียงหน่วยงานด้านเทคโนโลยีสารสนเทศเท่า นั้น
แต่เป็นเรื่องที่บุคลากรทุกระดับและทุกฝ่ายในองค์กรต้องให้ความตระหนักและมีแนวทางการบริหารความเสี่ยง
ที่เกิดจากการใช้เทคโนโลยีสารสนเทศครอบคลุมทั้งในเชิงกลยุทธ์และเชิงปฏิบัติการเพื่อให้มีการป้ องกัน
ติดตาม และรับ มือความเสี่ย งที่อาจเกิดขึ้น ด้ว ยเหตุนี้ อ.ส.ค. จำเป็นต้องมีกรอบการบริห ารความเสี่ยง
ด้านเทคโนโลยีส ารสนเทศอย่า งครอบคลุม ทั่ว ทั้ งองค์ก รและเหมาะสมกับระดับ ความเสี่ ยงที่ย อมรั บ ได้
โดยครอบคลุมการกำหนดนโยบายและบทบาทหน้าที่ความรับผิดชอบ การพัฒนากระบวนการและเครื่องมือ
รวมถึงการพัฒนาความรู้และความเชี่ยวชาญในด้านการบริ หารความเสี่ยงด้านเทคโนโลยีสารสนเทศอย่างเพียง
พอและทั่วถึง
หน้าที่ 3-61
4) มีการกำกับดูแลเป็นไปตามหลัก 3 Lines of Defence
โครงสร้ า งการกำกั บ ดู แ ลการปฏิ บ ั ต ิ ง านและการบริ ห ารความเสี ่ ย ง
ด้านเทคโนโลยีสารสนเทศ จำเป็นต้องสอดคล้องตามหลักการกำกับดูแล 3 ระดับ ประกอบด้วยหลักการถ่วงดุล
(Check and Balance) หลักการแบ่งแยกหน้าที่ความรับผิดชอบอย่างชัดเจน (Segregation of Duties)
ในการปฏิบัติงานการบริหารความเสี่ยงการกำกับดูแลการปฏิบัติตามกฎหมายและหลักเกณฑ์ และหลักการ
ตรวจสอบด้านเทคโนโลยีสารสนเทศ
5) การรักษาความมั่นคงปลอดภัยและการบริห ารความเสี่ยงด้านเทคโนโลยี
สารสนเทศสอดคล้องกับความเสี่ยงที่เพิ่มขึ้น
ความเสี่ยงที่เกิดจากเทคโนโลยีสารสนเทศหากไม่ได้รับการบริหารจัดการและ
ควบคุมอย่างเพีย งพอ อาจทำให้เกิดช่องโหว่ด้านการรักษาความปลอดภัย ความถูกต้องเชื่อถือได้ และ
ความพร้อมใช้ของระบบในการให้บริการ แก่ธุรกิจและการดำเนินงานของ อ.ส.ค. ซึ่งอาจนำไปสู่ความเสี่ยง
ด้านความน่าเชื่อถือ ชื่อเสียง ภาพลักษณ์ การปฏิบัติ ตามกฎหมายและหลักเกณฑ์ที่เกี่ยวข้อง
6) การบริ ห ารจั ด การโครงการด้ า นเทคโนโลยี ส ารสนเทศอย่ า งรั ด กุ ม และ
มีประสิทธิภาพ
ความต้ อ งการของลู ก ค้ า ที ่ ต ้ อ งการผลิ ต ภั ณ ฑ์ แ ละบริ ก ารที ่ ห ลากหลาย
รวมทั้งการเปลี่ยนแปลงของเทคโนโลยีสารสนเทศที่เป็นไปอย่างรวดเร็ว ทำให้ อ.ส.ค. ต้องบริหารจัดการ
ทรัพยากรที่มีอยู่อย่างจำกัดให้มีประสิทธิภาพสูงสุด ดังนั้น หาก อ.ส.ค. ไม่สามารถบริหารจัดการโครงการ
พัฒนาระบบได้อย่างมีประสิทธิภาพ ทำให้ไม่สามารถส่งมอบโครงการได้ ตามเป้าหมายที่กำหนด ส่งผลให้
เกิดความเสี่ยงที่โครงการด้านเทคโนโลยีสารสนเทศไม่แล้วเสร็จตามกำหนดเวลา โครงการไม่มีคุณภาพ รวมถึง
โครงการไม่สอดรับกับกลยุทธ์ทางธุรกิจของ อ.ส.ค. นอกจากนี้ในบางกรณีอาจส่งผลให้ อ.ส.ค. ไม่สามารถ
ปฏิบัติได้ตามกฎหมายและหลักเกณฑ์ที่เกี่ยวข้องของผู้กำกับดูแลได้
7) มีการพัฒนาความรู้ความสามารถ (Capability) ของบุคลากร
ด้วยวิวัฒนาการของเทคโนโลยีและความเสี่ยงซึ่งมีความซับซ้อนมากขึ้น อ.ส.ค.
จำเป็นต้องมีการพัฒนาความรู้ด้านเทคโนโลยีอย่างต่อเนื่อง เพื่อเพิ่มมุมมองความรู้และความเชี่ยวชาญของ
บุ ค ลากรในการระบุ ประเมิ น ควบคุ ม ติ ด ตาม และรั บ มื อ ความเสี ่ ย งจากภั ย ที ่ เ กี ่ ย วข้ อ งกั บ การใช้
เทคโนโลยีสารสนเทศ นอกจากนี้การดำเนินธุรกิจในยุคดิจิทัล ทำให้ความเสี่ยงด้านเทคโนโลยีสารสนเทศ
ไม่ได้จำกัดอยู่เพียงระดับปฏิบัติการเท่านั้น แต่ยังส่งผลต่อการดำเนินงานตามแผนวิสาหกิจฯ (สำหรับปี 2563)
ขององค์ ก ร ดั ง นั ้ น คณะกรรมการ ผู ้ บ ริ ห ารระดั บ สู ง และบุ ค ลากรทุ ก ระดั บ จึ ง จำเป็ น ต้ อ ง
ได้รับการพัฒนาความรู้ด้านเทคโนโลยีสารสนเทศและความเสี่ยงต่อธุรกิจรวมถึงติดตามภัยคุกคามทางเครือข่าย
Internet เพื่อให้มีความรู้เท่าทันภัยคุกคามใหม่ ๆ
หน้าที่ 3-62
8) ความเสี่ยงที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ
ตามแนวทางของ COSO (Committee of Sponsoring Organization)
ความเสี่ยงที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ ออกได้เป็น 8 ประเภท ดังนี้
1) ความเสี่ยงด้านกายภาพและสิ่งแวดล้อม (Physical and Environment
Risk)
หมายถึ ง ความเสี ่ ย งที ่ เ กิ ด จากภั ย คุ ก คามทั ้ ง ภั ย จากธรรมชาติ และภั ย
ที่มนุษย์ทำขึ้น เช่น วาตภัย อุทกภัย อัคคีภัย ฟ้าผ่า กระแสไฟฟ้าขัดข้ อ ง
การชุมนุมประท้วง การก่อการร้าย รวมถึงการไม่มีระบบรักษาความปลอดภัย
ห้องปฏิบัติการระบบเครือข่ายและคอมพิวเตอร์ เครื่องคอมพิวเตอร์แม่ข่าย
และระบบสื่อสารที่มีประสิทธิภาพเพียงพอ
2) ความเสี่ยงด้ำนบุคลากร (Human Risk)
หมายถึ ง ความเสี ่ ย งที ่ เ กิ ด จากบุ ค ลากรที ่ เ กี ่ ย วข้ อ งกั บ การดำเนิ น งาน
ด้ า นเทคโนโลยี ส ารสนเทศและการสื ่ อ สาร ทั ้ ง ในด้ า นการวางแผน
การตรวจสอบการทำงาน การมอบหมายหน้ า ที ่ แ ละสิ ท ธิ ์ ข องบุ ค ลากร
และคณะทำงานที่มีส่วนเกี่ยวข้องกับการดำเนินการทุกฝ่ายอย่างละเอีย ด
เพื ่ อ ให้ บ ุ ค ลากรมี ค วามรู ้ ความเข้ า ใจในการ ใช้ ง าน การดู แ ลรั ก ษา
ความปลอดภัยระบบเทคโนโลยีสารสนเทศและการสื่อสาร รวมทั้งบุคลากร
ภายนอกที่เกี่ยวข้องทั้งทางตรงและทางอ้อม ซึ่งล้วนแต่เป็นความเสี่ยงทั้งสิ้น
3) ความเสี่ยงด้านอุปกรณ์เทคโนโลยีสารสนเทศและการสื่อสาร
(Hardware and Data Communication Risk)
หมายถึ ง ความเสี ่ ย งที ่ เ กิ ด จากความผิ ด พลาดของอุ ป กรณ์
การเคลื่อนย้ายตัวเครื่องอุปกรณ์ การติดตั้งอุปกรณ์ในพื้นที่ไม่เหมาะสม
การถูกภัยคุกคามจากภัยต่างๆ เช่น ไวรัสคอมพิวเตอร์ Malware, Trojan,
Adware เป็ น ต้ น ทั ้ ง ที ่ เ ป็ น การโจมตี จ ากภายใน และมาจากภายนอก
โดยผ่านทางเครือข่าย (Networks) หรือจากคอมพิวเตอร์โดยตรง เช่น จาก
USB Flash Drive หรือ USB External Hard Disk Drive เป็นต้น
4) ความเสี่ยงด้านโปรแกรมคอมพิวเตอร์ (Software Risk)
หมายถึง ความเสี่ยงที่เกิดจากระบบการทำงานของโปรแกรมต่างๆ
เช่น การใช้โปรแกรมที่ไม่มีการอัพเดทให้ทันสมัย เพื่อลดช่องโหว่ที่อาจเกิดจาก
Bug ของซอฟต์แวร์นั้นๆ หรือการถูกผู้ไม่หวังดี (Hacker) เข้ามาทำลายระบบ
หรือการใช้ซอฟต์แวร์ที่ไม่มีลิขสิทธิ์ซึ่งอาจถูกฟ้องร้องให้ต้องชำระค่าละเมิดลิข
สิทธิ์ เป็นต้น
หน้าที่ 3-63
5) ความเสี่ยงด้านระบบข้อมูล (Database Risk)
หมายถึง ความเสี่ยงที่เกิดจากฐานข้อมูลต่างๆ ในระบบสารสนเทศ
และการสื่อสารอันอาจจะก่อให้เกิดความเสียหาย เนื่องจากข้อมูลถูกทำลาย
ความเสี่ยงจากผู้บุกรุกข้อมูล เพื่อการโจรกรรมข้อมูลที่สำคัญ การลักลอบ
เข้ามาแก้ไขเปลี่ยนแปลงข้อมูล ทำให้เกิดความเสียหาย ขาดความน่าเชื่อถือ
และสร้างความเสื่อมเสี ยแก่องค์กร ความเสี่ยงเหล่านี้ทำให้มีความจำเป็น
ที ่ จ ะต้ อ งมี ก ารบริ ห ารจั ด การความเสี ่ ย งด้ า นข้ อ มู ล ดั ง นั ้ น การรั ก ษา
ความปลอดภัยของข้ อ มูล จึง เป็ นเรื่ อ งสำคั ญ เนื่องจากข้อ มู ล สารสนเทศ
และการสื่อสารเป็นปัจจัยสำคัญสำหรับผู้บริหาร ผู้มีส่วนได้ส่วนเสียโดยตรง
รวมถึงประชาชนทั่ว ไป ดังนั้น การรักษาความปลอดภัยของระบบข้ อ มู ล
และคอมพิ ว เตอร์ จ ากภั ย ต่ า งๆ ทั ้ ง ภั ย จากคน ภั ย จากธรรมชาติ
หรื อ เหตุ ก ารณ์ ใ ดๆ จึ ง มี ค วามสำคั ญ และจำเป็ น ที ่ จ ะต้ อ งมี ก ารป้ อ งกั น
เพื่อให้เกิดความมั่นคงต่อระบบข้อมูลสารสนเทศและเทคโนโลยี
6) ความเสี่ยงด้านกลยุทธ์ (Strategic Risk)
หมายถึง ความเสี่ยงที่เกิดจากการเปลี่ยนแปลงของนโยบายรัฐบาล
ผู้บริหารองค์กร เนื่องจากการเปลี่ยนแปลงรัฐบาล และผู้บริหารองค์กรต่างๆ
ในด้านเทคโนโลยีสารสนเทศและการสื่อสาร ทำให้ การกำหนดยุทธศาสตร์
และกลยุทธ์เปลี่ยนแปลงไป
7) ความเสี่ยงด้านการเงิน (Financial Risk)
หมายถึง ความเสี่ยงต่อการได้รับการสนับสนุนงบประมาณไม่เพียงพอ
และต่อการเบิกจ่าย งบประมาณไม่ทันตามกำหนดเวลา
8) ความเสี่ยงในด้านการบริหารจัดกำร (Management Risk)
หมายถึง ความเสี่ยง เนื่องมาจากการบริหารที่ไม่รัดกุม ไม่มีแผนงาน
ในการดำเนินการที่ดี
9) การใช้เทคโนโลยีสารสนเทศสอดคล้องกับกลยุทธ์ในการดำเนินธุรกิจและการ
เปลี่ยนแปลง ปัจจุบันเทคโนโลยีสารสนเทศเข้ามามีบทบาทสำคัญต่ อการ
ดำเนินธุรกิจขององค์กรมากขึ้น โดยเป็นโครงสร้างพื้นฐานที่ สำคัญที่รองรับ
กลยุทธ์ในการดำเนินธุรกิจ ช่วยเพิ่มประสิทธิภาพ ลดต้นทุนในการดำเนินงาน
และเพิ ่ ม ศั ก ยภาพในการแข่ ง ขั น ตอบสนองต่ อ ความต้ อ งการของลู ก ค้ า
ที่ต้องการผลิตภัณฑ์และบริการที่หลากหลายได้อย่างสะดวกและรวดเร็ว
นอกจากนี้ อ.ส.ค. ยังต้องเตรียมความพร้อมของระบบเทคโนโลยีสารสนเทศ
ให้พร้อมรับการเปลี่ยนแปลงที่เป็นไปอย่างรวดเร็วเพื่อรองรับการดำเนินธุรกิจ
ในอนาคต
หน้าที่ 3-64
3.5.3.2 โครงสร้างการกำกับดูแลความเสี่ยงด้านเทคโนโลยีสารสนเทศ
เพื่อให้มีโครงสร้างและบทบาทหน้าที่ในการกำกับดูแลการดำเนินงานและการบริหา
ร ความเสี่ยงด้านเทคโนโลยีสารสนเทศ ที่เหมาะสมสอดคล้องตามหลักหน่วยกำกับดูแลระดับที่ 3 (3 rd Line of
Defense) ควรมีการดำเนินการดังนี้
1) จัดตั้งคณะกรรมการที่ทำหน้าที่กำกับดูแลความเสี่ยงด้านเทคโนโลยีสารสน
เทศ ดังนี้
1) คณะกรรมการบริ ห ารจั ด การและกำกั บ ดู แ ลการปฏิ บ ั ต ิ ง าน
ด้ า นเทคโนโลยี ส ารสนเทศ (อาทิ IT Steering Committee
หรือคณะกรรมการที่ได้รับมอบหมาย เป็นต้น)
เพื่อดูแลให้มีการกำหนดกลยุทธ์ นโยบาย และแผนงานด้านเทคโนโลยี
สารสนเทศที่ส อดคล้องกับกลยุทธ์ของ อ.ส.ค. รวมทั้งกำกับดูแลและ
ติดตามการดำเนินงานและการบริหารความเสี่ยงด้านเทคโนโลยีสารสนเทศ
นอกจากนี้ อ.ส.ค. อาจพิจารณาให้มีคณะกรรมการ ที่ดูแลงานเฉพาะด้าน
เพิ่มเติม หากเห็นว่างานดังกล่าวมีนัยสำคัญหรือ มีผลกระทบสูงต่อ อ.ส.ค.
อาทิ คณะกรรมการหรื อ อนุ ก รรมการด้ า นความมั ่ น คงปลอดภั ย
ด้านเทคโนโลยีสารสนเทศ เป็นต้น
2) คณะกรรมการกำกับดูแลการบริหารความเสี่ยงด้านเทคโนโลยีสารสนเทศ
(อาทิ คณะกรรมการบริหารความเสี่ยง คณะกรรมการบริหารความเสี่ยง
ด้านปฏิบัติการ คณะกรรมการบริหารความเสี่ยงด้านเทคโนโลยีสารสนเทศ
หรือคณะกรรมการที่ได้รับมอบหมาย เป็นต้น)
เพื่อดูแลให้มีการกำหนดนโยบายการบริหารความเสี่ยงด้านเทคโนโลยีสาร
สนเทศ รวมทั้งกำกับดูแลและติดตามให้เป็นไปตามนโยบายที่กำหนดไว้
โดยมีการเชื่อมโยงกับความเสี่ยงในภาพรวมของ อ.ส.ค. (Enterprise Risk
Management)
3) คณะกรรมการกำกับดูแลการตรวจสอบด้านเทคโนโลยีสารสนเทศ (อาทิ
คณะกรรมการตรวจสอบ หรือคณะกรรมการที่ได้รับมอบหมาย เป็นต้น)
เพื่อให้ อ.ส.ค. มีการตรวจสอบด้านเทคโนโลยีสารสนเทศอย่างเป็นอิสระ
ครอบคลุมถึงการปฏิบัติงานและการบริหารความเสี่ยง
ด้านเทคโนโลยีสารสนเทศ รวมทั้ง การกำกับดูแลการปฏิบัติตามกฎหมาย
และหลักเกณฑ์ที่เกี่ยวข้อง กับเทคโนโลยีสารสนเทศ
2) ปรับปรุงโครงสร้างองค์กร
1) อ.ส.ค.ควรจั ด ให้ ม ี โ ครงสร้ า งองค์ ก รและหน้ า ที ่ ค วามรั บ ผิ ด ชอบเป็ น
ลายลั ก ษณ์ อ ั ก ษร โดยสอดคล้ อ งตามหลั ก การถ่ ว งดุ ล (Check and
Balance) และการแบ่ ง แยกหน้ า ที ่ ค วามรั บ ผิ ด ชอบอย่ า งชั ด เจน
(Segregation of Duties) ระหว่ า งการทำหน้ า ที ่ ป ฏิ บ ั ต ิ ง าน
ด้านเทคโนโลยีสารสนเทศ บริหารความเสี่ยงด้านเทคโนโลยีสารสนเทศ
และตรวจสอบด้านเทคโนโลยีสารสนเทศ
หน้าที่ 3-65
2) อ.ส.ค.ควรดู แ ลให้ม ี ท รั พ ยากรเพี ย งพอที ่ จะสนับ สนุ น การปฏิบ ั ต ิงาน
การบริ ห ารความเสี ่ ย ง การกำกั บ ดู แ ล การปฏิ บ ั ต ิ ต ามกฎหมายและ
หลักเกณฑ์ และการตรวจสอบด้านเทคโนโลยีสารสนเทศ สอดคล้องตาม
ปริมาณธุรกรรม ความซับซ้อนของเทคโนโลยีสารสนเทศ และความเสี่ยง
ที ่ เ กี ่ ย วข้ อ ง อาทิ จั ด ให้ ม ี บ ุ ค ลากร ที ่ ม ี ค วามรู ้ ค วามเชี ่ ย วชาญ
และมีเครื่องมือหรือระบบที่ช่วยสนับสนุนการปฏิบัติงาน เป็นต้น
3) อ.ส.ค.อาจพิจารณาจัดให้มีผู้บริหารระดับสูงหรือหัวหน้าสายงานที่ทำหน้า
ที่บริหารจัดการความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศขององค์กร
(IT Security) โดยควรมีความเป็นอิสระจากหน่วยงาน
ที ่ ท ำหน้ า ที ่ ป ฏิ บ ั ต ิ ง านด้ า นเทคโนโลยี ส ารสนเทศ และควรเป็ น ผู ้ ท ี ่ มี
ความรู ้ ค วามสามารถด้ า นเทคโนโลยี ส ารสนเทศและด้ า นการบริ ห าร
จัดการและรับมือกับภัยคุกคามทางไซเบอร์ อาทิ ได้รับการรับรองความรู้
ความสามารถ ตามมาตรฐานสากล เป็นต้น
3) หน่วยงานที่ทำหน้าที่ปฏิบัติงานด้านเทคโนโลยีสารสนเทศและผู้ใช้งานระบบเ
ทคโนโลยีสารสนเทศ (หน่วยกำกับดูแลระดับต้น (1st Line of Defense) อาทิ
หน่วยงานด้านเทคโนโลยีสารสนเทศ หน่วยงานอื่นที่เป็นผู้ใช้งานระบบ
เป็นต้น
1) หน่ ว ยงานที ่ ท ำหน้ า ที ่ ป ฏิ บ ั ต ิ ง านด้ า นเทคโนโลยี ส ารสน เทศ
มีหน้าที่ปฏิบัติงานตามที่ได้รับมอบหมายรวมทั้งประเมินความเสี่ยงและ
การควบคุ ม ด้ า นเทคโนโลยี ส ารสนเทศ จั ด ให้ ม ี แ นวทางการควบคุ ม
ติ ด ตามและรายงานการปฏิ บ ั ต ิ ง านด้ า นเทคโนโลยี ส ารสนเทศ
โดยนำเสนอต่อคณะกรรมการที่ได้รับมอบหมายและผู้บริหารระดับสูงที่
เกี่ยวข้อง อย่างน้อยครอบ คลุมรายงานดังต่อไปนี้
▪ รายงานผลการปฏิบัติงานด้านเทคโนโลยีสารสนเทศ (IT Operations)
อาทิ สถานะความเพียงพอของทรัพยากรด้านเทคโนโลยีสารสนเทศ
(Capacity and System Utilization) เหตุ ก ารณ์ ผ ิ ด ปกติ
และปัญหาด้านเทคโนโลยีสารสนเทศ (IT Incident and Problem)
ระดับการให้บริการและความพร้อมใช้งานด้านเทคโนโลยีสารสนเทศ
(Service Availability) เป็นต้น
▪ รายงานคว ามคื บ หน้ า ปั ญ หาและอุ ป สรรคในการดำเนิ น
โครงการด้ า นเทคโนโลยีส ารสนเทศ ในภาพรวมและรายโครงการ
ที่สำคัญ
▪ รายงานการติ ด ตามและเฝ้ า ระวั ง ภั ย คุ ก คามความมั ่ น คงปลอดภัย
ด้านเทคโนโลยีสารสนเทศ รวมทั้งแนวโน้มความเสี่ยงและภัยคุกคาม
ที่อาจจะเกิดขึ้นและส่งผลกระทบต่อ อ.ส.ค.
▪ รายงานผลการประเมินความเสี่ยง การติดตามความเสี่ยง และแนวทาง
การควบคุมที่เกี่ยวข้อง
หน้าที่ 3-66
▪ รายงานความคื บ หน้ า การปฏิ บ ั ต ิ ต ามกฎหมายและหลั ก เกณฑ์ ที่
เกี่ยวข้อง
▪ รายงานผลการใช้บริการงานด้านเทคโนโลยีสารสนเทศจากผู้ให้บริการ
ภายนอก
2) ผู้ใช้งานระบบเทคโนโลยีส ารสนเทศ มีห น้าที่ปฏิบัติตามนโยบายและ
ระเบีย บวิธ ีปฏิบัติที่เกี่ยวข้องกับความมั่นคงปลอดภัยด้านเทคโนโลยี
สารสนเทศ รวมทั ้ ง มี ส ่ ว นร่ ว มรั บ ผิ ด ชอบในการประเมิ น และจั ด การ
ความเสี่ยงด้านเทคโนโลยีสารสนเทศที่เกี่ยวข้องจากการใช้งานระบบ
4) หน่ ว ยงานที ่ ท ำหน้ า ที ่ บ ริ ห ารความเสี ่ ย งด้ า นเทคโนโลยี ส ารสนเทศ
หน่วยกำกับดูแลระดับที่ 2 (2 nd Line of Defence) อาทิ หน่วยงานบริหาร
ความเสี่ยง และหน่วยงานกำกับดูแลการปฏิบัติตามกฎหมายและหลักเกณฑ์
เป็นต้น
1) หน่ ว ยงานที ่ ท ำหน้ า ที ่ บ ริ ห ารความเสี ่ ย ง มี ห น้ า ที ่ ก ำหนดกรอบและ
กระบวนการบริห ารความเสี่ย ง ด้านเทคโนโลยีส ารสนเทศ สนับสนุ น
ให้ ม ี ก ารประเมิ น ความเสี ่ ย งเป็ น ไปตามกรอบการบริ ห ารความเสี ่ ย ง
ที ่ ก ำหนด พร้ อ มทั ้ ง ให้ ค ำปรึ ก ษา ติ ด ตามความเสี ่ ย งและทบทวน
การควบคุมความเสี่ยงด้านเทคโนโลยีสารสนเทศให้อยู่ในระดับความเสี่ยงที่
ยอมรั บ ได้ ของหน่ ว ยกำกั บ ดู แ ลระดั บ ต้ น (1 st Line of Defence)
โดยมีการรวบรวมและเชื่อมโยงความเสี่ยงด้านเทคโนโลยีสารสนเทศกับ
ความเสี่ยงด้านอื่นของ อ.ส.ค. และนำเสนอผลการบริหารความเสี่ยงต่อ
คณะกรรมการที่ทำหน้าที่กำกับดูแลความเสี่ยง
2) หน่วยงานที่ทำหน้าที่กำกับดูแลการปฏิบัติตามกฎหมายและหลักเกณฑ์ที่
เกี่ยวข้องกับเทคโนโลยีสารสนเทศ มีหน้าที่กำหนดกระบวนการติดตาม
ดู แ ล ให้ ค ำปรึ ก ษา สอบทานและรายงานการปฏิ บ ั ต ิ ตามกฎหมาย
และหลักเกณฑ์ที่เกี่ยวข้อง และนำเสนอต่อคณะกรรมการที่เกี่ยวข้อง อาทิ
กฎหมายว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ กฎหมายว่าด้วยการกระทำ
ความผิดเกี่ยวกับคอมพิวเตอร์ กฎหมายว่าด้วยระบบการชำระเงิน เป็นต้น
เพื่อป้องกันการละเมิดหรือการไม่ปฏิบัติตามกฎหมายและหลั กเกณฑ์
ของหน่วยงานกำกับดูแลที่เกี่ยวข้อง
5) หน่วยงานที่ทำหน้าที่ตรวจสอบด้านเทคโนโลยีสารสนเทศ หน่วยกำกับดูแล
ระดั บ ที ่ 3 (3 rd Line of Defense) ซึ ่ ง อาจเป็ น ผู ้ ต รวจสอบภายในหรื อ
ผู้ตรวจสอบภายนอกที่มีความเป็นอิสระจากหน่วยงานที่ทำหน้าที่ปฏิบัติงานด้า
นเทคโนโลยีสารสนเทศและหน่วยงานที่ทำหน้าที่บริหารความเสี่ยงด้านเทคโน
โลยีสารสนเทศ อาทิ หน่วยงานตรวจสอบภายใน เป็นต้น
1) หน่วยงานที่ทำหน้าที่ตรวจสอบ มีหน้าที่ตรวจสอบการปฏิบัติงานและ
การบริ ห ารความเสี ่ ย งของหน่ ว ยกำกั บ ดู แ ลระดั บ ต้ น (1 st Line of
Defense) และ หน่ ว ยกำกั บ ดู แ ลระดั บ ที ่ 2 (2 nd Line of Defense)
รวมถึงงานอื่น ๆ ที่เกี่ยวข้ อง อาทิ การใช้บริการจากผู้ให้บริการภายนอก
หน้าที่ 3-67
ด้ า นเทคโนโลยี ส ารสนเทศ เป็ น ต้ น เพื ่ อ สอบทานให้ ม ั ่ น ใจว่ า
มี ก ารปฏิ บ ั ต ิ ท ี ่ เ ป็ น ไปตามนโยบาย มาตรฐาน และระเบี ย บปฏิ บ ั ติ
ด้านเทคโนโลยีสารสนเทศ
2) กรณี อ.ส.ค. มี ข ้ อ จำกั ด ด้ า นบุ ค ลากรที ่ ไ ม่ เ พี ย งพอหรื อ มี ค วามรู้
ความเชี่ยวชาญด้านการตรวจสอบ เทคโนโลยีสารสนเทศที่ไม่เพีย งพอ
อาจพิจารณาว่าจ้างผู้ตรวจสอบภายนอกที่มีความเป็นอิสระ และได้รับ
มาตรฐานสากลที่ยอมรับโดยทั่วไปในการตรวจสอบเทคโนโลยีสารสนเทศ
ดำเนินการแทนได้
3) มีกระบวนการตรวจสอบด้านเทคโนโลยีสารสนเทศ ที่ครอบคลุมอย่างน้อย
ดังนี้
▪ การวางแผนงานและกำหนดขอบเขตการตรวจสอบ (Planning and
Scoping) ครอบคลุม และสอดคล้องกับความสำคัญและความเสี่ยง
ของการใช้งานเทคโนโลยีส ารสนเทศของ อ.ส.ค. และนโยบายการ
บริหารความเสี่ยงด้านเทคโนโลยี สารสนเทศ โดยแผนงานและขอบเขต
การตรวจสอบต้องได้รับความเห็นชอบจากคณะกรรมการตรวจสอบ
และมี ก ารทบทวนอย่ า งน้ อ ยปี ล ะ 1 ครั ้ ง และทุ ก ครั ้ ง ที ่ มี
การเปลี่ยนแปลงอย่างมีนัยสำคัญ
▪ การตรวจสอบ (Execution) อย่างน้อยปีล ะ 1 ครั้ง ตามแผนงาน
และขอบเขตที ่ ก ำหนด และพิ จ ารณาให้ ม ี ก ารตรวจสอบเมื ่ อ มี
เหตุ ก ารณ์ ผ ิ ด ปกติ ใ นงานด้ า นเทคโนโลยี ส ารสนเทศที ่ ม ี น ั ย สำคั ญ
นอกจากนี้ แนวทางการตรวจสอบควรเป็นไปตามมาตรฐานที่ อ.ส.ค.
กำหนด ซึ ่ ง สอดคล้ อ งกั บ กฎหมายและหลั ก เกณฑ์ ท ี ่ เ กี ่ ย วข้ อ ง
รวมถึงมาตรฐานสากลที่ยอมรับโดยทั่วไป
▪ การวิเคราะห์ (Analysis) นำข้อมูลที่ได้จากการตรวจสอบมาวิเคราะห์
เพื ่ อ สรุ ป ผลการตรวจสอบ และอาจพิ จ ารณาการขยายขอบเขต
การตรวจสอบเพิ ่ ม เติ ม หากมี ค วามจำเป็ น อาทิ พบข้ อ บ่ ง ชี้
ถึงความเสี่ยงที่อาจกระทบต่อ อ.ส.ค. อย่างมีนัยสำคัญ
▪ การรายงานและติ ด ตามผลการตรวจสอบ (Reporting and
follow up) มี ก ารสรุ ป ผลการตรวจสอบและประเด็ น ที ่ ต ้ อ งแก้ ไ ข
กับผู้บริหารของหน่วยงานผู้รับตรวจและจัดทำรายงานผลการตรวจสอ
บ เพื่อนำเสนอต่อคณะกรรมการตรวจสอบและแจ้งให้ผู้บริหารระดับสูง
ที่เกี่ยวข้องรับทราบ ตลอดจนจัดเก็บรายงานผลการตรวจสอบไว้ ที่
อ.ส.ค. พร้ อ มไว้ สำหรั บ การตรวจสอบ น อกจากนี ้ อ.ส.ค.
ต้องจัดให้มีการติดตามการแก้ไขประเด็นที่ตรวจพบภายในระยะเวลาที่
กำหนดและรายงานต่อคณะกรรมการตรวจสอบ
4) อ.ส.ค.ควรจัดให้มีผู้เชี่ยวชาญภายนอกที่เป็นอิสระทำหน้าที่ประเมินระบบ
หรือเทคโนโลยีที่มีความสำคัญ ซึ่ง อ.ส.ค. เห็นว่ามีความจำเป็นต้องประเมิน
แต่มี ข้อจำกัดหรือผู้ตรวจสอบด้านเทคโนโลยีส ารสนเทศ ของ อ.ส.ค.
หน้าที่ 3-68
ไม่ส ามารถประเมินได้ อาทิ การประเมินระบบที่มีความซับซ้อน หรือ
มี ก ารใช้ เ ทคโนโลยี ใ หม่ หรื อ การประเมิ น ความสามารถของระบบ
ในการปรั บ เปลี ่ ย นเพื ่ อ รองรั บ การทำธุ ร กิ จ ของ อ.ส.ค. ในอนาคต
ภายใต้สภาวะการเปลี่ยนแปลงทางเทคโนโลยีที่รวดเร็ว
3.5.3.3 นโยบายที่เกี่ยวข้องกับการกำกับดูแลความเสี่ยงด้านเทคโนโลยีสารสนเทศ
เพื ่ อ ให้ อ.ส.ค. มี ก ารบริ ห ารความเสี ่ ย งด้ า นเทคโนโลยี ส ารสนเทศอย่ า ง
มีประสิทธิภาพและสอดคล้องกับความเสี่ยงด้านเทคโนโลยีสารสนเทศของ อ.ส.ค. ควรดำเนินการดังต่อไปนี้
1) อ.ส.ค.ควรกำหนดให้มีนโยบายเป็นลายลักษณ์อักษรและอยู่ใต้กรอบหลักการ
ที ่ ส ำคั ญ 3 ประการ คื อ การรั ก ษาความลั บ ของระบบและข้ อ มู ล
(Confidentiality) ความถูกต้องเชื่อถือได้ของระบบและข้อมูล (Integrity)
และ ความพร้ อ มใช้ ง านของเทคโนโลยี ส ารสนเทศ อย่ า งน้ อ ยครอบคลุ ม
นโยบายดังต่อไปนี้
1) นโยบายการรักษาความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ (IT
Security Policy)
2) นโยบายการบริ ห ารความเสี ่ ย งด้ า นเทคโนโลยี ส ารสนเทศ (IT Risk
Management Policy)
3) นโยบายการใช้บริการจากผู้ให้บริการภายนอกด้านเทคโนโลยีสารสนเทศ
(IT Outsourcing Policy)
2) นโยบายดังกล่าวควรสอดคล้องกับกลยุทธ์ในการนำเทคโนโลยีมาใช้ในการ
ดำเนินธุรกิจ นโยบายการบริหารความเสี่ยงของ อ.ส.ค. รวมทั้งสอดคล้อง
กับแนวทางบริหารความเสี่ยงและการรักษาความมั่นคงปลอดภัยตามมาตร
ฐานสากลหรือมาตรฐานที่ได้รับการยอมรับโดยทั่วไป
3) นโยบายดังกล่าวต้องได้รับอนุมัติจากคณะกรรมการของ อ.ส.ค. และได้รับ
การทบทวนอย่างน้อยปีละ 1 ครั้ง และเมื่อมีการเปลี่ยนแปลงอย่างมีนัยสำคัญ
รวมทั้งควรจัดให้มีการชี้แจงและสื่อสารนโยบายให้ผู้เกี่ยวข้อง ได้รับทราบ
อย่างทั่วถึงและมีการควบคุมดูแลให้มีการปฏิบัติตามนโยบายได้อย่างถูกต้อง
ครบถ้วน
4) นโยบายการรั ก ษาความมั ่ น คงปลอดภั ย ด้ า นเทคโนโลยี ส ารสนเทศ (IT
Security Policy) ควรรวมถึ ง การรั ก ษาความมั ่ น คงปลอดภั ย ไซเบอร์
โดยครอบคลุมอย่างน้อย
1) การบริ ห ารจั ด การทรั พ ย์ ส ิ น ด้ า นเทคโนโลยี ส ารสนเทศ (IT Asset
Management)
2) การรักษาความมั่นคงปลอดภัยของข้อมูล (Information Security)
3) การควบคุมการเข้าถึง (Access Control)
4) การรักษาความมั่นคงปลอดภัยทางกายภาพและสภาพแวดล้อม (Physical
and Environmental Security)
5) การรั ก ษาคว ามมั ่ น คงปลอดภ ั ย ของระบบเครื อ ข่ า ยสื ่ อ สาร
(Communication Security)
หน้าที่ 3-69
6) การรักษาความมั่งคงปลอดภัยในการปฏิบัติงานด้านเทคโนโลยีสารสนเทศ
(IT Operations Security)
7) การจั ด หาและการพั ฒ นาระบบเทคโนโลยี ส ารสนเทศ ( System
Acquisition and Development)
8) การบริหารจัดการเหตุการณ์ผิดปกติและปัญหาด้านเทคโนโลยีสารสนเทศ
(IT Incident and Problem Management)
9) การจัดทำแผนฉุกเฉินด้านเทคโนโลยีสารสนเทศ
10) การบริหารจัดการผู้ให้บริการภายนอก (Third Party Management)
5) นโยบายการบริ ห ารความเสี ่ ย งด้ า นเทคโนโลยี ส ารสนเทศ ( IT Risk
Management Policy) โดยครอบคลุมอย่างน้อย หัวข้อ
1) โครงสร้างองค์กร
บทบาทหน้าที่ของผู้เกี่ยวข้องในการบริหารความเสี่ยงด้านเทคโนโลยี
สารสนเทศ
2) จัดทำหลักเกณฑ์
ระเบียบวิธีปฏิบัติและกระบวนการในการบริหารความเสี่ยงด้านเทคโนโลยี
สารสนเทศ ดังนี้
▪ การประเมินความเสี่ยง (Risk Assessment)
▪ การวิเคราะห์ความเสี่ยง (Risk Analysis)
▪ การประเมินค่าความเสี่ยง (Risk Evaluation)
▪ การจัดการความเสี่ยง (Risk Treatment)
▪ การติดตามและทบทวนความเสี่ยง (Risk Monitoring and Review)
▪ การรายงานความเสี่ยง (Risk Reporting)
6) นโยบายการใช้บริการจากผู้ให้บริการภายนอกด้านงานเทคโนโลยีสารสนเทศ
(IT Outsourcing Policy) โดยครอบคลุมอย่างน้อย หัวข้อดังต่อไปนี้
1) หลักเกณฑ์การแบ่งประเภทของการใช้บริการจากผู้ให้บริการภายนอกด้าน
งานเทคโนโลยีสารสนเทศ
2) แนวทางการบริหารจัดการความเสี่ยง แนวทางการคัดเลือกผู้ให้บริการ
และแนวทางการประเมินประสิทธิภาพของผู้ให้บริการภายนอกด้านงานเท
คโนโลยีสารสนเทศ
3) แนวทางการรักษาความมั่นคงปลอดภัยของระบบงานและข้อมูล
4) การรายงานผลการประเมินความเสี่ยงและประสิทธิภาพการดำเนินงานขอ
งผู้ให้บริการภายนอก ด้านงานเทคโนโลยีสารสนเทศ
5) การตรวจสอบผู้ให้บริการภายนอกด้านงานเทคโนโลยีสารสนเทศ
6) การคุ ้ ม ครองผู ้ ใ ช้ บ ริ ก ารของ อ.ส.ค. จากการใช้ บ ริ ก ารผู ้ ใ ห้ บ ริ ก าร
ภายนอกด้านงานเทคโนโลยีสารสนเทศ
หน้าที่ 3-70
3.5.4 การจัดการด้านความปลอดภัยระบบดิจิทัล (Security Management)
การรักษาความมั่นคงปลอดภัยระบบดิจิทัล ประกอบด้วยการบริหารจัดการความปลอดภัย
ในด้านต่าง ๆ ดังต่อไปนี้
3.5.4.1 การบริหารจัดการทรัพย์สินด้านเทคโนโลยีสารสนเทศ (IT Asset Management)
เพื่อให้ อ.ส.ค. มีการจัดทำทะเบียนรายการทรัพย์สินด้านเทคโนโลยีสารสนเทศ
อย่างครบถ้วนและควบคุมดูแลทรัพย์สินด้านเทคโนโลยีสารสนเทศให้มีความพร้อมใช้งานและสามารถรองรับ
การดำเนินธุรกิจได้อย่างต่อเนื่อง ประกอบด้วยแนวทางการดำเนินงานดังนี้
1) กำหนดมาตรฐานและระเบียบวิธีปฏิบัติการบริหารจัดการทรัพย์สินด้านเทคโน
โลยี ส ารสนเทศให้ ค รอบคลุ ม การจั ด ทำทะเบี ย นรายการทรั พ ย์ สิ น
การปรับปรุงทะเบียนรายการทรัพย์สิน การยกเลิกและเรียกคืนทรัพย์สิน
2) จัดให้มีหน่วยงานผู้รับผิดชอบในการจัดทำ ปรับปรุงทะเบียนรายการทรัพย์สิน
ด้านเทคโนโลยีสารสนเทศ และบำรุงรักษาทรัพย์สินด้านเทคโนโลยีสารสนเทศ
อย่างสม่ำเสมอ รวมทั้งวางแผนรองรับทรัพย์สินด้านเทคโน โลยีสารสนเทศ
ที่ใกล้จะสิ้นสุดตาม อายุการใช้งาน (End of Life) หรือสิ้นสุดการให้บริการ
(End of Support) จากผู้ผลิตได้อย่างเหมาะสมทันการณ์
3) มี ก ารจั ด ทำทะเบี ย นรายการทรั พ ย์ ส ิ น ด้ า นเทคโนโลยี ส ารสนเทศ ( IT
Inventory List) ของฮาร์ดแวร์ (Hardware) และซอฟต์แวร์ (Software)
ที่ร องรับ ระบบเทคโนโลยีส ารสนเทศของ อ.ส.ค. อย่างครบถ้ว นและเป็ น
ลายลักษณ์อักษร โดยครอบคลุมอย่างน้อย ดังนี้
1) ชื่ออุปกรณ์
2) ชื่อระบบปฏิบัติการ (Operating System) และเวอร์ชั่น (ถ้ามี)
3) ชื่อระบบงาน (Application) และเวอร์ชั่น (ถ้ามี)
4) เจ้าของทรัพย์สิน (Owner)
5) ประเภทของอุปกรณ์ ยี่ห้อ รายละเอียดทางเทคนิค (Specification)
6) หมายเลขอ้ า งอิ ง ของฮาร์ ด แวร์ (Serial Number) และหมายเลข
อ้างอิงของซอฟต์แวร์ (Software License)
7) สถานที่ตั้ง
8) วันที่เริ่มติดตั้ง
9) ประเภทการครอบครอง (ซื้อหรือเช่า)
10) รายละเอียดผู้ให้บริการหรือผู้บำรุงรักษา
11) วันที่บำรุงรักษาล่าสุด
12) วันสิ้นสุดการใช้งานตามสัญญา (Warranty) และวันสิ้นสุด
การรับประกันการใช้งาน (Support Contract)
13) วันสิ้นสุดการให้บริการจากผู้ผลิต (End of Support)
4) มีการปรับปรุงทะเบียนรายการทรัพย์สินด้านเทคโนโลยีสารสนเทศให้เป็นปัจจุ
บันอย่างต่อเนื่อง โดยมีการตรวจสอบทรัพย์สินด้านเทคโนโลยีสารสนเทศ
ที่มีอยู่จริงกับทะเบียนรายการอย่างสม่ำเสมออย่างน้อยปีละ 1 ครั้ง
หน้าที่ 3-71
5) มี ก ระบวนงานในการยกเลิ ก และเรี ย กคื น ทรั พ ย์ ส ิ น (Return Asset)
เมือ่ สิ้นสุดการใช้งานครอบคลุมทั้งทรัพย์สินด้านเทคโนโลยีสารสนเทศที่ใช้งาน
ภายใน อ.ส.ค. และกรณีที่ผู้ให้บริการภายนอกมีการใช้งานทรัพย์ส ิน ของ
อ.ส.ค. ทันทีที่มีการยกเลิกสัญญาจ้างด้วย
3.5.4.2 การรักษาความมั่นคงปลอดภัยของข้อมูล (Information Security)
เพื ่ อ ให้ อ.ส.ค. มี ก ารรั ก ษาความมั ่ น คงปลอดภั ย และความลั บ ของข้ อ มู ล
ครอบคลุมการรับส่งข้อมูล ผ่านเครือข่ายสื่อสาร การจัดเก็บหรือใช้งานบนระบบและสื่อบันทึกข้อมูลต่าง ๆ
ประกอบด้วยแนวทางการดำเนินงานดังนี้
1) การรั ก ษาความมั ่ น คงปลอดภั ย ของข้ อ มู ล (Information Security)
ประกอบด้วย
1) กำหนดให้มีเจ้าของข้อมูล (Information Owner) รับผิดชอบในการ
กำหนดผู้ใช้งาน สิทธิการเข้าถึงและ การใช้งานข้อมูลอย่างปลอดภัย
2) กำหนดหลั ก เกณฑ์ ก ารจั ด ชั ้ น ความลั บ ของข้ อ มู ล ( Information
Classification) โดยควรระบุ ช ั ้ น ความลั บ ของข้ อ มู ล (Labeling)
อย่างชัดเจน
3) กำหนดแนวทางการรักษาความมั่นคงปลอดภัยของข้อมูลที่สอดคล้องตาม
ชั้นความลับ ครอบคลุม
▪ ข้อมูลที่อยู่บนอุปกรณ์ที่ใช้ปฏิบัติงาน (Data at Endpoint)
▪ ข้อมูลที่อยู่ระหว่างการรับส่งผ่านเครือข่าย (Data in Transit)
▪ ข้อมูลที่อยู่บนระบบงานและสื่อบันทึกข้อมูล (Data at Rest)
4) กำหนดแนวทางการควบคุมดูแลรักษาความปลอดภัยสื่อบันทึกข้อมูล
ระหว่ า งขนส่ ง (Physical Media Transfer) เพื ่ อ ให้ ม ี ก ารควบคุ ม
การเข้าถึงสื่อที่มีข้อมูลสำคัญในระหว่างการขนส่ง
5) กำหนดมาตรฐานและระเบียบวิธีปฏิบัติการทำลายข้อมูล (Information
Disposal) ครอบคลุม ขอบเขตหน้าที่ ความรับผิดชอบของหน่ ว ยงาน
ที ่ เ กี ่ ย วข้ อ ง วิ ธ ี ก ารทำลายข้ อ มู ล ให้ ส อดคล้ อ งกั บ ระดั บ ความสำคั ญ
ข อ ง ข ้ อ ม ู ล โ ด ย ม ี ก ร ะ บ ว น ก า ร ค ว บ ค ุ ม ก า ร ท ำ ล า ย ข ้ อ มู ล
ที ่ ค รอบคลุ ม การอนุ ม ั ต ิ จ ากหน่ ว ยงานเจ้ า ของข้ อ มู ล ก่ อ นดำเนิ น การ
การควบคุ ม การทำลายในลั ก ษณะ Dual Control การสอบทาน
การปฏิบัติงานโดยหัว หน้างาน รวมทั้งจัดให้มีการจัดทำทะเบีย นการ
ทำลายข้อมูลสำคัญ โดยระบุผู้รับผิดชอบในการทำลายข้อมูล วันที่ เวลา
ชนิดของสื่อบันทึกข้อมูล Serial Number และวิธีการที่ใช้ทำลายข้อมูล
2) การบริหารจัดการการเข้ารหัสข้อมูล (Cryptography) ประกอบด้วย
1) กำหนดมาตรฐานและระเบียบวิธีปฏิบัติการบริหารจัดการการเข้ารหัสข้อมู
ล ครอบคลุม ขอบเขตหน้าที่ ความรับผิดชอบของหน่วยงานที่เกี่ยวข้อง
วิ ธ ี ก ารเข้ า รหั ส ข้ อ มู ล (Cryptographic Algorithm) ที ่ ส อดคล้ อ ง
ตามระดั บ ความสำคั ญ ของข้ อ มู ล และการบริ ห ารจั ด การกุ ญ แจ
เข้ารหัสข้อมูล (Key Management)
หน้าที่ 3-72
2) กำหนดให้มีการเข้ารหัสข้อมูลสำคัญและช่องทางการสื่อสารที่ใช้รับส่ง
ข้อมูลสำคัญกับภายนอก
3) วิธีการเข้ารหัสข้อมูล
ควรใช้มาตรฐานการเข้ารหัสข้อมูลที่เชื่อถือได้และเป็นมาตรฐานสากล
อาทิ การเข้ารหัสข้อมูลแบบสมมาตร (อาทิ AES) การเข้ารหัสข้อมูล
แบบสมมาตร (อาทิ Public Key Cryptography) เป็นต้น โดยมีการ
ทบทวนประสิทธิภาพของวิธีการเข้ารหัสข้อมูลอย่างสม่ำเสมอ เพื่อให้
มั่นใจว่าวิธีการเข้ารหัสข้อมูล ที่ใช้งานยังคงมีความแข็งแรงเพียงพอ
4) การบริ ห ารจั ด การกุ ญ แจเข้ า รหั ส ข้ อ มู ล ( Key Management)
ควรกำหนดกระบวนการที ่ ม ี ค วามรั ด กุ ม ปลอดภั ย ครอบคลุ ม ตั ้ ง แต่
การสร้างและติดตั้ง การจัดเก็บ และการยกเลิกกุญแจเข้ารหัสข้อมูล
5) การสร้างและติดตั้งกุญแจเข้ารหัสข้อมูล
▪ มีการควบคุมสภาพแวดล้อมในการสร้างรหัสที่มีความรัดกุมปลอดภัย
อาทิ เลือกใช้ผู้ให้บริการออกใบรับรอง (Certification Authority)
ที ่ น ่ า เชื ่ อ ถื อ มี ข ั ้ น ตอนการทำลายหลั ก ฐานที ่ ใ ช้ ห ลั ง จากสร้ า ง
กุญแจแล้วเสร็จ
▪ กุญแจเข้ารหัส ข้อมูล จะต้ องไม่มี พนั กงานหรื อบุ คคลใดบุ คคลหนึ่ ง
รู้รหัสทั้งหมด
▪ กำหนดขนาดของกุญแจเข้ารหัสข้อมูลที่มีความยาวเพียงพอในการป้อง
กันการถูกถอดรหัส อาทิ การถูกโจมตีแบบ brute force เป็นต้น
▪ การแลกเปลี่ยนกุญแจต้องผ่านกระบวนการและช่องทางที่ปลอดภัย
▪ กำหนดไม่ให้ใช้กุญแจเข้ารหัสข้อมูลเดียวกันกับหลายระบบงาน
หน้าที่ 3-73
6) การจัดเก็บกุญแจเข้ารหัสข้อมูล
▪ มีการรักษาความปลอดภัยของกุญแจเข้ารหัสข้อมูลทั้งด้าน physical
และ logical โดยใช้อุปกรณ์รักษาความปลอดภัย HSM หรืออุปกรณ์
ที่ทำหน้าที่ในลักษณะเดียวกัน
▪ มีการสำรองข้อมูลกุญแจเข้ารหัสข้อมูล โดยวิธีการเก็บรักษากุญแจ
เข้ารหัสข้อมูลชุดสำรองต้องมี การรักษาความปลอดภัยในระดับเดียว
กับกุญแจเข้ารหัสข้อมูลชุดหลัก
7) การเปลี่ยนและเพิกถอนกุญแจเข้ารหัสข้อมูล
▪ กำหนดเกณฑ์และแนวทางในการเปลี่ยนและเพิกถอนกุญแจเข้ารหัส
ข้อมูล อาทิ กรณีกุญแจหมดอายุล้าสมัย หรือไม่ปลอดภัย เป็นต้น
▪ กำหนดกระบวนการทำลายกุญแจ
โดยต้องมั่นใจว่าไม่สามารถนำกุญแจนั้นมาใช้งานได้อีก
หน้าที่ 3-74
3.5.4.3 การรักษาความมั่งคงปลอดภัยในการปฏิบัติงานด้ านเทคโนโลยีส ารสนเทศ (IT
Operations Security)
ประกอบด้วยการบริหารจัดการในด้านต่าง ๆ ดังนี้
1) การบริหารจัดการการเปลี่ยนแปลง (Change Management)
มีแนวทางดำเนินการดังต่อไปนี้
1) กำหนดมาตรฐานและระเบียบวิธีปฏิบัติการบริหารจัดการการเปลี่ยนแปลง
อย่างเป็นลายลักษณ์อักษร เพื่อควบคุมการเปลี่ยนแปลงโครงสร้างพื้นฐาน
ด้านเทคโนโลยีสารสนเทศให้มีความรัดกุมเพียงพอ อาทิ การนำระบบขึ้น
ใช้งานจริง การตั้งค่าระบบ การติดตั้ ง Patch บนระบบที่ให้บริการจริง
เป็นต้น
2) กำหนดบทบาทหน้าที่และความรับผิดชอบของผู้บริหารที่ได้รับมอบหมาย
หรือคณะกรรมการบริหารจัดการการเปลี่ยนแปลง (Change Advisory
Board: CAB) ซึ ่ ง ควรประกอบด้ ว ยผู ้ บ ริ ห ารจากหน่ ว ยงาน
เทคโนโลยี ส ารสนเทศ และหน่ ว ยงานผู ้ ใ ช้ ง านเทคโนโลยี ส ารสนเทศ
ที่เกี่ยวข้องเพื่อทำหน้าที่ประเมินผลกระทบและพิจารณาเหตุผลความจำเป็
นก่ อ นอนุ ม ั ต ิ ใ ห้ ด ำเนิ น การเปลี ่ ย นแปลงระบบ ป้ อ งกั น การแก้ ไ ข
เปลี ่ ย นแปลง โดยไม่ ไ ด้ ร ั บ อนุ ญ าตและไม่ ใ ห้ เ กิ ด ผลกระทบ
ที่อาจเกิดกับระบบที่เกี่ยวข้อง โดยครอบคลุมอย่างน้อย ดังนี้
▪ ผลการประเมิ น ความเสี ่ ย งและผลกระทบของการเปลี ่ ย นแปลง
โดยมี ห น่ ว ยงานเจ้ า ของระบบและ ผู ้ ม ี ห น้ า ที ่ เ กี ่ ย วข้ อ งทำการ
ประเมิ น องค์ ป ระกอบที ่ เ กี ่ย วข้ อ ง ได้ แ ก่ ระบบโครงสร้ า งพื ้นฐาน
เครื อ ข่ า ยสื ่ อ สาร และการเชื ่ อ มต่ อ กั บ ระบบอื ่ น เพื ่ อ ให้ ม ั ่ น ใจ
ได้ว ่าการเปลี่ยนแปลงนั้น ไม่กระทบต่อการรักษา ความปลอดภัย
ความถูกต้องเชื่อถือได้และความพร้อมใช้ของระบบ
▪ ผลการทดสอบ เพื่อให้มั่นใจว่าระบบได้ผ่านการทดสอบอย่างครบถ้วน
เหมาะสมตาม มาตรฐานและระเบียบวิธีปฏิบัติของ อ.ส.ค.
▪ ข้ อ จำกั ด หรื อ ปั ญ หาต่ า ง ๆ ที ่ พ บในระหว่ า งการทดสอบได้ รั บ
การแก้ไขอย่างเหมาะสม
▪ แผนย้อนกลับ (Roll Back Plan) กรณีที่ทำการเปลี่ยนแปลงไม่สำเร็จ
เพื่อรองรับปัญหาขัดข้อง ระหว่างการเปลี่ยนแปลง
▪ ตารางเวลาการเปลี ่ ย นแปลงในภาพรวม (Change Calendar)
เพื่อบริหารทรัพยากรและลดความเสี่ยงหรือผลกระทบที่อาจเกิดขึ้น
นอกจากนี้ผู้บริหารที่ได้รั บมอบหมายหรือ CAB ควรมีการติดตามผล
หลั ง การเปลี ่ ย นแปลงระบบ (Post Implementation Review)
เพื่อให้มั่นใจได้ว่าการเปลี่ยนแปลงนั้นเป็นไปตามวัตถุประสงค์ที่กำหนด
3) ผู้ที่เกี่ยวข้องในกระบวนการบริห ารจัดการการเปลี่ยนแปลงควรมี การ
แบ่ ง แยกหน้ า ที ่ อ ย่ า งเหมาะสม (Segregation of Duties) เพื ่ อ ไม่ ใ ห้
บุคคลใดบุคคลหนึ่งสามารถปฏิบัติงานได้ตั้งแต่ต้นจนจบกระบวนการ อาทิ
หน้าที่ 3-75
ผู้มีสิทธิ์ร้องขอ ผู้ที่มีอำนาจในการอนุมัติการเปลี่ยนแปลง ผู้ที่สามารถ
ดำเนินการเปลี่ยนแปลงระบบ เป็นต้น
4) มีหลักเกณฑ์ในการจัดประเภทการเปลี่ยนแปลงระบบตามความเสี่ยงและค
วามสำคั ญ ที ่ ช ั ด เจน อาทิ การเปลี ่ ย นแปลงมาตรฐานที ่ ไ ด้ รั บ
อนุ ม ั ต ิ เ ป็ น การทั ่ ว ไป (Standard Change) การเปลี ่ ย นแปลงที ่ ต ้ อ ง
ขออนุ ม ั ต ิ ต ามกระบวนการปกติ ( Normal Change) และการ
เปลี่ยนแปลงที่ต้องดำเนินการอย่างเร่งด่วน (Emergency Change) โดย
อ.ส.ค. ควรกำหนดกระบวนงานและขั้นตอนในการจัดการการเปลี่ยนแปลง
ตามแต่ละประเภทอย่างเหมาะสม
5) กรณีการเปลี่ยนแปลงที่ต้องดำเนินการอย่างเร่งด่วน ควรมีกระบวนงาน
ในการพิจารณาความเสี่ยง และผลกระทบ รวมถึงขออนุมัติจากผู้บริหารที่
ได้ ร ั บ มอบหมายให้ ส ามารถตั ด สิ น ใจได้ ก รณี เ ร่ ง ด่ ว น โดยภายหลั ง
ดำเนินการให้มี การรายงานผู้บริหารที่เกี่ยวข้องและ CAB ได้รับทราบ
โดยเร็ว
6) คำขอการเปลี ่ ย นแปลง (Change Request) ควรได้ ร ั บ การอนุ ม ั ติ
จากหน่ ว ยงานเจ้ า ของระบบ (System Owner) เพื ่ อ ให้ ม ั ่ น ใจ
ได้ว่าการขอเปลี่ยนแปลงได้รับการพิจารณาความจำเป็นอย่างเหมาะสมจา
กหน่วยงานเจ้าของระบบ
7) มี ร ะบบหรื อ ทะเบี ย นในการจั ด เก็ บ คำขอเปลี ่ ย นแปลงและเอกสาร
รายละเอียดที่เกี่ยวข้องเพื่อใช้ควบคุม การปฏิบัติงานตั้งแต่ต้นจนจบ
กระบวนการ และสามารถใช้ในการติดตามและสอบทานการปฏิบัติงานได้
8) มี ก ารจั ด เก็ บ การเปลี ่ ย นแปลงของโครงสร้ า งพื ้ น ฐานด้ า นเทคโนโลยี
สารสนเทศ (Version Control) อาทิ การนำระบบขึ ้ น ใช้ ง านจริ ง
การตั้งค่าระบบ การติดตั้ง Patch บนระบบที่ให้บ ริ การจริง เป็น ต้ น
เพื่อควบคุม ความเสี่ยงในการเปลี่ยนแปลงและลด
ข้อผิดพลาดที่อาจเกิดขึ้น
9) มีการประเมินผลกระทบหรือทำการทดสอบบนระบบที่มีสภาพแวดล้อม
ใกล้เคียงกับระบบที่ให้บริการจริง ก่อนนำไปตั้งค่าบนระบบที่ให้บริการจริง
เพื่อลดความเสี่ยงและผลกระทบที่อาจเกิดขึ้น
2) การบริหารจัดการการตั้งค่าระบบ (System Configuration Management)
มีแนวทางการดำเนินงานดังต่อไปนี้
1) จัดทำเอกสาร Minimum Baseline Standard เพื่อใช้เป็นมาตรฐาน
การตั้งค่าของระบบปฏิบัติการ ระบบฐานข้อมูล และอุปกรณ์เครือข่าย
สื่อสารต่าง ๆ อย่างเป็นลายลักษณ์อักษร โดยมีการทบทวนปรับปรุ ง
เอกสารให้เป็นปัจจุบันอย่างสม่ำเสมอ
2) การเปลี ่ ย นแปลงการตั ้ ง ค่ า บนระบบที ่ ใ ห้ บ ริ ก ารจริ ง ต้ อ งผ่ า น
กระบวนการบริ ห ารจั ด การการเปลี ่ ย นแปลง ที ่ อ.ส.ค. กำหนด
เพื่อป้องกันความเสี่ยงหรือข้อผิดพลาดในการปฏิบัติงาน
หน้าที่ 3-76
3) มี ก ารจั ด เก็ บ การเปลี ่ ย นแปลงของการตั ้ ง ค่ า ระบบของทุ ก อุ ป กรณ์
ระบบและระบบงาน (System Configuration Version Control)
โดยมีการรักษาความปลอดภัยที่รัดกุมเพียงพอ
4) มีการสอบทานการตั้งค่าจากหน่วยงานที่มีหน้าที่ควบคุมดูแลความปลอดภั
ยหรื อ ความเสี ่ ย งด้ า นเทคโนโลยี อ ย่ า งสม่ ำ เสมอ เพื ่ อ ให้ ส อดคล้ อ ง
ตามมาตรฐานของ อ.ส.ค.
5) กรณีมีความจำเป็นต้องตั้งค่าที่ไม่เป็นไปตามเอกสาร Minimum Baseline
Standard ควรผ่ า นกระบวนการขออนุ ม ั ต ิ ย กเว้ น (Exception)
เพื่อประเมินความเสี่ยงและพิจารณาแนวทางควบคุมความเสี่ยงที่เพียงพอเ
หมาะสมก่อนดำเนินการ
3) การบริหารจัดการ Patch (Patch Management)
มีแนวทางการดำเนินงานดังต่อไปนี้
1) กำหนดมาตรฐานและระเบียบวิธีปฏิบัติในกระบวนการบริหารจัดการ
Patch ที ่ ค รอบคลุ ม การตรวจสอบความถู ก ต้ อ งของ Patch
และการประเมิ น ความเสี ่ ย งและความจำเป็ น ในการติ ด ตั ้ ง Patch
ใหม่จากผู้ผลิตอย่างเหมาะสมทันการณ์
2) มี ก ารจั ด เก็ บ การเปลี ่ ย นแปลงการติ ด ตั ้ ง ของทุ ก อุ ป กรณ์ ระบบและ
ระบบงาน (Patch Version Control) โดยมีการรักษาความปลอดภัย
ที่รัดกุมเพียงพอ
3) มีกระบวนการทดสอบ Patch ที่ออกใหม่ทุกครั้งก่อนนำไปติดตั้งบนระบบ
ที่ให้บริการจริง
4) การติ ด ตั ้ ง Patch บนระบบที ่ ใ ห้ บ ริ ก ารจริ ง ต้ อ งผ่ า นกระบวนการ
บริหารจัดการการเปลี่ยนแปลงที่ อ.ส.ค. กำหนด เพื่อป้องกันความเสี่ยง
หรือข้อผิดพลาดในการปฏิบัติงาน
5) มีการทบทวนและปรับปรุงกระบวนการบริหารจัดการ Patch อย่างสม่ำ
เสมอ เพื่อให้มั่นใจได้ว่า อ.ส.ค. สามารถทดสอบและติดตั้ง Patch ด้านการ
รั ก ษาความปลอดภั ย ได้ ท ั น ต่ อ สถานการณ์ ท ี ่ เ ปลี ่ ย นไปและสามารถ
รองรับความเสี่ยงที่เพิ่มขึ้นได้อย่างรวดเร็ว
4) การจัดเก็บข้อมูลบันทึกเหตุการณ์ (Logging)
มีแนวทางการดำเนินงานดังต่อไปนี้
1) มี ก ารจั ด เก็ บ ข้ อ มู ล บั น ทึ ก เหตุ ก ารณ์ ข องเครื ่ อ งคอมพิ ว เตอร์ แ ม่ ข ่ า ย
ระบบงาน อุ ป กรณ์ เ ครื อ ข่ า ยสื ่ อ สารที ่ ส ำคั ญ ด้ ว ยวิ ธ ี ก ารที ่ ป ลอดภั ย
โดยมีรายละเอียดที่ครบถ้วนเพียงพอที่จะใช้เป็นหลักฐานในการตรวจสอบ
ที่สามารถระบุตัวบุคคลผู้กระทำได้ และจัดเก็บย้อนหลังเป็นระยะเวลา
อย่างน้อย 90 วัน หรือตามกฎหมายที่เกี่ยวข้องกำหนด
2) มี ก ารใช้ ร ะบบในการควบคุ ม ค่ า เวลาของเครื ่ อ งแม่ ข ่ า ย ระบบงาน
อุ ป กรณ์ เ ครื อ ข่ า ยสื ่ อ สารให้ ต รงกั บ เครื ่ อ งแม่ ข ่ า ย Network Time
Protocol : NTP (Clock Synchronization) เพื่อให้ค่ าเวลาในการ
หน้าที่ 3-77
บันทึกเหตุการณ์มีความถูกต้องในลักษณะ Real-Time ซึ่งเครื่องแม่ข่าย
NTP ต้องรับสัญญาณนา ฬิกาจากแหล่งที่มีความน่าเชื่อถือ
3) ข้อมูลการบันทึกเหตุการณ์ของอุปกรณ์สำคัญควรจัดเก็บไว้ที่เครื่องแม่ข่าย
ที่แยกเฉพาะ อย่างน้อยครอบคลุ ม Access Log และ Activity Log
โดยมี ก ารรั ก ษาความปลอดภั ย ที ่ ร ั ด กุ ม เพี ย งพอในการป้ อ งกั น การ
เปลี่ยนแปลง แก้ไข หรือทำลาย
4) มีการสอบทานบันทึกการเข้าถึง (Access Log) และบันทึกการดำเนินงาน
(Activity Log) ของผู้ปฏิบัติงานด้านเทคโนโลยีสารสนเทศ ที่มีสิทธิ์สูง
อย่างสม่ำเสมอ อาทิ System Administrator หรือ System Operator
เป็นต้น เพื่อให้มั่นใจได้ว่าผู้ปฏิบัติงานเข้าถึงและปฏิบัติงานตามขอบเขต
หน้าที่ที่ได้รับมอบหมาย
5) การติดตามดูแลระบบและเฝ้าระวังภัยคุกคาม (Security Monitoring)
มีแนวทางการดำเนินงานดังต่อไปนี้
1) กำหนดมาตรฐานและระเบียบวิธีปฏิบัติในการติดตามดูแลระบบและเฝ้าระ
วั ง ภั ย คุ ก คาม เพื ่ อ ให้ ม ี ก ารติ ด ตามดู แ ลความปลอดภั ย ของระบบ
อย่างต่อเนื่อง
2) กำหนดกระบวนงานหรือเครื่องมือในการตรวจจับเหตุการณ์ผิดปกติที่
กระทบต่อความปลอดภัยของระบบที่สำคัญอย่างทันท่วงที ครอบคลุ ม
ระบบงานและระบบเครือข่ายสื่อสารทั้งในเชิง Physical และ Logical
เพื่อให้ร ับทราบความผิดปกติห รือภัยคุกคาม และสามารถดำเนินการ
ป้องกันหรือรับมือได้อย่างเหมาะสม
3) มีกระบวนงานหรือเครื่องมือในการรับข้อมูลจากแหล่งข้อมูลที่เชื่อถือได้
มีการวิเคราะห์และจัดการข้อมูล ภัยคุกคามที่อาจเกิดขึ้นอย่างต่อเนื่อง
ครอบคลุม ลักษณะการโจมตี ความเป็นไปได้ที่จะเกิดเหตุการณ์ ภัยคุกคาม
รวมถึงวิธีการรับมือกับภัยคุกคามนั้น เพื่อนำมาใช้สนับสนุนการรับมือ
ต่อภัยคุกคามเครือข่าย Internet
4) กำหนดให้มีผู้รับผิดชอบในการประสานงานแลกเปลี่ยนข้อมูลภัยคุกคาม
ระหว่ า ง อ.ส.ค. และหน่ ว ยงาน ที ่ เ กี ่ ย วข้ อ ง รวมทั ้ ง มี ก ระบวนการ
และช่ อ งทางในการรายงาน แลกเปลี ่ ย น ติ ด ตาม เพื ่ อ ป้ อ งกั น
รับมือและแก้ไขภัยคุกคาม
5) ในกรณีที่พบภัยคุกคามที่ส่งผลกระทบอย่างมีนัยสำคัญ อ.ส.ค. ควรจัดให้มี
การรายงานผู้บริหารหรือคณะกรรมการที่เกี่ยวข้อง รวมทั้งมีการรายงาน
หน่วยงานกำกับดูแลที่เกี่ยวข้อง รวมทั้งจัดให้มีกระบวนการ ตรวจพิสูจน์
พยานหลักฐานทางดิจิทัล (Digital Forensic) โดยผู้ที่มี ความเชี่ยวชาญ
เพื่อให้ทราบสาเหตุ หรือช่องโหว่ของระบบ และสามารถดำเนินการปิด
ช่องโหว่และป้องกันความเสี่ยงที่อาจเกิดขึ้นอีก
6) การบริ ห ารจั ด การช่ อ งโหว่ แ ละการทดสอบเจาะระบบ (Vulnerability
Management and Penetration Test) มีแนวทางการดำเนินงานดังต่อไปนี้
หน้าที่ 3-78
1) มีกระบวนงานและเครื่ องมือ ในการประเมินช่ องโหว่ (Vulnerability
Assessment) โดย อ.ส.ค. ควรกำหนดขอบเขตและความถี ่ ข อง
การประเมิ น ช่ อ งโหว่ ใ ห้ ค รอบคลุ ม ทุ ก ระบบงานอย่ า งสม่ ำ เสมอตาม
ระดับความเสี่ยง สำหรับระบบบงานสำคัญควรจัดทำอย่างน้อยปีละ 1 ครั้ง
และเมื่อมีการเปลี่ยนแปลงอย่างมีนัยสำคัญ
2) มีการรายงานผลการประเมินช่องโหว่ไปยังผู้รับผิดชอบ รวมทั้งมีการ
ติ ด ตามการดำเนิ น การปรั บ ปรุ ง แก้ ไ ข และนำเสนอความคื บ หน้ า
การดำเนินงาน
3) มี ก ารทดสอบเจาะระบบ (Penetration Test) โดยผู ้ เ ชี ่ ย วชาญ
ที่มีความอิส ระ ครอบคลุมระบบงานและระบบเครือข่ายกับระบบที่ มี
การเชื่อมต่อกับเครือข่ายสาธารณะ (Internet Facing) อย่างน้อยปีละ 1
ครั้ง และเมื่อมีการเปลี่ยนแปลงอย่างมีนัยสำคัญ
4) มี ก ารรายงานผลการทดสอบเจาะระบบไปยั ง ผู ้ ร ั บ ผิ ด ชอบ รวมทั ้ ง มี
การติ ด ตามการดำเนิ น การปรั บ ปรุง แก้ ไ ข และนำเสนอความคื บหน้า
การดำเนินการต่อคณะกรรมการหรือผู้บริหารที่ได้รับมอบหมาย
5) มีกระบวนงานรวบรวมและวิเคราะห์ช่องโหว่ทางด้านเทคนิคที่ตรวจพบ
เพื่อกำหนดเป็นมาตรการรักษาความมั่นคงปลอดภัยของระบบงานที่จะมี
การพัฒนาในอนาคต
7) การสำรองข้อมูล (Data Backup)
มีแนวทางการดำเนินงานดังต่อไปนี้
1) กำหนดมาตรฐานและระเบี ย บวิ ธ ี ป ฏิ บ ั ต ิ ก ารสำรองข้ อ มู ล เพื ่ อ ให้ มี
ข้อมูลสำรองพร้อมใช้และมีความปลอดภัย โดยครอบคลุมอย่างน้อย
▪ วิธีการ เทคโนโลยีและรอบระยะเวลาที่ใช้ในการสำรองข้อมูล โดยควร
สอดคล้ อ งกั บ เป้ า หมายระยะเวลาสู ง สุ ด ที ่ ย อมให้ ข ้ อ มู ล เสี ย หาย
(Recovery Point Objective : RPO) ที่กำหนด
▪ รอบระยะเวลาและวิธีการทดสอบความพร้อมใช้ของข้อมูลสำรอง
2) มี ก ระบวนการสำรองทั ้ ง ระบบ (Full Backup) ทุ ก ครั ้ ง ภายหลัง จาก
ที ่ ม ี ก ารเปลี ่ ย นแปลงระบบปฏิ บ ั ต ิ ก าร และระบบงาน เพื ่ อ ให้ ร ะบบ
สำรองมีความเป็นปัจจุบัน
3) มีระบบหรือทะเบียนควบคุมการจัดเก็บและเรียกใช้งานสื่อบันทึกข้อมูล
ตามประเภทของสื่อที่จัดเก็บ โดยมีการระบุข้อมูล ชื่อ วันที่ และช่วงเวลา
ที่จัดเก็บ ที่สามารถติดตามตรวจสอบได้
4) มีการจัดเก็บสื่อบันทึกข้อมูลสำรองไว้นอกศูนย์คอมพิวเตอร์หลักหรือนอก
สถานที่ปฏิบัติงานหลัก โดยมีการรักษาสภาพแวดล้อมและการควบคุม
ความปลอดภั ย ในการเข้ า ถึ ง ข้ อ มู ล ที ่ จ ั ด เก็ บ ไว้ เที ย บเคี ย งกั บ
ศูนย์คอมพิวเตอร์หลัก
หน้าที่ 3-79
5) จัดให้มีการสอบทานการสำรองข้อมูล เพื่อให้มั่นใจว่ามีการสำรองข้อมูล
ครบถ้ ว นถู ก ต้ อ งพร้ อ มใช ้ ง าน และปลอดภ ั ย ตามมาตรฐ า น
และระเบียบวิธีปฏิบัติของ อ.ส.ค.
8) การรักษาความปลอดภัยในอุปกรณ์ที่ใช้ปฏิบัติงาน (Endpoint Security)
1) กำหนดมาตรฐานและระเบี ย บวิ ธ ี ป ฏิ บ ั ต ิ ก ารรั ก ษาความปลอดภั ย ใน
อุป กรณ์ที่ใช้ปฏิบัติงานเป็นลายลักษณ์อั กษร ทั้งอุปกรณ์ของ อ.ส.ค.
และอุปกรณ์ส่วนตัว (Bring Your Own Device : BYOD) อาทิ Personal
Computer, Notebook, Tablet, Smartphone, Removable Media
เป็ น ต้ น เพื ่ อ ให้ อ.ส.ค. มี แ นวทางที ่ ใ ช้ ใ นการควบคุ ม ความเสี ่ ย ง
จากการใช้งานอุปกรณ์ดังกล่าว
2) กำหนด Security Baseline สำหรับอุปกรณ์ที่ใช้ปฏิบัติงานของ อ.ส.ค.
เพื่อป้องกันความเสี่ยงที่อุปกรณ์เหล่านั้ นอาจเป็นช่องทางในการแพร่
กระจายของโปรแกรมไม่ประสงค์ดี (Malware) และการรั่วไหลของข้อมูล
สำคัญตามระดับความเสี่ยงที่เหมาะสม โดยอย่างน้อยครอบคลุม ดังนี้
▪ ติดตั้งระบบปฏิบัติการและโปรแกรมพื้นฐานที่ใช้ในการปฏิบัติงานบน
เครื ่ อ งคอมพิ ว เตอร์ (Personal Computer, Noteb ook)
โดยมีกระบวนงานหรือเครื่องมือในการควบคุมและติดตามไม่ให้ผู้ใช้
งานสามารถติดตั้งโปรแกรมอื่น ๆ นอกเหนือจากที่ อ.ส.ค. กำหนด
▪ ติดตั้งโปรแกรมรักษาความปลอดภัย อาทิ anti-Virus/ anti-malware,
Host-based Intrusion Prevention System (HIPS) เป็ น ต้ น
โดยมีการปรับปรุงประสิทธิภาพของการป้องกันโปรแกรม ไม่ประสงค์ดี
(Malware) ให้ เ พี ย งพอและเป็ น ปั จ จุ บ ั น เพื ่ อ ให้ เ ท่ า ทั น ในการ
ป้องกันภัยคุกคามใหม่ ๆ
▪ ควบคุมไม่ให้มีการจัดเก็บข้อมูลที่มีระดับชั้นความลับสูงสุดในเครื่อง
คอมพิวเตอร์ของผู้ใช้งาน แต่หากมีความจำเป็นต้องจัดเก็บ ต้องมีการ
รักษาความปลอดภัยที่รัดกุมเพียงพอ อาทิ มีการเข้ารหัส เป็นต้น
▪ มีกระบวนงานหรือเครื่องมือในการตรวจจับ (Detect) คัดกรอง (Filter)
สกัดกั้น (Block) เพื่อป้องกันข้อมูลสำคัญรั่ว ไหล (Data Leakage
Prevention : DLP)
▪ จำกัดการเข้าถึง Shared Drive หรือ Shared Folder ตามความจำเป็น
ในการใช้งานเท่านั้น
▪ การควบคุ ม การใช้ ง านอิ น เตอร์ เ น็ ต โดย อ.ส.ค. ควรมี เ ครื ่ อ งมื อ
ในการควบคุมให้อุปกรณ์ที่สามารถเชื่อมต่ออินเตอร์เน็ตเข้าถึงเฉพาะ
เว็บไซต์ที่ได้รับอนุญาตเท่านั้น รวมถึงมีการจำกัดการดาวน์โหลดหรือ
อัพโหลดข้อมูลจากอินเตอร์เน็ต
▪ การควบคุมการใช้สื่อบันทึกข้อมูลพกพา (Removable Media) อาทิ
กำหนดแนวทางการอนุญาตให้ใช้งาน Universal Serial Bus (USB)
หรือ External Harddisk เป็นต้น
หน้าที่ 3-80
▪ การควบคุมการใช้ Email อาทิ กำหนดแนวทางการใช้งาน Email
เป็นต้น
3) มีกระบวนงานบริหารจัดการอุปกรณ์ส่วนตัว (Bring Your Own Device :
BYOD) ตั้งแต่การลงทะเบียน การต่ออายุ และการยกเลิกการใช้งาน BYOD
อย่างน้อยครอบคลุมตามรายละเอียดดังต่อไปนี้
▪ การควบคุ ม การใช้ BYOD ในการเข้ า ถึ ง ระบบเครื อ ข่ า ยสื ่ อ สาร
ระบบงานและข้อมูล ของ อ.ส.ค.
▪ มี ก ระบวนการตรวจสอบ วิ เ คราะห์ และติ ด ตามความเสี ่ ย ง
ของอุปกรณ์ที่นำมาใช้งานใน อ.ส.ค.
▪ กำหนดรหัสผ่านเพื่อใช้ในการล็อคหรือปลดล็อคในการเข้าถึงอุปกรณ์
ส่วนตัว
▪ กรณี เ ครื ่ อ งคอมพิ ว เตอร์ (Personal Computer, Notebook)
ต้องติดตั้ง anti-virus/ anti-malware หรือโปรแกรมตามที่ อ.ส.ค.
กำหนด
▪ ไม่อนุญาตให้อุปกรณ์โ ทรศัพท์เคลื่อนที่ (Tablet, Smartphone)
ที่ถูกปรับแต่ง (Rooted หรือ Jailbroken) ลงทะเบียนใช้งาน BYOD
▪ ใช้วิธีการพิสูจน์ตัวตนอุปกรณ์ที่เชื่อถือได้ขององค์กร อาทิ Trusted
Root Certification Authorities, Digital Certificate เป็นต้น
หน้าที่ 3-81
Requirements and Objectives) ประกอบด้ ว ยกระบวนงานต่ า ง ๆ ที ่ เ กี ่ ย วข้ อ งกั บ การบริ ก ารระบบ
เทคโนโลยีดิจิทัลให้มีประสิทธิภาพ โดยจะใช้ควบคู่กับกรรมวิธีด้านการจัดการคุณภาพ อาทิ การปรับปรุง
กระบวนงานทางธุรกิจ (Business Process Improvement - BPI) หรือ การจัดการคุณภาพโดยรวม (Total
Quality Management - TQM) เป็ น ต้ น ทั ้ ง นี ้ เ พื ่ อ ให้ ก ารบริ ห ารจั ด การทางด้ า นเทคโนโลยี ด ิ จ ิ ทั ล
สามารถตอบสนองต่อความต้องการเชิงธุรกิจ (Business Objectives) ผู้ใช้งาน (Users) รวมถึงลูกค้าปลายทาง
(End Customers) ด้ว ยระดับ คุณภาพการบริการ (Service Level) ที่ดี ปัจจุบัน ITSM มีห ลายกรอบ
(Framework) ให้เลือกนำมาประยุกต์ใช้งานในองค์กรดังตัวอย่าง อาทิ
1) ITIL Framework ของ OGC (Office of Government Commerce) CobiT
2) Val IT Framework ของ ISACA
3) ITUP ของ IBM
4) ASL ของ Netherlands
5) MOF ของ Microsoft เป็นต้น
โดยมี อ งค์ ก รสมาชิก (Forum) ด้ า น ITSM หรื อ “IT Service Management
Forum” ในการให้การสนับสนุนด้านการพัฒนาและเผยแพร่ข้อมูล ITIL Framework และ มาตรฐาน ISO/IEC
20000 ซึ่งใช้เป็นมาตรฐานในการตรวจสอบ ITSM ด้วย
หน้าที่ 3-82
ในการกำหนดขั ้ น ตอนของการบริ ห ารจั ด การงานบริ ก ารเทคโนโลยี ด ิ จ ิ ท ั ล เพื่ อ
สนับสนุนความต้องการและเป้าหมายทางธุรกิจขององค์กร (Business Requirements and Objectives)
ตามกรอบการดำเนินงานของ IT Service Management (ITSM Framework) ดังตัวอย่างที่แสดงในภาพที่
3.6-1 ซึ่งจะมีการกำหนดขั้นตอนหลักไว้ 3 ขั้นตอน ได้แก่
(1) การกำหนดกลยุทธ์และแผนงานการให้บริการ (Service Strategy and
Planning) ซึ่งจะเป็นการกำหนดนโยบาย ออกแบบการบริการ และกำหนดแนวทางปฏิบัติพร้อมแผนงาน
เพื ่ อ ให้ ก ารบริ ก ารที ่ ม ีค ุ ณ ภาพให้เ ป็น ไปพั นธะสั ญ ญาการให้ บ ริ ก ารเทคโนโลยี ด ิจ ิท ั ล (Service Level
Agreement - SLA)
(2) การส่ ง มอบงานบริ ก าร (Service Introduction) เป็ น การดำเนินการ
เพื่อส่งมอบการบริการให้แก่ผ ู้ใช้งานและผู้ มีส ่ว นได้ส ่ว นเสียให้ไ ด้ผ ลลัพธ์ ของการบริการที่ดีตาม SLA
โดยการออกแบบ และติ ด ตั ้ ง ระบบงานบริ ก ารต่ า ง ๆ พร้ อ มจั ด ตั ้ ง สำนั ก งานเพื ่ อ การบริ ห ารจั ด การ
และการให้บริการ
(3) การประกันคุณภาพการบริการ (Service Assurance) เป็นการกำหนด
กิจกรรมการปฏิบัติงานเพื่อสนับสนุนการให้บริการระบบเทคโนโลยีดิจิทัล อาทิ Service Desk Chatbot หรือ
Self Help Resource เป็นต้น โดยมีศูนย์กลางการให้บริการเพื่อให้บริการสนับสนุนตามระดับการบริการ
(Level 0 ถึง Level 3) และการจัดการเหตุ (Incident Management) รวมทั้งการกู้คืนข้อมูล (Disaster
Recovery) กรณีการเกิดเหตุขัดข้องของระบบ
3.6.1.2 IT Infrastructure Library (ITIL) เป็ น องค์ ค ว า มร ู ้ ( Open Knowl e d g e )
ที่ถูกพัฒ นาโดย Office for Government Commerce (OGC) ของประเทศอั งกฤษ ที่มีการรวบรวม
เป็นเอกสารที่อธิบายถึงแนวปฏิบัติที่ดี (Best Practices) เพื่อการบริหารจัดการโครงสร้างของหน่วยงาน
ด้ า นเทคโนโลยี ส ารสนเทศ (IT Infrastructure) ซึ่ ง ITIL จะถู ก ใช้ เ ป็ น แนวทางในการจั ด การ
ด้ า นโครงสร้ า งพื ้ น ฐานเทคโนโลยี ส ารสนเทศหรื อ เทคโนโลยี ด ิ จ ิ ท ั ล ( IT/Digital Infrastructure)
ที่เป็นการกำหนดแนวทาง (“What”) ที่เป็นระเบียบวิธีการปฏิบัติที่ใช้เพื่อการบริหารจัดการงานบริก าร
เทคโนโลยีดิจิทัลในการบริหารจัดการงานบริการเทคโนโลยีดิจิทัลในทุกระดับองค์กร โดยโครงสร้างของ ITIL
(Version 3) ดังแสดงในภาพที่ 3.6-2
หน้าที่ 3-83
ภาพที่ 3.6-2 โครงสร้างของ IT Infrastructure Library (ITIL) Version 3 (ITIL V3)
3.6.1.3 กลยุ ท ธ์ ด ้ านบริ ก าร (Service Strategy) ตาม Core of ITIL V3 เป็ น กลยุทธ์
ในด้านบริการเป็น การกำหนดแนวทางโดยยึดหลักการจัดการด้านการบริการ (Service Management)
สำหรั บ เป็ น พื ้ น ฐานในการกำหนดนโยบาย แนวทางปฏิ บ ั ต ิ แ ละกระบวนงานในการบริ ห ารการบริ ก าร
อย่างครบวงจรให้เกิดผลลัพธ์ของวิธีการบริการ การดูแลรักษาและการปรับปรุงระบบการบริการที่ดีที่สุ ด
อย่างต่อเนื่อง โดยส่วนสำคัญของ Service Strategy แบ่งออกเป็น
1) Financial Management การจั ด การด้ า นการบริ ห ารการเงิ น เพื ่ อ รองรั บ
การจัดการทรัพยากรได้อย่างมีประสิทธิภาพ ได้แก่ ทรัพย์ส ินด้านดิจิทัล
และทรัพยากรที่ถูกใช้ในการให้บริการเพื่อสร้างความมั่นใจให้ลูกค้าและรองรับ
แผนการลงทุนที่เหมาะสม
2) Strategy Generation เป็นการกำหนดกลยุทธ์เพื่อให้ฝ่ายบริการทราบเหตุผล
ในการดำเนินงานโครงการต่าง ๆ ที่จำเป็นต่อการบริการงานด้านเทคโนโลยี
ดิจ ิทัล โดยมีการสำรวจยุทธศาสตร์และการกำหนดวัตถุประสงค์ รวมถึง
การวิเคราะห์ข้อมูลการให้บริการของคู่แข่ง เป็นต้น
3) Service Portfolio Management เป็ น การดู แ ลการลงทุ น ที ่ เ กี ่ ย วข้ อ งกั บ
การจั ด การบริ ก ารที ่ ม ี ร ู ป แบบพลวั ต ร (Dynamic) ที ่ ม ี จ ั ด การโดยการ
สร้างมูล ค่าในการบริการระหว่ างหน่ว ยงานต่าง ๆ ภายในองค์กรเพื ่ อ ให้
เกิดประโยชน์สูงสุดในการใช้งานด้านเทคโนโลยีดิจิทัล
4) Demand Management เพื่อให้ผู้รับผิดชอบบริการด้านเทคโนโลยีดิ จิ ทัล
สามารถใช้ทรัพยากรที่มีอยู่ให้ได้อย่างมีประสิทธิภาพมากที่สุด
3.6.1.4 การออกแบบด้ า นบริ ก าร (Service Design) เป็ น แนวทางที ่ เ กี ่ ย วข้ อ งกั บ
การออกแบบกิจกรรมที่จะเกิดขึ้นในกระบวนงานของการให้บริการรวมทั้งการพัฒนากลยุทธ์และวิธีการบริหาร
หน้าที่ 3-84
จัดการระบบบริการโดยเน้นการจัดการความพร้อมให้บริการ (Availability Management) ขีดความสามารถ
ในการให้ บ ริ ก ารอย่ า งรวดเร็ ว และมี ป ระสิ ท ธิ ภ าพ ( Capacity Management) ความสามารถ
ในการให้บริการที่ต่อเนื่อง (Continuity Management) และการบริหารระบบรักษาความปลอดภัย (Security
Management) โดย Service Design แบ่งออกเป็น
1) Service Catalogue Management คื อ การจั ด การข้ อ มู ล รายการบริ การ
(Service Catalog) ที่อธิบายถึงรายละเอียดหน้าที่ ขอบเขตการให้บริการ
สถานะปัจจุบันและจุดที่ให้บริการในด้านต่าง ๆ แก่ผู้ใช้งานและผู้เกี่ยวข้อง
โดยจะบริหารจัดการในด้านข้อมูลที่เกี่ยวข้องกับการผลิตและการจัดเก็บข้อมูล
การปฏิบัติงานด้านการให้บริการที่ถูกต้อง
1) Information Security Management เพื ่ อ ให้ ง านบริ ก าร มี ค วามมั ่ น คง
และปลอดภัยของข้อมูลตามหลัก CIA (C = Confidentiality, I = Integrity,
A = Availability) โดยมีการจัดทำนโยบาย มาตรฐาน และขั้นตอนการปฏิบัติ
เพื่อทราบถึงความเสี่ยงและการลดช่องโหว่จากภัยคุกคามต่าง ๆ ที่มีต่ อ
ระบบเทคโนโลยีดิจิทัล
2) Service Level Management เป็ น การจั ด การและการเจรจาข้ อ ตกลง
ระดับการบริการกับลูกค้าตามเป้าหมายที่ตกลงกันในพันธะสัญญาการให้
บริการเทคโนโลยีดิจิทัล (Service Level Agreement)
3) Availability Management เป็นการกำหนดมาตรการและวิธีการเตรียมความ
พร้อมเพื่อให้เกิดความมั่ นใจว่าโครงสร้างพื้นฐานด้านระบบเทคโนโลยีดิจิทัล
รวมทั ้ ง กระบวนงาน เครื ่ อ งมื อ และอุ ป กรณ์ สิ ่ ง อำนวยความสะดวก
ที ่ ม ี ค วามถู ก ต้ อ ง เหมาะสม และปลอดภั ย สำหรั บ การให้ บ ริ ก ารให้ เ ป็ น
ไปตามตกลง SLA
4) Capacity Management เป็นการจัดการเพื่อให้เกิดความเชื่อมั่นผู้ให้บริการ
สามารถดำเนินการได้ตามที่ต้องการ อาทิ เวลา ความสามารถของระบบ
โดยรองรับ การทำงานได้ทั้งในปัจจุบันและอนาคตตามความต้องการของ
ผู้ใช้งานและลูกค้า
5) IT Service Continuity Management คื อ การจั ด การเพื ่ อ รองรั บ การ
ดำเนินธุรกิจได้อย่างต่อเนื่องและสร้างความมั่นใจในโครงสร้างพื้นฐานและการ
บริการที่สามารถครอบคลุมความต้องการและกำหนดการในการดำเนินธุรกิจ
และสามารถดำเนิ น กิ จ กรรมและธุ ร กรรมต่ า ง ๆ ได้ ต ลอด 24 ชั ่ ว โมง
รวมทั้งสามารถป้องกันหรือลดความเสียหายของธุรกิจอันเนื่องจากภัยพิบัติ
หรือเหตุขัดข้องอื่นใด โดยสร้างความพร้อมของทีม งานและมีแ ผนรั บ มื อ
กับเหตุภัยพิบัติได้อย่างมีประสิทธิภาพ
6) Supplier Management เป็ น การจั ด การเพื ่ อ ให้ ม ั ่ น ใจว่ า ทุ ก สั ญ ญา
ที่ทำกับผู้ขาย (Supplier) จะสนับสนุนความต้องการของธุรกิจและ ผู้ขาย
(Supplier) ทั้งหมดจะต้องปฏิบัติตามสัญญาข้อผูกพันขององค์กร
3.6.1.5 การเปลี ่ ย นผ่ า นด้ า นบริก าร (Service Transition) เป็ น กรอบการดำเนิ นการ
เพื ่ อ ให้ ไ ด้ ผ ลลั พ ธ์ ข องการบริ ก ารที ่ ด ี ท ี ่ ส ุ ด โดยเน้ น ถึ ง กระบวนงานที ่ เ กี ่ ย วข้ อ งกั บ การส่ ง มอบระบบ
หน้าที่ 3-85
เพื ่ อ การนำไปใช้ ง านและการรั บ ข้ อ มู ล จากส่ ว นการออกแบบระบบการให้ บ ริ ก าร ( Service Design)
รวมทั้งการรายงานสถานภาพของการดำเนินงานเพื่อให้ระบบเทคโนโลยีดิจิทัลทำงานได้อย่างต่อเนื่อง โดยแบ่ง
เป็นส่วนประกอบได้ ดังนี้
1) Transition Planning and Support เป็ น การวางแผนและประสานงาน
ด้านทรัพยากรที่จำเป็นในการดำเนินการ รวมถึงการนำออกใช้งาน (Release)
ภายใต้ ต ้ น ทุ น ระยะเวลาส่ ง มอบ และคุ ณ ภาพที ่ ก ำหนดไว้ ใ นแผนงาน
ก่อนที่จะดำเนินการ
2) Service Asset and Configuration Management เพื่อกำหนดและควบคุม
ส่วนประกอบของการบริการและโครงสร้างพื้นฐาน การบำรุงรักษา และการ
นำออกใช้งาน (Release)
3) Change Management เป็ น การจั ด การการเปลี ่ ย นแปลงเพื ่ อ มั ่ น ใจว่ า
วิธีการมาตรฐาน และขั้นตอนปฏิบัติได้ถูกใช้อย่างมีประสิทธิภาพ และพร้อม
การรับมือกับการเปลี่ยนแปลงโดยต้องได้รับผลกระทบต่อคุณภาพน้อยที่สุด
4) Release and Deployment Management เป็ น การวางแผนตารางเวลา
และการควบคุมการนำออกใช้ งาน (Version Release) พร้อมการทดสอบ
และเตรี ย มสภาพแวดล้ อ ม ( Environment) ให้ เ กิ ด ความพร้ อ ม
ที่จะใช้งานระบบ
5) Service Validation and Testing Evaluation เ ป ็ น ก า ร ด ำ เ น ิ น ก า ร
เพื่อให้แน่ใจว่าการติดตั้งและการให้บริการมีคุณภาพตาม SLA และความ
คาดหวังของลูกค้าในการรับบริการใหม่ที่เกิดขึ้นได้
หน้าที่ 3-86
6) Knowledge Management เป็นการรวบรวมข้อมูลของผลการดำเนิ นงาน
การวิเคราะห์ การจัดเก็บและการแบ่งปันข้อมูลและองค์ความรู้ที่เกี่ยวข้อง
กับการบริหารจัดการงานบริการเทคโนโลยีดิจิทัลภายในองค์กร เพื่อปรับปรุง
ประสิทธิภาพโดยที่สามารถลดเวลาและค่าใช้จ่ายในการค้นหาวิธีการแก้ไขปัญ
หาและการสืบค้นองค์ความรู้ที่เกี่ยวข้องได้อย่างมีประสิทธิภาพ
3.6.1.6 การดำเนิ น งานบริ ก าร ( Service Operation) เป็ น แนวทางปฏิ บ ั ติ
ที่เน้นด้านกิจกรรมที่จำเป็นต่อการปฏิบัติงานเพื่อให้บรรลุผลสัมฤทธิ์ในการให้บริการและการดูแลรักษาระบบฯ
ให้เป็นไปตามพันธะสัญญาการให้บริการเทคโนโลยีดิจิทัล (Service Level Agreement) โดยแบ่งออกเป็น
1) Event Management เพื่อตรวจสอบเหตุการณ์ ความผิด ปกติ โดยทำการ
วิเคราะห์พิจารณาจัดกลุ่มของเหตุการณ์หรือปัญหา และกำหนดกิจกรรมเพื่อ
การควบคุมและตัดสินใจในการแก้ไขปัญหาตามความเหมาะสม
2) Request Fulfillment เป็ น การปฏิ บ ั ต ิ ง านที ่ เ กี ่ ย วข้ อ งกั บ การให้ บ ริ ก าร
ตามคำร้องข้อ ซึ่งในกรณีส ่ว นใหญ่เป็นการร้องขอจากผู้ใช้บริการในการ
สนับสนุนด้านการใช้งานระบบเทคโนโลยีดิจิทัล อาทิ การตั้งเปลี่ยนรหัสผ่าน
การขอข้ อ มู ล การสำรองข้ อ มู ล และการขอข้ อ มู ล รายงา นสถิ ต ิ ด ้ า น
ประสิทธิภาพของระบบเทคโนโลยีดิจิทัล เป็นต้น
3) Access Management เป็ น การบริ ก ารเพื ่ อ ให้ ผ ู ้ ใ ช้ บ ริ ก ารมี ส ิ ท ธิ
ในการใช้ บ ริ ก าร ในระดั บ ที ่ เ หมาะสมตามลั ก ษณะสิ ท ธิ ์ (User Profile)
ของการใช้บริการ ขณะที่มีมาตรการในการป้องกันการเข้าถึงระบบบริก า
รหรือข้อมูลที่ไม่ได้รับอนุญาต โดยใช้นโยบายการจัดการด้านความปลอดภัย
ของระบบเทคโนโลยีสารสนเทศ (IT Security Management)
4) Service Desk เป็น “ศูนย์กลางในการติดต่อ” Single Point Of Contact
(SPOC) ในการรั บ แจ้ ง ปั ญ หา (Incident) ที ่ เ กิ ด ขึ ้ น จากการใช้ บ ริ ก าร
โดยแจ้งผ่านทางโทรศัพท์ เว็บ อีเมล์ และเป็นศูนย์กลางในการติดต่อสื่อสาร
และประสานงานระหว่ า งผู ้ ใ ช้ ง านกั บ ที ม งานบริ ห ารจั ด การและที ม งาน
สนั บ สนุ น เพื ่ อ ตอบสนองต่ อ ปั ญ หาและความต้ อ งการในการบริ ก าร
ได้อย่างสะดวกและรวดเร็ว
5) Incident Management เป็ น กระบวนการที ่ เ กี ่ ย วกั บ การจั ด การปั ญ หา
(Incident) ทั้งหมด ตั้งแต่การรับแจ้งเหตุปัญหาและข้อผิดพลาดของระบบ
การให้บริการต่าง ๆ ที่เกิดขึ้น รวมถึงการตอบคำถามหรือข้อซักถามต่าง ๆ
จากผู ้ ใ ช้ ง าน ตลอดจนการแก้ ไ ขปั ญ หา การส่ ง ต่ อ และการติ ด ตาม
ความคืบหน้าในการแก้ไขปัญหาที่เกิดขึ้นตาม SLA ที่ได้ตกลงกัน
6) Problem Management เป็นการจัดการปัญหาทั้งหมดในเชิงรุก (Proactive)
ตลอดวงจรของปัญหา (Problem Life Cycle) รวมถึงการป้องกันปัญหา
หรือสาเหตุที่อาจทำให้เกิดปัญหาขึ้นในอนาคต อาทิ การใช้เครือข่ายสื่อสาร
สำรอง (Backup Link) เพื่อป้องกันปัญหาด้านเสถียรภาพของโครงข่ายสื่อสาร
ข้อมูลหลัก และการมีระบบสำรองไฟฟ้าที่มีประสิทธิภาพเพื่อเพิ่มความพร้อม
ให้บริการ (Availability) และลดการสูญหายของข้อมูล (Data Loss) เป็นต้น
หน้าที่ 3-87
ทั้งนี้เพื่อเป็นการลดผลกระทบของเหตุการณ์และปัญหา (Incident) ต่าง ๆ
ลงได้
3.6.1.7 การปรั บ ปรุ ง บริ ก ารอย่ า งต่ อ เนื ่ อ ง (Continual Service Improvement)
เป็น แนวทางปฏิบ ัติที่เน้น ถึงการสร้างขีดความสามารถในการปรับปรุงการให้บริการให้มีคุณภาพสู ง ขึ้ น
อย่างต่อเนื่อง โดยแบ่งออกเป็น
1) Service Measurement and Reporting เป็ น การจั ด ทำบั น ทึ ก ประเด็ น
และการวัดผล (Measurement) ของการดำเนินการตามกรอบของ ITIL V3
ตั้งแต่ กลยุทธ์ด้านบริการ (Service Strategy) การออกแบบด้านบริ ก าร
(Service Design) การเปลี ่ ย นผ่ า นด้ า นบริ ก าร (Service Transition)
การดำเนิ น งานบริ ก าร (Service Operation) และการปรั บ ปรุ ง บริ การ
อย่างต่อเนื่อง (Continual Service Improvement) ซึ่งรวมถึงการใช้งาน
ระบบโครงสร้างพื้นฐานและระบบการให้บริการ และดำเนินการวิเคราะห์
พร้อมจัด ทำรายงานสรุป ผลลั พธ์ ข องการใช้ งานระบบ (Usage Report)
ซึ่งเป็นข้อมูลพื้นฐานที่ระบุถึงปริมาณและคุณภาพของการให้บริการ รวมทั้ ง
ปัญหาอุปสรรคและความต้องการเพิ่มเติมของผู้ใช้บริการเพื่อเป็นข้อมูลในการ
วิเคราะห์และปรับปรุงการให้บริการต่อไป
2) Service Level Management เป็ น การจั ด การและการเจรจาข้ อ ตกลง
ระดับการบริการกับลูกค้าตามเป้าหมายที่ตกลงกันในพันธะสัญญาการให้
บริการเทคโนโลยีดิจิทัล (Service Level Agreement)
หน้าที่ 3-88
การพัฒนากรอบการจัดการระบบเทคโนโลยี (ITSM/ITIL) จะก่อให้เกิดประโยชน์
แก่ อ งค์ ก รของ อ.ส.ค. ในการบริ ห ารจั ด การงานบริ ก ารเทคโนโลยี ด ิ จ ิ ท ั ล เพื ่ อ สนั บ สนุ น ความต้ อ งการ
และเป้าหมายทางธุรกิจขององค์กรให้มีประสิทธิภาพสูงสุด ดังนี้
1 สามารปรับปรุงคุณภาพการให้บริการและความพึงพอใจของผูใ้ ช้บริการและลูกค้า
หน้าที่ 3-89
รวมถึงการจัดการการเข้าถึงข้อมูลและรั กษาความลับข้อมูลภายในองค์กรได้อย่างเป็นระบบ ประกอบด้วย
การพิสูจน์ตัวตน Authentication การให้สิทธิ์ Authorization และ การตรวจสอบการทำงาน Accounting
ดังรายละเอียดต่อไปนี้
3.6.2.1 การพิสูจน์ตัวตน Authentication
เป็นการพิสูจน์ตัวตนเพื่อการเข้าถึงระบบสารสนเทศและข้อมู ลต่าง ๆ แยกตาม
ช่องทางในการเข้าถึงระบบสารสนเทศและข้อมูล ซึ่งในปัจจุบัน ระบบ Single Sign-On (SSO) สามารถยืนยัน
ตัวบุคคล (Authentication) ที่รองรับการให้ผู้ใช้งานลงชื่อเข้าใช้งานระบบ (Login) ครั้งเดียว แล้วสามารถ
เข้าใช้งานระบบสารสนเทศหลายระบบหรือฐานข้อมูลหลายฐานข้อมูลได้ โดยไม่ต้องลงชื่อเข้าใช้งานซ้ำอีก
ซึ่งช่วยแก้ไขปัญหาความซ้ำซ้อนของฐานข้อมูลบัญชีผู้ใช้และรหัสผ่านที่ระบบสารสนเทศแต่ละระบบต้องจัดเก็บ
ปั ญ หาต่ อ ผู ้ ใ ช้ ง านที ่ จ ำเป็ น ต้ อ งเข้ า ใช้ ง านหลายระบบ ต้ อ งมี แ ละจดจำชื ่ อ ผู ้ ใ ช้ ( Login) และรหั ส ผ่าน
(Password) หลายชุด ทั้งนี้ระบบ SSO มีความเสี่ยงต่อการถูกขโมยชื่อผู้ใช้และรหัสผ่านไปใช้เพื่อขโมยข้อมูล
หรือนำไปใช้ในกิจกรรมผิดกฎหมายต่าง ๆ ได้ เทคโนโลยีในการพิสูจน์ตัวตน สามารถจัดแบ่งได้เป็น 6 ประเภท
ตามรายละเอียดดังนี้
1) การพิสูจน์ตัวตนโดยใช้ Password Authenticators หรือ Tokens
Authenticator หรือ Token เป็นอุปกรณ์ที่ใช้สร้าง "รหัสผ่านซึ่งเปลี่ยน แปลงได้ (Dynamic Password)"
ในขณะที่กำลังเข้าสู่ระบบเครือข่าย มี 2 วิธี คือ Synchronous และ Asynchronous การพิสูจน์ตัวตนแบบ
Synchronous แบ่งออกเป็น 2 ประเภทตามลักษณะ ของการใช้งาน คือ
1) การพิสูจน์ตัวตนแบบ Synchronous โดยขึ้นอยู่กับสถานการณ์ (Event-
Synchronous Authentication) เมื่อผู้ใช้ต้องการที่จะเข้าสู่ระบบ ผู้ใช้
จะต้องกด Token เพื่อให้ Token สร้างรหัสผ่านให้ จากนั้นผู้ใช้นำรหัสผ่าน
ที่แสดงหลังจากกด Token ใส่ลงในฟอร์ม เพื่อเข้าสู่ระบบ ระบบจะทำการ
ตรวจสอบกับเซิร์ฟเวอร์ก่อน ว่ารหัสผ่านที่ใส่มีอยู่ในเซิร์ฟเวอร์จริง จึงจะ
ยินยอมให้ผู้ใช้เข้าสู่ระบบ
2) การพิ ส ู จ น์ ต ั ว ตนแบบ Synchronous โดยขึ ้ น อยู ่ ก ั บ เวลา (Time-
Synchronous Authentication) เป็ น วิ ธ ี ก ารที ่ ส ร้ า งรหั ส ผ่ า น
โดยมี ก ารกำหนด ช่ ว งระยะเวลาการใช้ ง าน โดยปกติ แ ล้ ว รหั ส ผ่ า น
จะถูกเปลี่ยนทุก ๆ หนึ่งนาที การสร้างรหัสผ่านจะเป็นไปอย่างต่อเนื่อง
ทำให้บ างครั้งรหัสผ่านที่สร้าง ออกมาอาจจะซ้ำกันกับรหัส ผ่านตัวอื่น
ที ่ เ คยสร้ า งมาแล้ ว ก็ ไ ด้ เมื ่ อ ผู ้ ใ ช้ ต ้ อ งการ เข้ า สู ่ ร ะบบก็ ใ ส่ ร หั ส ผ่ า น
และเวลาที่รหัสผ่านตัวนั้นถูกสร้างขึ้นมา (รหัสผ่าน จะถูกสร้างขึ้นมาจาก
Token) ลงในแบบเอกสาร เพื ่ อ เข้ า สู ่ ร ะบบ โดยระบบ จะทำการ
ตรวจสอบเวลาและรหั ส ผ่ า นที ่ ผ ู ้ ใ ช้ ใ ส่ ล งไป กั บ เครื ่ อ งคอมพิ ว เตอร์
แม่ ข ่ า ยว่ า รหั ส ผ่ า นที ่ ใ ส่ ต รงกั บ เวลาที ่ Token สร้ า ง และมี อ ยู่
ในเซิร์ฟเวอร์จริง จึงยินยอมให้ผู้ใช้เข้าสู่ระบบ
การพิ ส ู จ น์ ต ั ว ตนแบบ Asynchronous หรื อ เรี ย กอี ก อย่ า งหนึ ่ ง ว่ า
"Challenge-Response" ถูกพัฒนาขึ้น เป็นลำดับแรก ๆ ของระบบการใช้
"รหั ส ผ่ า นซึ ่ ง เปลี ่ ย นแปลงได้ " ซึ ่ ง ถื อ ได้ ว ่ า เป็ น การป้ อ งกั น การจู ่ โ จม
ที่ปลอดภัยที่สุด เพราะเนื่องจากว่าเมื่อผู้ใช้ต้องการจะเข้าสู่ระบบ ผู้ใช้
หน้าที่ 3-90
จะต้ อ งทำการร้ อ งของไปยั ง เครื ่ อ งคอมพิ ว เตอร์ แ ม่ ข ่ า ย จากนั้ น
เครื ่ อ งคอมพิ ว เตอร์ แ ม่ ข ่ า ยก็ จ ะส่ ง Challenge String มาให้ ผ ู ้ ใ ช้
เพื ่ อ ให้ ผ ู ้ ใ ช้ ใ ส่ ล งใน Token ที ่ ผ ู ้ ใ ช้ ถ ื อ อยู ่ จากนั ้ น Token
จะทำการคำนวณรหัสผ่านออกมาให้ผู้ใช้ ผู้ใช้จึงสามารถนำรหัสผ่านนั้น
ใส่ลงในฟอร์มเพื่อเข้าสู่ระบบได้
การพิ ส ู จ น์ ต ั ว ตนแบบ Synchronous นั ้ น ทั ้ ง Client และ Server
จะมีรหัสผ่านเก็บเอาไว้ แต่แบบ Asynchronous นั้น Client จะต้องติดต่อ
Serverก่ อ น ก่ อ นจะได้ ร ั บ รหั ส ผ่ า นจริ ง ทำให้ ก ารพิ ส ู จ น์ ต ั ว ตนแบบ
Asynchronous มีขั้นตอนที่ซับซ้อนกว่าแบบ Synchronous
2) การพิ ส ู จ น์ ต ั ว ตนโดยใช้ ล ั ก ษณะเฉพาะทางชี ว ภาพของแต่ ล ะบุ ค คล
(Authentication by Biometric Traits)
ลักษณะทางชีวภาพของแต่ละบุคคลเป็นลักษณะเฉพาะและลอกเลียนแบบกัน
ไม่ได้ การนำมาใช้ในการพิสูจน์ตัวตนจะเพิ่มความน่าเชื่อถือได้มากขึ้น อาทิ การใช้ลายนิ้วมือ เสียง ม่านตา
เป็นต้น จึงมีการนำเทคโนโลยีนี้มาช่วยในการพิสูจน์ตัวตน เพื่อเพิ่มความปลอดภัยก่อนเข้าสู่ระบบ
ในขั้นตอนของการเก็บหลักฐานทางชีวภาพ ในขั้นแรกระบบจะทำการเก็บภาพ
ของเรติ น าจากบุ ค คลที ่ ถ ื อ Token Card หรื อ Smart Card จากนั ้ น จะนำภาพเรติ น าที ่ ไ ด้ ม า
แยกแยะเพื่อหาลัก ษณะเด่น ของแต่ล ะบุ คคลเพื่ อไม่ใ ห้ซ้ ำกับบุ คคลอื ่น แล้ว เก็บไว้เป็น Template ซึ่ง
Template ที ่ ไ ด้ จ ะถู ก บั น ทึ ก เป็ น กุ ญ แจคู ่ ก ั บ รหั ส ผ่ า นที ่ ม ี อ ยู ่ ใ น Token Card หรื อ Smart Card
ของแต่ละบุคคล
ในขั ้ น ตอนของการตรวจสอบหลั ก ฐาน ผู ้ ใ ช้ ท ี ่ ถ ื อ Token การ์ ด
หรือสมาร์ทการ์ด จะนำบัตรมาผ่านเครื่องอ่านบัตรและแสดงเรตินาให้เครื่องเก็บภาพ เมื่อเครื่องอ่านบัตร
อ่านค่าเลขที่ได้จากบัตรแล้วก็จะนำไปหากุญแจ ซึ่งในขณะเดียวกันภาพเรตินาที่เ ครื่องเก็บไว้ได้ก็จะนำไป
แยกแยะเพื ่ อ หาลัก ษณะเด่น แล้ ว เก็ บ ค่า ไว้ เป็ น Template และนำ Template ที ่ ไ ด้ ไ ปตรวจสอบกับ
template ที่เก็บไว้เพื่อหากุญแจ และนำกุญแจที่ได้มาเปรียบเทียบกันว่าตรงกันหรือไม่ ถ้าตรงกันก็แสดงว่า
ผู้ที่ถือบัตรกับผู้ใช้เป็นคนเดียวกัน จึงอนุญาตไห้เข้าสู่ระบบได้
หน้าที่ 3-91
3) การพิ ส ู จ น์ ต ั ว ตนโดยใช้ ร หั ส ผ่ า นที ่ ใ ช้ เ พี ย งครั ้ ง เดี ย ว (One-Time
Password: OTP)
One-Time Password ถู ก พั ฒ นาขึ ้ น เพื ่ อ หลี ก เลี ่ ย งปั ญ หาที ่ เ กิ ด จากการ
ใช้ ร หั ส ผ่ า นเพี ย งตั ว เดี ย วซ้ ำ ๆ กั น OTP จะทำให้ ร ะบบมี ค วามปลอดภั ย มากขึ ้ น เพราะรหั ส ผ่ า น
จะถูกเปลี่ยนทุกครั้งก่อนที่ผู้ใช้จะเข้าสู่ระบบ
การทำงานของ OTP คือเมื่อผู้ใช้ต้ อ งการจะเข้า ใช้ร ะบบ ผู้ใช้จะทำการ
ร้ อ งขอไปยั ง เครื ่ อ งคอมพิ ว เตอร์ แ ม่ ข ่ า ย จากนั ้ น เครื ่ อ งคอมพิ ว เตอร์ แ ม่ ข ่ า ยจะส่ ง Challenge String
กลับ มาให้ผ ู้ใช้ จากนั้น ผู้ใช้จ ะนำ Challenge String และรหัส ลับที่มีอยู่กับตัวของผู้ใช้นำไปเข้า Hash
ฟั ง ก์ ช ั น แล้ ว ออกมาเป็ น ค่ า Response ผู ้ ใ ช้ ก ็ จ ะส่ ง ค่ า นั ้ น กลั บ ไปยั ง เครื ่ อ งคอมพิ ว เตอร์ แ ม่ ข ่ า ย
เครื่องคอมพิวเตอร์แม่ข่ายจะทำการตรวจสอบค่าที่ผู้ใช้ส่งมาเปรียบเทียบกับค่าที่เครื่องคอมพิวเตอร์แม่ข่ายเอง
คำนวณได้ โดยเซิ ร ์ ฟ เวอร์ ก ็ ใ ช้ ว ิ ธ ี ก ารคำนวณเดี ย วกั น กั บ ผู ้ ใ ช้ เมื ่ อ ได้ ค ่ า ที ่ ต รงกั น เครื ่ อ งคอมพิ ว เตอร์
แม่ข่ายก็จะยอมรับให้ผู้ใช้เข้าสู่ระบบ
4) การพิสูจน์ตัวตนโดยการเข้ารหัสโดยใช้กุญแจสาธารณะ (Public-Key
Cryptography)
เป็นการรักษาความปลอดภัยของข้อมูลระหว่างการส่งข้ามเครือข่ายวิธีหนึ่งที่
นิย มใช้กัน อยู่ในปัจจุบัน การเข้ารหัส แบบคู่รหัส กุญแจนี้จะมีความปลอดภัยมากกว่าการเข้ารหัส ข้อมูล
แบบธรรมดา แต่ก็ไ ม่ได้ห มายความว่าการเข้ารหัส แบบคู่รหัสกุญแจนี้จะเป็นวิธ ีที่เหมาะสมที่สุดของวิธี
การเข้ารหัส ทั้งนี้ขึ้นอยู่กับประเภทงานของแต่ละองค์กรหรือบุคคล
5) การพิสูจน์ตัวตนโดยการใช้ลายเซ็นดิจิทัล (Digital Signature)
เป็นการนำหลักการของการทำงานของระบบการเข้ารหัสแบบใช้คู่รหัสกุญแจ
เพื่อการพิสูจน์ตัวตนมาประยุกต์ใช้ ระบบของลายเซ็นดิจิทัลสามารถแบ่งเป็นขั้นตอนได้ดังนี้
1) เมื่อผู้ใช้ต้องการจะส่งข้อมูลไปยังผู้รับ ข้อมูลนั้นจะถูกนำไปเข้าฟังก์ชั่นทาง
คณิตศาสตร์ที่เรียกว่า "แฮชฟังก์ชัน" เพื่อให้ได้ Massage Digest ออกมา
2) การใช้กุญแจส่วนตัวเข้ารหัสข้อมูล หมายถึงว่าผู้ส่งได้ลงลายเซ็นดิจิทัล
ยินยอมที่จะให้ผู้รับ สามารถทำการตรวจสอบด้วยกุญแจสาธารณะขอ
งผู้ส่งเพื่อพิสูจน์ตัวตนของผู้ส่งได้
3) การตรวจสอบข้อมูลว่าถูกส่งมาจากผู้ส่งคนนั้นจริงในด้านผู้รับ โดยการ
นำข้อมูล มาผ่า นแฮชฟั ง ก์ช ัน เพื่ อ คำนวณหาค่า Massage Digest และ
ถอดรหัสลายเซ็นดิจิทัลด้วยกุญแจสาธารณะของผู้ส่ง ถ้าสามารถถอดได้
อย่างถูกต้อง จะเป็นการยืนยันข้อมูลจากผู้ส่งคนนั้นจริง และถ้าข้อมูล
Massage Digest ที่ได้จากการถอดรหัสเท่ากันกับค่า Massage Digest
ในตอนต้นที่ทำการคำนวณได้ จะถือว่าข้อมูลดังกล่าวนั้นถูกต้อง
หน้าที่ 3-92
6) การพิสูจน์ตัวตนโดยใช้การถาม - ตอบ (Zero-Knowledge Proofs)
เป็นวิธีการพิสูจน์ตัวตนโดยใช้การถาม - ตอบ บนสมมุติฐานที่ว่าการใช้ชื่อ
ผู้ใช้งานและรหัสผ่านไม่มีความปลอดภัยเพียงพอต่อการเข้าใช้ระบบ เนื่องจากความรู้และวิทยาการที่ก้าวหน้า
ทำให้ เ กิ ด ผู ้ ท ี ่ ต ้ อ งการจะเข้ า มาละเมิ ด ระบบต่ า ง ๆ มี ม ากขึ ้ น ทำให้ ช ื ่ อ ผู ้ ใ ช้ แ ละรหั ส ผ่ า น อาจจะถู ก
ลักลอบดักข้อมูลระหว่างการสื่อสารกันได้
วิธ ีการพิสูจน์ตัวตนวิธีนี้ เป็นวิธีการที่ต้องใช้ความรู้ขั้นสูงในการนำมาใช้
เนื่องจากระบบจะใช้การเรียนรู้จากข้อมูลที่ได้รับ อาจจะเรียกระบบนี้ได้ว่าเป็นการนำความรู้ด้าน AI (Artificial
Intelligence) มาใช้
3.6.2.2 การให้สิทธิ์ Authorization
เป็นการให้สิทธิ์ในการใช้งานระบบสารสนเทศและการเข้าถึงระดับชั้นข้อมูลต่าง ๆ
แก่ผู้ใช้งานที่เกี่ยวข้องทั้งภายในและภายนอกองค์กร ตามบทบาทหน้าที่และความรับผิดชอบในการปฏิบัติงาน
โดยมีรายละเอียดดังนี้
1) สิทธิ์ในการใช้งานระบบสารสนเทศ
การกำหนดสิทธิ์ในการใช้งานระบบสารสนเทศนั้น ขึ้นกับบทบาทหน้าที่ของ
ผู้ใช้งานที่เกี่ยวข้องกับระบบสารสนเทศนั้น ๆ และระดับขั้นในการปฏิบัติงานโดยสามารถแบ่งระดับการใช้งาน
เพื่อกำหนดสิทธิ์ได้ดังต่อไปนี้
1) ผู้ใช้งานทั่วไป
2) ผู้ใช้งานระดับ Administrator
3) ไม่มีหน้าที่ที่เกี่ยวข้อง
2) สิทธิ์ในการเข้าถึงข้อมูล
การกำหนดสิ ท ธิ ์ ใ นการเข้ า ถึ ง ข้ อ มู ล ขึ ้ น กั บ บทบาทหน้ า ที ่ ข องผู ้ ใ ช้ ง าน
ที่เกี่ยวข้องกับข้อมูลนั้น ๆ และระดับขั้นในการปฏิบัติงาน โดยมีเกณฑ์การจัดแบ่งข้อมูลดังนี้
1) การใช้งานข้อมูล มี 5 ลักษณะ คือ
▪ อ่านข้อมูล
▪ สร้างข้อมูล
▪ ป้อนข้อมูล
▪ แก้ไขข้อมูล
▪ อนุมัติ
2) การจัดแบ่งระดับความสำคัญของข้อมูล ออกเป็น 3 ระดับคือ
▪ ข้อมูลที่มีระดับความสำคัญมากที่สุด
▪ ข้อมูลที่มีระดับความสำคัญปานกลาง
▪ ข้อมูลที่มีระดับความสำคัญน้อย
3) การจัดแบ่งลำดับชั้นความลับของข้อมูล ออกเป็น 4 ระดับคือ
▪ ข้ อ มู ล ลั บ ที ่ ส ุ ด หมายถึ ง หากเปิ ด เผยทั ้ ง หมดหรื อ เพี ย งบางส่ ว น
จะก่อให้เกิดความเสียหายอย่างร้ายแรงที่สุด
▪ ข้ อ มู ล ลั บ มาก หมายถึ ง หากเปิ ด เผยทั ้ ง หมดหรื อ เพี ย งบางส่ ว น
จะก่อให้เกิดความเสียหายอย่างร้ายแรง
หน้าที่ 3-93
▪ ข้ อ มู ล ลั บ หมายถึ ง หากเปิ ด เผยทั ้ ง หมดหรื อ เพี ย งบางส่ ว น
จะก่อให้เกิดความเสียหาย
▪ ข้อมูลทั่วไป หมายถึง ข้อมูลที่สามารถเปิดเผยหรือเผยแพร่ทั่วไปได้
4) การจัดแบ่งระดับชั้นการเข้าถึงข้อมูล ออกเป็น 3 ระดับคือ
▪ ระดับชั้นสำหรับผู้บริหาร
▪ ระดับชั้นสำหรับผู้ใช้งานทั่วไป
▪ ระดับชั้นสำหรับผู้ดูแลระบบหรือผู้ที่ได้รับมอบหมาย
ทั้งนี้ การกำหนดสิทธิ์การใช้งานของผู้ใช้งานแต่ล ะรายต้องครอบคลุ ม
การใช้งานระบบสารสนเทศทุกระบบ และการเข้าถึงข้อมูลทุกข้อมูล เพื่อให้เกิดความถูกต้องครบถ้วนและ
ความมั่นคงปลอดภัยในการใช้งานระบบอย่างเป็นรูปธรรม
3.6.2.3 การตรวจสอบการทำงาน Accounting
เป็ น การบั น ทึ ก และจั ด เก็ บ ข้ อ มู ล การเข้ า ใช้ ง านระบบดิ จ ิ ท ั ล ขององค์ ก ร
ซึ่งครอบคลุม เครื่องคอมพิวเตอร์แม่ข่าย เครื่องคอมพิวเตอร์ ระบบสารสนเทศ อุปกรณ์เครือข่ายสื่อสาร
ที่สำคัญด้วย โดยมีรายละเอียดที่ครบถ้วนเพียงพอที่จะใช้เป็นหลักฐานในการตรวจสอบที่สามารถระบุตัวบุคคล
ผู้กระทำได้และสามารถจัดเก็บย้ อนหลังเป็นระยะเวลาอย่างน้อย 90 วัน หรือตามกฎหมายที่เกี่ยวข้องกำหนด
ประกอบด้วย
1) การบันทึกร่องรอยกิจกรรมการทำธุรกรรม (Transaction Log)
2) การบันทึกการเข้าถึง (Access Log)
3) การบั น ทึ ก การดำเนิ น งาน (Activity Log) ที ่ ส ำคั ญ โดยอย่ า งน้ อ ย
ต้องครอบคลุม
1) การเปลี ่ ย นแปลงแก้ ไ ขโครงสร้ า งฐานข้ อ มู ล และการเปลี ่ ย นแปลง
แก้ไขข้อมูล (Update/Insert/Delete) ในตารางที่สำคัญ
2) การเปลี่ยนแปลงการตั้งค่าความปลอดภัยของระบบ
3) การเข้าถึง Object ที่สำคัญของระบบ
4) การเปลี่ยนแปลงแก้ไขบัญชีและสิทธิ์ของผู้ใช้งาน
หน้าที่ 3-94
ทั้งนี้ ควรใช้ระบบในการควบคุมค่าเวลาของเครื่องแม่ข่าย ระบบงาน
อุ ป กรณ์ เ ครื อ ข่ า ยสื ่ อ สารให้ ต รงกั บ เครื ่ อ งแม่ ข ่ า ย Network Time Protocol : NTP (Clock
Synchronization) เพื ่ อ ให้ ค ่ า เวลาในการบั น ทึ ก เหตุ ก ารณ์ ม ี ค วามถู ก ต้ อ งในลั ก ษณะ Real-Time
ซึ่งเครื่องแม่ข่าย NTP ต้องรับสัญญาณนาฬิกาจากแหล่งสัญญาณที่มีความน่าเชื่อถือ
นอกจากนั้น ข้อมูลการบันทึกเหตุการณ์ของอุปกรณ์สำคัญควรจัดเก็บไว้ที่
เครื่องแม่ ข่ า ยที่ แยกเฉพาะ อย่างน้อ ยให้ ครอบคลุม Access Log และ Activity Log โดยมีการรั ก ษา
ความปลอดภัย ที่ร ัด กุ มเพีย งพอในการป้ องกัน การเปลี ่ยนแปลง แก้ไ ข หรือทำลาย และมีการสอบทาน
บั น ทึ ก การเข้ า ถึ ง (Access Log) และบั น ทึ ก การดำเนิ น งาน (Activity Log) ของผู ้ ป ฏิ บ ั ต ิ ง านด้ า น
เทคโนโลยีสารสนเทศที่มีสิทธิ์สูงอย่างสม่ำเสมอ อาทิ System Administrator หรือ System Operator
เป็นต้น เพื่อให้มั่นใจได้ว่าผู้ปฏิบัติงานเข้าถึงและปฏิบัติงานตามขอบเขตหน้าที่ที่ได้รับมอบหมาย
ในส่วนของการรักษาความลับข้อมูลเมื่อมีการส่งข้อมูลไปยังภายนอกองค์กร
นั้น ควรมีแนวทางในการดำเนินงานดังต่อไปนี้
5) ต้องกำหนดชั้นความลับของข้อมูลเป็นระดับต่าง ๆ อาทิ ข้อมูลที่เปิดเผยได้
ข้ อ มู ล ปกปิ ด ข้ อ มู ล ลั บ ข้ อ มู ล ลั บ มา ก และหน่ ว ยงานเจ้ า ของ
ข้อมูลอย่างชัดเจน
6) สำหรับข้อมูลที่ระดับความลับต่าง ๆ กัน การนำส่งหรือกระจายข้อมูล
สู่ภายนอกองค์กร ต้องมีระเบียบข้อบังคับและผู้อนุมัติให้ความเห็นขอบ
ที่ชัดเจน ข้อมูลที่จะเผยแพร่สู่สาธารณะในวงกว้างนั้นต้องได้รับการอนุมตั ิ
และเห็นชอบอย่างเป็นทางการจากผู้บริหารสูงสุดขององค์กร
7) จำกัดการเข้าถึงข้อมูลที่ไม่เปิดเผยต่อสาธารณะโดยให้รับรู้เฉพาะผู้บริหาร
ระดับ สูงขององค์กร และเปิดเผยต่อพนักงานตามความจำเป็นต่อการ
ปฏิบัติงานและการรับทราบ
8) การใช้งานระบบ Cloud ควรมีมาตรการและแนวทางการดำเนินงาน ดังนี้
▪ ผู ้ ใ ห้ บ ริ ก ารระบบ Cloud ต้ อ งมี ม าตรฐานและกระบวนงาน
ด้านการรักษาความปลอดภัยและความลับข้อมูลอย่างชัดเจน อาทิ มาตรฐาน ISO 22301:2012 ด้านการ
บริหารจัดการความต่อเนื่องในการดำเนินธุรกิจ ครอบคลุมบริการด้านคลาวด์ มาตรฐานควา มปลอดภัย
ระบบคลาวด์ CSA-STAR มาตรฐาน ISO/IEC 27001:2015 ด้านคลาวด์ที่มีความมั่นคงปลอดภัยตามมาตรฐาน
ระบบบริ ห ารจั ด การคว ามมั ่ น คงปลอดภ ั ย มาตรฐ าน I SO/I EC 27001: 2013 มาตรฐ าน
ระบบบริห ารจัดการความมั่น คงปลอดภัย สารสนเทศ และมาตรฐาน ISO/IEC 20000-1:2011 ด้านการ
บริหารจัดการสารสนเทศและการให้บริการด้านคลาวด์ที่มีคุณภาพ
▪ ผู้ให้บริการระบบ Cloud ต้องมีมาตรการและกระบวนงาน
ในการป้องกันการรั่วไหลข้อมูลไปยังผู้ใช้บริการรายอื่น บุคคลภายนอก และพนักงานภายในของผู้ให้บริการ
ระบบ Cloud เอง
▪ ในกรณีมีการรั่วไหลของข้อมูล ผู้ให้บริการระบบ Cloud มีกระบวนงาน
ในการตรวจสอบและติดตามการรั่วไหลของข้อมูล
▪ ในกรณีเลิกใช้บริการระบบ Cloud ผู้ให้บริการต้องมีมาตรการและ
กระบวนงานลบและทำลายข้อมูลที่จัดเก็บและป้องกันการรั่วไหลของข้อมูลได้
3.6.3 การจัดการเครือข่ายข้อมูล (Network Management)
หน้าที่ 3-95
ระบบรักษาความมั่น คงปลอดภัยของข้ อมูล และระบบสารสนเทศนั้น สามารถรับประกั น
ความพร้ อ มใช้ ง าน (Availability) ของระบบได้ ใ นระดั บ หนึ ่ ง แต่ ย ั ง มี อ งค์ ป ระกอบปั จ จั ย อื่ น
ที ่ ส ่ ง ผลกระทบต่ อ ประสิ ท ธิ ภ าพหรื อ ระดั บ การให้ บ ริ ก ารของระบบ อาทิ การโจมตี ร ู ป แบบใหม่
ที ่ ไ ม่ เ คยพบมาก่ อ น เช่ น Zero-Day Exploit และ Unknown Malware การตั ้ ง ค่ า อุ ป กรณ์
หรือระบบสารสนเทศที่ผิดพลาด ปัญหาคอขวด ( Bottle Neck) บนระบบเครือข่าย
การควบคุมอุปกรณ์ประเภทใหม่ ๆ เช่น BYOD และ IoT ไม่ดีเพียงพอ ซึ่งอาจถูกใช้เป็นช่องโหว่โจมตีระบบได้
ปัญหาเชิงกายภาพ (Physical Security) เช่น ชิ้นส่วนอุปกรณ์มีปัญหา ไฟดับ อุณหภูมิและความชื้นผิดปกติ
เป็ น ต้ น ระบบการจั ด การเครื อ ข่ า ย (Network Management System) ซึ ่ ง ช่ ว ยวิ เ คราะห์ เฝ้ า ระวั ง
ประสิทธิภาพของระบบเครือข่ายควรประกอบด้วยคุณสมบัติดังต่อไปนี้
3.6.3.1 ควบคุมและจัดการอุปกรณ์รักษาความมั่นคงปลอดภัย
เพื่อให้มั่นใจได้ว่าอุปกรณ์เหล่านั้นทำงานได้อย่างถูกต้อง อาทิ ฐานข้อมูลภัยคุกคาม
อัปเดตล่าสุด ระบบสำรองข้อมูลทำงานได้ตามปกติ IPS กำลังทำงานอยู่ เป็นต้น
3.6.3.2 ช่วยสนับสนุนด้านความมั่นคงปลอดภัย
ในกรณี ท ี ่ เ กิ ด การโจมตี แ บบ Zero-Day ซึ ่ ง ทะลุ ผ ่ า นระบบรั ก ษาความมั ่ น คง
ปลอดภัย เข้ามาได้ ระบบฯ ควรสามารถตรวจจับพฤติกรรมที่ผิดแปลกไปจากเดิม เช่น ปริมาณ Traffic
ที่เพิ่มขึ้นจนผิดปกติ การใช้งาน Memory ที่เพิ่มสูงขึ้น
3.6.3.3 ตรวจสอบการทำงานของระบบเครือข่ายตลอดเวลา
ระบบฯ ควรติดตามการทำงานของระบบเครือข่ายตลอดเวลา ไม่ว่าจะเป็นฮาร์ดแวร์
ซอฟต์ แ วร์ หรื อ ข้ อ มู ล ที ่ บ นระบบฯ เพื ่ อ ช่ ว ยป้ อ งกั น ข้ อ มู ล รั ่ ว ไหลสู ่ ภ ายนอกและนำข้ อ มู ล ที ่ ไ ด้ ม
าปรับปรุงระบบให้มีประสิทธิภาพดียิ่งขึ้น
3.6.3.4 ติดตามการใช้อุปกรณ์ IoT
นอกจาก เครื่องคอมพิวเตอร์แม่ข่าย เครื่องคอมพิวเตอร์ และอุปกรณ์เครือข่ายแล้ว
ระบบ ควรสามารถติ ด ตามอุ ป กรณ์ IoT อาทิ อุ ป กรณ์ พ กพา กล้ อ งวงจรปิ ด อุ ป กรณ์ พ ิ ส ู จ น์ ต ั ว ตน
เพื่อให้มั่นใจได้ว่าอุปกรณ์ทั้งหมดที่เชื่อมต่อกับระบบเครือข่ายทำงานได้อย่างถูกต้อง
3.6.3.5 เฝ้าระวังแบบรวมศูนย์
สามารถแสดงผลข้อมูลทั้งหมดบนระบบเครือข่ายได้แบบรวมศูนย์ เห็ นถึงภาพรวม
ตี ค วามได้ ง ่ า ย และเป็ น ข้ อ มู ล ล่ า สุ ด ณ เวลานั ้ น ๆ รวมไปถึ ง สามารถแสดงข้ อ มู ล รายละเอี ย ด
เชิงลึกเมื่อต้องการได้ โดยมีตัวอย่างหน้าจอระบบจัดการเครือข่าย ดังแสดงในภาพที่ 3.6-4
หน้าที่ 3-96
ภาพที่ 3.6-4 ตัวอย่างหน้าจอระบบการจัดการเครือข่าย (Network Management System)
หน้าที่ 3-98
3.6.4.3 การจัดตั้งศูนย์คอมพิวเตอร์สำรอง
การจัดตั้งศูน ย์คอมพิว เตอร์ส ำรอง เป็นการดำเนินงานขั้นพื้นฐานสำหรับการ
จัดการการกู้คืนระบบกรณีเกิดภัยพิบัติ เพื่อรองรับการปฏิบัติงานขององค์กรในกรณีศูนย์คอมพิวเตอร์หลัก
เกิดความเสียหาย ทั้งนี้ ศูนย์คอมพิวเตอร์สำรองควรติดตั้งที่ระยะห่างจากศูนย์คอมพิวเตอร์หลักขององค์กร
พอสมควรโดยยึดหลักศูนย์คอมพิวเตอร์ทั้ง 2 แห่งต้องไม่ไ ด้รับผลกระทบจากภัยพิบัติพร้อมกัน โดยสามารถ
ดำเนินการเป็น 3 ลักษณะ ได้แก่
1) Hot Site เป็ น ศู น ย์ ค อมพิ ว เตอร์ ส ำรองที ่ ม ี อ ุ ป กรณ์ ซอฟต์ แ วร์
และระบบงานติดตั้งเหมือนกับศูนย์คอมพิวเตอร์หลัก โดยที่ระบบสำรอง
ทำงานร่ ว มกั บ ระบบหลั ก อยู ่ ต ลอดเวลา อุ ป กรณ์ ซอฟต์ แ วร์ ระบบงาน
หรื อ ข้ อ มู ล ที ่ ถ ู ก ปรั บ ปรุ ง ในระบบหลั ก จะถู ก ดำเนิ น การปรั บ ปรุ ง ใน
ศูนย์คอมพิวเตอร์สำรองตลอดเวลา เมื่อเกิดปัญหาขึ้นกับระบบใดระบบหนึ่ง
อีกระบบหนึ่งที่ศูนย์คอมพิวเตอร์สำรองก็จะสามารถให้บริการได้อย่างต่อเนื่อง
ไม่ส่งผลกระทบกับผู้ใช้งาน
2) Warm Site เป็ น ศู น ย์ ค อมพิ ว เตอร์ ส ำรองที ่ ม ี อ ุ ป กรณ์ ซอฟต์ แ วร์
และระบบงานติ ด ตั ้ ง เหมื อ นกั บ ศู น ย์ ค อมพิ ว เตอร์ ห ลั ก โดยทำงานแบบ
Standby ไม่ ไ ด้ ใ ช้ ง านจริ ง ข้ อ มู ล ที ่ ถ ู ก ปรั บ ปรุ ง ในระบบหลั ก
จะถูกปรับ ปรุ ง ในระบบสำรองตามช่ว งเวลาที ่ก ำหนด เมื่อเกิดปั ญ หากั บ
ระบบหลัก ระบบสำรองก็จะถูกนำมาใช้ งานได้ต่อเมื่อดำเนินการปรับปรุ ง
ข้อมูลส่วนที่ขาดหายไปให้ครบถ้วนเสียก่อน
3) Cold Site เป็ น ศู น ย์ ค อมพิ ว เตอร์ ส ำรองที ่ ม ี อ ุ ป กรณ์ ซอฟต์ แ วร์
และระบบงานติดตั้งเหมือนกับศูนย์คอมพิวเตอร์หลักแต่ไม่ได้มีการเปิดใช้งาน
จริงจะเปิดใช้งานก็ต่อเมื่อระบบหลักมีปัญหา การปรับปรุงความทันสมัยของ
ข้อมูลไปยังระบบสำรองก็จะมีความถี่น้อยกว่า Warm Site ดังนั้น เมื่อเกิด
ปัญหากับ ระบบหลักจะต้องใช้เวลาในการเปิดระบบสำรองนานกว่ า แบบ
Warm Site นอกจากนั้น ยังมีแนวคิดและเทคโนโลยีการสำรองข้อมูลอื่น ๆ
อาทิ Electronic Vaulting, Mirror Processing และ Hierarchy Storage
Management ซึ่งเป็นเทคโนโลยีทางเลือกในการสำรองระบบ
4) การทดสอบแผนกู้คืนระบบ
องค์ ป ระกอบสำคั ญ ของการจั ด การการกู ้ ค ื น ระบบ ได้ แ ก่ การทดสอบ
แผนกู้คืนระบบ เพื่อการฝึกฝนการดำเนินงานในกรณีการเกิดภัยพิบัติเสมือนตามกระบวนงานที่กำหนดขึ้น
และทดสอบระบบสำรองที่จัดเตรียมไว้ โดยการทดสอบสามารถดำเนินการได้หลายวิธี ดังต่อไปนี้
1) Checklist Test: ส่งมอบ Checklist ให้กับตัวแทนที่เกี่ยวข้องเพื่อใช้ในการ
ตรวจสอบว่าแผนกู้คืนระบบที่ได้จัดทำในทุกหัวข้อมีความครบถ้วนหรือไม่
วิธ ีน ี้เหมาะสมที่จะใช้โดยผู้ตรวจสอบภายใน เพื่อทำการตรวจสอบว่า
แผนกู้คืนระบบที่มีอยู่ควรได้รับการปรับปรุงหรือแก้ไขอย่างไร ตัวอย่างเช่น
มาตรฐาน ISO/IEC 17799 ประกอบด้ ว ยสิ ่ ง ที ่ ค วรปฏิ บ ั ต ิ ใ นการ
จัดทำแผนกู้คืนระบบ ซึ่งผู้ตรวจสอบสามารถใช้ประโยชน์เพื่อตรวจสอบ
ระบบขององค์กรได้
หน้าที่ 3-99
2) Structured Walk-Through Test ตั ว แทนที ่ เ กี ่ ย วข้ อ งทั ้ ง หมดประชุ ม
ร่วมกันเพื่อทบทวนแผนกู้คืนระบบที่ได้จัดทำแล้วเสร็จในทุกหัวข้อว่ามีปัญ
หาที่ต้องแก้ไขเพิ่มเติมหรือไม่ วิธีนี้เหมาะสมที่จะใช้ในกรณีที่เพิ่งจัดทำ
หรือปรับปรุงแผนกู้คืนระบบเสร็จ และต้องการให้ผู้ที่เกี่ยวข้องตรวจสอบ
ความถูกต้องและความเหมาะสมของขั้นตอนที่จัดทำหรือปรับปรุงขึ้น
3) Simulation Test: เป็ น การจำลองเหตุ ก ารณ์ ส มมติ ข ึ ้ น มาและให้ ผู้
ที่เกี่ยวข้องทั้งหมดปฏิบัติตามแผนกู้คืนระบบที่ได้จัดทำไว้เพื่อดูว่าแผนฯ
สามารถใช้ได้จริงกับเหตุการณ์ที่จะเกิดขึ้นหรือไม่ วิธีนี้จะใช้การจำลอง
สถานการณ์ต่างๆขึ้นมา เช่น ไฟไหม้ ไฟฟ้าขัดข้องหรือเหตุหยุดชะงักอื่นๆ
เพื่อทดสอบว่าผู้ที่เกี่ยวข้องทั้งหมดมีความรู้ความเข้าใจและสามารถปฏิบัติ
ได้ อ ย่ า งถู ก ต้ อ ง รวมทั ้ ง เพื ่ อ หาจุ ด อ่ อ นต่ า ง ๆ ในแผนกู ้ ค ื น ระบบ
เพื่อการปรับปรุงและพัฒ นาต่อไป วิธ ีนี้จะดำเนินการทดสอบไปจนถึง
ขั้นตอนที่มีการย้ายศูนย์ฯ จึงสิ้นสุดการทดสอบ
4) Parallel Test: เ ป ็ น ก า ร ท ด ส อ บ แ ผ น ก ู ้ ค ื น ร ะ บ บ โ ด ย ก ำ ห น ด
ให้ใช้งานทั้งระบบที่ศูนย์คอมพิวเตอร์หลักและศูนย์คอมพิวเตอร์สำรองไปพ
ร้ อ ม ๆ กั น และนำผลที่ ไ ด้ ม าเปรี ย บเที ย บกั น เพื ่ อ ดู ค วามถู ก ต้ อ ง
วิธีนี้เหมาะสมกับกรณีที่เพิ่งดำเนินการจัดทำระบบกู้คืนที่ศูนย์สำรองฯ
แล้วเสร็จ และต้องการตรวจสอบว่าสามารถทำงานได้อย่างถูกต้องเช่นเดียว
กับศูนย์หลักฯ หรือไม่
5) Full-Interruption Test: เป็ น การทดสอบที ่ เ สมื อ นเกิ ด เหตุ ก ารณ์ จ ริ ง
โดยการหยุดระบบที่ศูนย์คอมพิวเตอร์หลักและกำหนดให้ระบบที่ศูนย์
สำรองฯ ทำงานแทน เพื่อดูว่าสามารถทำงานได้จริงเหมือนศูนย์ห ลักฯ
หรือไม่ วิธีนี้เหมาะสำหรับกรณีที่ต้องการจำลองสถานการณ์ว่าศูนย์หลักฯ
เกิดความเสียหายและศูนย์สำรองจะสามารถใช้งานได้โดยปกติ
หน้าที่ 3-101
ภาพที่ 3.7-1 สถาปัตยกรรมองค์กรปัจจุบนั (As is) ของ อ.ส.ค.
หน้าที่ 3-102
ภาพที่ 3.7-2 สถาปัตยกรรมองค์กรในอนาคต (To be) ของ อ.ส.ค.
หน้าที่ 3-103
บทที่ 4
การนำสถาปัตยกรรมองค์กร 4.0 ของ อ.ส.ค. (สำหรับปี 2567) ไปใช้งาน
สาระสำคัญหลักที่ชี้ให้เห็นถึงแนวทางการนำสถาปัตยกรรมองค์กรในอนาคตที่ได้ปรับปรุง (TO-BE
Enterprise Architecture) ของ อ.ส.ค.ไปใช้ ง าน ประกอบด้ ว ย รู ป แบบพั น ธสั ญ ญาสู ่ ค วามสำเร็ จ
(Engagement Model) การกำกับ ดูแลด้ านเทคโนโลยีดิจิ ทัล (Digital Governance) กลไกการเชื่อ มต่ อ
(Linkage Mechanism) เพื่อการนำสถาปัตยกรรมองค์กรไปใช้ อ ย่า งมีประสิทธิภ าพ การบริห ารจั ด การ
เทคโนโลยี ด ิ จ ิ ท ั ล (Digital Technology Management) แผนการดำเนิ น งานพั ฒ นาและการนำระบบ
เทคโนโลยีดิจิทัลไปใช้งาน (Digital Development and Deployment) การประเมินผลการพัฒนาและการ
นำระบบเทคโนโลยีดิจิทัลไปใช้งาน (Digital Technology Evaluation) และแนวคิดสถาปัตยกรรมองค์กร
กับการจ้างเหมาบริการ (EA and Outsourcing)
4.1. รูปแบบพันธสัญญาสู่ความสำเร็จ
การพัฒนารากฐานของระบบเทคโนโลยีดิจิทัลที่มีประสิทธิภาพและสามารถเพิ่มขีดความสามารถให้กับ
องค์ ก รของ อ.ส.ค. (DPO Capabilities) จำเป็ น ที ่ จ ะต้ อ งอาศั ย การมี ส ่ ว นร่ ว มของผู ้ ม ี ส ่ ว นได้ ส ่ ว นเสี ย
(Stakeholders) ให้การสนับสนุนตลอดวงจรของการพัฒนา (Development Life Cycle) กล่าวคือ ทุกฝ่ายที่
เกี่ยวข้องจะต้องมีบทบาทและความรับผิดชอบในระหว่างการออกแบบ การพัฒนา และการนำระบบเทคโนโลยี
ดิจิทัลไปใช้งาน รวมถึงการเพิ่มขีดความสามารถในด้านกระบวนงานทางธุรกิจให้มีความสอดคล้องกับกรอบ
สถาปัตยกรรมองค์กรที่ได้พัฒนาปรับปรุงขึ้น โดยที่รูปแบบพันธสัญญาด้านดิจิทัล (Digital Engagement Model)
ที่กำหนดขึ้นจะช่วยให้เกิดการจัดวางแนวที่สอดคล้อง (Alignment) ระหว่างเทคโนโลยีดิจิทัล กระบวนงาน และ
กระบวนการตัดสินใจของผู้บริหาร รวมทั้งช่วยในการสื่อสารและประสานงานระหว่างผู้บริหาร หน่วยธุรกิจและ
ระดั บ ที ม งานโครงการ (Project Team) ดั ง แสดงในภาพที ่ 4.1-1 ซึ ่ ง รู ป แบบพั น ธสั ญ ญาสู ่ ค วามสำเร็ จ
(Engagement Model) นี้ จะช่วยให้การพัฒนารากฐานของระบบเทคโนโลยีดิจิทัลเป็นไปอย่างมีประสิทธิภาพ
และสามารถเพิ่มขีดความสามารถให้กับองค์กรของ อ.ส.ค. (DPO Capabilities) ได้ในอนาคต
หน้าที่ 4-1
ภาพที่ 4.1-1 รูปแบบพันธสัญญาสู่ความสำเร็จ (Engagement Model) ของการนำสถาปัตยกรรมองค์กรด้านดิจิทัล
ไปใช้งาน
4.1.1. องค์ประกอบของรูปแบบพันธสัญญาสู่ความสำเร็จ (Engagement Ingredients)
รูปแบบพันธสัญญาสู่ความสำเร็จ (Engagement Model) เป็นระบบกลไกในการควบคุมที่จะ
ช่วยขับเคลื่อนการพัฒนาด้านกระบวนงานทางธุรกิจ (Business Process) และโครงการด้านเทคโนโลยีดิจิทัล
ให้ประสบความสำเร็จตามวัตถุประสงค์ของทั้งในระดับหน่วยธุรกิจ (Local Objectives) และระดับองค์กร
(Companywide Objectives) ภายใต้ กรอบสถาปั ตยกรรมองค์ ก รของ อ.ส.ค. ซึ ่ ง รู ป แบบพั น ธสั ญ ญาสู่
ความสำเร็จ (Engagement Model) มีองค์ประกอบหลัก 3 ส่วน ดังนี้
(1) การกำกับดูแลด้านเทคโนโลยีดิจิทัล (Digital Governance) เป็นกรอบอำนาจและความ
รับผิดชอบ (Rights and Accountability Framework) ในการตัดสินใจเพื่อการบริหาร
จัดการและการนำเทคโนโลยีดิจิทัลไปใช้งานขององค์กร
(2) การบริหารจัดการโครงการเทคโนโลยีดิจิทัล (Digital Technology Project Management) เป็น
กรรมวิธีในการบริหารจัดการโครงการ (Project Methodology) ซึ่งจะกำหนดแนวทาง
วิธีการและขั้นตอนรวมถึงสิ่งส่งมอบ (Deliverables) และการตรวจสอบคุณภาพของระบบ
เทคโนโลยีดิจิทัลตามมาตรฐานงานต่าง ๆ
(3) กลไกการเชื่อมต่อ (Linkage Mechanism) เพื่อการนำสถาปัตยกรรมองค์กรไปใช้ อย่างมี
ประสิทธิภาพ เป็นกระบวนงานในการประสานความเข้าใจและการตัดสินใจ (Connecting
and Decision-Making Processes) ที่จะทำให้เกิดการวางแนวที่สอดคล้องในด้านธุรกิจ
การบริหารองค์กรและเทคโนโลยีดิจิทัล รวมทั้งในด้านการเชื่อมโยงความต้องการทาง
ธุรกิจไปสู่การดำเนินโครงการเทคโนโลยีดิจิทัลอย่างมีประสิทธิภาพ
รายละเอียดของแต่ละองค์ประกอบหลักของรูปแบบพันธสัญญาสู่ความสำเร็จ (Engagement Model) ทั้ง 3
ส่วน ได้อธิบายในหัวข้อ 4.2 – 4.4
หน้าที่ 4-2
4.1.2. แนวปฏิบัติที่ดีในการสร้างพันธสัญญาสู่ความสำเร็จ (Best Practices for Engagement)
ในองค์ประกอบหลักทั้ง 3 ส่วนของรูปแบบพันธสัญญาสู่ความสำเร็จ (Engagement Model)
นั้น จะมีความสำคัญต่อการพัฒนาคุณค่าและการเพิ่มขีดความสามารถให้แก่องค์กร กล่าวคือ การกำกับดูแล
ด้านเทคโนโลยีดิจิทัล (Digital Governance) ที่มีประสิทธิภาพจะช่วยให้เกิดความชัดเจนในการกำหนดผู้มี
อำนาจตัดสินใจและความรับผิดชอบของบุคลากรในแต่ละโครงการที่มีความชัดเจน การบริหารจัดการโครงการ
เทคโนโลยีดิจิทัล (Digital Technology Project Management) ที่ดี จะทำให้สามารถลดความเสี่ยง ลด
ต้น ทุน และดำเนิน โครงการได้ตามกำหนดระยะเวลา โดยบรรลุถึงวัตถุประสงค์ของโครงการได้อย่ า งมี
ประสิทธิผล นอกจากนี้การที่มีกลไกการเชื่อมต่อ (Linkage Mechanism) เพื่อการนำสถาปัตยกรรมองค์กรไป
ใช้อย่างมีประสิทธิภาพ จะก่อให้เกิดการมีส่วนร่วมในการสนทนาแลกเปลี่ยนความคิดเห็นและการตัดสินใจที่
ถูกต้องในการบริหารจัดการทั้งด้านกระบวนงานทางธุรกิจและโครงการเทคโนโลยีดิจิทัล ซึ่งการดำเนินการนำ
สถาปัตยกรรมองค์กรของ อ.ส.ค. ไปใช้งานโดยใช้องค์ประกอบทั้ง 3 ส่วนร่วมกันในการขับเคลื่อนจะทำให้เกิด
วัฒนธรรมและพฤติกรรมที่ดีในการสร้างรากฐานที่มั่นคงในการพัฒนาและเพิ่มขีดความสามารถขององค์กรตาม
สถาปัตยกรรมองค์กรและแผนพัฒนาดิจิทัลสู่ความสำเร็จได้ในอนาคต
จากการรวบรวมข้อมูล แนวปฏิบัติที่ดี (Best Practices) ในการสร้างรูปแบบพันธสัญญาสู่
ความสำเร็ จ (Engagement Model) สามารถสรุ ป เป็ น หลั ก ปฏิ บ ั ต ิ (Principles) ในการกำกั บ ดู แ ลด้ า น
เทคโนโลยีดิจิทัล (Digital Governance) การบริหารจัดการโครงการเทคโนโลยีดิจิทัล (Digital Technology
Project Management) และการที่มีกลไกการเชื่อมต่อ (Linkage Mechanism) เพื่อการนำสถาปัตยกรรม
องค์กรไปใช้อย่างมีประสิทธิภาพได้ ดังต่อไปนี้
(1) การกำหนดวัตถุประสงค์ที่ชัดเจน (Clear, Specific, and Actionable Objectives) เพื่อ
กำหนดเป้าหมายและกลยุทธ์ที่ชัดเจนโดยจะระบุถึงมาตรฐาน (Standardization) และ
ความต้ อ งการในด้ า นการบู ร ณาการระบบเทคโนโลยี ด ิ จ ิ ท ั ล (Digital Integration
Requirements) ที่ชัดเจน ซึ่งวัตถุประสงค์ดังกล่าวจะต้องได้รับความเห็นชอบจากผู้บริหาร
ระดับสูงเพื่อกำหนดเป็นนโยบายและแนวทางในการดำเนินการพัฒนาระบบเทคโนโลยี
ดิจิทัลต่อไป
(2) การส่ ง เสริ ม เพื ่ อ ให้ บ รรลุ เ ป้ า หมายขององค์ ก ร (Motivation to Meet Company
Goals) ซึ่งเป็นวิธีการในการโน้มน้าวและสร้างแรงจูงใจให้ แก่ผู้เกี่ยวข้องในการบริหาร
จั ด การในแต่ ล ะสายงานธุ ร กิ จ ผู ้ จ ั ด การโครงการเทคโนโลยี ด ิ จ ิ ท ั ล ผู ้ จ ั ด การด้ า น
สถาปั ต ยกรรมองค์ ก ร (ถ้ า มี ) และที ม งานโครงการ เมื ่ อ โครงการต่ า ง ๆ ประสบ
ความสำเร็จ โดยอาจมีรูปแบบต่าง ๆ อาทิ โบนัสพิเศษ การประเมินผลงาน การประเมิน
ประสิทธิภาพการทำงาน
(3) การบังคับใช้อำนาจ (Enforcement Authority) เป็นวิธีการที่ใช้ควบคู่กับการส่งเสริม
เพื ่ อ ให้ บ รรลุ เ ป้ า หมายขององค์ ก ร โดยการบั ง คั บ ใช้ อ ำนาจในที ่ น ี ้ จ ะเน้ น ให้ เ กิ ด
กระบวนงานในการบริหารจัดการที่เป็นระบบ อาทิ กระบวนงานในการเปลี่ยนแปลง
(Changes) การยกเลิกการใช้งานระบบงานหรือการบริการด้านดิจิทัล (Discontinuing)
หรือการอนุญาตเป็นกรณีพิเศษ (Exceptional Grant) สำหรับโครงการเทคโนโลยีดิจิทัล
ที่ไม่เป็นไปตามกรอบหรือเป้าหมายของสถาปัตยกรรมขององค์กร เป็นต้น
(4) การป้องกันความล้มเหลวตั้งแต่ระยะเริ่มต้น (Early Intervention and Prevention) เป็น
การเข้าร่วมจัดการและป้องกันปัญหาตั้งแต่ระยะเริ่มต้นของโครงการโดยเข้าใจถึงความ
หน้าที่ 4-3
ต้ อ งการของโครงการด้ า นธุ ร กิ จ (Business Project) และมี ส ่ ว นในการออกแบบ
กระบวนงานและระบบงานรวมถึงเทคโนโลยีดิจิทัลที่ดีและเหมาะสมที่สุด เพื่อป้องการ
ความล้มเหลวในการพัฒนาโครงการเทคโนโลยีดิจิทัล และเป็นการเรียนรู้เพื่อพัฒนา
ปรับปรุงโครงสร้างของสถาปัตยกรรมองค์กรไปพร้อม ๆ กัน
(5) ก า ร ส ื ่ อ ส า ร ส อ ง ท า ง ด ้ ว ย ค ว า ม โ ป ร ่ ง ใ ส (Transparent, Regular, Two-way
Communication) เป็นการสื่อสารที่มีประสิทธิภาพเพื่อให้เกิดความเข้าใจที่ตรงกันของ
ทุกฝ่าย โดยมีวัตถุประสงค์เพื่อให้เกิดการวางแนวที่สอดคล้อง (Alignment) และการ
ประสานงาน (Coordination) ระหว่างสายงานธุรกิจ (Business Unit) และฝ่ายบริหาร
จัดการเทคโนโลยีดิจิทัล ขององค์กร ซึ่งจะเน้นการสื่อสารอย่างสม่ำเสมอทั้งสองทาง
(Regular Two-way Communication) ซึ่งการสร้ างบริบ ทในการสื่ อสารดั ง กล่ า วจะ
ก่อให้เกิดการเรียนรู้ซึ่งกันและกัน การประนีประนอมในสิ่งหรือความคิดเห็ นที่แตกต่าง
และที่สำคัญคือการสร้างความเข้าใจที่ถูกต้องตรงกันเพื่อการพัฒนาระบบเทคโนโลยีดิจิทัล
และกระบวนงานทางธุรกิจขององค์กรให้เกิดประสิทธิภาพสูงสุด
4.2. การกำกับดูแลด้านเทคโนโลยีดิจิทลั
การกำกับดูแลด้านเทคโนโลยีดิจิทัล (Digital Governance) หรือที่เรียกว่า “ธรรมาภิบาลด้านดิจิทัล
(Digital Governance)” เป็นกรอบอำนาจและความรับผิดชอบ (Rights and Accountability Framework)
ในการตัดสินใจเพื่อการบริหารจัดการและการนำเทคโนโลยีดิจิทัลไปใช้งานขององค์กร ซึ่งการกำกับดูแลด้าน
เทคโนโลยีดิจ ิทัล ดังกล่าวจะต้องเป็ น ส่ว นประกอบที่ส ำคัญในกระบวนการพัฒ นาสถาปัตยกรรมและขีด
ความสามารถขององค์กร เนื่องจากการพัฒนาและการบริหารจัดการด้านดิจิทัลมีส่วนเกี่ยวข้องกับหน่วยงาน
และผู้บริหารในหลายด้าน อาทิ ด้านการเงิน ทรัพยากรบุคคล องค์ความรู้และสิทธิ์บัตร รวมถึงทรัพย์สินต่าง ๆ
เป็นต้น โดยเฉพาะกระบวนการตัดสินใจในการอนุมัติงบประมาณ การอนุมัติดำเนินการโครงการ และการ
บริหารทรัพย์สินขององค์กร ที่ต้องอาศัยการเชื่อมโยงและการวางแนวที่สอดคล้อง (Alignment) ในระดับสาย
งานธุรกิจและระดับ องค์กรโดยรวม ซึ่ง อ.ส.ค. สามารถใช้การกำกับดูแลด้านเทคโนโลยีดิจิทัล (Digital
Governance) ดังกล่าวนี้ เพื่อช่วยในการวางกรอบการบริหารจัดการและการนำเทคโนโลยีดิจิทัลไปใช้งานของ
องค์กรใน 5 ด้าน ดังนี้
4.2.1. หลักการด้านดิจิทัล (Digital Principle)
เป็นหลักการสำหรับผู้บริหารในการตัดสินใจในประเด็นที่เกี่ยวข้องกับกลยุทธ์การใช้เทคโนโลยี
ดิจิทัลการดำเนินธุรกิจเพื่อให้เกิดประสิทธิภาพและขีดความสามารถในการแข่งขันทางธุรกิจ
4.2.2. สถาปัตยกรรมองค์กร (Enterprise Architecture)
เป็น พิมพ์เ ขีย วของโครงสร้า งการจัด การด้า นกระบวนงานทางธุร กิจ และด้านการพั ฒ นา
เทคโนโลยีดิจิทัลขององค์กร โดยมีตรรกะและความสอดคล้องในการบริหารจัดการและการดำเนินโครงการ
ด้านดิจิทัล
4.2.3. กลยุทธ์ด้านโครงสร้างพื้นฐานดิจิทัล (Digital Infrastructure Strategies)
เป็ น ระบบพื ้ น ฐานด้ า นสารสนเทศและเครื อ ข่ า ยสื ่ อ สารข้ อ มู ล รวมถึ ง ระบบการบริ ก าร
สารสนเทศที่มีการใช้งานร่วมกันของทุกหน่วยงานภายในองค์กร
หน้าที่ 4-4
4.2.4. ความต้องการด้านธุรกิจ (Business Needs)
เป็นข้อมูลความต้องการเชิงธุรกิจและกระบวนงานที่ใช้เป็นข้อมูลในการกำหนดความต้องการ
ด้านระบบเทคโนโลยีดิจิทัลเพื่อการพัฒนาหรือการจัดหาระบบฯ เพื่อการใช้งานและสร้างขีดความสามารถของ
องค์กร
4.2.5. การลงทุนและลำดับความสำคัญด้านดิจิทัล (Digital Investment and Prioritization)
เป็นกระบวนการในการจัดลำดับความสำคัญ การตัดสินเพื่อการลงทุนและงบประมาณเพื่อการ
อนุมัติดำเนินการโครงการด้านเทคโนโลยีดิจิทัลอย่างเหมาะสมโดยผู้บริหารและผู้จัดการที่เกี่ยวข้อง
เพื่อให้เข้าใจถึงบทบาทและความรับผิดชอบของแต่ละฝ่ายในการกำกับดูแลด้านเทคโนโลยีดิจิทัล (Digital
Governance) ที่ปรึกษาฯ ได้จัดทำตารางประเด็นคำถามต่อการตัดสินใจในด้านที่เกี่ยวข้องกับเทคโนโลยีดิจิทัล ดัง
แสดงในตารางที่ 4.2-1 ซึ่งจากคำถามในประเด็นที่เกี่ยวข้องชี้ให้เห็นถึงความสำคัญขององค์กรของ อ.ส.ค. ในการที่
จะต้องกำหนดบทบาทและความรับผิดชอบ รวมถึงกระบวนการตัดสินใจในด้ านกระบวนงานทางธุรกิ จและ
เทคโนโลยีดิจิทัลที่มีแบบแผนและแนวทางที่ชัดเจนโดยมีสถาปัตยกรรมองค์กรเป็นองค์ประกอบร่ วมกับคณะ
ผู้บริหาร หัวหน้าฝ่าย/สำนักงาน ผู้จัดการโครงการ รวมถึงผู้บริหารด้านสารสนเทศ (CIO) และผู้มีส่วนได้ส่วนเสีย
เพื่อให้การพัฒนากระบวนงานและเทคโนโลยีดิจิทัลเป็นไปอย่างมีประสิทธิผลและเกิดความยั่งยืนต่อไป
ตารางที่ 4.2-1 ประเด็นหลักที่สำคัญที่เกี่ยวข้องกับการดัดสินใจด้านด้านเทคโนโลยีดิจิทัล (Key Issues for Digital Decision)
ประเด็นหลักที่สำคัญ คำถามที่เกี่ยวข้อง
หลักการด้านดิจิทัล • รูปแบบการปฏิบัติงาน (Operating Model) ของ อ.ส.ค. มีผลต่อ
(Digital Principle) หลักการบริหารจัดการด้านดิจิทัล (Digital Principle) อย่างไร? ซึ่ง
ยังผลต่อแนวทางการตัดสินใจด้านเทคโนโลยีดิจิทัลของ อ.ส.ค.
• บทบาทที่สำคัญของเทคโนโลยีดิจิทัลต่อรูปแบบการปฏิบัติงานมี
อะไรบ้าง?
• พฤติกรรมการตัดสินใจด้านเทคโนโลยีดิจิทัลขององค์กร อ.ส.ค. เป็น
อย่างไร?
• ใครเป็นผู้อนุมัติการลงทุนด้านเทคโนโลยีดิจิทัล ระหว่างผู้บริหาร
สูงสุด หรือระดับสายงานธุรกิจของ อ.ส.ค.?
สถาปัตยกรรมองค์กร • อะไรเป็นกระบวนงานทางธุรกิจหลัก (Core Business Processes)
(Enterprise Architecture) ของ อ.ส.ค.? และแต่ละกระบวนงานมีความเชื่อมโยงกันอย่างไร?
• ข้อมูลหรือสารสนเทศอะไรบ้างที่เป็นหลักสำหรับกระบวนงานทาง
ธุ ร กิ จ หลั ก ของ อ.ส.ค.? และข้ อ มู ล เหล่ า นี ้ ม ี ก ารบู ร ณาการกั น
อย่างไร?
• ขีดความสามารถของเทคโนโลยีในด้านใดที่ควรเป็นมาตรฐานใน
ระดั บ องค์ ก รของ อ.ส.ค. เพื ่ อ การสนั บ สนุ น การใช้ ง านที ่ มี
ประสิทธิภาพและช่วยสร้างกระบวนงานและการบูรณาการที่ไ ด้
มาตรฐาน?
• กระบวนงานหรือกิจกรรมใดของ อ.ส.ค. ที่ควรจัดหรือยกระดับ
มาตรฐานในระดับองค์กรเพื่อให้เกิดการบูรณาการด้านข้อมูล ที่ดี
และมีประสิทธิภาพมากยิ่งขึ้น?
หน้าที่ 4-5
ประเด็นหลักที่สำคัญ คำถามที่เกี่ยวข้อง
• ทางเลือกด้านเทคโนโลยีดิจิทัล ใดบ้างที่สามารถนำมาใช้ในการ
พัฒ นาโครงการนำร่องหรือใช้งานในระยะเริ่มต้นในองค์กรของ
อ.ส.ค. ได้?
หน้าที่ 4-6
ประเด็นหลักที่สำคัญ คำถามที่เกี่ยวข้อง
การลงทุนและลำดับความสำคัญ • การเปลี่ยนแปลงหรือการปรับปรุงของกระบวนงานทางธุรกิจใดเป็น
ด้านดิจิทัล กลยุทธ์ที่สำคัญของ อ.ส.ค.?
(Digital Investment and • การพั ฒ นาด้ า นเทคโนโลยี ด ิ จ ิ ท ั ล ใดที ่ ส อดคล้ อ งและสนั บ สนุ น
Prioritization) วัตถุประสงค์เชิงธุรกิจของ อ.ส.ค.?
• อะไรมีความสำคัญต่อ อ.ส.ค. มากกว่ากันระหว่างการลงทุนด้าน
เทคโนโลยีดิจิทัล ในระดับองค์กรกับ การลงทุนในระดับสายงาน
ธุรกิจ?
• อะไรเป็ น จุ ด ความสมดุ ล ระหว่ า งโครงการตามนโยบาย (Top-
Down) กั บ โครงการตามความต้ อ งการของฝ่ า ยปฏิ บ ั ต ิ ก าร
(Bottom-Up) เพื่อรักษาจุดแข็งของการมีมาตรฐานและนวัตกรรม
ทางความคิด?
ในด้านการอำนวยการและกำกับดูแลการบริหารเทคโนโลยีดิจิทัลเพื่อให้เกิดการบูรณาการที่ดีและมี
ประสิทธิภาพสูงสุด อ.ส.ค. ควรกำหนดรูปแบบระเบียบวิธีการและคณะบุคคลเพื่อการตัดสินใจในการดำเนินการที่
เกี่ยวข้องกับกระบวนงานทางธุรกิจและการพัฒนาด้านเทคโนโลยีดิจิทัล ดังตัวอย่างในตารางที่ 4.2-2 โดยอาจ
แต่งตั้งและกำหนดบทบาทและอำนาจหน้าที่ในการตัดสินใจให้แก่คณะกรรมการและคณะทำงานต่าง ๆ ดังนี้
(1) คณะกรรมการดิจิทัล (DPO Digital Committee) ของ อ.ส.ค.
ประกอบด้วย ผู้อำนวยการ รองผู้อำนวยการ ผู้ช่วยผู้อำนวยการ มีอำนาจหน้าที่ในการ
กำหนดนโยบายและหลักการด้านดิจิทัล รวมถึงการกำหนดเป้าหมายหลักของการพัฒ นา
กระบวนงานทางธุรกิจและเทคโนโลยีดิจิทัลในระดับองค์กร (Companywide Goals) ตาม
ยุทธศาสตร์ของแผนพัฒนาดิจิทัลฯ และแผนวิสาหกิจฯ ของ อ.ส.ค. นอกจากนี้คณะกรรมการ
ดิ จ ิ ท ั ล (DPO Digital Committee) จะทำหน้ า ที ่ ใ นการพิ จ ารณาด้ า นการลงทุ น และการ
จัดลำดับความสำคัญของโครงการเทคโนโลยีดิจิทัล โดยร่วมกับคณะผู้บริหารระดับฝ่ายต่าง ๆ
(Companywide Operation หรือ CWO Unit) พร้อมด้วยหัวหน้าฝ่ายบัญชีและการเงิน เพื่อ
พิจารณาอนุมัติดำเนินการ
(2) คณะผู้บริหารระดับฝ่ายต่าง ๆ (Companywide Operation หรือ CWO Unit)
โดยรับนโยบายจากคณะอนุกรรมการพัฒนาเทคโนโลยีดิจิทัลของ อ.ส.ค. ทำหน้าที่ในการ
กำหนดรู ป แบบและการอำนวยการโครงการด้ า นเทคโนโลยี ด ิ จ ิ ท ั ล ในระดั บ องค์ ก ร
(Companywide Project) ที่อนุมัติห รือให้ความเห็นชอบโดยคณะกรรมการดิจิทัล (DPO
Digital Committee) ของ อ.ส.ค.
(3) คณะบริหารด้านเทคโนโลยีดิจิทัล (Digital Unit)
ซึ่งมีรองผู้อำนวยการที่ดูแลด้านเทคโนโลยีดิจิทัล (CIO) และผู้จัดการด้านสารสนเทศ
รวมถึงวิศวกรและทีมงานด้านเทคนิค มีอำนาจหน้าที่ในการบริหารจัดการโครงการ การบริการ
ระบบโครงสร้างพื้นฐานเพื่อให้เกิดการใช้งานร่วมกันอย่างมีประสิทธิภาพและประหยัดต้นทุน
และจัดทำแผนงานด้านเทคโนโลยีดิจิทัลตามกรอบสถาปัตยกรรมองค์กรของ อ.ส.ค.
หน้าที่ 4-7
(4) คณะกรรมการสถาปัตยกรรมองค์กร (DPO Enterprise Architecture) ของอ.ส.ค.
ประกอบด้วย รองผู้อำนวยการที่ดูแลด้านเทคโนโลยีดิจิทัล (CIO) คณะทำงานด้านดิจิทัล
และที่ปรึกษาด้านเทคโนโลยีดิจิทัล มีอำนาจหน้าที่สนับสนุนคณะบริหารด้านเทคโนโลยี ดจิ ิทัล
(Digital Unit) ในการกำหนดมาตรฐานทั้งด้านเทคโนโลยี และคุณภาพงาน (Technology
and Work Standard) ด้วยกรอบสถาปัตยกรรมองค์กรของ อ.ส.ค. เพื่อกำหนดความต้องการ
ที่มีลักษณะร่วมกัน (Common Needs) ของทุกสายงานธุรกิจและทุกโครงการที่เกี่ยวข้องกับ
เทคโนโลยีดิจิทัล รวมทั้งการปรับปรุงและพัฒนาสถาปัตยกรรมองค์กรของ อ.ส.ค. ให้ มีความ
ทันสมัยเป็นระดับขั้นของการพัฒนาสถาปัตยกรรมองค์กร (Enterprise Architecture Stage)
สู่การมีสถาปัตยกรรมองค์กรที่สมบูรณ์ (Enterprise Architecture Maturity) ในอนาคต
(5) คณะทำงานด้านดิจิทัล (DPO Digital Taskforce) ของ อ.ส.ค.
ประกอบด้วย หัวหน้าฝ่ายเทคโนโลยีดิจิทัล เจ้าหน้าที่เทคนิค (จำนวน 5 คน ขึ้นไป) และที่
ปรึกษาด้านเทคนิคเฉพาะทาง (Technical Specialists) มีอำนาจหน้าที่ในการสนับสนุนข้อมูล
เชิงกลยุทธ์ ด้านเทคนิค และรายละเอียดของแผนงาน งบประมาณและเทคโนโลยีต่าง ๆ ให้แก่
คณะบริ ห ารด้ า นเทคโนโลยี ด ิ จ ิ ท ั ล (Digital Unit) คณะผู ้ บ ริ ห ารระดั บ ฝ่ า ยต่ า ง ๆ
(Companywide Operation หรื อ CWO Unit) และคณะกรรมการดิ จ ิ ท ั ล (DPO Digital
Committee) เพื่อประกอบการตัดสินใจและการดำเนินการโครงการด้านเทคโนโลยีดิจิทัลต่าง ๆ
ของ อ.ส.ค.
ตารางที่ 4.2-2 การกำกับดูแลด้านเทคโนโลยีดิจิทัล (Digital Governance)
การตัดสินใจด้านดิจิทัล การบริหารจัดการและกระบวนการ
(Digital Decision) (Management and Process)
หลักการด้านดิจิทัล จัดตั้งคณะกรรมการดิจิทัล (DPO Digital Committee) ของ อ.ส.ค.
(Digital Principle) ประกอบด้วย ผู้ อำนวยการ รองผู้ อำนวยการ ผู้ ช่ว ยผู้ อำนวยการ
และคณะผู้ บ ริ ห ารระดับฝ่ายต่าง ๆ (Companywide Operation
หรื อ CWO Unit) โดยรั บ นโยบายจากคณะอนุ ก รรมการพั ฒ นา
เทคโนโลยีดิจิทัลของ อ.ส.ค.
สถาปัตยกรรมองค์กร จั ด ตั ้ ง คณะกรรมการสถาปั ต ยกรรมองค์ ก ร (DPO Enterprise
(Enterprise Architecture) Architecture) ของอ.ส.ค. ประกอบด้วย รองผู้อำนวยการที่ดูแล
ด้านเทคโนโลยีดิจิทัล (CIO) คณะทำงานด้านดิจิทัล และที่ปรึกษา
ด้านเทคโนโลยีดิจิทัล
กลยุทธ์ด้านโครงสร้างพื้นฐานดิจิทัล จัดตั้งคณะทำงานด้านดิจิทัล (DPO Digital Taskforce) ของ อ.ส.ค.
(Digital Infrastructure ประกอบด้วย หัวหน้าฝ่ายเทคโนโลยีดิจิทัล เจ้าหน้าที่เทคนิค (จำนวน
Strategies) 5 คน ขึ ้ นไป) และที ่ ปรึ ก ษาด้ า นเทคนิ ค เฉพาะทาง (Technical
Specialists)
ความต้องการด้านธุรกิจ คณะผู้บริหารระดับฝ่ ายต่าง ๆ (CWO Unit) กำหนดวิสัยทัศน์และ
(Business Needs) ความต้องการระบบบูรณาการระดับองค์กร (Enterprise Systems)
หัวหน้าฝ่ายแต่ละฝ่าย กำหนดวิสัยทัศน์และความต้องการระบบงาน
เฉพาะสายงาน (Local Application)
หน้าที่ 4-8
การตัดสินใจด้านดิจิทัล การบริหารจัดการและกระบวนการ
(Digital Decision) (Management and Process)
การลงทุนและลำดับความสำคัญ คณะกรรมการดิจิทัล (DPO Digital Committee) โดยร่วมกับคณะ
ด้านดิจิทัล (Digital Investment ผู้บริหารระดับฝ่ายต่าง ๆ (Companywide Operation หรือ CWO
and Prioritization) Unit) พร้อมด้วยหัวหน้าฝ่ายบัญชีและการเงิน พิจารณาด้านการ
ลงทุน
4.3. การบริหารจัดการโครงการเทคโนโลยีดิจิทัล
ในการดำเนินการด้านกิจกรรมและโครงการต่าง ๆ ของ อ.ส.ค. ตามแผนงาน/โครงการที่ กำหนดใน
แผนปฏิบัติการดิจิทัลฯ โดยให้สอดรับกับแผนกลยุทธ์ (Roadmap) ในการดำเนินการให้เป็นไปตามที่กำหนดใน
แผนพัฒนาดิจิทัลฯ และแผนวิสาหกิจฯ ให้บรรลุถึงเป้าหมายของโครงการ (Project Objectives) และเป้าหมาย
ทางธุรกิจ (Business Objectives) ของ อ.ส.ค. ได้อย่างมีประสิทธิภาพนั้น จำเป็นต้องมีการบริหารงานโครงการ
และการติดตาม พร้อมการวิเคราะห์ประเมินผลการดำเนินงานตามแผนงาน/โครงการให้เป็นไปตามนโยบายและ
มาตรฐานรวมทั้งเกณฑ์ประเมินของ สคร. ทั้งนี้เพื่อให้เกิดความคุ้มค่า ลดความเสี่ยงและเกิดประสิทธิผลมากที่สุด
รวมถึงการมีข้อมูลและแนวทางเพื่อการปรับปรุงการดำเนินงานโครงการและแผนงานต่าง ๆ ที่ต้องดำเนินการใน
อนาคตได้อย่างเป็นระบบ ซึ่ง การบริหารจัดการโครงการเทคโนโลยีดิจิทัล (Digital Technology Project
Management) จะพิ จ ารณานำหลั ก คิ ด (Concept) กรรมวิ ธ ี ใ นการบริ ห ารจั ด การโครงการ (Project
Methodology) แนวทางและเครื่องมือในการบริหารและติดตามการดำเนินงานตามแผนงาน/โครงการ รวมทั้ง
การประเมินผลการพัฒนาและการนำระบบเทคโนโลยีดิจิทัลไปใช้งาน (Digital Technology Evaluation) ตาม
หลักสากลที่เป็นที่ยอมรับโดยทั่วไปตามรายลเอียดที่จะกล่าวถึง ดังต่อไปนี้
4.3.1. หลักคิดและแนวทางการบริหารงานและติดตามการดำเนินงานตามแผนงาน/โครงการ
หลักการบริหารโครงการ (Project Management) เป็นการจัดการกิจกรรมต่าง ๆ ในระหว่าง
การดำเนินงานโครงการ ซึ่งต้องอาศัยพื้นฐานการจัดการต่าง ๆ ได้แก่ การจัดองค์กรบริหารจัดการโครงการ
(Project Organizing) การวางแผนงาน (Planning) การนำและสร้างแรงจูงใจ (Leading and Motivating)
การอำนวยการและการจั ด การ (Directing and Managing) การติ ด ตามและควบคุ ม การดำเนิ น งาน
(Monitoring and Controlling) และการใช้ ท รั พ ยากรต่ า ง ๆ (Resource Managing) ที ่ ม ี อ ยู ่ อ ย่ า งจำกั ด
เพื่อให้บรรลุตามเป้าหมายและวัตถุประสงค์ ภายในกรอบระยะเวลา และด้วยงบประมาณของโครงการที่วางไว้
โดยสามารถรักษาระดับความพึงพอใจให้กับผู้มีส่วนได้ส่วนเสียอย่างเหมาะสม ทั้งนี้ การบริหารโครงการที่มี
ประสิทธิภาพจะช่วยให้แผนงานมีความชัดเจนมากยิ่งขึ้น ลดปัญหาความขัดแย้งและความซ้ำซ้อนในหน้าที่
ความรับผิดชอบของบุคลากร ลดความเสี่ยงในการดำเนินงานโครงการ รวมทั้งการจัดสรรทรัพยากรให้เพียงพอ
และเหมาะสมกับการปฏิบัติงานจริง ในการบริหารและติดตามการดำเนินงานตามแผนงาน/โครงการ อ.ส.ค.
อาจใช้หลักคิดเชิงกลยุทธ์เพื่อการบริหารงานโครงการตามวัตถุประสงค์ (Management by Objective: MBO)
ซึ่งเป็นแนวคิดและกรรมวิธีการบริหารงานโครงการที่เป็นมาตรฐานของ Project Management Institute (PMI)
และถือเป็นหนึ่งในแนวทางปฏิบัติที่ดีสุด (Best Practices) ที่เป็นที่ยอมรับโดยทั่วไป และสามารถนำหลักคิดและ
กรรมวิธีดังกล่าวมาประยุกต์ใช้ในการบริหารแผนงาน/โครงการของ อ.ส.ค. โดยกำหนดแนวทางและขั้นตอนหลัก
ของการบริหารจัดการโครงการเป็น 3 ระยะ ดังแสดงในภาพที่ 4.3-1
หน้าที่ 4-9
ภาพที่ 4.3-1 แนวทางการบริหารและติดตามการดำเนินงานตามแผนงาน/โครงการตามวัตถุประสงค์ (Management by
Objective: MBO)
หน้าที่ 4-10
(4) ประเมินความเสี่ยงเบื้องต้นที่อาจมีผลกระทบต่อการดำเนินการโครงการซึ่ง
ผลลัพธ์ที่ได้จากกิจกรรมต่าง ๆ ในระยะนี้จะทำให้รับทราบขอบเขต เนื้องาน
และเงื่อนไขต่าง ๆ โดยละเอียด โดยจะนำไปใช้ในการวางแผนโครงการต่อไป
4.3.1.2 การวางแผนงานโครงการ (Plan the Project) เป็นการวางแผนงานจากข้อกำหนด
ขอบเขตงานโครงการ โดยมีรายการกิจกรรมที่สอดคล้องกับขอบเขตงานและเงื่อนไข
ต่าง ๆ กำหนดการดำเนินการ และรายละเอียดของแผนงาน โดยจะดำเนินงานตาม
กิจกรรมหลักดังต่อไปนี้
(1) กำหนดกิ จ กรรมโครงการในรายละเอี ย ด (Work Break-down Structure:
WBS)
(2) กำหนดระยะเวลาของแต่ละกิจกรรมข้างต้น
(3) กำหนดทรัพยากรที่จำเป็นของแต่ละกิจกรรม
(4) สร้างและวิเคราะห์โครงข่ายกิจกรรม (Network Diagram)
(5) จัดทำแผนงานโครงการ
(6) กำหนดสิ่งส่งมอบ
4.3.1.3 การติดตามควบคุม และจัด การโครงการ (Track & Manage the Project) เป็น
การเฝ้ า ระวั งและจั ดทำรายงานประจำสั ปดาห์ ที่ ระบุ ถึง ความคื บ หน้า ของงาน
รวมทั้งปัญหาอุปสรรคและข้อจำกัดของการดำเนินกิจกรรมต่าง ๆ ในระหว่างการ
ดำเนินงานโครงการ ซึ่งผู้จัดการโครงการจะใช้ข้อ มูลที่ได้จากรายงานดังกล่าวใน
การกำกับดูแลโครงการให้สามารถดำเนินการตามแผนงานได้ ทั้งในด้านกิจกรรม
ระยะเวลา คุณภาพงานและการส่งมอบงาน โดยกิจกรรมหลักที่เกิดขึ้นในระยะนี้
ได้แก่
(1) จัดทำระบบติดตามและรายงานความก้าวหน้างาน
(2) กำกับดูแลและติดตามความก้าวหน้างาน โดยพิจารณาควบคู่กับแผนงาน
(3) นำกรรมวิธีการบริหารประเด็นมาใช้เพื่อจัดการประเด็นต่าง ๆ ในเวลาที่
เหมาะสม
(4) นำกระบวนงานและขั้นตอนตามมาตรฐานสากลหรือมาตรฐานที่ยอมรับ เพื่อ
ใช้ในการติดตามความก้าวหน้างาน
(5) การควบคุมคุณภาพงานต่าง ๆ ได้แก่ งานออกแบบ งานพัฒนาระบบ งาน
ก่อสร้าง
(6) งานติดตั้งและทดสอบระบบ และงานที่เกี่ยวข้องอื่น ๆ
(7) ทำการปรับปรุงแผนงานเพื่อเร่งรัดงาน หากพบว่าติดปัญหาอุปสรรค หรือ
ล่าช้า
หน้าที่ 4-11
4.3.2. กรรมวิธีในการบริหารจัดการโครงการ (Project Methodology)
การบริหารจัดการโครงการเทคโนโลยีดิจิทัล (Digital Technology Project Management) จะ
ใช้กรรมวิธีในการบริหารจัดการโครงการ (Project Methodology) เพื่อกำหนดแนวทางวิธีการและขั้นตอนรวมถึง
สิ่งส่งมอบ (Deliverables) และการตรวจสอบคุณภาพของระบบเทคโนโลยีดิจิทัลตามมาตรฐานงานต่าง ๆ ใน
ระหว่างการดำเนินงานโครงการตลอดวงจรอายุของโครงการ (Project Life Cycle) โดยเริ่มตั้งแต่การจั ดทำ
ข้อเสนอโครงการ (Project Proposal) การศึกษาความต้องการ (Requirement Study) การกำหนดคุณลักษณะ
เฉพาะของระบบ (System Specifications) การจัดหา (Procurement) การพัฒนาระบบ (Development) การ
ติดตั้งใช้งาน (Implementation) การจัดการการเปลี่ยนแปลง (Change Management) การใช้งาน (Usage)
การบำรุงรักษา (Maintenance) การปรับปรุง (Enhancement) จนถึงการปลดระวาง (Obsolescence) ของ
ระบบเทคโนโลยีดิจิทัล ซึ่งที่ปรึกษาฯ ขอเสนอกรรมวิธีในการบริหารจัดการโครงการตามแนวทางปฏิบั ติที่เป็น
สากลมาเพื่อเป็นแนวทางในการประยุกต์ใช้งานสำหรับ อ.ส.ค. โดยแบ่งเป็น 2 กรรมวิธี ได้แก่
4.3.2.1 การบริหารจัดการโครงการโดยใช้การบริหารงานเชิงคุณภาพ PDCA
การดำเนิน งานโครงการโดยใช้หลักการบริหารงานเชิงคุณภาพ PDCA (Plan-Do-Check-Act Cycle) ซึ่ง
ประกอบด้วยปัจจัยสำคั ญ 4 ประการ ได้แก่ การวางแผน (Plan) การปฏิบัติ (Do) การตรวจสอบ (Check)
และการปรับปรุงการดำเนินงานอย่างเหมาะสม (Act) เพื่อให้การดำเนินงานตามขอบเขตงานของโครงการ
เป็ น ไปตามระยะเวลา (Schedule) งบประมาณ (Budget) และคุ ณ ภาพ (Quality) ที ่ ก ำหนดไว้ ใ น
วัตถุประสงค์ของโครงการ โดยสามารถตรวจสอบและปรับปรุงการปฏิบัติงานได้อย่างทันท่วงทีหากพบว่ามี
ปัญหาหรืออุปสรรคต่าง ๆ ในระหว่างการดำเนินโครงการ ซึ่งกรรมวิธีการบริหารจัดการโครงการโดยใช้การ
บริหารงานเชิงคุณภาพ PDCA (Project Management by Plan-Do-Check-Act Cycle) นี้ สามารถสรุป
โดยสังเขปได้ ดังต่อไปนี้
(1) การวางแผน (Plan: P)
เป็ น ขั้น ตอนการกำหนดแนวทางการดำเนิน งาน รายละเอียดขอบเขตการ
ดำเนิ น งานต่ า ง ๆ ตามขอบเขตงาน ตั้ ง แต่ เ ริ่ ม ต้ น จนสิ้ น สุ ด การดำเนิ น งาน
โครงการ พร้อมกับพิจารณากำหนดผู้รับผิดชอบในส่วนงานต่าง ๆ ผลลัพธ์ที่ได้
และระยะเวลาการดำเนินงานไว้อย่างชัดเจน เพื่อให้ผู้ปฏิบัติงานสามารถประเมิน
ความเป็ น ไปได้ รวมทั้ ง ปั ญ หาและอุ ป สรรคที่ อ าจจะเกิ ด ขึ้ น ในอนาคต โดยใน
ขั ้ น ตอนนี ้ จ ะเริ ่ ม ต้ น ตั ้ ง แต่ ก ระบวนการจั ด ทำแผนการดำเนิ น งาน (Project
Schedule) งบประมาณ (Budget) และคุ ณ ภาพงาน (Quality) โดยผู ้ จ ั ด การ
โครงการ (Project Manager) ผู ้ จ ั ด การงานโครงการ (Task Manager) และ
ผู้เกี่ยวข้อง (Stakeholder) เพื่อร่วมกันกำหนดรายละเอียดของกิจกรรม วิธีการ
ดำเนินงาน ระยะเวลาของแต่ละกิจกรรม และส่วนอื่น ๆ ที่เกี่ยวข้อง จากนั้น จึง
นำแผนการดำเนิ น งานดั ง กล่ า ว นำเสนอในที ่ ป ระชุ ม เปิ ด โครงการ ( Kickoff
Meeting) เพื ่ อ หารื อ และสร้ า งความเข้ า ใจร่ ว มกั น รวมทั ้ ง รั บ ฟั ง ข้ อ คิ ด เห็ น
ข้อเสนอแนะ ตลอดจนขอรับการสนับสนุนจากผู้บริหารหรือคณะกรรมการกำกับ
(Steering Committee) ในประเด็นสำคัญที่เกี่ยวข้องกับโครงการ
(2) การปฏิบัติ (Do: D)
เป็ น ขั ้ น ตอนการปฏิ บ ั ต ิ ต ามการวางแผน (Plan: P) และตามแผนการ
ดำเนินงาน (Project Schedule) ที่กำหนดไว้ในขั้นตอนวางแผนอย่างเป็นระบบ
หน้าที่ 4-12
ตามรายการกิ จ กรรมและช่ ว งระยะเวลาที ่ ไ ด้ ก ำหนดไว้ ในขั ้ น ตอนนี ้ จ ึ ง
ประกอบด้ ว ยกิ จ กรรมที ่ ห ลากหลายตามขอบเขตงาน (Scope of Work) ที ่
กำหนดไว้ โดยในขั้นตอนการปฏิบัติของแต่ละกิจกรรมจะเน้นการดำเนินการตาม
กรอบและข้อกำหนดด้านคุณภาพงาน ได้แก่ การออกแบบระบบ การพัฒนาระบบ
การติดตั้งระบบ การทดสอบระบบ การนำไปใช้งาน และการถ่ายทอดเทคโนโลยี
ซึ่งจะเน้นขั้นตอนและคุณภาพการปฏิบัติงานให้เป็นไปตามมาตรฐานต่าง ๆ อาทิ
มาตรฐานวิศวกรรมซอฟต์แวร์ ISO12207 มาตรฐาน ITU และ IEEE เป็นต้น
(2) การตรวจสอบ (Check: C)
เป็ น ขั้ น ตอนภายหลั งจากที่ ไ ด้มี ก ารปฏิบั ติ ง านจริ ง โดยผู้ จั ด การโครงการ
(Project Manager) จะทำการติดตามผลการดำเนินงานโครงการในด้านต่าง ๆ
เปรีย บเทีย บกับ เป้าหมายที่กำหนดไว้ในแผนการดำเนินงาน ว่าเป็นไปตามแผน
หรือไม่ มีปัญหาหรืออุปสรรคใดที่ส่ งผลกระทบต่ อ การดำเนินโครงการ เพื่อให้
สามารถเร่งดำเนินการแก้ไขได้อย่างทันท่วงที ดังนั้น ในขั้นตอนการตรวจสอบจึง
ครอบคลุ ม ในทุ ก ๆ กิ จ กรรม ที ่ ก ำหนดไว้ ใ นแผนการดำเนิ น งาน ทั ้ ง นี ้ การ
ตรวจสอบการดำเนินงานเป็นระยะ ๆ ตามจุดตรวจสอบ (Check Points) จะช่วย
ลดความเสี่ยง (Risk) ที่อาจจะก่อให้เกิดข้อผิ ดพลาดจากการดำเนินงานลงได้ ซึ่ง
เป็นส่วนสำคัญในการบริหารเชิงคุณภาพเพื่อให้เกิดการประกันคุณภาพ (Quality
Assurance) ใ น ร ะ ห ว ่ า ง ก า ร ด ำ เ นิ น ง า น โ ค ร ง ก า ร ใ ห้ มี ป ร ะ สิ ท ธ ิ ภ า พ
(Performance) และลดต้ น ทุ น (Cost Reduction) จากการเปลี่ ย นแปลงหาก
เกิดกรณีขึ้นบ่อยครั้งในระหว่างการดำเนินงาน จากนั้นผู้จัดการโครงการจะทำการ
สรุ ป ผลการดำเนิ น งาน เพื ่ อ ให้ ท ราบถึ ง สถานะปั จ จุ บ ั น และรายงานให้
คณะกรรมการและผู้บริหารทราบต่อไป
(3) การปรับปรุงการดำเนินงานอย่างเหมาะสม (Act: A)
เป็นขั้นตอนภายหลังจากที่ได้ทำการปฏิบัติ (Do: D) และตรวจสอบ (Check: C)
เป็นที่เรียบร้อยแล้ว โดยผู้จัดการโครงการและทีมงานจะนำผลการตรวจสอบหรือ
ข้อมูล ที่ค้น พบต่าง ๆ เหล่านั้น มาดำเนินงานปรับปรุงแก้ไขให้การดำเนิ น งาน
โครงการ เป็นไปอย่างมีประสิทธิภาพมากขึ้น โดยในขั้นตอนนี้จะเป็นเรื่องที่เกี่ยวข้อง
กับการวิเคราะห์ผลสำเร็จของกิจกรรมในแต่ ละขอบเขตงาน ปัญหาอุปสรรค การ
เปลี่ยนแปลง เพื่อดำเนินการปรับปรุงแผนการดำเนินงาน (Project Re-schedule)
งบประมาณ (Budget Adjustment) ให้เหมาะสมกับสถานการณ์จริงในปัจจุบัน
พร้อมการรับฟังนโยบายจากคณะกรรมการฯหรือผู้บริหารเพื่อกำหนดมาตรการและ
แนวทางการแก้ไขปัญหาและการเปลี่ยนแปลงงานที่อาจเกิดขึ้นในระหว่างการ
ดำเนินงาน ทั้งนี้เพื่อให้การดำเนินงานโครงการบรรลุถึงวัตถุประสงค์ของโครงการที่
กำหนดไว้
4.3.2.2 การบริหารจัดการโครงการแบบ Agile (Agile Project Management)
การบริหารจัดการโครงการในลักษณะของ Agile Method นั้น ได้แนวคิดมาจากการพัฒนาระบบงานหรือ
ซอฟต์แวร์แบบ Agile ซึ่งลดประเด็นข้อจำกัดของการพัฒนาซอฟต์แวร์แบบดั้งเดิมซึ่งจะเป็นดำเนินการตาม
กระบวนการทีละขั้นตอนทำให้ใช้ทรัพยากรจำนวนมากและระยะเวลาที่ยาวนานในการดำเนินงานโครงการ
หน้าที่ 4-13
โดยที่การบริหารจัดการโครงการแบบ Agile (Agile Project Management)รายะเอียดดังแสดงในภาพที่ 4.3-
2 จะช่วยลดระยะเวลาการดำเนินงานและเพิ่มประสิทธิภาพการบริหารจัดการโครงการพัฒนาระบบเทคโนโลยี
ดิจิทัลได้ โดยมีแนวคิดที่สำคัญ ดังนี้
(1) การมุ่งเน้นไปที่การพัฒนาหรือให้ได้มาซึ่งผลงานหรือสิ่งส่งมอบที่เป็นไปตาม
หรือดีกว่าข้อกำหนดโครงการ TOR
(2) การยอมรับความเปลี่ยนแปลง เพราะความต้องการขององค์กรหรือหน่วยงานที่
เกี่ยวข้อง อาจเปลี่ยนแปลงได้ตลอดเวลาและเอกสารข้อกำหนดโครงการ TOR
ไม่สามารถครอบคลุมข้อกำหนดได้ทุกประเด็น จึงต้องมีความยืดหยุ่นตามสิ่งที่
เกิดขึ้นจริงเป็นหลัก
(3) การส่งมอบผลงานหรือสิ่งส่งมอบอย่างต่อเนื่องทีละเล็กทีละน้อย อาทิ การ
กำหนดให้มีการส่งมอบสิ่งใหม่ที่ได้ดำเนินการไปทุก ๆ 2 สัปดาห์ หรือทุก ๆ 1
เดือน โดยไม่จำเป็นต้องรอจนถึงกำหนดส่งมอบตามงวดงาน แล้วจึงดำเนินการ
ส่งมอบผลงานทีเดียว แนวทางการส่งมอบผลงานดังกล่าวทำให้สามารถค้นพบ
ข้อผิดพลาดได้อย่างรวดเร็วและสามารถดำเนินการแก้ไขได้ทันท่วงที ไม่อาศัย
การวางแผนโดยละเอียดเพื่อป้องกันความผิดพลาด ซึ่งหากการวางแผนงาน
โครงการไม่มีประสิทธิภาพที่ดีพอ อาจจะทำให้เจอข้อผิดพลาดและดำเนินการ
ปรับปรุงแก้ไขช้าเกินไป ทำให้มีต้นทุนในการปรับปรุงแก้ไขที่สูงขึ้นและไม่
สามารถส่งมอบผลงานได้ภายในกำหนดระยะเวลา
(4) การมุ่งเน้นการทำงานเป็นทีม และการมีปฏิสัมพันธ์ระหว่างบุคคล ทั้งในส่วน
ผู้จัดการโครงการ ทีมงานโครงการ และหน่วยงานเจ้าของโครงการ ซึ่งสามารถ
หน้าที่ 4-14
ช่วยแก้ไขปัญหาและป้องกันความเข้าใจผิดในขอบเขตงาน หรือข้อกำหนด
ความต้องการในเอกสาร TOR โดยให้เจ้าของโครงการเข้ามามีส่วนร่วมตั้งแต่
เริ่มกระบวนการ
4.3.2.3 แนวทางการบริหารจัดการโครงการแบบ PSD
(1) Project Backlog: เป็นงานที่ต้องดำเนินการ ทั้งจากเอกสารข้อกำหนดโครงการ
ความเห็นและความต้องการของผู้ควบคุมงาน คณะกรรมการตรวจการจ้าง
และจากทีมงานโครงการเอง ทั้งนี้ ผู้จัดการโครงการ (Project Manager) จะ
เป็นคนตัดสินใจนำรายการงานที่ต้องดำเนินการต่าง ๆ เหล่านี้เข้าไปใน Sprint
ตามลำดับความสำคัญ (พิจารณาเปรียบเทียบผลลัพธ์ (Value) ของงานเทียบ
กับความพยายาม (Effort) ที่ต้องใช้)
(2) Sprint Phase : เนื่องจากการบริหารจัดการโครงการแบบ Agile นั้น เน้นการ
พัฒนาหรือการให้ได้มาซึ่งผลงานและสิ่งส่งมอบอย่างรวดเร็ว ซึ่งระยะเวลาใน
การดำเนินการในแต่ละช่วง เรียกว่า Sprint โดยมีกำหนดประมาณ 2-4 สัปดาห์
ทั้งนี้ เป้าหมายของ Sprint คือการให้ไ ด้ ม าซึ่ งผลงานที่ ผ ู้ จั ดการโครงการ
(Project Manager) ได้ประเมินว่าควรทำตั้งแต่ ก่อ นเริ่ม Sprint ซึ่งเมื่อ จบ
Sprint ก็จะมีการประเมินและทบบทวนผลงาน (Sprint Review) ให้กับผู้ที่
เกี่ยวข้อง อาทิ ผู้ควบคุมงาน คณะกรรมการตรวจการจ้าง และบริษัทผู้รับจ้าง
เพื่อให้รับทราบถึงความคืบหน้าของโครงการตลอดเวลา
(3) Daily Scrum Meeting: ในทุ ก ๆ เช้ า ที ม บริ ห ารจั ด การโครงการจะมี ก าร
ประชุมสั้นๆ 10-15 นาที เพื่อบอกว่าเมื่อวานทำอะไร วันนี้จะทำอะไร และมี
ปัญหาอะไรบ้าง เพื่อให้การทำงานในทุก ๆ วันเป็นไปตามแผน และสามารถ
การแก้ไขปัญหาอย่างต่อเนื่อง
4.3.2.4 การเปรียบเทียบระหว่าง การบริหารจัดการโครงการแบบตามขั้นตอน และ แบบ Agile
การบริหารจัดการโครงการแบบตามขั้นตอน และ แบบ Agile มีข้อแตกต่างดังแสดง
ในภาพที่ 4.3-3 (a) และ 4.3-3 (b) ตามลำดับ ซึ่งการบริหารจัดการโครงการแบบ Agile
จะช่วยลดโอกาสเกิดความผิดพลาดสิ่งส่งมอบไม่เป็นไปตามข้อกำหนดโครงการและลด
โอกาสในการส่งมอบงานช้ากว่ากำหนด
หน้าที่ 4-15
(a) (b)
ภาพที่ 4.3-3 (a) และ (b) การเปรียบเทียบระหว่าง Sequential Method และ Agile Method
ในเชิงกระบวนงานและผลลัพธ์ของการดำเนินงานโครงการ
4.4. กลไกการเชื่อมต่อเพื่อการนำสถาปัตยกรรมองค์กรไปใช้อย่างมีประสิทธิภาพ
กลไกการเชื่อมต่อ (Linkage Mechanism) เพื่อการนำสถาปัตยกรรมองค์กรไปใช้อย่างมีประสิทธิภาพ
เป็ น กระบวนงานในการประสานความเข้ า ใจและการตั ด สิ น ใจ (Connecting and Decision-Making
Processes) ที่จะทำให้เกิดการวางแนวที่สอดคล้องในด้านธุรกิจ การบริหารองค์กรและเทคโนโลยีดิจิทัล
รวมทั ้ ง ในด้ า นการเชื ่ อ มโยงความต้ อ งการทางธุ ร กิ จ ไปสู ่ ก ารดำเนิ น โครงการเทคโนโลยี ด ิ จ ิ ท ั ล อย่ า งมี
ประสิทธิภาพ ที่ชี้ให้เห็นถึงการเชื่อมต่อทั้ง ด้านแนวราบ (Alignment) คือ การประสานให้เกิดความเข้าใจที่
ชั ด เจนระหว่ า งเป้ า หมายทางธุ ร กิ จ และเป้ า หมายรวมทั ้ ง ข้ อ จำกั ด ด้ า นเทคโนโลยี ด ิ จ ิ ท ั ล ส่ ว นแนวดิ่ง
(Coordination) คือ การประสานในด้านเป้าหมายทางธุรกิจสู่เป้าหมายของโครงการด้านเทคโนโลยีดิจิทัล
และการประสานด้านมาตรฐานและการควบคุมโครงการภายใต้ การกำกับดูแลด้านเทคโนโลยีดิจิทัล (Digital
Governance) และสถาปัตยกรรมองค์กร ดังแสดงในภาพที่ 4.4-1
หน้าที่ 4-16
การวางแนวที่สอดคล้อง
การเชื่อมต่อของธุรกิจ
ธุรกิจ (Alignment)เทคโนโลยีดิจิทัล
(Business Linkage)
• จัดลำดับความสำคัญ ยุทธศาสตร์องค์กร สถาปัตยกรรม ระดับองค์กร
โครงการ และการปฏิบตั ิงาน องค์กร (Corporate)
• ผู้สนับสนุน (Business
การประสานงาน
Sponsor)
DPO EA 4.0
• ให้มีส่วนร่วมตั้งแต่ระยะ
เริ่มต้น ยุทธศาสตร์หน่วยงาน สถาปัตยกรรม ระดับหน่วยงาน
• ติดตามทบทวนโครงการโดย และการปฏิบตั ิงาน ของ (Business Unit)
ผู้บริหาร หน่วยงาน
• ประเมินผลการดำเนิน
โครงการตามเป้าหมายของ แผนงานโครงการ สถาปัตยกรรมระบบ ระดับทีมงาน
องค์กร
• ให้รางวัลเพื่อสร้างแรงจูงใจ (Project Plan) สารสนเทศ (Project Team)
ตามเป้าหมายขององค์กร
การเชื่อมต่อของสถาปัตยกรรม
การเชื่อมต่อของการวางแนวที่สอดคล้อง (Architecture Linkage)
(Alignment Linkage) • มีสถาปนิกองค์กรอยู่ในทีมงานโครงการ
• กำหนดผู้จัดการระหว่างธุรกิจและสารสนเทศ • จัดการสิ่งที่ไม่อยู่ในสถาปัตยกรรม
(CIO) • ฝึกอบรมด้านสถาปัตยกรรม
• มีสำนักงานโครงการ (Project Management • สนับสนุนงบประมาณอย่างต่อเนื่องตามกรอบการพัฒนาที่กำหนดใน
Office) สถาปัตยกรรม
• ฝึกอบรมผู้จัดการโครงการ
หน้าที่ 4-17
4.4.1.2 จัดการสิ่งที่ไม่อยู่ในสถาปัตยกรรม (Architecture Exception Management) เพื่อ
จัดการกับปัญหาหรือระบบงานที่ไม่เป็นไปตามระเบียบ แบบแผน กฎเกณฑ์ที่เป็น
มาตรฐานของสถาปัตยกรรมองค์กร ให้สามารถทำงานร่ วมกันโดยลดผลกระทบของ
การะบวนงานจากปัญหาหรือระบบงานดังกล่าว
4.4.1.3 ฝึกอบรมด้านสถาปัตยกรรม (Architecture Training) เป็นการถ่ายทอดองค์ความรู้
และประสบการณ์รวมทั้งแนวปฏิบัติที่ดีในด้านที่เกี่ยวข้องกับสถาปัตยกรรมองค์กร
ของ อ.ส.ค. ให้แก่สมาชิกในทีมงานบริหารจัดการโครงการและผู้มีส่วนได้ส่วนเสีย
เพื ่ อ ให้ เ กิ ด ความเข้ า ใจในโครงสร้ า งและการบริ ห ารจั ด การพร้ อ มแผนกลยุ ทธ์
(Roadmap) ของการพัฒนาสถาปัตยกรรมองค์กรของ อ.ส.ค. ในอนาคต
4.4.1.4 สนับสนุนงบประมาณอย่างต่อเนื่อง (Project Funding and Continuation) ตาม
กรอบการพัฒนาที่กำหนดในสถาปัตยกรรมองค์กร โดยการกำหนดนโยบายและแนว
ทางการสนับสนุนโครงการที่สอดรับกับสถาปัตยกรรมองค์กรและแผนพัฒนาดิจิทัลฯ
ของ อ.ส.ค. ให้มีความต่อเนื่องและเพียงพอเพื่อให้บรรลุถึงเป้าหมายทั้งด้านระบบ
เทคโนโลยีดิจิทัลและเป้าหมายทางธุรกิจ
4.4.2. การเชื่อมต่อของธุรกิจ (Business Linkage)
การเชื่อมต่ อของธุร กิจ เป็น ส่ว นของการประสานเชื่อมโยงเป้าหมายทางธุรกิจให้เกิด การ
ถ่ายทอดสู่เป้าหมายของการดำเนินงานโครงการด้านเทคโนโลยีดิจิทัลอย่างมีประสิทธิภาพ กล่าวคือ การทำ
ให้ผลการดำเนินงานโครงการฯ บรรลุถึงเป้าหมายโดยมีผลลัพธ์ของการใช้งานระบบเทคโนโลยีดิจิทัลที่สามารถ
สนับสนุนกระบวนงานทางธุรกิจที่มีประสิทธิภาพและส่งผลที่ดีต่อการทำธุรกรรมและการเพิ่มผลผลิตให้บรรลุ
เป้าหมายทางธุรกิจได้อย่างมีประสิทธิผล โดยที่ การเชื่อมต่อของธุรกิจ (Business Linkage) จะเน้นถึงการ
ประสานงาน (Coordination) ในแต่ละโครงการที่ดำเนินการให้เกิดเป็นภาพของการบูรณาการในภาพรวมทั้ง
ระบบ (Projects Integration) ที่จะส่งผลให้เกิดการเปลี่ยนแปลงที่ดีในด้านประสิทธิภาพของกระบวนงานทาง
ธุรกิจ และการแก้ไขปัญหาต่าง ๆ ในการปฏิบัติงานด้วยระบบเทคโนโลยีดิจิทัลในแนวทางที่ให้ผลดีที่สุด ซึ่งการ
ดำเนินการดังกล่าวในทางปฏิบัติ อ.ส.ค. อาจพิจารณาใช้กิจกรรมและแผนงานด้าน การเชื่อมต่อของธุรกิจ
(Business Linkage) ดังนี้
4.4.2.1 จัดลำดับความสำคัญโครงการ ตามแผนกลยุทธ์ (Roadmap) และแผนปฏิบัติการ
ดิจิทัล เพื่อให้เกิดประสิทธิภาพและการใช้ทรัพยากรอย่างคุ้มค่า
4.4.2.2 ผู้สนับสนุน (Business Sponsor) โดยมีผู้บริหารและผู้อำนวยการสายงานธุรกิจเข้า
ร่วมตามแนวทางการกำกับดูแลด้านเทคโนโลยีดิจิทัล (Digital Governance) ที่ได้
อธิบายในรายละเอียดไว้ข้างต้น
4.4.2.3 ให้มีส่วนร่วมตั้งแต่ระยะเริ่มต้น ของผู้รับผิดชอบด้านธุรกิจ ด้านการะบวนงานทาง
ธุรกิจ ผู้มีส่วนได้ส่วนเสีย สถาปนิกองค์กร และทีมงานด้านบริหารจัดการโครงการ
โดยร่ ว มกั น กำหนดเป้ า หมายทางธุ ร กิ จ และเป้ า หมายโครงการ นโยบายและ
ความสำคัญของโครงการ การวัดประสิทธิภาพและผลสัมฤทธิ์ของโครงการ ตลอดจน
แนวทางปฏิบัติในการพัฒนาด้านเทคโนโลยีดิจิทัลที่จะดำเนินการในโครงการให้เกิด
ความตระหนั กถึ งผลกระทบของการดำเนิน งานโครงการร่ ว มกัน ของทุ กฝ่ า ยที่
เกี่ยวข้องในองค์กร
หน้าที่ 4-18
4.4.2.4 ติดตามทบทวนโครงการโดยผู้บริหาร เพื่อให้เกิดความเข้าใจและมองเห็น ความ
เป็นไปและความก้าวหน้า (Project Visibility) พร้อมทั้งการแก้ไขปัญหาข้อขัดข้อง
ซึ่งต้องการนโยบายและการสนับสนุนจากผู้บริหารของ อ.ส.ค. เพื่อให้การดำเนิน
โครงการบรรลุถึงวัตถุประสงค์ที่วางไว้อย่างมีประสิทธิภาพ
4.4.2.5 ประเมินผลการดำเนินโครงการตามเป้าหมายขององค์กร โดยการวิเคราะห์ข้อมูล
จากการพัฒ นา ติดตั้งและการนำระบบเทคโนโลยีดิจิ ทัล ไปใช้งานพร้ อมจั ด ทำ
รายงานการะเมินผลลัพธ์ทั้งในเชิงปริมาณและคุณภาพตามกรอบการกำกับดูแลด้าน
เทคโนโลยีดิจิทัล (Digital Governance) หรือ ธรรมาภิบาลด้านดิจิทัล (Digital
Governance) และภายใต้เกณฑ์การประเมินการบริหารจัดการองค์กรด้านการ
บริหารจัดการสารสนเทศของ บริษัท ทริส คอร์ปอเรชั่น จำกัด
4.4.2.6 ให้รางวัลเพื่อสร้างแรงจูงใจตามเป้าหมายขององค์กร โดยการกำหนดนโยบายและ
กฎเกณฑ์ที่สามารถระบุถึงความสำเร็จของโครงการด้านเทคโนโลยีดิจิทัลที่มีผลต่อ
กระบวนงานทางธุรกิจที่ส่งต่อผลผลิตที่เพิ่มขึ้นขององค์กร และอยู่ภายใต้หลักธรรมาภิ
บาลด้านดิจ ิทัล (Digital Governance) และกรอบของสถาปัตยกรรมองค์กรของ
อ.ส.ค.
4.4.2.7 กำหนดผู้รับผิดชอบในกระบวนงาน โดยจัดให้มีผู้จัดการด้านกระบวนงานรับผิดชอบ
ในการปรับปรุงกระบวนงานทางธุรกิจที่เกี่ยวข้องตลอดทั้งองค์กร (Companywide
Business Process) ซึ่งต้องการการเชื่อมต่อกับทุกฝ่ายที่เกี่ยวข้องในองค์กรในด้าน
กระบวนการจัดการและการปฏิบัติงาน รวมถึงการประสานด้านเทคโนโลยีดิจิทัลกับ
ผู้จัดการโครงการและทีมงานบริหารจัดการโครงการ
หน้าที่ 4-20
ภาพที่ 4.5-1 ยุทธศาสตร์และกลยุทธ์ด้านดิจิทัลของ อ.ส.ค.
หน้าที่ 4-21
ภาพที่ 4.5-2 ความสอดคล้องระหว่างแผนพัฒนาดิจิทัลฯ และแผนวิสาหกิจฯ ของ อ.ส.ค.
หน้าที่ 4-22
4.5.2. การนำระบบเทคโนโลยีดิจิทัลไปใช้งาน (Digital Technology Deployment)
การนำระบบเทคโนโลยี ดิ จิ ทั ล ไปใช้ ง าน (Digital Technology Deployment) ตาม
แผนพัฒนาดิจิทัลฯ และแผนปฏิบัติการดิจิทัลฯ ซึ่งมุ่งเน้นการนำแผนงาน/โครงการที่สามารถดำเนินงาน
ได้ ทั น ที ต ามกรอบแนวทางและแผนกลยุ ท ธ์ (Roadmap) ที่ ก ำหนดไว้ ใ ห้ ส ามารถตอบสนองต่ อ ความ
ต้องการในระยะเร่งด่ว นและระยะปานกลางของแผนวิส าหกิจที่ได้รับ การปรับปรุงขึ้นนั้น อ.ส.ค. สามารถ
ดำเนินการโดยยึดรูปแบบพันธสัญญาด้านดิจิทัล (Digital Engagement Model) ที่กำหนดขึ้นเพื่อให้เกิดการ
จัดวางแนวที่สอดคล้อง (Alignment) ระหว่างเทคโนโลยีดิจิทัล กระบวนงาน และกระบวนการตัดสินใจของ
ผู้บริหาร รวมทั้งช่วยในการสื่อสารและประสานงานระหว่างผู้บริหาร หน่วยธุรกิจและระดับทีมงานโครงการ
(Project Team) รวมถึ งการบริ ห ารจั ด การโครงการเทคโนโลยี ด ิ จ ิ ท ั ล (Digital Technology Project
Management) ที่มีประสิทธิภาพตลอดวงจรอายุของโครงการ (Project Life Cycle) โดยเริ่มตั้งแต่การจัดทำ
ข้ อเสนอโครงการ (Project Proposal) การศึ กษาความต้ องการ (Requirement Study) การกำหนด
คุณลักษณะเฉพาะของระบบ (System Specifications) การจัดหา (Procurement) การพัฒนาระบบ
(Development) การติดตั้งใช้งาน (Implementation) การจัดการการเปลี่ยนแปลง (Change Management)
การใช้งาน (Usage) การบำรุงรักษา (Maintenance) การปรับปรุง (Enhancement) จนถึงการปลดระวาง
(Obsolescence) ของระบบเทคโนโลยีดิจิทัล โดยการดำเนินการดังกล่าวจะอยู่ภายใต้กรอบการกำกับดูแลด้าน
เทคโนโลยีดิจ ิทัล (Digital Governance) หรือ “ธรรมาภิ บาลด้านดิจิทัล (Digital Governance)” และ
สถาปัตยกรรมองค์กรของ ของ อ.ส.ค. โดยมีกลไกการเชื่อมต่อ (Linkage Mechanism) ที่ช่วยในการประสาน
ความเข้าใจและการตัดสินใจ (Connecting and Decision-making Processes) ดังที่อธิบายไว้ในเบื้องต้น
4.6. การประเมินผล/ความคุ้มค่าของการนำเทคโนโลยีดิจิทัลมาปรับใช้กับทุกส่วนของ
องค์กร
อ.ส.ค. มีการนำเทคโนโลยีดิจิทัลมาปรับใช้กับทุกส่วนขององค์กร และทุกส่วนของธุรกิจ ทั้งในส่วนของ
กระบวนการทำงาน การสร้างสรรค์ผลิตภัณฑ์ การตลาด วัฒนธรรมองค์กร และการกำหนดเป้าหมายการ
เติบโตในอนาคต เพื่อให้เกิดประสิทธิภาพในการดำเนินธุรกิจและสามารถรองรับการเปลี่ยนแปลงได้อย่าง
รวดเร็ว รวมถึงในการสร้างธุรกิจใหม่ ๆ รูปแบบบริการใหม่ ๆ ให้เกิดขึ้น ตลอดจนการบริหารโครงการและการ
ดำเนิน งานด้านเทคโนโลยีดิจ ิทัล อย่ างมีป ระสิ ทธิภ าพและมีการบริห ารจัด การด้านคุ ณภาพของการนำ
เทคโนโลยีดิจิทัลมาใช้
4.6.1. การประเมินผลการนำเทคโนโลยีดิจิทัลมาปรับใช้กับทุกส่วนขององค์กร
การประเมิน ผลการนำเทคโนโลยีดิจิทัล มาปรับใช้กับทุกส่วนขององค์กร เป็ น ส่ ว นสำคั ญ
ประการหนึ่งที่ต้องมีการดำเนินการเพื่อวิเคราะห์ถึงประสิทธิภาพและความคุ้มค่าในการดำเนินการด้านการ
พัฒนาและการใช้งานระบบเทคโนโลยีดิจิทัลตามแผนงาน/โครงการต่าง ๆ ที่ได้รับการอนุมัติและดำเนินการ
ซึ่งในการประเมินผลดังกล่าวจะพิจารณาเป็น 2 ด้าน ดังนี้
4.6.1.1 การประเมินผลการดำเนินโครงการ
เพื่อให้เกิ ดประสิทธิภาพในการประเมิ นผลการดำเนิ นการตามแผนงาน/โครงการให้เป็นไปตาม
แผนพัฒนาดิจิทัลฯ และแผนปฏิบัติการดิจิทัลฯ รวมถึงแผนวิสาหกิจฯ ของ อ.ส.ค. ที่ปรึกษาฯ ขอเสนอรูปแบบ
การประเมินแบบ “ซิป” หรือ “CIPP Model” ของสตัฟเฟิลบีม (Stufflebeam) ซึ่งเป็นรูปแบบ (Model) ที่
ได้รับการยอมรับในระดับสากล ทั้งนี้ รูปแบบการประเมินโครงการแบบ CIPP Model เป็นรูปแบบการประเมิน
หน้าที่ 4-23
ที่มีความต่อเนื่องกันในการดำเนินงานโครงการอย่างครบวงจร โดยมีการเก็บรวมรวมข้อมูลตามที่ได้กำหนดไว้
แล้วนำข้อมูลที่ได้นั้นจัดทำให้เป็นสารสนเทศเพื่อปรับปรุงโครงการอย่างทันท่วงที โดยรูปแบบการประเมินแบบ
“ซิป” หรือ “CIPP Model” แบ่งเป็น 4 ด้าน ได้แก่ ด้านบริบท ด้านปัจจัยนำเข้า ด้านกระบวนการ และด้าน
ผลผลิต ซึ่งมีรายละเอียดดังนี้
(2) การประเมินด้านบริบท (Context Evaluation : C)
เป็นการประเมินก่อนการดำเนินการโครงการ เพื่อพิจารณาหลักการและเหตุผล
ความจำเป็นในการดำเนินโครงการ ประเด็นปัญหา และความเหมาะสมของเป้าหมาย
โครงการ
(3) การประเมินด้านปัจจัยนำเข้า (Input Evaluation : I)
เป็นการประเมินเพื่อพิจารณาถึงความเป็นไปได้ของโครงการ ความเหมาะสม
และความพอเพียงของทรัพยากรที่จะใช้ในการดำเนินโครงการ อาทิ งบประมาณ
บุคลากร วัสดุ อุปกรณ์ เวลา รวมทั้งเทคโนโลยี และแผนการดำเนินงาน
(4) การประเมินด้านกระบวนการ (Process Evaluation : P)
เป็นการประเมินเพื่อหาข้อบกพร่องของการดำเนินโครงการ ที่จะใช้เป็นข้อมูลใน
การพัฒนา แก้ไข ปรับปรุง ให้การดำเนินการช่วงต่อไปมีประสิทธิภาพมากขึ้น และ
เป็นการตรวจสอบกิจกรรม เวลา ทรัพยากรที่ใช้ในโครงการ ภาวะผู้นำ การมีส่วน
ร่วมของผู้มีส่วนได้ส่วนเสียในโครงการ โดยมีการบันทึกไว้เป็นหลักฐานทุกขั้นตอน
การประเมิน กระบวนการนี้ จะเป็นประโยชน์อย่างมากต่อการค้นหาจุดเด่น หรือจุด
แข็ง (Strengths) และจุดด้อย (Weaknesses) ของนโยบาย/แผนงาน/โครงการ ซึ่ง
มักจะไม่สามารถศึกษาได้ภายหลังจากสิ้นสุดโครงการแล้ว
(5) การประเมินด้านผลผลิต (Product Evaluation : P)
เป็นการประเมินเพื่อเปรียบเทียบผลผลิตที่เกิดขึ้นกับวัตถุประสงค์ ของโครงการ
หรือมาตรฐานที่กำหนดไว้ รวมทั้งการพิจารณาในประเด็นของการยุบ เลิก ขยาย หรือ
ปรับเปลี่ยนโครงการ
4.6.1.2 เกณฑ์และตัวชี้วัดความสำเร็จ
โดยแต่ละโครงการที่ดำเนินการต้องมีเกณฑ์และตัวชี้วัด (Indicator) ระดับความสำเร็จของโครงการให้ทราบ ซึ่ง
โดยทั่วไปแล้วเกณฑ์ที่ใช้ในการประเมินผลโครงการ มีดังนี้
หน้าที่ 4-24
(5) เกณฑ์ความเป็นธรรม (Equity) มีตัวชี้วัด อาทิ การให้โอกาสเข้าถึงการบริการ
ความเป็นธรรมระหว่างเพศ ระหว่างกลุ่มงาน เป็นต้น
(6) เกณฑ์ ค วามก้ า วหน้ า (Progress) มี ต ั ว ชี ้ ว ั ด อาทิ ผลผลิ ต เปรี ย บเที ย บกั บ
เป้าหมายรวมกิจกรรมที่ทำแล้วเสร็จ ทรัพยากร และเวลาที่ใช้ไป เป็นต้น
(7) เกณฑ์ความยั่งยืน (Sustainability) ตัวชี้วัด อาทิ ความอยู่รอดของโครงการ
ด้านค่าใช้จ่ายและความคุ้มค่าในการลงทุน ความเป็นไปได้ในด้านการขยายผลของ
โครงการ เป็นต้น
(8) เกณฑ์ความเสียหายของโครงการ (Externalities) มีตัวชี้วัด อาทิ ผลกระทบ
ด้านสิ่งแวดล้อม ผลกระทบด้านชื่อเสียง ผลกระทบด้านสังคมและวัฒนธรรมของ
องค์กร เป็นต้น
4.6.2. การประเมินความคุ้มค่าของการนำเทคโนโลยีดิจิทัลมาปรับใช้กับทุกส่วนขององค์กร
การประเมินความคุ้มค่าของการนำเทคโนโลยีดิจิทัลมาปรับใช้กับทุกส่วนขององค์กรของ อ.ส.ค.
นั้นจะคำนึงถึงความคุ้มค่าในการลงทุน เปรียบเทียบกับประโยชน์ที่ได้รับ เพื่อให้เทคโนโลยีที่ได้ลงทุนไปนั้น
สามารถนำไปใช้ให้เกิดประโยชน์ได้อย่างสูงสุดสำหรับการบริหารจัดการองค์กรในด้านต่าง ๆ โดยใช้ปัจจัยชี้วัด
ความเหมาะสมทางด้านเศรษฐศาสตร์เป็นเกณฑ์ในการพิจารณา ด้ ว ยวิธ ีการเปรียบเทียบต้นทุนการใช้
ทรัพยากรและผลประโยชน์ที่ได้รับกลับคืนระหว่างสถานการณ์ที่มีโครงการ (With Project Situation) กับไม่มี
โครงการ (Without Project Situation) โดยใช้วิธีการเปรียบเทียบกระแสมูลค่าของการใช้ทรัพยากรและ
ผลประโยชน์ที่แท้จริงที่เกิดจากโครงการ ตามระยะเวลาที่ใช้ในการวิเคราะห์ของโครงการโดยการขจัดความ
แตกต่างของค่าเงิน ตามกาลเวลาออกไป (Discounted cash flow analysis) ซึ่งจะใช้วิธีการคำนวณตาม
หลักการเศรษฐศาสตร์ ดังนี้
4.6.2.1 มูลค่าปัจจุบันสุทธิของโครงการ (Net Present Value: NPV)
มูลค่าปัจจุบันสุทธิของโครงการ คือ จำนวนผลตอบแทนสุทธิที่ได้รับตลอดระยะเวลาของโครงการ ซึ่ง
อาจมีค่าเป็นลบ หรือเป็นบวกก็ได้ โดยคำนวณจากมูลค่าปัจจุบันของผลตอบแทนสุทธิจากการดำเนินงาน หัก
ออกด้วยมูลค่าปัจจุบันของต้นทุนในการลงทุนโครงการ โดยใช้หลักการที่ว่า หาก NPV มีค่ามากกว่า หรือ
เท่ากับศูนย์ แสดงว่าการลงทุนด้านเทคโนโลยีดิจิทัลนั้นมีความเหมาะสมในการลงทุน โดยใช้สูตรการคำนวณ
ดังนี้
หรือ
𝑛
𝐵𝑡 − 𝐶𝑡
𝑁𝑃𝑉 = ∑
(1 − 𝑟)𝑡
𝑡=0
โดย 𝐶𝑡 = ต้นทุนโครงการรายปี
𝐵𝑡 = มูลค่าผลประโยชน์ที่ได้รับรายปี
𝑟 = อัตราส่วนลดในการคำนวณมูลค่าในอนาคต
𝑛 = ระยะเวลาในพิจารณาความคุ้มค่าในการลงทุน
โดยมีหลักเกณฑ์ในการพิจารณาตัดสินใจ ดังนี้
หน้าที่ 4-25
ตารางที่ 4.6.1 หลักเกณฑ์ในการพิจารณามูลค่าปัจจุบันสุทธิของโครงการ
มูลค่าปัจจุบัน (NVP) ความหมาย
มีค่าเป็นบวก (+) ยอมรับโครงการ
มีค่าเป็นลบ (-) ปฏิเสธโครงการ
𝑁𝑉𝑃 ของอัตราคิดลดตัวต่ำ
IRR = อัตราคิดลดตัวต่ำ + ผลต่างระหว่างอัตราคิดลดทั้งสอง x
ผลต่างของ 𝑁𝑉𝑃 ตามอัตราคิดลดทั้งสอง
โดยมีหลักเกณฑ์ในการพิจารณาตัดสินใจ ดังนี้
ตารางที่ 4.6.2 หลักเกณฑ์ในการพิจารณาตัดสินใจอัตราส่วนผลประโยชน์ต่อเงินลงทุน
อัตราส่วนผลตอบแทนต่อต้นทุน (Benefit Cost Ratio) ความหมาย
มีค่า > 1 (ผลตอบแทนที่ได้รับจากโครงการมีค่ามากกว่าค่าใช้จ่ายที่เสียไป) คุ้มค่าในการลงทุน
มีค่า = 1 (ผลตอบแทนที่ได้รับจากโครงการมีค่าเท่ากับค่าใช้จ่ายที่เสียไปพอดี) ไม่ได้ไม่เสีย
มีค่า < 1 (ผลตอบแทนที่ได้รับจากโครงการมีค่าน้อยกว่าค่าใช้จ่ายที่เสียไป) ไม่คุ้มค่าในการลงทุน
หน้าที่ 4-27