Ea 2024

2024
ENTERPRISE
ARCHITECTURE
DIGITAL TECHNOLOGY DEPARTMENT

digital.dpo.go.th
สารบัญ
หน้า
บทที่ 1 บทนำ 1-1

1.1. ความเป็นมาและความสำคัญ 1-1
1.2. วัตถุประสงค์ของการจัดทำสถาปัตยกรรมองค์กร 1-2
1.3. เป้าหมายของการจัดทำสถาปัตยกรรมองค์กร 1-2
1.4. ประโยชน์ของสถาปัตยกรรมองค์กร 1-3
1.5. นิยามศัพท์เฉพาะ 1-4
บทที่ 2 หลักคิดในการจัดทำสถาปัตยกรรมองค์กรด้านดิจิทัล ของ อ.ส.ค. (สำหรับปี 2567) 2-1
2.1 ผลการทบทวนสถาปัตยกรรมองค์กรด้านดิจิทัล ของ อ.ส.ค. (สำหรับปี 2566) 2-1
2.2 กระบวนการวิเคราะห์และจัดทำสถาปัตยกรรมองค์กรด้านดิจิทัล ของ อ.ส.ค. (สำหรับปี 2567) 2-4
2.3 การถ่ายทอดกระบวนการวิเคราะห์และจัดทำสถาปัตยกรรมองค์กรด้านดิจิทัล ของ อ.ส.ค.
(สำหรับปี 2567) 2-13
2.4 ตัววัดผลลัพธ์ (Outcome) ของกระบวนการวิเคราะห์และจัดทำสถาปัตยกรรมองค์กรด้านดิจิทัล
ของ อ.ส.ค. (สำหรับปี 2567) 2-14
2.5 ปัจจัยที่สำคัญในการพัฒนาสถาปัตยกรรมองค์กรด้านดิจิทัล ของ อ.ส.ค. (สำหรับปี 2567) 2-15
บทที่ 3 สถาปัตยกรรมองค์กร 4.0 ของ อ.ส.ค. (DPO EA 4.0) (สำหรับปี 2567) 3-1
3.1 สถาปัตยกรรมด้านธุรกิจ (Business Architecture) 3-1
3.2 สถาปัตยกรรมด้านข้อมูล (Data Architecture) 3-7
3.3 สถาปัตยกรรมด้านระบบงาน (Application Architecture) 3-28
3.4 สถาปัตยกรรมด้านเทคโนโลยี (Technology Architecture) 3-44
3.5 สถาปัตยกรรมด้านการรักษาความปลอดภัยข้อมูล (Security Architecture) 3-49
3.6 การเฝ้าระวังและบริหารจัดการระบบ (System Monitoring and Management) 3-82
3.7 สถาปัตยกรรมองค์กร 4.0 ของ อ.ส.ค. (DPO EA 4.0) (สำหรับปี 2567) 3-101
สารบัญ
หน้า
บทที่ 4 การนำสถาปัตยกรรมองค์กร 4.0 ของ อ.ส.ค. (สำหรับปี 2567) ไปใช้งาน 4-1
4.1. รูปแบบพันธสัญญาสู่ความสำเร็จ 4-1
4.2. การกำกับดูแลด้านเทคโนโลยีดิจิทัล 4-4
4.3. การบริหารจัดการโครงการเทคโนโลยีดิจิทัล 4-9
4.4. กลไกการเชื่อมต่อเพื่อการนำสถาปัตยกรรมองค์กรไปใช้อย่างมีประสิทธิภาพ 4-16
4.5. แผนการดำเนินงานพัฒนาและการนำระบบเทคโนโลยีดิจิทัลไปใช้งาน 4-20
4.6. การประเมินผล/ความคุ้มค่าของการนำเทคโนโลยีดิจิทัลมาปรับใช้กับทุกส่วนขององค์กร 4-23
4.7. การประเมินการรับรู้กระบวนการวิเคราะห์และจัดทำสถาปัตยกรรมองค์กรของ
ผู้มีส่วนได้ส่วนเสีย 4-27
สารบัญรูปภาพ
หน้า
บทที่ 2 หลักคิดในการจัดทำสถาปัตยกรรมองค์กรด้านดิจิทัล ของ อ.ส.ค. (สำหรับปี 2567)
ภาพที่ 2.1-1 สถาปัตยกรรมองค์กรด้านดิจิทัล ของ อ.ส.ค. (สำหรับปี 2566) 2-2
ภาพที่ 2.2-1 กระบวนการวิเคราะห์และจัดทำสถาปัตยกรรมองค์กรด้านดิจิทัล ของ อ.ส.ค.
(สำหรับปี 2567) 2-5
ภาพที่ 2.3-1 กรอบสถาปัตยกรรมองค์กรแบบ Zachman (The Zachman Framework) 2-6
ภาพที่ 2.3-2 กรอบสถาปัตยกรรมแบบ TOGAF (TOGAF Architecture Development Method) 2-7
ภาพที่ 2.3-3 สถาปัตยกรรมองค์กรแบบ Federal (Federal Enterprise Architecture
Framework : FEA) 2-8
ภาพที่ 2.3-4 การลงพื้นที่เพื่อสำรวจสถานภาพการใช้งานเทคโนโลยีดิจิทัลของบุคลากรในองค์กร 2-12
บทที่ 3 สถาปัตยกรรมองค์กร 4.0 ของ อ.ส.ค. (DPO EA 4.0) (สำหรับปี 2567)
ภาพที่ 3.1-1 กระบวนงานผลิตผลิตภัณฑ์นม 3-2
ภาพที่ 3.1-2 กระบวนงานด้านคลังสินค้า 3-2
ภาพที่ 3.1-3 กระบวนงานด้านคลังพัสดุ 3-3
ภาพที่ 3.1-4 สถาปัตยกรรมด้านธุรกิจกลุ่มอุตสาหกรรมนม 3-3
ภาพที่ 3.1-5 กระบวนงานด้านการส่งเสริมกิจการโคนม 3-4
ภาพที่ 3.1-6 สถาปัตยกรรมด้านธุรกิจกลุ่มการส่งเสริมกิจการโคนม 3-5
ภาพที่ 3.1-7 สถาปัตยกรรมด้านธุรกิจกลุ่มการบริหารและอำนวยการ 3-6
ภาพที่ 3.1-8 สถาปัตยกรรมด้านธุรกิจกลุ่มการตลาดและการท่องเที่ยว 3-6
ภาพที่ 3.2-1 สถาปัตยกรรมด้านข้อมูล (Data Architecture) 3-7
ภาพที่ 3.2-2 ฐานข้อมูลด้านอุตสาหกรรมนม 3-25
ภาพที่ 3.2-3 ฐานข้อมูลด้านการส่งเสริมกิจการโคนม 3-26
ภาพที่ 3.2-4 ฐานข้อมูลด้านบริหารและอำนวยการ 3-26
ภาพที่ 3.2-5 ฐานข้อมูลด้านการตลาดและการท่องเที่ยว 3-27
หน้า
ภาพที่ 3.3-1 สถาปัตยกรรมด้านระบบงาน (Application Architecture) 3-28
ภาพที่ 3.3-2 ระบบวางแผนทรัพยากรองค์กร (ERP) 3-29
ภาพที่ 3.3-3 ระบบสารสนเทศเพื่อการบริหาร (MIS) 3-30
ภาพที่ 3.3-4 ระบบสารสนเทศสำหรับผู้บริหาร (EIS) 3-31
ภาพที่ 3.3-5 ระบบบริหารจัดการทรัพยากรบุคคล (e-HR) 3-32
ภาพที่ 3.3-6 ระบบบริหารจัดการฟาร์ม Zyan Dairy 3-32
ภาพที่ 3.3-7 ระบบ Zyan COOP 3-33
ภาพที่ 3.3-8 ระบบ Zyan MCC 3-34
ภาพที่ 3.3-9 ระบบ MSC 3-35
ภาพที่ 3.3-10 ระบบศูนย์ข้อมูลด้านกิจการโคนม Dairy Data Center : DDC 3-36
ภาพที่ 3.3-11 สถาปัตยกรรมระบบงานหลัก 3-37
ภาพที่ 3.3-12 ระบบบริหารจัดการองค์ความรู้ 3-38
ภาพที่ 3.3-13 ระบบ E-Learning 3-38
ภาพที่ 3.3-14 ระบบ e-Saraban 3-39
ภาพที่ 3.3-15 ระบบ Cowdrive 3-39
ภาพที่ 3.3-16 ระบบ E-Mail 3-40
ภาพที่ 3.3-17 ระบบเว็บไซต์ ของ อ.ส.ค. และของฝ่ายเทคโนโลยีดิจิทัล 3-41
ภาพที่ 3.3-18 สถาปัตยกรรมระบบงานสนับสนุน 3-42
ภาพที่ 3.3-19 สถาปัตยกรรมระบบงานภายนอก 3-43
ภาพที่ 3.4-1 สถาปัตยกรรมเทคโนโลยี (Technology Architecture) 3-44
ภาพที่ 3.4-2 ฐานงานด้านการคำนวณ (Computing Platform) 3-44
ภาพที่ 3.4-3 ฐานงานด้านการสื่อสาร (Communications Platform) 3-45
หน้า
ภาพที่ 3.4-4 ฐานงานด้านการบริหารจัดการข้อมูล (Data Management Platform) 3-46
ภาพที่ 3.4-5 ฐานงานด้านการบริหารจัดการเครือข่าย (Network Management Platform) 3-46
ภาพที่ 3.4-6 ฐานงานด้านอุปกรณ์วัด (Sensor Platform) 3-47
ภาพที่ 3.4-7 ฐานงานด้านระบบความปลอดภัย (Security Platform) 3-47
ภาพที่ 3.4-8 ฐานงานด้านเครือข่ายและระบบสื่อสารข้อมูล (Network and Data
Communications Platform) 3-48
ภาพที่ 3.5-1 บันได 4 ขั้นสู่มาตรฐาน ISO/IEC 27001 3-50
ภาพที่ 3.5-2 องค์ประกอบมาตรฐาน ISO/IEC 27001:2013 3-50
ภาพที่ 3.5-3 กระบวนงานด้านการบริหารจัดการเทคโนโลยีสารสนเทศตามมาตรฐาน COBIT 3-54
ภาพที่ 3.6-1ตัวอย่างกรอบการดำเนินงานของ IT Service Management (ITSM Framework 3-82
ภาพที่ 3.6-2 โครงสร้างของ IT Infrastructure Library (ITIL) Version 3 (ITIL V3) 3-84
ภาพที่ 3.6-3 กรอบการจัดการระบบเทคโนโลยี (ITSM/ITIL) 3-89
ภาพที่ 3.6-4 ตัวอย่างหน้าจอระบบการจัดการเครือข่าย (Network Management System) 3-97
ภาพที่ 3.6-5 ตัวอย่างหน้าจอระบบบริหารจัดการความผิดพลาด (Fault Management) 3-98
ภาพที่ 3.7-2 สถาปัตยกรรมองค์กรในอนาคต (To be) ของ อ.ส.ค 3-102
บทที่ 4 การนำสถาปัตยกรรมองค์กร 4.0 ของ อ.ส.ค. (สำหรับปี 2567) ไปใช้งาน
ภาพที่ 4.1-1 รูปแบบพันธสัญญาสู่ความสำเร็จ (Engagement Model) ของการนำ
สถาปัตยกรรมองค์กรด้านดิจิทัลไปใช้งาน 4-2
ภาพที่ 4.3-1 แนวทางการบริหารและติดตามการดำเนินงานตามแผนงาน/โครงการตามวัตถุประสงค์
(Management by Objective: MBO) 4-10
ภาพที่ 4.3-2 การบริหารจัดการโครงการแบบ Agile 4-14
ภาพที่ 4.3-3 (a) และ (b) การเปรียบเทียบระหว่าง Sequential Method และ Agile Method
ในเชิงกระบวนงานและผลลัพธ์ของการดำเนินงานโครงการ 4-16
หน้า
ภาพที่ 4.4-1 ชนิดของกลไกการเชื่อมต่อ (Linkage Mechanism) เพื่อการนำสถาปัตยกรรมองค์กร
ไปใช้อย่างมีประสิทธิภาพ 4-17
ภาพที่ 4.5-1 ยุทธศาสตร์และกลยุทธ์ด้านดิจิทัลของ อ.ส.ค. 4-21
ภาพที่ 4.5-2 ความสอดคล้องระหว่างแผนพัฒนาดิจิทัลฯ และแผนวิสาหกิจฯ ของ อ.ส.ค. 4-22
สารบัญตาราง
หน้า
บทที่ 1 บทนำ
ตารางที่ 1.3-1 เป้าหมายโดยภาพรวมของการพัฒนาเทคโนโลยีดิจิทัลของอ.ส.ค 1-3
ตารางที่ 1.5-1 นิยามศัพท์เฉพาะสถาปัตยกรรมองค์กรฯ ของ อ.ส.ค. (สำหรับปี 2567) ของ อ.ส.ค. 1-4
ตารางที่ 2.4-1 ตัววัดผลลัพธ์และวิธีการประเมินผลกระบวนการวิเคราะห์และจัดทำ
สถาปัตยกรรมองค์กรของ อ.ส.ค. 2-14
บทที่ 3 สถาปัตยกรรมองค์กร 4.0 ของ อ.ส.ค. (DPO EA 4.0) (สำหรับปี 2567)
ตารางที่ 3.2-1 ฐานข้อมูลด้านอุตสาหกรรมนมและรายละเอียดหน่วยงานที่สร้างและใช้ข้อมูล 3-8
ตารางที่ 3.2-2 ฐานข้อมูลด้านส่งเสริมกิจการโคนมและรายละเอียดหน่วยงานที่สร้างและใช้ข้อมูล 3-13
ตารางที่ 3.2-3 ฐานข้อมูลด้านการบริหารและอำนวยการและรายละเอียดหน่วยงานที่สร้างและใช้ข้อมูล 3-17
ตารางที่ 3.2-4 ฐานข้อมูลด้านการตลาดและรายละเอียดหน่วยงานที่สร้างและใช้ข้อมูล 3-22
ตารางที่ 3.2-5 องค์ประกอบข้อมูลและสารสนเทศของระบบ ERP 3-24
ตารางที่ 3.5-1 วัตถุประสงค์ควบคุม 34 หัวข้อของมาตรฐาน COBIT 3-54
บทที่ 4 การนำสถาปัตยกรรมองค์กร 4.0 ของ อ.ส.ค. (สำหรับปี 2567) ไปใช้งาน
ตารางที่ 4.2-1 ประเด็นหลักที่สำคัญที่เกี่ยวข้องกับการดัดสินใจด้านด้านเทคโนโลยีดิจิทัล
(Key Issues for Digital Decision) 4-5
ตารางที่ 4.2-2 การกำกับดูแลด้านเทคโนโลยีดิจิทัล (Digital Governance) 4-8
ตารางที่ 4.6.1 หลักเกณฑ์ในการพิจารณามูลค่าปัจจุบันสุทธิของโครงการ 4-26
ตารางที่ 4.6.2 หลักเกณฑ์ในการพิจารณาตัดสินใจอัตราส่วนผลประโยชน์ต่อเงินลงทุน 4-26
ตารางที่ 4.6.3 สรุปการประเมินประสิทธิผล/ความคุ้มค่าการลงทุนด้านเทคโนโลยีดิจิทัลของ อ.ส.ค. 4-26
สารบัญแผนภูมิ
หน้า
แผนภูมิที่ 2.3-1 ผลการประเมินรายงานสถานการณ์ดำเนินงานของรัฐวิสาหกิจด้าน
Core Business Enablers ของ อ.ส.ค. ปีบัญชี 25651 1-9
แผนภูมิที่ 2.3-2 ผลการประเมินรายงานสถานการณ์ดำเนินงานของรัฐวิสาหกิจด้าน Core Business
Enablers หัวข้อการพัฒนาเทคโนโลยีดิจิทัลของ อ.ส.ค. ปีบัญชี 2564 1-10
บทที่ 1 บทนำ
การจัดทำสถาปัตยกรรมองค์กรนับได้ว่ามีความสำคัญอย่างมากต่อการดำเนินธุรกิจขององค์กร ทั้งนี้
เพราะสถาปัตยกรรมองค์กรเปรียบเสมือนกับพิมพ์เขียวขององค์กร ที่ทำให้ผู้บริหารและผู้มีส่วนได้ส่วนเสียที่
เกี่ยวข้องมองเห็นภาพรวมของธุรกิจ และปัจจัยสนับสนับสนุนต่าง ๆ (กระบวนการทางธุรกิจ ข้อมูล โครงสร้าง
พื้นฐาน ระบบงาน และความมั่นคงปลอดภัย) ที่ช่วยขับเคลื่อนองค์กรไปสู่เป้าหมาย พันธกิจ และวิสัยทัศน์ที่
กำหนดไว้ นอกจากนั้นแล้ว สถาปัตยกรรมองค์กรยังช่วยให้การพัฒนาด้านเทคโนโลยีดิจิทัลเป็นไปอย่างมีระบบ
ป้องกันมิให้เกิดการลงทุนที่ซ้ำซ้อน ก่อให้เกิดการลงทุนที่คุ้มค่า และลดความเสี่ยงด้านต่อภัยคุกคามด้าน
เทคโนโลยีดิจิทัลที่อาจจะเกิดขึ้นจากทั้งภายในและภายนอกองค์กร เช่น การละเมิดกฎหมายด้านเทคโนโลยี
ดิจิทัล หรือภัยคุกคามทางไซเบอร์ (Cyberattack) เป็นต้น โดยสาระสำคัญของบทนี้ได้อธิบายถึง ความเป็นมา
และความสำคัญ วัตถุประสงค์ เป้าหมาย ประโยชน์ และนิยามศัพท์เฉพาะของการจัดทำสถาปัตยกรรมองค์กร
ด้านดิจิทัล ของ อ.ส.ค. (สำหรับปี 2567) ดังนี้
1.1. ความเป็นมาและความสำคัญ
ปัจจุบัน องค์การส่งเสริมกิจการโคนมแห่งประเทศไทย (อ.ส.ค.) มีสถาปัตยกรรมองค์กรด้านดิจิทัล ของ
อ.ส.ค. (DPO Enterprise Architecture 4.0 : DPO EA 4.0) (สำหรับปี 2566) เพื่อการพัฒนาระบบเทคโนโลยี
ดิจิทัล สำหรับใช้เป็นแนวทางในการบูรณาการทั้งด้านการบริหารจัดการ กระบวนงานและเทคโนโลยีดิจิทัลให้
สอดคล้องกับวิสัยทัศน์ วัตถุประสงค์เชิงธุรกิจและวัตถุประสงค์เชิงปฏิบัติการ และให้ อ.ส.ค. มีขีดความสามารถ
ในการก้ า วสู ่ ก ารเป็ น องค์ ก รดิ จ ิ ท ั ล (Digital Organization) อย่ า งยั ่ ง ยื น ในอนาคต โดยมี ส าระสำคั ญ
ประกอบด้ว ย การกำกับ ดูแลการบริห ารวิส าหกิจ (Enterprise Governance) และส่ว นองค์ประกอบของ
สถาปัตยกรรมและกรอบการบริหารจัดการเทคโนโลยีดิจิทัล ได้แก่ สถาปัตยกรรมด้านธุรกิจ (Business
Architecture) สถาปัตยกรรมด้านข้อมูล (Data Architecture) สถาปัตยกรรมด้านระบบงาน (Application
Architecture) สถาปัตยกรรมด้านเทคโนโลยี (Technology Architecture) สถาปัตยกรรมด้านการรักษา
ความปลอดภั ย ข้ อ มู ล (Security Architecture) และการเฝ้ า ระวั ง และบริ ห ารจั ด การระบบ (System
Monitoring and Management)
อย่างไรก็ตาม สำนักงานคณะกรรมการนโยบายรัฐ วิส าหกิจ (สคร.) ในฐานะหน่ว ยงานกำกับดูแล
รัฐวิสาหกิจได้กำหนดหลักเกณฑ์ในการประเมินผลใหม่ หรือที่เรียกว่า ระบบการประเมินผลการดำเนินงาน
รัฐวิสาหกิจตามระบบประเมินผลรัฐวิสาหกิจ (State Enterprise Assessment Model : SE-AM) สำหรับใช้
เป็นแนวทางในการประเมินผลการดำเนินงานของรัฐวิสาหกิจทุกแห่ง โดยหลักเกณฑ์ดังกล่าวได้ให้ความสำคัญ
กับการจัดทำสถาปัตยกรรมองค์กรของรัฐวิสาหกิจ ที่ต้องมีแนวทางการดำเนินงานอย่างเป็นระบบ ประกอบกับ
ผลการศึกษารายงานสถานะการดำเนินงานของรัฐวิสาหกิจด้าน Core Business Enablers ประจำปีบัญชี
2565 ของ อ.ส.ค. ด้านเทคโนโลยีดิจิทัล ที่ได้มีข้อเสนอแนะเพื่อยกระดับสถาปัตยกรรมองค์กรของ อ.ส.ค. ให้ดี
ยิ่งขึ้น ดังนั้น ด้วยหลักการ เหตุผล และความจำเป็นดังกล่าว จึงต้องกำหนดให้มีการทบทวน สถาปัตยกรรม
หน้าที่ 1-1
องค์กรด้านดิจิทัล ของ อ.ส.ค. (DPO EA 4.0) (สำหรับปี 2567) เพื่อปิดช่องว่าง (Gap) เป็นไปตามหลักเกณฑ์
ของ สคร. และสามารถนำไปสู่การพัฒนาเทคโนโลยีดิจิทัลขององค์กรได้อย่างมีประสิทธิภาพ
1.2. วัตถุประสงค์ของการจัดทำสถาปัตยกรรมองค์กร
ในการทบทวนสถาปัต ยกรรมองค์ ก รด้ านดิจ ิ ทั ล ของ อ.ส.ค. (DPO EA 4.0) (สำหรับปี 2567) มี
วัตถุประสงค์ดังนี้
1.2.1 เพื่อทบทวนโครงสร้างสถาปัตยกรรมองค์กรของ อ.ส.ค. พร้อมวิเคราะห์ปัญหา ความต้องการ
ขององค์กรที่มีการเปลี่ยนแปลง ทั้งในเชิงการดำเนินธุรกิจที่มีการแข่งขันรุนแรงมากขึ้น กระบวนงาน และการ
จัดการที่ทันสมัย รวมถึงบริบทการใช้งานระบบสารสนเทศที่เปลี่ยนแปลงไป เพื่อนำมาใช้ประกอบการปรับปรุง
สถาปัตยกรรมองค์กรและการจัดทำแผนปฏิบัติการดิจิทัลฯ ในยุค Thailand 4.0
1.2.2 เพื่อสร้างความเข้าใจและความสัมพันธ์ที่ชัดเจนต่อสถานะในปัจจุบันของสถาปัตยกรรมองค์กร
(“AS-IS” Enterprise Architecture) ทั้ง 5 ด้าน ประกอบไปด้วย ด้านธุรกิจ (Business Architecture) ด้าน
ข้ อ มู ล (Data Architecture) ด้ า นระบบงาน (Application Architecture) ด้ า นเทคโนโลยี (Technology
Architecture) และด้านความปลอดภัย (Security Architecture)
1.2.3 เพื ่ อ กำหนดกรอบของสถานะในอนาคต และปรั บ ปรุ ง สถาปั ต ยกรรมองค์ ก ร (“TO - BE”
Enterprise Architecture) ทั้ง 5 ด้าน เพื่อนำมาปรับปรุงประสิทธิภาพให้เป็นไปตามยุทธศาสตร์ด้านดิจิทัล
ของ อ.ส.ค.
1.2.4 เพื่อจัดทำสถาปัตยกรรมองค์กรด้านดิจิทัล ของ อ.ส.ค. (สำหรับปี 2567) ที่มีประสิทธิภาพ
สอดคล้องกับหลักเกณฑ์ด้านการพัฒนาเทคโนโลยีดิจิทัลตามที่ สคร. การเปลี่ยนแปลงด้านเทคโนโลยีดิจิทัลจาก
ทั้งภายในและภายนอกองค์กร ระดับขั้น (Stage) การพัฒนาสถาปัตยกรรมองค์กร และข้อเสนอแนะด้ านการ
พัฒนาสถาปัตยกรรมองค์กรจากคณะกรรมการ สคร.
1.2.5 เพื่อกำหนดแนวทางการกำกับดูแล การบริหารจัดการและการนำสถาปัตยกรรมองค์กรของ
อ.ส.ค. ในยุค Thailand 4.0 หรือ DPO Enterprise Architecture 4.0 (DPO EA 4.0) ไปใช้งานได้ อย่ า งมี
ประสิทธิภาพสอดคล้องกับแผนพัฒนาดิจิทัลฯ ของ อ.ส.ค.
1.2.6 เพื่อกำหนดแผนกลยุทธ์ (Roadmap) สู่การพัฒนาสถาปัตยกรรมองค์กรอย่างสมบูรณ์ (EA
Maturity) ที่ส่งผลต่อสมรรถนะและขีดความสามารถขององค์กรของ อ.ส.ค. ในการดำเนินธุรกิจให้เป็นไปตาม
วิสัยทัศน์ที่กำหนดไว้ในแผนวิสาหกิจ ฯ อ.ส.ค. รวมถึงการสร้างความพร้อมในการเชื่อมต่อแบบบูรณาการทั้ง
ด้านกระบวนงานทางธุรกิจและด้านสารสนเทศ (Business Process and Information System Integration)
กับหน่วยงานภายนอก อาทิ หน่วยงานราชการ กลุ่ มสหกรณ์ พันธมิตรทางการค้า รวมถึงกลุ่มลูกค้าที่มีความ
หลากหลายได้อย่างรวดเร็วและมีประสิทธิภาพ (Dynamic Venturing)
1.3. เป้าหมายของการจัดทำสถาปัตยกรรมองค์กร
เป้าหมายการจัดทำสถาปัตยกรรมองค์กรของ อ.ส.ค. มีดังนี้
(1) อ.ส.ค. สามารถนำเทคโนโลยีดิจิทัลมาปรับใช้กับทุกส่วนขององค์กรและทุกส่วนของธุรกิจ
จนนำมาสู่การช่วยเพิ่มรายได้ ลดรายจ่าย หรือสนับสนุนกระบวนการทางธุรกิจให้มีประสิทธิภาพมากขึ้น
(2) ปรับ ปรุงและพั ฒ นากระบวนการปฏิบ ัต ิง านด้า นดิจิ ทัล อย่ างเป็ นระบบ มีมาตรฐาน
(Standardized Practice) และสามารถทำซ้ำได้ (Repeatable Practice)
ตารางที่ 1.3-1 เป้าหมายโดยภาพรวมของการพัฒนาเทคโนโลยีดิจิทัลของ อ.ส.ค.
เป้าหมาย ตัวชี้วัด
1. รายได้ของ อ.ส.ค. เพิ่มขึ้น รายได้เพิ่มขึ้นอย่างน้อยร้อยละ 5
2. รายจ่ายของ อ.ส.ค. ลดลง รายได้ลดลงอย่างน้อยร้อยละ 10
3. กระบวนการทางธุรกิจให้มีประสิทธิภาพมากขึ้น เกิดผลลัพธ์ตามตัวชี้วัดข้อใดข้อหนึ่งดังนี้
• ระยะเวลาในการดำเนิ นงานทางธุ รกิจ ลดลง
ร้อยละ 20
• ระยะเวลาในการดำเนินงานเพื่อให้บริการแก่
ประชาชนลดลง ร้อยละ 20
• ไม่ ม ี ข ้ อ ผิ ด พลาดจากการดำเนิ น งานตาม
กระบวนการทางธุรกิจ
1.4. ประโยชน์ของสถาปัตยกรรมองค์กร
การปรับปรุงสถาปัตยกรรมองค์กรด้านดิจิทัล ของ อ.ส.ค. (สำหรับปี 2567) ให้มีความทันสมัยสอดคล้อง
กับแผนวิสาหกิจฯ ของ อ.ส.ค. และบริบทความต้องการใช้เทคโนโลยีในการดำเนินธุรกิจที่เปลี่ยนแปลงไปอย่าง
รวดเร็วและสอดรับกับ นโยบาย Thailand 4.0 ของ อ.ส.ค. นั้น เปรียบเสมือนพิมพ์เขียว (Blueprint) ที่ให้
ผู้เกี่ยวข้อง (Stakeholders) มีความเข้าใจที่ถูกต้องตรงกัน โดยที่ สถาปัตยกรรมองค์กรด้านดิจิทัล ของ อ.ส.ค.
(สำหรับปี 2567) ในยุค Thailand 4.0 หรือ DPO Enterprise Architecture 4.0 (DPO EA 4.0) ที่ได้รับการ
ปรับปรุงนี้จะเป็นประโยชน์แก่องค์กร อ.ส.ค. อย่างน้อยดังต่อไปนี้
1.4.1 มีแนวทางในการวางแนวที่สอดคล้อง (Alignment) ตั้งแต่ระดับการกำหนดนโยบาย (Policy)
การจัดการ (Management) กระบวนงานระหว่างหน่วยงาน (Cross Functional Process) ให้มีการบูรณา
การที่มีความยืดหยุ่น (Flexibility) มากขึ้น
1.4.2 มีการเชื่อมโยงระหว่างกระบวนงาน (Process) และเทคโนโลยีดิจิทัล (Digital Technology)
ทั้ง 5 ด้าน ได้แก่ ด้านธุรกิจ (Business) ด้านข้อมูล (Data) ด้านระบบงาน (Application) ด้านเทคโนโลยี
(Technology) และด้านความปลอดภัยของข้อมูล (Security) ได้อย่างเป็นรูปธรรมและมีประสิทธิภาพ
1.4.3 มีแนวทางการกำกับดูแลการบริหารจัดการด้านเทคโนโลยีดิจิทัล (Digital Governance) และ
การนำสถาปัตยกรรมองค์กรด้านดิจิทัล ของ อ.ส.ค. (สำหรับปี 2567) ในยุค Thailand 4.0 ไปใช้งานได้อย่างมี
ประสิทธิภาพสอดคล้องกับแผนวิสาหกิจฯ และแผนพัฒนาดิจิทัลฯ ของ อ.ส.ค.
1.4.4 สามารถกำหนดแผนกลยุทธ์ (Roadmap) สู่การพัฒนาสถาปัตยกรรมองค์กรอย่างสมบูรณ์ (EA
Maturity) ในระยะยาวที่ส่งผลต่อสมรรถนะและขีดความสามารถขององค์กร ในการดำเนินธุรกิจให้เป็นไปตาม
วิสัยทัศน์ขององค์กร รวมถึงการสร้างความพร้อมในการเชื่อมต่อ แบบบูรณาการทั้งด้านกระบวนงานเชิงธุรกิจ
และด้านสารสนเทศ (Business Process and Information System Integration) กับหน่ว ยงานภายนอก
อาทิ หน่วยงานราชการ กลุ่มสหกรณ์ พันธมิตรทางการค้า รวมถึงกลุ่มลูกค้าที่มีความหลากหลายได้อย่าง
รวดเร็วและมีประสิทธิภาพ (Dynamic Venturing)
1.4.5 เป็นเครื่องมือสื่อสารระหว่างผู้ที่เกี่ยวข้อง (Stakeholders) ทั้งในและนอกองค์กรให้เกิดความ
เข้าใจ รวมทั้งสร้างความสัมพันธ์ระหว่างหน่วยธุรกิจ ฝ่ายและระหว่างองค์กรได้เป็นอย่างดี
1.4.6 เป็นเครื่องมือที่ช่วยในการจัดการการเปลี่ยนแปลง (Change Management) อันเนื่องมาจาก
การพัฒนาขององค์กร สภาพการแข่งขันทางธุรกิจและสภาพแวดล้ อมอื่น ๆ รวมถึงการช่วยกำหนดกลยุทธ์การ
ลงทุนในด้านเทคโนโลยีดิจิทัลอย่างเหมาะสม
1.5. นิยามศัพท์เฉพาะ
การศึกษาทบทวนสถาปัตยกรรมองค์กรของ อ.ส.ค. (สำหรับปี 2567) ของ อ.ส.ค. ได้กำหนดนิยามศัพท์
เฉพาะไว้ดังนี้
ตารางที่ 1.5-1 นิยามศัพท์เฉพาะสถาปัตยกรรมองค์กรฯ ของ อ.ส.ค. (สำหรับปี 2567) ของ อ.ส.ค.
คำศัพท์ คำนิยาม
1. แผนวิสาหกิจฯ แผนวิสาหกิจ อ.ส.ค.ปี 2566 – 2570 เป็นแผนการดำเนินงานของ อ.ส.ค.
ที่ได้กำหนดแนวทางการบริหารจัดการองค์กรที่สอดคล้องและเป็นไปตาม
ทิศทางทางเดียวกับนโยบายของรัฐบาล รวมทั้งหลักเกณฑ์การประเมินผล
การดำเนินงานของ สคร. เพื่อมุ่งสู่การเป็นผู้นำในอุตสาหกรรมโคนมไทย
2. แผนพัฒนาดิจิทัลฯ แผนพั ฒ นาดิ จ ิ ท ั ล ปี 2566 – 2570 (สำหรั บ ปี 2567) หรื อ แผนพั ฒ นา
ดิจิทัลฯ หรือแผนปฏิบัติการดิจิทัลระยะ 3 - 5 ปี (Digital Roadmap) เป็น
แผนการดำเนินงานด้านเทคโนโลยีดิจิทัลระยะยาวของ อ.ส.ค. ที่มีความ
เชื่อมโยงและสอดคล้องกับแผนวิสาหกิจ ฯ ขององค์กรและนโยบายต่าง ๆ
เต็มตามศักยภาพของระบบเทคโนโลยีดิจิทัล โดยมุ่งเน้นการนำเทคโนโลยี
ดิจ ิทัล มาปรับใช้ กับ ทุ กส่ว นขององค์ กรและทุ กส่ว นของธุร กิจ (Digital
Transformation) ทั ้ ง ในส่ ว นของกระบวนการทำงาน การสร้ า งสรรค์
ผลิตภัณฑ์การตลาด วัฒนธรรมองค์กร และการกำหนดเป้าหมายการเติบโต
ในอนาคต
3. แผนปฏิบัติการดิจิทัลฯ แผนปฏิบัติการดิจิทัล สำหรับปี 2567 ของ อ.ส.ค. หรือแผนปฏิบัติการ
ดิ จ ิ ท ั ล ฯ หรื อ แผนปฏิ บ ั ต ิ ก ารประจำปี (Action Plan) เป็ น แผนการ
ดำเนินงานด้านเทคโนโลยีดิจิทัลระยะสั้นของ อ.ส.ค. ที่ถ่ายทอดมาจาก
แผนพัฒนาดิจิทัล ปี 2566 – 2570 (สำหรับปี 2567) ซึ่งได้มีการกำหนด
แผนงาน โครงการ และกิจกรรมภายใต้ยุทธศาสตร์ต่าง ๆ รวมทั้งตัวชี้วัด
(KPI) ที่แสดงถึงความสำเร็จและสะท้อนผลลัพธ์ที่คาดหวัง
4. สถาปัตยกรรมองค์กรฯ สถาปัตยกรรมองค์กรด้านดิจิทัล ของ อ.ส.ค. (สำหรับปี 2567) คือ แผนผัง
ภาพ (Scenario) ที่ถูกวาดขึ้นจากวิสัยทัศน์ขององค์กร หรือผู้บริหาร ด้วย
สภาพแวดล้อมขององค์กรในปัจจุบัน เพื่อการพัฒนาระบบเทคโนโลยีดิจิทัล
สำหรั บ ใช้ เ ป็ น แนวทางในการบู ร ณาการทั ้ ง ด้ า นการบริ ห ารจั ด การ
กระบวนงาน และเทคโนโลยีดิจิทัลให้สอดคล้องกับวิสัยทัศน์ วัตถุประสงค์
เชิ ง ธุ ร กิ จ และวั ต ถุ ป ระสงค์ เ ชิ ง ปฏิ บ ั ต ิ ก าร รวมทั ้ ง ให้ อ.ส.ค. มี ขี ด
ความสามารถในการก้าวสู่การเป็นองค์กรดิจิทัล (Digital Organization)
อย่างยั่งยืนในอนาคต โดยมีองค์ประกอบของสถาปัตยกรรมและกรอบการ
บริหารจัดการเทคโนโลยีดิจิทัล ได้แก่ สถาปัตยกรรมด้านธุรกิจ (Business
Architecture) ส ถ า ป ั ต ย ก ร ร ม ด ้ า น ข ้ อ ม ู ล (Data Architecture)
คำศัพท์ คำนิยาม
สถาปัตยกรรมด้านระบบงาน(Application Architecture) สถาปัตยกรรม
ด้านเทคโนโลยี (Technology Architecture) และสถาปัตยกรรมด้านการ
รักษาความปลอดภัยข้อมูล (Security Architecture)
5. อ.ส.ค. องค์การส่งเสริมกิจการโคนมแห่งประเทศไทย
6. สคร. สำนักงานคณะกรรมการนโยบายรัฐวิสาหกิจ
บทที่ 2
หลักคิดในการจัดทำสถาปัตยกรรมองค์กรด้านดิจิทัล ของ อ.ส.ค. (สำหรับปี 2567)
z
หลักคิดในการจัดทำสถาปัตยกรรมองค์กรด้านดิจิทัล ของ อ.ส.ค. (สำหรับปี 2567) ได้มุ่งเน้นการการ

ทบทวนปรับปรุงกระบวนการวิเคราะห์และจัดทำสถาปัตยกรรมองค์กร ซึ่งนับได้ว่าเป็นส่วนสำคัญของการ
จัดทำสถาปัตยกรรมองค์กรด้านดิจิทัล ของ อ.ส.ค. ที่ได้ดำเนินการเป็นประจำต่อเนื่องทุกปี ทั้งนี้เพราะ เพื่อให้
ได้มาซึ่งกระบวนการที่ เป็น มาตรฐาน (Standardized Practice) และมีแนวทางปฏิบัติอย่างเป็นระบบที่
สามารถทำซ้ำได้ (Repeatable Practice) การจัดทำสถาปัตยกรรมองค์กรจึงต่อมีการทบทวนปรับปรุงอย่าง
สม่ำเสมอ โดยการนำข้อมูล จากผู้มีส ่วนได้ส่ว นเสียที่เกี่ยวข้องกับการจัดทำกระบวนการมาประกอบการ
วิเคราะห์ ได้แก่ ข้อมูล จากผู้ บ ริห าร พนักงงาน คู่ค้า และหน่ว ยงานกำกับดูแล ซึ่งเป็นไปตามหลักการ
บริหารงานเชิงคุณภาพ หรือ “PDCA Cycle” ที่ สคร. และหน่วยงานอื่นจากทั้งในและต่างประเทศได้นำมา
ประยุกต์ใช้กับการปรับปรุงกระบวนการภายในองค์กร ทั้งนี้ โดยสรุปแล้วสาระสำคัญของหลักคิดในการจัดทำ
สถาปัตยกรรมองค์กรด้านดิจิทัล ของ อ.ส.ค. (สำหรับปี 2567) ประกอบด้วย 5 ส่วน ได้แก่ ผลการทบทวน
สถาปัตยกรรมองค์กร กระบวนการวิเคราะห์และจัดทำสถาปัตยกรรมองค์กร การถ่ายทอดกระบวนการ
วิเคราะห์และจัดทำสถาปัตยกรรมองค์กร ตัววัดผลลัพธ์ (Outcome) ของกระบวนการวิเคราะห์และจัดทำ
สถาปัตยกรรมองค์กร และปัจจัยที่สำคัญในการพัฒนาสถาปัตยกรรมองค์กร ซึ่งสามารถอธิบายได้ดังนี้
2.1 ผลการทบทวนสถาปัตยกรรมองค์กรด้านดิจิทัล ของ อ.ส.ค. (สำหรับปี 2566)

สถาปัตยกรรมองค์กรด้านดิจิทัล ของ อ.ส.ค. (สำหรับปี 2566) ประกอบด้วยสถาปัตยกรรมองค์กรใน
ด้ า นต่ าง ๆ ได้ แก่ สถาปั ตยกรรมด้ านธุ ร กิ จ (Business Architecture) สถาปั ตยกรรมด้ า นข้ อ มู ล (Data
Architecture) สถาปัตยกรรมด้านระบบงาน (Application Architecture) สถาปัตยกรรมด้านเทคโนโลยี
(Technology Architecture) และสถาปั ต ยกรรมด้ า นกา รรั ก ษาความปลอดภั ย ข้ อ มู ล (Security
Architecture) รวมทั้งการขับ เคลื่อนสถาปัตยกรรมองค์กร หรือการนำสถาปัตยกรรมองค์กรไปใช้งานทั้ง
ด้านการกำกับดูแลองค์กร และการสนับสนุนการดำเนินงานทางธุรกิจ หรือกิจกรรมต่าง ๆ ขององค์กร ที่ใช้
เทคโนโลยีดิจิทัลสนับสนุนการดำเนินงานที่ มีประสิทธิภาพ ดังแสดงในภาพ 2.1-1
ภาพที่ 2.1-1 สถาปัตยกรรมองค์กรด้านดิจิทัล ของ อ.ส.ค. (สำหรับปี 2566)
อย่างไรก็ตาม คณะกรรมการนโยบายรัฐวิสาหกิจ (สคร.) ในฐานะหน่วยงานที่กำกับดูแลรัฐวิสาหกิจทั่ว
ประเทศ ได้กำหนดหลักเกณฑ์ในการกำกับดูแลรัฐวิสาหกิจใหม่ จากเดิมที่ใช้ระบบประเมินคุณภาพรัฐวิสาหกิจ
(State Enterprise Performance Appraisal: SEPA) และระบบบริหารจัดการองค์กรเป็นระบบการประเมินผล
การดำเนินงานรัฐวิสาหกิจตามระบบประเมินผลรัฐวิสาหกิจ (State Enterprise Assessment Model : SE-AM)
ซึ่งประกอบด้วยหลักเกณฑ์ที่ได้พัฒนาขึ้นใหม่ในด้านต่าง ๆ จำนวน 8 ด้าน หรือที่เรียกว่า หลักเกณฑ์การประเมิน
กระบวนการปฏิบัติงานและการจัดการ (Enablers) ของรัฐวิสาหกิจ โดยด้านที่มีความเกี่ยวข้องกับฝ่ายเทคโนโลยี
ดิจิทัลโดยตรง ได้แก่ การพัฒนาเทคโนโลยีดิจิทัล (Digital Technology : DT) ซึ่งในด้านดังกล่าวนั้น ได้มีการ
อธิบายถึงประเด็นที่เกี่ยวข้องกับแนวทางการดำเนินงานด้านสถาปัตยกรรมองค์กร ดังนั้น อ .ส.ค. ในฐานะ
หน่วยงานรัฐวิสาหกิจที่อยู่ภายใต้การกำกับดูแลของ สคร. จึงควรดำเนินงานตามแนวทางที่หน่วยงานกำกับดูแล
(Regulator) กำหนด ประกอบกับการศึกษารายงานสถานะการดำเนินงานของรัฐวิสาหกิจด้าน Core Business
Enablers ประจำปีบัญชี 2565 ของ อ.ส.ค. ด้านเทคโนโลยีดิจิทัล พบประเด็นสำคัญที่เกี่ยวข้องกับการจัดทำ
สถาปัตยกรรมองค์กร ของ อ.ส.ค. ดังนี้
อ.ส.ค. มีการกำหนดกระบวนการวิเคราะห์และจัดทำสถาปัตยกรรมองค์กรให้มีแนวทางปฏิบัติอย่างเป็น
ระบบที่สามารถทำซ้ำได้ (Repeatable Practice) และเป็นมาตรฐาน (Standardized Practice) แสดงให้เห็นภาพ
ในปัจจุบันก่อนนำเทคโนโลยีดิจิทัลมาปรับใช้กับทุกส่วนขององค์กร (As is) และภาพในอนาคตในการนำเทคโนโลยี
ดิ จ ิ ท ั ล มาปรั บ ใช้ ก ั บ ทุ ก ส่ ว นขององค์ ก ร(To be) ครอบคลุ ม ในส่ ว นของ Business Architecture, Data
Architecture, Application Architecture, Infrastructure Architecture และSecurity Architecture อย่างไรก็
ตาม ยังไม่มีการกำหนดกรอบ/แนวทางการใช้สถาปัตยกรรมองค์กรกับโครงการด้านดิจิทัลอย่างเป็นรูปธรรม และ
แนวทางการประเมินประสิทธิผล/ความคุ้มค่าของการนำเทคโนโลยีดิจิทัลมาปรับใช้กับทุกส่วนขององค์กร รวมถึง
ควรมีการถ่ายทอดแนวทางปฏิบัติแบบเดียวกันทั่วทั้งองค์กร ครอบคลุมผู้มีส่วนได้ส่วนเสียที่สำคัญทั้งหมด โดยมี
การวัด วิเคราะห์ และประเมินประสิทธิผลของกระบวนการอย่างเป็นรูปธรรม เพื่อนำมาปรับปรุงและพัฒนา
กระบวนการอย่างต่อเนื่อง
รัฐวิสาหกิจมีการกำหนดกระบวนการบริหารโครงการและการดำเนินงานด้านเทคโนโลยีดิจิทัลอย่างมี
ประสิทธิภาพให้มีแนวทางปฏิบัติอย่างเป็นระบบที่สามารถทำซ้ำได้ (Repeatable Practice) และเป็นมาตรฐาน
(Standardized Practice) โดยมีข้อกำหนดด้านการบริหารจัดการโครงการหน้าที่ของผู้จัดการโครงการ ความรู้
และเครื่องมือในการบริหารโครงการ และมีข้อกำหนดการบริหารจัดการการเปลี่ยนแปลง รวมถึงมีการกำหนดแนว
ทางการประเมินความสำเร็จของโครงการด้านดิจิทัลที่บรรลุเป้าหมาย/ผลลัพธ์ตามที่กำหนดไว้ อย่างไรก็ตามยังไม่
พบหลักฐานที่ชัดเจนในการจัดทำแผนบริหารความเสี่ยงของโครงการ และการกำหนดแนวทางในการทบทวน
หลังจากการดำเนินงานโครงการ รวมถึงควรมีการถ่ายทอดแนวทางปฏิบัติแบบเดียวกันทั่วทั้งองค์กร โดยมีการวัด
วิเคราะห์ และประเมินประสิทธิผลของกระบวนการอย่างเป็นรูปธรรม เพื่อนำมาปรับปรุงและพัฒนากระบวนการ
อย่างต่อเนื่อง
รัฐวิสาหกิจมีการจัดการด้านคุณภาพด้านการพัฒนาเทคโนโลยีดิจิทัล เช่น มีการตรวจสอบด้านเทคโนโลยี
ดิจิทัล (Digital Audit) หรือ Computer Audit เป็นต้น อย่างไรก็ตามควรมีการกำหนดกระบวนการจัดการด้าน
คุณภาพให้มีแนวทางปฏิบ ั ติอย่างเป็ นระบบที่ สามารถทำซ้ำได้ (Repeatable Practice) และเป็นมาตรฐาน
(Standardized Practice) ที่มีการกำหนดขอบเขตและแนวทางในการสร้างระบบบริหารคุณภาพที่ชัดเจน มีการ
ประเมินประสิ ทธิผลของ Quality Management System (QMS) ตลอดจนมี การกำหนดเป้าหมายด้ านการ
จัดการด้านคุณภาพที่ยอมรับได้และสามารถดำเนินการได้ตามเป้าหมาย
ทั้งนี้ จากการศึกษาทบทวนสถาปัตยกรรมองค์กรด้านดิจิทัล ของ อ.ส.ค. (สำหรับปี 2566) เปรียบเทียบกับ
หลักเกณฑ์การวิเคราะห์และจัดทำสถาปัตยกรรมองค์กรของ สคร. และการศึกษารายงานสถานะการดำเนินงาน
ของรั ฐ วิ ส าหกิ จ ด้ า น Core Business Enablers ประจำปี บ ั ญ ชี 2565 ของ อ.ส.ค. จะพบว่ า การจั ด ทำ
สถาปัตยกรรมองค์กรด้านดิจิทัล ของ อ.ส.ค. (สำหรับปี 2566) ที่ผ่านมาในหลาย ๆ ประเด็นมีความสอดคล้องกับ
หลักเกณฑ์ดังที่ สคร. กำหนด เช่น กระบวนการวิเคราะห์และจัดทำสถาปัตยกรรมองค์กร การจัดทำสถาปัตยกรรม
องค์กรที่ครอบคลุมถึงมิติต่าง ๆ ตามที่กำหนด หรือการประเมินความคุ้มค่าของการนำเทคโนโลยีดิจิทัลมาปรับใช้
กับทุกส่วนขององค์กร เป็นต้น โดยหากพิจารณาการประเมินรูปแบบระดับวุฒิภาวะ (Maturity Level) จะพบว่า
สถาปัตยกรรมองค์กรด้านดิจิทัล ของ อ.ส.ค. (สำหรับปี 2566) อยู่ในระดับ 2 คือ รัฐวิสาหกิจมีกระบวนการ
วิเคราะห์และจัดทำสถาปัตยกรรมองค์กรและแนวปฏิบัติที่กำหนดอย่างครบถ้วนและเป็นระบบ ส่วนในระดับ 3, 4
และ 5 นั้น ยังอยู่ในระหว่างการดำเนินงาน
โดยสรุป สถาปัตยกรรมองค์กรด้านดิจิทัล ของ อ.ส.ค. (สำหรับปี 2566) เป็นไปตามมาตรฐานสากลที่นิยม
ใช้โดยทั่วไป เช่นเดียวกับสถาปัตยกรรมองค์กรของสำนักงานรัฐบาลอิเล็กทรอนิกส์ (องค์การมหาชน) หรือ EGA ที่
ได้ให้ความสำคัญกับสถาปัตยกรรมทั้ง 5 ด้าน ได้แก่ ด้านธุรกิจ ด้านข้อมูล ด้านระบบงาน ด้านเทคโนโลยี และด้าน
การรั กษาความปลอดภั ยข้ อมู ล อย่ างไรก็ ตาม การที ่ จะยกระดั บสถาปั ตยกรรมองค์ กรของ อ.ส.ค. ให้ มี
ประสิทธิภาพมากยิ่งขึ้น เป็นไปตามหลักเกณฑ์ที่ สคร. กำหนด จะต้องอาศัยระยะเวลา และการดำเนินงานอย่าง
ต่อเนื่องและเป็นระบบ รวมทั้งจะต้องสร้างความรู้ความเข้าใจให้ทุกคนในองค์กรได้รับรู้ พร้อมปฏิบัติตามไปใน
ทิศทางเดียวกัน
2.2 กระบวนการวิเคราะห์และจัดทำสถาปัตยกรรมองค์กรด้านดิจิทัล ของ อ.ส.ค. (สำหรับปี

2567)
กระบวนการวิเคราะห์และจัดทำสถาปัตยกรรมองค์กรด้านดิจิทัล ของ อ.ส.ค. (สำหรับปี 2567) มุ่งเน้น
การนำเทคโนโลยีดิจิทัลมาปรับใช้กับทุกส่วนขององค์กร และทุกส่วนของธุรกิจ ทั้งในส่วนของกระบวนการ
ทำงาน การสร้างสรรค์ผลิตภัณฑ์การตลาด วัฒนธรรมองค์กร และการกำหนดเป้าหมายการเติบโตในอนาคต
โดยแสดงให้เห็นภาพในปัจจุบันก่อนนำเทคโนโลยีดิจิทัลมาปรับใช้กับทุกส่วนขององค์กร (As is) และภาพใน
อนาคตในการนำเทคโนโลยีดิจิทัลมาปรับใช้กับทุกส่วนขององค์กร (To be) ซึ่งครอบคลุมถึงสถาปัตยกรรมด้าน
ธุรกิจ (Business Architecture) สถาปัตยกรรมด้านข้อมูล (Data Architecture) สถาปัตยกรรมด้านระบบงาน
(Application Architecture) สถาปัตยกรรมด้านเทคโนโลยี (Technology Architecture) และสถาปัตยกรรม
ด้ า นการรั ก ษาความปลอดภั ย ข้ อ มู ล (Security Architecture) ซึ ่ ง ประกอบด้ ว ยกระบวนการหลั ก 3
กระบวนการ ดังนี้
ภาพที่ 2.2-1กระบวนการวิเคราะห์และจัดทำสถาปัตยกรรมองค์กรด้านดิจิทัล ของ อ.ส.ค. (สำหรับปี 2567)
2.2.1 กระบวนการค้นหาข้อเท็จจริง (Fact Finding)

กระบวนการค้นหาข้อเท็จจริงเป็นขั้นตอนการศึกษาแนวคิด หลักการ หรือแนวปฏิบัติที่ดีที่เป็นที่
ยอมรับในระดับสากล รวมทั้งการสำรวจข้อมูลจากผู้มีส่วนได้ส่วนเสียต่าง ๆ ที่เกี่ยวข้อง เพื่อเก็บรวบรวมข้อมูล
ต่าง ๆ เหล่านั้น มาวิเคราะห์และสร้างแนวทางที่เหมาะสมสำหรับการจัดทำสถาปัตยกรรมองค์กรด้านดิจิทัล ของ
อ.ส.ค. (สำหรับปี 2566) โดยในส่วนของกระบวนการค้นหาข้อเท็จจริงจะประกอบด้วยขั้นตอนต่าง ๆ ดังนี้
2.2.1.1 การศึกษาข้อมูล
1) กรอบสถาปัตยกรรมองค์กร (Enterprise Architecture Framework)
กรอบสถาปัตยกรรมองค์กรได้ถูกพัฒนาขึ้นเพื่อการนำเสนอรูปแบบของการนำเอาเทคโนโลยีดิจิทัลมา
สนับสนุนการดำเนินธุรกิจให้เกิดประสิทธิภาพสูงสุดด้วยความถูกต้อง และมีธรรมาภิบาล ซึ่งตลอดเวลาเกือบ 3
ทศวรรษ ที่กรอบสถาปัตยกรรมองค์กรได้ถูกพัฒนาขึ้นโดยนักวิจัยและนัก ปฏิบัติ โดยจะมีความแตกต่างกัน
ออกไปตามแต่ ล ะกรอบสถาปั ต ยกรรมองค์ ก รที่ ไ ด้ ใ ห้ ค วามสำคั ญกั บ องค์ ประกอบต่า ง ๆ ภายใต้ ก รอบ
สถาปัตยกรรมองค์กรที่มาก – น้อย แตกต่างกันไป โดยสรุปได้ดังนี้
2) กรอบสถาปัตยกรรมองค์กรแบบ Zachman (The Zachman Framework)
กรอบสถาปัตยกรรมองค์กรแบบ Zachman ประกอบด้วยองค์ประกอบ 2 ส่วน ได้แก่ 5W1H (ตาม
แนวนอนของรูป) ซึ่งเป็นองค์ประกอบเพื่อการสื่อสารและเชื่อมโยงความสัมพันธ์ระหว่างกันโดยการสอบถาม
ด้วย 6 คำถาม ได้แก่ ใคร (Who) ทำอะไร (What) ที่ไหน (Where) เมื่อไร (When) ทำไม (Why) และอย่างไร
(How) คำถามเหล่านี้จะช่วยรวบรวมและวิเคราะห์เรื่องราวหรือสิ่งต่าง ๆ และการหาความสัมพันธ์ในเชิงเหตุผล
ของสิ่งเหล่านั้น องค์ประกอบที่ 2 เป็นมุมมองผู้รับฟัง (ตามแนวตั้งของรูป) เป็นองค์ประกอบที่กล่าวถึงมุมมอง
ของผู้ที่เกีย่ วข้องกับสถาปัตยกรรมองค์กรในมุมมองต่าง ๆ ซึ่งประกอบไปด้วย 6 มุมมอง ได้แก่ มุมมองผู้บริหาร
(Executive) มุ ม มองผู ้ จ ั ด การธุ ร กิ จ (Business Manager) มุ ม มองสถาปนิ ก (Architect) มุ ม มองวิ ศ วกร
(Engineer) มุมมองช่างเทคนิค (Technician) และมุมมองระดับองค์กร (Enterprise) มุมมองเหล่านี้จะมองสิ่ง
ที่ได้มาจาก 5W1H จากนามธรรมสู่รูปธรรมมากขึ้นตามลำดับ
ภาพที่ 2.3-1กรอบสถาปัตยกรรมองค์กรแบบ Zachman (The Zachman Framework)

3) กรอบสถาปัตยกรรมองค์กรแบบ TOGAF (TOGAF Framework)
กรอบสถาปัตยกรรมองค์กรแบบ TOGAF แบ่ งสถาปัตยกรรมองค์กรออกเป็น 4 ด้าน ได้แก่ สถาปัตยกรรม
ด้านธุรกิจ (Business Architecture) สถาปัตยกรรมด้านข้อมูล (Data Architecture) สถาปัตยกรรมด้านระบบงาน
(Application Architecture) และสถาปั ต ยกรรมด้ า นเทคโนโลยี (Technology Architecture) ซึ ่ ง กรอบ
สถาปัตยกรรมองค์กรแบบ TOGAF มี จุ ด เด่ น ที่สำคั ญ คื อ การให้ แ นวทางและรายละเอี ย ดของการพั ฒ นา
สถาปัตยกรรมองค์กร (Enterprise Architecture Development)
ภาพที่ 2.3-2 กรอบสถาปัตยกรรมแบบ TOGAF (TOGAF Architecture Development Method)
4) กรอบสถาปัตยกรรมองค์กรแบบ Federal (Federal Enterprise Architecture : FEA)

กรอบสถาปัตยกรรมองค์กรแบบ Federal ได้ให้แนวทางในการจัดทำและการนำเอาสถาปัตยกรรม
องค์ ก รไปใช้ ง าน ซึ ่ ง แบ่ ง แบบจำลองการอ้ า งอิ ง (Consolidated Reference Models) เป็ น 6 แบบ
ประกอบด้วย
▪ แบบจำลองอ้ า งอิ ง ประสิ ท ธิ ภ าพองค์ ก ร (Performance Reference Model) : กล่ า วถึ ง
วัตถุประสงค์และเป้าหมายขององค์กรและความสัม พันธ์ระหว่างเป้าหมายองค์กรกับองค์กรอื่น
นอกจากนี้ยังรวมไปถึงการติดตามและวัดประสิทธิภาพขององค์กร
▪ แบบจำลองอ้างอิงธุรกิจ (Business Reference Model) : อธิบายถึงบริการต่าง ๆ (Business
Services) ที่มีการใช้ร่วมกันภายในองค์กรและระหว่างองค์กร และกระบวนการธุรกิจ
▪ แบบจำลองอ้างอิงข้อมูล (Data Reference Model) : อธิบายถึงการบริหารจัดการข้อ มูล ให้
เป็นมาตรฐานและการแลกเปลี่ยนข้อมูลตลอดทั้งองค์กร
▪ แบบจำลองอ้างอิงระบบงาน (Application Reference Model) : ระบุถึงการนำเอาระบบงาน
มาใช้งานให้สอดคล้องกับกระบวนการธุรกิจ
▪ แบบจำลองอ้ า งอิ ง โครงสร้ า งพื ้ น ฐาน (Infrastructure Reference Model) : อธิ บ ายถึ ง
โครงสร้างพื้นฐานต่าง ๆ ที่ถูกนำมาใช้เพื่ออำนวยความสะดวกต่อการบริหารจัดการกับธุรกิจ
ระบบงาน ข้อมูล และความมั่นคงปลอดภัย
▪ แบบจำลองอ้างอิงความมั่นคงปลอดภัย (Security Reference Model) : กล่าวถึงการออกแบบ
และนำเอามาตรการควบคุม (Controls) ความมั่นคงปลอดภัยไปใช้เพื่อให้การดำเนินการด้าน
ธุ ร กิ จ และเทคโนโลยี ส ารสนเทศเป็ น ไปอย่ า งมี ป ระสิ ท ธิ ภ าพด้ ว ยการรั ก ษาความลั บ
(Confidentiality) มีความถูกต้อง (Integrity) ความพร้อมใช้งาน (Availability) ความโปร่งใส
(Transparency) และตรวจสอบได้ (Accountability) รวมไปถึงการบริหารจัดการความเสี่ยง
(Risk Management)
ภาพที่ 2.3-3 สถาปัตยกรรมองค์กรแบบ Federal (Federal Enterprise Architecture Framework :
FEA)
5) เกณฑ์การประเมินผลการดำเนินงานรัฐวิสาหกิจตามระบบประเมินผลใหม่ (State
Enterprise Assessment Model: SE-AM)
การปรับปรุงสถาปัตยกรรมองค์กรของ อ.ส.ค. ได้พิจารณาเกณฑ์การประเมินผลการดำเนินงานรัฐวิสาหกิจ
ตามระบบประเมิ น ผลใหม่ ด้ า นเทคโนโลยี ด ิ จิ ท ั ล หั ว ข้ อ การวิ เ คราะห์ แ ละจั ด ทำสถาปั ต ยกรรมองค์กร
(Enterprise Architecture) ในประเด็นต่าง ๆ ที่สำคัญ ดังนี้
ก) กระบวนการวิเคราะห์และจัดทำสถาปัตยกรรมองค์กรของรัฐวิสาหกิจ
ข) การวิเคราะห์และจัดทำสถาปัตยกรรมองค์กร เพื่อมุ่งเน้นการนำเทคโนโลยีดิจิทัลมา
ปรับใช้กับทุกส่วนขององค์กร และทุกส่วนของธุรกิจทั้งในส่วนของกระบวนการ
ทำงานการสร้า งสรรค์ ผ ลิต ภั ณ ฑ์ก ารตลาด วั ฒ นธรรมองค์ ก ร และการกำหนด
เป้าหมายการเติบโตในอนาคต โดยแสดงให้เห็นภาพในปัจจุบันก่อนนำเทคโนโลยี
ดิ จ ิ ท ั ล มาปรั บ ใช้ ก ั บ ทุ ก ส่ ว นขององค์ ก ร (As is) และภาพในอนาคตในการนำ
เทคโนโลยี ด ิ จ ิ ท ั ล มาปรั บ ใช้ ก ั บ ทุ ก ส่ ว นขององค์ ก ร (To be) ซึ ่ ง ครอบคลุ ม ถึ ง
สถาปัตยกรรมด้านธุรกิจ สถาปัตยกรรมด้านข้อมูล สถาปัตยกรรมด้านระบบงาน
สถาปัตยกรรมด้านเทคโนโลยี และสถาปัตยกรรมด้านการรักษาความปลอดภัยข้อมูล
ค) การสื่อสารสถาปัตยกรรมองค์กร
ง) การกำหนดกรอบ/แนวทางการใช้สถาปัตยกรรมองค์กรกับโครงการด้านดิจิทัลอย่าง
เป็นรูปธรรม
จ) การกำหนดแนวทางการประเมิน ประสิ ทธิผ ล/ความคุ้ ม ค่า ของการนำ
เทคโนโลยีดิจิทัลมาปรับใช้กับทุกส่วนขององค์กร (Evaluation of Digital
Transformation)
6) ผลการประเมินของ อ.ส.ค. ปีบัญชี 2565 รายงานสถานะการดำเนินงานของ
รัฐวิสาหกิจด้าน Core Business Enablers ประจำปีบัญชี 2565
การพิจารณาสถานะผลการดำเนินงานของรัฐวิสาหกิจ หรือการวิเคราะห์ช่องว่าง (Gap Analysis) ของ
อ.ส.ค. ตามเกณฑ์การประเมิน ผลการดำเนินงานรัฐ วิสากิจตามระบบประเมินผลใหม่ (State Enterprise
Assessment Model: SE-AM) ของ อ.ส.ค. พบว่า โดยภาพรวมอยู่ที่ระดับ 2.1232 ทั้งนี้ เมื่อพิจารณาเป็นราย
ด้าน พบว่า ด้านที่ได้รับคะแนนมากที่สุดเป็นอันดับหนึ่ง ได้แก่ การบริหารทุนมนุษย์ (HCM) รองลงมา คือ การ
ตรวจสอบภายใน (IA) การกำกับดูแลที่ดีและการนำองค์การ (CG) การวางแผนเชิงกลยุทธ์ (SP) การบริหาร
ความเสี่ยงและควบคุมภายใน (RM & IC) การพัฒนาเทคโนโลยีดิจิทัล (DT) การมุ่งเน้นผู้มีส่วนได้ส่วนเสียและ
ลูกค้า (SCM) และการจัดการความรู้และนวัตกรรม (KM & IM) ตามลำดับ
แผนภูมิที่ 2.3-1 ผลการประเมินรายงานสถานการณ์ดำเนินงานของรัฐวิสาหกิจด้าน Core Business Enablers ของ

อ.ส.ค. ปีบัญชี 2565
1
2
ระดับ…
.…
05
การกากับ…
จากการศึกษาผลการประเมินของ อ.ส.ค. ปีบัญชี 2565 สามารถสรุปได้ว่า อ.ส.ค. มีผลการดำเนินงาน
ด้าน Core Business Enabler อยู่ในระดับ Maturity “ระดับ 2” ซึ่งหมายถึง เริ่มมีระบบกระบวนการ หรือมี
ไม่เพียงพอ หรือไม่มีคุณภาพไม่ทันสมัย ไม่เหมาะสมกับการปฏิบัติงานทั้งในด้านนโยบายเป้าหมาย กรอบเกณฑ์
ระเบียบ วิธีการทำงาน มีคู่มือการปฏิบัติงานในการดำเนินงานในระบบ กระบวนการนั้นไม่ครบถ้วนสมบูรณ์
รวมทั้งแม้จะมีการติดตามกำกับประเมินผลปรับปรุงแก้ไขปัญหาและสนับสนุนเพียงพอสำหรับการทำงาน
ตามปกติ แต่ไม่สม่ำเสมอ
นอกจากนั้นแล้ว เมื่อพิจารณาเฉพาะด้านการพัฒนาเทคโนโลยีดิจิทัล พบว่า การพัฒนาเทคโนโลยี
ดิจิทัล อ.ส.ค. ยังไม่มีการพัฒนาเทคโนโลยีดิจิทัลอย่างเป็นระบบ ต้องเร่งพัฒนาในด้านการกำกับดูแลเทคโนโลยี
ดิจ ิทัล การนำเทคโนโลยีดิจ ิทัลมาปรับ ใช้กับทุกส่วนขององค์กร การบูรณาการเชื่อมโยงข้อมูล และการ
ดำเนินงานร่วมกันระหว่างหน่วยงาน และการดำเนินการด้านการบริหารจัดการการใช้ทรัพยากรอย่างเหมาะสม
7) ผลการประเมินด้านการพัฒนาเทคโนโลยีดิจิทัลของ อ.ส.ค. ปีบัญชี 2565
ผลการดำเนินงานด้าน Core Business Enables หัวข้อการพัฒนาเทคโนโลยีดิจิทัลของ อ.ส.ค. ปีบัญชี
2565 พบว่า ในภาพรวมได้รับคะแนนอยู่ในระดับ 1.7260 โดยด้านที่ได้รับคะแนนมากที่สุดเป็นอันดับหนึ่ง ได้แก่
การบริหารความต่อเนื่องทางธุรกิจ และความพร้อมใช้ของระบบ (Business Continuity and Availability
Management) และ การบริหารความมั่นคงปลอดภัยของสารสนเทศ (Information Security
Management) รองลงมาคือ การกำกับดูแลด้านเทคโนโลยีดิจิทัล และแผนปฏิบัติการดิจิทัลขององค์กร
(Digital Governance and Roadmap) การบูรณาการเชื่อมโยงข้อมูลและการดำเนินงานรวมกันระหว่าง
หน่วยงาน (Government Integration) การกำกับดูแลข้อมูลและการบริหาร จัดการข้อมูลขนาดใหญ่ของ
องค์กร (Data Governance and Big Data Management) การนาเทคโนโลยีดิจิทัลมาปรับใช้กับทุกส่วน
ขององค์กร (Digital Transformation) การดำเนินการด้านการบริหารจัดการการใช้ทรัพยากรอย่างเหมาะสม
(Resource Optimization Management) ตามลำดับ
แผนภูมิที่ 2.3-2 ผลการประเมินรายงานสถานการณ์ดำเนินงานของรัฐวิสาหกิจด้าน Core Business Enablers หัวข้อ
การพัฒนาเทคโนโลยีดิจิทัลของ อ.ส.ค. ปีบัญชี 2564
8) แนวปฏิบัติที่ดี (Best Practices) ด้านสถาปัตยกรรมองค์กร
กรอบสถาปัตยกรรมองค์กรแบบการใช้แนวปฏิบัติที่ดี (Best Practices) ของบริษัท Dragon (Dragon
One’s Enterprise Architecture) ซึ่งเป็นหนึ่งในผู้นำด้านการให้คำปรึกษาจัดทำสถาปัตยกรรมองค์กรให้แก่
องค์กรชั้นนำในกว่า 110 ประเทศทั่วโลก โดยโครงสร้างของสถาปัตยกรรมองค์กร แบ่งเป็น 5 องค์ประกอบ
หลัก ดังนี้
9) กรอบการกำกับดูแลการบริหารวิสาหกิจ (Enterprise Governance)
กรอบการกำกับดูแลการบริหารวิสาหกิจ ประกอบด้วย วิสัยทัศน์ พันธกิจ แผนงานสำคัญ แนวนโยบาย
ของผู ้ ถ ื อ หุ ้ น และคณะกรรมการบริ ห าร (Board of Directors) ตั ว ชี ้ ว ั ด ผลสำเร็ จ ขององค์ ก ร (KPI) และ
ยุทธศาสตร์ในการดำเนินธุรกิจ เป็นต้น
ก) สถาปัตยกรรมด้านธุรกิจ (Business Architecture)
สถาปัตยกรรมด้านธุรกิจ กล่าวถึง กระบวนงานทางธุรกิจ (Business Processes) การ
กำกั บ ดู แ ลและการจั ด การทั ้ ง ระดั บ หน่ ว ยธุ ร กิ จ และระดั บ โครงการ รวมทั ้ ง โครงสร้ า ง
กระบวนงาน การเปลี่ยนแปลง ให้เกิดประสิทธิภาพในการผลิตและการบริการแก่ล ูก ค้า
รวมทั้งการทำธุรกรรมต่าง ๆ กับพันธมิตรทางการค้าและหน่วยงานภายนอกองค์กร
ข) สถาปัตยกรรมด้านบริการสารสนเทศและสิ่ งอำนวยความสะดวก(Information Services
and Facilities Architecture)
สถาปัตยกรรมด้านบริการสารสนเทศและสิ่งอำนวยความสะดวก อธิบายถึง รูปแบบและ
รายละเอียดของการให้บ ริการด้านสารสนเทศแก่ห น่วยงานแต่ล ะหน่วยงาน และองค์กร
โดยรวม ซึ่งจะเน้นด้านการบูรณาการของระบบงาน คุณภาพการบริการสารสนเทศ ข้อมูลทั้ง
ในระดับองค์ประกอบ (Components) และข้อมูลระดับองค์กรที่ใช้ร่วมกัน
ค) สถาปั ต ยกรรมด้ า นโครงสร้ า งพื ้ น ฐานของเทคโนโลยี ส ารสนเทศ (IT Infrastructure
Architecture)
สถาปั ต ยกรรมด้ านโครงสร้า งพื ้น ฐานของเทคโนโลยีส ารสนเทศกล่ า วถึ งการนำเอา
ซอฟต์แวร์ (Software) และฮาร์ดแวร์ (Hardware) มาสนับสนุนการด้านบริหารจัดการ ด้าน
ข้ อ มู ล ด้ า นระบบงาน และด้ า นกระบวนงานทางธุ ร กิ จ รวมถึ ง โครงสร้ า งของระบบ
คอมพิวเตอร์ ระบบเครือข่ายสื่อสารข้อมูล กระบวนการจัดการด้านเทคโนโลยีสารสนเทศ
และมาตรฐานในการจัดการและการปฏิบัติการด้านเทคโนโลยีสารสนเทศ
ง) สถาปัตยกรรมด้านความปลอดภัยของข้อมูล (Security Architecture)
สถาปัตยกรรมด้านความปลอดภัยของข้อมูลอธิบายถึงการออกแบบและกำหนดมาตรการ
(Measures) ความมั ่ น คงปลอดภั ย ของข้ อ มู ล การบริ ห ารจั ด การความเสี ่ ย ง (Risk
Management) และการลดผลกระทบจากเหตุการณ์ที่เกิดขึ้น เพื่อให้การดำเนินการด้าน
ธุรกิจและการบริการสารสนเทศเป็นไปด้วยความถูกต้อง (Integrity) มีความพร้อมใช้งาน
(Availability) ความโปร่งใส (Transparency) และตรวจสอบได้ (Accountability) รวมถึง
การรักษาความลับ (Confidentiality) ได้อย่างมีประสิทธิภาพ
2.2.1.2 การสำรวจข้อมูล
อ.ส.ค. ได้มีการสำรวจสถานภาพการใช้งานเทคโนโลยีดิจิทัลของบุคลากรในองค์กร ณ สำนักงานภาค
กลาง โดยมีผู้เข้าร่วมประชุม ทั้งในระดับผู้บริหาร และพนักงาน ครอบคลุมทั้ง 4 กลุ่มงานหลัก ได้แก่ กลุ่ม
อุตสาหกรรมนม กลุ่มส่งเสริมกิจการโคนม และกลุ่มการตลาดและการขาย เพื่อรวบรวมข้อมูลสถานภาพใน
เบื้องต้นของปัญหา อุปสรรค และข้อจำกัดต่าง ๆ ที่เกี่ยวข้องกับการใช้งานเทคโนโลยีดิจิทัลในองค์กร จากนั้น
จึงนำข้อมูลที่ได้รับมาวิเคราะห์เพื่อเป็นส่วนหนึ่งของการปรับปรุงสถาปัตยกรรมองค์กรของ อ.ส.ค. ที่เหมาะสม
กับบริบทการดำเนินงานขององค์กร
ภาพที่ 2.3-4 การลงพื้นที่เพื่อสำรวจสถานภาพการใช้งานเทคโนโลยีดิจิทัลของบุคลากรในองค์กร
2.2.2 กระบวนการวิเคราะห์และออกแบบ (Analyst & Design)

เป็นขั้นตอนการนำผลที่ได้จากการศึกษา และสำรวจข้อมูลจากแหล่งข้อมูลต่าง ๆ ที่กำหนดไว้
ในกระบวนการค้นหาข้อเท็จจริงมาวิเคราะห์ ซึ่งจะทำให้ค้นพบข้อเท็จจริงที่เป็นปัจจุบัน ตลอดจนปัญหา และ
อุปสรรคต่าง ๆ ของการดำเนินงานที่ผ่านมา นำมาสู่การปรับปรุง สถาปัตยกรรมองค์กรด้านดิจิทัล ของ อ.ส.ค.
(สำหรับปี 2567) ที่สอดคล้องกับบริบทการดำเนินงานในปัจจุบัน และสภาพแวดล้อมทางสังคมที่เปลี่ยนแปลง
ไป โดยมุ่งเน้นการนำเทคโนโลยีดิจิทัลมาปรับใช้กับทุกส่วนขององค์กร และทุกส่วนของธุ รกิจทั้งในส่วนของ
กระบวนการทำงานการสร้างสรรค์ผลิตภัณฑ์การตลาด วัฒนธรรมองค์กร และการกำหนดเป้าหมายการเติบโต
ในอนาคต โดยในการออกแบบนั้น จะครอบคลุมถึงสถาปัตยกรรมในด้านต่าง ๆ ประกอบด้วย สถาปัตยกรรม
ด้านธุ ร กิ จ สถาปัตยกรรมด้ านข้ อมูล สถาปัตยกรรมด้านระบบงาน สถาปัตยกรรมด้า นเทคโนโลยี และ
สถาปัตยกรรมด้านการรักษาความปลอดภัยข้อมูล
2.2.3 กระบวนการกำหนดแผนงานและข้อเสนอแนะ (Planning &
Recommendation)
เป็นการนำเสนอแนวคิดด้านการพัฒนาสถาปัตยกรรมองค์กรเพื่อยกระดับขีดความสามารถด้าน
เทคโนโลยีดิจิทัลของ อ.ส.ค. สู่การเป็นองค์กรดิจิทัล (Digital Organization) ซึ่งประกอบด้วย ระดับขั้นของ
การพัฒนาสถาปัตยกรรมองค์กร (EA Stages) การประเมินสัดส่วนการลงทุนในแต่ละขั้น (Stage) ของการ
พัฒนาด้านเทคโนโลยีดิจิทัล แผนกลยุทธ์ (Roadmap) สู่การพัฒนาสถาปัตยกรรมองค์กรอย่างสมบูรณ์ (EA
Maturity) รวมถึงบทสรุป และข้อเสนอแนะที่เกี่ยวข้ องกับแนวทาง วิธ ีการในการเพิ่มประสิทธิภ าพเพื่ อ
ประกอบการประเมินผลการดำเนินงานการบริหารจัดการองค์กรด้านการบริห ารจัดการสารสนเทศและการ
กำหนดนโยบาย การออกแบบระเบียบข้อบังคับด้านเทคโนโลยีสารสนเทศของ อ.ส.ค. เป็นต้น
2.3 การถ่ายทอดกระบวนการวิเคราะห์และจัดทำสถาปัตยกรรมองค์กรด้านดิจิทัล ของ อ.ส.ค. (สำหรับ

ปี 2567)
อ.ส.ค. ได้กำหนดวิธีการถ่ายทอดกระบวนการวิเคราะห์และจัดทำสถาปัตยกรรมองค์กร โดยยึดหลักการ
กระบวนการสื่อสารของ เดวิด เบอร์โล (David K. Berlo) ที่ได้ให้ความสำคัญกับองค์ประกอบในการสื่อสารให้
ประสบความสำเร็ จ ประกอบด้ ว ย ผู ้ ส ่ ง สาร (Sender) ข้ อ มู ล ข่ า วสาร (Message) ช่ อ งทางการสื ่ อ สาร
(Channel) และผู้รับสาร (Receiver) หรือที่เรียกว่า “SMCR Model” ซึ่งเป็นแบบจำลองที่ได้รับความนิยม
และได้รับการยอมรับจากนักวิชาการทั้งในและต่างประเทศ ทั้งนี้ อ.ส.ค. ได้ประยุกต์ใช้แบบจำลองการสื่อสาร
ดังกล่าว สำหรับการถ่ายทอดกระบวนการวิเคราะห์และจัดทำสถาปัตยกรรมองค์กร ดังนี้
2.3.1 ผู้ส่งสาร (Sender)
ผู้ส่งสาร คือ ฝ่ายเทคโนโลยีดิจิทัลซึ่งเป็นผู้ที่มีบทบาทหน้าที่ในการจัดทำกระบวนการวิเคราะห์
และจัดทำสถาปัตยกรรมองค์กร โดยภายหลังจากที่ได้ดำเนินการจัดทำข้อมูลเป็นที่เรียบร้อยแล้ว จะต้องจัดส่ง
ให้คณะอนุกรรมการพัฒนาเทคโนโลยีดิจิทัล และคณะทำงานขับเคลื่อนงานด้านเทคโนโลยีดิจิทัลของ อ.ส.ค.
พิจารณาเห็นชอบในหลักการและความถูกต้องของเนื้อหาและรายละเอียด ก่อนทำการส่งต่อข้อมูลข่าวสารไป
ยังบุคลากรในส่วนต่าง ๆ ต่อไป
2.3.2 ข้อมูลข่าวสาร (Message)
ข้อมูลข่าวสาร ได้แก่ สถาปัตยกรรมองค์กรที่ควรจะเป็น (To be) สำหรับเป็นพิมพ์เขียวของ
องค์กร ที่ผ่านการพิจารณาจากคณะอนุกรรมการฯ และคณะทำงานฯ โดยได้รับการรับรองความถูกต้องเป็นที่
เรียบร้อยแล้ว
2.3.3 ช่องทางการสื่อสาร (Channel)
ช่องทางการสื่อสารข้อมูลของ อ.ส.ค. ใช้ทั้งสื่อดังเดิม (Traditional Media) และสื่อสมัยใหม่
(New Media) ดังนี้
2.3.3.1 หนังสือเวียนองค์กร
ถ่ายทอดกระบวนการวิเคราะห์และจัดทำสถาปัตยกรรมองค์กร ที่ได้มีการเก็บรวบรวมไว้ใน
รายงานสถาปัตยกรรมองค์กร 4.0 ของ อ.ส.ค. (สำหรับปี 2567) ซึ่งได้ผ่านการพิจารณาจากคณะกรรมการ
อ.ส.ค. ให้มีมติเห็นชอบในหลักการดังกล่าว จากนั้นจึงจัดทำบันทึกข้อความในลักษณะของหนังสือเวี ยนองค์กร
ส่งต่อไปยังหน่วยงานอื่น ๆ ทั่วทั้งองค์กร เพื่อถ่ายทอด สื่อสาร และสร้างความเข้าใจให้หน่วยงานอื่นได้รับทราบ
กระบวนการวิเคราะห์และจัดทำสถาปัตยกรรมองค์กร
2.3.3.2 เว็บไซต์ digital.dpo.co.th
ถ่ า ยทอดกระบวนการวิ เ คราะห์ แ ละจั ด ทำสถาปั ต ยกรรมองค์ ก ร ผ่ า น เว็ บ ไซต์
digital.dpo.co.th ซึ่งเป็นระบบภายในองค์กร ช่วยให้ผู้บริหาร และพนักงานทุกส่วนงาน สามารถที่จะเข้าถึง
ข้อมูลได้ตามที่ต้องการตลาดเวลา
2.3.3.3 การประชุมคณะทำงานด้านเทคโนโลยีดิจิทัลต่างๆ
ถ่ายทอดถ่ายทอดกระบวนการวิเคราะห์และจัดทำสถาปัตยกรรมองค์กร ผ่านการประชุม
คณะอนุกรรมการพัฒนาเทคโนโลยีดิจิทัล และคณะทำงานขับเคลื่อนงานด้านเทคโนโลยีดิจิทัล ให้พนักงานและ
ผู้บริหารได้รับทราบ
2.3.3.4 InfoGraphic
ถ่ายทอดถ่ายทอดกระบวนการวิเคราะห์และจัดทำสถาปัตยกรรมองค์กร ผ่าน infographic
และแจ้งเวียนทาง email เพื่อให้พนักงานรับทราบ
2.3.4 ผู้รับสาร (Receiver)

ผู้รับสาร ได้แก่ บุคลากรของ อ.ส.ค. ทั้งในระดับผู้บริหาร พนักงาน และผู้ ที่มีส่วนได้ส่วนเสีย
ต่าง ๆ ที่เกี่ยวข้อง
2.4 ตัววัดผลลัพธ์ (Outcome) ของกระบวนการวิเคราะห์และจัดทำสถาปัตยกรรมองค์กร

ด้านดิจิทัล ของ อ.ส.ค. (สำหรับปี 2567)
การประเมินผลเป็นวิธีการกำหนดแนวทางการประเมินตัววัดผลลัพธ์ที่ อ.ส.ค. กำหนด กับผู้มีส่วนได้
ส่วนเสียสำคัญที่เกี่ยวข้อง เพื่อแสดงให้เห็นว่าผลการดำเนินงานเป็นอย่างไร ต้องมีการปรับปรุงแก้ไขอย่างไร
บ้าง เพื่อให้ได้มาซึ่งกระบวนการที่เป็นแนวปฏิบัติที่ดีและมีมาตรฐาน และผลการดำเนินงานด้านการพัฒนา
สถาปัตยกรรมองค์กรตาม อ.ส.ค. กำหนด ทั้งนี้ อ.ส.ค. ได้กำหนดตัววัดผลลัพธ์และวิธีการประเมินผลไว้ดังนี้
ตารางที่ 2.4-1 ตัววัดผลลัพธ์และวิธีการประเมินผลกระบวนการวิเคราะห์และจัดทำสถาปัตยกรรมองค์กรของ อ.ส.ค.
ตัววัดผลลัพธ์ วิธีการประเมินผล หลักฐานประกอบการ
ประเมิน
1. การดำเนิ น งานตามกรอบ 1.1 ฝ่ายสารสนเทศและส่วนงานอื่น ๆ • ผลการดำเนินงานโครงการ
สถาปั ต ยกรรมในอนาคต ที่เกี่ยวข้อง ดำเนินงานตามกรอบ ตามกรอบสถาปัตยกรรมใน
และแผนปฏิบัติการดิจิทัลฯ สถาปั ต ยกรรมในอนาคต และ อนาคต และแผนปฏิ บ ั ติ
แผนปฏิบัติการดิจิทัลฯ ที่กำหนด การดิจิทัลฯ
1.2 คณะอนุ ก รรมการฯ กำกั บ ดู แ ล • รายงานสรุ ป การประชุ ม
และติดตามผลการดำเนินงานผ่าน คณะอนุกรรมการฯ
ที่ประชุม โดยมีการกำหนดให้มี • ผลการทบทวน
การติ ด ตามอย่ า งต่ อ เนื ่ อ งอย่ า ง สถาปั ต ยกรรมองค์ ก รใน
น้อยไตรมาสละ 1 ครั้ง ปัจจุบัน
1.3 ดำเนินการทบทวนสถาปัตยกรรม
องค์กรในปัจจุบันอย่างน้อยปีละ
1 ค ร ั ้ ง เ พ ื ่ อ ใ ห ้ ท ร า บ ถึ ง
ความก้าวหน้าในการดำเนินงาน
ตัววัดผลลัพธ์ วิธีการประเมินผล หลักฐานประกอบการ
ประเมิน
และช่องว่างระหว่าง
สถาปั ต ยกรรมในปั จ จุ บ ั น และ
สถาปัตยกรรมในอนาคต
2. การดำเนินงานที่สอดคล้อง คณะอนุกรรมการฯ ร่ว มกันพิจารณา ร า ย ง า น ส ร ุ ป ก า ร ป ร ะ ชุ ม
กั บ ธุ ร กิ จ ขององค์ ก ร หรื อ โครงการด้านเทคโนโลยีดิจิทัลที่กำลัง คณะอนุกรรมการฯ
วัตถุประสงค์เชิงยุทธศาสตร์ จะดำเนินงาน เพื่อตรวจสอบว่ามีความ
หรือสถาปัตยกรรมองค์ ก ร สอดคล้องกับการดำเนินงานขององค์กร
ในอนาคต หรือแผนปฏิบัติ หรือไม่
การดิจิทัลฯ
3. จำนวนผู้ที่กระทำความผิด คณะอนุกรรมการฯ ร่วมกันพิจารณาผล ร า ย ง า น ส ร ุ ป ก า ร ป ร ะ ชุ ม
ต่อกฎหมาย ระเบียบ และ การดำเนิ น งานในปี ท ี ่ ผ ่ า นมา ว่ า มี คณะอนุกรรมการฯ
ข้ อ บั ง คั บ ด้ า นเทคโนโลยี บุคลากรของ อ.ส.ค. ได้กระทำความผิด
ดิจิทัล ต่ อ กฎหมาย ระเบี ย บ และข้ อ บั ง คั บ
ด้านเทคโนโลยีดิจิทัลหรือไม่
4. การสื่อสารให้ผู้มีส่วนได้ส่วน 4.1 วิ เ คราะห์ ผ ู ้ ม ี ส ่ ว นได้ ส ่ ว นเสี ย ที่ • ผลการวิเคราะห์ผู้มีส่วนได้
เสีย ได้ร ับรู้ถึง กระบวนการ เกี่ยวข้องกับกระบวนการฯ ส่ ว นเสี ย ที ่ เ กี ่ ย วข้ อ งกั บ
ว ิ เ ค ร า ะ ห ์ แ ล ะ จ ั ด ท ำ 4.2 สื่อสารให้ผ ู้มีส ่ว นได้ส ่ว นเสี ย ได้ กระบวนการฯ
สถาปัตยกรรมองค์กร รับ รู้ข้อมูล กระบวนการฯ อย่า ง • ฯผลการประเมินการรับรู้ผู้
น้อยปีละ 1 ครั้ง ผ่านช่องทางการ มีส่วนได้ส่วนเสียฯ
สื่อสารที่กำหนด
4.3 ประเมินการรับรู้ผู้มีส่วนได้ส่วน
เสียที่เกี่ยวข้องอย่างครบถ้วน ตาม
หลักการด้านการวิจัยเชิงปริมาณ
2.5 ปัจจัยที่สำคัญในการพัฒนาสถาปัตยกรรมองค์กรด้านดิจิทัล ของ อ.ส.ค. (สำหรับปี

2567)
ในการศึกษาและปรับปรุงสถาปัตยกรรมองค์กรด้านดิจิทัล ของ อ.ส.ค. (สำหรับปี 2567) เพื่อเป็น
แนวทางในการพัฒนาและการบูรณาการระบบเทคโนโลยีสารสนเทศเพื่อสนับสนุนให้ อ.ส.ค. เป็นหน่วยงาน
รัฐวิสาหกิจที่มีสมรรถนะและขีดความสามารถสู่การเป็นองค์กรดิจิทัล (Digital Organization) อ.ส.ค. ได้
คำนึงถึงปัจจัยที่สำคัญ ประกอบด้วย
2.5.1 การเสริมสร้างประสิทธิภาพและขีดความสามารถขององค์กรได้อย่างเป็นรูปธรรม (Corporate
Capability)
2.5.2 ความสอดคล้องกับแผนวิสาหกิจ ฯ ให้มีความคุ้มค่าและตอบสนองต่อดัชนีชี้ว ัดขององค์กร
(Corporate Alignment)
2.5.3 การให้ความสำคัญกับกระบวนงาน (Business Process) การไหลของงาน (Work Flow) รายงาน
(Report) ที ่ ต ้ อ งการที ่ จ ุ ด ต่ า ง ๆ ความเชื ่ อ มโยงของแต่ ล ะกระบวนงาน (Integration) และผู ้ เ กี ่ ย วข้ อ ง
(Stakeholder)
2.5.4 ความยืดหยุ่น (Flexibility)
2.5.5 คุณภาพการให้บริการ (Quality of Service : QoS)
2.5.6 ความคงทนยืนยาวและขยายระบบได้ (Longevity and Scalability)
2.5.7 การควบคุมกำกับดูแลด้านดิจิทัล (Digital Governance)
2.5.8 มาตรฐานแบบเปิด (Open Architecture)
2.5.9 ความมั่นคงปลอดภัย (Security)
บทที่ 3
สถาปัตยกรรมองค์กร 4.0 ของ อ.ส.ค. (DPO EA 4.0) (สำหรับปี 2567)
สถาปัตยกรรมองค์กร 4.0 ของ อ.ส.ค. (สำหรับปี 2567) ประกอบด้วย สถาปัตยกรรมด้านธุรกิจ

สถาปั ต ยกรรมด้ า นข้ อ มู ล สถาปั ต ยกรรมแอปพลิ เ คชั น สถาปั ต ยกรรมด้ า นเทคโนโลยี ด ิ จ ิ ทั ล
และสถาปัตยกรรมด้านความมั่นคงปลอดภัยสารสนเทศ โดยมีรายละเอียดดังต่อไปนี้
3.1 สถาปัตยกรรมด้านธุรกิจ (Business Architecture)

จากการศึ ก ษา วิ เ คราะห์ โครงสร้ า งองค์ ก รขององค์ ก ารส่ ง เสริ ม กิ จ การโคนมแห่ ง ประเทศไทย
ตลอดจนกระบวนงานทางธุรกิจที่เกี่ยวข้อง สามารถกำหนดสถาปัตยกรรมด้านธุรกิจ (Business Architecture)
ตามกลุ่มภารกิจหลักขององค์กรเป็น 4 กลุ่มภารกิจ ได้แก่ กลุ่มอุตสาหกรรมนม กลุ่มส่งเสริมกิจการโคนม
กลุ่มบริหารและอำนวยการ และกลุ่มการตลาดและการท่องเที่ยว โดยมีรายละเอียดดังต่อไปนี้
3.1.1. กลุ่มอุตสาหกรรมนม
กลุ่มอุตสาหกรรมนมรับผิดชอบการปฏิบัติงานตั้งแต่การรับน้ำนมดิบจากสหกรณ์ฟาร์มโคนมแล
ะศูนย์รับน้ำนมดิบของ อ.ส.ค. กระบวนการผลิต การบรรจุกล่องและหีบห่อ การบริหารจัดการคลังสินค้า
โดยมีตัวอย่างรายละเอียดกระบวนงานผลิต กระบวนงานบริหารคลังสินค้า และกระบวนงานบริหารคลั งพัสดุ
ดังแสดงในภาพที่ 3.1-1 – 3.1-3 และมีองค์ประกอบด้านกระบวนงานที่สำคัญได้แก่
(1) กระบวนการผลิต
(2) กระบวนงานบริหารจัดการคลังสินค้า
(3) กระบวนงานบำรุงรักษาเครื่องจักร
(4) กระบวนงานรับและคำนวณค่าน้ำนมดิบ
(5) กระบวนงานวางแผนการผลิต
(6) กระบวนงานบริหารจัดการโลจิสติกส์
(7) การตรวจสอบคุณภาพน้ำนมและผลิตภัณฑ์
(8) การบริหารคลังวัตถุดิบและพัสดุ
ภาพที่ 3.1-1 กระบวนงานผลิตผลิตภัณฑ์นม
ภาพที่ 3.1-2 กระบวนงานด้านคลังสินค้า
ภาพที่ 3.1-3 กระบวนงานด้านคลังพัสดุ
ดังนั้น สถาปัตยกรรมด้านธุรกิจกลุ่มอุตสาหกรรมนม สามารถกำหนดดังในภาพที่ 3.1-4
ภาพที่ 3.1-4 สถาปัตยกรรมด้านธุรกิจกลุ่มอุตสาหกรรมนม
3.1.2. กลุ่มส่งเสริมกิจการโคนม
กลุ่มส่งเสริมกิจการโคนมรับผิดชอบการปฏิบัติงานการส่งเสริมการเลี้ยงโคนมให้แก่เกษตรกรผู้
เลี ้ ย งโคนมที ่ ส ่ ง น้ ำ นมดิ บ ผ่ า นศู น ย์ ร ั บ น้ ำ นมดิ บ ของ อ.ส.ค. และสมาชิ ก สหกรณ์ โ คนมบางแห่ ง
โ ด ย ม ี ต ั ว อ ย ่ าง ก ร ะ บ ว นง า นท ี ่ เ ก ี ่ ย วข ้ อ ง อ า ท ิ ก า ร ใ ห ้ บ ร ิ ก า ร สั ตว แพ ท ย ์ แล ะ ผส ม เที ย ม
การให้บริการปัจจัยการเลี้ยงโคนม การวิจัยและพัฒนา และนวัตกรรมด้านการเลี้ยงโคนม ดังแสดงในภาพที่
3.1-5 และมีองค์ประกอบด้านกระบวนงานที่สำคัญได้แก่
(1) กระบวนงานส่งเสริมกิจการโคนม
(2) กระบวนงานให้บริการสัตวแพทย์และผสมเทียม
(3) กระบวนงานวิจัยและพัฒนาด้านการเลี้ยงโคนม
(4) กระบวนงานเลี้ยงโคนมฟาร์มอินทรีย์
(5) กระบวนงานบริการปัจจัยการเลี้ยงโคนม
(6) กระบวนงานผลิตน้ำเชื้อพ่อพันธุ์
(7) กระบวนงานถ่ายทอดเทคโนโลยี
ภาพที่ 3.1-5 กระบวนงานด้านการส่งเสริมกิจการโคนม
ดังนั้น สถาปัตยกรรมด้านธุรกิจกลุ่มการส่งเสริมกิจการโคนม สามารถกำหนดดังในภาพที่ 3.1-6
ภาพที่ 3.1-6 สถาปัตยกรรมด้านธุรกิจกลุ่มการส่งเสริมกิจการโคนม
3.1.3. กลุ่มการบริหารและอำนวยการ
กลุ่มการบริหารและอำนวยการ รับผิดชอบการปฏิบัติงานในด้านบุคลากร ด้านบัญชีและการเงิน
ด้านแผนงานและงบประมาณ และด้านพัสดุ มีหน้าที่หลักเพื่อสนับสนุนการปฏิบัติงานในกลุ่มอื่น ๆ อาทิ
กลุ ่ ม อุ ตสาหกรรมนม กลุ ่ ม ส่ ง เสริ ม กิ จ การโ คนม และกลุ ่ ม การตลาดและการท่ อ งเที ่ ย ว
ให้ดำเนินการได้อย่างมีประสิทธิภาพสามารถขับเคลื่อนองค์กรไปสู่เป้าหมายการดำเนินงานขององค์กรตามแผน
วิสาหกิจของ อ.ส.ค. โดยมีองค์ประกอบด้านกระบวนงานที่สำคัญ ได้แก่
(1) กระบวนงานกำหนดแผนงานและจัดทำงบประมาณ
(2) กระบวนงานบริหารงบประมาณและการเงิน
(3) กระบวนงานจัดซื้อจัดจ้างและทำสัญญา
(4) กระบวนงานติดตามและประเมินผล
(5) กระบวนงานบริหารความเสี่ยงและควบคุมภายใน
(6) กระบวนงานบริหารทรัพยากรบุคคล
(7) กระบวนงานประชาสัมพันธ์
(8) กระบวนงานควบคุมพัสดุ
ดังนั้น สถาปัตยกรรมด้านธุรกิจกลุ่มการส่งเสริมกิจการโคนม สามารถกำหนดดังในภาพที่ 3.1-7
ภาพที่ 3.1-7 สถาปัตยกรรมด้านธุรกิจกลุ่มการบริหารและอำนวยการ
3.1.4 กลุ่มการตลาดและการท่องเที่ยว
กลุ ่ ม การตลาดและการท่ อ งเที ่ ย ว รั บ ผิ ด ชอบการปฏิ บ ั ต ิ ง านด้ า นการตลาดและการขาย
และการท่องเที่ย วเชิงเกษตร ของภายในพื้นที่ของ อ.ส.ค. โดยมีตัว อย่างกระบวนงานที่เกี่ยวข้อง อาทิ
การบริหารการขาย การส่งเสริมการตลาด และมีองค์ประกอบด้านกระบวนงานที่สำคัญ ได้แก่
(1) กระบวนงานบริหารการขาย
(2) กระบวนงานบริหารการตลาด
(3) กระบวนงานส่งเสริมการตลาด
(4) กระบวนงานลูกค้าสัมพันธ์
(5) กระบวนงานประชาสัมพันธ์
ดังนั้น สถาปัตยกรรมด้านธุรกิจกลุ่มการตลาดและการท่องเที่ยว สามารถกำหนดดังในภาพที่ 3.1-8
ภาพที่ 3.1-8 สถาปัตยกรรมด้านธุรกิจกลุ่มการตลาดและการท่องเที่ยว
3.2 สถาปัตยกรรมด้านข้อมูล (Data Architecture)
จากการศึกษา วิเคราะห์ กระบวนงานหลักของกลุ่มปฏิบัติงานต่าง ๆ ขององค์การส่งเสริมกิจการโคนม
แห่งประเทศไทย รายละเอียดดังในข้อ 3.4 ตลอดจนข้อมูลและสารสนเทศที่เกิดขึ้นจากกระบวนงานดังกล่าว
ระบบสารสนเทศที ่ ใ ช้ ง านทั ้ ง ภายในและภายนอกองค์ ก ร รวมถึ ง แผนพั ฒ นาดิ จ ิ ท ั ล ฯ ของ อ.ส.ค.
และแผนปฏิบัติการดิ จิทัลฯ ของ อ.ส.ค. ที่กำหนดให้มีการบูรณาการเชื่อมโยงข้อมูลและระบบสารสนเทศ
ทั่วทั้งองค์กรอย่างเป็นรูปธรรม และการขับเคลื่อนโครงการข้อมูลขนาดใหญ่ (Big Data) เพื่อสนับสนุนและ
เพิ่มประสิทธิภาพการปฏิบ ัติงานขององค์กร จึงกำหนดสถาปัตยกรรมด้านข้อมูล (Data Architecture)
ประกอบด้วยกลุ่มข้อมูลแยกตามกลุ่มภารกิจหลักขององค์กร ได้แก่ กลุ่มอุตสาหกรรมนม กลุ่มสนับสนุน
กิจการโคนม กลุ่มบริหารและอำนวยการ และกลุ่มการตลาดและการท่องเที่ยว และระบบสารสนเทศที่สำคัญ
อาทิ ระบบ ERP และดำเนิน การพัฒ นาศูนย์ข้อมูลกลางของ อ.ส.ค. เพื่อเชื่อมโยงฐานข้อมูล เดิมที่มีอยู่
และรองรั บ การบู ร ณาการข้ อ มู ล และสารสนเทศเดิ ม กั บ ฐานข้ อ มู ล Data Lake และ BI/DSS
ที่จ ะถูกพัฒ นาขึ้น ตามแผนพัฒ นาดิจ ิ ทัล ฯ ของ อ.ส.ค. และแผนปฏิบัติก ารดิจิ ทั ล ฯ ของ อ.ส.ค. ต่อ ไป
ดังแสดงในภาพที่ 3.2-1
ภาพที่ 3.2-1 สถาปัตยกรรมด้านข้อมูล (Data Architecture)
3.2.1. สถาปัตยกรรมข้อมูลเดิม
สถาปัตยกรรมข้อมูลเดิม ประกอบด้วยฐานข้อมูลดังต่อไปนี้
3.2.1.1 ฐานข้อมูลด้านอุตสาหกรรมนม
ฐานข้อมูลด้านอุตสาหกรรมนม ประกอบด้วย ข้อมูลที่เกิดขึ้นระหว่างกระบวนงานการผลิต
ผลิตภัณฑ์นม รายละเอียดดังในหัวข้อ 3.1 ซึ่งประกอบด้วยข้อมูลต่าง ๆ ที่เกิดขึ้น ดังแสดงในตารางที่ 3.2-2
ตารางที่ 3.2-1 ฐานขอมูลดานอุตสาหกรรมนมและรายละเอียดหนวยงานที่สรางและใชขอมูล
กองงานเลขานุการคณะกรรมการโคนมและผลิตภัณฑนม
ฝายวิจัยและพัฒนาการเลี้ยงโคนม
สำนักงาน อ.ส.ค. ประจำภาค
ฝายนโยบายและยุทธศาสตร
ฝายสงเสริมการเลี้ยงโคนม
ฝายการตลาดและการขาย
สหกรณ/ศูนยรับน้ำนมดิบ
ฝายทองเที่ยวเชิงเกษตร
เกษตรกรผูเลี้ยงโคนม
ฝายบัญชีและการเงิน
ฝายทรัพยากรบุคคล
ฝายพัสดุและบริการ
ฝายอำนวยการ
ฐานขอมูล รายละเอียดขอมูล
1. แผนการผลิต 1.1 ประเภทผลิตภัณฑ   

นม
1.2 จำนวนที่จะผลิต
รายวัน รายสัปดาห ราย   
เดือน รายไตรมาส และ 
รายป
1.3 ประเภทและปริมาณ
วัตถุดิบ ตอหนวย
ผลิตภัณฑนม และที่จะใช   
ในการผลิต อาทิ น้ำตาล
วัตถุแตงกลิน่ /สี
1.4 ปริมาณน้ำนมดิบที่    
ตองใช
1.5 ประเภทและ
จำนวนบรรจุภัณฑที่   
ตองใช
1.6 ประเภทและ   
จำนวนหีบหอที่ตองใช
1.7 ขอมูลจากระบบ
ขอมูลขนาดใหญ (Big 
Data)
2. ขอมูลการผลิต 2.1 ประเภทผลิตภัณฑ   
นม
2.2 จำนวนที่ผลิต
รายวัน รายสัปดาห ราย   
เดือน รายไตรมาส และ
รายป
หนาที่ 3-8
2.3 ประเภทและปริมาณ
วัตถุดิบ ทีใ่ ชในการผลิต  
อาทิ น้ำตาล วัตถุแตง
กลิ่น/สี
2.4 ถังเก็บน้ำนมดิบ
และปริมาณน้ำนมดิบที่  

ใชในการผลิต
จำนวนบรรจุภัณฑที่ใช  
ในการผลิต
จำนวนหีบหอที่ใชใน  
การผลิต
3. ขอมูลคุณภาพ 3.1 ผลการสุม ทดสอบ
น้ำนมและผลิตภัณฑ น้ำนมดิบหนาโรงงาน
ประกอบดวย วันที่/
เวลา ผลทดสอบ ขอมูล   
สหกรณ/ศูนยรับน้ำนม
ดิบ ขอมูลรถขนสง
น้ำนมดิบ
3.2 ผลการสุม ทดสอบ
น้ำนมดิบในถังเก็บ
น้ำนมดิบ ประกอบดวย   
วันที่/เวลา ผลทดสอบ
ขอมูลถังเก็บน้ำนมดิบ
น้ำนมระหวางกระบวนการ   
แปรรูป/ปรุงรส
ประกอบดวย วันที่/เวลา
ผลทดสอบ ขอมูล
เครื่องจักรในกระบวนการ
แปรรูป และปรุงรส ขอมูล
Lot การผลิต
ผลิตภัณฑนมทาย
สายการผลิต ประกอบดวย
วันที่/เวลา ผลทดสอบ   
ขอมูลผลิตภัณฑนมที่
ทดสอบ ขอมูล Lot การ
ผลิต
3.5 ผลการทดสอบ
ผลิตภัณฑนมครั้ง
สุดทาย ประกอบดวย
วันที่/เวลาทีผลิต   
ผลทดสอบ ขอมูล
ผลิตภัณฑนมทีท่ ดสอบ
ขอมูล Lot การผลิต
4. ขอมูลคลังสินคา 4.1 ประเภทผลิตภัณฑ   
4.2 ตำแหนงทีจ่ ัดเก็บ 
4.3 จำนวนคงเหลือ   
4.4 ขอมูลหีบหอ

ผลิตภัณฑ
4.5 วันที่/เวลาที่จัดเก็บ 
4.6 วันที่/เวลาที่ยาย

ตำแหนง
4.7 ตำแหนงใหมที่

จัดเก็บ
4.8 ขอมูลหีบหอ

ผลิตภัณฑและ วันที่/
เวลาที่ออกจาก
คลังสินคา
5. ขอมูลเครื่องจักร 5.1 หมายเลขทรัพยสิน  
และอะไหล 5.2 ขอมูลเครือ่ งจักร/
ถังจัดเก็บน้ำนมดิบ อาทิ

ประเภท ขนาด ยีหอ
รุน
5.2 ตำแหนงทีต่ ิดตั้ง 
5.3 สัญญาซื้อ/ใบสั่งซื้อ  
5.4 ขอมูลเจาหนาที่
 
ผูรับผิดชอบ
5.5 ขอมูลบริษทั จัด
 
จำหนายเครื่องจักร
5.6 วันที่ติดตั้ง/เริ่มใช

งาน
5.7 รายการชิน้ สวน
 
ประกอบเครื่องจักร
5.8 ขอมูลประสิทธิผล
ของเครื่องจักรโดยรวม 
(OEE)
6. ขอมูลคลังวัตถุดิบ 6.1 ประเภทวัตถุดิบ 
6.2 ตำแหนงทีจ่ ัดเก็บ 
6.3 ปริมาณ/จำนวน

คงเหลือ
6.4 วันที่/เวลา และ
ปริมาณ/จำนวน ที่ 


6.7 ปริมาณ/จำนวน
และ วันที่/เวลาที่ออก  
จากคลังวัตถุดิบ
7. ขอมูลการ 7.1 หมายเลขทรัพยสิน  
บำรุงรักษา 7.2 ขอมูลเครือ่ งจักร
อาทิ ประเภท ขนาด ยี 
หอ รุน
7.3 รายละเอียดการ
บำรุงรักษาเชิงปองกันที่
ดำเนินการ อาทิ วันที่/
เวลารายการที่ 
ดำเนินการ
รายละเอียด/จำนวน
อุปกรณที่เปลีย่ น
แจงซอม อาทิ วันที่/

เวลา อาการผิดปกติที่
เกิดขึ้น
ซอมเครื่องจักร อาทิ
วันที่/เวลา การแกไข 
อุปกรณอะไหล/จำนวน
ที่ใช ผลการทดสอบ
8. ขอมูลน้ำนมดิบ 8.1 วันที่/เวลาที่รับน้ำนม

ดิบ
8.2 ขอมูลสหกรณ/ศูนย

รับน้ำนมดิบ 
8.3 ปริมาณน้ำนมดิบ    
8.4 ผลการทดสอบ
 
คุณภาพ
8.5 ถังจัดเก็บน้ำนมดิบ 
 หมายถึง หนวยงานขององคกรที่สรางขอมูล  หมายถึง หนวยงานขององคกรที่ตองการใชขอมูล
3.2.1.2 ฐานขอมูลดานการสงเสริมกิจการโคนม
ฐานข อ มู ล ด า นการส ง เสริ ม กิ จ การโคนม ประกอบด ว ย ข อ มู ล ที ่ เ กิ ด ขึ ้ น ใน
กระบวนงานดานการสงเสริมกิจการโคนม รายละเอียดดังในหั วข อ 3.1 ซึ่งประกอบดวยขอมูลตาง ๆ ที่
เกิดขึ้นดังแสดงในตารางที่ 3.2-2
ตารางที่ 3.2-2 ฐานขอมูลดานสงเสริมกิจการโคนมและรายละเอียดหนวยงานที่สรางและใชขอมูล
1. ขอมูลโคนม 1.1 หมายเลข/ชื่อโคนม     

1.2 ขอมูลสายพันธุ     
1.3 ขอมูลพอ/แม โค      
นม
1.4 วัน/เดือน/ป เกิด     
1.5 ประวัติการรีดนม    
1.6 ประวัติการผสม
    
เทียม
1.7 ประวัติการรักษา     
1.8 ฟารมโคนม     
1.9 เกษตรกรผูเลี้ยงโค     
นม
2. ขอมูลสหกรณโค 2.1 ชื่อและตำแหนง     
นม ที่ตั้ง
2.2 ขอมูลผู     
ประสานงาน
2.3 รายชื่อสมาชิก 
   
สหกรณ
2.4 ขอมูล MOU
ประกอบดวย เลขที่
MOU ปริมาณน้ำนมดิบ    

ตาม MOU ปริมาณ
น้ำนมดิบคงเหลือ
2.5 ประวัติการสง
น้ำนมดิบ ประกอบดวย
วันที่/เวลา ปริมาณ 
   
น้ำนมดิบ ผลการ
ตรวจสอบคุณภาพหนา
โรงงาน
2.5 ขอมูลการจายเงิน     
คาน้ำนมดิบ
3. ขอมูลเกษตรกรผู 3.1 ชื่อและขอมูลการ
   
เลี้ยงโคนม ติดตอ
3.2 ชื่อฟารมโคนม     
3.3 ประวัติการสง
น้ำนมดิบ ประกอบดวย
  
วันที่/เวลา ปริมาณ
น้ำนมดิบ ผลการ
ตรวจสอบคุณภาพที่
ศูนยรับน้ำนมดิบ
3.4 ขอมูลการจายเงิน       
คาน้ำนมดิบ
4. ขอมูลการ 4.1 การนัดหมาย    
ใหบริการสัตวแพทย 4.2 วันที่/เวลา
   
ใหบริการ
4.3 ฟารมโคนม และ
    
สถานที่ตั้ง
4.4 ขอมูลโคนม     
4.5 ขอมูลสัตวแพทย     
4.6 อาการที่เกิดขึ้น     
4.7 การรักษา     
4.8 เวชภัณฑและ       
อุปกรณที่ใช
4.9 คาบริการ       
5. ขอมูลการ 5.1 การนัดหมาย    
ใหบริการผสมเทียม 5.2 วันที่/เวลา
   
ใหบริการ
5.3 ฟารมโคนม และ
    
สถานที่ตั้ง
5.4 ขอมูลโคนม     
5.5 ขอมูลเจาหนาที่     
ผสมเทียม
    
ผสมเทียม
5.7 น้ำเชื่อและอุปกรณ       
ที่ใช
5.8 คาบริการ       
6. ขอมูลอาหารผสม 6.1 ประเภทอาหาร      

ผสม
6.2 วัตถุดิบ      
6.3 ปริมาณวัตถุดิบ      
7. ขอมูลงานวิจัย 7.1 ชื่องานวิจัยและ     
และนวัตกรรม นวัตกรรม
7.2 วัตถุประสงค     
7.3 ผลการวิจยั /     
นวัตกรรม
7.4 ขอมูลการจด
ลิขสิทธิ์และทรัพยสิน     
ทางปญญา
7.5 งบประมาณที่ใช    
8. ขอมูลคลังพัสดุ 8.1 ประเภทพัสดุ    
8.2 ตำแหนงทีจ่ ัดเก็บ  
8.3 จำนวนคงเหลือ    
8.4 ขอมูลพัสดุ    
8.5 วันที่/เวลาที่เก็บ   
เขาคลังพัสดุ
 
 
จัดเก็บ 
8.8 ขอมูลพัสดุและ
วันที่/เวลาที่นำออกจาก   
คลังพัสดุ
3.2.1.3 ฐานขอมูลดานการบริหารและอำนวยการ
ฐานข อ มู ล ด า นการบริ ห ารและอำนวยการ ประกอบด ว ย ข อ มู ล ที่ เ กิ ด ขึ้ น ใน
กระบวนงานดานการบริหารและอำนวยการ รายละเอียดดังในหัวขอ 3.1 ซึ่งประกอบดวยขอมูลตาง ๆ ที่
ตารางที่ 3.2-3 ฐานขอมูลดานการบริหารและอำนวยการและรายละเอียดหนวยงานที่สรางและใชขอมูล
ฝายตรวจสอบภายใน
ฝายเทคโนโลยีดิจิทัล
1. ขอมูลแผนงาน/ 1.1 ปงบประมาณ             

งบประมาณ 1.2 วันที่กรอกขอมูล             
1.3 ชื่อโครงการ             
1.4 ชื่อยุทธศาสตร/กล
ยุทธ/กลุมโครงการ             
ยุทธศาสตร
1.5 งบประมาณ             
1.6 ประมาณการ
            
เบิกจายรายไตรมาส
1.7 หนวยงาน
            
ผูรับผิดชอบ
1.8 วันทีแ่ กไขขอมูล             
1.9 ขอมูลการอนุมัติ             
2. ผลการ 2.1 ปงบประมาณ             
ดำเนินงาน 2.2 ชื่อโครงการ             
2.3 งบประมาณ             
2.4 รางขอกำหนด
            
ขอบเขตงาน
            
ประเมินคาใชจาย
2.6 ขอมูลสัญญาจาง/ซื้อ             
ขาย
2.7 เลขานุการโครงการ             
2.8 ขอมูลการสงมอบ
งาน อาทิ วันที่สงมอบ/
ตรวจรับงวดงาน
            
เอกสารสงมอบงาน
รายงานการประชุมที่
เกี่ยวของ
2.9 ขอมูลการเบิก
จายเงิน อาทิ งวดงาน
            
ขอมูลหนังสือแจงหนี้
จำนวนเงินที่จาย
2.10 สรุปผล
ความกาวหนาโครงการ             
และผลการเบิกจายเงิน
3. ขอมูลบุคลากร 3.1 หมายเลขประจำตัว             
พนักงาน
3.2 ขอมูลพนักงาน
อาทิ ชื่อ-นามสกุล อายุ
วัน/เดือน/ป เกิด เพศ             
ศาสนา ขอมูล
ครอบครัว
3.3 ตำแหนงและ             
หนวยงานตนสังกัด
3.4 หัวหนางาน             
3.5 ประวัติการศึกษา             
3.6 ประสบการณใน             
การทำงาน
3.7 ประวัติการทำงาน             
ในองคกร
3.8 ผลการประเมิน
ประสิทธิภาพการ             
ปฏิบัติงาน
3.9 ประวัติการ             
ฝกอบรม
3.10 สถิติการขาด/             
สาย/ลาปวย
4. ขอมูลบัญชี/ 4.1 ขอมูลเจาหนี้
 
การเงิน เจาหนี้คางจาย
4.2 ขอมูลลูกหนี้ ลูกหนี้
 
คางรับ
4.3 ขอมูลรายรับ
รายจาย และประมาณ             
การรายรับ รายจาย
4.4 ขอมูลยอดบัญชีเงิน
ฝาก และการรับจาย  
จากบัญชีธนาคาร
4.5 ขอมูลภาษีตางๆ
อาทิ ภาษีมูลคาเพิ่ม  
ภาษีหัก ณ ที่จา ย
4.6 ขอมูลการจาย            
เงินเดือนและสวัสดิการ
4.7 ขอมูลเงินสดยอย            
4.8 ขอมูลเงินกูระยะ
 
สั้นและระยะยาว
4.9 ขอมูลการลงทุน
 
และผลตอบแทน
4.10 ขอมูลทรัพยสิน             
และมูลคาเสื่อม
4.11 ขอมูลสินคา   
คงเหลือ
4.12 ขอมูลคลังพัสดุ            
5. ขอมูลความเสี่ยง 5.1 ขอมูลปจจัยเสี่ยง             

องคกร 5.2 ขอมูลเพื่อการ
            
ประเมินความเสี่ยง
5.3 ขอมูลการวิเคราะห
ผลกระทบและโอกาสเกิด             
ปจจัยเสี่ยง
5.4 ขอมูลแผนการ
บริหารจัดการความ             
เสี่ยง
5.5 ขอมูลผลการ
            
ติดตามความเสี่ยง
6. ขอมูลการจัดซื้อ/ 6.1 ชื่อโครงการ/
            
จัดจาง อุปกรณ
6.2 งบประมาณ             
6.3 รายละเอียด
เอกสารขอกำหนด             
โครงการ
6.4 รายละเอียดสัญญา
            
ซื้อ/สัญญาจาง
6.5 ความกาวหนาของ
            
งาน
7. หนังสือราชการ             
8. ขอมูลการ 8.1 ขอมูลการประเมิน

ตรวจสอบภายใน ความเสี่ยงเพื่อวาง  
แผนการตรวจสอบ
8.2 แผนการตรวจสอบ
ประจำป (ดานการเงิน ดาน
กระบวนงาน ดาน             
เทคโนโลยีสารสนเทศ ตาม
นโยบายผูบริหาร)
8.3 ผลการตรวจสอบ             
ภายใน
8.4 รายการแกไข             
8.5 ผลการตรวจสอบ             
รายการแกไข
9. ขอมูลครุภัณฑ/ 9.1 ประเภทครุภัณฑ/
            
ทรัพยสิน ทรัพยสิน
9.2 หมายเลขครุภัณฑ/             
ทรัพยสิน
9.3 ตราสินคา รุน             
9.4 ขอมูลใบสัง่ ซื้อหรือ
            
สัญญา
9.5 ขอมูลระยะเวลา
            
การรับประกัน
9.6 ขอมูลบริษทั
ตัวแทนจำหนาย/             
คูสัญญา
9.7 ขอมูลสถานที่
            
ติดตั้ง/จัดเก็บ
3.2.1.4 ฐานขอมูลดานการตลาดและการทองเที่ยว
ฐานข อ มู ล ด า นการตลาดและการท อ งเที ่ ย ว ประกอบด ว ยข อ มู ล ที่ เ กิ ด ขึ้ น ใน
กระบวนงานดานการตลาดและการท องเที่ ยว รายละเอียดดังในหัวขอ 3.1 ซึ่งประกอบดวยขอมูลตาง ๆ ที่
ตารางที่ 3.2-4 ฐานขอมูลดานการตลาดและรายละเอียดหนวยงานที่สรางและใชขอมูล
ตัวแทนจำหนาย
ลูกคา
1. ขอมูลตัวแทน 1.1 ประเภทตัวแทน     
จำหนาย Modern จำหนาย
Trade และ 1.2 ขอมูลตัวแทน    
Traditional Trade จำหนาย
1.3 ขอมูลยอดขาย     
ของตัวแทนจำหนาย
1.4 ขอมูลการสั่งซื้อ     
สินคา
1.5 ขอมูลการชำระ     
เงิน
1.6 ขอมูลการทำ
โปรโมชั่นและสวนลด     
สินคา
2. ขอมูลสินคาและ 2.1 ขอมูลสินคาและ      
บริการ บริการ
2.2 ขอมูลยอดขาย    
สินคาและบริการ
2.3 ราคาขายตอ      
หนวย
2.4 ตนทุนสินคาตอ    
หนวย
3. ขอมูลนมโรงเรียน 3.1 ขอมูลนมโรงเรียน     
3.2 ขอมูลยอดขายนม     
โรงเรียน
ลูกคา
3.3 ราคาขายตอ     
หนวย
3.4 ตนทุนสินคาตอ     
หนวย
4. ขอมูลการ 4.1 ขอมูลลูกคา   
ทองเที่ยวเชิง 4.2 ขอมูลรายไดจาก   
เกษตรกรรม การเขาเยี่ยมชม
4.3 ขอมูลรายไดจาก
การขายสินคาหนา     
ราน
4.4 ขอมูลราคาขาย
ตอหนวยของสินคา    
หนาราน
4.5 ขอมูลตนทุน
สินคาตอหนวยของ    
สินคาหนาราน
5. ขอมูลผลิตภัณฑ 5.1 ขอมูลผลิตภัณฑ       
5.2 ราคาขายตอ     
หนวย
หนวย
5.4 ขอมูลสวนลด      
สินคา
6. ขอมูลลูกคา 6.1 ขอมูลลูกคา     
ตางประเทศ 6.2 ขอมูลตัวแทน     
จำหนาย
6.3 ยอดขายสินคา     
6.4 ราคาขายสินคาตอ     
หนวย
ลูกคา
หนวย
6.6 ขอมูลการชำระ    
เงิน
6.7 ขอมูลการทำ
โปรโมชั่นและสวนลด     
สินคา
3.2.1.5 ฐานขอมูลระบบ ERP
ฐานข อ มู ล ระบบ ERP ประกอบด ว ยข อ มู ล และสารสนเทศที ่ เ กิ ด ขึ ้ น ใน
กระบวนงานด า นบั ญ ชี แ ละการเงิ น อาทิ กระบวนงานจั ด ทำงบประมาณ กระบวนงานทางการบั ญ ชี
กระบวนงานจัดซื้อและจัดจาง กระบวนงานบริหารจัดการครุภัณฑ โดยมีองคประกอบขอมูลและสารสนเทศ
ดังในตารางที่ 3.2-5
ตารางที่ 3.2-5 องคประกอบขอมูลและสารสนเทศของระบบ ERP
กลุมภารกิจ รายการขอมูล
1. ดานอำนวยการ ขอมูลดานบุคลากร
ขอมูลดานงบประมาณ บัญชี และการเงิน
ขอมูลพัสดุและบริการ
2. ดานอุตสาหกรรม ขอมูลการรับซื้อน้ำนมดิบ
ขอมูลการจำหนายน้ำนมดิบ
ขอมูลการผลิตผลิตภัณฑนม
ขอมูลการจำหนายผลิตภัณฑนม
ขอมูลการสูญเสียทั้งกระบวนการผลิต
3. ดานสงเสริมการเลี้ยงโคนมและทองเที่ยว ขอมูลการบริการสัตวแพทย
ขอมูลการบริการผสมเทียม
ขอมูลการผลิตน้ำนมของฟารม อ.ส.ค.
ขอมูลการจำหนายแรธาตุ
ขอมูลการฝกอบรมการเลี้ยงโคนม
ขอมูลการจำหนายน้ำเชื้อแชแข็ง
กลุมภารกิจ รายการขอมูล
4. ดานการตลาดและการทองเที่ยว ขอมูลลูกคาตางประเทศ
ขอมูล MT/TT
ขอมูลนมโรงเรียน
ขอมูลผลิตภัณฑ
ขอมูลยอดขายสินคา/บริการ
ขอมูลสินคาหนารานการทองเที่ยว
3.2.1.6 ฐานขอมูลระบบ MIS/EIS

ฐานขอมูลระบบ MIS/EIS ประกอบดวยสารสนเทศเพื่อการบริหารจัดการองคกร
โดยการวิเคราะหและประมวลผลขอมูลที่เกิดขึ้นจากการปฏิบัติงานของหนวยงานตาง ๆ ภายในองคกรโดย
สามารถเชื่อมโยงเพื่อนำเขาขอมูลจากระบบสารสนเทศที่เกี่ยวของ เพื่อสนับสนุนการขับเคลื่อนองคกรตาม
แผนวิสาหกิจฯ ของ อ.ส.ค. โครงการเชิงยุทธศาสตร 5 ดาน (Project Theme) ตลอดจนตัวชี้วัดผลสำเร็จ
ขององคกร (KPI) ในดานการสรางความมั่นคงและยั่งยืนในอาชีพการเลี้ยงโคนม การพัฒนาอุตสาหกรรมนม
แบบครบวงจรตามมาตรฐานสากล การเพิ่มขีดความสามารถในการแขงขันดานการตลาด การวิจัยพัฒนา
และถายทอดเทคโนโลยีรวมถึงนวัตกรรม ความเปนเลิศที่ยั่งยืนและรับผิดชอบตอสังคมอยางมีประสิทธิภาพ
และสามารถปรับเปลี่ยนไดตามภารกิจและสถานการณขององคกรที่เปลี่ยนไป
3.2.1.7 ฐานขอมูลระบบ KM
ฐานข อมูล ระบบ KM จัดเก็บข อมู ล องค ค วามรูใ นการปฏิบั ติ งานตลอดจนแนว
ปฏิ บั ติ ที่ดี (Best Practices) ของหน ว ยงานภายในองคกร ทั้ ง ในรูปแบบของเอกสาร รู ป แบบขอมู ล จาก
Portal และรูปแบบระบบ Case-Based Reasoning ตลอดจนองคความรูดานการสงเสริม กิจการโคนม
สำหรับเกษตรกรผูเลี้ยงโคนมและสหกรณโคนม
โดยมีรูปแบบสถาปตยกรรมขอมูล (Data Architecture) ของกลุมภารกิจตาง ๆ
ดังแสดงในภาพที่ 3.2-2 ถึง 3.2-5 ตามลำดับ
ภาพที่ 3.2-2 ฐานขอมูลดานอุตสาหกรรมนม

ภาพที่ 3.2-3 ฐานข้อมูลด้านการส่งเสริมกิจการโคนม
ภาพที่ 3.2-4 ฐานข้อมูลด้านบริหารและอำนวยการ
ภาพที่ 3.2-5 ฐานข้อมูลด้านการตลาดและการท่องเที่ยว
3.2.2. สถาปัตยกรรมข้อมูลที่พัฒนาเพิ่มเติม
สถาปัตยกรรมข้อมูลที่พัฒนาเพิ่มเติมเป็นฐานข้อมูลที่จะถูกพัฒนาขึ้นตามแผนพัฒนาดิจิทัลฯ
และแผนปฏิบัติการดิจิทัลฯ ประกอบด้วยฐานข้อมูลดังต่อไปนี้
3.2.2.1. Data Lake
เป็ น ระบบการจั ด เก็ บ ข้ อ มู ล ดิ บ (Raw Data) ซึ ่ ง สามารถจั ด เก็ บ ข้ อ มู ล แบบ
Structured, Semi-Structured และ Unstructured จากทั ้ ง ภายในและภายนอกองค์ ก ร อาทิ
ข้ อ มู ล จากระบบฐานข้ อ มู ล ข้ อ มู ล รู ป ภาพ ข้ อ มู ล วิ ด ี โ อ ตลอดจนข้ อ มู ล จาก Social Media
โดยสามารถรองรับข้อมูลปริมาณมหาศาล การเรียกใช้และจัดเก็บข้อมูล อย่างรวดเร็ว และการวิเคราะห์
ข้อมูลของระบบข้อมูลขนาดใหญ่ (Big Data) ได้
3.2.2.2. ฐานข้อมูลสำหรับระบบ Business Intelligence และ Decision Support
System (BI/DSS)
เป็นฐานข้อมูลที่จัดเก็บข้อมูลเชิงวิเคราะห์ของข้อมูลแบบมีโครงสร้าง (Structured
Data) เพื่อสนับสนุนการติดตามงานและการตัดสินใจการแก้ไขปัญหาเชิงรุก และการวางแผนเชิงนโยบาย
ของระดับบริหาร สามารถบูรณาการข้อมูลร่วมกับระบบ MIS และ ระบบ EIS ได้อย่างมีประสิทธิภาพ ทั้งนี้
มีองค์ประกอบการวิเคราะห์ข้อมูล อาทิ On-Line Analytical Processing, Data Mining, Predictive
Analysis, Prescriptive Analysis เป็นต้น
3.2.2.3. คลังข้อมูลกลาง อ.ส.ค.
เป็นศูนย์รวมการจัดเก็บข้อมูลขององค์กรที่รวบรวมข้อมูลจากกลุ่มภารกิจหลัก 4
กลุ่ม ของอ.ส.ค. ได้แก่ กลุ่มอุตสาหกรรมนม กลุ่มสนับสนุน กิจ การโคนม กลุ่มบริห ารและอำนวยการ
และกลุ่มการตลาดและการท่ องเที่ ย ว ตลอดจนฐานข้อมูล ระบบ ERP ระบบ KM และรองรับสนั บ สนุ น
การวิเคราะห์ข้อมูลเชิงบริหารในรูปแบบต่าง ๆ ของระบบ MIS ระบบ BI/DSS ระบบ EIS และระบบ Big Data
ทั ้ ง นี ้ เ พื ่ อ รองรั บ การเชื ่ อ มโยงบู ร ณาการด้ า นข้ อ มู ล และระบบสารสนเทศทั ้ ง องค์ ก รอย่ า งเป็ น ระบบ
และขับเคลื่อนโครงการพัฒนาข้อมูลขนาดใหญ่ (Big Data) เพื่อการเพิ่มประสิทธิภาพในการปฏิบัติงานของ
อ.ส.ค. อย่างเป็นรูปธรรมและเต็มรูปแบบ
3.3 สถาปัตยกรรมด้านระบบงาน (Application Architecture)

ปัจจุบัน องค์การส่งเสริมกิจการโคนมแห่งประเทศไทย มีการพัฒนาระบบงาน (Application) เพื่อ
สนับสนุนการปฏิบัติงานค่อนข้างหลากหลาย โดยมีระบบงานหลักซึ่งเป็นระบบงานที่มีการใช้งานร่วมกันหลาย
หน่วยงานหรือสนับสนุนภารกิจหลักขององค์กรโดยตรง อาทิ ระบบ ERP ระบบ MIS ระบบ EIS และระบบ
บริ ห ารจั ดการทรัพ ยากรบุ ค คล ทั ้ ง นี ้ ระบบงานต่ า งๆมี ล ั ก ษณะการใช้ ง านครอบคลุม หน่ ว ยปฏิ บั ติ การ
หลากหลายหน่วยงาน และมีการชื่อมโยงบูรณาการในบางส่วน ระบบงานโดยส่วนใหญ่ต้องการการนำเข้าข้อมูล
แบบ Manual ก่อให้เกิดประเด็นความถูกต้องและความเป็นปัจจุบันของข้อมูลสารสนเทศในองค์กร และโดย
ความเป็นหน่วยงานรัฐวิสาหกิจภายใต้การกำกับดูแลของกระทรวงเกษตรและสหกรณ์ อ.ส.ค. มีการใช้งาน
ระบบงานกลางของภาครัฐในการจัดทำงบประมาณ และดำเนินการจัดซื้อจัดจ้าง อาทิ ระบบ e-GP ระบบ e-
SAR จากประเด็นข้อพิจารณาดังกล่าว สถาปัตยกรรมด้านระบบงาน (Application Architecture) จึงถูกจัด
กลุ่มเป็น 5 กลุ่ม ได้แก่ กลุ่มระบบงานหลัก กลุ่มระบบงานสนับสนุน กลุ่มระบบงานภายนอกองค์กร กลุ่ม
การบูรณาการระบบงาน และกลุ่มสถาปัตยกรรมแบบ Micro Service ดังแสดงในภาพที่ 3.3-1
ภาพที่ 3.3-1 สถาปัตยกรรมด้านระบบงาน (Application Architecture)
3.3.1 สถาปัตยกรรมระบบงานหลัก
สถาปัตยกรรมระบบงานหลัก ประกอบด้วยระบบงานดังต่อไปนี้
3.3.1.1 ระบบงานหลักเดิม ประกอบด้วย
1) ระบบวางแผนทรัพยากรองค์กร (ERP)
ระบบ ERP ที่ อ.ส.ค. นำมาใช้ประกอบด้วยระบบด้านบัญชีการเงิน ซึ่งมี
วัตถุประสงค์เพื่อช่วยในการปิดงบการเงินของ อ.ส.ค. ให้เสร็จตามกำหนดเวลา โดยมีตัวอย่างหน้าจอของระบบ
ฯ ดังแสดงในภาพที่ 3.3-2
ภาพที่ 3.3-2 ระบบวางแผนทรัพยากรองค์กร (ERP)
2) ระบบสารสนเทศเพื่อการบริหาร (MIS)
เป็นระบบจัดเก็บข้อมูลผลการดำเนินงานทั้ง 5 ด้าน ของ อ.ส.ค. ได้แก่ด้าน
อุตสาหกรรมนม ด้านส่งเสริมกิจการโคนม ด้านการให้บริการ ด้านรับซื้อและจำหน่ายน้ำนมดิบ และด้านอัตรา
กำลังคน ใช้ในการรายงานผลการดำเนินงานขององค์กรต่อฝ่ายบริหาร ทั้งในรูปแบบรายงานประจำเดือนและ
รายงานประจำปี รวมถึงรายงานเชิงเปรียบเทียบข้อมูลระหว่างเดือนเป็นรายปี ซึ่งแผนกติดตามและประเมินผล
จะนำข้อมูลที่ได้จากระบบ MIS มาจัดทำรายงานประจำเดือน และประจำปี เพื่อใช้ในการรายงานประชุมฝ่าย/
สำนักงานขึ้นไป อย่างน้อยเดือนละ 1 ครั้ง โดยมีตัวอย่างหน้าจอของระบบฯ ดังแสดงในภาพที่ 3.3-3
ภาพที่ 3.3-3 ระบบสารสนเทศเพื่อการบริหาร (MIS)
3) ระบบสารสนเทศสำหรับผู้บริหาร (EIS)
เป็นระบบสำหรับการประมวลผลข้อมูลที่จำเป็นโดยข้อมูลสำคัญนี้นำมาจาก 3
แหล่ง คือ ข้อมูลจากการสำรวจความต้องการของผู้บริหาร ข้อมูลสำคัญขององค์กร และข้อมูลความต้องการใน
อุตสาหกรรมเดียวกัน เพื่อประมวลผลใน 5 ด้าน ได้แก่ ด้านอุตสาหกรรมนม ด้านส่งเสริมกิจการโคนม ด้านการ
ให้บริการ ด้านรับซื้อและจำหน่ายน้ำนมดิบ และด้านอัตรากำลังคน และจัดทำให้อยู่ในรูปแบบที่ผู้บริหารของ
อ.ส.ค. ต้องการ อาทิ การแสดงข้อมูลในรูปแบบกราฟ และรูปแบบการเปรียบเทียบ เป็นต้น เพื่อให้ผู้บริหาร
องค์กรมีข้อมูลพร้อมใช้งานตลอดเวลา โดยมีตัวอย่างหน้าจอของระบบฯ ดังแสดงในภาพที่ 3.3-4
ภาพที่ 3.3-4 ระบบสารสนเทศสำหรับผู้บริหาร (EIS)
4) ระบบบริหารจัดการทรัพยากรบุคคล (e-HR)
ระบบ e-HR เป็ น ระบบสนั บ สนุ น การบริ ห ารจั ด การทรั พ ยากรบุ ค คล
ประกอบด้วย ทะเบียนประวัติ โครงสร้างองค์กร การประเมินบุคลากรที่รองรับการปรับเกณฑ์การประเมินใหม่
ตลอดจน รายงานในด้านต่าง ๆ อาทิรายงานอัตรากำลัง รายงานการพัฒนาบุคคล รายงานสิทธิและสวัสดิการ
พนักงาน โดยมีตัวอย่างหน้าจอของระบบฯ ดังแสดงในภาพที่ 3.3-5
ภาพที่ 3.3-5 ระบบบริหารจัดการทรัพยากรบุคคล (e-HR)
5) ระบบบริหารจัดการฟาร์ม Zyan Dairy

เป็นระบบบริหารจัดการฟาร์มแบบครบวงจร กับเกษตรกร ที่สามารถจัดเก็บ
ตรวจสอบข่าวสารจากสหกรณ์ การจัดการตัวโค เช่น ติดตามปริมาณน้ำนม วิเคราะห์แจ้งเตือนโคท้องว่าง
จัดเก็บฐานข้อมูลโคและรับน้ำนมดิบ การแจ้งสัตว์ป่วย สถิติฟาร์ม การวิเคราะห์ฟาร์ม บัญชีฟาร์ม เซนเซอร์
ฟาร์ม (iOT) การซื้อขายออนไลน์ รองรับการใช้งานผ่าน Web สามารถใช้งานได้ทั้งบนเครื่องคอมพิวเตอร์
เครื่องคอมพิวเตอร์แบบพกพา และโทรศัพท์มือถือ ดังแสดงในภาพที่ 3.3-6
ภาพที่ 3.3-6 ระบบ Zyan Dairy
ภาพที่ 3.3-6 ระบบบริหารจัดการฟาร์ม Zyan Dairy
6) ระบบบริหารจัดการสหกรณ์ Zyan CooP
เป็นระบบที่ใช้บริหารจัดการ ฟาร์มในสังกัดสหกรณ์นั้นๆ สำหรับเก็บข้อมูลสมาชิกเกษตรกทีส่งนมดิบ คุณภาพ
ราคาน้ำนมดิบ ตลอดจนข้อมูลรายการสินค้าต่างๆ ที่ขายอยู่ในสหกรณ์ รายละเอียดรายได้และการหักเงิน
ภายในสหกรณ์เพื่อชำระหนี้สินต่างๆ โดยเป็นผ่านใช้งานผ่าน web Apllication และส่งข้อมูลไปยัง ระบบ
Zyan Dairy ของเกษตรที่สังกัดสหกรณ์นั้นๆ ดังแสดงในภาพที่ 3.3-7
ภาพที่ 3.3-7 ระบบ Zyan COOP
7) ระบบ Zyan MCC
เป็นระบบจัดการศูนย์รวบรวมน้ำนมดิบอัจริยะ เพื่อใช้บันทึกและพิมพ์ข้อมูลน้ำหนักนมในเครื่องคอมพิวเตรอ์
บริหารจัดการข้อมูลปริมาณนม โดยเชื่อมต่อกับเครื่องชั่งน้ำหนักอิเล็กทรอนิกส์ มีการแจ้งเตือนปริมาณน้ำนม
ดิบของแต่ละศูนย์ผ่านแอพพลิเคชั่น Zyan Dairy ดังแสดงในภาพที่ 3.3-8
ภาพที่ 3.3-8 ระบบ Zyan MCC
8) MSC (milk supply chain)
ระบบบริหารจัดการข้อมูลน้ำนมดิบสู่กระบวนการผลิตนม เป็นระบบสำหรับเก็บข้อมูลปริมาณการ
รับน้ำนมดิบของศูนย์รับน้ำนมดิบ ที่มาส่งให้กับโรงงานนมของ อ.ส.ค. ตลอดจนมีการบันทึกค่าคุณภาพและ
ราคาของนมดิบที่รับซื้อเข้ามา รวบรวมข้อมูลต่างๆ เพื่อให้ผู้บริหาร ใช้ในการวางแผนและวางนโยบาย เพื่อเพิ่ม
ศักยภาพในการผลิตน้ำนมดิบ ของ อ.ส.ค. ดังแสดงในภาพที่ 3.3-9
ภาพที่ 3.3-9 ระบบ MSC
9) ระบบศูนย์ข้อมูลด้านกิจการโคนม Dairy Data Center : DDC
เป็นระบบที่เป็นรายงานข้อมูลด้านกิจการโคนมสำหรับผู้บริหาร โดยระบบจะสรุปข้อมูลจำนวนสมาชิกส่งนม
จำนวนโคแต่ละกลุ่ม ปริมาณน้ำนมดิบ และคุณภาพน้ำนมดิบที่รับซื้อ แสดงผลเป็นข้อมูลสรุปในรูปแบบต่างๆ
เพื่อผู้บริหารสามารถทำข้อมูลไปในใช้การวางแผน วางนโยบายต่างๆ ด้านกิจการโคนมได้ต่อไป ดังแสดงในภาพ
ที่ 3.3-10
ภาพที่ 3.3-10 ระบบศูนย์ข้อมูลด้านกิจการโคนม Dairy Data Center : DDC
10) ระบบงานหลักที่จะพัฒนาเพิ่มเติมตามแผนพัฒนาดิจิทัลฯ และแผนปฏิบัติการ

ดิจิทัลฯ ประกอบด้วย
1) ระบบการผลิตอัตโนมัติแบบครบวงจร ได้แก่ ระบบข้อมูลการผลิต (MES)
ระบบบริหารจัดการคลังสินค้า (WMS)
2) ระบบดิจิทัลด้านการตลาด ได้แก่ ระบบบริหารจัดการความสัมพันธ์ลูกค้า
(CRM)
ทั้งนี้ ระบบงานที่จะพัฒนาขึ้นจะต้องมีลักษณะเป็นระบบเปิดและรองรับการบูรณาการ
ข้อมูลกับระบบงานอื่น ๆ ของ อ.ส.ค. ได้อย่างไร้รอยตะเข็บ (Seamless Integration) ดังนั้น สถาปัตยกรรม
ด้านระบบงานหลัก สามารถกำหนดดังในภาพที่ 3.3-11
ภาพที่ 3.3-11 สถาปัตยกรรมระบบงานหลัก
3.3.2 สถาปัตยกรรมระบบงานสนับสนุน
สถาปัตยกรรมระบบงานสนับสนุน ประกอบด้วยระบบงานดังต่อไปนี้
3.3.2.1 ระบบงานสนับสนุนเดิม ประกอบด้วย
1) ระบบบริหารจัดการองค์ความรู้ (Knowledge Management)
เป็นระบบสนับสนุนการจัดทำองค์ความรู้ในรูปแบบไฟล์อิเล็กทรอนิกส์ ซึ่ง
สามารถนำไปเผยแพร่ให้หน่วยงานภายใน อ.ส.ค. เป็นการจัดเก็บองค์ความรู้ของบุคลากรผู้มีความรู้ความ
เชี่ยวชาญและประสบการณ์ในรูปแบบเอกสาร ทั้งนี้ แผนพัฒนาดิจิทัลฯ และแผนปฏิบัติการดิจิทัลฯ ได้
กำหนดให้มีการปรับปรุงพัฒนาระบบบริหารจัดการองค์ความรู้ให้ครอบคลุมแนวทางการจัดทำและเผยแพร่องค์
ความรู้ในรูปแบบอื่น ๆ อาทิ ระบบ Expert System และระบบ Case-Based Reasoning โดยมีตัวอย่าง
หน้าจอของระบบฯ ดังแสดงในภาพที่ 3.3-12
ภาพที่ 3.3-12 ระบบบริหารจัดการองค์ความรู้
2) ระบบ e-Learning
เป็นระบบการเรียนการสอนแบบ On-Line โดยจัดทำเนื้อหาบทเรียนใน
ลักษณะสื่อ On-Line ประกอบด้วยสื่อวิดีโอบทเรียน และแบบทดสอบก่อนและหลังการเรียนแบบ On-Line
เพื่อให้พนักงานองค์กรและผู้มีส่วนได้ส่วนเสียที่เกี่ยวข้องสามารถเข้ามาศึกษาข้อมูลด้วยตนเองได้ตลอดเวลา
โดยมีตัวอย่างหน้าจอของระบบฯ ดังแสดงในภาพที่ 3.3-13
ภาพที่ 3.3-13 ระบบ E-Learning
3) ระบบ e-Saraban
ระบบสารสนเทศสำหรับการบริหารจัดการงานด้านเอกสาร เพื่อรับ-ส่งเอกสาร
ภายในองค์กรโดยอยู่ในรูปแบบอิเล็กทรอนิกส์ เพื่อให้สามารถติดตามสถานะของหนังสือและสามารถลด
ระยะเวลาในการปฏิบัติงานได้ โดยมีตัวอย่างหน้าจอของระบบฯ ดังแสดงในภาพที่ 3.3-14
ภาพที่ 3.3-14 ระบบ e-Saraban
4) Cowdrive
โปรแกรมการจัดการเอกสารออนไลน์ของทาง Google หรือพื้นที่เก็บข้อมูล
ระบบคลาวด์ ผู้ใช้สามารถเข้าถึงเอกสารแบบออนไลน์ได้ โดยผ่านการใช้บนเว็บเบราว์เซอร์ต่าง ๆ เช่น Inter
Explorer, Chrome, Firefox และ Safari หรือติดตั้งระบบ Ownclooud ซึ่งจะทำให้การใช้งานของเอกสารมี
ความสะดวกมากขึ้น สามารถใช้งานหรือแก้ไขข้อมูลได้ทุกที่ทุกเวลา ทำให้เอกสารต่าง ๆ มีความเป็นปัจจุบัน
และยังสามารถใช้งานร่วมกับผู้อื่นได้ โดยบุคคลที่จะเข้ามาใช้งานต้องได้รับอนุญาตหรือคำเชิญจากเจ้าของ
เอกสาร โดยมีการบริหารจัดการผู้ใช้โดยเชื่อมโยงกับระบบ Active Directory ดังแสดงในภาพที่ 3.3-15
ภาพที่ 3.3-15 ระบบ Cowdrive
1) ระบบ E-mail
ปัจจุบัน อ.ส.ค. ใช้บริการระบบ E-mail บนระบบ Cloud SaaS (Microsoft
Exchange) โดยใช้ชื่อ Domain Name ของ E-mail เป็นชื่อเดียวกันกับ Website หลักของหน่วยงาน คือ
dpo.go.th และใช้หลักการกำหนดชื่อผู้ใช้คือ ชื่อจริงภาษาอังกฤษตามด้วยจุด “.” และตามด้วยอักษรตัวแรก
ของนามสกุล อาทิ name.l@dpo.go.th
ทั้งนี้ ระบบ email @dpo.go.th ยังสามารถบริหารจัดการผู้ใช้โดยเชื่อมโยง
กับระบบ Active Directory ได้ โดยสามารถเพิ่ม ลบ แก้ไข ข้อมูลของผู้ใช้งานระบบ e-mail ได้จากหน้าต่าง
ผู้ดูแลระบบ โดยมีตัวอย่างหน้าจอของระบบฯ ดังแสดงในภาพที่ 3.3-16
ภาพที่ 3.3-16 ระบบ E-Mail
2) ระบบ Web Site

เป็นระบบสารสนเทศสำหรับการประชาสัมพันธ์ข้อมูลข่าวสารให้บุคคลภายใน
และภายนอก โดยมี Web Site ของ อ.ส.ค. (dpo.go.th) และ Web Stie ของฝ่ า ยเทคโนโลยี ด ิ จ ิทัล
(digital.dpo.go.th) ตัวอย่างหน้าจอของระบบฯ ดังแสดงในภาพที่ 3.3-13 โดย Web Site ของ อ.ส.ค.
แบ่งเป็น 7 หมวดหมู่ คือ เกี่ยวกับ อ.ส.ค. / ข่าวและกิจกรรม / ผลิตภัณฑ์และบริการ / คำถามโคนม / Online
Shop / สาระน่ารู้ / และติดต่อ อ.ส.ค. โดยมีการจัดทำ Link ที่สำคัญเพื่อการเข้าถึงโดยง่าย ในส่วนของ
ผลิตภัณฑ์และบริการ และคำถามโคนม ได้แก่ ผลิตภัณฑ์นมไทย-เดนมาร์ค บริการสัตวแพทย์ และผสมเทียม
ปัจจัยการเลี้ยงโคนม พันธุกรรม/น้ำเชื้อ บริการฝึกอบรมการเลี้ยงโคนม ท่องเที่ยวเชิงเกษตร และบริการ
บ้านพักรับรอง เพื่อให้ประชาชนทั่วไปที่สนใจได้รับรู้ข้อมูลข่าวสารของ อ.ส.ค. และ Web Site ของฝ่าย
เทคโนโลยีดิจิทัล แบ่งเป็น 8 หมวดหมู่ ได้แก่ เกี่ยวกั บเรา นโยบาย เอกสารเผยแพร่ ข่าวสาร/กิจกรรม คลัง
ความรู้ ติดต่อเรา สำหรับ Admin และ สำหรับสมาชิก ดังแสดงในภาพที่ 3.3-17
(1) ระบบเว็บไซต์ ของ อ.ส.ค.
(2) ระบบเว็บไซต์ ของฝ่ายเทคโนโลยีดิจิทัล

ภาพที่ 3.3-17 ระบบเว็บไซต์ ของ อ.ส.ค. และของฝ่ายเทคโนโลยีดิจิทัล
ทั้งนี้ แผนพัฒนาดิจิทัลฯ และแผนปฏิบัติการดิจิทัลฯ ได้กำหนดให้มีการพัฒนาระบบบริหาร

จัดการองค์ความรู้และระบบ e-Learning เพื่อรองรับการมุ่งสู่องค์กรแห่งการเรียนรู้ (Learning Organization)
และบูรณาการระบบบริหารจัดการความเสี่ยงและระบบควบคุมและตรวจสอบภายในเข้ากับระบบงานอื่น ๆ
เพื่อการนำเข้าข้อมูลสารสนเทศได้แบบทันท่วงทีและเป็นอัตโนมัติ
3.3.2 ระบบงานสนับสนุนที่พัฒนาเพิ่มเติม ประกอบด้วย
3.3.2.1 ระบบการบริหารจัดการฟาร์ม (Farm Management System : FMS)
การนำเทคโนโลยีใหม่ๆ อาทิ AR/VR IoT มาช่วยในการบริหารจัดการฟาร์มโคนม
ให้มีประสิทธิภาพ
3.3.2.2 ระบบดิจิทัลด้านการตลาด ได้แก่
ระบบ Contact Center และ ระบบเฝ้าระวัง Social Network
ภาพที่ 3.3-18 สถาปัตยกรรมระบบงานสนับสนุน
3.3.3 สถาปัตยกรรมระบบงานภายนอก
สถาปัตยกรรมระบบงานภายนอก ประกอบด้วยระบบงานดังต่อไปนี้
3.3.3.1 ระบบงาน e-GP
เป็นระบบการจัดซื้อจัดจ้างภาครัฐด้วยอิเล็กทรอนิกส์ซึ่งจัดทำขึ้นเพื่อให้หน่วยงาน
ภาครัฐและเอกชนสามารถเข้าถึงแหล่งข้อมูล การจัดซื้อจัดจ้าง และพัสดุภาครัฐ ได้อย่างรวดเร็ว ถูกต้อง
ครบถ้วน เป็นศูนย์ข้อมูลการจัดซื้อจัดจ้างภาครัฐที่มีระบบบริหารจัดการรหัสสินค้าและบริก ารภาครัฐ เก็บ
ข้อมูลของหน่วยจัดซื้อและข้อมูลผู้ค้าสำหรับการจัดซื้อจัดจ้างรูปแบบต่าง ๆ เชื่อมต่อข้อมูลกับแหล่งข้อมูล
ภายนอกที่เกี่ยวข้อง โดยมีเป้าหมายเพื่อเพิ่มความโปร่งใส ลดปัญหาทุจริตคอร์รัปชั่น ลดความผิดพลาดในการ
ปฏิบัติตามระเบียบ และลดความซ้ำซ้อนการบันทึก
3.3.3.2 ระบบงาน GFMIS
ระบบสารสนเทศเพื ่ อ รองรั บ การบริ ห ารงานการเงิ น การคลั ง ภาครั ฐ แบบ
อิเล็กทรอนิกส์ และปรับ ปรุงระบบการจั ดการด้ านการเงิน การคลั งของภาครัฐ ให้มี ความทันสมัย และมี
ประสิทธิภาพยิ่งขึ้น และครอบคลุมกระบวนการดำเนินงานและการจัดการภาครัฐด้านการงบประมาณ การ
บัญชี การจัดซื้อจัดจ้าง การเบิกจ่าย และการบริหารทรัพยากร ให้เป็นไปในทิศทางเดียวกับนโยบายปฏิรูป
ราชการที่เน้นประสิทธิภาพและความคล่องตัวในการดำเนินงาน รวมทั้งมุ่งหวังให้เกิดการใช้ทรัพยากรภายใน
องค์กรอย่างคุ้มค่าเพื่อให้ได้มาซึ่งข้อมูลสถานภาพการคลังภาครัฐที่ถูกต้องรวดเร็ว สามารถตอบสนองนโยบาย
การบริหารเศรษฐกิจของประเทศ
3.3.3.3 ระบบงาน GFMIS-SOE
เป็นระบบ GFMIS เพื่อรองรับข้อมูลรัฐวิสาหกิจ (GFMIS–SOE) ของสำนักงาน
คณะกรรมการนโยบายรัฐวิสาหกิจ เพื่อการกำกับดูแลของสำนักงานคณะกรรมการนโยบายรัฐวิสาหกิจ ที่จะ
ควบคุมติดตาม ดูแล ประเมินผล ประสิทธิ ภาพ ประสิทธิผล การใช้จ่ายงบประมาณ การเงิน การนำส่งรายได้
ผลประกอบการของรัฐวิสาหกิจในแต่ละช่วงเวลา รวมถึงการรวบรวมข้อมูลเพื่อจัดทำข้อมูลบริหารรวมด้าน
การเงิน การคลัง การงบประมาณ จากหน่วยงานรัฐวิสาหกิจทั่วประเทศ
ดังนั้น สถาปัตยกรรมด้านระบบงานภายนอก สามารถกำหนดดังในภาพที่ 3.3-19
ภาพที่ 3.3-19 สถาปัตยกรรมระบบงานภายนอก
3.3.4 สถาปัตยกรรมการบูรณาการระบบงาน (Application Integration)

เนื่องจากระบบงานของ อ.ส.ค. ที่มีอยู่ในปัจจุบันเป็นแบบ Stand Alone ไม่สามารถบูรณาการ
เชื่อมโยงกับระบบงานอื่น ๆ ขององค์กรได้ จึงได้กำหนดสถาปัตยกรรมการบูรณาการระบบงานซึ่งประกอบด้วย
เทคโนโลยีและซอฟต์แวร์เพื่อการบูรณาการเชื่อมโยงระบบ อาทิ JSON, SOA, COBRA, XML, API, RESTful
API, EAI, ETL และ Service Bus
3.3.5 สถาปัตยกรรมแบบ Microservice
สถาปัตยกรรม Microservice จะออกแบบโดยแยกการทำงานของระบบงาน (Application)
แบบดั้งเดิมที่รวมกันออกมาให้เล็กลงโดยอาจจะแยกตามบริการหรือตามฟังก์ชันการทำงานเลยก็ได้ โดย
สามารถติดต่อกันได้ผ่าน API ซึ่งสามารถแก้ปัญหาความยุ่งยากและซับซ้อนในระบบขนาดใหญ่ได้ เนื่องจากแบ่ง
ออกเป็นบริการ (Service) ย่อย หลายตัว การพัฒนาก็สามารถทำได้ง่ายด้วยการแยกทำทีละส่วนและค่อยทำให้
เชื่อมต่อกันได้ผ่าน API และในแต่ละบริการ (Service) มีฐานข้อมูลเป็นของตัวเอง การแยกเป็นบริ การย่อยนี้
ทำให้สามารถพัฒนาซอฟต์แวร์ได้ง่ายและเร็วขึ้นด้วยการแบ่งทีมในการพัฒนาแต่ล ะส่วน โดยแต่ละทีมก็
สามารถเลือกภาษาหรือเครื่องมือในการพัฒนาที่ถนัดได้อย่างอิสระ
3.4 สถาปัตยกรรมด้านเทคโนโลยี (Technology Architecture)

ปัจจุบัน องค์การส่งเสริมกิจการโคนมแห่งประเทศไทย มีการใช้งานเทคโนโลยีดิจิทัลหลากหลายรูปแบบ
เพื่อสนับสนุนการปฏิบัติงานใน 4 กลุ่มภารกิจหลักขององค์กร อาทิ เทคโนโลยีด้านอุปกรณ์วัด (Sensor)
เทคโนโลยี ร ะบบการคำนว ณ (Computing) เทคโนโลยี ร ะบบสื ่ อ สาร ( Communication)
เทคโนโลยีการบริหารจัดการข้อมูล (Data Management) เทคโนโลยีการบริหารจัดการเครือข่ายสื่อสาร
(Network Management) และเทคโนโลยีด้านความปลอดภัยระบบ (Security) ซึ่งเทคโนโลยีเหล่า นี้
มีการเชื่อมต่อกับระดับชั้นโครงข่ายการสื่อสาร (Network and Data Communication) และเพื่อให้รองรับ
การขยายตัวด้านเทคโนโลยีที่จ ะเกิดขึ้น อย่างเป็นระบบ จึงได้มีการกำหนดฐานงาน (Platform) สำหรับ
เทคโนโลยีดังกล่าวข้างตัน เพื่อกำหนดมาตรฐานของอุปกรณ์ การเชื่อมต่อในระดับชั้น Physical Layer
และระดั บ ชั ้ น Protocol เพื ่ อ เป็ น มาตรฐานในการจั ด หา ติ ด ตั ้ ง และเชื ่ อ มโยงบู ร ณาการ
อุ ป กรณ์ ด ้ า นเทคโนโลยี ด ิ จ ิ ท ั ล ในภาพรวมของ อ.ส.ค. ทั ้ ง หมดทั ้ ง ในปั จ จุ บ ั น และอนาคต
รายละเอียดดังแสดงในภาพที่ 3.4-1
ภาพที่ 3.4-1 สถาปัตยกรรมเทคโนโลยี (Technology Architecture)
3.4.1 ฐานงานด้านการคำนวณ (Computing Platform)

ฐานงานด้ า นการคำนวณ ( Computing Platform) เป็ น การกำหนดมาตรฐาน
และข้อกำหนดคุณลักษณะเฉพาะด้านประสิทธิภาพในการทำงาน การเชื่อมโยงและการทำงานของอุปกรณ์
และระบบด้ า นการคำนวณ (Computing Equipment and Systems) ขององค์ ก รร่ ว มกั บ เทคโนโลยี
ภายใต้ฐานงานอื่น อาทิ อุปกรณ์วัดภายใต้ฐานงานด้านอุปกรณ์วัด (Sensor Platform) อุปกรณ์สื่อสาร
ภายใต้ ฐ านงานด้ า นการสื ่ อ สาร ( Communication Platform) เป็ น ต้ น โดยที ่ อ ุ ป กรณ์
และระบบภายใต้ฐานงานด้านการคำนวณ (Computing Platform) ประกอบด้วย เครื่องคอมพิวเตอร์ เครื่อง
Notebook โทรศัพท์มือถือ เครื่องคอมพิวเตอร์แม่ข่าย ระบบปฏิบัติการ (Operating System) ระบบ Cloud
และอุป กรณ์ BYOD (Bring Your Own Device) ที่ติดตั้งใช้งานอยู่และจะดำเนิน การติ ดตั้ง ในอนาคต
และสามารถกำหนดฐานงานด้านการคำนวณ (Computing Pattern) ดังนั้น จึงได้ดังในภาพที่ 3.4-2
ภาพที่ 3.4-2 ฐานงานด้านการคำนวณ (Computing Platform)
3.4.2 ฐานงานด้านการสื่อสาร (Communication Platform)
ฐานงานด้ า นการสื ่ อ สาร (Communication Platform) เป็ น การกำหนดมาตรฐาน
และระบบด้านการสื่อสาร (Communication Equipment and Systems)
ขององค์กรร่วมกับเทคโนโลยีภายใต้ฐานงานอื่น อาทิ อุปกรณ์คอมพิวเตอร์ภายใต้ฐานงานด้านการคำนวณ
(Computing Platform) เป็นต้น โดยที่อุปกรณ์และระบบภายใต้ฐานงานด้านการสื่อสาร (Communication
Platform) ประกอบด้วย ระบบ VoIP ระบบ E-Mail ระบบ Line ระบบ VDO Conference และระบบ
Contact Center ที ่ ต ิ ด ตั ้ ง ใช้ ง านอยู ่ แ ละจะดำเนิ น การติ ด ตั ้ ง ในอนาคต ดั ง นั ้ น จึ ง สามารถ
กำหนดฐานงานด้านการสื่อสาร (Communication Platform) ได้ดังในภาพที่ 3.4-3
ภาพที่ 3.4-3 ฐานงานด้านการสือ่ สาร (Communications Platform)
3.4.3 ฐานงานด้านการบริหารจัดการข้อมูล (Data Management Platform)

ฐานงานด้านการบริหารจัดการข้อมูล (Data Management Platform) เป็นการกำหนด
มาตรฐานและข้อกำหนดคุณลักษณะเฉพาะด้านประสิทธิภาพในการทำงาน การเชื่อมโยงและการทำงาน
ของอุปกรณ์และระบบด้านการบริหารจัดการข้อมูล (Data Management Equipment and Systems)
ขององค์กรร่วมกับเทคโนโลยีภายใต้ฐานงานอื่น อาทิ อุปกรณ์คอมพิวเตอร์ภายใต้ฐานงานด้ านการคำนวณ
(Computing Platform) อุปกรณ์สื่อสารภายใต้ฐานงานด้านการสื่อสาร (Communication Platform)
เป็นต้น โดยที่อุปกรณ์และระบบภายใต้ฐานงานด้านการบริหารจัดการข้อมูล (Data Management Platform)
ประกอบด้วย ฐานข้อมูลประเภท SQL Oracle ระบบไฟล์ ระบบ Data Mart ระบบ Data Warehouse
ระบบข้ อ มู ล ขนาดใหญ่ (Big Data) ระบบปั ญ ญาประดิ ษ ฐ์ (Analytics/AI) ที ่ ต ิ ด ตั ้ ง ใช้ ง านอยู่
และจะดำเนินการติดตั้งในอนาคต ดังนั้นจึงสามารถกำหนดฐานงานด้านการบริหารจัดการข้อมูล ( Data
Management Platform) ได้ดังในภาพที่ 3.4-4
ภาพที่ 3.4-4 ฐานงานด้านการบริหารจัดการข้อมูล (Data Management Platform)
3.4.4 ฐานงานด้านการบริหารจัดการเครือข่าย (Network Management Platform)

ฐานงานด้านการบริหารจัดการเครือข่าย (Network Management Platform) เป็นการกำหนด
มาตรฐานและข้อกำหนดคุณลักษณะเฉพาะด้านประสิทธิภาพในการทำงาน การเชื่อมโยงและการทำงาน
ของอุป กรณ์และระบบด้านการบริ ห ารจั ด การเครื อ ข่ าย (Network Management Equipment and
Systems) ขององค์ ก รร่ ว มกั บ เทคโนโลยี ภ ายใต้ ฐ านงานอื ่ น อาทิ อุ ป กรณ์ ค อมพิ ว เตอร์
ภายใต้ฐานงานด้านการคำนวณ (Computing Platform) อุปกรณ์สื่อสารภายใต้ฐานงานด้ านการสื่อสาร
(Communication Platform) เป็นต้น โดยที่อุปกรณ์และระบบภายใต้ฐานงาน
ด้านการบริหารจัดการเครือข่าย (Network Management Platform) ประกอบด้วย Domain Name Server
(DNS), Standard Network Management Protocol (SNMP), Network Monitoring, และ LDAP
ที่ติดตั้งใช้งานอยู่และจะดำเนินการติดตั้งในอนาคต ที่ติดตั้งใช้งานอยู่และจะดำเนินการติดตั้งในอนาคตดังนั้น
จึ ง สามารถกำหนดฐานงานด้ า นการบริ ห ารจั ด การเครื อ ข่ า ย (Network Management Platform)
ได้ดังในภาพที่ 3.4-5
ภาพที่ 3.4-5 ฐานงานด้านการบริหารจัดการเครือข่าย (Network Management Platform)
3.4.5 ฐานงานด้านอุปกรณ์วัด (Sensor Platform)

ฐานงานด้านอุปกรณ์วัด (Sensor Platform) เป็นการกำหนดมาตรฐาน
และข้ อ กำหนดคุ ณ ลั ก ษณะเฉพาะด้ า นประสิ ท ธิ ภ าพในการทำงาน การเชื ่ อ มโยงและการทำงาน
ข อ ง อ ุ ป ก ร ณ ์ แ ล ะ ร ะ บ บ ด้ า น อ ุ ป ก ร ณ ์ ว ั ด ( S e n s o r E q u i p m e n t a n d S y s t e m s )
ขององค์กรร่วมกับเทคโนโลยีภายใต้ฐานงานอื่น อาทิ อุปกรณ์คอมพิวเตอร์ภายใต้ฐานงานด้านการคำนวณ
(Computing Platform) เป็นต้น โดยที่อุปกรณ์และระบบภายใต้ฐานงานด้านอุปกรณ์วัด (Sensor Platform)
ประกอบด้วย กล้องโทรทัศน์วงจ รปิด (CCTV) อุปกรณ์ IoT อุปกรณ์ระบบ SCADA
ที่ติดตั้งใช้งานอยู่และจะดำเนินการติดตั้งในอนาคตดังนั้น จึงสามารถกำหนดฐานงานด้านอุปกรณ์วัด (Sensor
Platform) ได้ดังในภาพที่ 3.4-6
ภาพที่ 3.4-6 ฐานงานด้านอุปกรณ์วัด (Sensor Platform)
3.4.6 ฐานงานด้านระบบความปลอดภัย (Security Platform)

ฐานงานด้ า นระบบความปลอดภั ย (Security Platform) เป็ น การกำหนดมาตรฐาน
และระบบด้านเป็นการกำหนดมาตรฐานและข้อกำหนดคุณลักษณะเฉพาะด้านประสิทธิภาพในการทำงาน
การเชื ่ อ มโยงและการทำงานของอุ ป กรณ์ แ ละระบบด้ า นความปลอดภัย (Security Equipment and
Systems) ขององค์ ก รร่ ว มกั บ เทคโนโลยี ภ ายใต้ ฐ านงานอื ่ น อาทิ อุ ป กรณ์ ค อมพิ ว เตอร์
ภ ายใต้ ฐ านงานด้ า นการคำนว ณ ( Computing Pl atform) เป็ น ต้ น โ ดยที ่ อ ุ ป กรณ์ แ ล ะ
ระบบภายใต้ฐานงานด้านระบบความปลอดภัย (Security Platform) ประกอบด้วย ซอฟต์แวร์ Anti-Virus
อุ ป กรณ์ Firewall อุ ป กรณ์ IDS/IPS ระบบ Administration/Authorization/ Authentication
ที่ติดตั้งใช้งานอยู่และจะดำเนินการติดตั้งในอนาคตดังนั้น จึงสามารถกำหนดฐานงานด้านระบบความปลอดภั ย
(Security Platform) ได้ดังในภาพที่ 3.4-7
ภาพที่ 3.4-7 ฐานงานด้านระบบความปลอดภัย (Security Platform)
3.4.7 ฐานงานด้านเครือข่ายและระบบสื่อสารข้อมูล (Network and Data Communication

Platform)
ฐานงานด้านเครือข่ายและระบบสื่อสารข้อมูล (Network and Data Communication
Platform) เป็น การกำหนดมาตรฐานและข้อกำหนดคุณลักษณะเฉพาะด้านประสิทธิภ าพในการทำงาน
ของอุปกรณ์และระบบเครือข่ายและระบบสื่อสารข้อมูล (Network and Data Communication Equipment
and Systems) ขององค์กร โดยที่อุปกรณ์และระบบภายใต้ฐานงานด้านเครือข่ายและระบบสื่อสารข้อมูล
(Network and Data Communication Platform) ประกอบด้วย LAN, WAN, WIFI, 4G, MPLS/Internet,
ISP/Cloud Service, FTTx, VLAN, PABX, DMZ และ LORA ที ่ ต ิ ด ตั ้ ง ใช้ ง านอยู่ และจะดำเนิ น การ
ติดตั้งในอนาคต ดังนั้น จึงสามารถกำหนดฐานงานด้านเครือข่าย และระบบสื่อสารข้อมูล (Network and Data
Communication Platform)ได้ดังในภาพที่ 3.4-8
ภาพที่ 3.4-8 ฐานงานด้านเครือข่ายและระบบสื่อสารข้อมูล (Network and Data Communications Platform)
3.5 สถาปัตยกรรมด้านการรักษาความปลอดภัยข้อมูล (Security Architecture)

ปัจจุบัน ระบบสารสนเทศได้เข้ามามีบทบาทในการสนับสนุนการปฏิบัติงาน ตลอดจนจัดทำสารสนเทศ
เพื ่ อ การบริ ห ารจั ด การและเพื ่ อ ผู ้ บ ริ ห ารระดั บ สู ง เพื ่ อ การขั บ เคลื ่ อ นองค์ ก รไปสู ่ เ ป้ า หมายทางธุ ร กิ จ
อย่างเต็มประสิทธิภาพ เป็นผลให้เกิดข้อมูลและสารสนเทศจำนวนมากภายในองค์กร ซึ่งมีระดับชั้นความสำคัญ
และการเข้าถึงที่แตกต่างกัน ออกไปสำหรับพนักงานแต่ล ะระดับขององค์กร ตลอดจนผู้มีส่วนได้ส ่ว นเสี ย
ภายนอกองค์กร อาทิ หน่วยงานภาครัฐภายนอก คู่ค้า ลูกค้า หรือประชาชนทั่วไป การรักษาความปลอดภัยของ
ข้อมูลสารสนเทศและการจัดการความเสี่ยงด้านสารสนเทศขององค์กรจึงมีความสำคัญ ดังรายละเอียดต่อไปนี้
3.5.1 มาตรฐานการรักษาความปลอดภัยข้อมูลและการจัดการความเสี่ยงด้านสารสนเทศ
มาตรฐานการรักษาความปลอดภัยข้อมูลและการจัดการความเสี่ยงด้านสารสนเทศ
3.5.1.1 ISO/IEC 27001 (ISMS: Information Security Management System)
เป็นมาตรฐานที่เกี่ยวกับการบริหารจัดการข้อมูลสารสนเทศให้มั่นคงปลอดภัย
กำหนดขึ้นโดยองค์กรการระหว่างประเทศ คือ ISO (International Organization for Standardization)
และ IEC (International Electrotechnical Commission) มาตรฐานนี้เป็นมาตรฐานสากลที่มุ่งเน้น
ด้านการรักษาความมั่นคงปลอดภัยให้กับระบบสารสนเทศขององค์กรและใช้เป็นมาตรฐานอ้างอิงเพื่อเป็นแนว
ทางในการเสริมสร้างความมั่นคงปลอดภัยให้กับระบบสารสนเทศขององค์กรอย่างแพร่หลาย สามารถสรุป
สาระสำคัญดังต่อไปนี้
1) ความมั่นคงปลอดภัยของข้อมูลสารสนเทศ ประกอบด้วย
1) ความลับ (Confidentiality)
การรักษาความลับของข้อมูลเป็นองค์ประกอบสำคัญของการรักษาความมั่
นคงปลอดภัยของสารสนเทศ หลักการสำคัญของการรักษาความลับคือ ผู้ที่มีสิทธิหรือได้รับอนุญาตเท่านั้น
ที่สามารถเข้าถึงข้อมูลได้
ระบบความมั ่ น คงปลอดภั ย ของสารสนเทศที ่ ม ี ป ระสิ ท ธิ ภ าพ
ต้องมีมาตรการตรวจสอบสิทธิ ก่อนเข้าถึง เพื่อยืนยันให้แน่ใจก่อนว่าผู้ที่ร้องขอนั้นมีสิทธิหรือได้รับอนุญาต
ให้เข้าถึงสารสนเทศ หรือระบบงานนั้นได้ กลไกพื้นฐานที่คุ้นเคยกันเป็นอย่างดี คือการใช้รหัสผ่าน (Pass word)
ในการพิสูจน์ตัวตนและสิทธิที่ได้รับอนุญาต
นอกจากมาตรการตรวจสอบสิทธิแล้วการกำหนดชั้นความลับเป็นระดับ
ต่าง ๆ ตามความสำคัญช่วยให้บริหารจัดการมีประสิทธิภาพมากขึ้น และสามารถกำหนดชั้นความลับของ
สารสนเทศออกเป็น 4 ระดับ ประกอบด้วย ระดับชั้นความลับสุดยอด (Top Secret) ระดับชั้นความลั บ
(Secret) ระดั บ ชั ้ น ข้ อ มู ล สำหรั บ ใช้ ภ ายในองค์ ก ร (Internal Use) และระดั บ ชั ้ น สาธารณะ (Public)
ชั ้ น ความลั บ นี ้ จ ะต้ อ งมี เ กณฑ์ พ ิ จ ารณาที ่ ช ั ด เจนว่ า สารสนเทศลั ก ษณะใดอยู ่ ใ นชั ้ น ความลั บ ที ่ ก ำหนด
พร้อมทั้งกำหนดแนวทางการ การระบุชั้นความลับ การสื่อสารและการจัดเก็บข้อมูลสารสนเทศในแต่ล ะ
ชั้นความลับอย่างชัดเจน มาตรการทางเทคนิคที่ใช้ใ นการปกป้องความลับ อาทิ การเข้ารหัส (Encryption)
อาจถูกนำมาใช้เสริมความแข็งแกร่งให้กับมาตรการปกป้องสารสนเทศที่ต้องการมาตรการดูแลอย่างเข้มงวด
2) ความถูกต้องสมบูรณ์ (Integrity)
การปกป้องสารสนเทศให้มีความถูกต้องสมบูรณ์ (Integrity) เป็นปัจจัย
สำคั ญ ที ่ ม ี ผ ลต่ อ ความน่ า เชื ่ อ ถื อ ของสารสนเทศนั ้ น ๆ โดยการกำหนดกลไกการตรวจสอบสิ ท ธิ ห รื อ
การได้รับอนุญาตให้ดำเนินการเปลี่ยนแปลงแก้ไขหรือกระทำการใด ๆ ต่อข้อมูลนั้น
3) ความพร้อมใช้งาน (Availability)
ระบบสารสนเทศต้องสามารถตอบสนองความต้องการของผู้ใช้งานที่มีสิทธิเข้
าถึ ง ระบบได้ โดยลดอุ ป สรรคที ่ บ ั ่ น ทอนความพร้ อ มใช้ ง านของระบบคอมพิ ว เตอร์ 2 ประเภท คื อ
การปฏิเสธการให้บริการ (Denial of Service) และความด้อยประสิทธิภาพในการทำงาน (Loss of Data
Processing Capability)
2) ภัยคุกคาม และช่องโหว่ (Threat and Vulnerability)
ภัย คุกคาม (Threat) เป็นปัจจัยที่มีแนวโน้มที่จะก่อให้เกิดความเสียหาย
ต่อระบบสารสนเทศ อาทิ ผู้ใช้งาน ผู้ไม่ประสงค์ดี ภัยธรรมชาติ ทั้งที่เจตนาสร้างความเสียหายหรือไม่เจตนา
ก็ตาม การทำความเข้าใจและตระหนักถึงภัยคุกคาม จะช่วยให้เข้าใจองค์ประกอบที่เกี่ยวข้องกันทั้งระบบ
ได้เป็นอย่างดี การจำแนกแหล่งกำเนิดของภัยคุกคาม อาจแบ่งได้ดังนี้
1) มนุษย์ อาทิ แฮกเกอร์ สายลับ ผู้ก่อการร้าย
ผู้ไม่ประสงค์ดีที่โจมตีระบบสารสนเทศ
2) ไวรัส โปรแกรมไม่ประสงค์ดีต่าง ๆ
3) ภัยธรรมชาติ อาทิ น้ำท่วม ฟ้าผ่า พายุ แผ่นดินไหว
3) ข้อผิดพลาดทางเทคนิค อาทิ อุปกรณ์ชำรุด เสื่อมสภาพ หรือทำงานผิดพลาด
ช่ อ งโหว่ (Vulnerability) เป็ น สถานะที ่ ภ ั ย คุ ก คามข้ า งต้ น จะใช้ ใ นการ
สร้ า งความเสี ย หายแก่ ร ะบบสารสนเทศ หากสามารถปิ ด ช่ อ งโหว่ ห รื อ จำกั ด ช่ อ งโหว่ ห รื อ จุ ด อ่ อ น
ให้มีจำนวนน้อยที่สุด ภัยคุกคามก็ไม่สามารถสร้างความเสียหายแก่ระบบสารสนเทศได้
4) บันได 4 ขั้นสู่มาตรฐาน ISO 27001 Information Security Management
การจัดทำระบบการจัด การความมั ่น คงปลอดภัย ของสารสนเทศ (ISMS)
แบ่งเป็น 4 ขั้นตอน ดังนี้
บันได้ขั้นที่ 4 การรักษามาตรฐานและพัฒนาปรับปรุง (Maintain and Improve ISMS)

บันไดขั้นที่ 3 การเฝ้าระวังและทบทวน (Monitor and Review ISMS)
บันไดขั้นที่ 2 การนำไปปฏิบัติ (Implement and Operate ISMS)
บันไดขั้นที่ 1 การวางแผนจัดทำระบบ ISMS (Establish ISMS)
ดังแสดงในภาพที่ 3.5-1
ภาพที่ 3.5-1 บันได 4 ขั้นสู่มาตรฐาน ISO/IEC 27001
5) ข้อกำหนดมาตรฐาน ISO/IEC 27001:2022

ข้อกำหนดมาตรฐาน ISO/IEC 27001:2022 แสดงดังภาพที่ 3.5-2
ภาพที่ 3.5-2 องค์ประกอบมาตรฐาน ISO/IEC 27001:2013
โดยมีข้อกำหนดมาตรฐาน ISO/IEC 27001:2022 ดังนี้
1) บริบทขององค์กร (Context of the Organization)
ความเข้าใจเกี่ยวกับองค์กรและบริบทขององค์กร (Understanding the
Organization and its Context) พื ้ น ฐานสำคั ญ ในการวางระบบการจั ด การความมั ่ น คง
ปลอดภัยของสารสนเทศ ISO/IEC 27001:2022 คือความเข้าใจบริบทขององค์กร โดยต้องระบุประเด็นภายใน
(Internal Issues) และประเด็ น ภายนอก (External Issues) และนำทั ้ ง 2 ประเด็ น นี ้ ม าพิ จ ารณา
ในการวางระบบให้ครอบคลุมอย่างเหมาะสม
2) กำหนดความจำเป็นและความคาดหมายของบุคคลที่เกี่ยวข้อง
(Understanding the Needs and Expectations of Interested
Parties)
ในการทำ ISO/IEC 27001:2022 จะต้องกำหนดผู้เกี่ยวข้อง (Interested
Parties) และความต้ อ งการและคาดหวั ง ขององค์ ก ร (Needs and Expectations) บริ บ ทขององค์ ก ร
เป็นข้อมูลสำคัญในการกำหนดขอบเขตของการจัดทำระบบ (Scope)
3) การกำหนดขอบเขตของระบบการจัดการความปลอดภัยสารสนเทศ
(Determining the Scope of the Information Security
Management System)
ขอบเขต (Scope) ของการทำ ISO27001:2022ต้องพิจารณาถึงข้อกำหนด
(Interested Parties) ให้เหมาะสมและเพียงพอ
4) ระบบการจัดการความมั่นคงปลอดภัยสารสนเทศ (Information Security
Management System)
จั ด ทำระบบการจั ด การความมั ่ น คงปลอดภั ย สารสนเทศ ( ISMS)
โดยกำหนดนโยบาย จัดทำเอกสารที่เกี่ยวข้อง การนำไปปฏิบัติและรักษาไว้ รวมถึง การปรับปรุงอย่างต่อเนื่อง
โดย ISMS ต้องสอดคล้องตามข้อกำหนดของ ISO27001:2022 Information Security Management
System
5) ความเป็นผู้นำ (Leadership)
▪ ความเป็นผู้นำและความมุ่งมั่น (Leadership and commitment)
ผู้บริหารต้องแสดงให้เห็นถึงภาวะผู้นำและให้ความสำคัญกับระบบการจั
ดการความมั่นคงปลอดภัยสารสนเทศ (ISMS)
▪ นโยบาย (Policy)
▪ ผู้บริหารเป็นผู้กำหนดนโยบายความมั่นคงปลอดภัยสารสนเทศให้สอดค
ล้องกับจุดประสงค์ขององค์กรและสอดคล้องกับข้อกำหนด
▪ บทบาทขององค์ ก รและหน่ว ยงานที ่ร ั บผิ ดชอบ (Organizational
Roles, Responsibilities and Authorities)
กำหนดหน้าที่และความรับผิดชอบทางด้านความมั่นคงปลอดภัยของสาร
สนเทศ
6) การออกแบบ (Planning)
▪ การดำเนิ น การเพื ่ อ รั บ มื อ กั บ ความเสี ่ ย งและโอกาส (Actions to
Address Risks and Opportunities)
การวางแผนงานสำหรับระบบการจัดการความมั่นคงปลอดภัยของสารส
นเทศ จะต้องพิจ ารณาถึงบริบ ทขององค์กร พิจารณาความเสี่ยงที่เกี่ยวข้อง จากนั้นวางแนวทางจัดการ
อย่างเหมาะสม
▪ การรักษาความปลอดภัยสารสนเทศและวางแผนบรรลุวัตถุประสงค์
(Information Security Objectives and Plans to Achieve Them)
กำหนดวั ต ถุ ป ระสงค์ ด ้ า นความมั ่ น คงปลอดภั ย สารสนเ ทศ
(Information Security Objectives) และแผนการบรรลุวัตถุประสงค์ โดยวัตถุประสงค์นี้จะต้องวัดผลได้
และสอดคล้องกับนโยบายความมั่นคงปลอดภัยของสารสนเทศ (Information Security Policy)
7) การสนับสนุน (Support)
▪ ทรัพยากร (Resources)
การจัดทำระบบให้สำเร็จจำเป็นต้องมีทรัพยากรที่เพียงพอและเหมาะสม
ประกอบด้วย บุคลากร เวลา งบประมาณ และการสนับสนุนจากผู้บริหารอย่างเป็นรูปธรรม
▪ สมรรถนะ (Competence)
บุคลากรที่มีส่วนร่วมในการจัดทำระบบจะต้องมีความรู้ความสามารถ
ซึ่งต้องมีการให้ความรู้ที่ตรงกับภาระหน้าที่เพื่อให้บุคลากรสามารถปฏิบัติได้อย่างถูกต้อง
▪ ความตระหนัก (Awareness)
ความตระหนักเป็นเรื่องสำคัญในด้านความมั่นคงปลอดภัยของสารสนเ
ทศ เพราะหากบุ ค ลกรมี ค วามตระหนั ก ที ่ เ พี ย งพอ ย่ อ มจะลดความเสี ่ ย งได้ โ ดยปริ ย าย อาทิ
เรื่องการใช้รหัสผ่านที่แข็งแรงคาดเดายาก
▪ การสื่อสาร (Communication)
การสื่อสารประกอบด้วยสื่อสารภายใน (Internal Communication)
และการสื ่ อ สารภายนอก (External Communication) เพื ่ อ ให้ ค วามรู ้ ข ่ า วสารที ่ เ ป็ น ประโยชน์
เป็นวิธีในการสร้างความตระหนักที่ได้ผลดี
▪ เอกสารสารสนเทศ (Documented Information)
เอกสารมีความจำเป็นในการทำงานร่วมกันเพื่อให้เกิดความชัดเจนแก่ผู้ป
ฏิบัติและผู้ตรวจสอบ (Auditor) เอกสารในระบบISO27001:2013 นั้นจะต้องผ่านการจัดทำโดยผู้ที่มีความรู้
มีผู้ทบทวน และอนุมัติก่อนจะนำไปใช้งาน
8) การดำเนินการ (Operation)
▪ การวางแผนที่เกี่ยวข้องกับการดำเนินการและการควบคุม
(Operational and Control Planning)
ข้อนี้กล่าวถึงการปฏิบัติตามแผนที่วางไว้ โดยปฏิบัติตามแผนจัดการ
ความเสี่ย งการประเมิน ความเสี่ย งด้ านความมั่น คงปลอดภัยสารสนเทศ (Information Security Risk
Assessment)การประเมินความเสี่ยงต้องทำเป็นระยะและอย่างต่อเนื่อง ไม่ใช่ครั้งเดียวจบ เพราะเมื่อเวลา
ผ่านไปก็จะมีความเสี่ยงใหม่เกิดขึ้นมา ไม่ว่าจะเป็นความเสี่ยงจากเทคโนโลยีใหม่ๆ หรือ สภาพแวดล้อม
สังคมและการเมือง
▪ การจัดการความเสี่ยงด้านความปลอดภัยสารสนเทศ (Information
Security Risk Treatment)
Information Security Risk Treatment เป็ น เครื ่ อ งมื อ การจั ด การ
ความเสี่ยงที่จัดทำขึ้น ภายหลังการประเมินความเสี่ยงของทรัพย์สินสารสนเทศ โดยกำหนดรายละเอียด
ขั้นตอนวิธีการต่าง ๆ เพื่อนำไปปฏิบัติให้ได้ผลลัพธ์ตามที่กำหนดไว้
9) การประเมินประสิทธิภาพและประสิทธิผล (Performance Evaluation)
▪ การเฝ้าระวัง การวัดผล การวิเคราะห์ และการประเมิน(Monitoring,
Measurement, Analysis and Evaluation)
การเฝ้าระวัง (Monitoring) การวัด (Measurement) การวิเคราะห์
(Analysis) และการประเมิน (Evaluation) ระบบเป็นกิจกรรมสำคัญในการประเมินว่า ผลลัพธ์เป็นไปตาม
ที่วางแผนหรือไม่อย่างไร
▪ การตรวจประเมินภายใน (Internal Audit)
การตรวจประเมิ น ภายใน (Internal Audit) เป็ น เครื ่ อ งมือ สำคัญ
เพื่อตรวจสอบความสมบูรณ์และครบถ้วนของระบบที่จัดทำขึ้น ตลอดจนการนำไปปฏิบัติและผลลัพธ์ที่เกิดขึ้น
รวมถึงการตรวจสอบความเข้าใจ การปฏิบัติและเอกสารบันทึกที่เกี่ยวข้อง
▪ การทบทวนโดยฝ่ายบริหาร (Management Review)
Management Review เ ป ็ น ก า ร ป ร ะ ช ุ ม เ พ ื ่ อ ร า ย ง า น ผ ล
ของการจัดทำระบบ ISO 27001:2022 Information Security Management (ISMS) ต่อผู้บริหารระดับสูง
(Top Management) โดยรายงานถึ ง การเปลี ่ ย นแปลงภายในและภายนอกที ่ ม ี ผ ลกระทบต่ อ ระบบ
ผลการประเมิ น ความเสี ่ ย งและการจั ด การความเสี ่ ย ง ผลการเฝ้ า ระวั ง ด้ า น Information Security
ผลการตรวจประเมินภายใน (Internal Audit) ข้อบกพร่องจากการตรวจประเมินภายใน เป็นต้น
10) การแก้ไข (Improvement)
▪ ความไม่สอดคล้องและการดำเนินการแก้ไข (Nonconformity and
Corrective Action)
การระบุ ค วามไม่ ส อดคล้ อ ง (Nonconformity) และการแก้ ไ ข
(Corrective Action) อย่ า งเป็ น ระบบ มี ผ ู ้ ร ั บ ผิ ด ชอบและมี บ ั น ทึ ก ที ่ เ ป็ น ลายลั ก ษณ์ อ ั ก ษรเกี ่ ย วกั บ
ความไม่สอดคล้องและแนวทางการแก้ไข
▪ การแก้ไขอย่างต่อเนื่อง (Continual improvement)
ข้อกำหนดระบุให้องค์กรปรับปรุงระบบให้มีความเหมาะสม เพียงพอ
และมีการปรับปรุงอย่างต่อเนื่อง
3.5.2 COBIT (Control Objectives for Information and Related Technology)
เป็ น มาตรฐานการบริ ห ารจั ด การเทคโนโลยี ส ารสนเทศ ของสถาบั น ธรรมาภิ บ าลด้ า น
เทคโนโลยีสารสนเทศ (IT Governance Institute) ซึ่งกำหนดวัตถุประสงค์ควบคุม (Control Objectives) ใน
4 ด้ า น ได้ แ ก่ การวางแผนแล ะการจั ด การองค์ ก ร (PO - Planning and Organization)
การจัดหาและนำระบบออกใช้งานจริง ( AI – Acquisition and Implementation)
การส่งมอบและการสนับสนุน (DS – Delivery and Support) และการเฝ้าติดตาม (M – Monitoring)
เพื่อเป็นแนวทางการตรวจสอบ (Audit Guidelines) ดังภาพที่ 3.5-3
ภาพที่ 3.5-3 กระบวนงานด้านการบริหารจัดการเทคโนโลยีสารสนเทศตามมาตรฐาน COBIT
กระบวนงานด้านการบริหารจัดการเทคโนโลยีสารสนเทศขององค์กร ประกอบด้วยวัตถุประสงค์
ควบคุมจำนวน 34 ข้อ และวัตถุประสงค์ย่อยจำนวน 318 หัวข้อ รายละเอียดดังในภาพที่ 3.5-3 และ ตารางที่
3.5-1
ตารางที่ 3.5-1 วัตถุประสงค์ควบคุม 34 หัวข้อของมาตรฐาน COBIT
กลุม่ วัตถุประสงค์ควบคุม ตัวอย่างวัตถุประสงค์ย่อย
1. การวางแผนและ 1.1 1) แผนงานระยะยาวด้านเทคโนโลยีสารสนเทศ
การจัดการองค์ก การจัดทำแผนกลยุทธ์ด้านเ 2) วิธีการและโครงสร้างของการจัดทำแผนงานระยะ
ร ทคโนโลยีสารสนเทศ ยาวด้านเทคโนโลยีสารสนเทศ
(PO - Planning 3) แผนงานระยะสั้นสำหรับหน่วยงานด้านเทคโนโล
and ยีสารสนเทศ
Organization) 4) การสื่อสารแผนงานด้านเทคโนโลยีสารสนเทศ
5) การเฝ้าติดตามและประเมินผลการดำเนินงานตา
มแผนงานด้านเทคโนโลยีสารสนเทศ
1.2 1) ต้นแบบสถาปัตยกรรม
การกำหนดสถาปัตยกรรมด้ 2) พจนานุกรมและไวยากรณ์ข้อมูล
านสารสนเทศ 3) แบบแผนการจัดประเภทของข้อมูล
4) ระดับการรักษาความปลอดภัย
1.3 1) การวางแผนโครงสร้างพื้นฐานด้านเทคโนโลยีสาร
การกำหนดทิศทางด้านเทคโ สนเทศ
นโลยีสารสนเทศ 2) การติดตามแนวโน้มในอนาคตและกฎข้อบังคับต่าง
ๆ
3) การสำรองในโครงสร้างพื้นฐานด้านเทคโนโลยีสา
รสนเทศ
4) แผนการจัดซื้อฮาร์ดแวร์และซอฟต์แวร์
5) มาตรการด้านเทคโนโลยีสารสนเทศ
1.4 1) คณะกรรมการกำกับดูแลหรือวางแผนด้านเทคโน
การกำหนดโครงสร้างการจั โลยีสารสนเทศ
ดองค์กรด้านเทคโนโลยีสาร 2) การจัดสายการบังคับบัญชาสำหรับหน่วยงานด้าน
สนเทศและความสัมพันธ์กับ เทคโนโลยีสารสนเทศ
หน่วยงานอื่น 3) ความรับผิดชอบด้านการรักษาความปลอดภัยทั้ง
ทางด้านกายภาพและภายในระบบเทคโนโลยีสาร
สนเทศ
4) ความเป็นเจ้าของข้อมูลและระบบ
5) นโยบายและขั้นตอนการว่าจ้างบุคลากรภายนอก
1.5 1) งบประมาณประจำปีของการดำเนินงานด้านเทคโ
การจัดการด้านการลงทุนใน นโลยีสารสนเทศ
เทคโนโลยีสารสนเทศ 2) การติดตามดูแลค่าใช้จ่ายและประโยชน์ที่ได้รับ
3) ความเหมาะสมของค่าใช้จ่ายและประโยชน์ที่ได้รั
บ
1.6 1) ความรับผิดชอบด้านนโยบายของผู้บริหาร
การสื่อสารเป้าหมายและทิศ 2) การสื่อสารนโยบายขององค์กร
ทางการจัดการ 3) การปฏิบัติตามนโยบาย
ขั้นตอนการปฏิบัติงานและมาตรฐาน
4) การยึดมั่นในคุณภาพ
5) นโยบายด้านกรอบงานการรักษาความปลอดภัยแ
ละการควบคุมภายใน
1.7 1) การจ้างงานและการเลื่อนตำแหน่งบุคลากร
การจัดการทรัพยากรบุคคล 2) บทบาทและความรับผิดชอบ
3) การฝึกอบรมบุคลากร
4) การฝึกอบรมข้ามลักษณะงาน
หรือการมีพนักงานทดแทน
5) ระเบียบปฏิบัติการตรวจสอบพนักงาน
1.8 1) การสอบทานข้อกำหนดขององค์กรภายนอก
การปฏิบัติตามข้อกำหนดข 2) วิธีการปฏิบัติและระเบียบปฏิบัติเพื่อให้เป็นไปตา
ององค์กรภายนอก มข้อกำหนดขององค์กรภายนอก
3) การปฏิบัติตามมาตรฐานความปลอดภัยและสุขลั
กษณะในการทำงาน
4) ความเป็นส่วนตัว
ทรัพย์สินทางปัญญาและกระแสข้อมูล
5) การพาณิชย์อิเล็กทรอนิกส์
1.9 การประเมินความเสี่ยง 1) การประเมินความเสี่ยงทางธุรกิจ
2) วิธีการประเมินความเสี่ยง
3) แผนปฏิบัติการเพื่อจัดการความเสี่ยง
4) การยอมรับความเสี่ยง
5) การเลือกมาตรการควบคุม
1.10 การจัดการโครงการ 1) ข้อกำหนดของโครงการ
2) การอนุมัติโครงการ
3) แผนงานหลักของโครงการ
4) แผนงานรับรองคุณภาพระบบ
5) การบริหารความเสี่ยงของโครงการอย่างเป็นทาง
การ
1.11 การจัดการคุณภาพ 1) การวางแผนการรับรองคุณภาพ
2) กรรมวิธีวงจรการพัฒนาระบบงาน
3) กรอบงานของการจัดหาและบำรุงรักษาสำหรับโค
รงสร้างพื้นฐานด้านเทคโนโลยี
4) มาตรฐานการสร้างเอกสารโปรแกรม
5) มาตรฐานการทดสอบโปรแกรม
2. การจัดหาและก 2.1 1) การกำหนดความต้องการด้านสารสนเทศ
ารนำระบบออ การเลือกเทคโนโลยีมาใช้ใน 2) การศึกษาความเป็นไปได้ด้านเทคโนโลยี
กใช้งานจริง การปฏิบตั ิงาน 3) การศึกษาความเป็นไปได้ด้านเศรษฐกิจ
4) สถาปัตยกรรมสารสนเทศ
(AI – 5) รายงานการวิเคราะห์ความเสี่ยง
Acquisition 2.2 1) วิธีการออกแบบระบบ
and การจัดหาและบำรุงรักษาซอ 2) การกำหนดความต้องการของแฟ้มข้อมูล
Implementati ฟต์แวร์ประยุกต์ และการจัดทำเอกสาร
on) 3) การออกแบบวิธีการเก็บรวมรวบข้อมูลต้นทาง
4) การกำหนดความต้องการในการนำข้อมูลเข้าสู่ระ
บบและการจัดทำเอกสาร
5) การกำหนดเกี่ยวกับการเชื่อมโยง
2.3 1) การประเมินฮาร์ดแวร์และซอฟต์แวร์ใหม่
การจัดหาและบำรุงรักษาโค 2) การบำรุงรักษาเชิงป้องกันของฮาร์ดแวร์
รงสร้างพื้นฐานด้านเทคโนโ 3) การรักษาความปลอดภัยในซอฟต์แวร์ระบบ
ลยี 4) การบำรุงรักษาซอฟต์แวร์ระบบ
5) การควบคุมการแก้ไขเปลี่ยนแปลงซอฟต์แวร์ระบ
บ
2.4 1) ความต้องการในการปฏิบัติงานและระดับการให้บ
ระเบียบปฏิบัติในการพัฒนา ริการ
และบำรุงรักษา 2) คู่มือปฏิบัติงานของผู้ใช้
3) คู่มือปฏิบัติงานด้านปฏิบัติการคอมพิวเตอร์
4) เอกสารประกอบการฝึกอบรม
2.5 1) แผนการนำระบบออกใช้งานจริง
การติดตั้งและรับรองระบบ 2) การโอนระบบเดิมเข้าสู่ระบบใหม่
3) การโอนข้อมูลเดิมเข้าสู่ระบบใหม่
4) กลยุทธ์และแผนการทดสอบระบบ
5) การทดสอบและรับรองความปลอดภัยของระบบ
2.6 1) การขอเปลี่ยนแปลงและการควบคุม
การจัดการการเปลี่ยนแปลง 2) การประเมินผลกระทบ
3) การควบคุมการเปลี่ยนแปลง
4) การจัดทำเอกสารและระเบียบปฏิบัติ
5) นโยบายเกี่ยวกับการนำออกใช้งาน (Release)
ของซอฟต์แวร์
3. การส่งมอบและ 3.1 1) หลักเกณฑ์ของข้อตกลงเรื่องระดับการให้บริการ
การสนับสนุน การกำหนดและการจัดการร 2) ระเบียบปฏิบัติในการดำเนินงาน
(DS – ะดับการให้บริการ 3) การเฝ้าติดตามและการรายงาน
Delivery and 4) การสอบทานข้อตกลงและสัญญาเรื่องระดับการให้
Support) บริการ
5) โปรแกรมการปรับปรุงการให้บริการ
3.2 1) การประสานงานกับผู้ให้บริการ
การจัดการการใช้บริการจา 2) คุณสมบัติของผู้ให้บริการ
กบุคคลภายนอก 3) ข้อสัญญาการใช้บริการจากบุคคลภายนอก
4) ความต่อเนื่องของการบริการ
5) การตกลงร่วมมือในการรักษาความปลอดภัย
3.3 1) ความต้องการด้านความพร้อมใช้งานและสมรรถน
การจัดการด้านสมรรถนะแ ะของระบบ
ละความสามารถของระบบ 2) แผนด้านความพร้อมใช้งานของระบบ
3) เครื่องมือในการจัดทำแบบจำลองระบบ
4) การจัดการเชิงรุกด้านสมรรถนะของระบบ
5) การจัดการในด้านขีดความสามารถของทรัพยากรร
ะบบ
3.4 1) กรอบของการดำเนินงานอย่างต่อเนื่อง
ความต่อเนื่องในการให้บริก 2) ความต้องการขั้นต่ำสำหรับการดำเนินการอย่างต่
าร อเนื่องด้านเทคโนโลยีสารสนเทศ
3) การทดสอบแผนการดำรงอยู่ด้านเทคโนโลยีสารส
นเทศ
4) ฮาร์ดแวร์และศูนย์สำรอง
5) การจัดเก็บสื่อข้อมูลสำรองไว้นอกสถานที่
3.5 1) การจัดการด้านมาตรการการรักษาความปลอดภั
การรักษาความปลอดภัยระ ย
บบ 2) การแสดงตน การพิสูจน์ตน และการเข้าถึง
3) ความปลอดภัยในการเข้าถึงข้อมูลแบบออนไลน์
4) สถาปัตยกรรม firewall
และการเชื่อมโยงกับเครือข่ายสาธารณะ
5) การป้องกันค่าของข้อมูลอิเล็กทรอนิกส์
3.6 1) รายการที่คิดค่าบริการได้
การกำหนดและการจัดสรร 2) ระเบียบปฏิบัติในเรื่องต้นทุน
ต้นทุน 3) การเรียกเก็บค่าบริการและระเบียบปฏิบัติในการ
คิดค่าบริการกับผู้ใช้งาน
3.7 1) การกำหนดความต้องการการฝึกอบรม
การให้ความรู้และการฝึกอบ 2) การบริหารจัดการการฝึกอบรม
รมแก่ผู้ใช้งาน 3) การฝึกอบรมเรื่องหลักการและความตระหนักถึง
การรักษาความปลอดภัย
3.8 1) ศูนย์ช่วยเหลือผู้ใช้งาน
การช่วยเหลือและให้คำปรึก 2) การลงทะเบียนปัญหาข้อซักถามของผู้ใช้งาน
ษาแก่ลูกค้า 3) ขั้นตอนการแก้ไขปัญหาข้อซักถามของผู้ใช้งาน
4) การเฝ้าติดตามการแก้ไขปัญหาที่เกิดขึ้น
5) การวิเคราะห์แนวโน้มของปัญหาและการรายงาน
ผล
3.9 1) การบันทึกรายการรายละเอียดทรัพย์สิน
การจัดการรายละเอียดทรัพ 2) ข้อมูลพื้นฐานของรายละเอียดทรัพย์สิน
ย์สิน 3) การบันทึกสถานภาพทรัพย์สิน
4) การควบคุมรายละเอียดทรัพย์สิน
5) ซอฟต์แวร์ที่ไม่ได้รับอนุญาตให้ใช้งาน
3.10 1) ระบบการจัดการปัญหา
การจัดการปัญหาและเหตุก 2) ขั้นตอนการแก้ปัญหา
ารณ์ที่เกิดขึ้น 3) หลักฐานการตรวจสอบและการติดตามปัญหา
4) การอนุมัติให้เข้าถึงระบบในกรณีฉุกเฉินและชั่วคร
าว
3.11 การจัดการข้อมูล 1) ระเบียบปฏิบัติในการเตรียมข้อมูล
2) ระเบียบปฏิบัติว่าด้วยสิทธิการบันทึกข้อมูล
3) การจัดการด้านการจัดเก็บข้อมูล
4) การสำรองและกู้ข้อมูล
5) การเก็บถาวร
3.12 1) การรักษาความปลอดภัยทางกายภาพ
การจัดการกับสิ่งอำนวยควา 2) สถานที่ตั้งของศูนย์คอมพิวเตอร์ที่ไม่เป็นที่สังเกต
มสะดวก 3) การตามประกบผู้เข้าออกศูนย์คอมพิวเตอร์
4) การป้องกันภัยจากปัจจัยทางสภาพแวดล้อม
5) เครื่องจ่ายกระแสไฟฟ้าสำรอง
3.13 1) ระเบียบปฏิบัติและคู่มือคำสั่งการประมวลผล
การจัดการการปฏิบัติการ 2) การจัดตารางเวลาของงานประมวลผล
3) ความต่อเนื่องของการประมวลผล
4) การบันทึกเหตุการณ์ตามลำดับเวลาของการประ
มวลผล
5) การรักษาความปลอดภัยของเอกสาร
แบบฟอร์มพิเศษ และอุปกรณ์ประมวลผลลัพธ์
4. การเฝ้าติดตาม 4.1 1) การรวบรวมข้อมูล
(M – การเฝ้าติดตามกระบวนการ 2) การประเมินผลการดำเนินงาน
Monitoring) 3) การประเมินความพึงพอใจของลูกค้า
4) การรายงานสำหรับผู้บริหาร
4.2 1) การเฝ้าติดตามการควบคุมภายใน
การประเมินความเพียงพอข 2) การดำเนินการของการควบคุมภายใน
องการควบคุมภายใน 3) การรายงานระดับการควบคุมภายใน
4) การรับรองความปลอดภัยในการดำเนินงานและก
ารควบคุมภายใน
4.3 1) การออกใบรับรอง/การรับรองอย่างเป็นอิสระในด้
การรับรองอย่างเป็นอิสระ านการรักษาความปลอดภัยและการควบคุมภายใ
นของการให้บริการด้านเทคโนโลยีสารสนเทศ
2) การออกใบรับรอง/การรับรองอย่างเป็นอิสระในด้
านการรักษาความปลอดภัยและการควบคุมภายใ
นของการให้บริการจากบุคคลภายนอก
3) การประเมินประสิทธิผลอย่างเป็นอิสระของบริกา
รด้านเทคโนโลยีสารสนเทศ
4) การรับรองอย่างเป็นอิสระต่อการปฏิบัติตามกฎห
มาย ข้อบังคับ และข้อผูกมัดในสัญญา
5) การรับรองอย่างเป็นอิสระต่อการปฏิบัติตามกฎห
มาย ข้อบังคับ
และข้อผูกมัดในสัญญากับผู้ให้บริการภายนอก
4.4 1) กฎบัตรการตรวจสอบ
การจัดให้มีผู้ตรวจสอบอิสร 2) การวางแผน
ะ 3) การดำเนินงานตรวจสอบ
4) การรายงาน
5) การติดตามผล
มาตรฐาน COBIT กำหนดวัตถุประสงค์การควบคุมสำหรับสารสนเทศและเทคโนโลยีดิจิทัล

ที ่ เ กี ่ ย วข้ อ ง (Control Objectives for Information and Related Technology - COBIT)
และสามารถใช้เป็น กรอบงานขั้นพื้นฐานสำหรับกำหนดรายละเอียดธรรมาภิบาลด้านเทคโนโลยีสารสนเทศ
เ น ื ่ อ ง จ า ก เ ป ็ น ต ้ น แ บ บ
การควบคุมที่เชื่อมการควบคุมทางธุรกิจและการควบคุมที่เน้นด้านเทคโนโลยีสารสนเทศเข้าด้วยกัน ทำให้
ทรัพยากรและกระบวนการด้านเทคโนโลยีสารสนเทศตอบสนองต่อความต้องการทางธุรกิจ
3.5.3 การจัดการความเสี่ยง (Risk Management)
ปั จ จุ บ ั น การดำเนิ น ธุ ร กิ จ ขององค์ ก รต่ า ง ๆ ทั ้ ง ภาครั ฐ และเอกชนกำลั ง เข้ า สู ่ ย ุ ค ดิ จ ิ ทั ล
โดยอาศัยเทคโนโลยีสารสนเทศเป็นตัวขับเคลื่อนและมีบทบาทสำคัญเป็นโครงสร้างพื้นฐาน ที่ช่วยเสริมสร้าง
ประสิทธิภาพในกระบวนการดำเนินงาน ให้รองรับกลยุทธ์ทางธุรกิจ เพื่อสามารถให้บริการลูกค้าได้อย่างสะดวก
รวดเร็ว ตอบสนองความต้องการของลูกค้าที่หลากหลายได้อย่างทั่วถึง การใช้เทคโนโลยีสารสนเทศของ อ.ส.ค.
จึ ง นั บ เป็ น โจทย์ ท ี่ ท ้า ทาย ภายใต้ บ ริ บ ทของสภาวะแวดล้อ มด้ า นธุร กิ จ ในปั จ จุ บ ัน ที ่ม ี ค วามผั นผวนสู ง
และยากต่ อ การคาดเดา ตั ้ ง แต่ การกำหนดยุ ท ธศาสตร์ ใ นการพั ฒ นาเทคโ นโลยี ส ารสนเทศ
เพื่อเป็นตัวขับเคลื่อนธุรกิจ รวมทั้งการเปลี่ยนแปลงอย่างรวดเร็วของเทคโนโลยีที่ อ.ส.ค. ต้องปรับตัวให้เท่าทัน
และความเสี ่ ย ง ในการเผชิ ญ ภั ย คุ ก คามทางเครื อ ข่ า ย Internet ที ่ น ั บ วั น มี แ นวโน้ ม เพิ ่ ม ขึ้ น
มีวิวัฒนาการที่ซับซ้อนขึ้น ส่งผลกระทบที่มีความรุนแรงและเป็นวงกว้างมากขึ้น จึงเห็นได้ว่าปัจจุบัน อ.ส.ค.
กำลั ง เผชิ ญ กั บ ความเสี ่ ย งด้ า นเทคโนโลยีส ารสนเทศในหลายมิ ต ิม ากขึ ้ น หาก อ.ส.ค. ไม่ ม ี ก ารปรั บ ตัว
ให้เท่าทันกับการเปลี่ยนแปลง หรือไม่มีการบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศที่เพียงพอ
อาจนำไปสู ่ ค วามเสี ่ ย งด้ า นอื ่ น ที ่ ส ำคั ญ ด้ ว ย โดยปั จ จุ บ ั น ความเสี ่ ย งด้ า นเทคโนโลยี ส ารสนเทศ ไม่ เ ป็ น
เพียงส่วนหนึ่งของความเสี่ยงด้านปฏิบัติการอีกต่อไป แต่กลายเป็นหนึ่งในความเสี่ยงทางธุรกิจ ซึ่งอาจส่งผล
กระทบต่ อ กลยุ ท ธ์ ท างธุ ร กิ จ การปฏิ บ ั ต ิ ต ามกฎระเบี ย บต่ า ง ๆ ภาพลั ก ษณ์ ช ื ่ อ เสี ย งของ อ.ส.ค.
ทัง้ นี้การจัดการด้านความเสี่ยงข้อมูล (Risk Management) สามารถสรุปสาระสำคัญได้ดังต่อไปนี้
3.5.3.1 หลักการบริหารความเสี่ยงด้านเทคโนโลยีสารสนเทศ
หลักการบริหารความเสี่ยงด้านเทคโนโลยีสารสนเทศ สามารถสรุปได้ดังต่อไปนี้
1) การใช้เทคโนโลยีสารสนเทศสอดคล้องกับกลยุทธ์ในการดำเนิ นธุรกิจและการ
เปลี่ยนแปลง
ปัจจุบันเทคโนโลยีสารสนเทศเข้ามามีบทบาทสำคัญต่อการดำเนินธุรกิจขององค์กร
มากขึ้น โดยเป็นโครงสร้างพื้นฐานที่สำคัญที่รองรับกลยุทธ์ในการดำเนินธุรกิจ ช่วยเพิ่มประสิทธิภาพ ลดต้นทุน
ในการดำเนินงาน และเพิ่มศักยภาพในการแข่งขัน ตอบสนองต่อความต้องการของลูกค้าที่ต้องการผลิตภัณฑ์
และบริการที่ห ลากหลายได้ อย่า งสะดวกและรวดเร็ว นอกจากนี้ อ.ส.ค. ยังต้องเตรียมความพร้อ มของ
ระบบเทคโนโลยีสารสนเทศให้พร้อมรับการเปลี่ยนแปลงที่เป็นไปอย่างรวดเร็วเพื่อรองรับการดำเนินธุรกิจใน
อนาคต
2) คณะกรรมการของ อ.ส.ค. และผู้บริหารระดับสูงมีบทบาทสำคัญในการ
กำกับดูแลความเสี่ยงด้านเทคโนโลยีสารสนเทศ
การบริ ห ารความเสี ่ ย งด้ า นเทคโนโลยี ส ารสนเทศ ต้ อ งมี ก ารกำกั บ ดู แ ล
ในระดับองค์กรโดยเป็นความรับผิดชอบของคณะกรรมการของ อ.ส.ค. ที่ต้องสนับสนุน และผลักดันให้องค์กร
มี ก ลยุ ท ธ์ แ ละนโยบายด้ า นเทคโนโลยี ส ารสนเทศที ่ เ พิ ่ ม ประสิ ท ธิ ภ าพให้ แ ก่ ก ารดำเนิ น ธุ ร กิ จ
ความสามารถในการแข่งขัน มีความมั่นคงปลอดภัยและพร้อมรับมือภัยคุกคามทางเทคโนโลยี และภัยคุกคาม
ทางเครือข่าย Internet ที่อาจเกิดขึ้น รวมทั้งผลักดันให้องค์กรมีการสร้างความตระหนักในการบริหาร
ความเสี่ยงด้านเทคโนโลยีสารสนเทศ (IT Risk Awareness) อย่างต่อเนื่องและมีประสิทธิภาพ
3) ความเสี่ยงด้านเทคโนโลยีสารสนเทศเป็นความเสี่ยงในระดับองค์กร
(Enterprise Wide Risk)
เนื่องจากเทคโนโลยีสารสนเทศกลายเป็นโครงสร้างพื้นฐานสำคัญรองรับกระบ
วนการทางธุ ร กิ จ และการปฏิ บ ั ต ิ ง านด้ า นต่ า ง ๆ ของ อ.ส.ค. ดั ง นั ้ น การบริ ห ารความเสี ่ ย ง
ด้านเทคโนโลยีสารสนเทศไม่ได้เป็น ความรับผิดชอบอยู่เพียงหน่วยงานด้านเทคโนโลยีสารสนเทศเท่า นั้น
แต่เป็นเรื่องที่บุคลากรทุกระดับและทุกฝ่ายในองค์กรต้องให้ความตระหนักและมีแนวทางการบริหารความเสี่ยง
ที่เกิดจากการใช้เทคโนโลยีสารสนเทศครอบคลุมทั้งในเชิงกลยุทธ์และเชิงปฏิบัติการเพื่อให้มีการป้ องกัน
ติดตาม และรับ มือความเสี่ย งที่อาจเกิดขึ้น ด้ว ยเหตุนี้ อ.ส.ค. จำเป็นต้องมีกรอบการบริห ารความเสี่ยง
ด้านเทคโนโลยีส ารสนเทศอย่า งครอบคลุม ทั่ว ทั้ งองค์ก รและเหมาะสมกับระดับ ความเสี่ ยงที่ย อมรั บ ได้
โดยครอบคลุมการกำหนดนโยบายและบทบาทหน้าที่ความรับผิดชอบ การพัฒนากระบวนการและเครื่องมือ
รวมถึงการพัฒนาความรู้และความเชี่ยวชาญในด้านการบริ หารความเสี่ยงด้านเทคโนโลยีสารสนเทศอย่างเพียง
พอและทั่วถึง
4) มีการกำกับดูแลเป็นไปตามหลัก 3 Lines of Defence
โครงสร้ า งการกำกั บ ดู แ ลการปฏิ บ ั ต ิ ง านและการบริ ห ารความเสี ่ ย ง
ด้านเทคโนโลยีสารสนเทศ จำเป็นต้องสอดคล้องตามหลักการกำกับดูแล 3 ระดับ ประกอบด้วยหลักการถ่วงดุล
(Check and Balance) หลักการแบ่งแยกหน้าที่ความรับผิดชอบอย่างชัดเจน (Segregation of Duties)
ในการปฏิบัติงานการบริหารความเสี่ยงการกำกับดูแลการปฏิบัติตามกฎหมายและหลักเกณฑ์ และหลักการ
ตรวจสอบด้านเทคโนโลยีสารสนเทศ
5) การรักษาความมั่นคงปลอดภัยและการบริห ารความเสี่ยงด้านเทคโนโลยี
สารสนเทศสอดคล้องกับความเสี่ยงที่เพิ่มขึ้น
ความเสี่ยงที่เกิดจากเทคโนโลยีสารสนเทศหากไม่ได้รับการบริหารจัดการและ
ควบคุมอย่างเพีย งพอ อาจทำให้เกิดช่องโหว่ด้านการรักษาความปลอดภัย ความถูกต้องเชื่อถือได้ และ
ความพร้อมใช้ของระบบในการให้บริการ แก่ธุรกิจและการดำเนินงานของ อ.ส.ค. ซึ่งอาจนำไปสู่ความเสี่ยง
ด้านความน่าเชื่อถือ ชื่อเสียง ภาพลักษณ์ การปฏิบัติ ตามกฎหมายและหลักเกณฑ์ที่เกี่ยวข้อง
6) การบริ ห ารจั ด การโครงการด้ า นเทคโนโลยี ส ารสนเทศอย่ า งรั ด กุ ม และ
มีประสิทธิภาพ
ความต้ อ งการของลู ก ค้ า ที ่ ต ้ อ งการผลิ ต ภั ณ ฑ์ แ ละบริ ก ารที ่ ห ลากหลาย
รวมทั้งการเปลี่ยนแปลงของเทคโนโลยีสารสนเทศที่เป็นไปอย่างรวดเร็ว ทำให้ อ.ส.ค. ต้องบริหารจัดการ
ทรัพยากรที่มีอยู่อย่างจำกัดให้มีประสิทธิภาพสูงสุด ดังนั้น หาก อ.ส.ค. ไม่สามารถบริหารจัดการโครงการ
พัฒนาระบบได้อย่างมีประสิทธิภาพ ทำให้ไม่สามารถส่งมอบโครงการได้ ตามเป้าหมายที่กำหนด ส่งผลให้
เกิดความเสี่ยงที่โครงการด้านเทคโนโลยีสารสนเทศไม่แล้วเสร็จตามกำหนดเวลา โครงการไม่มีคุณภาพ รวมถึง
โครงการไม่สอดรับกับกลยุทธ์ทางธุรกิจของ อ.ส.ค. นอกจากนี้ในบางกรณีอาจส่งผลให้ อ.ส.ค. ไม่สามารถ
ปฏิบัติได้ตามกฎหมายและหลักเกณฑ์ที่เกี่ยวข้องของผู้กำกับดูแลได้
7) มีการพัฒนาความรู้ความสามารถ (Capability) ของบุคลากร
ด้วยวิวัฒนาการของเทคโนโลยีและความเสี่ยงซึ่งมีความซับซ้อนมากขึ้น อ.ส.ค.
จำเป็นต้องมีการพัฒนาความรู้ด้านเทคโนโลยีอย่างต่อเนื่อง เพื่อเพิ่มมุมมองความรู้และความเชี่ยวชาญของ
บุ ค ลากรในการระบุ ประเมิ น ควบคุ ม ติ ด ตาม และรั บ มื อ ความเสี ่ ย งจากภั ย ที ่ เ กี ่ ย วข้ อ งกั บ การใช้
เทคโนโลยีสารสนเทศ นอกจากนี้การดำเนินธุรกิจในยุคดิจิทัล ทำให้ความเสี่ยงด้านเทคโนโลยีสารสนเทศ
ไม่ได้จำกัดอยู่เพียงระดับปฏิบัติการเท่านั้น แต่ยังส่งผลต่อการดำเนินงานตามแผนวิสาหกิจฯ (สำหรับปี 2563)
ขององค์ ก ร ดั ง นั ้ น คณะกรรมการ ผู ้ บ ริ ห ารระดั บ สู ง และบุ ค ลากรทุ ก ระดั บ จึ ง จำเป็ น ต้ อ ง
ได้รับการพัฒนาความรู้ด้านเทคโนโลยีสารสนเทศและความเสี่ยงต่อธุรกิจรวมถึงติดตามภัยคุกคามทางเครือข่าย
Internet เพื่อให้มีความรู้เท่าทันภัยคุกคามใหม่ ๆ
8) ความเสี่ยงที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ
ตามแนวทางของ COSO (Committee of Sponsoring Organization)
ความเสี่ยงที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ ออกได้เป็น 8 ประเภท ดังนี้
1) ความเสี่ยงด้านกายภาพและสิ่งแวดล้อม (Physical and Environment
Risk)
หมายถึ ง ความเสี ่ ย งที ่ เ กิ ด จากภั ย คุ ก คามทั ้ ง ภั ย จากธรรมชาติ และภั ย
ที่มนุษย์ทำขึ้น เช่น วาตภัย อุทกภัย อัคคีภัย ฟ้าผ่า กระแสไฟฟ้าขัดข้ อ ง
การชุมนุมประท้วง การก่อการร้าย รวมถึงการไม่มีระบบรักษาความปลอดภัย
ห้องปฏิบัติการระบบเครือข่ายและคอมพิวเตอร์ เครื่องคอมพิวเตอร์แม่ข่าย
และระบบสื่อสารที่มีประสิทธิภาพเพียงพอ
2) ความเสี่ยงด้ำนบุคลากร (Human Risk)
หมายถึ ง ความเสี ่ ย งที ่ เ กิ ด จากบุ ค ลากรที ่ เ กี ่ ย วข้ อ งกั บ การดำเนิ น งาน
ด้ า นเทคโนโลยี ส ารสนเทศและการสื ่ อ สาร ทั ้ ง ในด้ า นการวางแผน
การตรวจสอบการทำงาน การมอบหมายหน้ า ที ่ แ ละสิ ท ธิ ์ ข องบุ ค ลากร
และคณะทำงานที่มีส่วนเกี่ยวข้องกับการดำเนินการทุกฝ่ายอย่างละเอีย ด
เพื ่ อ ให้ บ ุ ค ลากรมี ค วามรู ้ ความเข้ า ใจในการ ใช้ ง าน การดู แ ลรั ก ษา
ความปลอดภัยระบบเทคโนโลยีสารสนเทศและการสื่อสาร รวมทั้งบุคลากร
ภายนอกที่เกี่ยวข้องทั้งทางตรงและทางอ้อม ซึ่งล้วนแต่เป็นความเสี่ยงทั้งสิ้น
3) ความเสี่ยงด้านอุปกรณ์เทคโนโลยีสารสนเทศและการสื่อสาร
(Hardware and Data Communication Risk)
หมายถึ ง ความเสี ่ ย งที ่ เ กิ ด จากความผิ ด พลาดของอุ ป กรณ์
การเคลื่อนย้ายตัวเครื่องอุปกรณ์ การติดตั้งอุปกรณ์ในพื้นที่ไม่เหมาะสม
การถูกภัยคุกคามจากภัยต่างๆ เช่น ไวรัสคอมพิวเตอร์ Malware, Trojan,
Adware เป็ น ต้ น ทั ้ ง ที ่ เ ป็ น การโจมตี จ ากภายใน และมาจากภายนอก
โดยผ่านทางเครือข่าย (Networks) หรือจากคอมพิวเตอร์โดยตรง เช่น จาก
USB Flash Drive หรือ USB External Hard Disk Drive เป็นต้น
4) ความเสี่ยงด้านโปรแกรมคอมพิวเตอร์ (Software Risk)
หมายถึง ความเสี่ยงที่เกิดจากระบบการทำงานของโปรแกรมต่างๆ
เช่น การใช้โปรแกรมที่ไม่มีการอัพเดทให้ทันสมัย เพื่อลดช่องโหว่ที่อาจเกิดจาก
Bug ของซอฟต์แวร์นั้นๆ หรือการถูกผู้ไม่หวังดี (Hacker) เข้ามาทำลายระบบ
หรือการใช้ซอฟต์แวร์ที่ไม่มีลิขสิทธิ์ซึ่งอาจถูกฟ้องร้องให้ต้องชำระค่าละเมิดลิข
สิทธิ์ เป็นต้น
5) ความเสี่ยงด้านระบบข้อมูล (Database Risk)
หมายถึง ความเสี่ยงที่เกิดจากฐานข้อมูลต่างๆ ในระบบสารสนเทศ
และการสื่อสารอันอาจจะก่อให้เกิดความเสียหาย เนื่องจากข้อมูลถูกทำลาย
ความเสี่ยงจากผู้บุกรุกข้อมูล เพื่อการโจรกรรมข้อมูลที่สำคัญ การลักลอบ
เข้ามาแก้ไขเปลี่ยนแปลงข้อมูล ทำให้เกิดความเสียหาย ขาดความน่าเชื่อถือ
และสร้างความเสื่อมเสี ยแก่องค์กร ความเสี่ยงเหล่านี้ทำให้มีความจำเป็น
ที ่ จ ะต้ อ งมี ก ารบริ ห ารจั ด การความเสี ่ ย งด้ า นข้ อ มู ล ดั ง นั ้ น การรั ก ษา
ความปลอดภัยของข้ อ มูล จึง เป็ นเรื่ อ งสำคั ญ เนื่องจากข้อ มู ล สารสนเทศ
และการสื่อสารเป็นปัจจัยสำคัญสำหรับผู้บริหาร ผู้มีส่วนได้ส่วนเสียโดยตรง
รวมถึงประชาชนทั่ว ไป ดังนั้น การรักษาความปลอดภัยของระบบข้ อ มู ล
และคอมพิ ว เตอร์ จ ากภั ย ต่ า งๆ ทั ้ ง ภั ย จากคน ภั ย จากธรรมชาติ
หรื อ เหตุ ก ารณ์ ใ ดๆ จึ ง มี ค วามสำคั ญ และจำเป็ น ที ่ จ ะต้ อ งมี ก ารป้ อ งกั น
เพื่อให้เกิดความมั่นคงต่อระบบข้อมูลสารสนเทศและเทคโนโลยี
6) ความเสี่ยงด้านกลยุทธ์ (Strategic Risk)
หมายถึง ความเสี่ยงที่เกิดจากการเปลี่ยนแปลงของนโยบายรัฐบาล
ผู้บริหารองค์กร เนื่องจากการเปลี่ยนแปลงรัฐบาล และผู้บริหารองค์กรต่างๆ
ในด้านเทคโนโลยีสารสนเทศและการสื่อสาร ทำให้ การกำหนดยุทธศาสตร์
และกลยุทธ์เปลี่ยนแปลงไป
7) ความเสี่ยงด้านการเงิน (Financial Risk)
หมายถึง ความเสี่ยงต่อการได้รับการสนับสนุนงบประมาณไม่เพียงพอ
และต่อการเบิกจ่าย งบประมาณไม่ทันตามกำหนดเวลา
8) ความเสี่ยงในด้านการบริหารจัดกำร (Management Risk)
หมายถึง ความเสี่ยง เนื่องมาจากการบริหารที่ไม่รัดกุม ไม่มีแผนงาน
ในการดำเนินการที่ดี
9) การใช้เทคโนโลยีสารสนเทศสอดคล้องกับกลยุทธ์ในการดำเนินธุรกิจและการ
เปลี่ยนแปลง ปัจจุบันเทคโนโลยีสารสนเทศเข้ามามีบทบาทสำคัญต่ อการ
ดำเนินธุรกิจขององค์กรมากขึ้น โดยเป็นโครงสร้างพื้นฐานที่ สำคัญที่รองรับ
กลยุทธ์ในการดำเนินธุรกิจ ช่วยเพิ่มประสิทธิภาพ ลดต้นทุนในการดำเนินงาน
และเพิ ่ ม ศั ก ยภาพในการแข่ ง ขั น ตอบสนองต่ อ ความต้ อ งการของลู ก ค้ า
ที่ต้องการผลิตภัณฑ์และบริการที่หลากหลายได้อย่างสะดวกและรวดเร็ว
นอกจากนี้ อ.ส.ค. ยังต้องเตรียมความพร้อมของระบบเทคโนโลยีสารสนเทศ
ให้พร้อมรับการเปลี่ยนแปลงที่เป็นไปอย่างรวดเร็วเพื่อรองรับการดำเนินธุรกิจ
ในอนาคต
3.5.3.2 โครงสร้างการกำกับดูแลความเสี่ยงด้านเทคโนโลยีสารสนเทศ
เพื่อให้มีโครงสร้างและบทบาทหน้าที่ในการกำกับดูแลการดำเนินงานและการบริหา
ร ความเสี่ยงด้านเทคโนโลยีสารสนเทศ ที่เหมาะสมสอดคล้องตามหลักหน่วยกำกับดูแลระดับที่ 3 (3 rd Line of
Defense) ควรมีการดำเนินการดังนี้
1) จัดตั้งคณะกรรมการที่ทำหน้าที่กำกับดูแลความเสี่ยงด้านเทคโนโลยีสารสน
เทศ ดังนี้
1) คณะกรรมการบริ ห ารจั ด การและกำกั บ ดู แ ลการปฏิ บ ั ต ิ ง าน
ด้ า นเทคโนโลยี ส ารสนเทศ (อาทิ IT Steering Committee
หรือคณะกรรมการที่ได้รับมอบหมาย เป็นต้น)
เพื่อดูแลให้มีการกำหนดกลยุทธ์ นโยบาย และแผนงานด้านเทคโนโลยี
สารสนเทศที่ส อดคล้องกับกลยุทธ์ของ อ.ส.ค. รวมทั้งกำกับดูแลและ
ติดตามการดำเนินงานและการบริหารความเสี่ยงด้านเทคโนโลยีสารสนเทศ
นอกจากนี้ อ.ส.ค. อาจพิจารณาให้มีคณะกรรมการ ที่ดูแลงานเฉพาะด้าน
เพิ่มเติม หากเห็นว่างานดังกล่าวมีนัยสำคัญหรือ มีผลกระทบสูงต่อ อ.ส.ค.
อาทิ คณะกรรมการหรื อ อนุ ก รรมการด้ า นความมั ่ น คงปลอดภั ย
ด้านเทคโนโลยีสารสนเทศ เป็นต้น
2) คณะกรรมการกำกับดูแลการบริหารความเสี่ยงด้านเทคโนโลยีสารสนเทศ
(อาทิ คณะกรรมการบริหารความเสี่ยง คณะกรรมการบริหารความเสี่ยง
ด้านปฏิบัติการ คณะกรรมการบริหารความเสี่ยงด้านเทคโนโลยีสารสนเทศ
หรือคณะกรรมการที่ได้รับมอบหมาย เป็นต้น)
เพื่อดูแลให้มีการกำหนดนโยบายการบริหารความเสี่ยงด้านเทคโนโลยีสาร
สนเทศ รวมทั้งกำกับดูแลและติดตามให้เป็นไปตามนโยบายที่กำหนดไว้
โดยมีการเชื่อมโยงกับความเสี่ยงในภาพรวมของ อ.ส.ค. (Enterprise Risk
Management)
3) คณะกรรมการกำกับดูแลการตรวจสอบด้านเทคโนโลยีสารสนเทศ (อาทิ
คณะกรรมการตรวจสอบ หรือคณะกรรมการที่ได้รับมอบหมาย เป็นต้น)
เพื่อให้ อ.ส.ค. มีการตรวจสอบด้านเทคโนโลยีสารสนเทศอย่างเป็นอิสระ
ครอบคลุมถึงการปฏิบัติงานและการบริหารความเสี่ยง
ด้านเทคโนโลยีสารสนเทศ รวมทั้ง การกำกับดูแลการปฏิบัติตามกฎหมาย
และหลักเกณฑ์ที่เกี่ยวข้อง กับเทคโนโลยีสารสนเทศ
2) ปรับปรุงโครงสร้างองค์กร
1) อ.ส.ค.ควรจั ด ให้ ม ี โ ครงสร้ า งองค์ ก รและหน้ า ที ่ ค วามรั บ ผิ ด ชอบเป็ น
ลายลั ก ษณ์ อ ั ก ษร โดยสอดคล้ อ งตามหลั ก การถ่ ว งดุ ล (Check and
Balance) และการแบ่ ง แยกหน้ า ที ่ ค วามรั บ ผิ ด ชอบอย่ า งชั ด เจน
(Segregation of Duties) ระหว่ า งการทำหน้ า ที ่ ป ฏิ บ ั ต ิ ง าน
ด้านเทคโนโลยีสารสนเทศ บริหารความเสี่ยงด้านเทคโนโลยีสารสนเทศ
และตรวจสอบด้านเทคโนโลยีสารสนเทศ
2) อ.ส.ค.ควรดู แ ลให้ม ี ท รั พ ยากรเพี ย งพอที ่ จะสนับ สนุ น การปฏิบ ั ต ิงาน
การบริ ห ารความเสี ่ ย ง การกำกั บ ดู แ ล การปฏิ บ ั ต ิ ต ามกฎหมายและ
หลักเกณฑ์ และการตรวจสอบด้านเทคโนโลยีสารสนเทศ สอดคล้องตาม
ปริมาณธุรกรรม ความซับซ้อนของเทคโนโลยีสารสนเทศ และความเสี่ยง
ที ่ เ กี ่ ย วข้ อ ง อาทิ จั ด ให้ ม ี บ ุ ค ลากร ที ่ ม ี ค วามรู ้ ค วามเชี ่ ย วชาญ
และมีเครื่องมือหรือระบบที่ช่วยสนับสนุนการปฏิบัติงาน เป็นต้น
3) อ.ส.ค.อาจพิจารณาจัดให้มีผู้บริหารระดับสูงหรือหัวหน้าสายงานที่ทำหน้า
ที่บริหารจัดการความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศขององค์กร
(IT Security) โดยควรมีความเป็นอิสระจากหน่วยงาน
ที ่ ท ำหน้ า ที ่ ป ฏิ บ ั ต ิ ง านด้ า นเทคโนโลยี ส ารสนเทศ และควรเป็ น ผู ้ ท ี ่ มี
ความรู ้ ค วามสามารถด้ า นเทคโนโลยี ส ารสนเทศและด้ า นการบริ ห าร
จัดการและรับมือกับภัยคุกคามทางไซเบอร์ อาทิ ได้รับการรับรองความรู้
ความสามารถ ตามมาตรฐานสากล เป็นต้น
3) หน่วยงานที่ทำหน้าที่ปฏิบัติงานด้านเทคโนโลยีสารสนเทศและผู้ใช้งานระบบเ
ทคโนโลยีสารสนเทศ (หน่วยกำกับดูแลระดับต้น (1st Line of Defense) อาทิ
หน่วยงานด้านเทคโนโลยีสารสนเทศ หน่วยงานอื่นที่เป็นผู้ใช้งานระบบ
เป็นต้น
1) หน่ ว ยงานที ่ ท ำหน้ า ที ่ ป ฏิ บ ั ต ิ ง านด้ า นเทคโนโลยี ส ารสน เทศ
มีหน้าที่ปฏิบัติงานตามที่ได้รับมอบหมายรวมทั้งประเมินความเสี่ยงและ
การควบคุ ม ด้ า นเทคโนโลยี ส ารสนเทศ จั ด ให้ ม ี แ นวทางการควบคุ ม
ติ ด ตามและรายงานการปฏิ บ ั ต ิ ง านด้ า นเทคโนโลยี ส ารสนเทศ
โดยนำเสนอต่อคณะกรรมการที่ได้รับมอบหมายและผู้บริหารระดับสูงที่
เกี่ยวข้อง อย่างน้อยครอบ คลุมรายงานดังต่อไปนี้
▪ รายงานผลการปฏิบัติงานด้านเทคโนโลยีสารสนเทศ (IT Operations)
อาทิ สถานะความเพียงพอของทรัพยากรด้านเทคโนโลยีสารสนเทศ
(Capacity and System Utilization) เหตุ ก ารณ์ ผ ิ ด ปกติ
และปัญหาด้านเทคโนโลยีสารสนเทศ (IT Incident and Problem)
ระดับการให้บริการและความพร้อมใช้งานด้านเทคโนโลยีสารสนเทศ
(Service Availability) เป็นต้น
▪ รายงานคว ามคื บ หน้ า ปั ญ หาและอุ ป สรรคในการดำเนิ น
โครงการด้ า นเทคโนโลยีส ารสนเทศ ในภาพรวมและรายโครงการ
ที่สำคัญ
▪ รายงานการติ ด ตามและเฝ้ า ระวั ง ภั ย คุ ก คามความมั ่ น คงปลอดภัย
ด้านเทคโนโลยีสารสนเทศ รวมทั้งแนวโน้มความเสี่ยงและภัยคุกคาม
ที่อาจจะเกิดขึ้นและส่งผลกระทบต่อ อ.ส.ค.
▪ รายงานผลการประเมินความเสี่ยง การติดตามความเสี่ยง และแนวทาง
การควบคุมที่เกี่ยวข้อง
▪ รายงานความคื บ หน้ า การปฏิ บ ั ต ิ ต ามกฎหมายและหลั ก เกณฑ์ ที่
เกี่ยวข้อง
▪ รายงานผลการใช้บริการงานด้านเทคโนโลยีสารสนเทศจากผู้ให้บริการ
ภายนอก
2) ผู้ใช้งานระบบเทคโนโลยีส ารสนเทศ มีห น้าที่ปฏิบัติตามนโยบายและ
ระเบีย บวิธ ีปฏิบัติที่เกี่ยวข้องกับความมั่นคงปลอดภัยด้านเทคโนโลยี
สารสนเทศ รวมทั ้ ง มี ส ่ ว นร่ ว มรั บ ผิ ด ชอบในการประเมิ น และจั ด การ
ความเสี่ยงด้านเทคโนโลยีสารสนเทศที่เกี่ยวข้องจากการใช้งานระบบ
4) หน่ ว ยงานที ่ ท ำหน้ า ที ่ บ ริ ห ารความเสี ่ ย งด้ า นเทคโนโลยี ส ารสนเทศ
หน่วยกำกับดูแลระดับที่ 2 (2 nd Line of Defence) อาทิ หน่วยงานบริหาร
ความเสี่ยง และหน่วยงานกำกับดูแลการปฏิบัติตามกฎหมายและหลักเกณฑ์
1) หน่ ว ยงานที ่ ท ำหน้ า ที ่ บ ริ ห ารความเสี ่ ย ง มี ห น้ า ที ่ ก ำหนดกรอบและ
กระบวนการบริห ารความเสี่ย ง ด้านเทคโนโลยีส ารสนเทศ สนับสนุ น
ให้ ม ี ก ารประเมิ น ความเสี ่ ย งเป็ น ไปตามกรอบการบริ ห ารความเสี ่ ย ง
ที ่ ก ำหนด พร้ อ มทั ้ ง ให้ ค ำปรึ ก ษา ติ ด ตามความเสี ่ ย งและทบทวน
การควบคุมความเสี่ยงด้านเทคโนโลยีสารสนเทศให้อยู่ในระดับความเสี่ยงที่
ยอมรั บ ได้ ของหน่ ว ยกำกั บ ดู แ ลระดั บ ต้ น (1 st Line of Defence)
โดยมีการรวบรวมและเชื่อมโยงความเสี่ยงด้านเทคโนโลยีสารสนเทศกับ
ความเสี่ยงด้านอื่นของ อ.ส.ค. และนำเสนอผลการบริหารความเสี่ยงต่อ
คณะกรรมการที่ทำหน้าที่กำกับดูแลความเสี่ยง
2) หน่วยงานที่ทำหน้าที่กำกับดูแลการปฏิบัติตามกฎหมายและหลักเกณฑ์ที่
เกี่ยวข้องกับเทคโนโลยีสารสนเทศ มีหน้าที่กำหนดกระบวนการติดตาม
ดู แ ล ให้ ค ำปรึ ก ษา สอบทานและรายงานการปฏิ บ ั ต ิ ตามกฎหมาย
และหลักเกณฑ์ที่เกี่ยวข้อง และนำเสนอต่อคณะกรรมการที่เกี่ยวข้อง อาทิ
กฎหมายว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ กฎหมายว่าด้วยการกระทำ
ความผิดเกี่ยวกับคอมพิวเตอร์ กฎหมายว่าด้วยระบบการชำระเงิน เป็นต้น
เพื่อป้องกันการละเมิดหรือการไม่ปฏิบัติตามกฎหมายและหลั กเกณฑ์
ของหน่วยงานกำกับดูแลที่เกี่ยวข้อง
5) หน่วยงานที่ทำหน้าที่ตรวจสอบด้านเทคโนโลยีสารสนเทศ หน่วยกำกับดูแล
ระดั บ ที ่ 3 (3 rd Line of Defense) ซึ ่ ง อาจเป็ น ผู ้ ต รวจสอบภายในหรื อ
ผู้ตรวจสอบภายนอกที่มีความเป็นอิสระจากหน่วยงานที่ทำหน้าที่ปฏิบัติงานด้า
นเทคโนโลยีสารสนเทศและหน่วยงานที่ทำหน้าที่บริหารความเสี่ยงด้านเทคโน
โลยีสารสนเทศ อาทิ หน่วยงานตรวจสอบภายใน เป็นต้น
1) หน่วยงานที่ทำหน้าที่ตรวจสอบ มีหน้าที่ตรวจสอบการปฏิบัติงานและ
การบริ ห ารความเสี ่ ย งของหน่ ว ยกำกั บ ดู แ ลระดั บ ต้ น (1 st Line of
Defense) และ หน่ ว ยกำกั บ ดู แ ลระดั บ ที ่ 2 (2 nd Line of Defense)
รวมถึงงานอื่น ๆ ที่เกี่ยวข้ อง อาทิ การใช้บริการจากผู้ให้บริการภายนอก
ด้ า นเทคโนโลยี ส ารสนเทศ เป็ น ต้ น เพื ่ อ สอบทานให้ ม ั ่ น ใจว่ า
มี ก ารปฏิ บ ั ต ิ ท ี ่ เ ป็ น ไปตามนโยบาย มาตรฐาน และระเบี ย บปฏิ บ ั ติ
ด้านเทคโนโลยีสารสนเทศ
2) กรณี อ.ส.ค. มี ข ้ อ จำกั ด ด้ า นบุ ค ลากรที ่ ไ ม่ เ พี ย งพอหรื อ มี ค วามรู้
ความเชี่ยวชาญด้านการตรวจสอบ เทคโนโลยีสารสนเทศที่ไม่เพีย งพอ
อาจพิจารณาว่าจ้างผู้ตรวจสอบภายนอกที่มีความเป็นอิสระ และได้รับ
มาตรฐานสากลที่ยอมรับโดยทั่วไปในการตรวจสอบเทคโนโลยีสารสนเทศ
ดำเนินการแทนได้
3) มีกระบวนการตรวจสอบด้านเทคโนโลยีสารสนเทศ ที่ครอบคลุมอย่างน้อย
ดังนี้
▪ การวางแผนงานและกำหนดขอบเขตการตรวจสอบ (Planning and
Scoping) ครอบคลุม และสอดคล้องกับความสำคัญและความเสี่ยง
ของการใช้งานเทคโนโลยีส ารสนเทศของ อ.ส.ค. และนโยบายการ
บริหารความเสี่ยงด้านเทคโนโลยี สารสนเทศ โดยแผนงานและขอบเขต
การตรวจสอบต้องได้รับความเห็นชอบจากคณะกรรมการตรวจสอบ
และมี ก ารทบทวนอย่ า งน้ อ ยปี ล ะ 1 ครั ้ ง และทุ ก ครั ้ ง ที ่ มี
การเปลี่ยนแปลงอย่างมีนัยสำคัญ
▪ การตรวจสอบ (Execution) อย่างน้อยปีล ะ 1 ครั้ง ตามแผนงาน
และขอบเขตที ่ ก ำหนด และพิ จ ารณาให้ ม ี ก ารตรวจสอบเมื ่ อ มี
เหตุ ก ารณ์ ผ ิ ด ปกติ ใ นงานด้ า นเทคโนโลยี ส ารสนเทศที ่ ม ี น ั ย สำคั ญ
นอกจากนี้ แนวทางการตรวจสอบควรเป็นไปตามมาตรฐานที่ อ.ส.ค.
กำหนด ซึ ่ ง สอดคล้ อ งกั บ กฎหมายและหลั ก เกณฑ์ ท ี ่ เ กี ่ ย วข้ อ ง
รวมถึงมาตรฐานสากลที่ยอมรับโดยทั่วไป
▪ การวิเคราะห์ (Analysis) นำข้อมูลที่ได้จากการตรวจสอบมาวิเคราะห์
เพื ่ อ สรุ ป ผลการตรวจสอบ และอาจพิ จ ารณาการขยายขอบเขต
การตรวจสอบเพิ ่ ม เติ ม หากมี ค วามจำเป็ น อาทิ พบข้ อ บ่ ง ชี้
ถึงความเสี่ยงที่อาจกระทบต่อ อ.ส.ค. อย่างมีนัยสำคัญ
▪ การรายงานและติ ด ตามผลการตรวจสอบ (Reporting and
follow up) มี ก ารสรุ ป ผลการตรวจสอบและประเด็ น ที ่ ต ้ อ งแก้ ไ ข
กับผู้บริหารของหน่วยงานผู้รับตรวจและจัดทำรายงานผลการตรวจสอ
บ เพื่อนำเสนอต่อคณะกรรมการตรวจสอบและแจ้งให้ผู้บริหารระดับสูง
ที่เกี่ยวข้องรับทราบ ตลอดจนจัดเก็บรายงานผลการตรวจสอบไว้ ที่
อ.ส.ค. พร้ อ มไว้ สำหรั บ การตรวจสอบ น อกจากนี ้ อ.ส.ค.
ต้องจัดให้มีการติดตามการแก้ไขประเด็นที่ตรวจพบภายในระยะเวลาที่
กำหนดและรายงานต่อคณะกรรมการตรวจสอบ
4) อ.ส.ค.ควรจัดให้มีผู้เชี่ยวชาญภายนอกที่เป็นอิสระทำหน้าที่ประเมินระบบ
หรือเทคโนโลยีที่มีความสำคัญ ซึ่ง อ.ส.ค. เห็นว่ามีความจำเป็นต้องประเมิน
แต่มี ข้อจำกัดหรือผู้ตรวจสอบด้านเทคโนโลยีส ารสนเทศ ของ อ.ส.ค.
ไม่ส ามารถประเมินได้ อาทิ การประเมินระบบที่มีความซับซ้อน หรือ
มี ก ารใช้ เ ทคโนโลยี ใ หม่ หรื อ การประเมิ น ความสามารถของระบบ
ในการปรั บ เปลี ่ ย นเพื ่ อ รองรั บ การทำธุ ร กิ จ ของ อ.ส.ค. ในอนาคต
ภายใต้สภาวะการเปลี่ยนแปลงทางเทคโนโลยีที่รวดเร็ว
3.5.3.3 นโยบายที่เกี่ยวข้องกับการกำกับดูแลความเสี่ยงด้านเทคโนโลยีสารสนเทศ
เพื ่ อ ให้ อ.ส.ค. มี ก ารบริ ห ารความเสี ่ ย งด้ า นเทคโนโลยี ส ารสนเทศอย่ า ง
มีประสิทธิภาพและสอดคล้องกับความเสี่ยงด้านเทคโนโลยีสารสนเทศของ อ.ส.ค. ควรดำเนินการดังต่อไปนี้
1) อ.ส.ค.ควรกำหนดให้มีนโยบายเป็นลายลักษณ์อักษรและอยู่ใต้กรอบหลักการ
ที ่ ส ำคั ญ 3 ประการ คื อ การรั ก ษาความลั บ ของระบบและข้ อ มู ล
(Confidentiality) ความถูกต้องเชื่อถือได้ของระบบและข้อมูล (Integrity)
และ ความพร้ อ มใช้ ง านของเทคโนโลยี ส ารสนเทศ อย่ า งน้ อ ยครอบคลุ ม
นโยบายดังต่อไปนี้
1) นโยบายการรักษาความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ (IT
Security Policy)
2) นโยบายการบริ ห ารความเสี ่ ย งด้ า นเทคโนโลยี ส ารสนเทศ (IT Risk
Management Policy)
3) นโยบายการใช้บริการจากผู้ให้บริการภายนอกด้านเทคโนโลยีสารสนเทศ
(IT Outsourcing Policy)
2) นโยบายดังกล่าวควรสอดคล้องกับกลยุทธ์ในการนำเทคโนโลยีมาใช้ในการ
ดำเนินธุรกิจ นโยบายการบริหารความเสี่ยงของ อ.ส.ค. รวมทั้งสอดคล้อง
กับแนวทางบริหารความเสี่ยงและการรักษาความมั่นคงปลอดภัยตามมาตร
ฐานสากลหรือมาตรฐานที่ได้รับการยอมรับโดยทั่วไป
3) นโยบายดังกล่าวต้องได้รับอนุมัติจากคณะกรรมการของ อ.ส.ค. และได้รับ
การทบทวนอย่างน้อยปีละ 1 ครั้ง และเมื่อมีการเปลี่ยนแปลงอย่างมีนัยสำคัญ
รวมทั้งควรจัดให้มีการชี้แจงและสื่อสารนโยบายให้ผู้เกี่ยวข้อง ได้รับทราบ
อย่างทั่วถึงและมีการควบคุมดูแลให้มีการปฏิบัติตามนโยบายได้อย่างถูกต้อง
ครบถ้วน
4) นโยบายการรั ก ษาความมั ่ น คงปลอดภั ย ด้ า นเทคโนโลยี ส ารสนเทศ (IT
Security Policy) ควรรวมถึ ง การรั ก ษาความมั ่ น คงปลอดภั ย ไซเบอร์
โดยครอบคลุมอย่างน้อย
1) การบริ ห ารจั ด การทรั พ ย์ ส ิ น ด้ า นเทคโนโลยี ส ารสนเทศ (IT Asset
Management)
2) การรักษาความมั่นคงปลอดภัยของข้อมูล (Information Security)
3) การควบคุมการเข้าถึง (Access Control)
4) การรักษาความมั่นคงปลอดภัยทางกายภาพและสภาพแวดล้อม (Physical
and Environmental Security)
5) การรั ก ษาคว ามมั ่ น คงปลอดภ ั ย ของระบบเครื อ ข่ า ยสื ่ อ สาร
(Communication Security)
6) การรักษาความมั่งคงปลอดภัยในการปฏิบัติงานด้านเทคโนโลยีสารสนเทศ
(IT Operations Security)
7) การจั ด หาและการพั ฒ นาระบบเทคโนโลยี ส ารสนเทศ ( System
Acquisition and Development)
8) การบริหารจัดการเหตุการณ์ผิดปกติและปัญหาด้านเทคโนโลยีสารสนเทศ
(IT Incident and Problem Management)
9) การจัดทำแผนฉุกเฉินด้านเทคโนโลยีสารสนเทศ
10) การบริหารจัดการผู้ให้บริการภายนอก (Third Party Management)
5) นโยบายการบริ ห ารความเสี ่ ย งด้ า นเทคโนโลยี ส ารสนเทศ ( IT Risk
Management Policy) โดยครอบคลุมอย่างน้อย หัวข้อ
1) โครงสร้างองค์กร
บทบาทหน้าที่ของผู้เกี่ยวข้องในการบริหารความเสี่ยงด้านเทคโนโลยี
สารสนเทศ
2) จัดทำหลักเกณฑ์
ระเบียบวิธีปฏิบัติและกระบวนการในการบริหารความเสี่ยงด้านเทคโนโลยี
สารสนเทศ ดังนี้
▪ การประเมินความเสี่ยง (Risk Assessment)
▪ การวิเคราะห์ความเสี่ยง (Risk Analysis)
▪ การประเมินค่าความเสี่ยง (Risk Evaluation)
▪ การจัดการความเสี่ยง (Risk Treatment)
▪ การติดตามและทบทวนความเสี่ยง (Risk Monitoring and Review)
▪ การรายงานความเสี่ยง (Risk Reporting)
6) นโยบายการใช้บริการจากผู้ให้บริการภายนอกด้านงานเทคโนโลยีสารสนเทศ
(IT Outsourcing Policy) โดยครอบคลุมอย่างน้อย หัวข้อดังต่อไปนี้
1) หลักเกณฑ์การแบ่งประเภทของการใช้บริการจากผู้ให้บริการภายนอกด้าน
งานเทคโนโลยีสารสนเทศ
2) แนวทางการบริหารจัดการความเสี่ยง แนวทางการคัดเลือกผู้ให้บริการ
และแนวทางการประเมินประสิทธิภาพของผู้ให้บริการภายนอกด้านงานเท
คโนโลยีสารสนเทศ
3) แนวทางการรักษาความมั่นคงปลอดภัยของระบบงานและข้อมูล
4) การรายงานผลการประเมินความเสี่ยงและประสิทธิภาพการดำเนินงานขอ
งผู้ให้บริการภายนอก ด้านงานเทคโนโลยีสารสนเทศ
5) การตรวจสอบผู้ให้บริการภายนอกด้านงานเทคโนโลยีสารสนเทศ
6) การคุ ้ ม ครองผู ้ ใ ช้ บ ริ ก ารของ อ.ส.ค. จากการใช้ บ ริ ก ารผู ้ ใ ห้ บ ริ ก าร
ภายนอกด้านงานเทคโนโลยีสารสนเทศ
3.5.4 การจัดการด้านความปลอดภัยระบบดิจิทัล (Security Management)
การรักษาความมั่นคงปลอดภัยระบบดิจิทัล ประกอบด้วยการบริหารจัดการความปลอดภัย
ในด้านต่าง ๆ ดังต่อไปนี้
3.5.4.1 การบริหารจัดการทรัพย์สินด้านเทคโนโลยีสารสนเทศ (IT Asset Management)
เพื่อให้ อ.ส.ค. มีการจัดทำทะเบียนรายการทรัพย์สินด้านเทคโนโลยีสารสนเทศ
อย่างครบถ้วนและควบคุมดูแลทรัพย์สินด้านเทคโนโลยีสารสนเทศให้มีความพร้อมใช้งานและสามารถรองรับ
การดำเนินธุรกิจได้อย่างต่อเนื่อง ประกอบด้วยแนวทางการดำเนินงานดังนี้
1) กำหนดมาตรฐานและระเบียบวิธีปฏิบัติการบริหารจัดการทรัพย์สินด้านเทคโน
โลยี ส ารสนเทศให้ ค รอบคลุ ม การจั ด ทำทะเบี ย นรายการทรั พ ย์ สิ น
การปรับปรุงทะเบียนรายการทรัพย์สิน การยกเลิกและเรียกคืนทรัพย์สิน
2) จัดให้มีหน่วยงานผู้รับผิดชอบในการจัดทำ ปรับปรุงทะเบียนรายการทรัพย์สิน
ด้านเทคโนโลยีสารสนเทศ และบำรุงรักษาทรัพย์สินด้านเทคโนโลยีสารสนเทศ
อย่างสม่ำเสมอ รวมทั้งวางแผนรองรับทรัพย์สินด้านเทคโน โลยีสารสนเทศ
ที่ใกล้จะสิ้นสุดตาม อายุการใช้งาน (End of Life) หรือสิ้นสุดการให้บริการ
(End of Support) จากผู้ผลิตได้อย่างเหมาะสมทันการณ์
3) มี ก ารจั ด ทำทะเบี ย นรายการทรั พ ย์ ส ิ น ด้ า นเทคโนโลยี ส ารสนเทศ ( IT
Inventory List) ของฮาร์ดแวร์ (Hardware) และซอฟต์แวร์ (Software)
ที่ร องรับ ระบบเทคโนโลยีส ารสนเทศของ อ.ส.ค. อย่างครบถ้ว นและเป็ น
ลายลักษณ์อักษร โดยครอบคลุมอย่างน้อย ดังนี้
1) ชื่ออุปกรณ์
2) ชื่อระบบปฏิบัติการ (Operating System) และเวอร์ชั่น (ถ้ามี)
3) ชื่อระบบงาน (Application) และเวอร์ชั่น (ถ้ามี)
4) เจ้าของทรัพย์สิน (Owner)
5) ประเภทของอุปกรณ์ ยี่ห้อ รายละเอียดทางเทคนิค (Specification)
6) หมายเลขอ้ า งอิ ง ของฮาร์ ด แวร์ (Serial Number) และหมายเลข
อ้างอิงของซอฟต์แวร์ (Software License)
7) สถานที่ตั้ง
8) วันที่เริ่มติดตั้ง
9) ประเภทการครอบครอง (ซื้อหรือเช่า)
10) รายละเอียดผู้ให้บริการหรือผู้บำรุงรักษา
11) วันที่บำรุงรักษาล่าสุด
12) วันสิ้นสุดการใช้งานตามสัญญา (Warranty) และวันสิ้นสุด
การรับประกันการใช้งาน (Support Contract)
13) วันสิ้นสุดการให้บริการจากผู้ผลิต (End of Support)
4) มีการปรับปรุงทะเบียนรายการทรัพย์สินด้านเทคโนโลยีสารสนเทศให้เป็นปัจจุ
บันอย่างต่อเนื่อง โดยมีการตรวจสอบทรัพย์สินด้านเทคโนโลยีสารสนเทศ
ที่มีอยู่จริงกับทะเบียนรายการอย่างสม่ำเสมออย่างน้อยปีละ 1 ครั้ง
5) มี ก ระบวนงานในการยกเลิ ก และเรี ย กคื น ทรั พ ย์ ส ิ น (Return Asset)
เมือ่ สิ้นสุดการใช้งานครอบคลุมทั้งทรัพย์สินด้านเทคโนโลยีสารสนเทศที่ใช้งาน
ภายใน อ.ส.ค. และกรณีที่ผู้ให้บริการภายนอกมีการใช้งานทรัพย์ส ิน ของ
อ.ส.ค. ทันทีที่มีการยกเลิกสัญญาจ้างด้วย
3.5.4.2 การรักษาความมั่นคงปลอดภัยของข้อมูล (Information Security)
เพื ่ อ ให้ อ.ส.ค. มี ก ารรั ก ษาความมั ่ น คงปลอดภั ย และความลั บ ของข้ อ มู ล
ครอบคลุมการรับส่งข้อมูล ผ่านเครือข่ายสื่อสาร การจัดเก็บหรือใช้งานบนระบบและสื่อบันทึกข้อมูลต่าง ๆ
ประกอบด้วยแนวทางการดำเนินงานดังนี้
1) การรั ก ษาความมั ่ น คงปลอดภั ย ของข้ อ มู ล (Information Security)
1) กำหนดให้มีเจ้าของข้อมูล (Information Owner) รับผิดชอบในการ
กำหนดผู้ใช้งาน สิทธิการเข้าถึงและ การใช้งานข้อมูลอย่างปลอดภัย
2) กำหนดหลั ก เกณฑ์ ก ารจั ด ชั ้ น ความลั บ ของข้ อ มู ล ( Information
Classification) โดยควรระบุ ช ั ้ น ความลั บ ของข้ อ มู ล (Labeling)
อย่างชัดเจน
3) กำหนดแนวทางการรักษาความมั่นคงปลอดภัยของข้อมูลที่สอดคล้องตาม
ชั้นความลับ ครอบคลุม
▪ ข้อมูลที่อยู่บนอุปกรณ์ที่ใช้ปฏิบัติงาน (Data at Endpoint)
▪ ข้อมูลที่อยู่ระหว่างการรับส่งผ่านเครือข่าย (Data in Transit)
▪ ข้อมูลที่อยู่บนระบบงานและสื่อบันทึกข้อมูล (Data at Rest)
4) กำหนดแนวทางการควบคุมดูแลรักษาความปลอดภัยสื่อบันทึกข้อมูล
ระหว่ า งขนส่ ง (Physical Media Transfer) เพื ่ อ ให้ ม ี ก ารควบคุ ม
การเข้าถึงสื่อที่มีข้อมูลสำคัญในระหว่างการขนส่ง
5) กำหนดมาตรฐานและระเบียบวิธีปฏิบัติการทำลายข้อมูล (Information
Disposal) ครอบคลุม ขอบเขตหน้าที่ ความรับผิดชอบของหน่ ว ยงาน
ที ่ เ กี ่ ย วข้ อ ง วิ ธ ี ก ารทำลายข้ อ มู ล ให้ ส อดคล้ อ งกั บ ระดั บ ความสำคั ญ
ข อ ง ข ้ อ ม ู ล โ ด ย ม ี ก ร ะ บ ว น ก า ร ค ว บ ค ุ ม ก า ร ท ำ ล า ย ข ้ อ มู ล
ที ่ ค รอบคลุ ม การอนุ ม ั ต ิ จ ากหน่ ว ยงานเจ้ า ของข้ อ มู ล ก่ อ นดำเนิ น การ
การควบคุ ม การทำลายในลั ก ษณะ Dual Control การสอบทาน
การปฏิบัติงานโดยหัว หน้างาน รวมทั้งจัดให้มีการจัดทำทะเบีย นการ
ทำลายข้อมูลสำคัญ โดยระบุผู้รับผิดชอบในการทำลายข้อมูล วันที่ เวลา
ชนิดของสื่อบันทึกข้อมูล Serial Number และวิธีการที่ใช้ทำลายข้อมูล
2) การบริหารจัดการการเข้ารหัสข้อมูล (Cryptography) ประกอบด้วย
1) กำหนดมาตรฐานและระเบียบวิธีปฏิบัติการบริหารจัดการการเข้ารหัสข้อมู
ล ครอบคลุม ขอบเขตหน้าที่ ความรับผิดชอบของหน่วยงานที่เกี่ยวข้อง
วิ ธ ี ก ารเข้ า รหั ส ข้ อ มู ล (Cryptographic Algorithm) ที ่ ส อดคล้ อ ง
ตามระดั บ ความสำคั ญ ของข้ อ มู ล และการบริ ห ารจั ด การกุ ญ แจ
เข้ารหัสข้อมูล (Key Management)
2) กำหนดให้มีการเข้ารหัสข้อมูลสำคัญและช่องทางการสื่อสารที่ใช้รับส่ง
ข้อมูลสำคัญกับภายนอก
3) วิธีการเข้ารหัสข้อมูล
ควรใช้มาตรฐานการเข้ารหัสข้อมูลที่เชื่อถือได้และเป็นมาตรฐานสากล
อาทิ การเข้ารหัสข้อมูลแบบสมมาตร (อาทิ AES) การเข้ารหัสข้อมูล
แบบสมมาตร (อาทิ Public Key Cryptography) เป็นต้น โดยมีการ
ทบทวนประสิทธิภาพของวิธีการเข้ารหัสข้อมูลอย่างสม่ำเสมอ เพื่อให้
มั่นใจว่าวิธีการเข้ารหัสข้อมูล ที่ใช้งานยังคงมีความแข็งแรงเพียงพอ
4) การบริ ห ารจั ด การกุ ญ แจเข้ า รหั ส ข้ อ มู ล ( Key Management)
ควรกำหนดกระบวนการที ่ ม ี ค วามรั ด กุ ม ปลอดภั ย ครอบคลุ ม ตั ้ ง แต่
การสร้างและติดตั้ง การจัดเก็บ และการยกเลิกกุญแจเข้ารหัสข้อมูล
5) การสร้างและติดตั้งกุญแจเข้ารหัสข้อมูล
▪ มีการควบคุมสภาพแวดล้อมในการสร้างรหัสที่มีความรัดกุมปลอดภัย
อาทิ เลือกใช้ผู้ให้บริการออกใบรับรอง (Certification Authority)
ที ่ น ่ า เชื ่ อ ถื อ มี ข ั ้ น ตอนการทำลายหลั ก ฐานที ่ ใ ช้ ห ลั ง จากสร้ า ง
กุญแจแล้วเสร็จ
▪ กุญแจเข้ารหัส ข้อมูล จะต้ องไม่มี พนั กงานหรื อบุ คคลใดบุ คคลหนึ่ ง
รู้รหัสทั้งหมด
▪ กำหนดขนาดของกุญแจเข้ารหัสข้อมูลที่มีความยาวเพียงพอในการป้อง
กันการถูกถอดรหัส อาทิ การถูกโจมตีแบบ brute force เป็นต้น
▪ การแลกเปลี่ยนกุญแจต้องผ่านกระบวนการและช่องทางที่ปลอดภัย
▪ กำหนดไม่ให้ใช้กุญแจเข้ารหัสข้อมูลเดียวกันกับหลายระบบงาน
6) การจัดเก็บกุญแจเข้ารหัสข้อมูล
▪ มีการรักษาความปลอดภัยของกุญแจเข้ารหัสข้อมูลทั้งด้าน physical
และ logical โดยใช้อุปกรณ์รักษาความปลอดภัย HSM หรืออุปกรณ์
ที่ทำหน้าที่ในลักษณะเดียวกัน
▪ มีการสำรองข้อมูลกุญแจเข้ารหัสข้อมูล โดยวิธีการเก็บรักษากุญแจ
เข้ารหัสข้อมูลชุดสำรองต้องมี การรักษาความปลอดภัยในระดับเดียว
กับกุญแจเข้ารหัสข้อมูลชุดหลัก
7) การเปลี่ยนและเพิกถอนกุญแจเข้ารหัสข้อมูล
▪ กำหนดเกณฑ์และแนวทางในการเปลี่ยนและเพิกถอนกุญแจเข้ารหัส
ข้อมูล อาทิ กรณีกุญแจหมดอายุล้าสมัย หรือไม่ปลอดภัย เป็นต้น
▪ กำหนดกระบวนการทำลายกุญแจ
โดยต้องมั่นใจว่าไม่สามารถนำกุญแจนั้นมาใช้งานได้อีก
3.5.4.3 การรักษาความมั่งคงปลอดภัยในการปฏิบัติงานด้ านเทคโนโลยีส ารสนเทศ (IT
Operations Security)
ประกอบด้วยการบริหารจัดการในด้านต่าง ๆ ดังนี้
1) การบริหารจัดการการเปลี่ยนแปลง (Change Management)
มีแนวทางดำเนินการดังต่อไปนี้
1) กำหนดมาตรฐานและระเบียบวิธีปฏิบัติการบริหารจัดการการเปลี่ยนแปลง
อย่างเป็นลายลักษณ์อักษร เพื่อควบคุมการเปลี่ยนแปลงโครงสร้างพื้นฐาน
ด้านเทคโนโลยีสารสนเทศให้มีความรัดกุมเพียงพอ อาทิ การนำระบบขึ้น
ใช้งานจริง การตั้งค่าระบบ การติดตั้ ง Patch บนระบบที่ให้บริการจริง
2) กำหนดบทบาทหน้าที่และความรับผิดชอบของผู้บริหารที่ได้รับมอบหมาย
หรือคณะกรรมการบริหารจัดการการเปลี่ยนแปลง (Change Advisory
Board: CAB) ซึ ่ ง ควรประกอบด้ ว ยผู ้ บ ริ ห ารจากหน่ ว ยงาน
เทคโนโลยี ส ารสนเทศ และหน่ ว ยงานผู ้ ใ ช้ ง านเทคโนโลยี ส ารสนเทศ
ที่เกี่ยวข้องเพื่อทำหน้าที่ประเมินผลกระทบและพิจารณาเหตุผลความจำเป็
นก่ อ นอนุ ม ั ต ิ ใ ห้ ด ำเนิ น การเปลี ่ ย นแปลงระบบ ป้ อ งกั น การแก้ ไ ข
เปลี ่ ย นแปลง โดยไม่ ไ ด้ ร ั บ อนุ ญ าตและไม่ ใ ห้ เ กิ ด ผลกระทบ
ที่อาจเกิดกับระบบที่เกี่ยวข้อง โดยครอบคลุมอย่างน้อย ดังนี้
▪ ผลการประเมิ น ความเสี ่ ย งและผลกระทบของการเปลี ่ ย นแปลง
โดยมี ห น่ ว ยงานเจ้ า ของระบบและ ผู ้ ม ี ห น้ า ที ่ เ กี ่ ย วข้ อ งทำการ
ประเมิ น องค์ ป ระกอบที ่ เ กี ่ย วข้ อ ง ได้ แ ก่ ระบบโครงสร้ า งพื ้นฐาน
เครื อ ข่ า ยสื ่ อ สาร และการเชื ่ อ มต่ อ กั บ ระบบอื ่ น เพื ่ อ ให้ ม ั ่ น ใจ
ได้ว ่าการเปลี่ยนแปลงนั้น ไม่กระทบต่อการรักษา ความปลอดภัย
ความถูกต้องเชื่อถือได้และความพร้อมใช้ของระบบ
▪ ผลการทดสอบ เพื่อให้มั่นใจว่าระบบได้ผ่านการทดสอบอย่างครบถ้วน
เหมาะสมตาม มาตรฐานและระเบียบวิธีปฏิบัติของ อ.ส.ค.
▪ ข้ อ จำกั ด หรื อ ปั ญ หาต่ า ง ๆ ที ่ พ บในระหว่ า งการทดสอบได้ รั บ
การแก้ไขอย่างเหมาะสม
▪ แผนย้อนกลับ (Roll Back Plan) กรณีที่ทำการเปลี่ยนแปลงไม่สำเร็จ
เพื่อรองรับปัญหาขัดข้อง ระหว่างการเปลี่ยนแปลง
▪ ตารางเวลาการเปลี ่ ย นแปลงในภาพรวม (Change Calendar)
เพื่อบริหารทรัพยากรและลดความเสี่ยงหรือผลกระทบที่อาจเกิดขึ้น
นอกจากนี้ผู้บริหารที่ได้รั บมอบหมายหรือ CAB ควรมีการติดตามผล
หลั ง การเปลี ่ ย นแปลงระบบ (Post Implementation Review)
เพื่อให้มั่นใจได้ว่าการเปลี่ยนแปลงนั้นเป็นไปตามวัตถุประสงค์ที่กำหนด
3) ผู้ที่เกี่ยวข้องในกระบวนการบริห ารจัดการการเปลี่ยนแปลงควรมี การ
แบ่ ง แยกหน้ า ที ่ อ ย่ า งเหมาะสม (Segregation of Duties) เพื ่ อ ไม่ ใ ห้
บุคคลใดบุคคลหนึ่งสามารถปฏิบัติงานได้ตั้งแต่ต้นจนจบกระบวนการ อาทิ
ผู้มีสิทธิ์ร้องขอ ผู้ที่มีอำนาจในการอนุมัติการเปลี่ยนแปลง ผู้ที่สามารถ
ดำเนินการเปลี่ยนแปลงระบบ เป็นต้น
4) มีหลักเกณฑ์ในการจัดประเภทการเปลี่ยนแปลงระบบตามความเสี่ยงและค
วามสำคั ญ ที ่ ช ั ด เจน อาทิ การเปลี ่ ย นแปลงมาตรฐานที ่ ไ ด้ รั บ
อนุ ม ั ต ิ เ ป็ น การทั ่ ว ไป (Standard Change) การเปลี ่ ย นแปลงที ่ ต ้ อ ง
ขออนุ ม ั ต ิ ต ามกระบวนการปกติ ( Normal Change) และการ
เปลี่ยนแปลงที่ต้องดำเนินการอย่างเร่งด่วน (Emergency Change) โดย
อ.ส.ค. ควรกำหนดกระบวนงานและขั้นตอนในการจัดการการเปลี่ยนแปลง
ตามแต่ละประเภทอย่างเหมาะสม
5) กรณีการเปลี่ยนแปลงที่ต้องดำเนินการอย่างเร่งด่วน ควรมีกระบวนงาน
ในการพิจารณาความเสี่ยง และผลกระทบ รวมถึงขออนุมัติจากผู้บริหารที่
ได้ ร ั บ มอบหมายให้ ส ามารถตั ด สิ น ใจได้ ก รณี เ ร่ ง ด่ ว น โดยภายหลั ง
ดำเนินการให้มี การรายงานผู้บริหารที่เกี่ยวข้องและ CAB ได้รับทราบ
โดยเร็ว
6) คำขอการเปลี ่ ย นแปลง (Change Request) ควรได้ ร ั บ การอนุ ม ั ติ
จากหน่ ว ยงานเจ้ า ของระบบ (System Owner) เพื ่ อ ให้ ม ั ่ น ใจ
ได้ว่าการขอเปลี่ยนแปลงได้รับการพิจารณาความจำเป็นอย่างเหมาะสมจา
กหน่วยงานเจ้าของระบบ
7) มี ร ะบบหรื อ ทะเบี ย นในการจั ด เก็ บ คำขอเปลี ่ ย นแปลงและเอกสาร
รายละเอียดที่เกี่ยวข้องเพื่อใช้ควบคุม การปฏิบัติงานตั้งแต่ต้นจนจบ
กระบวนการ และสามารถใช้ในการติดตามและสอบทานการปฏิบัติงานได้
8) มี ก ารจั ด เก็ บ การเปลี ่ ย นแปลงของโครงสร้ า งพื ้ น ฐานด้ า นเทคโนโลยี
สารสนเทศ (Version Control) อาทิ การนำระบบขึ ้ น ใช้ ง านจริ ง
การตั้งค่าระบบ การติดตั้ง Patch บนระบบที่ให้บ ริ การจริง เป็น ต้ น
เพื่อควบคุม ความเสี่ยงในการเปลี่ยนแปลงและลด
ข้อผิดพลาดที่อาจเกิดขึ้น
9) มีการประเมินผลกระทบหรือทำการทดสอบบนระบบที่มีสภาพแวดล้อม
ใกล้เคียงกับระบบที่ให้บริการจริง ก่อนนำไปตั้งค่าบนระบบที่ให้บริการจริง
เพื่อลดความเสี่ยงและผลกระทบที่อาจเกิดขึ้น
2) การบริหารจัดการการตั้งค่าระบบ (System Configuration Management)
มีแนวทางการดำเนินงานดังต่อไปนี้
1) จัดทำเอกสาร Minimum Baseline Standard เพื่อใช้เป็นมาตรฐาน
การตั้งค่าของระบบปฏิบัติการ ระบบฐานข้อมูล และอุปกรณ์เครือข่าย
สื่อสารต่าง ๆ อย่างเป็นลายลักษณ์อักษร โดยมีการทบทวนปรับปรุ ง
เอกสารให้เป็นปัจจุบันอย่างสม่ำเสมอ
2) การเปลี ่ ย นแปลงการตั ้ ง ค่ า บนระบบที ่ ใ ห้ บ ริ ก ารจริ ง ต้ อ งผ่ า น
กระบวนการบริ ห ารจั ด การการเปลี ่ ย นแปลง ที ่ อ.ส.ค. กำหนด
เพื่อป้องกันความเสี่ยงหรือข้อผิดพลาดในการปฏิบัติงาน
3) มี ก ารจั ด เก็ บ การเปลี ่ ย นแปลงของการตั ้ ง ค่ า ระบบของทุ ก อุ ป กรณ์
ระบบและระบบงาน (System Configuration Version Control)
โดยมีการรักษาความปลอดภัยที่รัดกุมเพียงพอ
4) มีการสอบทานการตั้งค่าจากหน่วยงานที่มีหน้าที่ควบคุมดูแลความปลอดภั
ยหรื อ ความเสี ่ ย งด้ า นเทคโนโลยี อ ย่ า งสม่ ำ เสมอ เพื ่ อ ให้ ส อดคล้ อ ง
ตามมาตรฐานของ อ.ส.ค.
5) กรณีมีความจำเป็นต้องตั้งค่าที่ไม่เป็นไปตามเอกสาร Minimum Baseline
Standard ควรผ่ า นกระบวนการขออนุ ม ั ต ิ ย กเว้ น (Exception)
เพื่อประเมินความเสี่ยงและพิจารณาแนวทางควบคุมความเสี่ยงที่เพียงพอเ
หมาะสมก่อนดำเนินการ
3) การบริหารจัดการ Patch (Patch Management)
1) กำหนดมาตรฐานและระเบียบวิธีปฏิบัติในกระบวนการบริหารจัดการ
Patch ที ่ ค รอบคลุ ม การตรวจสอบความถู ก ต้ อ งของ Patch
และการประเมิ น ความเสี ่ ย งและความจำเป็ น ในการติ ด ตั ้ ง Patch
ใหม่จากผู้ผลิตอย่างเหมาะสมทันการณ์
2) มี ก ารจั ด เก็ บ การเปลี ่ ย นแปลงการติ ด ตั ้ ง ของทุ ก อุ ป กรณ์ ระบบและ
ระบบงาน (Patch Version Control) โดยมีการรักษาความปลอดภัย
ที่รัดกุมเพียงพอ
3) มีกระบวนการทดสอบ Patch ที่ออกใหม่ทุกครั้งก่อนนำไปติดตั้งบนระบบ
ที่ให้บริการจริง
4) การติ ด ตั ้ ง Patch บนระบบที ่ ใ ห้ บ ริ ก ารจริ ง ต้ อ งผ่ า นกระบวนการ
บริหารจัดการการเปลี่ยนแปลงที่ อ.ส.ค. กำหนด เพื่อป้องกันความเสี่ยง
หรือข้อผิดพลาดในการปฏิบัติงาน
5) มีการทบทวนและปรับปรุงกระบวนการบริหารจัดการ Patch อย่างสม่ำ
เสมอ เพื่อให้มั่นใจได้ว่า อ.ส.ค. สามารถทดสอบและติดตั้ง Patch ด้านการ
รั ก ษาความปลอดภั ย ได้ ท ั น ต่ อ สถานการณ์ ท ี ่ เ ปลี ่ ย นไปและสามารถ
รองรับความเสี่ยงที่เพิ่มขึ้นได้อย่างรวดเร็ว
4) การจัดเก็บข้อมูลบันทึกเหตุการณ์ (Logging)
1) มี ก ารจั ด เก็ บ ข้ อ มู ล บั น ทึ ก เหตุ ก ารณ์ ข องเครื ่ อ งคอมพิ ว เตอร์ แ ม่ ข ่ า ย
ระบบงาน อุ ป กรณ์ เ ครื อ ข่ า ยสื ่ อ สารที ่ ส ำคั ญ ด้ ว ยวิ ธ ี ก ารที ่ ป ลอดภั ย
โดยมีรายละเอียดที่ครบถ้วนเพียงพอที่จะใช้เป็นหลักฐานในการตรวจสอบ
ที่สามารถระบุตัวบุคคลผู้กระทำได้ และจัดเก็บย้อนหลังเป็นระยะเวลา
อย่างน้อย 90 วัน หรือตามกฎหมายที่เกี่ยวข้องกำหนด
2) มี ก ารใช้ ร ะบบในการควบคุ ม ค่ า เวลาของเครื ่ อ งแม่ ข ่ า ย ระบบงาน
อุ ป กรณ์ เ ครื อ ข่ า ยสื ่ อ สารให้ ต รงกั บ เครื ่ อ งแม่ ข ่ า ย Network Time
Protocol : NTP (Clock Synchronization) เพื่อให้ค่ าเวลาในการ
บันทึกเหตุการณ์มีความถูกต้องในลักษณะ Real-Time ซึ่งเครื่องแม่ข่าย
NTP ต้องรับสัญญาณนา ฬิกาจากแหล่งที่มีความน่าเชื่อถือ
3) ข้อมูลการบันทึกเหตุการณ์ของอุปกรณ์สำคัญควรจัดเก็บไว้ที่เครื่องแม่ข่าย
ที่แยกเฉพาะ อย่างน้อยครอบคลุ ม Access Log และ Activity Log
โดยมี ก ารรั ก ษาความปลอดภั ย ที ่ ร ั ด กุ ม เพี ย งพอในการป้ อ งกั น การ
เปลี่ยนแปลง แก้ไข หรือทำลาย
4) มีการสอบทานบันทึกการเข้าถึง (Access Log) และบันทึกการดำเนินงาน
(Activity Log) ของผู้ปฏิบัติงานด้านเทคโนโลยีสารสนเทศ ที่มีสิทธิ์สูง
อย่างสม่ำเสมอ อาทิ System Administrator หรือ System Operator
เป็นต้น เพื่อให้มั่นใจได้ว่าผู้ปฏิบัติงานเข้าถึงและปฏิบัติงานตามขอบเขต
หน้าที่ที่ได้รับมอบหมาย
5) การติดตามดูแลระบบและเฝ้าระวังภัยคุกคาม (Security Monitoring)
1) กำหนดมาตรฐานและระเบียบวิธีปฏิบัติในการติดตามดูแลระบบและเฝ้าระ
วั ง ภั ย คุ ก คาม เพื ่ อ ให้ ม ี ก ารติ ด ตามดู แ ลความปลอดภั ย ของระบบ
อย่างต่อเนื่อง
2) กำหนดกระบวนงานหรือเครื่องมือในการตรวจจับเหตุการณ์ผิดปกติที่
กระทบต่อความปลอดภัยของระบบที่สำคัญอย่างทันท่วงที ครอบคลุ ม
ระบบงานและระบบเครือข่ายสื่อสารทั้งในเชิง Physical และ Logical
เพื่อให้ร ับทราบความผิดปกติห รือภัยคุกคาม และสามารถดำเนินการ
ป้องกันหรือรับมือได้อย่างเหมาะสม
3) มีกระบวนงานหรือเครื่องมือในการรับข้อมูลจากแหล่งข้อมูลที่เชื่อถือได้
มีการวิเคราะห์และจัดการข้อมูล ภัยคุกคามที่อาจเกิดขึ้นอย่างต่อเนื่อง
ครอบคลุม ลักษณะการโจมตี ความเป็นไปได้ที่จะเกิดเหตุการณ์ ภัยคุกคาม
รวมถึงวิธีการรับมือกับภัยคุกคามนั้น เพื่อนำมาใช้สนับสนุนการรับมือ
ต่อภัยคุกคามเครือข่าย Internet
4) กำหนดให้มีผู้รับผิดชอบในการประสานงานแลกเปลี่ยนข้อมูลภัยคุกคาม
ระหว่ า ง อ.ส.ค. และหน่ ว ยงาน ที ่ เ กี ่ ย วข้ อ ง รวมทั ้ ง มี ก ระบวนการ
และช่ อ งทางในการรายงาน แลกเปลี ่ ย น ติ ด ตาม เพื ่ อ ป้ อ งกั น
รับมือและแก้ไขภัยคุกคาม
5) ในกรณีที่พบภัยคุกคามที่ส่งผลกระทบอย่างมีนัยสำคัญ อ.ส.ค. ควรจัดให้มี
การรายงานผู้บริหารหรือคณะกรรมการที่เกี่ยวข้อง รวมทั้งมีการรายงาน
หน่วยงานกำกับดูแลที่เกี่ยวข้อง รวมทั้งจัดให้มีกระบวนการ ตรวจพิสูจน์
พยานหลักฐานทางดิจิทัล (Digital Forensic) โดยผู้ที่มี ความเชี่ยวชาญ
เพื่อให้ทราบสาเหตุ หรือช่องโหว่ของระบบ และสามารถดำเนินการปิด
ช่องโหว่และป้องกันความเสี่ยงที่อาจเกิดขึ้นอีก
6) การบริ ห ารจั ด การช่ อ งโหว่ แ ละการทดสอบเจาะระบบ (Vulnerability
Management and Penetration Test) มีแนวทางการดำเนินงานดังต่อไปนี้
1) มีกระบวนงานและเครื่ องมือ ในการประเมินช่ องโหว่ (Vulnerability
Assessment) โดย อ.ส.ค. ควรกำหนดขอบเขตและความถี ่ ข อง
การประเมิ น ช่ อ งโหว่ ใ ห้ ค รอบคลุ ม ทุ ก ระบบงานอย่ า งสม่ ำ เสมอตาม
ระดับความเสี่ยง สำหรับระบบบงานสำคัญควรจัดทำอย่างน้อยปีละ 1 ครั้ง
และเมื่อมีการเปลี่ยนแปลงอย่างมีนัยสำคัญ
2) มีการรายงานผลการประเมินช่องโหว่ไปยังผู้รับผิดชอบ รวมทั้งมีการ
ติ ด ตามการดำเนิ น การปรั บ ปรุ ง แก้ ไ ข และนำเสนอความคื บ หน้ า
การดำเนินงาน
3) มี ก ารทดสอบเจาะระบบ (Penetration Test) โดยผู ้ เ ชี ่ ย วชาญ
ที่มีความอิส ระ ครอบคลุมระบบงานและระบบเครือข่ายกับระบบที่ มี
การเชื่อมต่อกับเครือข่ายสาธารณะ (Internet Facing) อย่างน้อยปีละ 1
ครั้ง และเมื่อมีการเปลี่ยนแปลงอย่างมีนัยสำคัญ
4) มี ก ารรายงานผลการทดสอบเจาะระบบไปยั ง ผู ้ ร ั บ ผิ ด ชอบ รวมทั ้ ง มี
การติ ด ตามการดำเนิ น การปรั บ ปรุง แก้ ไ ข และนำเสนอความคื บหน้า
การดำเนินการต่อคณะกรรมการหรือผู้บริหารที่ได้รับมอบหมาย
5) มีกระบวนงานรวบรวมและวิเคราะห์ช่องโหว่ทางด้านเทคนิคที่ตรวจพบ
เพื่อกำหนดเป็นมาตรการรักษาความมั่นคงปลอดภัยของระบบงานที่จะมี
การพัฒนาในอนาคต
7) การสำรองข้อมูล (Data Backup)
1) กำหนดมาตรฐานและระเบี ย บวิ ธ ี ป ฏิ บ ั ต ิ ก ารสำรองข้ อ มู ล เพื ่ อ ให้ มี
ข้อมูลสำรองพร้อมใช้และมีความปลอดภัย โดยครอบคลุมอย่างน้อย
▪ วิธีการ เทคโนโลยีและรอบระยะเวลาที่ใช้ในการสำรองข้อมูล โดยควร
สอดคล้ อ งกั บ เป้ า หมายระยะเวลาสู ง สุ ด ที ่ ย อมให้ ข ้ อ มู ล เสี ย หาย
(Recovery Point Objective : RPO) ที่กำหนด
▪ รอบระยะเวลาและวิธีการทดสอบความพร้อมใช้ของข้อมูลสำรอง
2) มี ก ระบวนการสำรองทั ้ ง ระบบ (Full Backup) ทุ ก ครั ้ ง ภายหลัง จาก
ที ่ ม ี ก ารเปลี ่ ย นแปลงระบบปฏิ บ ั ต ิ ก าร และระบบงาน เพื ่ อ ให้ ร ะบบ
สำรองมีความเป็นปัจจุบัน
3) มีระบบหรือทะเบียนควบคุมการจัดเก็บและเรียกใช้งานสื่อบันทึกข้อมูล
ตามประเภทของสื่อที่จัดเก็บ โดยมีการระบุข้อมูล ชื่อ วันที่ และช่วงเวลา
ที่จัดเก็บ ที่สามารถติดตามตรวจสอบได้
4) มีการจัดเก็บสื่อบันทึกข้อมูลสำรองไว้นอกศูนย์คอมพิวเตอร์หลักหรือนอก
สถานที่ปฏิบัติงานหลัก โดยมีการรักษาสภาพแวดล้อมและการควบคุม
ความปลอดภั ย ในการเข้ า ถึ ง ข้ อ มู ล ที ่ จ ั ด เก็ บ ไว้ เที ย บเคี ย งกั บ
ศูนย์คอมพิวเตอร์หลัก
5) จัดให้มีการสอบทานการสำรองข้อมูล เพื่อให้มั่นใจว่ามีการสำรองข้อมูล
ครบถ้ ว นถู ก ต้ อ งพร้ อ มใช ้ ง าน และปลอดภ ั ย ตามมาตรฐ า น
และระเบียบวิธีปฏิบัติของ อ.ส.ค.
8) การรักษาความปลอดภัยในอุปกรณ์ที่ใช้ปฏิบัติงาน (Endpoint Security)
1) กำหนดมาตรฐานและระเบี ย บวิ ธ ี ป ฏิ บ ั ต ิ ก ารรั ก ษาความปลอดภั ย ใน
อุป กรณ์ที่ใช้ปฏิบัติงานเป็นลายลักษณ์อั กษร ทั้งอุปกรณ์ของ อ.ส.ค.
และอุปกรณ์ส่วนตัว (Bring Your Own Device : BYOD) อาทิ Personal
Computer, Notebook, Tablet, Smartphone, Removable Media
เป็ น ต้ น เพื ่ อ ให้ อ.ส.ค. มี แ นวทางที ่ ใ ช้ ใ นการควบคุ ม ความเสี ่ ย ง
จากการใช้งานอุปกรณ์ดังกล่าว
2) กำหนด Security Baseline สำหรับอุปกรณ์ที่ใช้ปฏิบัติงานของ อ.ส.ค.
เพื่อป้องกันความเสี่ยงที่อุปกรณ์เหล่านั้ นอาจเป็นช่องทางในการแพร่
กระจายของโปรแกรมไม่ประสงค์ดี (Malware) และการรั่วไหลของข้อมูล
สำคัญตามระดับความเสี่ยงที่เหมาะสม โดยอย่างน้อยครอบคลุม ดังนี้
▪ ติดตั้งระบบปฏิบัติการและโปรแกรมพื้นฐานที่ใช้ในการปฏิบัติงานบน
เครื ่ อ งคอมพิ ว เตอร์ (Personal Computer, Noteb ook)
โดยมีกระบวนงานหรือเครื่องมือในการควบคุมและติดตามไม่ให้ผู้ใช้
งานสามารถติดตั้งโปรแกรมอื่น ๆ นอกเหนือจากที่ อ.ส.ค. กำหนด
▪ ติดตั้งโปรแกรมรักษาความปลอดภัย อาทิ anti-Virus/ anti-malware,
Host-based Intrusion Prevention System (HIPS) เป็ น ต้ น
โดยมีการปรับปรุงประสิทธิภาพของการป้องกันโปรแกรม ไม่ประสงค์ดี
(Malware) ให้ เ พี ย งพอและเป็ น ปั จ จุ บ ั น เพื ่ อ ให้ เ ท่ า ทั น ในการ
ป้องกันภัยคุกคามใหม่ ๆ
▪ ควบคุมไม่ให้มีการจัดเก็บข้อมูลที่มีระดับชั้นความลับสูงสุดในเครื่อง
คอมพิวเตอร์ของผู้ใช้งาน แต่หากมีความจำเป็นต้องจัดเก็บ ต้องมีการ
รักษาความปลอดภัยที่รัดกุมเพียงพอ อาทิ มีการเข้ารหัส เป็นต้น
▪ มีกระบวนงานหรือเครื่องมือในการตรวจจับ (Detect) คัดกรอง (Filter)
สกัดกั้น (Block) เพื่อป้องกันข้อมูลสำคัญรั่ว ไหล (Data Leakage
Prevention : DLP)
▪ จำกัดการเข้าถึง Shared Drive หรือ Shared Folder ตามความจำเป็น
ในการใช้งานเท่านั้น
▪ การควบคุ ม การใช้ ง านอิ น เตอร์ เ น็ ต โดย อ.ส.ค. ควรมี เ ครื ่ อ งมื อ
ในการควบคุมให้อุปกรณ์ที่สามารถเชื่อมต่ออินเตอร์เน็ตเข้าถึงเฉพาะ
เว็บไซต์ที่ได้รับอนุญาตเท่านั้น รวมถึงมีการจำกัดการดาวน์โหลดหรือ
อัพโหลดข้อมูลจากอินเตอร์เน็ต
▪ การควบคุมการใช้สื่อบันทึกข้อมูลพกพา (Removable Media) อาทิ
กำหนดแนวทางการอนุญาตให้ใช้งาน Universal Serial Bus (USB)
หรือ External Harddisk เป็นต้น
▪ การควบคุมการใช้ Email อาทิ กำหนดแนวทางการใช้งาน Email
3) มีกระบวนงานบริหารจัดการอุปกรณ์ส่วนตัว (Bring Your Own Device :
BYOD) ตั้งแต่การลงทะเบียน การต่ออายุ และการยกเลิกการใช้งาน BYOD
อย่างน้อยครอบคลุมตามรายละเอียดดังต่อไปนี้
▪ การควบคุ ม การใช้ BYOD ในการเข้ า ถึ ง ระบบเครื อ ข่ า ยสื ่ อ สาร
ระบบงานและข้อมูล ของ อ.ส.ค.
▪ มี ก ระบวนการตรวจสอบ วิ เ คราะห์ และติ ด ตามความเสี ่ ย ง
ของอุปกรณ์ที่นำมาใช้งานใน อ.ส.ค.
▪ กำหนดรหัสผ่านเพื่อใช้ในการล็อคหรือปลดล็อคในการเข้าถึงอุปกรณ์
ส่วนตัว
▪ กรณี เ ครื ่ อ งคอมพิ ว เตอร์ (Personal Computer, Notebook)
ต้องติดตั้ง anti-virus/ anti-malware หรือโปรแกรมตามที่ อ.ส.ค.
กำหนด
▪ ไม่อนุญาตให้อุปกรณ์โ ทรศัพท์เคลื่อนที่ (Tablet, Smartphone)
ที่ถูกปรับแต่ง (Rooted หรือ Jailbroken) ลงทะเบียนใช้งาน BYOD
▪ ใช้วิธีการพิสูจน์ตัวตนอุปกรณ์ที่เชื่อถือได้ขององค์กร อาทิ Trusted
Root Certification Authorities, Digital Certificate เป็นต้น
3.6 การเฝ้าระวังและบริหารจัดการระบบ (System Monitoring and Management)

การเฝ้ า ระวั ง และบริ ห ารจั ดการระบบ (System Monitoring and Management) เป็ น กรอบ
การบริ ห ารจั ด การระบบโครงสร้ า งพื ้ น ฐานเทคโนโลยี ด ิ จ ิ ท ั ล ( Digital Infrastructure System)
ที่มีการใช้งานร่วมกันทั้งองค์กร ให้มีการบริการที่ได้มาตรฐานและมีความเชื่อถือได้ของระบบ (Reliability) ที่ดี
ซึ ่ ง กรอบการเฝ้ า ระวั ง และบริ ห ารจั ด การระบบประกอบด้ ว ยส่ ว นสำคั ญ อย่ า งน้ อ ย ได้ แ ก่ การจั ด การ
ระบบเทคโนโลยี (ITSM/ITIL) การจัดการข้อมูลผู้ใช้งานระบบ (User Profile) การจัดการ ระบบเครือข่ายข้อมูล
(Network Management) และการจัดการปัญหาและการสำรองข้อมูล (Fault/DRP Management)
3.6.1 กรอบการจัดการระบบเทคโนโลยี (ITSM/ITIL)
กรอบการจั ด การระบบเทคโนโลยี (ITSM/ITIL) เป็ น รู ป แบบการจั ด การในระดั บ สากล
ซึ่งเป็นที่ยอมรับอย่างกว้างขวางในการใช้เป็นเครื่องมือและข้อปฏิบัติในการให้บริการด้านเทคโนโลยีดิจิทัล
ประกอบด้วยส่วนสำคัญ 2 ส่วนคือ IT Service Management (ITSM) และ IT Infrastructure Library (ITIL)
ซึ ่ ง ทั ้ ง 2 ส่ ว น จะมี ค วามเกี ่ ย วโยงกั น อย่ า งมากในการประยุ ก ต์ ใ ช้ งานเพื ่ อ การบริ ห ารจั ด การ
ระบบเทคโนโลยีดิจิทัลให้ได้ประสิทธิภาพสูงสุด ซึ่งกล่าวโดยสรุปได้ดังนี้
3.6.1.1 IT Service Management (ITSM) คื อ แนวคิ ด หรื อ กระบวนงาน (Process)
ที่เป็นส่วนที่เสริมการกำกับดูแลการบริหารวิสาหกิจ (Enterprise Governance) การบริหารจัดการความเสี่ยง
(Risk Management) และข้ อ กฎหมายระเบีย บและมาตรฐานที ่เ กี่ ยวข้ อ ง (Regulation Compliance)
หรื อ ที ่ เ รี ย กว่ า “GRC” ในสถาปั ต ยกรรมองค์ ก รของ อ.ส.ค. ที ่ ม ุ ่ ง เน้ น ในการบริ ห ารจั ด การงาน
บริ ก ารเทคโนโลยี ด ิ จ ิ ท ั ล เพื ่ อ สนั บ สนุ น ความต้ อ งการและเป้ า หมายทางธุ ร กิ จ ขององค์ ก ร ( Business
Requirements and Objectives) ประกอบด้ ว ยกระบวนงานต่ า ง ๆ ที ่ เ กี ่ ย วข้ อ งกั บ การบริ ก ารระบบ
เทคโนโลยีดิจิทัลให้มีประสิทธิภาพ โดยจะใช้ควบคู่กับกรรมวิธีด้านการจัดการคุณภาพ อาทิ การปรับปรุง
กระบวนงานทางธุรกิจ (Business Process Improvement - BPI) หรือ การจัดการคุณภาพโดยรวม (Total
Quality Management - TQM) เป็ น ต้ น ทั ้ ง นี ้ เ พื ่ อ ให้ ก ารบริ ห ารจั ด การทางด้ า นเทคโนโลยี ด ิ จ ิ ทั ล
สามารถตอบสนองต่อความต้องการเชิงธุรกิจ (Business Objectives) ผู้ใช้งาน (Users) รวมถึงลูกค้าปลายทาง
(End Customers) ด้ว ยระดับ คุณภาพการบริการ (Service Level) ที่ดี ปัจจุบัน ITSM มีห ลายกรอบ
(Framework) ให้เลือกนำมาประยุกต์ใช้งานในองค์กรดังตัวอย่าง อาทิ
1) ITIL Framework ของ OGC (Office of Government Commerce) CobiT
2) Val IT Framework ของ ISACA
3) ITUP ของ IBM
4) ASL ของ Netherlands
5) MOF ของ Microsoft เป็นต้น
โดยมี อ งค์ ก รสมาชิก (Forum) ด้ า น ITSM หรื อ “IT Service Management
Forum” ในการให้การสนับสนุนด้านการพัฒนาและเผยแพร่ข้อมูล ITIL Framework และ มาตรฐาน ISO/IEC
20000 ซึ่งใช้เป็นมาตรฐานในการตรวจสอบ ITSM ด้วย
ภาพที่ 3.6-1ตัวอย่างกรอบการดำเนินงานของ IT Service Management (ITSM Framework)
ในการกำหนดขั ้ น ตอนของการบริ ห ารจั ด การงานบริ ก ารเทคโนโลยี ด ิ จ ิ ท ั ล เพื่ อ
สนับสนุนความต้องการและเป้าหมายทางธุรกิจขององค์กร (Business Requirements and Objectives)
ตามกรอบการดำเนินงานของ IT Service Management (ITSM Framework) ดังตัวอย่างที่แสดงในภาพที่
3.6-1 ซึ่งจะมีการกำหนดขั้นตอนหลักไว้ 3 ขั้นตอน ได้แก่
(1) การกำหนดกลยุทธ์และแผนงานการให้บริการ (Service Strategy and
Planning) ซึ่งจะเป็นการกำหนดนโยบาย ออกแบบการบริการ และกำหนดแนวทางปฏิบัติพร้อมแผนงาน
เพื ่ อ ให้ ก ารบริ ก ารที ่ ม ีค ุ ณ ภาพให้เ ป็น ไปพั นธะสั ญ ญาการให้ บ ริ ก ารเทคโนโลยี ด ิจ ิท ั ล (Service Level
Agreement - SLA)
(2) การส่ ง มอบงานบริ ก าร (Service Introduction) เป็ น การดำเนินการ
เพื่อส่งมอบการบริการให้แก่ผ ู้ใช้งานและผู้ มีส ่ว นได้ส ่ว นเสียให้ไ ด้ผ ลลัพธ์ ของการบริการที่ดีตาม SLA
โดยการออกแบบ และติ ด ตั ้ ง ระบบงานบริ ก ารต่ า ง ๆ พร้ อ มจั ด ตั ้ ง สำนั ก งานเพื ่ อ การบริ ห ารจั ด การ
และการให้บริการ
(3) การประกันคุณภาพการบริการ (Service Assurance) เป็นการกำหนด
กิจกรรมการปฏิบัติงานเพื่อสนับสนุนการให้บริการระบบเทคโนโลยีดิจิทัล อาทิ Service Desk Chatbot หรือ
Self Help Resource เป็นต้น โดยมีศูนย์กลางการให้บริการเพื่อให้บริการสนับสนุนตามระดับการบริการ
(Level 0 ถึง Level 3) และการจัดการเหตุ (Incident Management) รวมทั้งการกู้คืนข้อมูล (Disaster
Recovery) กรณีการเกิดเหตุขัดข้องของระบบ
3.6.1.2 IT Infrastructure Library (ITIL) เป็ น องค์ ค ว า มร ู ้ ( Open Knowl e d g e )
ที่ถูกพัฒ นาโดย Office for Government Commerce (OGC) ของประเทศอั งกฤษ ที่มีการรวบรวม
เป็นเอกสารที่อธิบายถึงแนวปฏิบัติที่ดี (Best Practices) เพื่อการบริหารจัดการโครงสร้างของหน่วยงาน
ด้ า นเทคโนโลยี ส ารสนเทศ (IT Infrastructure) ซึ่ ง ITIL จะถู ก ใช้ เ ป็ น แนวทางในการจั ด การ
ด้ า นโครงสร้ า งพื ้ น ฐานเทคโนโลยี ส ารสนเทศหรื อ เทคโนโลยี ด ิ จ ิ ท ั ล ( IT/Digital Infrastructure)
ที่เป็นการกำหนดแนวทาง (“What”) ที่เป็นระเบียบวิธีการปฏิบัติที่ใช้เพื่อการบริหารจัดการงานบริก าร
เทคโนโลยีดิจิทัลในการบริหารจัดการงานบริการเทคโนโลยีดิจิทัลในทุกระดับองค์กร โดยโครงสร้างของ ITIL
(Version 3) ดังแสดงในภาพที่ 3.6-2
ภาพที่ 3.6-2 โครงสร้างของ IT Infrastructure Library (ITIL) Version 3 (ITIL V3)
3.6.1.3 กลยุ ท ธ์ ด ้ านบริ ก าร (Service Strategy) ตาม Core of ITIL V3 เป็ น กลยุทธ์
ในด้านบริการเป็น การกำหนดแนวทางโดยยึดหลักการจัดการด้านการบริการ (Service Management)
สำหรั บ เป็ น พื ้ น ฐานในการกำหนดนโยบาย แนวทางปฏิ บ ั ต ิ แ ละกระบวนงานในการบริ ห ารการบริ ก าร
อย่างครบวงจรให้เกิดผลลัพธ์ของวิธีการบริการ การดูแลรักษาและการปรับปรุงระบบการบริการที่ดีที่สุ ด
อย่างต่อเนื่อง โดยส่วนสำคัญของ Service Strategy แบ่งออกเป็น
1) Financial Management การจั ด การด้ า นการบริ ห ารการเงิ น เพื ่ อ รองรั บ
การจัดการทรัพยากรได้อย่างมีประสิทธิภาพ ได้แก่ ทรัพย์ส ินด้านดิจิทัล
และทรัพยากรที่ถูกใช้ในการให้บริการเพื่อสร้างความมั่นใจให้ลูกค้าและรองรับ
แผนการลงทุนที่เหมาะสม
2) Strategy Generation เป็นการกำหนดกลยุทธ์เพื่อให้ฝ่ายบริการทราบเหตุผล
ในการดำเนินงานโครงการต่าง ๆ ที่จำเป็นต่อการบริการงานด้านเทคโนโลยี
ดิจ ิทัล โดยมีการสำรวจยุทธศาสตร์และการกำหนดวัตถุประสงค์ รวมถึง
การวิเคราะห์ข้อมูลการให้บริการของคู่แข่ง เป็นต้น
3) Service Portfolio Management เป็ น การดู แ ลการลงทุ น ที ่ เ กี ่ ย วข้ อ งกั บ
การจั ด การบริ ก ารที ่ ม ี ร ู ป แบบพลวั ต ร (Dynamic) ที ่ ม ี จ ั ด การโดยการ
สร้างมูล ค่าในการบริการระหว่ างหน่ว ยงานต่าง ๆ ภายในองค์กรเพื ่ อ ให้
เกิดประโยชน์สูงสุดในการใช้งานด้านเทคโนโลยีดิจิทัล
4) Demand Management เพื่อให้ผู้รับผิดชอบบริการด้านเทคโนโลยีดิ จิ ทัล
สามารถใช้ทรัพยากรที่มีอยู่ให้ได้อย่างมีประสิทธิภาพมากที่สุด
3.6.1.4 การออกแบบด้ า นบริ ก าร (Service Design) เป็ น แนวทางที ่ เ กี ่ ย วข้ อ งกั บ
การออกแบบกิจกรรมที่จะเกิดขึ้นในกระบวนงานของการให้บริการรวมทั้งการพัฒนากลยุทธ์และวิธีการบริหาร
จัดการระบบบริการโดยเน้นการจัดการความพร้อมให้บริการ (Availability Management) ขีดความสามารถ
ในการให้ บ ริ ก ารอย่ า งรวดเร็ ว และมี ป ระสิ ท ธิ ภ าพ ( Capacity Management) ความสามารถ
ในการให้บริการที่ต่อเนื่อง (Continuity Management) และการบริหารระบบรักษาความปลอดภัย (Security
Management) โดย Service Design แบ่งออกเป็น
1) Service Catalogue Management คื อ การจั ด การข้ อ มู ล รายการบริ การ
(Service Catalog) ที่อธิบายถึงรายละเอียดหน้าที่ ขอบเขตการให้บริการ
สถานะปัจจุบันและจุดที่ให้บริการในด้านต่าง ๆ แก่ผู้ใช้งานและผู้เกี่ยวข้อง
โดยจะบริหารจัดการในด้านข้อมูลที่เกี่ยวข้องกับการผลิตและการจัดเก็บข้อมูล
การปฏิบัติงานด้านการให้บริการที่ถูกต้อง
1) Information Security Management เพื ่ อ ให้ ง านบริ ก าร มี ค วามมั ่ น คง
และปลอดภัยของข้อมูลตามหลัก CIA (C = Confidentiality, I = Integrity,
A = Availability) โดยมีการจัดทำนโยบาย มาตรฐาน และขั้นตอนการปฏิบัติ
เพื่อทราบถึงความเสี่ยงและการลดช่องโหว่จากภัยคุกคามต่าง ๆ ที่มีต่ อ
ระบบเทคโนโลยีดิจิทัล
2) Service Level Management เป็ น การจั ด การและการเจรจาข้ อ ตกลง
ระดับการบริการกับลูกค้าตามเป้าหมายที่ตกลงกันในพันธะสัญญาการให้
บริการเทคโนโลยีดิจิทัล (Service Level Agreement)
3) Availability Management เป็นการกำหนดมาตรการและวิธีการเตรียมความ
พร้อมเพื่อให้เกิดความมั่ นใจว่าโครงสร้างพื้นฐานด้านระบบเทคโนโลยีดิจิทัล
รวมทั ้ ง กระบวนงาน เครื ่ อ งมื อ และอุ ป กรณ์ สิ ่ ง อำนวยความสะดวก
ที ่ ม ี ค วามถู ก ต้ อ ง เหมาะสม และปลอดภั ย สำหรั บ การให้ บ ริ ก ารให้ เ ป็ น
ไปตามตกลง SLA
4) Capacity Management เป็นการจัดการเพื่อให้เกิดความเชื่อมั่นผู้ให้บริการ
สามารถดำเนินการได้ตามที่ต้องการ อาทิ เวลา ความสามารถของระบบ
โดยรองรับ การทำงานได้ทั้งในปัจจุบันและอนาคตตามความต้องการของ
ผู้ใช้งานและลูกค้า
5) IT Service Continuity Management คื อ การจั ด การเพื ่ อ รองรั บ การ
ดำเนินธุรกิจได้อย่างต่อเนื่องและสร้างความมั่นใจในโครงสร้างพื้นฐานและการ
บริการที่สามารถครอบคลุมความต้องการและกำหนดการในการดำเนินธุรกิจ
และสามารถดำเนิ น กิ จ กรรมและธุ ร กรรมต่ า ง ๆ ได้ ต ลอด 24 ชั ่ ว โมง
รวมทั้งสามารถป้องกันหรือลดความเสียหายของธุรกิจอันเนื่องจากภัยพิบัติ
หรือเหตุขัดข้องอื่นใด โดยสร้างความพร้อมของทีม งานและมีแ ผนรั บ มื อ
กับเหตุภัยพิบัติได้อย่างมีประสิทธิภาพ
6) Supplier Management เป็ น การจั ด การเพื ่ อ ให้ ม ั ่ น ใจว่ า ทุ ก สั ญ ญา
ที่ทำกับผู้ขาย (Supplier) จะสนับสนุนความต้องการของธุรกิจและ ผู้ขาย
(Supplier) ทั้งหมดจะต้องปฏิบัติตามสัญญาข้อผูกพันขององค์กร
3.6.1.5 การเปลี ่ ย นผ่ า นด้ า นบริก าร (Service Transition) เป็ น กรอบการดำเนิ นการ
เพื ่ อ ให้ ไ ด้ ผ ลลั พ ธ์ ข องการบริ ก ารที ่ ด ี ท ี ่ ส ุ ด โดยเน้ น ถึ ง กระบวนงานที ่ เ กี ่ ย วข้ อ งกั บ การส่ ง มอบระบบ
เพื ่ อ การนำไปใช้ ง านและการรั บ ข้ อ มู ล จากส่ ว นการออกแบบระบบการให้ บ ริ ก าร ( Service Design)
รวมทั้งการรายงานสถานภาพของการดำเนินงานเพื่อให้ระบบเทคโนโลยีดิจิทัลทำงานได้อย่างต่อเนื่อง โดยแบ่ง
เป็นส่วนประกอบได้ ดังนี้
1) Transition Planning and Support เป็ น การวางแผนและประสานงาน
ด้านทรัพยากรที่จำเป็นในการดำเนินการ รวมถึงการนำออกใช้งาน (Release)
ภายใต้ ต ้ น ทุ น ระยะเวลาส่ ง มอบ และคุ ณ ภาพที ่ ก ำหนดไว้ ใ นแผนงาน
ก่อนที่จะดำเนินการ
2) Service Asset and Configuration Management เพื่อกำหนดและควบคุม
ส่วนประกอบของการบริการและโครงสร้างพื้นฐาน การบำรุงรักษา และการ
นำออกใช้งาน (Release)
3) Change Management เป็ น การจั ด การการเปลี ่ ย นแปลงเพื ่ อ มั ่ น ใจว่ า
วิธีการมาตรฐาน และขั้นตอนปฏิบัติได้ถูกใช้อย่างมีประสิทธิภาพ และพร้อม
การรับมือกับการเปลี่ยนแปลงโดยต้องได้รับผลกระทบต่อคุณภาพน้อยที่สุด
4) Release and Deployment Management เป็ น การวางแผนตารางเวลา
และการควบคุมการนำออกใช้ งาน (Version Release) พร้อมการทดสอบ
และเตรี ย มสภาพแวดล้ อ ม ( Environment) ให้ เ กิ ด ความพร้ อ ม
ที่จะใช้งานระบบ
5) Service Validation and Testing Evaluation เ ป ็ น ก า ร ด ำ เ น ิ น ก า ร
เพื่อให้แน่ใจว่าการติดตั้งและการให้บริการมีคุณภาพตาม SLA และความ
คาดหวังของลูกค้าในการรับบริการใหม่ที่เกิดขึ้นได้
6) Knowledge Management เป็นการรวบรวมข้อมูลของผลการดำเนิ นงาน
การวิเคราะห์ การจัดเก็บและการแบ่งปันข้อมูลและองค์ความรู้ที่เกี่ยวข้อง
กับการบริหารจัดการงานบริการเทคโนโลยีดิจิทัลภายในองค์กร เพื่อปรับปรุง
ประสิทธิภาพโดยที่สามารถลดเวลาและค่าใช้จ่ายในการค้นหาวิธีการแก้ไขปัญ
หาและการสืบค้นองค์ความรู้ที่เกี่ยวข้องได้อย่างมีประสิทธิภาพ
3.6.1.6 การดำเนิ น งานบริ ก าร ( Service Operation) เป็ น แนวทางปฏิ บ ั ติ
ที่เน้นด้านกิจกรรมที่จำเป็นต่อการปฏิบัติงานเพื่อให้บรรลุผลสัมฤทธิ์ในการให้บริการและการดูแลรักษาระบบฯ
ให้เป็นไปตามพันธะสัญญาการให้บริการเทคโนโลยีดิจิทัล (Service Level Agreement) โดยแบ่งออกเป็น
1) Event Management เพื่อตรวจสอบเหตุการณ์ ความผิด ปกติ โดยทำการ
วิเคราะห์พิจารณาจัดกลุ่มของเหตุการณ์หรือปัญหา และกำหนดกิจกรรมเพื่อ
การควบคุมและตัดสินใจในการแก้ไขปัญหาตามความเหมาะสม
2) Request Fulfillment เป็ น การปฏิ บ ั ต ิ ง านที ่ เ กี ่ ย วข้ อ งกั บ การให้ บ ริ ก าร
ตามคำร้องข้อ ซึ่งในกรณีส ่ว นใหญ่เป็นการร้องขอจากผู้ใช้บริการในการ
สนับสนุนด้านการใช้งานระบบเทคโนโลยีดิจิทัล อาทิ การตั้งเปลี่ยนรหัสผ่าน
การขอข้ อ มู ล การสำรองข้ อ มู ล และการขอข้ อ มู ล รายงา นสถิ ต ิ ด ้ า น
ประสิทธิภาพของระบบเทคโนโลยีดิจิทัล เป็นต้น
3) Access Management เป็ น การบริ ก ารเพื ่ อ ให้ ผ ู ้ ใ ช้ บ ริ ก ารมี ส ิ ท ธิ
ในการใช้ บ ริ ก าร ในระดั บ ที ่ เ หมาะสมตามลั ก ษณะสิ ท ธิ ์ (User Profile)
ของการใช้บริการ ขณะที่มีมาตรการในการป้องกันการเข้าถึงระบบบริก า
รหรือข้อมูลที่ไม่ได้รับอนุญาต โดยใช้นโยบายการจัดการด้านความปลอดภัย
ของระบบเทคโนโลยีสารสนเทศ (IT Security Management)
4) Service Desk เป็น “ศูนย์กลางในการติดต่อ” Single Point Of Contact
(SPOC) ในการรั บ แจ้ ง ปั ญ หา (Incident) ที ่ เ กิ ด ขึ ้ น จากการใช้ บ ริ ก าร
โดยแจ้งผ่านทางโทรศัพท์ เว็บ อีเมล์ และเป็นศูนย์กลางในการติดต่อสื่อสาร
และประสานงานระหว่ า งผู ้ ใ ช้ ง านกั บ ที ม งานบริ ห ารจั ด การและที ม งาน
สนั บ สนุ น เพื ่ อ ตอบสนองต่ อ ปั ญ หาและความต้ อ งการในการบริ ก าร
ได้อย่างสะดวกและรวดเร็ว
5) Incident Management เป็ น กระบวนการที ่ เ กี ่ ย วกั บ การจั ด การปั ญ หา
(Incident) ทั้งหมด ตั้งแต่การรับแจ้งเหตุปัญหาและข้อผิดพลาดของระบบ
การให้บริการต่าง ๆ ที่เกิดขึ้น รวมถึงการตอบคำถามหรือข้อซักถามต่าง ๆ
จากผู ้ ใ ช้ ง าน ตลอดจนการแก้ ไ ขปั ญ หา การส่ ง ต่ อ และการติ ด ตาม
ความคืบหน้าในการแก้ไขปัญหาที่เกิดขึ้นตาม SLA ที่ได้ตกลงกัน
6) Problem Management เป็นการจัดการปัญหาทั้งหมดในเชิงรุก (Proactive)
ตลอดวงจรของปัญหา (Problem Life Cycle) รวมถึงการป้องกันปัญหา
หรือสาเหตุที่อาจทำให้เกิดปัญหาขึ้นในอนาคต อาทิ การใช้เครือข่ายสื่อสาร
สำรอง (Backup Link) เพื่อป้องกันปัญหาด้านเสถียรภาพของโครงข่ายสื่อสาร
ข้อมูลหลัก และการมีระบบสำรองไฟฟ้าที่มีประสิทธิภาพเพื่อเพิ่มความพร้อม
ให้บริการ (Availability) และลดการสูญหายของข้อมูล (Data Loss) เป็นต้น
ทั้งนี้เพื่อเป็นการลดผลกระทบของเหตุการณ์และปัญหา (Incident) ต่าง ๆ
ลงได้
3.6.1.7 การปรั บ ปรุ ง บริ ก ารอย่ า งต่ อ เนื ่ อ ง (Continual Service Improvement)
เป็น แนวทางปฏิบ ัติที่เน้น ถึงการสร้างขีดความสามารถในการปรับปรุงการให้บริการให้มีคุณภาพสู ง ขึ้ น
อย่างต่อเนื่อง โดยแบ่งออกเป็น
1) Service Measurement and Reporting เป็ น การจั ด ทำบั น ทึ ก ประเด็ น
และการวัดผล (Measurement) ของการดำเนินการตามกรอบของ ITIL V3
ตั้งแต่ กลยุทธ์ด้านบริการ (Service Strategy) การออกแบบด้านบริ ก าร
(Service Design) การเปลี ่ ย นผ่ า นด้ า นบริ ก าร (Service Transition)
การดำเนิ น งานบริ ก าร (Service Operation) และการปรั บ ปรุ ง บริ การ
อย่างต่อเนื่อง (Continual Service Improvement) ซึ่งรวมถึงการใช้งาน
ระบบโครงสร้างพื้นฐานและระบบการให้บริการ และดำเนินการวิเคราะห์
พร้อมจัด ทำรายงานสรุป ผลลั พธ์ ข องการใช้ งานระบบ (Usage Report)
ซึ่งเป็นข้อมูลพื้นฐานที่ระบุถึงปริมาณและคุณภาพของการให้บริการ รวมทั้ ง
ปัญหาอุปสรรคและความต้องการเพิ่มเติมของผู้ใช้บริการเพื่อเป็นข้อมูลในการ
วิเคราะห์และปรับปรุงการให้บริการต่อไป
2) Service Level Management เป็ น การจั ด การและการเจรจาข้ อ ตกลง
ระดับการบริการกับลูกค้าตามเป้าหมายที่ตกลงกันในพันธะสัญญาการให้
บริการเทคโนโลยีดิจิทัล (Service Level Agreement)
การพัฒนากรอบการจัดการระบบเทคโนโลยี (ITSM/ITIL) จะก่อให้เกิดประโยชน์
แก่ อ งค์ ก รของ อ.ส.ค. ในการบริ ห ารจั ด การงานบริ ก ารเทคโนโลยี ด ิ จ ิ ท ั ล เพื ่ อ สนั บ สนุ น ความต้ อ งการ
และเป้าหมายทางธุรกิจขององค์กรให้มีประสิทธิภาพสูงสุด ดังนี้
1 สามารปรับปรุงคุณภาพการให้บริการและความพึงพอใจของผูใ้ ช้บริการและลูกค้า
2 ลดต้นทุนและค่าใช้จ่ายด้านระบบเทคโนโลยีดจิ ทิ ลั ให้มคี วามเหมาะสมขึน้
มีบริการด้านเทคโนโลยีดจิ ทิ ลั ทีส่ อดคล้องกับความต้องการเชิงธุรกิจ รวมทัง้ ความต้องการ

3 ของลูกค้าและผูใ้ ช้งาน
เพิม่ ขีดความสามารถในด้านเทคโนโลยีดจิ ทิ ลั เพื่อสร้างความได้เปรียบในการแข่งขันทางธุรกิจ

4 ขององค์กร
สามารถบูรณาการกระบวนงานทีเ่ กีย่ วข้องในด้านการบริการเทคโนโลยีดจิ ทิ ลั เข้าด้วยกัน

5 โดยมีศูนย์กลางการให้บริการเพื่อให้บริการสนับสนุนให้ได้ตามมาตรฐานและพันธะสัญญาการให้บริการเทคโนโลยีดจิ ทิ ลั
(Service Level Agreement - SLA)
สร้างความเข้าใจให้กบั ผูม้ สี ่วนได้ส่วนเสียในการบริหารจัดการงานบริการเทคโนโลยีดจิ ทิ ลั ในบทบาท

6 หน้าทีแ่ ละความรับผิดชอบได้อย่างมีแบบแผนและมีความชัดเจนมากยิง่ ขึน้
มีตวั ชีว้ ดั ด้านประสิทธิภาพในการบริหารจัดการงานบริการเทคโนโลยีดจิ ทิ ลั ทีช่ ดั เจน และสามารถแสดงผล

7 เป็ นรายงานและฐานข้อมูลเพื่อสร้างองค์ความรูใ้ ห้แก่ทมี งานบริหารจัดการฯ จากประสบการณ์ทผ่ี ่านมาได้
ภาพที่ 3.6-3 กรอบการจัดการระบบเทคโนโลยี (ITSM/ITIL)
3.6.2 การจัด การข้อ มูล ผู ้ใ ช้ งานระบบและการรัก ษาความลั บ ข้ อ มู ล (User Profile and

Privacy Management)
เนื ่ อ งจาก อ.ส.ค. เป็ น รั ฐ วิ ส าหกิ จ ที ่ ม ี ภ ารกิ จ หลากหลายครอบคลุ ม กระบวนงาน
ตลอดห่วงโซ่อุปทานของการผลิตผลิตภัณฑ์นม และมีข้อมูลและสารสนเทศที่เกิดขึ้นจากกระบวนงานต่าง ๆ
จำนวนมหาศาล ข้ อ มู ล ของกลุ ่ ม อุ ต สาหกรรมนม และกลุ ่ ม ส่ ง เสริ ม กิ จ การโคนมนั ้ น ยั ง ถู ก จั ด เก็ บ
อยู่กับระดับปฏิบัติการในพื้นที่ ยังไม่ได้มีการบูรณาการและจัดเก็บข้อมูลส่วนกลาง ข้อ มูลของกลุ่มบริห าร
และอำนวยการ และกลุ ่ ม การตลาดและการท่ อ งเที ่ ย วบางส่ ว น มี ก ารจั ด เก็ บ บนระบบ Cloud อี ก ทั้ ง
ข้อมูลของระบบ ERP มีการจัดเก็บในเครื่องคอมพิวเตอร์แม่ข่ายแบบ Co-Location ดังนั้น การจัดเก็บข้อมูล
และสารสนเทศในภาพรวมขององค์กรยังมีการกระจัดกระจายและไม่รวมศูนย์และมีการจัดเก็บอยู่ทั้งภายในแล
ะภายนอกองค์กร
ในส่วนของการจัดการข้อมูลผู้ใช้งานระบบ (User Profile Management) อันเป็นส่วนสำคัญ
ในการเฝ้าระวังและบริห ารจัดการระบบดิจิทัล และทำหน้าที่ในการกำหนดสิทธิ์ในการเข้าใช้งานระบบ
รวมถึงการจัดการการเข้าถึงข้อมูลและรั กษาความลับข้อมูลภายในองค์กรได้อย่างเป็นระบบ ประกอบด้วย
การพิสูจน์ตัวตน Authentication การให้สิทธิ์ Authorization และ การตรวจสอบการทำงาน Accounting
ดังรายละเอียดต่อไปนี้
3.6.2.1 การพิสูจน์ตัวตน Authentication
เป็นการพิสูจน์ตัวตนเพื่อการเข้าถึงระบบสารสนเทศและข้อมู ลต่าง ๆ แยกตาม
ช่องทางในการเข้าถึงระบบสารสนเทศและข้อมูล ซึ่งในปัจจุบัน ระบบ Single Sign-On (SSO) สามารถยืนยัน
ตัวบุคคล (Authentication) ที่รองรับการให้ผู้ใช้งานลงชื่อเข้าใช้งานระบบ (Login) ครั้งเดียว แล้วสามารถ
เข้าใช้งานระบบสารสนเทศหลายระบบหรือฐานข้อมูลหลายฐานข้อมูลได้ โดยไม่ต้องลงชื่อเข้าใช้งานซ้ำอีก
ซึ่งช่วยแก้ไขปัญหาความซ้ำซ้อนของฐานข้อมูลบัญชีผู้ใช้และรหัสผ่านที่ระบบสารสนเทศแต่ละระบบต้องจัดเก็บ
ปั ญ หาต่ อ ผู ้ ใ ช้ ง านที ่ จ ำเป็ น ต้ อ งเข้ า ใช้ ง านหลายระบบ ต้ อ งมี แ ละจดจำชื ่ อ ผู ้ ใ ช้ ( Login) และรหั ส ผ่าน
(Password) หลายชุด ทั้งนี้ระบบ SSO มีความเสี่ยงต่อการถูกขโมยชื่อผู้ใช้และรหัสผ่านไปใช้เพื่อขโมยข้อมูล
หรือนำไปใช้ในกิจกรรมผิดกฎหมายต่าง ๆ ได้ เทคโนโลยีในการพิสูจน์ตัวตน สามารถจัดแบ่งได้เป็น 6 ประเภท
ตามรายละเอียดดังนี้
1) การพิสูจน์ตัวตนโดยใช้ Password Authenticators หรือ Tokens
Authenticator หรือ Token เป็นอุปกรณ์ที่ใช้สร้าง "รหัสผ่านซึ่งเปลี่ยน แปลงได้ (Dynamic Password)"
ในขณะที่กำลังเข้าสู่ระบบเครือข่าย มี 2 วิธี คือ Synchronous และ Asynchronous การพิสูจน์ตัวตนแบบ
Synchronous แบ่งออกเป็น 2 ประเภทตามลักษณะ ของการใช้งาน คือ
1) การพิสูจน์ตัวตนแบบ Synchronous โดยขึ้นอยู่กับสถานการณ์ (Event-
Synchronous Authentication) เมื่อผู้ใช้ต้องการที่จะเข้าสู่ระบบ ผู้ใช้
จะต้องกด Token เพื่อให้ Token สร้างรหัสผ่านให้ จากนั้นผู้ใช้นำรหัสผ่าน
ที่แสดงหลังจากกด Token ใส่ลงในฟอร์ม เพื่อเข้าสู่ระบบ ระบบจะทำการ
ตรวจสอบกับเซิร์ฟเวอร์ก่อน ว่ารหัสผ่านที่ใส่มีอยู่ในเซิร์ฟเวอร์จริง จึงจะ
ยินยอมให้ผู้ใช้เข้าสู่ระบบ
2) การพิ ส ู จ น์ ต ั ว ตนแบบ Synchronous โดยขึ ้ น อยู ่ ก ั บ เวลา (Time-
Synchronous Authentication) เป็ น วิ ธ ี ก ารที ่ ส ร้ า งรหั ส ผ่ า น
โดยมี ก ารกำหนด ช่ ว งระยะเวลาการใช้ ง าน โดยปกติ แ ล้ ว รหั ส ผ่ า น
จะถูกเปลี่ยนทุก ๆ หนึ่งนาที การสร้างรหัสผ่านจะเป็นไปอย่างต่อเนื่อง
ทำให้บ างครั้งรหัสผ่านที่สร้าง ออกมาอาจจะซ้ำกันกับรหัส ผ่านตัวอื่น
ที ่ เ คยสร้ า งมาแล้ ว ก็ ไ ด้ เมื ่ อ ผู ้ ใ ช้ ต ้ อ งการ เข้ า สู ่ ร ะบบก็ ใ ส่ ร หั ส ผ่ า น
และเวลาที่รหัสผ่านตัวนั้นถูกสร้างขึ้นมา (รหัสผ่าน จะถูกสร้างขึ้นมาจาก
Token) ลงในแบบเอกสาร เพื ่ อ เข้ า สู ่ ร ะบบ โดยระบบ จะทำการ
ตรวจสอบเวลาและรหั ส ผ่ า นที ่ ผ ู ้ ใ ช้ ใ ส่ ล งไป กั บ เครื ่ อ งคอมพิ ว เตอร์
แม่ ข ่ า ยว่ า รหั ส ผ่ า นที ่ ใ ส่ ต รงกั บ เวลาที ่ Token สร้ า ง และมี อ ยู่
ในเซิร์ฟเวอร์จริง จึงยินยอมให้ผู้ใช้เข้าสู่ระบบ
การพิ ส ู จ น์ ต ั ว ตนแบบ Asynchronous หรื อ เรี ย กอี ก อย่ า งหนึ ่ ง ว่ า
"Challenge-Response" ถูกพัฒนาขึ้น เป็นลำดับแรก ๆ ของระบบการใช้
"รหั ส ผ่ า นซึ ่ ง เปลี ่ ย นแปลงได้ " ซึ ่ ง ถื อ ได้ ว ่ า เป็ น การป้ อ งกั น การจู ่ โ จม
ที่ปลอดภัยที่สุด เพราะเนื่องจากว่าเมื่อผู้ใช้ต้องการจะเข้าสู่ระบบ ผู้ใช้
จะต้ อ งทำการร้ อ งของไปยั ง เครื ่ อ งคอมพิ ว เตอร์ แ ม่ ข ่ า ย จากนั้ น
เครื ่ อ งคอมพิ ว เตอร์ แ ม่ ข ่ า ยก็ จ ะส่ ง Challenge String มาให้ ผ ู ้ ใ ช้
เพื ่ อ ให้ ผ ู ้ ใ ช้ ใ ส่ ล งใน Token ที ่ ผ ู ้ ใ ช้ ถ ื อ อยู ่ จากนั ้ น Token
จะทำการคำนวณรหัสผ่านออกมาให้ผู้ใช้ ผู้ใช้จึงสามารถนำรหัสผ่านนั้น
ใส่ลงในฟอร์มเพื่อเข้าสู่ระบบได้
การพิ ส ู จ น์ ต ั ว ตนแบบ Synchronous นั ้ น ทั ้ ง Client และ Server
จะมีรหัสผ่านเก็บเอาไว้ แต่แบบ Asynchronous นั้น Client จะต้องติดต่อ
Serverก่ อ น ก่ อ นจะได้ ร ั บ รหั ส ผ่ า นจริ ง ทำให้ ก ารพิ ส ู จ น์ ต ั ว ตนแบบ
Asynchronous มีขั้นตอนที่ซับซ้อนกว่าแบบ Synchronous
2) การพิ ส ู จ น์ ต ั ว ตนโดยใช้ ล ั ก ษณะเฉพาะทางชี ว ภาพของแต่ ล ะบุ ค คล
(Authentication by Biometric Traits)
ลักษณะทางชีวภาพของแต่ละบุคคลเป็นลักษณะเฉพาะและลอกเลียนแบบกัน
ไม่ได้ การนำมาใช้ในการพิสูจน์ตัวตนจะเพิ่มความน่าเชื่อถือได้มากขึ้น อาทิ การใช้ลายนิ้วมือ เสียง ม่านตา
เป็นต้น จึงมีการนำเทคโนโลยีนี้มาช่วยในการพิสูจน์ตัวตน เพื่อเพิ่มความปลอดภัยก่อนเข้าสู่ระบบ
ในขั้นตอนของการเก็บหลักฐานทางชีวภาพ ในขั้นแรกระบบจะทำการเก็บภาพ
ของเรติ น าจากบุ ค คลที ่ ถ ื อ Token Card หรื อ Smart Card จากนั ้ น จะนำภาพเรติ น าที ่ ไ ด้ ม า
แยกแยะเพื่อหาลัก ษณะเด่น ของแต่ล ะบุ คคลเพื่ อไม่ใ ห้ซ้ ำกับบุ คคลอื ่น แล้ว เก็บไว้เป็น Template ซึ่ง
Template ที ่ ไ ด้ จ ะถู ก บั น ทึ ก เป็ น กุ ญ แจคู ่ ก ั บ รหั ส ผ่ า นที ่ ม ี อ ยู ่ ใ น Token Card หรื อ Smart Card
ของแต่ละบุคคล
ในขั ้ น ตอนของการตรวจสอบหลั ก ฐาน ผู ้ ใ ช้ ท ี ่ ถ ื อ Token การ์ ด
หรือสมาร์ทการ์ด จะนำบัตรมาผ่านเครื่องอ่านบัตรและแสดงเรตินาให้เครื่องเก็บภาพ เมื่อเครื่องอ่านบัตร
อ่านค่าเลขที่ได้จากบัตรแล้วก็จะนำไปหากุญแจ ซึ่งในขณะเดียวกันภาพเรตินาที่เ ครื่องเก็บไว้ได้ก็จะนำไป
แยกแยะเพื ่ อ หาลัก ษณะเด่น แล้ ว เก็ บ ค่า ไว้ เป็ น Template และนำ Template ที ่ ไ ด้ ไ ปตรวจสอบกับ
template ที่เก็บไว้เพื่อหากุญแจ และนำกุญแจที่ได้มาเปรียบเทียบกันว่าตรงกันหรือไม่ ถ้าตรงกันก็แสดงว่า
ผู้ที่ถือบัตรกับผู้ใช้เป็นคนเดียวกัน จึงอนุญาตไห้เข้าสู่ระบบได้
3) การพิ ส ู จ น์ ต ั ว ตนโดยใช้ ร หั ส ผ่ า นที ่ ใ ช้ เ พี ย งครั ้ ง เดี ย ว (One-Time
Password: OTP)
One-Time Password ถู ก พั ฒ นาขึ ้ น เพื ่ อ หลี ก เลี ่ ย งปั ญ หาที ่ เ กิ ด จากการ
ใช้ ร หั ส ผ่ า นเพี ย งตั ว เดี ย วซ้ ำ ๆ กั น OTP จะทำให้ ร ะบบมี ค วามปลอดภั ย มากขึ ้ น เพราะรหั ส ผ่ า น
จะถูกเปลี่ยนทุกครั้งก่อนที่ผู้ใช้จะเข้าสู่ระบบ
การทำงานของ OTP คือเมื่อผู้ใช้ต้ อ งการจะเข้า ใช้ร ะบบ ผู้ใช้จะทำการ
ร้ อ งขอไปยั ง เครื ่ อ งคอมพิ ว เตอร์ แ ม่ ข ่ า ย จากนั ้ น เครื ่ อ งคอมพิ ว เตอร์ แ ม่ ข ่ า ยจะส่ ง Challenge String
กลับ มาให้ผ ู้ใช้ จากนั้น ผู้ใช้จ ะนำ Challenge String และรหัส ลับที่มีอยู่กับตัวของผู้ใช้นำไปเข้า Hash
ฟั ง ก์ ช ั น แล้ ว ออกมาเป็ น ค่ า Response ผู ้ ใ ช้ ก ็ จ ะส่ ง ค่ า นั ้ น กลั บ ไปยั ง เครื ่ อ งคอมพิ ว เตอร์ แ ม่ ข ่ า ย
เครื่องคอมพิวเตอร์แม่ข่ายจะทำการตรวจสอบค่าที่ผู้ใช้ส่งมาเปรียบเทียบกับค่าที่เครื่องคอมพิวเตอร์แม่ข่ายเอง
คำนวณได้ โดยเซิ ร ์ ฟ เวอร์ ก ็ ใ ช้ ว ิ ธ ี ก ารคำนวณเดี ย วกั น กั บ ผู ้ ใ ช้ เมื ่ อ ได้ ค ่ า ที ่ ต รงกั น เครื ่ อ งคอมพิ ว เตอร์
แม่ข่ายก็จะยอมรับให้ผู้ใช้เข้าสู่ระบบ
4) การพิสูจน์ตัวตนโดยการเข้ารหัสโดยใช้กุญแจสาธารณะ (Public-Key
Cryptography)
เป็นการรักษาความปลอดภัยของข้อมูลระหว่างการส่งข้ามเครือข่ายวิธีหนึ่งที่
นิย มใช้กัน อยู่ในปัจจุบัน การเข้ารหัส แบบคู่รหัส กุญแจนี้จะมีความปลอดภัยมากกว่าการเข้ารหัส ข้อมูล
แบบธรรมดา แต่ก็ไ ม่ได้ห มายความว่าการเข้ารหัส แบบคู่รหัสกุญแจนี้จะเป็นวิธ ีที่เหมาะสมที่สุดของวิธี
การเข้ารหัส ทั้งนี้ขึ้นอยู่กับประเภทงานของแต่ละองค์กรหรือบุคคล
5) การพิสูจน์ตัวตนโดยการใช้ลายเซ็นดิจิทัล (Digital Signature)
เป็นการนำหลักการของการทำงานของระบบการเข้ารหัสแบบใช้คู่รหัสกุญแจ
เพื่อการพิสูจน์ตัวตนมาประยุกต์ใช้ ระบบของลายเซ็นดิจิทัลสามารถแบ่งเป็นขั้นตอนได้ดังนี้
1) เมื่อผู้ใช้ต้องการจะส่งข้อมูลไปยังผู้รับ ข้อมูลนั้นจะถูกนำไปเข้าฟังก์ชั่นทาง
คณิตศาสตร์ที่เรียกว่า "แฮชฟังก์ชัน" เพื่อให้ได้ Massage Digest ออกมา
2) การใช้กุญแจส่วนตัวเข้ารหัสข้อมูล หมายถึงว่าผู้ส่งได้ลงลายเซ็นดิจิทัล
ยินยอมที่จะให้ผู้รับ สามารถทำการตรวจสอบด้วยกุญแจสาธารณะขอ
งผู้ส่งเพื่อพิสูจน์ตัวตนของผู้ส่งได้
3) การตรวจสอบข้อมูลว่าถูกส่งมาจากผู้ส่งคนนั้นจริงในด้านผู้รับ โดยการ
นำข้อมูล มาผ่า นแฮชฟั ง ก์ช ัน เพื่ อ คำนวณหาค่า Massage Digest และ
ถอดรหัสลายเซ็นดิจิทัลด้วยกุญแจสาธารณะของผู้ส่ง ถ้าสามารถถอดได้
อย่างถูกต้อง จะเป็นการยืนยันข้อมูลจากผู้ส่งคนนั้นจริง และถ้าข้อมูล
Massage Digest ที่ได้จากการถอดรหัสเท่ากันกับค่า Massage Digest
ในตอนต้นที่ทำการคำนวณได้ จะถือว่าข้อมูลดังกล่าวนั้นถูกต้อง
6) การพิสูจน์ตัวตนโดยใช้การถาม - ตอบ (Zero-Knowledge Proofs)
เป็นวิธีการพิสูจน์ตัวตนโดยใช้การถาม - ตอบ บนสมมุติฐานที่ว่าการใช้ชื่อ
ผู้ใช้งานและรหัสผ่านไม่มีความปลอดภัยเพียงพอต่อการเข้าใช้ระบบ เนื่องจากความรู้และวิทยาการที่ก้าวหน้า
ทำให้ เ กิ ด ผู ้ ท ี ่ ต ้ อ งการจะเข้ า มาละเมิ ด ระบบต่ า ง ๆ มี ม ากขึ ้ น ทำให้ ช ื ่ อ ผู ้ ใ ช้ แ ละรหั ส ผ่ า น อาจจะถู ก
ลักลอบดักข้อมูลระหว่างการสื่อสารกันได้
วิธ ีการพิสูจน์ตัวตนวิธีนี้ เป็นวิธีการที่ต้องใช้ความรู้ขั้นสูงในการนำมาใช้
เนื่องจากระบบจะใช้การเรียนรู้จากข้อมูลที่ได้รับ อาจจะเรียกระบบนี้ได้ว่าเป็นการนำความรู้ด้าน AI (Artificial
Intelligence) มาใช้
3.6.2.2 การให้สิทธิ์ Authorization
เป็นการให้สิทธิ์ในการใช้งานระบบสารสนเทศและการเข้าถึงระดับชั้นข้อมูลต่าง ๆ
แก่ผู้ใช้งานที่เกี่ยวข้องทั้งภายในและภายนอกองค์กร ตามบทบาทหน้าที่และความรับผิดชอบในการปฏิบัติงาน
โดยมีรายละเอียดดังนี้
1) สิทธิ์ในการใช้งานระบบสารสนเทศ
การกำหนดสิทธิ์ในการใช้งานระบบสารสนเทศนั้น ขึ้นกับบทบาทหน้าที่ของ
ผู้ใช้งานที่เกี่ยวข้องกับระบบสารสนเทศนั้น ๆ และระดับขั้นในการปฏิบัติงานโดยสามารถแบ่งระดับการใช้งาน
เพื่อกำหนดสิทธิ์ได้ดังต่อไปนี้
1) ผู้ใช้งานทั่วไป
2) ผู้ใช้งานระดับ Administrator
3) ไม่มีหน้าที่ที่เกี่ยวข้อง
2) สิทธิ์ในการเข้าถึงข้อมูล
การกำหนดสิ ท ธิ ์ ใ นการเข้ า ถึ ง ข้ อ มู ล ขึ ้ น กั บ บทบาทหน้ า ที ่ ข องผู ้ ใ ช้ ง าน
ที่เกี่ยวข้องกับข้อมูลนั้น ๆ และระดับขั้นในการปฏิบัติงาน โดยมีเกณฑ์การจัดแบ่งข้อมูลดังนี้
1) การใช้งานข้อมูล มี 5 ลักษณะ คือ
▪ อ่านข้อมูล
▪ สร้างข้อมูล
▪ ป้อนข้อมูล
▪ แก้ไขข้อมูล
▪ อนุมัติ
2) การจัดแบ่งระดับความสำคัญของข้อมูล ออกเป็น 3 ระดับคือ
▪ ข้อมูลที่มีระดับความสำคัญมากที่สุด
▪ ข้อมูลที่มีระดับความสำคัญปานกลาง
▪ ข้อมูลที่มีระดับความสำคัญน้อย
3) การจัดแบ่งลำดับชั้นความลับของข้อมูล ออกเป็น 4 ระดับคือ
▪ ข้ อ มู ล ลั บ ที ่ ส ุ ด หมายถึ ง หากเปิ ด เผยทั ้ ง หมดหรื อ เพี ย งบางส่ ว น
จะก่อให้เกิดความเสียหายอย่างร้ายแรงที่สุด
▪ ข้ อ มู ล ลั บ มาก หมายถึ ง หากเปิ ด เผยทั ้ ง หมดหรื อ เพี ย งบางส่ ว น
จะก่อให้เกิดความเสียหายอย่างร้ายแรง
▪ ข้ อ มู ล ลั บ หมายถึ ง หากเปิ ด เผยทั ้ ง หมดหรื อ เพี ย งบางส่ ว น
จะก่อให้เกิดความเสียหาย
▪ ข้อมูลทั่วไป หมายถึง ข้อมูลที่สามารถเปิดเผยหรือเผยแพร่ทั่วไปได้
4) การจัดแบ่งระดับชั้นการเข้าถึงข้อมูล ออกเป็น 3 ระดับคือ
▪ ระดับชั้นสำหรับผู้บริหาร
▪ ระดับชั้นสำหรับผู้ใช้งานทั่วไป
▪ ระดับชั้นสำหรับผู้ดูแลระบบหรือผู้ที่ได้รับมอบหมาย
ทั้งนี้ การกำหนดสิทธิ์การใช้งานของผู้ใช้งานแต่ล ะรายต้องครอบคลุ ม
การใช้งานระบบสารสนเทศทุกระบบ และการเข้าถึงข้อมูลทุกข้อมูล เพื่อให้เกิดความถูกต้องครบถ้วนและ
ความมั่นคงปลอดภัยในการใช้งานระบบอย่างเป็นรูปธรรม
3.6.2.3 การตรวจสอบการทำงาน Accounting
เป็ น การบั น ทึ ก และจั ด เก็ บ ข้ อ มู ล การเข้ า ใช้ ง านระบบดิ จ ิ ท ั ล ขององค์ ก ร
ซึ่งครอบคลุม เครื่องคอมพิวเตอร์แม่ข่าย เครื่องคอมพิวเตอร์ ระบบสารสนเทศ อุปกรณ์เครือข่ายสื่อสาร
ที่สำคัญด้วย โดยมีรายละเอียดที่ครบถ้วนเพียงพอที่จะใช้เป็นหลักฐานในการตรวจสอบที่สามารถระบุตัวบุคคล
ผู้กระทำได้และสามารถจัดเก็บย้ อนหลังเป็นระยะเวลาอย่างน้อย 90 วัน หรือตามกฎหมายที่เกี่ยวข้องกำหนด
1) การบันทึกร่องรอยกิจกรรมการทำธุรกรรม (Transaction Log)
2) การบันทึกการเข้าถึง (Access Log)
3) การบั น ทึ ก การดำเนิ น งาน (Activity Log) ที ่ ส ำคั ญ โดยอย่ า งน้ อ ย
ต้องครอบคลุม
1) การเปลี ่ ย นแปลงแก้ ไ ขโครงสร้ า งฐานข้ อ มู ล และการเปลี ่ ย นแปลง
แก้ไขข้อมูล (Update/Insert/Delete) ในตารางที่สำคัญ
2) การเปลี่ยนแปลงการตั้งค่าความปลอดภัยของระบบ
3) การเข้าถึง Object ที่สำคัญของระบบ
4) การเปลี่ยนแปลงแก้ไขบัญชีและสิทธิ์ของผู้ใช้งาน
ทั้งนี้ ควรใช้ระบบในการควบคุมค่าเวลาของเครื่องแม่ข่าย ระบบงาน
อุ ป กรณ์ เ ครื อ ข่ า ยสื ่ อ สารให้ ต รงกั บ เครื ่ อ งแม่ ข ่ า ย Network Time Protocol : NTP (Clock
Synchronization) เพื ่ อ ให้ ค ่ า เวลาในการบั น ทึ ก เหตุ ก ารณ์ ม ี ค วามถู ก ต้ อ งในลั ก ษณะ Real-Time
ซึ่งเครื่องแม่ข่าย NTP ต้องรับสัญญาณนาฬิกาจากแหล่งสัญญาณที่มีความน่าเชื่อถือ
นอกจากนั้น ข้อมูลการบันทึกเหตุการณ์ของอุปกรณ์สำคัญควรจัดเก็บไว้ที่
เครื่องแม่ ข่ า ยที่ แยกเฉพาะ อย่างน้อ ยให้ ครอบคลุม Access Log และ Activity Log โดยมีการรั ก ษา
ความปลอดภัย ที่ร ัด กุ มเพีย งพอในการป้ องกัน การเปลี ่ยนแปลง แก้ไ ข หรือทำลาย และมีการสอบทาน
บั น ทึ ก การเข้ า ถึ ง (Access Log) และบั น ทึ ก การดำเนิ น งาน (Activity Log) ของผู ้ ป ฏิ บ ั ต ิ ง านด้ า น
เทคโนโลยีสารสนเทศที่มีสิทธิ์สูงอย่างสม่ำเสมอ อาทิ System Administrator หรือ System Operator
เป็นต้น เพื่อให้มั่นใจได้ว่าผู้ปฏิบัติงานเข้าถึงและปฏิบัติงานตามขอบเขตหน้าที่ที่ได้รับมอบหมาย
ในส่วนของการรักษาความลับข้อมูลเมื่อมีการส่งข้อมูลไปยังภายนอกองค์กร
นั้น ควรมีแนวทางในการดำเนินงานดังต่อไปนี้
5) ต้องกำหนดชั้นความลับของข้อมูลเป็นระดับต่าง ๆ อาทิ ข้อมูลที่เปิดเผยได้
ข้ อ มู ล ปกปิ ด ข้ อ มู ล ลั บ ข้ อ มู ล ลั บ มา ก และหน่ ว ยงานเจ้ า ของ
ข้อมูลอย่างชัดเจน
6) สำหรับข้อมูลที่ระดับความลับต่าง ๆ กัน การนำส่งหรือกระจายข้อมูล
สู่ภายนอกองค์กร ต้องมีระเบียบข้อบังคับและผู้อนุมัติให้ความเห็นขอบ
ที่ชัดเจน ข้อมูลที่จะเผยแพร่สู่สาธารณะในวงกว้างนั้นต้องได้รับการอนุมตั ิ
และเห็นชอบอย่างเป็นทางการจากผู้บริหารสูงสุดขององค์กร
7) จำกัดการเข้าถึงข้อมูลที่ไม่เปิดเผยต่อสาธารณะโดยให้รับรู้เฉพาะผู้บริหาร
ระดับ สูงขององค์กร และเปิดเผยต่อพนักงานตามความจำเป็นต่อการ
ปฏิบัติงานและการรับทราบ
8) การใช้งานระบบ Cloud ควรมีมาตรการและแนวทางการดำเนินงาน ดังนี้
▪ ผู ้ ใ ห้ บ ริ ก ารระบบ Cloud ต้ อ งมี ม าตรฐานและกระบวนงาน
ด้านการรักษาความปลอดภัยและความลับข้อมูลอย่างชัดเจน อาทิ มาตรฐาน ISO 22301:2012 ด้านการ
บริหารจัดการความต่อเนื่องในการดำเนินธุรกิจ ครอบคลุมบริการด้านคลาวด์ มาตรฐานควา มปลอดภัย
ระบบคลาวด์ CSA-STAR มาตรฐาน ISO/IEC 27001:2015 ด้านคลาวด์ที่มีความมั่นคงปลอดภัยตามมาตรฐาน
ระบบบริ ห ารจั ด การคว ามมั ่ น คงปลอดภ ั ย มาตรฐ าน I SO/I EC 27001: 2013 มาตรฐ าน
ระบบบริห ารจัดการความมั่น คงปลอดภัย สารสนเทศ และมาตรฐาน ISO/IEC 20000-1:2011 ด้านการ
บริหารจัดการสารสนเทศและการให้บริการด้านคลาวด์ที่มีคุณภาพ
▪ ผู้ให้บริการระบบ Cloud ต้องมีมาตรการและกระบวนงาน
ในการป้องกันการรั่วไหลข้อมูลไปยังผู้ใช้บริการรายอื่น บุคคลภายนอก และพนักงานภายในของผู้ให้บริการ
ระบบ Cloud เอง
▪ ในกรณีมีการรั่วไหลของข้อมูล ผู้ให้บริการระบบ Cloud มีกระบวนงาน
ในการตรวจสอบและติดตามการรั่วไหลของข้อมูล
▪ ในกรณีเลิกใช้บริการระบบ Cloud ผู้ให้บริการต้องมีมาตรการและ
กระบวนงานลบและทำลายข้อมูลที่จัดเก็บและป้องกันการรั่วไหลของข้อมูลได้
3.6.3 การจัดการเครือข่ายข้อมูล (Network Management)
ระบบรักษาความมั่น คงปลอดภัยของข้ อมูล และระบบสารสนเทศนั้น สามารถรับประกั น
ความพร้ อ มใช้ ง าน (Availability) ของระบบได้ ใ นระดั บ หนึ ่ ง แต่ ย ั ง มี อ งค์ ป ระกอบปั จ จั ย อื่ น
ที ่ ส ่ ง ผลกระทบต่ อ ประสิ ท ธิ ภ าพหรื อ ระดั บ การให้ บ ริ ก ารของระบบ อาทิ การโจมตี ร ู ป แบบใหม่
ที ่ ไ ม่ เ คยพบมาก่ อ น เช่ น Zero-Day Exploit และ Unknown Malware การตั ้ ง ค่ า อุ ป กรณ์
หรือระบบสารสนเทศที่ผิดพลาด ปัญหาคอขวด ( Bottle Neck) บนระบบเครือข่าย
การควบคุมอุปกรณ์ประเภทใหม่ ๆ เช่น BYOD และ IoT ไม่ดีเพียงพอ ซึ่งอาจถูกใช้เป็นช่องโหว่โจมตีระบบได้
ปัญหาเชิงกายภาพ (Physical Security) เช่น ชิ้นส่วนอุปกรณ์มีปัญหา ไฟดับ อุณหภูมิและความชื้นผิดปกติ
เป็ น ต้ น ระบบการจั ด การเครื อ ข่ า ย (Network Management System) ซึ ่ ง ช่ ว ยวิ เ คราะห์ เฝ้ า ระวั ง
ประสิทธิภาพของระบบเครือข่ายควรประกอบด้วยคุณสมบัติดังต่อไปนี้
3.6.3.1 ควบคุมและจัดการอุปกรณ์รักษาความมั่นคงปลอดภัย
เพื่อให้มั่นใจได้ว่าอุปกรณ์เหล่านั้นทำงานได้อย่างถูกต้อง อาทิ ฐานข้อมูลภัยคุกคาม
อัปเดตล่าสุด ระบบสำรองข้อมูลทำงานได้ตามปกติ IPS กำลังทำงานอยู่ เป็นต้น
3.6.3.2 ช่วยสนับสนุนด้านความมั่นคงปลอดภัย
ในกรณี ท ี ่ เ กิ ด การโจมตี แ บบ Zero-Day ซึ ่ ง ทะลุ ผ ่ า นระบบรั ก ษาความมั ่ น คง
ปลอดภัย เข้ามาได้ ระบบฯ ควรสามารถตรวจจับพฤติกรรมที่ผิดแปลกไปจากเดิม เช่น ปริมาณ Traffic
ที่เพิ่มขึ้นจนผิดปกติ การใช้งาน Memory ที่เพิ่มสูงขึ้น
3.6.3.3 ตรวจสอบการทำงานของระบบเครือข่ายตลอดเวลา
ระบบฯ ควรติดตามการทำงานของระบบเครือข่ายตลอดเวลา ไม่ว่าจะเป็นฮาร์ดแวร์
ซอฟต์ แ วร์ หรื อ ข้ อ มู ล ที ่ บ นระบบฯ เพื ่ อ ช่ ว ยป้ อ งกั น ข้ อ มู ล รั ่ ว ไหลสู ่ ภ ายนอกและนำข้ อ มู ล ที ่ ไ ด้ ม
าปรับปรุงระบบให้มีประสิทธิภาพดียิ่งขึ้น
3.6.3.4 ติดตามการใช้อุปกรณ์ IoT
นอกจาก เครื่องคอมพิวเตอร์แม่ข่าย เครื่องคอมพิวเตอร์ และอุปกรณ์เครือข่ายแล้ว
ระบบ ควรสามารถติ ด ตามอุ ป กรณ์ IoT อาทิ อุ ป กรณ์ พ กพา กล้ อ งวงจรปิ ด อุ ป กรณ์ พ ิ ส ู จ น์ ต ั ว ตน
เพื่อให้มั่นใจได้ว่าอุปกรณ์ทั้งหมดที่เชื่อมต่อกับระบบเครือข่ายทำงานได้อย่างถูกต้อง
3.6.3.5 เฝ้าระวังแบบรวมศูนย์
สามารถแสดงผลข้อมูลทั้งหมดบนระบบเครือข่ายได้แบบรวมศูนย์ เห็ นถึงภาพรวม
ตี ค วามได้ ง ่ า ย และเป็ น ข้ อ มู ล ล่ า สุ ด ณ เวลานั ้ น ๆ รวมไปถึ ง สามารถแสดงข้ อ มู ล รายละเอี ย ด
เชิงลึกเมื่อต้องการได้ โดยมีตัวอย่างหน้าจอระบบจัดการเครือข่าย ดังแสดงในภาพที่ 3.6-4
ภาพที่ 3.6-4 ตัวอย่างหน้าจอระบบการจัดการเครือข่าย (Network Management System)
3.6.4 การจัดการความผิดพลาดและการจัดการการกู้คืนระบบ (Fault/Disaster Recovery

Management)
ในระบบเครือข่ายที่ครอบคลุมพื้นที่ให้บริการขนาดใหญ่ ดังเช่นระบบเครือข่ายของ อ.ส.ค.
และมี ข ้ อ มู ล สารสนเทศจำนวนมาก การบริ ห ารจั ด การความผิ ด พลาด (Fault Management)
และการจั ด การการกู ้ ค ื น ระบบ (Disaster Recovery Management) เป็ น องค์ ป ระกอบสำคั ญ
แห่งความสำเร็จของการบริห ารจัดการระบบดิจิทัลให้มีความพร้อมใช้งาน (Availability) และลดปัญหา
การหยุ ด ทำงาน (Downtime) อั น เนื ่ อ งมาจากความผิ ด พลาดของอุ ป กรณ์ ร ะบบดิ จ ิ ท ั ล ขององค์ ก ร
โดยสามารถสรุปสาระสำคัญดังต่อไปนี้
3.6.4.1 การจัดการความผิดพลาด (Fault Management)
แนวคิ ด สำคั ญ ของการจั ด การความผิ ด พลาด คื อ ความสามารถในการรู ้ ถึ ง
ความผิ ด พลาดที ่ เ กิ ด ขึ ้ น ในระบบเครื อ ข่ า ยอย่ า งทั นท่ ว งที และความสามารถในการวิ เ คราะห์ เ พื่ อระบุ
อุปกรณ์ที่เกิดความชำรุดบกพร่อง ตลอดจนสาเหตุของความชำรุดบกพร่อง เพื่อให้ระบบเทคโนโลยีสารสนเทศ
ขององค์กรมีความพร้อมใช้งาน (Availability) อยู่ตลอดเวลา นอกจากนั้น ความสามารถในการวิเคราะห์
กิจกรรมของอุปกรณ์ที่น่าสงสัย อาทิ อุปกรณ์ที่มีการใช้งาน CPU/Memory สูง การส่งข้อมูลที่ผิดพลาดบ่อย ๆ
หรือมีปัญหาด้านคุณภาพของการบริการ (Quality of Service) และการจัดกลุ่มสถานะของอุปกรณ์ออกเป็น
ปกติ มี ก ารแจ้ ง เตื อ น ต้ อ งการการแก้ ไ ข และไม่ ส ามารถระบุ ส ถานะ จะสามารถช่ ว ยให้
การจัดการความผิดพลาดของอุปกรณ์บนระบบเครือข่ายที่มีจำนวนมากเป็นไปอย่างมีประสิทธิภาพ
ในส่วนของการวิเคราะห์หาสาเหตุของความผิดพลาดนั้น การใช้โปรโตคอล ICMP

(Internet Control Message Protocol) และโปรโตรคอล SNMP (Simple Network Management
Protocol) สามารถเข้ า ถึ ง ข้ อ มู ล วิ จ ิ ฉ ั ย (Diagnostic Data) ของอุ ป กรณ์ ต ่ า ง ๆ บนระบบเครื อ ข่ า ย
และตรวจพบปัญหาเครือข่ายไม่มีเสถีย รภาพ อาทิ ระบบเครือข่ายช้า การสูญหายของ Packet ข้อมู ล
หรืออุปกรณ์เกิดปัญหา นอกจากนั้น ความสามารถในการเฝ้าระวังและแจ้งเตือนปัญหาความผิดพลาดที่เกิดขึ้น
ตลอดจนการติดตามแก้ไขปัญหาอย่างเป็นระบบ จะทำให้ลดปัญหาการหยุดทำงาน (Downtime) และระบบ
เทคโนโลยีสารสนเทศขององค์กรมีความพร้อมใช้งาน (Availability) อย่างต่อเนื่อง
โดยมีตัวอย่างหน้าจอระบบบริหารจัดการความผิดพลาด (Fault Management)
ดังในภาพที่ 3.6-5
ภาพที่ 3.6-5 ตัวอย่างหน้าจอระบบบริหารจัดการความผิดพลาด (Fault Management)
3.6.4.2 การจัดการการกู้คืนระบบกรณีเกิดภัยพิบัติ (Disaster Recover Management)

เป็นแผนงาน กระบวนงาน และระบบที่เกี่ยวข้องสำหรับการแก้ไขและกู้คืนระบบ
ในกรณีที่เกิดเหตุการณ์ภัยพิบัติซึ่งทำให้ระบบคอมพิวเตอร์และเทคโนโลยีสารสนเทศขององค์กรส่วนใหญ่หรือ
ทั้งหมดไม่สามารถทำงานได้ (System Down) ซึ่งการดำเนินการดังกล่าวเป็นผลจากการประเมินความเสี่ยง
ของการเกิดภัยพิบัติและแนวทางการป้องกันในระดับองค์กรที่เหมาะสม ซึ่งมีองค์ประกอบที่สำคัญ ได้แก่
1) แผนการรองรับและตอบสนองต่อการเกิดภัยพิบัติ (Emergency Response
Procedure)
2) การสำรองระบบและข้อมูลระยะยาว (Extended Backup Operation)
3) การบูรณะระบบ (Restoring Computing Facilities)
3.6.4.3 การจัดตั้งศูนย์คอมพิวเตอร์สำรอง
การจัดตั้งศูน ย์คอมพิว เตอร์ส ำรอง เป็นการดำเนินงานขั้นพื้นฐานสำหรับการ
จัดการการกู้คืนระบบกรณีเกิดภัยพิบัติ เพื่อรองรับการปฏิบัติงานขององค์กรในกรณีศูนย์คอมพิวเตอร์หลัก
เกิดความเสียหาย ทั้งนี้ ศูนย์คอมพิวเตอร์สำรองควรติดตั้งที่ระยะห่างจากศูนย์คอมพิวเตอร์หลักขององค์กร
พอสมควรโดยยึดหลักศูนย์คอมพิวเตอร์ทั้ง 2 แห่งต้องไม่ไ ด้รับผลกระทบจากภัยพิบัติพร้อมกัน โดยสามารถ
ดำเนินการเป็น 3 ลักษณะ ได้แก่
1) Hot Site เป็ น ศู น ย์ ค อมพิ ว เตอร์ ส ำรองที ่ ม ี อ ุ ป กรณ์ ซอฟต์ แ วร์
และระบบงานติดตั้งเหมือนกับศูนย์คอมพิวเตอร์หลัก โดยที่ระบบสำรอง
ทำงานร่ ว มกั บ ระบบหลั ก อยู ่ ต ลอดเวลา อุ ป กรณ์ ซอฟต์ แ วร์ ระบบงาน
หรื อ ข้ อ มู ล ที ่ ถ ู ก ปรั บ ปรุ ง ในระบบหลั ก จะถู ก ดำเนิ น การปรั บ ปรุ ง ใน
ศูนย์คอมพิวเตอร์สำรองตลอดเวลา เมื่อเกิดปัญหาขึ้นกับระบบใดระบบหนึ่ง
อีกระบบหนึ่งที่ศูนย์คอมพิวเตอร์สำรองก็จะสามารถให้บริการได้อย่างต่อเนื่อง
ไม่ส่งผลกระทบกับผู้ใช้งาน
2) Warm Site เป็ น ศู น ย์ ค อมพิ ว เตอร์ ส ำรองที ่ ม ี อ ุ ป กรณ์ ซอฟต์ แ วร์
และระบบงานติ ด ตั ้ ง เหมื อ นกั บ ศู น ย์ ค อมพิ ว เตอร์ ห ลั ก โดยทำงานแบบ
Standby ไม่ ไ ด้ ใ ช้ ง านจริ ง ข้ อ มู ล ที ่ ถ ู ก ปรั บ ปรุ ง ในระบบหลั ก
จะถูกปรับ ปรุ ง ในระบบสำรองตามช่ว งเวลาที ่ก ำหนด เมื่อเกิดปั ญ หากั บ
ระบบหลัก ระบบสำรองก็จะถูกนำมาใช้ งานได้ต่อเมื่อดำเนินการปรับปรุ ง
ข้อมูลส่วนที่ขาดหายไปให้ครบถ้วนเสียก่อน
3) Cold Site เป็ น ศู น ย์ ค อมพิ ว เตอร์ ส ำรองที ่ ม ี อ ุ ป กรณ์ ซอฟต์ แ วร์
และระบบงานติดตั้งเหมือนกับศูนย์คอมพิวเตอร์หลักแต่ไม่ได้มีการเปิดใช้งาน
จริงจะเปิดใช้งานก็ต่อเมื่อระบบหลักมีปัญหา การปรับปรุงความทันสมัยของ
ข้อมูลไปยังระบบสำรองก็จะมีความถี่น้อยกว่า Warm Site ดังนั้น เมื่อเกิด
ปัญหากับ ระบบหลักจะต้องใช้เวลาในการเปิดระบบสำรองนานกว่ า แบบ
Warm Site นอกจากนั้น ยังมีแนวคิดและเทคโนโลยีการสำรองข้อมูลอื่น ๆ
อาทิ Electronic Vaulting, Mirror Processing และ Hierarchy Storage
Management ซึ่งเป็นเทคโนโลยีทางเลือกในการสำรองระบบ
4) การทดสอบแผนกู้คืนระบบ
องค์ ป ระกอบสำคั ญ ของการจั ด การการกู ้ ค ื น ระบบ ได้ แ ก่ การทดสอบ
แผนกู้คืนระบบ เพื่อการฝึกฝนการดำเนินงานในกรณีการเกิดภัยพิบัติเสมือนตามกระบวนงานที่กำหนดขึ้น
และทดสอบระบบสำรองที่จัดเตรียมไว้ โดยการทดสอบสามารถดำเนินการได้หลายวิธี ดังต่อไปนี้
1) Checklist Test: ส่งมอบ Checklist ให้กับตัวแทนที่เกี่ยวข้องเพื่อใช้ในการ
ตรวจสอบว่าแผนกู้คืนระบบที่ได้จัดทำในทุกหัวข้อมีความครบถ้วนหรือไม่
วิธ ีน ี้เหมาะสมที่จะใช้โดยผู้ตรวจสอบภายใน เพื่อทำการตรวจสอบว่า
แผนกู้คืนระบบที่มีอยู่ควรได้รับการปรับปรุงหรือแก้ไขอย่างไร ตัวอย่างเช่น
มาตรฐาน ISO/IEC 17799 ประกอบด้ ว ยสิ ่ ง ที ่ ค วรปฏิ บ ั ต ิ ใ นการ
จัดทำแผนกู้คืนระบบ ซึ่งผู้ตรวจสอบสามารถใช้ประโยชน์เพื่อตรวจสอบ
ระบบขององค์กรได้
2) Structured Walk-Through Test ตั ว แทนที ่ เ กี ่ ย วข้ อ งทั ้ ง หมดประชุ ม
ร่วมกันเพื่อทบทวนแผนกู้คืนระบบที่ได้จัดทำแล้วเสร็จในทุกหัวข้อว่ามีปัญ
หาที่ต้องแก้ไขเพิ่มเติมหรือไม่ วิธีนี้เหมาะสมที่จะใช้ในกรณีที่เพิ่งจัดทำ
หรือปรับปรุงแผนกู้คืนระบบเสร็จ และต้องการให้ผู้ที่เกี่ยวข้องตรวจสอบ
ความถูกต้องและความเหมาะสมของขั้นตอนที่จัดทำหรือปรับปรุงขึ้น
3) Simulation Test: เป็ น การจำลองเหตุ ก ารณ์ ส มมติ ข ึ ้ น มาและให้ ผู้
ที่เกี่ยวข้องทั้งหมดปฏิบัติตามแผนกู้คืนระบบที่ได้จัดทำไว้เพื่อดูว่าแผนฯ
สามารถใช้ได้จริงกับเหตุการณ์ที่จะเกิดขึ้นหรือไม่ วิธีนี้จะใช้การจำลอง
สถานการณ์ต่างๆขึ้นมา เช่น ไฟไหม้ ไฟฟ้าขัดข้องหรือเหตุหยุดชะงักอื่นๆ
เพื่อทดสอบว่าผู้ที่เกี่ยวข้องทั้งหมดมีความรู้ความเข้าใจและสามารถปฏิบัติ
ได้ อ ย่ า งถู ก ต้ อ ง รวมทั ้ ง เพื ่ อ หาจุ ด อ่ อ นต่ า ง ๆ ในแผนกู ้ ค ื น ระบบ
เพื่อการปรับปรุงและพัฒ นาต่อไป วิธ ีนี้จะดำเนินการทดสอบไปจนถึง
ขั้นตอนที่มีการย้ายศูนย์ฯ จึงสิ้นสุดการทดสอบ
4) Parallel Test: เ ป ็ น ก า ร ท ด ส อ บ แ ผ น ก ู ้ ค ื น ร ะ บ บ โ ด ย ก ำ ห น ด
ให้ใช้งานทั้งระบบที่ศูนย์คอมพิวเตอร์หลักและศูนย์คอมพิวเตอร์สำรองไปพ
ร้ อ ม ๆ กั น และนำผลที่ ไ ด้ ม าเปรี ย บเที ย บกั น เพื ่ อ ดู ค วามถู ก ต้ อ ง
วิธีนี้เหมาะสมกับกรณีที่เพิ่งดำเนินการจัดทำระบบกู้คืนที่ศูนย์สำรองฯ
แล้วเสร็จ และต้องการตรวจสอบว่าสามารถทำงานได้อย่างถูกต้องเช่นเดียว
กับศูนย์หลักฯ หรือไม่
5) Full-Interruption Test: เป็ น การทดสอบที ่ เ สมื อ นเกิ ด เหตุ ก ารณ์ จ ริ ง
โดยการหยุดระบบที่ศูนย์คอมพิวเตอร์หลักและกำหนดให้ระบบที่ศูนย์
สำรองฯ ทำงานแทน เพื่อดูว่าสามารถทำงานได้จริงเหมือนศูนย์ห ลักฯ
หรือไม่ วิธีนี้เหมาะสำหรับกรณีที่ต้องการจำลองสถานการณ์ว่าศูนย์หลักฯ
เกิดความเสียหายและศูนย์สำรองจะสามารถใช้งานได้โดยปกติ
3.7 สถาปัตยกรรมองค์กร 4.0 ของ อ.ส.ค. (DPO EA 4.0) (สำหรับปี 2567)

จากผลการศึกษาวิเคราะห์ ที่ได้กล่าวมาข้างต้น ที่ปรึกษาฯ ได้กำหนดสถาปัตยกรรมองค์กร 4.0 ของ
อ.ส.ค. (DPO Enterprise Architecture 4.0) สถาปั ต ยกรรมด้ า นธุ ร กิ จ (Business Architecture)
สถาปั ต ยกรรมข้ อ มู ล (Data Architecture) สถาปั ต ยกรรมระบบงาน (Application Architecture)
สถาปัตยกรรมเทคโนโลยี (Technology Architecture) และสถาปัตยกรรมด้านความปลอดภัย (Security
Architecture) ตลอดจน หลักธรรมาภิบาลองค์กร (Enterprise Governance) การปฏิบัติตามระเบีย บ
ข้อบังคับ และมาตรฐาน (Regulation Compliance) การประเมินและตรวจสอบองค์กร (Insight and
Monitoring) การประเมิ น และตรวจสอบระบบดิ จ ิ ท ั ล (System Management and Monitoring)
ซึ่งมีความเหมาะสมและสอดรับกับแผนพัฒนาดิจิทัลฯ ของ อ.ส.ค. และแผนปฏิบัติการดิจิทัลฯ ของ อ.ส.ค .
ตลอดจนแนวโน้มด้านเทคโนโลยีดิจิทัลอันทันสมัย อาทิ ฐานงาน (Platform) คลังข้อมูล ระบบข้อมูลขนาดใหญ่
(Big Data) ระบบ Internet of Things (IoT) เพื ่ อ ให้ อ.ส.ค. มี ก ารพั ฒ นาอย่ า งมั ่ น คงสู ่ ก ารมี
สถาปัตยกรรมองค์กรที่สมบูรณ์ (Enterprise Architecture Maturity) และก้าวสู่การเป็นองค์กรดิจิทัล
หน้าที่ 3-100
(Digital Organization) อย่ า งยั ่ ง ยื น โดยแบ่ ง ออกเป็ น 2 ส่ ว น ได้ แ ก่ สถาปั ต ยกรรมองค์ ก รในปั จ จุ บั น
และสถาปัตยกรรมองค์กรในอนาคต ดังนี้
หน้าที่ 3-101
ภาพที่ 3.7-1 สถาปัตยกรรมองค์กรปัจจุบนั (As is) ของ อ.ส.ค.
หน้าที่ 3-102
ภาพที่ 3.7-2 สถาปัตยกรรมองค์กรในอนาคต (To be) ของ อ.ส.ค.
หน้าที่ 3-103
บทที่ 4
การนำสถาปัตยกรรมองค์กร 4.0 ของ อ.ส.ค. (สำหรับปี 2567) ไปใช้งาน
สาระสำคัญหลักที่ชี้ให้เห็นถึงแนวทางการนำสถาปัตยกรรมองค์กรในอนาคตที่ได้ปรับปรุง (TO-BE
Enterprise Architecture) ของ อ.ส.ค.ไปใช้ ง าน ประกอบด้ ว ย รู ป แบบพั น ธสั ญ ญาสู ่ ค วามสำเร็ จ
(Engagement Model) การกำกับ ดูแลด้ านเทคโนโลยีดิจิ ทัล (Digital Governance) กลไกการเชื่อ มต่ อ
(Linkage Mechanism) เพื่อการนำสถาปัตยกรรมองค์กรไปใช้ อ ย่า งมีประสิทธิภ าพ การบริห ารจั ด การ
เทคโนโลยี ด ิ จ ิ ท ั ล (Digital Technology Management) แผนการดำเนิ น งานพั ฒ นาและการนำระบบ
เทคโนโลยีดิจิทัลไปใช้งาน (Digital Development and Deployment) การประเมินผลการพัฒนาและการ
นำระบบเทคโนโลยีดิจิทัลไปใช้งาน (Digital Technology Evaluation) และแนวคิดสถาปัตยกรรมองค์กร
กับการจ้างเหมาบริการ (EA and Outsourcing)
4.1. รูปแบบพันธสัญญาสู่ความสำเร็จ
การพัฒนารากฐานของระบบเทคโนโลยีดิจิทัลที่มีประสิทธิภาพและสามารถเพิ่มขีดความสามารถให้กับ
องค์ ก รของ อ.ส.ค. (DPO Capabilities) จำเป็ น ที ่ จ ะต้ อ งอาศั ย การมี ส ่ ว นร่ ว มของผู ้ ม ี ส ่ ว นได้ ส ่ ว นเสี ย
(Stakeholders) ให้การสนับสนุนตลอดวงจรของการพัฒนา (Development Life Cycle) กล่าวคือ ทุกฝ่ายที่
เกี่ยวข้องจะต้องมีบทบาทและความรับผิดชอบในระหว่างการออกแบบ การพัฒนา และการนำระบบเทคโนโลยี
ดิจิทัลไปใช้งาน รวมถึงการเพิ่มขีดความสามารถในด้านกระบวนงานทางธุรกิจให้มีความสอดคล้องกับกรอบ
สถาปัตยกรรมองค์กรที่ได้พัฒนาปรับปรุงขึ้น โดยที่รูปแบบพันธสัญญาด้านดิจิทัล (Digital Engagement Model)
ที่กำหนดขึ้นจะช่วยให้เกิดการจัดวางแนวที่สอดคล้อง (Alignment) ระหว่างเทคโนโลยีดิจิทัล กระบวนงาน และ
กระบวนการตัดสินใจของผู้บริหาร รวมทั้งช่วยในการสื่อสารและประสานงานระหว่างผู้บริหาร หน่วยธุรกิจและ
ระดั บ ที ม งานโครงการ (Project Team) ดั ง แสดงในภาพที ่ 4.1-1 ซึ ่ ง รู ป แบบพั น ธสั ญ ญาสู ่ ค วามสำเร็ จ
(Engagement Model) นี้ จะช่วยให้การพัฒนารากฐานของระบบเทคโนโลยีดิจิทัลเป็นไปอย่างมีประสิทธิภาพ
และสามารถเพิ่มขีดความสามารถให้กับองค์กรของ อ.ส.ค. (DPO Capabilities) ได้ในอนาคต
ภาพที่ 4.1-1 รูปแบบพันธสัญญาสู่ความสำเร็จ (Engagement Model) ของการนำสถาปัตยกรรมองค์กรด้านดิจิทัล
ไปใช้งาน
4.1.1. องค์ประกอบของรูปแบบพันธสัญญาสู่ความสำเร็จ (Engagement Ingredients)
รูปแบบพันธสัญญาสู่ความสำเร็จ (Engagement Model) เป็นระบบกลไกในการควบคุมที่จะ
ช่วยขับเคลื่อนการพัฒนาด้านกระบวนงานทางธุรกิจ (Business Process) และโครงการด้านเทคโนโลยีดิจิทัล
ให้ประสบความสำเร็จตามวัตถุประสงค์ของทั้งในระดับหน่วยธุรกิจ (Local Objectives) และระดับองค์กร
(Companywide Objectives) ภายใต้ กรอบสถาปั ตยกรรมองค์ ก รของ อ.ส.ค. ซึ ่ ง รู ป แบบพั น ธสั ญ ญาสู่
ความสำเร็จ (Engagement Model) มีองค์ประกอบหลัก 3 ส่วน ดังนี้
(1) การกำกับดูแลด้านเทคโนโลยีดิจิทัล (Digital Governance) เป็นกรอบอำนาจและความ
รับผิดชอบ (Rights and Accountability Framework) ในการตัดสินใจเพื่อการบริหาร
จัดการและการนำเทคโนโลยีดิจิทัลไปใช้งานขององค์กร
(2) การบริหารจัดการโครงการเทคโนโลยีดิจิทัล (Digital Technology Project Management) เป็น
กรรมวิธีในการบริหารจัดการโครงการ (Project Methodology) ซึ่งจะกำหนดแนวทาง
วิธีการและขั้นตอนรวมถึงสิ่งส่งมอบ (Deliverables) และการตรวจสอบคุณภาพของระบบ
เทคโนโลยีดิจิทัลตามมาตรฐานงานต่าง ๆ
(3) กลไกการเชื่อมต่อ (Linkage Mechanism) เพื่อการนำสถาปัตยกรรมองค์กรไปใช้ อย่างมี
ประสิทธิภาพ เป็นกระบวนงานในการประสานความเข้าใจและการตัดสินใจ (Connecting
and Decision-Making Processes) ที่จะทำให้เกิดการวางแนวที่สอดคล้องในด้านธุรกิจ
การบริหารองค์กรและเทคโนโลยีดิจิทัล รวมทั้งในด้านการเชื่อมโยงความต้องการทาง
ธุรกิจไปสู่การดำเนินโครงการเทคโนโลยีดิจิทัลอย่างมีประสิทธิภาพ
รายละเอียดของแต่ละองค์ประกอบหลักของรูปแบบพันธสัญญาสู่ความสำเร็จ (Engagement Model) ทั้ง 3
ส่วน ได้อธิบายในหัวข้อ 4.2 – 4.4
4.1.2. แนวปฏิบัติที่ดีในการสร้างพันธสัญญาสู่ความสำเร็จ (Best Practices for Engagement)
ในองค์ประกอบหลักทั้ง 3 ส่วนของรูปแบบพันธสัญญาสู่ความสำเร็จ (Engagement Model)
นั้น จะมีความสำคัญต่อการพัฒนาคุณค่าและการเพิ่มขีดความสามารถให้แก่องค์กร กล่าวคือ การกำกับดูแล
ด้านเทคโนโลยีดิจิทัล (Digital Governance) ที่มีประสิทธิภาพจะช่วยให้เกิดความชัดเจนในการกำหนดผู้มี
อำนาจตัดสินใจและความรับผิดชอบของบุคลากรในแต่ละโครงการที่มีความชัดเจน การบริหารจัดการโครงการ
เทคโนโลยีดิจิทัล (Digital Technology Project Management) ที่ดี จะทำให้สามารถลดความเสี่ยง ลด
ต้น ทุน และดำเนิน โครงการได้ตามกำหนดระยะเวลา โดยบรรลุถึงวัตถุประสงค์ของโครงการได้อย่ า งมี
ประสิทธิผล นอกจากนี้การที่มีกลไกการเชื่อมต่อ (Linkage Mechanism) เพื่อการนำสถาปัตยกรรมองค์กรไป
ใช้อย่างมีประสิทธิภาพ จะก่อให้เกิดการมีส่วนร่วมในการสนทนาแลกเปลี่ยนความคิดเห็นและการตัดสินใจที่
ถูกต้องในการบริหารจัดการทั้งด้านกระบวนงานทางธุรกิจและโครงการเทคโนโลยีดิจิทัล ซึ่งการดำเนินการนำ
สถาปัตยกรรมองค์กรของ อ.ส.ค. ไปใช้งานโดยใช้องค์ประกอบทั้ง 3 ส่วนร่วมกันในการขับเคลื่อนจะทำให้เกิด
วัฒนธรรมและพฤติกรรมที่ดีในการสร้างรากฐานที่มั่นคงในการพัฒนาและเพิ่มขีดความสามารถขององค์กรตาม
สถาปัตยกรรมองค์กรและแผนพัฒนาดิจิทัลสู่ความสำเร็จได้ในอนาคต
จากการรวบรวมข้อมูล แนวปฏิบัติที่ดี (Best Practices) ในการสร้างรูปแบบพันธสัญญาสู่
ความสำเร็ จ (Engagement Model) สามารถสรุ ป เป็ น หลั ก ปฏิ บ ั ต ิ (Principles) ในการกำกั บ ดู แ ลด้ า น
เทคโนโลยีดิจิทัล (Digital Governance) การบริหารจัดการโครงการเทคโนโลยีดิจิทัล (Digital Technology
Project Management) และการที่มีกลไกการเชื่อมต่อ (Linkage Mechanism) เพื่อการนำสถาปัตยกรรม
องค์กรไปใช้อย่างมีประสิทธิภาพได้ ดังต่อไปนี้
(1) การกำหนดวัตถุประสงค์ที่ชัดเจน (Clear, Specific, and Actionable Objectives) เพื่อ
กำหนดเป้าหมายและกลยุทธ์ที่ชัดเจนโดยจะระบุถึงมาตรฐาน (Standardization) และ
ความต้ อ งการในด้ า นการบู ร ณาการระบบเทคโนโลยี ด ิ จ ิ ท ั ล (Digital Integration
Requirements) ที่ชัดเจน ซึ่งวัตถุประสงค์ดังกล่าวจะต้องได้รับความเห็นชอบจากผู้บริหาร
ระดับสูงเพื่อกำหนดเป็นนโยบายและแนวทางในการดำเนินการพัฒนาระบบเทคโนโลยี
ดิจิทัลต่อไป
(2) การส่ ง เสริ ม เพื ่ อ ให้ บ รรลุ เ ป้ า หมายขององค์ ก ร (Motivation to Meet Company
Goals) ซึ่งเป็นวิธีการในการโน้มน้าวและสร้างแรงจูงใจให้ แก่ผู้เกี่ยวข้องในการบริหาร
จั ด การในแต่ ล ะสายงานธุ ร กิ จ ผู ้ จ ั ด การโครงการเทคโนโลยี ด ิ จ ิ ท ั ล ผู ้ จ ั ด การด้ า น
สถาปั ต ยกรรมองค์ ก ร (ถ้ า มี ) และที ม งานโครงการ เมื ่ อ โครงการต่ า ง ๆ ประสบ
ความสำเร็จ โดยอาจมีรูปแบบต่าง ๆ อาทิ โบนัสพิเศษ การประเมินผลงาน การประเมิน
ประสิทธิภาพการทำงาน
(3) การบังคับใช้อำนาจ (Enforcement Authority) เป็นวิธีการที่ใช้ควบคู่กับการส่งเสริม
เพื ่ อ ให้ บ รรลุ เ ป้ า หมายขององค์ ก ร โดยการบั ง คั บ ใช้ อ ำนาจในที ่ น ี ้ จ ะเน้ น ให้ เ กิ ด
กระบวนงานในการบริหารจัดการที่เป็นระบบ อาทิ กระบวนงานในการเปลี่ยนแปลง
(Changes) การยกเลิกการใช้งานระบบงานหรือการบริการด้านดิจิทัล (Discontinuing)
หรือการอนุญาตเป็นกรณีพิเศษ (Exceptional Grant) สำหรับโครงการเทคโนโลยีดิจิทัล
ที่ไม่เป็นไปตามกรอบหรือเป้าหมายของสถาปัตยกรรมขององค์กร เป็นต้น
(4) การป้องกันความล้มเหลวตั้งแต่ระยะเริ่มต้น (Early Intervention and Prevention) เป็น
การเข้าร่วมจัดการและป้องกันปัญหาตั้งแต่ระยะเริ่มต้นของโครงการโดยเข้าใจถึงความ
ต้ อ งการของโครงการด้ า นธุ ร กิ จ (Business Project) และมี ส ่ ว นในการออกแบบ
กระบวนงานและระบบงานรวมถึงเทคโนโลยีดิจิทัลที่ดีและเหมาะสมที่สุด เพื่อป้องการ
ความล้มเหลวในการพัฒนาโครงการเทคโนโลยีดิจิทัล และเป็นการเรียนรู้เพื่อพัฒนา
ปรับปรุงโครงสร้างของสถาปัตยกรรมองค์กรไปพร้อม ๆ กัน
(5) ก า ร ส ื ่ อ ส า ร ส อ ง ท า ง ด ้ ว ย ค ว า ม โ ป ร ่ ง ใ ส (Transparent, Regular, Two-way
Communication) เป็นการสื่อสารที่มีประสิทธิภาพเพื่อให้เกิดความเข้าใจที่ตรงกันของ
ทุกฝ่าย โดยมีวัตถุประสงค์เพื่อให้เกิดการวางแนวที่สอดคล้อง (Alignment) และการ
ประสานงาน (Coordination) ระหว่างสายงานธุรกิจ (Business Unit) และฝ่ายบริหาร
จัดการเทคโนโลยีดิจิทัล ขององค์กร ซึ่งจะเน้นการสื่อสารอย่างสม่ำเสมอทั้งสองทาง
(Regular Two-way Communication) ซึ่งการสร้ างบริบ ทในการสื่ อสารดั ง กล่ า วจะ
ก่อให้เกิดการเรียนรู้ซึ่งกันและกัน การประนีประนอมในสิ่งหรือความคิดเห็ นที่แตกต่าง
และที่สำคัญคือการสร้างความเข้าใจที่ถูกต้องตรงกันเพื่อการพัฒนาระบบเทคโนโลยีดิจิทัล
และกระบวนงานทางธุรกิจขององค์กรให้เกิดประสิทธิภาพสูงสุด
4.2. การกำกับดูแลด้านเทคโนโลยีดิจิทลั
การกำกับดูแลด้านเทคโนโลยีดิจิทัล (Digital Governance) หรือที่เรียกว่า “ธรรมาภิบาลด้านดิจิทัล
(Digital Governance)” เป็นกรอบอำนาจและความรับผิดชอบ (Rights and Accountability Framework)
ในการตัดสินใจเพื่อการบริหารจัดการและการนำเทคโนโลยีดิจิทัลไปใช้งานขององค์กร ซึ่งการกำกับดูแลด้าน
เทคโนโลยีดิจ ิทัล ดังกล่าวจะต้องเป็ น ส่ว นประกอบที่ส ำคัญในกระบวนการพัฒ นาสถาปัตยกรรมและขีด
ความสามารถขององค์กร เนื่องจากการพัฒนาและการบริหารจัดการด้านดิจิทัลมีส่วนเกี่ยวข้องกับหน่วยงาน
และผู้บริหารในหลายด้าน อาทิ ด้านการเงิน ทรัพยากรบุคคล องค์ความรู้และสิทธิ์บัตร รวมถึงทรัพย์สินต่าง ๆ
เป็นต้น โดยเฉพาะกระบวนการตัดสินใจในการอนุมัติงบประมาณ การอนุมัติดำเนินการโครงการ และการ
บริหารทรัพย์สินขององค์กร ที่ต้องอาศัยการเชื่อมโยงและการวางแนวที่สอดคล้อง (Alignment) ในระดับสาย
งานธุรกิจและระดับ องค์กรโดยรวม ซึ่ง อ.ส.ค. สามารถใช้การกำกับดูแลด้านเทคโนโลยีดิจิทัล (Digital
Governance) ดังกล่าวนี้ เพื่อช่วยในการวางกรอบการบริหารจัดการและการนำเทคโนโลยีดิจิทัลไปใช้งานของ
องค์กรใน 5 ด้าน ดังนี้
4.2.1. หลักการด้านดิจิทัล (Digital Principle)
เป็นหลักการสำหรับผู้บริหารในการตัดสินใจในประเด็นที่เกี่ยวข้องกับกลยุทธ์การใช้เทคโนโลยี
ดิจิทัลการดำเนินธุรกิจเพื่อให้เกิดประสิทธิภาพและขีดความสามารถในการแข่งขันทางธุรกิจ
4.2.2. สถาปัตยกรรมองค์กร (Enterprise Architecture)
เป็น พิมพ์เ ขีย วของโครงสร้า งการจัด การด้า นกระบวนงานทางธุร กิจ และด้านการพั ฒ นา
เทคโนโลยีดิจิทัลขององค์กร โดยมีตรรกะและความสอดคล้องในการบริหารจัดการและการดำเนินโครงการ
ด้านดิจิทัล
4.2.3. กลยุทธ์ด้านโครงสร้างพื้นฐานดิจิทัล (Digital Infrastructure Strategies)
เป็ น ระบบพื ้ น ฐานด้ า นสารสนเทศและเครื อ ข่ า ยสื ่ อ สารข้ อ มู ล รวมถึ ง ระบบการบริ ก าร
สารสนเทศที่มีการใช้งานร่วมกันของทุกหน่วยงานภายในองค์กร
4.2.4. ความต้องการด้านธุรกิจ (Business Needs)
เป็นข้อมูลความต้องการเชิงธุรกิจและกระบวนงานที่ใช้เป็นข้อมูลในการกำหนดความต้องการ
ด้านระบบเทคโนโลยีดิจิทัลเพื่อการพัฒนาหรือการจัดหาระบบฯ เพื่อการใช้งานและสร้างขีดความสามารถของ
องค์กร
4.2.5. การลงทุนและลำดับความสำคัญด้านดิจิทัล (Digital Investment and Prioritization)
เป็นกระบวนการในการจัดลำดับความสำคัญ การตัดสินเพื่อการลงทุนและงบประมาณเพื่อการ
อนุมัติดำเนินการโครงการด้านเทคโนโลยีดิจิทัลอย่างเหมาะสมโดยผู้บริหารและผู้จัดการที่เกี่ยวข้อง
เพื่อให้เข้าใจถึงบทบาทและความรับผิดชอบของแต่ละฝ่ายในการกำกับดูแลด้านเทคโนโลยีดิจิทัล (Digital
Governance) ที่ปรึกษาฯ ได้จัดทำตารางประเด็นคำถามต่อการตัดสินใจในด้านที่เกี่ยวข้องกับเทคโนโลยีดิจิทัล ดัง
แสดงในตารางที่ 4.2-1 ซึ่งจากคำถามในประเด็นที่เกี่ยวข้องชี้ให้เห็นถึงความสำคัญขององค์กรของ อ.ส.ค. ในการที่
จะต้องกำหนดบทบาทและความรับผิดชอบ รวมถึงกระบวนการตัดสินใจในด้ านกระบวนงานทางธุรกิ จและ
เทคโนโลยีดิจิทัลที่มีแบบแผนและแนวทางที่ชัดเจนโดยมีสถาปัตยกรรมองค์กรเป็นองค์ประกอบร่ วมกับคณะ
ผู้บริหาร หัวหน้าฝ่าย/สำนักงาน ผู้จัดการโครงการ รวมถึงผู้บริหารด้านสารสนเทศ (CIO) และผู้มีส่วนได้ส่วนเสีย
เพื่อให้การพัฒนากระบวนงานและเทคโนโลยีดิจิทัลเป็นไปอย่างมีประสิทธิผลและเกิดความยั่งยืนต่อไป
ตารางที่ 4.2-1 ประเด็นหลักที่สำคัญที่เกี่ยวข้องกับการดัดสินใจด้านด้านเทคโนโลยีดิจิทัล (Key Issues for Digital Decision)
ประเด็นหลักที่สำคัญ คำถามที่เกี่ยวข้อง
หลักการด้านดิจิทัล • รูปแบบการปฏิบัติงาน (Operating Model) ของ อ.ส.ค. มีผลต่อ
(Digital Principle) หลักการบริหารจัดการด้านดิจิทัล (Digital Principle) อย่างไร? ซึ่ง
ยังผลต่อแนวทางการตัดสินใจด้านเทคโนโลยีดิจิทัลของ อ.ส.ค.
• บทบาทที่สำคัญของเทคโนโลยีดิจิทัลต่อรูปแบบการปฏิบัติงานมี
อะไรบ้าง?
• พฤติกรรมการตัดสินใจด้านเทคโนโลยีดิจิทัลขององค์กร อ.ส.ค. เป็น
อย่างไร?
• ใครเป็นผู้อนุมัติการลงทุนด้านเทคโนโลยีดิจิทัล ระหว่างผู้บริหาร
สูงสุด หรือระดับสายงานธุรกิจของ อ.ส.ค.?
สถาปัตยกรรมองค์กร • อะไรเป็นกระบวนงานทางธุรกิจหลัก (Core Business Processes)
(Enterprise Architecture) ของ อ.ส.ค.? และแต่ละกระบวนงานมีความเชื่อมโยงกันอย่างไร?
• ข้อมูลหรือสารสนเทศอะไรบ้างที่เป็นหลักสำหรับกระบวนงานทาง
ธุ ร กิ จ หลั ก ของ อ.ส.ค.? และข้ อ มู ล เหล่ า นี ้ ม ี ก ารบู ร ณาการกั น
• ขีดความสามารถของเทคโนโลยีในด้านใดที่ควรเป็นมาตรฐานใน
ระดั บ องค์ ก รของ อ.ส.ค. เพื ่ อ การสนั บ สนุ น การใช้ ง านที ่ มี
ประสิทธิภาพและช่วยสร้างกระบวนงานและการบูรณาการที่ไ ด้
มาตรฐาน?
• กระบวนงานหรือกิจกรรมใดของ อ.ส.ค. ที่ควรจัดหรือยกระดับ
มาตรฐานในระดับองค์กรเพื่อให้เกิดการบูรณาการด้านข้อมูล ที่ดี
และมีประสิทธิภาพมากยิ่งขึ้น?
• ทางเลือกด้านเทคโนโลยีดิจิทัล ใดบ้างที่สามารถนำมาใช้ในการ
พัฒ นาโครงการนำร่องหรือใช้งานในระยะเริ่มต้นในองค์กรของ
อ.ส.ค. ได้?
กลยุทธ์ด้านโครงสร้างพื้นฐาน • บริการใดในระบบโครงสร้างพื้นฐานของ อ.ส.ค. ที่สนับสนุนรูปแบบ

ดิจิทัล (Digital Infrastructure การปฏิบัติงานอย่างมีนัยสำคัญ?
strategies) • บริการใดในระบบโครงสร้างพื้นฐานของ อ.ส.ค. ที่ควรยกระดับเป็น
บริการที่ใช้ร่วมกันในระดับองค์กร?
• ระดับการให้บริการ (Service Level) ของการบริการดังกล่าวเป็น
• ควรกำหนดราคาในการบริ ก ารโครงสร้ า งพื ้ น ฐานของ อ.ส.ค.
• มี แ ผนงานอย่ างไรในการปรั บปรุง ระบบโครงสร้ างพื ้น ฐานของ
อ.ส.ค. ให้ทันสมัย?
• บริการใดในระบบโครงสร้างพื้นฐานของ อ.ส.ค. ที่ควรเป็นการจ้าง
เหมาบริการ (Outsource)
ความต้องการด้านธุรกิจ • อะไรเป็นกระบวนงานด้านธุรกิจของ อ.ส.ค. ที่แปลกใหม่ที่จะส่งผล
(Business Needs) ต่อการพัฒนาระบบงานเพื่อรองรับธุรกิจใหม่?
• ความต้องการด้านธุรกิจสามารถบรรจุลงในสถาปัตยกรรมองค์กร
ของ อ.ส.ค. ได้อย่างไร?
• เมื่อไรที่ความต้องการด้านธุรกิจของ อ.ส.ค. จะเป็นตัวกำหนดการ
ปรับเปลี่ยนมาตรฐานที่มีอยู่ขององค์กร?
• ใครเป็นผู้รับผิดชอบต่อผลลัพธ์ในการดำเนินงานแต่ละโครงการ
รวมทั้งการเปลี่ยนแปลงเพื่อเพิ่มคุณค่าให้แก่องค์กรของ อ.ส.ค.?
• โครงการนำร่องในด้านใดของ อ.ส.ค. ที่ควรให้ความสำคัญ? และจะ
มีการวัดผลสัมฤทธิ์ของโครงการนั้นอย่างไร?
การลงทุนและลำดับความสำคัญ • การเปลี่ยนแปลงหรือการปรับปรุงของกระบวนงานทางธุรกิจใดเป็น
ด้านดิจิทัล กลยุทธ์ที่สำคัญของ อ.ส.ค.?
(Digital Investment and • การพั ฒ นาด้ า นเทคโนโลยี ด ิ จ ิ ท ั ล ใดที ่ ส อดคล้ อ งและสนั บ สนุ น
Prioritization) วัตถุประสงค์เชิงธุรกิจของ อ.ส.ค.?
• อะไรมีความสำคัญต่อ อ.ส.ค. มากกว่ากันระหว่างการลงทุนด้าน
เทคโนโลยีดิจิทัล ในระดับองค์กรกับ การลงทุนในระดับสายงาน
ธุรกิจ?
• อะไรเป็ น จุ ด ความสมดุ ล ระหว่ า งโครงการตามนโยบาย (Top-
Down) กั บ โครงการตามความต้ อ งการของฝ่ า ยปฏิ บ ั ต ิ ก าร
(Bottom-Up) เพื่อรักษาจุดแข็งของการมีมาตรฐานและนวัตกรรม
ทางความคิด?
ในด้านการอำนวยการและกำกับดูแลการบริหารเทคโนโลยีดิจิทัลเพื่อให้เกิดการบูรณาการที่ดีและมี
ประสิทธิภาพสูงสุด อ.ส.ค. ควรกำหนดรูปแบบระเบียบวิธีการและคณะบุคคลเพื่อการตัดสินใจในการดำเนินการที่
เกี่ยวข้องกับกระบวนงานทางธุรกิจและการพัฒนาด้านเทคโนโลยีดิจิทัล ดังตัวอย่างในตารางที่ 4.2-2 โดยอาจ
แต่งตั้งและกำหนดบทบาทและอำนาจหน้าที่ในการตัดสินใจให้แก่คณะกรรมการและคณะทำงานต่าง ๆ ดังนี้
(1) คณะกรรมการดิจิทัล (DPO Digital Committee) ของ อ.ส.ค.
ประกอบด้วย ผู้อำนวยการ รองผู้อำนวยการ ผู้ช่วยผู้อำนวยการ มีอำนาจหน้าที่ในการ
กำหนดนโยบายและหลักการด้านดิจิทัล รวมถึงการกำหนดเป้าหมายหลักของการพัฒ นา
กระบวนงานทางธุรกิจและเทคโนโลยีดิจิทัลในระดับองค์กร (Companywide Goals) ตาม
ยุทธศาสตร์ของแผนพัฒนาดิจิทัลฯ และแผนวิสาหกิจฯ ของ อ.ส.ค. นอกจากนี้คณะกรรมการ
ดิ จ ิ ท ั ล (DPO Digital Committee) จะทำหน้ า ที ่ ใ นการพิ จ ารณาด้ า นการลงทุ น และการ
จัดลำดับความสำคัญของโครงการเทคโนโลยีดิจิทัล โดยร่วมกับคณะผู้บริหารระดับฝ่ายต่าง ๆ
(Companywide Operation หรือ CWO Unit) พร้อมด้วยหัวหน้าฝ่ายบัญชีและการเงิน เพื่อ
พิจารณาอนุมัติดำเนินการ
(2) คณะผู้บริหารระดับฝ่ายต่าง ๆ (Companywide Operation หรือ CWO Unit)
โดยรับนโยบายจากคณะอนุกรรมการพัฒนาเทคโนโลยีดิจิทัลของ อ.ส.ค. ทำหน้าที่ในการ
กำหนดรู ป แบบและการอำนวยการโครงการด้ า นเทคโนโลยี ด ิ จ ิ ท ั ล ในระดั บ องค์ ก ร
(Companywide Project) ที่อนุมัติห รือให้ความเห็นชอบโดยคณะกรรมการดิจิทัล (DPO
Digital Committee) ของ อ.ส.ค.
(3) คณะบริหารด้านเทคโนโลยีดิจิทัล (Digital Unit)
ซึ่งมีรองผู้อำนวยการที่ดูแลด้านเทคโนโลยีดิจิทัล (CIO) และผู้จัดการด้านสารสนเทศ
รวมถึงวิศวกรและทีมงานด้านเทคนิค มีอำนาจหน้าที่ในการบริหารจัดการโครงการ การบริการ
ระบบโครงสร้างพื้นฐานเพื่อให้เกิดการใช้งานร่วมกันอย่างมีประสิทธิภาพและประหยัดต้นทุน
และจัดทำแผนงานด้านเทคโนโลยีดิจิทัลตามกรอบสถาปัตยกรรมองค์กรของ อ.ส.ค.
(4) คณะกรรมการสถาปัตยกรรมองค์กร (DPO Enterprise Architecture) ของอ.ส.ค.
ประกอบด้วย รองผู้อำนวยการที่ดูแลด้านเทคโนโลยีดิจิทัล (CIO) คณะทำงานด้านดิจิทัล
และที่ปรึกษาด้านเทคโนโลยีดิจิทัล มีอำนาจหน้าที่สนับสนุนคณะบริหารด้านเทคโนโลยี ดจิ ิทัล
(Digital Unit) ในการกำหนดมาตรฐานทั้งด้านเทคโนโลยี และคุณภาพงาน (Technology
and Work Standard) ด้วยกรอบสถาปัตยกรรมองค์กรของ อ.ส.ค. เพื่อกำหนดความต้องการ
ที่มีลักษณะร่วมกัน (Common Needs) ของทุกสายงานธุรกิจและทุกโครงการที่เกี่ยวข้องกับ
เทคโนโลยีดิจิทัล รวมทั้งการปรับปรุงและพัฒนาสถาปัตยกรรมองค์กรของ อ.ส.ค. ให้ มีความ
ทันสมัยเป็นระดับขั้นของการพัฒนาสถาปัตยกรรมองค์กร (Enterprise Architecture Stage)
สู่การมีสถาปัตยกรรมองค์กรที่สมบูรณ์ (Enterprise Architecture Maturity) ในอนาคต
(5) คณะทำงานด้านดิจิทัล (DPO Digital Taskforce) ของ อ.ส.ค.
ประกอบด้วย หัวหน้าฝ่ายเทคโนโลยีดิจิทัล เจ้าหน้าที่เทคนิค (จำนวน 5 คน ขึ้นไป) และที่
ปรึกษาด้านเทคนิคเฉพาะทาง (Technical Specialists) มีอำนาจหน้าที่ในการสนับสนุนข้อมูล
เชิงกลยุทธ์ ด้านเทคนิค และรายละเอียดของแผนงาน งบประมาณและเทคโนโลยีต่าง ๆ ให้แก่
คณะบริ ห ารด้ า นเทคโนโลยี ด ิ จ ิ ท ั ล (Digital Unit) คณะผู ้ บ ริ ห ารระดั บ ฝ่ า ยต่ า ง ๆ
(Companywide Operation หรื อ CWO Unit) และคณะกรรมการดิ จ ิ ท ั ล (DPO Digital
Committee) เพื่อประกอบการตัดสินใจและการดำเนินการโครงการด้านเทคโนโลยีดิจิทัลต่าง ๆ
ของ อ.ส.ค.
ตารางที่ 4.2-2 การกำกับดูแลด้านเทคโนโลยีดิจิทัล (Digital Governance)
การตัดสินใจด้านดิจิทัล การบริหารจัดการและกระบวนการ
(Digital Decision) (Management and Process)
หลักการด้านดิจิทัล จัดตั้งคณะกรรมการดิจิทัล (DPO Digital Committee) ของ อ.ส.ค.
(Digital Principle) ประกอบด้วย ผู้ อำนวยการ รองผู้ อำนวยการ ผู้ ช่ว ยผู้ อำนวยการ
และคณะผู้ บ ริ ห ารระดับฝ่ายต่าง ๆ (Companywide Operation
หรื อ CWO Unit) โดยรั บ นโยบายจากคณะอนุ ก รรมการพั ฒ นา
เทคโนโลยีดิจิทัลของ อ.ส.ค.
สถาปัตยกรรมองค์กร จั ด ตั ้ ง คณะกรรมการสถาปั ต ยกรรมองค์ ก ร (DPO Enterprise
(Enterprise Architecture) Architecture) ของอ.ส.ค. ประกอบด้วย รองผู้อำนวยการที่ดูแล
ด้านเทคโนโลยีดิจิทัล (CIO) คณะทำงานด้านดิจิทัล และที่ปรึกษา
ด้านเทคโนโลยีดิจิทัล
กลยุทธ์ด้านโครงสร้างพื้นฐานดิจิทัล จัดตั้งคณะทำงานด้านดิจิทัล (DPO Digital Taskforce) ของ อ.ส.ค.
(Digital Infrastructure ประกอบด้วย หัวหน้าฝ่ายเทคโนโลยีดิจิทัล เจ้าหน้าที่เทคนิค (จำนวน
Strategies) 5 คน ขึ ้ นไป) และที ่ ปรึ ก ษาด้ า นเทคนิ ค เฉพาะทาง (Technical
Specialists)
ความต้องการด้านธุรกิจ คณะผู้บริหารระดับฝ่ ายต่าง ๆ (CWO Unit) กำหนดวิสัยทัศน์และ
(Business Needs) ความต้องการระบบบูรณาการระดับองค์กร (Enterprise Systems)
หัวหน้าฝ่ายแต่ละฝ่าย กำหนดวิสัยทัศน์และความต้องการระบบงาน
เฉพาะสายงาน (Local Application)
การตัดสินใจด้านดิจิทัล การบริหารจัดการและกระบวนการ
(Digital Decision) (Management and Process)
การลงทุนและลำดับความสำคัญ คณะกรรมการดิจิทัล (DPO Digital Committee) โดยร่วมกับคณะ
ด้านดิจิทัล (Digital Investment ผู้บริหารระดับฝ่ายต่าง ๆ (Companywide Operation หรือ CWO
and Prioritization) Unit) พร้อมด้วยหัวหน้าฝ่ายบัญชีและการเงิน พิจารณาด้านการ
ลงทุน
4.3. การบริหารจัดการโครงการเทคโนโลยีดิจิทัล
ในการดำเนินการด้านกิจกรรมและโครงการต่าง ๆ ของ อ.ส.ค. ตามแผนงาน/โครงการที่ กำหนดใน
แผนปฏิบัติการดิจิทัลฯ โดยให้สอดรับกับแผนกลยุทธ์ (Roadmap) ในการดำเนินการให้เป็นไปตามที่กำหนดใน
แผนพัฒนาดิจิทัลฯ และแผนวิสาหกิจฯ ให้บรรลุถึงเป้าหมายของโครงการ (Project Objectives) และเป้าหมาย
ทางธุรกิจ (Business Objectives) ของ อ.ส.ค. ได้อย่างมีประสิทธิภาพนั้น จำเป็นต้องมีการบริหารงานโครงการ
และการติดตาม พร้อมการวิเคราะห์ประเมินผลการดำเนินงานตามแผนงาน/โครงการให้เป็นไปตามนโยบายและ
มาตรฐานรวมทั้งเกณฑ์ประเมินของ สคร. ทั้งนี้เพื่อให้เกิดความคุ้มค่า ลดความเสี่ยงและเกิดประสิทธิผลมากที่สุด
รวมถึงการมีข้อมูลและแนวทางเพื่อการปรับปรุงการดำเนินงานโครงการและแผนงานต่าง ๆ ที่ต้องดำเนินการใน
อนาคตได้อย่างเป็นระบบ ซึ่ง การบริหารจัดการโครงการเทคโนโลยีดิจิทัล (Digital Technology Project
Management) จะพิ จ ารณานำหลั ก คิ ด (Concept) กรรมวิ ธ ี ใ นการบริ ห ารจั ด การโครงการ (Project
Methodology) แนวทางและเครื่องมือในการบริหารและติดตามการดำเนินงานตามแผนงาน/โครงการ รวมทั้ง
การประเมินผลการพัฒนาและการนำระบบเทคโนโลยีดิจิทัลไปใช้งาน (Digital Technology Evaluation) ตาม
หลักสากลที่เป็นที่ยอมรับโดยทั่วไปตามรายลเอียดที่จะกล่าวถึง ดังต่อไปนี้
4.3.1. หลักคิดและแนวทางการบริหารงานและติดตามการดำเนินงานตามแผนงาน/โครงการ
หลักการบริหารโครงการ (Project Management) เป็นการจัดการกิจกรรมต่าง ๆ ในระหว่าง
การดำเนินงานโครงการ ซึ่งต้องอาศัยพื้นฐานการจัดการต่าง ๆ ได้แก่ การจัดองค์กรบริหารจัดการโครงการ
(Project Organizing) การวางแผนงาน (Planning) การนำและสร้างแรงจูงใจ (Leading and Motivating)
การอำนวยการและการจั ด การ (Directing and Managing) การติ ด ตามและควบคุ ม การดำเนิ น งาน
(Monitoring and Controlling) และการใช้ ท รั พ ยากรต่ า ง ๆ (Resource Managing) ที ่ ม ี อ ยู ่ อ ย่ า งจำกั ด
เพื่อให้บรรลุตามเป้าหมายและวัตถุประสงค์ ภายในกรอบระยะเวลา และด้วยงบประมาณของโครงการที่วางไว้
โดยสามารถรักษาระดับความพึงพอใจให้กับผู้มีส่วนได้ส่วนเสียอย่างเหมาะสม ทั้งนี้ การบริหารโครงการที่มี
ประสิทธิภาพจะช่วยให้แผนงานมีความชัดเจนมากยิ่งขึ้น ลดปัญหาความขัดแย้งและความซ้ำซ้อนในหน้าที่
ความรับผิดชอบของบุคลากร ลดความเสี่ยงในการดำเนินงานโครงการ รวมทั้งการจัดสรรทรัพยากรให้เพียงพอ
และเหมาะสมกับการปฏิบัติงานจริง ในการบริหารและติดตามการดำเนินงานตามแผนงาน/โครงการ อ.ส.ค.
อาจใช้หลักคิดเชิงกลยุทธ์เพื่อการบริหารงานโครงการตามวัตถุประสงค์ (Management by Objective: MBO)
ซึ่งเป็นแนวคิดและกรรมวิธีการบริหารงานโครงการที่เป็นมาตรฐานของ Project Management Institute (PMI)
และถือเป็นหนึ่งในแนวทางปฏิบัติที่ดีสุด (Best Practices) ที่เป็นที่ยอมรับโดยทั่วไป และสามารถนำหลักคิดและ
กรรมวิธีดังกล่าวมาประยุกต์ใช้ในการบริหารแผนงาน/โครงการของ อ.ส.ค. โดยกำหนดแนวทางและขั้นตอนหลัก
ของการบริหารจัดการโครงการเป็น 3 ระยะ ดังแสดงในภาพที่ 4.3-1
ภาพที่ 4.3-1 แนวทางการบริหารและติดตามการดำเนินงานตามแผนงาน/โครงการตามวัตถุประสงค์ (Management by
Objective: MBO)
4.3.1.1 การกำหนดขอบเขตงานโครงการ (Define & Organize the Project) เป็นขั้นตอนแรก

ที่จะต้องดำเนินการโดยการกำหนดและยืนยันขอบเขตงานที่ต้องดำเนินการให้ชัดเจน
ระหว่างทีมงานบริหารจัดการโครงการและผู้เกี่ยวข้อง ซึ่งจะประกอบด้วยกิจกรรมหลัก
ดังต่อไปนี้
(1) ตรวจสอบขอบเขตงานตามสัญญาและกำหนดขอบเขตงานในรายละเอียด
(2) กำหนดเป้าหมายและวัตถุประสงค์ของโครงการ
(3) จั ด ทำรายการ ข้ อ จำกั ด เงื ่ อ นไขต่ า ง ๆ ปั ญ หา และอุ ป สรรค ที ่ อ าจมี
ผลกระทบต่อการดำเนินการโครงการ
(4) ประเมินความเสี่ยงเบื้องต้นที่อาจมีผลกระทบต่อการดำเนินการโครงการซึ่ง
ผลลัพธ์ที่ได้จากกิจกรรมต่าง ๆ ในระยะนี้จะทำให้รับทราบขอบเขต เนื้องาน
และเงื่อนไขต่าง ๆ โดยละเอียด โดยจะนำไปใช้ในการวางแผนโครงการต่อไป
4.3.1.2 การวางแผนงานโครงการ (Plan the Project) เป็นการวางแผนงานจากข้อกำหนด
ขอบเขตงานโครงการ โดยมีรายการกิจกรรมที่สอดคล้องกับขอบเขตงานและเงื่อนไข
ต่าง ๆ กำหนดการดำเนินการ และรายละเอียดของแผนงาน โดยจะดำเนินงานตาม
กิจกรรมหลักดังต่อไปนี้
(1) กำหนดกิ จ กรรมโครงการในรายละเอี ย ด (Work Break-down Structure:
WBS)
(2) กำหนดระยะเวลาของแต่ละกิจกรรมข้างต้น
(3) กำหนดทรัพยากรที่จำเป็นของแต่ละกิจกรรม
(4) สร้างและวิเคราะห์โครงข่ายกิจกรรม (Network Diagram)
(5) จัดทำแผนงานโครงการ
(6) กำหนดสิ่งส่งมอบ
4.3.1.3 การติดตามควบคุม และจัด การโครงการ (Track & Manage the Project) เป็น
การเฝ้ า ระวั งและจั ดทำรายงานประจำสั ปดาห์ ที่ ระบุ ถึง ความคื บ หน้า ของงาน
รวมทั้งปัญหาอุปสรรคและข้อจำกัดของการดำเนินกิจกรรมต่าง ๆ ในระหว่างการ
ดำเนินงานโครงการ ซึ่งผู้จัดการโครงการจะใช้ข้อ มูลที่ได้จากรายงานดังกล่าวใน
การกำกับดูแลโครงการให้สามารถดำเนินการตามแผนงานได้ ทั้งในด้านกิจกรรม
ระยะเวลา คุณภาพงานและการส่งมอบงาน โดยกิจกรรมหลักที่เกิดขึ้นในระยะนี้
ได้แก่
(1) จัดทำระบบติดตามและรายงานความก้าวหน้างาน
(2) กำกับดูแลและติดตามความก้าวหน้างาน โดยพิจารณาควบคู่กับแผนงาน
(3) นำกรรมวิธีการบริหารประเด็นมาใช้เพื่อจัดการประเด็นต่าง ๆ ในเวลาที่
เหมาะสม
(4) นำกระบวนงานและขั้นตอนตามมาตรฐานสากลหรือมาตรฐานที่ยอมรับ เพื่อ
ใช้ในการติดตามความก้าวหน้างาน
(5) การควบคุมคุณภาพงานต่าง ๆ ได้แก่ งานออกแบบ งานพัฒนาระบบ งาน
ก่อสร้าง
(6) งานติดตั้งและทดสอบระบบ และงานที่เกี่ยวข้องอื่น ๆ
(7) ทำการปรับปรุงแผนงานเพื่อเร่งรัดงาน หากพบว่าติดปัญหาอุปสรรค หรือ
ล่าช้า
4.3.2. กรรมวิธีในการบริหารจัดการโครงการ (Project Methodology)
การบริหารจัดการโครงการเทคโนโลยีดิจิทัล (Digital Technology Project Management) จะ
ใช้กรรมวิธีในการบริหารจัดการโครงการ (Project Methodology) เพื่อกำหนดแนวทางวิธีการและขั้นตอนรวมถึง
สิ่งส่งมอบ (Deliverables) และการตรวจสอบคุณภาพของระบบเทคโนโลยีดิจิทัลตามมาตรฐานงานต่าง ๆ ใน
ระหว่างการดำเนินงานโครงการตลอดวงจรอายุของโครงการ (Project Life Cycle) โดยเริ่มตั้งแต่การจั ดทำ
ข้อเสนอโครงการ (Project Proposal) การศึกษาความต้องการ (Requirement Study) การกำหนดคุณลักษณะ
เฉพาะของระบบ (System Specifications) การจัดหา (Procurement) การพัฒนาระบบ (Development) การ
ติดตั้งใช้งาน (Implementation) การจัดการการเปลี่ยนแปลง (Change Management) การใช้งาน (Usage)
การบำรุงรักษา (Maintenance) การปรับปรุง (Enhancement) จนถึงการปลดระวาง (Obsolescence) ของ
ระบบเทคโนโลยีดิจิทัล ซึ่งที่ปรึกษาฯ ขอเสนอกรรมวิธีในการบริหารจัดการโครงการตามแนวทางปฏิบั ติที่เป็น
สากลมาเพื่อเป็นแนวทางในการประยุกต์ใช้งานสำหรับ อ.ส.ค. โดยแบ่งเป็น 2 กรรมวิธี ได้แก่
4.3.2.1 การบริหารจัดการโครงการโดยใช้การบริหารงานเชิงคุณภาพ PDCA
การดำเนิน งานโครงการโดยใช้หลักการบริหารงานเชิงคุณภาพ PDCA (Plan-Do-Check-Act Cycle) ซึ่ง
ประกอบด้วยปัจจัยสำคั ญ 4 ประการ ได้แก่ การวางแผน (Plan) การปฏิบัติ (Do) การตรวจสอบ (Check)
และการปรับปรุงการดำเนินงานอย่างเหมาะสม (Act) เพื่อให้การดำเนินงานตามขอบเขตงานของโครงการ
เป็ น ไปตามระยะเวลา (Schedule) งบประมาณ (Budget) และคุ ณ ภาพ (Quality) ที ่ ก ำหนดไว้ ใ น
วัตถุประสงค์ของโครงการ โดยสามารถตรวจสอบและปรับปรุงการปฏิบัติงานได้อย่างทันท่วงทีหากพบว่ามี
ปัญหาหรืออุปสรรคต่าง ๆ ในระหว่างการดำเนินโครงการ ซึ่งกรรมวิธีการบริหารจัดการโครงการโดยใช้การ
บริหารงานเชิงคุณภาพ PDCA (Project Management by Plan-Do-Check-Act Cycle) นี้ สามารถสรุป
โดยสังเขปได้ ดังต่อไปนี้
(1) การวางแผน (Plan: P)
เป็ น ขั้น ตอนการกำหนดแนวทางการดำเนิน งาน รายละเอียดขอบเขตการ
ดำเนิ น งานต่ า ง ๆ ตามขอบเขตงาน ตั้ ง แต่ เ ริ่ ม ต้ น จนสิ้ น สุ ด การดำเนิ น งาน
โครงการ พร้อมกับพิจารณากำหนดผู้รับผิดชอบในส่วนงานต่าง ๆ ผลลัพธ์ที่ได้
และระยะเวลาการดำเนินงานไว้อย่างชัดเจน เพื่อให้ผู้ปฏิบัติงานสามารถประเมิน
ความเป็ น ไปได้ รวมทั้ ง ปั ญ หาและอุ ป สรรคที่ อ าจจะเกิ ด ขึ้ น ในอนาคต โดยใน
ขั ้ น ตอนนี ้ จ ะเริ ่ ม ต้ น ตั ้ ง แต่ ก ระบวนการจั ด ทำแผนการดำเนิ น งาน (Project
Schedule) งบประมาณ (Budget) และคุ ณ ภาพงาน (Quality) โดยผู ้ จ ั ด การ
โครงการ (Project Manager) ผู ้ จ ั ด การงานโครงการ (Task Manager) และ
ผู้เกี่ยวข้อง (Stakeholder) เพื่อร่วมกันกำหนดรายละเอียดของกิจกรรม วิธีการ
ดำเนินงาน ระยะเวลาของแต่ละกิจกรรม และส่วนอื่น ๆ ที่เกี่ยวข้อง จากนั้น จึง
นำแผนการดำเนิ น งานดั ง กล่ า ว นำเสนอในที ่ ป ระชุ ม เปิ ด โครงการ ( Kickoff
Meeting) เพื ่ อ หารื อ และสร้ า งความเข้ า ใจร่ ว มกั น รวมทั ้ ง รั บ ฟั ง ข้ อ คิ ด เห็ น
ข้อเสนอแนะ ตลอดจนขอรับการสนับสนุนจากผู้บริหารหรือคณะกรรมการกำกับ
(Steering Committee) ในประเด็นสำคัญที่เกี่ยวข้องกับโครงการ
(2) การปฏิบัติ (Do: D)
เป็ น ขั ้ น ตอนการปฏิ บ ั ต ิ ต ามการวางแผน (Plan: P) และตามแผนการ
ดำเนินงาน (Project Schedule) ที่กำหนดไว้ในขั้นตอนวางแผนอย่างเป็นระบบ
ตามรายการกิ จ กรรมและช่ ว งระยะเวลาที ่ ไ ด้ ก ำหนดไว้ ในขั ้ น ตอนนี ้ จ ึ ง
ประกอบด้ ว ยกิ จ กรรมที ่ ห ลากหลายตามขอบเขตงาน (Scope of Work) ที ่
กำหนดไว้ โดยในขั้นตอนการปฏิบัติของแต่ละกิจกรรมจะเน้นการดำเนินการตาม
กรอบและข้อกำหนดด้านคุณภาพงาน ได้แก่ การออกแบบระบบ การพัฒนาระบบ
การติดตั้งระบบ การทดสอบระบบ การนำไปใช้งาน และการถ่ายทอดเทคโนโลยี
ซึ่งจะเน้นขั้นตอนและคุณภาพการปฏิบัติงานให้เป็นไปตามมาตรฐานต่าง ๆ อาทิ
มาตรฐานวิศวกรรมซอฟต์แวร์ ISO12207 มาตรฐาน ITU และ IEEE เป็นต้น
(2) การตรวจสอบ (Check: C)
เป็ น ขั้ น ตอนภายหลั งจากที่ ไ ด้มี ก ารปฏิบั ติ ง านจริ ง โดยผู้ จั ด การโครงการ
(Project Manager) จะทำการติดตามผลการดำเนินงานโครงการในด้านต่าง ๆ
เปรีย บเทีย บกับ เป้าหมายที่กำหนดไว้ในแผนการดำเนินงาน ว่าเป็นไปตามแผน
หรือไม่ มีปัญหาหรืออุปสรรคใดที่ส่ งผลกระทบต่ อ การดำเนินโครงการ เพื่อให้
สามารถเร่งดำเนินการแก้ไขได้อย่างทันท่วงที ดังนั้น ในขั้นตอนการตรวจสอบจึง
ครอบคลุ ม ในทุ ก ๆ กิ จ กรรม ที ่ ก ำหนดไว้ ใ นแผนการดำเนิ น งาน ทั ้ ง นี ้ การ
ตรวจสอบการดำเนินงานเป็นระยะ ๆ ตามจุดตรวจสอบ (Check Points) จะช่วย
ลดความเสี่ยง (Risk) ที่อาจจะก่อให้เกิดข้อผิ ดพลาดจากการดำเนินงานลงได้ ซึ่ง
เป็นส่วนสำคัญในการบริหารเชิงคุณภาพเพื่อให้เกิดการประกันคุณภาพ (Quality
Assurance) ใ น ร ะ ห ว ่ า ง ก า ร ด ำ เ นิ น ง า น โ ค ร ง ก า ร ใ ห้ มี ป ร ะ สิ ท ธ ิ ภ า พ
(Performance) และลดต้ น ทุ น (Cost Reduction) จากการเปลี่ ย นแปลงหาก
เกิดกรณีขึ้นบ่อยครั้งในระหว่างการดำเนินงาน จากนั้นผู้จัดการโครงการจะทำการ
สรุ ป ผลการดำเนิ น งาน เพื ่ อ ให้ ท ราบถึ ง สถานะปั จ จุ บ ั น และรายงานให้
คณะกรรมการและผู้บริหารทราบต่อไป
(3) การปรับปรุงการดำเนินงานอย่างเหมาะสม (Act: A)
เป็นขั้นตอนภายหลังจากที่ได้ทำการปฏิบัติ (Do: D) และตรวจสอบ (Check: C)
เป็นที่เรียบร้อยแล้ว โดยผู้จัดการโครงการและทีมงานจะนำผลการตรวจสอบหรือ
ข้อมูล ที่ค้น พบต่าง ๆ เหล่านั้น มาดำเนินงานปรับปรุงแก้ไขให้การดำเนิ น งาน
โครงการ เป็นไปอย่างมีประสิทธิภาพมากขึ้น โดยในขั้นตอนนี้จะเป็นเรื่องที่เกี่ยวข้อง
กับการวิเคราะห์ผลสำเร็จของกิจกรรมในแต่ ละขอบเขตงาน ปัญหาอุปสรรค การ
เปลี่ยนแปลง เพื่อดำเนินการปรับปรุงแผนการดำเนินงาน (Project Re-schedule)
งบประมาณ (Budget Adjustment) ให้เหมาะสมกับสถานการณ์จริงในปัจจุบัน
พร้อมการรับฟังนโยบายจากคณะกรรมการฯหรือผู้บริหารเพื่อกำหนดมาตรการและ
แนวทางการแก้ไขปัญหาและการเปลี่ยนแปลงงานที่อาจเกิดขึ้นในระหว่างการ
ดำเนินงาน ทั้งนี้เพื่อให้การดำเนินงานโครงการบรรลุถึงวัตถุประสงค์ของโครงการที่
กำหนดไว้
4.3.2.2 การบริหารจัดการโครงการแบบ Agile (Agile Project Management)
การบริหารจัดการโครงการในลักษณะของ Agile Method นั้น ได้แนวคิดมาจากการพัฒนาระบบงานหรือ
ซอฟต์แวร์แบบ Agile ซึ่งลดประเด็นข้อจำกัดของการพัฒนาซอฟต์แวร์แบบดั้งเดิมซึ่งจะเป็นดำเนินการตาม
กระบวนการทีละขั้นตอนทำให้ใช้ทรัพยากรจำนวนมากและระยะเวลาที่ยาวนานในการดำเนินงานโครงการ
โดยที่การบริหารจัดการโครงการแบบ Agile (Agile Project Management)รายะเอียดดังแสดงในภาพที่ 4.3-
2 จะช่วยลดระยะเวลาการดำเนินงานและเพิ่มประสิทธิภาพการบริหารจัดการโครงการพัฒนาระบบเทคโนโลยี
ดิจิทัลได้ โดยมีแนวคิดที่สำคัญ ดังนี้
ภาพที่ 4.3-2 การบริหารจัดการโครงการแบบ Agile
(1) การมุ่งเน้นไปที่การพัฒนาหรือให้ได้มาซึ่งผลงานหรือสิ่งส่งมอบที่เป็นไปตาม
หรือดีกว่าข้อกำหนดโครงการ TOR
(2) การยอมรับความเปลี่ยนแปลง เพราะความต้องการขององค์กรหรือหน่วยงานที่
เกี่ยวข้อง อาจเปลี่ยนแปลงได้ตลอดเวลาและเอกสารข้อกำหนดโครงการ TOR
ไม่สามารถครอบคลุมข้อกำหนดได้ทุกประเด็น จึงต้องมีความยืดหยุ่นตามสิ่งที่
เกิดขึ้นจริงเป็นหลัก
(3) การส่งมอบผลงานหรือสิ่งส่งมอบอย่างต่อเนื่องทีละเล็กทีละน้อย อาทิ การ
กำหนดให้มีการส่งมอบสิ่งใหม่ที่ได้ดำเนินการไปทุก ๆ 2 สัปดาห์ หรือทุก ๆ 1
เดือน โดยไม่จำเป็นต้องรอจนถึงกำหนดส่งมอบตามงวดงาน แล้วจึงดำเนินการ
ส่งมอบผลงานทีเดียว แนวทางการส่งมอบผลงานดังกล่าวทำให้สามารถค้นพบ
ข้อผิดพลาดได้อย่างรวดเร็วและสามารถดำเนินการแก้ไขได้ทันท่วงที ไม่อาศัย
การวางแผนโดยละเอียดเพื่อป้องกันความผิดพลาด ซึ่งหากการวางแผนงาน
โครงการไม่มีประสิทธิภาพที่ดีพอ อาจจะทำให้เจอข้อผิดพลาดและดำเนินการ
ปรับปรุงแก้ไขช้าเกินไป ทำให้มีต้นทุนในการปรับปรุงแก้ไขที่สูงขึ้นและไม่
สามารถส่งมอบผลงานได้ภายในกำหนดระยะเวลา
(4) การมุ่งเน้นการทำงานเป็นทีม และการมีปฏิสัมพันธ์ระหว่างบุคคล ทั้งในส่วน
ผู้จัดการโครงการ ทีมงานโครงการ และหน่วยงานเจ้าของโครงการ ซึ่งสามารถ
ช่วยแก้ไขปัญหาและป้องกันความเข้าใจผิดในขอบเขตงาน หรือข้อกำหนด
ความต้องการในเอกสาร TOR โดยให้เจ้าของโครงการเข้ามามีส่วนร่วมตั้งแต่
เริ่มกระบวนการ
4.3.2.3 แนวทางการบริหารจัดการโครงการแบบ PSD
(1) Project Backlog: เป็นงานที่ต้องดำเนินการ ทั้งจากเอกสารข้อกำหนดโครงการ
ความเห็นและความต้องการของผู้ควบคุมงาน คณะกรรมการตรวจการจ้าง
และจากทีมงานโครงการเอง ทั้งนี้ ผู้จัดการโครงการ (Project Manager) จะ
เป็นคนตัดสินใจนำรายการงานที่ต้องดำเนินการต่าง ๆ เหล่านี้เข้าไปใน Sprint
ตามลำดับความสำคัญ (พิจารณาเปรียบเทียบผลลัพธ์ (Value) ของงานเทียบ
กับความพยายาม (Effort) ที่ต้องใช้)
(2) Sprint Phase : เนื่องจากการบริหารจัดการโครงการแบบ Agile นั้น เน้นการ
พัฒนาหรือการให้ได้มาซึ่งผลงานและสิ่งส่งมอบอย่างรวดเร็ว ซึ่งระยะเวลาใน
การดำเนินการในแต่ละช่วง เรียกว่า Sprint โดยมีกำหนดประมาณ 2-4 สัปดาห์
ทั้งนี้ เป้าหมายของ Sprint คือการให้ไ ด้ ม าซึ่ งผลงานที่ ผ ู้ จั ดการโครงการ
(Project Manager) ได้ประเมินว่าควรทำตั้งแต่ ก่อ นเริ่ม Sprint ซึ่งเมื่อ จบ
Sprint ก็จะมีการประเมินและทบบทวนผลงาน (Sprint Review) ให้กับผู้ที่
เกี่ยวข้อง อาทิ ผู้ควบคุมงาน คณะกรรมการตรวจการจ้าง และบริษัทผู้รับจ้าง
เพื่อให้รับทราบถึงความคืบหน้าของโครงการตลอดเวลา
(3) Daily Scrum Meeting: ในทุ ก ๆ เช้ า ที ม บริ ห ารจั ด การโครงการจะมี ก าร
ประชุมสั้นๆ 10-15 นาที เพื่อบอกว่าเมื่อวานทำอะไร วันนี้จะทำอะไร และมี
ปัญหาอะไรบ้าง เพื่อให้การทำงานในทุก ๆ วันเป็นไปตามแผน และสามารถ
การแก้ไขปัญหาอย่างต่อเนื่อง
4.3.2.4 การเปรียบเทียบระหว่าง การบริหารจัดการโครงการแบบตามขั้นตอน และ แบบ Agile
การบริหารจัดการโครงการแบบตามขั้นตอน และ แบบ Agile มีข้อแตกต่างดังแสดง
ในภาพที่ 4.3-3 (a) และ 4.3-3 (b) ตามลำดับ ซึ่งการบริหารจัดการโครงการแบบ Agile
จะช่วยลดโอกาสเกิดความผิดพลาดสิ่งส่งมอบไม่เป็นไปตามข้อกำหนดโครงการและลด
โอกาสในการส่งมอบงานช้ากว่ากำหนด
(a) (b)
ภาพที่ 4.3-3 (a) และ (b) การเปรียบเทียบระหว่าง Sequential Method และ Agile Method
ในเชิงกระบวนงานและผลลัพธ์ของการดำเนินงานโครงการ
4.4. กลไกการเชื่อมต่อเพื่อการนำสถาปัตยกรรมองค์กรไปใช้อย่างมีประสิทธิภาพ
กลไกการเชื่อมต่อ (Linkage Mechanism) เพื่อการนำสถาปัตยกรรมองค์กรไปใช้อย่างมีประสิทธิภาพ
เป็ น กระบวนงานในการประสานความเข้ า ใจและการตั ด สิ น ใจ (Connecting and Decision-Making
Processes) ที่จะทำให้เกิดการวางแนวที่สอดคล้องในด้านธุรกิจ การบริหารองค์กรและเทคโนโลยีดิจิทัล
รวมทั ้ ง ในด้ า นการเชื ่ อ มโยงความต้ อ งการทางธุ ร กิ จ ไปสู ่ ก ารดำเนิ น โครงการเทคโนโลยี ด ิ จ ิ ท ั ล อย่ า งมี
ประสิทธิภาพ ที่ชี้ให้เห็นถึงการเชื่อมต่อทั้ง ด้านแนวราบ (Alignment) คือ การประสานให้เกิดความเข้าใจที่
ชั ด เจนระหว่ า งเป้ า หมายทางธุ ร กิ จ และเป้ า หมายรวมทั ้ ง ข้ อ จำกั ด ด้ า นเทคโนโลยี ด ิ จ ิ ท ั ล ส่ ว นแนวดิ่ง
(Coordination) คือ การประสานในด้านเป้าหมายทางธุรกิจสู่เป้าหมายของโครงการด้านเทคโนโลยีดิจิทัล
และการประสานด้านมาตรฐานและการควบคุมโครงการภายใต้ การกำกับดูแลด้านเทคโนโลยีดิจิทัล (Digital
Governance) และสถาปัตยกรรมองค์กร ดังแสดงในภาพที่ 4.4-1
การวางแนวที่สอดคล้อง
การเชื่อมต่อของธุรกิจ
ธุรกิจ (Alignment)เทคโนโลยีดิจิทัล
(Business Linkage)
• จัดลำดับความสำคัญ ยุทธศาสตร์องค์กร สถาปัตยกรรม ระดับองค์กร
โครงการ และการปฏิบตั ิงาน องค์กร (Corporate)
• ผู้สนับสนุน (Business
การประสานงาน
Sponsor)
DPO EA 4.0
• ให้มีส่วนร่วมตั้งแต่ระยะ
เริ่มต้น ยุทธศาสตร์หน่วยงาน สถาปัตยกรรม ระดับหน่วยงาน
• ติดตามทบทวนโครงการโดย และการปฏิบตั ิงาน ของ (Business Unit)
ผู้บริหาร หน่วยงาน
• ประเมินผลการดำเนิน
โครงการตามเป้าหมายของ แผนงานโครงการ สถาปัตยกรรมระบบ ระดับทีมงาน
องค์กร
• ให้รางวัลเพื่อสร้างแรงจูงใจ (Project Plan) สารสนเทศ (Project Team)
ตามเป้าหมายขององค์กร
การเชื่อมต่อของสถาปัตยกรรม
การเชื่อมต่อของการวางแนวที่สอดคล้อง (Architecture Linkage)
(Alignment Linkage) • มีสถาปนิกองค์กรอยู่ในทีมงานโครงการ
• กำหนดผู้จัดการระหว่างธุรกิจและสารสนเทศ • จัดการสิ่งที่ไม่อยู่ในสถาปัตยกรรม
(CIO) • ฝึกอบรมด้านสถาปัตยกรรม
• มีสำนักงานโครงการ (Project Management • สนับสนุนงบประมาณอย่างต่อเนื่องตามกรอบการพัฒนาที่กำหนดใน
Office) สถาปัตยกรรม
• ฝึกอบรมผู้จัดการโครงการ
ภาพที่ 4.4-1 ชนิดของกลไกการเชื่อมต่อ (Linkage Mechanism) เพื่อการนำสถาปัตยกรรมองค์กรไปใช้อย่างมีประสิทธิภาพ

กลไกการเชื่อมต่อ (Linkage Mechanism) เพื่อการนำสถาปัตยกรรมองค์กรไปใช้อย่างมีประสิทธิภาพ
แบ่งเป็น 3 ชนิด ดังนี้
4.4.1. การเชื่อมต่อของสถาปัตยกรรม (Architecture Linkage)
การเชื่อมต่อของสถาปัตยกรรม (Architecture Linkage) เป็นส่วนของการจัดทำและการ
ปรับปรุงมาตรฐาน การติดตามประเมินโครงการให้เป็นไปตามระเบียบและกฎเกณฑ์ (Compliance) การ
อนุมัติดำเนินการกิจกรรมหรือโครงการที่เกี่ยวข้องโดยยึดหลักของการกำกับดูแลด้านเทคโนโลยีดิจิทัล (Digital
Governance) และสถาปัตยกรรมองค์กร (Enterprise Architecture) ของ อ.ส.ค. เป็นหลัก อาทิ การ
ปรับเปลี่ยนโครงสร้างฐานข้อมูล (Database Restructure) เพื่อให้เกิดการบูรณาการด้านข้อมูลที่เป็นเอกภาพ
การดำเนินการโครงการพัฒนาระบบบูรณาการระดับองค์กร (Enterprise System) ที่มีการบูรณาการและการ
ร่วมใช้งานทั้งด้านข้อมูล (Shared Data) และด้านโครงสร้างพื้นฐาน (Shared Infrastructure) เป็นต้น ในทาง
ปฏิบัติ อ.ส.ค. อาจใช้การเชื่อมต่อของสถาปัตยกรรม (Architecture Linkage) โดยจัดให้มีกิจกรรมและ
แผนงานที่จะดำเนิน ดังเช่น
4.4.1.1 จัดหาหรือแต่งตั้งให้มีส ถาปนิกองค์กร (Enterprise Architect) อยู่ในทีมงาน
โครงการ เพื่อดูแลรับผิดชอบในการจัดทำและปรับปรุงสถาปัตยกรรมองค์กรให้มี
มาตรฐานทันสมัยสู่ระดับขั้นของการพัฒนาสถาปัตยกรรมองค์กร (EA Stages) เพื่อ
สร้างขีดความสามารถสู่องค์กรดิจิทัล (Digital Organization) ต่อไป
4.4.1.2 จัดการสิ่งที่ไม่อยู่ในสถาปัตยกรรม (Architecture Exception Management) เพื่อ
จัดการกับปัญหาหรือระบบงานที่ไม่เป็นไปตามระเบียบ แบบแผน กฎเกณฑ์ที่เป็น
มาตรฐานของสถาปัตยกรรมองค์กร ให้สามารถทำงานร่ วมกันโดยลดผลกระทบของ
การะบวนงานจากปัญหาหรือระบบงานดังกล่าว
4.4.1.3 ฝึกอบรมด้านสถาปัตยกรรม (Architecture Training) เป็นการถ่ายทอดองค์ความรู้
และประสบการณ์รวมทั้งแนวปฏิบัติที่ดีในด้านที่เกี่ยวข้องกับสถาปัตยกรรมองค์กร
ของ อ.ส.ค. ให้แก่สมาชิกในทีมงานบริหารจัดการโครงการและผู้มีส่วนได้ส่วนเสีย
เพื ่ อ ให้ เ กิ ด ความเข้ า ใจในโครงสร้ า งและการบริ ห ารจั ด การพร้ อ มแผนกลยุ ทธ์
(Roadmap) ของการพัฒนาสถาปัตยกรรมองค์กรของ อ.ส.ค. ในอนาคต
4.4.1.4 สนับสนุนงบประมาณอย่างต่อเนื่อง (Project Funding and Continuation) ตาม
กรอบการพัฒนาที่กำหนดในสถาปัตยกรรมองค์กร โดยการกำหนดนโยบายและแนว
ทางการสนับสนุนโครงการที่สอดรับกับสถาปัตยกรรมองค์กรและแผนพัฒนาดิจิทัลฯ
ของ อ.ส.ค. ให้มีความต่อเนื่องและเพียงพอเพื่อให้บรรลุถึงเป้าหมายทั้งด้านระบบ
เทคโนโลยีดิจิทัลและเป้าหมายทางธุรกิจ
4.4.2. การเชื่อมต่อของธุรกิจ (Business Linkage)
การเชื่อมต่ อของธุร กิจ เป็น ส่ว นของการประสานเชื่อมโยงเป้าหมายทางธุรกิจให้เกิด การ
ถ่ายทอดสู่เป้าหมายของการดำเนินงานโครงการด้านเทคโนโลยีดิจิทัลอย่างมีประสิทธิภาพ กล่าวคือ การทำ
ให้ผลการดำเนินงานโครงการฯ บรรลุถึงเป้าหมายโดยมีผลลัพธ์ของการใช้งานระบบเทคโนโลยีดิจิทัลที่สามารถ
สนับสนุนกระบวนงานทางธุรกิจที่มีประสิทธิภาพและส่งผลที่ดีต่อการทำธุรกรรมและการเพิ่มผลผลิตให้บรรลุ
เป้าหมายทางธุรกิจได้อย่างมีประสิทธิผล โดยที่ การเชื่อมต่อของธุรกิจ (Business Linkage) จะเน้นถึงการ
ประสานงาน (Coordination) ในแต่ละโครงการที่ดำเนินการให้เกิดเป็นภาพของการบูรณาการในภาพรวมทั้ง
ระบบ (Projects Integration) ที่จะส่งผลให้เกิดการเปลี่ยนแปลงที่ดีในด้านประสิทธิภาพของกระบวนงานทาง
ธุรกิจ และการแก้ไขปัญหาต่าง ๆ ในการปฏิบัติงานด้วยระบบเทคโนโลยีดิจิทัลในแนวทางที่ให้ผลดีที่สุด ซึ่งการ
ดำเนินการดังกล่าวในทางปฏิบัติ อ.ส.ค. อาจพิจารณาใช้กิจกรรมและแผนงานด้าน การเชื่อมต่อของธุรกิจ
(Business Linkage) ดังนี้
4.4.2.1 จัดลำดับความสำคัญโครงการ ตามแผนกลยุทธ์ (Roadmap) และแผนปฏิบัติการ
ดิจิทัล เพื่อให้เกิดประสิทธิภาพและการใช้ทรัพยากรอย่างคุ้มค่า
4.4.2.2 ผู้สนับสนุน (Business Sponsor) โดยมีผู้บริหารและผู้อำนวยการสายงานธุรกิจเข้า
ร่วมตามแนวทางการกำกับดูแลด้านเทคโนโลยีดิจิทัล (Digital Governance) ที่ได้
อธิบายในรายละเอียดไว้ข้างต้น
4.4.2.3 ให้มีส่วนร่วมตั้งแต่ระยะเริ่มต้น ของผู้รับผิดชอบด้านธุรกิจ ด้านการะบวนงานทาง
ธุรกิจ ผู้มีส่วนได้ส่วนเสีย สถาปนิกองค์กร และทีมงานด้านบริหารจัดการโครงการ
โดยร่ ว มกั น กำหนดเป้ า หมายทางธุ ร กิ จ และเป้ า หมายโครงการ นโยบายและ
ความสำคัญของโครงการ การวัดประสิทธิภาพและผลสัมฤทธิ์ของโครงการ ตลอดจน
แนวทางปฏิบัติในการพัฒนาด้านเทคโนโลยีดิจิทัลที่จะดำเนินการในโครงการให้เกิด
ความตระหนั กถึ งผลกระทบของการดำเนิน งานโครงการร่ ว มกัน ของทุ กฝ่ า ยที่
เกี่ยวข้องในองค์กร
4.4.2.4 ติดตามทบทวนโครงการโดยผู้บริหาร เพื่อให้เกิดความเข้าใจและมองเห็น ความ
เป็นไปและความก้าวหน้า (Project Visibility) พร้อมทั้งการแก้ไขปัญหาข้อขัดข้อง
ซึ่งต้องการนโยบายและการสนับสนุนจากผู้บริหารของ อ.ส.ค. เพื่อให้การดำเนิน
โครงการบรรลุถึงวัตถุประสงค์ที่วางไว้อย่างมีประสิทธิภาพ
4.4.2.5 ประเมินผลการดำเนินโครงการตามเป้าหมายขององค์กร โดยการวิเคราะห์ข้อมูล
จากการพัฒ นา ติดตั้งและการนำระบบเทคโนโลยีดิจิ ทัล ไปใช้งานพร้ อมจั ด ทำ
รายงานการะเมินผลลัพธ์ทั้งในเชิงปริมาณและคุณภาพตามกรอบการกำกับดูแลด้าน
เทคโนโลยีดิจิทัล (Digital Governance) หรือ ธรรมาภิบาลด้านดิจิทัล (Digital
Governance) และภายใต้เกณฑ์การประเมินการบริหารจัดการองค์กรด้านการ
บริหารจัดการสารสนเทศของ บริษัท ทริส คอร์ปอเรชั่น จำกัด
4.4.2.6 ให้รางวัลเพื่อสร้างแรงจูงใจตามเป้าหมายขององค์กร โดยการกำหนดนโยบายและ
กฎเกณฑ์ที่สามารถระบุถึงความสำเร็จของโครงการด้านเทคโนโลยีดิจิทัลที่มีผลต่อ
กระบวนงานทางธุรกิจที่ส่งต่อผลผลิตที่เพิ่มขึ้นขององค์กร และอยู่ภายใต้หลักธรรมาภิ
บาลด้านดิจ ิทัล (Digital Governance) และกรอบของสถาปัตยกรรมองค์กรของ
อ.ส.ค.
4.4.2.7 กำหนดผู้รับผิดชอบในกระบวนงาน โดยจัดให้มีผู้จัดการด้านกระบวนงานรับผิดชอบ
ในการปรับปรุงกระบวนงานทางธุรกิจที่เกี่ยวข้องตลอดทั้งองค์กร (Companywide
Business Process) ซึ่งต้องการการเชื่อมต่อกับทุกฝ่ายที่เกี่ยวข้องในองค์กรในด้าน
กระบวนการจัดการและการปฏิบัติงาน รวมถึงการประสานด้านเทคโนโลยีดิจิทัลกับ
ผู้จัดการโครงการและทีมงานบริหารจัดการโครงการ
4.4.3. การเชื่อมต่อของการวางแนวที่สอดคล้อง (Alignment Linkage)

การเชื่อมต่อของการวางแนวที่สอดคล้อง (Alignment Linkage) เป็นการประสานให้เกิดความ
เข้าใจที่ชัดเจนระหว่างเป้าหมายทางธุรกิจและเป้าหมายรวมทั้งข้อจำกัดด้านเทคโนโลยีดิจิทัล โดยให้มีการ
ติดต่อสื่อสารแบบสองทางอย่างต่อเนื่องระหว่างการพัฒนาโครงการด้านเทคโนโลยีดิจิทัลเพื่อการเจรจาและ
บรรลุถึงประสิทธิภาพ (Successful Performance) ของระบบฯ เพื่อให้เกิดความสามารถในการสนับสนุน
กระบวนงานทางธุรกิจได้อย่างบูรณาการ โดยกิจกรรมหลักของการดำเนินการตามการเชื่อมต่อของการวาง
แนวที่สอดคล้อง (Alignment Linkage) ประกอบด้วย
4.4.3.1 กำหนดผู้จัดการระหว่างธุรกิจและสารสนเทศ (CIO) โดยกำหนดบทบาทของผู้จัดการ
ในการทำความเข้าใจทั้งเป้าหมายทางธุรกิจขององค์กรโดยรวมและเป้าหมายในการ
พัฒนาระบบเทคโนโลยีดิจิทัลของ อ.ส.ค. และสร้างความเข้าใจในบทบาทหน้าที่ให้แต่
ละฝ่ายที่เกี่ยวข้องในการปรับปรุงกระบวนงานทางธุรกิจและความต้องการด้านการ
พัฒนาระบบเทคโนโลยีดิจิทัลให้มีความสอดคล้องและสามารถบรรลุข้อตกลงให้เป็นไป
ในทิศทางเดียวกันได้ โดยให้มีความสอดคล้องกับสถาปัตยกรรมองค์กรของ อ.ส.ค.
4.4.3.2 มีสำนักงานโครงการ (Project Management Office) เพื่อให้เกิดความชัดเจนอย่าง
เป็นทางการในการปฏิบัติงาน การประสานงาน การจัดการด้านเอกสารและข้อมูล
โครงการ รวมทั้งการพิจารณาอนุมัติดำเนินการที่เกี่ยวข้องกับการดำเนินโครงการ อาทิ
การอนุมัติงบประมาณและการดำเนินการ การแต่งตั้งทีมงานบริหารจัดการโครงการ
คำสั่งจ้าง การประชุมอย่างเป็นทางการ และรายงานการบริหารจัดการโครงการ และ
มติผู้บริหารที่เกี่ยวข้องกับโครงการ เป็นต้น
4.4.3.3 ฝึกอบรมผู้จัดการโครงการ เป็นการส่งเสริมองค์ความรู้ด้านการบริหารจัดการโครงการ
ตามมาตรฐานและแนวปฏิบัติที่ดี อาทิ PMBOK ของสถาบันบริหารจัดการโครงการ
(Project Management Institute) การจั ด การการเปลี ่ ย นแปลง (Change
Management) การบริหารความเสี่ยง (Risk Management) การบริหารจัดการ
คุณภาพ (Quality Management) และการบริหารจัดการด้านเทคโนโลยีสารสนเทศ
(Information Technology Management) เป็นต้น เพื่อให้เกิดความพร้อมโดยมี
องค์ความรู้ในการวางแผนงาน การจัดการ การแก้ไขปัญหา การติดตามประเมินผล
และการรายงานผลโครงการที่เพียงพอ เพื่อให้เกิดประสิทธิภาพสูงสุดในการบริหาร
จัดการโครงการด้านเทคโนโลยีดิจิทัลของ อ.ส.ค.
4.5. แผนการดำเนินงานพัฒนาและการนำระบบเทคโนโลยีดิจิทลั ไปใช้งาน

อ.ส.ค. ได้ดำเนินการปรับปรุงแผนพัฒนาดิจิทัล ฯ ของ อ.ส.ค. และแผนปฏิบัติการดิจิทัล ฯ ของ อ.ส.ค.
ให้สอดรับกับกรอบการพัฒนาดิจิทัลของประเทศ รองรับวิสัยทัศน์และยุทธศาสตร์ของ อ.ส.ค. ตลอดจน
แนวโน้มการพัฒนาระบบเทคโนโลยีสารสนเทศในปัจจุบัน ซึ่งการจัดทำแผนพัฒนาดิจิทัลฯ และแผนปฏิบัติการ
ดิจิทัลฯ ดังกล่าว ได้ถือกรอบสถาปัตยกรรมองค์กร 4.0 ขององค์การส่งเสริมกิจการโคนมแห่งประเทศไทย หรือ
DPO Enterprise Architecture 4.0 (DPO EA 4.0) ที่ได้ปรับปรุงขึ้นในเอกสารฉบับนี้ โดยให้มีความทันสมัย
สอดคล้องกับแผนวิสาหกิจ ฯ ของ อ.ส.ค. และบริบทความต้องการใช้เทคโนโลยี ดิจิทัลในการดำเนินธุรกิจที่
เปลี่ยนแปลงไปอย่างรวดเร็ว และสอดรับกับนโยบาย Thailand 4.0 โดยมีแผนการพัฒนาและการนำระบบ
เทคโนโลยีดิจ ิทัล ไปใช้ง าน (Digital Development and Deployment) ที่ส รุปพอสั งเขป ได้ดังนี้ (ส่ว น
รายละเอียดของแผนการดำเนินงานและการนำระบบเทคโนโลยีดิจิทัลไปใช้งานสามารถอ้างอิงกับแผนพัฒนา
ดิจิทัลฯ ของ อ.ส.ค. และแผนปฏิบัติการดิจิทัลฯ ของ อ.ส.ค.
4.5.1. แผนการดำเนินงานพัฒนาดิจิทัลของ อ.ส.ค.
อ.ส.ค. ได้จัดทำแผนพัฒนาดิจิทัลฯ ของ อ.ส.ค. โดยคำนึงถึงแนวทางยุทธศาสตร์ กลยุทธ์และ
แผนงานหลักในการดำเนินกิจการของ อ.ส.ค. ตามแผนวิสาหกิจ ฯ ของ อ.ส.ค. โดยนำสาระสำคัญที่ได้ จาก
การศึกษาสภาวะแวดล้อมทางธุรกิจ นโยบาย ความต้องการเชิงธุรกิจ และบทวิเคราะห์ต่าง ๆ เพื่อจัดทำ
ยุทธศาสตร์ขององค์กรซึ่งนำมาสู่แผนงานและกรอบการดำเนินโครงการเชิงยุทธศาสตร์ (Project Theme) ในการ
ขับเคลื่อนองค์กรไปสู่เป้าหมายที่กำหนดไว้ โดยในการจัดทำแผนพัฒนาดิจิทัลฯ ประกอบด้วย 3 ยุทธศาสตร์ ที่
มุ่งเน้นการพัฒนาด้านบุคลากร (People) กระบวนงาน (Process) และเทคโนโลยีดิจิทัล (Digital Technology)
ได้แก่ ยุทธศาสตร์ที่ 1 การพัฒนาบุคลากรด้านดิจิทัล ยุทธศาสตร์ที่ 2 การพัฒนากระบวนการปฏิบัติงานสู่
องค์กรดิจิทัล และยุทธศาสตร์ที่ 3 การพัฒนาเทคโนโลยีดิจิทัลเพื่อสนับสนุนการดำเนินธุรกิจขององค์กร ดังที่
แสดงในภาพที่ 4.5-1 และในแต่ละยุทธศาสตร์นั้นมีความสอดคล้องกับวัตถุประสงค์เชิงยุทธศาสตร์ (SO) ของ
แผนวิสาหกิจฯ ของ อ.ส.ค. ดังภาพที่ 4.5-1
ภาพที่ 4.5-1 ยุทธศาสตร์และกลยุทธ์ด้านดิจิทัลของ อ.ส.ค.
ภาพที่ 4.5-2 ความสอดคล้องระหว่างแผนพัฒนาดิจิทัลฯ และแผนวิสาหกิจฯ ของ อ.ส.ค.
4.5.2. การนำระบบเทคโนโลยีดิจิทัลไปใช้งาน (Digital Technology Deployment)
การนำระบบเทคโนโลยี ดิ จิ ทั ล ไปใช้ ง าน (Digital Technology Deployment) ตาม
แผนพัฒนาดิจิทัลฯ และแผนปฏิบัติการดิจิทัลฯ ซึ่งมุ่งเน้นการนำแผนงาน/โครงการที่สามารถดำเนินงาน
ได้ ทั น ที ต ามกรอบแนวทางและแผนกลยุ ท ธ์ (Roadmap) ที่ ก ำหนดไว้ ใ ห้ ส ามารถตอบสนองต่ อ ความ
ต้องการในระยะเร่งด่ว นและระยะปานกลางของแผนวิส าหกิจที่ได้รับ การปรับปรุงขึ้นนั้น อ.ส.ค. สามารถ
ดำเนินการโดยยึดรูปแบบพันธสัญญาด้านดิจิทัล (Digital Engagement Model) ที่กำหนดขึ้นเพื่อให้เกิดการ
จัดวางแนวที่สอดคล้อง (Alignment) ระหว่างเทคโนโลยีดิจิทัล กระบวนงาน และกระบวนการตัดสินใจของ
ผู้บริหาร รวมทั้งช่วยในการสื่อสารและประสานงานระหว่างผู้บริหาร หน่วยธุรกิจและระดับทีมงานโครงการ
(Project Team) รวมถึ งการบริ ห ารจั ด การโครงการเทคโนโลยี ด ิ จ ิ ท ั ล (Digital Technology Project
Management) ที่มีประสิทธิภาพตลอดวงจรอายุของโครงการ (Project Life Cycle) โดยเริ่มตั้งแต่การจัดทำ
ข้ อเสนอโครงการ (Project Proposal) การศึ กษาความต้ องการ (Requirement Study) การกำหนด
คุณลักษณะเฉพาะของระบบ (System Specifications) การจัดหา (Procurement) การพัฒนาระบบ
(Development) การติดตั้งใช้งาน (Implementation) การจัดการการเปลี่ยนแปลง (Change Management)
การใช้งาน (Usage) การบำรุงรักษา (Maintenance) การปรับปรุง (Enhancement) จนถึงการปลดระวาง
(Obsolescence) ของระบบเทคโนโลยีดิจิทัล โดยการดำเนินการดังกล่าวจะอยู่ภายใต้กรอบการกำกับดูแลด้าน
เทคโนโลยีดิจ ิทัล (Digital Governance) หรือ “ธรรมาภิ บาลด้านดิจิทัล (Digital Governance)” และ
สถาปัตยกรรมองค์กรของ ของ อ.ส.ค. โดยมีกลไกการเชื่อมต่อ (Linkage Mechanism) ที่ช่วยในการประสาน
ความเข้าใจและการตัดสินใจ (Connecting and Decision-making Processes) ดังที่อธิบายไว้ในเบื้องต้น
4.6. การประเมินผล/ความคุ้มค่าของการนำเทคโนโลยีดิจิทัลมาปรับใช้กับทุกส่วนของ
องค์กร
อ.ส.ค. มีการนำเทคโนโลยีดิจิทัลมาปรับใช้กับทุกส่วนขององค์กร และทุกส่วนของธุรกิจ ทั้งในส่วนของ
กระบวนการทำงาน การสร้างสรรค์ผลิตภัณฑ์ การตลาด วัฒนธรรมองค์กร และการกำหนดเป้าหมายการ
เติบโตในอนาคต เพื่อให้เกิดประสิทธิภาพในการดำเนินธุรกิจและสามารถรองรับการเปลี่ยนแปลงได้อย่าง
รวดเร็ว รวมถึงในการสร้างธุรกิจใหม่ ๆ รูปแบบบริการใหม่ ๆ ให้เกิดขึ้น ตลอดจนการบริหารโครงการและการ
ดำเนิน งานด้านเทคโนโลยีดิจ ิทัล อย่ างมีป ระสิ ทธิภ าพและมีการบริห ารจัด การด้านคุ ณภาพของการนำ
เทคโนโลยีดิจิทัลมาใช้
4.6.1. การประเมินผลการนำเทคโนโลยีดิจิทัลมาปรับใช้กับทุกส่วนขององค์กร
การประเมิน ผลการนำเทคโนโลยีดิจิทัล มาปรับใช้กับทุกส่วนขององค์กร เป็ น ส่ ว นสำคั ญ
ประการหนึ่งที่ต้องมีการดำเนินการเพื่อวิเคราะห์ถึงประสิทธิภาพและความคุ้มค่าในการดำเนินการด้านการ
พัฒนาและการใช้งานระบบเทคโนโลยีดิจิทัลตามแผนงาน/โครงการต่าง ๆ ที่ได้รับการอนุมัติและดำเนินการ
ซึ่งในการประเมินผลดังกล่าวจะพิจารณาเป็น 2 ด้าน ดังนี้
4.6.1.1 การประเมินผลการดำเนินโครงการ
เพื่อให้เกิ ดประสิทธิภาพในการประเมิ นผลการดำเนิ นการตามแผนงาน/โครงการให้เป็นไปตาม
แผนพัฒนาดิจิทัลฯ และแผนปฏิบัติการดิจิทัลฯ รวมถึงแผนวิสาหกิจฯ ของ อ.ส.ค. ที่ปรึกษาฯ ขอเสนอรูปแบบ
การประเมินแบบ “ซิป” หรือ “CIPP Model” ของสตัฟเฟิลบีม (Stufflebeam) ซึ่งเป็นรูปแบบ (Model) ที่
ได้รับการยอมรับในระดับสากล ทั้งนี้ รูปแบบการประเมินโครงการแบบ CIPP Model เป็นรูปแบบการประเมิน
ที่มีความต่อเนื่องกันในการดำเนินงานโครงการอย่างครบวงจร โดยมีการเก็บรวมรวมข้อมูลตามที่ได้กำหนดไว้
แล้วนำข้อมูลที่ได้นั้นจัดทำให้เป็นสารสนเทศเพื่อปรับปรุงโครงการอย่างทันท่วงที โดยรูปแบบการประเมินแบบ
“ซิป” หรือ “CIPP Model” แบ่งเป็น 4 ด้าน ได้แก่ ด้านบริบท ด้านปัจจัยนำเข้า ด้านกระบวนการ และด้าน
ผลผลิต ซึ่งมีรายละเอียดดังนี้
(2) การประเมินด้านบริบท (Context Evaluation : C)
เป็นการประเมินก่อนการดำเนินการโครงการ เพื่อพิจารณาหลักการและเหตุผล
ความจำเป็นในการดำเนินโครงการ ประเด็นปัญหา และความเหมาะสมของเป้าหมาย
โครงการ
(3) การประเมินด้านปัจจัยนำเข้า (Input Evaluation : I)
เป็นการประเมินเพื่อพิจารณาถึงความเป็นไปได้ของโครงการ ความเหมาะสม
และความพอเพียงของทรัพยากรที่จะใช้ในการดำเนินโครงการ อาทิ งบประมาณ
บุคลากร วัสดุ อุปกรณ์ เวลา รวมทั้งเทคโนโลยี และแผนการดำเนินงาน
(4) การประเมินด้านกระบวนการ (Process Evaluation : P)
เป็นการประเมินเพื่อหาข้อบกพร่องของการดำเนินโครงการ ที่จะใช้เป็นข้อมูลใน
การพัฒนา แก้ไข ปรับปรุง ให้การดำเนินการช่วงต่อไปมีประสิทธิภาพมากขึ้น และ
เป็นการตรวจสอบกิจกรรม เวลา ทรัพยากรที่ใช้ในโครงการ ภาวะผู้นำ การมีส่วน
ร่วมของผู้มีส่วนได้ส่วนเสียในโครงการ โดยมีการบันทึกไว้เป็นหลักฐานทุกขั้นตอน
การประเมิน กระบวนการนี้ จะเป็นประโยชน์อย่างมากต่อการค้นหาจุดเด่น หรือจุด
แข็ง (Strengths) และจุดด้อย (Weaknesses) ของนโยบาย/แผนงาน/โครงการ ซึ่ง
มักจะไม่สามารถศึกษาได้ภายหลังจากสิ้นสุดโครงการแล้ว
(5) การประเมินด้านผลผลิต (Product Evaluation : P)
เป็นการประเมินเพื่อเปรียบเทียบผลผลิตที่เกิดขึ้นกับวัตถุประสงค์ ของโครงการ
หรือมาตรฐานที่กำหนดไว้ รวมทั้งการพิจารณาในประเด็นของการยุบ เลิก ขยาย หรือ
ปรับเปลี่ยนโครงการ
4.6.1.2 เกณฑ์และตัวชี้วัดความสำเร็จ
โดยแต่ละโครงการที่ดำเนินการต้องมีเกณฑ์และตัวชี้วัด (Indicator) ระดับความสำเร็จของโครงการให้ทราบ ซึ่ง
โดยทั่วไปแล้วเกณฑ์ที่ใช้ในการประเมินผลโครงการ มีดังนี้
(1) เกณฑ์ประสิทธิภาพ (Efficiency)

มีตัวชี้วัด อาทิ สัดส่วนของผลผลิตต่อค่าใช้จ่าย ผลิตภาพต่อหน่วยเวลา ผลิตภาพต่อ
กำลังคน ระยะเวลาในการให้บริการ เป็นต้น
(2) เกณฑ์ประสิทธิผล (Effectiveness) มีตัวชี้วัด อาทิ ระดับการบรรลุเป้าหมาย
ระดับการบรรลุตามเกณฑ์มาตรฐาน ระดับการมีส่วนร่วม ระดับความเสี่ยงของ
โครงการ เป็นต้น
(3) เกณฑ์ความพอเพียง (Adequacy) มีตัวชี้วัด อาทิ ระดับความพอเพียงของ
ทรัพยากร เป็นต้น
(4) เกณฑ์ความพึงพอใจ (Satisfaction) มีตัวชี้วัด อาทิ ระดับความพึงพอใจ เป็นต้น
(5) เกณฑ์ความเป็นธรรม (Equity) มีตัวชี้วัด อาทิ การให้โอกาสเข้าถึงการบริการ
ความเป็นธรรมระหว่างเพศ ระหว่างกลุ่มงาน เป็นต้น
(6) เกณฑ์ ค วามก้ า วหน้ า (Progress) มี ต ั ว ชี ้ ว ั ด อาทิ ผลผลิ ต เปรี ย บเที ย บกั บ
เป้าหมายรวมกิจกรรมที่ทำแล้วเสร็จ ทรัพยากร และเวลาที่ใช้ไป เป็นต้น
(7) เกณฑ์ความยั่งยืน (Sustainability) ตัวชี้วัด อาทิ ความอยู่รอดของโครงการ
ด้านค่าใช้จ่ายและความคุ้มค่าในการลงทุน ความเป็นไปได้ในด้านการขยายผลของ
โครงการ เป็นต้น
(8) เกณฑ์ความเสียหายของโครงการ (Externalities) มีตัวชี้วัด อาทิ ผลกระทบ
ด้านสิ่งแวดล้อม ผลกระทบด้านชื่อเสียง ผลกระทบด้านสังคมและวัฒนธรรมของ
องค์กร เป็นต้น
4.6.2. การประเมินความคุ้มค่าของการนำเทคโนโลยีดิจิทัลมาปรับใช้กับทุกส่วนขององค์กร
การประเมินความคุ้มค่าของการนำเทคโนโลยีดิจิทัลมาปรับใช้กับทุกส่วนขององค์กรของ อ.ส.ค.
นั้นจะคำนึงถึงความคุ้มค่าในการลงทุน เปรียบเทียบกับประโยชน์ที่ได้รับ เพื่อให้เทคโนโลยีที่ได้ลงทุนไปนั้น
สามารถนำไปใช้ให้เกิดประโยชน์ได้อย่างสูงสุดสำหรับการบริหารจัดการองค์กรในด้านต่าง ๆ โดยใช้ปัจจัยชี้วัด
ความเหมาะสมทางด้านเศรษฐศาสตร์เป็นเกณฑ์ในการพิจารณา ด้ ว ยวิธ ีการเปรียบเทียบต้นทุนการใช้
ทรัพยากรและผลประโยชน์ที่ได้รับกลับคืนระหว่างสถานการณ์ที่มีโครงการ (With Project Situation) กับไม่มี
โครงการ (Without Project Situation) โดยใช้วิธีการเปรียบเทียบกระแสมูลค่าของการใช้ทรัพยากรและ
ผลประโยชน์ที่แท้จริงที่เกิดจากโครงการ ตามระยะเวลาที่ใช้ในการวิเคราะห์ของโครงการโดยการขจัดความ
แตกต่างของค่าเงิน ตามกาลเวลาออกไป (Discounted cash flow analysis) ซึ่งจะใช้วิธีการคำนวณตาม
หลักการเศรษฐศาสตร์ ดังนี้
4.6.2.1 มูลค่าปัจจุบันสุทธิของโครงการ (Net Present Value: NPV)
มูลค่าปัจจุบันสุทธิของโครงการ คือ จำนวนผลตอบแทนสุทธิที่ได้รับตลอดระยะเวลาของโครงการ ซึ่ง
อาจมีค่าเป็นลบ หรือเป็นบวกก็ได้ โดยคำนวณจากมูลค่าปัจจุบันของผลตอบแทนสุทธิจากการดำเนินงาน หัก
ออกด้วยมูลค่าปัจจุบันของต้นทุนในการลงทุนโครงการ โดยใช้หลักการที่ว่า หาก NPV มีค่ามากกว่า หรือ
เท่ากับศูนย์ แสดงว่าการลงทุนด้านเทคโนโลยีดิจิทัลนั้นมีความเหมาะสมในการลงทุน โดยใช้สูตรการคำนวณ
ดังนี้
มูลค่าปัจจุบัน (NPV) = มูลค่าปัจจุบันเงินสดรับ (Present Value) – มูลค่าปัจจุบันเงินสดจ่าย
หรือ
𝑛
𝐵𝑡 − 𝐶𝑡
𝑁𝑃𝑉 = ∑
(1 − 𝑟)𝑡
𝑡=0
โดย 𝐶𝑡 = ต้นทุนโครงการรายปี
𝐵𝑡 = มูลค่าผลประโยชน์ที่ได้รับรายปี
𝑟 = อัตราส่วนลดในการคำนวณมูลค่าในอนาคต
𝑛 = ระยะเวลาในพิจารณาความคุ้มค่าในการลงทุน
โดยมีหลักเกณฑ์ในการพิจารณาตัดสินใจ ดังนี้
ตารางที่ 4.6.1 หลักเกณฑ์ในการพิจารณามูลค่าปัจจุบันสุทธิของโครงการ
มูลค่าปัจจุบัน (NVP) ความหมาย
มีค่าเป็นบวก (+) ยอมรับโครงการ
มีค่าเป็นลบ (-) ปฏิเสธโครงการ
4.6.2.2 อัตราผลตอบแทนภายในของโครงการ (Internal Rate of Return: IRR)

อัตราผลตอบแทนภายในของโครงการ หรืออัตราผลตอบแทนคิดลด เป็นวิธีการประเมินเพื่อให้ทราบ
ว่าการลงทุนจะให้อัตราผลตอบแทนเท่าใด คือ การสุ่มอัตราคิดลด (Discount Rate) ที่ทำให้ NVP มีค่าเท่ากับ
ศูนย์ กล่าวคือ การทำให้เงินสดสุทธิในอนาคตทอนมูลค่ากลับมาเป็นปัจจุบันมีค่าเท่ากับเงินลงทุนก้อนแรก
ดังนั้น เมื่อค่า IRR มีค่าสูงกว่าต้นทุนเงินทุนเฉลี่ยถ่วงน้ำหนักของโครงการแสดงว่าโครงการนั้น ๆ มีความ
เหมาะสมในการลงทุน โดยสูตรในการคำนวณค่า IRR นั้น มีดังนี้
𝑁𝑉𝑃 ของอัตราคิดลดตัวต่ำ
IRR = อัตราคิดลดตัวต่ำ + ผลต่างระหว่างอัตราคิดลดทั้งสอง x
ผลต่างของ 𝑁𝑉𝑃 ตามอัตราคิดลดทั้งสอง
4.6.2.3 อัตราส่วนผลประโยชน์ต่อเงินลงทุน (Benefit Cost Ratio: B/C Ratio)

อัตราส่วนผลประโยชน์ต่อเงินลงทุน คือ มูลค่าปัจจุบันของผลประโยชน์รวม (Benefit) หารด้วยมูลค่าปัจจุบัน
ของต้นทุนรวม (Cost) เพื่อประกอบการตัดสินใจว่าแต่ละโครงการมีความคุ้มค่าทางเศรษฐกิจหรือไม่ โดยมี
วิธีการคำนวณ ดังนี้
โดยมีหลักเกณฑ์ในการพิจารณาตัดสินใจ ดังนี้
ตารางที่ 4.6.2 หลักเกณฑ์ในการพิจารณาตัดสินใจอัตราส่วนผลประโยชน์ต่อเงินลงทุน
อัตราส่วนผลตอบแทนต่อต้นทุน (Benefit Cost Ratio) ความหมาย
มีค่า > 1 (ผลตอบแทนที่ได้รับจากโครงการมีค่ามากกว่าค่าใช้จ่ายที่เสียไป) คุ้มค่าในการลงทุน
มีค่า = 1 (ผลตอบแทนที่ได้รับจากโครงการมีค่าเท่ากับค่าใช้จ่ายที่เสียไปพอดี) ไม่ได้ไม่เสีย
มีค่า < 1 (ผลตอบแทนที่ได้รับจากโครงการมีค่าน้อยกว่าค่าใช้จ่ายที่เสียไป) ไม่คุ้มค่าในการลงทุน
สรุปการประเมินประสิทธิผล/ความคุ้มค่าการลงทุนด้านเทคโนโลยีดิจิทัลของ อ.ส.ค. ดังนี้

ตารางที่ 4.6.3 สรุปการประเมินประสิทธิผล/ความคุ้มค่าการลงทุนด้านเทคโนโลยีดิจิทัลของ อ.ส.ค.
NVP B/C IRR การตัดสินใจลงทุน
>0 >1 > อัตราดอกเบี้ยเงินกู้ ลงทุน
<0 <1 < อัตราดอกเบี้ยเงินกู้ ไม่ลงทุน
=0 =1 = อัตราดอกเบี้ยเงินกู้ ลงทุน หรือไม่ก็ได้
4.7. การประเมินการรับรู้กระบวนการวิเคราะห์และจัดทำสถาปัตยกรรมองค์กรของผู้มีส่วน
ได้ส่วนเสีย
การประเมินการรับรู้กระบวนการวิเคราะห์และจัดทำสถาปัตยกรรมองค์กรของผู้มีส่วนได้ส่วนเสีย มี
วัตถุประสงค์เพื่อเก็บรวบรวมข้อมูลด้านการรับรู้กระบวนการวิเคราะห์และจัดทำสถาปัตยกรรมองค์กรของผู้มี
ส่ว นได้ส ่ว นเสีย ทั ้งภายในและภายนอกองค์ กร เพื่อสะท้ อนให้ เห็ นว่า กระบวนการวิเ คราะห์ และจั ด ทำ
สถาปัตยกรรมองค์กรของของ อ.ส.ค. มีประสิทธิภาพ หรือมีความเหมาะสมกับบริบทขององค์กรหรือไม่ โดยให้
ผู้ที่มีส่วนเกี่ยวข้องในภาคส่วนต่าง ๆ ได้เข้ามามีส่วนร่วมกับกระบวนการฯ พร้อมให้ข้อเสนอแนะ หากพิจารณา
แล้ว ว่ากระบวนการวิเ คราะห์และจั ดทำสถาปัต ยกรรมองค์ก รขาดตกบกพร่ องประการใด จากนั้นฝ่ า ย
เทคโนโลยีดิจิทัลจะรวบรวมข้อมูลที่ได้รับมาวิเคราะห์ ทบทวน และปรับปรุงกระบวนการวิเคราะห์และจัดทำ
สถาปัตยกรรมองค์กรในครั้งถัดไป
สำหรับวิธีการประเมินการรับรู้กระบวนการวิเคราะห์และจัดทำสถาปัตยกรรมองค์กรนั้น จะใช้วิธีการ
สำรวจเพื่อเก็บรวบรวมข้อมูลผู้มีส่วนได้ส่วนเสีย โดยใช้แบบสอบถาม (Questionnaire) เป็นเครื่องมือในการ
เก็บรวบวมข้อมูล กำหนดระเบียบวิธีวิจัยเชิงปริมาณ และวิเคราะห์ด้วยหลักการทางสถิติ ทั้งนี้ โดยสรุปการ
ประเมินการรับรู้กระบวนการวิเคราะห์และจัดทำสถาปัตยกรรมองค์กรของผู้มีส่วนได้ส่วนเสีย ประกอบด้วย
ขั้นตอนต่าง ๆ ดังนี้
4.7.1. ประชุมคณะทำงานขับเคลื่อนงานด้านเทคโนโลยีดิจิทัลของ อ.ส.ค.
เพื ่ อ ชี ้ แ จงและทำความเข้ า ใจในประเด็ น ด้ า นการดำเนิ น งานด้ า นการประเมิ น การรั บ รู้
กระบวนการวิเคราะห์และจัดทำสถาปัตยกรรมองค์กร เพื่อให้ประธานคณะทำงาน คณะทำงาน และเลขานุการ
ได้ เ ข้ า ใจในหลั ก การ พร้ อ มร่ ว มกั น กำหนดวิ ธ ี ก ารประเมิ น การรั บ รู ้ ก ระบวนการวิ เ คราะห์ แ ละจั ด ทำ
สถาปัตยกรรมองค์กรของผู้มีส่วนได้ส่วนเสียร่วมกัน
4.7.2. ศึกษาแนวคิด ทฤษฎี ที่เกี่ยวข้องกับการประเมินการรับรู้ และสถาปัตยกรรมองค์กร
4.7.3. กำหนดระเบียบวิธี (Methodology) หรือวิธีการเก็บรวบรวมข้อมูล ประกอบด้วยขั้นตอน
ต่าง ๆ ดังนี้
4.7.3.1 สร้างเครื่องมือและทดสอบคุณภาพเครื่องมือที่ใช้ในวิธีการเก็บรวบรวมข้อมูล
4.7.3.2 ดำเนินการเก็บรวบรวมข้อมูลด้วยเครื่องมือและระเบียบวิธีที่กำหนด
4.7.3.3 วิเคราะห์ผลการเก็บรวบรวมข้อมูล
4.7.3.4 สรุป อภิปรายผล และจัดทำข้อเสนอแนะ
4.7.4.นำข้อสรุปและข้อเสนอแนะเข้าสู่ที่ประชุมคณะทำงานขับเคลื่อนงานด้านเทคโนโลยีดิจิทัลของ
อ.ส.ค. เพื่อให้คณะกรรมการพิจารณาผลการประเมิน
4.7.5. ดำเนินการปรับปรุงกระบวนการวิเคราะห์และจัดทำสถาปัตยกรรมองค์กร

Ea 2024

Uploaded by

Copyright:

Available Formats

You might also like

Ea 2024

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Ea 2024

Uploaded by

Copyright:

Available Formats

2024

DIGITAL TECHNOLOGY DEPARTMENT

บทที่ 1 บทนำ 1-1

หลักคิดในการจัดทำสถาปัตยกรรมองค์กรด้านดิจิทัล ของ อ.ส.ค. (สำหรับปี 2567) ได้มุ่งเน้นการการ

2.1 ผลการทบทวนสถาปัตยกรรมองค์กรด้านดิจิทัล ของ อ.ส.ค. (สำหรับปี 2566)

2.2 กระบวนการวิเคราะห์และจัดทำสถาปัตยกรรมองค์กรด้านดิจิทัล ของ อ.ส.ค. (สำหรับปี

2.2.1 กระบวนการค้นหาข้อเท็จจริง (Fact Finding)

ภาพที่ 2.3-1กรอบสถาปัตยกรรมองค์กรแบบ Zachman (The Zachman Framework)

4) กรอบสถาปัตยกรรมองค์กรแบบ Federal (Federal Enterprise Architecture : FEA)

แผนภูมิที่ 2.3-1 ผลการประเมินรายงานสถานการณ์ดำเนินงานของรัฐวิสาหกิจด้าน Core Business Enablers ของ

ภาพที่ 2.3-4 การลงพื้นที่เพื่อสำรวจสถานภาพการใช้งานเทคโนโลยีดิจิทัลของบุคลากรในองค์กร

2.2.2 กระบวนการวิเคราะห์และออกแบบ (Analyst & Design)

2.3 การถ่ายทอดกระบวนการวิเคราะห์และจัดทำสถาปัตยกรรมองค์กรด้านดิจิทัล ของ อ.ส.ค. (สำหรับ

2.3.4 ผู้รับสาร (Receiver)

2.4 ตัววัดผลลัพธ์ (Outcome) ของกระบวนการวิเคราะห์และจัดทำสถาปัตยกรรมองค์กร

2.5 ปัจจัยที่สำคัญในการพัฒนาสถาปัตยกรรมองค์กรด้านดิจิทัล ของ อ.ส.ค. (สำหรับปี

สถาปัตยกรรมองค์กร 4.0 ของ อ.ส.ค. (สำหรับปี 2567) ประกอบด้วย สถาปัตยกรรมด้านธุรกิจ

3.1 สถาปัตยกรรมด้านธุรกิจ (Business Architecture)

ภาพที่ 3.1-2 กระบวนงานด้านคลังสินค้า

ดังนั้น สถาปัตยกรรมด้านธุรกิจกลุ่มอุตสาหกรรมนม สามารถกำหนดดังในภาพที่ 3.1-4

ภาพที่ 3.1-4 สถาปัตยกรรมด้านธุรกิจกลุ่มอุตสาหกรรมนม

ภาพที่ 3.1-5 กระบวนงานด้านการส่งเสริมกิจการโคนม

ภาพที่ 3.1-6 สถาปัตยกรรมด้านธุรกิจกลุ่มการส่งเสริมกิจการโคนม

ภาพที่ 3.1-8 สถาปัตยกรรมด้านธุรกิจกลุ่มการตลาดและการท่องเที่ยว

ภาพที่ 3.2-1 สถาปัตยกรรมด้านข้อมูล (Data Architecture)

1. แผนการผลิต 1.1 ประเภทผลิตภัณฑ   

1. ขอมูลโคนม 1.1 หมายเลข/ชื่อโคนม     

6. ขอมูลอาหารผสม 6.1 ประเภทอาหาร      

ตารางที่ 3.2-3 ฐานขอมูลดานการบริหารและอำนวยการและรายละเอียดหนวยงานที่สรางและใชขอมูล

1. ขอมูลแผนงาน/ 1.1 ปงบประมาณ             

5. ขอมูลความเสี่ยง 5.1 ขอมูลปจจัยเสี่ยง             

8. ขอมูลการ 8.1 ขอมูลการประเมิน

3.2.1.6 ฐานขอมูลระบบ MIS/EIS

ภาพที่ 3.2-2 ฐานขอมูลดานอุตสาหกรรมนม

ภาพที่ 3.2-4 ฐานข้อมูลด้านบริหารและอำนวยการ

3.3 สถาปัตยกรรมด้านระบบงาน (Application Architecture)

ภาพที่ 3.3-1 สถาปัตยกรรมด้านระบบงาน (Application Architecture)

5) ระบบบริหารจัดการฟาร์ม Zyan Dairy

ภาพที่ 3.3-6 ระบบ Zyan Dairy

ภาพที่ 3.3-6 ระบบบริหารจัดการฟาร์ม Zyan Dairy

ภาพที่ 3.3-7 ระบบ Zyan COOP

ภาพที่ 3.3-8 ระบบ Zyan MCC

ภาพที่ 3.3-9 ระบบ MSC

ภาพที่ 3.3-10 ระบบศูนย์ข้อมูลด้านกิจการโคนม Dairy Data Center : DDC

10) ระบบงานหลักที่จะพัฒนาเพิ่มเติมตามแผนพัฒนาดิจิทัลฯ และแผนปฏิบัติการ

ภาพที่ 3.3-13 ระบบ E-Learning

ภาพที่ 3.3-14 ระบบ e-Saraban

ภาพที่ 3.3-15 ระบบ Cowdrive

ภาพที่ 3.3-16 ระบบ E-Mail

2) ระบบ Web Site

(2) ระบบเว็บไซต์ ของฝ่ายเทคโนโลยีดิจิทัล

ทั้งนี้ แผนพัฒนาดิจิทัลฯ และแผนปฏิบัติการดิจิทัลฯ ได้กำหนดให้มีการพัฒนาระบบบริหาร

3.3.4 สถาปัตยกรรมการบูรณาการระบบงาน (Application Integration)

3.4 สถาปัตยกรรมด้านเทคโนโลยี (Technology Architecture)

3.4.1 ฐานงานด้านการคำนวณ (Computing Platform)

ภาพที่ 3.4-2 ฐานงานด้านการคำนวณ (Computing Platform)

ภาพที่ 3.4-3 ฐานงานด้านการสือ่ สาร (Communications Platform)

3.4.3 ฐานงานด้านการบริหารจัดการข้อมูล (Data Management Platform)