ISO 27001

ในปัจจุบัน หากกล่าวถึงมาตรฐานด้านความมั่นคงปลอดภัยข้อมูล หลายคนคงนึกถึงมาตรฐาน ISO/IEC 27001 หรือ Information Security Management System (ISMS) ที่กำลังเป็นที่นิยมปฏิบัติกันในองค์กรระดับ Enterprise ในประเทศไทยเวลานี้ โดยมีองค์กรที่ผ่านการรับรองมาตรฐาน ISO/IEC 27001 แล้วกว่าสิบราย โดยมาตรฐาน ISO/IEC 27001 จะมุ่งเน้นไปที่ความมั่นคงปลอดภัยข้อมูลในมุมมองของ CIA TRIAD (C = Confidentiality, I = Integrity, A = Availability) เป็นหลัก แต่เบื้องหลังความสำเร็จของการตรวจผ่านมาตรฐาน ISO/IEC 27001 ก็คือ การนำองค์ความรู้ “IT Service Management” (ITSM) ซึ่งเป็น “กระบวนการบริหารจัดการงานบริการเทคโนโลยีสารสนเทศ” มาช่วยเสริมในการบริหารจัดการความมั่นคงปลอดภัยข้อมูลตามมาตรฐาน ISO/IEC 27001 เช่น การนำ ITIL (IT Infrastructure Library) Framework หรือ การใช้แนวทางการปฏิบัติจากมาตรฐาน ISO/IEC 20000 มาประยุกต์ใช้ในกระบวนการ “Change Management” (ISO/IEC 27001 Annex A. A.10.1.2) , “Capacity Management” (ISO/IEC 27001 Annex A. A.10.3.1) หรือ “Incident Management” (ISO/IEC 27001 Annex A. A.13) เป็นต้น

ปรัชญาของหลักการ IT Service Management ก็คือ การใช้เทคโนโลยีสารสนเทศเพื่อสนับสนุนความต้องการและเป้าหมายทางธุรกิจขององค์กร (Business Requirements & Objectives) เรียกได้ว่า IT ต้อง “Support” Business ไม่ใช่ Business Support IT องค์กรส่วนใหญ่ในปัจุบันนั้นให้ความสำคัญแก่ “Business Requirement” เป็นลำดับแรก โดยใช้หลัก “Business Leads IT” เทคโนโลยีสารสนเทศถูกนำมาใช้เพื่อเป็นกลไกในการขับเคลื่อนทางธุรกิจธุรกรรมต่างๆ ขององค์กร ดังนั้น การนำเทคโนโลยีสารสนเทศมาใช้ในการให้บริการโดยอ้างอิงจาก กระบวนการบริหารจัดการงานบริการเทคโนโลยีสารสนเทศ “IT Service Management” หรือ “ITSM” ซึ่งเน้นเรื่องการบริหารจัดการทางด้านเทคโนโลยีสารสนเทศให้ตอบสนองต่อความต้องการของธุรกิจ และ มุ่งไปที่ความพึงพอใจของผู้ใช้ระบบสารสนเทศ (Users) หรือ ลูกค้า (Customers) เป็นใหญ่

การนำเทคโนโลยีสารสนเทศมาใช้ในอดีตมักจะเน้นเรื่องทางด้านเทคนิค หรือ “Technology” เป็นจุดสำคัญและมุ่งไปที่การให้บริการภายในองค์กรเท่านั้น แต่ในปัจจุบันองค์กรสมัยใหม่นิยมนำเทคโนโลยีสารสนเทศมาใช้ในการให้บริการลูกค้าให้เกิดความพึงพอใจสูงสุด (Customer Satisfaction) โดยเน้นไปที่ “คุณภาพในการให้บริการ” หรือ “Quality of Service” เช่น เรื่อง Service Level Agreement (SLA) ในสัญญาการให้บริการเทคโนโลยีสารสนเทศ เป็นต้น

ISO 29110VSE

มาตรฐาน ISO 29110 เป็นมาตรฐานที่มุ่งเน้นให้การรับรองคุณภาพการบริหารงานหรือผลิตภัณฑ์ซอฟต์แวร์ให้แก่ หน่วยงาน/ผู้ประกอบการ ที่มีขนาดเล็กโดยมีผู้ร่วมงานไม่เกิน 25 คน เพราะตัวมาตรฐานได้ถูกกำหนดมาเพื่อสร้างบทบาทควบคุมคุณภาพกระบวนการผลิตซอฟต์แวร์ทั้งทางด้านการบริหารงานและทางด้านเทคนิคให้กับผู้ประกอบการขนาดเล็กและขนาดย่อม อีกทั้งยังเป็นมาตรฐานที่สามารถลดต้นทุนในการบริหารและจัดการกระบวนการควบคุมคุณภาพการผลิตที่ยังไม่สูงมากเมื่อเปรียบเทียบกับมาตรฐาน CMMI หรือ Capability Maturity Model® Integration คือ แบบจำลอง ที่แนะนำ ข้อควรปฏิบัติหรือพึงกระทำ และสิ่งที่ควรคาดหวัง เพื่อเป็นการสร้างข้อกำหนดการปฏิบัติร่วมกันที่พึงมีขององค์กร ที่ใช้ควบคุมคุณภาพการบริหารและจัดการผลิตซอฟต์แวร์ของผู้ประกอบการขนาดใหญ่มากกว่า 100 คนขึ้นไปในปัจจุบัน

ทางคณะกรรมการวิชาการที่ 967 ได้ริเริ่มโครงการ TQS (Thai Quality Software) ซึ่งเป็นโครงการให้คำปรึกษาและฝึกอบรมเพื่อปรับปรุงกระบวนการ ตามมาตรฐานที่ได้ประยุกต์จากมาตรฐานสากล ISO12207 ด้วยจุดเริ่มต้นจากจุดนี้ คณะกรรมการวิชาการที่ 967 ได้เข้าร่วมกับกลุ่ม ISO/IEC SC7 ที่ทำหน้าที่ในการยกร่างมาตรฐานระดับสากลด้านวิศวกรรม ซอฟต์แวร์และระบบ จากความร่วมมือนั้นได้จัดตั้งกลุ่มคณะกรรมการทำงานขึ้นมาเพื่อการวิจัย พัฒนา และเผยแพร่ มาตรฐานวิศวกรรมซอฟต์แวร์สำหรับองค์กรขนาดกลางและเล็กที่เรียกว่า ISO29110 Software Engineering-Lifecycle Profiles for Very Small Enterprises (VSE) ISO29110 เป็นแนวคิดยุคใหม่ของ ISO ที่จะเน้นการเติบโตของอุตสาหกรรมขนาดกลางและเล็ก รวมทั้งผู้ประกอบใหม่ที่เข้ามาให้มีโอกาสในการแข่งขันตามแนวทางการพัฒนา ฯ Outsourcing ซึ่งในอดีตที่ผ่านมา มาตรฐานวิศวกรรมซอฟต์แวร์ได้ถูกทำให้เป็นเรื่องที่เข้าใจยากและมีความสลับซับซ้อนยุ่งยากในการปฏิบัติตาม ประกอบกับมาตรฐานซอฟต์แวร์ระดับสากลที่มีอยู่ในปัจจุบันจะเหมาะสมกับการปฏิบัติงานขององค์กรขนาดใหญ่ ISO29110 จึ่งถูกพัฒนาด้วยแนวคิดพื้นฐานเพื่อสนับสนุนองค์กรขนาดเล็กให้มีโอกาสในการปรับปรุงกระบวนการและรับรองคุณภาพในระดับสากล

ประโยชน์ของมาตรฐาน ISO 29110 และการนำไปใช้

หากองค์กรใดดำเนินโครงการได้ตามมาตรฐานสากล ISO/ IEC 29110 ไม่ว่าจะภายในองค์กรเอง หรือระหว่างองค์กร จะทำให้มีข้อมูลไปในทิศทางเดียวกันทั้งทีมงาน และผู้ที่เกี่ยวข้องกับโครงการที่โครงการทั้งทางตรงและทางอ้อม และทำให้สามารถบริหารโครงการให้เสร็จสิ้นตามต้องการของลูกค้า โดยอยู่ในกรอบของระยะเวลาที่ได้วางแผนไว้

- สามารถดำเนินโครงการได้บรรลุเป้าหมาย
- กระบวนการในการพัฒนาระบบงาน ที่เป็นแนวทางเดียวกันทั้งองค์กร
- มีรูปแบบของการสรุปความต้องการที่ชัดเจน เพื่อลดข้อขัดแย้งและประเด็นปัญหา
- ทุกคนในองค์กร เข้าใจบทบาทและหน้าที่ความรับผิดชอบของตนเอง
- สามารถวิเคราะห์และประเมิน ระยะเวลาในการดำเนินโครงการได้แม่นยำ และลดความเสี่ยงที่อาจเกิดขึ้นกับโครงการได้
- สร้างความเชื่อมัน ทั้งกับลูกค้าและทีมงานในองค์กรเอง