หนองหานด็อทคอม

วันศุกร์ที่ 10 สิงหาคม พ.ศ. 2555

การจัดการระบบสารสนเทศ

Service Profile IM

Service  Profile  IM
I-๔ การวัด วิเคราะห์ Performance ขององค์กรและการจัดการความรู้
เป้หมาย/ประเด็นคุณภาพที่สำคัญ
ตัวชี้วัด
เป้าหมาย
ปี๒๕๕๒
ปี๒๕๕๓
ปี๒๕๕๔
- Information System down time
- Information System Response 
< ๖๐นาที
๔๕
๑๗.๕๐
-It User Satisfaction
> ๘๕%
๖๔.๖๙
๗๒.๓๕
๖๗.๑๕
- Knowledge  asset  created
บริบท
โรงพยาบาลหนองหานได้นำเทคโนโลยีสารสนเทศโปรแกรม HOSxP มาช่วยในการบันทึกข้อมูลบริการตั้งแต่ปี ๒๕๕๐ และได้พัฒนาระบบรายงาน และโปรแกรมเสริมระบบงานต่าง เช่น ระบบบริหารความเสี่ยง ,ความคลาดเคลื่อนทางยา ที่เชื่อมโยงกับโปรแกรม HOSxP กรรมการสารสนเทศได้ ติดตามควบคุมกำกับการลงบันทึกข้อมูล ตรวจสอบความถูกต้องของฐานข้อมูล การประมวลผลรายงาน สามารถค้นหาข้อมูลเพื่อเปรียบเทียบผลการดำเนินงานย้อนหลังได้ถูกต้องและรวด เร็วและนำผลการดำเนินงานเสนอผ่านคณะกรรมการบริหารคุณภาพโรงพยาบาล   เพื่อแก้ไขปัญหา  อุปสรรค และสนับสนุนทรัพยากรที่จำเป็นทั้ง  Hard Ware & Software  โดยกำหนดเป้าหมายของระบบสารสนเทศดังนี้
        มีความถูกต้องแม่นยำของข้อมูลในระบบสารสนเทศ
        ข้อมูลในระบบสารสนเทศเชื่อถือได้
        มีความปลอดภัยเป็นความลับ
        นำไปใช้ประโยชน์ได้รวดเร็วทันต่อเวลา
กระบวนกา: การวัดผลงาน
กลุ่มตัวชี้วัดที่มี Alignment ทั่วทั้งองค์กร
องค์กรเลือก รวบรวม และเชื่อมโยงข้อมูล / สารสนเทศ / ตัวชี้วัดสำคัญที่สอดคล้องไปในทิศทางเดียวกัน เพื่อใช้ติดตามผลการปฏิบัติงานประจำวัน, ติดตามผลงานขององค์กรโดยรวม, ติดตามความก้าวหน้าตามวัตถุประสงค์เชิงกลยุทธ์และแผนปฏิบัติการ, สนับสนุนการตัดสินใจและการสร้างนวัตกรรมขององค์กร. 
       โรงพยาบาลหนองหานได้กำหนดความปลอดภัย ความพึงพอใจของผู้รับบริการและการสร้างสุขภาพ เป็นจุดเน้นในการพัฒนา ดังนั้น ทุกหน่วยงานจะมีตัวชี้วัดเกี่ยวกับ

       - ด้านความปลอดภัยในการดูแลผู้ป่วย ได้แก่ อัตราการพลัดตกหกล้ม อัตราการเกิดภาวะแทรกซ้อน            
        - ด้านความพึงพอใจ ได้แก่ ร้อยละความพึงพอใจของแต่ละหน่วยงาน 
       -  ด้านการสร้างเสริมสุขภาพ ได้แก่ ร้อยละการใช้เครื่องป้องกันถูกต้อง    ร้อยละการล้างมือถูกต้อง   ร้อยละการปรับเปลี่ยนพฤติกรรมสุขภาพรวมทั้งเจ้าหน้าที่และผู้รับบริการ เป็นต้น

ตัวอย่างการตัดสินใจ/นวัตกรรมที่เป็นผลจากการติดตามตัวชี้วัด
       จากการทบทวนตัวชี้วัด อัตราการกลับมารักษาซ้ำของผู้ป่วย COPD สูง จึงมีการปรับปรุงจัดคลินิกบริการผู้ป่วย COPD โดยมีทีมสหวิชาชีพ  เข้ามาดูแลผู้ป่วยและมีการวางแผนการจำหน่าย  การเยี่ยมบ้านผู้ป่วยกลุ่มนี้
ข้อมูล Performance ขององค์กรที่มีการเปรียบเทียบกับองค์กรภายนอก
-      ทีมนำองค์กร ทีมคร่อมสายงาน และหน่วยงานใช้ข้อมูลการประมวลผลจากโปรแกรม HOSxP เป็นข้อมูลในอ้างอิงการนำไปใช้วางแผนยุทธศาสตร์ การบริหารจัดการ การวิเคราะห์เงินการคลัง การปรับปรุงบริการในการดูแลผู้ป่วย การจัดทำรายงาน
-      ในปี ๒๕๕๕ กลุ่มเครือข่ายโรงพยาบาลชุมชนอุดรธานี ๑๘ แห่ง โดยสำนักงานสาธารณสุขจังหวัดอุดรธานี  ได้ร่วมกันจัดทำข้อมูลเพื่อเปรียบเทียบ โดยมีคณะกรรมการ KM&IT ซึ่งเป็นตัวแทนจากโรงพยาบาลชุมชนทุกแห่งร่วมประชุมพิจารณาคัดเลือกตัวชี้วัด เพื่อใช้เปรียบเทียบ (Benchmark)

การวิเคราะห์ ทบทวนและปรับปรุง Performance ขององค์กร

ประเด็นสำคัญที่ได้จากการวิเคราะห์ข้อมูล  Performance ขององค์กร ในรอบปีที่ผ่านมา
         จากการวิเคราะห์ข้อมูล Performance ของ องค์กร พบว่า ข้อมูลการให้บริการผู้ป่วยที่มาวิเคราะห์เป็น ๒๑ แฟ้ม ไม่ถูกต้อง และครบถ้วน เนื่องจากการบันทึกรายละเอียดของข้อมูลในการให้บริการแต่ละครั้งบันทึกได้ ไม่ครบถ้วนและถูกต้อง
 ลำดับความสำคัญเพื่อการปรับปรุง  Performance ขององค์กร
       โรงพยาบาลได้มุ่งเน้นให้เจ้าหน้าที่ บันทึกข้อมูลการให้บริการแต่ละครั้งให้ถูกต้องและครบถ้วน เพื่อที่สามารถเรียกมาวิเคราะห์เป็นข้อมูล  ๒๑ แฟ้มในอนาคต ให้ได้ครบถ้วนและถูกต้อง   ตามมาตรฐานของ สนย.และ สปสช. 
การจัดการทรัพยากรสารสนเทศIT module ทีมีใช้อยู่ในปัจจุบัน
    โรงพยาบาลหนองหาน มีการจัดการด้านทรัพยากร
 - ระบบบริการผู้ป่วย ได้แก่ Program HOS-xP  โรงพยาบาลได้นำระบบบริการผู้ป่วยระบบ HOSxP  มา
ใช้แทนโปรแกรม STAT ๒ เดิม ในปี พ.ศ. ๒๕๕๐  ผลลัพธ์จากการเปลี่ยนมาใช้โปแกรม HOSxP สามารถตอบสนองความต้องการในด้านการดูแลผู้ป่วยซึ่งสามารถดูประวัติเก่าการเจ็บผู้ป่วยของผู้ป่วย การลงบันทึกผลการรักษาครบทุกจุดบริการ มีความพร้อมใช้งานตลอด ๒๔ ชม.
       - ระบบวิเคราะห์และชันสูตรโรค  ได้พัฒนาโดยนำ  Program LIS  เข้ามาใช้ในการวิเคราะห์ข้อมูลเชื่อเชื่อมโยงข้อมูลเข้าระบบโปรแกรม HOSxP  อัตโนมัติเพื่อลดการทำงานซ้ำซ้อนและลดอัตราการรายงานข้อมูลผลผิดพลาด
               - งานสนับสนุน ได้แก่  โปรแกรมครุภัณฑ์     นำมาใช้ในการบริหารครุภัณฑ์และวัสดุคงคลังและวิเคราะห์ผลวัสดุคงเหลือ  ปริมาณการเบิกจ่ายวัสดุแต่ละประเภทและหน่วยงานต้นสังกัดที่เบิกจ่าย  
IT module ที่กำลังพัฒนาหรือมีแผนที่จะพัฒนาในอนาคต
     ในปี ๒๕๕๕ ได้พัฒนาระบบโปรแกรมพัสดุที่ครอบคลุมระบบงานซ่อมบำรุง  ระบบงานจัดซื้อจัดจ้าง  ระบบงานการแจ้งซ่อมผ่านระบบเครือข่าย  โดยจัดทีมเข้าร่วมอบรมการพัฒนาระบบโปรแกรมพัสดุระดับเครือข่าย
  มีแผนการพัฒนาระบบสารสนเทศเพื่อการพัฒนาคุณภาพ  โดยสนับสนุนให้ รพ.สต ทุกแห่งใช้โปรแกรม HOSxP  PCU  โดยเชื่อมโยงข้อมูลการบริการผู้ป่วยของโรงพยาบาลและรพ.สต ผ่านระบบ Datacenter
 ความพร้อมใช้งานต่อเนื่องในภาวะฉุกเฉิน
    การสร้างความมั่นใจว่าข้อมูลและสารสนเทศ รวมทั้งระบบฮาร์ดแวร์และซอฟแวร์มีความพร้อมใช้งานในภาวะฉุกเฉินนั้น ทางโรงพยาบาลได้มีการใช้ Server หลักในการเก็บข้อมูล ๒ เครื่อง เครื่องเซิร์ฟเวอร์ที่ ๑ เชื่อมต่อกับสำรองไฟฟ้าผู้ป่วยนอก เครื่องที่ ๒ เชื่อมต่อกับเครื่องสำรองไฟฟ้าตึกอุบัติเหตุฉุกเฉิน ถ้าเกิดเหตุฉุกเฉินตึกใดตึกหนึ่ง ในกรณีที่เครื่องคอมพิวเตอร์มีปัญหาใช้งานไม่ได้จะทำการเตรียมเครื่อง คอมพิวเตอร์เคลื่อนที่และเครื่องพิมพ์ไว้สำรองหากอุปกรณ์มีการชำรุด ส่วนคอมพิวเตอร์ที่ประจำแต่ละจุดบริการจะมีเครื่องสำรองไฟขนาดเล็กทุก เครื่องซึ่งจะสามารถสำรองไฟได้ประมาณ ๒๐ นาที ในกรณีที่โปรแกรม HOS-XP ไม่สามารถใช้งานได้จะทำการเชื่อมข้อมูลผู้ป่วยจาก Server ลงสู่คอมพิวเตอร์ Note Book เพื่อใช้ข้อมูลในการค้นหาเวชระเบียน (OPD card) ของผู้ป่วยและดำเนินการให้บริการผู้ป่วยต่อไปโดยใช้ระบบการบันทึกด้วยมือลงใน OPD card หลังจากนั้นเจ้าหน้าที่ศูนย์คอมพิวเตอร์จะทำการแก้ไขระบบและทำให้ระบบกลับมาใช้งานได้เป็นปกติภายใน ๑ ชั่วโมงถ้าไม่สามารถนำข้อมูลจากเครื่อง Server ทั้ง ๒ เครื่อง ก็จะนำข้อมูลที่สำรองไว้ในแผ่นซีดีมาใช้ทดแทน ในเวลาราชการหากการใช้งานโปรแกรมมีปัญหาเฉพาะจุดสามารถติดต่อเจ้าหน้าที่ ศูนย์คอมพิวเตอร์ได้ทางโทรศัพท์ภายในและวันหยุดราชการสามารถติดต่อเจ้า หน้าที่ศูนย์คอมพิวเตอร์ได้โดยใช้โทรศัพท์มือถือหรือโทรศัพท์บ้าน
การจัดการความรู้ขององค์กร
การจัดกิจกรรมการจัดการความรู้
     โรงพยาบาลหนองหาน ได้มีกิจกรรมการจัดการความรู้ โดยทุกหน่วยงานมีการทบทวนคู่มือ ระเบียบปฏิบัติ และแนวทางปฏิบัติที่สำคัญให้เป็นปัจจุบัน พร้อมทั้งมีการแลกเปลี่ยนความรู้ทั้งระดับองค์กร กลุ่มงานและหน่วยงาน ได้แก่
           - ระดับองค์กร มีการแลกเปลี่ยนเรียนรู้เรื่อง กระบวนการคุณภาพ และPatient Safety เป็นต้น
           - ระดับกลุ่มงาน มีการแลกเปลี่ยนเรียนรู้ เรื่องการใช้กระบวนการพยาบาล การช่วยฟื้นคืนชีพ และมาตรฐานการพยาบาลในโรงพยาบาล เป็นต้น
           - ระดับองค์กร มีการแลกเปลี่ยนเรียนรู้เรื่องการวางแผนจำหน่ายผู้ป่วย การทบทวนดูแลผู้ป่วยใช้หลัก CTHER-HELF เป็นต้น
  การนำความรู้มาออกแบบระบบงาน/สร้างนวัตกรรม
        จากข้อมูลการดูแลผู้ป่วยโรคปอดอุดกั้นเรื้อรัง พบว่า มีการปรับปรุงแนวทางการดูแลผู้ป่วยโดยใช้ Dysnea Score และ Peak Flow ประเมินผู้ป่วย  และมีการ Empowerment การบริหารปอด โดยใช้ขวดคู่มหัศจรรย์ ให้ผู้ป่วยบริหารปอดที่บ้าน  เป็นต้น
คุณภาพของข้อมูล สารสนเทศ ความรู้
บทเรียนในการจัดการความมั่นคง ปลอดภัยระบบสารสนเทศ
    ด้านข้อมูลสารสนเทศและการบริการ

               โรงพยาบาลได้กำหนดการเข้าถึงข้อมูลโดยการกำหนดกลุ่มผู้ใช้งานในแต่ละประเภท  ได้แก่  กลุ่มผู้ดูแลระบบ  กลุ่มบุคลากรทางการแพทย์/ พยาบาล   กลุ่มบุคลากรด้านเทคนิคบริการและบุคลากรสนับสนุนบริการโดยการกำหนดชื่อผู้ใช้และรหัสผ่านในการเข้าถึงข้อมูล
      ด้านการจัดการความมั่นคง

               โรงพยาบาลได้มีระบบสำรองข้อมูลโดยการสร้างความมั่นใจว่าข้อมูลและสารสนเทศ รวมทั้งระบบฮาร์ดแวร์และซอฟแวร์มีความพร้อมใช้งานในภาวะฉุกเฉินนั้น ทางโรงพยาบาลได้มีการใช้ Server หลักในการเก็บข้อมูล ๒ เครื่องโดยถ่ายโอนข้อมูลจาก Server หลักไปสู่ Server สำรอง  และมีการสำรองข้อมูลลงในแผ่น ซีดี
 ผลการพัฒนาที่สำคัญ

การปรับปรุงระบบการวัด Performance ขององค์กร
      มีการวัด Performance ขององค์กรที่ชัดเจน
การปรับปรุงการจัดการความรู้
      มีการจัดการความรู้ โดยการทบทวนคู่มือ ระเบียบปฏิบัติ และวิธีปฏิบัติทุกปี
การปรับปรุงความมั่นคงปลอดภัยของระบบสารสนเทศ
      ●  องค์กรสร้างความมั่นใจว่าข้อมูลและสารสนเทศ รวมทั้งระบบฮาร์ดแวร์และซอฟท์แวร์ มีความพร้อมใช้งานอย่างต่อเนื่องในภาวะฉุกเฉิน
     ด้านความปลอดภัย      มีการกำหนดรหัสในการเข้าถึงข้อมูลเป็นรายบุคคลหน้าที่ภาระงาน
หน่วยงานต้นสังกัด และระดับความลับของข้อมูล  โดยมีการกำหนดสิทธิการใช้ของข้อมูลของเจ้าหน้าที่แต่ระดับ  คือ  ๑. ระดับปฏิบัติงาน ๒ระดับหัวหน้างาน ๓. ระดับผู้บริหาร ๔. ผู้ดูแลระบบ
        การรักษาความลับผู้ป่วย    มาตรฐานการรักษาความปลอดภัยเดียวกับงานเวชระเบียน
ส่วนด้าน electronic files หรือการเข้าถึงข้อมูลผู้ป่วยผ่านโปรแกรมเวชระเบียน HosXp มีการกำหนดรหัสในการเข้าถึงข้อมูล โดยมีการกำหนดสิทธิการบันทึก ใช้ของข้อมูลของรายบุคคลแบ่งตามหน้าที่ภาระงาน หน่วยงานต้นสังกัด และระดับความลับของข้อมูล
มาตรฐาน
Score
ประเด็นในแผนพัฒนา
๑๖. ระบบการวัดผลการดำเนินงาน
.
พัฒนา Individual Score Card
๑๗. การวิเคราะห์ข้อมูล และการทบทวนผลการดำเนินงาน
พัฒนาให้มีการใช้ข้อมูลทั่วทั้งองค์กร
๑๘.การจัดการสารสนเทศ
.
พัฒนาระบบสารสนเทศให้มีคุณภาพ เชื่อได้ทั้งองค์กร
๑๙. การจัดการเทคโนโลยีสารสนเทศ
พัฒนาระบบเทคโนโลยีสารสนเทศอย่างบูรณาการ
๒๐. การจัดการความรู้
ส่งเสริมให้มีการทำงานประจำให้เป็นงานวิจัย
เขียนโดย ที่ ไม่มีความคิดเห็น:

วันอาทิตย์ที่ 5 สิงหาคม พ.ศ. 2555

รู้ทัน อาเซียน หรือ สมาคมประชาชาติแห่งเอเชียตะวันออกเฉียงใต้

“One  Vision, One Identity, One Community”
หนึ่งวิสัยทัศน์  หนึ่งอัตลักษณ์  หนึ่งประชาคม

กำเนิดอาเซียน
อาเซียน หรือ สมาคมประชาชาติแห่งเอเชียตะวันออกเฉียงใต้ (Association of South East AsianNations หรือ ASEAN) ก่อตั้งขึ้นโดยปฏิญญากรุงเทพ (Bangkok Declaration) ซึ่งได้มีการลงนามที่วังสราญรมย์ เมื่อวันที่ 8 สิงหาคม พ.ศ. 2510 โดยรัฐมนตรีว่าการกระทรวงการต่างประเทศสมาชิกก่อตั้ง 5 ประเทศ ได้แก่ อินโดนีเซีย ฟิลิปปินส์ มาเลเซีย สิงคโปร์ และไทย ซึ่งผู้แทนทั้ง 5 ประเทศ ประกอบด้วยนายอาดัม มาลิก (รัฐมนตรีต่างประเทศอินโดนีเซีย) ตุน อับดุล ราชัก บิน ฮุสเซน (รองนายกรัฐมนตรี รัฐมนตรีกลาโหมและรัฐมนตรีกระทรวงพัฒนาการแห่งชาติมาเลเซีย) นายนาซิโซ รามอส (รัฐมนตรีต่างประเทศฟิลิปปินส์) นายเอส ราชารัตนัม (รัฐมนตรีต่างประเทศสิงค์โปร์) และพันเอก (พิเศษ) ถนัด คอมันตร์ (รัฐมนตรีต่างประเทศไทย)
ในเวลาต่อมาได้มีประเทศต่างๆ เข้าเป็นสมาชิกเพิ่มเติม ได้แก่ บรูไนดารุสซาลาม (เป็นสมาชิกเมื่อ 8 ม.ค.2527) เวียดนาม (วันที่ 28 ก.ค. 2538) สปป.ลาว พม่า (วันที่ 23 ก.ค. 2540) และ กัมพูชา เข้าเป็นสมาชิกล่าสุด (วันที่ 30 เม.ย. 2542) ให้ปัจจุบันมีสมาชิกอาเซียนทั้งหมด 10 ประเทศ
วัตถุประสงค์ของการก่อตั้งอาเซียน คือ เพื่อส่งเสริมความเข้าใจอันดีต่อกันระหว่างประเทศในภูมิภาค ธำรงไว้ซึ่งสันติภาพเสถียรภาพ และความมั่นคงทางการเมือง สร้างสรรค์ความเจริญก้าวหน้าทางด้านเศรษฐกิจ การพัฒนาทางสังคมและวัฒนธรรมการกินดีอยู่ดีของประชาชนบนพื้นฐานของความเสมอ ภาคและผลประโยชน์ร่วมกันของประเทศสมาชิก

สัญลักษณ์ของอาเซียน คือ รูปรวงข้าว สีเหลืองบนพื้นสีแดงล้อมรอบด้วยวงกลม สีขาวและสีน้ำเงิน
รวงข้าว 10 ต้น หมายถึง ประเทศสมาชิก 10 ประเทศ
สีเหลือง  หมายถึง  ความเจริญรุ่งเรือง
สีแดง  หมายถึง  ความกล้าหาญและการมีพลวัติ
สีขาว  หมายถึง  ความบริสุทธิ์
สีน้ำเงิน  หมายถึง  สันติภาพและความมั่นคง
กฎบัตรอาเซียน (ASEAN Charter)
ในการประชุมสุดยอดอาเซียน ครั้งที่ 13 เมื่อปี 2550 ที่ประเทศสิงค์โปร์ ผู้นำอาเซียนได้ลงนามในกฎบัตร  อาเซียนซึ่งเปรียบเสมือนธรรมนูญของอาเซียน ที่จะวางกรอบทางกฎหมายและโครงสร้างองค์กรเพื่อเพิ่มประสิทธิภาพของอา เซียน ในการดำเนินการตามวัตถุประสงค์และเป้าหมาย โดยเฉพาะอย่างยิ่งการขับเคลื่อนการรวมตัวเป็นประชาคมอาเซียน ภายในปี 2558 (ค.ศ. 2015) ตามที่ผู้นำอาเซียนได้ตกลงกันไว้ โดยวัตถุประสงค์ของกฎบัตรอาเซียน คือ ทำให้อาเซียนเป็นองค์การที่มีประสิทธิภาพ มีประชาชนเป็นศูนย์กลาง และเคารพกฎกติกาในการทำงานมากขึ้น นอกจากนี้ กฎบัตรจะให้สถานะนิติบุคคลแก่อาเซียนเป็นองค์กรระหว่างรัฐบาล (Intergovernmental Organization)
กฎบัตรอาเซียน ประกอบด้วยข้อบทต่าง ๆ 13 บท 55 ข้อ มีประเด็นใหม่ที่แสดงความก้าวหน้าของอาเซียน ได้แก่
(1) การจัดตั้งองค์กรสิทธิมนุษยชนของอาเซียน
(2) การให้อำนาจเลขาธิการอาเซียนสอดส่องและรายงานการทำตามความตกลงของรัฐสมาชิก
(3) การจัดตั้งกลไกสำหรับการระงับข้อพิพาทต่าง ๆ ระหว่างประเทศสมาชิก
(4) การให้ผู้นำเป็น ผู้ตัดสินว่าจะดำเนินการอย่างไรต่อรัฐผู้ละเมิดพันธกรณีตามกฎบัตรฯ อย่างร้ายแรง
(5) การเปิดช่องให้ใช้วิธีการอื่นในการตัดสินใจได้หากไม่มีฉันทามติ
(6) การส่งเสริมการปรึกษาหารือกันระหว่างประเทศสมาชิกเพื่อแก้ไขปัญหาที่กระทบต่อผลประโยชน์ร่วม
(7) การเพิ่มบทบาทของประธานอาเซียนเพื่อให้อาเซียนสามารถตอบสนองต่อสถานการณ์ฉุกเฉินได้อย่างทันท่วงที
(8) การเปิดช่องทางให้อาเซียนสามารถมีปฏิสัมพันธ์กับองค์กรภาคประชาสังคมมากขึ้น และ
(9) การปรับปรุงโครงสร้างองค์กรให้มีประสิทธิภาพมากยิ่งขึ้น เช่น ให้มีการประชุมสุดยอดอาเซียน 2 ครั้งต่อปี จัดตั้งคณะมนตรีเพื่อประสานความร่วมมือในแต่ละ 3 เสาหลัก และการมีคณะกรรมการผู้แทนถาวรประจำอาเซียน ที่กรุงจาการ์ตา เพื่อลดเวลาและค่าใช้จ่ายในการประชุมของอาเซียน เป็นต้น
กฎบัตรอาเซียนมีผลบังคับใช้ตั้งแต่วันที่ 15 ธันวาคม 2551 หลังจากที่ประเทศสมาชิกครบทั้ง 10 ประเทศ ได้ให้สัตยาบันกฎบัตร และการประชุมสุดยอดอาเซียน ครั้งที่ 14 ระหว่างวันที่ 28 กุมภาพันธ์ – 1 มีนาคม 2552 ที่จังหวัดเพชรบุรีเป็นการประชุมระดับผู้นำอาเซียนครั้งแรกหลังจากกฎ บัตรมีผลบังคับใช้
ประชาคมอาเซียน (ASEAN Community)
ประชาคมอาเซียนประกอบด้วยความร่วมมือ 3 เสาหลัก คือ

ประชาคมการเมืองและความมั่นคงอาเซียน (ASEAN Political and Security Community–APSC)
ประชาคมเศรษฐกิจอาเซียน (ASEAN Economic Community–AEC)
ประชาคมสังคมและวัฒนธรรม (ASEAN Socio-Cultural Community–ASCC)
1. ประชาคมการเมืองและความมั่นคงอาเซียน
(ASEAN Political and Security Community – APSC)
มีวัตถุประสงค์เพื่อเสริมสร้างและธำรงไว้ซึ่งสันติภาพและความมั่นคงของ ภูมิภาค เพื่อให้ประเทศในภูมิภาคอยู่ร่วมกันอย่างสันติสุข และสามารถแก้ไขปัญหาและความขัดแย้ง โดยสันติวิธี อาเซียนจึงได้จัดทำแผนงานการจัดตั้งประชาคมการเมืองและความมั่นคงอาเซียน (ASEAN Political-Security Community Blueprint) โดยเน้นใน 3 ประการ คือ
1) การมีกฎเกณฑ์และค่านิยมร่วมกัน ครอบคลุมถึงกิจกรรมต่าง ๆ ที่จะร่วมกันทำเพื่อสร้างความเข้าใจในระบบสังคมวัฒนธรรม และประวัติศาสตร์ที่แตกต่างของประเทศสมาชิก ส่งเสริมพัฒนาการทางการเมืองไปในทิศทางเดียวกัน เช่น หลักการประชาธิปไตย การส่งเสริมและคุ้มครองสิทธิมนุษยชน การสนับสนุนการมีส่วนร่วมของภาคประชาสังคม การต่อต้านการทจริต การส่งเสริมหลักนิติธรรมและธรรมาภิบาล เป็นต้น
2) ส่งเสริมความสงบสุขและรับผิดชอบร่วมกันในการรักษาความมั่นคงสำหรับประชาชน ที่ครอบคลุมในทุกด้านครอบคลุมความร่วมมือเพื่อเสริมสร้างความมั่นคงในรูปแบบ เดิม มาตรการสร้างความไว้เนื้อเชื่อใจและการระงับข้อพิพาท โดยสันติเพื่อป้องกันสงครามและให้ประเทศสมาชิกอาเซียนอยู่ด้วยกัน โดยสงบสุขและไม่มีความหวาดระแวง และขยายความร่วมมือเพื่อต่อต้านภัยคุกคามรูปแบบใหม่ เช่น การต่อต้านการก่อการร้าย อาชญากรรมข้ามชาติต่าง ๆ เช่น ยาเสพติด การค้ามนุษย์ ตลอดจนการเตรียมความพร้อมเพื่อป้องกันและจัดการภัยพิบัติและภัยธรรมชาติ
3) การมีพลวัตและปฏิสัมพันธ์กับโลกภายนอก เพื่อเสริมสร้างบทบาทของอาเซียนในความร่วมมือระดับภูมิภาค เช่น กรอบอาเซียน+3 กับจีน ญี่ปุ่น สาธารณรัฐเกาหลี (เกาหลีใต้) และการประชุมสุดยอดเอเชียตะวันออก ตลอดจนความสัมพันธ์ที่เข้มแข็งกับมิตรประเทศ และองค์การระหว่างประเทศ เช่น สหประชาชาติ
2.ประชาคมเศรษฐกิจอาเซียน
(ASEAN Political-Security Community-AEC)
มีวัตถุประสงค์เพื่อทำให้อาเซียนมีตลาดและฐานการผลิตเดียวกันและมีการ เคลื่อนย้ายสินค้า บริการ การลงทุน  เงินทุน และแรงงานมีฝีมืออย่างเสรี อาเซียนได้จัดทำแผนงาน การจัดตั้งประชาคมเศรษฐกิจอาเซียน (ASEAN Economic Community Blueprint) ซึ่งเป็นแผนงานบูรณาการการดำเนินงานในด้านเศรษฐกิจเพื่อให้บรรลุวัตถุ ประสงค์ 4 ด้าน คือ
1) การเป็นตลาดและฐานการผลิตเดียว (single market and production base) โดยจะมีการเคลื่อนย้ายสินค้า บริการ การลงทุน และแรงงานมีฝีมืออย่างเสรี และการเคลื่อนย้ายเงินทุนอย่างเสรีมากขึ้น
2) การสร้างขีดความสามารถในการแข่งขันทางเศรษฐกิจของอาเซียน โดยให้ความสำคัญกับประเด็นนโยบายที่จะช่วยส่งเสริมการรวมกลุ่มทางเศรษฐกิจ เช่น นโยบายการแข่งขัน การคุ้มครองผู้บริโภค สิทธิในทรัพย์สินทางปัญญา นโยบายภาษี และการพัฒนาโครงสร้างพื้นฐาน (การเงิน การขนส่ง เทคโนโลยีสารสนเทศ และพลังงาน)
3) การพัฒนาเศรษฐกิจอย่างเสมอภาค ให้มีการพัฒนาวิสาหกิจขนาดกลางและขนาดย่อม และการเสริมสร้างขีดความสามารถผ่านโครงการต่าง ๆ
4) การบูรณาการเข้ากับเศรษฐกิจโลก เน้นการปรับประสานนโยบายเศรษฐกิจของอาเซียนกับประเทศภายนอกภูมิภาคเพื่อให้ อาเซียนมีท่าทีร่วมกันอย่างชัดเจน
3. ประชาคมสังคมและวัฒนธรรมอาเซียน 
(ASEAN Socio-Cultural Community – ASCC)
อาเซียนได้ตั้งเป้าเป็นประชาคมสังคมและวัฒนธรรมอาเซียน ในปี 2558 โดยมุ่งหวังเป็นประชาคมที่มีประชาชนเป็นศูนย์กลาง มีสังคมที่เอื้ออาทรและแบ่งปัน ประชากรอาเซียนมีสภาพความเป็นอยู่ที่ดีและมีการพัฒนาในทุกด้านเพื่อยกระดับ คุณภาพชีวิตของประชาชน ส่งเสริมการใช้ทรัพยากรธรรมชาติอย่างยั่งยืน รวมทั้งส่งเสริมอัตลักษณ์อาเซียน (ASEAN Identity)
เพื่อรองรับการเป็นประชาคมสังคม และวัฒนธรรมอาเซียน โดยได้จัดทำแผนงานการจัดตั้งประชาคมสังคมและวัฒนธรรมอาเซียน (ASEAN Socio-Cultural Community Blueprint)ซึ่งประกอบด้วยความร่วมมือใน 6 ด้าน ได้แก่
1) การพัฒนาทรัพยากรมนุษย์
2) การคุ้มครองและสวัสดิการสังคม
3) สิทธิและความยุติธรรมทางสังคม
4) ความยั่งยืนด้านสิ่งแวดล้อม
5) การสร้างอัตลักษณ์อาเซียน
6) การลดช่องว่างทางการพัฒนา
ทั้งนี้โดยมีกลไกการดำเนินงาน ได้แก่ การประชุมรายสาขาระดับเจ้าหน้าที่อาวุโส และระดับรัฐมนตรีและคณะมนตรี ประชาคมสังคมและวัฒนธรรมอาเซียน
สาระสำคัญของปฏิญญาชะอำ-หัวหิน ว่าด้วยการเสริมสร้างความร่วมมือ
ด้านการศึกษาเพื่อบรรลุประชาคมอาเซียนที่เอื้ออาทรและแบ่งปันปฏิญญาชะ อำ-หัวหินว่าด้วยการเสริมสร้างความร่วมมือด้านการศึกษาเพื่อบรรลุประชาคมอา เซียนที่เอื้ออาทรและแบ่งปัน  เน้นย้ำถึงบทบาทของการศึกษาในการสร้างประชาคม อาเซียน ภายในปี 2558 อันประกอบด้วย 3 เสาหลัก ดังนี้
1. บทบาทของภาคการศึกษาในเสาการเมืองและความมั่นคง
สนับสนุนความเข้าใจและความตระหนักรับรู้เรื่องกฎบัตรอาเซียนให้มากขึ้น โดยผ่านหลักสูตรอาเซียน ในโรงเรียนและเผยแพร่กฎบัตรอาเซียนที่แปลเป็นภาษาต่างๆ ของชาติ ในอาเซียนให้เน้นในหลักการแห่งประชาธิปไตยให้มากขึ้น เคารพในสิทธิมนุษยชนและค่านิยมในเรื่องแนวทางที่สันติภาพในหลักสูตรของ โรงเรียนสนับสนุน ความเข้าใจและความตระหนักรับรู้ใน
ความหลากหลายทางวัฒนธรรม ประเพณีและความเชื่อในภูมิภาคในหมู่อาจารย์ผ่านการฝึกอบรม โครงการแลกเปลี่ยน และการจัดตั้งข้อมูลพื้นฐานออนไลน์เกี่ยวกับเรื่องนี้จัดให้มีการประชุมผู้ นำโรงเรียนอย่างสม่ำเสมอในฐานะที่เป็นพื้นฐานสำหรับการแลกเปลี่ยนข้อคิดเห็น เกี่ยวกับประเด็นในภูมิภาคอาเซียนที่หลากหลาย การสร้างศักยภาพและเครือข่าย รวมทั้งยอมรับการดำรงอยู่ของเวทีโรงเรียน
เอเชียตะวันออกเฉียงใต้ (Southeast Asia School Principals’ Forum: SEA-SPF)
2. บทบาทของภาคการศึกษาในเสาเศรษฐกิจ
พัฒนาพัฒนากรอบทักษะภายในประเทศของแต่ละประเทศสมาชิกเพื่อช่วยสนับสนุน การมุ่งไปสู่การจัดทำการยอมรับทักษะในอาเซียนสนับสนุนการขับเคลื่อนของนัก เรียนนักศึกษาให้ดีขึ้นโดยการพัฒนาบัญชีรายการระดับภูมิภาคของอุปกรณ์ สารนิเทศด้านการศึกษาที่ประเทศสมาชิกอาเซียนจัดหาได้สนับสนุนการเคลื่อนย้าย แรงงานมีฝีมือในภูมิภาคอาเซียน โดยผ่านกลไกความร่วมมือในระดับภูมิภาคระหว่างประเทศสมาชิกอาเซียนซึ่งจะต้อง ดำเนินควบคู่ไปกับความพยายามในการปกป้องและปรับปรุงมาตรฐานทางด้านการศึกษา และวิชาชีพพัฒนามาตรฐานด้านอาชีพบนพื้นฐานของความสามารถในภูมิภาคอาเซียนโดย มุ่งไปที่การสนับสนุนการพัฒนาทรัพยากรมนุษย์เพื่อให้สามารถแข่งขันได้ทั้งใน ระดับภูมิภาคและระดับโลก และเพื่อสนองตอบต่อความต้องการของภาคอุตสาหกรรมโดยประสานกับกระบวนการกรอบ การประชุมรัฐมนตรีอาเซียนด้านแรงงาน
3. บทบาทของภาคการศึกษาในเสาสังคมและวัฒนธรรม
พัฒนาเนื้อหาสาระร่วมในเรื่องอาเซียนสำหรับโรงเรียนเพื่อใช้เป็นตัวอ้าง อิงสำหรับการฝึกอบรมและการสอนของครูอาจารย์เสนอให้มีหลักสูตรปริญญาด้านศิลป วัฒนธรรมอาเซียนในมหาวิทยาลัยเสนอให้มีภาษาประจำชาติอาเซียน ให้เป็นภาษาต่างประเทศวิชาเลือกในโรงเรียนสนับสนุนโครงการระดับภูมิภาคที่ มุ่งเน้นที่การส่งเสริมการตระหนักรับรู้เกี่ยวกับอาเซียนให้แก่เยาวชนรับรอง การมีอยู่ของโครงการอื่นๆ เช่น การนำเที่ยวโรงเรียนอาเซียน โครงการแลกเปลี่ยนนักเรียนนักศึกษาอาเซียน การประชุมเยาวชนอาเซียนด้านวัฒนธรรม การประชุมสุดยอดเยาวชนนักศึกษาระดับ มหาวิทยาลัยอาเซียน การประชุมเครือข่ายมหาวิทยาลัยอาเซียน และการประกวดสุนทรพจน์ระดับเยาวชน สนับสนุนการเรียนรู้ตลอดชีวิตในประเทศสมาชิกอาเซียนโดยการสนับสนุนการศึกษา สำหรับ
ทุกคนจัดให้มีการประชุมวิจัยทางด้านการศึกษาอาเซียนเพื่อส่งเสริมความร่วม มือทางการวิจัยและพัฒนาในภูมิภาคให้เป็นเวทีสำหรับนักวิจัยจากประเทศสมาชิก เพื่อแลกเปลี่ยนมุมมองในประเด็นและเรื่องที่เกี่ยวข้องของภูมิภาคสนับสนุน ความเข้าใจและการตระหนักรับรู้ในประเด็นและเรื่องราวต่างๆ เกี่ยวกับสิ่งแวดล้อมในภูมิภาคอาเซียนโดยการบูรณาการให้อยู่ในหลักสูตรใน โรงเรียน และการมอบรางวัล
โรงเรียนสีเขียวอาเซียนเฉลิมฉลองวันอาเซียน (วันที่ 8 สิงหาคม)ในโรงเรียนโดยเฉพาะในเดือนสิงหาคมผ่านกิจกรรมที่หลากหลาย เช่น การร้องเพลงชาติอาเซียน การจัดการแข่งขันเรื่องประวัติศาสตร์และวัฒนธรรมอาเซียนการจัดแสดงเครื่อง หมาย และสัญลักษณ์อื่นๆ ของอาเซียน การจัดค่ายเยาวชนอาเซียน เทศกาลเยาวชนอาเซียนและวันเด็กอาเซียนเห็นชอบที่จะเสนอในรัฐสมาชิกอาเซียน
แบ่งปันทรัพยากรแก่กัน และพิจารณาการจัดตั้งกองทุนพัฒนาด้านการศึกษาของภูมิภาคเพื่อให้มั่นใจว่าจะ ได้รับการสนับสนุนทางการเงินอย่างเพียงพอในการปฏิบัติการต่าง ๆได้ตามที่ได้รับการเสนอแนะมามอบหมายให้ องค์กรระดับรัฐมนตรีรายสาขาของอาเซียนเกี่ยวข้องและเลขาธิการอาเซียนดำเนิน การปฏิบัติตามปฏิญญานี้โดยการให้แนวทางและสนับสนุนแผน 5 ปีของอาเซียนว่าด้วยเรื่องการศึกษา
รวมทั้งข้อตกลงในการควบคุมดูแลที่ได้รับการสนับสนุนโดยคณะกรรมการผู้แทน ถาวรและรายงานต่อที่ประชุม สุดยอดอาเซียนเป็นประจำผ่านคณะมนตรีประชาคมสังคมและวัฒนธรรมอาเซียนทราบผล การคืบหน้าของการดำเนินการปฏิญาณว่าความมุ่งมั่นและข้อผูกพันของผู้นำอา เซียนในการเสริมสร้างความเข้มแข็งด้านการศึกษาเพื่อให้เกิดประชาคมอาเซียน ที่มีการเคลื่อนไหวประชาคมที่มีความเชื่อมโยงกันและประชาคมของประชาชนอา เซียนและเพื่อประชาชนอาเซียน
นโยบายกระทรวงศึกษาธิการในการดำเนินการด้านการศึกษาตามปฏิญญาชะอำ-หัวหิน ว่าด้วยการเสริมสร้างความร่วมมือด้านการศึกษาเพื่อบรรลุประชาคมอาเซียนที่เอื้ออาทรและแบ่งปัน
จากการประชุมคณะกรรมการระดับชาติเพื่อขับเคลื่อนการศึกษาในอาเซียนสู่การ บรรลุเป้าหมายการจัดตั้งประชาคมอาเซียนในปี 2558 เมื่อวันจันทร์ที่ 23 สิงหาคม 2553 ณ กระทรวงศึกษาธิการ โดยมีรัฐมนตรีว่าการกระทรวงศึกษาธิการเป็นประธาน และผู้เข้าร่วมประชุมประกอบด้วย ผู้แทนองค์กรหลักของกระทรวงศึกษาธิการ ผู้แทนสำนักงานเลขาธิการคุรุสภา ผู้อำนวยการเครือข่ายมหาวิทยาลัยอาเซียนและผู้แทนกรมอาเซียน กระทรวงการต่างประเทศ ที่ประชุมได้ให้ความเห็นชอบร่างนโยบายเพื่อดำเนินงานตามปฏิญญาชะอำ-หัวหิน ด้านการศึกษา จำนวน 5 นโยบาย ดังนี้
นโยบายที่ 1 การเผย แพร่ความรู้ ข้อมูลข่าวสาร และเจตคติที่ดีเกี่ยวกับอาเซียน เพื่อสร้างความตระหนักและเตรียมความพร้อมของครูคณาจารย์ และบุคลากรทางการศึกษา นักเรียน นักศึกษา และประชาชน เพื่อก้าวเข้าสู่ประชาคมอาเซียน ภายในปี 2558
นโยบายที่ 2  การพัฒนาศักยภาพของนักเรียน นักศึกษา และประชาชนให้มีทักษะที่เหมาะสมเพื่อเตรียมความพร้อมในการก้าวประชาคมอา เซียน เช่น ความรู้ภาษาอังกฤษ ภาษาเพื่อนบ้าน เทคโนโลยีสารสนเทศ ทักษะและความชำนาญการที่สอดคล้องกับการปรับตัวและเปลี่ยนแปลงทางอุตสาหกรรม และการเพิ่มโอกาสในการหางานทำของประชาชน รวมทั้งการพิจารณาแผนผลิตกำลังคน
นโยบายที่ 3  การพัฒนามาตรฐานการศึกษาเพื่อส่งเสริมการหมุนเวียนของนักศึกษาและครูอาจารย์ ในอาเซียน รวมทั้งเพื่อให้มีการยอมรับในคุณสมบัติทางวิชาการร่วมกันในอา เซียน การส่งเสริมความร่วมมือระหว่างสถาบันการศึกษาต่าง ๆ และการแลกเปลี่ยนเยาวชน การพัฒนาระบบการศึกษาทางไกล ซึ่งช่วยสนับสนุนการศึกษาตลอดชีวิต การส่งเสริมและปรับปรุงการศึกษาด้านอาชีวศึกษาและการฝึกอบรมทางอาชีพ ทั้งในขั้นต้นและขั้นต่อเนื่อง ตลอดจนส่งเสริมและเพิ่มพูนความร่วมมือระหว่างสถาบันการศึกษาของประเทศสมาชิก ของอาเซียน
นโยบายที่ 4  การเตรียมความพร้อมเพื่อเปิดเสรีการศึกษาในอาเซียนเพื่อรองรับการก้าวสู่ ประชาคมเศรษฐกิจอาเซียนประกอบด้วย การจัดทำความตกลงยอมรับร่วมด้านการศึกษา การพัฒนาความสามารถ ประสบการณ์ในสาขาวิชาชีพสำคัญต่างๆ เพื่อรองรับการเปิดเสรีการศึกษาควบคู่กับการเปิดเสรีด้านการเคลื่อนย้ายแรง งาน
นโยบายที่ 5  การพัฒนาเยาวชนเพื่อเป็นทรัพยากรสำคัญในการก้าวสู่ประชาคมอาเซียน
ประเทศสมาชิกอาเซียน (ASEAN Member States)

เนการาบรูไนดารุสซาลาม : Negara Brunei Darussalam
การปกครอง : สมบูรณาญาสิทธิราชย์
ประมุข : สมเด็จพระราชาธิบดีฮัจญี ฮัสซานัล โบลเกียห์ มูอิซซัดดิน วัดเดาเลาะห์
เมืองหลวง : บันดาร์เสรีเบกาวัน
ภาษาราชการ : ภาษามาเลย์, ภาษาอาหรับ
หน่วยเงินตรา : บรูไนดอลลาร์
เว็บไซต์กระทรวงการต่างประเทศ www.mofat.gov.bn

ราชอาณาจักรกัมพูชา : Kingom of Cambodia
การปกครอง : ระบอบประชาธิปไตย
ประมุข : พระบาทสมเด็จพระบรมนาถนโรดม สีหมุนี
เมืองหลวง : กรุงพนมเปญ
ภาษาราชการ : ภาษาเขมร
หน่วยเงินตรา : เรียล
เว็บไซต์กระทรวงการต่างประเทศ www.mfaic.gov.kh

สาธารณรัฐอินโดนีเซีย : Republic of Indonesia
การปกครอง : ระบอบสาธารณรัฐแบบประชาธิปไตย
ประมุข : พลโทซูซีโล บัมบัง ยูโดโยโน
เมืองหลวง : กรุงจาการ์ตา
ภาษาราชการ : ภาษาบาร์ฮาซา, ภาษาอินโดนีเซีย
หน่วยเงินตรา : รูเปียห์
เว็บไซต์กระทรวงการต่างประเทศ www.kemlu.go.id

สาธารณรัฐประชาธิปไตยประชาชนลาว : The Loa People’s Democratic Republic
การปกครอง : ระบอบสังคมนิยม
ประมุข : พลโทจูมมะลี ไซยะสอน
เมืองหลวง : นครหลวงเวียงจันทน์
ภาษาราชการ : ภาษาลาว
หน่วยเงินตรา : กีบ
เว็บไซต์กระทรวงการต่างประเทศ www.mofa.gov.la

มาเลเซีย : Malaysia
การปกครอง : สหพันธรัฐ โดยมีสมเด็จพระราชาธิบดีเป็นประมุข
ประมุข : สมเด็จพระราชาธิบดีสุลต่านตวนกู อับดุล ฮาลิม มูอัซซอม ซาร์
เมืองหลวง : กรุงกัวลาลัมเปอร์
ภาษาราชการ : ภาษามาเลย์
หน่วยเงินตรา : ริงกิต
เว็บไซต์กระทรวงการต่างประเทศ www.kln.gov.my

สาธารณรัฐแห่งสหภาพเมียนมาร์ : Republic of the Union of the Myanmar
การปกครอง : ระบบประธานาธิบดี
ประมุข : พลเอกเต็ง เส่ง
เมืองหลวง : นครเนปิดอร์
ภาษาราชการ : ภาษาพม่า
หน่วยเงินตรา : จั๊ต
เว็บไซต์กระทรวงการต่างประเทศ www.mofa.gov.mm

สาธารณรัฐฟิลิปปินส์ : Republic of the Philippine
การปกครอง : สาธารณรัฐเดี่ยวระบบประธานาธิบดี
ประมุข : เบนิกโน อากีโน ที่ 3
เมืองหลวง : กรุงมะลิลา
ภาษาราชการ : ภาษาตากาล๊อก, ภาษาอังกฤษ
หน่วยเงินตรา : เปโซ
เว็บไซต์กระทรวงการต่างประเทศ www.dfa.gov.ph

สาธารณรัฐสิงคโปร์ : Republic of Singapore
การปกครอง : ระบบสาธารณรัฐแบบรัฐสภา มีประธานาธิบดีเป็นประมุข
ประมุข : โทนี ตัน เค็ง ยัม
เมืองหลวง : สิงคโปร์
ภาษาราชการ : ภาษาอังกฤษ, ภาษาจีนกลาง, ภาษามาเลย์, ภาษาทมิฬ
หน่วยเงินตรา : ดอลล่าร์สิงคโปร์
เว็บไซต์กระทรวงการต่างประเทศ www.mfa.gov.sg

ราชอาณาจักรไทย : Kingdom of Thailand
การปกครอง : ระบอบประชาธิปไตย อันมีพระมหากษัตริย์เป็นประมุข
ประมุข : พระบาทสมเด็จพระปรมินทรมหาภูมิพลอดุลยเดช
เมืองหลวง : กรุงเทพมหานคร
ภาษาราชการ : ภาษาไทย
หน่วยเงินตรา : บาท
เว็บไซต์กระทรวงการต่างประเทศ www.mfa.go.th

สาธารณรัฐสังคมนิยมเวียดนาม : Socialist Republic of Vietnam
การปกครอง : ระบอบสังคมนิยมเวียดนาม
ประมุข : เจือง เติ๋น ซาง
เมืองหลวง : กรุงฮานอย
ภาษาราชการ : ภาษาเวียดนาม
หน่วยเงินตรา : ด่อง
เว็บไซต์กระทรวงการต่างประเทศ www.mofa.gov.vn
เขียนโดย ที่ ไม่มีความคิดเห็น:

วันศุกร์ที่ 3 สิงหาคม พ.ศ. 2555

บทวิเคราะห์ สถานการณ์ล่าสุดเกี่ยวกับปัญหาในการปฏิบัติตามพรบ. ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 ขององค์กรในประเทศไทย

บท วิเคราะห์ สถานการณ์ล่าสุดเกี่ยวกับปัญหาในการปฏิบัติตามพรบ. ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 ขององค์กรในประเทศไทย

The Latest update problems about Computer Crime Law Implementation in Thailand

by A.Pinya Hom-anek,
GCFW, CISSP, SSCP, CISA, CISM, Security+,(ISC)2 Asian Advisory Board
President, ACIS Professional Center
E-mail:
สืบเนื่องจากกระแส "Regulatory Compliance" ที่มีผลต่อวงการ "Information Security" ทั่วโลกรวมทั้งในประเทศไทย ทำให้ตลาดผลิตภัณฑ์ฮาร์ดแวร์และซอฟท์แวร์ ตลอดจนบริการต่างๆที่เกี่ยวข้องกับระบบรักษาความปลอดภัยข้อมูลคอมพิวเตอร์ มีอัตราการเติบโตเพิ่มขึ้นจากปีที่ผ่านมาอย่างเห็นได้ชัด สำหรับความตื่นตัวที่กลับมาอีกครั้งขององค์กรเรื่องการปฏิบัติตามพรบ.ว่า ด้วยการกระทำผิดฯ หลังจากการประกาศในราชกิจจานุเบกษา เมื่อวันที่ 23 สิงหาคม 2550 ระยะเวลาผ่อนผันให้ทุกองค์กรปฏิบัติตามประกาศกระทรวงเทคโนโลยีสารสนเทศและ การสื่อสารที่กำหนดให้หนึ่งปีจากวันที่ประกาศบังคับใช้ โดยจะหมดระยะผ่อนผันตั้งแต่วันที่ 23 สิงหาคม 2551 เป็นต้นไป ทำให้หลายองค์กรกำลังมองหา " The Right Solution" ที่จะทำให้การจัดเก็บข้อมูลจราจรทางคอมพิวเตอร์ หรือ การจัดเก็บ Log File ขององค์กรสามารถ "ผ่าน" หรือ "Comply" พรบ.ฯ ได้อย่างไม่มีปัญหา ในกรณีที่ทางพนักงานเจ้าหน้าที่ต้องการข้อมูลจราจรทางคอมพิวเตอร์ ์ องค์กรจะต้องจัดเก็บข้อมูลจราจรทางคอมพิวเตอร์ ตามประกาศกระทรวงฯ ไว้ไม่น้อยกว่า 90 วัน จากการสำรวจข้อมูลจากหลายองค์กรชั้นนำ พบว่ามีหลากหลายปัญหาเกิดขึ้นระหว่างช่วงระยะผ่อนผัน สรุปสาเหตุของปัญหาและทางแก้ไขที่ถูกต้องได้ดังนี้

10 ปัญหาที่พบบ่อยเกี่ยวกับการปฏิบัติตามพรบ. ว่าด้วยการกระทำผิดฯ ขององค์กรในประเทศไทย

1. ปัญหาที่เกิดจากผู้บริหารระดับสูงไม่ให้ความสำคัญเรื่องการปฏิบัติตามพรบ.ฯ

สาเหตุ

ผู้บริหารระดับสูงอาจยังไม่ได้รับข่าวสารเรื่องพรบ.ฯ เนื่องจากไม่มีการนำเสนอให้กับผู้บริหารระดับสูง หรือ ผู้บริหารระดับสูงคาดว่าการบังคับใช้กฎหมายทางภาครัฐที่รับผิดชอบคงไม่เอา จริง เนื่องจากพนักงานเจ้าหน้าที่ยังไม่พร้อม อีกทั้งยังไม่มีคดีตัวอย่างให้เห็น จึงเพิกเฉยต่อการปฏิบัติตาม พรบ.ฯ

ทางแก้ไข

ทางภาครัฐควรมีการจัดทำการประชาสัมพันธ์เกี่ยวกับแนวทางการปฏิบัติตาม พรบ.ฯ และกระบวนการแจ้งความเกี่ยวกับการกระทำผิดเกี่ยวกับคอมพิวเตอร์ ตลอดจนบทบาทและอำนาจหน้าที่ของพนักงานเจ้าหน้าที่ ตลอดจนนำกรณีศึกษาคดีตัวอย่างที่เกี่ยวข้องกับ พรบ.ฯ เพื่อให้เกิดความตระหนักและความเข้าใจในวัตถุประสงค์ที่แท้จริงของการบังคับ ใช้ พรบ.ฯ สำหรับองค์กร ผู้บริหารระบบสารสนเทศระดับสูง (CIO) หรือ ผู้จักการฝ่ายสารสนเทศ (IT Manager) ควรชงเรื่องให้ฝ่ายบริหารระดับสูง (Top Management or Board of Director) และมีการประชาสัมพันธ์ในองค์กรในรูปแบบของการฝึกอบรม "Information Security Awareness Training" เพื่อให้ผู้ใช้คอมพิวเตอร์ทุกคนในองค์กรได้ตระหนักถึงบทบัญญัติของ พรบ.ฯ และทำความเข้าใจ พรบ.ฯ จากกรณีตัวอย่าง ตลอดจนองค์กรควรประกาศบังคับใช้ Acceptable Use Policy ( AUP) พร้อมกันกับการฝึกอบรม Information Security Awareness Training หลังจากที่ผู้ใช้คอมพิวเตอร์เข้ารับการฝึกอบรมแล้วก็จะเกิดความเข้าใจเหตุผล และเข้าใจที่มาที่ไปของ AUP ว่าทำไมองค์กรต้องมีการกำหนดนโยบาย AUP เช่น เพื่อให้สอดคล้องกับการประกาศบังคับใช้ พรบ.ฯ เป็นต้น

2. ปัญหาที่เกิดจากผู้บริหารฝ่ายสารสนเทศ หรือ ผู้บริหารระบบสารสนเทศระดับสูง มีความเชื่อว่าการจัดชื้อระบบ SIM (Security Information Management) นั้นสามารถทำให้องค์กร "Comply" พรบ.ฯ ได้

สาเหต

ความเชื่อดังกล่าวเกิดจากการรับข้อมูลจากหลากหลายแหล่งที่มา ไม่ว่าจะเป็นจากอินเทอร์เน็ต, จากฝ่ายขายของ System Integrator, จากงานสัมมนาผลิตภัณฑ์ระบบ SIM หรือ จากที่ปรึกษา ทำให้ผู้บริหารระบบสารสนเทศมีความเข้าใจผิดว่าการจัดซื้อระบบ " SIM " นั้นจะช่วยให้องค์กรสามารถ " Comply " พรบ.ฯ ได้ ซึ่งความเชื่อดังกล่าวนั้นส่งผลเสียให้กับองค์กร เนื่องจากระบบ "SIM " นั้น ไม่ได้ถูกออกแบบมาให้เก็บข้อมูลจราจรทางคอมพิวเตอร์ แต่ระบบ "SIM " ถูกออกแบบให้วิเคราะห์ข้อมูลจาก Log File หากระบบ "SIM" มีการพัฒนาเป็นระบบ "SIEM" (Security Information and Event Management) ซึ่งมีการรวมระบบการจัดเก็บ Log หรือ "SEM" (Security Event Management) เข้าไปด้วยก็สามารถนำมาใช้ "Comply" พรบ.ฯได้ แต่ต้องติดตั้งให้ถูกต้องตามประกาศกระทรวงเทคโนโลยีฯ เพื่อให้สามารถเก็บข้อมูลจราจรทางคอมพิวเตอร์ของบริการต่างๆ ได้ตามวัตถุประสงค์ของพรบ.ฯ

ทางแก้ไข

การศึกษาลักษณะการทำงานของระบบ "SIM" เปรียบเทียบกับลักษณะการทำงานของระบบ "SEM" ในเชิงลึกจากการทำ POC (Proof of Concept) จะทำให้ทราบว่าวัตถุประสงค์ในการทำงานที่แตกต่างกัน ดังนั้นผู้บริหารระบบสารสนเทศควรพิจารณาความแตกต่างระหว่าง "SIM" และ "SEM" ให้ชัดเจน ก่อนการตัดสินใจจัดซื้อจัดจ้างระบบ " SIM" ซึ่งปกติการลงทุนกับ "SIM" นั้นใช้งบประมาณค่อนข้างสูงเกินหนึ่งล้านบาทขึ้นไป ดังนั้นผู้บริหารระบบสารสนเทศควรไตร่ตรองและศึกษาอย่างรอบคอบเสียก่อน

3. ปัญหาที่เกิดจากผู้บริหารฝ่ายสารสนเทศมีความต้องการ "ซื้อ" ระบบ SIM และ SEM มากกว่า การ "เช่าใช้" ระบบ

สาเหต

ปัญหานี้เป็นปัญหาที่ไม่เกี่ยวข้องกับเรื่องทางเทคนิค แต่เป็น "ค่านิยม" ของผู้บริหารระบบสารสนเทศในประเทศไทย ส่วนใหญ่ ที่มีแนวคิด "ซื้อ" มากกว่า "เช่า" เพราะการซื้อระบบนั้นสามารถจับต้องได้และเป็นทรัพย์สินถาวรขององค์กร แต่หากพิจารณาโดยละเอียดถี่ถ้วนแล้ว จะพบว่าการ "เช่า" นั้น มีความคุ้มค่าในการลงทุน (ROI) มากกว่าการ "ซื้อ" ตลอดจนสามารถลดต้นทุน (TCO) ได้มากกว่า ดังนั้นองค์กรขนาดใหญ่ระดับ Enterprise ในประเทศไทย จึงหันไป "Outsource" หรือ "เช่าใช้" ระบบ "SIEM", "SIM" หรือ "SEM" มากกว่า แต่ในบางองค์กร เช่น ภาครัฐ อาจติดปัญหาเรื่องระบบราชการ เช่น งบลงทุนต่างจากงบค่าใช้จ่าย เป็นต้น ดังนั้นการตัดสินใจ "ซื้อ" หรือ "เช่า" จึงขึ้นกับลักษณะขององค์กร ระเบียบปฏิบัติ และความเหมาะสมในแง่มุมของการลงทุนเป็นสำคัญ

ทางแก้ไข

หากตัดปัญหาเรื่องระเบียบการเช่าซื้อ ควรพิจารณาว่าการเช่า หรือ "Outsource" นั้นไม่ขัดต่อระเบียบราชการ แต่สำหรับองค์กรเอกชนแนะนำให้เลือกบ่ริการ Outsource จาก MSSP ที่มีอยู่มากกว่าสี่รายในประเทศไทย เป็นทางออกที่น่าจะคุ้มค่ากว่า ขณะเดียวกัน MSSP ควรรักษาระดับคุณภาพในการให้บริการตาม SLA ให้ได้มาตรฐานเพื่อให้เกิดความเชื่อมั่นในการใช้บริการ "Outsource" ซึ่งในประเทศแถบเอเซียนั้นถือว่าอยู่ในช่วงเริ่มต้นเท่านั้น

4. ปัญหาความไม่ชัดเจนของพรบ.ฯ และประกาศกระทรวงฯ สำหรับขั้นตอนและวิธีการในการปฏิบัติตามได้อย่างถูกต้องตามวัตถุประสงค

สาเหต

เนื่องจากการปฏิบัติตามพรบ.ฯ และประกาศกระทรวงฯ นั้น ผู้รับผิดชอบในองค์กรจำเป็นต้องมีความรู้ทางด้านเทคนิคมากพอสมควร เพื่อที่จะปฏิบัติได้อย่างถูกต้อง ดังนั้นหลายคนก็อาจตีความพรบ.ฯและประกาศฯ ไปในหลากหลายมุมมอง ผิดบ้างถูกบ้างก็แล้วแต่พื้นฐานความรู้ความเข้าใจของแต่ละคน ทำให้อาจเกิดปัญหาจากการที่องค์กรไม่ "Comply" พรบ.ฯ ได้ในอนาคต ซึ่งในช่วงแรกๆอาจยังไม่เห็นปัญหา แต่เมื่อเวลาผ่านไปสักระยะหนึ่ง หรือเมื่อพนักงานเจ้าหน้าที่เริ่มเข้ามาขอข้อมูลต่างๆตามประกาศฯ องค์กรจึงจะพบว่า ไม่มีข้อมูลที่พนักงานเจ้าหน้าที่ต้องการ เพราะปฏิบัติไม่ถูกต้องตามขั้นตอนทางเทคนิคที่ควรจะเป็น

ทางแก้ไข

สำหรับภาครัฐที่มีหน้าที่รับผิดชอบในการบังคับใช้พรบ.ฯ โดยตรงควรจัดให้มีการประชาสัมพันธ์ให้รายละเอียดหรือ คู่มือ "แนวทางการปฏิบัติทางด้านเทคนิคที่ถูกต้องตาม พรบ. ฯ" ให้แก่องค์กร และสำหรับภายในองค์กรเอง ผู้บริหารควรศึกษา พรบ.ฯ และ ประกาศกระทรวงฯ ให้เกิดความรู้ความเข้าใจโดยการปรึกษาที่ปรึกษา, ผู้เชี่ยวชาญเฉพาะทาง หรือ MSSP (Managed Security Service Provider) ตลอดจนทำ "Computer Crime Law GAP Analysis" เปรียบเทียบระบบการจัดเก็บ Log ในปัจจุบันขององค์กรกับข้อกำหนดในประกาศกระทรวงฯ ว่ายังมีช่องว่างที่องค์กรยังไม่ "Comply" อยู่หรือไม่ หากยังมีก็ให้รีบดำเนินการให้องค์กร "Comply" พรบ.ฯ ก่อนวันที่ 23 สิงหาคม 2551 ต่อไป

5. ปัญหาของผลิตภัณฑ์ "SIM" และ "SIM" ที่มีราคาสูงเกินความเป็นจริง

สาเหตุ

เนื่องจากเทคโนโลยีของระบบ "SIM" และ "SEM" เป็นเรื่องที่ค่อนข้างใหม่ในบ้านเรา ตลอดจนผู้จัดจำหน่ายระบบก็ยังมีไม่มากนักในท้องตลาด ทำให้ราคาของระบบ "SIM" และ "SEM" นั้นค่อนข้างสูงสำหรับผลิตภัณฑ์ที่มีชื่อเสียง ซึ่งทางเจ้าของผลิตภัณฑ์ยังมองว่าเทคโนโลยีเป็นเทคโนโลยีปิดที่ทำได้เพียง ไม่กี่บริษัท ดังนั้นในปัจจุบันราคาจึงสูงเกินกว่าความเป็นจริง

ทางแก้ไข

เมื่อเวลาผ่านไปและลูกค้าเริ่มมีความรู้มากขึ้น ประกอบกับมีบริษัทผู้ผลิต "SIM" และ "SEM" เข้ามาในประเทศไทยมากขึ้น ตลาดก็จะเข้าสู่ภาวะสมดุล ราคาผลิตภัณฑ์จะถูกปรับลงโดยอัตโนมัติตามกลไกของตลาด

6. ปัญหาความเข้าใจผิดว่าหลังจากการจัดซื้อระบบ "SIM" หรือ "Centralized Log Management System" แล้ว องค์กรจะผ่านพรบ.ฯ ในขณะที่โครงสร้างพื้นฐานขององค์กรยังไม่รองรับ

สาเหต

การจัดฃื้อระบบ "SIM" เพื่อจัดทำระบบบริหารจัดการข้อมูลจราจรทางคอมพิวเตอร์แบบรวมศูนย์นั้นเป็น แนวทางที่ถูกต้อง แต่ต้องคำนึงถึง "โครงสร้างพื้นฐาน" หรือ "Network and System Infrastructure" ของระบบเดิม เนื่องจากประกาศกระทรวงฯ กำหนดว่าต้องสามารถระบุที่มาของ Log ได้เป็น "รายบุคคล" ดังนั้น ระบบควรจะมีโครงสร้างพื้นฐานในการพิสูจน์ตัวตน (Authentication System or Identity Management System) เสียก่อน โดยการพิสูจน์ตัวตนสามารถกระทำที่ Proxy Server หรือที่ Firewall ขึ้นกับอุปกรณ์ที่มีอยู่ว่ามีขนาดเหมาะสมที่จะรองรับการพิสูจน์ตัวตน (Authentication) ของผู้ใช้งานระบบพร้อมๆกันในเวลาเดียวกันได้หรือไม่ ดังนั้นการจัดซื้อระบบ "SEM" ก็ยังไม่ใช่คำตอบสุดท้าย ถ้าโครงสร้างพื้นฐานในการพิสูจน์ตัวตนขององค์กรยังไม่ถูกปรับแก้ไขตามประกาศ ของกระทรวงฯดังกล่าว

ทางแก้ไข

ก่อนที่จะติดตั้งระบบ " SEM" หรือระบบ "Centralized Log Management" ควรจัดเตรียมระบบพิสูจน์ตัวตน (Authentication) ให้เรียบร้อยเสียก่อน ขณะเดียวกันที่ Web Sever และ FTP Sever ก็ควรติดตั้ง Agent ที่สามารถส่ง Log ผ่านทางระบบเครือข่ายเข้าไปยังระบบ Centralized Log Management เช่นเดียวกับ Mail Sever ก็ควรปรับแต่งให้ส่ง SMTP Log จากตัว Mail Sever เอง หรือส่งจาก Mail Gateway ก็ได้ แล้วแต่ว่าองค์กรมีการใช้งานในรูปแบบใด เพราะฉะนั้นการ "ผ่าน" หรือ "Comply" พรบ.ฯ นั้นไม่ขึ้นอยู่กับระบบ "SIM" หรือระบบ "SEM" แต่เพียงอย่างเดียว หากขึ้นอยู่กับการปรับแต่งโครงสร้างพื้นฐานและเครื่องแม่ข่ายต่างๆให้เหมาะ สมและสอดคล้องกับข้อมูลจราจรตามที่ประกาศของกระทรวงฯ ได้กำหนดไว้หรือไม่

7. ปัญหาความไม่เข้าใจประเภทของบริการที่องค์กรต้องจัดเก็บข้อมูลจราจรว่าต้องจัดเก็บอะไรบ้าง และต้องจัดเก็บมากน้อยเพียงใด

สาเหต

ประกาศกระทรวงฯได้กำหนดให้ข้อมูลจราจรทางคอมพิวเตอร์ที่องค์กรต้องจัดเก็บ นั้น แบ่งออกเป็น 6 ประเภทด้วยกัน แต่รายละเอียดทางด้านเทคนิคเชิงลึกนั้น พรบ.ฯและประกาศกระทรวงฯไม่ได้กำหนดไว้ ดังนั้นจึงทำให้หลายคนเกิดความสับสน และไมแน่ใจว่าระบบที่องค์กรใช้ในการจัดเก็บ Log ในองค์กรนั้น ถูกต้องตามประกาศกระทรวงฯหรือไม่

ทางแก้ไข

ก่อนอื่นต้องทำความเข้าใจถึงข้อมูลที่เกิดจากบริการทั้ง 6 รูปแบบที่ประกาศกระทรวงฯได้กำหนดให้องค์กรทั่วไปเก็บข้อมูลจราจรไว้ไม่น้อย กว่า 90 วัน ได้แก่

1. ข้อมูลที่เกิดจากการพิสูจน์ตัวตน (Authentication) ผ่านทาง Firewall หรือ Proxy Server เพื่อใช้งานระบอินเทอร์เน็ต ซึ่งปกติองค์กรควรมีระบบ Directory Service รองรับเสียก่อน เช่น ระบบ Microsoft Active Directory หรือ LDAP Server

2. ข้อมูลที่เกิดจากการรับ-ส่งและ การเข้ามาอ่าน eMail จาก Mail Server โดยองค์กรสามารถเก็บข้อมูลจราจรที่ไม่รวม Payload ของ eMail ได้จากตัว Mail Server เองหรือจาก Mail Gateway ส่งมาเก็บยังระบบ Centralized Log Management ถ้ายังใช้ POP3 และ IMAP4 อยู่ ต้องเก็บข้อมูลจราจรด้วย

3. ข้อมูลที่เกิดจากการรับ-ส่ง ไฟล์ข้อมูล ยกตัวอย่างเช่น ที่ FTP Server เราสามารถเก็บข้อมูลจราจรได้จาก Log ที่เกิดจากตัว FTP Server โดยตรง และ ข้อมูลจราจรทั้งหมดควรถูกส่งจาก FTP Server เข้ามาเก็บในระบบ Centralized Log Management

4. ข้อมูลที่เกิดจากการเข้าถึง Content ใน Web Server โดยปกติแล้วข้อมูลจราจรที่เก็บอยู่ใน Web Server ในรูปแบบของ http log จะเก็บได้เฉพาะข้อมูล URI ที่เกิดจาก Method "GET" เท่านั้น ทำให้ได้ข้อมูลจราจรไม่ครบถ้วน โดยข้อมูลจราจรดังกล่าวเพียงพอต่อการปฎิบัติตามข้อกำหนดของประกาศกระทรวงฯ แต่ไม่เพียงพอต่อการนำข้อมูลไปวิเคราะห์การโจมตี Web Site ชององค์กร วิธีการแก้ปัญหาคือการใช้ WAF (Web Application Firewall) นำไปวางไว้หน้า Web Server ใน ลักษณะของ "Reverse Proxy" จะทำให้สามารถเก็บข้อมูลการเข้าถึง Web Server ได้ครบถ้วนเพื่อให้สามารถนำข้อมูลไปวิเคราะห์การโจมตี Web Server และ Web Application ( หมายเหตุ : การวิเคราะห์การโจมตี Web Site โดยใช้ข้อมูล http log จาก Web Server โดยตรงนั้นไม่ค่อยได้ผลเท่าใดนัก เนื่องจากข้อมูลไม่เพียงพอในการวิเคราะห์ ทำให้การเฝ้าระวังของ MSSP ไม่ได้ผลเท่าที่ควร หากไม่มีการติดตั้ง WAF จึงควรพิจารณาเรื่องการติดตั้ง WAF เพิ่มเติมด้วย)

5. ข้อมูลที่เกิดจากการใช้โปรแกรมประเภท Instant Messaging เช่น MSN หรือ การใช้งานโปรแกรม Internet Relay Chat (IRC) สามารถจัดเก็บ Log ได้ที่ Firewall (บางรุ่น บางยี่ห้อ) หรือที่ Proxy Server (บางรุ่น บางยี่ห้อ เช่นเดียวกัน )

6. ข้อมูลที่เกิดจากการใช้โปรแกรมประเภท Usenet หรือ Newsgroups (NNTP Protocol) ในปัจจุบันองค์กรส่วนใหญ่ไม่ค่อยได้ใช้แล้ว จึงไม่พบปัญหาในข้อนี้

8. ปัญหาที่ผู้บริหารระบบสารสนเทศไม่สามารถแยกความแตกต่างระหว่าง "SIM" และ "MSSP" ได

สาเหต

บริษัท System Integrator (SI) ในปัจจุบันสามารถจัดจำหน่ายและติดตั้งได้ทั้งระบบ "SEM" และระบบ "SIEM" แต่บริษัท SI โดยทั่วไปมักจะไม่มีบุคลากรผู้เชี่ยวชาญด้านความปลอดภัยข้อมูล (CISSP,SSCP หรือ SANS GIAC) ในการวิเคราะห์ความผิดปกติและการโจมตีจากแฮกเกอร์ในลักษณะ "รายวัน" ซึ่งจะต้องมีบุคลากรที่ "Dedicate" ในการให้บริการสำหรับลูกค้าแต่ละราย ซึ่งบริษัทที่ให้บริการ Outsource หรือ Managed Security Services Provider (MSSP) ต้องมีการจัดเตรียมบุคลากรผู้เชี่ยวชาญด้านความปลอดภัยข้อมูลในการวิเคราะห์ (Security Analyst) ไว้วิเคราะห์ข้อมูลจราจรที่เข้ามาในลักษณะ "Real-Time" อีกทั้งยังต้องติดต่อประสานงานกับลูกค้าในกรณีเกิดความผิดปกติขึ้นในระบบตาม ระยะเวลาที่ตกลงกันไว้ตาม Service Level Agreement (SLA) ดังนั้นการใช้บริการจาก MSSP ที่มีความพร้อม จึงตรงจุดประสงค์มากกว่าการใช้บริการจากบริษัท SI ที่ไม่มีความพร้อมด้านบุคลากรดังกล่าว แต่ถ้าหากบริษัท SI สามารถจัดทีมงานบุคลากรผู้เชี่ยวชาญในการเฝ้าระวังและวิเคราะห์เหตุการณ์ผิด ปกติให้กับองค์กรในลักษณะรายวันได้ การใช้บริการของบริษัท SI ก็จะมีลักษณะคล้ายกับการบริการของ MSSP ไปโดยปริยาย หากแต่วัตถุประสงค์หลักของบริษัทนั้นแตกต่างกัน

ทางแก้ไข

หากองค์กรต้องการผลการวิเคราะห์เหตุการณ์ผิดปกติแบบรายวันโดยผู้เชี่ยวชาญ เฉพาะทางด้านความปลอดภัยข้อมูล ควรใช้บริการจาก MSSP น่าจะตรงวัตถุประสงค์มากกว่า แต่ถ้าหากต้องการเพียงการติดตั้งระบบ "SEM" หรือ "SIEM" แต่ไม่รวมการบริการเฝ้าระวังและวิเคราะห์การโจมตี การใช้บริการจาก SI ก็สามารถที่จะทำได้เช่นกัน

9. ปัญหาที่ผู้บริหารระบบสารสนเทศคิดว่า "MSS" หรือ "Managed Security Services" ก็คือการจัดซื้อระบบ "SIM" พร้อมบริการเฝ้าระวัง

สาเหต

การใช้บริการ MSS จาก MSSP นั้น ทาง MSSP จะมีหน้าที่ความรับผิดชอบในการจัดเตรียมระบบ SIM ทั้งฮาร์ดแวร์และซอฟฟ์แวร์ ในการให้บริการกับผู้ใช้บริการ โดยที่ผู้ใช้บริการไม่จำเป็นต้องลงทุนซื้อระบบ "SIM" แต่อย่างใด ปัญหาก็คือ ทางผู้บริหารระบบสารสนเทศบางท่านยังไม่เข้าใจแนวคิดนี้ เลยคิดว่าการที่องค์กรลงทุนซื้อระบบ "SIM" เอง และจ้างผู้เชี่ยวชาญเฝ้าระวังนั้นเปรียบเหมือนกับการใช้บริการจาก MSSP ซึ่งจริงๆแล้วมีความแตกต่างกันอย่างที่กล่าวมาแล้ว

ทางแก้ไข

ต้องถามความต้องการขององค์กรก่อนว่าต้องการใช้บริการการเฝ้าระวังเหตุการณ์ ผิดปกติและการวิเคราะห์ Log จากผู้เชี่ยวชาญอย่าง MSSP ในลักษณะ "Outsource" หรือไม่ ถ้าวัตถุประสงค์ขององค์กรไม่ต้องการเฝ้าระวังโดยใช้บุคลากรขององค์กรเอง การจ้าง MSSP เป็นทางออกที่ดีที่สุด แต่หากองค์กรจัดซื้อระบบ "SIM" เอง องค์กรต้องลงทุนค่อนข้างสูง ใช้งบประมาณหลักล้านบาทขึ้นไปและยังต้องใช้ผู้เชี่ยวชาญเฉพาะทางซึ่งเป็น บุคลากรขององค์กรเองในการใช้งานระบบ "SIM" ให้เกิดประสิทธิภาพให้มากที่สุด ทำให้เกิดค่าใช้จ่ายในการเพิ่ม Head Count และ การจัดจ้างบุคลากรเฉพาะทางในรูปแบบการจ้างเป็นพนักงานประจำอีกด้วย จะเห็นได้ว่าหากมองในรูปของความคุ้มค่าในการลงทุนและ การบริหารความเสี่ยงแล้ว การ "Outsource" ดูจะเป็นทางออกที่ลงตัวที่สุด

10. ปัญหาความไม่ตระหนักในการปฏิบัติตามพรบ.ฯ และความไม่ชัดเจนของภาครัฐในการบังคับใช้พรบ.ฯ

สาเหต

ปัญหานี้คล้ายกับปัญหาของผู้บริหารระดับสูงในข้อหนึ่ง แต่ต่างกันตรงที่ความไม่ตระหนักในการปฏิบัติตามพรบ.ฯ เกิดขึ้นกับพนักงานทุกคนในองค์กรไม่เฉพาะผู้บริหารระดับสูงเท่านั้น

ทางแก้ไข

วิธีการที่ดีที่สุดในการแก้ไขปัญหานี้ก็คือการจัดฝึกอบรมให้ความรู้เรื่องกฎ หมายพรบ.ฯ และประกาศกระทรวงฯ ให้แก่พนักงานในองค์กรให้รับทราบโดยทั่วกัน ในรูปแบบของการจัดการอบรม "Information Security Awareness Training" โดยใช้ระยะเวลาประมาณ 3-6 ชั่วโมง พร้อมอธิบายตัวอย่างและกรณีศึกษาประกอบการบรรยายตัวบทกฎหมาย จะทำให้พนักงานในองค์กรเกิดความเข้าใจมากขึ้น ซึ่งจะส่งผลให้พนักงานปฏิบัติตาม พรบ.ฯ ได้อย่างมีประสิทธิภาพ โดยเกิดจากความเข้าใจของพนักงานเองหลังจากการฝึกอบรมดังกล่าว
จาก : หนังสือ eEnterprise (Thailand)
ประจำ เดือนมิถุนายน 2551
Update Information : 26 พฤษภาคม 2551
เขียนโดย ที่ ไม่มีความคิดเห็น:

วันพฤหัสบดีที่ 26 กรกฎาคม พ.ศ. 2555

BS25999 : Business Continuity Management (BCM) Standard จับกระแสมาตรฐานการบริหารจัดการดำเนินธุรกิจอย่างต่อเนื่องภายใต้ภาวะวิกฤติ

BS25999 : Business Continuity Management (BCM) Standard
จับกระแสมาตรฐานการบริหารจัดการดำเนินธุรกิจอย่างต่อเนื่องภายใต้ภาวะวิกฤติ
by A.Prinya Hom-anek
CISSP, SSCP, CISA, CISM, SANS GIAC GCFW, CompTIA Security+, CCSA 2000,
CCNA, MCSE, MCDBA, MCP+Internet, Master CNE, CNI, CNA, ITIL,
(ISC)2 Asian Advisory Board Member, ISACA Bangkok Chapter Board Member
President & Founder, ACIS Professional Center
ACIS
     ในปัจจุบันระบบสารสนเทศกลายเป็นหัวใจหลักของระบบธุรกิจส่วนใหญ่ทั้งภาครัฐ และเอกชนล้วนนำระบบสารสนเทศมาใช้ในองค์กรอย่างกว้างขวาง ไม่ว่าจะเป็นระบบ Web Site ขององค์กร, ระบบ Electronic Mail หรือ ระบบเฉพาะทางต่างๆ เช่น ระบบ Intranet, ระบบ Portal, ระบบ ERP, CRM และ SCM เป็นต้น ทำให้การใช้งานคอมพิวเตอร์ในการเข้าถึงข้อมูลองค์กรจึงกลายเป็นเรื่องที่ พนักงานในองค์กรทุกคนคุ้นเคยและใช้ปฏิบัติงานอยู่ในชีวิตประจำวัน โดยอาศัยระบบสารสนเทศและระบบเครือข่ายเป็นโครงสร้างพื้นฐานในการทำงานของ ระบบต่างๆ ดังกล่าว
     ปัญหาที่หลายองค์กรกำลังเผชิญอยู่ทั้งในอดีต ปัจจุบัน และอนาคต คือ ปัญหาระบบสารสนเทศไม่สามารถทำงานตามปกติ หรือ ปัญหาระบบสารสนเทศล่ม ยกตัวอย่าง เช่น หากพนักงานเข้าระบบไม่ได้ในช่วงระยะเวลาที่ระบบล่มอยู่ พนักงานก็ไม่สามารถเรียกข้อมูลต่างๆ ที่ถูกเก็บอยู่ในรูปของดิจิตอลฟอร์เมต (Digital format) หรือ e – Document ออกมาได้ อีกทั้งลูกค้าก็ไม่สามารถเข้าถึงข้อมูลขององค์กร เช่น เข้าชม Web Site ขององค์กร หรือ ไม่สามารถส่งอิเล็กโทรนิคส์เมล์ได้ ยิ่งถ้าเป็นระบบของโรงพยาบาล, ระบบฝากถอนเงินของธนาคาร หรือ ระบบที่ใช้ในการควบคุมขนส่งมวลชน ตลอดจนระบบที่ใช้ในการควบคุมสาธารณูปโภค เช่น ไฟฟ้า, น้ำประปา เป็นต้น ล้วนเป็นระบบที่มีความสำคัญอย่างยิ่งยวด เป็นโครงสร้างพื้นฐานของประเทศ (Critical Infrastructure) ดังนั้น หากระบบดังกล่าวไม่สามารถใช้งานได้ การเข้าถึงข้อมูลที่อยู่ในระบบก็ไม่สามารถเข้าถึงได้ทันท่วงที ทำให้องค์กรไม่สามารถดำเนินธุรกิจธุรกรรมต่างๆได้ตามปกติ ส่งผลให้องค์กรเกิดความเสียหายได้
     ตัวอย่างภัยคุกคามที่ทำให้ระบบล่ม ได้แก่ ภัยธรรมชาติ เช่น สึนามิ, พายุเฮอริเคน, น้ำท่วม หรือ ภัยจากมนุษย์ เช่น การก่อวินาศกรรม เช่น กรณี 911, การจราจล, การลอบวางเพลิง ก็ล้วนเป็นปัจจัยกระตุ้นให้ผู้บริหารองค์กรจำเป็นต้องให้ความสำคัญอย่าง ยิ่งยวดต่อระบบสารสนเทศที่เป็นกระดูกสันหลังในการดำเนินธุรกิจขององค์กร เพราะหากระบบเกิดปัญหา องค์กรก็ควรที่จะมีแผนฉุกเฉินในการทำให้ระบบสารสนเทศขององค์กรสามารถให้ บริการได้อย่างไม่ติดขัดจนก่อให้เกิดความเสียหายแก่องค์กรทั้งทางตรงและทาง อ้อม
     ดังนั้นศาสตร์และองค์ความรู้ทางด้านการบริหารจัดการให้องค์กรสามารถดำเนิน ธุรกิจได้อย่างต่อเนื่องภายใต้ภาวะวิกฤติ หรือ “Business Continuity Management (BCM)” ดูรูปที่ 1 จึงกลายเป็นประเด็นร้อนที่ผู้บริหารองค์กรต้องศึกษาและทำความเข้าใจเพื่อนำ มาประยุกต์ใช้ในทางปฏิบัติอย่างเป็นรูปธรรม

 Business Continuity Management Life Cycle
รูปที่ 1 : Business Continuity Management Life Cycle (http://www.thebci.org)
     Business Continuity Management (BCM) เป็นกระบวนการบริหารจัดการแบบองค์รวม (Holistic Management Process) ที่เป็นระบบทำให้องค์กรสามารถกำหนดปัจจัยเสี่ยง และ ผลกระทบที่อาจเกิดขึ้นได้จากปัจจัยเสี่ยงดังกล่าวว่ามีผลเสียหายต่อองค์กร มากน้อยเพียงใด ในทางทฤษฏีเราเรียกว่า “การวิเคราะห์ผลกระทบของปัจจัยเสี่ยงและเหตุการณ์ไม่พึงประสงค์ต่อธุรกิจ หรือ Business Impact Analysis (BIA) และ ดำเนินการกำหนดยุทธศาสตร์ในการทำให้องค์กรสามารถดำเนินธุรกิจต่อไปได้ในภาวะ ฉุกเฉินตลอดจนลดผลกระทบจากการที่ระบบไม่สามารถให้บริการได้อย่างมี ประสิทธิภาพถูกต้องตามหลักวิชาการ การทำ BIAเป็นส่วนหนึ่งของแผนการดำเนินธุรกิจอย่างต่อเนื่อง หรือ Business Continuity Planning (BCP) ดูรูปที่ 2

 Business Continuity Planning Lifecycle
รูปที่ 2 : Business Continuity Planning Lifecycle (http://www.wikipedia.org)
การจัดทำ BCP มีขั้นตอนหลักทั้งหมด 5 ขั้นตอนโดยสังเขป ประกอบด้วย
ขั้นตอนที่ 1 : Analysis Phase เป็นขั้นตอนการวิเคราะห์ปัจจัยเสี่ยงและผลกระทบที่เรียกว่าการทำ “Business Impact Analysis” (BIA) ดังที่กล่าวมาแล้วในตอนต้น โดยมีหลักการในการวิเคราะห์ความแตกต่างของ Critical Function และ Non – Critical Function ขององค์กรเสียก่อน โดยดูจาก ค่า RTO และ RPO เป็นหลักโดยค่า Recovery Time Objective (RTO) หมายถึงระยะเวลาที่องค์กรยอมรับได้ในการกู้คืนระบบในกรณีที่เกิดเหตุฉุกเฉิน ขึ้น ซึ่งเป็นค่าที่ถูกกำหนดโดยเจ้าของระบบ ต้องให้ผู้บริหารระดับสูงรับรู้ และยอมรับในค่า RTO ที่ถูกกำหนดขึ้น เช่น RTO = 1 ชั่วโมง หมายถึง ต้องกู้ระบบคืนภายในหนึ่งชั่วโมง เป็นต้น สำหรับค่า Recovery Point Objective (RPO) หมายถึง ปริมาณข้อมูลสูญหายที่องค์กรยอมรับได้ในช่วงเวลาหนึ่ง (Acceptable Loss) เช่น ถ้าค่า RPO = 2 ชั่วโมง หากเรา Backup ระบบไว้เวลา 13.00 น. และ ระบบล่มเวลา 14.50 น. เราสามารถกู้คืนข้อมูลได้ถึงเวลา 13.00 น. ก็ยังถือว่าอยู่ในเวลาที่กำหนดไว้ตาม RPO คือ ข้อมูลสูญหายไม่เกิน 2 ชั่วโมง เป็นต้น
ขั้นตอนที่ 2 : Solution Design Phase เป็นขั้นตอนในออกแบบยุทธศาสตร์ในการกู้ข้อมูล (Disaster Recovery) ที่เหมาะสมกับความต้องการขององค์กร
ขั้นตอนที่ 3 : Implementation Phase เป็นขั้นตอนในการนำยุทธศาสตร์ที่ออกแบบไว้ในขั้นตอนที่ 2 มาทำเป็นแผนปฏิบัติการ โดยการเขียนแผน Business Continuity (BC) ที่สามารถนำไปใช้ปฏิบัติจริงได้
ขั้นตอนที่ 4 : Testing and Organization Acceptance Phase เป็นขั้นตอนในการทดสอบแผน Business Continuity ที่ได้เขียนไว้ในขั้นตอนที่ 3 ว่าสามารถนำมาใช้งานได้จริงเมื่อเกิดปัญหาหรือไม่ ส่วนใหญ่นิยมเรียกขั้นตอนนี้ว่า ขั้นตอน “การซ้อมแผน BCP” ซึ่งปกติจะทดสอบปีละหนึ่งครั้งเป็นอย่างน้อย
ขั้นตอนที่ 5 : Maintenance Phase เป็นขั้นตอนในการปรับปรุงแผน BCP ในคู่มือ BCP ให้เป็นปัจจุบัน และรองรับขั้นตอนการกู้คือข้อมูลตามค่า RTO, RPO ที่ได้กำหนดไว้ในการทำ BIA ตลอดจนการฝึกอบรมพนักงาน (staff awareness) ให้มีความรู้ความเข้าใจในการนำแผน Business Continuity (BC) มาใช้ในยามฉุกเฉิน ปกติจะจัดทำและฝึกอบรมอย่างน้อยปีละหนึ่งครั้งเช่นกัน
การจัดทำ BCP นั้นคลอบคลุมทั้งระบบ IT และระบบ Non – IT แต่ถ้ากล่าวถึงการจัดทำ Disaster Recovery Planning หรือ DRP ซึ่งเป็นส่วนหนึ่งของ BCP จะเน้นไปที่การกู้คืนระบบ IT เป็นหลัก          ในปัจจุบันสถาบัน BCI (Business Continuity Institute) www.thebci.org ซึ่ง มีสำนักงานใหญ่อยู่ในประเทศอังกฤษ เป็นหน่วยงานที่กำหนดมาตรฐานในการทำ BCM และให้การรับรองผู้เชี่ยวชาญด้าน Business Continuity ทั่วโลกโดยมีสมาชิกกว่าสี่พันคนในกว่า 85 ประเทศ โดยสถาบัน BCI ได้อ้างอิงมาตรฐาน BCM จากสถาบัน BSI คือมาตรฐาน BS25999 ซึ่งเป็นมาตรฐานที่มาแทนที่มาตรฐาน PAS 56
BCI (Business Continuity Institute)

มาตรฐาน BS25999 แบ่งออกได้เป็น 2 ส่วน ส่วนที่หนึ่งเรียกว่า “BS 25999-1:2006 -- Business Continuity Management. Code of Practice” เป็นแนวปฏิบัติที่ทาง BSI แนะนำให้ปฏิบัติแต่ไม่บังคับ (โดยจะใช้คำว่า “Should” ในข้อกำหนดมาตรฐาน) สำหรับส่วนที่สองเรียกว่า “BS 25999-2:2007 -- Specification for Business Continuity Management” เป็นข้อกำหนดภาคบังคับที่ต้องปฏิบัติ (ใช้คำว่า “Shall” ในมาตรฐาน) เรียกว่า ระบบบริหารจัดการธุรกิจอย่างต่อเนื่อง “Business Continuity Management System หรือ BCMS” ซึ่งสามารถต่อยอดไปยังการรับรองมาตรฐานโดย Certification Body ซึ่งในขณะนี้มาตรฐาน BS 25999 นั้น accredit โดย LRQA และ BSI
     ซึ่งในอนาคตอันใกล้คาดว่ามาตรฐาน BS 25999 จะกลายเป็นมาตรฐานนานาชาติ ISO/IEC ดังเช่น มาตรฐาน BS7799 กลายเป็นมาตรฐาน ISO/IEC 17799 และ ISO/IEC 270001 มาแล้ว เป็นต้น
     จะเห็นว่าทิศทางของการประยุกต์ใช้มาตรฐาน BS 25999 ในเรื่องการจัดทำ BCM และการรับรองผู้เชี่ยวชาญด้าน BCM ของสถาบัน BCI ตามกระแสความต้องการบุคลากรด้าน BCM นั้นมีแนวโน้มที่จะได้รับความนิยมมากขึ้นในอนาคตอันใกล้นี้ ผู้บริหารองค์กรในปัจจุบันควรให้ความสนใจในการศึกษาศาสตร์และองค์ความรู้ทาง ด้าน BCM เพื่อเป็นประโยชน์ต่อองค์กรในยามที่องค์กรเผชิญกับภาวะฉุกเฉิน อีกทั้งการจัดทำกระบวนการ BCM ยัง “Comply” กับข้อกำหนดและกฏหมายต่างๆ ที่จะทยอยออกมาบังคับใช้ในอนาคตอีกด้วยเพราะ BCM เป็นหนึ่งในสิบเอ็ดโดเมนของมาตรฐาน ISO/IEC 27001 ซึ่งกำลังจะกลายเป็นกฎหมายลูกในพรบ.ธุรกรรมอิเล็คโทรนิกส์ของประเทศไทยใน อนาคต อีกทั้งทาง สำนักงานคณะกรรมการนโยบายรัฐวิสาหกิจ หรือ สคร. ได้นำเรื่องการจัดทำ BCM มาเป็นข้อกำหนดในการประเมินประสิทธิภาพของการบริหารจัดการภายในรัฐวิสาหกิจ ซึ่งรัฐวิสาหกิจ ควรต้องมีแผนงานในการจัดทำ BCM ที่เป็นรูปธรรม สามารถนำแผน BC มาใช้ในการปฏิบัติจริงได้ จึงกล่าวโดยสรุปได้ว่ากระแส BCM และ BCP นั้นเป็น Trend ใหม่ที่กำลังมาแรง และ ต้องจับตามองต่อไปในอนาคต
จาก : หนังสือ eEnterprise Thailand
ประจำเดือน กันยายน 2551
Update Information : 26 กันยายน 2551
เขียนโดย ที่ ไม่มีความคิดเห็น:
สมัครสมาชิก: บทความ (Atom)