แนวโน้มเทคโนโลยีและความปลอดภัยในปี 2010 ตอนที่ 1

แนวโน้มเทคโนโลยีและความปลอดภัยในปี 2010 ตอนที่ 1

http://www.fultonschools.org/itdivision/techfair/Poster/Technology_Competition_2010_Poster_v2a_LG_web.jpg
บริษัทที่เป็นที่ปรึกษาและวิจัยเกี่ยวกับเทคโลโลยีสารสนเทศอย่าง Gartner, Inc. ได้วิเคราะห์ Trend ของเทคโนโลยีในปีนี้และประกาศเทคโนโลยีที่จะเป็นกลยุทธสำหรับองค์กรต่างๆใน ปี 2010 ผลการวิเคราะห์นี้ได้มีการนำเสนอในงาน Gartner Symposium/ITxpo ที่ผ่านมา เทคโนโลยีที่ถูกพูดถึงจะเป็นตัวสำคัญที่จะมีผลต่อองค์กรต่างๆในระยะ 3 ปี ต่อไปนี้ โดยองค์กรต่าง ๆ ควรทำแผนระยะยาวสำหรับดำเนินการในบางเทคโนโลยีที่พิจารณาแล้วว่ามี ผลกระทบต่อองค์กร ทั้งนี้สาเหตุที่ต้องทำเพราะเทคโนโลยีเหล่านี้จะเป็นที่นิยมหรืออาจจะได้ประโยชน์จากการเริ่มใช้ก่อนนั่นเอง
สำหรับแนวโน้มเทคโนโลยี The top 10 strategic technologies สำหรับปี 2010 (http://www.ipattt.com/2009/top-10-technology-2010/) ที่ Gartner, Inc. ได้กล่าวถึงมีดังนี้
1. Cloud Computing.
Cloud computing คือโมเดลที่ผู้ให้บริการ IT หลากหลายรูปแบบสามารถกำหนดวิธีการบริการสู่ลูกค้า ผู้ให้บริการจะทำ Cloud Computing ให้บริการกับลูกค้า (ผู้ประกอบการหรือผู้ให้บริการ ทำกับธุรกิจที่เป็นลูกค้า เป็น B2B) ได้มากขึ้น Cloud Computing เป็นการให้บริการโดยการนำเทคโนโลยีสารสนเทศร่วมกับอินเทอร์เน็ตเข้ามาใช้ เพื่อที่ส่งมอบการให้บริการให้กับลูกค้าได้เร็วที่สุด โดยผู้ให้บริการจะเตรียมระบบเครือข่ายของการให้บริการไว้สำหรับลูกค้าภายนอก โดยที่ลูกค้าสามารถเข้าถึงระบบของผู้ให้บริการได้โดยผ่านอุปกรณ์ไอทีและการ สื่อสารต่างๆ เช่น ไอโฟน (iPhone) PSP, BlackBerry หรือคอมพิวเตอร์โน้ตบุ๊ก หรืออุปกรณ์ (Device) ใดๆ ก็ได้ที่สามารถเชื่อมต่อเข้ากับระบบอินเทอร์เน็ตได้ ก็สามารถใช้บริการนั้นได้
Cloud-based services สามารถที่จะประยุกต์ได้หลายทางที่จะใช้เป็นแนวทางในการพัฒนาตัว application และ Solution แต่การใช้ cloud resources ไม่ได้ช่วยลดต้นทุนของ IT Solution แต่สามารถที่จะปรับเปลี่ยนรูปแบบการบริการต่างๆและลดการใช้บริการในส่วนอื่น ในทางเดียวกัน การใช้ cloud services enterprises จะมีหน้าที่มากขึ้นเหมือนกับ cloud providers และส่งต่อ application, information หรือ business process services ไปที่ลูกค้าหรือ Business Partner

Reference
http://www.ipattt.com/2009/top-10-technology-2010/
http://www.oknation.net/blog/thananum/2009/12/02/entry-1/comment
http://www.gartner.com/DisplayDocument?doc_cd=167983&ref=g_BETAnoreg
http://www.gartner.com/resources/167900/167983/security_in_2013_and_beyond_167983.pdf
http://www.docstoc.com/docs/DownloadDoc.aspx?doc_id=7139474
http://www.gartner.com/teleconferences/asset_135627_75.jsp
http://www.net-security.org/secworld.php?id=8171
http://asiaprnews.com/2009/11/24/security-trends-to-watch-in-2010-symantec/
http://www.sran.net/archives/370
http://www.telecomjournal.net/index.php?option=com_content&task=view&id=2756&Itemid=36
http://compcenter.bu.ac.th/index.php?option=com_content&task=view&id=72&Itemid=172
http://mfatix.com/home/node/165
http://www.symantec.com/connect/blogs/don-t-read-blog

จำนวนสมาชิก tr-lms

ขณะนี้มีจำนวน 3299 คน

ศักยภาพในการแข่งขันของไอทีไทย

ศักยภาพในการแข่งขันของไอทีไทย
เป็นบทความที่น่าสนใจครับจากมติชน อ่านรายละเอียด ที่นี่

Ubiquitous Computing

Ubiquitous Computing
Ubiquitous Computing หมายถึง การนำคอมพิวเตอร์เข้ามาเป็นส่วนหนึ่งของการดำรงชีวิต รูปลักษณะของคอมพิวเตอร์จะแฝงอยู่ในรูปของเครื่องใช้ต่าง ๆ เช่น เครื่องแต่งกาย เครื่องมือสื่อสาร ยานพาหนะเครื่องอำนวยความสะดวกในบ้าน และฝังตัวอยู่ในสรรพสิ่งรอบตัวเรา สารสนเทศที่ได้จากการประมวลผล สามารถเชื่อมโยงซึ่งกันและกันระหว่างอุปกรณ์ผ่านระบบเครือข่ายความเร็วสูง(http://guru.sanook.com/pedia/topic/Ubiquitous_Computing)
หรืออีกความหมายหนึ่ง (Ubiquitous society) หรือ ยูบิคอมบ์ (Ubicomp) เป็นทำให้เกิด สภาพแวดล้อมของการสื่อสารใหม่และเป็นแนวโน้มของสังคมสารสนเทศ ยูบิควิตัส เป็นภาษาลาติน มีความหมายว่า อยู่ในทุกแห่ง หรือ มีอยู่ทุกหนทุกแห่ง มาร์ค ไวเซอร์ (Mark Weiser) แห่งศูนย์วิจัย Palo Alto ของบริษัท Xerox ประเทศสหรัฐอเมริกา ได้ให้คำนิยาม "ยูบิควิตัสคอมพิวติง" ไว้ว่า เราสามารถเข้าถึงคอมพิวเตอร์ได้ทุกหนทุกแห่ง-สภาพแวดล้อมที่สามารถใช้คอมพิวเตอร์เชื่อมต่อกับเครือข่าย ไม่ว่าจะอยู่ในที่แห่งใด ( http://www.kasidetp.com/e-learning/ICT%20for%20life_files/frame.htm#slide0051.htm)

http://www.oki.com/en/profile/vision/e_society.html


ชัยธร ลิมาภรณ์วณิชย์ ผู้จัดการโครงการสำนักงานนวัตกรรมแห่งชาติ กล่าวถึง Ubiquitous Computing ไว้ดังนี้
“Ubiquitous” ถ้าแปลตรงตัวคือ “เป็นที่พบเห็นได้ทั่วไป” ดังนั้น Ubiquitous Computing ก็คือหน่วยประมวลผลที่สามารถพบเห็นได้ทั่วไป ไม่ว่าจะเป็นอุปกรณ์เครื่องใช้ใดก็แล้วแต่ที่อยู่รอบตัวเรา รูปแบบของเทคโนโลยี Ubiquitous Computing มักเน้นไปที่อุปกรณ์ที่ผู้ใช้แทบไม่รู้เลยว่ากำลังใช้งานอุปกรณ์คอมพิวเตอร์อยู่ในระหว่างการดำเนินชีวิตประจำวันไปตามปกติ หรือกล่าวอีกนัยหนึ่งคือ อุปกรณ์ประมวลผลที่สามารถผสมผสานกับการดำเนินชีวิตของผู้ใช้โดยที่ไม่เปลี่ยนแปลงรูปแบบการดำเนินชีวิต
จึงทำให้อุปกรณ์เหล่านี้สามารถเข้าถึงกลุ่มผู้ใช้ได้มากยิ่งขึ้นจนในอนาคตอันสั้นเราอาจกล่าวได้ว่า วิถีการดำเนินชีวิตประจำวันนั้นจะดำเนินไปได้ด้วยความช่วยเหลือจากอุปกรณ์คอมพิวเตอร์แบบ Ubiquitous Computing เหล่านี้ทั้งหมดเลยก็ว่าได้ แนวคิดของ Ubiquitous Computing ได้ถูกนิยามโดย Mark Weiser ตั้งแต่ปี พ.ศ. 2531 ซึ่งถ้าย้อนไปเมื่อยุคสมัยนั้น อุปกรณ์คอมพิวเตอร์แทบไม่มีให้พบเห็นสำหรับบุคคลทั่วไปเลย มีใช้กันแต่เพียงบางกลุ่มคนเท่านั้น แต่ Weiser ได้คาดการณ์แนวโน้มของการใช้งานอุปกรณ์คอมพิวเตอร์ในอนาคตตามนิยามของ Ubiquitous Computing ไว้ดังต่อไปนี้
1)อุปกรณ์คอมพิวเตอร์มีไว้สำหรับช่วยเหลือผู้ใช้ทำการกระทำสิ่งใดสิ่งหนึ่ง
2) อุปกรณ์คอมพิวเตอร์ที่ดีนั้นเปรียบเสมือนผู้รับใช้ที่ไม่สามารถมองเห็นได้
3) อุปกรณ์คอมพิวเตอร์ควรเพิ่มทักษะและความสามารถให้กับผู้ใช้ในการใช้งานอุปกรณ์นั้นๆ
4) อุปกรณ์คอมพิวเตอร์ที่ดีควรทำงานได้โดยไม่ต้องให้ผู้ใช้สั่งงาน
จากนิยามข้อแรก เป็นคำนิยามสำหรับเครื่องคอมพิวเตอร์ ทุกเครื่องอยู่แล้ว นับตั้งแต่คอมพิวเตอร์เครื่องแรกของโลกก็ถูกสร้างขึ้นเพื่อช่วยเหลือผู้ใช้ในการคำนวนทางคณิตศาสตร์
นิยามข้อที่สอง หมายถึง เมื่อเรามีอุปกรณ์คอมพิวเตอร์อยู่ก็เปรียบเสมือนเรามีผู้รับใช้ที่ล่องหนได้อยู่ ซึ่งนิยามข้อนี้จะเป็นจริงได้ เมื่อรูปแบบการสื่อสารระหว่างผู้ใช้กับอุปกรณ์คอมพิวเตอร์ คล้ายกับรูปแบบที่มนุษย์ใช้ติดต่อสื่อสารกัน กล่าวคืออุปกรณ์คอมพิวเตอร์จะต้องสามารถรับคำสั่งการทำงานได้เสมือนกับมนุษย์ที่รับคำสั่งด้วยประสาทสัมผัสต่างๆ ของตนได้ การรับคำสั่งโดยการใช้ตาดูสำหรับมนุษย์นั้น สิ่งสำคัญคือการระบุตัววัตถุและทราบถึงตำแหน่งวัตถุนั้นๆ ซึ่งต้องอาศัยเทคโนโลยีในการประมวลผลภาพเข้ามาช่วย ถึงแม้เทคโนโลยีนี้จะมีงานวิจัยให้พบเห็นได้ทั่วไป แต่ยังมีข้อจำกัดในการใช้งานจริงจึงมีปรากฏให้พบเห็นไม่บ่อยครั้ง ดังนั้น จึงมีการนำเทคโนโลยีอื่นๆมาประยุกต์ใช้เพื่อทดแทนหรือช่วยในการประมวลผลภาพ อาทิ เทคโนโลยี RFID สำหรับการระบุตัววัตถุ เทคโนโลยี GPS สำหรับการระบุตำแหน่งของวัตถุ เนื่องจากเทคโนโลยีเหล่านี้สามารถประยุกต์ใช้งานจริงและมีต้นทุนการใช้งานที่ต่ำกว่า
สำหรับการรับคำสั่งด้วยการฟังนั้น อุปกรณ์คอมพิวเตอร์จะใช้ไมโครโฟนเป็นสื่อกลางในการรับสัญญาณเสียงจากผู้ใช้งาน ข้อมูลเสียงที่จะเข้ามาในระบบนั้นมีทั้งในรูปแบบของเสียงทั่วไปและรูปแบบของเสียงพูด ซึ่งล้วนแล้วแต่ต้องใช้เทคโนโลยีการประมวลผลสัญญาณเสียง โดยอาศัยระบบรู้จำเสียงพูดซึ่งเป็นการนำเอาสัญญาณสเปกตรัมที่ได้จากการแปลงผ่านระบบประมวลผลสัญญาณเสียงมาแปลงให้เป็นคำสั่งที่เครื่องคอมพิวเตอร์สามารถเข้าใจได้ สำหรับในภาษาอังกฤษมีใช้งานกันอยู่บ้าง เช่น ระบบสั่งงานด้วยเสียงบนโทรศัพท์มือถือบางรุ่น เป็นต้น แต่สำหรับในภาษาไทยมีใช้งานกันในเฉพาะกลุ่มนักวิจัย เช่น ระบบต่อสายโทรศัพท์อัตโนมัติโดยใช้เสียง เป็นต้น แต่ยังไม่พบเห็นในรูปแบบของผลิตภัณฑ์ที่มีการต่อยอดออกสู่เชิงพาณิชย์
นิยามในข้อที่สามนี้ตรงกับเทคโนโลยีในยุคปัจจุบันที่เรียกว่าเทคโนโลยีระบบฝังตัว ซึ่งเป็นการฝังหน่วยประมวลผลขนาดเล็กหรือไมโครโพรเซสเซอร์ลงไปในอุปกรณ์หนึ่ง เพื่อให้ผู้ใช้สามารถใช้งานอุปกรณ์นั้นได้สะดวกและมีประสิทธิภาพยิ่งขึ้น เช่น ระบบปรับสมดุลขณะเข้าโค้งที่ฝังตัวอยู่ภายในรถยนต์บางรุ่น ระบบนี้เป็นการฝังหน่วยประมวลผลซึ่งจะรับคำสั่งจากสภาพแวดล้อมที่เปลี่ยนไป เช่น ความเร็ว สภาพพื้นผิวของถนน เป็นต้น
สำหรับในนิยามข้อสุดท้ายซึ่งถือได้ว่าเป็นจุดสูงสุดของเทคโนโลยี Ubiquitous Computing เนื่องจากเป็นการหลอมรวมเอาเทคโนโลยีคอมพิวเตอร์เข้าไปไว้ในชีวิตประจำวันของมนุษย์ได้อย่างสมบูรณ์แบบ โดยมนุษย์ไม่ต้องไปยุ่งเกี่ยวกับเทคโนโลยีเหล่านี้เลย ซึ่งเทคโนโลยีในหัวข้อนี้จะต้องผนวกรวมเอาเทคโนโลยีสำหรับการรับคำสั่งที่กล่าวมาทั้งหมด ประกอบกับการนำเอาเทคโนโลยีปัญญาประดิษฐ์มาใช้ในการตัดสินใจว่าควรจะโต้ตอบกับผู้ใช้อย่างไรได้โดยอัตโนมัติ เช่น ระบบการผลิตแบบอัตโนมัติ
จากนิยามทั้ง 4 ของ Weiser แสดงให้เห็นถึงแนวทางในการพัฒนานวัตกรรมที่เกี่ยวข้องกับอุปกรณ์ประมวลผล ที่มุ่งไปสู่การอำนวยความสะดวกและส่งเสริมกิจกรรมต่างๆ ในชีวิตประจำวันของผู้ใช้ ดังนั้นการพัฒนาและสร้างสรรค์นวัตกรรมในปัจจุบัน จึงอาศัยแนวคิดในการมองความต้องการและความสะดวกในการใช้งานของผู้ใช้เป็นหัวใจสำคัญ เพื่อให้ผลิตภัณฑ์ได้รับการยอมรับในการใช้งานและช่วยอำนวยประโยชน์ รวมถึงสร้างมูลค่าเพิ่มในกิจกรรมต่างๆ ในชีวิตประจำวัน


ตัวอย่างผลกระทบและความเปลี่ยนแปลงที่เกิดขึ้นในปัจจุบันของ Ubiquitous Computing

1. มนุษยเอาชนะความบกพรองทางรางกาย

 

คอมพิวเตอรอาจเปลี่ยนแปลงลักษณะการรับรูและประสาทสัมผัสของผูที่บกพรองทางรางกายไดยกตัวอยางเชน ชาวอเมริกันสวนหนึ่งมีปญหาทางสายตาอยางรุนแรง ซึ่งปญหานี้มิอาจแกไขไดดวยแวนตาธรรมดา Ubiquitous Computing  ของ MIT แกปญหาโดยใชคอมพิวเตอรขนาดเล็กที่ออกแบบเปนแวนตาซึ่งติดกลองดิจิตอลและจอแสดงผลใหผูปวยใสเปน  wearable computer  นอกจากเทคโนโลยีเกี่ยวกับแสงแล้ว Ubiquitous Computing  ยังประยุกต์กับเสียงไดดวย

 

2. ระบบการเก็บขอมูลที่สะดวกและแมนยําบอยครั้งที่มนุษยมีปญหาในการจําขอมูลที่แนชัดไมไดโดยเฉพาะอยางยิ่งขอมูลที่เปนตัวเลขดวยเหตุนี้ MIT MediaLab ไดพัฒนา Remembrance Agent
ซึ่งเปนเครื่องชวยจําคลายๆกับอุปกรณ PDAใน ปจจุบันเพียงแตอุปกรณดังกลาวเปนอุปกรณที่สวมใสไดและเชื่อมเขากับฐานขอมูลผานระบบWirelessNetworkเมื่อใกลถึงเวลานัดหมายก็จะเปลงเสียงเตือนและยังสามารถเชื่อมกับอุปกรณแวนตาเพื่อแสดงขอมูลสําคัญที่เราตองการใหปรากฏซึ่งการใชงานนั้นใชการสั่งงานดวยเสียง

 

http://quantumcinema.blogspot.com/2008/01/ubiquitous-computing.html

IT Security Audit ตอน 12

IT Governance
การบริหารจัดการและการกำกับดูแลสารสนเทศที่ดี (IT governance) ครอบคลุมถึง
- Control of the work -- มีมาตรการควบคุมงานที่ดี
- Co-ordination between different pieces of work -- มีการประสานงานที่ดีเพื่อให้งานลุล่วง
- Measurement of outcome -- มีการวัดความสำเร็จของงานเพื่อปรับปรุงแก้ไขตามความเหมาะสม
- Compliance with internal policy or regulation – มีการตรวจสอบเพื่อให้เป็นไปตามนโยบาย ระเบียบ กฎหมาย หรือข้อบังคับภายนอกอื่นๆ ที่องค์กรต้องปฏิบัติตาม
- Justification of spending -- มีการควบคุมการใช้จ่ายตามงบประมาณที่กำหนดไว้
- Accountability and transparency -– มีผู้รับผิดชอบชัดเจนแยกตามกระบวนการต่างๆ ตรวจสอบการปฏบัติได้ และมีความโปร่งใสที่สามารถตรวจสอบได้ในแต่ละระดับจากบนลงสู่ล่าง (องค์กร ฝ่ายสารสนเทศ กระบวนการสารสนเทศ กิจกรรมของกระบวนการสารสนเทศ)
- Connecting with the needs of customers, the broader organisation, and other stakeholders – ตอบสนองหรือตรงตามความต้องการของลูกค้า องค์กร และผู้ที่มีผลประโยชน์เกี่ยวข้อง


IT Governance Focus Areas

บรรณานุกรม
[1] พิมพ์กมล ศรีสวัสดิ์ 2551 : การประเมินความเสี่ยงจากการใช้เทคโนโลยีสารสนเทศด้วย Cobit
[2] บรรจง หะรังษี และทีมงาน : เอกสารประกอบการบรรยายหลักสูตรมาตรฐานและกระบวนการตรวจสอบและควบคุมคุณภาพด้านเทคโนโลยีสารสนเทศ อ้างอิงตาม กรอบมาตรฐาน COBIT 4.1 และ
ISO/IEC 27001
[3] http://www.acisonline.net/article/?p=5
[3] http://www.oknation.net/blog/sathorn69/2009/08/20/entry-1
[4] http://www.isaca-bangkok.org/cobit.html
[5] http://www.positioningmag.com/prnews/prnews.aspx?id=59833
[6] http://www.tlaa.org/seminar/20090522-COBIT/02-1030-1105.pdf

IT Security Audit ตอน 11

กรอบมาตรฐาน COBIT ใหม่ช่วยลดความเสี่ยงด้านไอที พร้อมปรับปรุงการปฏิบัติตามกฏเกณฑ์
สถาบันไอทีภิบาล (ITGI) ได้จัดพิมพ์มาตรฐาน COBIT 4.1 ซึ่งเป็นเวอร์ชันปรับปรุงใหม่ของกรอบแนวทางด้านไอทีภิบาล COBIT (Control Objectives for Information and related Technology) ซึ่งจะนำเสนอมาตรฐานการปฏิบัติสากลที่เชื่อถือได้และได้รับการยอมรับกันกันโดยทั่วไป ซึ่งจะช่วยคณะกรรมการ ผู้บริหารและผู้จัดการในการเพิ่มมูลค่าเทคโนโลยีสารสนเทศ (ไอที) และลดความเสี่ยงที่เกี่ยวข้อง
COBIT ซึ่งมีการใช้กันอย่างกว้างขวางเพื่อเป็นเครื่องมือสำหรับการปฏิบัติตามกฏหมาย Sarbanes-Oxley และมาตรฐานอื่นๆของโลกนั้น เกิดขึ้นก่อนกฏหมายควบคุมที่มีการใช้กันทั่วโลก โดยเป็นผลของการวิจัยและความร่วมมือมานาน 15 ปีระหว่างผู้เชี่ยวชาญด้านไอทีและธุรกิจทั่วโลก และเป็นกรอบมาตรฐานสากลที่รวมมาตรฐานหลักๆด้านไอทีทั้งหมดในโลกเข้าเป็นหนึ่งเดียว รวมถึงมาตรฐาน ITIL, CMMI และ ISO17799 โดยท่านสามารถดาวน์โหลดเวอร์ชันใหม่ของกรอบมาตรฐานดังกล่าวได้โดยไม่เสียค่าใช้จ่ายจาก ITGI ซึ่งเป็นองค์กรอิสระที่ไม่หวังผลกำไรได้ที่ www.itgi.org
COBIT 4.1 เป็นเวอร์ชันปรับปรุงของกรอบมาตรฐานที่ได้รับการยอมรับทั่วโลกซึ่งจะรับประกันว่าระบบไอทีจะเป็นไปตามเป้าหมายของธุรกิจ ทรัพยากรจะถูกใช้อย่างรับผิดชอบและมีการจัดการความเสี่ยงอย่างเหมาะสม COBIT 4.1 เป็นเวอร์ชันปรับปรุงของกรอบบาตรฐาน COBIT 4.0 และสามารถใช้เพื่อสนับสนุนการดำเนินงานตามมาตรฐาน COBIT เวอร์ชันก่อนหน้านี้ โดยส่วนที่มีการปรับปรุงในเวอร์ชัน COBIT 4.1 รวมถึงการวัดผลการดำเนินงาน, ปรับปรุงเป้าหมายการควบคุม และการปรับเป้าหมายของธุรกิจและไอทีให้สอดคล้องกันมากขึ้น
"COBIT เป็นกรอบการจัดการมาตรฐานเดียวซึ่งจะตอบสนองวงจรชีวิตที่สมบูรณ์ของการลงทุนด้านไอที กรอบมาตรฐานดังกล่าวจะสนับสนุนความสำเร็จด้านเป้าหมายธุรกิจไอที, รับประกันความสอดคล้องด้านไอทีและธุรกิจ รวมถึงปรับปรุงประสิทธิภาพและประสิทธิผลด้านไอที" นายโรเจอร์ เดบรีเซนี ประธานคณะทำงานด้าน COBIT ของ ITGI กล่าว "COBIT 4.1 ถูกสร้างขึ้นตามคำแนะนำที่เป็นไปได้ในทางปฏิบัติจากบรรดาผู้จัดการทั่วโลกที่ใช้กรอบมาตรฐานดังกล่าวเพื่อปรับปรุงการกำกับดูแลด้านไอทีในองค์กร ดังนั้นจึงเป็นแนวทางที่ได้รับการทดสอบและพิสูจน์แล้ว"

Gartner Prediction about Security


4 Phases of Information Security Maturity



An Integrated Approach To Governance, Risk & Compliance (GRC)


http://www.tlaa.org/seminar/20090522-COBIT/02-1030-1105.pdf

IT Security Audit ตอน 10

โครงสร้างของโคบิต (Cobit Structure)
การนำระบบเทคโนโลยีสารสนเทศเข้ามาใช้ เพื่อสนับสนุนการทำงานและกลยุทธ์ต่างๆ ขององค์กร จะสามารถประสบความสำเร็จได้นั้น องค์กรจะต้องมีการกำหนดหน้าที่ความรับผิดชอบต่างๆ ให้ชัดเจน และพนักงานทุกคนจะต้องเข้าใจว่าอะไรคือสิ่งที่ได้จากการนำเทคโนโลยีสารสนเทศเข้ามาใช้ และจะใช้สิ่งต่างๆ เหล่านั้นให้เกิดประโยชน์ได้อย่างไร ซึ่งโคบิตได้จัดเตรียมเนื้อหาที่ครอบคลุมในเรื่องของการบริหารจัดการเทคโนโลยีสารสนเทศที่นำมาใช้ในองค์กร โดยจะแบ่งออกเป็น 4 โดเมนหลักๆ ซึ่งมีรายละเอียดดังนี้
1.การวางแผนและการจัดองค์กร (Plan and Organize : PO)
เนื้อหาในโดเมนนี้ครอบคลุมในเรื่องของกลยุทธ์และวิธีการที่นำมาใช้ในองค์กร โดยจะเน้นในเรื่องของการกำหนดวิธีที่จะทำให้เทคโนโลยีสารสนเทศ มีบทบาทสำคัญ เพื่อให้สารสนเทศนั้นสามารถตอบสนองความต้องการทางด้านธุรกิจขององค์กรได้ ซึ่งการกำหนดกลยุทธ์ที่สามารถนำมาใช้ได้จริงนั้นจำเป็นที่จะต้องมีการวางแผน มีการบริหารจัดการที่ดี และต้องมีการสื่อสารให้พนักงานทั้งองค์กรรับทราบร่วมกัน และท้ายสุด องค์กรจำเป็นต้องมีการจัดวางโครงสร้างพื้นฐานด้านเทคโนโลยีสารสนเทศที่เหมาะสม จากเนื้อหาในโดเมนนี้จะทำให้ผู้บริหารสามารถตอบคำถามต่างๆ เหล่านี้ได้
- ทำให้ผู้บริหารทราบว่ากลยุทธ์ทางด้าน IT และกลยุทธ์ทางด้านธุรกิจเป็นไปในทิศทางเดียวกันหรือไม่
- ประสิทธิภาพและคุณภาพของระบบ IT ที่องค์กรนำมาใช้ มีความเหมาะสมกับความต้องการทางด้านธุรกิจหรือไม่
- เพื่อให้ผู้บริหารสามารถทราบได้ว่าองค์กรกำลังประสบความสำเร็จด้วยการใช้ทรัพยากรต่างๆ อย่างเต็มที่หรือไม่
- เพื่อให้ทราบได้ว่าพนักงานในองค์กรมีความเข้าใจในวัตถุประสงค์ขององค์กรหรือไม่
- เพื่อให้ทราบว่าผู้ปฏิบัติงานมีความรู้ความเข้าใจในความเสี่ยงทางด้าน IT ที่เกี่ยวข้องกับการปฏิบัติงานของตนหรือไม่ และจะมีวิธีการบริหารจัดการกับความเสี่ยงดังกล่าวได้อย่างไร
2.การจัดหาและนำระบบออกใช้งานจริง (Acquire and Implement : AI)
เนื้อหาในโดเมนนี้จะเน้นที่เรื่องของการทำให้กลยุทธ์ที่ได้กำหนดไว้ประสบผลสำเร็จ ซึ่งการดำเนินงานตามกลยุทธ์ที่ได้วางไว้นั้น จะต้องมีการระบุ พัฒนาหรือจัดซื้อจัดหา นำไปติดตั้งใช้งาน รวมถึงการผนวกรวมเทคโนโลยีสารสนเทศเข้าเป็นส่วนหนึ่งของกระบวนการทางธุรกิจ และในโดเมนนี้ยังรวมถึงการเปลี่ยนแปลงและการดูแลรักษาระบบงานที่องค์กรมีอยู่ เพื่อให้สามารถมั่นใจได้ว่าเทคโนโลยีสารสนเทศยังคงสามารถสนับสนุนการทำงาน และวัตถุประสงค์ของธุรกิจได้อยู่ตลอดเวลา จากเนื้อหาในโดเมนนี้จะทำให้ผู้บริหารสามารถตอบคำถามต่างๆ เหล่านี้ได้
- โครงการด้านเทคโนโลยีสารสนเทศใหม่ที่กำลังพัฒนาหรือจัดหานั้น สามารถนำมาใช้เพื่อแก้ไขปัญหาหรือสร้างประโยชน์ให้กับธุรกิจได้หรือไม่
- โครงการที่กำลังพัฒนาหรือจัดหานั้น สามารถนำมาใช้งานได้ทันตามระยะเวลาและงบประมาณที่กำหนดไว้หรือไม่
- ระบบใหม่ที่นำมาใช้งานนั้น สามารถทำงานได้อย่างมีประสิทธิภาพ ตรงตามความต้องการของธุรกิจหรือไม่
- การเปลี่ยนแปลงที่เกิดขึ้นทำให้เกิดผลเสียต่อการปฏิบัติงานของธุรกิจในปัจจุบันหรือไม่
3.การส่งมอบและการสนับสนุน (Delivery and Support : DS)
เนื้อหาในโดเมนนี้ จะเน้นในเรื่องของการส่งมอบบริการด้านเทคโนโลยีสารสนเทศเมื่อมีความต้องการจากภาคธุรกิจ ซึ่งรวมตั้งแต่การส่งมอบบริการ การดำเนินงานด้านการรักษาความปลอดภัยและความต่อเนื่องของการให้บริการ การบริหารจัดการสารสนเทศและอุปกรณ์อำนวยความสะดวกต่างๆ ที่ใช้ในการปฏิบัติงาน ไปจนถึงการฝึกอบรมพนักงานเพื่อให้มีความรู้ในเรื่องของเทคโนโลยีสารสนเทศที่เกี่ยวข้องกับงานที่ตนเองปฏิบัติ จากเนื้อหาในโดเมนนี้จะทำให้ผู้บริหารสามารถตอบคำถามต่างๆ เหล่านี้ได้
- การให้บริการด้านเทคโนโลยีสารสนเทศสามารถสนับสนุนกรปฏิบัติงานด้านธุรกิจได้อย่างสอดคล้องกับเป้าหมายและวัตถุประสงค์ของธุรกิจหรือไม่
- ต้นทุนด้านเทคโนโลยีสารสนเทศที่ใช้ไปคุ้มค่าแล้วหรือไม่
- การปฏิบัติงานต่างๆ ขององค์กรสามารถที่จะใช้งานระบบสารสนเทศได้อย่างมีประสิทธิภาพและเกิดความปลอดภัยหรือไม่
- ระบบเทคโนโลยีสารสนเทศที่ใช้อยู่ในปัจจุบันมีการรักษาความลับ (Confidentiality) ความถูกต้องตรงกัน (Integrity) และความพร้อมใช้งาน (Availability) เพียงพอแล้วหรือไม่
4.การติดตามและประเมินผล (Monitor and Evaluate)
เนื้อหาในโดเมนนี้จะเน้นในเรื่องของการตรวจสอบติดตาม และประเมิน ผลของระบบเทคโนโลยีสารสนเทศ โดยกระบวนการด้านเทคโนโลยีสารสนเทศทั้งหมดจะต้องได้รับการประเมินอยู่เสมอ เพื่อรับประกันได้ถึงคุณภาพและการปฏิบัติตามขอบังคับของการควบคุม ในโดเมนนี้จะเป็นการระบุถึงการบริหารจัดการในด้านของประสิทธิภาพของระบบสารสนเทศ ซึ่งจะต้องได้รับการประเมินจากผู้ตรวจสอบทั้งภายในและภายนอกองค์กร จากเนื้อหาในโดเมนนี้จะทำให้ผู้บริหารสามารถตอบคำถามต่างๆ เหล่านี้ได้
- มีการประเมินหรือวัดประสิทธิภาพของระบบเทคโนโลยีสารสนเทศ เพื่อตรวจหาปัญหาก่อนที่ปัญหานั้นจะเกิดขึ้นจริงหรือไม่
- ผู้บริหารจะสามารถมั่นใจได้อย่างไรว่าการควบคุมต่างๆ ที่องค์กรนำมาใช้นั้นมีประสิทธิภาพและประสิทธิผลจริง
- ประสิทธิภาพของระบบเทคโนโลยีสารสนเทศที่มีอยู่นั้นสามารถสนับสนุนเป้าหมายทางด้านธุรกิจหรือไม่
- มีการวัดผลและรายงานในเรื่องของความเสี่ยง การควบคุม การปฏิบัติตามกฎ และประสิทธิภาพ ไปยังผู้บริหารระดับสูงขององค์กรหรือไม่

IT Security Audit ตอน 9

วัตถุประสงค์ของโคบิตในเรื่องของธรรมภิบาลด้านเทคโนโลยีสารสนเทศ
โคบิตสนับสนุนในเรื่องของธรรมภิบาลด้านเทคโนโลยีสารสนเทศโดยมีการจัดเตรียมกรอบวิธีปฏิบัติต่างๆ เพื่อต้องการให้แน่ใจว่า :
- เทคโนโลยีสารสนเทศที่นำมาใช้จะเป็นไปในทิศทางเดียวกันกับธุรกิจขององค์กร
- เทคโนโลยีสารสนเทศสามารถที่จะสนับสนุนความต้องทางด้านธุรกิจได้อย่างเต็มประสิทธิภาพ
- ทรัพยากรด้านเทคโนโลยีสารสนเทศถูกใช้อย่างเหมาะสม
- สามารถจัดการความเสี่ยงทางด้านเทคโนโลยีสารสนเทศได้อย่างเหมาะสม
ประโยชน์ของการนำโคบิตมาใช้
การนำโคบิตมาประยุกต์ใช้ในองค์กรสามารถสร้างประโยชน์หลายประการให้แก่องค์กร ดังนี้ :
- ทำให้ธุรกิจและเทคโนโลยีสารสนเทศดำเนินไปในทิศทางเดียวกัน โดยให้ภาคธุรกิจเป็นเป้าหมายหลักในการดำเนินนโยบาย
- เกิดการแบ่งปันในส่วนของความรู้และความเข้าใจให้กับผู้ที่มีส่วนเกี่ยวข้องทุกคน โดยเป็นการใช้ภาษาเดียวกันทำให้เกิดความเข้าใจที่ตรงกัน
- ทำให้เกิดความเข้าใจมุมมองหรือภาพรวมในเรื่องของการนำเทคโนโลยีสารสนเทศเข้ามาใช้ในการจัดการด้านธุรกิจขององค์กรอย่างไร
- ทำให้เกิดความกระจ่างในเรื่องของบทบาท หน้าที่ความรับผิดชอบ และความเป็นเจ้าของ ในการปฏิบัติงานของพนักงานในองค์กร เพื่อให้เกิดความไว้วางใจและการยอมรับกันอย่างแพร่หลายจากองค์กรหรือบริษัทภายนอกที่เกี่ยวข้องและผู้วางกฎระเบียบ (regulator) ต่างๆ

IT Security Audit ตอน 8

วิวัฒนาการของ COBIT

IT Security Audit ตอน 7

ทรัพยากรด้านเทคโนโลยี (IT Resources) 5 ประเภท
- ข้อมูล (Data) รวมความถึงข้อมูลในรูปแบบต่างๆทั้งที่มีโครงสร้างและไม่มีโครงสร้าง ข้อมูลด้านกราฟฟิค และข้อมูลที่เป็นเสียง
- ระบบงาน (Application System) ได้แก่ขั้นตอนและกระบวนการปฎิบัติงานทั้งที่ทำด้วยมือและโปรแกรมคอมพิวเตอร์
- Technology ได้แก่ เครื่องคอมพิวเตอร์ (hardware) โปรแกรมระบบ (Operating Systems) ระบบบริหารฐานข้อมูล (database management system) ระบบเครือข่าย (Networking) และระบบมัลติมีเดีย
- Facilities ได้แก่ทรัพยากรต่างๆที่ใช้เป็นสถานที่ติดตั้งหรือจัดวาง ตลอดจนสาธารณูปโภคที่จำเป็นเพื่อการปฎิบัติงานของระบบสารสนเทศ
- บุคลากร (People) ได้แก่บุคคลากรที่มีความรู้ความชำนาญในการบริหารและปฎิบัติงาน สำหรับการดูแลและจัดทำระบบสารสนเทศ


รูป Cobit cube

IT Security Audit ตอน 6

คุณภาพของระบบข้อมูล 7 ประการ (Information Criteria)
ประสิทธิภาพ (Effectiveness) หมายถึงข้อมูลที่ใช้เกี่ยวข้องกับกระบวนการทางธุรกิจ รวมทั้งมีการส่งมอบข้อมูลแก่ผู้ใช้อย่าง ถูกต้อง ตรงเวลา สม่ำเสมอ (Consistent) และใช้ประโยชน์ได้ (Usable)
ประสิทธิผล (Efficiency) หมายถึง มีการใช้ประโยชน์จากทรัพยากรอย่างเต็มที่เพื่อให้ได้มาซึ่งข้อมูลสารสนเทศ
ความลับ (Confidentiality) หมายถึง การป้องกันการเปิดเผยข้อมูลที่สำคัญต่อบุคคลหรือหน่วยงานที่ไม่ได้รับอนุญาต ความสมบูรณ์ (Integrity) หมายถึงความครบถ้วนถูกต้องของข้อมูล ตลอดจนเป็นข้อมูลใช้ได้(Validity) ในแง่ของความคาดหมายและการให้ความสำคัญของธุรกิจ (business values and expectations)
การมีใช้เมื่อต้องการ (Availability) หมายถึง เป็นข้อมูลที่เรียกใช้ได้เมื่อต้องการและจำเป็นใช้ ทั้งในปัจจุบันและอนาคต และรวมทั้งการป้องกันภัยให้กับทรัพยากรต่างๆที่จำเป็นและการรักษาระดับความสามารถในการทำงานของทรัพยากรเหล่านั้น
การปฎิบัติตามระบบ (Compliance) หมายถึง การที่ข้อมูลได้จัดทำขึ้นตามกฎ ระเบียบ ข้อบังคับ หลักเกณฑ์ ข้อตกลง หรือกฎหมาย ที่มีขึ้นเพื่อบังคับใช้ทั้งจากหน่วยงานภายในและภายนอกองค์กร เช่น ข้อบังคับของตลาดหลักทรัพย์ ประมวลกฎหมายภาษีอากร หลักการบัญชีที่ยอมรับโดยทั่วไป เป็นต้น
ความน่าเชื่อถือของข้อมูล (Reliability of Information) หมายถึงความสามารถในการจัดหาข้อมูลที่เหมาะสมให้แก่ผู้บริหารของกิจการเพื่อสามารถดำเนินธุรกิจและเพื่อให้สามารถจัดทำรายงานทางการเงินและรายงานที่จำเป็นอื่นๆภายใต้ความรับผิดชอบของผู้บริหาร

IT Security Audit ตอน 5

การนำ COBIT Framework มาใช้ในการควบคุมภายในสำหรับงานเทคโนโลยีสารสนเทศ
ในปัจจุบันองค์กรต่างๆ ต่างเล็งเห็นถึงประโยชน์ของเทคโนโลยีที่จะนำมาใช้ในการดำเนินงาน อย่างไรก็ดี องค์กรที่ได้รับความสำเร็จอย่างแท้จริงจากการนำเทคโนโลยีใช้ให้เกิดประโยชน์จะได้แก่องค์กรที่ผู้บริหารมีความรู้ความเข้าใจที่จะจัดการกับความเสี่ยงด้านการนำเทคโนโลยีมาใช้ในองค์กรอย่างเหมาะส การบริหารและจัดการความเสี่ยงด้านเทคโนโลยีจึงกลายเป็นส่วนที่มีนัยสำคัญในการบริหารจัดการความเสี่ยงขององค์กรโดยรวม โดยเฉพาะองค์กรที่มุ่งสู่การเป็นบรรษัทภิบาล (Good Corporate Governance) CoBIT หรือ Control Objectives for Information and Related Technologyเป็นทั้งแนวคิดและแนวทางการปฎิบัติ (Framework) เพื่อการควบคุมภายในที่ดีด้านเทคโนโลยีสำหรับองค์กรต่างๆที่จะใช้อ้างอิงถึงแนวทางการปฎิบัติที่ดี (Best Practice)ซึ่งสามารถนำไปปรับใช้ได้ในทุกองค์กรสำหรับกิจกรรมที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ โดยโครงสร้างของ CoBITâ ออกแบบอยู่บนพื้นฐานของกระบวนการทางธุรกิจ Business Process ซึ่งแบ่งเป็น 4 กระบวนการหลัก (Domain) ได้แก่ การวางแผนและการจัดการองค์กร (Planning and Organization) การจัดหาและติดตั้ง (Acquisition and Implementation) การส่งมอบและบำรุงรักษา (Delivery and Support) การติดตามผล (Monitoring)
ในแต่ละกระบวนการหลักข้างต้น CoBIT แสดงวัตถุประสงค์ของการควบคุมหลัก ( High-level Control Objectives รวมถึง34 หัวข้อ และในแต่ละหัวข้อจะประกอบด้วยวัตถุประสงค์ของการควบคุมย่อยลงไปอีกขั้นหนึ่ง (Detailed Control Objectives) รวมถึง 318หัวข้อย่อย พร้อมทั้งแนวทางการตรวจสอบ (Audit Guidelines) สำหรับแต่ละหัวข้ออีกด้วย ในแต่ละหัวข้อของวัตถุประสงค์ของการควบคุม CoBITแสดงถึงความสัมพันธ์ต่อปัจจัย 2 ประการ ได้แก่
- คุณภาพของระบบข้อมูล ประการ (Information Criteria)
- ทรัพยากรด้านเทคโนโลยี (IT Resources) 5 ประเภท
นอกจากโครงสร้างของ CoBIT ดังกล่าวข้างต้นแล้ว CoBIT ยังให้แนวทางสำหรับผู้บริหาร (Management Guidelines) เพื่อใช้ในการในการวัดผลการนำ CoBIT ไปใช้ในองค์กร โดยประกอบด้วย 4 ปัจจัยหลัก ได้แก่
• Maturity Model
• Critical Success Factors
• Key Goal Indicators
• Key Performance Indicators

IT Security Audit ตอน 4

การผสมผสานกระบวนการของ CobiT และ ITIL
ผู้ตรวจสอบมักนำ CobiT มาร่วมใช้งานโดยประกอบกับ ITIL self-assessment workbook เพื่อใช้ในการตรวจสอบการจัดการด้านการบริการของฝ่ายระบบสารสนเทศ CobiT นั้นจะมีองค์ประกอบพวก Key Goal และ Performance Indicators รวมไปถึง Critical Success Factors ของกระบวนการต่างๆ ซึ่งสิ่งนี้จะช่วยเสริมการทำงานของ ITIL เพื่อเป็นพื้นฐานของการจัดการกับกระบวนการของ ITIL จึงทำให้หลายๆองค์กรนั้นนำ Cobit มาใช้ร่วมกับ Framework ในเชิงลึกต่างๆ หลายๆกระบวนการของ CobiT ซึ่งอยู่ใน domain "Delivery & Support" (DS1, DS3, DS4, DS8, DS9 และ DS10) นั้นมีความสอดคล้องกับ กระบวนการของ ITIL เป็นอย่างมาก เช่น Service Level, Configuration, problem, incident, release, capacity, availability หรือ financial management อีกทั้งกระบวนการของ CobiT AI6 change management process เองก็สอดคล้องกับ ITIL ในแง่ของ change management process และ supporting processes อื่นๆเช่น Release management. ITIL นั้นไม่ครอบคลุม การจัดการโครงการ (PO10) แต่ Projects in Controlled Environments (PRINCE2) นั้นสามารถเข้ามาเสริมได้. (PRINCE2 นั้นเป็นมาตรฐานซึ่งเริ่มและใช้โดยรัฐบาลและภาคธุรกิจของอังกฤษ )
กล่าวโดยสรุป CobiT และ ITIL นั้นไม่สามารถแทนที่ซึ่งกันและกันได้ ดังนั้นเพื่อให้ได้ "ไอทีภิบาล" หรือ "IT governance" องค์กรจึงควรที่จะผนวกจุดแข็งของ CobiT และ ITIL เข้าด้วยกัน โดยยึด Framework ด้านการควบคุมของ CobiT เป็นกรอบความคิดในเชิงกว้างจากนั้นจึงนำ ITIL และ Framework อื่นๆเข้าร่วมเพื่อเพิ่มเติมในรายละเอียดของการนำไปปฏิบัติจริงต่อไป (eWeek Thailand ปักษ์แรก ประจำเดือน เดือนพฤษภาคม 2548 , Update Information : 24 มิถุนายน 2548 : http://www.oknation.net/blog/sathorn69/2009/08/20/entry-1)

IT Security Audit ตอน 3

การเตรียมองค์กรให้พร้อมเข้าสู่ยุค IT Governance ด้วยมาตรฐาน CobiT และ ITIL COBIT
ทุกวันนี้หลายองค์กรในประเทศไทยและทั่วโลก กำลังกล่าวถึงคำว่า "Best Practices" หรือมาตรฐานที่ควรนำมาเป็นแนวทางในการเตรียมระบบสารสนเทศขององค์กรให้พร้อมเข้าสู่ยุค IT Governance โดยที่ "Best Practices" ที่นิยมใช้กันได้แก่ มาตรฐาน ISO/IEC17799, CobiT และ ITIL เป็นต้น มาตรฐาน "CobiT" นั้นย่อมาจาก "Control OBjectives for Information and Related Technology" CobiT นั้นมีจุดประสงค์ในการสร้างความมั่นใจว่าการใช้ทรัพยากรด้านเทคโนโลยีสารสนเทศนั้นสอดคล้องกับวัตุประสงค์เชิงธุรกิจขององค์กร (Business Objectives) เพื่อให้เกิดการใช้ทรัพยากรอย่างมีประสิทธิผลอันจะส่งประโยชน์สูงสุดแก่องค์กร ช่วยให้เกิดความสมดุลย์ระหว่างความเสี่ยงด้านเทคโนโลยีสารสนเทศ (IT Risk) และผลตอบแทนของการลงทุนในระบบสารสนเทศ (IT ROI) มารตฐาน CobiT นั้นประกอบด้วยกิจกรรมหลัก 34 หัวข้อซึ่งเชื่อมกับ กิจกรรมย่อยอีก 318 หัวข้อ ซึ่งทำให้เกิด Framework ด้านการตรวจสอบภายในเทคโนโลยีสารสนเทศขึ้น (IT Internal audit) CobiT นั้นเริ่มพัฒนาโดย The Information Systems Audit and Control Association (ISACA) และ IT Governance Institute (ITGI) เป็นผู้ดูแลในปัจจุบัน (ISACA และ ITGI เป็นองค์กรระดับโลกตั้งอยู่ที่ประเทศสหรัฐอเมริกา) โดยเดิมทีตั้งใจให้เป็น Tools หรือ Guideline ของผู้ตรวจสอบระบบสารสนเทศ แต่ต่อมาก็มีการนำไปใช้โดย ผู้บริหารธุรกิจ และ ผู้บริหารระบบสารสนเทศ เนื่องจากในช่วงแรก CobiT นั้นถูกใช้เป็นแนวทางสำหรับการตรวจสอบระบบสารสนเทศ จึงทำให้ผู้บริหารระบบสารสนเทศ มักมองว่า CobiT นั้นเป็นภัยแก่ตน แทนที่จะมองว่าเป็น เครื่องมืออันทรงพลังสำหรับการสื่อสารระหว่างภาคไอทีและภาคธุรกิจ ซึ่งจะเป็นความเข้าใจที่ถูกต้องมากกว่า กระบวนการของ CobiT นั้นสามารถแบ่งได้เป็น 4 หัวข้อใหญ่ๆ ได้แก่
- การวางแผนและจัดการองค์กร (PO : Planning and Organization)
- การจัดหาและติดตั้ง (AI : Acquisition and Implementation)
- การส่งมอบและบำรุงรักษา (DS : Delivery and Support)
- การติดตามผล ( M : monitoring)
CobiT นั้นมีพื้นฐานมาจาก Framework ชั้นนำต่างๆมากมาย ได้แก่ The Software Engineering Institute's Capability Maturity Model (CMM), ISO 9000 และ The Information Technology Infrastructure Library (ITIL) ของประเทศอังกฤษ อย่างไรก็ตาม CobiT นั้นก็ยังขาดในส่วนของ Guideline เพื่อใช้ในทางปฏิบัติเนื่องจาก CobiT เป็น Framework ที่เน้นในเรื่องของ การควบคุม (Control) เป็นหลัก CobiT นั้นมุ่งประเด็นในการบอกว่าองค์กรต้องการอะไรบ้าง (What) แต่ไม่มีรายละเอียดในแง่ของวิธีการที่นำไปสู่จุดนั้น (How) ซึ่งเหมาะกับผู้ตรวจสอบระบบสารสนเทศที่ต้องการนำ CobiT มาใช้เพื่อทำเป็น Check Lists หรือ Audit Program แต่อาจจะยังไม่มีรายละเอียดพอสำหรับ ผู้บริหารธุรกิจ และผู้บริหารระบบสารสนเทศ ซึ่งต้องการนำ CobiT ไปปรับใช้กับองค์กรในทางปฏิบัติ (Practical Implementation) สำหรับมาตรฐาน ITIL นั้น มีวัตถุประสงค์ในการสร้าง "Best Practices" สำหรับกระบวนการของ IT Service Delivery และ Support แต่ไม่ได้เป็นการกำหนด Framework ของการควบคุมในแนวกว้างอย่างที่ CobiT เป็น ITIL นั้นจะมุ่งไปทางการเสนอวิธีการในการปฏิบัติ แต่มีขอบเขตงานเพียงแค่ IT service Management ซึ่งแคบกว่า CobiT มาก ITIL นั้นค่อนข้างลึกในรายละเอียดของกระบวนการทำงาน ซึ่งมีวัตถุประสงค์ที่จะให้ทางฝ่ายระบบสารสนเทศ และ Service Management เป็นผู้นำไปใช้

IT Security Audit ตอน 2

ความหมายของ "IT Audit" ปรัชญาของ "IT Audit" แตกต่างจากปรัชญาของ "Internal Audit" กล่าวคือ องค์ความรู้ของ "Internal Audit" เน้นเรื่องการประยุกต์ใช้ "COSO Framework" และการมองภาพรวมในลักษณะของ "Enterprise Risk Management" หรือ "ERM" ซึ่งเป็นภาพใหญ่ขององค์กร แต่ "IT Audit" นั้น จะเน้นไปที่ "CobiT Framework" หรือ อีกชื่อหนึ่งคือ "IT Governance Framework" โดยปรัชญาก็คือ การใช้งานระบบสารสนเทศให้สอดคล้อง หรือ "Align" กับวัตถุประสงค์ทางด้านธุรกิจหรือ "Business Objective" ตลอดจน "Governance Objective" ซึ่งได้แก่เรื่อง "Regulatory Compliance" ต่าง ๆ โดยการตรวจสอบระบบสารสนเทศมีลักษณะคล้ายกับการตรวจสอบภายใน ก็คือ การนำหลักการ "GRC" หรือ "Governance , Risk Management and Compliance" มาประยุกต์ใช้ และมีลักษณะการตรวจสอบในแบบ "Risk-Based Approach" แต่การตรวจสอบระบบสารสนเทศจำเป็นต้องมีองค์ความรู้เรื่อง "Information System Audit Process or IS Audit Process" เป็นองค์ความรู้หลัก ซึ่งองค์ความรู้ที่จำเป็นต้องศึกษามีทั้งหมด 6 องค์ความรู้ ได้แก่ 1. IS Audit Process 2. IT Governance 3. Systems and Infrastructure Lifecycle Management 4. IT Service Delivery and Support 5. Protection of Information Assets 6. Business Continuity and Disaster Recovery โดยองค์ความรู้ทั้ง 6 เป็นองค์ความรู้ที่ใช้ในการทดสอบผู้ที่ต้องการได้รับใบรับรองผู้เชี่ยวชาญด้านการตรวจสอบระบบสารสนเทศ หรือ CISA (Certified Information System Auditor) จาก ISACA ผู้ที่สอบผ่าน "CISA" นั้น เป็นการพิสูจน์ในระดับหนึ่งว่ามีความรู้ความเชี่ยวชาญที่สามารถเป็นผู้ตรวจสอบระบบสารสนเทศที่แม่นยำในหลักวิชาการ (เหมือนผู้สอบผ่าน CIA) แต่ก็ยังต้องหาความรู้เฉพาะทางเพิ่มเติมอีก เช่น การตรวจสอบระบบฐานข้อมูล RDBMS เช่น Audit Oracle , Audit MS SQL Server หรือ การตรวจสอบ Network และ System ต่าง ๆ เช่น การตรวจสอบ Microsoft Windows , UNIX/Linux Operating System ,การตรวจสอบ Wireless, การตรวจสอบ Router และ Switching เป็นต้น
จึงสรุปได้ว่า การศึกษาองค์ความรู้พื้นฐานและการสอบผ่าน CIA หรือ CISA นั้นนับเป็น "จุดเริ่มต้นที่ดี" สำหรับการเป็น "ผู้ตรวจสอบภายใน" หรือ "ผู้ตรวจสอบระบบสารสนเทศ" ที่มีประสิทธิภาพสูง แต่ไม่ได้หมายความว่าผู้สอบผ่าน CIA และ CISA จะปฏิบัติงานด้านการตรวจสอบได้ครบทุกเรื่อง เพราะจำเป็นต้องมีความรู้เฉพาะทางในเรื่องต่าง ๆ ดังที่กล่าวมาแล้วในตอนต้น อีกทั้งยังต้องอาศัยประสบการณ์หรือชั่วโมงบินในการตรวจสอบอีกด้วย (http://www.acisonline.net/article/?p=5)

IT Security Audit ตอน 1

บทนำ

    ศักยภาพที่เพิ่มขึ้นของเทคโนโลยีที่ขับเคลื่อนการเปลี่ยนแปลงกระบวนการทำงานที่เกิดขึ้นในองคกร รวมทั้งปรับเปลี่ยนหลักการการจัดการและปฏิบัติงาน ซึ่งกอใหเกิดโอกาสทางธุรกิจใหม ๆ และชวยใหตนทุนลดลง องคกรที่มีการปฏิบัติงานในระบบอัตโนมัตโดยใชเทคโนโลยีเปนตัวขับเคลื่อน  จึงจำเปนตองมีกลไกในการบริหารความเสี่ยงและการควบคุมที่ดียิ่งขึ้น โดยเฉพาะการควบคุมทั้งระบบคอมพิวเตอร และ ระบบเครือขาย ทั้งในดานของ ฮารดแวร ซอรฟแวร การควบคุมทั่วไป และการควบคุมระบบงาน เพื่อปองกันความเสี่ยงอันอาจจะเกิดจากการใชเทคโนโลยีไมเต็มประสิทธิภาพหรือใชเทคโนโลยีในทางที่เหมาะสม  ในปัจจุบันการควบคุมภายในระบบสารสนเทศขององคกรยังไมมีประสิทธิภาพเพียงพอตอการดำเนินงาน เนื่องจากนโยบายการบริหารการเปลี่ยนแปลงที่ไมเหมาะสม การกำหนดหนาที่และความรับผิดชอบในการปฏิบัติงานไมชัดเจน  การบริหารจัดการกำลังคนและการพัฒนาทักษะความรูความสามารถทางดานเทคโนโลยีและสารสนเทศของบุคลากรมีไมเพียงพอ การขาดเทคโนโลยีที่ทันสมัย มีความพรอมใช และเหมาะสมกับระบบสารสนเทศขององคกร และนโยบายดานการรักษาความปลอดภัยและความลับของขอมูลไมครอบคลุมเพียงพอ สงผลให ระบบสารสนเทศไมสามารถตองสนองตอความตองการขององคกรไดอยางเต็มประสิทธิภาพ 

 

     การตรวจสอบความปลอดภัยทางสารสนเทศ (IT Security Audit) ตามแนวทาง CoBit หรือ IT Governance จึงเป็นความจำเป็นที่องค์กรยุคใหม่จะต้องปฏิบัติเพื่ความมั่นคงปลอดภัยในระบบ IT ขององค์กรให้มีประสิทธิภาพอย่างดีที่สุด

 

Free TextEditor

ระบบสารสนเทศในสถานศึกษา

ระบบสารสนเทศในสถานศึกษา ( School Management Information System)

ความหมายและบทบาทของระบบสารสนเทศ
ระบบสารสนเทศ (Information System หรือ IS) คือระบบแบบเฉพาะเจาะจงชนิดหนึ่ง ซึ่งอาจกล่าวได้ว่าเป็นกลุ่มของส่วนประกอบพื้นฐานต่างๆ ที่ทำงานเกี่ยวข้องกันในการเก็บ (นำเข้า), จัดการ (ประมวลผล) และเผยแพร่(แสดงผล) ข้อมูลและสารสนเทศและสนับสนุนกลไกลของผลสะท้อนกลับ เพื่อให้บรรลุตามวัตถุประสงค์

ส่วนประกอบของระบบสารสนเทศ
1. ส่วนที่นำเข้า (Inputs) ได้แก่การรวบรวมและการจัดเตรียมข้อมูลดิบ ส่วนที่นำเข้านี้สามารถมีได้หลายรูปแบบไม่ว่าจะเป็นการโทรเข้าเพื่อขอข้อมูลในระบบสอบถามเบอร์โทรศัพท์ ข้อมูลที่ลูกค้ากรอกในใบ สอบถามการให้บริการของร้านค้าฯลฯ ขึ้นอยู่กับส่วนแสดงผลที่ต้องการ ส่วนที่นำเข้านี้อาจเป็นขบวนการที่ทำด้วยตัวเองหรือเป็นแบบอัตโนมัติก็ได้ เช่นการอ่านข้อมูลรายชื่อสินค้าและรายราคาโดยเครื่องอ่าน บาร์โค้ดของห้างสรรพสินค้า จัดเป็นส่วนที่นำเข้าแบบอัตโนมัติ
2. การประมวลผล (Processing) เกี่ยวข้องกับการเปลี่ยนและการแปลงข้อมูลให้อยู่ในรูปของส่วนแสดงผลที่มีประโยชน์ ตัวอย่างของการประมวลผลได้แก่การคำนวณ การเปรียบเทียบ การเลือกทางเลือกในการปฏิบัติงานและการเก็บข้อมูลไว้ใช้ในอนาคต โดยการประมวลผลสามารถทำได้ด้วยตนเองหรือสามารถใช้คอมพิวเตอร์เข้ามาช่วยก็ได้ ตัวอย่างเช่น ระบบคิดเงินเดือนพนักงาน สามารถคิดได้จากการนำจำนวน ชั่วโมงการทำงานของพนักงานคูณเข้ากับอัตราค่าจ้างเพื่อให้ได้ยอดเงินรวมที่ต้องจ่ายรวม ถ้าชั่วโมงการทำงานรายสัปดาห์มากกว่า 40 ชั่วโมงอาจมีการคิดเงินล่วงเวลาให้ โดยเพิ่มเข้าไปกับเงินรวม จากนั้นอาจจะทำการหักภาษีพนักงาน โดยการนำเงินรวมมาคิดภาษีและนำเงินรวมมาลบด้วยภาษีที่คำนวณได้ จะทำให้ได้เงินสุทธิที่ต้องจ่ายให้กับพนักงาน
3. ส่วนที่แสดงผล (Outputs) เกี่ยวข้องกับการผลิตสารสนเทศที่มีประโยชน์ มักจะอยู่ในรูปของเอกสาร หรือรายงานหรืออาจะเป็นเช็คที่จ่ายให้กับพนักงาน รายงานที่นำเสนอผู้บริหารและสารสนเทศที่ถูกผลิตออกมาให้กับผู้ถือหุ้น ธนาคาร หรือกลุ่มอื่นๆ โดยส่วนแสดงผลของระบบหนึ่งอาจใช้เป็นส่วนที่นำเข้าเพื่อควบคุมระบบหรืออุปกรณ์อื่นๆ ก็ได้ เช่นในขบวนการผลิตเฟอร์นิเจอร์ พนักงานขาย ลูกค้า และ นักออกแบบเฟอร์นิเจอร์อาจจะทำการออกแบบเฟอร์นิเจอร์ซ้ำแล้วซ้ำเล่า เพื่อให้ตรงตามความต้องการของลูกค้า โดยอาจจะใช้ซอฟต์แวร์หรือฮาร์ดแวร์คอมพิวเตอร์เข้ามาช่วยในการออกแบบนี้ด้วย จนกระทั่งได้ต้นแบบที่ตรงความต้องการมากที่สุด จึงส่งแบบนั้นไปทำการผลิต จะเห็นว่าแบบเฟอร์นิเจอร์ที่ได้จากการออกแบบแต่ละครั้งจะเป็นส่วนที่ถูกนำไปปรับปรุงการออกแบบในครั้งต่อๆ ไป จนกระทั่งได้แบบ สุดท้ายออกมา อาจอยู่ในรูปของสิ่งพิมพ์ที่ออกมาจากเครื่องพิมพ์หรือแสดงอยู่บนหน้าจอคอมพิวเตอร์ที่เป็นอุปกรณ์แสดงผลตัวหนึ่งหรืออาจจะอยู่ในรูปของรายงานและเอกสารที่เขียนด้วยมือก็ได้
4. ผลสะท้อนกลับ (Feedback) คือส่วนแสดงผลที่ใช้ในการทำให้เกิดการเปลี่ยนแปลงต่อส่วนที่นำเข้าหรือส่วนประมวลผล เช่น ความผิดพลาดหรือปัญหาที่เกิดขึ้น อาจจำเป็นต้องแก้ไขข้อมูลนำเข้าหรือทำการเปลี่ยนแปลงการประมวลผลเพื่อให้ได้ส่วนแสดงผลที่ถูกต้อง ตัวอย่างเช่น ระบบการจ่ายเงินเดือนพนักงาน ถ้าทำการป้อนชั่วโมงการทำงานรายสัปดาห์เป็น 400 แทนที่จะเป็น 40 ชั่วโมง ถ้าทำการกำหนดให้ระบบตรวจสอบค่าชั่วโมงการทำงานให้อยู่ในช่วง 0-100 ชั่วโมง ดังนั้นเมื่อพบข้อมูลนี้เป็น 400 ชั่วโมง ระบบจะทำการส่งผลสะท้อนกลับออกมา อาจจะอยู่ในรูปของรายงานความผิดพลาด ซึ่งสามารถนำไปใช้ในการตรวจสอบและแก้ไขจำนวนชั่วโมงการทำงานที่นำเข้ามาคำนวณให้ถูกต้องได้

ระบบสารสนเทศที่ใช้คอมพิวเตอร์ (Computer-Based Information Systems : CBIS)
ระบบสารสนเทศที่ใช้คอมพิวเตอร์ประกอบด้วย ฮาร์ดแวร์ (Hardware), ซอฟต์แวร์ (Software), ข้อมูล(Data), บุคคล (People), ขบวนการ (Procedure) และการสื่อสารข้อมูล (Telecommunication) ซึ่งถูกกำหนดขึ้นเพื่อทำการรวบรวม, จัดการ จัดเก็บและประมวลผลข้อมูลให้เป็นสารสนเทศ

1. ฮาร์ดแวร์ คืออุปกรณ์ทางกายภาพ ที่ใช้ในการรวบรวม การนำเข้า และการจัดเก็บข้อมูล, ประมวลผล ข้อมูลให้เป็นสารสนเทศ และแสดงสารสนเทศที่เป็นผลลัพธ์ออกมา
2. ซอฟต์แวร์ ประกอบด้วยกลุ่มของโปรแกรมที่ใช้ในการปฏิบัติงานร่วมกับฮาร์ดแวร์และใช้ในการประมวลผลข้อมูลเป็นสารสนเทศ
3. ข้อมูล ในส่วนนี้หมายถึงข้อมูลและสารสนเทศที่ถูกเก็บอยู่ในฐานข้อมูล โดยฐานข้อมูล (Database) หมายถึงกลุ่มของค่าความจริงและสารสนเทศที่มีความเกี่ยวข้องกันนั่นเอง
4. บุคคล หมายถึงบุคคลที่ใช้งานและปฏิบัติงานร่วมกับระบบสารสนเทศ
5. ขบวนการ หมายถึงกลุ่มของคำสั่งหรือกฎ ที่แนะนำวิธีการปฏิบัติงานกับคอมพิวเตอร์ในระบบสารสนเทศ ซึ่งอาจได้แก่การแนะนำการควบคุมการเข้าใช้งานคอมพิวเตอร์, วิธีการสำรองสารสนเทศในระบบและวิธีจัดการกับปัญหาที่อาจเกิดขึ้นได้
6. การสื่อสารข้อมูล หมายถึงการส่งสัญญาณอิเล็กทรอนิกส์เพื่อติดต่อสื่อสาร และช่วยให้องค์กรสามารถเชื่อมระบบคอมพิวเตอร์เข้ากับระบบเครือข่าย (Network) ที่มีประสิทธิภาพได้ โดยเครือข่ายใช้ในการเชื่อมต่อคอมพิวเตอร์และอุปกรณ์คอมพิวเตอร์ไว้ด้วยกัน อาจจะเป็นภายในอาคารเดียวกัน ในประเทศเดียวกัน หรือทั่วโลก เพื่อให้สามารถสื่อสารข้อมูลอิเล็กทรอนิกส์ได้
(http://irrigation.rid.go.th/rid15/ppn/Knowledge/Management%20Information%20Systems/mis2.htm)

คุณลักษณะที่ดีของสารสนเทศ
1. ใช้ง่าย ใช้เวลาเรียนรู้น้อย
2. ผิดพลาดน้อย (Error rate)
3. เมื่อมีข้อบกพร่อง สามารถแก้ไขได้เร็ว (MTBF)
4. เก็บรวบรวมข้อสนเทศที่เกิดจากการปฎิบัติงานตามปกติ
5. ให้ข้อสนเทศได้ครบถ้วน ถูกต้อง ทันเวลา

ระบบสารสนเทศในสถานศึกษา ประกอบด้วยระบบงานต่าง ๆ ดังนี้
1. การวางแผนจัดการเรียนการสอนและอัตรากำลัง
2. การจัดชั้นเรียนตามความต้องการของผู้เรียน วิชาเลือกเสรี พื้นฐานอาชีพ
3. การจัดกิจกรรมการศึกษาเพื่อสนองตอบความต้องการของชุมชน
4. การจัดทำทะเบียนประวัติ และพัฒนาการของนักเรียน
5. การวัดวิเคราะห์และประเมินผลการเรียน
6. ธนาคารข้อสอบ
7. ระบบงานห้องสมุด
8. ระบบงานปกครอง
9. ระบบงานบุคลากร
10. ระบบงานธุรการ การเงิน และพัสดุ
11. ระบบสาธารณูปโภค อาคารสถานที่
12. ระบบงานแนะแนว
13. ระบบงานสหกรณ์/สวัสดิการ
14. ระบบงานสุขอนามัยและโภชนาการ
15. ระบบแผนงานและโครงการ
(รุ่งแสง อรุณไพโรจน์ และ สมชาติ หรั่งเจริญ)

ติดตั้ง PhpMyAdmin

cd /usr/ports/databases/phpmyadmin
make install

รายงานหลังจากติดตั้งเสร็จแล้ว
phpMyAdmin-2.9.0.2 has been installed into:

/usr/local/www/phpMyAdmin

Please edit config.inc.php to suit your needs.

To make phpMyAdmin available through your web site, I suggest
that you add something like the following to httpd.conf:

Alias /phpmyadmin/ "/usr/local/www/phpMyAdmin/"


Options none
AllowOverride Limit

Order Deny,Allow
Deny from all
Allow from 127.0.0.1 .example.com


===> Registering installation for phpMyAdmin-2.9.0.2

asterisk ไม่ทำงาน

ตอนเช้าของทุกวัน asterisk จะค้างไม่ทำงาน โทรออกไม่ได้ reboot ก็ยังเหมือนเดิม ต้อง shutdown เครื่องประมาณ 2-3 นาที แล้ว boot ใหม่กลับใช้ได้ปกติ เมื่อ login ที่ terminal จะมีข้อความตามรูปนี้ครับ ยังไม่รู้จะแก้ยังไง

บันทึกช่วยจำ :VoIP : sip.conf

ระหว่างที่รออบรมกับอาจารย์ 27-28 นี้ ก็เลยลอง config ตามหนังสือไปพลาง ๆ ก่อน กับ Server Acer Altos G330 Mk2 ใส่ X400P เข้าไป
ลง freeBSD6.2 และ asterisk ตามหนังสือเรียบร้อย วันนี้มีเวลา เลยเริ่ม config ไฟล์ต่าง ๆ เริ่มที่ pico /usr/local/etc/asterisk/sip.conf ตามนี้ครับ (ตั้งเลขหมายตามห้องและอาคารต่าง ๆ )
[general]
context=default
port=5060
externhost=thanyarat.ac.th ; ชื่อ domain ของเรา
localnet=192.168.212.0/255.255.255.0 ; ไอพีของเน็ตเวิร์คเราครับ
nat=yes

[111]
type=friend
host=dynamic
username=111
secret=111
[112]
type=friend
host=dynamic
username=112
secret=112
[113]
type=friend
host=dynamic
username=113
secret=113
[114]
type=friend
host=dynamic
username=114
secret=114
[121]
type=friend
host=dynamic
username=121
secret=121
[122]
type=friend
host=dynamic
username=122
secret=122
[123]
type=friend
host=dynamic
username=123
secret=123
[124]
type=friend
host=dynamic
username=124
secret=124
[125]
type=friend
host=dynamic
username=125
secret=125
[126]
type=friend
host=dynamic
username=126
secret=126
[127]
type=friend
host=dynamic
username=127
secret=127
[128]
type=friend
host=dynamic
username=128
secret=128
[133]
type=friend
host=dynamic
username=133
secret=133
[134]
type=friend
host=dynamic
username=134
secret=134
[135]
type=friend
host=dynamic
username=135
secret=135
[136]
type=friend
host=dynamic
username=136
secret=136
[141]
type=friend
host=dynamic
username=141
secret=141
[143]
type=friend
host=dynamic
username=143
secret=143
[211]
type=friend
host=dynamic
username=211
secret=211
[212]
type=friend
host=dynamic
username=212
secret=212
[213]
type=friend
host=dynamic
username=213
secret=213
[214]
type=friend
host=dynamic
username=214
secret=214
[221]
type=friend
host=dynamic
username=221
secret=221
[222]
type=friend
host=dynamic
username=222
secret=222
[223]
type=friend
host=dynamic
username=223
secret=223
[224]
type=friend
host=dynamic
username=224
secret=224
[226]
type=friend
host=dynamic
username=226
secret=226
[230]
type=friend
host=dynamic
username=230
secret=230
[234]
type=friend
host=dynamic
username=234
secret=234
[240]
type=friend
host=dynamic
username=240
secret=240
[316]
type=friend
host=dynamic
username=316
secret=316
[326]
type=friend
host=dynamic
username=326
secret=326
[411]
type=friend
host=dynamic
username=411
secret=411
[421]
type=friend
host=dynamic
username=421
secret=421
[422]
type=friend
host=dynamic
username=422
secret=422
[426]
type=friend
host=dynamic
username=426
secret=426
[436]
type=friend
host=dynamic
username=436
secret=436
[446]
type=friend
host=dynamic
username=446
secret=446
[520]
type=friend
host=dynamic
username=520
secret=520
[531]
type=friend
host=dynamic
username=531
secret=531
[532]
type=friend
host=dynamic
username=532
secret=532
[533]
type=friend
host=dynamic
username=533
secret=533
[534]
type=friend
host=dynamic
username=534
secret=534
[540]
type=friend
host=dynamic
username=540
secret=540
[541]
type=friend
host=dynamic
username=541
secret=541
[550]
type=friend
host=dynamic
username=550
secret=550
[560]
type=friend
host=dynamic
username=560
secret=560
[570]
type=friend
host=dynamic
username=570
secret=570
[580]
type=friend
host=dynamic
username=580
secret=580
[590]
type=friend
host=dynamic
username=590
secret=590

ติดตั้ง SIS6.0.1 ให้กับโรงเรียนประถม

เมื่อวันที่ 7/5/52 ที่ผ่านมา ได้ฤกษ์ไปติดตั้ง Linux sis6.0.1 (http://www.opentle.org)ให้กับ โรงเรียนระดับประถมศึกษาแห่งหนึ่งซึ่งได้รับงบประมาณ จาก สพฐ. มี server พร้อม M$-2003Server และ เครื่อง cient รวมแล้วประมาณ 20 เครื่อง หลังจากติดตั้งเสร็จซึ่งใช้เวลาไม่ถึง 30 นาที ก็ปรับแต่ง เปิดบริการ DNS proxy dhcp ก็ใช้งานได้เลย ไม่เปิดการตรวจสอบตัวตนตาม พรบ. เพราะเกรงว่าจะทำความยุ่งยากให้กับผู้ใช้งานครับ ง่ายดีครับ สำหรับผู้ต้องการทำ Server องค์กรขนาดไม่ใหญ่มาก

โครงสร้างโลก

ยินดีต้อนรับสู่ InnoTech4All

ยินดีต้อนรับสู่ InnoTech4All สำหรับสมาชิก TCU e-pro ทุกท่านครับ