วันศุกร์ที่ 16 ตุลาคม พ.ศ. 2552
วันเสาร์ที่ 10 ตุลาคม พ.ศ. 2552
Ubiquitous Computing
Ubiquitous Computing หมายถึง การนำคอมพิวเตอร์เข้ามาเป็นส่วนหนึ่งของการดำรงชีวิต รูปลักษณะของคอมพิวเตอร์จะแฝงอยู่ในรูปของเครื่องใช้ต่าง ๆ เช่น เครื่องแต่งกาย เครื่องมือสื่อสาร ยานพาหนะเครื่องอำนวยความสะดวกในบ้าน และฝังตัวอยู่ในสรรพสิ่งรอบตัวเรา สารสนเทศที่ได้จากการประมวลผล สามารถเชื่อมโยงซึ่งกันและกันระหว่างอุปกรณ์ผ่านระบบเครือข่ายความเร็วสูง(http://guru.sanook.com/pedia/topic/Ubiquitous_Computing)
หรืออีกความหมายหนึ่ง (Ubiquitous society) หรือ ยูบิคอมบ์ (Ubicomp) เป็นทำให้เกิด สภาพแวดล้อมของการสื่อสารใหม่และเป็นแนวโน้มของสังคมสารสนเทศ ยูบิควิตัส เป็นภาษาลาติน มีความหมายว่า อยู่ในทุกแห่ง หรือ มีอยู่ทุกหนทุกแห่ง มาร์ค ไวเซอร์ (Mark Weiser) แห่งศูนย์วิจัย Palo Alto ของบริษัท Xerox ประเทศสหรัฐอเมริกา ได้ให้คำนิยาม "ยูบิควิตัสคอมพิวติง" ไว้ว่า เราสามารถเข้าถึงคอมพิวเตอร์ได้ทุกหนทุกแห่ง-สภาพแวดล้อมที่สามารถใช้คอมพิวเตอร์เชื่อมต่อกับเครือข่าย ไม่ว่าจะอยู่ในที่แห่งใด ( http://www.kasidetp.com/e-learning/ICT%20for%20life_files/frame.htm#slide0051.htm)
http://www.oki.com/en/profile/vision/e_society.html
ชัยธร ลิมาภรณ์วณิชย์ ผู้จัดการโครงการสำนักงานนวัตกรรมแห่งชาติ กล่าวถึง Ubiquitous Computing ไว้ดังนี้
“Ubiquitous” ถ้าแปลตรงตัวคือ “เป็นที่พบเห็นได้ทั่วไป” ดังนั้น Ubiquitous Computing ก็คือหน่วยประมวลผลที่สามารถพบเห็นได้ทั่วไป ไม่ว่าจะเป็นอุปกรณ์เครื่องใช้ใดก็แล้วแต่ที่อยู่รอบตัวเรา รูปแบบของเทคโนโลยี Ubiquitous Computing มักเน้นไปที่อุปกรณ์ที่ผู้ใช้แทบไม่รู้เลยว่ากำลังใช้งานอุปกรณ์คอมพิวเตอร์อยู่ในระหว่างการดำเนินชีวิตประจำวันไปตามปกติ หรือกล่าวอีกนัยหนึ่งคือ อุปกรณ์ประมวลผลที่สามารถผสมผสานกับการดำเนินชีวิตของผู้ใช้โดยที่ไม่เปลี่ยนแปลงรูปแบบการดำเนินชีวิต
จึงทำให้อุปกรณ์เหล่านี้สามารถเข้าถึงกลุ่มผู้ใช้ได้มากยิ่งขึ้นจนในอนาคตอันสั้นเราอาจกล่าวได้ว่า วิถีการดำเนินชีวิตประจำวันนั้นจะดำเนินไปได้ด้วยความช่วยเหลือจากอุปกรณ์คอมพิวเตอร์แบบ Ubiquitous Computing เหล่านี้ทั้งหมดเลยก็ว่าได้ แนวคิดของ Ubiquitous Computing ได้ถูกนิยามโดย Mark Weiser ตั้งแต่ปี พ.ศ. 2531 ซึ่งถ้าย้อนไปเมื่อยุคสมัยนั้น อุปกรณ์คอมพิวเตอร์แทบไม่มีให้พบเห็นสำหรับบุคคลทั่วไปเลย มีใช้กันแต่เพียงบางกลุ่มคนเท่านั้น แต่ Weiser ได้คาดการณ์แนวโน้มของการใช้งานอุปกรณ์คอมพิวเตอร์ในอนาคตตามนิยามของ Ubiquitous Computing ไว้ดังต่อไปนี้
1)อุปกรณ์คอมพิวเตอร์มีไว้สำหรับช่วยเหลือผู้ใช้ทำการกระทำสิ่งใดสิ่งหนึ่ง
2) อุปกรณ์คอมพิวเตอร์ที่ดีนั้นเปรียบเสมือนผู้รับใช้ที่ไม่สามารถมองเห็นได้
3) อุปกรณ์คอมพิวเตอร์ควรเพิ่มทักษะและความสามารถให้กับผู้ใช้ในการใช้งานอุปกรณ์นั้นๆ
4) อุปกรณ์คอมพิวเตอร์ที่ดีควรทำงานได้โดยไม่ต้องให้ผู้ใช้สั่งงาน
จากนิยามข้อแรก เป็นคำนิยามสำหรับเครื่องคอมพิวเตอร์ ทุกเครื่องอยู่แล้ว นับตั้งแต่คอมพิวเตอร์เครื่องแรกของโลกก็ถูกสร้างขึ้นเพื่อช่วยเหลือผู้ใช้ในการคำนวนทางคณิตศาสตร์
นิยามข้อที่สอง หมายถึง เมื่อเรามีอุปกรณ์คอมพิวเตอร์อยู่ก็เปรียบเสมือนเรามีผู้รับใช้ที่ล่องหนได้อยู่ ซึ่งนิยามข้อนี้จะเป็นจริงได้ เมื่อรูปแบบการสื่อสารระหว่างผู้ใช้กับอุปกรณ์คอมพิวเตอร์ คล้ายกับรูปแบบที่มนุษย์ใช้ติดต่อสื่อสารกัน กล่าวคืออุปกรณ์คอมพิวเตอร์จะต้องสามารถรับคำสั่งการทำงานได้เสมือนกับมนุษย์ที่รับคำสั่งด้วยประสาทสัมผัสต่างๆ ของตนได้ การรับคำสั่งโดยการใช้ตาดูสำหรับมนุษย์นั้น สิ่งสำคัญคือการระบุตัววัตถุและทราบถึงตำแหน่งวัตถุนั้นๆ ซึ่งต้องอาศัยเทคโนโลยีในการประมวลผลภาพเข้ามาช่วย ถึงแม้เทคโนโลยีนี้จะมีงานวิจัยให้พบเห็นได้ทั่วไป แต่ยังมีข้อจำกัดในการใช้งานจริงจึงมีปรากฏให้พบเห็นไม่บ่อยครั้ง ดังนั้น จึงมีการนำเทคโนโลยีอื่นๆมาประยุกต์ใช้เพื่อทดแทนหรือช่วยในการประมวลผลภาพ อาทิ เทคโนโลยี RFID สำหรับการระบุตัววัตถุ เทคโนโลยี GPS สำหรับการระบุตำแหน่งของวัตถุ เนื่องจากเทคโนโลยีเหล่านี้สามารถประยุกต์ใช้งานจริงและมีต้นทุนการใช้งานที่ต่ำกว่า
สำหรับการรับคำสั่งด้วยการฟังนั้น อุปกรณ์คอมพิวเตอร์จะใช้ไมโครโฟนเป็นสื่อกลางในการรับสัญญาณเสียงจากผู้ใช้งาน ข้อมูลเสียงที่จะเข้ามาในระบบนั้นมีทั้งในรูปแบบของเสียงทั่วไปและรูปแบบของเสียงพูด ซึ่งล้วนแล้วแต่ต้องใช้เทคโนโลยีการประมวลผลสัญญาณเสียง โดยอาศัยระบบรู้จำเสียงพูดซึ่งเป็นการนำเอาสัญญาณสเปกตรัมที่ได้จากการแปลงผ่านระบบประมวลผลสัญญาณเสียงมาแปลงให้เป็นคำสั่งที่เครื่องคอมพิวเตอร์สามารถเข้าใจได้ สำหรับในภาษาอังกฤษมีใช้งานกันอยู่บ้าง เช่น ระบบสั่งงานด้วยเสียงบนโทรศัพท์มือถือบางรุ่น เป็นต้น แต่สำหรับในภาษาไทยมีใช้งานกันในเฉพาะกลุ่มนักวิจัย เช่น ระบบต่อสายโทรศัพท์อัตโนมัติโดยใช้เสียง เป็นต้น แต่ยังไม่พบเห็นในรูปแบบของผลิตภัณฑ์ที่มีการต่อยอดออกสู่เชิงพาณิชย์
นิยามในข้อที่สามนี้ตรงกับเทคโนโลยีในยุคปัจจุบันที่เรียกว่าเทคโนโลยีระบบฝังตัว ซึ่งเป็นการฝังหน่วยประมวลผลขนาดเล็กหรือไมโครโพรเซสเซอร์ลงไปในอุปกรณ์หนึ่ง เพื่อให้ผู้ใช้สามารถใช้งานอุปกรณ์นั้นได้สะดวกและมีประสิทธิภาพยิ่งขึ้น เช่น ระบบปรับสมดุลขณะเข้าโค้งที่ฝังตัวอยู่ภายในรถยนต์บางรุ่น ระบบนี้เป็นการฝังหน่วยประมวลผลซึ่งจะรับคำสั่งจากสภาพแวดล้อมที่เปลี่ยนไป เช่น ความเร็ว สภาพพื้นผิวของถนน เป็นต้น
สำหรับในนิยามข้อสุดท้ายซึ่งถือได้ว่าเป็นจุดสูงสุดของเทคโนโลยี Ubiquitous Computing เนื่องจากเป็นการหลอมรวมเอาเทคโนโลยีคอมพิวเตอร์เข้าไปไว้ในชีวิตประจำวันของมนุษย์ได้อย่างสมบูรณ์แบบ โดยมนุษย์ไม่ต้องไปยุ่งเกี่ยวกับเทคโนโลยีเหล่านี้เลย ซึ่งเทคโนโลยีในหัวข้อนี้จะต้องผนวกรวมเอาเทคโนโลยีสำหรับการรับคำสั่งที่กล่าวมาทั้งหมด ประกอบกับการนำเอาเทคโนโลยีปัญญาประดิษฐ์มาใช้ในการตัดสินใจว่าควรจะโต้ตอบกับผู้ใช้อย่างไรได้โดยอัตโนมัติ เช่น ระบบการผลิตแบบอัตโนมัติ
จากนิยามทั้ง 4 ของ Weiser แสดงให้เห็นถึงแนวทางในการพัฒนานวัตกรรมที่เกี่ยวข้องกับอุปกรณ์ประมวลผล ที่มุ่งไปสู่การอำนวยความสะดวกและส่งเสริมกิจกรรมต่างๆ ในชีวิตประจำวันของผู้ใช้ ดังนั้นการพัฒนาและสร้างสรรค์นวัตกรรมในปัจจุบัน จึงอาศัยแนวคิดในการมองความต้องการและความสะดวกในการใช้งานของผู้ใช้เป็นหัวใจสำคัญ เพื่อให้ผลิตภัณฑ์ได้รับการยอมรับในการใช้งานและช่วยอำนวยประโยชน์ รวมถึงสร้างมูลค่าเพิ่มในกิจกรรมต่างๆ ในชีวิตประจำวัน
ตัวอย่างผลกระทบและความเปลี่ยนแปลงที่เกิดขึ้นในปัจจุบันของ Ubiquitous Computing
1. มนุษยเอาชนะความบกพรองทางรางกาย
คอมพิวเตอรอาจเปลี่ยนแปลงลักษณะการรับรูและประสาทสัมผัสของผูที่บกพรองทางรางกายไดยกตัวอยางเชน ชาวอเมริกันสวนหนึ่งมีปญหาทางสายตาอยางรุนแรง ซึ่งปญหานี้มิอาจแกไขไดดวยแวนตาธรรมดา Ubiquitous Computing ของ MIT แกปญหาโดยใชคอมพิวเตอรขนาดเล็กที่ออกแบบเปนแวนตาซึ่งติดกลองดิจิตอลและจอแสดงผลใหผูปวยใสเปน wearable computer นอกจากเทคโนโลยีเกี่ยวกับแสงแล้ว Ubiquitous Computing ยังประยุกต์กับเสียงไดดวย
2. ระบบการเก็บขอมูลที่สะดวกและแมนยําบอยครั้งที่มนุษยมีปญหาในการจําขอมูลที่แนชัดไมไดโดยเฉพาะอยางยิ่งขอมูลที่เปนตัวเลขดวยเหตุนี้ MIT MediaLab ไดพัฒนา Remembrance Agent
ซึ่งเปนเครื่องชวยจําคลายๆกับอุปกรณ PDAใน ปจจุบันเพียงแตอุปกรณดังกลาวเปนอุปกรณที่สวมใสไดและเชื่อมเขากับฐานขอมูลผานระบบWirelessNetworkเมื่อใกลถึงเวลานัดหมายก็จะเปลงเสียงเตือนและยังสามารถเชื่อมกับอุปกรณแวนตาเพื่อแสดงขอมูลสําคัญที่เราตองการใหปรากฏซึ่งการใชงานนั้นใชการสั่งงานดวยเสียง
http://quantumcinema.blogspot.com/2008/01/ubiquitous-computing.html
IT Security Audit ตอน 12
การบริหารจัดการและการกำกับดูแลสารสนเทศที่ดี (IT governance) ครอบคลุมถึง
- Control of the work -- มีมาตรการควบคุมงานที่ดี
- Co-ordination between different pieces of work -- มีการประสานงานที่ดีเพื่อให้งานลุล่วง
- Measurement of outcome -- มีการวัดความสำเร็จของงานเพื่อปรับปรุงแก้ไขตามความเหมาะสม
- Compliance with internal policy or regulation – มีการตรวจสอบเพื่อให้เป็นไปตามนโยบาย ระเบียบ กฎหมาย หรือข้อบังคับภายนอกอื่นๆ ที่องค์กรต้องปฏิบัติตาม
- Justification of spending -- มีการควบคุมการใช้จ่ายตามงบประมาณที่กำหนดไว้
- Accountability and transparency -– มีผู้รับผิดชอบชัดเจนแยกตามกระบวนการต่างๆ ตรวจสอบการปฏบัติได้ และมีความโปร่งใสที่สามารถตรวจสอบได้ในแต่ละระดับจากบนลงสู่ล่าง (องค์กร ฝ่ายสารสนเทศ กระบวนการสารสนเทศ กิจกรรมของกระบวนการสารสนเทศ)
- Connecting with the needs of customers, the broader organisation, and other stakeholders – ตอบสนองหรือตรงตามความต้องการของลูกค้า องค์กร และผู้ที่มีผลประโยชน์เกี่ยวข้อง
IT Governance Focus Areas
บรรณานุกรม
[1] พิมพ์กมล ศรีสวัสดิ์ 2551 : การประเมินความเสี่ยงจากการใช้เทคโนโลยีสารสนเทศด้วย Cobit
[2] บรรจง หะรังษี และทีมงาน : เอกสารประกอบการบรรยายหลักสูตรมาตรฐานและกระบวนการตรวจสอบและควบคุมคุณภาพด้านเทคโนโลยีสารสนเทศ อ้างอิงตาม กรอบมาตรฐาน COBIT 4.1 และ
ISO/IEC 27001
[3] http://www.acisonline.net/article/?p=5
[3] http://www.oknation.net/blog/sathorn69/2009/08/20/entry-1
[4] http://www.isaca-bangkok.org/cobit.html
[5] http://www.positioningmag.com/prnews/prnews.aspx?id=59833
[6] http://www.tlaa.org/seminar/20090522-COBIT/02-1030-1105.pdf
IT Security Audit ตอน 11
สถาบันไอทีภิบาล (ITGI) ได้จัดพิมพ์มาตรฐาน COBIT 4.1 ซึ่งเป็นเวอร์ชันปรับปรุงใหม่ของกรอบแนวทางด้านไอทีภิบาล COBIT (Control Objectives for Information and related Technology) ซึ่งจะนำเสนอมาตรฐานการปฏิบัติสากลที่เชื่อถือได้และได้รับการยอมรับกันกันโดยทั่วไป ซึ่งจะช่วยคณะกรรมการ ผู้บริหารและผู้จัดการในการเพิ่มมูลค่าเทคโนโลยีสารสนเทศ (ไอที) และลดความเสี่ยงที่เกี่ยวข้อง
COBIT ซึ่งมีการใช้กันอย่างกว้างขวางเพื่อเป็นเครื่องมือสำหรับการปฏิบัติตามกฏหมาย Sarbanes-Oxley และมาตรฐานอื่นๆของโลกนั้น เกิดขึ้นก่อนกฏหมายควบคุมที่มีการใช้กันทั่วโลก โดยเป็นผลของการวิจัยและความร่วมมือมานาน 15 ปีระหว่างผู้เชี่ยวชาญด้านไอทีและธุรกิจทั่วโลก และเป็นกรอบมาตรฐานสากลที่รวมมาตรฐานหลักๆด้านไอทีทั้งหมดในโลกเข้าเป็นหนึ่งเดียว รวมถึงมาตรฐาน ITIL, CMMI และ ISO17799 โดยท่านสามารถดาวน์โหลดเวอร์ชันใหม่ของกรอบมาตรฐานดังกล่าวได้โดยไม่เสียค่าใช้จ่ายจาก ITGI ซึ่งเป็นองค์กรอิสระที่ไม่หวังผลกำไรได้ที่ www.itgi.org
COBIT 4.1 เป็นเวอร์ชันปรับปรุงของกรอบมาตรฐานที่ได้รับการยอมรับทั่วโลกซึ่งจะรับประกันว่าระบบไอทีจะเป็นไปตามเป้าหมายของธุรกิจ ทรัพยากรจะถูกใช้อย่างรับผิดชอบและมีการจัดการความเสี่ยงอย่างเหมาะสม COBIT 4.1 เป็นเวอร์ชันปรับปรุงของกรอบบาตรฐาน COBIT 4.0 และสามารถใช้เพื่อสนับสนุนการดำเนินงานตามมาตรฐาน COBIT เวอร์ชันก่อนหน้านี้ โดยส่วนที่มีการปรับปรุงในเวอร์ชัน COBIT 4.1 รวมถึงการวัดผลการดำเนินงาน, ปรับปรุงเป้าหมายการควบคุม และการปรับเป้าหมายของธุรกิจและไอทีให้สอดคล้องกันมากขึ้น
"COBIT เป็นกรอบการจัดการมาตรฐานเดียวซึ่งจะตอบสนองวงจรชีวิตที่สมบูรณ์ของการลงทุนด้านไอที กรอบมาตรฐานดังกล่าวจะสนับสนุนความสำเร็จด้านเป้าหมายธุรกิจไอที, รับประกันความสอดคล้องด้านไอทีและธุรกิจ รวมถึงปรับปรุงประสิทธิภาพและประสิทธิผลด้านไอที" นายโรเจอร์ เดบรีเซนี ประธานคณะทำงานด้าน COBIT ของ ITGI กล่าว "COBIT 4.1 ถูกสร้างขึ้นตามคำแนะนำที่เป็นไปได้ในทางปฏิบัติจากบรรดาผู้จัดการทั่วโลกที่ใช้กรอบมาตรฐานดังกล่าวเพื่อปรับปรุงการกำกับดูแลด้านไอทีในองค์กร ดังนั้นจึงเป็นแนวทางที่ได้รับการทดสอบและพิสูจน์แล้ว"
Gartner Prediction about Security
4 Phases of Information Security Maturity
An Integrated Approach To Governance, Risk & Compliance (GRC)
http://www.tlaa.org/seminar/20090522-COBIT/02-1030-1105.pdf
IT Security Audit ตอน 10
การนำระบบเทคโนโลยีสารสนเทศเข้ามาใช้ เพื่อสนับสนุนการทำงานและกลยุทธ์ต่างๆ ขององค์กร จะสามารถประสบความสำเร็จได้นั้น องค์กรจะต้องมีการกำหนดหน้าที่ความรับผิดชอบต่างๆ ให้ชัดเจน และพนักงานทุกคนจะต้องเข้าใจว่าอะไรคือสิ่งที่ได้จากการนำเทคโนโลยีสารสนเทศเข้ามาใช้ และจะใช้สิ่งต่างๆ เหล่านั้นให้เกิดประโยชน์ได้อย่างไร ซึ่งโคบิตได้จัดเตรียมเนื้อหาที่ครอบคลุมในเรื่องของการบริหารจัดการเทคโนโลยีสารสนเทศที่นำมาใช้ในองค์กร โดยจะแบ่งออกเป็น 4 โดเมนหลักๆ ซึ่งมีรายละเอียดดังนี้
1.การวางแผนและการจัดองค์กร (Plan and Organize : PO)
เนื้อหาในโดเมนนี้ครอบคลุมในเรื่องของกลยุทธ์และวิธีการที่นำมาใช้ในองค์กร โดยจะเน้นในเรื่องของการกำหนดวิธีที่จะทำให้เทคโนโลยีสารสนเทศ มีบทบาทสำคัญ เพื่อให้สารสนเทศนั้นสามารถตอบสนองความต้องการทางด้านธุรกิจขององค์กรได้ ซึ่งการกำหนดกลยุทธ์ที่สามารถนำมาใช้ได้จริงนั้นจำเป็นที่จะต้องมีการวางแผน มีการบริหารจัดการที่ดี และต้องมีการสื่อสารให้พนักงานทั้งองค์กรรับทราบร่วมกัน และท้ายสุด องค์กรจำเป็นต้องมีการจัดวางโครงสร้างพื้นฐานด้านเทคโนโลยีสารสนเทศที่เหมาะสม จากเนื้อหาในโดเมนนี้จะทำให้ผู้บริหารสามารถตอบคำถามต่างๆ เหล่านี้ได้
- ทำให้ผู้บริหารทราบว่ากลยุทธ์ทางด้าน IT และกลยุทธ์ทางด้านธุรกิจเป็นไปในทิศทางเดียวกันหรือไม่
- ประสิทธิภาพและคุณภาพของระบบ IT ที่องค์กรนำมาใช้ มีความเหมาะสมกับความต้องการทางด้านธุรกิจหรือไม่
- เพื่อให้ผู้บริหารสามารถทราบได้ว่าองค์กรกำลังประสบความสำเร็จด้วยการใช้ทรัพยากรต่างๆ อย่างเต็มที่หรือไม่
- เพื่อให้ทราบได้ว่าพนักงานในองค์กรมีความเข้าใจในวัตถุประสงค์ขององค์กรหรือไม่
- เพื่อให้ทราบว่าผู้ปฏิบัติงานมีความรู้ความเข้าใจในความเสี่ยงทางด้าน IT ที่เกี่ยวข้องกับการปฏิบัติงานของตนหรือไม่ และจะมีวิธีการบริหารจัดการกับความเสี่ยงดังกล่าวได้อย่างไร
2.การจัดหาและนำระบบออกใช้งานจริง (Acquire and Implement : AI)
เนื้อหาในโดเมนนี้จะเน้นที่เรื่องของการทำให้กลยุทธ์ที่ได้กำหนดไว้ประสบผลสำเร็จ ซึ่งการดำเนินงานตามกลยุทธ์ที่ได้วางไว้นั้น จะต้องมีการระบุ พัฒนาหรือจัดซื้อจัดหา นำไปติดตั้งใช้งาน รวมถึงการผนวกรวมเทคโนโลยีสารสนเทศเข้าเป็นส่วนหนึ่งของกระบวนการทางธุรกิจ และในโดเมนนี้ยังรวมถึงการเปลี่ยนแปลงและการดูแลรักษาระบบงานที่องค์กรมีอยู่ เพื่อให้สามารถมั่นใจได้ว่าเทคโนโลยีสารสนเทศยังคงสามารถสนับสนุนการทำงาน และวัตถุประสงค์ของธุรกิจได้อยู่ตลอดเวลา จากเนื้อหาในโดเมนนี้จะทำให้ผู้บริหารสามารถตอบคำถามต่างๆ เหล่านี้ได้
- โครงการด้านเทคโนโลยีสารสนเทศใหม่ที่กำลังพัฒนาหรือจัดหานั้น สามารถนำมาใช้เพื่อแก้ไขปัญหาหรือสร้างประโยชน์ให้กับธุรกิจได้หรือไม่
- โครงการที่กำลังพัฒนาหรือจัดหานั้น สามารถนำมาใช้งานได้ทันตามระยะเวลาและงบประมาณที่กำหนดไว้หรือไม่
- ระบบใหม่ที่นำมาใช้งานนั้น สามารถทำงานได้อย่างมีประสิทธิภาพ ตรงตามความต้องการของธุรกิจหรือไม่
- การเปลี่ยนแปลงที่เกิดขึ้นทำให้เกิดผลเสียต่อการปฏิบัติงานของธุรกิจในปัจจุบันหรือไม่
3.การส่งมอบและการสนับสนุน (Delivery and Support : DS)
เนื้อหาในโดเมนนี้ จะเน้นในเรื่องของการส่งมอบบริการด้านเทคโนโลยีสารสนเทศเมื่อมีความต้องการจากภาคธุรกิจ ซึ่งรวมตั้งแต่การส่งมอบบริการ การดำเนินงานด้านการรักษาความปลอดภัยและความต่อเนื่องของการให้บริการ การบริหารจัดการสารสนเทศและอุปกรณ์อำนวยความสะดวกต่างๆ ที่ใช้ในการปฏิบัติงาน ไปจนถึงการฝึกอบรมพนักงานเพื่อให้มีความรู้ในเรื่องของเทคโนโลยีสารสนเทศที่เกี่ยวข้องกับงานที่ตนเองปฏิบัติ จากเนื้อหาในโดเมนนี้จะทำให้ผู้บริหารสามารถตอบคำถามต่างๆ เหล่านี้ได้
- การให้บริการด้านเทคโนโลยีสารสนเทศสามารถสนับสนุนกรปฏิบัติงานด้านธุรกิจได้อย่างสอดคล้องกับเป้าหมายและวัตถุประสงค์ของธุรกิจหรือไม่
- ต้นทุนด้านเทคโนโลยีสารสนเทศที่ใช้ไปคุ้มค่าแล้วหรือไม่
- การปฏิบัติงานต่างๆ ขององค์กรสามารถที่จะใช้งานระบบสารสนเทศได้อย่างมีประสิทธิภาพและเกิดความปลอดภัยหรือไม่
- ระบบเทคโนโลยีสารสนเทศที่ใช้อยู่ในปัจจุบันมีการรักษาความลับ (Confidentiality) ความถูกต้องตรงกัน (Integrity) และความพร้อมใช้งาน (Availability) เพียงพอแล้วหรือไม่
4.การติดตามและประเมินผล (Monitor and Evaluate)
เนื้อหาในโดเมนนี้จะเน้นในเรื่องของการตรวจสอบติดตาม และประเมิน ผลของระบบเทคโนโลยีสารสนเทศ โดยกระบวนการด้านเทคโนโลยีสารสนเทศทั้งหมดจะต้องได้รับการประเมินอยู่เสมอ เพื่อรับประกันได้ถึงคุณภาพและการปฏิบัติตามขอบังคับของการควบคุม ในโดเมนนี้จะเป็นการระบุถึงการบริหารจัดการในด้านของประสิทธิภาพของระบบสารสนเทศ ซึ่งจะต้องได้รับการประเมินจากผู้ตรวจสอบทั้งภายในและภายนอกองค์กร จากเนื้อหาในโดเมนนี้จะทำให้ผู้บริหารสามารถตอบคำถามต่างๆ เหล่านี้ได้
- มีการประเมินหรือวัดประสิทธิภาพของระบบเทคโนโลยีสารสนเทศ เพื่อตรวจหาปัญหาก่อนที่ปัญหานั้นจะเกิดขึ้นจริงหรือไม่
- ผู้บริหารจะสามารถมั่นใจได้อย่างไรว่าการควบคุมต่างๆ ที่องค์กรนำมาใช้นั้นมีประสิทธิภาพและประสิทธิผลจริง
- ประสิทธิภาพของระบบเทคโนโลยีสารสนเทศที่มีอยู่นั้นสามารถสนับสนุนเป้าหมายทางด้านธุรกิจหรือไม่
- มีการวัดผลและรายงานในเรื่องของความเสี่ยง การควบคุม การปฏิบัติตามกฎ และประสิทธิภาพ ไปยังผู้บริหารระดับสูงขององค์กรหรือไม่
IT Security Audit ตอน 9
โคบิตสนับสนุนในเรื่องของธรรมภิบาลด้านเทคโนโลยีสารสนเทศโดยมีการจัดเตรียมกรอบวิธีปฏิบัติต่างๆ เพื่อต้องการให้แน่ใจว่า :
- เทคโนโลยีสารสนเทศที่นำมาใช้จะเป็นไปในทิศทางเดียวกันกับธุรกิจขององค์กร
- เทคโนโลยีสารสนเทศสามารถที่จะสนับสนุนความต้องทางด้านธุรกิจได้อย่างเต็มประสิทธิภาพ
- ทรัพยากรด้านเทคโนโลยีสารสนเทศถูกใช้อย่างเหมาะสม
- สามารถจัดการความเสี่ยงทางด้านเทคโนโลยีสารสนเทศได้อย่างเหมาะสม
ประโยชน์ของการนำโคบิตมาใช้
การนำโคบิตมาประยุกต์ใช้ในองค์กรสามารถสร้างประโยชน์หลายประการให้แก่องค์กร ดังนี้ :
- ทำให้ธุรกิจและเทคโนโลยีสารสนเทศดำเนินไปในทิศทางเดียวกัน โดยให้ภาคธุรกิจเป็นเป้าหมายหลักในการดำเนินนโยบาย
- เกิดการแบ่งปันในส่วนของความรู้และความเข้าใจให้กับผู้ที่มีส่วนเกี่ยวข้องทุกคน โดยเป็นการใช้ภาษาเดียวกันทำให้เกิดความเข้าใจที่ตรงกัน
- ทำให้เกิดความเข้าใจมุมมองหรือภาพรวมในเรื่องของการนำเทคโนโลยีสารสนเทศเข้ามาใช้ในการจัดการด้านธุรกิจขององค์กรอย่างไร
- ทำให้เกิดความกระจ่างในเรื่องของบทบาท หน้าที่ความรับผิดชอบ และความเป็นเจ้าของ ในการปฏิบัติงานของพนักงานในองค์กร เพื่อให้เกิดความไว้วางใจและการยอมรับกันอย่างแพร่หลายจากองค์กรหรือบริษัทภายนอกที่เกี่ยวข้องและผู้วางกฎระเบียบ (regulator) ต่างๆ
IT Security Audit ตอน 7
- ข้อมูล (Data) รวมความถึงข้อมูลในรูปแบบต่างๆทั้งที่มีโครงสร้างและไม่มีโครงสร้าง ข้อมูลด้านกราฟฟิค และข้อมูลที่เป็นเสียง
- ระบบงาน (Application System) ได้แก่ขั้นตอนและกระบวนการปฎิบัติงานทั้งที่ทำด้วยมือและโปรแกรมคอมพิวเตอร์
- Technology ได้แก่ เครื่องคอมพิวเตอร์ (hardware) โปรแกรมระบบ (Operating Systems) ระบบบริหารฐานข้อมูล (database management system) ระบบเครือข่าย (Networking) และระบบมัลติมีเดีย
- Facilities ได้แก่ทรัพยากรต่างๆที่ใช้เป็นสถานที่ติดตั้งหรือจัดวาง ตลอดจนสาธารณูปโภคที่จำเป็นเพื่อการปฎิบัติงานของระบบสารสนเทศ
- บุคลากร (People) ได้แก่บุคคลากรที่มีความรู้ความชำนาญในการบริหารและปฎิบัติงาน สำหรับการดูแลและจัดทำระบบสารสนเทศ
รูป Cobit cube
IT Security Audit ตอน 6
ประสิทธิภาพ (Effectiveness) หมายถึงข้อมูลที่ใช้เกี่ยวข้องกับกระบวนการทางธุรกิจ รวมทั้งมีการส่งมอบข้อมูลแก่ผู้ใช้อย่าง ถูกต้อง ตรงเวลา สม่ำเสมอ (Consistent) และใช้ประโยชน์ได้ (Usable)
ประสิทธิผล (Efficiency) หมายถึง มีการใช้ประโยชน์จากทรัพยากรอย่างเต็มที่เพื่อให้ได้มาซึ่งข้อมูลสารสนเทศ
ความลับ (Confidentiality) หมายถึง การป้องกันการเปิดเผยข้อมูลที่สำคัญต่อบุคคลหรือหน่วยงานที่ไม่ได้รับอนุญาต ความสมบูรณ์ (Integrity) หมายถึงความครบถ้วนถูกต้องของข้อมูล ตลอดจนเป็นข้อมูลใช้ได้(Validity) ในแง่ของความคาดหมายและการให้ความสำคัญของธุรกิจ (business values and expectations)
การมีใช้เมื่อต้องการ (Availability) หมายถึง เป็นข้อมูลที่เรียกใช้ได้เมื่อต้องการและจำเป็นใช้ ทั้งในปัจจุบันและอนาคต และรวมทั้งการป้องกันภัยให้กับทรัพยากรต่างๆที่จำเป็นและการรักษาระดับความสามารถในการทำงานของทรัพยากรเหล่านั้น
การปฎิบัติตามระบบ (Compliance) หมายถึง การที่ข้อมูลได้จัดทำขึ้นตามกฎ ระเบียบ ข้อบังคับ หลักเกณฑ์ ข้อตกลง หรือกฎหมาย ที่มีขึ้นเพื่อบังคับใช้ทั้งจากหน่วยงานภายในและภายนอกองค์กร เช่น ข้อบังคับของตลาดหลักทรัพย์ ประมวลกฎหมายภาษีอากร หลักการบัญชีที่ยอมรับโดยทั่วไป เป็นต้น
ความน่าเชื่อถือของข้อมูล (Reliability of Information) หมายถึงความสามารถในการจัดหาข้อมูลที่เหมาะสมให้แก่ผู้บริหารของกิจการเพื่อสามารถดำเนินธุรกิจและเพื่อให้สามารถจัดทำรายงานทางการเงินและรายงานที่จำเป็นอื่นๆภายใต้ความรับผิดชอบของผู้บริหาร
IT Security Audit ตอน 5
ในปัจจุบันองค์กรต่างๆ ต่างเล็งเห็นถึงประโยชน์ของเทคโนโลยีที่จะนำมาใช้ในการดำเนินงาน อย่างไรก็ดี องค์กรที่ได้รับความสำเร็จอย่างแท้จริงจากการนำเทคโนโลยีใช้ให้เกิดประโยชน์จะได้แก่องค์กรที่ผู้บริหารมีความรู้ความเข้าใจที่จะจัดการกับความเสี่ยงด้านการนำเทคโนโลยีมาใช้ในองค์กรอย่างเหมาะส การบริหารและจัดการความเสี่ยงด้านเทคโนโลยีจึงกลายเป็นส่วนที่มีนัยสำคัญในการบริหารจัดการความเสี่ยงขององค์กรโดยรวม โดยเฉพาะองค์กรที่มุ่งสู่การเป็นบรรษัทภิบาล (Good Corporate Governance) CoBIT หรือ Control Objectives for Information and Related Technologyเป็นทั้งแนวคิดและแนวทางการปฎิบัติ (Framework) เพื่อการควบคุมภายในที่ดีด้านเทคโนโลยีสำหรับองค์กรต่างๆที่จะใช้อ้างอิงถึงแนวทางการปฎิบัติที่ดี (Best Practice)ซึ่งสามารถนำไปปรับใช้ได้ในทุกองค์กรสำหรับกิจกรรมที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ โดยโครงสร้างของ CoBITâ ออกแบบอยู่บนพื้นฐานของกระบวนการทางธุรกิจ Business Process ซึ่งแบ่งเป็น 4 กระบวนการหลัก (Domain) ได้แก่ การวางแผนและการจัดการองค์กร (Planning and Organization) การจัดหาและติดตั้ง (Acquisition and Implementation) การส่งมอบและบำรุงรักษา (Delivery and Support) การติดตามผล (Monitoring)
ในแต่ละกระบวนการหลักข้างต้น CoBIT แสดงวัตถุประสงค์ของการควบคุมหลัก ( High-level Control Objectives รวมถึง34 หัวข้อ และในแต่ละหัวข้อจะประกอบด้วยวัตถุประสงค์ของการควบคุมย่อยลงไปอีกขั้นหนึ่ง (Detailed Control Objectives) รวมถึง 318หัวข้อย่อย พร้อมทั้งแนวทางการตรวจสอบ (Audit Guidelines) สำหรับแต่ละหัวข้ออีกด้วย ในแต่ละหัวข้อของวัตถุประสงค์ของการควบคุม CoBITแสดงถึงความสัมพันธ์ต่อปัจจัย 2 ประการ ได้แก่
- คุณภาพของระบบข้อมูล ประการ (Information Criteria)
- ทรัพยากรด้านเทคโนโลยี (IT Resources) 5 ประเภท
นอกจากโครงสร้างของ CoBIT ดังกล่าวข้างต้นแล้ว CoBIT ยังให้แนวทางสำหรับผู้บริหาร (Management Guidelines) เพื่อใช้ในการในการวัดผลการนำ CoBIT ไปใช้ในองค์กร โดยประกอบด้วย 4 ปัจจัยหลัก ได้แก่
• Maturity Model
• Critical Success Factors
• Key Goal Indicators
• Key Performance Indicators
IT Security Audit ตอน 4
ผู้ตรวจสอบมักนำ CobiT มาร่วมใช้งานโดยประกอบกับ ITIL self-assessment workbook เพื่อใช้ในการตรวจสอบการจัดการด้านการบริการของฝ่ายระบบสารสนเทศ CobiT นั้นจะมีองค์ประกอบพวก Key Goal และ Performance Indicators รวมไปถึง Critical Success Factors ของกระบวนการต่างๆ ซึ่งสิ่งนี้จะช่วยเสริมการทำงานของ ITIL เพื่อเป็นพื้นฐานของการจัดการกับกระบวนการของ ITIL จึงทำให้หลายๆองค์กรนั้นนำ Cobit มาใช้ร่วมกับ Framework ในเชิงลึกต่างๆ หลายๆกระบวนการของ CobiT ซึ่งอยู่ใน domain "Delivery & Support" (DS1, DS3, DS4, DS8, DS9 และ DS10) นั้นมีความสอดคล้องกับ กระบวนการของ ITIL เป็นอย่างมาก เช่น Service Level, Configuration, problem, incident, release, capacity, availability หรือ financial management อีกทั้งกระบวนการของ CobiT AI6 change management process เองก็สอดคล้องกับ ITIL ในแง่ของ change management process และ supporting processes อื่นๆเช่น Release management. ITIL นั้นไม่ครอบคลุม การจัดการโครงการ (PO10) แต่ Projects in Controlled Environments (PRINCE2) นั้นสามารถเข้ามาเสริมได้. (PRINCE2 นั้นเป็นมาตรฐานซึ่งเริ่มและใช้โดยรัฐบาลและภาคธุรกิจของอังกฤษ )
กล่าวโดยสรุป CobiT และ ITIL นั้นไม่สามารถแทนที่ซึ่งกันและกันได้ ดังนั้นเพื่อให้ได้ "ไอทีภิบาล" หรือ "IT governance" องค์กรจึงควรที่จะผนวกจุดแข็งของ CobiT และ ITIL เข้าด้วยกัน โดยยึด Framework ด้านการควบคุมของ CobiT เป็นกรอบความคิดในเชิงกว้างจากนั้นจึงนำ ITIL และ Framework อื่นๆเข้าร่วมเพื่อเพิ่มเติมในรายละเอียดของการนำไปปฏิบัติจริงต่อไป (eWeek Thailand ปักษ์แรก ประจำเดือน เดือนพฤษภาคม 2548 , Update Information : 24 มิถุนายน 2548 : http://www.oknation.net/blog/sathorn69/2009/08/20/entry-1)
IT Security Audit ตอน 3
ทุกวันนี้หลายองค์กรในประเทศไทยและทั่วโลก กำลังกล่าวถึงคำว่า "Best Practices" หรือมาตรฐานที่ควรนำมาเป็นแนวทางในการเตรียมระบบสารสนเทศขององค์กรให้พร้อมเข้าสู่ยุค IT Governance โดยที่ "Best Practices" ที่นิยมใช้กันได้แก่ มาตรฐาน ISO/IEC17799, CobiT และ ITIL เป็นต้น มาตรฐาน "CobiT" นั้นย่อมาจาก "Control OBjectives for Information and Related Technology" CobiT นั้นมีจุดประสงค์ในการสร้างความมั่นใจว่าการใช้ทรัพยากรด้านเทคโนโลยีสารสนเทศนั้นสอดคล้องกับวัตุประสงค์เชิงธุรกิจขององค์กร (Business Objectives) เพื่อให้เกิดการใช้ทรัพยากรอย่างมีประสิทธิผลอันจะส่งประโยชน์สูงสุดแก่องค์กร ช่วยให้เกิดความสมดุลย์ระหว่างความเสี่ยงด้านเทคโนโลยีสารสนเทศ (IT Risk) และผลตอบแทนของการลงทุนในระบบสารสนเทศ (IT ROI) มารตฐาน CobiT นั้นประกอบด้วยกิจกรรมหลัก 34 หัวข้อซึ่งเชื่อมกับ กิจกรรมย่อยอีก 318 หัวข้อ ซึ่งทำให้เกิด Framework ด้านการตรวจสอบภายในเทคโนโลยีสารสนเทศขึ้น (IT Internal audit) CobiT นั้นเริ่มพัฒนาโดย The Information Systems Audit and Control Association (ISACA) และ IT Governance Institute (ITGI) เป็นผู้ดูแลในปัจจุบัน (ISACA และ ITGI เป็นองค์กรระดับโลกตั้งอยู่ที่ประเทศสหรัฐอเมริกา) โดยเดิมทีตั้งใจให้เป็น Tools หรือ Guideline ของผู้ตรวจสอบระบบสารสนเทศ แต่ต่อมาก็มีการนำไปใช้โดย ผู้บริหารธุรกิจ และ ผู้บริหารระบบสารสนเทศ เนื่องจากในช่วงแรก CobiT นั้นถูกใช้เป็นแนวทางสำหรับการตรวจสอบระบบสารสนเทศ จึงทำให้ผู้บริหารระบบสารสนเทศ มักมองว่า CobiT นั้นเป็นภัยแก่ตน แทนที่จะมองว่าเป็น เครื่องมืออันทรงพลังสำหรับการสื่อสารระหว่างภาคไอทีและภาคธุรกิจ ซึ่งจะเป็นความเข้าใจที่ถูกต้องมากกว่า กระบวนการของ CobiT นั้นสามารถแบ่งได้เป็น 4 หัวข้อใหญ่ๆ ได้แก่
- การวางแผนและจัดการองค์กร (PO : Planning and Organization)
- การจัดหาและติดตั้ง (AI : Acquisition and Implementation)
- การส่งมอบและบำรุงรักษา (DS : Delivery and Support)
- การติดตามผล ( M : monitoring)
CobiT นั้นมีพื้นฐานมาจาก Framework ชั้นนำต่างๆมากมาย ได้แก่ The Software Engineering Institute's Capability Maturity Model (CMM), ISO 9000 และ The Information Technology Infrastructure Library (ITIL) ของประเทศอังกฤษ อย่างไรก็ตาม CobiT นั้นก็ยังขาดในส่วนของ Guideline เพื่อใช้ในทางปฏิบัติเนื่องจาก CobiT เป็น Framework ที่เน้นในเรื่องของ การควบคุม (Control) เป็นหลัก CobiT นั้นมุ่งประเด็นในการบอกว่าองค์กรต้องการอะไรบ้าง (What) แต่ไม่มีรายละเอียดในแง่ของวิธีการที่นำไปสู่จุดนั้น (How) ซึ่งเหมาะกับผู้ตรวจสอบระบบสารสนเทศที่ต้องการนำ CobiT มาใช้เพื่อทำเป็น Check Lists หรือ Audit Program แต่อาจจะยังไม่มีรายละเอียดพอสำหรับ ผู้บริหารธุรกิจ และผู้บริหารระบบสารสนเทศ ซึ่งต้องการนำ CobiT ไปปรับใช้กับองค์กรในทางปฏิบัติ (Practical Implementation) สำหรับมาตรฐาน ITIL นั้น มีวัตถุประสงค์ในการสร้าง "Best Practices" สำหรับกระบวนการของ IT Service Delivery และ Support แต่ไม่ได้เป็นการกำหนด Framework ของการควบคุมในแนวกว้างอย่างที่ CobiT เป็น ITIL นั้นจะมุ่งไปทางการเสนอวิธีการในการปฏิบัติ แต่มีขอบเขตงานเพียงแค่ IT service Management ซึ่งแคบกว่า CobiT มาก ITIL นั้นค่อนข้างลึกในรายละเอียดของกระบวนการทำงาน ซึ่งมีวัตถุประสงค์ที่จะให้ทางฝ่ายระบบสารสนเทศ และ Service Management เป็นผู้นำไปใช้
IT Security Audit ตอน 2
จึงสรุปได้ว่า การศึกษาองค์ความรู้พื้นฐานและการสอบผ่าน CIA หรือ CISA นั้นนับเป็น "จุดเริ่มต้นที่ดี" สำหรับการเป็น "ผู้ตรวจสอบภายใน" หรือ "ผู้ตรวจสอบระบบสารสนเทศ" ที่มีประสิทธิภาพสูง แต่ไม่ได้หมายความว่าผู้สอบผ่าน CIA และ CISA จะปฏิบัติงานด้านการตรวจสอบได้ครบทุกเรื่อง เพราะจำเป็นต้องมีความรู้เฉพาะทางในเรื่องต่าง ๆ ดังที่กล่าวมาแล้วในตอนต้น อีกทั้งยังต้องอาศัยประสบการณ์หรือชั่วโมงบินในการตรวจสอบอีกด้วย (http://www.acisonline.net/article/?p=5)
IT Security Audit ตอน 1
ศักยภาพที่เพิ่มขึ้นของเทคโนโลยีที่ขับเคลื่อนการเปลี่ยนแปลงกระบวนการทำงานที่เกิดขึ้นในองคกร รวมทั้งปรับเปลี่ยนหลักการการจัดการและปฏิบัติงาน ซึ่งกอใหเกิดโอกาสทางธุรกิจใหม ๆ และชวยใหตนทุนลดลง องคกรที่มีการปฏิบัติงานในระบบอัตโนมัตโดยใชเทคโนโลยีเปนตัวขับเคลื่อน จึงจำเปนตองมีกลไกในการบริหารความเสี่ยงและการควบคุมที่ดียิ่งขึ้น โดยเฉพาะการควบคุมทั้งระบบคอมพิวเตอร และ ระบบเครือขาย ทั้งในดานของ ฮารดแวร ซอรฟแวร การควบคุมทั่วไป และการควบคุมระบบงาน เพื่อปองกันความเสี่ยงอันอาจจะเกิดจากการใชเทคโนโลยีไมเต็มประสิทธิภาพหรือใชเทคโนโลยีในทางที่เหมาะสม ในปัจจุบันการควบคุมภายในระบบสารสนเทศขององคกรยังไมมีประสิทธิภาพเพียงพอตอการดำเนินงาน เนื่องจากนโยบายการบริหารการเปลี่ยนแปลงที่ไมเหมาะสม การกำหนดหนาที่และความรับผิดชอบในการปฏิบัติงานไมชัดเจน การบริหารจัดการกำลังคนและการพัฒนาทักษะความรูความสามารถทางดานเทคโนโลยีและสารสนเทศของบุคลากรมีไมเพียงพอ การขาดเทคโนโลยีที่ทันสมัย มีความพรอมใช และเหมาะสมกับระบบสารสนเทศขององคกร และนโยบายดานการรักษาความปลอดภัยและความลับของขอมูลไมครอบคลุมเพียงพอ สงผลให ระบบสารสนเทศไมสามารถตองสนองตอความตองการขององคกรไดอยางเต็มประสิทธิภาพ
การตรวจสอบความปลอดภัยทางสารสนเทศ (IT Security Audit) ตามแนวทาง CoBit หรือ IT Governance จึงเป็นความจำเป็นที่องค์กรยุคใหม่จะต้องปฏิบัติเพื่ความมั่นคงปลอดภัยในระบบ IT ขององค์กรให้มีประสิทธิภาพอย่างดีที่สุด
Free TextEditor
วันพุธที่ 7 ตุลาคม พ.ศ. 2552
ระบบสารสนเทศในสถานศึกษา
ระบบสารสนเทศ (Information System หรือ IS) คือระบบแบบเฉพาะเจาะจงชนิดหนึ่ง ซึ่งอาจกล่าวได้ว่าเป็นกลุ่มของส่วนประกอบพื้นฐานต่างๆ ที่ทำงานเกี่ยวข้องกันในการเก็บ (นำเข้า), จัดการ (ประมวลผล) และเผยแพร่(แสดงผล) ข้อมูลและสารสนเทศและสนับสนุนกลไกลของผลสะท้อนกลับ เพื่อให้บรรลุตามวัตถุประสงค์
ส่วนประกอบของระบบสารสนเทศ
1. ส่วนที่นำเข้า (Inputs) ได้แก่การรวบรวมและการจัดเตรียมข้อมูลดิบ ส่วนที่นำเข้านี้สามารถมีได้หลายรูปแบบไม่ว่าจะเป็นการโทรเข้าเพื่อขอข้อมูลในระบบสอบถามเบอร์โทรศัพท์ ข้อมูลที่ลูกค้ากรอกในใบ สอบถามการให้บริการของร้านค้าฯลฯ ขึ้นอยู่กับส่วนแสดงผลที่ต้องการ ส่วนที่นำเข้านี้อาจเป็นขบวนการที่ทำด้วยตัวเองหรือเป็นแบบอัตโนมัติก็ได้ เช่นการอ่านข้อมูลรายชื่อสินค้าและรายราคาโดยเครื่องอ่าน บาร์โค้ดของห้างสรรพสินค้า จัดเป็นส่วนที่นำเข้าแบบอัตโนมัติ
2. การประมวลผล (Processing) เกี่ยวข้องกับการเปลี่ยนและการแปลงข้อมูลให้อยู่ในรูปของส่วนแสดงผลที่มีประโยชน์ ตัวอย่างของการประมวลผลได้แก่การคำนวณ การเปรียบเทียบ การเลือกทางเลือกในการปฏิบัติงานและการเก็บข้อมูลไว้ใช้ในอนาคต โดยการประมวลผลสามารถทำได้ด้วยตนเองหรือสามารถใช้คอมพิวเตอร์เข้ามาช่วยก็ได้ ตัวอย่างเช่น ระบบคิดเงินเดือนพนักงาน สามารถคิดได้จากการนำจำนวน ชั่วโมงการทำงานของพนักงานคูณเข้ากับอัตราค่าจ้างเพื่อให้ได้ยอดเงินรวมที่ต้องจ่ายรวม ถ้าชั่วโมงการทำงานรายสัปดาห์มากกว่า 40 ชั่วโมงอาจมีการคิดเงินล่วงเวลาให้ โดยเพิ่มเข้าไปกับเงินรวม จากนั้นอาจจะทำการหักภาษีพนักงาน โดยการนำเงินรวมมาคิดภาษีและนำเงินรวมมาลบด้วยภาษีที่คำนวณได้ จะทำให้ได้เงินสุทธิที่ต้องจ่ายให้กับพนักงาน
3. ส่วนที่แสดงผล (Outputs) เกี่ยวข้องกับการผลิตสารสนเทศที่มีประโยชน์ มักจะอยู่ในรูปของเอกสาร หรือรายงานหรืออาจะเป็นเช็คที่จ่ายให้กับพนักงาน รายงานที่นำเสนอผู้บริหารและสารสนเทศที่ถูกผลิตออกมาให้กับผู้ถือหุ้น ธนาคาร หรือกลุ่มอื่นๆ โดยส่วนแสดงผลของระบบหนึ่งอาจใช้เป็นส่วนที่นำเข้าเพื่อควบคุมระบบหรืออุปกรณ์อื่นๆ ก็ได้ เช่นในขบวนการผลิตเฟอร์นิเจอร์ พนักงานขาย ลูกค้า และ นักออกแบบเฟอร์นิเจอร์อาจจะทำการออกแบบเฟอร์นิเจอร์ซ้ำแล้วซ้ำเล่า เพื่อให้ตรงตามความต้องการของลูกค้า โดยอาจจะใช้ซอฟต์แวร์หรือฮาร์ดแวร์คอมพิวเตอร์เข้ามาช่วยในการออกแบบนี้ด้วย จนกระทั่งได้ต้นแบบที่ตรงความต้องการมากที่สุด จึงส่งแบบนั้นไปทำการผลิต จะเห็นว่าแบบเฟอร์นิเจอร์ที่ได้จากการออกแบบแต่ละครั้งจะเป็นส่วนที่ถูกนำไปปรับปรุงการออกแบบในครั้งต่อๆ ไป จนกระทั่งได้แบบ สุดท้ายออกมา อาจอยู่ในรูปของสิ่งพิมพ์ที่ออกมาจากเครื่องพิมพ์หรือแสดงอยู่บนหน้าจอคอมพิวเตอร์ที่เป็นอุปกรณ์แสดงผลตัวหนึ่งหรืออาจจะอยู่ในรูปของรายงานและเอกสารที่เขียนด้วยมือก็ได้
4. ผลสะท้อนกลับ (Feedback) คือส่วนแสดงผลที่ใช้ในการทำให้เกิดการเปลี่ยนแปลงต่อส่วนที่นำเข้าหรือส่วนประมวลผล เช่น ความผิดพลาดหรือปัญหาที่เกิดขึ้น อาจจำเป็นต้องแก้ไขข้อมูลนำเข้าหรือทำการเปลี่ยนแปลงการประมวลผลเพื่อให้ได้ส่วนแสดงผลที่ถูกต้อง ตัวอย่างเช่น ระบบการจ่ายเงินเดือนพนักงาน ถ้าทำการป้อนชั่วโมงการทำงานรายสัปดาห์เป็น 400 แทนที่จะเป็น 40 ชั่วโมง ถ้าทำการกำหนดให้ระบบตรวจสอบค่าชั่วโมงการทำงานให้อยู่ในช่วง 0-100 ชั่วโมง ดังนั้นเมื่อพบข้อมูลนี้เป็น 400 ชั่วโมง ระบบจะทำการส่งผลสะท้อนกลับออกมา อาจจะอยู่ในรูปของรายงานความผิดพลาด ซึ่งสามารถนำไปใช้ในการตรวจสอบและแก้ไขจำนวนชั่วโมงการทำงานที่นำเข้ามาคำนวณให้ถูกต้องได้
ระบบสารสนเทศที่ใช้คอมพิวเตอร์ (Computer-Based Information Systems : CBIS)
ระบบสารสนเทศที่ใช้คอมพิวเตอร์ประกอบด้วย ฮาร์ดแวร์ (Hardware), ซอฟต์แวร์ (Software), ข้อมูล(Data), บุคคล (People), ขบวนการ (Procedure) และการสื่อสารข้อมูล (Telecommunication) ซึ่งถูกกำหนดขึ้นเพื่อทำการรวบรวม, จัดการ จัดเก็บและประมวลผลข้อมูลให้เป็นสารสนเทศ
1. ฮาร์ดแวร์ คืออุปกรณ์ทางกายภาพ ที่ใช้ในการรวบรวม การนำเข้า และการจัดเก็บข้อมูล, ประมวลผล ข้อมูลให้เป็นสารสนเทศ และแสดงสารสนเทศที่เป็นผลลัพธ์ออกมา
2. ซอฟต์แวร์ ประกอบด้วยกลุ่มของโปรแกรมที่ใช้ในการปฏิบัติงานร่วมกับฮาร์ดแวร์และใช้ในการประมวลผลข้อมูลเป็นสารสนเทศ
3. ข้อมูล ในส่วนนี้หมายถึงข้อมูลและสารสนเทศที่ถูกเก็บอยู่ในฐานข้อมูล โดยฐานข้อมูล (Database) หมายถึงกลุ่มของค่าความจริงและสารสนเทศที่มีความเกี่ยวข้องกันนั่นเอง
4. บุคคล หมายถึงบุคคลที่ใช้งานและปฏิบัติงานร่วมกับระบบสารสนเทศ
5. ขบวนการ หมายถึงกลุ่มของคำสั่งหรือกฎ ที่แนะนำวิธีการปฏิบัติงานกับคอมพิวเตอร์ในระบบสารสนเทศ ซึ่งอาจได้แก่การแนะนำการควบคุมการเข้าใช้งานคอมพิวเตอร์, วิธีการสำรองสารสนเทศในระบบและวิธีจัดการกับปัญหาที่อาจเกิดขึ้นได้
6. การสื่อสารข้อมูล หมายถึงการส่งสัญญาณอิเล็กทรอนิกส์เพื่อติดต่อสื่อสาร และช่วยให้องค์กรสามารถเชื่อมระบบคอมพิวเตอร์เข้ากับระบบเครือข่าย (Network) ที่มีประสิทธิภาพได้ โดยเครือข่ายใช้ในการเชื่อมต่อคอมพิวเตอร์และอุปกรณ์คอมพิวเตอร์ไว้ด้วยกัน อาจจะเป็นภายในอาคารเดียวกัน ในประเทศเดียวกัน หรือทั่วโลก เพื่อให้สามารถสื่อสารข้อมูลอิเล็กทรอนิกส์ได้
(http://irrigation.rid.go.th/rid15/ppn/Knowledge/Management%20Information%20Systems/mis2.htm)
คุณลักษณะที่ดีของสารสนเทศ
1. ใช้ง่าย ใช้เวลาเรียนรู้น้อย
2. ผิดพลาดน้อย (Error rate)
3. เมื่อมีข้อบกพร่อง สามารถแก้ไขได้เร็ว (MTBF)
4. เก็บรวบรวมข้อสนเทศที่เกิดจากการปฎิบัติงานตามปกติ
5. ให้ข้อสนเทศได้ครบถ้วน ถูกต้อง ทันเวลา
ระบบสารสนเทศในสถานศึกษา ประกอบด้วยระบบงานต่าง ๆ ดังนี้
1. การวางแผนจัดการเรียนการสอนและอัตรากำลัง
2. การจัดชั้นเรียนตามความต้องการของผู้เรียน วิชาเลือกเสรี พื้นฐานอาชีพ
3. การจัดกิจกรรมการศึกษาเพื่อสนองตอบความต้องการของชุมชน
4. การจัดทำทะเบียนประวัติ และพัฒนาการของนักเรียน
5. การวัดวิเคราะห์และประเมินผลการเรียน
6. ธนาคารข้อสอบ
7. ระบบงานห้องสมุด
8. ระบบงานปกครอง
9. ระบบงานบุคลากร
10. ระบบงานธุรการ การเงิน และพัสดุ
11. ระบบสาธารณูปโภค อาคารสถานที่
12. ระบบงานแนะแนว
13. ระบบงานสหกรณ์/สวัสดิการ
14. ระบบงานสุขอนามัยและโภชนาการ
15. ระบบแผนงานและโครงการ
(รุ่งแสง อรุณไพโรจน์ และ สมชาติ หรั่งเจริญ)