มาตรฐาน IEEE
IEEE 802.11 Wireless LAN (WLAN)
ปัจจุบันเทคโนโลยีเครือข่าย LAN แบบไร้สาย หรือ WLAN (Wireless LAN) กำลังได้รับความนิยมเป็นอย่างมาก เนื่องจากประโยชน์ของ WLAN มีอยู่มากมายโดยเฉพาะอย่างยิ่ง WLAN สร้างความสะดวกและอิสระในการใช้งานและติดตั้งเครือข่าย เทคโนโลยี WLAN ทำให้การเชื่อมต่ออุปกรณ์คอมพิวเตอร์ในบ้านหรือสำนักงานเข้าด้วยกันหรือต่อเข้ากับเครือข่ายไม่จำเป็นจะต้องใช้สายนำสัญญาณให้ยุ่งยากและดูเกะกะอีกต่อไป อุปกรณ์คอมพิวเตอร์ทั้งแบบตั้งโต๊ะและพกพาสามารถเชื่อมต่อถึงกันหรือเชื่อมต่อเข้ากับเครือข่ายจากตำแหน่งต่างๆ ที่อยู่ในรัศมีของสัญญาณได้อย่างอิสระ
เทคโนโลยีสำหรับการเชื่อมต่ออุปกรณ์ต่างๆ ผ่านสื่อไร้สายที่รู้จักกันมีอยู่หลายเทคโนโลยีเช่น Bluetooth , IEEE 802.11, IrDA , HiperLAN, HomeRF, และ GPRS เป็นต้น แต่เทคโนโลยีที่นิยมใช้กันอย่างแพร่หลายมากที่สุดสำหรับ WLAN คือเทคโนโลยีตามมาตรฐาน IEEE 802.11 เนื่องจากอุปกรณ์ IEEE 802.11 WLAN มีราคาไม่แพงนักและถูกลงเรื่อยๆ อีกทั้งมีสมรรถนะในการรับส่งข้อมูลค่อนข้างสูง ง่ายต่อการติดตั้งและใช้งาน IEEE 802.11 WLAN ได้รับความนิยมอย่างแพร่หลายมากขึ้นเรื่อยๆและมีแนวโน้มว่าในอนาคตอุปกรณ์คอมพิวเตอร์ต่างๆ จะมีอุปกรณ์ IEEE 802.11 WLAN ติดตั้งจากโรงงานหรือ Built-in มาด้วย
แต่อย่างไรก็ตาม ความง่ายและสะดวกต่อการติดตั้งและใช้งานของอุปกรณ์ IEEE 802.11 WLAN ก็นำมาซึ่งความไม่ปลอดภัยของเครือข่ายด้วยเช่นกัน อีกทั้งเทคโนโลยี IEEE 802.11 WLAN อยู่ในช่วงเริ่มต้นเท่านั้น (ยังไม่ถึงจุดสมบูรณ์และอิ่มตัว) ทำให้ยังมีช่องโหว่ด้านความปลอดภัยอีกมาก ดังนั้นผู้ที่เลือกใช้ IEEE 802.11 WLAN ควรมีความรู้เกี่ยวกับเทคโนโลยีและตระหนักถึงช่องโหว่ต่างๆรวมถึงการรักษาความปลอดภัยอย่างเหมาะสม ซึ่งบทความนี้จะกล่าวถึงความรู้เบื้องต้นเกี่ยวกับมาตรฐาน IEEE 802.11 รวมถึงช่องโหว่และการรักษาความปลอดภัยสำหรับเครือข่าย IEEE 802.11 WLAN
ความรู้เบื้องต้นเกี่ยวกับมาตรฐาน IEEE 802.11
มาตรฐาน IEEE 802.11 ซึ่งได้รับการตีพิมพ์ครั้งแรกเมื่อปีพ.ศ. 2540 โดย IEEE (The Institute of Electronics and Electrical Engineers) และเป็นเทคโนโลยีสำหรับ WLAN ที่นิยมใช้กันอย่างแพร่หลายมากที่สุด คือข้อกำหนด (Specfication) สำหรับอุปกรณ์ WLAN ในส่วนของ Physical (PHY) Layer และ Media Access Control (MAC) Layer โดยในส่วนของ PHY Layer มาตรฐาน IEEE 802.11 ได้กำหนดให้อุปกรณ์มีความสามารถในการรับส่งข้อมูลด้วยความเร็ว 1, 2, 5.5, 11 และ 54 Mbps โดยมีสื่อ 3 ประเภทให้เลือกใช้ได้แก่ คลื่นวิทยุที่ความถี่สาธารณะ 2.4 และ 5 GHz, และ อินฟราเรด (Infarred) (1 และ 2 Mbps เท่านั้น)
สำหรับในส่วนของ MAC Layer มาตรฐาน IEEE 802.11 ได้กำหนดให้มีกลไกการทำงานที่เรียกว่า CSMA/CA (Carrier Sense Multiple Access/Collision Avoidance) ซึ่งมีความคล้ายคลึงกับหลักการ CSMA/CD (Collision Detection) ของมาตรฐาน IEEE 802.3 Ethernet ซึ่งเป็นที่นิยมใช้กันทั่วไปในเครือข่าย LAN แบบใช้สายนำสัญญาณ นอกจากนี้ในมาตรฐาน IEEE802.11 ยังกำหนดให้มีทางเลือกสำหรับสร้างความปลอดภัยให้กับเครือข่าย IEEE 802.11 WLAN โดยกลไกการเข้ารหัสข้อมูล (Encryption) และการตรวจสอบผู้ใช้ (Authentication) ที่มีชื่อเรียกว่า WEP (Wired Equivalent Privacy) ด้วย
วิวัฒนาการของมาตรฐาน IEEE 802.11
มาตรฐาน IEEE 802.11 ได้รับการตีพิมพ์ครั้งแรกในปี พ.ศ. 2540 ซึ่งอุปกรณ์ตามมาตรฐานดังกล่าวจะมีความสามารถในการรับส่งข้อมูลด้วยความเร็ว 1 และ 2 Mbps ด้วยสื่อ อินฟราเรด (Infarred) หรือคลื่นวิทยุที่ความถี่ 2.4 GHz และมีกลไก WEP ซึ่งเป็นทางเลือกสำหรับสร้างความปลอดภัยให้กับเครือข่าย WLAN ได้ในระดับหนึ่ง เนื่องจากมาตรฐาน IEEE 802.11 เวอร์ชันแรกเริ่มมีประสิทธิภาพค่อนข้างต่ำและไม่มีการรองรับหลักการ Quality of Service (QoS) ซึ่งเป็นที่ต้องการของตลาด อีกทั้งกลไกรักษาความปลอดภัยที่ใช้ยังมีช่องโหว่อยู่มาก IEEE จึงได้จัดตั้งคณะทำงาน (Task Group) ขึ้นมาหลายชุดด้วยกันเพื่อทำการปรับปรุงเพิ่มเติมมาตรฐานให้มีศักยภาพสูงขึ้น โดยคณะทำงานกลุ่มที่มีผลงานที่น่าสนใจและเป็นที่รู้จักกันดีได้แก่ IEEE 802.11a, IEEE 802.11b, IEEE 802.11e, IEEE 802.11g, และ IEEE 802.11i
• IEEE 802.11b
คณะทำงานชุด IEEE 802.11b ได้ตีพิมพ์มาตรฐานเพิ่มเติมนี้เมื่อปี พ.ศ. 2542 ซึ่งเป็นที่รู้จักกันดีและใช้งานกันอย่างแพร่หลายมากที่สุด มาตรฐาน IEEE 802.11b ใช้เทคโนโลยีที่เรียกว่า CCK (Complimentary Code Keying) ผนวกกับ DSSS (Direct Sequence Spread Spectrum) เพื่อปรับปรุงความสามารถของอุปกรณ์ให้รับส่งข้อมูลได้ด้วยความเร็วสูงสุดที่ 11 Mbps ผ่านคลื่นวิทยุความถี่ 2.4 GHz (เป็นย่านความถี่ที่เรียกว่า ISM (Industrial Scientific and Medical) ซึ่งถูกจัดสรรไว้อย่างสากลสำหรับการใช้งานอย่างสาธารณะด้านวิทยาศาสตร์ อุตสาหกรรม และการแพทย์ โดยอุปกรณ์ที่ใช้ความถี่ย่านนี้ก็เช่น IEEE 802.11, Bluetooth, โทรศัพท์ไร้สาย, และเตาไมโครเวฟ) ส่วนใหญ่แล้วอุปกรณ์ IEEE 802.11 WLAN ที่ใช้กันอยู่ในปัจจุบันจะเป็นอุปกรณ์ตามมาตรฐาน IEEE 802.11b นี้และใช้เครื่องหมายการค้าที่รู้จักกันดีในนาม Wi-Fi ซึ่งเครื่องหมายการค้าดังกล่าวถูกกำหนดขึ้นโดยสมาคม WECA (Wireless Ethernet Compatability Alliance) โดยอุปกรณ์ที่ได้รับเครื่องหมายการค้าดังกล่าวได้ผ่านการตรวจสอบแล้วว่าเป็นไปตามมาตรฐาน IEEE 802.11b และสามารถนำไปใช้งานร่วมกับอุปกรณ์ยี่ห้ออื่นๆที่ได้รับเครื่องหมาย Wi-Fi ได้
• IEEE 802.11a
คณะทำงานชุด IEEE 802.11a ได้ตีพิมพ์มาตรฐานเพิ่มเติมนี้เมื่อปี พ.ศ. 2542 มาตรฐาน IEEE 802.11a ใช้เทคโนโลยีที่เรียกว่า OFDM (Orthogonal Frequency Division Multiplexing) เพื่อปรับปรุงความสามารถของอุปกรณ์ให้รับส่งข้อมูลได้ด้วยความเร็วสูงสุดที่ 54 Mbps แต่จะใช้คลื่นวิทยุที่ความถี่ 5 GHz ซึ่งเป็นย่านความถี่สาธารณะสำหรับใช้งานในประเทศสหรัฐอเมริกาที่มีสัญญาณรบกวนจากอุปกรณ์อื่นน้อยกว่าในย่านความถี่ 2.4 GHz อย่างไรก็ตามข้อเสียหนึ่งของมาตรฐาน IEEE 802.11a ที่ใช้คลื่นวิทยุที่ความถี่ 5 GHz ก็คือในบางประเทศย่านความถี่ดังกล่าวไม่สามารถนำมาใช้งานได้อย่างสาธารณะ ตัวอย่างเช่น ประเทศไทยไม่อนุญาตให้มีการใช้งานอุปกรณ์ IEEE 802.11a เนื่องจากความถี่ย่าน 5 GHz ได้ถูกจัดสรรสำหรับกิจการอื่นอยู่ก่อนแล้ว นอกจากนี้ข้อเสียอีกอย่างหนึ่งของอุปกรณ์ IEEE 802.11a WLAN ก็คือรัศมีของสัญญาณมีขนาดค่อนข้างสั้น (ประมาณ 30 เมตร ซึ่งสั้นกว่ารัศมีสัญญาณของอุปกรณ์ IEEE 802.11b WLAN ที่มีขนาดประมาณ 100 เมตร สำหรับการใช้งานภายในอาคาร) อีกทั้งอุปกรณ์ IEEE 802.11a WLAN ยังมีราคาสูงกว่า IEEE 802.11b WLAN ด้วย ดังนั้นอุปกรณ์ IEEE 802.11a WLAN จึงได้รับความนิยมน้อยกว่า IEEE 802.11b WLAN มาก
• IEEE 802.11g
คณะทำงานชุด IEEE 802.11g ได้ใช้นำเทคโนโลยี OFDM มาประยุกต์ใช้ในช่องสัญญาณวิทยุความถี่ 2.4 GHz ซึ่งอุปกรณ์ IEEE 802.11g WLAN มีความสามารถในการรับส่งข้อมูลด้วยความเร็วสูงสุดที่ 54 Mbps ส่วนรัศมีสัญญาณของอุปกรณ์ IEEE 802.11g WLAN จะอยู่ระหว่างรัศมีสัญญาณของอุปกรณ์ IEEE 802.11a และ IEEE 802.11b เนื่องจากความถี่ 2.4 GHz เป็นย่านความถี่สาธารณะสากล อีกทั้งอุปกรณ์ IEEE 802.11g WLAN สามารถทำงานร่วมกับอุปกรณ์ IEEE 802.11b WLAN ได้ (backward-compatible) ดังนั้นจึงมีแนวโน้มสูงว่าอุปกรณ์ IEEE 802.11g WLAN จะได้รับความนิยมอย่างแพร่หลายหากมีราคาไม่แพงจนเกินไปและน่าจะมาแทนที่ IEEE 802.11b ในที่สุด ตามแผนการแล้วมาตรฐาน IEEE 802.11g จะได้รับการตีพิมพ์ประมาณช่วงกลางปี พ.ศ. 2546
• IEEE 802.11e
คณะทำงานชุดนี้ได้รับมอบหมายให้ปรับปรุง MAC Layer ของ IEEE 802.11 เพื่อให้สามารถรองรับการใช้งานหลักการ Qualitiy of Service สำหรับ application เกี่ยวกับมัลติมีเดีย (Multimedia) เนื่องจาก IEEE 802.11e เป็นการปรับปรุง MAC Layer ดังนั้นมาตรฐานเพิ่มเติมนี้จึงสามารถนำไปใช้กับอุปกรณ์ IEEE 802.11 WLAN ทุกเวอร์ชันได้ แต่อย่างไรก็ตามการทำงานของคณะทำงานชุดนี้ยังไม่แล้วเสร็จในขณะนี้ (พฤษภาคม พ.ศ. 2546)
• IEEE 802.11i
คณะทำงานชุดนี้ได้รับมอบหมายให้ปรับปรุง MAC Layer ของ IEEE 802.11 ในด้านความปลอดภัย เนื่องจากเครือข่าย IEEE 802.11 WLAN มีช่องโหว่อยู่มากโดยเฉพาะอย่างยิ่งการเข้ารหัสข้อมูล (Encryption) ด้วย key ที่ไม่มีการเปลี่ยนแปลง คณะทำงานชุด IEEE 802.11i จะนำเอาเทคนิคขั้นสูงมาใช้ในการเข้ารหัสข้อมูลด้วย key ที่มีการเปลี่ยนค่าอยู่เสมอและการตรวจสอบผู้ใช้ที่มีความปลอดภัยสูง มาตรฐานเพิ่มเติมนี้จึงสามารถนำไปใช้กับอุปกรณ์ IEEE 802.11 WLAN ทุกเวอร์ชันได้ แต่อย่างไรก็ตามการทำงานของคณะทำงานชุดนี้ยังไม่แล้วเสร็จในขณะนี้ (พฤษภาคม พ.ศ. 2546)
ลักษณะการเชื่อมต่อของอุปกรณ์ IEEE 802.11 WLAN
มาตรฐาน IEEE 802.11 ได้กำหนดลักษณะการเชื่อมต่อของอุปกรณ์ภายในเครือข่าย WLAN ไว้ 2 ลักษณะคือโหมด Infrastructure และโหมด Ad-Hoc หรือ Peer-to-Peer
1. โหมด Infrastructure
โดยทั่วไปแล้วอุปกรณ์ในเครือข่าย IEEE 802.11 WLAN จะเชื่อมต่อกันในลักษณะของโหมด Infrastructure ซึ่งเป็นโหมดที่อนุญาตให้อุปกรณ์ภายใน WLAN สามารถเชื่อมต่อกับเครือข่ายอื่นได้ ในโหมด Infrastructure นี้เครือข่าย IEEE 802.11 WLAN จะประกอบไปด้วยอุปกรณ์ 2 ประเภทได้แก่ สถานีผู้ใช้ (Client Station) ซึ่งก็คืออุปกรณ์คอมพิวเตอร์ (Desktop, Laptop, หรือ PDA ต่างๆ) ที่มีอุปกรณ์ Client Adapter เพื่อใช้รับส่งข้อมูลผ่าน IEEE 802.11 WLAN และสถานีแม่ข่าย (Access Point) ซึ่งทำหน้าที่ต่อเชื่อมสถานีผู้ใช้เข้ากับเครือข่ายอื่น (ซึ่งโดยปกติจะเป็นเครือข่าย IEEE 802.3 Ethernet LAN) การทำงานในโหมด Infrastructure มีพื้นฐานมาจากระบบเครือข่ายโทรศัพท์มือถือ กล่าวคือสถานีผู้ใช้จะสามารถรับส่งข้อมูลโดยตรงกับสถานีแม่ข่ายที่ให้บริการแก่สถานีผู้ใช้นั้นอยู่เท่านั้น ส่วนสถานีแม่ข่ายจะทำหน้าที่ส่งต่อ (forward) ข้อมูลที่ได้รับจากสถานีผู้ใช้ไปยังจุดหมายปลายทางหรือส่งต่อข้อมูลที่ได้รับจากเครือข่ายอื่นมายังสถานีผู้ใช้
รูปที่ 1 แสดง BSS และESS (อ้างอิงจาก http://www.winncom.com/html/wireless.shtml)
Basic Service Set (BSS)
Basic Service Set (BSS) หมายถึงบริเวณของเครือข่าย IEEE 802.11 WLAN ที่มีสถานีแม่ข่าย 1 สถานี ซึ่งสถานีผู้ใช้ภายในขอบเขตของ BSS นี้ทุกสถานีจะต้องสื่อสารข้อมูลผ่านสถานีแม่ข่ายดังกล่าวเท่านั้น
Extended Service Set (ESS) หมายถึงบริเวณของเครือข่าย IEEE 802.11 WLAN ที่ประกอบด้วย BSS มากกว่า 1 BSS ซึ่งได้รับการเชื่อมต่อเข้าด้วยกัน สถานีผู้ใช้สามารถเคลื่อนย้ายจาก BSS หนึ่งไปอยู่ในอีก BSS หนึ่งได้โดย BSS เหล่านี้จะทำการ Roaming หรือติดต่อสื่อสารกันเพื่อทำการโอนย้ายการให้บริการสำหรับสถานีผู้ใช้ดังกล่าว
2. โหมด Ad-Hoc หรือ Peer-to-Peer
เครือข่าย IEEE 802.11 WLAN ในโหมด Ad-Hoc หรือ Peer-to-Peer เป็นเครือข่ายที่ปิดคือไม่มีสถานีแม่ข่ายและไม่มีการเชื่อมต่อกับเครือข่ายอื่น บริเวณของเครือข่าย IEEE 802.11 WLAN ในโหมด Ad-Hoc จะถูกเรียกว่า Independent Basic Service Set (IBSS) ซึ่งสถานีผู้ใช้หนึ่งสามารถติดต่อสื่อสารข้อมูลกับสถานีผู้ใช้อื่นๆในเขต IBSS เดียวกันได้โดยตรงโดยไม่ต้องผ่านสถานีแม่ข่าย แต่สถานีผู้ใช้จะไม่สามารถรับส่งข้อมูลกับเครือข่ายอื่นๆได้
รูปที่ 2 แสดงการทำงานในโหมด Adhoc หรือ Peer-to-Peer Mode(อ้างอิงจาก http://www.winncom.com/html/wireless.shtml)
การเข้าใช้ช่องสัญญาณด้วยกลไก CSMA/CA
บทบาทหนึ่งของ MAC Layer ในมาตรฐาน IEEE 802.11 คือการจัดสรรการเข้าใช้ช่องสัญญาณซึ่งแต่ละสถานีใน BSS หรือ IBSS จะต้องแบ่งกันใช้ช่องสัญญาณที่ถูกกำหนดมาสำหรับใช้งานร่วมกันอย่างเป็นธรรม มาตรฐาน IEEE 802.11 ได้กำหนดให้ใช้กลไก CSMA/CA (Carrier Sense Multiple Access/Collision Avoidance) เพื่อจัดสรรการใช้ช่องสัญญาณร่วมกันดังกล่าว
• CSMA with Random Back-Off
กลไก CSMA (Carrier Sense Multiple Access) with Random Back-Off เป็นเทคนิคอย่างง่ายสำหรับจัดสรรการเข้าใช้ช่องสัญญาณของผู้ใช้แต่ละคน (ซึ่งต้องแบ่งกันใช้ช่องสัญญาณร่วมนี้) อย่างยุติธรรม กลไกนี้เป็นที่ยอมรับและนิยมใช้กันอย่างแพร่หลาย เช่น ในมาตรฐาน IEEE 802.3 Ethernet LAN หลักการทำงานของกลไก CSMA คือ เมื่อสถานีหนึ่งต้องการเข้าใช้ช่องสัญญาณ สถานีดังกล่าวจะต้องตรวจสอบช่องสัญญาณก่อนว่ามีสถานีอื่นทำการรับส่งสัญญาณข้อมูลอยู่หรือไม่และรอจนกว่าช่องสัญญาณจะว่าง เมื่อช่องสัญญาณว่างแล้วสถานีที่ต้องการเข้าใช้ช่องสัญญาณจะต้องรอต่อไปอีกระยะหนึ่ง (Random-Back
Off) ซึ่งแต่ละสถานีได้กำหนดระยะเวลาในการรอดังกล่าวไว้แล้วด้วยการสุ่มค่าหลังจากเสร็จการใช้
ช่องสัญญาณครั้งก่อน สถานีที่สุ่มได้ค่าระยะเวลาในการรอน้อยกว่าก็จะมีสิทธิในการเข้าใช้ช่องสัญญาณก่อน แต่อย่างไรก็ตามในบางกรณีกลไกดังกล่าวอาจจะกำหนดให้สถานีมากกว่าหนึ่งสถานีส่งข้อมูลในเวลาพร้อมๆ กันซึ่งจะทำให้เกิดการชนกันของสัญญาณได้ ซึ่งหากเกิดการชนกันของสัญญาณขึ้นจะต้องมีการส่งสัญญาณข้อมูลเดิมซ้ำอีกครั้งด้วยกลไกที่กล่าวมาแล้วข้างต้น
• CSMA/CD
กลไก CSMA/CD (Collision Detection) เป็นเทคนิคที่รู้จักกันดีซึ่งถูกนำมาใช้ในมาตรฐาน IEEE 802.3 Ethernet LAN ซึ่งการทำงานกลไก CSMA/CD โดยหลักแล้วเป็นเช่นเดียวกับที่กล่าวไว้ในส่วนของ CSMA with Random Back-Off แต่จะมีรายละเอียดเพิ่มเติมเกี่ยวกับการตรวจสอบว่าเกิดการชนกันของสัญญาณหรือไม่ ในกรณีนี้สถานีที่กำลังทำการส่งสัญญาณข้อมูลอยู่จะต้องคอยตรวจสอบด้วยว่ามีการชนกันของสัญญาณเกิดขึ้นหรือไม่ (ในขณะเดียวกันกับที่ทำการส่งสัญญาณข้อมูล) โดยการตรวจวัดระดับ voltage ของสัญญาณในสายสัญญาณว่ามีค่าสูงกว่าปกติหรือไม่ ซึ่งหากระดับ voltage ของสัญญาณในสายสัญญาณในสายสัญญาณมีค่าสูงกว่าค่าที่กำหนดแสดงว่าเกิดการชนกันของสัญญาณขึ้น ในกรณีดังกล่าวสถานีที่กำลังส่งสัญญาณข้อมูลอยู่จะต้องยกเลิกการส่งสัญญาณทันทีและปฏิบัติตามกลไกที่กล่าวมาแล้วข้างต้นเพื่อทำการส่งข้อมูลเดิมซ้ำอีกต่อไป
• CSMA/CA with Acknowledgement
เป็นที่ควรสังเกตว่าเทคนิค CSMA/CD ไม่สามารถนำมาใช้กับ WLAN ซึ่งใช้การสื่อสารแบบไร้สายได้ สาเหตุหลักๆ ก็คือการตรวจสอบการชนกันของสัญญาณในระหว่างที่ทำการส่งสัญญาณจะต้องใช้อุปกรณ์รับส่งคลื่นวิทยุที่เป็น Full Duplex (สามารถรับและส่งสัญญาณในเวลาเดียวกันได้) ซึ่งจะมีราคาแพงกว่าอุปกรณ์รับส่งคลื่นวิทยุที่ไม่สามารถรับและส่งสัญญาณในเวลาเดียวกัน นอกจากนี้แต่ละสถานีใน BSS หรือ IBSS อาจไม่ได้ยินสัญญาณจากสถานีอื่นทุกสถานีหรือปัญหาที่เรียกว่า Hidden Node Problem (ดังในรูปที่ 3: สถานี A ได้ยินสัญญาณจากสถานีแม่ข่าย (Access Point) แต่ไม่ได้ยินสัญญาณจากสถานี C และในทางกลับกันสถานี C ไม่ได้ยินสัญญาณจากสถานี A แต่ได้ยินสัญญาณจากสถานีแม่ข่าย ซึ่งสถานการณ์ดังกล่าวนี้เป็นสถานการณ์เกิดขึ้นใน WLAN โดยทั่วไป) ดังนั้นการตรวจสอบการชนกันของสัญญาณโดยตรงเป็นไปได้ยากหรือเป็นไปไม่ได้เลย มาตรฐาน IEEE 802.11 จึงได้กำหนดให้ใช้เทคนิค CSMA/CA with Acknowledgement สำหรับการจัดสรรการเข้าใช้ช่องสัญญาณของแต่ละสถานีเพื่อแก้ไขปัญหาเหล่านี้ ซึ่งการทำงานของกลไก CSMA/CA โดยหลักแล้วเป็นเช่นเดียวกับที่กล่าวไว้ในส่วนของ CSMA with Random Back-Off แต่จะมีรายละเอียดเพิ่มเติมเกี่ยวกับการหลีกเลี่ยงไม่ให้เกิดการชนกันของสัญญาณและเทคนิคสำหรับการตรวจสอบว่าเกิดการชนของสัญญาณหรือไม่แบบเป็นนัย โดยสถานีผู้ส่งสัญญาณข้อมูลจะต้องรอรับ Acknowledgement จากสถานีที่ส่งข้อมูลไปให้ หากไม่ได้รับ
Acknowledgement กลับมาภายในเวลาที่กำหนดจะถือว่าเกิดการชนของสัญญาณขึ้นและต้องทำการส่งข้อมูลเดิมซ้ำอีกต่อไป
สำหรับการหลีกเลี่ยงไม่ให้เกิดการชนกันของสัญญาณนั้น มาตรฐาน IEEE 802.11 ได้ใช้กลไกที่เรียกว่า Virtual Carrier Sense เพื่อแก้ไขปัญหาที่แต่ละสถานีใน BSS หรือ IBSS อาจไม่ได้ยินสัญญาณจากสถานีอื่นบางสถานี (Hidden Node Problem) กลไกดังกล่าวมีการทำงานดังนี้ เมื่อสถานีที่ต้องการจะส่งแพ็กเก็ตข้อมูลได้รับสิทธิในการเข้าใช้ช่องสัญญาณแล้วจะทำการส่งแพ็กเก็ตสั้นๆ ที่เรียกว่า RTS (Request To Send) เพื่อเป็นการจองช่องสัญญาณ ก่อนที่จะส่งแพ็กเก็ตข้อมูลจริง ซึ่งแพ็กเก็ต RTS ประกอบไปด้วยระยะเวลาที่คาดว่าใช้ช่องสัญญาณจนแล้วเสร็จ (Duration ID) รวมถึง Address ของสถานีผู้ส่งและผู้รับ เมื่อสถานีผู้รับได้ยินสัญญาณ RTS ก็จะตอบรับกลับมาด้วยการส่งสัญญาณ CTS (Clear To Send) ซึ่งจะบ่งบอกข้อมูลระยะเวลาที่คาดว่าสถานีที่กำลังจะทำการส่งข้อมูลนั้นจะใช้ช่องสัญญาณจนแล้วเสร็จ หลักการก็คือทุกๆสถานีใน BSS หรือ IBSS ควรจะได้ยินสัญญาณ RTS หรือไม่ก็ CTS อย่างใดอย่างหนึ่งหรือทั้งสองอย่าง เมื่อได้รับ RTS หรือ CTS ทุกๆสถานีจะทราบถึงว่าช่วงเวลาที่ระบุไว้ใน Duration ID ซึ่งช่องสัญญาณจะถูกใช้และทุกสถานีที่ยังไม่ได้รับสิทธิในการเข้าใช้ช่องสัญญาณจะตั้งค่า NAV (Network Allocation Vector) ให้เท่ากับ Duration ID ซึ่งแสดงถึงช่วงเวลาที่ยังไม่สามารถเข้าใช้ช่องสัญญาณได้ ทุกๆสถานีจะใช้กลไก Virtual Carrier Sense ดังกล่าวผนวกกับการฟังสัญญาณในช่องสัญญาณจริงๆ ในการตรวจสอบว่าช่องสัญญาณว่างอยู่หรือไม่
การสื่อสารข้อมูล
การสื่อสารข้อมูล คือ การรับส่ง โอน ย้าย หรือแลกเปลี่ยนข้อมุลและข่าวสาร (information) จากผู้ส่งไปยังผู้รับข้อมูล โดยการสื่อสารผ่านซึ่งเป็นตัวกลางในการรับส่งข้อมูล วัตถุประสงค์ของการสื่อสาร คือ ผู้ส่งต้องการให้ผู้รับสารเข้าใจถึงความหมายของข้อมูลข่าวสารที่ส่งไป
|
ตัวกลางการสื่อสารข้อมูล
m สื่อ หรือตัวกลางการสื่อสารข้อมูล (communication media) ถือว่าเป็นองค์ประกอบสำคัญของการสื่อสารข้อมูล เพราะการเลือกใช้สื่อที่เหมะสม ทำให้เกิดประสิทธิภาพในการสื่อสารข้อมูลและประหยัดต้นทุน ตัวกลางหรือสื่อที่ใช้ในการสื่อสารแบ่งได้เป็น 2 ประเทใหญ่ๆ ดังนี้
สื่อนำข้อมูลแบบมีสาย
สื่อนำข้อมูลแบบมีสาย (wired media) หรือเรียกอีกอย่างหนึ่งว่า guided media ซึ่งก็คือ สื่อที่สามารถบังคับให้สัญญาณข้อมูลเคลื่อนที่ไปในทิศทางที่กำหนดได้ แบ่งเป็น 3 ชนิด ดังนี้
1.สายคู่บิดเกลียว (twisted pair cable)
ลักษณะทางกายภาพ : สายคู่บิดเกลีบวเป็นสายสัญญาณไฟฟ้านำข้อมูลได้ทั้งแอนะล็อกและดิจิทัล ลักษณะคล้ายสายไฟทั่วไป ราคาไม่แพงมาก น้ำหนัหเบา ติดตั้งได้ง่าย ภายในสายคู่บิดเกลียวจะประกอบด้วยสายทองแดงพันกันเป็นเกลียว เป็นคู่ๆ ซึ้งอาจจะมี 2,4 หรือ 6 คู่ สายคู่บิดเกลียวแบ่งออกเป็น 2 ประเภท ดังนี้
* แบบไม่มีชั้นโลหะห่อหุ้ม เรียกว่า unshielded twisted pair หรือเรียกย่อๆว่า สาย usp
* แบบมีชั้นโลหะห่อหุ้ม เรียกว่า shielded twisted pair หรือเรียกย่อๆว่า stp ซึ่งภายในสายมีโลหะห่อหุ้มอีกชั้น โลหะจะทำหน้าที่ป้องกันสัญญาณรบกวนที่มา
จากภายนอก
คุณสมบัติ : เนื่องจากสายคู่บิดเกลียวประกอบด้วยสายทองแดงพันเป็นเกลียว การพันกันเป็นเกลียวทำเพื่อรบการรบกวนจากสัญญาณแม่เหล็กไฟฟ้าจากคู่สายข้างเคียงในสายเคบิลเดียวกันหรือภายนอกลงได้
ความถี่ในการส่งข้อมูล : 100 เฮิรตซ์ (Hz) ถึง 5 เมกะเฮิรตซ์ (MHz)
ความเร็วในการส่งข้อมูล : 1 ล้านบิตต่อวินาที (Mbps)
2.สายโคแอกเชียล (coaxial cable)
ลักษณะทางกายภาพ : สายโคแอกเชียล เป็นสายสัญญาณไฟฟ้านำข้อมูลได้ทั้งแอนะล็อกและดิจิทัลเช่นเดียวกับสายคู่บิดเกลียว ลักษณะคล้ายสายเคเบิคทีวี โดยภายในมีตัวนำไฟฟ้าเป็นแกนกลางและห่อหุ้มด้วยฉนวนเป็นชั้นๆตัวนำโลหะทำหน้าที่ส่งสัญญาณ ส่วนฉนวนทำหน้าที่ป้องกันสัญญาณรบกวนจากภายนอก
คุณสมบัติ : สายโคแอกเชียลมีฉนวนห่อหุ้มหลายชั้น ทำให้ป้องกันสัญญาณรบกวนได้มากกว่าสายคู่บิดเกลียว ส่งข้อมูลได้ระยะทางไกล และมีช่วงความกว้างในการส่งข้อมูลมาก ทำให้ส่งข้อมูลด้วยอัตราเร็ว มีราคาสูงกว่าสายคู่บิดเกลียว
ความถี่ในการส่งข้อมูล : 100 เมกะเฮิรตซ์ (MHz) ถึง 500 เมกะเฮิรตซ์ (MHz)
ความเร็วในการส่งข้อมูล : 1 ล้านบิตต่อวินาที (Mbps) ถึง 1 พันล้านบิตต่อวินาที (Gbps)
3.สายใยแก้วนำแสง (optical fiber cable)
ลักษณะทางกายภาพ : สายใยแก้วนำแสง ภายในสายประกอบด้วย แกนกลางทำจากใยแก้วนำแสง ซึ่งเป็นท่อแก้วหรือท่อซิลิกาหลอมละลาย และห่อหุ้มด้วยวัสดุป้องกันแสง สัญญาณที่ส่งผ่านสายใยแก้วนำแสง คือ แสง ดังนั้น ข้อมูลจะถูกแปลงเป็นเเสงที่มีความเข้มของแสงต่างระดับกัน เพื่อส่งผ่านสายใยแก้วนำแสง
คุณสมบัติ : เนื่องจากสายใยแก้วนำเเสงนำสัญญาณที่เป็นแสง ดังนั้นเเสงมีการเคลื่อนที่เร็วมาก การส่งข้อมูลผ่านสายใยแก้วนำเเสงจึงทำการส่งได้เร็วเท่ากับความเร็วแสง สิ่งรบกวนจากภายนอกมีเพียงแสงเท่านั้น ดังนั้นสัญญาณรบกวนจากภายนอกจึงมีน้อยมาก แต่ราคาของสายใยแก้วนำแสงมีราคาสูง และการติดตั้งเดินสายทำได้ยากกว่าสายประเภทอื่นๆ ส่วนใหญ่การเดินสายจะเดินใส่ท่อลงใต้ดินเพื่อป้องกันแสงรบกวน
ความเร็วในการส่งข้อมูล : 10 ล้านบิตต่อวินาที (Mbps) ถึง 2 พันล้านบิตต่อวินาที (gbps)
สื่อนำข้อมูลแบบไร้สาย
สื่อนำข้อมูลแบบไร้สาย (wireless media) หรือเรียกอีกอย่างหนึ่งคือ unguided media คือ สื่อที่ไม่สามารถกำหนดทิศทางให้ข้อมูลเดินทางไปในทิศทางที่ต้องการได้ อากาศเป็นสื่อหรือตัวกลางในการนำข้อมูลไปยังปลายทางชนิดหนึ่ง การสื่อสารโดยใช้อากาศเป็นตัวกลางมีลักษณะการสื่สาร 4 ประเภท ดังนี้
1.แสงอินฟราเรด
การสื่อสารโดยการส่งด้วยแสงอินฟราเรด (infrared) จะใช้ในการสื่อสารระยะทางใกล้ๆ เช่น การใช้แสงอินฟราเรดจากเครื่องรีโมทคอนโทรลไปยังเครื่องรับวิทยุและโทรทัศน์ การส่งข้อมูลจากโทรศัพท์มือถือไปยังมือถือด้วยกันเอง หรือระหว่างเครื่องคอมพิวเตอร์แบบพกพาเนื่องจากแสงอินฟราเรดไม่สามารถทะลุผ่านวัตถุทึบแสงได้ ดังนั้นไมสามารถส่งข้อมูลในระยะทางไกลได้
2.สัญญาณวิทยุ
การสื่อสารข้อมูลโดยการส่งสัญญาณวิทยุ (radio wave) ที่มีความถี่ต่างๆกัน สามารถส่งไปได้ในระยะทางไกลๆ หรือในสถานที่ที่ไม่สามารถใช้สายส่งได้ แต่เนื่องจากใช้อากาศเป็นตัวกลางในการสื่อสาร ดังนั้นเมื่อสภาพอากาศไม่ดี จึงมีผลต่อสัญญาณวิทยุที่ทำการส่งออกไป สัญญาณวิทยุมีหลายความถี่ ซึ่งใช้ประโยชน์แตกต่างกัน เช่น สัญญาณที่ความถี่ 300 กิโลเฮิรตซ์ (KHz) -3 เมกะเฮิรตซ์ (MHz) ใช้ส่งสัญญาณโทรทัศน์ช่อง 3,5,7,9 วิทยุสายการบิน เป็นต้น
3.ระบบไมโครเวฟ
ระบบไมโครเวฟ (microwave) เป็นการสื่อสารไร้สายโดยการส่งสัญญาณป็นคลื่นไมโครเวฟจากเสาไมโครเวฟต้นหนึ่งไปยังเสาไมโครเวฟที่ตั้งอยู่ในระยะทางที่ไกลออกไป เนื่องจากทิศทางการส่งข้อมูลระหว่างเสาไมโครเวฟ 2 ต้น ส่งในทิศทางที่เป็นเส้นตรง หรือเรียกว่าระยะเส้นสายตา (line of sight) ดังนั้นถ้าระหว่างเส้นทางการส่งข้อมูลมีสิ่งกีดขวางก็จะไม่สามารถส่งสัญญาณได้ ดังนั้นจึงต้องมีการติดตั้งจานรับส่งเป็นสถานีทวนสัญญาณ (repeater station) เพื่อเป็นจุดส่งสัญญาณต่อไปยังเสาไมโครเวฟต้นต่อไป ซึ่งเป็นลักษณะการสื่อสารแบบส่งสัญญาณต่อเนื่องเป็นช่วงๆไป โดยปกติคลื่นไมโครเวฟจะถูกส่งได้ไกลประมาณ 20-30 ไมล์ คลื่นไมโครเวฟ จะถูกรบกวนได้จากสภาพอากาศที่ไม่ดี เช่น ฝนตก ฟ้าร้อง ฟ้าผ่า เป็นต้น
คลื่นไมโครเวฟมีความถี่สูงถึง 2 ล้านรอบ (MHz) ถึง 40 พันล้านรอบต่อวินาที (GHz) สามารถส่งข้อมูลได้ในปริมาณมากถึง 1 ล้านบิตต่อวินาที (Mbps) ถึง 10 พันล้านบิตต่อวินาที (Gbps)
ข้อดีของการสื่อสารด้วยระบบไมโครเวฟ คือ สามารถทำการสื่อสารระยะทางไกลๆได้โดยไม่ต้องเดินสายให้ยุ่งยาก และสามารถส่งข้อมูลได้ในปริมารมาก แต่ข้อเสียคือ คลื่นไมโครเวฟถูกรบกวนได้ง่ายจากสภาพอากาศที่แปรปรวน และมีค่าติดตั้งเสาและจานรับและส่งที่มีราคาแพง
4.การสื่อสารผ่านดาวเทียม
เมื่อต้องการทำการสื่อสารในระยะทางที่ไกลออกไป การเชื่อมต่อโดยใช้สายเคเบิลไมสามารถทำได้ การสื่อสารด้วยระบบไมโครเวฟก็ต้องเสียค่าใช้จ่ายมากและทำการติดตั้งยาก ดังนั้นคำตอบของการสื่อสารในระยะทางไกลอีกวิธีหนึ่ง คือ การสื่อสารผ่านดาวเทียม (satellite communication) การสื่อสารดาวเทียม เป็นการสื่อสารจากพื้นโลกไปสู่ดาวเทียม โดยบนพื้นโลกจะมีสถานีส่งสัญญาณข้อมูลไปยังดาวเทียมที่โคจรอยู่นอกโลก ซึ่งจะทำหน้าที่ทวนสัญญาณและกระจายสัญญาณส่งกลับมายังสถานีรับบนพื้นโลก โดยจะทำการส่งดาวเทียมขึ้นไปอยู่ห่างจากพื้นโลกประมาณ 22.000 ไมล์์ ด้วยระยะทางการส่งข้อมูลระหว่างโลกและดาวเทียมที่อยู่ไกลกันมากทำการส่งข้อมูลมีความล่าช้า (dalay) การสื่อสารผ่านดาวเทียมเหมาะสมกับการสื่อสารระยะไกลมากๆ เช่น การสื่อสารระหว่างประเทศ
ทิศทางการส่งข้อมูล
การสื่อสารข้อมูลจากผู้ส่งไปยังผู้รับมีทิศทางการส่งข้อมูล (transmission mode) 3 รูปแบบ ดังนี้
1.การส่งข้อมูลทิศทางเดียว
การสื่อสารข้อมูลทางเดียว (simplea transmission) เป็นการสื่อสารข้อมูลที่มีผู้ส่งข้อมูลทำหน้าที่ส่งแต่เพียงผู้เดียวและผู้รับทำหน้าที่รับข้อมูลแต่เพียงอย่างเดียว ตลอดการทำการสื่อสารข้อมูลกันผู้รับจะไม่มีการตอบกลับมายังผู้ส่งเลย การสื่อสารข้อมูลในลักษณะนี้ เช่น การรับฟังวิทยุ การดูโทรทัศน์ การรับข้อมูลจากเพจเจอร์ เป็นต้น
2.การส่งข้อมูลสองทิศทางสลับกัน
การสื่อสารข้อมูลโดยการส่งข้อมูลสองทิศทางสลับกัน (half-duplex transmission) เป็นการสื่อสารข้อมูลที่ผู้ส่งเเละผู้รับทำหน้าที่ผลัดกันส่งและรับ โดยที่ระหว่างฝ่ายหนึ่งทำหน้าที่ส่ง อีกฝ่ายหนึ่งจะต้องรอให้ผู้ส่งให้เสร็จก่อนถึงจะสามารถส่งกลับได้ นั่นคือ ณ ขณะใดขณะหนึ่ง จะมีผู้ส่งเพียงฝ่ายเดียวเท่านั้น ไม่สามารถส่งโต้ตอบกันได้ในเวลาเดียวกัน จึงเป็นการผลัดการส่งและรับข้อมูล เช่น การใช้วิทยุสื่อสาร เป็นต้น
3.การส่งข้อมูลสองทิศทางพร้อมกัน
การสื่อสารข้อมูลโดยการส่งข้อมูลสองทิศทางพร้อมกัน (full-duplex transmission) เป็นการสื่อสารข้อมูลที่ทั้งผู้ส่งและผู้รับสามารถเป้นผู้ส่งและผู้รับพร้อมกันได้ในเวลาเดียวกัน นั่นคือ ระหว่างอีกฝ่ายหนึ่งทำการส่งข้อมูลอยู่ อีกฝ่ายหนึ่งก็สามารถส่งข้อมูลตอบกลับมาได้เลยโดย ไม่ต้องรอให้ส่งข้อมูลหมดก่อน เช่น การคุยโทรศัพท์ และการสนทนาผ่านเครือข่ายอินเตอร์เน็ต เป็นต้น
ชนิดของสัญญาณข้อมูล
ข้อมูลอาจจะเป็นข้อความ เสียง หรือภาพเคลื่อนไหว ซึ่งไม่สามารถส่งไปในระยะทางไกลด้วยความเร็วสูง ดังนั้นข้อมูลจะต้องถูกแปลงเป็นสัญญาไฟฟ้าที่เรียกว่า สัญญาณข้อมูล (data signal) ทำให้สามารถส่งผ่านสื่อไปได้ในระยะทางไกลด้วยความเร็วสูง ข้อมูลจะถูกแปลงเป็นสัญญาณข้อมูลได้ 2 ประเภท ดังนี้
1.สัญญาณแอนะล็อก
สัญญาณแอนะล็อก (analog signal) สามารถเขียนแทนได้ด้วยรูปกราฟคลื่อนไซน์ (sine wave) ลักษณะเป็นสัญญาณแบบต่อเนื่อง อธิบายรูปกราฟคลื่นไซต์ด้วยค่าความถี่ และระดับความเข้มของสัญญาณค่าความถี่ คือ จำนวนรอบของคลื่อนที่เคลื่อนที่ใน 1 วินาที หรือในเวลา 1 วินาที คลื่นเคลื่อนที่ได้กี่รอบนั่นเอง เช่น สถานีวิทยุ hotwave กระจายเสียงที่ความถี่ 91.5 เมกะเฮิรตซ์ (MHz) หมายความว่า เสียงดีเจจากคลื่นวิทยุ hotwave จะถูกแปลงเป็นสัญญาณแอนะล็อก โดยใน 1 วินาที สามารถผลิตคลื่นให้มีสัญญาณ 91.5 ล้านรอบ ถ้าผู้รับต้องบการรับฟังเพลงจากสถานีวิทยุ hatwave ก็ต้องหมุนเครื่องรับวิทยุให้ตรงกับความถี่ที่สถานีส่งออกมานั่นเอง ข้อเสียของสัญญาณแบบแอนะล็อก คือ สัญญาณถูกรบกวนได้ง่าย ทำให้เกิดข้อผิดพลาดในการรับส่งข้อมูล เมื่อต้องส่งข้อมูลออกไปในระยะทางไกลระดับของสัญญาณจะอ่อนลง และมีสัญญาณรบกวน ดังนั้นจึงต้องมีเครื่งทวนสัญญาณ เพื่อเพิ่มระดับสัญญาณแส่งต่อไป ตัวอย่างของสัญญาณข้อมูลแบบแอนะล็อก เช่น สัญญาณเสียงในสายโทรศัพท์ สัญญาณเสียงที่ส่งจากสถานีวิทยุ เป็นต้น
2.สัญญาณดิจิทัล
สัญญาณดิจิทัล (digital signal) ลักษณะเป็นกราฟสี่เหลี่ยม (square graph) เป็นสัญญาณแบบไม่ต่อเนื่อง รูปแบบของสัญญาณมีการเปลี่ยนแปลงแบบไม่ปะติดปะต่อ กล่าวคือ มีบางช่วงที่ระดับสัญญาณเป็น 0 การแปลงข้อมูลให้อยู่ในรูปของสัญญาณดิจิทัลต้องทำการเเปลงข้อมูลให้ข้อมูลเป็นแบบดิจิทัลก่น นั่นคือต้องแปลงข้อมูลให้อยู่ในรูปแบบเลขฐานสอง คือ 0 และ 1 แล้วทำการแปลงข้อมุลนั้นให้เป็นสัญญาณดิจิทัล ซึ่งสามารถแปลงได้หลายรูปแบบ เช่น แบบ unipolar แทนบิต 0 ด้วยระดับสัญญาณที่เป็นกลาง และบิต 1 ด้วยระดับสัญญาณเป็นบวก การส่งสัญญาณข้อมูลแบบดิจิทัลมีคุณภาพดีกว่าแบบแอนะล็อก เมื่อต้องการส่งในระยะทางที่ไกลออกไปจะต้องใช้อุปกรณ์ทวนสัญญาณที่เรียกว่า รีพีตเตอรื (repeater) ซึ่งรีพีตเตอร์จะทำการกรองเอาสัญญาณรบกวนออกก่อนแล้วค่อยเพิ่มระดับสัญญาณ จากนั้นจึงส่งออกไป จะเห็นได้ว่าคุณภาพของสัญญาณที่ส่งออกไปจะใกล้เคียงของเดิมที่ส่งมา สัญญาณดิจิทัลมีหน่วยวัดความเร็วเป็นบิตต่อนาที หรือ bit per second (bps) หมายถึง จำนวนบิตที่ส่งได้ในช่วงเวลา 1 วินาที เช่น โมเด็มมีความเร็ว 56 kbps หมายความว่า โมเด็มสามารถผลิตสัญญาณดิจิทัลได้ประมาณ 56,000 บิตใน 1 วินาที
ISO
หมายถึงอะไร
ISO เป็นตัวย่อขององค์กรระหว่างประเทศว่าด้วยการมาตรฐาน (Internatioanal Organization for
Standardization ) ซึ่งมีสำนักงานตั้งอยู่ที่กรุงเจนีวา ประเทศ สวิสเซอร์แลนด์ เป็นองค์กรที่ประกอบด้วย
ตัวแทนในแต่ละประเทศ รับผิดชอบในการจัดทํามาตรฐานสากลตางๆ
ISO 9000 คืออะไร
ตามความหมายโดยทั่วไปแล้วคําว่า ISO9000 ใช้แทนชื่อเรียกชุดมาตรฐานของ ISO9000 ซึ่งประกอบด้วยชุดของมาตรฐานดังนี้
มีมาตรฐาน 3 ประเภทที่ออกมาเมื่อปี 2000
- ISO 9000:2000 Quality management system "Fundamentals and vocabulary"
- ISO 9001:2000 Quality management system "Requirements"
- ISO 9004:2000 Quality management system "Guidance for performance improvement"
ISO 9001
ระบบการจัดการด้านคุณภาพ ISO 9001 ถูกพัฒนาขึ้นเป็นระบบมาตรฐานสากลเพื่อที่จะทําให้มั่นใจได้ว่าผู้ผลิตหรือผู้ให้บริการได้จัดตั้งและรักษาระบบการจัดการด้านคุณภาพที่เป้นมาตรฐานเดียวกัน โดยมีจุดประสงค์ที่จะตอบสนองความ
ต้องการของลูกค้าให้ดียิ่งขึ้น โดยมาตรฐานนี้เกี่ยวกับ การออกแบบ การพัฒนา การผลิต และการให้บริการ ซึ่งสามารถ
ใช้ได้กับทุกประเภทธุรกิจในทุกอุตสาหกรรม บริษัทจําเป็นต้องมีความตระหนักและเป้าหมายที่
ชัดเจนรวมท้งหลักฐานของระบบการจัดการที่มีประสิทธิผล เพื่อใหสามารถประสบความสําเร็จในการเตรียมตัวตามข้อกําหนดของมาตรฐาน
ใบรับรองมาตรฐาน ISO 9001 เป็นหลักฐานแสดงให้เห็นว่าระบบการจัดการด้านคุณภาพถูกนําไปใช้ในองค์กรอย่างเป็นระบบและมีประสิทธิภาพ นอกจากนี้ใบรับรองมาตรฐานนี้ยังสามารถนํามาใช้เป็น countermeasure สําหรับแก้ปัญหาเกี่ยวกับ product liability ที่มีแนวโน้มเพิ่มมากขึ้น
อะไรคือหลักการของมาตรฐาน ISO9001:2000
มาตรฐาน ISO9001:2000 ระบุข้อกําหนดที่เป็นในระบบบริหารคุณภาพ โดยมุ่งสร้างความพึงพอใจต่อ
ลูกค้าอย่างเป็นระบบมากกว่าการมุ่งเน้นทดสอบ ตรวจสอบในผลิตภัณฑ์หรือบริการ ด้วยการมุ่งส่งเสริมให้มีการนําเอาแนวทางการจัดการโดยมองแบบกระบวนการ ในการบริหารงานด้าน
คุณภาพขององค์กร
โดยรวมๆ ว่ากิจกรรมใดๆ ก็ตามที่มีการรับ สิ่งป้อนเข้า (inputs) แล้วมีการเปลี่ยนแปลงให้กลายเป็นผลิตผล
ของกิจกรรม และส่งออกไปเป็นสิ่งป้อนออก (outputs) แล้วกิจกรรมเช่นกล่าวถึงนี้ อาจเรียกว่าเป็น
กระบวนการ (a process)
โดยธรรมชาติแล้ว แต่ละองค์การธุรกิจยอมประกอบขึ้นจากหลายๆ หน่วยงานที่มีกจกรรมแตกต่างกันโดยดําเนินงานเชื่อมประสานสอดรับกันภายใต้กรอบวัตถุประสงค์เดียวกันด้วยกฎเกณฑ์ หรือกติกาในการทํางานอันเดียวกัน ดังนั้น องค์การที่มุ่งสู่การดําเนินงานอย่างมีประสิทธิผลย่อมต้องระบุชี้แต่ละกิจกรรมหรือ
กระบวนการย่อยๆ ทั้งหลายในองค์การอย่างชัดเจนและบริหารบรรดากระบวนการต่างๆ เหล่านี้อยางมีประสิทธิผล เพราะสิ่งป้อนออก (ผลิตผล) จากกระบวนการหนึ่งอาจจะเป็นสิ่งป้อนเข้าใหแก่อีกกระบวนการหนึ่ง (ที่อยู่ถัดไปก็ได้)
การระบุชี้กระบวนการและการบริหารกระบวนการทั้งหมดในองค์การอย่างเป็นระบบ รวมถึง การจัดการ
ด้านปฏิสัมพันธ์อันเหมาะสมระหว่าง กระบวนการทั้งหลายภายในองคการเช่นนี้ อาจเรียกได้ ว่าเป็น“การ
จัดการด้านคุณภาพโดยการมองแบบกระบวนการ ” หรือ Process approach to quality management.
ภารกิจ
ปัจจุบันองค์การระหว่างประเทศว่าด้วยมาตรฐาน
หรือ ISO มี
ประกอบด้วยสมาชิกจากประเทศต่าง ๆ ทั่วโลกปัจจุบัน 143
ประเทศ โดยมีภารกิจ หลักคือ
- ให้การสนับสนุนและพัฒนามาตรฐาน
และกิจกรรมที่เกี่ยวข้อง เพื่อสนองต่อการค้าขายแลกเปลี่ยนสินค้า
และการบริการของนานาชาติทั่วโลก
- พัฒนาความร่วมมือในด้านวิทยาศาสตร์เทคโนโลยี
เศรษฐศาสตร์ และภูมิปัญญาของมวลมนุษยชาติ
ISO ประกอบด้วยสมาชิก
3
ประเภท คือ
1.
Member Body เป็นสถาบันมาตรฐานแห่งชาติ
ซึ่งหมายถึง เป็นตัวแทนทางด้านการมาตรฐานของประเทศนั้น ๆ
มีสิทธิออกเสียงในเรื่องของวิชาการ มีสิทธิเข้ารับการเลือกตั้งเป็นคณะมนตรี ISO
และสามารถเข้าร่วมประชุมสมัชชาใหญ่
2.
Correspondent Member เป็นหน่วยงานของประเทศกำลังพัฒนา
ซึ่งยังไม่มีสถาบันมาตรฐานเป็นของตัวเอง
สมาชิกประเภทนี้จะไม่เข้าร่วมในเรื่องของวิชาการ
แต่มีสิทธิจะได้รับข่าวสารความเคลื่อนไหวของ ISO
และเข้าร่วมประชุมสมัชชาใหญ่ในฐานะผู้สังเกตการณ์
3.
Subscribe Membership สมาชิกประเภทนี้
เปิดสำหรับกลุ่มประเทศที่มีเศรษฐกิจค่อนข้างเล็กให้สามารถติดต่อกับ ISO
ได้
ISO 27001
ISO/IEC
27001:2005 Information Security Management Systems (ISMS)
ระบบมาตรฐานด้านความปลอดภัยของข้อมูล
เป็นมาตรฐานที่มีวัตถุประสงค์เพื่อให้การดำเนินธุรกิจเป็นไปอย่างต่อเนื่อง
ซึ่งข้อกำหนดต่างๆ ถูกกำหนดขึ้นโดยองค์กรสากล ISO(International
Organization for Standardization ) และ
IEC (International Electro technical
Commission) การประยุกต์ใช้ ISO
27001
จะช่วยให้กิจกรรมทางธุรกิจสามารถดำเนินไปได้อย่างต่อเนื่อง
ช่วยป้องกันระบบข้อมูลและสารสนเทศขององค์กรจากความเสี่ยงต่อภัยคุกคามต่างๆ
สำหรับทุกประเภท Electro technologies ทั้ง
ISO และ
IEC ได้รับการสนับสนุน
โดยองค์กรสมาชิกระดับชาติ
ที่มาของ ISO 27001
ที่มาของความสำคัญสำหรับ
ISO 27001
หัวใจสำคัญของระบบบริหารความปลอดภัยสารสนเทศนั้นอยู่ที่
3
ปัจจัยหลักโดยพื้นฐานดังต่อไปนี้
1.
ข้อมูลส่วนตัว ข้อมูลสำคัญขององค์กร
การรักษาความปลอดภัยด้านข้อมูลไม่ให้ถูกขโมย
ลักลอบนำไปใช้ ดัดแปลง หรือทำให้เกิดข้อผิดพลาดอื่นใด
ซึ่งสำหรับหลายหน่วยงานอาจเป็นอันตรายระดับวิกฤติได้
ซึ่งข้อมูลนี้ไม่เพียงเฉพาะข้อมูลสำคัญขององค์กรแต่ยังรวมถึงข้อมูลส่วนตัว
ของลูกค้าหรือบุคคลที่สามที่เกี่ยวข้องอื่นๆ ด้วย
2.
การบริหารความเสี่ยงจากเหตุการณ์และปัจจัยต่างๆ
การบริหารความเสี่ยงจากเหตุการณ์และปัจจัยต่างๆ
ซึ่งปัจจุบันมีการคำนึงถึงการตั้งไซต์สำรอง
ในลักษณะของศูนย์สำรองข้อมูลและดำเนินการกู้คืนระบบภายหลังภัยพิบัติหรือ Disaster
Recovery Center (DRC) ซึ่งมีความสำคัญมากในหลายธุรกิจ
เช่น ธุรกิจการเงิน หรือบริการด้านสุขภาพ
เพราะข้อมูลเหล่านั้นมีความสำคัญยิ่งยวดต่อความสามารถในการดำเนินธุรกิจให้
ต่อเนื่องต่อไปได้ (Business continuity)
3.
บริหารระบบเพื่อป้องกันความปลอดภัยของข้อมูล
รายละเอียดการบริหารระบบเพื่อป้องกันความปลอดภัยของข้อมูล
ซึ่งหัวข้อนี้นับเป็นหนึ่งในรายละเอียดหลักของเนื้อหาในร่างมาตรฐาน ISO
27000 ทั้งหมดก็ว่าได้ โดยครอบคลุมตั้งแต่นโยบาย
แผน กลยุทธ์ การตรวจวัด การบริหาร และการควบคุมการปฏิบัติการ
ปัจจัยในการพิจารณาความปลอดภัยของระบบสารสนเทศ
ลับของข้อมูล (Confidentiality)
ความลับของข้อมูล (Confidentiality)
- ความถูกต้องสมบูรณ์ของข้อมูล (Integrity)
- ความพร้อมใช้งานของข้อมูล (Availability)
- การยืนยันตัวตนของผู้ใช้ (Authentication)
- การควบคุมสิทธิในการใช้งานของผู้ใช้
(Authorization)
การไม่สามารถปฏิเสธการกระทำ (Non
repudiation)องค์กรธุรกิจระดับสากลจึงได้นำแนวคิดการ บริหารจัดการเทคโนโลยีสารสนเทศที่ดีหรือที่รู้จักกันอย่างแพร่หลายว่า “ไอทีภิบาล” (IT Governance) มาปรับใช้เป็นแนวทาง เพื่อสร้างความเชื่อมั่นให้กับองค์กรว่าจะสามารถบริหารจัดการกระบวนการทำงาน ทางด้านไอทีให้มีความสอดประสานกับวัตถุประสงค์ขององค์กร (IT Alignment)
IT governance
หลักในการบริหารจัดการด้านไอทีเรียกว่า IT governance ซึ่งเมื่อกล่าวถึงIT Governance คือการที่องค์กรมุ่งเน้นประโยชน์จากการนำไอทีมาใช้เพื่อให้องค์กรสามารถดำเนินธุรกิจได้ตามเป้าหมาย 2 ด้านคือ
ทั้ง 2 ด้านดังกล่าวคือประโยชน์ที่ธุรกิจจะได้รับจากการที่องค์กรมี ธรรมาภิบาลด้านไอทีหรือที่เรียกว่า IT Governance ทั้งนี้ IT Governance จะสามารถเกิดขึ้นได้ในองค์กรอาจทำโดยเครื่องมือที่ช่วยในการขับเคลื่อนให้องค์กรเกิด IT Governance เรียกว่า Cobit ซึ่งเครื่องมือหรือกรอบวิธีปฏิบัติโคบิตดังกล่าวเป็นเครื่องมือสมาคมผู้ตรวจสอบเทคโนโลยีสารสนเทศ (ISACA) พัฒนามาใช้ตั้งแต่เวอร์ชั่น2 -3 สำหรับผู้ตรวจสอบทางด้านไอที Cobit มี วิวัฒนาการมากยิ่งขึ้นนอกจากใช้เป็นเครื่องมือตรวจสอบแล้วยังใช้เป็นเครื่อง มือที่ช่วยตั้งแต่วางแผนกลยุทธ์ให้กับองค์กรในการนำไอทีมาใช้เพราะตั้งแต่โค บิต 4 เป็นต้นมากรอบวิธีปฏิบัติได้พัฒนาการเชื่อมโยงกระบวนการหลักทางด้านไอที4 ด้าน เข้ากับเป้าหมายทางธุรกิจตามหลัก BSC ไว้ตั้งแต่การวางแผนและการจัดการองค์กรของตน จึงเห็นได้ว่าปัจจุบันกรอบวิธีปฏิบัติโคบิตได้กลายเป็นที่นิยมแพร่หลายในวงการตรวจสอบไอทีและ IT management สำหรับองค์กรธุรกิจอีกด้วย จนปัจจุบันISACA ได้พัฒนาจนถึงเวอร์ชั่น 5 ล่าสุดครอบคลุมหลักการในการบริหารจัดการไอทีที่เป็นรูปธรรมมากยิ่งขึ้น
กรอบวิธีปฏิบัติโคบิตสามารถนำมาใช้วางแผนกลยุทธ์ให้กับองค์กรและนำมาใช้เป็นเครื่องมือช่วยผู้ตรวจสอบภายด้านไอทีใช้เป็น checklist ช่วยตรวจสอบเพื่อสร้างความมั่นใจให้กับองค์กรนั้นๆ ว่ากระบวนการปฏิบัติงานเหล่านั้นตั้งแต่การวางแผน การจัดหาและติดตั้ง การพัฒนาระบบ ตลอดจนกระบวนการควบคุมและตรวจสอบ องค์กรของท่านได้ดำเนินงานอย่างมีระเบียบแบบแผนอย่างมีขั้นมีตอนตลอดจนตรวจสอบการทำงานที่เกี่ยวข้องกับกระบวนการด้านไออย่างโปร่งใส
การวางรากฐานขององค์กรให้ดำเนินธุรกิจและใช้ไอทีตามหลัก IT governance เป็นสิ่งสำคัญอย่างยิ่งที่จะช่วยให้องค์กรสามารถบริหารจัดการไอทีทั่วทั้งองค์กรได้อย่างเหมาะสม และเกิดประโยชน์คุณค่ากับองค์กรสูงสุด โดยอาศัยเครื่องมือเช่น Cobit framework ITIL CMMI กรอบวิธีปฏิบัติหรือมาตรฐานในการทำงาน เป็นต้น หากนำมาเลือกใช้อย่างเหมาะสมแล้วจะเป็นตัวขับเคลื่อนองค์กรให้ใช้ไอทีในการ สร้างศักยภาพทางการแข่งขันให้ต่อสู้ในโลกธุรกิจปัจจุบันที่ได้
- IT Governance VS GRC
หลักของการบริหารจัดการไอทีตาม IT Governance เป็นเพียงเครื่องมือที่ช่วยบริหารจัดการไอทีของ องค์กรให้มีประสิทธิภาพเท่านั้น แต่การที่องค์กรขนาดใหญ่จะอยู่ดำเนินธุรกิจอยู่รอดภายใต้คู่แข่งขันมากมาย และทำอย่างไรธุรกิจจะเจริญเติบโตอย่างยั่งยืนและมั่นคงต่อไปได้นั้น นอกจากการนำไอทีมาใช้แล้ว หลักในการบริหารจัดการองค์กรอย่างยั่งยืนที่ได้รับการยอมรับและนำมาใช้อย่าง แพร่หลายและอาจเรียกได้ว่าเป็นยุคของ GRC ก็ว่าได้ เพราะแนวคิด GRC เป็นการรวมส่วนประกอบหลักของการบริหารจัดการธุรกิจทั่วทั้งองค์กรภายใต้ 3 แนวคิดหลักได้แก่ Governance Risk และcompliance ที่ได้รวมเข้ากันอย่างสอดคล้องสัมพันธ์กัน
ดังนั้นหลักธรรมาภิบาลด้านไอทีที่ดีของ IT Governance กลายเป็นส่วนหนึ่งของความสำเร็จที่จะช่วยองค์กรธุรกิจบริหารจัดการองค์กรได้ตั้งแต่การวางแผน การจัดหาการพัฒนาและติดตั้ง ตลอดจนกระบวนการในการควบคุมและตรวจสอบ ครอบคลุม 4กระบวนการหลักด้านไอที
ทำไมองค์กรต้องมี GRC
GRC มาจากคำว่า Governance Risk and Compliance
· G : Governance : ครอบคลุมด้านนโยบาย หน้าที่ความรับผิดชอบของผู้บริหารระดับสูงขององค์กรที่จะต้องกำหนดนโยบาย ทิศทาง ตามวิสัยทัศน์ ที่ได้วางไว้เป็นแบบอย่างให้กับองค์กร เช่น นโยบายในการบริหารธุรกิจอย่างโปร่งใส การดำเนินกิจการโดยใช้กลยุทธ์แบบ Synergy group เป็นต้น
· R: Risk คือหลักในการบริหารความเสี่ยงขององค์กรที่ครอลคลุมการบริหารความเสี่ยง4 ด้านหลัก Operational risk, IT risk,,……… ตลอดจนความเสี่ยงด้านกลยุทธ์ขององค์กรที่อาจทำให้องค์กรไม่ประสบความสำเร็จในการดำเนินงานได้เช่น การประเมินความเสี่ยงในการดำเนินธุรกิจ จัดการความเสี่ยงที่อาจจำเกิดขึ้น การยอมรับกับความเสี่ยงนั้นๆ ได้ เป็นต้น
· C: Compliance คือการปฏิบัติตามระเบียบข้อบังคับขององค์กร ที่ได้กำหนดไว้ โดยจะต้องสอดคล้องกับวิสัยทัศน์ เช่น การปฏิบัติตามกฎหมายพระราชบัญญํติ ..... การที่องค์กรปฏิบัติตาม CMMI ในการพัฒนาโปรแกรมเพราะองค์กรดำเนินธุรกิจแบบพัฒนาซอฟแวร์ ธุรกิจหลักคือพัฒนาโปรแกรมขายลูกค้า ดังนั้นกรอบในการดำเนินงานจึงต้องได้รับการรับรองเป็นมาตรฐานสากล เพื่อให้องค์กรต่างๆ ที่ใช้บริการยอมรับในสินค้าและบริการ เป็นต้น
· การนำ GRC มาใช้งาน
แม้ว่า G , R และ C จะเป็นหลักในการบริหารจัดการองค์กรที่เกิดขึ้นมานานแล้ว แต่เมื่อเวลาเปลี่ยนแปลงไป เทคโนโลยีมีความทันสมัยมากยิ่งขึ้น มาตรฐานหรือกรอบในการทำงานจะต้องถูกพัฒนาขึ้นอย่างต่อเนื่องให้ทันกับการเปลี่ยนแปลง ดังนั้นแม้เป็นเพียงกรอบ GRC ก็พบว่ามีการเปลี่ยนแปลงปรับปรุงให้ทันสมัยอยู่เสมอ จากเดิมกล่าถึงคำว่า “G” , “R” , “C” แยกจากกันต่างแผนกกันต่างทำ แล้วต่างพูดกันว่าองค์กรมีการทำGRC เรียบร้อยแล้ว กรอบดังกล่าวเป็นความเชื่อที่ผิด เนื่องจากปัจจุบันวิธีการพัฒนาGRC ให้เกิดขึ้นในองค์กรจะต้องพัฒนาในเชิงบูรณณาการหรือเรียกว่า GRC integrated เพราะการแบ่งแยกพัฒนาทีละ module ทีละเรื่องโดยแยกจากกันไม่คุยกัน จะทำให้องค์กรได้รับ solutions ที่แบ่งแยกกันอย่างชัดเจน การปรับแก้ไขทำได้ยากในอนาคต และทำให้เกิดความซ้ำซ้อนของข้อมูลในระบบเมื่อทำการ integrate กันแล้ว ซึ่งไม่ก่อให้เกิดประโยชน์กับองค์กร
โดยปกติการ implement GRC ขององค์กร หลายองค์กรโดยเฉพาะหน่วยงานRegulator เช่น สคร ตลาดหลักทรัพย์แห่งประเทศไทย ต่างใช้ GRC เป็นเครื่องมือในการประเมินความสามารถของการบริหารจัดการองค์กรตามแนวคิดของ COSO ที่องค์กรมุ่งเน้นการออกรายงานทางการเงินที่ถูกต้องเพื่อให้เกิดความน่าเชื่อถือต่อองค์กรธุรกิจนั้นๆ มากยิ่งขึ้น ประกอบกับ Regulator หลายทีนำ COSO มาเป็นต้นแบบในการประเมินผลการปฏิบัติงาน จึงไม่แปลกอะไรเลยถ้าเราจะเห็นองค์เหล่านี้มีการนำ COSO framework มาใช้ทำ GRC ตัวอย่าง product ที่ใช้ framework coso ในการพัฒนาGRC
การบริหารจัดการองค์กรธุรกิจตามหลักธรรมาภิบาลที่ดี ถูกกำหนดขึ้นครั้งแรกในประเทศไทยปีพ.ศ. 2549 เรียกว่า หรือ ”หลักบรรษัทภิบาล” หรือ “หลักการกำกับดูแลกิจการ” ปัจจุบันมักนิยมใช้คำว่า “หลักธรรมาภิบาล” มาจากคำว่า Corporate Governance (ที่มา:บรรษัทภิบาลแห่งชาติ (National CG Committee)) ดังนั้นในหนังสือฉบับนี้ จะขอใช้คำว่า “หลักธรรมาภิบาล” หน่วยงานทั้งภาครัฐและเอกชนต่างยอมรับนำมาเป็นกรอบในการบริหารจัดการองค์กร มุ่งเน้นให้องค์กรนั้นๆ ดำเนินกิจการงานเพื่อประโยชน์ 3 มุมมอง ดังต่อไปนี้
1. ทำให้มีประสิทธิภาพและประสิทธิผล (Efficiency and Effectiveness) ใน การดำเนินงานมากขึ้น เนื่องจากบรรษัทภิบาลเป็นเครื่องมือช่วยตรวจสอบการทำงานด้านต่างๆ ขององค์กร ซึ่งทำให้เกิดแนวทางในการ เสนอข้อคิดเห็นให้กับองค์กรเพื่อปรับปรุงแก้ไขการดำเนินงาน
2. ทำให้บริษัทมีความสามารถในการแข่งขัน (Competitiveness) เนื่อง จากบริษัทที่มีบรรษัทภิบาล ที่ดีจะทำให้เกิดรูปแบบกิจการที่เป็นที่ยอมรับว่า มีมาตรฐานการปฏิบัติงานที่เป็นสากล ซึ่งจะทำให้มี คุณลักษณะเหนือกว่าผู้อื่นทั้งในเรื่องกลยุทธ์ และการจัดการ
3. เพิ่มความเชื่อมั่นแก่ผู้เกี่ยวข้อง (Stakeholders Confidence) ว่า บริษัทมีความโปร่งใส ในการบริหาร จัดการที่จะช่วยป้องกันการแสวงหาผลประโยชน์จาก กรรมการและฝ่ายจัดการ กล่าวคือ หากไม่มีบรรษัทภิบาล ที่ดี ผู้ที่เกี่ยวข้องก็ไม่อยากที่จะเสี่ยงกับบริษัทสามารถปฏิบัติงานได้มีทำให้มีประสิทธิภาพและประสิทธิผล (Efficiency and Effectiveness) ในการดำเนินงาน
จะเห็นได้ว่าประโยชน์ของการที่องค์กรมีธรรมาภิบาลที่ดีสร้างคุณค่าให้กับ ธุรกิจอย่างยิ่ง ซึ่งแนวปฏิบัติที่ดีดังกล่าวได้รับการยอมรับยึดถือเป็นหลักประกันความมั่นใจ ให้กับหน่วยงานในประเทศไทยเช่น ตลาดหลักทรัพย์แห่งประเทศไทย กระทรวงการคลัง สำนักงานคณะกรรมการรัฐวิสาหกิจ ได้ใช้เป็นกรอบปฏิบัติที่ให้องค์กรภายใต้การกำกับยึดถือเป็นกรอบในการ ปฏิบัติที่ดี (Best Practice) เพราะหลักการดังกล่าวประกอบไปด้วยเรื่องที่ครอบคลุมกระบวนการที่เกี่ยวข้องครอบคลุมทุกส่วนของการดำเนินธุรกิจ ก่อ ให้เกิดประโยชน์สูงสุดต่อผู้มีส่วนได้เสียและยังช่วยสร้างความอย่างยั่งยืน และมั่นคงต่อไป ภายใต้สภาพแวดล้อมทางสังคมและเศรษฐกิจที่ตกต่ำได้
กรอบงานโคบิต
1.1 ภาพรวมของโคบิต
จากนั้นได้มีการปรับปรุงเป็นเวอร์ชันที่ 2 (CoBIT 2rdedition) ในปี 1998 โดยในเวอร์ชันที่ 2 มีการเพิ่มเติมแหล่งข้อมูลและมีการทบทวนเนื้อหาในส่วนของวัตถุประสงค์การควบคุมหลักและเนื้อหาอื่นๆ บางส่วน ต่อมาได้มีการพัฒนาเป็นเวอร์ชันที่ 3 (CoBIT 3 edition) ในปี 2000 (ส่วนที่เป็น on-line edition ได้รับการเผยแพร่ในปี 2003) และเวอร์ชันที่ 4 (CoBIT 4.0) ซึ่งเป็นเวอร์ชันล่าสุดโดยได้มีการเผยแพร่ในเดือนธันวาคมปี 2005 โดยเป็นการปรับปรุงเนื้อหาให้มีความใกล้เคียงกับมาตรฐานสากลต่างๆ เช่น Sarbanes-Oxley Act. เป็นต้น
สถาบันเทคโนโลยีสารสนเทศาภิบาล (ITGI) จัดตั้งขึ้นเมื่อปีค.ศ. 1998 โดยสมาคมการควบคุมและตรวจสอบระบบสารสนเทศ (ISACA) และสมาคมอื่นๆ ที่เกี่ยวข้อง โดยมีวัตถุประสงค์เพื่อเสริมสร้างความเข้าใจและนำหลักการด้านการกำกับดูแลที่ดีด้านเทคโนโลยีสารสนเทศมาใช้งาน โดยมีการเพิ่มเติมแนวทางในการบริหาร หรือ แนวทางสำหรับผู้บริหาร (Management Guideline) เข้ามาในโคบิตเวอร์ชันที่ 3 รวมถึงการเสริมสร้างและยกระดับการกำกับดูแลที่ดีด้านเทคโนโลยีสารสนเทศ
โคบิตนั้นถูกพัฒนาโดยมีพื้นฐานมาจากกรอบวิธีปฏิบัติต่างๆ หลายตัว เช่น Capability Maturity Model (CMM) ของ Software Engineering Institute (SEI), ISO 9000 และ Information Technology Infrastructure Library (ITIL) โดยเดิมทีผู้พัฒนาตั้งใจที่จะสร้างให้โคบิตเป็นเครื่องมือ หรือ แนวทางที่ใช้ในการปฏิบัติงานของผู้ตรวจสอบการควบคุมภายในด้านเทคโนโลยีสารสนเทศ แต่ต่อมามีการนำไปใช้โดยผู้บริหารธุรกิจ และผู้บริหารระบบสารสนเทศมากขึ้น เนื่องจากโคบิตเป็นทั้งแนวคิดและแนวทางในการปฏิบัติ เพื่อให้การควบคุมภายในด้านเทคโนโลยีสารสนเทศสามารถดำเนินไปได้อย่างมีประสิทธิภาพ โดยมีการอ้างอิงถึงแนวทางการปฏิบัติที่ดีที่สุด (Best Practice) ซึ่งสามารถนำไปปรับใช้ได้ในทุกองค์กรสำหรับกิจกรรมที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ เพื่อมุ่งเน้นในการยกระดับประสิทธิภาพของระบบเทคโนโลยีสารสนเทศที่เป็นส่วนผลักดันงานขององค์กร (มากกว่าการมุ่งเน้นทางด้านของการรักษาความมั่นคงปลอดภัยของเทคโนโลยีสรสนเทศเหมือนมาตรฐาน ISO/IEC 27001) ดังนั้นโคบิตจึงเริ่มเป็นที่แพร่หลายในกลุ่มของผู้บริหารงานด้านเทคโนโลยีสารสนเทศด้วย
โคบิตเป็นบทสรุปรวมของความรู้หรือข้อมูลต่างๆ ที่องค์กรต้องการสำหรับการนำไปปรับใช้เพื่อให้องค์กรมีการควบคุมภายในด้านเทคโนโลยีสารสนเทศที่ดี และเพื่อพัฒนาองค์กรให้เข้าสู่การเป็นองค์กรที่มี “ธรรมาภิบาลด้านเทคโนโลยีสารสนเทศ” หรือ IT Governance กล่าวคือ สามารถบริหารจัดการระบบสารสนเทศขององค์กรให้สามารถใช้งานได้อย่างมีประสิทธิภาพ มีความคุ้มค่ากับการลงทุน และมีการบริหารจัดการที่โปร่งใสสามารถตรวจสอบได้ โดยโคบิตจะรวบรวมตัววัด (Measures) เครื่องบ่งชี้ (Indicators) ขั้นตอนการปฏิบัติงาน (Processes) และ แนวทางการปฏิบัติที่ดีที่สุด (Best Practices) ซึ่งเป็นข้อมูลที่มีโครงสร้าง สามารถเข้าใจและนำไปใช้ได้โดยง่ายอีกทั้งเป็นที่ยอมรับกันโดยทั่วไป ผู้ที่นำโคบิตไปใช้ (ได้แก่ ผู้บริหารธุรกิจ ผู้บริหารระบบสารสนเทศ และผู้ตรวจสอบ) สามารถนำสิ่งต่างๆ เหล่านี้ไปใช้เป็นเครื่องมือเพื่อสร้างประโยชน์สูงสุดจากการนำเทคโนโลยีสารสนเทศเข้ามาใช้งานภายในองค์กร และช่วยให้การลงทุนทางด้านเทคโนโลยีสารสนเทศประสบความสำเร็จอย่างตรงตามความต้องการทางด้านธุรกิจ เนื่องจากการนำโคบิตเข้ามาใช้จะช่วยให้ผู้ที่ปฏิบัติงานต่างๆ มีความเข้าใจในระบบเทคโนโลยีสารสนเทศที่ตนเองเกี่ยวข้องมากยิ่งขึ้น อีกทั้งยังช่วยในเรื่องของการยกระดับของการควบคุมด้านความปลอดภัยที่จำเป็นสำหรับการป้องกันสินทรัพย์ต่างๆ ขององค์กร
แนวทางในการบริหารจัดการของโคบิตเขียนขึ้นเพื่อให้สามารถนำไปใช้ปฏิบัติได้จริง และเพื่อให้สามารถตอบคำถามต่างๆ ของผู้บริหารได้ เช่น
- องค์กรสามารถเติบโตได้ถึงขั้นไหน (ในด้านของการนำเทคโนโลยีสารสนเทศมาใช้ในองค์กร)
- การลงทุนทางด้านเทคโนโลยีสารสนเทศคุ้มค่ากับประโยชน์ที่องค์กรจะได้รับหรือไม่
- ควรใช้อะไรเป็นตัวชี้วัดถึงประสิทธิภาพในการดำเนินงานด้านเทคโนโลยีสารสนเทศที่ดี
- อะไรเป็นปัจจัยที่สำคัญที่จะทำให้องค์กรประสบความสำเร็จได้ตรงตามเป้าหมายที่กำหนดไว้
- ความเสี่ยงที่จะทำให้องค์กรไม่สามารถบรรลุวัตถุประสงค์ที่ตั้งไว้มีอะไรบ้าง จะมีวิธีการตรวจสอบและการควบคุมอย่างไร เพื่อลดโอกาสเกิดของความเสี่ยงดังกล่าวให้น้อยลง
เราสามารถนำมาตรฐาน หรือ แนวทางปฏิบัติอื่นๆ ที่มีจุดมุ่งหมายที่ต้องการจะเน้นที่การควบคุมเฉพาะจุดใดจุดหนึ่ง มาประยุกต์ใช้ร่วมกับโคบิตได้ เช่น กลุ่มมาตรฐานของ ISO/IEC 27000 (ISO/IEC 27000 series) ซึ่งเป็นมาตรฐานที่เน้นในเรื่องของการรักษาความปลอดภัยของเทคโนโลยีสารสนเทศ หรือ มาตรฐาน ISO/IEC 9001:2000 ซึ่งเป็นมาตรฐานที่เน้นในเรื่องของการจัดการความต้องการทางด้านคุณภาพของระบบ (Quality Management Systems Requirement) หรือ มาตรฐานของ Information Technology Infrastructure Library (ITIL) ซึ่งเป็นมาตรฐานที่เน้นในเรื่องของการให้บริการด้านเทคโนโลยีสารสนเทศที่มีคุณภาพ หรือ มาตรฐาน Capability Maturity Model Integration (CMMI) ซึ่งเป็นมาตรฐานที่เน้นในเรื่องของการพัฒนาและผลิตซอร์ฟแวร์ที่มีคุณภาพ รวมไปถึงมาตรฐาน Projects in Controlled Environments 2 (PRINCE2) ซึ่งเป็นมาตรฐานที่เน้นในเรื่องของการบริหารจัดการโครงการที่มีประสิทธิภาพ เป็นต้น เนื่องจากโคบิตเป็นกรอบการปฏิบัติที่บอกให้ผู้ปฏิบัติทราบว่าต้องการอะไรบ้าง (what to do) แต่ไม่มีรายละเอียดในแง่ของวิธีการปฏิบัติที่จะนำไปสู่จุดนั้น (how to do) ดังนั้นผู้ปฏิบัติจึงควรนำมาตรฐาน หรือแนวทางปฏิบัติอื่นๆ เข้ามาช่วยเสริมในส่วนของรายละเอียดที่เจาะลึกลงไปในเรื่องที่ต้องการได้
โครงสร้างของโคบิตถูกออกแบบให้อยู่บนพื้นฐานของกระบวนการทางธุรกิจ (Business Process) ซึ่งแบ่งเป็น 4 กระบวนการหลัก (Domains) ได้แก่
- การวางแผนและการจัดองค์กร (Plan and Organize : PO)
- การจัดหาและนำระบบออกใช้งานจริง (Acquire and Implement : AI)
- การส่งมอบและการสนับสนุน (Delivery and Support : DS)
- การติดตามและประเมินผล (Monitor and Evaluate : ME)
ในแต่ละกระบวนการหลักข้างต้น โคบิตยังได้แสดงถึงวัตถุประสงค์การควบคุมหลัก (High-Level Control Objectives) รวมทั้งหมด 34 หัวข้อ และในแต่ละหัวข้อจะประกอบไปด้วยวัตถุประสงค์การควบคุมย่อย (Detailed Control Objectives) รวมทั้งหมดถึง 318 หัวข้อย่อย พร้อมทั้งยังมีแนวทางการตรวจสอบ (Audit Guideline) สำหรับแต่ละหัวข้อการควบคุมอีกด้วย (ซึ่งรายละเอียดจะกล่าวในหัวข้อถัดไป) นอกจากนี้โคบิตได้แสดงถึงความสัมพันธ์ต่อปัจจัยหลัก 2 ตัว ในทุกๆ หัวข้อของวัตถุประสงค์การควบคุม ได้แก่
- คุณภาพของสารสนเทศ (Information Criteria)
- ทรัพยากรด้านเทคโนโลยี (IT Resources)
คุณภาพของสารสนเทศ 7 ประการ
- ประสิทธิภาพ (Effectiveness) หมายถึง มีการจัดการกับข้อมูลที่ใช้หรือเกี่ยวข้องกับกระบวนการทางธุรกิจ โดยเฉพาะการส่งมอบสารสนเทศต่างๆ ให้แก่ผู้ใช้ได้อย่างถูกต้อง ทันเวลา และสามารถใช้ประโยชน์ได้
- ประสิทธิผล (Efficiency) หมายถึง มีการใช้ประโยชน์จากทรัพยากรอย่างเต็มที่ (คือให้ผลตอบแทนสูงสุดในขณะที่ใช้ต้นทุนที่ต่ำที่สุด) เพื่อให้ได้มาซึ่งสารสนเทศที่ผู้ใช้ต้องการ
- การรักษาความลับ (Confidentiality) หมายถึง มีการป้องกันการเปิดเผยข้อมูลที่มีความสำคัญต่อบุคคลหรือหน่วยงานที่ไม่ได้รับอนุญาต
- ความสมบูรณ์ของข้อมูล (Integrity) หมายถึง ความถูกต้องตรงกันและความครบถ้วนสมบูรณ์ของสารสนเทศที่มีอยู่ในองค์กร
- ความพร้อมใช้งานของข้อมูล (Availability) หมายถึง การที่สามารถเรียกใช้ข้อมูลสารสนเทศได้ตลอดเวลาเมื่อผู้ใช้ต้องการ รวมถึงการป้องกันและรักษาความปลอดภัยให้กับทรัพยากรที่จำเป็นต่างๆ และการรักษาระดับความสามารถในการทำงานของทรัพยากรเหล่านั้น ห้ามารถทำงานได้อย่างมีประสิทธิภาพอยู่ตลอดเวลา
- การปฏิบัติตามระเบียบ (Compliance) หมายถึง การที่องค์กรปฏิบัติตามกฎ ระเบียบ ข้อบังคับ หลักเกณฑ์ ข้อตกลง หรือกฎหมาย ที่เกี่ยวข้องกับกระบวนการทางธุรกิจที่มีขึ้นเพื่อบังคับใช้ทั้งจากหน่วยงานภายในและภายนอกองค์กร
- ความน่าเชื่อถือของข้อมูล (Reliability) หมายถึง ความสามรถในการหาข้อมูลที่เหมาะสมและเชื่อถือได้ ให้แก่ผู้บริหารเพื่อใช้ในการดำเนินธุรกิจและให้สามารถจัดทำรายงานทางการเงินหรือรายงานอื่นๆ ที่จำเป็น
ทรัพยากรด้านเทคโนโลยีสารสนเทศ 4 ประเภท
- ระบบงานประยุกต์ (Application Systems) ได้แก่ ขั้นตอนและกระบวนการที่ใช้ในการปฏิบัติงานทั้งแบบที่ปฏิบัติเองด้วยมือและแบบที่ทำด้วยโปรแกรมคอมพิวเตอร์
- สารสนเทศ (Information) ได้แก่ ข้อมูลหรือสารสนเทศในรูปแบบต่างๆ ทั้งที่เป็นรูปภาพ ข้อมูลเสียง เป็นต้น โดยสามารถเป็นได้ทั้งข้อมูลที่มีโครงสร้างและที่ไม่มีโครงสร้าง ที่องค์กรนำมาใช้ในการปฏิบัติงาน
- โครงสร้างพื้นฐาน (Infrastructure) ได้แก่ โครงสร้างพื้นฐานทางด้านเทคโนโลยีสารสนเทศขององค์กร ที่ใช้ในการปฏิบัติงานต่างๆ ภายในองค์กร ซึ่งรวมตั้ง hardware, software, ระบบปฏิบัติการ ระบบบริหารฐานข้อมูล ระบบเครือข่าย และยังรวมไปถึงทรัพยากรต่างๆ ที่ใช้ในสนับสนุนการปฏิบัติงานขององค์กร เช่น อาคาร สถานที่ และสาธารณูปโภคต่างๆ
- บุคลากร (People) ได้แก่ บุคลากรที่มีความรู้ความชำนาญในการบริหารและการปฏิบัติงานทางด้านเทคโนโลยีสารสนเทศ เพื่อให้สามารถมั่นใจได้ว่าระบบสารสนเทศจะได้รับการดูแลที่ดีจากบุคลากรที่มีความสามารถ
website http://library.uru.ac.th/webdb/images/IEEE80211_1.htm
|
|
( กดลิงค์ไม่ได้ ให้กด copy แล้วไปวางที่ช่องใส่เว็บไซต์ )
