2. เวิร์ม Worm
3. ม้าโทรจัน Trojan Horses
4. ลอจิกบอมบ์ Logic Bomb
5. มาตรการควบคุม Control Measures
6. การควบคุมการเข้าถึง Access Controls
7. ไฟร์วอล Firewall
8. การพิสูจน์ตัวตน Authentication
9. การเข้ารหัส Encryption
10. เพลนเท็กซ์ Plaintext
วันอังคารที่ 17 พฤศจิกายน พ.ศ. 2558
บทที่ 12 คำศัพท์
1. ภัยธรรมชาติ Natural Disasters
2. เวิร์ม Worm
3. ม้าโทรจัน Trojan Horses
4. ลอจิกบอมบ์ Logic Bomb
5. มาตรการควบคุม Control Measures
6. การควบคุมการเข้าถึง Access Controls
7. ไฟร์วอล Firewall
8. การพิสูจน์ตัวตน Authentication
9. การเข้ารหัส Encryption
10. เพลนเท็กซ์ Plaintext
2. เวิร์ม Worm
3. ม้าโทรจัน Trojan Horses
4. ลอจิกบอมบ์ Logic Bomb
5. มาตรการควบคุม Control Measures
6. การควบคุมการเข้าถึง Access Controls
7. ไฟร์วอล Firewall
8. การพิสูจน์ตัวตน Authentication
9. การเข้ารหัส Encryption
10. เพลนเท็กซ์ Plaintext
บทที่ 12 เรื่องที่ 3 ความเสี่ยงการปฏิบัติการออนไลน์
ความหมายและความสำคัญของการจัดการความเสี่ยง
การจัดการความเสี่ยง (Risk Management) คือ กระบวนการในการระบุ วิเคราะห์ ประเมิน ดูแล ตรวจสอบ และควบคุมความเสี่ยงที่สัมพันธ์กับกิจกรรม หน้าที่และกระบวนการทำงาน เพื่อให้องค์กรลดความเสียหายจากความเสี่ยงมากที่สุด อันเนื่องมาจากภัยที่องค์กรต้องเผชิญในช่วงเวลาใดเวลาหนึ่ง
เมื่อเทคโนโลยีสารสนเทศก้าวเข้ามามีบทบาทสำคัญในฐานะกลไกลอันทรงพลังในการขับเคลื่อนโลกของเราให้หมุนไปอย่างไม่หยุดยั้ง ทุกกิจกรรมที่เกิดขึ้นบนโลกนี้ล้วนแต่มีความเกี่ยวข้องกับเทคโนโลยีสารสนเทศแทบทั้งสิ้น ในแต่ละวัน ข้อมูลนับล้านถูกส่งผ่านเครือข่ายเทคโนโลยีสารสนเทศ เพื่ออำนวยความสะดวกให้กับการดำเนินชีวิตประจำวัน และโดยเฉพาะอย่างยิ่ง “การประกอบธุรกิจ”
แต่ในปัจจุบัน “ข้อมูล” ซึ่งถือเป็นทรัพย์สินอันทรงคุณค่ามหาศาลต่างตกอยู่ในภาวะเสี่ยงต่อการถูกล่วงละเมิด ถูกทำให้เสียหาย หรือเสียหาย และถูกนำไปใช้ในทางที่ผิด ทั้งจากบุคคลภายในและภายนอกองค์กร โดยเจตนา หรือไม่เจตนาก็ตาม ดังนั้น หนทางที่ดีที่สุดในการแก้ปัญหานี้ จึงควรเริ่มตั้งแต่การบริหารจัดการองค์กรให้ได้มาตรฐานด้านความปลอดภัย ซึ่งก็คือ การจัดการความเสี่ยงในองค์กร นั่นเอง
ความหมายของการจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศและการสื่อสาร
การจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศและการสื่อสาร คือ กระบวนการการทำงานที่ช่วยให้ IT Managers สามารถสร้างความสมดุลของต้นทุนเชิงเศรษฐศาสตร์ และการดำเนินธุรกิจ ระหว่างมาตรการในการป้องกันและการบรรลุผลสำเร็จของพันธกิจ ด้วยการปกป้องระบบเทคโนโลยีสารสนเทศและข้อมูลสำคัญ ซึ่งจะช่วยสนับสนุนความสำเร็จของการบรรลุพันธกิจขององค์กร
กระบวนการบริหารจัดการความเสี่ยง
กระบวนการนี้ประกอบด้วย 5 ขั้นตอน ดังนี้
1. การประเมินความเสี่ยง (Risk assessment) ประกอบด้วยกระบวนการวิเคราะห์ความเสี่ยงและการประเมินค่าความเสี่ยง
1.1 การวิเคราะห์ความเสี่ยง (Risk analysis) ประกอบด้วย 3 ขั้นตอนดังนี้
▫ การชี้ระบุความเสี่ยง (Risk identification)
▫ ลักษณะรายละเอียดของความเสี่ยง (Risk description)
▫ การประมาณความเสี่ยง (Risk estimation)
1.2 ประเมินค่าความเสี่ยง (Risk evaluation)
2. การรายงานผลการวิเคราะห์ความเสี่ยง (Risk reporting)
3. กระบวนการบำบัดความเสี่ยง (Risk treatment)
4. การรายงานความเสี่ยงตกค้าง (Residual risk reporting)
5. การเฝ้าสังเกต (Monitoring)
การประเมินความเสี่ยง (Risk assessment)
1. การวิเคราะห์ความเสี่ยง การวิเคราะห์ความเสี่ยงประกอบด้วย 3 กระบวนการ คือ
กระบวนการที่ 1 การชี้ระบุความเสี่ยง (Risk identification) เป็นการชี้ให้เห็นถึงปัญหาความไม่แน่นอนที่องค์กรเผชิญอยู่ กระบวนการนี้จำเป็นต้องอาศัยความรู้ความเข้าใจองค์กร ภารกิจและกิจกรรม สิ่งแวดล้อมด้านกฎหมาย สังคม การเมืองและวัฒนธรรม พัฒนาการและปัจจัยที่มีต่อความสำเร็จขององค์กร รวมทั้งโอกาสและสิ่งคุกคามที่มีต่อองค์กร การชี้ระบุความเสี่ยงควรได้ดำเนินการอย่างทั่วถึงครอบคลุมกิจกรรมในทุกๆ ด้านขององค์กร สาเหตุสำคัญของความเสี่ยงคือการมีสิ่งคุกคาม (Threat) ที่อาจส่งผลให้เกิดการละเมิดความมั่นคงสารสนเทศและส่งผลเสียตามมา
ตัวอย่างที่มาของสิ่งคุกคามด้านสารสนเทศ
1. ด้านกายภาพและสิ่งแวดล้อม (physical and environmental threats)
- การปนเปื้อน (contamination) จากสารเคมี สิ่งสกปรก หรือรังสี เป็นต้น
- เหตุการณ์แผ่นดินไหว (earthquake)
- การรบกวนทางอิเล็กทรอนิกส์ (electronic interference)
- ภาวะอุณหภูมิและความชื้นสุดขั้ว (extremes of temperature and humidity) เช่น ร้อนหรือเย็นหรือความชื้นสูงหรือต่ำ เกินไป
- แหล่งกำเนิดไฟฟ้าขัดข้องหรือแรงดันไฟฟ้ากระเพื่อม (power supply failure or fluctuations)
- ไฟไหม้ (fire) จากอุบัติเหตุไฟฟ้าลัดวงจร การวางเพลิง หรืออื่นๆ
- น้ำท่วม (flood) จากกระแสน้ำ ฝนตกหลังคารั่ว หรือท่อน้ำชำรุดแตก
- พายุ (storm)
- สัตว์ เช่นสัตว์กัดแทะ (vermin) ประเภทหนู และสัตว์อื่นๆเช่น แมลง เป็นต้น
- การทำลายระบบและข้อมูลโดยเจตนาร้าย (malicious destruction of data and facilities)
2. ด้านระบบ (systems threats)
- แฮ็กเกอร์ (hackers)
- การโจมตีเพื่อห้ามการบริการ [Denial of Service (DoS) attacks]
- การแอบฟัง (eavesdropping)
- การประท้วงหยุดงานของพนักงาน (industrial action)
- คำสั่งเจตนาร้าย (malicious code)
- การอำพรางหรือสวมรอย (masquerade)
- การปฏิเสธไม่ยอมรับ (repudiation)
- การก่อวินาศกรรม (sabotage)
- การเข้าถึงข้อมูล การเข้าถึงโดยใช้โมเด็ม หรือการเปลี่ยนแปลงข้อมูล โดยไม่ได้รับอนุญาต(unauthorized data access, dial-in access, or software changes)
- ความล้มเหลวในด้านการสื่อสารหรือการบริการภายนอก (failure of communications services or outsourced operations)
- การส่งข้อความผิดเส้นทางหรือส่งซ้ำ (misrouting/re-routing of messages)
- ความผิดพลาดของซอฟต์แวร์หรือการเขียนโปรแกรม (software/programming errors)
- ความล้มเหลวทางเทคนิค (technical failures)
- ความผิดพลาดด้านการส่งผ่านข้อมูล (transmission errors)
3. ด้านการบริหารจัดการ (administrative threats)
- การสังคมวิศวกรรม (social engineering)
- การลักทรัพย์และการฉ้อฉล (theft and fraud)
- การใช้โปรแกรมละเมิดลิขสิทธิ์ (use of pirated software)
- การแทรกแซงเว็บไซต์ (website intrusion)
การชี้ระบุความเสี่ยง (Risk identification) อาจพิจารณาถึงเหตุการณ์หรือสิ่งที่เคยเกิดขึ้นมาแล้วในอดีตกับองค์กรนั้น หรือองค์กรอื่นใด หรืออาจเป็นสิ่งที่มีความเป็นไปได้ว่าจะเกิดขึ้นแม้ไม่เคยเกิดขึ้นมาก่อนก็ได้ กระบวนการในชี้ระบุความเสี่ยงอาจใช้วิธีการต่างๆ ร่วมกันดังนี้ เช่น
1. การระดมสมอง (brain storming)
2. การออกแบบสอบถาม (questionnaire)
3. การวิเคราะห์กระบวนการทำงานหรือกิจกรรมในภารกิจ (business process analysis)
4. การวิเคราะห์สภาพการณ์เหตุการณ์ละเมิดความมั่นคง (scenario analysis)
5. การประชุมเชิงปฏิบัติการด้านการประเมินความเสี่ยง (risk assessment workshop)
6. การสืบสวนเหตุการณ์ละเมิดความมั่นคงสารสนเทศ (incident investigation)
7. การตรวจสอบและการตรวจสภาพระบบ (auditing and inspection)
8. การวิเคราะห์ HAZOP (hazard and operability studies)
9. การวิเคราะห์สถานการณ์ (SWOT analysis)
กระบวนการที่ 2 ลักษณะรายละเอียดของความเสี่ยง (description of risk) เมื่อชี้ระบุความเสี่ยงได้แล้ว และนำมาบรรยายรายละเอียดและลักษณะของความเสี่ยงนั้น ได้แก่
- ชื่อความเสี่ยง (Name)
- ขอบเขต (Scope)
- ลักษณะความเสี่ยง (Nature)
- ผู้ที่มีผลกระทบ
- ลักษณะเชิงประมาณ
- การยอมรับความเสี่ยง
- การบำบัดและการควบคุม
- แนวทางการปรับปรุง
- การพัฒนากลยุทธ์และนโยบาย
กระบวนการที่ 3 การประมานความเสี่ยง (risk estimation) ขั้นตอนนี้เป็นการดูปัญหาความเสี่ยงในแง่ของโอกาสการเกิดเหตุ (incident) หรือเหตุการณ์ (event) ว่ามีมากน้อยเพียงไรและผลที่ติดตามมาว่ามีความรุนแรงหรือเสียหายมากน้อยเพียงใด
โอกาส หรือ ความน่าจะเป็น (Probability) หรือความบ่อยครั้งของการเกิดเหตุหรือเหตุการณ์ อาจแบ่งแบบง่ายๆเป็น 5 ระดับจากน้อยไปหามาก เช่น
- บ่อย (frequent) พบได้บ่อยครั้งเป็นประจำ
- ประปราย (probable)
- ตามโอกาส (occasional)
- น้อยครั้งมาก (remote)
- แทบไม่เกิดเลย (improbable)
ความรุนแรงของสิ่งที่เกิดขึ้นตามมา (Severity of consequence) อาจแบ่งเป็น 4 ระดับคือ
- สูงมาก (severe)
- สูง (high)
- ปานกลาง (moderate)
- ต่ำ (low)
2. การประเมินค่าความเสี่ยง (Risk evaluation)
เมื่อได้ความเสี่ยง โดยมีรายละเอียด, การประมาณเชิงกึ่งปริมาณเป็นแมทริกซ์แล้ว จึงนำมาประเมินค่าความเสี่ยงโดยการเปรียบเทียบกับหลักเกณฑ์ความเสี่ยงที่ยอมรับได้
หลักเกณฑ์ยอมรับความเสี่ยง (Risk acceptance criteria) ว่าจะยอมรับได้มากน้อยเพียงใด เพื่อประกอบการตัดสินใจว่าจะบำบัดความเสี่ยงนั้นๆต่อไปอย่างไร พึงพิจารณาในแง่ต่างๆดังต่อไปนี้ เช่น
- ค่าใช้จ่าย ประโยชน์และความคุ้มทุนที่จะได้รับจากการแก้ไขบำบัดความเสี่ยง (costs and benefits)
- ข้อกำหนดด้านกฎหมายและกฎระเบียบขององค์กร (legal requirements)
- ปัจจัยด้านเศรษฐกิจและสังคม (socioeconomic factors)
- ปัจจัยด้านสิ่งแวดล้อม (environmental factors)
- ประเด็นสาระสำคัญในมุมมองของผู้มีส่วนได้เสีย (concerns of stakeholders)
- อื่นๆ
การรายงานผลการวิเคราะห์ความเสี่ยง (Risk reporting)
เมื่อประเมินความเสี่ยงแล้วเสร็จ จำเป็นต้องออกรายงานการประเมินเป็นเอกสารที่ผู้อื่นสามารถอ่านได้เอกสารนี้จะเป็นสาระสำคัญในการสื่อสารให้บุคลากรทั้งองค์กรได้รับรู้ รายงานประกอบด้วยรายละเอียดอย่างน้อยตามลักษณะรายละเอียดของความเสี่ยง และการออกรายงานมีวัตถุประสงค์ให้ส่วนต่างๆได้รับรู้ดังต่อไปนี้
ฝ่ายบริหาร ควรได้ข้อมูลการรายงานเพื่อวัตถุประสงค์ดังต่อไปนี้ เช่น
- รับรู้นัยสำคัญของความเสี่ยงที่องค์กรเผชิญอยู่
- เข้าใจผลที่กระทบต่อผู้มีส่วนได้เสียต่างๆในกรณีที่เกิดมีเหตุ หรือเหตุการณ์และเกิดผลเสียต่อภารกิจและผลประกอบการ
- ดำเนินการเพื่อสร้างความตระหนักในปัญหาความเสี่ยงให้เกิดการรับรู้ทั่วทั้งองค์กร
- เข้าใจผลกระทบที่อาจมีต่อความมั่นใจของผู้ที่ได้รับผลกระทบ
- ให้แน่ใจว่ากระบวนการบริหารความเสี่ยงกำลังเป็นไปอย่างได้ผล
- ออกนโยบายบริหารความเสี่ยงที่มีเนื้อหาด้านปรัชญาและความรับผิดชอบของหน่วยงานและบุคลากรต่างๆในการบริหารความเสี่ยง
หัวหน้างาน ควรได้ข้อมูลการรายงานเพื่อวัตถุประสงค์ดังต่อไปนี้ เช่น
- ตระหนักในความเสี่ยงอันเกี่ยวข้องกับภาระหน้าที่ของตน ผลกระทบที่อาจมีต่อหน่วยงานอื่น หรือกิจกรรมอื่นในองค์กร
- มีดัชนีชี้วัดสมรรถนะของกิจกรรมในหน่วยงานเพื่อดูว่าระบบงานของตนเองได้รับผลกกระทบจากความเสี่ยงมากน้อยเพียงใด
- รายงานผลกระทบจากความเสี่ยงในกรณีเกิดหรือจะเกิดเหตุและเสนอแนะแนวทางการแก้ไข
- รายงานความเสี่ยงใดๆที่เกิดใหม่หรือความล้มเหลวใดๆ ในมาตรการการควบคุมหรือป้องกันอารักขาสารสนเทศที่มีอยู่
ผู้ปฏิบัติงาน ควรได้ข้อมูลการรายงานเพื่อวัตถุประสงค์ดังต่อไปนี้ เช่น
- เข้าในบทบาทภาระหน้าที่และความรับผิดชอบในความเสี่ยวงแต่ละรายการ
- เข้าใจบทบาทในการดำเนินการพัฒนาอย่างต่อเนื่องด้านการบริหารความเสี่ยง
- เข้าใจการบริหารความเสี่ยงและความตระหนักต่อความเสี่ยงในการเป็นวัฒนธรรมองค์กรที่สำคัญอย่างหนึ่ง
กระบวนการบำบัดความเสี่ยง (Risk treatment)
เมื่อผู้บริหารได้รับรายงานการประเมินความเสี่ยงแล้วจำเป็นต้องทำการตัดสินใจ โดยพิจารณาจากหลักเกณฑ์การยอมรับความเสี่ยงที่องค์กรมีอยู่ว่าจะยอมรับโดยไม่ทำอะไร หรือจะดำเนินการบำบัดความเสี่ยง ซึ่งได้แก่กระบวนการดังต่อไปนี้
1. การยอมรับความเสี่ยง (acceptance) เป็นการยอมรับในความเสี่ยงโดยไม่ทำอะไร และยอมรับในผลที่อาจตามมา เช่น การพิสูจน์ตัวจริงเพียงใช้ id/ password มีความเสี่ยงเพราะอาจมีการขโมยไปใช้ได้ การให้มีใช้
ชีวมาตร (biometrics) เช่น การตรวจลายนิ้วมือหรือม่านตา อาจมีค่าใช้จ่ายสูงไม่คุ้มค่า โรงพยาบาลอาจยอมรับความเสี่ยงของระบบปัจจุบันและทำงานต่อไปโดยไม่ทำอะไร
2. การเลี่ยงความเสี่ยง (avoidance) การหลีกเลี่ยงความเสี่ยง เช่น เมื่อพบว่าปัจจุบันโรงพยาบาล มีการสำรองข้อมูลเพียง 1 ชุดและจัดเป็นความเสี่ยงต่อการสูญเสีย การเลี่ยงความเสี่ยงนี้อาจได้แก่การทำสำรองข้อมูล
2 ชุด และแยกเก็บในสถานที่ต่างกัน การบริหารจัดการการเชื่อมโยงสู่เครือข่ายผ่านโมเด็ม ถ้าเป็นการยากต่อการควบคุมหรือบริหารจัดการ องค์กรอาจเลือกทางออกโดยการยกเลิกไม่ให้ใช้บริการ และแนะนำให้พนักงานใช้บริการผ่านทาง ISP ในช่วงที่มีการระบาดของไวรัสอย่างหนัก องค์กรอาจมีเลือกระงับไม่ให้ใช้คอมพิวเตอร์ที่ไม่ได้ติดตั้ง Antivirus เป็นต้น
3. การโอนย้ายความเสี่ยง (transfer) เช่น อุปกรณ์เครือข่ายเมื่อซื้อมาแล้วมีระยะประกันเพียงหนึ่งปี เพื่อเป็นการรับมือในกรณีที่อุปกรณ์เครือข่ายไม่ทำงาน องค์กรอาจเลือกซื้อประกัน หรือสัญญาการบำรุงรักษาหลังขาย (Maintenance service) เป็นต้น
4. การลดความเสี่ยง (reduction) ได้แก่การมีมาตรการควบคุมมากชนิดขึ้น หรือชนิดที่เข้มงวดมากขึ้นเพื่อลดความเสี่ยง เช่น การใช้ชีวมาตร (biometrics) เพื่อใช้ในการพิสูจน์ตัวจริง นอกเหนือไปจากการใช้ id/ password ที่มีอยู่เดิม
การรายงานความเสี่ยงตกค้าง (Residual risk reporting)
เมื่อมีการบำบัดความเสี่ยงแล้ว จำเป็นต้องมีการรายงานและทบทวนอยู่เสมอเพื่อดูว่ามีการประเมิน และการประเมินค่าความเสี่ยงอยู่ตลอดเวลา และดูว่ามาตรการควบคุมต่างๆที่ออกมาใช้ได้ผลหรือไม่เพียงไร วิธีการมาตรฐานที่ใช้กันโดยทั่วไป คือการมีหน่วยงานภายในหรือภายนอกทำการตรวจสอบโดยกระบวนการ IT auditing ที่เหมาะสม เนื่องจากสิ่งแวดล้อมและกฎระเบียบมีพลวัตรและการเปลี่ยนแปลงเกิดขึ้นตลอดเวลา จึงจำเป็นต้องมีการบริหารความเสี่ยงและการตรวจสอบเป็นประจำ
การเฝ้าสังเกต (Monitoring)
กระบวนการเฝ้าสังเกตเป็นหลักประกันว่า องค์กรมีมาตรการต่างๆ ที่จำเป็นและเหมาะสมสำหรับการบริหารความเสี่ยงต่างๆ และมาตรการเหล่านั้นมีผู้ปฏิบัติตามและบังเกิดผลจริง ดังนั้น กระบวนการเฝ้าสังเกตพึงพิจารณาว่า
- ได้มีการปฏิบัติตามมาตรการต่างๆและบังเกิดผล
- กระบวนงานที่กำหนดขึ้นมาสามารถปฏิบัติได้จริง
- มีการเรียนรู้เกิดขึ้นในหน่วยงานอันเป็นผลมาจากการบริหารความเสี่ยง
บทสรุป
การบริหารจัดการความเสี่ยง มีบทบาทสำคัญในการปกป้องข้อมูลและระบบเครือข่ายคอมพิวเตอร์ที่เป็นสินทรัพย์ขององค์กร และยังรวมถึงการปกป้อง “พันธกิจ” ขององค์กรให้รอดพ้นจากความเสี่ยงที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศอีกด้วย ขั้นตอนในการบริหารจัดการความเสี่ยงควรจัดให้อยู่ในความรับผิดชอบหลักของฝ่ายเทคนิค ซึ่งมีผู้เชี่ยวชาญทางด้านเทคโนโลยีสารสนเทศเป็นผู้บริหาร และฝ่ายบริหารขององค์กร
องค์กรจะต้องมีกระบวนการในการบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศและการสื่อสารที่เหมาะสมและได้มาตรฐาน เพื่อปกป้ององค์กรจากความเสียหายที่อาจเกิดขึ้นได้จากความเสี่ยง และเพื่อความสามารถในการดำเนินพันธกิจขององค์กรให้บรรลุผลสำเร็จ ไม่ใช่แค่เพียงการปกป้องสินทรัพย์เทคโนโลยีสารสนเทศหรือองค์กรเพียงเท่านั้น
การจัดการความเสี่ยง (Risk Management) คือ กระบวนการในการระบุ วิเคราะห์ ประเมิน ดูแล ตรวจสอบ และควบคุมความเสี่ยงที่สัมพันธ์กับกิจกรรม หน้าที่และกระบวนการทำงาน เพื่อให้องค์กรลดความเสียหายจากความเสี่ยงมากที่สุด อันเนื่องมาจากภัยที่องค์กรต้องเผชิญในช่วงเวลาใดเวลาหนึ่ง
เมื่อเทคโนโลยีสารสนเทศก้าวเข้ามามีบทบาทสำคัญในฐานะกลไกลอันทรงพลังในการขับเคลื่อนโลกของเราให้หมุนไปอย่างไม่หยุดยั้ง ทุกกิจกรรมที่เกิดขึ้นบนโลกนี้ล้วนแต่มีความเกี่ยวข้องกับเทคโนโลยีสารสนเทศแทบทั้งสิ้น ในแต่ละวัน ข้อมูลนับล้านถูกส่งผ่านเครือข่ายเทคโนโลยีสารสนเทศ เพื่ออำนวยความสะดวกให้กับการดำเนินชีวิตประจำวัน และโดยเฉพาะอย่างยิ่ง “การประกอบธุรกิจ”
แต่ในปัจจุบัน “ข้อมูล” ซึ่งถือเป็นทรัพย์สินอันทรงคุณค่ามหาศาลต่างตกอยู่ในภาวะเสี่ยงต่อการถูกล่วงละเมิด ถูกทำให้เสียหาย หรือเสียหาย และถูกนำไปใช้ในทางที่ผิด ทั้งจากบุคคลภายในและภายนอกองค์กร โดยเจตนา หรือไม่เจตนาก็ตาม ดังนั้น หนทางที่ดีที่สุดในการแก้ปัญหานี้ จึงควรเริ่มตั้งแต่การบริหารจัดการองค์กรให้ได้มาตรฐานด้านความปลอดภัย ซึ่งก็คือ การจัดการความเสี่ยงในองค์กร นั่นเอง
ความหมายของการจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศและการสื่อสาร
การจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศและการสื่อสาร คือ กระบวนการการทำงานที่ช่วยให้ IT Managers สามารถสร้างความสมดุลของต้นทุนเชิงเศรษฐศาสตร์ และการดำเนินธุรกิจ ระหว่างมาตรการในการป้องกันและการบรรลุผลสำเร็จของพันธกิจ ด้วยการปกป้องระบบเทคโนโลยีสารสนเทศและข้อมูลสำคัญ ซึ่งจะช่วยสนับสนุนความสำเร็จของการบรรลุพันธกิจขององค์กร
กระบวนการบริหารจัดการความเสี่ยง
กระบวนการนี้ประกอบด้วย 5 ขั้นตอน ดังนี้
1. การประเมินความเสี่ยง (Risk assessment) ประกอบด้วยกระบวนการวิเคราะห์ความเสี่ยงและการประเมินค่าความเสี่ยง
1.1 การวิเคราะห์ความเสี่ยง (Risk analysis) ประกอบด้วย 3 ขั้นตอนดังนี้
▫ การชี้ระบุความเสี่ยง (Risk identification)
▫ ลักษณะรายละเอียดของความเสี่ยง (Risk description)
▫ การประมาณความเสี่ยง (Risk estimation)
1.2 ประเมินค่าความเสี่ยง (Risk evaluation)
2. การรายงานผลการวิเคราะห์ความเสี่ยง (Risk reporting)
3. กระบวนการบำบัดความเสี่ยง (Risk treatment)
4. การรายงานความเสี่ยงตกค้าง (Residual risk reporting)
5. การเฝ้าสังเกต (Monitoring)
การประเมินความเสี่ยง (Risk assessment)
1. การวิเคราะห์ความเสี่ยง การวิเคราะห์ความเสี่ยงประกอบด้วย 3 กระบวนการ คือ
กระบวนการที่ 1 การชี้ระบุความเสี่ยง (Risk identification) เป็นการชี้ให้เห็นถึงปัญหาความไม่แน่นอนที่องค์กรเผชิญอยู่ กระบวนการนี้จำเป็นต้องอาศัยความรู้ความเข้าใจองค์กร ภารกิจและกิจกรรม สิ่งแวดล้อมด้านกฎหมาย สังคม การเมืองและวัฒนธรรม พัฒนาการและปัจจัยที่มีต่อความสำเร็จขององค์กร รวมทั้งโอกาสและสิ่งคุกคามที่มีต่อองค์กร การชี้ระบุความเสี่ยงควรได้ดำเนินการอย่างทั่วถึงครอบคลุมกิจกรรมในทุกๆ ด้านขององค์กร สาเหตุสำคัญของความเสี่ยงคือการมีสิ่งคุกคาม (Threat) ที่อาจส่งผลให้เกิดการละเมิดความมั่นคงสารสนเทศและส่งผลเสียตามมา
ตัวอย่างที่มาของสิ่งคุกคามด้านสารสนเทศ
1. ด้านกายภาพและสิ่งแวดล้อม (physical and environmental threats)
- การปนเปื้อน (contamination) จากสารเคมี สิ่งสกปรก หรือรังสี เป็นต้น
- เหตุการณ์แผ่นดินไหว (earthquake)
- การรบกวนทางอิเล็กทรอนิกส์ (electronic interference)
- ภาวะอุณหภูมิและความชื้นสุดขั้ว (extremes of temperature and humidity) เช่น ร้อนหรือเย็นหรือความชื้นสูงหรือต่ำ เกินไป
- แหล่งกำเนิดไฟฟ้าขัดข้องหรือแรงดันไฟฟ้ากระเพื่อม (power supply failure or fluctuations)
- ไฟไหม้ (fire) จากอุบัติเหตุไฟฟ้าลัดวงจร การวางเพลิง หรืออื่นๆ
- น้ำท่วม (flood) จากกระแสน้ำ ฝนตกหลังคารั่ว หรือท่อน้ำชำรุดแตก
- พายุ (storm)
- สัตว์ เช่นสัตว์กัดแทะ (vermin) ประเภทหนู และสัตว์อื่นๆเช่น แมลง เป็นต้น
- การทำลายระบบและข้อมูลโดยเจตนาร้าย (malicious destruction of data and facilities)
2. ด้านระบบ (systems threats)
- แฮ็กเกอร์ (hackers)
- การโจมตีเพื่อห้ามการบริการ [Denial of Service (DoS) attacks]
- การแอบฟัง (eavesdropping)
- การประท้วงหยุดงานของพนักงาน (industrial action)
- คำสั่งเจตนาร้าย (malicious code)
- การอำพรางหรือสวมรอย (masquerade)
- การปฏิเสธไม่ยอมรับ (repudiation)
- การก่อวินาศกรรม (sabotage)
- การเข้าถึงข้อมูล การเข้าถึงโดยใช้โมเด็ม หรือการเปลี่ยนแปลงข้อมูล โดยไม่ได้รับอนุญาต(unauthorized data access, dial-in access, or software changes)
- ความล้มเหลวในด้านการสื่อสารหรือการบริการภายนอก (failure of communications services or outsourced operations)
- การส่งข้อความผิดเส้นทางหรือส่งซ้ำ (misrouting/re-routing of messages)
- ความผิดพลาดของซอฟต์แวร์หรือการเขียนโปรแกรม (software/programming errors)
- ความล้มเหลวทางเทคนิค (technical failures)
- ความผิดพลาดด้านการส่งผ่านข้อมูล (transmission errors)
3. ด้านการบริหารจัดการ (administrative threats)
- การสังคมวิศวกรรม (social engineering)
- การลักทรัพย์และการฉ้อฉล (theft and fraud)
- การใช้โปรแกรมละเมิดลิขสิทธิ์ (use of pirated software)
- การแทรกแซงเว็บไซต์ (website intrusion)
การชี้ระบุความเสี่ยง (Risk identification) อาจพิจารณาถึงเหตุการณ์หรือสิ่งที่เคยเกิดขึ้นมาแล้วในอดีตกับองค์กรนั้น หรือองค์กรอื่นใด หรืออาจเป็นสิ่งที่มีความเป็นไปได้ว่าจะเกิดขึ้นแม้ไม่เคยเกิดขึ้นมาก่อนก็ได้ กระบวนการในชี้ระบุความเสี่ยงอาจใช้วิธีการต่างๆ ร่วมกันดังนี้ เช่น
1. การระดมสมอง (brain storming)
2. การออกแบบสอบถาม (questionnaire)
3. การวิเคราะห์กระบวนการทำงานหรือกิจกรรมในภารกิจ (business process analysis)
4. การวิเคราะห์สภาพการณ์เหตุการณ์ละเมิดความมั่นคง (scenario analysis)
5. การประชุมเชิงปฏิบัติการด้านการประเมินความเสี่ยง (risk assessment workshop)
6. การสืบสวนเหตุการณ์ละเมิดความมั่นคงสารสนเทศ (incident investigation)
7. การตรวจสอบและการตรวจสภาพระบบ (auditing and inspection)
8. การวิเคราะห์ HAZOP (hazard and operability studies)
9. การวิเคราะห์สถานการณ์ (SWOT analysis)
กระบวนการที่ 2 ลักษณะรายละเอียดของความเสี่ยง (description of risk) เมื่อชี้ระบุความเสี่ยงได้แล้ว และนำมาบรรยายรายละเอียดและลักษณะของความเสี่ยงนั้น ได้แก่
- ชื่อความเสี่ยง (Name)
- ขอบเขต (Scope)
- ลักษณะความเสี่ยง (Nature)
- ผู้ที่มีผลกระทบ
- ลักษณะเชิงประมาณ
- การยอมรับความเสี่ยง
- การบำบัดและการควบคุม
- แนวทางการปรับปรุง
- การพัฒนากลยุทธ์และนโยบาย
กระบวนการที่ 3 การประมานความเสี่ยง (risk estimation) ขั้นตอนนี้เป็นการดูปัญหาความเสี่ยงในแง่ของโอกาสการเกิดเหตุ (incident) หรือเหตุการณ์ (event) ว่ามีมากน้อยเพียงไรและผลที่ติดตามมาว่ามีความรุนแรงหรือเสียหายมากน้อยเพียงใด
โอกาส หรือ ความน่าจะเป็น (Probability) หรือความบ่อยครั้งของการเกิดเหตุหรือเหตุการณ์ อาจแบ่งแบบง่ายๆเป็น 5 ระดับจากน้อยไปหามาก เช่น
- บ่อย (frequent) พบได้บ่อยครั้งเป็นประจำ
- ประปราย (probable)
- ตามโอกาส (occasional)
- น้อยครั้งมาก (remote)
- แทบไม่เกิดเลย (improbable)
ความรุนแรงของสิ่งที่เกิดขึ้นตามมา (Severity of consequence) อาจแบ่งเป็น 4 ระดับคือ
- สูงมาก (severe)
- สูง (high)
- ปานกลาง (moderate)
- ต่ำ (low)
2. การประเมินค่าความเสี่ยง (Risk evaluation)
เมื่อได้ความเสี่ยง โดยมีรายละเอียด, การประมาณเชิงกึ่งปริมาณเป็นแมทริกซ์แล้ว จึงนำมาประเมินค่าความเสี่ยงโดยการเปรียบเทียบกับหลักเกณฑ์ความเสี่ยงที่ยอมรับได้
หลักเกณฑ์ยอมรับความเสี่ยง (Risk acceptance criteria) ว่าจะยอมรับได้มากน้อยเพียงใด เพื่อประกอบการตัดสินใจว่าจะบำบัดความเสี่ยงนั้นๆต่อไปอย่างไร พึงพิจารณาในแง่ต่างๆดังต่อไปนี้ เช่น
- ค่าใช้จ่าย ประโยชน์และความคุ้มทุนที่จะได้รับจากการแก้ไขบำบัดความเสี่ยง (costs and benefits)
- ข้อกำหนดด้านกฎหมายและกฎระเบียบขององค์กร (legal requirements)
- ปัจจัยด้านเศรษฐกิจและสังคม (socioeconomic factors)
- ปัจจัยด้านสิ่งแวดล้อม (environmental factors)
- ประเด็นสาระสำคัญในมุมมองของผู้มีส่วนได้เสีย (concerns of stakeholders)
- อื่นๆ
การรายงานผลการวิเคราะห์ความเสี่ยง (Risk reporting)
เมื่อประเมินความเสี่ยงแล้วเสร็จ จำเป็นต้องออกรายงานการประเมินเป็นเอกสารที่ผู้อื่นสามารถอ่านได้เอกสารนี้จะเป็นสาระสำคัญในการสื่อสารให้บุคลากรทั้งองค์กรได้รับรู้ รายงานประกอบด้วยรายละเอียดอย่างน้อยตามลักษณะรายละเอียดของความเสี่ยง และการออกรายงานมีวัตถุประสงค์ให้ส่วนต่างๆได้รับรู้ดังต่อไปนี้
ฝ่ายบริหาร ควรได้ข้อมูลการรายงานเพื่อวัตถุประสงค์ดังต่อไปนี้ เช่น
- รับรู้นัยสำคัญของความเสี่ยงที่องค์กรเผชิญอยู่
- เข้าใจผลที่กระทบต่อผู้มีส่วนได้เสียต่างๆในกรณีที่เกิดมีเหตุ หรือเหตุการณ์และเกิดผลเสียต่อภารกิจและผลประกอบการ
- ดำเนินการเพื่อสร้างความตระหนักในปัญหาความเสี่ยงให้เกิดการรับรู้ทั่วทั้งองค์กร
- เข้าใจผลกระทบที่อาจมีต่อความมั่นใจของผู้ที่ได้รับผลกระทบ
- ให้แน่ใจว่ากระบวนการบริหารความเสี่ยงกำลังเป็นไปอย่างได้ผล
- ออกนโยบายบริหารความเสี่ยงที่มีเนื้อหาด้านปรัชญาและความรับผิดชอบของหน่วยงานและบุคลากรต่างๆในการบริหารความเสี่ยง
หัวหน้างาน ควรได้ข้อมูลการรายงานเพื่อวัตถุประสงค์ดังต่อไปนี้ เช่น
- ตระหนักในความเสี่ยงอันเกี่ยวข้องกับภาระหน้าที่ของตน ผลกระทบที่อาจมีต่อหน่วยงานอื่น หรือกิจกรรมอื่นในองค์กร
- มีดัชนีชี้วัดสมรรถนะของกิจกรรมในหน่วยงานเพื่อดูว่าระบบงานของตนเองได้รับผลกกระทบจากความเสี่ยงมากน้อยเพียงใด
- รายงานผลกระทบจากความเสี่ยงในกรณีเกิดหรือจะเกิดเหตุและเสนอแนะแนวทางการแก้ไข
- รายงานความเสี่ยงใดๆที่เกิดใหม่หรือความล้มเหลวใดๆ ในมาตรการการควบคุมหรือป้องกันอารักขาสารสนเทศที่มีอยู่
ผู้ปฏิบัติงาน ควรได้ข้อมูลการรายงานเพื่อวัตถุประสงค์ดังต่อไปนี้ เช่น
- เข้าในบทบาทภาระหน้าที่และความรับผิดชอบในความเสี่ยวงแต่ละรายการ
- เข้าใจบทบาทในการดำเนินการพัฒนาอย่างต่อเนื่องด้านการบริหารความเสี่ยง
- เข้าใจการบริหารความเสี่ยงและความตระหนักต่อความเสี่ยงในการเป็นวัฒนธรรมองค์กรที่สำคัญอย่างหนึ่ง
กระบวนการบำบัดความเสี่ยง (Risk treatment)
เมื่อผู้บริหารได้รับรายงานการประเมินความเสี่ยงแล้วจำเป็นต้องทำการตัดสินใจ โดยพิจารณาจากหลักเกณฑ์การยอมรับความเสี่ยงที่องค์กรมีอยู่ว่าจะยอมรับโดยไม่ทำอะไร หรือจะดำเนินการบำบัดความเสี่ยง ซึ่งได้แก่กระบวนการดังต่อไปนี้
1. การยอมรับความเสี่ยง (acceptance) เป็นการยอมรับในความเสี่ยงโดยไม่ทำอะไร และยอมรับในผลที่อาจตามมา เช่น การพิสูจน์ตัวจริงเพียงใช้ id/ password มีความเสี่ยงเพราะอาจมีการขโมยไปใช้ได้ การให้มีใช้
ชีวมาตร (biometrics) เช่น การตรวจลายนิ้วมือหรือม่านตา อาจมีค่าใช้จ่ายสูงไม่คุ้มค่า โรงพยาบาลอาจยอมรับความเสี่ยงของระบบปัจจุบันและทำงานต่อไปโดยไม่ทำอะไร
2. การเลี่ยงความเสี่ยง (avoidance) การหลีกเลี่ยงความเสี่ยง เช่น เมื่อพบว่าปัจจุบันโรงพยาบาล มีการสำรองข้อมูลเพียง 1 ชุดและจัดเป็นความเสี่ยงต่อการสูญเสีย การเลี่ยงความเสี่ยงนี้อาจได้แก่การทำสำรองข้อมูล
2 ชุด และแยกเก็บในสถานที่ต่างกัน การบริหารจัดการการเชื่อมโยงสู่เครือข่ายผ่านโมเด็ม ถ้าเป็นการยากต่อการควบคุมหรือบริหารจัดการ องค์กรอาจเลือกทางออกโดยการยกเลิกไม่ให้ใช้บริการ และแนะนำให้พนักงานใช้บริการผ่านทาง ISP ในช่วงที่มีการระบาดของไวรัสอย่างหนัก องค์กรอาจมีเลือกระงับไม่ให้ใช้คอมพิวเตอร์ที่ไม่ได้ติดตั้ง Antivirus เป็นต้น
3. การโอนย้ายความเสี่ยง (transfer) เช่น อุปกรณ์เครือข่ายเมื่อซื้อมาแล้วมีระยะประกันเพียงหนึ่งปี เพื่อเป็นการรับมือในกรณีที่อุปกรณ์เครือข่ายไม่ทำงาน องค์กรอาจเลือกซื้อประกัน หรือสัญญาการบำรุงรักษาหลังขาย (Maintenance service) เป็นต้น
4. การลดความเสี่ยง (reduction) ได้แก่การมีมาตรการควบคุมมากชนิดขึ้น หรือชนิดที่เข้มงวดมากขึ้นเพื่อลดความเสี่ยง เช่น การใช้ชีวมาตร (biometrics) เพื่อใช้ในการพิสูจน์ตัวจริง นอกเหนือไปจากการใช้ id/ password ที่มีอยู่เดิม
การรายงานความเสี่ยงตกค้าง (Residual risk reporting)
เมื่อมีการบำบัดความเสี่ยงแล้ว จำเป็นต้องมีการรายงานและทบทวนอยู่เสมอเพื่อดูว่ามีการประเมิน และการประเมินค่าความเสี่ยงอยู่ตลอดเวลา และดูว่ามาตรการควบคุมต่างๆที่ออกมาใช้ได้ผลหรือไม่เพียงไร วิธีการมาตรฐานที่ใช้กันโดยทั่วไป คือการมีหน่วยงานภายในหรือภายนอกทำการตรวจสอบโดยกระบวนการ IT auditing ที่เหมาะสม เนื่องจากสิ่งแวดล้อมและกฎระเบียบมีพลวัตรและการเปลี่ยนแปลงเกิดขึ้นตลอดเวลา จึงจำเป็นต้องมีการบริหารความเสี่ยงและการตรวจสอบเป็นประจำ
การเฝ้าสังเกต (Monitoring)
กระบวนการเฝ้าสังเกตเป็นหลักประกันว่า องค์กรมีมาตรการต่างๆ ที่จำเป็นและเหมาะสมสำหรับการบริหารความเสี่ยงต่างๆ และมาตรการเหล่านั้นมีผู้ปฏิบัติตามและบังเกิดผลจริง ดังนั้น กระบวนการเฝ้าสังเกตพึงพิจารณาว่า
- ได้มีการปฏิบัติตามมาตรการต่างๆและบังเกิดผล
- กระบวนงานที่กำหนดขึ้นมาสามารถปฏิบัติได้จริง
- มีการเรียนรู้เกิดขึ้นในหน่วยงานอันเป็นผลมาจากการบริหารความเสี่ยง
บทสรุป
การบริหารจัดการความเสี่ยง มีบทบาทสำคัญในการปกป้องข้อมูลและระบบเครือข่ายคอมพิวเตอร์ที่เป็นสินทรัพย์ขององค์กร และยังรวมถึงการปกป้อง “พันธกิจ” ขององค์กรให้รอดพ้นจากความเสี่ยงที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศอีกด้วย ขั้นตอนในการบริหารจัดการความเสี่ยงควรจัดให้อยู่ในความรับผิดชอบหลักของฝ่ายเทคนิค ซึ่งมีผู้เชี่ยวชาญทางด้านเทคโนโลยีสารสนเทศเป็นผู้บริหาร และฝ่ายบริหารขององค์กร
องค์กรจะต้องมีกระบวนการในการบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศและการสื่อสารที่เหมาะสมและได้มาตรฐาน เพื่อปกป้ององค์กรจากความเสียหายที่อาจเกิดขึ้นได้จากความเสี่ยง และเพื่อความสามารถในการดำเนินพันธกิจขององค์กรให้บรรลุผลสำเร็จ ไม่ใช่แค่เพียงการปกป้องสินทรัพย์เทคโนโลยีสารสนเทศหรือองค์กรเพียงเท่านั้น
บทที่ 12 เรื่องที่ 2 เป้าหมายหลักใด้านความปลอดภัยของระบบสารสนเทศ
การรักษาความปลอดภัยระบบสารสนเทศและจรรยาบรรณเบื้องต้น
ความหมายของความเสี่ยงของระบบสารสนเทศ
- ความเสี่ยงของระบบสารสนเทศ (Information system risk) หมายถึง เหตุการณ์หรือการกระทำใดๆ ที่ก่อให้เกิดการสูญเสียหรือทำลายฮาร์ดแวร์ (Hardware) ซอฟต์แวร์ (Software)ข้อมูล สารสนเทศ หรือความสามารถในการประมวลผลข้อมูลของระบบ
>> ไวรัส เป็นตัวสร้างความเสี่ยงมากที่สุด ซึ่งแพร่กระจายในTrump Drive ง่ายมาก มักเกิดจากพวกGen Y ที่มีความสามารถด้านด้านคอมพิวเตอร์ มักเข้าไปยังแหล่งที่มีไวรัส เผลอเรอ และมักมีนิสัยชอบกด YES โดยไม่อ่านข้อมูล
ประเภทของบุคคลที่เกี่ยวข้องกับความเสี่ยงของระบบสารสนเทศ
- แฮกเกอร์ (Hacker) คือบุคคลที่ใช้ทักษะหรือความสามารถที่สูงทางคอมพิวเตอร์เพื่อเจาะเข้าไปในระบบสารสนเทศของผู้อื่น แม้ว่าการกระทำดังกล่าวจะเป็นการกระทำที่ผิดกฏหมาย
- แครกเกอร์ (Cracker) คือบุคคลที่ทำอันตรายต่อการรักษาความปลอดภัยของระบบสารสนเทศโดยมีวัตถุประสงค์ร้าย
- ผู้ก่อให้เกิดภัยมือใหม่ (Script Kiddies) เป็นบุคคลที่มีเป้าหมายเช่นเดียวกับแครกเกอร์คือทำลายระบบ แต่มักไม่มีทักษะทางด้านคอมพิวเตอร์มากนัก ส่วนมากจะทำการดาวน์โหลดซอฟต์แวร์ที่ช่วยในการเจาะระบบจากเว็บ
- ผู้สอดแนม (Spies) เป็นบุคคลที่ถูกจ้างเพื่อเจาะระบบสารสนเทศและขโมยข้อมูล มักมีทักษะทางคอมพิวเตอร์สูง โดยมีเป้าหมายของระบบที่ต้องการเจาะอย่างชัดเจน ไม่ไร้จุดหมายเหมือนผู้ก่อให้เกิดภัยมือใหม่
- เจ้าหน้าที่ขององค์กร (Employees) เป็นภัยคุกคามที่มีจำนวนมากขึ้น โดยเจ้าหน้าที่จะเจาะเข้าไปในระบบสารสนเทศของกิจการของตนโดยมีเหตุผลเพื่อแสดงให้เห็นว่าระบบรักษาความปลอดภัยขององค์กรมีจุดอ่อน
- ผู้ก่อการร้ายทางคอมพิวเตอร์ (Cyberterrorist) ใช้ความเชื่อของตนเองในการปรับเปลี่ยนข้อมูลสารสนเทศ หรือการทำให้ระบบสารสนเทศ ปฏิเสธการให้บริการกับผู้ใช้ที่มีสิทธิในการใช้ระบบอย่างถูกต้อง หรือเจาะเข้าไปในระบบเพื่อทำให้ข้อมูลเสียหายอย่างมาก ผู้ก่อการร้ายทางคอมพิวเตอร์เป็นนักเจาระบบที่น่ากลัวมากที่สุดในจำนวนนักเจาะระบบ มีทักษะทางคอมพิวเตอร์ที่สูงมาก นอกจากนี้ยังเป็นการยากที่จะทำนายว่าจะโจมตีจะเกิดเวลาไหนและที่ใด โจมตีในรูปแบบใหม่อย่างอย่างฉับพลันและรวดเร็ว เช่น การปล่อยข่าว กล่าวหาบุคคลอื่น
ประเภทของความเสี่ยงของระบบสารสนเทศ
1. การโจมตีระบบเครือข่าย (Network attack)
- การโจมตีขั้นพื้นฐาน (Basic Attacks) เช่น กลลวงทางสังคม (Social engineering) เช่น Call Center หลอกลวง / การแชร์ Password กับเพื่อน และการรื้ออค้นเอกสารทางคอมพิวเตอร์จากที่ทิ้งขยะ (Dumpster Diving )
- การโจมตีด้านคุณลักษณะ (Identity Attacks) เช่น DNS Spoofing และ e-mail spoofing ส่งไวรัสจากเครื่องของเราให้คนอื่น โดยอาจจะแปลงเลข IP เป็นรหัสของเรา
- การปฏิเสธการให้บริการ (Denial of Service หรือ DoS) เช่น Distributed denial-of-service (DDoS) , DoSHTTP (HTTP Flood Denial of Service) ส่งการRequest อัตโนมัติจากเครื่องคอมพิวเตอร์หลายๆ ล้านครั้ง เพื่อให้เว็บไซต์ล่ม
- Webpage Spoof การทำเว็บไซต์ปลอม เช่น หน้าตาเว็บไซต์เป็นกูเกิล แต่URL เป็นยาฮู
- E-mail Spoofing ต้องระมัดระวังการเข้าลิงก์ที่ไม่รู้จัก แปลกปลอมจากในอีเมล์
- IP Spoofing การที่เราเข้าไปคลิกเว็บไซต์หนึ่งๆ ที่ผู้ก่อการร้ายทางคอมพิวเตอร์สร้างไว้ แล้วระบบจะจดจำ IPของเราไว้ หลังจากนั้นก็นำ IP ของเราไปทำกิจกรรมต่างๆ โดยที่เราไม่รู้ตัว อาจนำไปสร้างอันตรายให้ผู้อื่น ซึ่งอาจส่งผลกระทบต่อตัวเรา เนื่องจาก IP เปรียบเหมือนบ้านเลขที่สำหรับคอมพิวเตอร์ของตัวเรา
- Distributed denial-of-service เช่น เกิดจากการมีไวรัสมาฝังในเครื่องเราโดยตั้งไว้ว่า ให้ ณ เวลหนึ่งๆ หากเรายังใช้งานคอมพิวเตอร์อยู่จะส่ง Request ของเราไปยังเครื่องอื่นๆ เพื่อทำลายหรือรบกวนระบบ เป็นการถูกนำไปใช้เป็นเครื่องมือทำลายผู้อื่น
- ข้อมูลที่ถูกจัดส่งไปยังเว็บ อาจไว้ใช้เช็กการเข้าเว็บไซต์ของพนักงานว่าเข้าเว็บไซต์ไหนบ้าง อย่างไรก็ตาม ถือเป็นการละเมิดความเป็นส่วนตัว
- การโจมตีด้วยมัลแวร์ (Malware)
- โปรแกรมมุ่งร้ายที่โจมตีการปฏิบัติงานของคอมพิวเตอร์ (Computer’s operations) ประกอบด้วย ไวรัส (Viruses) เวิร์ม (Worms) โทรจันฮอร์ส(Trojan horse) และลอจิกบอมบ์ (Logic bombs)
- และโปรแกรมมุ่งร้ายที่โจมตีความเป็นส่วนตัวของสารสนเทศ(Information privacy) ที่มีชื่อเรียกทั่วไปว่า สปายแวร์ (Spyware) ประกอบด้วย แอดแวร์ (Adware) พิชชิง (Phishing) คีลอกเกอะ (Keyloggers) การเปลี่ยนการปรับแต่งระบบ (Configuration Changers)การต่อหมายเลข (Dialers) และ แบ็คดอร์ (Backdoors)
- ไวรัส หมายถึงโปรแกรมที่ติดตัวเองไปกับเอกสารหรือโปรแกรม ประมวลผลเมื่อเอกสารหรือโปรแกรมนั้นถูกเปิด ก่อให้เกิดปัญหา
- เวิร์ม เป็นโปรแกรมมุ่งร้ายเช่นเดียวกับไวรัส แต่มีความแตกต่างกัน 2 ประการคือ ประการแรก ไวรัสเป็นโปรแกรมที่ติดตัวเองไปกับเอกสารทางคอมพิวเตอร์ ในขณะที่เวิร์มสามารถที่จะไปยังที่ต่างๆ ได้ด้วยตัวเอง ประการที่สอง ไวรัสต้องอาศัยผู้ใช้งานสั่งให้ประมวลผลโปรแกรม แต่เวิร์ม สามารถประมวลผลได้ด้วยตนเอง
- โทรจันฮอร์ส คือโปรแกรมที่ทำลายระบบคอมพิวเตอร์โดยแฝงมากับโปรแกรมอื่นๆ เช่น เกม เป็นต้น
- ลอจิกบอมบ์ เป็นโปรแกรมที่แฝงตัวในโปรแกรมคอมพิวเตอร์ แต่จะยังไม่ทำงานจนกว่าเงื่อนไขที่กำหนดเกิดขึ้น
- แอดแวร์ คือโปรแกรมที่จะแสดงข้อความโฆษณาที่เว็บเพจโดยที่ผู้ใช้งานมิได้ต้องการ
- พิชชิง คือการส่งอีเมลไปให้ผู้ใช้ เมื่อผู้ใช้เข้าไปในเว็บไซด์ที่แสดงในอีเมลก็จะแสดงเว็บเพจ ปลอมซึ่งมีการจัดทำหน้าเว็บเพจให้เหมือนของจริง ถ้าผู้ใช้ป้อนรหัสผ่านหรือเลขที่บัตรเครดิตเข้าไปในเว็บเพจดังกล่าว ข้อมูลก็จะถูกขโมยและนำไปใช้ต่อไป นอกจากนี้ยังมีวิธีการ พาร์มมิง (Pharming) ที่มีเป้าหมายเพื่อต้องการข้อมูลส่วนตัวเช่นเดียวกับฟิชชิง แตกต่างกันที่แทนที่จะขอให้ผู้ใช้เข้าเยี่ยมชมเว็บไซด์ปลอมจะเชื่อมโยงผู้ใช้ไปยังเว็บไซด์ปลอมอัตโนมัติเมื่อผู้ใช้ป้อนที่อยู่เว็บในเว็บเบราว์เซอร์ด้วยวิธีการของ DNS Spoofing
- คีลอกเกอะ อาจเป็นอุปกรณ์คอมพิวเตอร์หรือโปรแกรมขนาดเล็กที่บันทึกการกดแป้นพิมพ์เพื่อป้อนตัวอักขระและจัดเก็บในแฟ้มข้อมูล เช่น ตู้ ATM ที่ถูก hack
- แบ็คดอร์ ทำให้การเข้าถึงระบบไม่ต้องผ่านขั้นตอนการป้อนรหัสประจำตัวและรหัสผ่าน
2. การเข้าถึงระบบโดยไม่ได้รับอนุญาต (Unauthorized access) หมายถึง การใช้คอมพิวเตอร์หรือระบบเครือข่ายคอมพิวเตอร์โดยไม่มีสิทธิ เช่น การเข้าระบบโอนเงินธนาคารโดยไม่ได้รับอนุญาต
3. การขโมย (Theft) เช่น การขโมยฮาร์ดแวร์/การขโมยซอฟต์แวร์ /การขโมยสารสนเทศ
4. ความล้มเหลวของระบบสารสนเทศ (System failure) เช่น เสียง (Noise) อาจเป็นการรบกวนจากฝนตก ความชื้น หรือไฟตก เป็นต้น
การรักษาความปลอดภัยของระบบสารสนเทศ
การรักษาความปลอดภัยการโจมตีระบบเครือข่าย
- ติดตั้งโปรแกรมป้องกันไวรัสและปรับปรุง Virus signature หรือ Virus definition ต้องมีการ Update ตลอดเวลาด้วย
- ติดตั้งไฟร์วอลล์ (Firewall) ซึ่งเป็นซอฟต์แวร์และฮาร์ดแวร์ที่คอยกั้นไม่ให้สิ่งไม่ดีเข้ามาในองค์กร แต่อาจไม่ค่อยแข็งแรงนัก ต้องมีติดตั้งโปรแกรมป้องกันไวรัสเพิ่มเติม
- ติดตั้งซอฟต์แวร์ตรวจจับการบุกรุก (Intrusion detection software) กิจการขนาดใหญ่ส่วนมากจะติดตั้งระบบนี้ เพื่อดูว่าคนที่เข้ามาใช้ทรัพยากรในองค์กร เป็นใครมาจากไหน IP อะไร มีการบุกรุกหรือไม่
- ติดตั้ง Honeypot คือ การตั้งระบบเหมือนจริงขึ้นมาป้องกันไว้รอบๆระบบจริงที่ใช้งานอยู่ เป็นการป้องกันอันตรายจากการถูกเจาะระบบ
การควบคุมการเข้าถึงระบบโดยไม่ได้รับอนุญาต
- การระบุตัวตน (Identification) จะมีหมายเลขประจำตัวแต่ละคน เวลาจะเข้าใช้ระบบอะไรบางอย่าง ก่อนต้องกรอกรหัสก่อน
- การพิสูจน์ตัวจริง (Authentication) เช่น รหัสผ่าน (Password)
1. ข้อมูลที่ทราบเฉพาะบุคคลที่เป็นเจ้าของ (What you know)
2. ใช้บัตรผ่านที่มีลักษณะเป็นบัตรประจำตัว (What you have) เช่น บัตรATM เป็นต้น
3. ลักษณะทางกายภาพของบุคคล (What you are) เช่น ม่านตา เป็นต้น
*** การตั้งพาสเวิด ควรตั้งเป็นภาษาคาราโอเกะ เพราะ ไม่ใช่ภาษาใดภาษาหนึ่ง และควรมีทั้งตัวเลขและตัวอักษร
การควบคุมการขโมย
- ควบคุมการเข้าถึงทางกายภาพ (Physical access control) เช่น การปิดห้องและหน้าต่าง เป็นต้น
- กิจการบางแห่งนำระบบ Real time location system (RTLS) มาใช้เพื่อระบุสถานที่ที่มีความเสี่ยงสูงโดยนำ RFID tags ติดที่อุปกรณ์คอมพิวเตอร์เพื่อใช้ในการติดตามอุปกรณ์นั้นๆ
- ปัจจุบันมีการออกแบบเครื่องคอมพิวเตอร์ให้สามารถควบคุมการเปิดเครื่องและการเข้าใช้งานเครื่องด้วยการใช้ลักษณะทางกายภาพของบุคคล เช่น ลายนิ้วมือ เป็นต้น
- การรักษาความปลอดภัยของซอฟต์แวร์ทำโดยเก็บรักษาแผ่นซอฟต์แวร์ในสถานที่มีการรักษาความปลอดภัย
- ในกรณีที่มีโปรแกรมเมอร์ลาออกหรือถูกให้ออก ต้องควบคุมและติดตามโปรแกรมเมอร์ทันที (Escort)
การเข้ารหัส คือกระบวนการในการแปลงหรือเข้ารหัสข้อมูลที่อยู่ในรูปที่คนทั่วไปสามารถอ่านได้(Plaintext) ให้อยู่ในรูปที่เฉพาะผู้ที่เกี่ยวข้องเท่านั้นสามารถอ่านข้อมูลได้ (Ciphertext)
ประเภทของการเข้ารหัส
- การเข้ารหัสแบบสมมาตร ผู้ส่งและผู้รับจะใช้คีย์ลับในการเปิด ซึ่งการเข้ารหัสแบบนี้จะใช้กันในวงแคบ
- การเข้ารหัสแบบไม่สมมาตร ผู้ส่งใช้คีย์สาธารณะส่วนผู้รับใช้คีย์ส่วนตัวในการเปิด เช่น ระหว่างการติดต่อของเว็บไซต์อเมซอนกับลูกค้า
การรักษาความปลอดภัยอื่นๆ
- Secure sockets layer (SSL) โดยเว็บเพจที่ใช้ SSL จะขึ้นต้นด้วย httpsแทนที่จะเป็น http จะมีความปลอดภัยมากขึ้น
- Secure HTTP (S-HTTP) เช่น ระบบธนาคารออนไลน์จะใช้ S-HTTP
- Virtual private network (VPN)
การควบคุมความล้มเหลวของระบบสารสนเทศ
- การป้องกันแรงดันไฟฟ้าใช้ Surge protector หรือ Surge suppressor
- ไฟฟ้าดับใช้ Uninterruptible power supply (UPS)
- กรณีระบบสารสนเทศถูกทำลายจนไม่สามารถให้บริการได้ การควบคุมทำโดยการจัดทำแผนการทำให้กลับคืนสู่สภาพเดิมจากภัยพิบัติ (Disaster Recovery – DR) หรือ Business continuity planning (BCP)
การสำรองข้อมูล (Data Backup) สิ่งที่ต้องตัดสินใจเกี่ยวกับการสำรองข้อมูลประกอบด้วย
1. เลือกสื่อบันทึก (Media) ที่จะทำการสำรองข้อมูล เช่น CD DVD หรือ Portable Harddisk เป็นต้น
2. ระยะเวลาที่ต้องสำรองข้อมูล
3. ความถี่ในการสำรองข้อมูล ขึ้นอยู่กับระยะเวลาสูงสุดที่ระบบจะไม่สามารถให้บริการได้โดยไม่ส่งผลต่อการดำเนินงานปกติขององค์กร
4. สถานที่จัดเก็บสื่อบันทึกที่สำรองข้อมูล ซึ่งสามารถจัดเก็บ On Site หรือ Offsite ซึ่งแต่ละประเภทมีข้อดีและข้อเสียแตกต่างกันออกไป
การรักษาความปลอดภัยของแลนไร้สาย (Wireless LAN)
- ควบคุมการเชื่อมโยงเข้าสู่แลนไร้สายด้วย Service Set Identifier (SSID)
- กลั่นกรองผู้ใช้งานด้วยการกรองหมายเลขการ์ดเน็ตเวิร์ก (MAC Addressing Filtering)
- การเข้ารหัสและถอดรหัสด้วยวิธีการ Wired Equivalency Privacy (WEP)
- จำกัดขอบเขตพื้นที่ให้บริการด้วยการควบคุมกำลังส่งของแอ็กเซสพอยน์
- การพิสูจน์สิทธิเข้าใช้งานแลนไร้สายด้วย Radius Server
- การสร้าง Virtual Private Network (VPN) บนแลนไร้สาย
จรรยาบรรณ
จรรยาบรรณทางคอมพิวเตอร์ คือหลักปฏิบัติที่แสดงให้เห็นถึงความรู้สึกผิดชอบเกี่ยวกับการใช้ระบบสารสนเทศ ซึ่งประกอบด้วย
- การใช้คอมพิวเตอร์และเครือข่ายโดยไม่ได้รับอนุญาต
- การขโมยซอฟต์แวร์ (การละเมิดลิขสิทธิ์)
- ความถูกต้องของสารสนเทศ เช่น การตกแต่งรูปภาพ เป็นต้น
- สิทธิ์ต่อทรัพย์สินทางปัญญา (Intellectual property rights)
- หลักปฏิบัติ (Code of conduct)
- ความเป็นส่วนตัวของสารสนเทศ (Information privacy)
หลักปฏิบัติ คือสิ่งที่เขียนเป็นลายลักษณ์อักษรเพื่อเป็นแนวทางในการตัดสินใจว่าการกระทำใดที่เกี่ยวข้องกับคอมพิวเตอร์เป็นสิ่งที่มีหรือไม่มีจรรยาบรรณ หลักปฏิบัติมีดังนี้
- ต้องไม่ใช้คอมพิวเตอร์ในการทำอันตรายบุคคลอื่น
- ต้องไม่รบกวนการทำงานทางคอมพิวเตอร์ของคนอื่น
- ต้องไม่เข้าไปยุ่งเกี่ยวกับแฟ้มข้อมูลของคนอื่น
- ต้องไม่ใช้คอมพิวเตอร์ในการขโมย
- ต้องไม่ใช้คอมพิวเตอร์เพื่อให้หลักฐานที่เป็นเท็จ
- ต้องไม่สำเนาหรือใช้ซอฟต์แวร์ที่ละเมิดลิขสิทธิ์
- ต้องไม่ใช้ทรัพยากรทางคอมพิวเตอร์ของผู้อื่นโดยไม่ได้รับอนุญาต
- ต้องไม่ใช้ทรัพสินทางปัญญาของผู้อื่นเหมือนเป็นของตน
- ต้องคำนึงถึงผลกระทบทางสังคมของโปรแกรมที่ออกแบบ
- ต้องใช้คอมพิวเตอร์ในทางที่แสดงให้เห็นถึงความเคารพในมนุษย์แต่ละคน
ความเป็นส่วนตัวของสารสนเทศ มีหลักปฏิบัติดังนี้
- ให้เฉพาะข้อมูลที่จำเป็นเท่านั้นในการกรอกข้อมูลใบลงทะเบียน ใบรับประกัน และอื่นๆ
- ไม่พิมพ์เบอร์โทรศัพท์ เลขที่บัตรประชาชน บนเช็ค ล่วงหน้า (Preprint)
- แจ้งองค์การโทรศัพท์ไม่ให้พิมพ์หมายเลขโทรศัพท์ของท่านลงใบสมุดโทรศัพท์
- ถ้าหมายเลขโทรศัพท์ของท่านอยู่ในพื้นที่ๆ สามารถแสดงหมายเลขโทรศัพท์ที่เครื่องของผู้รับได้ ให้ท่านระงับการแสดงหมายเลขโทรศัพท์ที่เครื่องของผู้รับด้วย
- ไม่ควรเขียนหมายเลขโทรศัพท์ของท่านบนในบิลของบัตรเครดิต
- ซื้อสินค้าด้วยเงินสด แทนที่จะเป็นบัตรเครดิต
- ถ้าร้านค้าสอบถามข้อมูลส่วนตัวของท่าน ให้หาเหตุผลว่าทำไมจึงถามคำถามนั้นก่อนที่จะตัดสินใจว่าจะให้หรือไม่ให้ข้อมูล
- กรอกข้อมูลส่วนตัวของท่านบนเว็บเฉพาะส่วนที่ต้องกรอกเท่านั้น
- ติดตั้งตัวจัดการ Cookie เพื่อกลั่นกรอง Cookie
- ลบ History file ภายหลังจากเลิกใช้โปรแกรมเบาวร์เซอร์
- ยกเลิกการเปิดบริการแบ่งปันข้อมูล (File sharing) หรือเครื่องพิมพ์ก่อนการเชื่อมต่ออินเทอร์เน็ต
- ความเป็นส่วนตัวของสารสนเทศ มีหลักปฏิบัติดังนี้ (ต่อ)
- ติดตั้งไฟร์วอลล์ส่วนบุคคล
- ติดตั้งโปรแกรม Anti-spam
- ไม่ตอบ e-mail ที่เป็น spam ไม่ว่าจะด้วยเหตุผลใดก็ตาม
กฏหมายเกี่ยวกับความเป็นส่วนตัวของสารสนเทศ เช่น Privacy Act และ Family Educational Rights and Privacy Act เป็นต้น โดยกฏหมายนี้ส่วนใหญ่จะกล่าวถึง
- จำนวนของสารสนเทศที่จัดเก็บจะต้องจัดเก็บเท่าที่จำเป็นเพื่อการดำเนินงานของธุรกิจหรือรัฐบาลเท่านั้น
- จำกัดการเข้าถึงข้อมูลที่รวบรวมนั้น โดยให้พนักงานที่เกี่ยวข้องและจำเป็นต้องใช้ข้อมูลเพื่อการปฏิบัติงานสามารถใช้ข้อมูลนั้นได้เท่านั้น
- แจ้งให้ผู้ที่ถูกจัดเก็บข้อมูลทราบว่ากำลังจัดเก็บข้อมูลอยู่ เพื่อให้บุคคลนั้นมีโอกาสในการพิจารณาความถูกต้องของข้อมูล
ความหมายของความเสี่ยงของระบบสารสนเทศ
- ความเสี่ยงของระบบสารสนเทศ (Information system risk) หมายถึง เหตุการณ์หรือการกระทำใดๆ ที่ก่อให้เกิดการสูญเสียหรือทำลายฮาร์ดแวร์ (Hardware) ซอฟต์แวร์ (Software)ข้อมูล สารสนเทศ หรือความสามารถในการประมวลผลข้อมูลของระบบ
>> ไวรัส เป็นตัวสร้างความเสี่ยงมากที่สุด ซึ่งแพร่กระจายในTrump Drive ง่ายมาก มักเกิดจากพวกGen Y ที่มีความสามารถด้านด้านคอมพิวเตอร์ มักเข้าไปยังแหล่งที่มีไวรัส เผลอเรอ และมักมีนิสัยชอบกด YES โดยไม่อ่านข้อมูล
ประเภทของบุคคลที่เกี่ยวข้องกับความเสี่ยงของระบบสารสนเทศ
- แฮกเกอร์ (Hacker) คือบุคคลที่ใช้ทักษะหรือความสามารถที่สูงทางคอมพิวเตอร์เพื่อเจาะเข้าไปในระบบสารสนเทศของผู้อื่น แม้ว่าการกระทำดังกล่าวจะเป็นการกระทำที่ผิดกฏหมาย
- แครกเกอร์ (Cracker) คือบุคคลที่ทำอันตรายต่อการรักษาความปลอดภัยของระบบสารสนเทศโดยมีวัตถุประสงค์ร้าย
- ผู้ก่อให้เกิดภัยมือใหม่ (Script Kiddies) เป็นบุคคลที่มีเป้าหมายเช่นเดียวกับแครกเกอร์คือทำลายระบบ แต่มักไม่มีทักษะทางด้านคอมพิวเตอร์มากนัก ส่วนมากจะทำการดาวน์โหลดซอฟต์แวร์ที่ช่วยในการเจาะระบบจากเว็บ
- ผู้สอดแนม (Spies) เป็นบุคคลที่ถูกจ้างเพื่อเจาะระบบสารสนเทศและขโมยข้อมูล มักมีทักษะทางคอมพิวเตอร์สูง โดยมีเป้าหมายของระบบที่ต้องการเจาะอย่างชัดเจน ไม่ไร้จุดหมายเหมือนผู้ก่อให้เกิดภัยมือใหม่
- เจ้าหน้าที่ขององค์กร (Employees) เป็นภัยคุกคามที่มีจำนวนมากขึ้น โดยเจ้าหน้าที่จะเจาะเข้าไปในระบบสารสนเทศของกิจการของตนโดยมีเหตุผลเพื่อแสดงให้เห็นว่าระบบรักษาความปลอดภัยขององค์กรมีจุดอ่อน
- ผู้ก่อการร้ายทางคอมพิวเตอร์ (Cyberterrorist) ใช้ความเชื่อของตนเองในการปรับเปลี่ยนข้อมูลสารสนเทศ หรือการทำให้ระบบสารสนเทศ ปฏิเสธการให้บริการกับผู้ใช้ที่มีสิทธิในการใช้ระบบอย่างถูกต้อง หรือเจาะเข้าไปในระบบเพื่อทำให้ข้อมูลเสียหายอย่างมาก ผู้ก่อการร้ายทางคอมพิวเตอร์เป็นนักเจาระบบที่น่ากลัวมากที่สุดในจำนวนนักเจาะระบบ มีทักษะทางคอมพิวเตอร์ที่สูงมาก นอกจากนี้ยังเป็นการยากที่จะทำนายว่าจะโจมตีจะเกิดเวลาไหนและที่ใด โจมตีในรูปแบบใหม่อย่างอย่างฉับพลันและรวดเร็ว เช่น การปล่อยข่าว กล่าวหาบุคคลอื่น
ประเภทของความเสี่ยงของระบบสารสนเทศ
1. การโจมตีระบบเครือข่าย (Network attack)
- การโจมตีขั้นพื้นฐาน (Basic Attacks) เช่น กลลวงทางสังคม (Social engineering) เช่น Call Center หลอกลวง / การแชร์ Password กับเพื่อน และการรื้ออค้นเอกสารทางคอมพิวเตอร์จากที่ทิ้งขยะ (Dumpster Diving )
- การโจมตีด้านคุณลักษณะ (Identity Attacks) เช่น DNS Spoofing และ e-mail spoofing ส่งไวรัสจากเครื่องของเราให้คนอื่น โดยอาจจะแปลงเลข IP เป็นรหัสของเรา
- การปฏิเสธการให้บริการ (Denial of Service หรือ DoS) เช่น Distributed denial-of-service (DDoS) , DoSHTTP (HTTP Flood Denial of Service) ส่งการRequest อัตโนมัติจากเครื่องคอมพิวเตอร์หลายๆ ล้านครั้ง เพื่อให้เว็บไซต์ล่ม
- Webpage Spoof การทำเว็บไซต์ปลอม เช่น หน้าตาเว็บไซต์เป็นกูเกิล แต่URL เป็นยาฮู
- E-mail Spoofing ต้องระมัดระวังการเข้าลิงก์ที่ไม่รู้จัก แปลกปลอมจากในอีเมล์
- IP Spoofing การที่เราเข้าไปคลิกเว็บไซต์หนึ่งๆ ที่ผู้ก่อการร้ายทางคอมพิวเตอร์สร้างไว้ แล้วระบบจะจดจำ IPของเราไว้ หลังจากนั้นก็นำ IP ของเราไปทำกิจกรรมต่างๆ โดยที่เราไม่รู้ตัว อาจนำไปสร้างอันตรายให้ผู้อื่น ซึ่งอาจส่งผลกระทบต่อตัวเรา เนื่องจาก IP เปรียบเหมือนบ้านเลขที่สำหรับคอมพิวเตอร์ของตัวเรา
- Distributed denial-of-service เช่น เกิดจากการมีไวรัสมาฝังในเครื่องเราโดยตั้งไว้ว่า ให้ ณ เวลหนึ่งๆ หากเรายังใช้งานคอมพิวเตอร์อยู่จะส่ง Request ของเราไปยังเครื่องอื่นๆ เพื่อทำลายหรือรบกวนระบบ เป็นการถูกนำไปใช้เป็นเครื่องมือทำลายผู้อื่น
- ข้อมูลที่ถูกจัดส่งไปยังเว็บ อาจไว้ใช้เช็กการเข้าเว็บไซต์ของพนักงานว่าเข้าเว็บไซต์ไหนบ้าง อย่างไรก็ตาม ถือเป็นการละเมิดความเป็นส่วนตัว
- การโจมตีด้วยมัลแวร์ (Malware)
- โปรแกรมมุ่งร้ายที่โจมตีการปฏิบัติงานของคอมพิวเตอร์ (Computer’s operations) ประกอบด้วย ไวรัส (Viruses) เวิร์ม (Worms) โทรจันฮอร์ส(Trojan horse) และลอจิกบอมบ์ (Logic bombs)
- และโปรแกรมมุ่งร้ายที่โจมตีความเป็นส่วนตัวของสารสนเทศ(Information privacy) ที่มีชื่อเรียกทั่วไปว่า สปายแวร์ (Spyware) ประกอบด้วย แอดแวร์ (Adware) พิชชิง (Phishing) คีลอกเกอะ (Keyloggers) การเปลี่ยนการปรับแต่งระบบ (Configuration Changers)การต่อหมายเลข (Dialers) และ แบ็คดอร์ (Backdoors)
- ไวรัส หมายถึงโปรแกรมที่ติดตัวเองไปกับเอกสารหรือโปรแกรม ประมวลผลเมื่อเอกสารหรือโปรแกรมนั้นถูกเปิด ก่อให้เกิดปัญหา
- เวิร์ม เป็นโปรแกรมมุ่งร้ายเช่นเดียวกับไวรัส แต่มีความแตกต่างกัน 2 ประการคือ ประการแรก ไวรัสเป็นโปรแกรมที่ติดตัวเองไปกับเอกสารทางคอมพิวเตอร์ ในขณะที่เวิร์มสามารถที่จะไปยังที่ต่างๆ ได้ด้วยตัวเอง ประการที่สอง ไวรัสต้องอาศัยผู้ใช้งานสั่งให้ประมวลผลโปรแกรม แต่เวิร์ม สามารถประมวลผลได้ด้วยตนเอง
- โทรจันฮอร์ส คือโปรแกรมที่ทำลายระบบคอมพิวเตอร์โดยแฝงมากับโปรแกรมอื่นๆ เช่น เกม เป็นต้น
- ลอจิกบอมบ์ เป็นโปรแกรมที่แฝงตัวในโปรแกรมคอมพิวเตอร์ แต่จะยังไม่ทำงานจนกว่าเงื่อนไขที่กำหนดเกิดขึ้น
- แอดแวร์ คือโปรแกรมที่จะแสดงข้อความโฆษณาที่เว็บเพจโดยที่ผู้ใช้งานมิได้ต้องการ
- พิชชิง คือการส่งอีเมลไปให้ผู้ใช้ เมื่อผู้ใช้เข้าไปในเว็บไซด์ที่แสดงในอีเมลก็จะแสดงเว็บเพจ ปลอมซึ่งมีการจัดทำหน้าเว็บเพจให้เหมือนของจริง ถ้าผู้ใช้ป้อนรหัสผ่านหรือเลขที่บัตรเครดิตเข้าไปในเว็บเพจดังกล่าว ข้อมูลก็จะถูกขโมยและนำไปใช้ต่อไป นอกจากนี้ยังมีวิธีการ พาร์มมิง (Pharming) ที่มีเป้าหมายเพื่อต้องการข้อมูลส่วนตัวเช่นเดียวกับฟิชชิง แตกต่างกันที่แทนที่จะขอให้ผู้ใช้เข้าเยี่ยมชมเว็บไซด์ปลอมจะเชื่อมโยงผู้ใช้ไปยังเว็บไซด์ปลอมอัตโนมัติเมื่อผู้ใช้ป้อนที่อยู่เว็บในเว็บเบราว์เซอร์ด้วยวิธีการของ DNS Spoofing
- คีลอกเกอะ อาจเป็นอุปกรณ์คอมพิวเตอร์หรือโปรแกรมขนาดเล็กที่บันทึกการกดแป้นพิมพ์เพื่อป้อนตัวอักขระและจัดเก็บในแฟ้มข้อมูล เช่น ตู้ ATM ที่ถูก hack
- แบ็คดอร์ ทำให้การเข้าถึงระบบไม่ต้องผ่านขั้นตอนการป้อนรหัสประจำตัวและรหัสผ่าน
2. การเข้าถึงระบบโดยไม่ได้รับอนุญาต (Unauthorized access) หมายถึง การใช้คอมพิวเตอร์หรือระบบเครือข่ายคอมพิวเตอร์โดยไม่มีสิทธิ เช่น การเข้าระบบโอนเงินธนาคารโดยไม่ได้รับอนุญาต
3. การขโมย (Theft) เช่น การขโมยฮาร์ดแวร์/การขโมยซอฟต์แวร์ /การขโมยสารสนเทศ
4. ความล้มเหลวของระบบสารสนเทศ (System failure) เช่น เสียง (Noise) อาจเป็นการรบกวนจากฝนตก ความชื้น หรือไฟตก เป็นต้น
การรักษาความปลอดภัยของระบบสารสนเทศ
การรักษาความปลอดภัยการโจมตีระบบเครือข่าย
- ติดตั้งโปรแกรมป้องกันไวรัสและปรับปรุง Virus signature หรือ Virus definition ต้องมีการ Update ตลอดเวลาด้วย
- ติดตั้งไฟร์วอลล์ (Firewall) ซึ่งเป็นซอฟต์แวร์และฮาร์ดแวร์ที่คอยกั้นไม่ให้สิ่งไม่ดีเข้ามาในองค์กร แต่อาจไม่ค่อยแข็งแรงนัก ต้องมีติดตั้งโปรแกรมป้องกันไวรัสเพิ่มเติม
- ติดตั้งซอฟต์แวร์ตรวจจับการบุกรุก (Intrusion detection software) กิจการขนาดใหญ่ส่วนมากจะติดตั้งระบบนี้ เพื่อดูว่าคนที่เข้ามาใช้ทรัพยากรในองค์กร เป็นใครมาจากไหน IP อะไร มีการบุกรุกหรือไม่
- ติดตั้ง Honeypot คือ การตั้งระบบเหมือนจริงขึ้นมาป้องกันไว้รอบๆระบบจริงที่ใช้งานอยู่ เป็นการป้องกันอันตรายจากการถูกเจาะระบบ
การควบคุมการเข้าถึงระบบโดยไม่ได้รับอนุญาต
- การระบุตัวตน (Identification) จะมีหมายเลขประจำตัวแต่ละคน เวลาจะเข้าใช้ระบบอะไรบางอย่าง ก่อนต้องกรอกรหัสก่อน
- การพิสูจน์ตัวจริง (Authentication) เช่น รหัสผ่าน (Password)
1. ข้อมูลที่ทราบเฉพาะบุคคลที่เป็นเจ้าของ (What you know)
2. ใช้บัตรผ่านที่มีลักษณะเป็นบัตรประจำตัว (What you have) เช่น บัตรATM เป็นต้น
3. ลักษณะทางกายภาพของบุคคล (What you are) เช่น ม่านตา เป็นต้น
*** การตั้งพาสเวิด ควรตั้งเป็นภาษาคาราโอเกะ เพราะ ไม่ใช่ภาษาใดภาษาหนึ่ง และควรมีทั้งตัวเลขและตัวอักษร
การควบคุมการขโมย
- ควบคุมการเข้าถึงทางกายภาพ (Physical access control) เช่น การปิดห้องและหน้าต่าง เป็นต้น
- กิจการบางแห่งนำระบบ Real time location system (RTLS) มาใช้เพื่อระบุสถานที่ที่มีความเสี่ยงสูงโดยนำ RFID tags ติดที่อุปกรณ์คอมพิวเตอร์เพื่อใช้ในการติดตามอุปกรณ์นั้นๆ
- ปัจจุบันมีการออกแบบเครื่องคอมพิวเตอร์ให้สามารถควบคุมการเปิดเครื่องและการเข้าใช้งานเครื่องด้วยการใช้ลักษณะทางกายภาพของบุคคล เช่น ลายนิ้วมือ เป็นต้น
- การรักษาความปลอดภัยของซอฟต์แวร์ทำโดยเก็บรักษาแผ่นซอฟต์แวร์ในสถานที่มีการรักษาความปลอดภัย
- ในกรณีที่มีโปรแกรมเมอร์ลาออกหรือถูกให้ออก ต้องควบคุมและติดตามโปรแกรมเมอร์ทันที (Escort)
การเข้ารหัส คือกระบวนการในการแปลงหรือเข้ารหัสข้อมูลที่อยู่ในรูปที่คนทั่วไปสามารถอ่านได้(Plaintext) ให้อยู่ในรูปที่เฉพาะผู้ที่เกี่ยวข้องเท่านั้นสามารถอ่านข้อมูลได้ (Ciphertext)
ประเภทของการเข้ารหัส
- การเข้ารหัสแบบสมมาตร ผู้ส่งและผู้รับจะใช้คีย์ลับในการเปิด ซึ่งการเข้ารหัสแบบนี้จะใช้กันในวงแคบ
- การเข้ารหัสแบบไม่สมมาตร ผู้ส่งใช้คีย์สาธารณะส่วนผู้รับใช้คีย์ส่วนตัวในการเปิด เช่น ระหว่างการติดต่อของเว็บไซต์อเมซอนกับลูกค้า
การรักษาความปลอดภัยอื่นๆ
- Secure sockets layer (SSL) โดยเว็บเพจที่ใช้ SSL จะขึ้นต้นด้วย httpsแทนที่จะเป็น http จะมีความปลอดภัยมากขึ้น
- Secure HTTP (S-HTTP) เช่น ระบบธนาคารออนไลน์จะใช้ S-HTTP
- Virtual private network (VPN)
การควบคุมความล้มเหลวของระบบสารสนเทศ
- การป้องกันแรงดันไฟฟ้าใช้ Surge protector หรือ Surge suppressor
- ไฟฟ้าดับใช้ Uninterruptible power supply (UPS)
- กรณีระบบสารสนเทศถูกทำลายจนไม่สามารถให้บริการได้ การควบคุมทำโดยการจัดทำแผนการทำให้กลับคืนสู่สภาพเดิมจากภัยพิบัติ (Disaster Recovery – DR) หรือ Business continuity planning (BCP)
การสำรองข้อมูล (Data Backup) สิ่งที่ต้องตัดสินใจเกี่ยวกับการสำรองข้อมูลประกอบด้วย
1. เลือกสื่อบันทึก (Media) ที่จะทำการสำรองข้อมูล เช่น CD DVD หรือ Portable Harddisk เป็นต้น
2. ระยะเวลาที่ต้องสำรองข้อมูล
3. ความถี่ในการสำรองข้อมูล ขึ้นอยู่กับระยะเวลาสูงสุดที่ระบบจะไม่สามารถให้บริการได้โดยไม่ส่งผลต่อการดำเนินงานปกติขององค์กร
4. สถานที่จัดเก็บสื่อบันทึกที่สำรองข้อมูล ซึ่งสามารถจัดเก็บ On Site หรือ Offsite ซึ่งแต่ละประเภทมีข้อดีและข้อเสียแตกต่างกันออกไป
การรักษาความปลอดภัยของแลนไร้สาย (Wireless LAN)
- ควบคุมการเชื่อมโยงเข้าสู่แลนไร้สายด้วย Service Set Identifier (SSID)
- กลั่นกรองผู้ใช้งานด้วยการกรองหมายเลขการ์ดเน็ตเวิร์ก (MAC Addressing Filtering)
- การเข้ารหัสและถอดรหัสด้วยวิธีการ Wired Equivalency Privacy (WEP)
- จำกัดขอบเขตพื้นที่ให้บริการด้วยการควบคุมกำลังส่งของแอ็กเซสพอยน์
- การพิสูจน์สิทธิเข้าใช้งานแลนไร้สายด้วย Radius Server
- การสร้าง Virtual Private Network (VPN) บนแลนไร้สาย
จรรยาบรรณ
จรรยาบรรณทางคอมพิวเตอร์ คือหลักปฏิบัติที่แสดงให้เห็นถึงความรู้สึกผิดชอบเกี่ยวกับการใช้ระบบสารสนเทศ ซึ่งประกอบด้วย
- การใช้คอมพิวเตอร์และเครือข่ายโดยไม่ได้รับอนุญาต
- การขโมยซอฟต์แวร์ (การละเมิดลิขสิทธิ์)
- ความถูกต้องของสารสนเทศ เช่น การตกแต่งรูปภาพ เป็นต้น
- สิทธิ์ต่อทรัพย์สินทางปัญญา (Intellectual property rights)
- หลักปฏิบัติ (Code of conduct)
- ความเป็นส่วนตัวของสารสนเทศ (Information privacy)
หลักปฏิบัติ คือสิ่งที่เขียนเป็นลายลักษณ์อักษรเพื่อเป็นแนวทางในการตัดสินใจว่าการกระทำใดที่เกี่ยวข้องกับคอมพิวเตอร์เป็นสิ่งที่มีหรือไม่มีจรรยาบรรณ หลักปฏิบัติมีดังนี้
- ต้องไม่ใช้คอมพิวเตอร์ในการทำอันตรายบุคคลอื่น
- ต้องไม่รบกวนการทำงานทางคอมพิวเตอร์ของคนอื่น
- ต้องไม่เข้าไปยุ่งเกี่ยวกับแฟ้มข้อมูลของคนอื่น
- ต้องไม่ใช้คอมพิวเตอร์ในการขโมย
- ต้องไม่ใช้คอมพิวเตอร์เพื่อให้หลักฐานที่เป็นเท็จ
- ต้องไม่สำเนาหรือใช้ซอฟต์แวร์ที่ละเมิดลิขสิทธิ์
- ต้องไม่ใช้ทรัพยากรทางคอมพิวเตอร์ของผู้อื่นโดยไม่ได้รับอนุญาต
- ต้องไม่ใช้ทรัพสินทางปัญญาของผู้อื่นเหมือนเป็นของตน
- ต้องคำนึงถึงผลกระทบทางสังคมของโปรแกรมที่ออกแบบ
- ต้องใช้คอมพิวเตอร์ในทางที่แสดงให้เห็นถึงความเคารพในมนุษย์แต่ละคน
ความเป็นส่วนตัวของสารสนเทศ มีหลักปฏิบัติดังนี้
- ให้เฉพาะข้อมูลที่จำเป็นเท่านั้นในการกรอกข้อมูลใบลงทะเบียน ใบรับประกัน และอื่นๆ
- ไม่พิมพ์เบอร์โทรศัพท์ เลขที่บัตรประชาชน บนเช็ค ล่วงหน้า (Preprint)
- แจ้งองค์การโทรศัพท์ไม่ให้พิมพ์หมายเลขโทรศัพท์ของท่านลงใบสมุดโทรศัพท์
- ถ้าหมายเลขโทรศัพท์ของท่านอยู่ในพื้นที่ๆ สามารถแสดงหมายเลขโทรศัพท์ที่เครื่องของผู้รับได้ ให้ท่านระงับการแสดงหมายเลขโทรศัพท์ที่เครื่องของผู้รับด้วย
- ไม่ควรเขียนหมายเลขโทรศัพท์ของท่านบนในบิลของบัตรเครดิต
- ซื้อสินค้าด้วยเงินสด แทนที่จะเป็นบัตรเครดิต
- ถ้าร้านค้าสอบถามข้อมูลส่วนตัวของท่าน ให้หาเหตุผลว่าทำไมจึงถามคำถามนั้นก่อนที่จะตัดสินใจว่าจะให้หรือไม่ให้ข้อมูล
- กรอกข้อมูลส่วนตัวของท่านบนเว็บเฉพาะส่วนที่ต้องกรอกเท่านั้น
- ติดตั้งตัวจัดการ Cookie เพื่อกลั่นกรอง Cookie
- ลบ History file ภายหลังจากเลิกใช้โปรแกรมเบาวร์เซอร์
- ยกเลิกการเปิดบริการแบ่งปันข้อมูล (File sharing) หรือเครื่องพิมพ์ก่อนการเชื่อมต่ออินเทอร์เน็ต
- ความเป็นส่วนตัวของสารสนเทศ มีหลักปฏิบัติดังนี้ (ต่อ)
- ติดตั้งไฟร์วอลล์ส่วนบุคคล
- ติดตั้งโปรแกรม Anti-spam
- ไม่ตอบ e-mail ที่เป็น spam ไม่ว่าจะด้วยเหตุผลใดก็ตาม
กฏหมายเกี่ยวกับความเป็นส่วนตัวของสารสนเทศ เช่น Privacy Act และ Family Educational Rights and Privacy Act เป็นต้น โดยกฏหมายนี้ส่วนใหญ่จะกล่าวถึง
- จำนวนของสารสนเทศที่จัดเก็บจะต้องจัดเก็บเท่าที่จำเป็นเพื่อการดำเนินงานของธุรกิจหรือรัฐบาลเท่านั้น
- จำกัดการเข้าถึงข้อมูลที่รวบรวมนั้น โดยให้พนักงานที่เกี่ยวข้องและจำเป็นต้องใช้ข้อมูลเพื่อการปฏิบัติงานสามารถใช้ข้อมูลนั้นได้เท่านั้น
- แจ้งให้ผู้ที่ถูกจัดเก็บข้อมูลทราบว่ากำลังจัดเก็บข้อมูลอยู่ เพื่อให้บุคคลนั้นมีโอกาสในการพิจารณาความถูกต้องของข้อมูล
บทที่ 12 เรื่องที่ 1 มาตราฐานการควบคุม
มาตรฐานการควบคุมคุณภาพ (ISQC : International Standard on Quality Control)
ที่มาของมาตรฐานการควบคุมคุณภาพนี้ เริ่มตั้งแต่ประมาณปี 2001ที่มีบริษัทยักษ์ใหญ่หลายแห่งถูกจับได้ว่า ผู้บริหารมีการทำทุจริตแล้วบริษัทเหล่านี้ก็ล้มและปิดตัวไปในที่สุด โดยมีผู้สอบบัญชีเข้าไปมีส่วนร่วมด้วย จากนั้นกระแสสังคมจึงมีคำถามว่า ทำไมงบการเงินของบริษัทที่ล้มเหล่านั้นจึงแทบไม่มีข้อบ่งชี้หรือสะท้อนสิ่ง ผิดปกติอะไรให้ผู้มีส่วนได้เสียรู้ก่อน ทั้งในรายงานผู้สอบบัญชีก็แสดงความเห็นแบบไม่มีเงื่อนไข ซึ่งย่อมส่งผลกระทบต่อความน่าเชื่อถือในผลงานตรวจสอบของผู้สอบบัญชี ผู้สอบบัญชีเองก็ต้องเริ่มต้นคิดแล้วว่า จะทำอย่างไรที่จะทำให้ความเชื่อมั่นกลับคืนมา จนกระทั่งปี 2005 ที่ IASB เริ่มมีแนวคิดว่า นอกจากการควบคุมคุณภาพงานสอบบัญชีในแต่ละงานแล้ว ควรมองถึงสำนักงานสอบบัญชีที่ควรจะต้องมีการควบคุมคุณภาพด้วย
สำหรับประเทศไทย หน่วยงานที่กำกับดูแลวิชาชีพบัญชี(สภาวิชาชีพบัญชีฯ) ก็ได้ออกมาตรฐานการควบคุมคุณภาพฉบับแรก (ISQC 1) เพื่อให้บริษัทสำนักงานสอบบัญชีมีมาตรฐานการควบคุมคุณภาพในระดับสำนักงาน ที่ให้การปฏิบัติงานสอบบัญชีมีการกลั่นกรองโดยระบบและบุคคลอื่น ไม่ใช่ขึ้นอยู่กับการปฏิบัติงานของบุคคลคนเดียวอีกต่อไป ที่ย่อมทำให้คุณภาพงานสอบบัญชีดีขึ้น… มาตรฐานนี้เริ่มใช้ในต่างประเทศตั้งแต่ปี 2548 และมีการปรับปรุงเนื้อหาในปี 2552 ส่วนในประเทศไทยเริ่มเผยแพร่ร่างมาตรฐานนี้ในปี 2553 และประกาศเป็นมาตรฐานเมื่อต้นปี 2554 เพื่อให้สำนักงานสอบบัญชีถือปฏิบัติในปี 2557 แต่อย่างไรก็ตามสภาวิชาชีพบัญชีฯ สนับสนุนให้มีการนำมาตรฐานนี้ไปใช้ก่อน สำหรับสำนักงานที่ยังไม่พร้อม ก็ควรต้องเร่งทำความเข้าใจเพื่อปรับระบบงานหรือเตรียมการไว้ตั้งแต่เนิ่นๆใน ระยะเวลาอีกไม่นานก่อนการใช้บังคับ และอย่านิ่งนอนใจเป็นอันขาด
มาตรฐานฉบับนี้ประกอบไปด้วยอะไร
สรุปประเด็นสำคัญที่มาตรฐานนี้กำหนด อาจแบ่งเป็น 6 เรื่อง ดังนี้
1. ความรับผิดชอบของผู้นำต่อคุณภาพภายในสำนักงาน คือ หัวหน้าสำนักงานสอบบัญชีว่า มีหน้าที่ความรับผิดชอบอะไร เพื่อให้สำนักงานมีคุณภาพตามที่กำหนด
2. ข้อกำหนดด้านจรรยาบรรณที่เกี่ยวข้อง คือ การกำหนดให้สำนักงานและบุคลากรของสำนักงานปฏิบัติตามข้อกำหนดจรรยาบรรณของ ผู้ประกอบวิชาชีพบัญชี
3. การตอบรับงานสอบบัญชี สำนักงานต้องมีกระบวนการและวิธีปฏิบัติในการตอบรับงานสอบบัญชี รวมถึงการคงไว้ซึ่งความสัมพันธ์กับลูกค้าและงานที่มีลักษณะเฉพาะ
4. ทรัพยากรบุคคล สำนักงานต้องการออกแบบวิธีปฏิบัติเพื่อให้สำนักงานมีบุคคลากรที่มีคุณภาพ มีทักษะความรู้ ความสามารถ และยึดมั่นในหลักจรรยาบรรณที่เพียงพอ
5. การปฏิบัติงาน กำหนดวิธีปฏิบัติงานให้เป็นไปตามมาตรฐานวิชาชีพ และข้อกำหนดทางกฎหมายที่เกี่ยวข้อง
6. การติดตามผล คือ การติดตามผลเกี่ยวกับนโยบาย วิธีปฏิบัติในการควบคุมคุณภาพที่สำนักงานได้กำหนดไว้ หรือพูดง่ายๆ คือ การดูแลตัวเอง ทำอย่างไรให้สำนักงานสอบบัญชีมีระบบขึ้นมาจริง ๆ และมีอย่างต่อเนื่อง
การประกาศบังคับใช้มาตรฐาน
สภาวิชาชีพบัญชีฯ ได้ประกาศบังคับใช้ มาตรฐานการควบคุมคุณภาพ ฉบับที่ 1 การควบคุมคุณภาพสำหรับสำนักงานที่ให้บริการด้านการตรวจสอบและการสอบทานงบการ เงิน และงานให้ความเชื่อมั่นอื่นตลอดจนบริการเกี่ยวเนื่อง (ตามประกาศสภาวิชาชีพบัญชีฯ ที่ 9/2554) ให้ใช้บังคับตั้งแต่วันที่ 1 มกราคม พ.ศ. 2557 เป็นต้นไป
บทที่ 11 คำศัพท์
1. กางวางแผน Planning
2. แผนการ Plan
3. กางวางแผนกลยุทธ์ Strategic Planning
4. การวิเคราะห์ SWOT
5. แบบจำลองธุรกิจ Business Model
6. ขอบเขต Scope
7. ราคา Pricing
8. แหล่งรายได้ Revenue Source
9. ระบบงานแบบอัติโนมัติ Automation
10. การปรับรื้อระบบใหม่ Reengineering
2. แผนการ Plan
3. กางวางแผนกลยุทธ์ Strategic Planning
4. การวิเคราะห์ SWOT
5. แบบจำลองธุรกิจ Business Model
6. ขอบเขต Scope
7. ราคา Pricing
8. แหล่งรายได้ Revenue Source
9. ระบบงานแบบอัติโนมัติ Automation
10. การปรับรื้อระบบใหม่ Reengineering
บทที่ 11 เรื่องที่ 3 วงจรการพัฒนาระบบ
วงจรการพัฒนาระบบ(SDLC)
ความหมาย เป็นการดำเนินการตามขั้นตอนหรือกระบวนการต่างๆที่กหนดเอาไว้ในแผนพัฒนาระบบสารสนเทศทางการเงิน เพื่อสร้างระบบงานคอมพิวเตอร์ให้ทำงานเป็นไปตามที่ต้องการ
วงจรการพัฒนาระบบ คือ กระบวนในการพัฒนาระบบสารสนเทศ เพื่อแก้ปัญหาทางธุรกิจและตอบสนองความต้องการของผู้ใช้ได้ โดยภายในวงจรนั้นจะแบ่งกระบวนการพัฒนาออกเป็นกลุ่มงานหลัก ๆ ดังนี้ ด้านการวางแผน (Planning Phase) ด้านการวิเคราะห์ (Analysis Phase) ด้านการออกแบบ (Design Phase) ด้านการสร้างและพัฒนา (Implementation Phase)
ความสำคัญ ระบบสารสนเทศทั้งหลายมีวงจรชีวิตที่เหมือนกันตั้งแต่เกิดจนตายวงจรนี้จะเป็นขั้นตอน ที่เป็นลำดับตั้งแต่ต้นจนเสร็จเรียบร้อย เป็นระบบที่ใช้งานได้ ซึ่งนักวิเคราะห์ระบบต้องทำความเข้าใจให้ดีว่าในแต่ละขั้นตอนจะต้องทำอะไร และทำอย่างไร
ขั้นตอนการพัฒนาระบบมีอยู่ด้วยกัน 7 ขั้น ด้วยกัน คือ
ขั้นตอนที่ 2 : ศึกษาความเป็นไปได้ (Feasibility Study)จุดประสงค์ของการศึกษาความเป็นไปได้ก็คือ การกำหนดว่าปัญหาคืออะไรและตัดสินใจว่าการพัฒนาสร้างระบบสารสนเทศ หรือการแก้ไขระบบสารสนเทศเดิมมีความเป็นไปได้หรือไม่โดยเสียค่าใช้จ่ายและเวลาน้อยที่สุด และได้ผลเป็นที่น่าพอใจ
ปัญหาต่อไปคือ นักวิเคราะห์ระบบจะต้องกำหนดให้ได้ว่าการแก้ไขปัญหาดังกล่าวมีความเป็นไปได้ทางเทคนิคและบุคลากร ปัญหาทางเทคนิคก็จะเกี่ยวข้องกับเรื่องคอมพิวเตอร์ และเครื่องมือเก่าๆถ้ามี รวมทั้งเครื่องคอมพิวเตอร์ซอฟต์แวร์ด้วย ตัวอย่างคือ คอมพิวเตอร์ที่ใช้อยู่ในบริษัทเพียงพอหรือไม่ คอมพิวเตอร์อาจจะมีเนื้อที่ของฮาร์ดดิสก์ไม่เพียงพอ รวมทั้งซอฟต์แวร์ ว่าอาจจะต้องซื้อใหม่ หรือพัฒนาขึ้นใหม่ เป็นต้น ความเป็นไปได้ทางด้านบุคลากร คือ บริษัทมีบุคคลที่เหมาะสมที่จะพัฒนาและติดตั้งระบบเพียงพอหรือไม่ ถ้าไม่มีจะหาได้หรือไม่ จากที่ใด เป็นต้น นอกจากนั้นควรจะให้ความสนใจว่าผู้ใช้ระบบมีความคิดเห็นอย่างไรกับการเปลี่ยนแปลง รวมทั้งความเห็นของผู้บริหารด้วย
ขั้นตอนที่ 3 การวิเคราะห์ (Analysis)
เริ่มเข้าสู่การวิเคราะห์ระบบ การวิเคราะห์ระบบเริ่มตั้งแต่การศึกษาระบบการทำงานของธุรกิจนั้น ในกรณีที่ระบบเราศึกษานั้นเป็นระบบสารสนเทศอยู่แล้วจะต้องศึกษาว่าทำงานอย่างไร เพราะเป็นการยากที่จะออกแบบระบบใหม่โดยที่ไม่ทราบว่าระบบเดิมทำงานอย่างไร หรือธุรกิจดำเนินการอย่างไร หลังจากนั้นกำหนดความต้องการของระบบใหม่ ซึ่งนักวิเคราะห์ระบบจะต้องใช้เทคนิคในการเก็บข้อมูล (Fact-Gathering Techniques) ดังรูป ได้แก่ ศึกษาเอกสารที่มีอยู่ ตรวจสอบวิธีการทำงานในปัจจุบัน สัมภาษณ์ผู้ใช้และผู้จัดการที่มีส่วนเกี่ยวข้องกับระบบ เอกสารที่มีอยู่ได้แก่ คู่มือการใช้งาน แผนผังใช้งานขององค์กร รายงานต่างๆที่หมุนเวียนใน ระบบการศึกษาวิธีการทำงานในปัจจุบันจะทำให้นักวิเคราะห์ระบบรู้ว่าระบบจริงๆทำงานอย่างไร ซึ่งบางครั้งค้นพบข้อผิดพลาดได้ ตัวอย่าง เช่น เมื่อบริษัทได้รับใบเรียกเก็บเงินจะมีขั้นตอนอย่างไรในการจ่ายเงิน ขั้นตอนที่เสมียนป้อนใบเรียกเก็บเงินอย่างไร เฝ้าสังเกตการทำงานของผู้เกี่ยวข้อง เพื่อให้เข้าใจและเห็นจริงๆ ว่าขั้นตอนการทำงานเป็นอย่างไร ซึ่งจะทำให้นักวิเคราะห์ระบบค้นพบจุดสำคัญของระบบว่าอยู่ที่ใด
การสัมภาษณ์เป็นศิลปะอย่างหนึ่งที่นักวิเคราะห์ระบบควรจะต้องมีเพื่อเข้ากับผู้ใช้ได้ง่าย และสามารถดึงสิ่งที่ต้องการจากผู้ใช้ได้ เพราะว่าความต้องการของระบบคือ สิ่งสำคัญที่จะใช้ในการออกแบบต่อไป ถ้าเราสามารถกำหนดความต้องการได้ถูกต้อง การพัฒนาระบบในขั้นตอนต่อไปก็จะง่ายขึ้น เมื่อเก็บรวบรวมข้อมูลแล้วจะนำมาเขียนรวมเป็นรายงานการทำงานของ ระบบซึ่งควรแสดงหรือเขียนออกมาเป็นรูปแทนที่จะร่ายยาวออกมาเป็นตัวหนังสือ การแสดงแผนภาพจะทำให้เราเข้าใจได้ดีและง่ายขึ้น หลังจากนั้นนักวิเคราะห์ระบบ อาจจะนำข้อมูลที่รวบรวมได้นำมาเขียนเป็น "แบบทดลอง" (Prototype) หรือตัวต้นแบบ แบบทดลองจะเขียนขึ้นด้วยภาษาคอมพิวเตอร์ต่างๆ และที่ช่วยให้ง่ายขึ้นได้แก่ ภาษายุคที่ 4 (Fourth Generation Language) เป็นการสร้างโปรแกรมคอมพิวเตอร์ขึ้นมาเพื่อใช้งานตามที่เราต้องการได้ ดังนั้นแบบทดลองจึงช่วยลดข้อผิดพลาดที่อาจจะเกิดขึ้นได้
ขั้นตอนที่4 : การออกแบบ (Design)ในระยะแรกของการออกแบบ นักวิเคราะห์ระบบจะนำการตัดสินใจ ของฝ่ายบริหารที่ได้จากขั้นตอนการวิเคราะห์การเลือกซื้อคอมพิวเตอร์ ฮาร์ดแวร์และซอฟต์แวร์ด้วย (ถ้ามีหรือเป็นไปได้) หลังจากนั้นนักวิเคราะห์ระบบจะนำแผนภาพต่างๆ ที่เขียนขึ้นในขั้นตอนการวิเคราะห์มาแปลงเป็นแผนภาพลำดับขั้น (แบบต้นไม้) ดังรูปข้างล่าง เพื่อให้มองเห็นภาพลักษณ์ที่แน่นอนของโปรแกรมว่ามีความสัมพันธ์กันอย่างไร และโปรแกรมอะไรบ้างที่จะต้องเขียนในระบบ หลังจากนั้นก็เริ่มตัดสินใจว่าควรจะจัดโครงสร้างจากโปรแกรมอย่างไร การเชื่อมระหว่างโปรแกรมควรจะทำอย่างไร ในขั้นตอนการวิเคราะห์นักวิเคราะห์ระบบต้องหาว่า "จะต้องทำอะไร (What)" แต่ในขั้นตอนการออกแบบต้องรู้ว่า " จะต้องทำอย่างไร(How)"
ในการออกแบบโปรแกรมต้องคำนึงถึงความปลอดภัย (Security) ของระบบด้วย เพื่อป้องกันการผิดพลาดที่อาจจะเกิดขึ้น เช่น "รหัส" สำหรับผู้ใช้ที่มีสิทธิ์สำรองไฟล์ข้อมูลทั้งหมด เป็นต้น
ขั้นตอนที่ 5 : การพัฒนาระบบ (Construction)ในขั้นตอนนี้โปรแกรมเมอร์จะเริ่มเขียนและทดสอบโปรแกรมว่า ทำงานถูกต้องหรือไม่ ต้องมีการทดสอบกับข้อมูลจริงที่เลือกแล้ว ถ้าทุกอย่างเรียบร้อย เราจะได้โปรแกรมที่พร้อมที่จะนำไปใช้งานจริงต่อไป หลังจากนั้นต้องเตรียมคู่มือการใช้และการฝึกอบรมผู้ใช้งานจริงของระบบ
ระยะแรกในขั้นตอนนี้นักวิเคราะห์ระบบต้องเตรียมสถานที่สำหรับ เครื่องคอมพิวเตอร์แล้วจะต้องตรวจสอบว่าคอมพิวเตอร์ทำงานเรียบร้อยดี
โปรแกรมเมอร์เขียนโปรแกรมตามข้อมูลที่ได้จากเอกสารข้อมูลเฉพาะของการออกแบบ (Design Specification) ปกติแล้วนักวิเคราะห์ระบบไม่มีหน้าที่เกี่ยวข้องในการเขียนโปรแกรม แต่ถ้าโปรแกรมเมอร์คิดว่าการเขียนอย่างอื่นดีกว่าจะต้องปรึกษานักวิเคราะห์ระบบเสียก่อน เพื่อที่ว่านักวิเคราะห์จะบอกได้ว่าโปรแกรมที่จะแก้ไขนั้นมีผลกระทบกับระบบทั้งหมดหรือไม่ โปรแกรมเมอร์เขียนเสร็จแล้วต้องมีการทบทวนกับนักวิเคราะห์ระบบและผู้ใช้งาน เพื่อค้นหาข้อผิดพลาด วิธีการนี้เรียกว่า "Structure Walkthrough " การทดสอบโปรแกรมจะต้องทดสอบกับข้อมูลที่เลือกแล้วชุดหนึ่ง ซึ่งอาจจะเลือกโดยผู้ใช้ การทดสอบเป็นหน้าที่ของโปรแกรมเมอร์ แต่นักวิเคราะห์ระบบต้องแน่ใจว่า โปรแกรมทั้งหมดจะต้องไม่มีข้อผิดพลาด
ขั้นตอนที่ 6 : การปรับเปลี่ยน (Construction)ขั้นตอนนี้บริษัทนำระบบใหม่มาใช้แทนของเก่าภายใต้การดูแลของนักวิเคราะห์ระบบ การป้อนข้อมูลต้องทำให้เรียบร้อย และในที่สุดบริษัทเริ่มต้นใช้งานระบบใหม่นี้ได้
การนำระบบเข้ามาควรจะทำอย่างค่อยเป็นค่อยไปทีละน้อย ที่ดีที่สุดคือ ใช้ระบบใหม่ควบคู่ไปกับระบบเก่าไปสักระยะหนึ่ง โดยใช้ข้อมูลชุดเดียวกันแล้วเปรียบเทียบผลลัพธ์ว่าตรงกันหรือไม่ ถ้าเรียบร้อยก็เอาระบบเก่าออกได้ แล้วใช้ระบบใหม่ต่อไป
ขั้นตอนที่ 7 : บำรุงรักษา (Maintenance)การบำรุงรักษาได้แก่ การแก้ไขโปรแกรมหลังจากการใช้งานแล้ว สาเหตุที่ต้องแก้ไขโปรแกรมหลังจากใช้งานแล้ว สาเหตุที่ต้องแก้ไขระบบส่วนใหญ่มี 2 ข้อ คือ 1. มีปัญหาในโปรแกรม (Bug) และ 2. การดำเนินงานในองค์กรหรือธุรกิจเปลี่ยนไป จากสถิติของระบบที่พัฒนาแล้วทั้งหมดประมาณ 40% ของค่าใช้จ่ายในการแก้ไขโปรแกรม เนื่องจากมี "Bug" ดังนั้นนักวิเคราะห์ระบบควรให้ความสำคัญกับการบำรุงรักษา ซึ่งปกติจะคิดว่าไม่มีความสำคัญมากนัก
เมื่อธุรกิจขยายตัวมากขึ้น ความต้องการของระบบอาจจะเพิ่มมากขึ้น เช่น ต้องการรายงานเพิ่มขึ้น ระบบที่ดีควรจะแก้ไขเพิ่มเติมสิ่งที่ต้องการได้
การบำรุงรักษาระบบ ควรจะอยู่ภายใต้การดูแลของนักวิเคราะห์ระบบ เมื่อผู้บริหารต้องการแก้ไขส่วนใดนักวิเคราะห์ระบบต้องเตรียมแผนภาพต่าง ๆ และศึกษาผลกระทบต่อระบบ และให้ผู้บริหารตัดสินใจต่อไปว่าควรจะแก้ไขหรือไม่
ความสำคัญ ระบบสารสนเทศทั้งหลายมีวงจรชีวิตที่เหมือนกันตั้งแต่เกิดจนตายวงจรนี้จะเป็นขั้นตอน ที่เป็นลำดับตั้งแต่ต้นจนเสร็จเรียบร้อย เป็นระบบที่ใช้งานได้ ซึ่งนักวิเคราะห์ระบบต้องทำความเข้าใจให้ดีว่าในแต่ละขั้นตอนจะต้องทำอะไร และทำอย่างไร
ขั้นตอนการพัฒนาระบบมีอยู่ด้วยกัน 7 ขั้น ด้วยกัน คือ
1. เข้าใจปัญหา (Problem Recognition)
2. ศึกษาความเป็นไปได้ (Feasibility Study)
3. วิเคราะห์ (Analysis)
4. ออกแบบ (Design)
5. สร้างหรือพัฒนาระบบ (Construction)
6. การปรับเปลี่ยน (Conversion)
7. บำรุงรักษา (Maintenance)
2. ศึกษาความเป็นไปได้ (Feasibility Study)
3. วิเคราะห์ (Analysis)
4. ออกแบบ (Design)
5. สร้างหรือพัฒนาระบบ (Construction)
6. การปรับเปลี่ยน (Conversion)
7. บำรุงรักษา (Maintenance)
ขั้นที่ 1 : เข้าใจปัญหา (Problem Recognition)
ระบบสารสนเทศจะเกิดขึ้นได้ก็ต่อเมื่อผู้บริหารหรือผู้ใช้ตระหนักว่า ต้องการระบบสารสนเทศหรือระบบจัดการเดิม ได้แก่ระบบเอกสารในตู้เอกสาร ไม่มีประสิทธิภาพเพียงพอที่ตอบสนองความต้องการในปัจจุบัน
ระบบสารสนเทศจะเกิดขึ้นได้ก็ต่อเมื่อผู้บริหารหรือผู้ใช้ตระหนักว่า ต้องการระบบสารสนเทศหรือระบบจัดการเดิม ได้แก่ระบบเอกสารในตู้เอกสาร ไม่มีประสิทธิภาพเพียงพอที่ตอบสนองความต้องการในปัจจุบัน
ปัจจุบันผู้บริหารตื่นตัวกันมากที่จะให้มีการพัฒนาระบบสารสนเทศมาใช้ในหน่วยงานของตน ในงานธุรกิจ อุตสาหกรรม หรือใช้ในการผลิต ตัวอย่างเช่น บริษัทของเรา จำกัด ติดต่อซื้อสินค้าจากผู้ขายหลายบริษัท ซึ่งบริษัทของเราจะมีระบบ MIS ที่เก็บข้อมูลเกี่ยวกับหนี้สินที่บริษัทขอเราติดค้างผู้ขายอยู่ แต่ระบบเก็บข้อมูลผู้ขายได้เพียง 1,000 รายเท่านั้น แต่ปัจจุบันผู้ขายมีระบบเก็บข้อมูลถึง 900 ราย และอนาคตอันใกล้นี้จะเกิน 1,000 ราย ดังนั้นฝ่ายบริหารจึงเรียกนักวิเคราะห์ระบบเข้ามาศึกษา แก้ไขระบบงาน
ปัญหาต่อไปคือ นักวิเคราะห์ระบบจะต้องกำหนดให้ได้ว่าการแก้ไขปัญหาดังกล่าวมีความเป็นไปได้ทางเทคนิคและบุคลากร ปัญหาทางเทคนิคก็จะเกี่ยวข้องกับเรื่องคอมพิวเตอร์ และเครื่องมือเก่าๆถ้ามี รวมทั้งเครื่องคอมพิวเตอร์ซอฟต์แวร์ด้วย ตัวอย่างคือ คอมพิวเตอร์ที่ใช้อยู่ในบริษัทเพียงพอหรือไม่ คอมพิวเตอร์อาจจะมีเนื้อที่ของฮาร์ดดิสก์ไม่เพียงพอ รวมทั้งซอฟต์แวร์ ว่าอาจจะต้องซื้อใหม่ หรือพัฒนาขึ้นใหม่ เป็นต้น ความเป็นไปได้ทางด้านบุคลากร คือ บริษัทมีบุคคลที่เหมาะสมที่จะพัฒนาและติดตั้งระบบเพียงพอหรือไม่ ถ้าไม่มีจะหาได้หรือไม่ จากที่ใด เป็นต้น นอกจากนั้นควรจะให้ความสนใจว่าผู้ใช้ระบบมีความคิดเห็นอย่างไรกับการเปลี่ยนแปลง รวมทั้งความเห็นของผู้บริหารด้วย
ขั้นตอนที่ 3 การวิเคราะห์ (Analysis)
เริ่มเข้าสู่การวิเคราะห์ระบบ การวิเคราะห์ระบบเริ่มตั้งแต่การศึกษาระบบการทำงานของธุรกิจนั้น ในกรณีที่ระบบเราศึกษานั้นเป็นระบบสารสนเทศอยู่แล้วจะต้องศึกษาว่าทำงานอย่างไร เพราะเป็นการยากที่จะออกแบบระบบใหม่โดยที่ไม่ทราบว่าระบบเดิมทำงานอย่างไร หรือธุรกิจดำเนินการอย่างไร หลังจากนั้นกำหนดความต้องการของระบบใหม่ ซึ่งนักวิเคราะห์ระบบจะต้องใช้เทคนิคในการเก็บข้อมูล (Fact-Gathering Techniques) ดังรูป ได้แก่ ศึกษาเอกสารที่มีอยู่ ตรวจสอบวิธีการทำงานในปัจจุบัน สัมภาษณ์ผู้ใช้และผู้จัดการที่มีส่วนเกี่ยวข้องกับระบบ เอกสารที่มีอยู่ได้แก่ คู่มือการใช้งาน แผนผังใช้งานขององค์กร รายงานต่างๆที่หมุนเวียนใน ระบบการศึกษาวิธีการทำงานในปัจจุบันจะทำให้นักวิเคราะห์ระบบรู้ว่าระบบจริงๆทำงานอย่างไร ซึ่งบางครั้งค้นพบข้อผิดพลาดได้ ตัวอย่าง เช่น เมื่อบริษัทได้รับใบเรียกเก็บเงินจะมีขั้นตอนอย่างไรในการจ่ายเงิน ขั้นตอนที่เสมียนป้อนใบเรียกเก็บเงินอย่างไร เฝ้าสังเกตการทำงานของผู้เกี่ยวข้อง เพื่อให้เข้าใจและเห็นจริงๆ ว่าขั้นตอนการทำงานเป็นอย่างไร ซึ่งจะทำให้นักวิเคราะห์ระบบค้นพบจุดสำคัญของระบบว่าอยู่ที่ใด
การสัมภาษณ์เป็นศิลปะอย่างหนึ่งที่นักวิเคราะห์ระบบควรจะต้องมีเพื่อเข้ากับผู้ใช้ได้ง่าย และสามารถดึงสิ่งที่ต้องการจากผู้ใช้ได้ เพราะว่าความต้องการของระบบคือ สิ่งสำคัญที่จะใช้ในการออกแบบต่อไป ถ้าเราสามารถกำหนดความต้องการได้ถูกต้อง การพัฒนาระบบในขั้นตอนต่อไปก็จะง่ายขึ้น เมื่อเก็บรวบรวมข้อมูลแล้วจะนำมาเขียนรวมเป็นรายงานการทำงานของ ระบบซึ่งควรแสดงหรือเขียนออกมาเป็นรูปแทนที่จะร่ายยาวออกมาเป็นตัวหนังสือ การแสดงแผนภาพจะทำให้เราเข้าใจได้ดีและง่ายขึ้น หลังจากนั้นนักวิเคราะห์ระบบ อาจจะนำข้อมูลที่รวบรวมได้นำมาเขียนเป็น "แบบทดลอง" (Prototype) หรือตัวต้นแบบ แบบทดลองจะเขียนขึ้นด้วยภาษาคอมพิวเตอร์ต่างๆ และที่ช่วยให้ง่ายขึ้นได้แก่ ภาษายุคที่ 4 (Fourth Generation Language) เป็นการสร้างโปรแกรมคอมพิวเตอร์ขึ้นมาเพื่อใช้งานตามที่เราต้องการได้ ดังนั้นแบบทดลองจึงช่วยลดข้อผิดพลาดที่อาจจะเกิดขึ้นได้
ขั้นตอนที่4 : การออกแบบ (Design)ในระยะแรกของการออกแบบ นักวิเคราะห์ระบบจะนำการตัดสินใจ ของฝ่ายบริหารที่ได้จากขั้นตอนการวิเคราะห์การเลือกซื้อคอมพิวเตอร์ ฮาร์ดแวร์และซอฟต์แวร์ด้วย (ถ้ามีหรือเป็นไปได้) หลังจากนั้นนักวิเคราะห์ระบบจะนำแผนภาพต่างๆ ที่เขียนขึ้นในขั้นตอนการวิเคราะห์มาแปลงเป็นแผนภาพลำดับขั้น (แบบต้นไม้) ดังรูปข้างล่าง เพื่อให้มองเห็นภาพลักษณ์ที่แน่นอนของโปรแกรมว่ามีความสัมพันธ์กันอย่างไร และโปรแกรมอะไรบ้างที่จะต้องเขียนในระบบ หลังจากนั้นก็เริ่มตัดสินใจว่าควรจะจัดโครงสร้างจากโปรแกรมอย่างไร การเชื่อมระหว่างโปรแกรมควรจะทำอย่างไร ในขั้นตอนการวิเคราะห์นักวิเคราะห์ระบบต้องหาว่า "จะต้องทำอะไร (What)" แต่ในขั้นตอนการออกแบบต้องรู้ว่า " จะต้องทำอย่างไร(How)"
ในการออกแบบโปรแกรมต้องคำนึงถึงความปลอดภัย (Security) ของระบบด้วย เพื่อป้องกันการผิดพลาดที่อาจจะเกิดขึ้น เช่น "รหัส" สำหรับผู้ใช้ที่มีสิทธิ์สำรองไฟล์ข้อมูลทั้งหมด เป็นต้น
ขั้นตอนที่ 5 : การพัฒนาระบบ (Construction)ในขั้นตอนนี้โปรแกรมเมอร์จะเริ่มเขียนและทดสอบโปรแกรมว่า ทำงานถูกต้องหรือไม่ ต้องมีการทดสอบกับข้อมูลจริงที่เลือกแล้ว ถ้าทุกอย่างเรียบร้อย เราจะได้โปรแกรมที่พร้อมที่จะนำไปใช้งานจริงต่อไป หลังจากนั้นต้องเตรียมคู่มือการใช้และการฝึกอบรมผู้ใช้งานจริงของระบบ
ระยะแรกในขั้นตอนนี้นักวิเคราะห์ระบบต้องเตรียมสถานที่สำหรับ เครื่องคอมพิวเตอร์แล้วจะต้องตรวจสอบว่าคอมพิวเตอร์ทำงานเรียบร้อยดี
โปรแกรมเมอร์เขียนโปรแกรมตามข้อมูลที่ได้จากเอกสารข้อมูลเฉพาะของการออกแบบ (Design Specification) ปกติแล้วนักวิเคราะห์ระบบไม่มีหน้าที่เกี่ยวข้องในการเขียนโปรแกรม แต่ถ้าโปรแกรมเมอร์คิดว่าการเขียนอย่างอื่นดีกว่าจะต้องปรึกษานักวิเคราะห์ระบบเสียก่อน เพื่อที่ว่านักวิเคราะห์จะบอกได้ว่าโปรแกรมที่จะแก้ไขนั้นมีผลกระทบกับระบบทั้งหมดหรือไม่ โปรแกรมเมอร์เขียนเสร็จแล้วต้องมีการทบทวนกับนักวิเคราะห์ระบบและผู้ใช้งาน เพื่อค้นหาข้อผิดพลาด วิธีการนี้เรียกว่า "Structure Walkthrough " การทดสอบโปรแกรมจะต้องทดสอบกับข้อมูลที่เลือกแล้วชุดหนึ่ง ซึ่งอาจจะเลือกโดยผู้ใช้ การทดสอบเป็นหน้าที่ของโปรแกรมเมอร์ แต่นักวิเคราะห์ระบบต้องแน่ใจว่า โปรแกรมทั้งหมดจะต้องไม่มีข้อผิดพลาด
ขั้นตอนที่ 6 : การปรับเปลี่ยน (Construction)ขั้นตอนนี้บริษัทนำระบบใหม่มาใช้แทนของเก่าภายใต้การดูแลของนักวิเคราะห์ระบบ การป้อนข้อมูลต้องทำให้เรียบร้อย และในที่สุดบริษัทเริ่มต้นใช้งานระบบใหม่นี้ได้
การนำระบบเข้ามาควรจะทำอย่างค่อยเป็นค่อยไปทีละน้อย ที่ดีที่สุดคือ ใช้ระบบใหม่ควบคู่ไปกับระบบเก่าไปสักระยะหนึ่ง โดยใช้ข้อมูลชุดเดียวกันแล้วเปรียบเทียบผลลัพธ์ว่าตรงกันหรือไม่ ถ้าเรียบร้อยก็เอาระบบเก่าออกได้ แล้วใช้ระบบใหม่ต่อไป
ขั้นตอนที่ 7 : บำรุงรักษา (Maintenance)การบำรุงรักษาได้แก่ การแก้ไขโปรแกรมหลังจากการใช้งานแล้ว สาเหตุที่ต้องแก้ไขโปรแกรมหลังจากใช้งานแล้ว สาเหตุที่ต้องแก้ไขระบบส่วนใหญ่มี 2 ข้อ คือ 1. มีปัญหาในโปรแกรม (Bug) และ 2. การดำเนินงานในองค์กรหรือธุรกิจเปลี่ยนไป จากสถิติของระบบที่พัฒนาแล้วทั้งหมดประมาณ 40% ของค่าใช้จ่ายในการแก้ไขโปรแกรม เนื่องจากมี "Bug" ดังนั้นนักวิเคราะห์ระบบควรให้ความสำคัญกับการบำรุงรักษา ซึ่งปกติจะคิดว่าไม่มีความสำคัญมากนัก
เมื่อธุรกิจขยายตัวมากขึ้น ความต้องการของระบบอาจจะเพิ่มมากขึ้น เช่น ต้องการรายงานเพิ่มขึ้น ระบบที่ดีควรจะแก้ไขเพิ่มเติมสิ่งที่ต้องการได้
การบำรุงรักษาระบบ ควรจะอยู่ภายใต้การดูแลของนักวิเคราะห์ระบบ เมื่อผู้บริหารต้องการแก้ไขส่วนใดนักวิเคราะห์ระบบต้องเตรียมแผนภาพต่าง ๆ และศึกษาผลกระทบต่อระบบ และให้ผู้บริหารตัดสินใจต่อไปว่าควรจะแก้ไขหรือไม่
วันอาทิตย์ที่ 15 พฤศจิกายน พ.ศ. 2558
บทที่ 11 เรื่องที่ 2 การวางแผนระบบสารสนเทศ
1. กำหนดหน้าที่ภารกิจของหน่วยงานสารสนเทศ เพื่อทำหน้าที่ในการวางแผนด้านระบบสารสนเทศ คือหน้าที่ของผู้บริหารระดับสูงขององค์กร
2. ประเมินสภาวะแวดล้อม เป็นการจำแนกว่ามีโอกาสหรือความเสี่ยงใด ๆ จากการนำระบบสารสนเทศมาใช้ในองค์กร
3. กำหนดวัตถุประสงค์ด้านระบบสารสนเทศ เป็นการระบุว่าระบบที่ได้คิดไว้จะให้อะไรต่อองค์กรได้บ้าง โดยสอดคล้องกับวัตถุประสงค์เชิงกลยุทธ์ขององค์กรด้วย
4. กำหนดแนวทางด้านกลยุทธ์อย่างกว้าง ๆ ให้สอดคล้องกับวัตถุประสงค์ข้างต้น
5. กำหนดนโยบายด้านสารสนเทศ กำหนดนโยบายให้สอดคล้องกับแผนกลยุทธ์ที่ได้วางไว้ ซึ่งการกำหนดนโยบายจะต้องคำนึงถึงทรัพยากรและขีดจำกัดอื่น ๆ ที่มีอยู่
6. นำวัตถุประสงค์ กลยุทธ์ และนโยบายมาจัดทำเป็นแผนระยะยาวและระยะสั้น เพื่อกำหนดทิศทางที่องค์กรจะดำเนินการหรือก้าวต่อไป
7. ทำแผนงานที่กำหนดเป็นรูปธรรมแล้วนำไปดำเนินการ เมื่อแผนงานได้ทำเป็นรูปธรรมแล้วก็จะนำไปดำเนินการ
การวางแผนระยะยาว
เป็นแผนแม่บททางด้านสารสนเทศ กำหนดระยะเวลาประมาณ 3-5 ปี โดยเนื้อหาของแผนระยะยาวจะต้องครอบคลุมรายละเอียดดังนี้
- คำอธิบายวัตถุประสงค์
- สภาพแวดล้อมระบบสารสนเทศในอนาคต
- กลยุทธ์ต่าง ๆ เกี่ยวกับระบบสารสนเทศ
- แผนการพัฒนาระบบ และระบบที่เป็นอยู่
- แผนบุคลากร
- แผนงบประมาณและค่าใช้จ่าย
- แผนการจัดองค์การ
- แผนการฝึกอบรม
- แผนการจัดหาฮาร์ดแวร์
- สรุปข้อเสนอแนะในการดำเนินการ
- ทำให้เห็นแนวทางในการพัฒนาระบบสารสนเทศ และเป็นการเตรียมทรัพยากรต่าง ๆ ที่จำเป็นต้องใช้ในการนำระบบไปใช้
- กำหนดขั้นตอนในการพัฒนาระบบให้ได้รับประโยชน์มากที่สุด
- เกิดการพัฒนาระบบแบบผสมผสานที่ต่อเนื่อง และทำงานร่วมกันได้โดยไม่มีข้อขัดแย้ง
- ป้องกันไม่ให้แผนกต่าง ๆ พัฒนาระบบขึ้นเองตามใจชอบ เพราะจะทำให้เกิดความสับสน และเกิดความซ้ำซ้อนของข้อมูลภายในองค์กร
แผนระยะยาวที่กล่าวมาแล้วข้างต้นจะทำให้เกิดประโยชน์ ดังต่อไปนี้
ส่วนสำคัญของการวางแผนระยะยาว คือ การกำหนดโครงสร้างของระบบสารสนเทศทั้งหน่วยงาน หรือองค์กร โดยให้สอดคล้องกับวัตถุประสงค์ กลยุทธ์ และนโยบาย
การวางแผนระยะสั้น
หรือแผนงานประยุกต์โดยใช้เวลาประมาณ 1-2 ปี โดยการนำแผนระยะยาวที่ผ่านการอนุมัติแล้วมาตั้งเป็นแนวทางและขยายรายละเอียดของโครงการต่าง ๆ ซึ่งมีรายละเอียดเกี่ยวกับด้านการดำเนินการ ด้านการจัดงบประมาณ ด้านการบุคลากร และตารางเวลาที่แน่ชัด โดยที่เนื้อหาของแผนระยะสั้นนี้จะต้องมีเนื้อหาครอบคลุมในเรื่องดังต่อไปนี้
1. วัตถุประสงค์ด้านบริการสารสนเทศ เกี่ยวกับทรัพยากรและงบประมาณ ตลอดจนการจัดการอุปกรณ์ฮาร์ดแวร์ และซอฟต์แวร์
2. แผนการพัฒนาปรับปรุงและดูแลระบบ เป็นการนำแผนระบบงานแต่ละระบบมาอธิบายขยายความในรายละเอียด โดยครอบคลุมถึงวัตถุประสงค์ ทรัพยากร และตารางเวลา
3. แผนการปฏิบัติ อธิบายเนื้องานและปริมาณงานต่าง ๆ ที่จะต้องปฏิบัติ เช่น การบันทึกข้อมูล การเดินเครื่องคอมพิวเตอร์ การควบคุมคุณภาพ
4. แผนสนับสนุนด้านเทคนิค อธิบายกิจการและทรัพยากรต่าง ๆ ที่จะต้องใช้ในการสนับสนุนการพัฒนาระบบสารสนเทศ การติดตั้งเครื่องมือ การติดตั้งซอฟต์แวร์
5. แผนอัตรากำลัง อธิบายถึงการเปลี่ยนแปลงอัตรากำลังคน การจัดอัตรากำลังในแต่ละโครงการ การจัดรูปแบบงานต่าง ๆ ในแต่ละโครงการ
6. แผนการฝึกอบรม อธิบายถึงขั้นตอน และรายละเอียดการจัดการฝคกอบรมให้กับพนักงานและเจ้าหน้าที่ที่เกี่ยวข้อง
7. แผนการเงิน เป็นการอธิบายรายละเอียดเกี่ยวกับงบประมาณ และค่าใช้จ่ายต่าง ๆ ในการดำเนินงานตามแผน
เครื่องมือที่ใช้ในการวางแผนจัดการสารสนเทศ
เครื่องมือที่ใช้ในการวางแผนสารสนเทศ มีดังนี้
1. Delphi Technique
2. Value-Added Chain
3. Critical – Success Factors
4. Gantt Chart
5. PERT/CPM
6. WBS (Work Breakdown Structure)
7. Risk Analysis and Management
8. Brain Mapper
9. Software Package
..... อ่านต่อได้ที่: https://www.gotoknow.org/posts/453860
บทที่ 11 เรื่องที่ 1 การวางแผนองค์กร
Organizational Planning Business
การวางแผนให้กับองค์กร
การวางแผน (Planning) เป็นการะบวนที่ช่วยกำหนดและตัดสินใจเลือกสิ่งที่จะดำเนินการ และวิธีปฏิบัติในอนาคตเพื่อบรรลุจุดมุ่งหมายหรือวัตถุประสงค์ที่วางไว้ได้อย่างมีประสิทธิภาพ ซึ่งหมายถึงการทำได้ตามกำหนดเวลาและใช้ทรัพยากรที่มีอยู่จำกัดอย่างคุ้มค่า การวางแผนมีทั้งแบบเชิงรุก (Proactive) และเชิงรับ (Reactive) ซึ่งองค์กรควรมีการจัดทำทั้ง 2 แบบ ขึ้นอยู่กับสถานการณ์และสภาวะทางเศรษฐกิจ ก่อนที่องค์กรจะวางแผนนั้นจำเป็นต้องวิเคราะห์ตนเอง ดังนี้ “ขณะนี้เราอยู่ที่ไหน? เรากำลังจะไปที่ไหน? และเราจะไปถึงที่นั้นได้อย่างไร ? “
การกำหนดแผนงานที่ดี จะเป็นการช่วยในการตีกรอบความคิดและการดำเนินงานให้อยู่ในขอบเขต ไม่หลงประเด็น ซึ่งจะทำให้เสียเวลาและเสียทรัพยากรไปอย่างเปล่าประโยชน์ ข้อดีของการวางแผนการจัดการไว้ล่วงหน้า
ในโลกธุรกิจที่มีความเปลี่ยนแปลงอยู่ตลอดเวลา องค์กรควรมีแผนตั้งรับการเปลี่ยนแปลงที่อาจเกิดขึ้นและส่งผลกระทบต่อความมั่นคงขององค์กร หากเรามีแผนเตรียมพร้อมบุคลากรให้สามารถปรับตัวได้ตามการเปลี่ยนแปลงก็จะทำให้องค์กรอยู่รอดไปได้
เป็นการกำหนดกลยุทธ์และแนวทางในการดำเนินงานขององค์กร เป็นการช่วยให้ผู้บริหารตัดสินใจได้ง่ายและตรงประเด็น สามารถดำเนินงานได้บรรลุเป้าหมายอย่างมีประสิทธิภาพ
เมื่อองค์กรมีทรัพยากรที่จำกัด เช่น เงิน งบประมาณ หรือวัตถุดิบ การดำเนินงานที่มีการวางแผนล่วงหน้าจะลดขั้นตอนที่ผิดพลาดลง มีการประสานงานที่ดี บุคลากรได้รับการสื่อสาร เข้าใจหน้าที่การทำงานของตน ลดการทำงานซ้ำซ้อน ซึ่งเป็นการสิ้นเปลืองทรัพยากร
ความยืดหยุ่น (Flexibility) ความครอบคลุม (Comprehensiveness) ความชัดเจน (Specificity)
ระยะเวลาของแผน (Time Span)
ความเป็นพิธีการ (Formality)
ความมีเหตุมีผล (Rationality)
ความมุ่งอนาคต (Future Oriented)
ความสอดคล้อง (Relevance)
เป็นการกำหนดมาตรฐาน หลักเกณฑ์ในการตรวจสอบว่าองค์กรมีทิศทางตามที่ได้วางแผนไว้หรือไม่ สามารถประเมินผลเพื่อตรวจสอบการทำงานได้ หากไม่เป็นไปตามเป้าหมายก็สามารถปรับปรุงแผนงานใหม่ให้สามารถทำได้ในอนาคต
ลักษณะการวางแผนที่ดี
ลักษณะของการวางแผน
ระดับบน
ระดับล่าง
ระดับบน
ระดับล่าง
ระดับบน
ระดับล่าง
แบบบนสู่ล่าง (Top-down) แบบล่างสู่บน (Bottom-up) แบบผสม (Mixed)
ส่งแผน ขออนุมัติ
ประสานงาน
ส่งแนวทางให้วางแผน
ส่งแผนเพื่อขออนุมัติใช้
ส่งแผนให้ให้ปฏิบัติ
ขั้นตอนในการวางแผน
ในขั้นตอนการเตรียมการวางแผนองค์กรต้องหาข้อมูลทั้งภายในและภายนอกองค์กร เพื่อวิเคราะห์หาจุดอ่อนและจุดแข็งของเราและกำหนดวิสัยทัศน์ในสิ่งที่อยากเป็นเป้าหมายขององค์กรในอนาคต หลังจากนั้นเมื่อเรารู้ว่าเรายืนอยู่ที่ไหนและต้องการเป็นอะไรแล้ว ผู้บริหารต้องวางแผนดำเนินงาน ซึ่งจะบ่งบอกถึงวิธีการ ทิศทางใดที่จะทำให้เราบรรลุตามเป้าหมายได้ ในการกำหนดแผนงานต้องมีการวางแผนขั้นตอนการสื่อสารภายในองค์กรเป็นสำคัญ การที่องค์กรจะกำหนดทิศทางไปในทางใด บุคลากรต้องเข้าใจและพร้อมขับเคลื่อนไปพร้อมกัน การสื่อสารที่มีประสิทธิภาพจากบนลงล่างจึงเป็นสิ่งสำคัญในทุกขั้นตอน
ในการจัดทำรายละเอียดของแผนงานจะเป็นการจัดการในระดับภาคส่วน แผนกที่เกี่ยวข้อง ว่าต้องมีความรับผิดชอบในด้านใด มีเป้าหมายของแผนกที่ต้องปฏิบัติร่วมกันอย่างไร หลังจากที่มีการสื่อสาร อบรมจนเกิดความเข้าใจจึงนำไปปฏิบัติตามหน้าที่ของตน ในระดับหัวหน้าและระดับบริหารมีหน้าที่ตรวจสอบผลการดำเนินงาน หากไม่เป็นไปตามเป้าหมาย ต้องนำแผนมาทบทวนใหม่ หาข้อผิดพลาดและปรับปรุงแผนงานให้บรรลุเป้าหมายอย่างมีประสิทธิภาพ
บทที่ 10 คำศัพท์
1. ระบบชาญฉลาด Intelligent Systems
2. ระบบผู้เชี่ยวชาญ Expert Systems
3. หุ่นยนต์ Robotics
4. ระบบวิชั่น Vision Systems
5. แมชชีนวิชั่น Machine Vision
6. ระบบการเรียนรู้ Learning Systems
7. โครงข่ายประสาทเทียม Neural Networks
8. ฐานความรู้ Knowledge Base
9. กลไกการอนุมาน Inference Engine
10. การอธิบาย Explanation
2. ระบบผู้เชี่ยวชาญ Expert Systems
3. หุ่นยนต์ Robotics
4. ระบบวิชั่น Vision Systems
5. แมชชีนวิชั่น Machine Vision
6. ระบบการเรียนรู้ Learning Systems
7. โครงข่ายประสาทเทียม Neural Networks
8. ฐานความรู้ Knowledge Base
9. กลไกการอนุมาน Inference Engine
10. การอธิบาย Explanation
บทที่ 10 เรื่องที่ 3 ระบบเสมือนจริง
ขณะนี้โลกกำลังก้าวเข้าสู่ยุคของสภาพเสมือนจริง (Virtual Reality) ซึ่งเปรียบได้ว่าเป็นเขตแดนบุกเบิกของคริสต์ศตวรรษที่ 21 เราจะพบว่า ประกอบด้วยถนนอิเล็กทรอนิกส์ที่ประกอบด้วยเครือข่ายอินเทอร์เน็ต (Internet) ซึ่งมีทั้งนิวส์กรุ๊ป (Newsgroup) เวิลด์ไวด์เว็บ (World Wide Web) และบริการสารสนเทศต่างๆ รวมถึง เครือข่ายคอมพิวเตอร์ของเอกชนอีกมากมาย คำว่า ทางด่วนสารสนเทศ นั้นมักใช้อ้างถึงระบบเชื่อมโยงทางอิเล็กทรอนิกส์ที่ครอบคลุมทั่วโลก ในปัจจุบัน บางครั้งก็มีการใช้คำว่า โครงสร้างพื้นฐานสารสนเทศของประเทศ (National Information Infrastructure) บางครั้งสื่อมวลชนก็ใช้คำว่า ไซเบอร์สเปซ (Cyberspace) ในเขตแดนใหม่ที่กล่าวถึงนี้ มีกิจกรรมอีกหลายอย่างที่กำลังเปลี่ยนแปลงสังคมที่เราเคยรู้จักอยู่ทั้งในด้านบันเทิง การศึกษา ธุรกิจ ฯลฯ และมีปัญหาเกิดขึ้นตามมาอีกหลายอย่างที่จะต้องมีการแก้ไขกันต่อไป เช่น ในเรื่องการละเมิดกฎหมาย หรืออาชญากรรมที่กระทำผ่านไซเบอร์สเปซ (Cyberspace) ในอนาคต กิจกรรมในชีวิตประจำวันแทบทุกอย่างของมนุษย์ทีอาศัยอยู่ในสังคมสมัยใหม่จะเกี่ยวข้องกับการใช้เทคโนโลยีสารสนเทศ (IT) และการประยุกต์ใช้วิชาการหุ่นยนต์ (Robotics) ที่ว่าด้วยการใช้หุ่นยนต์ที่ควบคุมด้วยคอมพิวเตอร์ ซึ่งทำงานโต้ตอบกันเป็นภาษาพูดของมนุษย์(Human Language Interaction) การที่ต้องเรียนรู้ภาษาคอมพิวเตอร์ หรือวิธีการใช้คอมพิวเตอร์ที่ยุ่งยากซับซ้อนนั้นจะหมดไป
- การเรียนโดยอาศัยเทคโนโลยีช่วย (Technology Aided Learning)
ระบบเสมือนจริง คือ ระบบสำหรับผู้ใช้คนเดียวหรือหลายคนที่เคลื่อนย้ายหรือ โต้ตอบในสิ่งแวดล้อมที่จำจองมาโดยคอมพิวเตอร์ ระบบเสมือนจริงจะต้องมีอุปกรณ์ที่พิเศษในการมอง การได้ยิน การสัมผัสจากโลกที่จำลองขึ้น และอุปกรณ์ที่ใช้จะต้องสามารถที่จะบันทึก และส่ง พูด หรือเคลื่อนไหวได้ในโปรแกรมที่ทำให้เกิดการจำลอง
ระบบเสมือนจริงนับเป็นการใช้ประโยชน์จากการแสดงผลด้วยสื่อประสม การสร้างภาพ 3 มิติที่สามารถมองเห็นเหมือนเป็นภาพที่เป็น 3 มิติจริงๆ โดยใช้อุปกรณ์พิเศษเช่นแว่นตา 3 มิติเข้าช่วย ประกอบกับการใช้อุปกรณ์สำหรับการรับข้อมูลจากการเคลื่อนไหว ระบบเสมือนจริง (Virtual Reality – VR.) เป็นระบบที่คอมพิวเตอร์สามารถสร้างภาพเหตุการณ์ต่างๆ ขึ้นได้ตอบสนองการสั่งการด้วยวิธีปฏิบัติของผู้ใช้ ซึ่งผู้ใช้จะสามารถรับรู้ได้เสมือนอยู่ในเหตุการณ์จริง ระบบคอมพิวเตอร์สามารถตรวจรับความเคลื่อนไหวของผู้ใช้ นำไปประมวลผลและแสดงผลให้ผู้ใช้เห็นตอบสนองการเคลื่อนไหวนั้นโดยเหมือนภาพจริง และอาจเพิ่มความรู้สึกอื่นเช่นแรงตอบสนอง หรือความเคลื่อนไหวของสิ่งแวดล้อม ประกอบให้เหมือนจริงมากขึ้นได้อีกด้วย
ระบบเสมือนจริงถูกนำไปใช้ประโยชน์ในด้านต่างที่สำคัญเช่น ด้านการฝึกอบรม ระบบฝึกผ่าตัดสำหรับแพทย์ นักเรียนแพทย์สามารถใช้ระบบนี้เพื่อเรียนรู้การผ่าตัดโดยใส่ถุงมือซึ่งจะส่งสัญญาณการเคลื่อนไหวกลับไปคอมพิวเตอร์ นักเรียนแพทย์สามารถจะเห็นภาพห้องผ่าตัดที่มีเตียง เครื่องมือ และคนไข้ได้จากแว่น 3 มิติซึ่งถูกส่งภาพมาจากคอมพิวเตอร์ เมื่อนักเรียนแพทย์ขยับมือไปหยิบเครื่องมือที่เห็นในจอภาพ โดยที่ไม่มีเครื่องมือนั้นอยู่จริง สามารถนำเครื่องมือนั้นทำการผ่าตัดคนไข้บนจอภาพ และระบบเสมือนจริงยังอาจส่งแรงต้านเมื่อมีดผ่าตัดกดลงบนเนื้อคนไข้ ให้นักเรียนแพทย์ได้รู้สึกจากถุงมือได้ด้วย การใช้ระบบเสมือนจริงเช่นนี้ทำให้นักเรียนแพทย์สามารถเรียนรู้วิธีการผ่าตัดโดยสามารถฝึกหัดได้จากระบบเสมือนจริงบ่อยครั้งมากกว่าเดิมที่ต้องทดลองกับครูใหญ่ (ศพที่มีผู้บริจาคเพื่อการศึกษา) เจเนอรัลมอเตอร์และฟอร์ด ซึ่งเป็นผู้ผลิตรถยนต์รายใหญ่ของโลก ได้สร้างรถยนต์เสมือนจริงที่ให้ลูกค้าได้ทดลองขับขี่รถยนต์ ซึ่งจะเห็นภาพของสถานที่แวดล้อมที่มีการขับรถยนต์ผ่านไปพร้อมกับความรู้สึกที่ใกล้เคียงกับการได้นั่งขับรถยนต์อยู่จริงๆ ซึ่งเหล่านี้ก็เป็นตัวอย่างของการใช้ระบบเสมือนจริงเพื่อการฝึกอบรมปฏิบัติ
นอกจากการนำไปใช้สำหรับการฝึกปฏิบัติแล้ว เกมคอมพิวเตอร์ก็ได้นำระบบเสมือนจริงไปสร้างเป็นเกมให้ผู้เล่นสามารถจับอาวุธ หรืออุปกรณ์เช่นเครื่องควบคุมยานอวกาศ เป็นเครื่องมือที่จะส่งความเคลื่อนไหวเข้าสู่คอมพิวเตอร์ และมองเห็นภาพของการสู้รบได้แบบสามมิติที่เหมือนอยู่ในเหตุการณ์จริง และยังอาจสร้างเครื่องมือเฉพาะที่อาจทำให้รู้สึกสั่นสะเทือน หรือมีแรงหน่วงเมื่อเกิดการเลี้ยวโค้ง ฯลฯ ได้ ทำให้เกิดความบันเทิงในการเล่นเกมที่สมจริงสมจังมากยิ่งขึ้น
รายการของงานที่คาดว่าจะมีการใช้คอมพิวเตอร์เป็นอย่างมากได้แก่
1. งานประยุกต์ที่อาศัยความจริงเสมือน (Virtual Reality Applications)
- เกม (Games) เช่น เกมส์ที่ได้รับความนิยมอย่างมากในช่วง 2-3 ปีที่ผ่านมาคือ Counter Strike ซึ่งเป็นเกมส์แนว Action ที่ทำให้ผู้เล่นรู้สึกว่าเหมือนว่าอยู่ในเหตุการณ์นั้นจริงๆ
- นาโนเทคโนโลยี (Nanotechnology) ที่ใช้สร้างเครื่องจักรขนาดจิ๋วระดับโมเลกุลของสสาร เช่น อุตสาหกรรมทางการแพทย์ ในอนาคตการผ่าตัดแบบดั้งเดิม อาจเปลี่ยนไปเป็นการผ่าตัดระดับนาโน (nanosurgeons) โดยการควบคุมหุ่นยนต์นาโน (nanorobots) เข้าไปตรวจจับและทำลายเซลล์มะเร็ง หรือไวรัสที่ต้องการโดยไม่เป็นอันตรายต่อเซลล์อื่น
- เครื่องมือฝึกอบรม (Training Tools) ดังตัวอย่างด้านล่างนี้
- การบินไทยได้นำเทคโนโลยี “เครื่องจำลองการบิน " หรือ Aviation Simulation เพื่อเป็นการฝึกปรือให้นักบินมีทักษะและความเชี่ยวชาญในการปฏิบัติหน้าที่ด้วยความเชื่อมั่น ซึ่งนักบินถือเป็นอาชีพหนึ่งแต่อาจจะแตกต่างกับหลายๆ อาชีพก็ตรงที่ การบินต้องเตรียมพร้อมและต้องสามารถรับมือกับสถานการณ์เฉพาะหน้าได้ทุกรูปแบบ แม้ว่าการเดินทางโดยเครื่องบิน จะเป็นการเดินทางที่ปลอดภัยมากที่สุดก็ตาม ดังนั้นการฝึกบินจึงต้องปฏิบัติอย่างสม่ำเสมอ ในสถานการณ์ที่แตกต่างกันไป
- บริษัท ST Software คิดค้นเครื่องหัดขับรถเสมือนจริง (Driving Simulator) เพื่อให้ผู้ที่เริ่มขับรถเข้าใจทั้งการใช้เกียร์ สัญญาณไฟการเลี้ยวเพื่อเป็นการสร้างความเข้าใจขั้นพื้นฐานก่อนการออกถนนจริง อีกทั้งยังเป็นการประหยัดค่าใช้จ่ายและปลอดภัยมากว่าการหัดขับบนถนนจริงๆอีกด้วย
-กองทัพ (Military) เช่น บริษัท Microsoft ได้คิดค้น Software ที่ชื่อ Flight Simulator 2004 A Century of Flight เพื่อใช้สำหรับการฝึกนักบิน
- บริษัท ST Software คิดค้นเครื่องหัดขับรถเสมือนจริง (Driving Simulator) เพื่อให้ผู้ที่เริ่มขับรถเข้าใจทั้งการใช้เกียร์ สัญญาณไฟการเลี้ยวเพื่อเป็นการสร้างความเข้าใจขั้นพื้นฐานก่อนการออกถนนจริง อีกทั้งยังเป็นการประหยัดค่าใช้จ่ายและปลอดภัยมากว่าการหัดขับบนถนนจริงๆอีกด้วย
-กองทัพ (Military) เช่น บริษัท Microsoft ได้คิดค้น Software ที่ชื่อ Flight Simulator 2004 A Century of Flight เพื่อใช้สำหรับการฝึกนักบิน
-การแพทย์ (Medical) เช่น โรงพยาบาลพญาไท แผนก Surgery Clinic ซึ่งนำเทคโนโลยีกล้อง microscope มาประยุกต์ใช้ในการผ่าตัดหรือการศัลยกรรมเสริมสวยต่างๆเพื่ออำนวยความสะดวกในการผ่าตัดอวัยวะภายในร่างกายที่ยากต่อการเข้าถึงและยังลดความเจ็บปวดหลังการผ่าตัดได้อีกด้วย
2. การเรียนโดยใช้คอมพิวเตอร์ (Computer Assisted Learning)
- การเรียนทางไกล (Distance Learning) เช่น E-Learning ก็เป็นอีกช่องทางหนึ่งในการสอนซึ่งนักศึกษาสามารถเรียนวิชาต่างๆผ่านทาง Internet และยังอำนวยความสะดวกแก่นักศึกษาอย่างมากเพราะสามารถซักถามข้อสงสัยและโต้ตอบได้ทันทีเหมือนกับการเรียนในห้องเรียน
- การเรียนโดยอาศัยเทคโนโลยีช่วย (Technology Aided Learning)
เช่น "จะต้องมีการพัฒนาใน 3 ส่วน คือ การพัฒนาระบบ MIS หรือ Management Information System ซึ่งจะเน้นการรายงานข้อมูลเพื่อการบริหารจัดการ ระบบ DSS หรือ Decision Support System เน้นการวิเคราะห์ข้อมูลเพื่อช่วยในการตัดสินใจของผู้บริหารมหาวิทยาลัย และระบบ EIS หรือ Executive Information System เน้นการวางแผนเชิงกลยุทธ์เพื่อกำหนดนโยบายการบริหาร
3. พาณิชย์อิเล็กทรอนิกส์ (Electronic Commerce; E-commerce) เช่น เวบไซด์ต่างๆที่ทำการซื้อขายสินค้าผ่านทาง Internet
4. หุ่นยนต์ (Robots) คนรับใช้ไซเบอร์ (Cyber maid) รถยนต์ที่ไม่ต้องใช้คนขับ (Driverless Cars) เช่น ศูนย์ปฏิบัติการพัฒนาหุ่นยนต์ภาคสนาม สำนักวิจัยและบริการวิทยาศาสตร์และเทคโนโลยี มหาวิทยาลัยเทคโนโลยีพระจอมเกล้าธนบุรี ได้ทำหารคิดค้นหุ่นยนต์ที่มีลักษณะเป็นซีเคียวริตี้โรบอท (Security Robot) ที่พัฒนาต่อยอดเสริมลูกเล่นให้มีความฉลาดเพิ่มขึ้น และพัฒนาวิธีการควบคุมหุ่นยนต์ จากการบังคับด้วย Joystick มาเป็นบังคับโดยถุงมือรับข้อมูล (Data Glove) เพื่อให้ง่ายต่อการบังคับทิศทางและเป็นการควบคุมที่ให้ความรู้สึกเป็นธรรมชาติ แล้วส่งข้อมูลที่ต้องการผ่านอุปกรณ์ไร้สายไปยัง คอนโทรลเลอร์ ซึ่งติดตั้งอยู่กับตัวหุ่นยนต์ สำหรับประมวลผลสัญญาณ เพื่อสั่งให้หุ่นยนต์เคลื่อนที่ไปตามทิศทางที่ต้องการ นอกจากนั้นหุ่นยนต์ยังสามารถส่งภาพจากกล้องดิจิตัลที่ติดตั้งอยู่ส่วนบนของหุ่นยนต์ มายังเจ้าหน้าที่ ควบคุม แล้วนำข้อมูลและภาพที่ได้รับมาใช้ประกอบการตัดสินใจในการปฏิบัติงาน นาฬิกา นอกจากถุงมือแล้ว ยังได้นำหมวก Head Mounted Display (HMD) มาใช้เพื่อเพิ่มศักยภาพในการทำงานของหุ่นยนต์ โดยผู้บังคับหุ่นยนต์เมื่อสวมหมวก HMD แล้วจะให้ความรู้สึกเหมือนกำลังขับหุ่นยนต์ด้วยตัวเอง ภาพที่เห็นก็เหมือนเข้าไปอยู่ในเหตุการณ์อย่างใกล้ชิด
5. การเข้าใจภาษามนุษย์ (Natural Language Understanding) การรับรู้คำพูด (Speech Recognition)
6. โทรศัพท์ภาพ (Videophone) การประชุมทางไกล (Video Conference) สำนักงานแบบเสมือน (Virtual Office) โทรเวช (Telemedicine) เช่น MSN Messenger ก็เป็นอีกช่องทางหนึ่งที่บริการความสะดวกสบายแก่ผู้ใช้งานเมื่อต้องการประชุมทางไกลหรือในช่วงเวลาที่ไม่สามารถมาประชุมร่วมกันในห้องประชุมได้
7. ไปรษณีย์อิเล็กทรอนิกส์ (Electronic Mail) ไปรษณีย์เสียง (Audio Mail) ไปรษณีย์ภาพ (Video Mail) การแพร่ข่าวบนเว็บ (Web Multicast) การกระจายข่าวบนเว็บ (Web Broadcast)
8. ห้องสมุดอิเล็กทรอนิกส์ (Electronic Library) ห้องสมุดแบบเสมือน (Virtual Library) วิดีโอตามความต้องการ (Video On Demand - VOD) เช่น การนำ Virtual Reality มาประยุกต์ใช้ในการเผยแพร่สถานที่ที่สำคัญของพระมหากษัตริย์ของไทยเป็นครั้งแรก เช่น พระที่นั่งวิมานเมฆ พระราชวังบางปะอิน และพระตำหนักภูพิงค์ราชนิเวศน์ เป็นต้น
9. คอมพิวเตอร์แบบสวมใส่ได้ (Wearable Computers) เน็ตเวิร์กคอมพิวเตอร์ (Network Computer) เน็ตเวิร์กพีซี (Network PC) เว็บทีวี (Web TV) เช่น Interactor Vest ซึ่งเป็นการเพิ่มอรรถรสในการเล่นเกมส์ให้มันส์มากยิ่งขึ้นทั้งการถูกทุ่มหรือการเตะต่อยโดยผู้เล่นต้องสวมเครื่องนี้ไว้ที่หลัง
10. บัตรอวยพรอิเล็กทรอนิกส์ (E-greeting Cards) การพิมพ์แบบซอฟต์ก๊อบปี้ (Softcopy Publications) แค็ตตาล็อกสินค้าแบบอิเล็กทรอนิกส์ (Electronic Catalogs) ข่าวอิเล็กทรอนิกส์ (E-news) การโฆษณาบนเว็บ (Web Advertising) เช่น การ์ดอวยพรวันเกิดอิเล็กทรอนิกส์
เมื่อทางด่วนสารสนเทศครอบคลุมแพร่หลายไปในที่ต่างๆ ในช่วงสิบปีแรกของคริสต์ศตวรรษที่ 21 เราคงคาดได้ว่า การเข้าถึงสารสนเทศทั้งหลายในห้องสมุดขนาดใหญ่จะสามารถทำได้โดยตรงจากที่บ้าน คือ มีห้องสมุดอิเล็กทรอกนิกส์ (Electronic Library) อยู่ในบ้านเลยทำให้ไม่จำเป็นต้องเดินทางไปค้นเอกสารหรือหนังสือที่ห้องสมุด ซึ่งอาจอยู่ห่างกันคนละทวีป การยืมหนังสือหรือสำเนาของเอกสารก็สามารถทำได้โดยตรง โดยจะเป็นสำเนาอิเล็กทรอนิกส์ หรือสำเนาดิจิตอล (Digital Copy) หนังสือพิมพ์และวารสารต่างๆก็จะอยู่ในรูปดิจิตอลมากขึ้น แม้ในปัจจุบันก็เริ่มมีหนังสือพิมพ์หลายฉบับ เช่น The Los Angeles Times ผลิตหนังสือพิมพ์ทั้งฉบับ รวมทั้งโฆษณาให้อ่านไดฟรีในอินเทอร์เน็ต และจากเดิมที่สิ่งพิมพ์จะมีแต่อักษรและภาพ ก็จะเปลี่ยนไปเป็นแบบมัลติมีเดีย (Multimedia) คือมีหลายสื่อรวมกัน ทั้งอักษร ภาพนิ่ง ภาพเคลื่อนไหว และเสียง อีกทั้งสามารถโต้ตอบกับผู้อ่านได้ในหลายกรณี สื่อมัลติมีเดียนี้จะบรรจุในซีดีรอม (CD-ROM) เพื่อให้ใช้ได้ในแบบที่ไม่ต้องการอาศัยเครือข่ายคอมพิวเตอร์อีกด้วยการส่งข่าวสารถึงกันระหว่างบุคคลสามารถทำได้อย่างรวดเร็ว โดยใช้ไปรษณีย์อิเล็กทรอนิกส์ส่งข้อมูลผ่านเครือข่ายคอมพิวเตอร์ รูปแบบของข้อมูลนี้มีทั้งที่เป็นอักษร ภาพนิ่ง ภาพเคลื่อนไหวและเสียง คือ เป็นได้ทั้งไปรษณีย์เสียง (Audio Mail) และไปรษณีย์ภาพ (Video Mail) นอกจากนี้ การสั่งพิมพ์ข้อความในจดหมายก็อาจทำได้ด้วยการบอกให้จด (Dictation) คือ พูดให้คอมพิวเตอร์แปลงคำพูดออกมาเป็นตัวอักษร ความสามารถในการรับรู้คำพูดภาษามนุษย์ (Speech Recognition) นี้จะทำให้ง่ายที่จะโต้ตอบกับคอมพิวเตอร์เป็นภาษาพูดโดยตรง แทนที่จะต้องสั่งผ่านแป้นพิมพ์ หรือเลือกคำสั่งจากหน้าจอเหมือนในปัจจุบัน ผลดีอีกอย่างที่เด่นชัดคือ คอมพิวเตอร์จะช่วยคนพิการในด้านการมองเห็น การพูด หรือการรับฟัง การที่มีผู้ช่วยอิเล็กทรอนิกส์จะทำให้สามารถโต้ตอบกับผู้อื่นได้โดยสะดวกยิ่งขึ้น
ในอนาคต ผู้คนส่วนใหญ่จะไม่ต้องใช้เงินกระดาษ เพราะส่วนใหญ่จะซื้อของผ่านระบบอิเล็กทรอนิกส์ และชำระเงินทางอิเล็กทรอนิกส์ (Electronic Payment) การโอนเงินในธนาคารก็จะทำผ่านระบบโอนเงินอิเล็กทรอนิกส์ (Electronic Funds Transfer) แม้แต่การซื้อของผ่านทางหน้าจอคอมพิวเตอร์ก็สามารถใช้เงินอิเล็กทรอนิกส์ (E-money) เช่นเดียวกับการซื้อของตามห้างร้านต่างๆ ซึ่งบัตรที่บรรจุข้อมูลจำนวนเงินและคำผ่านสำหรับผู้ที่เป็นเจ้าของนั้นก็คือ บัตรสมาร์ทการ์ด (Smart Card) แบบที่เริ่มมีใช้กันอยู่บ้างแล้วในขณะนี้ นอกจากนั้น การประสานงาน การเงินของบริษัทห้างร้านและธนาคารก็จะใช้ระบบแลกเปลี่ยนข้อมูลอิเล็กทรอนิกส์ (Electronic Data Interchange - EDI) ซึ่งเป็นวิธีการร่วมมือกันระหว่างธุรกิจในส่วนของการสั่งซื้อ การแจ้งหนี้และการชำระเงิน ให้สามารถผ่านเครือข่ายคอมพิวเตอร์ และไม่จำเป็นต้องใช้เอกสารกระดาษส่งไปมาระหว่างกันอีก วิธีนี้ทำให้ธุรกิจเป็นการติดต่อกันโดยตรงระหว่างคอมพิวเตอร์ของบริษัทที่เกี่ยวข้องกัน ตัวอย่างเช่น เมื่อสินค้าคงคลังของร้านค้าน้อยลงกว่ากำหนด คอมพิวเตอร์ของร้านค้าก็อาจส่งคำสั่งซื้อ โดยอัตโนมัติไปยังคอมพิวเตอร์ของบริษัทผู้ขายส่งสินค้านั้น บริษัทผู้ขายก็จะมีคำสั่งให้คอมพิวเตอร์ของโกดังเก็บสินค้าส่งของไปให้ร้านค้าที่สั่งซื้อมา พร้อมกับส่งใบแจ้งหนี้ไปให้คอมพิวเตอร์ของร้านค้านั้น เมื่อได้รับสินค้าแล้ว คอมพิวเตอร์ของร้านค้าก็จะสั่งให้คอมพิวเตอร์ของธนาคารสั่งจ่ายเงินจากบัญชีของตนแก่คอมพิวเตอร์ของบริษัทขายส่ง ดังนี้จะเห็นว่า ธุรกิจส่วนใหญ่ที่เคยต้องใช้เอกสารกระดาษและคนจำนวนมาก ก็จะกลายเป็นงานอัตโนมัติที่คอมพิวเตอร์ติดต่อกันเองได้ระหว่างหน่วยงาน ซึ่งจะช่วยลดค่าใช้จ่าย เพิ่มประสิทธิภาพการทำงาน และตัดปัญหาที่เกิดจากความผิดพลาดหรือความล่าช้าในแบบเก่าไปได้มาก
ประโยชน์ที่องค์กรได้รับจากการประยุกต์ใช้ Virtual Reality
1. สร้างประสิทธิภาพในการดำเนินงานภายในองค์กร
2. สร้างภาพลักษณ์ที่ดีและทันสมัยแก่องค์กร
3. อำนวยความสะดวกและส่งข้อมูลระหว่างองค์กรได้อย่างรวดเร็วและชัดเจน
4. ลดปัจจัยเสี่ยงต่างๆที่อาจจะเกิดขึ้นจากการทดลองจากสถานการณ์จริง
5. ลดปัญหาที่เกิดจากความผิดพลาดหรือความล่าช้าต่างๆ
6. ประหยัดเวลาและค่าใช้จ่ายต่างๆได้มากกว่าการทดลองจากสถานการณ์จริง
1. สร้างประสิทธิภาพในการดำเนินงานภายในองค์กร
2. สร้างภาพลักษณ์ที่ดีและทันสมัยแก่องค์กร
3. อำนวยความสะดวกและส่งข้อมูลระหว่างองค์กรได้อย่างรวดเร็วและชัดเจน
4. ลดปัจจัยเสี่ยงต่างๆที่อาจจะเกิดขึ้นจากการทดลองจากสถานการณ์จริง
5. ลดปัญหาที่เกิดจากความผิดพลาดหรือความล่าช้าต่างๆ
6. ประหยัดเวลาและค่าใช้จ่ายต่างๆได้มากกว่าการทดลองจากสถานการณ์จริง
บทที่ 10 เรื่องที่ 2 ส่วนประกอบของระบบผู้เชี่ยวชาญ
ในปัจจุบันมีผู้กล่าวขานถึงระบบผู้เชี่ยวชาญ (EXPERT SYSTEM:ES) และปัญญาประดิษฐ์ (ARTIFICIAL INTELIGENCE : AL) กันมากขึ้นทุกขณะ จนบางครั้งเรายากที่หาความแตกต่างเนื่องจากระบบคอมพิวเตอร์ซึ่งในที่นี้ได้ หมายถึงฮาร์ดแวร์ซอฟด์แวร์ได้ถูกพัฒนาให้มีประสิทธิภาพขึ้นมาอย่างมากและความสามารถของมันก็ไม่ได้หยุดนิ่งเลย ทำให้มนุษย์เกิดความคิดที่จะทำให้มนุษย์เป็นผู้เขียนโปรแกรมคำสั่งให้กับมันโดยตรง ดังนั้น คำว่า จึงได้กำเนิดขึ้นและ AL ได้ถูกแยกออกเป็น 2 แนวทางด้วยกัน โดยแนวทางแรกเป็นแนวทางที่จะให้คอมพิวเตอร์รับรู้ถึงภาษามนุษย์ เช่น ผู้ใช้จะพูดผ่านไมโครโฟนที่ติดต่อกับคอมพิวเตอร์ว่า "ให้แสดงยอดรายงานการขายวันนี้" คอมพิวเตอร์ก็จะทำการดึงข้อมูลการขายมาประมวลผลการวิจัยทางด้านนี้ได้พัฒนาไปมาก และมีแนวโน้มที่จะเป็นจริงได้ในอนาคต ระบบผู้เชี่ยวชาญเป็นระบบที่ได้นำเอาความรู้ความเชี่ยวชาญและประสบการณ์จากผู้เชี่ยวชาญในเรื่องใดเรื่องหนึ่งมาเก็บไว้กล่าวคือ ระบบจะเก็บเอาปัจจัยทุกประการที่ผู้เชี่ยวชาญต้องคำนึงถึงตามปัจจัยต่างๆ และหาคำตอบให้กับผู้ใช้ ระบบช่วยการตัดสินใจหรือ DSS ต่างกับระบบผู้เชี่ยวชาญตรงที่ว่า ระบบช่วยการตัดสินใจเพียงแต่เสนอทางเลือกที่ดีที่สุดให้กับผู้ใช้หรือนักบริหารเท่านั้น ดังนั้นผู้ตัดสินใจสุดท้ายคือ ผู้ใช้อีก ตัวอย่างของระบบผู้เชี่ยวชาญจะให้คำตอบซึ่งเป็นการตัดสินใจของระบบเองเลย โดยไม่ต้องมาผ่านผู้ใช้ซึ่งเป็นคนอีก ตัวอย่างของระบบผู้เชี่ยวชาญที่มีใช้ปัจจุบันและประสบความสำเร็จเป็นอย่างดีคือ ระบบผู้เชี่ยวชาญของ AMEX ที่ใช้สำหรับตรวจสอบเครดิตของผู้ใช้บัตร เป็นต้นระบบผู้เชี่ยวชาญ คือระบบคอมพิวเตอร์ ที่จำลองการตัดสินใจของมนุษย์ ผู้เป็นผู้เชี่ยวชาญในด้านใดด้านหนึ่ง โดยใช้ความรู้และการสรุปเหตุผลเชิงอนุมาน (inference) ในการแก้ปัญหายากๆ ที่ต้องอาศัยผู้เชี่ยวชาญ ระบบผู้เชี่ยวชาญได้ถูกพัฒนาขึ้นมา เพื่อใช้งานในระบบต่างๆ อย่างแพร่หลายมากว่า 30 ปี ไม่ว่าจะเป็นในแวดวงธุรกิจ การแพทย์ วิทยาศาสตร์ วิศวกรรม อุตสาหกรรม เป็นต้น ตัวอย่างของ expert system applications ได้แก่ diagnosis of faults and diseases, automobile diagnosis, interpretation of data (เช่น sonar signals), mineral exploration, personnel scheduling, computer network management, weather forecasting, stock market prediction, consumer buying advice, diet advice เป็นต้น จะเห็นได้ว่า วัตถุประสงค์หลักของระบบผู้เชี่ยวชาญ ก็คือ การช่วยในการตัดสินใจ การให้ความรู้ คำแนะนำ หรือคำปรึกษา อย่างที่เราต้องการจากผู้เชี่ยวชาญเฉพาะด้าน
ระบบผู้เชี่ยวชาญ (EXPERT SYSTEM AND ARTIFICIAL INTELLIGENCE)
Expert Systems ระบบ ES หรือระบบผู้เชี่ยวชาญ จัดเป็นระบบสารสนเทศประเภทหนึ่งที่นำวิทยาการของปัญหาประดิษฐ์เข้ามาใช้จัดการสารสนเทศ โดยเฉพาะอย่างยิ่งสารสนเทศที่เป็น องค์ความรู้ (knowledge) ในเฉพาะสาขาหรือเฉพาะด้าน ดังนั้นระบบผู้เชี่ยวชาญจึงเป็นซอฟต์แวร์ที่ใช้สร้างฐานความรู้ (knowledge base) และ กลไกในการตั้งคำถาม และหาคำตอบ (จาก knowledge base) ทำให้ผู้ใช้ได้รับความสะดวกในการถามและตอบสิ่งที่ถามเสมือนหนึ่งคุยกับผู้เชี่ยวชาญจริง ๆ
ทั้งนี้ระบบผู้เชี่ยวชาญจะเลือกเฉพาะสาขาหรือเฉพาะด้านที่ขาดแคลนผู้เชี่ยวชาญเท่านั้น เช่น ใช้ในงานเกี่ยวกับการวินิจฉัยทางการแพทย์ การขุดเจาะน้ำมัน การวางแผนการเงิน การจัดทำภาษี การวิเคราะห์ทางเคมี การผ่าตัด การซ่อมเครื่องยนต์ การพยากรณ์อากาศ การซ่อมเครื่องคอมพิวเตอร์ การส่งสัญญาณดาวเทียม ปฏิบัติการเกี่ยวกับอาวุธนิวเคลียร์ การวางรูปแบบหนังสือพิมพ์ การตีความกฎหมาย เป็นต้น อย่างไรก็ตามถึงแม้ว่าระบบผู้เชี่ยวชาญ จะได้รับการพัฒนา ให้ใช้งานได้สะดวก และมีประสิทธิภาพยิ่งขึ้น แต่ระบบสารสนเทศประเภทนี้ก็ไม่สามารถมาแทนที่มนุษย์ได้
Contribution of Expert Systems : ระบบที่พยายามทำให้ Computer เก็บเอาความชำนาญของ ผู้เชี่ยวชาญต่าง ๆ ไว้ (ให้ผู้ชำนาญน้อยกว่าเอามาใช้) จัดเก็บประสบการณ์ ระบบสารสนเทศที่แก้ปัญหา โดยการเก็บรวบรวมความรู้ ของผู้เชี่ยวชาญ ในเรื่องใด เรื่องหนึ่งไว้ เรียกว่า ระบบผู้เชี่ยวชาญ (Expert System) ความรู้ของผู้เชี่ยวชาญจะถูกเก็บในรูปแบบของกฎพื้นฐาน ไว้ในหน่วยบันทึกความจำ ขององค์กร ใช้สนับสนุนการตัดสินใจโดยการถามคำถามที่เกี่ยวเนื่อง และสามารถอธิบายเหตุผลในการเลือก คำตอบให้แก่คำถามนั้นๆ การจัดเก็บรวบรวมความรู้ในขอบเขตที่จำกัด ทำให้ระบบผู้เชี่ยวชาญ สามารถให้ประโยชน์ต่อองค์กร ด้วยการแนะนำ ให้คำปรึกษาได้ระบบสารสนเทศของระบบผู้เชี่ยวชาญ
ระบบผู้เชี่ยวชาญ (Expert Tasks)
1.Engineer
Design
Fault finding
Manufacturing planing
2. Scientific analysis
3. Medical diagnosis
4. Financial analysis
การทำงานของระบบผู้เชี่ยวชาญ
การทำงานของระบบผู้เชี่ยวชาญ Knowledge Representation Methods
- IF - Then Rules (กฎ) คำสั่งแสดงเงื่อนไขจำนวนมากสามารถนำมาใช้เป็นกฎ (Rule) (มีจำนวน 200 ถึง 10,000 เงื่อนไข) กฎที่นำมาใช้ในโปรแกรมปัญญาประดิษฐ์ยังมีการเชื่อมโยง ระหว่างกันอย่างมาก เก็บความสัมพันธ์ไว้ (semiotic) Frames ตาราง ความรู้ที่เก็บแต่ละตาราง
- Knowledge Engineering วิศวกรความรู้ จัดเก็บความรู้อย่างเป็นหมวดหมู่ รู้ความลับต่างๆ ในแต่ละด้าน
- Expert System Shells เปลือกความรู้อะไรนั้น ๆ ก็ใส่เข้าไปหรือความรู้จากการเขียนโปรแกรม
- Foreword Chaining ค้นหาคำตอบได้ 2 วิธี เชื่อมต่อไปเรื่อยๆ (ได้คำตอบมา) Result - driven process
- Back word Chaining กลไกอ้างอิงย้อนกลับท้าวหลัง ตั้งสมมติฐานและถามผู้ใช้เกี่ยวกับข้อเท็จจริง Goal - driven process ตั้งคำถามนำ (ได้คำตอบกลับมา) จนได้การยืนยัน เราต้องคิดว่าจะทำ ES ไหม ถ้าปัญหาเล็กน้อยก็ ไม่ควรจะทำ
- Factors Justifying the Acquisition of Expert Systems ปัญหาเล็กน้อย ไม่มีโครงสร้าง เกิดบ่อยไหม ต้องมี
ผู้เชี่ยวชาญที่จะให้ประสบการณ์
ข้อจำกัดของระบบผู้เชี่ยวชาญ Limitation of Expert Systems 3 ข้อ คือ
1. Can handle only narrow domains ทำได้ Domain แคบๆ
2. Do not possess common sense ไม่มีสามัญสำนึก
3. Have a limited ability to learn เรียนรู้ได้ด้วยตัวเอง
Ethical and societal Issues too Sophisticated Technology ใช้ทางด้านการรักษา ใช้แทนคนได้ไหม เกิดเป็นปัญหาขึ้นมา
การสร้างระบบผู้เชี่ยวชาญ
การสร้างระบบผู้เชี่ยวชาญ ก็คล้ายกับการสร้างระบบสารสนเทศอื่นๆ แต่การสร้างระบบผู้เชี่ยวชาญมัก จะใช้วิธีการสร้าง แบบวนซ้ำ (Interative process) โดยการเริ่มสร้างจากระบบเล็กมากแล้ว จึงค่อยขยายขนาดของระบบ (คือเพิ่มจำนวนกฏ) ขึ้นมาที่ละน้อยแล้วทำการทดสอบระบบและวนซ้ำ ไปอีกหลายรอบกว่าที่จะได้ระบบที่สมบูรณ์ โดยปกติแล้วสิ่งแวดล้อม ที่ระบบผู้เชี่ยวชาญถูกพัฒนาขึ้น มาใช้งานนั้น จะมีการเปลี่ยนแปลงอยู่เสมอ ทำให้ต้องมีการปรับระบบผู้เชี่ยวชาญ ให้เหมาะสมกับความเปลี่ยนแปลงที่เกิดขึ้นด้วย ระบบผู้เชี่ยวชาญบางระบบมีความซับซ้อนมากจนทำให้ค่าใช้จ่าย ในการบำรุงรักษา เพียงไม่กี่ปีรวมกันแล้วมีค่ามากกว่า มูลค่าในการพัฒนาระบบนั้นเสียอีก
ทีมผู้พัฒนาระบบงานปัญญาประดิษฐ์ประกอบด้วยผู้เชี่ยวชาญ (Expert) อย่างน้อยหนึ่งคน ซึ่งมีความรู้ทะลุปุโปร่งเกี่ยวกับเนื่อหาเรื่องใดเรื่องหนึ่งที่กำลังศึกษา มีวิศวกรภูมิปัญญา (Knowledge engineer) จำนวนหนึ่ง เป็นผู้ซึ่งมีความสามารถในการแปลงความรู้จากผู้เชี่ยวชาญให้อยู่ในรูปแบบของกฏ หรือกรอบโครงสร้างความรู้ วิศวกรภูมิปัญญา มีหน้าที่คล้ายคลึงกับผู้วิเคราะห์ระบบในการพัฒนาระบบงานสารสนเทศทั่วไป เพียงแต่มีความเชี่ยวชาญพิเศษ ในการเฟ้นหาข่าวสาร จากผู้เชี่ยวชาญ และมีสมาชิกในทีมพัฒนาซึ่งจะทำการสร้างระบบต้นแบบขึ้นมาทดสอบและพัฒนาต่อไปจนกระทั่งได้ระบบที่สมบูรณ์
คุณสมบัติของระบบผู้เชี่ยวชาญ
ข้อดีของระบบผู้เชี่ยวชาญ จะค่อนข้างแตกต่างจากระบบสารสนเทศอื่น ๆ ดังนี้
ระบบผู้เชี่ยวชาญ ช่วยในการเก็บความรู้ของผู้เชี่ยวชาญในด้านใดด้านหนึ่งไว้ ทำให้ไม่สูญเสียความรู้นั้น เมื่อผู้เชี่ยวชาญต้อง ออกจาก องค์กรหรือไม่ปฏิบัติงานได้
ระบบผู้เชี่ยวชาญ จะช่วยขยายขีดความสามารถในการตัดสินใจให้กับผู้บริหารจำนวนมากพร้อมๆกัน
ระบบผู้เชี่ยวชาญ สามารถเพิ่มประสิทธิภาพและประสิทธิผลให้กับผู้ทำการตัดสินใจได้เป็นอย่างมาก
ระบบผู้เชี่ยวชาญจะทำการตัดสินใจในแต่ละครั้งมีความใกล้เคียงและไม่ขัดแย้งกัน
ระบบผู้เชี่ยวชาญช่วยลดการพึ่งพาบุคลคลใดบุคคลหนึ่ง
ระบบผู้เชี่ยวชาญ มีความเหมาะสมที่จะเป็นระบบในการฝึกสอนอย่างมาก
ประโยชน์ของระบบผู้เชี่ยวชาญ (Benefits of expert systems)
1. ช่วยรักษาความรู้ที่อาจสูญเสียไป เมื่อเกิดการลาออกของพนักงานที่มีความเชี่ยวชาญ
2. ช่วยทำให้ข้อมูลมีคุณภาพ และมีศักยภาพในการนำมาใช้งานได้อย่างทันท่วงทีเมื่อต้องการ
3. ช่วยทำให้เกิดความคิดสร้างสรรค์แปลกใหม่
4. ช่วยป้องกันไม่ให้เกิดภาวะที่อาจเกิดกับมนุษย์ เช่น ความเมื่อยล้า ความสับสนวุ่นวาย หรือปัญหาอารมณ์
5. ใช้เป็นเครื่องมือเชิงกลยุทธ์ ด้านการตลาด การลดต้นทุน และการปรับปรุงพัฒนาสินค้า
Expert Systems สามารถช่วยองค์กรได้
- Planning การวางแผน
- Decision making การตัดสินใจ
- Monitoring การควบคุมดู
- Diagnosis การวินิจฉัยอาการ
- Training การจัดการฝึกอบรม
- Indental learning การเรียนรู้
- Replication of Expertis การเรียนรู้จากเหตุการณ์
- Consistent solutions การที่คิดอีกทีก็ให้คำตอบเหมือนเดิม
- Development of Expert Systems การพัฒนาระบบผู้เชี่ยวชาญ
- What is Expertis? ทักษะความรู้ที่เหนือกว่าค่าปกติ
- Components of Expert Systems ส่วนประกอบของระบบ
- The interface or dialog ระบบโต้ตอบกับคน (ใช้งานหาค่างานที่น่าเชื่อสำหรับมนุษย์)
- The knowledge base ฐานความรู้ เสนอวิธีแก้ปัญหาสำหรับงานเฉพาะหน้าซึ่งมีปริมาณมากหรือซับซ้อนมากเกินไปสำหรับ
มนุษย์ โดยเฉพาะเมื่อต้องทำงานให้เสร็จในเวลาสั้
Expert Systems in Action เรานำระบบผู้เชี่ยวชาญมาใช้
- Business areas using Ess ระบบธุรกิจ
- Telephone network maintenance ระบบโทรศัพท์
- Credit บัตรเครดิต
- Tax planning ภาษี
- Detection of insider securities ใน บ.มหาชนขายหุ้น
- Irrigation and pest management แหล่งแร่ และ ศัตรูพืช
- Medical diagnosis วินิจฉัยโรค
- Class selection for students การเลือกนักศึกษาเข้าเรียน
การนำระบบผู้เชี่ยวชาญไปใช้งาน (Putting expert systems to work)
1. ด้านการผลิต (Production)
2. การตรวจสอบ (Inspection)
3. การประกอบชิ้นส่วน (Assembly)
4. ด้านบริการ (Field service)
5. ด้านการซ่อมแซมโทรศัพท์ (Telephone repair)
6. การตรวจสอบบัญชี (Auditing)
7. การคิดภาษี (Tax accounting)
8. การวางแผนด้านการเงิน (Financial planning)
9. ด้านการลงทุน (Investments)
10. ด้านบุคคล (Personnel)
11. ด้านการตลาด และการขาย (Marketing and sales)
12. การอนุมัติสินเชื่อ (Credit authorization)
13. หน่วยงานด้านบริการของรัฐ (Human services agency)
14. การทำนายทางการแพทย์ (Medical prognosis) ระบบผู้เชี่ยวชาญ เป็นระบบที่ใช้คอมพิวเตอร์วินิจฉัยโรค ระบบ ที่มีชื่อเสียงเมื่อสิบปีเศษมานี้ คือ ระบบ Mycin ของมหาวิทยาลัยสแตนฟอร์ด และเริ่มมีผู้นำมาประยุกต์ใช้ในด้านอื่นๆ มากขึ้น เลยไป ถึงโรคพืชและสัตว์ หลักการที่ใช้คือ เก็บข้อมูลต่างๆ ไว้ให้ละเอียด แล้วใช้หลักปัญญาประดิษฐ์หรือ Artificial Intelligence-AI มาช่วยวิเคราะห์เป็นแนวคิดในการทำให้คอมพิวเตอร์ทำงาน และคิดได้เหมือนคน ระบบนี้น่าจะช่วยอนามัยตำบล ในการวินิจฉัย โรคยากๆ ได้ ให้คนที่มีความรู้ปานกลางพอสมควร สามารถที่จะวินิจฉัยโรคได้ เป็นอีกหนทางหนึ่งที่เพิ่มจาก tele-medicine ที่ผู้เชี่ยวชาญตัวจริงต้องมาให้คำปรึกษาแนะนำ
ส่วนประกอบของ ES
ES ถูกพัฒนาขึ้นสำหรับการแก้ปัญหาที่มีความซับซ้อนและไม่มีโครงสร้าง เนื่องจากปัญหาในลักษณะนี้ จะไม่สามารถตัดสินใจด้วยหลักการทางคณิตศาสตร์เพียงอย่างเดียว การแก้ปัญหาจะต้องอาศัยการผสมผสานระหว่างความรู้ทั้งที่ถูกจัดเรียงอย่างเป็นระบบและความรู้ที่ได้จากประสบการณ์ ซึ่งทำให้ ES มีส่วนประกอบที่แตกต่างจากระบบสารสนเทศปกติ โดย ES ประกอบด้วยส่วนประกอบพื้นฐานสำคัญ 5 ประการ ดังต่อไปนี้
1. ฐานความรู้ (knowledge base) เป็นส่วนที่เก็บความรู้ทั้งหมดของผู้เชี่ยวชาญที่รวบรวมจากการศึกษาและจากประสบการณ์ โดยมีการกำหนดโครงสร้างของข้อมูล (Data Structure) ให้เหมาะสมกับการนำไปใช้งาน ฐานความรู้มีลักษณะบางประการคล้ายฐานข้อมูล แต่ฐานสารสนเทศ (Information Base) ทั้งสองจะมีความแตกต่างกันคือ ฐานข้อมูลจะเก็บรวบรวมตัวเลข (Numbers) สัญลักษณ์ (Symbols) และอาจมีส่วนแสดงความสัมพันธ์พื้นฐานระหว่างข้อมูลที่เกี่ยวข้องกันระหว่างแต่ละฐานข้อมูล แต่ฐานความรู้จะรวบรวมตรรกะ (Logic) ในการปฏิบัติงาน เนื่องจาก ES จะต้องทำการประมวลความรู้ในหลายรูปแบบ ซึ่งเป็นไปได้ยากในฐานข้อมูล
การนำเสนอความรู้ (Knowledge Representation) ปัจจุบัน ES ทางธุรกิจที่ถูกพัฒนาขึ้นส่วนใหญ่จะมีการนำเสนอความรู้ในลักษณะ ถ้า..และ…ดังนั้น…(If..and..then…) หรือการกำหนดกรอบอ้างอิงของการดำเนินงาน (Frame) โดยกรอบการดำเนินงานจะทำหน้าที่รวบรวมสารสนเทศเกี่ยวกับงานที่ต้องการเข้ามาอยู่ร่วมกันภายใต้ขอบเขตที่กำหนด เพื่อให้สะดวก ต่อการใช้งาน
นอกจากนี้ ES ยังสามารถประยุกต์เข้ากับระบบเครือข่าย (Network) ที่ต่อเชื่อมกับแหล่งข้อมูลหลายจุด ทำให้สามารถดึงข้อมูลมาใช้ประกอบการประเมินผล อย่างมีประสิทธิภาพ ซึ่งเราเรียกระบบเครือข่ายลักษณะนี้ "เครือข่าย Semantic (Semantic Network)"
2. เครื่องอนุมาน (inference engine) เป็นส่วนควบคุมการใช้ความรู้ในฐานความรู้ เพื่อวิเคราะห์และแก้ปัญหาที่เกิดขึ้น เราสามารถกล่าวได้ว่า เครื่องอนุมานเป็นส่วนการใช้เหตุและผลเป็นส่วนประกอบที่สำคัญของ ES โดยที่เครื่องอนุมานจะทำหน้าที่ตรวจสอบกฎเกณฑ์ที่อยู่ใน ฐานความรู้ โดยการใช้เหตุผลทางตรรกะสำหรับแต่ละเหตุการณ์ ซึ่งมักจะอยู่ในลักษณะ ถ้า…แล้ว…
2.1 การอนุมานแบบไปข้างหน้า (Forward Chaining Inference) การอนุมานโดยเริ่มการตรวจสอบข้อมูลกับกฎเกณฑ์ที่มีอยู่ในระบบจนกว่าจะสามารถหากฎเกณฑ์ที่สอดคล้องกับสถานการณ์แล้วจึง ดำเนินงานตามเหมาะสม
2.2 การอนุมานแบบย้อนหลัง (Backward Chaining Inference) การอนุมานโดยเริ่มต้นจากเป้าหมาย (Goals) ที่ต้องการแล้วดำเนินการย้อนกลับเพื่อหาสาเหตุ การอนุมานในลักษณะนี้มักนำมาใช้ในการพัฒนาระบบความฉลาดให้มีความเข้าใจ และมีประสบการณ์ในการแก้ปัญหา เพื่อให้ระบบสามารถทำการอนุมานหาข้อสรุปของปัญหาที่เกิดขึ้นในอนาคต
3. ส่วนดึงความรู้ (knowledge acquisition subsystem) เป็นส่วนที่ดึงความรู้จากเอกสาร ตำรา ฐานข้อมูล และเชี่ยวชาญ ทีมพัฒนาจะทำการจัดความรู้ที่ได้มาให้อยู่ในรูปที่เข้ากันได้กับโครงสร้างของฐานความรู้ เพื่อที่จะได้สามารถบรรจุความรู้ที่ได้มาลงในฐานความรู้ได้
4. ส่วนอธิบาย (explanation subsystem) เป็นส่วนที่อธิบายถึงรายละเอียดของข้อสรุปหรือคำตอบที่ได้มานั้น มาได้อย่างไร และทำไมถึงมีคำตอบเช่นนั้น
5. การติดต่อกับผู้ใช้ (user interface) เป็นส่วนประกอบที่สำคัญของ ES เนื่องจากผู้ใช้จะมีความรู้ในงานสารสนเทศที่แตกต่างกัน หรือผู้ใช้บางคนไม่เคยชินกับการรับคำแนะนำจากระบบสารสนเทศ ตลอดจนผู้ใช้มีความต้องการที่หลากหลาย ดังนั้นผู้พัฒนาระบบจึงต้องคำนึงถึงความสะดวกในการติดต่อระหว่าง ES กับผู้ใช้ ทำให้การติดต่อสื่อสารระหว่าง ES กับผู้ใช้ที่มีความสะดวก ทำให้ผู้ใช้เกิดความพอใจและสามารถใช้ระบบจนเกิดความชำนาญ ซึ่งจะทำให้การปฏิบัติงานมีประสิทธิภาพ
ความรู้
ความรู้ หมายถึง ระดับของภูมิปัญญาในการรับรู้และการทำความเข้าใจในเรื่องใดเรื่องหนึ่ง โดยที่ความรู้กับข้อมูลจะมีความใกล้เคียงกันในหลายลักษณะ แต่ทั้งสองจะมีความแตกต่างกันตามหลักการด้านวิศวกรรมระบบ (system engineering) อยู่ 2 ประการ คือ ความชัดเจน และความเป็นสากล ปกติผู้ที่สนใจศึกษาเกี่ยวกับระบบ ความฉลาด สามารถจำแนกความรู้ออกเป็น 4 ประเภท ได้แก่ ความจริง ความสัมพันธ์ ขั้นตอน และองค์ความรู้ ความซับซ้อนของ AI และ ES ทำให้ผู้พัฒนาระบบความฉลาดต้องจัดประเภทของความรู้และความสัมพันธ์ในฐานความรู้อย่างเหมาะสม เพื่อให้ระบบความฉลาดสามารถปฏิบัติงานได้ตามวัตถุประสงค์ของผู้จัดการและความต้องการของผู้ใช้
การพัฒนา ES เป็นกระบวนการต่อเนื่องที่มีความละเอียดอ่อน และซับซ้อน ซึ่งผู้พัฒนาระบบต้องใช้ความรู้ ทักษะ ความสามารถ ความเข้าใจ และประสบการณ์อย่างสูง ตลอดจนต้องใช้เวลา และค่าใช้จ่ายสูงในการดำเนินงาน เราสามารถแบ่งกระบวนการพัฒนา ES ออกเป็น 5 ขั้นตอน ดังต่อไปนี้
1. การวิเคราะห์ปัญหา ผู้พัฒนาระบบความฉลาดจะดำเนินการพิจารณาถึงความต้องการ ความเหมาะสม และความเป็นไปได้ของการนำระบบไปใช้งานในสถานการณ์จริง โดยทำความเข้าใจกับปัญหา จัดขั้นตอนในการแก้ปัญหา การกำหนดรูปแบบของการให้คำปรึกษา ตลอดจนรวบรวมความรู้ และความเข้าใจในสาระสำคัญที่จะนำมาประกอบการพัฒนาระบบ
บทบาทสำคัญของผู้ใช้ระบบที่มีต่อนักวิเคราะห์ระบบ
นักวิเคราะห์ระบบจะต้องคำนึงถึงความต้องการ (NEEDS) ของผู้ใช้ระบบเป็นสำคัญ โดยต้องยึดหลักเกณฑ์ของการวิเคราะห์และพัฒนาระบบงาน
มีนักวิเคราะห์ระบบมากมายที่ได้ดีไซน์ระบบมา โดยลืมจุดสำคัญของผู้ใช้ระบบ ทำให้ระบบที่ได้ดีไซต์ไว้ไม่ได้ตอบสนองกับความต้องการของผู้ใช้ระบบ และในที่สุดก็ยังผลให้ระบบที่ได้วางไว้นั้นไม่สามารถนำมาใช้ได้จริง ซึ่งทำให้ต้องเสียทั้งเวลาและค่าใช้จ่ายในการพัฒนาระบบอย่างมาก
การที่ระบบงานนั้นไม่ได้ตอบสนองกับความต้องการผู้ใช้ระบบ สาเหตุหนึ่งอาจจะมาจากนักวิเคราะห์ระบบ แม้ว่าจะไม่ลืมความสำคัญของผู้ใช้ระบบ แต่ลืมที่จะครอบคลุมถึงความเห็นของผู้ใช้ระบบ ทุกคนที่เกี่ยวข้องก็จะทำให้ระบบงานที่ตนได้ดีไซน์ไว้ไม่สามารถตอบสนองต่อความต้องการทั้งหมด เช่น ระบบงานข้อมูลทางการตลาด อาจมีผู้ใช้ระบบตั้งแต่พนักงานรับใบสั่งซื้อ ไปจนถึงระดับผู้บริหารต้องการของทุกคนที่เกี่ยวข้องกับระบบ มิใช่จะเอาใจเฉพาะผู้บริหาร
ระบบงานข้อมูลที่นักวิเคราะห์ระบบวางดีไซน์ขึ้น จะมีคุณค่าเท่าใดนั้น มิใช่นักวิเคราะห์ระบบเองจะเป็นคนตัดสิน เพราะนักวิเคราะห์ระบบเป็นเพียงผู้สร้างมัน แต่ผู้ใช้ระบบต่างหากเป็นผู้ที่รู้ถึงหลักการที่ว่าระบบงานนั้นได้ตอบสนองความต้องการของพวกเขาได้มากน้อยเพียงใด
2. การเลือกอุปกรณ์ ผู้พัฒนาระบบต้องพิจารณาเลือกอุปกรณ์ที่ใช้เป็นส่วนประกอบของ ES ซึ่งแต่ละส่วนจะมีความต้องการ อุปกรณ์ที่มีความเหมาะสมแตกต่างกัน โดยพิจารณาความเหมาะสมของส่วนประกอบที่สำคัญ ดังต่อไปนี้
2.1 การแสดงความรู้ นอกจากความเข้าใจในความหมายและประเภทของความรู้แล้ว การแสดงความรู้เป็นเรื่องสำคัญในการพัฒนาระบบความฉลาด เครื่องแสดงความรู้จะถูกออกแบบให้การแสดงความรู้นั้นง่ายและครบถ้วนตามลักษณะของงาน โดยที่การแสดงความรู้ที่มีประสิทธิภาพควรต้องมีลักษณะ ดังต่อไปนี้
+ โครงสร้าง (Structure)
+ เป็นสัดส่วน (Modularity)
+ สะดวก (Convenience)
+ เข้าใจง่าย (Easy to Understand)
+ เหมาะสม (Appropriate)
2.2 เครื่องอนุมาน ผู้พัฒนาระบบความฉลาดต้องคำนึงถึงวิธีการอนุมาน การค้นหาและตรวจสอบกฎข้อที่เหมาะสม การคำนวณทางคณิตศาสตร์ การประมวลผลทางตรรกะ และการเชื่อมโยงกับชุดคำสั่งอื่นอย่างสะดวกและเหมาะสม เพื่อที่จะนำมาใช้ในการแก้ปัญหาต่าง ๆ ที่เข้ามาในระบบ
2.3 การติดต่อกับผู้ใช้ ES ที่ถูกพัฒนาอย่างรอบคอบจะมีส่วนที่ผู้ใช้สามารถติดต่อสื่อสารกับระบบได้ง่าย ระบบมีการโต้ตอบและแสดงผลที่ชัดเจนและง่ายต่อการเข้าใจและการใช้งาน ดังนั้นผู้พัฒนาระบบต้องพิจารณาในเรื่องของวิธีการโต้ตอบระหว่างระบบกับผู้ใช้ การเก็บรวบรวมความรู้ และการแสดงผลโดยรูปภาพ (Graphic)
2.4 ชุดคำสั่ง ลักษณะของชุดคำสั่งจะบ่งชี้ธรรมชาติและคุณสมบัติของ ES ว่ามีข้อดีหรือข้อจำกัดอย่างไร สิ่งสำคัญที่ผู้พัฒนาระบบจะต้องพิจารณาสำหรับการสร้างชุดคำสั่ง คือ ภาษาคอมพิวเตอร์ (Computer Language) ซึ่งถูกสร้างขึ้นให้มีความเหมาะสมกับงานต่างกัน โดยภาษาคอมพิวเตอร์ที่นิยมนำมาใช้ในการพัฒนาระบบความฉลาด ได้แก่ โปรลอก (PROLOG) และลิปส์ (LIPS) เป็นต้น นอกจากผู้พัฒนาระบบยังต้องคำนึงถึงความสามารถในการแปลข้อมูล ความสามารถในการขยายระบบ และการใช้งานร่วมกับภาษาอื่นเพื่อให้การพัฒนาระบบและการต่อเชื่อมเกิดประโยชน์สูงสุด
ในปัจจุบันได้มีการพัฒนาระบบกึ่งสำเร็จรูปสำหรับการพัฒนาระบบผู้เชี่ยวชาญที่เรียกว่า Expert System Shell ซึ่งเป็นระบบที่ถูกพัฒนาขึ้นเพื่อไว้สำหรับสร้างระบบผู้เชี่ยวชาญในด้านต่าง ๆ ได้ง่ายขึ้น เช่น มีเครื่องมือช่วยในการสร้างฐานความรู้ส่วนติดต่อกับผู้ใช้ หรือส่วนอนุมาน เป็นต้น ทำให้สร้างระบบผู้เชี่ยวชาญสำเร็จลงได้ง่ายขึ้น เร็วขึ้นและเป็นระบบที่มีประสิทธิภาพ
2.5 การธำรงรักษาและการพัฒนาระบบ ผู้พัฒนาระบบต้องคำนึงถึงการธำรงรักษาและการปรับปรุงให้ระบบมีประสิทธิภาพสูงขึ้นในอนาคต โดยคำนึงปัจจัยต่อไปนี้ ความสามารถในการติดต่อกับผู้พัฒนาระบบ วิธีการสร้างและพัฒนาฐานความรู้ เครื่องมือที่ใช้ในการแก้ไขฐานความรู้ ความสามารถในการสร้างส่วนควบคุมการอนุมาน และสร้างส่วนที่ติดต่อกับผู้ใช้
3. การถอดความรู้ ผู้พัฒนาระบบต้องทำการสังเกต ศึกษา และทำความเข้าใจกับความรู้ที่จะนำมาพัฒนาเป็น ES จากแหล่งอ้างอิง หรือผู้เชี่ยวชาญในสาขานั้น เพื่อการกำหนดขอบเขตที่เหมาะสมของระบบ โดยที่เราเรียกกระบวนการนี้ว่า "วิศวกรรมความรู้ (knowledge engineering)" ซึ่งต้องอาศัย "วิศวกรความรู้ (knowledge engineer)" ซึ่งมีความแตกต่างจาก "นักวิเคราะห์และออกแบบระบบ (System Analyst and Designer)" อยู่พอสมควร เนื่องจากวิศวกรความรู้จะใช้เวลาในการรวบรวมข้อมูลของการวิเคราะห์และตัดสินใจในปัญหาทั้งจากเอกสารและจากผู้เชี่ยวชาญ โดยข้อมูลที่ได้จะยากต่อการอธิบายเหตุผลในการตัดสินใจของบุคคลในแต่ละครั้งขณะที่นักวิเคราะห์ระบบจะพัฒนาระบบสารสนเทศ จากข้อมูล ทางตรรกะและคณิตศาสตร์
4. การสร้างต้นแบบ ผู้พัฒนา ES จะนำเอาส่วนประกอบต่าง ๆ ที่กล่าวมามาประกอบการสร้างต้นแบบ (Prototype) ของ ES โดยผู้พัฒนาระบบจะเริ่มต้นจากการนำแนวความคิดทั้งหมดที่เกี่ยวข้องกับระบบที่ต้องการพัฒนามาจัดเรียงลำดับ โดยเริ่มจากเป้าหมาย หรือคำตอบของการประมวลผล การไหลเวียนทางตรรกะของปัญหา ขั้นตอนแสดงความรู้ การจัดลำดับของขั้นตอนที่จำเป็น พร้อมทั้งทดสอบการทำงานของต้นแบบที่สร้างขึ้นว่าสามารถทำงานได้ตามที่ไว้วางแผนไว้หรือไม่
5. การขยาย การทดสอบและบำรุงรักษา หลังจากที่ต้นแบบได้ถูกสร้างขึ้นและสามารถผ่านการทดสอบการทำงานแล้ว เพื่อที่จะได้ระบบสามารถนำไปใช้สภาวะการณ์จริงได้ ก็จะต้องทำการขยายระบบให้ใหญ่ขึ้นจากต้นระบบ โดยเฉพาะส่วนที่เป็นฐานความรู้ เป็นส่วนที่ใช้อธิบายส่วนที่ติดต่อกับผู้ใช้ และตกแต่งหน
..... อ่านต่อได้ที่: https://www.gotoknow.org/posts/353661
สมัครสมาชิก:
บทความ (Atom)