ทิศทางการใช้มาตรฐานด้านไอที โดย ดร.พันธ์ศักดิ์ ศิริรัชตพงษ์ National Electronics and Computer Technology Center (NECTEC) National Science and Technology Development Agency (NSTDA) Ministry of Science and Technology
หัวข้อการบรรยาย มาตรฐาน และหน่วยงานที่เกี่ยวกับมาตรฐาน ตัวอย่างกิจกรรมที่ประยุกต์ใช้มาตรฐานด้านไอที มาตรฐานการรักษาความปลอดภัยที่เกี่ยวกับระบบไอที การรับรองคุณภาพผลิตภัณฑ์คอมพิวเตอร์ ศูนย์ทดสอบผลิตภัณฑ์ไฟฟ้าและอิเล็กทรอนิกส์(ศทอ.) มาตรฐานรูปแบบเอกสารอิเล็กทรอนิกส์ Open Standards
มาตรฐาน และ หน่วยงานที่เกี่ยวกับมาตรฐาน
มาตรฐาน คืออะไร มาตรฐาน คือ ตัวอย่างของวัตถุซึ่งสามารถนำสิ่งอื่นมาวัด เทียบได้ เช่น ไม้เมตร หรือก้อนน้ำหนักตัวอย่างที่ทราบ น้ำหนักที่ถูกต้อง มาตรฐาน ทำให้เกิดความแน่นอน ทำให้สิ่งของทำงาน ร่วมกันได้ ทำให้วัตถุต่างๆมีคุณสมบัติที่แน่นอน ทั้งนี้ ต้อง เกิดจากการสร้างข้อกำหนด (specifications) ที่สามารถ นำมาสอบเทียบได้ ลักษณะการสร้างมาตรฐาน มาตรฐานโดยปริยาย (Defacto standard) มาตรฐานที่เป็นที่ยอมรับกันทั่วไป มาตรฐานที่บังคับ โดยกฎระเบียบ (Dejury standards) มาตรฐานที่มีการประกาศใช้บังคับ (หรือใช้อ้างอิง) โดยหน่วยงานกำกับดูแลมาตรฐาน
ตัวอย่างมาตรฐานโดยปริยาย (Defacto standard) ในวงการ ICT ปัจจุบัน ได้แก่ Windows, PDF, MS-Office, GSM, GIF ฯลฯ บางครั้ง เป็นไปตามผลิตภัณฑ์หนึ่งใดที่เด่น หรือวิธีการบริการใด ที่ เป็นที่นิยมใช้เหมือนๆกันอย่างแพร่หลาย เช่น จะซื้อผงซักฟอก พูดว่า ซื้อแฟ้บ ซื้อ Microsoft Windows ได้แถม Internet Explorerer และ Media Player จะสอนให้ใช้ Word Processor พูดว่าสอน Word®TM คนไทยกว่า 70% ใช้ google ค้นหาข้อมูลในอินเทอร์เน็ต เมื่อนำเสนอด้วยเครื่องคอมพิวเตอร์ พูดกันว่า ฉันจะใช้ PowerPoint แฟ้มข้อมูลประเภท .DOC .PPT .XLS เป็นแฟ้มข้อมูลที่รู้จักกัน ทั่วไป
ตัวอย่างมาตรฐานที่บังคับโดยกฎระเบียบ (Dejury standards) ส่วนใหญ่ ทำขึ้นเพื่อคุ้มครองผู้บริโภค เช่น อุปกรณ์ไฟฟ้าในประเทศไทย ต้องใช้งานได้กับไฟที่มีแรงดัน 220V AC 50 Hz การเดินสายไฟฟ้าในอาคารที่ประเทศอังกฤษ บังคับให้มีการเดินสาย ดินเป็นสายที่สามสำหรับเต้าเสียบไฟทุกเต้า คอมพิวเตอร์ที่ราชการไทยจัดซื้อ ต้องทำงานกับรหัสอักขระไทย ตาม มาตรฐาน มอก.620-2533 และมีแป้นพิมพ์ภาษาไทย ตรงตาม มาตรฐาน มอก 820-2538
การจัดตัวอักษรบนแป้น ตาม มอก.820-2531
ตัวอย่างหน่วยงานมาตรฐานสากล ระดับนานาชาติ ระดับภูมิภาค ISO - International Organization for Standardization จัดได้ว่าเป็นหน่วยงานกลางที่มีความสำคัญที่สุดใน การจัดทำมาตรฐานนานาชาติ สำหรับประเทศต่างๆ ใช้ร่วมกัน OASIS - Organization for the Advancement of Structured Information Standards ทำหน้าที่กำหนดมาตรฐาน โดยเน้นมาตรฐาน เกี่ยวกับ e-Business ซึ่งส่วนใหญ่จะเป็นมาตรฐาน ของ XML และ Web Services CCITT - The International Telegraph and Telephone Consultative Committee กำหนดมาตรฐานเฉพาะด้านโทรคมนาคม เพราะเป็น องค์กรภายใต้ ITU (International Telecommunications Union) ของสหประชาชาติ ECMA - European Computer Manufacturers Association ทำหน้าที่พัฒนามาตรฐานเฉพาะด้าน ได้แก่ Information Communication Technology (ICT) และ Consumer Electronics (CE) องค์กรระดับชาติ สมอ. - สำนักงานมาตรฐาน ผลิตภัณฑ์อุตสาหกรรมของไทย ทำหน้าที่กำหนดมาตรฐานของประเทศ และเป็น สมาชิกของ ISO เพื่อทำหน้าที่รับรอง มาตรฐานสากลของ ISO ความร่วมมือภาคเอกชน OSF - Open Software Foundation มีผู้ประกอบการต่างๆ หลายสิบแห่งเป็นสมาชิก รวมทั้งยักษ์ใหญ่ IBM ,HP และ Digital กลุ่ม OSF มี อิทธิพลสำคัญต่อการกำหนดมาตรฐานผลิตภัณฑ์ แบบ'ระบบเปิด หน่วยงานหลายชาติ IEEE - Institute of Electrical and Electronic Engineers ทำหน้าที่พัฒนามาตรฐานเฉพาะด้านโดยเน้นเรื่อง telecommunications, information technology และ power generation
กระบวนการทั่วไปในการจัดทำมาตรฐาน Standard Specification Development Adopting Generate Compromise Merge Split Block Sabotage Switch Quit Adopt Switch Reject Wait Competing Specification Source: Interorganisational Standard, Physica-Verlag, A Springer Company
ลักษณะการประยุกต์ใช้มาตรฐานด้านไอที 1ST Strategic Level นำมาตรฐานมากำหนดเป็นนโยบายขององค์กร ลักษณะการประยุกต์ใช้มาตรฐานด้านไอที 2nd Employees Level กำหนดแนวทางปฏิบัติสำหรับบุคลากรในองค์กร โดยอ้างอิงมาตรฐานที่เกี่ยวข้อง 3rd IT Level ประยุกต์ใช้มาตรฐานที่เกี่ยวข้อง กับระบบสารสนเทศในองค์กร Source: Interorganisational Standard, Physica-Verlag, A Springer Company
ตัวอย่างกิจกรรมที่มีการประยุกต์ใช้มาตรฐานด้านไอที
มาตรฐานการรักษาความปลอดภัยที่เกี่ยวกับระบบไอที
มาตรฐานการรักษาความปลอดภัยต่างๆ ที่เกี่ยวกับระบบไอที 1. ข้อกำหนด ในการจัดทำระบบบริหารจัดการความมั่นคงปลอดภัย [ISO/IEC 27001] 2. แนวทางปฏิบัติ ในการบริหารจัดการความมั่นคงปลอดภัย [ISO/IEC 13335] 3. เทคนิคในการประเมิน ระบบในเรื่องของความปลอดภัย [ISO/IEC 15408] ที่มา : http://www.thaicert.nectec.or.th
1. ข้อกำหนด ในการจัดทำ ISMS [ISO/IEC 27001] ประกอบด้วยวงจร Plan-Do-Check-Act ว่าด้วยเรื่องข้อกำหนดในการจัดทำ ISMS โดยมีข้อกำหนดที่เกี่ยวข้อง ได้แก่ ISO/IEC27001 ISO/IEC17799-2005 ว่าด้วยเรื่อง วิธีการปฏิบัติ ที่จะนำไปสู่ ISMS โดยต้องเป็นไปตามข้อกำหนดของ ISO/IEC27001 ซึ่งมีหัวข้อสำคัญ ดังนี้ Scope Terms and Definitions Structure of This Standard Rick Assessment and Treatment ISMS: ระบบบริหารจัดการความมั่นคงปลอดภัย ที่มา : http://www.thaicert.nectec.or.th/
2. แนวทางปฏิบัติ ในการบริหารจัดการความมั่นคงปลอดภัย [ISO/IEC13335] มีการวางโครงร่างและแนวคิดด้าน Security ทั้งรูปแบบสารสนเทศ และเทคโนโลยีที่ใช่ในการติดต่อสื่อสาร การนำไปปฏิบัติและบริหารจัดการ ต้องทำด้วยวิธีการที่เหมาะสม ผู้จัดทำระบบระบบไอที ต้องจัดการเทคนิดสำหรับบริหารจัดการด้าน Security ให้ ต้องให้แนวทางปฏิบัติสำหรับการเลือกวิธีการรักษาความปลอดภัย ซึ่งพิจารณาจากประเภทของระบบไอทีนั้นๆ ต้องมีระบบรักษาความปลอดภัยด้านเครือข่าย กรณีที่ระบบมีการร สื่อสารผ่านเครือข่าย ที่มา : http://www.thaicert.nectec.or.th/
3. เทคนิคในการประเมิน ระบบในเรื่องของความปลอดภัย [ISO/IEC 15408] เป็นเกณฑ์กลางในการวัดระดับความมั่นคงปลอดภัยของระบบ โดยได้พัฒนามาจากมาตรฐานกลางต่างๆ ของกลุ่มความร่วมมือ ISO/IEC JTC1 ที่มา : http://www.thaicert.nectec.or.th/
การรับรองคุณภาพ ผลิตภัณฑ์คอมพิวเตอร์
การรับรองคุณภาพผลิตภันฑ์คอมพิวเตอร์ เนคเทค ร่วมกับ สมอ. ในการพัฒนามาตรฐาน และขบวนการ รับรองคุณภาพผลิตภัณฑ์คอมพิวเตอร์ให้เป็นที่ยอมรับใน ระดับสากล โดยมีขั้นตอนการประเมินคุณภาพ คือ คุณภาพผู้ผลิตคอมพิวเตอร์ ยึดหลักการระบบ มาตรฐาน มอก.9000 (ISO9000) หรือ TFQS คุณภาพคอมพิวเตอร์ แบ่งเป็นการทดสอบ 3 ประเภท ดังนี้ ทดสอบประสิทธิภาพและความคงทนทางด้านการใช้งาน ตามข้อกำหนดของเนคเทค ทดสอบ มอก. 1561-2542 มาตรฐานความปลอดภัยของ บริภัณฑ์เทคโนโลยีสารสนเทศ ทดสอบ มอก. 1956-2548 มาตรฐานขีดจำกัดสัญญาณ รบกวนวิทยุของบริภัณฑ์เทคโนโลยีสารสนเทศ
วิธีการตรวจข้อกำหนดของ เครื่องคอมพิวเตอร์ส่วนบุคคล ตัว อย่าง วิธีการตรวจข้อกำหนดของ เครื่องคอมพิวเตอร์ส่วนบุคคล ใช้โปรแกรมตรวจ คู่มือ ลักษณะภายนอก หน่วยประมวลผลกลาง แผงวงจรหลัก การ์ดจอภาพ จอภาพ การ์ดเสียง การ์ดโมเด็ม CPU Chipset Main Board Memory VGA Card Sound Card Modem Card Network Card Intel Processor Identification Utility AMD CPU Information WCPUID CPU-Z ไบออส ระบบฮาร์ดแวร์ ระบบปฏิบัติการ HWiNFO32 SiSoftware Sandra Standard
ศูนย์ทดสอบผลิตภัณฑ์ไฟฟ้าและอิเล็กทรอนิกส์ (ศทอ.)
ขอบเขตการให้บริการของ ศทอ. ให้บริการปรึกษา วิเคราะห์ ทดสอบและสอบเทียบ คุณภาพในระบบการให้บริการทดสอบทางด้านความเข้ากันได้ทางแม่เหล็กไฟฟ้าโดยอ้างอิงมาตรฐาน ISO/IEC17025 ขอบเขตการให้บริการ ทดสอบทางด้าน EMC ทดสอบบริภัณฑ์ด้านความปลอดภัย สำรวจสภาวะแวดล้อม ทางคลื่นแม่เหล็กไฟฟ้า
มาตรฐานรูปแบบเอกสารอิเล็กทรอนิกส์
กฏหมายว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ หนังสือ (มาตรา 8) การบังคับใช้กฎหมายในส่วนของ การทำธุรกรรมทางอิเล็กทรอนิกส์ภาครัฐ แนวนโยบายและแนวปฏิบัติในการรักษาความ มั่นคงปลอดภัยของระบบสารสนเทศของ หน่วยงานภาครัฐ แนวนโยบายและแนวปฏิบัติในการคุ้มครอง ข้อมูลส่วนบุคคลของหน่วยงานภาครัฐ ลายมือชื่อ อิเล็กทรอนิกส์ (มาตรา 9) ต้นฉบับ (มาตรา 10) พยานหลักฐานอิเล็กทรอนิกส์ & การชั่งน้ำหนักพยานหลักฐาน (มาตรา 11) การเก็บรักษาเอกสาร อิเล็กทรอนิกส์ (มาตรา 12)
การปรับปรุงกฎหมายว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ สาระสำคัญของการปรับปรุงกฎหมาย หนังสือ (มาตรา 8) การชำระเงินแทนการปิดอากรแสตมป์ &การปิดอากรแสตมป์ด้วยวิธีการทางอิเล็กทรอนิกส์ การประทับตราสำคัญด้วยวิธีการทางอิเล็กทรอนิกส์/ลงลายมือชื่ออิเล็กทรอนิกส์ที่เชื่อถือได้ ลายมือชื่อ อิเล็กทรอนิกส์ (มาตรา 9) แนวทางการรับฟังพยานหลักฐานหรือ ผลทางกฎหมายของลายมือชื่ออิเล็กทรอนิกส์ ในความหมายแบบกว้าง ต้นฉบับ (มาตรา 10) ให้ถือว่า Print Out เป็นต้นฉบับได้ หากมีข้อความถูกต้องตรงกับเมื่อข้อความนั้นสร้างเสร็จสมบูรณ์ พยานหลักฐาน อิเล็กทรอนิกส์ & การชั่งน้ำหนัก พยานหลักฐาน (มาตรา 11) ให้ศาลออกข้อกำหนดได้ (มีบทสันนิษฐาน & ความน่าเชื่อถือที่กำหนดเป็นกรอบไว้ให้ใช้อ้างอิงได้ในมาตราต่างๆ) การเก็บรักษาเอกสาร อิเล็กทรอนิกส์ (มาตรา 12) รองรับการการเก็บรักษาเอกสารในรูปดิจิทัลอิมเมจ และไมโครฟิล์มและ ให้คณะกรรมการมีอำนาจออกประกาศแนวปฏิบัติเกี่ยวกับการเก็บรักษาเอกสารในรูปดิจิทัลอิมเมจ และการทำลายเอกสาร
รูปแบบของเอกสารอิเล็กทรอนิกส์ สามารถแบ่งลักษณะของเอกสารอิเล็กทรอนิกส์ ดังนี้ ไฟล์ข้อความ (Text) Text file หรือ Plain text เช่น ASCII, Unicode (.txt, .utx (for Unicode)) ,TeX (.tex) ,RTF - Rich Text Format ไฟล์เอกสาร (Document) ไฟล์เอกสารตารางคำนวณ (Spread sheet) ไฟล์รูปภาพ (Image) ไฟล์สำหรับงานนำเสนอ (Presentation) เว็บเพจ (Webpage) e-Mail
มาตรฐานรูปแบบเอกสาร (ที่สร้างด้วยวิธีการทางอิเล็กทรอนิกส์ตั้งแต่ต้น) มาตรฐานรูปแบบเอกสาร (ที่สร้างด้วยวิธีการทางอิเล็กทรอนิกส์ตั้งแต่ต้น) ในเบื้องกำหนดให้ใช้ PDF (Portable Document Format) โดยอ้างอิงตามมาตรฐาน ISO/DIS 19005-1: Document management — Electronic document file format for long-term preservation — Part 1: Use of PDF 1.4 (PDF/A-1) ISO 690-2: Information and documentation -- Bibliographic references -- Part 2: Electronic documents or parts thereof ในการดำเนินงานต่อไป จะมีการกำหนดมาตรฐานเอกสาร อิเล็กทรอนิกส์ในรูปแบบอื่น โดยคำนึงถึงความปลอดภัย ของข้อมูล และการนำกลับมาใช้ในอนาคต
Open Standards
มาตรฐานเปิด คืออะไร? การมีทางเลือกและอิสระ ซึ่งมาตรฐานเปิดต้องมีคุณสมบัติ 6 ด้าน คือ ต้องไม่อยู่ภายใต้การควบคุมหรือผูกขาดโดยผู้หนึ่งผู้ใด มีกระบวนการสร้างมาตรฐานที่เปิดเผย โปร่งใส ทำงานได้อิสระบนระบบปฏิบัติการหลายระบบได้ เป็นมาตรฐานที่เปิดเผย และหานำมาอ่านได้ทั่วไป นำมาพัฒนาใช้งานโดยไม่ต้องเสียค่าใบอนุญาต หรือมีค่าใช้จ่ายน้อยมากๆ เป็นมาตรฐานที่ผู้มีส่วนร่วมส่วนใหญ่ให้การรับรอง ทั้งนี้ ไม่จำเป็นใดๆที่จะต้องเป็นมาตรฐานที่รัฐบาลรับรอง
ตัวอย่างมาตรฐานเปิดที่เราใช้อยู่ JPEG file format HTML (W3C) TCP/IP (Internet) JAVA Unicode, ISO10646 Posix มอก. 620, มอก.820 MPEG, MP3, MP4 Joint Photographic Expert Group CERN WWW Consortium (W3C) Internet Engineering Taskforce (IETF) เริ่มที่ Sun Microsystems เวทีสาธารณะ ISO สำนักงานมาตรฐานผลิตภัณฑ์อุตสาหกรรม Motion Picture Expert Group หมายเหตุ PDF GIF DOC PPT XLS ยังถือกันว่าไม่เป็นมาตรฐานเปิด (PDF เป็นที่ยอมรับในวงกว้างเพราะแจกโปรแกรมฟรี)
Open Source ทำให้เกิดการใช้ Open Standards ในวงกว้าง Source: RoadMap For Open ICT Ecosystems Berkman Center for Internet and Society, Harvard Law School
Distinguishing Open Standards from Open Source Open source software should be clearly distinguished from open standards. Open standards can be implemented by both proprietary and open source software. Availability of source code does not make an open standard. The marketplace provides the best evidence of the successful adoption of a standard. Source: Technology Standards & Interoperability – Why We Should Care About Them Business Software Alliance, February 2006
Open vs Proprietary Standards Open Standards ODF, Free and Open Source Software TCP/IP, HTTP, SSL, SMTP, MIME, W3C, IMAP, LDAP, XML, Unicode, SQL, UDDI, SOAP, JPEG, MPEG, ISO 3166, IEEE802.1X Open XML Java, PDF Commercial Software ZIP, GIF .DOC, .PPT Proprietary Standards
การพัฒนา ICT ด้วยมาตรฐานเปิด มาตรฐานเปิด คือแหล่งเรียนรู้ด้านเทคโนโลยีที่สำคัญ การคิด และต่อเติมให้เกิด นวัตกรรม (innovation) การพัฒนาโดยการต่อยอด ก่อให้เกิด การร่วมแรงร่วมใจ (collaboration) การทำงานเป็นทีมหรือหลายทีม ตามมาตรฐานเดียวกัน ทำให้เกิด Interoperability โครงการ Open Source ช่วยให้มีการพัฒนาที่เร็วขึ้น
ระบบนิเวศทาง ICT (ICT Ecosystem) ในระบบนิเวศ มีทั้งของดีและของไม่ดี มีทั้งถนนเปิด และ บ้านที่ปิดมิดชิด ระบบนิเวศที่ดี คือทุกคนอยู่ร่วมกันได้อย่างมีความสุข ไม่มี ผู้ใดปล่อยมลภาวะออกมาให้ผู้อื่นเดือดร้อน หรือเกิดโรค ระบาด
มาตรฐานเปิดนำไปสู่ ICT Ecosystem ต้องทำงานร่วมกันได้ (Interoperable) คิดจากผู้ใช้เป็นศูนย์กลาง (User-Centric) สร้างความร่วมมือ (Collaborative) ยั่งยืน (Sustainable) ปรับดัวได้ (Flexible) Interoperable allowing, through open standards, the exchange, reuse, interchangeability and interpretation of data across diverse architectures. User-Centric prioritizing services full ling user requirements over perceived hardware or software constraints. Collaborative permitting governments, industry, and other stakeholders to create, grow and reform communities of interested parties that can leverage strengths, solve common problems, innovate and build upon existing efforts. Sustainable maintaining balance and resiliency while addressing organizational, technical, financial and legal issues in a manner that allows an ecosystem to thrive and evolve. Flexible adapting seamlessly and quickly to new information, technologies, protocols and relationships while integrating them as warranted into market-making and government processes.
Thank you for your attention. http://www.nectec.or.th/ http://www.nstda.or.th/ Electronic * Computing * Telecommunication * Information NECTEC is the founder of ThaiSarn, Software Park, Internet Thailand, SchoolNet, ThaiCERT, PTEC, TMEC, HAII and GITS 38