ไทย
ค้นหา

คลังความรู้

ISO/IEC 42001:2023 คืออะไร?

ISO/IEC 42001:2023 เป็นมาตรฐานสากลสำหรับการจัดการเทคโนโลยีปัญญาประดิษฐ์ (AI) อย่างเหมาะสม

มาตรฐานได้กำหนดกรอบกระบวนการ และมาตรการเพื่อใช้ในการจัดการกับ AI ช่วยให้องค์กรต่าง ๆ สามารถจัดการกับ AI ได้อย่างเป็นระบบและลดความเสี่ยงที่เกี่ยวกับ AI โดยสามารถใช้ได้กับทั้งองค์กรที่มีบทบาทเป็นผู้พัฒนา ผู้ให้บริการ หรือผู้ใช้ AI

องค์กรที่ควรทำ

องค์กรที่เป็นผู้พัฒนาระบบ AI : องค์กรที่พัฒนาระบบ AI หรือให้บริการโดยอาศัยระบบ AI จะได้รับประโยชน์จากระบบ AI ที่พัฒนาให้มีความน่าเชื่อถือ ความโปร่งใส และมีประสิทธิภาพ

องค์กรที่ใช้ AI ในกระบวนการทำงาน : องค์กรที่มีการใช้เทคโนโลยี AI ในการดำเนินงาน จะได้รับประโยชน์จากการการใช้ AI อย่างเหมาะสมและปลอดภัย

องค์กรที่ต้องการสร้างความน่าเชื่อถือ : องค์กรที่ต้องการสร้างความไว้วางใจและความน่าเชื่อถือในสายตาของลูกค้าและผู้มีส่วนได้เสีย จะได้รับประโยชน์จากการได้รับการรับรองมาตรฐานสากล

องค์กรที่ต้องการปฏิบัติตามกฎหมายและข้อกำหนด : องค์กรที่ต้องการปฏิบัติตามกฎหมายและข้อกำหนดที่เกี่ยวข้องกับการใช้ AI และการปกป้องข้อมูล จะได้รับประโยชน์จากการปฏิบัติตามมาตรฐานนี้

หลักเกณฑ์การรักษาความมั่นคงปลอดภัยระบบ AI

Cyber Security Agency (CSA) ของสิงคโปร์ประกาศเผยแพร่ eBook 

หน่วยงาน Cyber Security Agency (CSA) ของสิงคโปร์จึงได้จัดทำ “หลักเกณฑ์การรักษาความมั่นคงปลอดภัยระบบปัญญาประดิษฐ์ (Guidelines on Securing AI Systems)” เพื่อช่วยให้สามารถรักษาความมั่นคงปลอดภัยในการพัฒนาและใช้งาน AI รวมถึงปกป้องระบบ AI จากความเสี่ยงด้านต่าง ๆ โดยคู่มือฉบับนี้ยังมีการอ้างถึงกรอบการทำงานและมาตรฐานอื่นๆ ด้วย 

มาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ของระบบคลาวด์

คณะกรรมการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติได้ ออกประกาศเกี่ยวกับมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ของระบบคลาวด์

สำหรับผู้ที่เกี่ยวข้องโดยตรงทั้งในนมุมของผู้ใช้บริการคลาวด์ (Cloud Service Customer: CSC) และ ผู้ให้บริการคลาวด์ (Cloud Service Provider : CSP) โดยมีการกำหนดเกี่ยวกับความเสี่ยงเป็น 3 ระดับให้เกิดความสอดคล้องกับความเสี่ยง รวมไปถึงการติดตามประเมินมาตรฐานอย่างต่อเนื่องด้วย ทั้งนี้ Requirement แบ่งออกเป็น 2 มุมมองคือ

  • Cloud Security Governance – นโยบาย โครงสร้างองค์กร และ ระเบียบข้อบังคับ
  • Cloud Infrastructure Security and Operation – ดูเรื่องบุคคล ทรัพยสิน การเข้าถึง การเข้ารหัส ความปลอดภัยเชิงกายภาพ การปฏิบัติการ 

การระบุรายละเอียดในหน้าที่ของผู้ให้บริการคลาวด์และผู้ใช้บริการ สำหรับผู้สนใจติดตามเพิ่มเติมได้ที่ https://ratchakitcha.soc.go.th/documents/43184.pdf

เปิดตัว 3 มาตรฐานการเข้ารหัสความปลอดภัยใหม่

NIST ประกาศเปิดตัว 3 มาตรฐานการเข้ารหัสความปลอดภัยใหม่สำหรับ Post-quantum cryptography

NIST ได้ประกาศเปิดตัวมาตรฐาน PQC สามรายการ ดังนี้

  • FIPS 203: พัฒนาต่อยอดจากมาตรฐาน Kyber ซึ่งเป็นส่วนหนึ่งของโครงการ NIST Post-Quantum Cryptography Standardization มาตรฐานนี้ใช้ใน Key Agreement Protocol เช่น Transport Layer Security โดยรองรับ public key และ ciphertext ขนาดใหญ่
  • FIPS 204: ใช้มาตรฐานการเข้ารหัส Dilithium ซึ่งออกแบบมาสำหรับ Digital Signature มีความรวดเร็วในการทำ verification กับ signature และรองรับ public key ขนาดใหญ่
  • FIPS 205: พัฒนาต่อยอดจาก SHA-2 และ SHA-3 มีความแข็งแกร่งแม้ใช้ public key ขนาดเพียง 32 bytes แต่สามารถสร้าง Signature ขนาด 7 kilobyte ได้ มาตรฐานนี้เหมาะสำหรับงานบางประเภท เช่น Firmware update ที่ต้องการการ verification แบบรวดเร็ว
การใช้ SaaS อย่างมั่นคงปลอดภัย

ปัจจุบันองค์กรมีการใช้บริการ SaaS อย่างก้าวกระโดด อาจจะเป็นเพราะเรื่องค่าใช้จ่ายและต้องการ Scale ระบบงานภายใน 

ดังนั้นเรื่องความมั่นคงปลอดภัยจึงหลีกเลี่ยงไปได้ PROUD จึงขอนำเสนอแนวทางการปฏิบัติที่เหมาะสม โดยอาจจะลองนำไปปรับใช้กับการใช้ SaaS ขององค์กร ดังนี้

1. การใช้งาน MFA

เป็นการสร้างการป้องกันผู้ใช้งานให้ปลอดภัยมากขึ้น จากการที่ต้องมีการยืนยันตัวตนในหลาย ๆ มิติ 

2. การเข้ารหัสข้อมูล

การใช้งาน SaaS จะมีการเชื่อมโยงและโอนถ่ายข้อมูลอยู่ตลอด การเข้ารหัสข้อมูลจึงเป็นเรื่องสำคัญและควรปฏิบัติ รวมไปถึงข้อมูลที่เรามีการจัดเก็บไว้บนเครื่อง Local ด้วย

3. การใช้งาน CASB

เป็นเครื่องมือที่ช่วยเพิ่มความสามารถด้านความมั่นคงปลอดภัยให้มากขึ้นจากที่ SaaS มีการให้บริการอยู่แล้ว 

3 ส่วนนี้เป็นเรื่องพื้นฐานที่ควรจะดำเนินการรวมไปถึงการที่เราต้องเฝ้าระวัง ดูแลการใช้งาน SaaS อย่างเป็นประจำก็จะช่วยเสริมสร้างการใช้งานได้อย่างมีประสิทธิภาพมากขึ้นด้วย

มาตรฐาน HAIT (Hospital Accreditation Information Technology)

มาตรฐาน HAIT (Hospital Accreditation Information Technology) เป็นมาตรฐานที่พัฒนาโดยสมาคมเวชสารสนเทศไทย (TMI) 

ซึ่งมีอยู่ 4 Level มาตรฐาน HAIT เป็นเครื่องมือที่มีประสิทธิภาพสำหรับโรงพยาบาลที่ต้องการพัฒนาระบบ IT ให้มีประสิทธิภาพ ปลอดภัย และเชื่อถือได้ การนำมาตรฐาน HAIT มาใช้ ช่วยให้โรงพยาบาลยกระดับคุณภาพมาตรฐานการบริการด้านสุขภาพ และสร้างความพึงพอใจให้กับผู้ป่วย โรงพยาบาลที่ต้องการขอรับรองมาตรฐาน HAIT จะต้องผ่านการประเมินจากคณะผู้ประเมินของ TMI

โดย PROUD สามารถให้บริการคำปรึกษาเรื่องนี้ได้เป็นอย่างดี โดยสามารถติดต่อมาได้ที่ sales@proud-consulting.com

มาตรฐาน AI ที่เราควรตระหนัก

ปัจจุบัน AI ในประเทศไทยนั้นมีความตื่นตัวสูงมากและยิ่งความสามารถของ AI มีพัฒนาอย่างรวดเร็วด้วย

ถึงเวลาหรือยังที่เราจะต้องควบคุม โดยใช้มาตรฐานที่เกี่ยวข้องกับปัญญาประดิษฐ์ ทั้งที่เผยแพร่และใช้งานแล้วรวมถึงอยู่ระหว่างเตรียมเผยแพร่มากกว่า 20 มาตรฐาน ยกตัวอย่าง เช่น

- ISO/IEC 38507:2022 ซึ่งเป็นแนวทางการดำเนินงานหน่วยงานกำกับดูแลในการเปิดใช้งานและควบคุมการใช้ปัญญาประดิษฐ์ (AI) เพื่อให้แน่ใจว่าการใช้งานนั้นมีประสิทธิภาพ ประสิทธิผล และเป็นที่ยอมรับภายในองค์กร
- ISO/IEC TR 24368:2022 เป็นภาพรวม หลักการ กระบวนการ และวิธีการ เกี่ยวกับจริยธรรมของ AI (AI ethical) และข้อกังวลของสังคม (societal concerns) เช่น สิทธิมนุษยชน เสรีภาพ ความเป็นธรรม ไม่เลือกปฏิบัติของการใช้ระบบ AI
- ISO/IEC 42001:2022 ระบุข้อกำหนดและให้คำแนะนำสำหรับการสร้าง ดำเนินการ บำรุงรักษา และปรับปรุงระบบการจัดการ AI อย่างต่อเนื่องภายในบริบทขององค์กร ช่วยให้องค์กรพัฒนาหรือใช้ระบบ AI อย่างมีความรับผิดชอบในการบรรลุวัตถุประสงค์และปฏิบัติตามข้อกำหนดข้อบังคับ ภาระผูกพันและความคาดหวังที่เกี่ยวข้องกับผู้มีส่วนได้ส่วนเสีย

ในความเห็นของ PROUD การผลักดันการควบคุมหรือมาตรฐาน บางครั้งไม่จำเป็นต้องออกเป็นกฎหมาย อาจเป็นประกาศภาครัฐ หรือ แนวทางจากผู้ที่เกี่ยวข้องในเรื่องนั้น ๆ และที่สำคัญ คือ ต้องสร้างความตระหนัก ความเข้าใจให้กับประชาชน ผู้บริหารทั้งภาครัฐและเอกชน ให้เกิดการมีส่วนร่วมมากขึ้น สร้างการมีส่วนรวมและเกิดการควบคุมแบบ PUBLIC จะเหมาะสมกว่า

www.proud-consulting.com

sales@proud-consulting.com

AI อนาคตใหม่ของเทคโนโลยี

ตอนนี้ไม่นาจะมีท่านไหนไม่รู้จักเทคโนโลยี AI ซึ่งเริ่มเข้ามาในชีวิตประจำวันของเรามากขึ้น และเป็นองค์ประกอบที่สำคัญในการกำหนดอนาคต

ถ้าจะกล่าวถึงคำที่ตรงกับความหมายมากที่สุด คือ ปัญญาประดิษฐ์ หรือ การคิดและมีการตอบสนองออกมาอัตโนมัติของระบบคอมพิวเตอร์ ตาม ISO/IEC 22989:2020 ได้ให้คำจำกัดความไว้ว่า "ความสามารถในการได้เรียนรู้ ประมวลผล สร้างสรรค และประยุกต์ใช้ความรู้ ที่จัดขึ้นในรูปแบบของแบบจำลอง เพื่อดำเนินงานที่ได้รับมอบหมายตั้งแต่หนึ่งงานขึ้นไป"

อย่างไรก็ดีองค์กรที่ให้ความสนใจในการบริหารจัดการ AI ภายในองค์กร เพื่อการจัดการกับความท้าทายที่เกี่ยวข้องกับการนำ AI ไปใช้งานในกรอบระบบการจัดการที่ได้กำหนดซึ่งครอบคลุมในด้านต่าง ๆ เช่น จริยธรรม ความรับผิดชอบ ความโปร่งใส และความเป็นส่วนตัวโดยมีแนวทางบูรณาการในการจัดการโครงการ AI ตั้งแต่การประเมินความเสี่ยงไปจนถึงการรักษาความเสี่ยงเหล่านี้อย่างมีประสิทธิผล สามารถนำระบบการบริหารจัดการ AI (ISO/IEC 42001:2023 - AIMS: Artificial Intelligence Management System) ซึ่งเป็นมาตรฐานระบบการจัดการ AI ฉบับแรกของโลกที่ตอบสนองความต้องการดังกล่าวมาประยุกต์ใช้ เพื่อเป็นแนวทางสำหรับความเป็นเลิศในการรับรองความมั่นคงปลอดภัยและสนับสนุนความยั่งยืนผ่านกลยุทธ์การบริหารจัดการความเสี่ยงได้

ถ้าสนใจการบริการด้านนี้ สามารถติดต่อทาง PROUD ได้ตลอดครับ 

www.proud-consulting.com

sales@proud-consulting.com

วิธีป้องกันข้อมูลส่วนบุคคล

ทุกวันนี้เราใช้อินเทอร์เน็ตในชีวิตประจำวันมากขึ้น ซึ่งในการใช้งานหรือเข้าถึงบริการต่าง ๆ บนอินเทอร์เน็ตนั้น

จำเป็นต้องเปิดเผย ข้อมูลส่วนบุคคล การปกป้องความเป็นส่วนตัวของข้อมูลส่วนบุคคลเป็นเรื่องสำคัญที่ควรใส่ใจ

วิธีที่สามารถช่วยปกป้องความเป็นส่วนตัวของข้อมูลส่วนบุคคลของเราได้ มีอะไรบ้างไปดูกันเลยย !!

1. การใช้รหัสผ่านที่แข็งแรง: ใช้รหัสผ่านที่คาดเดาได้ยาก โดยใช้ตัวอักษรตัวพิมพ์เล็กใหญ่รวมถึงตัวเลขและสัญลักษณ์พิเศษ และหลีกเลี่ยงการใช้รหัสผ่านที่ซ้ำกันกับบัญชีอื่นๆ และหมั่นเปลี่ยนรหัสผ่านบ่อยๆ

2. การอัปเดตและป้องกันซอฟต์แวร์: อัปเดตซอฟต์แวร์และแอปพลิเคชันอย่างสม่ำเสมอ 

3. การใช้งานเครือข่ายที่ปลอดภัย: ใช้เครือข่ายที่มีการป้องกันและการเข้ารหัสข้อมูลอย่างเหมาะสม เช่นเชื่อมต่อผ่าน Wi-Fi ที่มีการเข้ารหัสแบบ WPA2 หรือ WPA3 หลีกเหลี่ยง WI-FI สาธารณะ: เพราะเราไม่สามารถรู้ได้ว่าเครือข่าย Wi-Fi สาธารณะปลอดภัยจริงหรือไม่ 

4. การตรวจสอบการตั้งค่าความเป็นส่วนตัวในสื่อต่างๆ: ปรับแต่งการตั้งค่าความเป็นส่วนตัวในโซเชียลมีเดีย แอปพลิเคชัน และบราวเซอร์ เพื่อความเป็นส่วนตัวที่ดียิ่งขึ้น

5. การศึกษาและการอบรม: ทำความเข้าใจเกี่ยวกับความเสี่ยงที่เกี่ยวข้องกับความเป็นส่วนตัวของข้อมูลส่วนบุคคล และการอบรมให้ความรู้ในการปกป้องความเป็นส่วนตัวอย่างเหมาะสม

การปกป้องความเป็นส่วนตัวไม่ได้แค่เรื่องของเครื่องมือเท่านั้น ดังนั้นเราต้องใช้งานอินเทอร์เน็ตอย่างมีสติ รู้เท่าทันและระมัดระวัง

www.proud-consulting.com

sales@proud-consulting.com

ITSM คืออะไรและสำคัญอย่างไรต่อองค์กร?

ITSM (IT Service Management) คือ การบริหารจัดการทางด้านการบริการเทคโนโลยีสารสนเทศ เพื่อสนับสนุนการบริการด้านความต้องการและเป้าหมายทางธุรกิจ

ITSM นั้นมี Framework และมาตรฐานหลายแบบที่สามารถนำไปใช้สร้างกระบวนการด้านการบริการ IT เช่น IT Infrastructure Library (ITIL) , ISO/IEC 20000, COBIT และ TOGAF (The Open Group Architecture Framework) เป็นต้น โดย ITSM มีความสำคัญต่อองค์กรเป็นอย่างมาก ได้แก่ 

- ปรับปรุงคุณภาพการให้บริการให้ดีและเป็นระบบมากยิ่งขึ้น

- ปรับปรุงความพึงพอใจของลูกค้าและพนักงานภายในองค์กร

- เป็นระบบที่มีบริการที่สอดคล้องกับความต้องการทางธุรกิจ

- สามารถรวบรวมกระบวนการทํางานต่าง ๆ เข้ามาด้วยกันเพื่อการบริการหรือบริหารจัดการได้สะดวกยิ่งขึ้น

- พนักงานภายในองค์กรสามารถเข้าใจบทบาทหน้าที่และตระหนักรู้เกี่ยวกับการให้บริการที่ตนเองรับผิดชอบได้

- สามารถติดตามงานได้สะดวกและรวดเร็วมากยิ่งขึ้น