คลังความรู้

ในอุตสาหกรรมยานยนต์ก็มีมาตรฐานฉบับหนึ่งที่ถูกกำหนดขึ้นจากทางฝั่งยุโรป เป็นมาตรฐานที่ให้ความสำคัญกับข้อมูล

มาตรฐานนั้นคือ TISAX (Trusted Information Security Assessment Exchange) เป็นมาตรฐานสำหรับการประเมินความมั่นคงปลอดภัยในการแลกเปลี่ยนและดูแลข้อมูลระหว่างบริษัทเจ้าของข้อมูล และบริษัทคู่ค้า มาตรฐานฉบับนี้ถูกพัฒนาขึ้นจากความร่วมมือของ VDA (German Association of the Automotive Industry) และ ENX (Association of European Vehicle Manufacturers)

TISAX มีความแตกต่างจาก ISO/IEC 27001 อยู่ เนื่องจาก TISAX ให้ความสำคัญกับหลักการ Maturity base โดยมาตรฐาน TISAX ประกอบด้วยหัวข้อหลัก 3 หัวข้อดังต่อไปนี้

1. Information Security: ความมั่นคงปลอดภัยข้อมูลสารสนเทศ

2. Prototype Protection: การปกป้องข้อมูลยานยนต์ต้นแบบ

3. Data Protection: การปกป้องข้อมูลส่วนบุคคล

อีกทั้งการตรวจประเมินถูกแบ่งออกเป็น 3 ระดับ โดยสามารถสรุปใจความสำคัญดังต่อไปนี้

• Assessment level 1 (AL 1) เป็นการประเมินตนเองของบริษัท ไม่มีการส่งหลักฐานหรือการสัมภาษณ์จากผู้ตรวจสอบภายนอก
• Assessment level 2 (AL2) เป็นการตรวจประเมินโดยผู้ตรวจสอบภายนอกที่ได้รับการรับรองผ่านทางออนไลน์ และมีการนำส่งหลักฐานให้กับผู้ตรวจสอบภายนอกเพื่อประเมิน
• Assessment level 3 (AL3) เป็นการตรวจทั้งหลักฐานและการสัมภาษณ์ โดยผู้ตรวจสอบภายนอกที่ได้รับการรับรอง ซึ่งจะเป็นการตรวจในรูปแบบ On-site หรือการตรวจที่สถานที่ปฏิบัติงานจริง

สอบถามรายละเอียดบริการที่ปรึกษาหรือตรวจประเมินระดับความสอดคล้องหรือบริการอื่น ๆ

ท่านสามารถติดต่อทีม Sales ได้ที่เบอร์ 092-477-7832 หรืออีเมล sales@proud-consulting.com

ทุก ๆ ปีทาง GARTNER จะออกข้อมูล Technology trend เพื่อให้องค์กรใช้เป็นข้อมูลในการวางแผนในอนาคต

ISO/IEC 42001:2023 เป็นมาตรฐานสากลสำหรับการจัดการเทคโนโลยีปัญญาประดิษฐ์ (AI) อย่างเหมาะสม

มาตรฐานได้กำหนดกรอบกระบวนการ และมาตรการเพื่อใช้ในการจัดการกับ AI ช่วยให้องค์กรต่าง ๆ สามารถจัดการกับ AI ได้อย่างเป็นระบบและลดความเสี่ยงที่เกี่ยวกับ AI โดยสามารถใช้ได้กับทั้งองค์กรที่มีบทบาทเป็นผู้พัฒนา ผู้ให้บริการ หรือผู้ใช้ AI

องค์กรที่ควรทำ

องค์กรที่เป็นผู้พัฒนาระบบ AI : องค์กรที่พัฒนาระบบ AI หรือให้บริการโดยอาศัยระบบ AI จะได้รับประโยชน์จากระบบ AI ที่พัฒนาให้มีความน่าเชื่อถือ ความโปร่งใส และมีประสิทธิภาพ

องค์กรที่ใช้ AI ในกระบวนการทำงาน : องค์กรที่มีการใช้เทคโนโลยี AI ในการดำเนินงาน จะได้รับประโยชน์จากการการใช้ AI อย่างเหมาะสมและปลอดภัย

องค์กรที่ต้องการสร้างความน่าเชื่อถือ : องค์กรที่ต้องการสร้างความไว้วางใจและความน่าเชื่อถือในสายตาของลูกค้าและผู้มีส่วนได้เสีย จะได้รับประโยชน์จากการได้รับการรับรองมาตรฐานสากล

องค์กรที่ต้องการปฏิบัติตามกฎหมายและข้อกำหนด : องค์กรที่ต้องการปฏิบัติตามกฎหมายและข้อกำหนดที่เกี่ยวข้องกับการใช้ AI และการปกป้องข้อมูล จะได้รับประโยชน์จากการปฏิบัติตามมาตรฐานนี้

Cyber Security Agency (CSA) ของสิงคโปร์ประกาศเผยแพร่ eBook 

คณะกรรมการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติได้ ออกประกาศเกี่ยวกับมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ของระบบคลาวด์

สำหรับผู้ที่เกี่ยวข้องโดยตรงทั้งในนมุมของผู้ใช้บริการคลาวด์ (Cloud Service Customer: CSC) และ ผู้ให้บริการคลาวด์ (Cloud Service Provider : CSP) โดยมีการกำหนดเกี่ยวกับความเสี่ยงเป็น 3 ระดับให้เกิดความสอดคล้องกับความเสี่ยง รวมไปถึงการติดตามประเมินมาตรฐานอย่างต่อเนื่องด้วย ทั้งนี้ Requirement แบ่งออกเป็น 2 มุมมองคือ

• Cloud Security Governance – นโยบาย โครงสร้างองค์กร และ ระเบียบข้อบังคับ
• Cloud Infrastructure Security and Operation – ดูเรื่องบุคคล ทรัพยสิน การเข้าถึง การเข้ารหัส ความปลอดภัยเชิงกายภาพ การปฏิบัติการ 

NIST ประกาศเปิดตัว 3 มาตรฐานการเข้ารหัสความปลอดภัยใหม่สำหรับ Post-quantum cryptography

NIST ได้ประกาศเปิดตัวมาตรฐาน PQC สามรายการ ดังนี้

• FIPS 203: พัฒนาต่อยอดจากมาตรฐาน Kyber ซึ่งเป็นส่วนหนึ่งของโครงการ NIST Post-Quantum Cryptography Standardization มาตรฐานนี้ใช้ใน Key Agreement Protocol เช่น Transport Layer Security โดยรองรับ public key และ ciphertext ขนาดใหญ่
• FIPS 204: ใช้มาตรฐานการเข้ารหัส Dilithium ซึ่งออกแบบมาสำหรับ Digital Signature มีความรวดเร็วในการทำ verification กับ signature และรองรับ public key ขนาดใหญ่
• FIPS 205: พัฒนาต่อยอดจาก SHA-2 และ SHA-3 มีความแข็งแกร่งแม้ใช้ public key ขนาดเพียง 32 bytes แต่สามารถสร้าง Signature ขนาด 7 kilobyte ได้ มาตรฐานนี้เหมาะสำหรับงานบางประเภท เช่น Firmware update ที่ต้องการการ verification แบบรวดเร็ว

ปัจจุบันองค์กรมีการใช้บริการ SaaS อย่างก้าวกระโดด อาจจะเป็นเพราะเรื่องค่าใช้จ่ายและต้องการ Scale ระบบงานภายใน 

ดังนั้นเรื่องความมั่นคงปลอดภัยจึงหลีกเลี่ยงไปได้ PROUD จึงขอนำเสนอแนวทางการปฏิบัติที่เหมาะสม โดยอาจจะลองนำไปปรับใช้กับการใช้ SaaS ขององค์กร ดังนี้

1. การใช้งาน MFA

เป็นการสร้างการป้องกันผู้ใช้งานให้ปลอดภัยมากขึ้น จากการที่ต้องมีการยืนยันตัวตนในหลาย ๆ มิติ 

2. การเข้ารหัสข้อมูล

การใช้งาน SaaS จะมีการเชื่อมโยงและโอนถ่ายข้อมูลอยู่ตลอด การเข้ารหัสข้อมูลจึงเป็นเรื่องสำคัญและควรปฏิบัติ รวมไปถึงข้อมูลที่เรามีการจัดเก็บไว้บนเครื่อง Local ด้วย

3. การใช้งาน CASB

เป็นเครื่องมือที่ช่วยเพิ่มความสามารถด้านความมั่นคงปลอดภัยให้มากขึ้นจากที่ SaaS มีการให้บริการอยู่แล้ว 

3 ส่วนนี้เป็นเรื่องพื้นฐานที่ควรจะดำเนินการรวมไปถึงการที่เราต้องเฝ้าระวัง ดูแลการใช้งาน SaaS อย่างเป็นประจำก็จะช่วยเสริมสร้างการใช้งานได้อย่างมีประสิทธิภาพมากขึ้นด้วย

มาตรฐาน HAIT (Hospital Accreditation Information Technology) เป็นมาตรฐานที่พัฒนาโดยสมาคมเวชสารสนเทศไทย (TMI) 

ซึ่งมีอยู่ 4 Level มาตรฐาน HAIT เป็นเครื่องมือที่มีประสิทธิภาพสำหรับโรงพยาบาลที่ต้องการพัฒนาระบบ IT ให้มีประสิทธิภาพ ปลอดภัย และเชื่อถือได้ การนำมาตรฐาน HAIT มาใช้ ช่วยให้โรงพยาบาลยกระดับคุณภาพมาตรฐานการบริการด้านสุขภาพ และสร้างความพึงพอใจให้กับผู้ป่วย โรงพยาบาลที่ต้องการขอรับรองมาตรฐาน HAIT จะต้องผ่านการประเมินจากคณะผู้ประเมินของ TMI

ปัจจุบัน AI ในประเทศไทยนั้นมีความตื่นตัวสูงมากและยิ่งความสามารถของ AI มีพัฒนาอย่างรวดเร็วด้วย

ถึงเวลาหรือยังที่เราจะต้องควบคุม โดยใช้มาตรฐานที่เกี่ยวข้องกับปัญญาประดิษฐ์ ทั้งที่เผยแพร่และใช้งานแล้วรวมถึงอยู่ระหว่างเตรียมเผยแพร่มากกว่า 20 มาตรฐาน ยกตัวอย่าง เช่น

ในความเห็นของ PROUD การผลักดันการควบคุมหรือมาตรฐาน บางครั้งไม่จำเป็นต้องออกเป็นกฎหมาย อาจเป็นประกาศภาครัฐ หรือ แนวทางจากผู้ที่เกี่ยวข้องในเรื่องนั้น ๆ และที่สำคัญ คือ ต้องสร้างความตระหนัก ความเข้าใจให้กับประชาชน ผู้บริหารทั้งภาครัฐและเอกชน ให้เกิดการมีส่วนร่วมมากขึ้น สร้างการมีส่วนรวมและเกิดการควบคุมแบบ PUBLIC จะเหมาะสมกว่า

ตอนนี้ไม่นาจะมีท่านไหนไม่รู้จักเทคโนโลยี AI ซึ่งเริ่มเข้ามาในชีวิตประจำวันของเรามากขึ้น และเป็นองค์ประกอบที่สำคัญในการกำหนดอนาคต