การดูแลรักษาความปลอดภัยบนโลกไซเบอร์เป็นสิ่งที่ไม่ควรวางใจเป็นอย่างยิ่งเพราะหากปล่อยให้เกิดช่องว่างเมื่อใด อาจนำองค์กรไปสู่ความเสียหายอย่างมหาศาล การรักษาความมั่นคงปลอดภัยทางไซเบอร์จึงมีความจำเป็นอย่างยิ่ง เนื่องจากสามารถช่วยปกป้องข้อมูลจากการจารกรรมและความเสียหายด้านข้อมูลต่าง ๆ ที่อาจเกิดขึ้นซึ่งรวมถึงข้อมูลอันละเอียดอ่อน ข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้ (Personally Identifiable Information: PII) ข้อมูลสุขภาพที่ได้รับการคุ้มครอง (Protected Health Information: PHI) ข้อมูลส่วนบุคคล ทรัพย์สินทางปัญญา ข้อมูล และระบบข้อมูลของทุกภาคส่วน
ยักษ์ใหญ่ด้านเทคโนโลยีสร้างความยืดหยุ่นบนโลกไซเบอร์ได้อย่างไร
ปัจจุบัน องค์กรไม่สามารถพึ่งพาโซลูชันความปลอดภัยทางไซเบอร์ที่พร้อมใช้งานอย่างซอฟต์แวร์ป้องกันไวรัสหรือไฟร์วอลล์เพียงอย่างเดียวอีกต่อไป อาชญากรไซเบอร์ฉลาดขึ้นและมีกลยุทธ์ที่ยืดหยุ่นมากขึ้นเมื่อเปรียบเทียบกับการป้องกันทางไซเบอร์ทั่วไป ดังนั้น การสร้างความมั่นใจในความปลอดภัยด้านไซเบอร์จะต้องครอบคลุมการรักษาความปลอดภัยทุกด้านบนโลกไซเบอร์
ถ้าเช่นนั้น เรามาดูกันว่าบริษัทชั้นนำด้านไอทีอย่าง Microsoft, Apple, Google, Intel และ IBM มีอะไรที่เหมือนกันบ้าง คำตอบคือ ทุกบริษัทต่างก็นำมาตรฐาน ISO/IEC 27001 ไปใช้งานเช่นเดียวกับบริษัททั่วโลกที่ติดอันดับ Fortune500 ซึ่งมาตรฐาน ISO/IEC 27001 ได้กลายเป็นมาตรฐานที่ได้รับการยอมรับว่าสามารถนำไปใช้จัดการระบบข้อมูลความปลอดภัยได้อย่างมีประสิทธิผล และช่วยให้องค์กรสามารถปรับตัวบนโลกไซเบอร์ได้อย่างมั่นใจ
ในการที่จะปกป้องทรัพย์สินข้อมูลที่สำคัญขององค์กรจากภัยคุกคามทางดิจิทัลและปิดช่องว่างต่างๆ องค์กรจำเป็นต้องปรับใช้ความคิดที่ยืดหยุ่นทางไซเบอร์ ซึ่งต้องถือว่าเป็นส่วนสำคัญ และไม่เพียงแต่กับระบบทางเทคนิคเท่านั้น แต่ยังรวมถึงทีม วัฒนธรรมองค์กร และการปฏิบัติงานประจำวันด้วย ในความเป็นจริง ผู้นำธุรกิจในปัจจุบันตระหนักถึงภัยคุกคามทางไซเบอร์มากกว่าปีก่อนๆ เป็นอย่างมาก จากรายงาน Global Security Outlook 2023 ของ World Economic Forum (WEF) พบว่า 91% ของผู้ตอบแบบสอบถามกล่าวว่าพวกเขาเชื่อว่าเหตุการณ์ทางไซเบอร์ที่ขยายวงกว้างและเป็นหายนะนั้นอย่างน้อยก็น่าจะเกิดขึ้นบ้างในอีก 2 ปีข้างหน้า
บริษัทต่างๆ ทั่วโลกได้ตอบสนองต่อแรงกดดันของภัยคุกคามทางดิจิทัลโดยการนำ ISO/IEC 27001 ไปใช้ มาตรฐานนี้เป็นมาตรฐานที่รู้จักกันดีที่สุดในโลกสำหรับระบบการจัดการความปลอดภัยของข้อมูล (Information Security Management Systems: ISMS) ซึ่งเป็นเอกสารชุดนโยบาย ขั้นตอน กระบวนการ และระบบที่จัดการความเสี่ยงของข้อมูลสูญหายจากการโจมตีทางไซเบอร์ การเจาะข้อมูล การรั่วไหลของข้อมูล หรือการโจรกรรม ดังนั้น องค์กรต่างๆ จำเป็นต้องปรับใช้กรอบความคิดที่ยืดหยุ่นต่อโลกไซเบอร์
ความยืดหยุ่นบนโลกไซเบอร์คืออะไร
ความยืดหยุ่นทางไซเบอร์คือความสามารถขององค์กรในการดำเนินการเมื่อเผชิญกับการโจมตีทางไซเบอร์หรือเหตุการณ์ทางไซเบอร์อื่นๆ ซึ่งเกี่ยวข้องกับการมีมาตรการทางเทคนิคและองค์กรที่จำเป็นเพื่อตรวจจับ ตอบสนอง และกู้คืนจากเหตุการณ์ดังกล่าว ตลอดจนความสามารถในการปรับตัวและเรียนรู้จากเหตุการณ์เหล่านั้นเพื่อปรับปรุงความยืดหยุ่นในอนาคต
อันเดรียส วูล์ฟ ซึ่งเป็นหัวหน้ากลุ่มผู้เชี่ยวชาญที่รับผิดชอบมาตรฐานความปลอดภัยด้านไอทีของ ISO/IEC กล่าวว่าความยืดหยุ่นทางไซเบอร์คือสิ่งที่เข้ามาแทนที่เมื่อมาตรการป้องกันความปลอดภัยหยุดชะงัก ซึ่งในเศรษฐกิจดิจิทัล ความสามารถในการก้าวข้ามการหยุดชะงักทางไซเบอร์จะสร้างความแตกต่างให้กับองค์กรชั้นนำที่สามารถเปลี่ยนความเปราะบางให้กลายเป็นความแข็งแกร่ง และมีความมั่นใจในการรับมือกับความเสี่ยงได้เป็นอย่างดี
อันเดรียส วูล์ฟ และทีมงานได้ร่วมรับผิดชอบในการพัฒนามาตรฐาน ISO/IEC 27001 ฉบับใหม่ที่ได้รับการปรับปรุงซึ่งเผยแพร่เมื่อเดือนตุลาคม 2565 (ค.ศ.2022) ทั้งนี้ เพื่อรับมือกับความท้าทายด้านความปลอดภัยด้านเทคโนโลยีสารสนเทศทั่วโลกและปรับปรุงความน่าเชื่อถือทางดิจิทัล ซึ่งเป็นประโยชน์กับองค์กรโดยสนับสนุนให้สามารถรักษาความปลอดภัยของข้อมูลทุกรูปแบบ พัฒนากรอบการทำงานที่มีการจัดการจากส่วนกลาง ลดการใช้จ่ายในเทคโนโลยีการป้องกันที่ไม่มีประสิทธิภาพ รวมทั้งปกป้องความสมบูรณ์ ความลับ และความพร้อมใช้งานของข้อมูล
มาตรฐานไอเอสโอและความปลอดภัยทางไซเบอร์
ความยืดหยุ่นไม่ได้หมายถึงการทำงานภายในองค์กรเท่านั้น แต่จะต้องนำไปใช้กับพันธมิตรบุคคลที่สามทั้งหมดและตลอดห่วงโซ่อุปทาน ดังนั้น สภาเศรษฐกิจโลก (WEF) จึงได้จัดพิมพ์ The Cyber Resilience Index (CRI): Advancing Organizational Cyber Resilience เพื่อให้มีการนำไปใช้เป็นกรอบอ้างอิงให้สามารถมองเห็นได้ชัดเจนและมีความโปร่งใสเกี่ยวกับแนวปฏิบัติด้านความยืดหยุ่นทางไซเบอร์ตลอดทั้งอุตสาหกรรม เพื่อนร่วมงาน และห่วงโซ่อุปทาน
CRI ช่วยให้ผู้นำทางไซเบอร์ทั้งภาครัฐและเอกชนมีกรอบแนวทางปฏิบัติที่ดีที่สุดร่วมกันสำหรับความยืดหยุ่นทางไซเบอร์อย่างแท้จริง ซึ่งเป็นกลไกในการวัดประสิทธิภาพขององค์กร และเป็นภาษาที่ชัดเจนในการสื่อสารคุณค่า และภายใต้หลักการของ CRI นั้น มีแนวทางปฏิบัติที่ตามมาและแนวทางปฏิบัติย่อยสำหรับความยืดหยุ่นทางไซเบอร์ที่ดีขององค์กรซึ่งก็คือการใช้กรอบความปลอดภัยซึ่งเป็นที่ยอมรับและเป็นมาตรฐานสากล เช่น ISO/IEC 27001 นั่นเอง
ที่มา:
เมื่อพูดถึงการทำธุรกรรมทางการเงิน ในเบื้องต้นจำเป็นจะต้องรู้ว่าใครเป็นใครและใครคือเจ้าของธุรกิจที่แท้จริงเพื่อให้มั่นใจในเรื่องของความโปร่งใสและความมั่นคงปลอดภัย ดังนั้น ธุรกิจจึงต้องใช้สิ่งที่เรียกว่า “รหัสยืนยันตัวตนทางกฎหมาย (Legal Entity identifier: LEI)” เพื่อการทำธุรกรรมอย่างปลอดภัย ซึ่งปัจจุบัน ไอเอสโอได้ปรับปรุงมาตรฐานบริการทางการเงินด้านรหัสยืนยันตัวตนทางกฎหมายแล้ว
โลกของเราได้ผ่านความท้าทายระดับโลกสำหรับวิกฤตทางการเงินที่เกี่ยวข้องกับการตรวจสอบธุรกรรมในระบบการเงินเมื่อปี 2551 (ค.ศ.2008) มาแล้ว การมีวิธีระบุรหัสยืนยันตัวตนทางกฎหมายได้ช่วยแก้ไขปัญหาเรื่องการขออนุญาตผู้ควบคุมกฎในระดับสากลเพื่อรวบรวมข้อมูลเกี่ยวกับการยืนยันตัวตนจากหลายแหล่งด้วยกัน
เพื่อแก้ไขปัญหาดังกล่าว กลุ่มประเทศ G20 ซึ่งก่อตั้งขึ้นเมื่อปี 2542 (ค.ศ.1999) เพื่อเป็นกรอบการหารืออย่างไม่เป็นทางการเพื่อสนองตอบต่อวิกฤตทางการเงิน ประกอบด้วยผู้แทนสหภาพยุโรปและอีก 19 ประเทศ จึงได้สร้างรหัสยืนยันตัวตนทางกฎหมายขึ้นมาเพื่อเชื่อมโยงไปยังข้อมูลที่สำคัญเพื่อทำธุรกรรมทางการเงินรวมไปถึงโครงสร้างที่แสดงความเป็นเจ้าของด้วย
วิธีในการสร้างรหัสเช่นนี้มีการระบุไว้ในมาตรฐาน ISO 17442 ซึ่งเพิ่งมีการปรับปรุงไปเมื่อไม่นานมานี้ แต่เดิมเป็นมาตรฐาน ISO 17442 เพียงฉบับเดียว ปัจจุบัน ได้ปรับปรุงเป็นมาตรฐาน 2 ฉบับได้แก่
เดวิด บรอดเวย์ ผู้ประสานงานกลุ่มผู้เชี่ยวชาญที่พัฒนามาตรฐานดังกล่าวระบุว่าพวกเขาได้ทำการทบทวนมาตรฐานนี้เพื่อสนับสนุนให้เกิดความชัดเจนและสะท้อนถึงนโยบายที่เปลี่ยนแปลงไปและบทเรียนที่ได้รับนับตั้งแต่มีการตีพิมพ์เผยแพร่ในครั้งแรก
นับตั้งแต่ ISO 17442 ได้มีการนำไปประยุกต์ใช้เป็นครั้งแรก ก็มีการคำนึงถึงนโยบายของชุมชนผู้ควบคุมกฎด้วย ดังนั้น จึงมีความสำคัญที่มาตรฐานจะต้องสะท้อนถึงสิ่งนี้ด้วย
การปรับปรุงมาตรฐานนั้นรวมถึงลักษณะเฉพาะที่เพิ่มเติมเข้ามาและการทบทวนที่เกี่ยวข้องกับคุณสมบัติในเรื่องสาขานิติบุคคลในระดับสากลรวมทั้งบันทึกข้อมูลรหัสยืนยันตัวตนทางกฎหมายที่เกี่ยวข้องบริษัทแม่และสถานะของนิติบุคคลด้วย
มาตรฐาน ISO 17442-1 และ ISO 17442-2 ได้รับการพัฒนาโดยกลุ่มงาน WG 4 ซึ่งปฏิบัติงานภายใต้คณะกรรมการวิชาการ ISO/TC 68, Financial services คณะอนุกรรมการ SC 8, Reference data for financial services ซึ่งมีเลขานุการคือ SNV ซึ่งเป็นสถาบันาตรฐานแห่งชาติของประเทศสวิตเซอร์แลนด์
ผู้สนใจมาตรฐานดังกล่าวสามารถศึกษาได้จากห้องสมุดสำนักงานมาตรฐานผลิตภัณฑ์อุตสาหกรรม (สมอ.) หรือสั่งซื้อได้จากเว็บไซต์ของไอเอสโอ ISO Store
ที่มา:
ปัจจุบัน “ทุนมนุษย์” ได้รับการกล่าวยอมรับว่าเป็นสินทรัพย์ที่มีค่าเป็นอย่างยิ่งสำหรับองค์กร และการลงทุนสำหรับทรัพยากรมนุษย์จึงเป็นหนึ่งในค่าใช้จ่ายขององค์กรที่มีมูลค่าสูง
สำหรับกลยุทธ์ด้านทรัพยากรบุคคลสามารถส่งผลกระทบต่อสมรรถนะขององค์กรได้หลายด้าน เช่น การเจริญเติบโตของธุรกิจ ผลประโยชน์สำหรับพนักงานและนายจ้าง และส่งผลต่อเศรษฐกิจโดยรวม เป็นต้น และด้วยการลงทุนไปกับแรงงานหรือทุนมนุษย์ก็ทำให้องค์กรมีค่าใช้จ่ายเพิ่มสูงขึ้นได้ถึง 70% ของค่าใช้จ่ายทั้งหมด ดังนั้น ผู้บริหารองค์กรจึงจำเป็นต้องทำให้กลยุทธ์นี้เป็นไปอย่างเหมาะสม
ระบบการจัดการและกระบวนการด้านทรัพยากรบุคคลมีความแตกต่างกันออกไปมากมายซึ่งมีเป้าหมายในการทำให้ผลตอบแทนจากการลงทุนไปกับทรัพยากรบุคคลเกิดประโยชน์สูงสุด ซึ่งในแต่ละธุรกิจและในแต่ละประเทศก็แตกต่างกันออกไป ทำให้ยากต่อการเปรียบเทียบอย่างแม่นยำในระดับสากล ด้วยเหตุนี้ มาตรฐานไอเอสโอฉบับใหม่จึงได้จัดทำแนวทางการรายงานเรื่องทุนมนุษย์ทั้งภายในและภายนอกองค์กรเพื่อให้เห็นภาพที่ชัดเจนของการมีส่วนร่วมที่แท้จริงของทุนมนุษย์ ซึ่งสามารถปรับใช้ได้กับองค์กรทุกประเภท ทุกขนาด อีกทั้งยังให้แนวทางสำหรับผู้ที่ปฏิบัติงานด้านทรัพยากรบุคคลเป็นหลักด้วย เช่น วัฒนธรรมองค์กร การสรรหา และการลาออก ผลผลิต สุขภาพและความปลอดภัย และความเป็นผู้นำ เป็นต้น
ดร.รอน แม็คคินลีย์ ประธานคณะกรรมการวิชาการที่พัฒนามาตรฐาน ISO 30414 – Human Resource Management – Guidelines for internal and external human capital reporting ระบุว่ามาตรฐานนี้จะช่วยส่งเสริมให้องค์กรได้รับความเข้าใจที่ดีขึ้นเกี่ยวกับผลกระทบต่อพนักงานและช่วยให้บุคลากรมีส่วนร่วมในความสำเร็จระยะยาวได้มากขึ้น
การรายงานทุนมนุษย์เป็นเรื่องเกี่ยวกับการคิดใหม่ในวิธีที่องค์กรควรทำความเข้าใจและประเมินคุณค่าขององค์กร รวมทั้งการทำให้มีข้อมูลมากขึ้นเพื่อใช้ในการตัดสินใจด้านการบริหารจัดการทรัพยากรบุคคล ยิ่งไปกว่านั้น การจัดเตรียมแนวทางสำคัญที่เกี่ยวข้องที่มีการจัดทำเป็นเมทริกซ์ที่ยอมรับกันในระดับสากล ทำให้บริษัทข้ามชาติสามารถถ่ายโอนข้อมูลทุนมนุษย์ได้ง่ายขึ้น สามารถควบคุมกิจกรรมด้านทรัพยากรบุคคลในระดับระหว่างประเทศได้ดีขึ้น และมีความโปร่งใสที่ดีขึ้นสำหรับผู้มีส่วนได้ส่วนเสียทั้งหมด
แต่มาตรฐานนี้ไม่ใช่มาตรฐานสำหรับบริษัทข้ามชาติเท่านั้น องค์กรทุกขนาด ไม่ว่าจะเป็นองค์กรขนาดเล็ก ขนาดกลาง หรือขนาดใหญ่สามารถนำไปใช้และได้รับประโยชน์จากความสามารถในการเลือกสิ่งที่เหมาะสมและเกี่ยวข้องกับองค์กรนั้นเอง
รัฐบาลและผู้กำหนดนโยบายก็ได้รับประโยชน์เช่นกันจากการได้รับความรู้ที่เพิ่มขึ้นจากการพัฒนาทรัพยากรทุนมนุษย์ในองค์กรของประเทศซึ่งมีความสำคัญต่อโครงการด้านตลาดแรงงานในประเทศซึ่งสามารถนำไปพิจารณาในเชิงนโยบายของประเทศได้
มาตรฐาน ISO 30414 ได้รับการพัฒนาโดยคณะกรรมการวิชาการไอเอสโอ ISO/TC 260, Human resource management ซึ่งมีเลขานุการคือ ANSI สถาบันมาตรฐานแห่งชาติของประเทศสหรัฐอเมริกา
ผู้สนใจสามารถศึกษาได้จากห้องสมุดสำนักงานมาตรฐานผลิตภัณฑ์อุตสาหกรรม (สมอ.) หรือสั่งซื้อได้จากเว็บไซต์ของไอเอสโอ ISO Store
ที่มา: https://www.iso.org/news/ref2357.html
ปัจจุบัน เอไอไม่ใช่เพียงนิยายวิทยาศาสตร์เหมือนที่เราเคยพบเห็นอีกต่อไป แต่เอไอได้กลายเป็นส่วนหนึ่งในชีวิตประจำวันของเราแล้ว เช่น ในโรงงานอุตสาหกรรม การขนส่ง และการแพทย์ ก็เป็นสิ่งที่เราพบเห็นอยู่ทั่วไป แต่จริงๆ แล้ว เอไอคืออะไรกันแน่ ทำไมเอไอต้องมีมาตรฐานสากล และอะไรคือมาตรฐานที่เกี่ยวข้องกับเอไอ
มีรายงานเมื่อเร็วๆ นี้ของสถาบันแม็คคินซีย์โกลบอลกล่าวถึงการลงทุนในเอไอว่ามีการเติบโตที่รวดเร็ว และได้คาดการณ์ว่าผู้นำด้านดิจิตอลอย่างกูเกิ้ลมีการใช้จ่ายระหว่าง 20 – 30 ล้านเหรียญสหรัฐเมื่อปี 2559 (ค.ศ.2016) โดยมีการกระจายการลงทุนไปกับการวิจัยและพัฒนาถึง 90% และเน้นด้านเอไออีก 10%
จากองค์กรความร่วมมือข้อมูลสากล (International Data Corporation: IDC) ระบุว่าภายในปีหน้า โครงการที่เกี่ยวข้องกับดิจิตอลทรานสฟอร์เมชั่นจะทำให้เกิดธุรกิจเอไอประเภทต่างๆ 40% และภายในปี 2564 (ค.ศ.2021) 75% ของแอพพลิเคชั่นธุรกิจจะมีการนำเอไอไปใช้โดยมีค่าใช้จ่ายสูงขึ้นประมาณ 52.2 พันล้านเหรียญสหรัฐ
ข้อมูลจากประธานคณะกรรมการวิชาการคณะใหม่ของไอเอสโอ ISO/IEC JTC1, Information technology, subcommittee SC 42, Artificial intelligence วิลเลียมกล่าวถึงคณะกรรมการวิชาการดังกล่าวว่าได้เริ่มต้นด้วยการพัฒนามาตรฐานพื้นฐานอย่างแนวคิดและคำศัพท์ (ISO/IEC 22989) ซึ่งเน้นถึงประโยชน์ของเอไอที่มีอยู่ค่อนข้างกว้างและเกี่ยวข้องกับผู้มีส่วนได้ส่วนเสียจำนวนมากเช่น Data Scientist, digital practitioners และองค์กรด้านกฎระเบียบ แต่ก็ยังมีช่องว่างของเอไออยู่ เช่น คนมีแนวโน้มที่จะคิดว่าเอไอเป็นหุ่นยนต์อัตโนมัติหรือคอมพิวเตอร์ที่สามารถเล่นเกมชนะเซียนหมากรุกได้ แต่เอไอเป็นได้มากกว่านั้น กล่าวคือ เป็นการรวบรวมเอาเทคโนโลยีที่สามารถทำให้นำเอาข้อมูลความรู้ที่รวบรวมไปใช้ในรูปแบบของสารสนเทศจากเครื่องจักรจนกระทั่งเกิดประสิทธิผล
วิลเลี่ยม ประธานคณะกรรมการวิชาการ ISO/IEC JTC 1 อธิบายว่าบ่อยครั้ง เอไอถูกมองว่าเป็นกลุ่มที่มีระบบจัดการด้วยตนเองแบบอัตโนมัติ ในระบบเอไอหลายระบบ การจัดการข้อมูลที่ดีจะมีการเตรียมการก่อนที่จะป้อนเจ้าสู่เครื่องจักรที่มาในรูปแบบของแมชชีนเลิร์นนิ่งซึ่งจะสามารถใช้ประโยชน์ด้านการคาดการณ์จากข้อมูลที่มีอยู่ได้ เทคโนโลยีนี้ยังรวมถึง Big data และการวิเคราะห์ต่างๆ ด้วย
วิลเลี่ยมซึ่งเป็นผู้อำนวยการอาวุโสของหัวเว่ยเทคโนโลยีและเป็นประธานคณะอนุกรรมการวิชาการ ISO/IEC มีความรู้และประวัติการศึกษาด้านวิศวกรรมไฟฟ้า เศรษฐศาสตร์ และการบริหารธุรกิจจากทั้งสแตนฟอร์ดและวอร์ตัน โดยมีประวัติการทำงานที่เน้นไปในด้านกลยุทธ์ด้านธุรกิจและเทคโนโลยี นอกจากนี้ ยังทำงานให้กับบริษัทข้ามชาติอย่างซิสโก้และบรอดคอมรวมทั้งเป็นที่ปรึกษาที่เชี่ยวชาญด้านเทคโนโลยี IoT เมื่อเร็วๆ นี้ ยังเป็นเลขานุการของคณะกรรมการนำร่องของ Industrial Internet Consortium เขาได้เตรียมจดสิทธิบัตรมากกว่า 850 รายการ และเกือบ 400 รายการอยู่ในระหว่างการตรวจสอบและใกล้จะได้รับการจดสิทธิบัตรแล้ว
วิลเลี่ยมมีความเชี่ยวชาญอย่างกว้างขวางนับตั้งแต่การบ่มเพาะในช่วงเริ่มต้นไปจนถึงการขับเคลื่อนอุตสาหกรรมเชิงกลยุทธ์ และการมาตรฐานซึ่งเขามองว่าเป็นพาหนะที่สมบูรณ์แบบในการขยายธุรกิจอุตสาหกรรมในภาพรวม เขากล่าวว่าเราจำเป็นต้องมีมาตรฐานสำหรับเอไอด้วยเหตุผลหลายประการด้วยกัน ประการแรก ระดับของความซับซ้อนของเทคโนโลยีในสังคมปัจจุบัน ประการที่สอง ไอทีกำลังขับเคลื่อนลงลึกไปในทุกภาคส่วน หลังจากที่ขับเคลื่อนมาอย่างช้าๆ ในช่วงทศวรรษที่ 70 ถึง 80 คนเราก็อาจจะไม่จำเป็นต้องการระบบไอทีเพื่อประสิทธิภาพที่ดีขึ้นอีกต่อไป แต่กลับมีความจำเป็นในเรื่องของการคาดการณ์อนาคตในเชิงกลยุทธ์ด้านไอทีมากกว่า และท้ายที่สุด ไอทีมีอยู่ในทุกภาคส่วน และทุกภาคส่วนต้องพึ่งพาไอที นับตั้งแต่การเงินไปจนถึงการผลิต ไม่ว่าจะเป็นการดูแลสุขภาพ การขนส่ง ไปจนถึงหุ่นยนต์ และเรื่องอื่นๆ
โลกของเราจึงจำเป็นต้องมีมาตรฐานเพื่อรองรับเทคโนโลยีใหม่ๆ ที่เกิดขึ้นรวมทั้งเอไอ โดยระบบนิเวศของเอไอได้รับการแบ่งออกเป็นหัวข้อต่างๆ ซึ่งครอบคลุมทั้งด้านวิชาการ สังคม และจริยธรรม รวมถึงกลุ่มที่กว้างขวาง ได้แก่ มาตรฐานพื้นฐาน วิธีการและเทคนิคในการคำนวณ ความน่าเชื่อถือ และการระบุ application domains
สำหรับมาตรฐานพื้นฐาน ด้วยมีผู้มีส่วนได้ส่วนเสียที่แตกต่างกันมาก จุดเริ่มต้นพื้นฐานมีการทำงานของคณะกรรมการในด้านมาตรฐานพื้นฐาน ซึ่งมองที่มุมมองของเอไอว่ามีความจำเป็นต้องใช้คำศัพท์ร่วม รวมทั้งอนุกรมวิธานคำศัพท์และนิยาม ท้ายที่สุด มาตรฐานเหล่านี้จะทำให้ผู้ปฏิบัติงาน เช่น ผู้ควบคุมกฎ ผู้เชี่ยวชาญ สามารถพูดภาษาเดียวกัน ส่วนวิธีการและเทคนิคในการคำนวณ หัวใจของเอไอคือการประเมินของแนวทางทางการคำนวณและคุณลักษณะของระบบเอไอ ซึ่งรวมทั้งการศึกษาเทคโนโลยีที่แตกต่างกัน (เช่น อัลกอริทึม การให้เหตุผล เป็นต้น) ซึ่งมีการใช้ในระบบเอไอ คุณสมบัติและคุณลักษณะ รวมทั้งการศึกษาระบบเอไอเฉพาะด้านที่มีอยู่เพื่อทำความเข้าใจและระบุแนวทางการคำนวณ โครงสร้าง และคุณลักษณะ กลุ่มที่ทำการศึกษานี้จะรายงานถึงสิ่งที่เกิดขึ้นในด้านนี้แล้วแนะนำการมาตรฐานในด้านที่มีความจำเป็น ส่วนความน่าเชื่อถือ เป็นหนึ่งในหัวข้อที่ท้าทายสำหรับอุตสาหกรรม ซึ่งเกี่ยวข้องโดยตรงกับเอไอ กลุ่มการศึกษากำลังพิจารณาเรื่องของความน่าเชื่อถือและความเป็นส่วนตัวเพื่อให้ระบบเอไอมีความเข้มแข็ง โปร่งใส และปราศจากอคติ สำหรับการระบุ application domains บริบทที่เอไอมีการนำไปใช้และรวบรวมกรณีตัวอย่างการใช้งานที่เป็นตัวแทน ถือว่าการขนส่งและการขับเคลื่อนอัตโนมัตินับเป็นหนึ่งในกลุ่มดังกล่าว
วิลเลียมได้คาดการณ์ถึงมาตรฐานเอไอซึ่งเขามั่นใจว่าการรับเอามาตรฐานไปใช้ในภาคส่วนต่างๆ นั้นไม่เพียงแต่จะประสบความสำเร็จเท่านั้น แต่ยังสะท้อนถึงเทคโนโลยีหลักๆ ที่จะเปลี่ยนแปลงวิถีชีวิตที่เราเป็นอยู่ด้วย
ที่มา: https://www.iso.org/news/ref2336.html
ดูเหมือนปี 2561 เพิ่งจะเริ่มต้นมาได้ไม่นานนัก แต่ว่าปีนี้เป็นปีที่มีเรื่องที่มีความสำคัญมากสำหรับความมั่นคงด้านข้อมูลข่าวสารเลยทีเดียว
มีการหยิบยกประเด็นคำถามขึ้นมาเกี่ยวกับความมั่นคงปลอดภัยของไมโครโปรเซสเซอร์และโครงการด้านความมั่นคงปลอดภัยทางไซเบอร์ เช่น กฎระเบียบของข้อมูลทั่วไปของสหภาพยุโรปซึ่งมีผลบังคับใช้ในปีนี้ ทำให้มาตรฐาน ISO/IEC 27000 ฉบับใหม่ได้เกิดขึ้นในเวลาที่เหมาะสม
ISO/IEC 27000: 2018 เป็นมาตรฐานที่จัดเตรียมภาพรวมของการจัดการด้านความมั่นคงปลอดภัยของข้อมูล (Information Security Management Systems: ISMS) นิยามศัพท์และความหมายที่ใช้ร่วมกันในมาตรฐานในกลุ่ม ISMS ISO/IEC 27001 ซึ่งมีการออกแบบมาเพื่อให้นำไปปรับใช้กับองค์กร
ทุกประเภทและทุกขนาด นับตั้งแต่ธุรกิจข้ามชาติ ไปจนถึงธุรกิจขนาดกลางและขนาดย่อม และธุรกิจขนาดเล็ก รวมไปถึงองค์กรทั้งภาครัฐและองค์กรเอ็นจีโอด้วย ซึ่งมาตรฐานฉบับใหม่ได้มีการประกาศเมื่อเดือนกุมภาพันธ์ 2561
ยังมีมาตรฐานในกลุ่ม 27000 อีกมากกว่า 12 ฉบับ ส่วนมาตรฐาน ISMS ISO/IEC 27001: 2018 ซึ่งตีพิมพ์เมื่อเร็วๆ นี้ ทำให้เข้าใจถึงวิธีการที่มาตรฐานสามารถทำให้เข้ากันได้ ไม่ว่าจะเป็นขอบข่าย บทบาท หน้าที่ และความสัมพันธ์ซึ่งกันและกัน
ชุมชนที่เกี่ยวข้องกับมาตรฐาน ISO/IEC 27001 จะพบว่ามาตรฐานนี้เป็นประโยชน์ เนื่องจากได้นำเอาคำศัพท์ที่จำเป็นที่มีการใช้ในมาตรฐานอื่นๆ ในกลุ่ม ISO/IEC 27000 เข้ามาใช้งาน
ISO/IEC 27000:2018 ได้รับการพัฒนาโดยคณะกรรมการวิชาการ ISO/IEC JTC 1, Information technology คณะอนุกรรมการ SC 27, IT security techniques ซึ่งมีเลขานุการคือสถาบันมาตรฐานแห่งชาติของประเทศเยอรมัน (German Institute for Standardization หรือ Deutsches Institut für Normung: DIN)
ผู้ที่สนใจมาตรฐานดังกล่าว สามารถศึกษาได้จากห้องสมุดของสำนักมาตรฐานผลิตภัณฑ์อุตสาหกรรมหรือสั่งซื้อได้จากเว็บไซต์ของไอเอสโอ
ที่มา: https://www.iso.org/news/ref2266.html
ธุรกิจที่ยังคงสามารถนำเสนอผลิตภัณฑ์และบริการให้ได้ตามที่ลูกค้าคาดหวัง จำเป็นจะต้องมีการจัดการข้อมูลสารสนเทศที่มีเพิ่มขึ้นเป็นจำนวนมหาศาลได้ เกี่ยวกับเรื่องนี้ ความมั่นคงปลอดภัยของข้อมูลสารสนเทศเป็นสิ่งสำคัญที่จำเป็นต้องคำนึงถึงเพื่อผู้บริโภคและบริษัทที่ดำเนินธุรกิจที่เกี่ยวข้องกับเทคโนโลยสารสนเทศซึ่งอาจถูกคุกคามด้วยโจรไซเบอร์อัจฉริยะ
ความเสียหายที่ได้รับผลกระทบจากภัยทางไซเบอร์นั้นมีนับตั้งแต่เรื่องทั่วไปอย่างการแฉภาพที่ทำให้ดาราหรือคนดังต้องรู้สึกอับอายไปจนถึงการสูญเสีย
บันทึกข้อมูลทางการแพทย์ และการคุกคามเพื่อเรียกค่าไถ่ซึ่งโจมตีองค์กรยักษ์ใหญ่ต่างๆ
ในเมื่อข้อมูลขององค์กรประกอบไปด้วยข้อมูลสารสนเทศส่วนบุคคล ไม่ว่าจะเป็นข้อมูลทางการแพทย์หรือการเงิน บริษัทจึงจำเป็นต้องมีข้อบังคับทั้งในเชิงกฎหมายและจริยธรรมเพื่อให้ข้อมูลปลอดภัยจากอาชญากรรมทางไซเบอร์ ดังนั้น มาตรฐานชุด ISO/IEC 27000 จึงเกิดขึ้นเพื่อช่วยให้องค์กรสามารถจัดการกับความมั่นคงปลอดภัยของทรัพย์สิน เช่น ข้อมูลทางการเงิน ทรัพย์สินทางปัญญา ข้อมูลลูกจ้างหรือข้อมูลที่องค์กรได้ดำเนินไปเพื่อลูกจ้างและ
ได้รับการรับรองจากบุคคลที่สาม เป็นต้น
ISO/IEC 27001 เป็นมาตรฐานที่เป็นที่รู้จักกันดีที่สุดในกลุ่มมาตรฐานที่เป็นข้อกำหนดสำหรับระบบการจัดการความมั่นคงปลอดภัยด้านสารสนเทศ (Information Security Management System: ISMS) ซึ่งองค์กรต่างๆ สามารถขอรับการรับรองได้ตามความสมัครใจ
สำหรับคนที่มีหน้าที่รับผิดชอบในการตรวจประเมินบริษัท มาตรฐานดังกล่าวอาจเป็นกระบวนการที่ซับซ้อน การเตรียมความพร้อมสำหรับการตรวจประเมิน
จึงจำเป็นต้องมีการเตรียมตัวและใส่ใจในรายละเอียด ซึ่งมาตรฐาน ISO/IEC 27007 Information technology —Security techniques — Guidelines for information security management systems จะช่วยในเรื่องการตรวจประเมินให้มีความแม่นยำ และยังช่วยให้ทั้งผู้ตรวจประเมินและผู้ได้รับการตรวจประเมินมีแนวทางการเตรียมตัวที่ชัดเจน
มาตรฐานดังกล่าวได้รับการตีพิมพ์เผยแพร่ครั้งแรกเมื่อปีพ.ศ. 2554 (ค.ศ. 2011) และได้รับการปรับปรุงให้สอดคล้องกับมาตรฐาน ISO/IEC 27001: 2013
มาตรฐานนี้เป็นการจัดเตรียมแนวทางการตรวจประเมินระบบการจัดการด้านความมั่นคงปลอดภัยด้านสารสนเทศ ซึ่งเป็นปฏิบัติการตรวจประเมินระบบ
ที่มีความสอดคล้องกับ ISO/IEC 27001และความสามารถและการประเมินของผู้ตรวจประเมินระบบ ISMS
นอกจากนี้ มาตรฐานนี้ยังเป็นการเตรียมแนวทางสำหรับการตรวจประเมินข้อกำหนดทั้งหมดที่ระบุใน ISO/IEC 27001 ซึ่งตั้งใจใช้ร่วมกับแนวทางที่อยู่
ในมาตรฐาน ISO 19011: 2011 และเป็นไปตามโครงสร้างมาตรฐานของไอเอสโอ
มาตรฐาน ISO/IEC 27007 เป็นประโยชน์สำหรับธุรกิจทุกธุรกิจและได้รับการออกแบบมาเพื่อผู้ใช้งานทุกประเภทรวมทั้งองค์กรขนาดกลางและขนาดเล็ก
ผู้สนใจสามารถศึกษามาตรฐานนี้ได้จากห้องสมุดของสำนักงานมาตรฐานผลิตภัณฑ์อุตสาหกรรม หรือสั่งซื้อจากเว็บไซต์ของไอเอสโอ https://www.iso.org/standard/67398.html
ที่มา: https://www.iso.org/news/ref2232.html
การสอบเทียบ เป็นการปฏิบัติประจำวันของห้องปฏิบัติการทดสอบ เช่นเดียวกับการทดสอบและการวิเคราะห์ตัวอย่าง กว่า 60,000 แห่งทั่วโลก แล้วเรา
จะทำให้ลูกค้ามั่นใจในผลของมันได้อย่างไร
เป็นเวลานานหลายปีมาแล้วที่มาตรฐาน ISO/IEC 17025 ข้อกำหนดทั่วไปสำหรับความสามารถของห้องปฏิบัติการทดสอบและสอบเทียบ (General requirements for the competence of testing and calibration laboratories) ได้กลายเป็นแหล่งอ้างอิงระดับสากลสำหรับการทดสอบและห้องปฏิบัติการสอบเทียบที่ต้องการแสดงให้เห็นถึงสมรรถนะในการส่งมอบผลที่เชื่อถือได้
มาตรฐานสากลนี้ ไอเอสโอและไออีซีได้ร่วมกันตีพิมพ์เผยแพร่ ประกอบด้วยชุดของข้อกำหนดที่สามารถทำให้ห้องปฏิบัติการทดสอบมีการปรับปรุงความสามารถในการดำเนินการเพื่อให้ได้ผลลัพธ์ที่แม่นยำอย่างสม่ำเสมอ
อย่างไรก็ตาม สภาพแวดล้อมของห้องปฏิบัติการทดสอบได้เปลี่ยนแปลงไปอย่างรวดเร็วนับตั้งแต่มาตรฐานได้รับการตีพิมพ์เผยแพร่เมื่อปี 2548 (ค.ศ.2005) ซึ่งนำไปสู่การตัดสินใจที่จะทบทวนมาตรฐานและรวมเอการเปลี่ยนแปลงที่มีนัยสำคัญเข้าไปด้วย สตีฟ ซิดนีย์ หนึ่งในผู้ประสานงานของกลุ่มงานที่ทบทวนมาตรฐานอธิบายว่า นับตั้งแต่ ISO/IEC 17025 ฉบับล่าสุดได้รับการตีพิมพ์เผยแพร่เมื่อปี 2548 เป็นต้นมา เงื่อนไขของตลาดก็ได้เปลี่ยนแปลงไปและจำเป็นต้องมีการปรับปรุงมาตรฐานให้ดีขึ้น
แฮริแบร์ท ชอร์น ผู้ประสานงานกลุ่มงานที่เข้าร่วมในระบบโครงการประเมินความสอดคล้องสำหรับอุปกรณ์และองค์ประกอบอิเล็คทรอเทคนิกส์ (System of Conformity Assessment Schemes for Electrotechnical Equipment and Components) ระบุว่าการทบทวนมาตรฐานมีความจำเป็นเพื่อให้ครอบคลุมการเปลี่ยนแปลงทางเทคนิค ซึ่งการพัฒนาเชิงเทคนิคและการพัฒนาในเทคนิคด้านเทคโนโลยีสารสนเทศที่อุตสาหกรรมได้ประสบมานับตั้งแต่มาตรฐานฉบับสุดท้าย นอกจากนี้ มาตรฐานนี้ยังได้นำเอามาตรฐาน ISO 9001 ฉบับใหม่ล่าสุดเข้าไปพิจารณาร่วมด้วย
มาตรฐานนี้มีนัยสำคัญเป็นอย่างสูงสำหรับชุมชนการประเมินความสอดคล้องของไออีซีเนื่องจากเป็นการร่างเค้าโครงข้อกำหนดพื้นฐานสำหรับการทดสอบในโครงการการประเมินความสอดคล้องทั้งหมดและโปรแกรมที่ทำงานภายในระบบการประเมินความสอดคล้องกันของไออีซี ได้แก่ IEC System of Conformity Assessment Schemes for Electrotechnical Equipment and Components (IECEE), IECEx ซึ่งเป็นระบบการเตรียมความพร้อมด้วยการพิสูจน์ถึงความสอดคล้องกับมาตรฐานไออีซีด้วยความสมัครใจ, International Electrotechnical Commission Quality Assessment System for Electronic Components (IECQ) และ IEC system for Certification to Standards Relating to Equipment for Use in Renewable Energy Applications (IECRE)
การทบทวนได้เริ่มขึ้นเมื่อเดือนกุมภาพันธ์ 2558 (ค.ศ.2015) อันเป็นผลมาจากข้อเสนอร่วมระหว่างองค์กรความร่วมมือระหว่างประเทศว่าด้วยการรับรองห้องปฏิบัติการ (International Laboratory Accreditation Cooperation: ILAC) และสถาบันมาตรฐานแห่งชาติของประเทศแอฟริกาใต้ (the South African Bureau of Standards: SABS) ซึ่งเป็นสมาชิกของไอเอสโอและเป็นเจ้าภาพในคณะกรรมการแห่งชาติของไออีซี
ขณะนี้ กระบวนการทบทวนมาตรฐานระหว่างประเทศ ได้มาถึงร่างมาตรฐานสุดท้ายแล้วและจะมีการตีพิมพ์เผยแพร่ต่อไป
สำหรับการเปลี่ยนแปลงที่สำคัญของการทบทวนมาตรฐาน ISO/IEC 17025 มี 6 ประการ ดังต่อไปนี้
การใช้มาตรฐาน ISO/IEC 17025 เป็นการอำนวยความสะดวกความร่วมมือระหว่างห้องปฏิบัติการทดสอบและหน่วยงานอื่นๆ นอกจากนี้ ยังช่วยให้มีการแลกเปลี่ยนข้อมูลและประสบการณ์และช่วยให้มาตรฐานและขั้นตอนการดำเนินงานมีความสอดคล้องกลมกลืนกันอย่างที่วอร์เรน เมอร์เคล ผู้ประสานงานอีกคนหนึ่งของกลุ่มงานได้กล่าวไว้ว่า มาตรฐานนี้ส่งผลกระทบถึงห้องปฏิบัติการทดสอบในหลายด้าน มาตรฐานจำเป็นต้องถึงเกณฑ์ของความสามารถในด้านบุคลากร การสอบเทียบ และการบำรุงรักษาอุปกรณ์รวมถึงกระบวนการทั้งหมดที่ใช้ในการสร้างข้อมูล ซึ่งจำเป็นต้องมีห้องปฏิบัติการที่คิดและทำงานในแบบที่ทำให้มั่นใจว่ากระบวนการนั้นอยู่ภายใต้การควบคุมและข้อมูลนั้นเชื่อถือได้ และผลนั้นยังทำให้ได้รับการยอมรับอย่างกว้างขวางระหว่างประเทศต่างๆ ด้วย
มาตรฐาน ISO/IEC 17025 ได้รับการพัฒนาร่วมกันระหว่างไอเอสโอและไออีซีในคณะกรรมการการประเมินความสอดคล้องที่เรียกว่า CASCO
(Committee on conformity assessment) และมาตรฐานนี้จะใช้แทนฉบับเดิมที่ใช้มาตั้งแต่ปี 2005 ซึ่งคาดว่ามาตรฐานฉบับที่พัฒนานี้จะแล้วเสร็จ
ภายในปลายปีนี้