350 likes | 771 Views
มาตรฐานไอทีสำหรับสถานศึกษา 3 กรกฎาคม 2551. ดร. ครรชิต มาลัยวงศ์ ราชบัณฑิต ที่ปรึกษา บจม. ไอ.ซี.ซี. อินเตอร์เนชั่นแนล . การปฏิบัติงานตามบุญตามกรรม.
E N D
มาตรฐานไอทีสำหรับสถานศึกษา3 กรกฎาคม 2551 ดร. ครรชิต มาลัยวงศ์ ราชบัณฑิต ที่ปรึกษา บจม. ไอ.ซี.ซี. อินเตอร์เนชั่นแนล
การปฏิบัติงานตามบุญตามกรรมการปฏิบัติงานตามบุญตามกรรม • การบริหารงานไอทีเป็นของใหม่สำหรับคนไทย ผู้บริหารหลายคนต้องรับผิดชอบต่องานไอทีโดยไม่ทราบแนวทางจัดการ ผลก็คือ ทำไปตามประสบการณ์จากงานอื่นบ้าง, ศึกษาสังเกตบ้าง, คิดเอาเองว่าอะไรดีบ้าง • การบริหารงานไอทีของต่างประเทศก็เป็นเช่นนี้เหมือนกัน • ต่อมา ได้มีผู้จัดทำมาตรฐานด้านไอทีออกมาหลายแบบ แต่ละแบบล้วนกลั่นกรองมาจากผลการปฏิบัติงานที่ดี • ผู้บริหารงานไอทีจึงควรสนใจนำมาตรฐานไอทีมาใช้ตามความเหมาะสมให้มากขึ้น เพราะจะช่วยลดปัญหา และ เพิ่มอัตราความสำเร็จด้วย
Standards Quagmire From the SPC’s http://www.software.org/Quagmire/
หัวข้อคำบรรยาย • มาตรฐานไอทีเราควรพิจารณานำมาใช้ • มาตรฐาน IT และ การจัดทำ • มาตรฐาน ITIL และ ISO 20000 • มาตรฐาน ISO 12207 • มาตรฐาน ISO 15504 • มาตรฐาน ISO 17799 • มาตรฐาน CMMI
มาตรฐาน IT • การปฏิบัติงานใด ๆ ให้ประสบความสำเร็จซ้ำ ๆ (repeatable) ควรจะยึดตามมาตรฐานที่เกี่ยวข้อง • หากปล่อยให้ปฏิบัติงานไปตามความพอใจ ผลงานแต่ละครั้งอาจจะไม่เหมือนเดิม และอาจจะไม่สามารถเชื่อมต่อไปยังระบบอื่น ๆ ได้ • การสร้างระบบแบบ Interoperability ต้องใช้มาตรฐาน IT สำคัญหลายอย่าง ตัวอย่างง่าย ๆ เช่น HTML ในเว็บ
ตัวอย่างมาตรฐานในการใช้เว็บตัวอย่างมาตรฐานในการใช้เว็บ • การใช้งานเว็บนั้นต้องเกี่ยวข้องกับมาตรฐานหลายอย่าง • มาตรฐานด้านฮาร์ดแวร์และซอฟต์แวร์ • มาตรฐานระบบปฏิบัติการ • มาตรฐานระบบเครือข่าย และ การสื่อสารข้อมูล • มาตรฐาน TCP/IP • มาตรฐาน HTML • มาตรฐาน Search Engine • มาตรฐานอักขระ
ตัวอย่างมาตรฐานที่เราควรสนใจตัวอย่างมาตรฐานที่เราควรสนใจ • มาตรฐานเกี่ยวกับบุคคล, ความสามารถ และตำแหน่ง • มาตรฐานเกี่ยวกับอุปกรณ์, เครือข่าย และ การเชื่อมต่อ • มาตรฐานเกี่ยวกับการจัดการการให้บริการไอที • มาตรฐานเกี่ยวกับการพัฒนาซอฟต์แวร์ • มาตรฐานเกี่ยวกับการรักษาความมั่นคง • มาตรฐานเกี่ยวกับเอกสาร, แบบฟอร์ม, ข้อมูล
ประเภทของมาตรฐาน • De Juror Standard มาตรฐานที่เกิดจากการกำหนดอย่างเป็นทางการ เริ่มต้นจากองค์การมาตรฐานในแต่ละประเทศ และต่อมาก็กำหนดโดยองค์การระหว่างประเทศว่าด้วยการมาตรฐาน (ISO = International Organization for Standardization) • De Facto Standard มาตรฐานที่เกิดจากการพัฒนาและใช้งานของบริษัท หน่วยงาน หรือกลุ่มใด กลุ่มหนึ่งก่อน ต่อจากนั้นก็มีผู้นำไปใช้อย่างแพร่หลายมากขึ้น จนกลายเป็นมาตรฐานไป • Open Standard มาตรฐานที่ได้รับการยอมรับทั่วไป
องค์การมาตรฐาน • ของไทย คือ สำนักงานมาตรฐานผลิตภัณฑ์อุตสาหกรรม ซึ่ง ในทางปฏิบัติเป็นสำนักงานมาตรฐานแห่งชาติ • สมอ. มีคณะกรรมการวิชาการที่เกี่ยวข้องกับมาตรฐาน IT หลายคณะ เช่น กว. 536 • องค์การมาตรฐานระดับโลก รวมทั้งองค์การที่กำหนดมาตรฐาน มีมาก เช่น ISO, ITU, IEEE, ANSI, BS, W3C, EU, CISSP, CISA, SEI…..รวมไปถึงบริษัทซึ่งก็ได้สร้างมาตรฐานที่เกี่ยวกับผลิตภัณฑ์และองค์ความรู้เกี่ยวกับผลิตภัณฑ์ของตนเองด้วย
มาตรฐานที่น่าสนใจศึกษามาตรฐานที่น่าสนใจศึกษา • ต่อไปนี้จะนำมาตรฐานบางเรื่องที่น่าสนใจมาเสนอ
มาตรฐาน ITIL • ITIL คือ IT Infrastructure Library • เป็นมาตรฐานที่เกี่ยวกับการให้บริการด้านไอทีของศูนย์คอมพิวเตอร์หรือฝ่ายไอที • ปัจจุบันได้รับความสนใจ และมีผู้นำไปใช้มาก ในประเทศไทยเองก็เริ่มมีผู้สนใจศึกษาและนำไปใช้เช่นกัน • ปัจจุบัน ITIL ได้รับการพัฒนาเป็นมาตรฐานนานาชาติแล้ว คือ ISO 20000
ITIL Components เน้นที่Quality processes Non-prescriptive guidance Vendor/technology independent Focused on process and people “Adopt and Adapt”
ITIL – องค์ประกอบ 4P’s การเน้นเรื่องทั้งสี่ทำให้เราสามารถให้บริการไอทีที่ดีได้
ISO/IEC 12207 • นำเสนอในปี 1988, ประกาศ สิงหาคม 1995 • กำหนดสถาปัตยกรรมระดับสูงสำหรับ software lifecycle, ประกอบด้วย 17 core processes • a process is defined as a set of activities • activities (of which there are 74) are refined into tasks • tasks (of which there are 224) transform inputs to outputs • บางครั้งก็เรียกว่าเป็นมาตรฐานระดับยุทธศาสตร์
Plan-Do-Check-Act • นำแนวคิดเรื่อง Plan-Do-Check-Act มาใส่ไว้กับทุกกระบวนการ นั่นคือมีการดำเนินการดังนี้ • Plan: tasks, work breakdown, schedule, etc. • Do: execution of plans • Check: process-internal evaluations • เสริมด้วยการประเมินกิจกรรมระหว่างกระบวนการ และ การปรับปรุง • Act: Closed-loop problem resolutions
WHAT IS QUALITY SOFTWARE ? PROJECT MANAGEMENT CUSTOMER Functionality Within Cost Efficiency Ease of Learning Increased Productivity Project Goals Ease of Remembering Flexibility Ease of Use Reliability Standardized Code Minimum Errors Good Documentation Readable Code SOFTWARE ENGINEER Good Design
Overview of Software Engineering • Software engineering establishes sound techniques and methodologies for the entire software engineering lifecycle • There are different models of the software lifecycle, but every lifecycle must address the following steps: • A. Problem Definition: state the requirements • B. Systems Engineering: system issues, including allocations • C. Requirements Analysis: ensure that the requirements are fully understood from an information system point of view • D. Software Design: implementation specification and plan • E. Implementation: coding, documentation, and training • F. Testing: test and verify each level of implementation, and the entire system • G. Maintenance: once acceptance testing has been completed, this is primarily due to change.
SPICE / ISO 15504 - 1 • โครงการ SPICE เริ่มต้นในทศวรรษ 1990’s • อาศัยประสบการณ์ของ SEI กับ CMM (and Trillium) • เป็นโครงการใหญ่ มี 20 ประเทศทำให้เป็นมาตรฐานสากล • เน้นที่การพัฒนาซอฟต์แวร์ • ต้องการให้เป็นมาตรฐาน • มีความซับซ้อนมากกว่า SW-CMM
SPICE / ISO 15504 - 2 • SPICE ประกอบด้วยเอกสารต่อไปนี้ • Concepts and introductory guide • Reference model for processes & process capability • Performing an assessment • Guide to performing an assessment • An assessment model and indicator guide • Guide to qualification of assessors • Guide for use in process improvement • Guide for use in determining supplier process capability • Vocabulary
SPICE / ISO 15504 - 3 • จุดมุ่งหมายสามประการ • Capability determination (of suppliers) • Process improvement • Self-assessment • เป็นภาพสองมิติ • Process: มีการจัดกลุ่มกระบวนการ • Process capability / maturity:มีการวัด • เป็นโมเดลแบบ continuous หากต้องการประเมินหลายกระบวนการต้องทำแยกกัน
SPICE / ISO 15504 – 4กลุ่มกระบวนการใน SPICE
SPICE / ISO 15504 - 5 • มีการจำแนกและจัดกลุ่มกระบวนการ • กลุ่มกระบวนการและจำนวนกระบวนการในแต่ละกลุ่ม • 5: Customer – Supplier • 7: Engineering Processes • 8: Support Processes • 5: Organisation Processes • 4: Management Processes • ในแต่ละกลุ่มยังย่อยเป็นbase practisesด้วย
ISO 17799 and BS 7799 Standards • ISO/IEC 17799:2000Code of Practice for Information Security Management • BS 7799-2:2002 Specification for Information Security Management Systems
ISO 17799 – The Code of Practice • ISO/IEC 17799:2000 "Information technology – Code of practice for information security management" • Based on BS 7799-1:1999 • Intended for use as a reference document • Provides a comprehensive set of security controls • Based on best information security practices • It consists of 10 control sections, 36 control objectives, and 127 controls • It cannot be used for assessment and registration
The 10 Sections of ISO 17799 Security policy Compliance Organizational security Business continuity management Asset classification and control Integrity Confidentiality Information Systems development & maintenance Personnel security Availability Access control Physical and environmental security Communications and operations management
The 10 Sections of ISO 17799(continued) Organizational 1. Security policy 2. Organizational security 3. Asset classification and control 7. Access control 10. Compliance 4. Personnel security 5. Physical and environmental security 8. Systems development and maintenance 9. Business continuity management 6. Communications and operations management Operational
มาตรฐาน CMMI • Capability Maturity Model Integration เป็น มาตรฐานสำหรับการพัฒนาซอฟต์แวร์ ที่พัฒนาโดยสถาบัน SEI • ปรับปรุงมาจาก SW-CMM และ CMM อื่น ๆ • ปัจจุบันได้รับการขยายไปสู่ CMMI for Acquisition และ กำลังอยู่ระหว่างการพิจารณา CMMI for Services ซึ่งจะใช้สำหรับการให้บริการไอทีได้ด้วย • เคยมีผู้นำ CMM ไปพัฒนา เป็น CMM for Services มาแล้ว
Continuous Process Improvement 2 Managed กระบวนการสำคัญแบ่งตามระดับวุฒิภาวะ Quality Productivity Focus Level Process Areas 5 Optimizing Organizational Innovation and Deployment Causal Analysis and Resolution Quantitative Management Organizational Process Performance Quantitative Project Management 4 Quantitatively Managed ProcessStandardization 3 Defined Requirements Development Technical Solution Product Integration Verification Validation Organizational Process Focus Organizational Process Definition +IPPD Organizational Training Integrated Project Management +IPPD Risk Management Decision Analysis and Resolution Requirements Management Project Planning Project Monitoring and Control Supplier Agreement Management Measurement and Analysis Process and Product Quality Assurance Configuration Management Basic Project Management Risk Rework 1 Initial
Process Area Components Process Area (PA) Related Process Areas Purpose Statement Introductory Notes Specific Goals (SG) Generic Goals (GG) Specific Practices (SP) Generic Practices (GP) Typical Work Products Subpractices Generic Practice Elaborations Subpractices Required Legend Expected Informative
สรุป • การบริหารงานไอทียุคใหม่ควรอาศัยมาตรฐานที่เกี่ยวข้อง • มาตรฐานเกิดจาก best practices ที่หน่วยงานหลายแห่งใช้ แล้วนำมาพิจารณาร่วมกันว่าการปฏิบัติแบบใดดี แล้วร่างเป็นมาตรฐานขึ้น • มาตรฐานสำคัญที่จำเป็น คือมาตรฐานเกี่ยวกับการให้บริการไอที (ITIL, ISO 20000 และ CMMI for Services), มาตรฐานในการพัฒนาซอฟต์แวร์ (ISO 12207, 15504, 29001 และ CMMI), มาตรฐานการรักษาความมั่นคงของไอที (BS7799, ISO27000)