รายวิชา mis 
http://mendzinezii-mis.blogspot.com/

บทที่ 12 คำศัพท์พร้อมคำแปล

1. ภัยธรรมชาติ                                     Natural Disasters
2. ไฟดับและไฟตก                               Blackouts and Brownouts
3. การถูกก่อกวนและทำลาย                 Vandalism
4. การควบคุมการเข้าถึง                        Access Controls
5. ความเป็นหนึ่งเดียวในทรานแซกชั่น  Atomic Transactions
6. การตรวจสอบประวัติการทำงาน        Audit Trail
7. ไฟร์วอล                                            Firewall
8. การพิสูจน์ตัวตน                                Authentication
9. การเข้ารหัส                                       Encryption
10. เพลนเท็กซ์                                     Plain text

บทที่ 12 เรื่องที่ 3 เป้าหมายหลักในด้านความปลอดภัยของระบบสารสนเทศ

การรักษาความปลอดภัยระบบสารสนเทศและจรรยาบรรณเบื้องต้น
ความหมายของความเสี่ยงของระบบสารสนเทศ
- ความเสี่ยงของระบบสารสนเทศ (Information system risk) หมายถึง เหตุการณ์หรือการกระทำใดๆ ที่ก่อให้เกิดการสูญเสียหรือทำลายฮาร์ดแวร์ (Hardware) ซอฟต์แวร์ (Software)ข้อมูล สารสนเทศ หรือความสามารถในการประมวลผลข้อมูลของระบบ
>> ไวรัส เป็นตัวสร้างความเสี่ยงมากที่สุด ซึ่งแพร่กระจายในTrump Drive ง่ายมาก มักเกิดจากพวกGen Y ที่มีความสามารถด้านด้านคอมพิวเตอร์ มักเข้าไปยังแหล่งที่มีไวรัส เผลอเรอ และมักมีนิสัยชอบกด YES โดยไม่อ่านข้อมูล
ประเภทของบุคคลที่เกี่ยวข้องกับความเสี่ยงของระบบสารสนเทศ
- แฮกเกอร์ (Hacker) คือบุคคลที่ใช้ทักษะหรือความสามารถที่สูงทางคอมพิวเตอร์เพื่อเจาะเข้าไปในระบบสารสนเทศของผู้อื่น แม้ว่าการกระทำดังกล่าวจะเป็นการกระทำที่ผิดกฏหมาย
- แครกเกอร์ (Cracker) คือบุคคลที่ทำอันตรายต่อการรักษาความปลอดภัยของระบบสารสนเทศโดยมีวัตถุประสงค์ร้าย
- ผู้ก่อให้เกิดภัยมือใหม่ (Script Kiddies) เป็นบุคคลที่มีเป้าหมายเช่นเดียวกับแครกเกอร์คือทำลายระบบ แต่มักไม่มีทักษะทางด้านคอมพิวเตอร์มากนัก ส่วนมากจะทำการดาวน์โหลดซอฟต์แวร์ที่ช่วยในการเจาะระบบจากเว็บ
- ผู้สอดแนม (Spies) เป็นบุคคลที่ถูกจ้างเพื่อเจาะระบบสารสนเทศและขโมยข้อมูล มักมีทักษะทางคอมพิวเตอร์สูง โดยมีเป้าหมายของระบบที่ต้องการเจาะอย่างชัดเจน ไม่ไร้จุดหมายเหมือนผู้ก่อให้เกิดภัยมือใหม่
- เจ้าหน้าที่ขององค์กร (Employees) เป็นภัยคุกคามที่มีจำนวนมากขึ้น โดยเจ้าหน้าที่จะเจาะเข้าไปในระบบสารสนเทศของกิจการของตนโดยมีเหตุผลเพื่อแสดงให้เห็นว่าระบบรักษาความปลอดภัยขององค์กรมีจุดอ่อน
- ผู้ก่อการร้ายทางคอมพิวเตอร์ (Cyberterrorist) ใช้ความเชื่อของตนเองในการปรับเปลี่ยนข้อมูลสารสนเทศ หรือการทำให้ระบบสารสนเทศ ปฏิเสธการให้บริการกับผู้ใช้ที่มีสิทธิในการใช้ระบบอย่างถูกต้อง หรือเจาะเข้าไปในระบบเพื่อทำให้ข้อมูลเสียหายอย่างมาก ผู้ก่อการร้ายทางคอมพิวเตอร์เป็นนักเจาระบบที่น่ากลัวมากที่สุดในจำนวนนักเจาะระบบ มีทักษะทางคอมพิวเตอร์ที่สูงมาก นอกจากนี้ยังเป็นการยากที่จะทำนายว่าจะโจมตีจะเกิดเวลาไหนและที่ใด โจมตีในรูปแบบใหม่อย่างอย่างฉับพลันและรวดเร็ว เช่น การปล่อยข่าว กล่าวหาบุคคลอื่น
ประเภทของความเสี่ยงของระบบสารสนเทศ
1. การโจมตีระบบเครือข่าย (Network attack)
- การโจมตีขั้นพื้นฐาน (Basic Attacks) เช่น กลลวงทางสังคม (Social engineering) เช่น Call Center หลอกลวง / การแชร์ Password กับเพื่อน และการรื้ออค้นเอกสารทางคอมพิวเตอร์จากที่ทิ้งขยะ (Dumpster Diving )
- การโจมตีด้านคุณลักษณะ (Identity Attacks) เช่น DNS Spoofing และ e-mail spoofing ส่งไวรัสจากเครื่องของเราให้คนอื่น โดยอาจจะแปลงเลข IP เป็นรหัสของเรา
- การปฏิเสธการให้บริการ (Denial of Service หรือ DoS) เช่น Distributed denial-of-service (DDoS) , DoSHTTP (HTTP Flood Denial of Service) ส่งการRequest อัตโนมัติจากเครื่องคอมพิวเตอร์หลายๆ ล้านครั้ง เพื่อให้เว็บไซต์ล่ม
- Webpage Spoof การทำเว็บไซต์ปลอม เช่น หน้าตาเว็บไซต์เป็นกูเกิล แต่URL เป็นยาฮู
- E-mail Spoofing ต้องระมัดระวังการเข้าลิงก์ที่ไม่รู้จัก แปลกปลอมจากในอีเมล์
- IP Spoofing การที่เราเข้าไปคลิกเว็บไซต์หนึ่งๆ ที่ผู้ก่อการร้ายทางคอมพิวเตอร์สร้างไว้ แล้วระบบจะจดจำ IPของเราไว้ หลังจากนั้นก็นำ IP ของเราไปทำกิจกรรมต่างๆ โดยที่เราไม่รู้ตัว อาจนำไปสร้างอันตรายให้ผู้อื่น ซึ่งอาจส่งผลกระทบต่อตัวเรา เนื่องจาก IP เปรียบเหมือนบ้านเลขที่สำหรับคอมพิวเตอร์ของตัวเรา
- Distributed denial-of-service เช่น เกิดจากการมีไวรัสมาฝังในเครื่องเราโดยตั้งไว้ว่า ให้ ณ เวลหนึ่งๆ หากเรายังใช้งานคอมพิวเตอร์อยู่จะส่ง Request ของเราไปยังเครื่องอื่นๆ เพื่อทำลายหรือรบกวนระบบ เป็นการถูกนำไปใช้เป็นเครื่องมือทำลายผู้อื่น
- ข้อมูลที่ถูกจัดส่งไปยังเว็บ อาจไว้ใช้เช็กการเข้าเว็บไซต์ของพนักงานว่าเข้าเว็บไซต์ไหนบ้าง อย่างไรก็ตาม ถือเป็นการละเมิดความเป็นส่วนตัว
- การโจมตีด้วยมัลแวร์ (Malware)
- โปรแกรมมุ่งร้ายที่โจมตีการปฏิบัติงานของคอมพิวเตอร์ (Computer’s operations) ประกอบด้วย ไวรัส (Viruses) เวิร์ม (Worms) โทรจันฮอร์ส(Trojan horse) และลอจิกบอมบ์ (Logic bombs)
- และโปรแกรมมุ่งร้ายที่โจมตีความเป็นส่วนตัวของสารสนเทศ(Information privacy) ที่มีชื่อเรียกทั่วไปว่า สปายแวร์ (Spyware) ประกอบด้วย แอดแวร์ (Adware) พิชชิง (Phishing) คีลอกเกอะ (Keyloggers) การเปลี่ยนการปรับแต่งระบบ (Configuration Changers)การต่อหมายเลข (Dialers) และ แบ็คดอร์ (Backdoors)
- ไวรัส หมายถึงโปรแกรมที่ติดตัวเองไปกับเอกสารหรือโปรแกรม ประมวลผลเมื่อเอกสารหรือโปรแกรมนั้นถูกเปิด ก่อให้เกิดปัญหา
- เวิร์ม เป็นโปรแกรมมุ่งร้ายเช่นเดียวกับไวรัส แต่มีความแตกต่างกัน 2 ประการคือ ประการแรก ไวรัสเป็นโปรแกรมที่ติดตัวเองไปกับเอกสารทางคอมพิวเตอร์ ในขณะที่เวิร์มสามารถที่จะไปยังที่ต่างๆ ได้ด้วยตัวเอง ประการที่สอง ไวรัสต้องอาศัยผู้ใช้งานสั่งให้ประมวลผลโปรแกรม แต่เวิร์ม สามารถประมวลผลได้ด้วยตนเอง
- โทรจันฮอร์ส คือโปรแกรมที่ทำลายระบบคอมพิวเตอร์โดยแฝงมากับโปรแกรมอื่นๆ เช่น เกม เป็นต้น
- ลอจิกบอมบ์ เป็นโปรแกรมที่แฝงตัวในโปรแกรมคอมพิวเตอร์ แต่จะยังไม่ทำงานจนกว่าเงื่อนไขที่กำหนดเกิดขึ้น
- แอดแวร์ คือโปรแกรมที่จะแสดงข้อความโฆษณาที่เว็บเพจโดยที่ผู้ใช้งานมิได้ต้องการ
- พิชชิง คือการส่งอีเมลไปให้ผู้ใช้ เมื่อผู้ใช้เข้าไปในเว็บไซด์ที่แสดงในอีเมลก็จะแสดงเว็บเพจ ปลอมซึ่งมีการจัดทำหน้าเว็บเพจให้เหมือนของจริง ถ้าผู้ใช้ป้อนรหัสผ่านหรือเลขที่บัตรเครดิตเข้าไปในเว็บเพจดังกล่าว ข้อมูลก็จะถูกขโมยและนำไปใช้ต่อไป นอกจากนี้ยังมีวิธีการ พาร์มมิง (Pharming) ที่มีเป้าหมายเพื่อต้องการข้อมูลส่วนตัวเช่นเดียวกับฟิชชิง แตกต่างกันที่แทนที่จะขอให้ผู้ใช้เข้าเยี่ยมชมเว็บไซด์ปลอมจะเชื่อมโยงผู้ใช้ไปยังเว็บไซด์ปลอมอัตโนมัติเมื่อผู้ใช้ป้อนที่อยู่เว็บในเว็บเบราว์เซอร์ด้วยวิธีการของ DNS Spoofing
- คีลอกเกอะ อาจเป็นอุปกรณ์คอมพิวเตอร์หรือโปรแกรมขนาดเล็กที่บันทึกการกดแป้นพิมพ์เพื่อป้อนตัวอักขระและจัดเก็บในแฟ้มข้อมูล เช่น ตู้ ATM ที่ถูก hack
- แบ็คดอร์ ทำให้การเข้าถึงระบบไม่ต้องผ่านขั้นตอนการป้อนรหัสประจำตัวและรหัสผ่าน


2. การเข้าถึงระบบโดยไม่ได้รับอนุญาต (Unauthorized access) หมายถึง การใช้คอมพิวเตอร์หรือระบบเครือข่ายคอมพิวเตอร์โดยไม่มีสิทธิ เช่น การเข้าระบบโอนเงินธนาคารโดยไม่ได้รับอนุญาต
3. การขโมย (Theft) เช่น การขโมยฮาร์ดแวร์/การขโมยซอฟต์แวร์ /การขโมยสารสนเทศ
4. ความล้มเหลวของระบบสารสนเทศ (System failure) เช่น เสียง (Noise) อาจเป็นการรบกวนจากฝนตก ความชื้น หรือไฟตก เป็นต้น
การรักษาความปลอดภัยของระบบสารสนเทศ
การรักษาความปลอดภัยการโจมตีระบบเครือข่าย
- ติดตั้งโปรแกรมป้องกันไวรัสและปรับปรุง Virus signature หรือ Virus definition ต้องมีการ Update ตลอดเวลาด้วย
- ติดตั้งไฟร์วอลล์ (Firewall) ซึ่งเป็นซอฟต์แวร์และฮาร์ดแวร์ที่คอยกั้นไม่ให้สิ่งไม่ดีเข้ามาในองค์กร แต่อาจไม่ค่อยแข็งแรงนัก ต้องมีติดตั้งโปรแกรมป้องกันไวรัสเพิ่มเติม
- ติดตั้งซอฟต์แวร์ตรวจจับการบุกรุก (Intrusion detection software) กิจการขนาดใหญ่ส่วนมากจะติดตั้งระบบนี้ เพื่อดูว่าคนที่เข้ามาใช้ทรัพยากรในองค์กร เป็นใครมาจากไหน IP อะไร มีการบุกรุกหรือไม่
- ติดตั้ง Honeypot คือ การตั้งระบบเหมือนจริงขึ้นมาป้องกันไว้รอบๆระบบจริงที่ใช้งานอยู่ เป็นการป้องกันอันตรายจากการถูกเจาะระบบ
การควบคุมการเข้าถึงระบบโดยไม่ได้รับอนุญาต
- การระบุตัวตน (Identification) จะมีหมายเลขประจำตัวแต่ละคน เวลาจะเข้าใช้ระบบอะไรบางอย่าง ก่อนต้องกรอกรหัสก่อน
- การพิสูจน์ตัวจริง (Authentication) เช่น รหัสผ่าน (Password)
1. ข้อมูลที่ทราบเฉพาะบุคคลที่เป็นเจ้าของ (What you know)
2. ใช้บัตรผ่านที่มีลักษณะเป็นบัตรประจำตัว (What you have) เช่น บัตรATM เป็นต้น
3. ลักษณะทางกายภาพของบุคคล (What you are) เช่น ม่านตา เป็นต้น
*** การตั้งพาสเวิด ควรตั้งเป็นภาษาคาราโอเกะ เพราะ ไม่ใช่ภาษาใดภาษาหนึ่ง และควรมีทั้งตัวเลขและตัวอักษร
การควบคุมการขโมย
- ควบคุมการเข้าถึงทางกายภาพ (Physical access control) เช่น การปิดห้องและหน้าต่าง เป็นต้น
- กิจการบางแห่งนำระบบ Real time location system (RTLS) มาใช้เพื่อระบุสถานที่ที่มีความเสี่ยงสูงโดยนำ RFID tags ติดที่อุปกรณ์คอมพิวเตอร์เพื่อใช้ในการติดตามอุปกรณ์นั้นๆ
- ปัจจุบันมีการออกแบบเครื่องคอมพิวเตอร์ให้สามารถควบคุมการเปิดเครื่องและการเข้าใช้งานเครื่องด้วยการใช้ลักษณะทางกายภาพของบุคคล เช่น ลายนิ้วมือ เป็นต้น
- การรักษาความปลอดภัยของซอฟต์แวร์ทำโดยเก็บรักษาแผ่นซอฟต์แวร์ในสถานที่มีการรักษาความปลอดภัย
- ในกรณีที่มีโปรแกรมเมอร์ลาออกหรือถูกให้ออก ต้องควบคุมและติดตามโปรแกรมเมอร์ทันที (Escort)
การเข้ารหัส คือกระบวนการในการแปลงหรือเข้ารหัสข้อมูลที่อยู่ในรูปที่คนทั่วไปสามารถอ่านได้(Plaintext) ให้อยู่ในรูปที่เฉพาะผู้ที่เกี่ยวข้องเท่านั้นสามารถอ่านข้อมูลได้ (Ciphertext)
ประเภทของการเข้ารหัส
- การเข้ารหัสแบบสมมาตร ผู้ส่งและผู้รับจะใช้คีย์ลับในการเปิด ซึ่งการเข้ารหัสแบบนี้จะใช้กันในวงแคบ
- การเข้ารหัสแบบไม่สมมาตร ผู้ส่งใช้คีย์สาธารณะส่วนผู้รับใช้คีย์ส่วนตัวในการเปิด เช่น ระหว่างการติดต่อของเว็บไซต์อเมซอนกับลูกค้า
การรักษาความปลอดภัยอื่นๆ
- Secure sockets layer (SSL) โดยเว็บเพจที่ใช้ SSL จะขึ้นต้นด้วย httpsแทนที่จะเป็น http จะมีความปลอดภัยมากขึ้น
- Secure HTTP (S-HTTP) เช่น ระบบธนาคารออนไลน์จะใช้ S-HTTP
- Virtual private network (VPN)
การควบคุมความล้มเหลวของระบบสารสนเทศ
- การป้องกันแรงดันไฟฟ้าใช้ Surge protector หรือ Surge suppressor
- ไฟฟ้าดับใช้ Uninterruptible power supply (UPS)
- กรณีระบบสารสนเทศถูกทำลายจนไม่สามารถให้บริการได้ การควบคุมทำโดยการจัดทำแผนการทำให้กลับคืนสู่สภาพเดิมจากภัยพิบัติ (Disaster Recovery – DR) หรือ Business continuity planning (BCP)
การสำรองข้อมูล (Data Backup) สิ่งที่ต้องตัดสินใจเกี่ยวกับการสำรองข้อมูลประกอบด้วย
1. เลือกสื่อบันทึก (Media) ที่จะทำการสำรองข้อมูล เช่น CD DVD หรือ Portable Harddisk เป็นต้น
2. ระยะเวลาที่ต้องสำรองข้อมูล
3. ความถี่ในการสำรองข้อมูล ขึ้นอยู่กับระยะเวลาสูงสุดที่ระบบจะไม่สามารถให้บริการได้โดยไม่ส่งผลต่อการดำเนินงานปกติขององค์กร
4. สถานที่จัดเก็บสื่อบันทึกที่สำรองข้อมูล ซึ่งสามารถจัดเก็บ On Site หรือ Offsite ซึ่งแต่ละประเภทมีข้อดีและข้อเสียแตกต่างกันออกไป
การรักษาความปลอดภัยของแลนไร้สาย (Wireless LAN)
- ควบคุมการเชื่อมโยงเข้าสู่แลนไร้สายด้วย Service Set Identifier (SSID)
- กลั่นกรองผู้ใช้งานด้วยการกรองหมายเลขการ์ดเน็ตเวิร์ก (MAC Addressing Filtering)
- การเข้ารหัสและถอดรหัสด้วยวิธีการ Wired Equivalency Privacy (WEP)
- จำกัดขอบเขตพื้นที่ให้บริการด้วยการควบคุมกำลังส่งของแอ็กเซสพอยน์
- การพิสูจน์สิทธิเข้าใช้งานแลนไร้สายด้วย Radius Server
- การสร้าง Virtual Private Network (VPN) บนแลนไร้สาย
จรรยาบรรณ
จรรยาบรรณทางคอมพิวเตอร์ คือหลักปฏิบัติที่แสดงให้เห็นถึงความรู้สึกผิดชอบเกี่ยวกับการใช้ระบบสารสนเทศ ซึ่งประกอบด้วย
- การใช้คอมพิวเตอร์และเครือข่ายโดยไม่ได้รับอนุญาต
- การขโมยซอฟต์แวร์ (การละเมิดลิขสิทธิ์)
- ความถูกต้องของสารสนเทศ เช่น การตกแต่งรูปภาพ เป็นต้น
- สิทธิ์ต่อทรัพย์สินทางปัญญา (Intellectual property rights)
- หลักปฏิบัติ (Code of conduct)
- ความเป็นส่วนตัวของสารสนเทศ (Information privacy)
หลักปฏิบัติ คือสิ่งที่เขียนเป็นลายลักษณ์อักษรเพื่อเป็นแนวทางในการตัดสินใจว่าการกระทำใดที่เกี่ยวข้องกับคอมพิวเตอร์เป็นสิ่งที่มีหรือไม่มีจรรยาบรรณ หลักปฏิบัติมีดังนี้
- ต้องไม่ใช้คอมพิวเตอร์ในการทำอันตรายบุคคลอื่น
- ต้องไม่รบกวนการทำงานทางคอมพิวเตอร์ของคนอื่น
- ต้องไม่เข้าไปยุ่งเกี่ยวกับแฟ้มข้อมูลของคนอื่น
- ต้องไม่ใช้คอมพิวเตอร์ในการขโมย
- ต้องไม่ใช้คอมพิวเตอร์เพื่อให้หลักฐานที่เป็นเท็จ
- ต้องไม่สำเนาหรือใช้ซอฟต์แวร์ที่ละเมิดลิขสิทธิ์
- ต้องไม่ใช้ทรัพยากรทางคอมพิวเตอร์ของผู้อื่นโดยไม่ได้รับอนุญาต
- ต้องไม่ใช้ทรัพสินทางปัญญาของผู้อื่นเหมือนเป็นของตน
- ต้องคำนึงถึงผลกระทบทางสังคมของโปรแกรมที่ออกแบบ
- ต้องใช้คอมพิวเตอร์ในทางที่แสดงให้เห็นถึงความเคารพในมนุษย์แต่ละคน
ความเป็นส่วนตัวของสารสนเทศ มีหลักปฏิบัติดังนี้
- ให้เฉพาะข้อมูลที่จำเป็นเท่านั้นในการกรอกข้อมูลใบลงทะเบียน ใบรับประกัน และอื่นๆ
- ไม่พิมพ์เบอร์โทรศัพท์ เลขที่บัตรประชาชน บนเช็ค ล่วงหน้า (Preprint)
- แจ้งองค์การโทรศัพท์ไม่ให้พิมพ์หมายเลขโทรศัพท์ของท่านลงใบสมุดโทรศัพท์
- ถ้าหมายเลขโทรศัพท์ของท่านอยู่ในพื้นที่ๆ สามารถแสดงหมายเลขโทรศัพท์ที่เครื่องของผู้รับได้ ให้ท่านระงับการแสดงหมายเลขโทรศัพท์ที่เครื่องของผู้รับด้วย
- ไม่ควรเขียนหมายเลขโทรศัพท์ของท่านบนในบิลของบัตรเครดิต
- ซื้อสินค้าด้วยเงินสด แทนที่จะเป็นบัตรเครดิต
- ถ้าร้านค้าสอบถามข้อมูลส่วนตัวของท่าน ให้หาเหตุผลว่าทำไมจึงถามคำถามนั้นก่อนที่จะตัดสินใจว่าจะให้หรือไม่ให้ข้อมูล
- กรอกข้อมูลส่วนตัวของท่านบนเว็บเฉพาะส่วนที่ต้องกรอกเท่านั้น
- ติดตั้งตัวจัดการ Cookie เพื่อกลั่นกรอง Cookie
- ลบ History file ภายหลังจากเลิกใช้โปรแกรมเบาวร์เซอร์
- ยกเลิกการเปิดบริการแบ่งปันข้อมูล (File sharing) หรือเครื่องพิมพ์ก่อนการเชื่อมต่ออินเทอร์เน็ต
- ความเป็นส่วนตัวของสารสนเทศ มีหลักปฏิบัติดังนี้ (ต่อ)
- ติดตั้งไฟร์วอลล์ส่วนบุคคล
- ติดตั้งโปรแกรม Anti-spam
- ไม่ตอบ e-mail ที่เป็น spam ไม่ว่าจะด้วยเหตุผลใดก็ตาม
กฏหมายเกี่ยวกับความเป็นส่วนตัวของสารสนเทศ เช่น Privacy Act และ Family Educational Rights and Privacy Act เป็นต้น โดยกฏหมายนี้ส่วนใหญ่จะกล่าวถึง
- จำนวนของสารสนเทศที่จัดเก็บจะต้องจัดเก็บเท่าที่จำเป็นเพื่อการดำเนินงานของธุรกิจหรือรัฐบาลเท่านั้น
- จำกัดการเข้าถึงข้อมูลที่รวบรวมนั้น โดยให้พนักงานที่เกี่ยวข้องและจำเป็นต้องใช้ข้อมูลเพื่อการปฏิบัติงานสามารถใช้ข้อมูลนั้นได้เท่านั้น
- แจ้งให้ผู้ที่ถูกจัดเก็บข้อมูลทราบว่ากำลังจัดเก็บข้อมูลอยู่ เพื่อให้บุคคลนั้นมีโอกาสในการพิจารณาความถูกต้องของข้อมูล

บทที่ 12 เรื่องที่ 2 ความเสี่ยงที่มีต่อระบบสารสนเทศ

ความเสี่ยงด้านระบบข้อมูลสารสนเทศ 

   หมายถึง ความเสี่ยงที่เกิดขึ้นกับฐานข้อมูลต่างๆของระบบสารสนเทศภายในองค์กร อันอาจจะก่อให้เกิดความเสียหาย ข้อมูลถูกทำลายความเสี่ยงจากผู้บุกรุกข้อมูล การโจรกรรมข้อมูลที่สำคัญ เช่น ข้อมูลลูกค้า ข้อมูลผู้จัดจำหน่าย การลักลอบเข้ามาแก้ไขเปลี่ยนแปลงข้อมูล ซึ่งความเสี่ยงเหล่านี้ล้วนมีความจำเป็นที่จะต้องเข้ามาบริหารจัดการด้านข้อมูล ดังนั้นการรักษาความปลอดภัยของข้อมูลจึงเป็นเรื่องสำคัญ เนื่องจากข้อมูลสารสนเทศเป็นปัจจัยสำคัญสำหรับผู้บริหาร ที่จะนำมาช่วยสำหรับการตัดสินใจและใช้สำหรับวางแผน ดังนั้น การรักษาความปลอดภัยของข้อมูลระบบสารสนเทศ จากภัญต่างๆ ทั้งจากบุคคลภายใน บุคคลภายนอก ภัยจากธรรมชาติ หรือเหตุการณ์ใดๆ ต้องมีการวิเคราะห์และป้องกันเพื่อให้เกิดความมั่นคงต่อระบบข้อมูลสารสนเทศและเทคโนโลยี

การบริหารจัดการความเสี่ยงด้านระบบข้อมูลสารสนเทศ

   1.การรักษาความปลอดภัยข้อมูลระบบคอมพิวเตอร์และระบบเครือข่าย (Information and Network Security) เช่น การป้องกันการบุกรุกข้อมูลทางเครือข่าย การกำหนดรหัสผ่านของแต่ละบุคคลในการเข้าใช้งานเครื่องคอมพิวเตอร์

   2.การยืนยันหรือพิสูจน์ตัวตน ในระบบสารสนเทศเพื่อการเข้าถึงสารสนเทศตามความเหมาะสมกับหน้าที่ เช่น การกำหนดรหัสผ่านของผู้ใช้งาน การจำกัดสิทธิ์การเข้าใช้งานสารสนเทศ การใช้การสแกนนิ้วมือ สแกนม่านตา เพื่อพิสูจน์ตัวตน ทั้งนี้ขึ้นอยู่กับแต่ละองค์กรที่จะเลือกใช้วิธีที่เหมาะสมกับองค์กร

   3.การดูแลและป้องกันการใช้งานสื่อบันทึกข้อมูลภายนอกเพราะอาจจะควบคุมการรั่วไหลของข้อมูลสารสนเทศได้ยากและเสี่ยงกับไวรัสที่จะทำลายข้อมูลในระบบสารสนเทศอีกด้วย

   4.การสำรองข้อมูลอย่างสม่ำเสมอ และทดสอบการนำข้อมูลที่สำรองกลับมาใช้งานว่าสามารถใช้งานได้หรือไม่

   5.มีการวางแผนการซ้อมกู้ระบบสม่ำเสมอ จำลองว่าเครื่องแม่ข่ายเสียโดยการเอาออกจากเครือข่าย เราจะทำการกู้ระบบโดยใช้ระบบเวลาเท่าใดสามารถนำข้อมูลกลับมาใช้งานได้หรือไม่ วิเคราะห์ออกมาว่าองค์กรจะสูญเสียเป็นมูลค่าเท่าใด

   6.การจัดทำแผนการสำรองและการกู้คืนระบบเป็นเอกสารให้ละเอียดเพื่อให้ผู้ดูแลระบบสามารถมีแนวทางหรือวิธีการที่ถูกต้องในการปฏิบัติงาน

ความเสี่ยงด้านกลยุทธ์ (Strategic Risk)

   หมายถึง ความเสี่ยงที่เกิดจากการเปลี่ยนแปลงนโยบายองค์กร ของผู้บริหาร เนื่องจากการเปลี่ยนแปลงนโยบายและผู้บริหารองค์กรต่างๆ ทำให้ในด้านเทคโนโลยีสารสนเทศต้องมีการกำหนดยุทธศาสตร์และกลยุทธ์เปลี่ยนแปลงไป

การบริหารความเสี่ยงด้านกลยุทธ์

   โดยการสื่อสารนโยบายและผลักดันให้มีการจัดทำแผนเทคโนโลยีสารสนเทศ ในหน่วยงานทุกระดับอย่างทั่วถึง และมีการแปลงแผนไปสู่การปฏิบัติอย่างจริงจัง ซึ่งผู้ที่เกี่ยวข้องกับการดูแลและวางแผนด้านเทคโนโลยีสารสนเทศต้องมีการติดต่อสื่อสาร กับผู้บริหารและนำนโยบายมาสู่การวิเคราะห์เพื่อปรับกลยุทธ์ให้สอดคล้องกับนโยบายของผู้บริหารห

ความเสี่ยงด้านการเงิน (Financial Risk)

   หมายถึง ความเสี่ยงต่อการได้รับการสนับสนุนงบประมาณไม่เพียงพอ และต่อการเบิกจ่ายงบประมาณไม่ทันตามกำหนดเวลา หลายองค์กรมักจะพบปัญหาเหล่านี้ ซึ่งทำให้การพัฒนาหรือนำเทคโนโลยีสารสนเทศมาใช้ในองค์กรในโครงการต่างๆไม่ประสบผลสำเร็จ ทั้งนี้ต้องมีการวางแผนเพื่อป้องกันความเสี่ยงดีให้รอบคอบซึ่งสำคัญไม่น้อยทีเดียว หากการนำเทคโนโลยีสารสนเทศเล็กๆก็อาจจะไม่เห็นภาพชัดเจน หากเป็นระบบสารสนเทศใหญ่ๆ เช่น ระบบ ERP หากไม่มีการวางแผนที่ดีจะทำให้งบประมาณบานปลายอันด้วยสาเหตุที่ตัว ระบบเองก็หลักล้าน อีกทั้งค่าอิมพลีเม็นท์ก็หลีกล้านอีกเช่นกัน

การบริหารจัดการความเสี่ยงด้านการเงิน

   1.จัดทำแผนบริหารจัดการการใช้จ่ายงบประมาณอย่างละเอียด และคำนึงถึงปัจจัยต่างๆที่เกี่ยวข้องให้ครอบคลุม

   2.จัดทำแผนการบริหารความเปลี่ยนแปลงที่อาจจะเกิดขึ้น เช่น อัตราเงินที่ผันแปร ค่าอุปกรณ์ต่างๆเพิ่มสูงขึ้น ไม่สามารถหาอุปกรณ์เทคโนโลยีสารสนเทศที่ต้องการได้ การเปลี่ยนแปลงของระบบปฏิบัติการที่ใหม่ขึ้นสามารถรองรับกับระบบเทคโนโลยีสารสนเทศภายในองค์กรหรือไม่ การจ้างพนักงานเพิ่มขึ้นหรืออัตราเงินเดือนที่เพิ่มขึ้น เป็นต้น

   3.มีการติดตามการใช้งบประมาณรายจ่ายอย่างต่อเนื่อง หากผิดปกติจะได้แก้ไขและป้องกันผลกระทบต่างๆได้ทันท่วงที

   4.การนำเสนอสาเหตุที่ทำให้เกิดการเปลี่ยนแปลงของงบประมาณ หรือสาเหตุการล่าช้าในโครงการต่างๆในระบบทคโนโลยีสารสนเทศ

   5.จัดทำสรุปรายงานการใช้จ่ายงบประมาณภายในโครงการต่างๆ หรือภายในองค์กรต่อปี หรือในการพัฒนาระบบสารสนเทศ หรือการบำรุงรักษาด้านต่างๆของเทคโนโลยีสารสนเทศ เพื่อใช้ในการวางแผนการจัดตั้งงบประมาณในโครงการต่อๆไป

..... อ่านต่อได้ที่: https://www.gotoknow.org/posts/338158

บทที่ 12 เรื่องที่ 1มาตรการควบคุม

มาตรการควบคุม...

ขีดจำกัดความเร็ว (SPEED LIMIT)...

ในระดับสากล ขีดจำกัดความเร็ว( Speed limit) เป็นสิ่งสำคัญสิ่งแรกสำหรับมาตรการเพื่อให้ผู้ขับขี่ใช้ความเร็วในการขับขี่อย่างปลอดภัย โดยขีดจำกัดความเร็ว จะถูกตั้งขึ้นเพื่อควบคุมความเร็วของยานพาหนะ ให้เหมาะสมกับประเภทของถนนและประเภทของยานพาหนะ

จำกัดความเร็วเพื่ออะไร ถนนสร้างมาให้รถวิ่งเร็วมิใช่หรือ...?

คนทั่วไปมักเข้าใจว่าถนนสร้างมาเพียงเพื่ออำนวยความสะดวกรวดเร็วในการเดินทางเท่านั้น แท้จริงแล้ว ถนนมีหลายประเภท และถูกสร้างมาให้ทำหน้าที่สองประการ

หนึ่ง คือ การให้ความสามารถในการเคลื่อนที่

สอง คือ การให้ความสามารถในการเข้าออกพื้นที่ข้างทาง 

ถนนแต่ละประเภทควรให้บริการตามหน้าที่หลักของตนอย่างเหมาะสม โดย

ถนนสายหลักควรให้ความสำคัญกับความสามารถในการเคลื่อนที่ ให้รถที่เดินทางไกลสามารถเดินทางได้สะดวก รวดเร็ว ปลอดภัย ดังนั้นจะต้องมีการจำกัดตำแหน่งเชื่อมต่อและเข้าออกพื้นที่ข้างทาง เพื่อลดการตัดกระแสจราจร นั่นคือ ไม่สามารถเน้นความสามารถในการเข้าถึงพื้นที่ข้างทางกับถนนสายนี้ได้

ในขณะที่ถนนสายท้องถิ่นซึ่งเป็นถนนสายย่อย สายสั้นๆ ในเขตที่พักอาศัย ควรทำหน้าที่ให้บริการการเข้าออกพื้นที่ ในขณะที่ยังคงรักษาความปลอดภัย และความรื่นรมย์ของบริเวณที่พักอาศัย ดังนั้น เราไม่ต้องการให้รถ ใช้ถนนสายท้องถิ่นด้วยความเร็วสูง นั่นคือ ไม่สามารถเน้นความสามารถในการเคลื่อนที่กับถนนสายนี้ได้

เปรียบเทียบง่ายๆ ถ้าเราใช้ถนนผิดหน้าที่ผิดประเภท เช่น

ให้ถนนสายหลักซึ่งเปรียบเสมือนเส้นเลือดแดงใหญ่ ที่พาเลือดจากหัวใจไปเลี้ยงอวัยวะสำคัญของร่างกาย มีแรงดันเลือดต่ำๆ(ความเร็วต่ำ) แถมยังมีรูรั่วออกตามสองข้างทาง(ขาดการควบคุมการเชื่อมต่อพื้นที่ข้างทาง) เราคงไม่มีเลือดเพียงพอไปเลี้ยงสมองได้ 

ในทางกลับกัน หากเราปล่อยให้ถนนสายท้องถิ่น รถวิ่งผ่านได้ด้วยความเร็วสูงๆ ก็เปรียบ เสมือนเรายอมให้เส้นเลือดฝอยของเรามีแรงดันเลือดสูงๆ ซึ่งเส้นเลือดเล็กๆนั้นคงมีโอกาสแตก ทำให้ร่างกายเราเจ็บป่วยได้

“เราคงไม่อยากให้ถนนหน้าบ้านในย่านที่พักอาศัย อยู่ในสภาพของเส้นเลือดฝอยในสมองที่รอวันแตก”

ในพื้นที่ หนึ่งๆ การจะให้ถนน สามารถทำหน้าที่ของมันได้ทั้งสองอย่าง คือสามารถให้ความสามารถในการเคลื่อนที่และความสามารถในการเข้าออกพื้นที่ข้างทาง

ต้องใช้ถนนหลายๆประเภท ประกอบกันเป็นโครงข่ายถนนที่สมบูรณ์ เพื่อให้ถนนแต่ละสายสามารถให้บริการตามหน้าที่ที่เหมาะสม

ดังนั้น ไม่จำเป็นต้องให้รถวิ่งได้เร็วบนถนนทุกสาย การเลือกใช้ความเร็วให้เหมาะสมกับประเภทและหน้าที่ของถนนเป็นสิ่งสำคัญและเป็นความจำเป็นอย่างเร่งด่วน หากต้องการลดการตายบนถนน

ขีดจำกัดความเร็วในต่างประเทศ

GRSP(2008) [1] รวบรวมค่าเฉลี่ยความเร็วที่ใช้ในกลุ่มประเทศที่พัฒนาแล้ว และประเทศกำลังพัฒนา ดังนี้

ขีดจำกัดความเร็วเฉลี่ยในกลุ่มประเทศพัฒนาแล้ว (GRSP 2008)

ประเภทถนน 

ขีดจำกัดความเร็ว

ถนนในเขตเมือง 

30-50 กม./ชม.

ทางหลวงสายหลัก หรือ ทางในชนบท 

70-100 กม./ชม.

มอเตอร์เวย์ 

90-130 กม./ชม.

ขีดจำกัดความเร็วในประเทศกำลังพัฒนา (GRSP 2008)

นอกเขตเมือง 

เขตเมือง

อาร์เจนตินา 

80-100 

40-60

รัฐเกรละ (Kerala), อินเดีย 

70 

40

รัฐอุตตร(Uttar Pradesh), อินเดีย 

ไม่กำหนด 

ไม่กำหนด

กานา 

90 

50

อินโดนีเซีย 

80-100 

40-60

มาเลเซีย 

90 

50

เนปาล 

ไม่กำหนด 

ไม่กำหนด

เวียดนาม 

40-60 

30-40

ยูกันดา 

100 

65

หากเมื่อย้อนมองกฎหมายการควบคุมความเร็ว[2]ในบ้านเรา กลับพบว่า กฎหมายไทยกำหนดขีดจำกัดความเร็วในเขตเมืองที่ 80 กม./ชม. ซึ่งสูงมากเมื่อเทียบกับขีดจำกัดความเร็วของประเทศพัฒนาแล้วอื่นๆ ซึ่งมักกำหนดขีดจำกัดความเร็วในเขตเมืองเพียงแค่ 30-50 กม./ชม.

จึงไม่น่าแปลกใจที่ตัวเลขการตายในเขตบนถนนในเขตเมืองจะสูงถึง 85 เปอร์เซ็นต์ของการตายทั้งหมดเลยทีเดียว

การเตือน

มาตรการการเตือนผู้ขับขี่จากบริเวณเสี่ยงอันตราย หรือบริเวณที่มีการเปลี่ยนสิ่งแวดล้อมในการขับขี่ ถูกใช้อย่างแพร่หลายมานานหลายสิบปี โดยทั่วไป มาตรการการเตือน เช่น ป้ายเตือน การทาสีบริเวณอันตรายการติดตั้งหลักนำทาง หรือเครื่องหมายนำทางบนพื้นทาง เครื่องหมายจราจรบนพื้นทาง 

ปัจจุบัน มีการเสริมประสิทธิภาพในการทำงานของอุปกรณ์การเตือนแบบเก่า ด้วย อุปกรณ์การเตือนแบบที่ “แอคทิฟ”มากขึ้น เช่น ป้ายที่มีไฟกระพริบ ป้ายที่แสดงข้อความเมื่อมีรถผ่าน สัญญาณไฟกระพริบ ไฟเตือนหรือสัญลักษณ์เตือนที่จะสว่างขึ้นเมื่อรถที่วิ่งเข้ามาขับเร็วเกินกำหนด

ป้ายเตือน... เตือนผู้ขับขี่ ให้ลดความเร็วเมื่อเข้าสู่ชุมชนข้างหน้า การเตือนด้วยป้าย สำคัญที่การบำรุงรักษา ให้สามารถใช้งานได้เสมอทั้งในเวลากลางวันและกลางคืน

เครื่องหมายจราจรบนพื้นทาง...

อาจเป็นการขีดสีตีเส้น หรือลักษณะนูนขึ้นมาเป็นปุ่มเหมือนในภาพ เพื่อเตือนผู้ขับขี่ก่อนถึงทางแยก

การเน้นวัตถุอันตราย...เพื่อเน้นวัตถุอันตรายข้างทางให้สามารถเห็นได้อย่างเด่นชัด เช่น การติดตั้งบั้งสะท้อนแสงบริเวณต้นไม้ข้างทาง การเน้นต้นไม้ข้างทาง

การนำทางบริเวณโค้งหักศอก...เช่นการใช้ปุ่มสะท้อนแสง หลักนำโค้ง หรือเครื่องหมายเชฟรอนนำโค้ง เพื่อสื่อสารลักษณะความโค้งของโค้งข้างหน้าให้ผู้ขับขี่สามารถรับรู้ได้อย่างชัดเจน ทั้งในเวลากลางวันและในเวลากลางคืน 

การเตือนด้วยเสียงและแรงสั่นสะเทือน….เตือนผู้ขับขี่ถึงสภาพอันตรายข้างหน้าหรือ เตือนให้ทราบถีงสภาพถนนที่เปลี่ยนไปด้วย แรงสั่น สะเทือนและเสียง ซึ่งเกิดขึ้นเมื่อรถเคลื่อนที่ผ่านบริเวณพื้นที่ที่จงใจทำให้ไม่เรียบ เทคนิคดังกล่าว สามารถใช้เตือนผู้ขับขี่ในบริเวณทางเข้า( Gateways) เช่น บริเวณก่อนเข้าหมู่บ้าน (Village Gateway) หรือบริเวณก่อนเข้าทางแยก(intersection approach) เทคนิคการทำผิวให้ไม่เรียบ สามารถขุดถนนเป็นร่องเล็กๆ (Grooves cut) หรือ ทำเป็นแถบนูนยาวๆ (raised strips) ในแนวขวางทิศทางการเดินรถ ตลอดแนวความกว้างของถนน และทาสีให้สามารถเห็นได้ชัดเจน

Passive Perceptual Countermeasures… เป็นมาตรการลดความเร็วที่มีวัตถุประสงค์เพื่อสร้างสิ่งแวดล้อมที่เพิ่มการสื่อสารกับผู้ขับขี่ถึงความเร็วที่ควรจะใช้ เพื่อให้ผู้ขับขี่ ลดความเร็วลง หรือใช้ความเร็วที่เหมาะสม เทคนิคที่ใช้เช่น การเพิ่มสิ่งเร้าสายตาใกล้ขอบถนน หรือเพิ่มความถี่ของเส้นขวางถนนซึ่งจะทำให้ผู้ขับขี่รู้สึกว่าขับเร็วกว่าความเร็วที่แท้จริง เป็นต้น

- เครื่องหมายจราจรบนผิวทาง ทำให้ทางข้างหน้าเหมือนแคบลง 

- การตีเส้น Speed bars ทำให้ทางข้างหน้าดูเหมือนแคบลง ขณะเดียวกัน จะทำให้คนขับเกิดความรู้สึกว่าขับเร็วกว่าความเร็วที่ใช้อยู่จริง เมี่อวิ่งผ่านเส้น speed bars

- การเพิ่มสิ่งเร้าตาข้างถนนในประเทศจีน-ทำให้มองดูเหมือนมีสิ่งกีดขวางข้างทาง 

- การทาสีเตือนบริเวณอันตราย-สร้างความรู้สึกถึงบริเวณอันตรายด้วยการทาสีบนถนน

ปากทางเข้า

หมายถึง การจัดบริเวณทางเข้าเพื่อลดความเร็วของกระแสจราจรในบริเวณทางเข้าเมืองหรือชุมชน

การจัดบริเวณทางเข้าดังกล่าว อาจเป็นเพียงการปักป้ายหรือทาสีถนนบริเวณทางเข้า (Visual treatments) หรือการจัดบริเวณทางเข้าในลักษณะการสร้างสิ่งกีดขวางบนถนน (Physical restrictions) หรือในลักษณะผสม ตัวอย่างการให้สัญลักษณ์บริเวณปากทางเข้าหมู่บ้านในประเทศอังกฤษ[3] ซึ่งมีการติดป้ายขีดจำกัดความเร็ว จัดทำเกาะกลาง และมีการวางแนวคันหินให้ถนนแคบลง

ตัวอย่าง การจัดทำปากทางเข้าชุมชนในประเทศอังกฤษ[4]โดยมีการติดตั้งป้ายขีดจำกัดความเร็ว ด้วยการทาสีลักษณะฟันปลาฉลามบนถนน เพื่อให้ดูเหมือนทางแคบลง

เนินชะลอความเร็ว

ชนิดของเนินชะลอความเร็ว หนึ่งในมาตรการการสยบ/ยับยั้ง การจราจรที่นิยมใช้อย่างแพร่หลาย ใช้ในถนนสายท้องถิ่น (ปริมาณจราจรน้อยกว่า 500 คันต่อวัน) เป็นพื้นที่ผิวจราจรที่ยกสูงขึ้นโดยใช้ติดตั้งขวางทิศทางการจราจร ซึ่งจะแตกต่างกันอย่างชัดเจนจากลูกระนาดชะลอความเร็วหรือลูกเนินกระโดด (Speed Bump) ที่มีความยาวสั้น ๆ โดยมากพบเนิน 3 ชนิด คือ 

เนินหลังกลม[5]

· หลังเนินอาจมีรูปร่างต่างกันออกไป เช่น รูปโค้งพาราโบล่า โค้งวงกลม โค้งรูปซายน์

· ความยาวของเนินมาตรฐาน 3.7 เมตร สูง 75 mm-100 mm

· สำหรับเนินสูง 75mm ความเร็วเฉลี่ย 24 km/hr และความเร็วที่ 85 เปอร์เซ็นไทล์ 31 km/hr

· สำหรับเนินสูง 100 mm ความเร็วเฉลี่ย 22 km/hr

ขนาดมาตรฐานของเนินหลังกลมแบบวัตต์

เนินหลังแบน

ผิวบนของเนินแบนราบ นอกจากชะลอความเร็วของรถแล้ว ยังสามารถใช้เป็นทางข้าม

ความเร็วเฉลี่ยของรถยนต์เมื่อผ่านเนินหลังแบนมีค่าประมาณ 22 km/hr สำหรับเนิน สูง 7.5ซม.

สำหรับเนินสูง 7.5 ซม. ควรมีความชัน 1:5หรือมากกว่า เพื่อควบคุมความเร็วเฉลี่ยให้ต่ำกว่า26 km/hr

ความกว้างของหลังเนิน ไม่มีผลต่อความเร็วเท่าไรนัก แต่จะมีผลต่อความปลอดภัยและความสะดวกสบายของคนเดินข้ามถนน

ขนาดมาตรฐานและป้ายและเครื่องหมายจราจรของเนินหลังแบนแบบ Wombat crossing[6]

Speed cushions[7]

คือเนินชะลอความเร็วที่ไม่คลอบคลุมตลอดความกว้างของช่องจราจร ดังนั้น รถขนาดใหญ่สามารถ

กว้างของช่องจราจร ดังนั้น รถขนาดใหญ่สามารถผ่านเนินลักษณะนี้โดยที่หนึ่งล้อจะไม่ต้องเหยียบผ่านเนิน ความเร็วของรถเมื่อผ่าน Speed cushions จะลดลงเมื่อเพิ่มขนาดความกว้างของเนิน โดยเมื่อเนินมีความกว้างเหมาะสมสำหรับรถประจำทางแล่นผ่าน ความเร็วเฉลี่ยของรถที่ผ่านเนินจะมีค่าประมาณ 30 km/hr 

บทที่ 11 คำศัพท์พร้อมคำแปล

1. การวางแผนองค์กร                               Organizational Planning
2. แผนการ                                                Plan
3. การวางแผนกลยุทธ์                              Strategic Planning
4. วิสัยทัศน์เชิงกลยุทธ์                             Strategic Visioning
5. การวางแผนปฏิบัติการ                          Operation Planning
6. แบบจำลองธุรกิจ                                   Business Model
7. พันธกิจ                                                  Mission
8. วิสัยทัศน์                                               Vision
9. แผนปฏิบัติการ                                       Operation Planning
10. การวิเคราะห์                                        Analysis Phase

บทที่ 11 เรื่องที่ 3 แบบจำลองธุรกิจและการวางแผน

แบบจำลองทางธุรกิจ (Business Model)

o ความสำคัญของแบบจำลองทางธุรกิจ
เป็นกลไกในการขับเคลื่อนกระบวนการในการจัดการอย่างมีกลยุทธ์เพื่อนำพาองค์กรกรให้ประสบความสำเร็จและมีผลประกอบการที่ดีได้

o ความหมายของแบบจำลองทางธุรกิจ (Business Model)
หมายถึง วิธีการที่องค์กรคิดค้นขึ้ นมาเพื่อประยุกต์ใช้ทรัพยากรขององค์กรอย่างเต็มที่ อันจะก่อให้เกิดผลกำไรสูงสุดและเพิ่มมูลค่าของสินค้าและบริการ

1. Customer Segments กลุ่มของลูกค้า
เป็นการแบ่งกลุ่มของลูกค้า เพื่อหาข้อมูลว่า ลูกค้าในแต่ละกลุ่มนั้น มีความต้องการอย่างไร มีลักษณะสำคัญอย่างไร พฤติกรรมเป็นอย่างไร หรือ ปัญหาที่ลูกค้าพบคืออะไร เป็นต้น

2. Value Proposition การนำเสนอคุณค่า
คือ สินค้า และ บริการ ที่มูลค่าเพิ่มที่ใส่เข้าไปในสินค้า หรือ บริการ แล้วทำให้ตำแหน่งของสินค้าและบริการของเรา อยู่ในตำแหน่งที่เหนือกว่าสินค้าอื่นๆ ทั่วๆ ไป หรือ ที่อยู่ในท้องตลาด

3. Channels ช่องทางการเข้าถึงลูกค้า
เป็นช่องทางการจัดจำหน่ายก็มี หรือบางคน ก็ใช้เป็น Logistics ก็มี บางคนการวางแผนกลยุทธ์ทางด้านการตลาด จะมองจุดนี้เป็นช่องทางการจัดจำหน่าย บางคนการวางแผนกลยุทธ์ทางด้านการจัดการ ก็จะมองจุดนี้เป็น Logistics ก็มี

4. Customer Relationships ความสัมพันธ์กับลูกค้า
เมื่อเราจะกำหนด Customer Relationships ในจุดนี้ ต้องมองในมุมของ ลูกค้าเป็นหลัก เพราะถ้ามองในมุมของเจ้าของสินค้า ความคลาดเคลื่อนอาจจะมีมากด้วย
ในการวางแผนกลยุทธ์ทาง ด้านการตลาด ในเรื่องของ Customer Relationships ค่อนข้างมีความสำคัญ เพราะเป็นตัวบ่งบอกว่า ลูกค้าจะกลับมาซื้อซ้ำหรือไม่ หรือ ลูกค้าจะบอกต่อให้เพื่อนๆใช้สินค้านี้หรือไม่

5. Revenue Streams ช่องทางการเข้าถึงลูกค้า
ทางเข้าของรายได้ หลายๆสาย และการที่รายได้เข้ามาเป็นสาย นั่นหมายถึง ความมั่นคงทางการเงินที่มากขึ้น

6. Key Partners คู่ค้าดำเนินธุรกิจที่สำคัญ
หมายถึง บริษัทฯ อื่น ที่มีผลต่อการดำเนินธุรกิจของเรา หรือ สนับสนุนธุรกิจของเราให้ดำเนินไปอย่างปกติ หรือ ดำเนินไปได้ดีขึ้นจากปกติ เพื่อหากลยุทธ์จากข้อมูลต่างๆที่ป้อนเข้าไปในกล่องนี้

7. Key Activities กิจกรรมหลัก
เป็นกิจกรรมที่จะสนับสนุนให้ สินค้า และ บริการ มีมูลค่าเพิ่มมากขึ้น หรือ เป็นตัวเชื่อมโยงระหว่าง คู่ค้า-ดำเนินธุรกิจหลัก ว่า ควรมีกิจกรรมอย่างไรเพื่อให้ คู่ค้าสนับสนุนธุรกิจเราได้ดีมากยิ่งขึ้น
กิจกรรม อาจจะเป็นกิจกรรมที่ส่งผลให้ กลุ่มลูกค้า เกิดความพึงพอใจ หรือ เป็นกิจกรรมร่วมระหว่างองค์กรกับลูกค้าด้วยก็ได้ หรือ เป็นกิจกรรมที่สนับสนุนการขาย เป็นช่องทางการขายเพิ่มมากขึ้น หรือ ให้บริการได้ดีขึ้น ทั้งนี้ กิจกรรมที่จะดำเนินการ อาจจะแฝงด้วยผลกำไรอีกทางก็จะดีไม่น้อย บางครั้ง กิจกรรมนี้ ในทางการวางแผนกลยุทธ์ทางการผลิต ก็จะหมายถึง การผลิต ด้วย

8. ทรัพยากรหลัก
เป็นวัตถุดิบ (Material) ที่ใช้ในการผลิตก็ได้ เพื่อให้สินค้าและบริการดีขึ้น หรือ จะเป็นสินค้าอื่นๆ ที่ซื้อมาเพื่อขายร่วมกับสินค้าก็ได้ ในการแผนผลิตภัณฑ์ ก็อาจจะกล่าวถึง Packaging ที่สนับสนุนให้การส่งสินค้าดีขึ้น บางครั้งก็จะกล่าวถึง Key Man ในช่องนี้ ทรัพยากรบุคคล เครื่องจักรการผลิต เหล่านี้เป็นต้น

9. Cost Structure โครงสร้างค่าใช้จ่าย
โครงสร้างค่าใช้จ่าย ดูจากค่าใช้จ่ายที่เกิดขึ้นในแต่ละขั้นตอนหรือ จากกล่อง 1-8 ทั้งนี้จะทำให้เห็นภาพรวมของค่าใช้จ่ายที่เกิดขึ้นว่า มีจำนวนประมาณเท่าใด จุดใดเสียค่าใช้จ่ายมาก หรือ น้อยอย่างไร และเป็นตัวบ่งชี้ว่า จะสามารถคุมค่าใช้จ่ายให้เหมาะสม ณ จุดใด ซึ่ง กล่องที่ 9 โครงสร้างค่าใช้จ่าย และ กล่องที่ 5 กระแสรายได้ จะบ่งบอกถึง สถานะทางการเงินของธุรกิจ