สถาปัตยกรรมองค์กร EGA

สถาปัตยกรรมองคก์ รของสานกั งานรัฐบาลอิเล็กทรอนิกส์ (องค์การมหาชน)

โครงสร้ำงพ้ืนฐำน

Hardware (Client) Hardware (Server) & Virtualization
Client
Web Server DB Server Web&DB Server

ความสัมพนั ธ์ระหวา่ งแอปพลเิ คชนั สนับสนุน ระบบปฏบิ ตั HR Client
การ และฮาร์ดแวร์ Welfare Client
Financial Client
Procurement Client
Asset Client
Minute of Meeting Client
Intranet Web Server
EGA-Website Web Server
EGA Contact Web Server
OC Web Server
EGA DB Server
HR DB Server
EGA Contact DB Server
Risk Server
Appointment Server
Customer Server
Project Tracking Server

Database MS SQL Server 2008 XX X X
Management
แอปพ ิลเค ัชนสนับสนุน MySQL Server XXX

PostgreSQL 8.4 X

MS Access X

Web Server IIS XXXX X

Apache httpd 2.2 XX

Thin X

โครงส ้รำง Windows Server 2008 XXXXXXXXXXX
พื้นฐำน
Operating Windwos XP X
System
Windwos 7 X XXXX

ตารางที่ ๑๕ ตารางความสมั พันธร์ ะหว่างโครงสร้างพนื้ ฐาน (ระบบปฏิบัตการและฮาร์ดแวร)์ และแอปพลเิ คชัน

สนับสนนุ

๓.๕ ด้านความมน่ั คงปลอดภัย (Security)
ความมั่นคงปลอดภัย (Security) เข้ามามีส่วนเก่ียวข้องกับด้านอ่ืนๆของสถาปัตยกรมองค์กร

ทั้งด้านธุรกิจ แอปพลิเคชัน ข้อมูล และโครงสร้างพ้ืนฐาน โดยที่ความม่ันคงปลอดภัยจะพิจารณาถึงหลักการ
GRC ซีงเน้นในเร่ือง ธรรมาภิบาล (Governance) การบริหารจัดการความเส่ียง (Risk Management) และ
ความสอดคล้องกับกฎระเบียบ (Compliance) แต่ละส่วนถูกแบ่งออกเป็น ๔ ระดับนั่นคือ (๑) กฎหมาย
(Law) (๒) นโยบาย (Polycy) (๓) ข้อบังคับและระเบียบ (Regulation) และ (๔) มาตฐาน (Standard) รูปที่
๒๑ แสดงรายการมาตรการควบคุมทที่ างสานกั งานนามาหรือกาหนดขึ้นมาใช้สาหรับการดาเนินงานด้านความ
มน่ั คงปลอดภยั ตามท่แี สดงในรูปท่ี ๒๑

๔๗ | ห น้ า

สถาปตั ยกรรมองคก์ รของสานกั งานรัฐบาลอิเล็กทรอนกิ ส์ (องคก์ ารมหาชน)

Governance Risk Compliance

Standard Reguration Policy Law พรบ.วา่ ด้วยการกระทา พรบ. วา่ ด้วยธุรกรรมทาง พรฎ. กาหนดหลักเกณ แ์ ละ พรฎ.ว่าดว้ ยความปลอดภัย พรบ.ลขิ สิทธ์ิ พ.ศ. ๒๕๓๗ พรบ.ข้อมูลข่าวสารของทาง ระเบยี บ คตง. วา่ ดว้ ยการ
ความผิดทางคอมพวิ เตอร์ อเิ ลก็ ทรอนิกส์ พ.ศ. ๒๕๔๔ วธิ ีการในการทาธรุ กรรมทาง ในการทาธรุ กรรมทาง ราชการพ.ศ. ๒๕๔๐ กาหนดมาตรฐานการควบคมุ
อิเล็กทรอนิกสภ์ าครฐั พ.ศ.
พ.ศ. ๒๕๕๐ อิเล็กทรอนกิ ส์ พ.ศ. ๒๕๕๓ ภายในพ.ศ. ๒๕๕๕
๒๕๔๙
ระเบยี บ สรอ. วา่ ด้วยการ
นโยบายและคมู่ ือดา้ นความ นโยบายการควบคมุ การ นโยบายการใช้งานระบบ นโยบายการบริหารจัดการ ตรวจสอบภายใน พ.ศ.
มั่นคงปลอดภยั สารสนเทศ เขา้ ถงึ ขอ้ มลู และระบบ เทคโนโลยีสารสนเทศท่ี ระบบเครอื ข่าย (Network
(Information Security เทคโนโลยีสารสนเทศ เหมาะสม (Acceptable Management Policy) ของ ๒๕๕๕
Policy & Manual) ของ (Access Control Policy) Use Policy) ของ สรอ.
สรอ.
สรอ. . ข้อบงั คบั คณะกรรมการ
สรอ. วา่ ดว้ ยการเงินและการ ข้อบังคบั ว่าด้วยพสั ดุ พ.ศ.
ข้อบงั คับคณะกรรมการ ขอ้ บังคบั คณะกรรมการ ๒๕๔๔ ระเบียบว่าด้วยหลกั เกณ ์
สรอ. วา่ ดว้ ยประมวล สรอ. วา่ ดว้ ยการบริหารงาน บญั ชี พ.ศ. ๒๕๕๕ และวิธปี ฏบิ ัตเิ กีย่ วกบั การ
จรยิ ธรรมของคณะ
บคุ คล พ.ศ. ๒๕๕๔ พสั ดุ พ.ศ. ๒๕๕๐
กรรมการบริหาร
ผอู้ านวยการและผปู้ ฏิบัตงิ าน

สรอ. พ.ศ. ๒๕๕๕

มาตรฐานความม่นั คง COSO-ERM
ปลอดภัยสารสนเทศ

ISO/IEC 27001

รปู ที่ ๒๑ ภาพรวมของมาตรการควบคุมความม่นั คงปลอดภัย

ขณะท่ีในตารางที่ ๑๖ แสดงรายการมาตรการควบคุมความมั่นคงปลอดภัยที่ทางสานักงาน
นามาหรอื กาหนดข้นึ มาใช้สาหรบั การดาเนินงานด้านความมั่นคงปลอดภัย

มาตรการควบคมุ คาอธิบาย ขอบเขตการ แหล่งทม่ี า
บังคับใช้
ก หมาย ราชกิจจานุเบกษา
ท้งั องคก์ ร ราชกิจจานุเบกษา
พรบ.ว่าดว้ ยการกระทาความผดิ ทาง กฎหมายวา่ ด้วยการกระทาความผดิ ทาง ท้ังองคก์ ร ราชกจิ จานเุ บกษา
ราชกิจจานุเบกษา
คอมพวิ เตอร์ พ.ศ. ๒๕๕๐ คอมพวิ เตอร์ ทง้ั องค์กร ราชกจิ จานเุ บกษา
ราชกิจจานเุ บกษา
พรบ. วา่ ด้วยธรุ กรรมทางอเิ ลก็ ทรอนิกส์ กฎหมายวา่ ดว้ ยการกระทาธุรกรรมทาง ทั้งองคก์ ร
ทั้งองคก์ ร สรอ.
พ.ศ. ๒๕๔๔ อเิ ล็กทรอนกิ ส์ ทงั้ องคก์ ร

พรฎ. กาหนดหลักเกณ แ์ ละวิธกี ารในการ กฎหมายว่าด้วยการกาหนดหลักเกณ แ์ ละวิธีการใน ทงั้ องค์กร

ทาธรุ กรรมทางอิเลก็ ทรอนิกสภ์ าครฐั พ.ศ. การทาธรุ กรรมทางอเิ ลก็ ทรอนกิ สภ์ าครัฐ

๒๕๔๙

พรฎ.ว่าด้วยความปลอดภัยในการทาธรุ กรรม กฎหมายว่าดว้ ยความปลอดภยั ในการทาธุรกรรมทาง

ทางอเิ ลก็ ทรอนกิ ส์ พ.ศ. ๒๕๕๓ อเิ ล็กทรอนกิ ส์

พรบ.ลิขสทิ ธ์ิ พ.ศ. ๒๕๓๗ กฎหมายวา่ ดว้ ยการคมุ้ ครองด้านลขิ สทิ ธ์ิ

พรบ.ข้อมูลข่าวสารของทางราชการพ.ศ.

๒๕๔๐ กฎหมายว่าดว้ ยข้อมลู ขา่ วสารของทางราชการ

นโยบาย

นโยบายดา้ นความม่นั คงปลอดภยั สารสนเทศ นโยบายดา้ นความมั่นคงปลอดภยั สารสนเทศของ

ของ (Information Security Policy) ของ สานกั งานถกู กาหนดให้เป็นไปตามขอ้ กาหนดของ

สานักงาน ISO/IEC 27001

๔๘ | ห น้ า

สถาปัตยกรรมองคก์ รของสานักงานรฐั บาลอิเล็กทรอนิกส์ (องค์การมหาชน)

นโยบายการควบคมุ การเข้าถึงข้อมูลและ นโยบายการควบคมุ การเข้าถึงขอ้ มลู และระบบ ทั้งองคก์ ร สรอ.
ระบบเทคโนโลยสี ารสนเทศ (Access เทคโนโลยีสารสนเทศของสานกั งาน ทง้ั องค์กร สรอ.
Control Policy) ของสานกั งาน ทั้งองค์กร สรอ.
ทัง้ องค์กร สรอ.
นโยบายการใช้งานระบบเทคโนโลยี นโยบายในการใชง้ านระบบเทคโนโลยสี ารสนเทศที่
สารสนเทศ (Acceptable Use Policy) ของ เหมาะสมของสานกั งาน
สานกั งาน

นโยบายการบริหารจดั การระบบเครอื ขา่ ย นโยบายในการบริหารจัดการระบบเครอื ข่ายของ
(Network Management Policy) ของ สานกั งาน
สานักงาน

นโยบายและคู่มือบริหารความเส่ียง นโยบายและคมู่ ือบริหารความเสยี่ ง

ข้อบังคบั และระเบยี บ

ขอ้ บังคับคณะกรรมการ สรอ. วา่ ดว้ ย ขอ้ บงั คับการกาหนดมาตรฐานทางจรยิ ธรรมของผู้

ประมวลจริยธรรมของคณะกรรมการบรหิ าร ดารงตาแหน่งทางการเมือง ข้าราชการ หรอื ทั้งองค์กร สรอ.

ผู้อานวยการและผู้ปฏบิ ตั ิงาน สรอ. พ.ศ. เจา้ หนา้ ทข่ี องรฐั เป็นไปตามประมวลจรยิ ธรรมที่

๒๕๕๕ กาหนดขึน้

ข้อบงั คบั คณะกรรมการ สรอ. ว่าดว้ ยการ ข้อบงั คับการบรหิ ารงานบคุ คล ทั้งองค์กร สรอ.
บรหิ ารงานบคุ คล พ.ศ. ๒๕๕๔
ทั้งองค์กร สรอ.
ขอ้ บังคบั คณะกรรมการ สรอ. วา่ ด้วยการเงิน ข้อบงั คับการบรกิ ารการเงินและบญั ชี ทงั้ องค์กร สวทช.
และการบญั ชี พ.ศ. ๒๕๕๕ ทั้งองคก์ ร สวทช.

ข้อบังคับว่าด้วยพัสดุ พ.ศ. ๒๕๔๔ ขอ้ บังคับว่าด้วยพสั ดุ ทง้ั องค์กร ราชกิจจานเุ บกษา

ระเบยี บวา่ ด้วยหลกั เกณ ์และวิธปี ฏิบตั ิ หลกั เกณ ์และวิธีปฏิบตั เิ กี่ยวกบั การพัสดุ
เก่ยี วกับการพสั ดุ พ.ศ. ๒๕๕๐

ระเบียบ คตง. ว่าด้วยการกาหนดมาตรฐาน ระเบียบ คตง. ว่าดว้ ยการกาหนดมาตรฐานการ

การควบคุมภายในพ.ศ. ๒๕๕๕ ควบคมุ ภายใน

มาตรฐาน

ISO/IEC 27001 มาตรฐานดา้ นความมั่นคงปลอดภยั สารสนเทศ สว่ นงานท่ี British
COSO-ERM Framework สาหรับการบริหารจดั การความเสย่ี ง เกย่ี วขอ้ งกับ Standards
บรกิ าร G-Cloud Institution (BSI)

ทั้งองค์กร The Committee
of Sponsoring
Organizations

(COSO)

ตารางที่ ๑๖ รายการมาตรการควบคุมความมน่ั คงปลอดภยั

จากตารางที่ ๑๖ พบว่ามีการนามาตรฐาน ISO/IEC27001:2013 มาใช้ในการรักษาความ
ม่ันคงปลอดภัยสารสนเทศ โดยเริ่มจากส่วนงานที่เก่ียวข้องกับบริการ G-Cloud ของสานักงาน และมีการ
ดาเนินงานตาม นโยบาย ข้อบังคบั ระเบียบ และกฎหมายท่ีเกยี่ วข้อง ตารางท่ี ๑๗ แสดงความสมั พนั ธ์ระหว่าง
มาตรการควบคุมความมนั่ คงปลอดภยั กับส่วนงาน ภาคผนวก ค จะแสดงให้เหน็ ความเชื่อมโยงการประยุกต์ใช้
ระหว่างข้อกาหนดและมาตรการควบคุมด้านความม่ันคงปลอดภัยสารสนเทศ ตามมาตรฐาน
ISO/IEC27001:2013 กับ นโยบาย ขอ้ บังคบั ระเบียบ และกฎหมายท่ีเกยี่ วขอ้ งกับการดาเนนิ งาน

๔๙ | ห น้ า

สถาปตั ยกรรมองค์กรของสานักงานรัฐ

มำตรกำรควบคุมควำมปลอภยั /สว่ นงำน PSP PSS PSC PSR INR INA INS CS

กฎหมาย ฝ่ ย โย ยแล ฝ่ ย ัต ม
พรบ.วำ่ ดว้ ยกำรกระทำควำมผิดทำงคอมพวิ เตอร์ พ.ศ. ๒๕๕๐
พรบ. ว่ำด้วยธรุ กรรมทำงอิเล็กทรอนิกส์ พ.ศ. ๒๕๔๔

พรฎ. กำหนดหลักเกณฑ์และวธิ กี ำรในกำรทำธุรกรรมทำงอเิ ล็กทรอนิกส์ภำครฐั พ .ศ. ๒๕๔๙

พรฎ.ว่ำดว้ ยควำมปลอดภัยในกำรทำธุรกรรมทำงอเิ ล็กทรอนิกส์ พ.ศ. ๒๕๕๓
พรบ.ลิขสิทธ์ิ พ.ศ. ๒๕๓๗
พรบ.ข้อมลู ข่ำวสำรของทำงรำชกำรพ.ศ. ๒๕๔๐
นโยบาย
นโยบำยด้ำนควำมมนั่ คงปลอดภัยสำรสนเทศของ (Information Security Policy) ของสำนักงำน
นโยบำยกำรควบคมุ กำรเข้ำถึงข้อมลู และระบบเทคโนโลยีสำรสนเทศ (Access Control Policy) ของสำนักงำน
นโยบำยกำรใช้งำนระบบเทคโนโลยีสำรสนเทศ (Acceptable Use Policy) ของสำนักงำน
นโยบำยกำรบรหิ ำรจดั กำรระบบเครอื ข่ำย (Network Management Policy) ของสำนักงำน
นโยบำยและคูม่ อื บรหิ ำรควำมเส่ียง
ข้อบงั คบั และระเบยี บ
ข้อบังคับคณะกรรมกำร สรอ. วำ่ ด้วยประมวลจรยิ ธรรม ฯ สรอ. พ.ศ. ๒๕๕๕
ข้อบังคับคณะกรรมกำร สรอ. ว่ำด้วยกำรบรหิ ำรงำนบุคคล พ.ศ. ๒๕๕๔
ข้อบังคับคณะกรรมกำร สรอ. ว่ำด้วยกำรเงินและกำรบัญชี พ.ศ. ๒๕๕๕
ข้อบังคบั ว่ำดว้ ยพสั ดุ พ.ศ. ๒๕๔๔
ระเบียบว่ำด้วยหลักเกณฑ์และวิธีปฏิบัตเิ ก่ียวกบั กำรพสั ดุ พ.ศ. ๒๕๕๐
ระเบียบ คตง. วำ่ ด้วยกำรกำหนดมำตรฐำนกำรควบคมุ ภำยในพ.ศ. ๒๕๕๕
มาตรฐาน
ISO/IEC 27001
COSO-ERM

VT หมำยถงึ ทีมท่ีถกู กำหนดขนึ้ มำเพื่อด
หมำยถงึ หนว่ ยงำนท่ีต้องปฏบิ ัติตำม
หมำยถงึ หนว่ ยงำนท่ีดำเนนิ กำรควบ
หมำยถงึ หนว่ ยงำนท่ีต้องปฏบิ ัติตำม

ตารางที่ ๑๗ ตารางความสมั พนั ธ์ระหว่างมาตร

๕๐ | ห น้ า

ฐบาลอเิ ลก็ ทรอนกิ ส์ (องคก์ ารมหาชน)

SB CSM CSK CSI CSP CST CSC ENI ENM ENS ENT ADD1 ADD2 ADQ ADM CMF CMH CMG CMP CMD ODS ODI ODL AI VT

ฝ่ ย ิ ใหค้ ป ึ ษ ฝ่ ย ศิ มแล ฝ่ ยพัฒ แล จัด ฝ่ ย หิ ป สทิ ธภิ พ ฝ่ ยอ ย

ดำเนนิ กำรควบคุม (Virtual Team)
มมำตรกำรควบคุมควำมมั่นคงควำมปลอดภยั
บคุมให้เป็นไปตำมมำตรกำรควำมมั่นคงปลอดภยั
มและควบคุมให้เป็นไปตำมมำตรกำรควบคุมควำมม่ันคงควำมปลอดภยั

รการควบคุมความม่ันคงปลอดภัยกบั สว่ นงาน

สถาปัตยกรรมองค์กรของสานกั งานรัฐบาลอเิ ล็กทรอนกิ ส์ (องค์การมหาชน)

๓.๖ การวิเคราะห์ศักยภาพของสถานะปัจจุบันของสถาปัตยกรรมองค์กร สรอ. ตามหลักการ TOWS
Matrix

จากการสารวจและรวบรวมข้อมูลตั้งแต่นโยบาย วิสัยทัศน์ ยุทธศาสตร์ พันธกิจ แผนการ
ดาเนินงานต่างๆ ท่ีเกี่ยวข้อง อันได้แก่ ด้านธุรกิจ (Business) ด้านแอปพลิเคชัน (Application) ด้านข้อมูล
(Data) ด้านโครงสร้างพื้นฐาน (Infrastructure) และด้านความมั่นคงปลอดภัย (Security) ถูกนามาวิเคราะห์
ด้วยหลักการ TOWS Matrix เพื่อกาหนดเป็นกลยุทธ์สาหรับการพัฒนาสถาปัตยกรรมภายในองค์กรของ สรอ.
ดังนี้
๑) กลยุทธ์ SO :

เป็นการจบั ครู่ ะหวา่ งจดุ แขง็ (Strenght) กบั โอกาส (Opportunity) โดยทั้งคเู่ ปน็ ปัจจยั เชงิ บวก
สรปุ องค์กรควรจะใช้จุดแข็งและโอกาสร่วมกัน เพ่ือสร้างความได้เปรยี บในการแข่งขนั
๒) กลยทุ ธ์ ST :

เป็นการจบั คู่ระหว่างจุดแข็งกับอปุ สรรค โดยจุดแขง็ (Strength) เปน็ ปัจจยั เชิงบวกและมีอุปสรรค
(Threat) เปน็ ปจั จัยเชิงลบ
สรุป องค์กรต้องการนาปัจจัยเชิงบวกไปจัดการกับปัจจัยเชิงลบ คือ นาจุดแข็งมาใช้เพ่ือป้องกันหรือ
หลกี เล่ยี งอปุ สรรค
๓) กลยุทธ์ WO :
เป็นการจับคู่ระหว่างจุดอ่อนกับโอกาส โดยจุดอ่อน (Weakness) เป็นปัจจัยเชิงลบแต่มีโอกาส
(Opportunity) เปน็ ปจั จัยเชิงบวก
สรปุ องค์กรต้องนาปัจจยั เชิงบวกไปจัดการกบั ปจั จัยเชงิ ลบ คอื นาโอกาสมากาจดั จุดอ่อนหรือ นาโอกาส
มาใช้ให้เกิดประโยชน์ตอ่ องค์กร
๔) กลยทุ ธ์ WT :
เป็นการจบั ครู่ ะหวา่ งจดุ ออ่ น (Weakness) กับอุปสรรค (Threat) โดยท้ังคเู่ ปน็ ปจั จัยเชิงลบ
สรุป องค์กรต้องคิดกลยุทธ์หรือแนวทางที่กระทาแล้วสามารถกาจัดจุดอ่อนได้และสามารถป้องกัน
อุปสรรคไดด้ ว้ ยในคราวเดยี วกนั

๕๑ | ห น้ า

สถาปัตยกรรมองคก์ รของสานักงานรฐั บาลอเิ ล็กทรอนิกส์ (องคก์ ารมหาชน)

S : จดุ แขง็ W : จุดออ่ น

S1 : มกี ารกาหนดขั้นตอนของกระบวนการการ W1 : มขี ัน้ ตอนในการดาเนินงานหลายขน้ั ตอน

ปัจจยั แวดลอ้ มภายใน ปฏบิ ัตงิ าน (BPI) W2 : มแี อปพลเิ คชนั ไมค่ รอบคลมุ ทุก

S2 : มีการนาเอาแอปพลเิ คชันมาชว่ ยในการ กระบวนการปฏบิ ตั งิ านท่สี าคญั

ดาเนินงาน W3 : ขอ้ มลู มีการจัดเกบ็ ซา้ ซ้อน

S3 : ข้อมลู ถกู จดั เกบ็ อยา่ งเปน็ ระบบในรูปแบบของ W4 : ขาดผ้รู บั ผดิ ชอบข้อมูลสาหรับขอ้ มูลท่ีใช้

RDBMS งานรว่ มกนั

ปจั จยั แวดลอ้ มภายนอก S4 : มเี ครือข่ายภายในทห่ี ลากหลาย เชน่ Wire LAN,
Wireless LAN, และ Voice Network

S5 : มีการนาเอาเทคโนโลยใี หมๆ่ มาปรบั ใช้ในองค์กร

เช่น Cloud computing

O : โอกาส สรา้ งความไดเ้ ปรยี บ กาจดั จุดออ่ น

O1 : ข้อตกลงร่วมระหวา่ งการปฏบิ ัติของแต่ละ S1,O1, : กาหนด OLA ของแตล่ ะกระบวนการ W1,W2,O4 : นาเอาแอปพลิเคชนั ทรี่ องรบั
กระบวนการ (OLA : Operational Level ปฏิบตั งิ านภายในองค์กร กฎหมายเกย่ี วขอ้ งกับธรุ กรรมทางอเิ ล็กทรอนิกส์
Agreement) มาใช้งาน
S2,S3,S4,S5,O2,O3 : ปรับปรุงเทคโนโลยสี ารสนเทศ W1,W2,W3,W4,O2,O3 : ออกแบบ
O2 : องคก์ รมีบุคลากรมคี วามเชย่ี วชาญด้าน อยา่ งตอ่ เนือ่ งเพ่ือใหส้ อดรับกบั การดาเนนิ งานทาง สถาปตั ยกรรมระบบและขอ้ มลู เพ่ือลดการจดั เก็บ
เทคโนโลยีสารสนเทศ ทง้ั ดา้ น แอปพลเิ คชนั ธรุ กิจมากย่ิงขึน้ ข้อมูลทซ่ี ้าซอ้ นพร้อมท้งั กาหนดผู้รับผิดชอบท่ี
ข้อมูล เครือขา่ ย และความปลอดภยั S2,O4 : ปรบั ปรงุ แอปพลเิ คชนั ใหร้ องรบั กบั ชัดเจน
สารสนเทศ พระราชบัญญัติวา่ ดว้ ยธรุ กรรมทางอเิ ลก็ ทรอนิกส์
พ.ศ. ๒๕๔๔
O3 : การเปล่ยี นแปลงด้านเทคโนโลยมี ีการ
เปลี่ยนแปลงท่ีรวดเรว็

O4 : ภาครัฐมีกฎหมายรองรบั พระราชบัญญัติว่า

ด้วยธรุ กรรมทางอเิ ล็กทรอนิกส์ พ.ศ. ๒๕๔๔

T : อุปสรรค หลกี เล่ยี งอปุ สรรค หลกี เลยี่ งอุปสรรคและกาจดั จดุ ออ่ น

T1 : เนอื่ งจากกระบวนการทางธรุ กจิ มกี าร S2,T1,T2 : ออกแบบการพฒั นาแอปพลเิ คชันให้มี W1,W2,W3,W4,T1,T2 : ดาเนนิ การพฒั นา
เปลีย่ นแปลง ส่งผลใหแ้ อปพลเิ คช่ันทใ่ี ช้อยู่
อาจจะไมต่ อบสนองความตอ้ งการในปจั จบุ ัน ความยดื หยุ่นเพ่อื รองรบั การเปลยี่ นแปลงกระบวนการ สถาปัตยกรรมภายในองค์กรของ สรอ. อยา่ ง

T2 : การเปลยี่ นแปลงดา้ นเทคโนโลยมี กี าร ทางธรุ กิจ ตอ่ เน่ือง

เปลีย่ นแปลงท่รี วดเร็ว

ตารางที่ ๑๘ แสดงการวเิ คราะห์ TOWS Matrix ของสถาปัตยกรรมปจั จุบนั ของ สรอ.

๕๒ | ห น้ า

สถาปัตยกรรมองค์กรของสานักงานรัฐบาลอิเลก็ ทรอนกิ ส์ (องค์การมหาชน)

บทท่ี ๔ การออกแบบสถาปัตยกรรมองค์กรในอนาคต

จากการสารวจสถานะปัจจุบันของสถาปัตยกรรม สรอ. โดยสะท้อนผ่านทางมุมมองของ
สถาปัตยกรรมองค์กร ทั้ง ๓ มุมมอง (EGA Enterprise Architecture Viewpoints) ๔ กระบวนการ การ
พฒั นาสถาสถาปัตยกรรมองค์กร (Enterprise Architecture Development Processes) และ ๕ แบบจาลอง
อ้างอิงองค์กร (Enterprise Reference Models) แสดงให้เห็นถึงประเด็นปัญหาในปัจจุบัน นอกเหนือจาก
ปัจจัยภายในด้านต่างๆเหลา่ น้ีท่ีส่งผลต่อการพัฒนาสถาปัตยกรรมองค์กรของ สรอ. แล้ว ยังพบปัจจัยภายนอก
ท่ีมีผลต่อการพัฒนาดว้ ย ยกตัวอย่างเช่น การเปล่ียนแปลงเทคโนโลยีรวดเรว็ ความต้องการทางธรุ กิจท่ีมีความ
หลากหลายหรอื มกี ารขยายตวั เพิ่มมากขน้ึ รวมทงั้ การเปลยี่ นแปลงดา้ นนโยบายทางการเมือง เป็นต้น

โดยการออกแบบสถาปัตยกรรมองค์กรในอนาคต จะนาเอาท้ังปัจจัยภายใน (นั้นคือ
ประเด็นปัญหาจากการวิเคราะห์สถานะปัจจุบันและความต้องการจากหลักการสถาปัตยกรรม) และปัจจัย
ภายนอกมาใช้เพ่ือบูรณาการสถาปัตยกรรมองค์กร ทั้งด้านธุรกิจ เทคโนโลยีสารสนเทศและความม่ันคง
ปลอดภยั ดงั แสดงใน รปู ที่ ๒๒

ปจั จัยภายนอก  Politic : ปจั จยั ดา้ นนโยบายและการเมือง

 Economic : ปจั จัยดา้ นเศรษฐกจิ
 Social : ปัจจยั ด้านสังคม

 Technology : ปัจจัยด้านเทคโนโลยแี ละนวตั กรรมใหม่

 Enviromental : ปจั จยั ดา้ นสภาพแวดล้อม
 Legal : ปจั จยั ด้านกฎหมาย

 3 viewpoints : มุมมองของสถาปัตยกรรมองค์กร

- มุมมองฝา่ ยบรหิ าร (Management)

- มุมมองผู้ใช้งาน (User)

ปัจจยั ภายใน - มมุ มองเชงิ พัฒนา (Developer)

 5 Models : สถาปตั ยกรรมองคก์ รแตล่ ะดา้ น

- ดา้ น Business - ด้าน Infrastructure

- ดา้ น Application - ดา้ น Security

- ดา้ น Data

รูปท่ี ๒๒ ภาพแสดงปจั จยั ภายนอกและภายใน

๔.๑ ด้านธุรกจิ (Businesses)

จากผลการสารวจและการวิเคราะห์สถานะปัจจุบันของสถาปัตยกรรมองค์กร ด้านธุรกิจ
สามารถสรุปประเด็นปัญหาและหลักการดา้ นธุรกจิ ได้ดังน้ี
ประเดน็ ปญั หา (Issue)
๑) บางกระบวนการปฏบิ ัติงานมีขน้ั ตอนการปฏิบัติงาน (กจิ กรรม การตดั สินใจและการอนุมตั )ิ จานวนมาก
๒) การติดต่อประสานงานระหว่างกระบวนการหรือระหว่างส่วนงานใช้เวลาค่อนข้างมาก เน่ืองจากการ

ประสานงานยังใช้ช่องทางผ่านการประชุมหรือผ่านทางเอกสาร (กระดาษ) เป็นส่วนใหญ่ รวมท้ังผ่านทาง
จดหมายอิเลก็ ทรอนิกส์
๓) บางกระบวนการยังขาดผูร้ บั ผดิ ชอบท่ีชดั เจนหรือมีความซา้ ซ้อนในอานาจหนา้ ที่ของการปฏบิ ัตงิ าน
๔) ขาดความเชอ่ื มโยงระหว่างกระบวนการ สง่ ผลใหไ้ ม่สามารถตดิ ตามสถานะของการปฏบิ ตั งิ านได้
๕) มกี ารสูญหายของข้อมูล (เอกสาร) ระหวา่ งกระบวนการ

๕๓ | ห น้ า

สถาปัตยกรรมองคก์ รของสานักงานรัฐบาลอิเล็กทรอนิกส์ (องค์การมหาชน)

หลกั การด้านธุรกจิ (Business Principle)
๑) มีกระบวนการและขั้นตอนการปฏิบัติงานท่ีเป็นมาตรฐาน ควรมีการนิยามให้ชัดเจน เข้าใจง่าย และมีการ

ประกาศใช้อย่างเป็นทางการ รวมไปถึงการกาหนดเวลาในการปฏิบัติงาน (Operational Level
Agreement)
๒) มขี ้นั ตอนการปฏิบตั งิ านที่ กระชบั และไมซ่ า้ ซ้อน เพ่ือลดเวลาและเพิม่ ความถกู ต้องในการปฏิบัติงาน
๓) มีการกาหนดขอบเขต บทบาท หน้าที่ และความรับผิดชอบต่อกระบวนการปฏิบัติงานท่ีชัดเจน เพื่อช่วย
ลดการทางานท่ซี ้าซ้อน
๔) มุ่งเนน้ การลดการใช้กระดาษให้มากที่สุด

ประเด็นปัญหาท่ีพบจากการวิเคราะห์และหลักการด้านธุรกิจถูกนามาใช้เพื่อการดาเนินการ
ออกแบบสถาปตั ยกรรมองค์กรในอนาคตตามท่ีแสดงใน

Marketing/ PC-C01 PC-C02 PC-C03 PC-C04
Planning กาหนดนโยบายรฐั บาลอเิ ล็กทรอนกิ ส์ กาหนดยทุ ธศ์ าสตร์และ วจิ ัยตลาด บรหิ ารการตลาด

Core Business Process Research and PC-C05 แผนกลยทุ ธ์ PC-C09 PC-C10
Development วจิ ยั และพัฒนาผลติ ภณั ์/บรกิ าร พัฒนาผลิตภัณ ์/บรกิ าร ผลิตภณั ์/บริการชว่ งพฒั นา
PC-C06
จัดทาตน้ แบบและมาตรฐาน ชว่ งพัฒนา PC-C14
PC-C13 บริการหลังการขาย
Build, Acquire PC-C07 PC-C08 ออกแบบ ควบคมุ
and Implement วิเคราะหแ์ ละออกแบบ บริหารโครงการ ผลิตภัณ ์/บรกิ าร PC-S04
ผลติ ภณั ์/บริการ ชว่ งพัฒนา PC-S08
Sell, Deliver, ผลิตภัณ ์/บรกิ าร PC-S03 PC-S12
Service and PC-C12 PC-S16
PC-C11 บริหารโครงการ PC-S07
Support บริหารการขาย PC-S11 PC-S21

Supporting Process PC-S01 PC-S02 PC-S15
PC-S05 /
Internal Support PC-S09 PC-S20
PC-S13 PC-S06
Monitor, PC-S17 PC-S10
Evaluate and PC-S18 PC-S14

Assess PC-S19

กระบวนการท่คี าดว่าจะปรบั ปรงุ

รูปที่ ๒๓ จากรูปจะเห็นได้ว่ามี ๘ หมวดกระบวนการ ที่คาดว่าจะปรับปรุง โดยแบ่งเป็น ๒
หมวดกระบวนการหลกั และ ๖ หมวดกระบวนการสนบั สนุน ตารางท่ี ๑๙ แสดงผลการวิเคราะหค์ วามแตกต่าง
(Gap Analysis) ระหวา่ งสถานะปัจจบุ นั และอนาคตของสถาปตั ยกรรมองค์กรดา้ นธุรกจิ

๕๔ | ห น้ า

สถาปัตยกรรมองค์กรของสานักงานรัฐบาลอเิ ล็กทรอนิกส์ (องคก์ ารมหาชน)

Marketing/ PC-C01 PC-C02 PC-C03 PC-C04
Planning กาหนดนโยบายรัฐบาลอิเล็กทรอนกิ ส์ กาหนดยุทธศ์ าสตร์และ วิจัยตลาด บรหิ ารการตลาด

Core Business Process Research and PC-C05 แผนกลยุทธ์ PC-C09 PC-C10
Development วจิ ัยและพัฒนาผลติ ภัณ ์/บรกิ าร พฒั นาผลิตภัณ ์/บรกิ าร ผลิตภัณ ์/บริการชว่ งพัฒนา
PC-C06
จดั ทาต้นแบบและมาตรฐาน ช่วงพัฒนา PC-C14
PC-C13 บรกิ ารหลงั การขาย
Build, Acquire PC-C07 PC-C08 ออกแบบ ควบคมุ
and Implement วเิ คราะห์และออกแบบ บริหารโครงการ ผลิตภัณ ์/บรกิ าร PC-S04
ผลิตภัณ ์/บรกิ าร ช่วงพัฒนา PC-S08
Sell, Deliver, ผลิตภัณ ์/บริการ PC-S03 PC-S12
Service and PC-C12 PC-S16
PC-C11 บรหิ ารโครงการ PC-S07
Support บรหิ ารการขาย PC-S11 PC-S21

Supporting Process PC-S01 PC-S02 PC-S15
PC-S05 /
Internal Support PC-S09 PC-S20
PC-S13 PC-S06
Monitor, PC-S17 PC-S10
Evaluate and PC-S18 PC-S14

Assess PC-S19

กระบวนการทคี่ าดวา่ จะปรบั ปรงุ

รูปที่ ๒๓ ภาพรวมของกระบวนการธรุ กิจในอนาคต

หมวดกระบวนการ รายละเอยี ด

PC-C11: บรหิ ารการขาย มจี านวนกิจกรรมมากเปน็ อันดบั ๓ (๑๑๖ กิจกรรม) และมีจานวน
PC-C14: บริการหลังการขาย การตดั สินใจมากเปน็ อนั ดบั ๓ (๒๖ คร้งั )
PC-S01: บรหิ ารและพฒั นาบุคลากร
มจี านวนการตดั สนิ ใจมากเป็นอนั ดบั ๒ (๔๒ คร้ัง)
PC-S02: บรหิ ารงานจดั ซือ้ /จัดจ้าง
PC-S03: บริหารงานพสั ดุ มีจานวนกจิ กรรมมากเปน็ อันดบั ๑ (๓๐๓ กจิ กรรม) มจี านวนการ
ตัดสนิ ใจมากเปน็ อันดบั ๑ (๔๔ คร้งั ) และมีการขออนุมตั หิ ลาย
PC-S05: บริหารการเงินและบญั ชี ขั้นตอน
PC-S12: บรหิ ารฝา่ ยอานวยการ
มีการขออนมุ ัตหิ ลายขั้นตอน

การตรวจนับครภุ ณั ป์ ระจาปียงั คงใช้กระดาษในการจดบนั ทกึ
ครุภณั ท์ ี่ตรวจสอบและจะนาขอ้ มลู ทจ่ี ดบนั ทึกบนกระดาษมา
บนั ทกึ ข้อมูลลงในระบบตอ่ ไป ซงึ่ ข้อมูลทีไ่ ดม้ านนั้ อาจบนั ทึกไม่
ครบถว้ นหรือบันทึกผดิ ส่งผลให้ตอ้ งกลบั ไปตรวจสอบใหมอ่ กี ครง้ั

ขาดความเชอื่ มโยงระหว่างกระบวนการ

มีจานวนกจิ กรรมมากเปน็ อันดับ ๒ (๑๑๘ กิจกรรม) และมีจานวน
การตัดสินใจมากเป็นอันดับ ๓ (๒๖ คร้งั )

๕๕ | ห น้ า

สถาปตั ยกรรมองค์กรของสานักงานรฐั บาลอิเล็กทรอนิกส์ (องค์การมหาชน)

PC-S13: บรหิ ารงานแผนนโยบายและงบประมาณ มกี ารแจ้งข้อมูลการโอนงบประมาณผ่านทางกระดาษ ทาให้ใช้เวลา
ประสานงานทค่ี ่อนข้างมากและอาจเกิดการสูญหายของข้อมลู

ตารางที่ ๑๙ แสดง Gap Analysis ของสถาบัตยกรรมด้านธรุ กจิ

๔.๒ ดา้ นแอปพลเิ คชัน (Applications)

จากผลการสารวจและการวิเคราะห์สถานะปัจจุบันของสถาปัตยกรรมองค์กร ด้านแอปพลิเค
ชัน สามารถสรปุ ประเดน็ ปญั หาหลกั และหลกั การด้านแอปพลิเคชัน ไดด้ ังนี้

ประเด็นปญั หา (Issue)

๑) แอปพลิเคชันทใ่ี ช้งานในปัจจุบนั ไม่ได้ครอบคลุมถึงกระบวนการปฏบิ ตั งิ านที่สาคัญ

๒) บางแอปพลิเคชันที่ใช้งานในปัจจุบันไม่สามารถตอบสนองความต้องการการใช้งาน เช่น การออกรายงาน

ไดต้ ามความตอ้ งการเนือ่ งจากบางแอปพลเิ คชนั ก็ไม่สามารถพฒั นาเพ่มิ เติมตอ่ ยอดได้

ตารางท่ี ๒๐ แสดงหมวดกระบวนการที่ยังไม่มีแอปพลเิ คชนั รองรับการดาเนินงาน ซง่ึ พบว่ามี

ทง้ั หมด ๘ หมวดกระบวนการทย่ี งั ไมม่ ีแอปพลิเคชันรองรบั คดิ เปน็ 22% จากทง้ั หมด ๓๖ หมวด

รหสั หมวดกระบวนการ

PC-C01 กาหนดนโยบายรัฐบาลอเิ ลก็ ทรอนกิ ส์

PC-C03 วิจัยตลาด

PC-C05 วจิ ัยและพฒั นาผลติ ภณั ์/บรกิ าร

PC-C06 จดั ทาต้นแบบและมาตรฐาน

PC-S10 กระบวนการบริหารการเปล่ยี นแปลง

PC-S16 จัดการทรพั ยส์ นิ ทางปัญญา

PC-S18 สารวจความพงึ พอใจการใชบ้ ริการ

PC-S20 ประเมนิ ผลการให้บรกิ าร

ตารางท่ี ๒๐ แสดงหมวดกระบวนการทีย่ ังไมม่ แี อปพลเิ คชันรองรบั การดาเนนิ งาน

ตารางท่ี ๒๑ แสดงรายการแอปพลเิ คชันท่ไี ม่สามารถเพิ่มเติมหรอื ปรับปรงุ ได้ เนอื่ งจากแอป
พลเิ คชนั เหลา่ น้ีเป็น ซอฟต์แวร์สาเรจ็ รปู ซึง่ พบว่ามีทงั้ หมด ๔ แอปพลเิ คชัน คิดเป็น 21% จากทั้งหมด ๑๙
แอปพลเิ คชัน

รายการแอปพลิเคชนั

Welfare Management
Procurement Management
Financial Management
Asset Management

ตารางที่ ๒๑ แสดงแอปพลิเคชนั ที่ไม่สามารถเพิ่มเติมหรือปรับปรงุ ได้

หลกั การดา้ นแอปพลิเคชนั (Application Principle)

๕๖ | ห น้ า

สถาปัตยกรรมองคก์ รของสานักงานรัฐบาลอเิ ลก็ ทรอนกิ ส์ (องคก์ ารมหาชน)

๑) แอปพลิเคชนั ควรจะเชื่อมโยงกันผ่านทาง API: API จะชว่ ยให้แอปพลิเคชันที่มีสถาปัตยกรรมที่แตกต่างกัน
สามารถเชอ่ื มโยงขอ้ มูลกนั ไดส้ ะดวก

๒) แอปพลเิ คชนั ควรมีความพร้อมใชอ้ ย่เู สมอ
ประเด็นปัญหาท่ีพบจากการวิเคราะห์และหลักการด้านแอปพลิเคชันถูกนามาใช้เพ่ือการ

ดาเนินการออกแบบสถาปัตยกรรมองค์กรในอนาคตตามท่ีแสดงในรูปที่ ๒๔ จากรูปในส่วนของ Business
Applications จะเห็นได้ว่ามี ๓ แอปพลิเคชันท่ีคาดว่าจะปรับปรุง ๖ แอปพลิเคชันที่คาดว่าจะยกเลิก และ ๔
แอปพลิเคชันที่คาดว่าจะนาเข้ามาใช้งาน ในส่วนของ Supporting Applications จะพบว่ามีเพียง Identiy
Management (IDM) เท่านั้นท่ีจะถูกนาเข้ามาใช้เพ่ือบริหารจัดการ User Accounts ในส่วนของ API คาดว่า
จะมีการใช้เพื่อบริหารจัดการ Master Data ซ่ึงจะดาเนินการนาร่องกับ ๖ ข้อมูล ตารางท่ี ๒๒ แสดงผลการ
วิเคราะห์ความแตกต่าง (Gap Analysis) ระหว่างสถานะปัจจุบันและอนาคตของสถาปัตยกรรมองค์กรด้าน
แอปพลเิ คชนั

๕๗ | ห น้ า

สถาปตั ยกรรมองคก์ รของสานกั งานรัฐบาลอเิ ลก็ ทรอนิกส์ (องคก์ ารมหาชน)

HR Mgt. Asset Mgt. EGA Back-end Minute of Appointment CRM Contact
Meeting Mgt. Center
E-Learning
Welfare Mgt. Contact Saraban Operation ISO Project Procurement
Center Center Document Tracking Mgt.

Procurement Problem Risk Mgt. Intranet Document Change Mgt.
Mgt. Tracking Mgt.

Financial Mgt. Customer Knowledge
Mgt. Mgt.

Businesses Applications

Software Application VPN Software Active VUlnerability Office Suite Identity
Development Performance Directory Scanner Management
Monitoring Webmail/
Tools Mobile Mail (IDM)
Database Mgt. Uptime
Monitoring Telephone LDAP Security Email Server
and Data System Monitoring Software
Integration Tools
Tool Cloud
Source Code Network Management
Management Monitoring IP Phone Log Firewall
System Management Management
Source Code Traffic
Security Management Tool Tool
Scanner
Two-Factor Firewall

Antivirus Authenticatio Monitoring
n Tool
Supporting Applications

OpenID Product Organization Employee Customer Supplier Asset
Service Structure Service Service Service Service
Service
API

คาดว่าจะเพ่ิมเข้ามา คาดวา่ จะปรับปรงุ คาดวา่ จะยกเลิก

รูปที่ ๒๔ ภาพรวมของแอปพลิเคชนั ในอนาตต

๕๘ | ห น้ า

สถาปตั ยกรรมองค์กรของสานักงานรฐั บาลอเิ ลก็ ทรอนกิ ส์ (องคก์ ารมหาชน)

ชอ่ื แอปพลิเคชนั รายละเอียด

Customer Relationship Management เปน็ แอปพลเิ คชนั ทพี่ ัฒนาขน้ึ มาแทน Customer Management

(CRM) เน่อื งจากแอปพลเิ คชันเดมิ ไมต่ อบสนองการใช้งานในปจั จบุ นั ซึง่ มี

สาเหตมุ าจากบางบรกิ ารมีความซบั ซอ้ นสงู

Contact Center เป็นแอปพลิเคชนั ทพ่ี ัฒนาขน้ึ มาให้ครอบคุมฟังก์ชันการทางานของ

Contact Center เดมิ และ Problem Tracking เพื่อลดความ

ซา้ ซอ้ นของขอ้ มลู และจะเพ่ิมฟงั กช์ นั การทางานใหมเ่ ขา้ ไปเพ่ือ

ตอบสนองกับกระบวนการดาเนินงานในปจั จบุ ัน

E-learning เป็นแอปพลิเคชนั ที่ใหล้ ูกค้าเข้ามาเรียนรเู้ ก่ยี วกบั เนอื้ หาการอบรม

เช่นการอบรม CIO การอบรม e-CMS และ IPV6 เป็นตน้ ซ่งึ E-

learning จะตอบสนองกระบวนการ PC-C10 ผลติ ภณั /์ บริการชว่ ง

พฒั นา

Procurement Management เปน็ แอปพลเิ คชันท่พี ฒั นาข้นึ มาแทน Procurement

Management เดิมเนือ่ งจากแอปพลิเคชนั เดมิ ไมค่ รอบคลุม

กระบวนการ PC-S02 บริหารงานจัดซื้อจัดจ้างทงั้ หมด และแอป

พลิเคชันเดมิ เปน็ แอปพลเิ คชันสาเรจ็ รปู ซง่ี ไม่สามารถปรับปรุงได้

Change Management เป็นแอปพลเิ คชนั ทีใ่ ชส้ าหรับบริหารจดั การการเปลยี่ นแปลง ซง่ึ จะ

สอดคล้องกับกระบวนการ PC-S10 บรหิ ารการเปลยี่ นแปลง

Identity Management (IDM) IDM จะทาหน้าทีเ่ ปน็ ตัวกลางในการปรับปรงุ User Account ณ จุด

เดยี ว เนื่องจาก User Account ถกู จดั กบั ไวใ้ นหลาย Servers เชน่

OpenID (LDAP), Mail Service (LDAP) และ Policy Control (AD)

ซ่งึ IDM จะตอบสนองกระบวนการ PC-S09 บริหารความมน่ั คง

ปลอดภยั ระบบสารสนเทศ

Prodcut, Organization Structure, เปน็ API สนิ ค้าและผลิคภณั ์ โครงสร้างองค์กร พนักงาน ลกู คา้

Employee, Customer, Supplier, and Asset ผขู้ ายและผูป้ ระสานความรว่ มมือ และครภุ ณั ์ ซ่งึ API จะเปน็ ตัว

Services บรหิ ารจดั การ Master Data เพ่อื ลดความซา้ ซ้อนของขอ้ มูล ซ่งึ API

จะตอบสนองกระบวนการ PC-C09 พัฒนาผลิตภณั /์ บริการชว่ ง

พฒั นา

ตารางที่ ๒๒ แสดง Gap Analysis ของสถาบัตยกรรมด้านแอปพลิเคชนั

๔.๓ ด้านขอ้ มลู (Data)

จากผลการสารวจและการวิเคราะห์สถานะปัจจุบันของสถาปัตยกรรมองค์กร ด้านข้อมูล
สามารถสรปุ ประเดน็ ปัญหาและหลักการดา้ นข้อมลู ไดด้ งั นี้

ประเดน็ ปญั หา (Issue)
๑) มกี ารจดั เก็บข้อมลู ที่ซ้าซอ้ นและยงั ขาดการบริหารจดั การ Master Data ท่ดี ี
๒) ยังขาดผูร้ บั ผิดชอบข้อมูลทีช่ ัดเจนสาหรับขอ้ มลู ท่ีใชง้ านรว่ มกัน สง่ ผลใหข้ อ้ มูลไม่ไดร้ บั การทบทวน

เปล่ยี นแปลงหรือแก้ไขใหเ้ ปน็ ปจั จุบัน

๕๙ | ห น้ า

สถาปัตยกรรมองคก์ รของสานกั งานรฐั บาลอเิ ล็กทรอนิกส์ (องค์การมหาชน)

หลักการดา้ นข้อมลู (Data Principle)
๑) ควรมีการบริหารจัดการข้อมูลให้อยู่ในรูปแบบ Single Source โดยมีการกาหนด Data Operation และ

Data Governance ท่ีเหมาะสม
๒) มุ่งเนน้ ไปสู่การเป็นองคก์ รทใี่ ช้ขอ้ มูล เพอ่ื การตัดสนิ ใจในการทางาน (Data-driven Organization)

ประเด็นปัญหาท่ีพบจากการวิเคราะห์และหลักการด้านข้อมูลถูกนามาใช้เพื่อการดาเนินการ
ออกแบบสถาปัตยกรรมองค์กรในอนาคตตามท่ีแสดงในรูปท่ี ๒๕ การวิเคราะห์ความแตกต่าง (Gap Analysis)
เปน็ ไปตามที่แสดงในตารางที่ ๒๓

Data warehouse

โครงสร้างองคก์ ร/ บุคลากร ลกู ค้า ผ้ขู าย/ผู้ประสาน วสั ดุ/ครภุ ัณ ์ สินค้า/บริการ ความเสย่ี ง ยทุ ธศาสตร์/ สารบรรณ
ตาแหนง่ ความรว่ มมือ ตวั ช้วี ดั การ
ดาเนินงาน

การเงิน การขาย องค์ความรู้ เอกสาร/รายงาน ทรัพยากร ประชาสัมพนั ธ์ Source Code/
Log File

รปู ที่ ๒๕ ภาพรวมขอ้ มลู ในอนาตต

ชือ่ ข้อมูล รายละเอียด

โครงสร้างองค์กร/ตาแหนง่ บคุ ลากร ลูกค้า ขอ้ มลู Master data เหล่านเ้ี ป็นขอ้ มูลหลักขององค์กรท่ีถกู นามาใช้

ผขู้ าย/ผปู้ ระสานความร่วมมอื วสั ดุ/ครุภณั ์ ตลาดท้งั องคก์ รจงึ ควรทจ่ี ะถูกบรหิ ารจัดการอยูท่ ่ีจดุ เดียว แลว้ ทาการ

สนิ ค้า/บรกิ าร แชร์ข้อมูลไปยงั สว่ นตา่ งๆ

Data warehouse เป็นศนู ย์รวมขอ้ มูลของทง้ั องคก์ รเพอื่ มุง่ เนน้ การนาเอาข้อมลู มาชว่ ยใน

การตัดสินใจของผบู้ ริหาร

ตารางท่ี ๒๓ แสดง Gap Analysis ของสถาบัตยกรรมดา้ นข้อมูล

๔.๔ ด้านโครงสรา้ งพ้นื ฐาน (Infrastructure)

จากผลการสารวจและการวิเคราะห์สถานะปัจจุบันของสถาปัตยกรรมองค์กรด้านข้อมูล
สามารถสรุปประเดน็ ปญั หาและหลักการด้านโครงสรา้ งพ้นื ฐาน ไดด้ ังนี้

ประเดน็ ปัญหา (Issue)
๑) เครอื ข่าย Wired LAN มีออกแบบทยี่ ากต่อการขยายตวั
๒) เครอื ขา่ ย Wireless LAN ขาดความต่อเนอ่ื งในการใหบ้ รกิ าร

๖๐ | ห น้ า

สถาปตั ยกรรมองค์กรของสานักงานรัฐบาลอิเลก็ ทรอนิกส์ (องค์การมหาชน)

หลักการด้านโครงสรา้ งพนื้ ฐาน (Infrastructure Principle)
๑) พัฒนาโครงสร้างพื้นฐานสารสนเทศโดยใช้ Cloud Computing เป็นหลัก และเน้นการใช้ทรัพยากร

ร่วมกัน: มุ่งเน้นการใช้ Cloud Computing ท้ังในระดับ Infrastructure as a service (IaaS) Platform
as a service (PaaS) และ Software as a service (SaaS)

ประเด็นปัญหาที่พบจากการวิเคราะห์และหลกั การด้านโครงสร้างพ้ืนฐานถูกนามาใชเ้ พื่อการ
ดาเนินการออกแบบสถาปัตยกรรมองค์กรในอนาคตตามท่ีแสดงในรูปที่ ๒๖ การวิเคราะห์ความแตกต่าง (Gap
Analysis) เปน็ ไปตามท่ีแสดงในตารางที่ ๒๔

Hardware Operating Windows Linux
(Client) System
Infrastructure Desktop Laptop Tablet LCD Monitor Access Control IP Phone CCTV Call Center
Computer

Hardware Web Server Database Print Server E-Mail Server Log Server IP Phone CCTV Telephone
(Server) Virtualization Server AD Server LDAP Server Storage Server Server Server server
& Virtualization
Anti-virus Backup Server Monitor Server
Server

Location Network Internet Link Wired LAN Wireless LAN Phone VLAN VPN
Network

Data Center

รูปท่ี ๒๖ ภาพรวมของโครงสรา้ งพน้ื ฐานในอนาตต

โครงสร้างพน้ื ฐาน รายละเอยี ด

Wired LAN เครือขา่ ย Wired LAN มอี อกแบบทย่ี ากตอ่ การขยายตวั

Wireless LAN เครือขา่ ย Wireless LAN ขาดความต่อเนือ่ งในการใหบ้ รกิ าร

ตารางท่ี ๒๔ แสดง Gap Analysis ของสถาบัตยกรรมดา้ นโครงสร้างพืน้ ฐาน

๔.๕ ดา้ นความมนั่ คงปลอดภัย (Security)
จากผลการสารวจและการวเิ คราะหส์ ถานะปัจจุบนั ของสถาปัตยกรรมองคก์ รด้านความมั่นคง

ปลอดภัย สามารถสรปุ ประเด็นปัญหาและหลกั การด้านความมัน่ คงปลอดภัย ได้ดังน้ี

ประเด็นปญั หา (Issue)
๑) มาตรฐานความมัน่ คงปลอดภยั (ISO/IEC 27001) ถกู นามาบังคบั ใช้เฉพาะส่วนงานทีเ่ กีย่ วขอ้ งการบริการ

G-Cloud ระดับ Infrastructure as a service (IaaS)
๒) มีการระบุประเด็นปัญหาความเสีย่ ง (Risk) แต่มบี างประเด็นยงั ไมม่ ีมาตรการควบคุมความเสย่ี ง

(Controls)
๓) บคุ ลากรยงั ไม่ไดต้ ระหนักเกย่ี วกับความมนั่ คงปลอดภยั เท่าที่ควร (Awareness)

๖๑ | ห น้ า

สถาปตั ยกรรมองคก์ รของสานักงานรัฐบาลอิเล็กทรอนกิ ส์ (องคก์ ารมหาชน)

หลักการด้านความมนั่ คงปลอดภัย (Security Principle)
๑) การปฏิบัติงานควรดาเนินงานได้อย่างต่อเนื่อง นั่นคือ ควรมีการจัดทาแผนความต่อเน่ืองทางธุรกิจ

(Business Continuity Plan) และการวางแผนกูค้ นื กรณเี กดิ ภยั พบิ ตั ิ (Disaster Revery Plan)
๒) ตระหนักในด้านม่ันคงปลอดภัยสาหรับการพัฒนาสถาปัตยกรรมองค์ท้ังทางด้านธุรกิจ ด้านแอปพลิเคชัน

ด้านข้อมูล และด้านโครงสร้างพื้นฐาน: ความมั่นคงปลอดภัยเข้ามามีส่วนเกี่ยวข้องกับด้านอื่นๆของ
สถาปัตยกรรมองค์กร

ประเด็นปัญหาที่พบจากการวิเคราะห์และหลักการด้านความม่ันคงปลอดภัยถูกนามาใช้เพ่ือ

การดาเนินการออกแบบสถาปัตยกรรมองค์กรในอนาคตเป็นไปตามท่ีแสดงในรูปที่ ๒๗ ขณะท่ีการวิเคราะห์

ความแตกตา่ ง (Gap Analysis) เปน็ ไปตามทแี่ สดงในตารางที่ ๒๕

Governance Risk Compliance

Standard Reguration Policy Law พรบ.วา่ ด้วยการกระทา พรบ. ว่าดว้ ยธรุ กรรมทาง พรฎ. กาหนดหลกั เกณ ์และ พรฎ.ว่าด้วยความปลอดภัย พรบ.ขอ้ มูลข่าวสารของทาง ระเบยี บ คตง. ว่าดว้ ยการ
ความผดิ ทางคอมพวิ เตอร์ อิเล็กทรอนิกส์ พ.ศ. ๒๕๔๔ วธิ ีการในการทาธรุ กรรมทาง ในการทาธุรกรรมทาง พรบ.ลขิ สทิ ธ์ิ พ.ศ. ๒๕๓๗ ราชการพ.ศ. ๒๕๔๐ กาหนดมาตรฐานการควบคุม
อิเลก็ ทรอนกิ ส์ภาครัฐ พ.ศ.
พ.ศ. ๒๕๕๐ อิเล็กทรอนิกส์ พ.ศ. ๒๕๕๓ ภายในพ.ศ. ๒๕๕๕
๒๕๔๙
ระเบียบ สรอ. ว่าด้วยการ
นโยบายและคูม่ อื ดา้ นความ นโยบายการควบคมุ การ นโยบายการใช้งานระบบ นโยบายการบรหิ ารจดั การ ตรวจสอบภายใน พ.ศ.
มั่นคงปลอดภยั สารสนเทศ เขา้ ถงึ ขอ้ มูลและระบบ เทคโนโลยีสารสนเทศที่ ระบบเครอื ขา่ ย (Network
(Information Security เทคโนโลยสี ารสนเทศ เหมาะสม (Acceptable Management Policy) ของ ๒๕๕๕
Policy & Manual) ของ (Access Control Policy) Use Policy) ของ สรอ.
สรอ. COSO-ERM
สรอ. . ข้อบงั คบั คณะกรรมการ
สรอ. วา่ ดว้ ยการเงินและการ ขอ้ บังคบั ว่าด้วยพัสดุ พ.ศ.
ข้อบงั คับคณะกรรมการ ข้อบงั คับคณะกรรมการ ๒๕๔๔ ระเบียบว่าด้วยหลักเกณ ์
สรอ. วา่ ดว้ ยประมวล สรอ. วา่ ดว้ ยการบริหารงาน บญั ชี พ.ศ. ๒๕๕๕ และวธิ ปี ฏิบตั ิเก่ียวกบั การ
จรยิ ธรรมของคณะ
บคุ คล พ.ศ. ๒๕๕๔ พสั ดุ พ.ศ. ๒๕๕๐
กรรมการบรหิ าร
ผู้อานวยการและผู้ปฏิบตั งิ าน

สรอ. พ.ศ. ๒๕๕๕

มาตรฐานความมน่ั คงปลอด
ภยั สารสนเทศ
ISO/IEC 27001

รูปที่ ๒๗ ภาพรวมของมาตรการควบคมุ ความม่ันคงปลอดภัยในอนาตต

ความมัน่ คงปลอดภยั รายละเอียด

ขยายขอบเขตการตรวจประเมนิ ISO/IEC 27001 ขยายขอบเขตการตรวจประเมนิ ระบบความม่นั คงปลอดภยั
สารสนเทศตามมาตรฐาน ISO/IEC 27001 จากบรกิ าร G-Cloud ใน
กาหนดมาตรการดา้ นความม่ันคงปลอดภยั ให้ ระดบั IaaS สบู่ ริการอืน่ ๆ
เหมาะสมต่อความเสี่ยงทีจ่ ะเกดิ ขน้ึ
ผลกั ดันการปฏบิ ตั ิตามมาตรการการควบคุมความ ภัยคุกคาม (Threat) ทเ่ี กดิ ขึ้นและความเสยี่ ง (Risk) ทอี าจจะเกิดขึ้น
ม่ันคงปลอดภยั (Compliance) จะตอ้ งมีการกาหนดมาตรการด้านความมน่ั คงปลอดภัยให้เหมาะสม

สนับสนนุ ใหบ้ ุคลากรตระหนักถงึ ความมัน่ คงปลอดภัย พรอ้ มทั้งเผลกั
ดันการปฏบิ ตั ิตามมาตรการการควบคมุ ความม่นั คงปลอดภยั

ตารางที่ ๒๕ แสดง Gap Analysis ของสถาบัตยกรรมดา้ นความมน่ั คงปลอดภยั
๖๒ | ห น้ า

สถาปัตยกรรมองค์กรของสานกั งานรฐั บาลอเิ ล็กทรอนกิ ส์ (องคก์ ารมหาชน)

บทท่ี ๕ แผนการดาเนินงาน (Roadmap)

การออกแบบสถาปัตยกรรมองค์กรในอนาคต ถูกกาหนดข้ึนมาจากการสารวจความ
ต้องการ ประเด็นปัญหาท่ีพบ และปัจจัยภายนอกอื่นๆ ดังนั้นแผนการดาเนินการจึงถูกจัดทาขึ้นเพ่ือใช้เป็น
แนวทางในการก้าวเข้าไปถึงสถาปัตยกรรมองค์กรในอนาตตามที่ได้ทาการออกแบบไว้ ดังรายละเอียดที่แสดง
ในตารางท่ี ๒๖

สถาปัตย

กรรม แผนการดาเนนิ งาน คาอธบิ าย ๒๕๕๘ ๒๕๕๙ ๒๕๖๐
องค์กร

 กาหนดกระบวนการปฏิบตั งิ านให้ ขั้นตอนการปฏิบตั งิ านควรมกี ารนยิ ามใหช้ ดั เจน เขา้ ใจ
ง่าย และมีการประกาศใชอ้ ย่างเป็นทางการ รวมไปถงึ
เปน็ มาตรฐาน การกาหนดเวลาในการปฏิบตั ิงาน (Operational Level   

Agreement)

 กาหนดผรู้ บั ผดิ ชอบให้ชดั เจนในแต่ เนอ่ื งจากบางกระบวนการยังขาดผ้รู บั ผดิ ชอบทช่ี ัดเจน มี 

กระบวนการ ผลทาใหเ้ กดิ ความซา้ ซ้อนในอานาจหนา้ ท่ขี องการ  

้ดาน ุธร ิกจ ปฏบิ ัตงิ าน

 พฒั นา/ปรับปรงุ กระบวนการ เนื่องจากยังมีบางกระบวนการปฏบิ ัติงานมีข้นั ตอนการ 

ภายในให้มคี วามกระชบั สะดวก ปฏิบตั ิงานจานวนมาก ส่งผลให้เกดิ ความลา่ ชา้ ในการ  
รวดเรว็ ดาเนินงาน

 ลดความซ้าซ้อนของกระบวนการ เพอื่ ความถกู ตอ้ งและลดเวลาในการปฏิบตั ิงาน   

 สร้างความเชื่อมโยงในการ เพื่อเพมิ่ ความสามารถในการปฏิบตั ิงาน   
ปฏบิ ตั ิงาน
เพอ่ื ลดค่าใช้จา่ ยขององค์กร   
 ลดการใชก้ ระดาษในการ
ปฏบิ ตั งิ าน เพื่อเปน็ มาตรฐานในการแลกเปลย่ี นข้อมลู   

 กาหนดกรอบการพัฒนา API ดาเนนิ การพฒั นาแอปพลิเคชันใหแ้ ลว้ เสร็จ ดังน้ี 
สาหรับการเช่อื มโยงแอปพลิเคชัน   
- CRM
 พัฒนาแอปพลเิ คชันให้ครอบคลมุ - e-Learning 
กับกระบวนการทสี่ าคัญ - Procurement   
- Contact Center   
ด้านแอปพลิเคชัน - Change management

 ปรบั ปรุงแอปพลเิ คชันให้ ดาเนินการปรบั ปรุงแอปพลเิ คชันใหแ้ ลว้ เสรจ็ ดงั น้ี  
 
ครอบคลมุ กับกระบวนการทส่ี าคญั - Human Resource Mgt. 
และสอดคลอ้ งกบั ความตอ้ งการใช้ -
งานมากขึน้ - Asset Mgt. 
EGA Back-end  

  
  



๖๓ | ห น้ า

สถาปัตยกรรมองคก์ รของสานักงานรฐั บาลอเิ ล็กทรอนิกส์ (องคก์ ารมหาชน)

 บริหารจดั การ Master Data นิยาม Data Integration Architecture Integrate   
  
(Master Data Management) Master Data และ Replicate Master Data   
  
 บรหิ ารจดั การ Data Operation ควบคุม Archive, Retrieve and Purge Data วางแผน   
  
้ดาน ้ขอ ูมล (Data Operation และควบคมุ Data Backup และ Data Recovery

Management) ตรวจสอบประสิทธิภาพและปรับแต่ง Database

 ธรรมมาภิบาลขอ้ มูล (Data กาหนด Data Steward พัฒนา Data Architecture

Governance) ตดิ ตามเพือใหม้ ่ันใจว่าการบรหิ ารจดั การขอ้ มลู เปน็ ไป

ตาม นโยบายข้อมลู (Data Policy)

 มงุ่ เน้นการใช้ขอ้ มลู ในการตดั สนิ ใจ Data Warehouse Business Intelligent และ

Predictive Analytics

้ดานโครงสร้าง  ปรับปรุงเครอื ข่าย Wired LAN เครอื ขา่ ยมกี ารออกแบบทย่ี ากต่อการขยายตวั ของ
้ืพนฐาน อุปกรณ์เช่อื มต่อ

 ปรบั ปรงุ เครอื ขา่ ย Wireless LAN จากผลสารวจการให้บริการพบวา่ ความตอ่ เนื่องของ
เครือขา่ ยยังไม่เป็นทพี่ อใจของพนักงาน

 ประยุกต์ใช้มาตรการความม่ันคง - ขยายขอบเขตการตรวจประเมนิ ตามมาตรฐาน  
ปลอดภยั และธรรมาภิบาลในการ
ใหบ้ ริการหรือปฏบิ ตั ิงาน ISO/IEC 27001 จาก G-Cloud ในระดับ IaaS สู่
บรกิ ารอ่นื ๆ

ด้านความ ่ัมนคงปลอดภัย  มีความต่อเน่ืองในการปฏบิ ตั ิงาน จัดทาแผนความต่อเนอื่ งทางธรุ กจิ (Business 

Continuity Plan) และการวางแผนกูค้ นื กรณเี กิดภยั 
 
พบิ ตั ิ (Disaster Revery Plan) เพือ่ ให้แน่ใจได้วา่ หากมี

เหตุการณผ์ ิดปกตเิ กดิ ข้ึน (Incident) การดาเนินงาน 

ธุรกจิ ยงั สามารถดาเนนิ ต่อไปได้

- Business Continuity Plan 

- Disaster Revery Plan 

 บรหิ ารจดั การความเสยี่ ง (Risk กาหนดมาตรการด้านความมั่นคงปลอดภยั สารสนเทศท่ี

Management) องิ ผลการประเมนิ ความเสยี่ ง

 การปฏิบัตติ ามขอ้ กาหนด ตรวจสอบความสอดคล้องกันระหว่างนโยบาย/

(Compliance) มาตรฐานดา้ นความมน่ั คงปลอดภยั กับกฎหมาย

ตารางที่ ๒๖ แสดงแผนดาเนินงาน (Roadmap)

๖๔ | ห น้ า

๖๕ | ห น้ า สถาปัตยกรรมองคก์ รของสานักงานรฐั บาลอเิ ล็กทรอนกิ ส์ (องค์การมหาชน)

 คณะอนุกรรมการกฎหมาย คณะกรรมการบริหาร ท่ีปรึกษาคณะกรรมการ ภาคผนวก
 คณะอนุกรรมการดา้ นการบริหารความเสยี่ ง ส นกั งานรฐั บาลอเิ ลกิ ทรอนิกส์ คณะอนุกรรมการตรวจสอบ
 คณะอนกุ รรมการด้านยทุ ธศาสตรอ์ งค์กร ภาคผนวก ก
 คณะอนุกรรมการบริการการลงทนุ (องค์การมหาชน)
 คณะอนกุ รรมการบริหารงานบุคคล ในส่วนนีแ้ สดงโครงสร้างองค์กร ตามประกาศสานักงาน ที่ ๑/๒๕๕๗ เรื่อง โครงสรา้ งองค์กร :
ายบ ิรหาร สานกั งานรัฐบาลอิเลก็ ทรอนิกส์ (องค์การมหาชน) ณ วันที่ ๒๑ กมุ ภาพันธ์ ๒๕๕๗ โดยแบง่ ขอ้ มูลเปน็ ๓ ระดบั
ท่ปี รกึ ษาสานักงาน ประกอบไปดว้ ย ผา่ ยบรหิ าร ฝ่ายงาน และส่วนงาน
ผอู้ านวยการ หนว่ ยตรวจสอบภายใน
รองผู้อานวยการ
รูปที่ ๒๘ ไดอะแกรมโครงสรา้ งองค์กร (ด้านบริหาร) รองผ้อู านวนการ
(ดา้ นเทคนิค)

ายงาน ฝ่ายนโยบายและ ฝา่ ยบริการใหค้ าปรึกษา ฝ่ายบริหารประสทิ ธภาพ ฝา่ ยอานวยการ ฝ่ายนวตั กรรม ฝ่ายวิศวกรรมและ ฝา่ ยพัฒนาและจดั การแอป
ยุทธศาสตร์ องค์กร ปฏบิ ัติการ พลเิ คชนั

ส่วนนโยบายรฐั บาล ส่วนพัฒนาธรุ กิจ สว่ นการเงนิ และการบัญชี ส่วนเลขานกุ ารผ้บู รหิ าร ส่วนนโยบายรัฐบาล สว่ นโครงสร้างพ้ืนฐาน ส่วนพัฒนาแอปพลิเคชัน
อเิ ลก็ ทรอนิกส์ อิเล็กทรอนกิ ส์ สารสนเทศ 1
ส่วนยุทธศาสตร์ ส่วนการตลาดและการ ส่วนบรหิ ารทรัพยากร สว่ นวิเคราะหแ์ ละ ส่วนยุทธศาสตร์
สื่อสาร บุคคล จัดเตรยี มขอ้ มูล สว่ นระบบสารสนเทศ ส่วนพฒั นาแอปพลิเคชัน
ส่วนประสานความร่วมมือ ส่วนประสานความรว่ มมือ 2
สว่ นการจัดการความรู้ สว่ นบริหารงานทว่ั ไปและ สว่ นกฎหมาย ส่วนความมน่ั คงปลอดภยั
ส่วนบรหิ ารความเส่ียง และสารสนเทศ อานวยการ ส่วนบริหารความเสย่ี ง สารสนเทศ สว่ นจัดการแอปพลิเคชัน
่สวนงาน
ส่วนทปี่ รกึ ษาเทคโนโลยี ส่วนจดั ซอื้ และพัสดุ สว่ นสนบั สนุนและบริการ สว่ นจัดการคุณภาพ
สารสนเทศ ด้านเทคนิค
ส่วนพัฒนาองค์กร
สว่ นบริหารโครงการ

ส่วนถา่ ยทอดเทคโนโลยี

ศูนย์บริการลกู ค้า

๖๖ | ห น้ า Biz Process Enable smart and open e-Gov for the peple สถาปตั ยกรรมองค์กรของสานกั งานรัฐบาลอิเล็กทรอนกิ ส์ (องคก์ ารมหาชน)
Strategy
Transformation Connecting Collaboration Readiness  ความเสย่ี งระดบั ยุทธศาสตร์และแผน ความเสยี่ งตอ่ การ ภาคผนวก ข
ขาดความเชื่อมโยงเปา้ หมายโครงการกับแผนงาน
14 core processes in 4 categories 22 supporting processes in 2 categories (แผนกลยุทธ์ แผนงบประมาณ แผนพฒั นาผลติ ภณั ์ ในสว่ นน้จี ะแสดงไดอะแกรมความช่ือมโยงภาพรวมสถาปัตยกรรมองค์กร ประกอบไปดว้ ย ดา้ นธรุ กจิ
และแผนบคุ ลากร) ดา้ นขอ้ มูล ด้านแอปพลเิ คชนั ดา้ นโครงสร้างพื้นฐาน และดา้ นความมั่นคงปลอดภัย ตามที่แสดงในรปู ที่ ๒๙
Marketing/Planning Research and Build, Acquire and Sell,Deliver, Service Internal Support Monitor, Evaluate and
Development Implement and Support Assess  มาตรการควบคุม กฎหมาย นโยบาย ขอ้ บังคบั ระเบียบ
และมาตรฐานความม่นั คงปลอดภยั (ISO/IEC 27001)

รปู ที่ ๒๙ ไดอะแกรมความเช่ือมโยงสถาปตั ยกรรมองค์กร Project Tracking Server Intranet Web Server Risk Server EGA-Website Web HR Client OC Web Server Appointment Welfare Client Procurement Financial Asset Client EGA Contact Web Customer Server Minute of Meeting OpenID, HTTPS,
Project Tracking Risk Mgt. Server AppSoeinrvtemr ent Welfare Mgt. Client Client Asset Mgt. Server Customer Mgt. Client Source Code Security
Intranet Saraban Human Operation Financial Scanner, Application
Project Tracking Server EGA Back-end Resource Mgt. Center Mgt. Procurement Mgt. Contact Center Minute of Meeting
โครงการพัฒนา Mgt. Performance
(สินค้า/บริการ) Problem Knowledge Mgt. Monitoring, Uptime
Tracking Monitoring Tools
ฐานข้อมลู บรหิ ารโครงการชว่ ง Risk Server HR DB Server Appointment Server Contact DB Server Minute of Meeting Client
พัฒนา ความเสี่ยง อเี มล นัดหมาย SAN Storage, Backup,
ISO Document Document Mgt. ฐานขอ้ มูลบรหิ ารความเสี่ยง โครงสรา้ ง โครงสร้าง ฐ(าพนนขัก้องมาูลนก)ารนดั กหามราปยรผะ้บู ชรุมหิ าร โครงสรา้ ง พนักงาน ลกู ค้า สินคา้ / Recovery
องค์กร ตาแหนง่ หลักสูตร องคก์ ร บรกิ าร
พนักงาน เงนิ เดอื น กอบรม บรหิ ารงานบคุ คล รายงานการ VPN, Antivirus,
การขาย ตามตาม ประชุม AD-Policy Control,
ฐานขอ้ มูลบรหิ ารงานบคุ คล การขาย LDAP-E-Mail Authen,
ฐานข้อมูลรายงานการประชุม
ฐานขอ้ มลู บรกิ ารการขายและหลังการ Log Mgt.
Vulnerability Scanner,
EGA DB Server Sale Server Security Monitoring,
Firewall Monitoring,
การลา ห้องประชมุ พนกั งาน โครงสร้าง โครงสร้าง ยุทธศาสตร์ สนิ คา้ / โครงสรา้ ง
ฐานข้อมลู พนักงาน องค์กร ตาแหนง่ ตวั ช้วี ัด บรกิ าร องค์กร Firewall Mgt.,
กองทุน วัสดุ ฐานข้อมลู โครงสรา้ งองคก์ ร/ ลกู หนี้ (ลูกค้า) เงนิ เดือน สนิ คา้ / พนักงาน VLAN, Access
สารอง องคค์ วามรู้ เจ้าหน้ี (ผู้ขาย) บริการ ลูกคา้ Control, CCTV
ฐานข้อมูลบริหารองคค์ วามรู้ ตาแหน่ง ผขู้ อ ้ือ (พนักงาน) สนิ คา้ /
รถตู้ เงนิ เดอื น ฐานขอ้ มลู ยุทธศาสตร์/ตวั ชีว้ ัด กรรมการร่าง TOR งวดงาน โครงสรา้ งองคก์ ร บรกิ าร ผถู้ อื ครอง (พนกั งาน) การขาย
หนงั สือ ขั้นตอนการ เอกสารการ ผู้สง่ั การ/ถกู สัง่ การ (พนกั งาน) ใบวางบิล ใบเสรจ็ วัสด/ุ ผตู้ ัง้ งบ (พนักงาน)
รบั รอง ป ิบัติการ ประชุม (พนกั งาน) ครภุ ั ์ โครงสร้างองค์กร
ฐานข้อมลู สนับสนนุ งานภายใน ฐานขอ้ มูลจดั การเอกสาร โครงสร้าง โครงสรา้ ง กรรมการตรวจรบั งาน ผชู้ าย ใบสาคัญ ฐานข้อมูลบริการการขาย
ข้อมลู งานสารบรร องคก์ ร ตาแหน่ง (พนกั งาน) จา่ ย ครุภั ์
องค์กร ฐานขอ้ มลู บริหารงานพัสดุ
ฐานข้อมลู บรหิ ารงานสารบรร ประชาสัมพนั ธ์ ขา่ ว พนักงาน ผู้ขอ ื้อ เช็ค
(พนกั งาน) สัญญาจดั อ้ื จดั จา้ ง
ค่ารกั า
เวลาทางาน กิจกรรม หลักสตู รอบรม พยาบาล/การศก าบตุ ร โครงสรา้ งองค์กร วสั ด/ุ
ฐานข้อมลู เวลาทางาน (สนิ คา้ /บรกิ าร) ครภุ ั ์
ฐานข้อมลู บริหารบคุ ลากร
ฐานขอ้ มูลงานประชาสมั พนั ธ์ สว่ นสวัสดกิ าร ฐานข้อมลู บริหารการจดั ้ือจดั จ้าง ฐานข้อมลู บริหารการเงนิ และบญั ชี

ตดิ ตามการ
ขาย

ฐานขอ้ มลู บรหิ ารหลงั การขาย

หมายถงึ วสิ ยั ทัศย/์ ยทุ ธศาสตร์ หมายถึง เคร่อื งทเ่ี กบ็ แอปพลิเคชัน หมายถึง เครื่องที่เกบ็ ฐานข้อมูล หมายถึง ชุดขอ้ มูลหลกั (Master data) หมายถงึ ความมนั่ คงปลอดภยั ซง่ึ
หมายถงึ หมวดกระบวนการธุรกิจ หมายถึง ชอ่ื แอปพลเิ คชนั หมายถงึ ฐานข้อมูล หมายถงึ ชดุ ข้อมลู หลักทีเ่ ก็บซ้ากบั เคร่ืองอื่น ครอบคลมุ GRC ต้งั แตร่ ะดับธรุ กจิ ถึง
โครงสรา้ งพ้ืนฐาน

สถาปัตยกรรมองค์กรของสานักงานรฐั บาลอิเล็กทรอนกิ ส์ (องค์การมหาชน)

ภาคผนวก ค

ตารางแสดงความสัมพันธ์ระหว่างขอ้ กาหนดของมาตรฐาน ISO/IEC27001:2013 กับแบบจาลองทั้ง ๔ ดา้ นประกอบไป
ดว้ ย ธุรกจิ (BRM) แอปพลิเคชัน (ARM) ขอ้ มลู (DRM) และโครงสร้างพื้นฐาน (IRM) และความสมั พันธร์ ะหว่าง
ขอ้ กาหนดของมาตรฐาน กบั กฎหมาย นโยบาย ขอ้ บงั คบั และระเบยี บทเ่ี กยี่ วข้อง

มำตรกำรกำรควบคุมควำมมั่นคงปลอดภยั
Establish Policy and procedure BRM
Clause/ Clause, Control Name or Requirement Text Class Planning and training BRM
Control Monitoring, Response and reporting BRM
Security infrastructure and networks (incl physical security) IRM
ID Securing platform& application ARM
Securing Data DRM
พรบ.ว่ำ ้ดวยกำรกระทำควำม ิผดทำงคอมพิวเตอ ์ร พ.ศ. ๒๕๕๐
พรบ. ว่ำ ้ดวยธุรกรรมทำงอิเ ็ลกทรอ ินก ์ส พ.ศ. ๒๕๔๔
พรฎ.ว่ำ ้ดวยควำมปลอดภัยในกำรทำธุรกรรมทำงอิเ ็ลกทรอ ินก ์ส พ.ศ.
พรบ. ิลข ิสทธ์ิ พ.ศ. ๒๕๓๗
พรบ.ข้อ ูมลข่ำวสำรของทำงรำชกำรพ.ศ. ๒๕๔๐
ระเบียบว่ำ ้ดวยควำม ัลบของทำงรำชกำร พ.ศ. ๒๕๔๔
ระเบียบ คตง. ว่ำ ้ดวยกำรกำหนดมำตรฐำนกำรควบ ุคมภำยในพ.ศ.
นโยบำลควำม ่ัมนคงปลอดภัยสำรสนเทศ
ู่ค ืมอควำมมั่นคงปลอดภัยสำรสนเทศ
นโยบำยกำรควบ ุคมกำรเข้ำถึงข้อ ูมลและระบบเทคโนโลยีสำรสนเทศ
นโยบำยกำรใ ้ชงำนระบบเทคโนโลยีสำรสนเทศ
นโยบำยกำรบ ิรหำรจัดกำรระบบเค ืรอข่ำยy
นโยบำยและ ุ่ค ืมอบ ิรหำรควำมเ ี่สยง
ข้อบัง ัคบพัส ุด
ระเบียบพัส ุด
ระเบียบ สรอ. ว่ำ ้ดวยกำรตรวจสอบภำยใน พ.ศ. ๒๕๕๕

Cl. 4 Context of the organization
Cl.4.1
Cl.4.2 Understanding the organization and its context Management  
Cl.4.3  
Cl.4.4 Understanding the needs and expectations of interested Management  
Cl.5  
Cl.5.1 Determining the scope of the information security Management
Cl.5.2  
Cl.5.3 Information security management system Management    
Cl.6 
Cl.6.1 Leadership 
Cl.6.1.1 
Cl.6.1.2 Leadership and commitment Management  
Cl.6.1.3  
Cl.6.2 Policy Management  
Cl.7 
Cl.7.1 Organizational roles, resposubilities and authorities Management 
Cl.7.2  
Cl.7.3 Planning 
Cl.7.4  
Cl.7.5 Actions to address risk and opputunities  
Cl.7.5.1  
Cl.7.5.2 General Management  
Cl.7.5.3  
Cl.8 information security risk assessment Management  
Cl.8.1
Cl.8.2 Information security risk treatment Management  
Cl.8.3  
Cl.9 Information security objectives and planning to achieve Management  
Cl.9.1
Cl.9.2 Support  
Cl.9.3  
Cl.10 Resources Management  
Cl.10.1
Cl.10.2 Competence Management  
 
Awareness Management

Communication Management

Documented information Management

General Management

Creating and updating Management

Control of documented information Management

Operation

Operational planning and control Management

Information security risk assessment Management

Information security risk treatment Management

Performance evaluation

Monitoring, measurement, analysis and evaluation Management

Internal audit Management

Management review Management

Improvement

Nonconformity and corrective action Management

Continual improvement Management

๖๗ | ห น้ า

สถาปัตยกรรมองค์กรของสานักงานรัฐบาลอเิ ลก็ ทรอนกิ ส์ (องคก์ ารมหาชน)

มำตรกำรกำรควบคุมควำมม่ันคงปลอดภยั
Establish Policy and procedure BRM
Clause/ Clause, Control Name or Requirement Text Class Planning and training BRM
Control Monitoring, Response and reporting BRM
Security infrastructure and networks (incl physical security) IRM
ID Securing platform& application ARM
Securing Data DRM
พรบ.ว่ำ ้ดวยกำรกระทำควำม ิผดทำงคอมพิวเตอ ์ร พ.ศ. ๒๕๕๐
พรบ. ว่ำ ้ดวยธุรกรรมทำงอิเ ็ลกทรอนิก ์ส พ.ศ. ๒๕๔๔
พรฎ.ว่ำ ้ดวยควำมปลอดภัยในกำรทำธุรกรรมทำงอิเ ็ลกทรอนิก ์ส พ.ศ.
พรบ. ิลข ิสทธ์ิ พ.ศ. ๒๕๓๗
พรบ.ข้อมูลข่ำวสำรของทำงรำชกำรพ.ศ. ๒๕๔๐
ระเบียบว่ำ ้ดวยควำม ัลบของทำงรำชกำร พ.ศ. ๒๕๔๔
ระเบียบ คตง. ว่ำ ้ดวยกำรกำหนดมำตรฐำนกำรควบ ุคมภำยในพ.ศ.
นโยบำลควำมมั่นคงปลอดภัยสำรสนเทศ
ู่ค ืมอควำมมั่นคงปลอดภัยสำรสนเทศ
นโยบำยกำรควบ ุคมกำรเข้ำถึงข้อ ูมลและระบบเทคโนโลยีสำรสนเทศ
นโยบำยกำรใ ้ชงำนระบบเทคโนโลยีสำรสนเทศ
นโยบำยกำรบ ิรหำรจัดกำรระบบเค ืรอข่ำยy
นโยบำยและ ุ่ค ืมอบ ิรหำรควำมเ ี่สยง
ข้อบัง ัคบพัส ุด
ระเบียบพัส ุด
ระเบียบ สรอ. ว่ำ ้ดวยกำรตรวจสอบภำยใน พ.ศ. ๒๕๕๕

Annex A.

A.5 Information Security Policy
A.5.1 Information Security Policy
A.5.1.1 Policies for information security
A.5.1.2 Review of the policies for information security Management  
A.6 Internal Organization Management  

A.6.1 Internal Organization
A.6.1.1
A.6.1.2 Information security roles and responsibilities Management     
A.6.1.3 Segregation of duties Management   
A.6.1.4 Contact with authorities Management   
A.6.1.5 Contact with special interest group Management   
A.6.2 Information security in project management Management   
Mobile devices and teleworking
A.6.2.1 Moblie device policy
A.6.2.2 Teleworking Management   
A.7 Human Resource Security Management  

A.7.1 Prior to employment
A.7.1.1 Screening
A.7.1.2 Term and conditions of employment Management  
A.7.2 During employment Management  

A.7.2.1 Management responsibilities Management  
A.7.2.2 Information security, awareness, education and training Management   
A.7.2.3 Disciplinary Management  
A.7.3 Termination and change of employment

A.7.3.1 Termination or change of employment responsibilities Management  
A.8 Asset Management
A.8.1 Responsibility for assets
A.8.1.1
A.8.1.2 Inventory of assets Management    
A.8.1.3 Ownership of assets Management   
A.8.1.4 Acceptable use of assets Management   
A.8.2 Return of assets Management   
Information Classification
A.8.2.1
A.8.2.2 Classification of information Management     
A.8.2.3 Labeling of information Management  
A.8.3 Handling Management     
Media Handling
  

A.8.3.1 Management of removable media Management   
A.8.3.2 Disposal of media Management 
A.8.3.3 Physical media transfer Management     
A.9 Access Control
   

A.9.1 Business requirements of access control
A.9.1.1 Access control policy
A.9.1.2 Access to networks and network services Management    
Technical   

๖๘ | ห น้ า

สถาปัตยกรรมองคก์ รของสานกั งานรฐั บาลอิเลก็ ทรอนกิ ส์ (องค์การมหาชน)

มำตรกำรกำรควบคุมควำมม่ันคงปลอดภยั
Establish Policy and procedure BRM
Clause/ Clause, Control Name or Requirement Text Class Planning and training BRM
Control Monitoring, Response and reporting BRM
Security infrastructure and networks (incl physical security) IRM
ID Securing platform& application ARM
Securing Data DRM
พรบ.ว่ำ ้ดวยกำรกระทำควำม ิผดทำงคอมพิวเตอ ์ร พ.ศ. ๒๕๕๐
พรบ. ว่ำ ้ดวยธุรกรรมทำงอิเ ็ลกทรอนิก ์ส พ.ศ. ๒๕๔๔
พรฎ.ว่ำ ้ดวยควำมปลอดภัยในกำรทำธุรกรรมทำงอิเ ็ลกทรอนิก ์ส พ.ศ.
พรบ. ิลข ิสทธ์ิ พ.ศ. ๒๕๓๗
พรบ.ข้อ ูมลข่ำวสำรของทำงรำชกำรพ.ศ. ๒๕๔๐
ระเบียบว่ำ ้ดวยควำม ัลบของทำงรำชกำร พ.ศ. ๒๕๔๔
ระเบียบ คตง. ว่ำ ้ดวยกำรกำหนดมำตรฐำนกำรควบ ุคมภำยในพ.ศ.
นโยบำลควำม ่ัมนคงปลอดภัยสำรสนเทศ
ู่ค ืมอควำมมั่นคงปลอดภัยสำรสนเทศ
นโยบำยกำรควบ ุคมกำรเข้ำถึงข้อ ูมลและระบบเทคโนโลยีสำรสนเทศ
นโยบำยกำรใ ้ชงำนระบบเทคโนโลยีสำรสนเทศ
นโยบำยกำรบ ิรหำรจัดกำรระบบเค ืรอข่ำยy
นโยบำยและ ุ่ค ืมอบ ิรหำรควำมเ ี่สยง
ข้อบัง ัคบพัส ุด
ระเบียบพัส ุด
ระเบียบ สรอ. ว่ำ ้ดวยกำรตรวจสอบภำยใน พ.ศ. ๒๕๕๕

A.9.2 User Access management Technical   
A.9.2.1 User registration and deregistration Technical   
A.9.2.2 User access provisioning Technical   
A.9.2.3 Management of privileged access right Technical  
A.9.2.4 Management of secret authentication information of Technical   
A.9.2.5 Review of user access right Technical   
A.9.2.6 Removal or adjustment of access right 
A.9.3 User responsibilities Technical  
A.9.3.1 Use of secret authentication information 
A.9.4 System and application access control Technical   
A.9.4.1 Information access retriction Technical    
A.9.4.2 Secure log-on procedures Management    
A.9.4.3 Password management system Technical  
A.9.4.4 Use of priveilleged utility programs Technical   
A.9.4.5 Access control to program source code 
A.10 Crytography Management   
A.10.1 Operational Procedures and Responsibilities Management  
A.10.1.1 Policy on the use of crytographic controls 
A.10.1.2 Key management Management  
A.11 Physical and environmental security Management 
A.11.1 Secure areas Management  
A.11.1.1 Physical secuirty perimeter Management  
A.11.1.2 Physical entry controls Management   
A.11.1.3 Securing office, room and facilities Management  
A.11.1.4 Protecting against external and environmental threats 
A.11.1.5 Working in secure areas Management  
A.11.1.6 Delivery and loading areas Management 
A.11.2 Equipment Technical  
A.11.2.1 Equipment sitting and protection Management  
A.11.2.2 Supporting Utilities Management  
A.11.2.3 Cabling security Management  
A.11.2.4 Equipment maintenance Management  
A.11.2.5 Removal of assets Management  
A.11.2.6 Security of equipment and assets off- premises Management     
A.11.2.7 Secure disposal or re-use of equipment 
A.11.2.8 Unattended user equipment Management   
A.11.2.9 Clear desk clear screen policy Management  
A.12 Operation Security Management  
A.12.1 Operational Procedures and Responsibilities Management  
A.12.1.1 Documented operating procedures
A.12.1.2 Change Management
A.12.1.3 Capacity Management
A.12.1.4 Separation of development, testing and operational

๖๙ | ห น้ า

สถาปตั ยกรรมองคก์ รของสานักงานรัฐบาลอิเล็กทรอนกิ ส์ (องคก์ ารมหาชน)

มำตรกำรกำรควบคุมควำมมั่นคงปลอดภยั
Establish Policy and procedure BRM
Clause/ Clause, Control Name or Requirement Text Class Planning and training BRM
Control Monitoring, Response and reporting BRM
Security infrastructure and networks (incl physical security) IRM
ID Securing platform& application ARM
Securing Data DRM
พรบ.ว่ำ ้ดวยกำรกระทำควำม ิผดทำงคอมพิวเตอ ์ร พ.ศ. ๒๕๕๐
พรบ. ว่ำ ้ดวยธุรกรรมทำงอิเ ็ลกทรอนิก ์ส พ.ศ. ๒๕๔๔
พรฎ.ว่ำ ้ดวยควำมปลอดภัยในกำรทำธุรกรรมทำงอิเ ็ลกทรอ ินก ์ส พ.ศ.
พรบ. ิลข ิสทธ์ิ พ.ศ. ๒๕๓๗
พรบ.ข้อ ูมลข่ำวสำรของทำงรำชกำรพ.ศ. ๒๕๔๐
ระเบียบว่ำ ้ดวยควำม ัลบของทำงรำชกำร พ.ศ. ๒๕๔๔
ระเบียบ คตง. ว่ำ ้ดวยกำรกำหนดมำตรฐำนกำรควบ ุคมภำยในพ.ศ.
นโยบำลควำม ่ัมนคงปลอดภัยสำรสนเทศ
ู่ค ืมอควำม ั่มนคงปลอดภัยสำรสนเทศ
นโยบำยกำรควบ ุคมกำรเข้ำถึงข้อ ูมลและระบบเทคโนโลยีสำรสนเทศ
นโยบำยกำรใ ้ชงำนระบบเทคโนโลยีสำรสนเทศ
นโยบำยกำรบ ิรหำรจัดกำรระบบเค ืรอข่ำยy
นโยบำยและ ุ่ค ืมอบ ิรหำรควำมเ ี่สยง
ข้อบัง ัคบพัส ุด
ระเบียบพัส ุด
ระเบียบ สรอ. ว่ำ ้ดวยกำรตรวจสอบภำยใน พ.ศ. ๒๕๕๕

A.12.2 Protection from malware
A.12.2.1 Controls against malware
A.12.3 Backup Technical   

A.12.3.1 Information backup Management    
A.12.4 Logging and monitoring
A.12.4.1 Event logging  
A.12.4.2 Protection of log information Technical   
 
A.12.4.3 Administrator and operator logs Technical   

A.12.4.4 Clock synchronization Technical  

A.12.5 Control of oprational software Technical  
 
A.12.5.1 Installalation of software on oprational systems Management   
A.12.6 Technical Vulnerability Management 
A.12.6.1 Management of technical vulnerabilities 
A.12.6.2 Restriction on software installation Management   
 
A.12.7 Information System audit considerations Technical    

A.12.7.1 Information systems audit controls Technical  
A.13 Communications security  
A.13.1 Network security management  
A.13.1.1 Network controls  
A.13.1.2 Security of network services Management      
 
A.13.1.3 Segregation in networks Technical    
 
A.13.2 Information Transfer Technical    
 
A.13.2.1 Information Transfer policies and procedures Management     
A.13.2.2 Agreements on information transfer  
A.13.2.3 Electronic messaging Management   
 
A.13.2.4 Confidentiality or non-disclosure agreements Management   
 
A.14 Information systems acquisition, development and Management    

A.14.1 Security requirements of information systems 
A.14.1.1 Information security requirements analysis and
A.14.1.2 Securing Application services on public networks Management 

A.14.1.3 Protecting application service transactions Technical 

A.14.2 Security in developmant and support processes Technical 

A.14.2.1 Secure development policy Management  
A.14.2.2 System change control procedures
Management  
A.14.2.3 Technical review of applications after operating platform Technical
A.14.2.4 Restriction on changes to software packages 

A.14.2.5 Secure system engineering principles Technical 

A.14.2.6 Secure development environment Technical  

A.14.2.7 Outsourced development Technical 

A.14.2.8 System security testing Technical 

A.14.2.9 System acceptance testing Technical 

Technical 

๗๐ | ห น้ า

สถาปัตยกรรมองคก์ รของสานักงานรฐั บาลอเิ ลก็ ทรอนิกส์ (องค์การมหาชน)

มำตรกำรกำรควบคุมควำมม่ันคงปลอดภยั
Establish Policy and procedure BRM
Clause/ Clause, Control Name or Requirement Text Class Planning and training BRM
Control Monitoring, Response and reporting BRM
Security infrastructure and networks (incl physical security) IRM
ID Securing platform& application ARM
Securing Data DRM
พรบ.ว่ำ ้ดวยกำรกระทำควำม ิผดทำงคอมพิวเตอ ์ร พ.ศ. ๒๕๕๐
พรบ. ว่ำ ้ดวยธุรกรรมทำงอิเ ็ลกทรอนิก ์ส พ.ศ. ๒๕๔๔
พรฎ.ว่ำ ้ดวยควำมปลอดภัยในกำรทำธุรกรรมทำงอิเ ็ลกทรอนิก ์ส พ.ศ.
พรบ. ิลข ิสทธ์ิ พ.ศ. ๒๕๓๗
พรบ.ข้อมูลข่ำวสำรของทำงรำชกำรพ.ศ. ๒๕๔๐
ระเบียบว่ำ ้ดวยควำม ัลบของทำงรำชกำร พ.ศ. ๒๕๔๔
ระเบียบ คตง. ว่ำ ้ดวยกำรกำหนดมำตรฐำนกำรควบ ุคมภำยในพ.ศ.
นโยบำลควำม ่ัมนคงปลอดภัยสำรสนเทศ
ู่ค ืมอควำมมั่นคงปลอดภัยสำรสนเทศ
นโยบำยกำรควบ ุคมกำรเข้ำถึงข้อ ูมลและระบบเทคโนโลยีสำรสนเทศ
นโยบำยกำรใ ้ชงำนระบบเทคโนโลยีสำรสนเทศ
นโยบำยกำรบ ิรหำรจัดกำรระบบเค ืรอข่ำยy
นโยบำยและ ุ่คมือบ ิรหำรควำมเ ี่สยง
ข้อบัง ัคบพัส ุด
ระเบียบพัส ุด
ระเบียบ สรอ. ว่ำ ้ดวยกำรตรวจสอบภำยใน พ.ศ. ๒๕๕๕

A.14.3 Test data
A.14.3.1 Protection of test data
A.15 Supplier relationships Technical  

A.15.1 Information security in supplier relationship
A.15.1.1 Information security policy for supplier relationships Management 
A.15.1.2 Addressing security within supplier agreements   

Management   
A.15.1.3 Information and communication technology supply Management    
A.15.2 Supplier service delivery management
A.15.2.1 Monitoring and review of supplier services
A.15.2.2 Managing change to supplier services Management  

A.16 Information security incident management Management  

A.16.1 Management of information security incidents and
A.16.1.1 Responsibilities and procedures
A.16.1.2 Reporting information security events Management    
A.16.1.3 Reporting information security weaknesses
Management   
Management  
A.16.1.4 Assessment of and decision on information security Management
A.16.1.5 Response to information security incidents  

A.16.1.6 Learning from information security incidents Management   

A.16.1.7 Collection of evidence Management  

A.17 Information security aspects of business continuity Management    

A.17.1 Information security continuity
A.17.1.1 Planning information security continuity
A.17.1.2 Implementing information security continuity Management  

A.17.1.3 Verify, review and evaluate information security Management  

A.17.2 Redundancies Management  

A.17.2.1 Avalibility of information processing facilities Management   

A.18 Compliance Management  

A.18.1 Compliance with legal and contractual requirements
A.18.1.1 Identification of applicable legislation and contractual Management 
A.18.1.2 Intellectual property rights  

A.18.1.3 Protection of records Management    

A.18.1.4 Privacy and protection of personal identifiable Management    

A.18.1.5 Regulation of crytographip controls Management     

A.18.2 Information security reviews Technical    

A.18.2.1 Independent review of information security Management     
A.18.2.2 Compliance with security policies and standards
A.18.2.3 Technical compliance review Management    

Technical  

ตารางที่ ๒๗ ตารางความสัมพันธ์ระหว่างข้อกาหนดมาตรฐาน ISO/IEC27001:2013 กับแบบจาลองสถาปตั ยกรรม

องค์กรทงั้ ๕ ด้าน รวมถงึ นโยบาย ข้อบังคับ ระเบยี บ และกฎหมายท่ีเกีย่ วข้อง

๗๑ | ห น้ า

สถาปัตยกรรมองคก์ รของสานกั งานรัฐบาลอิเลก็ ทรอนิกส์ (องคก์ ารมหาชน)

ภาคผนวก ง

ตารางแสดงความเชอ่ื มโยงรายการ Work Products กับมุมมองตา่ งๆ ทง้ั มุมมอง Manager มมุ มอง Developer และ
มุมมอง User ทีแ่ ต่ละมุมมองแบง่ ตามแบบจาลองประกอบไปด้วย ธุรกิจ (BRM) แอปพลิเคชัน (ARM) ขอ้ มลู (DRM)
โครงสรา้ งพน้ื ฐาน (IRM) และ ความม่นั คงปลอดภัย (SRM)

รำยกำร Work Product Manager Developer User

BRM ARM DRM IRM SRM BRM ARM DRM IRM SRM BRM ARM DRM IRM SRM

1 ไดอะแกรมควำมเชอื่ มโยงยทุ ธศำสตร์ ตัวชว้ี ดั องค์กร และบริกำร

2 ไดอะแกรมโครงสร้ำงองค์กร

3 ไดอะแกรมควำมเชอ่ื มโยงสถำปัตยกรรมองค์กร

4 ไดอะแกรมเครือขำ่ ย

5 ภำพสถำนะปัจจบุ ันของสถำปัตยกรรมองค์กร

6 ภำพสถำนะในอนำคตของสถำปัตยกรรมองค์กรค์กร

7 ภำพรวมของกระบวนกำรธรุ กจิ

8 ภำพรวมของแอปพลเิ คชนั

9 ภำพรวมของขอ้ มลู

10 ภำพรวมของโครงสร้ำงพ้นื ฐำน

11 ภำพรวมของมำตรกำรควบคุมควำมมั่นคงปลอดภยั ในอนำตต

12 รำยกำรของกระบวนกำรปฏบิ ัติงำน

13 รำยกำรของแอปพลเิ คชนั

14 รำยกำรของขอ้ มลู

15 รำยกำรของโครงสร้ำงพ้นื ฐำน

16 รำยกำรของมำตรกำรควบคุมควำมม่ันคงปลอดภยั

17 ตำรำงควำมสมั พนั ธร์ ะหวำ่ งกระบวนกำรปฏบิ ัติงำนและสว่ นงำน

18 ตำรำงควำมสมั พนั ธร์ ะหวำ่ งแอปพลเิ คชนั กบั เทคโนโลยี

19 ตำรำงควำมสมั พนั ธร์ ะหวำ่ งแอปพลเิ คชนั ธรุ กจิ และสว่ นงำน

20 ตำรำงควำมสมั พนั ธร์ ะหวำ่ งแอปพลเิ คชนั สนบั สนนุ และสว่ นงำน

21 ตำรำงควำมสมั พนั ธร์ ะหวำ่ งแอปพลเิ คชนั ภำยนอกและแอปพลเิ คชนั ภำยในสำนกั งำน

22 ตำรำงควำมสมั พนั ธร์ ะหวำ่ งขอ้ มูลและแอปพลเิ คชนั

23 ตำรำงควำมสมั พนั ธร์ ะหวำ่ งโครงสร้ำงพื้นฐำนและแอปพลเิ คชนั ธรุ กจิ

24 ตำรำงควำมสมั พนั ธร์ ะหวำ่ งโครงสร้ำงพืน้ ฐำนและแอปพลเิ คชนั สนบั สนนุ

25 ตำรำงควำมสมั พนั ธร์ ะหวำ่ งมำตรกำรควบคุมควำมมั่นคงปลอดภยั กบั สว่ นงำน

26 ตำรำงควำมสมั พนั ธร์ ะหวำ่ งขอ้ กำหนดมำตรฐำนกบั สถำปัตยกรรมด้ำนต่ำงๆรวมถงึ มำตรกำรควบคุมควำมปลอดภยั

ตารางท่ี ๒๘ ตารางความเช่ือมโยงรายการ Work Products กบั มุมมองด้านต่างๆ

๗๒ | ห น้ า

สถาปตั ยกรรมองคก์ รของสานกั งานรัฐบาลอิเลก็ ทรอนิกส์ (องค์การมหาชน)

อภิธานศพั ท์

คาศพั ท์ คาอธิบาย

สถาปัตยกรรมองค์กร กระบวนในการนาเอาเทคโนสารสนเทศ (Information Technology) มาสนับสนุนการ

(Enterprise Architecture) ดาเนนิ งานธรุ กจิ (Business) ให้เกดิ ประสทิ ธิภาพ (Efficiency) และประสทิ ธผิ ล

(Effectiveness) สงู สดุ ต่อองคก์ ร

Enterprise Architecture แนวทางในการจัดทาและการนาเอาสถาปัตกรรมองคก์ รไปใช้งาน

Framework (กรอบ

สถาปัตยกรรมองค์กร)

Enterprise Architecture การกาหนดลาดบั ขัน้ ตอนการพฒั นาสถาปัตกรรมองค์กรอยา่ งเปน็ ระบบเพ่อื ใหไ้ ดผ้ ลของ

Development Process มุมมองและสถาปัตยกรรมองคก์ รในด้านต่างๆ (Work Product) ซง่ึ อาจจะอยใู่ นรูปแบบของ

(กระบวนการพฒั นา รายการ (Catalog) ตารางการเชื่อมโยง (Matrix) และไดอะแกรม (Diagram)

สถาปตั ยกรรมองคก์ ร)

Enterprise Architecture มุมมองของบคุ คลที่เก่ียวของกับสถาปัตยกรรมองคก์ รในซึง่ สามารถแบ่งออกเปน็ หลาย

Viewpoint (มุมมอง มมุ มอง เช่น มุมมองผู้บริหาร มมุ มองนักพัฒนา และมมุ มองผใู้ ช้

สถาปตั ยกรรมองคก์ ร)

Continual Improvement of การปรบั ปรุงสถาปัตยกรรมองค์กรใหส้ ามารถบรรลุผลการดาเนินงานธรุ กจิ ตามทไ่ี ดก้ าหนด

Enterprise Architecture (การ ไว้ในเป้าหมายการดาเนนิ งานขององค์กร

ปรับปรงุ สถาปตั ยกรรมองคก์ ร

อย่างต่อเนื่อง)

Enterprise Reference การอธิบายสถาปตั ยกรรมองค์กรในดา้ นต่างๆขององค์กร เช่น ด้านธรุ กจิ แอปพลิเคชัน

Model (แบบจาลอง ขอ้ มูล โครงสรา้ งพืน้ ฐาน และความมั่นคงปลอดภัย

สถาปตั ยกรรมองคก์ ร)

Work Product สง่ิ ท่ีได้จากมุมมองสถาปตั ยกรรมองค์กร (Enterprise Architecture Viewpoint) ในแต่ละ

แบบจาลองสถาปตั ยกรรมองค์กร (Enterprise Reference Model)

๗๓ | ห น้ า

สถาปัตยกรรมองค์กรของสานักงานรฐั บาลอิเล็กทรอนกิ ส์ (องค์การมหาชน)

บรรณานุกรม

[๑] Zachman, A. J..The Zachman Framework for Enterprise Architecture Version 3.0. Retrived
from http://www.zachman.com/about-the-zachman-framework

[๒] The Open Group (2011). The Open Group Architecture Framework (TOGAF) Version 9.1.
[๓] U.S. Office of Management and Budget (2013, January 29). Federal Enterprise Architecture

Framework Version 2.
[๔] สานกั งานรฐั บาลอเิ ลก็ ทรอนกิ ส์ (องค์การมหาชน). แผนแม่บทเทคโนโลยสี ารสนเทศและการส่ือสาร สรอ. ๓ ปี

(พ.ศ. ๒๕๕๘ – ๒๕๖๐)
[๕] สานกั งานรัฐบาลอิเลก็ ทรอนกิ ส์ (องค์การมหาชน). แผนกลยทุ ธ์ สรอ. ประจาปี ๒๕๕๘
[๖] สานักงานรัฐบาลอเิ ลก็ ทรอนกิ ส์ (องค์การมหาชน). แผนบรหิ ารจัดการระบบสารสนเทศ สรอ. ประจาปี พ.ศ.

๒๕๕๘
[๗] สานักงานรฐั บาลอิเลก็ ทรอนิกส์ (องค์การมหาชน). แผนยุทธศาสตร์ สรอ. ๔ ปี (พ.ศ.๒๕๕๗ – ๒๕๖๐)
[๘] สานักงานรัฐบาลอเิ ล็กทรอนิกส์ (องค์การมหาชน). โครงการจดั ทากระบวนการดาเนินงาน Business Process
Improvement (BPI) ของสานักงานรัฐบาลรฐั บาลอิเล็กทรอนิกส์ (องค์การมหาชน)
[๙] The International Organization for Standardization. ISO/IEC 27001:2013 - Information security
management

๗๔ | ห น้ า

สถาปัตยกรรมองคก์ รของสานักงานรฐั บาลอิเลก็ ทรอนกิ ส์ (องค์การมหาชน)

๗๕ | ห น้ า