นางนพพร จิตตเมตตากุล ผู้อำนวยการกองเทคโนโลยีสารสนเทศ ให้การต้อนรับเจ้าหน้าที่จากบริษัท ACM Services Company Limited ซึ่งเข้าตรวจติดตามประเมินกระบวนการพัฒนาซอฟต์แวร์ตามมาตรฐาน ISO/IEC 29110 ประจำปี 2558 เพื่อรักษาสิทธิตามหนังสือรับรอง Certificateที่องค์การเภสัชกรรมได้รับการรับรอง ตั้งแต่ปี 2556 ซึ่งผลการตรวจติดตามองค์การเภสัชกรรมผ่านเกณฑ์การรับรองมาตรฐาน ISO/IEC 29110 ประจำปี2558 เมื่อวันที่ 26 ตุลาคม 2558
นางนพพร จิตตเมตตากุล ผู้อำนวยการกองเทคโนโลยีสารสนเทศ ให้การต้อนรับเจ้าหน้าที่จากบริษัท ACM Limited จำกัด ซึ่งเข้าตรวจติดตามประเมินกระบวนการพัฒนาซอฟต์แวร์ตามมาตรฐาน ISO/IEC 29110 ประจำปี 2557 เพื่อรักษาสิทธิตามหนังสือรับรอง Certificateที่องค์การเภสัชกรรมได้รับการรับรอง ตั้งแต่ปี 2556 ซึ่งผลการตรวจติดตามองค์การเภสัชกรรมผ่านเกณฑ์การรับรองมาตรฐาน ISO/IEC 29110 ประจำปี 2557 เมื่อวันที่ 27 ตุลาคม 2557
นางนพพร จิตตเมตตากุล ผู้อำนวยการกองเทคโนโลยีสารสนเทศ รับมอบใบรับรองมาตรฐานสากล ISO/IEC 29110 จากคุณฉัตรชัย คุณปิติลักษณ์ รองผู้อำนวยการ สำนักงานส่งเสริมอุตสาหกรรมซอฟต์แวร์แห่งชาติ (องค์การมหาชน) เมื่อวันพฤหัสบดีที่ 19 ธันวาคม 2556 ณ โรงแรมวินเซอร์ สวีทส์ ซอยสุขุมวิท 20 กรุงเทพฯ ทั้งนี้ กองเทคโนโลยีสารสนเทศ องค์การเภสัชกรรม ได้เข้าสู่ระบบประเมินมาตรฐานกระบวนการทำงานทั้งการผลิต และการให้บริการจากคณะผู้เชี่ยวชาญในวงการคอมพิวเตอร์ในโครงการ “ส่งเสริมให้ผู้ประกอบการได้รับมาตรฐานกระบวนการผลิตและบริการ ISO 29110 ประจำปี 2556” จากกลุ่มอุตสาหกรรมซอฟต์แวร์ สภาอุตสาหกรรมแห่งประเทศไทย ร่วมกับสำนักงานส่งเสริมอุตสาหกรรมซอฟต์แวร์แห่งชาติ (องค์การมหาชน) จนได้รับการรับรองกระบวนการพัฒนาซอฟต์แวร์ตามมาตรฐาน ISO/IEC 29110 จากบริษัท ACM Limited ซึ่งเป็น Certification Body จากประเทศอังกฤษ
สำหรับมาตรฐาน ISO/IEC 29110 คือกระบวนการพัฒนาซอฟต์แวร์ตามมาตรฐานสากลที่จัดขึ้นเพื่อส่งเสริมให้ผู้ประกอบการอุตสาหกรรมซอฟต์แวร์ หน่วยงานภาครัฐ หรือหน่วยงานเอกชนที่มีกิจกรรมเกี่ยวข้องกับการพัฒนาซอฟต์แวร์ได้รับการรับรองคุณภาพการผลิตและมีกระบวนการพัฒนาซอฟต์แวร์ที่มีมาตรฐาน เป็นที่ยอมรับทั้งในประเทศและต่างประเทศ โดยใช้ศักยภาพด้านมาตรฐานระดับสากลเป็นตัวนำและเพื่อเป็นการสร้างโอกาสการแข่งขันในภาคอุตสาหกรรมซอฟต์แวร์อีกด้วย ถือเป็นอีกก้าวหนึ่งที่จะให้ความมั่นใจได้ว่าระบบด้านITขององค์การเภสัชกรรม มีคุณภาพในระดับสากล
ISO 27001 และ ISO 29110 กับความเกื้อหนุนกันในการทำ Computer System Validation ขององค์การเภสัชกรรม ให้ประสบความสำเร็จ
1) ISO 29110 คือ มาตรฐานวิศวกรรมซอฟต์แวร์ สำหรับองค์กรขนาดเล็ก (Software Engineering-Life cycle Profiles for Very Small Enterprises (VSE)) เป็นมาตรฐานสากลทางด้านวิศวกรรมซอฟต์แวร์ และเป็นมาตรฐานฉบับแรกที่มุ่งเน้นให้ผู้พัฒนาซอฟต์แวร์ขนาดเล็ก นำไปใช้เพื่อยกระดับคุณภาพผลิตภัณฑ์ด้านซอฟต์แวร์และการบริการให้เป็นที่ยอมรับในระดับสากลและมีวงจรในการพัฒนาปรับปรุงอย่างต่อเนื่อง
2) ISO 27001 คือ มาตรฐานระบบบริหารความมั่นคงปลอดภัยสารสนเทศ (Information Security Management Systems : ISMS) เป็นมาตรฐานเกี่ยวกับการดูแลรักษาความมั่นคงปลอดภัยสารสนเทศขององค์กร เพื่อป้องกันความเสียหายที่เกิดขึ้นจากภัยคุกคามในรูปแบบต่าง ๆ ที่มีต่อระบบสารสนเทศขององค์กร รวมถึงการดำเนินการที่สอดคล้องกับข้อกำหนดด้านความมั่นคงปลอดภัยทั้งของคู่ค้า ลูกค้า ข้อกฎหมาย และระเบียบข้อบังคับต่าง ๆ ที่เกี่ยวข้อง โดยมีข้อกำหนดแบ่งเป็น 2 ส่วน คือ 1) แนวทางการบริหารจัดการระบบบริหารความมั่นคงปลอดภัยสารสนเทศ ใช้การขับเคลื่อนผ่านวงจร PDCA 2) มาตรการควบคุมหลัก (Domain) 11 ข้อ แต่ละหัวข้อประกอบด้วยวัตถุประสงค์จำนวนแตกต่างกันรวมแล้ว 39 วัตถุประสงค์การควบคุม (Control Objectives) และภายใต้วัตถุประสงค์แต่ละข้อประกอบด้วยมาตรการในการรักษาความมั่นคงปลอดภัยรวม 133 ข้อ (Control)
3) Computer System Validation (CSV) คือการตรวจสอบความถูกต้องของ Software, Hardware, Network ซึ่งรวมกันเป็นระบบคอมพิวเตอร์ (หมวด 19 ของ PIC/S) เพื่อให้มั่นใจว่าสารสนเทศที่ได้จากการประมวลผลในระบบคอมพิวเตอร์ทั้งหมดสามารถทำงานได้อย่างถูกต้องตรงตามความต้องการของผู้ใช้งาน และวัตถุประสงค์ขององค์กรซึ่งเป็นผู้จัดสรรเงินลงทุนเพื่อนำระบบ IT เข้ามาใช้ช่วยให้บรรลุถึง Goal และ Visions ขององค์กร โดยใช้วิธีการในการตรวจสอบความถูกต้องผ่านขั้นตอนดังนี้ 3.1) ตรวจสอบกระบวนการผลิตซอฟต์แวร์ หรือวงจรในการพัฒนาซอฟต์แวร์ (SDLC) ว่าในแต่ละขั้นตอนมีการควบคุมที่เป็นไปตามมาตรฐานหรือไม่ *เพราะถ้ากระบวนการเหล่านี้มีการปฏิบัติตาม Best Practice หรือปฏิบัติในแต่ละขั้นตอนโดยอิง Standard ก็เชื่อได้ว่าซอฟต์แวร์ที่ได้จะมีความถูกต้อง มีความน่าเชื่อถือมากกว่าซอฟต์แวร์ที่ได้มาจากกระบวนการผลิตที่ไม่ได้มาตรฐาน ซึ่งมาตรฐานที่เกี่ยวข้อง/สอดคล้องกับการพัฒนาซอฟต์แวร์ เช่น -> GAMP5, ISO 29110, CMMI เป็นต้น 3.2) ตรวจสอบที่ตัวของสารสนเทศเอง (เน้นที่ electronic data) ว่า มีคุณสมบัติในเรื่องของ CIA ครบถ้วนหรือยัง * เพราะถ้าสารสนเทศ หรือ electronic data ที่ใช้ในกระบวนการ GMP ไม่มีความถูกต้อง (Integrity) เช่นข้อมูล GMP สามารถถูกแก้ไขจากใครก็ได้ที่ไม่มีสิทธิ หรือไม่สามารถปกป้องข้อมูลให้เป็นความลับ (Confidentiality) จากผู้ไม่เกี่ยวข้องได้ เช่น ข้อมูลสูตรยาสำคัญถูกเผยแพร่ หรือข้อมูลการผลิตสูญหาย หรือไม่สามารถเข้าใช้งานได้ในเวลาที่ต้องการ (Availability) ถือว่ากระบวนการ CSV Failed ซึ่งมาตรฐานที่เกี่ยวข้อง/สอดคล้องกับ Information Security เช่น -> ISO 27001, ISO 28000 เป็นต้น 3.3) ตรวจสอบที่ Hardware และ Network ซึ่งถือว่าเป็นองค์ประกอบของระบบคอมพิวเตอร์ที่สำคัญเช่นกัน ว่ามีเสถียรภาพในการทำงาน และทำงานได้อย่างถูกต้องตลอดเวลา เช่น - เครื่อง Server มีการทำ Hardening ป้องกันการโจมตีจากภัยคุกคามต่าง ๆ และการเข้าถึงจากบุคคลภาย นอกหรือผู้ไม่มีสิทธิ, มีกระบวนการปรับปรุง Patch Version ที่เป็นขั้นเป็นตอน เช่นการประเมินผลกระทบจากการปรับรุ่นของ Patch เป็นต้น - ระบบ Network มีการป้องกันการ Trap มีการทำ Network Redundant และทำเครือข่ายสำรอง (Network Backup) เพื่อเพิ่มช่องทางการเข้าถึงโดย ISP หลายเจ้า หลาย Location
บทความโดย ปิยะ คงคาวิทูร (Cert no: THIP 13A0342) เจ้าหน้าที่ระบบงานคอมพิวเตอร์ 6 กองเทคโนโลยีสารสนเทศ องค์การเภสัชกรรม