ISO/IEC 29110 คือชุดมาตรฐานวงจรชีวิตซอฟต์แวร์สำหรับองค์กรขนาดเล็กมาก (VSEs) ซึ่งหมายถึงองค์กร หน่วยงาน แผนก หรือโครงการที่มีบุคลากรไม่เกิน 25 คน ที่สามารถนำกระบวนการที่เป็นสากลมาใช้ได้ โดยปรับให้เข้ากับขนาดและทรัพยากรของตนเอง เพื่อให้ผลิตภัณฑ์ซอฟต์แวร์มีคุณภาพและเชื่อถือได้มากขึ้น โดยสามารถใช้กระบวนการวงจรชีวิตที่กำหนดไว้ในมาตรฐาน ISO/IEC 29110 ได้ทั้งในการใช้งาน การสร้าง และการจัดหาซอฟต์แวร์ โดยมีรายละเอียดของแต่ละส่วนดังนี้
ปัจจุบันสำนักคอมพิวเตอร์ฯ ได้รับการรับรองตาม ISO/IEC 29110-4-1:2018 ซึ่งเป็นข้อกำหนดของ Software Life Cycle Profiles สำหรับองค์กรขนาดเล็ก (VSEs) โดยเวอร์ชัน 2018 ได้รับการตรวจสอบและยืนยันครั้งล่าสุดในปี 2024 ดังนั้นฉบับนี้จึงยังคงเป็นปัจจุบัน
แม้ว่าปัจจุบันจะมีการประกาศใช้เวอร์ชัน 2025 แต่เป็นการปรับปรุงส่วนที่เป็นแนวทางปฏิบัติ (Guidelines) ให้มีความชัดเจนและเป็นมาตรฐานสากลมากขึ้น โดยมีการยกระดับส่วนที่เป็นแนวทางปฏิบัติ เช่น Part 5-1-1 และ 5-1-2 จากเดิมที่เป็นเพียง “รายงานทางเทคนิค” (Technical Report – TR) ขึ้นมาเป็น “มาตรฐานระหว่างประเทศ” (International Standard – IS) อย่างเต็มตัว และมีการเพิ่มแนวคิด “งานตามเงื่อนไข” (Conditional tasks) เข้ามาแทนที่การใช้คำว่า “Optional” (ทางเลือก) แบบเดิม เพื่อลดความคลุมเครือว่างานไหนจำเป็นต้องทำภายใต้เงื่อนไขใด
นอกจากนี้เวอร์ชัน 2025 ยังมีการบูรณาการแนวปฏิบัติด้านความปลอดภัยเข้ากับกระบวนการปฏิบัติงานเดิม โดยสรุปประเด็นหลักที่มีการเพิ่มเติมเรื่องความปลอดภัยได้ ดังนี้
- การกำหนดความต้องการด้านความปลอดภัย (Security Requirements) ในกิจกรรม Software Requirement Analysis เวอร์ชัน 2025 มีการระบุให้ชัดเจนขึ้นว่า องค์กรขนาดเล็ก (VSEs) ต้องพิจารณาความต้องการด้าน Non-functional Requirements โดยเน้นไปที่ Security มากขึ้น เช่น
– การระบุสิทธิ์ในการเข้าถึงข้อมูล (Access Control)
– การรักษาความลับของข้อมูลลูกค้า (Confidentiality)
– การป้องกันการแก้ไขข้อมูลโดยไม่ได้รับอนุญาต (Integrity) - การออกแบบเพื่อความปลอดภัย (Secure by Design) ในขั้นตอน Software Design มาตรฐานใหม่เน้นย้ำถึงการนำหลักการความปลอดภัยมาใช้ตั้งแต่ขั้นตอนออกแบบ (Design phase) ไม่ใช่ทำเสร็จแล้วค่อยมาแก้ เช่น
– การออกแบบโครงสร้างที่รองรับการตรวจสอบตัวตน (Authentication)
– การจัดเก็บ Log หรือประวัติการใช้งานเพื่อใช้ในการตรวจสอบ (Accountability)
– การลดความซับซ้อนของระบบเพื่อลดช่องโหว่ - การทดสอบความปลอดภัย (Security Testing) ในกิจกรรม Software Integration and Tests เวอร์ชัน 2025 ได้มีการปรับเปลี่ยนคำนิยามและการทดสอบให้ครอบคลุมถึง “ความมั่นคงปลอดภัย” มากกว่าแค่ “การทำงานถูกต้อง” (Functionality) โดยระบุถึง
– การใช้เครื่องมือตรวจสอบช่องโหว่ (Vulnerability Assessment) ในระดับที่ VSEs สามารถทำได้
– การทำ Verification ที่ครอบคลุมถึงกรณีที่อาจถูกบุกรุก (Edge cases/Security breaches) - การบริหารความเสี่ยงที่ครอบคลุม Cybersecurity (Risk Management) ในฝั่งของ Project Management (PM) กิจกรรม Project Planning ในเวอร์ชัน 2025 มีการเพิ่มแนวทางให้ผู้จัดการโครงการพิจารณา “ความเสี่ยงด้านไซเบอร์” (Cyber Risks) เป็นส่วนหนึ่งของแผนโครงการ เช่น ความเสี่ยงจากการใช้ Library ภายนอก (Third-party supply chain risk) หรือการรั่วไหลของข้อมูลระหว่างพัฒนางาน
มาตรฐานนี้ช่วยให้องค์กรขนาดเล็กสามารถปรับปรุงกระบวนการพัฒนาซอฟต์แวร์และระบบได้อย่างมีประสิทธิภาพ
และยังช่วยเพิ่มความน่าเชื่อถือและคุณภาพของผลิตภัณฑ์ที่พัฒนาอีกด้วย
