การบริหาร และการจัดการเพื่อลดความเสี่ยง ศูนย์เทคโนโลยีสารสนเทศ กรมควบคุมโรค

ขอบเขตการวิเคราะห์ความเสี่ยงด้านเทคโนโลยีสารสนเทศ ส่วนราชการต้องมีการวางระบบบริหารความเสี่ยงของระบบฐานข้อมูลและสารสนเทศ โดยต้องดำเนินการดังต่อไปนี้ 1. มีการบริหารความเสี่ยงเพื่อกำจัด ป้องกันหรือลดการเกิดความเสียหายในรูปแบบต่างๆ โดยสามารถฟื้นฟูระบบสารสนเทศ และการสำรองและกู้คืนข้อมูลจากความเสียหาย (Back up and Recovery) 2. มีการจัดทำแผนแก้ไขปัญหาจากสถานการณ์ความไม่แน่นอนและภัยพิบัติที่อาจจะเกิดกับระบบสารสนเทศ (IT contingency Plan) 3. มีระบบรักษาความมั่นคงและปลอดภัย (Security) ของระบบฐานข้อมูล เช่น ระบบ Anti-Virus ระบบไฟฟ้าสำรอง เป็นต้น 4. มีการกำหนดสิทธิให้ผู้ใช้ในแต่ละระดับ (Access rights)

แผนบริหารความเสี่ยงด้านเทคโนโลยีสารสนเทศ ปัจจัยเสี่ยง ความเสี่ยง โอ กาส ผล กระทบ ระดับคะแนน แนวทางการควบคุม กิจกรรม ระยะ เวลา ระบบปฏิบัติงานประจำด้านคอมพิวเตอร์ 1. ระบบคอมพิวเตอร์และระบบเครือข่ายเสียหายจากภัยธรรมชาติ 4 5 20 มีระบบรักษาความมั่นคงและปลอดภัย (Security) ของระบบฐานข้อมูล เช่น ระบบ Anti-Virus ระบบไฟฟ้าสำรอง 1 ทำการ Upgrade อุปกรณ์ IDS กับ firewall 1.2 จัดทำแผนบำรุงรักษาอุปกรณ์โดยจ้างเหมาบุคคลภายนอกดำเนินการ 1.3 สำรวจ/วางแผนแนวทางการปรับปรุงระบบการถ่ายเทอุณหภูมิของห้องปฏิบัติการ ต.ค.51-ก.ย.52 เม.ย.-ก.ย.52

แผนบริหารความเสี่ยงด้านเทคโนโลยีสารสนเทศ ปัจจัยเสี่ยง ความเสี่ยง โอ กาส ผล กระทบ ระดับคะแนน แนวทางการควบคุม กิจกรรม ระยะ เวลา การรักษาความปลอดภัย 2. ระบบคอมพิวเตอร์และระบบเครือข่ายเสียหายจากภัยคุกคาม 3. ระบบคอมพิวเตอร์และเครือข่ายเสียหาย 4 5 20 16 จัดทำแผนแก้ไขปัญหาจากสถานการณ์ความไม่แน่นอนและภัยพิบัติที่อาจจะเกิดกับระบบสารสนเทศ จัดทำแผนประคองกิจการหรือแผนรักษาความปลอดภัยเพื่อป้องกันความเสียหายของระบบคอมพิวเตอร์และระบบเครือข่าย 2.1 จัดทำแผนพัฒนาบุคลากรด้านคอมพิวเตอร์ 2.2 จัดทำคู่มือการปฏิบัติงานด้านระบบคอมพิวเตอร์เพื่อรองรับการเปลี่ยนแปลงด้านบุคลากร เช่น การโยกย้าย การลาออก เป็นต้น ม.ค.-เม.ย.52 เม.ย.-มิ.ย.52 พ.ค.52

แผนบริหารความเสี่ยงด้านเทคโนโลยีสารสนเทศ ปัจจัยเสี่ยง ความเสี่ยง โอ กาส ผล กระทบ ระดับคะแนน แนวทางการควบคุม กิจกรรม ระยะ เวลา โครงสร้างและระบบการจัดการ 4.ระบบคอมพิวเตอร์และระบบเครือข่ายเสียหาย 4 16 1.ฟื้นฟูระบบสารสนเทศและการสำรองและกู้คืนข้อมูลจากความเสียหาย (Back up & Recovery) 2. กำหนดอำนาจสิทธิ แต่งตั้งเจ้าหน้าที่ที่มีความรู้ ทักษะ และประสบการณ์เป็นผู้ควบคุมและกำกับดูแลระบบคอมพิวเตอร์และระบบเครือข่าย เม.ย.-ก.ย.52 5. ข้อมูลในระบบเสียหาย 2.1 จัดลำดับความสำคัญของผู้ใช้ฐานข้อมูล เช่น ระดับผู้บริหาร ระดับผู้ดูแลระบบ ระดับผู้ปฏิบัติการ 2.2 จัดทำแผนการจัดซื้อเครื่องมือและซอฟแวร์ในการสำรองข้อมูล พ.ค.-มิ.ย.52

เกณฑ์การประเมินความเสี่ยง โอกาสที่จะเกิด ระดับ โอกาสที่จะเกิด ความถี่ที่เกิดขึ้น (เฉลี่ย) 5 สูงมาก ทุกวัน 4 สูง ทุกสัปดาห์ 3 ปานกลาง ทุกเดือน 2 น้อย ทุก 3 เดือน 1 น้อยมาก ทุก 6 เดือน

เกณฑ์การประเมินความเสี่ยง ผลกระทบ ระดับ ผลกระทบ ความเสียหาย 5 สูงมาก ระบบเสียหายมากกว่า 80% 4 สูง ระบบเสียหาย 60 -79% 3 ปานกลาง ระบบเสียหาย 40 - 59% 2 น้อย ระบบเสียหาย 20 - 39% 1 น้อยมาก น้อยกว่า 20%

เส้นแบ่งการยอมรับความเสี่ยง แผนภูมิความเสี่ยง (Risk Map) ด้านเทคโนโลยีสารสนเทศ 2 1 5 4 3 2 1 5 4 3 เส้นแบ่งการยอมรับความเสี่ยง ผลกระทบ โอกาสเกิด