WINTER 01 การบริหารความเสี่ยง ด้านการรักษาความปลอดภัย ระบบสารสนเทศ Template การบริหารความเสี่ยง ด้านการรักษาความปลอดภัย ระบบสารสนเทศ Gr.1 สิรินทิพย์ ทองสุก วรวุฒิ พึ่งพาพุทธธรรม
02 ความเสี่ยง (Risk) คือ ความไม่แน่นอนของเหตุการณ์ ซึ่งไม่สามารถคาดเดาได้ว่าจะเกิดขึ้นเมื่อใด แต่ความเสี่ยงนั้น ๆ มีแนวโน้มที่เกิดขึ้นไม่มากก็น้อย ความเสี่ยงมีความหมายในหลากหลายแง่มุม เช่น โอกาสที่เกิดขึ้นแล้วจะเกิดความเสียหาย (Chance of Loss) ความเป็นไปได้ที่จะเกิดความเสียหาย (Possibility of Loss) ความไม่แน่นอนของเหตุการณ์ที่จะเกิดขึ้น (Uncertainty of Event) การคลาดเคลื่อนของการคาดการณ์ (Dispersion of Actual Result)
03 ศัพท์เทคนิค ความเสี่ยง (Risk) ภัย (Peril) สภาวะที่จะทำให้เกิดความเสียหาย (Hazard) ภัยต่าง ๆ นั้นเป็นสาเหตุที่จะทำให้เกิดความเสี่ยง และจะเป็นสภาวะที่จะทำให้เกิดความเสียหาย
04 ความเสี่ยงด้านระบบข้อมูลสารสนเทศ คือ ความเสี่ยงที่เกิดขึ้นกับฐานข้อมูลต่างๆของระบบสารสนเทศภายในองค์กร อันอาจจะก่อให้เกิดความเสียหาย ข้อมูลถูกทำลายความเสี่ยงจากผู้บุกรุกข้อมูล การโจรกรรมข้อมูลที่สำคัญ เช่น ข้อมูลลูกค้า ข้อมูลผู้จัดจำหน่าย การลักลอบเข้ามาแก้ไขเปลี่ยนแปลงข้อมูล ซึ่งความเสี่ยงเหล่านี้ล้วนมีความจำเป็นที่จะต้องเข้ามาบริหารจัดการด้านข้อมูล ดังนั้นการรักษาความปลอดภัยของข้อมูลจึงเป็นเรื่องสำคัญ
05 สามารถแยกประเภทความเสี่ยงเป็น 4 ประเภท ดังนี้ • ความเสี่ยงด้านเทคนิค เกิดขึ้นจากระบบคอมพิวเตอร์ เครื่องมืออุปกรณ์ หรือเกิดจากการถูกโจมตีจากไวรัสหรือโปรแกรมไม่ประสงค์ เป็นต้น • ความเสี่ยงจากผู้ปฏิบัติงาน • ความเสี่ยงจากภัยหรือสถานการณ์ฉุกเฉิน อาจเกิดจากภัยพิบัติตามธรรมชาติ หรือสถานการณ์ร้ายแรงที่ก่อให้เกิดความเสียหายร้ายแรงกับข้อมูลสารสนเทศ • ความเสี่ยงด้านการบริหารจัดการ เป็นความเสี่ยงจากแนวนโยบายในการบริหารจัดการที่อาจส่งผลกระทบต่อการดำเนินการด้านสารสนเทศ
การวิเคราะห์ความเสี่ยง (Analyze) 06 กระบวนการบริหารความเสี่ยงของระบบเทคโนโลยีสารสนเทศ การระบุความเสี่ยง (Identify) การวิเคราะห์ความเสี่ยง (Analyze) การวางแผน (Plan) การติดตาม (Track) การควบคุม (Control)
07
08
ระดับความเสี่ยง = โอกาส * ผลกระทบ 09 การประเมินระดับความเสี่ยง โอกาส คือ ความถี่ที่จะเกิดเหตุการณ์ บ่อย/บางครั้ง ฯลฯ ผลกระทบ คือ ความเสียหายที่จะเกิดขึ้น มาก/น้อย ฯลฯ ระดับความเสี่ยง = โอกาส * ผลกระทบ
10 เกณฑ์ประเมินความเสี่ยงโดยพิจารณาจากโอกาส
11 เกณฑ์ประเมินความเสี่ยงโดยพิจารณาจากผลกระทบ
ระดับความเสี่ยง = โอกาส * ผลกระทบ 12 ระดับความเสี่ยง = โอกาส * ผลกระทบ ระดับคะแนนความเสี่ยง 1 – 8 ต่ำ 9 – 16 กลาง 17 – 24 สูง 25 สูงมาก ควรได้รับการตรวจสอบ ควรแก้ไขปรับปรุง ต้องแก้ไขอย่างเร่งด่วน
13 การวางแผน (Plan) เป็นการตัดสินใจ กำหนดมาตรการว่าจะทำอย่างไรกับความเสี่ยงแต่ละประเภท ได้แก่ Risk Avoidance หลีกเลี่ยงจากความเสี่ยง Risk Reduction ลดโอกาสที่จะเกิดความเสี่ยง Risk Mitigation การหาแนวทางในการลดระดับความรุนแรงของความเสี่ยง เมื่อความเสี่ยงนั้นเกิดขึ้น Risk Transfer โอนความเสี่ยง Risk Acceptance ยอมรับความเสี่ยงนั้น ถึงแม้ความเสี่ยงจะเกิดขึ้น และไม่ทำ อะไรก่อนที่ความเสี่ยงจะเกิด
14 การติดตาม (Track) เป็นการติดตามข้อมูลเพื่อให้รู้สภาวะความเสี่ยงที่จะเกิดขึ้น การควบคุม (Control) เป็นการติดตาม กำกับ ตรวจสอบ ให้เป็นไปตามแผนบริหารความเสี่ยง
15 WINTER Template THANKYOU IT WORAWUT 120 SIRINTIP 121