More Related Content
Similar to IT Risk Assessment (20)
More from Banyong Jandragholica (7)
IT Risk Assessment
- 4. การประเมิ น ความเสี่ ยงเป็ น
กระบวนการแรกในวธการบรหาร
กระบวนการแรกในวิธีการบริ หาร
จั ด ก า ร ค ว า ม เ สี่ ย ง ใ น ก า ร
ตรวจสอบขอบเขตของความเสยง
ตรวจสอบขอบเขตของความเสี่ยง
แ ล ะ ภั ย คุ ก ค า ม ที่ ผ ล ที่ ไ ด้ จ า ก
กระบวนการจะชวยใหสามารถหา
กระบวนการจะช่ วยให้ สามารถหา
วิธี การควบคุ ม ที่เหมาะสมสําหรั บ
การลดหรอกาจดความเสยงท่
การลดหรื อกํ า จั ด ความเสี่ ยงที
เกิดขึน้
- 5. สามารถแบ่ งออกเป็ น 9 ขันตอนดังนี ้
้
1. การอธบายลกษณะของระบบ
1 การอธิบายลักษณะของระบบ
(System Characterization)
2. การบงชภยคุกคาม (Threat Identification)
2 ่ ชี ้ ั (Th Id ifi i )
3. การบ่ งชีความไม่ ม่ ันคง (Vulnerability Identification)
้
4. การวิเคราะห์์ การควบคุม (Control Analysis)
5. การตรวจสอบโอกาสในการเกิดภัยคุกคาม
(Likelihood Determination)
- 6. สามารถแบ่ งออกเป็็ น 9 ขันตอนดังนี ้
้
6. การวิเคราะห์ ผลกระทบ (Impact Analysis)
7. การตรวจสอบความเสี่ยง (Risk Determination)
8. การเสนอวิธีการควบคม (Control Recommendations)
การเสนอวธการควบคุม
9. การทําเอกสารสรุ ปผล (Result Documentation)
- 8. ข้ อมูลที่สัมพันธ์ กับระบบ (System-Related Information)
• อุปกรณฮารดแวร
อปกรณ์ ฮาร์ ดแวร์
• ซอฟแวร์
• การเชื่อมต่ อระบบทังภายในและภายนอก
การเชอมตอระบบทงภายในและภายนอก
้
• ระบบข้ อมูลและข่ าวสาร
• บุคคลผู้ ท่ ดูแลและใช้้ งานระบบ
ี ใ
• พันธกิจของระบบ เช่ น กระบวนการที่ทาโดยระบบ
ํ
ข้ อมูลสารสนเทศ
- 9. ข้ อมูลที่สัมพันธ์ กับระบบ (System-Related Information)
•ความสาคญของขอมูลและระบบ เชน คุณคาของระบบ
•ความสําคัญของข้ อมลและระบบ เช่ น คณค่ าของระบบ
หรื อความสําคัญที่มีต่อองค์ กร
• ระดัับการปกปองข้้ อมูลและระบบ
ป ป ้
- 10. เทคนิคการรวบรวมข้ อมูล(Information-Gathering Techniques)
• ส่ วนแบบสอบถาม (Questionnaire) ในการรวบรวมข้ อมลที่
สวนแบบสอบถาม ในการรวบรวมขอมูลท
เกี่ยวข้ อง ผู้ท่ ทาการประเมินความเสี่ยงสามารถปรับปรุ ง
ี ํ
แบบสอบถาม
• ส่ วนการสัมภาษณ์ ตามสถานที่จริง (On-site Interviews)
การสมภาษณบุคคลทมหนาทดูแลหรื อบริหารระบบข้ อมล
การสัมภาษณ์ บคคลที่มีหน้ าที่ดแลหรอบรหารระบบขอมูล
สารสนเทศทําให้ ผ้ ูประเมินความเสี่ยงสามารถรวบรวมข้ อมูลที่มี
- 11. ภัยคุกคาม คือ สิ่งที่เป็ นไปได้ ท่ แหล่ งกําเนิดภัยคุกคาม
ี
จะกระทาตอสงทไมมความมนคง
จะกระทําต่ อสิ่งที่ไม่ มีความมั่นคง
ความไม่ ม่ ันคงคือความอ่ อนแอของสิ่งหนึ่งทําให้ ได้ รับ
ผลกระทบจากภายนอกไดงาย ไ ้่
การบ่ งชีแหล่ งกําเนิดภัยคุกคาม (Threat-Source Identification)
้
เปาหมายของขันตอนนีคือ ระบุแหล่ งกําเนิดของภัยคุกคาม
้ ้ ้
และประมวลผลเป็ นรายชื่อภัยคุุกคามที่มีผลต่ อระบบข้ อมููล
สามารถแบ่ งออกเป็ น 3 ประเภทดังนี ้
- 12. ประเภทแรก ภัยคุกคามโดยธรรมชาติ (Natural Threats)
เช่่ น นํําท่่ วม แผ่่ นดินไหว พายุ เป็ นต้้ น
้ ิ ไ ป็
ประเภทสอง ภัยคุกคามโดยมนุษย์ (Human Threats) ทัง ้
การกระทําที่ เกิดจากความไม่ ตังใจและการกระทําผิดโดย
้
เจตนา
ประเภทสาม ภัยคุกคามจากสภาพแวดล้ อม (Environment
Threats) เช่ น ระบบไฟฟาขัดข้ อง มลภาวะ สารเคมีร่ ั วไหล
เชน ระบบไฟฟาขดของ, มลภาวะ, สารเคมรวไหล
้
เป็ นต้ น
- 13. Natural
Threats
Th
Human
Threats Motivation and
Threat Actions
Threat Actions
Environment
Threats
- 14. การวิเคราะห์ ภยคุกคามที่มีต่อระบบข้ อมูลสารสนเทศ
ั
ตองมการวเคราะหความออนแอไมมนคงของสภาพแวด
ต้ องมีการวิเคราะห์ ความอ่ อนแอไม่ ม่ ันคงของสภาพแวด
ล้ อม ของระบบ เปาหมายของขันตอนนีคือการพัฒนา
้ ้ ้
รายการความไมมนคงของระบบที่ ทาใ ้
ไ ่ ่ั ี ํ ใหระบบมีีโอกาส
ได้ รับภัยคุกคาม
- 15. ความไมมันคง
่ ่ แหลงกําเนิดภัยคุกคาม
่ ปฏิกรยาภัยคุกคาม
ิ ิ
(Vulnerability) (Threat‐Source) (Threat‐Action)
ไมมีีการลบขอมูลของ พนกงานทหมดสภาพ
ไ ่ ้ พนักงานที่หมดสภาพ การแอบเข้้ ามาดึงข้้ อมูล
ึ
พนักงานที่ออกจาก การเป็ นพนักงานของ สําคัญของบริษัทโดย
บริษัทไปแล้ วจากระบบ บริษัท
บรษทไปแลวจากระบบ ร การตอโมเดมเขามาใน
การต่ อโมเดมเข้ ามาใน
บริษัท
ศนย์ กลางข้ อมลใช้ ระบบ ไฟ, บคคลที่เพิกเฉย
ู ู ไฟ, บุคคลทเพกเฉย ระบบนาฉดพนทางาน
ระบบนําฉีดพ่ นทํางาน
้
พ่ นนําเพื่อปองกันไฟไหม้ ไม่ ให้ ความใส่ ใจ
้ ้ เมื่อเกิดไฟไหม้
แต่ ไม่ มีอุปกรณ์ กันนํา
้
สําหรัับอุปกรณ์์ ไฟฟาและ
ํ ้
เอกสารข้ อมูลต่ างๆ
- 16. เปาหมายของขันตอนนีเ้ พื่อวิเคราะห์ การควบคุมที่
้ ้
องค์์ กรใช้้ อยู่หรืื อที่ วางแผนไว้้ เพื่ อลดหรืื อกําจัดโอกาสที่ ี
ใ ี ไ ื ํ ั โ
จะเกิดภัยคุกคาม ได้ 2 อย่ างคือ
• วิธีการควบคุม (Control Method)
• ประเภทของการควบคุุม (Control Category)
- 17. วิธีการควบคุม (Control Method) การควบคุมการรั กษา
ความปลอดภัยอาศัยวิธีการควบคุมทังเชิงเทคนิคและที่ไม่ ใช่
้
เชิงเทคนิค
การควบคมเชิงเ นคคือการปกปองระบบเกี่ยว บ
ร ว ุมเ เทคนิ ร ้ ร เ วกั
อุปกรณ์ ฮาร์ ดแวร์ ซอฟแวร์ ของเครื่ องคอมพิวเตอร์ เช่ น
วธการเขารหสขอมูล
วิธีการเข้ ารหัสข้ อมล
การควบคุมที่ไม่ ใช่ เชิงเทคนิคคือการบริหารจัดการ
และควบคุมการปฏิบตงานเช่่ น นโยบายรัั กษาความ
ป ิ ั ิ โ
ปลอดภัย
- 18. ประเภทของการควบคุม (Control Category) การควบคุม
ทงเชงเทคนค และทไมใชเชงเทคนคถูกแบงประเภทได 2
ทังเชิงเทคนิค และที่ไม่ ใช่ เชิงเทคนิคถกแบ่ งประเภทได้
้
ประเภทคือการควบคุมแบบปองกัน และการควบคุมแบบ
้
ตรวจจบ ั
การควบคุมแบบปองกันมีจุดประสงค์ เพื่อไม่ ให้ เกิด
้
ความไม่ ปลอดภัยกับระบบ
การควบคุุมแบบตรวจจับมีจุดประสงค์ เพื่อแจ้ งให้
ทราบว่ าเกิดความไม่ ปลอดภัยขึนบนระบบ
้
- 19. การวดระดบโอกาสทจะเกดความเสยงซงบงชถงความ
การวัดระดับโอกาสที่จะเกิดความเสี่ยงซึ่งบ่ งชีถงความ
้ึ
เป็ นไปได้ ท่ ระบบจะไม่ มีความมั่นคงสามารถทําได้ เมื่ออยู่ใน
ี
สภาพแวดลอมทมภยคุกคาม ปั ั ่ ี ้ ิ
ส ้ ่ี ี ั ปจจยทตองพจารณาไดแก่ ไ ้
• ความสามารถของแหล่ งกําเนิดภัยคุกคามในการ
ก่ อให้ เกิดความเสี่ ยง
• ธรรมชาติของความไม่ ม่ ันคงที่ก่อให้ เกิดความเสี่ยง
• ความมีประสิทธิภาพของวิธีการควบคุมที่มีอยู่
- 20. ระดบสูง หมายถง แหลงกาเนดภยคุกคามมความสามารถ
ระดับสง หมายถึง แหล่ งกําเนิดภัยคกคามมีความสามารถ
สูงในการกระตุ้นและก่ อให้ เกิดความเสี่ยงต่ อระบบและวิธีการ
ควบคุมทมอยู มมประสทธภาพ
ควบคมที่มีอย่ ไม่ มีประสิทธิภาพ
ระดับปานกลาง หมายถึง แหล่ งกําเนิดภัยคุกคามมีความ
สามารถพอ ที่จะก่ อให้ เกิดความเสี่ยงต่ อระบบได้ แต่ ระบบมี
การควบคุมที่มีประสิทธิ ภาพทําให้ สามารถปองกันระบบจาก
้
ความไม่ ม่ ันคงที่เกิดขึน
้
- 21. ระดับตํ่า หมายถึง แหล่ งกําเนิดภัยคุุกคามไม่ สามารถ
สร้ างความเสี่ยงให้ แก่ ระบบได้ หรื อวิธีการควบคุมความ
ปลอดภัยของระบบมีประสิทธิภาพสููง สามารถรั กษาความ
มั่นคงของระบบได้ ดี
- 23. ผลกระทบระดับสูง หมายถึง ความไม่ ม่ ันคงของระบบ
ส่ งผลให้ เกิดการสญเสียทรั พย์ สิน และทรั พยากรหลักของ
ูญ
องค์ กรจํานวนมาก หรื อเป็ นอันตรายร้ ายแรงต่ อพันธกิจ
และองค์ กร
ผลกระทบระดับปานกลาง หมายถึง ความไม่ ม่ ันคงของ
ระบบส่ งผลให้้ เกิดการสูญเสีียทรััพย์์ สิน และทรััพยากรของ
ใ ิ
องค์ กร หรื อส่ งผลต่ อพันธกิจและองค์ กร
- 24. ผลกระทบระดับตํ่า หมายถึง ความไม่ ม่ ันคงของระบบ
สงผลใหเกดการสูญเสยทรพยสนและทรพยากรขององคกร
ส่ งผลให้ เกิดการสญเสียทรั พย์ สินและทรั พยากรขององค์ กร
เล็กน้ อย หรื อส่ งผลต่ อพันธกิจหรื อชื่อเสียงขององค์ กรบ้ าง
เลกนอย
เล็กน้ อย
- 25. การตรวจสอบความเสี่ ย งจะพิ จ ารณาจากปั จจั ย จาก
ขนตอนทผานมาไดแก โอกาสทภยคุ กคามทเกดขนทาให
ขั นตอนที่ผ่านมาได้ แก่ โอกาสที่ภัยคกคามที่เกิด ขึน ทํา ให้
้ ้
ระบบขาดความมั่ น คง, ระดั บ ผลกระทบหรื อ ความรุ น แรง
ของภััยคุกคามที่ ีมีต่อระบบ และประสิิทธิิภาพของแผนการ
ป
ควบคุ ม ความปลอดภั ย ของระบบ โดยใช้ วิ ธี ม าตรฐาน
เมตริกซ์ ระดับความเสี่ยง (Risk-Level Matrix)
- 27. โอกาสการเกิด ความรุ นแรงของความเสี่ยง (Impact)
ความเสี่ยง ตา (10)
ตํ่า ปานกลาง (50) สูง (100)
สง
(Likelihood)
สูง (1.0) ตํํ่า ปานกลาง สูง
10 x 1.0 = 10 50 x 1.0 = 50 100 x 1.0 = 100
ปานกลาง (0.5) ตา ํ่ ปานกลาง
ป ปานกลาง
ป
10 x 0.5 = 5 50 x 0.5 = 25 100 x 0.5 = 50
ตํ่า (0.1) ตา
ตํ่า ตา
ตํ่า ตา
ตํ่า
10 x 0.1 = 1 50 x 0.1 = 5 100 x 0.1 = 10
- 28. ระดับความเสี่ยง (Risk Level) แบ่ งเป็ น 3 ระดับ
ระดับความเสี่ยงสง หมายถึงจําเป็ นต้ องได้ รับการแก้ ไข
ู
อย่ างเร่ งด่ วน ระบบที่ดาเนินอยู่อาจจะยังคงปฏิบัตงาน
ํ ิ
ตามปกติแต่ จะต้ องนําแผนการแก้ ไขมาใช้ ทนทีท่ เป็ นไปได้
ั ี
ระดับความเสี่ยงปานกลาง หมายถึงควรมีการแก้ ไขและ
แผนการควบคุมควรได้้ รับการปรัั บปรุ งแล้้ วนํํามาใช้้ ความเสี่ ียง
ไ ป ป ใ
เป็ นฟั งก์ ชันของโอกาสที่จะเกิดเหตุการณ์ ใดๆ ซึ่งก่ อให้ เกิดภัย
คุกคามในระบบที่ มีความอ่่ อนแอในการปกปองกัับความรุ นแรง
ใ ี ใ ป ป ้
ของผลกระทบที่จะเกิดขึนจากภัยคุกคามนัน
้ ้
- 29. ระดับความเสี่ยง (Risk Level) แบ่ งเป็ น 3 ระดับ
ระดบความเสยงตา หมายถงระบบควรไดรบการตรวจสอบ
ระดับความเสี่ยงตํ่า หมายถึงระบบควรได้ รับการตรวจสอบ
เพื่อให้ แน่ ใจว่ าแผนการควบคุมที่มีอยู่จะสามารถแก้ ไขปั ญหาและ
รบมอกบความเสยงได
รั บมือกับความเสี่ยงได้
- 31. เมื่อการประเมินความเสี่ยงเสร็จสมบูรณ์ แล้ ว ต้ องมี
การรวบรวมข้ อมูลที่ เกี่ ยวข้ องทังหมดและจัดทําเอกสารสรุ ป
้
รายงานการประเมินความเสี่ยงเป็ นรายงานที่นําไปใช้ ร่วมกับ
การบริหารจัดการ เพื่อประกอบการตัดสินใจต่ างๆของ
องคกร
องค์ กร
- 32. 1. การศึกษาการบริหารจัดการความเสี่ยงในการพัฒนาระบบ
ุ
เทคโนโลยีสารสนเทศของธรกิจธนาคารไทย
(ผาณิต ลิมเกียรติเชิดชู, วิทยาลัยนวัตกรรมอุดมศึกษา
้
มหาวิทยาลัยธรรมศาสตร์ , (2544))
( ))
2 การศึกษาความเสี่ยงในโครงการเทคโนโลยีสารสนเทศ (Risk
in Information Technology Project)
gy j )
(จินตนา กองนิล,หลักสูตรวิทยาศาสตร์ มหาบัณฑิต สาขาวิชา
เทคโนโลยีสารสนเทศสถาบันเทคโนโลยีพระจอมเกล้ าเจ้ าคุุณทหาร
ลาดกระบัง, (2545))
- 33. การประเมินความเสี่ยงเป็ นขันตอนสําคัญที่เลี่ยงไม่ ได้
้
ผลการวเคราะหความเสยงคอ
ผลการวิเคราะห์ ความเสี่ยงคือ
• ตัวชีนําในการกําหนดนโยบายและการดําเนินการด้ านความ
้
มนคงสารสนเทศ ถาไมทาการวเคราะหความเสยงใหเปน
มั่นคงสารสนเทศ ถ้ าไม่ ทาการวิเคราะห์ ความเสี่ยงให้ เป็ น
ํ
ประจํา ตามระยะเวลาที่กาหนดไว้ องค์ กรก็ไม่ สามารถรู้ ได้ ว่า
ํ
ปญหามอะไรบาง
ปั ญหามีอะไรบ้ าง
- 34. การประเมินความเสี่ยงเป็ นขันตอนสําคัญที่เลี่ยงไม่ ได้
้
ผลการวเคราะหความเสยงคอ
ผลการวิเคราะห์ ความเสี่ยงคือ
• การกําหนดนโยบายความมั่นคง สารสนเทศโดยไม่ มีผลการ
วเคราะหความเสยงชนา กเปนการนโยบายทไมมหลกการและ
วิเคราะห์ ความเสี่ยงชีนํา ก็เป็ นการนโยบายที่ไม่ มีหลักการและ
้
ย่ อมไม่ ส่งผลดีต่อความมั่นคงสารสนเทศขององค์ กร องค์ กรที่
ดาเนนการดานสารสนเทศโดยไมมนโยบายความมนคง หรอม
ดําเนินการด้ านสารสนเทศโดยไม่ มีนโยบายความมั่นคง หรื อมี
เกิดความล้ มเหลวเพราะนโยบายไม่ มีส่ งชีนํา อาจนําไปสู่ระบบ
ิ ้
สารสนเทศทไมสามารถดาเนนการไดโดยม สภาพพรอมใชงาน
สารสนเทศที่ไม่ สามารถดําเนินการได้ โดยมี สภาพพร้ อมใช้ งาน
บูรณการและการเก็บรกษาความลับที่เหมาะสม.
- 35. การประเมินความเสี่ยงเป็ นขันตอนสําคัญที่เลี่ยงไม่ ได้
้
ผลการวเคราะหความเสยงคอ
ผลการวิเคราะห์ ความเสี่ยงคือ
• ระบบสารสนเทศที่มีอาจส่ งผลให้ เกิด ความเสียหายด้ านความ
ปลอดภยตอชวตและทรพยสนของผู ส่วนได้ เสีย อีกทังอาจเป็ น
ปลอดภัยต่ อชีวตและทรั พย์ สินของผ้ มีสวนไดเสย อกทงอาจเปน
ิ ้
สาเหตุท่ ทาให้ เกิด ภาวะเสี่ยงต่ อการฟองร้ องดําเนินคดีได้ .
ื ํ ้