Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Risk Assessment : RA
Risk Assessment : RA


              Information
                Security




Information                 Risk
การประเมิ น ความเสี่ ยงเป็ น
กระบวนการแรกในวธการบรหาร
กระบวนการแรกในวิธีการบริ หาร
จั ด ก า ร ค ว า ม เ สี่ ย ง ใ น ก า ร
...
สามารถแบ่ งออกเป็ น 9 ขันตอนดังนี ้
                          ้
  1. การอธบายลกษณะของระบบ
  1 การอธิบายลักษณะของระบบ
     ...
สามารถแบ่ งออกเป็็ น 9 ขันตอนดังนี ้
                         ้
  6. การวิเคราะห์ ผลกระทบ (Impact Analysis)
  7. การตรวจสอ...
การระบุของเขตในการพิจารณาจะต้ องคํานึงถึงจํานวน
ทรพยากรและขอมูลขาวสารทมอยูในระบบ จะตองกาหนด
ทรั พยากรและข้ อมลข่ าวสารที่ม...
ข้ อมูลที่สัมพันธ์ กับระบบ (System-Related Information)
    • อุปกรณฮารดแวร
      อปกรณ์ ฮาร์ ดแวร์
    • ซอฟแวร์
    • กา...
ข้ อมูลที่สัมพันธ์ กับระบบ (System-Related Information)
    •ความสาคญของขอมูลและระบบ เชน คุณคาของระบบ
    •ความสําคัญของข้...
เทคนิคการรวบรวมข้ อมูล(Information-Gathering Techniques)
   • ส่ วนแบบสอบถาม (Questionnaire) ในการรวบรวมข้ อมลที่
     สวน...
ภัยคุกคาม คือ สิ่งที่เป็ นไปได้ ท่ แหล่ งกําเนิดภัยคุกคาม
                                       ี
จะกระทาตอสงทไมมความมนคง...
ประเภทแรก ภัยคุกคามโดยธรรมชาติ (Natural Threats)
เช่่ น นํําท่่ วม แผ่่ นดินไหว พายุ เป็ นต้้ น
          ้               ...
Natural 
  Threats
  Th


  Human 
  Threats      Motivation and 
               Threat Actions
               Threat Acti...
การวิเคราะห์ ภยคุกคามที่มีต่อระบบข้ อมูลสารสนเทศ
                  ั
ตองมการวเคราะหความออนแอไมมนคงของสภาพแวด
ต้ องมีการวิเ...
ความไมมันคง
            ่ ่          แหลงกําเนิดภัยคุกคาม
                            ่                      ปฏิกรยาภัยคุก...
เปาหมายของขันตอนนีเ้ พื่อวิเคราะห์ การควบคุมที่
        ้                    ้
องค์์ กรใช้้ อยู่หรืื อที่ วางแผนไว้้ เพื่ ...
วิธีการควบคุม (Control Method) การควบคุมการรั กษา
ความปลอดภัยอาศัยวิธีการควบคุมทังเชิงเทคนิคและที่ไม่ ใช่
                ...
ประเภทของการควบคุม (Control Category) การควบคุม
ทงเชงเทคนค และทไมใชเชงเทคนคถูกแบงประเภทได 2
ทังเชิงเทคนิค และที่ไม่ ใช่ เช...
การวดระดบโอกาสทจะเกดความเสยงซงบงชถงความ
    การวัดระดับโอกาสที่จะเกิดความเสี่ยงซึ่งบ่ งชีถงความ
                          ...
ระดบสูง หมายถง แหลงกาเนดภยคุกคามมความสามารถ
     ระดับสง หมายถึง แหล่ งกําเนิดภัยคกคามมีความสามารถ
สูงในการกระตุ้นและก่ อใ...
ระดับตํ่า หมายถึง แหล่ งกําเนิดภัยคุุกคามไม่ สามารถ
สร้ างความเสี่ยงให้ แก่ ระบบได้ หรื อวิธีการควบคุมความ
ปลอดภัยของระบบม...
การวัดระดับความเสี่ยงคือการตรวจสอบผลกระทบต่ อ
ระบบเมื่ ือเกิดภยคุกคามขึน กอนที่ จะเริ่ ิมวิเคราะห์
              ิ ั      ...
ผลกระทบระดับสูง หมายถึง ความไม่ ม่ ันคงของระบบ
ส่ งผลให้ เกิดการสญเสียทรั พย์ สิน และทรั พยากรหลักของ
                  ูญ...
ผลกระทบระดับตํ่า หมายถึง ความไม่ ม่ ันคงของระบบ
สงผลใหเกดการสูญเสยทรพยสนและทรพยากรขององคกร
ส่ งผลให้ เกิดการสญเสียทรั พย์ ...
การตรวจสอบความเสี่ ย งจะพิ จ ารณาจากปั จจั ย จาก
ขนตอนทผานมาไดแก โอกาสทภยคุ กคามทเกดขนทาให
ขั นตอนที่ผ่านมาได้ แก่ โอกาสที...
วิธีมาตรฐานเมตริกซ์ ระดับความเสี่ยง (Risk-Level Matrix)
     โอกาสเกดความเสยง (Likelihood) กบ ความรุ นแรงของ
     โอกาสเกิ...
โอกาสการเกิด         ความรุ นแรงของความเสี่ยง (Impact)
  ความเสี่ยง      ตา (10)
                  ตํ่า          ปานกลาง (...
ระดับความเสี่ยง (Risk Level) แบ่ งเป็ น 3 ระดับ
      ระดับความเสี่ยงสง หมายถึงจําเป็ นต้ องได้ รับการแก้ ไข
             ...
ระดับความเสี่ยง (Risk Level) แบ่ งเป็ น 3 ระดับ
       ระดบความเสยงตา หมายถงระบบควรไดรบการตรวจสอบ
       ระดับความเสี่ยงตํ...
การควบคุมภายในองค์ กรช่ วยลดระดับความเสี่ยงที่จะ
เกิดกับระบบข้ อมูลสารสนเทศ และข้ อมูลอื่ นๆขององค์์ กร
ให้ อยู่ในระดับที่...
เมื่อการประเมินความเสี่ยงเสร็จสมบูรณ์ แล้ ว ต้ องมี
การรวบรวมข้ อมูลที่ เกี่ ยวข้ องทังหมดและจัดทําเอกสารสรุ ป
           ...
1. การศึกษาการบริหารจัดการความเสี่ยงในการพัฒนาระบบ
                            ุ
เทคโนโลยีสารสนเทศของธรกิจธนาคารไทย
(ผาณิต...
การประเมินความเสี่ยงเป็ นขันตอนสําคัญที่เลี่ยงไม่ ได้
                             ้
ผลการวเคราะหความเสยงคอ
ผลการวิเคราะห์...
การประเมินความเสี่ยงเป็ นขันตอนสําคัญที่เลี่ยงไม่ ได้
                             ้
ผลการวเคราะหความเสยงคอ
ผลการวิเคราะห์...
การประเมินความเสี่ยงเป็ นขันตอนสําคัญที่เลี่ยงไม่ ได้
                             ้
ผลการวเคราะหความเสยงคอ
ผลการวิเคราะห์...
Q
&
A
Thank You…  Security Group
IT Risk Assessment
Upcoming SlideShare
Loading in …5
×

IT Risk Assessment

3,383 views

Published on

IT Risk Assessment

Published in: Technology
  • Be the first to comment

IT Risk Assessment

  1. 1. Risk Assessment : RA
  2. 2. Risk Assessment : RA Information Security Information Risk
  3. 3. การประเมิ น ความเสี่ ยงเป็ น กระบวนการแรกในวธการบรหาร กระบวนการแรกในวิธีการบริ หาร จั ด ก า ร ค ว า ม เ สี่ ย ง ใ น ก า ร ตรวจสอบขอบเขตของความเสยง ตรวจสอบขอบเขตของความเสี่ยง แ ล ะ ภั ย คุ ก ค า ม ที่ ผ ล ที่ ไ ด้ จ า ก กระบวนการจะชวยใหสามารถหา กระบวนการจะช่ วยให้ สามารถหา วิธี การควบคุ ม ที่เหมาะสมสําหรั บ การลดหรอกาจดความเสยงท่ การลดหรื อกํ า จั ด ความเสี่ ยงที เกิดขึน้
  4. 4. สามารถแบ่ งออกเป็ น 9 ขันตอนดังนี ้ ้ 1. การอธบายลกษณะของระบบ 1 การอธิบายลักษณะของระบบ (System Characterization) 2. การบงชภยคุกคาม (Threat Identification) 2 ่ ชี ้ ั (Th Id ifi i ) 3. การบ่ งชีความไม่ ม่ ันคง (Vulnerability Identification) ้ 4. การวิเคราะห์์ การควบคุม (Control Analysis) 5. การตรวจสอบโอกาสในการเกิดภัยคุกคาม (Likelihood Determination)
  5. 5. สามารถแบ่ งออกเป็็ น 9 ขันตอนดังนี ้ ้ 6. การวิเคราะห์ ผลกระทบ (Impact Analysis) 7. การตรวจสอบความเสี่ยง (Risk Determination) 8. การเสนอวิธีการควบคม (Control Recommendations) การเสนอวธการควบคุม 9. การทําเอกสารสรุ ปผล (Result Documentation)
  6. 6. การระบุของเขตในการพิจารณาจะต้ องคํานึงถึงจํานวน ทรพยากรและขอมูลขาวสารทมอยูในระบบ จะตองกาหนด ทรั พยากรและข้ อมลข่ าวสารที่มีอย่ จะต้ องกําหนด ขอบเขตในการประเมินความเสี่ยง จําแนกขอบเขตการให้ สิิทธิิในการทํางาน และเตรีี ยมข้้ อมูลที่ มีผลต่่ อความเสี่ ียง ํ ี 1.ข้ อมูลที่สัมพันธ์ กับระบบ (System-Related Information) 2.เทคนิคการรวบรวมข้ อมููล (Information-Gathering Techniques)
  7. 7. ข้ อมูลที่สัมพันธ์ กับระบบ (System-Related Information) • อุปกรณฮารดแวร อปกรณ์ ฮาร์ ดแวร์ • ซอฟแวร์ • การเชื่อมต่ อระบบทังภายในและภายนอก การเชอมตอระบบทงภายในและภายนอก ้ • ระบบข้ อมูลและข่ าวสาร • บุคคลผู้ ท่ ดูแลและใช้้ งานระบบ ี ใ • พันธกิจของระบบ เช่ น กระบวนการที่ทาโดยระบบ ํ ข้ อมูลสารสนเทศ
  8. 8. ข้ อมูลที่สัมพันธ์ กับระบบ (System-Related Information) •ความสาคญของขอมูลและระบบ เชน คุณคาของระบบ •ความสําคัญของข้ อมลและระบบ เช่ น คณค่ าของระบบ หรื อความสําคัญที่มีต่อองค์ กร • ระดัับการปกปองข้้ อมูลและระบบ ป ป ้
  9. 9. เทคนิคการรวบรวมข้ อมูล(Information-Gathering Techniques) • ส่ วนแบบสอบถาม (Questionnaire) ในการรวบรวมข้ อมลที่ สวนแบบสอบถาม ในการรวบรวมขอมูลท เกี่ยวข้ อง ผู้ท่ ทาการประเมินความเสี่ยงสามารถปรับปรุ ง ี ํ แบบสอบถาม • ส่ วนการสัมภาษณ์ ตามสถานที่จริง (On-site Interviews) การสมภาษณบุคคลทมหนาทดูแลหรื อบริหารระบบข้ อมล การสัมภาษณ์ บคคลที่มีหน้ าที่ดแลหรอบรหารระบบขอมูล สารสนเทศทําให้ ผ้ ูประเมินความเสี่ยงสามารถรวบรวมข้ อมูลที่มี
  10. 10. ภัยคุกคาม คือ สิ่งที่เป็ นไปได้ ท่ แหล่ งกําเนิดภัยคุกคาม ี จะกระทาตอสงทไมมความมนคง จะกระทําต่ อสิ่งที่ไม่ มีความมั่นคง ความไม่ ม่ ันคงคือความอ่ อนแอของสิ่งหนึ่งทําให้ ได้ รับ ผลกระทบจากภายนอกไดงาย ไ ้่ การบ่ งชีแหล่ งกําเนิดภัยคุกคาม (Threat-Source Identification) ้ เปาหมายของขันตอนนีคือ ระบุแหล่ งกําเนิดของภัยคุกคาม ้ ้ ้ และประมวลผลเป็ นรายชื่อภัยคุุกคามที่มีผลต่ อระบบข้ อมููล สามารถแบ่ งออกเป็ น 3 ประเภทดังนี ้
  11. 11. ประเภทแรก ภัยคุกคามโดยธรรมชาติ (Natural Threats) เช่่ น นํําท่่ วม แผ่่ นดินไหว พายุ เป็ นต้้ น ้ ิ ไ ป็ ประเภทสอง ภัยคุกคามโดยมนุษย์ (Human Threats) ทัง ้ การกระทําที่ เกิดจากความไม่ ตังใจและการกระทําผิดโดย ้ เจตนา ประเภทสาม ภัยคุกคามจากสภาพแวดล้ อม (Environment Threats) เช่ น ระบบไฟฟาขัดข้ อง มลภาวะ สารเคมีร่ ั วไหล เชน ระบบไฟฟาขดของ, มลภาวะ, สารเคมรวไหล ้ เป็ นต้ น
  12. 12. Natural  Threats Th Human  Threats Motivation and  Threat Actions Threat Actions Environment  Threats
  13. 13. การวิเคราะห์ ภยคุกคามที่มีต่อระบบข้ อมูลสารสนเทศ ั ตองมการวเคราะหความออนแอไมมนคงของสภาพแวด ต้ องมีการวิเคราะห์ ความอ่ อนแอไม่ ม่ ันคงของสภาพแวด ล้ อม ของระบบ เปาหมายของขันตอนนีคือการพัฒนา ้ ้ ้ รายการความไมมนคงของระบบที่ ทาใ ้ ไ ่ ่ั ี ํ ใหระบบมีีโอกาส ได้ รับภัยคุกคาม
  14. 14. ความไมมันคง ่ ่ แหลงกําเนิดภัยคุกคาม ่ ปฏิกรยาภัยคุกคาม ิ ิ (Vulnerability) (Threat‐Source) (Threat‐Action) ไมมีีการลบขอมูลของ พนกงานทหมดสภาพ ไ ่ ้ พนักงานที่หมดสภาพ การแอบเข้้ ามาดึงข้้ อมูล ึ พนักงานที่ออกจาก การเป็ นพนักงานของ สําคัญของบริษัทโดย บริษัทไปแล้ วจากระบบ บริษัท บรษทไปแลวจากระบบ ร การตอโมเดมเขามาใน การต่ อโมเดมเข้ ามาใน บริษัท ศนย์ กลางข้ อมลใช้ ระบบ ไฟ, บคคลที่เพิกเฉย ู ู ไฟ, บุคคลทเพกเฉย ระบบนาฉดพนทางาน ระบบนําฉีดพ่ นทํางาน ้ พ่ นนําเพื่อปองกันไฟไหม้ ไม่ ให้ ความใส่ ใจ ้ ้ เมื่อเกิดไฟไหม้ แต่ ไม่ มีอุปกรณ์ กันนํา ้ สําหรัับอุปกรณ์์ ไฟฟาและ ํ ้ เอกสารข้ อมูลต่ างๆ
  15. 15. เปาหมายของขันตอนนีเ้ พื่อวิเคราะห์ การควบคุมที่ ้ ้ องค์์ กรใช้้ อยู่หรืื อที่ วางแผนไว้้ เพื่ อลดหรืื อกําจัดโอกาสที่ ี ใ ี ไ ื ํ ั โ จะเกิดภัยคุกคาม ได้ 2 อย่ างคือ • วิธีการควบคุม (Control Method) • ประเภทของการควบคุุม (Control Category)
  16. 16. วิธีการควบคุม (Control Method) การควบคุมการรั กษา ความปลอดภัยอาศัยวิธีการควบคุมทังเชิงเทคนิคและที่ไม่ ใช่ ้ เชิงเทคนิค การควบคมเชิงเ นคคือการปกปองระบบเกี่ยว บ ร ว ุมเ เทคนิ ร ้ ร เ วกั อุปกรณ์ ฮาร์ ดแวร์ ซอฟแวร์ ของเครื่ องคอมพิวเตอร์ เช่ น วธการเขารหสขอมูล วิธีการเข้ ารหัสข้ อมล การควบคุมที่ไม่ ใช่ เชิงเทคนิคคือการบริหารจัดการ และควบคุมการปฏิบตงานเช่่ น นโยบายรัั กษาความ ป ิ ั ิ โ ปลอดภัย
  17. 17. ประเภทของการควบคุม (Control Category) การควบคุม ทงเชงเทคนค และทไมใชเชงเทคนคถูกแบงประเภทได 2 ทังเชิงเทคนิค และที่ไม่ ใช่ เชิงเทคนิคถกแบ่ งประเภทได้ ้ ประเภทคือการควบคุมแบบปองกัน และการควบคุมแบบ ้ ตรวจจบ ั การควบคุมแบบปองกันมีจุดประสงค์ เพื่อไม่ ให้ เกิด ้ ความไม่ ปลอดภัยกับระบบ การควบคุุมแบบตรวจจับมีจุดประสงค์ เพื่อแจ้ งให้ ทราบว่ าเกิดความไม่ ปลอดภัยขึนบนระบบ ้
  18. 18. การวดระดบโอกาสทจะเกดความเสยงซงบงชถงความ การวัดระดับโอกาสที่จะเกิดความเสี่ยงซึ่งบ่ งชีถงความ ้ึ เป็ นไปได้ ท่ ระบบจะไม่ มีความมั่นคงสามารถทําได้ เมื่ออยู่ใน ี สภาพแวดลอมทมภยคุกคาม ปั ั ่ ี ้ ิ ส ้ ่ี ี ั ปจจยทตองพจารณาไดแก่ ไ ้ • ความสามารถของแหล่ งกําเนิดภัยคุกคามในการ ก่ อให้ เกิดความเสี่ ยง • ธรรมชาติของความไม่ ม่ ันคงที่ก่อให้ เกิดความเสี่ยง • ความมีประสิทธิภาพของวิธีการควบคุมที่มีอยู่
  19. 19. ระดบสูง หมายถง แหลงกาเนดภยคุกคามมความสามารถ ระดับสง หมายถึง แหล่ งกําเนิดภัยคกคามมีความสามารถ สูงในการกระตุ้นและก่ อให้ เกิดความเสี่ยงต่ อระบบและวิธีการ ควบคุมทมอยู มมประสทธภาพ ควบคมที่มีอย่ ไม่ มีประสิทธิภาพ ระดับปานกลาง หมายถึง แหล่ งกําเนิดภัยคุกคามมีความ สามารถพอ ที่จะก่ อให้ เกิดความเสี่ยงต่ อระบบได้ แต่ ระบบมี การควบคุมที่มีประสิทธิ ภาพทําให้ สามารถปองกันระบบจาก ้ ความไม่ ม่ ันคงที่เกิดขึน ้
  20. 20. ระดับตํ่า หมายถึง แหล่ งกําเนิดภัยคุุกคามไม่ สามารถ สร้ างความเสี่ยงให้ แก่ ระบบได้ หรื อวิธีการควบคุมความ ปลอดภัยของระบบมีประสิทธิภาพสููง สามารถรั กษาความ มั่นคงของระบบได้ ดี
  21. 21. การวัดระดับความเสี่ยงคือการตรวจสอบผลกระทบต่ อ ระบบเมื่ ือเกิดภยคุกคามขึน กอนที่ จะเริ่ ิมวิเคราะห์ ิ ั ึ้ ่ ี ิ ผลกระทบ ทัง 3 ด้ าน ้ • พันธกิจของระบบ (System mission) • ความสําคัญของระบบและข้ อมููล (System and data criticality) • ความไวต่ อการเปลี่ยนแปลงของระบบและข้ อมล ความไวตอการเปลยนแปลงของระบบและขอมูล (System and data sensitivity)
  22. 22. ผลกระทบระดับสูง หมายถึง ความไม่ ม่ ันคงของระบบ ส่ งผลให้ เกิดการสญเสียทรั พย์ สิน และทรั พยากรหลักของ ูญ องค์ กรจํานวนมาก หรื อเป็ นอันตรายร้ ายแรงต่ อพันธกิจ และองค์ กร ผลกระทบระดับปานกลาง หมายถึง ความไม่ ม่ ันคงของ ระบบส่ งผลให้้ เกิดการสูญเสีียทรััพย์์ สิน และทรััพยากรของ ใ ิ องค์ กร หรื อส่ งผลต่ อพันธกิจและองค์ กร
  23. 23. ผลกระทบระดับตํ่า หมายถึง ความไม่ ม่ ันคงของระบบ สงผลใหเกดการสูญเสยทรพยสนและทรพยากรขององคกร ส่ งผลให้ เกิดการสญเสียทรั พย์ สินและทรั พยากรขององค์ กร เล็กน้ อย หรื อส่ งผลต่ อพันธกิจหรื อชื่อเสียงขององค์ กรบ้ าง เลกนอย เล็กน้ อย
  24. 24. การตรวจสอบความเสี่ ย งจะพิ จ ารณาจากปั จจั ย จาก ขนตอนทผานมาไดแก โอกาสทภยคุ กคามทเกดขนทาให ขั นตอนที่ผ่านมาได้ แก่ โอกาสที่ภัยคกคามที่เกิด ขึน ทํา ให้ ้ ้ ระบบขาดความมั่ น คง, ระดั บ ผลกระทบหรื อ ความรุ น แรง ของภััยคุกคามที่ ีมีต่อระบบ และประสิิทธิิภาพของแผนการ ป ควบคุ ม ความปลอดภั ย ของระบบ โดยใช้ วิ ธี ม าตรฐาน เมตริกซ์ ระดับความเสี่ยง (Risk-Level Matrix)
  25. 25. วิธีมาตรฐานเมตริกซ์ ระดับความเสี่ยง (Risk-Level Matrix) โอกาสเกดความเสยง (Likelihood) กบ ความรุ นแรงของ โอกาสเกิดความเสี่ยง (Lik lih d) กับ ความรนแรงของ ความเสี่ยง (Impact)
  26. 26. โอกาสการเกิด ความรุ นแรงของความเสี่ยง (Impact) ความเสี่ยง ตา (10) ตํ่า ปานกลาง (50) สูง (100) สง (Likelihood) สูง (1.0) ตํํ่า ปานกลาง สูง 10 x 1.0 = 10 50 x 1.0 = 50 100 x 1.0 = 100 ปานกลาง (0.5) ตา ํ่ ปานกลาง ป ปานกลาง ป 10 x 0.5 = 5 50 x 0.5 = 25 100 x 0.5 = 50 ตํ่า (0.1) ตา ตํ่า ตา ตํ่า ตา ตํ่า 10 x 0.1 = 1 50 x 0.1 = 5 100 x 0.1 = 10
  27. 27. ระดับความเสี่ยง (Risk Level) แบ่ งเป็ น 3 ระดับ ระดับความเสี่ยงสง หมายถึงจําเป็ นต้ องได้ รับการแก้ ไข ู อย่ างเร่ งด่ วน ระบบที่ดาเนินอยู่อาจจะยังคงปฏิบัตงาน ํ ิ ตามปกติแต่ จะต้ องนําแผนการแก้ ไขมาใช้ ทนทีท่ เป็ นไปได้ ั ี ระดับความเสี่ยงปานกลาง หมายถึงควรมีการแก้ ไขและ แผนการควบคุมควรได้้ รับการปรัั บปรุ งแล้้ วนํํามาใช้้ ความเสี่ ียง ไ ป ป ใ เป็ นฟั งก์ ชันของโอกาสที่จะเกิดเหตุการณ์ ใดๆ ซึ่งก่ อให้ เกิดภัย คุกคามในระบบที่ มีความอ่่ อนแอในการปกปองกัับความรุ นแรง ใ ี ใ ป ป ้ ของผลกระทบที่จะเกิดขึนจากภัยคุกคามนัน ้ ้
  28. 28. ระดับความเสี่ยง (Risk Level) แบ่ งเป็ น 3 ระดับ ระดบความเสยงตา หมายถงระบบควรไดรบการตรวจสอบ ระดับความเสี่ยงตํ่า หมายถึงระบบควรได้ รับการตรวจสอบ เพื่อให้ แน่ ใจว่ าแผนการควบคุมที่มีอยู่จะสามารถแก้ ไขปั ญหาและ รบมอกบความเสยงได รั บมือกับความเสี่ยงได้
  29. 29. การควบคุมภายในองค์ กรช่ วยลดระดับความเสี่ยงที่จะ เกิดกับระบบข้ อมูลสารสนเทศ และข้ อมูลอื่ นๆขององค์์ กร ให้ อยู่ในระดับที่สามารถยอมรั บได้ การเสนอวิธีการควบคุม เป็ นผลจากกระบวนการประเมินความเสี่ยงและเป็ นการ เตรยมขอมูลสาหรบกระบวนการลดระดบความเสยง เตรี ยมข้ อมลสําหรั บกระบวนการลดระดับความเสี่ยง
  30. 30. เมื่อการประเมินความเสี่ยงเสร็จสมบูรณ์ แล้ ว ต้ องมี การรวบรวมข้ อมูลที่ เกี่ ยวข้ องทังหมดและจัดทําเอกสารสรุ ป ้ รายงานการประเมินความเสี่ยงเป็ นรายงานที่นําไปใช้ ร่วมกับ การบริหารจัดการ เพื่อประกอบการตัดสินใจต่ างๆของ องคกร องค์ กร
  31. 31. 1. การศึกษาการบริหารจัดการความเสี่ยงในการพัฒนาระบบ ุ เทคโนโลยีสารสนเทศของธรกิจธนาคารไทย (ผาณิต ลิมเกียรติเชิดชู, วิทยาลัยนวัตกรรมอุดมศึกษา ้ มหาวิทยาลัยธรรมศาสตร์ , (2544)) ( )) 2 การศึกษาความเสี่ยงในโครงการเทคโนโลยีสารสนเทศ (Risk in Information Technology Project) gy j ) (จินตนา กองนิล,หลักสูตรวิทยาศาสตร์ มหาบัณฑิต สาขาวิชา เทคโนโลยีสารสนเทศสถาบันเทคโนโลยีพระจอมเกล้ าเจ้ าคุุณทหาร ลาดกระบัง, (2545))
  32. 32. การประเมินความเสี่ยงเป็ นขันตอนสําคัญที่เลี่ยงไม่ ได้ ้ ผลการวเคราะหความเสยงคอ ผลการวิเคราะห์ ความเสี่ยงคือ • ตัวชีนําในการกําหนดนโยบายและการดําเนินการด้ านความ ้ มนคงสารสนเทศ ถาไมทาการวเคราะหความเสยงใหเปน มั่นคงสารสนเทศ ถ้ าไม่ ทาการวิเคราะห์ ความเสี่ยงให้ เป็ น ํ ประจํา ตามระยะเวลาที่กาหนดไว้ องค์ กรก็ไม่ สามารถรู้ ได้ ว่า ํ ปญหามอะไรบาง ปั ญหามีอะไรบ้ าง
  33. 33. การประเมินความเสี่ยงเป็ นขันตอนสําคัญที่เลี่ยงไม่ ได้ ้ ผลการวเคราะหความเสยงคอ ผลการวิเคราะห์ ความเสี่ยงคือ • การกําหนดนโยบายความมั่นคง สารสนเทศโดยไม่ มีผลการ วเคราะหความเสยงชนา กเปนการนโยบายทไมมหลกการและ วิเคราะห์ ความเสี่ยงชีนํา ก็เป็ นการนโยบายที่ไม่ มีหลักการและ ้ ย่ อมไม่ ส่งผลดีต่อความมั่นคงสารสนเทศขององค์ กร องค์ กรที่ ดาเนนการดานสารสนเทศโดยไมมนโยบายความมนคง หรอม ดําเนินการด้ านสารสนเทศโดยไม่ มีนโยบายความมั่นคง หรื อมี เกิดความล้ มเหลวเพราะนโยบายไม่ มีส่ งชีนํา อาจนําไปสู่ระบบ ิ ้ สารสนเทศทไมสามารถดาเนนการไดโดยม สภาพพรอมใชงาน สารสนเทศที่ไม่ สามารถดําเนินการได้ โดยมี สภาพพร้ อมใช้ งาน บูรณการและการเก็บรกษาความลับที่เหมาะสม.
  34. 34. การประเมินความเสี่ยงเป็ นขันตอนสําคัญที่เลี่ยงไม่ ได้ ้ ผลการวเคราะหความเสยงคอ ผลการวิเคราะห์ ความเสี่ยงคือ • ระบบสารสนเทศที่มีอาจส่ งผลให้ เกิด ความเสียหายด้ านความ ปลอดภยตอชวตและทรพยสนของผู ส่วนได้ เสีย อีกทังอาจเป็ น ปลอดภัยต่ อชีวตและทรั พย์ สินของผ้ มีสวนไดเสย อกทงอาจเปน ิ ้ สาเหตุท่ ทาให้ เกิด ภาวะเสี่ยงต่ อการฟองร้ องดําเนินคดีได้ . ื ํ ้
  35. 35. Q & A
  36. 36. Thank You…  Security Group

×