คู่มือ การจัดทาแผนบริหารความเสี่ยงของระบบฐานข้อมูลและสารสนเทศ
จัดทาโดย คณะทางานองค์ความรู้เรื่องแผนความเสี่ยงของระบบฐานข้อมูล และสารสนเทศ ปี 2556
สานักงานเศรษฐกิจอุตสาหกรรม
คำนำ ปัจจุบันการใช้งานระบบเครือข่ายคอมพิวเตอร์ (Computer Network) นับวันจะมีความเสี่ยง สูงขึ้น จากการเกิดอาชญากรรมทางคอมพิวเตอร์ในหลายรูปแบบ เช่น โปรแกรมประสงค์ร้าย หรือการโจมตีทาง ระบบเครือข่ายเพื่อก่อกวนให้ระบบใช้งานไม่ได้ รวมถึงการขโมยข้อมูลหรือความลับทางราชการ สิ่งเหล่านี้เป็นภัย อันตรายสร้างความเสียหายด้านระบบสารสนเทศเป็นอย่างมากและมีความรุนแรงเพิ่มขึ้นทุกขณะ ทั้งในประเทศ และต่างประเทศ อีกทั้งมีแนวโน้มที่จะส่งผลกระทบต่อภาครัฐและภาคธุรกิจมากขึ้น ทาให้ผู้ประกอบการ ตลอดจน องค์กรภาครัฐ และภาคเอกชนที่มีการดาเนิ นงานใด ๆ ในรูปของข้อมูลอิเล็กทรอนิกส์ผ่านระบบสารสนเทศของ องค์กร ขาดความเชื่อมั่นและความมั่นคงปลอดภัยในการใช้งานระบบเทคโนโลยีสารสนเทศและการสื่อสาร หรือ เครือข่ายคอมพิวเตอร์ขององค์กร สานักงานเศรษฐกิจอุตสาหกรรม ตระหนักและเห็นความสาคัญดังกล่าว จึงได้จัดทาคู่มือการจัดทา แผนบริหารความเสี่ยงของระบบฐานข้อมูลและสารสนเทศ เพื่อเป็นกรอบแนวทางการปฏิบัติงานในการดาเนินงาน การบริหารความเสี่ยงของ สศอ. ให้เป็นไปตามวัตถุประสงค์ที่กาหนดไว้อย่างมีประสิทธิภาพและมีประสิทธิผล ทั่ว ทั้งองค์กร รวมทั้งเพื่อให้ผู้บริหาร และบุคลากรของ สศอ. มีความรู้ ความเข้าใจในเรื่องการบริหารความเสี่ยง และ สามารถนาไปปฏิบัติได้อย่างมีประสิทธิผลและต่อเนื่อง
ก
สารบัญ คานา สารบัญ แผนบริหารความเสี่ยงของระบบฐานข้อมูลและสารสนเทศ (Risk Management) 1.1 วัตถุประสงค์ 1.2 นโยบายการบริหารความเสี่ยง 1.3 ความหมายและคาจากัดความของการบริหารความเสี่ยง 1.4 โครงสร้างการบริหารความเสี่ยงของระบบฐานข้อมูลและสารสนเทศ 1.5 กระบวนการบริหารความเสี่ยง 1.5.1 การกาหนดวัตถุประสงค์ 1.5.2 การวิเคราะห์ความเสี่ยง 1.5.3 การระบุความเสี่ยง 1.5.4 การประมาณค่าความเสี่ยง (Risk Estimation) 1.5.5 การประเมินค่าความเสี่ยง (Risk Evaluation) 1.5.6 การรายงานผลการวิเคราะห์ความเสี่ยง (Risk Reporting) 1.5.7 การจัดการความเสี่ยง 1.6 เจ้าหน้าที่ผู้รับผิดชอบดาเนินการตามแผนบริหารความเสี่ยง บรรณานุกรม
ข
หน้า ก ข 1 2 2 3 5 6 7 7 8 13 19 23 26 30 31
แผนบริหารความเสี่ ยงของระบบฐานข้ อมูลและสารสนเทศ (Risk Management)
หน้า ๑
แผนบริหารความเสี่ ยงของระบบฐานข้ อมูลและสารสนเทศ (Risk Management) สำนักงำนเศรษฐกิ จอุตสำหกรรมได้ตระหนักถึ งควำมสำคัญของกำรบริ หำรควำมเสี่ ยงของหน่วยงำน ซึ่ งอำจเกิดขึ้นในระบบบริ หำรงำนสั่งกำรและกำรปฏิบตั ิงำนเพื่อสนับสนุ นวิสัยทัศน์ในกำรเป็ นองค์กรชี้ นำ กำรพัฒนำอุตสำหกรรมของประเทศ กำรดำเนิ นงำนดังกล่ำวทำให้ขอ้ มูลและสำรสนเทศต่ำง ๆ ที่ใช้ในกำร บริ หำรงำนมีปริ มำณที่มำกมำย มีควำมเคลื่อนไหวตลอดเวลำ โดยเฉพำะอย่ำงยิ่งข้อมูลและสำรสนเทศที่ใช้ใน กำรให้บริ กำรประชำชนด้ำนเศรษฐกิจอุตสำหกรรม รวมทั้งข้อมูลและสำรสนเทศต่ำง ๆ ที่สำนักงำนเศรษฐกิ จ อุ ต สำหกรรมต้อ งรั บ ผิ ด ชอบกระบวนกำรประมวลผลข้อ มู ล ตำมนโยบำยส ำคัญ ต่ ำ ง ๆ ของกระทรวง อุตสำหกรรมและรัฐบำล สำนักงำนเศรษฐกิ จอุตสำหกรรมโดยศูนย์สำรสนเทศเศรษฐกิ จอุตสำหกรรมจึงได้จดั ทำแผนบริ หำร ควำมเสี่ ยงขึ้นเพื่อใช้เป็ นแนวทำงปฏิบตั ิประกอบกำรบริ หำรควำมเสี่ ยง เพื่อลดควำมเสี ยหำยต่ำง ๆ ที่อำจเกิดขึ้น และส่ งผลต่อกระบวนกำรบริ หำรงำนของสำนักงำนเศรษฐกิจอุตสำหกรรม ๑.๑ วัตถุประสงค์ ๑) เพื่อให้ฝ่ำยบริ หำร/ฝ่ ำยปฏิบตั ิกำร เข้ำใจหลักกำรและกระบวนกำรบริ หำรควำมเสี่ ยงของ องค์กร ๒) เพื่อให้ผปู ้ ฏิบตั ิได้รับทรำบและดำเนินกำรจัดกำรควำมเสี่ ยงที่เกี่ยวข้อง ๓) เพื่อให้มีกำรปฏิบตั ิตำมกระบวนกำรบริ หำรควำมเสี่ ยงอย่ำงเป็ นระบบและต่อเนื่อง ๔) เพื่อเป็ นเครื่ องมือในกำรสื่ อสำรและสร้ำงควำมเข้ำ ใจ ควำมสัมพันธ์ ตลอดจนเชื่ อมโยง ระหว่ำง กำรบริ หำรควำมเสี่ ยงกับกลยุทธ์ขององค์กร ๕) เพื่อใช้เป็ นเครื่ องมือในกำรสร้ำงวัฒนธรรมกำรบริ หำรควำมเสี่ ยงในทุก ๆ ระดับขององค์กร ๑.๒ นโยบายการบริหารความเสี่ ยง เพื่ อ สร้ ำ งควำมตระหนัก ถึ ง ควำมส ำคัญและกระตุ ้น ให้ข้ำ รำชกำรทุ ก คนของส ำนัก งำนเศรษฐกิ จ อุตสำหกรรมเห็นถึงควำมจำเป็ นในกำรระมัดระวังต่อสถำนกำรณ์ที่คุกคำมต่อประสิ ทธิ ภำพกำรปฏิบตั ิงำน กำร บริ หำรงำนและอำจทำให้เกิดควำมเสี ยหำยต่อระบบฐำนข้อมูลสำรสนเทศซึ่ งเป็ นเครื่ องมือที่สำคัญที่สุดในกำร ให้บริ กำรประชำชนและกำรตัดสิ นใจของผูบ้ ริ หำรสำนักงำนเศรษฐกิ จอุตสำหกรรม ตลอดจนคณะรัฐบำล ผูบ้ ริ หำรประเทศ แผนบริ หำรควำมเสี่ ย งระบบเทคโนโลยี ส ำรสนเทศและกำรสื่ อ สำรของส ำนั ก งำนเศรษฐกิ จ อุตสำหกรรม จะทำให้เจ้ำหน้ำที่ทุกคนที่เกี่ยวข้องทรำบถึงแนวทำงในกำรปฏิบตั ิ ซึ่ งจะถือเป็ นส่ วนหนึ่ งของกำร
หน้า ๒
ดำเนินงำน กำรปฏิบตั ิงำนเพื่อหลีกเลี่ยงควำมเสี่ ยงต่ำง ๆ หรื อลดควำมรุ นแรงของผลเสี ยหำยต่ำง ๆ ที่อำจ เกิดขึ้นต่อระบบปฏิบตั ิรำชกำรของสำนักงำนเศรษฐกิจอุตสำหกรรม ๑.๓ ความหมายและคาจากัดความของการบริหารความเสี่ ยง ๑.๓.๑ ควำมเสี่ ยง (Risk) หมำยถึง ภำวะคุกคำม ปั ญหำ อุปสรรค หรื อกำรสู ญเสี ยโอกำส ซึ่ งจะมีผลทำให้สำนักงำนเศรษฐกิจอุตสำหกรรมไม่สำมำรถบรรลุวตั ถุประสงค์ที่กำหนดไว้ หรื อก่อให้เกิดผล เสี ยหำยต่อหน่ วยงำน โดยเฉพำะอย่ำงยิง่ ผลเสี ยต่อข้อมูลสำรสนเทศที่สำนักงำนเศรษฐกิ จอุตสำหกรรมใช้ใน กำรบริ หำรงำนและปฏิบตั ิกำรโดยเฉพำะอย่ำงยิง่ กำรบริ กำรประชำชน ๑.๓.๒ กำรควบคุม (Control) หมำยถึง ขั้นตอนกำรปฏิบตั ิ กระบวนกำรดำเนินงำนหรื อกลไก กำรปฏิบตั ิงำน ซึ่ งสำนักงำนเศรษฐกิจอุตสำหกรรมกำหนดขึ้นเพื่อให้มนั่ ใจว่ำกำรบริ หำรงำนจะสำมำรถบรรลุ วัตถุประสงค์ที่ได้กำหนดไว้ ๑.๓.๓ กำรบริ หำรควำมเสี่ ยง (Risk Management) หมำยถึ ง กำรกำหนดแนวทำงและ กระบวนกำรในกำรบ่งชี้ วิเครำะห์ ประเมิน จัดกำรและติดตำมควำมเสี่ ยงที่เกี่ยวข้องกับกิจกรรม หน่วยงำน หรื อ กระบวนกำรดำเนิ นงำนขององค์กร รวมทั้งกำรกำหนดวิธีกำรในกำรบริ หำรและควบคุ มควำมเสี่ ยงให้อยู่ใน ระดับที่ผบู้ ริ หำรระดับสู งยอมรับได้ ๑.๓.๔ กำรบริ หำรควำมเสี่ ยงองค์กรโดยรวม (Organization Wide Risk Management) หมำยถึง กำรบริ หำรปั จจัยและควบคุมกิจกรรม รวมทั้งกระบวนกำรปฏิบตั ิงำนต่ำง ๆ โดยต้องลดมูลเหตุของแต่ ละโอกำสที่จะทำให้สำนักงำนเศรษฐกิจอุตสำหกรรมเสี ยหำย ๑.๓.๕ ระบบเทคโนโลยีส ำรสนเทศและกำรสื่ อสำร หมำยถึ ง ระบบเครื่ องคอมพิ ว เตอร์ (hardware) ระบบเครื อข่ำย (Networking) ระบบฐำนข้อมูล (Database) และอุปกรณ์ ประกอบระบบต่ำง ๆ รวมทั้งอำคำรสถำนที่ ที่ใช้ติดตั้งอุปกรณ์ระบบประมวลผลฐำนข้อมูลทั้งหมด ๑. ระบบเครื่ องคอมพิวเตอร์ (Hardware) สำนักงำนเศรษฐกิจอุตสำหกรรมใช้ในกำร ปฏิบตั ิหน้ำที่ ๒. ระบบเครื อข่ำย (Networking) ระบบเครื อข่ำยที่สำนักงำนเศรษฐกิจอุตสำหกรรม ใช้ในกำรปฏิบตั ิหน้ำที่ เช่น Core Switch , Access Switch เป็ นต้น ๓. ระบบฐำนข้อมูล (Database) ฐำนข้อมูลที่สำนักงำนเศรษฐกิจอุตสำหกรรมใช้ใน กำรปฏิบตั ิหน้ำที่ซ่ ึงประกอบด้วย ๑) ฐำนข้อมูลเพื่อกำรบริ กำรประชำชนด้ำนเศรษฐกิจอุตสำหกรรม -
ระบบเว็บไซต์อินเตอร์เน็ต - ระบบจัดเก็บข้อมูลสำหรับนักวิชำกำร (E-library) - ระบบรำยงำนดัชนีอุตสำหกรรมบนเว็บไซต์ สำนักงำนเศรษฐกิจ หน้า ๓
อุตสำหกรรม - ระบบรำยงำนสถิติอุตสำหกรรมบนเว็บไซต์ สำนักงำนเศรษฐกิจ อุตสำหกรรม - ระบบกำรกรอกแบบสอบถำม ร.ง. ๘ ทำงอินเตอร์เน็ต - ระบบ Intelligent Unit - ระบบบริ หำรแผนแม่บทกำรเพิ่มประสิ ทธิ ภำพและผลิตภำพของ ภำคอุตสำหกรรม ๒) ฐำนข้อมูลเพื่อกำรบริ หำรงำนภำยใน - ระบบเว็บไซต์อินทรำเน็ต - ระบบนัดหมำยผูบ้ ริ หำร ระบบจัดเก็บข้อมูลสำหรับนักวิชำกำร (E-library) - ระบบกำรสำรวจข้อมูลอุตสำหกรรมรำยเดือน ระบบกำรสำรวจข้อมูลอุตสำหกรรมรำยปี ระบบสำรบรรณอิเล็กทรอนิกส์ ระบบงำนตูเ้ อกสำรอิเล็กทรอนิกส์และหนังสื อเวียนอิเล็กทรอนิกส์ ระบบกำรมำปฏิบตั ิรำชกำร ระบบงำนทำเนียบโรงงำนอุตสำหกรรม ระบบสำรสนเทศสำหรับผูบ้ ริ หำร ๑.๓.๖ บุคลำกร (People) ได้แก่ บุคลำกรที่มีควำมรู ้ควำมชำนำญในกำรบริ หำรและปฏิบตั ิงำน สำหรับกำรดูแลและจัดทำระบบ
หน้า ๔
๑.๔ โครงสร้ างการบริหารความเสี่ ยงของระบบฐานข้ อมูลและสารสนเทศ
นายอนันต์ อัศวโสภณกุล ประธานคณะทางาน
นางปิยนุช สีรยาภรณ์ คณะทางงาน
นางสมพิศ นาคสุข คณะทางงาน
นางสาววิชช์สินี รอดอยู่ คณะทางงาน
นายศุภชัย วัฒนวิกย์กรรย์ คณะทางงาน
นายธิปไดย นาคหิรัญไพศาล คณะทางงาน
นางสาวสุสารี รัตนพันธุ์ คณะทางงาน
นายสมชาย จาปาทอง คณะทางงาน
นางสาวสุนันทา ยาคา คณะทางงาน
นายอุดร พันกระจัด คณะทางงานและเลขานุการ
หน้า ๕
๑.๕ กระบวนการบริหารความเสี่ ยง ๑. แต่ งตั้งคณะทางานและ จัดหาทีมงานบริหารความเสี่ ยง
- ผู้บริ หารมอบนโยบาย และให้ การสนับสนุน - ประชุมคณะทางาน สรุปงานทีอ่ ยูใ่ น ขอบเขตความรับผิดชอบ
๒. ระบุความเสี่ ยง
- วิเคราะห์ขนตอนของแผนงาน ั้ ระบุความ เสีย่ งและสาเหตุในแต่ละขันตอน ้ - ศึกษาเอกสาร ข้ อมูล, ระดมความคิด
๓. ประเมินความเสี่ ยง
- โอกาสที่จะเกิด, ความรุนแรงของผลกระทบ, ระดับความสาคัญของความเสีย่ ง และ จัดลาดับความเสีย่ ง - ถ่ายโอน, หลีกเลีย่ ง, ยอมรับ, และควบคุม ความเสีย่ ง - พิจารณาผลได้ ผลเสียแต่ละทางเลือก
๔. จัดการความเสี่ ยง
- ติดตามตรวจสอบว่ามีการดาเนินการตาม แผนบริ หารความเสีย่ ง - วิเคราะห์ความเสีย่ งที่เหลืออยู่
๕. ติดตามทบทวน
- สรุปและรายงานผลการดาเนินงาน
๖. สรุ ปและรายงาน
หน้า ๖
๑.๕.๑ การกาหนดวัตถุประสงค์ ๑) เพื่อกำหนดควำมเสี่ ยงที่มีโอกำสเกิดขึ้นต่อระบบเทคโนโลยีสำรสนเทศและกำรสื่ อสำรของ สำนักงำนเศรษฐกิจอุตสำหกรรม ๒) กำหนดกิจกรรมป้ องกันรองรับควำมเสี่ ยงที่มีโอกำสเกิดขึ้น เพื่อป้ องกันควำมเสี ยหำย และลด ควำมรุ นแรงของควำมเสี ยหำยที่เกิดขึ้นให้อยูใ่ นระดับที่นอ้ ยที่สุด ๑.๕.๒ การวิเคราะห์ ความเสี่ ยง จำกกำรวิเครำะห์ควำมเสี่ ยงด้ำนระบบเทคโนโลยีสำรสนเทศและกำรสื่ อสำรของสำนักงำน เศรษฐกิจอุตสำหกรรมสำมำรถแยกประเภทควำมเสี่ ยงออกเป็ น 5 ประเภท ดังนี้ ๑) ความเสี่ ยงด้ านการบริ หารจัดการ เป็ นควำมเสี่ ยงจำกแนวนโยบำยในกำรบริ หำรจัดกำรที่ อำจส่ งผลกระทบต่อกำรดำเนินกำรด้ำนสำรสนเทศ ๒) ความเสี่ ย งจากผู้ ป ฏิ บั ติ ง าน เป็ นควำมเสี่ ย งที่ อ ำจเกิ ด ขึ้ น จำกกำรด ำเนิ น กำร กำรจัด ควำมสำคัญในกำรเข้ำถึงข้อมูลไม่เหมำะสมกับกำรใช้งำนหรื อกำรให้บริ กำร โดยผูใ้ ช้อำจเข้ำสู่ ระบบสำรสนเทศ หรื อใช้ขอ้ มูลต่ำงๆ ของสำนักงำนเกิ นกว่ำอำนำจหน้ำที่ของตนเองที่มีอยู่ และอำจทำให้เกิ ดควำมเสี ยหำยต่อ ข้อมูลสำรสนเทศได้ ๓) ความเสี่ ยงด้ านเทคนิค เป็ นควำมเสี่ ยงที่อำจเกิดขึ้นจำกระบบคอมพิวเตอร์ ระบบเครื อข่ำย เครื่ องมือและอุปกรณ์ อำจเกิดถูกโจมตีจำกไวรัสหรื อโปแกรมไม่ประสงค์ดี ถูกก่อกวนจำก Hacker ถูกเจำะ ทำลำยระบบจำก Cracker เป็ นต้น ๔) ความเสี่ ยงจากภั ยหรื อ สถานการณ์ ฉุ ก เฉิ น เป็ นควำมเสี่ ย งที่ อำจเกิ ดจำกภัยพิ บ ตั ิ ตำม ธรรมชำติหรื อสถำนกำรณ์ร้ำยแรงที่ก่อให้เกิดควำมเสี ยหำยร้ำยแรงกับข้อมูลสำรสนเทศ เช่น ไฟฟ้ ำขัดข้อง น้ ำ ท่วม ไฟไหม้ อำคำรถล่ม กำรชุมนุมประท้วง หรื อควำมไม่สงบเรี ยบร้อยในบ้ำนเมือง เป็ นต้น ๕) ความเสี่ ยงจากความเสื่ อมสภาพของเครื่ องคอมพิวเตอร์ เป็ นควำมเสี่ ยงที่เกิ ดจำกเครื่ อง คอมพิวเตอร์ และอุปกรณ์ต่ำง ๆ ที่มีอำยุกำรใช้งำนมำนำน และยังไม่มีกำรจัดซื้ อเครื่ องใหม่มำทดแทน อำจทำให้ เกิดควำมเสี ยหำยต่อกำรทำงำนได้ เช่น Hard disk เสี ย จะทำให้ขอ้ มูลสู ญหำยได้ เป็ นต้น
หน้า ๗
๑.๕.๓ การระบุความเสี่ ยง จำกกำรวิเครำะห์ ประเภทควำมเสี่ ยงทั้ง 5 ด้ำน ซึ่ งประกอบด้วยควำมเสี่ ยงด้ำนกำรบริ หำรจัดกำร ควำมเสี่ ยงจำกผูป้ ฏิบตั ิงำน ควำมเสี่ ยงด้ำนเทคนิ ค ควำมเสี่ ยงจำกภัยหรื อสถำนกำรณ์ฉุกเฉิน และควำมเสี่ ยงจำกควำมเสื่ อมสภำพของเครื่ องคอมพิวเตอร์ และในกำรระบุควำมเสี่ ยงสำมำรถจำแนกข้อมูลเกี่ยวกับชื่ อควำม เสี่ ยง ประเภทควำมเสี่ ยง ลักษณะควำมเสี่ ยง ปัจจัย/สิ่ งคุกคำม และผลกระทบ/ผูไ้ ด้รับผลกระทบ โดยจะแสดงรำยละเอียดต่ำง ๆ ตำมตำรำงด้ำนล่ำงดังนี้ ตารางแสดงรายละเอียดความเสี่ ยง (Description of risk) แยกประเภทตามลักษณะของความเสี่ ยงแต่ ละด้ าน ชื่อควำมเสี่ ยง 1. ควำมเสี่ ยงด้ำนระบบ ฐำนข้อมูลต่ำง ๆ ของ สศอ. เช่น ฐำนข้อมูล ระบบสำรวจรำยเดือน/ รำยปี ระบบฐำนข้อมูล ระบบงำนสำรบรรณ เป็ นต้น 2. ควำมเสี่ ยงด้ำน โปรแกรมประยุกต์ เช่น ระบบงำนสำรวจ รำยเดือน/รำยปี ระบบงำนสำรบรรณ อิเล็กทรอนิกส์ ระบบ กรอกข้อมูล แบบสอบถำม รง.8
ประเภทควำมเสี่ ยง ควำมเสี่ ยงด้ำนเทคนิค/ ควำมเสี่ ยงจำก ผูป้ ฏิบตั ิงำน
ควำมเสี่ ยงด้ำนเทคนิค/ ควำมเสี่ ยงจำก ผูป้ ฏิบตั ิงำน
ลักษณะควำมเสี่ ยง ควำมเสี่ ยงที่เกิดกับฐำนข้อมูลต่ำง ๆ ในระบบ สำรสนเทศ ไม่วำ่ จะเป็ นฐำนข้อมูลหลักเสี ยหำย ข้อมูลถูกทำลำย กำรโจรกรรมข้อมูลที่สำคัญ กำร ลักลอบแก้ไขเปลี่ยนแปลงข้อมูล
-
ปั จจัยเสี่ ยง/สิ่ งคุกคำม ควำมเสี่ ยงจำกผูบ้ ุกรุ กข้อมูล ข้อมูลถูกทำลำย กำรโจรกรรมข้อมูลที่สำคัญ กำรลักลอบมำแก้ไขเปลี่ยนแปลง ข้อมูล
ควำมเสี่ ยงที่เกิดกับโปรแกรมประยุกต์ต่ำง ๆ ไม่วำ่ จะ - กำรทำงำนผิดพลำดของโปรแกรม เป็ นกำรทำงำนผิดพลำดของโปรแกรม ช่องโหว่ของ - ช่องโหว่ของโปรแกรม โปรแกรม - ไวรัสคอมพิวเตอร์ต่ำง ๆ - ควำมล้มเหลวทำงเทคนิค - ควำมผิดพลำดของซอฟต์แวร์หรื อ กำรเขียนโปรแกรม
หน้า 8
ผลกระทบ/ผูไ้ ด้รับผลกระทบ ผูใ้ ช้งำน ผูด้ ูแลระบบ ระบบสำรสนเทศ ระบบฐำนข้อมูล เครื่ องคอมพิวเตอร์แม่ข่ำย ผูใ้ ช้งำน ผูด้ ูแลระบบ ระบบสำรสนเทศ ระบบฐำนข้อมูล เครื่ องคอมพิวเตอร์แม่ข่ำย
ชื่อควำมเสี่ ยง 3. ควำมเสี่ ยงด้ำนเครื่ อง คอมพิวเตอร์แม่ข่ำย เช่น DNS Server ,Mail Server ,Domain Server ,Web Server
ประเภทควำมเสี่ ยง ควำมเสี่ ยงด้ำนเทคนิค
ลักษณะควำมเสี่ ยง ควำมเสี่ ยงหรื อภัยคุกคำมต่ำง ๆ ที่เกิดจำกกำรทำงำน ที่ผิดพลำดของเครื่ องคอมพิวเตอร์แม่ข่ำย ช่องโหว่ ของระบบคอมพิวเตอร์แม่ข่ำยต่ำง ๆ
4. ควำมเสี่ ยงด้ำนระบบ เครื อข่ำย Internet
ควำมเสี่ ยงด้ำนเทคนิค
ควำมเสี่ ยงด้ำนระบบเครื อข่ำยคอมพิวเตอร์ ไม่วำ่ จะ เป็ นควำมเสี่ ยงที่เกิดจำกกำรทำงำนที่ผดิ พลำดของ อุปกรณ์เครื อข่ำยหลักของเครื อข่ำย ช่องโหว่ของ อุปกรณ์ ตัวเครื่ องคอมพิวเตอร์แม่ข่ำย รวมทั้งที่เกิด จำกภัยคุกคำมต่ำง ๆ
5. ควำมเสี่ ยงจำกเครื่ อง คอมพิวเตอร์ (PC) หรื ออุปกรณ์ขดั ข้อง ไม่สำมำรถทำงำนได้ ตำมปกติ 6. ควำมเสี่ ยงจำกกำร นำเอำอุปกรณ์อื่นที่ ไม่ได้รับอนุญำตมำ
ควำมเสี่ ยงด้ำนเทคนิค/ ควำมเสี่ ยงจำกควำม เสื่ อมสภำพของเครื่ อง คอมพิวเตอร์
เครื่ องคอมพิวเตอร์ส่วนบุคคล (PC) หรื ออุปกรณ์ ชำรุ ดหรื อขัดข้องด้วยสำเหตุทำงเทคนิค
ควำมเสี่ ยงจำก ผูป้ ฏิบตั ิงำน
ผูใ้ ช้ขำดควำมระมัดระวังในกำรนำอุปกรณ์ต่ำง ๆ มำ เชื่อมต่อเข้ำกับระบบคอมพิวเตอร์ หรื อระบบ เครื อข่ำย
-
หน้า 9
ปั จจัยเสี่ ยง/สิ่ งคุกคำม กำรทำงำนผิดพลำดของอุปกรณ์ ควำมเสี ยหำยที่เกิดกับตัวเครื่ อง คอมพิวเตอร์แม่ข่ำย ไวรัสคอมพิวเตอร์ ควำมเสี่ ยงด้ำนระบบปฏิบตั ิกำร ควำมเสี่ ยงจำกภัยคุกคำมต่ำง ๆ
ผลกระทบ/ผูไ้ ด้รับผลกระทบ ผูใ้ ช้งำน ผูด้ ูแลระบบ เครื่ องคอมพิวเตอร์แม่ข่ำย อุปกรณ์เครื อข่ำย ระบบฐำนข้อมูล ระบบสำรสนเทศ ผูใ้ ช้งำน ผูด้ ูแลระบบ
- ควำมเสี่ ยงที่เกิดจำกกำรทำงำนที่ ผิดพลำดของอุปกรณ์ - ช่องโหว่ของอุปกรณ์ - ควำมเสี่ ยงจำกภัยคุกคำมด้ำนต่ำง ๆ เครื่ องคอมพิวเตอร์แม่ข่ำย - ควำมเสี่ ยงจำกกำรบุกรุ กเครื อข่ำย อุปกรณ์เครื อข่ำย ระบบฐำนข้อมูล ระบบสำรสนเทศ - ควำมล้มเหลวทำงเทคนิค ผูใ้ ช้งำน - คอมพิวเตอร์ชำรุ ดเสี ยหำย ผูด้ ูแลระบบ - ไวรัสคอมพิวเตอร์ - ช่องโหว่คอมพิวเตอร์ เครื่ องคอมพิวเตอร์แม่ข่ำย - ควำมเสี่ ยงจำกภัยคุกคำมต่ำง ๆ อุปกรณ์เครื อข่ำย - กำรนำอุปกรณ์อื่นมำเชื่อมต่อเข้ำ ผูใ้ ช้งำน ระบบ ผูด้ ูแลระบบ - ควำมล้มเหลวทำงเทคนิค
ชื่อควำมเสี่ ยง เชื่อมต่อ
ประเภทควำมเสี่ ยง
7. ควำมเสี่ ยงในกำร ควำมเสี่ ยงจำก เข้ำถึงข้อมูลของบุคคล ผูป้ ฏิบตั ิงำน อื่น 8. ควำมเสี่ ยงจำกกำรถูก บุกรุ ก โดยผูไ้ ม่ ประสงค์ดี
9. ควำมเสี่ ยงจำกกำร โจรกรรมเครื่ อง คอมพิวเตอร์และ อุปกรณ์
ลักษณะควำมเสี่ ยง
ปั จจัยเสี่ ยง/สิ่ งคุกคำม
ผูใ้ ช้ขำดควำมระมัดระวังในกำรเข้ำใช้ระบบ สำรสนเทศ เช่น กำรมอบหมำยให้ผอู ้ ื่นใช้รหัสผ่ำน ของตนเองเข้ำใช้ระบบหรื อใช้งำนแทน
ควำมเสี่ ยงด้ำนเทคนิค / กำรบุกรุ กโจมตีโดยผูไ้ ม่ประสงค์ดี เช่น hacker เป็ น ควำมเสี่ ยงจำก ต้น กำรดักจับข้อมูล กำรส่งข้อมูลคำสัง่ เจตนำร้ำย ผูป้ ฏิบตั ิงำน กำรติดไวรัสหรื อเวิร์ม
ควำมเสี่ ยงด้ำนกำร บริ หำรจัดกำร/ ควำม เสี่ ยงจำกผูป้ ฏิบตั ิงำน
กำรโจรกรรมเครื่ องคอมพิวเตอร์ อุปกรณ์ คอมพิวเตอร์ หรื อชิ้นส่วนภำยในเครื่ อง เช่น CPU และ Ram ทำให้ไม่สำมำรถปฏิบตั ิงำน หรื อเกิดกำร สูญหำยของข้อมูลบนเครื่ องคอมพิวเตอร์น้ นั ได้
หน้า 10
- กำรอำพรำงหรื อสวมรอยผูใ้ ช้ - กำรเข้ำถึงข้อมูล / เปลี่ยนแปลง ข้อมูล โดยไม่ได้รับอนุญำต - แฮ็คเกอร์ - แคร็ กเกอร์ - กำรโจมตีกำรให้บริ กำร (denial of services/ DOS) - กำรดักจับข้อมูล - คำสัง่ เจตนำร้ำย - ควำมผิดพลำดของซอฟต์แวร์หรื อ กำรเขียนโปรแกรม - ไวรัส/เวิร์ม - กำรลักทรัพย์
ผลกระทบ/ผูไ้ ด้รับผลกระทบ ระบบสำรสนเทศ ระบบฐำนข้อมูล เครื่ องคอมพิวเตอร์แม่ข่ำย ผูใ้ ช้งำน ระบบสำรสนเทศ ระบบฐำนข้อมูล ผูใ้ ช้งำน ผูด้ ูแลระบบ เครื่ องคอมพิวเตอร์แม่แม่ข่ำย ระบบฐำนข้อมูล ระบบสำรสนเทศ
ผูใ้ ช้งำน ผูด้ ูแลระบบ เครื่ องคอมพิวเตอร์แม่ข่ำย อุปกรณ์เครื อข่ำย
ชื่อควำมเสี่ ยง 10. ควำมเสี่ ยงจำกกำร ขำดแคลนบุคลำกร ผูป้ ฏิบตั ิงำน
ประเภทควำมเสี่ ยง ควำมเสี่ ยงด้ำนกำร บริ หำรจัดกำร
11. ควำมเสี่ ยงต่อกำร ได้รับกำรสนับสนุน งบประมำณไม่ เพียงพอ
ควำมเสี่ ยงด้ำนกำร บริ หำรจัดกำร
12. ควำมเสี่ ยงจำก กระแสไฟฟ้ ำขัดข้อง ไฟฟ้ ำดับ แรงดันไฟฟ้ ำไม่คงที่
ควำมเสี่ ยงจำกภัยหรื อ สถำนกำรณ์ฉุกเฉิ น
ลักษณะควำมเสี่ ยง ปั จจัยเสี่ ยง/สิ่ งคุกคำม กำรขำดแคลนบุคลำกรด้ำนสำรสนเทศ ทำให้กำร - นโยบำยจำกผูบ้ ริ หำร ทำงำนอำจหยุดชะงัก หำกบุคลำกรผูร้ ับผิดชอบไม่ สำมำรถมำปฏิบตั ิงำนได้ และจำนวนบุคลำกรที่มีไม่ เพียงพอต่อระบบเทคโนโลยีสำรสนเทศที่เพิ่มขึ้นตำม ควำมต้องกำรของผูใ้ ช้งำน ส่งผลกระทบต่อกำร พัฒนำและควบคุมดูแลระบบ กำรขำดแคลนงบประมำณในกำรดำเนินกำรให้ระบบ - นโยบำยจำกผูบ้ ริ หำร สำรสนเทศสำมำรถดำเนินกำรได้ต่อเนื่องอย่ำงมี ประสิ ทธิภำพ
ผลกระทบ/ผูไ้ ด้รับผลกระทบ ผูใ้ ช้งำน ผูด้ ูแลระบบ เครื่ องคอมพิวเตอร์แม่ข่ำย อุปกรณ์เครื อข่ำย ระบบฐำนข้อมูล ระบบสำรสนเทศ ผูใ้ ช้งำน ผูด้ ูแลระบบ ระบบฐำนข้อมูล ระบบสำรสนเทศ
กำรเกิดกระแสไฟฟ้ ำขัดข้อง หรื อเกิดแรงดันไฟฟ้ ำ ไม่คงที่ ทำให้เครื่ องคอมพิวเตอร์และอุปกรณ์อำจ ได้รับควำมเสี ยหำยจำกแรงดันไฟฟ้ ำที่ไม่คงที่
- แหล่งกำเนิดไฟฟ้ ำขัดข้องหรื อ แรงดันไฟฟ้ ำไม่คงที่
ผูใ้ ช้งำน ผูด้ ูแลระบบ เครื่ องคอมพิวเตอร์แม่ข่ำย อุปกรณ์เครื อข่ำย เครื่ องคอมพิวเตอร์ ระบบฐำนข้อมูล ระบบสำรสนเทศ
หน้า 11
ชื่อควำมเสี่ ยง 13. ควำมเสี่ ยงจำกกำร เกิดไฟไหม้ น้ ำท่วม แผ่นดินไหว อำคำร ถล่ม
ประเภทควำมเสี่ ยง ควำมเสี่ ยงจำกภัยหรื อ สถำนกำรณ์ฉุกเฉิ น
14. ควำมเสี่ ยงจำก สถำนกำรณ์ควำมไม่ สงบเรี ยบร้อยใน บ้ำนเมือง
ควำมเสี่ ยงจำกภัยหรื อ สถำนกำรณ์ฉุกเฉิ น
ลักษณะควำมเสี่ ยง ปั จจัยเสี่ ยง/สิ่ งคุกคำม กำรเกิดไฟไหม้อำคำร แผ่นดินไหวจนอำคำรถล่ม ไม่ - ไฟไหม้ จำกอุบตั ิเหตุไฟฟ้ ำลัดวงจร สำมำรถเคลื่อนย้ำยเครื่ องคอมพิวเตอร์และอุปกรณ์ กำรวำงเพลิง ต่ำงๆได้ ทำให้ได้รับควำมเสี ยหำยทั้งหมด - ภัยธรรมชำติ
กำรเกิดสถำนกำรณ์ควำมรุ นแรง หรื อควำมไม่สงบ เรี ยบร้อย จนทำให้บุคลำกรสำมำรถปฏิบตั ิงำนได้ ตำมปกติ
หน้า 12
- กำรชุมนุมประท้วง - กำรจลำจล - กำรก่อกำรร้ำย
ผลกระทบ/ผูไ้ ด้รับผลกระทบ ผูใ้ ช้งำน ผูด้ ูแลระบบ เครื่ องคอมพิวเตอร์แม่ข่ำย อุปกรณ์เครื อข่ำย ระบบฐำนข้อมูล ระบบสำรสนเทศ ผูใ้ ช้งำน ผูด้ ูแลระบบ
๑.๕.๔ การประมาณค่ าความเสี่ ยง (Risk Estimation) กำรประมำณค่ำควำมเสี่ ยงเป็ นกำรพิจำรณำปั ญหำควำมเสี่ ยงในแง่ของโอกำสกำรเกิด เหตุ (incident) หรื อเหตุกำรณ์ (event) ว่ำมีมำกน้อยเพียงไรและผลที่ติดตำมมำว่ำมีควำมรุ นแรงหรื อเสี ยหำย มำกน้อยเพียงใด เกณฑ์กำรประมำณ เป็ นกำรกำหนดเกณฑ์ที่จะใช้ในกำรประมำณควำมเสี่ ยง ได้แก่ ระดับโอกำสที่จะเกิดควำมเสี่ ยง ระดับควำมรุ นแรงของผลกระทบ และระดับควำมเสี่ ยง ซึ่งสำนักงำน เศรษฐกิจอุตสำหกรรมใช้เกณฑ์ดงั นี้ ระดับโอกาสในการเกิดเหตุการณ์ ต่าง ๆ ระดับ โอกำสที่จะเกิด 5 สู งมำก 4 สู ง 3 ปำนกลำง 2 น้อย 1 น้อยมำก
คำอธิบำย 5 ครั้งขึ้นไป/ปี 4 ครั้ง/ปี 3 ครั้ง/ ปี 2 ครั้ง/ปี ไม่เกิน 1 ครั้ง/ปี
ระดับความรุ นแรงของผลกระทบของความเสี่ ยง ระดับ ผลกระทบ คำอธิบำย 5 สู งมำก เกิดควำมสู ญเสี ยต่อระบบ IT ที่สำคัญทั้งหมด และเกิดควำมเสี ยหำยอย่ำงมำกต่อควำม ปลอดภัยของข้อมูลต่ำงๆ 4 สู ง เกิดปั ญหำกับระบบ IT ที่สำคัญ และระบบ ควำมปลอดภัยซึ่ งส่ งผลต่อควำมถูกต้องของ ข้อมูลบำงส่ วน 3 ปำนกลำง ระบบมีปัญหำและมีควำมสู ญเสี ยไม่มำก 2 น้อย เกิดเหตุร้ำยเล็กน้อยที่แก้ไขได้ 1 น้อยมำก เกิดเหตุร้ำยที่ไม่มีควำมสำคัญ
หน้า 13
กำรประมำณค่ำควำมเสี่ ยงแสดงดังตำรำงต่อไปนี้ ประเภทความเสี่ยง
ลักษณะความเสี่ยง
1. ควำมเสี่ ยงด้ำนระบบ ฐำนข้อมูลต่ำง ๆ ของ สศอ. เช่น ฐำนข้อมูล ระบบสำรวจรำยเดือน/ รำยปี ระบบฐำนข้อมูล ระบบงำนสำรบรรณ เป็ นต้น
ควำมเสี่ ยงด้ำนเทคนิค/ ควำมเสี่ ยงจำก ผูป้ ฏิบตั ิงำน
ควำมเสี่ ยงที่เกิดกับฐำนข้อมูลต่ำง ๆ ในระบบ สำรสนเทศ ไม่วำ่ จะเป็ นฐำนข้อมูลหลักเสี ยหำย ข้อมูลถูกทำลำย กำรโจรกรรมข้อมูลที่สำคัญ กำร ลักลอบแก้ไขเปลี่ยนแปลงข้อมูล
-
2. ควำมเสี่ ยงด้ำน โปรแกรมประยุกต์ เช่น ระบบงำนสำรวจ รำยเดือน/รำยปี ระบบงำนสำรบรรณ อิเล็กทรอนิกส์ ระบบ กรอกข้อมูล แบบสอบถำม รง.8 3. ควำมเสี่ ยงด้ำนเครื่ อง คอมพิวเตอร์แม่ข่ำย เช่น DNS Server ,Mail Server ,Domain
ควำมเสี่ ยงด้ำนเทคนิค/ ควำมเสี่ ยงจำก ผูป้ ฏิบตั ิงำน
ควำมเสี่ ยงที่เกิดกับโปรแกรมประยุกต์ต่ำง ๆ ไม่ ว่ำจะเป็ นกำรทำงำนผิดพลำดของโปรแกรม ช่อง โหว่ของโปรแกรม
- กำรทำงำนผิดพลำดของ โปรแกรม - ช่องโหว่ของโปรแกรม - ไวรัสคอมพิวเตอร์ต่ำง ๆ - ควำมล้มเหลวทำงเทคนิค - ควำมผิดพลำดของซอฟต์แวร์ หรื อกำรเขียนโปรแกรม
ผูใ้ ช้งำน ผูด้ ูแลระบบ
- กำรทำงำนผิดพลำดของอุปกรณ์ - ควำมเสี ยหำยที่เกิดกับตัวเครื่ อง คอมพิวเตอร์แม่ข่ำย - ไวรัสคอมพิวเตอร์
ผูใ้ ช้งำน ผูด้ ูแลระบบ
ควำมเสี่ ยงด้ำนเทคนิค
ปัจจัยเสี่ยง/สิ่งคุกคาม
ผลกระทบ/ผู้ได้ รับ ผลกระทบ ผูใ้ ช้งำน ผูด้ ูแลระบบ
ชื่อความเสี่ยง
ควำมเสี่ ยงหรื อภัยคุกคำมต่ำง ๆ ที่เกิดจำกกำร ทำงำนที่ผดิ พลำดของเครื่ องคอมพิวเตอร์แม่ข่ำย ช่องโหว่ของระบบคอมพิวเตอร์แม่ข่ำยต่ำง ๆ
หน้า 14
ควำมเสี่ ยงจำกผูบ้ ุกรุ กข้อมูล ข้อมูลถูกทำลำย กำรโจรกรรมข้อมูลที่สำคัญ กำรลักลอบมำแก้ไข เปลี่ยนแปลงข้อมูล
1
ความ รุนแรง 4
1
4
5
4
ความถี่
ระบบสำรสนเทศ ระบบฐำนข้อมูล เครื่ องคอมพิวเตอร์แม่ ข่ำย
ระบบสำรสนเทศ ระบบฐำนข้อมูล เครื่ องคอมพิวเตอร์แม่ ข่ำย
เครื่ องคอมพิวเตอร์แม่
ชื่อความเสี่ยง
ประเภทความเสี่ยง
ลักษณะความเสี่ยง
4. ควำมเสี่ ยงด้ำนระบบ เครื อข่ำย
ควำมเสี่ ยงด้ำนเทคนิค
ควำมเสี่ ยงด้ำนระบบเครื อข่ำยคอมพิวเตอร์ ไม่วำ่ จะเป็ นควำมเสี่ ยงที่เกิดจำกกำรทำงำนที่ผดิ พลำด ของอุปกรณ์เครื อข่ำยหลักของเครื อข่ำย ช่องโหว่ ของอุปกรณ์ ตัวเครื่ องคอมพิวเตอร์แม่ข่ำย รวมทั้งที่เกิดจำกภัยคุกคำมต่ำง ๆ
5. ควำมเสี่ ยงจำกเครื่ อง คอมพิวเตอร์ (PC) หรื อ อุปกรณ์ขดั ข้อง ไม่ สำมำรถทำงำนได้ ตำมปกติ
ควำมเสี่ ยงด้ำนเทคนิค/ ควำมเสี่ ยงจำกควำม เสื่ อมสภำพของเครื่ อง คอมพิวเตอร์
เครื่ องคอมพิวเตอร์ส่วนบุคคล (PC) หรื ออุปกรณ์ ชำรุ ดหรื อขัดข้องด้วยสำเหตุทำงเทคนิค
6. ควำมเสี่ ยงจำกกำร นำเอำอุปกรณ์อื่นที่ ไม่ได้รับอนุญำตมำ
ควำมเสี่ ยงจำก ผูป้ ฏิบตั ิงำน
ผูใ้ ช้ขำดควำมระมัดระวังในกำรนำอุปกรณ์ต่ำง ๆ มำเชื่อมต่อเข้ำกับระบบคอมพิวเตอร์ หรื อระบบ เครื อข่ำย
ผลกระทบ/ผู้ได้ รับ ผลกระทบ - ควำมเสี่ ยงด้ำนระบบปฏิบตั ิกำร ข่ำย - ควำมเสี่ ยงจำกภัยคุกคำมต่ำง ๆ อุปกรณ์เครื อข่ำย ระบบฐำนข้อมูล ระบบสำรสนเทศ - ควำมเสี่ ยงที่เกิดจำกกำรทำงำนที่ ผูใ้ ช้งำน ผิดพลำดของอุปกรณ์ ผูด้ ูแลระบบ - ช่องโหว่ของอุปกรณ์ - ควำมเสี่ ยงจำกภัยคุกคำมต่ำง ๆ เครื่ องคอมพิวเตอร์แม่ - ควำมเสี่ ยงจำกกำรบุกรุ ก ข่ำย เครื อข่ำย อุปกรณ์เครื อข่ำย ระบบฐำนข้อมูล ระบบสำรสนเทศ - ควำมล้มเหลวทำงเทคนิค ผูใ้ ช้งำน - คอมพิวเตอร์ชำรุ ดเสี ยหำย ผูด้ ูแลระบบ - ไวรัสคอมพิวเตอร์ - ช่องโหว่คอมพิวเตอร์ เครื่ องคอมพิวเตอร์แม่ - ควำมเสี่ ยงจำกภัยคุกคำมต่ำง ๆ ข่ำย อุปกรณ์เครื อข่ำย - กำรนำอุปกรณ์อื่นมำเชื่อมต่อเข้ำ ผูใ้ ช้งำน ระบบ ผูด้ ูแลระบบ - ควำมล้มเหลวทำงเทคนิค ปัจจัยเสี่ยง/สิ่งคุกคาม
Server ,Web Server
หน้า 15
ความถี่
ความ รุนแรง
5
4
5
2
1
2
ชื่อความเสี่ยง
ประเภทความเสี่ยง
ลักษณะความเสี่ยง
ปัจจัยเสี่ยง/สิ่งคุกคาม
เชื่อมต่อ
7. ควำมเสี่ ยงในกำรเข้ำถึง ควำมเสี่ ยงจำก ข้อมูลของบุคคลอื่น ผูป้ ฏิบตั ิงำน
8. ควำมเสี่ ยงจำกกำรถูก บุกรุ ก โดยผูไ้ ม่ ประสงค์ดี
9. ควำมเสี่ ยงจำกกำร โจรกรรมเครื่ อง คอมพิวเตอร์และ อุปกรณ์
ผูใ้ ช้ขำดควำมระมัดระวังในกำรเข้ำใช้ระบบ สำรสนเทศ เช่น กำรมอบหมำยให้ผอู ้ ื่นใช้ รหัสผ่ำนของตนเองเข้ำใช้ระบบหรื อใช้งำนแทน
ควำมเสี่ ยงด้ำนเทคนิค / กำรบุกรุ กโจมตีโดยผูไ้ ม่ประสงค์ดี เช่น hacker ควำมเสี่ ยงจำก เป็ นต้น กำรดักจับข้อมูล กำรส่งข้อมูลคำสัง่ ผูป้ ฏิบตั ิงำน เจตนำร้ำย กำรติดไวรัสหรื อเวิร์ม
ควำมเสี่ ยงด้ำนกำร บริ หำรจัดกำร/ ควำม เสี่ ยงจำกผูป้ ฏิบตั ิงำน
กำรโจรกรรมเครื่ องคอมพิวเตอร์ อุปกรณ์ คอมพิวเตอร์ หรื อชิ้นส่วนภำยในเครื่ อง เช่น CPU และ Ram ทำให้ไม่สำมำรถปฏิบตั ิงำน หรื อเกิด กำรสูญหำยของข้อมูลบนเครื่ องคอมพิวเตอร์น้ นั
หน้า 16
- กำรอำพรำงหรื อสวมรอยผูใ้ ช้ - กำรเข้ำถึงข้อมูล / เปลี่ยนแปลง ข้อมูล โดยไม่ได้รับอนุญำต - แฮ็คเกอร์ - แคร็ กเกอร์ - กำรโจมตีกำรให้บริ กำร (denial of services/ DOS) - กำรดักจับข้อมูล - คำสัง่ เจตนำร้ำย - ควำมผิดพลำดของซอฟต์แวร์ หรื อกำรเขียนโปรแกรม - ไวรัส/เวิร์ม - กำรลักทรัพย์
ผลกระทบ/ผู้ได้ รับ ผลกระทบ ระบบสำรสนเทศ ระบบฐำนข้อมูล เครื่ องคอมพิวเตอร์แม่ ข่ำย ผูใ้ ช้งำน ระบบสำรสนเทศ ระบบฐำนข้อมูล ผูใ้ ช้งำน ผูด้ ูแลระบบ
ความถี่
ความ รุนแรง
1
2
1
4
1
2
เครื่ องคอมพิวเตอร์แม่ แม่ข่ำย ระบบฐำนข้อมูล ระบบสำรสนเทศ
ผูใ้ ช้งำน ผูด้ ูแลระบบ เครื่ องคอมพิวเตอร์แม่
ชื่อความเสี่ยง
ประเภทความเสี่ยง
ลักษณะความเสี่ยง
ปัจจัยเสี่ยง/สิ่งคุกคาม
ได้
10. ควำมเสี่ ยงจำกกำรขำด ควำมเสี่ ยงด้ำนกำร แคลนบุคลำกร บริ หำรจัดกำร ผูป้ ฏิบตั ิงำน
11. ควำมเสี่ ยงต่อกำร ได้รับกำรสนับสนุน งบประมำณไม่ เพียงพอ 12. ควำมเสี่ ยงจำก กระแสไฟฟ้ ำขัดข้อง ไฟฟ้ ำดับ แรงดันไฟฟ้ ำไม่คงที่
ผลกระทบ/ผู้ได้ รับ ผลกระทบ ข่ำย อุปกรณ์เครื อข่ำย
กำรขำดแคลนบุคลำกรด้ำนสำรสนเทศ ทำให้กำร - นโยบำยจำกผูบ้ ริ หำร ทำงำนอำจหยุดชะงัก หำกบุคลำกรผูร้ ับผิดชอบ ไม่สำมำรถมำปฏิบตั ิงำนได้ และจำนวนบุคลำกร ที่มีไม่เพียงพอต่อระบบเทคโนโลยีสำรสนเทศที่ เพิ่มขึ้นตำมควำมต้องกำรของผูใ้ ช้งำน ส่งผล กระทบต่อกำรพัฒนำและควบคุมดูแลระบบ
ผูใ้ ช้งำน ผูด้ ูแลระบบ
ควำมเสี่ ยงด้ำนกำร บริ หำรจัดกำร
กำรขำดแคลนงบประมำณในกำรดำเนินกำรให้ ระบบสำรสนเทศสำมำรถดำเนินกำรได้ต่อเนื่อง อย่ำงมีประสิ ทธิภำพ
- นโยบำยจำกผูบ้ ริ หำร
ควำมเสี่ ยงจำกภัยหรื อ สถำนกำรณ์ฉุกเฉิ น
กำรเกิดกระแสไฟฟ้ ำขัดข้อง หรื อเกิด แรงดันไฟฟ้ ำไม่คงที่ ทำให้เครื่ องคอมพิวเตอร์ และอุปกรณ์อำจได้รับควำมเสี ยหำยจำก แรงดันไฟฟ้ ำที่ไม่คงที่
- แหล่งกำเนิดไฟฟ้ ำขัดข้องหรื อ แรงดันไฟฟ้ ำไม่คงที่
ผูใ้ ช้งำน ผูด้ ูแลระบบ ระบบฐำนข้อมูล ระบบสำรสนเทศ ผูใ้ ช้งำน ผูด้ ูแลระบบ
หน้า 17
ความถี่
ความ รุนแรง
1
2
1
2
1
5
เครื่ องคอมพิวเตอร์แม่ ข่ำย อุปกรณ์เครื อข่ำย ระบบฐำนข้อมูล ระบบสำรสนเทศ
เครื่ องคอมพิวเตอร์แม่ แม่ข่ำย
ชื่อความเสี่ยง
ประเภทความเสี่ยง
ลักษณะความเสี่ยง
ปัจจัยเสี่ยง/สิ่งคุกคาม
13. ควำมเสี่ ยงจำกกำรเกิด ควำมเสี่ ยงจำกภัยหรื อ ไฟไหม้ น้ ำท่วม สถำนกำรณ์ฉุกเฉิ น แผ่นดินไหว อำคำร ถล่ม
กำรเกิดไฟไหม้อำคำร แผ่นดินไหวจนอำคำรถล่ม - ไฟไหม้ จำกอุบตั ิเหตุไฟฟ้ ำ ไม่สำมำรถเคลื่อนย้ำยเครื่ องคอมพิวเตอร์และ ลัดวงจร กำรวำงเพลิง อุปกรณ์ต่ำงๆได้ ทำให้ได้รับควำมเสี ยหำย - ภัยธรรมชำติ ทั้งหมด
14. ควำมเสี่ ยงจำก สถำนกำรณ์ควำมไม่ สงบเรี ยบร้อยใน บ้ำนเมือง
กำรเกิดสถำนกำรณ์ควำมรุ นแรง หรื อควำมไม่ สงบเรี ยบร้อย จนทำให้บุคลำกรสำมำรถ ปฏิบตั ิงำนได้ตำมปกติ
ควำมเสี่ ยงจำกภัยหรื อ สถำนกำรณ์ฉุกเฉิ น
หน้า 18
- กำรชุมนุมประท้วง - กำรจลำจล - กำรก่อกำรร้ำย
ผลกระทบ/ผู้ได้ รับ ผลกระทบ อุปกรณ์เครื อข่ำย เครื่ องคอมพิวเตอร์ ระบบฐำนข้อมูล ระบบสำรสนเทศ ผูใ้ ช้งำน ผูด้ ูแลระบบ เครื่ องคอมพิวเตอร์แม่ ข่ำย อุปกรณ์เครื อข่ำย ระบบฐำนข้อมูล ระบบสำรสนเทศ ผูใ้ ช้งำน ผูด้ ูแลระบบ
ความถี่
ความ รุนแรง
1
5
1
5
๑.๕.๕ การประเมินค่ าความเสี่ ยง (Risk Evaluation) กำรประเมินค่ำควำมเสี่ ยง จะพิจำรณำจำกปั จจัยจำกขั้นตอนที่ผำ่ นมำได้แก่ โอกำสที่ภยั คุกคำม ที่เกิดขึ้นทำให้ระบบขำดควำมมัน่ คง, ระดับผลกระทบหรื อควำมรุ นแรงของภัยคุกคำมที่มีต่อระบบ และ ประสิ ทธิภำพของแผนกำรควบคุมควำมปลอดภัยของระบบ กำรวัดระดับควำมเสี่ ยงมีกำรกำหนดแผนภูมิควำม เสี่ ยง ที่ได้จำกกำรพิจำรณำจัดระดับควำมสำคัญของควำมเสี่ ยงจำกโอกำสที่จะเกิดควำมเสี่ ยง และผลกระทบที่ เกิดขึ้น และขอบเขตของระดับควำมเสี่ ยงที่สำมำรถยอมรับได้ ระดับความเสี่ ยง = โอกาสในการเกิดเหตุการณ์ ต่าง ๆ x ความรุ นแรงของเหตุการณ์ ต่าง ๆ ซึ่ งใช้เกณฑ์ในกำรจัดแบ่งดังนี้ ระดับคะแนนควำมเสี่ ยง 1–8 9 – 16 17 – 24 25
จัดระดับควำมเสี่ ยง ต่ำ ปำนกลำง สู ง สู งมำก
กลยุทธ์ในกำรจัดกำรควำมเสี่ ยง ยอมรับควำมเสี่ ยง ยอมรับควำมเสี่ ยง (มีมำตรกำรติดตำม) ควบคุมควำมเสี่ ยง (มีแผนควบคุมควำมเสี่ ยง) ถ่ำยโอนควำมเสี่ ยง
พื้นที่สี ขำว เหลือง ฟ้ ำ แดง
แผนภูมิควำมเสี่ ยง (Risk Map) การวัดระดับความเสี่ ยง มาก
ผลกระทบ
น้ อย
ความเสี่ ยงปานกลาง ความเสี่ ยงสู ง - ผลกระทบรุ นแรงมำก - ผลกระทบรุ นแรงมำก - โอกำสเกิดน้อย - โอกำสเกิดมำก ความเสี่ ยงต่า ความเสี่ ยงปานกลาง - ผลกระทบน้อย - ผลกระทบน้อย - โอกำสเกิดน้อย - โอกำสเกิดมำก โอกาสที่จะเกิด
หน้า ๑๙
มาก
ผลกระทบ
การประเมินความเสี่ ยง
5
5
10
15
20
25
4
4
8
12
16
20
3
3
6
9
12
15
2
2
4
6
8
10
1
1
2
3
4
5
3 4 โอกาสทีจ่ ะเกิด
5
1
2
ความเสีย่ งสูงมาก
สี แ ด สีง
ความเสีย่ งสูง
ฟ้ า สี สีเ เห ลืแ อด งง
ความเสีย่ งปานกลาง ความเสี่ยงต่่า (สามารถยอมรับได้)
กำรประเมินค่ำควำมเสี่ ยงแสดงดังตำรำงต่อไปนี้ ชื่อความเสี่ยง 1. ควำมเสี่ ยงด้ำนระบบ ฐำนข้อมูลต่ำง ๆ ของ สำนักงำนเศรษฐกิจ อุตสำหกรรม เช่น ฐำนข้อมูลระบบ สำรวจรำยเดือน/รำยปี ระบบฐำนข้อมูล ระบบงำนสำรบรรณ เป็ นต้น 2. ควำมเสี่ ยงด้ำน โปรแกรมประยุกต์ เช่น ระบบงำนสำรวจ รำยเดือน/รำยปี ระบบงำนสำรบรรณ อิเล็กทรอนิกส์ ระบบ
1
ความ รุนแรง 4
ระดับ คะแนน 4
1
4
4
ประเภทความเสี่ยง
ลักษณะความเสี่ยง
ความถี่
ควำมเสี่ ยงด้ำนเทคนิค/ ควำมเสี่ ยงจำกผูป้ ฏิบตั ิงำน
ควำมเสี่ ยงที่เกิดกับฐำนข้อมูลต่ำง ๆ ในระบบสำรสนเทศ ไม่วำ่ จะเป็ น ฐำนข้อมูลหลักเสี ยหำย ข้อมูลถูก ทำลำย กำรโจรกรรมข้อมูลที่สำคัญ กำรลักลอบแก้ไขเปลี่ยนแปลง ข้อมูล
ควำมเสี่ ยงด้ำนเทคนิค/ ควำมเสี่ ยงจำกผูป้ ฏิบตั ิงำน
ควำมเสี่ ยงที่เกิดกับโปรแกรม ประยุกต์ต่ำง ๆ ไม่วำ่ จะเป็ นกำร ทำงำนผิดพลำดของโปรแกรม ช่อง โหว่ของโปรแกรม
หน้า ๒๐
ชื่อความเสี่ยง
ประเภทความเสี่ยง
กรอกข้อมูล แบบสอบถำม รง.8 3. ควำมเสี่ ยงด้ำนเครื่ อง ควำมเสี่ ยงด้ำนเทคนิค คอมพิวเตอร์แม่ข่ำย เช่น DNS Server ,Mail Server ,Domain Server ,Web Server 4. ควำมเสี่ ยงด้ำนระบบ ควำมเสี่ ยงด้ำนเทคนิค เครื อข่ำย
ลักษณะความเสี่ยง
ความถี่
ความ รุนแรง
ระดับ คะแนน
ควำมเสี่ ยงหรื อภัยคุกคำมต่ำง ๆ ที่ เกิดจำกกำรทำงำนที่ผิดพลำดของ เครื่ องคอมพิวเตอร์แม่ข่ำย ช่องโหว่ ของระบบคอมพิวเตอร์แม่ข่ำยต่ำง ๆ ควำมเสี่ ยงด้ำนระบบเครื อข่ำย คอมพิวเตอร์ ไม่วำ่ จะเป็ นควำม เสี่ ยงที่เกิดจำกกำรทำงำนที่ผิดพลำด ของอุปกรณ์เครื อข่ำยหลักของ เครื อข่ำย ช่องโหว่ของอุปกรณ์ ตัวเครื่ องคอมพิวเตอร์แม่ข่ำย รวมทั้งที่เกิดจำกภัยคุกคำมต่ำง ๆ เครื่ องคอมพิวเตอร์ส่วนบุคคล (PC) หรื ออุปกรณ์ชำรุ ดหรื อขัดข้องด้วย สำเหตุทำงเทคนิค
5
4
20
5
4
20
5
2
10
5. ควำมเสี่ ยงจำกเครื่ อง คอมพิวเตอร์ (PC) หรื ออุปกรณ์ขดั ข้อง ไม่สำมำรถทำงำนได้ ตำมปกติ 6. ควำมเสี่ ยงจำกกำร นำเอำอุปกรณ์อื่นที่ ไม่ได้รับอนุญำตมำ เชื่อมต่อ
ควำมเสี่ ยงด้ำนเทคนิค/ ควำมเสี่ ยงจำกควำม เสื่ อมสภำพของเครื่ อง คอมพิวเตอร์ ควำมเสี่ ยงจำกผูป้ ฏิบตั ิงำน
ผูใ้ ช้ขำดควำมระมัดระวังในกำรนำ อุปกรณ์ต่ำง ๆ มำเชื่อมต่อเข้ำกับ ระบบคอมพิวเตอร์ หรื อระบบ เครื อข่ำย
1
2
2
7. ควำมเสี่ ยงในกำร เข้ำถึงข้อมูลของ บุคคลอื่น
ควำมเสี่ ยงจำกผูป้ ฏิบตั ิงำน
1
2
2
8. ควำมเสี่ ยงจำกกำรถูก บุกรุ ก โดยผูไ้ ม่ ประสงค์ดี
ควำมเสี่ ยงด้ำนเทคนิค / ควำมเสี่ ยงจำกผูป้ ฏิบตั ิงำน
1
4
4
9. ควำมเสี่ ยงจำกกำร โจรกรรมเครื่ อง คอมพิวเตอร์และ อุปกรณ์
ควำมเสี่ ยงด้ำนกำรบริ หำร จัดกำร/ ควำมเสี่ ยงจำก ผูป้ ฏิบตั ิงำน
ผูใ้ ช้ขำดควำมระมัดระวังในกำรเข้ำ ใช้ระบบสำรสนเทศ เช่น กำร มอบหมำยให้ผอู ้ ื่นใช้รหัสผ่ำนของ ตนเองเข้ำใช้ระบบหรื อใช้งำนแทน กำรบุกรุ กโจมตีโดยผูไ้ ม่ประสงค์ดี เช่น hacker เป็ นต้น กำรดักจับ ข้อมูล กำรส่งข้อมูลคำสัง่ เจตนำร้ำย กำรติดไวรัสหรื อเวิร์ม กำรโจรกรรมเครื่ องคอมพิวเตอร์ อุปกรณ์คอมพิวเตอร์ หรื อชิ้นส่วน ภำยในเครื่ อง เช่น CPU และ Ram ทำให้ไม่สำมำรถปฏิบตั ิงำน หรื อ
1
2
2
หน้า ๒๑
ชื่อความเสี่ยง
ประเภทความเสี่ยง
10. ควำมเสี่ ยงจำกกำร ควำมเสี่ ยงด้ำนกำรบริ หำร ขำดแคลนบุคลำกร จัดกำร ผูป้ ฏิบตั ิงำน
11. ควำมเสี่ ยงต่อกำร ได้รับกำร สนับสนุน งบประมำณไม่ เพียงพอ 12. ควำมเสี่ ยงจำก กระแสไฟฟ้ ำ ขัดข้อง ไฟฟ้ ำดับ แรงดันไฟฟ้ ำไม่ คงที่
ควำมเสี่ ยงด้ำนกำรบริ หำร จัดกำร
ลักษณะความเสี่ยง
ความถี่
ความ รุนแรง
ระดับ คะแนน
1
2
2
1
2
2
เกิดกำรสูญหำยของข้อมูลบนเครื่ อง คอมพิวเตอร์น้ นั ได้ กำรขำดแคลนบุคลำกรด้ำน สำรสนเทศ ทำให้กำรทำงำนอำจ หยุดชะงัก หำกบุคลำกร ผูร้ ับผิดชอบไม่สำมำรถมำ ปฏิบตั ิงำนได้ และจำนวนบุคลำกร ที่มีไม่เพียงพอต่อระบบเทคโนโลยี สำรสนเทศที่เพิ่มขึ้นตำมควำม ต้องกำรของผูใ้ ช้งำน ส่งผลกระทบ ต่อกำรพัฒนำและควบคุมดูแล ระบบ กำรขำดแคลนงบประมำณในกำร ดำเนินกำรให้ระบบสำรสนเทศ สำมำรถดำเนินกำรได้ต่อเนื่องอย่ำง มีประสิ ทธิภำพ
ควำมเสี่ ยงจำกภัยหรื อ สถำนกำรณ์ฉุกเฉิ น
กำรเกิดกระแสไฟฟ้ ำขัดข้อง หรื อ เกิดแรงดันไฟฟ้ ำไม่คงที่ ทำให้ เครื่ องคอมพิวเตอร์และอุปกรณ์อำจ ได้รับควำมเสี ยหำยจำก แรงดันไฟฟ้ ำที่ไม่คงที่
1
5
5
13. ควำมเสี่ ยงจำกกำร ควำมเสี่ ยงจำกภัยหรื อ เกิดไฟไหม้ น้ ำท่วม สถำนกำรณ์ฉุกเฉิ น แผ่นดินไหว อำคำร ถล่ม
กำรเกิดไฟไหม้อำคำร แผ่นดินไหว จนอำคำรถล่ม ไม่สำมำรถ เคลื่อนย้ำยเครื่ องคอมพิวเตอร์และ อุปกรณ์ต่ำงๆได้ ทำให้ได้รับควำม เสี ยหำยทั้งหมด กำรเกิดสถำนกำรณ์ควำมรุ นแรง หรื อควำมไม่สงบเรี ยบร้อย จนทำ ให้บุคลำกรสำมำรถปฏิบตั ิงำนได้ ตำมปกติ
1
5
5
1
5
5
14. ควำมเสี่ ยงจำก สถำนกำรณ์ควำม ไม่สงบเรี ยบร้อย ในบ้ำนเมือง
ควำมเสี่ ยงจำกภัยหรื อ สถำนกำรณ์ฉุกเฉิ น
หน้า ๒๒
แผนภูมิความเสี่ ยง
ส แ ด สีง
5
ผลกระทบ
4
ฟ้ า ส สีเ เห ลืแ อด งง
3 2 1 ๑
๒
๓
๔
ความเสีย่ งสูงมาก ความเสีย่ งสูง
ความเสีย่ งปานกลาง ความเสี่ยงต่่า (สามารถยอมรับได้)
๕
โอกาสที่จะเกิด
๑.๕.๖ การรายงานผลการวิเคราะห์ ความเสี่ ยง (Risk Reporting) จกผลกำรประเมินควำมเสี่ ยง สำมำรถจัดลำดับควำมสำคัญของควำมเสี่ ยงด้ำนสำรสนเทศ ใน กำรบริ หำรจัดกำรได้อย่ำงมีประสิ ทธิ ภำพดังนี้
ลาดับ
ความเสี่ยง
1
ควำมเสี่ ยงด้ำนเครื่ อง คอมพิวเตอร์แม่ข่ำย เช่น DNS Server ,Mail Server ,Domain Server ,Web Server ควำมเสี่ ยงด้ำนระบบ เครื อข่ำย
2
ประเภทความเสี่ยง
ลักษณะความเสี่ยง
ควำมเสี่ ยงด้ำนเทคนิค
ควำมเสี่ ยงหรื อภัยคุกคำมต่ำง ๆ ที่เกิดจำกกำรทำงำนที่ ผิดพลำดของเครื่ องคอมพิวเตอร์แม่ข่ำย ช่องโหว่ของระบบ คอมพิวเตอร์แม่ข่ำยต่ำง ๆ
ควำมเสี่ ยงด้ำนเทคนิค
ควำมเสี่ ยงด้ำนระบบเครื อข่ำยคอมพิวเตอร์ ไม่วำ่ จะเป็ น ควำมเสี่ ยงที่เกิดจำกกำรทำงำนที่ผิดพลำดของอุปกรณ์ เครื อข่ำยหลักของเครื อข่ำย ช่องโหว่ของอุปกรณ์ ตัวเครื่ อง คอมพิวเตอร์แม่ข่ำย รวมทั้งที่เกิดจำกภัยคุกคำมต่ำง ๆ
หน้า ๒๓
ค่ าระดับ ความ เสี่ยง 20
20
ลาดับ
ความเสี่ยง
3
ควำมเสี่ ยงจำกเครื่ อง คอมพิวเตอร์ (PC) หรื ออุปกรณ์ขดั ข้อง ไม่สำมำรถทำงำนได้ ตำมปกติ ควำมเสี่ ยงจำก กระแสไฟฟ้ ำขัดข้อง ไฟฟ้ ำดับ แรงดันไฟฟ้ ำไม่คงที่ ควำมเสี่ ยงจำกกำรเกิด ไฟไหม้ น้ ำท่วม แผ่นดินไหว อำคำร ถล่ม ควำมเสี่ ยงจำก สถำนกำรณ์ควำมไม่ สงบเรี ยบร้อยใน บ้ำนเมือง ควำมเสี่ ยงด้ำนระบบ ฐำนข้อมูลต่ำง ๆ ของ สศอ. เช่น ฐำนข้อมูล ระบบสำรวจรำย เดือน/รำยปี ระบบ ฐำนข้อมูลระบบงำน สำรบรรณ เป็ นต้น ควำมเสี่ ยงด้ำน โปรแกรมประยุกต์ เช่น ระบบงำนสำรวจ รำยเดือน/รำยปี ระบบงำนสำรบรรณ อิเล็กทรอนิกส์ ระบบ กรอกข้อมูล แบบสอบถำม รง.8 ควำมเสี่ ยงจำกกำรถูก บุกรุ ก โดยผูไ้ ม่ ประสงค์ดี
4
5
6
7
8
9
ประเภทความเสี่ยง
ลักษณะความเสี่ยง
ค่ าระดับ ความ เสี่ยง 10
ควำมเสี่ ยงด้ำนเทคนิค/ ควำมเสี่ ยงจำกควำม เสื่ อมสภำพของเครื่ อง คอมพิวเตอร์
เครื่ องคอมพิวเตอร์ส่วนบุคคล (PC) หรื ออุปกรณ์ชำรุ ดหรื อ ขัดข้องด้วยสำเหตุทำงเทคนิค
ควำมเสี่ ยงจำกภัยหรื อ สถำนกำรณ์ฉุกเฉิ น
กำรเกิดกระแสไฟฟ้ ำขัดข้อง หรื อเกิดแรงดันไฟฟ้ ำไม่คงที่ ทำให้เครื่ องคอมพิวเตอร์และอุปกรณ์อำจได้รับควำมเสี ยหำย จำกแรงดันไฟฟ้ ำที่ไม่คงที่
5
ควำมเสี่ ยงจำกภัยหรื อ สถำนกำรณ์ฉุกเฉิ น
กำรเกิดไฟไหม้อำคำร แผ่นดินไหวจนอำคำรถล่ม ไม่ สำมำรถเคลื่อนย้ำยเครื่ องคอมพิวเตอร์และอุปกรณ์ต่ำงๆได้ ทำให้ได้รับควำมเสี ยหำยทั้งหมด
5
ควำมเสี่ ยงจำกภัยหรื อ สถำนกำรณ์ฉุกเฉิ น
กำรเกิดสถำนกำรณ์ควำมรุ นแรง หรื อควำมไม่สงบเรี ยบร้อย จนทำให้บุคลำกรสำมำรถปฏิบตั ิงำนได้ตำมปกติ
5
ควำมเสี่ ยงด้ำนเทคนิค/ ควำมเสี่ ยงจำก ผูป้ ฏิบตั ิงำน
ควำมเสี่ ยงที่เกิดกับฐำนข้อมูลต่ำง ๆ ในระบบสำรสนเทศ ไม่ ว่ำจะเป็ นฐำนข้อมูลหลักเสี ยหำย ข้อมูลถูกทำลำย กำร โจรกรรมข้อมูลที่สำคัญ กำรลักลอบแก้ไขเปลี่ยนแปลงข้อมูล
4
ควำมเสี่ ยงด้ำนเทคนิค/ ควำมเสี่ ยงจำก ผูป้ ฏิบตั ิงำน
ควำมเสี่ ยงที่เกิดกับโปรแกรมประยุกต์ต่ำง ๆ ไม่วำ่ จะเป็ นกำร ทำงำนผิดพลำดของโปรแกรม ช่องโหว่ของโปรแกรม
4
ควำมเสี่ ยงด้ำนเทคนิค / ควำมเสี่ ยงจำก ผูป้ ฏิบตั ิงำน
กำรบุกรุ กโจมตีโดยผูไ้ ม่ประสงค์ดี เช่น hacker เป็ นต้น กำร ดักจับข้อมูล กำรส่งข้อมูลคำสัง่ เจตนำร้ำย กำรติดไวรัสหรื อ เวิร์ม
4
หน้า ๒๔
ลาดับ 10
11
12
13
14
ความเสี่ยง ควำมเสี่ ยงจำกกำร นำเอำอุปกรณ์อื่นที่ ไม่ได้รับอนุญำตมำ เชื่อมต่อ ควำมเสี่ ยงในกำร เข้ำถึงข้อมูลของ บุคคลอื่น ควำมเสี่ ยงจำกกำร โจรกรรมเครื่ อง คอมพิวเตอร์และ อุปกรณ์ ควำมเสี่ ยงจำกกำร ขำดแคลนบุคลำกร ผูป้ ฏิบตั ิงำน
ควำมเสี่ ยงต่อกำร ได้รับกำรสนับสนุน งบประมำณไม่ เพียงพอ
ประเภทความเสี่ยง ควำมเสี่ ยงจำก ผูป้ ฏิบตั ิงำน
ค่ าระดับ ลักษณะความเสี่ยง ความ เสี่ยง ผูใ้ ช้ขำดควำมระมัดระวังในกำรนำอุปกรณ์ต่ำง ๆ มำเชื่อมต่อ 2 เข้ำกับระบบคอมพิวเตอร์ หรื อระบบเครื อข่ำย
ควำมเสี่ ยงจำก ผูป้ ฏิบตั ิงำน
ผูใ้ ช้ขำดควำมระมัดระวังในกำรเข้ำใช้ระบบสำรสนเทศ เช่น กำรมอบหมำยให้ผอู ้ ื่นใช้รหัสผ่ำนของตนเองเข้ำใช้ระบบ หรื อใช้งำนแทน ควำมเสี่ ยงด้ำนกำรบริ หำร กำรโจรกรรมเครื่ องคอมพิวเตอร์ อุปกรณ์คอมพิวเตอร์ หรื อ จัดกำร/ ควำมเสี่ ยงจำก ชิ้นส่วนภำยในเครื่ อง เช่น CPU และ Ram ทำให้ไม่สำมำรถ ผูป้ ฏิบตั ิงำน ปฏิบตั ิงำน หรื อเกิดกำรสูญหำยของข้อมูลบนเครื่ อง คอมพิวเตอร์น้ นั ได้ ควำมเสี่ ยงด้ำนกำรบริ หำร กำรขำดแคลนบุคลำกรด้ำนสำรสนเทศ ทำให้กำรทำงำนอำจ จัดกำร หยุดชะงัก หำกบุคลำกรผูร้ ับผิดชอบไม่สำมำรถมำปฏิบตั ิงำน ได้ และจำนวนบุคลำกรที่มีไม่เพียงพอต่อระบบเทคโนโลยี สำรสนเทศที่เพิ่มขึ้นตำมควำมต้องกำรของผูใ้ ช้งำน ส่งผล กระทบต่อกำรพัฒนำและควบคุมดูแลระบบ ควำมเสี่ ยงด้ำนกำรบริ หำร กำรขำดแคลนงบประมำณในกำรดำเนินกำรให้ระบบ จัดกำร สำรสนเทศสำมำรถดำเนินกำรได้ต่อเนื่องอย่ำงมี ประสิ ทธิภำพ
หน้า ๒๕
2
2
2
2
๑.๕.๗ การจัดการความเสี่ ยง จำกนโยบำยของสำนักงำนเศรษฐกิจอุตสำหกรรม ระดับควำมเสี่ ยงที่ยอมรับได้ ≤ 15 โดยกำหนดให้ ควำมเสี่ ยงที่จำเป็ นต้องนำมำดำเนินกำรจัดกำรควำมเสี่ ยง คือ ควำมเสี่ ยงที่มีระดับควำมเสี่ ยงสู ง ตั้งแต่ 15 ขึ้นไป ส่ วน ควำมเสี่ ยงที่มีระดับควำมเสี่ ยงต่ำกว่ำ 15 ถือว่ำมีควำมเสี่ ยงค่อนข้ำงต่ำอำจจะนำมำดำเนินกำรจัดกำรควำมเสี่ ยงใน แผนบริ หำรควำมเสี่ ยงหรื อไม่ก็ได้ กำรดำเนินกำรจัดกำรควำมเสี่ ยงเป็ นดังตำรำงต่อไปนี้ ค่ าระดับ ความเสี่ยง 20
กลยุทธ์ การจัดการ ความเสี่ยง - ควบคุมควำมเสี่ ยง (มีแผนควบคุมควำมเสี่ ยง)
ลาดับ
ความเสี่ยง
แนวทางการดาเนินการจัดการความเสี่ยง
1
ควำมเสี่ ยงด้ำนเครื่ อง คอมพิวเตอร์แม่ข่ำย เช่น DNS Server ,Mail Server ,Domain Server ,Web Server
2
ควำมเสี่ ยงด้ำนระบบ เครื อข่ำย
20
- ควบคุมควำมเสี่ ยง (มีแผนควบคุมควำมเสี่ ยง)
- จัดหำอุปกรณ์สำรองเพื่อให้สำมำรถใช้ ทดแทนชัว่ ครำว เพื่อสำมำรถ ปฏิบตั ิงำนได้ตำมปกติ - ติดตั้งระบบตรวจสอบกำรใช้งำน เครื อข่ำย - จัดทำแผนกำรตรวจสอบและจัดจ้ำง บำรุ งรักษำเครื่ องและอุปกรณ์อย่ำง สม่ำเสมอ
3
ควำมเสี่ ยงจำกเครื่ อง คอมพิวเตอร์ (PC) หรื อ อุปกรณ์ขดั ข้อง ไม่ สำมำรถทำงำนได้ ตำมปกติ
10
- ยอมรับควำมเสี่ ยง (มีมำตรกำรติดตำม)
- จัดหำเครื่ องและอุปกรณ์สำรองเพื่อให้ สำมำรถใช้ทดแทนชัว่ ครำว เพื่อ สำมำรถปฏิบตั ิงำนได้
- จัดหำอุปกรณ์สำรองเพื่อให้สำมำรถใช้ ทดแทนชัว่ ครำว เพื่อสำมำรถ ปฏิบตั ิงำนได้ตำมปกติ - ติดตั้งระบบตรวจสอบกำรบุกรุ ก เครื อข่ำย และติดตำมเพื่อปรับปรุ งอย่ำง สม่ำเสมอ - ติดตั้งโปรแกรมป้ องกันไวรัสและ patch อย่ำงสม่ำเสมอ - ติดตั้ง patch ของระบบปฏิบตั ิกำรอย่ำง สม่ำเสมอ
- จัดทำแผนกำรตรวจสอบและจัดจ้ำง บำรุ งรักษำเครื่ องและอุปกรณ์อย่ำง สม่ำเสมอ -
หน้า ๒๖
ลาดับ
ความเสี่ยง
4
ควำมเสี่ ยงจำก กระแสไฟฟ้ ำขัดข้อง ไฟฟ้ ำดับ แรงดันไฟฟ้ ำ ไม่คงที่
5
6
7
8
ควำมเสี่ ยงจำกกำรเกิด ไฟไหม้ น้ ำท่วม แผ่นดินไหว อำคำร ถล่ม
ควำมเสี่ ยงจำก สถำนกำรณ์ควำมไม่ สงบเรี ยบร้อยใน บ้ำนเมือง
ควำมเสี่ ยงด้ำนระบบ ฐำนข้อมูลต่ำง ๆ ของ สศอ. เช่น ฐำนข้อมูล ระบบสำรวจรำยเดือน/ รำยปี ระบบฐำนข้อมูล ระบบงำนสำรบรรณ เป็ นต้น ควำมเสี่ ยงด้ำน โปรแกรมประยุกต์ เช่น ระบบงำนสำรวจ รำยเดือน/รำยปี ระบบงำนสำรบรรณ อิเล็กทรอนิกส์ ระบบ กรอกข้อมูล แบบสอบถำม รง.8
ค่ าระดับ ความเสี่ยง 5
5
5
กลยุทธ์ การจัดการ ความเสี่ยง - ยอมรับควำมเสี่ ยง
- ยอมรับควำมเสี่ ยง
- ยอมรับควำมเสี่ ยง
4
- ยอมรับควำมเสี่ ยง
4
- ยอมรับควำมเสี่ ยง
หน้า ๒๗
แนวทางการดาเนินการจัดการความเสี่ยง - จัดหำเครื่ องกำเนิดไฟฟ้ ำ และเครื่ อง สำรองไฟฟ้ ำแบบป้ องกันปั ญหำ แรงดันไฟฟ้ ำไม่คงที่ - จัดทำแผนรับสถำนกำรณ์เพื่อให้ สำมำรถดำเนินกำรได้อย่ำงต่อเนื่อง (Business Continuity Plan : BCP) - จัดทำแผนรับสถำนกำรณ์เพื่อให้ สำมำรถดำเนินกำรได้อย่ำงต่อเนื่อง (Business Continuity Plan : BCP) - จัดหำระบบสำรองเพื่อให้ระบบ สำรสนเทศสำมำรถทำงำนได้ - สำรองข้อมูลระบบ และฐำนข้อมูลเก็บ ไว้ในสถำนที่อื่นอีกหนึ่งชุด - จัดทำแผนรับสถำนกำรณ์เพื่อให้ สำมำรถดำเนินกำรได้อย่ำงต่อเนื่อง (Business Continuity Plan : BCP) - จัดหำระบบสำรองเพื่อให้ระบบ สำรสนเทศสำมำรถทำงำนได้ - สำรองข้อมูลระบบ และฐำนข้อมูลเก็บ ไว้ในสถำนที่อื่นอีกหนึ่งชุด - จัดทำแผนกำรตรวจสอบและ บำรุ งรักษำระบบฐำนข้อมูลอย่ำง เหมำะสม
- จัดหำระบบสำรองเพื่อให้ระบบ สำรสนเทศสำมำรถทำงำนได้ - สำรองข้อมูลระบบ และฐำนข้อมูลเก็บ ไว้ในสถำนที่อื่นอีกหนึ่งชุด - จัดทำแผนกำรตรวจสอบและ บำรุ งรักษำโปรแกรมประยุกต์อย่ำง เหมำะสม
ลาดับ 9
ความเสี่ยง ควำมเสี่ ยงจำกกำรถูก บุกรุ ก โดยผูไ้ ม่ ประสงค์ดี
ค่ าระดับ ความเสี่ยง 4
กลยุทธ์ การจัดการ ความเสี่ยง - ยอมรับควำมเสี่ ยง
แนวทางการดาเนินการจัดการความเสี่ยง - ตรวจสอบกำรตั้งค่ำของ firewall อย่ำง สม่ำเสมอ - ติดตั้งระบบตรวจสอบกำรบุกรุ ก เครื อข่ำย และติดตำมเพื่อปรับปรุ งอย่ำง สม่ำเสมอ - ติดตั้งโปรแกรมป้ องกันไวรัสและ patch อย่ำงสม่ำเสมอ - ติดตั้ง patch ของระบบปฏิบตั ิกำรอย่ำง สม่ำเสมอ
10
ควำมเสี่ ยงจำกกำร นำเอำอุปกรณ์อื่นที่ ไม่ได้รับอนุญำตมำ เชื่อมต่อ
2
- ยอมรับควำมเสี่ ยง
- เปลี่ยนรหัสผ่ำนตำมแนวปฏิบตั ิดำ้ น กำรรักษำควำมมัน่ คงปลอดภัย สำรสนเทศ - สร้ำงควำมตระหนักในเรื่ องนโยบำยและ แนวปฏิบตั ิดำ้ นควำมมัน่ คงปลอดภัย สำรสนเทศ - กระตุน้ ให้เกิดกำรปฏิบตั ิตำม แนวนโยบำยหรื อระเบียบด้ำน สำรสนเทศอย่ำงจริ งจัง
11
12
ควำมเสี่ ยงในกำรเข้ำถึง ข้อมูลของบุคคลอื่น
ควำมเสี่ ยงจำกกำร โจรกรรมเครื่ อง คอมพิวเตอร์และ อุปกรณ์
2
2
- ยอมรับควำมเสี่ ยง
- ยอมรับควำมเสี่ ยง
- ใช้อุปกรณ์เครื อข่ำยที่สำมำรถจำกัด สิ ทธิ์กำรเข้ำถึงสำหรับอุปกรณ์ที่ไม่ได้ รับอนุญำตให้เชื่อมต่อเข้ำเครื อข่ำย - สร้ำงควำมตระหนักในเรื่ องของข้อมูล ส่วนบุคคล ในกำรพึงรักษำสิ ทธิ์ใน ส่วนของข้อมูลส่วนบุคคล - เปลี่ยนรหัสผ่ำนตำมแนวปฏิบตั ิดำ้ นกำร รักษำควำมมัน่ คงปลอดภัยสำรสนเทศ - ตรวจสอบกำรเข้ำออกของ บุคคลภำยนอก - ตรวจสอบระบบกำรป้ องกันรักษำควำม
หน้า ๒๘
ลาดับ
13
ความเสี่ยง
ควำมเสี่ ยงจำกกำรขำด แคลนบุคลำกร ผูป้ ฏิบตั ิงำน
ค่ าระดับ ความเสี่ยง
2
กลยุทธ์ การจัดการ ความเสี่ยง
- ยอมรับควำมเสี่ ยง
แนวทางการดาเนินการจัดการความเสี่ยง
-
-
14
ควำมเสี่ ยงต่อกำรได้รับ กำรสนับสนุน งบประมำณไม่เพียงพอ
2
- ยอมรับควำมเสี่ ยง
หน้า ๒๙
-
ปลอดภัยของสถำนที่ให้อยูใ่ นสภำพ ปกติ ติดตั้งกล้องวงจรปิ ดเพื่อเฝ้ ำระวัง ปรับปรุ งโครงสร้ำงศูนย์สำรสนเทศ และสรรหำบุคลำกรเพื่อรองรับงำน อย่ำงเหมำะสม จัดทำคู่มือกระบวนกำรทำงำนเพือ่ ให้ บุคลำกรอื่นสำมำรถปฏิบตั ิตำมคูม่ ือได้ กรณี ที่บุคลำกรผูร้ ับผิดชอบไม่สำมำรถ มำปฏิบตั ิงำนได้ จัดทำแผนแม่บทเทคโนโลยี สำรสนเทศ เพื่อแสดงควำมจำเป็ นใน กำรขอสนับสนุนงบประมำณในกำร ดำเนินกำรด้ำนเทคโนโลยีสำรสนเทศ
๑.๖ เจ้ าหน้ าทีผ่ ้ รู ับผิดชอบดาเนินการตามแผนบริหารความเสี่ ยง เพื่อให้กำรดำเนินงำนตำมแผนบริ หำรควำมเสี่ ยงของระบบฐำนข้อมูลและสำรสนเทศ เป็ นไปอย่ำงรวดเร็ ว ทันต่อกำรดำเนินกำร จึงกำหนดให้เจ้ำหน้ำที่ต่อไปนี้ เป็ นผูร้ ับผิดชอบดำเนินกำรจัดกำรควำมเสี่ ยงที่เกิดขึ้น ๑) ให้ส่วนระบบเทคโนโลยีสำรสนเทศและกำรสื่ อสำรเป็ นผูร้ ับผิดชอบดำเนินกำร ๒) ให้ผอู้ ำนวยกำรศูนย์สำรสนเทศเศรษฐกิจอุตสำหกรรม กำกับดูแลควบคุมกำรดำเนินกำร
หน้า ๓๐
บรรณำนุกรม ศูนย์สำรสนเทศเศรษฐกิจอุตสำหกรรม. แผนบริ หำรควำมเสี่ ยงระบบฐำนข้อมูลและสำรสนเทศ ประจำปี 2556. กรุ งเทพฯ ศูนย์สำรสนเทศเศรษฐกิจอุตสำหกรรม. แนวนโยบำยแนวปฏิบตั ิมนั่ คงสำรสนเทศและข้อมูลบุคคล ประจำปี 2556. กรุ งเทพฯ
หน้า ๓๑