IT-RISK

การประเมินความเสี่ยง (Risk Assessment)

มาตรฐาน ISO/IEC 27001

เป็นมาตรฐานสากลสําหรับระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ
ความมั่นคงปลอดภัยสารสนเทศ

C: Confidentiality (ความลับของข้อมูล)

I: Integrity (ความถูกต้องของข้อมูล)

A: Availability (ความพร้อมใช้ของข้อมูล)

บริหารจัดการโดยใช้ การบริหารความเสี่ยง (Risk Management)

การบริหารความเสี่ยง (Risk Management)

ทบทวนความเหมาะสม
หาจุดเสี่ยง
ประเมินความเสี่ยง
หาวิธีการควบคุม
นําไปปฏิบัติ

คืออะไร?

คือกระบวนการระบุเหตุการณ์ความเสี่ยงและการวิเคราะห์เพื่อจัดลําดับความเสี่ยงที่จะมีผลกระทบต่อการบรรลุเป้าหมายขององค์กร

ทําไปเพื่ออะไร?

เพื่อกําหนดแนวทางการควบคุมและเพื่อป้องกันหรือลดและบรรเทาความเสี่ยง เพื่อให้ระดับของความเสียหาย (หากเกิดเหตุการณ์นั้นๆ) อยู่ในระดับที่องค์กรยอมรับได้

องค์ประกอบของการประเมินความเสี่ยง(Risk Assessment)

การระบุความเสียง(Risk Identification)
เจ้าของความเสียง(Risk owner)
การวิเคราะห์ความเสียง(Risk analysis)

ความเสี่ยง (Risk) = ผลกระทบ (Impact) x โอกาสเกิด (Likelihood)(หรือ) ความเสี่ยง (Risk) = ผลกระทบ (Impact) + โอกาสเกิด (Likelihood)

การวิเคราะห์ความเสี่ยง (Risk Analysis)

•คือกระบวนการหาค่าความเสี่ยง

ความเสี่ยง (Risk) = ผลกระทบ(Impact) x โอกาสเกิด (Likelihood)

กําหนดเกณฑ์

1. เกณฑ์การประเมินความเสี่ยง

เกณฑ์การประเมินระดับผลกระทบ (Impact) พิจารณาด้าน CIA
เกณฑ์การประเมินโอกาสเกิด (Likelihood) อาจพิจารณาจากสถิติที่เคยเกิดขึ้น

2. เกณฑ์ความเสี่ยง

เพื่อกําหนดว่าค่าความเสี่ยงใดยอมรับได้ ค่าความเสี่ยงใดยอมรับไม่ได้

การลดและบรรเทาความเสี่ยง (Risk Treatment)

เทคนิคในการควบคุมความเสี่ยง

การยอมรับความเสี่ยง (Risk Acceptance)
โอนย้ายความเสี่ยง (Risk Transfer)
ลดความเสี่ยง (Risk Reduction)
หลีกหนีความเสี่ยง (Risk Avoidance)

ตัวควบคุมตามมาตรฐาน ISO/IEC27001:2013

14 ตัวควบคุมหลัก (114 ตัวควบคุมย่อย)

นโยบายด้านความมั่นคงปลอดภัยสารสนเทศ

ทิศทางและการสนับสนุนจากผู้บริหาร ด้านความมั่งคงปลอดภัยสารสนเทศ

หน้าที่ความรับผิดชอบด้านความมั่นคงปลอดภัยสารสนเทศ

ภายในองค์กร
สําหรับอุปกรณ์เคลื่อนที่และการทํางานทางไกล

ความมั่นคงปลอดภัยด้านทรัพยากรบุคคล

ก่อนจ้างเพื่อให้เข้าใจความรับผิดชอบของตนเองเกี่ยวกับความปลอดภัยสารสนเทศและคัดกรองบุคลากรที่เหมาะกับหน้าที่นั้นๆ
ระหว่างจ้างเพื่อให้ตระหนักและปฏิบัติตามภาระหน้าที่ของตนเกี่ยวกับความปลอดภัยสารสนเทศ
ภาระหน้าที่ที่เหลือตอนเลิกจ้างและเปลี่ยนตําแหน่ง

การบริหารจัดการสินทรัพย์

การระบุสินทรัพย์ขององค์กรและกําหนดความรับผิดชอบในการป้องกันอย่างเหมาะสม
การกําหนดระดับความสําคัญของข้อมูล
การป้องกันการเปิดเผย แก้ไขย้าย หรือ ทําลายข้อมูลที่อยู่ในสื่อบันทึกโดยไม่ได้รับอนุญาต

การควบคุมการเข้าถึง

การจํากัดสิทธิการเข้าถึงข้อมูล
การบริหารจัดการการเข้าถึงข้อมูลของผู้ใช้
การให้ผู้ใช้ปฏิบัติตามกฎขององค์กรในการรักษาความลับของข้อมูลที่ใช้เข้าถึง เช่น ชื่อผู้ใช้ และรหัสลับ
การป้องกันการเข้าถึงระบบและแอพพลิเคชั่นโดยไม่ได้รับอนุญาต

การเข้ารหัสข้อมูลที่สําคัญ

การนําวิทยาการเข้ารหัสลับ (cryptography) ที่เหมาะสมและมีประสิทธิภาพมาใช้ ในการรักษาความลับ ความถูกต้อง และความพร้อมใช้ของข้อมูล

การจัดการด้านกายภาพและสภาพแวดล้อม

การป้องกันการเข้าพื้นที่สําคัญ
การป้องกันอุปกรณ์ที่ใช้ในการปฏิบัติงาน

ความมั่นคงปลอดภัยของกระบวนการประจํา

กระบวนการทํางานที่ถูกต้องและปลอดภัย
การป้องกันซอฟท์แวร์ประสงค์ร้าย
การสํารองข้อมูล
การเก็บบันทึกและติดตามกิจกรรมต่างๆที่เกิดขึ้นและเก็บหลักฐาน
การควบคุมความถูกต้องของซอฟท์แวร์ที่ใช้ในการปฏิบัติงาน
การจัดการช่องโหว่ทางเทคนิค
การควบคุมการตรวจสอบระบบสารสนเทศ

ความปลอดภัยของช่องทางการสื่อสาร

การจัดการความปลอดภัยเครือข่ายคอมพิวเตอร์
ความปลอดภัยของข้อมูลระหว่างส่ง

การจัดหาการพัฒนาและการดูแลรักษาระบบ

ความต้องการด้านความปลอดภัยของระบบสารสนเทศ
ความปลอดภัยในกระบวนการพัฒนาและสนับสนุนระบบ
การรักษาความปลอดภัยของข้อมูลที่ใช้ในการทดสอบ

ความสัมพันธ์ของผู้จัดส่ง

การป้องกันสินทรัพย์ขององค์กรที่แชร์ร่วมกับซัพพลายเออ
การดูแลคุณภาพของงานจากซัพพลายเออ

การจัดการเหตุการณ์ที่สําคัญที่เกี่ยวกับความมั่นคงปลอดภัยของสารสนเทศ

การจัดการเหตุการณ์ความมั่นคงปลอดภัยสารสนเทศและการปรับปรุง

มุมมองด้านความมั่นคงปลอดภัยของสารสนเทศต่อการจัดการความต่อเนื่องของธุรกิจ

การรักษาความต่อเนื่องของธุรกิจขององค์กร
การรักษาความพร้อมใช้ของระบบสารสนเทศ

กฎหมาย,ข้อกําหนดและสัญญา

การทําตามกฎหมาย ข้อกําหนด และสัญญา
การทบทวน (audit) ความปลอดภัยารสนเทศ

Report abuse