การบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศ
( IT Risk Management )
( IT Risk Management )
ความเสี่ยง คือ โอกาสที่จะเกิดความผิดพลาด ความเสียหาย การรั่วไหล ความสูญเปล่า หรือเหตุการณ์ที่ไม่พึงประสงค์ที่ทำให้งานไม่ประสบความสำเร็จตามวัตถุประสงค์และเป้าหมายที่กำหนด หรือ ความไม่แน่นอนที่เกิดขึ้นและมีผลต่อการบรรลุเป้าหมายหรือวัตถุประสงค์ที่ตั้งใจไว้ ความเสี่ยงนี้จะถูกวัดด้วยผลกระทบที่ได้รับและความน่าจะเป็นของเหตุการณ์
การนำกระบวนการบริหารความเสี่ยงมาใช้ จะเป็นหลักประกันในระดับหนึ่งว่าการดำเนินงานต่าง ๆ จะบรรลุเป้าหมายที่วางไว้ เนื่องจากการบริหารความเสี่ยงเป็นการทำนายอนาคตอย่างมีเหตุมีผล มีหลักการและหาทางลดหรือป้องกันความเสียหายในการทำงานแต่ละขั้นตอนไว้ล่วงหน้า หรือในกรณีที่พบกับเหตุการณ์ที่ไม่คาดคิด ก็จะเกิดความเสียหายน้อยกว่าการไม่นำกระบวนการบริหารความเสี่ยงมาใช้ เพราะได้มีการเตรียมการไว้ล่วงหน้า ดังนั้นการนำกระบวนการบริหารความเสี่ยงมาช่วยเสริมร่วมกับการทำงาน จะช่วยให้ภาระงานที่ปฏิบัติการอยู่เป็นไปตามเป้าหมายที่กำหนดไว้ และป้องกันโอกาสที่จะเกิดความเสี่ยงและปัญหาที่จะเป็นอุปสรรคต่อการดำเนินงาน
ในปัจจุบัน เทคโนโลยีสารสนเทศได้เข้ามามีบทบาทสำคัญ ไม่ว่าจะเป็นการติดต่อสื่อสารระหว่างองค์กร หรือการติดต่อกับแหล่งข้อมูลข่าวสารต่างๆ ล้วนแต่เกี่ยวข้องกับเทคโนโลยีสารสนเทศทั้งสิ้น การดำเนินการเกี่ยวกับสารสนเทศนั้นมีความเสี่ยงต่อการถูกกระทำจากการบุกรุก หรือการแสวงหาประโยชน์จากภาวะเสี่ยง ที่มีอยู่ในรูปแบบต่างๆ อันอาจทำให้เกิดความเสียหายต่อสารสนเทศ และทรัพยากรเทคโนโลยีสารสนเทศได้ “สารสนเทศ” จัดเป็นสินทรัพย์อันมีค่าชนิดหนึ่งที่องค์กรใช้ในการดำเนินภารกิจและจำเป็นต้องได้รับการป้องกันอารักขาเช่นเดียวกับทรัพย์สินอื่นๆ เครือข่ายสารสนเทศในปัจจุบันมีการเชื่อมโยงกันมากขึ้น ทำให้ระบบสารสนเทศมีความเสี่ยงต่อสิ่งคุกคามต่างๆและมีจุดอ่อนมากขึ้นตามไป สารสนเทศนั้นอาจอยู่ในรูปของ กระดาษ สิ่งพิมพ์ แผ่นฟิล์ม บทสนทนา หรือสื่ออิเล็กทรอนิกส์ และมีการส่งผ่านทางไปรษณีย์หรือทางอิเล็กทรอนิกส์ ไม่ว่าจะเป็นรูปแบบใดและใช้ร่วมกันหรือส่งผ่านโดยวิธีการใดๆก็ตาม สารสนเทศเหล่านี้ควรได้รับการอารักขาอย่างเหมาะสม ดังนั้นการบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศจึงมีความจำเป็นต่อการปกป้องเทคโนโลยีสารสนเทศและข้อมูลสำคัญ เพื่อการบรรลุเป้าหมายขององค์กร
การนำกระบวนการบริหารความเสี่ยงมาใช้ จะเป็นหลักประกันในระดับหนึ่งว่าการดำเนินงานต่าง ๆ จะบรรลุเป้าหมายที่วางไว้ เนื่องจากการบริหารความเสี่ยงเป็นการทำนายอนาคตอย่างมีเหตุมีผล มีหลักการและหาทางลดหรือป้องกันความเสียหายในการทำงานแต่ละขั้นตอนไว้ล่วงหน้า หรือในกรณีที่พบกับเหตุการณ์ที่ไม่คาดคิด ก็จะเกิดความเสียหายน้อยกว่าการไม่นำกระบวนการบริหารความเสี่ยงมาใช้ เพราะได้มีการเตรียมการไว้ล่วงหน้า ดังนั้นการนำกระบวนการบริหารความเสี่ยงมาช่วยเสริมร่วมกับการทำงาน จะช่วยให้ภาระงานที่ปฏิบัติการอยู่เป็นไปตามเป้าหมายที่กำหนดไว้ และป้องกันโอกาสที่จะเกิดความเสี่ยงและปัญหาที่จะเป็นอุปสรรคต่อการดำเนินงาน
ในปัจจุบัน เทคโนโลยีสารสนเทศได้เข้ามามีบทบาทสำคัญ ไม่ว่าจะเป็นการติดต่อสื่อสารระหว่างองค์กร หรือการติดต่อกับแหล่งข้อมูลข่าวสารต่างๆ ล้วนแต่เกี่ยวข้องกับเทคโนโลยีสารสนเทศทั้งสิ้น การดำเนินการเกี่ยวกับสารสนเทศนั้นมีความเสี่ยงต่อการถูกกระทำจากการบุกรุก หรือการแสวงหาประโยชน์จากภาวะเสี่ยง ที่มีอยู่ในรูปแบบต่างๆ อันอาจทำให้เกิดความเสียหายต่อสารสนเทศ และทรัพยากรเทคโนโลยีสารสนเทศได้ “สารสนเทศ” จัดเป็นสินทรัพย์อันมีค่าชนิดหนึ่งที่องค์กรใช้ในการดำเนินภารกิจและจำเป็นต้องได้รับการป้องกันอารักขาเช่นเดียวกับทรัพย์สินอื่นๆ เครือข่ายสารสนเทศในปัจจุบันมีการเชื่อมโยงกันมากขึ้น ทำให้ระบบสารสนเทศมีความเสี่ยงต่อสิ่งคุกคามต่างๆและมีจุดอ่อนมากขึ้นตามไป สารสนเทศนั้นอาจอยู่ในรูปของ กระดาษ สิ่งพิมพ์ แผ่นฟิล์ม บทสนทนา หรือสื่ออิเล็กทรอนิกส์ และมีการส่งผ่านทางไปรษณีย์หรือทางอิเล็กทรอนิกส์ ไม่ว่าจะเป็นรูปแบบใดและใช้ร่วมกันหรือส่งผ่านโดยวิธีการใดๆก็ตาม สารสนเทศเหล่านี้ควรได้รับการอารักขาอย่างเหมาะสม ดังนั้นการบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศจึงมีความจำเป็นต่อการปกป้องเทคโนโลยีสารสนเทศและข้อมูลสำคัญ เพื่อการบรรลุเป้าหมายขององค์กร
องค์กรในปัจจุบันควรให้ความสำคัญกับความเสี่ยงด้านไอที ได้แก่
ความปลอดภัย (Security) - การเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต รวมถึงการรั่วไหลของข้อมูล ความเป็นส่วนตัวของข้อมูล การหลอกลวง และความปลอดภัยของเครื่องคอมพิวเตอร์ปลายทาง ตลอดจนภัยคุกคามจากภายนอก เช่น ไวรัส หรือการโจมตีผู้ใช้ / ข้อมูลโดยเฉพาะ
ความพร้อมในการทำงาน (Availability) - ข้อมูลที่อาจไม่สามารถเข้าถึงได้เนื่องจากไม่สามารถใช้งานระบบได้ชั่วคราว
ประสิทธิภาพ (Performance) - ข้อมูลที่อาจไม่สามารถเข้าถึงได้เนื่องจากข้อจำกัดในการปรับขนาดหรือปัญหาคอขวด
การปฏิบัติตามข้อกำหนด (Compliance) - การละเมิดการปฏิบัติตามข้อกำหนด หรือไม่สามารถทำได้ตรงตามความต้องการของนโยบายภายใน
กระบวนการบริหารความเสี่ยงด้านเทคโนโลยีสารสนเทศ
กระบวนการนี้ประกอบด้วย 5 ขั้นตอนดังนี้
1. การประเมินความเสี่ยง (Risk assessment) ประกอบด้วยกระบวนการวิเคราะห์ความเสี่ยงและการประเมินค่าความเสี่ยง
1.1 การวิเคราะห์ความเสี่ยง (Risk analysis) ประกอบด้วย 3 ขั้นตอนดังนี้
- การชี้ระบุความเสี่ยง (Risk identification)
- ลักษณะรายละเอียดของความเสี่ยง (Risk description)
- การประมาณความเสี่ยง (Risk estimation)
1.2 ประเมินค่าความเสี่ยง (Risk evaluation)
2. การรายงานผลการวิเคราะห์ความเสี่ยง (Risk reporting)
3. กระบวนการบำบัดความเสี่ยง (Risk treatment)
4. การรายงานความเสี่ยงตกค้าง (Residual Risk reporting)
5. การเฝ้าสังเกต (Monitoring)
1. การประเมินความเสี่ยง (Risk Assessment)
1.1 การวิเคราะห์ความเสี่ยง (Risk Analysis) ประกอบด้วย 3 กระบวนการคือ
กระบวนการที่ 1 การชี้ระบุความเสี่ยง (risk identification) เป็นการชี้ให้เห็นถึงปัญหาความไม่แน่นอนที่
องค์กรเผชิญอยู่กระบวนการนี้จำเป็นต้องอาศัยความรู้ความเข้าใจองค์กร ภารกิจและกิจกรรม สิ่งแวดล้อมด้านกฎหมายสังคม การเมืองและวัฒนธรรม พัฒนาการและปัจจัยที่มีต่อความสำเร็จขององค์กร รวมทั้งโอกาสและสิ่งคุกคามที่มีต่อองค์กร การชี้ระบุความเสี่ยงควรได้ดำเนินการอย่างทั่วถึงครอบคลุมกิจกรรมในทุกๆด้านขององค์กร สาเหตุสำคัญของความเสี่ยงคือการมีสิ่งคุกคาม (Threat) ที่อาจส่งผลให้เกิดการละเมิดความมั่นคงสารสนเทศและส่งผลเสียตามมา
ตัวอย่างที่มาของสิ่งคุกคามด้านสารสนเทศ
ก. ด้านกายภาพและสิ่งแวดล้อม (Physical and Environmental threats)
- การปนเปื้อน (Contamination) จากสารเคมี สิ่งสกปรก หรือรังสีเป็นต้น
- เหตุการณ์แผ่นดินไหว (Earthquake)
- การรบกวนทางอิเล็กทรอนิกส์ (Electronic interference)
- ภาวะอุณหภูมิและความชื้นสุดขั้ว (Extremes of temperature and humidity) เช่นร้อนหรือเย็นหรือความชื้นสูงหรือต่ำ เกินไป
- แหล่งกำเนิดไฟฟ้าขัดข้องหรือแรงดันไฟฟ้ากระเพื่อม (Power supply failure or fluctuations)
- ไฟไหม้ (Fire) จากอุบัติเหตุไฟฟ้าลัดวงจร การวางเพลิง หรืออื่นๆ
- น้ำท่วม (Flood) จากกระแสน้ำ ฝนตกหลังคารั่ว หรือท่อน้ำชำรุดแตก
- พายุ (Storm)
- สัตว์ เช่นสัตว์กัดแทะ (Vermin) ประเภทหนู และสัตว์อื่นๆเช่น แมลง เป็นต้น
- การทำลายระบบและข้อมูลโดยเจตนาร้าย (Malicious destruction of data and facilities)
ข. ด้านระบบ (Systems threats)
- แฮ็กเกอร์ (Hackers)
- การโจมตีเพื่อห้ามการบริการ (Denial of Service (DoS) attacks)
- การแอบฟัง (Eavesdropping)
- การประท้วงหยุดงานของพนักงาน (Industrial action)
- คำสั่งเจตนาร้าย (Malicious code)
- การอำพรางหรือสวมรอย (Masquerade)
- การปฏิเสธไม่ยอมรับ (Repudiation)
- การก่อวินาศกรรม (Sabotage)
- การเข้าถึงข้อมูล การเข้าถึงโดยใช้โมเด็ม หรือการเปลี่ยนแปลงข้อมูล โดยไม่ได้รับอนุญาต (Unauthorized Data Access, Dial-in Access, or Software changes)
- ความล้มเหลวในด้านการสื่อสารหรือการบริการภายนอก (Failure of communications services or outsourced operations)
- การส่งข้อความผิดเส้นทางหรือส่งซ้ำ (Misrouting/re-routing of messages)
- ความผิดพลาดของซอฟต์แวร์หรือการเขียนโปรแกรม (Software/Programming errors)
- ความล้มเหลวทางเทคนิค (Technical failures)
- ความผิดพลาดด้านการส่งผ่านข้อมูล (Transmission errors)
ค. ด้านการบริหารจัดการ (Administrative threats)
- การสังคมวิศวกรรม (Social engineering)
- การลักทรัพย์และการฉ้อฉล (Theft and fraud)
- การใช้โปรแกรมละเมิดลิขสิทธิ์ (Use of pirated software)
- การแทรกซอนเว็บไซต์ (Web site intrusion)
การชี้ระบุความเสี่ยง (Risk identification) อาจพิจารณาถึงเหตุการณ์หรือสิ่งที่เคยเกิดขึ้นมาแล้วในอดีตกับองค์กรนั้น หรือองค์กรอื่นใด หรืออาจเป็นสิ่งที่มีความเป็นไปได้ว่าจะเกิดขึ้นแม้ไม่เคยเกิดขึ้นมาก่อนก็ได้ กระบวนการในชี้ระบุความเสี่ยงอาจใช้วิธีการต่างๆ ร่วมกันดังนี้ เช่น
1. การระดมสมอง (Brain storming)
2. การออกแบบสอบถาม (Questionnaire)
3. การวิเคราะห์กระบวนการทำงานหรือกิจกรรมในภารกิจ (Business process analysis)
4. การวิเคราะห์สภาพการณ์เหตุการณ์ละเมิดความมั่นคง (Scenario analysis)
5. การประชุมเชิงปฏิบัติการด้านการประเมินความเสี่ยง (Risk assessment workshop)
6. การสืบสวนเหตุการณ์ละเมิดความมั่นคงสารสนเทศ (Incident investigation)
7. การตรวจสอบและการตรวจสภาพระบบ (Auditing and inspection)
8. การวิเคราะห์ HAZOP (Hazard and operability studies)
9. การวิเคราะห์สถานการณ์ (SWOT analysis)
กระบวนการที่ 2 การบรรยายลักษณะความเสี่ยง (Risk description) เมื่อชี้ระบุความเสี่ยงได้แล้ว พึงบรรยายรายละเอียดและลักษณะของความเสี่ยงนั้น ได้แก่
- ชื่อความเสี่ยง (Name)
- ขอบเขต (Scope)
- ลักษณะความเสี่ยง (Nature)
- ผู้ที่มีผลกระทบ
- ลักษณะเชิงประมาณ
- การยอมรับความเสี่ยง
- การบำบัดและการควบคุม
- แนวทางการปรับปรุง
- การพัฒนากลยุทธ์และนโยบาย
กระบวนการที่ 3 การประมาณความเสี่ยง (Risk estimation) ขั้นตอนนี้เป็นการดูปัญหาความเสี่ยงในแง่
ของโอกาสการเกิดเหตุ (Incident) หรือเหตุการณ์ (Event) ว่ามีมากน้อยเพียงไรและผลที่ติดตามมาว่ามีความรุนแรงหรือเสียหายมากน้อยเพียงใดโอกาส หรือ ความน่าจะเป็น (Probability) หรือความบ่อยครั้งของการเกิดเหตุหรือเหตุการณ์
อาจแบ่งแบบง่ายๆเป็น 5 ระดับจากน้อยไปหามาก เช่น
- บ่อย (Frequent) พบได้บ่อยครั้งเป็นประจำ
- ประปราย (Probable)
- ตามโอกาส (Occasional)
- น้อยครั้งมาก (Remote)
- แทบไม่เกิดเลย (Improbable)
ความรุนแรงของสิ่งที่เกิดขึ้นตามมา (Severity of consequence) อาจแบ่งเป็น 4 ระดับคือ
- สูงมาก (Severe)
- สูง (High)
- ปานกลาง (Moderate)
- ต่ำ (Low)
โดยทั่วไปนิยมใช้การทำตาราง 2 มิติ แล้วนำเสนอว่าปัญหาความเสี่ยงนั้นอยู่ในย่านใดของตาราง
ตัวอย่าง ตารางการประมาณความเสี่ยงแบบ 2 มิติ
1.2 การประเมินค่าความเสี่ยง (Risk evaluation) เมื่อได้ความเสี่ยง โดยมีรายละเอียด, การประมาณเชิงกึ่งปริมาณเป็นแมทริกซ์แล้ว จึงนำมาประเมินค่าความเสี่ยงโดยการเปรียบเทียบกับหลักเกณฑ์ความเสี่ยงที่ยอมรับได้ เช่น หลักเกณฑ์ยอมรับความเสี่ยง (Risk acceptance criteria) ว่าจะยอมรับได้มากน้อยเพียงใดเพื่อประกอบการตัดสินใจว่าจะบำบัดความเสี่ยงนั้นๆต่อไปอย่างไร พึงพิจารณาในแง่ต่างๆดังต่อไปนี้ เช่น
- ค่าใช้จ่าย ประโยชน์และความคุ้มทุนที่จะได้รับจากการแก้ไขบำบัดความเสี่ยง (Costs and benefits)
- ข้อกำหนดด้านกฎหมายและกฎระเบียบขององค์กร (Legal requirements)
- ปัจจัยด้านเศรษฐกิจและสังคม (Socioeconomic factors)
- ปัจจัยด้านสิ่งแวดล้อม (Environmental factors)
- ประเด็นสาระสำคัญในมุมมองของผู้มีส่วนได้เสีย (Concerns of stakeholders)
- อื่นๆ
2. การรายงานความเสี่ยง (Risk reporting)
เมื่อประเมินความเสี่ยงแล้วเสร็จ จำเป็นต้องออกรายงานการประเมินเป็นเอกสารที่ผู้อื่นสามารถอ่านได้เอกสารนี้จะเป็นสาระสำคัญในการสื่อสารให้บุคลากรทั้งองค์กรได้รับรู้ รายงานประกอบด้วยรายละเอียดอย่างน้อยตามลักษณะรายละเอียดของความเสี่ยง และการออกรายงานมีวัตถุประสงค์ให้ส่วนต่างๆได้รับรู้ ดังต่อไปนี้
ฝ่ายบริหาร ควรได้ข้อมูลการรายงานเพื่อวัตถุประสงค์ดังต่อไปนี้ เช่น
- รับรู้นัยสำคัญของความเสี่ยงที่องค์กรเผชิญอยู่
- เข้าใจผลที่กระทบต่อผู้มีส่วนได้เสียต่างๆในกรณีที่เกิดมีเหตุ หรือเหตุการณ์และเกิดผลเสียต่อภารกิจและผลประกอบการ
- ดำเนินการเพื่อสร้างความตระหนักในปัญหาความเสี่ยงให้เกิดการรับรู้ทั่วทั้งองค์กร
- เข้าใจผลกระทบที่อาจมีต่อความมั่นใจของผู้ที่ได้รับผลกระทบ
- ให้แน่ใจว่ากระบวนการบริหารความเสี่ยงกำลังเป็นไปอย่างได้ผล
- ออกนโยบายบริหารความเสี่ยงที่มีเนื้อหาด้านปรัชญาและความรับผิดชอบของหน่วยงานและบุคลากรต่างๆในการบริหารความเสี่ยง
หัวหน้างาน ควรได้ข้อมูลการรายงานเพื่อวัตถุประสงค์ดังต่อไปนี้ เช่น
- ตระหนักในความเสี่ยงอันเกี่ยวข้องกับภาระหน้าที่ของตน ผลกระทบที่อาจมีต่อหน่วยงานอื่น หรือกิจกรรมอื่นในองค์กร
- มีดัชนีชี้วัดสมรรถนะของกิจกรรมในหน่วยงานเพื่อดูว่าระบบงานของตนเองได้รับผลกกระทบจากความเสี่ยงมากน้อยเพียงใด
- รายงานผลกระทบจากความเสี่ยงในกรณีเกิดหรือจะเกิดเหตุและเสนอแนะแนวทางการแก้ไข
- รายงานความเสี่ยงใดๆที่เกิดใหม่หรือความล้มเหลวใดๆ ในมาตรการการควบคุมหรือป้องกันอารักขาสารสนเทศที่มีอยู่
ผู้ปฏิบัติงาน ควรได้ข้อมูลการรายงานเพื่อวัตถุประสงค์ดังต่อไปนี้ เช่น
- เข้าในบทบาทภาระหน้าที่และความรับผิดชอบในความเสี่ยวงแต่ละรายการ
- เข้าใจบทบาทในการดำเนินการพัฒนาอย่างต่อเนื่องด้านการบริหารความเสี่ยง
- เข้าใจการบริหารความเสี่ยงและความตระหนักต่อความเสี่ยงในการเป็นวัฒนธรรมองค์กรที่สำคัญอย่างหนึ่ง
3. การบำบัดความเสี่ยง (Risk treatment)
เมื่อผู้บริหารได้รับรายงานการประเมินความเสี่ยงแล้วจำเป็นต้องทำการตัดสินใจ โดยพิจารณาจากหลักเกณฑ์การยอมรับความเสี่ยงที่องค์กรมีอยู่ว่าจะยอมรับโดยไม่ทำอะไร หรือจะดำเนินการบำบัดความเสี่ยงซึ่งได้แก่กระบวนการดังต่อไปนี้
1. การยอมรับความเสี่ยง (Acceptance) เป็นการยอมรับในความเสี่ยงโดยไม่ทำอะไร และยอมรับในผลที่อาจตามมา เช่น การพิสูจน์ตัวจริงเพียงใช้ ID/Password มีความเสี่ยงเพราะอาจมีการขโมยไปใช้ได้ การให้มีใช้ชีวมาตร (Biometrics) เช่น การตรวจลายนิ้วมือหรือม่านตา อาจมีค่าใช้จ่ายสูงไม่คุ้มค่า โรงพยาบาลอาจยอมรับความเสี่ยงของระบบปัจจุบันและทำงานต่อไปโดยไม่ทำอะไร
2. การเลี่ยงความเสี่ยง (Avoidance) การหลีกเลี่ยงความเสี่ยง เช่น เมื่อพบว่าปัจจุบันโรงพยาบาลมีการสำรองข้อมูลเพียง 1 ชุดและจัดเป็นความเสี่ยงต่อการสูญเสีย การเลี่ยงความเสี่ยงนี้อาจได้แก่การทำสำรองข้อมูล 2 ชุดและแยกเก็บใสถานที่ต่างกัน การบริหารจัดการการเชื่อมโยงสู่เครือข่ายผ่านโมเด็ม ถ้าเป็นการยากต่อการควบคุมหรือบริหารจัดการ องค์กรอาจเลือกทางออกโดยการยกเลิกไม่ให้ใช้บริการ และแนะนำให้พนักงานใช้บริการผ่านทาง ISP ในช่วงที่มีการระบาดของไวรัสอย่างหนัก องค์กรอาจมีเลือกระงับไม่ให้ใช้คอมพิวเตอร์ที่ไม่ได้ติดตั้ง Antivirus เป็นต้น
3. การวางแผนความเสี่ยง (Risk planning) คือการจัดการความเสี่ยงด้วยการพัฒนาแผนบรรเทาความเสี่ยงที่จัดลำดับความสำคัญ การใช้และการดูแลวิธีการควบคุม
4. การวิจัยและการรับรู้ความเสี่ยง (Research and Acknowledgement) คือการลดความสูญเสียที่เกิดจากความเสี่ยงโดยการตรวจสอบเพื่อรับทราบความอ่อนแอของระบบและค้นคว้าวิจัยให้ได้วิธีการควบคุมเพื่อเสริมความมั่นคงให้แก่ระบบ
5. การลดความเสี่ยง (Reduction) การทำระบบควบคุมเพื่อให้เกิดผลกระทบจากการการถูกคุกคามระบบหรือจากความไม่มั่นคงของระบบให้น้อยที่สุดเพื่อลดความเสี่ยง เช่น การใช้ชีวมาตร (Biometrics) เพื่อใช้ในการพิสูจน์ตัวจริงนอกเหนือไปจากการใช้ ID/Password ที่มีอยู่เดิม
6. การโอนย้ายความเสี่ยง (Transfer) เช่น อุปกรณ์เครือข่ายเมื่อซื้อมาแล้วมีระยะประกันเพียงหนึ่งปี เพื่อเป็นการรับมือในกรณีที่อุปกรณ์เครือข่ายไม่ทำงาน องค์กรอาจเลือกซื้อประกัน หรือสัญญาการบำรุงรักษาหลังขาย (Maintenance Service) เป็นต้น
4. การรายงานความเสี่ยงตกค้าง (Residual risk reporting)
เมื่อมีการบำบัดความเสี่ยงแล้ว จำเป็นต้องมีการรายงานและทบทวนอยู่เสมอเพื่อดูว่ามีการประเมินและการประเมินค่าความเสี่ยงอยู่ตลอดเวลา และดูว่ามาตรการควบคุมต่างๆที่ออกมาใช้ได้ผลหรือไม่เพียงไร วิธีการมาตรฐานที่ใช้กันโดยทั่วไป คือการมีหน่วยงานภายในหรือภายนอกทำการตรวจสอบโดยกระบวนการ IT Auditing ที่เหมาะสม เนื่องจากสิ่งแวดล้อมและกฎระเบียบมีพลวัตรและการเปลี่ยนแปลงเกิดขึ้นตลอดเวลา จึงจำเป็นต้องมีการบริหารความเสี่ยงและการตรวจสอบเป็นประจำ
5. การเฝ้าสังเกต (Monitoring)
กระบวนการเฝ้าสังเกตเป็นหลักประกันว่า องค์กรมีมาตรการต่างๆที่จำเป็นและเหมาะสมสำหรับการบริหารความเสี่ยงต่างๆ และมาตรการเหล่านั้นมีผู้ปฏิบัติตามและบังเกิดผลจริง ดังนั้นกระบวนการเฝ้าสังเกตพึงพิจารณาว่า
- ได้มีการปฏิบัติตามมาตรการต่างๆและบังเกิดผล
- กระบวนงานที่กำหนดขึ้นมาสามารถปฏิบัติได้จริง
- มีการเรียนรู้เกิดขึ้นในหน่วยงานอันเป็นผลมาจากการบริหารความเสี่ยง
มาตรฐานความปลอดภัยที่ช่วยลดความเสี่ยงด้านเทคโนโลยีสารสนเทศ
ระบบสารสนเทศขององค์กรมีความจำเป็นอย่างยิ่งที่จะต้องเตรียมพร้อมและศึกษาถึงมาตรฐานทางด้านการรักษาความปลอดภัยระบบสารสนเทศแล้วนำมากำหนดเป็นกรอบแนวทางปฏิบัติ เพื่อลดความเสี่ยงทางด้านเทคโนโลยีสารสนเทศ โดยมาตรฐานทางด้านความปลอดภัยของระบบสารสนเทศที่นิยมใช้กันทั่วโลก ได้แก่
1. มาตรฐาน ISO/IEC17799: 2005 (Second Edition) หรือ BS7799-1
มาตรฐาน ISO/IEC17799: 2005 (Second Edition) ถูกประกาศอย่างเป็นทางการในเดือนมิถุนายน ปี 2005 ได้มีการปรับปรุงแก้ไขมาจากต้นฉบับ ISO/IEC 17799:2000 (First Edition) จากปี 2000 ภาพรวมของการรักษาความปลอดภัยขององค์กรตามมาตรฐาน ISO17799 สามารถแบ่งออกเป็น 4 กลุ่ม มีทั้งสิ้น 10 ข้อ ดังนี้กลุ่มที่หนึ่ง การเตรียมการ(1) นโยบายความปลอดภัย(2) การจัดการความปลอดภัยในองค์กร(3) การแยกประเภทของทรัพย์สิน(4) มาตรการความปลอดภัยด้านบุคคลกลุ่มที่สอง การดำเนินการขององค์กร(5) ความปลอดภัยทางกายภาพและสิ่งแวดล้อม(6) การบริหารจัดการดำเนินงานและการสื่อสาร(7) การควบคุมการเข้าถึงกลุ่มที่สาม วินัยในการใช้(8) การพัฒนาและดูแลระบบกลุ่มที่สี่ การแก้ไขและรับมือกับเหตุการณ์ที่เกิดขึ้น(9) การบริหารความต่อเนื่องในการดำเนินงาน(10) ข้อกำหนดบทลงโทษในองค์กร
2. ISO/IEC 27001:2005 (Information Security Management System: ISMS)
เนื้อหาของมาตรฐาน ISO 27001:2005 จะเกี่ยวข้องกับการจัดตั้งและปฏิบัติใช้งาน ระบบบริหารความมั่นคงของข้อมูล (Information security management systems: ISMS) ขึ้นในองค์กร ซึ่งแนวคิดของมาตรฐานส่วนนี้จะเป็นแนวทางสำคัญ สำหรับองค์กรที่ต้องการนำระบบ ISMS ไปใช้ในการปกป้องข้อมูล กระบวนการธุรกิจ และทรัพย์สินด้านสารสนเทศที่สำคัญขององค์กร เนื้อหาของมาตรฐาน ISO 27001:2005 แบ่งออกเป็น 8 ส่วน ดังนี้
1. ขอบเขต (Scope)
2. มาตรฐานอ้างอิง (Normative reference)
3. คำจำกัดความและนิยาม (Terms and definitions)
4. ระบบบริหารความมั่นคงของข้อมูล (Information security management system)
5. หน้าที่ ความรับผิดชอบของฝ่ายบริหาร (Management responsibility)
6. การตรวจประเมินการบริหารความมั่นคงของข้อมูลภายใน (Internal ISMS audit)
7. การทบทวนการบริหารความมั่นคงของข้อมูล (Management review of the ISMS)
8. การปรับปรุงการบริหารความมั่นคงของข้อมูล (ISMS improvement)
3. มาตรฐาน ISO/IEC 27002:2005 (Code of Practice for Information Security Management)
ISO/IEC 27002:2005 (Code of Practice for Information Security Management) กล่าวถึงวิธีปฏิบัติที่จะนำไปสู่ระบบบริหารจัดการความมั่นคงปลอดภัยที่องค์์กรได้จัดทำขึ้น ซึ่งจะต้องเป็นไปตามข้อกำหนดในมาตรฐาน ISO 27001:2005 รายละเอียดของมาตรฐานนี้จะบอกถึงวิธีปฏิบัติในการลดความเสี่ยงที่เกิดจากจุดอ่อนของระบบโดยแบ่งเป็นหัวข้อหลักที่เกี่ยวข้องกับระบบ และให้แนวทางว่าผู้จัดทำควรปฏิบัติอย่างไร ซึ่งผู้ใช้สามารถเพิ่มเติมมาตรการหรือใช้วิธีการที่มีความมั่นคงปลอดภัยเพียงพอ หรือเหมาะสมตามที่องค์กรได้ประเมินไว้
ซึ่งจะมีทั้งหมด 133 หัวข้อ และแบ่งออกเป็น 11 หมวดหลัก ดังนี้
1. นโยบายความมั่นคงปลอดภัยขององค์กร (Security policy)
2. โครงสร้างความมั่นคงปลอดภัยภายในองค์กร (Organization of information security)
3. การจัดหมวดหมู่และการควบคุมทรัพย์สินขององค์กร (Asset management)
4. มาตรฐานของบุคลากรเพื่อสร้างความมั่นคงปลอดภัยให้กับองค์กร (Human resources security)
5. ความมั่นคงปลอดภัยทางด้านกายภาพและสิ่งแวดล้อมขององค์กร (Physical and environmental securiry)
6. การบริหารจัดการด้านการสื่อสารและการดำเนินงานของเครือข่ายสารสนเทศขององค์กร (Communications and operations management)
7. การควบคุมการเข้าถึงระบบสารสนเทศขององค์กร (Access control)
8. การพัฒนาและดูแลระบบสารสนเทศ (Information systems acquisition, development and maintenance)
9. การบริหารจัดการเหตุการณ์ละเมิดความมั่นคงปลอดภัย (Information security incident management)
10. การบริหารความต่อเนื่องในการดำเนินงานขององค์กร (Business continuity management)
11. การปฏิบัติตามข้อกำหนดทางด้านกฎหมายและบทลงโทษของการละเมิดนโยบาย (Compliance)
มาตรฐาน ISO 27001:2005 และมาตรฐาน ISO/IEC 27002:2005 เป็นมาตรฐานสากลที่ใช้กันอย่างแพร่หลายแล้ว ดังนั้น ความพร้อมใช้ของมาตรฐานนี้ และความสำคัญของการเป็นมาตรฐานที่ว่าด้วยเรื่องของความมั่นคงปลอดภัยระบบเทคโนโลยีสารสนเทศ มาตรฐานนี้จึงควรศึกษาและให้ความสำคัญเป็นอย่างมาก
4. มาตรฐาน CobiT (Control Objective for Information and Related Technology)
กรอบวิธีปฎิบัติ CobiT (Control Objectives for Information and related Technology) เป็นรูปแบบวิธีปฎิบัติที่ถูกพัฒนาขึ้นโดยกลุ่มความร่วมมือที่ชื่อว่า Information Systems Audit and Control Association (ISACA) ใช้สำหรับองค์กรที่ต้องการมุ่งสู่การพัฒนาให้ระบบสารสนเทศมีความเป็น "ไอทีภิบาล" หรือ "IT Governance" กล่าวคือ สามารถบริหารจัดการระบบสารสนเทศขององค์กรให้สามารถใช้งานได้อย่างมีประสิทธิภาพ มีความคุ้มค่ากับการลงทุน กรอบวิธีปฎิบัตินี้ได้รับความนิยมใช้กันโดยแพร่หลายในกลุ่มธุรกิจด้านการเงินและการธนาคาร
มาตรฐาน COBIT เป็นทั้งแนวคิดและแนวทางการปฏิบัติ (Framework) เพื่อการควบคุมภายในที่ดีด้านเทคโนโลยีสำหรับองค์กรต่างๆ ที่จะใช้อ้างอิงถึงแนวทางการปฏิบัติที่ดี (Best Practice) ซึ่งสามารถนำไปปรับใช้ได้ในทุกองค์กรสำหรับกิจกรรมที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ โดยโครงสร้างของมาตรฐาน COBIT ได้ออกแบบอยู่บนพื้นฐานของกระบวนการทางธุรกิจ Business Process สามารถแบ่งได้เป็น 4 กระบวนการหลัก (Domain) ได้แก่
- การวางแผนและการจัดการองค์กร (PO : Planning and Organization)
- การจัดหาและติดตั้ง (AI : Acquisition and Implementation)
- การส่งมอบและบำรุงรักษา (DS : Delivery and Support)
- การติดตามผล (M : Monitoring)
5. มาตรฐาน ISO/IEC TR 13335 (Guidelines for the Management of IT Security)
มาตรฐาน ISO/IEC 27001 ได้มีการอ้างอิงมายังมาตรฐาน ISO/IEC 13335 ในเรื่องของการจัดทำ Technical Report ซึ่งเริ่มต้นจากการระบุภัยคุกคาม จุดอ่อนหรือช่องโหว่ของระบบเทคโนโลยีสารสนเทศ แนวทางการประเมินความเสี่ยงต่างๆ จนสามารถระบุแนวทางเพื่อลดความเสี่ยงได้ สำหรับเนื้อหาหลักของมาตรฐานนี้จะแบ่งเป็น 5 ส่วนสำคัญ ดังนี้
1. การบริหารจัดการหน้าที่งานต่างๆของความมั่นคงปลอดภัยระบบเทคโนโลยีสารสนเทศที่ได้รับการวางโครงร่างไว้ รวมถึงจัดหาแนวคิดด้านความมั่นคงปลอดภัยให้เป็นไปตามโครงร่างที่ได้ตั้งไว้ทั้งรูปแบบสารสนเทศและเทคโนโลยีที่ใช้ในการติดต่อสื่อสาร
2. การนำไปปฏิบัติและการบริหารจัดการด้านความมั่นคงปลอดภัยต้องได้รับการจัดทำด้วยวิธีการที่เหมาะสมที่สุด
3. เทคนิคสำหรับการบริหารจัดการด้านความมั่นคงปลอดภัยต้องได้รับการจัดการให้จากผู้จัดทำระบบเทคโนโลยีสารสนเทศ
4. ต้องให้แนวทางปฏิบัติสำหรับการเลือกวิธีการรักษาความมั่นคงปลอดภัย ซึ่งพิจารณาจากประเภทของระบบไอทีนั้นๆรวมถึงความตระหนักด้านความมั่นคงปลอดภัยและภัยคุกคามที่อาจมีขึ้นในอนาคต
5. สารสนเทศที่อยู่บนระบบกรณีที่ต้องมีการส่งผ่านสายสื่อสาร ต้องได้รับการรักษาความมั่นคงปลอดภัยในระหว่างการส่งและต้องจัดให้เครือข่ายมีความมั่นคงปลอดภัยด้วย
6. มาตรฐาน ITIL (IT Infrastructure Library)
เป็นมาตรฐานที่ได้รับการจัดทำเผยแพร่โดยหน่วยงานรัฐบาลคือ Central Computer and Telecommunications Agency หรือ CCTA ซึ่งขณะนี้กลายเป็นองค์กร The British Office of Government Commerce (OGC) แต่ก็มิได้ประกาศบังคับว่าทุกองค์กรที่เกี่ยวข้องจะต้องปฏิบัติตาม ITIL
ITIL เป็นแนวทางปฏิบัติ ที่ว่าด้วยเรื่องเกี่ยวกับโครงสร้างพื้นฐานเทคโนโลยีสารสนเทศแบ่งเป็น 8 เรื่อง ดังนี้
1. การบริหารจัดการซอฟต์แวร์และทรัพย์สินขององค์กร (Software and Asset Management)
2. การส่งมอบผลิตภัณฑ์หรือบริการที่ได้มาตรฐาน (Service Delivery)
3. คุณภาพของการบริการหลังส่งมอบ (Service Support)
4. การวางแผนสำหรับการบริหารจัดการการให้บริการ (Planning to Implement Service Management)
5. การบริหารจัดการโครงสร้างพื้นฐานด้านไอซีที (ICT Infrastructure Management)
6. การบริหารจัดการแอพพลิเคชั่น (Application Management)
7. การบริหารจัดการด้านความมั่นคงปลอดภัย (Security Management)
8. มุมมองทางธุรกิจ (Business Perspective, Volume II)
ITIL เป็นแนวทางปฏิบัติปัจจุบันยังไม่สามารถขอใบรับรองได้ เนื่องจากปัจจุบัน ITIL เป็นเอกสารอ้างอิง
สำหรับใช้เป็นแนวทางปฏิบัติ แต่ในอนาคตก็อาจมีการคัดเอาเฉพาะส่วนนี้มาทำข้อกำหนด และมีการออกใบรับรอง
ภายใต้ชื่อ ISO 20000 (มาตรฐานการให้บริการด้านสารสนเทศ)
7. มาตรฐาน FIPS PUB 200
เป็นมาตรฐานที่ว่าด้วยเรื่องของข้อกำหนดขั้นต่ำสำหรับความต้องการด้านความมั่นคงปลอดภัยซึ่งเป็นภาคบังคับขององค์กรบริหารจัดการสารสนเทศและระบบสารสนเทศกลางของประเทศสหรัฐอเมริกา ซึ่งทุกองค์กรที่เป็นหน่วยงานภาครัฐจะต้องปฏิบัติตามข้อกำหนดด้านความมั่นคงปลอดภัยนี้เป็นอย่างน้อย โดยมาตรฐานนี้จะมีการระบุประเภท ของระบบสารสนเทศต่างๆ และวิธีปฏิบัติที่จำเป็นสำหรับควบคุมเพื่อให้เกิดความมั่นคงปลอดภัยของสารสนเทศในระบบนั้นๆ
FIPS PUB 200 เป็นมาตรฐานที่ได้รับการพิมพ์เผยแพร่จากองค์กรกลางที่กำกับดูแลมาตรฐานต่างๆ ของระบบประมวลผลสารสนเทศในประเทศสหรัฐอเมริกา The Federal Information Processing Standards (FIPS)มาตรฐานนี้ได้รับการปรับปรุงและพิมพ์เผยแพร่ล่าสุดเดือนมีนาคม 2006 การที่ FIPS PUB 200 ได้รับการกำหนดให้เป็นมาตรฐานขั้นต่ำและองค์กรภาครัฐต้องปฏิบัติตามเป็นภาคบังคับ เนื่องมาจากรัฐบาลของประเทศสหรัฐอเมริกา ต้องการสนับสนุนเรื่องความมั่นคงปลอดภัย ดังนั้น จึงได้บัญญัติกฎหมาย Federal Information Security Management Act (FISMA) ซึ่งส่งผลให้หน่วยงานต่างๆต้องปฏิบัติตามโดยปริยาย สำหรับเนื้อหาโดยสรุปของมาตรฐานนี้ ได้แก่
- การระบุข้อกำหนดขั้นต่ำของระบบประมวลผลสารสนเทศขององค์กรกลางในประเทศสหรัฐอเมริกา
- การจัดทำข้อกำหนดนี้เพื่อสนับสนุนการพัฒนา
- การลงมือปฏิบัติ
- การดำเนินการเพื่อสร้างความมั่นคงปลอดภัยระบบสารสนเทศ โดยหน่วยงานสามารถคัดเลือกเฉพาะส่วนที่เกี่ยวข้องกับองค์กรของตนมาปฏิบัติตาม มาตรฐานนี้จึงได้มีการจัดทำแนวทางในการคัดเลือกและกำหนดมาตรการด้านความมั่นคงปลอดภัยที่จำเป็นและเหมาะสมสำหรับระบบประมวลผลสารสนเทศของแต่ละหน่วยงาน
มาตรฐานนี้กล่าวได้ว่าเป็นข้อกำหนดตามกฎ หรือข้อบังคับที่องค์กรภาครัฐหรือองค์กรกลางของรัฐบาลสหรัฐฯ ต้องปฏิบัติตามให้ได้ และมาตรฐานนี้ยังเป็นเพียงข้อกำหนดขั้นต่ำและไม่มีการให้ใบรับรอง สำหรับมาตรฐานของระบบสารสนเทศที่ต้องการความมั่นคงปลอดภัยในระดับที่สูงกว่านี้ จะมีองค์กรอีกองค์กรหนึ่งที่ช่วยพัฒนามาตรฐานด้านเทคโนโลยีต่างๆ และได้จัดทำไว้เพื่อเสริมสร้างมาตรฐานความมั่นคงปลอดภัยทางด้านเทคนิค หน่วยงานที่ดูแลในส่วนนี้มีชื่อว่า (National Institute of Security Technology หรือ NIST) ดังนั้นระบบที่มีข้อมูลสารสนเทศที่ต้องรักษาความลับ ความถูกต้อง และความสมบูรณ์ของข้อมูลในระดับสูงจำเป็น จะต้องใช้มาตรฐานที่รัดกุมและเข้มแข็งมากกว่ามาตรฐาน FIPS PUB 200 นี้ หรืออาจต้องอาศัยความเฉพาะด้านทางเทคโนโลยีและใช้มาตรฐานของ NIST เป็นมาตรฐานหลัก
8. มาตรฐาน NIST 800-14
สถาบันมาตรฐานเทคโนโลยีสารสนเทศแห่งชาติของสหรัฐอเมริกา ได้พิมพ์เผยแพร่หนังสือมาตรฐานในชื่อว่า Generally Accepted Principles and Practices for Securing Information Technology Systemsมาตรฐานนี้เป็นเกณฑ์กลางที่ได้รับการจัดทำและเผยแพร่ขึ้นโดยสถาบันดังกล่าว เพื่อเสริมสร้างองค์กรที่ใช้ระบบสารสนเทศให้นำมาตรฐานเทคโนโลยีทีได้จัดพิมพ์นี้ไปใช้ เพื่อเสริมสร้างความมั่นคงปลอดภัยให้แก่ระบบเทคโนโลยีสารสนเทศขององค์กรหรือหน่วยงานต่างๆ ในประเทศสหรัฐอเมริกาให้มากที่สุดทั้งนี้ เพื่อเป็นการป้องกันภัยคุกคามด้านอาชญากรรมคอมพิวเตอร์และการละเมิดความมั่นคงปลอดภัยข้อมูลสารสนเทศโดยเฉพาะอย่างยิ่งสารสนเทศบนระบบโครงสร้างพื้นฐานของประเทศ การเผยแพร่ในครั้งแรกเมื่อปี 1996 ได้จัดทำเป็นกฎพื้นฐานด้าน Computer Security จำนวน 8 ข้อดังนี้
1. ในพันธกิจขององค์กรต้องให้การสนับสนุนเรื่องของความมั่นคงปลอดภัยคอมพิวเตอร์
2. ในการบริหารจัดการองค์กรต้องผนวกเรื่องของความมั่นคงปลอดภัยคอมพิวเตอร์ไว้เป็นสาระสำคัญด้วย
3. ควรมีการลงทุนที่เหมาะสมในเรื่องของความมั่นคงปลอดภัยคอมพิวเตอร์
4. ผู้เป็นเจ้าของระบบต้องแสดงความรับผิดชอบต่อการรักษาความมั่นคงปลอดภัยของระบบโดยตลอด
5. ความรับผิดชอบและการดูแลเอาใจใส่ในเรื่องของความมั่นคงปลอดภัยคอมพิวเตอร์ต้องได้รับการดำเนินการอย่างชัดแจ้ง
6. การรักษาความมั่นคงปลอดภัยคอมพิวเตอร์ต้องการแนวทางที่ผสมผสานในวิธีปฏิบัติ เช่น การรักษาความมั่นคงปลอดภัยทางกายภาพ ทางด้านฮาร์ดแวร์ ซอฟต์แวร์ และผู้ใช้ เป็นต้น
7. ความมั่นคงปลอดภัยคอมพิวเตอร์ต้องได้รับการปรับปรุงให้ดีขึ้นอย่างต่อเนื่องและสม่ำเสมอ
8. ปัจจัยแวดล้อมสามารถส่งผลต่อการรักษาความมั่นคงปลอดภัยคอมพิวเตอร์ได้เสมอ
NIST เป็นแนวทางปฏิบัติที่องค์กรที่จัดทำมีเจตนาให้ใช้เป็นเอกสารอ้างอิงและเป็นเสมือนเครื่องมือในการตรวจสอบระบบเทคโนโลยีสารสนเทศขององค์กร แนวทางปฏิบัตินี้จัดเป็นเกณฑ์พื้นฐานที่หลายองค์กรเห็นร่วมกันว่าควรจะต้องจัดให้มีและสามารถตรวจสอบได้โดยฝ่ายตรวจสอบทั้งภายในและภายนอกองค์กร เช่น ผู้ตรวจสอบกิจการภายใน ผู้จัดการ ผู้ใช้หรือลูกค้า พนักงานด้านความมั่นคงปลอดภัยคอมพิวเตอร์ เป็นต้น แนวทางที่ NIST ได้จัดทำนั้นสามารถประยุกต์ใช้ได้ทั้งภาครัฐและเอกชน
9. มาตรฐาน IT BPM (IT Baseline Protection Manual)
มาตรฐาน IT Baseline Protection Manual เป็นหนังสือคู่มือที่แนะนำการรักษาความมั่นคงปลอดภัยระบบอย่างมีมาตรฐาน แต่อาจกำหนดไว้เป็นมาตรฐานขั้นต่ำ คู่มือนี้พิมพ์เผยแพร่โดย BSI ซึ่งเป็นองค์กรกลางที่กำกับดูแลเรื่องการรักษาความมั่นคงปลอดภัยสารสนเทศ โดยจะจัดทำเฉพาะระบบสารสนเทศที่มีใช้ในองค์กรทั่วไป อาทิ ระบบสารสนเทศเกี่ยวกับบุคลากรขององค์กร ระบบสารสนเทศสำหรับสื่อสารด้วยไปรษณีย์อิเล็กทรอนิกส์ เป็นต้น คู่มือนี้จะให้การแนะนำว่าระบบที่ยกตัวอย่างนี้ ควรมีเกราะป้องกันหรือวิธีการด้านความมั่นคงปลอดภัยอย่างน้อยต้องดำเนินการอย่างไรบ้าง
หนังสือคู่มือนี้แต่ละองค์กรอาจนำไปประยุกต์ใช้ด้วยวัตถุประสงค์ที่แตกต่างกันออกไป เช่นต้องการที่จะใช้เป็นเกณฑ์ระบุว่าความปลอดภัยขั้นต่ำขององค์กรคืออะไร องค์กรต้องการใช้เป็นแนวทางปฏิบัติด้านความมั่นคงปลอดภัยที่ดีระดับหนึ่ง การปรับปรุงความมั่นคงปลอดภัยระบบข้อมูลสารสนเทศ หรือบางองค์กร อาจต้องการได้รับใบรับรอง เป็นต้น
อย่างไรก็ดี หนังสือคู่มือนี้ จะได้รับการปรับปรุงทุกๆ หกเดือน การจะปรับปรุงในหัวข้อใดจะได้รับความเห็นชอบจากการลงมติของกลุ่มความร่วมมือ หนังสือคู่มือนี้มีความหนาถึง 2,300 หน้าและเน้นหนักด้านเทคนิคเป็นอย่างมาก เนื้อหาประกอบด้วย
- ระบบต้องมีการบริหารจัดการด้านความมั่นคงปลอดภัยตั้งแต่ขั้นการออกแบบ ประสานงานและติดตามสถานะของความมั่นคงปลอดภัยของระบบที่เกี่ยวกับหน้าที่งานนั้น
- ระบบต้องมีการวิเคราะห์และจัดทำเป็นเอกสารเกี่ยวกับโครงสร้างที่มีอยู่ของทรัพย์สินที่เป็นเทคโนโลยีสารสนเทศในองค์กร
- ระบบต้องได้รับการประเมินถึงมาตรการและระบบบริหารจัดการด้านความมั่นคงปลอดภัยเดิมที่ได้จัดทำไว้แล้วนั้น ว่ามีประสิทธิภาพเพียงพอและเหมาะสมแล้วหรือยัง
- องค์กรต่างๆ สามารถนำโครงสร้างของเครือข่ายที่มีความมั่นคงปลอดภัย ซึ่งได้ออกแบบไว้เหมาะสมแล้วตามคู่มือนี้ มาเป็นแนวทางในการจัดทำเครือข่ายขององค์กร
- ระบบต้องได้รับการดำเนินการปรับปรุงแก้ไขกรณีที่พบว่ามาตรการหรือแนวทางการรักษาความมั่นคงปลอดภัยเหล่านั้นไม่เพียงพอหรือมีการดำเนินการบางอย่างที่ยังไม่รัดกุม เป็นต้น
10. มาตรฐาน PRINCE2
PRINCE2 เป็นเครื่องมือที่ได้รับการพัฒนาขึ้นเพื่อเป็นการช่วยให้ผู้มีหน้าที่เป็น Project Managerสามารถทำงานได้สะดวกขึ้น เครื่องมือนี้จะรวมสภาวะแวดล้อมทางธุรกิจที่เกี่ยวข้องกับการจัดทำโครงการด้านเทคโนโลยีสารสนเทศที่หลากหลาย และสามารถแจกแจงออกมาเป็นกิจกรรมที่ต้องกระทำ เพื่อช่วยในการบริหารจัดการโครงการด้านไอที ให้สามารถดำเนินการได้อย่างมีประสิทธิภาพและประสิทธิผล และสิ่งที่เครื่องมือ PRINCE2 นี้ได้รวบรวมไว้นั้นเป็นกิจกรรมที่เป็นพื้นฐานและสามารถปรับแต่งให้เหมาะสมกับเงื่อนไขต่างๆ ตามการบริหารจัดการโครงการได้
อาจกล่าวได้ว่า ผู้บริหารที่ใช้เครื่องมือนี้ จะสามารถบริหารโครงการได้สัมฤทธิผลอย่างแน่นอนอย่างไรก็ดีเครื่องมือดังกล่าวแม้จะได้รับการยอมรับว่าเป็นเครื่องมือที่ใช้กันจนเป็นที่นิยมและเกือบจะกลายเป็นมาตรฐานของการบริหารจัดการโครงการด้านไอทีไปแล้วก็ตามแต่ก็ไม่ได้ประกาศให้เป็นมาตรฐานที่ทุกองค์กรควรต้องนำไปใช้เนื่องด้วยข้อจำกัดในการประยุกต์ให้เหมาะสมกับองค์กรซึ่งบางองค์กรที่มีขนาดใหญ่ก็จะสามารถใช้งานเครื่องมือนี้ได้อย่างคุ้มค่า แต่หากไม่ใช่องค์กรขนาดใหญ่ก็อาจไม่คุ้มที่จะนำเครื่องมือนี้ไปประยุกต์ใช้
สำหรับเครื่องมือ PRINCE2 ได้จัดพิมพ์เผยแพร่เป็นครั้งแรกโดย the Central Computer and Telecommunications Agency (CCTA) และได้รับการนำไปพัฒนาต่อโดย British Office of Government Commerce (OGC) และตีพิมพ์เป็นภาษาอังกฤษเท่านั้น
บทสรุป
การบริหารจัดการความเสี่ยงทางด้านเทคโนโลยีสารสนเทศเป็นสิ่งที่จำเป็นอย่างยิ่ง ในการปกป้องระบบสารสนเทศและข้อมูลสำคัญ ซึ่งเป็นสินทรัพย์อันมีค่ายิ่งขององค์กร เพื่อใช้ในการดำเนินภารกิจ การประเมินความเสี่ยงเป็นขั้นตอนที่สำคัญในการบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศ เนื่องจากจะเป็นตัวชี้นำในการกำหนดนโยบายและกำหนดแผนการดำเนินงานเพื่อความปลอดภัยของสารสนเทศและข้อมูลสำคัญ ดังนั้น องค์กรจึงมีความจำเป็นจะต้องมีกระบวนในการบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศที่เหมาะสมและได้มาตรฐาน เพื่อป้องกันความเสียหายที่อาจจะเกิดขึ้นได้จากความเสี่ยง ซึ่งอาจส่งผลกระทบต่อระบบสารสนเทศได้ และเพื่อประสิทธิภาพในการดำเนินภารกิจขององค์กรให้บรรลุผลสำเร็จ
เอกสารอ้างอิง
1.http://www.siroros.com/CMU_M_IT/it_risk_management_july_2006.pdf
2.www.auditddc.org/images/1148885564/RM.P1.ppt
3.http://www.thaicert.nectec.or.th/paper/basic/COBIT_mapping_revised2.pdf
4.http://www.thaiadmin.org/board/index.php?action=dlattach;topic=53885.0;attach=32552
ไม่มีความคิดเห็น:
แสดงความคิดเห็น