ความเส่ียง ?
ความเสี่ยงคอื อะไร ? ความเส่ียง (Risk) คอื ความไม่แน่นอน
การบริหารความเสี่ยง การบริหาร ความไม่แน่นอน โดยลดสาเหตุของแต่ละโอกาสทจี่ ะทาให้ เกดิ ความเสียหาย เพอ่ื ควบคุมระดบั ของความเส่ียง และผลกระทบทจี่ ะเกดิ ขนึ้ ใน อนาคต ให้อยู่ในระดบั ทส่ี ามารถยอมรับได้
ระดบั ความเส่ียง?
ประเภทความเสี่ยงด้านระบบสารสนเทศ 1.ความเส่ียงด้านกายภาพและสิ่งแวดล้อม 2.ความเสี่ยงด้านบุคลากร (People ware) 3.ความเส่ียงด้านอปุ กรณ์เทคโนโลยสี ารสนเทศ (Hardware) 4.ความเสี่ยงด้านโปรแกรมคอมพวิ เตอร์ (Software) 5.ความเสี่ยงด้านระบบข้อมูล 6.ความเส่ียงด้านกลยุทธ์ (Strategic Risk) 7.ความเสี่ยงด้านการเงิน (Financial Risk)
ความเส่ียงด้านกายภาพและส่ิงแวดล้อม ? วาตภยั อุทกภยั ฟ้ าผ่า นา้ ท่วม กระแสไฟฟ้ าขดั ข้อง เพลงิ ไหม้ การไม่มรี ะบบรักษา ความปลอดภยั ห้องคอมพวิ เตอร์แม่ข่าย และการก่อการร้ายเป็ นต้น
การบริหารความเส่ียง จดั ทาห้อง server ให้ได้มาตรฐาน จดั ทาระบบไฟฟ้ าให้ได้มาตรฐาน ติดต้งั เครื่องจดั ความร้อน/ควันไฟ ติดต้งั ระบบสแกนก่อนเข้าห้อง server จัดทาระบบสารองข้อมูล
ความเส่ียงด้านบุคลากร (People ware) ในหน่วยงานคนมคี วามรู้ งานรวมอยู่ทคี่ น ๆ เดยี ว เพยี งคนเดยี ว มากเกนิ ไป People ware คนในองค์กรไม่มอี งค์ ไม่มีแผนสารองด้าน ความรู้ กาลงั คน
การบริหารความเส่ียง 55% 75% 35% 90% ผงั องค์กร/เกลย่ี จดั อบรม จ้างทป่ี รึกษา จัดทาคู่มือ
ความเสี่ยงด้านอปุ กรณ์เทคโนโลยสี ารสนเทศ (Hardware) ความผดิ พลาดของอปุ กรณ์ ความเส่ือมสภาพของอปุ กรณ์ตามกาลเวลา การติดต้งั ในพนื้ ที่ไม่เหมาะสม ความเสียหายของอปุ กรณ์ทเี่ กดิ ขนึ้ กะทนั หัน
การบริหารความเส่ียง ถอด/สารอง/ตรวจ/ซ่อม ตรวจเช็ค ซ่อมบารุง อปุ กรณ์ ตามรอบ ถอดปลกั๊ เมอ่ื สารอง เลกิ ใช้ อปุ กรณ์
ความเส่ียงด้านโปรแกรมคอมพวิ เตอร์ (Software) โปรแกรมทางาน การใช้โปรแกรม โปรแกรมติด การถูก HACK ผดิ พลาด ทลี่ ะเมดิ ลขิ สิทธ์ิ ไวรัส
อาการของเครื่องตดิ ไวรัส
การแก้ไขไวรัส ตดิ ต้งั โปรแกรม/อพั เดท ไม่โหลด/ไม่เข้า เวบ็ ทไี่ ม่น่าเช่ือถอื
การบริหารความเสี่ยง ตดิ ต้งั Firewall ใช้ software จาก ส่ วนกลาง ตดิ ต้งั Antivirus ใช้ software ถูก ลขิ สิทธ์ิ
ความเสี่ยงด้านระบบข้อมูล ฐานข้อมูลได้รับความเสียหาย การลกั ลอบเข้ามาแก้ไขเปลย่ี นแปลงข้อมูล การโจรกรรมข้อมูลทส่ี าคญั
การบริหารความเสี่ยง การยนื ยนั หรือพสิ ูจน์ตัวตน วางแผนการซ้อมก้รู ะบบ ทาแผนการสารองและการก้คู นื ระบบเป็ นเอกสาร การกาหนดรหัสผ่านการใช้งาน สารองข้อมูล/ทดสอบการใช้ข้อมูล
ความเส่ียงด้านกลยุทธ์ (Strategic Risk) Contents Here ผู้บริหาร Easy to change colors, การเปลยี่ นแปลงผู้บริหาร photos and Text. หน่วยงาน นโยบาย Contents Here การเปลย่ี นแปลงนโยบาย Easy to change colors, photos and Text.
การบริหารความเส่ียง สื่อสารกบั ผู้บริหารให้ชัดเจนเพอื่ นามาจดั ทาแผน ปรับแผนให้สอดคล้องกบั นโยบายทุก 3-6 เดอื น
ความเสี่ยงด้านการเงนิ (Financial Risk)? 01 งบประมาณไม่เพยี งพอ เบกิ จ่ายงบประมาณไม่ทัน 02 03 ค่าใช้จ่ายกะทันหัน ตามกาหนดเวลา
การบริหารความเสี่ยง 01 จดั ทาแผนบริหารจัดการการใช้ จดั ทาแผนการบริหารความ 02 จ่ายงบประมาณ เปลยี่ นแปลง เช่น ค่าอุปกรณ์ เพม่ิ สูงขนึ้ เปลยี่ นเทคโนโลยี ตดิ ตามการใช้งบประมาณ เปลยี่ นระบบปฏิบัตใิ หม่ รายจ่ายอย่างต่อเน่ือง 03 จดั ทาแผนงบประมาณระยะส้ัน 04 – กลาง - ยาว
ข้นั ตอนการบริหารความเส่ียง
การค้นหาและประเมนิ
ค้นหาความเส่ียง
ค้นหาความเส่ียง
ค้นหาความเส่ียง
ประมาณความเส่ียง
ประมาณความเส่ียง
ตวั อย่างแบบประเมนิ ความเส่ียง
ตวั อย่างการประเมนิ ความเส่ียง
ตวั อย่างการประเมนิ ความเส่ียง
ตวั อย่างการประเมนิ ความเส่ียง
ตวั อย่างการประเมนิ ความเส่ียง
เกณฑ์การประเมนิ ความเส่ียง
การประเมนิ ความเส่ียง
ผลการประเมินความเส่ียง
ผลการประเมินความเส่ียง
ผลการประเมินความเส่ียง
รายงานสรุปผลการวเิ คราะห์ความเส่ียง
รายงานสรุปผลการวเิ คราะห์ความเส่ียง
วางแผนจัดการความเส่ียง กลยุทธ์ในการ การลดความเสี่ยง จดั การความเส่ียง การโอนยา้ ยความเส่ียง การหลีกเลี่ยงความเสี่ยง การยอมรับความเส่ียง
วางแผนจัดการความเส่ียง 1. การลดความเส่ียง (Loss Reduction = LR ) ได้แก่ การมีมาตรการควบคุมมากขนึ้ หรือเข้มงวดมากขนึ้ เพอ่ื ลดความเสี่ยง เช่น การใช้ชีวมาตร (biometrics) เพอื่ ใช้ในการพสิ ูจน์ตัวจริงนอกเหนือไปจากการใช้ id/ password ทม่ี ีอยู่เดิม 2. การโอนย้ายความเสี่ยง ( Risk Transfer = RF ) ได้แก่ อปุ กรณ์เครือข่ายเมือ่ ซื้อมาแล้วมีระยะประกนั เพยี ง 1 ปี เพอื่ เป็ นการรับมอื ในกรณที อี่ ุปกรณ์เครือข่าย ไม่ทางาน องค์กรอาจเลอื กซื้อประกนั หรือ สัญญาการบารุงรักษาหลงั ขาย (Maintenance service)
วางแผนจดั การความเส่ียง 3. การหลกี เลย่ี งความเส่ียง ( Risk Avoidance = RA ) ได้แก่ เมอื่ พบว่ามีการสารองข้อมูลเพยี ง 1 ชุดเพมิ่ เป็ นการสารองข้อมูล 2 ชุด และแยกเกบ็ ในสถานทต่ี ่างกนั การบริหารจัดการการเช่ือมโยงสู่ระบบเครือข่าย 4. การยอมรับความเสี่ยง ( Risk acceptance = RC ) เป็ นการยอมรับในความเสี่ยงโดยไม่ทาอะไร และ ยอมรับในผลทอ่ี าจตามมา เช่น การพสิ ูจน์ตัวจริงเพยี งใช้ id/ password มีความเสี่ยงเพราะอาจมกี ารขโมย ไปใช้ได้ การให้มใี ช้ชีวมาตร (biometrics) เช่น การตรวจลายนิว้ มอื หรือม่านตา อาจมคี ่าใช้จ่ายสูงไม่คุ้มค่า
ตวั อย่างการวางแผนการจดั การความเส่ียง
ตวั อย่างการวางแผนการจดั การความเส่ียง
การดาเนินงานจัดการความเสี่ยง (แผน) จากการจดั การความเสี่ยง สามารถนามาจดั ทาแผนปฏบิ ตั ิบริหารความเส่ียงด้าน เทคโนโลยสี ารสนเทศโดยมหี น่วยงานรับผดิ ชอบคอื กล่มุ งานสารสนเทศ ระยะเวลา ดาเนินการระหว่างเดอื น ตุลาคม 2561 – 2563 มที ้งั แผนระยะส้ัน-กลางและยาว
ตวั อย่างแผนปฏิบตั กิ ารบริหารความเส่ียงด้านเทคโนโลยสี ารสนเทศ
ตวั อย่างแผนปฏิบตั กิ ารบริหารความเส่ียงด้านเทคโนโลยสี ารสนเทศ
พรบ.ข้อมูลส่วนบุคคล ปี 62
พรบ.ข้อมูลส่วนบุคคล ปี 62
Search
Read the Text Version
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
- 33
- 34
- 35
- 36
- 37
- 38
- 39
- 40
- 41
- 42
- 43
- 44
- 45
- 46
- 47
- 48
- 49
- 50
- 51
- 52
- 53
- 54
- 55
- 56
- 57
- 58
- 59
- 60
- 61
- 62
- 63
- 64
- 65
- 66
- 67
- 68
- 69
- 70
- 71
- 72
- 73
- 74
- 75
- 76
- 77
- 78
- 79
- 80
- 81
- 82
- 83
- 84
- 85
- 86
- 87
- 88
- 89
- 90
- 91
- 92
- 93
- 94
- 95
- 96
- 97
- 98
- 99
- 100
- 101
- 102
- 103
- 104
- 105
