ความเสี่ยง คือ โอกาสที่ภัยคุกคามหรือเหตุการณ์บางอย่างอาจจะเกิดขึ้นและส่งผลกระทบเชิงลบต่อเป้าหมายในการดำเนินธุรกิจขององค์กร
ความเสี่ยงมีอยู่ทั่วไปทุกหนแห่ง
บางครั้งเราสามารถสังเกตเห็นมันได้อย่างชัดเจน
แต่บ่อยครั้งที่ความเสี่ยงนั้นแอบแฝงอยู่อย่างเงียบเชียบจนเราเองก็ไม่สามารถคาดเดาได้
ดังนั้น องค์กรที่สามารถบริหารจัดการความเสี่ยงให้อยู่ในระดับที่องค์กรสามารถยอมรับได้
(Acceptable Level) จึงมีแนวโน้มที่จะประสบความสำเร็จในการดำเนินธุรกิจ
และบรรลุวัตถุประสงค์ที่กำหนดไว้ได้มากกว่า
บทความในครั้งนี้จะกล่าวถึงกระบวนการบริหารจัดการความเสี่ยง
โดยมุ่งเน้นไปยังความเสี่ยงที่มีต่อความมั่นคงปลอดภัยของข้อมูลขององค์กรเป็นหลัก
ซึ่งจะพิจารณาผลกระทบของความเสี่ยงที่มีต่อความลับ (Confidentiality), ความถูกต้องครบถ้วน
(Integrity), และ ความพร้อมใช้งาน (Availability) ซึ่งเป็นองค์ประกอบสำคัญของความมั่นคงปลอดภัยของข้อมูล
ขั้นตอนที่ 1 : การกำหนดขอบเขตและบริบท – องค์กรจะต้องกำหนดขอบเขต
วัตถุประสงค์ เงื่อนไข และบริบทต่างๆ ที่เกี่ยวข้องในการบริหารจัดการความเสี่ยง
ขั้นตอนที่ 2 : การระบุทรัพย์สิน – ก่อนที่จะทำการประเมินความเสี่ยง
องค์กรจะต้องรู้ว่ามีทรัพย์สินใดๆ ที่เกี่ยวข้องอยู่ในขอบเขตที่กำหนดไว้บ้าง เช่น
มีข้อมูลอะไรบ้าง ถูกเก็บรักษาไว้ในสื่อรูปแบบใดบ้าง
ถูกประมวลผลและส่งผ่านอุปกรณ์หรือเครือข่ายใดบ้าง อยู่ในความดูแลของบุคคลใดบ้าง
เป็นต้น
ขั้นตอนที่ 3 : การระบุภัยคุกคาม – การพิจารณาว่ามีภัยคุกคามใดบ้าง
ที่สามารถสร้างความเสียหายต่อทรัพย์สินในขอบเขตที่เรากำหนดไว้ ขั้นตอนที่ 4 : การระบุจุดอ่อนและมาตรการควบคุมที่มีอยู่ – การพิจารณาว่าองค์กรมีการใช้มาตรการใดอยู่แล้วบ้างในการป้องกันหรือรับมือกับภัยคุกคาม ในขณะเดียวกัน องค์กรยังขาดมาตรการใดหรือมีจุดอ่อนใดหลงเหลืออยู่
ขั้นตอนที่ 5 : การประเมินค่าผลกระทบและโอกาส – องค์กรจะต้องคำนวณหาค่าที่แสดงถึงผลกระทบและโอกาสที่ภัยคุกคามแต่ละอย่างจะเกิดขึ้น โดยอาศัยข้อมูลเชิงสถิติและข้อมูลแวดล้อมต่างๆ ประกอบการพิจารณา
ขั้นตอนที่ 6 : การประเมินระดับความเสี่ยง – องค์กรจะต้องใช้ค่าที่ได้จากการคำนวณข้างต้นมากำหนดเป็นระดับความเสี่ยง รวมถึงมีการหารือตกลงกันว่าองค์กรจะกำหนดเกณฑ์ในการยอมรับความเสี่ยงไว้ที่ระดับใด
ขั้นตอนที่ 7 : การแก้ไขความเสี่ยง – หากระดับความเสี่ยงมีค่าสูงกว่าเกณฑ์ที่ได้กำหนดไว้ องค์กรจะต้องพิจารณาหามาตรการในการควบคุมหรือปรับปรุงความเสี่ยงมาใช้งาน เพื่อลดค่าของความเสี่ยงนั้นให้ได้ตามเกณฑ์
ขั้นตอนที่ 8 : การสื่อสารและทบทวนความเสี่ยง – องค์กรจะต้องสื่อสารให้ผู้ที่เกี่ยวข้องรับทราบถึงความเสี่ยง และหมั่นทบทวนทรัพย์สิน สภาพแวดล้อม ความเปลี่ยนแปลง และองค์ประกอบอื่นๆ อยู่เสมอ
No comments:
Post a Comment
Note: Only a member of this blog may post a comment.