Wednesday, September 17, 2014

การบริหารจัดการความเสี่ยงด้านความมั่นคงปลอดภัยของข้อมูลตามมาตรฐาน ISO 27001:2013

การบริหารจัดการความเสี่ยงด้านความมั่นคงปลอดภัยของข้อมูลตามมาตรฐาน ISO 27001:2013


ความเสี่ยง คือ โอกาสที่ภัยคุกคามหรือเหตุการณ์บางอย่างอาจจะเกิดขึ้นและส่งผลกระทบเชิงลบต่อเป้าหมายในการดำเนินธุรกิจขององค์กร


ความเสี่ยงมีอยู่ทั่วไปทุกหนแห่ง บางครั้งเราสามารถสังเกตเห็นมันได้อย่างชัดเจน แต่บ่อยครั้งที่ความเสี่ยงนั้นแอบแฝงอยู่อย่างเงียบเชียบจนเราเองก็ไม่สามารถคาดเดาได้ ดังนั้น องค์กรที่สามารถบริหารจัดการความเสี่ยงให้อยู่ในระดับที่องค์กรสามารถยอมรับได้ (Acceptable Level) จึงมีแนวโน้มที่จะประสบความสำเร็จในการดำเนินธุรกิจ และบรรลุวัตถุประสงค์ที่กำหนดไว้ได้มากกว่า

บทความในครั้งนี้จะกล่าวถึงกระบวนการบริหารจัดการความเสี่ยง โดยมุ่งเน้นไปยังความเสี่ยงที่มีต่อความมั่นคงปลอดภัยของข้อมูลขององค์กรเป็นหลัก ซึ่งจะพิจารณาผลกระทบของความเสี่ยงที่มีต่อความลับ (Confidentiality), ความถูกต้องครบถ้วน (Integrity), และ ความพร้อมใช้งาน (Availability) ซึ่งเป็นองค์ประกอบสำคัญของความมั่นคงปลอดภัยของข้อมูล




ขั้นตอนที่ 1 : การกำหนดขอบเขตและบริบท องค์กรจะต้องกำหนดขอบเขต วัตถุประสงค์ เงื่อนไข และบริบทต่างๆ ที่เกี่ยวข้องในการบริหารจัดการความเสี่ยง
ขั้นตอนที่ 2 : การระบุทรัพย์สิน ก่อนที่จะทำการประเมินความเสี่ยง องค์กรจะต้องรู้ว่ามีทรัพย์สินใดๆ ที่เกี่ยวข้องอยู่ในขอบเขตที่กำหนดไว้บ้าง เช่น มีข้อมูลอะไรบ้าง ถูกเก็บรักษาไว้ในสื่อรูปแบบใดบ้าง ถูกประมวลผลและส่งผ่านอุปกรณ์หรือเครือข่ายใดบ้าง อยู่ในความดูแลของบุคคลใดบ้าง เป็นต้น
ขั้นตอนที่ 3 : การระบุภัยคุกคาม การพิจารณาว่ามีภัยคุกคามใดบ้าง ที่สามารถสร้างความเสียหายต่อทรัพย์สินในขอบเขตที่เรากำหนดไว้ 
ขั้นตอนที่ 4 : การระบุจุดอ่อนและมาตรการควบคุมที่มีอยู่ การพิจารณาว่าองค์กรมีการใช้มาตรการใดอยู่แล้วบ้างในการป้องกันหรือรับมือกับภัยคุกคาม ในขณะเดียวกัน องค์กรยังขาดมาตรการใดหรือมีจุดอ่อนใดหลงเหลืออยู่
ขั้นตอนที่ 5 : การประเมินค่าผลกระทบและโอกาส องค์กรจะต้องคำนวณหาค่าที่แสดงถึงผลกระทบและโอกาสที่ภัยคุกคามแต่ละอย่างจะเกิดขึ้น โดยอาศัยข้อมูลเชิงสถิติและข้อมูลแวดล้อมต่างๆ ประกอบการพิจารณา
ขั้นตอนที่ 6 : การประเมินระดับความเสี่ยง องค์กรจะต้องใช้ค่าที่ได้จากการคำนวณข้างต้นมากำหนดเป็นระดับความเสี่ยง รวมถึงมีการหารือตกลงกันว่าองค์กรจะกำหนดเกณฑ์ในการยอมรับความเสี่ยงไว้ที่ระดับใด 
ขั้นตอนที่ 7 : การแก้ไขความเสี่ยง หากระดับความเสี่ยงมีค่าสูงกว่าเกณฑ์ที่ได้กำหนดไว้ องค์กรจะต้องพิจารณาหามาตรการในการควบคุมหรือปรับปรุงความเสี่ยงมาใช้งาน เพื่อลดค่าของความเสี่ยงนั้นให้ได้ตามเกณฑ์
ขั้นตอนที่ 8 : การสื่อสารและทบทวนความเสี่ยง องค์กรจะต้องสื่อสารให้ผู้ที่เกี่ยวข้องรับทราบถึงความเสี่ยง และหมั่นทบทวนทรัพย์สิน สภาพแวดล้อม ความเปลี่ยนแปลง และองค์ประกอบอื่นๆ อยู่เสมอ

Content Cr: DestinationOne Counselor

No comments:

Post a Comment

Note: Only a member of this blog may post a comment.