SlideShare ist ein Scribd-Unternehmen logo

IT Risk Assessment

Banyong Jandragholica
Banyong Jandragholica

IT Risk Assessment

Technologie
1 von 37
Downloaden Sie, um offline zu lesen
Risk Assessment : RA
Risk Assessment : RA Information Security Information Risk
การประเมิ น ความเสี่ ยงเป็ น กระบวนการแรกในวธการบรหาร กระบวนการแรกในวิธีการบริ หาร จั ด ก า ร ค ว า ม เ สี่ ย ง ใ น ก า ร ตรวจสอบขอบเขตของความเสยง ตรวจสอบขอบเขตของความเสี่ยง แ ล ะ ภั ย คุ ก ค า ม ที่ ผ ล ที่ ไ ด้ จ า ก กระบวนการจะชวยใหสามารถหา กระบวนการจะช่ วยให้ สามารถหา วิธี การควบคุ ม ที่เหมาะสมสําหรั บ การลดหรอกาจดความเสยงท่ การลดหรื อกํ า จั ด ความเสี่ ยงที เกิดขึน้
สามารถแบ่ งออกเป็ น 9 ขันตอนดังนี ้ ้ 1. การอธบายลกษณะของระบบ 1 การอธิบายลักษณะของระบบ (System Characterization) 2. การบงชภยคุกคาม (Threat Identification) 2 ่ ชี ้ ั (Th Id ifi i ) 3. การบ่ งชีความไม่ ม่ ันคง (Vulnerability Identification) ้ 4. การวิเคราะห์์ การควบคุม (Control Analysis) 5. การตรวจสอบโอกาสในการเกิดภัยคุกคาม (Likelihood Determination)
สามารถแบ่ งออกเป็็ น 9 ขันตอนดังนี ้ ้ 6. การวิเคราะห์ ผลกระทบ (Impact Analysis) 7. การตรวจสอบความเสี่ยง (Risk Determination) 8. การเสนอวิธีการควบคม (Control Recommendations) การเสนอวธการควบคุม 9. การทําเอกสารสรุ ปผล (Result Documentation)
การระบุของเขตในการพิจารณาจะต้ องคํานึงถึงจํานวน ทรพยากรและขอมูลขาวสารทมอยูในระบบ จะตองกาหนด ทรั พยากรและข้ อมลข่ าวสารที่มีอย่ จะต้ องกําหนด ขอบเขตในการประเมินความเสี่ยง จําแนกขอบเขตการให้ สิิทธิิในการทํางาน และเตรีี ยมข้้ อมูลที่ มีผลต่่ อความเสี่ ียง ํ ี 1.ข้ อมูลที่สัมพันธ์ กับระบบ (System-Related Information) 2.เทคนิคการรวบรวมข้ อมููล (Information-Gathering Techniques)
ข้ อมูลที่สัมพันธ์ กับระบบ (System-Related Information) • อุปกรณฮารดแวร อปกรณ์ ฮาร์ ดแวร์ • ซอฟแวร์ • การเชื่อมต่ อระบบทังภายในและภายนอก การเชอมตอระบบทงภายในและภายนอก ้ • ระบบข้ อมูลและข่ าวสาร • บุคคลผู้ ท่ ดูแลและใช้้ งานระบบ ี ใ • พันธกิจของระบบ เช่ น กระบวนการที่ทาโดยระบบ ํ ข้ อมูลสารสนเทศ
ข้ อมูลที่สัมพันธ์ กับระบบ (System-Related Information) •ความสาคญของขอมูลและระบบ เชน คุณคาของระบบ •ความสําคัญของข้ อมลและระบบ เช่ น คณค่ าของระบบ หรื อความสําคัญที่มีต่อองค์ กร • ระดัับการปกปองข้้ อมูลและระบบ ป ป ้
เทคนิคการรวบรวมข้ อมูล(Information-Gathering Techniques) • ส่ วนแบบสอบถาม (Questionnaire) ในการรวบรวมข้ อมลที่ สวนแบบสอบถาม ในการรวบรวมขอมูลท เกี่ยวข้ อง ผู้ท่ ทาการประเมินความเสี่ยงสามารถปรับปรุ ง ี ํ แบบสอบถาม • ส่ วนการสัมภาษณ์ ตามสถานที่จริง (On-site Interviews) การสมภาษณบุคคลทมหนาทดูแลหรื อบริหารระบบข้ อมล การสัมภาษณ์ บคคลที่มีหน้ าที่ดแลหรอบรหารระบบขอมูล สารสนเทศทําให้ ผ้ ูประเมินความเสี่ยงสามารถรวบรวมข้ อมูลที่มี
ภัยคุกคาม คือ สิ่งที่เป็ นไปได้ ท่ แหล่ งกําเนิดภัยคุกคาม ี จะกระทาตอสงทไมมความมนคง จะกระทําต่ อสิ่งที่ไม่ มีความมั่นคง ความไม่ ม่ ันคงคือความอ่ อนแอของสิ่งหนึ่งทําให้ ได้ รับ ผลกระทบจากภายนอกไดงาย ไ ้่ การบ่ งชีแหล่ งกําเนิดภัยคุกคาม (Threat-Source Identification) ้ เปาหมายของขันตอนนีคือ ระบุแหล่ งกําเนิดของภัยคุกคาม ้ ้ ้ และประมวลผลเป็ นรายชื่อภัยคุุกคามที่มีผลต่ อระบบข้ อมููล สามารถแบ่ งออกเป็ น 3 ประเภทดังนี ้
ประเภทแรก ภัยคุกคามโดยธรรมชาติ (Natural Threats) เช่่ น นํําท่่ วม แผ่่ นดินไหว พายุ เป็ นต้้ น ้ ิ ไ ป็ ประเภทสอง ภัยคุกคามโดยมนุษย์ (Human Threats) ทัง ้ การกระทําที่ เกิดจากความไม่ ตังใจและการกระทําผิดโดย ้ เจตนา ประเภทสาม ภัยคุกคามจากสภาพแวดล้ อม (Environment Threats) เช่ น ระบบไฟฟาขัดข้ อง มลภาวะ สารเคมีร่ ั วไหล เชน ระบบไฟฟาขดของ, มลภาวะ, สารเคมรวไหล ้ เป็ นต้ น
Natural  Threats Th Human  Threats Motivation and  Threat Actions Threat Actions Environment  Threats
การวิเคราะห์ ภยคุกคามที่มีต่อระบบข้ อมูลสารสนเทศ ั ตองมการวเคราะหความออนแอไมมนคงของสภาพแวด ต้ องมีการวิเคราะห์ ความอ่ อนแอไม่ ม่ ันคงของสภาพแวด ล้ อม ของระบบ เปาหมายของขันตอนนีคือการพัฒนา ้ ้ ้ รายการความไมมนคงของระบบที่ ทาใ ้ ไ ่ ่ั ี ํ ใหระบบมีีโอกาส ได้ รับภัยคุกคาม
ความไมมันคง ่ ่ แหลงกําเนิดภัยคุกคาม ่ ปฏิกรยาภัยคุกคาม ิ ิ (Vulnerability) (Threat‐Source) (Threat‐Action) ไมมีีการลบขอมูลของ พนกงานทหมดสภาพ ไ ่ ้ พนักงานที่หมดสภาพ การแอบเข้้ ามาดึงข้้ อมูล ึ พนักงานที่ออกจาก การเป็ นพนักงานของ สําคัญของบริษัทโดย บริษัทไปแล้ วจากระบบ บริษัท บรษทไปแลวจากระบบ ร การตอโมเดมเขามาใน การต่ อโมเดมเข้ ามาใน บริษัท ศนย์ กลางข้ อมลใช้ ระบบ ไฟ, บคคลที่เพิกเฉย ู ู ไฟ, บุคคลทเพกเฉย ระบบนาฉดพนทางาน ระบบนําฉีดพ่ นทํางาน ้ พ่ นนําเพื่อปองกันไฟไหม้ ไม่ ให้ ความใส่ ใจ ้ ้ เมื่อเกิดไฟไหม้ แต่ ไม่ มีอุปกรณ์ กันนํา ้ สําหรัับอุปกรณ์์ ไฟฟาและ ํ ้ เอกสารข้ อมูลต่ างๆ
เปาหมายของขันตอนนีเ้ พื่อวิเคราะห์ การควบคุมที่ ้ ้ องค์์ กรใช้้ อยู่หรืื อที่ วางแผนไว้้ เพื่ อลดหรืื อกําจัดโอกาสที่ ี ใ ี ไ ื ํ ั โ จะเกิดภัยคุกคาม ได้ 2 อย่ างคือ • วิธีการควบคุม (Control Method) • ประเภทของการควบคุุม (Control Category)
วิธีการควบคุม (Control Method) การควบคุมการรั กษา ความปลอดภัยอาศัยวิธีการควบคุมทังเชิงเทคนิคและที่ไม่ ใช่ ้ เชิงเทคนิค การควบคมเชิงเ นคคือการปกปองระบบเกี่ยว บ ร ว ุมเ เทคนิ ร ้ ร เ วกั อุปกรณ์ ฮาร์ ดแวร์ ซอฟแวร์ ของเครื่ องคอมพิวเตอร์ เช่ น วธการเขารหสขอมูล วิธีการเข้ ารหัสข้ อมล การควบคุมที่ไม่ ใช่ เชิงเทคนิคคือการบริหารจัดการ และควบคุมการปฏิบตงานเช่่ น นโยบายรัั กษาความ ป ิ ั ิ โ ปลอดภัย
ประเภทของการควบคุม (Control Category) การควบคุม ทงเชงเทคนค และทไมใชเชงเทคนคถูกแบงประเภทได 2 ทังเชิงเทคนิค และที่ไม่ ใช่ เชิงเทคนิคถกแบ่ งประเภทได้ ้ ประเภทคือการควบคุมแบบปองกัน และการควบคุมแบบ ้ ตรวจจบ ั การควบคุมแบบปองกันมีจุดประสงค์ เพื่อไม่ ให้ เกิด ้ ความไม่ ปลอดภัยกับระบบ การควบคุุมแบบตรวจจับมีจุดประสงค์ เพื่อแจ้ งให้ ทราบว่ าเกิดความไม่ ปลอดภัยขึนบนระบบ ้
การวดระดบโอกาสทจะเกดความเสยงซงบงชถงความ การวัดระดับโอกาสที่จะเกิดความเสี่ยงซึ่งบ่ งชีถงความ ้ึ เป็ นไปได้ ท่ ระบบจะไม่ มีความมั่นคงสามารถทําได้ เมื่ออยู่ใน ี สภาพแวดลอมทมภยคุกคาม ปั ั ่ ี ้ ิ ส ้ ่ี ี ั ปจจยทตองพจารณาไดแก่ ไ ้ • ความสามารถของแหล่ งกําเนิดภัยคุกคามในการ ก่ อให้ เกิดความเสี่ ยง • ธรรมชาติของความไม่ ม่ ันคงที่ก่อให้ เกิดความเสี่ยง • ความมีประสิทธิภาพของวิธีการควบคุมที่มีอยู่
ระดบสูง หมายถง แหลงกาเนดภยคุกคามมความสามารถ ระดับสง หมายถึง แหล่ งกําเนิดภัยคกคามมีความสามารถ สูงในการกระตุ้นและก่ อให้ เกิดความเสี่ยงต่ อระบบและวิธีการ ควบคุมทมอยู มมประสทธภาพ ควบคมที่มีอย่ ไม่ มีประสิทธิภาพ ระดับปานกลาง หมายถึง แหล่ งกําเนิดภัยคุกคามมีความ สามารถพอ ที่จะก่ อให้ เกิดความเสี่ยงต่ อระบบได้ แต่ ระบบมี การควบคุมที่มีประสิทธิ ภาพทําให้ สามารถปองกันระบบจาก ้ ความไม่ ม่ ันคงที่เกิดขึน ้
ระดับตํ่า หมายถึง แหล่ งกําเนิดภัยคุุกคามไม่ สามารถ สร้ างความเสี่ยงให้ แก่ ระบบได้ หรื อวิธีการควบคุมความ ปลอดภัยของระบบมีประสิทธิภาพสููง สามารถรั กษาความ มั่นคงของระบบได้ ดี
การวัดระดับความเสี่ยงคือการตรวจสอบผลกระทบต่ อ ระบบเมื่ ือเกิดภยคุกคามขึน กอนที่ จะเริ่ ิมวิเคราะห์ ิ ั ึ้ ่ ี ิ ผลกระทบ ทัง 3 ด้ าน ้ • พันธกิจของระบบ (System mission) • ความสําคัญของระบบและข้ อมููล (System and data criticality) • ความไวต่ อการเปลี่ยนแปลงของระบบและข้ อมล ความไวตอการเปลยนแปลงของระบบและขอมูล (System and data sensitivity)
ผลกระทบระดับสูง หมายถึง ความไม่ ม่ ันคงของระบบ ส่ งผลให้ เกิดการสญเสียทรั พย์ สิน และทรั พยากรหลักของ ูญ องค์ กรจํานวนมาก หรื อเป็ นอันตรายร้ ายแรงต่ อพันธกิจ และองค์ กร ผลกระทบระดับปานกลาง หมายถึง ความไม่ ม่ ันคงของ ระบบส่ งผลให้้ เกิดการสูญเสีียทรััพย์์ สิน และทรััพยากรของ ใ ิ องค์ กร หรื อส่ งผลต่ อพันธกิจและองค์ กร
ผลกระทบระดับตํ่า หมายถึง ความไม่ ม่ ันคงของระบบ สงผลใหเกดการสูญเสยทรพยสนและทรพยากรขององคกร ส่ งผลให้ เกิดการสญเสียทรั พย์ สินและทรั พยากรขององค์ กร เล็กน้ อย หรื อส่ งผลต่ อพันธกิจหรื อชื่อเสียงขององค์ กรบ้ าง เลกนอย เล็กน้ อย
การตรวจสอบความเสี่ ย งจะพิ จ ารณาจากปั จจั ย จาก ขนตอนทผานมาไดแก โอกาสทภยคุ กคามทเกดขนทาให ขั นตอนที่ผ่านมาได้ แก่ โอกาสที่ภัยคกคามที่เกิด ขึน ทํา ให้ ้ ้ ระบบขาดความมั่ น คง, ระดั บ ผลกระทบหรื อ ความรุ น แรง ของภััยคุกคามที่ ีมีต่อระบบ และประสิิทธิิภาพของแผนการ ป ควบคุ ม ความปลอดภั ย ของระบบ โดยใช้ วิ ธี ม าตรฐาน เมตริกซ์ ระดับความเสี่ยง (Risk-Level Matrix)
วิธีมาตรฐานเมตริกซ์ ระดับความเสี่ยง (Risk-Level Matrix) โอกาสเกดความเสยง (Likelihood) กบ ความรุ นแรงของ โอกาสเกิดความเสี่ยง (Lik lih d) กับ ความรนแรงของ ความเสี่ยง (Impact)
โอกาสการเกิด ความรุ นแรงของความเสี่ยง (Impact) ความเสี่ยง ตา (10) ตํ่า ปานกลาง (50) สูง (100) สง (Likelihood) สูง (1.0) ตํํ่า ปานกลาง สูง 10 x 1.0 = 10 50 x 1.0 = 50 100 x 1.0 = 100 ปานกลาง (0.5) ตา ํ่ ปานกลาง ป ปานกลาง ป 10 x 0.5 = 5 50 x 0.5 = 25 100 x 0.5 = 50 ตํ่า (0.1) ตา ตํ่า ตา ตํ่า ตา ตํ่า 10 x 0.1 = 1 50 x 0.1 = 5 100 x 0.1 = 10
ระดับความเสี่ยง (Risk Level) แบ่ งเป็ น 3 ระดับ ระดับความเสี่ยงสง หมายถึงจําเป็ นต้ องได้ รับการแก้ ไข ู อย่ างเร่ งด่ วน ระบบที่ดาเนินอยู่อาจจะยังคงปฏิบัตงาน ํ ิ ตามปกติแต่ จะต้ องนําแผนการแก้ ไขมาใช้ ทนทีท่ เป็ นไปได้ ั ี ระดับความเสี่ยงปานกลาง หมายถึงควรมีการแก้ ไขและ แผนการควบคุมควรได้้ รับการปรัั บปรุ งแล้้ วนํํามาใช้้ ความเสี่ ียง ไ ป ป ใ เป็ นฟั งก์ ชันของโอกาสที่จะเกิดเหตุการณ์ ใดๆ ซึ่งก่ อให้ เกิดภัย คุกคามในระบบที่ มีความอ่่ อนแอในการปกปองกัับความรุ นแรง ใ ี ใ ป ป ้ ของผลกระทบที่จะเกิดขึนจากภัยคุกคามนัน ้ ้
ระดับความเสี่ยง (Risk Level) แบ่ งเป็ น 3 ระดับ ระดบความเสยงตา หมายถงระบบควรไดรบการตรวจสอบ ระดับความเสี่ยงตํ่า หมายถึงระบบควรได้ รับการตรวจสอบ เพื่อให้ แน่ ใจว่ าแผนการควบคุมที่มีอยู่จะสามารถแก้ ไขปั ญหาและ รบมอกบความเสยงได รั บมือกับความเสี่ยงได้
การควบคุมภายในองค์ กรช่ วยลดระดับความเสี่ยงที่จะ เกิดกับระบบข้ อมูลสารสนเทศ และข้ อมูลอื่ นๆขององค์์ กร ให้ อยู่ในระดับที่สามารถยอมรั บได้ การเสนอวิธีการควบคุม เป็ นผลจากกระบวนการประเมินความเสี่ยงและเป็ นการ เตรยมขอมูลสาหรบกระบวนการลดระดบความเสยง เตรี ยมข้ อมลสําหรั บกระบวนการลดระดับความเสี่ยง
เมื่อการประเมินความเสี่ยงเสร็จสมบูรณ์ แล้ ว ต้ องมี การรวบรวมข้ อมูลที่ เกี่ ยวข้ องทังหมดและจัดทําเอกสารสรุ ป ้ รายงานการประเมินความเสี่ยงเป็ นรายงานที่นําไปใช้ ร่วมกับ การบริหารจัดการ เพื่อประกอบการตัดสินใจต่ างๆของ องคกร องค์ กร
1. การศึกษาการบริหารจัดการความเสี่ยงในการพัฒนาระบบ ุ เทคโนโลยีสารสนเทศของธรกิจธนาคารไทย (ผาณิต ลิมเกียรติเชิดชู, วิทยาลัยนวัตกรรมอุดมศึกษา ้ มหาวิทยาลัยธรรมศาสตร์ , (2544)) ( )) 2 การศึกษาความเสี่ยงในโครงการเทคโนโลยีสารสนเทศ (Risk in Information Technology Project) gy j ) (จินตนา กองนิล,หลักสูตรวิทยาศาสตร์ มหาบัณฑิต สาขาวิชา เทคโนโลยีสารสนเทศสถาบันเทคโนโลยีพระจอมเกล้ าเจ้ าคุุณทหาร ลาดกระบัง, (2545))
การประเมินความเสี่ยงเป็ นขันตอนสําคัญที่เลี่ยงไม่ ได้ ้ ผลการวเคราะหความเสยงคอ ผลการวิเคราะห์ ความเสี่ยงคือ • ตัวชีนําในการกําหนดนโยบายและการดําเนินการด้ านความ ้ มนคงสารสนเทศ ถาไมทาการวเคราะหความเสยงใหเปน มั่นคงสารสนเทศ ถ้ าไม่ ทาการวิเคราะห์ ความเสี่ยงให้ เป็ น ํ ประจํา ตามระยะเวลาที่กาหนดไว้ องค์ กรก็ไม่ สามารถรู้ ได้ ว่า ํ ปญหามอะไรบาง ปั ญหามีอะไรบ้ าง
การประเมินความเสี่ยงเป็ นขันตอนสําคัญที่เลี่ยงไม่ ได้ ้ ผลการวเคราะหความเสยงคอ ผลการวิเคราะห์ ความเสี่ยงคือ • การกําหนดนโยบายความมั่นคง สารสนเทศโดยไม่ มีผลการ วเคราะหความเสยงชนา กเปนการนโยบายทไมมหลกการและ วิเคราะห์ ความเสี่ยงชีนํา ก็เป็ นการนโยบายที่ไม่ มีหลักการและ ้ ย่ อมไม่ ส่งผลดีต่อความมั่นคงสารสนเทศขององค์ กร องค์ กรที่ ดาเนนการดานสารสนเทศโดยไมมนโยบายความมนคง หรอม ดําเนินการด้ านสารสนเทศโดยไม่ มีนโยบายความมั่นคง หรื อมี เกิดความล้ มเหลวเพราะนโยบายไม่ มีส่ งชีนํา อาจนําไปสู่ระบบ ิ ้ สารสนเทศทไมสามารถดาเนนการไดโดยม สภาพพรอมใชงาน สารสนเทศที่ไม่ สามารถดําเนินการได้ โดยมี สภาพพร้ อมใช้ งาน บูรณการและการเก็บรกษาความลับที่เหมาะสม.
การประเมินความเสี่ยงเป็ นขันตอนสําคัญที่เลี่ยงไม่ ได้ ้ ผลการวเคราะหความเสยงคอ ผลการวิเคราะห์ ความเสี่ยงคือ • ระบบสารสนเทศที่มีอาจส่ งผลให้ เกิด ความเสียหายด้ านความ ปลอดภยตอชวตและทรพยสนของผู ส่วนได้ เสีย อีกทังอาจเป็ น ปลอดภัยต่ อชีวตและทรั พย์ สินของผ้ มีสวนไดเสย อกทงอาจเปน ิ ้ สาเหตุท่ ทาให้ เกิด ภาวะเสี่ยงต่ อการฟองร้ องดําเนินคดีได้ . ื ํ ้
Q & A
Thank You…  Security Group

Empfohlen

Ch12 records management
Ch12 records managementCh12 records management
Ch12 records managementxtin101
 
Demystifying Healthcare Data Governance
Demystifying Healthcare Data GovernanceDemystifying Healthcare Data Governance
Demystifying Healthcare Data GovernanceHealth Catalyst
 
Why RWE Matters to Payers: Incorporating RWE in Health Economic Analysis to M...
Why RWE Matters to Payers: Incorporating RWE in Health Economic Analysis to M...Why RWE Matters to Payers: Incorporating RWE in Health Economic Analysis to M...
Why RWE Matters to Payers: Incorporating RWE in Health Economic Analysis to M...Office of Health Economics
 
EU's General Data Protection Regulation (GDPR)
EU's General Data Protection Regulation (GDPR)EU's General Data Protection Regulation (GDPR)
EU's General Data Protection Regulation (GDPR)Kimberly Simon MBA
 
Data Governance
Data GovernanceData Governance
Data GovernanceAxis Technology, LLC
 
Fundamentals of Database ppt ch03
Fundamentals of Database ppt ch03Fundamentals of Database ppt ch03
Fundamentals of Database ppt ch03Jotham Gadot
 
HIPAA Basics by Brian Fleetham
HIPAA Basics by Brian FleethamHIPAA Basics by Brian Fleetham
HIPAA Basics by Brian FleethamAtlantic Training, LLC.
 
Information Security It's All About Compliance
Information Security It's All About ComplianceInformation Security It's All About Compliance
Information Security It's All About ComplianceDinesh O Bareja
 

Empfohlen

Ch12 records management
Ch12 records managementCh12 records management
Ch12 records managementxtin101
 
Demystifying Healthcare Data Governance
Demystifying Healthcare Data GovernanceDemystifying Healthcare Data Governance
Demystifying Healthcare Data GovernanceHealth Catalyst
 
Why RWE Matters to Payers: Incorporating RWE in Health Economic Analysis to M...
Why RWE Matters to Payers: Incorporating RWE in Health Economic Analysis to M...Why RWE Matters to Payers: Incorporating RWE in Health Economic Analysis to M...
Why RWE Matters to Payers: Incorporating RWE in Health Economic Analysis to M...Office of Health Economics
 
EU's General Data Protection Regulation (GDPR)
EU's General Data Protection Regulation (GDPR)EU's General Data Protection Regulation (GDPR)
EU's General Data Protection Regulation (GDPR)Kimberly Simon MBA
 
Data Governance
Data GovernanceData Governance
Data GovernanceAxis Technology, LLC
 
Fundamentals of Database ppt ch03
Fundamentals of Database ppt ch03Fundamentals of Database ppt ch03
Fundamentals of Database ppt ch03Jotham Gadot
 
HIPAA Basics by Brian Fleetham
HIPAA Basics by Brian FleethamHIPAA Basics by Brian Fleetham
HIPAA Basics by Brian FleethamAtlantic Training, LLC.
 
Information Security It's All About Compliance
Information Security It's All About ComplianceInformation Security It's All About Compliance
Information Security It's All About ComplianceDinesh O Bareja
 
Data entry, Types of Cases and QR Reviews in Clinical Data Management
Data entry, Types of Cases and QR Reviews in Clinical Data ManagementData entry, Types of Cases and QR Reviews in Clinical Data Management
Data entry, Types of Cases and QR Reviews in Clinical Data ManagementClinosolIndia
 
Key Compliance Issues In Clinical Research: What Sites, CROs, and Start-Ups N...
Key Compliance Issues In Clinical Research: What Sites, CROs, and Start-Ups N...Key Compliance Issues In Clinical Research: What Sites, CROs, and Start-Ups N...
Key Compliance Issues In Clinical Research: What Sites, CROs, and Start-Ups N...Polsinelli PC
 
Chapter 2
Chapter 2Chapter 2
Chapter 2LamineKaba6
 
Case Report Form (CRF) Design Tips
Case Report Form (CRF) Design TipsCase Report Form (CRF) Design Tips
Case Report Form (CRF) Design TipsPerficient
 
Standard IAM Business Processes: Corporate / Intranet Deployment
Standard IAM Business Processes: Corporate / Intranet DeploymentStandard IAM Business Processes: Corporate / Intranet Deployment
Standard IAM Business Processes: Corporate / Intranet DeploymentHitachi ID Systems, Inc.
 
The California Consumer Privacy Act (CCPA)
The California Consumer Privacy Act (CCPA)The California Consumer Privacy Act (CCPA)
The California Consumer Privacy Act (CCPA)Tinuiti
 
Privacy and Data Security
Privacy and Data SecurityPrivacy and Data Security
Privacy and Data SecurityWilmerHale
 
James hall ch 14
James hall ch 14James hall ch 14
James hall ch 14David Julian
 
Benefits of an eTMF system
Benefits of an eTMF systemBenefits of an eTMF system
Benefits of an eTMF systemdbi_atoms
 
Information Systems
Information SystemsInformation Systems
Information SystemsSherief Elmetwali
 
Reconciliation and Literature Review and Signal Detection_Katalyst HLS
Reconciliation and Literature Review and Signal Detection_Katalyst HLSReconciliation and Literature Review and Signal Detection_Katalyst HLS
Reconciliation and Literature Review and Signal Detection_Katalyst HLSKatalyst HLS
 
Security audit
Security auditSecurity audit
Security auditRosaria Dee
 
Pharma-CRO Relationships Managing Risk A Lawyer\'s View
Pharma-CRO Relationships Managing Risk A Lawyer\'s ViewPharma-CRO Relationships Managing Risk A Lawyer\'s View
Pharma-CRO Relationships Managing Risk A Lawyer\'s Viewalbinpaul
 
Chapter 2 competing with it
Chapter 2 competing with itChapter 2 competing with it
Chapter 2 competing with itAG RD
 
laudon-traver_ec13_ppt_ch06.pptx
laudon-traver_ec13_ppt_ch06.pptxlaudon-traver_ec13_ppt_ch06.pptx
laudon-traver_ec13_ppt_ch06.pptxMohammadWaris17
 
Data Privacy Trends in 2021: Compliance with New Regulations
Data Privacy Trends in 2021: Compliance with New RegulationsData Privacy Trends in 2021: Compliance with New Regulations
Data Privacy Trends in 2021: Compliance with New RegulationsPECB
 
Fundamentals of Information Systems Security Chapter 11
Fundamentals of Information Systems Security Chapter 11Fundamentals of Information Systems Security Chapter 11
Fundamentals of Information Systems Security Chapter 11Dr. Ahmed Al Zaidy
 
Data Privacy & Security
Data Privacy & SecurityData Privacy & Security
Data Privacy & SecurityEryk Budi Pratama
 
Data Strategy for Telcos : Preparedness and Management
Data Strategy for Telcos : Preparedness and ManagementData Strategy for Telcos : Preparedness and Management
Data Strategy for Telcos : Preparedness and ManagementSouravRout
 
Key Data Privacy Roles Explained: Data Protection Officer, Information Securi...
Key Data Privacy Roles Explained: Data Protection Officer, Information Securi...Key Data Privacy Roles Explained: Data Protection Officer, Information Securi...
Key Data Privacy Roles Explained: Data Protection Officer, Information Securi...PECB
 
Risk Management : Cataloging Unit CMUMEDLIB
Risk Management : Cataloging Unit CMUMEDLIBRisk Management : Cataloging Unit CMUMEDLIB
Risk Management : Cataloging Unit CMUMEDLIBIngfahx Punyaphet
 
Ethics, Security and Privacy Management of Hospital Data Part 2 (January 24, ...
Ethics, Security and Privacy Management of Hospital Data Part 2 (January 24, ...Ethics, Security and Privacy Management of Hospital Data Part 2 (January 24, ...
Ethics, Security and Privacy Management of Hospital Data Part 2 (January 24, ...Nawanan Theera-Ampornpunt
 

Weitere ähnliche Inhalte

Was ist angesagt?

Data entry, Types of Cases and QR Reviews in Clinical Data Management
Data entry, Types of Cases and QR Reviews in Clinical Data ManagementData entry, Types of Cases and QR Reviews in Clinical Data Management
Data entry, Types of Cases and QR Reviews in Clinical Data ManagementClinosolIndia
 
Key Compliance Issues In Clinical Research: What Sites, CROs, and Start-Ups N...
Key Compliance Issues In Clinical Research: What Sites, CROs, and Start-Ups N...Key Compliance Issues In Clinical Research: What Sites, CROs, and Start-Ups N...
Key Compliance Issues In Clinical Research: What Sites, CROs, and Start-Ups N...Polsinelli PC
 
Case Report Form (CRF) Design Tips
Case Report Form (CRF) Design TipsCase Report Form (CRF) Design Tips
Case Report Form (CRF) Design TipsPerficient
 
Standard IAM Business Processes: Corporate / Intranet Deployment
Standard IAM Business Processes: Corporate / Intranet DeploymentStandard IAM Business Processes: Corporate / Intranet Deployment
Standard IAM Business Processes: Corporate / Intranet DeploymentHitachi ID Systems, Inc.
 
The California Consumer Privacy Act (CCPA)
The California Consumer Privacy Act (CCPA)The California Consumer Privacy Act (CCPA)
The California Consumer Privacy Act (CCPA)Tinuiti
 
Privacy and Data Security
Privacy and Data SecurityPrivacy and Data Security
Privacy and Data SecurityWilmerHale
 
Benefits of an eTMF system
Benefits of an eTMF systemBenefits of an eTMF system
Benefits of an eTMF systemdbi_atoms
 
Reconciliation and Literature Review and Signal Detection_Katalyst HLS
Reconciliation and Literature Review and Signal Detection_Katalyst HLSReconciliation and Literature Review and Signal Detection_Katalyst HLS
Reconciliation and Literature Review and Signal Detection_Katalyst HLSKatalyst HLS
 
Pharma-CRO Relationships Managing Risk A Lawyer\'s View
Pharma-CRO Relationships Managing Risk A Lawyer\'s ViewPharma-CRO Relationships Managing Risk A Lawyer\'s View
Pharma-CRO Relationships Managing Risk A Lawyer\'s Viewalbinpaul
 
Chapter 2 competing with it
Chapter 2 competing with itChapter 2 competing with it
Chapter 2 competing with itAG RD
 
laudon-traver_ec13_ppt_ch06.pptx
laudon-traver_ec13_ppt_ch06.pptxlaudon-traver_ec13_ppt_ch06.pptx
laudon-traver_ec13_ppt_ch06.pptxMohammadWaris17
 
Data Privacy Trends in 2021: Compliance with New Regulations
Data Privacy Trends in 2021: Compliance with New RegulationsData Privacy Trends in 2021: Compliance with New Regulations
Data Privacy Trends in 2021: Compliance with New RegulationsPECB
 
Fundamentals of Information Systems Security Chapter 11
Fundamentals of Information Systems Security Chapter 11Fundamentals of Information Systems Security Chapter 11
Fundamentals of Information Systems Security Chapter 11Dr. Ahmed Al Zaidy
 
Data Strategy for Telcos : Preparedness and Management
Data Strategy for Telcos : Preparedness and ManagementData Strategy for Telcos : Preparedness and Management
Data Strategy for Telcos : Preparedness and ManagementSouravRout
 
Key Data Privacy Roles Explained: Data Protection Officer, Information Securi...
Key Data Privacy Roles Explained: Data Protection Officer, Information Securi...Key Data Privacy Roles Explained: Data Protection Officer, Information Securi...
Key Data Privacy Roles Explained: Data Protection Officer, Information Securi...PECB
 

Was ist angesagt? (20)

Data entry, Types of Cases and QR Reviews in Clinical Data Management
Data entry, Types of Cases and QR Reviews in Clinical Data ManagementData entry, Types of Cases and QR Reviews in Clinical Data Management
Data entry, Types of Cases and QR Reviews in Clinical Data Management
 
Key Compliance Issues In Clinical Research: What Sites, CROs, and Start-Ups N...
Key Compliance Issues In Clinical Research: What Sites, CROs, and Start-Ups N...Key Compliance Issues In Clinical Research: What Sites, CROs, and Start-Ups N...
Key Compliance Issues In Clinical Research: What Sites, CROs, and Start-Ups N...
 
Chapter 2
Chapter 2Chapter 2
Chapter 2
 
Case Report Form (CRF) Design Tips
Case Report Form (CRF) Design TipsCase Report Form (CRF) Design Tips
Case Report Form (CRF) Design Tips
 
Standard IAM Business Processes: Corporate / Intranet Deployment
Standard IAM Business Processes: Corporate / Intranet DeploymentStandard IAM Business Processes: Corporate / Intranet Deployment
Standard IAM Business Processes: Corporate / Intranet Deployment
 
The California Consumer Privacy Act (CCPA)
The California Consumer Privacy Act (CCPA)The California Consumer Privacy Act (CCPA)
The California Consumer Privacy Act (CCPA)
 
Privacy and Data Security
Privacy and Data SecurityPrivacy and Data Security
Privacy and Data Security
 
James hall ch 14
James hall ch 14James hall ch 14
James hall ch 14
 
Benefits of an eTMF system
Benefits of an eTMF systemBenefits of an eTMF system
Benefits of an eTMF system
 
Information Systems
Information SystemsInformation Systems
Information Systems
 
Reconciliation and Literature Review and Signal Detection_Katalyst HLS
Reconciliation and Literature Review and Signal Detection_Katalyst HLSReconciliation and Literature Review and Signal Detection_Katalyst HLS
Reconciliation and Literature Review and Signal Detection_Katalyst HLS
 
Security audit
Security auditSecurity audit
Security audit
 
Pharma-CRO Relationships Managing Risk A Lawyer\'s View
Pharma-CRO Relationships Managing Risk A Lawyer\'s ViewPharma-CRO Relationships Managing Risk A Lawyer\'s View
Pharma-CRO Relationships Managing Risk A Lawyer\'s View
 
Chapter 2 competing with it
Chapter 2 competing with itChapter 2 competing with it
Chapter 2 competing with it
 
laudon-traver_ec13_ppt_ch06.pptx
laudon-traver_ec13_ppt_ch06.pptxlaudon-traver_ec13_ppt_ch06.pptx
laudon-traver_ec13_ppt_ch06.pptx
 
Data Privacy Trends in 2021: Compliance with New Regulations
Data Privacy Trends in 2021: Compliance with New RegulationsData Privacy Trends in 2021: Compliance with New Regulations
Data Privacy Trends in 2021: Compliance with New Regulations
 
Fundamentals of Information Systems Security Chapter 11
Fundamentals of Information Systems Security Chapter 11Fundamentals of Information Systems Security Chapter 11
Fundamentals of Information Systems Security Chapter 11
 
Data Privacy & Security
Data Privacy & SecurityData Privacy & Security
Data Privacy & Security
 
Data Strategy for Telcos : Preparedness and Management
Data Strategy for Telcos : Preparedness and ManagementData Strategy for Telcos : Preparedness and Management
Data Strategy for Telcos : Preparedness and Management
 
Key Data Privacy Roles Explained: Data Protection Officer, Information Securi...
Key Data Privacy Roles Explained: Data Protection Officer, Information Securi...Key Data Privacy Roles Explained: Data Protection Officer, Information Securi...
Key Data Privacy Roles Explained: Data Protection Officer, Information Securi...
 

Ähnlich wie IT Risk Assessment

Risk Management : Cataloging Unit CMUMEDLIB
Risk Management : Cataloging Unit CMUMEDLIBRisk Management : Cataloging Unit CMUMEDLIB
Risk Management : Cataloging Unit CMUMEDLIBIngfahx Punyaphet
 
Ethics, Security and Privacy Management of Hospital Data Part 2 (January 24, ...
Ethics, Security and Privacy Management of Hospital Data Part 2 (January 24, ...Ethics, Security and Privacy Management of Hospital Data Part 2 (January 24, ...
Ethics, Security and Privacy Management of Hospital Data Part 2 (January 24, ...Nawanan Theera-Ampornpunt
 
การป้องกันและระบบความปลอดภัย
การป้องกันและระบบความปลอดภัยการป้องกันและระบบความปลอดภัย
การป้องกันและระบบความปลอดภัยKinko Rhino
 
Patient Privacy and Security of Health Information for Dental Students
Patient Privacy and Security of Health Information for Dental StudentsPatient Privacy and Security of Health Information for Dental Students
Patient Privacy and Security of Health Information for Dental StudentsNawanan Theera-Ampornpunt
 
รู้เท่าทันไอที
รู้เท่าทันไอทีรู้เท่าทันไอที
รู้เท่าทันไอทีPrachyanun Nilsook
 
Security and Privacy Management of Patient Information (October 26, 2018)
Security and Privacy Management of Patient Information (October 26, 2018)Security and Privacy Management of Patient Information (October 26, 2018)
Security and Privacy Management of Patient Information (October 26, 2018)Nawanan Theera-Ampornpunt
 
ใช้ไอทีอย่างปลอดภัย พวกเราสบายใจ คนไข้ได้รับความคุ้มครอง: เรื่องเล่าจากรามาธิ...
ใช้ไอทีอย่างปลอดภัย พวกเราสบายใจ คนไข้ได้รับความคุ้มครอง: เรื่องเล่าจากรามาธิ...ใช้ไอทีอย่างปลอดภัย พวกเราสบายใจ คนไข้ได้รับความคุ้มครอง: เรื่องเล่าจากรามาธิ...
ใช้ไอทีอย่างปลอดภัย พวกเราสบายใจ คนไข้ได้รับความคุ้มครอง: เรื่องเล่าจากรามาธิ...Nawanan Theera-Ampornpunt
 
Cybersecurity workforce development toolkit
Cybersecurity workforce development toolkit Cybersecurity workforce development toolkit
Cybersecurity workforce development toolkit Settapong_CyberSecurity
 
Security Awareness Training for Ramathibodi Medical Residents and Fellows (Ju...
Security Awareness Training for Ramathibodi Medical Residents and Fellows (Ju...Security Awareness Training for Ramathibodi Medical Residents and Fellows (Ju...
Security Awareness Training for Ramathibodi Medical Residents and Fellows (Ju...Nawanan Theera-Ampornpunt
 
ใช้ไอทีอย่างปลอดภัย พวกเราสบายใจ คนไข้ได้รับความคุ้มครอง (Security Awareness ...
ใช้ไอทีอย่างปลอดภัย พวกเราสบายใจ คนไข้ได้รับความคุ้มครอง (Security Awareness ...ใช้ไอทีอย่างปลอดภัย พวกเราสบายใจ คนไข้ได้รับความคุ้มครอง (Security Awareness ...
ใช้ไอทีอย่างปลอดภัย พวกเราสบายใจ คนไข้ได้รับความคุ้มครอง (Security Awareness ...Nawanan Theera-Ampornpunt
 
Hospital Information System (HIS) (March 13, 2018)
Hospital Information System (HIS) (March 13, 2018)Hospital Information System (HIS) (March 13, 2018)
Hospital Information System (HIS) (March 13, 2018)Nawanan Theera-Ampornpunt
 
ACTEP2014: ED accreditation HA JCI TQA
ACTEP2014: ED accreditation HA JCI TQAACTEP2014: ED accreditation HA JCI TQA
ACTEP2014: ED accreditation HA JCI TQAtaem
 
Security & Privacy of Patient Information: เรื่องเล่าจากรามาธิบดี (April 17, ...
Security & Privacy of Patient Information: เรื่องเล่าจากรามาธิบดี (April 17, ...Security & Privacy of Patient Information: เรื่องเล่าจากรามาธิบดี (April 17, ...
Security & Privacy of Patient Information: เรื่องเล่าจากรามาธิบดี (April 17, ...Nawanan Theera-Ampornpunt
 
บันได 7 ขั้นสู่ความปลอดภัย
บันได 7 ขั้นสู่ความปลอดภัยบันได 7 ขั้นสู่ความปลอดภัย
บันได 7 ขั้นสู่ความปลอดภัยSuradet Sriangkoon
 
Gen1013 chapter 7
Gen1013 chapter 7Gen1013 chapter 7
Gen1013 chapter 7virod
 

Ähnlich wie IT Risk Assessment (20)

Risk Management : Cataloging Unit CMUMEDLIB
Risk Management : Cataloging Unit CMUMEDLIBRisk Management : Cataloging Unit CMUMEDLIB
Risk Management : Cataloging Unit CMUMEDLIB
 
Ethics, Security and Privacy Management of Hospital Data Part 2 (January 24, ...
Ethics, Security and Privacy Management of Hospital Data Part 2 (January 24, ...Ethics, Security and Privacy Management of Hospital Data Part 2 (January 24, ...
Ethics, Security and Privacy Management of Hospital Data Part 2 (January 24, ...
 
การป้องกันและระบบความปลอดภัย
การป้องกันและระบบความปลอดภัยการป้องกันและระบบความปลอดภัย
การป้องกันและระบบความปลอดภัย
 
learningunitonesciencecomputer4
learningunitonesciencecomputer4learningunitonesciencecomputer4
learningunitonesciencecomputer4
 
Ch8
Ch8Ch8
Ch8
 
Patient Privacy and Security of Health Information for Dental Students
Patient Privacy and Security of Health Information for Dental StudentsPatient Privacy and Security of Health Information for Dental Students
Patient Privacy and Security of Health Information for Dental Students
 
รู้เท่าทันไอที
รู้เท่าทันไอทีรู้เท่าทันไอที
รู้เท่าทันไอที
 
Security and Privacy Management of Patient Information (October 26, 2018)
Security and Privacy Management of Patient Information (October 26, 2018)Security and Privacy Management of Patient Information (October 26, 2018)
Security and Privacy Management of Patient Information (October 26, 2018)
 
ใช้ไอทีอย่างปลอดภัย พวกเราสบายใจ คนไข้ได้รับความคุ้มครอง: เรื่องเล่าจากรามาธิ...
ใช้ไอทีอย่างปลอดภัย พวกเราสบายใจ คนไข้ได้รับความคุ้มครอง: เรื่องเล่าจากรามาธิ...ใช้ไอทีอย่างปลอดภัย พวกเราสบายใจ คนไข้ได้รับความคุ้มครอง: เรื่องเล่าจากรามาธิ...
ใช้ไอทีอย่างปลอดภัย พวกเราสบายใจ คนไข้ได้รับความคุ้มครอง: เรื่องเล่าจากรามาธิ...
 
Cybersecurity workforce development toolkit
Cybersecurity workforce development toolkit Cybersecurity workforce development toolkit
Cybersecurity workforce development toolkit
 
Security Awareness Training for Ramathibodi Medical Residents and Fellows (Ju...
Security Awareness Training for Ramathibodi Medical Residents and Fellows (Ju...Security Awareness Training for Ramathibodi Medical Residents and Fellows (Ju...
Security Awareness Training for Ramathibodi Medical Residents and Fellows (Ju...
 
ใช้ไอทีอย่างปลอดภัย พวกเราสบายใจ คนไข้ได้รับความคุ้มครอง (Security Awareness ...
ใช้ไอทีอย่างปลอดภัย พวกเราสบายใจ คนไข้ได้รับความคุ้มครอง (Security Awareness ...ใช้ไอทีอย่างปลอดภัย พวกเราสบายใจ คนไข้ได้รับความคุ้มครอง (Security Awareness ...
ใช้ไอทีอย่างปลอดภัย พวกเราสบายใจ คนไข้ได้รับความคุ้มครอง (Security Awareness ...
 
Hospital Information System (HIS) (March 13, 2018)
Hospital Information System (HIS) (March 13, 2018)Hospital Information System (HIS) (March 13, 2018)
Hospital Information System (HIS) (March 13, 2018)
 
ACTEP2014: ED accreditation HA JCI TQA
ACTEP2014: ED accreditation HA JCI TQAACTEP2014: ED accreditation HA JCI TQA
ACTEP2014: ED accreditation HA JCI TQA
 
Hospital Information System (June 26, 2018)
Hospital Information System (June 26, 2018)Hospital Information System (June 26, 2018)
Hospital Information System (June 26, 2018)
 
Risk Management 53
Risk Management 53Risk Management 53
Risk Management 53
 
IT Security & Risk Management
IT Security & Risk ManagementIT Security & Risk Management
IT Security & Risk Management
 
Security & Privacy of Patient Information: เรื่องเล่าจากรามาธิบดี (April 17, ...
Security & Privacy of Patient Information: เรื่องเล่าจากรามาธิบดี (April 17, ...Security & Privacy of Patient Information: เรื่องเล่าจากรามาธิบดี (April 17, ...
Security & Privacy of Patient Information: เรื่องเล่าจากรามาธิบดี (April 17, ...
 
บันได 7 ขั้นสู่ความปลอดภัย
บันได 7 ขั้นสู่ความปลอดภัยบันได 7 ขั้นสู่ความปลอดภัย
บันได 7 ขั้นสู่ความปลอดภัย
 
Gen1013 chapter 7
Gen1013 chapter 7Gen1013 chapter 7
Gen1013 chapter 7
 

Mehr von Banyong Jandragholica

Mehr von Banyong Jandragholica (7)

Casestudy railway
Casestudy railwayCasestudy railway
Casestudy railway
 
Clouds, big data, and smart assets
Clouds, big data, and smart assetsClouds, big data, and smart assets
Clouds, big data, and smart assets
 
10 web trends to watch in 2010
10 web trends to watch in 201010 web trends to watch in 2010
10 web trends to watch in 2010
 
20100808 rtarf banyong
20100808 rtarf banyong20100808 rtarf banyong
20100808 rtarf banyong
 
E risk ict_audit
E risk ict_auditE risk ict_audit
E risk ict_audit
 
HTML5_NAC
HTML5_NACHTML5_NAC
HTML5_NAC
 
Cloud computing nac
Cloud computing nacCloud computing nac
Cloud computing nac
 

IT Risk Assessment

  • 1.
  • 3. Risk Assessment : RA Information Security Information Risk
  • 4. การประเมิ น ความเสี่ ยงเป็ น กระบวนการแรกในวธการบรหาร กระบวนการแรกในวิธีการบริ หาร จั ด ก า ร ค ว า ม เ สี่ ย ง ใ น ก า ร ตรวจสอบขอบเขตของความเสยง ตรวจสอบขอบเขตของความเสี่ยง แ ล ะ ภั ย คุ ก ค า ม ที่ ผ ล ที่ ไ ด้ จ า ก กระบวนการจะชวยใหสามารถหา กระบวนการจะช่ วยให้ สามารถหา วิธี การควบคุ ม ที่เหมาะสมสําหรั บ การลดหรอกาจดความเสยงท่ การลดหรื อกํ า จั ด ความเสี่ ยงที เกิดขึน้
  • 5. สามารถแบ่ งออกเป็ น 9 ขันตอนดังนี ้ ้ 1. การอธบายลกษณะของระบบ 1 การอธิบายลักษณะของระบบ (System Characterization) 2. การบงชภยคุกคาม (Threat Identification) 2 ่ ชี ้ ั (Th Id ifi i ) 3. การบ่ งชีความไม่ ม่ ันคง (Vulnerability Identification) ้ 4. การวิเคราะห์์ การควบคุม (Control Analysis) 5. การตรวจสอบโอกาสในการเกิดภัยคุกคาม (Likelihood Determination)
  • 6. สามารถแบ่ งออกเป็็ น 9 ขันตอนดังนี ้ ้ 6. การวิเคราะห์ ผลกระทบ (Impact Analysis) 7. การตรวจสอบความเสี่ยง (Risk Determination) 8. การเสนอวิธีการควบคม (Control Recommendations) การเสนอวธการควบคุม 9. การทําเอกสารสรุ ปผล (Result Documentation)
  • 7. การระบุของเขตในการพิจารณาจะต้ องคํานึงถึงจํานวน ทรพยากรและขอมูลขาวสารทมอยูในระบบ จะตองกาหนด ทรั พยากรและข้ อมลข่ าวสารที่มีอย่ จะต้ องกําหนด ขอบเขตในการประเมินความเสี่ยง จําแนกขอบเขตการให้ สิิทธิิในการทํางาน และเตรีี ยมข้้ อมูลที่ มีผลต่่ อความเสี่ ียง ํ ี 1.ข้ อมูลที่สัมพันธ์ กับระบบ (System-Related Information) 2.เทคนิคการรวบรวมข้ อมููล (Information-Gathering Techniques)
  • 8. ข้ อมูลที่สัมพันธ์ กับระบบ (System-Related Information) • อุปกรณฮารดแวร อปกรณ์ ฮาร์ ดแวร์ • ซอฟแวร์ • การเชื่อมต่ อระบบทังภายในและภายนอก การเชอมตอระบบทงภายในและภายนอก ้ • ระบบข้ อมูลและข่ าวสาร • บุคคลผู้ ท่ ดูแลและใช้้ งานระบบ ี ใ • พันธกิจของระบบ เช่ น กระบวนการที่ทาโดยระบบ ํ ข้ อมูลสารสนเทศ
  • 9. ข้ อมูลที่สัมพันธ์ กับระบบ (System-Related Information) •ความสาคญของขอมูลและระบบ เชน คุณคาของระบบ •ความสําคัญของข้ อมลและระบบ เช่ น คณค่ าของระบบ หรื อความสําคัญที่มีต่อองค์ กร • ระดัับการปกปองข้้ อมูลและระบบ ป ป ้
  • 10. เทคนิคการรวบรวมข้ อมูล(Information-Gathering Techniques) • ส่ วนแบบสอบถาม (Questionnaire) ในการรวบรวมข้ อมลที่ สวนแบบสอบถาม ในการรวบรวมขอมูลท เกี่ยวข้ อง ผู้ท่ ทาการประเมินความเสี่ยงสามารถปรับปรุ ง ี ํ แบบสอบถาม • ส่ วนการสัมภาษณ์ ตามสถานที่จริง (On-site Interviews) การสมภาษณบุคคลทมหนาทดูแลหรื อบริหารระบบข้ อมล การสัมภาษณ์ บคคลที่มีหน้ าที่ดแลหรอบรหารระบบขอมูล สารสนเทศทําให้ ผ้ ูประเมินความเสี่ยงสามารถรวบรวมข้ อมูลที่มี
  • 11. ภัยคุกคาม คือ สิ่งที่เป็ นไปได้ ท่ แหล่ งกําเนิดภัยคุกคาม ี จะกระทาตอสงทไมมความมนคง จะกระทําต่ อสิ่งที่ไม่ มีความมั่นคง ความไม่ ม่ ันคงคือความอ่ อนแอของสิ่งหนึ่งทําให้ ได้ รับ ผลกระทบจากภายนอกไดงาย ไ ้่ การบ่ งชีแหล่ งกําเนิดภัยคุกคาม (Threat-Source Identification) ้ เปาหมายของขันตอนนีคือ ระบุแหล่ งกําเนิดของภัยคุกคาม ้ ้ ้ และประมวลผลเป็ นรายชื่อภัยคุุกคามที่มีผลต่ อระบบข้ อมููล สามารถแบ่ งออกเป็ น 3 ประเภทดังนี ้
  • 12. ประเภทแรก ภัยคุกคามโดยธรรมชาติ (Natural Threats) เช่่ น นํําท่่ วม แผ่่ นดินไหว พายุ เป็ นต้้ น ้ ิ ไ ป็ ประเภทสอง ภัยคุกคามโดยมนุษย์ (Human Threats) ทัง ้ การกระทําที่ เกิดจากความไม่ ตังใจและการกระทําผิดโดย ้ เจตนา ประเภทสาม ภัยคุกคามจากสภาพแวดล้ อม (Environment Threats) เช่ น ระบบไฟฟาขัดข้ อง มลภาวะ สารเคมีร่ ั วไหล เชน ระบบไฟฟาขดของ, มลภาวะ, สารเคมรวไหล ้ เป็ นต้ น
  • 13. Natural  Threats Th Human  Threats Motivation and  Threat Actions Threat Actions Environment  Threats
  • 14. การวิเคราะห์ ภยคุกคามที่มีต่อระบบข้ อมูลสารสนเทศ ั ตองมการวเคราะหความออนแอไมมนคงของสภาพแวด ต้ องมีการวิเคราะห์ ความอ่ อนแอไม่ ม่ ันคงของสภาพแวด ล้ อม ของระบบ เปาหมายของขันตอนนีคือการพัฒนา ้ ้ ้ รายการความไมมนคงของระบบที่ ทาใ ้ ไ ่ ่ั ี ํ ใหระบบมีีโอกาส ได้ รับภัยคุกคาม
  • 15. ความไมมันคง ่ ่ แหลงกําเนิดภัยคุกคาม ่ ปฏิกรยาภัยคุกคาม ิ ิ (Vulnerability) (Threat‐Source) (Threat‐Action) ไมมีีการลบขอมูลของ พนกงานทหมดสภาพ ไ ่ ้ พนักงานที่หมดสภาพ การแอบเข้้ ามาดึงข้้ อมูล ึ พนักงานที่ออกจาก การเป็ นพนักงานของ สําคัญของบริษัทโดย บริษัทไปแล้ วจากระบบ บริษัท บรษทไปแลวจากระบบ ร การตอโมเดมเขามาใน การต่ อโมเดมเข้ ามาใน บริษัท ศนย์ กลางข้ อมลใช้ ระบบ ไฟ, บคคลที่เพิกเฉย ู ู ไฟ, บุคคลทเพกเฉย ระบบนาฉดพนทางาน ระบบนําฉีดพ่ นทํางาน ้ พ่ นนําเพื่อปองกันไฟไหม้ ไม่ ให้ ความใส่ ใจ ้ ้ เมื่อเกิดไฟไหม้ แต่ ไม่ มีอุปกรณ์ กันนํา ้ สําหรัับอุปกรณ์์ ไฟฟาและ ํ ้ เอกสารข้ อมูลต่ างๆ
  • 16. เปาหมายของขันตอนนีเ้ พื่อวิเคราะห์ การควบคุมที่ ้ ้ องค์์ กรใช้้ อยู่หรืื อที่ วางแผนไว้้ เพื่ อลดหรืื อกําจัดโอกาสที่ ี ใ ี ไ ื ํ ั โ จะเกิดภัยคุกคาม ได้ 2 อย่ างคือ • วิธีการควบคุม (Control Method) • ประเภทของการควบคุุม (Control Category)
  • 17. วิธีการควบคุม (Control Method) การควบคุมการรั กษา ความปลอดภัยอาศัยวิธีการควบคุมทังเชิงเทคนิคและที่ไม่ ใช่ ้ เชิงเทคนิค การควบคมเชิงเ นคคือการปกปองระบบเกี่ยว บ ร ว ุมเ เทคนิ ร ้ ร เ วกั อุปกรณ์ ฮาร์ ดแวร์ ซอฟแวร์ ของเครื่ องคอมพิวเตอร์ เช่ น วธการเขารหสขอมูล วิธีการเข้ ารหัสข้ อมล การควบคุมที่ไม่ ใช่ เชิงเทคนิคคือการบริหารจัดการ และควบคุมการปฏิบตงานเช่่ น นโยบายรัั กษาความ ป ิ ั ิ โ ปลอดภัย
  • 18. ประเภทของการควบคุม (Control Category) การควบคุม ทงเชงเทคนค และทไมใชเชงเทคนคถูกแบงประเภทได 2 ทังเชิงเทคนิค และที่ไม่ ใช่ เชิงเทคนิคถกแบ่ งประเภทได้ ้ ประเภทคือการควบคุมแบบปองกัน และการควบคุมแบบ ้ ตรวจจบ ั การควบคุมแบบปองกันมีจุดประสงค์ เพื่อไม่ ให้ เกิด ้ ความไม่ ปลอดภัยกับระบบ การควบคุุมแบบตรวจจับมีจุดประสงค์ เพื่อแจ้ งให้ ทราบว่ าเกิดความไม่ ปลอดภัยขึนบนระบบ ้
  • 19. การวดระดบโอกาสทจะเกดความเสยงซงบงชถงความ การวัดระดับโอกาสที่จะเกิดความเสี่ยงซึ่งบ่ งชีถงความ ้ึ เป็ นไปได้ ท่ ระบบจะไม่ มีความมั่นคงสามารถทําได้ เมื่ออยู่ใน ี สภาพแวดลอมทมภยคุกคาม ปั ั ่ ี ้ ิ ส ้ ่ี ี ั ปจจยทตองพจารณาไดแก่ ไ ้ • ความสามารถของแหล่ งกําเนิดภัยคุกคามในการ ก่ อให้ เกิดความเสี่ ยง • ธรรมชาติของความไม่ ม่ ันคงที่ก่อให้ เกิดความเสี่ยง • ความมีประสิทธิภาพของวิธีการควบคุมที่มีอยู่
  • 20. ระดบสูง หมายถง แหลงกาเนดภยคุกคามมความสามารถ ระดับสง หมายถึง แหล่ งกําเนิดภัยคกคามมีความสามารถ สูงในการกระตุ้นและก่ อให้ เกิดความเสี่ยงต่ อระบบและวิธีการ ควบคุมทมอยู มมประสทธภาพ ควบคมที่มีอย่ ไม่ มีประสิทธิภาพ ระดับปานกลาง หมายถึง แหล่ งกําเนิดภัยคุกคามมีความ สามารถพอ ที่จะก่ อให้ เกิดความเสี่ยงต่ อระบบได้ แต่ ระบบมี การควบคุมที่มีประสิทธิ ภาพทําให้ สามารถปองกันระบบจาก ้ ความไม่ ม่ ันคงที่เกิดขึน ้
  • 21. ระดับตํ่า หมายถึง แหล่ งกําเนิดภัยคุุกคามไม่ สามารถ สร้ างความเสี่ยงให้ แก่ ระบบได้ หรื อวิธีการควบคุมความ ปลอดภัยของระบบมีประสิทธิภาพสููง สามารถรั กษาความ มั่นคงของระบบได้ ดี
  • 22. การวัดระดับความเสี่ยงคือการตรวจสอบผลกระทบต่ อ ระบบเมื่ ือเกิดภยคุกคามขึน กอนที่ จะเริ่ ิมวิเคราะห์ ิ ั ึ้ ่ ี ิ ผลกระทบ ทัง 3 ด้ าน ้ • พันธกิจของระบบ (System mission) • ความสําคัญของระบบและข้ อมููล (System and data criticality) • ความไวต่ อการเปลี่ยนแปลงของระบบและข้ อมล ความไวตอการเปลยนแปลงของระบบและขอมูล (System and data sensitivity)
  • 23. ผลกระทบระดับสูง หมายถึง ความไม่ ม่ ันคงของระบบ ส่ งผลให้ เกิดการสญเสียทรั พย์ สิน และทรั พยากรหลักของ ูญ องค์ กรจํานวนมาก หรื อเป็ นอันตรายร้ ายแรงต่ อพันธกิจ และองค์ กร ผลกระทบระดับปานกลาง หมายถึง ความไม่ ม่ ันคงของ ระบบส่ งผลให้้ เกิดการสูญเสีียทรััพย์์ สิน และทรััพยากรของ ใ ิ องค์ กร หรื อส่ งผลต่ อพันธกิจและองค์ กร
  • 24. ผลกระทบระดับตํ่า หมายถึง ความไม่ ม่ ันคงของระบบ สงผลใหเกดการสูญเสยทรพยสนและทรพยากรขององคกร ส่ งผลให้ เกิดการสญเสียทรั พย์ สินและทรั พยากรขององค์ กร เล็กน้ อย หรื อส่ งผลต่ อพันธกิจหรื อชื่อเสียงขององค์ กรบ้ าง เลกนอย เล็กน้ อย
  • 25. การตรวจสอบความเสี่ ย งจะพิ จ ารณาจากปั จจั ย จาก ขนตอนทผานมาไดแก โอกาสทภยคุ กคามทเกดขนทาให ขั นตอนที่ผ่านมาได้ แก่ โอกาสที่ภัยคกคามที่เกิด ขึน ทํา ให้ ้ ้ ระบบขาดความมั่ น คง, ระดั บ ผลกระทบหรื อ ความรุ น แรง ของภััยคุกคามที่ ีมีต่อระบบ และประสิิทธิิภาพของแผนการ ป ควบคุ ม ความปลอดภั ย ของระบบ โดยใช้ วิ ธี ม าตรฐาน เมตริกซ์ ระดับความเสี่ยง (Risk-Level Matrix)
  • 26. วิธีมาตรฐานเมตริกซ์ ระดับความเสี่ยง (Risk-Level Matrix) โอกาสเกดความเสยง (Likelihood) กบ ความรุ นแรงของ โอกาสเกิดความเสี่ยง (Lik lih d) กับ ความรนแรงของ ความเสี่ยง (Impact)
  • 27. โอกาสการเกิด ความรุ นแรงของความเสี่ยง (Impact) ความเสี่ยง ตา (10) ตํ่า ปานกลาง (50) สูง (100) สง (Likelihood) สูง (1.0) ตํํ่า ปานกลาง สูง 10 x 1.0 = 10 50 x 1.0 = 50 100 x 1.0 = 100 ปานกลาง (0.5) ตา ํ่ ปานกลาง ป ปานกลาง ป 10 x 0.5 = 5 50 x 0.5 = 25 100 x 0.5 = 50 ตํ่า (0.1) ตา ตํ่า ตา ตํ่า ตา ตํ่า 10 x 0.1 = 1 50 x 0.1 = 5 100 x 0.1 = 10
  • 28. ระดับความเสี่ยง (Risk Level) แบ่ งเป็ น 3 ระดับ ระดับความเสี่ยงสง หมายถึงจําเป็ นต้ องได้ รับการแก้ ไข ู อย่ างเร่ งด่ วน ระบบที่ดาเนินอยู่อาจจะยังคงปฏิบัตงาน ํ ิ ตามปกติแต่ จะต้ องนําแผนการแก้ ไขมาใช้ ทนทีท่ เป็ นไปได้ ั ี ระดับความเสี่ยงปานกลาง หมายถึงควรมีการแก้ ไขและ แผนการควบคุมควรได้้ รับการปรัั บปรุ งแล้้ วนํํามาใช้้ ความเสี่ ียง ไ ป ป ใ เป็ นฟั งก์ ชันของโอกาสที่จะเกิดเหตุการณ์ ใดๆ ซึ่งก่ อให้ เกิดภัย คุกคามในระบบที่ มีความอ่่ อนแอในการปกปองกัับความรุ นแรง ใ ี ใ ป ป ้ ของผลกระทบที่จะเกิดขึนจากภัยคุกคามนัน ้ ้
  • 29. ระดับความเสี่ยง (Risk Level) แบ่ งเป็ น 3 ระดับ ระดบความเสยงตา หมายถงระบบควรไดรบการตรวจสอบ ระดับความเสี่ยงตํ่า หมายถึงระบบควรได้ รับการตรวจสอบ เพื่อให้ แน่ ใจว่ าแผนการควบคุมที่มีอยู่จะสามารถแก้ ไขปั ญหาและ รบมอกบความเสยงได รั บมือกับความเสี่ยงได้
  • 30. การควบคุมภายในองค์ กรช่ วยลดระดับความเสี่ยงที่จะ เกิดกับระบบข้ อมูลสารสนเทศ และข้ อมูลอื่ นๆขององค์์ กร ให้ อยู่ในระดับที่สามารถยอมรั บได้ การเสนอวิธีการควบคุม เป็ นผลจากกระบวนการประเมินความเสี่ยงและเป็ นการ เตรยมขอมูลสาหรบกระบวนการลดระดบความเสยง เตรี ยมข้ อมลสําหรั บกระบวนการลดระดับความเสี่ยง
  • 31. เมื่อการประเมินความเสี่ยงเสร็จสมบูรณ์ แล้ ว ต้ องมี การรวบรวมข้ อมูลที่ เกี่ ยวข้ องทังหมดและจัดทําเอกสารสรุ ป ้ รายงานการประเมินความเสี่ยงเป็ นรายงานที่นําไปใช้ ร่วมกับ การบริหารจัดการ เพื่อประกอบการตัดสินใจต่ างๆของ องคกร องค์ กร
  • 32. 1. การศึกษาการบริหารจัดการความเสี่ยงในการพัฒนาระบบ ุ เทคโนโลยีสารสนเทศของธรกิจธนาคารไทย (ผาณิต ลิมเกียรติเชิดชู, วิทยาลัยนวัตกรรมอุดมศึกษา ้ มหาวิทยาลัยธรรมศาสตร์ , (2544)) ( )) 2 การศึกษาความเสี่ยงในโครงการเทคโนโลยีสารสนเทศ (Risk in Information Technology Project) gy j ) (จินตนา กองนิล,หลักสูตรวิทยาศาสตร์ มหาบัณฑิต สาขาวิชา เทคโนโลยีสารสนเทศสถาบันเทคโนโลยีพระจอมเกล้ าเจ้ าคุุณทหาร ลาดกระบัง, (2545))
  • 33. การประเมินความเสี่ยงเป็ นขันตอนสําคัญที่เลี่ยงไม่ ได้ ้ ผลการวเคราะหความเสยงคอ ผลการวิเคราะห์ ความเสี่ยงคือ • ตัวชีนําในการกําหนดนโยบายและการดําเนินการด้ านความ ้ มนคงสารสนเทศ ถาไมทาการวเคราะหความเสยงใหเปน มั่นคงสารสนเทศ ถ้ าไม่ ทาการวิเคราะห์ ความเสี่ยงให้ เป็ น ํ ประจํา ตามระยะเวลาที่กาหนดไว้ องค์ กรก็ไม่ สามารถรู้ ได้ ว่า ํ ปญหามอะไรบาง ปั ญหามีอะไรบ้ าง
  • 34. การประเมินความเสี่ยงเป็ นขันตอนสําคัญที่เลี่ยงไม่ ได้ ้ ผลการวเคราะหความเสยงคอ ผลการวิเคราะห์ ความเสี่ยงคือ • การกําหนดนโยบายความมั่นคง สารสนเทศโดยไม่ มีผลการ วเคราะหความเสยงชนา กเปนการนโยบายทไมมหลกการและ วิเคราะห์ ความเสี่ยงชีนํา ก็เป็ นการนโยบายที่ไม่ มีหลักการและ ้ ย่ อมไม่ ส่งผลดีต่อความมั่นคงสารสนเทศขององค์ กร องค์ กรที่ ดาเนนการดานสารสนเทศโดยไมมนโยบายความมนคง หรอม ดําเนินการด้ านสารสนเทศโดยไม่ มีนโยบายความมั่นคง หรื อมี เกิดความล้ มเหลวเพราะนโยบายไม่ มีส่ งชีนํา อาจนําไปสู่ระบบ ิ ้ สารสนเทศทไมสามารถดาเนนการไดโดยม สภาพพรอมใชงาน สารสนเทศที่ไม่ สามารถดําเนินการได้ โดยมี สภาพพร้ อมใช้ งาน บูรณการและการเก็บรกษาความลับที่เหมาะสม.
  • 35. การประเมินความเสี่ยงเป็ นขันตอนสําคัญที่เลี่ยงไม่ ได้ ้ ผลการวเคราะหความเสยงคอ ผลการวิเคราะห์ ความเสี่ยงคือ • ระบบสารสนเทศที่มีอาจส่ งผลให้ เกิด ความเสียหายด้ านความ ปลอดภยตอชวตและทรพยสนของผู ส่วนได้ เสีย อีกทังอาจเป็ น ปลอดภัยต่ อชีวตและทรั พย์ สินของผ้ มีสวนไดเสย อกทงอาจเปน ิ ้ สาเหตุท่ ทาให้ เกิด ภาวะเสี่ยงต่ อการฟองร้ องดําเนินคดีได้ . ื ํ ้
  • 36. Q & A