Enviar búsqueda
Cargar
IT Risk Assessment
•
1 recomendación
•
2,038 vistas
Banyong Jandragholica
Seguir
IT Risk Assessment
Leer menos
Leer más
Tecnología
Denunciar
Compartir
Denunciar
Compartir
1 de 37
Descargar ahora
Descargar para leer sin conexión
Recomendados
Aluminio apresentação montes
Aluminio apresentação montes
Flávia Xamã
تمارين محلولة لمادة عماره وبيئة
تمارين محلولة لمادة عماره وبيئة
Taha Farwan
سليمان بحث صنعاء القديمه.pdf
سليمان بحث صنعاء القديمه.pdf
sulimanAlruqimi
Workers' Compensation Insurance Fraud 101
Workers' Compensation Insurance Fraud 101
EMPLOYERS
Aula materiaismetlicos 20141_20140530155005
Aula materiaismetlicos 20141_20140530155005
Sidnei Silva
سلالم متحركة مصاعد م.pdf
سلالم متحركة مصاعد م.pdf
ssuser54bfb3
plan1
plan1
siriyong
Audit Risk Assessment Model Thai
Audit Risk Assessment Model Thai
Pairat Srivilairit
Recomendados
Aluminio apresentação montes
Aluminio apresentação montes
Flávia Xamã
تمارين محلولة لمادة عماره وبيئة
تمارين محلولة لمادة عماره وبيئة
Taha Farwan
سليمان بحث صنعاء القديمه.pdf
سليمان بحث صنعاء القديمه.pdf
sulimanAlruqimi
Workers' Compensation Insurance Fraud 101
Workers' Compensation Insurance Fraud 101
EMPLOYERS
Aula materiaismetlicos 20141_20140530155005
Aula materiaismetlicos 20141_20140530155005
Sidnei Silva
سلالم متحركة مصاعد م.pdf
سلالم متحركة مصاعد م.pdf
ssuser54bfb3
plan1
plan1
siriyong
Audit Risk Assessment Model Thai
Audit Risk Assessment Model Thai
Pairat Srivilairit
Risk Management : Cataloging Unit CMUMEDLIB
Risk Management : Cataloging Unit CMUMEDLIB
Ingfahx Punyaphet
Ethics, Security and Privacy Management of Hospital Data Part 2 (January 24, ...
Ethics, Security and Privacy Management of Hospital Data Part 2 (January 24, ...
Nawanan Theera-Ampornpunt
การป้องกันและระบบความปลอดภัย
การป้องกันและระบบความปลอดภัย
Kinko Rhino
learningunitonesciencecomputer4
learningunitonesciencecomputer4
Nopparat Suaychalad
Ch8
Ch8
Tong Thitipetchakul
Patient Privacy and Security of Health Information for Dental Students
Patient Privacy and Security of Health Information for Dental Students
Nawanan Theera-Ampornpunt
รู้เท่าทันไอที
รู้เท่าทันไอที
Prachyanun Nilsook
Security and Privacy Management of Patient Information (October 26, 2018)
Security and Privacy Management of Patient Information (October 26, 2018)
Nawanan Theera-Ampornpunt
ใช้ไอทีอย่างปลอดภัย พวกเราสบายใจ คนไข้ได้รับความคุ้มครอง: เรื่องเล่าจากรามาธิ...
ใช้ไอทีอย่างปลอดภัย พวกเราสบายใจ คนไข้ได้รับความคุ้มครอง: เรื่องเล่าจากรามาธิ...
Nawanan Theera-Ampornpunt
Cybersecurity workforce development toolkit
Cybersecurity workforce development toolkit
Settapong_CyberSecurity
Security Awareness Training for Ramathibodi Medical Residents and Fellows (Ju...
Security Awareness Training for Ramathibodi Medical Residents and Fellows (Ju...
Nawanan Theera-Ampornpunt
ใช้ไอทีอย่างปลอดภัย พวกเราสบายใจ คนไข้ได้รับความคุ้มครอง (Security Awareness ...
ใช้ไอทีอย่างปลอดภัย พวกเราสบายใจ คนไข้ได้รับความคุ้มครอง (Security Awareness ...
Nawanan Theera-Ampornpunt
Hospital Information System (HIS) (March 13, 2018)
Hospital Information System (HIS) (March 13, 2018)
Nawanan Theera-Ampornpunt
ACTEP2014: ED accreditation HA JCI TQA
ACTEP2014: ED accreditation HA JCI TQA
taem
Hospital Information System (June 26, 2018)
Hospital Information System (June 26, 2018)
Nawanan Theera-Ampornpunt
Risk Management 53
Risk Management 53
Liquor Distillery Organization
IT Security & Risk Management
IT Security & Risk Management
Nawanan Theera-Ampornpunt
Security & Privacy of Patient Information: เรื่องเล่าจากรามาธิบดี (April 17, ...
Security & Privacy of Patient Information: เรื่องเล่าจากรามาธิบดี (April 17, ...
Nawanan Theera-Ampornpunt
บันได 7 ขั้นสู่ความปลอดภัย
บันได 7 ขั้นสู่ความปลอดภัย
Suradet Sriangkoon
Gen1013 chapter 7
Gen1013 chapter 7
virod
Casestudy railway
Casestudy railway
Banyong Jandragholica
Clouds, big data, and smart assets
Clouds, big data, and smart assets
Banyong Jandragholica
Más contenido relacionado
Similar a IT Risk Assessment
Risk Management : Cataloging Unit CMUMEDLIB
Risk Management : Cataloging Unit CMUMEDLIB
Ingfahx Punyaphet
Ethics, Security and Privacy Management of Hospital Data Part 2 (January 24, ...
Ethics, Security and Privacy Management of Hospital Data Part 2 (January 24, ...
Nawanan Theera-Ampornpunt
การป้องกันและระบบความปลอดภัย
การป้องกันและระบบความปลอดภัย
Kinko Rhino
learningunitonesciencecomputer4
learningunitonesciencecomputer4
Nopparat Suaychalad
Ch8
Ch8
Tong Thitipetchakul
Patient Privacy and Security of Health Information for Dental Students
Patient Privacy and Security of Health Information for Dental Students
Nawanan Theera-Ampornpunt
รู้เท่าทันไอที
รู้เท่าทันไอที
Prachyanun Nilsook
Security and Privacy Management of Patient Information (October 26, 2018)
Security and Privacy Management of Patient Information (October 26, 2018)
Nawanan Theera-Ampornpunt
ใช้ไอทีอย่างปลอดภัย พวกเราสบายใจ คนไข้ได้รับความคุ้มครอง: เรื่องเล่าจากรามาธิ...
ใช้ไอทีอย่างปลอดภัย พวกเราสบายใจ คนไข้ได้รับความคุ้มครอง: เรื่องเล่าจากรามาธิ...
Nawanan Theera-Ampornpunt
Cybersecurity workforce development toolkit
Cybersecurity workforce development toolkit
Settapong_CyberSecurity
Security Awareness Training for Ramathibodi Medical Residents and Fellows (Ju...
Security Awareness Training for Ramathibodi Medical Residents and Fellows (Ju...
Nawanan Theera-Ampornpunt
ใช้ไอทีอย่างปลอดภัย พวกเราสบายใจ คนไข้ได้รับความคุ้มครอง (Security Awareness ...
ใช้ไอทีอย่างปลอดภัย พวกเราสบายใจ คนไข้ได้รับความคุ้มครอง (Security Awareness ...
Nawanan Theera-Ampornpunt
Hospital Information System (HIS) (March 13, 2018)
Hospital Information System (HIS) (March 13, 2018)
Nawanan Theera-Ampornpunt
ACTEP2014: ED accreditation HA JCI TQA
ACTEP2014: ED accreditation HA JCI TQA
taem
Hospital Information System (June 26, 2018)
Hospital Information System (June 26, 2018)
Nawanan Theera-Ampornpunt
Risk Management 53
Risk Management 53
Liquor Distillery Organization
IT Security & Risk Management
IT Security & Risk Management
Nawanan Theera-Ampornpunt
Security & Privacy of Patient Information: เรื่องเล่าจากรามาธิบดี (April 17, ...
Security & Privacy of Patient Information: เรื่องเล่าจากรามาธิบดี (April 17, ...
Nawanan Theera-Ampornpunt
บันได 7 ขั้นสู่ความปลอดภัย
บันได 7 ขั้นสู่ความปลอดภัย
Suradet Sriangkoon
Gen1013 chapter 7
Gen1013 chapter 7
virod
Similar a IT Risk Assessment
(20)
Risk Management : Cataloging Unit CMUMEDLIB
Risk Management : Cataloging Unit CMUMEDLIB
Ethics, Security and Privacy Management of Hospital Data Part 2 (January 24, ...
Ethics, Security and Privacy Management of Hospital Data Part 2 (January 24, ...
การป้องกันและระบบความปลอดภัย
การป้องกันและระบบความปลอดภัย
learningunitonesciencecomputer4
learningunitonesciencecomputer4
Ch8
Ch8
Patient Privacy and Security of Health Information for Dental Students
Patient Privacy and Security of Health Information for Dental Students
รู้เท่าทันไอที
รู้เท่าทันไอที
Security and Privacy Management of Patient Information (October 26, 2018)
Security and Privacy Management of Patient Information (October 26, 2018)
ใช้ไอทีอย่างปลอดภัย พวกเราสบายใจ คนไข้ได้รับความคุ้มครอง: เรื่องเล่าจากรามาธิ...
ใช้ไอทีอย่างปลอดภัย พวกเราสบายใจ คนไข้ได้รับความคุ้มครอง: เรื่องเล่าจากรามาธิ...
Cybersecurity workforce development toolkit
Cybersecurity workforce development toolkit
Security Awareness Training for Ramathibodi Medical Residents and Fellows (Ju...
Security Awareness Training for Ramathibodi Medical Residents and Fellows (Ju...
ใช้ไอทีอย่างปลอดภัย พวกเราสบายใจ คนไข้ได้รับความคุ้มครอง (Security Awareness ...
ใช้ไอทีอย่างปลอดภัย พวกเราสบายใจ คนไข้ได้รับความคุ้มครอง (Security Awareness ...
Hospital Information System (HIS) (March 13, 2018)
Hospital Information System (HIS) (March 13, 2018)
ACTEP2014: ED accreditation HA JCI TQA
ACTEP2014: ED accreditation HA JCI TQA
Hospital Information System (June 26, 2018)
Hospital Information System (June 26, 2018)
Risk Management 53
Risk Management 53
IT Security & Risk Management
IT Security & Risk Management
Security & Privacy of Patient Information: เรื่องเล่าจากรามาธิบดี (April 17, ...
Security & Privacy of Patient Information: เรื่องเล่าจากรามาธิบดี (April 17, ...
บันได 7 ขั้นสู่ความปลอดภัย
บันได 7 ขั้นสู่ความปลอดภัย
Gen1013 chapter 7
Gen1013 chapter 7
Más de Banyong Jandragholica
Casestudy railway
Casestudy railway
Banyong Jandragholica
Clouds, big data, and smart assets
Clouds, big data, and smart assets
Banyong Jandragholica
10 web trends to watch in 2010
10 web trends to watch in 2010
Banyong Jandragholica
20100808 rtarf banyong
20100808 rtarf banyong
Banyong Jandragholica
E risk ict_audit
E risk ict_audit
Banyong Jandragholica
HTML5_NAC
HTML5_NAC
Banyong Jandragholica
Cloud computing nac
Cloud computing nac
Banyong Jandragholica
Más de Banyong Jandragholica
(7)
Casestudy railway
Casestudy railway
Clouds, big data, and smart assets
Clouds, big data, and smart assets
10 web trends to watch in 2010
10 web trends to watch in 2010
20100808 rtarf banyong
20100808 rtarf banyong
E risk ict_audit
E risk ict_audit
HTML5_NAC
HTML5_NAC
Cloud computing nac
Cloud computing nac
IT Risk Assessment
1.
2.
Risk Assessment :
RA
3.
Risk Assessment :
RA Information Security Information Risk
4.
การประเมิ น ความเสี่
ยงเป็ น กระบวนการแรกในวธการบรหาร กระบวนการแรกในวิธีการบริ หาร จั ด ก า ร ค ว า ม เ สี่ ย ง ใ น ก า ร ตรวจสอบขอบเขตของความเสยง ตรวจสอบขอบเขตของความเสี่ยง แ ล ะ ภั ย คุ ก ค า ม ที่ ผ ล ที่ ไ ด้ จ า ก กระบวนการจะชวยใหสามารถหา กระบวนการจะช่ วยให้ สามารถหา วิธี การควบคุ ม ที่เหมาะสมสําหรั บ การลดหรอกาจดความเสยงท่ การลดหรื อกํ า จั ด ความเสี่ ยงที เกิดขึน้
5.
สามารถแบ่ งออกเป็ น
9 ขันตอนดังนี ้ ้ 1. การอธบายลกษณะของระบบ 1 การอธิบายลักษณะของระบบ (System Characterization) 2. การบงชภยคุกคาม (Threat Identification) 2 ่ ชี ้ ั (Th Id ifi i ) 3. การบ่ งชีความไม่ ม่ ันคง (Vulnerability Identification) ้ 4. การวิเคราะห์์ การควบคุม (Control Analysis) 5. การตรวจสอบโอกาสในการเกิดภัยคุกคาม (Likelihood Determination)
6.
สามารถแบ่ งออกเป็็ น
9 ขันตอนดังนี ้ ้ 6. การวิเคราะห์ ผลกระทบ (Impact Analysis) 7. การตรวจสอบความเสี่ยง (Risk Determination) 8. การเสนอวิธีการควบคม (Control Recommendations) การเสนอวธการควบคุม 9. การทําเอกสารสรุ ปผล (Result Documentation)
7.
การระบุของเขตในการพิจารณาจะต้ องคํานึงถึงจํานวน ทรพยากรและขอมูลขาวสารทมอยูในระบบ จะตองกาหนด ทรั
พยากรและข้ อมลข่ าวสารที่มีอย่ จะต้ องกําหนด ขอบเขตในการประเมินความเสี่ยง จําแนกขอบเขตการให้ สิิทธิิในการทํางาน และเตรีี ยมข้้ อมูลที่ มีผลต่่ อความเสี่ ียง ํ ี 1.ข้ อมูลที่สัมพันธ์ กับระบบ (System-Related Information) 2.เทคนิคการรวบรวมข้ อมููล (Information-Gathering Techniques)
8.
ข้ อมูลที่สัมพันธ์ กับระบบ
(System-Related Information) • อุปกรณฮารดแวร อปกรณ์ ฮาร์ ดแวร์ • ซอฟแวร์ • การเชื่อมต่ อระบบทังภายในและภายนอก การเชอมตอระบบทงภายในและภายนอก ้ • ระบบข้ อมูลและข่ าวสาร • บุคคลผู้ ท่ ดูแลและใช้้ งานระบบ ี ใ • พันธกิจของระบบ เช่ น กระบวนการที่ทาโดยระบบ ํ ข้ อมูลสารสนเทศ
9.
ข้ อมูลที่สัมพันธ์ กับระบบ
(System-Related Information) •ความสาคญของขอมูลและระบบ เชน คุณคาของระบบ •ความสําคัญของข้ อมลและระบบ เช่ น คณค่ าของระบบ หรื อความสําคัญที่มีต่อองค์ กร • ระดัับการปกปองข้้ อมูลและระบบ ป ป ้
10.
เทคนิคการรวบรวมข้ อมูล(Information-Gathering Techniques)
• ส่ วนแบบสอบถาม (Questionnaire) ในการรวบรวมข้ อมลที่ สวนแบบสอบถาม ในการรวบรวมขอมูลท เกี่ยวข้ อง ผู้ท่ ทาการประเมินความเสี่ยงสามารถปรับปรุ ง ี ํ แบบสอบถาม • ส่ วนการสัมภาษณ์ ตามสถานที่จริง (On-site Interviews) การสมภาษณบุคคลทมหนาทดูแลหรื อบริหารระบบข้ อมล การสัมภาษณ์ บคคลที่มีหน้ าที่ดแลหรอบรหารระบบขอมูล สารสนเทศทําให้ ผ้ ูประเมินความเสี่ยงสามารถรวบรวมข้ อมูลที่มี
11.
ภัยคุกคาม คือ สิ่งที่เป็
นไปได้ ท่ แหล่ งกําเนิดภัยคุกคาม ี จะกระทาตอสงทไมมความมนคง จะกระทําต่ อสิ่งที่ไม่ มีความมั่นคง ความไม่ ม่ ันคงคือความอ่ อนแอของสิ่งหนึ่งทําให้ ได้ รับ ผลกระทบจากภายนอกไดงาย ไ ้่ การบ่ งชีแหล่ งกําเนิดภัยคุกคาม (Threat-Source Identification) ้ เปาหมายของขันตอนนีคือ ระบุแหล่ งกําเนิดของภัยคุกคาม ้ ้ ้ และประมวลผลเป็ นรายชื่อภัยคุุกคามที่มีผลต่ อระบบข้ อมููล สามารถแบ่ งออกเป็ น 3 ประเภทดังนี ้
12.
ประเภทแรก ภัยคุกคามโดยธรรมชาติ (Natural
Threats) เช่่ น นํําท่่ วม แผ่่ นดินไหว พายุ เป็ นต้้ น ้ ิ ไ ป็ ประเภทสอง ภัยคุกคามโดยมนุษย์ (Human Threats) ทัง ้ การกระทําที่ เกิดจากความไม่ ตังใจและการกระทําผิดโดย ้ เจตนา ประเภทสาม ภัยคุกคามจากสภาพแวดล้ อม (Environment Threats) เช่ น ระบบไฟฟาขัดข้ อง มลภาวะ สารเคมีร่ ั วไหล เชน ระบบไฟฟาขดของ, มลภาวะ, สารเคมรวไหล ้ เป็ นต้ น
13.
Natural Threats
Th Human Threats Motivation and Threat Actions Threat Actions Environment Threats
14.
การวิเคราะห์ ภยคุกคามที่มีต่อระบบข้ อมูลสารสนเทศ
ั ตองมการวเคราะหความออนแอไมมนคงของสภาพแวด ต้ องมีการวิเคราะห์ ความอ่ อนแอไม่ ม่ ันคงของสภาพแวด ล้ อม ของระบบ เปาหมายของขันตอนนีคือการพัฒนา ้ ้ ้ รายการความไมมนคงของระบบที่ ทาใ ้ ไ ่ ่ั ี ํ ใหระบบมีีโอกาส ได้ รับภัยคุกคาม
15.
ความไมมันคง
่ ่ แหลงกําเนิดภัยคุกคาม ่ ปฏิกรยาภัยคุกคาม ิ ิ (Vulnerability) (Threat‐Source) (Threat‐Action) ไมมีีการลบขอมูลของ พนกงานทหมดสภาพ ไ ่ ้ พนักงานที่หมดสภาพ การแอบเข้้ ามาดึงข้้ อมูล ึ พนักงานที่ออกจาก การเป็ นพนักงานของ สําคัญของบริษัทโดย บริษัทไปแล้ วจากระบบ บริษัท บรษทไปแลวจากระบบ ร การตอโมเดมเขามาใน การต่ อโมเดมเข้ ามาใน บริษัท ศนย์ กลางข้ อมลใช้ ระบบ ไฟ, บคคลที่เพิกเฉย ู ู ไฟ, บุคคลทเพกเฉย ระบบนาฉดพนทางาน ระบบนําฉีดพ่ นทํางาน ้ พ่ นนําเพื่อปองกันไฟไหม้ ไม่ ให้ ความใส่ ใจ ้ ้ เมื่อเกิดไฟไหม้ แต่ ไม่ มีอุปกรณ์ กันนํา ้ สําหรัับอุปกรณ์์ ไฟฟาและ ํ ้ เอกสารข้ อมูลต่ างๆ
16.
เปาหมายของขันตอนนีเ้ พื่อวิเคราะห์ การควบคุมที่
้ ้ องค์์ กรใช้้ อยู่หรืื อที่ วางแผนไว้้ เพื่ อลดหรืื อกําจัดโอกาสที่ ี ใ ี ไ ื ํ ั โ จะเกิดภัยคุกคาม ได้ 2 อย่ างคือ • วิธีการควบคุม (Control Method) • ประเภทของการควบคุุม (Control Category)
17.
วิธีการควบคุม (Control Method)
การควบคุมการรั กษา ความปลอดภัยอาศัยวิธีการควบคุมทังเชิงเทคนิคและที่ไม่ ใช่ ้ เชิงเทคนิค การควบคมเชิงเ นคคือการปกปองระบบเกี่ยว บ ร ว ุมเ เทคนิ ร ้ ร เ วกั อุปกรณ์ ฮาร์ ดแวร์ ซอฟแวร์ ของเครื่ องคอมพิวเตอร์ เช่ น วธการเขารหสขอมูล วิธีการเข้ ารหัสข้ อมล การควบคุมที่ไม่ ใช่ เชิงเทคนิคคือการบริหารจัดการ และควบคุมการปฏิบตงานเช่่ น นโยบายรัั กษาความ ป ิ ั ิ โ ปลอดภัย
18.
ประเภทของการควบคุม (Control Category)
การควบคุม ทงเชงเทคนค และทไมใชเชงเทคนคถูกแบงประเภทได 2 ทังเชิงเทคนิค และที่ไม่ ใช่ เชิงเทคนิคถกแบ่ งประเภทได้ ้ ประเภทคือการควบคุมแบบปองกัน และการควบคุมแบบ ้ ตรวจจบ ั การควบคุมแบบปองกันมีจุดประสงค์ เพื่อไม่ ให้ เกิด ้ ความไม่ ปลอดภัยกับระบบ การควบคุุมแบบตรวจจับมีจุดประสงค์ เพื่อแจ้ งให้ ทราบว่ าเกิดความไม่ ปลอดภัยขึนบนระบบ ้
19.
การวดระดบโอกาสทจะเกดความเสยงซงบงชถงความ
การวัดระดับโอกาสที่จะเกิดความเสี่ยงซึ่งบ่ งชีถงความ ้ึ เป็ นไปได้ ท่ ระบบจะไม่ มีความมั่นคงสามารถทําได้ เมื่ออยู่ใน ี สภาพแวดลอมทมภยคุกคาม ปั ั ่ ี ้ ิ ส ้ ่ี ี ั ปจจยทตองพจารณาไดแก่ ไ ้ • ความสามารถของแหล่ งกําเนิดภัยคุกคามในการ ก่ อให้ เกิดความเสี่ ยง • ธรรมชาติของความไม่ ม่ ันคงที่ก่อให้ เกิดความเสี่ยง • ความมีประสิทธิภาพของวิธีการควบคุมที่มีอยู่
20.
ระดบสูง หมายถง แหลงกาเนดภยคุกคามมความสามารถ
ระดับสง หมายถึง แหล่ งกําเนิดภัยคกคามมีความสามารถ สูงในการกระตุ้นและก่ อให้ เกิดความเสี่ยงต่ อระบบและวิธีการ ควบคุมทมอยู มมประสทธภาพ ควบคมที่มีอย่ ไม่ มีประสิทธิภาพ ระดับปานกลาง หมายถึง แหล่ งกําเนิดภัยคุกคามมีความ สามารถพอ ที่จะก่ อให้ เกิดความเสี่ยงต่ อระบบได้ แต่ ระบบมี การควบคุมที่มีประสิทธิ ภาพทําให้ สามารถปองกันระบบจาก ้ ความไม่ ม่ ันคงที่เกิดขึน ้
21.
ระดับตํ่า หมายถึง แหล่
งกําเนิดภัยคุุกคามไม่ สามารถ สร้ างความเสี่ยงให้ แก่ ระบบได้ หรื อวิธีการควบคุมความ ปลอดภัยของระบบมีประสิทธิภาพสููง สามารถรั กษาความ มั่นคงของระบบได้ ดี
22.
การวัดระดับความเสี่ยงคือการตรวจสอบผลกระทบต่ อ ระบบเมื่ ือเกิดภยคุกคามขึน
กอนที่ จะเริ่ ิมวิเคราะห์ ิ ั ึ้ ่ ี ิ ผลกระทบ ทัง 3 ด้ าน ้ • พันธกิจของระบบ (System mission) • ความสําคัญของระบบและข้ อมููล (System and data criticality) • ความไวต่ อการเปลี่ยนแปลงของระบบและข้ อมล ความไวตอการเปลยนแปลงของระบบและขอมูล (System and data sensitivity)
23.
ผลกระทบระดับสูง หมายถึง ความไม่
ม่ ันคงของระบบ ส่ งผลให้ เกิดการสญเสียทรั พย์ สิน และทรั พยากรหลักของ ูญ องค์ กรจํานวนมาก หรื อเป็ นอันตรายร้ ายแรงต่ อพันธกิจ และองค์ กร ผลกระทบระดับปานกลาง หมายถึง ความไม่ ม่ ันคงของ ระบบส่ งผลให้้ เกิดการสูญเสีียทรััพย์์ สิน และทรััพยากรของ ใ ิ องค์ กร หรื อส่ งผลต่ อพันธกิจและองค์ กร
24.
ผลกระทบระดับตํ่า หมายถึง ความไม่
ม่ ันคงของระบบ สงผลใหเกดการสูญเสยทรพยสนและทรพยากรขององคกร ส่ งผลให้ เกิดการสญเสียทรั พย์ สินและทรั พยากรขององค์ กร เล็กน้ อย หรื อส่ งผลต่ อพันธกิจหรื อชื่อเสียงขององค์ กรบ้ าง เลกนอย เล็กน้ อย
25.
การตรวจสอบความเสี่ ย งจะพิ
จ ารณาจากปั จจั ย จาก ขนตอนทผานมาไดแก โอกาสทภยคุ กคามทเกดขนทาให ขั นตอนที่ผ่านมาได้ แก่ โอกาสที่ภัยคกคามที่เกิด ขึน ทํา ให้ ้ ้ ระบบขาดความมั่ น คง, ระดั บ ผลกระทบหรื อ ความรุ น แรง ของภััยคุกคามที่ ีมีต่อระบบ และประสิิทธิิภาพของแผนการ ป ควบคุ ม ความปลอดภั ย ของระบบ โดยใช้ วิ ธี ม าตรฐาน เมตริกซ์ ระดับความเสี่ยง (Risk-Level Matrix)
26.
วิธีมาตรฐานเมตริกซ์ ระดับความเสี่ยง (Risk-Level
Matrix) โอกาสเกดความเสยง (Likelihood) กบ ความรุ นแรงของ โอกาสเกิดความเสี่ยง (Lik lih d) กับ ความรนแรงของ ความเสี่ยง (Impact)
27.
โอกาสการเกิด
ความรุ นแรงของความเสี่ยง (Impact) ความเสี่ยง ตา (10) ตํ่า ปานกลาง (50) สูง (100) สง (Likelihood) สูง (1.0) ตํํ่า ปานกลาง สูง 10 x 1.0 = 10 50 x 1.0 = 50 100 x 1.0 = 100 ปานกลาง (0.5) ตา ํ่ ปานกลาง ป ปานกลาง ป 10 x 0.5 = 5 50 x 0.5 = 25 100 x 0.5 = 50 ตํ่า (0.1) ตา ตํ่า ตา ตํ่า ตา ตํ่า 10 x 0.1 = 1 50 x 0.1 = 5 100 x 0.1 = 10
28.
ระดับความเสี่ยง (Risk Level)
แบ่ งเป็ น 3 ระดับ ระดับความเสี่ยงสง หมายถึงจําเป็ นต้ องได้ รับการแก้ ไข ู อย่ างเร่ งด่ วน ระบบที่ดาเนินอยู่อาจจะยังคงปฏิบัตงาน ํ ิ ตามปกติแต่ จะต้ องนําแผนการแก้ ไขมาใช้ ทนทีท่ เป็ นไปได้ ั ี ระดับความเสี่ยงปานกลาง หมายถึงควรมีการแก้ ไขและ แผนการควบคุมควรได้้ รับการปรัั บปรุ งแล้้ วนํํามาใช้้ ความเสี่ ียง ไ ป ป ใ เป็ นฟั งก์ ชันของโอกาสที่จะเกิดเหตุการณ์ ใดๆ ซึ่งก่ อให้ เกิดภัย คุกคามในระบบที่ มีความอ่่ อนแอในการปกปองกัับความรุ นแรง ใ ี ใ ป ป ้ ของผลกระทบที่จะเกิดขึนจากภัยคุกคามนัน ้ ้
29.
ระดับความเสี่ยง (Risk Level)
แบ่ งเป็ น 3 ระดับ ระดบความเสยงตา หมายถงระบบควรไดรบการตรวจสอบ ระดับความเสี่ยงตํ่า หมายถึงระบบควรได้ รับการตรวจสอบ เพื่อให้ แน่ ใจว่ าแผนการควบคุมที่มีอยู่จะสามารถแก้ ไขปั ญหาและ รบมอกบความเสยงได รั บมือกับความเสี่ยงได้
30.
การควบคุมภายในองค์ กรช่ วยลดระดับความเสี่ยงที่จะ เกิดกับระบบข้
อมูลสารสนเทศ และข้ อมูลอื่ นๆขององค์์ กร ให้ อยู่ในระดับที่สามารถยอมรั บได้ การเสนอวิธีการควบคุม เป็ นผลจากกระบวนการประเมินความเสี่ยงและเป็ นการ เตรยมขอมูลสาหรบกระบวนการลดระดบความเสยง เตรี ยมข้ อมลสําหรั บกระบวนการลดระดับความเสี่ยง
31.
เมื่อการประเมินความเสี่ยงเสร็จสมบูรณ์ แล้ ว
ต้ องมี การรวบรวมข้ อมูลที่ เกี่ ยวข้ องทังหมดและจัดทําเอกสารสรุ ป ้ รายงานการประเมินความเสี่ยงเป็ นรายงานที่นําไปใช้ ร่วมกับ การบริหารจัดการ เพื่อประกอบการตัดสินใจต่ างๆของ องคกร องค์ กร
32.
1. การศึกษาการบริหารจัดการความเสี่ยงในการพัฒนาระบบ
ุ เทคโนโลยีสารสนเทศของธรกิจธนาคารไทย (ผาณิต ลิมเกียรติเชิดชู, วิทยาลัยนวัตกรรมอุดมศึกษา ้ มหาวิทยาลัยธรรมศาสตร์ , (2544)) ( )) 2 การศึกษาความเสี่ยงในโครงการเทคโนโลยีสารสนเทศ (Risk in Information Technology Project) gy j ) (จินตนา กองนิล,หลักสูตรวิทยาศาสตร์ มหาบัณฑิต สาขาวิชา เทคโนโลยีสารสนเทศสถาบันเทคโนโลยีพระจอมเกล้ าเจ้ าคุุณทหาร ลาดกระบัง, (2545))
33.
การประเมินความเสี่ยงเป็ นขันตอนสําคัญที่เลี่ยงไม่ ได้
้ ผลการวเคราะหความเสยงคอ ผลการวิเคราะห์ ความเสี่ยงคือ • ตัวชีนําในการกําหนดนโยบายและการดําเนินการด้ านความ ้ มนคงสารสนเทศ ถาไมทาการวเคราะหความเสยงใหเปน มั่นคงสารสนเทศ ถ้ าไม่ ทาการวิเคราะห์ ความเสี่ยงให้ เป็ น ํ ประจํา ตามระยะเวลาที่กาหนดไว้ องค์ กรก็ไม่ สามารถรู้ ได้ ว่า ํ ปญหามอะไรบาง ปั ญหามีอะไรบ้ าง
34.
การประเมินความเสี่ยงเป็ นขันตอนสําคัญที่เลี่ยงไม่ ได้
้ ผลการวเคราะหความเสยงคอ ผลการวิเคราะห์ ความเสี่ยงคือ • การกําหนดนโยบายความมั่นคง สารสนเทศโดยไม่ มีผลการ วเคราะหความเสยงชนา กเปนการนโยบายทไมมหลกการและ วิเคราะห์ ความเสี่ยงชีนํา ก็เป็ นการนโยบายที่ไม่ มีหลักการและ ้ ย่ อมไม่ ส่งผลดีต่อความมั่นคงสารสนเทศขององค์ กร องค์ กรที่ ดาเนนการดานสารสนเทศโดยไมมนโยบายความมนคง หรอม ดําเนินการด้ านสารสนเทศโดยไม่ มีนโยบายความมั่นคง หรื อมี เกิดความล้ มเหลวเพราะนโยบายไม่ มีส่ งชีนํา อาจนําไปสู่ระบบ ิ ้ สารสนเทศทไมสามารถดาเนนการไดโดยม สภาพพรอมใชงาน สารสนเทศที่ไม่ สามารถดําเนินการได้ โดยมี สภาพพร้ อมใช้ งาน บูรณการและการเก็บรกษาความลับที่เหมาะสม.
35.
การประเมินความเสี่ยงเป็ นขันตอนสําคัญที่เลี่ยงไม่ ได้
้ ผลการวเคราะหความเสยงคอ ผลการวิเคราะห์ ความเสี่ยงคือ • ระบบสารสนเทศที่มีอาจส่ งผลให้ เกิด ความเสียหายด้ านความ ปลอดภยตอชวตและทรพยสนของผู ส่วนได้ เสีย อีกทังอาจเป็ น ปลอดภัยต่ อชีวตและทรั พย์ สินของผ้ มีสวนไดเสย อกทงอาจเปน ิ ้ สาเหตุท่ ทาให้ เกิด ภาวะเสี่ยงต่ อการฟองร้ องดําเนินคดีได้ . ื ํ ้
36.
Q & A
37.
Thank You… Security Group
Descargar ahora