it risk assessment
DESCRIPTION
IT Risk AssessmentTRANSCRIPT
![Page 1: IT Risk Assessment](https://reader034.vdocument.in/reader034/viewer/2022051412/549555d1ac79590e2e8b4e37/html5/thumbnails/1.jpg)
![Page 2: IT Risk Assessment](https://reader034.vdocument.in/reader034/viewer/2022051412/549555d1ac79590e2e8b4e37/html5/thumbnails/2.jpg)
Risk AssessmentRisk Assessment : RA: RA
![Page 3: IT Risk Assessment](https://reader034.vdocument.in/reader034/viewer/2022051412/549555d1ac79590e2e8b4e37/html5/thumbnails/3.jpg)
Risk AssessmentRisk Assessment : RA: RA
InformationSecuritySecurity
Information Risk
![Page 4: IT Risk Assessment](https://reader034.vdocument.in/reader034/viewer/2022051412/549555d1ac79590e2e8b4e37/html5/thumbnails/4.jpg)
การประเมนความเ สยง เ ปน
กระบวนการแรกในวธการบรหารกระบวนการแรกในวธการบรหาร
จ ด ก า ร ค ว า ม เ ส ย ง ใ น ก า ร
ตรวจสอบขอบเขตของความเสยงตรวจสอบขอบเขตของความเสยง
และภ ย ค กค ามท ผ ลท ไ ด จ า ก
กระบวนการจะชวยใหสามารถหากระบวนการจะชวยใหสามารถหา
วธการควบคมท เหมาะสมสาหรบ
การลดหรอกาจดความเ สยงทการลดหรอกาจดความเสยงท
เกดขน
![Page 5: IT Risk Assessment](https://reader034.vdocument.in/reader034/viewer/2022051412/549555d1ac79590e2e8b4e37/html5/thumbnails/5.jpg)
สามารถแบงออกเปน 9 ขนตอนดงน
1 การอธบายลกษณะของระบบ1. การอธบายลกษณะของระบบ
(System Characterization)
2 ช (Th Id ifi i )2. การบงชภยคกคาม (Threat Identification)
3. การบงชความไมมนคง (Vulnerability Identification)
4. การวเคราะหการควบคม (Control Analysis)
5. การตรวจสอบโอกาสในการเกดภยคกคาม
(Likelihood Determination)
![Page 6: IT Risk Assessment](https://reader034.vdocument.in/reader034/viewer/2022051412/549555d1ac79590e2e8b4e37/html5/thumbnails/6.jpg)
สามารถแบงออกเปน 9 ขนตอนดงน
6. การวเคราะหผลกระทบ (Impact Analysis)
7. การตรวจสอบความเสยง (Risk Determination)
8. การเสนอวธการควบคม (Control Recommendations) 8. การเสนอวธการควบคม (Control Recommendations)
9. การทาเอกสารสรปผล (Result Documentation)
![Page 7: IT Risk Assessment](https://reader034.vdocument.in/reader034/viewer/2022051412/549555d1ac79590e2e8b4e37/html5/thumbnails/7.jpg)
การระบของเขตในการพจารณาจะตองคานงถงจานวน
ทรพยากรและขอมลขาวสารทมอยในระบบ จะตองกาหนดทรพยากรและขอมลขาวสารทมอยในระบบ จะตองกาหนด
ขอบเขตในการประเมนความเสยง จาแนกขอบเขตการให
ใ สทธในการทางาน และเตรยมขอมลทมผลตอความเสยง
1.ขอมลทสมพนธกบระบบ (System-Related Information)
2.เทคนคการรวบรวมขอมล (Information-Gathering Techniques)
![Page 8: IT Risk Assessment](https://reader034.vdocument.in/reader034/viewer/2022051412/549555d1ac79590e2e8b4e37/html5/thumbnails/8.jpg)
ขอมลทสมพนธกบระบบ (System-Related Information)
• อปกรณฮารดแวร อปกรณฮารดแวร
• ซอฟแวร
• การเชอมตอระบบทงภายในและภายนอก• การเชอมตอระบบทงภายในและภายนอก
• ระบบขอมลและขาวสาร
ใ • บคคลผทดแลและใชงานระบบ
• พนธกจของระบบ เชน กระบวนการททาโดยระบบ
ขอมลสารสนเทศ
![Page 9: IT Risk Assessment](https://reader034.vdocument.in/reader034/viewer/2022051412/549555d1ac79590e2e8b4e37/html5/thumbnails/9.jpg)
ขอมลทสมพนธกบระบบ (System-Related Information)
•ความสาคญของขอมลและระบบ เชน คณคาของระบบ•ความสาคญของขอมลและระบบ เชน คณคาของระบบ
หรอความสาคญทมตอองคกร
ป ป • ระดบการปกปองขอมลและระบบ
![Page 10: IT Risk Assessment](https://reader034.vdocument.in/reader034/viewer/2022051412/549555d1ac79590e2e8b4e37/html5/thumbnails/10.jpg)
เทคนคการรวบรวมขอมล(Information-Gathering Techniques)
• สวนแบบสอบถาม (Questionnaire) ในการรวบรวมขอมลท สวนแบบสอบถาม (Questionnaire) ในการรวบรวมขอมลท
เกยวของ ผททาการประเมนความเสยงสามารถปรบปรง
แบบสอบถามแบบสอบถาม
• สวนการสมภาษณตามสถานทจรง (On-site Interviews)
การสมภาษณบคคลทมหนาทดแลหรอบรหารระบบขอมลการสมภาษณบคคลทมหนาทดแลหรอบรหารระบบขอมล
สารสนเทศทาใหผประเมนความเสยงสามารถรวบรวมขอมลทม
![Page 11: IT Risk Assessment](https://reader034.vdocument.in/reader034/viewer/2022051412/549555d1ac79590e2e8b4e37/html5/thumbnails/11.jpg)
ภยคกคาม คอ สงทเปนไปไดทแหลงกาเนดภยคกคาม
จะกระทาตอสงทไมมความมนคง จะกระทาตอสงทไมมความมนคง
ความไมมนคงคอความออนแอของสงหนงทาใหไดรบ
ไ ผลกระทบจากภายนอกไดงาย
การบงชแหลงกาเนดภยคกคาม (Threat-Source Identification)
เปาหมายของขนตอนนคอ ระบแหลงกาเนดของภยคกคาม
และประมวลผลเปนรายชอภยคกคามทมผลตอระบบขอมล
สามารถแบงออกเปน 3 ประเภทดงน
![Page 12: IT Risk Assessment](https://reader034.vdocument.in/reader034/viewer/2022051412/549555d1ac79590e2e8b4e37/html5/thumbnails/12.jpg)
ประเภทแรก ภยคกคามโดยธรรมชาต (Natural Threats)
ไ ป เชน นาทวม แผนดนไหว พาย เปนตน
ประเภทสอง ภยคกคามโดยมนษย (Human Threats) ทง
การกระทาทเกดจากความไมตงใจและการกระทาผดโดย
เจตนา
ประเภทสาม ภยคกคามจากสภาพแวดลอม (Environment
Threats) เชน ระบบไฟฟาขดของ มลภาวะ สารเคมรวไหล Threats) เชน ระบบไฟฟาขดของ, มลภาวะ, สารเคมรวไหล
เปนตน
![Page 13: IT Risk Assessment](https://reader034.vdocument.in/reader034/viewer/2022051412/549555d1ac79590e2e8b4e37/html5/thumbnails/13.jpg)
Natural
ThThreats
Human Threats Motivation and
Threat Actions
Environment
Threat Actions
Threats
![Page 14: IT Risk Assessment](https://reader034.vdocument.in/reader034/viewer/2022051412/549555d1ac79590e2e8b4e37/html5/thumbnails/14.jpg)
การวเคราะหภยคกคามทมตอระบบขอมลสารสนเทศ
ตองมการวเคราะหความออนแอไมมนคงของสภาพแวดตองมการวเคราะหความออนแอไมมนคงของสภาพแวด
ลอม ของระบบ เปาหมายของขนตอนนคอการพฒนา
ไ ใ โรายการความไมมนคงของระบบททาใหระบบมโอกาส
ไดรบภยคกคาม
![Page 15: IT Risk Assessment](https://reader034.vdocument.in/reader034/viewer/2022051412/549555d1ac79590e2e8b4e37/html5/thumbnails/15.jpg)
ความไมมนคง(Vulnerability)
แหลงกาเนดภยคกคาม(Threat‐Source)
ปฏกรยาภยคกคาม(Threat‐Action)
ไ พนกงานทหมดสภาพ ไมมการลบขอมลของ
พนกงานทออกจาก
บรษทไปแลวจากระบบ
พนกงานทหมดสภาพ
การเปนพนกงานของ
บรษท
การแอบเขามาดงขอมล
สาคญของบรษทโดย
การตอโมเดมเขามาในบรษทไปแลวจากระบบ ร การตอโมเดมเขามาใน
บรษท
ศนยกลางขอมลใชระบบ ไฟ, บคคลทเพกเฉย ระบบนาฉดพนทางาน
พนนาเพอปองกนไฟไหม
แตไมมอปกรณกนนา
ป ไฟฟ
ไฟ, บคคลทเพกเฉยไมใหความใสใจ
ระบบนาฉดพนทางาน
เมอเกดไฟไหม
สาหรบอปกรณไฟฟาและ
เอกสารขอมลตางๆ
![Page 16: IT Risk Assessment](https://reader034.vdocument.in/reader034/viewer/2022051412/549555d1ac79590e2e8b4e37/html5/thumbnails/16.jpg)
เปาหมายของขนตอนนเพอวเคราะหการควบคมท
ใ ไ โ องคกรใชอยหรอทวางแผนไวเพอลดหรอกาจดโอกาสท
จะเกดภยคกคาม ได 2 อยางคอ
• วธการควบคม (Control Method)
• ประเภทของการควบคม (Control Category)
![Page 17: IT Risk Assessment](https://reader034.vdocument.in/reader034/viewer/2022051412/549555d1ac79590e2e8b4e37/html5/thumbnails/17.jpg)
วธการควบคม (Control Method) การควบคมการรกษา
ความปลอดภยอาศยวธการควบคมทงเชงเทคนคและทไมใช
เชงเทคนค
การควบคมเชงเทคนคคอการปกปองระบบเกยวกบร ว มเ เ น ร ร เ ว
อปกรณฮารดแวร ซอฟแวรของเครองคอมพวเตอร เชน
วธการเขารหสขอมลวธการเขารหสขอมล
การควบคมทไมใชเชงเทคนคคอการบรหารจดการ
ป โ และควบคมการปฏบตงานเชน นโยบายรกษาความ
ปลอดภย
![Page 18: IT Risk Assessment](https://reader034.vdocument.in/reader034/viewer/2022051412/549555d1ac79590e2e8b4e37/html5/thumbnails/18.jpg)
ประเภทของการควบคม (Control Category) การควบคม
ทงเชงเทคนค และทไมใชเชงเทคนคถกแบงประเภทได 2 ทงเชงเทคนค และทไมใชเชงเทคนคถกแบงประเภทได 2
ประเภทคอการควบคมแบบปองกน และการควบคมแบบ
ตรวจจบ
การควบคมแบบปองกนมจดประสงคเพอไมใหเกด
ความไมปลอดภยกบระบบ
การควบคมแบบตรวจจบมจดประสงคเพอแจงให
ทราบวาเกดความไมปลอดภยขนบนระบบ
![Page 19: IT Risk Assessment](https://reader034.vdocument.in/reader034/viewer/2022051412/549555d1ac79590e2e8b4e37/html5/thumbnails/19.jpg)
การวดระดบโอกาสทจะเกดความเสยงซงบงชถงความ การวดระดบโอกาสทจะเกดความเสยงซงบงชถงความ
เปนไปไดทระบบจะไมมความมนคงสามารถทาไดเมออยใน
ส ป ไ สภาพแวดลอมทมภยคกคาม ปจจยทตองพจารณาไดแก
• ความสามารถของแหลงกาเนดภยคกคามในการ
กอใหเกดความเสยง
• ธรรมชาตของความไมมนคงทกอใหเกดความเสยง
• ความมประสทธภาพของวธการควบคมทมอย
![Page 20: IT Risk Assessment](https://reader034.vdocument.in/reader034/viewer/2022051412/549555d1ac79590e2e8b4e37/html5/thumbnails/20.jpg)
ระดบสง หมายถง แหลงกาเนดภยคกคามมความสามารถ ระดบสง หมายถง แหลงกาเนดภยคกคามมความสามารถ
สงในการกระตนและกอใหเกดความเสยงตอระบบและวธการ
ควบคมทมอยไมมประสทธภาพควบคมทมอยไมมประสทธภาพ
ระดบปานกลาง หมายถง แหลงกาเนดภยคกคามมความ
สามารถพอ ทจะกอใหเกดความเสยงตอระบบได แตระบบม
การควบคมทมประสทธ ภาพทาใหสามารถปองกนระบบจาก
ความไมมนคงทเกดขน
![Page 21: IT Risk Assessment](https://reader034.vdocument.in/reader034/viewer/2022051412/549555d1ac79590e2e8b4e37/html5/thumbnails/21.jpg)
ระดบตา หมายถง แหลงกาเนดภยคกคามไมสามารถ
สรางความเสยงใหแกระบบได หรอวธการควบคมความ
ปลอดภยของระบบมประสทธภาพสง สามารถรกษาความ
มนคงของระบบไดด
![Page 22: IT Risk Assessment](https://reader034.vdocument.in/reader034/viewer/2022051412/549555d1ac79590e2e8b4e37/html5/thumbnails/22.jpg)
การวดระดบความเสยงคอการตรวจสอบผลกระทบตอ
ระบบเมอเกดภยคกคามขน กอนทจะเรมวเคราะห
ผลกระทบ ทง 3 ดาน
• พนธกจของระบบ (System mission)
• ความสาคญของระบบและขอมล
(System and data criticality)
• ความไวตอการเปลยนแปลงของระบบและขอมล ความไวตอการเปลยนแปลงของระบบและขอมล
(System and data sensitivity)
![Page 23: IT Risk Assessment](https://reader034.vdocument.in/reader034/viewer/2022051412/549555d1ac79590e2e8b4e37/html5/thumbnails/23.jpg)
ผลกระทบระดบสง หมายถง ความไมมนคงของระบบ
สงผลใหเกดการสญเสยทรพยสน และทรพยากรหลกของ ญ
องคกรจานวนมาก หรอเปนอนตรายรายแรงตอพนธกจ
และองคกร
ผลกระทบระดบปานกลาง หมายถง ความไมมนคงของ
ใ ระบบสงผลใหเกดการสญเสยทรพยสน และทรพยากรของ
องคกร หรอสงผลตอพนธกจและองคกร
![Page 24: IT Risk Assessment](https://reader034.vdocument.in/reader034/viewer/2022051412/549555d1ac79590e2e8b4e37/html5/thumbnails/24.jpg)
ผลกระทบระดบตา หมายถง ความไมมนคงของระบบ
สงผลใหเกดการสญเสยทรพยสนและทรพยากรขององคกรสงผลใหเกดการสญเสยทรพยสนและทรพยากรขององคกร
เลกนอย หรอสงผลตอพนธกจหรอชอเสยงขององคกรบาง
เลกนอยเลกนอย
![Page 25: IT Risk Assessment](https://reader034.vdocument.in/reader034/viewer/2022051412/549555d1ac79590e2e8b4e37/html5/thumbnails/25.jpg)
การตรวจสอบความเสยงจะพจารณาจากปจจยจาก
ขนตอนท ผานมาไดแก โอกาสทภยคกคามท เกดขนทาใหขนตอนทผานมาไดแก โอกาสทภยคกคามทเกดขนทาให
ระบบขาดความม นคง, ระดบผลกระทบหรอความรนแรง
ป ของภยคกคามทมตอระบบ และประสทธภาพของแผนการ
ควบคมความปลอดภยของระบบ โดยใชว ธมาตรฐาน
เมตรกซระดบความเสยง (Risk-Level Matrix)
![Page 26: IT Risk Assessment](https://reader034.vdocument.in/reader034/viewer/2022051412/549555d1ac79590e2e8b4e37/html5/thumbnails/26.jpg)
วธมาตรฐานเมตรกซระดบความเสยง (Risk-Level Matrix)
โอกาสเกดความเสยง (Lik lih d) กบ ความรนแรงของ โอกาสเกดความเสยง (Likelihood) กบ ความรนแรงของ
ความเสยง (Impact)
![Page 27: IT Risk Assessment](https://reader034.vdocument.in/reader034/viewer/2022051412/549555d1ac79590e2e8b4e37/html5/thumbnails/27.jpg)
โอกาสการเกด
ความเสยง
ความรนแรงของความเสยง (Impact)
ตา (10) ปานกลาง (50) สง (100)(Likelihood)
ตา (10) ปานกลาง (50) สง (100)
สง (1.0)
ตา
10 x 1.0 = 10
ปานกลาง
50 x 1.0 = 50
สง
100 x 1.0 = 100
ป ปปานกลาง (0.5)
ตา
10 x 0.5 = 5
ปานกลาง
50 x 0.5 = 25
ปานกลาง
100 x 0.5 = 50
ตา ตา ตา
ตา (0.1)ตา
10 x 0.1 = 1
ตา
50 x 0.1 = 5
ตา
100 x 0.1 = 10
![Page 28: IT Risk Assessment](https://reader034.vdocument.in/reader034/viewer/2022051412/549555d1ac79590e2e8b4e37/html5/thumbnails/28.jpg)
ระดบความเสยง (Risk Level) แบงเปน 3 ระดบ ระดบความเสยงสง หมายถงจาเปนตองไดรบการแกไข
อยางเรงดวน ระบบทดาเนนอยอาจจะยงคงปฏบตงาน
ตามปกตแตจะตองนาแผนการแกไขมาใชทนททเปนไปได
ระดบความเสยงปานกลาง หมายถงควรมการแกไขและ
ไ ป ป ใ แผนการควบคมควรไดรบการปรบปรงแลวนามาใชความเสยง
เปนฟงกชนของโอกาสทจะเกดเหตการณใดๆ ซงกอใหเกดภย
ใ ใ ป ป คกคามในระบบทมความออนแอในการปกปองกบความรนแรง
ของผลกระทบทจะเกดขนจากภยคกคามนน
![Page 29: IT Risk Assessment](https://reader034.vdocument.in/reader034/viewer/2022051412/549555d1ac79590e2e8b4e37/html5/thumbnails/29.jpg)
ระดบความเสยง (Risk Level) แบงเปน 3 ระดบ ระดบความเสยงตา หมายถงระบบควรไดรบการตรวจสอบ ระดบความเสยงตา หมายถงระบบควรไดรบการตรวจสอบ
เพอใหแนใจวาแผนการควบคมทมอยจะสามารถแกไขปญหาและ
รบมอกบความเสยงไดรบมอกบความเสยงได
![Page 30: IT Risk Assessment](https://reader034.vdocument.in/reader034/viewer/2022051412/549555d1ac79590e2e8b4e37/html5/thumbnails/30.jpg)
การควบคมภายในองคกรชวยลดระดบความเสยงทจะ
เกดกบระบบขอมลสารสนเทศ และขอมลอนๆขององคกร
ใหอยในระดบทสามารถยอมรบได การเสนอวธการควบคม
เปนผลจากกระบวนการประเมนความเสยงและเปนการ
เตรยมขอมลสาหรบกระบวนการลดระดบความเสยงเตรยมขอมลสาหรบกระบวนการลดระดบความเสยง
![Page 31: IT Risk Assessment](https://reader034.vdocument.in/reader034/viewer/2022051412/549555d1ac79590e2e8b4e37/html5/thumbnails/31.jpg)
เมอการประเมนความเสยงเสรจสมบรณแลว ตองม
การรวบรวมขอมลทเกยวของทงหมดและจดทาเอกสารสรป
รายงานการประเมนความเสยงเปนรายงานทนาไปใชรวมกบ
การบรหารจดการ เพอประกอบการตดสนใจตางๆของ
องคกรองคกร
![Page 32: IT Risk Assessment](https://reader034.vdocument.in/reader034/viewer/2022051412/549555d1ac79590e2e8b4e37/html5/thumbnails/32.jpg)
1. การศกษาการบรหารจดการความเสยงในการพฒนาระบบ
เทคโนโลยสารสนเทศของธรกจธนาคารไทย
(ผาณต ลมเกยรตเชดช, วทยาลยนวตกรรมอดมศกษา
มหาวทยาลยธรรมศาสตร, (2544)), ( ))
2 การศกษาความเสยงในโครงการเทคโนโลยสารสนเทศ (Risk
in Information Technology Project)gy j )
(จนตนา กองนล,หลกสตรวทยาศาสตรมหาบณฑต สาขาวชา
เทคโนโลยสารสนเทศสถาบนเทคโนโลยพระจอมเกลาเจาคณทหาร
ลาดกระบง, (2545))
![Page 33: IT Risk Assessment](https://reader034.vdocument.in/reader034/viewer/2022051412/549555d1ac79590e2e8b4e37/html5/thumbnails/33.jpg)
การประเมนความเสยงเปนขนตอนสาคญทเลยงไมได
ผลการวเคราะหความเสยงคอผลการวเคราะหความเสยงคอ• ตวชนาในการกาหนดนโยบายและการดาเนนการดานความ
มนคงสารสนเทศ ถาไมทาการวเคราะหความเสยงใหเปนมนคงสารสนเทศ ถาไมทาการวเคราะหความเสยงใหเปนประจา ตามระยะเวลาทกาหนดไวองคกรกไมสามารถรไดวา
ปญหามอะไรบาง ปญหามอะไรบาง
![Page 34: IT Risk Assessment](https://reader034.vdocument.in/reader034/viewer/2022051412/549555d1ac79590e2e8b4e37/html5/thumbnails/34.jpg)
การประเมนความเสยงเปนขนตอนสาคญทเลยงไมได
ผลการวเคราะหความเสยงคอผลการวเคราะหความเสยงคอ• การกาหนดนโยบายความมนคง สารสนเทศโดยไมมผลการวเคราะหความเสยงชนา กเปนการนโยบายทไมมหลกการและวเคราะหความเสยงชนา กเปนการนโยบายทไมมหลกการและ
ยอมไมสงผลดตอความมนคงสารสนเทศขององคกร องคกรท
ดาเนนการดานสารสนเทศโดยไมมนโยบายความมนคง หรอม ดาเนนการดานสารสนเทศโดยไมมนโยบายความมนคง หรอม
เกดความลมเหลวเพราะนโยบายไมมสงชนา อาจนาไปสระบบ
สารสนเทศทไมสามารถดาเนนการไดโดยม สภาพพรอมใชงาน สารสนเทศทไมสามารถดาเนนการไดโดยม สภาพพรอมใชงาน บรณการและการเกบรกษาความลบทเหมาะสม.
![Page 35: IT Risk Assessment](https://reader034.vdocument.in/reader034/viewer/2022051412/549555d1ac79590e2e8b4e37/html5/thumbnails/35.jpg)
การประเมนความเสยงเปนขนตอนสาคญทเลยงไมได
ผลการวเคราะหความเสยงคอผลการวเคราะหความเสยงคอ• ระบบสารสนเทศทมอาจสงผลใหเกด ความเสยหายดานความปลอดภยตอชวตและทรพยสนของผมสวนไดเสย อกทงอาจเปนปลอดภยตอชวตและทรพยสนของผมสวนไดเสย อกทงอาจเปน
สาเหตททาใหเกด ภาวะเสยงตอการฟองรองดาเนนคดได.
![Page 36: IT Risk Assessment](https://reader034.vdocument.in/reader034/viewer/2022051412/549555d1ac79590e2e8b4e37/html5/thumbnails/36.jpg)
QQQQ&&&&
AAAA
![Page 37: IT Risk Assessment](https://reader034.vdocument.in/reader034/viewer/2022051412/549555d1ac79590e2e8b4e37/html5/thumbnails/37.jpg)
Thank You… Security GroupThank You… Security Group