มาตรฐานการบริหารความเสี่ยง
การบริหารความเสี่ยงไม่ได้กำหนดขั้นตอนและรายละเอียดในการบริหารความเสี่ยง แต่แนะนำให้ใช้มาตรฐานการบริหารความเสี่ยง
ที่มีซึ่งเป็นมาตรฐานที่เน้นเรื่องการบริหารความเสี่ยงโดยเฉพาะ เราต้องเลือกนำมาตรฐานด้านการบริหารความเสี่ยงมาประยุกต์ใช้อีกครั้งหนึ่ง
เพื่อลงในรายละเอียกเพิ่มมากขึ้น มาตรฐานสากลต่าง ๆ ที่ว่าด้วยการบริหารความเสี่ยงที่มีอยู่หลายมาตรฐานด้วยกัน แต่ละมาตรฐานก็แตกต่างกันตั้งแต่วัตถุประสงค์
ขั้นตอนการปฏิบัติ องค์กรควรต้องพิจารณาเลือกมาตรฐานที่เหมาะสมกับลักษณะการดำเนินธุรกิจนั้น ๆ ถ้าเป็นเรื่องเฉพาะด้านการรักษาความปลอดภัย
ขั้นตอนการปฏิบัติ องค์กรควรต้องพิจารณาเลือกมาตรฐานที่เหมาะสมกับลักษณะการดำเนินธุรกิจนั้น ๆ ถ้าเป็นเรื่องเฉพาะด้านการรักษาความปลอดภัย
ข้อมูลและระบบสารสนเทศ ผู้บริหารด้านการรักษาความปลอดภัยกล้องวงจรปิด ข้อมูลขององค์กรต้องเลือกมาตรฐานมาใช้
ให้เหมะสมกับการบริหารความเสี่ยงระบบสารสนเทศในองค์กร มาตรฐานบริหารความเสี่ยงที่นิยมใช้ในปัจจุบันได้แก่
- ISO 31000:2009
- ISO 31000:2009
- ISO/IEC 27005
- NIST SP 800-30rev1
- OCTAVE
อุปกรณ์แนะนำ : รั้วไฟฟ้า สัญญาณกันขโมย กล้องวงจรปิด
การประเมินความเสี่ยง
การประเมินความเสี่ยงที่มีความใกล้เคียงกับการวิเคราะห์ผลกระทบธุรกิจเป็นขั้นตอนของการวางแผนความต่อเนื่องของธุรกิจ
ผลที่ได้จากการประเมินความเสี่ยงจะเป็นข้อมูลพื้นฐานที่จะจัดลำดับความสำคัญเกี่ยวกับโครงการด้านการรักษาความปลอดภัย
สิ่งที่มีความเสี่ยงสูงก็ควรได้รับการจัดการหรือรักษาความเสี่นงนั้นก่อน ไม่สามารถจัดการได้กับทุกความเสี่ยงที่มีเพราะข้อจำกัดด้านงบประมาณและทรัพยากรที่มี
สิ่งที่มีความเสี่ยงสูงก็ควรได้รับการจัดการหรือรักษาความเสี่นงนั้นก่อน ไม่สามารถจัดการได้กับทุกความเสี่ยงที่มีเพราะข้อจำกัดด้านงบประมาณและทรัพยากรที่มี
การบริหารความเสี่ยงเกี่ยวกับการสร้างความสมดุลระหว่างความเสี่ยงที่มีและค่าใช้จ่ายในนการใช้มาตรการควบคุม
เพื่อลดความเสี่ยงให้อยู่ในระดับที่ยอมรับได้ ปัจจุบันมีเครื่องมือหลายประเภทที่ใช้สำหรับงานนี้ เครื่องมือต่าง ๆ เหล่านี้ถูกใช้งานเพื่อตอบคำถามดังนี้
- เราต้องการจะปกป้องทรัพย์สินอะไรบ้างและมูลค่าเท่าไร
- เราต้องการจะปกป้องทรัพย์สินอะไรบ้างและมูลค่าเท่าไร
- ใครหรืออะไรที่เป็นภัยคุกคามต่อทรัพย์สินหรือองค์กร
- เรามีจุดอ่อนหรือช่องโหว่ที่ไหนบ้าง
- เกิดความเสียหายมากน้อยเท่าใดเมื่อถูกโจมตีผ่านจุดอ่อนหรือช่องโหว่เหล่านั้น
- เราจะป้องกันหรือแก้ไขช่องโหว่หรือจุดอ่อนได้อย่างไร
ข้อแนะนำเกี่ยวกับวิธีป้องกันที่ดีที่สุดจากการประเมินผลความเสี่ยงเพื่อปกป้องความลับ ความถูกต้อง และความพร้อมใช้งานของข้อมูล
และยังคงสามารถนำงานและให้บริการได้อย่างต่อเนื่องก่อนที่จะสามารถตอบคำถามได้ ซึ่งสามารถทำได้โดยการใช้ทรัพยากรภายในหรือจ้างบริษัทอื่นก็ได้
การประเมินความเสี่ยงนั้นต้องอาศัยความร่วมมือทุกฝ่าย แต่ถ้าไม่ได้รับความร่วมมืออาจทำให้การประเมินความ
สามารถเลือกใช้มาตรการควบคุมหรือระบบป้องกันที่เหมาะสม และมีประสิทธิภาพเพื่อป้องกันภัยต่าง ๆ เหล่านั้นได้
การประเมินความเสี่ยงสามารถทำได้สองวิธีคือ การประเมินความเสี่ยงเชิงปริมาณ และการประเมินความเสี่ยงเชิงคุณภาพ บางหน่วยงานอาจใช้แบบผสมหรือกึ่งเชิงปริมาณและคุณภาพ
การประเมินความเสี่ยงเชิงปริมาณ โดยใช้ตัวเลขเพื่อกำหนดผลกระทบและโอกาสที่จะเกิดความเสี่ยงโดยการใช้ข้อมูลจากแหล่งต่าง ๆ
รูปแบบการประเมินความเสี่ยง
การประเมินความเสี่ยงสามารถทำได้สองวิธีคือ การประเมินความเสี่ยงเชิงปริมาณ และการประเมินความเสี่ยงเชิงคุณภาพ บางหน่วยงานอาจใช้แบบผสมหรือกึ่งเชิงปริมาณและคุณภาพ
การประเมินความเสี่ยงเชิงปริมาณ โดยใช้ตัวเลขเพื่อกำหนดผลกระทบและโอกาสที่จะเกิดความเสี่ยงโดยการใช้ข้อมูลจากแหล่งต่าง ๆ
วิธีนี้มักใช้กับการประเมินความเสี่ยงในภาคเอกชนหรือธุรกิจ ซึ่งจะเกี่ยวข้องกับการเงิน หลายหน่วยงานมักใช้ข้อมูลตัวเลขด้านการเงินเป็นตัวแทนในการวิเคราะห์ความเสี่ยง
การประเมินความเสี่ยงเชิงคุณภาพ โดยส่วนมากจะประเมินและให้ค่าต่าง ๆ ในเชิงคุณภาพจากผลกระทบต่าง ๆ
การประเมินความเสี่ยงเชิงคุณภาพ โดยส่วนมากจะประเมินและให้ค่าต่าง ๆ ในเชิงคุณภาพจากผลกระทบต่าง ๆ
ที่อาจเกิดขึ้นต่อข้อมูลและทรัพย์สินขององค์กรนั้น อาจจะก่อให้เกิดความเสียหายที่สามารถคำนวณเป็นจำนวนเงินได้ หรือสามารถวัดได้ในเชิงปริมาณ
ยังมีความเสียหายบางอย่าง จึงนิยมใช้การประเมินค่าแบบเชิงคุณภาพเป็น 3 ระดับ คือ สูง ปานกลาง และต่ำ หรืออาจใช้ถึง 5 หรือ 7 ระดับตามความเหมาะสมของแต่ละองค์กร
การประเมินความเสี่ยงเชิงกึ่งปริมาณ มีการใช้คำอธิบายระดับความเสี่ยงควบคู่กับการให้ค่าความเสี่ยงเป็นตัวเลข
การประเมินความเสี่ยงเชิงกึ่งปริมาณ มีการใช้คำอธิบายระดับความเสี่ยงควบคู่กับการให้ค่าความเสี่ยงเป็นตัวเลข
วิธีนี้มักจะใช้ในกรณีที่ไม่สามารถหาระดับความเสี่ยงเชิงปริมาณได้ หรือต้องการที่จะลดการคาดคะเนความเสี่ยงที่ขึ้นอยู่กับผู้ประเมินให้น้อยลง
ขั้นตอนการประเมินความเสี่ยง
ขั้นตอนพื้นฐานของกระบวนการบริหารความเสี่ยงขององค์กร การประเมินความเสี่ยงใช้สำหรับการระบุ ประมาณการ และจัดลำดับความสำคัญของความเสี่ยง
จากการใช้งานระบบสารสนเทศ ที่มีผลกระทบต่อการปฏิบัติภารกิจและทรัพย์สินขององค์กร บุคลากร องค์กรอื่น การประเมินความเสี่ยงมีขั้นตอนที่สำคัญคือ
- การระบุทรัพย์สินอาจถูกภัยคุกคามโจมตีหรือเกิดเหตุการณ์ที่อาจสร้างความเสียหายได้
- การระบุทรัพย์สินอาจถูกภัยคุกคามโจมตีหรือเกิดเหตุการณ์ที่อาจสร้างความเสียหายได้
- การระบุภัยคุกคาม ทรัพย์สินที่ได้ระบุก่อนหน้าหรือภัยคุกคามที่อาจเกิดจากองค์กรซึ่งจะรวมถึงการระบุแหล่งที่ทำให้เกิดดภัยคุกคาม
- การระบุช่องโหว่ทรัพย์สินขององค์กรที่อาจถูกใช้ประโยชน์จากแหล่งคุกคามที่ได้ระบุไว้ข้างต้น ทำให้เกิดเหตุการณ์ภัยคุกคามหรือสุ่มเสี่ยงที่จะเกิดเหตุการณ์เหล่านั้น
- การประเมินโอกาสที่จะเกิดขึ้นที่จะเกิดเหตุการณ์ภัยคุกคามข้างต้น
- การประเมินผลกระทบหรือความเสียหายที่อาจจะเกิดขึ้นจากเหตุการณ์ที่ภัยคุกคามใช้ประโยชน์
- การประเมินความเสี่ยงที่ได้จากการคำนวณจากโอกาสที่ภัยคุกคามจะใช้ประโยชน์จากช่องโหว่ที่มีซึ่งทำให้เกิดเหตุการณ์ที่สร้างความเสียหายให้กับองค์กร
ไม่มีความคิดเห็น:
แสดงความคิดเห็น