Page 4 - นโยบายความมั่นคงปลอดภัย it support
P. 4
ี่
้
ิ
2. นโยบายการบรหารจัดการความเสยงดานเทคโนโลยีสารสนเทศ (IT Risk Management)
ื่
ิ
ี่
ต้องสอดคล้องกับนโยบายการบรหารความเสยงองค์กร (Corporate Risk Management) และครอบคลุมในเรอง
ดังต่อไปน้ ี
ี่
ั
ิ
ี่
2.1. การก าหนดหน้าทและความรบผิดชอบในการบรหารและจัดการความเสยงด้านเทคโนโลยีสารสนเทศ
ี
ึ
ผู้จัดการสวนเทคโนโลยีมหน้าทรบผิดชอบในการศกษา จัดหาวิธการหรอแนวทางด้านเทคโนโลยี
ี่
ี
ั
่
ื
ี่
ื
ี่
ี่
สารสนเทศเพื่อลดความเสยงหรอจัดการความเสยงทมอยู่ แล้วน าเสนอให้กับผู้บรหารเพื่อพิจารณาในการ
ิ
ี
ี่
จัดการความเสยงด้านระบบเทคโนโลยีสารสนเทศ
ี่
ี่
ี่
2.2. การระบุความเสยงทเกยวข้องกับเทคโนโลยีสารสนเทศ (Information Technology Related Risk)
2.2.1 ความเสยงด้านกายภาพและสภาพแวดล้อม ได้แก่ ห้องศูนย์กลางข้อมล (Data Center
ี
ู
่
ึ
ี
็
็
ื่
่
ิ
์
Room) ซงเปนทจัดเกบตดตั้งเครองคอมพวเตอรแมข่าย(Server) อุปกรณเครอข่ายและอุปกรณ์อน
์
่
ื
ิ
่
ื
่
ต้องมการควบคุมการเข้า-ออกและการใช้งาน การตรวจสอบระบบต่างๆ เชน ระบบเตอน
่
ี
ื
็
ื
อุณหภูมภายในห้อง ระบบเตอนอัคคีภัย เปนต้น
ิ
ี่
์
2.2.2 ความเสยงด้านการใช้งานโปรแกรมคอมพิวเตอรบนเครองคอมพิวเตอรของบรษัท เพื่อ
ื่
์
ิ
ิ
่
ี
่
่
้
่
์
ี
ปองกันการใช้งานการตดตั้งโปรแกรมทไมปลอดภัยหรอไมประสงค์ด เชน การดาวนโหลด
ื
ี
ั
่
ึ
ิ
์
ื
โปรแกรมจากภายนอกมาตดตั้ง ซงอาจมมัลแวร หรอไวรสคอมพวเตอร หรอมชองโหว่เชอมตอ
์
ื
ื
่
่
่
ิ
ี
ี่
ี
์
ี
ื
ื่
ื่
เครอข่ายภายนอก เข้าโจมตเครองคอมพิวเตอรทใช้งานหรอเครองอนทอยู่บนเครอข่ายเดยวกัน
ื
ี่
ื
ื่
็
เปนต้น
์
ื
ี
2.2.3 ความเสยงด้านการใช้งานระบบเครอข่ายคอมพิวเตอรของบรษัท ต้องมตรวจสอบและเฝา
ิ
้
ี่
้
ื
ึ
์
ระวังการใช้งานเครอข่ายภายในและระบบอนเทอรเน็ต โดยมการจัดท าระบบปองกันการเข้าถง
ิ
ี
และการโจมตจากภายนอกให้กับเครองคอมพิวเตอรแม่ข่าย (Server) และเครองคอมพิวเตอรลูก
ื่
์
ื่
์
ี
ิ
ี่
ิ
ิ
่
้
์
ข่าย (Client) ทผู้ปฏบัตงานใช้งาน เชน ระบบปองกันการเข้าออกใช้งานผ่านอนเทอรเน็ต การ
้
ี
่
ั
ิ
์
ตดตั้งโปรแกรมปองกันไวรสคอมพวเตอร การกรองข้อมูลรบสงอเมล เปนต้น
ั
ิ
็
ึ
ื่
2.2.4 ความเสยงด้านบุคคล ต้องมการก าหนดสทธการใช้งานเข้าถงระบบเครองคอมพิวเตอร ์
ี
ี่
ิ
ิ
์
ื
้
์
ิ
ี่
์
็
ิ
ื
ี
อุปกรณเครอข่ายต่างๆ และข้อมูล ให้เปนไปตามสทธทพึงม เพื่อปองกันการเข้าแก้ไขหรอ
ี่
เปลยนแปลงข้อมูล
ึ
ี่
่
2.3. การประเมนความเสยงทครอบคลุมถงโอกาสทจะเกดความเสยง และผลกระทบทจะเกดขึ้น เพอ
ี
ื
่
ิ
ิ
ี่
่
ี
ิ
่
ี
ี
ี
่
ิ
่
จัดล าดับความส าคัญในการบรหารจัดการความเสยง โดยก าหนดความเสยงไว้ 4 ประเภท ดังน้ ี
3.3.1 ความเสยงด้านเทคนค ทอาจเกดขึ้นจากคอมพวเตอรและอปกรณถกโจมต ี
์
ุ
์
ี
ิ
ิ
่
ิ
ู
ี
่
3 | P a g e
