Page 24 - risk2561-2564
P. 24

แผนบริหารความเสี่ยงด้านเทคโนโลยีสารสนเทศและการสื่อสาร สป.กษ.   17




                  ระดับ                                   วิธีจัดกำร
 ประเภทควำมเสี่ยง   ลักษณะควำมเสี่ยง   ปัจจัยเสี่ยง   ผลกระทบ   ควำม  แนวทำงกำรควบคุม   ควำม  ผู้รับผิดชอบ

                  เสี่ยง                                     เสี่ยง
 2. ความเสี่ยงต่อความเสียหายของ
 ข้อมูลและการกู้คืนข้อมูล
 ความเสี่ยงด้านบุคลากร  1. ความเสี่ยงจากการถูกน าสิทธิ์การ  -สิทธิ์ฐานข้อมูลผู้ใช้งาน  1.หน่วยงาน/ผู้บริหาร/  สูง   หน่วยงานในสังกัด สป.กษ. ต้อง  การควบคุม  หน่วยงานใน
 (Human Risk)   เข้าถึงระบบเทคโนโลยีสารสนเทศของ ระบบเทคโนโลยี  ผู้ใช้งาน/ข้อมูล/อาจ  4x4=16  ด าเนินการตามนโยบายและแนวปฏิบัติ  (Treat)   สังกัด
 หน่วยงานที่ไม่ได้รับอนุญาตไปใช้  สารสนเทศไม่เป็นปัจจุบัน  ได้รับความเสียหายจาก  ในการรักษาความมั่นคงปลอดภัยฯ ใน  สป.กษ./
 ในทางที่ผิดกฎหมาย   เนื่องจากผู้ใช้งานมีการ  การถูกน าสิทธิ์การเข้าถึง  กรณีผู้ใช้งานของหน่วยงานภายใน  หน่วยงาน
 ลาออก โอน ย้าย สิ้นสุด  ระบบไปใช้ในทางผิด  ส านักงานลาออก โอน ย้าย หรือสิ้นสุด  หน่วยงาน
 การจ้างตลอดเวลา   กฎหมาย   การจ้างให้หน่วยงานท าหนังสือแจ้งให้กับ      ผู้ดูแล/
    2.ข้อมูลที่เป็นความลับ  ศทส. /หน่วยงานผู้ดูแลระบบทราบทันที          เจ้าของ
    ถูกเผยแพร่หรือน าไปใช้    เพื่อจะได้ปรับปรุงฐานข้อมูลผู้มีสิทธิ์เข้า  ระบบ/ศทส.
 จะน ามาซึ่งการขาด         ใช้งานระบบเทคโนโลยีสารสนเทศให้เป็น
 ความเชื่อถือของ           ปัจจุบัน
 หน่วยงานฯ
    2. ความเสี่ยงจากการน าอุปกรณ์  อุปกรณ์ที่ใช้ไม่มีระบบ  1. อาจเกิดช่องโหว่ของ  สูง   1.อบรม เผยแพร่ประชาสัมพันธ์ข้อมูล  การควบคุม
 เคลื่อนที่ (Smart phone ,Tablet,   รักษาความปลอดภัยที่  ระบบรักษาความ  5x3=15  เพื่อสร้างความตระหนักในเรื่องความ  (Treat)   ศทส./
 PC) ส่วนตัวเข้ามาเชื่อมต่อกับระบบ  ถูกต้องและเพียงพอ   ปลอดภัยของหน่วยงาน  มั่นคงปลอดภัยสารเทศให้กับบุคลากร  หน่วยงานใน
 เครือข่ายของหน่วยงานโดยขาดความ  และอาจมีการโจมตีท า  ของหน่วยงาน       สังกัด
 ระมัดระวังในการใช้งาน   ให้ระบบไม่สามารถ  2.ก ากับดูแลการปฏิบัติตามแนวปฏิบัติ  สป.กษ./
 ท างานได้                 ด้านการรักษาความมั่นคงปลอดภัย                ผู้ใช้งาน
                           สารสนเทศอย่างเคร่งครัด
    3. ความเสี่ยงจากการที่ผู้ใช้งานขาด  1.เจ้าหน้าที่หรือบุคลากร  1. ระบบเสียหาย   สูง  1. อบรม สร้างความรู้ความเข้าใจการใช้  การควบคุม
 ความตระหนักในการใช้งาน  ของ หน่วยงานขาดความรู้ หยุดชะงักการท างาน   4x4=16  งานที่ถูกวิธี   (Treat)   ศทส./
 เทคโนโลยีสารสนเทศให้ปลอดภัย   ความเข้าใจในเครื่องมือ  2.สูญเสีย Bandwidth   2.ก าหนด Policy ของอุปกรณ์รักษา
 อุปกรณ์คอมพิวเตอร์ ทั้ง   ความปลอดภัยของหน่วยงานให้มีความ
   19   20   21   22   23   24   25   26   27   28   29