Page 29 - การป้องกันและรักษาความปลอดภัยบนเครือข่าย
P. 29
การป้ องกันและรักษาความมั่นคงปลอดภัยบนเครือข่าย : บทที่ 2 กระบวนการในการรักษาความปลอดภัยข้อมูล
บทที่ 2
กระบวนการในการรักษาความปลอดภัยข้อมูล
2.1 การบริหารความเสี่ยง (ICT Risk Management)
ความเสี่ยง หมายถึง ภัยคุกคามที่อาจจะเกิดขึ้น หรือโอกาสที่จะเป็นไปได้กับ
ระบบเครือข่ายขององค์กร แม้ว่าองค์กรนั้นจะมีนโยบายด้านความปลอดภัยหรือไม่มีก็
ตาม สําหรับองค์กรที่ไม่มีนโยบายความปลอดภัยเครือข่ายแล้วจะมีโอกาสได้รับความ
เสี่ยงที่สูงกว่าองค์กรที่มีการกําหนดนโยบาย ดังนั้นเพื่อเป็นการลดหรือบรรเทาความ
เสี่ยงต่อระบบเครือข่ายขององค์กร ได้มีกระบวนการที่เรียกว่าการบริหารความเสี่ยง
เกิดขึ้น กระบวนการบริหารความเสี่ยงมีกระบวนการย่อย 2 ขั้นตอนสําหรับใช้บริหาร
ความเสี่ยง คือ
1. การค้นหาและประเมินความเสี่ยง (Risk Identification & Assessment)
2. การควบคุมความเสี่ยง (Risk Control)
watermark
โดยทั่วไปแล้วการบริหารความเสี่ยงเป็นกระบวนการประเมินความเสี่ยงต่อระบบ
เครือข่ายสารสนเทศขององค์กร และพิจารณาว่าความเสี่ยงเหล่านั้นจะถูกควบคุมหรือ
บรรเทาอย่างไร
2.1.1 การค้นหาความเสี่ยง (Risk Identification)
ขั้นตอนการตรวจสอบตัวเองถือเป็นกระบวนการแรกสําหรับการค้นหาความเสี่ยง
ดังนั้นสําหรับการค้นหาความเสี่ยงมีขั้นตอนการพิจารณาดังนี้
การสร้างรายการสินทรัพย์สารสนเทศ ประกอบด้วย คน กระบวนการ ข้อมูล
ซอฟต์แวร์ ฮาร์ดแวร์ และระบบเครือข่าย
21
