โครงการพัฒนาองค์ความรู้และอบรมพัฒนาบุคลากรทางด้านดิจิทัลและหุ่นยนต์

                        มาตรฐานอาชีพและคุณวุฒิวิชาชีพ สาขาวิชาชีพเทคโนโลยีสารสนเทศและการสื่อสาร และดิจิทัลคอนเทนต์
                                                         สาขาการบริหารโครงการสารสนเทศ (Project Management)



                                         4.  การวิจัยและการรับรู้ความเสี่ยง (Research and Acknowledgement)

                       คือ การลดความสูญเสียที่เกิดจากความเสี่ยงโดยการตรวจสอบเพื่อรับทราบความอ่อนแอของระบบ
                       และค้นคว้าวิจัยให้ได้วิธีการควบคุมเพื่อเสริมความมั่นคงให้แก่ระบบ

                                         5.  การลดความเสี่ยง (Reduction) การท าระบบควบคุมเพื่อให้เกิดผลกระทบ
                       จากการถูกคุกคามระบบ หรือ จากความไม่มั่นคงของระบบให้น้อยที่สุดเพื่อลดความเสี่ยง เช่น การใช้

                       ชีวมาตร (Biometrics) เพื่อใช้ในการพิสูจน์ตัวจริงนอกเหนือไปจากการใช้ ID/ Password ที่มีอยู่เดิม

                                         6.  การโอนย้ายความเสี่ยง (Transfer) เช่น อุปกรณ์เครือข่ายเมื่อซื้อมาแล้วมี
                       ระยะประกันเพียงหนึ่งปี เพื่อเป็นการรับมือในกรณีที่อุปกรณ์เครือข่ายไม่ท างาน องค์กรอาจเลือกซื้อ

                       ประกัน หรือ สัญญาการบ ารุงรักษาหลังขาย (Maintenance Service) เป็นต้น

                                 4.  การรายงานความเสี่ยงตกค้าง (Residual risk reporting)
                                     เมื่อมีการบ าบัดความเสี่ยงแล้ว จ าเป็นต้องมีการรายงาน และทบทวนอยู่เสมอเพื่อดู

                       ว่ามีการประเมิน และการประเมินค่าความเสี่ยงอยู่ตลอดเวลา และดูว่ามาตรการควบคุมต่าง ๆ ที่

                       ออกมาใช้ได้ผลหรือไม่เพียงไร วิธีการมาตรฐานที่ใช้กันโดยทั่วไป คือการมีหน่วยงานภายใน หรือ
                       ภายนอกท าการตรวจสอบโดยกระบวนการ IT Auditing ที่เหมาะสม เนื่องจากสิ่งแวดล้อม และ

                       กฎระเบียบมีพลวัตร และการเปลี่ยนแปลงเกิดขึ้นตลอดเวลา จึงจ าเป็นต้องมีการบริหารความเสี่ยง
                       และการตรวจสอบเป็นประจ า



                                 5.  การเฝ้าสังเกต (Monitoring)
                                     กระบวนการเฝ้าสังเกตเป็นหลักประกันว่า องค์กรมีมาตรการต่าง ๆ ที่จ าเป็นและ

                       เหมาะสมส าหรับการบริหารความเสี่ยงต่าง ๆ และมาตรการเหล่านั้นมีผู้ปฏิบัติตาม และบังเกิดผลจริง
                       ดังนั้นกระบวนการเฝ้าสังเกตพึงพิจารณาว่า

                                         -  ได้มีการปฏิบัติตามมาตรการต่าง ๆ และบังเกิดผล

                                         -  กระบวนงานที่ก าหนดขึ้นมาสามารถปฏิบัติได้จริง
                                         -  มีการเรียนรู้เกิดขึ้นในหน่วยงานอันเป็นผลมาจากการบริหารความเสี่ยง



                       เอกสารอ้างอิง
                              1.  http://www.siroros.com/CMU_M_IT/it_risk_management_july_2006.pdf

                              2.  www.auditddc.org/images/1148885564/RM.P1.ppt

                              3.  http://www.thaicert.nectec.or.th/paper/basic/COBIT_mapping_revised2.pdf
                              4.  http://www.thaiadmin.org/board/index.php?action=dlattach;topic=53885.0;att

                                 ach=32552




                       รายงานโครงการพัฒนาองค์ความรู้และอบรมพัฒนาบุคลากรทางด้านดิจิทัลและหุ่นยนต์     หน้า 36