การประเมินและบริหารความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ เป็นกระบวนการที่สำคัญที่องค์กรทุกระดับพึงจัดให้มีขึ้น เพื่อปกป้องธุรกิจและสร้างความสอดคล้องกับกฎหมาย เพราะความเสี่ยงในธุรกิจทุกวันนี้มีการเปลี่ยนแปลงทุกวัน อีกทั้งภัยคุกคามปัจจุบันก็มีมากมายและมีความชำนาญขึ้นเรื่อยๆ
วิธีการประเมินความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศที่นิยมใช้งานอย่างแพร่หลายในองค์กรต่างๆ ที่ Implement ISO 27001:2005 คือวิธีการที่เรียกว่า Asset-based Risk Assessment ซึ่งประกอบด้วยขั้นตอนง่ายๆ ดังนี้

- จัดทำทะเบียนทรัพย์สิน (Inventory of Asset) เพื่อระบุทรัพย์สินสารสนเทศที่สำคัญที่ต้องได้รับการปกป้อง
- พิจารณาถึงภัยคุกคาม (Threat) ที่อาจทำอันตรายต่อทรัพย์สินสารสนเทศ และจุดอ่อน (Vulnerability) ในตัวทรัพย์สินกระบวนการหรือมาตรการรักษาความมั่นคงปลอดภัยสารสนเทศ ที่อาจเป็นช่องทางให้ภัยคุกคามเหล่านั้นเข้าทำอันตรายต่อทรัพย์สินได้
- ประเมินระดับผลกระทบ (Impact) ต่อองค์กรและโอกาส (Probability) ที่จะเกิดเหตุการณ์ความเสี่ยงขึ้น
- คำนวณระดับความเสี่ยง โดยสูตรพื้นฐานที่นิยมใช้กันคือ
ผลกระทบ (Impact) x โอกาส (Probability) = ระดับความเสี่ยง (Risk)
ในปี 2009 องค์กร ISO ได้ตีพิมพ์มาตรฐาน ISO 31000 ซึ่งเป็นแนวปฏิบัติ (Guideline) ในการบริหารความเสี่ยงขององค์กร โดยใช้วิธีการประเมินความเสี่ยงในลักษณะ Scenario-based Risk Assessment ซึ่งประกอบด้วยขั้นตอนหลักๆ ดังนี้
- ระบุความเสี่ยง (Risk Identification) โดยการพิจารณาถึงเหตุการณ์ความเสี่ยง (Risk Scenario) ที่เป็นไปได้ โดยเหตุการณ์ความเสี่ยงอาจเกี่ยวข้องกับทรัพย์สิน (Asset-related) หรือไม่ก็ได้
- วิเคราะห์ความเสี่ยง (Risk Analysis) เป็นการประเมินระดับผลกระทบ (Impact) ต่อองค์กรและโอกาส (Probability) ที่จะเกิดเหตุการณ์ความเสี่ยงขึ้น รวมถึงคำนวณระดับความเสี่ยง (Risk Level)
จากขั้นตอนข้างต้นจะเห็นว่าไม่จำเป็นต้องจัดทำทะเบียนทรัพย์สินก่อนการประเมินความเสี่ยง และไม่จำเป็นต้องแยกพิจารณาภัยคุกคาม (Threat) และจุดอ่อน (Vulnerability) ของแต่ละความเสี่ยง หากแต่สามารถกำหนดเหตุการณ์ความเสี่ยง (Risk Scenario) และทำการวิเคราะห์ความเสี่ยงได้เลย
วิธีการประเมินความเสี่ยงทั้งสองแบบ ล้วนมีข้อดี-ข้อเสีย ที่แตกต่างกัน ดังนั้นองค์กรควรเลือกวิธีการที่เหมาะสมกับลักษณะงานและความต้องการขององค์กร อย่างไรก็ตาม ด้วยข้อเท็จจริงที่ว่าวิธีการประเมินความเสี่ยงแบบ Scenario-based Risk Assessment มีความยืดหยุ่น และสามารถประยุกต์ใช้ได้กับความเสี่ยงทุกรูปแบบองค์กรชั้นนำส่วนใหญ่จึงเริ่มปรับวิธีการประเมินความเสี่ยงของตนตามแนวทาง Scenario-based Risk Assessment ของ ISO 31000 เพื่อให้มีกระบวนการบริหารความเสี่ยงที่เป็นมาตรฐานกลางสำหรับความเสี่ยงของทั้งองค์กร (Enterprise Risk Management หรือ ERM) นอกจากนี้ มาตรฐาน ISO 27001:2013 (เวอร์ชั่นใหม่) หรือมาตรฐาน ISO ฉบับใหม่ๆ ที่มีข้อกำหนดเรื่องการประเมินความเสี่ยง ยังได้อ้างถึง ISO 31000 ว่าเป็นวิธีการประเมินความเสี่ยงที่แนะนำ (Recommended) ให้ใช้งานอีกด้วย
การประเมินความเสี่ยงแบบ Scenario-based Risk Assessment จึงถือได้ว่าเป็นทิศทางที่องค์กรต่างๆ ควรมุ่งไปอย่างแท้จริง รวมไปถึงปัจจุบันก็มีเทคโนโลยีที่สามารถช่วยท่านได้หลายๆ รูปแบบ ท่านสามารถติดต่อขอรายละเอียดเพิ่มเติมได้ที่ www.zolventure.com หรือ www.acinfotec.com
บทความโดย จริญญา จันทร์ปาน – Sales and Solution Delivery Director, ACinfotec Co.,Ltd. และ Zolventure Co.,Ltd.
เกี่ยวกับ ACinfotec
ACinfotec เป็นผู้นำในการเป็นที่ปรึกษาด้าน GRC Services ทั้งในส่วน Process และด้านเทคนิค โดยบริษัทมีการให้บริการหลายๆ แบบ ได้แก่
- IT Standards – ISO 27001, ISO 20000, ISO 22301 CMMI, ISO31000, COBIT5, ISO 29100
- Assessment services – Penetration test, Vulnerability assessment, Incident Handling, Forensics
- Training – PECB, IRCA, EC-Council, CISA, CISM, CISSP, COBIT5, ITIL, Project management
เกี่ยวกับ Zolventure
Zolventure เป็นผู้นำด้านการ Implement และการให้บริการทั้งในส่วน Software tools, Managed service และ Data/Content services ซึ่งบริษัทมีการให้บริการในหลายๆรูปแบบ ได้แก่
- Big Data service
- GRC services – PCI PA-DSS, Risk Management tools, IT Service Management tools, Business Management tools
- Intelligent gather – Zirious