Scenario-based Risk Assessment เหมาะหรือไม่กับองค์กรของท่าน

acinfotec_logo_h50 zolventure_logo
การประเมินและบริหารความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ เป็นกระบวนการที่สำคัญที่องค์กรทุกระดับพึงจัดให้มีขึ้น เพื่อปกป้องธุรกิจและสร้างความสอดคล้องกับกฎหมาย เพราะความเสี่ยงในธุรกิจทุกวันนี้มีการเปลี่ยนแปลงทุกวัน อีกทั้งภัยคุกคามปัจจุบันก็มีมากมายและมีความชำนาญขึ้นเรื่อยๆ

วิธีการประเมินความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศที่นิยมใช้งานอย่างแพร่หลายในองค์กรต่างๆ ที่ Implement ISO 27001:2005 คือวิธีการที่เรียกว่า Asset-based Risk Assessment ซึ่งประกอบด้วยขั้นตอนง่ายๆ ดังนี้

Credit: ShutterStock.com
Credit: ShutterStock.com
  1. จัดทำทะเบียนทรัพย์สิน (Inventory of Asset) เพื่อระบุทรัพย์สินสารสนเทศที่สำคัญที่ต้องได้รับการปกป้อง
  2. พิจารณาถึงภัยคุกคาม (Threat) ที่อาจทำอันตรายต่อทรัพย์สินสารสนเทศ และจุดอ่อน (Vulnerability) ในตัวทรัพย์สินกระบวนการหรือมาตรการรักษาความมั่นคงปลอดภัยสารสนเทศ ที่อาจเป็นช่องทางให้ภัยคุกคามเหล่านั้นเข้าทำอันตรายต่อทรัพย์สินได้
  3. ประเมินระดับผลกระทบ (Impact) ต่อองค์กรและโอกาส (Probability) ที่จะเกิดเหตุการณ์ความเสี่ยงขึ้น
  4. คำนวณระดับความเสี่ยง โดยสูตรพื้นฐานที่นิยมใช้กันคือ
    ผลกระทบ (Impact) x โอกาส (Probability) = ระดับความเสี่ยง (Risk)

 

ในปี 2009 องค์กร ISO ได้ตีพิมพ์มาตรฐาน ISO 31000 ซึ่งเป็นแนวปฏิบัติ (Guideline) ในการบริหารความเสี่ยงขององค์กร โดยใช้วิธีการประเมินความเสี่ยงในลักษณะ Scenario-based Risk Assessment ซึ่งประกอบด้วยขั้นตอนหลักๆ ดังนี้

  1. ระบุความเสี่ยง (Risk Identification) โดยการพิจารณาถึงเหตุการณ์ความเสี่ยง (Risk Scenario) ที่เป็นไปได้ โดยเหตุการณ์ความเสี่ยงอาจเกี่ยวข้องกับทรัพย์สิน (Asset-related) หรือไม่ก็ได้
  2. วิเคราะห์ความเสี่ยง (Risk Analysis) เป็นการประเมินระดับผลกระทบ (Impact) ต่อองค์กรและโอกาส (Probability) ที่จะเกิดเหตุการณ์ความเสี่ยงขึ้น รวมถึงคำนวณระดับความเสี่ยง (Risk Level)

 

จากขั้นตอนข้างต้นจะเห็นว่าไม่จำเป็นต้องจัดทำทะเบียนทรัพย์สินก่อนการประเมินความเสี่ยง และไม่จำเป็นต้องแยกพิจารณาภัยคุกคาม (Threat) และจุดอ่อน (Vulnerability) ของแต่ละความเสี่ยง หากแต่สามารถกำหนดเหตุการณ์ความเสี่ยง (Risk Scenario) และทำการวิเคราะห์ความเสี่ยงได้เลย

วิธีการประเมินความเสี่ยงทั้งสองแบบ ล้วนมีข้อดี-ข้อเสีย ที่แตกต่างกัน ดังนั้นองค์กรควรเลือกวิธีการที่เหมาะสมกับลักษณะงานและความต้องการขององค์กร อย่างไรก็ตาม ด้วยข้อเท็จจริงที่ว่าวิธีการประเมินความเสี่ยงแบบ Scenario-based Risk Assessment มีความยืดหยุ่น และสามารถประยุกต์ใช้ได้กับความเสี่ยงทุกรูปแบบองค์กรชั้นนำส่วนใหญ่จึงเริ่มปรับวิธีการประเมินความเสี่ยงของตนตามแนวทาง Scenario-based Risk Assessment ของ ISO 31000 เพื่อให้มีกระบวนการบริหารความเสี่ยงที่เป็นมาตรฐานกลางสำหรับความเสี่ยงของทั้งองค์กร (Enterprise Risk Management หรือ ERM) นอกจากนี้ มาตรฐาน ISO 27001:2013 (เวอร์ชั่นใหม่) หรือมาตรฐาน ISO ฉบับใหม่ๆ ที่มีข้อกำหนดเรื่องการประเมินความเสี่ยง ยังได้อ้างถึง ISO 31000 ว่าเป็นวิธีการประเมินความเสี่ยงที่แนะนำ (Recommended) ให้ใช้งานอีกด้วย

การประเมินความเสี่ยงแบบ Scenario-based Risk Assessment จึงถือได้ว่าเป็นทิศทางที่องค์กรต่างๆ ควรมุ่งไปอย่างแท้จริง รวมไปถึงปัจจุบันก็มีเทคโนโลยีที่สามารถช่วยท่านได้หลายๆ รูปแบบ ท่านสามารถติดต่อขอรายละเอียดเพิ่มเติมได้ที่ www.zolventure.com หรือ www.acinfotec.com

 

บทความโดย จริญญา จันทร์ปาน – Sales and Solution Delivery Director, ACinfotec Co.,Ltd. และ Zolventure Co.,Ltd.

 

เกี่ยวกับ ACinfotec

acinfotec_logo_h50

ACinfotec เป็นผู้นำในการเป็นที่ปรึกษาด้าน GRC Services ทั้งในส่วน Process และด้านเทคนิค โดยบริษัทมีการให้บริการหลายๆ แบบ ได้แก่

  • IT Standards – ISO 27001, ISO 20000, ISO 22301 CMMI, ISO31000, COBIT5, ISO 29100
  • Assessment services – Penetration test, Vulnerability assessment, Incident Handling, Forensics
  • Training – PECB, IRCA, EC-Council, CISA, CISM, CISSP, COBIT5, ITIL, Project management

 

เกี่ยวกับ Zolventure

zolventure_logo

Zolventure เป็นผู้นำด้านการ Implement และการให้บริการทั้งในส่วน Software tools, Managed service และ Data/Content services ซึ่งบริษัทมีการให้บริการในหลายๆรูปแบบ ได้แก่

  • Big Data service
  • GRC services – PCI PA-DSS, Risk Management tools, IT Service Management tools, Business Management tools
  • Intelligent gather – Zirious

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[รีวิว] ASUS ExpertPC D641MD คอมทำงานขนาดเล็ก สเป็คจัดเต็ม ต่อได้ 3 จอพร้อมกัน

ยังคงมีรีวิวต่อเนื่องสำหรับเครื่อง Commercial PC จาก ASUS ที่ต้องการบุกตลาดไทยภายใต้แบรนด์ ASUS ExpertPC โดยคราวนี้ทีมงาน TechTalkThai จะขอรีวิว ASUS ExpertPC D641MD ซึ่งเป็นคอมพิวเตอร์รุ่นทำงานที่ถือว่าโดดเด่นมากจากการที่สามารถเชื่อมต่อจอได้มากถึง 3 จอในตัว และรองรับการอัปเกรดสเป็คให้กลายเป็นเครื่องแรงระดับ Workstation ได้เลย

Gartner ออก Magic Quadrant ด้าน SD-WAN ผล VMware, Silver Peak ครองผู้นำ

Gartner บริษัทวิจัยและที่ปรึกษาชื่อดังจากสหรัฐฯ ออกรายงาน Magic Quadrant ทางด้าน WAN Edge Infrastructure หรือที่รู้จักกันในนามโซลูชัน SD-WAN ฉบับล่าสุดประจำปี 2019 ผลปรากฏว่า VMware …