องค์กรกับการประเมินความเสี่ยงด้านเทคโนโลยีสารสนเทศ

ผู้แต่ง

  • สมหทัย จารุพิมล คณะแพทยศาสตร์ศิริราชพยาบาล มหาวิทยาลัยมหิดล
  • นภสินธุ์ บุญมาก คณะแพทยศาสตร์ศิริราชพยาบาล มหาวิทยาลัยมหิดล

DOI:

https://doi.org/10.14456/jmu.2021.15

คำสำคัญ:

การประเมินความเสี่ยงด้านเทคโนโลยีสารสนเทศ, การบริหารความเสี่ยง, การประเมินความเสี่ยง, การจัดการความเสี่ยง

บทคัดย่อ

          การประเมินความเสี่ยงด้านเทคโนโลยีสารสนเทศเป็นกระบวนการทำงานในการป้องกันข้อมูลสารสนเทศที่เป็นความลับ มีความสำคัญ และป้องกันความเสียหายที่จะเกิดขึ้นจากภัยคุกคามทางเทคโนโลยีสารสนเทศที่สามารถบุกรุกโจมตีข้อมูลสารสนเทศขององค์กร ซึ่งการประเมินความเสี่ยงในเรื่องนี้เป็นแนวทางในการช่วยสนับสนุนความสำเร็จของการบรรลุพันธกิจขององค์กรอีกแนวทางหนึ่ง โดยการประเมินความเสี่ยงด้านเทคโนโลยีสารสนเทศมุ่งเน้นการปกป้องข้อมูลสารสนเทศ 3 ประการ ได้แก่ ความลับ, ความถูกต้อง และความพร้อมใช้งาน เพื่อให้บรรลุการปกป้องข้อมูลสารสนเทศดังกล่าว องค์กรต้องประเมินความเสี่ยงในด้านการเข้าถึงข้อมูลสารสนเทศ, ความถูกต้อง ความครบถ้วนของข้อมูลสารสนเทศ, ความพร้อมใช้ของข้อมูลสารสนเทศและการบริหารจัดการด้านเทคโนโลยีสารสนเทศ รวมถึงการประเมินความเสี่ยงด้านอื่น ๆ ที่เกี่ยวข้องและมีผลกระทบต่อการประเมินความเสี่ยงด้านเทคโนโลยีสารสนเทศทั้งทางตรงและทางอ้อม โดยใช้กระบวนการบริหารความเสี่ยงทั้ง 6 ขั้นตอน

          ดังนั้นหากองค์กรดำเนินการประเมินความเสี่ยงและบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศควบคู่กับการประเมินความเสี่ยงในเรื่องอื่น ๆ จะช่วยให้สินทรัพย์ขององค์กรให้รอดพ้นจากความเสี่ยงทั่ว ๆ ไป และความเสี่ยงที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศอีกด้วย และเพื่อให้การประเมินความเสี่ยงด้านเทคโนโลยีสารสนเทศสำเร็จลุล่วงตามเป้าหมายที่กำหนดไว้ องค์กรต้องให้ความสำคัญและมอบหมายให้ผู้เชี่ยวชาญทางด้านเทคโนโลยีสารสนเทศเป็นผู้ดำเนินการ และฝ่ายบริหารขององค์กรให้การสนับสนุนทรัพยากรที่จำเป็น เหมาะสมและได้มาตรฐาน ตลอดจนการสื่อสารภายในองค์กร และการสร้างความตระหนักเกี่ยวกับความมั่นคงปลอดภัยสารสนเทศ และการใช้งานข้อมูลสารสนเทศให้กับบุคลากรทุกระดับภายในองค์กร

References

กรธัช อยู่สุข.(2553). การจัดการความเสี่ยง (Risk Management) สำหรับองค์กร Episode 1. สืบค้นเมื่อ 13 มกราคม 2563, จาก https://www.gotoknow.org/posts/364878.

เกียรติพงษ์ อุดมธนะธีระ. (2561). Risk Management Principles and Guidelines ISO 31000: 2009. สืบค้นเมื่อ 14 มกราคม 2563, จาก https://www.iok2u.com/index.php/article/e-book/196-iso-31000-2009-risk management-principles-and- guidelines-iso-31000-2009.

ขนิษฐา ชัยรัตนาวรรณ. (2011), การบริหารความเสี่ยงสากล ISO 31000 กับระบบการศึกษาของไทย. Veridian E-Journal Su. Vol.4 No.1 May – August 2011, 419 – 434.

จริญญา จันทร์ปาน. (2558). Scenario-Based Risk Assessment เหมาะสมหรือไม่กับองค์กรของท่าน. สืบค้นเมื่อ 14 มกราคม 2563, จากhttps://www.techtalkthai.com/is-scenario-based-risk-assessment-suitable-for- your-company.

จิรพร สุเมธีประสิทธิ์. (2554). Scenario-Based Risk Assessment การค้นหาและประเมินความเสี่ยงบนสมมติฐานของฉากทัศน์. สืบค้นเมื่อ 14 มกราคม 2563, จาก https://chirapon.wordpress.com.

จิรพร สุเมธีประสิทธิ์. (2554). มารู้จักมาตรฐานการบริหารความเสี่ยงระดับสากลกัน. สืบค้นเมื่อ 14 มกราคม 2563, จาก http://web.kmutt.ac.th/internal- audit/news/detail.php?ID=2618

ชุลีกร นวลสมศรี. (2017). การประเมินความเสี่ยงด้านเทคโนโลยีสารสนเทศและการสื่อสารภายใต้มาตรฐาน ISO 27001:2013. สืบค้นเมื่อ 14 มกราคม 2563, จาก https://www.tcithaijo.org/index.php/gskku/article/view/102213

บูรณะศักดิ์ มาดหมาย. (2551). การปรับปรุงอย่างต่อเนื่อง ตามแบบ PDCA. สืบค้นเมื่อ 5 กันยายน 2562, จาก http://inf.ocs.ku.ac.th/document/pdf/ Kaizen_PDCA.pdf

ปริญญ์ เสรีพงศ์. (2557). รีวิว ISO 27001 :2013 – ตอนที่ 2 ความสำคัญของการประเมินความเสี่ยงสารสนเทศ. [เว็บบล็อก]. สืบค้นเมื่อ 6 พฤศจิกายน 2562, จาก http://www.club27001.com/2014/01/r eview-iso27001-2013- part1.html

เมธา สุวรรณสาร. (2562). ความมั่นคงปลอดภัยไซเบอร์กับปัจจัยเอื้อที่ก่อให้เกิดความสำเร็จแบบ บูรณาการประโยชน์ของการจัดการความ เสี่ยง. สืบค้นเมื่อ 14 มกราคม 2563, จาก http://www.itgthailand.com

วชิราพร ปัญญาพินิจนุกุร. (2552). มาตรฐานการรักษาความมั่นคงปลอดภัย ISO/IEC 27001 และ ISO/IEC 17799 ฉบับประเทศไทย. [เว็บบล็อก]. สืบค้นเมื่อ 6 พฤศจิกายน 2562, จาก http://oknation.nationtv.tv/blog/weblog/2009/02/27/entry-4

Downloads

เผยแพร่แล้ว

2021-08-26

ฉบับ

บท

บทความทางวิชาการ