การประเมินความเสี่ยง (Risk assessment)
1. การวิเคราะห์ความเสี่ยง การวิเคราะห์ความเสี่ยงประกอบด้วย 3 กระบวนการ คือ
กระบวนการที่ 1 การ ชี้ระบุความเสี่ยง (Risk identification) เป็นการชี้ให้เห็นถึงปัญหาความไม่แน่นอนที่องค์กรเผชิญอยู่ กระบวนการนี้จำเป็นต้องอาศัยความรู้ความเข้าใจองค์กร ภารกิจและกิจกรรม สิ่งแวดล้อมด้านกฎหมาย สังคม การเมืองและวัฒนธรรม พัฒนาการและปัจจัยที่มีต่อความสำเร็จขององค์กร รวมทั้งโอกาสและสิ่งคุกคามที่มีต่อองค์กร การชี้ระบุความเสี่ยงควรได้ดำเนินการอย่างทั่วถึงครอบคลุมกิจกรรมในทุกๆ ด้านขององค์กร สาเหตุสำคัญของความเสี่ยงคือการมีสิ่งคุกคาม (Threat) ที่อาจส่งผลให้เกิดการละเมิดความมั่นคงสารสนเทศและส่งผลเสียตามมา
1. ด้านกายภาพและสิ่งแวดล้อม (physical and environmental threats)
- การปนเปื้อน (contamination) จากสารเคมี สิ่งสกปรก หรือรังสี เป็นต้น
- เหตุการณ์แผ่นดินไหว (earthquake)
- การรบกวนทางอิเล็กทรอนิกส์ (electronic interference)
- ภาวะอุณหภูมิและความชื้นสุดขั้ว (extremes of temperature and humidity) เช่น ร้อนหรือเย็นหรือความชื้นสูงหรือต่ำ เกินไป
- แหล่งกำเนิดไฟฟ้าขัดข้องหรือแรงดันไฟฟ้ากระเพื่อม (power supply failure or fluctuations)
- ไฟไหม้ (fire) จากอุบัติเหตุไฟฟ้าลัดวงจร การวางเพลิง หรืออื่นๆ
- น้ำท่วม (flood) จากกระแสน้ำ ฝนตกหลังคารั่ว หรือท่อน้ำชำรุดแตก
- พายุ (storm)
- สัตว์ เช่นสัตว์กัดแทะ (vermin) ประเภทหนู และสัตว์อื่นๆเช่น แมลง เป็นต้น
- การทำลายระบบและข้อมูลโดยเจตนาร้าย (malicious destruction of data and facilities)
2. ด้านระบบ (systems threats)
- แฮ็กเกอร์ (hackers)
- การโจมตีเพื่อห้ามการบริการ [Denial of Service (DoS) attacks]
- การแอบฟัง (eavesdropping)
- การประท้วงหยุดงานของพนักงาน (industrial action)
- คำสั่งเจตนาร้าย (malicious code)
- การอำพรางหรือสวมรอย (masquerade)
- การปฏิเสธไม่ยอมรับ (repudiation)
- การก่อวินาศกรรม (sabotage)
- การเข้าถึงข้อมูล การเข้าถึงโดยใช้โมเด็ม หรือการเปลี่ยนแปลงข้อมูล โดยไม่ได้รับอนุญาต(unauthorized data access, dial-in access, or software changes)
- ความล้มเหลวในด้านการสื่อสารหรือการบริการภายนอก (failure of communications services or outsourced operations)
- การส่งข้อความผิดเส้นทางหรือส่งซ้ำ (misrouting/re-routing of messages)
- ความผิดพลาดของซอฟต์แวร์หรือการเขียนโปรแกรม (software/programming errors)
- ความล้มเหลวทางเทคนิค (technical failures)
- ความผิดพลาดด้านการส่งผ่านข้อมูล (transmission errors)
3. ด้านการบริหารจัดการ (administrative threats)
- การสังคมวิศวกรรม (social engineering)
- การลักทรัพย์และการฉ้อฉล (theft and fraud)
- การใช้โปรแกรมละเมิดลิขสิทธิ์ (use of pirated software)
- การแทรกแซงเว็บไซต์ (website intrusion)
การ ชี้ระบุความเสี่ยง (Risk identification) อาจพิจารณาถึงเหตุการณ์หรือสิ่งที่เคยเกิดขึ้นมาแล้วในอดีตกับองค์กรนั้น หรือองค์กรอื่นใด หรืออาจเป็นสิ่งที่มีความเป็นไปได้ว่าจะเกิดขึ้นแม้ไม่เคยเกิดขึ้นมาก่อนก็ ได้ กระบวนการในชี้ระบุความเสี่ยงอาจใช้วิธีการต่างๆ
ไม่มีความคิดเห็น:
แสดงความคิดเห็น