ความเสี่ยงจากการปฏิบัติการออนไลน์
ความเสี่ยง (Risk) หมายถึง เหตุการณ์หรือการกระทําใด ๆ ที่อาจจะเกิดขึ้นภายในสถานการณ์ที่
ไม่แน่นอน และจะส่งผลกระทบหรือสร้างความเสียหาย (ทั้งที่เป็นตัวเงินและไม่เป็นตัวเงิน) หรือก่อให้เกิด
ความล้มเหลวหรือลดโอกาสที่จะบรรลุวัตถุประสงค์และเป้าหมายขององค์กร ทั้งในด้านยุทธศาสตร์การ
ปฏิบัติงาน การเงิน และการบริการ ซึ่งอาจเป็นผลกระทบทางบวกด้วยก็ได้โดยวัดจากผลกระทบ
(Impact) ที่ได้รับ และโอกาสที่จะเกิด (Likelihood) ของเหตุการณ์
ปัจจัยเสี่ยง (Risk Factor) หมายถึง ต้นเหตุ หรือสาเหตุที่มาของความเสี่ยงที่จะทําให้ไม่บรรลุ
วัตถุประสงค์ที่กําหนดไว้โดยต้องระบุได้ด้วยว่าเหตุการณ์นั้นจะเกิดที่ไหน เมื่อใด และเกิดขึ้นได้อย่างไร
และทําไม ทั้งนี้สาเหตุของความเสี่ยงที่ระบุควรเป็นสาเหตุที่แท้จริง เพื่อจะได้วิเคราะห์และกําหนด
มาตรการลดความเสี่ยงในภายหลังได้อย่างถูกต้อง
การประเมินความเสี่ยง (Risk Assessment) หมายถึง กระบวนการระบุความเสี่ยง การวิเคราะห์
ความเสี่ยง และจัดลําดับความเสี่ยง โดยการประเมินจากโอกาสที่จะเกิด (Likelihood) และผลกระทบ
(Impact) เมื่อทําการประเมินแล้ว ทําให้ทราบระดับของความเสี่ยง (Degree of Risk) หมายถึง สถานะ
ของความเสี่ยงที่ได้จากการประเมินโอกาสและผลกระทบของแต่ละปัจจัยเสี่ยง แบ่งออกเป็น 4 ระดับ
คือ สูงมาก สูง ปานกลาง และต่ํา
การบริหารความเสี่ยง (Risk Management) หมายถึง กระบวนการที่ใช้ในการบริหารจัดการ ให้
โอกาส ที่จะเกิดเหตุการณ์ความเสี่ยงลดลง หรือผลกระทบของความเสียหายจากเหตุการณ์ความเสี่ยง
ลดลงอยู่ในระดับที่องค์กรยอมรับได้ซึ่งการจัดการความเสี่ยง อาจแบ่งโดยสรุปได้เป็น 4 แนวทางหลัก คือ
การยอมรับ การลด/ควบคุม การยกเลิก และการโอนย้ายหรือแบ่งความเสี่ยง
การควบคุม (Control) หมายถึง นโยบาย แนวทางหรือขั้นตอนปฏิบัติต่าง ๆ ซึ่งกระทําเพื่อลด
ความเสี่ยง และทําให้การดําเนินการบรรลุวัตถุประสงค์แบ่งได้ 4 ประเภท คือ การควบคุมเพื่อการป้องกัน
การควบคุมเพื่อให้ตรวจสอบ การควบคุมโดยการชี้แนะ และการควบคุมเพื่อการแก้ไข
หลักการวิเคราะห์ประเมิน และจัดทําความเสี่ยงอย่างเหมาะสม ตามกระบวนการบริหารความ
เสี่ยงตามมาตรฐาน COSO (Committee of Sponsoring Organization of the Tread way
Commission) มีดังนี้
1. การกําหนดเป้าหมายการบริหารความเสี่ยง (Objective Setting)
2. การระบุความเสี่ยงต่าง ๆ (Event Identification)
3. การประเมนความเส ิ ี่ยง (Risk Assessment)
4. กลยทธุ ์ที่ใชในการจ ้ ัดการกับแต่ละความเสี่ยง (Risk Response)
5. กิจกรรมการบริหารความเสี่ยง (Control Activities)
6. ข้อมูลและการสื่อสารด้านบริหารความเสี่ยง (Information and Communication)
7. การติดตามผลและเฝ้าระวังความเสี่ยงต่าง ๆ (Monitoring)
2. ความหมายของการจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศและการสื่อสาร
การจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศและการสื่อสาร คือ กระบวนการการทํางานที่
ช่วยให้ IT Managers สามารถสร้างความสมดุลของต้นทุนเชิงเศรษฐศาสตร์และการดําเนินธุรกิจ ระหว่าง
มาตรการในการป้องกันและการบรรลุผลสําเร็จของพันธกิจ ด้วยการปกป้องระบบเทคโนโลยีสารสนเทศ
และข้อมูลสําคัญ ซึ่งจะช่วยสนับสนุนความสําเร็จของการบรรลุพันธกิจขององค์กร
2.1 Access Risk : เป็นความเสี่ยงเกี่ยวกับการเข้าถึงข้อมูล และระบบคอมพิวเตอร์โดยบุคคล
ที่ไม่มีอํานาจหน้าที่เกี่ยวข้อง หรือเป็นความเสี่ยงในกรณีที่บุคคลที่มีอํานาจหน้าที่ไม่สามารถเข้าถึงข้อมูล
และระบบคอมพิวเตอร์ในส่วนที่เกี่ยวข้องกับงานที่รับผิดชอบ ซึ่งหากหน่วยงานมิได้มีวิธีการจัดการและ
ควบคุมความเสี่ยงด้าน access risk ที่รอบคอบและรัดกุมเพียงพอแล้ว อาจทําให้บุคคลที่ไม่มีอํานาจ
หน้าที่เกี่ยวข้องได้ล่วงรู้ข้อมูล และอาจนําข้อมูลไปแสวงหาประโยชน์โดยมิชอบ อีกทั้งข้อมูลและการ
ทํางานของระบบคอมพิวเตอร์ก็อาจถูกแก้ไขเปลี่ยนแปลงได้ส่วนกรณีบุคคลท่ีมีอํานาจหน้าที่ไม่สามารถ
เข้าถึงข้อมูลและระบบคอมพิวเตอร์ในส่วนที่เกี่ยวข้องกับงานที่รับผิดชอบได้นั้น อาจทําให้การปฏิบัติงาน
ไม่มีประสิทธิภาพเท่าที่ควร โดยที่ความเสี่ยงด้าน access risk อาจเกิดจากหลายสาเหตุ เช่น การกําหนด
สิทธิในการเข้าถึงข้อมูลและระบบคอมพิวเตอร์ที่ไม่เหมาะสมกับหน้าที่และความรับผิดชอบหรือเกินความ
จําเป็นในการใช้งาน การมิได้มีการกําหนดรหัสผ่าน (password) ในการเข้าสู่ระบบงานคอมพิวเตอร์อย่าง
รัดกุมเพียงพอ การมิได้จํากัดและควบคุมให้เฉพาะเจ้าหน้าที่ที่มีอํานาจหน้าที่เกี่ยวข้องในการเข้าออกศูนย์
คอมพิวเตอร์เป็นต้น
2.2 Integrity Risk : เป็นความเสี่ยงเกี่ยวกับความไม่ถูกต้องครบถ้วนของข้อมูลและการทํางาน
ของระบบคอมพิวเตอร์ซึ่งอาจเกิดจากการถูกแก้ไขเปลี่ยนแปลงโดยบุคคลที่ไม่มีอํานาจหน้าที่เกี่ยวข้อง
หรือมีการบันทึกข้อมูล การประมวลผล และการแสดงผลที่ผิดพลาด โดยอาจมีสาเหตุมาจากการที่
หน่วยงานมิได้มีการควบคุมเกี่ยวกับการเข้าถึงข้อมูลและระบบคอมพิวเตอร์โดยบุคคลที่ไม่มีอํานาจหน้าที่
เกี่ยวข้องที่รอบคอบและรัดกุมเพียงพอ (access risk) ซึ่งส่งผลให้ข้อมูล รวมทั้งการทํางานของระบบ
คอมพิวเตอร์อาจถูกแก้ไขเปลี่ยนแปลงโดยมิชอบได้หรือมีสาเหตุมาจากการมิได้มีระบบการควบคุมและ
ตรวจสอบอย่างเพียงพอเพื่อให้มั่นใจได้ว่าการบันทึกข้อมูล การประมวลผล และการแสดงผลมีความ
ถูกต้องครบถ้วน นอกจากนี้การบริหารจัดการและการควบคุมเกี่ยวกับการพัฒนา การแก้ไข หรือ
เปลี่ยนแปลงระบบคอมพิวเตอร์ที่ไม่รอบคอบและรัดกุมเพียงพอ ก็อาจส่งผลให้ระบบคอมพิวเตอร์มีการ
ประมวลผลที่ไม่ถูกต้องครบถ้วน หรือไม่สอดคล้องกับความต้องการของผู้ใช้งานได้
2.3 Availability Risk : เป็นความเสี่ยงเกี่ยวกับการไม่สามารถใช้ข้อมูลหรือระบบคอมพิวเตอร์
ได้อย่างต่อเนื่องหรือในเวลาที่ต้องการ ซึ่งอาจทําให้การปฏิบัติงานหยุดชะงักได้โดยความเสี่ยงนี้อาจเกิด
จากการมิได้ควบคุมดูแลการทํางานของระบบคอมพิวเตอร์และป้องกันความเสียหายอย่างเพียงพอ และยัง
รวมไปถึงการมิได้มีการสํารองข้อมูล และระบบงานคอมพิวเตอร์และจัดให้มีแผนรองรับเหตุการณ์ฉุกเฉิน
นอกจากนี้หากหน่วยงานมิได้มีการควบคุมเกี่ยวกับการเข้าถึงข้อมูล และระบบคอมพิวเตอร์ที่รอบคอบ
และรัดกุมเพียงพอแล้ว (access risk) ก็อาจส่งผลให้บุคคลที่ไม่มีอํานาจหน้าที่เกี่ยวข้องสามารถเข้ามาทํา
ให้ข้อมูล และการทํางานของระบบคอมพิวเตอร์เสียหายได้
2.4 Infrastructure Risk : เป็นความเสี่ยงเกี่ยวกับการที่หน่วยงานมิได้จัดให้มีการบริหาร
จัดการด้านเทคโนโลยีสารสนเทศที่สะท้อนระบบควบคุมภายในที่ดีรวมทั้งมิได้จัดให้มีระบบคอมพิวเตอร์
และบุคลากร ให้เหมาะสมและเพียงพอแก่การสนับสนุนการประกอบธุรกิจ โดยความเสี่ยงนี้อาจเกิดจาก
การแบ่งแยกอํานาจหน้าที่ที่ไม่เหมาะสม ซึ่งทําให้ขาดระบบการสอบยันและการตรวจสอบการปฏิบัติงาน
ที่เพียงพอ รวมถึงการมิได้จัดให้มีนโยบายเกี่ยวกับการรักษาความปลอดภัยด้านเทคโนโลยีสารสนเทศ (IT
security policy) ซึ่งทําให้ไม่มีแนวทางในการควบคุมความเสี่ยงต่างๆ หรือเกิดจากการไม่มีแผนงานและ
ขั้นตอนการปฏิบัติงานที่ครอบคลุมงานสําคัญทุกด้านและมีรายละเอียดเพียงพอเพื่อใช้เป็นแนวทางในการ
ปฏิบัติงาน นอกจากนี้ก็อาจเกิดจากการมิได้จัดให้มีระบบคอมพิวเตอร์ที่มีประสิทธิภาพเพียงพอแก่การ
สนับสนุนการดําเนินงาน และการมิได้จัดให้มีการอบรมบุคลากรด้านคอมพิวเตอร์อย่างเพียงพอเพื่อให้มี
ความรอบรู้และเชี่ยวชาญในงานที่รับผิดชอบ
นอกจากความเสี่ยง 4 ประเภทหลักตามที่กล่าวข้างต้น ยังมีความเสี่ยงเกี่ยวกับการที่ผู้บริหารของ
หน่วยงานมิได้รับข้อมูลที่เกี่ยวข้องอย่างถูกต้องและทันเวลาเพื่อใช้ประกอบการตัดสินใจ ดังนั้น หน่วยงาน
ควรพิจารณาว่าข้อมูลใดบ้างที่จําเป็นแก่การตัดสินใจ รวมทั้งจัดให้มีระบบการตรวจสอบความถูกต้องของ
ข้อมูล และจัดเตรียมข้อมูลดังกล่าวให้พร้อม เพื่อประโยชน์ในการดําเนินงานของหน่วยงาน
3. ความเสี่ยงและแผนบริหารความเสี่ยงด้านเทคโนโลยสารสนเทศ ี
ความเสี่ยงด้านเทคโนโลยีสารสนเทศที่เกี่ยวกับระบบเทคโนโลยีสารสนเทศขององค์กรสามารถ
แบ่งออกเป็น 4 ประเภท ดังนี้
3.1 ความเสี่ยงด้านกายภาพและสิ่งแวดล้อม หมายถึง ความเสี่ยงที่เกิดจากภัยคุกคามทาง
ธรรมชาติสิ่งแวดล้อมที่มนุษย์กระทําขึ้น ลกษณะทางกายภาพและส ั ิ่งแวดล้อมทั้งโดยเจตนาและไม่เจตนา
เช่น
• วาตภัย อุทกภัย ฟ้าผ่า น้ําท่วม
• กระแสไฟฟ้าขัดข้อง
• เพลิงไหม้
• การไม่มีระบบควบคุมการเข้า-ออก ห้องคอมพิวเตอร์แม่ข่าย (Server Room)
การบริหารจัดการความเสี่ยงด้านกายภาพและสิ่งแวดล้อม มีประเดนหล ็ ัก ดังนี้
3.1.1 พิจารณาการตําแหน่งของห้องคอมพิวเตอร์แม่ข่ายและอุปกรณ์สื่อสารหลัก (Server
Room & Network Equipment) ที่จะเป็นที่จัดเก็บและติดตั้งระบบเทคโนโลยีสารสนเทศไว้ยังเครื่อง
คอมพิวเตอร์แม่ข่าย (Server Computer) และการกําหนดที่ตั้งระบบเทคโนโลยีสารสนเทศไว้ยังเครื่อง
คอมพิวเตอร์การเดินสายไฟฟ้า สายวงจร สายสัญญาณของระบบต่างๆ อย่างเน้นความปลอดภัยและ
หลีกเลี่ยงไม่ตั้งระบบไว้ในจุดที่มีความเสี่ยง รวมทั้งมีอุปกรณ์ป้องกันและบรรเทาภัยพิบัติเบื้องต้น เช่น
เครื่องปรับอากาศ ตู้ Rack เพื่อเก็บเครื่องคอมพิวเตอร์แม่ข่าย หน้าต่างระบบความร้อนถังดับเพลิง เป็น
ต้น
3.1.2 การควบคุมการเข้าอออกศูนย์คอมพิวเตอร์และการป้องกันความเสียหาย (Physical
Security) โดยมีการจัดเก็บอุปกรณ์คอมพิวเตอร์ที่สําคัญ เช่น เครื่องคอมพิวเตอร์แม่ข่ายและอุปกรณ์ต่อ
พ่วงระบบสัญญาณเครือข่ายที่เชื่อมโยงไว้ในห้องคอมพิวเตอร์แม่ข่าย (Server Room) ของสํานักงาน ซึ่ง
ในกรณีที่มีบุคคลที่ไม่มีหน้าที่เกี่ยวข้องประจําอํานาจมีความจําเป็นต้องเข้าห้องคอมพิวเตอร์แม่ข่ายใน
บางครั้ง จําเป็นต้องมีการควบคุมอย่างรัดกุมและรอบคอบ เช่น กําหนดให้เจ้าหน้าที่ผู้รับผิดชอบ
ควบคุมดูแลการทํางานตลอดเวลา การแจ้งให้งานเทคโนโลยีสารสนเทศทราบก่อนทุกครั้งและต้องเซ็นชื่อ
ในสมุดบันทึกเข้าออกห้องสื่อสารทุกครั้ง เป็นต้น
3.1.3 จัดห้องคอมพิวเตอร์แม่ข่ายให้เป็นสัดส่วนเฉพาะ โดยแบ่งออกเป็นสัดส่วน ดังนี้ส่วน
เครื่องคอมพิวเตอร์แม่ข่าย (server zone) ส่วนคอมพิวเตอร์ลูกข่าย (client zone) และส่วนของระบบ
เครือข่าย (network zone) เพื่อความสะดวกในการปฏิบัติงาน และยังทําให้การควบคุมการเข้าถึงอุปกรณ์
คอมพิวเตอร์ต่างๆ มีประสิทธิภาพมากยิ่งขึ้น
3.1.4 การจัดแยกส่วนอุปกรณ์ที่จําเป็นในการเข้าถึงข้อมูลโดยเจ้าหน้าที่ของศูนย์ข้อมูล เช่น
ส่วนที่ใช้เก็บรายงานต่างๆหรือข้อมูลที่งานเทคโนโลยีสารสนเทศของจังหวัดได้จัดทําการสํารองข้อมูล
(Backup) ไว้กรณีฉุกเฉินเมื่อข้อมูลที่จัดทําไว้เกิดการเสียหาย โดยจัดเก็บไว้โดยเจ้าหน้าที่ของงาน
เทคโนโลยีสารสนเทศ กลุ่มงานข้อมูลสารสนเทศและการสื่อสาร
3.1.5 การป้องกันความเสียหาย โดยการวางระบบป้องกันไฟที่เหมาะสม มีระบบตรวจจับ
ควันไฟ จัดให้มีถังดับเพลิงที่พร้อมใช้งานได้ตลอดเวลากรณีฉุกเฉินเพื่อใช้ในการดับเพลิงเบื้องต้น
3.1.6 การป้องกันความเสี่ยงจากระบบป้องกันไฟฟ้าลัดวงจร ทําได้โดยมีระบบป้องกันไฟฟ้า
กระชากไม่ให้คอมพิวเตอร์แม่ข่ายให้รับความเสียหายจากความไม่คงที่ของกระแสไฟฟ้าท้องถิ่น อีกทั้งการ
ติดตั้งระบบสายดิน (Ground) ที่ได้มาตรฐานอุปกรณ์ป้องกันไฟ จัดให้ระบบไฟฟ้าสํารองสําหรับ
คอมพิวเตอร์ทั้งแม่ข่ายและลูกข่าย เพื่อให้การดําเนินงานมีความต่อเนื่องกรณีท้องถิ่นดับหรือเกิดขัดข้องไม่
สามารถใช้งานได้
3.1.7 การป้องกันความเสี่ยงจากระบบควบคุมอุณหภูมิและความชื้น ทําโดยให้มีการควบคุม
สภาพแวดล้อมให้มีอุณหภูมิและความชื้นที่เหมาะสม โดยการตั้งอุณหภูมิเครื่องปรับอากาศและค่า
ความชื้นให้มีระดับเหมาะสมกับลักษณะ ( specification) ของระบบคอมพิวเตอร์สิ่งแวดล้อมที่เหมาะสม
ที่คอมพิวเตอร์จะทํางานได้ดีนั้น อุณหภูมิและความชื้นจะต้องมีความชื้นจะต้องมีความเหมาะสมดังนั้นห้อง
ทํางานด้านคอมพิวเตอร์จึงควรเป็นห้องปรับอากาศที่มีประสิทธิภาพ ปราศจากฝุ่นละอองและความชื้น
เพราะเครื่องคอมพิวเตอร์และข้อมูลที่อยู่ภายในเครื่องคอมพิวเตอร์อาจได้รับความเสียหายจากการได้รับ
ความร้อนสูง ในส่วนของห้องคอมพิวเตอร์และข้อมูลที่อยู่ภายในเครื่องคอมพิวเตอร์อาจได้รับความ
เสียหายจากการได้รับความร้อนสูง
3.1.8 ความเสี่ยงในเรื่องของงบประมาณที่จะดําเนินการอย่างได้ประสิทธิภาพสูงสุดและ
เกิดความต่อเนื่อง
3.1.9 ความเสี่ยงในเรื่องของประเด็นนโยบายของกระทรวงมหาดไทย ศูนย์เทคโนโลยี
สารสนเทศและการสื่อสารที่ให้น้ําหนักและความสําคัญในเรื่องระบบเทคโนโลยีสารสนเทศ ซึ่ง
แนวนโยบายและวิสัยทัศน์ของแต่ละยุคสมัยเปลี่ยนแปลงไป อันส่งผลมายังหน่วยงานในแต่ละจังหวัด
ตลอดถึงแนวทางในการดําเนินงานในขั้นตอนต่อไป
3.1.10 ความเสี่ยงในเรื่องของการบริหารจัดการ สามารถวางแผนบริหารความเสียง และ
ดําเนินการเพื่อความเสี่ยงได้ดังนี้
• ศึกษาวิเคราะห์และจัดทําระบบข้อมูลเพื่อการบริหารราชการ ในการสนบสน ั ุนการ
ตัดสินใจของผบรู้ หารระด ิ ับสูง (Executive Information System)
• ให้บริการฝึกอบรมเพื่อพัฒนาความรู้ด้านเทคโนโลยีสานสนเทศของบุคลากร
3.2 ความเสี่ยงด้านบุคลากร หมายถึง ความเสี่ยงที่เกิดจากบุคลากรที่เกี่ยวข้องกับการ
ดําเนินงานด้านเทคโนโลยีสานสนเทศของจังหวัดรวมถึงการวางแผนการตรวจสอบการทํางานการ
มอบหมายหน้าที่และสิทธิของบุคลากร / คณะทํางานที่มีส่วนเกี่ยวข้องกับการดําเนินการทุกฝ่ายอย่าง
ละเอียดถี่ถ้วน เพื่อให้บุคลากรมีความรู้ความเข้าใจในการใช้งาน การดูและรักษาความปลอดภัยระบบ
เทคโนโลยีสารสนเทศ ตลอดจนบุคลากรภายนอกทีเกี่ยวข้องทั้งทางตรงและทางอ้อมล้วนแต่เป็นความ
เสี่ยง ความเสี่ยงด้านบุคลากรเป็นความเสี่ยงหนึ่งที่สําคัญ ดังนั้นจึงควรมีแนวทางและการวางแผนที่กํากับ
ดูแลการบริหารจัดการและควบคุมความเสี่ยงบุคลากรของจังหวัดอย่างจริงจังการบริหารจัดการความเสี่ยง
ด้านบุคลากร มีประเด็นหลัก ดังนี้
3.2.1 กําหนดโครงสร้างบุคลากรด้านเทคโนโลยีสารสนเทศของจังวัด และการบริหารจัดการ
ด้านบุคลากร การแต่งตั้งเจ้าหน้าที่ฯที่มีความเหมาะสม (มีความรู้ความสามารถและประสบการณ์ด้าน
คอมพิวเตอร์ในระดับที่สามารถรับการถ่ายทอดเทคโนโลยีด้านการรักษาความปลอดภัยระบบฯ และ
สามารถความรู้นั้น ให้แก่ผู้ใช้งานระบบฯของหน่วยงานได้อย่างมีประสิทธิภาพ) เมื่อมีการปรับและแจ้ง
รายชื่อผู้รับผิดชอบ เจ้าหน้าที่ที่รักษาความปลอดภัยระบบฯ และผู้ดุลแลระบบฯ) ที่มีการเปลี่ยนปลง เช่น
โยกย้าย ลาออก ฯลฯ จะต้องแจ้งให้แก่ผู้บังคับบัญชาได้รับทราบ เพื่อประโยชน์ในการบริหารบุคลากร
การติดต่อประสาน แจ้งเตือนภัย ฝึกอบรม และการรักษาความปลอดภัยระบบสารสนเทศ อย่างมี
ประสิทธิภาพ หากบุคลากรด้านเทคโนโลยีสารสนเทศไม่มีการจัดโครงสร้างและการบริหารจัดการที่ดี
เพียงพอ ก็อาจทําให้เกิดความเสี่ยงด้านโครงสร้างการบริหารงานได้การกําหนดโครงสร้าง การแบ่งแยก
อํานาจหน้าที่ การกําหนดนโยบายและขั้นตอนการปฏิบัติงานและกํากับดูแลควบคุมการปฏิบัติงานเป็น
หลัก
3.2.2 การว่าจ้าง / จัดจ้างบุคลากรภายนอก ( Outsourcing) เพื่อจัดทําโครงการด้านระบบ
เทคโนโลยีสารสนเทศภูมิศาสตร์เพราะเป็นผู้มีความรู้ความชํานาญเฉพาะทาง มีเครื่องมือและเทคโนโลยี
ที่ใช้พร้อมและทันต่อการพัฒนาระบบฐานข้อมูลสารสนเทศเฉพาะด้านมากกว่าภาคราชการ โดยการ
ว่าจ้างบุคลากรภายนอกนี้ก็จะมีความเสี่ยงในเรื่องของ ความรู้ความเข้าใจในระบบราชการ และผลสัมฤทธิ์
ที่เกิดจากการทํางาน อีกทั้งในแง่ของความคุ้มค่าของการใช้จ่ายงบประมาณ ดังนั้น แนวทางในการ
วางแผนบริหารความเสี่ยงของการว่าจ้างบุคลากรภายนอกนี้ทําได้โดย หน่วยงานที่เป็นเจ้าของเรื่อง หรือ
เป็นผู้รับผิดชอบในประเด็นต่างๆ ต้องเป็นผู้เข้ามากํากับดูแลตั้งแต่เริ่มกระบวนการ และต่อเนื่อง โดย
หลักการบริหารจัดการที่ดีอีกทั้งรักษาผลประโยชน์ของทางราชการให้มากที่สุด
3.2.3 บุคลากรของภาคราชการ ขาดความรู้ความเข้าใจเรื่องของระบบเทคโนโลยีสารสนเทศ
โดยเฉพาะในเรื่องเชิงเทคนิคด้านโปรแกรม และนวัตกรรมใหม่ ทําให้เกิดช่องว่างในการที่จะประสานงาน
และรับผิดชอบงานอย่างมีประสิทธิภาพ ดังนั้น แนวทางในการวางแผกนบริหารความเสี่ยงในประเด็นนี้
โดยการส่งเจ้าหน้าที่เข้ารับการอบรมความรู้ทางเทคโนโลยีสารสนเทศ รวมถึงการรับบุคลากรที่มีความรู้
ความเข้าใจด้านระบบเทคโนโลยีสารสนเทศมาปฏิบัติงานในหน่วยงานราชการมากยิ่งขึ้น
3.2.4 แผนการบริหารความเสี่ยงด้านบุคลากร คือ ต้องมีการฝึกอบรมในด้านที่เกี่ยวข้องกับ
ระบบฐานข้อมูลสารสนเทศของจังหวัด สําหรับบุคลากรของส่วนราชการ ใน 2 ระดับ คือ ระดับผู้ดูแล
ระบบ (Administrator) และใช้งานทั่วไป (User) ทําให้บุคลากรของหน่วยงานสามารถใช้งานระบบ
สารสนเทศ ดูแล ปรับปรุง และพัฒนาระบบได้เป็นการสนับสนุนบุคลากรทางคอมพิวเตอร์รวมทั้ง
ผู้ใช้งานให้มีความรู้ด้านการรักษาความปลอดภัยระบบ ได้อย่างมีประสิทธิภาพ
3.3 ความเสี่ยงด้านอุปกรณ์เทคโนโลยีสารสนเทศ หมายถึง ความเสี่ยงที่เกิดจากความผิดพลาด
ช่องโหว่ของภัยคุกคามที่เกิดขึ้นกับอุปกรณ์ไม่ว่าจะเป็นความเสี่ยงที่ที่เกิดจากทํางานผิดพลาดของอุปกรณ์
ช่องโหว่ของอุปกรณ์ตลอดจนการเคลื่อนย้ายตัวเครื่อง อุปกรณ์การติดตั้งอุปกรณ์ในพื้นที่ไม่เหมาะสม
การถูกภัยคุกคามจากภัยต่างๆ ไวรัสคอมพิวเตอร์เป็นต้น
การบริหารจัดการความเสี่ยงด้านอุปกรณ์เทคโนโลยีสารสนเทศ มีประเด็นหลัก ดังนี้
3.3.1 ความเสี่ยงในเรื่องของจัดหาอุปกรณ์เทคโนโลยีสารสนเทศให้เหมาะสมกับแผนงาน /
โครงการ และองค์กร (Planning and Organization) ซึ่งควรให้มีการจดหาเคร ั ื่องคอมพิวเตอร์แลอุปกรณ์
ต่างๆให้ได้ตามาตรฐานของอุปกรณ์คอมพิวเตอร์จัดหาและติดตั้งอุปกรณ์เทคโนโลยีสารสนเทศ
(Acquisition and Implementation) ให้เหมาะสมตามลักษณะของโครงการ และเหมาะสมดับ
งบประมาณ
3.3.2 ความเสี่ยงในเรื่องการบํารุงรักษาอุปกรณ์เทคโนโลยีสารสนเทศ (Support) ซึ่งการ
ลดโอกาสที่จะเกิดความเสี่ยงในกรณีได้แก่
1) การบํารุงรักษาและลดความเสี่ยง
- มีการแก้ไขปัญหาเครื่องคอมพิวเตอร์เบื้องต้นได้โดยผู้ดูแลระบบเครื่องคอมพิวเตอร์
และอุปกรณ์ต่อพ่วง รวมถึงมีการรับประกันความเสียหายจากผู้ขาย และการดูแลอย่างถูกต้องและต่อเนื่อง
- ควรปิดเครื่องคอมพิวเตอร์ทุกครั้งเมื่อใช้งานเสร็จเรียบร้อยแล้ว
- การใช้แผนซดีีหรือ Handy drive ควรตรวจสอบไวรัสก่อนทุกครั้ง
- ควรปัดฝุ่นหรือทําความสะอาดเครื่องคอมพิวเตอร์ให้ใหม่อยู่เสมอ เพราะเมื่อมีฝุ่น
เข้าสู่เครื่องคอมพิวเตอร์มากๆ จะทําให้เครื่องคอมพิวเตอร์ร้อนจัดได้ง่าย เป็นสาเหตุของอาการเครื่องค้าง
หรือรวนได้
- โปรแกรม Windows จะมีคําสั่งในการบํารุงรักษาเครื่อง (Maintenance) ซึ่งผู้ดูแล
ระบบควรใช้คําสั่งนี้เป็นประจํา
- การติดตั้งไฟร์วอลล์ (Firewall) เพื่อป้องกันเบื้องต้นไม่ให้ผู้ที่ไม่ได้รับอนุญาตจาก
ระบบเครือข่ายอินเตอร์เน็ตสามารถเข้าสู่ระบบเทคโนโลยีสารสนเทศ
- การตรวจสอบและดูแลคอมพิวเตอร์แม่ข่ายเป็นประจําสม่ําเสมอ
- การฝึกอบรมผู้ดูแลระบบและผู้ใช้ระบบให้มีความรู้ความเข้าใจในระบบงานเกี่ยวกับ
การใช้เครื่องคอมพิวเตอร์และอุปกรณ์ต่อพ่วง และการรักษาความปลอดภัยในการใช้ระบบสารสนเทศ
เช่น การกําหนดรหัสผู้ใช้และการใช้รหัสผ่าน
- การจัดทําคู่มือผู้ดูแลอุปกรณ์เทคโนโลยีสารสนเทศ
- การสํารองข้อมูล (Backup) ข้อมูลระบบสารสนเทศ
- การบํารุงรักษาระบบคอมพิวเตอร์และอุปกรณ์ต่อพ่วง ได้แก่ ระบบปฏิบัติการ
คอมพิวเตอร์ระบบเครือข่าย และการใช้งานและประสิทธิผลของเครื่องคอมพิวเตอร์อุปกรณ์เทคโนโลยี
สารสนเทศ
2) การรักษาความปลอดภัยของคอมพิวเตอร์แม่ข่าย (Server)
- กําหนดขั้นตอนหรือวิธีการปฏิบัติในการตรวจสอบการรักษาความปลอดภัยของ
คอมพิวเตอร์แม่ข่ายและในกรณีที่พบว่ามีการใช้งานหรือเปลี่ยนแปลงค่า Parameter ในลักษณะที่ผิดปกติ
จะต้องดําเนินการแก้ไขและรายงานให้ผู้บังคับบัญชาทราบทันที
- ทําการทดสอบ System Software เกี่ยวกับการรักษาความปลอดภัยและ
ประสิทธิภาพการใช้งานอย่างสม่ําเสมอ
- กําหนดบุคคลรับผิดชอบในการกําหนดแก้ไข หรือเปลี่ยนค่า Parameter ต่างๆ
โปรแกรมคอมพิวเตอร์แม่ข่ายอย่างชัดเจน
3.4 ความเสี่ยงด้านโปรแกรมคอมพิวเตอร์หมายถึง ความเสี่ยงที่เกิดจากระบบงานโปรแกรม
ต่างๆ ที่ได้จัดทําแลพัฒนาขึ้นสําหรับโครงการด้านเทคโนโลยีสารสนเทศ รวมถึงโปรแกรมประยุกต์อื่นๆ ที่
ใช้ประกอบการใช้โปรแกรมและระบบงาน ตัวอย่าง ตัวอย่างเช่น การใช้โปรแกรมที่ไม่มีลิขสิทธิ์ถูกต้อง
ความผิดพลาดที่เกิดขึ้นจากการเขียนโปรแกรม โปรแกรมที่พัฒนาขึ้นมาแล้วมีผู้บุกรุกเข้ามาแก้ไข
เปลี่ยนแปลงคําสั่ง และการถูกไม่หวังดีทําลายระบบ (Hacker) เป็นต้น
การบริหารจัดการความเสี่ยงด้านโปรแกรมคอมพิวเตอร์มีประเด็นหลัก ดังนี้
3.4.1 มีการพฒนามาตรฐานและการบร ั ิการโปรแกรมคอมพิวเตอร์
- พัฒนาและปรับปรุงมาตรฐาน Hardware Software People ware Data และ
Network ให้เป็นฐานข้อมูลกลางของงานเทคโนโลยีสารสนเทศ และเป็นไปในทิศทางเดียวกัน
- สรางกลไกการจ ้ ัดการฐานข้อมูล การจัดระบบสารสนเทศเพื่อการบริหารจัดการ
ของหน่วยงานให้ครบถ้วนและครอบคลุมมากยิ่งขึ้น
- พัฒนาโปรแกรมให้สามารถบริหารจัดการฐานข้อมูลให้มีมาตรฐานและแบ่งสรรการ
ให้ทรัพยากรฐานข้อมูลจากโปรแกรมร่วมกันได้
- พัฒนาโปรแกรมให้สามารถจัดเก็บ รวบรวม ประมวลข้อมูล ศึกษาวิเคราะห์เพื่อ
การนําเสนอและสนับสนุนการบริหารราชการ และพัฒนา ส่งเสริม บํารุงรักษาระบบ และการเผยแพร่
ข้อมูลข่าวสารของจังหวัดได้ในลักษณะของ Web Application เพื่อความสะดวกในการใช้งานและ
แสดงผล
3.5 ความเสี่ยงด้านระบบเครือข่าย หมายถึง ความเสี่ยงหรือภัยต่างๆที่เกิดขึ้นกับระบบเครือข่าย
ขององค์กรทั้งระบบอินทราเน็ต (Intranet) และอินเตอร์เน็ต ( Internet) ซึ่งรวมถึงภัยที่มีสาเหตุมาจาก
ปัญหาพื้นฐานของโพรโตคอล ( Protocol) TCP/IP ด้วย เช่น ความเสี่ยงด้ายกายภาพ ความเสี่ยงด้าน
ระบบปฏิบัติการ ความเสี่ยงระบบแม่ข่าย ความเสี่ยงจากการบุกรุกระบบเครือข่าย และความเสี่ยงจากภัย
คุกคามต่างๆ การบริหารจัดการความเสี่ยงด้านระบบเครือข่าย มีประเด็นหลัก ดังนี้
3.5.1 ความเสียหายที่เกิดขึ้นจากระบบเครือข่าย การเฝ้าระวังและตรวจสอบระบบเครือข่าย
และการจัดทําระบบการกําหนดสิทธิในการเข้าถึงระบบเครือข่าย ได้มีระบบการติดตามและเฝ้าดูแลการใช้
เครือข่ายภายในและการเข้าออก Internet ทุกวัน รวมทั้งการสร้าง Firewall เพื่อป้องกันการเข้าถึงและ
การโจมตีจากภายนอกให้ทุกเครื่องคอมพิวเตอร์ลูกข่าย (Client) ในเครือข่ายระบบฐานข้อมูล ระบบ Web
Server เป็นต้น
3.5.2 พัฒนาระบบงานด้านเครือข่าย โดยการพัฒนา บริหาร ควบคุม กํากับดูแลและ
บํารุงรักษาระบบเครื่องคอมพิวเตอร์และเครือข่ายสารสนเทศพื้นฐานของกระทรวงมหาดไทย ร่วมกับ
หน่วยงานอื่นๆ ที่เกี่ยวข้อง การเพิ่มการรักษาและคุ้มครองความปลอดภัยข้อมูลผ่านระบบเครือข่าย
3.5.3 เพิ่มประสิทธิภาพในการให้บริการระบบเครือข่ายคอมพิวเตอร์ภายในให้มีความเสถียร
และมีประสิทธิภาพรองรับกับปริมาณข้อมูล และการเคลื่อนไหวของฐานข้อมูล
3.5.4 หน่วยงานภายในสํานักงาน และผู้มีความรู้ต้องร่วมวิเคราะห์ออกแบบ วางแผนการ
จัดการระบบโครงข่ายร่วมกันอย่างสมบูรณาการ และมีการให้คําปรึกษา แนะนําและแก้ไขปัญหาในการ
พัฒนาเครือข่าย
3.5.5 มีแผนการรักษาความปลอดภัยของระบบเครือข่าย ( Network Security ) มี
วัตถุประสงค์เพื่อควบคุมบุคคลที่ไม่เกี่ยวข้องไม่ให้เข้าถึง ล่วงรู้ ( access risk ) หรือแก้ไขเปลี่ยนแปลง
(Integrity risk ) ข้อมูล หรือการทํางานของระบบเครือข่ายที่จะมีผลถึงระบบเครือข่ายที่จะมีผลถึงระบบ
คอมพิวเตอร์ในส่วนที่มิได้มีอํานาจหน้าที่เกี่ยวข้อง การป้องกันการบุกรุกผ่านระบบเครือข่ายมีวัตถุประสงค์
เพื่อป้องกันบุคคล ไวรัส มิให้เข้าถึงหรือสร้างความเสี่ยง ( availability risk) แก้ข้อมูลหรือการทํางานของ
ระบบคอมพิวเตอร์ โดยเนื้อหารายละเอียดเกี่ยวกับแนวในการรักษาความปลอดภัยข้อมูลระบบ
คอมพิวเตอร์เครื่องแม่ข่ายและระบบเครือข่าย
1) การบริหารจัดการข้อมูลบนเครือข่าย
• กําหนดชั้นความสําคัญในการเข้าถึงข้อมูลแต่ละประเภท ทั้งการเข้าถึงโดยตรง
และการเข้าถึงผ่านระบบงาน รวมถึงการเข้าถึงข้อมูลผ่านเครือข่าย
• ในการรับส่งข้อมูลผ่านเครือข่ายสาธารณะต้องได้รับการเข้ารหัสที่เป็น
มาตรฐานสากล
• กําหนดมาตรการรักษาความปลอดภัยข้อมูล เช่น กรณีนําเครื่องคอมพิวเตอร์ส่ง
ซ่อม เป็นต้น
2) การควบคุมการกําหนดสิทธิให้แก่ผใชู้ ้งาน (User Privilege)
• กําหนดสิทธิการเข้าถึงข้อมูลและระบบคอมพิวเตอร์ เช่น สิทธิในการใช้
โปรแกรมระบบงานคอมพิวเตอร์ (Application System) ให้แก่ ผู้ใช้งานให้
เหมาะสมกับหน้าที่และความรับผิดชอบ
• กําหนดระยะเวลาการใช้งานของ User พร้อม Password และระงับการใช้งาน
ทันทีเมื่อพ้นระยะเวลาดังกล่าว
• กําหนดให้มีการเปลี่ยนรหัสผ่านอย่างรอบคอบ และมีความลับ
• ในการที่มีความจําเป็นต้องให้สิทธิบุคคลอื่นให้มีสิทธิในการใช้งานระบบ
คอมพิวเตอร์เช่น การทดสอบระบบของเจ้าหน้าที่ภายนอกต่างๆ ต้องมีการ
อนุมัติจากผู้มีอํานาจหน้าที่ทุกครั้ง โดยบันทึกเหตุผลและความจําเป็นรวมถึง
กําหนดระยะเวลาในการใช้งาน
3) ควบคุมการใช้งานบัญชีรายชื่อผู้ใช้งาน ( User Account ) และรหัสผ่าน (Password)
• กําหนดให้รหัสผ่านมีความยาวตามมาตรฐานสากลโดยทั่วไปไม่ต่ํากว่า 6
ตัวอักษร
• ควรใช้อักขระพิเศษประกอบ เช่น @ ; < > เป็นต้น
• สําหรับผู้ใช้งานทั่วไปจะมีการเปลี่ยนรหัสผานอย ่ ่างน้อยทุกๆ 6 เดือน ส่วน
ผู้ดูแลระบบควรเปลี่ยนรหัสผานอย ่ ่างน้อยทุก 3 เดือน
• ในการเปลี่ยนรหัสผ่านแต่ละครั้งจะไม่ควรกําหนดรหัสผ่านใหม่ใหซ้ ้ําของเดิม
ครั้งสุดท้าย
• ผู้ใช้งานจะต้องเก็บรหัสผ่านไว้เป็นความลับ ทั้งนี้ในกรณทีมี่ ีการล่วงรู้รหัสผ่าน
โดยบุคคลอื่นผู้ใช้งานจะต้องเปลี่ยนรหัสผ่านใหม่โดยทันที
3.5.6 การบริหารจัดการและการตรวจรหัสผ่านใหม่โดยทนทั ี
1) กําหนดแบ่งแยกระบบเครือข่ายให้เป็นสัดส่วนตามการใช้งาน เช่น ส่วนเครือข่าย
ภายในส่วนเครือข่ายภายนอก
2) ติดตั้งระบบป้องกันการบุกรุก เช่น Firewall ระหว่างเครือข่ายในกับเครือข่ายนอก
โดยการติดตั้งผ่านอุปกรณ์คอมพิวเตอร์ติดตั้งระบบป้องกันการบุกรุกในระบบเครือข่ายด้วยซอฟต์แวร์และ
ฮาร์ดแวร์ให้แก่ ระบบ Firewall ซึ่งเป็นซอฟต์แวร์ทําหน้าที่เสมือนกับกําแพงกันไฟไม่ให้ลุกลามขยายตัว
หาก มีไหม้เกิดขึ้น Firewall จะอาศัยคอมพิวเตอร์เครื่องหนึ่งเป็นด่านเข้าออกเครือข่ายและเป็นเสมือน
กําแพงกันไฟ และมีซอฟต์แวร์ที่ดูแลระบบจะติดตั้งและกําหนดรูปแบบการอนุญาตให้เข้าใช้เครือข่าย
อินเตอร์เน็ต
3) จัดทําแผนผังระบบเครือข่าย / แผนผังการเชื่อมโยงระบบเครือข่าย (Network
Diagram) ซึ่งมีราละเอียดเกี่ยวกับขอบเขตของเครือข่ายทั้งในและภายนอกและอุปกรณ์ให้เป็นปัจจุบันอยู่
เสมอ
4) ตรวจสอบความปลอดภัยของอุปกรณ์คอมพิวเตอร์ก่อนเชื่อมต่อกับระบบเครือข่าย
เช่น ตรวจสอบไวรัส เป็นต้น
5) กําหนดบุคคลผู้รับผิดชอบในการกําหนดแก้ไขหรือเปลี่ยนแปลงค่า Parameter ต่างๆ
ของอุปกรณ์เครือข่าย
3.5.7 การป้องกันไวรัสสําหรบระบบเคร ั ือข่าย
1) กําหนดมาตรการป้องกันไวรัสที่มีประสิทธิภาพสําหรับเครื่องคอมพิวเตอร์แม่ข่ายและ
เครื่องคอมพิวเตอร์ลูกข่ายที่เชื่อมกต่อกับระบบเครือข่ายทุกเครื่อง เช่น การติดตั้งซอฟต์แวร์ป้องกันไวรัส
เป็นต้น การปกป้องระบบเครือข่าย สิ่งที่สําคัญอย่างยิ่งคือ ผู้ใช้งานในระบบจะต้องคอยดูแล และป้องกัน
ไม่ให้ตนเองเป็นช่องทางผ่านของ Hacker ผู้ดูแลระบบจะต้องคอยติดตามและหากหาวิธีการป้องกัน และ
แก้ไขจุดบกพร่องของซอฟต์แวร์ที่ใช้งาน เพราะไม่มีระบบเครือข่ายใดที่ปลอดภัยสมบูรณ์แบบ ดังนั้นต้องมี
ระบบป้องกันที่ดีโดยมีวิธีการดังนี้
• ติดตั้งโปรแกรมกันไวรัสและอัพเดตข้อมูลไวรัสอยู่เสมอ
• ติดตั้งโปรแกรมป้องกันไวรัสที่เหมาะสม
• สร้างแผ่น Emergency Disk เพื่อใช้ในการกู้ระบบ
• อะเดตข้อมูลไวรัสของโปรแกรมทุกครั้งที่เครื่องเตือนให้อัเดต
• เปิดใช้งาน Auto Protect
• ตรวจสอบหาไวรัสทุกครั้งกอนเป ่ ิดไฟล์จากสื่อบันทึกข้อมูลต่างๆ
• ใช่โปรแกรมเพื่อทําการตรวจหาไวรัสอย่างน้อยสัปดาห์ละ 1 ครั้ง
• การป้องกันจากการเปิดไฟล์จากบันทึกข้อมูลก่อนใช้งานทุกครั้ง
• แผ่น CD เทปต่างๆ
• สแกนหาไวรัสจากอื่นบันทึกก่อนใช้งานทุกครั้ง
• ไม่ควรเปิดไฟล์ที่มีนามสกลแปลกๆ ุ ที่น่าสงสัย เช่น .pif เป็นต้น
• ไม่ใช้สื่อบันทกทึ ี่ไม่ทราบแหล่งที่มา
• การป้องกันจากการเปิด E-Mail
• อย่าเปิดไฟล์ E-Mail จากผู้ส่งที่ไม่รู้จัก และไม่ทราบที่มา
• อย่าเปิดอ่าน E-Mail ที่มีหัวเรื่องเป็นข้อความไม่ปกติ
• ลบ E-Mail ที่ไม่ทราบแหลงท่ ี่มาทั้งทันที
• อัพเดตโปรแกรม E-Mail สม่ําเสมอ
• การป้องกันจาการดาวนโหลดจาก ์ Internet
• ไม่เปิดไฟล์ทีแนบมากับโปรแกรมสนทนาต่างๆ เช่น MSN
• ไม่ควรเข้า Website ที่มากบั E-Mail
• ไม่ดาวน์โหลดไฟล์จาก Website ที่ไม่มั่นใจหรือไม่เน่าเชื่อถือ
• ติดตามข้อมูลการแจ้งเตือนจากแหล่งข้อมูลก้านความปลอดภัยเสมอ
• หลีกเลี่ยงการแชร์ไฟล์ไม่จําเป็น
• หลีกเลี่ยงการแชร์ไฟล์ประเภท Peer to Peer
3.6 ความเสี่ยงดด้านข้อมูล หมายถึง ความเสี่ยงที่เกิดจากฐานข้อมูลต่างๆในระบบสารสนเทศ
อันอาจจะก่อให้เกิดความเสี่ยหาย ข้อมูลถูกทําลาย ความเสี่ยงจากผู้บุกรุก การโจรกรรมข้อมูลสําคัญการ
ลักลอบเข้ามาแก้ไขเปลี่ยนแปลงข้อมูล ความเสี่ยงเหล่านี้ล้วนมีความจําเป็นที่จะต้องมีการบริหารจัดการ
ความเสี่ยงด้านข้อมูล ดังนั้น การรักษาความมั่นคงปลอดภัยของข้อมูลจึงเป็นเรื่องที่สําคัญ ข้อมูล
สารสนเทศเป็นส่วนสําคัญสําหรับผู้บริหาร ที่จะนําความมั่นคงปลอดภัยของข้อมูลจึงเป็นเครื่องมือสําหรับ
การติดสินใจในการวางแผน การจัดการข้อมูล ( Management of Data and Communication) ดังนั้น
การรักษาความปลอดภัยของระบบข้อมูล และ Computer จากภัยต่างๆ ทั้งจากคน จากธรรมชาติหรือ
เหตุการณ์ใดๆ จึงสําคัญ และจําเป็นต้องมีการป้องกันเพื่อให้เกิดความมั่นคงต่อระบบข้อมูลสารสนเทศและ
เทคโนโลยีการรักษาความปลอดภัยด้านข้อมูลสารสนเทศ มีแนวทางหลักดังนี้
1. นโยบายรักษาความปลอดภัยด้านเทคโนโลยีสารสนเทศ
2. การแบ่งแยกอํานาจหน้าที่ ( Segregation of Duties)
3. การควบคุมการเข้าออกศูนย์คอมพิวเตอร์และการป้องกันความเสียหาย (Physical
Security)
4. การรักษาความปลอดภัยข้อมูลระบบคอมพิวเตอร์และระบบเครือข่าย (Information
and Network Security)
5. การสํารองข้อมูลระบบคอมพิวเตอร์และการเตรียมพร้อมกรณีฉุกเฉิน (Backup IT
Continuity Plan)
6. การบํารุงรักษาอุปกรณ์เครือข่ายและระบบคอมพิวเตอร์
การบริหารจัดการความเสี่ยงด้านข้อมูล มีประเด็นหลัก ดังนี้
5.6.1 ฐานข้อมูล มีความเสี่ยงกับการเข้าถึงข้อมูล (Access Risk)และระบบคอมพิวเตอร์ใน
ส่วนที่เกี่ยวข้องหรือเป็นความเสี่ยงในกรณีที่บุคคลที่มีอํานาจหน้าที่ไม่สามารถเข้าถึงข้อมูลและระบบ
คอมพิวเตอร์ในส่วนที่เกี่ยวข้องกับงานที่รับผิดชอบ ซึ่งทางหน่วยงานไม่มีวิธีการจัดการและควบคุมความ
เสี่ยง (Access Risk) ที่รอบคอบและรัดกุมอาจทําให้บุคคลไม่มีอํานาจหน้าที่เกี่ยวข้องได้รับข้อมูลและนํา
ข้อมูลไปใช้ก่อให้เกิดความเสี่ยหายได้อีกทั้งข้อมูลและการทํางานของระบบคอมพิวเตอร์ก็อาจถูกแก้ไข
เปลี่ยนแปลงได้ส่านกรณีบุคคลที่มีอํานาจหน้าที่ไม่สามารถเข้าถึงข้อมูลระบบคอมพิวเตอร์ในส่วนที่
เกี่ยวข้องกับงานที่รับผิดชอบได้นั้น
3.6.2 ฐานข้อมูล มีความเสี่ยงเกี่ยงกับความเสี่ยงไม่ถูกต้องครบถ้วนของข้อมูล (Integrity
Risk) และการทํางานของระบบคอมพิวเตอร์ซึ่งอาจเกิดจากถูกแก้ไขเปลี่ยนแปลงโดยบุคคลที่ไม่มีอํานาจ
หน้าทีเกี่ยวข้อง หรือมีการบันทึกข้อมูล การประเมินผล และการแสดงผลที่ผิดพลาด โดยอาจมีสาเหตุมา
จากการที่หน่วยงานไม่ได้ควบคุมเกี่ยวกับการเข้าถึงข้อมูลและระบบคอมพิวเตอร์โดยบุคคลที่ไม่มีอํานาจ
หน้าที่เกี่ยวข้องที่รอบคอบและรัดกุมเพียงพอ (Access Risk) ซึ่งส่งผลให้ข้อมูลและการทํางานของระบบ
คอมพิวเตอร์อาจถูกแก้ไขเปลี่ยนแปลงได้หรือสาเหตุมาจากการที่ไม่มีระบบการควบคุมและตรวจสอบ
อย่างเพียงพอ เพื่อให้มั่นใจได้ว่าการบันทึกข้อมูล การประเมินผล และการแสดงผลมีความถูกต้องครบถ้วน
3.6.3 ฐานข้อมูล มีความเสี่ยงเกี่ยวกับการที่ไม่สามารถใช้ข้อมูล(Availability Risk) หรือ
ระบบคอมพิวเตอร์ได้อย่างต่อเนื่อง หรือในเวลาที่ต้องการซึ่งอํานาจทําให้การปฏิบัติงานหยุดชะงักได้โดย
ความเสี่ยงนี้อาจไม่มีการควบคุมดูแลการทํางานของระบบคอมพิวเตอร์และป้องกันความเสียหายอย่าง
เพียงพอ และยังรวมไปถึงการที่ไม่ได้สํารองข้อมูลและระบบงานคอมพิวเตอร์และจัดให้มีแผลรองรับ
เหตุการณ์ฉุกเฉิน นอกจากนี้หากหน่วยงานไม่มีการควบคุมเกี่ยวกับการเข้าถึงข้อมูลและระบบ
คอมพิวเตอร์ที่รัดกุมเพียงพอแล้ว (Access Risk) ก็อาจส่งผลให้บุคคลที่ไม่มีอํานาจหน้าที่เกี่ยวข้องสามารถ
เข้ามาทําให้ข้อมูลและการทํางานของระบบคอมพิวเตอร์เสียหายได้
3.6.4 ฐานข้อมูล มีความเสี่ยงกับการที่หน่วยงานไม่ได้จัดให้มีการบริหารจัดการด้าน
เทคโนโลยีสารสนเทศที่สะท้อนระบบคบคุมภายในที่ดี (Infrastructure Risk) รวมทั้งไม่ได้จัดให้มีระบบ
คอมพิวเตอร์และบุคลากรให้เหมาะสมและเพียงพอแก่การสนับสนุนการทํางานของหน่วยงานโดยความ
เสี่ยงนี้อาจเกิดจากการแบ่งแยกอํานาจหน้าที่ที่ไม่เหมาะสม รวมถึงไม่มีการจัดให้มีนโยบายเกี่ยวกับการ
รักษาความปลอดภัยด้านเทคโนโลยีสารสนเทศ ซึ่งทําให้ไม่มีแนวทางในการควบคุมความเสี่ยงต่างๆ หรือ
เกิดจากการไม่มีแผนงานและข้นตอนการปฏิบัติงานสําคัญทุกด้าน และการจัดให้มีการอบรมบุคลากรด้าน
คอมพิวเตอร์อย่างเพียงพอ เพื่อให้มีความรู้ความรู้และเชี่ยวชาญในงานที่รับผิดชอบสําหรับการควบคุมการ
ปฏิบัติงาน
ไม่มีความคิดเห็น:
แสดงความคิดเห็น