440
การรักษาความปลอดภัยทางข้อมูล (อังกฤษ: Information Security) แยกออกเป็นสองคำ ได้แก่ Information หรือสารสนเทศ คือข้อมูลในรูปแบบของตัวเลข ข้อความ หรือภาพกราฟิก ที่ได้นำมารวบรวม จัดเป็นระบบ และนำเสนอในรูปแบบที่ผู้ใช้สามารถเข้าใจได้อย่างแจ่มชัด ไม่ว่าจะเป็นรายงาน ตาราง หรือแผนภูมิต่างๆ และ Security หรือความปลอดภัย คือสภาพที่เกิดขึ้นจากการจัดตั้งและดำรงไว้ซึ่งมาตราการการป้องกันที่ทำให้เกิดความมั่นใจว่าจะไม่มีผู้ที่ไม่หวังดีจะบุกรุกเข้ามาได้ เมื่อรวมสองคำก็จะได้ "Information Security" จึงหมายถึง การศึกษาถึงความไม่ปลอดภัยในการใช้งานสารสนเทศที่เกี่ยวข้องกับคอมพิวเตอร์ การวางแผนและการจัดระบบความปลอดภัยในคอมพิวเตอร์ โดยศึกษาถึงสิ่งต่างๆ ดังนี้
- การรักษาความปลอดภัยในคอมพิวเตอร์ส่วนบุคคล
- การรักษาความปลอดภัยในระบบฐานข้อมูล
- การรักษาความปลอดภัยในเครือข่ายการสื่อสารข้อมูล
- การป้องกันทางกายภาพ
- การวิเคราะห์ความเสี่ยง
- ประเด็นในแง่กฎหมาย
- จรรยาบรรณในเรื่อง "ความปลอดภัยในระบบคอมพิวเตอร์"
การจัดการความเสี่ยง หรือ การบริหารความเสี่ยง (อังกฤษ: risk managment) คือ การจัดการความเสี่ยง ทั้งในกระบวนการในการระบุ วิเคราะห์(en:risk analysis) ประเมิน(en:risk assessment) ดูแล ตรวจสอบ และควบคุมความเสี่ยงที่สัมพันธ์กับ กิจกรรม หน้าที่และกระบวนการทำงาน เพื่อให้องค์กรลดความเสียหายจากความเสี่ยงมากที่สุด อันเนื่องมาจากภัยที่องค์กรต้องเผชิญในช่วงเวลาใดเวลาหนึ่ง หรือเรียกว่า อุบัติภัย (Accident )
เนื้อหา |
นิยามของความเสี่ยง
ความเสี่ยงมีความหมายในหลากหลายแง่มุม เช่น ความเสี่ยงคือ
- โอกาสที่เกิดขึ้นแล้วธุรกิจจะเกิดความเสียหาย (Chance of Loss)
- ความเป็นไปได้ที่จะเกิดความเสียหายต่อธุรกิจ (Possibility of Loss)
- ความไม่แน่นอนของเหตุการณ์ที่จะเกิดขึ้น (Uncertainty of Event)
- และ การคลาดเคลื่อนของการคาดการณ์ (Dispersion of Actual Result)
ศัพท์ทางเทคนิค
- ภัย (Peril) คือ สาเหตุของความเสียหาย ซึ่งภัยสามารถเกิดขึ้นได้จากภัยธรรมชาติ เช่น เกิดพายุ สึนามิ น้ำท่วม แผ่นดินไหว เป็นต้น ภัยนอกจากจะเกิดขึ้นได้จากภัยธรรมชาติแล้ว ภัยนั้นยังเกิดขึ้นจากการกระทำของมนุษย์ เช่น อัคคีภัย จลาจล ฆาตกรรม เป็นต้น สำหรับสาเหตุสุดท้ายที่จะเกิดภัยได้นั้นคือภัยที่เกิดขึ้นจากภาวะเศรษฐกิจ เพราะภัยที่เกิดจากภาวะเศรษฐกิจ เป็นอีกสาเหตุที่สำคัญ เพราะเมื่อเกิดขึ้นแล้วคนทั้งประเทศ หรือทั้งภูมิภาคจะได้รับผลกระทบอย่างกว้างขวาง
- ความเสี่ยง (Risk) คือ ความไม่แน่นอนของเหตุการณ์ ซึ่งไม่สามารถคาดเดาได้ว่าจะเกิดขึ้นเมื่อใด แต่ความเสี่ยงนั้น ๆ จะมีแนวโน้มที่เกิดขึ้นไม่มากก็น้อยในบริษัท
- สภาวะที่จะทำให้เกิดความเสียหาย (Hazard) คือ สภาพเงื่อนไขที่เป็นสาเหตุที่ทำให้ความเสียหายเพิ่มสูงขึ้น โดยสภาวะต่าง ๆ นี้สามารถแบ่งออกได้เป็น สภาวะทางด้านกายภาพ (Physical) คือ สภาวะของโอกาสที่จะเกิดความเสียหาย เช่น ชนิดและทำเลที่ตั้งของสิ่งปลูกสร้าง อาจเอื้อต่อการเกิดเพลิงไหม้ สภาวะทางด้านศีลธรรม (Moral) คือ สภาวะของโอกาสที่จะเกิดขึ้นจากความไม่ซื่อสัตย์ต่อหน้าที่การงาน เช่น การฉ้อโกงของพนักงาน และสภาวะด้านจิตสำนึกในการป้องกันความเสี่ยง (Morale) คือ สภาวะที่ไม่ประมาทและเลินเล่อ หรือการไม่เอาใจใส่ในการป้องกันความเสี่ยง เช่น การที่พนักงานปล่อยให้เครื่องจักรทำงานโดยไม่ควบคุม
องค์ประกอบการบริหารความเสี่ยง
- การระบุชี้ว่าองค์กรกำลังมีภัย
เป็นการระบุชี้ว่าองค์กรมีภัยอะไรบ้างที่มาเผชิญอยู่ และอยู่ในลักษณะใดหรือขอบเขตเป็นอย่างไร นับเป็นขั้นตอนแรกของการบริหารความเสี่ยง - การประเมินผลกระทบของภัย
เป็นการประเมินผลกระทบของภัยที่จะมีต่อองค์กรซึ่งอาจเรียกอีกอย่างหนึ่งว่า การประเมินความเสี่ยงที่องค์กรต้องเตรียมตัวเพื่อรับมือกับภัยแต่ละชนิดได้อย่างเหมาะสมมากที่สุด - การจัดทำมาตรการตอบโต้ตอบความเสี่ยงจากภัย
การจัดทำมาตรการตอบโต้ตอบความเสี่ยงเป็นมาตรการที่จัดเรียงลำดับความสำคัญแล้วในการประเมินผลกระทบของภัย มาตรการตอบโต้ที่นิยมใช้เพื่อการรับมือกับภัยแต่ละชนิด อาจจำแนกดังนี้
- มาตรการขจัดหรือลดความรุนแรงของความอันตรายของภัยที่ต้องประสบ
- มาตรการที่ป้องกันผู้รับภัยมิให้ต้องประสบภัยโดยตรง เช่น
- ภัยจากการที่ต้องปีนไปในที่สูงก็มีมาตรการป้องกันโดยต้องติดเข็มขัดนิรภัย กันการพลาดพลั้งตกลงมา
- ภัยจากไอระเหยหรือสารพิษก็ป้องกันโดยออกมาตรการให้สวมหน้ากากป้องกันไอพิษ เป็นต้น
- มาตรการลดความรุนแรงของสถานการณ์ฉุกเฉิน เช่น กรณีเกิดเพลิงไหม้ในอาคาร ได้มีการขจัดและลดความรุนแรง โดยออกแบบตัวอาคารให้มีผนังกันไฟ กันเพลิงไหม้รุนลาม
ไปยังบริเวณใกล้เคียง และมีการติดตั้งระบบสปริงเกอร์ ก็จะช่วยลดหรือหยุดความรุนแรงของอุบัติภัยลงได้ - มาตรการกู้ภัยก็เป็นการลดความสูญเสียโดยตรง ลงได้มาก
- มาตรการกลับคืนสภาพ ก็เป็นอีกมาตรการในการลดความเสียหายต่อเนื่องจากภัยหรืออุบัติภัยแต่ละครั้งลงได้
มาตรการรับมือกับภัย 5 มาตรการ (5R)
- R1 Readiness ความเตรียมพร้อม
องค์กรต้องเตรียมความพร้อมระบบการบริหารความเสี่ยงให้มีความพร้อมในการจัดทำมาตรการขจัดหรือควบคุมภัยต่างๆเอาไว้ล่วงหน้า - R2 Response การตอบสนองอย่างฉับไว
เมื่อเกิดอุบัติภัยขึ้นระบบต้องมีสมรรถนะที่ดีพอในการตอบโต้ภัยแต่ละชนิดอย่างได้ผลและทันเวลา - R3 Rescue การช่วยเหลือกู้ภัย
เป็นกระบวนการปกป้องชีวิตและทรัพย์สินขององค์กร ที่ได้ผลและทันเวลา - R4 Rehabilitation การกลับเข้าไปทำงาน
เมื่ออุบัติภัยสิ้นสุดลงแล้วต้องกลับเข้าไปที่เดิมให้เร็วที่สุดเพื่อ การซ่อมแซม การเปลี่ยนใหม่ หรือการสร้างขึ้นใหม่ (Rebuild) เพื่อให้อาคารสถานที่พร้อมที่จะดำเนินกิจการต่อไปได้ อาจรวมไปถึงการประกันภัยด้วย - R5 Resumption การกลับคืนสู่สภาวะปกติ
องค์กรสามารถเปิดทำการ หรือ ดำเนินธุรกิจต่อไปตามปกติได้เสมือนว่าไม่มีอุบัติภัยมาก่อน
Response กับ Rescue อาจจะเหมือนเป็นเรื่องเดียวกัน แต่ความจริงแล้วแตกต่างกัน โดยขอยกตัวอย่าง กรณีเกิดอัคคีภัย อุปกรณ์ดับเพลิงอัตโนมัติ รวมถึง Fire Alarm คือขั้นตอนของ Response แต่ไฟฉุกเฉินและเครื่องช่วยหายใจ เพื่อให้พนักงานสวม เพื่อหนีออกจากอาคาร เป็นขั้นตอนของ Rescue
The Committee of Sponsoring Organization (COSO)
- The Committee of Sponsoring Organization (COSO) เป็นหน่วยงานที่ได้เผยแพร่วิธีการและกรอบแนวคิดของการควบคุมภายในขององค์กร (Internal Control Framework) อย่างเป็นระบบ เมื่อช่วงต้นทศวรรษของ ปี ค.ศ. 1990 จนกระทั่งเป็นที่รู้จักและมีความนิยมอย่างแพร่หลาย หลังจากที่วิธีการและการดำเนินการควบคุมภายใน (Internal Control) นั้นเป็นที่ถกเถียงกันมาเป็นเวลานาน
- ในการจัดการความเสี่ยง (Risk Management) เป็นเรื่องที่ทุกคนมีความเห็นอย่างตรงกันว่า การจัดการความเสี่ยงเป็นเรื่องที่จำเป็นและเราต้องมีวิธีในการจัดการกับความเสี่ยงที่ดี แต่การจัดการความเสี่ยงนั้นก็ประสบกับปัญหาเดียวกับการเริ่มทำการควบคุมภายในในช่วงแรก ๆ เพราะการจัดการความเสี่ยงนั้นยังไม่สามารถที่จะกำหนดคำนิยามได้อย่างชัดเจน
- องค์กรของการประกันภัย ก็มีการกำหนดคำนิยามของการจัดการความเสี่ยงไว้แบบหนึ่ง แต่องค์กรที่ให้บริการสินเชื่อก็กำหนดคำนิยามและวิธีการของการจัดการความเสี่ยงไว้อีกแบบหนึ่งอย่างแตกต่างกัน จนทำให้หน่วยงานหลายหน่วยงานไม่ว่าจะเป็นองค์กรที่แสวงหาผลกำไร หรือองค์กรที่ไม่แสวงหาผลกำไรต่างก็พยายามที่จะกำหนด คำนิยามและความหมายของการจัดการความเสี่ยง ตลอดจนพยายามคิดถึงโครงสร้างของการจัดการกับความเสี่ยงต่าง ๆ เหล่านั้น
- หลังการจากพยายามหาข้อสรุปถึงคำนิยาม ความหมาย วิธีการในการจัดการความเสี่ยง และการจัดทำโครงสร้างในการบริหารความเสี่ยงมานาน COSO จึงพยายามที่จะกำนหด และกำหนดคำนิยามและรูปแบบต่าง ๆ ในการจัดการกับความเสี่ยง โดยได้กำหนดออกมาเป็น COSO ERM (COSO Enterprise Risk Management) ซึ่ง COSO ได้กำหนดโครงสร้างและความหมายในการจัดการกับความเสี่ยง และนำเสนอต่อสาธารณะในปลายปี ค.ศ. 2004 โดยให้บริษัทในทุกขนาด ไม่ว่าจะเป็นบริษัทขนาดใหญ่ หรือบริษัท SMEs สามารถนำเอาแนวทางในการบริหารจัดการกับความเสี่ยงไปใช้ได้
- COSO Internal Control Framework เป็นกระบวนการ ที่ออกแบบให้ กรรมการบริหาร ผู้บริหาร บุคลากรต่าง ๆ ของหน่วยงาน ต้องมีความรับผิดชอบ และพยายามที่จะให้หน่วยงานประสบความสำเร็จ โดยมีวัตถุประงค์ดังนี้ 1. ให้การดำเนินงานเป็นไปอย่างมีประสิทธิภาพ 2. มีการรายงานทางการเงินที่น่าเชื่อถือ และ 3. การปฏิบัติตามข้อกำหนดทางกฎหมาย และระเบียบต่าง ๆ
- COSO Internal Control Framework จะมีลักษณะที่เชื่อมโยงต่อ COSO Enterprise Risk management ดังนั้นการเข้าใจใน COSO Internal Control Framework จึงเป็นการช่วยให้เข้าใจใน COSO ERM มากขึ้นนั่นเอง
อ้างอิง
- ดร.กิตติพันธ์ คงสวัสดิ์เกียรติ. 2548 - 2550. บทความจากหนังสือพิมพ์บิสิเนสไทย คอลัมน์ส่องธุรกิจ
- ดร.กิตติพันธ์ คงสวัสดิ์เกียรติ. 2554. การจัดการความเสี่ยงและตราสารอนุพันธ์เบื้องต้น พิมพ์ครั้งที่ 4 สำนักพิมพ์เพียร์สัน เอ็ดดูเคชั่น
- ดร.กิตติพันธ์ คงสวัสดิ์เกียรติ. 2550 - 2555. บทความจากนิตยสาร Make Money คอลัมน์ Finance & Investment
- ดร.กิตติพันธ์ คงสวัสดิ์เกียรติ. 2551 - 2555. บทความจากหนังสือพิมพ์ ASTV ผู้จัดการรายวัน คอลัมน์ Road to Investment
- ดร.กิตติพันธ์ คงสวัสดิ์เกียรติ. 2554 ลงทุนเป็น เห็นความสำเร็จ สำนักพิมพ์ แมคกรอฮิล
การระบุความเสี่ยง (อังกฤษ: Risk Identification) คือ การระบุหมวดหมู่รูปแบบความเสี่ยง เกี่ยวกับความปลอดภัยทรัพย์สินต่างๆภายในองค์กร
แบ่งเป็นหมวดหมู่ดังนี้
- ประเภทที่เกี่ยวกับส่วนประกอบต่างๆของระบบ
- การวิจัยพัฒนาเรื่องความลับเกี่ยวกับทรัพย์สินขององค์กร
- ทรัพย์สินประเภทต่างๆ
- หมวดที่เกี่ยวกับสาเหตุของความเสี่ยงที่เกี่ยวกับทรัพย์สินขององค์กร
- ประเภทที่ถูกกำหนดให้เป้นสาเหตูพิเศษเกี่ยวกับทรัพย์สินที่ถูกโจมตีหรือมีความเสี่ยงสูง
เกณฑ์การประเมินหมวดหมู่หรือประเภทความเสี่ยงต่างๆ
- การถูกโจมตีอย่างไร เสี่ยงมากแค่ไหน
- ลักษณะการถูกโจมตี
- คำนวณจากความสัมพันธ์ที่ความเสี่ยงกับสาเหตุที่เกิด ที่มีผลต่อทรัพย์สิน
- สำรวจ ทบทวน และพิจารณาความเป็นไปได้ในการควบคุมความเสี่ยงนั้นๆ
- งานหรือเอกสารที่เราค้นพบ .
ตัวอย่าง ในระบบบริษัทหนึ่งๆ มีการใช้ระบบรักษาความปลอดภัย โดยแบ่งส่วนและประเภทของข้อมูลไว้เป็น 2 ชนิด คือ ส่วนที่เป็นความลับ กับส่วนที่สามารถเผยแพร่ต่อบุคคลทั่วไปได้ โดยที่ส่วนแรกถือว่ามีความเสี่ยงสูงที่ต้องรักษาความปลอดภัยไว้ แต่ในทางกลับกัน ก็มีความมั่นใจมากกว่าที่ได้รักษาความปลอดภัย โดยไม่ได้อนุญาตให้บุคคลทั่วไปเข้ามาใช้
จากวิกิพีเดีย สารานุกรมเสรี