แบบฟอร์มสําหรับส่งบทความเข้าคลังความรู้

ผู้บันทึก : นายสิงห์ กาญจนอารี

กลุ่มงาน : งานเทคโนโลยีสารสนเทศ

ประเภทการปฏิบัติงาน : ประชุมเชิงปฏิบัติการ

วันที่ 22 ก.ค. 2557 ถึงวันที่ 25 ก.ค. 2557

หน่วยงาน/สถาบันที่จัด : สถาบันพระบรมราชชนก

สถานที่จัด : โรงแรมจอมเทียนการ์เด้น รีสอร์ท พัทยา จ. ชลบุรี

การพัฒนาบุคลากรผู้ดูแลระบบเกี่ยวกับการจักทําแผนบริหารความเสี่ยงด้านเทคโนโลยีสารสนเทศและการสื่อสารของสถาบันพระบรมราชชนกและวิทยาลัยในสังกัด

หลักการวิเคราะห์ ประเมินและจัดทําความเสี่ยง

การพัฒนาบุคลากรผู้ดูแลระบบเกี่ยวกับการจักทําแผนบริหารความเสี่ยงด้านเทคโนโลยีสารสนเทศและการสื่อส

ารของสถาบันพระบรมราชชนกและวิทยาลัยในสังกัด ยึดกระบวนการบริหารความเสี่ยงตามมาตรฐาน COSO (

Committee of Sponsoring Organization of the Tread way Commission ) มีหลักการดังนี้

1. การกําหนดเป้าหมายการบริหารความเสี่ยง ( Objective Setting )

2. การระบุความเสี่ยงต่างๆ ( Event Identification )

3. การประเมินความเสี่ยง ( Risk Assessment )

4. กลยุทธ์ที่ใช้ในการจัดการกับแต่ละความเสี่ยง ( Risk Response )

5. กิจกรรมการบริหารความเสี่ยง ( Control Activities )

6. ข้อมูลและการสื่อสารด้านบริหารความเสี่ยง ( Information and Communication )

7. การติดตามผลและเฝ้าระวังความเสี่ยงต่างๆ ( Monitoring )

วัตถุประสงค์ของการวางแผนความเสี่ยงด้านเทคโนโลยีสารสนเทศ

1. เพื่อเตรียมความพร้อมรองรับสถานการณ์ฉุกเฉินและเพื่อให้เกิดความมั่นคงปลอดภัยของระบบเทค

โนโลยีสารสนเทศและการสื่อสาร

2. เพื่อให้มีวิธีปฏิบัติในการรักษาความมั่นคงปลอดภัยระบบเทคโนโลยีสารสนเทและการสื่อสาร

ที่สอดคล้องกับกฎหมายและระเบียบที่เกี่ยวข้องให้แก่เจ้าหน้าที่ทุกระดับและบุคลากรที่เกี่ยวข้องถือปฏิบัติอย่างเคร่งครัด

3. เพื่อสร้างความตระหนักด้านการรักษาความมั่นคงปลอดภัยระบบเทคโนโลยีสารสนเทศและการสื่อสาร ให้แก่เจ้าหน้าที่และบุคลากรที่เกี่ยวข้อง

4. เพื่อให้มีการตรวจสอบและประเมินความเสี่ยงในการรักษาความมั่นคงปลอดภัยระบบเทคโนโลยีส

ารสนเทศและการสื่อสารอย่างสม่ําเสมอทรัพยากรด้านเทคโนโลยี ( IT Resources ) ที่ต้องคํานึงถึง ในการวางแผนความเสี่ยง

1. ระบบงาน ( Application System ) ได้แก่

ขั้นตอนและกระบวนการปฏิบัติงานทั้งที่ทําด้วยมือและโปรแกรมคอมพิวเตอร์

2. เทคโนโลยี ( Technology ) ได้แก่ เครื่องคอมพิวเตอร์ ( Hardware ) โปรแกรมระบบ ( Operating

System ) ระบบบริหารฐานข้อมูล ( Database Management System ) ระบบเครือข่าย ( Network )

และระบบมัลติมีเดีย

3. องค์ประกอบ ( Facilities ) ได้แก่ ทรัพยากรต่างๆ ที่ใช้เป็นสถานที่ติดตั้งหรือจัดวาง ตลอดจน

สาธารณุปโภคที่จําเป็นเพื่อการปฏิบัติงานของระบบสารสนเทศ

4. บุคลากร ( People ) ได้แก่ บุคลากรที่มีความรู้

ความชํานาญในการบริหารและปฏิบัติงานสําหรับการดูแลและจัดระบบ

การประเมินความเสี่ยง ( Risk assessment )

การวิเคราะห์ความเสี่ยง จากการวิเคราะห์ความเสี่ยงด้านสารสนเทศของกรม

สามารถแยกประเภทความเสี่ยงได้ 4 ประเภท ดังนี้

1. ความเสี่ยงด้านเทคนิค เป็นความเสี่ยงที่อาจเกิดขึ้นจากระบบคอมพิวเตอร์ เครื่องมือ และอุปกรณ์เอง

อาจเกิดถูกโจมตีจากไวรัสหรือโปรแกรมไม่ประสงค์ดี ถูกก่อกวนจาก Hacker และถูกเจาะทําลายระบบจาก

2. ความเสี่ยงจากผู้ปฏิบัติงาน เป็นความเสี่ยงที่อาจเกิดขึ้นจากการดําเนินการ

การจัดความสําคัญในการเข้าถึงข้อมูลไม่เหมาะสมกับการใช้งานหรือการให้บริการ

โดยผู้ใช้อาจเข้าสู่ระบบสารสนเทศหรือใช้ข้อมูลต่างๆ ของสถาบันพระบรมราชชนก

เกินกว่าอํานาจหน้าที่ของตนเองที่มีอยู่ และอาจทําให้เกิดความเสี่ยหายต่อข้อมูลสารสนเทศได้

3. ความเสี่ยงจากภัย หรือสถานการณ์ฉุกเฉิน เป็นความเสี่ยงที่อาจเกิดจากภัยพิบัติตามธรรมชาติ

หรือสถานการณ์ร้ายแรงที่ก่อให้เกิดความเสียหายร้ายแรงกับข้อมูลสารสนเทศ เช่น ไฟฟ้าขัดข้อง น้ําท่วม

ไฟไหม้ อาคารถล่ม การชุมนุมประท้วง หรือความไม่สงบเรียบร้อยในบ้านเมือง เป็นต้น

4. ความเสี่ยงด้านการบริหารจัดการ

เป็นความเสี่ยงจากการวางแนวนโยบายในการบริหารจัดการที่อาจส่งผลกระทบต่อการดําเนินกานด้านสารสนเท

สรุปความเสี่ยงด้านเทคโนโลยีสารสนเทศ ของวิทยาลัยพยาบาลบรมราชชนนี นครศรีธรรมราช

1. ความเสี่ยงจากการเข้าถึงข้อมูลของบุคคลอื่น

2. ความเสี่ยงจากการนําเอาอุปกรณ์อื่นที่ไม่ได้รับอนุญาตมาเชื่อมต่อ

3. ความเสี่ยงจากกระแสไฟฟ้าขัดข้อง / ไฟฟ้าดันแรงดันไฟฟ้าไม่คงที่

4. ความเสี่ยงจากการถูกบุกรุกโดยผู้ไม่ประสงค์ดี

5. ความเสี่ยงจากการขาดแคลนบุคลากรผู้ปฏิบัติงาน

6. ความเสี่ยงจากการได้รับการสนับสนุนงบประมาณไม่เพียงพอ

7. ความเสี่ยงจากการเกิดไฟไหม้ / ภัยธรรมชาติ

8. ความเสี่ยงจากสถานการณ์ความไม่สงบเรียบร้อยในบ้านเมือง

9. ความเสี่ยงจากเครื่องคอมพิวเตอร์หรืออุปกรณ์ขัดข้อง ไม่สามารถทํางานได้ตามปกติ

10. ความเสี่ยงจากการโจรกรรมเครื่องคอมพิวเตอร์และอุปกรณ์

ความรู้ที่สามารถนํามาประยุกต์ใช้กับการปฏิบัติงาน

ความรู้เกี่ยวกับการประเมินความเสี่ยง สามารถนํามาวิเคราะห์องค์กร ในงานเทคโนโลยีสารสนเทศ

นําไปสู่การจัดทําแผนบริหารความเสี่ยงด้านเทคโนโลยีสารสนเทศ ของวิทยาลัย ต่อไป

นําความรู้มาพัฒนาแผนบริหารความเสี่ยงด้านเทคโนโลยีสารสนเทศ ให้ครอบคลุม

ไปถึงการจัดการป้องกันความเสี่ยง และผู้รับผิดชอบหลักในการเผ้าระวัง (333)