Risk Assessment ในบริบทของ ISO/IEC 27001
- ISO 27001 กำหนดให้ต้องทำ Risk Assessment & Risk Treatment Plan
- Risk Assessment → เป็นกระบวนการ ระบุ ประเมิน และจัดการความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ
- Output ที่ต้องมี
- Risk Assessment / Risk Register
- Statement of Applicability (SoA)
- Risk Treatment Plan (RTP)
ขั้นตอนการทำ Risk Assessment
- ระบุสินทรัพย์ (Asset Identification)
- Hardware, Software, Application, Data, People, Facility
- ระบุภัยคุกคาม (Threat Identification)
- Cyber Attack, Malware, Insider Threat, Human Error
- ระบุช่องโหว่ (Vulnerability Identification)
- System Misconfiguration, Weak Passwords, Lack of Training
- วิเคราะห์ความเสี่ยง (Risk Analysis)
- ความน่าจะเป็น (Likelihood 1–5)
- ผลกระทบ (Impact 1–5)
- คำนวณ Risk = Likelihood × Impact
- ประเมินและจัดลำดับความเสี่ยง (Risk Evaluation)
- ใช้ Risk Matrix 5×5
- แบ่งเป็น Low / Medium / High / Critical
การวางแผนจัดการความเสี่ยง (Risk Treatment)
แนวทางจัดการความเสี่ยง 4 แบบ (ISO 27001: C 8.3):
- Mitigate (ลดความเสี่ยง) → เพิ่มมาตราการเพื่อลดความเสี่ยง
- Avoid (หลีกเลี่ยง) → ยกเลิกกิจกรรมที่มีความเสี่ยง
- Transfer (ย้ายโอนความเสี่ยง) → ทำ Cyber Insurance, Outsource
- Accept (ยอมรับ) → กำหนด Tolerance และ Monitor ต่อ
Conclusion (สรุป)
- Risk Assessment เป็นรากฐานของระบบมาตรฐาน ISMS
- องค์กรต้องมี Risk Assessment / Risk Register + SoA + Risk Treatment Plan (RTP) ที่ชัดเจน
Secura Cybertech มี Template และ Workshop Risk Assessment ที่ช่วยองค์กรทำ Risk Register และ SoA ได้รวดเร็วและใช้งานได้จริง
