Home / Knowledge : การบริหารและการจัดการ

ความเสี่ยงด้านสารสนเทศและการรักษาความมั่นคงปลอดภัยทางไซเบอร์

ความเสี่ยงด้านสารสนเทศและการรักษาความมั่นคงปลอดภัยทางไซเบอร์
(IT Risk and Cyber Security)⁰¹.

First revision: Jul.01, 2020
Last change: Jan.08, 2021
สืบค้น รวบรวม เรียบเรียง และปริวรรตโดย อภิรักษ์ กาญจนคงคา

ความเสี่ยงด้านสารสนเทศและการรักษาความมั่นคงปลอดภัยทางไซเบอร์ (IT Risk Management and Cybersecurity) มีองค์ประกอบดังนี้

การกำกับดูแลด้านเทคโนโลยีสารสนเทศ (IT Governance)
การบริหารจัดการโครงการด้านเทคโนโลยีสารสนเทศ (IT Project Management)
การรักษาความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ (IT Security)
การบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศ (IT Risk Management)
การปฏิบัติตามกฎเกณฑ์ด้านเทคโนโลยีสารสนเทศ (IT Compliance)
การตรวจสอบด้านเทคโนโลยีสารสนเทศ (IT Audit)
การกำกับดูแลฯ ความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity)
การรายงานเหตุการณ์ภัยคุกคามและความเสี่ยง (Incident Reporting)

รายละเอียดแต่ละองค์ประกอบ

การกำกับดูแลด้านเทคโนโลยีสารสนเทศ (IT Governance)
- บทบาทหน้าที่และความรับผิดชอบของคณะกรรมการบริษัท
- โครงสร้างการกำกับดูแล (Three Lines of Defense)
- นโยบายที่เกี่ยวข้องกับการกำกับดูแลความเสี่ยงด้านเทคโนโลยีสารสนเทศ (IT Risk Management Policy, IT Security Policy)
การบริหารจัดการโครงการด้านเทคโนโลยีสารสนเทศ (IT Project Management)
- การประเมินความเสี่ยงและการจัดลำดับความสำคัญของโครงการ
- กรอบการบริหารจัดการโครงการด้านเทคโนโลยีสารสนเทศ
- การกำกับดูแลโครงการด้านเทคโนโลยีสารสนเทศ
การรักษาความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ (IT Security)
- IT Security Policy
- IT Security Organization
- Human Resource Security
- Asset Management
- Access Control
- Cryptography
- Physical and Environmental Security
- IT Operations Security
- Network & Communication Security
- System Acquisition & Development
- Third-Party Management
- IT Incident & Problem Management
- IT Continuity
- Compliance

     4. การบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศ (IT Risk Management)

          1^st Line & 2^nd line of Defense (Risk Owners & Risk Management)
             - IT Risk Management Framework, Process, Criteria
             - Risk Assessment (Identification, Analysis, Evaluation)
             - Risk Treatment, Risk Monitoring & Review, Risk Reporting.

      5. การปฏิบัติตามกฎเกณฑ์ด้านเทคโนโลยีสารสนเทศ (IT Compliance)
            2^nd Line of Defense
             - กำกับดูแลการปฏิบัติตามกฎหมายและหลักเกณฑ์ที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ (IT Compliance)

     6. การตรวจสอบด้านเทคโนโลยีสารสนเทศ (IT Audit)
            3^rd Line of Defense
             - บทบาทหน้าที่ แผนงาน ขอบเขตในการตรวจสอบ
             - การปฏิบัติงานตรวจสอบด้านเทคโนโลยีสารสนเทศ
             - การจ้างผู้เชี่ยวชาญภายนอก การรายงานผลการตรวจสอบ
             - การติดตามผลการตรวจสอบและรายงานประเด็นสำคัญ

       7. การกำกับดูแลฯ ความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity Framework)

              - Identification, Protection, Detection, Response, Recovery
              - การประเมินความเสี่ยงด้านไซเบอร์
              - การประเมินสถานะดำเนินการด้านภัยคุกคามไซเบอร์
                  - การเฝ้าระวังภัยคุกคามไซเบอร์ และดำเนินการตรม พรบ.Cyber

         8.การรายงานเหตุการณ์ภัยคุกคามและความเสี่ยงฯ (Incident Reporting)

              - ในกรณีเทคโนโลยีสารสนเทศที่สำคัญของบริษัทถูกโจมตีหรือถูกขู่โจมตีจากภัยคุกคามทางไซเบอร์ เป็นปัญหาหรือเหตุการณ์ที่บริษัทต้องรายงานต่อผู้บริหารสูงสุดของบริษัททราบ

หลักการและเหตุผล

ผู้ประกอบธุรกิจ จะต้องขับเคลื่อนด้วยเทคโนโลยีที่เหมาะสม ต้องตระหนักถึงความสำคัญของความเสี่ยงด้านระบบเทคโนโลยีสารสนเทศ และความเสี่ยงด้านภัยคุกคามทางไซเบอร์.
นำเทคโนโลยีเข้ามาช่วยในการดำเนินธุรกิจ และบริการลูกค้า
ต้องเผชิญความท้าทายจากสภาวะการแข่งขันที่รุนแรงและเทคโนโลยีที่เติบโตรวดเร็วแบบก้าวกระโดด – ความท้าทายในการใช้เทคโนโลยีสารสนเทศ (Key Challenges of Using IT)
ต้องปรับตัวให้เท่าทันและสามารถดำเนินธุรกิจต่อไปได้
- โดยมีความเสี่ยงแฝงมาด้วย ไม่ว่าจะเป็นความเสี่ยงด้านเทคโนโลยีสารสนเทศ และความเสี่ยงจากภัยคุกคามทางไซเบอร์ ปัจจุบันมีแนวโน้มเพิ่มสูงขึ้นเป็นอย่างมาก ซึ่งอาจก่อให้เกิดความเสียหายและมีผลกระทบต่อความเชื่อมั่นของลูกค้า – สถานการณ์ภัยคุกคามไซเบอร์ (Cybersecurity Threats)
- Ecosystem ของธุรกิจบริการ ซื้อมาขายไปทั่วไป ซึ่งจะต้องขับเคลื่อนด้วยเทคโนโลยี
  - ความพร้อมใช้และต่อเนื่อง (Keeping IT running)
  - ความสอดคล้องกับการดำเนินธุรกิจ (Aligning IT with business)
  - คุณค่าในการนำมาใช้ในองค์กร (Delivering value)
  - ความมั่นคงปลอดภัย (Security)
  - การปฏิบัติตามกฎเกณฑ์ (Regulatory compliance)
  - ความซับซ้อนในการดำเนินการ (Mastering complexity)
  - ความเหมาะสมด้านค่าใช้จ่าย (Optimizing costs)
ภัยคุกคามทางไซเบอร์ (Cyber Threats)
- Malware – ภัยจากการถูกโจมตีด้วยมัลแวร์ (โปรแกรมไม่พึงประสงค์)
- Web Application Attack - ภัยจากการถูกโจมตีเว็บแอพพลิเคชั่น
- Phishing – ภัยจากการถูกพิชชิ่ง (เป็นเทคนิคในการดึงข้อมูลชั้นที่เป็นความลับ เช่น หมายเลขบัตรเครดิต รหัสผ่านชื่อผู้ใช้โดยการปลอมแปลงเป็นองค์กรที่ถูกกฎหมาย)
- DDoS (Distributed denial of service) - DoS - ภัยจากการถูกโจมตีเพื่อขัดขวางการทำงานของระบบ DoS - เป็นการโจมตีโดยทุ่มเทข้อมูลใส่เซิร์ฟเวอร์จนโอเวอร์โหลด ทำให้เซิร์ฟเวอร์ล่มหรือช้าลง จนกระทั่งใช้การไม่ได้
- Spam – ภัยจากการได้รับสแปมเมล์
- Botnets – ภัยจากการที่อุปกรณ์ในองค์กรตกเป็นเหยื่อของบอทเน็ต (Email bombing and spamming: โจมตีด้วยอีเมล์จำนวนมหาศาล ทำให้ทรัพยากรของระบบเครือข่ายต้องทำงานหนัก จะส่งข้อความที่ไม่มีความหมายใด ๆ เพื่อต้องการให้อีเมล์ ชื่อบัญชี หรือเมล์เซิร์ฟเวอร์ล่ม Botnets = private internet-connected computers whose security has been compromised by malware and under the attacker's control as a DDoS attack. Spam (Violate) (AUP = the Acceptable Use Policy))
- Ransomware – ภัยจากมัลแวร์เรียกค่าไถ่
- Data Breaches - ภัยจากการที่ข้อมูลขององค์กรรั่วไหล
การยกระดับการกำกับดูแลและการบริหารความเสี่ยงด้านดิจิตัล ต้องจัดให้มี Computer Emergency Response Team (CERT)

ภาพรวมข้อมูลอ้างอิงตามกฎหมาย กฎเกณฑ์ มาตรฐาน และแนวปฏิบัติที่ดี

ข้อมูลอ้างอิง	รายการข้อมูลอ้างอิงตามกฎหมาย กฎเกณฑ์ มาตรฐานและแนวปฏิบัติที่ดี
กฎหมาย (Laws)	พรก.ว่าด้วยวิธีการแบบปลอดภัยในการทำธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ.2553 (เป็นกฎหมายที่กำหนดให้ธุรกรรมทางอิเล็กทรอนิกส์ใดที่ได้กระทำตามวิธีการแบบปลอดภัยที่กำหนดใน พรก. ให้สันนิษฐานไว้ว่าเป็นวิธีการที่เชื่อถือได้) พรบ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 (ประกาศเมื่อ 27 พ.ค.2562 มีผลบังคับใช้ปี 2564)
กฎเกณฑ์ ก.ล.ต. (SEC Regulations)	ประกาศ ก.ล.ต.ที่ สธ.37/2559 เรื่องข้อกำหนดในรายละเอียดเกี่ยวกับการจัดให้มีระบบเทคโนโลยีสารสนเทศ ประกาศแนวปฏิบัติ ที่ นป.3/2559 เรื่อง แนวปฏิบัติในการจัดให้มีระบบเทคโนโลยีสารสนเทศ
มาตรฐาน (Standards)	ISO/IEC 38500 (Governance of IT) ISO 31000 (Risk Management) ISO/IEC 27005 (Info. Security Risk Management) ISO/IEC 27001 (Info. Security Management System) NIST Framework for Improving Critical Infrastructure Cybersecurity)
แนวปฏิบัติที่ดี (Best Practices)	COBIT 5 (IT Governance Framework) COBIT 5 (Implementation) COBIT 5 for Risk Cyber Resilience Review (CRR)

นิยาม
     1. ความเสี่ยงด้านเทคโนโลยีสารสนเทศ (IT Risk)
     2. เทคโนโลยีสารสนเทศ (Information Technology: IT)
     3. ทรัพย์สินสารสนเทศ (IT Asset/ Information Asset)
     4. ความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ (IT Security)
     5. การรักษาความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity)
     6. ไซเบอร์ (Cyber)
     7. ภัยคุกคามทางไซเบอร์ (Cyber Threat)
     8. โครงสร้างพื้นฐานสำคัญทางสารสนเทศ (Critical Information Infrastructure: CII)
     9. โครงสร้างพื้นฐานสำคัญของประเทศ (Critical Infrastructure: CI)

1. ความเสี่ยงด้านเทคโนโลยีสารสนเทศ (IT Risk)	ความเสี่ยงที่อาจเกิดขึ้นจากการใช้เทคโนโลยีสารสนเทศในการดำเนินธุรกิจ ซึ่งจะมีผลกระทบต่อระบบหรือการปฏิบัติงานขององค์กรธุรกิจ ซึ่งรวมถึงความเสี่ยงที่เกิดจากภัยคุกคามทางไซเบอร์ (Cyber Threat)

2. เทคโนโลยีสารสนเทศ (Information Technology: IT)	เทคโนโลยีสารสนเทศที่นำมาใช้ในการดำเนินธุรกิจ ซึ่งครอบคลุมถึง ข้อมูล/สารสนเทศ (Data/Information) ระบบปฏิบัติการ (Operating System) ระบบงาน (Application System) ระบบฐานข้อมูล (Database System) อุปกรณ์คอมพิวเตอร์ (Hardware) และระบบเครือข่ายสื่อสาร (Communication) เป็นต้น

3. ทรัพย์สินสารสนเทศ (Asset/Information Asset)	1) ทรัพย์สินสารสนเทศประเภทระบบ ได้แก่ ระบบเครือข่ายคอมพิวเตอร์ ระบบคอมพิวเตอร์ ระบบงานคอมพิวเตอร์ และระบบสารสนเทศ 2) ทรัพย์สินสารสนเทศประเภทอุปกรณ์ ได้แก่ ตัวเครื่องคอมพิวเตอร์ อุปกรณ์คอมพิวเตอร์ เครื่องบันทึกข้อมูล และอุปกรณ์อื่นใด 3) ทรัพย์สินสารสนเทศประเภทข้อมูล ได้แก่ ข้อมูลข่าวสารสนเทศ ข้อมูลอิเล็กทรอนิกส์ และข้อมูลคอมพิวเตอร์

4. ความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ (IT Security)	การป้องกันด้านเทคโนโลยีสารสนเทศ/ทรัพย์สินสารสนเทศจากการเข้าถึง ใช้ เปิดเผย ขัดขวาง เปลี่ยนแปลงแก้ไข ทำให้สูญหาย ถูกทำลาย หรืแล่วงรู้โดยมิชอบ โดยมีความหมายถึง ความมั่นคงปลอดภัยสารสนเทศ (Information Security) ซึ่งครอบคลุมถึงการธำรงไว้ซึ่ง การรักษาความลับ (Confidentiality) การรักษาความครบถ้วนสมบูรณ์ (Integrity) และ การรักษาสภาพพร้อมใช้งาน (Availability) ของเทคโนโลยีสารสนเทศและทรัพย์สินสารสนเทศ รวมทั้งคุณสมบัติอื่น ได้แก่ ความถูกต้องแท้จริง (Authenticity) ความสำนึกรับผิดชอบ (Accountability) การห้ามปฏิเสธความรับผิดชอบ (Non-repudiation) และ ความน่าเชื่อถือ (Reliability)

5. การรักษาความลับ (Confidentiality)	การรักษาหรือสงวนไว้เพื่อป้องกันระบบเครือข่ายคอมพิวเตอร์ ระบบคอมพิวเตอร์ ระบบงานคอมพิวเตอร์ ระบบสารสนเทศ ข้อมูลสารสนเทศ ข้อมูลอิเล็กทรอนิกส์ หรือข้อมูลคอมพิวเตอร์จากการเข้าถึง ใช้ หรือเปิดเผยโดยบุคคลซึ่ไงม่ได้รับอนุญาต.

6. การรักษาความครบถ้วน (Integrity)	ดำเนินการเพื่อให้ข้อมูลสารสนเทศ ข้อมูลอิเล็กทรอนิกส์ หรือข้อมูลคอมพิวเตอร์อยู่ในสภาพสมบูรณ์ขณะที่มีการใช้งาน ประมวลผล โอน หรือเก็บรักษา เพื่อมิให้มีการเปลี่ยนแปลงแก้ไข ทำให้สูญหาย ทำให้เสียหาย หรือถูกทำลายโดยไม่ได้รับอนุญาตหรือโดยมิชอบ.
7. การรักษาสภาพพร้อมใช้งาน (Availability)	การจัดทำให้ทรัพย์สินสารสนเทศหรือเทคดนโลยีสารสนเทศ สามารถใช้งาน เข้าถึง หรือใช้งานได้ในเวลาที่ต้องการ.
8. การรักษาความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity)	มาตรการหรือการดำเนินการที่กำหนดขึ้นเพื่อป้องกัน รับมือและลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ทั้งจากภายในและภายนอกประเทศ ทั้งนี้ ให้เป็นไปตามนิยามของกฎหมายว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์.
9. ไซเบอร์ (Cyber)	ข้อมูลและการสื่อสารที่เกิดจากการให้บริการหรือการประยุกต์ใช้เครือข่ายคอมพิวเตอร์ ระบบอินเทอร์เน็ต หรือโครงข่ายโทรคมนาคม รวมทั้งการให้บริการ โดยปกติของดาวเทียมและระบบเครือข่ายที่คล้ายคลึงกันเป็นการทั่วไป.
10. ภัยคุกคามทางไซเบอร์ (Cyber Threat)	การกระทำหรือการดำเนินการใด ๆ โดยมิชอบโดยใช้คอมพิวเตอร์หรือระบบคอมพิวเตอร์หรือโปรแกรมไม่พึงประสงค์โดยมุ่งหมายให้เกิดการประทุษร้ายต่อระบบคอมพิวเตอร์ ข้อมูลคอมพิวเตอร์ หรือข้อมูลอื่นที่เกี่ยวข้อง และเป็นภยันตรายที่ใกล้จะถึงที่จะก่อให้เกิดความเสียหรือส่งผลกระทบต่อการทำงานของคอมพิวเตอร์ ระบบคอมพิวเตอร์ หรือข้อมูลอื่นที่เกี่ยวข้อง.

หมวด 1 การกำกับดูแลด้านเทคโนโลยีสารสนเทศ (IT Governance)

คณะกรรมการบริษัท

มีองค์ประกอบด้านการกำกับดูแลกิจการที่ดี
กรรมการควรมี 1 คน มีความรู้หรือประสบการณ์ด้าน IT
ได้รับการอบรมให้มีความรู้ IT & Cybersecurity Awareness

บทบาทหน้าที่ของคณะกรรมการบริษัท

กำกับดูแลให้มีการใช้เทคโนโลยีสารสนเทศที่สอดรับกับกลยุทธ์.
กำกับดูแลให้มีการบริหารจัดการความเสี่ยง IT Risk & Cyber Threat.
กำกับดูแลให้มีการกำหนดนโยบายที่เกี่ยวข้อง (อ้างอิงข้อ 9: 1) นโยบายการบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศ (IT Risk Management Policy) 2) นโยบายการรักษาความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ (IT Security Policy) ทั้งนี้ให้ครอบคลุมเนื้อหาอย่างน้อย ดังนี้ 2.1) แนวนโยบาย แนวปฏิบัติ หรือแนวทางในการจัดทำแผนฉุกเฉินด้านเทคโนโลยีสารสนเทศ 2.2) แนวนโยบาย แนวปฏิบัติ แผนหรือแนวทางในการกำกับดูแลและบริหารจัดการความเสี่ยงในการรักษาความมั่นคงปลอดภัยไซเบอร์).
กำกับดูแลให้บริษัทนำนโยบายที่ได้รับการอนุมัติมาจัดทำแนวปฏิบัติ.
กำกับดูแลให้มีการรายงาน.
กำกับดูแลให้มีการสื่อสารและสร้างความตระหนัก.[25]

ที่มา คำศัพท์ และคำอธิบาย
01. จาก. เอกสารประกอบการอบรม เรื่อง "หลักเกณฑ์การกำกำกับดูแลและบริหารจัดการความเสี่ยง ด้านเทคโนโลยีสารสนเทศของบริษัทประกันภัย - Governance and Management for Information Technology Risk", โดย สำนักงานคณะกรรมการกำกับและส่งเสริมการประกอบธุรกิจประกันภัย (คปภ.) เมื่อ 9-10 ตุลาคม 2562 ณ สำนักงาน คปภ.

back

humanexcellence.thailand@gmail.com

Visit : 5955860