Professional Documents
Culture Documents
(ใช้) ตัวอย่างเหตุการณ์ความเสี่ยง
(ใช้) ตัวอย่างเหตุการณ์ความเสี่ยง
(ใช้) ตัวอย่างเหตุการณ์ความเสี่ยง
16
ประเภทของเหตุการณ ตัวอยางเหตุการณความเสี่ยง
5. ความผิดพลาดในการ • ขอผิดพลาดจากการปฏิบตั ิงานประจำวัน
ปฏิบัติงานของ • ขอผิดพลาดจากการบันทึกขอมูลผิดพลาด หรือการตั้งคาในระบบ
เจาหนาที่สารสนเทศ • อุบัติเหตุตาง ๆ ที่ทำใหสินทรัพยสารสนเทศเสียหาย
(ทั้งความผิดพลาดทั้งที่
• การใชสิทธิการเขาถึงระบบอยางไมเหมาะสม
ตั้งใจและไมตั้งใจ)
• การโจรกรรมทรัพยสินสารสนเทศ
• การจงใจทำลายสรางความเสียหายแกทรัพยสินสารสนเทศ
6. ขอมูลสารสนเทศ • การไมสามารถเขาถึงขอมูลที่จำเปน
(การเขาถึงขอมูล • การรั่วไหล หรือการสูญหายของขอมูลเนื่องจากอุปกรณเครื่องมือทางดานเทคโนโลยี
การรั่วไหลของขอมูล สารสนเทศ ระบบงาน และระบบฐานขอมูลตาง ๆ สูญหายหรือถูกทำลาย
หรือการสูญหายของ • มีความผิดพลาดในการสำรองขอมูล
ขอมูล)
• ขอมูลถูกปรับเปลีย่ น
• มีการเปดเผยขอมูลสำคัญอยางไมเหมาะสม ทั้งโดยตั้งใจและไมตั้งใจ
• การขาดการบริหารจัดการขอมูลที่เหมาะสมทำใหไมสามารถนำขอมูลที่เก็บไวมาใชงานได
• ลิขสิทธิ์ หรือทรัพยสินทางปญญารั่วไหลเนื่องจากพนักงานลาออก
7. การออกแบบโครงสราง • การออกแบบโครงสรางเทคโนโลยีสารสนเทศมีความซับซอน ไมยืดหยุน
ของระบบงานทางดาน ไมรองรับการขยายตัวในอนาคต สงผลตอการพลาดโอกาสทางธุรกิจ
เทคโนโลยีสารสนเทศ • การออกแบบโครงสรางเทคโนโลยีสารสนเทศไมสนับสนุนการทำงานในเชิงธุรกิจ
• การออกแบบโครงสรางเทคโนโลยีสารสนเทศไมตอบสนองตอการปรับใชกับอุปกรณ
สารสนเทศ หรือระบบงานใหม ๆ
8. สาธารณูปโภคทางดาน • การใชระบบงานสาธารณูปโภคทางดานเทคโนโลยีสารสนเทศใหม ๆ ยังไมเสถียร
เทคโนโลยีสารสนเทศ • ระบบงานสาธารณูปโภคทางดานเทคโนโลยีสารสนเทศไมรองรับการใชงานในปริมาณมาก
(เครื่องคอมพิวเตอร • ระบบสาธารณูปโภคพื้นฐานเชน ไฟฟา โทรศัพท ไมสามารถใชงานได
ระบบปฏิบตั ิการ และ
• เทคโนโลยีมคี วามลาสมัย
เทคโนโลยีตาง ๆ ที่ชวย
ในการดำเนินงาน)
9. ระบบงานสารสนเทศ • ระบบงานไมสามารถทำงานไดตามที่ตองการ
(Software) • ผูใชงานไมสามารถใชงานระบบงานใหมได
• การแกไข หรือปรับแตงโปรแกรมที่ไมเหมาะสมที่อาจกอใหเกิดการทุจริตหรือการทำงาน
ของโปรแกรมผิดพลาด
• ปญหาการใชงานโปรแกรม โปรแกรมเกาทีไ่ มมีการสนับสนุนโดยผูผ ลิต
• การไมสามารถกลับไปใชงานโปรแกรมชุดเกาในกรณีที่โปรแกรมชุดใหมมีปญหา
17
ประเภทของเหตุการณ ตัวอยางเหตุการณความเสี่ยง
10. ความรับผิดชอบของ • หนวยงานทางธุรกิจไมมีสวนรวมรับผิดชอบในการพัฒนาหรือจัดหาโปรแกรมใหม
หนวยงานธุรกิจ • มีการใชโปรแกรมหรือการคำนวณภายนอกระบบงานหลักเปนจำนวนมาก ซึ่งอาจสงผล
ตอความปลอดภัยและความถูกตองของขอมูล รวมทั้งการใชทรัพยากรทางดานเทคโนโลยี
สารสนเทศอยางไมคุมคา
• มีการจัดซื้อทางดานเทคโนโลยีสารสนเทศทีไ่ มไดผานกระบวนการการจัดซื้อที่เหมาะสม
• การใหความตองการในการใชระบบงานไมเพียงพอ สงผลตอการบริการทางดาน
เทคโนโลยีสารสนเทศที่ไมมีประสิทธิภาพ
11. การบริหารจัดการ • ไมมีการสอบประวัติและความเหมาะสมของผูใหบริการภายนอก
ผูใหบริการภายนอก • เงื่อนไขการใหบริการ หรือเงื่อนไขในสัญญากับผูใหบริการภายนอกไมเหมาะสม
• การใหบริการของผูใหบริการภายนอกไมตรงตามมาตรฐานการใหบริการขององคกร
• ผูใหบริการภายนอกไมสามารถสนับสนุนการดำเนินงานในระยะยาวขององคกรได
• มีการใชงานโปรแกรมที่ไมไดมาตรฐานหรือลิขสิทธิ์ไมถูกตองโดยผูใหบริการภายนอก
• ไมสามารถเปลีย่ นผูใหบริการภายนอกได เนื่องจากมีการพึ่งพิงผูใหบริการภายนอก
มากเกินไป
• มีการใชงานระบบสารสนเทศรวมกันบนระบบเครือขายคอมพิวเตอร เพื่อการประมวลผล
ความตองการของผูใชงาน (cloud computing) โดยไมไดรับคำปรึกษาจากหนวยงาน
เทคโนโลยีสารสนเทศ ทำใหไมสามารถใชงานรวมกับระบบสารสนเทศอื่น ๆ ขององคกรได
12. การปฏิบัติตาม • ไมสามารถปฏิบัตติ ามกฎระเบียบขอบังคับตาง ๆ
กฎระเบียบขอบังคับ • ไมตระหนักถึงกฎระเบียบขอบังคับที่อาจเกิดขึ้น และผลกระทบตอการดำเนินงาน
ทางดานเทคโนโลยีสารสนเทศ
• ผูออกกฎไมอนุญาตใหดำเนินงาน เนื่องจากมีการควบคุมที่ไมเพียงพอ
13. สภาพทางดาน • ไมสามารถเขาถึงระบบสารสนเทศเนื่องจากสภาวการณผิดปกติในสถานที่ตาง ๆ
ภูมิรฐั ศาสตร • นโยบายของรัฐ หรือ การแทรกแซงจากหนวยงานราชการที่ทำใหไมสามารถใหบริการ
เทคโนโลยีสารสนเทศได
• ระบบสาธารณูปโภคถูกทำลายจากเหตุการณทางการเมือง
14. การโจรกรรม และ • การโจรกรรมอุปกรณทางดานเทคโนโลยีสารสนเทศทำใหขอมูลสำคัญสูญหาย
ทำลายสาธารณูปโภค • ศูนยคอมพิวเตอรถูกทำลาย
ทางดานเทคโนโลยี • อุปกรณสารสนเทศสวนบุคคลไดรับความเสียหาย
สารสนเทศ
18
ประเภทของเหตุการณ ตัวอยางเหตุการณความเสี่ยง
15. ชุดคำสั่งที่ไมประสงคดี • มีการติดตั้งชุดคำสั่งที่ไมประสงคดีในเครื่องแมขาย
ตอระบบสารสนเทศ • มีการติดตั้งชุดคำสั่งที่ไมประสงคดีในเครื่องคอมพิวเตอรในระบบงานบอยครั้ง
• พนักงานติดตั้งชุดคำสั่งที่ไมประสงคดีในระบบงานเพื่อกอใหเกิดความเสียหายในอนาคต
• ขอมูลสำคัญของบริษัทรั่วไหลเนื่องจากมีการปลอมแปลงเปนผูใชงานภายในองคกร
(phishing attack)
16. การบุกรุกโจมตี • พบการพยายามเขาถึงระบบสารสนเทศโดยผูไมมสี ทิ ธิ
ในระบบงานและ • การใหบริการทางดานเทคโนโลยีสารสนเทศหยุดชะงักเนื่องจากการโจมตีระบบ
ระบบเครือขาย สารสนเทศ
• การเปลี่ยนแปลงขอมูลในเว็บไซตของบริษัท
• พบการแพรของไวรัสคอมพิวเตอร
• การพยายามบุกรุกโจมตีระบบ (hacking)
17. กิจกรรมทีไ่ มคาดฝน • เกิดการประทวงในบริษัททำใหไมสามารถเขาถึงอุปกรณสารสนเทศได
ในอุตสาหกรรมตางๆ • พนักงานไมสามารถมาทำงานเนื่องจากระบบขนสง หรือสาธารณูปโภคอื่น ๆ หยุด
(เชนการประทวง) ดำเนินการเนื่องจากการประทวง
• ผูใหบริการภายนอกไมสามารถดำเนินงานไดเนื่องจากการประทวง
• ไมสามารถเบิกจายเงินเนื่องจากมีการประทวงในธุรกิจธนาคาร
18. ผลกระทบตอ • อุปกรณทางดานเทคโนโลยีสารสนเทศ หรืออุปกรณท่เี กี่ยวของไมเปนมิตรตอสิ่งแวดลอม
สิ่งแวดลอม
19. ภัยธรรมชาติ • เหตุการณภัยธรรมชาติ เชน แผนดินไหว น้ำทวม พายุ
20. นวัตกรรม • นวัตกรรม และแนวโนมทางดานสารสนเทศไมไดรับการพิจารณา
• ไมสามารถปรับใชเทคโนโลยีใหม ๆ ไดทันเวลา
• เทคโนโลยีใหม ๆ ทีส่ ำคัญไมไดรับการพิจารณานำมาใชงาน
19