ภาคผนวก 1 แนวทางการกำหนดเหตุการณความเสี่ยง

แนวทางการกำหนดเหตุการณความเสี่ยงอาจประกอบดวย 2 แนวทาง ซึ่งทั้ง 2 แนวทางควรมีการนำมาพิจารณา

รวมกัน ดังนี้
1. วิธกี ารแบบบนลงลาง (Top-down Approach) – โดยเริม่ วิเคราะหจากวัตถุประสงคโดยรวมขององคกร แผนกลยุทธ
ทางธุรกิจขององคกร แผนกลยุทธทางดานเทคโนโลยีสารสนเทศ และระบุถึงเหตุการณทางดานเทคโนโลยีสารสนเทศ
ที่อาจสงผลกระทบในทางลบตอวัตถุประสงคและแผนกลยุทธนั้น ทั้งนี้ เพื่อใหมั่นใจวาเหตุการณความเสี่ยงทางดาน
เทคโนโลยีสารสนเทศที่กำหนดมีความเชื่อมโยงกับความเสี่ยงขององคกร
2. วิธกี ารแบบลางขึ้นบน (Bottom-up Approach) – วิเคราะหจากรายการเหตุการณความเสีย่ งทั่วไปทางดาน
เทคโนโลยีสารสนเทศ และมาประยุกตใหเขากับเหตุการณขององคกรผูประกอบธุรกิจ ทั้งนี้ เพื่อใหมั่นใจวาเหตุการณ
ความเสีย่ งที่นำมาพิจารณานั้นมีความครอบคลุมถึงเหตุการณความเสี่ยงทั่วไปทางดานเทคโนโลยีสารสนเทศ ตัวอยาง
ประเภทของเหตุการณความเสีย่ งทั่วไปแสดงในตารางดานลาง
ประเภทของเหตุการณ ตัวอยางเหตุการณความเสี่ยง
1. รายการการลงทุนและ • การเลือกใชระบบงาน หรือเลือกพัฒนาระบบงานที่ไมเปนไปตามกลยุทธ หรือระดับ
การดำเนินงานทางดาน ความสำคัญขององคกร
เทคโนโลยีสารสนเทศ • มีการเลือกใชเทคโนโลยีสารสนเทศที่ซ้ำซอนกัน
• การเลือกเทคโนโลยีสารสนเทศใหมที่ไมสามารถใชงานกับเทคโนโลยีสารสนเทศในปจจุบัน
หรือไมสามารถใชงานไดในระยะยาว
• การจัดสรรทรัพยากรสารสนเทศโดยไมตรงตามลำดับความสำคัญทางธุรกิจ
2. การบริหารจัดการ • โครงการทางดานเทคโนโลยีสารสนเทศไมประสบความสำเร็จ ลาชา ตองหยุดชะงัก
ระบบงาน หรือ • โครงการทางดานเทคโนโลยีสารสนเทศใชงบประมาณและทรัพยากรเกินกวาที่กำหนด
โครงการทางดาน • โครงการทางดานเทคโนโลยีสารสนเทศไมไดรบั การสนับสนุนหรือมีสวนรวม
เทคโนโลยีสารสนเทศ โดยผูที่มีสวนไดเสียอยางเหมาะสม
3. การตัดสินใจลงทุน • ผูบริหารที่เกี่ยวของไมมีสวนรวมในการตัดสินใจ
ทางดานเทคโนโลยี • มีการตัดสินใจเลือกลงทุนในเทคโนโลยีทไี่ มเหมาะสมในแงของตนทุน ความสามารถ
สารสนเทศ ในการทำงาน และการใชงานรวมกับระบบงานในปจจุบันขององคกร
4. ความรูความสามารถ • พนักงานขาดความรูความสามารถในเทคโนโลยีสารสนเทศที่บริษัทเลือกใช
ทางดานเทคโนโลยี • พนักงานขาดความเขาใจในการดำเนินธุรกิจและความตองการทางธุรกิจขององคกร
สารสนเทศ • ไมสามารถจัดหาบุคลากรทางดานเทคโนโลยีสารสนเทศไดอยางเพียงพอ
• กระบวนการจัดหาพนักงานไมเหมาะสม เชน ขาดการตรวจสอบประวัติ
• การอบรมและถายทอดความรูทางดานเทคโนโลยีสารสนเทศไมเพียงพอ
• การดำเนินงานพึ่งพาบุคคลากรมากเกินไป

16
 ประเภทของเหตุการณ ตัวอยางเหตุการณความเสี่ยง
5. ความผิดพลาดในการ • ขอผิดพลาดจากการปฏิบตั ิงานประจำวัน
ปฏิบัติงานของ • ขอผิดพลาดจากการบันทึกขอมูลผิดพลาด หรือการตั้งคาในระบบ
เจาหนาที่สารสนเทศ • อุบัติเหตุตาง ๆ ที่ทำใหสินทรัพยสารสนเทศเสียหาย
(ทั้งความผิดพลาดทั้งที่
• การใชสิทธิการเขาถึงระบบอยางไมเหมาะสม
ตั้งใจและไมตั้งใจ)
• การโจรกรรมทรัพยสินสารสนเทศ
• การจงใจทำลายสรางความเสียหายแกทรัพยสินสารสนเทศ
6. ขอมูลสารสนเทศ • การไมสามารถเขาถึงขอมูลที่จำเปน
(การเขาถึงขอมูล • การรั่วไหล หรือการสูญหายของขอมูลเนื่องจากอุปกรณเครื่องมือทางดานเทคโนโลยี
การรั่วไหลของขอมูล สารสนเทศ ระบบงาน และระบบฐานขอมูลตาง ๆ สูญหายหรือถูกทำลาย
หรือการสูญหายของ • มีความผิดพลาดในการสำรองขอมูล
ขอมูล)
• ขอมูลถูกปรับเปลีย่ น
• มีการเปดเผยขอมูลสำคัญอยางไมเหมาะสม ทั้งโดยตั้งใจและไมตั้งใจ
• การขาดการบริหารจัดการขอมูลที่เหมาะสมทำใหไมสามารถนำขอมูลที่เก็บไวมาใชงานได
• ลิขสิทธิ์ หรือทรัพยสินทางปญญารั่วไหลเนื่องจากพนักงานลาออก
7. การออกแบบโครงสราง • การออกแบบโครงสรางเทคโนโลยีสารสนเทศมีความซับซอน ไมยืดหยุน
ของระบบงานทางดาน ไมรองรับการขยายตัวในอนาคต สงผลตอการพลาดโอกาสทางธุรกิจ
เทคโนโลยีสารสนเทศ • การออกแบบโครงสรางเทคโนโลยีสารสนเทศไมสนับสนุนการทำงานในเชิงธุรกิจ
• การออกแบบโครงสรางเทคโนโลยีสารสนเทศไมตอบสนองตอการปรับใชกับอุปกรณ
สารสนเทศ หรือระบบงานใหม ๆ
8. สาธารณูปโภคทางดาน • การใชระบบงานสาธารณูปโภคทางดานเทคโนโลยีสารสนเทศใหม ๆ ยังไมเสถียร
เทคโนโลยีสารสนเทศ • ระบบงานสาธารณูปโภคทางดานเทคโนโลยีสารสนเทศไมรองรับการใชงานในปริมาณมาก
(เครื่องคอมพิวเตอร • ระบบสาธารณูปโภคพื้นฐานเชน ไฟฟา โทรศัพท ไมสามารถใชงานได
ระบบปฏิบตั ิการ และ
• เทคโนโลยีมคี วามลาสมัย
เทคโนโลยีตาง ๆ ที่ชวย
ในการดำเนินงาน)
9. ระบบงานสารสนเทศ • ระบบงานไมสามารถทำงานไดตามที่ตองการ
(Software) • ผูใชงานไมสามารถใชงานระบบงานใหมได
• การแกไข หรือปรับแตงโปรแกรมที่ไมเหมาะสมที่อาจกอใหเกิดการทุจริตหรือการทำงาน
ของโปรแกรมผิดพลาด
• ปญหาการใชงานโปรแกรม โปรแกรมเกาทีไ่ มมีการสนับสนุนโดยผูผ ลิต
• การไมสามารถกลับไปใชงานโปรแกรมชุดเกาในกรณีที่โปรแกรมชุดใหมมีปญหา

17
 ประเภทของเหตุการณ ตัวอยางเหตุการณความเสี่ยง
10. ความรับผิดชอบของ • หนวยงานทางธุรกิจไมมีสวนรวมรับผิดชอบในการพัฒนาหรือจัดหาโปรแกรมใหม
หนวยงานธุรกิจ • มีการใชโปรแกรมหรือการคำนวณภายนอกระบบงานหลักเปนจำนวนมาก ซึ่งอาจสงผล
ตอความปลอดภัยและความถูกตองของขอมูล รวมทั้งการใชทรัพยากรทางดานเทคโนโลยี
สารสนเทศอยางไมคุมคา
• มีการจัดซื้อทางดานเทคโนโลยีสารสนเทศทีไ่ มไดผานกระบวนการการจัดซื้อที่เหมาะสม
• การใหความตองการในการใชระบบงานไมเพียงพอ สงผลตอการบริการทางดาน
เทคโนโลยีสารสนเทศที่ไมมีประสิทธิภาพ
11. การบริหารจัดการ • ไมมีการสอบประวัติและความเหมาะสมของผูใหบริการภายนอก
ผูใหบริการภายนอก • เงื่อนไขการใหบริการ หรือเงื่อนไขในสัญญากับผูใหบริการภายนอกไมเหมาะสม
• การใหบริการของผูใหบริการภายนอกไมตรงตามมาตรฐานการใหบริการขององคกร
• ผูใหบริการภายนอกไมสามารถสนับสนุนการดำเนินงานในระยะยาวขององคกรได
• มีการใชงานโปรแกรมที่ไมไดมาตรฐานหรือลิขสิทธิ์ไมถูกตองโดยผูใหบริการภายนอก
• ไมสามารถเปลีย่ นผูใหบริการภายนอกได เนื่องจากมีการพึ่งพิงผูใหบริการภายนอก
มากเกินไป
• มีการใชงานระบบสารสนเทศรวมกันบนระบบเครือขายคอมพิวเตอร เพื่อการประมวลผล
ความตองการของผูใชงาน (cloud computing) โดยไมไดรับคำปรึกษาจากหนวยงาน
เทคโนโลยีสารสนเทศ ทำใหไมสามารถใชงานรวมกับระบบสารสนเทศอื่น ๆ ขององคกรได
12. การปฏิบัติตาม • ไมสามารถปฏิบัตติ ามกฎระเบียบขอบังคับตาง ๆ
กฎระเบียบขอบังคับ • ไมตระหนักถึงกฎระเบียบขอบังคับที่อาจเกิดขึ้น และผลกระทบตอการดำเนินงาน
ทางดานเทคโนโลยีสารสนเทศ
• ผูออกกฎไมอนุญาตใหดำเนินงาน เนื่องจากมีการควบคุมที่ไมเพียงพอ
13. สภาพทางดาน • ไมสามารถเขาถึงระบบสารสนเทศเนื่องจากสภาวการณผิดปกติในสถานที่ตาง ๆ
ภูมิรฐั ศาสตร • นโยบายของรัฐ หรือ การแทรกแซงจากหนวยงานราชการที่ทำใหไมสามารถใหบริการ
เทคโนโลยีสารสนเทศได
• ระบบสาธารณูปโภคถูกทำลายจากเหตุการณทางการเมือง
14. การโจรกรรม และ • การโจรกรรมอุปกรณทางดานเทคโนโลยีสารสนเทศทำใหขอมูลสำคัญสูญหาย
ทำลายสาธารณูปโภค • ศูนยคอมพิวเตอรถูกทำลาย
ทางดานเทคโนโลยี • อุปกรณสารสนเทศสวนบุคคลไดรับความเสียหาย
สารสนเทศ

18
 ประเภทของเหตุการณ ตัวอยางเหตุการณความเสี่ยง
15. ชุดคำสั่งที่ไมประสงคดี • มีการติดตั้งชุดคำสั่งที่ไมประสงคดีในเครื่องแมขาย
ตอระบบสารสนเทศ • มีการติดตั้งชุดคำสั่งที่ไมประสงคดีในเครื่องคอมพิวเตอรในระบบงานบอยครั้ง
• พนักงานติดตั้งชุดคำสั่งที่ไมประสงคดีในระบบงานเพื่อกอใหเกิดความเสียหายในอนาคต
• ขอมูลสำคัญของบริษัทรั่วไหลเนื่องจากมีการปลอมแปลงเปนผูใชงานภายในองคกร
(phishing attack)
16. การบุกรุกโจมตี • พบการพยายามเขาถึงระบบสารสนเทศโดยผูไมมสี ทิ ธิ
ในระบบงานและ • การใหบริการทางดานเทคโนโลยีสารสนเทศหยุดชะงักเนื่องจากการโจมตีระบบ
ระบบเครือขาย สารสนเทศ
• การเปลี่ยนแปลงขอมูลในเว็บไซตของบริษัท
• พบการแพรของไวรัสคอมพิวเตอร
• การพยายามบุกรุกโจมตีระบบ (hacking)
17. กิจกรรมทีไ่ มคาดฝน • เกิดการประทวงในบริษัททำใหไมสามารถเขาถึงอุปกรณสารสนเทศได
ในอุตสาหกรรมตางๆ • พนักงานไมสามารถมาทำงานเนื่องจากระบบขนสง หรือสาธารณูปโภคอื่น ๆ หยุด
(เชนการประทวง) ดำเนินการเนื่องจากการประทวง
• ผูใหบริการภายนอกไมสามารถดำเนินงานไดเนื่องจากการประทวง
• ไมสามารถเบิกจายเงินเนื่องจากมีการประทวงในธุรกิจธนาคาร
18. ผลกระทบตอ • อุปกรณทางดานเทคโนโลยีสารสนเทศ หรืออุปกรณท่เี กี่ยวของไมเปนมิตรตอสิ่งแวดลอม
สิ่งแวดลอม
19. ภัยธรรมชาติ • เหตุการณภัยธรรมชาติ เชน แผนดินไหว น้ำทวม พายุ
20. นวัตกรรม • นวัตกรรม และแนวโนมทางดานสารสนเทศไมไดรับการพิจารณา
• ไมสามารถปรับใชเทคโนโลยีใหม ๆ ไดทันเวลา
• เทคโนโลยีใหม ๆ ทีส่ ำคัญไมไดรับการพิจารณานำมาใชงาน

19