ศูนย์เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติ (NECTEC)
บทความ » Plan-Do-Check-Act ตามมาตรฐาน ISO/IEC 27001 กับข้อคำถามสำคัญที่ต้องการคำตอบ : ตอน ตอบข้อคำถามที่ 2
บทความเรื่อง : Plan-Do-Check-Act ตามมาตรฐาน ISO/IEC 27001 กับข้อคำถามสำคัญที่ต้องการคำตอบ
  ตอน ตอบข้อคำถามที่ 2
เรียบเรียงโดย : ดร.บรรจง หะรังษี
เรียบเรียงเมื่อ : วันที่ 11 สิงหาคม 2554

บทความนี้มีจุดประสงค์ต้องการไขความกระจ่างสำหรับคำถามที่เกิดขึ้นในบทความ “Plan-Do-Check-Act ตามมาตรฐาน ISO/IEC 27001 กับข้อคำถามสำคัญที่ต้องการคำตอบ” โดยบทความนี้จะตอบข้อคำถามที่ 2 ที่ว่า การประเมินความเสี่ยงต้องประเมินพร้อมกันทีเดียว (กล่าวคือประเมินในทุกความเสี่ยงที่มองเห็น) ประเมินแยกกันเป็นแต่ละครั้ง หรือเป็นกรณีอื่นๆ

แผนการควบคุมความเสี่ยงแยกตามประเภทของทรัพย์สินสารสนเทศ

การประเมินความเสี่ยงจะดำเนินการกับทรัพย์สินสารสนเทศหนึ่งเพื่อดูว่ามีความเสี่ยงที่เกี่ยวข้องหรือไม่กับทรัพย์สินนั้น เช่น กรณีการจัดทำหรือพัฒนาระบบงานหนึ่ง ความเสี่ยงที่เกี่ยวข้องกับการจัดทำหรือพัฒนาระบบงาน (ระบบงานเป็นทรัพย์สินสารสนเทศประเภทหนึ่งในหมวดบริการ) ได้แก่

• ความเสี่ยงค่าใช้จ่ายในการบำรุงรักษาระบบงานในระยะยาวค่อนข้างสูง/การไม่ได้มีการวิเคราะห์และกำหนดทางเลือกในการพัฒนาระบบงานให้เหมาะสมต่อการใช้งาน
• ความเสี่ยงการเกิดข้อพิพาธ ข้อขัดแย้ง หรือข้อถกเถียงในการตรวจรับระบบงาน/การไม่ได้กำหนดเกณฑ์การตรวจรับระบบงานอย่างชัดเจน
• ความเสี่ยงระบบงานที่ได้รับไม่ตรงตามความต้องการขององค์กร/การไม่ได้กำหนดรายละเอียดทางเทคนิคของระบบงาน
• ความเสี่ยงระบบงานไม่มีผู้รับผิดชอบชัดเจนเมื่อเกิดปัญหา/การไม่ได้กำหนดว่าใครเป็นเจ้าของระบบงาน ใครเป็นเจ้าของข้อมูลในระบบงาน ใครเป็นผู้ดูแลระบบ ใครเป็นเจ้าของซอฟต์แวร์ต่างๆ ของระบบงาน
• ความเสี่ยงระบบงานไม่ปลอดภัยเพียงพอ/การไม่ได้กำหนดให้มีระบุความต้องการด้านความมั่นคงปลอดภัยของระบบงานโดยพิจารณาจากความเสี่ยงที่มีต่อระบบงาน
• ความเสี่ยงระบบงานถูกบุกรุก/การไม่ได้มีการวิเคราะห์และออกแบบระบบโดยคำนึงถึงการตรวจสอบข้อมูลนำเข้า (Input) ระบบงานเพื่อป้องกันปัญหาที่เกี่ยวข้องกับการบุกรุก
• ความเสี่ยงปัญหาการใช้งานมีการแก้ไขโดยใช้เวลานานเกินไป/การไม่ได้มีการกำหนดขั้นตอนปฏิบัติที่ชัดเจนในการแก้ไขปัญหาการใช้งาน โดยที่ขั้นตอนฯ ต้องคำนึงถึงระยะเวลาในการแก้ไขปัญหาที่เหมาะสมด้วย

ผู้เขียนมีความเห็นว่าเนื่องจากการประเมินความเสี่ยงจะดำเนินการกับทรัพย์สินสารสนเทศหนึ่งตามตัวอย่างในข้างต้น (ซึ่งเป็นความเสี่ยงของระบบงาน) ดังนั้นการจัดทำแผนการควบคุมความเสี่ยงควรจัดทำแผนฯ แยกตามประเภทของทรัพย์สินสารสนเทศ (ซึ่งแบ่งเป็น 5 หมวด ได้แก่ หมวดข้อมูล หมวดบุคลากร หมวดฮาร์ดแวร์ หมวดซอฟต์แวร์ และหมวดบริการ) ทั้งนี้เพื่อให้ง่ายในการนำไปใช้งานการประเมินความเสี่ยงกับทรัพย์สินแต่ละประเภท

ตัวอย่างรายการของแผนการควบคุมความเสี่ยงสำหรับหมวดทรัพย์สินบริการด้านระบบงาน ได้แก่

ความเสี่ยงค่าใช้จ่ายในการบำรุงรักษาระบบงานในระยะยาวค่อนข้างสูง
แผนการควบคุมความเสี่ยง
     - การจัดหาซอฟต์แวร์สำเร็จรูปมาใช้งานสำหรับกรณีที่มีซอฟต์แวร์ขายอยู่แล้วในตลาดและสอดคล้องกับความต้องการใช้งาน
     - การจ้างพัฒนาระบบงานสำหรับกรณีที่ไม่มีซอฟต์แวร์ขายในตลาดหรือไม่สอดคล้องกับความต้องการใช้งาน

ความเสี่ยงการเกิดข้อพิพาธ ข้อขัดแย้ง หรือข้อถกเถียงในการตรวจรับระบบงาน
แผนการควบคุมความเสี่ยง
• กำหนดเกณฑ์การตรวจรับระบบงานอย่างชัดเจน

ความเสี่ยงระบบงานที่ได้รับส่งมอบไม่ตรงตามความต้องการขององค์กร
แผนการควบคุมความเสี่ยง
• กำหนดรายละเอียดทางเทคนิคของระบบงานอย่างชัดเจน เช่น รายละเอียดด้านฮาร์ดแวร์ ซอฟต์แวร์ และอื่นๆ ของระบบงาน

ความเสี่ยงระบบงานไม่มีผู้รับผิดชอบชัดเจนเมื่อเกิดปัญหา
แผนการควบคุมความเสี่ยง
• กำหนดอย่างชัดเจนว่าใครเป็นเจ้าของระบบงาน (Application owner) ใครเป็นเจ้าของข้อมูลในระบบงาน ใครเป็นผู้ดูแลระบบ ใครเป็นเจ้าของซอฟต์แวร์ต่างๆ ของระบบงาน

ความเสี่ยงระบบงานไม่ปลอดภัยเพียงพอ
แผนการควบคุมความเสี่ยง
• กำหนดให้มีระบุความต้องการด้านความมั่นคงปลอดภัยของระบบงานโดยพิจารณาจากความเสี่ยงที่มีต่อระบบงานและกำหนดมาตรการรองรับหรือลดความเสี่ยงเหล่านั้น (มาตรการรองรับหรือลดความเสี่ยงคือความต้องการด้านความมั่นคงปลอดภัยสำหรับระบบงาน)

ความเสี่ยงระบบงานถูกบุกรุก
แผนการควบคุมความเสี่ยง
• วิเคราะห์และออกแบบระบบโดยคำนึงถึงการตรวจสอบข้อมูลนำเข้า (Input) ระบบงานเพื่อป้องกันปัญหาที่เกี่ยวข้องกับการบุกรุกต่างๆ ดังต่อไปนี้
     - SQL injection
     - Crosssite scripting
     - การรับไฟล์ประเภทที่ไม่ประสงค์ดีเข้ามาในระบบงาน เช่น ไฟล์ที่เป็นไวรัส หรือเป็นไฟล์โปรแกรมที่แอบทำงานอย่างอื่นแอบแฝง เป็นต้น

ความเสี่ยงปัญหาการใช้งานมีการแก้ไขโดยใช้เวลานานเกินไป
แผนการควบคุมความเสี่ยง
• กำหนดขั้นตอนปฏิบัติที่ชัดเจนในการแก้ไขปัญหาการใช้งาน โดยที่ขั้นตอนฯ ต้องคำนึงถึงระยะเวลาในการแก้ไขปัญหาที่เหมาะสมด้วย

เป็นต้น


เมื่อมีหรือได้จัดทำรายการของแผนการควบคุมความเสี่ยงสำหรับหมวดทรัพย์สินบริการด้านระบบงานไว้แล้ว ผู้ประเมินความเสี่ยงก็สามารถนำชุดแผนฯ ดังกล่าวไปใช้ในการประเมินความเสี่ยงกับระบบงานหนึ่งๆ ได้

ตัวอย่างรายการของแผนการควบคุมความเสี่ยงสำหรับหมวดทรัพย์สินฮาร์ดแวร์ ได้แก่

ความเสี่ยง ฮาร์ดแวร์เกิดความเสียหายหรือหยุดชะงัก
แผนการควบคุมความเสี่ยง
• กำหนดแผนการบำรุงรักษาฮาร์ดแวร์อย่างชัดเจน (ซึ่งรวมถึงประเด็นที่สำคัญๆ ได้แก่
     - การรับประกันความเสียหายของฮาร์ดแวร์ใหม่
     - การตรวจสอบและปรับปรุงสภาพของฮาร์ดแวร์ตามรอบระยะเวลา
     - การกำหนดให้ผู้ให้บริการด้านฮาร์ดแวร์เข้ามาดำเนินการแก้ไขปัญหาตามที่ได้รับแจ้ง
     - การทำสัญญาการบำรุงรักษากับผู้ให้บริการด้านฮาร์ดแวร์ปีต่อปี)
• กำหนดให้มีการบำรุงรักษาฮาร์ดแวร์อย่างสม่ำเสมอ
• กำหนดหรือจัดสรรงบประมาณสำหรับการบำรุงรักษาฮาร์ดแวร์

ความเสี่ยง ธุรกิจเกิดความเสียหายหรือเกิดการหยุดชะงัก
แผนการควบคุมความเสี่ยง
• จัดหาอะไหล่หรืออุปกรณ์สำรองไว้สำหรับเปลี่ยนทดแทนได้ภายในระยะเวลาที่เหมาะสม
• จัดทำสัญญาบำรุงรักษาฮาร์ดแวร์โดยระบุให้ผู้ให้บริการภายนอกต้องสามารถจัดหาอะไหล่หรืออุปกรณ์สำรองไว้สำหรับเปลี่ยนทดแทนได้ภายในระยะเวลาที่เหมาะสม
เป็นต้น

เมื่อมีหรือได้จัดทำรายการของแผนการควบคุมความเสี่ยงสำหรับหมวดทรัพย์สินฮาร์ดแวร์ไว้แล้ว ผู้ประเมินความเสี่ยงก็สามารถนำชุดแผนฯ ดังกล่าวไปใช้ในการประเมินความเสี่ยงกับฮาร์ดแวร์ต่างๆ ได้


วัฏจักรชีวิตของทรัพย์สินสารสนเทศและแผนการควบคุมความเสี่ยงแยกตามแต่ละส่วนของวัฏจักรชีวิตของทรัพย์สินสารสนเทศ

วัฏจักรชีวิตของทรัพย์สินสารสนเทศหนึ่ง หมายถึง วงจรชีวิตของทรัพย์สินหนึ่งนับตั้งแต่การวางแผนก่อนนำทรัพย์สินนั้นมาใช้งาน ทรัพย์สินมีการใช้งาน ทรัพย์สินมีการเปลี่ยนแปลง จนกระทั่งสิ้นสุดการใช้งานทรัพย์สินนั้น และอาจมีการจัดหาทรัพย์สินใหม่เพื่อทดแทนของเดิมซึ่งกำลังจะสิ้นสุดการใช้งาน ซึ่งก็จะทำให้เกิดเป็นวงจรที่ไม่มีที่สิ้นสุด

ทรัพย์สินสารสนเทศ 3 หมวด ได้แก่ หมวดฮาร์ดแวร์ หมวดซอฟต์แวร์ และหมวดบริการ มีวงจรชีวิตซึ่งประกอบด้วย

• การวางแผนเพื่อนำทรัพย์สินนั้นมาใช้งาน
• การจัดหาและนำทรัพย์สินนั้นมาใช้งาน
• การใช้งานทรัพย์สินนั้น
• การปรับปรุงหรือเปลี่ยนแปลงทรัพย์สินนั้น
• การหมดอายุขัยของทรัพย์สินนั้น (หลายครั้งอาจมีการวางแผนเพื่อเปลี่ยนทดแทนทรัพย์สินที่กำลังจะหมดอายุการใช้งานลง เช่น กรณีระบบงาน E-mail ที่ใช้อยู่ในปัจจุบันเริ่มล้าสมัยด้วยสาเหตุบางอย่าง ก็จะมีการจัดหาระบบ E-mail ใหม่มาเปลี่ยนทดแทน)
สำหรับหมวดบุคลากร วงจรชีวิตประกอบด้วย
• ก่อนการจ้างงาน
• ระหว่างที่จ้างงาน
• สิ้นสุดการจ้างงาน
สำหรับหมวดข้อมูล วงจรชีวิตประกอบด้วย
• การวางแผนเพื่อจัดทำข้อมูล
• การจัดทำ สร้าง หรือจัดหาข้อมูลนั้น
• การใช้งานข้อมูลนั้น ซึ่งรวมถึงการปรับปรุงหรือเปลี่ยนแปลงข้อมูลนั้น
• การยกเลิกหรือสิ้นสุดการใช้งานข้อมูลนั้น


สาเหตุที่ผู้เขียนต้องกล่าวถึงวัฏจักรชีวิตของทรัพย์สินสารสนเทศ เป็นเพราะว่าต้องการแสดงให้เห็นว่าความเสี่ยงต่างๆ อันหลากหลายต่อทรัพย์สินประเภทหนึ่งจะเกิดขึ้นตามวัฏจักรของทรัพย์สินนั้น อาทิ ทรัพย์สินสารสนเทศระบบงานมีความเสี่ยงที่เกี่ยวข้องซึ่งยกมาจากข้างบนดังนี้

• ความเสี่ยงค่าใช้จ่ายในการบำรุงรักษาระบบงานในระยะยาวค่อนข้างสูง/การไม่ได้มีการวิเคราะห์และกำหนดทางเลือกในการพัฒนาระบบงานให้เหมาะสมต่อการใช้งาน
• ความเสี่ยงการเกิดข้อพิพาธ ข้อขัดแย้ง หรือข้อถกเถียงในการตรวจรับระบบงาน/การไม่ได้กำหนดเกณฑ์การตรวจรับระบบงานอย่างชัดเจน
• ความเสี่ยงระบบงานที่ได้รับไม่ตรงตามความต้องการขององค์กร/การไม่ได้กำหนดรายละเอียดทางเทคนิคของระบบงาน
• ความเสี่ยงระบบงานไม่มีผู้รับผิดชอบชัดเจนเมื่อเกิดปัญหา/การไม่ได้กำหนดว่าใครเป็นเจ้าของระบบงาน ใครเป็นเจ้าของข้อมูลในระบบงาน ใครเป็นผู้ดูแลระบบ ใครเป็นเจ้าของซอฟต์แวร์ต่างๆ ของระบบงาน
• ความเสี่ยงระบบงานไม่ปลอดภัยเพียงพอ/การไม่ได้กำหนดให้มีระบุความต้องการด้านความมั่นคงปลอดภัยของระบบงานโดยพิจารณาจากความเสี่ยงที่มีต่อระบบงาน
• ความเสี่ยงระบบงานถูกบุกรุก/การไม่ได้มีการวิเคราะห์และออกแบบระบบโดยคำนึงถึงการตรวจสอบข้อมูลนำเข้า (Input) ระบบงานเพื่อป้องกันปัญหาที่เกี่ยวข้องกับการบุกรุก
• ความเสี่ยงปัญหาการใช้งานมีการแก้ไขโดยใช้เวลานานเกินไป/การไม่ได้มีการกำหนดขั้นตอนปฏิบัติที่ชัดเจนในการแก้ไขปัญหาการใช้งาน โดยที่ขั้นตอนฯ ต้องคำนึงถึงระยะเวลาในการแก้ไขปัญหาที่เหมาะสมด้วย

ในวงจรชีวิตของระบบงาน ซึ่งประกอบด้วย
• การวางแผนเพื่อนำทรัพย์สินนั้นมาใช้งาน
• การจัดหาและนำทรัพย์สินนั้นมาใช้งาน
• การใช้งานทรัพย์สินนั้น
• การปรับปรุงหรือเปลี่ยนแปลงทรัพย์สินนั้น
• การหมดอายุขัยของทรัพย์สินนั้น

จากตัวอย่างความเสี่ยงของระบบงานในข้างต้น สามารถจัดให้ความเสี่ยงเหล่านั้นกระจายอยู่ตามส่วนต่างๆ ของวงจรชีวิตของระบบงานได้ดังนี้

ส่วนที่ วัฏจักรชีวิตของทรัพย์สินระบบงาน ความเสี่ยงที่เกี่ยวข้องกับในแต่ละส่วนของวัฏจักรชีวิต
1 การวางแผนเพื่อนำทรัพย์สินนั้นมาใช้งาน - ความเสี่ยงค่าใช้จ่ายในการบำรุงรักษาระบบงานในระยะยาวค่อนข้างสูง
- ความเสี่ยงการเกิดข้อพิพาธ ข้อขัดแย้ง หรือข้อถกเถียงในการตรวจรับระบบงาน
- ความเสี่ยงระบบงานที่ได้รับไม่ตรงตามความต้องการขององค์กร
- ความเสี่ยงระบบงานไม่มีผู้รับผิดชอบชัดเจนเมื่อเกิดปัญหา
2 การจัดหาและนำทรัพย์สินนั้นมาใช้งาน - ความเสี่ยงระบบงานไม่ปลอดภัยเพียงพอ
- ความเสี่ยงระบบงานถูกบุกรุก
3 การใช้งานทรัพย์สินนั้น - ความเสี่ยงปัญหาการใช้งานมีการแก้ไขโดยใช้เวลานานเกินไป
4 การปรับปรุงหรือเปลี่ยนแปลงทรัพย์สินนั้น - จากตัวอย่างความเสี่ยงที่ให้ไว้ ไม่มีความเสี่ยงที่เกี่ยวข้องกับวัฏจักรในส่วนนี้
5 การหมดอายุขัยของทรัพย์สินนั้น - จากตัวอย่างความเสี่ยงที่ให้ไว้ ไม่มีความเสี่ยงที่เกี่ยวข้องกับวัฏจักรในส่วนนี้

การเกิดขึ้นของความเสี่ยงต่างๆ อันหลากหลายต่อทรัพย์สินประเภทหนึ่งตามวงจรชีวิตของทรัพย์สินนั้น ทำให้มองเห็นและสรุปได้ว่าการประเมินและบริหารจัดการความเสี่ยงเหล่านั้น โดยทั่วไปควรดำเนินไปตามส่วนต่างๆ ของวงจรชีวิตของทรัพย์สินนั้น เช่น ตามตัวอย่างในตาราง เมื่อวงจรชีวิตของระบบงานได้เคลื่อนหรือขยับมาถึงในส่วนของ “การจัดหาและนำทรัพย์สินนั้นมาใช้งาน” ความเสี่ยงที่เกี่ยวข้องตามที่แสดงในตารางที่ต้องประเมินและบริหารจัดการ ควรจะเป็นเฉพาะความเสี่ยงระบบงานไม่ปลอดภัยเพียงพอและความเสี่ยงระบบงานถูกบุกรุก

นอกจากนั้นแล้ว มนุษย์เราจะเริ่มบริหารจัดการกับความเสี่ยงเมื่อเห็นว่าอยู่ในระยะเวลาที่เหมาะสมที่ควรเริ่มดำเนินการบริหารจัดการได้แล้ว แต่ก็ต้องไม่ปล่อยจนกระทั่งสายเกินไปจนทำให้ความเสี่ยงนั้นกลายเป็นจริงซึ่งอาจสร้างความเสียหายแก่ทรัพย์สินได้ เช่น สมมติว่าทรัพย์สินยังอยู่ในวงจรส่วนของ “การวางแผนเพื่อนำทรัพย์สินนั้นมาใช้งาน” โดยทั่วไปผู้ประเมินความเสี่ยงก็จะยังไม่ได้เริ่มบริหารจัดการความเสี่ยงในส่วนของ “การจัดหาและนำทรัพย์สินนั้นมาใช้งาน” เช่น ความเสี่ยงระบบงานไม่ปลอดภัยเพียงพอ ความเสี่ยงระบบงานถูกบุกรุก รอจนกระทั่งใกล้หรือเข้าสู่วงจรในส่วนนั้นจึงเริ่มที่จะบริหารจัดการ

หากปล่อยหรือละเลยไม่ได้บริหารจัดการความเสี่ยงในบางหรือหลายรายการ และได้ผ่านเลยวงจรชีวิตในส่วนนั้นไปแล้ว อาจจะไม่สามารถเรียกกลับคืนหรือถอยหลังกลับได้ หรืออาจไม่สามารถจัดการกับความเสี่ยงนั้นได้ เช่น หากผ่านเลยช่วงเวลาของการกำหนดเกณฑ์การตรวจรับระบบงานไปแล้ว (ซึ่งอยู่ในส่วนของ “การวางแผนเพื่อนำทรัพย์สินนั้นมาใช้งาน”) แต่ผู้ประเมินความเสี่ยงไม่ได้ใส่ใจในเรื่องนี้ ก็อาจทำให้เกิดข้อพิพาธ ข้อขัดแย้ง หรือข้อถกเถียงในการตรวจรับระบบงานได้ในภายหลัง หรือที่เรียกว่าความเสี่ยงนั้นกลายเป็นจริงและสร้างความเสียหายแก่ทรัพย์สินขององค์กรนั่นเอง

โดยสรุปการบริหารจัดการกับความเสี่ยงควรทยอยบริหารจัดการทีละส่วนตามวงจรชีวิตของทรัพย์สินประเภทนั้นที่มีการเคลื่อนตัวไปข้างหน้า

จากข้อคำถามที่ 2 ที่ว่าการประเมินความเสี่ยงต้องประเมินพร้อมกันทีเดียว (กล่าวคือประเมินในทุกความเสี่ยงที่มองเห็น) ประเมินแยกกันเป็นแต่ละครั้ง หรือเป็นกรณีอื่นๆ คำตอบคือเพื่อให้เป็นไปตามธรรมชาติของมนุษย์ในการบริหารจัดการความเสี่ยง ควรแยกทยอยการประเมินความเสี่ยงทีละส่วนแยกตามวงจรชีวิตของทรัพย์สินประเภทนั้น

นอกจากการจัดทำแผนการควบคุมความเสี่ยงซึ่งควรแยกตามประเภทของทรัพย์สินสารสนเทศแล้ว การจัดทำแผนฯ ก็ควรแยกตามแต่ละส่วนของวัฏจักรชีวิตของทรัพย์สินสารสนเทศประเภทนั้น (ตามที่ผู้เขียนได้เสนอวัฏจักรชีวิตของทรัพย์สินแต่ละประเภทไว้ในข้างต้นนั้น)


บริษัท ที-เน็ต จำกัด
131 หมู่ 9 ห้องเลขที่ 311 อุทยานวิทยาศาสตร์ประเทศไทย ถนนพหลโยธิน คลองหนึ่ง คลองหลวง ปทุมธานี 12120
โทรศัพท์: 02-564-7886    โทรสาร: 02-564-7854
e-mail: info@tnetsecurity.com

Copyright © 2008-2011 T-NET Co.,Ltd. All rights reserved.