Post on 08-Mar-2020
กรมพฒนาพลงงานทดแทนและอนรกษพลงงานกระทรวงพลงงาน
แผนบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร
ประจ าปงบประมาณ 2561
กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน กระทรวงพลงงาน
แผนบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน ประจ าปงบประมาณ 2561
บทน ำ
กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน (พพ.) ไดจดท าแผนบรหารจดการความเสยง ดานเทคโนโลยสารสนเทศและการสอสาร ประจ าปงบประมาณ 2561 ขน ดวยการวเคราะหและประเมน ความเสยงดานเทคโนโลยสารสนเทศและการสอสาร เพอทจะบรหารจดการความเสยงตามกระบวนการ บรหารความเสยงตามมาตรฐาน COSO (Committee of Sponsoring Organizations of the Tread way Commission) โดยไดวเคราะหความเสยงใหครอบคลมตามหลกธรรมาภบาลและเปนไปตามนโยบายและ แนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ (ICT) ซงสอดคลองกบมาตรฐานความมนคงปลอดภยสารสนเทศ (ISO 27001) แผนบรหารจดการความเสยงดงกลาว จะใชเปนกรอบและแนวทางในการปฏบตงาน ของหนวยงานตางๆ ทเกยวของ ตลอดจนการก ากบดแลการใชงานดานเทคโนโลยสารสนเทศและการสอสาร ของกรมในป 2561 เพอใหเทคโนโลยสารสนเทศและการสอสารของกรมสามารถใชงานไดอยางตอเนอง มประสทธภาพและมความมนคงปลอดภยสงสด ทงน จะมการตรวจสอบและประเมนความเสยงทมแนวโนมอาจจะเกดขน เพอบรหารจดการไดอยางถกตอง ไมเกดเหตการณความเสยหาย พรอมทงสนปใหมการตรวจสอบหาชองโหวของการโจมตระบบ ICT ดวยการใช External Audit และ Internal Audit ในทกป และท าการทบทวนการบรหารจดการความเสยงดาน ICT กอนสนสดแผนฯ ของป
สารบญ
กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน กระทรวงพลงงาน
แผนบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน ประจ าปงบประมาณ 2561
ก
สารบญ
1. ความหมายของการบรหารความเสยง .............................................................................................. 1
1.1 The Global Risks Report 2016 11th Edition ........................................................................... 1
1.1 The Digital Transformation of Business ของ Harvard Business Review ............................. 3
2. ความหมายของการบรหารความเสยง .............................................................................................. 5
3. วตถประสงค .................................................................................................................................. 6
4. ขอบเขตการด าเนนการ ................................................................................................................... 6
5. คณะท างานบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร............................................. 7
6. การประเมนความเสยง (Risk Assessment) ................................................................................... 8
7. การประมาณความเสยง (Risk Estimation) .................................................................................. 14
8. การประเมนคาความเสยง (Risk Evaluation) ............................................................................... 21
8.1 แผนภมความเสยง ........................................................................................................................... 21
8.2 การประเมนคาความเสยงทเกดขน................................................................................................... 22
9. ผลการวเคราะหความเสยง (Risk Analysis) ................................................................................. 28
10. การจดการความเสยง (Risk Management) .............................................................................. 31
11. แผนปฏบตการบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร .................................... 36
กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน กระทรวงพลงงาน
แผนบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน ประจ าปงบประมาณ พ.ศ. 2561
ข
สารบญรปภาพ
รปท 1 The Global Risks Landscape 2016 ............................................................................................. 2
รปท 2 Transforming organizations and how People work ................................................................ 3
รปท 3 Security risks are relative ............................................................................................................. 4
รปท 4 แผนภมความเสยงดานสารสนเทศ ................................................................................................... 27
รปท 5 แผนภมความเสยงดานสารสนเทศคงเหลอหลงควบคม .................................................................... 35
สารบญตาราง
ตารางท 1 รายละเอยดของความเสยง (Description of Risk) ...................................................................... 9
ตารางท 2 การประมาณความเสยง (Risk Estimation) ............................................................................... 17
ตารางท 3 สรปผลการประเมนคาความเสยง (Risk Evaluation) ................................................................. 23
ตารางท 4 ผลการวเคราะหความเสยง (Risk Analysis) ............................................................................... 28
ตารางท 5 การจดการความเสยง (Risk Management) .............................................................................. 31
ตารางท 6 แผนปฏบตการบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร ................................ 36
แผนบรหารความเสยง ดานเทคโนโลยสารสนเทศและการสอสาร
กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน ประจ าปงบประมาณ 2561
กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน กระทรวงพลงงาน
แผนบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน ประจ าปงบประมาณ 2561
1
แผนบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน ประจ าป งบประมาณ 2561
กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน (พพ.) ไดน าเทคโนโลยสารสนเทศเขามาใชในการปฏบตงานหลายดาน ดงนน พพ. จงจ าเปนตองมการบรหารจดการความเสยงดานเทคโนโลยสารสนเทศและการสอสาร เพอหาวธการปองกนปญหาทจะเกดขน อนสงผลกระทบตอระบบเทคโนโลยสารสนเทศและการสอสาร ของ พพ. อกทง เปนการน าเทคโนโลยสารสนเทศมาสนบสนนการปฏบตงานใหเกดประโยชนสงสดและลดโอกาสความเสยหายทจะเกดขน
แผนบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสารมวตถประสงคเพอใชเปนแนวทางในการตรวจสอบและประเมนความเสยงดานเทคโนโลยสารสนเทศและการสอสารของ พพ. ดวยการคาดการณลวงหนา ในกรณทความเสยงเกดขนจรงและ พพ. สามารถน าแนวทางจดการความเสยงนไปใชในการด าเนนการได
1. การทบทวนบรบทความเสยงดานเทคโนโลยสารสนเทศ
การประเมนความเสยงดานเทคโนโลยสารสนเทศ ประจ าปงบประมาณ 2561 ของ พพ. คณะท างานบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสารไดมการศกษาบรบททเกยวของกบความเสยงดานเทคโนโลยสารสนเทศระดบสากล เพอพจารณาถงทศทางและแนวโนมดานความเสยง และการปองกน เนองจากการประเมนความเสยง ประจ าปงบประมาณ 2561 เปนการประมาณการลวงหนา ซงจ าเปนตองพจารณาทงภายในและภายนอกองคกร เพอวางแผนปองกนความเสยงใหรอบดาน
1.1 The Global Risks Report 2016 11th Edition
World Economic Forum ไดประเมนโอกาสของการเผชญกบภยคกคามทส าคญและผลกระทบทเกดขนจากภยคกคามในระดบสากลแสดงดงรปท 1
กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน กระทรวงพลงงาน
แผนบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน ประจ าปงบประมาณ 2561
2
รปท 1 The Global Risks Landscape 20161
จากรปท 1 แสดงใหเหนวาความเสยงดานเทคโนโลยสารสนเทศทคาดวาจะถกคกคามและไดรบผลกระทบมากทสดในป 2560 คอการโจรกรรมขอมล (Data fraud or theft) และการโจมตระบบสารสนเทศ (Cyberattacks) เพอใหระบบสารสนเทศหยดการใหบรการ ซงแสดงใหเหนวา พพ. ควรตองทบทวนประเดนความเสยงดานการโจมตจากผไมประสงคด ทงเพอการโจรกรรมขอมลและ การท าให พพ. ตองหยดใหบรการ
1 แหลงทมา: Global Risks Perception Survey 2015
กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน กระทรวงพลงงาน
แผนบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน ประจ าปงบประมาณ 2561
3
1.2 The Digital Transformation of Business ของ Harvard Business Review
โดยทวไปแนวโนมดานการโจมตของผไมประสงคดจะเนนเทคโนโลยท องคกรขนาดใหญ มความจ าเปนตองใชงานหรอมการใชงานอยางแพรหลาย เพอมงหวงท าใหเกดผลกระทบตอองคกรนนๆ และน าไปสการแสวงหาผลประโยชนจากผลกระทบดงกลาว ดงนน คณะท างานบรหารความเสยง ดานเทคโนโลยสารสนเทศและการสอสารจงไดทบทวนแนวโนมของเทคโนโลยสารสนเทศทมการ พฒนาอยางตอเนองในการสนบสนนภารกจของ พพ. จากเอกสารเผยแพรของ Harvard Business Review ชอ The Digital Transformation of Business สามารถสรปแนวโนมเทคโนโลยสารสนเทศไดดงรปท 2
รปท 2 Transforming organizations and how People work
จากรปท 2 แสดงใหเหนวาแนวโนมการพฒนาเทคโนโลยสารสนเทศจะเนนพฒนา 4 เทคโนโลย คอ ระบบงานบนอปกรณสมารทดไวซ (Mobile) การวเคราะหขอมลขนาดใหญ (Big Data) การประมวลผลแบบคลาวด (Cloud) และการใชงานดานสงคมออนไลน (Social) ซ งเมอจดล าดบความเสยง ดานเทคโนโลยสารสนเทศทง 4 ดาน สามารถสรปไดดงรปท 3
กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน กระทรวงพลงงาน
แผนบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน ประจ าปงบประมาณ 2561
4
รปท 3 Security risks are relative
จากรปท 3 พบวาแนวโนมความเสยงดานเทคโนโลยสารสนเทศในชวงป 2560 จะมทศทาง ตามเทคโนโลยสารสนเทศทมการใชงานกบองคกรใหญๆ โดยเรยงล าดบจากความเสยงสงไปหาความเสยงต าไดคอ 1) การประมวลผลแบบคลาวด (Cloud) 2) ระบบงานบนอปกรณสมารทดไวซ (Mobile) 3) ระบบงานเชอมโยงกบระบบสงคมออนไลน (Social) และ 4) ระบบการวเคราะหขอมลขนาดใหญ (Big Data) ดงนน คณะท างานบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสารจงไดน าแนวโนมดงกลาวมาพจารณาประเดนความเสยงและแนวทางการปองกนความเสยงส าหรบเทคโนโลยขางตนดวย
นอกจากนน คณะท างานบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร ยงไดมการทบทวน ปจจยเสยงตาง ๆ เพมเตมจากปทผาน ๆ มา โดยใชวธการส ารวจปจจยเสยง และไดน าเสนอปจจยเสยงในหองประชมคณะท างานฯ เพอรวมกนพจารณา ดงน
1. ความเสยงจากการถกโจมตโดยไวรส (Virus) หรอมลแวร (Malware) 2. การใชโปรแกรมทพฒนาโดย Outsource ขาดแผนบรหารความตอเนอง 3. ความเสยงจากความเสยหายของอปกรณทเกดจากสตวหรอแมลงกดแทะ 4. ความเสยงจากความชนหรออณหภมในหองคอมพวเตอรแมขาย 5. ความเสยงจากการขาดแคลนบคลากรดานเทคโนโลยสารสนเทศ 6. ความเสยงจากการส ารองขอมล การท างานระบบไมมเสถยรภาพ หรอท าการส ารองขอมล
แตขาดการอพเดท 7. ความเสยงจากการถก Black List โดย Search Engine
กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน กระทรวงพลงงาน
แผนบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน ประจ าปงบประมาณ 2561
5
8. ขอมลทไดรบจากการส ารวจความตองการในการจดหาวสด อปกรณคอมพวเตอร ยงไมถกตอง ครบถวน และไมใชความตองการทแทจรง
9. แผนการจดหาพสดไมตรงกบความตองการ และไมสอดคลองกบงบประมาณทไดรบ 10. ไมสามารถรกษาบคลากรทมคณภาพอยในหนวยงานไดอยางมความสขและยงยน
2. ความหมายของการบรหารความเสยง
ความเสยง (Risk) หมายถง เหตการณหรอการกระท าใด ๆ ทจะเกดขนภายในสถานการณทไมแนนอนและจะสงผลกระทบหรอสรางความเสยหาย (ทงทเปนตวเงนและไมเปนตวเงน) หรอกอให เกดความลมเหลวหรอลดโอกาสทจะบรรลวตถประสงคและเปาหมายขององคกร ทงในดานยทธศาสตรการปฏบตงาน การเงนและ การบรการ ซงเปนผลกระทบทางบวกดวยกได โดยวดจากผลกระทบ (Impact) ทไดรบและโอกาสทจะเกด (Likelihood) ของเหตการณ
ปจจยเสยง (Risk Factor) หมายถง ตนเหตหรอสาเหตทมาของความเสยงทจะท าใหไมบรรลวตถประสงคทก าหนดไว โดยตองระบไดดวยวาเหตการณนนจะเกดทไหน เมอใดและเกดขนไดอยางไร และท าไม ทงน สาเหตของความเสยงทระบควรเปนสาเหตทแทจรง เพอจะไดวเคราะหและก าหนดมาตรการลดความเสยงในภายหลง ไดอยางถกตอง
การประเมนความเสยง (Risk Assessment) หมายถง กระบวนการระบความเสยง การวเคราะหความเสยง และจดล าดบความเสยง โดยการประเมนจากโอกาสทจะเกด (Likelihood) และผลกระทบ (Impact) เมอท าการประเมนแลว ท าใหทราบระดบของความเสยง (Degree of Risk) หมายถง สถานะของความเสยงทไดจากการประเมนโอกาสและผลกระทบของแตละปจจยเสยง แบงออกเปน 4 ระดบ คอ สงมาก สง ปานกลางและต า
การบรหารความเสยง (Risk Management) หมายถง กระบวนการทใชในการบรหารจดการใหโอกาส ทจะเกดเหตการณความเสยงลดลง หรอผลกระทบของความเสยหายจากเหตการณความเสยงลดลงอยในระดบ ทองคกรยอมรบได ซงการจดการความเสยง แบงโดยสรปไดเปน 4 แนวทางหลก คอการยอมรบ การลด การควบคม การยกเลกและการโอนยายหรอแบงความเสยง
การควบคม (Control) หมายถง นโยบาย แนวทางหรอขนตอนปฏบตตางๆ ซงกระท าเพอลดความเสยง และท าใหการด าเนนการบรรลวตถประสงค แบงได 4 ประเภท คอ การควบคมเพอการปองกน การควบคมเพอ ใหตรวจสอบ การควบคมเพอการชแนะและการควบคมเพอการแกไข
ทรพยสน (Asset) หมายถง ทรพยสนตางๆ ขององคกรแบงเปน 5 หมวด ไดแก หมวดขอมล หมวดบคลากร หมวดฮารดแวร หมวดซอฟตแวร และหมวดบรการ งบประมาณทใชในการลงทนของโครงการ งบประมาณทใช ในการด าเนนงาน เงนทใชเปนคาจางตางๆ ในการด าเนนกจกรรม ตามภารกจขององคกร
กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน กระทรวงพลงงาน
แผนบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน ประจ าปงบประมาณ 2561
6
หลกการวเคราะห ประเมน และจดท าความเสยงอยางเหมาะสม ตามกระบวนการบรหารความเสยง ตามมาตรฐาน COSO (Committee of Sponsoring Organizations of the Treadway Commission) มดงน
1. การก าหนดเปาหมายการบรหารความเสยง (Objective Setting)
2. การระบความเสยงตางๆ (Event Identification)
3. การประเมนความเสยง (Risk Assessment)
4. กลยทธทใชในการจดการกบแตละความเสยง (Risk Response)
5. กจกรรมการบรหารความเสยง (Control Activities)
6. ขอมลและการสอสารดานบรหารความเสยง (Information and Communication)
7. การตดตามผลและเฝาระวงความเสยงตางๆ (Monitoring)
ทงน ในการจดท าแผนบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร พพ. ไดมผเชยวชาญดานการตรวจประเมนความเสยงดานเทคโนโลยสารสนเทศและการสอสารจากภายนอกเปนผตรวจและรบรองผลการประเมน โดยมการทดสอบชองโหวการเขาถงระบบเทคโนโลยสารสนเทศและการสอสารดวยเครองมอการทดสอบทเหมาะสมรวมดวย
3. วตถประสงค
1. เพอใหการจดการภายใตศนยสารสนเทศขอมลพลงงานทดแทนและอนรกษพลงงาน พพ. มประสทธภาพและมความยดหยนในการปรบตวใหทนตอการเปลยนแปลงของเทคโนโลยสารสนเทศสมยใหม รวมทงลดโอกาสทจะกอใหเกดความเสยหายทไมตองการกบระบบเทคโนโลยสารสนเทศและการสอสาร
2. เพอเตรยมความพรอมและรองรบสถานการณฉกเฉน ทจะเกดขนกบระบบเทคโนโลยสารสนเทศและการสอสารของ พพ. เพอใหมการวางแผน ควบคม แกไขความเสยงดานเทคโนโลยสารสนเทศและการสอสาร
3. เพอเปนแนวทางการด าเนนการ ก ากบดแล ตรวจสอบเกยวกบการบรหารจดการและการเผยแพรความรความเขาใจเกยวกบการบรหารจดการความเสยงดานเทคโนโลยสารสนเทศและการสอสาร
4. เพอชวยเพมประสทธภาพการตดสนใจ โดยค านงถงปจจยเสยงและความเสยงในดานตางๆ ทนาจะมผลกระทบกบการด าเนนงาน วตถประสงคและนโยบาย แลวพจารณาหาแนวทางในการปองกนหรอจดการ กบความเสยงเหลานน กอนทจะเรมปฏบตงานหรอด าเนนงานตามแผน
4. ขอบเขตการด าเนนการ
เปนการบรหารจดการความเสยงดานเทคโนโลยสารสนเทศและการสอสาร ภายในความรบผดชอบ ของศนยสารสนเทศขอมลพลงงานทดแทนและอนรกษพลงงาน พพ.
กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน กระทรวงพลงงาน
แผนบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน ประจ าปงบประมาณ 2561
7
5. คณะท างานบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร
ล าดบ ชอ นามสกล ต าแหนง ความรบผดชอบ
1. ผอ านวยการศนยสารสนเทศขอมล พลงงานทดแทนและอนรกษพลงงาน
ผศส. ประธานคณะท างาน
2. ผอ านวยการกลมเทคโนโลยสารสนเทศ ผทส. คณะท างาน
3. ผอ านวยการกลมพฒนาระบบงานสารสนเทศ
ผพส. คณะท างาน
4. ผอ านวยการกลมสถตและขอมลพลงงาน ผสข. คณะท างาน
5. ผอ านวยการกลมบรการสารสนเทศและภมสารสนเทศ
ผบภ. คณะท างาน
6. ผอ านวยการกลมองคความรพลงงานทดแทนและอนรกษพลงงาน
ผอร. คณะท างาน
7. นายกตตพงค หมปลง นกวชาการคอมพวเตอรช านาญการ คณะท างาน
8. นางสดใจ สงหสตย นกวชาการคอมพวเตอรช านาญการ คณะท างาน
9. นายอศศวศ ศรบาง นกวเคราะหนโยบายและแผนช านาญการ คณะท างาน
10. นางสาวพชรนทร ใจเสงยม นกวเคราะหนโยบายและแผนช านาญการ คณะท างาน
11. นางสาวรศม ปยะลงกา นกจดการงานทวไปช านาญการ คณะท างาน
12. นางเตมดวง จนดาภคกล พนกงานธรการ ส4 คณะท างาน
13. นายสทธพงษ แกนจนทร นกวชาการคอมพวเตอรช านาญการ คณะท างาน
14. นางสาวภสรนทร เพชรช าล นกวเคราะหนโยบายและแผนปฏบตการ คณะท างาน
15. นางสาวนยนา บญนาค นกวชาการคอมพวเตอรช านาญการ คณะท างาน และเลขานการ
16. นายอนวช ศรสงข นกวชาการคอมพวเตอรช านาญการ คณะท างาน และผชวยเลขานการ
17. นายวนชย กาสา เจาพนกงานคอมพวเตอร คณะท างาน และผชวยเลขานการ
กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน กระทรวงพลงงาน
แผนบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน ประจ าปงบประมาณ 2561
8
6. การประเมนความเสยง (Risk Assessment)
การวเคราะหความเสยง จากการวเคราะหความเสยงดานสารสนเทศของ พพ. สามารถแยกประเภทความเสยงเปน 5 ประเภท ดงน
ความเสยงดานเทคนค เปนความเสยงทเกดขนจากระบบคอมพวเตอร เครองมอและอปกรณ ถกโจมตจากไวรสหรอโปรแกรมไมประสงคด ถกกอกวนจาก Hacker ถกเจาะท าลายระบบ จาก Cracker เปนตน
ความเสยงจากผปฏบตงาน เปนความเสยงทเกดขนจากการด าเนนการ การจดความส าคญ ในการเขาถงขอมลไมเหมาะสมกบการใชงานหรอการใหบรการ โดยผใชเขาสระบบเทคโนโลยสารสนเทศและการสอสาร หรอใชขอมลตางๆ ของ พพ. เกนกวาอ านาจหนาทของตนเองทมอยและ ท าใหเกดความเสยหายตอขอมลสารสนเทศได
ความเสยงจากภยคกคามหรอภยพบต เปนความเสยงท เกดจากภยพบตตามธรรมชาตหรอสถานการณรายแรงทกอใหเกดความเสยหายรายแรงกบขอมลสารสนเทศ เชน ไฟฟาขดของ น าทวม ไฟไหม อาคารถลม การชมนมประทวงหรอความไมสงบเรยบรอยในบานเมอง เปนตน
ความเสยงดานการบรหารจดการ เปนความเสยงจากแนวนโยบายในการบรหารจดการทสงผลกระทบตอการด าเนนการดานสารสนเทศ
ความเสยงจากปจจยภายนอก เปนความเสยงทเกดจากการใหบรการของหนวยงานภายนอก พพ. ซง พพ. จ าเปนตองใชบรการดงกลาว รวมทง อยนอกเหนอการบรหารจดการหรอการควบคม พพ. ไมสามารถปองกนการหยดหรอระงบการใหบรการได ซง พพ. จะตองวางแผนการในลดผลกระทบจากความเสยหายทจะเกดขนจากการไมไดรบบรการดงกลาว
ทงน ลกษณะรายละเอยดของความเสยง (Description of Risk) แสดงตามตารางท 1
กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน กระทรวงพลงงาน
แผนบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน ประจ าปงบประมาณ 2561
9
ตารางท 1 รายละเอยดของความเสยง (Description of Risk)
ชอความเสยง รหส ประเภทความเสยง ลกษณะความเสยง ปจจยเสยง/สงคกคาม ผลกระทบ/ผไดรบผลกระทบ
1. ความเสยงจากสภาพแวดลอม ความชนหรออณหภมในหองปฏบตการคอมพวเตอร
RIT01 ความเสยงดานเทคนค/ ความเสยงจากผปฏบตงาน
ความเสยงจากประสทธภาพและความนาเชอถอของระบบลดลง และท าใหเครองหยดการท างานได
- ระบบเครองปรบอากาศขดของ
- น าหรออากาศรวเขาหองปฏบตการคอมพวเตอร
- เครองคอมพวเตอรแมขาย - ระบบฐานขอมล - ระบบงานสารสนเทศ - ผใชงาน - ผดแลระบบ
2. ความเสยงจากการ เกดไฟไหม น าทวม แผนดนไหว อาคารถลม
RIT02 ความเสยงจากภยคกคามหรอภยพบต
การเกดไฟไหมอาคารหรอแผนดนไหว จนอาคารถลม ไมสามารถเคลอนยาย เครองคอมพวเตอรและอปกรณตางๆ ได สงผล ท าใหระบบคอมพวเตอรและระบบเครอขายหลกไดรบความเสยหายบางสวน หรอไดรบความเสยหายทงหมด หรอการเกดน าทวมจนตองด าเนนการตดกระแสไฟฟาและไมสามารถใชงานระบบคอมพวเตอรและระบบเครอขายหลกได
- ไฟไหม จากอบตเหตไฟฟาลดวงจร การวางเพลง
- ภยธรรมชาต
- เครองคอมพวเตอรแมขาย - อปกรณเครอขาย - ระบบฐานขอมล - ระบบงานสารสนเทศ - ผใชงาน - ผดแลระบบ
กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน กระทรวงพลงงาน
แผนบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน ประจ าปงบประมาณ 2561
10
ตารางท 1 รายละเอยดของความเสยง (Description of Risk) – (ตอ)
ชอความเสยง รหส ประเภทความเสยง ลกษณะความเสยง ปจจยเสยง/สงคกคาม ผลกระทบ/ผไดรบผลกระทบ
3. ความเสยงจากการถก บกรก โดยผไมประสงคด การถกโจมตโดยไวรส (Virus) หรอมลแวร (Malware)
RIT03 ความเสยงดานเทคนค/ ความเสยงจากผปฏบตงาน
การบกรกโจมตโดยผไมประสงคด เชน Hacker เปนตน การดกจบขอมล การสงขอมลค าสงเจตนาราย การตดไวรสหรอเวรม การเปลยนแปลงแกไขขอมลบนเวบไซตหรอระบบฐานขอมล
- Hacker/ Cracker - การโจมตการใหบรการ
(denial of services/ DOS) - การดกจบขอมล - ค าสงเจตนาราย - ความผดพลาดของซอฟตแวร
หรอการเขยนโปรแกรม - ไวรส/ เวรม
- เครองคอมพวเตอรแมขาย - ระบบฐานขอมล - ระบบงานสารสนเทศ - ผใชงาน - ผดแลระบบ
4. ความเสยงจากการเชอมตอเครอขาย อนเทอรเนตลมเหลวหรอไมสามารถ ใชงานได
RIT04 ความเสยงดานเทคนค พพ. ไมสามารถใชงานระบบเครอขายอนเทอรเนตในการรบ - สงขอมลตางๆ ได
- ความลมเหลวทางเทคนค - การด าเนนการของหนวยงาน
ภายนอกทมผลกระทบตอระบบเครอขายของ พพ.
- ระบบเครอขายสอสาร - ระบบงานสารสนเทศ - ผใชงาน - ผดแลระบบ
5. ความเสยงจากการละเมดลขสทธ
RIT05 ความเสยงจากผปฏบตงาน
การตดตงและใชงานซอฟตแวรทไมมลขสทธถกตองตามกฎหมายบนเครองคอมพวเตอร ของ พพ. สงผลให พพ. ถกฟองรองได
- พพ. ถกฟองรองการละเมดลขสทธ
- เครองคอมพวเตอร - อธบด พพ. - ผดแลระบบ
กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน กระทรวงพลงงาน
แผนบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน ประจ าปงบประมาณ 2561
11
ตารางท 1 รายละเอยดของความเสยง (Description of Risk) – (ตอ)
ชอความเสยง รหส ประเภทความเสยง ลกษณะความเสยง ปจจยเสยง/สงคกคาม ผลกระทบ/ผไดรบผลกระทบ
6. ความเสยงจากการไดรบงบประมาณในการปรบปรง บ ารงรกษาและจดหาระบบงานสารสนเทศ ระบบเครอขาย ระบบคอมพวเตอรไมเพยงพอ
RIT06 ความเสยงดาน การบรหารจดการ
ระบบงานสารสนเทศและระบบคอมพวเตอรไมไดรบการปรบปรงใหมความทนสมยหรอความปลอดภยตามทผพฒนาระบบหรอบรษทผผลตไดก าหนดท าใหมความเสยงดานระบบงานไมสามารถสนบสนนการท างานปจจบนได
- ความลมเหลวทางเทคนค - การโจมตการใหบรการ
(denial of services/ DOS) - การดกจบขอมล
- เครองคอมพวเตอรแมขาย - เครองคอมพวเตอร - ระบบฐานขอมล - ระบบงานสารสนเทศ - ผดแลระบบ
7. ความเสยงจากผใชงานสารสนเทศขาดความระมดระวงและการตระหนกถงความส าคญของความปลอดภยดานสารสนเทศ
RIT07 ความเสยงจากผปฏบตงาน
การใชงานสารสนเทศโดยขาดความระมดระวง ท าใหถกบกรกโจมตโดยผไมประสงคดหรอ ถกดกจบขอมลส าคญ หรอการสงขอมลค าสงเจตนาราย หรอการตดไวรสหรอเวรม ซงสงผลกระทบตอระบบงานสารสนเทศของ พพ.
- Hacker/ Cracker - การโจมตการใหบรการ
(denial of services/ DOS) - การดกจบขอมล - ค าสงเจตนาราย - ไวรส/ เวรม
- เครองคอมพวเตอรแมขาย - เครองคอมพวเตอร - ระบบฐานขอมล - ระบบงานสารสนเทศ - ระบบเครอขาย - ผใชงาน - ผดแลระบบ
กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน กระทรวงพลงงาน
แผนบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน ประจ าปงบประมาณ 2561
12
ตารางท 1 รายละเอยดของความเสยง (Description of Risk) – (ตอ)
ชอความเสยง รหส ประเภทความเสยง ลกษณะความเสยง ปจจยเสยง/สงคกคาม ผลกระทบ/ผไดรบผลกระทบ
8. ความเสยงจากกระแส ไฟฟาขดของ ไฟฟาดบ แรงดนไฟฟาไมคงท จากการไฟฟานครหลวง
RIT08 ความเสยงจากปจจยภายนอก
การเกดกระแสไฟฟาขดของหรอเกดแรงดนไฟฟา ไมคงท ท าใหเครองคอมพวเตอรและอปกรณ ไดรบความเสยหายจากแรงดนไฟฟาทไมคงท หรอเมอกระแสไฟฟาขดของ ท าใหเครองแมขายคอมพวเตอรถกปดไปโดยไมสมบรณ ท าใหขอมลสารสนเทศบางสวนเกดการสญหายและ การใหบรการบางประเภทไมสามารถเปดใชงานไดโดยอตโนมต
- แหลงก าเนดไฟฟาขดของ หรอแรงดนไฟฟาไมคงท
- เครองคอมพวเตอรแมขาย - เครองคอมพวเตอร - ระบบฐานขอมล - ระบบงานสารสนเทศ - ระบบเครอขาย - ผใชงาน - ผดแลระบบ
9. ความเสยงจากการตดตงระบบงานและฐานขอมล ไวทเครอขายภายนอก พพ.
RIT09 ความเสยงดานเทคนค/ ความเสยงจากผปฏบตงาน
การบกรกโจมตโดยผไมประสงคด เชน Hacker เปนตน การดกจบขอมล การสงขอมลค าสงเจตนาราย การตดไวรสหรอเวรม การเปลยนแปลงแกไขขอมลบนเวบไซตหรอระบบฐานขอมล รวมไปถงการทระบบงาน ไมสามารถใชงานได อนเกดจากความบกพรองของผดแลระบบภายนอก พพ.
- Hacker/ Cracker - การโจมตการใหบรการ
(denial of services/ DOS) - การดกจบขอมล - ค าสงเจตนาราย - ความผดพลาดของซอฟตแวร
หรอการเขยนโปรแกรม - ไวรส/ เวรม - ความลมเหลวทางเทคนค
- เครองคอมพวเตอรแมขาย - ระบบฐานขอมล - ระบบงานสารสนเทศ - ผใชงาน - ผดแลระบบ
กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน กระทรวงพลงงาน
แผนบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน ประจ าปงบประมาณ 2561
13
ตารางท 1 รายละเอยดของความเสยง (Description of Risk) – (ตอ)
ชอความเสยง รหส ประเภทความเสยง ลกษณะความเสยง ปจจยเสยง/สงคกคาม ผลกระทบ/ผไดรบผลกระทบ
10. ความเสยงจากคณภาพ ของระบบทจางพฒนาและสงมอบใหกบ พพ.
RIT10 ความเสยงดานเทคนค/ ความเสยงจากผปฏบตงาน
การจดซอ/ จดจางพฒนาระบบงาน โดยหนวยงานอน และไมผานการพจารณาขอก าหนดจากเจาหนาทเทคนค สงผลตอ ความเสยงการบ ารงรกษาระบบในภายหลง ทไมเปนไปตามนโยบายความมนคงปลอดภย ของสารสนเทศ
- Hacker/ Cracker - การดกจบขอมล - ค าสงเจตนาราย - ความผดพลาดของซอฟตแวร
หรอการเขยนโปรแกรม - ไวรส/ เวรม
- เครองคอมพวเตอรแมขาย - ระบบฐานขอมล - ระบบงานสารสนเทศ - ผใชงาน - ผดแลระบบ
กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน กระทรวงพลงงาน
แผนบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน ประจ าปงบประมาณ 2561
14
7. การประมาณความเสยง (Risk Estimation)
เปนการดปญหาความเสยงในแงของโอกาสการเกดเหต (Incident) หรอเหตการณ (Event) วามมากนอยเพยงไร และผลทตามมามความรนแรงหรอเสยหายมากนอยเพยงใด
เกณฑการประมาณ เปนการก าหนดเกณฑทจะใชในการประมาณความเสยง ไดแก ระดบโอกาส ทจะเกดความเสยง ระดบความรนแรงของผลกระทบและระดบความเสยง ซง พพ. ใชเกณฑดงน
ระดบโอกาสในการเกดเหตการณตางๆ
ระดบ โอกาสทจะเกด ค าอธบาย
5 สงมาก > 4 ครง/ป 4 สง 4 ครง/ป 3 ปานกลาง 3 ครง/ป 2 นอย 2 ครง/ป 1 นอยมาก/ไมเกด 1 ครง/ป
ในสวนการประเมนระดบความรนแรงของผลกระทบของความเสยง ทงทเปนตวเงนและไมเปนตวเงน ทเกดขน มแนวทางการประเมนดงน
ผลกระทบดานการเงน เปนผลกระทบหรอความเสยหายทเกดจากความเสยงและสามารถประเมนคาเปนตวเงนได ไดแก
- ผลกระทบจากคาความเสยหายในดานตางๆ ตอทรพยสน - ผลกระทบจากการลงทน/ การรวมลงทน - ผลกระทบคาใชจายการลงทน - ผลกระทบตอการเบกจายงบประมาณ
ผลกระทบตอการด าเนนพนธกจและความสามารถการเปนผน าดาน ICT มาใชประโยชนและเกดประสทธภาพสงสดหรอการบรรลพนธกจและวสยทศนขององคกร เปนผลกระทบทม ความเสยหายกบการด าเนนงานขององคกรในภาพโดยรวม รวมถงความสามารถในการเปนผน าทางดานสารสนเทศขององคกร ไดแก
- ผลกระทบจากปจจยภายนอก นโยบายรฐบาล และกฎหมาย - ผลกระทบจากการสญเสยแนวรวมกบผมสวนเกยวของ Stakeholder - ผลกระทบจากการสญเสยความเชอมนและภาพลกษณขององคกรในการตดตองาน - ผลกระทบตอระบบเทคโนโลยสารสนเทศ - ผลกระทบจากการด าเนนงานตามแผนงาน/ โครงการ
กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน กระทรวงพลงงาน
แผนบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน ประจ าปงบประมาณ 2561
15
ผลกระทบดานชอเสยงขององคกร เปนความเสยหายตอชอเสยง ไมวาจะเปนผลจากการ ด าเนนงานทงทางตรงและทางออม ทสงผลตอภาพพจนและความเชอถอขององคกร เชน มการเผยแพรขาวในสอสงพมพ เปนตน
จากแนวทางการประเมนผลกระทบขางตน เมอพจารณารวมกบกรอบการด าเนนงานของ พพ. ซงเปนองคกรภาครฐทไมไดมงเนนในดานการแขงขนทางธรกจ ดงนนในแนวทางการประเมนผลกระทบจงไดเลอกใชการวเคราะหผลกระทบดานการเงนหรอผลกระทบตอระบบเทคโนโลยสารสนเทศในการจดระดบความรนแรงของผลกระทบของความเสยงไดดงน
ระดบความรนแรงของผลกระทบของความเสยง
ระดบ ผลกระทบ ค าอธบาย
5 สงมาก > 10 ลานบาท หรอ เกดความสญเสยตอระบบเทคโนโลยสารสนเทศและการสอสาร ทส าคญทงหมดและเกดความเสยหายอยางมาก ตอความปลอดภยของขอมลตางๆ
4 สง > 5 แสนบาท – 10 ลานบาท หรอ เกดปญหากบระบบเทคโนโลยสารสนเทศและการสอสาร ทส าคญ และระบบความปลอดภยซงสงผลตอความถกตองของขอมลบางสวน
3 ปานกลาง > 2.5 แสนบาท – 5 แสนบาท หรอ ระบบมปญหาและมความสญเสยไมมาก
2 นอย > 1 แสนบาท – 2.5 แสนบาท หรอ เกดเหตรายเลกนอยทแกไขได
1 นอยมาก/ไมเกด ไมเกน 100,000 บาท หรอ เกดเหตรายทไมมความส าคญ
ทงน จากการประมาณความเสยงขางตน สามารถแสดงรายละเอยดขอมลดงตารางท 2
กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน กระทรวงพลงงาน
แผนบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน ประจ าปงบประมาณ 2561
16
ตารางท 2 การประมาณความเสยง (Risk Estimation)
ชอความเสยง ประเภทความเสยง ลกษณะความเสยง ปจจยเสยง/ สงคกคาม
ผลกระทบ/ ผไดรบผลกระทบ
โอกาสเกด/ความถ
ความรนแรง
1. ความเสยงจากสภาพแวดลอม ความชนหรออณหภมในหองปฏบตการคอมพวเตอร
ความเสยงดานเทคนค/ ความเสยงจากผปฏบตงาน
ความเสยงจากประสทธภาพและความนาเชอถอของระบบลดลง และท าใหเครองหยดการท างานได
- ระบบเครองปรบอากาศขดของ
- น าหรออากาศรวเขาหองปฏบตการคอมพวเตอร
- เครองคอมพวเตอร แมขาย
- ระบบฐานขอมล - ระบบงานสารสนเทศ - ผใชงาน - ผดแลระบบ
3 5
2. ความเสยงจากการเกด ไฟไหม น าทวม แผนดนไหว อาคารถลม
ความเสยงจากภยคกคามหรอภยพบต
การเกดไฟไหมอาคารหรอแผนดนไหว จนอาคารถลมไมสามารถเคลอนยาย เครองคอมพวเตอรและอปกรณตางๆ ได สงผลท าใหระบบคอมพวเตอรและระบบเครอขายหลกไดรบความเสยหายบางสวน หรอไดรบความเสยหายทงหมด หรอการเกด น าทวมจนตองด าเนนการตดกระแสไฟฟาและ ไมสามารถใชงานระบบคอมพวเตอรและ ระบบเครอขายหลกได
- ไฟไหม จากอบตเหตไฟฟาลดวงจร การวางเพลง
- ภยธรรมชาต
- เครองคอมพวเตอร แมขาย
- อปกรณเครอขาย - ระบบฐานขอมล - ระบบงานสารสนเทศ
- ผใชงาน - ผดแลระบบ
2 5
กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน กระทรวงพลงงาน
แผนบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน ประจ าปงบประมาณ 2561
17
ตารางท 2 การประมาณความเสยง (Risk Estimation) – (ตอ)
ชอความเสยง ประเภทความเสยง ลกษณะความเสยง ปจจยเสยง/ สงคกคาม
ผลกระทบ/ ผไดรบผลกระทบ
โอกาสเกด/ความถ
ความรนแรง
3. ความเสยงจากการถกบกรก โดยผไมประสงคด การถกโจมตโดยไวรส (Virus) หรอมลแวร (Malware)
ความเสยงดานเทคนค/ ความเสยงจากผปฏบตงาน
การบกรกโจมตโดยผไมประสงคด เชน Hacker เปนตน การดกจบขอมล การสงขอมลค าสงเจตนาราย การตดไวรส หรอเวรม การเปลยนแปลงแกไขขอมลบนเวบไซตหรอระบบฐานขอมล
- Hacker/ Cracker - การโจมตการใหบรการ
(denial of services/ DOS)
- การดกจบขอมล - ค าสงเจตนาราย - ความผดพลาดของ
ซอฟตแวรหรอการเขยนโปรแกรม
- ไวรส/ เวรม
- เครองคอมพวเตอร แมขาย
- ระบบฐานขอมล - ระบบงานสารสนเทศ - ผใชงาน - ผดแลระบบ
3 5
4. ความเสยงจากการเชอมตอเครอขาย อนเทอรเนตลมเหลวหรอไมสามารถ ใชงานได
ความเสยงดานเทคนค พพ. ไมสามารถใชงานระบบเครอขายอนเทอรเนตในการรบ - สงขอมลตางๆ ได
- ความลมเหลวทางเทคนค
- การด าเนนการของหนวยงานภายนอก ทมผลกระทบตอระบบเครอขายของ พพ.
- ระบบเครอขายสอสาร - ระบบงานสารสนเทศ - ผใชงาน - ผดแลระบบ
2 4
กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน กระทรวงพลงงาน
แผนบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน ประจ าปงบประมาณ 2561
18
ตารางท 2 การประมาณความเสยง (Risk Estimation) – (ตอ)
ชอความเสยง ประเภท
ความเสยง ลกษณะความเสยง
ปจจยเสยง/ สงคกคาม
ผลกระทบ/ ผไดรบผลกระทบ
โอกาสเกด/ความถ
ความรนแรง
5. ความเสยงจากการละเมดลขสทธ
ความเสยงจากผปฏบตงาน
การตดตงและใชงานซอฟตแวรทไมมลขสทธถกตองตามกฎหมายบนเครองคอมพวเตอร ของ พพ. สงผลให พพ. ถกฟองรองได
- พพ. ถกฟองรอง การละเมดลขสทธ
- เครองคอมพวเตอร - อธบด พพ. - ผดแลระบบ
2 4
6. ความเสยงจากการไดรบงบประมาณในการปรบปรง บ ารงรกษาและจดหาระบบงานสารสนเทศ ระบบเครอขาย ระบบคอมพวเตอรไมเพยงพอ
ความเสยงดาน การบรหารจดการ
ระบบงานสารสนเทศและระบบคอมพวเตอรไมไดรบการปรบปรงใหมความทนสมยหรอความปลอดภยตามทผพฒนาระบบหรอบรษทผผลตไดก าหนดท าใหมความเสยงดานระบบงานไมสามารถสนบสนนการท างานปจจบนได
- ความลมเหลวทางเทคนค
- การโจมตการใหบรการ (denial of services/ DOS)
- การดกจบขอมล
- เครองคอมพวเตอร แมขาย
- เครองคอมพวเตอร - ระบบฐานขอมล - ระบบงานสารสนเทศ
- ผดแลระบบ
3 3
7. ความเสยงจากผใชงานสารสนเทศขาดความระมดระวงและ การตระหนกถงความส าคญของความปลอดภยดานสารสนเทศ
ความเสยงจากผปฏบตงาน
การใชงานสารสนเทศโดยขาดความระมดระวง ท าใหถกบกรกโจมตโดยผไมประสงคดหรอ ถกดกจบขอมลส าคญ หรอการสงขอมลค าสงเจตนาราย หรอการตดไวรสหรอเวรม ซงสงผลกระทบตอระบบงานสารสนเทศของ พพ.
- Hacker/ Cracker - การโจมตการใหบรการ
(denial of services/ DOS)
- การดกจบขอมล - ค าสงเจตนาราย - ไวรส/ เวรม
- เครองคอมพวเตอร แมขาย
- เครองคอมพวเตอร - ระบบฐานขอมล - ระบบงานสารสนเทศ - ระบบเครอขาย - ผใชงาน - ผดแลระบบ
5 3
กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน กระทรวงพลงงาน
แผนบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน ประจ าปงบประมาณ 2561
19
ตารางท 2 การประมาณความเสยง (Risk Estimation) – (ตอ)
ชอความเสยง ประเภท
ความเสยง ลกษณะความเสยง
ปจจยเสยง/ สงคกคาม
ผลกระทบ/ ผไดรบผลกระทบ
โอกาสเกด/ความถ
ความรนแรง
8. ความเสยงจากกระแสไฟฟาขดของ ไฟฟาดบแรงดนไฟฟาไมคงท จากการไฟฟานครหลวง
ความเสยงจากปจจยภายนอก
การเกดกระแสไฟฟาขดของ หรอเกดแรงดน ไฟฟาไมคงท ท าใหเครองคอมพวเตอรและอปกรณไดรบความเสยหายจากแรงดนไฟฟา ทไมคงทหรอเมอกระแสไฟฟาขดของ ท าใหเครองแมขายคอมพวเตอรถกปดไป โดยไมสมบรณ ท าใหขอมลสารสนเทศบางสวนเกดการสญหายและการใหบรการบางประเภทไมสามารถเปดใชงานไดโดยอตโนมต
- แหลงก าเนดไฟฟาขดของหรอแรงดน ไฟฟาไมคงท
- เครองคอมพวเตอร แมขาย
- เครองคอมพวเตอร - ระบบฐานขอมล - ระบบงานสารสนเทศ - ระบบเครอขาย - ผใชงาน - ผดแลระบบ
3 4
กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน กระทรวงพลงงาน
แผนบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน ประจ าปงบประมาณ 2561
20
ตารางท 2 การประมาณความเสยง (Risk Estimation) – (ตอ)
ชอความเสยง ประเภท
ความเสยง ลกษณะความเสยง
ปจจยเสยง/ สงคกคาม
ผลกระทบ/ ผไดรบผลกระทบ
โอกาสเกด/ความถ
ความรนแรง
9. ความเสยงจากการตดตงระบบงานและฐานขอมลไวทเครอขายภายนอก พพ.
ความเสยงดานเทคนค/ ความเสยงจากผปฏบตงาน
การบกรกโจมตโดยผไมประสงคด เชน Hacker เปนตน การดกจบขอมล การสงขอมลค าสงเจตนาราย การตดไวรสหรอเวรม การเปลยนแปลงแกไขขอมลบนเวบไซตหรอระบบฐานขอมล รวมไปถงการทระบบงาน ไมสามารถใชงานได อนเกดจากความบกพรองของผดแลระบบภายนอก พพ.
- Hacker/ Cracker - การโจมตการใหบรการ
(denial of services/ DOS)
- การดกจบขอมล - ค าสงเจตนาราย - ความผดพลาดของ
ซอฟตแวรหรอการเขยนโปรแกรม
- ไวรส/ เวรม - ความลมเหลว
ทางเทคนค
- เครองคอมพวเตอร แมขาย
- ระบบฐานขอมล - ระบบงานสารสนเทศ - ผใชงาน - ผดแลระบบ
2 3
10. ความเสยงจากคณภาพ ของระบบทจางพฒนาและสงมอบใหกบ พพ.
ความเสยงดานเทคนค/ ความเสยงจากผปฏบตงาน
การจดซอ/ จดจางพฒนาระบบงาน โดยหนวยงานอนและไมผานการพจารณาขอก าหนดจากเจาหนาทเทคนค สงผลตอ ความเสยงการบ ารงรกษาระบบในภายหลง ทไมเปนไปตามนโยบายความมนคงปลอดภยของสารสนเทศ
- Hacker/ Cracker - การดกจบขอมล - ค าสงเจตนาราย - ความผดพลาดของ
ซอฟตแวรหรอการเขยนโปรแกรม
- ไวรส/ เวรม
- เครองคอมพวเตอร แมขาย
- ระบบฐานขอมล - ระบบงานสารสนเทศ - ผใชงาน - ผดแลระบบ
4 5
กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน กระทรวงพลงงาน
แผนบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน ประจ าปงบประมาณ 2561
21
8. การประเมนคาความเสยง (Risk Evaluation)
การประเมนคาความเสยงจะพจารณาจากปจจยขนตอนทผานมา ไดแก โอกาสทภยคกคามทเกดขนท าใหระบบขาดความมนคง ระดบผลกระทบหรอความรนแรงของภยคกคามทมตอระบบและประสทธภาพ ของแผนการควบคมความปลอดภยของระบบ การวดระดบความเสยงมการก าหนดแผนภมความเสยงทไดจากการพจารณาจดระดบความส าคญของความเสยงจากโอกาสทจะเกดความเสยงและผลกระทบทเกดขนและขอบเขตของระดบความเสยงทสามารถยอมรบได
ระดบความเสยง = โอกาสในการเกดเหตการณตางๆ (ความถ) X ความรนแรงของเหตการณตางๆ (ผลกระทบ)
ซงใชเกณฑในการจดแบง ดงน
ระดบคะแนนความเสยง จดระดบความเสยง กลยทธในการจดการความเสยง พนทส
1 - 8 ต า ยอมรบความเสยง ขาว
9 - 12 ปานกลาง ยอมรบความเสยง (มมาตรการตดตาม) เหลอง
13 - 20 สง ควบคมความเสยง (มแผนควบคมความเสยง) สม
21 - 25 สงมาก ถายโอนความเสยง แดง
8.1 แผนภมความเสยง (Risk Map)
การวดระดบความเสยง
ความเสยงปานกลาง ความเสยงสง
- ผลกระทบรนแรงมาก - ผลกระทบรนแรงมาก
- โอกาสเกดนอย - โอกาสเกดมาก
ความเสยงต า ความเสยงปานกลาง
- ผลกระทบนอย - ผลกระทบนอย
- โอกาสเกดนอย - โอกาสเกดมาก
ผลกระทบ
มาก
นอย โอกาสทจะเกด มาก
กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน กระทรวงพลงงาน
แผนบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน ประจ าปงบประมาณ 2561
22
8.2 การประเมนคาความเสยงทเกดขน
5 5 10 15 20 25
4 4 8 12 16 20
3 3 6 9 12 15
2 2 4 6 8 10
1 1 2 3 4 5
1 2 3 4 5
ทงน สามารถสรปผลการประเมนคาความเสยงแสดงดงตารางท 3 และสามารถแสดงแผนภม
ความเสยงดานสารสนเทศ (Risk Map) ดงรปท 4
โอกาสทจะเกด/ความถ
ผลกระท
บ/คว
ามรน
แรง
ความเสยงสง
ความเสยงปานกลาง
ความเสยงตา (สามารถยอมรบได)
สแดง
สสม
สเแดง สเหลอง
สขาว
ความเสยงสงมาก
กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน กระทรวงพลงงาน
แผนบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน ประจ าปงบประมาณ 2561
23
ตารางท 3 สรปผลการประเมนคาความเสยง (Risk Evaluation)
ชอความเสยง รหส ประเภทความเสยง ลกษณะความเสยง โอกาสทจะเกด/
ความถ ความรนแรง ระดบคะแนน
1. ความเสยงจากสภาพแวดลอม ความชนหรออณหภมในหองปฏบตการคอมพวเตอร
RIT01 ความเสยงดานเทคนค/ ความเสยงจากผปฏบตงาน
ความเสยงจากประสทธภาพและความนาเชอถอของระบบลดลง และท าใหเครองหยดการท างานได
3 5 15
2. ความเสยงจากการเกดไฟไหม น าทวม แผนดนไหว อาคารถลม
RIT02 ความเสยงจากภยคกคามหรอภยพบต
การเกดไฟไหมอาคารหรอแผนดนไหว จนอาคารถลม ไมสามารถเคลอนยาย เครองคอมพวเตอรและอปกรณตางๆ ได สงผลท าใหระบบคอมพวเตอรและระบบเครอขายหลกไดรบความเสยหายบางสวน หรอไดรบความเสยหายทงหมด หรอการเกดน าทวมจนตองด าเนนการตดกระแสไฟฟาและไมสามารถใชงานระบบคอมพวเตอรและระบบเครอขายหลกได
2 5 10
3. ความเสยงจากการถกบกรก โดยผไมประสงคด การถกโจมตโดยไวรส (Virus) หรอมลแวร (Malware)
RIT03 ความเสยงดานเทคนค/ ความเสยงจากผปฏบตงาน
การบกรกโจมตโดยผไมประสงคด เชน Hacker เปนตน การดกจบขอมล การสงขอมลค าสงเจตนาราย การตดไวรสหรอเวรม การเปลยนแปลงแกไขขอมล บนเวบไซตหรอระบบฐานขอมล
3 5 15
กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน กระทรวงพลงงาน
แผนบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน ประจ าปงบประมาณ 2561
24
ตารางท 3 สรปผลการประเมนคาความเสยง (Risk Evaluation) – (ตอ)
ชอความเสยง รหส ประเภทความเสยง ลกษณะความเสยง โอกาสทจะเกด/
ความถ ความรนแรง ระดบคะแนน
4. ความเสยงจากการเชอมตอเครอขาย อนเทอรเนตลมเหลวหรอไมสามารถใชงานได
RIT04 ความเสยงดานเทคนค พพ. ไมสามารถใชงานระบบเครอขายอนเทอรเนตในการรบ-สงขอมลตางๆ ได
2 4 8
5. ความเสยงจากการละเมดลขสทธ RIT05 ความเสยงจากผปฏบตงาน การตดตงและใชงานซอฟตแวรทไมมลขสทธถกตองตามกฎหมายบนเครองคอมพวเตอร ของ พพ. สงผลให พพ. ถกฟองรองได
2 4 8
6. ความเสยงจากการไดรบงบประมาณในการปรบปรงบ ารงรกษา และจดหาระบบงานสารสนเทศ ระบบเครอขาย ระบบคอมพวเตอรไมเพยงพอ
RIT06 ความเสยงดาน การบรหารจดการ
ระบบงานสารสนเทศและระบบคอมพวเตอรไมไดรบการปรบปรงใหมความทนสมยหรอความปลอดภยตามทผพฒนาระบบหรอบรษทผผลตไดก าหนดท าใหมความเสยงดานระบบงานไมสามารถสนบสนนการท างานปจจบนได
3 3 9
7. ความเสยงจากผใชงานสารสนเทศขาดความระมดระวงและการตระหนกถงความส าคญของความปลอดภยดานสารสนเทศ
RIT07 ความเสยงจากผปฏบตงาน การใชงานสารสนเทศโดยขาดความระมดระวง ท าใหถกบกรกโจมตโดยผไมประสงคดหรอ ถกดกจบขอมลส าคญ หรอการสงขอมลค าสงเจตนาราย หรอการตดไวรสหรอเวรม ซงสงผลกระทบตอระบบงานสารสนเทศ ของ พพ.
5 3 15
กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน กระทรวงพลงงาน
แผนบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน ประจ าปงบประมาณ 2561
25
ตารางท 3 สรปผลการประเมนคาความเสยง (Risk Evaluation) – (ตอ)
ชอความเสยง รหส ประเภทความเสยง ลกษณะความเสยง โอกาสทจะเกด/
ความถ ความรนแรง ระดบคะแนน
8. ความเสยงจากกระแสไฟฟาขดของ ไฟฟาดบ แรงดนไฟฟาไมคงท จากการไฟฟานครหลวง
RIT08 ความเสยงจากปจจยภายนอก
การเกดกระแสไฟฟาขดของหรอเกดแรงดน ไฟฟาไมคงท ท าใหเครองคอมพวเตอรและอปกรณไดรบความเสยหายจากแรงดน ไฟฟาทไมคงท หรอเมอกระแสไฟฟาขดของ ท าใหเครองคอมพวเตอรแมขายถกปดไป โดยไมสมบรณ ท าใหขอมลสารสนเทศบางสวนเกดการสญหาย และการใหบรการบางประเภทไมสามารถเปดใชงานได โดยอตโนมต
3 4 12
9. ความเสยงจากการตดตงระบบงานและฐานขอมลไวทเครอขายภายนอก พพ.
RIT09 ความเสยงดานเทคนค/ ความเสยงจากผปฏบตงาน
การบกรกโจมตโดยผไมประสงคด เชน Hacker เปนตน การดกจบขอมล การสงขอมลค าสงเจตนาราย การตดไวรสหรอเวรม การเปลยนแปลงแกไขขอมลบนเวบไซตหรอระบบฐานขอมล รวมไปถงการทระบบงาน ไมสามารถใชงานได อนเกดจากความบกพรองของผดแลระบบภายนอก พพ.
2 3 6
กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน กระทรวงพลงงาน
แผนบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน ประจ าปงบประมาณ 2561
26
ตารางท 3 สรปผลการประเมนคาความเสยง (Risk Evaluation) – (ตอ)
ชอความเสยง รหส ประเภทความเสยง ลกษณะความเสยง โอกาสทจะเกด/
ความถ ความรนแรง ระดบคะแนน
10. ความเสยงจากคณภาพของระบบ ทจางพฒนาและสงมอบใหกบ พพ.
RIT10 ความเสยงดานเทคนค/ ความเสยงจากผปฏบตงาน
การจดซอ/ จดจางพฒนาระบบงาน โดยหนวยงานอน และไมผานการพจารณาขอก าหนดจากเจาหนาทเทคนค สงผลตอ ความเสยงการบ ารงรกษาระบบในภายหลง ทไมเปนไปตามนโยบายความมนคงปลอดภยของสารสนเทศ
4 5 20
กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน กระทรวงพลงงาน
แผนบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน ประจ าปงบประมาณ 2561
27
แผนภมความเสยงดานสารสนเทศ (Risk Map)
5 RIT02 RIT01 RIT03
RIT10
4 RIT04 RIT05
RIT08
3 RIT09 RIT06 RIT07
2
1
1 2 3 4 5
รปท 4 แผนภมความเสยงดานสารสนเทศ
ผลกระท
บ/ความรน
แรง
ความเสยงปานกลาง
ความเสยงตา (สามารถยอมรบได)
ความเสยงสงมาก สแดง
โอกาสทจะเกด/ความถ
สสม ความเสยงสง
สเหลอง
สขาว
กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน กระทรวงพลงงาน
แผนบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน ประจ าปงบประมาณ 2561
28
9. ผลการวเคราะหความเสยง (Risk Analysis)
จากผลการประเมนความเสยงสามารถจดล าดบความส าคญของความเสยงดานสารสนเทศในการบรหารจดการไดอยางมประสทธภาพ แสดงดงตารางท 4
ตารางท 4 ผลการวเคราะหความเสยง (Risk Analysis)
ล าดบ ความเสยง ประเภทความเสยง ลกษณะความเสยง คาระดบความเสยง
1. ความเสยงจากคณภาพของระบบทจางพฒนา และสงมอบใหกบ พพ.
ความเสยงดานเทคนค/ ความเสยงจากผปฏบตงาน
การจดซอ/ จดจางพฒนาระบบงานโดยหนวยงานอนและไมผาน การพจารณาขอก าหนดจากเจาหนาทเทคนค สงผลตอความเสยง การบ ารงรกษาระบบในภายหลงทไมเปนไปตามนโยบายความมนคงปลอดภยของสารสนเทศ
20
2. ความเสยงจากผใชงานสารสนเทศขาดความระมดระวงและการตระหนกถงความส าคญ ของความปลอดภยดานสารสนเทศ
ความเสยงจากผปฏบตงาน การใชงานสารสนเทศโดยขาดความระมดระวง ท าใหถกบกรกโจมต โดยผไมประสงคด หรอถกดกจบขอมลส าคญ หรอการสงขอมลค าสงเจตนาราย หรอการตดไวรสหรอเวรม ซงสงผลกระทบตอระบบงานสารสนเทศของ พพ.
15
3. ความเสยงจากสภาพแวดลอม ความชนหรออณหภมในหองปฏบตการคอมพวเตอร
ความเสยงดานเทคนค/ ความเสยงจากผปฏบตงาน
ความเสยงจากประสทธภาพและความนาเชอถอของระบบลดลง และท าใหเครองหยดการท างานได
15
4. ความเสยงจากการถกบกรกโดยผไมประสงคด การถกโจมตโดยไวรส (Virus) หรอมลแวร (Malware)
ความเสยงดานเทคนค/ ความเสยงจากผปฏบตงาน
การบกรกโจมตโดยผไมประสงคด เชน Hacker เปนตน การดกจบขอมล การสงขอมลค าสงเจตนาราย การตดไวรสหรอเวรม การเปลยนแปลงแกไขขอมลบนเวบไซตหรอระบบฐานขอมล
15
กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน กระทรวงพลงงาน
แผนบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน ประจ าปงบประมาณ 2561
29
ตารางท 4 ผลการวเคราะหความเสยง (Risk Analysis) – (ตอ)
ล าดบ ความเสยง ประเภทความเสยง ลกษณะความเสยง คาระดบความเสยง
5. ความเสยงจากกระแสไฟฟาขดของ ไฟฟาดบ แรงดนไฟฟาไมคงท จากการไฟฟานครหลวง
ความเสยงจากปจจยภายนอก
การเกดกระแสไฟฟาขดของหรอเกดแรงดนไฟฟาไมคงท ท าให เครองคอมพวเตอรและอปกรณไดรบความเสยหายจากแรงดนไฟฟา ทไมคงท หรอเมอกระแสไฟฟาขดของ ท าใหเครองคอมพวเตอรแมขาย ถกปดไปโดยไมสมบรณท าใหขอมลสารสนเทศบางสวนเกดการสญหาย และการใหบรการบางประเภทไมสามารถเปดใชงานไดโดยอตโนมต
12
6. ความเสยงจากการเกดไฟไหม น าทวม แผนดนไหว อาคารถลม
ความเสยงจากภยคกคามหรอภยพบต
การเกดไฟไหมอาคาร หรอแผนดนไหวจนอาคารถลม ไมสามารถเคลอนยายเครองคอมพวเตอรและอปกรณตางๆ ได สงผลท าใหระบบคอมพวเตอรและระบบเครอขายหลกไดรบความเสยหายบางสวนหรอไดรบความเสยหายทงหมด หรอการเกดน าทวมจนตองด าเนนการ ตดกระแสไฟฟาและไมสามารถใชงานระบบคอมพวเตอรและระบบเครอขายหลกได
10
7. ความเสยงจากการไดรบงบประมาณ ในการปรบปรง บ ารงรกษาและจดหาระบบงานสารสนเทศ ระบบเครอขาย ระบบคอมพวเตอรไมเพยงพอ
ความเสยงดานการบรหารจดการ
ระบบงานสารสนเทศและระบบคอมพวเตอรไมไดรบการปรบปรงใหมความทนสมยหรอความปลอดภยตามทผพฒนาระบบหรอบรษทผผลตไดก าหนดท าใหมความเสยงดานระบบงานไมสามารถสนบสนนการท างานปจจบนได
9
กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน กระทรวงพลงงาน
แผนบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน ประจ าปงบประมาณ 2561
30
ตารางท 4 ผลการวเคราะหความเสยง (Risk Analysis) – (ตอ)
ล าดบ ความเสยง ประเภทความเสยง ลกษณะความเสยง คาระดบความเสยง
8. ความเสยงจากการเชอมตอเครอขาย อนเทอรเนตลมเหลวหรอไมสามารถใชงานได
ความเสยงดานเทคนค พพ. ไมสามารถใชงานระบบเครอขายอนเทอรเนตในการรบ-สงขอมลตางๆ ได
8
9. ความเสยงจากการละเมดลขสทธ ความเสยงจากผปฏบตงาน การตดตงและใชงานซอฟตแวรทไมมลขสทธถกตองตามกฎหมาย 8 10. ความเสยงจากการตดตงระบบงานและฐานขอมล
ไวทเครอขายภายนอก พพ. ความเสยงดานเทคนค/ ความเสยงจากผปฏบตงาน
การบกรกโจมตโดยผไมประสงคด เชน Hacker เปนตน การดกจบขอมล การสงขอมลค าสงเจตนาราย การตดไวรสหรอเวรม การเปลยนแปลงแกไขขอมลบนเวบไซต หรอระบบฐานขอมล รวมไปถงการทระบบงาน ไมสามารถใชงานได อนเกดจากความบกพรองของผดแลระบบภายนอก พพ.
6
กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน กระทรวงพลงงาน
แผนบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน ประจ าปงบประมาณ 2561
31
10. การจดการความเสยง (Risk Management)
ส านกงาน กพร. ก าหนดใหความเสยงทจ าเปนตองน ามาพจารณาด าเนนการบรหารจดการความเสยงกอน โดยความเสยงทมระดบความเสยงมากกวา 16 ขนไปถอเปนความเสยงสงมาก (เอกสารแนบทาย ก.พ.ร., 2559, น.59-61) ดงนน คณะท างานบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสารไดวเคราะหระดบความเสยง โดยพจารณารวมกบบรบทความเสยงและแนวโนมการโจมตดานระบบสารสนเทศขางตน เหนวา พพ. ควรมการปองกนความเสยงทรดกมและมความปลอดภย สงกวาท กพร. ก าหนด เนองจากระบบสารสนเทศของ พพ. เปนเปาโจมตจากผไมหวงด คณะท างานฯ จงสรปวาเกณฑการพจารณาระดบความเสยงทตองน ามาด าเนนการบรหารจดการความเสยงคอ ความเสยงทมระดบความเสยงระดบต า (ตงแตระดบ 1 – 8) ถงความเสยงสงมาก (ตงแตระดบ 9 ขนไป) ซงสอดคลองกบขอก าหนดของ กพร. การด าเนนการบรหารจดการความเสยงแสดงดงตารางท 5
ตารางท 5 การจดการความเสยง (Risk Management)
รหส ความเสยง คาระดบ
ความเสยง คาระดบ
ความเสยงคงเหลอ กลยทธการจดการ
ความเสยง แนวทางการด าเนนการจดการความเสยง
TR10 ความเสยงจากคณภาพ ของระบบทจางพฒนาและ สงมอบใหกบ พพ.
20 2 x 3 = 6 - ควบคมความเสยง (มแผนควบคมความเสยง)
- จดท ารายละเอยดขอก าหนดเฉพาะใหเปนมาตรฐานกลางและก าหนดใหหนวยงานทจะจดจางพฒนาระบบสารสนเทศจะตอง น าขอก าหนดเฉพาะดงกลาว ระบในขอก าหนดการจางทกครง
- ควบคมและก ากบใหการด าเนนงานจดซอ/ จดจางใหเปนไป ตามระเบยบของ พพ. โดยหนวยงานจดซอ/ จดจางตองสงขอก าหนดใหเจาหนาทเทคนคของ พพ. พจารณากอนด าเนนการจดซอ/ จดจาง
กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน กระทรวงพลงงาน
แผนบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน ประจ าปงบประมาณ 2561
32
ตารางท 5 การจดการความเสยง (Risk Management) – (ตอ)
รหส ความเสยง คาระดบ
ความเสยง คาระดบ
ความเสยงคงเหลอ กลยทธการจดการ
ความเสยง แนวทางการด าเนนการจดการความเสยง
TR07 ความเสยงจากผใชงานสารสนเทศขาดความระมดระวงและ การตระหนกถงความส าคญ ของความปลอดภยดานสารสนเทศ
15 2 x 3 = 6 - ควบคมความเสยง (มแผนควบคมความเสยง)
- ฝกอบรม เผยแพรและประชาสมพนธขอมลเพอสรางความตระหนกในเรองของความมนคงปลอดภยสารสนเทศใหกบบคลากรของ พพ. อยางตอเนอง
- ก ากบดแลการปฏบตตามแนวปฏบตดานการรกษาความมนคงปลอดภยสารสนเทศอยางเครงครด
TR01 ความเสยงจากสภาพแวดลอม ความชนหรออณหภมในหองปฏบตการคอมพวเตอร
15 2 x 3 = 6 - ควบคมความเสยง (มแผนควบคมความเสยง)
- จดหาอปกรณวดความชน และอณหภมตดตงในหองปฏบตการคอมพวเตอร
- จดท าแผนการบ ารงรกษาเครองปรบอากาศในหองปฏบตการคอมพวเตอร
- ตรวจสอบรอยรวของทอน า หรอผนงเปนประจ า TR03 ความเสยงจากการถกบกรก
โดยผไมประสงคด การถกโจมตโดยไวรส (Virus) หรอมลแวร (Malware)
15 2 x 2 = 4 - ยอมรบความเสยง (มมาตรการตดตาม)
- ตรวจสอบการตงคาของ firewall, IPS อยางสม าเสมอ - บรหารจดการระบบตรวจสอบการบกรกเครอขายและตดตาม
เพอปรบปรงอยางสม าเสมอ - ตดตงโปรแกรมปองกนไวรสและ patch อยางสม าเสมอ - ตดตง patch ของระบบปฏบตการอยางสม าเสมอ
TR08 ความเสยงจากกระแสไฟฟาขดของ ไฟฟาดบ แรงดนไฟฟาไมคงทจากการไฟฟานครหลวง
12 3 x 2 = 6 - ยอมรบความเสยง (มมาตรการตดตาม)
- ตรวจสอบความพรอมของระบบส ารองไฟฟาอยางสม าเสมอ
กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน กระทรวงพลงงาน
แผนบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน ประจ าปงบประมาณ 2561
33
ตารางท 5 การจดการความเสยง (Risk Management) – (ตอ)
รหส ความเสยง คาระดบ
ความเสยง คาระดบ
ความเสยงคงเหลอ กลยทธการจดการ
ความเสยง แนวทางการด าเนนการจดการความเสยง
TR02 ความเสยงจากการเกดไฟไหม น าทวม แผนดนไหว อาคารถลม
10 2 x 2 = 4 - ควบคมความเสยง (มแผนควบคมความเสยง)
- ตรวจสอบความพรอมใชงานของอปกรณดบเพลง - จดท าแผนการเคลอนยายอปกรณตามล าดบความส าคญ - จดท าแผนรบสถานการณเพอใหสามารถด าเนนการได
อยางตอเนอง (Business Continuity Plan : BCP) TR06 ความเสยงจากการไดรบ
งบประมาณในการปรบปรงบ ารงรกษาและจดหาระบบงานสารสนเทศ ระบบเครอขาย ระบบคอมพวเตอรไมเพยงพอ
9 3 x 2 = 6 - ยอมรบความเสยง (มมาตรการตดตาม)
- มการส ารวจและรวบรวมความตองการงบประมาณอยางตอเนอง เพอการจดท างบประมาณในแตละป
- มการหารอ ชแจง และท าความเขาใจกบผบงคบบญชาในเรองงบประมาณทตองใชอยางชดเจน
- วางแผนการใชงบกองทนเปนแหลงเงนทนส ารอง ในกรณ ไมไดรบงบประมาณตามทไดวางแผนไว
TR04 ความเสยงจากการเชอมตอเครอขายอนเทอรเนตลมเหลวหรอไมสามารถใชงานได
8 2 x 1 = 2 - ยอมรบความเสยง (มมาตรการตดตาม)
- จดหาระบบเครอขายอนเทอรเนตส ารองเพอเปนชองทางใหระบบอนเทอรเนตใชงานไดอยางตอเนอง
- ตรวจสอบการเชอมตอเครอขายอนเทอรเนต
กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน กระทรวงพลงงาน
แผนบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน ประจ าปงบประมาณ 2561
34
ตารางท 5 การจดการความเสยง (Risk Management) – (ตอ)
รหส ความเสยง คาระดบ
ความเสยง คาระดบ
ความเสยงคงเหลอ กลยทธการจดการ
ความเสยง แนวทางการด าเนนการจดการความเสยง
TR05 ความเสยงจากการละเมดลขสทธ 8 1 x 2 = 2 - ยอมรบความเสยง - สรางความตระหนกในเรองนโยบายและแนวปฏบตดานความมนคงปลอดภยสารสนเทศ และการใชงานซอฟตแวรทมลขสทธถกตองตามกฎหมาย
- กระตนใหเกดการปฏบตตามแนวนโยบายหรอระเบยบดานสารสนเทศอยางจรงจง
TR09 ความเสยงจากการตดตงระบบงานและฐานขอมลไวทเครอขายภายนอก พพ.
6 2 x 2 = 4 - ยอมรบความเสยง (มมาตรการตดตาม)
- จดท ารายละเอยดขอก าหนดเฉพาะใหเปนมาตรฐานกลางและก าหนดใหหนวยงานทจะจดจางพฒนาระบบสารสนเทศจะตอง น าขอก าหนดเฉพาะดงกลาว ระบในขอก าหนดการจางทกครง
- กรณทมความจ าเปนจะตองตดตงระบบงานและฐานขอมล ไวทเครอขายภายนอก พพ. จะตองมการส ารวจและประเมน ความปลอดภยของอปกรณและสถานท รวมทงการประกน ความเสยงให พพ. ตามท พพ. ก าหนด
- ตรวจสอบระบบงานใหไดมาตรฐานในการพฒนาซอฟตแวร ตามค าแนะน าของ OWASP-Top 10 Web Application Security Risks เพอลดความเสยง
- ระบบงานใดๆ ทตดตงภายนอก พพ. ใหด าเนนการตดตงระบบงานภายใตโครงการบรการคลาวดภาครฐของส านกงานรฐบาลอเลกทรอนกสเปนหลก เพอความปลอดภยและเพอใหสอดคลองกบนโยบายภาครฐ
กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน กระทรวงพลงงาน
แผนบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน ประจ าปงบประมาณ 2561
35
แผนภมความเสยงดานสารสนเทศคงเหลอหลงควบคม
5 RIT02 RIT01 RIT03
RIT10
4 RIT04 RIT05
RIT08
3
RIT09 TR01 TR07 TR10
RIT06
RIT07
2 TR05 TR02 TR03 TR09
TR06 TR08
1 TR04
1 2 3 4 5
รปท 5 แผนภมความเสยงดานสารสนเทศคงเหลอหลงควบคม
หลงจากก าหนดแนวทางบรหารจดการความเสยง และควบคมความเสยงตางๆ คาประเมนระดบความเสยงคงเหลออยในเกณฑความเสยงต า (สามารถยอมรบได) ซงเปนเกณฑทสามารถยอมรบไดแสดงดงรปท 5
คณะท างานบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร ไดจดท าแผนบรหารความเสยง เพอใชในการตดตามและควบคมความเสยงตางๆ ใหเปนไปตามแนวทางทวางไว และมแผนการด าเนนงาน ทรดกมสามารถน าไปเปนกรอบในการปฏบตไดดงน
ผลกระท
บ/ความรน
แรง
ความเสยงปานกลาง
ความเสยงตา (สามารถยอมรบได)
ความเสยงสงมาก สแดง
โอกาสทจะเกด/ความถ
สสม ความเสยงสง
สเหลอง
สขาว
กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน กระทรวงพลงงาน
แผนบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน ประจ าปงบประมาณ 2561
36
11. แผนปฏบตการบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร
จากการจดการความเสยงสามารถน ามาจดท าแผนปฏบตการบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร โดยมหนวยงานรบผดชอบคอ ศนยสารสนเทศขอมลพลงงานทดแทนและอนรกษพลงงาน (ศสข.) ระยะเวลาด าเนนการระหวางเดอนตลาคม 2560 – กนยายน 2561 ไดดงน
ตารางท 6 แผนปฏบตการบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร
ประเภทความเสยง แนวทางการควบคม ผรบผดชอบ
หลก ระยะเวลา
เรมตน/ สนสด ป พ.ศ. 2560 ป พ.ศ. 2561
ต.ค. พ.ย. ธ.ค. ม.ค. ก.พ. ม.ค. เม.ย. พ.ค. ม.ย. ก.ค. ส.ค. ก.ย. 1. ความเสยงจากผใชงาน
สารสนเทศขาดความระมดระวงและการตระหนกถงความส าคญของความปลอดภย ดานสารสนเทศ
- จดใหม KM ดานความมนคงปลอดภยสารสนเทศ
- ตดตามตรวจสอบใหเปนไปตามแนวปฏบต
- ผลกดนแนวปฏบตฯ ใหผานการตรวจสอบของ กพร.
- พส. - ทส. - ทส.
- ตลอดป - ตลอดป - ตลอดป
2. ความเสยงจากคณภาพของระบบทจางพฒนาและสงมอบใหกบ พพ.
- ก าหนดรายละเอยดขอก าหนดเฉพาะใหเปนมาตรฐานกลางและก าหนดใหหนวยงานทจะจดจางพฒนาระบบสารสนเทศจะตองน าขอก าหนดเฉพาะดงกลาว ระบในขอก าหนดการจางทกครง
- พส. - ทกครงทมการจดซอ/จดจางพฒนาระบบ
กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน กระทรวงพลงงาน
แผนบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน ประจ าปงบประมาณ 2561
37
ตารางท 6 แผนปฏบตการบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร – (ตอ)
ประเภทความเสยง แนวทางการควบคม ผรบผดชอบหลก ระยะเวลา
เรมตน/ สนสด ป พ.ศ. 2559 ป พ.ศ. 2560
ต.ค. พ.ย. ธ.ค. ม.ค. ก.พ. ม.ค. เม.ย. พ.ค. ม.ย. ก.ค. ส.ค. ก.ย. - ควบคมและก ากบใหการ
ด าเนนงานจดซอ/ จดจางใหเปนไปตามระเบยบของ พพ. โดยหนวยงานจดซอ/ จดจางตองสงขอก าหนดใหเจาหนาทเทคนคของ พพ. พจารณากอนด าเนนการจดซอ/ จดจาง
- จดใหมการอบรมประชาสมพนธขอมล เพอสรางความตระหนกในเรองของความมนคงปลอดภยสารสนเทศใหกบบคลากรของ พพ. อยางตอเนอง
- ตดตามตรวจสอบใหเปนไปตามแนวปฏบต
- ผลกดนแนวปฏบตฯ ใหผานการตรวจสอบของ กพร.
- บท. - พส. - ทส. - ทส.
- ทกครงทมการจดซอ/จดจาง พฒนาระบบ
- ตลอดป - ตลอดป - ตลอดป
กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน กระทรวงพลงงาน
แผนบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน ประจ าปงบประมาณ 2561
38
ตารางท 6 แผนปฏบตการบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร – (ตอ)
ประเภทความเสยง แนวทางการควบคม ผรบผดชอบหลก ระยะเวลา
เรมตน/ สนสด ป พ.ศ. 2559 ป พ.ศ. 2560
ต.ค. พ.ย. ธ.ค. ม.ค. ก.พ. ม.ค. เม.ย. พ.ค. ม.ย. ก.ค. ส.ค. ก.ย. 3. ความเสยงจาก
สภาพแวดลอม ความชนหรออณหภมใหหองปฏบตการคอมพวเตอร
- จดหาอปกรณวดความชน และอณหภมตดตงในหองปฏบตการคอมพวเตอร
- จดท าแผนการบ ารงรกษาเครองปรบอากาศในหองปฏบตการคอมพวเตอร
- ตรวจสอบรอยรวของทอน า หรอผนงเปนประจ า
- ทส. - ทส. - ทส.
- ต.ค. - ธ.ค. - ต.ค. - ธ.ค. - ทก 3 เดอน
4. ความเสยงจากการถก บกรกโดยผไมประสงคด การถกโจมตโดยไวรส (Virus) หรอมลแวร (Malware)
- การท าทดสอบการเจาะระบบ (PEN Testing)
- การตดตง Anti-Virus บนเครองคอมพวเตอร แมขาย และเครองคอมพวเตอรลกขาย
- พส. /ทส. /บภ. - พส. /ทส.
- ปละ 1 ครง - ทกครงท
จดซอเครองคอมพวเตอรแมขาย
กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน กระทรวงพลงงาน
แผนบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน ประจ าปงบประมาณ 2561
39
ตารางท 6 แผนปฏบตการบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร – (ตอ)
ประเภทความเสยง แนวทางการควบคม ผรบผดชอบหลก ระยะเวลา
เรมตน/ สนสด ป พ.ศ. 2559 ป พ.ศ. 2560
ต.ค. พ.ย. ธ.ค. ม.ค. ก.พ. ม.ค. เม.ย. พ.ค. ม.ย. ก.ค. ส.ค. ก.ย. 5. ความเสยงจาก
กระแสไฟฟาขดของ ไฟฟาดบ แรงดนไฟฟาไมคงท จากการไฟฟานครหลวง
- ตรวจสอบความพรอมของระบบส ารองไฟฟา โดยมเจาหนาทดแลประจ า
- ทส. - ทก 6 เดอน
6. ความเสยงจากการตดตงระบบงานและฐานขอมลไวทเครอขายภายนอก พพ.
- ก าหนดรายละเอยดขอก าหนดเฉพาะใหเปนมาตรฐานกลางและก าหนดใหหนวยงานทจะจดจางพฒนาระบบสารสนเทศจะตองน าขอก าหนดเฉพาะดงกลาว ระบในขอก าหนดการจางทกครง
- พส.
- ทกครงทตรวจรบระบบงาน
กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน กระทรวงพลงงาน
แผนบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน ประจ าปงบประมาณ 2561
40
ตารางท 6 แผนปฏบตการบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร – (ตอ)
ประเภทความเสยง แนวทางการควบคม ผรบผดชอบ
หลก ระยะเวลา
เรมตน/ สนสด ป พ.ศ. 2559 ป พ.ศ. 2560
ต.ค. พ.ย. ธ.ค. ม.ค. ก.พ. ม.ค. เม.ย. พ.ค. ม.ย. ก.ค. ส.ค. ก.ย.
- กรณทมความจ าเปนจะตองตดตงระบบงานและฐานขอมลไวทเครอขายภายนอก พพ. จะตองมการส ารวจและประเมนความปลอดภยของอปกรณและสถานท รวมทงการประกนความเสยงให พพ. ตามท พพ. ก าหนด
- ยายระบบงานเขามาไวท พพ. หรอ สรอ. ทงหมด (1 ระบบ คอระบบหองสมด)
- พส. /ทส.
- พส. /ทส.
- ทกครงทตรวจรบระบบงาน
กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน กระทรวงพลงงาน
แผนบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน ประจ าปงบประมาณ 2561
41
ตารางท 6 แผนปฏบตการบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร – (ตอ)
ประเภทความเสยง แนวทางการควบคม ผรบผดชอบ
หลก ระยะเวลา
เรมตน/ สนสด ป พ.ศ. 2559 ป พ.ศ. 2560
ต.ค. พ.ย. ธ.ค. ม.ค. ก.พ. ม.ค. เม.ย. พ.ค. ม.ย. ก.ค. ส.ค. ก.ย. 7. ความเสยงจากการเกด
ไฟไหม น าทวม แผนดนไหว อาคารถลม
- ตรวจสอบความพรอม ใชงานของอปกรณดบเพลง โดยเจาหนาทประจ า
- จดท าแผนการเคลอนยายอปกรณตามล าดบความส าคญ
- จดท าแผนรบสถานการณเพอใหสามารถด าเนนการได
อยางตอเนอง (Business Continuity Plan : BCP)
- ทส. /อร.
- พส.
- กพร. /ส านกฯ/กองฯ/ศนยฯ
- ทก 6 เดอน
- ต.ค.
- ต.ค. - ม.ย.
8. ความเสยงจากการไดรบงบประมาณในการปรบปรง บ ารงรกษาและจดหาระบบงาสารสนเทศ ระบบเครอขายระบบคอมพวเตอรไมเพยงพอ
- ผลกดนการจดสรรงบประมาณในสวนการปรบปรง/พฒนาระบบเพมเตม นอกจากการบ ารงรกษา
- บท. - ม.ย. - ส.ค.
กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน กระทรวงพลงงาน
แผนบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน ประจ าปงบประมาณ 2561
42
ตารางท 6 แผนปฏบตการบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร – (ตอ)
ประเภทความเสยง แนวทางการควบคม ผรบผดชอบหลก ระยะเวลา
เรมตน/ สนสด ป พ.ศ. 2559 ป พ.ศ. 2560
ต.ค. พ.ย. ธ.ค. ม.ค. ก.พ. ม.ค. เม.ย. พ.ค. ม.ย. ก.ค. ส.ค. ก.ย. 9. ความเสยงจากการ
เชอมตอเครอขาย อนเทอรเนตลมเหลวหรอไมสามารถใชงานได
- เจรจากบผใหบรการ ในการขอใชระบบเครอขายส ารอง
- ทส. - ก.ย.
10. ความเสยงจากการละเมดลขสทธ
- ควบคมและปองกนไมใหมการตดตงซอฟตแวรทไมมลขสทธถกตอง
- ทส.
- ตลอดทงป
หมายเหต สญลกษณ หมายถง ด าเนนการในเดอนทระบใหเสรจสน
สญลกษณ หมายถง ด าเนนการในชวงเดอนทระบใหเสรจสน
สญลกษณ หมายถง ด าเนนการเปนประจ าตลอดชวงเดอนทระบอยางนอย เดอนละ 1 ครง