แผนบริหารความเส ี่ยงด้านระบบ ......1.2.2...

แผนบรหารความเสยงดานระบบเทคโนโลยสารสนเทศ (IT Risk Management Plan)

สานกงานนโยบายและแผนการขนสงและจราจร

ศนยเทคโนโลยสารสนเทศการขนสงและจราจร สานกงานนโยบายและแผนการขนสงและจราจร

กนยายน 2557

แผนบรหารจดการความเสยงดานเทคโนโลยสารสนเทศของ สนข. ประจาป 2558 ‐I-

สานกงานนโยบายและแผนการขนสงและจราจร (สนข.)

คานา

แผนบรหารความเสยงดานระบบเทคโนโลยสารสนเทศของสานกงานนโยบายและแผนการขนสงและจราจร (สนข.) ฉบบน จดทาขนเพอเปนกรอบแนวทางในการดาเนนงานการบรหารความเสยงดานระบบเทคโนโลยสารสนเทศ ในการระบความเสยง วเคราะหความเสยง และการกาหนดแนวทางหรอมาตรการควบคมเพอปองกนหรอลดความเสยง โดยมงหวงใหสวนราชการบรรลผลตามเปาประสงคขององคกร เนองจากความเสยงอาจนาไปสผลเสยหรอความสญเสยไดทงทางตรงและทางออม องคกรจงตองเขาใจประเภทของความเสยงทเผชญอยเพอทจะไดเลอกวธการทเหมาะสมในการบรหารความเสยงเหลานนไดอยระดบทองคกรสามารถรองรบได และทาใหองคกรบรรลวตถประสงคไดอยางมประสทธภาพมากขนศนยเทคโนโลยสารสนเทศการขนสงและจราจร หวงเปนอยางยงวาแผนบรหารความเสยงดานระบบเทคโนโลยสารสนเทศของ สนข. ฉบบน จะชวยใหผรบผดชอบใชเปนแนวทางในการลดความเสยหายตางๆ ทอาจเกดขนและสงผลตอกระบวนการบรหารงานดานเทคโนโลยสารสนเทศของ สนข. ตอไป

ศนยเทคโนโลยสารสนเทศการขนสงและจราจร สานกงานนโยบายและแผนการขนสงและจราจร

กนยายน 2557

แผนบรหารจดการความเสยงดานเทคโนโลยสารสนเทศของ สนข. ประจาป 2558 ‐II-


สารบญ

คานา I สารบญ II บทท 1 บทนา 1

1.1 หลกการและเหตผล 1 1.2 วตถประสงคของการจดทาแผนบรหารความเสยง 1 1.3 เปาหมาย 1 1.4 ขอบเขตการดาเนนงาน 1 1.5 ประโยชนทคาดวาจะไดรบ 1 1.6 ระยะเวลาดาเนนการ 2 1.7 ผรบผดชอบ 2 1.8 ทปรกษา 2

บทท 2 การบรหารความเสยงดานเทคโนโลยสารสนเทศ 3 2.1 สภาพแวดลอมดานเทคโนโลยสารสนเทศ 3 2.2 กระบวนการบรหารความเสยง 3 2.3 ความเสยงดานเทคโนโลยสารสนเทศ 7 2.4 การตอบสนองความเสยง 8 2.5 ปจจยเสยง 9 2.6 การประเมนความเสยหาย 9 2.7 การตดตามและรายงานผล 9 2.8 ระบบรกษาความปลอดภยบนเครอขายคอมพวเตอร 10

บทท 3 การวเคราะหการบรหารจดการความเสยงดานเทคโนโลยสารสนเทศของ สนข. 11 3.1 แผนภมแนวทางและขนตอนการบรหารความเสยง 11 3.2 กระบวนการจดทาการบรหารความเสยงดานระบบเทคโนโลยสารสนเทศ 12 3.3 การวเคราะหความเสยงดานระบบเทคโนโลยสารสนเทศ 13

3.4 ผลการประเมนแผนบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร 15 3.5 แผนปฏบตการบรหารความเสยงดานระบบเทคโนโลยสารสนเทศของ สนข. พ.ศ. 2558 24

บทท 4 สรปผลและขอเสนอแนะ 26 4.1 การวเคราะหปจจยเสยงดานระบบเทคโนโลยสารสนเทศ 26 4.3 สรป 27 4.4 ขอเสนอแนะ 27

แผนบรหารจดการความเสยงดานเทคโนโลยสารสนเทศของ สนข. ประจาป 2558 -1-


บทท 1 บทนา

1.1 หลกการและเหตผล การบรหารความเสยงเปนเครองมอทางกลยทธทสาคญตามหลกการกากบดแลกจการทด โดยจะชวยให

การบรหารงานและการตดสนใจดานตางๆ เชน การวางแผน การกาหนดกลยทธ การตดตามควบคม และวดผลการปฏบตงาน ตลอดจนการใชทรพยากรตางๆ อยางเหมาะสมและมประสทธภาพมากขน ลดการสญเสยและโอกาสททาใหเกดความเสยหายแกองคกร โดยเฉพาะอยางยงในดานเทคโนโลยสารสนเทศทเขามามบทบาทสาคญในการดาเนนงานของหนวยงานภายในองคกร ทงการจดเกบขอมลการใชงานอปกรณคอมพวเตอรการตดตอสอสารผานระบบเครอขาย และวธการปฏบตงานระบบเทคโนโลยสารสนเทศตางๆ ภายใตสภาวะการดาเนนงานของทกๆ องคกรลวนแตมความเสยง ซงกคอความไมแนนอนทจะสงผลกระทบตอการดาเนนงานหรอเปาหมายขององคกร ดงนน สานกงานนโยบายและแผนการขนสงและจราจร (สนข .) จงจาเปนตองมการจดการความเสยงเหลานนอยางเปนระบบ โดยการระบความเสยงวามปจจยเสยงใดบางทกระทบตอการดาเนนงานหรอเปาหมายขององคกร วเคราะหความเสยงจากโอกาสและผลกระทบทเกดขน จดลาดบความสาคญของปจจยเสยงแลวกาหนดแนวทางในการจดการความเสยง โดยตองคานงถงความคมคาในการจดการความเสยงอยางเหมาะสม

1.2 วตถประสงคของการจดทาแผนบรหารความเสยง 1.2.1 เพอเตรยมความพรอมและรองรบสถานการณฉกเฉน ทอาจจะเกดขนกบระบบฐานขอมลและ

ระบบเทคโนโลยสารสนเทศ 1.2.2 เพอเปนแนวทางในการดแลรกษาระบบความมนคงปลอดภยของระบบฐานขอมลและระบบ

เทคโนโลยสารสนเทศใหมเสถยรภาพ และมความพรอมสาหรบการใชงาน 1.2.3 เพอใหการปฏบตงานเปนไปอยางมระบบและตอเนอง และสามารถแกไขสถานการณไดอยาง

ทนทวงท กรณเกดสถานการณความไมแนนอนและภยพบต

1.3 เปาหมาย มแผนบรหารจดการความเสยงดานเทคโนโลยสารสนเทศของ สนข.

1.4 ขอบเขตการดาเนนงาน เปนการบรหารจดการความเสยงดานเทคโนโลยสารสนเทศ ภายในความรบผดชอบของศนยเทคโนโลย

สารสนเทศการขนสงและจราจร สนข.

1.5 ประโยชนทคาดวาจะไดรบ 1.5.1 มความพรอมในการรองรบสถานการณฉกเฉนทอาจเกดขนกบระบบฐานขอมลและระบบ

เทคโนโลยสารสนเทศ 1.5.2 มแนวทางในการดแลรกษาระบบความมนคงปลอดภยของระบบฐานขอมลและระบบเทคโนโลย

สารสนเทศใหมเสถยรภาพ และมความพรอมสาหรบการใชงาน



1.6 ระยะเวลาดาเนนการ

ลาดบท กจกรรม ปงบประมาณ ๒๕๕7 หนวยงาน

รบผดชอบ เม.ย. พ.ค. ม.ย. ก.ค. ส.ค. ก.ย.

๑ ศกษาขอมลในการจดทาแผนบรหารจดการความเสยงดานเทคโนโลยสารสนเทศ

ศทท. (กพท.)

2 วเคราะหความเสยงดานเทคโนโลยสารสนเทศ จดทาแผนบรหารจดการความเสยงดานเทคโนโลยสารสนเทศ

ศทท. (กพท.)

3 สรปผลการประเมน ศทท. (กพท.)

1.7 ผรบผดชอบ

1.7.1 นายวระชน วะชม นกวชาการคอมพวเตอรชานาญการ 1.7.2 นางสาวนปรน คาแสง นกวชาการคอมพวเตอรชานาญการ 1.7.3 นางสาวศภรตน สมแสน นกวชาการคอมพวเตอรชานาญการ 1.7.4 นายนฤทธ มยรตน นกวชาการคอมพวเตอรชานาญการ 1.7.5 นายทนงชย ยศชยพงษ นายชางเขยนแบบชานาญงาน 1.7.6 นายพสทธ นลมวง พนกงานบรการเอกสารทวไป

1.8 ทปรกษา

1.8.1 นางวไลรตน ศรโสภณศลป ผอานวยการศนยเทคโนโลยสารสนเทศการขนสงและจราจร 1.8.2 นายสมชาย ภนาส หวหนากลมพฒนาระบบคอมพวเตอรและเครอขาย



บทท 2 การบรหารความเสยงดานเทคโนโลยสารสนเทศ

2.1 สภาพแวดลอมดานเทคโนโลยสารสนเทศ ระบบฐานขอมลสารสนเทศและโปรแกรมปฏบตการ (Database & Software) เชน ฐานขอมลดาน

การขนสงและจราจร ฐานขอมลบคลากร ฐานขอมลการตดตามผลการดาเนนงานตามแผนยทธศาสตร ฐานขอมลการเงนงบประมาณ และฐานขอมลคมทะเบยนทรพยสน เปนตน

ระบบฐานขอมลบรหารงานภายใน (Back Office) หรอระบบฐานขอมลงานบรหารสานกงานอตโนมต (e-Office) ไดแก ฐานขอมลระบบสานกงานอเลกทรอนกส (e-Office) ฐานขอมลระบบสารบรรณอเลกทรอนกส (e-Document) ฐานขอมลสารสนเทศทรพยากรบคคล และฐานขอมลครภณฑคอมพวเตอร เปนตน

ระบบการใหบรการบนเครอขายคอมพวเตอร ไดแก โปรแกรมปองกนไวรสและการถกโจมตจากบคคลภายนอก (Anti-Virus) โปรแกรมระบบปฏบตการจดการเครอขาย (Network Software) และโปรแกรมปฏบตการบนหนาจอเวบไซต (Web Application Program) เปนตน

อปกรณคอมพวเตอร (Hardware) เชน เครองคอมพวเตอรแมขายระบบเครอขาย (Network Server) เครองคอมพวเตอรแมขายระบบฐานขอมล (Database Server) เครองคอมพวเตอรแมขายทใชจดเกบและสารองขอมล (Storage Server) เครองแมขายสาหรบใหบรการเวบไซต (Web Server) อปกรณปองกนการจโจมขอมลจากบคคลภายนอก (Firewall) เครองไมโครคอมพวเตอร เครองคอมพวเตอรชนดพกพา (Notebook) เครองสแกนเนอร (Scanner) เครองพมพเลเซอร (Laser Printer) เครองพมพแบบพนหมก (Ink-Jet Printer) อปกรณสารองไฟฟาสาหรบคอมพวเตอร (UPS) อปกรณกระจายสญญาณเครอขาย (Switching) และอปกรณกระจายสญญาณเครอขายชนดไรสาย (Wireless Access point) เปนตน

2.2 กระบวนการบรหารความเสยง เปนกระบวนการทใชในการระบ วเคราะห ประเมนและจดระดบความเสยง ทมผลกระทบตอการบรรล

วตถประสงคของกระบวนการทางานของหนวยงานหรอขององคกร และการบรหาร/จดการความเสยง รวมทง การกาหนดแนวทางการดาเนนงานหรอมาตรการควบคมหรอปองกนหรอลดความเสยง ซงมขนตอนการดาเนนการหลกเกณฑในการวเคราะหอยางเหมาะสม โดยครอบคลม 5 ขนตอน ดงน

รปท 1 แสดงกระบวนการบรหารความเสยง



2.2.1 การระบความเสยงหรอปจจยเสยง เปนกระบวนการทผบรหารและผปฏบตงานรวมกนระบความเสยงและปจจยเสยงทเกยวของ

โครงการ/กจกรรม เพอใหทราบถงเหตการณทเปนความเสยง ทอาจมผลกระทบตอการบรรลผลสาเรจตามวตถประสงค ซงตองคานงถงสภาพแวดลอมทงภายนอกและภายในองคกร

วธการในการระบความเสยงมหลายวธ เชน 2.2.1.1 การระดมสมองเพอใหไดความเสยงทหลากหลาย 2.2.1.2 การใช Checklist 2.2.1.3 การวเคราะหสถานการณจากการตงคาถาม “What-if” 2.2.1.4 การวเคราะหขนตอนการปฏบตงานในแตละขนตอน ในขนตอนน ควรมการเกบขอมลความสญเสยทเกดขนในรปของความถของการเกดความสญเสย

และความรนแรงของความสญเสย รวมทงขอมลการดาเนนการใดๆ เพอลดความสญเสยทเกดขนในอดต ทงทประสบผลสาเรจ และปญหาอปสรรคซงจะเปนประโยชนในการดาเนนการตอไป

2.2.2 การวเคราะหและประเมนความเสยง การประเมนความเสยงเปนกระบวนการทประกอบดวยการวเคราะห การประเมน และ การจด

ระดบความเสยง ประกอบดวย 4 ขนตอน คอ 2.2.2.1 การกาหนดเกณฑการประเมนมาตรฐาน เปนเกณฑทจะใชประเมนความเสยง

ไดแก โอกาสทจะเกดความเสยง (Likelihood) ระดบความรนแรงของผลกระทบ (Impact) และระดบของความเสยง (Degree of Risk) คณะกรรมการบรหารความเสยงตองกาหนดเกณฑของหนวยงานขน ซงอาจกาหนดไดทงเกณฑเชญปรมาณและเชงคณภาพ การกาหนดเกณฑของโอกาสทเกดความเสยงอาจกาหนดเปนเกณฑ 5 ระดบ (สงมาก/รนแรงมากทสด สง/คอนขางรนแรง ปานกลาง นอย และ นอยมาก) สวนระดบของความเสยงอาจกาหนดเปนเกณฑ 4 ระดบ (สงมาก สง ปานกลาง และ นอย)

2.2.2.2 การประเมนโอกาสและผลกระทบของความเสยง เปนการนาความเสยงและปจจยเสยงแตละปจจยทระบไวมาประเมนโอกาสทจะเกดเหตการณความเสยงเหลานนและประเมนระดบความรนแรงหรอมลคาความเสยหายจากความเสยงตามเกณฑมาตรฐานทกาหนดเพอใหเหนระดบความเสยง ซงแตละความเสยง กจะมความรนแรงแตกตางกน ทงนการควบคมความเสยงหรอหลกเลยงความเสยงนน กจะขนอยกบมาตรการควบคมความเสยงของแตละหนวยงาน โดยมการประเมนใน 2 มต ไดแก มตผลกระทบ และมตโอกาสของความเสยงทจะเกดขน

เกณฑการประเมนผลกระทบ (ความนาเชอถอ/ความพงพอใจของผใชบรการ) เปนดงน ระดบ การประเมน 1 นอยมาก (แทบไมมผลกระทบเลย) 2 นอย (เจาหนาทไดรบเสยงบนหรอถกตาหน) 3 ปานกลาง (เจาหนาทถกรองเรยนหรอถกลงโทษทางวนย) 4 สง (ผบรหารถกตาหนหรอถกรองเรยน) 5 สงมาก (ผบรหารถกลงโทษทางวนย)



เกณฑการประเมนโอกาสของการเกดความเสยง เปนดงน ระดบ การประเมน 1 เกดขนนอยมาก นานๆครง (แทบไมเกดขนเลย) 2 เกดขนนอย ไมบอย (อาจเกดขนไดทก ๕ ป) 3 เกดขนปานกลาง (อาจเกดขนไดทกป) 4 เกดขนสง หรอ บอย (อาจเกดขนไดทกเดอน) 5 เกดขนสงมาก หรอ บอยมาก (อาจเกดขนไดทกวน)

2.2.2.3 การวเคราะหความเสยง เปนการดความสมพนธระหวางโอกาสทจะเกดความเสยงและผลกระทบของความเสยงตอองคกร วาจะกอใหเกดระดบความเสยงในระดบใด โดยใชตารางระดบความเสยงสงสดทจะตองบรหารจดการกอน ดงรปท 2

รปท 2 แสดงแผนผงประเมนความเสยง

2.2.2.4 การจดลาดบความเสยง เปนการจดลาดบความรนแรงของความเสยงทผลตอองคกร เพอพจารณากาหนดกจกรรมการควบคมในแตละสาเหตของความเสยงทสาคญใหเหมาะสม โดยพจารณาจากระดบความเสยงทประเมนไดแลว เลอกความเสยงทมระดบสงมากหรอสง มาจดทาแผนการบรหารความเสยงกอน

2.2.3 การกาหนดมาตรการจดการความเสยงอยางรดกม มการวางแผนโดยกาหนดมาตรการเพอควบคมผลกระทบของความเสยงเพอใหสามารถบรรล

เปาหมาย หรอใกลเคยงกบเปาหมายทกาหนดไวในการวางแผน จะตองมการกาหนดกลยทธในการควบคมผลกระทบของความเสยงทอาจเกดขน เพอทจะลดและตรวจหาความเสยงทไดประเมนเอาไว โดยใหมการแตงตงเจาหนาทผรบผดชอบเปนผดแลรกษาความมนคงปลอดภยของระบบ และปองกน/แกไข/ควบคมความเสยงไมให มผลกระทบตอระบบทวางไว โดยสามารถดาเนนการตามแผนได การควบคมอาจแบงไดเปน 4 ประเภท คอ

2.2.3.1 ควบคมเพอความปองกน (Preventive Control) เปนวธการควบคมเพอปองกนไมใหเกดความเสยงและขอผดพลาดตงแตแรก เชน การอนมต การจดโครงสรางองคกร การควบคมและการเขาถงเอกสาร เปนตน

2.2.3.2 การควบคมเพอใหตรวจพบ (Detective Control) เปนวธการควบคมเพอคนหาขอผดพลาดทเกดขนแลว เชน การวเคราะห การตรวจนบและการรายงานขอบกพรอง เปนตน



2.2.3.3 การควบคมโดยการชแนะ (Direction Control) เปนวธควบคมทสงเสรมหรอกระตนใหเกดความสาเรจตามวตถประสงค

2.2.3.4 การควบคมเพอการแกไข (Corrective Control) เปนวธการควบคมเพอแกไขขอผดพลาดทเกดขนใหถกตอง หรอหาวธแกไขไมใหเกดขอผดพลาดนนซาอกในอนาคต

หลงจากประเมนความเสยงแลว จะตองวเคราะหการควบคมทมอยวาไดมการจดการควบคมเพอลดความเสยงดงกลาวหรอไม โดยนาผลการจดระดบความเสยงในระดบสงมากและสง มาประเมนมาตรการควบคมเปนอนดบแรก โดยใชขนตอนดงน

1) นาปจจยเสยงทอยในระดบสงมากหรอสง มากาหนดวธควบคมทควรจะม เพอปองกนความเสยงหรอปจจยเสยงเหลานน

2) พจารณาหรอประเมนวาในปจจบนความเสยงหรอปจจยเสยงนนมการควบคมอยแลวหรอไม 3) ถามการควบคมแลว ใหประเมนตอไปวาการควบคมนนไดผลตามความตองการหรอไม

2.2.4 การตดตาม รายงานและประเมนผลการดาเนนการตามมาตรการจดการความเสยงทกาหนดไว การตดตามผลการดาเนนงาน การนากลยทธ มาตรการ หรอแนวทางมาใชปฏบต เพอลดโอกาส

ทเกดความเสยง หรอลดความเสยหายของผลทอาจเกดขนจากความเสยงในโครงการ/กจกรรมทยงไมมกจกรรมควบคมความเสยงหรอมแตไมเพยงพอ และนามาวางแผนจดการความเสยง ซงทางเลอกในการบรหารความเสยง มหลายวธสามารถปรบเปลยนหรอนามาผสมผสานใหเหมาะสมกบสถานการณ อาจเปนการยอมรบความเสยง การลด/การควบคมความเสยง การกระจายความเสยง หรอการหลกเลยงความเสยงและเมอองคกรทราบความเสยงทยงเหลออยจากการประเมนความเสยงและการประเมนการควบคมแลวใหพจารณาความเปนไปไดและคาใชจายแตละทางเลอกเพอตดสนใจเลอกมาตรการลดความเสยงทเหมาะสมโดยพจารณาจากประเดนตางๆ ดงน

2.2.4.1 พจารณาวายอมรบความเสยง หรอจะกาหนดกจกรรมควบคมเพอลดความเสยงใหอยในระดบทยอมรบได

2.2.4.2 เปรยบเทยบคาใชจายหรอตนทนในการจดการใหมมาตรการควบคมกบผลประโยชนทจะไดรบจากมาตรการดงกลาววาคมคาหรอไม

2.2.4.3 กรณเลอกกาหนดกจกรรมควบคมเพอลดความเสยง ใหกาหนดวธควบคมในแผนบรหารความเสยง

2.2.4.4 ในรอบปตอไป ใหพจารณาผลการบรหารความเสยงในงวดกอนทดาเนนการมาบรหารความเสยงตามกระบวนการเหลานน หากพบวายงมความเสยงทมนยสาคญซงอาจมผลตอการบรรลวตถประสงคและเปาหมายตามแผนปฏบตงานขององคกร ใหนามาระบการควบคมในแผนบรหารความเสยงดวย

การรายงานผลการวเคราะหประเมนและบรหารจดการความเสยง วามความเสยงทยงเหลออยหรอไม ถายงมเหลออย มอยในระดบความเสยงสงมากเพยงใด และมวธการจดการความเสยงนนอยางไรเสนอตอผบรหารเพอทราบและสงการ

2.2.5 การทบทวนการบรหารความเสยงโดยระบกรอบเวลาในการทบทวนอยางชดเจน เปนการตดตามภายหลงจากไดดาเนนการตามแผนการบรหารความเสยง วามความเสยงแลว

เพอใหมนใจวาแผนการบรหารความเสยงนนมประสทธภาพ ทงน เพอประเมนคณภาพและความเหมาะสมของวธการจดการความเสยงทใช และเปนการตรวจสอบความคบหนาของมาตรการควบคม โดยอาจตดตามผลเปนรายครงตามรอบระยะเวลา หรอการตดตามผลในระหวางการปฏบตงาน



2.3 ความเสยงดานเทคโนโลยสารสนเทศ สานกงานนโยบายและแผนการขนสงและจราจรไดกาหนดประเภทความเสยงดานเทคโนโลยสารสนเทศ

และการสอสาร ตามแนวทางของ COSO (Committee of Sponsoring Organization) ออกไดเปน 8 ประเภท ดงน 2.3.1 ความเสยงดานกายภาพและสงแวดลอม (Physical and Environment Risk)

หมายถง ความเสยงทเกดจากภยคกคามทงภยจากธรรมชาต และภยทมนษยทาขน เชน วาตภย อทกภย อคคภย ฟาผา กระแสไฟฟาขดของ การชมนมประทวง การกอการราย รวมถงการไมมระบบรกษาความปลอดภยหองปฏบตการระบบเครอขายและคอมพวเตอร เครองคอมพวเตอรแมขาย และระบบสอสารทมประสทธภาพเพยงพอ

2.3.2 ความเสยงดานบคลากร (Human Risk) หมายถง ความเสยงทเกดจากบคลากรทเกยวของกบการดาเนนงานดานเทคโนโลยสารสนเทศ

และการสอสาร ทงในดานการวางแผน การตรวจสอบการทางาน การมอบหมายหนาทและสทธของบคลากร และคณะทางานทมสวนเกยวของกบการดาเนนการทกฝายอยางละเอยด เพอใหบคลากรมความร ความเขาใจในการใชงาน การดแลรกษาความปลอดภยระบบเทคโนโลยสารสนเทศและการสอสาร รวมทงบคลากรภายนอกทเกยวของทงทางตรงและทางออม ซงลวนแตเปนความเสยงทงสน

2.3.3 ความเสยงดานอปกรณเทคโนโลยสารสนเทศและการสอสาร (Hardware and Data Communication Risk)

หมายถง ความเสยงทเกดจากความผดพลาดของอปกรณ การเคลอนยายตวเครองอปกรณ การตดตงอปกรณในพนทไมเหมาะสม การถกภยคกคามจากภยตางๆ เชน ไวรสคอมพวเตอร Malware,Trojan, Adware เปนตน ทงทเปนการโจมตจากภายใน และมาจากภายนอกโดยผานทางเครอขาย (Networks) หรอจากคอมพวเตอรโดยตรง เชน จาก USB Flash Drive หรอ USB External Hard Disk Drive เปนตน

2.3.4 ความเสยงดานโปรแกรมคอมพวเตอร (Software Risk) หมายถง ความเสยงทเกดจากระบบการทางานของโปรแกรมตางๆ เชน การใชโปรแกรมทไมม

การอพเดทใหทนสมย เพอลดชองโหวทอาจเกดจาก Bug ของซอฟตแวรนนๆ หรอการถกผไมหวงด (Hacker) เขามาทาลายระบบ หรอการใชซอฟตแวรทไมมลขสทธ ซงสานกงานฯ อาจถกฟองรองใหตองชาระคาละเมดลขสทธ เปนตน

2.3.5 ความเสยงดานระบบขอมล (Database Risk) หมายถง ความเสยงทเกดจากฐานขอมลตางๆ ในระบบสารสนเทศและการสอสารอนอาจจะ

กอใหเกดความเสยหาย เนองจากขอมลถกทาลาย ความเสยงจากผบกรกขอมล เพอการโจรกรรมขอมลทสาคญ การลกลอบเขามาแกไขเปลยนแปลงขอมล ทาใหเกดความเสยหาย ขาดความนาเชอถอและสรางความเสอมเสยแกองคกร ความเสยงเหลานทาใหมความจาเปนทจะตองมการบรหารจดการความเสยงดานขอมล ดงนน การรกษาความปลอดภยของขอมลจงเปนเรองสาคญ เนองจากขอมลสารสนเทศและการสอสารเปนปจจยสาคญสาหรบผบรหาร ผมสวนไดสวนเสยโดยตรง รวมถงประชาชนทวไป ดงนน การรกษาความปลอดภยของระบบขอมลและคอมพวเตอรจากภยตางๆ ทงภยจากคน ภยจากธรรมชาต หรอเหตการณใดๆ จงมความสาคญและจาเปนทจะตองมการปองกน เพอใหเกดความมนคงตอระบบขอมลสารสนเทศและเทคโนโลย

2.3.6 ความเสยงดานกลยทธ (Strategic Risk) หมายถง ความเสยงทเกดจากการเปลยนแปลงของนโยบายรฐบาล ผบรหารองคกร เนองจาก

การเปลยนแปลงรฐบาล และผบรหารองคกรตางๆ ในดานเทคโนโลยสารสนเทศและการสอสาร ทาใหการกาหนดยทธศาสตรและกลยทธเปลยนแปลงไป



2.3.7 ความเสยงดานการเงน (Financial Risk) หมายถง ความเสยงตอการไดรบการสนบสนนงบประมาณไมเพยงพอ และตอการเบกจาย

งบประมาณไมทนตามกาหนดเวลา 2.3.8 ความเสยงในดานการบรหารจดการ (Management Risk)

หมายถง ความเสยง เนองมาจากการบรหารทไมรดกม ไมมแผนงานในการดาเนนการทด

2.4 การตอบสนองความเสยง เมอความเสยงไดรบการบงชและประเมนความสาคญแลว ผบรหารตองประเมนวธการจดการความเสยง

ทสามารถนาไปปฏบตไดและผลของการจดการเหลานน การพจารณาทางเลอกในการดาเนนการจะตองคานงถงความเสยงทยอมรบได และตนทนทเกดขนเปรยบเทยบกบผลประโยชนทจะไดรบเพอใหการบรหารความเสยง มประสทธผล ผบรหารอาจตองเลอกวธการจดการความเสยงอยางใดอยางหนง หรอหลายวธรวมกน เพอลดระดบโอกาสทอาจเกดขนและผลกระทบของเหตการณใหอยในชวงทองคกรสามารถยอมรบได (Risk Tolerance) โดยมหลกการตอบสนองความเสยงม 4 ประการ คอ

2.4.1 การหลกเลยง (Terminate) เปนวธการทงายทสดในการบรหารความเสยง คอ การเลอกทจะไมรบความเสยงไวเลย อาจหยดดาเนนการหรอยกเลกโครงการ/กจกรรมทกอใหเกดความเสยหายไดการหลกเลยงความเสยงเมอพบวาผลประโยชนทจะไดรบนนไมคมกบสงทจะเกดขน จงหลกเลยงทจะเผชญกบกจกรรมความเสยงนน หรอการหลกเลยงความเสยงอาจเกดขนจากหนวยงานเลอกทจะหลกเลยงกจกรรมความเสยงนน โดยมไดคดทบทวนถงผลทจะไดรบ อาจนามาซงการเสยโอกาสของหนวยงานได

2.4.2 การยอมรบ (Take) เปนการยอมรบความเสยง หรอความเสยหายทอาจจะเกดขนไวเองโดยไมทาอะไร และยอมรบในผลทอาจตามมา เนองจากเหนวาโอกาสหรอความนาจะเปนทจะเกดความเสยหายอย ในวสย ทหนวยงานยอมรบได หรอไมคมคาสาหรบคาใชจายในการสรางระบบในการจดการหรอปองกนความเสยง เชน การกาหนด User/Password ในการเขาใชงานระบบเครอขายใหกบหวหนางาน เมอหวหนางานได User/Password ทกาหนดใหแลว อาจจะบอก User/Password ของตนใหผใตบงคบบญชาทราบ และเมอผใตบงคบบญชาทราบ User/Password ของหวหนางาน อาจจะเกบไวคนเดยวหรอนาไปบอกใหบคคลอนทราบตอ ซงในกรณนจะเกดความเสยงในการถกเจาะหรอลกลอบ (Hack) เขาสระบบเครอขาย และหนวยงาน ทรบผดชอบตองยอมรบความเสยงหรอความเสยหายทอาจเกดขน แลวจงแกไขโดยการกาหนด User/Password ใหม ใหกบหวหนางาน เปนตน

2.4.3 การควบคม (Treat) เปนการปรบปรงระบบการทางาน หรอออกแบบวธการทางานใหมเพอหาทางปองกนมใหมความเสยหายเกดขน เปนการลดโอกาสหรอจานวนครงของความเสยหายทจะเกดหากเราไมสามารถปองกนไมใหความเสยงเกดขนได กควรขจดใหหมดไป หรอลดความรนแรงของความเสยงลงโดยมการจดทาแผนหรอมาตรการควบคมขน อาจกาหนดเปนแนวทางปฏบตไวลวงหนา ทงนวธการควบคมความสญเสย มสองวธ คอ

2.4.3.1 การปองกนการเกดความสญเสย เปนวธการทพยายามจะลดความถของการเกดความสญเสย กคอการหามาตรการหรอวธการใดๆ ในการปองกนไมใหความสญเสยเกดขน เชน การตดตงระบบปองกนการบกรกระบบเครอขาย (Firewall) เพอเปนการปองกนการถกเจาะหรอลกลอบ (Hack) เขาสระบบเครอขายเปนการปองกนบคคลหรอไวรสคอมพวเตอรมใหเขาถงหรอสรางความเสยหายแกขอมลหรอการทางานของระบบคอมพวเตอร เปนตน

2.4.3.2 การควบคมขนาดของความสญเสย เปนวธการทพยายามจะลดความรนแรงของความสญเสยเมอเกดความสญเสยขนแลว เชน การตดตงอปกรณดบเพลง อปกรณเตอนไฟไหม เชน เครองตรวจจบควน



เครองตรวจจบความรอนหรอสญญาณเตอนภย เพอปองกนหรอระงบเหตไฟไหมไดทนเวลา ในกรณทเกดเหตการณไฟไหมหอง Server เพอเปนการลดความสญเสยของอปกรณภายในหอง Server ใหมความเสยหายนอยทสด หรอไมเกดความเสยหายหรอกระทบตอการทางานของระบบเครอขาย เปนตน

2.4.4 การถายโอน (Transfer) การโอนยายหรอแบงความเสยงไปใหผอนชวยรบผดชอบ เชน อปกรณเครอขายเมอซอมาแลวมระยะเวลาในการรบประกนภยเพยงหนงป เพอเปนการรบมอในกรณทอปกรณเครอขายไมทางาน องคกรอาจเลอกซอประกน หรอสญญาการบารงรกษาหลงการขายใหทนกอนระยะเวลาใน การรบประกนจะสนสด

2.5 ปจจยเสยง ปจจยทจะเกดความเสยหายกบระบบฐานขอมลสารสนเทศและระบบเทคโนโลยสารสนเทศของ สนข. ม

ดงน 2.5.1 ปจจยภายนอก ไดแก

2.5.1.1 ภยธรรมชาตและการเกดสถานการณความไมสงบทกระทาตออาคารสถานทตงของเครองประมวลผลหลกหรอเครองแมขายหลก (Server) ของระบบฐานขอมลและระบบเครอขายคอมพวเตอร ไดแก ไฟไหม แผนดนไหว นาทวม และภยภบตอนๆ

2.5.1.2 การขโมยอปกรณเครองขายทเปนสวนของการจดเกบและรวบรวมขอมล 2.5.1.3 การขารดเสยหายของตวเครองประมวลผลหลกหรอเครองแมขาย (Server) จากการ

เคลอนยาย หรออนๆ 2.5.1.4 ระบบการสอสารของเครอขายคอมพวเตอรหลกเสยหาย/ ขดของ 2.5.1.5 ระบบกระแสไฟฟาขดของ/ ไฟฟาดบ

2.5.2 ปจจยภายใน ไดแก 2.5.2.1 ระบบฐานขอมลหลกเสยหาย หรอขอมลถกทาลาย 2.5.2.2 การถกไวรสคอมพวเตอร (Virus Computer) ทาลายฐานขอมลและโปรแกรม

ปฏบตการตางๆ 2.5.2.3 การถกเจาะหรอลกลอบ (Hack) เขาสระบบฐานขอมลหรอระบบเครอขาย

คอมพวเตอรจากบคคลภายนอก (Hacker) โดยไมไดรบอนญาต

2.6 การประเมนความเสยหาย 2.6.1 ความเสยหายทเกดผลเสยหายรายแรงทสด ซงจะทาใหตองหยดระบบประมวลผลทงระบบลง

ไดแก ภยธรรมชาต ตวเครองประมวลผลหลกหรอเครองแมขายเสยหาย (Server) และระบบฐานขอมลหลกถกทาลายเสยหายจากไวรส

2.6.2 ความเสยหายทเกดผลเสยหายแจะตองหยดระบบชวขณะ ไดแก การถกเจาะเขาระบบฐานขอมลระบบสอสารของเครอขายคอมพวเตอรขดของ และกระแสไฟฟาขดของ

2.7 การตดตามและรายงานผล กาหนดใหเจาหนาทผรบผดชอบรายงานผลการดาเนนการหรอการตรวจสอบใหผกากบดแลทราบเปน

ประจาทกเดอน และใหรายงานการเกดปญหาและผลการแกไขใหทราบในทนททสามารถดาเนนการไดในทกกรณตามทระบ



2.8 ระบบรกษาความปลอดภยบนเครอขาย ระบบเครอขายคอมพวเตอรของ สนข. ไดพฒนาอยางตอเนอง เพอใหการทางานผานระบบเครอขาย

คอมพวเตอร สนข. เปนไปอยางรวดเรวและมประสทธภาพ โดยศนยปฏบตการคอมพวเตอรตงอยทสานกงานนโยบายและแผนการขนสงและจราจร เลขท 35 ถนนเพชรบร แขวงทงพญาไท เขตราชเทว กรงเทพฯ 10400 และมเครอขายเชอมโยงไปยงหนวยงานในสวนกลางกระทรวงคมนาคม เพอการสอสารขอมลคอมพวเตอรหรอการสอสารรปแบบอนในอนาคต

ระบบเครอขายคอมพวเตอร สนข. มการกาหนดนโยบายและมาตรการในการรกษาความปลอดภยอยางเขมงวด โดยใชทงระบบฮารดแวรและซอฟตแวรทางานรวมกนเพอปองกนการโจมตและบกรกเขามายงระบบเครอขาย โดยในสวนของฮารดแวรมการกาหนดมาตรการ (Policy) ผานอปกรณ Firewall ซงใชในการกรองกลมของขอมล (Package Filter) ทผานเขามาภายในระบบเครอขายคอมพวเตอรสวนกลางของ สนข. จากเครอขายภายนอก เชน เครอขายของสานกงานปลดกระทรวงฯ เครอขายอนเทอรเนต และเครอขาย GIN เปนตน นอกจากนนยงมการกาหนดมาตรการ (Policy) ใหทาหนาทปองกนการบกรกในสวนของเครองคอมพวเตอร แมขาย (Server Zone หรอ Deminitalized Zone : DMZ) ทดแลเครองแมขายทงหมดของ สนข. ใหบคคลภายนอกเขาถงได เชน Web Server และ Mail Server เปนตน รวมถงการใชโปรแกรมปองกนไวรสแบบ Client-Server ในการตรวจสอบเครองคอมพวเตอรทกเครองทอยในระบบเครอขายของ สนข. เพอใหไดรบความปลอดภย และปองกนความเสยหายทอาจเกดขนกบระบบเครอขายทงหมด

ระบบเครอขายหลกของ สนข. (Core Network) ตงอยทศนยเทคโนโลยสารสนเทศการขนสงและจราจร เปนศนยกลางการเชอมตอทาหนาทเชอมโยงระบบเครอขายภายในระดบสานก/กอง/ศนย ในความเรวระดบ 1000 Mbps และระบบเครอขายภายนอก เชน สานกงานปลดกระทรวงคมนาคม อนเทอรเนต และ GIN เขาดวยกน

รปท 3 แสดงโครงขายคอมพวเตอรสารสนเทศของ สนข.



บทท 3 การวเคราะหการบรหารจดการความเสยงดานเทคโนโลยสารสนเทศของ สนข.

สนข. ไดตระหนกถงความสาคญของขอมลทอาจประสบกบความเสยหายจากปจจยเสยงตางๆ จงมอบหมายใหศนยเทคโนโลยสารสนเทศการขนสงและจราจรจด (ศทท.) ทาแผนบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร พ.ศ. 2558 ใหสอดคลองกบแผนแมบทเทคโนโลยสารสนเทศและการสอสารของ สนข. พ.ศ. 2557-2561 โดยกระบวนการบรหารจดการความเสยงของหนวยงานเรมตนจากการรวบรวมขอมลทเกยวของกบกจกรรม/ปจจยเสยง หรอกระบวนงานทมผลตอการดาเนนงานดานเทคโนโลยสารสนเทศ และทาการศกษาขอมล ระดมความคดเหนรวมกบผปฏบตงานดานกจกรรมนนๆ ดงตารางการบรหารจดการความเสยง ทไดจดทาการวเคราะหโดยแยกการวเคราะหออกเปนกจกรรมตางๆ ดงตอไปน 3.1 แผนภมแนวทางและขนตอนการบรหารความเสยง



3.2 กระบวนการจดทาการบรหารความเสยงดานระบบเทคโนโลยสารสนเทศ



3.3 การวเคราะหปจจยเสยงดานระบบเทคโนโลยสารสนเทศ

การระบความเสยง (Risk identification) เปนการชใหเหนถงความเสยงดานตางๆ ทองคกรเผชญอย

ผลสรป การกาหนดประเดนความเสยงดานเทคโนโลยสารสนเทศและการสอสาร รวมทงการประเมนระดบความเปนไปได และผลกระทบมดงน

ลาดบท ประเภทความเสยง ความนาจะเปน

ทจะเกด ผลกระทบ คะแนน

1. ความเสยงจากอคคภย 5 5 25 2. ระบบกระแสไฟฟาขดของ 5 3 15 3. ระบบคอมพวเตอรแมขายฐานขอมลหลกเสยหาย 5 3 15 4. การไมสารองขอมล/ การสารองขอมลขาดการอพเดท 5 3 15 5. การเชอมตอระบบอนเทอรเนต/ อนทราเนตขดของ 3 5 15 6. การบกรกโจมตจากภายนอก 3 4 12 7. ลขสทธซอฟตแวร 2 5 10 8. ไวรสคอมพวเตอร/ Malware 2 4 8 9. ชองโหวจากการพฒนาโปรแกรมประยกตภายในองคกร 2 3 6

10. ความเสยงจากการถก Black List จาก Search Engine/Spamhaus

3 2 6

11. การใชโปรแกรมทพฒนาโดย Outsource ขาดแผน บรหารความตอเนอง

2 3 6

12. ความเสยงจากอทกภย 2 3 6 13. ความเสยงจากขอมลรวไหลจากการเปลยนมอผใช 2 3 6 14. ความเสยงจากแมลง/สตวกดแทะ 1 5 5 15. การโจรกรรมอปกรณคอมพวเตอรแมขาย /อปกรณ 1 5 5



ลาดบท ประเภทความเสยง ความนาจะเปน ทจะเกด

ผลกระทบ คะแนน

16. การโจมตเซฟเวอรของหนวยงานไมใหสามารถใหบรการ ได (Denial of Service-DoS)

1 5 5

17. ความเสยงจากการใช Wireless เขาเครอขาย อนทราเนต

1 5 5

18. เจาหนาทใชคอมพวเตอร/เครอขายผดวตถประสงค 2 2 4 19. ความเสยงจากไฟกระชากจากปลกพวง 2 2 4 20. วนาศภย/ การกอการราย 1 3 3 21. ความเสยงจากความชน อณหภม 2 1 2 22. ความเสยงจากแผนดนไหว 1 1 1 23. การโจรกรรมฐานขอมล 1 1 1



3.4 ผลการประเมนแผนบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร พ.ศ. 2558

ความเสยง ปจจยเสยง ผลกระทบ ระดบ

ความเสยง แนวทางการควบคม

ประเภทความเสยง

ผรบผดชอบ

ความเสยงสงมาก

1. ความเสยงจากการเกดอคคภย

1. คอมพวเตอรและเครอขายถกทาลาย 2. ขอมลถกทาลาย 3. การบาดเจบหรอเสยชวตของเจาหนาทหรอลกจางภายในอาคาร

1. เสยงบประมาณในการจดหาระบบทดแทน 2. การไมสามารถใชงานระบบระหวางทมการจดหาระบบทดแทน

สงมาก 5x5=25

1. ตรวจสอบความพรอมของการใชงานอปกรณดบเพลง 2. ตดตงระบบตรวจจบควน แจงเตอนไฟไหมระบบดบเพลง 3. มแผนในการเคลอนยายอปกรณตามลาดบความสาคญ

1 ศทท.

2. ความเสยงจากการเกดระบบกระแสไฟฟาขดของ

1. ไมสามารถใชงานเครองแมขาย และเครอขายได 2. ความเสยงตอการCrash ของเครองแมขาย ทงสวนระบบ ปฏบตการ (Operating System)ระบบฐาน ขอมล (RDBMS) อนเนองมาจากเครองไมไดถกทาการShutdown อยางเหมาะสม

1. ขอมลเสยหาย 2. ระบบปฏบตการโปรแกรม หรอฐานขอมลเสยหาย ตองมการตดตงใหม


1. ตรวจสอบระบบสารองไฟฟา (UPS) 2. วางแผนการจดหาและตดตงเครองกาเนดไฟฟา (Electrical Generator) สาหรบ สนข.

1 ศทท.







3. ความเสยงจากการระบบคอมพวเตอรแมขายหลกเสยหาย

1. ไมสามารถใชระบบงานไดเตมประสทธภาพ 2. เสยงตอความเสยหายของขอมลและการกคนขอมล

1. การใชงานระบบงานไมสามารถใชไดตามปกต


1. ตรวจสอบระบบคอมพวเตอรแมขายและสารองฐานขอมล 2. จดตงศนยสารองขอมล (Backup Site)

5 ศทท.

4. ความเสยงจากการไมทาการสารองขอมล หรอทาการสารองขอมลแตขาดการอพเดท

1. เสยงตอการสญหายของขอมล ในขนเลกนอยหรอมากจนไมสามารถดาเนนงานไดตามปกต 2. เสยงตอการมขอมลทไมถกตองกบความเปนจรง

1. เสยคาใชจายในการกคนขอมล หรอ การจดทาขนมาใหม 2. ไมสามารถนาขอมลทมอยไปใชงานไดเนองจากขาดความมนใจในขอมล


1. มการบรหารจดการในการทาการสารองขอมล (Backup) เปนประจาอยางสมาเสมอ 2. มการทดสอบการนาขอมลกลบคนสระบบ(Restore)

5 ศทท.

5. ความเสยงจากการเชอมตอระบบครอขาย อนเทอรเนต และอนทราเนตขดของ

1. ไมสามารถใชงานระบบงานของสานกงานฯ ผานเครอขายอนทราเนตได 2. ไมสามารถเชอมตอภายนอกสานกงานฯผานเครอขายอนเทอรเนตได

1. ขดขวางการทางานของเจาหนาทและผบรหารงานสานกงานฯ 2. บคคลภายนอกไมสามารถเขาใช Web Server หรอคนหาขอมลทตองการได


ตรวจสอบระบบเครอขายสอสารหลก 3 ศทท.







ความเสยงสง

1. ความเสยงจากการบกรกโจมตจากภายนอก

เสยงตอการถกโจมตจากภายนอกผานเครอขายอนเทอรเนต

1. ทาใหระบบเครองแมขาย หรอลกขายตดไวรสและแพรกระจายสเครองอนๆ ทงหมดในเครอขาย 2. ถกแกไขหรอปลยนแปลงขอมล หรอ รปภาพบน Web Site ของสานกงานฯ 3. ถกโจรกรรมขอมลทเปนความลบ

สง 3x4=12

1. ตดตงระบบเครอขายเพอปองกน และเตอนภย 2. จดทาแผนหรอขนตอนปฏบตทจาเปนตามลาดบ 3. ตรวจสอบ Policy และ Log ของระบบปองกนการบกรกระบบเครอขาย

3 ศทท.

2. ความเสยงจากการใชซอฟตแวรทไมมลขสทธ

1. การสญหายของขอมล 2. การถกฟองรองและเสอมเสยชอเสยงและความนาเชอถอของสานกงานฯ

1. การใชงานอาจไมไดประสทธภาพตามความสามารถของซอฟตแวรนนๆ 2. สนข. อาจถกฟองรองเรยกคาเสยหายจากผเปนเจาของลขสทธนนๆ 3. ความไมสะดวกหากไปใชงานดวยซอฟตแวร ทไมจาเปนตองมลขสทธ(Open Source)

สง 2x5=10

1. การจดหาซอฟตแวรทถกกฎหมายมาใชงาน ตามความจาเปน 2. การรณรงคขอความรวมมอเจาหนาทใน การใชงานซอฟตแวรทถกกฎหมาย

4 ศทท.







3. ความเสยงจากการตดไวรสคอมพวเตอรหรอ Malware

1. โปรแกรมหรอขอมลถกทาลาย 2. ไมสามารถเรยกใชโปรแกรมหรอระบบงานไดตามปกต 3. การถกขโมยขอมล

1. ใชคอมพวเตอรไมได 2. ใชระบบงานไมได 3. ขอมลทสาคญสญหาย

สง 2x4=8

1. ตดตงระบบปองกนไวรสกบเครองแมขาย 2. อพเดทขอมลไวรสอยางสมาเสมอ

3 ศทท.

ความเสยงปานกลาง

1. ความเสยงจากชองโหวจากการพฒนาโปรแกรมประยกตภายในองคกร

1. การถกขโมยขอมล 2. โปรแกรมเสยหาย 3. การใชชองโหวของโปรแกรมหรอซอน Script ไวเพอวตถประสงคแอบแฝง

1. ลดความนาเชอถอตอ สนข. หากขอมลถกขโมยไปและนาไปเผยแพร 2. กรณทเปนขอมลลบอาจสรางความเสยหายตอ สนข. เปนอยางยง

ปานกลาง 2x3=6

1. ตงมาตรฐานในการพฒนาซอฟตแวรตามคาแนะนาของ OWASP- Top 10 Web Application Security Risks เพอลดความเสย 2. มมาตรการกาหนดชนความลบของขอมล และการเขาถงขอมลทเปนความลบ

4 ทกสานกทพฒนา

ระบบงานขนใชเอง

2. ความเสยงจากการถก Black List โดย Search Engine หรอ Spamhaus (http://www.spamhaus. org)

1. ผใชงานทตองการขอมลของ สนข. หรอประชาชนทวไปไมสามารถเขาใชงานWeb Server ได 2. ไมสามารถใชงานเครอขายหรอ e-mailได

1. ลดความนาเชอถอหรอขอมลของ สนข. 2. สนข. อาจถกฟองรอง โดยผมสวนไดสวนเสย


1. ตดตงโปรแกรม เพอตรวจสอบใหแนใจวา ไมมอปกรณใดในเครอขายสานกงานฯ ไดสง Spam ออกไปยงเครอขายอนเทอรเนต 2. ตดตงระบบการตรวจสอบแฟมขอมลกอน การอพโหลดขอมลขน Web Server หรอ FTP Server 3. มการอพเดทตวโปรแกรมและ Signature อยางสมาเสมอ และการทาการบารงรกษา (Maintenance) ทงฮารดแวรและซอฟตแวร พรอมทง Update Licenses

2 และ 3 ศทท.







3. ความเสยงจากการใชโปรแกรมทพฒนาโดยผรบจางภายนอก(Outsource) และการขาดแผนบรหารความตอเนอง

1. เสยงตอการถกขโมยขอมล 2. เสยงตอการทาความเสยหายแกโปรแกรม 3. ไมสามารถแกไข ขอบกพรองไดเอง 4. ขาดการดแลบารงรกษาโปรแกรมและขอมล ทาใหไมสามารถใชงานไดในระยะยาว 5. เสยคาใชจายสง

1. ลดความนาเชอถอตอสนข. หากขอมลถกขโมยไปและนาไปเผยแพร 2. กรณทเปนขอมลลบอาจสรางความเสยหายตอสานกงานฯ เปนอยางยง 3. จดหางบประมาณ เพอทาการบารงรกษาโปรแกรมและขอมลพรอมกบการทาการบารงรกษาเครองแมขายและอปกรณทเกยวของทตองมการอพเดทอยเสมอ


1. การออกแบบระบบใหองมาตรฐาน Data Flow Diagram (DFD) Level 2 2. การออกแบบอางองแผนผงความสมพนธระหวางกลมขอมล – ER Diagram 3. ใหมการสงมอบ Source Code ในรปแบบDVD ในฟอรแมตทไมเขารหสใดๆ และสามารถปรบปรงแกไขได 4. หากมการพฒนา Library ดวยตนเอง ตองสง Source Code Library ทสามารถแกไขได 5. มการถายทอดความร เทคโนโลยในการพฒนาระบบใหกบเจาหนาท 6. มมาตรการในการกาหนดใหนาขอมลใดออกไปนอกสถานทไดใหชดเจนและมการควบคมอยางรดกม 7. มแผนการบารงรกษาระบบงานทด รวมถง การแกไขขอผดพลาดในการเขยนโปรแกรม(Bug) การอพเดท เมอม Version หรอ Release ใหม การแกไขเมอเกดการ Crash ของโปรแกรมหรอฐานขอมล (Database) เกด ความเสยหาย เปนตน

4 ศทท. หรอสานก/กอง อนๆ ทพฒนา

ระบบงานขนใชเอง

4. ความเสยงจากการเกดอทกภย

ความเสยหายของเครองคอมพวเตอรและอปกรณ

เสยงบประมาณในการซอมแซมหรอจดหาใหมทดแทน


1. ตดตงเครองตรวจจบระดบนารวไหลพนททมความไวตอนา 2. มแผนในการเคลอนยายอปกรณตามลาดบความสาคญ

1 ศทท. และ สบก.







5. ความเสยงจากขอมลรวไหลจากการเปลยนมอผใช

ขอมลทสาคญมการรวไหลจากการซอมแซมเครองทเสย เชน Hard Disk หรอมวนเทป (Cartridge Tape) แผน DVD/ CD

1. ขอมลทอยในชนความลบ รวไหลทาใหเสยหายตอความเชอถอของ สนข. 2. ขอมลทรวไหลอาจทาใหฝายใดฝายหนงนาไปใชประโยชนได


มการบรหารจดการ ตออปกรณเกบขอมล เชนHard Disk มวนเทป (Cartridge Tape) แผนDVD/ CD ใหแนใจวาขอมลไดถกลบทงอยางถาวร หรอไดทาลายอปกรณนนๆ ทงแลว หากทาได

5 ศทท.

6. ความเสยงจากแมลงหรอสตวกดแทะคอมพวเตอร อปกรณ หรอสายไฟฟา/ สายสญญาณ

เสยงตอการไมสามารถใชงานไดปกต

เสยงบประมาณในการซอมแซมหรอจดหาทดแทน


1. ไมปลอยใหมสายไฟฟาหรอสายสญญาณไมมทอหอหมจนถงจดทางเขาต Rack 2. ไมนาอาหารหรอเครองดมมาทานหรอเกบไวในบรเวณทมความเสยง

1 ศทท. และ สบก.

7. ความเสยงจากการโจรกรรมอปกรณคอมพวเตอรแมขาย หรอเครองลกขายและอปกรณตอพวง

7.1 เครองแมขาย เสยงตอการสญหายของอปกรณ และขอมลทมความสาคญ

1. เสยงบประมาณในการจดหาเครองแมขายทดแทนทมมลคาสง 2. เสยเวลาในการกระบบ 3. เสยภาพลกษณของนกงานฯ


1. ตดตงระบบรกษาความปลอดภยในการควบคมการเขา-ออกหองคอมพวเตอรแมขาย 2. ต Rack ทตดตงอปกรณ เชน เครองแมขาย(Server) อปกรณจดเกบขอมล (Disk Array)และอปกรณเครอขายตองมการลอคดวยกญแจตลอดเวลา 3. จดเกบเครองคอมพวเตอรทสามารถเคลอนยายไดสะดวก เชน Notebook ไวในทมดชดเมอไมไดใชงาน

1 ศทท.







7.2 เครองลกขายและอปกรณตอพวง

เสยงตอการสญหายของอปกรณ และขอมลทมความสาคญ

1. เสยงบประมาณในการจดหาอปกรณทดแทน 2. เสยภาพลกษณของ สนข.


1. ควบคมการเขาออกอาคาร 2. ควบคมการขนยายเครองคอมพวเตอรเขา-ออกอาคารตลอดเวลา 3. ตดตงกลองวงจรปดใหครอบคลมทกทๆ ม เครองคอมพวเตอรและอปกรณตดตงอย

1 สบก.

8. ความเสยงจากการโจมต เครองแมขายของ สนข. ไมใหสามารถใหบรการได (Denial of Service-DoS)

8.1 จากภายนอก เสยงตอการถกโจมตไดจากภายนอก โดยโจมตทงเครองแมขายและ/หรอ เครอขายในทกรปแบบ ซงจะมการพฒนาวธการอยตลอดเวลา

ไมสามารถใชงานครอขายได หรอใชไดแตชามาก


1. ตดตงระบบปองกน และเตอนภย Spam, Virus, Malware, Trojan และมเจาหนาทคอยดแลตรวจสอบและอพเดทฐานขอมลของอปกรณนนๆ อยเปนประจาเพอลดหรอสามารถแกไขไดทนเมอถกโจมต 2. หมนตรวจสอบ Policy และ Log ของFirewall และ IPS/ IDS อยางสมาเสมอ 3. จดทาแผนหรอขนตอนปฏบตทจาเปนตามลาดบเมอเกดเหตการณขนจรงจะไดพรอมทจะรบกบสถานการณไดโดยไมสบสน

3 ศทท.

8.2 จากภายใน เสยงตอการถกโจมตจากโปรแกรมตางๆโดยเฉพาะประเภทTrojan ทมการตดตงทเครองลกขายโดยผใชงานภายใน ทงทไมไดตงใจและตงใจ

ไมสามารถใชงานครอขายได หรอใชไดแตชามาก


1. มมาตรการ และกฎระเบยบในการควบคมมใหมการตดตงโปรแกรมตางๆ ลงบนเครองลกขายทเชอมโยงกบเครอขายอนทราเนตของ สนข. 2. การควบคมดวยระบบ Desktop Management

3 ศทท.







9. ความเสยงจากการใชWireless เขาเครอขายอนทราเนต

เสยงตอผทไมมสทธเขาถงขอมลเขาใชเครอขาย อนทราเนตผานทาง WiFi

ขอมลทเปนความลบถกเผยแพรหรอนาไปใชป อนจะนามาซงการขาดความเชอถอของสานกงานฯ


1. ควบคมการเขาใชเครอขาย 2. เพมความปลอดภยในการใชงานเพมขนโดยตดตงระบบยนยนตน (Authentication)

3 ศทท.

10. ความเสยงจากการท เจาหนาทใชคอมพวเตอร/เครอขายผดวตถประสงค

1. เสยงตอการใชงาน ในทางทผด หรอเปลาประโยชน เชน การฟงวทยหรอดโทรทศนออนไลน เปนตน 2. การใช Resource ทาผดกฎหมาย เชน การดาวนโหลดโปรแกรม ภาพยนตร หรอเพลงทไมมลขสทธ เปนตน

1. สญเสย Bandwidth ในเครอขายทาให ตองจดเพม Bandwidth ใหมากขนทกๆ ป 2. อาจถกรองเรยนหรอ ฟองรองจากบคคลภายนอก


1. บรหารจดการดวยขอแนะนา Ten Ways to Protect Your Network From Insider Threats เพอลดความเสยง 2. กาหนด Policy ของFirewall ใหเหมาะสมอยางสมาเสมอ เปด Port เทาทจาเปน 3. การมขอตกลงทผใชงานตองเปนผรบผดชอบในการนาอปกรณเครองคอมพวเตอร หรอ Resources ตางๆ ไปใชในทางทผด รวมถงการ บนทกการใชงานและรายงานการใชงานของผใชทฝาฝนตอผบงคบบญชา

2 ทกสานก

๑๑. ความเสยงจากไฟ กระชากจากสายพวง (Extension Cord)

เสยงตอไฟไหม ไฟดดไฟยอนกลบ ทาใหอปกรณเครองคอมพวเตอรเสยหายทงหมดได

1. ไมสามารถใชงานเครองคอมพวเตอรไดตามปกต 2. ไฟอาจลดวงจรทาใหเครองเสยหาย


1. งดใชสายพวง หรองดใชสายพวงทไมไดมาตรฐาน ม.อ.ก. และไมมสายดน 2. ไมใชอปกรณทไมมสายดน (ปลก ๒ ขา หรอ ๓ ขาแตหกสายดนออก) ตอเขากบสายพวงหรอเตาไฟฟา (Receptacle) 3. ตอสายพวงเขากบอปกรณทมระบบStabilizer

2 ทกสานก







ความเสยงตา

1. ความเสยงจากวนาศภย/การกอการราย

การสญหายและถกทาลายของอปกรณ และขอมลทเปนสวนสาคญขององคกร

ไมสามารถใชระบบงานหรอขอมลไดเปนปกต

ตา 1x3=3

1. ทาการสารองขอมลไวตางสถานทกน 2. จดทาแผนสารองฉกเฉน 3. จดทาศนยสารอง (Backup Site)

1 ศทท.

2. ความเสยงจากความชน อณหภม

เครองมประสทธภาพและความเชอถอไดลดลง และเครองอาจหยดทางานได

อายของเครองและอปกรณสนลง

ตา 2x1=2

จดหาระบบปรบอากาศ ชนดทสามารถควบคมไดทงอณหภมและความชนใหอยในสภาวะทเหมาะสมและสามารถทางานสลบกนได

3 ศทท.

3. ความเสยงจากแผนดนไหว

ความเสยหายดานโครงสรางอาจทาลายระบบเครองและขอมล

ไมสามารถใชระบบงานหรอขอมลไดเปน ปกต

ตา 1x1=1

1. ทาการสารองขอมลไวตางสถานทกน 2. จดทาแผนสารองฉกเฉน เพอรบมอวามขนตอนปฏบตอยางไร และจะใชเครองทดแทนจากทใด เพอสามารถจะใชงานไดอยางตอเนอง 3. จดทาศนยสารอง (Backup Site)

1 ศทท.

4. ความเสยงจากการโจรกรรมฐานขอมล

ขอมลทสาคญรวไหลสภายนอกหรอสาธารณะ

1. เสยชอเสยงและความนาเชอถอทมตอ สนข. 2. การสญหายหรอถกทาลายของขอมล

ตา 1x1=1

1. มการบรหารจดการดานการปองกนขอมล 2. มการบรหารจดการดานการเขาถงขอมล(Access) 3. มการบรหารสอจดเกบขอมล เชน Hard 4. Disk มวนเทป (Cartridge Tape) แผน DVD/CD ใหแนใจวาขอมลไดถกลบทงอยางถาวรหรอไดทาลายอปกรณ หรอสอเกบขอมลนนๆ ทงแลว หากทาได

5 ศทท.



3.5 แผนปฏบตการบรหารความเสยงดานระบบเทคโนโลยสารสนเทศของ สนข. พ.ศ. 2558

สานกงานนโยบายและแผนการขนสงและจราจร ผรบผดชอบหลก กระทรวงคมนาคม หนวยงาน ศนยเทคโนโลยสารสนเทศการขนสงและจราจร โครงการทนามาจดทาการบรหารความเสยงดานระบบเทคโนโลยสารสนเทศของ สนข. ระยะเวลาดาเนนการ ตลาคม 2557 – กนยายน 2558

วตถประสงค : เพอใหการดาเนนงานดานการบรหารความเสยงดานระบบเทคโนโลยสารสนเทศของ สนข. บรรลเปาประสงคของการบรหารจดการความเสยง

ประเภทความเสยง/กจกรรม แผนปฏบตการ ระยะเวลา

เรมตน/สนสด

ป พ.ศ. 2557 ป พ.ศ. 2558 ผลลพธ/ความกาวหนา ต.ค. พ.ย. ธ.ค. ม.ค. ก.พ. ม.ค. เม.ย. พ.ค. ม.ย. ก.ค. ส.ค. ก.ย.

1. ความเสยงจากการเกดอคคภย - ตรวจสอบความพรอมของการใชงานอปกรณดบเพลง

- ทกวนท 30ก.ย. ของทกป30 ก.ย. 58

2. ความเสยงจากการเกดระบบกระแสไฟฟาขดของ

- ตรวจสอบระบบสารองไฟฟา (UPS)

- ทกวนท 30ก.ย. ของทกป30 ก.ย. 58

3. ความเสยงจากการระบบคอมพวเตอรแมขายหลกเสยหาย

- ตรวจสอบระบบคอมพวเตอรแมขาย

- ทก 3 เดอน

4. ความเสยงจากการไมทาการสารองขอมล หรอทาการสารองขอมลแตขาดการอพเดท

- จดทาการสารองขอมลแบบอตโนมต - จดทาการสารองขอมลแบบไมอตโนมตทดสอบการกคน

- ทกวน/ทก สปดาห (Full) - ทก 3 เดอน



ประเภทความเสยง/กจกรรม แนวทางการควบคม ระยะเวลา

เรมตน/สนสด ป พ.ศ. 2557 ป พ.ศ. 2558 ผลลพธ/

ความกาวหนา ต.ค. พ.ย. ธ.ค. ม.ค. ก.พ. ม.ค. เม.ย. พ.ค. ม.ย. ก.ค. ส.ค. ก.ย.

5. ความเสยงจากการเชอมตอระบบครอขายอนเทอรเนต และอนทราเนตขดของ

- ตรวจสอบระบบเครอขายสอสารหลก

- ทก 3 เดอน

6. ความเสยงจากการบกรกโจมตจากภายนอก

- ตรวจสอบ Policy และ Log ของระบบปองกนการบกรกระบบเครอขาย

- ทกวนท 1และ 16 ของทกเดอน



บทท 4 สรปผลและขอเสนอแนะ

การจดการความเสยง (Risk Management) คอ กระบวนการในการระบ วเคราะห ประเมน ดแลตรวจสอบ และควบคมความเสยงทสมพนธกบกจกรรม หนาท และกระบวนการทางานเพอใหองคกรลดคามเสยหายจากความเสยงมากทสด อนเนองมาจากภยทองคกรตองเผชญใหชวยเวลาใดเวลาหนง เมอเทคโนโลยสารสนเทศกาวเขามามบทบาทสาคญในฐานะกลไกอนทรงพลงในการขบเคลอนการดาเนนงานขององคกรทกกจกรรมทเกดขนภายในองคกรจงลวนมความเกยวของกบเทคโนโลยสารสนเทศแทบทงสน ในแตละวนขอมลมหาศาลถกสงผานเครอขายเทคโนโลยสารสนเทศเพออานวยความสะดวกใหแกกบการปฏบตงานของทกหนวยงานภายใน สนข.

ในปจจบน “ขอมล” ถอวาเปนทรพยสนอนทรงคณคามหาศาลตางตกอยในสภาวะเสยงตอการถกลวงละเมด ถกทาใหเสยหายหรอเสยหาย และถกนาไปใชในทางทผด ทงจากบคคลภายในและภายนอกองคกรโดยเจตนาหรอไมเจตนากตาม ดงนน หนทางทดทสดในการแกไขปญหานจงควรเรมตงแตการบรหารจดการองคกรใหไดมาตรฐานดานความปลอดภย ซงกคอ การจดการวามเสยงในองคกรนนเอง

4.1 การวเคราะหปจจยเสยงดานระบบเทคโนโลยสารสนเทศ การระบความเสยง (Risk identification) เปนการชใหเหนถงความเสยงดานตางๆ ทองคกรเผชญอยจาก

การกาหนดแนวทางปฏบตเพอควบคมความเสยงทมผลคะแนนสงสด 6 อนดบแรก ไดขอสรป ดงน 4.1.1 ความเสยงจากการเกดอคคภย มแนวทางปฏบตดงน

- ตรวจสอบความพรอมของการใชงานอปกรณดบเพลง - ตดตงระบบตรวจจบควน แจงเตอนไฟไหมระบบดบเพลง - มแผนในการเคลอนยายอปกรณตามลาดบความสาคญ

4.1.2 ความเสยงจากการเกดระบบกระแสไฟฟาขดของ มแนวทางปฏบตดงน - ตรวจสอบระบบสารองไฟฟา (UPS) - วางแผนการจดหาและตดตงเครองกาเนดไฟฟา (Electrical Generator) สาหรบ สนข.

4.1.3 ความเสยงจากการระบบคอมพวเตอรแมขายหลกเสยหาย มแนวทางปฏบตดงน - ตรวจสอบระบบคอมพวเตอรแมขายฐานขอมลหลกและสารองฐานขอมล - การจดตงศนยสารองขอมล (Backup Site)

4.1.4 ความเสยงไมทาการสารองขอมล หรอสารองขอมลแตขาดการอพเดท มแนวทางปฏบตดงน - มการบรหารจดการในการทาการสารองขอมล (Backup) เปนประจาอยางสมาเสมอ - มการทดสอบการนาขอมลกลบคนสระบบ(Restore)

4.1.5 ความเสยงการเชอมตอระบบครอขายอนเทอรเนต และอนทราเนตขดของ มแนวทางปฏบตดงน - ตรวจสอบระบบเครอขายสอสารหลก - การจดทาเสนทางออกสเครอขายอนเทอรเนต (Gateway) มากกวา 1 ทาง - การจดหา Bandwidth Management เพอควบคมการใชงานเครอขายใหมประสทธภาพ

เพอใหการใชงานระบบงานของสานกงานฯ ไดรบ Bandwidth สงกวาการใชงานดานอนๆ



4.1.6 ความเสยงจากการบกรกโจมตจากภายนอก มแนวทางปฏบตดงน - ตดตงระบบเครอขายเพอปองกนและเตอนภย - จดทาแผนหรอขนตอนปฏบตทจาเปนตามลาดบ - ตรวจสอบ Policy และ Log ของระบบปองกนการบกรกระบบเครอขาย

4.2 สรป แผนการบรหารความเสยงดานระบบเทคโนโลยสารสนเทศ ไดดาเนนการจดทาเพอ 4.2.1 เตรยมความพรอมและรองรบสถานการณฉกเฉน ทอาจจะเกดขนกบระบบฐานขอมลสารสนเทศ 4.2.2 เปนแนวทางในการดแลรกษาระบบความมนคงปลอดภยของฐานขอมลและสารสนเทศใหม

เสถยรภาพ และมความพรอมสาหรบการใชงาน 4.2.3 ใหการปฏบตงานเปนไปอยางมระบบและตอเนอง และสามารถแกไขสถานการณไดอยางทนทวงท

กรณเกดสถานการณความไมแนนอนและภยพบต

4.3 ขอเสนอแนะ 4.3.1 การควบคมคมนโยบายและกระบวนการปฏบตงานถอเปนสาคญ เพอใหมนใจวาไดมการจดการ

ความเสยง ดงนน ควรมการกาหนดบคลากรภายในหนวยงานเพอรบผดชอบการควบคมนน โดยบคลากรแตละคนทไดรบมอบหมายในการควบคมควรมความรบผดชอบ ดงน

4.3.1.1 พจารณาประสทธผลของการจดการความเสยงทไดดาเนนการอยในปจจบน 4.3.1.2 พจารณาการปฏบตเพมเตมทจาเปน เพอเพมประสทธผลของการจดการความเสยงนน 4.3.1.3 กากบกจกรรมลดความเสยงใหแลวเสรจตามกาหนดวนตามแผนทวางไว

4.3.2 การตดตามการบรหารความเสยงเพอใหมนใจวาการจดการความเสยงมคณภาพและมความเหมาะสม ดงนน จงควรมการตดตามการบรหารความเสยงอยางตอเนองและดาเนนการอยางสมาเสมอ เพอตอบสนองตอการเปลยนแปลงอยางทนทวงท และถอเปนสวนหนงของการปฏบตงาน รวมถงการตดตามการดาเนนการภายหลงจากเกดเหตการณขน เพอวเคราะหถงปญหาทเกดขนและการแกไขอยางถกตองไดอยาง มประสทธภาพ

แผนบริหารความเส ี่ยงด้านระบบ ......1.2.2...

Documents