แผนบริหารความเสี่ยงด้าน...

48
กรมพัฒนาพลังงานทดแทนและอนุรักษ์พลังงาน กระทรวงพลังงาน แผนบริหารความเสี่ยงด้านเทคโนโลยี สารสนเทศและการสื่อสาร ประจาปีงบประมาณ 2561

Upload: others

Post on 08-Mar-2020

5 views

Category:

Documents


0 download

TRANSCRIPT

Page 1: แผนบริหารความเสี่ยงด้าน ...ความหมายของการบร หารความเส ยง ความเส ยง

กรมพฒนาพลงงานทดแทนและอนรกษพลงงานกระทรวงพลงงาน

แผนบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร

ประจ าปงบประมาณ 2561

Page 2: แผนบริหารความเสี่ยงด้าน ...ความหมายของการบร หารความเส ยง ความเส ยง

กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน กระทรวงพลงงาน

แผนบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน ประจ าปงบประมาณ 2561

บทน ำ

กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน (พพ.) ไดจดท าแผนบรหารจดการความเสยง ดานเทคโนโลยสารสนเทศและการสอสาร ประจ าปงบประมาณ 2561 ขน ดวยการวเคราะหและประเมน ความเสยงดานเทคโนโลยสารสนเทศและการสอสาร เพอทจะบรหารจดการความเสยงตามกระบวนการ บรหารความเสยงตามมาตรฐาน COSO (Committee of Sponsoring Organizations of the Tread way Commission) โดยไดวเคราะหความเสยงใหครอบคลมตามหลกธรรมาภบาลและเปนไปตามนโยบายและ แนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ (ICT) ซงสอดคลองกบมาตรฐานความมนคงปลอดภยสารสนเทศ (ISO 27001) แผนบรหารจดการความเสยงดงกลาว จะใชเปนกรอบและแนวทางในการปฏบตงาน ของหนวยงานตางๆ ทเกยวของ ตลอดจนการก ากบดแลการใชงานดานเทคโนโลยสารสนเทศและการสอสาร ของกรมในป 2561 เพอใหเทคโนโลยสารสนเทศและการสอสารของกรมสามารถใชงานไดอยางตอเนอง มประสทธภาพและมความมนคงปลอดภยสงสด ทงน จะมการตรวจสอบและประเมนความเสยงทมแนวโนมอาจจะเกดขน เพอบรหารจดการไดอยางถกตอง ไมเกดเหตการณความเสยหาย พรอมทงสนปใหมการตรวจสอบหาชองโหวของการโจมตระบบ ICT ดวยการใช External Audit และ Internal Audit ในทกป และท าการทบทวนการบรหารจดการความเสยงดาน ICT กอนสนสดแผนฯ ของป

Page 3: แผนบริหารความเสี่ยงด้าน ...ความหมายของการบร หารความเส ยง ความเส ยง

สารบญ

Page 4: แผนบริหารความเสี่ยงด้าน ...ความหมายของการบร หารความเส ยง ความเส ยง

กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน กระทรวงพลงงาน

แผนบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน ประจ าปงบประมาณ 2561

สารบญ

1. ความหมายของการบรหารความเสยง .............................................................................................. 1

1.1 The Global Risks Report 2016 11th Edition ........................................................................... 1

1.1 The Digital Transformation of Business ของ Harvard Business Review ............................. 3

2. ความหมายของการบรหารความเสยง .............................................................................................. 5

3. วตถประสงค .................................................................................................................................. 6

4. ขอบเขตการด าเนนการ ................................................................................................................... 6

5. คณะท างานบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร............................................. 7

6. การประเมนความเสยง (Risk Assessment) ................................................................................... 8

7. การประมาณความเสยง (Risk Estimation) .................................................................................. 14

8. การประเมนคาความเสยง (Risk Evaluation) ............................................................................... 21

8.1 แผนภมความเสยง ........................................................................................................................... 21

8.2 การประเมนคาความเสยงทเกดขน................................................................................................... 22

9. ผลการวเคราะหความเสยง (Risk Analysis) ................................................................................. 28

10. การจดการความเสยง (Risk Management) .............................................................................. 31

11. แผนปฏบตการบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร .................................... 36

Page 5: แผนบริหารความเสี่ยงด้าน ...ความหมายของการบร หารความเส ยง ความเส ยง

กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน กระทรวงพลงงาน

แผนบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน ประจ าปงบประมาณ พ.ศ. 2561

สารบญรปภาพ

รปท 1 The Global Risks Landscape 2016 ............................................................................................. 2

รปท 2 Transforming organizations and how People work ................................................................ 3

รปท 3 Security risks are relative ............................................................................................................. 4

รปท 4 แผนภมความเสยงดานสารสนเทศ ................................................................................................... 27

รปท 5 แผนภมความเสยงดานสารสนเทศคงเหลอหลงควบคม .................................................................... 35

สารบญตาราง

ตารางท 1 รายละเอยดของความเสยง (Description of Risk) ...................................................................... 9

ตารางท 2 การประมาณความเสยง (Risk Estimation) ............................................................................... 17

ตารางท 3 สรปผลการประเมนคาความเสยง (Risk Evaluation) ................................................................. 23

ตารางท 4 ผลการวเคราะหความเสยง (Risk Analysis) ............................................................................... 28

ตารางท 5 การจดการความเสยง (Risk Management) .............................................................................. 31

ตารางท 6 แผนปฏบตการบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร ................................ 36

Page 6: แผนบริหารความเสี่ยงด้าน ...ความหมายของการบร หารความเส ยง ความเส ยง

แผนบรหารความเสยง ดานเทคโนโลยสารสนเทศและการสอสาร

กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน ประจ าปงบประมาณ 2561

Page 7: แผนบริหารความเสี่ยงด้าน ...ความหมายของการบร หารความเส ยง ความเส ยง

กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน กระทรวงพลงงาน

แผนบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน ประจ าปงบประมาณ 2561

1

แผนบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน ประจ าป งบประมาณ 2561

กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน (พพ.) ไดน าเทคโนโลยสารสนเทศเขามาใชในการปฏบตงานหลายดาน ดงนน พพ. จงจ าเปนตองมการบรหารจดการความเสยงดานเทคโนโลยสารสนเทศและการสอสาร เพอหาวธการปองกนปญหาทจะเกดขน อนสงผลกระทบตอระบบเทคโนโลยสารสนเทศและการสอสาร ของ พพ. อกทง เปนการน าเทคโนโลยสารสนเทศมาสนบสนนการปฏบตงานใหเกดประโยชนสงสดและลดโอกาสความเสยหายทจะเกดขน

แผนบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสารมวตถประสงคเพอใชเปนแนวทางในการตรวจสอบและประเมนความเสยงดานเทคโนโลยสารสนเทศและการสอสารของ พพ. ดวยการคาดการณลวงหนา ในกรณทความเสยงเกดขนจรงและ พพ. สามารถน าแนวทางจดการความเสยงนไปใชในการด าเนนการได

1. การทบทวนบรบทความเสยงดานเทคโนโลยสารสนเทศ

การประเมนความเสยงดานเทคโนโลยสารสนเทศ ประจ าปงบประมาณ 2561 ของ พพ. คณะท างานบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสารไดมการศกษาบรบททเกยวของกบความเสยงดานเทคโนโลยสารสนเทศระดบสากล เพอพจารณาถงทศทางและแนวโนมดานความเสยง และการปองกน เนองจากการประเมนความเสยง ประจ าปงบประมาณ 2561 เปนการประมาณการลวงหนา ซงจ าเปนตองพจารณาทงภายในและภายนอกองคกร เพอวางแผนปองกนความเสยงใหรอบดาน

1.1 The Global Risks Report 2016 11th Edition

World Economic Forum ไดประเมนโอกาสของการเผชญกบภยคกคามทส าคญและผลกระทบทเกดขนจากภยคกคามในระดบสากลแสดงดงรปท 1

Page 8: แผนบริหารความเสี่ยงด้าน ...ความหมายของการบร หารความเส ยง ความเส ยง

กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน กระทรวงพลงงาน

แผนบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน ประจ าปงบประมาณ 2561

2

รปท 1 The Global Risks Landscape 20161

จากรปท 1 แสดงใหเหนวาความเสยงดานเทคโนโลยสารสนเทศทคาดวาจะถกคกคามและไดรบผลกระทบมากทสดในป 2560 คอการโจรกรรมขอมล (Data fraud or theft) และการโจมตระบบสารสนเทศ (Cyberattacks) เพอใหระบบสารสนเทศหยดการใหบรการ ซงแสดงใหเหนวา พพ. ควรตองทบทวนประเดนความเสยงดานการโจมตจากผไมประสงคด ทงเพอการโจรกรรมขอมลและ การท าให พพ. ตองหยดใหบรการ

1 แหลงทมา: Global Risks Perception Survey 2015

Page 9: แผนบริหารความเสี่ยงด้าน ...ความหมายของการบร หารความเส ยง ความเส ยง

กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน กระทรวงพลงงาน

แผนบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน ประจ าปงบประมาณ 2561

3

1.2 The Digital Transformation of Business ของ Harvard Business Review

โดยทวไปแนวโนมดานการโจมตของผไมประสงคดจะเนนเทคโนโลยท องคกรขนาดใหญ มความจ าเปนตองใชงานหรอมการใชงานอยางแพรหลาย เพอมงหวงท าใหเกดผลกระทบตอองคกรนนๆ และน าไปสการแสวงหาผลประโยชนจากผลกระทบดงกลาว ดงนน คณะท างานบรหารความเสยง ดานเทคโนโลยสารสนเทศและการสอสารจงไดทบทวนแนวโนมของเทคโนโลยสารสนเทศทมการ พฒนาอยางตอเนองในการสนบสนนภารกจของ พพ. จากเอกสารเผยแพรของ Harvard Business Review ชอ The Digital Transformation of Business สามารถสรปแนวโนมเทคโนโลยสารสนเทศไดดงรปท 2

รปท 2 Transforming organizations and how People work

จากรปท 2 แสดงใหเหนวาแนวโนมการพฒนาเทคโนโลยสารสนเทศจะเนนพฒนา 4 เทคโนโลย คอ ระบบงานบนอปกรณสมารทดไวซ (Mobile) การวเคราะหขอมลขนาดใหญ (Big Data) การประมวลผลแบบคลาวด (Cloud) และการใชงานดานสงคมออนไลน (Social) ซ งเมอจดล าดบความเสยง ดานเทคโนโลยสารสนเทศทง 4 ดาน สามารถสรปไดดงรปท 3

Page 10: แผนบริหารความเสี่ยงด้าน ...ความหมายของการบร หารความเส ยง ความเส ยง

กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน กระทรวงพลงงาน

แผนบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน ประจ าปงบประมาณ 2561

4

รปท 3 Security risks are relative

จากรปท 3 พบวาแนวโนมความเสยงดานเทคโนโลยสารสนเทศในชวงป 2560 จะมทศทาง ตามเทคโนโลยสารสนเทศทมการใชงานกบองคกรใหญๆ โดยเรยงล าดบจากความเสยงสงไปหาความเสยงต าไดคอ 1) การประมวลผลแบบคลาวด (Cloud) 2) ระบบงานบนอปกรณสมารทดไวซ (Mobile) 3) ระบบงานเชอมโยงกบระบบสงคมออนไลน (Social) และ 4) ระบบการวเคราะหขอมลขนาดใหญ (Big Data) ดงนน คณะท างานบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสารจงไดน าแนวโนมดงกลาวมาพจารณาประเดนความเสยงและแนวทางการปองกนความเสยงส าหรบเทคโนโลยขางตนดวย

นอกจากนน คณะท างานบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร ยงไดมการทบทวน ปจจยเสยงตาง ๆ เพมเตมจากปทผาน ๆ มา โดยใชวธการส ารวจปจจยเสยง และไดน าเสนอปจจยเสยงในหองประชมคณะท างานฯ เพอรวมกนพจารณา ดงน

1. ความเสยงจากการถกโจมตโดยไวรส (Virus) หรอมลแวร (Malware) 2. การใชโปรแกรมทพฒนาโดย Outsource ขาดแผนบรหารความตอเนอง 3. ความเสยงจากความเสยหายของอปกรณทเกดจากสตวหรอแมลงกดแทะ 4. ความเสยงจากความชนหรออณหภมในหองคอมพวเตอรแมขาย 5. ความเสยงจากการขาดแคลนบคลากรดานเทคโนโลยสารสนเทศ 6. ความเสยงจากการส ารองขอมล การท างานระบบไมมเสถยรภาพ หรอท าการส ารองขอมล

แตขาดการอพเดท 7. ความเสยงจากการถก Black List โดย Search Engine

Page 11: แผนบริหารความเสี่ยงด้าน ...ความหมายของการบร หารความเส ยง ความเส ยง

กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน กระทรวงพลงงาน

แผนบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน ประจ าปงบประมาณ 2561

5

8. ขอมลทไดรบจากการส ารวจความตองการในการจดหาวสด อปกรณคอมพวเตอร ยงไมถกตอง ครบถวน และไมใชความตองการทแทจรง

9. แผนการจดหาพสดไมตรงกบความตองการ และไมสอดคลองกบงบประมาณทไดรบ 10. ไมสามารถรกษาบคลากรทมคณภาพอยในหนวยงานไดอยางมความสขและยงยน

2. ความหมายของการบรหารความเสยง

ความเสยง (Risk) หมายถง เหตการณหรอการกระท าใด ๆ ทจะเกดขนภายในสถานการณทไมแนนอนและจะสงผลกระทบหรอสรางความเสยหาย (ทงทเปนตวเงนและไมเปนตวเงน) หรอกอให เกดความลมเหลวหรอลดโอกาสทจะบรรลวตถประสงคและเปาหมายขององคกร ทงในดานยทธศาสตรการปฏบตงาน การเงนและ การบรการ ซงเปนผลกระทบทางบวกดวยกได โดยวดจากผลกระทบ (Impact) ทไดรบและโอกาสทจะเกด (Likelihood) ของเหตการณ

ปจจยเสยง (Risk Factor) หมายถง ตนเหตหรอสาเหตทมาของความเสยงทจะท าใหไมบรรลวตถประสงคทก าหนดไว โดยตองระบไดดวยวาเหตการณนนจะเกดทไหน เมอใดและเกดขนไดอยางไร และท าไม ทงน สาเหตของความเสยงทระบควรเปนสาเหตทแทจรง เพอจะไดวเคราะหและก าหนดมาตรการลดความเสยงในภายหลง ไดอยางถกตอง

การประเมนความเสยง (Risk Assessment) หมายถง กระบวนการระบความเสยง การวเคราะหความเสยง และจดล าดบความเสยง โดยการประเมนจากโอกาสทจะเกด (Likelihood) และผลกระทบ (Impact) เมอท าการประเมนแลว ท าใหทราบระดบของความเสยง (Degree of Risk) หมายถง สถานะของความเสยงทไดจากการประเมนโอกาสและผลกระทบของแตละปจจยเสยง แบงออกเปน 4 ระดบ คอ สงมาก สง ปานกลางและต า

การบรหารความเสยง (Risk Management) หมายถง กระบวนการทใชในการบรหารจดการใหโอกาส ทจะเกดเหตการณความเสยงลดลง หรอผลกระทบของความเสยหายจากเหตการณความเสยงลดลงอยในระดบ ทองคกรยอมรบได ซงการจดการความเสยง แบงโดยสรปไดเปน 4 แนวทางหลก คอการยอมรบ การลด การควบคม การยกเลกและการโอนยายหรอแบงความเสยง

การควบคม (Control) หมายถง นโยบาย แนวทางหรอขนตอนปฏบตตางๆ ซงกระท าเพอลดความเสยง และท าใหการด าเนนการบรรลวตถประสงค แบงได 4 ประเภท คอ การควบคมเพอการปองกน การควบคมเพอ ใหตรวจสอบ การควบคมเพอการชแนะและการควบคมเพอการแกไข

ทรพยสน (Asset) หมายถง ทรพยสนตางๆ ขององคกรแบงเปน 5 หมวด ไดแก หมวดขอมล หมวดบคลากร หมวดฮารดแวร หมวดซอฟตแวร และหมวดบรการ งบประมาณทใชในการลงทนของโครงการ งบประมาณทใช ในการด าเนนงาน เงนทใชเปนคาจางตางๆ ในการด าเนนกจกรรม ตามภารกจขององคกร

Page 12: แผนบริหารความเสี่ยงด้าน ...ความหมายของการบร หารความเส ยง ความเส ยง

กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน กระทรวงพลงงาน

แผนบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน ประจ าปงบประมาณ 2561

6

หลกการวเคราะห ประเมน และจดท าความเสยงอยางเหมาะสม ตามกระบวนการบรหารความเสยง ตามมาตรฐาน COSO (Committee of Sponsoring Organizations of the Treadway Commission) มดงน

1. การก าหนดเปาหมายการบรหารความเสยง (Objective Setting)

2. การระบความเสยงตางๆ (Event Identification)

3. การประเมนความเสยง (Risk Assessment)

4. กลยทธทใชในการจดการกบแตละความเสยง (Risk Response)

5. กจกรรมการบรหารความเสยง (Control Activities)

6. ขอมลและการสอสารดานบรหารความเสยง (Information and Communication)

7. การตดตามผลและเฝาระวงความเสยงตางๆ (Monitoring)

ทงน ในการจดท าแผนบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร พพ. ไดมผเชยวชาญดานการตรวจประเมนความเสยงดานเทคโนโลยสารสนเทศและการสอสารจากภายนอกเปนผตรวจและรบรองผลการประเมน โดยมการทดสอบชองโหวการเขาถงระบบเทคโนโลยสารสนเทศและการสอสารดวยเครองมอการทดสอบทเหมาะสมรวมดวย

3. วตถประสงค

1. เพอใหการจดการภายใตศนยสารสนเทศขอมลพลงงานทดแทนและอนรกษพลงงาน พพ. มประสทธภาพและมความยดหยนในการปรบตวใหทนตอการเปลยนแปลงของเทคโนโลยสารสนเทศสมยใหม รวมทงลดโอกาสทจะกอใหเกดความเสยหายทไมตองการกบระบบเทคโนโลยสารสนเทศและการสอสาร

2. เพอเตรยมความพรอมและรองรบสถานการณฉกเฉน ทจะเกดขนกบระบบเทคโนโลยสารสนเทศและการสอสารของ พพ. เพอใหมการวางแผน ควบคม แกไขความเสยงดานเทคโนโลยสารสนเทศและการสอสาร

3. เพอเปนแนวทางการด าเนนการ ก ากบดแล ตรวจสอบเกยวกบการบรหารจดการและการเผยแพรความรความเขาใจเกยวกบการบรหารจดการความเสยงดานเทคโนโลยสารสนเทศและการสอสาร

4. เพอชวยเพมประสทธภาพการตดสนใจ โดยค านงถงปจจยเสยงและความเสยงในดานตางๆ ทนาจะมผลกระทบกบการด าเนนงาน วตถประสงคและนโยบาย แลวพจารณาหาแนวทางในการปองกนหรอจดการ กบความเสยงเหลานน กอนทจะเรมปฏบตงานหรอด าเนนงานตามแผน

4. ขอบเขตการด าเนนการ

เปนการบรหารจดการความเสยงดานเทคโนโลยสารสนเทศและการสอสาร ภายในความรบผดชอบ ของศนยสารสนเทศขอมลพลงงานทดแทนและอนรกษพลงงาน พพ.

Page 13: แผนบริหารความเสี่ยงด้าน ...ความหมายของการบร หารความเส ยง ความเส ยง

กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน กระทรวงพลงงาน

แผนบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน ประจ าปงบประมาณ 2561

7

5. คณะท างานบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร

ล าดบ ชอ นามสกล ต าแหนง ความรบผดชอบ

1. ผอ านวยการศนยสารสนเทศขอมล พลงงานทดแทนและอนรกษพลงงาน

ผศส. ประธานคณะท างาน

2. ผอ านวยการกลมเทคโนโลยสารสนเทศ ผทส. คณะท างาน

3. ผอ านวยการกลมพฒนาระบบงานสารสนเทศ

ผพส. คณะท างาน

4. ผอ านวยการกลมสถตและขอมลพลงงาน ผสข. คณะท างาน

5. ผอ านวยการกลมบรการสารสนเทศและภมสารสนเทศ

ผบภ. คณะท างาน

6. ผอ านวยการกลมองคความรพลงงานทดแทนและอนรกษพลงงาน

ผอร. คณะท างาน

7. นายกตตพงค หมปลง นกวชาการคอมพวเตอรช านาญการ คณะท างาน

8. นางสดใจ สงหสตย นกวชาการคอมพวเตอรช านาญการ คณะท างาน

9. นายอศศวศ ศรบาง นกวเคราะหนโยบายและแผนช านาญการ คณะท างาน

10. นางสาวพชรนทร ใจเสงยม นกวเคราะหนโยบายและแผนช านาญการ คณะท างาน

11. นางสาวรศม ปยะลงกา นกจดการงานทวไปช านาญการ คณะท างาน

12. นางเตมดวง จนดาภคกล พนกงานธรการ ส4 คณะท างาน

13. นายสทธพงษ แกนจนทร นกวชาการคอมพวเตอรช านาญการ คณะท างาน

14. นางสาวภสรนทร เพชรช าล นกวเคราะหนโยบายและแผนปฏบตการ คณะท างาน

15. นางสาวนยนา บญนาค นกวชาการคอมพวเตอรช านาญการ คณะท างาน และเลขานการ

16. นายอนวช ศรสงข นกวชาการคอมพวเตอรช านาญการ คณะท างาน และผชวยเลขานการ

17. นายวนชย กาสา เจาพนกงานคอมพวเตอร คณะท างาน และผชวยเลขานการ

Page 14: แผนบริหารความเสี่ยงด้าน ...ความหมายของการบร หารความเส ยง ความเส ยง

กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน กระทรวงพลงงาน

แผนบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน ประจ าปงบประมาณ 2561

8

6. การประเมนความเสยง (Risk Assessment)

การวเคราะหความเสยง จากการวเคราะหความเสยงดานสารสนเทศของ พพ. สามารถแยกประเภทความเสยงเปน 5 ประเภท ดงน

ความเสยงดานเทคนค เปนความเสยงทเกดขนจากระบบคอมพวเตอร เครองมอและอปกรณ ถกโจมตจากไวรสหรอโปรแกรมไมประสงคด ถกกอกวนจาก Hacker ถกเจาะท าลายระบบ จาก Cracker เปนตน

ความเสยงจากผปฏบตงาน เปนความเสยงทเกดขนจากการด าเนนการ การจดความส าคญ ในการเขาถงขอมลไมเหมาะสมกบการใชงานหรอการใหบรการ โดยผใชเขาสระบบเทคโนโลยสารสนเทศและการสอสาร หรอใชขอมลตางๆ ของ พพ. เกนกวาอ านาจหนาทของตนเองทมอยและ ท าใหเกดความเสยหายตอขอมลสารสนเทศได

ความเสยงจากภยคกคามหรอภยพบต เปนความเสยงท เกดจากภยพบตตามธรรมชาตหรอสถานการณรายแรงทกอใหเกดความเสยหายรายแรงกบขอมลสารสนเทศ เชน ไฟฟาขดของ น าทวม ไฟไหม อาคารถลม การชมนมประทวงหรอความไมสงบเรยบรอยในบานเมอง เปนตน

ความเสยงดานการบรหารจดการ เปนความเสยงจากแนวนโยบายในการบรหารจดการทสงผลกระทบตอการด าเนนการดานสารสนเทศ

ความเสยงจากปจจยภายนอก เปนความเสยงทเกดจากการใหบรการของหนวยงานภายนอก พพ. ซง พพ. จ าเปนตองใชบรการดงกลาว รวมทง อยนอกเหนอการบรหารจดการหรอการควบคม พพ. ไมสามารถปองกนการหยดหรอระงบการใหบรการได ซง พพ. จะตองวางแผนการในลดผลกระทบจากความเสยหายทจะเกดขนจากการไมไดรบบรการดงกลาว

ทงน ลกษณะรายละเอยดของความเสยง (Description of Risk) แสดงตามตารางท 1

Page 15: แผนบริหารความเสี่ยงด้าน ...ความหมายของการบร หารความเส ยง ความเส ยง

กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน กระทรวงพลงงาน

แผนบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน ประจ าปงบประมาณ 2561

9

ตารางท 1 รายละเอยดของความเสยง (Description of Risk)

ชอความเสยง รหส ประเภทความเสยง ลกษณะความเสยง ปจจยเสยง/สงคกคาม ผลกระทบ/ผไดรบผลกระทบ

1. ความเสยงจากสภาพแวดลอม ความชนหรออณหภมในหองปฏบตการคอมพวเตอร

RIT01 ความเสยงดานเทคนค/ ความเสยงจากผปฏบตงาน

ความเสยงจากประสทธภาพและความนาเชอถอของระบบลดลง และท าใหเครองหยดการท างานได

- ระบบเครองปรบอากาศขดของ

- น าหรออากาศรวเขาหองปฏบตการคอมพวเตอร

- เครองคอมพวเตอรแมขาย - ระบบฐานขอมล - ระบบงานสารสนเทศ - ผใชงาน - ผดแลระบบ

2. ความเสยงจากการ เกดไฟไหม น าทวม แผนดนไหว อาคารถลม

RIT02 ความเสยงจากภยคกคามหรอภยพบต

การเกดไฟไหมอาคารหรอแผนดนไหว จนอาคารถลม ไมสามารถเคลอนยาย เครองคอมพวเตอรและอปกรณตางๆ ได สงผล ท าใหระบบคอมพวเตอรและระบบเครอขายหลกไดรบความเสยหายบางสวน หรอไดรบความเสยหายทงหมด หรอการเกดน าทวมจนตองด าเนนการตดกระแสไฟฟาและไมสามารถใชงานระบบคอมพวเตอรและระบบเครอขายหลกได

- ไฟไหม จากอบตเหตไฟฟาลดวงจร การวางเพลง

- ภยธรรมชาต

- เครองคอมพวเตอรแมขาย - อปกรณเครอขาย - ระบบฐานขอมล - ระบบงานสารสนเทศ - ผใชงาน - ผดแลระบบ

Page 16: แผนบริหารความเสี่ยงด้าน ...ความหมายของการบร หารความเส ยง ความเส ยง

กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน กระทรวงพลงงาน

แผนบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน ประจ าปงบประมาณ 2561

10

ตารางท 1 รายละเอยดของความเสยง (Description of Risk) – (ตอ)

ชอความเสยง รหส ประเภทความเสยง ลกษณะความเสยง ปจจยเสยง/สงคกคาม ผลกระทบ/ผไดรบผลกระทบ

3. ความเสยงจากการถก บกรก โดยผไมประสงคด การถกโจมตโดยไวรส (Virus) หรอมลแวร (Malware)

RIT03 ความเสยงดานเทคนค/ ความเสยงจากผปฏบตงาน

การบกรกโจมตโดยผไมประสงคด เชน Hacker เปนตน การดกจบขอมล การสงขอมลค าสงเจตนาราย การตดไวรสหรอเวรม การเปลยนแปลงแกไขขอมลบนเวบไซตหรอระบบฐานขอมล

- Hacker/ Cracker - การโจมตการใหบรการ

(denial of services/ DOS) - การดกจบขอมล - ค าสงเจตนาราย - ความผดพลาดของซอฟตแวร

หรอการเขยนโปรแกรม - ไวรส/ เวรม

- เครองคอมพวเตอรแมขาย - ระบบฐานขอมล - ระบบงานสารสนเทศ - ผใชงาน - ผดแลระบบ

4. ความเสยงจากการเชอมตอเครอขาย อนเทอรเนตลมเหลวหรอไมสามารถ ใชงานได

RIT04 ความเสยงดานเทคนค พพ. ไมสามารถใชงานระบบเครอขายอนเทอรเนตในการรบ - สงขอมลตางๆ ได

- ความลมเหลวทางเทคนค - การด าเนนการของหนวยงาน

ภายนอกทมผลกระทบตอระบบเครอขายของ พพ.

- ระบบเครอขายสอสาร - ระบบงานสารสนเทศ - ผใชงาน - ผดแลระบบ

5. ความเสยงจากการละเมดลขสทธ

RIT05 ความเสยงจากผปฏบตงาน

การตดตงและใชงานซอฟตแวรทไมมลขสทธถกตองตามกฎหมายบนเครองคอมพวเตอร ของ พพ. สงผลให พพ. ถกฟองรองได

- พพ. ถกฟองรองการละเมดลขสทธ

- เครองคอมพวเตอร - อธบด พพ. - ผดแลระบบ

Page 17: แผนบริหารความเสี่ยงด้าน ...ความหมายของการบร หารความเส ยง ความเส ยง

กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน กระทรวงพลงงาน

แผนบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน ประจ าปงบประมาณ 2561

11

ตารางท 1 รายละเอยดของความเสยง (Description of Risk) – (ตอ)

ชอความเสยง รหส ประเภทความเสยง ลกษณะความเสยง ปจจยเสยง/สงคกคาม ผลกระทบ/ผไดรบผลกระทบ

6. ความเสยงจากการไดรบงบประมาณในการปรบปรง บ ารงรกษาและจดหาระบบงานสารสนเทศ ระบบเครอขาย ระบบคอมพวเตอรไมเพยงพอ

RIT06 ความเสยงดาน การบรหารจดการ

ระบบงานสารสนเทศและระบบคอมพวเตอรไมไดรบการปรบปรงใหมความทนสมยหรอความปลอดภยตามทผพฒนาระบบหรอบรษทผผลตไดก าหนดท าใหมความเสยงดานระบบงานไมสามารถสนบสนนการท างานปจจบนได

- ความลมเหลวทางเทคนค - การโจมตการใหบรการ

(denial of services/ DOS) - การดกจบขอมล

- เครองคอมพวเตอรแมขาย - เครองคอมพวเตอร - ระบบฐานขอมล - ระบบงานสารสนเทศ - ผดแลระบบ

7. ความเสยงจากผใชงานสารสนเทศขาดความระมดระวงและการตระหนกถงความส าคญของความปลอดภยดานสารสนเทศ

RIT07 ความเสยงจากผปฏบตงาน

การใชงานสารสนเทศโดยขาดความระมดระวง ท าใหถกบกรกโจมตโดยผไมประสงคดหรอ ถกดกจบขอมลส าคญ หรอการสงขอมลค าสงเจตนาราย หรอการตดไวรสหรอเวรม ซงสงผลกระทบตอระบบงานสารสนเทศของ พพ.

- Hacker/ Cracker - การโจมตการใหบรการ

(denial of services/ DOS) - การดกจบขอมล - ค าสงเจตนาราย - ไวรส/ เวรม

- เครองคอมพวเตอรแมขาย - เครองคอมพวเตอร - ระบบฐานขอมล - ระบบงานสารสนเทศ - ระบบเครอขาย - ผใชงาน - ผดแลระบบ

Page 18: แผนบริหารความเสี่ยงด้าน ...ความหมายของการบร หารความเส ยง ความเส ยง

กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน กระทรวงพลงงาน

แผนบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน ประจ าปงบประมาณ 2561

12

ตารางท 1 รายละเอยดของความเสยง (Description of Risk) – (ตอ)

ชอความเสยง รหส ประเภทความเสยง ลกษณะความเสยง ปจจยเสยง/สงคกคาม ผลกระทบ/ผไดรบผลกระทบ

8. ความเสยงจากกระแส ไฟฟาขดของ ไฟฟาดบ แรงดนไฟฟาไมคงท จากการไฟฟานครหลวง

RIT08 ความเสยงจากปจจยภายนอก

การเกดกระแสไฟฟาขดของหรอเกดแรงดนไฟฟา ไมคงท ท าใหเครองคอมพวเตอรและอปกรณ ไดรบความเสยหายจากแรงดนไฟฟาทไมคงท หรอเมอกระแสไฟฟาขดของ ท าใหเครองแมขายคอมพวเตอรถกปดไปโดยไมสมบรณ ท าใหขอมลสารสนเทศบางสวนเกดการสญหายและ การใหบรการบางประเภทไมสามารถเปดใชงานไดโดยอตโนมต

- แหลงก าเนดไฟฟาขดของ หรอแรงดนไฟฟาไมคงท

- เครองคอมพวเตอรแมขาย - เครองคอมพวเตอร - ระบบฐานขอมล - ระบบงานสารสนเทศ - ระบบเครอขาย - ผใชงาน - ผดแลระบบ

9. ความเสยงจากการตดตงระบบงานและฐานขอมล ไวทเครอขายภายนอก พพ.

RIT09 ความเสยงดานเทคนค/ ความเสยงจากผปฏบตงาน

การบกรกโจมตโดยผไมประสงคด เชน Hacker เปนตน การดกจบขอมล การสงขอมลค าสงเจตนาราย การตดไวรสหรอเวรม การเปลยนแปลงแกไขขอมลบนเวบไซตหรอระบบฐานขอมล รวมไปถงการทระบบงาน ไมสามารถใชงานได อนเกดจากความบกพรองของผดแลระบบภายนอก พพ.

- Hacker/ Cracker - การโจมตการใหบรการ

(denial of services/ DOS) - การดกจบขอมล - ค าสงเจตนาราย - ความผดพลาดของซอฟตแวร

หรอการเขยนโปรแกรม - ไวรส/ เวรม - ความลมเหลวทางเทคนค

- เครองคอมพวเตอรแมขาย - ระบบฐานขอมล - ระบบงานสารสนเทศ - ผใชงาน - ผดแลระบบ

Page 19: แผนบริหารความเสี่ยงด้าน ...ความหมายของการบร หารความเส ยง ความเส ยง

กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน กระทรวงพลงงาน

แผนบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน ประจ าปงบประมาณ 2561

13

ตารางท 1 รายละเอยดของความเสยง (Description of Risk) – (ตอ)

ชอความเสยง รหส ประเภทความเสยง ลกษณะความเสยง ปจจยเสยง/สงคกคาม ผลกระทบ/ผไดรบผลกระทบ

10. ความเสยงจากคณภาพ ของระบบทจางพฒนาและสงมอบใหกบ พพ.

RIT10 ความเสยงดานเทคนค/ ความเสยงจากผปฏบตงาน

การจดซอ/ จดจางพฒนาระบบงาน โดยหนวยงานอน และไมผานการพจารณาขอก าหนดจากเจาหนาทเทคนค สงผลตอ ความเสยงการบ ารงรกษาระบบในภายหลง ทไมเปนไปตามนโยบายความมนคงปลอดภย ของสารสนเทศ

- Hacker/ Cracker - การดกจบขอมล - ค าสงเจตนาราย - ความผดพลาดของซอฟตแวร

หรอการเขยนโปรแกรม - ไวรส/ เวรม

- เครองคอมพวเตอรแมขาย - ระบบฐานขอมล - ระบบงานสารสนเทศ - ผใชงาน - ผดแลระบบ

Page 20: แผนบริหารความเสี่ยงด้าน ...ความหมายของการบร หารความเส ยง ความเส ยง

กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน กระทรวงพลงงาน

แผนบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน ประจ าปงบประมาณ 2561

14

7. การประมาณความเสยง (Risk Estimation)

เปนการดปญหาความเสยงในแงของโอกาสการเกดเหต (Incident) หรอเหตการณ (Event) วามมากนอยเพยงไร และผลทตามมามความรนแรงหรอเสยหายมากนอยเพยงใด

เกณฑการประมาณ เปนการก าหนดเกณฑทจะใชในการประมาณความเสยง ไดแก ระดบโอกาส ทจะเกดความเสยง ระดบความรนแรงของผลกระทบและระดบความเสยง ซง พพ. ใชเกณฑดงน

ระดบโอกาสในการเกดเหตการณตางๆ

ระดบ โอกาสทจะเกด ค าอธบาย

5 สงมาก > 4 ครง/ป 4 สง 4 ครง/ป 3 ปานกลาง 3 ครง/ป 2 นอย 2 ครง/ป 1 นอยมาก/ไมเกด 1 ครง/ป

ในสวนการประเมนระดบความรนแรงของผลกระทบของความเสยง ทงทเปนตวเงนและไมเปนตวเงน ทเกดขน มแนวทางการประเมนดงน

ผลกระทบดานการเงน เปนผลกระทบหรอความเสยหายทเกดจากความเสยงและสามารถประเมนคาเปนตวเงนได ไดแก

- ผลกระทบจากคาความเสยหายในดานตางๆ ตอทรพยสน - ผลกระทบจากการลงทน/ การรวมลงทน - ผลกระทบคาใชจายการลงทน - ผลกระทบตอการเบกจายงบประมาณ

ผลกระทบตอการด าเนนพนธกจและความสามารถการเปนผน าดาน ICT มาใชประโยชนและเกดประสทธภาพสงสดหรอการบรรลพนธกจและวสยทศนขององคกร เปนผลกระทบทม ความเสยหายกบการด าเนนงานขององคกรในภาพโดยรวม รวมถงความสามารถในการเปนผน าทางดานสารสนเทศขององคกร ไดแก

- ผลกระทบจากปจจยภายนอก นโยบายรฐบาล และกฎหมาย - ผลกระทบจากการสญเสยแนวรวมกบผมสวนเกยวของ Stakeholder - ผลกระทบจากการสญเสยความเชอมนและภาพลกษณขององคกรในการตดตองาน - ผลกระทบตอระบบเทคโนโลยสารสนเทศ - ผลกระทบจากการด าเนนงานตามแผนงาน/ โครงการ

Page 21: แผนบริหารความเสี่ยงด้าน ...ความหมายของการบร หารความเส ยง ความเส ยง

กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน กระทรวงพลงงาน

แผนบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน ประจ าปงบประมาณ 2561

15

ผลกระทบดานชอเสยงขององคกร เปนความเสยหายตอชอเสยง ไมวาจะเปนผลจากการ ด าเนนงานทงทางตรงและทางออม ทสงผลตอภาพพจนและความเชอถอขององคกร เชน มการเผยแพรขาวในสอสงพมพ เปนตน

จากแนวทางการประเมนผลกระทบขางตน เมอพจารณารวมกบกรอบการด าเนนงานของ พพ. ซงเปนองคกรภาครฐทไมไดมงเนนในดานการแขงขนทางธรกจ ดงนนในแนวทางการประเมนผลกระทบจงไดเลอกใชการวเคราะหผลกระทบดานการเงนหรอผลกระทบตอระบบเทคโนโลยสารสนเทศในการจดระดบความรนแรงของผลกระทบของความเสยงไดดงน

ระดบความรนแรงของผลกระทบของความเสยง

ระดบ ผลกระทบ ค าอธบาย

5 สงมาก > 10 ลานบาท หรอ เกดความสญเสยตอระบบเทคโนโลยสารสนเทศและการสอสาร ทส าคญทงหมดและเกดความเสยหายอยางมาก ตอความปลอดภยของขอมลตางๆ

4 สง > 5 แสนบาท – 10 ลานบาท หรอ เกดปญหากบระบบเทคโนโลยสารสนเทศและการสอสาร ทส าคญ และระบบความปลอดภยซงสงผลตอความถกตองของขอมลบางสวน

3 ปานกลาง > 2.5 แสนบาท – 5 แสนบาท หรอ ระบบมปญหาและมความสญเสยไมมาก

2 นอย > 1 แสนบาท – 2.5 แสนบาท หรอ เกดเหตรายเลกนอยทแกไขได

1 นอยมาก/ไมเกด ไมเกน 100,000 บาท หรอ เกดเหตรายทไมมความส าคญ

ทงน จากการประมาณความเสยงขางตน สามารถแสดงรายละเอยดขอมลดงตารางท 2

Page 22: แผนบริหารความเสี่ยงด้าน ...ความหมายของการบร หารความเส ยง ความเส ยง

กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน กระทรวงพลงงาน

แผนบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน ประจ าปงบประมาณ 2561

16

ตารางท 2 การประมาณความเสยง (Risk Estimation)

ชอความเสยง ประเภทความเสยง ลกษณะความเสยง ปจจยเสยง/ สงคกคาม

ผลกระทบ/ ผไดรบผลกระทบ

โอกาสเกด/ความถ

ความรนแรง

1. ความเสยงจากสภาพแวดลอม ความชนหรออณหภมในหองปฏบตการคอมพวเตอร

ความเสยงดานเทคนค/ ความเสยงจากผปฏบตงาน

ความเสยงจากประสทธภาพและความนาเชอถอของระบบลดลง และท าใหเครองหยดการท างานได

- ระบบเครองปรบอากาศขดของ

- น าหรออากาศรวเขาหองปฏบตการคอมพวเตอร

- เครองคอมพวเตอร แมขาย

- ระบบฐานขอมล - ระบบงานสารสนเทศ - ผใชงาน - ผดแลระบบ

3 5

2. ความเสยงจากการเกด ไฟไหม น าทวม แผนดนไหว อาคารถลม

ความเสยงจากภยคกคามหรอภยพบต

การเกดไฟไหมอาคารหรอแผนดนไหว จนอาคารถลมไมสามารถเคลอนยาย เครองคอมพวเตอรและอปกรณตางๆ ได สงผลท าใหระบบคอมพวเตอรและระบบเครอขายหลกไดรบความเสยหายบางสวน หรอไดรบความเสยหายทงหมด หรอการเกด น าทวมจนตองด าเนนการตดกระแสไฟฟาและ ไมสามารถใชงานระบบคอมพวเตอรและ ระบบเครอขายหลกได

- ไฟไหม จากอบตเหตไฟฟาลดวงจร การวางเพลง

- ภยธรรมชาต

- เครองคอมพวเตอร แมขาย

- อปกรณเครอขาย - ระบบฐานขอมล - ระบบงานสารสนเทศ

- ผใชงาน - ผดแลระบบ

2 5

Page 23: แผนบริหารความเสี่ยงด้าน ...ความหมายของการบร หารความเส ยง ความเส ยง

กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน กระทรวงพลงงาน

แผนบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน ประจ าปงบประมาณ 2561

17

ตารางท 2 การประมาณความเสยง (Risk Estimation) – (ตอ)

ชอความเสยง ประเภทความเสยง ลกษณะความเสยง ปจจยเสยง/ สงคกคาม

ผลกระทบ/ ผไดรบผลกระทบ

โอกาสเกด/ความถ

ความรนแรง

3. ความเสยงจากการถกบกรก โดยผไมประสงคด การถกโจมตโดยไวรส (Virus) หรอมลแวร (Malware)

ความเสยงดานเทคนค/ ความเสยงจากผปฏบตงาน

การบกรกโจมตโดยผไมประสงคด เชน Hacker เปนตน การดกจบขอมล การสงขอมลค าสงเจตนาราย การตดไวรส หรอเวรม การเปลยนแปลงแกไขขอมลบนเวบไซตหรอระบบฐานขอมล

- Hacker/ Cracker - การโจมตการใหบรการ

(denial of services/ DOS)

- การดกจบขอมล - ค าสงเจตนาราย - ความผดพลาดของ

ซอฟตแวรหรอการเขยนโปรแกรม

- ไวรส/ เวรม

- เครองคอมพวเตอร แมขาย

- ระบบฐานขอมล - ระบบงานสารสนเทศ - ผใชงาน - ผดแลระบบ

3 5

4. ความเสยงจากการเชอมตอเครอขาย อนเทอรเนตลมเหลวหรอไมสามารถ ใชงานได

ความเสยงดานเทคนค พพ. ไมสามารถใชงานระบบเครอขายอนเทอรเนตในการรบ - สงขอมลตางๆ ได

- ความลมเหลวทางเทคนค

- การด าเนนการของหนวยงานภายนอก ทมผลกระทบตอระบบเครอขายของ พพ.

- ระบบเครอขายสอสาร - ระบบงานสารสนเทศ - ผใชงาน - ผดแลระบบ

2 4

Page 24: แผนบริหารความเสี่ยงด้าน ...ความหมายของการบร หารความเส ยง ความเส ยง

กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน กระทรวงพลงงาน

แผนบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน ประจ าปงบประมาณ 2561

18

ตารางท 2 การประมาณความเสยง (Risk Estimation) – (ตอ)

ชอความเสยง ประเภท

ความเสยง ลกษณะความเสยง

ปจจยเสยง/ สงคกคาม

ผลกระทบ/ ผไดรบผลกระทบ

โอกาสเกด/ความถ

ความรนแรง

5. ความเสยงจากการละเมดลขสทธ

ความเสยงจากผปฏบตงาน

การตดตงและใชงานซอฟตแวรทไมมลขสทธถกตองตามกฎหมายบนเครองคอมพวเตอร ของ พพ. สงผลให พพ. ถกฟองรองได

- พพ. ถกฟองรอง การละเมดลขสทธ

- เครองคอมพวเตอร - อธบด พพ. - ผดแลระบบ

2 4

6. ความเสยงจากการไดรบงบประมาณในการปรบปรง บ ารงรกษาและจดหาระบบงานสารสนเทศ ระบบเครอขาย ระบบคอมพวเตอรไมเพยงพอ

ความเสยงดาน การบรหารจดการ

ระบบงานสารสนเทศและระบบคอมพวเตอรไมไดรบการปรบปรงใหมความทนสมยหรอความปลอดภยตามทผพฒนาระบบหรอบรษทผผลตไดก าหนดท าใหมความเสยงดานระบบงานไมสามารถสนบสนนการท างานปจจบนได

- ความลมเหลวทางเทคนค

- การโจมตการใหบรการ (denial of services/ DOS)

- การดกจบขอมล

- เครองคอมพวเตอร แมขาย

- เครองคอมพวเตอร - ระบบฐานขอมล - ระบบงานสารสนเทศ

- ผดแลระบบ

3 3

7. ความเสยงจากผใชงานสารสนเทศขาดความระมดระวงและ การตระหนกถงความส าคญของความปลอดภยดานสารสนเทศ

ความเสยงจากผปฏบตงาน

การใชงานสารสนเทศโดยขาดความระมดระวง ท าใหถกบกรกโจมตโดยผไมประสงคดหรอ ถกดกจบขอมลส าคญ หรอการสงขอมลค าสงเจตนาราย หรอการตดไวรสหรอเวรม ซงสงผลกระทบตอระบบงานสารสนเทศของ พพ.

- Hacker/ Cracker - การโจมตการใหบรการ

(denial of services/ DOS)

- การดกจบขอมล - ค าสงเจตนาราย - ไวรส/ เวรม

- เครองคอมพวเตอร แมขาย

- เครองคอมพวเตอร - ระบบฐานขอมล - ระบบงานสารสนเทศ - ระบบเครอขาย - ผใชงาน - ผดแลระบบ

5 3

Page 25: แผนบริหารความเสี่ยงด้าน ...ความหมายของการบร หารความเส ยง ความเส ยง

กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน กระทรวงพลงงาน

แผนบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน ประจ าปงบประมาณ 2561

19

ตารางท 2 การประมาณความเสยง (Risk Estimation) – (ตอ)

ชอความเสยง ประเภท

ความเสยง ลกษณะความเสยง

ปจจยเสยง/ สงคกคาม

ผลกระทบ/ ผไดรบผลกระทบ

โอกาสเกด/ความถ

ความรนแรง

8. ความเสยงจากกระแสไฟฟาขดของ ไฟฟาดบแรงดนไฟฟาไมคงท จากการไฟฟานครหลวง

ความเสยงจากปจจยภายนอก

การเกดกระแสไฟฟาขดของ หรอเกดแรงดน ไฟฟาไมคงท ท าใหเครองคอมพวเตอรและอปกรณไดรบความเสยหายจากแรงดนไฟฟา ทไมคงทหรอเมอกระแสไฟฟาขดของ ท าใหเครองแมขายคอมพวเตอรถกปดไป โดยไมสมบรณ ท าใหขอมลสารสนเทศบางสวนเกดการสญหายและการใหบรการบางประเภทไมสามารถเปดใชงานไดโดยอตโนมต

- แหลงก าเนดไฟฟาขดของหรอแรงดน ไฟฟาไมคงท

- เครองคอมพวเตอร แมขาย

- เครองคอมพวเตอร - ระบบฐานขอมล - ระบบงานสารสนเทศ - ระบบเครอขาย - ผใชงาน - ผดแลระบบ

3 4

Page 26: แผนบริหารความเสี่ยงด้าน ...ความหมายของการบร หารความเส ยง ความเส ยง

กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน กระทรวงพลงงาน

แผนบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน ประจ าปงบประมาณ 2561

20

ตารางท 2 การประมาณความเสยง (Risk Estimation) – (ตอ)

ชอความเสยง ประเภท

ความเสยง ลกษณะความเสยง

ปจจยเสยง/ สงคกคาม

ผลกระทบ/ ผไดรบผลกระทบ

โอกาสเกด/ความถ

ความรนแรง

9. ความเสยงจากการตดตงระบบงานและฐานขอมลไวทเครอขายภายนอก พพ.

ความเสยงดานเทคนค/ ความเสยงจากผปฏบตงาน

การบกรกโจมตโดยผไมประสงคด เชน Hacker เปนตน การดกจบขอมล การสงขอมลค าสงเจตนาราย การตดไวรสหรอเวรม การเปลยนแปลงแกไขขอมลบนเวบไซตหรอระบบฐานขอมล รวมไปถงการทระบบงาน ไมสามารถใชงานได อนเกดจากความบกพรองของผดแลระบบภายนอก พพ.

- Hacker/ Cracker - การโจมตการใหบรการ

(denial of services/ DOS)

- การดกจบขอมล - ค าสงเจตนาราย - ความผดพลาดของ

ซอฟตแวรหรอการเขยนโปรแกรม

- ไวรส/ เวรม - ความลมเหลว

ทางเทคนค

- เครองคอมพวเตอร แมขาย

- ระบบฐานขอมล - ระบบงานสารสนเทศ - ผใชงาน - ผดแลระบบ

2 3

10. ความเสยงจากคณภาพ ของระบบทจางพฒนาและสงมอบใหกบ พพ.

ความเสยงดานเทคนค/ ความเสยงจากผปฏบตงาน

การจดซอ/ จดจางพฒนาระบบงาน โดยหนวยงานอนและไมผานการพจารณาขอก าหนดจากเจาหนาทเทคนค สงผลตอ ความเสยงการบ ารงรกษาระบบในภายหลง ทไมเปนไปตามนโยบายความมนคงปลอดภยของสารสนเทศ

- Hacker/ Cracker - การดกจบขอมล - ค าสงเจตนาราย - ความผดพลาดของ

ซอฟตแวรหรอการเขยนโปรแกรม

- ไวรส/ เวรม

- เครองคอมพวเตอร แมขาย

- ระบบฐานขอมล - ระบบงานสารสนเทศ - ผใชงาน - ผดแลระบบ

4 5

Page 27: แผนบริหารความเสี่ยงด้าน ...ความหมายของการบร หารความเส ยง ความเส ยง

กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน กระทรวงพลงงาน

แผนบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน ประจ าปงบประมาณ 2561

21

8. การประเมนคาความเสยง (Risk Evaluation)

การประเมนคาความเสยงจะพจารณาจากปจจยขนตอนทผานมา ไดแก โอกาสทภยคกคามทเกดขนท าใหระบบขาดความมนคง ระดบผลกระทบหรอความรนแรงของภยคกคามทมตอระบบและประสทธภาพ ของแผนการควบคมความปลอดภยของระบบ การวดระดบความเสยงมการก าหนดแผนภมความเสยงทไดจากการพจารณาจดระดบความส าคญของความเสยงจากโอกาสทจะเกดความเสยงและผลกระทบทเกดขนและขอบเขตของระดบความเสยงทสามารถยอมรบได

ระดบความเสยง = โอกาสในการเกดเหตการณตางๆ (ความถ) X ความรนแรงของเหตการณตางๆ (ผลกระทบ)

ซงใชเกณฑในการจดแบง ดงน

ระดบคะแนนความเสยง จดระดบความเสยง กลยทธในการจดการความเสยง พนทส

1 - 8 ต า ยอมรบความเสยง ขาว

9 - 12 ปานกลาง ยอมรบความเสยง (มมาตรการตดตาม) เหลอง

13 - 20 สง ควบคมความเสยง (มแผนควบคมความเสยง) สม

21 - 25 สงมาก ถายโอนความเสยง แดง

8.1 แผนภมความเสยง (Risk Map)

การวดระดบความเสยง

ความเสยงปานกลาง ความเสยงสง

- ผลกระทบรนแรงมาก - ผลกระทบรนแรงมาก

- โอกาสเกดนอย - โอกาสเกดมาก

ความเสยงต า ความเสยงปานกลาง

- ผลกระทบนอย - ผลกระทบนอย

- โอกาสเกดนอย - โอกาสเกดมาก

ผลกระทบ

มาก

นอย โอกาสทจะเกด มาก

Page 28: แผนบริหารความเสี่ยงด้าน ...ความหมายของการบร หารความเส ยง ความเส ยง

กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน กระทรวงพลงงาน

แผนบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน ประจ าปงบประมาณ 2561

22

8.2 การประเมนคาความเสยงทเกดขน

5 5 10 15 20 25

4 4 8 12 16 20

3 3 6 9 12 15

2 2 4 6 8 10

1 1 2 3 4 5

1 2 3 4 5

ทงน สามารถสรปผลการประเมนคาความเสยงแสดงดงตารางท 3 และสามารถแสดงแผนภม

ความเสยงดานสารสนเทศ (Risk Map) ดงรปท 4

โอกาสทจะเกด/ความถ

ผลกระท

บ/คว

ามรน

แรง

ความเสยงสง

ความเสยงปานกลาง

ความเสยงตา (สามารถยอมรบได)

สแดง

สสม

สเแดง สเหลอง

สขาว

ความเสยงสงมาก

Page 29: แผนบริหารความเสี่ยงด้าน ...ความหมายของการบร หารความเส ยง ความเส ยง

กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน กระทรวงพลงงาน

แผนบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน ประจ าปงบประมาณ 2561

23

ตารางท 3 สรปผลการประเมนคาความเสยง (Risk Evaluation)

ชอความเสยง รหส ประเภทความเสยง ลกษณะความเสยง โอกาสทจะเกด/

ความถ ความรนแรง ระดบคะแนน

1. ความเสยงจากสภาพแวดลอม ความชนหรออณหภมในหองปฏบตการคอมพวเตอร

RIT01 ความเสยงดานเทคนค/ ความเสยงจากผปฏบตงาน

ความเสยงจากประสทธภาพและความนาเชอถอของระบบลดลง และท าใหเครองหยดการท างานได

3 5 15

2. ความเสยงจากการเกดไฟไหม น าทวม แผนดนไหว อาคารถลม

RIT02 ความเสยงจากภยคกคามหรอภยพบต

การเกดไฟไหมอาคารหรอแผนดนไหว จนอาคารถลม ไมสามารถเคลอนยาย เครองคอมพวเตอรและอปกรณตางๆ ได สงผลท าใหระบบคอมพวเตอรและระบบเครอขายหลกไดรบความเสยหายบางสวน หรอไดรบความเสยหายทงหมด หรอการเกดน าทวมจนตองด าเนนการตดกระแสไฟฟาและไมสามารถใชงานระบบคอมพวเตอรและระบบเครอขายหลกได

2 5 10

3. ความเสยงจากการถกบกรก โดยผไมประสงคด การถกโจมตโดยไวรส (Virus) หรอมลแวร (Malware)

RIT03 ความเสยงดานเทคนค/ ความเสยงจากผปฏบตงาน

การบกรกโจมตโดยผไมประสงคด เชน Hacker เปนตน การดกจบขอมล การสงขอมลค าสงเจตนาราย การตดไวรสหรอเวรม การเปลยนแปลงแกไขขอมล บนเวบไซตหรอระบบฐานขอมล

3 5 15

Page 30: แผนบริหารความเสี่ยงด้าน ...ความหมายของการบร หารความเส ยง ความเส ยง

กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน กระทรวงพลงงาน

แผนบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน ประจ าปงบประมาณ 2561

24

ตารางท 3 สรปผลการประเมนคาความเสยง (Risk Evaluation) – (ตอ)

ชอความเสยง รหส ประเภทความเสยง ลกษณะความเสยง โอกาสทจะเกด/

ความถ ความรนแรง ระดบคะแนน

4. ความเสยงจากการเชอมตอเครอขาย อนเทอรเนตลมเหลวหรอไมสามารถใชงานได

RIT04 ความเสยงดานเทคนค พพ. ไมสามารถใชงานระบบเครอขายอนเทอรเนตในการรบ-สงขอมลตางๆ ได

2 4 8

5. ความเสยงจากการละเมดลขสทธ RIT05 ความเสยงจากผปฏบตงาน การตดตงและใชงานซอฟตแวรทไมมลขสทธถกตองตามกฎหมายบนเครองคอมพวเตอร ของ พพ. สงผลให พพ. ถกฟองรองได

2 4 8

6. ความเสยงจากการไดรบงบประมาณในการปรบปรงบ ารงรกษา และจดหาระบบงานสารสนเทศ ระบบเครอขาย ระบบคอมพวเตอรไมเพยงพอ

RIT06 ความเสยงดาน การบรหารจดการ

ระบบงานสารสนเทศและระบบคอมพวเตอรไมไดรบการปรบปรงใหมความทนสมยหรอความปลอดภยตามทผพฒนาระบบหรอบรษทผผลตไดก าหนดท าใหมความเสยงดานระบบงานไมสามารถสนบสนนการท างานปจจบนได

3 3 9

7. ความเสยงจากผใชงานสารสนเทศขาดความระมดระวงและการตระหนกถงความส าคญของความปลอดภยดานสารสนเทศ

RIT07 ความเสยงจากผปฏบตงาน การใชงานสารสนเทศโดยขาดความระมดระวง ท าใหถกบกรกโจมตโดยผไมประสงคดหรอ ถกดกจบขอมลส าคญ หรอการสงขอมลค าสงเจตนาราย หรอการตดไวรสหรอเวรม ซงสงผลกระทบตอระบบงานสารสนเทศ ของ พพ.

5 3 15

Page 31: แผนบริหารความเสี่ยงด้าน ...ความหมายของการบร หารความเส ยง ความเส ยง

กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน กระทรวงพลงงาน

แผนบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน ประจ าปงบประมาณ 2561

25

ตารางท 3 สรปผลการประเมนคาความเสยง (Risk Evaluation) – (ตอ)

ชอความเสยง รหส ประเภทความเสยง ลกษณะความเสยง โอกาสทจะเกด/

ความถ ความรนแรง ระดบคะแนน

8. ความเสยงจากกระแสไฟฟาขดของ ไฟฟาดบ แรงดนไฟฟาไมคงท จากการไฟฟานครหลวง

RIT08 ความเสยงจากปจจยภายนอก

การเกดกระแสไฟฟาขดของหรอเกดแรงดน ไฟฟาไมคงท ท าใหเครองคอมพวเตอรและอปกรณไดรบความเสยหายจากแรงดน ไฟฟาทไมคงท หรอเมอกระแสไฟฟาขดของ ท าใหเครองคอมพวเตอรแมขายถกปดไป โดยไมสมบรณ ท าใหขอมลสารสนเทศบางสวนเกดการสญหาย และการใหบรการบางประเภทไมสามารถเปดใชงานได โดยอตโนมต

3 4 12

9. ความเสยงจากการตดตงระบบงานและฐานขอมลไวทเครอขายภายนอก พพ.

RIT09 ความเสยงดานเทคนค/ ความเสยงจากผปฏบตงาน

การบกรกโจมตโดยผไมประสงคด เชน Hacker เปนตน การดกจบขอมล การสงขอมลค าสงเจตนาราย การตดไวรสหรอเวรม การเปลยนแปลงแกไขขอมลบนเวบไซตหรอระบบฐานขอมล รวมไปถงการทระบบงาน ไมสามารถใชงานได อนเกดจากความบกพรองของผดแลระบบภายนอก พพ.

2 3 6

Page 32: แผนบริหารความเสี่ยงด้าน ...ความหมายของการบร หารความเส ยง ความเส ยง

กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน กระทรวงพลงงาน

แผนบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน ประจ าปงบประมาณ 2561

26

ตารางท 3 สรปผลการประเมนคาความเสยง (Risk Evaluation) – (ตอ)

ชอความเสยง รหส ประเภทความเสยง ลกษณะความเสยง โอกาสทจะเกด/

ความถ ความรนแรง ระดบคะแนน

10. ความเสยงจากคณภาพของระบบ ทจางพฒนาและสงมอบใหกบ พพ.

RIT10 ความเสยงดานเทคนค/ ความเสยงจากผปฏบตงาน

การจดซอ/ จดจางพฒนาระบบงาน โดยหนวยงานอน และไมผานการพจารณาขอก าหนดจากเจาหนาทเทคนค สงผลตอ ความเสยงการบ ารงรกษาระบบในภายหลง ทไมเปนไปตามนโยบายความมนคงปลอดภยของสารสนเทศ

4 5 20

Page 33: แผนบริหารความเสี่ยงด้าน ...ความหมายของการบร หารความเส ยง ความเส ยง

กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน กระทรวงพลงงาน

แผนบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน ประจ าปงบประมาณ 2561

27

แผนภมความเสยงดานสารสนเทศ (Risk Map)

5 RIT02 RIT01 RIT03

RIT10

4 RIT04 RIT05

RIT08

3 RIT09 RIT06 RIT07

2

1

1 2 3 4 5

รปท 4 แผนภมความเสยงดานสารสนเทศ

ผลกระท

บ/ความรน

แรง

ความเสยงปานกลาง

ความเสยงตา (สามารถยอมรบได)

ความเสยงสงมาก สแดง

โอกาสทจะเกด/ความถ

สสม ความเสยงสง

สเหลอง

สขาว

Page 34: แผนบริหารความเสี่ยงด้าน ...ความหมายของการบร หารความเส ยง ความเส ยง

กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน กระทรวงพลงงาน

แผนบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน ประจ าปงบประมาณ 2561

28

9. ผลการวเคราะหความเสยง (Risk Analysis)

จากผลการประเมนความเสยงสามารถจดล าดบความส าคญของความเสยงดานสารสนเทศในการบรหารจดการไดอยางมประสทธภาพ แสดงดงตารางท 4

ตารางท 4 ผลการวเคราะหความเสยง (Risk Analysis)

ล าดบ ความเสยง ประเภทความเสยง ลกษณะความเสยง คาระดบความเสยง

1. ความเสยงจากคณภาพของระบบทจางพฒนา และสงมอบใหกบ พพ.

ความเสยงดานเทคนค/ ความเสยงจากผปฏบตงาน

การจดซอ/ จดจางพฒนาระบบงานโดยหนวยงานอนและไมผาน การพจารณาขอก าหนดจากเจาหนาทเทคนค สงผลตอความเสยง การบ ารงรกษาระบบในภายหลงทไมเปนไปตามนโยบายความมนคงปลอดภยของสารสนเทศ

20

2. ความเสยงจากผใชงานสารสนเทศขาดความระมดระวงและการตระหนกถงความส าคญ ของความปลอดภยดานสารสนเทศ

ความเสยงจากผปฏบตงาน การใชงานสารสนเทศโดยขาดความระมดระวง ท าใหถกบกรกโจมต โดยผไมประสงคด หรอถกดกจบขอมลส าคญ หรอการสงขอมลค าสงเจตนาราย หรอการตดไวรสหรอเวรม ซงสงผลกระทบตอระบบงานสารสนเทศของ พพ.

15

3. ความเสยงจากสภาพแวดลอม ความชนหรออณหภมในหองปฏบตการคอมพวเตอร

ความเสยงดานเทคนค/ ความเสยงจากผปฏบตงาน

ความเสยงจากประสทธภาพและความนาเชอถอของระบบลดลง และท าใหเครองหยดการท างานได

15

4. ความเสยงจากการถกบกรกโดยผไมประสงคด การถกโจมตโดยไวรส (Virus) หรอมลแวร (Malware)

ความเสยงดานเทคนค/ ความเสยงจากผปฏบตงาน

การบกรกโจมตโดยผไมประสงคด เชน Hacker เปนตน การดกจบขอมล การสงขอมลค าสงเจตนาราย การตดไวรสหรอเวรม การเปลยนแปลงแกไขขอมลบนเวบไซตหรอระบบฐานขอมล

15

Page 35: แผนบริหารความเสี่ยงด้าน ...ความหมายของการบร หารความเส ยง ความเส ยง

กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน กระทรวงพลงงาน

แผนบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน ประจ าปงบประมาณ 2561

29

ตารางท 4 ผลการวเคราะหความเสยง (Risk Analysis) – (ตอ)

ล าดบ ความเสยง ประเภทความเสยง ลกษณะความเสยง คาระดบความเสยง

5. ความเสยงจากกระแสไฟฟาขดของ ไฟฟาดบ แรงดนไฟฟาไมคงท จากการไฟฟานครหลวง

ความเสยงจากปจจยภายนอก

การเกดกระแสไฟฟาขดของหรอเกดแรงดนไฟฟาไมคงท ท าให เครองคอมพวเตอรและอปกรณไดรบความเสยหายจากแรงดนไฟฟา ทไมคงท หรอเมอกระแสไฟฟาขดของ ท าใหเครองคอมพวเตอรแมขาย ถกปดไปโดยไมสมบรณท าใหขอมลสารสนเทศบางสวนเกดการสญหาย และการใหบรการบางประเภทไมสามารถเปดใชงานไดโดยอตโนมต

12

6. ความเสยงจากการเกดไฟไหม น าทวม แผนดนไหว อาคารถลม

ความเสยงจากภยคกคามหรอภยพบต

การเกดไฟไหมอาคาร หรอแผนดนไหวจนอาคารถลม ไมสามารถเคลอนยายเครองคอมพวเตอรและอปกรณตางๆ ได สงผลท าใหระบบคอมพวเตอรและระบบเครอขายหลกไดรบความเสยหายบางสวนหรอไดรบความเสยหายทงหมด หรอการเกดน าทวมจนตองด าเนนการ ตดกระแสไฟฟาและไมสามารถใชงานระบบคอมพวเตอรและระบบเครอขายหลกได

10

7. ความเสยงจากการไดรบงบประมาณ ในการปรบปรง บ ารงรกษาและจดหาระบบงานสารสนเทศ ระบบเครอขาย ระบบคอมพวเตอรไมเพยงพอ

ความเสยงดานการบรหารจดการ

ระบบงานสารสนเทศและระบบคอมพวเตอรไมไดรบการปรบปรงใหมความทนสมยหรอความปลอดภยตามทผพฒนาระบบหรอบรษทผผลตไดก าหนดท าใหมความเสยงดานระบบงานไมสามารถสนบสนนการท างานปจจบนได

9

Page 36: แผนบริหารความเสี่ยงด้าน ...ความหมายของการบร หารความเส ยง ความเส ยง

กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน กระทรวงพลงงาน

แผนบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน ประจ าปงบประมาณ 2561

30

ตารางท 4 ผลการวเคราะหความเสยง (Risk Analysis) – (ตอ)

ล าดบ ความเสยง ประเภทความเสยง ลกษณะความเสยง คาระดบความเสยง

8. ความเสยงจากการเชอมตอเครอขาย อนเทอรเนตลมเหลวหรอไมสามารถใชงานได

ความเสยงดานเทคนค พพ. ไมสามารถใชงานระบบเครอขายอนเทอรเนตในการรบ-สงขอมลตางๆ ได

8

9. ความเสยงจากการละเมดลขสทธ ความเสยงจากผปฏบตงาน การตดตงและใชงานซอฟตแวรทไมมลขสทธถกตองตามกฎหมาย 8 10. ความเสยงจากการตดตงระบบงานและฐานขอมล

ไวทเครอขายภายนอก พพ. ความเสยงดานเทคนค/ ความเสยงจากผปฏบตงาน

การบกรกโจมตโดยผไมประสงคด เชน Hacker เปนตน การดกจบขอมล การสงขอมลค าสงเจตนาราย การตดไวรสหรอเวรม การเปลยนแปลงแกไขขอมลบนเวบไซต หรอระบบฐานขอมล รวมไปถงการทระบบงาน ไมสามารถใชงานได อนเกดจากความบกพรองของผดแลระบบภายนอก พพ.

6

Page 37: แผนบริหารความเสี่ยงด้าน ...ความหมายของการบร หารความเส ยง ความเส ยง

กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน กระทรวงพลงงาน

แผนบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน ประจ าปงบประมาณ 2561

31

10. การจดการความเสยง (Risk Management)

ส านกงาน กพร. ก าหนดใหความเสยงทจ าเปนตองน ามาพจารณาด าเนนการบรหารจดการความเสยงกอน โดยความเสยงทมระดบความเสยงมากกวา 16 ขนไปถอเปนความเสยงสงมาก (เอกสารแนบทาย ก.พ.ร., 2559, น.59-61) ดงนน คณะท างานบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสารไดวเคราะหระดบความเสยง โดยพจารณารวมกบบรบทความเสยงและแนวโนมการโจมตดานระบบสารสนเทศขางตน เหนวา พพ. ควรมการปองกนความเสยงทรดกมและมความปลอดภย สงกวาท กพร. ก าหนด เนองจากระบบสารสนเทศของ พพ. เปนเปาโจมตจากผไมหวงด คณะท างานฯ จงสรปวาเกณฑการพจารณาระดบความเสยงทตองน ามาด าเนนการบรหารจดการความเสยงคอ ความเสยงทมระดบความเสยงระดบต า (ตงแตระดบ 1 – 8) ถงความเสยงสงมาก (ตงแตระดบ 9 ขนไป) ซงสอดคลองกบขอก าหนดของ กพร. การด าเนนการบรหารจดการความเสยงแสดงดงตารางท 5

ตารางท 5 การจดการความเสยง (Risk Management)

รหส ความเสยง คาระดบ

ความเสยง คาระดบ

ความเสยงคงเหลอ กลยทธการจดการ

ความเสยง แนวทางการด าเนนการจดการความเสยง

TR10 ความเสยงจากคณภาพ ของระบบทจางพฒนาและ สงมอบใหกบ พพ.

20 2 x 3 = 6 - ควบคมความเสยง (มแผนควบคมความเสยง)

- จดท ารายละเอยดขอก าหนดเฉพาะใหเปนมาตรฐานกลางและก าหนดใหหนวยงานทจะจดจางพฒนาระบบสารสนเทศจะตอง น าขอก าหนดเฉพาะดงกลาว ระบในขอก าหนดการจางทกครง

- ควบคมและก ากบใหการด าเนนงานจดซอ/ จดจางใหเปนไป ตามระเบยบของ พพ. โดยหนวยงานจดซอ/ จดจางตองสงขอก าหนดใหเจาหนาทเทคนคของ พพ. พจารณากอนด าเนนการจดซอ/ จดจาง

Page 38: แผนบริหารความเสี่ยงด้าน ...ความหมายของการบร หารความเส ยง ความเส ยง

กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน กระทรวงพลงงาน

แผนบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน ประจ าปงบประมาณ 2561

32

ตารางท 5 การจดการความเสยง (Risk Management) – (ตอ)

รหส ความเสยง คาระดบ

ความเสยง คาระดบ

ความเสยงคงเหลอ กลยทธการจดการ

ความเสยง แนวทางการด าเนนการจดการความเสยง

TR07 ความเสยงจากผใชงานสารสนเทศขาดความระมดระวงและ การตระหนกถงความส าคญ ของความปลอดภยดานสารสนเทศ

15 2 x 3 = 6 - ควบคมความเสยง (มแผนควบคมความเสยง)

- ฝกอบรม เผยแพรและประชาสมพนธขอมลเพอสรางความตระหนกในเรองของความมนคงปลอดภยสารสนเทศใหกบบคลากรของ พพ. อยางตอเนอง

- ก ากบดแลการปฏบตตามแนวปฏบตดานการรกษาความมนคงปลอดภยสารสนเทศอยางเครงครด

TR01 ความเสยงจากสภาพแวดลอม ความชนหรออณหภมในหองปฏบตการคอมพวเตอร

15 2 x 3 = 6 - ควบคมความเสยง (มแผนควบคมความเสยง)

- จดหาอปกรณวดความชน และอณหภมตดตงในหองปฏบตการคอมพวเตอร

- จดท าแผนการบ ารงรกษาเครองปรบอากาศในหองปฏบตการคอมพวเตอร

- ตรวจสอบรอยรวของทอน า หรอผนงเปนประจ า TR03 ความเสยงจากการถกบกรก

โดยผไมประสงคด การถกโจมตโดยไวรส (Virus) หรอมลแวร (Malware)

15 2 x 2 = 4 - ยอมรบความเสยง (มมาตรการตดตาม)

- ตรวจสอบการตงคาของ firewall, IPS อยางสม าเสมอ - บรหารจดการระบบตรวจสอบการบกรกเครอขายและตดตาม

เพอปรบปรงอยางสม าเสมอ - ตดตงโปรแกรมปองกนไวรสและ patch อยางสม าเสมอ - ตดตง patch ของระบบปฏบตการอยางสม าเสมอ

TR08 ความเสยงจากกระแสไฟฟาขดของ ไฟฟาดบ แรงดนไฟฟาไมคงทจากการไฟฟานครหลวง

12 3 x 2 = 6 - ยอมรบความเสยง (มมาตรการตดตาม)

- ตรวจสอบความพรอมของระบบส ารองไฟฟาอยางสม าเสมอ

Page 39: แผนบริหารความเสี่ยงด้าน ...ความหมายของการบร หารความเส ยง ความเส ยง

กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน กระทรวงพลงงาน

แผนบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน ประจ าปงบประมาณ 2561

33

ตารางท 5 การจดการความเสยง (Risk Management) – (ตอ)

รหส ความเสยง คาระดบ

ความเสยง คาระดบ

ความเสยงคงเหลอ กลยทธการจดการ

ความเสยง แนวทางการด าเนนการจดการความเสยง

TR02 ความเสยงจากการเกดไฟไหม น าทวม แผนดนไหว อาคารถลม

10 2 x 2 = 4 - ควบคมความเสยง (มแผนควบคมความเสยง)

- ตรวจสอบความพรอมใชงานของอปกรณดบเพลง - จดท าแผนการเคลอนยายอปกรณตามล าดบความส าคญ - จดท าแผนรบสถานการณเพอใหสามารถด าเนนการได

อยางตอเนอง (Business Continuity Plan : BCP) TR06 ความเสยงจากการไดรบ

งบประมาณในการปรบปรงบ ารงรกษาและจดหาระบบงานสารสนเทศ ระบบเครอขาย ระบบคอมพวเตอรไมเพยงพอ

9 3 x 2 = 6 - ยอมรบความเสยง (มมาตรการตดตาม)

- มการส ารวจและรวบรวมความตองการงบประมาณอยางตอเนอง เพอการจดท างบประมาณในแตละป

- มการหารอ ชแจง และท าความเขาใจกบผบงคบบญชาในเรองงบประมาณทตองใชอยางชดเจน

- วางแผนการใชงบกองทนเปนแหลงเงนทนส ารอง ในกรณ ไมไดรบงบประมาณตามทไดวางแผนไว

TR04 ความเสยงจากการเชอมตอเครอขายอนเทอรเนตลมเหลวหรอไมสามารถใชงานได

8 2 x 1 = 2 - ยอมรบความเสยง (มมาตรการตดตาม)

- จดหาระบบเครอขายอนเทอรเนตส ารองเพอเปนชองทางใหระบบอนเทอรเนตใชงานไดอยางตอเนอง

- ตรวจสอบการเชอมตอเครอขายอนเทอรเนต

Page 40: แผนบริหารความเสี่ยงด้าน ...ความหมายของการบร หารความเส ยง ความเส ยง

กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน กระทรวงพลงงาน

แผนบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน ประจ าปงบประมาณ 2561

34

ตารางท 5 การจดการความเสยง (Risk Management) – (ตอ)

รหส ความเสยง คาระดบ

ความเสยง คาระดบ

ความเสยงคงเหลอ กลยทธการจดการ

ความเสยง แนวทางการด าเนนการจดการความเสยง

TR05 ความเสยงจากการละเมดลขสทธ 8 1 x 2 = 2 - ยอมรบความเสยง - สรางความตระหนกในเรองนโยบายและแนวปฏบตดานความมนคงปลอดภยสารสนเทศ และการใชงานซอฟตแวรทมลขสทธถกตองตามกฎหมาย

- กระตนใหเกดการปฏบตตามแนวนโยบายหรอระเบยบดานสารสนเทศอยางจรงจง

TR09 ความเสยงจากการตดตงระบบงานและฐานขอมลไวทเครอขายภายนอก พพ.

6 2 x 2 = 4 - ยอมรบความเสยง (มมาตรการตดตาม)

- จดท ารายละเอยดขอก าหนดเฉพาะใหเปนมาตรฐานกลางและก าหนดใหหนวยงานทจะจดจางพฒนาระบบสารสนเทศจะตอง น าขอก าหนดเฉพาะดงกลาว ระบในขอก าหนดการจางทกครง

- กรณทมความจ าเปนจะตองตดตงระบบงานและฐานขอมล ไวทเครอขายภายนอก พพ. จะตองมการส ารวจและประเมน ความปลอดภยของอปกรณและสถานท รวมทงการประกน ความเสยงให พพ. ตามท พพ. ก าหนด

- ตรวจสอบระบบงานใหไดมาตรฐานในการพฒนาซอฟตแวร ตามค าแนะน าของ OWASP-Top 10 Web Application Security Risks เพอลดความเสยง

- ระบบงานใดๆ ทตดตงภายนอก พพ. ใหด าเนนการตดตงระบบงานภายใตโครงการบรการคลาวดภาครฐของส านกงานรฐบาลอเลกทรอนกสเปนหลก เพอความปลอดภยและเพอใหสอดคลองกบนโยบายภาครฐ

Page 41: แผนบริหารความเสี่ยงด้าน ...ความหมายของการบร หารความเส ยง ความเส ยง

กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน กระทรวงพลงงาน

แผนบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน ประจ าปงบประมาณ 2561

35

แผนภมความเสยงดานสารสนเทศคงเหลอหลงควบคม

5 RIT02 RIT01 RIT03

RIT10

4 RIT04 RIT05

RIT08

3

RIT09 TR01 TR07 TR10

RIT06

RIT07

2 TR05 TR02 TR03 TR09

TR06 TR08

1 TR04

1 2 3 4 5

รปท 5 แผนภมความเสยงดานสารสนเทศคงเหลอหลงควบคม

หลงจากก าหนดแนวทางบรหารจดการความเสยง และควบคมความเสยงตางๆ คาประเมนระดบความเสยงคงเหลออยในเกณฑความเสยงต า (สามารถยอมรบได) ซงเปนเกณฑทสามารถยอมรบไดแสดงดงรปท 5

คณะท างานบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร ไดจดท าแผนบรหารความเสยง เพอใชในการตดตามและควบคมความเสยงตางๆ ใหเปนไปตามแนวทางทวางไว และมแผนการด าเนนงาน ทรดกมสามารถน าไปเปนกรอบในการปฏบตไดดงน

ผลกระท

บ/ความรน

แรง

ความเสยงปานกลาง

ความเสยงตา (สามารถยอมรบได)

ความเสยงสงมาก สแดง

โอกาสทจะเกด/ความถ

สสม ความเสยงสง

สเหลอง

สขาว

Page 42: แผนบริหารความเสี่ยงด้าน ...ความหมายของการบร หารความเส ยง ความเส ยง

กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน กระทรวงพลงงาน

แผนบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน ประจ าปงบประมาณ 2561

36

11. แผนปฏบตการบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร

จากการจดการความเสยงสามารถน ามาจดท าแผนปฏบตการบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร โดยมหนวยงานรบผดชอบคอ ศนยสารสนเทศขอมลพลงงานทดแทนและอนรกษพลงงาน (ศสข.) ระยะเวลาด าเนนการระหวางเดอนตลาคม 2560 – กนยายน 2561 ไดดงน

ตารางท 6 แผนปฏบตการบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร

ประเภทความเสยง แนวทางการควบคม ผรบผดชอบ

หลก ระยะเวลา

เรมตน/ สนสด ป พ.ศ. 2560 ป พ.ศ. 2561

ต.ค. พ.ย. ธ.ค. ม.ค. ก.พ. ม.ค. เม.ย. พ.ค. ม.ย. ก.ค. ส.ค. ก.ย. 1. ความเสยงจากผใชงาน

สารสนเทศขาดความระมดระวงและการตระหนกถงความส าคญของความปลอดภย ดานสารสนเทศ

- จดใหม KM ดานความมนคงปลอดภยสารสนเทศ

- ตดตามตรวจสอบใหเปนไปตามแนวปฏบต

- ผลกดนแนวปฏบตฯ ใหผานการตรวจสอบของ กพร.

- พส. - ทส. - ทส.

- ตลอดป - ตลอดป - ตลอดป

2. ความเสยงจากคณภาพของระบบทจางพฒนาและสงมอบใหกบ พพ.

- ก าหนดรายละเอยดขอก าหนดเฉพาะใหเปนมาตรฐานกลางและก าหนดใหหนวยงานทจะจดจางพฒนาระบบสารสนเทศจะตองน าขอก าหนดเฉพาะดงกลาว ระบในขอก าหนดการจางทกครง

- พส. - ทกครงทมการจดซอ/จดจางพฒนาระบบ

Page 43: แผนบริหารความเสี่ยงด้าน ...ความหมายของการบร หารความเส ยง ความเส ยง

กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน กระทรวงพลงงาน

แผนบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน ประจ าปงบประมาณ 2561

37

ตารางท 6 แผนปฏบตการบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร – (ตอ)

ประเภทความเสยง แนวทางการควบคม ผรบผดชอบหลก ระยะเวลา

เรมตน/ สนสด ป พ.ศ. 2559 ป พ.ศ. 2560

ต.ค. พ.ย. ธ.ค. ม.ค. ก.พ. ม.ค. เม.ย. พ.ค. ม.ย. ก.ค. ส.ค. ก.ย. - ควบคมและก ากบใหการ

ด าเนนงานจดซอ/ จดจางใหเปนไปตามระเบยบของ พพ. โดยหนวยงานจดซอ/ จดจางตองสงขอก าหนดใหเจาหนาทเทคนคของ พพ. พจารณากอนด าเนนการจดซอ/ จดจาง

- จดใหมการอบรมประชาสมพนธขอมล เพอสรางความตระหนกในเรองของความมนคงปลอดภยสารสนเทศใหกบบคลากรของ พพ. อยางตอเนอง

- ตดตามตรวจสอบใหเปนไปตามแนวปฏบต

- ผลกดนแนวปฏบตฯ ใหผานการตรวจสอบของ กพร.

- บท. - พส. - ทส. - ทส.

- ทกครงทมการจดซอ/จดจาง พฒนาระบบ

- ตลอดป - ตลอดป - ตลอดป

Page 44: แผนบริหารความเสี่ยงด้าน ...ความหมายของการบร หารความเส ยง ความเส ยง

กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน กระทรวงพลงงาน

แผนบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน ประจ าปงบประมาณ 2561

38

ตารางท 6 แผนปฏบตการบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร – (ตอ)

ประเภทความเสยง แนวทางการควบคม ผรบผดชอบหลก ระยะเวลา

เรมตน/ สนสด ป พ.ศ. 2559 ป พ.ศ. 2560

ต.ค. พ.ย. ธ.ค. ม.ค. ก.พ. ม.ค. เม.ย. พ.ค. ม.ย. ก.ค. ส.ค. ก.ย. 3. ความเสยงจาก

สภาพแวดลอม ความชนหรออณหภมใหหองปฏบตการคอมพวเตอร

- จดหาอปกรณวดความชน และอณหภมตดตงในหองปฏบตการคอมพวเตอร

- จดท าแผนการบ ารงรกษาเครองปรบอากาศในหองปฏบตการคอมพวเตอร

- ตรวจสอบรอยรวของทอน า หรอผนงเปนประจ า

- ทส. - ทส. - ทส.

- ต.ค. - ธ.ค. - ต.ค. - ธ.ค. - ทก 3 เดอน

4. ความเสยงจากการถก บกรกโดยผไมประสงคด การถกโจมตโดยไวรส (Virus) หรอมลแวร (Malware)

- การท าทดสอบการเจาะระบบ (PEN Testing)

- การตดตง Anti-Virus บนเครองคอมพวเตอร แมขาย และเครองคอมพวเตอรลกขาย

- พส. /ทส. /บภ. - พส. /ทส.

- ปละ 1 ครง - ทกครงท

จดซอเครองคอมพวเตอรแมขาย

Page 45: แผนบริหารความเสี่ยงด้าน ...ความหมายของการบร หารความเส ยง ความเส ยง

กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน กระทรวงพลงงาน

แผนบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน ประจ าปงบประมาณ 2561

39

ตารางท 6 แผนปฏบตการบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร – (ตอ)

ประเภทความเสยง แนวทางการควบคม ผรบผดชอบหลก ระยะเวลา

เรมตน/ สนสด ป พ.ศ. 2559 ป พ.ศ. 2560

ต.ค. พ.ย. ธ.ค. ม.ค. ก.พ. ม.ค. เม.ย. พ.ค. ม.ย. ก.ค. ส.ค. ก.ย. 5. ความเสยงจาก

กระแสไฟฟาขดของ ไฟฟาดบ แรงดนไฟฟาไมคงท จากการไฟฟานครหลวง

- ตรวจสอบความพรอมของระบบส ารองไฟฟา โดยมเจาหนาทดแลประจ า

- ทส. - ทก 6 เดอน

6. ความเสยงจากการตดตงระบบงานและฐานขอมลไวทเครอขายภายนอก พพ.

- ก าหนดรายละเอยดขอก าหนดเฉพาะใหเปนมาตรฐานกลางและก าหนดใหหนวยงานทจะจดจางพฒนาระบบสารสนเทศจะตองน าขอก าหนดเฉพาะดงกลาว ระบในขอก าหนดการจางทกครง

- พส.

- ทกครงทตรวจรบระบบงาน

Page 46: แผนบริหารความเสี่ยงด้าน ...ความหมายของการบร หารความเส ยง ความเส ยง

กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน กระทรวงพลงงาน

แผนบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน ประจ าปงบประมาณ 2561

40

ตารางท 6 แผนปฏบตการบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร – (ตอ)

ประเภทความเสยง แนวทางการควบคม ผรบผดชอบ

หลก ระยะเวลา

เรมตน/ สนสด ป พ.ศ. 2559 ป พ.ศ. 2560

ต.ค. พ.ย. ธ.ค. ม.ค. ก.พ. ม.ค. เม.ย. พ.ค. ม.ย. ก.ค. ส.ค. ก.ย.

- กรณทมความจ าเปนจะตองตดตงระบบงานและฐานขอมลไวทเครอขายภายนอก พพ. จะตองมการส ารวจและประเมนความปลอดภยของอปกรณและสถานท รวมทงการประกนความเสยงให พพ. ตามท พพ. ก าหนด

- ยายระบบงานเขามาไวท พพ. หรอ สรอ. ทงหมด (1 ระบบ คอระบบหองสมด)

- พส. /ทส.

- พส. /ทส.

- ทกครงทตรวจรบระบบงาน

Page 47: แผนบริหารความเสี่ยงด้าน ...ความหมายของการบร หารความเส ยง ความเส ยง

กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน กระทรวงพลงงาน

แผนบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน ประจ าปงบประมาณ 2561

41

ตารางท 6 แผนปฏบตการบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร – (ตอ)

ประเภทความเสยง แนวทางการควบคม ผรบผดชอบ

หลก ระยะเวลา

เรมตน/ สนสด ป พ.ศ. 2559 ป พ.ศ. 2560

ต.ค. พ.ย. ธ.ค. ม.ค. ก.พ. ม.ค. เม.ย. พ.ค. ม.ย. ก.ค. ส.ค. ก.ย. 7. ความเสยงจากการเกด

ไฟไหม น าทวม แผนดนไหว อาคารถลม

- ตรวจสอบความพรอม ใชงานของอปกรณดบเพลง โดยเจาหนาทประจ า

- จดท าแผนการเคลอนยายอปกรณตามล าดบความส าคญ

- จดท าแผนรบสถานการณเพอใหสามารถด าเนนการได

อยางตอเนอง (Business Continuity Plan : BCP)

- ทส. /อร.

- พส.

- กพร. /ส านกฯ/กองฯ/ศนยฯ

- ทก 6 เดอน

- ต.ค.

- ต.ค. - ม.ย.

8. ความเสยงจากการไดรบงบประมาณในการปรบปรง บ ารงรกษาและจดหาระบบงาสารสนเทศ ระบบเครอขายระบบคอมพวเตอรไมเพยงพอ

- ผลกดนการจดสรรงบประมาณในสวนการปรบปรง/พฒนาระบบเพมเตม นอกจากการบ ารงรกษา

- บท. - ม.ย. - ส.ค.

Page 48: แผนบริหารความเสี่ยงด้าน ...ความหมายของการบร หารความเส ยง ความเส ยง

กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน กระทรวงพลงงาน

แผนบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร กรมพฒนาพลงงานทดแทนและอนรกษพลงงาน ประจ าปงบประมาณ 2561

42

ตารางท 6 แผนปฏบตการบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร – (ตอ)

ประเภทความเสยง แนวทางการควบคม ผรบผดชอบหลก ระยะเวลา

เรมตน/ สนสด ป พ.ศ. 2559 ป พ.ศ. 2560

ต.ค. พ.ย. ธ.ค. ม.ค. ก.พ. ม.ค. เม.ย. พ.ค. ม.ย. ก.ค. ส.ค. ก.ย. 9. ความเสยงจากการ

เชอมตอเครอขาย อนเทอรเนตลมเหลวหรอไมสามารถใชงานได

- เจรจากบผใหบรการ ในการขอใชระบบเครอขายส ารอง

- ทส. - ก.ย.

10. ความเสยงจากการละเมดลขสทธ

- ควบคมและปองกนไมใหมการตดตงซอฟตแวรทไมมลขสทธถกตอง

- ทส.

- ตลอดทงป

หมายเหต สญลกษณ หมายถง ด าเนนการในเดอนทระบใหเสรจสน

สญลกษณ หมายถง ด าเนนการในชวงเดอนทระบใหเสรจสน

สญลกษณ หมายถง ด าเนนการเปนประจ าตลอดชวงเดอนทระบอยางนอย เดอนละ 1 ครง