IT risk management & IT security management
Content
IT risk management & security manageme
IT risk management •
ฝฝ ายสารสนเทศนนา Risk IT framework ของ ISACA มาประยยกตตใชชกกบ กฟภ. การบรรห ารความเสสสยงดชาน IT ของ PEA
สายงานททท 1
สายงานททท 2
IT ททท สนนบสนน นการทาท งาน
สายงานททท 17
IT-related risk
ทน กสายงานจะมท บรร การ/ระบบดดานเทคโนโลยท สารสนเทศ สา ย งา น ไอ ทท
การประเมรนความเสสสยงเทคโนโลยสสารสนเทศ ขององคต ร แบบประเมมินก ความ แจกแบบประเมมินความเสสสี่ยงทททั้ง 17 สายงาน รวบรวมแบบประเมมินความ เสสสี่ยงฯ วมิเคราะหห์ขข้อมมูล (Content Analysis) สส่งขข้อมมูลทสสี่ใหข้หนส่วยงานทสสี่ เกสสี่ยวขข้อง
เสสสี่ยง ตารางการคคานวณ ความเสสสี่ยง คคม คู่ มือการกรอกแบบประ เมมินฯ
ทะเบสยนความเสสสี่ยง
ตารางวมิเคราะหห์ขข้อมคู่ล สรรุปผลเหตรุการณห์ -
สสสี่ อสารใหข้ผข้มูเกสสี่ยวขข้องรทบทราบ
ตตวอยาท ง
-
แผนบรร หารความ เสทท ยง แผนควบคน ม ภายใน แผนปฏร บนตร ประจทา ปท
Link to CobiT
ตตวอยาท ง ตตวอยาท ง
ตตวอยาท ง
ขกขนตอนการสฝงแบบประเมรน ความเสสสยงเทคโนโลยสสารสนเทศขององคตกร (สายงาน จ.) กวส. แตล ท ะเขต (12 เขต) ฝทาย กอ ง
ฝทาย
กอ ง กอ ง
กอ กอ ง ง
ฝทาย กอ ง
สาส เนา ถถง ,ท กฟจ.เชทยงใหม กฟจ.นครสวรรคค, กฟจ.ขอนแกก่น, กฟจ.ออุบลราชธานน, กฟจ.นครราชสนมา, กฟภ.รรังสสิต, กฟภ.เมมองพตทยา, กฟจ.สมอุทรสาคร, กฟจ.เพชรบอุรน, กฟจ.ภภูเกก็ต, กฟจ.พพษณณ โลก,
ฝวธ. (จ1 – จ4) กอ ง
กอ ง
แบบประเมมินความเสสสี่ยงเทคโนโลยสสารสนเทศขององคห์กร กทบตารางคคานวณ
• สส่วนทสสี่ 1 – • สส่วนทสสี่ 2 – ภายนอก • สส่วนทสสี่ 3 – ภายใน • สส่วนทสสี่ 4 –
รายละเอสยดระบบสารสนเทศ ปท จจทยเสสสี่ยงดข้านสภาพแวดลข้อม ปท จจทยเสสสี่ยงดข้านสภาพแวดลข้อม สรรุปผลการประเมมิน
สส่วนทสสี่ 1 – รายละเอสยดระบบสารสนเทศ คคาอธมิบายระบบสารสนเทศหรมือโปรแกรมฯ รซธ. (SAP) : โครงการระบบคอมพมิวเตอรห์ ซอฟทห์แวรห์สคาเรร็จรมูปสคาหรทบธรุรกมิจหลทก BI (Business Intelligence) : การใชข้งาน ระบบสนทบสนรุนการตทดสมินใจทางธรุรกมิจ e-one : ระบบชส่องทางการบรมิการอมิเลร็คทรอนมิ กสห์แบบจรุดเดสยวเบร็ดเสรร็จและบมูรณาการระบบ สารสนเทศ Call-center : ศมูนยห์บรมิการขข้อมมูลผข้ใมู ชข้ไฟ IMS (IP Multimedia Subsystem) : ระบบทสสี่ สส่งขข้อมมูล วมิดสโอ ภาพและเสสยง โดยใชข้ อมินเตอรห์เนร็ต MAT-SAP : ระบบถส่ายโอนขข้อมมูลระหวส่าง เครสสี่องจดหนส่วยและคอมพมิวเตอรห์ BIC-SAP : ลมูกคข้าสทมพทนธห์สคาหรทบผข้ใมู ชข้ไฟราย ใหญส่ Power Factor : รายงานคส่าตทวประกอบกคาลทง ไฟฟข้ า ณ จรุดสส่งมอบพลทงงานไฟฟข้ า ระหวส่าง กฟผ. – กฟภ. mPay : ชคาระเงมินคส่าไฟฟข้ าทางโทรศทพทห์มสอถสอ ePay : ชคาระเงมินคส่าไฟฟข้ าทางอมินเตอรห์เนร็ต
สส่วนทสสี่ 2 – ปท จจทยเสสสี่ยงดข้านสภาพแวดลข้อม ภายนอก
สส่วนทสสี่ 3 – ปท จจทยเสสสี่ยงดข้านสภาพแวดลข้อม ภายใน
ตกวอยฝางขกขนตอนการคนานวณระดกบ ความเสสสยง
เปรสยบเทสยบคะแนน Q1.1 Ans1= 0 Q1.2 Ans1= 5 Q1.3 Ans3= 10 Q1.4 Ans5= 20 ผลรวมคะแนน (x) = 35 อยส่มูในระดดับความเสสสี่ยงสคู่ง
ตกวอยฝางขกขนตอนการคนานวณระดกบ ความเสสสยง
สส่วนทสสี่ 4 –สรรุปผลการประเมมิน
ปเฉพาะปท จจทยเสสสี่ยงทสสี่อยส่มูใน ระดดับเสสสี่ยงสคู่งมาก ระดดับเสสสี่ยงสคู่ง ระดดับเสสสี่ยงปานกลาง * พรข้อมยกตดัวอยคางเหตรุการณห์ความเสสสี่ยงประกอบ
3. ทะเบสยนบกนททกความเสสสยง (Risk Register Entry) • • • •
สฝวนทสส 1 สฝวนทสส 2 สฝวนทสส 3 สฝวนทสส 4
ขชอมมลภาพรวมโดยสรยป รายละเอสยดความเสสสยง ผลการวรเคราะหตความเสสสยง การตอบสนองตฝอความเสสสยง
นท าสทงหนทวยงานททท ดดแลระบบ ICT เพพท อดทาเนร นแกดไขตทอไป - แผนบรร หารความเสทท ยง - แผนควบคน มภายใน - แผนปฏร บนตรประจทาปท
ตกวอยฝางแนวทางแกชไข
IT security management Based on ISO 27005 และ ISO 27001
IT security management Based on ISO 27005 และ ISO 27001
แบบฟอรตมประเมรนความเสสสยงดชานความมกสนคง ปลอดภกยฯ
การเงร น (Financial: F ระดน บ 1 5) การปฏร บนตรการ (Operational: P ระดน บ 1 - 5) ลน กษณะสพทอ (Reputation: R ระดน บ 1 - 5) ผดด ใชดบรร การ (Customer: C ระดน บ 1 - 5) บน คลากร (Employee: E ระดน บ 1 5)
ตตวอยยางการกรอกขขอมมล
โครงการนนารรอง:บรรการ web&อรนเทอรรเนนต
ตตวอยยางการกรอกขขอมมล โครงการนนารรอง:บรรการ web&อรนเทอรรเนนต
• ขออนยมกตรใหช กบก. เขชาระงกบเหตยสยดวรสย ก ภายใน ศมนยตขชอมมลหลกก (Data Center) ภายใน สนานกกงานใหญฝ ตามบกนททก เลขทสส กวส. ๘๐๐/๒๕๕๗ และ ผวก.ลงนามเมมสอวกนทสส ๒๘ ต.ค. ๒๕๕๗
Examples: Integrated to ISO 27001/2:2013 • แนวทางลดความเสสสยงสนาหรกบเจชาหนชาทสสผชมดมแลระบบปฏรบกตรงานผรดพลาด เพราะความรชมทสมสยกงไมฝพอ (R15) อาจพรจารณามาตรการอบรม สรชาง ความรชมและความตระหนกกทสสเกสสยวขชองกกบความมกสนคงปลอดภกยสารสนเทศ A.7.2.2 – Information Security Awareness, Education and Trai ning – กนาหนดเปนน Training Need ประจนาปป • แนวทางลดความเสสสยงสนาหรกบขชอมมลความลกบในการเขชาถทงอยปกรณตถมกเปร ด เผย เพราะขาดความตระหนกกดชานความมกสนคงปลอดภกยสารสนเทศ (R9) มาตรการอบรม สรชางความรชมและความตระหนกกทสสเกสสยวขชองกกบความ มกสนคงปลอดภกยสารสนเทศ A.7.2.2 – Information Security Awaren ess, Education and Training • แนวทางลดความเสสสยงสนาหรกบผชมไมฝมสสรทธรส ธ ามารถเขชาถทง หรมอกวาดขชอมมล เครมอขฝายภายในไดชเนมส องจากการกนาหนดกฎการเขชาถทงไมฝรกดกยม (R9) อาจ พรจารณามาตรการกนาหนดนโยบาย และการเขชาถทงบรรการเครมอขฝายตาม มาตรฐาน A.9.1.1 – Access Control Policy และ A.9.1.2 – Access to Networks and Network Services – ผวก. ลงนามแนวนโยบาย และแนวปฏรบบตรใหมรปป 2558 แลลว และอยรยระหวรางประกาศ
Examples: Integrated to ISO 27001:2013 • แนวทางลดความเสสสยงสนาหรกบการใหชบรรการลชมเหลว (Unavailability เพราะการตรดตาม และควบคยมสมรรถนะของอยปกรณตทสไมฝมสประสรทธรผล (R9) อาจพรจารณามาตรการบรรหารจกดการสมรรถนะ A.12.1.3 Capacity Management – Integrated กบบ ITIL Framework • แนวทางลดความเสสสยงสนาหรกบการใหชบรรการลชมเหลว (Unavailability) เพราะการควบคยมการเปลสสยนแปลงแกชไขยกงไมฝมสประสรทธรผล (R9) อาจ พรจารณามาตรการบรรหารจกดการการเปลสสยนแปลง A.12.1.2 – Change Management – Integrated กบบ ITIL Framework • แนวทางลดความเสสสยงสนาหรกบผชมไมฝมส ส รทธรส ธ ามารถเขชาถทง และการแกชไข คฝาการทนางานของอยปกรณตเพราะการบรรหารจกดการชฝองโหวฝทางเทคนร ค ยกงไมฝมป ส ระสรทธรผล (R11) อาจจะพรจารณามาตรการบรรหารจกดการชฝอง โหวฝทางเทคนร ค A.12.6.1 – Management of Technical Vulnerab ilities – ปรบบปรรงระบบปรดชรองโหวร
IT risk management •
ฝฝ ายสารสนเทศนนา Risk IT framework ของ ISACA มาประยยกตตใชชกกบ กฟภ. การบรรห ารความเสสสยงดชาน IT ของ PEA
สายงานททท 1
สายงานททท 2
IT ททท สนนบสนน นการทาท งาน
สายงานททท 17
IT-related risk
ทน กสายงานจะมท บรร การ/ระบบดดานเทคโนโลยท สารสนเทศ สา ย งา น ไอ ทท
การประเมรนความเสสสยงเทคโนโลยสสารสนเทศ ขององคต ร แบบประเมมินก ความ แจกแบบประเมมินความเสสสี่ยงทททั้ง 17 สายงาน รวบรวมแบบประเมมินความ เสสสี่ยงฯ วมิเคราะหห์ขข้อมมูล (Content Analysis) สส่งขข้อมมูลทสสี่ใหข้หนส่วยงานทสสี่ เกสสี่ยวขข้อง
เสสสี่ยง ตารางการคคานวณ ความเสสสี่ยง คคม คู่ มือการกรอกแบบประ เมมินฯ
ทะเบสยนความเสสสี่ยง
ตารางวมิเคราะหห์ขข้อมคู่ล สรรุปผลเหตรุการณห์ -
สสสี่ อสารใหข้ผข้มูเกสสี่ยวขข้องรทบทราบ
ตตวอยาท ง
-
แผนบรร หารความ เสทท ยง แผนควบคน ม ภายใน แผนปฏร บนตร ประจทา ปท
Link to CobiT
ตตวอยาท ง ตตวอยาท ง
ตตวอยาท ง
ขกขนตอนการสฝงแบบประเมรน ความเสสสยงเทคโนโลยสสารสนเทศขององคตกร (สายงาน จ.) กวส. แตล ท ะเขต (12 เขต) ฝทาย กอ ง
ฝทาย
กอ ง กอ ง
กอ กอ ง ง
ฝทาย กอ ง
สาส เนา ถถง ,ท กฟจ.เชทยงใหม กฟจ.นครสวรรคค, กฟจ.ขอนแกก่น, กฟจ.ออุบลราชธานน, กฟจ.นครราชสนมา, กฟภ.รรังสสิต, กฟภ.เมมองพตทยา, กฟจ.สมอุทรสาคร, กฟจ.เพชรบอุรน, กฟจ.ภภูเกก็ต, กฟจ.พพษณณ โลก,
ฝวธ. (จ1 – จ4) กอ ง
กอ ง
แบบประเมมินความเสสสี่ยงเทคโนโลยสสารสนเทศขององคห์กร กทบตารางคคานวณ
• สส่วนทสสี่ 1 – • สส่วนทสสี่ 2 – ภายนอก • สส่วนทสสี่ 3 – ภายใน • สส่วนทสสี่ 4 –
รายละเอสยดระบบสารสนเทศ ปท จจทยเสสสี่ยงดข้านสภาพแวดลข้อม ปท จจทยเสสสี่ยงดข้านสภาพแวดลข้อม สรรุปผลการประเมมิน
สส่วนทสสี่ 1 – รายละเอสยดระบบสารสนเทศ คคาอธมิบายระบบสารสนเทศหรมือโปรแกรมฯ รซธ. (SAP) : โครงการระบบคอมพมิวเตอรห์ ซอฟทห์แวรห์สคาเรร็จรมูปสคาหรทบธรุรกมิจหลทก BI (Business Intelligence) : การใชข้งาน ระบบสนทบสนรุนการตทดสมินใจทางธรุรกมิจ e-one : ระบบชส่องทางการบรมิการอมิเลร็คทรอนมิ กสห์แบบจรุดเดสยวเบร็ดเสรร็จและบมูรณาการระบบ สารสนเทศ Call-center : ศมูนยห์บรมิการขข้อมมูลผข้ใมู ชข้ไฟ IMS (IP Multimedia Subsystem) : ระบบทสสี่ สส่งขข้อมมูล วมิดสโอ ภาพและเสสยง โดยใชข้ อมินเตอรห์เนร็ต MAT-SAP : ระบบถส่ายโอนขข้อมมูลระหวส่าง เครสสี่องจดหนส่วยและคอมพมิวเตอรห์ BIC-SAP : ลมูกคข้าสทมพทนธห์สคาหรทบผข้ใมู ชข้ไฟราย ใหญส่ Power Factor : รายงานคส่าตทวประกอบกคาลทง ไฟฟข้ า ณ จรุดสส่งมอบพลทงงานไฟฟข้ า ระหวส่าง กฟผ. – กฟภ. mPay : ชคาระเงมินคส่าไฟฟข้ าทางโทรศทพทห์มสอถสอ ePay : ชคาระเงมินคส่าไฟฟข้ าทางอมินเตอรห์เนร็ต
สส่วนทสสี่ 2 – ปท จจทยเสสสี่ยงดข้านสภาพแวดลข้อม ภายนอก
สส่วนทสสี่ 3 – ปท จจทยเสสสี่ยงดข้านสภาพแวดลข้อม ภายใน
ตกวอยฝางขกขนตอนการคนานวณระดกบ ความเสสสยง
เปรสยบเทสยบคะแนน Q1.1 Ans1= 0 Q1.2 Ans1= 5 Q1.3 Ans3= 10 Q1.4 Ans5= 20 ผลรวมคะแนน (x) = 35 อยส่มูในระดดับความเสสสี่ยงสคู่ง
ตกวอยฝางขกขนตอนการคนานวณระดกบ ความเสสสยง
สส่วนทสสี่ 4 –สรรุปผลการประเมมิน
ปเฉพาะปท จจทยเสสสี่ยงทสสี่อยส่มูใน ระดดับเสสสี่ยงสคู่งมาก ระดดับเสสสี่ยงสคู่ง ระดดับเสสสี่ยงปานกลาง * พรข้อมยกตดัวอยคางเหตรุการณห์ความเสสสี่ยงประกอบ
3. ทะเบสยนบกนททกความเสสสยง (Risk Register Entry) • • • •
สฝวนทสส 1 สฝวนทสส 2 สฝวนทสส 3 สฝวนทสส 4
ขชอมมลภาพรวมโดยสรยป รายละเอสยดความเสสสยง ผลการวรเคราะหตความเสสสยง การตอบสนองตฝอความเสสสยง
นท าสทงหนทวยงานททท ดดแลระบบ ICT เพพท อดทาเนร นแกดไขตทอไป - แผนบรร หารความเสทท ยง - แผนควบคน มภายใน - แผนปฏร บนตรประจทาปท
ตกวอยฝางแนวทางแกชไข
IT security management Based on ISO 27005 และ ISO 27001
IT security management Based on ISO 27005 และ ISO 27001
แบบฟอรตมประเมรนความเสสสยงดชานความมกสนคง ปลอดภกยฯ
การเงร น (Financial: F ระดน บ 1 5) การปฏร บนตรการ (Operational: P ระดน บ 1 - 5) ลน กษณะสพทอ (Reputation: R ระดน บ 1 - 5) ผดด ใชดบรร การ (Customer: C ระดน บ 1 - 5) บน คลากร (Employee: E ระดน บ 1 5)
ตตวอยยางการกรอกขขอมมล
โครงการนนารรอง:บรรการ web&อรนเทอรรเนนต
ตตวอยยางการกรอกขขอมมล โครงการนนารรอง:บรรการ web&อรนเทอรรเนนต
• ขออนยมกตรใหช กบก. เขชาระงกบเหตยสยดวรสย ก ภายใน ศมนยตขชอมมลหลกก (Data Center) ภายใน สนานกกงานใหญฝ ตามบกนททก เลขทสส กวส. ๘๐๐/๒๕๕๗ และ ผวก.ลงนามเมมสอวกนทสส ๒๘ ต.ค. ๒๕๕๗
Examples: Integrated to ISO 27001/2:2013 • แนวทางลดความเสสสยงสนาหรกบเจชาหนชาทสสผชมดมแลระบบปฏรบกตรงานผรดพลาด เพราะความรชมทสมสยกงไมฝพอ (R15) อาจพรจารณามาตรการอบรม สรชาง ความรชมและความตระหนกกทสสเกสสยวขชองกกบความมกสนคงปลอดภกยสารสนเทศ A.7.2.2 – Information Security Awareness, Education and Trai ning – กนาหนดเปนน Training Need ประจนาปป • แนวทางลดความเสสสยงสนาหรกบขชอมมลความลกบในการเขชาถทงอยปกรณตถมกเปร ด เผย เพราะขาดความตระหนกกดชานความมกสนคงปลอดภกยสารสนเทศ (R9) มาตรการอบรม สรชางความรชมและความตระหนกกทสสเกสสยวขชองกกบความ มกสนคงปลอดภกยสารสนเทศ A.7.2.2 – Information Security Awaren ess, Education and Training • แนวทางลดความเสสสยงสนาหรกบผชมไมฝมสสรทธรส ธ ามารถเขชาถทง หรมอกวาดขชอมมล เครมอขฝายภายในไดชเนมส องจากการกนาหนดกฎการเขชาถทงไมฝรกดกยม (R9) อาจ พรจารณามาตรการกนาหนดนโยบาย และการเขชาถทงบรรการเครมอขฝายตาม มาตรฐาน A.9.1.1 – Access Control Policy และ A.9.1.2 – Access to Networks and Network Services – ผวก. ลงนามแนวนโยบาย และแนวปฏรบบตรใหมรปป 2558 แลลว และอยรยระหวรางประกาศ
Examples: Integrated to ISO 27001:2013 • แนวทางลดความเสสสยงสนาหรกบการใหชบรรการลชมเหลว (Unavailability เพราะการตรดตาม และควบคยมสมรรถนะของอยปกรณตทสไมฝมสประสรทธรผล (R9) อาจพรจารณามาตรการบรรหารจกดการสมรรถนะ A.12.1.3 Capacity Management – Integrated กบบ ITIL Framework • แนวทางลดความเสสสยงสนาหรกบการใหชบรรการลชมเหลว (Unavailability) เพราะการควบคยมการเปลสสยนแปลงแกชไขยกงไมฝมสประสรทธรผล (R9) อาจ พรจารณามาตรการบรรหารจกดการการเปลสสยนแปลง A.12.1.2 – Change Management – Integrated กบบ ITIL Framework • แนวทางลดความเสสสยงสนาหรกบผชมไมฝมส ส รทธรส ธ ามารถเขชาถทง และการแกชไข คฝาการทนางานของอยปกรณตเพราะการบรรหารจกดการชฝองโหวฝทางเทคนร ค ยกงไมฝมป ส ระสรทธรผล (R11) อาจจะพรจารณามาตรการบรรหารจกดการชฝอง โหวฝทางเทคนร ค A.12.6.1 – Management of Technical Vulnerab ilities – ปรบบปรรงระบบปรดชรองโหวร
