Page 719 - NEIC_FINAL REPORT
P. 719
โครงการศึกษาการจัดทําแผนยุทธศาสตร์และออกแบบการพัฒนาศูนย์สารสนเทศ พลังงานแห่งชาติเพ่ือรองรับการใช้ข้อมูลขนาดใหญ่ (Big Data) ในการขับเคล่ือน แผนพลังงานของประเทศไทย
- ประสิทธิผล(Effectiveness)หมายถึงการที่แผนงานที่วางไว้สามารถทําได้ตามที่กําหนด
- ความเสี่ยง(Risk)หมายถึงการพิจารณาร่วมกันของของความน่าจะเป็นที่อาจจะ เกิดปัญหาทางความปลอดภัยของสารสนเทศและความรุนแรงของปัญหาน้ัน
- การประเมินความเสี่ยง (Risk Assessment) หมายถึงกระบวนที่จะระบุและวิเคราะห์ถึง ระดับของความเสี่ยงโดยพิจารณาถึงความน่าจะเป็นที่จะเกิดและความรุนแรง รวมถึงการวางแผนเพื่อลด ความเสี่ยงจะเกิดขึ้นได้ ให้อยู่ในระดับที่ยอมรับได้
- การจัดการความเสี่ยง (Risk Treatment) เป็นกระบวนการเพื่อลดความเส่ียงท่ีประเมินไว้ เพื่อให้อยู่ในระดับท่ียอมรับได้
- ผู้บริหารระดับสูง (Executive Management) หมายถึงกลุ่มบุคคลที่สามารถตัดสินใจถึง ทิศทางขององค์กร และรับผิดชอบการวางเป้าหมายขององค์กร และ ทิศทางกลยุทธ์เพื่อไปถึงเป้าหมายนั้น
การใช้คําสําคัญและนิยามที่ตรงกัน จะทําให้การทําความเข้าใจถึงระบบจัดการความปลอดภัย สารสนเทศได้ตรงกัน และยังช่วยให้การบรรลุถึงการได้รับการยอมรับในมาตรฐาน ISO/IEC 27001 เป็นไปได้โดยง่าย
4. บริบทขององค์กร
ในขั้นตอนแรกของการทําระบบจัดการความปลอดภัยของสารสนเทศ จะต้องทําการวิเคราะห์ บริบทขององค์กร (Organization context) ก่อน เพื่อให้เข้าถึงถึงเป้าหมาย ทรัพยากร จุดแข็ง จุดอ่อน โอกาส ภัยคุกคามต่าง ๆ ขององค์กร เป็นต้น เพื่อให้การจัดทําระบบจัดการความปลอดภัยสารสนเทศที่ตอบสนองต่อความ ต้องการขององค์กรได้ดี โดยมีประเด็นที่ต้องพิจารณาดังต่อไปนี้
4.1 การทําความเข้าใจองค์กรและบริบทองค์กร
องค์กรจะต้องกําหนดประเด็นภายใน (Internal Context) และประเด็นภายนอก (External Context) ท่ีสอดคล้องกับองค์กรและส่งผลต่อความสามารถในการบรรลุพันธกิจขององค์กรในการจัดการ ความปลอดภัยสารสนเทศ ประเด็นภายในก็เช่น วุฒิภาวะขององค์กร (Maturity) วัฒนธรรมองค์กร (Culture) ระบบการบริหารจัดการ (Management System) ขนาดของทรัพยากรที่ใช้ได้ (Resources) ข้อมูลอ่อนไหวและ ข้อมูลมีคุณค่า (Sensitive/Value Information) ในองค์กร ประเด็นภายนอกก็เช่น คู่แข่ง (Competition) ผู้ควบคุม (Regulator) หรือผู้บังคับใช้ (Enforcement Body) ที่องค์กรจะต้องปฏิบัติตาม ประเด็นทางเศรษฐศาสตร์ การเมือง สิ่งแวดล้อมที่เกี่ยวข้อง ซึ่งอาจจะทําการศึกษาผ่านเครื่องมือเช่น PESTLE รวมถึงผู้มีส่วนได้ส่วนเสียของ องค์กร ซึ่งเมื่อมีข้อมูลเหล่านี้ครบแล้ว จึงจะดําเนินการในข้ันตอนถัดไป
Final Report
รายงานฉบับสมบูรณ์
6.1-9
รายงานฉบับสมบูรณ์
6- 9