6 - 12
องค์กรจะต้องพิจารณาถึงบริบทในข้อ 4.1 และ 4.2 และต้องกําหนดความเสี่ยงและโอกาสที่จําเป็นเพื่อให้ ระบบบริหารความปลอดภัยสารสนเทศสามารถบรรลุวัตถุประสงค์ที่ต้องการ ป้องกันผลที่ไม่พึงปารถนา และ สามารถปรับปรุงได้อย่างต่อเนื่อง โดยจะต้องรวมกระบวนการท้ังหมดเข้าไว้กับการบริหารความปลอดภัยสารสนเทศ เพ่ือให้สามารถนําไปปฏิบัติได้
ในการประเมินความเสี่ยงด้านความปลอดภัยสารสนเทศ องค์กรจะต้อง
(1) กําหนดและปรับปรุงกรอบการประเมินความเสี่ยงด้านความปลอดภัยสารสนเทศ โดยรวมถึงเกณฑ์การยอมรับความเสี่ยง และ เกณฑ์การประเมินความเสี่ยง
(2) ทําให้การประเมินความเสี่ยงได้ผลการประเมินที่วัดได้และนําไปใช้ได้จริง(Actionable Result)
(3) ระบุความเสี่ยงด้านความปลอดภัยสารสนเทศที่สําคัญ และเจ้าของความเสี่ยงนั้น
(4) วิเคราะห์ความเสี่ยงด้านความปลอดภัยสารสนเทศที่ระบุ เพื่อประเมินโอกาสและความ เสียหายของความเสี่ยง เพ่ีอประเมินระดับของความเสี่ยง
(5) ประเมินความเสี่ยงของระบบความปลอดภัยสารสนเทศ โดยใช้เทียบผลจากขั้นตอน d จากเกณฑ์ในขั้นตอน a และจัดลําดับความเสี่ยงที่ได้ เพื่อกําหนดขั้นตอนการจัดการที่ เหมาะสม
องค์กรจะต้องเก็บข้อมูลเกี่ยวกับการประเมินความเสี่ยงด้านความปลอดภัยสารสนเทศเป็นลายลักษณ์ อักษร ท่ีสามารถเข้าถึงได้โดยบุคลากรที่เก่ียวข้อง
เมื่อทําการประเมินความเส่ียงแล้ว องค์กรจะต้องจัดการความเสี่ยง (Treatment) ที่เหมาะสม โดยจะต้อง
(1) กําหนดทางเลือกที่เหมาะสมในการจัดการความเสี่ยง โดยนําผลการประเมินความเสี่ยง มาพิจารณา
(2) กําหนดมาตรการที่จําเป็นเพื่อดําเนินการตามทางเลือกที่กําหนดไว้ โดยอาจจะพัฒนา มาตรการเอง หรือใช้การอ้างอิงจากแหล่งภายนอกท่ีเช่ือถือได้
(3) เปรียบเทียบมาตรการที่กําหนดขึ้น กับรายการใน Annex A ของมาตรฐาน ISO/IEC 27001 เพื่อให้มั่นใจว่าไม่ได้ละเลยมาตรการใด
6.1-12
Strategic Design and Development Study of the National Energy Information Center to Support National Energy Plan โครงการศึกษาการจัดทําาแผนยุทธศาสตร์และออกแบบการพัฒนาศูนย์สารสนเทศพลังงานแห่งชาติ เพื่อรองรับการใช้ข้อมูลขนาดใหญ่ (Big Data) ในการขับเคลื่อนแผนพลังงานของประเทศไทย
โครงการศึกษาการจัดทําแผนยุทธศาสตร์และออกแบบการพัฒนาศูนย์สารสนเทศ พลังงานแห่งชาติเพื่อรองรับการใช้ข้อมูลขนาดใหญ่ (Big Data) ในการขับเคลื่อน แผนพลังงานของประเทศไทย
6.1 การจัดการกับความเสี่ยงและโอกาส
รายงานฉบับสมบูรณ์