การประเมินความเสี่ยงด้านเทคโนโลยีสารสนเทศและการสื่อสารภายใต้มาตรฐาน ISO27001:2013 กรณีศึกษาขององค์กรด้านการบินแห่งหนึ่ง (Risk Assessment in Information Technology and Communication under the ISO27001:2013 Standard A Case Study of Aviation Organization)
Keywords:
การประเมินความเสี่ยง (Risk assessment), แผนบริหารความเสี่ยง (Risk plan), มาตรฐาน ISO27001, 2013 (ISO27001, 2013)Abstract
การวิจัยนี้มีวัตถุประสงค์เพื่อ (1) ระบุและประเมินความเสี่ยง (2) นำเสนอแนวทางในการบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศและการสื่อสารภายใต้มาตรฐาน ISO27001:2013 ขององค์กรกรณีศึกษา วิธีดำเนินการวิจัยเป็นแบบเชิงสำรวจ โดยใช้แบบสอบถามเป็นเครื่องมือในการเก็บรวบรวมข้อมูลจากพนักงานขององค์กรกรณีศึกษา จำนวน 137 ท่าน วิเคราะห์ข้อมูลโดยใช้สถิติเชิงบรรยายค่าร้อยละ และสถิติในการประเมินความเสี่ยง คือ ค่าโอกาสในการเกิดความเสี่ยงและค่าผลกระทบที่จะเกิดความเสี่ยง ผลการวิจัยพบว่า องค์กรกรณีศึกษามีความเสี่ยงด้านเทคโนโลยีสารสนเทศและการสื่อสารที่อยู่ในระดับสูงมี 6 ด้าน ดังนี้ (1) นโยบายความมั่นคงปลอดภัยสารสนเทศ (2) ความมั่นคงปลอดภัยสำหรับการดำเนินงาน (3) ความมั่นคงปลอดภัยสารสนเทศของการบริหารจัดการเพื่อสร้างความต่อเนื่องทางธุรกิจ (4) ความมั่นคงปลอดภัยสำหรับทรัพยากรบุคคล (5) ความมั่นคงปลอดภัยทางกายภาพและสิ่งแวดล้อม และ (6) การบริการจัดเหตุการณ์ความมั่นคงปลอดภัยสารสนเทศ การวิจัยนี้ส่งผลให้ให้องค์กรมีแนวทางในการกำหนดนโยบายและนำแนวทางไปใช้ในบริหารจัดการความเสี่ยงทั้ง 6 ด้านอย่างเหมาะสม รวมไปถึงการปรับปรุงและพัฒนากระบวนการจัดการด้านความมั่นคงปลอดภัยทางเทคโนโลยีสารสนเทศให้ได้มาตรฐานในระดับสากล
The objectives of this research were (1) to identify and assess risks; and (2) to develop a risk management plan on Information Technology and Communications (ICTs) risks under the ISO 27001:2013 standard for an aviation organization. This research applied a qualitative research methodology using questionnaires as a tool to collect data. 137 officials, working at a case study organization, were participated. The descriptive statistics were used to describe the data found in this research. The risk assessment was explained in the form of risk opportunities and the projected impacts from those risks. The findings revealed that a case study organization had the high risks on ICT in 6 areas, namely: (1) Information Security Policy, (2) Operations Security, (3) Information Security Aspects of Business Continuity Management (BCM), (4) Human Resource (HR) Security, (5) Physical and Environmental Security, and (6) Information Security Incident Management (ISIM). Finally, a risk management plan was developed in 6 domains to guide the ICT risk management.
