องค์กรกับการประเมินความเสี่ยงด้านเทคโนโลยีสารสนเทศ

Abstract

การประเมินความเสี่ยงด้านเทคโนโลยีสารสนเทศเป็นกระบวนการทำงานในการป้องกันข้อมูลสารสนเทศที่เป็นความลับ มีความสำคัญ และป้องกันความเสียหายที่จะเกิดขึ้นจากภัยคุกคามทางเทคโนโลยีสารสนเทศที่สามารถบุกรุก โจมตีข้อมูลสารสนเทศขององค์กร ซึ่งการประเมินความเสี่ยงในเรื่องนี้เป็นแนวทางในการช่วยสนับสนุนความสำเร็จของการบรรลุพันธกิจขององค์กรอีกแนวทางหนึ่ง โดยการประเมินความเสี่ยงด้านเทคโนโลยีสารสนเทศมุ่งเน้นการปกป้องข้อมูลสารสนเทศ 3 ประการ ได้แก่ ความลับ, ความถูกต้อง และความพร้อมใช้งาน เพื่อให้บรรลุการปกป้องข้อมูลสารสนเทศดังกล่าว องค์กรต้องประเมินความเสี่ยงในด้านการเข้าถึงข้อมูลสารสนเทศ, ความถูกต้อง ความครบถ้วนของข้อมูลสารสนเทศ, ความพร้อมใช้ของข้อมูลสารสนเทศและการบริหารจัดการด้านเทคโนโลยีสารสนเทศ รวมถึงการประเมินความเสี่ยงด้านอื่น ๆ ที่เกี่ยวข้องและมีผลกระทบต่อการประเมินความเสี่ยงด้านเทคโนโลยีสารสนเทศทั้งทางตรงและทางอ้อม โดยใช้กระบวนการบริหารความเสี่ยงทั้ง 6 ขั้นตอน ดังนั้นหากองค์กรดำเนินการประเมินความเสี่ยงและบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศควบคู่กับการประเมินความเสี่ยงในเรื่องอื่น ๆ จะช่วยให้สินทรัพย์ขององค์กรให้รอดพ้นจากความเสี่ยงทั่ว ๆ ไป และความเสี่ยงที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศอีกด้วย และเพื่อให้การประเมินความเสี่ยงด้านเทคโนโลยีสารสนเทศสำเร็จลุล่วงตามเป้าหมายที่กำหนดไว้ องค์กรต้องให้ความสำคัญและมอบหมายให้ผู้เชี่ยวชาญทางด้านเทคโนโลยีสารสนเทศเป็นผู้ดำเนินการ และฝ่ายบริหารขององค์กรให้การสนับสนุนทรัพยากรที่จำเป็น เหมาะสมและได้มาตรฐาน ตลอดจนการสื่อสารภายในองค์กร และการสร้างความตระหนักเกี่ยวกับความมั่นคงปลอดภัยสารสนเทศ และการใช้งานข้อมูลสารสนเทศให้กับบุคลากรทุกระดับภายในองค์กร

Information technology risk assessment is a process to protect confidential information that is important and prevent damage that may occur from information technology threats that can invade the organization's information. The risk assessment in this regard is another way to help support the success of the organization's mission. The information technology risk assessment focuses on protecting information in 3 areas, including confidentiality, accuracy, and availability. To achieve the protection of the said information, accuracy and completeness of information, availability of information and management of information technology. Including other risk assessments related and affecting the assessment of information technology risks, both directly and indirectly by using the risk management process in all 6 steps. Therefore, if the organization conducts a risk assessment and manages information technology risks together with other risk assessments will help the organization's assets escape the general risks and risks associated with information technology. To complete the risk assessment of information technology in accordance with the set goals. Corporate executives must give priority and assign information technology experts to operate and support necessary, appropriate and standardized resources. Including the need to communicate within the organization to raise awareness about information security and use of information to personnel at all levels within the organization.