Home » วิทยาการ ไอที โลกาภิวัฒน์ » การป้องกันความเสี่ยงระบบสารสนเทศ

การบริหาร/ความรู้ทั่วไป

Web Design by Softbiz+


ว็บนี้ สร้างด้วย Joomla! 1.5 โดย ทีมงานซอฟท์บิส+ update11.11.2014

 
การป้องกันความเสี่ยงระบบสารสนเทศ

    ปัจจุบันคอมพิวเตอร์และเทคโนโลยีสารสนเทศได้เข้ามามีบทบาทสำคัญในการจัดการข้อมูลของกิจการ ซึ่งข้อมูลดังกล่าวมีความสำคัญอย่างยิ่งต่อการดำเนินงาน การบริหารงานและการตัดสินใจในด้านต่างๆ กิจการจึงต้องจัดให้มีการบริหารจัดการเพื่อให้ได้รับข้อมูลที่ถูกต้องครบถ้วน ภายในระยะเวลาอันรวดเร็ว และป้องกันมิให้ข้อมูลที่สำคัญรั่วไหล ทั้งนี้เพื่อป้องกันไม่ให้เกิดความเสียหายต่อกิจการ ดังนั้น มาตรการในการป้องกันความเสี่ยงระบบสารสนเทศจึงเป็นเรื่องที่กิจการควรให้ความสำคัญ มาตรการในการป้องกันความเสี่ยงในระบบสารสนเทศที่สำคัญ ได้แก่ 

1. การประเมินความเสี่ยงระบบสารสนเทศของกิจการ

    กิจการควรทำการประเมินความเสี่ยงระบบสารสนเทศของกิจการ ว่ากิจการมีความเสี่ยงในด้านใดบ้าง เพื่อดำเนินการหามาตรการการป้องกันและแก้ไขที่เหมาะสม 

2. การรักษาความปลอดภัยทางกายภาพแก่ระบบสารสนเทศ

    ห้องที่มีความสำคัญต่อระบบสารสนเทศ เช่น ห้องคอมพิวเตอร์แม่ข่ายจะต้องมีความมั่นคงปลอดภัย ห้ามมิให้ผู้ที่ไม่เกี่ยวข้องเข้าไปในบริเวณดังกล่าว บุคคลที่จะผ่านเข้าออกต้องมีการใส่รหัสผ่านเพื่อบันทึกการผ่านเข้าออกทุกครั้ง

3. การป้องกันปัญหากระแสไฟฟ้าขัดข้อง

    กิจการควรมีมาตรการป้องกันปัญหากระแสไฟฟ้าขัดข้อง เช่น ติดตั้งเครื่องสำรองไฟฟ้า (Uninterruptible Power Supply : UPS) เครื่องปั่นไฟฟ้าสำรอง เพื่อป้องกันความเสียหายที่เกิดขึ้นกับอุปกรณ์คอมพิวเตอร์ต่างๆ กรณีที่เกิดปัญหากระแสไฟฟ้าขัดข้อง       

4. การป้องกันการบุกรุกและภัยคุกคามทางคอมพิวเตอร์

    กิจการควรมีการป้องกันการบุกรุกและภัยคุกคามทางคอมพิวเตอร์ เช่น ปรับปรุงระบบปฏิบัติการให้ทันสมัยอยู่เสมอ เปิดใช้งานไฟร์วอลล์ (Firewall) เพื่อป้องกันมิให้ผู้ไม่ได้รับอนุญาตเข้าสู่ระบบสารสนเทศ เปิดการใช้งานการกู้คืนข้อมูล (Recovery) ของระบบปฏิบัติการ ติดตั้งโปรแกรมป้องกันไวรัส มีการ update โปรแกรมป้องกันไวรัสและสแกนไวรัสอย่างสม่ำเสมอ กำหนดให้มีการใส่รหัสผ่านก่อนเข้าไปใช้งานระบบต่างๆ ตรวจสอบปริมาณข้อมูลการใช้งานเครือข่ายอินเตอร์เน็ตผ่านซอฟท์แวร์ ให้ความรู้แก่บุคลากรเกี่ยวกับวิธีการใช้งานระบบสารสนเทศอย่างปลอดภัย

5. การสำรองข้อมูลอย่างสม่ำเสมอ


    กิจการควรมีการกำหนดให้ระบบมีการสำรองข้อมูลโดยอัตโนมัติ และกำหนดให้ผู้ใช้ต้องมีการสำรองข้อมูลที่รับผิดชอบตามความเหมาะสม โดยข้อมูลที่สำรองจะต้องจัดเก็บไว้คนละ Drive จัดเก็บไว้ในสื่อบันทึกข้อมูลอื่น และกรณีที่เป็นข้อมูลที่มีความสำคัญให้จัดพิมพ์ลงในกระดาษ รวมถึงพิจารณาจัดเก็บข้อมูลที่สำคัญนอกสถานที่ด้วย

 6. กำหนดมาตรการป้องกันอุปกรณ์สารสนเทศที่ใช้งานนอกกิจการ

     กรณีที่มีการนำอุปกรณ์สารสนเทศไปใช้งานนอกกิจการ เช่น คอมพิวเตอร์ Notebook เครื่อง PDA (Personal Digital Assistant) หรือ อุปกรณ์จัดการข้อมูลส่วนบุคคลดิจิตอล (Organizer) กิจการต้องมีการกำหนดนโยบายในการป้องกันอุปกรณ์เหล่านั้น ตัวอย่างเช่น กำหนดให้มีการใส่รหัสผ่านก่อนการใช้งานอุปกรณ์ทุกครั้ง กำหนดระเบียบปฏิบัติในการใช้งานอุปกรณ์ ระเบียบปฏิบัติในการยืมอุปกรณ์ เป็นต้น

 7. การทำลายอุปกรณ์หรือสื่อบันทึกข้อมูล

     กิจการต้องมีการกำหนดมาตรการในการทำลายอุปกรณ์หรือสื่อบันทึกข้อมูลที่จัดเก็บข้อมูลสำคัญ เพื่อป้องกันการรั่วไหลของข้อมูล

 8. การควบคุมการเปลี่ยนแปลงหรือแก้ไขระบบสารสนเทศ

     ก่อนที่จะทำการเปลี่ยนแปลงหรือแก้ไขระบบสารสนเทศ ต้องมีการทดสอบการใช้งานให้มั่นใจว่าระบบใหม่มีความถูกต้องเหมาะสม และมีการทำบันทึกการเปลี่ยนแปลงแก้ไขทุกครั้ง รวมทั้งแจ้งให้หน่วยงานที่เกี่ยวข้องทราบ

 9. การป้องกันและแก้ไขปัญหาจากภัยพิบัติหรือสถานการณ์ฉุกเฉิน

     กิจการควรจัดทำแผนป้องกันและแก้ไขปัญหาจากภัยพิบัติหรือสถานการณ์ฉุกเฉิน เพื่อให้การดำเนินกิจการเป็นไปอย่างต่อเนื่อง รวมถึงกำหนดตัวผู้รับผิดชอบเมื่อเกิดเหตุการณ์ดังกล่าวและประชาสัมพันธ์ให้พนักงานทุกคนรับทราบเพื่อจะได้มีการปฏิบัติอย่างถูกต้อง

10. การจัดทำคู่มือการรักษาความปลอดภัยระบบสารสนเทศเป็นลายลักษณ์อักษร 

      กิจการควรจัดทำคู่มือการรักษาความปลอดภัยระบบสารสนเทศเป็นลายลักษณ์อักษร รวมทั้งเผยแพร่มาตรการการรักษาความปลอดภัยให้แก่พนักงานรับทราบและปฏิบัติตามนโยบายที่กำหนดขึ้น

11. การให้พนักงานลงนามเพื่อป้องกันการเปิดเผยความลับของกิจการ

      ก่อนที่จะรับพนักงานเข้าทำงาน กิจการควรให้พนักงานลงนามในเอกสารว่าพนักงานจะไม่เปิดเผยความลับของกิจการ

     กล่าวโดยสรุปแล้ว มาตรการการรักษาความปลอดภัยระบบสารสนเทศเป็นสิ่งสำคัญ กิจการต้องประเมินความเสี่ยงระบบสารสนเทศของกิจการ เพื่อหามาตรการการป้องกันและแก้ไขที่เหมาะสม กำหนดผู้มีหน้าที่รับผิดชอบ และประชาสัมพันธ์แก่พนักงานของกิจการเพื่อให้รับทราบและปฏิบัติตามมาตรการการรักษาความปลอดภัย กิจการควรให้ความรู้อย่างต่อเนื่องแก่พนักงานในทุกระดับชั้นเกี่ยวกับวิธีการใช้งานระบบสารสนเทศอย่างปลอดภัย รวมถึงสร้างจิตสำนึกให้พนักงานตระหนักถึงความสำคัญของการรักษาความปลอดภัยระบบสารสนเทศขององค์กร

 

ที่มา  http://account.bu.ac.th/ejournal/ejournaldetail.php?id=22