Risk appetite vs Risk tolerance

ระดับความเสี่ยงที่ยอมรับได้ (risk appetite) เป็นความเสี่ยงที่องค์กรยอมรับได้ในลักษณะของระดับที่เป็นค่าเป้าหมาย (ค่าเดียว) หรือช่วงโดยระดับความเสี่ยงที่ยอมรับได้ ต้องสอดคล้องกับเป้าหมายขององค์กร(ประจำปีที่ระบุในแผนปฏิบัติงานประจำปี)

ระดับเบี่ยงเบนที่ยอมรับได้ (risk tolerance) เป็นช่วงเบี่ยงของระดับความเสี่ยงที่องค์กรยอมรับได้ โดยระดับเบี่ยงเบนที่ยอมรับได้ต้องสอดคล้องกับระดับขององค์กรที่ยอมให้เบี่ยงเบนได้ที่ได้ระบุไว้ (ในแผนปฏิบัติงานประจำปี) ถ้าไม่มีการระบุ ควรเป็นค่าที่ได้ผ่านการอนุมัติแล้ว (เช่น ผ่านการอนุมัติจากคณะกรรมการบริหารองค์กร)

Intrusion Detection System (IDS) --- ระบบตรวจจับการบุกรุก

 ระบบตรวจจับการบุกรุก (IDS) หรือ Intrusion Detection System เป็นเครื่องมือที่ใช้สำหรับการรักษาความปลอดภัยของระบบคอมพิวเตอร์ โดยตรวจจับและแจ้งเตือนเมื่อมีการบุกรุกหรือสิ่งที่ผิดปกติเกิดขึ้นในระบบ ซึ่ง IDS มีบทบาทสำคัญในการเฝ้าระวังและป้องกันการโจมตีเครือข่าย แม้ว่า IDS จะไม่สามารถป้องกันการโจมตีได้ แต่มีประโยชน์ในการตรวจจับความพยายามของผู้ใช้ที่ได้รับอนุญาตในการเข้าถึงไฟล์หรือใช้โปรแกรมที่ไม่ได้รับอนุญาต.

ระบบ IDS สามารถแบ่งเป็นสองประเภทหลัก:

1. ระบบตรวจจับการบุกรุกรูปแบบระบบเฝ้าระวัง (Network-based IDS, NIDS): ตรวจจับการบุกรุกในระบบเครือข่าย โดยตรวจสอบการกระทำที่เกิดขึ้นในระบบเครือข่าย และแจ้งเตือนผู้ดูแลระบบเมื่อมีการโจมตีหรือพยายามที่จะบุกรุกเครือข่าย.
2. ระบบตรวจจับการบุกรุกรูปแบบระบบโฮสต์ (Host-based IDS, HIDS): ตรวจจับการบุกรุกในระบบโฮสต์ โดยตรวจสอบการกระทำที่เกิดขึ้นในเซิร์ฟเวอร์หรือคอมพิวเตอร์เดี่ยว และแจ้งเตือนผู้ดูแลระบบเมื่อมีการโจมตีหรือพยายามที่จะบุกรุกระบบโฮสต์.

ข้อควรระวัง:

• IDS ไม่สามารถป้องกันไม่ให้ข้อมูลถูกโจมตีได้ แต่เป็นระบบที่คอยแจ้งเตือนภัยเมื่อมีการบุกรุกหรือพยายามที่จะบุกรุกเครือข่าย.
• การตรวจจับของ IDS อาจไม่สามารถตรวจจับความพยายามของผู้ใช้ที่ได้รับอนุญาตในการเข้าถึงไฟล์หรือใช้โปรแกรมที่ไม่ได้รับอนุญาตได้.

ภัยคุกคาม (Threat)

ภัยคุกคาม (Threat) คือสิ่งที่อาจจะก่อให้เกิดความเสียหายต่อคุณสมบัติของข้อมูลในด้านต่างๆ ภัยคุกคามอาจมีลักษณะเป็นการโจมตี (Attack) หรือการบุกรุกเครือข่าย ซึ่งสามารถทำลายข้อมูล หรือทำให้ระบบไม่สามารถใช้งานได้ นอกจากนี้ การเปิดเผยข้อมูล (Disclosure) การหลอกลวงหรือการให้ข้อมูลที่เป็นเท็จ (Deception) และการควบคุมระบบโดยไม่ได้รับอนุญาต (Usurpation) ก็ถือเป็นส่วนหนึ่งของภัยคุกคาม

เอกสารที่ต้องจัดทำตามมาตรฐาน ISO14001:2015

 

Who is responsible for developing procedures??? --- หน้าที่ในการเขียนคู่มือการปฏิบัติงานคือใคร !!!

หน้าที่ในการเขียนคู่มือหรือขั้นตอนการปฏิบัติงาน ... คือใคร หรือหน่วยงานใหน??? มักจะเป็นคำถามที่ถูกถามเมื่อเริ่มต้นในการนำระบบมาตรฐานมาใช้ในองค์กร 

บางหน่วยงานคาดหวังให้ทีมคุณภาพเป็นผู้เขียน คุณภาพก็อาจจะบอกว่ามันใช่หน้าที่ของฉัน??? ก่อนอื่นต้องเข้าใจก่อนว่าคู่มือหรือขั้นตอนการปฏิบัติงาน เป็นเอกสารที่ถูกจัดทำเพื่อเป็นแนวทางในการทำงาน เป็นขั้นตอนการปฏิบัติงาน หรือวิธีการที่กำหนดไว้เพื่อใช้ในการปฏิบัติงาน ดังนั้นโดยทั่วไปแล้วคู่มือหรือขั้นตอนการปฏิบัติงานจะถูกจัดทำ หรือเขียนโดยเจ้าของกระบวนการ (Process owner)  เช่น คู่มือการผลิต ก็ควรเป็นของทีมผลิต คู่มือการจัดการความเสี่ยง ก็ควรเป็นของทีมความเสี่ยง คู่มือการตรวจสอบภายในก็ควรเป็นของทีมตรวจสอบภายใน เนื่องจากเจ้าของกระบวนการจะทราบรายละเอียดขั้นตอนการทำงานดีที่สุด

ประกาศกระทวงมหาดไทยกำหนดสีถังขยะ

กระทรวงมหาดไทยได้ออกประกาศ เรื่องการจัดการมูลฝอย ปี พ.ศ.2567 เมื่อวันที่ 11 มีนาคม 2567 โดยอาศัยอำนาจตาม พรบ.รักษาความสะอาดแบะความเป็นระเบียบเรียบร้อยของบ้านเมือง พ.ศ.2560 กำหนดสีของถังขยะ ดังนี้

• สีน้ำเงิน สำหรับมูลฝอยทั่วไป
• สีเขียว สำหรับมูลฝอยอินทรีย์
• สีเหลือง สำหรับมูลฝอยนำกลับมาใช้ใหม่
• สีส้ม สำหรับมูลฝอยที่เป็นพิษ หรืออันตราย
• สีแดง สำหรับมูลฝอยติดเชื้อ

---

ข้อมูลเพิ่มเติม

• https://ratchakitcha.soc.go.th/documents/21482.pdf

ประเภทของเอกสารคุณภาพ

ไม่มีข้อกำหนดในระบบมาตรฐานที่แบ่งประเภทของเอกสารอย่าชัดเจน แต่โดยทั่วไปสามารถแบ่งออกเป็นหลายประเภทตามหน้าที่และความสำคัญ ดังนี้:

• นโยบาย (Policy), คู่มือคุณภาพ (Quality Manual: QM): เป็นแนวทาง หลักการ หรือแนวปฏิบัติที่กำหนดไว้เพื่อเป็นแนวทางในการตัดสินใจ หรือดำเนินการเกี่ยวกับเรื่องใดเรื่องหนึ่ง ที่ถูกกำหนดโดยองค์กร เพื่อเป็นแนวทางในการดำเนินงาน บริหารจัดการ และควบคุมดูแลกิจกรรมต่างๆ

• ระเบียบปฏิบัติ (Standard Procedure: SP / Quality Procedure: QP): เอกสารที่อธิบายลำดับขั้นตอน หรือวิธีการที่กำหนดไว้เพื่อเป็นแนวทางในการปฏิบัติงาน ซึ่งองค์กรได้กำหนดไว้

กฎหมาย และประกาศที่เกี่ยวข้องกับความมั่นคงปลอดภัยไซเบอร์

กฎหมาย

• พระราชบัญญัติว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544 (ฉบับแก้ไขเพิ่มเติม)
• พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 (ฉบับแก้ไขเพิ่มเติม)
• พระราชบัญญัติการบริหารงานและการให้บริการภาครัฐผ่านระบบดิจิทัล พ.ศ. 2562
• พระราชบัญญัติว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562
• พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
• ฯลฯ

ธนาคารแห่งประเทศไทย

• ประกาศธนาคารแห่งประเทศไทย ที่ สนส. 21/2562 เรื่อง หลักเกณฑ์การกำกับดูแลความเสี่ยงด้านเทคโนโลยีสารสนเทศ (Information Technology Risk) ของสถาบันการเงิน
• แนวปฏิบัติในการบริหารความเสี่ยงด้านเทคโนโลยีสารสนเทศ (IT Risk Implementation Guideline)
• แนวปฏิบัติการบริหารจัดการความเสี่ยงจากบุคคลภายนอก (Third Party Risk Management Implementation Guideline)
• กรอบการประเมินความพร้อมด้าน Cyber Resilience
• แนวปฏิบัติการทดสอบเจาะระบบแบบ Intelligence-led (iPentest)
• แนวนโยบาย เรื่องการรักษาความมั่นคงปลอดภัยของการให้บริการทางการเงินและการชำระเงินบนอุปกรณ์เคลื่อนที่ (Guiding Principles for Mobile Banking Security)

คณะกรรมกำกับและส่งเสริมการประกอบธุรกิจประกันภัย (คปภ.)

• ประกาศคณะกรรมการกำกับและส่งเสริมการประกอบธุรกิจประกันภัย เรื่อง หลักเกณฑ์การกำกับดูแลและบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศของบริษัทประกันชีวิต / ประกันวินาศภัย พ.ศ. 2563
• แนวปฏิบัติ เรื่อง การกำกับดูแลและบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศของบริษัทประกันชีวิต / ประกันวินาศภัย พ.ศ. 2563
• แนวปฏิบัติเรื่อง หลักเกณฑ์การกำกับดูแลการใช้บริการจากผู้ให้บริการภายนอกด้านเทคโนโลยีสารสนเทศของบริษัทประกันชีวิต / ประกันวินาศภัย พ.ศ. 2563

คณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (ก.ล.ต.)

• ประกาศสำนักงานคณะกรรมการ ก.ล.ต. ที่ สธ. 38/2565
• กรอบการประเมินความพร้อมด้าน cyber resilience (CRAF)
• คู่มือแนวทางปฏิบัติการกำกับดูแลและบริหารจัดการเทคโนโลยีระดับองค์กรที่ดี (IT governance)
• คู่มือแนวทางปฏิบัติการบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศ (IT risk management)
• คู่มือแนวทางปฏิบัติการบริหารจัดการการใช้บริการ cloud computing

ISO add Climate Change Consideration in Management System Standard - ประเด็นการเปลี่ยนแปลงสภาพภูมิอากาศที่ถูกเพิ่มในมาตรฐานระบบการจัดการโดยองค์กรมาตรฐานนานาชาติ

ในช่วงเดือนกุมภาพันธ์ที่ผ่านมาได้มีการเปลี่ยนแปลงของมาตรฐานระดับนานาชาติเกี่ยกับประเด็นการเปลี่ยนแปลงสภาพอากาศที่ถูกเพิ่มในมาตรฐานระบบการจัดการ ซึ่งองค์กรมาตรฐานนานาชาติ (ISO) ได้มีการปรับเพิ่มข้อกำหนดนี้ในมาตรฐานกว่า 30 ฉบับ

โดยประเด็นที่ถูกเพิ่มเข้ามาคือ การกำหนดให้การเปลี่ยนเเปลงสภาพภูมิอากาศ (Climate Change) เป็นประเด็นที่องค์กรที่มีการดำเนินการตามมาตรฐานดังกล่าวจะต้องนำมาพิจารณาตามข้อกำหนดที่ 4.1 และ 4.2 

โดยสิ่งที่องค์กรควรพิจารณาตาม 4.1 คือ 1) การเปลี่ยนเเปลงสภาพภูมิอากาศ มีประเด็นไดบ้างที่อาจส่งผลกระทบต่อ ผลิตภันฑ์ หรือบริการขององค์กร และ 2) ในการผลิตผลิตภันฑ์ หรือบริการขององค์กร ส่งผลต่อการเปลี่ยนแปลงสภาพภูมิอากาศอย่างไรบ้าง

และสิ่งที่องค์กรควรพิจารณาตาม 4.2 คือ ผู้มีเส่วนได้เสียมีความคาดหวัง หรือข้อกำหนดอะไรที่เกี่ยวข้องกับการเปลี่ยนแปลงสภาพภูมิอากาศหรือไม่ อย่างไร เช่น Net Zero Policy เป็นต้น 

---

อ่านเพิ่มเติม

• Joint_ISO-IAF_Communique_re_Climate_Change_Amds_to_ISO_MSS_Feb_2024_Final.pdf

BCM ไม่เท่ากับ BCP !!!

BCM ไม่เท่ากับ BCP ... สองคำนี้มักมีคนใช้แทนกันโดยที่ไม่เข้าใจความหมายที่แท้จริง

มาดูนิยามของคำทั้งสองคำนี้กัน อ้างอิงตาม มอก.22301

การบริหารความต่อเนื่องทางธุรกิจ (Business continuity management: BCM) หมายถึง กระบวนการบริหารแบบองค์รวมซึ่งบ่งชี้ภัยคุกคามที่อาจเกิดขึ้นต่อองค์กร และผลกระทบของภัยคุกคามนั้นต่อกำดำเนินธุรกิจ และให้แนวทางในการสร้างขีดความสามารถให้องค์กรมีความยืดหยุ่น เพื่อการตอบสนองและปกป้องผลประโยชน์ของผู้มีส่วนได้เสียหลัก ชื่อเสียง ภาพลักษณ์ และกิจกรรมที่สร้างมูลค่าที่มีประสิทธิผล

แผนความต่อเนื่องทางธุรกิจ (Business continuity plan: BCP) หมายถึง เอกสารขั้นตอนการดำเนินการ และข้อมูลสำคัญ เพื่อใช้เป็นแนวทางการดำเนินการเพื่อให้สามารถดำเนินการใด้ในระดับที่กำหนดภายหลังการเกิดอุบัติการณ์ที่ทำให้เกิดการหยุดชะงัก

BCM เป็นการจัดการเพื่อให้เกิดความต่อเนื่องในการดำเนินธุรกิจ ซึ่งประกอบด้วยขั้นตอนการจัดการหลาย ๆ ขั้นตอนไม่ว่าจะเป็น การประเมินความเสี่ยงต่อการหยุดชะงักขององค์กร, การวิเคราะห์ผลกระทบทางธุรกิจ (Business Impact Analysis: BIA), การวิเคราะห์ความเสี่ยงของการหยุดชะงักของระบบงานสำคัญ, การกำหนดกลยุทธ์ในการจัดการความเสี่ยงต่อการหยุดชะงักของระบบงานสำคัญ, การจัดทำแผนความต่อเนื่องทางธุรกิจ (Business continuity plan: BCP), การฝึกซ้อมแผนความต่อเนื่องทางธุรกิจ

จะเห็นได้ว่า BCP เป็นส่วนหนึ่งของ BCM ไม่ใช่ทั้งหมด 

---

• มอก.22301 https://www.isosmartpro.com/private_folder/law9-56-1/150956-2070.pdf