NIST Risk Management Framework (RMF) และ ISO 31000 อีก 2 แนวทางการบริหารความเสี่ยงที่องค์กรต้องรู้
จากบทความที่แล้ว เราได้รู้จักกับ NIST Cybersecurity Framework 2.0 ซึ่งเป็นกรอบการบริหารจัดการความเสี่ยงทางไซเบอร์ที่ช่วยให้องค์กรทุกขนาดสามารถรับมือกับภัยคุกคามทางไซเบอร์ได้อย่างมีประสิทธิภาพกันไปแล้ว ในบทความนี้เราจะแนะนำแนวทางบริหารจัดการความเสี่ยงตามมาตรฐานเพิ่มเติม ได้แก่ NIST Risk Management Framework (RMF) ซึ่งเป็นแนวทางเฉพาะสำหรับการประเมินและจัดการความเสี่ยงไซเบอร์ และ ISO 31000 ที่มาตรฐานควบคุมกรอบการทำงานที่ครอบคลุมสำหรับการจัดการความเสี่ยงทุกประเภท มาเริ่มกันที่ส่วนแรก ได้แก่ NIST Risk Management Framework (RMF) ซึ่งเป็นแนวทางการจัดการความเสี่ยง ที่ได้แบ่งขั้นตอนเอาไว้ทั้งหมด 7 ขั้นตอน ดังต่อไปนี้ การเตรียมการ (Prepare): ขั้นตอนแรกคือการเตรียมความพร้อมสำหรับดำเนินการบริหารจัดการความเสี่ยง โดยกำหนดบทบาทความรับผิดชอบ กำหนดขอบเขตของระบบที่ต้องการจัดการความเสี่ยง กำหนดเป้าหมายความปลอดภัย และระบุทรัพยากรที่จำเป็น การจัดหมวดหมู่ (Categorize System): วิเคราะห์และจัดหมวดหมู่ระบบตามระดับความเสี่ยง รวมถึงการพิจารณาถึงข้อกำหนดด้านกฎหมายที่เกี่ยวข้อง เช่น กฎหมายคุ้มครองข้อมูลส่วนบุคคล (PDPA) หรือ มาตรฐานความปลอดภัยข้อมูลชำระเงินแบบอุตสาหกรรมการชำระเงิน (PCI DSS) จะถูกจัดอยู่ในหมวดหมู่ที่มีระดับความเสี่ยงสูง องค์กรจำเป็นต้องเพิ่มมาตรการควบคุมความปลอดภัยเพื่อป้องกันภัยคุกคามทางไซเบอร์ การเลือกมาตรการควบคุม (Select Controls): […]