Cyber Security Risk Management Guidance for Enterprise
Main Article Content
Abstract
This article aims to study enterprise cyber security risk management guidance as well as to present appropriate risk management methods that meet worldwide standard so as to deal with cyber threats of information system in the future. This study explains risk management procedures, including preparation, risk assessment, risk assessment report, and follow-up on risk assessment results. The study also includes measures in order to respond to the risks. The author synthesized the National Institute of Standards and Technology Framework (NIST Framework), laws, regulations, and academic documents in implementing the risk management practices and processes that are systematic and practical for organizations.
The results of the study show that an appropriate risk management is essential to successful management of cyber security in an organization because information technology is contributed to drive enterprise mission. Risk management guidance also determines whether the measures implemented in the organization appropriately align with the context of organization and are able to effectively reduce risks. Furthermore, it also helps to improve information systems in order to support business processes and the core functions of organizations more efficiently.
Article Details
This work is licensed under a Creative Commons Attribution-NonCommercial-NoDerivatives 4.0 International License.
บทความ ภาพ ตาราง กราฟ ข้อเขียน หรือความคิดเห็นในวารสารฉบับนี้เป็นของผู้เขียนไม่ผูกพันกับสถาบันวิชาการป้องกันประเทศ และทางวิชาการแต่อย่างใดReferences
จิตตกานต์ บุญศิริทิวัตถ์ และโกวิท รพีพิศาล. (2560). การพัฒนาแนวทางในการจัดการความมั่นคงปลอดภัยระบบสารสนเทศ ที่เหมาะสมของโรงพยาบาลเอกชนในกรุงเทพมหานคร. วารสารรังสิตสารสนเทศ, 23(1), 61-91.
ปรัชญา เฉลิมวัฒน์. (2561). แนวทางการพัฒนากำลังพลด้านไซเบอร์เพื่อพร้อมรับภัยคุกคามระดับชาติ (รายงานผลการวิจัย). กรุงเทพฯ: สถาบันวิชาการป้องกันประเทศ.
ปริญญา หอมเอนก. (2560). Strategy to Cybersecurity 4.0 (พิมพ์ครั้งที่ 1). กรุงเทพฯ: บริษัท เอซิส โปรเฟสชั่นนัลเซ็นเตอร์ จำกัด.
ปานชนก สุขเจริญ. (2554). การบริหารความเสี่ยง และสร้างความมั่นคงปลอดภัยในการใช้งานเทคโนโลยี สารสนเทศขององค์กร กรณีศึกษาประเภทสถานศึกษาระดับพื้นฐาน (สารนิพนธ์หลักสูตรวิทยาศาสตรมหาบัณฑิต). มหาวิทยาลัยเทคโนโลยีมหานคร. สืบค้นเมื่อ 23 กันยายน 2563, จาก http://gg.gg/mamad
“พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ.2562” (2562, 27 พฤษภาคม) ราชกิจจานุเบกษา. เล่ม 136ตอนที่ 69 ก. หน้า 39.
เศรษฐพงศ์ มะลิสุวรรณ. (2558). แนวทางการพัฒนายุทธศาสตร์ด้านความมั่นคงปลอดภัยไซเบอร์แห่งชาติ. สืบค้นเมื่อ 20 กรกฎาคม 2563, จาก http://www.rtna.ac.th/download/cyber/nationalcybersecurity.pdf
สุธาเทพ รุณเรศ. (2561). ปัจจัยที่มีผลต่อการตระหนักถึงภัยคุกคามทางไซเบอร์ของผู้ใช้อินเทอร์เน็ตในกรุงเทพมหานคร (การค้นคว้าอิสระหลักสูตรวิทยาศาสตรมหาบัณฑิต). มหาวิทยาลัยธรรมศาสตร์. สืบค้นเมื่อ 23 กันยายน 2563, จาก http://ethesisarchive.library.tu.ac.th/thesis/2018/TU_2018_5923036155_7502_9460.pdf
อรรคเดช ประทีปอุษานนท์ และธาราทิพย์ กัลยาณมิตร. (2560). แนวทางการพัฒนากองทัพไทยด้านการรักษาความมั่นคงปลอดภัยทางไซเบอร์. วารสารสถาบันวิชาการป้องกันประเทศ, 8(3), 11-23.
อุดม ประตาทะยัง. (2561). แนวทางที่เหมาะสมในการพัฒนายุทธศาสตร์ความมั่นคงปลอดภัยทางไซเบอร์ (รายงานผลการวิจัย). กรุงเทพฯ: สถาบันวิชาการป้องกันประเทศ.
Antonucci, D. (2017). The Cyber Risk Handbook. Hoboken: John Wiley & Sons, lnc.,.
Black, P.E., Fong, E., Okun, V., and Gaucher, R. (2018). Software Assurance Tools: Web Application Security Scanner Functional Specification Version 1.0. NIST Special Publication 500-269. January.
Bodeau, D. and Graubart, R., (2017). Cyber Resiliency Design Principles. January.
Coat, B. (2559). Shadow IT/Data ภัยคุกคามเบื้องหลังของการใช้ Cloud Applications. สืบค้นเมื่อ 20 กรกฎาคม พ.ศ.2563, จาก https://www.techtalkthai.com/what-is-shadow-it-and-shadowdata/
Gallagher, P.D. (2010). Guide for Applying the Risk Management Framework for Federal Systems. A Security Life Cycle Approach. NIST Special Publication 800-37. February.
_______. (2011). Managing Information Security Risk, Organization Mission and Information System View. NIST Special Publication 800-39. March.
_______. (2012). Guide for Conducting Risk Assessments. NIST Special Publication 800-30 R1. September.
_______. (2013). R4 Security and Privacy Controls for Federal Information Systems and Organization. NIST Special Publication 800-53. April.
International Organization for Standardization [ISO]. (2009). ISO 31000:2009 Risk Management Principles and Guidelines. November.
Moeller, R.R. (2010). IT Audit, Control and Security. Hoboken: John Wiley & Sons, lnc.,.
National Institute of Standards and Technology [NIST]. (2018). Framework for Improving Critical Infrastructure Cybersecurity. April. Retrieved from https://nvlpubs.nist.gov/nistpubs/CSWP/ NIST.CSWP.04162018.pdf
Project Management Institute. (2017). Project Management Body of Knowledge (PMBOK) (6th ed.). Pennsylvania: Project Management Institute.
Stoneburner, G., Goguen, A. and Feringa, A. (2002). Guide for Information Technology Systems. NIST Special Publication 800-30 Risk Management. July.
THE WHITE HOUSE Office of the Press Secretary. (2013). President Policy Practice: Critical Infrastructure Security and Resilience (PPD-21). February. Retrieved from https://fas.org/irp/offdocs/ppd/ppd-21.pdf
Willson, D. (2016). Cyber Security Awareness for CEOs and Management. USA: Sygresss.