A Development of Operational Plan on Information Technology Risk Management, Directorate of Joint Communication, Royal Thai Armed Forces Headquarters

Main Article Content

Chanchai Pramoolchego
Vasin Chooprayoon

Abstract

The objectives of this research were 1) to study the opinions of the personnel of the Directorate of Joint Communications on the information technology risk management process, 2) to develop a draft action plan for the information technology risk management process, and 3) to consider the draft of “The Action Plan for Managing Information Technology Risks” of the Directorate of Joint Communications. This research used both quantitative and qualitative research approaches. The main theory in research design is the ISO/IEC 27001:2013 standard framework. Three hundred and twentyone personnel who are the research respondents completed and returned the questionnaires (100.00%). In terms of the qualitative approach, the semi-structured interview was used to gather information from five executives, including the Director of the Directorate of Joint Communications. The statistics used in the empirical data analysis were 1) descriptive (percentage, mean, and standard deviation) and 2) multiple linear regression analysis. The authors comparatively analyzed the interviewers' qualitative data and classified the opinions on each issue into 2 groups; similar opinions and different opinions. The study revealed that most of the respondents need a high level of information security managerial measures. The hypothesis test found that the management system of information security has influenced information security managerial measures with the effect size (R2) between 0.491-0.933. Moreover, the information security managerial measures in the current context have affected the need for information technology risk plans with the effect size (R2) between 0.195-0.933. The hypothesis test also generated 28 influence equations. The research findings become the primary information for developing the draft of action plan for the information technology risk management process of the Directorate of Joint Communications, Royal Thai Armed Forces Headquarters. Then the information will be taken into consideration by the experts in a discussion group to get an approval. However, the draft was already approved by 11 experts of the Directorate of Joint Communications.

Article Details

Section
บทความวิจัย (Research Articles)

References

ไกรลาศ สิทธิยะ. (2558). แนวทางในการวางนโยบายความมั่นคงปลอดภัยทางสารสนเทศสำหรับวิสาหกิจขนาดกลางและขนาดเล็กด้านระบบเครือข่ายไร้สาย. วารสารวิชาการมหาวิทยาลัยฟาร์อีสเทอร์น, 23(1), 54-63. สืบค้นจาก https://www.tci-thaijo.org/39036-Article Text-88921-1-10-20150830

จิตตกานต์ บุญศิริทิวัตถ์ และโกวิท รพีพิศาล. (2560). การพัฒนาแนวทางในการจัดการความมั่นคงความปลอดภัยระบบสารสนเทศ ที่เหมาะสมของโรงพยาบาลเอกชนในกรุงเทพมหานคร. วารสารรังสิตสารสนเทศ, 23(1), 61-91.สืบค้นจาก http://rilj.rsu.ac.th/journal/31/article/108

ธันวัฒน์ นามอ่อนตา และวศิณ ชูประยูร. (2561). ตัวแบบการรักษาความมั่นคงปลอดภัยสารสนเทศของกองบัญชาการกองทัพไทย. วารสารรังสิตสารสนเทศ, 24(1), 6-20. สืบค้นจาก http://rilj.rsu.ac.th/download/article/122

รักษิต สุทธิพงษ์. และคณะ (2557). รูปแบบการบริหารความเสี่ยงทางการกีฬาและนันทนาการในโรงเรียนสาธิตสังกัดสำนักงานคณะกรรมการการอุดมศึกษา. วารสารศึกษาศาสตร์ มหาวิทยาลัยนเรศวร, 16(4), 55-70.สืบค้นจาก https://so06.tci-thaijo.org/index.php/edujournal_nu/article/view/21942

เอกชัย ประเสริฐวงษ์ และวศิณ ชูประยูร. (2562). สภาพปัญหา การประเมิน และการจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศของวิสาหกิจขนาดกลางและขนาดย่อมในอำเภอหนองแค จังหวัดสระบุรี. วารสารรังสิตสารสนเทศ,26(2), 6-29. สืบค้นจาก http://rilj.rsu.ac.th/download/article/203

Alebrahim, A., Hatebur D., & Goeke, L. (2014). Pattern-based and ISO 27001 compliant risk analysis for cloud systems. IEEE Workshop on evolving security and privacy requirements engineering (ESPRE), 42-47.

International Organization for Standardization and International Electrotechnical Commission [ISO/IEC]. (2013). International standard ISO/IEC27001: Information technology-Security techniques-Information security management systems-Requirements (2nd ed). Geneva.

King, K. E. (2017). Examine the relationship between information technology governance, control objectives for information and related technologies, ISO 27001/27002, and risk management (Doctoral Dissertation).

Krejcie, R. V., and Morgan, D. W. (1970). Determining Sample Size for Research Activities. Educational and Psychological Measurement, 30(3), 607-610.

Lopes, I. M., Guarda, T., & Oliveira, P. (2019). Implementation of ISO 27001 standards as GDPR compliance facilitator. Journal of information systems engineering & management, 4(2), 1-8.

Setiawan, H., Mukhoyyaroh, K. I., & Fauzi, M. D. (2014). Hospital Information System Audit Using The ISO 27001 Standard (Case Study In RSU PKU Muhammadiyah Bantul). International Journal on Informatics for Development, 3(1), 32-35.

Smet, D. D., and Mayer, N. (2016). Integration of IT governance and security risk management: A systematic literature review. International conference on information society (i-Society), 143-148.

Velasco, J., Ullauri, R., Luis, P., & Jacome, B. (2018). Benefits of implementing an ISMS according to the ISO 27001 standard in the Ecuadorian manufacturing industry. International conference on information systems and computer science (INCISCOS), 294-300.