เฟรมเวิร์กด้านการจัดการความเสี่ยงคืออะไร

เฟรมเวิร์กด้านการจัดการความเสี่ยงคือแนวทางที่มีโครงสร้างตามกฎและเป็นเอกสารตามลำดับเพื่อช่วยตรวจสอบ ลดและติดตามตรวจสอบความเสี่ยงภายในองค์กร องค์กรเลือกเฟรมเวิร์กที่ได้มาตรฐานหรือสร้างของตนเอง แทนที่จะเข้าใกล้ความเสี่ยงด้วยกระบวนการเฉพาะกิจการ การใช้เฟรมเวิร์กหนึ่ง คุณสามารถมั่นใจได้มากขึ้นในการบรรลุผลลัพธ์ที่ดีขึ้นและการตอบสนองที่เร็วขึ้นในกรณีที่เกิดเหตุการณ์ที่ไม่คาดคิด

การจัดการความเสี่ยงเป็นหน้าที่ของพื้นที่ธุรกิจการกำกับดูแลความเสี่ยงและการปฏิบัติตามกฎระเบียบ (GRC) ซึ่งมักจะอยู่ในแผนกรักษาความปลอดภัยทางไซเบอร์หรือฝ่ายปฏิบัติตามกฎระเบียบ วิธีที่องค์กรของคุณจัดการกับความเสี่ยงอาจมีความสำคัญต่อความต่อเนื่องทางธุรกิจ การดำเนินงาน การปฏิบัติตามกฎระเบียบ และชื่อเสียง เฟรมเวิร์กการจัดการความเสี่ยงช่วยให้คุณระบุ ประเมิน บรรเทา และติดตามความเสี่ยงทั่วทั้งองค์กร 

ความเสี่ยงอาจส่งผลกระทบต่อองค์กร สายธุรกิจ และสินทรัพย์ทางธุรกิจ ซึ่งรวมถึงการดำเนินงาน ธุรกิจ การปฏิบัติตามกฎระเบียบ การรักษาความปลอดภัยทางไซเบอร์ กฎหมาย การควบรวมกิจการและการเข้าซื้อกิจการ ความเป็นส่วนตัว ฮาร์ดแวร์ ซอฟต์แวร์ และความเสี่ยงตามสัญญา ในขณะที่บริษัทต่าง ๆ มักมุ่งเน้นไปที่ความเสี่ยงทางไซเบอร์ การไม่ละเลยความเสี่ยงประเภทอื่น ๆ ก็เป็นสิ่งสำคัญเช่นกัน เอกสารนี้จะครอบคลุมถึงความเสี่ยงด้านการปฏิบัติงาน ธุรกิจ และการปฏิบัติตามกฎระเบียบเป็นหลัก ตามที่นำมาประยุกต์ใช้กับระบบคลาวด์

ความเสี่ยงด้านการปฏิบัติงานเกี่ยวข้องกับความพร้อมใช้งาน ความน่าเชื่อถือ ประสิทธิภาพ และความปลอดภัยของโครงสร้างพื้นฐาน หมวดหมู่ความเสี่ยงนี้มีความสำคัญมากที่สุดต่อการปฏิบัติงานในแต่ละวัน

ความเสี่ยงทางธุรกิจเกี่ยวข้องกับชื่อเสียง ความสามารถในการแข่งขันและเงื่อนไขตลาด ความเสี่ยงประเภทนี้มีขอบเขตที่กว้างกว่าความเสี่ยงในการดำเนินงานและอาจมีผลกระทบโดยรวมที่มีนัยสำคัญต่อธุรกิจ

ความเสี่ยงในการปฏิบัติตามกฎระเบียบหมายถึงความเป็นไปได้ที่การดำเนินธุรกิจจะไม่เป็นไปตามมาตรฐานการปฏิบัติตามกฎระเบียบที่จำเป็น ความเสี่ยงประเภทนี้สามารถส่งผลให้เกิดการค่าปรับ การคว่ำบาตร ผลกระทบทางกฎหมาย หรือการเพิ่มระดับของการตรวจสอบและการรายงาน วัตถุประสงค์ในการปฏิบัติตามกฎระเบียบมาจากมาตรฐานอุตสาหกรรม หน่วยงานระดับรัฐ และองค์กรกำกับดูแลอื่น ๆ

เฟรมเวิร์กด้านการจัดการความเสี่ยงทั่วไป ได้แก่:

• The National Institute of Standards and Technology (NIST) Risk Management Framework (RMF) สำหรับระบบสารสนเทศและองค์กร
• COBIT
• ISO/IEC 31000 การจัดการความเสี่ยง - แนวทาง
• ISO/IEC 27005:2022 การรักษาความปลอดภัยของข้อมูล ความปลอดภัยทางไซเบอร์และการปกป้องความเป็นส่วนตัว - คำแนะนำในการจัดการความเสี่ยงด้านการรักษาความปลอดภัยของข้อมูล
• การวิเคราะห์ปัจจัยความเสี่ยงด้านข้อมูล

ขอแนะนำให้ใช้เฟรมเวิร์กด้านการจัดการความเสี่ยงที่รู้จักและอัปเดตเป็นประจำเพื่อติดตามแนวทางปฏิบัติที่ดีที่สุดในการจัดการความเสี่ยง

เฟรมเวิร์กด้านการจัดการความเสี่ยงที่มั่นคงช่วยจัดการความเสี่ยงทุกประเภททั่วทั้งองค์กร

การระบุความเสี่ยง

ระบุสินทรัพย์ ภัยคุกคาม และช่องโหว่ทั้งหมดในสถาปัตยกรรมองค์กร ความเสี่ยงคือภัยคุกคามต่อสินทรัพย์ที่เกิดจากช่องโหว่ การระบุความเสี่ยงที่อาจเกิดขึ้นอาจเป็นกระบวนการที่ยาวนาน ซึ่งครอบคลุมหลายเวกเตอร์องค์กรและวัตถุประสงค์ทางธุรกิจ

คุณสามารถจัดหมวดหมู่ความเสี่ยงออกเป็นด้านเทคนิค บุคคล กระบวนการ การเงิน หรือบุคคลที่สาม คุณยังสามารถแบ่งย่อยแต่ละหมวดหมู่หลักเหล่านี้ได้อีกด้วย ตัวอย่างเช่น ในหมวดหมู่ 'บุคคล' สามารถแบ่งย่อยออกเป็น เรื่องทักษะ ข้อผิดพลาดที่เกิดจากมนุษย์และการขาดการแบ่งปันความรู้ภายในองค์กร

การวิเคราะห์ผลกระทบ

โดยการวิเคราะห์สินทรัพย์ ภัยคุกคาม และช่องโหว่ของคุณ คุณสามารถกำหนดโอกาสและขนาดของผลกระทบของความเสี่ยงที่อาจเกิดขึ้นได้ การวิเคราะห์และการประเมินความเสี่ยงรวมถึงมาตรการเชิงคุณภาพและเชิงปริมาณ ตัวอย่างเช่น คุณสามารถรวบรวมรายละเอียดทั้งหมดเกี่ยวกับความเสี่ยงเฉพาะประเภท หรือสร้างเมทริกซ์การให้คะแนนความเสี่ยงเพื่อจัดกลุ่มความเสี่ยง ซึ่งจะช่วยกำหนดผลกระทบที่จะตามมาและกลยุทธ์ในการบรรเทาความเสี่ยงนั้น ๆ คะแนนความเสี่ยงเหล่านี้สามารถแบ่งย่อยออกเป็นระดับ ต่ำ ปานกลาง สูง และสูงมาก โดยขึ้นอยู่กับโอกาสที่จะเกิดเหตุการณ์และผลกระทบที่คาดว่าจะเกิดขึ้น

กลยุทธ์การบรรเทา

กลยุทธ์ในการบรรเทาความเสี่ยงสี่ประการเพื่อใช้จัดการกับความเสี่ยงแต่ละประเภท:

• การบรรเทา: ใช้การควบคุมเพื่อกำจัดหรือลดความเสี่ยง
• การยอมรับ: ยอมรับความเสี่ยงตามที่เป็นอยู่ ในขณะที่ตรวจสอบอย่างระมัดระวังเพื่อการเปลี่ยนแปลงความเป็นไปได้หรือความรุนแรงของความเสี่ยง
• การหลีกเลี่ยง: ขจัดความเสี่ยงและกำหนดค่าระบบใหม่
• การโอนย้าย: เอาท์ซอร์สให้ดูแลฟังก์ชันที่เกี่ยวข้องกับความเสี่ยง สร้างมาตรการบรรเทาความเสี่ยงตามสัญญา หรือการทำประกันภัยเพื่อคุ้มครองความเสียหายต่อเหตุการณ์

นอกเหนือจากระดับความรุนแรงและโอกาสที่จะเกิดความเสี่ยงแล้ว ระดับความเสี่ยงที่องค์กรยอมรับได้ยังสามารถช่วยกำหนดกลยุทธ์ที่เหมาะสมได้อีกด้วย

การนำโซลูชันมาใช้

คุณสามารถใช้การควบคุม ทำการเปลี่ยนแปลงระบบ แนะนำโซลูชันการติดตามตรวจสอบ และเอาท์ซอร์สความเสี่ยงทั้งนี้ขึ้นอยู่กับกลยุทธ์การบรรเทาความเสี่ยงที่เลือก การควบคุมอาจเป็นระบบการดูแล ระบบทางกายภาพหรือทางเทคนิค ขั้นตอนนี้อาจเกี่ยวข้องกับระบบที่หลากหลาย หน่วยธุรกิจ ผู้มีส่วนได้ส่วนเสีย และขั้นตอนต่าง ๆ เพื่อให้บรรลุผลลัพธ์ตามที่ต้องการ

โซลูชันการลดความเสี่ยงอาจรวมถึงกระบวนการยกระดับความเสี่ยง เจ้าของความเสี่ยง และการทำงานร่วมกับทีมตอบสนองเหตุการณ์เพื่อพัฒนาแผนหลังเหตุการณ์

หลังจากใช้โซลูชันดังกล่าวแล้ว คุณสามารถคำนวณความเสี่ยงที่เหลือ โซลูชันส่วนใหญ่ไม่สามารถกำจัดความเสี่ยงได้อย่างสมบูรณ์ ดังนั้นจึงมีความเสี่ยงที่เหลืออยู่ ความเสี่ยงที่เหลือนี้อาจผันผวนเมื่อเงื่อนไขเปลี่ยนไป

การกำกับดูแลและการติดตามตรวจสอบอย่างต่อเนื่อง

หลังจากการใช้งานโซลูชันลดความเสี่ยง คุณต้องติดตามตรวจสอบ ติดตาม วิเคราะห์ และตรวจสอบความเสี่ยงเมื่อจำเป็น คุณต้องสร้างการรายงานในกระบวนการติดตามความเสี่ยงสำหรับเจ้าของความเสี่ยง ทีม GRC และผู้นำ

ภายในเฟรมเวิร์กการกำกับดูแลควรมีกระบวนการตามความต้องการและกำหนดเวลาเป็นประจำเพื่อระบุความเสี่ยงใหม่และเพิ่มขึ้นต่อธุรกิจ คุณควรกำหนดนโยบายเกี่ยวกับการจัดการความเสี่ยงและความถี่ในการประเมินกระบวนการปัจจุบันอีกครั้ง และให้การฝึกอบรมแก่สมาชิกในทีมที่เหมาะสม ใช้กฎควบคุมระบบเพื่อช่วยป้องกันความเสี่ยงประเภทเดียวกันไม่ให้เกิดซ้ำโดยอัตโนมัติ

คู่มือนี้จะแสดงวิธีใช้ไปป์ไลน์ AWS ที่สอดคล้องกับขั้นตอนของเฟรมเวิร์กด้านการจัดการความเสี่ยงทั่วไป

มีการใช้บริการ AWS ที่สำคัญสามประการตลอดแต่ละขั้นตอนของกระบวนการด้านการจัดการความเสี่ยงเพื่อสนับสนุน:

• AWS Audit Manager เพื่อตรวจสอบการใช้งาน AWS ของคุณอย่างต่อเนื่องเพื่อลดความซับซ้อนในการประเมินความเสี่ยงและการปฏิบัติตามกฎระเบียบ
• AWS Config เพื่อประเมิน ตรวจสอบ และคำนวณการกำหนดค่าของทรัพยากรของคุณ
• AWS Security Hub เพื่อจัดลำดับความสำคัญของปัญหาด้านการรักษาความปลอดภัยที่สำคัญของคุณผ่านความสัมพันธ์อัตโนมัติและบริบทความเสี่ยงที่เพิ่มขึ้น รวมถึงการรายงานสภาวะด้านการรักษาความปลอดภัย และอื่นๆ

1. การวางแผน

ขั้นตอนการวางแผนช่วยให้มั่นใจได้ว่าองค์กรมีรากฐานที่มั่นคงในการสร้างกระบวนการจัดการความเสี่ยงตามแนวทางปฏิบัติที่ดีที่สุด

วางแผนปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดในการจัดการความเสี่ยงด้วยบริการดังต่อไปนี้

• AWS CloudTrail เพื่อติดตามกิจกรรมของผู้ใช้และการใช้งาน API
• AWS Control Tower เพื่อตั้งค่าและควบคุมสภาพแวดล้อม AWS หลายบัญชีที่ปลอดภัยของคุณ
• AWS Identity and Access Management เพื่อจัดการข้อมูลประจำตัวและการเข้าถึงบริการและทรัพยากร AWS ของคุณอย่างปลอดภัย
• AWS IAM Access Manager เพื่อระบุการเข้าถึงทรัพยากร AWS ภายนอก ภายใน และการเข้าถึงที่ไม่ถูกใช้
• AWS Organizations สำหรับการจัดการตามนโยบายในบัญชี AWS หลายบัญชี
• AWS Secrets Manager เพื่อจัดการการเข้าถึงความลับในองค์กรของคุณ
• AWS Systems Manager เพื่อการแก้ไขและการปฏิบัติตามกฎระเบียบอัตโนมัติ

2. สำรวจ

ขั้นตอนการค้นพบจะค้นพบและติดแท็กสินทรัพย์ ทรัพยากร และบริการของคุณ

เพื่อค้นพบและจัดหมวดหมู่สินทรัพย์ของคุณ ให้ใช้บริการ AWS ต่อไปนี้:

• Amazon Macie เพื่อค้นพบและปกป้องข้อมูลที่ละเอียดอ่อนของคุณ
• AWS CloudFormation เพื่อเริ่มใช้งาน Infrastructure as Code (IaC)
• AWS Resource Explorer เพื่อค้นหาและค้นพบทรัพยากรที่เกี่ยวข้องใน AWS
• AWS Systems Manager Inventory เพื่อช่วยให้มองเห็นภาพรวมของสภาพแวดล้อมการประมวลผลบน AWS ของคุณ
• AWS Well-Architected Tool เพื่อประเมินสถาปัตยกรรมคลาวด์ของคุณเทียบกับแนวทางปฏิบัติที่ดีที่สุด

3. การเลือกการควบคุมและกฎ

ขั้นตอนการคัดเลือกแนะนำการควบคุมและกฎเพื่อป้องกันความเสี่ยงที่ระบุ

เลือกการควบคุมจากกฎแนวทางปฏิบัติที่ดีที่สุดที่กำหนดไว้ล่วงหน้าในบริการ AWS ต่อไปนี้:

• กฎที่มมีการจัดการโดย AWS Config สำหรับกฎที่กำหนดไว้ล่วงหน้าและปรับแต่งได้ที่ AWS Config ใช้เพื่อประเมินว่าทรัพยากร AWS ของคุณสอดคล้องกับแนวทางปฏิบัติที่ดีที่สุดทั่วไปหรือไม่
• AWS Control Tower และ AWS Security Hub สำหรับการควบคุมความปลอดภัย และ AWS Audit Manager สำหรับการควบคุมการปฏิบัติตามนโยบาย
• AWS Systems Manager Compliance เป็นเครื่องมือใน AWS Systems Manager ที่คุณสามารถสร้างประเภทและคำจำกัดความของการปฏิบัติตามกฎระเบียบของคุณเองได้ โดยอิงตามข้อกำหนดทางธุรกิจหรือด้านไอทีของคุณ

4. การนำไปปฏิบัติ

การนำไปปฏิบัติช่วยให้มั่นใจได้ว่าการควบคุมจะถูกนำไปใช้อย่างสม่ำเสมอในสินทรัพย์และสภาพแวดล้อมที่ต้องการทั้งหมด

คุณสามารถใช้เครื่องมือควบคุมการนำไปปฏิบัติต่อไปนี้ในบริการของ AWS:

• AWS CloudFormation สำหรับการปรับใช้การควบคุมแบบฝังตัวรวมกับ AWS Service Catalog เพื่อสร้าง แชร์ จัดระเบียบ และควบคุมเทมเพลต IAC ที่คัดสรรของคุณ
• AWS Config สำหรับกฎการควบคุมและขั้นตอนถัดไป
• AWS Security Hub สำหรับการใช้งานกฎการรักษาความปลอดภัย
• AWS Systems Manager สำหรับการปฏิบัติตามนโยบายในด้านทรัพยากรและบริการ

5. การประเมิน

การประเมินเป็นตัววัดว่ามาตรการควบคุมที่นำไปใช้มีประสิทธิภาพเพียงใดในการปฏิบัติจริง

คุณสามารถประเมินว่าองค์กรของคุณจัดการความเสี่ยงได้ดีเพียงใดด้วยการผสมผสานบริการของ AWS ต่อไปนี้:

• AWS Audit Manager สำหรับการประเมินที่ตรวจสอบย้อนกลับได้
• AWS Config เพื่อตรวจสอบกฎการปฏิบัติตามกฎระเบียบ
• Amazon Detective เพื่อวิเคราะห์และแสดงภาพข้อมูลด้านความปลอดภัยเพื่อตรวจสอบปัญหาด้านการรักษาความปลอดภัยที่อาจเกิดขึ้น
• Amazon GuardDuty เพื่อดำเนินการตรวจสอบภัยคุกคามอย่างต่อเนื่องในบัญชี AWS, เวิร์กโหลดและข้อมูล
• AWS Inspector ดำเนินการประเมินความเสี่ยงช่องโหว่โดยอัตโนมัติ
• AWS Security Hub สำหรับการประเมินความเสี่ยงด้านการรักษาความปลอดภัยตลอดเวลา

AWS Trusted Advisor เป็นอีกทางเลือกหนึ่งสำหรับองค์กรที่กำหนดเฟรมเวิร์กด้านการจัดการความเสี่ยง บริการ AWS Trusted Advisor ให้การตรวจสอบการเพิ่มประสิทธิภาพต้นทุน ประสิทธิภาพ การรักษาความปลอดภัย ความทนทานต่อความผิดพลาด ขีดจำกัดการบริการและความเป็นเลิศในการดำเนินงาน คุณสามารถดูการแจ้งเตือน การดำเนินการที่แนะนำ และทรัพยากรเพิ่มเติมผ่านแดชบอร์ด ลูกค้า AWS สามารถเข้าถึงเครื่องมือดังกล่าวได้ที่​https://console.aws.amazon.com/trustedadvisor/home

6. การให้สิทธิ์

ฟังก์ชันการให้สิทธิ์อนุญาตช่วยให้แนวทางการดำเนินงาน ขั้นตอนก่อนหน้า รวมถึงการยอมรับความเสี่ยงที่เหลืออยู่และการเฝ้าระวัง มีรูปแบบที่เป็นทางการและชัดเจน

ให้สิทธิ์อนุญาตด้วยความมั่นใจโดยใช้บริการ AWS ต่อไปนี้:

• AWS Artifact จัดทำรายงานความปลอดภัยและการปฏิบัติตามข้อกำหนดของ AWS และ ISV
• AWS Audit Manager ให้การรายงานสำหรับผู้ตัดสินใจ
• AWS Config ให้รายละเอียดรายงานการปฏิบัติตามกฎระเบียบและการติดตาม
• AWS Security Hub นำเสนอมุมมองแบบเรียลไทม์ของสถานะของการรักษาความปลอดภัยของระบบและการรายงาน

7. การติดตามตรวจสอบ

การติดตามตรวจสอบอย่างต่อเนื่องช่วยให้มั่นใจได้ว่ากระบวนการจัดการความเสี่ยงจะยังคงทันสมัยอยู่เสมอ และสามารถรวบรวมความเสี่ยงที่เปลี่ยนแปลงไป

รับการติดตามตรวจสอบอย่างต่อเนื่องด้วยบริการ AWS ต่อไปนี้:

• AWS CloudWatchเพื่อติดตามตรวจสอบแอปพลิเคชัน แจ้งเตือนเมื่อพบสิ่งผิดปกติ และให้ข้อมูลเชิงลึกเกี่ยวกับสถานะการดำเนินงานเพื่อให้เป็นไปตามกฎระเบียบ
• AWS Config สำหรับการตรวจสอบการปฏิบัติตามกฎระเบียบอย่างต่อเนื่อง
• Amazon EventBridge พื่อสร้างการตอบสนองโดยอัตโนมัติตามเหตุการณ์ที่ทริกเกอร์ในบริการอื่น ๆ ของ AWS
•  AWS Security Hub สำหรับการตรวจสอบการรักษาความปลอดภัยอย่างต่อเนื่อง
• AWS Systems Manager สำหรับการตรวจสอบแพรช์และการกำหนดค่า

องค์กรที่พยายามปรับปรุงความยืดหยุ่นและประสิทธิภาพขององค์กรควรใช้เฟรมเวิร์กด้านการจัดการความเสี่ยง เฟรมเวิร์กด้านการจัดการความเสี่ยงช่วยลดและทำความเข้าใจความเสี่ยงต่อองค์กร ทำให้สิ่งที่ไม่รู้จักเหล่านี้สามารถจัดการได้มากขึ้น

การเลือกใช้เฟรมเวิร์กที่เป็นมาตรฐานและต่อยอดจากเฟรมเวิร์กนั้นเป็นวิธีที่ดีในการเริ่มต้น และ AWS มีบริการต่าง ๆ ที่ช่วยอำนวยความสะดวกในการปรับใช้ตามเฟรมเวิร์กดังกล่าว เมื่อใช้ร่วมกับ AWS Well-Architected Framework คุณสามารถสร้างรากฐานที่มั่นคงสำหรับการกำกับดูแล ความเสี่ยง และการปฏิบัติตามกฎระเบียบบน AWS

เริ่มต้นด้วยการสร้างกระบวนการจัดการความเสี่ยงของคุณบน AWS โดยการสร้างบัญชีฟรีวันนี้