แผนแม่บทเทคโนโลยีสารสนเทศ พ.ศ.2559-2563

140 (7) มีการประเมินความเสี่ยงสำหรับระบบที่มีความสำคัญเหล่านั้น และกำหนดมาตรการเพื่อ ลดความเสี่ยงเหล่านั้น เช่น ไฟดับเป็นระยะเวลานาน ไฟไหม้ แผ่นดินไหว การชุมนุม ประท้วงทำให้ไม่สามารถเข้ามาใช้ระบบงานได้ เป็นต้น (8) มีการกำหนดขั้นตอนปฏิบัติในการกู้คืนระบบสารสนเทศ (9) มีการกำหนดขั้นตอนปฏิบัติในการสำรองข้อมูล และทดสอบกู้คืนข้อมูลที่สำรองไว้ (10)มีการกำหนดช่องทางในการติดต่อกับผู้ให้บริการภายนอก เช่น ผู้ให้บริการเครือข่าย ฮาร์ดแวร์ ซอฟต์แวร์ เป็นต้น เมื่อเกิดเหตุจำเป็นที่จะต้องติดต่อ (11)การสร้างความตระหนัก หรือให้ความรู้แก่เจ้าหน้าที่ผู้ที่เกี่ยวข้องกับขั้นตอนการปฏิบัติ หรือสิ่งที่ต้องทำเมื่อเกิดเหตุเร่งด่วน เป็นต้น (12) มีการทบทวนเพื่อปรับปรุงแผนเตรียมความพร้อมกรณีฉุกเฉินดังกล่าวให้สามารถปรับ ใช้ได้อย่างเหมาะสมและสอดคล้องกับการใช้งานตามภารกิจ อย่างน้อยปีละ 1 ครั้ง (13)ต้องมีการกำหนดหน้าที่และความรับผิดชอบของบุคลากรซึ่ งดูแลรับผิดชอบระบบ สารสนเทศ ระบบสำรอง และการจัดทำแผนเตรียมพร้อมกรณีฉุกเฉินในกรณีที่ ไ ม่ สามารถดำเนินการด้วยวิธีการทางอิเล็กทรอนิกส์ (14)ต้องมีการทดสอบสภาพพร้อมใช้งานของระบบสารสนเทศ ระบบสำรอง และระบบแผน เตรียมพร้อมกรณีฉุกเฉิน อย่างน้อยปีละ 1 ครั้ง หรือตามความเหมาะสมโดยคำนึงถึง ความเสี่ยงต่างๆ ที่จะเกิดขึ้น เพื่อให้ระบบมีสภาพพร้อมใช้งานอยู่เสมอ (15)มีการทบทวนระบบสารสนเทศ ระบบสำรอง และระบบแผนเตรียมพร้อมกรณีฉุกเฉิน ที่ เพียงพอต่อสภาพความเสี่ยงที่ยอมรับได้ของแต่ละหน่วยงาน อย่างน้อยปีละ 1 ครั้ง 7.2.6 แนวทางการบริหารความเสี่ยงของระบบเทคโนโลยีสารสนเทศ การบริหารความเสี่ยงเป็นกิจกรรมที่สำคัญในการรักษาความความปลอดภัยระบบสารสนเทศ ตาม ISO/IEC27000 Information Security Management Systems (ISMS) การบริหารความเสี่ยงได้เลือก ส่วนของการดำเนินการที่เหมาะสมต่อสถานะภาพของเทศบาลนครปากเกร็ดตามมาตรฐานดังกล่าว เพื่อให้มี การตรวจสอบและประเมินความเสี่ยงของระบบสารสนเทศ และเป็นการป้องกันและลดระดับความเสี่ยงที่ อาจจะเกิดขึ้นได้กับระบบสารสนเทศ อีกทั้งเป็นแนวทางในการปฏิบัติหากเกิดความเสี่ยงที่เป็นอันตราย 1. การตรวจสอบและประเมินความเสี่ยง ตรวจสอบและประเมินความเสี่ยงด้านสารสนเทศที่อาจเกิดขึ้นกับระบบเทคโนโลยีสารสนเทศ โดยผู้ตรวจสอบภายในของหน่วยงานหรือโดยผู้ตรวจสอบอิสระด้านความมั่นคงปลอดภัยจากภายนอก อย่างน้อยปีละ 1 ครั้ง เพื่อให้หน่วยงานได้ทราบถึงระดับความเสี่ยง และระดับความมั่นคงปลอดภัยสารสนเทศ โดยมีแนวทางในตรวจสอบและประเมินความเสี่ยงที่ต้องคำนึงถึง ดังนี้ (1) จัดลำดับความสำคัญของความเสี่ยง (2) ค้นหาวิธีการดำเนินการเพื่อลดความเสี่ยง (3) ข้อดี/ข้อเสียของวิธีการดำเนินการเพื่อลดความเสี่ยง