การจัดทำทะเบียนความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์ ในกระบวนการจัดซื้อจัดจ้างผู้ให้บริการภายนอกด้านเทคโนโลยีสารสนเทศ ของผู้ประกอบธุรกิจบริการการชำระเงินที่ไม่ใช่สถาบันการเงิน: กรณีศึกษา บริษัท XYZ จำกัด
Publisher
Issued Date
2023
Issued Date (B.E.)
2566
Available Date
Copyright Date
Resource Type
Series
Edition
Language
tha
eng
eng
File Type
application/pdf
No. of Pages/File Size
2 แผ่น
ISBN
ISSN
eISSN
DOI
Other identifier(s)
Identifier(s)
Access Rights
Access Status
Rights
ผลงานนี้เผยแพร่ภายใต้ สัญญาอนุญาตครีเอทีฟคอมมอนส์แบบแสดงที่มา-ไม่ใช้เพื่อการค้า-ไม่ดัดแปลง 4.0 (CC BY-NC-ND 4.0)
Rights Holder(s)
Physical Location
Bibliographic Citation
Citation
ปฏิภาณ จันทร์ชาตรี (2023). การจัดทำทะเบียนความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์ ในกระบวนการจัดซื้อจัดจ้างผู้ให้บริการภายนอกด้านเทคโนโลยีสารสนเทศ ของผู้ประกอบธุรกิจบริการการชำระเงินที่ไม่ใช่สถาบันการเงิน: กรณีศึกษา บริษัท XYZ จำกัด. Retrieved from: https://repository.nida.ac.th/handle/662723737/6980.
Title
การจัดทำทะเบียนความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์ ในกระบวนการจัดซื้อจัดจ้างผู้ให้บริการภายนอกด้านเทคโนโลยีสารสนเทศ ของผู้ประกอบธุรกิจบริการการชำระเงินที่ไม่ใช่สถาบันการเงิน: กรณีศึกษา บริษัท XYZ จำกัด
Alternative Title(s)
Development of a cybersecurity risk register for IT outsourcing in the procurement process of a non-bank payment service providers: a case study of XYZ Company Limited
Author(s)
Advisor(s)
Editor(s)
item.page.dc.contrubutor.advisor
Advisor's email
Contributor(s)
Contributor(s)
Abstract
การวิจัยนี้มีวัตถุประสงค์เพื่อพัฒนาทะเบียนความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์ในกระบวนการจัดซื้อจัดจ้างผู้ให้บริการภายนอกด้านเทคโนโลยีสารสนเทศ สำหรับผู้ประกอบธุรกิจบริการการชำระเงินที่ไม่ใช่สถาบันการเงิน โดยใช้บริษัท XYZ จำกัด เป็นกรณีศึกษา การวิจัยมุ่งตอบคำถามว่าองค์กรขนาดเล็กสามารถระบุและจัดการความเสี่ยงด้านไซเบอร์ในกระบวนการจัดซื้อจัดจ้างได้อย่างมีประสิทธิภาพอย่างไร
วิธีดำเนินการวิจัยใช้ระเบียบวิธีวิจัยเชิงคุณภาพ ประกอบด้วยการทบทวนวรรณกรรม การวิเคราะห์เนื้อหาจากเอกสารที่เกี่ยวข้อง และการสัมภาษณ์เชิงลึกผู้บริหารและพนักงานจำนวน 60% ของบุคลากรทั้งหมดในองค์กร เครื่องมือที่ใช้ในการเก็บข้อมูลคือแบบสัมภาษณ์กึ่งโครงสร้าง ข้อมูลที่ได้ถูกนำมาวิเคราะห์เชิงเนื้อหาเพื่อระบุประเด็นสำคัญ
ผลการวิจัยพบว่า การพัฒนาทะเบียนความเสี่ยงที่มีประสิทธิภาพต้องประกอบด้วย การระบุทรัพย์สินสารสนเทศที่สำคัญ การวิเคราะห์และระบุภัยคุกคามและช่องโหว่ และการประเมินความเสี่ยงตามขั้นตอนการจัดซื้อจัดจ้าง โดยคำนึงถึงข้อจำกัดด้านทรัพยากรและความเชี่ยวชาญขององค์กร การวิจัยได้นำเสนอแนวทางการตรวจสอบและแนวปฏิบัติที่ดีตามมาตรฐานสากล ซึ่งช่วยเพิ่มประสิทธิภาพในการบริหารความเสี่ยง
ผลการศึกษานี้สามารถนำไปประยุกต์ใช้ในการพัฒนาแนวทางการบริหารความเสี่ยงด้านไซเบอร์สำหรับผู้ประกอบการขนาดเล็กในอุตสาหกรรมการชำระเงิน อย่างไรก็ตาม ข้อจำกัดของการวิจัยคือการเข้าถึงข้อมูลที่มีความอ่อนไหวและความรู้ความเข้าใจขององค์กรเกี่ยวกับกฎระเบียบที่เกี่ยวข้อง สำหรับการวิจัยในอนาคต ควรขยายขอบเขตการศึกษาให้ครอบคลุมผู้ประกอบการที่หลากหลายมากขึ้น และติดตามการเปลี่ยนแปลงของกฎหมายและเทคโนโลยีอย่างต่อเนื่อง
Table of contents
Description
This research aims to develop a cybersecurity risk register for the IT outsourcing procurement process of a non-bank payment service providers, using Company XYZ as a case study. The study addresses how small organizations can effectively identify and manage cyber risks in their procurement processes.
The research employs a qualitative methodology, including literature review, content analysis of relevant documents, and in-depth interviews with 60% of the organization's executives and employees. Data was collected using semi-structured interviews and analyzed through content analysis to identify key themes.
The findings reveal that an effective risk register development process should include identification of critical information assets, analysis of threats and vulnerabilities, and risk assessment aligned with procurement stages, while considering the organization's resource and expertise limitations. The study presents audit guidelines and best practices based on international standards, enhancing risk management efficiency.
This research contributes to the development of cybersecurity risk management approaches for small-scale payment service providers. However, limitations include access to sensitive information and the organization's understanding of relevant regulations. Future research should expand the scope to cover a wider range of service providers and continuously monitor changes in laws and technologies.