นิธินันท์ ธรรมากรนนท์ปฏิภาณ จันทร์ชาตรี2024-09-152024-09-152023https://repository.nida.ac.th/handle/662723737/6980This research aims to develop a cybersecurity risk register for the IT outsourcing procurement process of a non-bank payment service providers, using Company XYZ as a case study. The study addresses how small organizations can effectively identify and manage cyber risks in their procurement processes. The research employs a qualitative methodology, including literature review, content analysis of relevant documents, and in-depth interviews with 60% of the organization's executives and employees. Data was collected using semi-structured interviews and analyzed through content analysis to identify key themes. The findings reveal that an effective risk register development process should include identification of critical information assets, analysis of threats and vulnerabilities, and risk assessment aligned with procurement stages, while considering the organization's resource and expertise limitations. The study presents audit guidelines and best practices based on international standards, enhancing risk management efficiency. This research contributes to the development of cybersecurity risk management approaches for small-scale payment service providers. However, limitations include access to sensitive information and the organization's understanding of relevant regulations. Future research should expand the scope to cover a wider range of service providers and continuously monitor changes in laws and technologies.การวิจัยนี้มีวัตถุประสงค์เพื่อพัฒนาทะเบียนความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์ในกระบวนการจัดซื้อจัดจ้างผู้ให้บริการภายนอกด้านเทคโนโลยีสารสนเทศ สำหรับผู้ประกอบธุรกิจบริการการชำระเงินที่ไม่ใช่สถาบันการเงิน โดยใช้บริษัท XYZ จำกัด เป็นกรณีศึกษา การวิจัยมุ่งตอบคำถามว่าองค์กรขนาดเล็กสามารถระบุและจัดการความเสี่ยงด้านไซเบอร์ในกระบวนการจัดซื้อจัดจ้างได้อย่างมีประสิทธิภาพอย่างไร วิธีดำเนินการวิจัยใช้ระเบียบวิธีวิจัยเชิงคุณภาพ ประกอบด้วยการทบทวนวรรณกรรม การวิเคราะห์เนื้อหาจากเอกสารที่เกี่ยวข้อง และการสัมภาษณ์เชิงลึกผู้บริหารและพนักงานจำนวน 60% ของบุคลากรทั้งหมดในองค์กร เครื่องมือที่ใช้ในการเก็บข้อมูลคือแบบสัมภาษณ์กึ่งโครงสร้าง ข้อมูลที่ได้ถูกนำมาวิเคราะห์เชิงเนื้อหาเพื่อระบุประเด็นสำคัญ ผลการวิจัยพบว่า การพัฒนาทะเบียนความเสี่ยงที่มีประสิทธิภาพต้องประกอบด้วย การระบุทรัพย์สินสารสนเทศที่สำคัญ การวิเคราะห์และระบุภัยคุกคามและช่องโหว่ และการประเมินความเสี่ยงตามขั้นตอนการจัดซื้อจัดจ้าง โดยคำนึงถึงข้อจำกัดด้านทรัพยากรและความเชี่ยวชาญขององค์กร การวิจัยได้นำเสนอแนวทางการตรวจสอบและแนวปฏิบัติที่ดีตามมาตรฐานสากล ซึ่งช่วยเพิ่มประสิทธิภาพในการบริหารความเสี่ยง ผลการศึกษานี้สามารถนำไปประยุกต์ใช้ในการพัฒนาแนวทางการบริหารความเสี่ยงด้านไซเบอร์สำหรับผู้ประกอบการขนาดเล็กในอุตสาหกรรมการชำระเงิน อย่างไรก็ตาม ข้อจำกัดของการวิจัยคือการเข้าถึงข้อมูลที่มีความอ่อนไหวและความรู้ความเข้าใจขององค์กรเกี่ยวกับกฎระเบียบที่เกี่ยวข้อง สำหรับการวิจัยในอนาคต ควรขยายขอบเขตการศึกษาให้ครอบคลุมผู้ประกอบการที่หลากหลายมากขึ้น และติดตามการเปลี่ยนแปลงของกฎหมายและเทคโนโลยีอย่างต่อเนื่อง2 แผ่นapplication/pdfthaผลงานนี้เผยแพร่ภายใต้ สัญญาอนุญาตครีเอทีฟคอมมอนส์แบบแสดงที่มา-ไม่ใช้เพื่อการค้า-ไม่ดัดแปลง 4.0 (CC BY-NC-ND 4.0)ความมั่นคงในระบบคอมพิวเตอร์บริษัท เอ็กซ์วายแซด จำกัดทรัพย์สินสารสนเทศความมั่นคงปลอดภัยไซเบอร์ความปลอดภัยของระบบคอมพิวเตอร์รายงานคอมพิวเตอร์ -- มาตรการความปลอดภัยภัยคุกคามการจัดทำทะเบียนความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์ ในกระบวนการจัดซื้อจัดจ้างผู้ให้บริการภายนอกด้านเทคโนโลยีสารสนเทศ ของผู้ประกอบธุรกิจบริการการชำระเงินที่ไม่ใช่สถาบันการเงิน: กรณีศึกษา บริษัท XYZ จำกัดDevelopment of a cybersecurity risk register for IT outsourcing in the procurement process of a non-bank payment service providers: a case study of XYZ Company Limitedtext::report::research report