2.ความเสี่ยงด้านบุคลากร (People Ware)

   หมายถึง ความเสี่ยงที่เกิดจากบุคลากรที่เกี่ยวข้องกับการดำเนินงานด้านเทคโนโลยีสารสนเทศ การวางแผน การตรวจสอบ การทำงาน การมอบหมายหน้าที่และสิทธิของบุคลากร/คณะทำงานที่มีส่วนเกี่ยวข้องกับการดำเนินการทุกฝ่ายอย่างละเอียดถี่ถ้วน เพื่อให้บุคลากรมีความรู้ ความเข้าใจในการใช้งาน การดูแลรักษาความปลอดภัยระบบเทคโนโลยีสารสนเทศ รวมทั้งบุคลากรภายนอกที่เกี่ยวข้องทั้งทางตรงและทางอ้อม ซึ่งถือว่าเป็นความเสี่ยงทั้งสิ้น

การบริหารจัดการความเสี่ยงด้านบุคลากร 

   1.การกำหนดโครงสร้าง การมอบหมายงานในหน้าที่ให้แก่บุคลากรด้านเทคโนโลยีสารสนเทศที่มีความเหมาะสม คือ มีความรู้ ประสบการณ์ ในระดับที่สามารถรับการถ่ายทอดเทคโนโลยีสารสนเทศด้านการรักษาความปลอดภัยระบบเทคโนโลยีสารสนเทศและสามารถถ่ายทอดความรู้นั้นให้แก่ผู้ใช้งานระบบเทคโนโลยีสารสนเทศได้อย่างมีประสิทธิภาพ

   2.การจัดจ้างบุคลากรภายนอก (Outsourcing) เพื่อจัดทำโครงการระบบข้อมูลสารสนเทศ เนื่องจากเป็นผู้มีความชำนาญเป็นพิเศษหรือเป็นผู้มีความเชี่ยวชาญเฉพาะทาง มีเครื่องมือและเทคโนโลยีที่ทันสมัยทันต่อการพัฒนาระบบฐานข้อมูลสารสนเทศ มีประสบการณ์ทางด้านการจัดการเทคโนโลยีสารสนเทศให้สอดคล้องหรือสนับสนุนธุรกิจให้เกิดประสิทธิภาพสูงสุด

   3.บุคลากรภายในองค์กรขาดความรู้ความเข้าใจในเรื่องของระบบเทคโนโลยีสารสนเทศ โดยเฉพาะในเรื่องเชิงเทคนิค ด้านโปรแกรมและนวัตกรรมใหม่ๆ ทำให้เกิดช่องว่างในการที่จะประสานงานและรับผิดชอบงานอย่างมีประสิทธิภาพ ดังนั้นแนวทางการบริหารความเสี่ยงนี้โดยการส่งเจ้าหน้าที่เข้ารับการอบรมความรู้ทางเทคโนโลยีสารสนเทศเพื่อพัฒนาประสิทธิภาพ

   4.แผนการบริหารความเสี่ยงด้านบุคลากร คือ ต้องมีการฝึกอบรมในด้านที่เกี่ยวข้องกับระบบฐานข้อมูลสารสนเทศ สำหรับบุคลากรใน 2 ระดับ คือระดับผู้ดูแลระบบ(Administrator) และผู้ใช้งาน (User)

   5.การจัดทำคู่มือเอกสารต่างๆทางด้านทคโนโลยีสารสนเทศ ถ้าให้ดีที่สุดควรมีการจัดการความรู้ขึ้นภายในองค์กร แต่หากทำไม่ได้จริงๆ ก็ควรใส่ใจกับรายละเอียดต่างๆในการปฏิบัติงาน การแก้ปัญหา การพัฒนาระบบ การออกแบบฐานข้อมูล ควรมีการจัดทำเอกสารคู่มือของแต่ละบุคคลที่ตนเองรับผิดชอบส่วนต่างๆให้ละเอียด เมื่อมีพนักงานมาใหม่สามารถเรียนรู้และสามารถดำเนินการต่อจากผู้รับผิดชอบคนเดิมได้ หลายองค์กรก็มักไม่สนสนในลายละเอียดจุดนี้ทำให้เกิดความสำคัญต่อบุคคล ไม่ยอมที่จะถ่ายเทความรู้ต่อผู้ร่วมงาน จะชอบแก้ปัญหาโดยลำพังทำให้ตนเองมีความสำคัญ ซึ่งหากคนทำงานจริงๆจะเข้าใจว่าก็ไม่เห็นว่าจะหวงหรือจะทำตัวสำคัญไปทำไม เว้นแต่ว่าเรายอมรับว่าเราทำได้เพียงเท่านั้น ขอเก็บไว้เพื่อให้ตัวเองสำคัญกับองค์กรให้องค์กรต้องการเรา ซึ่งเราควรมีอะไรที่โดดเด่นกว่านั้นที่ทำให้คนที่มีความสามารถภายในองค์กรหรือผู้บริหารยอมรับ และเห็นคุณค่าว่าควรรักษาไว้อยู่คู่กับองค์กร โดยไม่ต้องใช้ตัวประกันใดๆให้ตนสำคัญ

   6.การควบคุมกำหนดการใช้สื่อบันทึกข้อมูลภายนอก ของบุคคลากรภายในองค์กรเพื่อป้องกันการนำข้อมูลสำคัญขององค์กรออกไปสู่ภายนอกองค์กร เช่น ธนาคารจะไม่มีช่องสำหรับเสียบอุปกรณ์จัดเก็บข้อมูลภายนอกเลยเพราะอาจจะเกิดการรั่วไหลของข้อมูลทางการเงินลูกค้า และข้อมูลลูกค้าได้