การตรวจสอบไอที (it audit)
DESCRIPTION
การตรวจสอบไอที (IT Audit). ดร.ครรชิต มาลัยวงศ์ ราชบัณฑิต ประธานคณะอนุกรรมการ ค.ต.ป. กลุ่มจังหวัดภาคตะวันออกเฉียงเหนอ. เนื้อหาคำบรรยาย. 1. สร้างความเข้าใจเกี่ยวกับความเสี่ยงด้านไอที. การปฏิบัติงานไอทีที่เหมาะสม. 2. 3. การพัฒนาคุณภาพการบริหารจัดการภาครัฐ หมวด 4. - PowerPoint PPT PresentationTRANSCRIPT
1
ดร.ครรชิ�ต มาลั�ยวงศ์� ราชิบั�ณฑิ�ต
ประธานคณะอน�กรรมการ ค.ต.ป .กลั��มจั�งหว�ดภาคตะว�นออกเฉี!ยงเห
นอ
เน"#อหาค$าบัรรยาย
1
2
3
4
5
สร&างความเข้&าใจัเก!)ยวก�บัความเส!)ยงด&านไอที!สร&างความเข้&าใจัเก!)ยวก�บัความเส!)ยงด&านไอที!
การปฏิ�บั�ต�งานไอที!ที!)เหมาะสมการปฏิ�บั�ต�งานไอที!ที!)เหมาะสม
การพั�ฒนาค�ณภาพัการบัร�หารจั�ดการภาคร�ฐ หมวด 4 การพั�ฒนาค�ณภาพัการบัร�หารจั�ดการภาคร�ฐ หมวด 4
ว�ธ!การตรวจัสอบัไอที!ว�ธ!การตรวจัสอบัไอที!
ความหมายข้องการตรวจัสอบัไอที! (IT Audit)ความหมายข้องการตรวจัสอบัไอที! (IT Audit)
6 สร�ปสร�ป
2
ความหมายข้องระบับังานไอที!
ระบับังานไอที! ค"อ ระบับัที!)น$าบั�คคลั , อ�ปกรณ�แลัะส�)งต�าง ๆ ที!)เก!)ยวข้&องเข้&ามาร�วมก�นที$างานเพั")อใชิ&ในการจั�ดเก2บั
ข้&อม3ลั , ประมวลัผลั แลัะ ให&บัร�การสารสนเทีศ์ที!)จั$าเป5นแก�ผ3&ใชิ&อย�างม!ประส�ทีธ�ภาพั , ประส�ทีธ�ผลั , แลัะ ม!ความ
ม�)นคงปลัอดภ�ยส3ง สามารถป7องก�นการบั�กร�กจัากภายในแลัะภายนอกหน�วยงานได&.
ระบับังานไอที! ประกอบัด&วย ฮาร�ดแวร� (เซิ�รฟเวอร� ,คอมพั�วเตอร� , โทีรศ์�พัที�ม"อถ"อ ), ระบับัเคร"อข้�ายภายในแลัะระบับัอ�นเทีอร�เน2ต , ซิอฟต�แวร� , ฐานข้&อม3ลั , ค3�ม"อ
การใชิ&งาน , แลัะ บั�คลัากรที!)เก!)ยวข้&อง
3
การปฏิ�บั�ต�งานเก!)ยวก�บัระบับังานไอที!
บั�นที<กข้&อม3ลั
ใชิ&ระบับัผ�านเคร"อข้�าย
ส�งรายงาน
ควบัค
�ม , ส
� )งงาน
บั�กร�ก , ที$าลัาย
Backup/R
ecovery
สร&าง
4
การจั�ดการความเส!)ยง ที�กหน�วยงานอาจัประสบัป=ญหาที!)ไม�คาดค�ดได&ตลัอดเวลัา
ป=ญหาเหลั�าน!#ก2ค"อ ความเส!)ยง“ ” ผ3&บัร�หารจัะต&อง จั�ดการความเส!)ยง ข้องหน�วยงานด&วยการ“ ”
• ศึ�กษาความเสี่��ยงในรู�ปแบบต่�าง ๆ• พิ�จารูณาโอกาสี่ที่��จะเก�ดป#ญหาและผลกรูะที่บจากป#ญหา• วางแผนจ(ดการูความเสี่��ยงด)วยการู ขจ(ดความเสี่��ยง , หล�ก
เล��ยงความเสี่��ยง , ลดความเสี่��ยง , หรู+อ ยอมความเสี่��ยงให)เก�ดข�,น
• วางแผนฉุ.กเฉุ�นเพิ+�อรู(บม+อก(บป#ญหาที่��เก�ด• วางแผนการูบรูรูเที่าผลกรูะที่บจากป#ญหา
• วางแผนการูน/าหน�วยงานกล(บค+นสี่��สี่ภาพิปกต่�โดยเรู1วที่��สี่.ด.
5
ความเส!)ยงเก!)ยวก�บัระบับัไอที! การพั�ฒนาระบับัสารสนเทีศ์• ไม�ที่รูาบความต่)องการูของผ�)ใช้)
• รูะบบม�ฟั#งก5ช้(นงานไม�ครูบถ้)วนเที่�าที่��ควรูจะเป7น• ผ�)พิ(ฒนาไม�ม�ความรู� )พิอเพิ�ยง (ด)านเที่คโนโลย� , การู
พิ(ฒนา , การูเข�ยนโปรูแกรูม)• ออกแบบรูะบบผ�ดพิลาด
• รูะบบม�ความผ�ดพิลาดเพิรูาะต่รูวจสี่อบโปรูแกรูมไม�ครูบถ้)วน
• ผ�)พิ(ฒนาแอบฝั#งโปรูแกรูมอ(นต่รูายเอาไว) เพิ+�อล(กลอบสี่�งข)อม�ลออก , สี่(�งให)คอมพิ�วเต่อรู5ที่/างานผ�ด
พิลาด , สี่(�งให)ลบข)อม�ล , ฯลฯ
6
ความเส!)ยงเก!)ยวก�บัระบับัไอที!
การใชิ&ระบับั (ที�#งที!)เป5นเร")องการใชิ& แลัะ การพั�ฒนาไม�เหมาะสม)• ผ�)ใช้)ที่��ไม�ได)รู(บมอบหมายให)ใช้)งาน กล(บสี่ามารูถ้เข)าใช้)รูะบบได)
• การูบ(นที่�กข)อม�ลไม�ครูบ , ผ�ดพิลาดหรู+อบกพิรู�อง• การูใช้)งานผ�ดพิลาด => ต่)องการูอย�างหน��ง แต่�ที่/าอ�กอย�างหน��ง
• ค��ม+อการูใช้)ผ�ดพิลาด• โปรูแกรูมไม�สี่ามารูถ้ถ้อยหล(งกล(บไปสี่��จ.ดต่(,งต่)นก�อนที่/างาน• ไม�สี่ามารูถ้ต่รูวจสี่อบได)ว�าที่/างานอะไรูเสี่รู1จไปบ)างแล)ว
• การูจ(ดที่/ารูายงานผ�ดพิลาด• ผ�)ใช้)ไม�สี่ามารูถ้ค)นค+น หรู+อ เรู�ยกใช้)ข)อม�ลที่��ต่)องการู
7
ความเส!)ยงเก!)ยวก�บัระบับัไอที! ความเส!)ยงเก!)ยวก�บัอ�ปกรณ�
• คอมพิ�วเต่อรู5และอ.ปกรูณ5ไม�สี่ามารูถ้ที่/างานรู�วมก(นได)• คอมพิ�วเต่อรู5และอ.ปกรูณ5ม�สี่มรูรูถ้นะต่/�า ที่/าให)ที่/างานช้)ามาก• คอมพิ�วเต่อรู5และอ.ปกรูณ5เสี่�ยหายเพิรูาะไม�ได)รู(บการูบ/ารู.ง
รู(กษาอย�างถ้�กว�ธี�• คอมพิ�วเต่อรู5และอ.ปกรูณ5ถ้�กโจรูกรูรูม
• คอมพิ�วเต่อรู5และอ.ปกรูณ5ถ้�กที่/าลายโดยผ�)บ.กรู.ก• การูน/าคอมพิ�วเต่อรู5และอ.ปกรูณ5ไปจ/าหน�าย โดยไม�ได)ลบ
ข)อม�ลในฮารู5ดด�สี่ก5ออกก�อน• คอมพิ�วเต่อรู5และอ.ปกรูณ5เปล��ยนแปลงก)าวหน)าเรู1วมาก แต่�
เรูาไม�ได)ปรู(บปรู.งเครู+�องของเรูาที่/าให)ไม�สี่ามารูถ้ใช้)งานรู�วมก(บหน�วยงานอ+�นได)
8
ความเส!)ยงจัากภายนอก ระบับัไอที!อาจัประสบัป=ญหาได&หลัายเร")อง เชิ�น...
• การูถ้�กบ.กรู.กโดยบ.คคลภายนอกเข)ามาโจรูกรูรูมอ.ปกรูณ5ในยามว�กาล หรู+อในช้�วงที่��ไม�ม�ใครูด�แลห)องอ.ปกรูณ5
• การูถ้�กไวรู(สี่ก�อกวนโดยไวรู(สี่น(,นมาจากรูะบบอ�นเที่อรู5เน1ต่ ,อ�เมล , โปรูแกรูมที่��ดาวน5โหลดจากอ�นเที่อรู5เน1ต่ , เกม , flash
drive และอ+�น ๆ • การูต่(,งวางอ.ปกรูณ5 และ แผ�นซี�ด� ไว)บนโต่>ะที่/างานโดยเป?ด
เผย และไม�ได)ป?ดรูะบบก�อนล.กไปจากโต่>ะที่/างาน• แฮคเกอรู5บ.กรู.กเข)ามาที่างรูะบบอ�นเที่อรู5เน1ต่ หรู+อเครู+อข�าย
ภายในเพิ+�อที่/าลายรูะบบ , ซีอฟัต่5แวรู5 , เว1บ และ ข)อม�ล หรู+อ แอบซี.กซี�อนโปรูแกรูมเอาไว)เพิ+�อสี่�งข)อม�ลของสี่/าน(กงาน
ออกไปให)คนภายนอก
9
ความเส!)ยงจัากอ�บั�ต�ภ�ย
อ�บั�ต�ภ�ยที�#งที!)เก�ดโดยธรรมชิาต�หร"อโดยมน�ษย�อาจัจัะเก�ดได&...
• เพิล�งไหม)สี่/าน(กงาน ที่/าให)รูะบบและอ.ปกรูณ5ต่�าง ๆ เสี่�ยหาย
• น/,าที่�วมสี่/าน(กงาน ที่/าให)รูะบบและอ.ปกรูณ5ต่�าง ๆ เสี่�ยหาย• หล(งคารู(�วที่/าให)น/,าฝันต่กลงมาบนต่(วเครู+�องและอ.ปกรูณ5
• วาต่ภ(ยอาจที่/าให)สี่/าน(กงานและรูะบบเสี่�ยหาย• อ.บ(ต่�เหต่.รูะหว�างขนย)ายอ.ปกรูณ5อาจเก�ดได) เช้�น รูถ้ยนต่5
ถ้�กช้น , รูถ้ต่กถ้นน , ที่/าเครู+�องหล.ดต่กจากม+อรูะหว�างการูขนย)าย , เครู+�องถ้�กโจรูกรูรูมรูะหว�างการูขนย)าย ,
10
ความเส!)ยงจัากบั�คลัากรภายใน พัน�กงาน , ข้&าราชิการ , หร"อผ3&เก!)ยวข้&องก2ม!ความเส!)ยง...• พิน(กงานและบ.ต่รูหลานอาจจะน/าเกมจากบ)านมาเล�นใน
คอมพิ�วเต่อรู5• พิน(กงานอาจจะก>อปป@, ข)อม�ลไปให)บ.คคลภายนอก
• พิน(กงานหรู+อข)ารูาช้การูที่��ไม�พิอใจสี่/าน(กงานหรู+อผ�)บ(งค(บบ(ญช้าอาจจะแอบที่/าลายข)อม�ลหรู+ออ.ปกรูณ5ภายใน
• การูใช้)โปรูแกรูมที่��ไม�ได)รู(บการูฝัAกอบรูมการูใช้)มาอย�างด�อาจที่/าให)เก�ดป#ญหาก(บข)อม�ลได)
• ผ�)บรู�หารูไม�ยอมใช้)คอมพิ�วเต่อรู5เอง แต่�มอบอ/านาจให)พิน(กงานใช้)แที่น อาจที่/าให)เก�ดป#ญหาได)มากมาย
• พิน(กงานอาจจะแอบแก)ไขโปรูแกรูมและข)อม�ลรูะหว�างการูที่/างาน
11
การปฏิ�บั�ต�งานไอที!ที!)ด!ม!ลั�กษณะอย�างไร
ผ3&บัร�หารสนใจัใชิ&ระบับัไอที!เป5นเคร")องม"อในการบัร�หาร ประกาศ์นโยบัายการใชิ&คอมพั�วเตอร�แลัะระบับัอย�างเป5น
ทีางการ ม!แผนการด$าเน�นงานประจั$าป@
ม!การจั�ดสรรทีร�พัยากรให&พัอเพั!ยงแก�ความจั$าเป5น แลัะ แผนงาน
บั�คลัากรที!)ได&ร�บัมอบัหมายให&ปฏิ�บั�ต�งานก�บัระบับัไอที!ได&ร�บัการฝึBกอบัรมในด&านการใชิ&อย�างถ3กว�ธ!
ม!ระเบั!ยบัการใชิ&งานไอที!อย�างเหมาะสม เชิ�น การก$าหนดผ3&ม!ส�ทีธ�ใชิ& , การใชิ&ระบับัไอที! , การจั�ดเก2บั
เอกสารค3�ม"อ , การส$ารองข้&อม3ลั ฯลัฯ12
การปฏิ�บั�ต�งานไอที!ที!)ด!ม!ลั�กษณะอย�างไร จั�ดซิ"#อจั�ดหาระบับัไอที!อย�างร�ดก�มแลัะรอบัคอบั จั�ดที$าส�ญญาการจั�ดซิ"#อแลัะจั�ดจั&างเก!)ยวก�บัระบับัไอที!อย�าง
รอบัคอบั จั�ดที$าระเบั!ยบัแลัะข้�#นตอนการตรวจัร�บัระบับัอย�างร�ดก�ม
(อาจัต&องข้อความร�วมม"อจัากผ3&ร3&ในสถานศ์<กษาระด�บัส3ง) จั�ดเก2บัส�ญญาก�บัผ3&ข้ายหร"อผ3&ให&เชิ�าเอาไว&อย�างเป5นระบับั
แลัะ พัยายามบัร�หารให&งานเป5นไปตามส�ญญา จั�ดที$าระบับับั�ญชิ!ฮาร�ดแวร� , ซิอฟต�แวร� , แลัะ ระบับัเคร"อ
ข้�าย รวมที�#งจั�ดที$าผ�งเคร"อข้�ายแลัะการจั�ดวางระบับัคอมพั�วเตอร� (ระบับัน!#ไม�ใชิ�ระบับัพั�สด�ตามปกต� แต�เป5นระบับัที!)ระบั� Spec ด&านเทีคน�คด&วย)
13
การปฏิ�บั�ต�งานไอที!ที!)ด!ม!ลั�กษณะอย�างไร
จั�ดวางเซิ�รฟเวอร�แลัะอ�ปกรณ� ตลัอดจันเด�นสายเคเบั�ลัต�าง ๆ อย�างเป5นระบับัแลัะเร!ยบัร&อย
ด3แลัให&ห&องเซิ�รฟเวอร�แลัะอ�ปกรณ�ม!ความสะอาด ปราศ์จัากส�)งข้องที!)ไม�จั$าเป5นเชิ�นกระดาษ หร"อ ส�)งข้องอ")น
ๆ ด3แลัให&ห&องเซิ�รฟเวอร�ม!ระบับัปร�บัอากาศ์ที!)เหมาะสม แลัะ
เป5นห&องปDดเพั")อไม�ให&ฝึ�Eนเข้&าไป ด3แลัการจั�ดเก2บัแผ�นซิ!ด!ที!)เป5นต&นฉีบั�บัข้องโปรแกรมต�าง
ๆ ที!)จั�ดหาเอง,ได&ร�บัจัากกระทีรวง หร"อ ได&ร�บับัร�จัาคมาเอาไว&อย�างเป5นระบับั แลัะต&องม!สองชิ�ดแยกจัากก�น . นอกจัาก
น�#นย�งไม�อน�ญาตให&น$าแผ�นซิ!ด!ต&นฉีบั�บัออกไปใชิ&นอกส$าน�กงาน
14
การปฏิ�บั�ต�งานไอที!ที!)ด!ม!ลั�กษณะอย�างไร จั�ดหาอ�ปกรณ�ไฟฟ7าส$ารอง (UPS) ส$าหร�บัเคร")องเซิ�รฟเวอร�
แลัะคอมพั�วเตอร�ที!)ใชิ&ในงานส$าค�ญเอาไว& โดยเลั"อกใชิ&อ�ปกรณ�ที!)สามารถส$ารองไฟฟ7าได&นานพัอส$าหร�บัร�บัม"อก�บั
ป=ญหาไฟฟ7าด�บัในพั"#นที!) ก�อนปฏิ�บั�ต�งาน เจั&าหน&าที!)จัะต&องตรวจัสอบัความเร!ยบัร&อย
ข้องอ�ปกรณ�ในห&องเซิ�รฟเวอร� แลัะ ความพัร&อมข้องอ�ปกรณ� หากการเร�)มใชิ&ม!ป=ญหา ให&ร!บัตรวจัสอบัป=ญหาแลัะแก&ไข้ตาม
ค3�ม"อปฏิ�บั�ต� (ข้&อน!#ย�งน�าสงส�ยว�าหลัายส$าน�กงานอาจัไม�ม!ค3�ม"อ)
15
การปฏิ�บั�ต�งานไอที!ที!)ด!ม!ลั�กษณะอย�างไร
รวบัรวมค3�ม"อการใชิ&อ�ปกรณ� แลัะ ค3�ม"อเก!)ยวก�บัซิอฟต�แวร� เอาไว&ให&ครบัถ&วน (ค3�ม"อซิอฟต�แวร� ได&แก� ค3�ม"อ
ต�ดต�#งซิอฟต�แวร� , ค3�ม"อการใชิ&ซิอฟต�แวร�แลัะแก&ป=ญหาซิอฟต�แวร� , ค3�ม"อการส$ารองระบับั)
จั�ดที$าหมายเลัข้โทีรศ์�พัที�ข้องผ3&เก!)ยวข้&องที�กระด�บั (ผ3&ร�บัผ�ดชิอบังานไอที!ที!)กระทีรวง แลัะ ส$าน�กงานต�าง ๆ , ผ3&
บัร�หาร , ผ3&ข้าย , ผ3&เชิ!)ยวชิาญแลัะที!)ปร<กษา , พัน�กงานแลัะเจั&าหน&าที!)ที�กคน)
จั�ดที$าหมายเลัข้โทีรศ์�พัที�ข้องหน�วยงานแลัะบั�คคลัที!)สามารถให&ค$าปร<กษาได&ในด&านไอที! (เนคเทีค , บัร�ษ�ที ทีศ์ที ,บัร�ษ�ที กสที ., กระทีรวงไอซิ!ที! , SIPA, สทีอภ ., บัร�ษ�ทีผ3&
ค&าที!)เราใชิ& HW&SW) 16
การปฏิ�บั�ต�งานไอที!ที!)ด!ม!ลั�กษณะอย�างไร
จั�ดที$าแผนฉี�กเฉี�น เพั")อร�บัม"อเม")อเก�ดป=ญหาด&านไอซิ!ที! ส$ารองข้&อม3ลัข้องหน�วยงานเอาไว&ที�กส�ปดาห�เป5นอย�างน&อย
แลัะให&น$าข้&อม3ลัส$ารองไปจั�ดเก2บัไว&ในส$าน�กงานอ")นนอกบัร�เวณอาคาร
ฝึBกการน$าข้&อม3ลัส$ารองกลั�บัเข้&ามาใชิ&งานแทีนข้&อม3ลัที!)สมม�ต�ว�าถ3กที$าลัายไปแลั&ว (ควรที$าอย�างน&อยป@ลัะ 2 คร�#ง)
บั�นที<กการที$างานรายว�น เชิ�น เวลัาการเปDด-ปDดเซิ�รฟเวอร� (ในกรณ!ที!)เปDด-ปDดที�กว�น ), การน$าซิอฟต�แวร�ใหม�เข้&าต�ด
ต�#ง , การส$ารองข้&อม3ลั , การเก�ดป=ญหาต�าง ๆ เชิ�น ไฟฟ7าด�บัเม")อใด , ด�บันานเที�าใด , แลัะ น$าเคร")องกลั�บัมาที$างานเม")อใด หร"อ เคร")องใดต�ดไวร�ส , พับัเม")อใด , แลัะก$าจั�ดด&วยโปรแกรม
อะไร ฯลัฯ
17
การปฏิ�บั�ต�งานไอที!ที!)ด!ม!ลั�กษณะอย�างไร ม!การตรวจัสอบัเว2บัข้องส$าน�กงานที�กว�น (ตรวจัว�าเว2บัม!
ป=ญหาหร"อไม� , ถ3กแฮคเกอร�ปEวนหร"อไม� , การเชิ")อมโยงต�าง ๆ ย�งด!อย3�หร"อไม� , ม!การบั�นที<กข้&อม3ลัอย�างถ3กต&อง
ครบัถ&วนหร"อไม�) ม!ระบับัร�บัแจั&งแลัะบั�นที<กป=ญหาจัากผ3&ใชิ&ภายใน พัร&อมก�บั
บัร�การแก&ไข้ป=ญหาให&ผ3&ใชิ&ภายในข้อบัเข้ตที!)ที$าได& ในกรณ!ที!)เป5นป=ญหาย��งยากให&เร!ยกใชิ&บัร�การผ3&ข้าย หากม!ส�ญญา–
บั$าร�งร�กษา การบั�นที<กให&ระบั�ชิ")อผ3&ใชิ& , ป=ญหา , การแก&ป=ญหา , แลัะระยะเวลัาที!)ใชิ&แก&ป=ญหา
หากเป5นป=ญหาเก!)ยวก�บัซิอฟต�แวร� ต&องบั�นที<กให&ลัะเอ!ยดแลัะส�งให&ผ3&เก!)ยวข้&องแก&ไข้
18
การปฏิ�บั�ต�งานไอที!ที!)ด!ม!ลั�กษณะอย�างไร จั�ดฝึBกอบัรมให&ผ3&ปฏิ�บั�ต�งานใหม� (ที�#งผ3&ปฏิ�บั�ต�งานที�)วไปแลัะ
งานไอที!)ร�บัทีราบัว�ธ!การปฏิ�บั�ต�งาน แลัะ การใชิ&ซิอฟต�แวร�ที!)ผ3&น�#นร�บัผ�ดชิอบั โดยพัน�กงานไอที!จัะต&องเร!ยนร3&ไอที!ให&
เข้&มข้&น จั�ดหาระบับัชิ�วยสอน หร"อ Link เชิ")อมโยงไปย�งแหลั�งที!)ม!
ระบับัชิ�วยสอนให&ผ3&ปฏิ�บั�ต�งานเข้&าไปศ์<กษา โดยทีางฝึEายไอที!จัะต&องจั�ดเก2บับั�นที<กว�าม!ผ3&ใดได&ผ�านการฝึBกอบัรมไป
แลั&ว ร�วมม"อก�บัผ3&ตรวจัสอบัภายใน ในการจั�ดที$าเคร")องม"อส$าหร�บับั�นที<กข้&อม3ลัการตรวจัสอบัภายใน (ถ&าถ3กร&องข้อ)
19
การปฏิ�บั�ต�งานไอที!ที!)ด!ม!ลั�กษณะอย�างไร ให&ความร�วมม"อก�บัผ3&ตรวจัสอบัภายในในการตรวจัสอบั
ไอที! รวบัรวมแหลั�งความร3&ใหม�เก!)ยวก�บัการบัร�หารงานไอที! ,
เทีคน�คเก!)ยวก�บัการที$างานไอที! , การพั�ฒนาระบับั ,การตรวจัสอบัระบับั , การจั�ดที$าฐานข้&อม3ลั , การ
ส$ารองระบับั , โปรแกรมแบับั Open Source ต�าง ๆ
จั�ดที$ารายงานเก!)ยวก�บัการบัร�หารแลัะปฏิ�บั�ต�งานไอที!เสนอผ3&บัร�หารระด�บัส3งให&ทีราบั เพั")อข้อค$าแนะน$าหร"อ
นโยบัายเม")อเก�ดป=ญหา
20
เกณฑิ�ค�ณภาพัการบัร�หารจั�ดการภาคร�ฐ
PMQA
การน$าองค�กรผลัลั�พัธ�การด$าเน�นการ
การวางแผนเชิ�งย�ทีธศ์าสตร�
การให&ความส$าค�ญก�บัผ3&ร�บับัร�การแลัะผ3&ม!ส�วนได&ส�วนเส!ย
การจั�ดการกระบัวนการ
การม��งเน&นทีร�พัยากรบั�คคลั
71
2
35
6
4
การว�ด การว�เคราะห� แลัะการจั�ดการความร3&21
การตรวจัสอบัตามมาตรฐาน PMQA
หมวด 4 IT1 : จั�งหว�ดต&องม!ระบับัฐานข้&อม3ลัผลัการด$าเน�นงานตามแผนย�ทีธศ์าสตร�แลัะแผนปฏิ�บั�ต�ราชิการ รวมที�#งผลัการด$าเน�นงานข้องต�วชิ!#ว�ดตามค$าร�บัรองการปฏิ�บั�ต�
ราชิการที!)ครอบัคลั�มถ3กต&อง แลัะ ที�นสม�ย
การพั�จัารณา : แสดงระบับัฐานข้&อม3ลัผลัการด$าเน�นงานตามแผน
ย�ทีธศ์าสตร�แลัะแผนปฏิ�บั�ต�ราชิการ รวมที�#งผลัการด$าเน�นงานข้องต�วชิ!#ว�ดตามค$าร�บัรองการ
ปฏิ�บั�ต�ราชิการประจั$าป@ แลัะข้&อม3ลัย&อนหลั�งอย�างน&อย 3 ป@ 22
การตรวจัสอบัตามมาตรฐาน PMQA
หมวด 4 IT2 : จั�งหว�ดต&องม!ระบับัฐานข้&อม3ลัเพั")อการพั�ฒนาจั�งหว�ด
ที!)ครอบัคลั�ม ถ3กต&อง แลัะ ที�นสม�ย
การพั�จัารณา : แสี่ดงรูะบบฐานข)อม�ลศึ�นยข)อม�ลกลางกรูะที่รูวงมหาดไที่ยและจ(งหว(ด ปรูะจ/าป@ และข)อม�ลย)อนหล(ง
อย�างน)อย 3 ป@
23
การตรวจัสอบัตามมาตรฐาน PMQA
หมวด 4 IT3 : จั�งหว�ดต&องม!ระบับัแลัะสามารถค$านวณสถ�ต�ผลั�ตภ�ณฑิ�มวลั
รวมจั�งหว�ด (GPP) ที!)ครอบัคลั�ม ถ3กต&อง แลัะ ที�นสม�ย
การพั�จัารณา : แสดงระบับัฐานข้&อม3ลัสถ�ต�ผลั�ตภ�ณฑิ�มวลัรวมจั�งหว�ด (GPP) ประจั$าป@ โดยด$าเน�นการตามกระบัวนการที!)ก$าหนดไว& 5 ข้�#นตอนได&ครบัถ&วน
24
การตรวจัสอบัตามมาตรฐาน PMQA
หมวด 4 IT4 : จั�งหว�ดต&องม!ระบับัเทีคโนโลัย!สารสนเทีศ์ เพั")อให&
ประชิาชินสามารถเข้&าถ<งข้&อม3ลัข้�าวสารได&อย�างเหมาะสม
การพั�จัารณา : • แสดงรายการแลัะรายลัะเอ!ยดข้องข้&อม3ลัข้�าวสารที!)
ประชิาชินสามารถส"บัค&นหร"อข้อข้&อม3ลัได&ผ�านทีางระบับัเทีคโนโลัย!สารสนเทีศ์
• แนวค�ดก2ค"อ จั�งหว�ดต&องจั�ดให&ม!สถานที!)หร"อศ์3นย�ข้&อม3ลัข้�าวสารแลัะข้&อม3ลัข้�าวสารให&ประชิาชินเข้&า
ตรวจัด3ได&โดยสะดวก , ต&องจั�ดที$าด�ชิน!หร"อรายการข้&อม3ลัข้�าวสารที!)ประชิาชินสามารถส"บัค&นได&เองด&วย.
25
การตรวจัสอบัตามมาตรฐาน PMQA หมวด 4 IT5 :
จั�งหว�ดต&องม!ระบับัการต�ดตาม เฝึ7าระว�งแลัะเต"อนภ�ย (Warning system) เชิ�น การก$าหนดระบับัการเต"อนภ�ยแบับัส�ญญาณไฟจัราจัร การจั�ดห&องปฏิ�บั�ต�การ (Operation Room, Management Cockpit, War Room)
ที!)บั�งชิ!#ถ<งการเปลั!)ยนแปลังที!)เก�ดข้<#น
การพั�จัารณา : • แสดงระบับัการต�ดตาม
o แสดงระบับัการต�ดตาม เฝึ7าระว�งแลัะเต"อนภ�ย ประกอบัด&วย การต�ดตามการด$าเน�นงานตามย�ทีธศ์าสตร�/แผนงาน/
โครงการ/ต�วชิ!#ว�ด การเต"อนภ�ยธรรมชิาต�
o แสดงการรายงานหร"อน$าเสนอข้&อม3ลัให&ผ3&บัร�หารผ�านระบับั EIS/GIS
o แสดงรายลัะเอ!ยดการปร�บัปร�งระบับัการต�ดตาม เฝึ7าระว�ง แลัะเต"อนภ�ยให&ม!ประส�ทีธ�ภาพัมากข้<#นกว�าเด�มที!)เคยม!อย3�
26
การตรวจัสอบัตามมาตรฐาน PMQA
หมวด 4 IT6 : จั�งหว�ดต&องม!ระบับับัร�หารความเส!)ยงข้องระบับัฐานข้&อม3ลัแลัะสารสนเทีศ์
การพั�จัารณา : • แสดงระบับัร�กษาความม�)นคงแลัะปลัอดภ�ยข้องระบับัฐาน
ข้&อม3ลัแลัะสารสนเทีศ์o แสดงระบับัร�กษาความม�)นคงแลัะปลัอดภ�ยข้องศ์3นย�
ข้&อม3ลัแลัะสารสนเทีศ์o แสดงรายลัะเอ!ยดแผนแก&ไข้ป=ญหาจัากสถานการณ�ความไม�แน�นอนแลัะภ�ยพั�บั�ต�ที!)อาจัจัะเก�ดก�บัระบับัฐานข้&อม3ลัแลัะสารสนเทีศ์ (IT Contingency Plan)o แสดงผลัการปฏิ�บั�ต�ตามแผนแก&ไข้ป=ญหาจัาก
สถานการณ�ความไม�แน�นอนแลัะภ�ยพั�บั�ต�ที!)อาจัจัะเก�ดก�บัระบับัฐานข้&อม3ลัแลัะสารสนเทีศ์
27
การตรวจัสอบัตามมาตรฐาน PMQA
หมวด 4 IT7 : จั�งหว�ดต&องจั�ดที$าแผนการจั�ดการความร3&แลัะน$าแผนไปปฏิ�บั�ต�
การพั�จัารณา : • แสดงแผนการจั�ดการความร3& (KM Action Plan)
อย�างน&อย 3 องค�ความร3& ตามแนวทีางที!)ก$าหนดo รายงานผลัการด$าเน�นงานตามแผน โดยด$าเน�น
ก�จักรรมตามแผนการจั�ดการความร3&ได&ส$าเร2จัครบัถ&วนที�กก�จักรรม แลัะสามารถด$าเน�นการที!)
ครอบัคลั�มกลั��มเป7าหมายได&ไม�น&อยกว�าร&อยลัะ 90 ในที�กก�จักรรมแลักเปลั!)ยนเร!ยนร3&ที!)ระบั�ไว&
28
ความหมายข้อง IT Audit กระบัวนการรวบัรวมแลัะพั�จัารณาหลั�กฐานต�าง ๆ เพั")อ
ประเม�นว�าระบับัคอมพั�วเตอร�ได&ร�บัการออกแบับัให&ม!ความม�)นคงด&านข้&อม3ลั , ม!การปกป7องทีร�พัย�ส�น , ชิ�วย
ให&ผ3&ใชิ&สามารถใชิ&ระบับัได&อย�างม!ประส�ทีธ�ภาพั แลัะ ตอบัสนองว�ตถ�ประสงค�แลัะบัรรลั�เป7าหมายข้อง
องค�การได&อย�างม!ประส�ทีธ�ผลัo ค/าสี่/าค(ญในที่��น�,ค+อ การูออกแบบรูะบบ ,
ความม(�นคงด)านข)อม�ล , การูปกปCองที่รู(พิย5สี่�น ,
การูใช้)อย�างม�ปรูะสี่�ที่ธี�ภาพิ , การูบรูรูล.เปCาหมายอย�างได)ผล
29
ระบับัคอมพั�วเตอร�ต&องม!การควบัค�ม ระบับัคอมพั�วเตอร�จัะที$างานได&อย�างม!ประส�ทีธ�ภาพัแลัะได&ผลั
ตามที!)ต&องการต�อเม")อออกแบับัระบับัควบัค�มการที$างานไว&ด&วย ระบับัควบัค�มที!)ม!เป5นส�)งที!)สะที&อนให&เห2นถ<ง นโยบัาย ,
กระบัวนการที$างาน , ว�ธ!ปฏิ�บั�ต�งาน , แลัะ โครงสร&างข้ององค�การที!)สร&างความเชิ")อม�)นได&อย�างม!เหต�ผลัว�าการปฏิ�บั�ต�
งานจัะบัรรลั�เป7าหมาย การควบัค�มในระบับัคอมพั�วเตอร�ที$าให&ม�)นใจัในประส�ทีธ�ผลัแลัะ
ประส�ทีธ�ภาพัข้องการปฏิ�บั�ต�งาน , ความน�าเชิ")อถ"อข้องการจั�ดที$ารายงานต�าง ๆ แลัะ การด$าเน�นงานที!)สอดคลั&องก�บักฎ
เกณฑิ�ที!)ก$าหนด
30
การควบัค�มที�)วไป
การควบัค�มที�)วไป (General Controls) ประกอบัด&วยการควบัค�ม การปฏิ�บั�ต�งานข้องศ์3นย�ข้&อม3ลั , การ
จั�ดหาแลัะบั$าร�งร�กษาซิอฟต�แวร�ระบับั (system software = ระบับัปฏิ�บั�ต�การ , utilities ต�าง ๆ ),
การควบัค�มการเข้&าถ<งระบับัแลัะซิอฟต�แวร� , แลัะการพั�ฒนาซิอฟต�แวร�แลัะการบั$าร�งร�กษา
ส�)งที!)ต&องม!เป5นอย�างน&อยค"อ นโยบัายไอที! , มาตรฐาน ,แผนงาน , แนวทีางในการด3แลัความม�)นคงข้องไอที! ,
การปกป7องข้&อม3ลัแลัะสารสนเทีศ์ , การพั�ฒนาซิอฟต�แวร� , การจั�ดการการเปลั!)ยนแปลัง , การแบั�งแยกหน&าที!) , การวางแผนฉี�กเฉี�น แลัะ การจั�ดการโครงการ
ไอที! 31
การควบัค�มการประย�กต�• การควบัค�มการประย�กต� (Application control)
หมายถ<งการควบัค�มที!)อย3�ในการประย�กต�แต�ลัะเร")อง • การควบัค�มประกอบัด&วยo การก$าหนดส�ทีธ�Hในการใชิ&ระบับัอย�างเหมาะสม; o ความครบัถ&วนสมบั3รณ� ,o ความแม�นย$าถ3กต&อง ,o ความสมเหต�สมผลัข้องระเบั!ยนข้&อม3ลั; o การบั$าร�งร�กษาข้&อม3ลั ,o การส$ารองข้&อม3ลั ,o การก3&ระบับัแลัะข้&อม3ลั ,o การจั�ดที$ารายงานป=ญหาที!)เก�ดข้<#น ,o การบั�นที<กผลัการด$าเน�นงานแลัะการใชิ&ระบับัเพั")อตรวจัสอบัว�าม!
การด$าเน�นงานอย�างถ3กต&อง
32
ความส$าค�ญข้องการควบัค�มแลัะตรวจัสอบัไอที!
ป=จัจั�บั�นที�กการบัร�หารแลัะการปฏิ�บั�ต�งานข้องที�กหน�วยงานต&องอาศ์�ยระบับัไอที!เป5นเคร")องม"อส$าค�ญ ระบับัไอที!ที!)ไม�ได&ร�บัการควบัค�มที!)ด!อาจัที$าให&การปฏิ�บั�ต�งานข้องหน�วยงานเส!ยหายได&
ถ&าไม�ม!การควบัค�ม หน�วยงานอาจัลัะเลัยไม�ได&ตรวจัสอบัว�ธ!การควบัค�มไอที!ระบับัไอที!ที!)ส$าค�ญ แลัะที$าให&เก�ดความเส!)ยงส3งต�อ
หน�วยงาน การตรวจัสอบัไอที!เป5นต�วว�ดว�าองค�การได&จั�ดการความเส!)ยง
ข้องระบับัไอที!มากน&อยเพั!ยงใด ถ&าม!ความเส!)ยงส3งก2จัะม!ผลักระทีบัต�อการจั�ดการความเส!)ยงโดยรวมข้ององค�การ
33
ว�ธ!การตรวจัสอบัการควบัค�มที�)วไป
• พั�จัารณาความสนใจัข้องผ3&บัร�หารo ผ3&บัร�หารให&ความสนใจัต�องานไอที! => ใชิ&ไอที!ด&วยต�วเอง ,
หร"อ ใชิ&รายงานที!)ได&ร�บัจัากไอที! , ผลั�กด�นให&ม!การปร�บัปร�งระบับัไอที! , สน�บัสน�นให&ต�#งงบัประมาณไอที! ,
ต�ดตามสอบัถามป=ญหางานไอที!แลัะพัยายามชิ�วยเหลั"อo ม!การต�#งคณะกรรมการบัร�หารไอที! หร"อ ม! CIO ร�บัผ�ด
ชิอบั o ตรวจัสอบัสภาพัการใชิ&ในหน�วยงาน => ม!การควบัค�มที!)
ด! , ความเป5นระเบั!ยบัเร!ยบัร&อยในห&องเซิ�รฟเวอร� แลัะ การจั�ดวางอ�ปกรณ� , ป=ญหาการใชิ&งานไอที!โดยที�)วไป , การ
สน�บัสน�นแลัะการแก&ป=ญหาให&ผ3&ใชิ& , ฯลัฯo การตรวจัสอบัเอกสาร แลัะ การส�มภาษณ�เจั&าหน&าที!)ไอที!
34
การตรวจัสอบัเอกสาร
• นโยบัายการใชิ&ไอที!• แผนปฏิ�บั�ต�งานไอที!ประจั$าป@ แลัะ การด$าเน�นงานตามแผน
• แผนการจั�ดการความเส!)ยงด&านไอที! (IT Risk Management Plan)
• แผนฉี�กเฉี�นเพั")อร�บัม"อป=ญหาความเส!)ยง (IT Contingency Plan)
• รายงานแสดงป=ญหาที!)เคยเก�ด , ความถ!) แลัะ ความเส!ยหายที!)เก�ด• ว�ธ!การเข้&าถ<งระบับัไอที! แลัะ แนวทีางในการก$าหนดส�ทีธ�ในการเข้&า
ถ<งระบับัไอที!แลัะข้&อม3ลัให&แก�ผ3&บัร�หารแลัะบั�คลัากรในหน�วยงาน• การแบั�งหน&าที!)ความร�บัผ�ดชิอบัในศ์3นย�ไอที!
• ว�ธ!การส$ารองระบับัแลัะข้&อม3ลั แลัะ ส")อที!)ใชิ&จั�ดเก2บัระบับัแลัะข้&อม3ลั
35
การตรวจัสอบัเอกสาร
• ค3�ม"อข้องระบับัต�าง ๆ ที!)ม!ในหน�วยงาน• เว2บัไซิต�ข้องหน�วยงาน
o การูบ(นที่�กข)อม�ลและข�าวสี่ารูที่��สี่/าค(ญต่ามที่��หน�วยงานก/าหนด ได)รู(บการูปรู(บปรู.งเป7นรูะยะ ๆ
o ม�การูรูายงานข)อม�ลรูาช้การูต่ามที่�� คณะกรูรูมการูข)อม�ลข�าวสี่ารูของรูาช้การูก/าหนด
o การูใช้)เว1บจ(ดเก1บข)อม�ล ม�การูจ(ดสี่�ง , ต่รูวจสี่อบ และ ย+นย(นอย�างถ้�กต่)องต่ามแนวที่างที่��ก/าหนด
o จ.ดเช้+�อมโยงต่�าง ๆ ที่/างานต่�อเช้+�อมได)จรู�ง
36
การตรวจัสอบัเอกสาร
การจั�ดซิ"#อแลัะจั�ดหาระบับัไอที! เป5นไปอย�างถ3กต&อง การต�ดต�#งระบับัไอที!เป5นไปอย�างถ3กต&อง แลัะ ม!การจั�ด
ส�งอ�ปกรณ� , ซิอฟต�แวร� แลัะ ส�)งต�าง ๆ ครบัถ&วน ม!การจั�ดที$าระบับัข้&อม3ลัระบับัไอที! , ซิอฟต�แวร� , แลัะ
ระบับัเคร"อข้�าย ไว&อย�างครบัถ&วนแลัะเป5นป=จัจั�บั�น (ม!แผนภาพัแสดงการวางระบับัคอมพั�วเตอร�แลัะ
อ�ปกรณ� , รวมที�#งสายส")อสาร) ม!การจั�ดที$ารายงานเก!)ยวก�บัการให&บัร�การไอที! , ป=ญหา ,
แลัะ การแก&ไข้ เสนอต�อผ3&บัร�หารเป5นระยะ ๆ (อย�างน&อยไตรมาสลัะคร�#ง)
37
สร�ป
การตรวจัสอบัระบับังานไอที!ข้องจั�งหว�ดเป5นงานส$าค�ญมาก
ระบับังานไอที!ม!ป=ญหาความเส!)ยงหลัายประการ ค"อ ความเส!)ยงในการพั�ฒนาระบับั , ความเส!)ยงในการใชิ&
ระบับั , ความเส!)ยงจัากภายนอกองค�การ , ความเส!)ยงจัากอ�บั�ต�ภ�ย , ความเส!)ยงจัากมน�ษย�
การใชิ&ไอที!ที!)ด!ต&องก$าหนดข้<#นเป5นกระบัวนการที!)ชิ�ดเจัน PMQA ระบั�เร")องไอที!ไว&ในหมวด 4
การตรวจัสอบัไอที! ค"อการตรวจัสอบัว�าหน�วยงานม!การควบัค�มในระบับัไอที!ครบัถ&วนหร"อไม�
38