1

ดร.ครรชิ�ต มาลั�ยวงศ์� ราชิบั�ณฑิ�ต

ประธานคณะอน�กรรมการ ค.ต.ป .กลั��มจั�งหว�ดภาคตะว�นออกเฉี!ยงเห

นอ

เน"#อหาค$าบัรรยาย

1

2

3

4

5

สร&างความเข้&าใจัเก!)ยวก�บัความเส!)ยงด&านไอที!สร&างความเข้&าใจัเก!)ยวก�บัความเส!)ยงด&านไอที!

การปฏิ�บั�ต�งานไอที!ที!)เหมาะสมการปฏิ�บั�ต�งานไอที!ที!)เหมาะสม

การพั�ฒนาค�ณภาพัการบัร�หารจั�ดการภาคร�ฐ หมวด 4 การพั�ฒนาค�ณภาพัการบัร�หารจั�ดการภาคร�ฐ หมวด 4

ว�ธ!การตรวจัสอบัไอที!ว�ธ!การตรวจัสอบัไอที!

ความหมายข้องการตรวจัสอบัไอที! (IT Audit)ความหมายข้องการตรวจัสอบัไอที! (IT Audit)

6 สร�ปสร�ป

2

ความหมายข้องระบับังานไอที!

ระบับังานไอที! ค"อ ระบับัที!)น$าบั�คคลั , อ�ปกรณ�แลัะส�)งต�าง ๆ ที!)เก!)ยวข้&องเข้&ามาร�วมก�นที$างานเพั")อใชิ&ในการจั�ดเก2บั

ข้&อม3ลั , ประมวลัผลั แลัะ ให&บัร�การสารสนเทีศ์ที!)จั$าเป5นแก�ผ3&ใชิ&อย�างม!ประส�ทีธ�ภาพั , ประส�ทีธ�ผลั , แลัะ ม!ความ

ม�)นคงปลัอดภ�ยส3ง สามารถป7องก�นการบั�กร�กจัากภายในแลัะภายนอกหน�วยงานได&.

ระบับังานไอที! ประกอบัด&วย ฮาร�ดแวร� (เซิ�รฟเวอร� ,คอมพั�วเตอร� , โทีรศ์�พัที�ม"อถ"อ ), ระบับัเคร"อข้�ายภายในแลัะระบับัอ�นเทีอร�เน2ต , ซิอฟต�แวร� , ฐานข้&อม3ลั , ค3�ม"อ

การใชิ&งาน , แลัะ บั�คลัากรที!)เก!)ยวข้&อง

3

การปฏิ�บั�ต�งานเก!)ยวก�บัระบับังานไอที!

บั�นที<กข้&อม3ลั

ใชิ&ระบับัผ�านเคร"อข้�าย

ส�งรายงาน

ควบัค

�ม , ส

� )งงาน

บั�กร�ก , ที$าลัาย

Backup/R

ecovery

สร&าง

4

การจั�ดการความเส!)ยง ที�กหน�วยงานอาจัประสบัป=ญหาที!)ไม�คาดค�ดได&ตลัอดเวลัา

ป=ญหาเหลั�าน!#ก2ค"อ ความเส!)ยง“ ” ผ3&บัร�หารจัะต&อง จั�ดการความเส!)ยง ข้องหน�วยงานด&วยการ“ ”

• ศึ�กษาความเสี่��ยงในรู�ปแบบต่�าง ๆ• พิ�จารูณาโอกาสี่ที่��จะเก�ดป#ญหาและผลกรูะที่บจากป#ญหา• วางแผนจ(ดการูความเสี่��ยงด)วยการู ขจ(ดความเสี่��ยง , หล�ก

เล��ยงความเสี่��ยง , ลดความเสี่��ยง , หรู+อ ยอมความเสี่��ยงให)เก�ดข�,น

• วางแผนฉุ.กเฉุ�นเพิ+�อรู(บม+อก(บป#ญหาที่��เก�ด• วางแผนการูบรูรูเที่าผลกรูะที่บจากป#ญหา

• วางแผนการูน/าหน�วยงานกล(บค+นสี่��สี่ภาพิปกต่�โดยเรู1วที่��สี่.ด.

5

ความเส!)ยงเก!)ยวก�บัระบับัไอที! การพั�ฒนาระบับัสารสนเทีศ์• ไม�ที่รูาบความต่)องการูของผ�)ใช้)

• รูะบบม�ฟั#งก5ช้(นงานไม�ครูบถ้)วนเที่�าที่��ควรูจะเป7น• ผ�)พิ(ฒนาไม�ม�ความรู� )พิอเพิ�ยง (ด)านเที่คโนโลย� , การู

พิ(ฒนา , การูเข�ยนโปรูแกรูม)• ออกแบบรูะบบผ�ดพิลาด

• รูะบบม�ความผ�ดพิลาดเพิรูาะต่รูวจสี่อบโปรูแกรูมไม�ครูบถ้)วน

• ผ�)พิ(ฒนาแอบฝั#งโปรูแกรูมอ(นต่รูายเอาไว) เพิ+�อล(กลอบสี่�งข)อม�ลออก , สี่(�งให)คอมพิ�วเต่อรู5ที่/างานผ�ด

พิลาด , สี่(�งให)ลบข)อม�ล , ฯลฯ

6

ความเส!)ยงเก!)ยวก�บัระบับัไอที!

การใชิ&ระบับั (ที�#งที!)เป5นเร")องการใชิ& แลัะ การพั�ฒนาไม�เหมาะสม)• ผ�)ใช้)ที่��ไม�ได)รู(บมอบหมายให)ใช้)งาน กล(บสี่ามารูถ้เข)าใช้)รูะบบได)

• การูบ(นที่�กข)อม�ลไม�ครูบ , ผ�ดพิลาดหรู+อบกพิรู�อง• การูใช้)งานผ�ดพิลาด => ต่)องการูอย�างหน��ง แต่�ที่/าอ�กอย�างหน��ง

• ค��ม+อการูใช้)ผ�ดพิลาด• โปรูแกรูมไม�สี่ามารูถ้ถ้อยหล(งกล(บไปสี่��จ.ดต่(,งต่)นก�อนที่/างาน• ไม�สี่ามารูถ้ต่รูวจสี่อบได)ว�าที่/างานอะไรูเสี่รู1จไปบ)างแล)ว

• การูจ(ดที่/ารูายงานผ�ดพิลาด• ผ�)ใช้)ไม�สี่ามารูถ้ค)นค+น หรู+อ เรู�ยกใช้)ข)อม�ลที่��ต่)องการู

7

ความเส!)ยงเก!)ยวก�บัระบับัไอที! ความเส!)ยงเก!)ยวก�บัอ�ปกรณ�

• คอมพิ�วเต่อรู5และอ.ปกรูณ5ไม�สี่ามารูถ้ที่/างานรู�วมก(นได)• คอมพิ�วเต่อรู5และอ.ปกรูณ5ม�สี่มรูรูถ้นะต่/�า ที่/าให)ที่/างานช้)ามาก• คอมพิ�วเต่อรู5และอ.ปกรูณ5เสี่�ยหายเพิรูาะไม�ได)รู(บการูบ/ารู.ง

รู(กษาอย�างถ้�กว�ธี�• คอมพิ�วเต่อรู5และอ.ปกรูณ5ถ้�กโจรูกรูรูม

• คอมพิ�วเต่อรู5และอ.ปกรูณ5ถ้�กที่/าลายโดยผ�)บ.กรู.ก• การูน/าคอมพิ�วเต่อรู5และอ.ปกรูณ5ไปจ/าหน�าย โดยไม�ได)ลบ

ข)อม�ลในฮารู5ดด�สี่ก5ออกก�อน• คอมพิ�วเต่อรู5และอ.ปกรูณ5เปล��ยนแปลงก)าวหน)าเรู1วมาก แต่�

เรูาไม�ได)ปรู(บปรู.งเครู+�องของเรูาที่/าให)ไม�สี่ามารูถ้ใช้)งานรู�วมก(บหน�วยงานอ+�นได)

8

ความเส!)ยงจัากภายนอก ระบับัไอที!อาจัประสบัป=ญหาได&หลัายเร")อง เชิ�น...

• การูถ้�กบ.กรู.กโดยบ.คคลภายนอกเข)ามาโจรูกรูรูมอ.ปกรูณ5ในยามว�กาล หรู+อในช้�วงที่��ไม�ม�ใครูด�แลห)องอ.ปกรูณ5

• การูถ้�กไวรู(สี่ก�อกวนโดยไวรู(สี่น(,นมาจากรูะบบอ�นเที่อรู5เน1ต่ ,อ�เมล , โปรูแกรูมที่��ดาวน5โหลดจากอ�นเที่อรู5เน1ต่ , เกม , flash

drive และอ+�น ๆ • การูต่(,งวางอ.ปกรูณ5 และ แผ�นซี�ด� ไว)บนโต่>ะที่/างานโดยเป?ด

เผย และไม�ได)ป?ดรูะบบก�อนล.กไปจากโต่>ะที่/างาน• แฮคเกอรู5บ.กรู.กเข)ามาที่างรูะบบอ�นเที่อรู5เน1ต่ หรู+อเครู+อข�าย

ภายในเพิ+�อที่/าลายรูะบบ , ซีอฟัต่5แวรู5 , เว1บ และ ข)อม�ล หรู+อ แอบซี.กซี�อนโปรูแกรูมเอาไว)เพิ+�อสี่�งข)อม�ลของสี่/าน(กงาน

ออกไปให)คนภายนอก

9

ความเส!)ยงจัากอ�บั�ต�ภ�ย

อ�บั�ต�ภ�ยที�#งที!)เก�ดโดยธรรมชิาต�หร"อโดยมน�ษย�อาจัจัะเก�ดได&...

• เพิล�งไหม)สี่/าน(กงาน ที่/าให)รูะบบและอ.ปกรูณ5ต่�าง ๆ เสี่�ยหาย

• น/,าที่�วมสี่/าน(กงาน ที่/าให)รูะบบและอ.ปกรูณ5ต่�าง ๆ เสี่�ยหาย• หล(งคารู(�วที่/าให)น/,าฝันต่กลงมาบนต่(วเครู+�องและอ.ปกรูณ5

• วาต่ภ(ยอาจที่/าให)สี่/าน(กงานและรูะบบเสี่�ยหาย• อ.บ(ต่�เหต่.รูะหว�างขนย)ายอ.ปกรูณ5อาจเก�ดได) เช้�น รูถ้ยนต่5

ถ้�กช้น , รูถ้ต่กถ้นน , ที่/าเครู+�องหล.ดต่กจากม+อรูะหว�างการูขนย)าย , เครู+�องถ้�กโจรูกรูรูมรูะหว�างการูขนย)าย ,

10

ความเส!)ยงจัากบั�คลัากรภายใน พัน�กงาน , ข้&าราชิการ , หร"อผ3&เก!)ยวข้&องก2ม!ความเส!)ยง...• พิน(กงานและบ.ต่รูหลานอาจจะน/าเกมจากบ)านมาเล�นใน

คอมพิ�วเต่อรู5• พิน(กงานอาจจะก>อปป@, ข)อม�ลไปให)บ.คคลภายนอก

• พิน(กงานหรู+อข)ารูาช้การูที่��ไม�พิอใจสี่/าน(กงานหรู+อผ�)บ(งค(บบ(ญช้าอาจจะแอบที่/าลายข)อม�ลหรู+ออ.ปกรูณ5ภายใน

• การูใช้)โปรูแกรูมที่��ไม�ได)รู(บการูฝัAกอบรูมการูใช้)มาอย�างด�อาจที่/าให)เก�ดป#ญหาก(บข)อม�ลได)

• ผ�)บรู�หารูไม�ยอมใช้)คอมพิ�วเต่อรู5เอง แต่�มอบอ/านาจให)พิน(กงานใช้)แที่น อาจที่/าให)เก�ดป#ญหาได)มากมาย

• พิน(กงานอาจจะแอบแก)ไขโปรูแกรูมและข)อม�ลรูะหว�างการูที่/างาน

11

การปฏิ�บั�ต�งานไอที!ที!)ด!ม!ลั�กษณะอย�างไร

ผ3&บัร�หารสนใจัใชิ&ระบับัไอที!เป5นเคร")องม"อในการบัร�หาร ประกาศ์นโยบัายการใชิ&คอมพั�วเตอร�แลัะระบับัอย�างเป5น

ทีางการ ม!แผนการด$าเน�นงานประจั$าป@

ม!การจั�ดสรรทีร�พัยากรให&พัอเพั!ยงแก�ความจั$าเป5น แลัะ แผนงาน

บั�คลัากรที!)ได&ร�บัมอบัหมายให&ปฏิ�บั�ต�งานก�บัระบับัไอที!ได&ร�บัการฝึBกอบัรมในด&านการใชิ&อย�างถ3กว�ธ!

ม!ระเบั!ยบัการใชิ&งานไอที!อย�างเหมาะสม เชิ�น การก$าหนดผ3&ม!ส�ทีธ�ใชิ& , การใชิ&ระบับัไอที! , การจั�ดเก2บั

เอกสารค3�ม"อ , การส$ารองข้&อม3ลั ฯลัฯ12

การปฏิ�บั�ต�งานไอที!ที!)ด!ม!ลั�กษณะอย�างไร จั�ดซิ"#อจั�ดหาระบับัไอที!อย�างร�ดก�มแลัะรอบัคอบั จั�ดที$าส�ญญาการจั�ดซิ"#อแลัะจั�ดจั&างเก!)ยวก�บัระบับัไอที!อย�าง

รอบัคอบั จั�ดที$าระเบั!ยบัแลัะข้�#นตอนการตรวจัร�บัระบับัอย�างร�ดก�ม

(อาจัต&องข้อความร�วมม"อจัากผ3&ร3&ในสถานศ์<กษาระด�บัส3ง) จั�ดเก2บัส�ญญาก�บัผ3&ข้ายหร"อผ3&ให&เชิ�าเอาไว&อย�างเป5นระบับั

แลัะ พัยายามบัร�หารให&งานเป5นไปตามส�ญญา จั�ดที$าระบับับั�ญชิ!ฮาร�ดแวร� , ซิอฟต�แวร� , แลัะ ระบับัเคร"อ

ข้�าย รวมที�#งจั�ดที$าผ�งเคร"อข้�ายแลัะการจั�ดวางระบับัคอมพั�วเตอร� (ระบับัน!#ไม�ใชิ�ระบับัพั�สด�ตามปกต� แต�เป5นระบับัที!)ระบั� Spec ด&านเทีคน�คด&วย)

13

การปฏิ�บั�ต�งานไอที!ที!)ด!ม!ลั�กษณะอย�างไร

จั�ดวางเซิ�รฟเวอร�แลัะอ�ปกรณ� ตลัอดจันเด�นสายเคเบั�ลัต�าง ๆ อย�างเป5นระบับัแลัะเร!ยบัร&อย

ด3แลัให&ห&องเซิ�รฟเวอร�แลัะอ�ปกรณ�ม!ความสะอาด ปราศ์จัากส�)งข้องที!)ไม�จั$าเป5นเชิ�นกระดาษ หร"อ ส�)งข้องอ")น

ๆ ด3แลัให&ห&องเซิ�รฟเวอร�ม!ระบับัปร�บัอากาศ์ที!)เหมาะสม แลัะ

เป5นห&องปDดเพั")อไม�ให&ฝึ�Eนเข้&าไป ด3แลัการจั�ดเก2บัแผ�นซิ!ด!ที!)เป5นต&นฉีบั�บัข้องโปรแกรมต�าง

ๆ ที!)จั�ดหาเอง,ได&ร�บัจัากกระทีรวง หร"อ ได&ร�บับัร�จัาคมาเอาไว&อย�างเป5นระบับั แลัะต&องม!สองชิ�ดแยกจัากก�น . นอกจัาก

น�#นย�งไม�อน�ญาตให&น$าแผ�นซิ!ด!ต&นฉีบั�บัออกไปใชิ&นอกส$าน�กงาน

14

การปฏิ�บั�ต�งานไอที!ที!)ด!ม!ลั�กษณะอย�างไร จั�ดหาอ�ปกรณ�ไฟฟ7าส$ารอง (UPS) ส$าหร�บัเคร")องเซิ�รฟเวอร�

แลัะคอมพั�วเตอร�ที!)ใชิ&ในงานส$าค�ญเอาไว& โดยเลั"อกใชิ&อ�ปกรณ�ที!)สามารถส$ารองไฟฟ7าได&นานพัอส$าหร�บัร�บัม"อก�บั

ป=ญหาไฟฟ7าด�บัในพั"#นที!) ก�อนปฏิ�บั�ต�งาน เจั&าหน&าที!)จัะต&องตรวจัสอบัความเร!ยบัร&อย

ข้องอ�ปกรณ�ในห&องเซิ�รฟเวอร� แลัะ ความพัร&อมข้องอ�ปกรณ� หากการเร�)มใชิ&ม!ป=ญหา ให&ร!บัตรวจัสอบัป=ญหาแลัะแก&ไข้ตาม

ค3�ม"อปฏิ�บั�ต� (ข้&อน!#ย�งน�าสงส�ยว�าหลัายส$าน�กงานอาจัไม�ม!ค3�ม"อ)

15

การปฏิ�บั�ต�งานไอที!ที!)ด!ม!ลั�กษณะอย�างไร

รวบัรวมค3�ม"อการใชิ&อ�ปกรณ� แลัะ ค3�ม"อเก!)ยวก�บัซิอฟต�แวร� เอาไว&ให&ครบัถ&วน (ค3�ม"อซิอฟต�แวร� ได&แก� ค3�ม"อ

ต�ดต�#งซิอฟต�แวร� , ค3�ม"อการใชิ&ซิอฟต�แวร�แลัะแก&ป=ญหาซิอฟต�แวร� , ค3�ม"อการส$ารองระบับั)

จั�ดที$าหมายเลัข้โทีรศ์�พัที�ข้องผ3&เก!)ยวข้&องที�กระด�บั (ผ3&ร�บัผ�ดชิอบังานไอที!ที!)กระทีรวง แลัะ ส$าน�กงานต�าง ๆ , ผ3&

บัร�หาร , ผ3&ข้าย , ผ3&เชิ!)ยวชิาญแลัะที!)ปร<กษา , พัน�กงานแลัะเจั&าหน&าที!)ที�กคน)

จั�ดที$าหมายเลัข้โทีรศ์�พัที�ข้องหน�วยงานแลัะบั�คคลัที!)สามารถให&ค$าปร<กษาได&ในด&านไอที! (เนคเทีค , บัร�ษ�ที ทีศ์ที ,บัร�ษ�ที กสที ., กระทีรวงไอซิ!ที! , SIPA, สทีอภ ., บัร�ษ�ทีผ3&

ค&าที!)เราใชิ& HW&SW) 16

การปฏิ�บั�ต�งานไอที!ที!)ด!ม!ลั�กษณะอย�างไร

จั�ดที$าแผนฉี�กเฉี�น เพั")อร�บัม"อเม")อเก�ดป=ญหาด&านไอซิ!ที! ส$ารองข้&อม3ลัข้องหน�วยงานเอาไว&ที�กส�ปดาห�เป5นอย�างน&อย

แลัะให&น$าข้&อม3ลัส$ารองไปจั�ดเก2บัไว&ในส$าน�กงานอ")นนอกบัร�เวณอาคาร

ฝึBกการน$าข้&อม3ลัส$ารองกลั�บัเข้&ามาใชิ&งานแทีนข้&อม3ลัที!)สมม�ต�ว�าถ3กที$าลัายไปแลั&ว (ควรที$าอย�างน&อยป@ลัะ 2 คร�#ง)

บั�นที<กการที$างานรายว�น เชิ�น เวลัาการเปDด-ปDดเซิ�รฟเวอร� (ในกรณ!ที!)เปDด-ปDดที�กว�น ), การน$าซิอฟต�แวร�ใหม�เข้&าต�ด

ต�#ง , การส$ารองข้&อม3ลั , การเก�ดป=ญหาต�าง ๆ เชิ�น ไฟฟ7าด�บัเม")อใด , ด�บันานเที�าใด , แลัะ น$าเคร")องกลั�บัมาที$างานเม")อใด หร"อ เคร")องใดต�ดไวร�ส , พับัเม")อใด , แลัะก$าจั�ดด&วยโปรแกรม

อะไร ฯลัฯ

17

การปฏิ�บั�ต�งานไอที!ที!)ด!ม!ลั�กษณะอย�างไร ม!การตรวจัสอบัเว2บัข้องส$าน�กงานที�กว�น (ตรวจัว�าเว2บัม!

ป=ญหาหร"อไม� , ถ3กแฮคเกอร�ปEวนหร"อไม� , การเชิ")อมโยงต�าง ๆ ย�งด!อย3�หร"อไม� , ม!การบั�นที<กข้&อม3ลัอย�างถ3กต&อง

ครบัถ&วนหร"อไม�) ม!ระบับัร�บัแจั&งแลัะบั�นที<กป=ญหาจัากผ3&ใชิ&ภายใน พัร&อมก�บั

บัร�การแก&ไข้ป=ญหาให&ผ3&ใชิ&ภายในข้อบัเข้ตที!)ที$าได& ในกรณ!ที!)เป5นป=ญหาย��งยากให&เร!ยกใชิ&บัร�การผ3&ข้าย หากม!ส�ญญา–

บั$าร�งร�กษา การบั�นที<กให&ระบั�ชิ")อผ3&ใชิ& , ป=ญหา , การแก&ป=ญหา , แลัะระยะเวลัาที!)ใชิ&แก&ป=ญหา

หากเป5นป=ญหาเก!)ยวก�บัซิอฟต�แวร� ต&องบั�นที<กให&ลัะเอ!ยดแลัะส�งให&ผ3&เก!)ยวข้&องแก&ไข้

18

การปฏิ�บั�ต�งานไอที!ที!)ด!ม!ลั�กษณะอย�างไร จั�ดฝึBกอบัรมให&ผ3&ปฏิ�บั�ต�งานใหม� (ที�#งผ3&ปฏิ�บั�ต�งานที�)วไปแลัะ

งานไอที!)ร�บัทีราบัว�ธ!การปฏิ�บั�ต�งาน แลัะ การใชิ&ซิอฟต�แวร�ที!)ผ3&น�#นร�บัผ�ดชิอบั โดยพัน�กงานไอที!จัะต&องเร!ยนร3&ไอที!ให&

เข้&มข้&น จั�ดหาระบับัชิ�วยสอน หร"อ Link เชิ")อมโยงไปย�งแหลั�งที!)ม!

ระบับัชิ�วยสอนให&ผ3&ปฏิ�บั�ต�งานเข้&าไปศ์<กษา โดยทีางฝึEายไอที!จัะต&องจั�ดเก2บับั�นที<กว�าม!ผ3&ใดได&ผ�านการฝึBกอบัรมไป

แลั&ว ร�วมม"อก�บัผ3&ตรวจัสอบัภายใน ในการจั�ดที$าเคร")องม"อส$าหร�บับั�นที<กข้&อม3ลัการตรวจัสอบัภายใน (ถ&าถ3กร&องข้อ)

19

การปฏิ�บั�ต�งานไอที!ที!)ด!ม!ลั�กษณะอย�างไร ให&ความร�วมม"อก�บัผ3&ตรวจัสอบัภายในในการตรวจัสอบั

ไอที! รวบัรวมแหลั�งความร3&ใหม�เก!)ยวก�บัการบัร�หารงานไอที! ,

เทีคน�คเก!)ยวก�บัการที$างานไอที! , การพั�ฒนาระบับั ,การตรวจัสอบัระบับั , การจั�ดที$าฐานข้&อม3ลั , การ

ส$ารองระบับั , โปรแกรมแบับั Open Source ต�าง ๆ

จั�ดที$ารายงานเก!)ยวก�บัการบัร�หารแลัะปฏิ�บั�ต�งานไอที!เสนอผ3&บัร�หารระด�บัส3งให&ทีราบั เพั")อข้อค$าแนะน$าหร"อ

นโยบัายเม")อเก�ดป=ญหา

20

เกณฑิ�ค�ณภาพัการบัร�หารจั�ดการภาคร�ฐ

PMQA

การน$าองค�กรผลัลั�พัธ�การด$าเน�นการ

การวางแผนเชิ�งย�ทีธศ์าสตร�

การให&ความส$าค�ญก�บัผ3&ร�บับัร�การแลัะผ3&ม!ส�วนได&ส�วนเส!ย

การจั�ดการกระบัวนการ

การม��งเน&นทีร�พัยากรบั�คคลั

71

2

35

6

4

การว�ด การว�เคราะห� แลัะการจั�ดการความร3&21

การตรวจัสอบัตามมาตรฐาน PMQA

หมวด 4 IT1 : จั�งหว�ดต&องม!ระบับัฐานข้&อม3ลัผลัการด$าเน�นงานตามแผนย�ทีธศ์าสตร�แลัะแผนปฏิ�บั�ต�ราชิการ รวมที�#งผลัการด$าเน�นงานข้องต�วชิ!#ว�ดตามค$าร�บัรองการปฏิ�บั�ต�

ราชิการที!)ครอบัคลั�มถ3กต&อง แลัะ ที�นสม�ย

การพั�จัารณา : แสดงระบับัฐานข้&อม3ลัผลัการด$าเน�นงานตามแผน

ย�ทีธศ์าสตร�แลัะแผนปฏิ�บั�ต�ราชิการ รวมที�#งผลัการด$าเน�นงานข้องต�วชิ!#ว�ดตามค$าร�บัรองการ

ปฏิ�บั�ต�ราชิการประจั$าป@ แลัะข้&อม3ลัย&อนหลั�งอย�างน&อย 3 ป@ 22

การตรวจัสอบัตามมาตรฐาน PMQA

หมวด 4 IT2 : จั�งหว�ดต&องม!ระบับัฐานข้&อม3ลัเพั")อการพั�ฒนาจั�งหว�ด

ที!)ครอบัคลั�ม ถ3กต&อง แลัะ ที�นสม�ย

การพั�จัารณา : แสี่ดงรูะบบฐานข)อม�ลศึ�นยข)อม�ลกลางกรูะที่รูวงมหาดไที่ยและจ(งหว(ด ปรูะจ/าป@ และข)อม�ลย)อนหล(ง

อย�างน)อย 3 ป@

23

การตรวจัสอบัตามมาตรฐาน PMQA

หมวด 4 IT3 : จั�งหว�ดต&องม!ระบับัแลัะสามารถค$านวณสถ�ต�ผลั�ตภ�ณฑิ�มวลั

รวมจั�งหว�ด (GPP) ที!)ครอบัคลั�ม ถ3กต&อง แลัะ ที�นสม�ย

การพั�จัารณา : แสดงระบับัฐานข้&อม3ลัสถ�ต�ผลั�ตภ�ณฑิ�มวลัรวมจั�งหว�ด (GPP) ประจั$าป@ โดยด$าเน�นการตามกระบัวนการที!)ก$าหนดไว& 5 ข้�#นตอนได&ครบัถ&วน

24

การตรวจัสอบัตามมาตรฐาน PMQA

หมวด 4 IT4 : จั�งหว�ดต&องม!ระบับัเทีคโนโลัย!สารสนเทีศ์ เพั")อให&

ประชิาชินสามารถเข้&าถ<งข้&อม3ลัข้�าวสารได&อย�างเหมาะสม

การพั�จัารณา : • แสดงรายการแลัะรายลัะเอ!ยดข้องข้&อม3ลัข้�าวสารที!)

ประชิาชินสามารถส"บัค&นหร"อข้อข้&อม3ลัได&ผ�านทีางระบับัเทีคโนโลัย!สารสนเทีศ์

• แนวค�ดก2ค"อ จั�งหว�ดต&องจั�ดให&ม!สถานที!)หร"อศ์3นย�ข้&อม3ลัข้�าวสารแลัะข้&อม3ลัข้�าวสารให&ประชิาชินเข้&า

ตรวจัด3ได&โดยสะดวก , ต&องจั�ดที$าด�ชิน!หร"อรายการข้&อม3ลัข้�าวสารที!)ประชิาชินสามารถส"บัค&นได&เองด&วย.

25

การตรวจัสอบัตามมาตรฐาน PMQA หมวด 4 IT5 :

จั�งหว�ดต&องม!ระบับัการต�ดตาม เฝึ7าระว�งแลัะเต"อนภ�ย (Warning system) เชิ�น การก$าหนดระบับัการเต"อนภ�ยแบับัส�ญญาณไฟจัราจัร การจั�ดห&องปฏิ�บั�ต�การ (Operation Room, Management Cockpit, War Room)

ที!)บั�งชิ!#ถ<งการเปลั!)ยนแปลังที!)เก�ดข้<#น

การพั�จัารณา : • แสดงระบับัการต�ดตาม

o แสดงระบับัการต�ดตาม เฝึ7าระว�งแลัะเต"อนภ�ย ประกอบัด&วย การต�ดตามการด$าเน�นงานตามย�ทีธศ์าสตร�/แผนงาน/

โครงการ/ต�วชิ!#ว�ด การเต"อนภ�ยธรรมชิาต�

o แสดงการรายงานหร"อน$าเสนอข้&อม3ลัให&ผ3&บัร�หารผ�านระบับั EIS/GIS

o แสดงรายลัะเอ!ยดการปร�บัปร�งระบับัการต�ดตาม เฝึ7าระว�ง แลัะเต"อนภ�ยให&ม!ประส�ทีธ�ภาพัมากข้<#นกว�าเด�มที!)เคยม!อย3�

26

การตรวจัสอบัตามมาตรฐาน PMQA

หมวด 4 IT6 : จั�งหว�ดต&องม!ระบับับัร�หารความเส!)ยงข้องระบับัฐานข้&อม3ลัแลัะสารสนเทีศ์

การพั�จัารณา : • แสดงระบับัร�กษาความม�)นคงแลัะปลัอดภ�ยข้องระบับัฐาน

ข้&อม3ลัแลัะสารสนเทีศ์o แสดงระบับัร�กษาความม�)นคงแลัะปลัอดภ�ยข้องศ์3นย�

ข้&อม3ลัแลัะสารสนเทีศ์o แสดงรายลัะเอ!ยดแผนแก&ไข้ป=ญหาจัากสถานการณ�ความไม�แน�นอนแลัะภ�ยพั�บั�ต�ที!)อาจัจัะเก�ดก�บัระบับัฐานข้&อม3ลัแลัะสารสนเทีศ์ (IT Contingency Plan)o แสดงผลัการปฏิ�บั�ต�ตามแผนแก&ไข้ป=ญหาจัาก

สถานการณ�ความไม�แน�นอนแลัะภ�ยพั�บั�ต�ที!)อาจัจัะเก�ดก�บัระบับัฐานข้&อม3ลัแลัะสารสนเทีศ์

27

การตรวจัสอบัตามมาตรฐาน PMQA

หมวด 4 IT7 : จั�งหว�ดต&องจั�ดที$าแผนการจั�ดการความร3&แลัะน$าแผนไปปฏิ�บั�ต�

การพั�จัารณา : • แสดงแผนการจั�ดการความร3& (KM Action Plan)

อย�างน&อย 3 องค�ความร3& ตามแนวทีางที!)ก$าหนดo รายงานผลัการด$าเน�นงานตามแผน โดยด$าเน�น

ก�จักรรมตามแผนการจั�ดการความร3&ได&ส$าเร2จัครบัถ&วนที�กก�จักรรม แลัะสามารถด$าเน�นการที!)

ครอบัคลั�มกลั��มเป7าหมายได&ไม�น&อยกว�าร&อยลัะ 90 ในที�กก�จักรรมแลักเปลั!)ยนเร!ยนร3&ที!)ระบั�ไว&

28

ความหมายข้อง IT Audit กระบัวนการรวบัรวมแลัะพั�จัารณาหลั�กฐานต�าง ๆ เพั")อ

ประเม�นว�าระบับัคอมพั�วเตอร�ได&ร�บัการออกแบับัให&ม!ความม�)นคงด&านข้&อม3ลั , ม!การปกป7องทีร�พัย�ส�น , ชิ�วย

ให&ผ3&ใชิ&สามารถใชิ&ระบับัได&อย�างม!ประส�ทีธ�ภาพั แลัะ ตอบัสนองว�ตถ�ประสงค�แลัะบัรรลั�เป7าหมายข้อง

องค�การได&อย�างม!ประส�ทีธ�ผลัo ค/าสี่/าค(ญในที่��น�,ค+อ การูออกแบบรูะบบ ,

ความม(�นคงด)านข)อม�ล , การูปกปCองที่รู(พิย5สี่�น ,

การูใช้)อย�างม�ปรูะสี่�ที่ธี�ภาพิ , การูบรูรูล.เปCาหมายอย�างได)ผล

29

ระบับัคอมพั�วเตอร�ต&องม!การควบัค�ม ระบับัคอมพั�วเตอร�จัะที$างานได&อย�างม!ประส�ทีธ�ภาพัแลัะได&ผลั

ตามที!)ต&องการต�อเม")อออกแบับัระบับัควบัค�มการที$างานไว&ด&วย ระบับัควบัค�มที!)ม!เป5นส�)งที!)สะที&อนให&เห2นถ<ง นโยบัาย ,

กระบัวนการที$างาน , ว�ธ!ปฏิ�บั�ต�งาน , แลัะ โครงสร&างข้ององค�การที!)สร&างความเชิ")อม�)นได&อย�างม!เหต�ผลัว�าการปฏิ�บั�ต�

งานจัะบัรรลั�เป7าหมาย การควบัค�มในระบับัคอมพั�วเตอร�ที$าให&ม�)นใจัในประส�ทีธ�ผลัแลัะ

ประส�ทีธ�ภาพัข้องการปฏิ�บั�ต�งาน , ความน�าเชิ")อถ"อข้องการจั�ดที$ารายงานต�าง ๆ แลัะ การด$าเน�นงานที!)สอดคลั&องก�บักฎ

เกณฑิ�ที!)ก$าหนด

30

การควบัค�มที�)วไป

การควบัค�มที�)วไป (General Controls) ประกอบัด&วยการควบัค�ม การปฏิ�บั�ต�งานข้องศ์3นย�ข้&อม3ลั , การ

จั�ดหาแลัะบั$าร�งร�กษาซิอฟต�แวร�ระบับั (system software = ระบับัปฏิ�บั�ต�การ , utilities ต�าง ๆ ),

การควบัค�มการเข้&าถ<งระบับัแลัะซิอฟต�แวร� , แลัะการพั�ฒนาซิอฟต�แวร�แลัะการบั$าร�งร�กษา

ส�)งที!)ต&องม!เป5นอย�างน&อยค"อ นโยบัายไอที! , มาตรฐาน ,แผนงาน , แนวทีางในการด3แลัความม�)นคงข้องไอที! ,

การปกป7องข้&อม3ลัแลัะสารสนเทีศ์ , การพั�ฒนาซิอฟต�แวร� , การจั�ดการการเปลั!)ยนแปลัง , การแบั�งแยกหน&าที!) , การวางแผนฉี�กเฉี�น แลัะ การจั�ดการโครงการ

ไอที! 31

การควบัค�มการประย�กต�• การควบัค�มการประย�กต� (Application control)

หมายถ<งการควบัค�มที!)อย3�ในการประย�กต�แต�ลัะเร")อง • การควบัค�มประกอบัด&วยo การก$าหนดส�ทีธ�Hในการใชิ&ระบับัอย�างเหมาะสม; o ความครบัถ&วนสมบั3รณ� ,o ความแม�นย$าถ3กต&อง ,o ความสมเหต�สมผลัข้องระเบั!ยนข้&อม3ลั; o การบั$าร�งร�กษาข้&อม3ลั ,o การส$ารองข้&อม3ลั ,o การก3&ระบับัแลัะข้&อม3ลั ,o การจั�ดที$ารายงานป=ญหาที!)เก�ดข้<#น ,o การบั�นที<กผลัการด$าเน�นงานแลัะการใชิ&ระบับัเพั")อตรวจัสอบัว�าม!

การด$าเน�นงานอย�างถ3กต&อง

32

ความส$าค�ญข้องการควบัค�มแลัะตรวจัสอบัไอที!

ป=จัจั�บั�นที�กการบัร�หารแลัะการปฏิ�บั�ต�งานข้องที�กหน�วยงานต&องอาศ์�ยระบับัไอที!เป5นเคร")องม"อส$าค�ญ ระบับัไอที!ที!)ไม�ได&ร�บัการควบัค�มที!)ด!อาจัที$าให&การปฏิ�บั�ต�งานข้องหน�วยงานเส!ยหายได&

ถ&าไม�ม!การควบัค�ม หน�วยงานอาจัลัะเลัยไม�ได&ตรวจัสอบัว�ธ!การควบัค�มไอที!ระบับัไอที!ที!)ส$าค�ญ แลัะที$าให&เก�ดความเส!)ยงส3งต�อ

หน�วยงาน การตรวจัสอบัไอที!เป5นต�วว�ดว�าองค�การได&จั�ดการความเส!)ยง

ข้องระบับัไอที!มากน&อยเพั!ยงใด ถ&าม!ความเส!)ยงส3งก2จัะม!ผลักระทีบัต�อการจั�ดการความเส!)ยงโดยรวมข้ององค�การ

33

ว�ธ!การตรวจัสอบัการควบัค�มที�)วไป

• พั�จัารณาความสนใจัข้องผ3&บัร�หารo ผ3&บัร�หารให&ความสนใจัต�องานไอที! => ใชิ&ไอที!ด&วยต�วเอง ,

หร"อ ใชิ&รายงานที!)ได&ร�บัจัากไอที! , ผลั�กด�นให&ม!การปร�บัปร�งระบับัไอที! , สน�บัสน�นให&ต�#งงบัประมาณไอที! ,

ต�ดตามสอบัถามป=ญหางานไอที!แลัะพัยายามชิ�วยเหลั"อo ม!การต�#งคณะกรรมการบัร�หารไอที! หร"อ ม! CIO ร�บัผ�ด

ชิอบั o ตรวจัสอบัสภาพัการใชิ&ในหน�วยงาน => ม!การควบัค�มที!)

ด! , ความเป5นระเบั!ยบัเร!ยบัร&อยในห&องเซิ�รฟเวอร� แลัะ การจั�ดวางอ�ปกรณ� , ป=ญหาการใชิ&งานไอที!โดยที�)วไป , การ

สน�บัสน�นแลัะการแก&ป=ญหาให&ผ3&ใชิ& , ฯลัฯo การตรวจัสอบัเอกสาร แลัะ การส�มภาษณ�เจั&าหน&าที!)ไอที!

34

การตรวจัสอบัเอกสาร

• นโยบัายการใชิ&ไอที!• แผนปฏิ�บั�ต�งานไอที!ประจั$าป@ แลัะ การด$าเน�นงานตามแผน

• แผนการจั�ดการความเส!)ยงด&านไอที! (IT Risk Management Plan)

• แผนฉี�กเฉี�นเพั")อร�บัม"อป=ญหาความเส!)ยง (IT Contingency Plan)

• รายงานแสดงป=ญหาที!)เคยเก�ด , ความถ!) แลัะ ความเส!ยหายที!)เก�ด• ว�ธ!การเข้&าถ<งระบับัไอที! แลัะ แนวทีางในการก$าหนดส�ทีธ�ในการเข้&า

ถ<งระบับัไอที!แลัะข้&อม3ลัให&แก�ผ3&บัร�หารแลัะบั�คลัากรในหน�วยงาน• การแบั�งหน&าที!)ความร�บัผ�ดชิอบัในศ์3นย�ไอที!

• ว�ธ!การส$ารองระบับัแลัะข้&อม3ลั แลัะ ส")อที!)ใชิ&จั�ดเก2บัระบับัแลัะข้&อม3ลั

35

การตรวจัสอบัเอกสาร

• ค3�ม"อข้องระบับัต�าง ๆ ที!)ม!ในหน�วยงาน• เว2บัไซิต�ข้องหน�วยงาน

o การูบ(นที่�กข)อม�ลและข�าวสี่ารูที่��สี่/าค(ญต่ามที่��หน�วยงานก/าหนด ได)รู(บการูปรู(บปรู.งเป7นรูะยะ ๆ

o ม�การูรูายงานข)อม�ลรูาช้การูต่ามที่�� คณะกรูรูมการูข)อม�ลข�าวสี่ารูของรูาช้การูก/าหนด

o การูใช้)เว1บจ(ดเก1บข)อม�ล ม�การูจ(ดสี่�ง , ต่รูวจสี่อบ และ ย+นย(นอย�างถ้�กต่)องต่ามแนวที่างที่��ก/าหนด

o จ.ดเช้+�อมโยงต่�าง ๆ ที่/างานต่�อเช้+�อมได)จรู�ง

36

การตรวจัสอบัเอกสาร

การจั�ดซิ"#อแลัะจั�ดหาระบับัไอที! เป5นไปอย�างถ3กต&อง การต�ดต�#งระบับัไอที!เป5นไปอย�างถ3กต&อง แลัะ ม!การจั�ด

ส�งอ�ปกรณ� , ซิอฟต�แวร� แลัะ ส�)งต�าง ๆ ครบัถ&วน ม!การจั�ดที$าระบับัข้&อม3ลัระบับัไอที! , ซิอฟต�แวร� , แลัะ

ระบับัเคร"อข้�าย ไว&อย�างครบัถ&วนแลัะเป5นป=จัจั�บั�น (ม!แผนภาพัแสดงการวางระบับัคอมพั�วเตอร�แลัะ

อ�ปกรณ� , รวมที�#งสายส")อสาร) ม!การจั�ดที$ารายงานเก!)ยวก�บัการให&บัร�การไอที! , ป=ญหา ,

แลัะ การแก&ไข้ เสนอต�อผ3&บัร�หารเป5นระยะ ๆ (อย�างน&อยไตรมาสลัะคร�#ง)

37

สร�ป

การตรวจัสอบัระบับังานไอที!ข้องจั�งหว�ดเป5นงานส$าค�ญมาก

ระบับังานไอที!ม!ป=ญหาความเส!)ยงหลัายประการ ค"อ ความเส!)ยงในการพั�ฒนาระบับั , ความเส!)ยงในการใชิ&

ระบับั , ความเส!)ยงจัากภายนอกองค�การ , ความเส!)ยงจัากอ�บั�ต�ภ�ย , ความเส!)ยงจัากมน�ษย�

การใชิ&ไอที!ที!)ด!ต&องก$าหนดข้<#นเป5นกระบัวนการที!)ชิ�ดเจัน PMQA ระบั�เร")องไอที!ไว&ในหมวด 4

การตรวจัสอบัไอที! ค"อการตรวจัสอบัว�าหน�วยงานม!การควบัค�มในระบับัไอที!ครบัถ&วนหร"อไม�

38