ห้องสมุดกรมพัฒนาที่ดิน






                           (กรมบัญชีกลาง, 2560) การควบคุมภายในด้านเทคโนโลยีสารสนเทศ ประกอบด้วย การควบคุมทั่วไป

               (General Control) และการควบคุมเฉพาะระบบงาน (Application Control)
                           1.3.1 การควบคุมทั่วไป (General Control) หมายถึง การควบคุมในส่วนที่เกี่ยวข้องกับสภาพแวดล้อม

               ของการควบคุม นโยบายและวิธีการในการควบคุมระบบสารสนเทศ การควบคุมความปลอดภัย การควบคุมการพัฒนา

               และปรับปรุง และการป้องกัน/ลดความเสียหาย ของระบบ เป็นการควบคุมภายในสำหรับองค์กรในภาพรวม
               โดยมีองค์ประกอบการพิจารณา ดังนี้

                                (1) การกำหนดนโยบายในการใช้สารสนเทศ
                                   (1.1) มีนโยบายการรักษาความปลอดภัย ด้านระบบเทคโนโลยีสารสนเทศ ที่ชัดเจนว่า

               ใครต้องการเข้าถึง ข้อมูลอะไร เมื่อไหร่ ในระบบงานใด

                                   (1.2) การให้สิทธิในการเข้าถึงข้อมูลเฉพาะบุคคลที่มีสิทธิในการเข้าถึงข้อมูลนั้น
                                (2) การแบ่งแยกหน้าที่งานในระบบสารสนเทศ

                                   มีการแบ่งแยกหน้าที่ความรับผิดชอบของผู้ปฏิบัติงานในระบบงานคอมพิวเตอร์
               ให้ชัดเจน เช่น แยกหน้าที่ การพัฒนาระบบออกจากหน้าที่ผู้ปฏิบัติการคอมพิวเตอร์ ผู้บริหารฐานข้อมูล

               (Database Administrator) ต้องไม่ทำหน้าที่อื่น ผู้พัฒนาระบบออกจากผู้ดูแลบำรุงรักษาระบบ

                                (3) การควบคุมโครงการพัฒนาระบบสารสนเทศ
                                   โดยกำหนดแผนระยะยาว แผนงานพัฒนาระบบ กำหนดการประมวลผลข้อมูล

               มอบหมายหน้าที่ และความรับผิดชอบ การประเมินผลงานระหว่างการดำเนินโครงการ การสอบทานภายหลัง

               การติดตั้งระบบ และนำระบบมาใช้งาน การวัดผลการดำเนินงานของระบบ
                                (4) การควบคุมการเปลี่ยนแปลงแก้ไขระบบ

                                   โดยการกำหนดระเบียบวิธีปฏิบัติในการแก้ไขระบบที่เป็นลายลักษณ์อักษรมีการศึกษา
               ถึงผลกระทบต่าง ๆ มีการทดสอบระบบที่แก้ไขแล้วก่อนนำไปใช้ จัดทำเอกสารคู่มือประกอบการแก้ไข

               และประเมินผลและสอบทานระบบงานภายหลังเริ่มใช้

                                (5) การควบคุมการปฏิบัติงานในศูนย์คอมพิวเตอร์
                                   การประมวลผลข้อมูลของระบบงานต่าง ๆ มีความถูกต้อง ครบถ้วน การกู้คืนระบบ

               และการสำรองข้อมูล การทดสอบ และการจัดการกับปัญหาของระบบ จัดทำแผนสำรอง
                                (6) การควบคุมเข้าถึงอุปกรณ์คอมพิวเตอร์

                                   มีสถานที่จัดเก็บอุปกรณ์คอมพิวเตอร์มิดชิด ไม่มีอากาศร้อน ชื้น และมีการรักษา

               ความปลอดภัยหนาแน่น กำหนดการเข้าออกได้เฉพาะผู้เกี่ยวข้อง กำหนดนโยบายรักษาความปลอดภัยที่ชัดเจน
               ติดระบบเตือนภัย กรณีมีผู้บุกรุก จำกัดให้ใช้โทรศัพท์เฉพาะเรื่องที่เกี่ยวกับงาน ติดอุปกรณ์ป้องกัน

               เครื่องคอมพิวเตอร์









               เอกสารวิชาการการตรวจสอบเทคโนโลยีสารสนเทศด้านการรักษาความมั่นคงปลอดภัยระบบสารสนเทศ         8