Page 17 - เอกสารวิชาการ การตรวจสอบเทคโนโลยีสารสนเทศ ด้านการรักษาความมั่นคงปลอดภัยระบบสารสนเทศ
P. 17
ห้องสมุดกรมพัฒนาที่ดิน
(7) การควบคุมการเข้าถึงข้อมูลและทรัพยากรสารสนเทศ การกำหนดผู้ใช้ (User Views or
Subschema) ตารางแสดงสิทธิในการเข้าถึงฐานข้อมูล (Database Authorization Table) และการเข้ารหัส
ข้อมูล (Data Encryption)
(8) การควบคุมการเข้าถึงระบบงาน ดังนี้
(8.1) การพิสูจน์ตัวจริง (Authentication) โดยกาหนดรหัสผ่าน (Password)
(8.2) การระบุตัวตนด้วยสิ่งที่มีทางกายภาพ (Physical Possession Identification)
(8.3) การกำหนดสิทธิ (Authorization)
(8.4) การบันทึกกิจกรรมต่าง ๆ ในระบบเพื่อการตรวจสอบ (Audit Logging)
1.3.2 การควบคุมเฉพาะระบบงาน (Application Control)
การควบคุมรายการข้อมูลในแต่ละระบบงานให้มีความถูกต้องและครบถ้วน โดยอาศัยทางเดิน
ของข้อมูลเป็นแนวทางในการกำหนดขอบเขตการควบคุม เช่น ระบบ GFMIS โดยมีองค์ประกอบ ดังนี้
(1) การควบคุมการนำเข้าข้อมูล การควบคุมเกี่ยวกับงานจัดทำข้อมูลก่อนป้อนเข้าสู่ระบบ
คอมพิวเตอร์ การเตรียมข้อมูลนำเข้า การป้องกันข้อผิดพลาด การค้นหาข้อผิดพลาด และการแก้ไขข้อผิดพลาด
เช่น การตรวจสอบตัวเลขตรวจสอบ (Check digit) ว่าเป็นตัวเลขที่ถูกหรือไม่ โดยเลขประจำตัว หรือรหัสสินค้า
หรือเลขที่บัญชี
(2) การควบคุมการทำรายการป้อนเข้าสู่ระบบงาน โดยข้อมูลที่ป้อนเข้าสู่ระบบจะต้อง
ถูกหลักเกณฑ์ ในการทำรายการ นอกจากนี้ยังรวมถึงเรื่องที่เกี่ยวกับการกระทบยอดข้อมูลนำเข้า เพื่อพิสูจน์
ความถูกต้อง
(3) การควบคุมการสื่อสารข้อมูลให้มีความถูกต้องและครบถ้วน ซึ่งจะต้องคำนึงถึง Hardware
และ Software ที่ใช้ในการสื่อสารข้อมูลการมอบอำนาจ
(4) การควบคุมการประมวลผลด้วยคอมพิวเตอร์ ให้มีความแม่นยำ ถูกต้อง และครบถ้วน
เป็นไปตามหลักเกณฑ์การใช้แฟ้มข้อมูล การชี้แนะให้เห็นข้อผิดพลาด และการรายงาน
(5) การควบคุมการจัดเก็บข้อมูลไว้ในระบบ การกำหนดสิทธิการใช้ข้อมูล การรักษาความปลอดภัย
การแก้ไขข้อผิดพลาด การสำรองข้อมูล และการกำหนดอายุการจัดเก็บแฟ้มข้อมูล
(6) การควบคุมผลลัพธ์ การกระทบยอดข้อมูลนำเข้าและผลลัพธ์ เพื่อพิสูจน์ความถูกต้อง
ด้วยระบบ Manual ซึ่งเป็นหน้าที่โดยตรงของหน่วยงานควบคุมคุณภาพข้อมูล
2. หลักการวิเคราะห์ประเด็นตรวจสอบเทคโนโลยีสารสนเทศ “ความมั่นคงปลอดภัยของเทคโนโลยีสารสนเทศ”
(กรมบัญชีกลาง, 2546) การกำหนดประเด็นที่จะตรวจสอบ ซึ่งได้จากการสำรวจข้อมูลเบื้องต้น
เป็นการระบุจุดที่ต้องการหรือประเด็นเบื้องต้น หรืออีกนัยหนึ่งคือ ปัญหาสำคัญที่ควรตรวจสอบ (Matter Of Potential
Significant : MOPS) ทั้งนี้ เนื่องจากการตรวจสอบเพื่อให้บรรลุวัตถุประสงค์ตามที่กำหนดอาจมีประเด็น
ที่ต้องพิจารณาจำนวนมาก ซึ่งหลักการ ค้นหาจุดที่สำคัญพิจารณาได้หลายทาง เช่น ผลการตรวจสอบครั้งก่อน
(ถ้ามี) ผลการประเมินการควบคุมภายใน เป็นต้น
เอกสารวิชาการการตรวจสอบเทคโนโลยีสารสนเทศด้านการรักษาความมั่นคงปลอดภัยระบบสารสนเทศ 9