ห้องสมุดกรมพัฒนาที่ดิน






                            ดังนั้น ตามมาตรา 5 หน่วยงานของรัฐต้องจัดทำแนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคง

               ปลอดภัยด้านสารสนเทศ เพื่อให้ การดำเนินการใด ๆ ด้วยวิธีการทางอิเล็กทรอนิกส์กับหน่วยงานของรัฐ
               หรือโดยหน่วยงานของรัฐมีความมั่นคงปลอดภัยและเชื่อถือได้แนวนโยบายและแนวปฏิบัติอย่างน้อย

               ต้องประกอบด้วยเนื้อหา ดังตอไปนี้

                            (1) การเข้าถึงหรือควบคุมการใชงานสารสนเทศ
                            (2) การจัดให้มีระบบสารสนเทศและระบบสํารองของสารสนเทศ ซึ่งอยู่ในสภาพพร้อมใช้งาน

               และจัดทำแผนเตรียมพร้อมกรณีฉุกเฉินในกรณีที่ไม่สามารถดำเนินการด้วยวิธีการทางอิเล็กทรอนิกส์ เพื่อให้
               สามารถใชงานสารสนเทศได้ตามปกติอย่างต่อเนื่อง

                            (3) การตรวจสอบและประเมินความเสี่ยงด้านสารสนเทศอย่างสม่ำเสมอ

                               กรณีที่มีการรวบรวม จัดเก็บ ใช้ หรือเผยแพรข้อมูล หรือข้อเท็จจริงที่ทำให้สามารถระบุตัวบุคคล
               ไม่ว่าโดยตรงหรือโดยอ้อมให้หน่วยงานของรัฐจัดทำแนวนโยบายและแนวปฏิบัติการคุ้มครองข้อมูลสวนบุคคลด้วย

               โดยแนวนโยบายและแนวปฏิบัติให้หน่วยงานของรัฐ จัดทำเป็นประกาศและต้องได้รับความเห็นชอบ
               จากคณะกรรมการหรือหน่วยงานที่คณะกรรมการมอบหมาย จึงมีผลบังคับใช้ได้หน่วยงานของรัฐต้องปฏิบัติ

               ตามแนวนโยบายและแนวปฏิบัติที่ได้แสดงไว้ และให้จัดให้มีการตรวจสอบการปฏิบัติตามแนวนโยบาย

               และแนวปฏิบัติที่กำหนดไว้อย่างสม่ำเสมอ

               5. วิธีการ ขั้นตอนการปฏิบัติงานตรวจสอบตามมาตรฐานการตรวจสอบภาครัฐ

                      กระบวนการตรวจสอบระบบสารสนเทศมีกระบวนการเช่นเดียวกับตรวจสอบภายในประเภทอื่น ๆ
               โดยคู่มือฉบับนี้กล่าวถึงขั้นตอนการปฏิบัติงานตรวจสอบ เริ่มตั้งแต่ผู้ตรวจสอบภายในศึกษาทำความเข้าใจ

               ระบบงานสารสนเทศ (การควบคุมและความเสี่ยง) ประเมินความเสี่ยงเพื่อวางแผนการตรวจสอบ จัดทำ

               แผนการปฏิบัติงานตามผลประเมินความเสี่ยง จัดทำกระดาษทำการ สรุปข้อเท็จจริง รายงานผลการตรวจสอบ
               และการติดตามผลการตรวจสอบ ซึ่งเป็นไปตามมาตรฐานงานตรวจสอบภายใน (คู่มือการตรวจสอบภายใน

               กรมพัฒนาที่ดิน, 2560) ดังนี้
                      5.1 การวางแผนการปฏิบัติงาน (Planning)

                           การวางแผนการปฏิบัติงานเป็นขั้นตอนที่ผู้ตรวจสอบภายในต้องจัดทำ โดยอาศัยข้อมูลจาก

               การสำรวจข้อมูลเบื้องต้น ศึกษาทำความเข้าใจระบบงานสารสนเทศ (การควบคุมและความเสี่ยง)
               ประเมินผลความเสี่ยง ให้คลอบคลุมประเด็นการตรวจสอบที่มีความสำคัญรวมถึงออกแบบกระดาษทำการ

               (Working Paper) เพื่อเป็นหลักฐานการปฏิบัติงานตรวจสอบ โดยการผลลัพธ์ของการวางแผนการปฏิบัติงาน
               อยู่ในรูปแบบแผนการปฏิบัติงาน (Engagement Plan) ซึ่งต้องผ่านการเห็นชอบจากผู้อำนวยการ

               กลุ่มตรวจสอบภายใน โดยมีขั้นตอนดำเนินการ ดังนี้

                           5.1.1 การกำหนดประเด็นการตรวจสอบ ผู้ตรวจสอบภายในควรทำการสำรวจข้อมูลในด้านต่าง ๆ
               เช่น รวบรวมข้อมูลเกี่ยวกับกิจกรรม ประชุมหารือกับผู้บริหารของหน่วยรับตรวจ สัมภาษณ์บุคคลทั้งภายใน

               และภายนอก ที่มีส่วนเกี่ยวข้องกับกิจกรรมที่จะตรวจสอบ วิเคราะห์เปรียบเทียบข้อมูลที่สำรวจได้ เป็นต้น



               เอกสารวิชาการการตรวจสอบเทคโนโลยีสารสนเทศด้านการรักษาความมั่นคงปลอดภัยระบบสารสนเทศ       15