Page 23 - เอกสารวิชาการ การตรวจสอบเทคโนโลยีสารสนเทศ ด้านการรักษาความมั่นคงปลอดภัยระบบสารสนเทศ
P. 23
ห้องสมุดกรมพัฒนาที่ดิน
ดังนั้น ตามมาตรา 5 หน่วยงานของรัฐต้องจัดทำแนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคง
ปลอดภัยด้านสารสนเทศ เพื่อให้ การดำเนินการใด ๆ ด้วยวิธีการทางอิเล็กทรอนิกส์กับหน่วยงานของรัฐ
หรือโดยหน่วยงานของรัฐมีความมั่นคงปลอดภัยและเชื่อถือได้แนวนโยบายและแนวปฏิบัติอย่างน้อย
ต้องประกอบด้วยเนื้อหา ดังตอไปนี้
(1) การเข้าถึงหรือควบคุมการใชงานสารสนเทศ
(2) การจัดให้มีระบบสารสนเทศและระบบสํารองของสารสนเทศ ซึ่งอยู่ในสภาพพร้อมใช้งาน
และจัดทำแผนเตรียมพร้อมกรณีฉุกเฉินในกรณีที่ไม่สามารถดำเนินการด้วยวิธีการทางอิเล็กทรอนิกส์ เพื่อให้
สามารถใชงานสารสนเทศได้ตามปกติอย่างต่อเนื่อง
(3) การตรวจสอบและประเมินความเสี่ยงด้านสารสนเทศอย่างสม่ำเสมอ
กรณีที่มีการรวบรวม จัดเก็บ ใช้ หรือเผยแพรข้อมูล หรือข้อเท็จจริงที่ทำให้สามารถระบุตัวบุคคล
ไม่ว่าโดยตรงหรือโดยอ้อมให้หน่วยงานของรัฐจัดทำแนวนโยบายและแนวปฏิบัติการคุ้มครองข้อมูลสวนบุคคลด้วย
โดยแนวนโยบายและแนวปฏิบัติให้หน่วยงานของรัฐ จัดทำเป็นประกาศและต้องได้รับความเห็นชอบ
จากคณะกรรมการหรือหน่วยงานที่คณะกรรมการมอบหมาย จึงมีผลบังคับใช้ได้หน่วยงานของรัฐต้องปฏิบัติ
ตามแนวนโยบายและแนวปฏิบัติที่ได้แสดงไว้ และให้จัดให้มีการตรวจสอบการปฏิบัติตามแนวนโยบาย
และแนวปฏิบัติที่กำหนดไว้อย่างสม่ำเสมอ
5. วิธีการ ขั้นตอนการปฏิบัติงานตรวจสอบตามมาตรฐานการตรวจสอบภาครัฐ
กระบวนการตรวจสอบระบบสารสนเทศมีกระบวนการเช่นเดียวกับตรวจสอบภายในประเภทอื่น ๆ
โดยคู่มือฉบับนี้กล่าวถึงขั้นตอนการปฏิบัติงานตรวจสอบ เริ่มตั้งแต่ผู้ตรวจสอบภายในศึกษาทำความเข้าใจ
ระบบงานสารสนเทศ (การควบคุมและความเสี่ยง) ประเมินความเสี่ยงเพื่อวางแผนการตรวจสอบ จัดทำ
แผนการปฏิบัติงานตามผลประเมินความเสี่ยง จัดทำกระดาษทำการ สรุปข้อเท็จจริง รายงานผลการตรวจสอบ
และการติดตามผลการตรวจสอบ ซึ่งเป็นไปตามมาตรฐานงานตรวจสอบภายใน (คู่มือการตรวจสอบภายใน
กรมพัฒนาที่ดิน, 2560) ดังนี้
5.1 การวางแผนการปฏิบัติงาน (Planning)
การวางแผนการปฏิบัติงานเป็นขั้นตอนที่ผู้ตรวจสอบภายในต้องจัดทำ โดยอาศัยข้อมูลจาก
การสำรวจข้อมูลเบื้องต้น ศึกษาทำความเข้าใจระบบงานสารสนเทศ (การควบคุมและความเสี่ยง)
ประเมินผลความเสี่ยง ให้คลอบคลุมประเด็นการตรวจสอบที่มีความสำคัญรวมถึงออกแบบกระดาษทำการ
(Working Paper) เพื่อเป็นหลักฐานการปฏิบัติงานตรวจสอบ โดยการผลลัพธ์ของการวางแผนการปฏิบัติงาน
อยู่ในรูปแบบแผนการปฏิบัติงาน (Engagement Plan) ซึ่งต้องผ่านการเห็นชอบจากผู้อำนวยการ
กลุ่มตรวจสอบภายใน โดยมีขั้นตอนดำเนินการ ดังนี้
5.1.1 การกำหนดประเด็นการตรวจสอบ ผู้ตรวจสอบภายในควรทำการสำรวจข้อมูลในด้านต่าง ๆ
เช่น รวบรวมข้อมูลเกี่ยวกับกิจกรรม ประชุมหารือกับผู้บริหารของหน่วยรับตรวจ สัมภาษณ์บุคคลทั้งภายใน
และภายนอก ที่มีส่วนเกี่ยวข้องกับกิจกรรมที่จะตรวจสอบ วิเคราะห์เปรียบเทียบข้อมูลที่สำรวจได้ เป็นต้น
เอกสารวิชาการการตรวจสอบเทคโนโลยีสารสนเทศด้านการรักษาความมั่นคงปลอดภัยระบบสารสนเทศ 15