Page 25 - เอกสารวิชาการ การตรวจสอบเทคโนโลยีสารสนเทศ ด้านการรักษาความมั่นคงปลอดภัยระบบสารสนเทศ
P. 25
ห้องสมุดกรมพัฒนาที่ดิน
5.2 การปฏิบัติงานตรวจสอบ (Examination)
การปฏิบัติงานตรวจสอบ (รหัสมาตรฐาน 2300) สำหรับการตรวจสอบระบบสารสนเทศ
ต้องใช้ความรู้ ทักษะ ความเชี่ยวชาญด้านเทคโนโลยีสารสนเทศ และหลักการประเมินควบคุมภายใน เพื่อให้
การปฏิบัติงานเป็นไปอย่างมีประสิทธิภาพ โดยมีขั้นตอน ดังนี้
5.2.1 ศึกษาข้อมูลพื้นฐานประกอบการตรวจสอบ ระเบียบกฎหมายเกี่ยวข้องกับระบบสารสนเทศ
แนวทางการปฏิบัติงานตรวจสอบ และกระดาษทำการ
5.2.2 หัวหน้าทีมงานชี้แจงกับทีมงานเพื่อทำความเข้าใจเนื้อหา ขอบเขต วัตถุประสงค์เป้าหมาย
ของการตรวจสอบ แนวทางการปฏิบัติงานตรวจสอบ วิธีการจัดเก็บข้อมูลในแบบกระดาษทำการต่าง ๆ ตามที่ปรากฏ
ในแผนการปฏิบัติงาน (Engagement Plan) การเข้าถึงแหล่งข้อมูลเพื่อเก็บข้อมูลประกอบการตรวจสอบ
5.2.3 จัดทำหนังสือแจ้งการเข้าตรวจสอบต่อหน่วยรับตรวจ
5.2.4 ประชุมเปิดตรวจเพื่อชี้แจงวัตถุประสงค์ ขอบเขต แนวทางและวิธีการตรวจสอบ และ
ขอความร่วมมือในการให้ข้อมูลประกอบการตรวจสอบ
5.2.5 ดำเนินการสอบทานเอกสารหลักฐานที่เกี่ยวข้องกับการจัดให้มีการควบคุมและการปฏิบัติตาม
พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 (ฉบับที่ 2) พ.ศ. 2560 ประกาศ
คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์เรื่องแนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัย
ด้านสารสนเทศของหน่วยงานของรัฐ พ.ศ. 2553 และพระราชกฤษฎีกากำหนดหลักเกณฑ์และวิธีการ
ในการทำธุรกรรมทางอิเล็กทรอนิกส์ภาครัฐ พ.ศ. 2549 ที่หน่วยงานใช้อยู่ในปัจจุบัน
5.2.6 ดำเนินการสอบทานการปฏิบัติตามนโยบายและข้อปฏิบัติของหน่วยงานตามจำนวน
ตัวอย่างที่สุ่มคัดเลือกไว้
5.2.7 สังเกตการณ์ปฏิบัติงานจริงตามระบบควบคุมที่กำหนดตามนโยบายและข้อปฏิบัติ
5.2.8 สอบถามและสัมภาษณ์ ผู้บริหารและผู้ปฏิบัติงาน
5.2.9 ดำเนินการตรวจนับเครื่องมือ อุปกรณ์ด้านระบบเทคโนโลยี และสังเกตสภาพกายภาพ
และการใช้งานของเครื่องมืออุปกรณ์ดังกล่าว
5.2.10 บันทึกข้อมูลจากการสอบทาน สังเกตการณ์ การตรวจนับ การสัมภาษณ์ การสอบถาม
ในกระดาษทำการที่เกี่ยวข้อง
5.2.11 รวบรวมข้อมูลจากกระดาษทำการทั้งหมด เพื่อสรุปผลการตรวจสอบ ผลกระทบ
และข้อเสนอแนะ
5.2.12 ประชุมปิดตรวจ เพื่อสรุปผลการตรวจสอบทำความเข้าใจ ชี้แจง และขอความเห็นเพิ่มเติม
ในบางประเด็นที่ยังเป็นที่สงสัย พร้อมขอบคุณผู้ที่มีส่วนเกี่ยวข้องในการให้ข้อมูลการตรวจสอบ
เอกสารวิชาการการตรวจสอบเทคโนโลยีสารสนเทศด้านการรักษาความมั่นคงปลอดภัยระบบสารสนเทศ 17