Page 25 - เอกสารวิชาการ การตรวจสอบเทคโนโลยีสารสนเทศ ด้านการรักษาความมั่นคงปลอดภัยระบบสารสนเทศ
P. 25

ห้องสมุดกรมพัฒนาที่ดิน






                      5.2 การปฏิบัติงานตรวจสอบ (Examination)

                           การปฏิบัติงานตรวจสอบ (รหัสมาตรฐาน 2300) สำหรับการตรวจสอบระบบสารสนเทศ
               ต้องใช้ความรู้ ทักษะ ความเชี่ยวชาญด้านเทคโนโลยีสารสนเทศ และหลักการประเมินควบคุมภายใน เพื่อให้

               การปฏิบัติงานเป็นไปอย่างมีประสิทธิภาพ โดยมีขั้นตอน ดังนี้

                           5.2.1 ศึกษาข้อมูลพื้นฐานประกอบการตรวจสอบ ระเบียบกฎหมายเกี่ยวข้องกับระบบสารสนเทศ
               แนวทางการปฏิบัติงานตรวจสอบ และกระดาษทำการ

                           5.2.2 หัวหน้าทีมงานชี้แจงกับทีมงานเพื่อทำความเข้าใจเนื้อหา ขอบเขต วัตถุประสงค์เป้าหมาย
               ของการตรวจสอบ แนวทางการปฏิบัติงานตรวจสอบ วิธีการจัดเก็บข้อมูลในแบบกระดาษทำการต่าง ๆ ตามที่ปรากฏ

               ในแผนการปฏิบัติงาน (Engagement Plan) การเข้าถึงแหล่งข้อมูลเพื่อเก็บข้อมูลประกอบการตรวจสอบ

                           5.2.3 จัดทำหนังสือแจ้งการเข้าตรวจสอบต่อหน่วยรับตรวจ

                           5.2.4 ประชุมเปิดตรวจเพื่อชี้แจงวัตถุประสงค์ ขอบเขต แนวทางและวิธีการตรวจสอบ และ
               ขอความร่วมมือในการให้ข้อมูลประกอบการตรวจสอบ

                           5.2.5 ดำเนินการสอบทานเอกสารหลักฐานที่เกี่ยวข้องกับการจัดให้มีการควบคุมและการปฏิบัติตาม
               พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 (ฉบับที่ 2) พ.ศ. 2560 ประกาศ

               คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์เรื่องแนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัย

               ด้านสารสนเทศของหน่วยงานของรัฐ พ.ศ. 2553 และพระราชกฤษฎีกากำหนดหลักเกณฑ์และวิธีการ
               ในการทำธุรกรรมทางอิเล็กทรอนิกส์ภาครัฐ พ.ศ. 2549 ที่หน่วยงานใช้อยู่ในปัจจุบัน

                           5.2.6 ดำเนินการสอบทานการปฏิบัติตามนโยบายและข้อปฏิบัติของหน่วยงานตามจำนวน
               ตัวอย่างที่สุ่มคัดเลือกไว้

                           5.2.7 สังเกตการณ์ปฏิบัติงานจริงตามระบบควบคุมที่กำหนดตามนโยบายและข้อปฏิบัติ

                           5.2.8 สอบถามและสัมภาษณ์ ผู้บริหารและผู้ปฏิบัติงาน
                           5.2.9 ดำเนินการตรวจนับเครื่องมือ อุปกรณ์ด้านระบบเทคโนโลยี และสังเกตสภาพกายภาพ

               และการใช้งานของเครื่องมืออุปกรณ์ดังกล่าว

                           5.2.10 บันทึกข้อมูลจากการสอบทาน สังเกตการณ์ การตรวจนับ การสัมภาษณ์ การสอบถาม

               ในกระดาษทำการที่เกี่ยวข้อง

                           5.2.11 รวบรวมข้อมูลจากกระดาษทำการทั้งหมด เพื่อสรุปผลการตรวจสอบ ผลกระทบ


               และข้อเสนอแนะ
                              5.2.12 ประชุมปิดตรวจ เพื่อสรุปผลการตรวจสอบทำความเข้าใจ ชี้แจง และขอความเห็นเพิ่มเติม

               ในบางประเด็นที่ยังเป็นที่สงสัย พร้อมขอบคุณผู้ที่มีส่วนเกี่ยวข้องในการให้ข้อมูลการตรวจสอบ







               เอกสารวิชาการการตรวจสอบเทคโนโลยีสารสนเทศด้านการรักษาความมั่นคงปลอดภัยระบบสารสนเทศ       17
   20   21   22   23   24   25   26   27   28   29   30