Page 27 - เอกสารวิชาการ การตรวจสอบเทคโนโลยีสารสนเทศ ด้านการรักษาความมั่นคงปลอดภัยระบบสารสนเทศ
P. 27
ห้องสมุดกรมพัฒนาที่ดิน
บทที่ 3
การตรวจสอบเทคโนโลยีสารสนเทศ ด้านการรักษาความมั่นคงปลอดภัยระบบสารสนเทศ
1. ข้อมูลพื้นฐานเพื่อประกอบการตรวจสอบ
แบ่งออกเป็น 2 หัวข้อ คือ การตรวจสอบการควบคุมทั่วไปด้านเทคโนโลยีสารสนเทศ IT General
Control (ITGC) และการตรวจสอบการควบคุมเฉพาะระบบงาน โดยการตรวจสอบการควบคุมทั่วไป เพื่อที่จะประเมิน
ว่าระบบมีการรักษาความลับ มีความสม่ำเสมอของข้อมูล ความพร้อมใช้ของข้อมูล ส่วนการตรวจสอบ
การควบคุมเฉพาะระบบงาน จะเป็นส่วนการจำกัดการเข้าถึงข้อมูลและสินทรัพย์ และการจัดให้มีการควบคุม
และการปฏิบัติตามการควบคุมที่สอดคล้องกับกฎระเบียบที่เกี่ยวกับการรักษาความมั่งคงปลอดภัยระบบ
สารสนเทศ ซึ่งมีรายละเอียดดังนี้
1.1 การตรวจสอบการควบคุมทั่วไป IT General Control (ITGC)
1.1.1 ธรรมาภิบาลด้านเทคโนโลยีสารสนเทศ เป็นการกำกับดูแลด้านเทคโนโลยีสารสนเทศ
ของผู้บริหารระดับสูงว่าได้มีการกำกับดูแลเทคโนโลยีสารสนเทศ มีการกำหนดทิศทาง โครงสร้างหน่วยงาน
แผนการดำเนินงาน การลงทุนด้านการพัฒนา จัดหาบุคลากรด้าน IT และการจัดซื้ออุปกรณ์คอมพิวเตอร์
ที่เหมาะสมกับหน่วยงาน การกำหนดนโยบาย มาตรฐานต่าง ๆ และวิธีการปฏิบัติงาน การประเมินความเสี่ยง
ของการปฏิบัติงานด้าน IT และมีการควบคุมในการปฏิบัติงานให้เป็นไปตามหลักเกณฑ์ของกฎหมาย
กฎระเบียบต่าง ๆ ได้อย่างถูกต้อง
1.1.2 การควบคุมการจัดหา พัฒนา และบำรุงรักษาระบบสารสนเทศ ให้ความสำคัญในเรื่องของ
การบริหารจัดการ และการจัดลำดับความต้องการด้านเทคโนโลยีสารสนเทศของผู้ใช้งานว่าตรงกับความต้องการ
ภายในหน่วยงานหรือไม่ ฉะนั้นต้องมีการจัดลำดับความสำคัญของงานที่มีความต้องการที่มีความเสี่ยงสูง
เพื่อที่หน่วยงานจะนำความต้องการมาเรียงลำดับความเสี่ยง เพื่อพัฒนาระบบสารสนเทศเข้ามาใช้ในหน่วยงาน
ตามความต้องการก่อนหลัง โดยผู้ตรวจสอบจะดูว่าหน่วยรับตรวจมีกระบวนการอย่างไร ในการจัดลำดับความเสี่ยง
ความต้องการด้านเทคโนโลยีสารสนเทศที่มีความต้องการไม่เท่ากันของแต่ละหน่วยงาน ส่วนวิธีการจัดหา
การพัฒนา และบำรุงรักษาระบบสารสนเทศ ว่าหน่วยงานมีวิธีการควบคุมการออกแบบระบบได้ครบถ้วน
และเป็นไปตามที่ผู้ใช้งานต้องการหรือไม่ และในระหว่างมีการพัฒนา มีกระบวนการทดสอบระบบก่อน มีการนำระบบ
ขึ้นใช้งานจริง มีการบำรุงรักษาระบบให้มีประสิทธิภาพ ประสิทธิผลอย่างไร ปฏิบัติเป็นไปตามแนวทางที่หน่วยงาน
ได้วางไว้หรือไม่ ดังนั้นผู้ตรวจสอบต้องเข้าไปดูการควบคุมด้านนโยบายและแนวปฏิบัติว่าได้มีการกำหนด
แนววิธีปฏิบัติให้กับหน่วยงานหรือพนักงานที่จะนำระบบไปใช้งานที่เป็นลายลักษณ์อักษรและมีการเผยแพร่
ไปยังผู้ปฏิบัติงาน และได้รับการอนุมัติจากผู้ที่มีอำนาจ และต้องมีการทบทวนวิธีปฏิบัติให้สอดคล้องกับ
สภาพแวดล้อมที่เปลี่ยนแปลงไปของหน่วยงานให้สามารถปฏิบัติงานในสภาพแวดล้อมที่เปลี่ยนแปลงไปได้ในปัจจุบัน
1.1.3 การควบคุมการบริหารการเปลี่ยนแปลงแก้ไขระบบสารสนเทศ หลังจากมีการใช้งานระบบ
ไปในระยะหนึ่ง ระบบย่อมมีความต้องการใช้งานที่เพิ่มขึ้นที่เปลี่ยนแปลงไปหรือระบบอาจมีปัญหาเกิดขึ้น
เพราะฉะนั้นกระบวนการแก้ไขระบบสารสนเทศจะต้องมีการออกแบบการควบคุม เพื่อให้ผู้ปฏิบัติได้มี
เอกสารวิชาการการตรวจสอบเทคโนโลยีสารสนเทศด้านการรักษาความมั่นคงปลอดภัยระบบสารสนเทศ 19