ห้องสมุดกรมพัฒนาที่ดิน






                                                         บทที่ 3


                       การตรวจสอบเทคโนโลยีสารสนเทศ ด้านการรักษาความมั่นคงปลอดภัยระบบสารสนเทศ

               1. ข้อมูลพื้นฐานเพื่อประกอบการตรวจสอบ

                      แบ่งออกเป็น 2 หัวข้อ คือ การตรวจสอบการควบคุมทั่วไปด้านเทคโนโลยีสารสนเทศ IT General
               Control (ITGC) และการตรวจสอบการควบคุมเฉพาะระบบงาน โดยการตรวจสอบการควบคุมทั่วไป เพื่อที่จะประเมิน

               ว่าระบบมีการรักษาความลับ มีความสม่ำเสมอของข้อมูล ความพร้อมใช้ของข้อมูล ส่วนการตรวจสอบ

               การควบคุมเฉพาะระบบงาน จะเป็นส่วนการจำกัดการเข้าถึงข้อมูลและสินทรัพย์ และการจัดให้มีการควบคุม
               และการปฏิบัติตามการควบคุมที่สอดคล้องกับกฎระเบียบที่เกี่ยวกับการรักษาความมั่งคงปลอดภัยระบบ

               สารสนเทศ ซึ่งมีรายละเอียดดังนี้
                      1.1 การตรวจสอบการควบคุมทั่วไป IT General Control (ITGC)

                           1.1.1 ธรรมาภิบาลด้านเทคโนโลยีสารสนเทศ เป็นการกำกับดูแลด้านเทคโนโลยีสารสนเทศ

               ของผู้บริหารระดับสูงว่าได้มีการกำกับดูแลเทคโนโลยีสารสนเทศ มีการกำหนดทิศทาง โครงสร้างหน่วยงาน
               แผนการดำเนินงาน การลงทุนด้านการพัฒนา จัดหาบุคลากรด้าน IT และการจัดซื้ออุปกรณ์คอมพิวเตอร์

               ที่เหมาะสมกับหน่วยงาน การกำหนดนโยบาย มาตรฐานต่าง ๆ และวิธีการปฏิบัติงาน การประเมินความเสี่ยง

               ของการปฏิบัติงานด้าน IT และมีการควบคุมในการปฏิบัติงานให้เป็นไปตามหลักเกณฑ์ของกฎหมาย
               กฎระเบียบต่าง ๆ ได้อย่างถูกต้อง

                           1.1.2 การควบคุมการจัดหา พัฒนา และบำรุงรักษาระบบสารสนเทศ ให้ความสำคัญในเรื่องของ
               การบริหารจัดการ และการจัดลำดับความต้องการด้านเทคโนโลยีสารสนเทศของผู้ใช้งานว่าตรงกับความต้องการ

               ภายในหน่วยงานหรือไม่ ฉะนั้นต้องมีการจัดลำดับความสำคัญของงานที่มีความต้องการที่มีความเสี่ยงสูง

               เพื่อที่หน่วยงานจะนำความต้องการมาเรียงลำดับความเสี่ยง เพื่อพัฒนาระบบสารสนเทศเข้ามาใช้ในหน่วยงาน
               ตามความต้องการก่อนหลัง โดยผู้ตรวจสอบจะดูว่าหน่วยรับตรวจมีกระบวนการอย่างไร ในการจัดลำดับความเสี่ยง

               ความต้องการด้านเทคโนโลยีสารสนเทศที่มีความต้องการไม่เท่ากันของแต่ละหน่วยงาน ส่วนวิธีการจัดหา
               การพัฒนา และบำรุงรักษาระบบสารสนเทศ ว่าหน่วยงานมีวิธีการควบคุมการออกแบบระบบได้ครบถ้วน

               และเป็นไปตามที่ผู้ใช้งานต้องการหรือไม่ และในระหว่างมีการพัฒนา มีกระบวนการทดสอบระบบก่อน มีการนำระบบ

               ขึ้นใช้งานจริง มีการบำรุงรักษาระบบให้มีประสิทธิภาพ ประสิทธิผลอย่างไร ปฏิบัติเป็นไปตามแนวทางที่หน่วยงาน
               ได้วางไว้หรือไม่ ดังนั้นผู้ตรวจสอบต้องเข้าไปดูการควบคุมด้านนโยบายและแนวปฏิบัติว่าได้มีการกำหนด

               แนววิธีปฏิบัติให้กับหน่วยงานหรือพนักงานที่จะนำระบบไปใช้งานที่เป็นลายลักษณ์อักษรและมีการเผยแพร่

               ไปยังผู้ปฏิบัติงาน และได้รับการอนุมัติจากผู้ที่มีอำนาจ และต้องมีการทบทวนวิธีปฏิบัติให้สอดคล้องกับ
               สภาพแวดล้อมที่เปลี่ยนแปลงไปของหน่วยงานให้สามารถปฏิบัติงานในสภาพแวดล้อมที่เปลี่ยนแปลงไปได้ในปัจจุบัน

                           1.1.3 การควบคุมการบริหารการเปลี่ยนแปลงแก้ไขระบบสารสนเทศ หลังจากมีการใช้งานระบบ

               ไปในระยะหนึ่ง ระบบย่อมมีความต้องการใช้งานที่เพิ่มขึ้นที่เปลี่ยนแปลงไปหรือระบบอาจมีปัญหาเกิดขึ้น
               เพราะฉะนั้นกระบวนการแก้ไขระบบสารสนเทศจะต้องมีการออกแบบการควบคุม เพื่อให้ผู้ปฏิบัติได้มี


               เอกสารวิชาการการตรวจสอบเทคโนโลยีสารสนเทศด้านการรักษาความมั่นคงปลอดภัยระบบสารสนเทศ       19