Page 29 - เอกสารวิชาการ การตรวจสอบเทคโนโลยีสารสนเทศ ด้านการรักษาความมั่นคงปลอดภัยระบบสารสนเทศ
P. 29

ห้องสมุดกรมพัฒนาที่ดิน






               DR (Disaster Recovery) ตลอด 24 ชั่วโมงหรือไม่ ซึ่งเหล่านี้เป็นสิ่งที่หน่วยงานต้องมีการพิจารณาว่าเป็น

               ความเสี่ยงประเภทไหนตามที่มีการออกแบบการควบคุมไว้
                           1.1.6 การควบคุมการปฏิบัติงานด้านเทคโนโลยีสารสนเทศ การให้บริการและการส่งมอบงาน

               ด้าน IT ต้องมีการทำข้อตกลงการปฏิบัติงานว่าผู้ปฏิบัติงานได้มีการส่งมอบงานอะไรบ้าง และส่วนของการควบคุม

               ประสิทธิภาพระบบคอมฯ และเครือข่าย หน่วยงานจะต้องมีการออกแบบและการควบคุม เฝ้าสังเกตว่าระบบ
               คอมพิวเตอร์สามารถประมวลผลในอัตราที่หน่วยงานกำหนดไว้หรือไม่ ระบบเครือข่ายมี Down Time หรือไม่

               มีการเข้าถึงข้อมูลที่แออัดในช่วงไหนบ้าง ต้องมีการเฝ้าสังเกตและมีการบริหารจัดการเครือข่าย เพื่อให้ระบบ
               สารสนเทศสามารถใช้งานและสามารถดำเนินงานตอบสนองกับการดำเนินงานได้เป็นปกติกับการดำเนินงาน

               หน่วยงานได้ ระบบสารสนเทศต้องมีการสำรองข้อมูลเมื่อเกิดข้อมูลเสียหายเกิดขึ้นหน่วยงานสามารถที่จะมี

               ชุดข้อมูลเดิมที่จะสามารถนำมาใช้แทนชุดข้อมูลเดิมที่มีปัญหาขึ้น และสามารถใช้งานได้ตามปกติ โดยการสำรอง
               หน่วยงานต้องมีการแบ่งว่าข้อมูลที่สำรองนั้นเป็นข้อมูลแบบไหน สำรองแบบทั้งหมด สำรองเฉพาะที่ต่างหรือ

               เฉพาะที่เพิ่มขึ้น ซึ่งหน่วยงานต้องมีการกำหนดว่าจะสำรองแบบไหน และหลังจากมีการสำรองข้อมูลเสร็จ
               เรียบร้อยแล้วอุปกรณ์ที่สำรองหน่วยงานจะต้องมีการจัดเก็บไว้ที่ไหน เก็บในศูนย์คอมพิวเตอร์หลัก DC (Data

               Center) และศูนย์คอมพิวเตอร์สำรอง DR (Disaster Recovery) กี่ชุดและหลังการจัดเก็บข้อมูลหน่วยงานต้อง

               มีการทดสอบการนำชุดคำสั่งนำมาทดลองการใช้งานว่าสามารถนำกลับมาใช้งานได้อีกหรือไม่
                           1.1.7 การบริหารความต่อเนื่องทางธุรกิจและแผนฟื้นฟูระบบสารสนเทศ หน่วยงานต้องมี

               การประเมินว่าในหน่วยงานมีความเสี่ยงทางด้านไหน มีการกำหนดวางแผน BCP (Business Continuity

               Plan) และ DRP (Disaster Recovery Plan) อย่างไร ถ้าหากระบบเกิดล่ม (Down Time) ขึ้นมาหน่วยงาน
               จะต้องมีการกำหนดระยะเวลาฟื้นฟูระบบกลับมาให้ใช้งานภายในกี่นาที กี่ชั่วโมง โดยหน่วยงานต้องมี

               การพิจารณาตามเกณฑ์ความเสี่ยงของหน่วยงาน และมีการทดสอบตามแผนว่าสามารถบรรลุวัตถุประสงค์หรือ
               เป็นไปตามที่หน่วยงานได้กำหนดไว้หรือไม่

                           1.1.8 การควบคุมการใช้บริการ ผู้ให้บริการภายนอกด้านเทคโนโลยีสารสนเทศ การควบคุม

               ผู้ให้บริการภายนอก (Outsourcing) ที่หน่วยงานจ้างเข้ามาดำเนินการแทนเจ้าหน้าที่ของหน่วยงานหรือ
               แทนบางส่วนของงานในหน่วยงานว่ามีการกำหนดในส่วนของนโยบายและแนวปฏิบัติหรือไม่ และในสัญญาจ้าง

               ต้องมีการกำหนดการรักษาความลับข้อมูลของทางราชการเป็นสัญญาการรักษาข้อมูลที่เป็นความลับ
               (Non-Disclosure Agreement : NDA) บทลงโทษหากไม่ปฏิบัติตามสัญญา และในส่วนของการกำกับดูแล

               ต้องดูว่าผู้บริการภายนอกทำงานตามสัญญาจ้างอย่างไร การส่งมอบงานเป็นไปตามที่กำหนดในสัญญาหรือไม่

               ปฏิบัติตามนโยบายด้านความมั่นคงปลอดภัยสารสนเทศที่จัดทำไว้ได้ครบถ้วนหรือไม่ และสัญญาการรักษา
               ข้อมูลที่เป็นความลับเกี่ยวกับสัญญาจ้างได้มีการจัดทำไว้อย่างครบถ้วนหรือไม่ มีการจัดเก็บอย่างไร

               มีผู้รับผิดชอบดูแลหรือไม่ ซึ่งเหล่านี้เป็นเรื่องของ IT Outsourcing ที่หน่วยงานจะต้องมีการควบคุม







               เอกสารวิชาการการตรวจสอบเทคโนโลยีสารสนเทศด้านการรักษาความมั่นคงปลอดภัยระบบสารสนเทศ       21
   24   25   26   27   28   29   30   31   32   33   34