Page 29 - เอกสารวิชาการ การตรวจสอบเทคโนโลยีสารสนเทศ ด้านการรักษาความมั่นคงปลอดภัยระบบสารสนเทศ
P. 29
ห้องสมุดกรมพัฒนาที่ดิน
DR (Disaster Recovery) ตลอด 24 ชั่วโมงหรือไม่ ซึ่งเหล่านี้เป็นสิ่งที่หน่วยงานต้องมีการพิจารณาว่าเป็น
ความเสี่ยงประเภทไหนตามที่มีการออกแบบการควบคุมไว้
1.1.6 การควบคุมการปฏิบัติงานด้านเทคโนโลยีสารสนเทศ การให้บริการและการส่งมอบงาน
ด้าน IT ต้องมีการทำข้อตกลงการปฏิบัติงานว่าผู้ปฏิบัติงานได้มีการส่งมอบงานอะไรบ้าง และส่วนของการควบคุม
ประสิทธิภาพระบบคอมฯ และเครือข่าย หน่วยงานจะต้องมีการออกแบบและการควบคุม เฝ้าสังเกตว่าระบบ
คอมพิวเตอร์สามารถประมวลผลในอัตราที่หน่วยงานกำหนดไว้หรือไม่ ระบบเครือข่ายมี Down Time หรือไม่
มีการเข้าถึงข้อมูลที่แออัดในช่วงไหนบ้าง ต้องมีการเฝ้าสังเกตและมีการบริหารจัดการเครือข่าย เพื่อให้ระบบ
สารสนเทศสามารถใช้งานและสามารถดำเนินงานตอบสนองกับการดำเนินงานได้เป็นปกติกับการดำเนินงาน
หน่วยงานได้ ระบบสารสนเทศต้องมีการสำรองข้อมูลเมื่อเกิดข้อมูลเสียหายเกิดขึ้นหน่วยงานสามารถที่จะมี
ชุดข้อมูลเดิมที่จะสามารถนำมาใช้แทนชุดข้อมูลเดิมที่มีปัญหาขึ้น และสามารถใช้งานได้ตามปกติ โดยการสำรอง
หน่วยงานต้องมีการแบ่งว่าข้อมูลที่สำรองนั้นเป็นข้อมูลแบบไหน สำรองแบบทั้งหมด สำรองเฉพาะที่ต่างหรือ
เฉพาะที่เพิ่มขึ้น ซึ่งหน่วยงานต้องมีการกำหนดว่าจะสำรองแบบไหน และหลังจากมีการสำรองข้อมูลเสร็จ
เรียบร้อยแล้วอุปกรณ์ที่สำรองหน่วยงานจะต้องมีการจัดเก็บไว้ที่ไหน เก็บในศูนย์คอมพิวเตอร์หลัก DC (Data
Center) และศูนย์คอมพิวเตอร์สำรอง DR (Disaster Recovery) กี่ชุดและหลังการจัดเก็บข้อมูลหน่วยงานต้อง
มีการทดสอบการนำชุดคำสั่งนำมาทดลองการใช้งานว่าสามารถนำกลับมาใช้งานได้อีกหรือไม่
1.1.7 การบริหารความต่อเนื่องทางธุรกิจและแผนฟื้นฟูระบบสารสนเทศ หน่วยงานต้องมี
การประเมินว่าในหน่วยงานมีความเสี่ยงทางด้านไหน มีการกำหนดวางแผน BCP (Business Continuity
Plan) และ DRP (Disaster Recovery Plan) อย่างไร ถ้าหากระบบเกิดล่ม (Down Time) ขึ้นมาหน่วยงาน
จะต้องมีการกำหนดระยะเวลาฟื้นฟูระบบกลับมาให้ใช้งานภายในกี่นาที กี่ชั่วโมง โดยหน่วยงานต้องมี
การพิจารณาตามเกณฑ์ความเสี่ยงของหน่วยงาน และมีการทดสอบตามแผนว่าสามารถบรรลุวัตถุประสงค์หรือ
เป็นไปตามที่หน่วยงานได้กำหนดไว้หรือไม่
1.1.8 การควบคุมการใช้บริการ ผู้ให้บริการภายนอกด้านเทคโนโลยีสารสนเทศ การควบคุม
ผู้ให้บริการภายนอก (Outsourcing) ที่หน่วยงานจ้างเข้ามาดำเนินการแทนเจ้าหน้าที่ของหน่วยงานหรือ
แทนบางส่วนของงานในหน่วยงานว่ามีการกำหนดในส่วนของนโยบายและแนวปฏิบัติหรือไม่ และในสัญญาจ้าง
ต้องมีการกำหนดการรักษาความลับข้อมูลของทางราชการเป็นสัญญาการรักษาข้อมูลที่เป็นความลับ
(Non-Disclosure Agreement : NDA) บทลงโทษหากไม่ปฏิบัติตามสัญญา และในส่วนของการกำกับดูแล
ต้องดูว่าผู้บริการภายนอกทำงานตามสัญญาจ้างอย่างไร การส่งมอบงานเป็นไปตามที่กำหนดในสัญญาหรือไม่
ปฏิบัติตามนโยบายด้านความมั่นคงปลอดภัยสารสนเทศที่จัดทำไว้ได้ครบถ้วนหรือไม่ และสัญญาการรักษา
ข้อมูลที่เป็นความลับเกี่ยวกับสัญญาจ้างได้มีการจัดทำไว้อย่างครบถ้วนหรือไม่ มีการจัดเก็บอย่างไร
มีผู้รับผิดชอบดูแลหรือไม่ ซึ่งเหล่านี้เป็นเรื่องของ IT Outsourcing ที่หน่วยงานจะต้องมีการควบคุม
เอกสารวิชาการการตรวจสอบเทคโนโลยีสารสนเทศด้านการรักษาความมั่นคงปลอดภัยระบบสารสนเทศ 21