Page 30 - เอกสารวิชาการ การตรวจสอบเทคโนโลยีสารสนเทศ ด้านการรักษาความมั่นคงปลอดภัยระบบสารสนเทศ
P. 30
ห้องสมุดกรมพัฒนาที่ดิน
1.2 การตรวจสอบการควบคุมเฉพาะระบบงาน
การควบคุมการนำเข้าข้อมูล (Input) การควบคุมการประมวลผล (Processing) และการควบคุม
การนำข้อมูลออก (Output) ซึ่งทั้ง 3 กระบวนงานนี้ขึ้นอยู่กับการบริหารจัดการสิทธิในการเข้าถึงว่าในทุกขั้นตอน
ต้องมีการบริหารจัดการสิทธิในการเข้าใช้งานอีกว่าจะให้เข้าถึงแบบจำกัดเฉพาะผู้ที่มีหน้าที่ที่เกี่ยวข้องเท่านั้น
1.2.1 การควบคุมการนำเข้าข้อมูล (Input) โดยการควบคุมการนำเข้าข้อมูล (Input) จะนำเข้าข้อมูล
ในระบบต้องมีการแจ้งเตือนหรือไม่ ถ้าไม่เป็นไปตามเงื่อนไขที่เราออกแบบไว้ระบบสามารถแจ้ง Error ได้
ว่าไม่ถูกต้องตามรูปแบบที่กำหนดไว้หรือไม่ ซึ่งระบบที่ดีต้องมีการแจ้งเตือนได้ด้วยว่าไม่สามารถดำเนินการได้
เพราะอะไร และมีส่วนที่เกิดข้อผิดพลาดเกิดจากตรงไหน เพื่อแจ้งให้ผู้ใช้งานได้เข้าใจได้
1.2.2 การควบคุมการประมวลผล (Processing) จะเกี่ยวข้องกับการเข้าถึงการประมวลผล
หรือหน้าที่ของผู้ที่จะเข้าถึงมาดำเนินการมาเข้าถึงข้อมูลว่าประมวลผลข้อมูล เมื่อมีข้อผิดพลาดหรือประมวลผล
ไม่สำเร็จ หน่วยงานมีการดำเนินการอย่างไร มีการบริหารการจัดการอย่างไร และมีการควบคุมอย่างไร สิทธิต่าง ๆ
มีการทบทวนหรือไม่ มีการกำหนดสิทธิได้เหมาะสมหรือไม่ เพื่อที่จะให้ความเชื่อมั่นว่าข้อมูลที่เข้ามานั้น
ได้มีการจัดการกับข้อมูลและข้อมูลมีการประมวลผลได้อย่างถูกต้อง
1.2.3 การควบคุมการแสดงผล (Output) จะเกี่ยวกับการรายงาน (Report) หรือเป็นข้อมูลที่อยู่
ในระบบที่เราสามารถทำการค้นหาข้อมูล (Query) มาแสดงผลได้ ซึ่งข้อมูลเหล่านี้ต้องมีการจัดประเภทของข้อมูลอีกว่า
ข้อมูลส่วนไหนเป็นข้อมูลลับหรือไม่ ข้อมูลไหนเป็นข้อมูลเฉพาะภายในสามารถที่จะเข้าถึงโดยเฉพาะบุคคล
ภายในเท่านั้น หน่วยงานต้องมีการจัดประเภทรายการอีกว่าข้อมูลไหนลับ ไม่ลับ ข้อมูลไหนสามารถเข้าถึงได้บ้าง
และเอกสารที่พิมพ์ออกมา (Print Out) สามารถที่จะพิมพ์ซ้ำได้หรือไม่ ต้องพิจารณาในส่วนของตัว Output
และข้อมูลการค้นหาข้อมูล (Query) ถ้าข้อมูลไหนเป็นความลับหน่วยงานจะต้องมีการจำกัดสิทธิในการเข้าถึง
ข้อมูลด้วย ซึ่งสิ่งเหล่านี้เป็นเรื่องของการบริหารจัดการ Output
2. เทคนิคและเครื่องมือที่ใช้ในการตรวจสอบ
วิธีการรวบรวมหลักฐานและข้อเท็จจริงต่าง ๆ ในการปฏิบัติงานตรวจสอบ โดยผู้ตรวจสอบภายในจะเลือกใช้
เทคนิคการตรวจสอบให้เหมาะสมกับเรื่องที่จะตรวจสอบ เพื่อให้ได้มาซึ่งหลักฐานที่เพียงพอ ที่ผู้ตรวจสอบภายใน
จะเสนอความเห็นและข้อเสนอแนะไว้ในรายงานผลการตรวจสอบ ซึ่งการตรวจสอบเทคโนโลยีสารสนเทศ
ด้านการรักษาความมั่นคงปลอดภัยระบบสารสนเทศ จะใช้เทคนิคและเครื่องมือในการตรวจสอบ ดังนี้
2.1 การสุ่มตัวอย่างตามวิธี Stratified Sampling เป็นการเลือกตัวอย่างของข้อมูลที่มีลักษณะแตกต่างกัน
ที่ได้แบ่งข้อมูลออกเป็นกลุ่ม โดยมี 2 ขั้นตอน ได้แก่
2.1.1 แบ่งข้อมูลออกเป็นกลุ่มโดยการรวมข้อมูลที่มีลักษณะเหมือนกันไว้ในกลุมเดียวกัน
2.1.2 สุมเลือกตัวอย่างจากแต่ละกลุ่มเหล่านั้นอีกครั้งหนึ่ง โดยวิธีการสุ่มตัวอย่างอาจแตกต่างกันไป
ในแต่ละกลุม
2.2 การตรวจนับ เป็นการพิสูจน์จำนวนและสภาพของสิ่งที่ตรวจนับว่ามีอยู่ครบถ้วนตามที่บันทึกไว้
หรือไม่ สภาพของสิ่งของนั้นเป็นอย่างไร อยู่ในสภาพชํารุดเสียหายหรือไม่ อย่างไร
เอกสารวิชาการการตรวจสอบเทคโนโลยีสารสนเทศด้านการรักษาความมั่นคงปลอดภัยระบบสารสนเทศ 22