Page 46 - เอกสารวิชาการ การตรวจสอบเทคโนโลยีสารสนเทศ ด้านการรักษาความมั่นคงปลอดภัยระบบสารสนเทศ
P. 46

ห้องสมุดกรมพัฒนาที่ดิน






                      จากการประเมินความเสี่ยงเบื้องต้นของการรักษาความปลอดภัยสารสนเทศของกรม A ได้นำขั้นตอนงาน

               ที่มีความเสี่ยงระดับสูงมากำหนดประเด็นการตรวจสอบ ได้แก่
                       1. นโยบายและแนวปฏิบัติการรักษาความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศกรม A ตามประกาศ

               คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2553 และกฎระเบียบที่เกี่ยวข้อง รวมถึงทบทวนเป็นปัจจุบัน

                       2. การปฏิบัติ การควบคุม การติดตาม และการประเมินผลการปฏิบัติตามนโยบาย และแนวปฏิบัติ
               การรักษาความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ

                       3. สภาพแวดล้องห้องเครื่องคอมพิวเตอร์แม่ข่าย การเข้าถึงและการใช้งาน (ระบบเครือข่าย
               ระบบปฏิบัติการ Application) กฎระเบียบที่เกี่ยวข้องของกรม A

                       ความเสี่ยงเบื้องต้นดังกล่าว ผู้ตรวจสอบภายในได้กำหนด ประเด็นการตรวจสอบ คือ การควบคุม

               และการปฏิบัติตามการควบคุมของการรักษาความปลอดภัยด้านสารสนเทศ ไม่เพียงพอ ไม่เหมาะสม

               2. แผนการปฏิบัติงาน (Engagement Plan)

                       ผู้ตรวจสอบภายในจะมีการจัดทำแผนการปฏิบัติงาน (Engagement Plan) ตรวจสอบในกิจกรรมที่/
               โครงการได้รับมอบหมายจากหัวหน้าหน่วยงานตรวจสอบภายใน เพื่อเป็นกรอบในการปฏิบัติงานตรวจสอบของทีมงาน

               ตรวจสอบ ซึ่งแผนการปฏิบัติต้องได้รับความเห็นชอบจากหัวหน้าหน่วยงานตรวจสอบภายในก่อนนำไปใช้ในการปฏิบัติงาน
               โดยรายละเอียดการจัดทำแผน มีดังนี้


               แผนการปฏิบัติงาน (Engagement Plan)
               ตามแผนการตรวจสอบประจำปีงบประมาณ พ.ศ. 25xx

               ......................................................

               1. หน่วยรับตรวจ           : หน่วยงาน AA


               2. กิจกรรมที่ตรวจสอบ      : เทคโนโลยีสารสนเทศ ด้านการรักษาความมั่นคงปลอดภัยระบบสารสนเทศ

               3. ประเด็นการตรวจสอบ      : การควบคุม และการปฏิบัติตามการควบคุมของการรักษาความปลอดภัย

                                           ด้านสารสนเทศ ไม่เพียงพอ ไม่เหมาะสม

               4. วัตถุประสงค์           : 1. เพื่อให้มั่นใจว่าหน่วยงาน AA มีการกำหนดนโยบายและแนวปฏิบัติในการรักษา

                                             ความมั่นคงปลอดภัยด้านสารสนเทศของกรม A เป็นไปตามพระราชกฤษฎีกา
                                             กำหนดหลักเกณฑ์และวิธีการในการทำธุรกรรมทางอิเล็กทรอนิกส์ภาครัฐ

                                             พ.ศ. 2549 และประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ เรื่อง

                                             แนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ
                                             ของหน่วยงานของรัฐ พ.ศ. 2553 และ กฎหมายอื่นที่เกี่ยวข้อง

                                          2. เพื่อให้มั่นใจว่าหน่วยงาน AA มีการควบคุมภายในด้านเทคโนโลยีสารสนเทศ

                                              และการจัดการความเสี่ยงด้านการดำเนินงานระบบสารสนเทศที่เพียงพอเหมาะสม


               เอกสารวิชาการการตรวจสอบเทคโนโลยีสารสนเทศด้านการรักษาความมั่นคงปลอดภัยระบบสารสนเทศ       38
   41   42   43   44   45   46   47   48   49   50   51