Page 46 - เอกสารวิชาการ การตรวจสอบเทคโนโลยีสารสนเทศ ด้านการรักษาความมั่นคงปลอดภัยระบบสารสนเทศ
P. 46
ห้องสมุดกรมพัฒนาที่ดิน
จากการประเมินความเสี่ยงเบื้องต้นของการรักษาความปลอดภัยสารสนเทศของกรม A ได้นำขั้นตอนงาน
ที่มีความเสี่ยงระดับสูงมากำหนดประเด็นการตรวจสอบ ได้แก่
1. นโยบายและแนวปฏิบัติการรักษาความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศกรม A ตามประกาศ
คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2553 และกฎระเบียบที่เกี่ยวข้อง รวมถึงทบทวนเป็นปัจจุบัน
2. การปฏิบัติ การควบคุม การติดตาม และการประเมินผลการปฏิบัติตามนโยบาย และแนวปฏิบัติ
การรักษาความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ
3. สภาพแวดล้องห้องเครื่องคอมพิวเตอร์แม่ข่าย การเข้าถึงและการใช้งาน (ระบบเครือข่าย
ระบบปฏิบัติการ Application) กฎระเบียบที่เกี่ยวข้องของกรม A
ความเสี่ยงเบื้องต้นดังกล่าว ผู้ตรวจสอบภายในได้กำหนด ประเด็นการตรวจสอบ คือ การควบคุม
และการปฏิบัติตามการควบคุมของการรักษาความปลอดภัยด้านสารสนเทศ ไม่เพียงพอ ไม่เหมาะสม
2. แผนการปฏิบัติงาน (Engagement Plan)
ผู้ตรวจสอบภายในจะมีการจัดทำแผนการปฏิบัติงาน (Engagement Plan) ตรวจสอบในกิจกรรมที่/
โครงการได้รับมอบหมายจากหัวหน้าหน่วยงานตรวจสอบภายใน เพื่อเป็นกรอบในการปฏิบัติงานตรวจสอบของทีมงาน
ตรวจสอบ ซึ่งแผนการปฏิบัติต้องได้รับความเห็นชอบจากหัวหน้าหน่วยงานตรวจสอบภายในก่อนนำไปใช้ในการปฏิบัติงาน
โดยรายละเอียดการจัดทำแผน มีดังนี้
แผนการปฏิบัติงาน (Engagement Plan)
ตามแผนการตรวจสอบประจำปีงบประมาณ พ.ศ. 25xx
......................................................
1. หน่วยรับตรวจ : หน่วยงาน AA
2. กิจกรรมที่ตรวจสอบ : เทคโนโลยีสารสนเทศ ด้านการรักษาความมั่นคงปลอดภัยระบบสารสนเทศ
3. ประเด็นการตรวจสอบ : การควบคุม และการปฏิบัติตามการควบคุมของการรักษาความปลอดภัย
ด้านสารสนเทศ ไม่เพียงพอ ไม่เหมาะสม
4. วัตถุประสงค์ : 1. เพื่อให้มั่นใจว่าหน่วยงาน AA มีการกำหนดนโยบายและแนวปฏิบัติในการรักษา
ความมั่นคงปลอดภัยด้านสารสนเทศของกรม A เป็นไปตามพระราชกฤษฎีกา
กำหนดหลักเกณฑ์และวิธีการในการทำธุรกรรมทางอิเล็กทรอนิกส์ภาครัฐ
พ.ศ. 2549 และประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ เรื่อง
แนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ
ของหน่วยงานของรัฐ พ.ศ. 2553 และ กฎหมายอื่นที่เกี่ยวข้อง
2. เพื่อให้มั่นใจว่าหน่วยงาน AA มีการควบคุมภายในด้านเทคโนโลยีสารสนเทศ
และการจัดการความเสี่ยงด้านการดำเนินงานระบบสารสนเทศที่เพียงพอเหมาะสม
เอกสารวิชาการการตรวจสอบเทคโนโลยีสารสนเทศด้านการรักษาความมั่นคงปลอดภัยระบบสารสนเทศ 38