Page 53 - เอกสารวิชาการ การตรวจสอบเทคโนโลยีสารสนเทศ ด้านการรักษาความมั่นคงปลอดภัยระบบสารสนเทศ
P. 53
ห้องสมุดกรมพัฒนาที่ดิน
3. การปฏิบัติงานตรวจสอบ
ผู้ตรวจสอบภายในได้รายละเอียดการตรวจสอบ ณ หน่วยรับตรวจ AA ประกอบด้วย ประเด็นการตรวจสอบ
วัตถุประสงค์การตรวจสอบ ขอบเขตการตรวจสอบ ระยะเวลาการตรวจสอบ และปฏิบัติงานตามแผนการปฏิบัติงาน
(Engagement Plan) ดังนี้
3.1 ประเด็นการตรวจสอบ
การควบคุม และการปฏิบัติตามการควบคุมของการรักษาความปลอดภัยด้านสารสนเทศ
ไม่เพียงพอ ไม่เหมาะสม
3.2 วัตถุประสงค์การตรวจสอบ
3.2.1 เพื่อให้มั่นใจว่าหน่วยงาน AA มีการกำหนดนโยบายและแนวปฏิบัติในการรักษาความมั่นคง
ปลอดภัย ด้านสารสนเทศ ของกรม A เป็นไปตามพระราชกฤษฎีกากำหนดหลักเกณฑ์และวิธีการในการทำ
ธุรกรรมทางอิเล็กทรอนิกส์ภาครัฐ พ.ศ. 2549 และประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ เรื่อง แนวนโยบาย
และแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศของหน่วยงานของรัฐ พ.ศ. 2553
และกฎหมายอื่นที่เกี่ยวข้อง
3.2.2 เพื่อให้มั่นใจว่าหน่วยงาน AA มีการควบคุมภายในด้านเทคโนโลยีสารสนเทศและ
การจัดการความเสี่ยงด้านการดำเนินงานระบบสารสนเทศที่เพียงพอ เหมาะสม
3.3 ขอบเขตการตรวจสอบ
3.3.1 การควบคุม และการปฏิบัติตามมาตรการควบคุมภายในของการรักษาความปลอดภัย
ด้านสารสนเทศภายใต้กรอบระเบียบ ดังนี้
(1) พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 (ฉบับที่ 2)
พ.ศ. 2560
(2) ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ เรื่อง แนวนโยบายและแนวปฏิบัติ
ในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศของหน่วยงานของรัฐ พ.ศ. 2553
(3) พระราชกฤษฎีกากำหนดหลักเกณฑ์และวิธีการในการทำธุรกรรมทางอิเล็กทรอนิกส์ภาครัฐ
พ.ศ. 2549
3.3.2 การบริหารความเสี่ยงด้านเทคโนโลยีสารสนเทศ
3.4 ระยะเวลาการตรวจสอบ
ระหว่าง เดือน ธ.ค. – เม.ย. 25XX
3.5 ปฏิบัติงานตามแผนการปฏิบัติงาน (Engagement Plan)
สอบทานและรวบรวมข้อมูล เอกสารหลักฐานจากการปฏิบัติงานของหน่วยรับตรวจ AA และบันทึกผล
จากการสอบทานในกระดาษทำการของผู้ตรวจสอบภายใน เพื่อวิเคราะห์และประมวลผล สรุปเป็นผลการตรวจสอบ ดังนี้
เอกสารวิชาการการตรวจสอบเทคโนโลยีสารสนเทศด้านการรักษาความมั่นคงปลอดภัยระบบสารสนเทศ 45
