Page 72 - เอกสารวิชาการ การตรวจสอบเทคโนโลยีสารสนเทศ ด้านการรักษาความมั่นคงปลอดภัยระบบสารสนเทศ
P. 72

ห้องสมุดกรมพัฒนาที่ดิน







                                                         บทที่ 5

                                               สรุปผลการตรวจสอบกรณีศึกษา

                       การปฏิบัติงานตรวจสอบ โดยมีหน่วยรับตรวจ AA ของกรม A เมื่อเสร็จสิ้นงานตรวจสอบ

               ทีมตรวจสอบได้รวบรวมหลักฐาน โดยรวบรวมจากเอกสาร ข้อมูล ข้อเท็จจริง ที่ได้จากการตรวจสอบ วิเคราะห์
               ประเมินผลจากการตรวจสอบ เพื่อให้ได้ข้อสรุปผลการตรวจสอบพร้อมข้อเสนอแนะ เสนอหัวหน้าหน่วยงาน

               ตรวจสอบต่อไป และหัวหน้าส่วนราชการ ตามลำดับ ดังนี้

                       รายการ                         ผลการตรวจสอบ                  ข้อเสนอแนะ/ความคิดเห็น

         1. การกำหนดและการปฏิบัติตามนโยบาย  จากการสอบทานเอกสารนโยบายและ 1. เห็นควรจัดทำประกาศของกรม A

         ตามประกาศคณะกรรมการธุรกรรม      แนวปฏิบัติการรักษาความมั่นคงปลอดภัย  เรื่อง นโยบายและแนวปฏิบัติการรักษา
         ทางอิเล็กทรอนิกส์ เรื่อง แนวนโยบาย   ด้านสารสนเทศของกรม A ซึ่งมี ความมั่นคงปลอดภัยด้านสารสนเทศ

         และแนวปฏิบัติในการรักษาความมั่นคง รายละเอียด ดังนี้                   ของกรม A โดยนำนโยบายส่วนที่ 9
         ปลอดภัยด้านสารสนเทศของหน่วยงาน        •  วัตถุประสงค์                 นโยบายระบบสารสนเทศและระบบ

         ของรัฐ พ.ศ. 2553 โดยมีขอบเขต ดังนี้   •  องค์ประกอบของนโยบายแนวปฏิบัติ  สำรองของสารสนเทศ และส่วนที่ 10

           1.1 ประกาศนโยบายและแนวปฏิบัติ     ในการรักษาความมั่นคงปลอดภัย
                                                                               นโยบายการตรวจสอบและประเมิน
         การรักษาความมั่นคงปลอดภัยด้านสารสนเทศ   ด้านสารสนเทศ โดยได้แบ่งแนวปฏิบัติ    ความเสี่ยงด้ า น ส า ร ส น เ ท ศ เ ป็ น

         ของกรม A ประกาศ ณ วันที่ 1 ตุลาคม   ไว้เป็น 10 ส่วน (ส่วนที่1–10) ซึ่ง  องค์ประกอบของนโยบาย เพื่อให้มี

         25XX                                ประกอบด้วยวัตถุประสงค์และ         ความครอบคลุม ครบถ้วน ตรงกันกับ
           1.2 แผนรองรับสถานการณ์ฉุกเฉิน     แนวปฏิบัติในการรักษาความมั่นคง    เอกสารนโยบายและแนวปฏิบัติการรักษา

         จากภัยพิบัติอันอาจมีผลกระทบต่อระบบ  ปลอดภัยด้านเทคโนโลยีสารสนเทศ      ความมั่นคงปลอดภัยด้านสารสนเทศ

         เทคโนโลยีสารสนเทศและการสื่อสาร      ของกรม A                          ของกรม A
           1.3 แผนรองรับภัยพิบัติและการบริหาร   •  ข้อปฏิบัติในด้านการรักษา    2. กรม A ควรมีข้อกำหนดด้านการควบคุม

         จัดการรักษาความมั่นคงปลอดภัยไซเบอร์  ความมั่นคงปลอดภัยด้านสารสนเทศ    ความมั่นคงปลอดภัยของข้อมูลสารสนเทศ
         ของกรม A                            ผลการตรวจสอบ :                    เพิ่มเติมเพื่อลดความเสี่ยงในการใช้งาน

           1.4 การบริหารความเสี่ยงด้านระบบ   1. จากการสอบทานระหว่างประกาศ
                                                                               อุปกรณ์สารสนเทศ/การใช้/การเข้าถึง
                                                                               ข้อมูลสารสนเทศ และควรสื่อสารไปยัง
         เทคโนโลยีสารสนเทศของกรม A           ของกรม A เรื่อง นโยบายและแนวปฏิบัติ
           1.5 โครงการพัฒนาระบบสารสนเทศ      การรักษาความมั่นคงปลอดภัยด้าน     ผู้ใช้งานของทุกหน่วยงานสังกัดกรม A

         ของกรม A (แผนแม่บท IT)              สารสนเทศของกรม A พ.ศ. 2555 (ฉบับที่  เพื่อให้ตระหนักรับรู้และปฏิบัติตาม
           1.6 การติดตามและประเมินผล การนำ   ประกาศใช้ ณ วันที่ 1 ต.ค. 25XX) กับ  อย่างปลอดภัย ซึ่งจะทำให้กรม A มีมาตรฐาน

         นโยบายต่าง ๆ สู่การปฏิบัติ                                            การรักษาความมั่นคงปลอดภัยของระบบ
                                             เอกสารนโยบายและแนวปฏิบัติการรักษา

                                             ความมั่นคงปลอดภัยด้านสารสนเทศ     สารสนเทศตามวิธีการแบบปลอดภัย
                                             ของกรม A แนบท้ายประกาศ พบว่า      (ประกาศคณะกรรมการธุรกรรมทาง



               เอกสารวิชาการการตรวจสอบเทคโนโลยีสารสนเทศด้านการรักษาความมั่นคงปลอดภัยระบบสารสนเทศ       64
   67   68   69   70   71   72   73   74   75   76   77