ระบบสารสนเทศที่สนับสนุน การควบคุมและตรวจสอบภายใน 18 มิถุนายน 2555 2.3 ระบบสารสนเทศที่สนับสนุนการควบคุมและตรวจสอบภายใน

ระบบสารสนเทศที่สนับสนุน การควบคุมและตรวจสอบภายใน 1. มีการนำระบบ IS มาช่วยในการควบคุมและตรวจสอบภายใน องค์กร ทั้งการควบคุมและ ตรวจสอบด้านกฎ ระเบียบ ข้อบังคับ ต่างๆ รวมไป ถึงความถูกต้องของข้อมูลด้านบัญชีและการเงิน 2. มีกระบวนการ Computer Audit ครบทุกประเด็นที่สาคัญ 3. การดำเนินงานตามแผนงาน/โครงการหลักด้านสารสนเทศ ที่มี มูลค่าสูงและมีผลกระทบต่อการดำเนินงานขององค์กรอย่างมีนัย สาคัญ 4. มีผู้ตรวจสอบภายในที่มีความรู้ด้าน IT ระบบสารสนเทศที่สนับสนุน การควบคุมและตรวจสอบภายใน 2.3 ระบบสารสนเทศที่สนับสนุนการควบคุมและตรวจสอบภายใน

ระบบสารสนเทศที่สนับสนุน การควบคุมและตรวจสอบภายใน การกำกับดูแลกิจการที่ดี การบริหารความเสี่ยง และ CSA – Control Self Assessment การดำเนินงานระบบบริหารจัดการความมั่นคง ปลอดภัยด้านสารสนเทศ การตอบแบบประเมิน 2.3 ระบบสารสนเทศที่สนับสนุนการควบคุมและตรวจสอบภายใน

การกำกับดูแลกิจการที่ดี การควบคุมภายใน (COSO) การกำกับดูแลกิจการที่ดี การบริหารความเสี่ยง และ CSA – Control Self Assessment การกำกับดูแลกิจการที่ดี การบริหาร ความเสี่ยง (RM) การควบคุมภายใน (COSO) การตรวจสอบภายใน ตามฐานความเสี่ยง IT Governance 2.3 ระบบสารสนเทศที่สนับสนุนการควบคุมและตรวจสอบภายใน

2.3 ระบบสารสนเทศที่สนับสนุนการควบคุมและตรวจสอบภายใน COBIT and Other IT Management Frameworks Organisations will consider and use a variety of IT models, standards and best practices. These must be understood in order to consider how they can be used together, with COBIT acting as the consolidator (‘umbrella’). COSO COBIT ISO 27001 ITIL WHAT HOW SCOPE OF COVERAGE COBIT : Control OBjectives for Information and related Technology 2.3 ระบบสารสนเทศที่สนับสนุนการควบคุมและตรวจสอบภายใน

2.3 ระบบสารสนเทศที่สนับสนุนการควบคุมและตรวจสอบภายใน Table of comparison between 3 standards AREA COBIT ITIL ISO27001 Function Mapping IT Process Mapping IT Service Level Management Information Security Framework Area 4 Process and 34 Domain 9 Process 10 Domain Issuer ISACA OGC ISO Board Implementation Information System Audit Manage Service Level Compliance to security standard 2.3 ระบบสารสนเทศที่สนับสนุนการควบคุมและตรวจสอบภายใน

ITG / COBIT in Summary การดำเนินงานตาม COBIT Planning and Organization BUSINESS OBJECTIVES AND GOVERNANCE OBJECTIVES Planning and Organization Monitoring and Evaluating PO1 Define a strategic IT plan. PO2 Define the information architecture. PO3 Determine technological direction. PO4 Define the IT processes, organisation and relationships. PO5 Manage the IT investment. PO6 Communicate management aims and direction. PO7 Manage IT human resources. PO8 Manage quality. PO9 Assess and manage IT risks. PO10 Manage projects. ME1 Monitor and evaluate IT performance. ME2 Monitor and evaluate internal control. ME3 Ensure compliance with external requirements. ME4 Provide IT governance. INFORMATION C O B I T F R A M E W O R K BUSINESS OBJECTIVES AND GOVERNANCE OBJECTIVES Efficiency Integrity Effectiveness Availability MONITOR AND EVALUATE Compliance Confidentiality PLAN AND ORGANISE Delivery and Support Reliability IT RESOURCES DS1 Define and manage service levels. DS2 Manage third-party services. DS3 Manage performance and capacity. DS4 Ensure continuous service. DS5 Ensure systems security. DS6 Identify and allocate costs. DS7 Educate and train users. DS8 Manage service desk and incidents. DS9 Manage the configuration. DS10 Manage problems. DS11 Manage data. DS12 Manage the physical environment. DS13 Manage operations. Acquisition and Implementation Applications Information Infrastructure People DELIVER AND SUPPORT ACQUIRE AND IMPLEMENT AI1 Identify automated solutions. AI2 Acquire and maintain application software. AI3 Acquire and maintain technology infrastructure. AI4 Enable operation and use. AI5 Procure IT resources. AI6 Manage changes. AI7 Install and accredit solutions and changes. 2.3 ระบบสารสนเทศที่สนับสนุนการควบคุมและตรวจสอบภายใน Source: ITGI 8

2.3 ระบบสารสนเทศที่สนับสนุนการควบคุมและตรวจสอบภายใน กระบวนการจัดทำ COBIT จัดลำดับความสำคัญของกระบวนการ กำหนด maturity level (ระดับคะแนนการควบคุมด้วยตนเอง) ประเมินช่องว่างเทียบกับการดำเนินปัจจุบันในแต่ละกระบวนการ หน่วยงานเจ้าของกระบวนการยืนยัน และจัดทำโครงการปรับปรุง ติดตามและประเมินผล 2.3 ระบบสารสนเทศที่สนับสนุนการควบคุมและตรวจสอบภายใน

2.3 ระบบสารสนเทศที่สนับสนุนการควบคุมและตรวจสอบภายใน CSA CSA มีชื่อเรียกที่แตกต่างกัน CSA ( Control Self Assessment) CRSA (Control and Risk Self Assessment) แต่หลักการ คือ การประเมินด้วย บุคคลที่มีหน้าที่รับผิดชอบในงานนั้นเอง บทบาทของผู้ตรวจสอบภายใน คือ เป็นผู้อำนวยความสะดวกและให้คำแนะนำในเรื่อง แนวคิด และแนวทางในการบริหารความเสี่ยง และการควบคุมภายใน หรือการทำหน้าที่งานด้านการให้คำแนะนำปรึกษา (Consulting Service) 2.3 ระบบสารสนเทศที่สนับสนุนการควบคุมและตรวจสอบภายใน ฝ่ายกำกับดูแลกิจการที่ดี

CSA หรือ การประเมินการควบคุมด้วยตนเอง ดำเนินการโดยผู้รับผิดชอบการปฏิบัติงาน และใช้วิธีออกความเห็นร่วมกัน (Consensus) เป็นกระบวนการประเมินความเสี่ยงและประสิทธิภาพของการควบคุมภายใน เป็นกระบวนการ ที่มีแบบแผน มีความยืดหยุ่นสูง และก่อให้เกิดแผนปฏิบัติการ มีการรวบรวมข้อมูลอย่างเป็นระบบ เป็นการสร้างแหล่งความรู้ส่วนกลาง ซึ่งได้จากผู้บริหารและผู้รับผิดชอบ ในการปฏิบัติงานนั้น สามารถปฏิบัติงานได้จริงและสนับสนุนให้ผู้บริหารและพนักงานสามารถปฏิบัติงานที่ตอบสนองต่อการเปลี่ยนแปลงได้อย่างทันท่วงที 2.3 ระบบสารสนเทศที่สนับสนุนการควบคุมและตรวจสอบภายใน ฝ่ายกำกับดูแลกิจการที่ดี

2.3 ระบบสารสนเทศที่สนับสนุนการควบคุมและตรวจสอบภายใน กระบวนการ CSA การสนับสนุนจาก ผู้บริหาร การจัดทำแผนการ ปฏิบัติงานสำหรับ CSA การรวบรวมข้อมูล การจัดทำแบบสอบถาม การ ควบคุมภายใน การดำเนินการประชุม เชิงปฏิบัติการ การรายงานและ การติดตามผล การขอการ สนับสนุน จากผู้บริหาร การจัดทำ แผน ประจำปี Workshop การขออนุมัติ การเตรียม การรวบรวม ข้อมูล การสอบ ทานข้อมูล ต่าง ๆ การประชุมเชิง ปฏิบัติการ ค วามเสี่ยง การศึกษา กระบวนการ ปฏิบัติงาน การให้ ความรู้ การชี้แจง วัตถุประสงค์ การประเมินการ ควบคุมโดยใช้ แบบสอบถาม แผนปฏิบัติ การร่างแบบ สอบถาม การสอบทาน การรายงาน การติดตาม คณะกรรมการ ตรวจสอบ การระบุ แนวปฏิบัติที่ดี การลง นาม กำกับ ตัวอย่าง 2.3 ระบบสารสนเทศที่สนับสนุนการควบคุมและตรวจสอบภายใน

การประเมินการควบคุมภายใน ระบบการควบคุมภายใน ควรได้รับการประเมินผลอย่าง ต่อเนื่องและสม่ำเสมอ ว่าการควบคุมภายในเป็นไปตามวัตถุประสงค์ ของการควบคุม ที่กำหนดหรือไม่ และยังมีความเหมาะสมกับสภาพแวดล้อม ที่เปลี่ยนแปลงไปหรือไม่ หลักในการประเมิน ความเพียงพอของการควบคุมภายใน พอ/ไม่พอกับความเสี่ยงที่มีอยู่ การมีอยู่จริงของการควบคุมภายใน มี/ไม่มี ประสิทธิผลของการควบคุมภายใน ใช้/ไม่ใช้ ประสิทธิภาพของการควบคุมภายใน คุ้มค่า/ไม่คุ้มค่าต่อการลงทุน 2.3 ระบบสารสนเทศที่สนับสนุนการควบคุมและตรวจสอบภายใน ฝ่ายกำกับดูแลกิจการที่ดี

ตัวอย่างแบบสอบถามการควบคุมภายใน ประสิทธิภาพการควบคุมภายใน สายงาน /สำนัก สำนักคุณภาพและระบบงาน กระบวนการ การบริหารโครงการ PO 10 ฝ่าย ส่วน อ้างถึง นโยบาย หลัก เกณฑ์ และ วิธีปฏิบัติ ลงนามกำกับโดยเจ้าของการควบคุม ประสิทธิภาพการควบคุมภายใน ไม่ เกี่ยวข้อง เหตุผล Optimized Managed and Measurable Defined Repeat able but Intuitive Initial/Ad Hoc Non-existent (5) (4) (3) (2) (1) (0) PO 10.1 Program Management Framework กรอบการบริหารโปรแกรม 1. ในการบริหารโครงการระบบสารสนเทศทุกระบบ ได้กำหนดกรอบในการพิจารณาและปรับปรุงเกี่ยวกับ IT portfolio อย่างสม่ำเสมอ เช่น การระบุถึงนิยามในการทำ IT portfolio ขอบเขตในการดำเนินงาน การตรวจประเมิน การจัดลำดับความสำคัญของงาน เกณฑ์การคัดเลือกระบบหรืองานเพื่อลงทุนด้าน IT การจัดเตรียมงานโครงการ การบริหารจัดการโครงการ และการควบคุมงานโครงการ 2. การประเมินในภาพรวม ลงนามกำกับโดยเจ้าของการควบคุม : _______________________________ วันที่: ___________ สอบทานโดยเจ้าของกระบวนการ : _______________________________ วันที่: ___________ การประเมินการควบคุมครอบคลุมระยะเวลา : ตั้งแต่ : _____________ถึง : ____________ 2.3 ระบบสารสนเทศที่สนับสนุนการควบคุมและตรวจสอบภายใน

แนวทางในการประเมินประสิทธิภาพการควบคุมภายใน ระดับคะแนนการควบคุม คำอธิบายระดับคะแนน 5 ดีเยี่ยม ระดับสูงสุด (Optimized) การควบคุมภายในของกระบวนการนั้นได้มีการจัดทำตามกรอบวิธีปฏิบัติที่ดีในระดับสูงสุด 4 ดีมาก ระดับที่มีการจัดการและวัดผลงาน (Managed and Measurable) การควบคุมภายในของกระบวนการนั้นได้มีการจัดทำตามกรอบวิธีปฏิบัติที่ดีในระดับดีมาก คือ มีการจัดการ และวัดผลงานได้ 3 ดี ระดับที่มีการกำหนดวิธี/ขั้นตอนการทำงาน (Defined) การควบคุมภายในของกระบวนการนั้นได้มีการจัดทำตามกรอบวิธีปฏิบัติที่ดีในระดับดี คือ มีการระบุขั้นตอนในการทำงาน 2 พอใช้ ระดับที่มีการทำซ้ำได้ แต่ยังไม่เป็นระบบ (Repeatable but Intuitive) การควบคุมภายในของกระบวนการนั้นได้มีการจัดทำตามกรอบวิธีปฏิบัติที่ดีในระดับพอใช้ คือ มีการระบุขั้นตอนในการทำงานที่สามารถนำไปทำซ้ำได้ แต่เป็นการใช้สัญชาตญาณในการทำงาน ยังไม่เป็นระบบ ไม่มีกรอบ/วิธีการทำงานที่ชัดเจน เพียงพอ อาจทำให้งานผิดพลาดได้โดยง่าย 1 ควรปรับปรุง ขั้นเริ่มต้น (Initial/Ad Hoc) การควบคุมภายในของกระบวนการนั้นได้มีการจัดทำตามกรอบวิธีปฏิบัติที่ดีในระดับที่ควรปรับปรุง คือ การดำเนินงานส่วนใหญ่เป็นที่รู้กันเฉพาะในหมู่ผู้ปฏิบัติงานเพียงบางกลุ่ม ยังไม่ครอบคลุมทั่วทั้งองค์กร ต้องปรับปรุง ขั้นที่ไม่มีการควบคุม (Non-existent) ยังไม่มีการควบคุมภายในของกระบวนการนั้นตามกรอบวิธีปฏิบัติที่ดี เป็นการประเมินโดยใช้กรอบแนวคิดของ CObIT และ Maturity Model ในกรณีที่ไม่สามารถประเมินการควบคุมภายในได้ เนื่องจากไม่เกี่ยวข้องในกระบวนการ/การควบคุมนั้น ให้ระบุว่า “ไม่เกี่ยวข้อง” (Not applicable) 2.3 ระบบสารสนเทศที่สนับสนุนการควบคุมและตรวจสอบภายใน ฝ่ายกำกับดูแลกิจการที่ดี

การจัดทำแผนปฏิบัติการ ลักษณะการควบคุมภายในที่จะจัดทำแผนปฏิบัติการ อยู่ระหว่างการปรับปรุงแก้ไข ควรปรับปรุง ไม่มีการควบคุม แผนปฏิบัติการสามารถแบ่งเป็น 3 กลุ่ม ตามความรับผิดชอบ คือ แผนปฏิบัติการที่ดำเนินการได้เอง แผนปฏิบัติการที่ต้องดำเนินการโดยกลุ่มอื่น แผนปฏิบัติการที่ต้องดำเนินการในระดับ บมจ. ทีโอที 2.3 ระบบสารสนเทศที่สนับสนุนการควบคุมและตรวจสอบภายใน

ตัวอย่างแผนปฏิบัติการปรับปรุงการควบคุมภายใน สายงาน/สำนัก ขายและบริการภูมิภาคที่ .. กระบวนการ บำรุงรักษาเคเบิลทองแดง สายกระจาย และ ADSL ฝ่าย ขายและบริการลูกค้าภูมิภาคที่ .... ส่วน บริการลูกค้าเมื่อง...... อ้างถึง แบบสอบถาม ข้อที่ แผนปฏิบัติการ ปี 2553 ปี 2554 หน่วยงานผู้รับผิดชอบในการปฏิบัติ Q1 Q2 Q3 Q4 Q 1 การรับแจ้งเหตุเสียและการออกในจ่ายงาน 4 ดำเนินการพัฒนา Website ที่ใช้ในการติดตั้งเลขหมายในปัจจุบัน ให้เชื่อมโยงข้อมูลสรุปการปิดงานซ่อมบำรุงเคเบิลทองแดง สายกระจาย และ ADSL ประจำวันให้ 1177 ทุกสิ้นวัน ** * ศูนย์บริการ ตอนใน การติดตามผลการซ่อมบำรุงเคเบิลทองแดง สายกระจาย และ ADSL 16 ดำเนินการพัฒนาโปรแกรมเพื่อใช้ในการติดตามผลการซ่อมบำรุงได้อย่างมีประสิทธิภาพ เพื่อใช้ในการจัดทำรายงานวิเคราะห์สาเหตุการซ่อมบำรุงเคเบิลทองแดง สายกระจาย และ ADSLไม่แล้วเสร็จตามระยะเวลาที่กำหนด ศูนย์การขายและบริการลูกค้า (1177) ศูนย์บริการ ตอนใน ดำเนินการอย่างต่อเนื่อง(On going) ลงนามกำกับโดยเจ้าของการควบคุม ………………………………………… วันที่ …………………………………………….. สอบทานโดยเจ้าของกระบวนการ……………………………………………… วันที่ …………………………………………….. 2.3 ระบบสารสนเทศที่สนับสนุนการควบคุมและตรวจสอบภายใน

รายงาน CSA ผู้รับรายงาน รายงาน ความถี่ของการรายงาน ผู้จัดทำ ผู้บริหารของส่วนงาน สำเนารายงานให้กับ ฝ่ายตรวจสอบกระบวนการสนับสนุนและสารสนเทศ รายงาน สรุปผลการประเมินการควบคุมด้วยตนเอง ทันทีที่เสร็จสิ้น การประเมิน เจ้าของกระบวนการ/ผู้จัดการ CSA สำเนารายงานให้กับ ฝ่ายตรวจสอบกระบวนการสนับสนุนและสารสนเทศ รายงาน ความคืบหน้าของแผนปฏิบัติการ รายเดือน / รายไตรมาส 2.3 ระบบสารสนเทศที่สนับสนุนการควบคุมและตรวจสอบภายใน

การดำเนินงานระบบบริหารจัดการความมั่นคงปลอดภัยด้านสารสนเทศ 2.3 ระบบสารสนเทศที่สนับสนุนการควบคุมและตรวจสอบภายใน

การดำเนินการตามมาตรฐาน ISO/IEC 27001:2005 CIA Confidentiality ความลับ, Integrity ความสมบูรณ์, Availability ความพร้อมใช้ มีระบบป้องกันการบุกรุก ระบบป้องกันไวรัส และสแปม บริหารจัดการสิทธิเพื่อเข้าใช้ระบบงานตามอำนาจ หน้าที่ความ รับผิดชอบ ใช้วิธีการยืนยันตัวตน (Identity Management) แบ่งชั้นความลับตามความสำคัญของข้อมูลและกำหนดสิทธิการ เข้าถึงข้อมูลสารสนเทศ สุ่มสอบทานความถูกต้องของข้อมูลสารสนเทศ ควบคุมการไม่ให้ละเมิดโดยผู้ไม่มีสิทธิ กำหนดการเข้ารหัสข้อมูลที่เป็นความลับและข้อมูลที่มีความสำคัญ รับข้อมูลตรงจากระบบฐานข้อมูลต่างๆ (Operational Database) ตามรูปแบบ (Template) และเงื่อนไขที่กำหนด เพื่อลดความ ผิดพลาดจากแบบ Manual พัฒนาระบบ Web Data Entry ที่ตรวจสอบเงื่อนไขความถูกต้องของ ข้อมูลก่อนบันทึก ในกรณีที่ไม่มี ระบบฐานข้อมูลรองรับ 2.3 ระบบสารสนเทศที่สนับสนุนการควบคุมและตรวจสอบภายใน

การดำเนินการตามมาตรฐาน ISO/IEC 27001:2005 CIA Confidentiality ความลับ, Integrity ความสมบูรณ์, Availability ความพร้อมใช้ ใช้โปรแกรม Data Validation สำหรับ *.csv file เพื่อตรวจสอบ รูปแบบ ชนิดของข้อมูลให้ถูกต้องก่อนส่ง กำหนดเงื่อนไขการเข้ารหัสข้อมูลที่เป็นความลับและข้อมูลที่มี ความสำคัญ และควบคุมไม่ให้ละเมิดโดยผู้ไม่มีสิทธิ ปฏิบัติตามมาตรฐานและมีการตรวจสอบข้อมูลนำเข้า ข้อมูลที่อยู่ใน ระหว่างการประมวลผล ข้อมูลที่แลกเปลี่ยนระหว่างแอพพลิเคชัน และ ข้อมูลนำออก มีระบบฐานข้อมูลองค์กรแหล่งเดียวที่ใช้จัดทำรายงาน ทดสอบความถูกต้องของรายงานทั้ง Unit Test และ UAT สุ่มสอบทานข้อมูลและสารสนเทศตามงวดเวลาที่กำหนด กำหนดเป็นตัวชี้วัดการดำเนินงานเกี่ยวกับ Service Availability ของ ระบบ รวมทั้งมีข้อตกลงในการให้บริการกับ User ตามระยะเวลาที่ กำหนด 2.3 ระบบสารสนเทศที่สนับสนุนการควบคุมและตรวจสอบภายใน

การดำเนินการตามมาตรฐาน ISO/IEC 27001:2005 นโยบายการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ ST-01: การนำนโยบายการรักษาความมั่นคงปลอดภัยด้านสารสนเทศไปปฏิบัติใช้ ST-02: โครงสร้างความมั่นคงปลอดภัยด้านสารสนเทศ ST-03: การบริหารจัดการทรัพย์สินสารสนเทศของบริษัท ST-04: ความมั่นคงปลอดภัยที่เกี่ยวข้องกับบุคลากร ST-05: ความมั่นคงปลอดภัยด้านกายภาพและสภาพแวดล้อม ST-06: การบริหารจัดการด้านการสื่อสารและการปฏิบัติการด้านสารสนเทศ ST-08: การจัดหาพัฒนา และบำรุงรักษาระบบสารสนเทศ ST-07:การควบคุมการเข้าถึง ST-09: การบริหารจัดการเหตุการณ์ละเมิดความมั่นคงปลอดภัยด้านสารสนเทศ ST-10: การบริหารจัดการความต่อเนื่องในการดำเนินธุรกิจ ST-11: การปฏิบัติตามข้อกำหนดความปลอดภัยด้านสารสนเทศ 2.3 ระบบสารสนเทศที่สนับสนุนการควบคุมและตรวจสอบภายใน 23

มาตรฐานและขั้นตอนปฏิบัติที่เกี่ยวข้อง PD-010103 การขอยกเว้นไม่ปฏิบัติตามมาตรฐาน ST-01: การนำนโยบายการรักษาความมั่นคงปลอดภัยด้านสารสนเทศไปปฏิบัติใช้ PD-030101 การจัดทำทะเบียนทรัพย์สินสารสนเทศ PD-030201 การจัดชั้นสารสนเทศตามระดับความมั่นคงปลอดภัย PD-020201 การประเมินความเสี่ยงของการเข้าถึงสารสนเทศโดยลูกค้าและหน่วยงานภายนอก ST-02: โครงสร้างความมั่นคงปลอดภัยด้านสารสนเทศ PD-060102 การจัดการและควบคุมการเปลี่ยนแปลงอุปกรณ์ประมวลผลสารสนเทศ PD-060201 การประเมินการให้บริการของหน่วยงานภายนอก PD-060401 การควบคุมป้องกันโปรแกรมที่ไม่ประสงค์ดีและโปรแกรมชนิดเคลื่อนที่ PD-060501 การสำรองและกู้คืนสารสนเทศ PD-060701 การบริหารจัดการสื่อบันทึกข้อมูลที่พกพาได้ PD-060801 การแลกเปลี่ยนสารสนเทศ PD-061002 การเฝ้าระวังการใช้งานระบบ ST-03: การบริหารจัดการทรัพย์สินสารสนเทศของบริษัท PD-040302 การสิ้นสุดหรือการเปลี่ยนแปลงการว่าจ้าง ST-04: ความมั่นคงปลอดภัยที่เกี่ยวข้องกับบุคลากร PD-050101 การจัดการบริเวณที่ต้องมีการรักษาความมั่นคงปลอดภัย PD-050204 การจัดการความมั่นคงปลอดภัยของอุปกรณ์ ST-05: ความมั่นคงปลอดภัยด้านกายภาพและสภาพแวดล้อม ST-06: การบริหารจัดการด้านการสื่อสารและการปฏิบัติการด้านสารสนเทศ ST-07: การควบคุมการเข้าถึง PD-090201 การบริหารจัดการเมื่อเกิดเหตุการณ์ที่เกี่ยวกับความมั่นคงปลอดภัยด้านสารสนเทศ PD-070201 การบริหารจัดการการเข้าถึงของผู้ใช้งาน PD-070401 การขอใช้บริการเครือข่าย PD-070504 การขอใช้โปรแกรมประเภทยูทิลิตี้สำหรับระบบ ST-08: การจัดหาพัฒนา และบำรุงรักษาระบบสารสนเทศ PD-100101 การจัดทำแผนสร้างความต่อเนื่องในการดำเนินธุรกิจ ST-09: การบริหารจัดการเหตุการณ์ละเมิดความมั่นคงปลอดภัยด้านสารสนเทศ ST-10: การบริหารจัดการความต่อเนื่องในการดำเนินธุรกิจ PD-080302 การบริหารจัดการกุญแจเข้ารหัสข้อมูล PD-080403 การบริหารจัดการ Source Code PD-110102 การตรวจสอบการใช้โปรแกรมคอมพิวเตอร์ที่ละเมิดทรัพย์สินทางปัญญา ST-11: การปฏิบัติตามข้อกำหนดความปลอดภัยด้านสารสนเทศ 2.3 ระบบสารสนเทศที่สนับสนุนการควบคุมและตรวจสอบภายใน 24

แนวทางการประเมินและควบคุมความเสี่ยง ทรัพย์สินสารสนเทศ (C / I / A) สารสนเทศ ทรัพย์สินทางซอฟต์แวร์ ทรัพย์สินทางกายภาพ บริการ บุคลากร ระดับความมั่นคงปลอดภัย (Security Level) จัดลำดับความสำคัญ เพื่อเลือกทรัพย์สินที่จะใช้ประเมินความเสี่ยง 2.3 ระบบสารสนเทศที่สนับสนุนการควบคุมและตรวจสอบภายใน

แนวทางการประเมินและควบคุมความเสี่ยง เหตุการณ์ความเสี่ยง (Risk Event) = ภัยคุกคาม(Threat) VS ช่องโหว่(Vulnerability) ระดับความเสี่ยง (Risk Level) = ผลกระทบ (Impact) VS โอกาสเกิด(Likelihood) จัดลำดับความสำคัญ เพื่อเลือกความเสี่ยงที่ต้องถูกควบคุมเพิ่มเติม แนวทางการควบคุมความเสี่ยง (Risk Treatment) 1. แก้ไขความเสี่ยง (Mitigate Risk) 2. ยอมรับความเสี่ยง (Accept Risk) 3. หลีกเลี่ยงความเสี่ยง (Avoid Risk) 4. โอนความเสี่ยง (Transfer Risk) 2.3 ระบบสารสนเทศที่สนับสนุนการควบคุมและตรวจสอบภายใน 26

ระดับความมั่นคงปลอดภัย VS ระดับความเสี่ยง ระดับความมั่นคงปลอดภัย (Security Level) ระดับความเสี่ยง (Risk Level) ระดับความลับ (Sensitivity Level) ระดับความสำคัญ (Criticality Level) สูงสุด สูง ปานกลาง ต่ำ ลับที่สุด ลับมาก ลับ อื่นๆ 5 สูง 4 3 ปาน กลาง 2 1 ต่ำ ระดับโอกาสเกิด ระดับผลกระทบ ระดับความลับ ระดับความสำคัญ ความถูกต้องครบถ้วน ความพร้อมใช้ เหตุการณ์ความเสี่ยง ภัยคุกคาม ช่องโหว่ ระดับความเสี่ยง ระดับโอกาสเกิด ระดับผลกระทบ 2.3 ระบบสารสนเทศที่สนับสนุนการควบคุมและตรวจสอบภายใน 27

IC&IA (Non-IT) & Information System การตอบแบบประเมิน IC&IA (Non-IT) & Information System Information System IC&IA (Non-IT) การควบคุมภายในและ การตรวจสอบภายใน (Non-IT) 2.3.1.1 เครื่องมือที่ช่วย [Software/Paper/อื่นๆ] 2.3.1.2 ข้อมูล [ฐานข้อมูลกลาง/อื่นๆ], เครื่องมือที่ช่วย รวบรวม+เก็บข้อมูล [Software/Excel/Paper/อื่นๆ] จัดทำแผนตรวจสอบ (Non-IT) 2.3.1.3 ข้อมูลเพื่อตรวจจาก [Software/Paper/ อื่นๆ] เครื่องมือที่ช่วย [Software/Paper/อื่นๆ] ดำเนินการตรวจสอบ (Non-IT) 2.3.1.4.1 [ไม่พบประเด็นปัญหาที่ IS ช่วยได้] รายงานผลตรวจสอบ (Non-IT) 2.3.1.4.2 พบประเด็นปัญหาที่ IS ช่วยได้ [มีการแก้ไขโดย IS และปัญหาหมดไป/มีการแก้ไข โดย IS แต่ปัญหายังอยู่/ไม่มีแก้ไขโดย IS/อื่นๆ] 2.3 ระบบสารสนเทศที่สนับสนุนการควบคุมและตรวจสอบภายใน

IC&IA (IT) & Information System การควบคุมภายในและ การตรวจสอบภายใน (IT) 2.3.2.1 เครื่องมือที่ช่วย [Software/Paper/อื่นๆ] 2.3.2.2 ข้อมูล [ฐานข้อมูลกลาง/อื่นๆ], เครื่องมือที่ ช่วยรวบรวม+เก็บข้อมูล [Software/Excel/Paper/อื่นๆ] จัดทำแผน Computer Audit 2.3.2.3 ข้อมูลเพื่อตรวจจาก [Software/Paper/ อื่นๆ] เครื่องมือที่ช่วย [Software/Paper/อื่นๆ] ดำเนินการ Computer Audit 2.3.2.3.1 [ไม่พบประเด็นปัญหา] รายงานผล Computer Audit 2.3.2.3.2 พบประเด็นปัญหา [มีการแก้ไขและปัญหา หมดไป/มีการแก้ไขแต่ปัญหายังอยู่/ไม่มีการแก้ไข/อื่นๆ] 2.3 ระบบสารสนเทศที่สนับสนุนการควบคุมและตรวจสอบภายใน

แผนงาน IS วัตถุประสงค์ แผนตรวจสอบกระบวนการหลัก.. โปรแกรม ACL เพื่อวิเคราะห์... แผนตรวจสอบค่าใช้จ่าย.... โปรแกรม SAP เพื่อดูรายงาน... มาเปรียบเทียบ.. แผนตรวจสอบการใช้บริการ...... MS Excel เก็บและจัดกลุ่มเรียงข้อมูล.... 2.3 ระบบสารสนเทศที่สนับสนุนการควบคุมและตรวจสอบภายใน

2.3 ระบบสารสนเทศที่สนับสนุนการควบคุมและตรวจสอบภายใน ข้อมูลและเครื่องมือที่ใช้ในการจัดทำแผนตรวจสอบ Non-IT ข้อมูลที่ใช้ เครื่องมือที่ใช้ ความเสี่ยงองค์กร ระบบ Risk Integrator รายงานการประชุม ฐานข้อมูล เรื่องร้องเรียน ระบบเรื่องร้องเรียน ข้อมูล ระเบียบ คำสั่ง ทั้งภายใน ภายนอก องค์กร ระบบ Intranet รายงานตัวชี้วัดระดับองค์กร ระบบประเมินผลองค์กร 2.3 ระบบสารสนเทศที่สนับสนุนการควบคุมและตรวจสอบภายใน

2.3 ระบบสารสนเทศที่สนับสนุนการควบคุมและตรวจสอบภายใน รายงานผลตรวจสอบ Non-IT ปัญหา แก้ไขโดยใช้ IS แผนตรวจสอบ..... การตรวจพบ........... ให้จัดทำระบบฐานข้อมูลเพื่อใช้ในการควบคุมทรัพย์สิน.... แผนตรวจสอบค่าใช้จ่ายรถยนต์ จัดทำระบบ V-Bookingเพื่อขอ/อนุมัติการใช้รถ และติดตามการใช้รถ แผนการตรวจสอบการจัดเก็บรายได้ _ 2.3 ระบบสารสนเทศที่สนับสนุนการควบคุมและตรวจสอบภายใน

2.3 ระบบสารสนเทศที่สนับสนุนการควบคุมและตรวจสอบภายใน Computer Audit เพื่อสร้างความมั่นใจได้ว่าระบบ IT ที่นำมาใช้มีความปลอดภัยและถูกต้องจึงต้องมีการควบคุมควบคู่ไปกับการตรวจสอบ โดยครอบคลุมในเรื่องที่เกี่ยวกับระบบสารสนเทศขององค์กรดังนี้ 1.การควบคุมกระบวนการพัฒนาระบบงาน (Implementation controls) 2.การควบคุมซอฟต์แวร์ (Software Control) 3.การควบคุมทางกายภาพ (Physical hardware controls) 4.การควบคุมการปฏิบัติงานเครื่องคอมพิวเตอร์ (Computer operations controls) 5.การควบคุมความปลอดภัยข้อมูล (Data security controls) 6.ระเบียบวินัยผู้บริหาร มาตรฐาน และขั้นตอนการปฏิบัติงาน (Administrative disciplines, standards, and procedures) 2.3 ระบบสารสนเทศที่สนับสนุนการควบคุมและตรวจสอบภายใน

2.3 ระบบสารสนเทศที่สนับสนุนการควบคุมและตรวจสอบภายใน การตรวจสอบภายใน IT การควบคุม แผนงาน IS การตรวจสอบ กระบวนการหลักงานตรวจสอบ แผนตรวจสอบกระบวนการหลัก.. - โปรแกรม ACL, - Visual Basic, - MS Excel เพื่อวิเคราะห์... จัดเก็บข้อมูล คำนวณคะแนน การทำ CSA การควบคุม กระบวนการ พัฒนาระบบงาน (Implementation controls) แผนตรวจสอบ โครงการ/ ระบบงาน ...... แผนการดำเนินงาน การบริหารความเสี่ยง แผนสำรองฉุกเฉิน การรักษาความ ปลอดภัยโปรแกรม , แฟ้มข้อมูล การจัดทำเอกสารการ บริหารโครงการ ,คู่มือ การทดสอบระบบ (UAT) การอบรมด้านเทคนิค, ผู้ใช้งาน ความสะดวกในการใช้งาน : ผู้ตรวจสอบภายในมีสิทธิเรียกดูข้อมูล ประสานงานกับหน่วยงานอย่างสม่ำเสมอ วิธีการตรวจสอบ : สอบทานการกำหนดสิทธิ เพื่อเปรียบเทียบกับหน้าที่ 2.3 ระบบสารสนเทศที่สนับสนุนการควบคุมและตรวจสอบภายใน

2.3 ระบบสารสนเทศที่สนับสนุนการควบคุมและตรวจสอบภายใน การตรวจสอบภายใน IT การควบคุม แผนงาน IS การตรวจสอบ การควบคุมซอฟต์แวร์ (Software Control) แผนตรวจสอบการรักษาความปลอดภัยต่อระบบงานคอมพิวเตอร์ ระบบบัญชีการเงิน ระบบ การรับชำรเงิน ...... ความสะดวกในการ ใช้งาน วิธีการตรวจสอบ (สอบทานการกำหนดสิทธิ, ตรวจสอบโปรแกรมบันทึก ข้อมูล, ฯลฯ) การควบคุมทางกายภาพ (Physical Control) แผนตรวจสอบ Data Center อาคาร สถานที่ตั้ง ระบบรักษาความ ปลอดภัยอาคาร (รปภ., card access, CCTV..) การควบคุมการปฏิบัติงานเครื่องคอมพิวเตอร์ (Computer operations controls) คู่มือปฏิบัติงานของ Operator ขั้นตอนปฏิบัติในการ ควบคุมการนำโปรแกรม คอมพิวเตอร์จาก develop สู่ production การบันทึกทรัพย์สิน สารสนเทศ ความสะดวกในการใช้งาน : ผู้ตรวจสอบภายในมีสิทธิเรียกดูข้อมูล ประสานงานกับหน่วยงานอย่างสม่ำเสมอ วิธีการตรวจสอบ : สอบทานการกำหนดสิทธิ เพื่อเปรียบเทียบกับหน้าที่ สอบทานการบันทึกข้อมูล มี verify , บันทึกย้อนหลัง เช่น เกินกำหนด 2.3 ระบบสารสนเทศที่สนับสนุนการควบคุมและตรวจสอบภายใน

2.3 ระบบสารสนเทศที่สนับสนุนการควบคุมและตรวจสอบภายใน การตรวจสอบภายใน IT การควบคุม แผนงาน IS การตรวจสอบ การควบคุมความปลอดภัยข้อมูล (Data security controls) ระบบบัญชีการเงิน ระบบการรับชำระ เงิน ...... การ Archive data การจัดเก็บข้อมูลและการ สำรองข้อมูล การซ้อม DR การตั้งค่าการรักษาความปลอดภัยในระบบฐานข้อมูล ระเบียบวินัยผู้บริหาร มาตรฐาน และขั้นตอนการ ปฏิบัติงาน (Administrative disciplines, standards, and procedures) การปฏิบัติตามนโยบาย ความปลอดภัยสารสนเทศ ความรู้ ความเข้าใจ ในการ ปฏิบัติตาม นโยบายฯ ความสะดวกในการใช้งาน : ผู้ตรวจสอบภายในมีสิทธิเรียกดูข้อมูล ประสานงานกับหน่วยงานอย่างสม่ำเสมอ วิธีการตรวจสอบ : สอบทานการกำหนดสิทธิ เพื่อเปรียบเทียบกับหน้าที่ สอบทานการบันทึกข้อมูล มี verify , บันทึกย้อนหลัง เช่น เกินกำหนด 2.3 ระบบสารสนเทศที่สนับสนุนการควบคุมและตรวจสอบภายใน

แผนตรวจสอบโครงการ IS ที่มีมูลค่าสูง ปัญหา การแก้ไข แผน ........... การกำหนดสิทธิการใช้งาน การสำรองระบบ วิธีการจัดการและรายงาน เมื่อพบ รายการผิดปกติ การไม่ปฏิบัติตามนโยบาย การรักษาความปลอดภัย สารสนเทศ จัดทำวิธีปฏิบัติในการ ควบคุม password ของ user ที่มีสิทธิสูง จัดให้มีการสอบทาน ข้อมูล back up และ ทดสอบ restore จัดเก็บและตรวจทาน log จัดให้มีการฝึกอบรม เพิ่มเติม จัดทำ มาตรฐาน แนวปฏิบัติ 2.3 ระบบสารสนเทศที่สนับสนุนการควบคุมและตรวจสอบภายใน

2.3 ระบบสารสนเทศที่สนับสนุนการควบคุมและตรวจสอบภายใน ฝ่ายกำกับดูแลกิจการที่ดี