ดร. ครรชิต มาลัยวงศ์ ราชบัณฑิต การตรวจสอบศูนย์ไอที ดร. ครรชิต มาลัยวงศ์ ราชบัณฑิต
เนื้อหาคำบรรยาย การปฏิบัติงานของศูนย์ไอที การควบคุมงานของศูนย์ไอที การตรวจสอบงานของศูนย์ไอที สรุป
หน้าที่ของศูนย์ไอที ศูนย์ไอทีเปรียบเสมือนสมองและระบบประสาทของหน่วยงาน ส่วนที่คิดและควบคุมการทำงานคือคอมพิวเตอร์ ส่วนที่เก็บความรู้และเรื่องราวต่าง ๆ คือฐานข้อมูล ส่วนที่ใช้รับรู้เหตุการณ์ต่าง ๆ คือ sensor และหน่วยรับข้อมูล เช่น กล้อง สแกนเนอร์ โทรศัพท์ เครื่องตรวจจับสัญญาณ เครื่องสแกนบัตร ฯลฯ ส่วนที่ใช้นำสัญญาณจากจุดเกิดเหตุการณ์มายังสมองคือระบบโทรคมนาคม หากศูนย์ไอทีประสบปัญหาต้องพิการหรือถูกทำลาย หน่วยงานก็อยู่ไม่ได้
การดำรงอยู่ของศูนย์ไอที ผู้บริหารระดับสูงทุกระดับให้ความสำคัญ สนใจ กำหนดนโยบาย และใช้งานไอทีจริง ได้รับงบประมาณอย่างพอเพียง มีบุคลากรด้านไอทีที่มีความสามารถตรงตามเนื้องาน มีการกำหนดการควบคุมภายในที่ดีตามหลักมาตรฐาน มีการให้บริการไอทีอย่างมีประสิทธิภาพตามหลักการมาตรฐาน การตรวจสอบการปฏิบัติงานของศูนย์ไอที ได้รับการสนับสนุนจากผู้บริหารและผู้ใช้ไอทีทุกระดับ ทั้งภายในและภายนอกหน่วยงาน
งานสำคัญของศูนย์ไอที ให้บริการประชาชนผ่านเว็บและ F2F งานให้ข้อมูลข่าวสาร / Call Center / ปชส งานทะเบียนต่าง ๆ งานภาษี งานศึกษา งานช่วยเหลือให้คำแนะนำประชาชน งานบริการข้อมูลข่าวสารแก่ผู้บริหารและผู้ปฏิบัติงาน งานจัดเก็บและบันทึกข้อมูล งานสื่อสารโทรคมนาคม ประชุมทางไกล งานพัฒนาเว็บ ฐานข้อมูล ระบบสารสนเทศ งานแก้ไขปัญหาไอทีแก่ผู้บริหารและผู้ปฏิบัติ งานจัดการศูนย์ไอที
ผู้บริหารสารสนเทศระดับสูง (CIO) ทางการได้กำหนดให้หน่วยงานต่าง ๆ ต้องมีผู้บริหารสารสนเทศระดับสูงหนึ่งคนเพื่อทำหน้าที่ควบคุม ให้หน่วยงานมีแผนแม่บทไอทีและแผนปฏิบัติงานประจำปี งานเปิดเผยข้อมูลข่าวสารและนำข้อมูลสำคัญลงเผยแพร่ในเว็บของหน่วยงาน กำหนดการควบคุมภายในที่เกี่ยวข้องกับไอที การให้บริการไอทีของหน่วยงาน งานจัดซื้อจัดหาอุปกรณ์ไอทีและระบบสารสนเทศ ให้ศูนย์ไอทีมีความมั่นคงปลอดภัย ให้ระบบสารสนเทศ DB & web มีความมั่นคงปลอดภัย ให้หน่วยงานสามารถปฏิบัติงานได้อย่างต่อเนื่อง
แนวคิดเกี่ยวกับการควบคุม CIO ควรรู้จักการทำงานด้านต่าง ๆ ของศูนย์ไอที CIO ต้องรู้ว่าความเสี่ยงและจุดอ่อนในการทำงานของศูนย์ไอทีมีอะไรบ้าง CIO กำหนดการควบคุมในจุดที่เป็นความเสี่ยงอย่างเหมาะสม CIO กำหนดวิธีการปฏิบัติงานให้อยู่ภายใต้ความควบคุมได้อย่างมีประสิทธิผล CIO กำหนดให้มีการวัดผลและบันทึกการทำงานไว้ CIO ต้องร่วมมือกับผู้ตรวจสอบในการวางแผนการตรวจสอบ
แผนแม่บทและแผนปฏิบัติการไอที แผนแม่บทไอทีควรกำหนดเป็นแผนงานสามปีที่สอดคล้องกับยุทธศาสตร์ของหน่วยงาน (กรม กระทรวง กลุ่มจังหวัด จังหวัด) งานประยุกต์ในแผนแม่บทมีความจำเป็นสำหรับขับเคลื่อนยุทธศาสตร์ของหน่วยงาน แผนปฏิบัติการประจำปีจะถอดออกจากแผนแม่บทปีแรก เพื่อกำหนดกิจกรรมที่จะต้องดำเนินการ แล้วขยายแผนแม่บทออกไปอีกหนึ่งปี งานนี้ต้องทำในช่วงปลายปีโดยการตรวจสอบความสำเร็จรวมทั้งปัญหาอุปสรรคของงานในปีที่กำลังจะผ่านพ้นไป แผนทั้งสองต้องได้รับอนุมัติจาก CIO
งานเปิดเผยข้อมูลข่าวสารของราชการ การส่งข้อมูลข่าวสารของหน่วยงานไปลงในราชกิจจานุเบกษา การจัดทำข้อมูลข่าวสารของหน่วยงานเผยแพร่ในเว็บและเก็บไว้ในศูนย์ข้อมูลข่าวสาร การจัดทำดัชนีข้อมูลข่าวสารที่สืบค้นได้ว่าข้อมูลข่าวสาร ที่ต้องการนั้นอยู่ที่ใด การเปิดเผยข้อมูลสำคัญอื่น ๆ เช่น ประกาศจัดซื้อจัดจ้าง ผลการจัดซื้อจัดจ้าง ประกาศอื่น ๆ การปฏิบัติตามกฎระเบียบสารบรรณอิเล็กทรอนิกส์
การควบคุมที่เกี่ยวกับไอที ศูนย์ไอทีเป็นส่วนงานที่สำคัญมาก จึงต้องมีการควบคุมการปฏิบัติงานที่ดีโดยยึดหลัก มีการแบ่งแยกและกำหนดหน้าที่ให้ชัดเจน เช่น ผู้เขียนโปรแกรมจะต้องไม่เป็นพนักงานปฏิบัติการเครื่องคอมพิวเตอร์ มีการกำหนดขั้นตอนการอนุมัติและกำกับการทำงาน ให้ชัดเจน มีการรักษาความมั่นคงปลอดภัยของ ทรัพย์สินสารสนเทศ
การควบคุมทั่วไป หมายถึงการควบคุมที่เกี่ยวข้องกับกิจกรรมและกระบวนการทั้งหมด การวางแผน การกำกับดูแล การแบ่งแยกหน้าที่ การพัฒนาระบบสารสนเทศ การปฏิบัติงานต่าง ๆ การเปลี่ยนแปลงแก้ไขโปรแกรม การเข้าถึงและใช้งานฐานข้อมูล การจัดทำและจัดส่งเอกสารและรายงาน การรักษาความมั่นคงปลอดภัยของระบบสารสนเทศ ฐานข้อมูล อุปกรณ์ไอที และบุคลากร การวางแผนฉุกเฉิน
การดูแลการให้บริการไอที มีการศึกษาและนำแนวทางปฏิบัติที่ดีในการให้บริการไอที มากำหนดใช้ การกำหนดกลุ่มผู้ใช้ให้ชัดเจน การกำหนดเวลาการให้บริการ การบันทึกเหตุการณ์ต่าง ๆ ที่เกิดขึ้น การบันทึกปัญหาและการแก้ปัญหา
การจัดซื้อจัดหาอุปกรณ์ไอทีและระบบสารสนเทศ มีการใช้ระเบียบการจัดซื้อจัดหาอย่างถูกต้อง มีการจัดทำข้อกำหนดคุณลักษณะของอุปกรณ์หรือระบบอย่างเหมาะสมตรงกับความต้องการ มีการประมูลคัดเลือกอย่างโปร่งใส มีการตรวจรับอย่างถูกต้อง มีการเซ็นสัญญาโดยคำนึงถึงการซ่อมบำรุง อุปกรณ์และระบบสามารถปฏิบัติงานได้จริง
ความมั่นคงปลอดภัยของศูนย์ไอที (ทางกายภาพ) ศูนย์ไอทีมีที่ตั้งที่ปลอดภัยจากภัยธรรมชาติ หรือจากน้ำมือมนุษย์ ห้องติดตั้งเซิรฟเวอร์มีความปลอดภัยจากผู้บุกรุก ข้อมูล สารสนเทศ และเอกสารสำคัญต่าง ๆ ได้รับการจัดเก็บอย่างปลอดภัย มีการปกป้องพนักงานที่อาจต้องทำงานช่วงกลางคืนให้มีความปลอดภัย มีระบบเตือนควันไฟและความร้อน มีการสำรองข้อมูลและระบบเป็นประจำ มีแผนฉุกเฉินและแผนปฏิบัติงานต่อเนื่อง
ความมั่นคงปลอดภัยของระบบสารสนเทศ ฐานข้อมูล และเว็บ ดูแลให้มีการรักษาความปลอดภัยของระบบสารสนเทศและฐานข้อมูลตามมาตรฐานที่ดี กำหนดนโยบายการใช้ระบบสารสนเทศ ฐานข้อมูล และเว็บ กำหนดหน้าที่และสิทธิการเข้าถึงระบบเหล่านี้ ให้เหมาะสมและถูกต้องตามหน้าที่ จัดเก็บบันทึกการเข้าถึงระบบต่าง ๆ และตรวจสอบว่าการเข้าถึงเหล่านั้นถูกต้อง หากมีกรณีที่เป็นปัญหาต้องติดตามสอบสวน
ดูแลให้มีหน่วยงานสามารถปฏิบัติงานได้อย่างต่อเนื่อง กำหนดนโยบายให้มีแผนฉุกเฉินและแผนปฏิบัติงานอย่างต่อเนื่อง มอบหมายให้ศูนย์ไอทีจัดทำแผนฉุกเฉินและแผนปฏิบัติงานอย่างต่อเนื่อง ประชุมผู้บริหารเพื่อพิจารณาอนุมัติแผนฉุกเฉิน และแผนปฏิบัติงานอย่างต่อเนื่อง ดูแลการสำรองข้อมูลและระบบ ฝึกซ้อมการกู้ระบบและกู้ข้อมูล เป็นระยะ ๆ ฝึกซ้อมแผนปฏิบัติงานอย่างต่อเนื่อง เป็นประจำปีละครั้ง
การตรวจสอบศูนย์ไอที ด้านกายภาพ ตรวจสอบสถานที่ตั้งของศูนย์ไอทีว่ามีการปกป้องห้องคอมพิวเตอร์อย่างพอเพียงหรือไม่ เช่น มีระบบควบคุมการเข้าห้องเซิรฟเวอร์ มีประตูที่แข็งแรงแน่นหนาและกันไฟได้ ไม่อยู่ในจุดที่มีบุคคล ภายนอกเดินผ่านพลุกพล่าน มีการบันทึกชื่อผู้เข้าห้องเซิรฟเวอร์พร้อมเวลาที่เข้า-ออก ตรวจสอบหน้าต่างว่ามีการปกป้องไม่ให้บุคคลภายนอกขว้าง ปาวัตถุเข้ามาในห้องเซิรฟเวอร์ได้ง่าย ตรวจสอบห้องทำงานว่ามีโต๊ะตู้และเก้าอี้พอเพียงแก่การปฏิบัติงานและมีเนื้อที่เพียงพอ ตรวจสอบตู้เก็บเอกสาร คู่มือ และซอฟต์แวร์ว่ามีกุญแจปิดล็อกอย่างแน่นหนา และมีการลงบันทึกชื่อผู้หยิบเอกสารต่าง ๆ ไปใช้งานและผู้อนุญาต
การตรวจสอบศูนย์ไอที ด้านกายภาพ อุปกรณ์ติดตั้งอย่างเป็นระเบียบ สายเคเบิลต่าง ๆ เก็บ อย่างเป็นระเบียบและมีชื่อหรือหมายเลขชัดเจน ไม่ตั้งวางเฟอร์นิเจอร์และสิ่งของที่ไม่จำเป็นไว้ในห้อง เซิรฟเวอร์ อุปกรณ์ที่ไม่ได้ใช้ควรแยกเก็บไว้ต่างหาก พัสดุสำหรับใช้ในการทำงานต้องเก็บไว้ในตู้เก็บที่มีการปกป้อง และ การได้มาใหม่และการเบิกไปใช้ต้องมีการลงบันทึกไว้อย่างเหมาะสม ในช่วงเวลาที่พนักงานไม่อยู่ที่โต๊ะทำงาน ไม่ควรวางเอกสารราชการไว้บนโต๊ะทำงาน
การตรวจสอบศูนย์ไอที ด้านการบริหารและแผนงาน CIO มีการเรียกประชุมพนักงานในศูนย์ไอทีและประกาศนโยบายและให้คำแนะนำในการปฏิบัติงาน หน่วยงานมีแผนยุทธศาสตร์ด้านไอที ศูนย์ไอทีมีแผนงานประจำปี และ มีการติดตามวัดผล ศูนย์ไอทีมีแผนฉุกเฉินและมีการซ้อมการดำเนินงานตามแผน ศูนย์ไอทีมีแผนปฏิบัติงานอย่างต่อเนื่อง ศูนย์ไอทีมีแผนฝึกอบรมด้านไอที และได้จัดฝึกอบรมจริง ศูนย์ไอทีมีข้อกำหนดหน้าที่และความรับผิดชอบของบุคลากรแต่ละตำแหน่ง และ บุคลากรเข้าใจข้อกำหนดจริง
การตรวจสอบศูนย์ไอที ด้านบุคลากร ศูนย์ไอทีมีบุคลากรที่ได้รับการแต่งตั้งตามโครงสร้างจริง บุคลากรมีความรู้และทักษะตามหน้าที่ความรับผิดชอบ (โดยการศึกษาหรือฝึกอบรม) บุคลากรมีความเพียงพอต่อภาระงาน บุคลากรได้รับการฝึกอบรมให้สามารถปฏิบัติงานในระบบใหม่เสมอ บุคลากรเข้าร่วมในการฝึกซ้อมด้านต่าง ๆ ครบถ้วน
การตรวจสอบศูนย์ไอที ด้านการปฏิบัติงาน มีการประกาศช่วงเวลาปฏิบัติงาน มีการบันทึกช่วงเวลาปฏิบัติงานและผู้ปฏิบัติงาน มีการบันทึกเหตุการณ์ต่าง ๆ ที่มีผลต่อการปฏิบัติงาน เช่น การได้รับมอบหมายให้พัฒนาฐานข้อมูลใหม่ ไฟฟ้าดับ ติดตั้งอุปกรณ์ใหม่ มีการบันทึกปัญหา การแก้ไข และผลการแก้ไข
การตรวจสอบศูนย์ไอที ด้านการบำรุงรักษาอุปกรณ์ จัดทำตารางการบำรุงรักษาอุปกรณ์ไอทีของทั้งหน่วยงานเพื่อใช้ในการบำรุงรักษาเชิงป้องกัน (preventive maintenance) มีการบันทึกการบำรุงรักษาอุปกรณ์ไอทีทั้งส่วนที่ดำเนินการโดยบุคลากรของหน่วยงาน และ ที่ทำโดยบุคคล/บริษัทภายนอก ไม่ว่าจะเป็นการบำรุงรักษาเชิงป้องกันหรือการซ่อมแซมอุปกรณ์ มีระบบรับแจ้งปัญหาและแนะนำการแก้ปัญหาเกี่ยวกับอุปกรณ์ไอทีและระบบสารสนเทศ มีการวิเคราะห์ปัญหาที่เกิดขึ้นซ้ำ ๆ เพื่อหาทางป้องกันปัญหาต่อไปในอนาคต
การตรวจสอบศูนย์ไอที ด้านการแก้ไขโปรแกรมในระบบสารสนเทศ มีการกำหนดนโยบายและวิธีการแก้ไขเปลี่ยนแปลงโปรแกรมที่กำลังใช้งานอยู่ มีการควบคุมไม่ให้ผู้ใช้แก้ไขโปรแกรมที่ใช้งานอยู่ ผู้ใช้ที่ต้องการเปลี่ยนแปลงแก้ไขโปรแกรม ต้องเสนอขอเปลี่ยนแปลงต่อศูนย์ไอที พร้อมเหตุผลความจำเป็น และ มีการพิจารณาอนุมัติโดยผู้บริหารศูนย์ ถ้าศูนย์ไอทีต้องการเปลี่ยนแปลงโปรแกรม ต้องเสนอขอเปลี่ยนแปลงให้เจ้าของระบบอนุมัติ มีการบันทึกรายละเอียดการเปลี่ยนแปลง และ ผู้ดำเนินการเปลี่ยนแปลง พร้อมวันที่ มีการทดสอบผลการเปลี่ยนแปลงอย่างรอบคอบ และมีการบันทึกผลการทดสอบไว้อย่างครบถ้วน
การตรวจสอบศูนย์ไอที ด้านการควบคุมการเข้าถึงอุปกรณ์ ข้อมูลด้านเทคนิคของอุปกรณ์ทุกชิ้นได้รับการบันทึกเก็บไว้ในฐานข้อมูล Configuration Management (CMDB) มีการจดบันทึกรายละเอียดอุปกรณ์ไอที และซอฟต์แวร์ที่มอบหมายให้บุคลากรนำไปใช้ และ มีการตรวจรับคืนเมื่อบุคลากรนั้นพ้นจากหน้าที่ มีขั้นตอนการกำหนดสิทธิ์การใช้งานเครือข่ายและฐานข้อมูลของบุคลากร มีการยกเลิกหรือลบสิทธิ์ในการใช้งานเครือข่ายฐานข้อมูลของบุคลากรทันทีที่พ้นจากหน้าที่ มีการแจ้งความต่อพนักงานเจ้าหน้าที่เมื่ออุปกรณ์ไอทีสูญหายไป
การตรวจสอบศูนย์ไอที ด้านการรักษาความมั่นคงปลอดภัย มีนโยบายด้านความมั่นคงปลอดภัยของศูนย์ไอที มีการแต่งตั้งให้บุคลากรคนหนึ่งทำหน้าที่จัดการความมั่นคงปลอดภัยของศูนย์ไอที มีการวางระบบป้องกันความมั่นคงปลอดภัยทั้งในระดับเครือข่าย ระบบปฏิบัติการ ระบบสารสนเทศ และ ระบบฐานข้อมูล บุคลากรทุกคนได้รับทราบความสำคัญของการรักษาความมั่นคงปลอดภัยของการใช้ไอที มีแผนฉุกเฉินและแผนปฏิบัติงานอย่างต่อเนื่อง มีการซ้อมการปฏิบัติงานตามแผน มีการจัดทำรายชื่อผู้บริหารระดับสูงพร้อมหมายเลขโทรศัพท์สำคัญเอาไว้เพื่อใช้งานยามฉุกเฉินโดยติดไว้ในที่เห็นได้ชัด
การตรวจสอบศูนย์ไอที ด้านการจัดพิมพ์และส่งรายงาน มีการจัดทำตารางแสดงการส่งรายงานทุกระบบงานว่าได้ส่งรายงานใดไปให้ใคร เวลาใด มีการลงนามรับเอกสารในใบนำส่งรายงาน การขอรายงานเพิ่มเติมจะต้องทำอย่างเป็นทางการและมีการลงนามอนุมัติด้วย การจัดส่งสื่อบันทึกข้อมูลอื่น ๆ รวมทั้งการส่งข้อมูลทางระบบอินเทอร์เน็ตและอินทราเน็ตจะต้อง บันทึกรายละเอียดไว้เช่นกัน
การตรวจสอบศูนย์ไอที การควบคุมเอกสารคู่มือ ทุกครั้งที่มีการจัดซื้อจัดหาอุปกรณ์จะต้องกำหนดให้ผู้ขายส่งเอกสารคู่มือด้วย เอกสารคู่มือจะต้องบันทึกข้อมูลที่จำเป็นและจำนวนไว้ในฐานข้อมูลในทันทีที่ได้รับ เอกสารคู่มือต้องจัดเก็บไว้ในตู้ควบคุม การยืมและคืนเอกสารคู่มือกำหนดให้มีระเบียบการยืม และ การคืนเอกสาร และมีการลงลายมือชื่อผู้ยืม ผู้ให้ยืม และ ผู้รับคืนพร้อมวันเวลาเอาไว้ ชื่อเอกสารคู่มือฉบับอิเล็กทรอนิกส์ และหมายเลข URL สำหรับสืบค้นต้องบันทึกเก็บไว้ในฐานข้อมูล CMDB ด้วย
การตรวจสอบศูนย์ไอที การควบคุมสัญญาต่าง ๆ จัดให้มีระบบฐานข้อมูลสำหรับจัดเก็บข้อมูลเกี่ยวกับสัญญาต่าง ๆ ที่ศูนย์ไอทีเกี่ยวข้องด้วย สัญญาการจัดซื้ออุปกรณ์ไอที สัญญาการบำรุงรักษาอุปกรณ์ไอที สัญญาการเช่าระบบสื่อสารโทรคมนาคม สัญญาการซื้อสิทธิ์ (license)ในการใช้ซอฟต์แวร์ หรือ ระบบสารสนเทศ สัญญาการว่าจ้างอื่น ๆ มีการปรับปรุงอัพเดทฐานข้อมูลเมื่อมีการเปลี่ยนแปลงสัญญา หรือเมื่อมีสัญญาใหม่
การตรวจสอบศูนย์ไอที ด้านอื่น ๆ เช่น จะแยกนำมาอธิบายเป็นบทต่างหาก ด้านการพัฒนาระบบสารสนเทศ ด้านระบบปฏิบัติการ ด้านระบบเครือข่าย ด้านการพัฒนาเว็บ จะแยกนำมาอธิบายเป็นบทต่างหาก
สรุป การตรวจสอบศูนย์ไอทีเป็นงานที่มีความกว้างขวางครอบคลุมประเด็นด้านต่าง ๆ มากมาย สไลด์ชุดนี้แสดงงานทั่ว ๆ ไปที่เป็นหน้าที่ของศูนย์ไอที หน้าที่ของผู้บริหารสารสนเทศระดับสูง (CIO) และการควบคุมที่ต้องรับผิดชอบ และการตรวจสอบประเด็น ต่าง ๆ อันเป็นหน้าที่ของศูนย์ไอที
Thank You !