1 / 38

การตรวจสอบไอที (IT Audit)

การตรวจสอบไอที (IT Audit). ดร.ครรชิต มาลัยวงศ์ ราชบัณฑิต ประธานคณะอนุกรรมการ ค.ต.ป. กลุ่มจังหวัดภาคตะวันออกเฉียงเหนอ. เนื้อหาคำบรรยาย. 1. สร้างความเข้าใจเกี่ยวกับความเสี่ยงด้านไอที. การปฏิบัติงานไอทีที่เหมาะสม. 2. 3. การพัฒนาคุณภาพการบริหารจัดการภาครัฐ หมวด 4.

zinnia
Download Presentation

การตรวจสอบไอที (IT Audit)

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. การตรวจสอบไอที(IT Audit) ดร.ครรชิต มาลัยวงศ์ ราชบัณฑิต ประธานคณะอนุกรรมการ ค.ต.ป. กลุ่มจังหวัดภาคตะวันออกเฉียงเหนอ

  2. เนื้อหาคำบรรยาย 1 สร้างความเข้าใจเกี่ยวกับความเสี่ยงด้านไอที การปฏิบัติงานไอทีที่เหมาะสม 2 3 การพัฒนาคุณภาพการบริหารจัดการภาครัฐ หมวด 4 ความหมายของการตรวจสอบไอที (IT Audit) 4 วิธีการตรวจสอบไอที 5 สรุป 6

  3. ความหมายของระบบงานไอทีความหมายของระบบงานไอที • ระบบงานไอที คือ ระบบที่นำบุคคล, อุปกรณ์และสิ่งต่าง ๆ ที่เกี่ยวข้องเข้ามาร่วมกันทำงานเพื่อใช้ในการจัดเก็บข้อมูล, ประมวลผล และ ให้บริการสารสนเทศที่จำเป็นแก่ผู้ใช้อย่างมีประสิทธิภาพ, ประสิทธิผล, และ มีความมั่นคงปลอดภัยสูง สามารถป้องกันการบุกรุกจากภายในและภายนอกหน่วยงานได้. • ระบบงานไอที ประกอบด้วย ฮาร์ดแวร์ (เซิรฟเวอร์, คอมพิวเตอร์, โทรศัพท์มือถือ), ระบบเครือข่ายภายในและระบบอินเทอร์เน็ต, ซอฟต์แวร์, ฐานข้อมูล, คู่มือการใช้งาน, และ บุคลากรที่เกี่ยวข้อง

  4. การปฏิบัติงานเกี่ยวกับระบบงานไอทีการปฏิบัติงานเกี่ยวกับระบบงานไอที ใช้ระบบผ่านเครือข่าย บันทึกข้อมูล บุกรุก, ทำลาย ส่งรายงาน ควบคุม, สั่งงาน Backup/Recovery สร้าง

  5. การจัดการความเสี่ยง • ทุกหน่วยงานอาจประสบปัญหาที่ไม่คาดคิดได้ตลอดเวลา ปัญหาเหล่านี้ก็คือ “ความเสี่ยง” • ผู้บริหารจะต้อง “จัดการความเสี่ยง” ของหน่วยงานด้วยการ • ศึกษาความเสี่ยงในรูปแบบต่าง ๆ • พิจารณาโอกาสที่จะเกิดปัญหาและผลกระทบจากปัญหา • วางแผนจัดการความเสี่ยงด้วยการ ขจัดความเสี่ยง, หลีกเลี่ยงความเสี่ยง, ลดความเสี่ยง, หรือ ยอมความเสี่ยงให้เกิดขึ้น • วางแผนฉุกเฉินเพื่อรับมือกับปัญหาที่เกิด • วางแผนการบรรเทาผลกระทบจากปัญหา • วางแผนการนำหน่วยงานกลับคืนสู่สภาพปกติโดยเร็วที่สุด.

  6. ความเสี่ยงเกี่ยวกับระบบไอทีความเสี่ยงเกี่ยวกับระบบไอที • การพัฒนาระบบสารสนเทศ • ไม่ทราบความต้องการของผู้ใช้ • ระบบมีฟังก์ชันงานไม่ครบถ้วนเท่าที่ควรจะเป็น • ผู้พัฒนาไม่มีความรู้พอเพียง (ด้านเทคโนโลยี, การพัฒนา, การเขียนโปรแกรม) • ออกแบบระบบผิดพลาด • ระบบมีความผิดพลาดเพราะตรวจสอบโปรแกรมไม่ครบถ้วน • ผู้พัฒนาแอบฝังโปรแกรมอันตรายเอาไว้ เพื่อลักลอบส่งข้อมูลออก, สั่งให้คอมพิวเตอร์ทำงานผิดพลาด, สั่งให้ลบข้อมูล, ฯลฯ

  7. ความเสี่ยงเกี่ยวกับระบบไอทีความเสี่ยงเกี่ยวกับระบบไอที • การใช้ระบบ (ทั้งที่เป็นเรื่องการใช้ และ การพัฒนาไม่เหมาะสม) • ผู้ใช้ที่ไม่ได้รับมอบหมายให้ใช้งาน กลับสามารถเข้าใช้ระบบได้ • การบันทึกข้อมูลไม่ครบ, ผิดพลาดหรือบกพร่อง • การใช้งานผิดพลาด=>ต้องการอย่างหนึ่ง แต่ทำอีกอย่างหนึ่ง • คู่มือการใช้ผิดพลาด • โปรแกรมไม่สามารถถอยหลังกลับไปสู่จุดตั้งต้นก่อนทำงาน • ไม่สามารถตรวจสอบได้ว่าทำงานอะไรเสร็จไปบ้างแล้ว • การจัดทำรายงานผิดพลาด • ผู้ใช้ไม่สามารถค้นคืน หรือ เรียกใช้ข้อมูลที่ต้องการ

  8. ความเสี่ยงเกี่ยวกับระบบไอทีความเสี่ยงเกี่ยวกับระบบไอที • ความเสี่ยงเกี่ยวกับอุปกรณ์ • คอมพิวเตอร์และอุปกรณ์ไม่สามารถทำงานร่วมกันได้ • คอมพิวเตอร์และอุปกรณ์มีสมรรถนะต่ำ ทำให้ทำงานช้ามาก • คอมพิวเตอร์และอุปกรณ์เสียหายเพราะไม่ได้รับการบำรุงรักษาอย่างถูกวิธี • คอมพิวเตอร์และอุปกรณ์ถูกโจรกรรม • คอมพิวเตอร์และอุปกรณ์ถูกทำลายโดยผู้บุกรุก • การนำคอมพิวเตอร์และอุปกรณ์ไปจำหน่าย โดยไม่ได้ลบข้อมูลในฮาร์ดดิสก์ออกก่อน • คอมพิวเตอร์และอุปกรณ์เปลี่ยนแปลงก้าวหน้าเร็วมาก แต่เราไม่ได้ปรับปรุงเครื่องของเราทำให้ไม่สามารถใช้งานร่วมกับหน่วยงานอื่นได้

  9. ความเสี่ยงจากภายนอก • ระบบไอทีอาจประสบปัญหาได้หลายเรื่อง เช่น... • การถูกบุกรุกโดยบุคคลภายนอกเข้ามาโจรกรรมอุปกรณ์ในยามวิกาล หรือในช่วงที่ไม่มีใครดูแลห้องอุปกรณ์ • การถูกไวรัสก่อกวนโดยไวรัสนั้นมาจากระบบอินเทอร์เน็ต, อีเมล, โปรแกรมที่ดาวน์โหลดจากอินเทอร์เน็ต, เกม, flash drive และอื่น ๆ • การตั้งวางอุปกรณ์ และ แผ่นซีดี ไว้บนโต๊ะทำงานโดยเปิดเผย และไม่ได้ปิดระบบก่อนลุกไปจากโต๊ะทำงาน • แฮคเกอร์บุกรุกเข้ามาทางระบบอินเทอร์เน็ต หรือเครือข่ายภายในเพื่อทำลายระบบ, ซอฟต์แวร์, เว็บ และ ข้อมูล หรือ แอบซุกซ่อนโปรแกรมเอาไว้เพื่อส่งข้อมูลของสำนักงานออกไปให้คนภายนอก

  10. ความเสี่ยงจากอุบัติภัย • อุบัติภัยทั้งที่เกิดโดยธรรมชาติหรือโดยมนุษย์อาจจะเกิดได้... • เพลิงไหม้สำนักงาน ทำให้ระบบและอุปกรณ์ต่าง ๆ เสียหาย • น้ำท่วมสำนักงาน ทำให้ระบบและอุปกรณ์ต่าง ๆ เสียหาย • หลังคารั่วทำให้น้ำฝนตกลงมาบนตัวเครื่องและอุปกรณ์ • วาตภัยอาจทำให้สำนักงานและระบบเสียหาย • อุบัติเหตุระหว่างขนย้ายอุปกรณ์อาจเกิดได้ เช่น รถยนต์ถูกชน, รถตกถนน, ทำเครื่องหลุดตกจากมือระหว่างการขนย้าย, เครื่องถูกโจรกรรมระหว่างการขนย้าย,

  11. ความเสี่ยงจากบุคลากรภายในความเสี่ยงจากบุคลากรภายใน • พนักงาน, ข้าราชการ, หรือผู้เกี่ยวข้องก็มีความเสี่ยง... • พนักงานและบุตรหลานอาจจะนำเกมจากบ้านมาเล่นในคอมพิวเตอร์ • พนักงานอาจจะก๊อปปี้ข้อมูลไปให้บุคคลภายนอก • พนักงานหรือข้าราชการที่ไม่พอใจสำนักงานหรือผู้บังคับบัญชาอาจจะแอบทำลายข้อมูลหรืออุปกรณ์ภายใน • การใช้โปรแกรมที่ไม่ได้รับการฝึกอบรมการใช้มาอย่างดีอาจทำให้เกิดปัญหากับข้อมูลได้ • ผู้บริหารไม่ยอมใช้คอมพิวเตอร์เอง แต่มอบอำนาจให้พนักงานใช้แทน อาจทำให้เกิดปัญหาได้มากมาย • พนักงานอาจจะแอบแก้ไขโปรแกรมและข้อมูลระหว่างการทำงาน

  12. การปฏิบัติงานไอทีที่ดีมีลักษณะอย่างไรการปฏิบัติงานไอทีที่ดีมีลักษณะอย่างไร • ผู้บริหารสนใจใช้ระบบไอทีเป็นเครื่องมือในการบริหาร • ประกาศนโยบายการใช้คอมพิวเตอร์และระบบอย่างเป็นทางการ • มีแผนการดำเนินงานประจำปี • มีการจัดสรรทรัพยากรให้พอเพียงแก่ความจำเป็น และ แผนงาน • บุคลากรที่ได้รับมอบหมายให้ปฏิบัติงานกับระบบไอทีได้รับการฝึกอบรมในด้านการใช้อย่างถูกวิธี • มีระเบียบการใช้งานไอทีอย่างเหมาะสม เช่น การกำหนดผู้มีสิทธิใช้, การใช้ระบบไอที, การจัดเก็บเอกสารคู่มือ, การสำรองข้อมูล ฯลฯ

  13. การปฏิบัติงานไอทีที่ดีมีลักษณะอย่างไรการปฏิบัติงานไอทีที่ดีมีลักษณะอย่างไร • จัดซื้อจัดหาระบบไอทีอย่างรัดกุมและรอบคอบ • จัดทำสัญญาการจัดซื้อและจัดจ้างเกี่ยวกับระบบไอทีอย่างรอบคอบ • จัดทำระเบียบและขั้นตอนการตรวจรับระบบอย่างรัดกุม (อาจต้องขอความร่วมมือจากผู้รู้ในสถานศึกษาระดับสูง) • จัดเก็บสัญญากับผู้ขายหรือผู้ให้เช่าเอาไว้อย่างเป็นระบบ และ พยายามบริหารให้งานเป็นไปตามสัญญา • จัดทำระบบบัญชีฮาร์ดแวร์, ซอฟต์แวร์, และ ระบบเครือข่าย รวมทั้งจัดทำผังเครือข่ายและการจัดวางระบบคอมพิวเตอร์ (ระบบนี้ไม่ใช่ระบบพัสดุตามปกติ แต่เป็นระบบที่ระบุ Spec ด้านเทคนิคด้วย)

  14. การปฏิบัติงานไอทีที่ดีมีลักษณะอย่างไรการปฏิบัติงานไอทีที่ดีมีลักษณะอย่างไร • จัดวางเซิรฟเวอร์และอุปกรณ์ ตลอดจนเดินสายเคเบิลต่าง ๆ อย่างเป็นระบบและเรียบร้อย • ดูแลให้ห้องเซิรฟเวอร์และอุปกรณ์มีความสะอาด ปราศจากสิ่งของที่ไม่จำเป็นเช่นกระดาษ หรือ สิ่งของอื่น ๆ • ดูแลให้ห้องเซิรฟเวอร์มีระบบปรับอากาศที่เหมาะสม และ เป็นห้องปิดเพื่อไม่ให้ฝุ่นเข้าไป • ดูแลการจัดเก็บแผ่นซีดีที่เป็นต้นฉบับของโปรแกรมต่าง ๆ ที่จัดหาเอง,ได้รับจากกระทรวง หรือ ได้รับบริจาคมาเอาไว้อย่างเป็นระบบ และต้องมีสองชุดแยกจากกัน. นอกจากนั้นยังไม่อนุญาตให้นำแผ่นซีดีต้นฉบับออกไปใช้นอกสำนักงาน

  15. การปฏิบัติงานไอทีที่ดีมีลักษณะอย่างไรการปฏิบัติงานไอทีที่ดีมีลักษณะอย่างไร • จัดหาอุปกรณ์ไฟฟ้าสำรอง (UPS) สำหรับเครื่องเซิรฟเวอร์และคอมพิวเตอร์ที่ใช้ในงานสำคัญเอาไว้ โดยเลือกใช้อุปกรณ์ที่สามารถสำรองไฟฟ้าได้นานพอสำหรับรับมือกับปัญหาไฟฟ้าดับในพื้นที่ • ก่อนปฏิบัติงาน เจ้าหน้าที่จะต้องตรวจสอบความเรียบร้อยของอุปกรณ์ในห้องเซิรฟเวอร์ และ ความพร้อมของอุปกรณ์ • หากการเริ่มใช้มีปัญหา ให้รีบตรวจสอบปัญหาและแก้ไขตามคู่มือปฏิบัติ (ข้อนี้ยังน่าสงสัยว่าหลายสำนักงานอาจไม่มีคู่มือ)

  16. การปฏิบัติงานไอทีที่ดีมีลักษณะอย่างไรการปฏิบัติงานไอทีที่ดีมีลักษณะอย่างไร • รวบรวมคู่มือการใช้อุปกรณ์ และ คู่มือเกี่ยวกับซอฟต์แวร์ เอาไว้ให้ครบถ้วน (คู่มือซอฟต์แวร์ ได้แก่ คู่มือติดตั้งซอฟต์แวร์, คู่มือการใช้ซอฟต์แวร์และแก้ปัญหาซอฟต์แวร์, คู่มือการสำรองระบบ) • จัดทำหมายเลขโทรศัพท์ของผู้เกี่ยวข้องทุกระดับ (ผู้รับผิดชอบงานไอทีที่กระทรวง และ สำนักงานต่าง ๆ, ผู้บริหาร, ผู้ขาย, ผู้เชี่ยวชาญและที่ปรึกษา, พนักงานและเจ้าหน้าที่ทุกคน) • จัดทำหมายเลขโทรศัพท์ของหน่วยงานและบุคคลที่สามารถให้คำปรึกษาได้ในด้านไอที (เนคเทค, บริษัท ทศท, บริษัท กสท., กระทรวงไอซีที, SIPA, สทอภ., บริษัทผู้ค้าที่เราใช้ HW&SW)

  17. การปฏิบัติงานไอทีที่ดีมีลักษณะอย่างไรการปฏิบัติงานไอทีที่ดีมีลักษณะอย่างไร • จัดทำแผนฉุกเฉิน เพื่อรับมือเมื่อเกิดปัญหาด้านไอซีที • สำรองข้อมูลของหน่วยงานเอาไว้ทุกสัปดาห์เป็นอย่างน้อย และให้นำข้อมูลสำรองไปจัดเก็บไว้ในสำนักงานอื่นนอกบริเวณอาคาร • ฝึกการนำข้อมูลสำรองกลับเข้ามาใช้งานแทนข้อมูลที่สมมุติว่าถูกทำลายไปแล้ว (ควรทำอย่างน้อยปีละ 2 ครั้ง) • บันทึกการทำงานรายวัน เช่น เวลาการเปิด-ปิดเซิรฟเวอร์ (ในกรณีที่เปิด-ปิดทุกวัน), การนำซอฟต์แวร์ใหม่เข้าติดตั้ง, การสำรองข้อมูล, การเกิดปัญหาต่าง ๆ เช่น ไฟฟ้าดับเมื่อใด, ดับนานเท่าใด, และ นำเครื่องกลับมาทำงานเมื่อใด หรือ เครื่องใดติดไวรัส, พบเมื่อใด, และกำจัดด้วยโปรแกรมอะไร ฯลฯ

  18. การปฏิบัติงานไอทีที่ดีมีลักษณะอย่างไรการปฏิบัติงานไอทีที่ดีมีลักษณะอย่างไร • มีการตรวจสอบเว็บของสำนักงานทุกวัน (ตรวจว่าเว็บมีปัญหาหรือไม่, ถูกแฮคเกอร์ป่วนหรือไม่, การเชื่อมโยงต่าง ๆ ยังดีอยู่หรือไม่, มีการบันทึกข้อมูลอย่างถูกต้องครบถ้วนหรือไม่) • มีระบบรับแจ้งและบันทึกปัญหาจากผู้ใช้ภายใน พร้อมกับบริการแก้ไขปัญหาให้ผู้ใช้ภายในขอบเขตที่ทำได้ ในกรณีที่เป็นปัญหายุ่งยากให้เรียกใช้บริการผู้ขาย – หากมีสัญญาบำรุงรักษา การบันทึกให้ระบุชื่อผู้ใช้, ปัญหา, การแก้ปัญหา, และระยะเวลาที่ใช้แก้ปัญหา • หากเป็นปัญหาเกี่ยวกับซอฟต์แวร์ ต้องบันทึกให้ละเอียดและส่งให้ผู้เกี่ยวข้องแก้ไข

  19. การปฏิบัติงานไอทีที่ดีมีลักษณะอย่างไรการปฏิบัติงานไอทีที่ดีมีลักษณะอย่างไร • จัดฝึกอบรมให้ผู้ปฏิบัติงานใหม่ (ทั้งผู้ปฏิบัติงานทั่วไปและงานไอที)รับทราบวิธีการปฏิบัติงาน และ การใช้ซอฟต์แวร์ที่ผู้นั้นรับผิดชอบ โดยพนักงานไอทีจะต้องเรียนรู้ไอทีให้เข้มข้น • จัดหาระบบช่วยสอน หรือ Link เชื่อมโยงไปยังแหล่งที่มีระบบช่วยสอนให้ผู้ปฏิบัติงานเข้าไปศึกษา โดยทางฝ่ายไอทีจะต้องจัดเก็บบันทึกว่ามีผู้ใดได้ผ่านการฝึกอบรมไปแล้ว • ร่วมมือกับผู้ตรวจสอบภายใน ในการจัดทำเครื่องมือสำหรับบันทึกข้อมูลการตรวจสอบภายใน (ถ้าถูกร้องขอ)

  20. การปฏิบัติงานไอทีที่ดีมีลักษณะอย่างไรการปฏิบัติงานไอทีที่ดีมีลักษณะอย่างไร • ให้ความร่วมมือกับผู้ตรวจสอบภายในในการตรวจสอบไอที • รวบรวมแหล่งความรู้ใหม่เกี่ยวกับการบริหารงานไอที, เทคนิคเกี่ยวกับการทำงานไอที, การพัฒนาระบบ, การตรวจสอบระบบ, การจัดทำฐานข้อมูล, การสำรองระบบ, โปรแกรมแบบ Open Source ต่าง ๆ • จัดทำรายงานเกี่ยวกับการบริหารและปฏิบัติงานไอทีเสนอผู้บริหารระดับสูงให้ทราบ เพื่อขอคำแนะนำหรือนโยบายเมื่อเกิดปัญหา

  21. การนำองค์กร ผลลัพธ์การดำเนินการ 1 7 การวางแผน เชิงยุทธศาสตร์ 2 การจัดการ กระบวนการ 6 PMQA การให้ความสำคัญ กับผู้รับบริการและ ผู้มีส่วนได้ส่วนเสีย การมุ่งเน้น ทรัพยากรบุคคล 3 5 เกณฑ์คุณภาพการบริหารจัดการภาครัฐ การวัด การวิเคราะห์ และการจัดการความรู้ 4

  22. การตรวจสอบตามมาตรฐาน PMQA หมวด 4 IT1 : จังหวัดต้องมีระบบฐานข้อมูลผลการดำเนินงานตามแผนยุทธศาสตร์และแผนปฏิบัติราชการ รวมทั้งผลการดำเนินงานของตัวชี้วัดตามคำรับรองการปฏิบัติราชการที่ครอบคลุมถูกต้อง และ ทันสมัย การพิจารณา : แสดงระบบฐานข้อมูลผลการดำเนินงานตามแผนยุทธศาสตร์และแผนปฏิบัติราชการ รวมทั้งผลการดำเนินงานของตัวชี้วัดตามคำรับรองการปฏิบัติราชการประจำปี และข้อมูลย้อนหลังอย่างน้อย 3 ปี

  23. การตรวจสอบตามมาตรฐาน PMQA หมวด 4 IT2 : จังหวัดต้องมีระบบฐานข้อมูลเพื่อการพัฒนาจังหวัดที่ครอบคลุม ถูกต้อง และ ทันสมัย การพิจารณา : แสดงระบบฐานข้อมูลศูนยข้อมูลกลางกระทรวงมหาดไทยและจังหวัด ประจำปี และข้อมูลย้อนหลังอย่างน้อย 3 ปี

  24. การตรวจสอบตามมาตรฐาน PMQA หมวด 4 IT3 : จังหวัดต้องมีระบบและสามารถคำนวณสถิติผลิตภัณฑ์มวลรวมจังหวัด (GPP) ที่ครอบคลุม ถูกต้อง และ ทันสมัย การพิจารณา : แสดงระบบฐานข้อมูลสถิติผลิตภัณฑ์มวลรวมจังหวัด (GPP) ประจำปี โดยดำเนินการตามกระบวนการที่กำหนดไว้ 5 ขั้นตอนได้ครบถ้วน

  25. การตรวจสอบตามมาตรฐาน PMQA หมวด 4 IT4 : จังหวัดต้องมีระบบเทคโนโลยีสารสนเทศ เพื่อให้ประชาชนสามารถเข้าถึงข้อมูลข่าวสารได้อย่างเหมาะสม • การพิจารณา : • แสดงรายการและรายละเอียดของข้อมูลข่าวสารที่ประชาชนสามารถสืบค้นหรือขอข้อมูลได้ผ่านทางระบบเทคโนโลยีสารสนเทศ • แนวคิดก็คือ จังหวัดต้องจัดให้มีสถานที่หรือศูนย์ข้อมูลข่าวสารและข้อมูลข่าวสารให้ประชาชนเข้าตรวจดูได้โดยสะดวก, ต้องจัดทำดัชนีหรือรายการข้อมูลข่าวสารที่ประชาชนสามารถสืบค้นได้เองด้วย.

  26. การตรวจสอบตามมาตรฐาน PMQA หมวด 4 IT5 : จังหวัดต้องมีระบบการติดตาม เฝ้าระวังและเตือนภัย (Warning system) เช่น การกำหนดระบบการเตือนภัยแบบสัญญาณไฟจราจร การจัดห้องปฏิบัติการ (Operation Room, Management Cockpit, War Room) ที่บ่งชี้ถึงการเปลี่ยนแปลงที่เกิดขึ้น • การพิจารณา : • แสดงระบบการติดตาม • แสดงระบบการติดตาม เฝ้าระวังและเตือนภัย ประกอบด้วย • การติดตามการดำเนินงานตามยุทธศาสตร์/แผนงาน/โครงการ/ตัวชี้วัด • การเตือนภัยธรรมชาติ • แสดงการรายงานหรือนำเสนอข้อมูลให้ผู้บริหารผ่านระบบ EIS/GIS • แสดงรายละเอียดการปรับปรุงระบบการติดตาม เฝ้าระวัง และเตือนภัยให้มีประสิทธิภาพมากขึ้นกว่าเดิมที่เคยมีอยู่

  27. การตรวจสอบตามมาตรฐาน PMQA หมวด 4 IT6 : จังหวัดต้องมีระบบบริหารความเสี่ยงของระบบฐานข้อมูลและสารสนเทศ • การพิจารณา : • แสดงระบบรักษาความมั่นคงและปลอดภัยของระบบฐานข้อมูลและสารสนเทศ • แสดงระบบรักษาความมั่นคงและปลอดภัยของศูนย์ข้อมูลและสารสนเทศ • แสดงรายละเอียดแผนแก้ไขปัญหาจากสถานการณ์ความไม่แน่นอนและภัยพิบัติที่อาจจะเกิดกับระบบฐานข้อมูลและสารสนเทศ (IT Contingency Plan) • แสดงผลการปฏิบัติตามแผนแก้ไขปัญหาจากสถานการณ์ความไม่แน่นอนและภัยพิบัติที่อาจจะเกิดกับระบบฐานข้อมูลและสารสนเทศ

  28. การตรวจสอบตามมาตรฐาน PMQA หมวด 4 IT7 : จังหวัดต้องจัดทำแผนการจัดการความรู้และนำแผนไปปฏิบัติ • การพิจารณา : • แสดงแผนการจัดการความรู้ (KM Action Plan) อย่างน้อย 3 องค์ความรู้ ตามแนวทางที่กำหนด • รายงานผลการดำเนินงานตามแผน โดยดำเนินกิจกรรมตามแผนการจัดการความรู้ได้สำเร็จครบถ้วนทุกกิจกรรม และสามารถดำเนินการที่ครอบคลุมกลุ่มเป้าหมายได้ไม่น้อยกว่าร้อยละ 90 ในทุกกิจกรรมแลกเปลี่ยนเรียนรู้ที่ระบุไว้

  29. ความหมายของ IT Audit • กระบวนการรวบรวมและพิจารณาหลักฐานต่าง ๆ เพื่อประเมินว่าระบบคอมพิวเตอร์ได้รับการออกแบบให้มีความมั่นคงด้านข้อมูล, มีการปกป้องทรัพย์สิน, ช่วยให้ผู้ใช้สามารถใช้ระบบได้อย่างมีประสิทธิภาพ และ ตอบสนองวัตถุประสงค์และบรรลุเป้าหมายขององค์การได้อย่างมีประสิทธิผล • คำสำคัญในที่นี้คือ • การออกแบบระบบ, • ความมั่นคงด้านข้อมูล, • การปกป้องทรัพย์สิน, • การใช้อย่างมีประสิทธิภาพ, • การบรรลุเป้าหมายอย่างได้ผล

  30. ระบบคอมพิวเตอร์ต้องมีการควบคุมระบบคอมพิวเตอร์ต้องมีการควบคุม • ระบบคอมพิวเตอร์จะทำงานได้อย่างมีประสิทธิภาพและได้ผลตามที่ต้องการต่อเมื่อออกแบบระบบควบคุมการทำงานไว้ด้วย • ระบบควบคุมที่มีเป็นสิ่งที่สะท้อนให้เห็นถึง นโยบาย, กระบวนการทำงาน, วิธีปฏิบัติงาน, และ โครงสร้างขององค์การที่สร้างความเชื่อมั่นได้อย่างมีเหตุผลว่าการปฏิบัติงานจะบรรลุเป้าหมาย • การควบคุมในระบบคอมพิวเตอร์ทำให้มั่นใจในประสิทธิผลและประสิทธิภาพของการปฏิบัติงาน, ความน่าเชื่อถือของการจัดทำรายงานต่าง ๆ และ การดำเนินงานที่สอดคล้องกับกฎเกณฑ์ที่กำหนด

  31. การควบคุมทั่วไป • การควบคุมทั่วไป (General Controls) ประกอบด้วยการควบคุม การปฏิบัติงานของศูนย์ข้อมูล, การจัดหาและบำรุงรักษาซอฟต์แวร์ระบบ (system software = ระบบปฏิบัติการ, utilities ต่าง ๆ ), การควบคุมการเข้าถึงระบบและซอฟต์แวร์, และการพัฒนาซอฟต์แวร์และการบำรุงรักษา • สิ่งที่ต้องมีเป็นอย่างน้อยคือ นโยบายไอที, มาตรฐาน, แผนงาน, แนวทางในการดูแลความมั่นคงของไอที, การปกป้องข้อมูลและสารสนเทศ, การพัฒนาซอฟต์แวร์, การจัดการการเปลี่ยนแปลง, การแบ่งแยกหน้าที่, การวางแผนฉุกเฉิน และ การจัดการโครงการไอที

  32. การควบคุมการประยุกต์ • การควบคุมการประยุกต์ (Application control) หมายถึงการควบคุมที่อยู่ในการประยุกต์แต่ละเรื่อง • การควบคุมประกอบด้วย • การกำหนดสิทธิ์ในการใช้ระบบอย่างเหมาะสม; • ความครบถ้วนสมบูรณ์, • ความแม่นยำถูกต้อง, • ความสมเหตุสมผลของระเบียนข้อมูล; • การบำรุงรักษาข้อมูล, • การสำรองข้อมูล, • การกู้ระบบและข้อมูล, • การจัดทำรายงานปัญหาที่เกิดขึ้น, • การบันทึกผลการดำเนินงานและการใช้ระบบเพื่อตรวจสอบว่ามีการดำเนินงานอย่างถูกต้อง

  33. ความสำคัญของการควบคุมและตรวจสอบไอทีความสำคัญของการควบคุมและตรวจสอบไอที • ปัจจุบันทุกการบริหารและการปฏิบัติงานของทุกหน่วยงานต้องอาศัยระบบไอทีเป็นเครื่องมือสำคัญ ระบบไอทีที่ไม่ได้รับการควบคุมที่ดีอาจทำให้การปฏิบัติงานของหน่วยงานเสียหายได้ • ถ้าไม่มีการควบคุม หน่วยงานอาจละเลยไม่ได้ตรวจสอบวิธีการควบคุมไอทีระบบไอทีที่สำคัญ และทำให้เกิดความเสี่ยงสูงต่อหน่วยงาน • การตรวจสอบไอทีเป็นตัววัดว่าองค์การได้จัดการความเสี่ยงของระบบไอทีมากน้อยเพียงใด ถ้ามีความเสี่ยงสูงก็จะมีผลกระทบต่อการจัดการความเสี่ยงโดยรวมขององค์การ

  34. วิธีการตรวจสอบการควบคุมทั่วไปวิธีการตรวจสอบการควบคุมทั่วไป • พิจารณาความสนใจของผู้บริหาร • ผู้บริหารให้ความสนใจต่องานไอที=>ใช้ไอทีด้วยตัวเอง, หรือ ใช้รายงานที่ได้รับจากไอที, ผลักดันให้มีการปรับปรุงระบบไอที, สนับสนุนให้ตั้งงบประมาณไอที, ติดตามสอบถามปัญหางานไอทีและพยายามช่วยเหลือ • มีการตั้งคณะกรรมการบริหารไอที หรือ มี CIO รับผิดชอบ • ตรวจสอบสภาพการใช้ในหน่วยงาน => มีการควบคุมที่ดี, ความเป็นระเบียบเรียบร้อยในห้องเซิรฟเวอร์ และ การจัดวางอุปกรณ์, ปัญหาการใช้งานไอทีโดยทั่วไป, การสนับสนุนและการแก้ปัญหาให้ผู้ใช้, ฯลฯ • การตรวจสอบเอกสาร และ การสัมภาษณ์เจ้าหน้าที่ไอที

  35. การตรวจสอบเอกสาร • นโยบายการใช้ไอที • แผนปฏิบัติงานไอทีประจำปี และ การดำเนินงานตามแผน • แผนการจัดการความเสี่ยงด้านไอที (IT Risk Management Plan) • แผนฉุกเฉินเพื่อรับมือปัญหาความเสี่ยง (IT Contingency Plan) • รายงานแสดงปัญหาที่เคยเกิด, ความถี่ และ ความเสียหายที่เกิด • วิธีการเข้าถึงระบบไอที และ แนวทางในการกำหนดสิทธิในการเข้าถึงระบบไอทีและข้อมูลให้แก่ผู้บริหารและบุคลากรในหน่วยงาน • การแบ่งหน้าที่ความรับผิดชอบในศูนย์ไอที • วิธีการสำรองระบบและข้อมูล และ สื่อที่ใช้จัดเก็บระบบและข้อมูล

  36. การตรวจสอบเอกสาร • คู่มือของระบบต่าง ๆ ที่มีในหน่วยงาน • เว็บไซต์ของหน่วยงาน • การบันทึกข้อมูลและข่าวสารที่สำคัญตามที่หน่วยงานกำหนด ได้รับการปรับปรุงเป็นระยะ ๆ • มีการรายงานข้อมูลราชการตามที่ คณะกรรมการข้อมูลข่าวสารของราชการกำหนด • การใช้เว็บจัดเก็บข้อมูล มีการจัดส่ง, ตรวจสอบ และ ยืนยันอย่างถูกต้องตามแนวทางที่กำหนด • จุดเชื่อมโยงต่าง ๆ ทำงานต่อเชื่อมได้จริง

  37. การตรวจสอบเอกสาร • การจัดซื้อและจัดหาระบบไอที เป็นไปอย่างถูกต้อง • การติดตั้งระบบไอทีเป็นไปอย่างถูกต้อง และ มีการจัดส่งอุปกรณ์, ซอฟต์แวร์ และ สิ่งต่าง ๆ ครบถ้วน • มีการจัดทำระบบข้อมูลระบบไอที, ซอฟต์แวร์, และ ระบบเครือข่าย ไว้อย่างครบถ้วนและเป็นปัจจุบัน (มีแผนภาพแสดงการวางระบบคอมพิวเตอร์และอุปกรณ์, รวมทั้งสายสื่อสาร) • มีการจัดทำรายงานเกี่ยวกับการให้บริการไอที, ปัญหา, และ การแก้ไข เสนอต่อผู้บริหารเป็นระยะ ๆ (อย่างน้อยไตรมาสละครั้ง)

  38. สรุป • การตรวจสอบระบบงานไอทีของจังหวัดเป็นงานสำคัญมาก • ระบบงานไอทีมีปัญหาความเสี่ยงหลายประการ คือ ความเสี่ยงในการพัฒนาระบบ, ความเสี่ยงในการใช้ระบบ, ความเสี่ยงจากภายนอกองค์การ, ความเสี่ยงจากอุบัติภัย, ความเสี่ยงจากมนุษย์ • การใช้ไอทีที่ดีต้องกำหนดขึ้นเป็นกระบวนการที่ชัดเจน • PMQA ระบุเรื่องไอทีไว้ในหมวด 4 • การตรวจสอบไอที คือการตรวจสอบว่าหน่วยงานมีการควบคุมในระบบไอทีครบถ้วนหรือไม่

More Related