การตรวจสอบไอที (IT Audit) - สำนักงานคณะกรรมการพัฒนาระบบราชการ
Download
Report
Transcript การตรวจสอบไอที (IT Audit) - สำนักงานคณะกรรมการพัฒนาระบบราชการ
ดร.ครรชิต มาลัยวงศ์ ราชบัณฑิต
ประธานคณะอนุกรรมการ ค.ต.ป.
กลุ่มจังหวัดภาคตะวันออกเฉี ยงเหนอ
1
เนื้ อหาคาบรรยาย
สร้างความเข้าใจเกี่ยวกับความเสี่ยงด้านไอที
1
การปฏิบตั ิ งานไอทีที่เหมาะสม
2
5
6
3
การพัฒนาคุณภาพการบริหารจัดการภาครัฐ หมวด 4
4
ความหมายของการตรวจสอบไอที (IT Audit)
วิธีการตรวจสอบไอที
สรุป
2
ความหมายของระบบงานไอที
ระบบงานไอที คื อ ระบบที่ น าบุ ค คล, อุ ป กรณ์ แ ละสิ่ งต่ า ง ๆ ที่
เกี่ ยวข้ อ งเข้ า มาร่ ว มกั น ท างานเพื่ อ ใช้ ในการจั ด เก็ บ ข้ อ มู ล ,
ประมวลผล และ ให้ บ ริ ก ารสารสนเทศที่ จ าเป็ นแก่ ผ้ ู ใ ช้ อ ย่ า งมี
ประสิทธิภาพ, ประสิทธิผล, และ มีความมันคงปลอดภั
่
ยสูง สามารถ
ป้ องกันการบุกรุกจากภายในและภายนอกหน่ วยงานได้.
ระบบงานไอที ประกอบด้ วย ฮาร์ดแวร์ (เซิรฟเวอร์, คอมพิวเตอร์,
โทรศัพ ท์ มื อ ถื อ ), ระบบเครื อ ข่ า ยภายในและระบบอิ น เทอร์เ น็ ต ,
ซอฟต์แวร์, ฐานข้อมูล, คู่มือการใช้งาน, และ บุคลากรที่เกี่ยวข้อง
3
การปฏิบตั ิ งานเกี่ยวกับระบบงานไอที
บันทึกข้อมูล
บุกรุก, ทาลาย
ส่งรายงาน
4
การจัดการความเสี่ยง
ทุกหน่ วยงานอาจประสบปัญหาที่ไม่คาดคิดได้ตลอดเวลา ปัญหาเหล่านี้ ก็
คือ “ความเสี่ยง”
ผูบ้ ริหารจะต้อง “จัดการความเสี่ยง” ของหน่ วยงานด้วยการ
• ศึกษาความเสีย่ งในรูปแบบต่าง ๆ
• พิจารณาโอกาสทีจ่ ะเกิดปญั หาและผลกระทบจากปญั หา
• วางแผนจัดการความเสีย่ งด้วยการ ขจัดความเสีย่ ง, หลีกเลี่ยงความเสีย่ ง,
ลดความเสีย่ ง, หรือ ยอมความเสีย่ งให้เกิดขึน้
• วางแผนฉุกเฉินเพือ่ รับมือกับปญั หาทีเ่ กิด
• วางแผนการบรรเทาผลกระทบจากปญั หา
• วางแผนการนาหน่วยงานกลับคืนสูส่ ภาพปกติโดยเร็วทีส่ ดุ .
5
ความเสี่ยงเกี่ยวกับระบบไอที
การพัฒนาระบบสารสนเทศ
• ไม่ทราบความต้องการของผูใ้ ช้
• ระบบมีฟงั ก์ชนั งานไม่ครบถ้วนเท่าทีค่ วรจะเป็ น
• ผู้พฒ
ั นาไม่มคี วามรู้พอเพียง (ด้านเทคโนโลยี, การพัฒ นา, การเขียน
โปรแกรม)
• ออกแบบระบบผิดพลาด
• ระบบมีความผิดพลาดเพราะตรวจสอบโปรแกรมไม่ครบถ้วน
• ผูพ้ ฒ
ั นาแอบฝงั โปรแกรมอันตรายเอาไว้ เพื่อลักลอบส่งข้อมูลออก, สังให้
่
คอมพิวเตอร์ทางานผิดพลาด, สังให้
่ ลบข้อมูล, ฯลฯ
6
ความเสี่ยงเกี่ยวกับระบบไอที
การใช้ระบบ (ทัง้ ที่เป็ นเรื่องการใช้ และ การพัฒนาไม่เหมาะสม)
• ผูใ้ ช้ทไ่ี ม่ได้รบั มอบหมายให้ใช้งาน กลับสามารถเข้าใช้ระบบได้
• การบันทึกข้อมูลไม่ครบ, ผิดพลาดหรือบกพร่อง
• การใช้งานผิดพลาด => ต้องการอย่างหนึ่ง แต่ทาอีกอย่างหนึ่ง
• คูม่ อื การใช้ผดิ พลาด
• โปรแกรมไม่สามารถถอยหลังกลับไปสูจ่ ุดตัง้ ต้นก่อนทางาน
• ไม่สามารถตรวจสอบได้วา่ ทางานอะไรเสร็จไปบ้างแล้ว
• การจัดทารายงานผิดพลาด
• ผูใ้ ช้ไม่สามารถค้นคืน หรือ เรียกใช้ขอ้ มูลทีต่ อ้ งการ
7
ความเสี่ยงเกี่ยวกับระบบไอที
ความเสี่ยงเกี่ยวกับอุปกรณ์
• คอมพิวเตอร์และอุปกรณ์ไม่สามารถทางานร่วมกันได้
• คอมพิวเตอร์และอุปกรณ์มสี มรรถนะต่า ทาให้ทางานช้ามาก
• คอมพิวเตอร์และอุปกรณ์เสียหายเพราะไม่ได้รบั การบารุงรักษาอย่างถูก
วิธี
• คอมพิวเตอร์และอุปกรณ์ถกู โจรกรรม
• คอมพิวเตอร์และอุปกรณ์ถกู ทาลายโดยผูบ้ ุกรุก
• การน าคอมพิว เตอร์แ ละอุ ป กรณ์ ไ ปจ าหน่ า ย โดยไม่ ไ ด้ล บข้อ มู ล ใน
ฮาร์ดดิสก์ออกก่อน
• คอมพิวเตอร์และอุปกรณ์ เปลี่ยนแปลงก้าวหน้ าเร็วมาก แต่เราไม่ ไ ด้
ปรับปรุงเครือ่ งของเราทาให้ไม่สามารถใช้งานร่วมกับหน่วยงานอื่นได้
8
ความเสี่ยงจากภายนอก
ระบบไอทีอาจประสบปัญหาได้หลายเรื่อง เช่น...
• การถูกบุกรุกโดยบุคคลภายนอกเข้ามาโจรกรรมอุปกรณ์ในยามวิกาล
หรือในช่วงทีไ่ ม่มใี ครดูแลห้องอุปกรณ์
• การถู ก ไวรัส ก่ อ กวนโดยไวรัส นัน้ มาจากระบบอิน เทอร์เ น็ ต , อีเ มล,
โปรแกรมทีด่ าวน์โหลดจากอินเทอร์เน็ต, เกม, flash drive และอื่น ๆ
• การตัง้ วางอุป กรณ์ และ แผ่นซีดี ไว้บนโต๊ะทางานโดยเปิ ดเผย และ
ไม่ได้ปิดระบบก่อนลุกไปจากโต๊ะทางาน
• แฮคเกอร์บุกรุกเข้ามาทางระบบอินเทอร์เน็ต หรือเครือข่ายภายในเพื่อ
ทาลายระบบ, ซอฟต์แวร์, เว็บ และ ข้อมูล หรือ แอบซุกซ่อนโปรแกรม
เอาไว้เพือ่ ส่งข้อมูลของสานักงานออกไปให้คนภายนอก
9
ความเสี่ยงจากอุบตั ิ ภยั
อุบตั ิ ภยั ทัง้ ที่เกิดโดยธรรมชาติหรือโดยมนุษย์อาจจะเกิดได้...
• เพลิงไหม้สานักงาน ทาให้ระบบและอุปกรณ์ต่าง ๆ เสียหาย
• น้าท่วมสานักงาน ทาให้ระบบและอุปกรณ์ต่าง ๆ เสียหาย
• หลังคารัวท
่ าให้น้าฝนตกลงมาบนตัวเครือ่ งและอุปกรณ์
• วาตภัยอาจทาให้สานักงานและระบบเสียหาย
• อุบตั เิ หตุระหว่างขนย้ายอุปกรณ์อาจเกิดได้ เช่น รถยนต์ถูกชน, รถตกถนน,
ทาเครื่องหลุดตกจากมือระหว่างการขนย้าย, เครื่องถูกโจรกรรมระหว่าง
การขนย้าย,
10
ความเสี่ยงจากบุคลากรภายใน
พนักงาน, ข้าราชการ, หรือผูเ้ กี่ยวข้องก็มีความเสี่ยง...
• พนักงานและบุตรหลานอาจจะนาเกมจากบ้านมาเล่นในคอมพิวเตอร์
• พนักงานอาจจะก๊อปปี้ขอ้ มูลไปให้บุคคลภายนอก
• พนักงานหรือข้าราชการที่ไม่พอใจสานักงานหรือผู้บงั คับบัญชาอาจจะ
แอบทาลายข้อมูลหรืออุปกรณ์ภายใน
• การใช้โปรแกรมที่ไม่ได้รบั การฝึ กอบรมการใช้มาอย่างดีอาจทาให้เกิด
ปญั หากับข้อมูลได้
• ผู้บริหารไม่ยอมใช้คอมพิวเตอร์เอง แต่มอบอานาจให้พนักงานใช้แทน
อาจทาให้เกิดปญั หาได้มากมาย
• พนักงานอาจจะแอบแก้ไขโปรแกรมและข้อมูลระหว่างการทางาน
11
การปฏิบตั ิ งานไอทีที่ดีมีลกั ษณะอย่างไร
ผูบ้ ริหารสนใจใช้ระบบไอทีเป็ นเครื่องมือในการบริหาร
ประกาศนโยบายการใช้คอมพิวเตอร์และระบบอย่างเป็ นทางการ
มีแผนการดาเนินงานประจาปี
มีการจัดสรรทรัพยากรให้พอเพียงแก่ความจาเป็ น และ แผนงาน
บุคลากรที่ ได้รบั มอบหมายให้ ปฏิบตั ิ งานกับระบบไอที ได้รบั การฝึ กอบรม
ในด้านการใช้อย่างถูกวิธี
มีระเบียบการใช้งานไอทีอย่างเหมาะสม เช่น การกาหนดผู้มีสิทธิใช้, การ
ใช้ระบบไอที, การจัดเก็บเอกสารคู่มือ, การสารองข้อมูล ฯลฯ
12
การปฏิบตั ิ งานไอทีที่ดีมีลกั ษณะอย่างไร
จัดซื้อจัดหาระบบไอทีอย่างรัดกุมและรอบคอบ
จัดทาสัญญาการจัดซื้อและจัดจ้างเกี่ยวกับระบบไอทีอย่างรอบคอบ
จัดทาระเบียบและขัน้ ตอนการตรวจรับระบบอย่างรัดกุม (อาจต้องขอ
ความร่วมมือจากผูร้ ้ใู นสถานศึกษาระดับสูง)
จัดเก็บสัญญากับผูข้ ายหรือผูใ้ ห้เช่าเอาไว้อย่างเป็ นระบบ และ
พยายามบริหารให้งานเป็ นไปตามสัญญา
จัดทาระบบบัญชีฮาร์ดแวร์, ซอฟต์แวร์, และ ระบบเครือข่าย รวมทัง้
จัดทาผังเครือข่ายและการจัดวางระบบคอมพิวเตอร์ (ระบบนี้ ไม่ใช่
ระบบพัสดุตามปกติ แต่เป็ นระบบที่ระบุ Spec ด้านเทคนิคด้วย)
13
การปฏิบตั ิ งานไอทีที่ดีมีลกั ษณะอย่างไร
จัดวางเซิรฟเวอร์และอุปกรณ์ ตลอดจนเดินสายเคเบิลต่ าง ๆ อย่าง
เป็ นระบบและเรียบร้อย
ดูแลให้ ห้องเซิรฟเวอร์และอุปกรณ์ มีความสะอาด ปราศจากสิ่งของที่
ไม่จาเป็ นเช่นกระดาษ หรือ สิ่งของอื่น ๆ
ดูแลให้ห้องเซิรฟเวอร์มีระบบปรับอากาศที่ เหมาะสม และ เป็ นห้องปิด
เพื่อไม่ให้ฝนเข้
ุ่ าไป
ดูแลการจัดเก็บแผ่นซีดีที่เป็ นต้นฉบับของโปรแกรมต่าง ๆ ทีจ่ ดั หาเอง,
ได้ รบั จากกระทรวง หรือ ได้ รบั บริจาคมาเอาไว้ อย่างเป็ นระบบ และ
ต้ องมี ส องชุด แยกจากกัน . นอกจากนั น้ ยัง ไม่ อ นุ ญ าตให้ นาแผ่ นซี ดี
ต้นฉบับออกไปใช้นอกสานักงาน
14
การปฏิบตั ิ งานไอทีที่ดีมีลกั ษณะอย่างไร
จัด หาอุป กรณ์ ไ ฟฟ้ าสารอง (UPS) ส าหรับ เครื่ องเซิ รฟเวอร์แ ละ
คอมพิวเตอร์ที่ใช้ ในงานสาคัญเอาไว้ โดยเลือกใช้ อุปกรณ์ ที่สามารถ
สารองไฟฟ้ าได้นานพอสาหรับรับมือกับปัญหาไฟฟ้ าดับในพืน้ ที่
ก่ อ นปฏิ บัติ งาน เจ้ า หน้ าที่ จ ะต้ อ งตรวจสอบความเรี ย บร้ อ ยของ
อุปกรณ์ ในห้องเซิรฟเวอร์ และ ความพร้อมของอุปกรณ์
หากการเริ่ ม ใช้ มี ปั ญ หา ให้ รีบ ตรวจสอบปั ญหาและแก้ ไ ขตามคู่มื อ
ปฏิบตั ิ (ข้อนี้ ยงั น่ าสงสัยว่าหลายสานักงานอาจไม่มีค่มู ือ)
15
การปฏิบตั ิ งานไอทีที่ดีมีลกั ษณะอย่างไร
รวบรวมคู่มื อ การใช้ อุป กรณ์ และ คู่มื อ เกี่ ย วกับ ซอฟต์แ วร์ เอาไว้ ใ ห้
ครบถ้ ว น (คู่มื อ ซอฟต์ แ วร์ ได้ แ ก่ คู่มื อ ติ ด ตัง้ ซอฟต์ แ วร์, คู่มื อ การใช้
ซอฟต์แวร์และแก้ปัญหาซอฟต์แวร์, คู่มือการสารองระบบ)
จัดทาหมายเลขโทรศัพท์ของผู้เกี่ยวข้องทุกระดับ (ผู้รบั ผิดชอบงานไอที ที่
กระทรวง และ ส านั ก งานต่ า ง ๆ, ผู้บ ริหาร, ผู้ข าย, ผู้เชี่ ยวชาญและที่
ปรึกษา, พนักงานและเจ้าหน้ าที่ทกุ คน)
จัดทาหมายเลขโทรศัพท์ของหน่ วยงานและบุคคลที่ สามารถให้คาปรึกษา
ได้ ใ นด้ า นไอที (เนคเทค, บริ ษัท ทศท, บริ ษัท กสท., กระทรวงไอซี ที ,
SIPA, สทอภ., บริษทั ผูค้ ้าที่เราใช้ HW&SW)
16
การปฏิบตั ิ งานไอทีที่ดีมีลกั ษณะอย่างไร
จัดทาแผนฉุกเฉิน เพื่อรับมือเมื่อเกิดปัญหาด้านไอซีที
สารองข้อมูลของหน่ วยงานเอาไว้ ทุกสัปดาห์เป็ นอย่ างน้ อย และให้ นา
ข้อมูลสารองไปจัดเก็บไว้ในสานักงานอื่นนอกบริเวณอาคาร
ฝึ กการนาข้อมูลสารองกลับเข้ามาใช้งานแทนข้อมูลที่ สมมุติว่าถูกทาลาย
ไปแล้ว (ควรทาอย่างน้ อยปี ละ 2 ครัง้ )
บันทึกการทางานรายวัน เช่น เวลาการเปิด-ปิดเซิรฟเวอร์ (ในกรณี ที่เปิดปิดทุกวัน), การนาซอฟต์แวร์ใหม่เข้าติดตัง้ , การสารองข้อมูล, การเกิด
ปัญหาต่าง ๆ เช่น ไฟฟ้ าดับเมื่อใด, ดับนานเท่าใด, และ นาเครื่องกลับมา
ท างานเมื่ อ ใด หรื อ เครื่ อ งใดติ ดไวรัส , พบเมื่ อ ใด, และก าจัด ด้ ว ย
โปรแกรมอะไร ฯลฯ
17
การปฏิบตั ิ งานไอทีที่ดีมีลกั ษณะอย่างไร
มีการตรวจสอบเว็บของสานักงานทุกวัน (ตรวจว่าเว็บมีปัญหาหรือไม่,
ถูกแฮคเกอร์ป่วนหรือไม่, การเชื่อมโยงต่าง ๆ ยังดีอยู่หรือไม่, มีการ
บันทึกข้อมูลอย่างถูกต้องครบถ้วนหรือไม่)
มี ร ะบบรับ แจ้ ง และบัน ทึ ก ปั ญ หาจากผู้ใ ช้ ภ ายใน พร้ อ มกับ บริก าร
แก้ ไ ขปั ญ หาให้ ผู้ใ ช้ ภ ายในขอบเขตที่ ท าได้ ในกรณี ที่ เ ป็ นปั ญ หา
ยุ่งยากให้เรียกใช้บริการผู้ขาย – หากมีสญ
ั ญาบารุงรักษา การบันทึก
ให้ระบุชื่อผูใ้ ช้, ปัญหา, การแก้ปัญหา, และระยะเวลาที่ใช้แก้ปัญหา
หากเป็ นปั ญหาเกี่ ยวกับซอฟต์แวร์ ต้ องบันทึ กให้ ละเอี ยดและส่ งให้
ผูเ้ กี่ยวข้องแก้ไข
18
การปฏิบตั ิ งานไอทีที่ดีมีลกั ษณะอย่างไร
จัดฝึ กอบรมให้ ผ้ปู ฏิบตั ิ งานใหม่ (ทัง้ ผู้ปฏิบตั ิ งานทัวไปและงานไอที
่
)
รับ ทราบวิธีก ารปฏิบ ตั ิ งาน และ การใช้ ซ อฟต์แ วร์ที่ผ้นู ั น้ รับ ผิ ด ชอบ
โดยพนักงานไอทีจะต้องเรียนรู้ไอทีให้เข้มข้น
จัดหาระบบช่วยสอน หรือ Link เชื่อมโยงไปยังแหล่งที่มีระบบช่วยสอน
ให้ผ้ปู ฏิบตั ิ งานเข้าไปศึกษา โดยทางฝ่ ายไอทีจะต้องจัดเก็บบันทึกว่ามี
ผูใ้ ดได้ผา่ นการฝึ กอบรมไปแล้ว
ร่วมมือกับผู้ตรวจสอบภายใน ในการจัดทาเครื่องมือสาหรับบันทึ ก
ข้อมูลการตรวจสอบภายใน (ถ้าถูกร้องขอ)
19
การปฏิบตั ิ งานไอทีที่ดีมีลกั ษณะอย่างไร
ให้ความร่วมมือกับผูต้ รวจสอบภายในในการตรวจสอบไอที
รวบรวมแหล่งความรู้ใหม่เกี่ ยวกับการบริหารงานไอที, เทคนิคเกี่ ยวกับ
การท างานไอที , การพัฒ นาระบบ, การตรวจสอบระบบ, การจัด ท า
ฐานข้อมูล, การสารองระบบ, โปรแกรมแบบ Open Source ต่าง ๆ
จัด ท ารายงานเกี่ ย วกับ การบริ ห ารและปฏิ บัติ ง านไอที เ สนอผู้บ ริห าร
ระดับสูงให้ทราบ เพื่อขอคาแนะนาหรือนโยบายเมื่อเกิดปัญหา
20
เกณฑ์คณ
ุ ภาพการบริหารจัดการภาครัฐ
การนาองค์ กร
ผลลัพธ์ การดาเนินการ
7
การจัดการ
กระบวนการ
การวางแผน
เชิงยุทธศาสตร์
6
PMQA
การให้ ความสาคัญ
กับผู้รับบริการและ
ผู้มสี ่ วนได้ ส่วนเสี ย
การมุ่งเน้ น
ทรัพยากรบุคคล
การวัด การวิเคราะห์ และการจัดการความรู้
21
การตรวจสอบตามมาตรฐาน PMQA
หมวด 4 IT1 :
จังหวัดต้ องมีระบบฐานข้อมูลผลการดาเนินงานตามแผนยุทธศาสตร์
และแผนปฏิบตั ิ ราชการ รวมทัง้ ผลการดาเนินงานของตัวชี้วดั ตามคา
รับรองการปฏิบตั ิ ราชการที่ครอบคลุมถูกต้อง และ ทันสมัย
การพิจารณา :
แสดงระบบฐานข้ อ มู ล ผลการด าเนิ นงานตามแผนยุ ท ธศาสตร์แ ละ
แผนปฏิ บัติ ร าชการ รวมทัง้ ผลการด าเนิ นงานของตัว ชี้ ว ัด ตามค า
รับรองการปฏิบตั ิ ราชการประจาปี และข้อมูลย้อนหลังอย่างน้ อย 3 ปี
22
การตรวจสอบตามมาตรฐาน PMQA
หมวด 4 IT2 :
จัง หวัด ต้ อ งมี ร ะบบฐานข้ อ มู ล เพื่ อ การพัฒ นาจัง หวัด ที่ ค รอบคลุ ม
ถูกต้อง และ ทันสมัย
การพิจารณา :
แสดงระบบฐานข้อ มูล ศูน ยข้อ มูล กลางกระทรวงมหาดไทยและจัง หวัด
ประจาปี และข้อมูลย้อนหลังอย่างน้อย 3 ปี
23
การตรวจสอบตามมาตรฐาน PMQA
หมวด 4 IT3 :
จัง หวัด ต้ อ งมี ร ะบบและสามารถค านวณสถิ ติ ผ ลิ ต ภัณ ฑ์ม วลรวม
จังหวัด (GPP) ที่ครอบคลุม ถูกต้อง และ ทันสมัย
การพิจารณา :
แสดงระบบฐานข้ อ มู ล สถิ ติ ผลิ ต ภัณ ฑ์ ม วลรวมจัง หวัด (GPP)
ประจาปี โดยดาเนินการตามกระบวนการที่ กาหนดไว้ 5 ขัน้ ตอน
ได้ครบถ้วน
24
การตรวจสอบตามมาตรฐาน PMQA
หมวด 4 IT4 :
จังหวัดต้ องมีระบบเทคโนโลยีสารสนเทศ เพื่อให้ ประชาชนสามารถเข้าถึ ง
ข้อมูลข่าวสารได้อย่างเหมาะสม
การพิจารณา :
• แสดงรายการและรายละเอี ยดของข้อมูลข่าวสารที่ ประชาชนสามารถ
สืบค้นหรือขอข้อมูลได้ผา่ นทางระบบเทคโนโลยีสารสนเทศ
• แนวคิด ก็คื อ จัง หวัด ต้ องจัดให้ มี สถานที่ หรื อศูนย์ข้อมูล ข่ า วสารและ
ข้อมูลข่ าวสารให้ ประชาชนเข้าตรวจดูได้ โดยสะดวก, ต้ องจัดทาดัชนี
หรือรายการข้อมูลข่าวสารที่ประชาชนสามารถสืบค้นได้เองด้วย.
25
การตรวจสอบตามมาตรฐาน PMQA
หมวด 4 IT5 :
จังหวัดต้ องมีระบบการติดตาม เฝ้ าระวังและเตือนภัย (Warning system) เช่น การ
ก าหนดระบบการเตื อนภัยแบบสัญ ญาณไฟจราจร การจัดห้ อ งปฏิ บ ตั ิ ก าร (Operation
Room, Management Cockpit, War Room) ที่บง่ ชี้ถึงการเปลี่ยนแปลงที่เกิดขึน้
การพิจารณา :
• แสดงระบบการติดตาม
o แสดงระบบการติดตาม เฝ้ าระวังและเตือนภัย ประกอบด้วย
การติดตามการดาเนินงานตามยุทธศาสตร์/แผนงาน/โครงการ/ตัวชี้วด
ั
การเตือนภัยธรรมชาติ
o แสดงการรายงานหรือนาเสนอข้อมูลให้ผบ
้ ู ริหารผ่านระบบ EIS/GIS
o แสดงรายละเอี ย ดการปรับ ปรุ ง ระบบการติ ด ตาม เฝ้ าระวัง และเตื อ นภัย ให้ มี
ประสิทธิภาพมากขึน้ กว่าเดิมที่เคยมีอยู่
26
การตรวจสอบตามมาตรฐาน PMQA
หมวด 4 IT6 :
จังหวัดต้องมีระบบบริหารความเสี่ยงของระบบฐานข้อมูลและสารสนเทศ
การพิจารณา :
• แสดงระบบรัก ษาความมัน่ คงและปลอดภัย ของระบบฐานข้ อ มู ล และ
สารสนเทศ
o แสดงระบบรักษาความมันคงและปลอดภั
่
ยของศูนย์ข้อมูลและสารสนเทศ
o แสดงรายละเอี ยดแผนแก้ ไขปั ญหาจากสถานการณ์ ความไม่แน่ นอนและ
ภัยพิบตั ิ ที่อาจจะเกิดกับระบบฐานข้อมูลและสารสนเทศ (IT Contingency
Plan)
o แสดงผลการปฏิบต
ั ิ ตามแผนแก้ไขปัญหาจากสถานการณ์ ความไม่แน่ นอน
และภัยพิบตั ิ ที่อาจจะเกิดกับระบบฐานข้อมูลและสารสนเทศ
27
การตรวจสอบตามมาตรฐาน PMQA
หมวด 4 IT7 :
จังหวัดต้องจัดทาแผนการจัดการความรู้และนาแผนไปปฏิบตั ิ
การพิจารณา :
• แสดงแผนการจัดการความรู้ (KM Action Plan) อย่างน้ อย 3 องค์ความรู้
ตามแนวทางที่กาหนด
o รายงานผลการด าเนิ นงานตามแผน โดยด าเนิ นกิ จกรรมตาม
แผนการจัดการความรู้ได้ สาเร็จครบถ้วนทุกกิจกรรม และสามารถ
ดาเนินการที่ครอบคลุมกลุ่มเป้ าหมายได้ไม่น้อยกว่าร้อยละ 90 ในทุก
กิจกรรมแลกเปลี่ยนเรียนรู้ที่ระบุไว้
28
ความหมายของ IT Audit
กระบวนการรวบรวมและพิจารณาหลักฐานต่าง ๆ เพื่อประเมินว่าระบบ
คอมพิ ว เตอร์ไ ด้ ร ับ การออกแบบให้ มี ค วามมัน่ คงด้ า นข้ อ มู ล, มี ก าร
ปกป้ องทรัพย์สิน, ช่ วยให้ ผ้ใู ช้ สามารถใช้ ระบบได้ อย่ างมี ประสิทธิภาพ
และ ตอบสนองวัตถุประสงค์และบรรลุเป้ าหมายขององค์การได้ อย่างมี
ประสิทธิผล
o คาสาคัญในทีน
่ ้ีคอื
การออกแบบระบบ,
ความมันคงด้
่ านข้อมูล,
การปกป้องทรัพย์สน
ิ ,
การใช้อย่างมีประสิทธิภาพ,
การบรรลุเป้าหมายอย่างได้ผล
29
ระบบคอมพิวเตอร์ต้องมีการควบคุม
ระบบคอมพิ ว เตอร์จ ะท างานได้ อ ย่ า งมี ป ระสิ ท ธิ ภ าพและได้ ผ ลตามที่
ต้องการต่อเมื่อออกแบบระบบควบคุมการทางานไว้ด้วย
ระบบควบคุมที่มีเป็ นสิ่งที่สะท้อนให้เห็นถึง นโยบาย, กระบวนการทางาน
, วิธีปฏิบตั ิ งาน, และ โครงสร้างขององค์การที่สร้างความเชื่อมัน่ ได้อย่าง
มีเหตุผลว่าการปฏิบตั ิ งานจะบรรลุเป้ าหมาย
การควบคุ ม ในระบบคอมพิ วเตอร์ ท าให้ ม ัน่ ใจในประสิ ทธิ ผลและ
ประสิทธิภาพของการปฏิบตั ิ งาน, ความน่ าเชื่ อถือของการจัดทารายงาน
ต่าง ๆ และ การดาเนินงานที่สอดคล้องกับกฎเกณฑ์ที่กาหนด
30
การควบคุมทัวไป
่
การควบคุมทัวไป
่ (General Controls) ประกอบด้วยการควบคุม การ
ปฏิบตั ิ งานของศูนย์ข้อมูล, การจัดหาและบ ารุงรักษาซอฟต์แวร์ ระบบ
(system software = ระบบปฏิบตั ิ การ, utilities ต่าง ๆ ), การควบคุมการ
เข้าถึงระบบและซอฟต์แวร์, และการพัฒนาซอฟต์แวร์และการบารุงรักษา
สิ่งที่ ต้องมีเป็ นอย่างน้ อยคือ นโยบายไอที, มาตรฐาน, แผนงาน, แนวทาง
ในการดูแลความมันคงของไอที
่
, การปกป้ องข้อมูลและสารสนเทศ, การ
พัฒนาซอฟต์แวร์, การจัดการการเปลี่ยนแปลง, การแบ่งแยกหน้ าที่ , การ
วางแผนฉุกเฉิน และ การจัดการโครงการไอที
31
การควบคุมการประยุกต์
• การควบคุมการประยุกต์ (Application control) หมายถึงการควบคุมที่อยู่
ในการประยุกต์แต่ละเรื่อง
• การควบคุมประกอบด้วย
o
o
o
o
o
o
o
o
o
การกาหนดสิทธ์ ิ ในการใช้ระบบอย่างเหมาะสม;
ความครบถ้วนสมบูรณ์ ,
ความแม่นยาถูกต้อง,
ความสมเหตุสมผลของระเบียนข้อมูล;
การบารุงรักษาข้อมูล,
การสารองข้อมูล,
การกู้ระบบและข้อมูล,
การจัดทารายงานปัญหาที่เกิดขึน้ ,
การบันทึกผลการดาเนินงานและการใช้ระบบเพื่อตรวจสอบว่ามีการดาเนินงาน
อย่างถูกต้อง
32
ความสาคัญของการควบคุมและตรวจสอบไอที
ปั จจุบนั ทุกการบริหารและการปฏิบตั ิ งานของทุกหน่ วยงานต้ องอาศัย
ระบบไอทีเป็ นเครื่องมือสาคัญ ระบบไอทีที่ไม่ได้รบั การควบคุมที่ดีอาจ
ทาให้การปฏิบตั ิ งานของหน่ วยงานเสียหายได้
ถ้ า ไม่ มี ก ารควบคุ ม หน่ วยงานอาจละเลยไม่ ไ ด้ ต รวจสอบวิ ธี ก าร
ควบคุ ม ไอที ร ะบบไอที ที่ ส าคัญ และท าให้ เ กิ ดความเสี่ ย งสู ง ต่ อ
หน่ วยงาน
การตรวจสอบไอทีเป็ นตัววัดว่าองค์การได้จดั การความเสี่ยงของระบบ
ไอทีมากน้ อยเพียงใด ถ้ามีความเสี่ยงสูงก็จะมีผลกระทบต่อการจัดการ
ความเสี่ยงโดยรวมขององค์การ
33
วิธีการตรวจสอบการควบคุมทัวไป
่
• พิจารณาความสนใจของผูบ้ ริหาร
o ผู้บ ริหารให้ ค วามสนใจต่ อ งานไอที
=> ใช้ ไอที ด้วยตัวเอง, หรือ ใช้
รายงานที่ ไ ด้ ร ับ จากไอที , ผลัก ดัน ให้ มี ก ารปรับ ปรุ ง ระบบไอที ,
สนับสนุนให้ ตงั ้ งบประมาณไอที , ติดตามสอบถามปั ญหางานไอที และ
พยายามช่วยเหลือ
o มีการตัง้ คณะกรรมการบริหารไอที หรือ มี CIO รับผิดชอบ
o ตรวจสอบสภาพการใช้ ในหน่ วยงาน => มีการควบคุมที่ ดี , ความเป็ น
ระเบียบเรียบร้อยในห้ องเซิรฟเวอร์ และ การจัดวางอุปกรณ์ , ปั ญหา
การใช้งานไอทีโดยทัวไป,
่
การสนับสนุนและการแก้ปัญหาให้ผ้ใู ช้, ฯลฯ
o การตรวจสอบเอกสาร และ การสัมภาษณ์ เจ้าหน้ าที่ไอที
34
การตรวจสอบเอกสาร
• นโยบายการใช้ไอที
• แผนปฏิบตั ิ งานไอทีประจาปี และ การดาเนินงานตามแผน
• แผนการจัดการความเสี่ยงด้านไอที (IT Risk Management Plan)
• แผนฉุกเฉินเพื่อรับมือปัญหาความเสี่ยง (IT Contingency Plan)
• รายงานแสดงปัญหาที่เคยเกิด, ความถี่ และ ความเสียหายที่เกิด
• วิธีการเข้ าถึ งระบบไอที และ แนวทางในการก าหนดสิทธิใ นการเข้ าถึง
ระบบไอทีและข้อมูลให้แก่ผบ้ ู ริหารและบุคลากรในหน่ วยงาน
• การแบ่งหน้ าที่ความรับผิดชอบในศูนย์ไอที
• วิธีการสารองระบบและข้อมูล และ สื่อที่ใช้จดั เก็บระบบและข้อมูล
35
การตรวจสอบเอกสาร
• คู่มือของระบบต่าง ๆ ที่มีในหน่ วยงาน
• เว็บไซต์ของหน่ วยงาน
o การบัน ทึก ข้อ มูล และข่า วสารที่ส าคัญ ตามที่ห น่ ว ยงานก าหนด ได้ ร บ
ั การ
ปรับปรุงเป็ นระยะ ๆ
o มีการรายงานข้อมูลราชการตามที่ คณะกรรมการข้อมูลข่าวสารของราชการ
กาหนด
o การใช้เว็บจัดเก็บข้อมูล มีการจัดส่ง , ตรวจสอบ และ ยืนยันอย่างถู กต้องตาม
แนวทางทีก่ าหนด
o จุดเชื่อมโยงต่าง ๆ ทางานต่อเชื่อมได้จริง
36
การตรวจสอบเอกสาร
การจัดซื้อและจัดหาระบบไอที เป็ นไปอย่างถูกต้อง
การติ ด ตัง้ ระบบไอที เ ป็ นไปอย่ า งถูก ต้ อ ง และ มี ก ารจัด ส่ ง อุ ป กรณ์ ,
ซอฟต์แวร์ และ สิ่งต่าง ๆ ครบถ้วน
มีการจัดทาระบบข้อมูลระบบไอที , ซอฟต์แวร์, และ ระบบเครือข่าย ไว้
อย่ า งครบถ้ ว นและเป็ นปั จ จุ บ ัน (มี แ ผนภาพแสดงการวางระบบ
คอมพิวเตอร์และอุปกรณ์, รวมทัง้ สายสื่อสาร)
มี การจัดทารายงานเกี่ ยวกับการให้ บริการไอที, ปั ญหา, และ การแก้ ไข
เสนอต่อผูบ้ ริหารเป็ นระยะ ๆ (อย่างน้ อยไตรมาสละครัง้ )
37
สรุป
การตรวจสอบระบบงานไอทีของจังหวัดเป็ นงานสาคัญมาก
ระบบงานไอที มี ปั ญ หาความเสี่ ย งหลายประการ คื อ ความเสี่ ย งในการ
พัฒนาระบบ, ความเสี่ยงในการใช้ระบบ, ความเสี่ยงจากภายนอกองค์การ,
ความเสี่ยงจากอุบตั ิ ภยั , ความเสี่ยงจากมนุษย์
การใช้ไอทีที่ดีต้องกาหนดขึน้ เป็ นกระบวนการที่ชดั เจน
PMQA ระบุเรื่องไอทีไว้ในหมวด 4
การตรวจสอบไอที คือการตรวจสอบว่าหน่ วยงานมีการควบคุมในระบบไอ
ทีครบถ้วนหรือไม่
38