แนวทางการตรวจสอบระบบ ความมนคงปลอดภยดานสารสนเทศ

ประจาปงบประมาณ พ.ศ. ๒๕๕๖

กลมตรวจสอบภายในระดบกระทรวง กระทรวงศกษาธการ

คานา

ตามพระราชบญญตวาดวยการกระทาความผดเกยวกบคอมพวเตอร พ.ศ. 2550 และประกาศคณะกรรมการธรกรรมทางอเลกทรอนกส เรองแนวนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศของหนวยงานของรฐ พ.ศ. 2553 กาหนดใหหนวยงานของรฐจดใหมการตรวจสอบและประเมนความเสยงดานสารสนเทศ โดยผตรวจสอบภายในภาครฐ (Internal Audit) เพอใหหนวยงานของรฐไดทราบถงระดบความเสยงและระดบความมนคงปลอดภยของสารสนเทศของหนวยงาน ประกอบกบมาตรฐานการตรวจสอยภายในและแนวทางการประกนคณภาพงานตรวจสอบภายในภาครฐ กาหนดมาตรฐานดานคณสมบต รหส 1210.A3 ผตรวจสอบภายในตองมความรเพยงพอเกยวกบความเสยงและการควบคมพนฐานดานเทคโนโลยสารสนเทศ ไดแก การควบคมทสนบสนนการบรหารจดการและการกากบดแล โดยจดใหมระบบควบคมในสวนโครงสรางพนฐานดานสารสนเทศ เชน ระบบงานขอมล ระบบเครอขาย และระบบบคลากร ซงประกอบดวย การควบคมทวไปและแบบเฉพาะทาง รวมถงเทคนควธการตรวจสอบดานเทคโนโลยสารสนเทศ และประเดนทใชพจารณา : การวางแผนการตรวจสอบ การเสนอ และการอนมตแผนการตรวจสอบ กาหนดใหการวางแผนการตรวจสอบครอบคลมประเภทงานใหความเชอมน ควรครอบคลมการตรวจสอบดานสารสนเทศ ดงนน เพอใหการดาเนนงานของสวนราชการเปนไปตามกฎหมาย ประกาศ แนวนโยบาย และผานเกณฑการประกนคณภาพงานตรวจสอบภายในภาครฐกาหนด

กระทรวงศกษาธการ จงไดบรณาการงานตรวจสอบภายในรวมกบหนวยงานตรวจสอบภายในในสงกด เพอใหมแนวทางในการดาเนนงานไปในทศทางเดยวกน สามารถประมวลผลในภาพรวมของกระทรวงศกษาธการได โดยไดจดทาแผนปฏบตงานตรวจสอบ และแนวทางการตรวจสอบระบบความมนคงปลอดภย ดานสารสนเทศ ใน ปงบประมาณ พ.ศ . 2556 ขน เ พอให ผ ต รวจสอบภายในส ง กดกระทรวงศกษาธการ นาไปใชในการปฏบตงาน และรายงานผลตรวจสอบเปนไปในแนวทางเดยวกนตอไป

กระทรวงศกษาธการ

ตลาคม 2555

สารบญ

หนา

คานา

• แผนการปฏบตงานตรวจสอบระบบความมนคงปลอดภยดานสารสนเทศ 1

• วตถประสงคของการตรวจสอบ 1

• ขอบเขตและวธการตรวจสอบ 2

• ขนตอนการดาเนนงาน 2

• ขอมลพนฐานเพอประกอบการตรวจสอบ 3

• กรอบประเดนการตรวจสอบ 6

• นยามศพท 7

• แผนผงขนตอนการตรวจสอบ 8

• แนวทางการปฏบตงานการตรวจสอบระบบการรกษาความมนคงปลอดภย 11

ดานสารสนเทศ ประจาปงบประมาณ พ.ศ. 2556

ภาคผนวก

• กระดาษทาการ

� กระดาษทาการตรวจสอบแนวนโยบายและขอปฏบตในการรกษาความมนคง ปลอดภยดานสารสนเทศ IT.A1 24

� กระดาษทาการตรวจสอบแนวนโยบายการใชงานเครองคอมพวเตอร และระบบเครอขายทกระทบ พ.ร.บ.คอมพวเตอร IT.A2 25

� กระดาษทาการตรวจสอบการควบคมการเขาถงและควบคมใชงาน IT.A3.1 27

� กระดาษทาการตรวจสอบการใชงานตามภารกจ IT.A3.2 28

� กระดาษทาการตรวจสอบการบรหารจดการการเขาถงผใชงาน IT.A3.3 29

สารบญ

หนา

� กระดาษทาการตรวจสอบการกาหนดหนาทความรบผดชอบ IT.A3.4 30

� กระดาษทาการตรวจสอบการเขาถงระบบเครอขาย IT.A3.5 31

� กระดาษทาการตรวจสอบการเขาถงระบบปฏบตการ IT.A3.6 33

� กระดาษทาการตรวจสอบการเขาถงโปรแกรมประยกต หรอ Application และสารสนเทศ IT.A3.7

34

� กระดาษทาการตรวจสอบการจดระบบสารองและแผนเตรยม ความพรอมกรณฉกเฉน IT.A3.8

35

� กระดาษทาการสอบทานการจดใหมการตรวจสอบและประเมน ความเสยงดานสารสนเทศ IT.A3.9

36

• โครงการบรณาการงานตรวจสอบภายในกระทรวงศกษาธการ ประจาปงบประมาณ พ.ศ. 2556

37

แผนการปฏบตงานตรวจสอบ ระบบความมนคงปลอดภยดานสารสนเทศ

ปจจบนเทคโนโลยสารสนเทศเพอการสอสาร มความกาวหนาอยางรวดเรว การทาธรกรรมในระบบอเลกทรอนกสขยายตวเพมมากขน หนวยงานภาครฐจงไดรบการสนบสนนใหมการประยกตใช เทคโนโลยสารสนเทศเพอใหสามารถบรการประชาชนไดอยางทวถง สะดวก และรวดเรว ซงจะเปนการเพมประสทธภาพและประสทธผลในการใหบรการ และเพอใหหนวยงานภาครฐสามารถพฒนาการ ทาธรกรรมทางอเลกทรอนกสภายใตมาตรฐานเดยวกน และเพอเปนการสรางความเชอมนตอประชาชน จงไดมการตราพระราชบญญตวาดวยธรกรรมทางอเลกทรอนกส พ.ศ. 2544 และพระราชกฤษฎกากาหนดหลกเกณฑและวธการในการทาธรกรรมทางอเลกทรอนกส พ.ศ. 2549 ขนตามลาดบ

แตอยางไรกตาม สงทพฒนาพรอมกบความกาวหนาทางดานเทคโนโลย คอ ปญหาดานความปลอดภยของระบบสารสนเทศทมความรนแรงเพมขนทงในและตางประเทศ และมแนวโนมทจะสงผลกระทบตอภาครฐและภาคธรกจมากขน ทงในสวนของผประกอบการ องคกร ภาครฐ และภาคเอกชนทมการดาเนนงานในรปของขอมลอเลกทรอนกสผานระบบสารสนเทศขององคกร ทาใหหนวยงานเหลานนขาดความเชอมนตอการทาธรกจในทกรปแบบ และเพอเปนการปองกนและแกไขปญหาดงกลาว จงไดมการกาหนดกฎหมายและประกาศเพมเตม ไดแก พระราชบญญตวาดวยการกระทาความผดเกยวกบคอมพวเตอร พ.ศ. 2550 และประกาศคณะกรรมการธรกรรมทางอเลกทรอนกส เรองแนวนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศของหนวยงานของรฐ พ.ศ. 2553 ตามประกาศคณะกรรมการธรกรรมฯ ในขอ 13 (2) กาหนดใหหนวยงานของรฐจดใหมการตรวจสอบและประเมนความเสยงดานสารสนเทศ โดยผตรวจสอบภายในหนวยงานของรฐ (Internal Auditor) หรอโดยผตรวจสอบอสระดานความมนคงปลอดภย (External Auditor) เพอใหหนวยงานของรฐไดทราบถงระดบ ความเสยง และระดบความมนคงปลอดภยของสารสนเทศของหนวยงาน กอปรกบมาตรฐานการตรวจสอบภายใน และแนวทางการประกนคณภาพงานตรวจสอบภายในภาครฐ กาหนดมาตรฐานดานคณสมบตรหส 1210.A3 วา ผตรวจสอบภายในตองมความรเพยงพอเกยวกบความเสยงและการควบคมพนฐานดานเทคโนโลยสารสนเทศ ซงไดแก การควบคมทสนบสนนการบรหารจดการและการกากบดแล โดยจดใหมระบบการควบคมในสวนโครงสรางพนฐานดานสารสนเทศ เชน ระบบงานขอมล ระบบเครอขาย และบคลากร ซงประกอบดวย การควบคมทวไป (General Controls) และแบบเฉพาะทาง (Technical Controls) รวมถงเทคนควธการตรวจสอบดานเทคโนโลยสารสนเทศ และประเดนทใชพจารณา : การวางแผนตรวจสอบ การเสนอ และอนมตแผนการตรวจสอบ กาหนดให การวางแผนการตรวจสอบครอบคลมประเภทงานใหความเชอมนควรครอบคลมการตรวจสอบดานสารสนเทศ ดวย

เพอใหการดาเนนงานของสวนราชการเปนไปตามกฎหมาย ประกาศแนวนโยบายฯ และผานเกณฑการประกนคณภาพงานตรวจสอบภายในภาครฐ กระทรวงศกษาธการจงไดบรณาการงานตรวจสอบภายในกบหนวยงานในสงกด ไดแก หนวยงานหลก และมหาวทยาลยในสงกด

2 วตถประสงคการตรวจสอบ

1. เพอใหมนใจวา หนวยงานจดใหมการควบคมดานการรกษาความปลอดภยระบบสารสนเทศตามพระราชบญญตวาดวยการกระทาความผดเกยวกบคอมพวเตอร พ.ศ. 2550 และประกาศคณะกรรมการธรกรรมทางอเลกทรอนกส เรองแนวนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศของหนวยงานของรฐ พ.ศ. 2553

2. เพอใหมนใจวา หนวยงานปฏบตงานดานการรกษาความปลอดภยระบบสารสนเทศตามพระราชบญญตวาดวยการกระทาความผดเกยวกบคอมพวเตอร พ.ศ. 2550 และประกาศคณะกรรมการธรกรรมทางอเลกทรอนกส เรองแนวนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศของหนวยงานของรฐ พ.ศ. 2553

3. เพอใหทราบปญหา และอปสรรคในการปฏบตงานตามพระราชบญญตวาดวยการกระทาความผดเกยวกบคอมพวเตอร พ.ศ. 2550 และประกาศคณะกรรมการธรกรรมทางอเลกทรอนกสฯ และ ใหขอเสนอแนะเพอการพฒนางาน

ขอบเขตและวธการตรวจสอบ 1. ดาเนนการสอบทานเอกสารหลกฐานทเกยวของกบการจดใหมการควบคมและการปฏบต

ตามพระราชบญญตวาดวยการกระทาความผดเกยวกบคอมพวเตอร พ.ศ. 2550 และประกาศคณะกรรมการธรกรรมทางอเลกทรอนกส เรองแนวนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศของหนวยงานของรฐ พ.ศ. 2553 ทหนวยงานใชอยในปจจบน

2. ดาเนนการสมสอบทานการปฏบตตามนโยบายและขอปฏบตของหนวยงาน 3. สงเกตการปฏบตงานจรงตามระบบควบคมทกาหนดตามนโยบายและขอปฏบต 4. สอบถามและสมภาษณ ผบรหารและผปฏบตงาน

ขนตอนการดาเนนงาน 1. ศกษาขอมลพนฐานประกอบการตรวจสอบ แนวทางการปฏบตงานตรวจสอบ และกระดาษ

ทาการ 2. ดาเนนการตรวจสอบโดย 2.1 แจงหนวยรบตรวจ (หนวยงานทดแลระบบสารสนเทศขององคกร) ถงวนทจะดาเนนการ

เปดตรวจ 2.2 ประชมเปดตรวจเพอชแจงวตถประสงค ขอบเขต แนวทางและวธการตรวจสอบ พรอม

ทงขอความรวมมอในการใหขอมล 2.3 ดาเนนการตรวจสอบตามแนวทางการปฏบตงานตรวจสอบ และบนทกขอมลการ

ตรวจสอบในกระดาษทาการ 2.4 เมอดาเนนการตรวจสอบแลวเสรจ ใหสรปผลจากกระดาษทาการเกบขอมลลงใน

กระดาษทาการสรปผล

3

2.5 ประชมปดตรวจ เพอสรปผลการตรวจสอบ ทาความเขาใจ ชแจง และขอความเหนเพมเตมในบางประเดนทยงเปนทสงสย พรอมขอบคณผทมสวนเกยวของในการใหขอมลการตรวจสอบ

3. รางรายงานผลการตรวจสอบ พรอมทงแจงใหหนวยรบตรวจทราบผลเพอพจารณาใหความเหน แลวจดทารายงานผลการตรวจสอบพรอมแนบความเหนของหนวยรบตรวจ เสนอผบรหารเพอพจารณาสงการ

4. สาเนารายงานผลการตรวจสอบ สงกลมตรวจสอบภายในระดบกระทรวง กระทรวง ศกษาธการภายในเดอนมถนายน 2556 ขอมลพนฐานเพอประกอบการตรวจสอบ 1. การตรวจสอบดานสารสนเทศ ตามมาตรฐานการตรวจสอบภายในของกรมบญชกลางทกาหนดในมาตรฐานการตรวจสอบภายในรหส 1210.A3 กาหนดใหผตรวจสอบภายในตองมความรเพยงพอเกยวกบความเสยงและการควบคมพนฐานดานสารสนเทศ 2. โครงสรางพนฐานดานสารสนเทศ ประกอบดวย 2.1 อปกรณ: Hardware 2.2 โปรแกรม: Software 2.3 ฐานขอมล: Data & Storage Technology 2.4 เครอขาย: Networks 2.5 บคลากร: People ware ผงแสดงความเชอมโยงโครงสรางพนฐานดานสารสนเทศและการควบคมความปลอดภย 3. การควบคมความปลอดภย แบงเปน 3 ดาน คอ 3.1 มมมองทางดานกายภาพ (Physical Control) 3.2 มมมองทางดานเทคนค (Technical Control) 3.3 มมมองทางดานการบรหารจดการ (Administrative Control)

4 การจาแนกงานตรวจสอบตามมมมองการควบคม จากมมมองทางดานการควบคม ทาใหงานตรวจสอบทางดาน IT แบงเปน 3 ดาน ไดแก 3.1 ดานกายภาพ การตรวจสอบดานกายภาพ (Physical Control) ไดแก ระบบควบคมการเขา-ออก ศนยคอมพวเตอร, Hardware ระบบ Backup/Restore และ ระบบไฟสารอง เชน ม UPS เพยงพอหรอไม และอปกรณเฝาระวง เชน กลองวงจรปด (CCTV) เปนตน 3.2 ดานเทคนค (Technical Control) ไดแก 1). การตรวจสอบระบบปฏบตการ (NOS Audit) เชน การตรวจสอบระบบ Server ทใช MS Windows เชน Windows NT, Window 2000 Server ตลอดจน Workstation ทใช Windows XP เปนตน การตรวจสอบควรจะครอบคลมถงระบบปฏบตการอนดวย เชน การตรวจสอบระบบปฏบตการ Unix เชน Sun Solaris, HP/UX, IBM AIX และ ระบบปฏบตการ Linux ทไดรบความนยมเพมขนเรอยๆ 2). การตรวจสอบอปกรณเครอขาย (Network Devices Audit) เชน การตรวจสอบ Router, การตรวจสอบ Switching และ การตรวจสอบ Remote Access Server ตลอดจน การตรวจสอบโครงสรางของเครอขาย (Network Infrastructure Audit) และ ประสทธภาพของเครอขาย (Network Performance Audit) โดยใชโปรแกรมตรวจสอบประเภท Packet Sniffer หรอ RMON Probe เปนตน 3). การตรวจสอบอปกรณรกษาความปลอดภย (Security Devices Audit) เชน การตรวจสอบ Firewall, การตรวจสอบ Intrusion Detection System (IDS), การตรวจสอบ Intrusion Prevention System (IPS), การตรวจสอบโปรแกรม Enterprise Anti-Virus, การตรวจสอบ VPN Server เปนตน การตรวจสอบอปกรณรกษาความปลอดภยนนเปนสงทมความจาเปนอยางสง เพราะถาอปกรณรกษาความปลอดภยมปญหาเสยเอง หรอโดน Hacker เจาะเขามา compromised กจะทาใหเกดปญหากบความปลอดภยของระบบโดยรวม ผตรวจสอบควรเปนผชานาญงานดานการใชงาน Firewall หรอ IDS/IPS มากอนดวยจะชวยไดมาก 4). การตรวจสอบโปรแกรมฐานขอมล (RDBMS Audit) เชน การตรวจสอบ Oracle, IBM DB2, Microsoft SQL Server, Informix, SYBASE หรอ MySQL RDBMS การตรวจสอบโปรแกรมฐานขอมลควรกระทา ควบคไปกบการตรวจสอบระบบปฏบตการทโปรแกรมฐานขอมลทางานอย เชน Oracle ทางานบน Unix เปนตน เพอทจะเจาะลกลงไปในดานความปลอดภยของตวโปรแกรมฐานขอมลเองวามชองโหวหรอไม ผตรวจสอบควรเปนผเชยวชาญการใชงานโปรแกรมฐานขอมลนนๆมากอน เพราะการตรวจสอบตองใชความรเชงลกทางดาน RDBMS ดวย 5). การตรวจสอบโปรแกรมประยกตและโปรแกรมทใหบรการในลกษณะ Server (Application Specific Audit) เชน การตรวจสอบ Web Server IIS บน Microsoft Windows Platform และ การตรวจสอบ Web Server Apache บน Unix/Linux Platform ซงทง 2 เปนโปรแกรม Web Server ยอดนยมอยใน ขณะน นอกจากการตรวจสอบ Web Server แลว IT Auditor ควรตรวจสอบ Mail Server, FTP Server, LDAP Server, RADIUS Server ตลอดจน DNS Server ซงถอเปนหวใจหลกของระบบ หาก DNS Server มปญหาจะทาใหระบบไมสามารถอางอง Hostname ได ซงจะกอใหเกดปญหาใหญกบระบบ โดยรวม

5 3.3 ดานการบรหารจดการ (Administrative Control) การตรวจสอบกระบวนการบรหารจดการควบคมดานสารสนเทศ (Administrative Control) ไดแก การตรวจสอบ Policy, Standard, Guideline และ Procedure ทองคกรมอยวา ครอบคลม และ มการปฏบตตามหรอไม ในขนตอนนรวมถงการตรวจสอบวาองคกรมการจด ฝกอบรม ดานการรกษาความปลอดภย (Security Awareness Training) หรอไม ซงตามปกตควรจะมเปนประจา ทกป การตรวจสอบการบรหารจดการนนตองพจารณาจากโครงสรางหนวยงาน, การแบงแยกหนาทตางๆในหนวยงาน, การจดทาแผนสารองฉกเฉน และแผนรบเหตการณ (Business Continuity Planning , Disaster Recovery Planning and Incident Response Procedure) ตลอดจนการควบคมการเปลยนแปลงระบบงาน (Change Control Management)

สาหรบการตรวจสอบระบบความมนคงปลอดภยดานสารสนเทศตามทกาหนดนจะเปนการตรวจสอบทางดานกายภาพ และการตรวจสอบทางดานการบรหารจดการ

4. การควบคมตามพระราชบญญตวาดวยการกระทาความผดเกยวกบคอมพวเตอร พ.ศ. 2550 และประกาศคณะกรรมการธรกรรมทางอเลกทรอนกส เรองแนวนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศของหนวยงานของรฐ พ.ศ. 2553 กาหนดในเรองตอไปน 4.1 การควบคมตามพระราชบญญตวาดวยการกระทาความผดเกยวกบคอมพวเตอร พ.ศ. 2550 ไดแก 1). การควบคมระบบคอมพวเตอรของหนวยงานตาม มาตรา 15 เพอปองกนผใชบรการทเขาไปกระทาความผดตามพระราชบญญตคอมพวเตอร เชน นาเขาขอมลอนเปนเทจทาใหเกดความเสยหายตอความมนคง สรางความตนตระหนกตอประชาชน หรอเผยแพรภาพลามกอนาจาร เปนตน 2). การเกบขอมลจราจร ซงหมายถง ขอมลเกยวกบการตดตอสอสารของระบบคอมพวเตอร ซงแสดงถงแหลงกาเนด ตนทาง ปลายทาง เสนทาง เวลา วนท ปรมาณ ระยะเวลา ชนดของบรการ และอนๆ ทเกยวของกบการตดตอสอสารของระบบคอมพวเตอรนน ตามมาตรา 26 กาหนดใหหนวยงานตองจดเกบขอมลของผใชบรการเทาทจาเปนเพอใหสามารถระบตวผใชบรการนบแตเรมใชบรการ และตองเกบรกษาไวเปนเวลาไมนอยกวา 90 วนนบตงแตการใชบรการสนสดลง การควบคมทง 2 เรองทกลาวมาขางตน หนวยงานดาเนนการ ดวยวธการ ดงนคอ 1). การควบคมการเขาสระบบ (Access Control) ดวยการกาหนด Username และ Password ใหกบผใชงาน 2). การเกบ Log file ขอมลจราจรทางคอมพวเตอรของหนวยงาน โดยปกต Log file เปนไฟลทถกสรางขนอตโนมต โดยโปรแกรม (ซงผเขยนโปรแกรมตองเขยนเรองนไว) เพอใชในการเกบขอมลสถานะตางๆ โดยจะบนทกขอมลทงหมดทเกดขนตงแตผใชบรการเขาสระบบ (Log - In) จนกระทงผใชบรการออกนอกระบบ (Log - Out) หรอปดการใชงาน และในบางโปรแกรม เชน โปรแกรม GFMIS จะมการเกบ Log file ไวเพอการตรวจสอบ และบางโปรแกรม Log file สามารถใชเพอสงใหระบบยอนกลบไปปฏบตงานไดในกรณทเกดปญหาได

6 4.2 การควบคมประกาศคณะกรรมการธรกรรมทางอเลกทรอนกส เรองแนวนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศของหนวยงานของรฐ พ.ศ. 2553 กาหนดดงน 1). ใหจดทานโยบายและขอปฏบตใหครอบคลมเนอหาตามทประกาศกาหนด 2). ใหประกาศเผยแพรนโยบายและขอปฏบต พรอมทงทบทวนใหเปนปจจบน 3). ใหปฏบตตามนโยบายและขอปฏบตทกาหนดและประกาศไว 4). กรณทเกดความเสยหายหรออนตรายตอองคกรหรอผหนงผใด อนเนองมาจากความบกพรอง ละเลย หรอฝาฝนการปฏบตตามนโยบายและขอปฏบต ผบรหารระดบสงตองรบผดชอบตอความเสยหายดงกลาว 5). หนวยงานสามารถเลอกใช ขอปฏบต ทตางจากประกาศได หากมความเหมาะสมกวาหรอเทยบเทา ผงแสดง ความเชอมโยงการควบคมความปลอดภยกบนโยบายและขอปฏบตตามประกาศ ของหนวยงาน

7 กรอบประเดนการตรวจสอบ ประเดนท 1 นโยบายและขอปฏบตเปนไปตามกฎหมายและประกาศคณะกรรมการธรกรรมฯ 1.1 การจดทานโยบายการรกษาความมนคงปลอดภยและขอปฏบต คลอบคลม ขอกาหนดตามกฎหมายและประกาศคณะกรรมการธรกรรมฯ 1.2 การเผยแพรนโยบายและขอปฏบต ใหผทเกยวของทราบสามารถเขาถงเขาใจ และปฏบตตามได 1.3 กาหนดผรบผดชอบตามนโยบายและขอปฏบตทชดเจน 1.4 ทบทวนนโยบายและขอปฏบตใหเปนปจจบนอยเสมอ ประเดนท 2 การควบคมตามพระราชบญญตวาดวยการกระทาความผดเกยวกบคอมพวเตอร พ.ศ. 2550 ประเดนท 3 การควบคมตามประกาศคณะกรรมการธรกรรมฯ 3.1 การเขาถงและการควบคมการใชงาน (Access Control) 3.1.1 การกาหนดการเขาถงสารสนเทศ 1). การควบคมการเขาถงระบบสารสนเทศ 2). การควบคมการเขาถงระบบเครอขาย 3). การควบคมการเขาถงระบบปฏบตการ 4). การควบคมการเขาถงโปรแกรมประยกต (Applications) และสารสนเทศ 3.1.2 การกาหนดการใชงานตามภารกจ 3.1.3 การบรหารจดการการเขาถงของผใชงาน 3.1.4 การกาหนดหนาทความรบผดชอบ 3.2 การจดใหมระบบสารองและแผนเตรยมความพรอมกรณฉกเฉน 3.3 การจดใหมการตรวจสอบและประเมนความเสยง นยามศพท ตามประกาศคณะกรรมการธรกรรมทางอเลกทรอนกส เรองแนวนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศของหนวยงานของรฐ พ.ศ. 2553

รายการ ความหมาย ผใชงาน ขาราชการ เจาหนาท พนกงานของรฐ ลกจาง ผดแลระบบผบรหารของ

องคกร ผรบบรการ ผใชงานทวไป สทธของผใชงาน สทธทวไป สทธจาเพาะ สทธพเศษ และสทธอนใดทเกยวของกบระบบ

สารสนเทศของหนวยงาน การเ ขาถงหรอควบคมการใชงานสารสนเทศ

การอนญาต การกาหนดสทธ หรอการมอบอานาจใหผใชงาน เขาถงหรอใชงานเครอขายหรอระบบสารสนเทศ ทงทางอเลกทรอนกส และทางกายภาพ รวมทงการอนญาตเชนวานนสาหรบบคคลภายนอก ตลอดจนอาจกาหนดขอปฏบตเกยวกบการเขาถงโดยมชอบเอาไวดวยกได

ความมนคงปลอดภยดานสารสนเทศ

การธารงไวซงความลบ (confidentiality) ความถกตองครบถวน (integrity) และสภาพพรอมใชงาน (availability) ของสารสนเทศ รวมทงคณสมบตอน ไดแกความถกตองแทจรง (authenticity) ความรบผด (accountability) การหามปฏเสธความรบผด (non-repudiation) และความนาเชอถอ (reliability)

8

แผนผงขนตอนการตรวจสอบ

ประเดนท 1 นโยบายการรกษาความมนคงปลอดภยและขอปฏบตเปนไปตามกฎหมายและประกาศ

เรม

นโยบายฯ เปนไปตาม

กฎหมายและประกาศ ประเดน กระดาษทาการ IT.A1.1

ไมใช

ใช

ขอกาหนด เปนไปตาม

กฎหมายและประกาศ ประเดน กระดาษทาการ IT.A1.2 ไมใช

สรปผลการตรวจสอบประเดนท 1

ใช

กระดาษทาการ IT.Sum

สรปผลการตรวจสอบประเดนท 2

ใช

ประเดนท 2 หนวยงานดาเนนการควบคม ตามพระราชบญญตวาดวยคอมพวเตอร พ.ศ. 2550

กระดาษทาการ IT.Sum

เรม

หนวยงานดาเนนการ ควบคมตาม พรบ.

ประเดน กระดาษทาการ IT.A2 ไมใช

9

ประเดนท 3 การควบคมตามประกาศคณะกรรมการธรกรรมฯ

เรม

กาหนดการเขาถงสารสนเทศ ประเดน กระดาษทาการ IT.A3.1 ������

���

กาหนดการใชงาน ตามภารกจ

ประเดน กระดาษทาการ IT.A3.2 ������

���

ประเดน บรหารจดการการเขาถงของ

ผใชงาน กระดาษทาการ IT.A3.3

������

ประเดน กาหนดหนาทความ

รบผดชอบ กระดาษทาการ IT.A3.4

������

ประเดน ควบคมการเขาถงระบบ

เครอขาย กระดาษทาการ IT.A3.5

������

���

���

ตอ

10

ตอ

ควบคมการเขาถง

ระบบปฏบตการ ประเดน กระดาษทาการ IT.A3.6

������

���

ควบคมการเขาถงโปรแกรมประยกตและสารสนเทศ

ประเดน กระดาษทาการ IT.A3.7 ������

���

ประเดน มระบบสารอง

กระดาษทาการ IT.A3.8 ������

ประเดน มแผนกรณฉกเฉน

กระดาษทาการ IT.A3.8 ������

ประเดน มการตรวจสอบและประเมน

ความเสยง กระดาษทาการ IT.A3.9

������

���

���

สรปผลการตรวจสอบ

สรปผลการตรวจสอบประเดนท 3 กระดาษทาการ IT.Sum

���

11

แนวทางการปฏบตงานการตรวจสอบระบบการรกษาความมนคงปลอดภยดานสารสนเทศ ประจาปงบประมาณ พ.ศ. 2556

ประเดนการตรวจสอบท 1 นโยบายการรกษาความมนคงปลอดภยและขอปฏบตตามกฎหมายและประกาศ

คณะกรรมการธรกรรมทางอเลกทรอนกส วตถประสงค 1. เพอใหมนใจวา หนวยงานกาหนดนโยบายและขอปฏบตเปนไปตามกฎหมายและ

ประกาศคณะกรรมการธรกรรมทางอเลกทรอนกส 2. เพอทราบปญหาอปสรรคในการดาเนนการ

ประเดนยอย/ วตถประสงคยอย

เกณฑการตรวจสอบ วธการตรวจสอบ กระดาษทาการแหลงขอมล/

1. การจดทานโยบายการรกษาความมนคงปลอดภยเปนไปตามกฎหมายและประกาศคณะกรรมการธรกรรมฯ วตถประสงค เพอใหมนใจวา การจดทานโยบายการรกษาความมนคงปลอดภยเปนไปตามทกาหนดในกฎหมายและประกาศคณะกรรมการธรกรรมฯ

1. หนวยงานมการจดนโยบายในการร กษาความม นคงปลอดภยดานสารสนเทศเปนลายลกษณอกษร 2. นโยบายมเนอหาครอบ - คลมเรองตอไปน 2.1 การเขาถงหรอการควบคมการใชสารสนเทศ 2.2 จดระบบสารองและแผนเตรยมความพรอมกรณฉกเฉน 2.3 จดใหมการตรวจสอบ และประเมนความเสยงดานสารสนเทศอยางสมาเสมอ 3. หนวยงานประกาศนโยบายใหผทเกยว-ของทราบ 4. หนวยงานกาหนดผรบผดชอบ ตามนโยบายทชดเจน 5. หนวยงานมการทบทวนนโยบายใหเปนปจจบน

1. ตรวจสอบเอกสารหลกฐานวาหนวย-งานไดกาหนดนโยบายในการรกษาความมนคงปลอดภยดานสารสนเทศเปนลายล กษณ อ กษรห ร อ ไ ม ก ร ณ ท ไ ม ไ ดดาเนนการใหสอบถามสาเหตจากผ ทเกยวของ 2. กรณทจดทาใหตรวจสอบเนอหาในนโยบายวา ครอบคลมประเดนทกาหนดตามเกณฑ และมหลกฐานเชอไดวามการทบทวนเปนปจจบน 3. ตรวจสอบวา มการออกคาสงหรอมอบหมายส งการใหรบผดชอบ ตามนโยบายทกาหนดหรอไม 4. ตรวจสอบ/สง เกต การประกาศนโยบายใหผทเกยวของทราบ 5. บนทกขอมลจากการตรวจสอบลงในกระดาษทาการ พรอมถายเอกสารนโยบายทจดทา (ถาม ) แนบกระดาษ ทาการเปนหลกฐาน

เครองมอ กระดาษทาการ IT.A1.1 หลกฐาน 1. เอกสารนโยบายในการรกษาความมนคงปลอดภยดานสารสนเทศ 2. ห ล ก ฐ า น แ ส ด ง ก า รประกาศเผยแพร 3. ค า ส ง ห ร อ ห น ง ส อมอบหมายสงการ แหลงขอมล 1. หนวยงานทดแลดาน IT ภาพรวมขององคกร 2. ผบรหารหรอผปฏ บต งานทเกยวของ

2. การจดทาขอปฏบตในการรกษาความมนคงปลอดภย เ ปนไปตามกฎหมายและประกาศคณะกรรมการธรกรรมฯ

1. ขอปฏบตสอดคลองกบนโยบายการร กษาความมนคงปลอดภย 2. ขอปฏบตมเนอหาอยางนอยตอไปน

1. ตร วจสอบ เ อกส า รห ล ก ฐ าน ว าหนวยงานไดกาหนดขอปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศสอดคลองกบนโยบายทกาหนดทกขอหรอไม

เครองมอ กระดาษทาการ IT.A1.2 หลกฐาน 1. เอกสารนโยบายและ ขอปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ

12

ประเดนยอย/ วตถประสงคยอย

เกณฑการตรวจสอบ วธการตรวจสอบ กระดาษทาการแหลงขอมล/

วตถประสงค เพอใหมนใจวา การจดทาขอปฏบตในการรกษาความ-มนคงปลอดภย เปนไปตาม ทกาหนดในกฎหมายและประกาศคณะกรรมการธรกรรมฯ

2.1 ม ข อ ก า ห น ด ก า รควบคมการเขาถง 2.2 มขอกาหนดการใชงานตามภารกจ 2.3 ม ก า ร จ ด ก า รก า รเขาถงของผใชงาน 2.4 มการกาหนดหนาทความรบผดชอบของผใชงาน 2.5 ม การควบคมการเขาถงเครอขาย 2.6 มการควบคมการเขาถงระบบปฏบตการ 2.7 ม การควบคมการเขาถงโปรแกรมประยกตและสารสนเทศ 2.8 จดระบบสารองและแผนเตรยมความพรอมกรณฉกเฉน 2.9 จดใหมการตรวจสอบและประเมนความเสยงดานสารสนเทศอยางสมาเสมอ 3. หนวยงานประกาศขอปฏบตใหผทเกยว ของทราบ 4. หนวยงานกาหนดผรบ -ผดชอบตามขอปฏบตทชดเจน 5. หนวยงานมการทบทวนขอปฏบตเปนปจจบน

2. ต ร ว จ ส อ บ ข อ ป ฏ บ ต ท ก า ห น ดครอบคลมทกประเดนตามประกาศคณะกรรมการธรกรรมทางอเลกทรอนกส และมหลกฐานเชอไดวามการทบทวนเปนปจจบน 3. ตรวจสอบวา มการออกคาสงหรอมอบหมายสงการใหรบผดชอบ ตามขอปฏบตทกาหนดหรอไม 4. ตรวจสอบ/สงเกต การประกาศขอปฏบตฯ ใหผทเกยวของทราบ 5. บนทกขอมลจากการตรวจสอบลงในกระดาษทาการ พรอมถายเอกสาร ขอปฏ บต ในการร กษาความม นค งปลอดภยแนบกระดาษทาการเปนหลกฐาน

2. หลกฐานแสดงการประกาศเผยแพร 3. ค า ส ง ห ร อ ห น ง ส อมอบหมายสงการ แหลงขอมล 1. หนวยงานทดแลดาน IT ภาพรวมขององคกร 2. ผบรหารหรอผปฏ บต งานทเกยวของ

13

ประเดนการตรวจสอบท 2 หนวยงานดาเนนการควบคมความปลอดภยตามพระราชบญญตวาดวยการกระทา ความผดเกยวกบคอมพวเตอร พ.ศ. 2550 วตถประสงค 1. เพอใหมนใจวา หนวยงานดาเนนการควบคมความปลอดภย ตามพระราชบญญต วาดวยการกระทาความผดเกยวกบคอมพวเตอร พ.ศ. 2550 2. เพอทราบปญหาอปสรรคในการดาเนนการ

ประเดนยอย/ วตถประสงคยอย

เกณฑการตรวจสอบ วธการตรวจสอบ กระดาษทาการแหลงขอมล/

1. การควบคมปองกนมใหผ ใ ช ง า น เ ข า ไ ป ก ร ะ ท าความผดตามตามพระราช -บญญต วาดวยการกระทาความผดเกยวกบคอมพวเตอร พ.ศ. 2550 วตถประสงค เพอใหมนใจวาหนวยงานไดดาเนนการเพอเปนการปองกนมใหผใชงานเขาไปกระทาความผดผานระบบคอมพวเตอรของหนวยงาน

หนวยงานไดมการประกาศเผยแพรการกระทาความผดผานระบบคอมพวเตอรของหนวยงาน ตามพระราชบญญตวาดวยการกระทาความผดเกยวกบคอมพวเตอร พ.ศ. 2550 ใหกบผใชงานทราบ

1. ตรวจสอบเอกสารหลกฐานวามการประกาศเผยแพรขอมลเกยวกบการกระทาความผด ตามพระราชบญญตวาด วยการกระ ท าความผ ด เ ก ยว ก บคอมพวเตอร พ.ศ. 2550 ใหกบผใชงานทราบ 2. สอบถามสมภาษณผบรหาร และผปฏบตานทเกยวของ 3. บนทกขอมลจากการตรวจสอบลงในกระดาษทาการ

เครองมอ กระดาษทาการ IT.A2 หลกฐาน เอกสารหลกฐานแสดงการประกาศเผยแพร ขอมล 1. หนวยงานทดแลดาน IT 2. ผบรหารหรอผปฏบตงานทเกยวของ

2. การเกบขอมลจราจรทางคอมพวเตอร วตถประสงค เพอใหมนใจวา หนวยงานมการจดเกบขอมลจราจรทางคอมพวเตอรเปนไปตามพระราชบญญตวาดวยการกระท าความผ ดเ ก ยวกบคอมพวเตอร พ.ศ. 2550

หนวยงานทรบผดชอบดาเนนการจดเกบขอมลจราจรทางคอมพวเตอร ไวจานวนไมนอยกวา 90 วน

1. สอบถามสมภาษณผบรหาร และผปฏบตงานทเกยวของถงกระบวนการและหลกฐานทแสดงวามการจดเกบ 2. ตรวจสอบหลกฐานใหมนใจวามการจดเกบครบตามวนเวลาทกาหนดจรง 3. บนทกขอมลจากการตรวจสอบลงในกระดาษทาการ

เครองมอ กระดาษทาการ IT.A2 หลกฐาน เ อกสา รหล ก ฐานแสด งจดเ กบขอมลจราจรทางคอมพวเตอร ขอมล 1. หนวยงานทดแลดาน IT 2. ผบรหารหรอผปฏบตงานทเกยวของ

14

ประเดนการตรวจสอบท 3 หนวยงานดาเนนการควบคมตามประกาศคณะกรรมการธรกรรมทางอเลกทรอนกส เรอง แนวนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ ของหนวยงานของรฐ พ.ศ. 2553

วตถประสงค 1. เ พอให มนใจวา ดาเนนการควบคมตามประกาศคณะกรรมการธรกรรมทาง อเลกทรอนกส เรอง แนวนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศของหนวยงานของรฐ พ.ศ. 2553

2. เพอทราบปญหาอปสรรคในการดาเนนการ

ประเดนยอย/ วตถประสงคยอย

เกณฑการตรวจสอบ วธการตรวจสอบ กระดาษทาการแหลงขอมล/

1. การควบคมการเ ขาถงและการควบคมการใชงาน (Access Control) สารสนเทศ1 วตถประสงค เพอใหทราบวาหนวยงานมการควบคมการเขาถงและควบ คมการ ใ ช ง านต ามประกาศคณะกรรมการธรกรรมทางอเลกทรอนกส

1. มการควบคมการเขาถงขอมลและอปกรณในการป ร ะ ม ว ล ผ ล ข อ ม ล ท า งกายภาพเชน โดยบตรผานหรอรหสในการเขาสสวนทสาคญลอคประต เมอไมมการ เ ขาใ ชงาน ม ระบบ CCTV หรอยามรกษาความปลอดภย ฯลฯ 2. มการกาหนดสทธในการเขาถง การอนญาต และการมอบอานาจ 3. มการกาหนดเกยวกบ 3.1 ประเภทของขอมล 3.2 ชนความลบของขอมล 3.3 ระดบชนการเขาถง 3.4 เวลาทเขาถง 3.5 ชองทางทเขาถง

1. ตรวจสอบหลกฐานทแสดงวามการควบคมการเขาถงขอมลอปกรณในการประมวลผลขอมลทางกายภาพของหนวยงานหรอไมอยางไร 2. สอบทานสทธ การอนญาต และการมอบอานาจใหเปนไปตามคาสงหรอการมอบหมายส งการของหวหนาส วนราชการ 3. มเอกสารแสดงการจดประเภท และล าดบความส า คญของ ขอมล เ พอกาหนดการเขาถงและชองทางทเขาถง 4. บนทกขอมลจากการตรวจสอบลงในกระดาษทาการ

เครองมอ กระดาษทาการ IT.A3.1 หลกฐาน เอกสารหลกฐานแสดงการควบคม แหลงขอมล 1. หนวยงานทดแลดาน IT 2. ศนยควบคมคอมพวเตอรของหนวยงาน 3. ผบรหารหรอผปฏบต งานทเกยวของ

2. การกาหนดการใชงานต า ม ภ า ร ก จ (Business requirements for access control)

ม ขอปฏบตสาหรบการใชงานสารสนเทศตามภารกจ โ ด ย ม ก า ร ค ว บ ค ม เ ป น 2 สวน คอ 1. การควบคมการเขาถงสารสนเทศ

1. ตรวจสอบหนวยงานได จดทาขอปฏบตสาหรบการใชงานสารสนเทศ ตามภารกจหรอไม 2. ถามใหตรวจสอบขอกาหนดดงกลาววาครอบคลม การควบคมการเขาถงและการควบคมดานความปลอดภยหรอไม

เครองมอ กระดาษทาการ IT.A3.2 หลกฐาน เอกสารหลกฐานแสดงการควบคม

1

������� ก��� ��� ก�ก���������� ���ก���������������� ��������������������� �� ���!��������" �#$�������%&ก����ก�' (%!���ก��)�* +��#$�ก��� ����� �+ ��#$� � �� ��%)����ก�%��,����ก��������ก������ก-.�+ก#�ก��������/�������0+���+�ก&0��

15

ประเดนยอย/ วตถประสงคยอย

เกณฑการตรวจสอบ วธการตรวจสอบ กระดาษทาการแหลงขอมล/

วตถประสงค เพอใหทราบวาหนวยงานมการควบคมการใชงานตามภารกจเปนไปตามประกาศคณะกรรมการธรกรรมทางอเลกทรอนกส

2. การปรบปรงใหสอดคลองก บ ข อ ก า ห น ด ใ น ก า รปฏบตงานและขอกาหนดดานความปลอดภย

3. บนทกขอมลจากการตรวจสอบลงในกระดาษทาการ

แหลงขอมล 1. หนวยงานทดแลดาน IT 2. ผบรหารหรอผปฏบตงานทเกยวของ

3. การบรหารจดการการเขาถงของผใชงาน (User access Management) วตถประสงค เพอใหทราบวาหนวยงานบรหารจดการการเขาถงของผใชงาน ตามประกาศคณะกรรมการธรกรรมทางอเลกทรอนกส

1. มการใหความร ความเขาใจใหแกผ ใ ช งานถงภยและผลกระทบจากการใชงานระบบโดยไมระมดระวงและรเทาไมถงการณ 2. มกาหนดใหลงทะเบยนผใชงาน เพออนญาตและเพกถอนสทธ 3. มการควบคมและจากดสทธ โดยใหเปนไปตามหลก Need to know 2 4. การใหรหสผานและการ

1. สอบทานวาหนวยงานไดจดใหมการใหความร ความเขาใจแกผใชงาน เปนประจาหรอไม ดวยวธการใด 2. สอบทานวา 2.1 มขอกาหนดในการลงทะเบยนและผ ง ข นตอนกา รปฏ บ ต ใ นกา รลงทะเบยน 2.2 มขอปฏบตหรอหลกเกณฑในการอนญาตใหเขาถงระบบสารสนเทศ 2.3 มขอปฏบตหรอหลกเกณฑในการยกเลก เพกถอนการอนญาตใหเขาถงระบบสารสนเทศ 3. สอบทานเอกสารแสดงการกาหนดสทธใน(ตารางกาหนดสทธ) แตละระบบวา ม User จานวนกคน มการสราง User รวมไดหรอไม สทธทใหในแตละกลมเปนอยางไร เหมาะสมหรอไม ทงนอาจดาเนนการตรวจสอบทกระบบหรอสมตรวจเฉพาะระบบสาคญๆ โดยใหพจารณาตามความจาเปนและเหมาะสม 4. สอบทานกระบวนการในการใหรหส

เครองมอ กระดาษทาการ IT.A3.3 หลกฐาน เอกสารหลกฐานแสดงการควบคม แหลงขอมล 1. หนวยงานทดแลดาน IT 2. ผบรหารหรอผปฏบตงานทเกยวของ

2

����������/��0���� ��-.,���23�������

16

ประเดนยอย/ วตถประสงคยอย

เกณฑการตรวจสอบ วธการตรวจสอบ กระดาษทาการแหลงขอมล/

เพกถอนรหสใหกบผใชงาน ม ก า ร ด า เ น น ก า ร ผ า นกระบวนการดานการบรหาร 5. มการทบทวนสทธการเขาถงของผใชงานเปนระยะ

กบผใชงาน และเพกถอนรหสวามการควบคมอยางรดกม และมการดาเนนการผานกระบวนการบรหาร โดยควรกาหนดเงอนไขใหผงานเกบรหสผานไวเปนความลบ ทงนหนวยงานไดมการพจารณาถงล าดบ ชนความลบของระบบ/ ขอมล ในการเขาถงแลว 5. สอบทานวาหนวยงานจดใหมการทบทวนสทธของผใชงานเปนปกตประจา เชน ทก 3 เดอน หรอทก 6 เดอน เปนตน และตรวจสอบจากเอกสารหลกฐานวาดาเนนการทบทวนหรอไม 6. ใหสอบถามหรอสมภาษณผบรหารหรอเจาหนาทผปฏบตงานเพอทราบปญหา หรออปสรรคในการดาเนนการ 7. บนทกขอมลลงในกระดาษทาการ ทเกยวของ

4. การกาหนดหนาทความรบผดชอบ (User Respon- sibilities) วตถประสงค เพอใหทราบวาหนวยงานมการควบคมกาหนดหนาทความรบผดชอบเพอปองกนการเขาถงโดยไมไดรบอนญาต การเปดเผย การลวงร หรอล กลอบทาส า เนา ขอม ลสารสนเทศ หรอ ลกขโมยอปกรณประมวลผลตามประกาศคณะกรรมการธรกรรมทางอเลกทรอนกส

1. กาหนดแนวปฏบต ทดส า ห ร บ ผ ใ ช ง า น ใน ก า รกาหนดรหสผ าน การใ ชรหสผาน และการเปลยนรหสผานทมคณภาพ 2. กาหนดขอปฏบตในการปองกนอปกรณขณะไมมผใชงาน

1. สอบทานกระบวนการในการกาหนดรหสผานวามขอแนะนาในการกาหนดรหสขอกาหนดในการใชงาน รวมถงการเปลยนรหส หรอไม กรณทผใชงานไมดาเนนการ ตามทกาหนด ดาเนนการอยางไร 2. สอบทานวามขอปฏบตในการปองกน อปกรณในขณะทไมมผใชงานหรอไม ดา เ นนการสรางความตระหนกใหผใชงาน เอาใจใสตอการปองกนอปกรณของสานกงานขณะทไมมผใชงาน ดวยวธการใด

เครองมอ กระดาษทาการ IT.A3.4 หลกฐาน เอกสารหลกฐานแสดงการควบคม แหลงขอมล 1. หนวยงานทดแลดาน IT 2. ผบรหารหรอผปฏบตงานทเกยวของ

17

ประเดนยอย/ วตถประสงคยอย

เกณฑการตรวจสอบ วธการตรวจสอบ กระดาษทาการแหลงขอมล/

3. กาหนดวธการควบคมขอมล สอบนทกขอมล หรอสนทรพย3ดานสารสนเทศ 4. ก า ห น ด ก า ร ค ว บ ค มปองกน ผ ใ ช งาน นาการเขารหส มาใชกบขอมลทเปนความลบ

3. ห น วย ง านม ก า ร ก าหนด ว ธ กา รควบคมไม ใหมการทงหรอปลอยใหข อ ม ล ส า ร ส น เ ท ศ ห ร อ อ ป ก ร ณสารสนเทศทสาคญ ไวในททไมปลอดภย ตามนโยบายเคลยรโตะเคลยรหนาจอ (Clear desk clear screen policy) และมการดาเนนการตามนนหรอไม 4. หนวยงานไดมการกาหนดขอปฏบตและหลกเกณฑสาหรบการเขาถงขอมลลบและขอมลทสาคญขององคกรหรอไมอยางไร 5. ใหสอบถามหรอสมภาษณผบรหารหรอเจาหนาทผปฏบตงานเพอทราบปญหา หรออปสรรคในการดาเนนการ 6. บนทกขอมลลงในกระดาษทาการ ทเกยวของ

5. การควบคมการเ ขาถงระบบเครอขาย (Network access control) วตถประสงค เพอใหทราบวาหนวยงานมการควบคมการเขาถงและควบคมการใชงานระบบเค ร อ ข า ยต ามประกาศคณะกรรมการธรกรรมทางอเลกทรอนกส

1. ผใชงานสามารถเขาถงไดเฉพาะบรการทไดรบสทธใหเขาถงเทานน

1.1 หนวยงานตองมเอกสารหลกฐานทแสดงวามระบบสารสนเทศอะไรบางในหนวยงานทตองควบคมการเขาถง 1.2 ห นวยงานตอ งแสดง ขอปฏ บ ต ท กาหนดใหผ ใ ชงานสามารถเขาถงระบบสารสนเทศไดเฉพาะบรการทอนญาตใหเขาถงเทานน 1.3 ส า ห ร บ ห น ว ย ง า น ท ม ร ะ บ บคอมพวเตอรขนาดใหญทมการเชอมตอเครอง terminal ใหสาหรบผใชงาน หนวยงานไดมการควบคมทเขมงวดในการเชอมตอระหวางเครอง Terminal ของผใชงาน กบระบบของหนวยงานหรอไม

เครองมอ กระดาษทาการ IT.A3.5 หลกฐาน เอกสารหลกฐานแสดงการควบคม แหลงขอมล 1. หนวยงานทดแลดาน IT 2. ผบรหารหรอผปฏบต งานทเกยวของ

3

��������2!ก�"�4!ก�ก�� ก�������%&ก����ก�'ก��������������� ��.���5 ก&����-.� 4� �����#����'ก

18

ประเดนยอย/ วตถประสงคยอย

เกณฑการตรวจสอบ วธการตรวจสอบ กระดาษทาการแหลงขอมล/

2. ก า ร เ ข า ใ ช ง า น จ า กภายนอกต อ ง ไ ด ร บกา รย น ย น บ คคล ก อ น จ ง จ ะสามารถเขาใชงานได 3. ต อง ก าหนด ว ธการ ทสามารถระบอปกรณบนเครอขายได 4. ก า ห น ด ก า ร ค ว บ ค มปองกน Portทใ ชส าหรบการตร วจสอบและกา รปรบแตงระบบทงจากการเขาถงภายในระบบ และการเขาถงจากเครอขาย 5. แ บ ง แ ย ก เ ค ร อ ข า ยสาหรบใหบรการ สารสนเทศ ตามกล ม ก าร ใ ห บร ก า ร กลมของผใชงาน และกลมของระบบสารสนเทศ

2. หนวยงานตองแสดงขอปฏบตหรอกระบวนการทจะชวยยนยนตวบคคลกอนทจะอนญาตใหผใชจากภายนอกหนวยงานสามารถเขาใชงานเครอขายหรอระบบสารสนเทศของหนวยงานได 3. หนวยงานตองแสดงว ธการหรอกระบวนการทสามารถระบอปกรณบนเครอขายได และสามารถใชการระบอปกรณบนเครอขายเปนการยนยนการเขาถงได 4. หนวยงานต อง ก าหนด ขนตอน/หลกเกณฑในการควบคมการเขาถง Portทใ ชสาหรบการตรวจสอบและปรบแตงระบบ โดยจาแนกเปน 4.1 การเขาถงทางกายภาพ 4.2 การเขาถงทางเครอขาย อยางไรกตาม เนองจากการเขาถง Port เปนเรองทมความเสยงสง การกาหนดขนตอน/หลกเกณฑในการควบคมจงตองไมระบ Port ไว และตองไมกาหนดร า ยล ะ เ อ ย ด ใ ดๆ ไ ว ใ น ข นต อน /หลกเกณฑการควบคมทจะทาใหเขาถง Port ได 5. หนวยงานมการแบงแยกเครอขายสาหรบกลมตาง ๆ ดงน (1) กลมของบรการสารสนเทศ (2) กลมของผใชงาน (3) กลมของระบบสารสนเทศ ทงนผตรวจสอบสามารถสอบทานไดจากเอกสาร Network diagram

19

ประเดนยอย/ วตถประสงคยอย

เกณฑการตรวจสอบ วธการตรวจสอบ กระดาษทาการแหลงขอมล/

6. กาหนดการควบคมการเชอมตอเครอขายทมาใชร วม กนหร อ ใ ช เ ช อม กนร ะ ห ว า ง ห น ว ย ง า น ใ หสอดคลองกบขอปฏบตการควบคมการเขาถง 7. กาหนดการควบคมการจดเสนทางบนเครอขาย ใหสอดคลองกบขอปฏบตในก า ร เ ข า ถ ง แ ล ะ ก า รประยกตใชงานตามภารกจ

6. ใหสอบทานวาหนวยงานไดมการกาหนดขนตอนหรอหลกเกณฑในการควบ คมการ เ ข า ถ งและการใ ช งานเครอขายทมการใชรวมกนหรอเชอมตอกนระหวางหนวยงานวาสอดคลองหรอเปนไปตามขอปฏบตการควบคมการเขาถงทหนวยงานกาหนดหรอไม และในกรณทหนวยงานมการ Share network โดยอาจมการโอนfile ระหวางกน (file transfers) ตองควบคมใหมนใจวา ไมสามารถขยายออกไปนอกหนวยงานได 7. ใหสอบทานวาหนวยงานไดมการกาหนดขนตอนหรอหลกเกณฑในการควบคมการจดเสนทางบนเครอขายดงน 7.1 การเชอมตอของคอมพวเตอรและการสงผานขอมลหรอไหลเวยนของขอมลหรอสารสนเทศ ตองไมทาใหเกดชองโหวในการควบคมการเขาถงหรอใชงานในโปรแกรมประยกต 7.2 ขอกาหนดตองสอดคลองกบขอปฏบต การควบคมการเขาถง และการประยกตใชงานตามภารกจ 8. ใหสอบถามหรอสมภาษณผบรหารหรอเจาหนาทผปฏบตงานเพอทราบปญหา หรออปสรรคในการดาเนนการ 9. บนทกขอมลลงในกระดาษทาการทเกยวของ

6. การควบคมการเ ขาถงระบบปฏบตการ (Operating system access control)

1. มขนตอนปฏบตเพอเขาใ ช งาน ทม นคงปลอดภย และตองควบคมโดยการยนยนตวตน

1. หนวยงานตองสามารถแสดงขนตอนการปฏบตในการเขาถงเรองตอไปน วาตองใชวธการยนยนตวตนจงจะสามารถเขาถงได

เครองมอ กระดาษทาการ IT.A3.6 หลกฐาน เอกสารหลกฐานแสดงการควบคม

20

ประเดนยอย/ วตถประสงคยอย

เกณฑการตรวจสอบ วธการตรวจสอบ กระดาษทาการแหลงขอมล/

วตถประสงค เพอใหทราบวาหนวยงานมการควบคมการเขาถงและค ว บ ค ม ก า ร ใ ช ง า นร ะ บ บ ป ฏ บ ต ก า ร ต า มประกาศคณะกรรมการธรกรรมทางอเลกทรอนกส

2. ก าหนด ใ ห ผ ใ ช ง านมขอมลจาเพาะทสามารถระบตนตนของผใชงานได 3. กาหนดระบบบรหารจดการรหสผานทสามารถท า ง า น เ ช ง โ ต ต อ บ ไ ด (interactive) 4. มการจากดหรอควบคมก า ร ใ ช ง า น โ ป ร แ ก ร ม อรรถประโยชน4 5. กาหนดใหเครองยตการใชงาน หากวางเวนการใชงานใดๆ ระยะเวลาหนง (เชน การเปดเครองทงไวโดยไมดาเนนการใดๆ) 6. จ า ก ด เ ว ล า ใ น ก า ร

1.1 การควบคมการเขาใชงานในทมนคงปลอดภย 1.2 การเขาถงระบบปฏบต

2. สอบทานหลกฐานทแสดงใหเหนวา 2.1 หนวยงานไดมการกาหนดใหผ ใ ชงานแสดงขอมล จาเพาะในการยนยนตวตนของผใชงานได 2.2 หนวยงานไดกาหนดขนตอนการยนยนตวตนของผใชงาน 3. ใหหนวยงานแสดงขอปฏ บตหรอหลกเกณฑในการบรหารจดการรหสผานทสามารถทางานเชงโตตอบหรอทางานอตโนมตได 4. ใหหนวยงานแสดงขอปฏ บตหรอหลกเกณฑในการใ ชงานโปรแกรมอรรถประโยชนได โดยขอกาหนดตองครอบคลม การปองกนการละเมด และการหลกเลยงมาตรการความมนคงปลอดภย 5. ใหหนวยงานแสดงขอปฏ บตหรอหลกเกณฑในการใหเครองยตการใชงาน หากวางเวนการใชงานใดๆ ระยะเวลาหนง (session time-out) 6. ใหหนวยงานแสดงขอปฏ บตหรอ

แหลงขอมล 1. หนวยงานทดแลดาน IT 2. ผบรหารหรอผปฏบต งานทเกยวของ

4

/2(ก���2!/���' ��� Utility Program ��� /2(ก��-.�����*���ก#�!��26��#��ก�+��/�+' �-�ก� ��5+ ��23�/2(ก��-.� +���(%!��ก����������+��/�+'�*�!�-�%�ก�%��2!�)��� � 2!�)�ก�,#�07%' 28��ก#�0+#� �-��#�07%' 9%9

21

ประเดนยอย/ วตถประสงคยอย

เกณฑการตรวจสอบ วธการตรวจสอบ กระดาษทาการแหลงขอมล/

เชอมตอระบบสารสนเทศ (เชน ตออนเตอรเนตทงไว โดยไมใชงานใดๆ)

หลกเกณฑในการจากดเวลาในการเชอมตอระบบสารสนเทศหรอโปรแกรมประยกต (Application) ทมความสาคญหรอมความเสยงสง 7. ใหสอบถามหรอสมภาษณผบรหารหรอเจาหนาทผปฏบตงานเพอทราบปญหา หรออปสรรคในการดาเนนการ 8. บนทกขอมลลงในกระดาษทาการทเกยวของ

7. การควบคมการเ ขาถงโปรแกรมประยกต และสารสนเทศ วตถประสงค เพอใหทราบวาหนวยงานมการควบคมการเขาถงและควบคมการใชงานโปรแกรมประยกตและสารสนเทศตามประกาศคณะกรรมการธรกรรมทางอเลกทรอนกส

1. จากดหรอควบคมการเ ข า ถ ง ส า ร ส น เ ท ศ แ ล ะฟงกชนตางๆของโปรแกรมประยกตหรอ Application จากผใชงานและบคลากรฝายสนบสนน 2. จ ด ใ ห ม ก า ร ค ว บ ค มอปกรณคอมพวเตอรสอสารเคลอนทและการปฏบตงานจากภายนอกหนวยงาน

1. ใหหนวยงานแสดงขอปฏ บตหรอหลกเกณฑในการจากดเวลาและการควบคมการเ ข า ถ งหรอใ ชงานของผใชงานหรอบคลากร โดยใหสอดคลองกบนโยบายการควบคมการเ ขา ถงสารสนเทศ 2. ใหหนวยงานแสดงขอปฏ บตหรอหล กเกณฑในการควบคม อปกรณคอมพวเตอรและสอสารเคลอนท และการปฏบตงานจากภายนอกหนวยงาน 3. ใหสอบทานวาหนวยงานไดมการกาหนดขอปฏบตและมาตรการเพอปองกนสารสนเทศจากความเสยงของการใชอปกรณคอมพวเตอรและสอสารเคลอนท 4. ใหสอบถามหรอสมภาษณผบรหารหรอเจาหนาทผปฏบตงานเพอทราบปญหา หรออปสรรคในการดาเนนการ 5. บนทกขอมลลงในกระดาษทาการทเกยวของ

เครองมอ กระดาษทาการ IT.A3.7 หลกฐาน เอกสารหลกฐานแสดงการควบคม แหลงขอมล 1. หนวยงานทดแลดาน IT 2. ผบรหารหรอผปฏบต งานทเกยวของ

22

ประเดนยอย/ วตถประสงคยอย

เกณฑการตรวจสอบ วธการตรวจสอบ กระดาษทาการแหลงขอมล/

8. การจดใหมการสารองและเตรยมความพรอมกรณฉกเฉน วตถประสงค เพอใหมนใจวาหนวยงานมการจดระบบสารองและจดแผนเตรยมความพรอมกรณฉกเฉนตามประกาศคณะกรรมการธรกรรมทางอเลกทรอนกส

1. มการพจารณาคดเลอกและจดทาระบบสารองทเหมาะสมและอยในสภาพพรอมใช 2. มแผนเตรยมความพรอมกรณฉกเฉนเพอใหสามารถใ ช ง า น ส า ร ส น เ ท ศ ไ ดตามปกตและตอเนอง 3. ก าห นดห น า ท ค ว า มรบผดชอบของบคลากรททาหนาทดแลรบผดชอบระบบสารสนเทศ ระบบสารอง และจดทาแผนความพรอมกรณฉกเฉน 4. ม ก า รทดสอบสภาพพ ร อ ม ใ ช ข อ ง ร ะ บ บสารสนเทศ ระบบสารอง และการดาเนนการตามแผนเตรยมความพรอม อยางสมาเสมอ

1.1 ใหหนวยงานแสดงขอปฏบตหรอหล ก เ กณฑ ในกา ร ค ด เ ล อ กร ะบบสารสนเทศ 1.2 ใหหนวยงานแสดงขอปฏบตหรอหลกเกณฑในการจดทาระบบสารองทเหมาะสมและพรอมใชงาน ทงนใหสอบทานขนตอนปฏบตวาไดมการกาหนดใหมการกคนและรายงานผลการสารองขอมลในทกระบบดวย 2. ใหหนวยงานแสดงแผนเตรยมความพรอมกรณทไมสามารถดาเนนการดวยวธการทางอเลกทรอนกสได รวมทงในกรณท Site หลกทางานไมได วาในระยะสน (เรงดวน) ดาเนนการอยางไร ระยะยาวดาเนนการอยางไร และควรทบทวนแผน 3 เดอนครง 3. ใหหนวยงานระบบคลากร พรอมทงแ ส ด ง ร า ย ล ะ เ อ ย ด ห น า ท ค ว า มร บ ผ ด ชอ บ ข อ ง บ ค ล า ก ร ใ น เ ร อ งดงตอไปน 3.1 ระบบสารสนเทศ 3.2 ระบบสารอง 3.3 แผนเตรยมความพรอมกรณฉกเฉน 4. ใหหนวยงานแสดงขอปฏบตหรอหลกเกณฑในการทดสอบสภาพความพรอมใชในเรองตอไปน 4.1 ระบบสารสนเทศ 4.2 ระบบสารอง 4.3 แผนเตรยมความพรอมกรณฉกเฉนและควรแสดงความถในการปฏบตในเรองทกลาวมาขางตนดวย

เครองมอ กระดาษทาการ IT.A3.8 หลกฐาน เอกสารหลกฐานแสดงการควบคม แหลงขอมล 1. หนวยงานทดแลดาน IT 2. ผบรหารหรอผปฏบต งานทเกยวของ

23

ประเดนยอย/ วตถประสงคยอย

เกณฑการตรวจสอบ วธการตรวจสอบ กระดาษทาการแหลงขอมล/

5. ใหสอบถามหรอสมภาษณผบรหารหรอเจาหนาทผปฏบตงานเพอทราบปญหา หรออปสรรคในการดาเนนการ 6. บนทกขอมลลงในกระดาษทาการทเกยวของ

9. การจดใหมการตรวจสอบและประเมนความเส ย งอยางสมาเสมอ วตถประสงค เพอใหมนใจวา หนวยงานจดใหมการตรวจสอบและประเมนความเส ยงด านสารสนเทศอยางสมาเสมอ

หนวยงานจดใหมการตรวจสอบและประเมนความเสยงดานสารสนเทศอยางนอยปละ 1 ครง โดยผตรวจสอบภายในหรอผประเมนความเสยงจากภายนอกหนวยงาน

1. หนวยงานมการกาหนดนโยบายและมาตรการ ใ หม ก ารตรวจสอบและประเมนความเสยงดานสารสนเทศทอาจเกดขน 2. มการรายงานผลการตรวจสอบหรอประเมนความเสยงจากผตรวจสอบภายในหรอผตรวจสอบภายนอกแลวแตกรณ 3. บนทกขอมลลงในกระดาษทาการ ทเกยวของ

เครองมอ กระดาษทาการ IT.A3.9 หลกฐาน เอกสารหลกฐานแสดงการควบคม แหลงขอมล 1. หนวยงานทดแลดาน IT 2. ผบรหารหรอผปฏบต งานทเกยวของ

งบประมาณทใชในการตรวจสอบ

แผนงาน....................................................งบประมาณ.............................

ผจดทา................................ ผอนมต.................................

วนท................................... วนท......................................

24

กระดาษทาการ IT.A1

ม/ใช ไมม/ไมใช ม/ใช ไมม/ไมใช

1 มการจดทานโยบายเปนลายลกษณอกษร 1. มการจดทาขอปฏบตเปนลายลกษณอกษร

2 มการจดทานโยบายเกยวกบการเขาถงหรอควบคม

การใชงานสารสนเทศ ครอบคลม

2.1 การเขาถงระบบสารสนเทศ 2. ขอปฏบตมเนอหาเกยวกบขอกาหนด

การควบคมการเขาถง 3. ขอปฏบตมเนอหาเกยวกบขอกาหนด

การใชงานตามภารกจ

4. ขอปฏบตมเนอหาเกยวกบการจดการ

การเขาถงของผใชงาน

5. ขอปฏบตมเนอหาเกยวกบหนาทความรบผดชอบของ

ผใชงาน

2.2 การเขาถงระบบเครอขาย 6. ขอปฏบตมเนอหาเกยวกบการควบคมการเขาถง

ระบบเครอขาย

2.3 การเขาถงระบบปฏบตการ 7. ขอปฏบตมเนอหาเกยวกบการควบคมการเขาถง

ระบบปฏบตการ

2.4 การเขาถงโปรแกรมประยกตหรอ Application 8. ขอปฏบตมเนอหาเกยวกบการควบคมการเขาถง

โปรแกรมประยกตและสารสนเทศ

3 มกาหนดนโยบายเกยวของกบการจดทาระบบสารอง

โดยมเนอหาอยางนอย 2 เรอง

9. ขอปฏบตมเนอหาเกยวกบการจดทาระบบ

สารองขอมลสารสนเทศ

3.1 การสารองขอมลเพอใหสารสนเทศอยในสภาพ

พรอมใชงาน

10. ขอปฏบตมเนอหาเกยวกบการจดทาแผนเตรยม

ความพรอมกรณฉกเฉน

3.2 การจดทาแผนเตรยมความพรอมกรณฉกเฉน

4 มการตรวจสอบประเมนผลไวเปนนโยบายขอหนง

ดานสารสนเทศ

11. ขอปฏบตกาหนดเดยวกบการตรวจสอบและ

ประเมนความเสยง

12. ขอปฏบตสอดคลองกบนโยบายรกษาความมนคง

ปลอดภย

5 มการประกาศเผยแพรนโยบายใหผใชงานทราบ โดย 13. มการประกาศเผยแพรขอปฏบตใหผใชงาน

ทราบ โดย

5.1 ทางwebsite 13.1 ทางwebsite

5.2 แจงเวยน 13.2 แจงเวยน

5.2 อนๆ ระบ................................................ 13.3 อนๆ ระบ................................................

6 หนวยงานมการกาหนดผรบผดชอบตามนโยบายท

ชดเจน

14. หนวยงานมการกาหนดผรบผดชอบตามขอปฏบตท

ชดเจน

7 หนวยงานมการทบทวนนโยบายเปนปจจบน

โดยฉบบทใชในปจจบน คอ ฉบบลงวนท....................

15. หนวยงานมการทบทวนขอปฏบตเปนปจจบน

โดยฉบบทใชในปจจบน คอ ฉบบลงวนท....................

สรปผลการตรวจสอบ

ผตรวจสอบ ....................................... ผสอบทาน.................................วนท................................................... วนท..........................................

ผลการตรวจสอบ

กระดาษทาการตรวจสอบแนวนโยบายและขอปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ

ผลการตรวจสอบ

หนวยงาน ..................................................................

ลาดบ แนวนโยบาย ขอปฏบต ผทเกยวของ เอกสารทเกยวของ

26

กระดาษทาการ IT.A2

ม ไมม

1 การเขาถงระบบคอมพวเตอรของผอนทม

การปองกน

มการประกาศไมใหผใชบรการเขาถงโดยมชอบซง

ระบบคอมพวเตอรทมมาตรการปองกนเขาถงโดย

โดยเฉพาะและมาตรการนนมไดมไวสาหรบตน

2 การเปดเผยวธการทจะเขาไปยงระบบ

คอมพวเตอรของผอนทมการปองกน

มการประกาศไมใหผใชบรการมาตรการปองกนการ

เขาถงระบบคอมพวเตอรทผอนจดทาขนเปนการ

ของผอนทมการปองกน เฉพาะไปเปดเผยโดยมชอบในประการทนาจะเกด

ความเสยหายแกผอน

3 การเขาขอมลคอมพวเตอรของผอนทม

การปองกน

มการประกาศไมใหผใชบรการเขาถงโดยมชอบซง

ขอมลคอมพวเตอรทมมาตรการปองกนการเขาถง

โดยเฉพาะและมาตรการนนมไดมไวสาหรบตน

4 การดกขอมลคอมพวเตอรทอยระหวาง

การสงของระบบคอมพวเตอร

มการประกาศไมใหผใชบรการกระทาดวยประการใด

โดยมชอบดวยวธการทางอเลกทรอนกสเพอดกรบไวซง

ขอมลคอมพวเตอรของผอนทอยระหวางการสงใน

ระบบคอมพวเตอร และขอมลคอมพวเตอร

นนมไดมไวเพอประโยชนสาธารณะหรอเพอให

บคคลทวไปใชประโยชน

5 การทาลาย แกไข เปลยนแปลงเพมเตม มการประกาศไมใหผใชบรการทาใหเสยหาย ทาลายโดยมไดรบ อนญาต แกไข เปลยนแปลงหรอเพมเตมไมวาทงหมดหรอบาง

สวน ซงขอมลคอมพวเตอรของผอนโดยมชอบ6 การระงบ ชะลอ ขดขวาง หรอรบกวน มการประกาศไมใหผใชบรการกระทาดวยประการใด

คอมพวเตอรของผอน โดยมชอบ เพอใหการทางานของระบบคอมพวเตอรของผอนถกระงบ ชะลอ ขดขวาง หรอรบกวนจนไมสามารถทางานตามปกตได

7 การสงขอมลคอมพวเตอรหรอจดหมาย มการประกาศไมใหผใชบรการสงขอมลคอมพวเตอรทมการปกปดหรอปลอมแปลงแหลงทมา หรอจดหมายอเลกทรอนกสแกบคคลอนโดตปกปดเพอรบกวนขอมลการทางานของผอน หรอปลอมแปลงทมาของการสงขอมลดงกลาวอน

เปนการรบกวนการใชระบบคอมพวเตอรของบคคลอนโดยปกตสข

8 กอใหเกดความเสยงหายแกประชาชน มการประกาศไมใหผใชบรการกระทาโดยประการทความมนคงของประเทศชาต นาจะเกดความเสยหายตอขอมลคอมพวเตอรหรอ

ระบบคอมพวเตอรทเกยวกบการรกษาความมนคงปลอดภยของประเทศชาต ความปลอดภยสาธารณะความมนคงในทางเศรฐกจของประเทศหรอการบรการสาธารณะผรอเปนการกระทาตอขอมลคอมพวเตอรหรอระบบคอมพวเตอรทมไวเพอประโยชนสาธารณะ

9 การจาหนวยหรอเผยแพรชดคาสง มการประกาศไมใหผใชบรการจาหนวยหรอเผยแพร

โปรแกรมทจดทาขนโดยเฉพาะ เพอนาไปใชเปน

เครองมอในการกระทาความผดตาม พ.ร.บ.คอมพวเตอร

ผลการตรวจสอบ

กระดาษทาการตรวจสอบแนวปฏบตการใชงานเครองคอมพวเตอรและระบบเครอขายทกระทบ พ.ร.บ. คอมพวเตอร

หนวยงาน ..................................................................

ลาดบ ความผดตาม พ.ร.บ. คอมพวเตอร แนวทางการควบคม ผทเกยวของ เอกสารทเกยวของ

26

กระดาษทาการ IT.A2

ม ไมม

ผลการตรวจสอบ

กระดาษทาการตรวจสอบแนวปฏบตการใชงานเครองคอมพวเตอรและระบบเครอขายทกระทบ พ.ร.บ. คอมพวเตอร

หนวยงาน ..................................................................

ลาดบ ความผดตาม พ.ร.บ. คอมพวเตอร แนวทางการควบคม ผทเกยวของ เอกสารทเกยวของ

10 การเผยแพรขอมลทกระทบตอความ

มนคงของชาตเขาสระบบคอมพวเตอร

มการประกาศไมใหผใชบรการนาเขาหรอเผยแพรหรอ

สงตอซงขอมลคอมพวเตอรทอาจกระทบกระเทอนตอ

ความมนคงแหงราชอาณาจกร หรอทมลกษณะขดตอ

ความสงบเรยบรอยหรอศลธรรมอนดของประชาชน

11 การเผยแพรขอมลทเทจเขาสระบบ

คอมพวเตอร

มการประกาศไมใหผใชบรการนาเขาหรอเผยแพรหรอ

สงตอสระบบคอมพวเตอรซงขอมลคอมพวเตอร

ปลอมหรอเปนเทจไมวาทงหมดหรอบางสวนโดยท

นาจะเกความเสยหายแกผอน

12 การนาเขาหรอเผยแพรเนอหาอนไม

เหมาะสม

มการประกาศไมใหผใชบรการนาเขาหรอเผยแพรหรอ

ซงขอมลคอมพวเตอรอนเปนเทจ โดยประการทนาจะ

เกดความเสยหายตอความมนคงของประเทศหรอ

กอใหเกดความตนตระหนกแกประชาชน

13 การเผยแพรขอมลความผดทเกยวกบการ มการประกาศไมใหผใชบรการนาเขาหรอเผยแพรหรอเขาสระบบคอมพวเตอร สงตอสระบบคอมพวเตอรซงขอมลคอมพวเตอรใดๆ

อนเปนความผดเกยวกบความมนคงแหงราชอาณาจกรหรอความผดเกยวกบการกอการรายตามประมวลกฎหมายอาญา

14 การเผยแพรขอมลทมลกษณะ ลามก มการประกาศไมใหผใชบรการนาเขาหรอเผยแพรระบบคอมพวเตอร หรอสงตอสระบบคอมพวเตอรซงขอมลคอมพวเตอร

ใดๆทมลกษณะ ลามกและขอมลคอมพวเตอรนนประชาชนทวไปอาจเขาถงได

15 การเผยแพรภาพตดตอทเปนการหมน มการประกาศไมใหผใชบรการนาเขาหรอเผยแพรระบบคอมพวเตอร หรอสงตอสระบบคอมพวเตอรซงขอมลคอมพวเตอร

ทปรากฎเปนภาพของผอน และภาพนนเปนภาพทเกดจากการสรางขน ตดตอ เตมหรอดดแปลงดวยวธการทางอเลกทรอนกสหรอวธการใดๆทงน โดยประการทนาจะทาใหผอนนนเสยชอเสยง ถกดหมนถกเกลยดชง

16 ผใหบรการการเขาถงอนเทอรเนต ไมม ฝาย IT มการจดเกบขอมลจราจรคอมพวเตอรไวจราจรคอมพวเตอรไว 90 วน 90 วน

สรปผลการตรวจสอบ

ผตรวจสอบ ....................................... ผสอบทาน.................................วนท................................................... วนท..........................................

27

กระดาษทาการ IT.A3.1

ลาดบ รายการ ผทเกยวของ เอกสารทเกยวของ

ม/ใช ไมม/ไมใช

1 การควบคมทางกายภาพ1.1 พนทศนยสารสนเทศเปนพนทเฉพาะสาหรบบคคลทไดรบอนญาตเทานน1.2 ศนยฯ รวมถงหองเกบสารสนเทศภายใน และหองทางานปดลอก เมอไมมการใชงาน1.3 ศนยฯ มการควบคมเพอปองกนภย - ขโมย - ไฟไหม - นาทวม1.4 มนโยบายไมใหกน ดม และสบบหรภายในศนย1.5 มอปกรณ UPS สารองไฟ เพอปองกนขอมลสารสนเทศเสยหายกรณไฟฟาดบ/ตก/ไมสมาเสมอ1.6 อปกรณ UPS มระยะเวลาการใชงานเพยงพอทจะสารองขอมลได1.7 มการตรวจสอบ และบารงรกษาสายไฟฟาภายในศนยฯอยางสมาเสมอ1.8 มการตรวจสอบ และบารงรกษาสายเคเบลโทรคมนาคมทอยในความรบผดชอบของหนวยงานอยางสมาเสมอ1.9 มการบารงรกษาอปกรณ คอมพวเตอร และ

Hardware ของหนวยงานเปนระยะ

2 มการกาหนดสทธในการเขาถงสอดคลองกบการอนญาต

และการมอบอานาจ

3 มการดาเนนการเกยวกบขอมลและสารสนเทศตางๆ ใน

เรองตอไปน

3.1 จดประเภทของขอมลและสารสนเทศ

3.2 จดชนความลบของขอมลและสารสนเทศ

3.3 จดชนการเขาถง

3.4 กาหนดเวลาในการเขาถง

3.5 กาหนดชองทางในการเขาถง

สรปผลการตรวจสอบ

ผตรวจสอบ ....................................... ผสอบทาน.................................วนท................................................... วนท..........................................

ผลการตรวจสอบ

กระดาษทาการตรวจสอบการควบคมการเขาถงและควบคมการใชงาน

หนวยงาน ..................................................................

28

กระดาษทาการ IT.A3.2

ม/ใช ไมม/ไมใช

1 หนวยงานไดกาหนดขอปฏบตสาหรบการใชงานตาม

ภารกจ

2 กรณทกาหนดขอปฏบต ดาเนนการแยกรายภารกจหรอไม

3 ขอปฏบตครอบคลม เรองตอไปนหรอไม3.1 มการควบคมการเขาถงสารสนเทศ หรอไม3.2 การควบคมการเขาถงสารสนเทศ สอดคลองกบ

นโยบายและขอปฏบต หรอไม

3.3 มการกาหนดในสวนของการปรบปรงหรอไม

3.4 การควบคมการปรบปรงสอดคลองกบนโยบายและ

ขอปฏบต

สรปผลการตรวจสอบ

ผตรวจสอบ ....................................... ผสอบทาน.................................วนท................................................... วนท..........................................

กระดาษทาการตรวจสอบการใชงานตามภารกจ

หนวยงาน ..................................................................

ผลการตรวจสอบลาดบ รายการ ผทเกยวของ ระบรายละเอยด

29

กระดาษทาการ IT.A3.3

ม/ใช ไมม/ไมใช

1 หนวยงานจดใหมการใหความร ความเขาใจกบ

กบผปฏบตงานอยางตอเนอง

โดยวธการ ตอไปน

1.1 เผยแพรทาง Website

1.2 จดอบรม

1.3 วธอนๆ ระบ.......................................

2 มการใหลงทะเบยนสาหรบผเขาใชงาน

2.1 มขอกาหนดในการลงทะเบยน

2.2 มขอกาหนดและหลกเกณฑในการอนญาตใหใชงาน

2.3 มขอกาหนดและหลกเกณฑในการยกเลก/เพกถอนการ

อนญาตใหเขาใชงานในระบบ

3 มการควบคมและจากดสทธ3.1 มเอกสารแสดงการกาหนดสทธ (ตารางกาหนดสทธ)

3.2 ไมมการสราง User รวม

3.3 สทธทกาหนดในแตละกลมชดเจนและเหมาะสม

4 มการกาหนดเงอนไขการใหรหสและเพกถอนการใหรหส

โดยผานกระบวนการดานการบรหาร

4.1 กระบวนการใหรหสผานความเหนชอบตามเงอนไขท

ฝายบรหารกาหนด

4.2 มการดาเนนการเพกถอบรหสตามเงอนไขทกาหนด

4.3 มการกาหนดเงอนไขใหผใชงานเกบรหสไวเปนความลบ

5 มการทบทวนสทธเขาถงของผใชงานหรอไม

- การทบทวนสทธดาเนนการอยางตอเนองเปนระยะ โดย

มการกาหนดระยะเวลาในการทบทวนทแนนอน หรอไม

สรปผลการตรวจสอบ

ผตรวจสอบ ....................................... ผสอบทาน.................................วนท................................................... วนท..........................................

กระดาษทาการตรวจสอบการบรหารจดการการเขาถงผใชงาน

หนวยงาน ..................................................................

ผลการตรวจสอบลาดบ รายการ ผทเกยวของ ระบรายละเอยด

32

กระดาษทาการ IT.A3.5

ลาดบ รายการ ผทเกยวของ ระบรายละเอยด

ม/ใช ไมม/ไมใช

1 กาหนดใหผใชงานสามารถเขาไดเฉพาะบรการทไดรบสทธ

เทานน

1.1 หนวยงานมเอกสารทแสดงวามระบบสารสนเทศใดท

หนวยงานตองควบคมการเขาถง

1.2 หนวยงานไดแสดงขอปฏบตในการเขาถงใหผใชงาน

ทราบ

1.3 หนวยงานมการควบคมการเชอมตอ Terminal กบ

ระบบคอมพวเตอรหลก อยางรดกม

2 ผใชงานรบทราบแนวปฏบตเกยวกบการเขาถงบรการ ผาน

ชองทางใด

2.1 ทาง website

2.2 หนงสอเวยน

2.3 อนๆ ระบ................................................

3 หนวยงานมขอปฏบตหรอกระบวนการในการยนยน

ตวบคคลกอนอนญาตใหผใชงานจากภายนอกเชอม

ตอเขาระบบสารสนเทศ/เครอขายของหนวยงาน

4 หนวยงานสามารถระบอปกรณบนเครอขายได

5 หนวยงานใชการระบอปกรณบนเครอขายเปนการยนยน

การเขาถงได

6 หนวยงานกาหนดใหมการควบคม Port ตอไปน6.1 Port สาหรบการตรวจสอบ (1) การเขาถงทางกายภาพ (2) การเขาถงทางเครอขาย6.2 Port สาหรบการปรบแตงระบบ (1) การเขาถงทางกายภาพ (2) การเขาถงทางเครอขาย

7 ขอหาม7.1 ไมมการระบ Port ตามขอ 6.1 และ 6.2 ไวในเอกสาร

การควบคมหรอขอปฎบต

7.1 ไมมการระบวธการเขาถง Port ตามขอ 6.1

และ6.2 ไวในเอกสารการควบคมหรอขอปฎบต

กระดาษทาการตรวจสอบการเขาถงระบบเครอขาย

หนวยงาน ..................................................................

ผลการตรวจสอบ

32

กระดาษทาการ IT.A3.5ลาดบ รายการ ผทเกยวของ ระบรายละเอยด

ม/ใช ไมม/ไมใช

ผลการตรวจสอบ

8 หนวยงานมการแบงแยกเครอขายดงน8.1 สาหรบกลมบรการสารสนเทศ

8.2 สาหรบกลมผใชงาน

8.3 สาหรบกลมระบบสารสนเทศ9 หนวยงานมเอกสาร Network diagram เปนปจจบน10 หนวยงานกาหนดการควบคมเสนทางบนเครอขาย ดงน

- กาหนดขนตอนและหลกเกณฑ การเชอมตอ

คอมพวเตอร และการสงผานขอมลสอดคลองกบการ

ควบคมการเขาถงและการใชโปรแกรมในนโยบายและขอ

ปฏบต

สรปผลการตรวจสอบ

ผตรวจสอบ ....................................... ผสอบทาน.................................วนท................................................... วนท..........................................

33

กระดาษทาการ IT.A3.6

ม/ใช ไมม/ไมใช

1 หนวยงานกาหนดขนตอนการปฏบตตอไปน

1.1 การควบคมการเขาใชงานในทมนคง

1.2 การควบคมการเขาถงระบบปฏบตการ

2 หนวยงานมหลกฐานทแสดงใหเหนวา

2.1 หนวยงานกาหนดใหผใชงานแสดงขอมลจาเพาะใน

การยนยนตวตนของผใชงาน

2.2 หนวยงานกาหนดขนตอนการยนยนตวตนของ

ผใชงาน

3 หนวยงานมการบรหารจดการรหสผาน ทสามารถทางาน

เชงโตตอบ หรอทางานอตโนมตได

4 หนวยงานกาหนดการจากดหรอการควบคมการใชงาน

โปรแกรมอรรถประโยชน

5 หนวยงานกาหนดใหเครองยต หากมการวางเวนการใช

งาน

6 หนวยงานแจงขอปฏบตในการใหเครองยตการใชงาน

หากวางเวนการใชงานใดๆ ระยะเวลาหนง ใหผใชงาน

ทราบ

7 หนวยงานจากดเวลาในการเชอมตอระบบสารสนเทศ

หรอโปรแกรมประยกตสาคญๆ

สรปผลการตรวจสอบ

ผตรวจสอบ ....................................... ผสอบทาน.................................วนท................................................... วนท..........................................

กระดาษทาการตรวจสอบการเขาถงระบบปฏบตการ

หนวยงาน ..................................................................

ผลการตรวจสอบลาดบ รายการ ผทเกยวของ ระบรายละเอยด

34

กระดาษทาการ IT.A3.7

ม/ใช ไมม/ไมใช

1 หนวยงานมการจากดหรอควบคมการเขาถงสารสนเทศ

และฟงกชน ตางๆ ของโปรแกรมประยกตจากผใชงาน

2 หนวยงานมการจากดหรอควบคมการเขาถงสารสนเทศ

และฟงกชน ตางๆ ของโปรแกรมประยกตจากบคลากร

ฝายสนบสนน

3 ขอจากดทกาหนดเปนไปตามนโยบาย และ

ขอปฏบตในการรกษาความมนคงปลอดภย

ของหนวยงาน

4 หนวยงานมขอกาหนดในการควบคมคอมพวเตอร

เคลอนทการเขาถงสารสนเทศ

5 หนวยงานมขอกาหนดในการควบคมโทรศพท

เคลอนทการเขาถงสารสนเทศ

6 หนวยงานมขอกาหนดในการควบคมการใชจาก

ภายนอกผานคอมพวเตอรเคลอนทและโทรศพท

เคลอนท

7 หนวยงานมขอปฏบตหรอขอกาหนดและมาตรการเพอ

ปองกนความเสยงจากการใชคอมพวเตอรเคลอนทและ

โทรศพทเคลอนท

สรปผลการตรวจสอบ

ผตรวจสอบ ....................................... ผสอบทาน.................................วนท................................................... วนท..........................................

กระดาษทาการตรวจสอบการเขาถงโปรแกรมประยกต หรอApplication และสารสนเทศ

หนวยงาน ..................................................................

ผลการตรวจสอบลาดบ รายการ ผทเกยวของ ระบรายละเอยด

35

กระดาษทาการ IT.A3.8

ม/ใช ไมม/ไมใช

1 หนวยงานมการพจารณาคดเลอกและจดทาระบบสารองโดย

1.1 หนวยงานมขอปฏบตหรอหลกเกณฑในการคดเลอกระบบ

สารสนเทศ

1.2 หนวยงานมขอปฏบตหรอหลกเกณฑในการจดทาระบบ

สารอง

1.3 ระบบทจดทากาหนดใหมการกคนและรายงานผลได

1.4 ทกระบบทจดทาสารองมการรายงานผลการสารอง

2 หนวยงานมการเตรยมแผนการเตรยมความพรอมกรณฉกเฉน

ดงน

2.1 กรณทไมสามารถดาเนนงานดวยระบบอเลกทรอนกสได

2.2 กรณท Site หลกไมทางาน

2.3 มการกาหนดแผนระยะสน

2.4 มการกาหนดแผนระยะยาว

2.5 มการทบทวนแผน 3 เดอนครง

3 หนวยงานกาหนดหนาทความรบผดชอบของบคลากร ดงน

3.1 ดานระบบสารสนเทศ

3.2 ดานระบบสารอง

3.3 ดานการจดทาแผนและทบทวนแผน

4 หนวยงานจดใหมการทดสอบระบบใหอยในสภาพพรอมใชงาน

4.1 ระบบสารสนเทศ ทดสอบครงสดทายเมอ...........

4.2 ระบบสารอง ทดสอบครงสดทายเมอ...................

4.3 แผนฉกเฉน ทดสอบครงสดทายเมอ......................

สรปผลการตรวจสอบ

ผตรวจสอบ ....................................... ผสอบทาน.................................วนท................................................... วนท..........................................

กระดาษทาการตรวจสอบการจดระบบสารองและแผนเตรยมความพรอมกรณฉกเฉน

หนวยงาน ..................................................................

ผลการตรวจสอบลาดบ รายการ ผทเกยวของ ระบรายละเอยด

35

กระดาษทาการ IT.A3.8

36

กระดาษทาการ IT.A3.9

ลาดบ รายการ ผทเกยวของ ระบรายละเอยด

ม/ใช ไมม/ไมใช

1 หนวยงานกาหนดนโยบายหรอมาตรการใหมการ

ตรวจสอบ โดยหนวยตรวจสอบภายใน

2 หนวยงานกาหนดนโยบายหรอมาตรการใหมการ

ตรวจสอบหรอประเมนความเสยง โดยผประเมนภายนอก

3 มการกาหนดใหดาเนนการอยางนอยปละ 1 ครง

4 มการรายงานผลการตรวจสอบหรอประเมนเสนอตอ

ผบรหารหนวยงานเพอทราบและพจารณาสงการ

สรปผลการตรวจสอบ

ผตรวจสอบ ....................................... ผสอบทาน.................................

วนท................................................... วนท..........................................

กระดาษทาการสอบทานการจดใหมการตรวจสอบและประเมนความเสยงดานสารสนเทศ

หนวยงาน ..................................................................

ผลการตรวจสอบ

37

โครงการบรณาการงานตรวจสอบภายใน กระทรวงศกษาธการ

ประจาปงบประมาณ พ.ศ. 2556

หลกการและเหตผล ตามพระราชบญญตระเบยบบรหารราชการกระทรวงศกษาธการ พ.ศ. 2546 กาหนดใหมการรวมทบวงมหาวทยาลย และกระทรวงศกษาธการเดมเขาดวยกน ทาใหกระทรวงศกษาธการมขนาดใหญขนครอบคลมสถานศกษาในสงกด ตงแตระดบประถมศกษาถงระดบอดมศกษาทวประเทศ จานวนมากกวา 30,000 แหง และเปนกระทรวงทไดรบงบประมาณมากเปนอนดบ 1 ของประเทศ โดยในปงบประมาณ 2556 ไดรบงบประมาณมากกวา 460,000 ลานบาท ดงนนเพอเปนการเสรมสรางความนาเชอถอและความมนใจแกสาธารณชนตอการดาเนนการตามนโยบาย ยทธศาสตร และผลการดาเนนงานของกระทรวงศกษาธการ วามกระบวนการในการกากบดแล ควบคม และบรหารความเสยง ทมประสทธภาพ จงไดกาหนดใหมการตรวจสอบภายในทงในสวนกลางและสวนภมภาค และอาจกลาว ไดวา กระทรวงศกษาธการมหนวยตรวจสอบภายในและผตรวจสอบภายในในสงกดมากทสดในประเทศ กลาวคอ มหนวยตรวจสอบภายในในสงกดจานวน 298 แหง และมผตรวจสอบภายใน จานวนมากกวา 850 คน ทงนเพอใหการปฏบตครอบคลมทกพนทและทกระดบ เพอใหงานตรวจสอบภายในไดรบการพฒนาใหมประสทธภาพมากยงขน คณะรฐมนตรไดมมตเมอวนท 22 มถนายน 2553 กาหนดใหหวหนาสวนราชการกากบดแลการปฏบตงานของผตรวจสอบภายในใหมประสทธภาพเพอประโยชนตอการปฏบตราชการ ตามเจตนารมณของหลกการบรหารกจการบานเมองทด พรอมทงใหสงเสรมสนบสนน และพฒนาระบบการตรวจสอบภายในใหเขมแขงสามารถ ใหคาปรกษาแนะนาแกหวหนาสวนราชการไดอยางมออาชพ กรมบญชกลางในฐานะหนวยงานทกากบ และพฒนาระบบการตรวจสอบภายใน จงไดปรบปรงมาตรฐานการตรวจสอบภายในและจรยธรรมการปฏบตงานตรวจสอบภายใน รวมทงกาหนดแนวทางการประกนคณภาพงานตรวจสอบภายในภาครฐ พ.ศ. 2554 ขนเพอผลกดนใหเกดการพฒนางานตรวจสอบภายในใหเปนไปตามมาตรฐาน โดยจะทาการประเมนหนวยงานดานการศกษาตามเกณฑการประกนคณภาพฯ ในปงบประมาณ 2557

แตอยางไรกตาม สภาพปจจบน การตรวจสอบภายในกระทรวงศกษาธการ แมจะมหนวยตรวจสอบภายใน และผตรวจสอบภายในในสงกดจานวนมาก แตหนวยงานตรวจสอบภายในหลายแหงมผตรวจสอบภายในเพยงคนเดยว และสวนใหญเปนอาจารย พนกงานมหาวทยาลย พนกงานราชการ และลกจางชวคราว ซงบคลากรกลมดงกลาวมการเปลยนแปลงบอยครง จงทาใหการปฏบตงานขาดความตอเนอง และบคลากรขาดทกษะความชานาญ งานการตรวจสอบภายในจงขาดความเปนเอกภาพ และผลการตรวจสอบภายในยงไมสามารถสนบสนนการบรหารและการดาเนนงานของสวนราชการไดเทาทควร

38 กอปรกบการพฒนาบคลากรจานวนมากเพอใหมความรความสามารถตามมาตรฐานการตรวจสอบภายในภาครฐทกรมบญชกลางกาหนดดวยการฝกอบรม ตองดาเนนการอยางตอเนองและใชงบประมาณสง ดวยเหตดงกลาวขางตน กระทรวงศกษาธการโดยกลมตรวจสอบภายในระดบกระทรวง ในฐานะเลขานการคณะกรรมการตรวจสอบและประเมนผลประจากระทรวงศกษาธการซงมหนาทในการสอบทาน และพฒนางานดานการตรวจสอบภายในของกระทรวงศกษาธการใหเขมแขง จงไดดาเนนการบรณาการงานตรวจสอบภายใน กระทรวงศกษาธการขน เพอเปนการสรางเครองมอ และเพมทกษะในการปฏบตงานตรวจสอบ รวมทงเปนการสนบสนนการปฏบตงานของหนวยงานตรวจสอบภายในใหเปนไปตามมาตรฐานพรอมรองรบการประเมนตามเกณฑการประกนคณภาพงานตรวจสอบภายในภาครฐ ทงยงเปนการเพมประสทธภาพงานการตรวจสอบภายในภาพรวมของกระทรวงศกษาธการ โดยในปงบประมาณ 2556 จะดาเนนการบรณาการงานตรวจสอบภายใน 2 เรอง คอ การตรวจสอบระบบรกษาความมนคงปลอดภยดานสารสนเทศ และการตรวจสอบการบรหารงบลงทน ซงกระทรวงศกษาธการจะไดนามากาหนดเปนตวชวดหนงในการประเมนผลการปฏบตงานการตรวจสอบภายในของสวนราชการสงกดกระทรวง ศกษาธการเสนอคณะกรรมการตรวจสอบและประเมนผลประจากระทรวงศกษาธการ ตอไป วตถประสงคของโครงการ 1. เพอทราบการดาเนนงานดานสารสนเทศ และการบรหารงบลงทนภาพรวมของกระทรวง ศกษาธการวาเปนไปตามกฎระเบยบ แนวนโยบาย ตลอดจนความมประสทธภาพ และประสทธผลของการดาเนนงานและการบรหารจดการ รวมถงปญหา อปสรรค เพอเสนอแนะแนวทางในการพฒนา และปรบปรงแกไข 2. เพอพฒนาผตรวจสอบภายในหนวยงานในสงกด ใหสามารถดาเนนการตรวจสอบดานสารสนเทศ และดานการบรหาร ตามเกณฑการประกนคณภาพงานตรวจสอบภายในภาครฐเพอใหพรอมรองรบการประเมน แนวทางการดาเนนงาน 1. ขอความอนเคราะหหวหนาสวนราชการ โปรดพจารณามอบหมายสงการใหหนวยตรวจสอบภายในในสงกดของทาน กาหนดการตรวจสอบระบบรกษาความมนคงปลอดภยดานสารสนเทศ และการตรวจสอบการบรหารงบลงทนไวในแผนการตรวจสอบภายในประจาป 2556 โดยใหสามารถรายงานผลการตรวจสอบไดภายในเดอนมถนายน 2556 2. สานกงานปลดกระทรวงศกษาธการ โดยกลมตรวจสอบภายในระดบกระทรวง ไดจดประชมเชงปฏบตการรวมกบหนวยงานในสงกด ซงไดแก หนวยงานหลกและมหาวทยาลยในสงกด เพอจดทาแผนการปฏบตงานตรวจสอบภายใน (Engagement plans) พรอมกระดาษทาการ ในการตรวจสอบระบบรกษาความมนคงปลอดภยดานสารสนเทศ และการตรวจสอบการบรหารงบลงทน ระหวางวนท

39 19 - 21 กนยายน 2555 นน บดนกลมตรวจสอบภายในระดบกระทรวงไดรวบรวมและปรบปรงแผนการปฏบตงานดงกลาวเรยบรอยแลว (รายละเอยดเอกสารดงแนบ) จงขอใหผตรวจสอบภายในทไดรบมอบหมายใหดาเนนการตรวจสอบในเรองดงกลาว ศกษาแผนการปฏบตงานตรวจสอบ (Engagement plans) และกระดาษทาการทสงมาพรอมน แลวดาเนนการตรวจสอบตามระยะเวลาทกาหนดในแผนการตรวจสอบภายในประจาปของหนวยงาน 3. เมอดาเนนการตรวจสอบแลวเสรจใหรายงานผลการตรวจสอบเสนอหวหนาหนวยงานเพอทราบผลการดาเนนงานตรวจสอบและพจารณาสงการ 4. สาเนารายงานผลการตรวจสอบภายในแจงกลมตรวจสอบภายในระดบกระทรวงภายในเดอนมถนายน 2556 เพอจดทารายงานผลการตรวจสอบภาพรวมเสนอคณะกรรมการตรวจสอบประเมนผลประจากระทรวงศกษาธการตอไป ประโยชนทคาดวาจะไดรบ 1. ผบรหารระดบสง และผบรหารของหนวยงาน ทราบผลการดาเนนงานดานสารสนเทศ และการบรหารงบลงทนภาพรวมของกระทรวงศกษาธการวาเปนไปตามกฎระเบยบ แนวนโยบาย ตลอดจนความมประสทธภาพ และประสทธผลของการดาเนนงานและการบรหารจดการ รวมถงปญหา อปสรรค และแนวทางในการพฒนา ปรบปรงแกไข 2. เพอใหหนวยงานตรวจสอบภายในมเครองมอในการตรวจสอบครอบคลมการตรวจสอบดานสารสนเทศ และการตรวจสอบดานการบรหาร ใหเลอกใชในการปฏบตงาน ซงการตรวจสอบทง 2 ประเภทจะสนบสนนการปฏบตงานตรวจสอบ ใหผานเกณฑการประกนคณภาพงานตรวจสอบภายในภาครฐ ประเดนการวางแผนการตรวจสอบ ในระดบสงกวามาตรฐาน