P&L Group บริษัทตรวจสอบภายใน บริการตรวจสอบภายใน

สาระดีดี โดย DR.P&L
การควบคุม ประเด็นด้านความมั่นคงปลอดภัย และความต่อเนื่องของธุรกิจ (Information Security Aspects of Business Continuity Management)

เรื่อง การควบคุม ประเด็นด้านความมั่นคงปลอดภัย และความต่อเนื่องของธุรกิจ (Information Security Aspects of Business Continuity Management)

ความมั่นคงปลอดภัย และความต่อเนื่องของธุรกิจเป็นเรื่องสำคัญมาก เพราะการควบคุมเรื่องนี้จะทำให้เจ้าของธุรกิจมั่นใจได้ว่าเมื่อเกิดสถานการณ์ฉุกเฉิน เช่น ไฟไหม้ น้ำท่วม เกิดโรคระบาด ฯลฯ จนเป็นเหตุให้ไม่สามารถใช้งานห้อง Server หรืออาคารสำนักงานได้ แต่ระบบสารสนเทศยังคงสามารถพร้อมให้บริการอยู่ตลอดเวลา ข้อมูลทางธุรกิจที่สำคัญที่เก็บไว้ที่ Server ยังคงอยู่ และพร้อมใช้งาน หรือหากต้องเสียหายก็เสียหายเพียงเล็กน้อยในระดับที่องค์กรยอมรับได้ ในการเข้าตรวจสอบเรื่องการควบคุม ประเด็นด้านความมั่นคงปลอดภัย และความต่อเนื่องของธุรกิจ บริษัทตรวจสอบภายใน จะให้ความสำคัญกับเรื่องต่าง ๆ ดังนี้

1. ตรวจดูแผน หรือนโยบายการดำเนินการ กรณีเกิดเหตุฉุกเฉิน ที่ผ่านการอนุมัติจากผู้บริหารระดับสูง สิ่งสำคัญในแผนจะต้องแสดงให้เห็นว่ามีระบบสำคัญอะไรบ้าง เมื่อเกิดเหตุฉุกเฉิน จะกู้ระบบนั้นกลับขึ้นมาภายในระยะเวลากี่นาที ข้อมูลที่กู้กลับขึ้นมาจะเป็นข้อมูลเมื่อใด และระยะเวลากู้คืนช้าสุดของระบบนั้นคือเท่าใด

2. ตรวจดูว่า มีการสื่อสารไปยังพนักงานต่าง ๆ ให้ทราบว่าเมื่อเกิดเหตุฉุกเฉินจะต้องสื่อสาร และมีขั้นตอนการทำงานอย่างไร

3. ตรวจดูว่า มีการซักซ้อมการกู้คืนระบบกรณีเกิดเหตุฉุกเฉินอย่างเป็นลายลักษณ์อักษร ตามแผนที่กำหนดไว้หรือไม่

4. ตรวจดูว่า มีคู่มือประกอบการกู้คืนระบบที่สามารถทำตามขั้นตอนได้โดยง่ายหรือไม่ เพราะบางหน่วยงานความรู้เรื่องระบบต่าง ๆ นั้นไปอยู่กับบุคคลใดบุคคลหนึ่งเท่านั้น หากไม่มีบุคคลนี้ดำเนินการก็ไม่สามารถกู้คืนระบบได้เลย ลักษณะเช่นนี้ถือว่าไม่ถูกต้อง

5. ตรวจดูว่า มีการจัดทำรายงานแผนการซักซอม และกู้คืนระบบส่งให้กับผู้บริหารตามกำหนดระยะเวลาหรือไม่

6. สุดท้ายจะดูว่า ฝ่าย IT มีการตรวจสอบอุปกรณ์สำรองที่ใช้สำหรับกรณีเกิดเหตุฉุกเฉิน เพื่อให้อุปกรณ์เหล่านั้นอยู่ในสภาพพร้อมใช้งานหรือไม่

ดร. สุรพรรษ์ เพ็ญจำรัส
อังคารที่ 19 กันยายน 2560

“ขอสงวนสิทธิ์ ข้อมูล เนื้อหา บทความ และรูปภาพ (ในส่วนที่ทำขึ้นเอง) ทั้งหมดที่ปรากฎอยู่ในเว็บไซต์ ห้ามมิให้บุคคลใด คัดลอก หรือ ทำสำเนา หรือ ดัดแปลง ข้อความหรือบทความใดๆ ของเว็บไซต์ หากผู้ใดละเมิด ไม่ว่าการลอกเลียน หรือนำส่วนหนึ่งส่วนใดของบทความนี้ไปใช้ ดัดแปลง เพื่อการพาณิชย์โดยไม่ได้รับอนุญาตเป็นลายลักษณ์อักษร จะถูกดำเนินคดี ตามที่กฎหมายบัญญัติไว้สูงสุด ในกรณีต้องการอ้างอิงเพื่อการศึกษา กรุณาให้เครดิตโดยอ้างอิงถึงผู้เรียบเรียงและบริษัทเจ้าของเว็บไซด์ด้วย”