1. สาระดีดี โดย DR.P&L
  2. การตรวจสอบการควบคุมของระบบสารสนเทศ ด้วย COSO Framework (ตอนที่ 2)
บริษัทตรวจสอบภายใน

เรื่อง การตรวจสอบการควบคุมของระบบสารสนเทศ ด้วย COSO Framework (ตอนที่ 2)

เพื่อเตรียมความพร้อมสำหรับการตรวจสอบภายใน ทั้งจาก บริษัทตรวจสอบภายใน ภายใน หรือหน่วยงานตรวจสอบภายในขององค์กรเอง โดยยึดเอา COSO Framework หรือ แบบประเมินความเพียงพอขของระบบควบคุมภายใน ในหัวข้อที่เกี่ยวกับ “การควบคุมด้านระบบเทคโนโลยีสารสนเทศและการสื่อสาร” ซึ่งมีคำถาม และรายละเอียดที่จะขอกล่าวต่อจากตอนที่แล้ว

P&L IT Audit เลือกใช้มาตรฐาน ISO 27001 (Version 2013 ล่าสุด) ซึ่งถือเป็นมาตรฐานเกี่ยวกับการรักษาความปลอดภัยด้านเทคโนโลยีสารสนเทศโดยเฉพาะ และที่สำคัญคือเมื่อนำ ISO 27001 ไปเทียบกับมาตฐานอื่น ๆ ในด้านการบริหารจัดการเทคโนโลยีสารสนเทศ พบว่า ISO 27001 นั้นมีข้อกำหนดที่ชัดเจนกว่า เรียกได้ว่าถูกหรือผิด ก็อ้างอิงจากข้อกำหนดเลย ไม่ได้อ้างอิงจากความคิดเห็นส่วนตัวของผู้ตรวจสอบเพียงอย่างเดียว ISO 27001 กลับมาที่ COSO Framework ในหัวข้อที่เกี่ยวกับ การควบคุมด้านระบบเทคโนโลยีสารสนเทศและการสื่อสาร เมื่อนำมาจับคู่กับ ISO 27001 ทาง P&L IT Audit ไม่ได้นำข้อกำหนดทั้งหมดของ ISO 27001 เข้าไปใช้ในการตรวจสอบ แต่ได้ทำการเลือกเฉพาะข้อกำหนดที่จำเป็นจริง ๆ เท่านั้น เพื่อใช้ตอบคำถามของ COSO และไม่เป็นภาระมากเกินไปสำหรับผู้รับการตรวจสอบ คราวนี้มาดูความหมายของแต่ละคำถาม และข้อกำหนด ISO 27001 ที่เราจะเลือกมาใช้เป็นแนวทางในการทำงาน ดังนี้


1. บริษัทมีการกำหนด ความเกี่ยวข้องกันระหว่างการใช้เทคโนโลยีสารสนเทศ กระบวนการปฏิบัติงาน และการควบคุมทั่วไปของระบบสารสนเทศ หรือไม่ ?

บริษัทต้องแสดงให้เห็นว่ามีการจัดทำ นโยบายการบริหารจัดการหรือควบคุมการใช้เทคโนโลยีสารสนเทศขององค์กร รวมถึงได้มีการจัดทำ กฎระเบียบและบทลงโทษในการใช้เทคโนโลยีสารสนเทศ ให้พนักงานในองค์กรได้รับทราบ นอกจากเอกสารที่เป็นนโยบายแล้วยังต้องแสดงให้เห็นว่า ได้มีการดำเนินการ มีการรายงานผล มีการปรับปรุงการทำงานอย่างต่อเนื่อง ตามนโยบายที่จัดทำขึ้นอย่างเป็นรูปธรรม (มีหลักฐาน) ISO 27001 ที่นำมาใช้เป็นแนวทางในการทำงานและตอบแบบประเมินมี 2 เรื่อง คือ

- การวางแผน นโยบายความมั่นคงปลอดภัยสารสนเทศ (Information Security Policies)

- การควบคุม ความสอดคล้อง (Compliance)


2. บริษัทมีการกำหนด การควบคุม ด้านโครงสร้างพื้นฐาน ระบบเทคโนโลยีสารสนเทศ ให้มีความเหมาะสม หรือไม่ ?

บริษัทต้องแสดงให้เห็นเป็นรูปธรรมว่า ได้มีการจัดเตรียมโครงสร้างพื้นฐาน เช่น Server, Network, Hardware และ Software รวมถึงได้มีการควบคุมการใช้งาน และความปลอดภัยในการใช้อย่างได้อย่างเหมาะสม สอดคล้องกับนโยบายที่กำหนดไว้ ISO 27001 ที่นำมาใช้เป็นแนวทางในการทำงานและตอบแบบประเมินมี 4 เรื่อง คือ

- การควบคุม การบริหารจัดการทรัพย์สิน (Asset Management)

- การควบคุม ความมั่นคงปลอดภัยทางกายภาพและสภาพแวดล้อม (Physical and Environment Security)

- การควบคุม ความมั่นคงปลอดภัยสำหรับการสื่อสารข้อมูล (Communication Security)

- การควบคุม ความสัมพันธ์กับผู้ให้บริการภายนอก (Supplier Relationships)


3. บริษัทมีการกำหนด การควบคุม ด้านความปลอดภัย ระบบเทคโนโลยีสารสนเทศ ให้มีความเหมาะสม หรือไม่ ?

บริษัทต้องแสดงให้เห็นเป็นรูปธรรมว่า ได้มีการรักษาความปลอดภัยของข้อมูล มีการกำหนดสิทธิ์ในการเข้าถึง การควบคุมดูแลพนักงานเข้าออก ISO 27001 ที่นำมาใช้เป็นแนวทางในการทำงานและตอบแบบประเมินมี 4 เรื่อง คือ

- การควบคุม การเข้าถึง (Access Control)

- การควบคุม ความมั่นคงปลอดภัยสำหรับทรัพยากรบุคคล (Human Resource Security)

- การควบคุม ความมั่นคงปลอดภัยสำหรับการดำเนินงาน (Operation Security)

- การควบคุม ประเด็นด้านความมั่นคงปลอดภัย และความต่อเนื่องของธุรกิจ (Business Continuity Management)


4. บริษัทมีการกำหนด การควบคุม ด้านการพัฒนาและการบำรุงรักษา ระบบเทคโนโลยีสารสนเทศ ให้มีความเหมาะสม หรือไม่ ?

บริษัทต้องแสดงให้เห็นเป็นรูปธรรมว่า ได้มีบำรุงรักษา การแก้ไขปัญหาต่าง ๆ ที่เกิดขึ้น รวมถึงการบริหารการเปลี่ยนแปลงด้านเทคโนโลยีสารสนเทศอย่างเหมาะสม ISO 27001 ที่นำมาใช้เป็นแนวทางในการทำงานและตอบแบบประเมินมี 2 เรื่อง คือ

- การควบคุม การจัดหา พัฒนา และการบำรุงรักษา (System Acquisition, Development and Maintenance)

- การควบคุม จัดการเหตุการณ์ความความมั่นคงปลอดภัยสารสนเทศ (Incident Management)


ในตอนถัดไปจะลงรายละเอียดของแต่ละข้อกำหนดของ ISO 27001 ที่ บริษัทตรวจสอบภายใน ภายนอก ส่วนใหญ่เลือกใช้ในการตรวจสอบทีละหัวข้อ เพื่อให้เห็นภาพที่ชัดเจนขึ้นในการเตรียมความพร้อม หรือเพื่อเป็นแนวทางในการนำไปปรับปรุงกระบวนการบริหารจัดการเทคโนโลยีสารสนเทศให้มีความครบถ้วนมากยิ่งขึ้น



ดร. สุรพรรษ์ เพ็ญจำรัส
อังคารที่ 11 กรกฎาคม 2560


“ขอสงวนสิทธิ์ ข้อมูล เนื้อหา บทความ และรูปภาพ (ในส่วนที่ทำขึ้นเอง) ทั้งหมดที่ปรากฎอยู่ในเว็บไซต์ ห้ามมิให้บุคคลใด คัดลอก หรือ ทำสำเนา หรือ ดัดแปลง ข้อความหรือบทความใดๆ ของเว็บไซต์ หากผู้ใดละเมิด ไม่ว่าการลอกเลียน หรือนำส่วนหนึ่งส่วนใดของบทความนี้ไปใช้ ดัดแปลง เพื่อการพาณิชย์โดยไม่ได้รับอนุญาตเป็นลายลักษณ์อักษร จะถูกดำเนินคดี ตามที่กฎหมายบัญญัติไว้สูงสุด ในกรณีต้องการอ้างอิงเพื่อการศึกษา กรุณาให้เครดิตโดยอ้างอิงถึงผู้เรียบเรียงและบริษัทเจ้าของเว็บไซด์ด้วย”