1. สาระดีดี โดย DR.P&L
  2. การควบคุม ความมั่นคงปลอดภัยสำหรับการดำเนินงาน (Operations Security)
บริษัทตรวจสอบภายใน

เรื่อง การควบคุม ความมั่นคงปลอดภัยสำหรับการดำเนินงาน (Operations Security)

การควบคุมส่วนนี้ถือเป็นเนื้องานโดยตรงของฝ่าย IT เลย เพราะไม่ว่าบริษัทใดที่จัดตั้งฝ่าย IT ขึ้นมาก็เพื่อให้ฝ่าย IT ดูแลระบบ IT ให้สามารถใช้งานตามความต้องการ หรือการดำเนินงานของผู้ใช้ทั้งหมดในองค์กร ส่วนของการควบคุม ความมั่นคงปลอดภัยสำหรับการดำเนินงาน นั้นมีจุดที่บริษัทตรวจสอบภายใน ให้ความสำคัญอยู่ 5 เรื่อง ดังนี้

1. ฝ่าย IT มีการจัดทำแผน IT Master Plan ที่ผ่านการอนุมัติจากผู้บริหารระดับสูงหรือไม่ IT Master Plan นั้นจะเป็นแผนระยะสั้น 1 ปี หรือจะเป็นแผนระยะยาวที่มากกว่า 1 ปีก็ได้ ซึ่ง IT Master Plan จะต้องสอดคล้องกับเป้าหมายขององค์กร หรือสอดคล้องกับ Balance Score Card จุดสำคัญอยู่ที่ว่าในแผน IT Master Plan นั้นจะต้องระบุ สิ่งที่จะต้องทำ จะทำในช่วงใด วัตถุประสงค์หรือเป้าหมายของสิ่งที่จะต้องทำที่สามารถตรวจสอบได้อย่างเป็นรูปธรรม (โดย Auditor)

2. มีการตรวจประเมินความพึงพอใจจากพนักงานทุกฝ่ายในองค์กร ในเรื่องของการให้บริการ ระบบสารสนเทศต่าง ๆ ที่ฝ่าย IT นำมาใช้ในองค์กร เพื่อให้เข้าใจปัญหา ข้อเสนอแนะ ข้อจำกัด อันนำไปสู่การจัดทำแผน IT Master Plan เพื่อตอบสนองพนักงานในองค์กรต่อไป

3. มีการตรวจสอบ การจัดทำรายงานวิเคราะห์ช่องโหว่ แนวทางแก้ไขป้องกันเบื้องต้น ที่เกิดจากข้อจำกัดด้าน IT ขององค์กร เช่น บางองค์กรไม่สามารถเอาสิทธิ์ Administrator ของจากเครื่องผู้ใช้งานได้เนื่องจากโปรแกรมที่ใช้งานนั้นจะต้องทำงานด้วย Administrator Mode เท่านั้น ฝ่าย IT จะต้องทำรายงานช่องโหว่ หรือข้อจำกัดนี้ถึงฝ่ายบริหาร พร้อมทั้งนำเสนอผลกระทบที่อาจจะเกิดขึ้นได้จากช่องโหว่ดังกล่าว เช่น ผู้ใช้งานสามารถติดตั้งโปรแกรมที่ไม่พึงประสงค์จาก Internet ได้ นอกจากนั้นจะต้องนำเสนอวิธีป้องกันและแก้ไขปัญหา เช่น ทำการตรวจสอบเครื่องดังกล่าวเป็นประจำทุก 1 สัปดาห์ เป็นต้น

4. Log ของระบบสำคัญ ๆ ต่าง ๆ โดยเฉพาะ Log ที่เกี่ยวกับปัญหาที่เกิดขึ้นในระบบ (Exception Log)

5. บริษัทตรวจสอบภายใน จะทำการสุ่มตรวจเครื่องของพนักงานว่า มีการติดตั้งโปรแกรมตามที่ระบุไว้เท่านั้น, มีการติดตั้งโปรแกรม Antivirus ที่มีการ Update ล่าสุด, มีการ Update OS ล่าสุด, และผู้ใช้งานไม่สามารถติดตั้ง Software ได้ด้วยตนเอง



ดร. สุรพรรษ์ เพ็ญจำรัส
อังคารที่ 12 กันยายน 2560


“ขอสงวนสิทธิ์ ข้อมูล เนื้อหา บทความ และรูปภาพ (ในส่วนที่ทำขึ้นเอง) ทั้งหมดที่ปรากฎอยู่ในเว็บไซต์ ห้ามมิให้บุคคลใด คัดลอก หรือ ทำสำเนา หรือ ดัดแปลง ข้อความหรือบทความใดๆ ของเว็บไซต์ หากผู้ใดละเมิด ไม่ว่าการลอกเลียน หรือนำส่วนหนึ่งส่วนใดของบทความนี้ไปใช้ ดัดแปลง เพื่อการพาณิชย์โดยไม่ได้รับอนุญาตเป็นลายลักษณ์อักษร จะถูกดำเนินคดี ตามที่กฎหมายบัญญัติไว้สูงสุด ในกรณีต้องการอ้างอิงเพื่อการศึกษา กรุณาให้เครดิตโดยอ้างอิงถึงผู้เรียบเรียงและบริษัทเจ้าของเว็บไซด์ด้วย”