Contenu connexe
Similaire à E risk ict_audit
Similaire à E risk ict_audit (20)
Plus de Banyong Jandragholica
Plus de Banyong Jandragholica (7)
E risk ict_audit
- 2. ความเป็ นมา
o สนับสนุ นยุทธศาสตรของกรมสรรพากร ในการพัฒนาระบบ
์
เทคโนโลยีสารสนเทศและการสื่ อสาร (ICT) ในเชิงรุกฯ
o ยกระดับคุณภาพและบริการในระดับ Integrated services
และสอดคล้ องตามหลัก ธรรมาภิ บ าล เพื่ อ เป้ าหมายสะดวก
รวดเร็็ว ทันสมัย โป งใส ตรวจสอบได้
ั ั โปร่ ใ ไ
o ดําเนินการตามแนวทางการตรวจสอบระบบเทคโน- โลยี
สารสนเทศ (ICT Audit) ภายใต้มาตรฐานสากล ได้แก่
BS7799, ISO/IEC17799, ISO/IEC27001, COSO, COBIT,
ITIL และ NIST
- 3. วัตถุประสงค ์
1. เพื่อ ประเมิน และตรวจสอบการควบคุ ม ความเสี่ ยงจากการ
ดํํ า เ นิิ น ง า น ด้ ว ย ร ะ บ บ ค อ ม พิิ ว เ ต อ ร ์ แ ล ะ ก า ร รัั ก ษ า
ความปลอดภัยตางๆ ่
2. เพื่อ ติด ตามประสิ ทธิผ ลของการนํ า นโยบายและแนวปฏิบ ต ิ
ั
ความปลอดภัยระบบเทคโนโลยีสารสนเทศไปใช้
3. เพื่ อ ติ ด ตามและตรวจสอบการปรับ ปรุ ง ระบบเทคโนโลยี -
สารสนเทศให้เป็ นไปตามมาตรฐานทีกรมสรรพากรกําหนด
่
- 4. วัตถุประสงค ์
4. เพื่อ นํ า ผลการตรวจสอบมาใช้ ในการปรับ ปรุ ง แนวทางการ
ตรวจสอบระบบเทคโนโลยสารสนเทศ
ตรวจสอบระบบเทคโนโลยีสารสนเทศ (ICT Audit) ของ
กรมสรรพากร ให้มีความเหมาะสมและทันสมัยตาม
สถานการณ ์
5. เ พื่ อ ใ ห้ ก า ร บ ริ ห า ร จั ด ก า ร ด้ า น ค ว า ม ป ล อ ด ภั ย ข อ ง ร ะ บ บ
เทคโนโลยี ส ารสนเทศมี คุ ณ ภาพตามมาตรฐานด้ านความ
ปลอดภัยทีกรมสรรพากรกําหนด
่
- 5. ประโยชน์
1 . ส า ม า ร ถ ป้ อ ง กั น ค ว บ คุ ม แ ล ะ เ ก็ บ รั ก ษ า สิ น ท รั พ ย ์ ข อ ง
กรมสรรพากร
2. ผู้ใช้งานเกิดความมั่นใจในความถูกต้อง ความเชื่อถือได้ของ
ขอมู ล และความพรอมในการใชระบบคอมพวเตอรของ
ข้ อมล และความพร้ อมในการใช้ ระบบคอมพิ ว เตอร ์ของ
กรมสรรพากร
3.
3 ส่ งเสริิม ใ ้ การใช้ ทรัพ ย กรของกรมสรรพากรเป็ นไปอย่ างมีี
ส ให ใ ั ์ ส ป็ ไป
ประสิ ทธิภาพและประสิ ทธิผล
- 6. ประโยชน์
่ ํ
4. สนับสนุ นให้การดําเนินงานเป็ นไปตามนโยบายทีกาหนด
5. ลดการทํางานผิดพลาดทีเกิดจากความตังใจและไมตังใจ
่ ้ ่ ้
6 สร้างความพึงพอใจแกผ้เสี ยภาษี และประชาชนทัวไปในการใช้
่
6. สรางความพงพอใจแกผูเสยภาษและประชาชนทวไปในการใช
่
บริการของกรมสรรพากร
- 7. ขันตอนการดําเนินการ ICT Audit
้
1
กําหนด
ขอบเขต
6 2
รายงานผล ประเมิน
การตรวจสอบ ความเสี่ ยง
5 3
ดําเนินการ วางแผน
ตรวจสอบ การตรวจสอบ
4
พัฒนาแนวทาง
การตรวจสอบ
- 8. ขันตอนการดําเนินการ ICT Audit
้
1. การกําหนดขอบเขตในการตรวจสอบ (Audit Area)
1.1 เทคโนโลยี : Technology
1 2 บคลากร : People
1.2 บุคลากร
1.3 กระบวนการ : Process
1.4 สภาพแวดลอม : Facilities
้
- 9. ขันตอนการดําเนินการ ICT Audit
้
2. การประเมินความเสี่ ยง (Risk Assessment)
2.1 Risk Analysis Framework
2 2 Risk Assessment Matrix
2.2
2.3 รายงานการประเมินความเสี่ ยง
ตามขอบเขตการตรวจสอบ
2.4 ตารางการประเมินความเสี่ ยง
่
ระบบงานเพือดําเนินการตรวจสอบ
- 10. ขันตอนการดําเนินการ ICT Audit
้
3. การวางแผนการตรวจสอบ (Audit Plan)
3.1 บุคลากรทีเกียวของ
่ ่ ้
3 2 ระยะเวลา
3.2
3.3 งบประมาณ
3.4 การฝึ กอบรม
- 11. ขันตอนการดําเนินการ ICT Audit
้
4. การพัฒนาแนวทางในการตรวจสอบ (Audit Procedure)
4.1 เทคโนโลยี : Technology
4 2 บคลากร : People
4.2 บุคลากร
4.3 กระบวนการ : Process
4.4 สภาพแวดลอม : Facilities
้
- 12. ขันตอนการดําเนินการ ICT Audit
้
5. ดําเนินการตรวจสอบ (Performing the Audit)
5.1 การตรวจทานและวิเคราะหเอกสาร
์
5 2 การสั มภาษณ ์
5.2 การสมภาษณ
5.3 การดูหน้าจอผูใช้งาน
้
5.4 การใช้เครืองมือ
่
- 13. ขันตอนการดําเนินการ ICT Audit
้
6. การรายงานผลการตรวจสอบ (Audit Report)
6.1 รายงานดานเทคโนโลยี : Technology
้
6.2 รายงานดานบุคลากร
6 2 รายงานดานบคลากร : People
้
6.3 รายงานดานกระบวนการ : Process
้
6.4 รายงานดานสภาพแวดลอม : Facilities
้ ้
6.5 รายงานสรุประบบงานทีตรวจสอบ
่
- 14. แผนการดําเนินการ ICT Audit
1. การกําหนดขอบเขตฯ
2. การประเมินความเสี่ ยง
การปร เมนความเสยง
3. การวางแผนการตรวจสอบ
4. การพัฒนาแนวทางฯ
5. ดาเนนการตรวจสอบ
ดําเนินการตรวจสอบ
6. การรายงานผลการตรวจสอบ
กําลังดําเนินการ
ดําเนินการแลว
้ 2549 2550 2551
รอดําเนินการ
- 15. สรุปรายละเอียดขันตอนดําเนินการ
้
1. กําหนดขอบเขตในการตรวจสอบ (Audit Area)
( )
2. การประเมินความเสี่ ยง (Risk Assessment) 5 ระดับ
ระดับ 5 ความเสี่ ยงมากทีสุด
่
ระดับ 4 ความเสี่ ยงมาก
ระดับ 3 ความเสี่ ยงปานกลาง
ระดับ
ั 2 ความเสี่ ยงน้ อย
สี
ระดับ 1 ความเสี่ ยงน้อยสุด
3.
3 การวางแผนการตรวจสอบ (Audit Plan)
- 16. สรุปรายละเอียดขันตอนดําเนินการ
้
4. แนวทางการในการตรวจสอบ (Audit Procedure) 4 ดาน้
4.1 People : เจ้าหน้าทีภายใน และบคคลภายนอก
เจาหนาทภายใน แล บุคคลภายนอก
่
4.2 Technology : Hardware Software Network Security
4.3 Process
4 4 Facility
4.4
5. ดําเนินการตรวจสอบ
(Performing the Audit)
6. การรายงานผลการตรวจสอบ
(Audit Report)
- 17. การตรวจสอบระบบสารสนเทศ และการสื่ อสารกรมสรรพากร (ICT Audit)
Audit)
เจ้าหน้ าทีบริหาร
่
เจ้าหน้าทีดแลระบบความ
เจาหนาทดูแลร บบความ
่ หัวหน้ าหน่ วยของแตละ
ั ่
ระบบความปลอดภัย ผู้บริหารระดับสูง
ปลอดภัยและสารสนเทศ หน่วยงาน (สภ.,สท.,สส.)
สภ. สท. สส.)
และสารสนเทศ
กํ า หนดเจ้ าหน้ าที่ ดู แ ลระบบความ
ปลอดภัยสารสนเทศประจําหน่วยงาน
เพื่อ ดํา เนิ น การประเมิน ความเสี่ ยงฯ
ของหน่วยงาน
ไมผาน
่ ่
ตรวจแบบ ดํ า เนิ น การประเมิ น
ประเมินความเสี่ ยงฯ ค ว า ม เ สี่ ย ง ค ว า ม
ของเจ้าหน้าที่ ปลอดภัย สารสนเทศ
ดูแลระบบฯ
ดแลระบบฯ สงแบบประเมน
ส่งแบบประเมิน ของหน่วยงาน
ของหนวยงาน
ผาน
่
รั บ ร อ ง แ บ บ ป ร ะ เ มิ น รับ รองผลการประเมิน
ค ว า ม เ สี่ ย ง ฯ ข อ ง ค ว า ม เ สี่ ย ง ฯ ข อ ง
เจ้าหน้าทีดูแลระบบฯ
่ หน่วยงาน
ตรวจสอบผลการ ตรวจสอบผลการ
ตรวจสอบผลการ
ประ เมิ น คว า มเสี่ ยง ฯ ประ เมิ น คว า มเสี่ ยง ฯ
ประ เมิ น คว า มเสี่ ยง ฯ
ของหน่วยงาน ของหน่ วยงาน และ
ของกรมสรรพากร
หน่วยงานในสั งกัด
รายงาน
รายงาน รายงาน
- 18. การตรวจสอบระบบสารสนเทศ และการสื่ อสารกรมสรรพากร (ICT Audit)
Audit)
เจ้าหน้าที่ี
หัวหน้างานตรวจราชการ ผู้ตรวจราชการ ผู้บริหารระดับสูง
งานตรวจราชการ
ดําเนินการ กํา หนดเจ้ าหน้ าที่ง านตรวจราชการ
เพื่ อ ดํ า เนิ น การตรวจสอบประเมิ น
ความเสยงฯ ของหน่วยงาน
ความเสี่ ยงฯ ของหนวยงาน
ไมผาน
่ ่
ดํ า เนิ น การประเมิ น ตรวจแบบ
ค ว า ม เ สี่ ย ง ค ว า ม ประเมินความเสี่ ยงฯ
ปลอดภัย สารสนเทศ ของเจ้าหน้าที่
ของหน่วยงาน
ของหนวยงาน สงแบบประเมน
ส่งแบบประเมิน ดูแลระบบฯ
ดแลร บบฯ
ผาน
่
รั บ ร อ ง แ บ บ ป ร ะ เ มิ น รับ รองผลการประเมิน
ค ว า ม เ สี่ ย ง ฯ ข อ ง ค ว า ม เ สี่ ย ง ฯ ข อ ง
เจ้าหน้าทีดูแลระบบฯ
่ หน่วยงาน
ตรวจสอบผลการ
ตรวจสอบผลการ
ตรวจสอบผลการ ประ เมิ น คว า มเสี่ ยง ฯ
ประ เมิ น คว า มเสี่ ยง ฯ
ประ เมิ น คว า มเสี่ ยง ฯ ของหน่ วยงาน และ
ของกรมสรรพากร
ของหน่วยงาน หน่วยงานในสั งกัด
รายงาน รายงาน รายงาน
- 19. การประเมินความเสี่ ยงตามระเบียบกรมสรรพากร 3 ฉบับ
acl0101 การบริหารจัดการระบบเทคโนโลยีสารสนเทศและ
การสอสาร
การสื่ อสาร (60 เปอรเซ็นต)
เปอรเซนต)
์ ์
acl0201 การใช้ระบบคอมพิวเตอรของกรมสรรพากร
์
อยางปลอดภย
อยางปลอดภัย (30 เปอรเซ็นต)
่ เปอรเซนต)
์ ์
acl0301 การใช้คอมพิวเตอรเพือรับส่งหนังสื อและขาวสาร
์ ่ ่
อิเล็็กทรอนิิกส์ (10 เปอรเซ็็นต)
ิ ป ์ ์