Modern Management Forum
ศูนย์รวมข้อมูลเกี่ยวกับ เทคโนโลยีสมัยใหม่สำหรับใช้ในการบริหารจัดการองค์กร ในรูปแบบใหม่ ทันสมัย สำหรับนักธุรกิจ นักศึกษา
Permalink : http://www.oknation.net/blog/newmanagement
วันอังคาร ที่ 21 กุมภาพันธ์ 2555
Posted by เอกกมลเอี่ยมศรี , ผู้อ่าน : 1805 , 21:09:56 น.  
หมวด : วิทยาศาสตร์/ไอที

พิมพ์หน้านี้
โหวต 0 คน

สวัสดีครับ

ช่วงนี้ว่างการจากการอบรมต่างๆ ก็เลยขอใช้เวลาให้คุ้มค่าด้วยการนำเสนอบทความด้าน IT Audit ให้กับทุกๆ คนได้อ่านกันเพลิน และประดับความรู้นะครับ

การควบคุมเกี่ยวกับการดำเนินการทั่วไปและการควบคุมไฟล์

การควบคุมการดำเนินงานทั่วไปและการควบคุมไฟล์เอกสาร ความหมาย เพื่อให้แน่ใจว่าการปกป้องเครื่องคอมพิวเตอร์และไฟล์ต่างๆในคอมพิวเตอร์ มีการป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต และป้องกันการสูญหาย หรือ ถูกขโมย รวมถึงการควบคุมและการเปลี่ยนแปลง การประมวลผลของข้อมูล สุดท้ายแล้วเพื่อสนับสนุนให้เกิดความสมบูรณ์และความน่าเชื่อถือของการดำเนิงานเหล่านี้ว่ามีการป้องกันและประมวลผลไม่ได้จากบุคคลที่ไม่ได้รับอนุญาตจากข้อมูลในโปรแกรม หรือ ระบบที่ควบคุมไฟล์มีวิธีการที่เพียงพอป้องกันไฟล์และ Software กับการสูญเสียในทางที่ผิด  การขโมย หรือสร้างความเสียหายแบบเปิดเผย การเข้าถึงโดยไม่ได้รับอนุญาต หรือ ไม่ตั้งใจ หรือ การเจตนาทุจริต

การควบคุมเครื่องคอมพิวเตอร์ หมายถึง การถือครองการประเมินและแก้ไขข้อมูลตามความจำเป็นที่การใช้งานถูกควบคุม ควรมีตารางเวลาที่แน่นอนของการทำงานที่เป็นผู้มีอำนาจที่จะสามารถเรียกใช้งานได้ และข้อจำกัด ควรจะอยู่ที่จำนวนและคุณลักษณะของพนักงานที่ได้รับอนุญาตให้เข้าถึงมัน นอกจากนี้ไฟล์คอมพิวเตอร์จะมีระเบียนขององค์กร ซึ่งจำเป็นต้องมีทั้งการปกป้องและควบคุม

การเปลี่ยนแปลงการบริหารระบบควบคุม

การเปลี่ยนแปลงระบบการควบคุมจะต้องมีการตรวจสอบให้แน่ใจว่าการเพิ่มเติมหรือเปลี่ยนแปลงไปยังระบบคอมพิวเตอร์นั้น ได้รับการอนุญาตอย่างถูกต้องและผ่านการทดสอบได้รับการยอมรับและมีเอกสาร การควบคุมการเปลี่ยนแปลงที่ดี สามารถส่งผลให้เกิดการเปลี่ยนแปลงโดยไม่ตั้งใจ หรือเป็นอันตรายกับซอฟต์แวร์และข้อมูลออกแบบมาไม่ดี

การเปลี่ยนแปลงที่สามารถปรับเปลี่ยนข้อมูลทางการเงิน และสามารถลบเส้นทางการตรวจสอบได้ ผู้ตรวจสอบจำเป็นที่จะต้องมีการตรวจสอบว่าระบบคอมพิวเตอร์ใหม่ หรือ การแก้ไขเพิ่มเติมจะต้องถูกทดสอบอย่างละเอียดโดยผู้ใช้ปลายทางของมันก่อนที่จะเผยแพร่ให้บุคคลทั่วไปใช้ โดยเฉพาะโปรแกรมที่เกี่ยวกับระบบการเงินที่ยังไม่นิ่ง และมีการเปลี่ยนแปลงบ่อย ซึ่งการแก้ไขเพิ่มเติมหรือการปรับปรุง เหล่านี้เป็นการเปลี่ยนแปลงตามปกติ หรือ มีความจำเป็นในการปรับปรุงประสิทธิภาพในการทำงาน หรือ ลบบางอย่างออกไป หรือ ความผิดพลาดในการเขียนโปรแกรม (bugs)

กรรมการตรวจสอบ IT ควรเน้นที่จะตรวจสิ่งที่ปรับปรุงด้านคอมพิวเตอร์ของพวกเขา ควรมีระบบการจัดการเปลี่ยนแปลงที่เหมาะสม และมีการจัดการในการกำหนดค่า การควบคุม ขั้นตอนการจัดการกำหนดค่าที่เกี่ยวข้องกับการควบคุมของสินทรัพย์ด้าน IT (เช่น ฮาร์ดแวร์ ซอฟต์แวร์ เอกสารที่เกี่ยวข้อง และการสื่อสาร) และการปรับปรุงที่มาของระเบียนข้อมูล ขณะที่การจัดการเปลี่ยนแปลงที่เกี่ยวข้องกับการอนุมัติการประเมินผลกระทบ ด้านสินทรัพย์ การปรับปรุงควรมีการทดสอบ และการดำเนินงานของการเปลี่ยนแปลง เพื่อลดความเสี่ยงและความเหมาะสม การเปลี่ยนระบบควบคุมด้านการจัดการ ซึ่งการควบคุมเหล่านี้ควรจะมีการตรวจสอบจนแน่ใจแล้วว่าระบบทั้งหมดและโปรแกรม มีการแก้ไขโดยชอบธรรมที่น่าพอใจ  ด้วยอำนาจที่ถูกต้อง มีการบันทึกไว้และผ่านการทดสอบและตรวจสอบเส้นทางที่เพียงพอของการเปลี่ยนแปลงทุกขั้นตอนของการเปลี่ยนแปลงด้านเอกสารประกอบต่างๆ  

ผู้ตรวจสอบระบบควบคุมเหล่านี้ ควรจะตรวจสอบว่ามีการแก้ไขเพิ่มเติมโปรแกรม หรือ ไฟล์ ที่ได้รับอนุญาต เข้าตรวจสอบความสามารถการแนะนำโปรแกรมใหม่ การจำกัดสิทธิ์ ผู้มีอำนาจในการเปลี่ยนแปลงพนักงานควบคุมที่มีความเป็นอิสระ จากการต้องเขียนโปรแกรมคอมพิวเตอร์ พนักงานที่ใส่ข้อมูลด้านธุรกรรม พนักงานที่ดูแลด้านระบบรักษาความปลอดภัยระบบ  

เครือข่ายการควบคุมการสื่อสารการรักษาความปลอดภัย (Netwok Communication Security Controls)

เครือข่ายการควบคุมการสื่อสารการรักษาความปลอดภัยมีความสำคัญสำหรับระบบ LAN / WANs หรือ ระบบเว็บไซต์ที่เปิดใช้งาน ในบางแง่บางมุมที่สำคัญที่จะต้องได้รับการคุ้มครองโดยการควบคุมนี้ จะเป็นดังต่อไปนี้ 

(i) ข้อมูลทั้งหมดที่สำคัญในระบบเครือข่ายควรจะมีการป้องกันโดยการใช้
     วิธีที่เหมาะสมทางเทคนิค

(ii) อุปกรณ์เครือข่ายที่สำคัญ เช่น เราเตอร์สวิตช์ และ โมเด็มควรจะ
     ป้องกันจากความเสียหายทางกายภาพ 

(iii) กำหนดค่าเครือข่ายและสินค้าคงเหลือควรบันทึกและเก็บรักษาไว้

(iv) อนุมัติล่วงหน้าจากผู้ดูแลระบบเครือข่ายควรจะได้สำหรับการทำการ
      เปลี่ยนแปลงใดๆ กับการกำหนดค่าเครือข่าย

(v) การเปลี่ยนแปลงที่เกิดขึ้นในการกำหนดค่าเครือข่ายควรได้รับการ
     บันทึกไว้ ภัยคุกคามและการประเมินความเสี่ยงของเครือข่ายหลังจาก
     การเปลี่ยนแปลงในการกำหนดค่าเครือข่ายควรจะเป็นสิ่งสุดท้าย

(vi) การดำเนินงานเครือข่าย ควรจะตรวจสอบความผิดปกติสำหรับการ
      รักษาความปลอดภัยใดๆ อย่างเป็นทางการโดยเฉพาะกระบวนงานที่
      ควรจะเป็นในสถานที่สำหรับการระบุและแก้ไขปัญหาด้านการรักษา
      ความปลอดภัย

(vii) การเข้าถึงทางกายภาพเพื่อการสื่อสารและเว็บไซต์ของเครือข่ายควร
       ได้รับการควบคุมและจำกัดสิทธิ์ 

(viii) การสื่อสารและระบบเครือข่ายควรได้รับการควบคุมและจำกัดสิทธิ
        บุคคลผู้มีอำนาจ

(ix) เครื่องมือวินิฉัยเครือข่าย เช่น การวิเคราะห์โปรโตคอล ที่ควรจะใช้บน
      ความต้องการพื้นฐาน

(x) ไฟร์วอลล์ : อุปกรณ์อัจฉริยะที่ทุกคนรู้จักกันดีว่า "ไฟร์วอลล์" ควรจะใช้
      แยกเครือข่ายข้อมูลขององค์กรจากเครือข่ายภายนอกใดๆ
      อุปกรณ์       ไฟร์วอลล์ ควรยังมีการจำกัดสิทธิ การเชื่อมต่อเครือข่าย
      กับการไม่ได้รับอนุญาต เครือข่ายที่ทำงานที่แตกต่างกันในระดับการ
      รักษาความปลอดภัย ควรจะมีการแยกกันโดย ไฟล์วอลล์ ที่เหมาะสม
      เครือข่ายภายในองค์กรควรจะมีการแยกทางกายภาพและเหตุผลจาก
      อินเตอร์เน็ต และการเชื่อมต่อใดๆ ภายนอกอื่นๆ โดยไฟร์วอลล์ทั้ง
      หมดจะต้องอยู่ภายใต้การทดสอบอย่างละเอียดสำหรับช่องโหว่ก่อนที่
      จะถูกนำไปใช้อย่างน้อย 6 เดือน

      หลังจากนั้นเว็บเซิรฟเวอร์ทั้งหมดที่สามารถถูกเข้าถึงโดยผู้ใช้อินเตอร์
      เนตควรจะแยกออกจากข้อมูลอื่นๆ และเซิรฟเวอร์โฮสต์

(xi) การเชื่อมต่อ : องค์กรควรกำหนดวิธีการที่จะช่วยให้การเชื่อมต่อของ
      เครือข่ายคอมพิวเตอร์ หรือ ระบบคอมพิวเตอร์ของพวกเขาไปยังระบบ
      คอมพิวเตอร์ใดๆ ภายนอกหรือภายในเครือข่าย ด้วยการใช้สิทธิในการ
      เชื่อมต่อกับเครือข่ายอื่นๆ และระบบคอมพิวเตอร์ควรจะได้รับการ
      อนุมัติโดยผู้ดูแลระบบเครือข่ายและการบันทึกไว้ การเชื่อมต่อทั้งหมด
      ไม่ได้ใช้และกลุ่มเครือข่ายที่ควรจะตัดการเชื่อมต่อจากเครือข่ายที่ใช้
      งาน ระบบคอมพิวเตอร์ / คอมพิวเตอร์ส่วนบุคคล หรือสถานที่ที่อยู่
      นอกการเข้าถึงระบบอุปถัมภ์ขององค์กร ต้องเป็นไปตามระบบรักษา
      ความปลอดภัยทั่วไป และแนวทางการควบคุมการเข้าถึง ความเหมาะ
      สมของฮาร์ดแวร์ใหม่ / ซอฟต์แวร์ โดยเฉพาะอย่างยิ่งการทำงานร่วม
      กับโปรโตรคอล มีการประเมินก่อนการเชื่อมต่อแบบเดียวกันกับเครือ
      ข่ายขององค์กรเท่าที่เป็นไปได้ทางอินเตอร์เน็ต การเข้าถึงจำเป็นที่จะ
      ต้องมีการได้รับอนุญาตให้มีการเชื่อมต่อฐานข้อมูลของเซิร์ฟเวอร์ /
      ไฟล์ หรือ เซิร์ฟเวอร์โฮสต์ข้อมูลที่สำคัญ ระดับของการคุ้มครอง
      ทรัพยากรการสื่อสารและเครือข่ายควรจะสอดคล้องกับความวิกฤติและ
      ความไวของข้อมูลที่มีการส่งระหว่างกัน

(xii) ผู้ดูแลระบบเครือข่าย องค์กรแต่ละคนควรมีการกำหนดอย่างถูกต้อง
      ด้วยทักษะและความรู้ความสามารถที่จะต้องมีการผ่านการฝึกอบรม "ผู้
      ดูแลระบบเครือข่าย" ใครเป็นผู้รับผิดชอบสำหรับการดำเนินงานการ
      รักษาความปลอดภัยการตรวจสอบ และการทำงานของเครือข่าย การ
      จัดสรรการติดตามกิจกรรมที่ผิดปกติใดๆ หรือ รูปแบบของการเข้าถึง
      ในเครือข่ายคอมพิวเตอร์ควรถูกสอบสวนทันทีโดยเครือข่าย

      ผู้บริหารระบบ จะต้องมีกลไกในการแจ้งเตือนภายในเครือข่ายทันที ซึ่ง
      ผู้ดูแลการละเมิดการรักษาความปลอดภัยที่เป็นไปได้ เช่น การเข้าถึง
      การติดไวรัสคอมพิวเตอร์ และ การแฮ๊คระบบการจัดการเครือข่าย
      ความปลอดภัย ควรจะมีการดำเนินการในด้านการตรวจสอบการทำ
      งานของเครือข่ายคอมพิวเตอร์ การจำกัดปริมาณเข้าถึงข้อมูลจาก
      เครือข่ายจราจรทางอากาศ เฉพาะซอฟต์แวร์ที่ได้รับอนุญาต และถูก
      กฎหมายควรจะใช้บนระบบเครือข่าย

สุดท้ายนี้ เราหวังว่าทุกๆ คน น่าจะได้รับประโยชน์บ้าง จากบทความเกี่ยวกับ IT Audit ที่ได้นำเสนอมาหลายตอน และคาดว่าคงจะต้องเขียนไปอีกสักระยะกว่าจะหมดในเอกสารรุ่นแรก ที่เราอยากจะนำเสนอให้พิจารณากัน  ว่างก็เสนอความเห็นเข้ามาได้นะครับ ว่าชอบ หรือ ไม่ชอบ อย่างไร

ขอให้ทุกๆ ท่านโชคดี ครับ

เอกกมล  เอี่ยมศรี

ผู้เรียบเรียง

[email protected]

www.interfinn.com




แสดงความคิดเห็น


ถึง บล็อกเกอร์ ทุกท่าน โปรดอ่าน
   ด้วยทาง บริษัท จีเอ็มเอ็ม แกรมมี่ จำกัด (มหาชน) ได้ติดต่อขอความร่วมมือ มายังเว็บไซต์และเว็บบล็อกต่าง ๆ รวมไปถึงเว็บบล็อก OKnation ห้ามให้มีการเผยแพร่ผลงานอันมีลิขสิทธิ์ ของบริษัท จีเอ็มเอ็ม แกรมมี่ฯ บนเว็บ blog โดยกำหนดขอบเขตของสิ่งที่ห้ามทำ และสามารถทำได้ ดังนี้
ห้ามทำ
- การใส่ผลงานเพลงต้นฉบับให้ฟัง ทั้งแบบควบคุมเพลงได้ หรือซ่อนเป็นพื้นหลัง และทั้งที่อยู่ใน server ของคุณเอง หรือ copy code คนอื่นมาใช้
- การเผยแพร่ file ให้ download ทั้งที่อยู่ใน server ของคุณเอง หรือฝากไว้ server คนอื่น
สามารถทำได้
- เผยแพร่เนื้อเพลง ต้องระบุชื่อเพลงและชื่อผู้ร้องให้ชัดเจน
- การใส่เพลงที่ร้องไว้เอง ต้องระบุชื่อผู้ร้องต้นฉบับให้ชัดเจน
จึงเรียนมาเพื่อโปรดปฎิบัติตาม มิเช่นนั้นทางบริษัท จีเอ็มเอ็ม แกรมมี่ฯ จะให้ฝ่ายดูแลลิขสิทธิ์ ดำเนินการเอาผิดกับท่านตามกฎหมายละเมิดลิขสิทธิ์
OKNATION



กฎกติกาการเขียนเรื่องและแสดงความคิดเห็น
1 การเขียน หรือแสดงความคิดเห็นใด ๆ ต้องไม่หมิ่นเหม่ หรือกระทบต่อสถาบันชาติ ศาสนา และพระมหากษัตริย์ หรือกระทบต่อความมั่นคงของชาติ
2. ไม่ใช้ถ้อยคำหยาบคาย ดูหมิ่น ส่อเสียด ให้ร้ายผู้อื่นในทางเสียหาย หรือสร้างความแตกแยกในสังคม กับทั้งไม่มีภาพ วิดีโอคลิป หรือถ้อยคำลามก อนาจาร
3. ความขัดแย้งส่วนตัวที่เกิดจากการเขียนเรื่อง แสดงความคิดเห็น หรือในกล่องรับส่งข้อความ (หลังไมค์) ต้องไม่นำมาโพสหรือขยายความต่อในบล็อก และการโพสเรื่องส่วนตัว และการแสดงความคิดเห็น ต้องใช้ภาษาที่สุภาพเท่านั้น
4. พิจารณาเนื้อหาที่จะโพสก่อนเผยแพร่ให้รอบคอบ ว่าจะไม่เป็นการละเมิดกฎหมายใดใด และปิดคอมเมนต์หากจำเป็นโดยเฉพาะเรื่องที่มีเนื้อหาพาดพิงสถาบัน
5.การนำเรื่อง ภาพ หรือคลิปวิดีโอ ที่มิใช่ของตนเองมาลงในบล็อก ควรอ้างอิงแหล่งที่มา และ หลีกเลี่ยงการเผยแพร่สิ่งที่ละเมิดลิขสิทธิ์ ไม่ว่าจะเป็นรูปแบบหรือวิธีการใดก็ตาม 6. เนื้อหาและความคิดเห็นในบล็อก ไม่เกี่ยวข้องกับทีมงานผู้ดำเนินการจัดทำเว็บไซต์ โดยถือเป็นความรับผิดชอบทางกฎหมายเป็นการส่วนตัวของสมาชิก
คลิ้กอ่านเงื่อนไขทั้งหมดที่นี่"
OKnation ขอสงวนสิทธิ์ในการปิดบล็อก ลบเนื้อหาและความคิดเห็น ที่ขัดต่อความดังกล่าวข้างต้น โดยไม่ต้องชี้แจงเหตุผลใดๆ ต่อเจ้าของบล็อกและเจ้าของความคิดเห็นนั้นๆ
   

กลับไปหน้าที่แล้ว กลับด้านบน