ความเปนมาความเปนมา
o สนบสนนยทธศาสตรของกรมสรรพากร ในการพฒนาระบบเทคโนโลยสารสนเทศและการสอสาร (ICT) ในเชงรกฯ o ยกระดบคณภาพและบรการในระดบ Integrated services และสอดคลองตามหลกธรรมาภบาล เพอเปาหมายสะดวก
โป ใ ไ รวดเรว ทนสมย โปรงใส ตรวจสอบได
o ดาเนนการตามแนวทางการตรวจสอบระบบเทคโน- โลยสารสนเทศ (ICT Audit) ภายใตมาตรฐานสากล ไดแก BS7799, ISO/IEC17799, ISO/IEC27001, COSO, COBIT, ITIL และ NISTITIL และ NIST
วตถประสงควตถประสงค
1. เพอประเมนและตรวจสอบการควบคมความเสยงจากการ ด า เ น น ง า น ด ว ย ร ะ บ บ ค อ มพ ว เ ต อ รแ ล ะ ก า ร รก ษ า
ความปลอดภยตางๆ
2. เพอตดตามประสทธผลของการนานโยบายและแนวปฏบตความปลอดภยระบบเทคโนโลยสารสนเทศไปใช
3. เพอตดตามและตรวจสอบการปรบปรงระบบเทคโนโลย-สารสนเทศใหเปนไปตามมาตรฐานทกรมสรรพากรกาหนด
วตถประสงควตถประสงค
4. เพอนาผลการตรวจสอบมาใชในการปรบปรงแนวทางการตรวจสอบระบบเทคโนโลยสารสนเทศ (ICT Audit) ของตรวจสอบระบบเทคโนโลยสารสนเทศ (ICT Audit) ของกรมสรรพากร ใหมความเหมาะสมและทนสมยตามสถานการณ
5. เพอใหการบรหารจดการดานความปลอดภยของระบบเทคโนโลยสารสนเทศมคณภาพตามมาตรฐานดานความ
ปลอดภยทกรมสรรพากรกาหนด
ประโยชนประโยชน
1. สามารถปองกน ควบคม และเ กบรกษาสนทรพยของกรมสรรพากร
2. ผใชงานเกดความมนใจในความถกตอง ความเชอถอไดของขอมล และความพรอมในการใชระบบคอมพวเตอรของขอมล และความพรอมในการใชระบบคอมพวเตอรของกรมสรรพากร
3 ส ส ใ ใ ส ป ไป 3. สงเสรมใหการใชทรพยกรของกรมสรรพากรเปนไปอยางมประสทธภาพและประสทธผล
ประโยชนประโยชน
4. สนบสนนใหการดาเนนงานเปนไปตามนโยบายทกาหนด
5. ลดการทางานผดพลาดทเกดจากความตงใจและไมตงใจ
6 สรางความพงพอใจแกผเสยภาษและประชาชนทวไปในการใช6. สรางความพงพอใจแกผเสยภาษและประชาชนทวไปในการใชบรการของกรมสรรพากร
ขนตอนการดาเนนการ ขนตอนการดาเนนการ ICT AuditICT Audit
2
1กาหนดขอบเขต
6 2ประเมนความเสยง
6รายงานผลการตรวจสอบ
3 3 วางแผน
การตรวจสอบ
4
5ดาเนนการตรวจสอบ
พฒนาแนวทางการตรวจสอบ
ขนตอนการดาเนนการ ขนตอนการดาเนนการ ICT AuditICT Audit
1. การกาหนดขอบเขตในการตรวจสอบ (Audit Area)
1.1 เทคโนโลย : Technology
1 2 บคลากร : People 1.2 บคลากร : People
1.3 กระบวนการ : Process
1.4 สภาพแวดลอม : Facilities
ขนตอนการดาเนนการ ขนตอนการดาเนนการ ICT AuditICT Audit
2. การประเมนความเสยง (Risk Assessment)
2.1 Risk Analysis Framework
2 2 Risk Assessment Matrix 2.2 Risk Assessment Matrix
2.3 รายงานการประเมนความเสยง ตามขอบเขตการตรวจสอบ
2.4 ตารางการประเมนความเสยง ระบบงานเพอดาเนนการตรวจสอบ
ขนตอนการดาเนนการ ขนตอนการดาเนนการ ICT AuditICT Audit
3. การวางแผนการตรวจสอบ (Audit Plan)
3.1 บคลากรทเกยวของ
3 2 ระยะเวลา 3.2 ระยะเวลา
3.3 งบประมาณ 3.4 การฝกอบรม
ขนตอนการดาเนนการ ขนตอนการดาเนนการ ICT AuditICT Audit
4. การพฒนาแนวทางในการตรวจสอบ (Audit Procedure)
4.1 เทคโนโลย : Technology
4 2 บคลากร : People 4.2 บคลากร : People
4.3 กระบวนการ : Process
4.4 สภาพแวดลอม : Facilities
ขนตอนการดาเนนการ ขนตอนการดาเนนการ ICT AuditICT Audit
5. ดาเนนการตรวจสอบ (Performing the Audit)
5.1 การตรวจทานและวเคราะหเอกสาร
5 2 การสมภาษณ 5.2 การสมภาษณ
5.3 การดหนาจอผใชงาน
5.4 การใชเครองมอ
ขนตอนการดาเนนการ ขนตอนการดาเนนการ ICT AuditICT Audit
6. การรายงานผลการตรวจสอบ (Audit Report)
6.1 รายงานดานเทคโนโลย : Technology
6 2 รายงานดานบคลากร : People 6.2 รายงานดานบคลากร : People
6.3 รายงานดานกระบวนการ : Process
6.4 รายงานดานสภาพแวดลอม : Facilities
6.5 รายงานสรประบบงานทตรวจสอบ
แผนการดาเนนการ แผนการดาเนนการ ICT AuditICT Audit
11. . การกาหนดขอบเขตฯการกาหนดขอบเขตฯ
22. . การประเมนความเสยงการประเมนความเสยง22. . การปร เมนความเสยงการปร เมนความเสยง
33. . การวางแผนการตรวจสอบ การวางแผนการตรวจสอบ
44. . การพฒนาแนวทางฯการพฒนาแนวทางฯ
55 ดาเนนการตรวจสอบดาเนนการตรวจสอบ55. . ดาเนนการตรวจสอบดาเนนการตรวจสอบ
66. . การรายงานผลการตรวจสอบการรายงานผลการตรวจสอบ
25502550 2551255125492549กาลงดาเนนการกาลงดาเนนการดาเนนการแลวดาเนนการแลวรอดาเนนการรอดาเนนการ
สรปรายละเอยดขนตอนดาเนนการสรปรายละเอยดขนตอนดาเนนการ
1. กาหนดขอบเขตในการตรวจสอบ (Audit Area)( )
2. การประเมนความเสยง (Risk Assessment) 5 ระดบ
ระดบ 5 ความเสยงมากทสดระดบ 4 ความเสยงมากระดบ 3 ความเสยงปานกลาง
2 ส ระดบ 2 ความเสยงนอยระดบ 1 ความเสยงนอยสด
3 การวางแผนการตรวจสอบ (Audit Plan)3. การวางแผนการตรวจสอบ (Audit Plan)
สรปรายละเอยดขนตอนดาเนนการสรปรายละเอยดขนตอนดาเนนการ
4. แนวทางการในการตรวจสอบ (Audit Procedure) 4 ดาน4.1 People : เจาหนาทภายใน และบคคลภายนอก4.1 People : เจาหนาทภายใน แล บคคลภายนอก4.2 Technology : Hardware Software Network Security4.3 Process4 4 Facility4.4 Facility
5. ดาเนนการตรวจสอบ (Performing the Audit)(Performing the Audit)
6. การรายงานผลการตรวจสอบ (Audit Report)
การตรวจสอบระบบสารสนเทศ และการสอสารกรมสรรพากร การตรวจสอบระบบสารสนเทศ และการสอสารกรมสรรพากร ((ICT AuditICT Audit))เจาหนาทบรหาร เจาหนาทบรหาร เจาหนาทดแลร บบความเจาหนาทดแลร บบความระบบความปลอดภย ระบบความปลอดภย และสารสนเทศและสารสนเทศ
หวหนาหนวยของแตละหวหนาหนวยของแตละหนวยงาน หนวยงาน ((สภสภ..,,สทสท..,,สสสส.).) ผบรหารระดบสงผบรหารระดบสง
เจาหนาทดแลระบบความเจาหนาทดแลระบบความปลอดภยและสารสนเทศปลอดภยและสารสนเทศ
กาหนดเจาหนาทดแลระบบความปลอดภยสารสนเทศประจาหนวยงาน เพอดาเนนการประเมนความเสยงฯ ของหนวยงาน
ดาเนนการประเมนค ว า ม เ ส ย ง ค ว า มปลอดภยสารสนเทศของหนวยงาน
ตรวจแบบประเมนความเสยงฯ ของเจาหนาทดแลระบบฯ สงแบบประเมน
ไมผาน
ของหนวยงาน
รบรองแบบประ เมนค ว า ม เ ส ย ง ฯ ขอ งเจาหนาทดแลระบบฯ
ดแลระบบฯ
รบรองผลการประเมนค ว า ม เ ส ย ง ฯ ขอ งหนวยงาน
สงแบบประเมน
ผาน
ต ร ว จ ส อ บ ผ ล ก า รประเมนความเ สยงฯ ของหนวยงาน
ต ร ว จ ส อ บ ผ ล ก า รประเมนความเ สยงฯ ของหนวยงาน และหนวยงานในสงกด
ต ร ว จ ส อ บ ผ ล ก า รประเมนความเ สยงฯ ของกรมสรรพากร
รายงานรายงาน รายงาน
การตรวจสอบระบบสารสนเทศ และการสอสารกรมสรรพากร การตรวจสอบระบบสารสนเทศ และการสอสารกรมสรรพากร ((ICT AuditICT Audit))
เจาหนาทเจาหนาทงานตรวจราชการงานตรวจราชการ ผตรวจราชการผตรวจราชการ ผบรหารระดบสงผบรหารระดบสงหวหนางานตรวจราชการหวหนางานตรวจราชการ
กาหนดเจาหนาทงานตรวจราชการเพอดาเนนการตรวจสอบประเมนความเสยงฯ ของหนวยงาน
ดาเนนการความเสยงฯ ของหนวยงาน
ดาเนนการประเมนค ว า ม เ ส ย ง ค ว า มปลอดภยสารสนเทศของหนวยงาน
ตรวจแบบประเมนความเสยงฯ ของเจาหนาทดแลร บบฯสงแบบประเมน
ไมผาน
ของหนวยงาน
รบรองผลการประเมนค ว า ม เ ส ย ง ฯ ขอ งหนวยงาน
รบรองแบบประ เมนค ว า ม เ ส ย ง ฯ ขอ งเจาหนาทดแลระบบฯ
ดแลระบบฯสงแบบประเมน
ผาน
ต ร ว จ ส อ บ ผ ล ก า รประเมนความเ สยงฯ ของหนวยงาน และหนวยงานในสงกด
ต ร ว จ ส อ บ ผ ล ก า รประเมนความเ สยงฯ ของกรมสรรพากร
ต ร ว จ ส อ บ ผ ล ก า รประเมนความเ สยงฯ ของหนวยงาน
รายงาน รายงานรายงาน
การประเมนความเสยงตามระเบยบกรมสรรพากร การประเมนความเสยงตามระเบยบกรมสรรพากร 3 3 ฉบบฉบบ
acl0101 การบรหารจดการระบบเทคโนโลยสารสนเทศและ การสอสาร (60 เปอรเซนต) การสอสาร (60 เปอรเซนต)
acl0201 การใชระบบคอมพวเตอรของกรมสรรพากร อยางปลอดภย (30 เปอรเซนต) อยางปลอดภย (30 เปอรเซนต)
acl0301 การใชคอมพวเตอรเพอรบสงหนงสอและขาวสาร (10 ป ) อเลกทรอนกส (10 เปอรเซนต)
QQQQ&&&&
AAAA
Thank You… Security GroupThank You… Security Group