E risk ict_audit

ความเปนมาความเปนมา

o สนบสนนยทธศาสตรของกรมสรรพากร ในการพฒนาระบบเทคโนโลยสารสนเทศและการสอสาร (ICT) ในเชงรกฯ o ยกระดบคณภาพและบรการในระดบ Integrated services และสอดคลองตามหลกธรรมาภบาล เพอเปาหมายสะดวก

โป ใ ไ รวดเรว ทนสมย โปรงใส ตรวจสอบได

o ดาเนนการตามแนวทางการตรวจสอบระบบเทคโน- โลยสารสนเทศ (ICT Audit) ภายใตมาตรฐานสากล ไดแก BS7799, ISO/IEC17799, ISO/IEC27001, COSO, COBIT, ITIL และ NISTITIL และ NIST

วตถประสงควตถประสงค

1. เพอประเมนและตรวจสอบการควบคมความเสยงจากการ ด า เ น น ง า น ด ว ย ร ะ บ บ ค อ มพ ว เ ต อ รแ ล ะ ก า ร รก ษ า

ความปลอดภยตางๆ

2. เพอตดตามประสทธผลของการนานโยบายและแนวปฏบตความปลอดภยระบบเทคโนโลยสารสนเทศไปใช

3. เพอตดตามและตรวจสอบการปรบปรงระบบเทคโนโลย-สารสนเทศใหเปนไปตามมาตรฐานทกรมสรรพากรกาหนด

วตถประสงควตถประสงค

4. เพอนาผลการตรวจสอบมาใชในการปรบปรงแนวทางการตรวจสอบระบบเทคโนโลยสารสนเทศ (ICT Audit) ของตรวจสอบระบบเทคโนโลยสารสนเทศ (ICT Audit) ของกรมสรรพากร ใหมความเหมาะสมและทนสมยตามสถานการณ

5. เพอใหการบรหารจดการดานความปลอดภยของระบบเทคโนโลยสารสนเทศมคณภาพตามมาตรฐานดานความ

ปลอดภยทกรมสรรพากรกาหนด

ประโยชนประโยชน

1. สามารถปองกน ควบคม และเ กบรกษาสนทรพยของกรมสรรพากร

2. ผใชงานเกดความมนใจในความถกตอง ความเชอถอไดของขอมล และความพรอมในการใชระบบคอมพวเตอรของขอมล และความพรอมในการใชระบบคอมพวเตอรของกรมสรรพากร

3 ส ส ใ ใ ส ป ไป 3. สงเสรมใหการใชทรพยกรของกรมสรรพากรเปนไปอยางมประสทธภาพและประสทธผล

ประโยชนประโยชน

4. สนบสนนใหการดาเนนงานเปนไปตามนโยบายทกาหนด

5. ลดการทางานผดพลาดทเกดจากความตงใจและไมตงใจ

6 สรางความพงพอใจแกผเสยภาษและประชาชนทวไปในการใช6. สรางความพงพอใจแกผเสยภาษและประชาชนทวไปในการใชบรการของกรมสรรพากร

ขนตอนการดาเนนการ ขนตอนการดาเนนการ ICT AuditICT Audit

2

1กาหนดขอบเขต

6 2ประเมนความเสยง

6รายงานผลการตรวจสอบ

3 3 วางแผน

การตรวจสอบ

4

5ดาเนนการตรวจสอบ

พฒนาแนวทางการตรวจสอบ


1. การกาหนดขอบเขตในการตรวจสอบ (Audit Area)

1.1 เทคโนโลย : Technology

1 2 บคลากร : People 1.2 บคลากร : People

1.3 กระบวนการ : Process

1.4 สภาพแวดลอม : Facilities


2. การประเมนความเสยง (Risk Assessment)

2.1 Risk Analysis Framework

2 2 Risk Assessment Matrix 2.2 Risk Assessment Matrix

2.3 รายงานการประเมนความเสยง ตามขอบเขตการตรวจสอบ

2.4 ตารางการประเมนความเสยง ระบบงานเพอดาเนนการตรวจสอบ


3. การวางแผนการตรวจสอบ (Audit Plan)

3.1 บคลากรทเกยวของ

3 2 ระยะเวลา 3.2 ระยะเวลา

3.3 งบประมาณ 3.4 การฝกอบรม


4. การพฒนาแนวทางในการตรวจสอบ (Audit Procedure)

4.1 เทคโนโลย : Technology

4 2 บคลากร : People 4.2 บคลากร : People

4.3 กระบวนการ : Process

4.4 สภาพแวดลอม : Facilities


5. ดาเนนการตรวจสอบ (Performing the Audit)

5.1 การตรวจทานและวเคราะหเอกสาร

5 2 การสมภาษณ 5.2 การสมภาษณ

5.3 การดหนาจอผใชงาน

5.4 การใชเครองมอ


6. การรายงานผลการตรวจสอบ (Audit Report)

6.1 รายงานดานเทคโนโลย : Technology

6 2 รายงานดานบคลากร : People 6.2 รายงานดานบคลากร : People

6.3 รายงานดานกระบวนการ : Process

6.4 รายงานดานสภาพแวดลอม : Facilities

6.5 รายงานสรประบบงานทตรวจสอบ

แผนการดาเนนการ แผนการดาเนนการ ICT AuditICT Audit

11. . การกาหนดขอบเขตฯการกาหนดขอบเขตฯ

22. . การประเมนความเสยงการประเมนความเสยง22. . การปร เมนความเสยงการปร เมนความเสยง

33. . การวางแผนการตรวจสอบ การวางแผนการตรวจสอบ

44. . การพฒนาแนวทางฯการพฒนาแนวทางฯ

55 ดาเนนการตรวจสอบดาเนนการตรวจสอบ55. . ดาเนนการตรวจสอบดาเนนการตรวจสอบ

66. . การรายงานผลการตรวจสอบการรายงานผลการตรวจสอบ

25502550 2551255125492549กาลงดาเนนการกาลงดาเนนการดาเนนการแลวดาเนนการแลวรอดาเนนการรอดาเนนการ

สรปรายละเอยดขนตอนดาเนนการสรปรายละเอยดขนตอนดาเนนการ

1. กาหนดขอบเขตในการตรวจสอบ (Audit Area)( )

2. การประเมนความเสยง (Risk Assessment) 5 ระดบ

ระดบ 5 ความเสยงมากทสดระดบ 4 ความเสยงมากระดบ 3 ความเสยงปานกลาง

2 ส ระดบ 2 ความเสยงนอยระดบ 1 ความเสยงนอยสด

3 การวางแผนการตรวจสอบ (Audit Plan)3. การวางแผนการตรวจสอบ (Audit Plan)

สรปรายละเอยดขนตอนดาเนนการสรปรายละเอยดขนตอนดาเนนการ

4. แนวทางการในการตรวจสอบ (Audit Procedure) 4 ดาน4.1 People : เจาหนาทภายใน และบคคลภายนอก4.1 People : เจาหนาทภายใน แล บคคลภายนอก4.2 Technology : Hardware Software Network Security4.3 Process4 4 Facility4.4 Facility

5. ดาเนนการตรวจสอบ (Performing the Audit)(Performing the Audit)

6. การรายงานผลการตรวจสอบ (Audit Report)

การตรวจสอบระบบสารสนเทศ และการสอสารกรมสรรพากร การตรวจสอบระบบสารสนเทศ และการสอสารกรมสรรพากร ((ICT AuditICT Audit))เจาหนาทบรหาร เจาหนาทบรหาร เจาหนาทดแลร บบความเจาหนาทดแลร บบความระบบความปลอดภย ระบบความปลอดภย และสารสนเทศและสารสนเทศ

หวหนาหนวยของแตละหวหนาหนวยของแตละหนวยงาน หนวยงาน ((สภสภ..,,สทสท..,,สสสส.).) ผบรหารระดบสงผบรหารระดบสง

เจาหนาทดแลระบบความเจาหนาทดแลระบบความปลอดภยและสารสนเทศปลอดภยและสารสนเทศ

กาหนดเจาหนาทดแลระบบความปลอดภยสารสนเทศประจาหนวยงาน เพอดาเนนการประเมนความเสยงฯ ของหนวยงาน

ดาเนนการประเมนค ว า ม เ ส ย ง ค ว า มปลอดภยสารสนเทศของหนวยงาน

ตรวจแบบประเมนความเสยงฯ ของเจาหนาทดแลระบบฯ สงแบบประเมน

ไมผาน

ของหนวยงาน

รบรองแบบประ เมนค ว า ม เ ส ย ง ฯ ขอ งเจาหนาทดแลระบบฯ

ดแลระบบฯ

รบรองผลการประเมนค ว า ม เ ส ย ง ฯ ขอ งหนวยงาน

สงแบบประเมน

ผาน

ต ร ว จ ส อ บ ผ ล ก า รประเมนความเ สยงฯ ของหนวยงาน

ต ร ว จ ส อ บ ผ ล ก า รประเมนความเ สยงฯ ของหนวยงาน และหนวยงานในสงกด

ต ร ว จ ส อ บ ผ ล ก า รประเมนความเ สยงฯ ของกรมสรรพากร

รายงานรายงาน รายงาน

การตรวจสอบระบบสารสนเทศ และการสอสารกรมสรรพากร การตรวจสอบระบบสารสนเทศ และการสอสารกรมสรรพากร ((ICT AuditICT Audit))

เจาหนาทเจาหนาทงานตรวจราชการงานตรวจราชการ ผตรวจราชการผตรวจราชการ ผบรหารระดบสงผบรหารระดบสงหวหนางานตรวจราชการหวหนางานตรวจราชการ

กาหนดเจาหนาทงานตรวจราชการเพอดาเนนการตรวจสอบประเมนความเสยงฯ ของหนวยงาน

ดาเนนการความเสยงฯ ของหนวยงาน

ดาเนนการประเมนค ว า ม เ ส ย ง ค ว า มปลอดภยสารสนเทศของหนวยงาน

ตรวจแบบประเมนความเสยงฯ ของเจาหนาทดแลร บบฯสงแบบประเมน

ไมผาน

ของหนวยงาน

รบรองผลการประเมนค ว า ม เ ส ย ง ฯ ขอ งหนวยงาน

รบรองแบบประ เมนค ว า ม เ ส ย ง ฯ ขอ งเจาหนาทดแลระบบฯ

ดแลระบบฯสงแบบประเมน

ผาน

ต ร ว จ ส อ บ ผ ล ก า รประเมนความเ สยงฯ ของหนวยงาน และหนวยงานในสงกด

ต ร ว จ ส อ บ ผ ล ก า รประเมนความเ สยงฯ ของกรมสรรพากร

ต ร ว จ ส อ บ ผ ล ก า รประเมนความเ สยงฯ ของหนวยงาน

รายงาน รายงานรายงาน

การประเมนความเสยงตามระเบยบกรมสรรพากร การประเมนความเสยงตามระเบยบกรมสรรพากร 3 3 ฉบบฉบบ

acl0101 การบรหารจดการระบบเทคโนโลยสารสนเทศและ การสอสาร (60 เปอรเซนต) การสอสาร (60 เปอรเซนต)

acl0201 การใชระบบคอมพวเตอรของกรมสรรพากร อยางปลอดภย (30 เปอรเซนต) อยางปลอดภย (30 เปอรเซนต)

acl0301 การใชคอมพวเตอรเพอรบสงหนงสอและขาวสาร (10 ป ) อเลกทรอนกส (10 เปอรเซนต)

QQQQ&&&&

AAAA

Thank You… Security GroupThank You… Security Group

E risk ict_audit

Documents