SlideShare una empresa de Scribd logo
1 de 21
Descargar para leer sin conexión
E risk ict_audit
ความเป็ นมา
o   สนับสนุ นยุทธศาสตรของกรมสรรพากร ในการพัฒนาระบบ
                      ์
เทคโนโลยีสารสนเทศและการสื่ อสาร (ICT) ในเชิงรุกฯ

o    ยกระดับคุณภาพและบริการในระดับ Integrated services
และสอดคล้ องตามหลัก ธรรมาภิ บ าล เพื่ อ เป้ าหมายสะดวก
รวดเร็็ว ทันสมัย โป งใส ตรวจสอบได้
           ั   ั โปร่ ใ        ไ

o     ดําเนินการตามแนวทางการตรวจสอบระบบเทคโน-  โลยี
สารสนเทศ (ICT       Audit)  ภายใต้มาตรฐานสากล ได้แก่
BS7799, ISO/IEC17799, ISO/IEC27001, COSO, COBIT,
ITIL และ NIST
วัตถุประสงค ์


1. เพื่อ ประเมิน และตรวจสอบการควบคุ ม ความเสี่ ยงจากการ
   ดํํ า เ นิิ น ง า น ด้ ว ย ร ะ บ บ ค อ ม พิิ ว เ ต อ ร ์ แ ล ะ ก า ร รัั ก ษ า
   ความปลอดภัยตางๆ      ่

2. เพื่อ ติด ตามประสิ ทธิผ ลของการนํ า นโยบายและแนวปฏิบ ต ิ
                                                        ั
   ความปลอดภัยระบบเทคโนโลยีสารสนเทศไปใช้

3. เพื่ อ ติ ด ตามและตรวจสอบการปรับ ปรุ ง ระบบเทคโนโลยี -
   สารสนเทศให้เป็ นไปตามมาตรฐานทีกรมสรรพากรกําหนด
                                  ่
วัตถุประสงค ์

4. เพื่อ นํ า ผลการตรวจสอบมาใช้ ในการปรับ ปรุ ง แนวทางการ
   ตรวจสอบระบบเทคโนโลยสารสนเทศ
   ตรวจสอบระบบเทคโนโลยีสารสนเทศ (ICT Audit)           ของ
   กรมสรรพากร              ให้มีความเหมาะสมและทันสมัยตาม
   สถานการณ ์

5. เ พื่ อ ใ ห้ ก า ร บ ริ ห า ร จั ด ก า ร ด้ า น ค ว า ม ป ล อ ด ภั ย ข อ ง ร ะ บ บ
   เทคโนโลยี ส ารสนเทศมี คุ ณ ภาพตามมาตรฐานด้ านความ
   ปลอดภัยทีกรมสรรพากรกําหนด
                  ่
ประโยชน์

1 . ส า ม า ร ถ ป้ อ ง กั น   ค ว บ คุ ม   แ ล ะ เ ก็ บ รั ก ษ า สิ น ท รั พ ย ์ ข อ ง
     กรมสรรพากร

2. ผู้ใช้งานเกิดความมั่นใจในความถูกต้อง ความเชื่อถือได้ของ
   ขอมู ล และความพรอมในการใชระบบคอมพวเตอรของ
   ข้ อมล และความพร้ อมในการใช้ ระบบคอมพิ ว เตอร ์ของ
   กรมสรรพากร

3.
3 ส่ งเสริิม ใ ้ การใช้ ทรัพ ย กรของกรมสรรพากรเป็ นไปอย่ างมีี
       ส ให         ใ      ั ์         ส       ป็ ไป
   ประสิ ทธิภาพและประสิ ทธิผล
ประโยชน์

                                              ่ ํ
4. สนับสนุ นให้การดําเนินงานเป็ นไปตามนโยบายทีกาหนด

5. ลดการทํางานผิดพลาดทีเกิดจากความตังใจและไมตังใจ
                       ่            ้       ่ ้

6 สร้างความพึงพอใจแกผ้เสี ยภาษี และประชาชนทัวไปในการใช้
                                           ่
6. สรางความพงพอใจแกผูเสยภาษและประชาชนทวไปในการใช
                    ่
   บริการของกรมสรรพากร
ขันตอนการดําเนินการ ICT Audit
  ้
                            1
                         กําหนด
                         ขอบเขต
              6                         2
          รายงานผล                    ประเมิน
         การตรวจสอบ                  ความเสี่ ยง




               5                          3
          ดําเนินการ                   วางแผน
          ตรวจสอบ                    การตรวจสอบ
                            4
                       พัฒนาแนวทาง
                       การตรวจสอบ
ขันตอนการดําเนินการ ICT Audit
  ้

1. การกําหนดขอบเขตในการตรวจสอบ (Audit Area)

   1.1 เทคโนโลยี : Technology

   1 2 บคลากร : People
   1.2 บุคลากร

   1.3 กระบวนการ : Process

   1.4 สภาพแวดลอม : Facilities
               ้
ขันตอนการดําเนินการ ICT Audit
  ้

2. การประเมินความเสี่ ยง (Risk Assessment)

   2.1 Risk Analysis Framework

   2 2 Risk Assessment Matrix
   2.2

   2.3 รายงานการประเมินความเสี่ ยง
            ตามขอบเขตการตรวจสอบ

   2.4 ตารางการประเมินความเสี่ ยง
                       ่
            ระบบงานเพือดําเนินการตรวจสอบ
ขันตอนการดําเนินการ ICT Audit
  ้

3. การวางแผนการตรวจสอบ (Audit Plan)

   3.1   บุคลากรทีเกียวของ
                  ่ ่   ้

   3 2 ระยะเวลา
   3.2

   3.3 งบประมาณ

   3.4 การฝึ กอบรม
ขันตอนการดําเนินการ ICT Audit
  ้

4. การพัฒนาแนวทางในการตรวจสอบ (Audit Procedure)

   4.1 เทคโนโลยี : Technology

   4 2 บคลากร : People
   4.2 บุคลากร

   4.3 กระบวนการ : Process

   4.4 สภาพแวดลอม : Facilities
               ้
ขันตอนการดําเนินการ ICT Audit
  ้

5. ดําเนินการตรวจสอบ (Performing the Audit)

   5.1    การตรวจทานและวิเคราะหเอกสาร
                               ์

   5 2 การสั มภาษณ ์
   5.2 การสมภาษณ

   5.3 การดูหน้าจอผูใช้งาน
                   ้

   5.4 การใช้เครืองมือ
                 ่
ขันตอนการดําเนินการ ICT Audit
  ้

6. การรายงานผลการตรวจสอบ (Audit Report)

   6.1 รายงานดานเทคโนโลยี : Technology
              ้

   6.2 รายงานดานบุคลากร
   6 2 รายงานดานบคลากร : People
              ้

   6.3 รายงานดานกระบวนการ : Process
              ้

   6.4 รายงานดานสภาพแวดลอม : Facilities
              ้         ้

   6.5 รายงานสรุประบบงานทีตรวจสอบ
                          ่
แผนการดําเนินการ ICT Audit
1. การกําหนดขอบเขตฯ

2. การประเมินความเสี่ ยง
   การปร เมนความเสยง

3. การวางแผนการตรวจสอบ

4. การพัฒนาแนวทางฯ

5. ดาเนนการตรวจสอบ
   ดําเนินการตรวจสอบ

6. การรายงานผลการตรวจสอบ
    กําลังดําเนินการ
    ดําเนินการแลว
                ้          2549   2550   2551
    รอดําเนินการ
สรุปรายละเอียดขันตอนดําเนินการ
                ้


   1.   กําหนดขอบเขตในการตรวจสอบ (Audit Area)
                                 (          )

   2.   การประเมินความเสี่ ยง (Risk Assessment) 5 ระดับ

                       ระดับ   5    ความเสี่ ยงมากทีสุด
                                                     ่
                       ระดับ   4    ความเสี่ ยงมาก
                       ระดับ   3    ความเสี่ ยงปานกลาง
                       ระดับ
                           ั   2    ความเสี่ ยงน้ อย
                                         สี
                       ระดับ   1    ความเสี่ ยงน้อยสุด

   3.
   3    การวางแผนการตรวจสอบ (Audit Plan)
สรุปรายละเอียดขันตอนดําเนินการ
                ้

4.   แนวทางการในการตรวจสอบ (Audit Procedure) 4 ดาน้
       4.1 People : เจ้าหน้าทีภายใน และบคคลภายนอก
                    เจาหนาทภายใน แล บุคคลภายนอก
                              ่
       4.2 Technology : Hardware Software Network Security
       4.3 Process
       4 4 Facility
       4.4

5.   ดําเนินการตรวจสอบ
     (Performing the Audit)

6.   การรายงานผลการตรวจสอบ
     (Audit Report)
การตรวจสอบระบบสารสนเทศ และการสื่ อสารกรมสรรพากร (ICT Audit)
                                                     Audit)
      เจ้าหน้ าทีบริหาร
                 ่
                                                  เจ้าหน้าทีดแลระบบความ
                                                  เจาหนาทดูแลร บบความ
                                                            ่                         หัวหน้ าหน่ วยของแตละ
                                                                                        ั                  ่
     ระบบความปลอดภัย                                                                                                  ผู้บริหารระดับสูง
                                                   ปลอดภัยและสารสนเทศ                หน่วยงาน (สภ.,สท.,สส.)
                                                                                                   สภ. สท. สส.)
       และสารสนเทศ
  กํ า หนดเจ้ าหน้ าที่ ดู แ ลระบบความ
  ปลอดภัยสารสนเทศประจําหน่วยงาน
  เพื่อ ดํา เนิ น การประเมิน ความเสี่ ยงฯ
  ของหน่วยงาน

          ไมผาน
            ่ ่
               ตรวจแบบ                                   ดํ า เนิ น การประเมิ น
           ประเมินความเสี่ ยงฯ                           ค ว า ม เ สี่ ย ง ค ว า ม
             ของเจ้าหน้าที่                              ปลอดภัย สารสนเทศ
              ดูแลระบบฯ
              ดแลระบบฯ                   สงแบบประเมน
                                         ส่งแบบประเมิน   ของหน่วยงาน
                                                         ของหนวยงาน


              ผาน
               ่
         รั บ ร อ ง แ บ บ ป ร ะ เ มิ น                                                    รับ รองผลการประเมิน
         ค ว า ม เ สี่ ย ง ฯ ข อ ง                                                        ค ว า ม เ สี่ ย ง ฯ ข อ ง
         เจ้าหน้าทีดูแลระบบฯ
                      ่                                                                   หน่วยงาน


         ตรวจสอบผลการ                                                                     ตรวจสอบผลการ
                                                                                                                      ตรวจสอบผลการ
         ประ เมิ น คว า มเสี่ ยง ฯ                                                        ประ เมิ น คว า มเสี่ ยง ฯ
                                                                                                                      ประ เมิ น คว า มเสี่ ยง ฯ
         ของหน่วยงาน                                                                      ของหน่ วยงาน และ
                                                                                                                      ของกรมสรรพากร
                                                                                          หน่วยงานในสั งกัด



                  รายงาน
                                                                                                  รายงาน                      รายงาน
การตรวจสอบระบบสารสนเทศ และการสื่ อสารกรมสรรพากร (ICT Audit)
                                                     Audit)
       เจ้าหน้าที่ี
                                          หัวหน้างานตรวจราชการ                   ผู้ตรวจราชการ               ผู้บริหารระดับสูง
    งานตรวจราชการ

                       ดําเนินการ         กํา หนดเจ้ าหน้ าที่ง านตรวจราชการ
                                          เพื่ อ ดํ า เนิ น การตรวจสอบประเมิ น
                                          ความเสยงฯ ของหน่วยงาน
                                          ความเสี่ ยงฯ ของหนวยงาน


                                                                  ไมผาน
                                                                    ่ ่
   ดํ า เนิ น การประเมิ น                             ตรวจแบบ
   ค ว า ม เ สี่ ย ง ค ว า ม                      ประเมินความเสี่ ยงฯ
   ปลอดภัย สารสนเทศ                                 ของเจ้าหน้าที่
   ของหน่วยงาน
   ของหนวยงาน                   สงแบบประเมน
                                ส่งแบบประเมิน        ดูแลระบบฯ
                                                     ดแลร บบฯ

                                                                  ผาน
                                                                   ่
                                                รั บ ร อ ง แ บ บ ป ร ะ เ มิ น    รับ รองผลการประเมิน
                                                ค ว า ม เ สี่ ย ง ฯ ข อ ง        ค ว า ม เ สี่ ย ง ฯ ข อ ง
                                                เจ้าหน้าทีดูแลระบบฯ
                                                             ่                   หน่วยงาน


                                                                                 ตรวจสอบผลการ
                                                                                                             ตรวจสอบผลการ
                                                ตรวจสอบผลการ                     ประ เมิ น คว า มเสี่ ยง ฯ
                                                                                                             ประ เมิ น คว า มเสี่ ยง ฯ
                                                ประ เมิ น คว า มเสี่ ยง ฯ        ของหน่ วยงาน และ
                                                                                                             ของกรมสรรพากร
                                                ของหน่วยงาน                      หน่วยงานในสั งกัด



                                                         รายงาน                          รายงาน                      รายงาน
การประเมินความเสี่ ยงตามระเบียบกรมสรรพากร 3 ฉบับ

  acl0101 การบริหารจัดการระบบเทคโนโลยีสารสนเทศและ
              การสอสาร
              การสื่ อสาร (60 เปอรเซ็นต)
                              เปอรเซนต)
                                  ์    ์

  acl0201 การใช้ระบบคอมพิวเตอรของกรมสรรพากร
                              ์
                อยางปลอดภย
                อยางปลอดภัย (30 เปอรเซ็นต)
                   ่            เปอรเซนต)
                                    ์    ์

  acl0301 การใช้คอมพิวเตอรเพือรับส่งหนังสื อและขาวสาร
                              ์ ่                ่
                อิเล็็กทรอนิิกส์ (10 เปอรเซ็็นต)
                  ิ                   ป ์      ์
Q
&
A
Thank You…  Security Group

Más contenido relacionado

Similar a E risk ict_audit

การควบคุมคุณภาพ
การควบคุมคุณภาพการควบคุมคุณภาพ
การควบคุมคุณภาพPrakob Chantarakamnerd
 
การควบคุมภายใน
การควบคุมภายในการควบคุมภายใน
การควบคุมภายในAttachoke Putththai
 
Software Engineering Process Standard
Software Engineering Process StandardSoftware Engineering Process Standard
Software Engineering Process StandardWorawut Ramchan
 
ระบบสารสนเทศ
ระบบสารสนเทศระบบสารสนเทศ
ระบบสารสนเทศ053681478
 
เกณฑ์กำหนดตัวชี้วัด 53
เกณฑ์กำหนดตัวชี้วัด 53เกณฑ์กำหนดตัวชี้วัด 53
เกณฑ์กำหนดตัวชี้วัด 53pthaiwong
 
แผนแม่บทพัฒนาระบบมาตรวิทยาแห่งชาติ ฉบับที่ 2 (2552-2559)
แผนแม่บทพัฒนาระบบมาตรวิทยาแห่งชาติ ฉบับที่ 2 (2552-2559)  แผนแม่บทพัฒนาระบบมาตรวิทยาแห่งชาติ ฉบับที่ 2 (2552-2559)
แผนแม่บทพัฒนาระบบมาตรวิทยาแห่งชาติ ฉบับที่ 2 (2552-2559) NIMT
 
การศึกษาองค์ประกอบของระบบการบริหารโดยใช้การควบคุมภายในเป็นฐาน ในโรงเรียนมัธยม...
การศึกษาองค์ประกอบของระบบการบริหารโดยใช้การควบคุมภายในเป็นฐาน ในโรงเรียนมัธยม...การศึกษาองค์ประกอบของระบบการบริหารโดยใช้การควบคุมภายในเป็นฐาน ในโรงเรียนมัธยม...
การศึกษาองค์ประกอบของระบบการบริหารโดยใช้การควบคุมภายในเป็นฐาน ในโรงเรียนมัธยม...KiiKz Krittiya
 
สรุปผลการดำเนินงาน สคร.9 ตามตัวชี้วัด ปี 2554 รอบ 12 เดือน
สรุปผลการดำเนินงาน สคร.9 ตามตัวชี้วัด ปี 2554 รอบ  12 เดือนสรุปผลการดำเนินงาน สคร.9 ตามตัวชี้วัด ปี 2554 รอบ  12 เดือน
สรุปผลการดำเนินงาน สคร.9 ตามตัวชี้วัด ปี 2554 รอบ 12 เดือนBefore Crisis
 
คู่มือประเมินคุณภาพห้องปฏิบัติการทางการแพทย์
คู่มือประเมินคุณภาพห้องปฏิบัติการทางการแพทย์คู่มือประเมินคุณภาพห้องปฏิบัติการทางการแพทย์
คู่มือประเมินคุณภาพห้องปฏิบัติการทางการแพทย์Ann Ann
 
คู่มือการขอรับการส่งเสริมการลงทุน 2566
คู่มือการขอรับการส่งเสริมการลงทุน 2566คู่มือการขอรับการส่งเสริมการลงทุน 2566
คู่มือการขอรับการส่งเสริมการลงทุน 2566Thailand Board of Investment North America
 
คำอธิบายรายวิชา ง 20250 กระบวนการคิดโดยใช้หุ่นยนต์
คำอธิบายรายวิชา ง 20250 กระบวนการคิดโดยใช้หุ่นยนต์คำอธิบายรายวิชา ง 20250 กระบวนการคิดโดยใช้หุ่นยนต์
คำอธิบายรายวิชา ง 20250 กระบวนการคิดโดยใช้หุ่นยนต์สุรินทร์ ดีแก้วเกษ
 
สรุปผลการดำเนินการตามตัวชี้วัด 53
สรุปผลการดำเนินการตามตัวชี้วัด 53สรุปผลการดำเนินการตามตัวชี้วัด 53
สรุปผลการดำเนินการตามตัวชี้วัด 53ssrithai
 
สรุปผลการดำเนินการตามตัวชี้วัด 54
สรุปผลการดำเนินการตามตัวชี้วัด 54สรุปผลการดำเนินการตามตัวชี้วัด 54
สรุปผลการดำเนินการตามตัวชี้วัด 54ssrithai
 
การประเมินผลการควบคุมภายใน1
การประเมินผลการควบคุมภายใน1การประเมินผลการควบคุมภายใน1
การประเมินผลการควบคุมภายใน1Nan ZuZa
 
ISO9001 2008-Req. and Implementation
ISO9001 2008-Req. and ImplementationISO9001 2008-Req. and Implementation
ISO9001 2008-Req. and ImplementationNukool Thanuanram
 

Similar a E risk ict_audit (20)

การควบคุมคุณภาพ
การควบคุมคุณภาพการควบคุมคุณภาพ
การควบคุมคุณภาพ
 
14 2
14 214 2
14 2
 
การควบคุมภายใน
การควบคุมภายในการควบคุมภายใน
การควบคุมภายใน
 
Software Engineering Process Standard
Software Engineering Process StandardSoftware Engineering Process Standard
Software Engineering Process Standard
 
ระบบสารสนเทศ
ระบบสารสนเทศระบบสารสนเทศ
ระบบสารสนเทศ
 
เกณฑ์กำหนดตัวชี้วัด 53
เกณฑ์กำหนดตัวชี้วัด 53เกณฑ์กำหนดตัวชี้วัด 53
เกณฑ์กำหนดตัวชี้วัด 53
 
แผนแม่บทพัฒนาระบบมาตรวิทยาแห่งชาติ ฉบับที่ 2 (2552-2559)
แผนแม่บทพัฒนาระบบมาตรวิทยาแห่งชาติ ฉบับที่ 2 (2552-2559)  แผนแม่บทพัฒนาระบบมาตรวิทยาแห่งชาติ ฉบับที่ 2 (2552-2559)
แผนแม่บทพัฒนาระบบมาตรวิทยาแห่งชาติ ฉบับที่ 2 (2552-2559)
 
การสำรวจเบื้องต้น Preliminary Investigation
การสำรวจเบื้องต้น Preliminary Investigationการสำรวจเบื้องต้น Preliminary Investigation
การสำรวจเบื้องต้น Preliminary Investigation
 
Group1
Group1Group1
Group1
 
การศึกษาองค์ประกอบของระบบการบริหารโดยใช้การควบคุมภายในเป็นฐาน ในโรงเรียนมัธยม...
การศึกษาองค์ประกอบของระบบการบริหารโดยใช้การควบคุมภายในเป็นฐาน ในโรงเรียนมัธยม...การศึกษาองค์ประกอบของระบบการบริหารโดยใช้การควบคุมภายในเป็นฐาน ในโรงเรียนมัธยม...
การศึกษาองค์ประกอบของระบบการบริหารโดยใช้การควบคุมภายในเป็นฐาน ในโรงเรียนมัธยม...
 
สรุปผลการดำเนินงาน สคร.9 ตามตัวชี้วัด ปี 2554 รอบ 12 เดือน
สรุปผลการดำเนินงาน สคร.9 ตามตัวชี้วัด ปี 2554 รอบ  12 เดือนสรุปผลการดำเนินงาน สคร.9 ตามตัวชี้วัด ปี 2554 รอบ  12 เดือน
สรุปผลการดำเนินงาน สคร.9 ตามตัวชี้วัด ปี 2554 รอบ 12 เดือน
 
คู่มือประเมินคุณภาพห้องปฏิบัติการทางการแพทย์
คู่มือประเมินคุณภาพห้องปฏิบัติการทางการแพทย์คู่มือประเมินคุณภาพห้องปฏิบัติการทางการแพทย์
คู่มือประเมินคุณภาพห้องปฏิบัติการทางการแพทย์
 
File1
File1File1
File1
 
คู่มือการขอรับการส่งเสริมการลงทุน 2566
คู่มือการขอรับการส่งเสริมการลงทุน 2566คู่มือการขอรับการส่งเสริมการลงทุน 2566
คู่มือการขอรับการส่งเสริมการลงทุน 2566
 
คำอธิบายรายวิชา ง 20250 กระบวนการคิดโดยใช้หุ่นยนต์
คำอธิบายรายวิชา ง 20250 กระบวนการคิดโดยใช้หุ่นยนต์คำอธิบายรายวิชา ง 20250 กระบวนการคิดโดยใช้หุ่นยนต์
คำอธิบายรายวิชา ง 20250 กระบวนการคิดโดยใช้หุ่นยนต์
 
สรุปผลการดำเนินการตามตัวชี้วัด 53
สรุปผลการดำเนินการตามตัวชี้วัด 53สรุปผลการดำเนินการตามตัวชี้วัด 53
สรุปผลการดำเนินการตามตัวชี้วัด 53
 
สรุปผลการดำเนินการตามตัวชี้วัด 54
สรุปผลการดำเนินการตามตัวชี้วัด 54สรุปผลการดำเนินการตามตัวชี้วัด 54
สรุปผลการดำเนินการตามตัวชี้วัด 54
 
Pea Workshop 2009 20 5 09
Pea Workshop 2009 20 5 09Pea Workshop 2009 20 5 09
Pea Workshop 2009 20 5 09
 
การประเมินผลการควบคุมภายใน1
การประเมินผลการควบคุมภายใน1การประเมินผลการควบคุมภายใน1
การประเมินผลการควบคุมภายใน1
 
ISO9001 2008-Req. and Implementation
ISO9001 2008-Req. and ImplementationISO9001 2008-Req. and Implementation
ISO9001 2008-Req. and Implementation
 

Más de Banyong Jandragholica (7)

Casestudy railway
Casestudy railwayCasestudy railway
Casestudy railway
 
Clouds, big data, and smart assets
Clouds, big data, and smart assetsClouds, big data, and smart assets
Clouds, big data, and smart assets
 
10 web trends to watch in 2010
10 web trends to watch in 201010 web trends to watch in 2010
10 web trends to watch in 2010
 
20100808 rtarf banyong
20100808 rtarf banyong20100808 rtarf banyong
20100808 rtarf banyong
 
IT Risk Assessment
IT Risk AssessmentIT Risk Assessment
IT Risk Assessment
 
HTML5_NAC
HTML5_NACHTML5_NAC
HTML5_NAC
 
Cloud computing nac
Cloud computing nacCloud computing nac
Cloud computing nac
 

E risk ict_audit

  • 2. ความเป็ นมา o สนับสนุ นยุทธศาสตรของกรมสรรพากร ในการพัฒนาระบบ ์ เทคโนโลยีสารสนเทศและการสื่ อสาร (ICT) ในเชิงรุกฯ o ยกระดับคุณภาพและบริการในระดับ Integrated services และสอดคล้ องตามหลัก ธรรมาภิ บ าล เพื่ อ เป้ าหมายสะดวก รวดเร็็ว ทันสมัย โป งใส ตรวจสอบได้ ั ั โปร่ ใ ไ o ดําเนินการตามแนวทางการตรวจสอบระบบเทคโน- โลยี สารสนเทศ (ICT Audit) ภายใต้มาตรฐานสากล ได้แก่ BS7799, ISO/IEC17799, ISO/IEC27001, COSO, COBIT, ITIL และ NIST
  • 3. วัตถุประสงค ์ 1. เพื่อ ประเมิน และตรวจสอบการควบคุ ม ความเสี่ ยงจากการ ดํํ า เ นิิ น ง า น ด้ ว ย ร ะ บ บ ค อ ม พิิ ว เ ต อ ร ์ แ ล ะ ก า ร รัั ก ษ า ความปลอดภัยตางๆ ่ 2. เพื่อ ติด ตามประสิ ทธิผ ลของการนํ า นโยบายและแนวปฏิบ ต ิ ั ความปลอดภัยระบบเทคโนโลยีสารสนเทศไปใช้ 3. เพื่ อ ติ ด ตามและตรวจสอบการปรับ ปรุ ง ระบบเทคโนโลยี - สารสนเทศให้เป็ นไปตามมาตรฐานทีกรมสรรพากรกําหนด ่
  • 4. วัตถุประสงค ์ 4. เพื่อ นํ า ผลการตรวจสอบมาใช้ ในการปรับ ปรุ ง แนวทางการ ตรวจสอบระบบเทคโนโลยสารสนเทศ ตรวจสอบระบบเทคโนโลยีสารสนเทศ (ICT Audit) ของ กรมสรรพากร ให้มีความเหมาะสมและทันสมัยตาม สถานการณ ์ 5. เ พื่ อ ใ ห้ ก า ร บ ริ ห า ร จั ด ก า ร ด้ า น ค ว า ม ป ล อ ด ภั ย ข อ ง ร ะ บ บ เทคโนโลยี ส ารสนเทศมี คุ ณ ภาพตามมาตรฐานด้ านความ ปลอดภัยทีกรมสรรพากรกําหนด ่
  • 5. ประโยชน์ 1 . ส า ม า ร ถ ป้ อ ง กั น ค ว บ คุ ม แ ล ะ เ ก็ บ รั ก ษ า สิ น ท รั พ ย ์ ข อ ง กรมสรรพากร 2. ผู้ใช้งานเกิดความมั่นใจในความถูกต้อง ความเชื่อถือได้ของ ขอมู ล และความพรอมในการใชระบบคอมพวเตอรของ ข้ อมล และความพร้ อมในการใช้ ระบบคอมพิ ว เตอร ์ของ กรมสรรพากร 3. 3 ส่ งเสริิม ใ ้ การใช้ ทรัพ ย กรของกรมสรรพากรเป็ นไปอย่ างมีี ส ให ใ ั ์ ส ป็ ไป ประสิ ทธิภาพและประสิ ทธิผล
  • 6. ประโยชน์ ่ ํ 4. สนับสนุ นให้การดําเนินงานเป็ นไปตามนโยบายทีกาหนด 5. ลดการทํางานผิดพลาดทีเกิดจากความตังใจและไมตังใจ ่ ้ ่ ้ 6 สร้างความพึงพอใจแกผ้เสี ยภาษี และประชาชนทัวไปในการใช้ ่ 6. สรางความพงพอใจแกผูเสยภาษและประชาชนทวไปในการใช ่ บริการของกรมสรรพากร
  • 7. ขันตอนการดําเนินการ ICT Audit ้ 1 กําหนด ขอบเขต 6 2 รายงานผล ประเมิน การตรวจสอบ ความเสี่ ยง 5 3 ดําเนินการ วางแผน ตรวจสอบ การตรวจสอบ 4 พัฒนาแนวทาง การตรวจสอบ
  • 8. ขันตอนการดําเนินการ ICT Audit ้ 1. การกําหนดขอบเขตในการตรวจสอบ (Audit Area) 1.1 เทคโนโลยี : Technology 1 2 บคลากร : People 1.2 บุคลากร 1.3 กระบวนการ : Process 1.4 สภาพแวดลอม : Facilities ้
  • 9. ขันตอนการดําเนินการ ICT Audit ้ 2. การประเมินความเสี่ ยง (Risk Assessment) 2.1 Risk Analysis Framework 2 2 Risk Assessment Matrix 2.2 2.3 รายงานการประเมินความเสี่ ยง ตามขอบเขตการตรวจสอบ 2.4 ตารางการประเมินความเสี่ ยง ่ ระบบงานเพือดําเนินการตรวจสอบ
  • 10. ขันตอนการดําเนินการ ICT Audit ้ 3. การวางแผนการตรวจสอบ (Audit Plan) 3.1 บุคลากรทีเกียวของ ่ ่ ้ 3 2 ระยะเวลา 3.2 3.3 งบประมาณ 3.4 การฝึ กอบรม
  • 11. ขันตอนการดําเนินการ ICT Audit ้ 4. การพัฒนาแนวทางในการตรวจสอบ (Audit Procedure) 4.1 เทคโนโลยี : Technology 4 2 บคลากร : People 4.2 บุคลากร 4.3 กระบวนการ : Process 4.4 สภาพแวดลอม : Facilities ้
  • 12. ขันตอนการดําเนินการ ICT Audit ้ 5. ดําเนินการตรวจสอบ (Performing the Audit) 5.1 การตรวจทานและวิเคราะหเอกสาร ์ 5 2 การสั มภาษณ ์ 5.2 การสมภาษณ 5.3 การดูหน้าจอผูใช้งาน ้ 5.4 การใช้เครืองมือ ่
  • 13. ขันตอนการดําเนินการ ICT Audit ้ 6. การรายงานผลการตรวจสอบ (Audit Report) 6.1 รายงานดานเทคโนโลยี : Technology ้ 6.2 รายงานดานบุคลากร 6 2 รายงานดานบคลากร : People ้ 6.3 รายงานดานกระบวนการ : Process ้ 6.4 รายงานดานสภาพแวดลอม : Facilities ้ ้ 6.5 รายงานสรุประบบงานทีตรวจสอบ ่
  • 14. แผนการดําเนินการ ICT Audit 1. การกําหนดขอบเขตฯ 2. การประเมินความเสี่ ยง การปร เมนความเสยง 3. การวางแผนการตรวจสอบ 4. การพัฒนาแนวทางฯ 5. ดาเนนการตรวจสอบ ดําเนินการตรวจสอบ 6. การรายงานผลการตรวจสอบ กําลังดําเนินการ ดําเนินการแลว ้ 2549 2550 2551 รอดําเนินการ
  • 15. สรุปรายละเอียดขันตอนดําเนินการ ้ 1. กําหนดขอบเขตในการตรวจสอบ (Audit Area) ( ) 2. การประเมินความเสี่ ยง (Risk Assessment) 5 ระดับ ระดับ 5 ความเสี่ ยงมากทีสุด ่ ระดับ 4 ความเสี่ ยงมาก ระดับ 3 ความเสี่ ยงปานกลาง ระดับ ั 2 ความเสี่ ยงน้ อย สี ระดับ 1 ความเสี่ ยงน้อยสุด 3. 3 การวางแผนการตรวจสอบ (Audit Plan)
  • 16. สรุปรายละเอียดขันตอนดําเนินการ ้ 4. แนวทางการในการตรวจสอบ (Audit Procedure) 4 ดาน้ 4.1 People : เจ้าหน้าทีภายใน และบคคลภายนอก เจาหนาทภายใน แล บุคคลภายนอก ่ 4.2 Technology : Hardware Software Network Security 4.3 Process 4 4 Facility 4.4 5. ดําเนินการตรวจสอบ (Performing the Audit) 6. การรายงานผลการตรวจสอบ (Audit Report)
  • 17. การตรวจสอบระบบสารสนเทศ และการสื่ อสารกรมสรรพากร (ICT Audit) Audit) เจ้าหน้ าทีบริหาร ่ เจ้าหน้าทีดแลระบบความ เจาหนาทดูแลร บบความ ่ หัวหน้ าหน่ วยของแตละ ั ่ ระบบความปลอดภัย ผู้บริหารระดับสูง ปลอดภัยและสารสนเทศ หน่วยงาน (สภ.,สท.,สส.) สภ. สท. สส.) และสารสนเทศ กํ า หนดเจ้ าหน้ าที่ ดู แ ลระบบความ ปลอดภัยสารสนเทศประจําหน่วยงาน เพื่อ ดํา เนิ น การประเมิน ความเสี่ ยงฯ ของหน่วยงาน ไมผาน ่ ่ ตรวจแบบ ดํ า เนิ น การประเมิ น ประเมินความเสี่ ยงฯ ค ว า ม เ สี่ ย ง ค ว า ม ของเจ้าหน้าที่ ปลอดภัย สารสนเทศ ดูแลระบบฯ ดแลระบบฯ สงแบบประเมน ส่งแบบประเมิน ของหน่วยงาน ของหนวยงาน ผาน ่ รั บ ร อ ง แ บ บ ป ร ะ เ มิ น รับ รองผลการประเมิน ค ว า ม เ สี่ ย ง ฯ ข อ ง ค ว า ม เ สี่ ย ง ฯ ข อ ง เจ้าหน้าทีดูแลระบบฯ ่ หน่วยงาน ตรวจสอบผลการ ตรวจสอบผลการ ตรวจสอบผลการ ประ เมิ น คว า มเสี่ ยง ฯ ประ เมิ น คว า มเสี่ ยง ฯ ประ เมิ น คว า มเสี่ ยง ฯ ของหน่วยงาน ของหน่ วยงาน และ ของกรมสรรพากร หน่วยงานในสั งกัด รายงาน รายงาน รายงาน
  • 18. การตรวจสอบระบบสารสนเทศ และการสื่ อสารกรมสรรพากร (ICT Audit) Audit) เจ้าหน้าที่ี หัวหน้างานตรวจราชการ ผู้ตรวจราชการ ผู้บริหารระดับสูง งานตรวจราชการ ดําเนินการ กํา หนดเจ้ าหน้ าที่ง านตรวจราชการ เพื่ อ ดํ า เนิ น การตรวจสอบประเมิ น ความเสยงฯ ของหน่วยงาน ความเสี่ ยงฯ ของหนวยงาน ไมผาน ่ ่ ดํ า เนิ น การประเมิ น ตรวจแบบ ค ว า ม เ สี่ ย ง ค ว า ม ประเมินความเสี่ ยงฯ ปลอดภัย สารสนเทศ ของเจ้าหน้าที่ ของหน่วยงาน ของหนวยงาน สงแบบประเมน ส่งแบบประเมิน ดูแลระบบฯ ดแลร บบฯ ผาน ่ รั บ ร อ ง แ บ บ ป ร ะ เ มิ น รับ รองผลการประเมิน ค ว า ม เ สี่ ย ง ฯ ข อ ง ค ว า ม เ สี่ ย ง ฯ ข อ ง เจ้าหน้าทีดูแลระบบฯ ่ หน่วยงาน ตรวจสอบผลการ ตรวจสอบผลการ ตรวจสอบผลการ ประ เมิ น คว า มเสี่ ยง ฯ ประ เมิ น คว า มเสี่ ยง ฯ ประ เมิ น คว า มเสี่ ยง ฯ ของหน่ วยงาน และ ของกรมสรรพากร ของหน่วยงาน หน่วยงานในสั งกัด รายงาน รายงาน รายงาน
  • 19. การประเมินความเสี่ ยงตามระเบียบกรมสรรพากร 3 ฉบับ acl0101 การบริหารจัดการระบบเทคโนโลยีสารสนเทศและ การสอสาร การสื่ อสาร (60 เปอรเซ็นต) เปอรเซนต) ์ ์ acl0201 การใช้ระบบคอมพิวเตอรของกรมสรรพากร ์ อยางปลอดภย อยางปลอดภัย (30 เปอรเซ็นต) ่ เปอรเซนต) ์ ์ acl0301 การใช้คอมพิวเตอรเพือรับส่งหนังสื อและขาวสาร ์ ่ ่ อิเล็็กทรอนิิกส์ (10 เปอรเซ็็นต) ิ ป ์ ์
  • 20. Q & A