Page 35 - การป้องกันและรักษาความปลอดภัยบนเครือข่าย
P. 35
การป้ องกันและรักษาความมั่นคงปลอดภัยบนเครือข่าย : บทที่ 2 กระบวนการในการรักษาความปลอดภัยข้อมูล
Auditor) และผู้ตรวจสอบระบบสารสนเทศภายนอก (IT/IS External Auditor) ซึ่งความ
แตกต่างก็คือ ผู้ตรวจสอบระบบสารสนเทศภายในนั้น เป็นพนักงานขององค์กรเองไม่
ได้มาจากคนนอก ปกติโดยผู้ตรวจสอบระบบสารสนเทศภายในจะสังกัดแผนกตรวจสอบ
ระบบสารสนเทศภายใน ซึ่งจะขึ้นตรงกับ Board of director มีหน้าที่ในการตรวจสอบ
ระบบสารสนเทศโดยรวมในองค์กร โดยมีความอิสระจากการควบคุมของฝ่ายระบบ
สารสนเทศ หรือ อิสระจากการควบคุมของ CIO ส่วนผู้ตรวจสอบระบบสารสนเทศ
ภายนอกนั้น องค์กรมักจะทําการจัดจ้างหน่วยงานมืออาชีพภายนอก (3rd Party
Security Audit Firm) มาทําหน้าที่เป็นผู้ตรวจสอบระบบสารสนเทศในมุมมองของคน
นอกองค์กร ซึ่งความแตกต่างที่เห็นได้ชัดเจน คือ ความเป็นมืออาชีพ และความเป็น
อิสระของ IT External Auditor กล่าวโดยสรุปคือ ทั้ง IT Internal Auditor และ IT
External Auditor ล้วนมีบทบาทสําคัญในการตรวจสอบระบบสารสนเทศขององค์กร แต่
อาจอยู่ในมุมมอง และ หน้าที่ที่แตกต่างกัน โดย IT Internal Auditor จะเน้นที่การ
ตรวจสอบเป็นระยะๆ ตามตารางการตรวจสอบประจําปี จุดมุ่งหมายโดยส่วนใหญ่เพื่อ
ตรวจสอบการปฏิบัติงานของฝ่ายสารสนเทศ ว่าเป็นไปตาม “IT Security Best
Practices” ต่างๆ เช่น ISO/IEC17799 หรือ ISO/IEC 27001 ตลอดจนการตรวจสอบ
ตาม IT Governance Framework เช่น CobiT 4.0 ของ ITGI (IT Governance
watermark
Institute) โดยนํามาเป็น Audit Guideline เป็นต้น ในส่วนของ IT External Audit
จุดมุ่งหมายจะเน้นไปที่ความปลอดภัยของระบบสารสนเทศในมุมมองของผู้เชี่ยวชาญ
ด้านความปลอดภัยข้อมูล โดยรูปแบบและเทคนิคของการตรวจสอบแบ่งออกเป็น 3
ระดับขั้นดังนี้
ขั้นตอนที่ 1 Best Practices Checklist or Interview Techniques
ขั้นตอนนี้เป็นขั้นตอนพื้นฐานที่ควรทําในเบื้องต้นก่อน บางครั้งเรานิยมเรียกว่า
“Gap Analysis” โดยใช้ ISO/IEC 27001 Best Practice หรือ CobiT Framework
นํามาประยุกต์เป็น Audit Checklist เพื่อนําไปสัมภาษณ์ (Interview session) การ
ตรวจสอบในขั้นตอนนี้มุ่งเน้นไปที่ PP (People and Process) ใน PPT (People,
27
