Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

E risk ict_audit

815 views

Published on

  • Be the first to comment

E risk ict_audit

  1. 1. ความเป็ นมา o สนับสนุ นยุทธศาสตรของกรมสรรพากร ในการพัฒนาระบบ ์ เทคโนโลยีสารสนเทศและการสื่ อสาร (ICT) ในเชิงรุกฯ o ยกระดับคุณภาพและบริการในระดับ Integrated services และสอดคล้ องตามหลัก ธรรมาภิ บ าล เพื่ อ เป้ าหมายสะดวก รวดเร็็ว ทันสมัย โป งใส ตรวจสอบได้ ั ั โปร่ ใ ไ o ดําเนินการตามแนวทางการตรวจสอบระบบเทคโน- โลยี สารสนเทศ (ICT Audit) ภายใต้มาตรฐานสากล ได้แก่ BS7799, ISO/IEC17799, ISO/IEC27001, COSO, COBIT, ITIL และ NIST
  2. 2. วัตถุประสงค ์ 1. เพื่อ ประเมิน และตรวจสอบการควบคุ ม ความเสี่ ยงจากการ ดํํ า เ นิิ น ง า น ด้ ว ย ร ะ บ บ ค อ ม พิิ ว เ ต อ ร ์ แ ล ะ ก า ร รัั ก ษ า ความปลอดภัยตางๆ ่ 2. เพื่อ ติด ตามประสิ ทธิผ ลของการนํ า นโยบายและแนวปฏิบ ต ิ ั ความปลอดภัยระบบเทคโนโลยีสารสนเทศไปใช้ 3. เพื่ อ ติ ด ตามและตรวจสอบการปรับ ปรุ ง ระบบเทคโนโลยี - สารสนเทศให้เป็ นไปตามมาตรฐานทีกรมสรรพากรกําหนด ่
  3. 3. วัตถุประสงค ์ 4. เพื่อ นํ า ผลการตรวจสอบมาใช้ ในการปรับ ปรุ ง แนวทางการ ตรวจสอบระบบเทคโนโลยสารสนเทศ ตรวจสอบระบบเทคโนโลยีสารสนเทศ (ICT Audit) ของ กรมสรรพากร ให้มีความเหมาะสมและทันสมัยตาม สถานการณ ์ 5. เ พื่ อ ใ ห้ ก า ร บ ริ ห า ร จั ด ก า ร ด้ า น ค ว า ม ป ล อ ด ภั ย ข อ ง ร ะ บ บ เทคโนโลยี ส ารสนเทศมี คุ ณ ภาพตามมาตรฐานด้ านความ ปลอดภัยทีกรมสรรพากรกําหนด ่
  4. 4. ประโยชน์ 1 . ส า ม า ร ถ ป้ อ ง กั น ค ว บ คุ ม แ ล ะ เ ก็ บ รั ก ษ า สิ น ท รั พ ย ์ ข อ ง กรมสรรพากร 2. ผู้ใช้งานเกิดความมั่นใจในความถูกต้อง ความเชื่อถือได้ของ ขอมู ล และความพรอมในการใชระบบคอมพวเตอรของ ข้ อมล และความพร้ อมในการใช้ ระบบคอมพิ ว เตอร ์ของ กรมสรรพากร 3. 3 ส่ งเสริิม ใ ้ การใช้ ทรัพ ย กรของกรมสรรพากรเป็ นไปอย่ างมีี ส ให ใ ั ์ ส ป็ ไป ประสิ ทธิภาพและประสิ ทธิผล
  5. 5. ประโยชน์ ่ ํ 4. สนับสนุ นให้การดําเนินงานเป็ นไปตามนโยบายทีกาหนด 5. ลดการทํางานผิดพลาดทีเกิดจากความตังใจและไมตังใจ ่ ้ ่ ้ 6 สร้างความพึงพอใจแกผ้เสี ยภาษี และประชาชนทัวไปในการใช้ ่ 6. สรางความพงพอใจแกผูเสยภาษและประชาชนทวไปในการใช ่ บริการของกรมสรรพากร
  6. 6. ขันตอนการดําเนินการ ICT Audit ้ 1 กําหนด ขอบเขต 6 2 รายงานผล ประเมิน การตรวจสอบ ความเสี่ ยง 5 3 ดําเนินการ วางแผน ตรวจสอบ การตรวจสอบ 4 พัฒนาแนวทาง การตรวจสอบ
  7. 7. ขันตอนการดําเนินการ ICT Audit ้ 1. การกําหนดขอบเขตในการตรวจสอบ (Audit Area) 1.1 เทคโนโลยี : Technology 1 2 บคลากร : People 1.2 บุคลากร 1.3 กระบวนการ : Process 1.4 สภาพแวดลอม : Facilities ้
  8. 8. ขันตอนการดําเนินการ ICT Audit ้ 2. การประเมินความเสี่ ยง (Risk Assessment) 2.1 Risk Analysis Framework 2 2 Risk Assessment Matrix 2.2 2.3 รายงานการประเมินความเสี่ ยง ตามขอบเขตการตรวจสอบ 2.4 ตารางการประเมินความเสี่ ยง ่ ระบบงานเพือดําเนินการตรวจสอบ
  9. 9. ขันตอนการดําเนินการ ICT Audit ้ 3. การวางแผนการตรวจสอบ (Audit Plan) 3.1 บุคลากรทีเกียวของ ่ ่ ้ 3 2 ระยะเวลา 3.2 3.3 งบประมาณ 3.4 การฝึ กอบรม
  10. 10. ขันตอนการดําเนินการ ICT Audit ้ 4. การพัฒนาแนวทางในการตรวจสอบ (Audit Procedure) 4.1 เทคโนโลยี : Technology 4 2 บคลากร : People 4.2 บุคลากร 4.3 กระบวนการ : Process 4.4 สภาพแวดลอม : Facilities ้
  11. 11. ขันตอนการดําเนินการ ICT Audit ้ 5. ดําเนินการตรวจสอบ (Performing the Audit) 5.1 การตรวจทานและวิเคราะหเอกสาร ์ 5 2 การสั มภาษณ ์ 5.2 การสมภาษณ 5.3 การดูหน้าจอผูใช้งาน ้ 5.4 การใช้เครืองมือ ่
  12. 12. ขันตอนการดําเนินการ ICT Audit ้ 6. การรายงานผลการตรวจสอบ (Audit Report) 6.1 รายงานดานเทคโนโลยี : Technology ้ 6.2 รายงานดานบุคลากร 6 2 รายงานดานบคลากร : People ้ 6.3 รายงานดานกระบวนการ : Process ้ 6.4 รายงานดานสภาพแวดลอม : Facilities ้ ้ 6.5 รายงานสรุประบบงานทีตรวจสอบ ่
  13. 13. แผนการดําเนินการ ICT Audit 1. การกําหนดขอบเขตฯ 2. การประเมินความเสี่ ยง การปร เมนความเสยง 3. การวางแผนการตรวจสอบ 4. การพัฒนาแนวทางฯ 5. ดาเนนการตรวจสอบ ดําเนินการตรวจสอบ 6. การรายงานผลการตรวจสอบ กําลังดําเนินการ ดําเนินการแลว ้ 2549 2550 2551 รอดําเนินการ
  14. 14. สรุปรายละเอียดขันตอนดําเนินการ ้ 1. กําหนดขอบเขตในการตรวจสอบ (Audit Area) ( ) 2. การประเมินความเสี่ ยง (Risk Assessment) 5 ระดับ ระดับ 5 ความเสี่ ยงมากทีสุด ่ ระดับ 4 ความเสี่ ยงมาก ระดับ 3 ความเสี่ ยงปานกลาง ระดับ ั 2 ความเสี่ ยงน้ อย สี ระดับ 1 ความเสี่ ยงน้อยสุด 3. 3 การวางแผนการตรวจสอบ (Audit Plan)
  15. 15. สรุปรายละเอียดขันตอนดําเนินการ ้ 4. แนวทางการในการตรวจสอบ (Audit Procedure) 4 ดาน้ 4.1 People : เจ้าหน้าทีภายใน และบคคลภายนอก เจาหนาทภายใน แล บุคคลภายนอก ่ 4.2 Technology : Hardware Software Network Security 4.3 Process 4 4 Facility 4.4 5. ดําเนินการตรวจสอบ (Performing the Audit) 6. การรายงานผลการตรวจสอบ (Audit Report)
  16. 16. การตรวจสอบระบบสารสนเทศ และการสื่ อสารกรมสรรพากร (ICT Audit) Audit) เจ้าหน้ าทีบริหาร ่ เจ้าหน้าทีดแลระบบความ เจาหนาทดูแลร บบความ ่ หัวหน้ าหน่ วยของแตละ ั ่ ระบบความปลอดภัย ผู้บริหารระดับสูง ปลอดภัยและสารสนเทศ หน่วยงาน (สภ.,สท.,สส.) สภ. สท. สส.) และสารสนเทศ กํ า หนดเจ้ าหน้ าที่ ดู แ ลระบบความ ปลอดภัยสารสนเทศประจําหน่วยงาน เพื่อ ดํา เนิ น การประเมิน ความเสี่ ยงฯ ของหน่วยงาน ไมผาน ่ ่ ตรวจแบบ ดํ า เนิ น การประเมิ น ประเมินความเสี่ ยงฯ ค ว า ม เ สี่ ย ง ค ว า ม ของเจ้าหน้าที่ ปลอดภัย สารสนเทศ ดูแลระบบฯ ดแลระบบฯ สงแบบประเมน ส่งแบบประเมิน ของหน่วยงาน ของหนวยงาน ผาน ่ รั บ ร อ ง แ บ บ ป ร ะ เ มิ น รับ รองผลการประเมิน ค ว า ม เ สี่ ย ง ฯ ข อ ง ค ว า ม เ สี่ ย ง ฯ ข อ ง เจ้าหน้าทีดูแลระบบฯ ่ หน่วยงาน ตรวจสอบผลการ ตรวจสอบผลการ ตรวจสอบผลการ ประ เมิ น คว า มเสี่ ยง ฯ ประ เมิ น คว า มเสี่ ยง ฯ ประ เมิ น คว า มเสี่ ยง ฯ ของหน่วยงาน ของหน่ วยงาน และ ของกรมสรรพากร หน่วยงานในสั งกัด รายงาน รายงาน รายงาน
  17. 17. การตรวจสอบระบบสารสนเทศ และการสื่ อสารกรมสรรพากร (ICT Audit) Audit) เจ้าหน้าที่ี หัวหน้างานตรวจราชการ ผู้ตรวจราชการ ผู้บริหารระดับสูง งานตรวจราชการ ดําเนินการ กํา หนดเจ้ าหน้ าที่ง านตรวจราชการ เพื่ อ ดํ า เนิ น การตรวจสอบประเมิ น ความเสยงฯ ของหน่วยงาน ความเสี่ ยงฯ ของหนวยงาน ไมผาน ่ ่ ดํ า เนิ น การประเมิ น ตรวจแบบ ค ว า ม เ สี่ ย ง ค ว า ม ประเมินความเสี่ ยงฯ ปลอดภัย สารสนเทศ ของเจ้าหน้าที่ ของหน่วยงาน ของหนวยงาน สงแบบประเมน ส่งแบบประเมิน ดูแลระบบฯ ดแลร บบฯ ผาน ่ รั บ ร อ ง แ บ บ ป ร ะ เ มิ น รับ รองผลการประเมิน ค ว า ม เ สี่ ย ง ฯ ข อ ง ค ว า ม เ สี่ ย ง ฯ ข อ ง เจ้าหน้าทีดูแลระบบฯ ่ หน่วยงาน ตรวจสอบผลการ ตรวจสอบผลการ ตรวจสอบผลการ ประ เมิ น คว า มเสี่ ยง ฯ ประ เมิ น คว า มเสี่ ยง ฯ ประ เมิ น คว า มเสี่ ยง ฯ ของหน่ วยงาน และ ของกรมสรรพากร ของหน่วยงาน หน่วยงานในสั งกัด รายงาน รายงาน รายงาน
  18. 18. การประเมินความเสี่ ยงตามระเบียบกรมสรรพากร 3 ฉบับ acl0101 การบริหารจัดการระบบเทคโนโลยีสารสนเทศและ การสอสาร การสื่ อสาร (60 เปอรเซ็นต) เปอรเซนต) ์ ์ acl0201 การใช้ระบบคอมพิวเตอรของกรมสรรพากร ์ อยางปลอดภย อยางปลอดภัย (30 เปอรเซ็นต) ่ เปอรเซนต) ์ ์ acl0301 การใช้คอมพิวเตอรเพือรับส่งหนังสื อและขาวสาร ์ ่ ่ อิเล็็กทรอนิิกส์ (10 เปอรเซ็็นต) ิ ป ์ ์
  19. 19. Q & A
  20. 20. Thank You…  Security Group

×