Copy of PrivacyNote-2.png
 

บริการตรวจสอบระบบเทคโนโลยีสารสนเทศ (IT Audit)

AlphaSec มีรายละเอียดการตรวจสอบระบบเทคโนโลยีสารสนเทศ โดยผู้ตรวจสอบ CISA, CPIAT ดังนี้

1.จัดทำแผนการตรวจสอบในรายละเอียด (Audit Plan) โดยกำหนดวัตถุประสงค์ ขอบเขตการตรวจสอบ แผนงาน ขั้นตอนรายละเอียดการดำเนินงาน ซึ่งครอบคลุม 3 งานตรวจสอบหลักสำหรับระบบงาน ดังต่อไปนี้
 

งานตรวจสอบการควบคุมทั่วไปเทคโนโลยีสารสนเทศ (ITGCs) อ้างอิงการควบคุมหลัก (Key controls) ตามมาตรฐาน ISO/IEC 27001: 2013 Information Security Management System (ISMS) ทั้งนี้ จะครอบคลุมถึงการกำกับดูแลและบริหารจัดการเทคโนโลยีสารสนเทศระดับองค์กร ได้แก่

  • การจัดทำแผนกลยุทธ์และงบประมาณ

  • การบริหารและจัดการความเสี่ยง

  • การวัดผลและการประเมินผลการปฏิบัติงาน และ

  • การรายงานการปฏิบัติตามนโยบายที่เกี่ยวข้อง

 

งานตรวจสอบการควบคุมเฉพาะระบบงาน (IT Application Controls) โดยจะดำเนินการตรวจสอบเฉพาะการควบคุมที่ถูกออกแบบไว้ในโปรแกรมระบบงาน

และมีการควบคุมโดยอัตโนมัติ (Automated Controls) เพื่อให้มั่นใจว่าระบบมีการควบคุมอย่างเพียงพอ ถูกต้อง และเชื่อถือได้ ได้แก่

  • การควบคุมสิทธิการเข้าถึง (Logical Access Controls)

  • กฎเกณฑ์ของระบบกระแสงานอัตโนมัติ (Automated Work Flow Rules) เช่น PR/PO approval workflow

  • การตรวจสอบยืนยันตามค่าที่กำหนดไว้ (Field entries being enforced based on predefined values) เช่น การตรวจเช็คระดับวงเงินสินเชื่อโดยอัตโนมัติ การกำหนดค่าการลงบัญชีแบบอัตโนมัติ และการกำหนดค่าตรวจขาดหรือเกิน (Tolerance Limit) ของผลต่างของราคาและปริมาณสำหรับการตั้งหนี้ในระบบ (3-way match) เป็นต้น

  • การคำนวณ (Automated calculations) เช่น การคำนวณราคาขาย การคำนวณต้นทุนของวัตถุดิบและสินค้า

 

งานตรวจสอบด้านการคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Audit) เพื่อให้มั่นใจว่า องค์กรมีมาตรการคุ้มครองข้อมูลส่วนบุคคลทางด้าน      เทคโนโลยีสารสนเทศที่เพียงพอและเหมาะสม เพื่อป้องการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาตหรือผิดวัตถุประสงค์ และให้เป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 โดยครอบคลุมในหัวข้อ ดังต่อไปนี้

  • การจัดทำนโยบายการคุ้มครองข้อมูลส่วนบุคคล (Data Protection Policy) และการแจ้งข้อมูลการประมวลผลข้อมูล (Privacy Notice)

  • การจัดทำบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคล

  • การประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล

  • การบริหารจัดการในการขอและถอนความยินยอม (รวมถึง Cookie Consent)

  • การบริหารจัดการตามสิทธิของเจ้าของข้อมูลส่วนบุคคล

  • การลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้ เมื่อพ้นกำหนดระยะเวลาการเก็บรักษา หรือที่ไม่เกี่ยวข้องหรือเกินความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคลนั้น หรือตามที่เจ้าของข้อมูลส่วนบุคคลร้องขอ หรือที่เจ้าของข้อมูลส่วนบุคคลได้ถอนความยินยอม

  • การบริหารจัดการเหตุการละเมิดข้อมูลส่วนบุคคล

  • การจัดทำข้อตกลงระหว่างผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูล (Data Processing Agreement)
     

2.ดำเนินการตรวจสอบงานด้านเทคโนโลยีสารสนเทศตามขอบเขตการตรวจสอบในข้อ 1 ซึ่งครอบคลุมงานตรวจสอบการควบคุมทั่วไปเทคโนโลยีสารสนเทศ งานตรวจสอบการควบคุมเฉพาะระบบงาน และงานตรวจสอบด้านการคุ้มครองข้อมูลส่วนบุคคล

3.ประชุมหารือปิดการตรวจและสรุปผลการตรวจสอบกับเจ้าหน้าที่และฝ่ายบริหารขององค์กรเพื่อยืนยันในความถูกต้องของประเด็นที่ตรวจพบและหาแนวทางในการแก้ไข พร้อมจัดทำร่างรายงานผลการตรวจสอบ (Draft Audit Report) ที่แสดงข้อตรวจพบ คำชี้แจงของผู้บริหารที่เกี่ยวข้องขององค์กร ความเสี่ยง ผลกระทบ และข้อเสนอแนะในการปรับปรุงแก้ไขที่ชัดเจนและสามารถนำไปปฏิบัติได้ให้กับผู้บริหารขององค์กรทราบ

4.จัดทำรายงานผลการตรวจสอบฉบับสมบูรณ์ (Final Audit Report) พร้อมการนำเสนอรายงานดังกล่าวให้คณะกรรมการตรวจสอบทราบ รวมทั้งการให้คำปรึกษา ตอบปัญหา ข้อหารือต่าง ๆ ของคณะกรรมการตรวจสอบ เพื่อการปรับปรุงซึ่งเป็นประโยชน์ต่อการปฏิบัติงานขององค์กร