แผนแม่บทเทคโนโลยีสารสนเทศ พ.ศ.2559-2563

141 (4) สรุปผลข้อเสนอแนะและแนวทางแก้ไขเพื่อลดความเสี่ยงที่ตรวจสอบได้ (5) มีการตรวจสอบและประเมินความเสี่ยงและให้จัดทำรายงานพร้อมข้อเสนอแนะ (6) มีมาตรการในการตรวจประเมินระบบสารสนเทศอย่างน้อย ดังนี้ (6.1) ควรกำหนดให้ผู้ตรวจสอบสามารถเข้าถึงข้อมูลที่จำเป็นต้องตรวจสอบได้ แบบอ่านได้อย่างเดียว (6.2) ในกรณีที่จำเป็นต้องเข้าถึงข้อมูลในแบบอื่นๆ ให้สร้างสำเนาสำหรับข้อมูล นั้ น เพื่ อให้ผู้ ตรวจสอบใช้งาน รวมทั้ งควรทำลายหรือลบโดยทันทีที่ ตรวจสอบเสร็จ หรือต้องจัดเก็บไว้โดยมีการป้องกันเป็นอย่างดี (6.3) ควรกำหนดให้มีการระบุและจัดสรรทรัพยากรที่ จำเป็นต้องใช้ในการ ตรวจสอบระบบบริหารจัดการความมั่นคงปลอดภัย (6.4) ควรกำหนดให้มีการเฝ้าระวังการเข้าถึงระบบโดยผู้ตรวจสอบ รวมทั้งบันทึก ข้อมูลล็อก (log) แสดงการเข้าถึงนั้ น ซึ่ งรวมถึงวันและเวลาที่ เข้าถึง ระบบงานที่สำคัญๆ (6.5) ในกรณีที่ มีเครื่ องมือสำหรับการตรวจประเมินระบบสารสนเทศ ควร กำหนดให้แยกการติดตั้งเครื่องมือที่ใช้ในการตรวจสอบออกจากระบบ ให้บริการจริง หรือระบบที่ ใช้ในการพัฒนา และมีการจัดเก็บป้องกัน เครื่องมือนั้นจากการเข้าถึงโดยไม่ได้รับอนุญาต 2. ประเภทของความเสี่ยงที่อาจเป็นอันตรายต่อระบบเทคโนโลยีสารสนเทศ ความเสี่ยงต่างๆ ในระบบเทคโนโลยีสารสนเทศสามารถแยกเป็นภัยต่าง ๆ ได้ 4 ประเภท ดังต่อไปนี้ (1) ภัยที่ เกิดจากเจ้าหน้าที่หรือบุคลากรของหน่วยงาน เช่น เจ้าหน้าที่ หรือบุคลากรของ หน่วยงานขาดความรู้ความเข้าใจในเครื่องมืออุปกรณ์คอมพิวเตอร์ ทั้งด้าน Hardware และ Software ซึ่งอาจทำให้ระบบเทคโนโลยีสารสนเทศเสียหาย ใช้งานไม่ได้ เกิดการชะงักงัน หรือหยุดทำงาน และส่งผลให้ไม่สามารถใช้งานระบบเทคโนโลยีสารสนเทศได้อย่างเต็ม ประสิทธิภาพ โดยมีแนวทางการดำเนินการเบื้องต้นเพื่อลดปัญหาความเสี่ยงที่จะเกิดขึ้นกับ ระบบเทคโนโลยีสารสนเทศไว้ ดังนี้ (1.1) จัดหลักสูตรอบรมเจ้าหน้าที่ของหน่วยงานให้มีความรู้ความเข้าใจใน ด้าน Hardware และ Software เบื้ องต้น เพื่ อลดความเสี่ ยงด้ าน Human error ให้น้อยที่สุด ทำให้เจ้าหน้าที่มีความรู้ความเข้าใจการใช้ และบริหารจัดการเครื่องมืออุปกรณ์ทางด้านสารสนเทศ ทั้งทางด้าน Hardware และ Software ได้มีประสิทธิภาพยิ่งขึ้น ทำให้ความเสี่ยงที่ เกิดจาก Human error ลดน้อยลง