NEW MANAGEMENT FORUM

Central Knowledge Society

ขั้นตอนการตรวจสอบ IT Audit ภาค 3

สวัสดี ครับ

วันนี้เรามาคุยกันต่อเกี่ยวกับการตรวจสอบภายในด้าน IT กันต่อนะครับ

 

การควบคุมการเข้าถึงทางกายภาพ

การควบคุมการเข้าทางกายภาพรวมถึงการควบคุมสิ่งแวดล้อมที่ทำงานของสภาพแวดล้อม IT ทั้งหมด และส่งผลกระทบต่อการใช้งานคอมพิวเตอร์ทั้งหมดต้นแบบควบคุมเหล่านี้ที่ออกแบบมาเพื่อป้องกันคอมพิวเตอร์ฮาร์ดแวร์และซอฟต์แวร์จากความเสียหายจากโจรกรรมและการเข้าถึงโดยไม่ได้รับอนุญาต การควบคุมการเข้าถึงสามารถทำงานได้ในระดับต่างๆ เช่น การจำกัดการเข้าถึงเว็บไซต์ของลูกค้าที่จะติดตั้ง ด้วยการ Keylock ในส่วนที่สำคัญๆของเครื่องคอมพิวเตอร์ส่วนบุคคล

ผู้ตรวจสอบด้าน IT ควรจะประเมินอย่างรวดเร็วของการควบคุมการเข้าถึงทางกายภาพ และการจำกัดการเข้าถึงทางกายภายพกับระบบไอที เพื่อช่วยลดความเสี่ยงของบุคคลที่ไม่ได้รับอนุญาตในการเข้าไปแก้ไขข้อมูลทางการเงิน

 

การควบคุมการอนุมัติ

การอนุมัติการควบคุมจะช่วยให้ ผู้ตรวจสอบเข้าใจว่า ใคร ผู้ใด มีอำนาจหน้าที่ของบุคคลที่ปรารถนาจะ ดำเนินการตามขั้นตอน หรือ การดำเนินงาน การควบคุมนี้ใช้สิทธิผ่าน การใช้รหัสผ่าน ลายเซ็นต์บัตรสมาร์ทการด์ ระบบการเข้ารหัสลับ ฯลฯ การควบคุมดังกล่าว ให้แน่ใจว่าเฉพาะผู้ีมีอำนาจมีการเข้าถึงระบบ และการใช้งานเพื่อเข้า และ/หรือเปลี่ยนแปลงรายการที่จะใช้ข้อมูลอื่นๆ

 

การควบคุมการเข้าถึงตรรกะ Logical Access Control

การควบคุมการเข้าถึงตรรกะมีไว้เพื่อป้องกันการใช้งานทางการเงินและการอ้างอิงไฟล์ข้อมูลจากการเข้าถึงเพื่อการแก้ไขหรือลบ การควบคุมการเข้าถึงตรรกะสามารถอยู่ได้ทั้งการติดตั้งและระดับโปรแกรมประยุกต์ การควบคุมภายในทั่วไป IT มีสภาพแวดล้อมที่จำกัด การเข้าถึงระบบปฎิบัติการทรัพยากรระบบ และการประยุกต์ใช้ ขณะที่การควบคุมระดับแอพลิเคชั่น จำกัด กิจกรรมของผู้ใช้ภายในโปรแกรมประยุกต์แต่ละกิจกรรม

การควบคุมการเข้าถึงตรรกะ นอกจากนี้ยังสามารถนำมาใช้เพื่อ จำกัด การใช้ระบบสาธารณูปโภคที่มีประสิทธิภาพ เช่น บรรณาธิการไฟล์ การควบคุมการเข้าถึง Logical มักจะใช้กับการควบคุมการเข้าถึงทางกายภาพเพื่อลดความเสี่ยงจากโปรแกรม และ ไฟล์ข้อมูลที่ถูกแก้ไขเพิ่มเติม โดยไม่มีอำนาจความสำคัญของการควบคุมการเข้าถึงตรรกะจะเพิ่มขึ้น ซึ่งการควบคุมการเข้าถึงทางกายภาพที่มีประสิทธิภาพ ตัวอย่างเช่น เมื่อระบบคอมพิวเตอร์ที่ใช้ประโยชน์จากเครือข่ายการสื่อสาร (LANs และ WANs) การดำรงอยู่ของการรักษาความปลอดภัยที่เพียงพอเข้าถึงตรรกะเป็นอย่างยิ่งที่สำคัญที่ลูกค้าจะใช้ประโยชน์จากเครือข่ายบริเวณกว้างและสิ่งอำนวยความสะดวกระดับโลก เช่น อินเตอร์เน็ต

รูปแบบที่พบมากที่สุดของการควบคุมการเข้าถึงตรรกะเป็นตัวระบุการเข้าสู่ระบบ (IDS) ตามด้วยตรวจสอบรหัสผ่าน สำหรับรหัสผ่านที่จะมีประสิทธิภาพจะต้องมีความเหมาะสมด้วยนโยบายการใช้รหัสผ่านและขั้นตอน ซึ่งเป็นที่รู้จักพนักงานทุกคนและยึดติดกับ เมนูข้อจำกัด จะมีประสิทธิภาพในการควบคุมการเข้าถึงการใช้งานและระบบสาธารณูปโภค

ระบบอาจจะสามารถควบคุมการเข้าถึงโดยการระบุผู้ใช้รายย่อยแต่ละรายผ่านทางเส้นทางของพวกเขาที่ไม่ซ้ำกัน รหัสล็อกอิน และแล้วมีรายละเอียดที่กำหนดไว้ล่วงหน้าของเมนูที่ได้รับอนุญาตสำหรับแต่ละไอที ผู้ตรวจสอบควรพิจารณาว่ามันจะง่ายสำหรับผู้ใช้ “แบ่งออก” จากเมนูระบบและการเพิ่มการเข้าถึงระบบปฎิบัติการ หรือ โปรแกรมประยุกต์อื่นๆ บางระบบคอมพิวเตอร์อาจจะสามารถควบคุมการเข้าถึงของผู้ใช้ไปยังโปรแกรมประยุกต์และแฟ้มข้อมูล โดยใช้สิทธิ์ของแฟ้มเหล่านี้ ให้แน่ใจว่าเฉพาะผู้ใช้เหล่านั้นที่มีการเข้าถึงที่เหมาะสม สิทธิสามารถอ่าน, เขียน, ลบหรือรันไฟล์

สุดท้ายนี้ เราขอเล่าเรื่อง IT Audit เพียงเท่านี้ก่อน เพื่อจะได้ไม่เบื่อตอนอ่าน เพราะอาจจะยาวเกินจนท้อใจ ดังนั้นถ้าแบ่งเป็นตอนๆ สั้น แบบอ่านเพลินๆ ตอนว่างๆ หรือ ช่วงนั่งรอจะดีกว่า เราก็จะแบ่งการเขียนออกเป็นหลายตอนหน่อยนะครับ ค่อยๆ อ่านกันไปครับ เบื่อก็พัก ว่างก็กลับมาอ่านใหม่

 

ขอให้ทุกๆ ท่านโชคดี ครับ

 

เอกกมล เอี่ยมศรี

ผู้เรียบเรียง

ekamol.eiamsri@windowslive.com

www.interfinn.com

กุมภาพันธ์ 28, 2012 - Posted by | IT Audit

ยังไม่มีความเห็น

ใส่ความเห็น

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / เปลี่ยนแปลง )

Twitter picture

You are commenting using your Twitter account. Log Out / เปลี่ยนแปลง )

Facebook photo

You are commenting using your Facebook account. Log Out / เปลี่ยนแปลง )

Google+ photo

You are commenting using your Google+ account. Log Out / เปลี่ยนแปลง )

Connecting to %s

%d bloggers like this: