บทท�� 1ภาพในแนวกว�างของ

การควบค�มระบบสารสนเทศ

เทคโนโลยี�สารสนเทศและการส��อสารค�ออะไร

เทคโนโลยี�สารสนเทศและการส��อสาร (Information and Communication Technology : ICT) ค�อ เทคโนโลยี�ท�กด้�านท��เข้�ามาร�วมก�นในกระบวนการจั�ด้เก�บ สร�าง และส��อสารสารสนเทศ ด้�งน�!นจั"งครอบคล�มเทคโนโลยี�ต่�างๆ ท��ใช้�ในกระบวนการข้�างต่�น เช้�น คอมพิ'วเต่อร( อ�ปกรณ์(จั�ด้เก�บข้�อม+ล บ�นท"กและส�บค�นเคร�อข้�ายีส��อสารข้�อม+ล อ�ปกรณ์(ส��อสารและโทรคมนาคม เป,นต่�น

องค�ประกอบของระบบสารสนเทศระบบสารสนเทศ (Information System) ค�อ ระบบการจั�ด้การข้�อม+ลจั-านวนมากให้�เห้ล�อสารสนเทศจั-านวนน�อยี เพิ��อช้�วยีในการด้-าเน'นธุ�รก'จัและการจั�ด้ส'นใจั ม� 6 องค(ประกอบ ด้�งน�!1. ฮาร(ด้แวร( (Hardware)2. ซอฟต่(แวร( (Software)3. ข้�อม+ล (Data)4. กระบวนการว'ธุ� (Procedures)5. บ�คลากร (People ware)6. เคร�อข้�ายีและการส��อสารข้�อม+ล (Network and Data Communication)

ความจำ"าเป#นส"าหร%บการควบค�มและการตรวจำสอบระบบสารสนเทศ

ในการท-าความเข้�าใจัเก��ยีวก�บการควบค�มและต่รวจัสอบระบบสารสนเทศ ส'�งท��ต่�องทราบประกอบด้�วยี ค�อ

- ทร�พิยี(ส'น (Asset)- ภั�ยีค�กคาม (Threat)- ผู้+�ท��ก�อให้�เก'ด้ภั�ยีค�กคาม (Threat

agent)- ช้�องโห้ว� (Vulnerability)- การควบค�ม (Control)- การต่รวจัสอบระบบสารสนเทศ

(Audit)

บ�คคลท��ก'อให�เก(ดภ%ยีค�กคามประเภัทข้องบ�คคลท��ก�อให้�เก'ด้ภั�ยี

ค�กคามก�บระบบสารสนเทศประกอบด้�วยี- แฮกเกอร( (Hacker)- แครกเกอร( (Cracker)- ผู้+�ก�อให้�เก'ด้ภั�ยีม�อให้ม� (Script

kiddies)- เจั�าห้น�าท��ข้ององค(กร

(Employees)- ผู้+�ก�อการร�ายีทางคอมพิ'วเต่อร(

(Cyber terrorist)

ว%ตถุ�ประสงค�หล%กของการควบค�มระบบสารสนเทศ

การควบค�ม ค�อ กระบวนการท��ถู+กต่'ด้ต่�!งจัากความต่�องการข้องคณ์ะกรรมการบร'ห้าร ผู้+�บร'ห้าร และบ�คคากรภัายีใต่�การก-าก�บข้องบ�คคลข้�างต่�นเพิ��อก�อให้�เก'ด้ความม��นใจัในความส-าเร�จัข้องว�ต่ถู�ประสงค(ห้ล�กข้องการควบค�มระบบสารสนเทศ 4 ว�ต่ถู�ประสงค(ห้ล�กค�อ

- เพิ��อร�กษาทร�พิยี(ส'นให้�ปลอด้ภั�ยี (Asset safeguarding)

- ความสมบ+รณ์(ข้องข้�อม+ล (Data integrity)- ความครบถู�วนถู+กต่�องข้องข้�อม+ล- ความม�ประส'ทธุ'ภัาพิและประส'ทธุ'ผู้ลข้องระบบ

(System efficiency and effectiveness)

ว%ตถุ�ประสงค�ของการร%กษาความปลอดภ%ยีของทร%พยี�ส(น

ทร�พิยี(ส'นทางสารสนเทศข้ององค(การประกอบด้�วยีฮาร(ด้แวร( ซอฟต่(แวร( อ�ปกรณ์(ประกอบด้�วยี คน(ความร+ �) แฟ7มข้�อม+ล เอกสารประกอบระบบ และผู้+�ข้ายี ด้�งน�!นการร�กษาทร�พิยี(ส'นถู�อเป,นส'�งส-าค�ญอยี�างมาก

1. ว�ต่ถู�ประสงค(ความสมบ+รณ์(ข้องข้�อม+ล ม� 3 ป9จัจั�ยี- ม+ลค�าข้ององค(ประกอบข้องข้�อม+ลส-าห้ร�บการ

ต่�ด้ส'นใจั- องค(ประกอบข้องข้�อม+ลถู+กแบ�งป9นระห้ว�างผู้+�

ต่�ด้ส'นใจั- ม+ลค�าองค(ประกอบข้�อม+ลต่�อค+�แข้�ง

2. ว�ต่ถู�ประสงค(ด้�านประส'ทธุ'ผู้ลข้องระบบ3. ว�ต่ถู�ประสงค(ด้�านประส'ทธุ'ภัาพิข้องระบบ

ล%กษณะของการควบค�มก�อนท��ผู้+�ต่รวจัสอบจัะประเม'นความครบถู�วนและ

ถู+กต่�องห้ร�อความม�ประส'ทธุ'ภัาพิข้องการควบค�มระบบสารสนเทศน�!น ส'�งท��ม�ความส-าค�ญท��ส�ด้ค�อการท-าความเข้�าใจัเก��ยีวก�บล�กษณ์ะข้องการควบค�ม โด้ยีการควบค�มค�อ

- ระบบ (System)- ท��ป7องก�น (Prevent)- ส�บค�น (Detect)- แก�ไข้ (Correct)- เห้ต่�การณ์(ท��ผู้'ด้กฎห้มายี (Unlawful

events)

การร%กษาความปลอดภ%ยีการร�กษาความปลอด้ภั�ยี (Security) ค�อ การเข้�าถู"ง

ระบบและจั-าก�ด้การเข้�าถู"งระบบเฉพิาะผู้+�ท��ได้�ร�บอน�ม�ต่'เท�าน�!น โด้ยีการร�กษาความปลอด้ภั�ยีด้�งกล�าวม�เป7าห้มายีส�ด้ท�ายีค�อ การท-าให้�ระบบเช้��อถู�อได้�ห้ร�อความเช้��อถู�อได้�ข้องระบบ (System reliability) โด้ยีแนวค'ด้ด้�านการร�กษาความปลอด้ภั�ยีสารสนเทศประกอบด้�วยีห้ล�กการพิ�!นฐาน 3 ประการด้�วยีก�นด้�งน�!

1. การร�กษาความปลอด้ภั�ยีเป,นประเด้�นด้�านบร'ห้ารจั�ด้การ (Management issue)

2. ร+ปแบบเวลาในการร�กษาความปลอด้ภั�ยี (Time-based model of security)

3. การป7องก�นในเช้'งล"ก (Defense-in-Depth)

ผลของการใช้�ระบบสารสนเทศต'อการควบค�มภายีใน

1. การแบ�งแยีกห้น�าท��2. การก-าห้นด้อ-านาจัและความร�บผู้'ด้ช้อบ3. พิน�กงานท��เช้��อถู�อได้�และม�ค�ณ์ภัาพิส+ง4. อ-านาจัอน�ม�ต่'5. ความเพิ�ยีงพิอข้องเอกสารและเรคคอร(ด้6. การควบค�มทางกายีภัาพิต่�อทร�พิยี(ส'นและ

เรคคอร(ด้7. ความเพิ�ยีงพิอข้องการควบค�มทางการ

บร'ห้าร8. การต่รวจัสอบการปฏิ'บ�ต่'งานซ"�งก�นและก�น9. การเปร�ยีบเท�ยีบรายีการท��บ�นท"กก�บ

ทร�พิยี(ส'น