Page 31 - ปรับ แนวนโยบายและแนวปฏิบัติ ใหม่ 2564 ทำebook

P. 31

๑๘

สวนที่ ๓

การตรวจสอบและประเมินความเสี่ยงดานสารสนเทศ

วัตถุประสงค

๑. มีการตรวจสอบและประเมินความเสี่ยงของระบบสารสนเทศ

๒. เปนการปองกันและลดระดับความเสี่ยงที่อาจจะเกิดขึ้นกับระบบสารสนเทศ

ผูรับผิดชอบ

๑. สํานักวิทยบริการและเทคโนโลยีสารสนเทศ มหาวิทยาลัยเทคโนโลยีราชมงคลสุวรรณภูมิ

๒. ผูดูแลระบบที่ไดรับมอบหมาย

๓. หนวยงานภายในมหาวิทยาลัย ที่รับผิดชอบดูแลระบบ

อางอิงมาตรฐาน

แนวปฏิบัติ

๑. ตรวจสอบและประเมินความเสี่ยงดานสารสนเทศ โดยมีเนื้อหา

๑.๑. ตรวจสอบและประเมินความเสี่ยงดานสารสนเทศที่อาจเกิดขึ้นกับระบบสารสนเทศ (Information

security audit and assessment) ปละ ๑ ครั้ง

๑.๒. ตรวจสอบและประเมินความเสี่ยงที่ดําเนินการโดยหนวยตรวจสอบภายใน เพื่อใหมหาวิทยาลัยได

ทราบถึงระดับความเสี่ยงและระดับความมั่นคงปลอดภัยสารสนเทศ

๒. มีแนวทางในการตรวจสอบและประเมินความเสี่ยงที่ตองคํานึงถึง

๒.๑. ทบทวนกระบวนการบริหารจัดการความเสี่ยง ปละ ๑ ครั้ง

๒.๒. ตรวจสอบและประเมินความเสี่ยงและใหจัดทํารายงานพรอมขอเสนอแนะ

๒.๓. ทบทวนนโยบายและมาตรการในการรักษาความมั่นคงปลอดภัยดานสารสนเทศ

ปละ ๑ ครั้ง

๒.๔. มีมาตรการในการตรวจประเมินระบบสารสนเทศ

(๑) กําหนดใหผูตรวจสอบสามารถเขาถึงขอมูลที่จําเปนตองตรวจสอบไดแบบอานอยางเดียว

(๒) ในกรณีที่จําเปนตองเขาถึงขอมูลในแบบอื่น ๆ ใหสรางสําเนาสําหรับขอมูลนั้นเพื่อใหผูตรวจสอบ

ใชงานรวมทั้งควรทําลายหรือตองจัดเก็บไวโดยมีการปองกันเปนอยางดี

(๓) กําหนดใหมีการระบุและจัดสรรทรัพยากรที่จําเปนตองใชในการตรวจสอบระบบบริหารจัดการ

ความมั่นคงปลอดภัย

26 27 28 29 30 31 32 33 34 35 36