แบบสอบทานระบบการควบคุมภายในด้านระบบสารสนเทศ

ลำดับที่

รายการ

ผลการประเมิน

หมายเหตุ

มี/ใช่/

สมบูรณ์

ไม่มี/ไม่ใช่/

ไม่สมบูรณ์

ด้านนโยบาย

.๑ จัดทำนโยบายเป็นลายลักษณ์อักษรและลงนามโดยผู้บริหารของหน่วยงาน

มี

 

 

.๒ จัดทำนโยบายเกี่ยวกับการเข้าถึงหรือควบคุมการใช้งานสารสนเทศครอบคลุมทุกระดับได้แก่

-การเข้าถึงระบบสารสนเทศ

-การเข้าถึงระบบเครือข่าย

-การเข้าถึงระบบปฏิบัติการ

-การเข้าถึงโปรแกรมประยุกต์หรือ Application

มี
มี

 

 

.๓ กำหนดนโยบายเกี่ยวข้องกับการจัดทำระบบสำรองข้อมูล

มี

 

 

.๔ จัดทำแผนบริหารความเสี่ยงทางด้านสารสนเทศของหน่วยงาน

 

 

 

.๕ คำสั่งแต่งตั้งคณะกรรมการบริหารความเสี่ยงทางด้านสารสนเทศของหน่วยงาน

มี

 

 

.๖ การประกาศเผยแพร่นโยบายและข้อปฏิบัติให้ผู้ใช้งานทราบ เช่น ทาง Website หนังสือเวียน

มี

 

 

.๗ หน่วยงานมีการกำหนดผู้รับผิดชอบตามนโยบายที่ชัดเจนเป็นลายลักษณ์อักษร

มี

 

 

ด้านการควบคุมการเข้าถึงและควบคุมการใช้งาน

.๑ กำหนดสิทธิ์ในการเข้าถึงเป็นลายลักษณ์อักษรที่ชัดเจน

มี

 

 

๒.๒ ห้องปฏิบัติงานของฝ่ายสารสนเทศเป็นพื้นที่เฉพาะบุคคลที่ได้รับอนุญาตเท่านั้น

มี

 

 

๒.๓ สถานที่เก็บอุปกรณ์ที่เกี่ยวข้องกับสารสนเทศภายในมีการล็อคกุญแจเมื่อไม่มีการใช้งาน

มี

 

 

.๔ มีระบบการป้องกันกรณีฉุกเฉินเช่นเกิดอัครภัยโจรกรรมและอุทกภัย

มี

 

 

๒.๕ มีกฏข้อบังคับการปฏิบัติตนของเจ้าหน้าที่ขณะปฏิบัติงานที่ชัดเจนเช่นห้ามสูบบุหรี่หรือห้ามรับประทานอาหารเครื่องดื่มภายในห้องปฏิบัติการ

มี

 

 

 

๒.๖เครื่อง UPS(เครื่องสำรองไฟ) มีเพียงพออยู่ในสถานะพร้อมใช้งานเพื่อป้องกันข้อมูลสารสนเทศเสียหายกรณีไฟฟ้าดับ/ไฟฟ้าตก(เครื่องคอมพิวเตอร์แม่ข่ายในหน่วยบริการ)

มี

 

 

๒.๗ มีแผนและระบบการตรวจสอบบำรุงรักษาสายไฟฟ้าภายในห้องปฏิบัติการ,สายเคเบิล และอุปกรณ์คอมพิวเตอร์ Hardware ของหน่วยงานอยู่เสมอ

 

 

 

การเข้าถึงผู้ใช้งาน

.๑ หน่วยงานจัดทำคู่มือการปฏิบัติงานให้กับผู้ใช้ (User)

มี

 

 

.๒ หน่วยงานจัดให้มีการให้ความรู้ความเข้าใจกับผู้ปฏิบัติงานอย่างต่อเนื่องเช่นการเผยแพร่ทาง websiteจัดอบรม

มี

 

 

.๓ มีข้อกำหนดในการลงทะเบียนการเข้าใช้งานที่ชัดเจน

มี

 

 

.๔ มีการกำหนดในการลงทะเบียนในการอนุญาตให้เข้าใช้งานในระบบ

มี

 

 

.๕ มีหลักเกณฑ์ในการยกเลิก / เพิกถอนการอนุญาตให้เข้าใช้งานในระบบ

 

 

.๖ การใช้งาน ๑ คนต่อ ๑ User ไม่มีการใช้ร่วม

มี

 

 

.๗ กำหนดสิทธิในการใช้งานของ User แต่ละระดับชัดเจน

มี

 

 

การเข้าถึงระบบเครือข่าย

.๑ กำหนดสิทธิการใช้งานเฉพาะบริการที่ได้รับสิทธิเท่านั้น

มี

 

 

.๒ หน่วยงานกำหนดข้อปฏิบัติการเข้าถึงให้ผู้ใช้งานทราบ

มี

 

 

.๓ หน่วยงานมีการควบคุมการเชื่อมต่อ Terminal กับระบบคอมพิวเตอร์หลักอย่างรัดกุม

มี

 

 

.๔ ผู้ใช้งานรับทราบแนวปฏิบัติเกี่ยวกับการเข้าถึงบริการผ่านช่องทาง

) Website

) บันทึกแจ้งเวียน

) อื่นๆระบุ.....

มี

 

 

.๕ มีข้อกำหนดการยืนยันตัวบุคคลก่อนอนุญาตให้ผู้ใช้งานเชื่อมต่อเข้าระบบสารสนเทศ / เครือข่ายของหน่วยงาน

มี