วันเสาร์ที่ 10 ตุลาคม พ.ศ. 2552

IT Security Audit ตอน 5

การนำ COBIT Framework มาใช้ในการควบคุมภายในสำหรับงานเทคโนโลยีสารสนเทศ
ในปัจจุบันองค์กรต่างๆ ต่างเล็งเห็นถึงประโยชน์ของเทคโนโลยีที่จะนำมาใช้ในการดำเนินงาน อย่างไรก็ดี องค์กรที่ได้รับความสำเร็จอย่างแท้จริงจากการนำเทคโนโลยีใช้ให้เกิดประโยชน์จะได้แก่องค์กรที่ผู้บริหารมีความรู้ความเข้าใจที่จะจัดการกับความเสี่ยงด้านการนำเทคโนโลยีมาใช้ในองค์กรอย่างเหมาะส การบริหารและจัดการความเสี่ยงด้านเทคโนโลยีจึงกลายเป็นส่วนที่มีนัยสำคัญในการบริหารจัดการความเสี่ยงขององค์กรโดยรวม โดยเฉพาะองค์กรที่มุ่งสู่การเป็นบรรษัทภิบาล (Good Corporate Governance) CoBIT หรือ Control Objectives for Information and Related Technologyเป็นทั้งแนวคิดและแนวทางการปฎิบัติ (Framework) เพื่อการควบคุมภายในที่ดีด้านเทคโนโลยีสำหรับองค์กรต่างๆที่จะใช้อ้างอิงถึงแนวทางการปฎิบัติที่ดี (Best Practice)ซึ่งสามารถนำไปปรับใช้ได้ในทุกองค์กรสำหรับกิจกรรมที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ โดยโครงสร้างของ CoBITâ ออกแบบอยู่บนพื้นฐานของกระบวนการทางธุรกิจ Business Process ซึ่งแบ่งเป็น 4 กระบวนการหลัก (Domain) ได้แก่ การวางแผนและการจัดการองค์กร (Planning and Organization) การจัดหาและติดตั้ง (Acquisition and Implementation) การส่งมอบและบำรุงรักษา (Delivery and Support) การติดตามผล (Monitoring)
ในแต่ละกระบวนการหลักข้างต้น CoBIT แสดงวัตถุประสงค์ของการควบคุมหลัก ( High-level Control Objectives รวมถึง34 หัวข้อ และในแต่ละหัวข้อจะประกอบด้วยวัตถุประสงค์ของการควบคุมย่อยลงไปอีกขั้นหนึ่ง (Detailed Control Objectives) รวมถึง 318หัวข้อย่อย พร้อมทั้งแนวทางการตรวจสอบ (Audit Guidelines) สำหรับแต่ละหัวข้ออีกด้วย ในแต่ละหัวข้อของวัตถุประสงค์ของการควบคุม CoBITแสดงถึงความสัมพันธ์ต่อปัจจัย 2 ประการ ได้แก่
- คุณภาพของระบบข้อมูล ประการ (Information Criteria)
- ทรัพยากรด้านเทคโนโลยี (IT Resources) 5 ประเภท
นอกจากโครงสร้างของ CoBIT ดังกล่าวข้างต้นแล้ว CoBIT ยังให้แนวทางสำหรับผู้บริหาร (Management Guidelines) เพื่อใช้ในการในการวัดผลการนำ CoBIT ไปใช้ในองค์กร โดยประกอบด้วย 4 ปัจจัยหลัก ได้แก่
• Maturity Model
• Critical Success Factors
• Key Goal Indicators
• Key Performance Indicators

ไม่มีความคิดเห็น:

แสดงความคิดเห็น

แสดงความคิดเห็น