แผนการตรวจสอบด้านการรักษาความมั่นคงปลอดภัยไซเบอร์

ประจำป& …2565…… ครั้งที่ ....1....

(Cyber Security Audit Plan)

เพื่อตรวจประเมินความสอดคลjองของการดำเนินงานดjานการรรักษาความมมั่นคงปลอดภัยไซเบอร_ที่มตี sอ:
1) พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร_ พ.ศ. ๒๕๖๒
2) กรอบมาตรฐานดjานการรักษาความมั่นคงปลอดภัยไซเบอร_
วัตถุประสงค_การตรวจประเมิน (Objective) : 3) นโยบาย ประมวลแนวทางปฏิบัตดิ jานการรักษาความมั่นคงปลอดภัยไซเบอร_
4) นโยบาย ISMS ของ XXX (ชื่อหน2วยงาน) ตามแนวทางการปฏิบัตติ sอขjอกำหนดของมาตรฐานสากล ISO/IEC 27001:2013
(ถjามี)
5) ตรวจความพรjอมของเอกสารหลักฐานที่เกี่ยวขjอง ฯ
1) พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอรJ พ.ศ. ๒๕๖๒
2) กรอบมาตรฐานดQานการรักษาความมั่นคงปลอดภัยไซเบอร_
เกณฑ_/มาตรฐานที่ใชjในการตรวจประเมิน (Audit Criteria) :
3) นโยบาย ประมวลแนวทางปฏิบัตดิ Qานการรักษาความมั่นคงปลอดภัยไซเบอรJ
4) มาตรฐานสากล ISO/IEC 27001:2013 (ถQามี)
การรักษาความมั่นคงปลอดภัยไซเบอร์ของ (ชื่อหน่วยงาน) ซึ่งประกอบไปด้วยขอบเขตบริการที่สําคัญดังต่อไปนี้ (อ้างอิงแอกสาร
แนบ 1 : ผลผลการวิเคราะห์ผลกระทบทางธุรกิจ (Business Impact Analysis: BIA)

1. บริการ xxxxx โดยมีหน่วยงานที่รับผิดชอบ ได้แก่ XXX

2. บริการ xxxxx โดยมีหน่วยงานที่รับผิดชอบ ได้แก่ XXX
ขอบเขตที่ตรวจประเมิน (Scope of Audit) :
3. บริการ xxxxx โดยมีหน่วยงานที่รับผิดชอบ ได้แก่ XXX
4. บริการ xxxxx โดยมีหน่วยงานที่รับผิดชอบ ได้แก่ XXX

รวมถึงสิ่งอำนวยความสะดวกพื้นฐาน (Facilities) ระบบเครือข่าย (Network) ที่สนับสนุนการให้บริการดังกล่าวของ (ชื่อหน่วยงาน

และ สถานที่ตั้ง) ศูนย์คอมพิวเตอร์ อาคาร_____________ กรม____ ถนน_____ อำเภอ__ จังหวัด_______

ตัวอย่างเอกสารที่ใช้ในการอบรมหลักสูตร Lead Auditor ของ สกมช. ประจำปีงบประมาณ 2565

 แผนการตรวจสอบด้านการรักษาความมั่นคงปลอดภัยไซเบอร์

ประจำป& …2565…… ครั้งที่ ....1....

(Cyber Security Audit Plan)

ขjอกำหนดในการตรวจประเมิน ผูjรับการตรวจ
วันที่ เวลา ผูjตรวจประเมิน หมายเหตุ
(Area of Audit) ประเมิน
15 มิ.ย. 2565 09.00 - 09.15 Opening Meeting (ประชุมชี้แจงแผนการตรวจ) All participants All participants
15 มิ.ย. 2565 09.15 - 09.30 สัมภาษณJผูQบริหาร [มาตรา xx และ ขQอกำหนด ISO xx] ผูjบริหาร
• ทิศทางการบริหารจัดการ (Top Management)
• วิสัยทัศน_ พันธกิจ กลยุทธ_ และวัตถุประสงค_ดjานความมั่นคงปลอดภัยไซเบอร_ ISMR
15 มิ.ย. 2565 09.30 - 10.30 สัมภาษณJผูQบริหาร [มาตรา xx และ ขQอกำหนด ISO xx]
• ทิศทางการบริหารจัดการ
• การกำหนดขอบเขตของระบบการจัดการความมั่นคงปลอดภัยไซเบอร_
• ความเป•นผูjนำและความมุsงมั่น
• ความสอดคลjองดjานวิสัยทัศน_ พันธกิจ กลยุทธ_ และวัตถุประสงค_ดjานความ
มั่นคงปลอดภัยไซเบอร_
• ปŽจจัยภายในภายนอกที่เกี่ยวขjองกับวัตถุประสงค_ขององค_กร
• ความคาดหวังของผูjที่มีสsวนไดjสsวนเสีย
• การกำหนดบทบาทหนjาที่ความรับผิดชอบภายในองค_กร
• การสนับสนุนทรัพยากรที่จำเป•น
• การทบทวนของฝ•ายบริหาร
• การสsงเสริมการปรับปรุงพัฒนาอยsางตsอเนื่อง

ตัวอย่างเอกสารที่ใช้ในการอบรมหลักสูตร Lead Auditor ของ สกมช. ประจำปีงบประมาณ 2565

 แผนการตรวจสอบด้านการรักษาความมั่นคงปลอดภัยไซเบอร์

ประจำป& …2565…… ครั้งที่ ....1....

(Cyber Security Audit Plan)

ขjอกำหนดในการตรวจประเมิน ผูjรับการตรวจ
วันที่ เวลา ผูjตรวจประเมิน หมายเหตุ
(Area of Audit) ประเมิน
• การปฏิบัติตามขjอกำหนดทางกฎหมายและสัญญา
15 มิ.ย. 2565 10.30 - 11.00 การควบคุมเอกสาร [Clause 7, A.8.2, A.8.3] [มาตรา xx) คณะทำงานดjาน
การบริหารจัดการ
• ตรวจสอบการควบคุมเอกสารรายการ Master List และควบคุมเอกสาร
• กระบวนการในการควบคุมเอกสารและการประกาศใชjเอกสาร การสื่อสารถึง
หนsวยงานที่เกี่ยวขjอง
15 มิ.ย. 2565 10.30 - 11.00 Business Continuity Management [มาตรา xx และ ขQอกำหนด ISO xx] ISMR และ
• การวางแผนความตsอเนื่องดjานความมั่นคงปลอดภัยไซเบอร_ (Planning คณะกรรมการบริหาร
Information Security Continuity) จัดการความตsอเนื่อง
• การตรวจสอบ การทบทวน และการประเมินความตsอเนื่องดjานความมั่นคง
ปลอดภัยไซเบอร_ (Verify, Review and Evaluate Information Security
Continuity)
15 มิ.ย. 2565 11.00 - 12.00 Asset Management [มาตรา xx และ ขQอกำหนด ISO xx – Asset Inventory ISMR และ
• ตรวจสอบรายการทรัพย_สิน การใหjมูลคsาดjาน CIA คณะทำงานดjานการ
• นโยบายและกระบวนการดjานการจัดการทรัพย_สิน บริหารระบบ
การจัดชั้นความลับของสารสนเทศ (Information classification) [มาตรา xx คอมพิวเตอร_และ
และ ขQอกำหนด ISO xx] เครือขsาย

ตัวอย่างเอกสารที่ใช้ในการอบรมหลักสูตร Lead Auditor ของ สกมช. ประจำปีงบประมาณ 2565

 แผนการตรวจสอบด้านการรักษาความมั่นคงปลอดภัยไซเบอร์

ประจำป& …2565…… ครั้งที่ ....1....

(Cyber Security Audit Plan)

ขjอกำหนดในการตรวจประเมิน ผูjรับการตรวจ
วันที่ เวลา ผูjตรวจประเมิน หมายเหตุ
(Area of Audit) ประเมิน
การจัดการสื่อบันทึกขQอมูล (Media handling) [มาตรา xx และขQอกำหนด ISO
xx]
Risk Assessment and Treatment [มาตรา xx และ ขQอกำหนด ISO xx]
• ตรวจสอบหลักฐานและกระบวนการในการประเมินความเสี่ยง
• ตรวจสอบหลักฐานและการดำเนินการจัดการความเสี่ยง
15 มิ.ย. 2565 12.00 - 13.00 พักกลางวัน -
15 มิ.ย. 2565 13.00 – 13.30 Human Resource Security [มาตรา xx และ ขQอกำหนด ISO xx] ISMR และ
• ตรวจสอบการจัดทำ Job Description ของแตsละตำแหนsงงาน กองบริหาร
• ตรวจสอบการทำสัญญาไมsเป™ดเผยความลับ และการลงนามสัญญาจjางหรือ ทรัพยากรบุคคล
สัญญาอื่น ๆ
• ตรวจสอบหลักฐานการสรjาง Competence และทักษะที่จำเป•นตsอคณะทำงาน
• ตรวจสอบการถอดถอนสิทธิ์เมื่อมีการพjนตำแหนsงหรือเปลี่ยนแปลง
15 มิ.ย. 2565 13.00 – 14.00 Information Security Incident Management [มาตรา xx และ ขQอกำหนด คณะทำงานดjานการ
ISO xx] บริหารจัดการ
• ตรวจสอบกระบวนการในการรองรับ Incident และหลักฐานการจัดการ เหตุการณ_ละเมิดฯ
Incident
• การสรุปผลและจัดการองค_ความรูjรวมถึงการเก็บหลักฐานที่เกี่ยวขjอง

ตัวอย่างเอกสารที่ใช้ในการอบรมหลักสูตร Lead Auditor ของ สกมช. ประจำปีงบประมาณ 2565

 แผนการตรวจสอบด้านการรักษาความมั่นคงปลอดภัยไซเบอร์

ประจำป& …2565…… ครั้งที่ ....1....

(Cyber Security Audit Plan)

ขjอกำหนดในการตรวจประเมิน ผูjรับการตรวจ
วันที่ เวลา ผูjตรวจประเมิน หมายเหตุ
(Area of Audit) ประเมิน
• การรายงานผล ตsอคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร_แหsงชาติ

15 มิ.ย. 2565 14.15 – 16.00 Network Security Management, System Administrator (Hardware and คณะทำงานดjานการ
System) [มาตรา xx และ ขQอกำหนด ISO xx] บริหารระบบ
• ตรวจสอบการวางแผนระบบเครือขsายและการจัดการเบื้องตjน คอมพิวเตอร_และ
• ตรวจสอบนโยบายหรือกระบวนการที่เกี่ยวขjองเกี่ยวกับควบคุมการใชjงานระบบ เครือขsาย
เครือขsาย
• กำหนดนโยบายดjาน Password Management ในระบบงานจริง
• ตรวจสอบรายการผูjใชjงานระบบและการตรวจสอบการใหjสิทธิ์ผูjใชjงาน
• ตรวจสอบการจัดการสิทธิ์พิเศษของผูjดูแลระบบ (Privilege Management)
• Segregation in Networks
• การตั้งคsา Configuration บนระบบและอุปกรณ_เครือขsาย
• การจัดการดjาน Technical Vulnerability การจัดการ Anti-Virus และการ
จัดการดjาน Patch Management
• ตรวจสอบดjานนโยบายการจัดการการเขjารหัส การจัดการกุญแจเขjารหัสและ
Algorithm ตsาง ๆ ที่นำมาใชjบนระบบเครือขsาย
• ตรวจสอบการจัดการ Supplier การทำดjานสัญญา และการตรวจสอบการ
ทำงานภายใตjขอบเขตของการจัดการดjานระบบเครือขsาย

ตัวอย่างเอกสารที่ใช้ในการอบรมหลักสูตร Lead Auditor ของ สกมช. ประจำปีงบประมาณ 2565

 แผนการตรวจสอบด้านการรักษาความมั่นคงปลอดภัยไซเบอร์

ประจำป& …2565…… ครั้งที่ ....1....

(Cyber Security Audit Plan)

ขjอกำหนดในการตรวจประเมิน ผูjรับการตรวจ
วันที่ เวลา ผูjตรวจประเมิน หมายเหตุ
(Area of Audit) ประเมิน
• การจัดการ Log และการ Monitoring System Used
• การจัดการ Users และ Privilege Users
• การจัดการดjาน Cabling Management
• Mobile device & Teleworking
15 มิ.ย. 2565 16.00 - 16.30 Auditor Time ประชุมคณะผูQตรวจประเมิน -
15 มิ.ย. 2565 17.00 - 17.30 สรุปผลการตรวจประเมินภายใน ร2วมกับทีมผูQตรวจประเมินและ All participants All participants
ผูQที่เกี่ยวขQอง

ผูjจัดทำ / ตรวจสอบ ผูjอนุมัติ

ลงนาม : ( ) ลงนาม : ( )

ประธานคณะกรรมการตรวจสอบภายใน (Lead Auditor) ผูjแทนคณะกรรมการบริหารจัดการความมั่นคงปลอดภัยไซเบอร_

วันที่ : วันที่ :

ตัวอย่างเอกสารที่ใช้ในการอบรมหลักสูตร Lead Auditor ของ สกมช. ประจำปีงบประมาณ 2565