IT_audit

Report
IT Auditing
1
วัตถุประสงค์
เพือ
่ สร ้างความเข ้าใจเกีย
่ วกับ
• ผลกระทบของระบบสารสนเทศทีม
่ ต
ี อ
่ หน่วยตรวจสอบ
ภายใน
• บทบาทของหน่วยตรวจสอบภายในต่อระบบสารสนเทศ
ขององค์กร
• การควบคุมทั่วไป (General Controls)
• การควบคุมเฉพาะระบบงาน (Application Controls)
• ขัน
้ ตอนการตรวจสอบระบบสารสนเทศเบือ
้ งต ้น
2
หัวข ้อ
1. ความหมาย:
- ระบบสารสนเทศ
- การตรวจสอบระบบสารสนเทศ
2. การควบคุมภายในระบบสารสนเทศ
- การควบคุมทัว่ ไป
- การควบคุมเฉพาะระบบงาน
3. การตรวจสอบระบบสารสนเทศ
- ขัน
้ ตอนการตรวจสอบ
- เทคนิคการตรวจสอบ
3
ความหมายของ
ระบบสารสนเทศ
ระบบงานทีอ
่ อกแบบมา เพือ
่ ประมวลผลข ้อมูลให ้
ิ ใจของ
เป็ นสารสนเทศ ทีม
่ ป
ี ระโยชน์ในการตัดสน
้
ผู ้ใชระบบ
หรือ
A system that collects, records, stores, and
processes data to produce information for
decision makers.
4
สว่ นประกอบของระบบสารสนเทศ
1.
2.
3.
4.
5.
6.
Data
Software
People
Procedure and Instructions
Information Technology Infrastructure
Internal Controls and Security Measures
5
ความหมายของ
การตรวจสอบระบบสารสนเทศ
้
กระบวนการทีใ่ ชในการเก็
บรวบรวมและ
ประเมินหลักฐาน เพือ
่ ทีจ
่ ะพิจารณาว่า
ระบบสารสนเทศนัน
้ สามารถทีจ
่ ะบรรลุ
วัตถุประสงค์หลัก 4 ประการ
ได ้มากน ้อยเพียงใด
6
วัตถุประสงค์หลักของ
ระบบสารสนเทศ
– ป้ องกันการทุจริตเเละความผิดพลาดทีอ
่ าจเกิด
ิ ทรัพย์ (Assets Safeguarding)
ขึน
้ กับสน
– รักษาความถูกต ้องของข ้อมูล (Data Integrity)
ิ ธิผลของระบบงาน (System
– ความมีประสท
Effectiveness)
ิ ธิภาพในการใชทรั
้ พยากรของระบบ
– ความมีประสท
(System Efficiency)
7
ความจาเป็ นทีต
่ ้องมีการควบคุม
และตรวจสอบระบบสารสนทศ
ี ข ้อมูล
1. ค่าใชจ่้ ายทีอ
่ าจเกิดขึน
้ จากการสูญเสย
ิ ใจทีผ
2. การตัดสน
่ ด
ิ พลาด
้
3. ค่าใชจ่้ ายทีเ่ พิม
่ ขึน
้ จากการใชคอมพิ
วเตอร์ใน
ทางมิชอบ
4. อุปกรณ์คอมพิวเตอร์ ซอฟต์แวร์ และ
บุคลากรมีมล
ู ค่าสูง
8
ผลกระทบของการประมวลผล
้
โดยใชคอมพิ
วเตอร์ตอ
่ การตรวจสอบ
1. การเปลีย
่ นแปลงในการเก็บหลักฐาน
(Changes to Evidence Collection)
2. การเปลีย
่ นแปลงในการประเมินหลักฐาน
(Changes to Evidence Evaluation)
9
การจาแนกประเภทการควบคุมตาม
วัตถุประสงค์ของการควบคุม
การควบคุมเชงิ ป้ องกัน (Preventive Control)
การควบคุมเชงิ ตรวจพบ (Detective Control)
การควบคุมเชงิ แก ้ไข (Corrective Control)
10
การควบคุมในระบบสารสนเทศ
การควบคุมทั่วไป (General Controls)
การควบคุมระบบงาน (Application Controls)
11
การควบคุมทั่วไป
้
• เป็ นการควบคุมทีก
่ าหนดขึน
้ เพือ
่ ใชในหน่
วยงานต่างๆ ของ
องค์กรทีเ่ กีย
่ วข ้องกับการประมวลผลด ้วย IT ให ้มัน
่ ใจว่าการ
ประมวลผลข ้อมูลด ้วย IT จะเป็ นไปอย่างเหมาะสม และการ
ลงทุนในด ้าน IT เหมาะสม และคุ ้มค่า
• มีผลกระทบในวงกว ้าง ในหลายๆ หน่วยงานในองค์กร และ
้
หลายระบบงานทีม
่ ก
ี ารใชงาน
12
การควบคุมทั่วไป (General Control)
้
1. การกาหนดนโยบายในการใชสารสนเทศ
2. การแบ่งแยกหน ้าทีง่ านในระบบสารสนเทศ
3. การควบคุมโครงการพัฒนาระบบสารสนเทศ
4. การควบคุมการเปลีย
่ นแปลงแก ้ไขระบบ
5. การควบคุมการปฏิบต
ั งิ านในศูนย์คอมพิวเตอร์
6. การควบคุมการเข ้าถึงอุปกรณ์คอมพิวเตอร์
7. การควบคุมการเข ้าถึงข ้อมูลและทรัพยากรสารสนเทศ
13
การควบคุมทั่วไป (General Control) (ต่อ)
8. การควบคุมเข ้าถึงระบบงาน
9. การควบคุมการจัดเก็บข ้อมูล
ื่ สารข ้อมูล
10.การควบคุมการสอ
11.การกาหนดมาตรฐานของเอกสารระบบสารสนเทศ
ี หายทีอ
12.การลดความเสย
่ าจเกิดขึน
้ กับระบบ
คอมพิวเตอร์
13.การวางแผนกู ้ระบบจากภัยพิบต
ั ิ
14
1. การกาหนดนโยบายสารสนเทศ
ั เจนว่าใครต ้องการเข ้าถึง
มีนโยบายทีช
่ ด
ข ้อมูลอะไร เมือ
่ ไร ในระบบงานใด
ิ ธิในการเข ้าถึงจะใชหลั
้ ก “need to
การให ้สท
know”
15
2. การแบ่งแยกหน ้าทีง่ านในระบบสารสนเทศ
แบ่งแยกหน ้าทีค
่ วามรับผิดชอบของผู ้ปฏิบต
ั งิ านระบบงาน
ั เจนและ ไม่ให ้คนหนึง่ ทางานทีต
คอมพิวเตอร์ให ้ชด
่ ้อง
แบ่งแยกหน ้าทีก
่ น
ั
–
–
–
–
–
–
งานวิเคราะห์ระบบ (System Analysis)
งานเขียนโปรแกรม (Programming)
งานปฏิบตั ิการคอมพิวเตอร์ (Computer Operation)
งาน Master Data Maintenance
งานบรรณารักษ์ระบบ (System Library)
งานควบคุมข้อมูล (Data Control)
16
3. การควบคุมโครงการพัฒนาระบบสารสนเทศ
•
•
•
•
•
•
•
แผนแม่บทระยะยาว
แผนงานพัฒนาระบบ
การมอบหมายหน ้าทีแ
่ ละความรับผิดชอบ
การควบคุมในแต่ละขัน
้ ตอนของการพัฒนาระบบ
การประเมินผลงานระหว่างการดาเนินโครงการ
การสอบทานภายหลังการติดตัง้ ระบบและนาระบบ
้
มาใชงาน
การวัดผลการดาเนินงานของระบบ
17
4. การควบคุมการเปลีย
่ นแปลงแก ้ไขระบบ
• การกาหนดระเบียบวิธป
ี ฏิบัตใิ นการแก ้ไข
ระบบทีเ่ ป็ นลายลักษณ์อก
ั ษร
ึ ษาถึงผลกระทบต่าง ๆ
• มีการศก
• มีการทดสอบระบบทีแ
่ ก ้ไขแล ้วก่อนนาไปใช ้
• จัดทาเอกสารคูม
่ อ
ื ประกอบการแก ้ไข
• ประเมินผลและสอบทานระบบงานภายหลัง
เริม
่ ใช ้
18
5. การควบคุมการปฎิบต
ั งิ านในศูนย์
คอมพิวเตอร์
• การประมวลผลระบบงาน
• การสารองข ้อมูล
• การจัดการปั ญหาของระบบ
19
6. การควบคุมเข ้าถึงอุปกรณ์คอมพิวเตอร์
• สถานทีม่ ดิ ชดิ
•
•
•
•
•
•
•
มีการรักษาความปลอดภัยหนาแน่น
เข ้าออกได ้เฉพาะผู ้เกีย
่ วข ้อง
ั เจน
กาหนดนโยบายรักษาความปลอดภัยทีช
่ ด
ติดระบบเตือนภัยกรณีมผ
ี ู ้บุกรุก
้
ั ท์เฉพาะเรือ
จากัดให ้ใชโทรศ
พ
่ งทีเ่ กีย
่ วกับงาน
ติดอุปกรณ์ป้องกันเครือ
่ งคอมพิวเตอร์
ควบคุมสภาพแวดล ้อมในการทางาน
20
7. การควบคุมการเข ้าถึงข ้อมูลและ
ทรัพยากรสารสนเทศ
• User Views or Subschema
• ตารางการอนุญาติให ้เข ้าถึงฐานข ้อมูล
(Database Authorization Table)
• การเข ้ารหัสข ้อมูล (Data Encryption)
• การควบคุมการอนุมานข ้อมูล (Inference
Controls)
21
8. การควบคุมการเข ้าถึงระบบงาน
• การตรวจสอบความเท็จจริง (Authentication)
– รหัสผ่าน (Password)
– การระบุตวั ตนด้วยส่ งที่มีทางกายภาพ (Physical Possession
Identification)
– การระบุตวั ตนด้วยค่าทางชีวภาพ (Biometric Identification)
ิ ธิ (Authorization)
• การกาหนดสท
้
• การบันทึกกิจกรรมต่าง ๆ ในระบบเพือ
่ ใชในการ
ตรวจสอบ (Audit Log)
22
9. การควบคุมการจัดเก็บข ้อมูล
• ร่องรอยการตรวจสอบ
• ห ้องสมุดแฟ้ มข ้อมูล
ื่ แฟ้ ม (external and internal labels)
• ป้ ายชอ
• ผู ้บริหารฐานข ้อมูล (Database Administrator)
• พจนานุกรมข ้อมูล (Data Dictionary-DDIC)
23
ื่ สารข ้อมูล
10. การควบคุมการสอ
• Encryption
• Callback system
• Parity bit
24
11. การกาหนดมาตรฐานเอกสารระบบสารสนเทศ
(Documentation Standard)
• การจัดทาเอกสารทางการบริหาร
• การจัดทาเอกสารระบบงาน
• การจัดทาเอกสารประกอบการปฏิบต
ั ก
ิ าร
25
ี หายทีอ
12. การลดความเสย
่ าจเกิดขึน
้ กับระบบ
• การบารุงรักษาในเชงิ ป้ องกัน (Preventive Maintenance)
• อุปกรณ์ไฟฟ้ าสารอง (Uninterrupted Power Supply)
• ระบบทีท
่ นต่อความบกพร่อง (Fault Tolerant)
26
13. การวางแผนกู ้ระบบจากภัยพิบต
ั ิ
แผนควรรวมถึง
• Backup files, facilities, and stationery
• การจัดลาดับความสาคัญของงานทีต
่ ้องกู ้ก่อน
• การกาหนดทีมทีร่ ับผิดชอบการกู ้ระบบ
้
• การฝึ กซอมการกู
้ระบบ
• Second-site
27
ความเสี่ ยงจากการขาดการควบคุมทัว่ ไปที่ดี
• ภาพรวมของการควบคุมภายในขาดประสิ ทธิภาพ
• ข้อมูลหรื อโปรแกรมอาจเกิดความเสี ยหาย
• ข้อมูลหรื อโปรแกรมอาจเกนาไปใช้โดยไม่ได้รับ
อนุญาต
• ระบบงานหยุดชะงัก
28
การควบคุมระบบงาน
Application Controls
• การควบคุมในสว่ นของ input, process, และ
output ในระบบงานหนึง่ ๆ เท่านัน
้
ิ ธิผลได ้ การ
• การควบคุมในระบบงานจะมีประสท
ิ ธิผลเสย
ี ก่อน
ควบคุมทั่วไปทีเ่ กีย
่ วข ้องต ้องมีประสท
• การควบคุมบางประเภทอาจเป็ นทัง้ การควบคุม
ทั่วไป และการควบคุมในระบบงาน
29
การควบคุมข ้อมูลนาเข ้า
(input controls)
กาหนดขึน
้ เพือ
่ ให ้มัน
่ ใจในความครบถ ้วน สมบูรณ์ ถูกต ้อง
ได ้รับการอนุมต
ั ิ และเกิดขึน
้ อย่างถูกต ้องตามกฎหมาย
่ าร
ระเบียบและนโยบาย ของรายการทัง้ หมดทีน
่ าเข ้าสูก
ประมวลผลของระบบงาน
30
ตัวอย่ างของการควบคุมเฉพาะระบบบงาน
•
•
•
•
•
•
•
•
Existence or Validity Check
Type Check
Sign Check
Reasonableness Check
Limit Check
Range Check
Sequence Check
Label Check
31
การควบคุมเฉพาะระบบบงาน (application controls)
•
•
•
•
•
•
•
•
Matching Check
Posting or Update Check
Record Count Check
Amount Control Total Check
Hash Total Check
Crossfoot Balance Check
Zero-Balance Check
Self-checking Digit Check
32
การตรวจสอบระบบสารสนเทศ
• ขัน
้ ตอนการตรวจสอบ
ดูเอกสาร Exhibit 4.2 Audit Workflow
• เทคนิคการตรวจสอบ
33
การทดสอบในการตรวจสอบ (Audit Tests)
• การทดสอบการควบคุม (Test of Controls)
• การตรวจสอบเนื้อหาสาระ (Substantive Tests)
34
การประเมินการควบคุมภายใน
1. ดูวา่ มีการควบคุมภายในที่เพียงพอ (adequate controls)
หรื อไม่
2. ดูวา่ การควบคุมภายในที่มีน้ นั มีประสิ ทธิผล (Control
effectiveness) หรื อไม่
35
Control Matrix
Errors
Controls
36
ความสัมพันธ์ระหว่างการควบคุมภายในการและการ
ทดสอบในการสอบบัญชี
ถ้าโครงสร้างการควบคุมภายในเข้มแข็ง ผูส้ อบบัญชี
จะทาการทดสอบการควบคุมเพื่อดูวา่ การควบคุมมี
ประสิ ทธิผล ซึ่ งถ้าเป็ นจริ งก็จะสามารถลดการ
ตรวจสอบเนื้อหาสาระได้
37
้
เทคนิคการใชคอมพิ
วเตอร์ชว่ ยในการตรวจสอบ
Computer-Assisted Auditing Tools and Techniques
(CAATTs)
ที่นิยมใช้กนั ทัว่ ไป
- Test Data ใช้สาหรับการทดสอบการควบคุม
- Generalized Audit Software (GAS) ใช้สาหรับการ
ตรวจสอบเนื้อหาสาระ (เช่น โปรแกรม ACL, IDEA)
38
Test Data แบบ Integrated Test Facility (ITF)
39
Substantive Testing:
Generalized Audit Software
40
ISACA IS Auditing Standards
Framework
• Standards
• Guidelines
• Procedures
www.isaca.org/standards
41
42
COSO Models
Internal Controls vs. Risk Management
Business Unit
Subsidiary
Internal Environment
Event Identification
Risk Assessment
Risk Response
Control Activities
Entity-Level
Division
Objective Setting
Information and Communication
Monitoring
43
COBIT Framework Definition
Business
Requirements
IT
Processes
IT
Resources
BUSINESS
BUSINESS
REQUIREMENTS
REQUIREMENTS
IT
IT PROCESSES
PROCESSES
IT
IT RESOURCES
RESOURCES
“To provide the information that the organisation needs to achieve its objectives,
IT resources need to be managed by a set of naturally grouped processes.”
WHY
A process orientation is a proven management approach to efficiently exercise
responsibilities, achieve set goals and reasonably manage risks.
44
COBIT: An IT control framework
HOW DO THEY RELATE ?
The resources
made available to,
and built up by, IT
IT
Resources
How IT is
organised to
respond to the
requirements
IT
Processes
 Data
 Plan and organise
 Information
systems
 Aquire and
implement
 Technology
 Deliver and
 Facilities
support
 Human
resources
 Monitor and
evaluate
What the
stakeholders
expect from IT
Business
Requirements







Effectiveness
Efficiency
Confidentiality
Integrity
Availability
Compliance
Information
reliability
45
Business
Requirements
Business Requirements
Quality Requirements:
• Quality
• Delivery
• Cost
Security Requirements
• Confidentiality
• Integrity
• Availability
Fiduciary Requirements
(COSO Report)
• Effectiveness and efficiency of
operations
• Compliance with laws and
regulations
• Reliability of financial reporting
IT
Processes
IT
Resources
 Effectiveness
 Efficiency
 Confidentiality
 Integrity
 Availability
 Compliance
 Reliability of
information
46
Business
Requirements
Business Requirements
IT
Processes
IT
Resources
Effectiveness –Deals with information being relevant and pertinent to the
business process as well as being delivered in a timely, correct, consistent and
usable manner
Efficiency –Concerns the provision of information through the optimal (most
productive and economical) usage of resources
Confidentiality –Concerns protection of sensitive information from
unauthorised disclosure
Integrity –Relates to the accuracy and completeness of information as well as
to its validity in accordance with the business‘s set of values and expectations
Availability –Relates to information being available when required by the
business process, and hence also concerns the safeguarding of resources
Compliance –Deals with complying with those laws, regulations and
contractual arrangements to which the business process is subject, i.e.,
externally imposed business criteria
Reliability of information–Relates to systems providing management with
appropriate information for it to use in operating the entity, providing financial
reporting to users of the financial information, and providing information to
report to regulatory bodies with regard to compliance with laws and
regulations
47
COBIT
Framework
M1
M2
M3
M4
Monitor the process
Assess internal control adequacy
Obtain independent assurance
Provide for independent audit
PO1 Define a strategic IT plan
PO2 Define the information architecture
PO3 Determine the technological direction
PO4 Define the IT organisation and relationships
PO5 Manage the IT investment
PO6 Communicate management aims and direction
PO7 Manage human resources
PO8 Ensure compliance with external requirements
PO9 Assess risks
PO10 Manage projects
PO11 Manage quality
Criteria
•
•
•
•
•
•
•
Effectiveness
Efficiency
Confidenciality
Integrity
Availability
Compliance
Reliability
IT
RESOURCES
•
•
•
•
•
Data
Application systems
Technology
Facilities
People
PLAN AND
ORGANISE
MONITOR AND
EVALUATE
DS1 Define service levels
DS2 Manage third-party services
DS3 Manage peformance and capacity
DS4 Ensure continuous service
DS5 Ensure systems security
DS6 Identify and attribute costs
DS7 Educate and train users
DS8 Assist and advise IT customers
DS9 Manage the configuration
DS10 Manage problems and incidents
DS11 Manage data
DS12 Manage facilities
DS13 Manage operations
ACQUIRE AND
IMPLEMENT
DELIVER AND
SUPPORT
AI1
AI2
AI3
AI4
AI5
AI6
Identify automated solutions
Acquire and mantain application software
Acquire and maintain technology infrastructure
Develop and maintain IT procedures
Install and accredit systems
Manage changes
48
Management Guidelines Framework
Process Description
Information
Criteria
The control of
IT Processes
which satisfy
Business
Requirements
is enabled by
Control
Statements
Resources
and considers
Control
Practices
Critical Success Factors






Key Goal
Indicators



Key
Performance
Indicators


Maturity Model
0 - Management processes are not applied
at all.
1 - Processes are ad hoc and disorganised.
2 - Processes follow a regular pattern.
3 - Processes are documented and
communicated.
4 - Processes are monitored and measured.
5 - Best practices are followed and
automated.
49
Critical Success Factors
Definitions



Are the most important things to
do to increase the probability of
success of the process
Are observable—usually
measurable—characteristics of
the organisation and process
Focus on obtaining, maintaining
and leveraging capability, skills
and behaviour
The co ntr ol of
IT P roces ses
which sa tis fy
Bus ines s
Requirements
is en ab led b y
Control
Statements
a nd co ns id ers
Cont rol
P ract ices
50
Maturity Models
Definitions
 Refer to business requirements (KGIs) and the enabling aspects
(KPIs) at the different levels
 Are a scale that lend themselves to pragmatic comparison, where
the difference can be made measurable in an easy manner
 Are recognisable as a profile of the enterprise in relation to IT
governance and control
 Assist in determining as-is and to-be positions relative to IT
governance and control maturity and analyse the gap
 Are not industry-specific nor generally applicable. The nature of
the business determines what is an appropriate level.
51
Maturity Models
Usage
Nonexistent
Initial
Repeatable
Defined
Managed
Optimised
0
1
2
3
4
5
Legend for Symbols Used
Enterprise current status
International standard guidelines
Industry best practice
Enterprise strategy
Legend for Rankings Used
0 - Management processes are not applied at all.
1 - Processes are ad hoc and disorganised.
2 - Processes follow a regular pattern.
3 - Processes are documented and communicated.
4 - Processes are monitored and measured.
5 - Best practices are followed and automated.
52
How Audit Guidelines and All Other COBIT
Elements Are Linked
Business
requirements
information
IT
Processes
Control
Objectives
Critical
Success
Factors
Key
Performance
Indicators
Key Goal
Indicators
Maturity
Models
Audit
Guidelines
Control
Practices
= takes into consideration
53
IT Governance Domains
1. Strategic alignment of IT with the
business
2. Value delivery of IT
3. Management of IT risks
4. IT resource management
5. Performance measurement of IT
54
55
ISO 17799
• ISO 17799 ได้มีการเปลี่ยนชื่อเป็ น ISO 27002
• เป็ นการระบุการควบคุมที่เป็ นไปได้ (potential controls)
และ กลไกการควบคุม (control mechanisms) จานวนนับ
ร้อยที่อาจมีการนามาใช้ ตามแนวทางที่กาหนดไว้ใน
ISO 27001
56
ISO 27001
Information technolgoy - Security techniques
– Information Security Management
Systems – Requirements
• เป็ นข้อกาหนดในการจัดระบบให้มีความมัน่ คงปลอดภัยตาม
มาตรฐาน โดยมีวตั ถุประสงค์เพื่อ Confidentiality,
Integrity และ Availability (CIA) ของสารสนเทศ
57
ISO 27001 และ ISO 27002
• มาตรฐานทั้งสองนี้กาหนดขึ้นมาเพื่อให้ใช้ร่วมกัน โดย ISO
27001 เป็ นข้อกาหนดสิ่ งที่องค์กรต้องปฏิบตั ิ ส่ วน ISO
27002 เป็ น good practice ที่องค์กรควรปฏิบตั ิ
58
ISO 27002
Content sections
สงิ่ ทีร่ ะบบควรมี
1. Structure
2. Risk Assessment and Treatment
3. Security policy – มีนโยบายเรือ
่ งความปลอดภัย
4. Organization of information security – จัด
โครงสร ้างด ้านความปลอดภัย
5. Asset classification and control – การจัดการ
ิ ทรัพย์
สน
59
ISO 27002
Content sections (ต่อ)
6. Personnel security - มีระบบรักษาความปลอดภัย
ของบุคลากร
7. Physical and environmental security – ความ
ปลอดภัยของสภาพแวดล ้อม
8. Communications and operation management
ื่ สารและดาเนินงาน
การจัดการสอ
9. Access control – การควบคุมการเข ้าถึงระบบ ทัง้
Hardware และ software
60
ISO 27002
Content sections (ต่อ)
10. Systems development and maintenance
การพัฒนาและปรับเปลีย
่ นระบบ
11. Information Security Incident Management
12. Business continuity management – การ
่ ระบบสารอง
บริหารความต่อเนือ
่ งของธุรกิจ เชน
13. Compliance – การปฏิบต
ั ต
ิ ามกฎหมาย และ
ระเบียบที่ เกีย
่ วข ้อง
61
เว็บไซต์ทเี่ กีย
่ วข ้อง
•
•
•
•
•
http://www.isaca.org
http://www.isaca-bangkokchapter.org
http://www.aicpa.org
http://www.theiia.org
http://www.ITaudit.org
62
องค์กรที่เกี่ยวข้ องกับ information security
• SANS (SysAdmin, Audit, Network, Security
Institute) http://www.sans.org
• Computer Security Resource Center
http://csrc.nist.gov/publications/nistpubs/index.html
• Center for Internet Security (CIS)
http://www.cisecurity.org
• Microsoft Security Guidance Center
http://www.microsoft.com/security.guidance/
default.mspx
63
เอกสารอ ้างอิง
• Hall, James. Information Technology Auditing, 3 ed., SouthWestern, 2011.
• Senft, Sandra and Frederick Gallegos. Information
Technology Control and Audit, 3 ed., New York: CRC Press,
2009.
• Weber, Ron. Information Systems Control and Audit, New
Jersey: Prentice Hall, 1999.
• www.iso27000.org/iso-27002.htm
64

similar documents