E-Banking (วิชา ITM 640)



E-Banking (Electronic Banking)



E-Banking เรียกได้หลายอย่าง เช่น
  · Internet Banking
  · Cyber Banking
  · Online Banking เป็นต้น

ความหมายของ E-Banking
  หมายถึง การทำธุรกรรมแบบอัตโนมัติ โดยรวมทั้งสินค้าและบริการที่ธนาคารมีอยู่ในปัจจุบัน รวมทั้งที่จะเกิดขึ้นใหม่ด้วย โดยการส่งมอบแก่ลูกค้าผ่านสื่ออิเล็คทรอนิกส์ และช่องทางการสื่อสารในรูปแบบที่สามารถโต้ตอบได้
  E-Banking ได้รวมถึงระบบต่างๆ ที่ทำให้ลูกค้าของธนาคารทุกระดับสามารถเข้าถึงบัญชี เพื่อการทำธุรกรรมต่างๆ โดยผ่านระบบเครือข่ายสาธารณะหรือระบบเครือข่ายเอกชน ซึ่งรวมถึงระบบ Internet ด้วย โดยลูกค้าสามารถใช้บริการโดยผ่านเครื่องอิเล็คทรอนิกส์อัจฉริยะ ได้แก่ PC, PDA, ATM, Touch Tone Telephone และ Kiosk เป็นต้น

ทำไมต้อง E-Banking
  เป็นที่ทราบกันดีว่าธุรกิจของธนาคาร สินค้าบริการ ก็คือ Information ดังนั้น การบริหารจัดการ Information ที่ดี ความสามารถในการแข่งขัน จึงไม่ใช่เป็นเรื่องของ Back office efficiency แต่เพียงอย่างเดียว เมื่อ Infrastructure ทางด้าน Computer, Mass Storage Devices, Telecommunication มีความเป็นไปได้ในเชิงพาณิชย์ จึงทำให้ IT เป็น Key Driver ที่สำคัญที่ใช้ในการกำหนดกลยุทธ์และรูปแบบของธุรกิจการธนาคาร การวิเคราะห์ Cost – Benefit และความเสี่ยงในการนำ IT และรูปแบบธุรกิจมาใช้เป็นเรื่องที่จะต้องพิจารณาอย่างรอบคอบ เหตุผลหลักที่ธนาคารมีการปรับตัวเพื่อเป็น E-Banking ทางกลุ่มได้ระดมสมองวิเคราะห์จุดดีที่จะเกิดประโยชน์ต่อธุรกิจธนาคาร ดังนี้
  · ทำให้ต้นทุนการดำเนินงานต่ำลง
  · ขยายครอบคลุมฐานลูกค้าได้กว้างขวางขึ้นในด้านภูมิศาสตร์
  · ทำให้รักษาความได้เปรียบในการแข่งขันเชิงธุรกิจ
  · ทำให้มีโอกาสได้ลูกค้ามากขึ้น
  · ทำให้มีโอกาสในการหารายได้ในรูปแบบบริการใหม่ๆ จากลูกค้า
  เมื่อมีการเปลี่ยนแปลงรูปแบบธุรกิจ Change Management เป็นเรื่องที่สำคัญทางกลุ่มได้ระดมสมองปัจจัยที่ธนาคาร ควรพิจารณาเมื่อมีการเปลี่ยนแปลงรูปแบบบริการ ดังนี้
  · นโยบายในการบริหารงานรวมถึงขั้นตอนในการปฏิบัติงาน
  · ผลกระทบทางด้านกฎหมายที่มีการเปลี่ยนแปลง
  · ระบบเครือข่ายในด้านต่างๆ ได้แก่ Networking Architecture, Security Expertise, Software
  · จำนวนบุคลากร ผู้เชี่ยวชาญทางด้าน MIS
  · การวิเคราะห์เงินลงทุนกับผลประโยชน์ในเชิงธุรกิจ (ROI)

รูปแบบการใช้บริการ E-Banking ในปัจจุบัน มี 4 รูปแบบดังนี้
1. Internet Banking มีลักษณะการให้บริการ ดังนี้
  1.1. สอบถามยอดคงเหลือหรือรายการเคลื่อนไหวในบัญชี (Account Balance or Statement Inquiry)โอนเงินระหว่างบัญชีตนเองไปยังบัญชีของบุคคลอื่นทั้งในและต่างประเทศ (Inter-Account Funds Transfer to owner or other account)
  1.2. สอบถามสถานะเช็ค (Stop-Payment Cheque Inquiry)
  1.3. อายัดเช็ค (Stop-Payment of Cheque)
  1.4. การชำระเงินกู้ธนาคาร
  1.5. สินเชื่อส่วนบุคคล
  · Internet Banking System - Environmental Impact Assessment Model
  ด้วยระบบนี้ผู้ใช้ที่เป็นเอกชนและองค์กรสามารถซักถามเกี่ยวกับ บัญชีธนาคาร หรือโอนเงินผ่านทางอินเทอร์เน็ตโดยใช้คอมพิวเตอร์และโทรศัพท์มือถือ



2. Payment Gateway or Bill Payment
  Payment Gateway เป็นโปรแกรมหลักที่มีความสามารถ ในการชำระเงินด้วยบัตรเครดิตบนWebsite กับ Credit Card Processor ผู้ดำเนินการเกี่ยวกับระบบบัตรเครดิต Payment Gateway คล้ายกับเครื่องชำระเงินอัตโนมัติที่มีอยู่ทั่วไปบนห้างสรรพสินค้าต่างๆ Payment Gateway สามารถเข้ารหัสข้อมูลต่างๆ เช่น รหัสบัตรเครดิต, จำนวนเงิน, ชื่อ-นามสกุล แล้วส่งข้อมูลไปยัง Credit Card Processor ผู้ซึ่งประมวลผลการชำระเงินแล้วส่งต่อให้ Visa/MasterCard Network ผลของรายการต่างๆจะส่งกลับจากธนาคารไปถึง Credit Card Processor ผู้ซึ่งส่งกลับผลการชำระเงินที่เห็นด้วยและไม่เห็นด้วยไปยัง Payment Gateway
  Payment Gateway มีอำนาจเหมือนเป็นสื่อกลางระหว่าง Website กับ Credit Card Processor โดยส่วนใหญ่ผู้ให้บริการจะใช้ Payment Gateway ของ Authorize.net Payment Gateway ซึ่งเป็นที่นิยม เพราะใช้งานง่ายและมีการรวมระบบของการ Shopping Cart
Payment Gateway เป็นระบบที่ลูกค้าสามารถชำระค่าบริการได้ 24 ชม. โดยไม่ต้องเดินทาง หรือบางธนาคารระบบตั้งเวลาชำระเงินแบบอัตโนมัติเพื่อให้ลูกค้าตั้งเวลาชำระเงินไว้ล่วงหน้าสำหรับตัดเงินในบัญชี

ไดอะแกรมแสดงการทำงานของ Authorize.net Payment Gateway

3. Mobile Banking
  ซึ่งจะคล้ายกับ Internet Banking เพียงแต่จะเน้นกลุ่มลูกค้าที่ใช้โทรศัพท์มือถือเป็นหลัก โดยใช้ระบบ WAP (Wireless Access Protocol)



  · SMS Banking
  เมื่อลูกค้าอยู่ในช่วงเวลาที่เร่งรีบ ซึ่งต้องการรับบริการที่สำคัญๆ กับธนาคารในทุกที่ทุกเวลา ทางธนาคารจึงต้องเตรียมบริการใหม่ๆ เพื่อให้ข้อมูลข่าวไปยังโทรศัพท์มือถือของลูกค้า ด้วยบริการ SMS Banking ซึ่งมีบริการต่างๆดังนี้
  - ยอดเงินคงเหลือในบัญชีเงินฝาก
  - ขอรับสมุดเช็ค
  - สอบถามยอดเคลื่อนไหวบัญชีเงินฝาก
  - ข้อมูลการชำระค่าสินค้าหรือบริการต่างๆ
  ลูกค้าจะสมัครขอใช้บริการโดยส่ง SMS ไปยัง bulk service provider’s number หลังจากนั้น Service Provider จะส่งต่อ SMS นั้นไปยัง bank’s mobile banking applications แล้ว mobile banking applications จะทำการติดต่อกับ core banking servers (รวม user account information ด้วย) บริการนี้เกิดขึ้นเมื่อลูกค้าต้องการ ผลดังกล่าวจะทำการส่งโดย mobile banking applications ไปยัง the bulk service provider ซึ่งเป็นผู้บริการที่ทำการส่ง SMS ไปยังลูกค้าที่ทำการใช้บริการนี้ได้อย่างถูกต้อง
มีสองวิธีที่ธนาคารสามารถสื่อสารกับลูกค้าโดยใช้ทาง SMS ดังนี้
  1. วิธีการแรก bank proactively จะทำการส่งข้อมูลที่แน่นอน น่าเชื่อถือ ให้ลูกค้า มีข้อมูลต่างๆ เช่น ข้อมูลการโอนเงิน, ข้อมูลเกี่ยวกับเครดิตเงินเดือน, ข้อมูลอื่นๆ เป็นต้น โดยมีวิธีการส่งได้ 2 วิธีดังนี้
   1.1. E-mail to mobile (E2M) : ธนาคารจะทำการส่ง email ที่ระบุที่อยู่ที่ชัดเจนไปยัง mobile banking application โดย email นี้อาจรวมเบอร์โทรศัพท์ของลูกค้าไปด้วย mobile banking application จะส่งข้อความในรูปแบบที่เฉพาะ เช่น รูปแบบไฟล์ XML, HTML เป็นต้น ไปยัง service provider’s application server แล้วทำการตัดถอนข้อความบางส่วนจากไฟล์รูปแบบ XML ออกและส่งในรูปแบบ SMS ไปยังwireless carrier หลังจากนั้น wireless carrier จะทำการส่งข้อความนั้นต่อไปยังลูกค้า
   1.2. Database to mobile (D2M) : โดยใช้ mobile banking application การทำงานของ mobile banking application จะทำการสำรวจ banks database server เมื่อเกิดเหตุการณ์ใดๆที่เกี่ยวข้อง เช่น การโอนเงินระหว่างบัญชี เป็นต้น ก็จะส่งข้อความไปยัง service provider’s application server โดยรูปแบบของไฟล์ที่ส่งอาจจะคล้ายคลึงกับ E2M จากนั้นก็จะส่งข้อความต่อไปยัง wireless carrier เพื่อส่งข้อความดังกล่าวให้กับลูกค้าต่อไป
  2. วิธีที่สอง ธนาคารก็จะส่งข้อมูล เช่น ยอดเงินคงเหลือในบัญชี เป็นต้น ไปยังลูกค้า โดยอันดับแรกลูกค้าก็จะส่งรหัสที่ทำการร้องขอ เพื่อขอใช้บริการนั้นโดยใช้ SMS ไปยัง Bulk SMS service Provider โดยทำการลงทะเบียนหมายเลขโทรศัพท์ หลังจากนั้นจะส่ง SMS ดังกล่าวไปยัง PULL application ที่อยู่ใน mobile banking server หลังจากนั้นจะส่งข้อมูลต่อไปยัง core banking application ซึ่งอยู่ใน core banking server เพื่อทำการประมวลผลต่อไป เมื่อ core banking server ประมวลผลแล้วก็จะส่งข้อมูลกลับไปให้ PULL application แล้ว PULL application ก็จะส่งข้อมูลในรูปแบบที่อาจคล้ายกับ E2M ไปยัง service provider เพื่อส่ง SMS ให้กลับลูกค้าต่อไป

4. ให้บริการผ่านสื่ออิเล็กทรอนิกส์อื่น เช่น
  · บริการเอทีเอ็ม (ATM)
  · บริการสมาร์ทการ์ด (Smart Card)
  · บริการธนาคารทางโทรศัพท์ (Tele-Banking)



ซอฟต์แวร์ E-Banking อาจแบ่งออกเป็น 2 ประเภท คือ
  · ซอฟต์แวร์สำหรับธนาคาร อาทิ
   o ซอฟต์แวร์มาโครแบงค์โฟร์ (Macrobank 4)
   Macrobank technology เป็นนวัตกรรมใหม่ และเป็นโปรแกรมที่น่าเชื่อถือทางด้านการเงินPlatform ถูกออกแบบมาเพื่อสร้าง bespoke solutions สำหรับธนาคาร โปรแกรมนี้มี Function หลายอย่าง เช่น ระบบบัญชี, ระบบจัดการข้อมูลลูกค้า, การจัดการผลิตภัณฑ์, การประมวลผลรายการต่างๆ, ระบบรายงาน และด้านอื่นๆของธนาคารที่เกี่ยวกับการเงิน
ซอฟต์แวร์มาโครแบงค์โฟร์ (Macrobank 4)
   o ซอฟต์แวร์นิวทัน (Newton)
   เป็นโปรแกรมที่มีความโดดเด่น โดยสามารถประมวลรายการที่มีขนาดใหญ่และมีจำนวนมากได้ ในปัจจุบันโปรแกรมนี้สามารถทำงานบนระบบปฏิบัติการ Red Hat Linux ได้ ซึ่งช่วยลดต้นทุนของเจ้าของกิจการได้ The core banking solution มีการเตรียมการให้มีความยืดหยุ่นในการดำเนินการ สามารถกำหนดค่าในการทำงานให้เป็นทั้งศูนย์กลาง หรือแบบตามสภาพแวดล้อมได้ NEWTON ได้นำ core banking solution มาเพื่อดำเนินการพัฒนาสินค้าที่มีความยืดหยุ่นตามความต้องการของลูกค้าโดยใช้ Module ที่เป็นสากลโดยรวมคำสั่งในการประมวลผลและส่วนประกอบทั่วๆไปที่บนระบบ ทุกส่วนประกอบใน core banking solution สามารถกำหนด Parameters เฉพาะได้ ทำให้สามารถใช้พัฒนาสินค้าใหม่ๆได้อย่างง่ายดาย

ซอฟต์แวร์นิวทัน (Newton)

  · ซอฟต์แวร์สำหรับลูกค้าธนาคาร อาทิ
   o ซอฟต์แวร์จัดการด้านการเงิน (Money Organizer Deluxe)
   เป็นโปรแกรมที่ทำงานบนระบบปฏิบัติการ Windows มีความสามารถหลายอย่าง เช่น ระบบบัญชีธนาคาร, ระบบข้อมูลเกี่ยวกับการลงทุน, ระบบออนไลน์ส่วนบุคคล, เป็นต้น. สำหรับผู้ที่เริ่มต้นใช้งานก็มีรูปแบบและ templates ที่ใช้งานและกำหนดค่าต่างๆได้ง่าย เช่น
   - Account Organizer : organize checking, saving accounts.
   - Portfolio Organizer : organize your investment records.
   - My Web Organizer : organize your private online accounts.
   - Web Resources Organizer : organize online finance resources.

ซอฟต์แวร์จัดการด้านการเงิน (Money Organizer Deluxe)

   o ซอฟต์แวร์การเงินส่วนบุคคล (AceMoney)
   เป็นโปรแกรมที่ช่วยในการบริหารจัดการ เกี่ยวกับการเงินได้อย่างง่ายดาย และรวดเร็ว สามารถรองรับทุกความต้องการสำหรับใช้งานที่บ้านหรือที่สำนักงาน โดยมีลักษณะเด่นต่างๆดังนี้
   - ระบบจัดการบัญชีธนาคารต่างๆ เช่น ตรวจสอบบัญชีเงินฝากธนาคาร, ตรวจสอบบัญชีเกี่ยวบัตรเครดิต, ตรวจสอบเงินกู้ เป็นต้น หรือสามารถสร้างบัญชีเงินฝากรูปแบบใหม่ๆได้
   - ระบบบริหารจัดการงบประมาณ โดยระบบนี้สามารถแบ่งงบประมาณได้มากกว่า 100 งบประมาณ และสามารถจำกัดงบประมาณของแต่ละอย่างได้
   - ระบบเงินลงทุน เช่น การซื้อขายหุ้นต่างๆ, วางแผนการลงทุน เป็นต้น
   - ระบบบริหารจัดการอัตราแลกเปลี่ยน สามารถรองรับอัตราแลกเปลี่ยนได้มากกว่า 150 อัตรา และสามารถดาวน์โหลดอัตราแลกเปลี่ยนจากอินเตอร์เน็ตแบบอัตโนมัติได้อีกด้วย
   - ระบบติดตามรายได้-ค่าใช้จ่าย สามารถแสดงรายงานเป็นแผนภูมิ หรือค้นหารายรับ-รายจ่ายต่างๆได้
   - ระบบธนาคารออนไลน์ สามารถดาวน์โหลดข้อมูล และนำเข้าจากธนาคารแบบออนไลน์ในรูปแบบ QIF และ OFX หากคุณต้องการใช้ในธุรกิจขนาดเล็กสามารถส่งออกเป็นไฟล์รูปแบบ HTML, ข้อความ, CSV เพื่อสร้างงบหรือดำเนินการวิเคราะห์ที่ซับซ้อนทางสถิติได้
   - ระบบตรวจสอบวันครบกำหนดชำระเงิน AceMoney สามารถเตือนผู้ใช้เมื่อใกล้ถึงวันครบกำหนดชำระเงินได้
   - ระบบรักษาความปลอดภัยในทุกๆไฟล์, มีตารางการสำรองข้อมูล, มี Features อื่นๆอีกมากมาย สำหรับผู้ใช้ที่มีประสบการณ์ทางด้านบัญชี
   - ระบบวางแผนการชำระหนี้ AceMoney สามารถคำนวณสินเชื่อต่างๆ เพื่อวางแผนการชำระหนี้และการชำระเงินแบบมืออาชีพ สามารถประมาณการจ่ายชำระเงินในอนาคต หากผู้ใช้วางแผนที่จะซื้ออสังหาริมทรัพย์
   - ระบบที่รองรับการขายหรือทำธุรกิจแบบอิเลคทรอนิกส์ AceMoney สามารถรับ Order แบบอัตโนมัติจาก PayPal, RegNow, RegSoft, SWReg and Plimus ได้
   - AceMoney สามารถใช้งานบนระบบปฏิบัติการ Windows, Linux, Mac

AceMoney

  o ซอฟต์แวร์การตรวจงบประมาณ (Check2Check Budget)
   เป็นโปรแกรมที่ใช้ตรวจสอบงบประมาณ, สรุปยอดเงิน, ยอดคงเหลือ สามารถแสดงผลเป็นกราฟหรือตาราง เพื่อให้ผู้ใช้สามารถบริหารจัดการได้ง่าย รายการต่างๆที่เกิดขึ้นสำหรับเดือนใดๆก็สามารถวางแผนไว้ได้ในอนาคตและแสดงแผนงานของคุณ มีการควบคุมเกี่ยวกับบัตรเครดิต โดยสามารถแสดงยอดเงินคงเหลือ, ค่าธรรมเนียม, การจ่ายชำระเงิน, ดอกเบี้ย, และสรุปผลประจำปี เพื่อแสดงภาระหนี้สินทั้งหมด มี Drop down list ให้เลือกดูข้อมูลในกราฟแท่ง เมื่อทำการเลือกข้อมูลแล้วโปรแกรม ก็จะทำการกรองและหาข้อมูลตามที่ระบุอย่างง่าย โดยจะทำการสรุปข้อมูลทำให้คุณสามารถCopy ข้อมูลไปใช้ในเดือนต่อๆไปได้ สามารถรองรับได้มากกว่า 200 transactions ต่อเดือน และมากกว่า 20 บัตรเครดิต

ซอฟต์แวร์การตรวจงบประมาณ (Check2Check Budget)

ข้อดีของการใช้ E-Banking มีดังนี้
  · ลูกค้าสามารถใช้บริการได้ทุกที่ทุกเวลาที่ต้องการ
  · ความรวดเร็วในการให้บริการ
  · ให้ความสะดวกสบายแก่ลูกค้า
  · เป็นการให้บริการที่มีประสิทธิภาพ
  · มีบริการเสริมต่างๆ มากมาย

ปัญหาที่พบในปัจจุบันของ E-Banking
  · ความปลอดภัย
  · ลูกค้าไม่เข้าใจระบบ
  · การแพร่หลายของอินเตอร์เน็ตยังมีน้อย
  · ขั้นตอนการสมัครยังยุ่งยากและใช้เวลานาน
  · ลูกค้ายังไม่คุ้นกับการใช้เทคโนโลยีในการใช้บริการ

แนวโน้มของ E-Banking ในอนาคต
  จำนวนผู้ใช้บริการ E-Banking จะมีมากขึ้น เนื่องจาก
   · ความรวดเร็วในการเชื่อมต่ออินเทอร์เน็ตมีมากขึ้น
   · ลูกค้ารู้สึกมีความสะดวกสบายเพิ่มขึ้น

เทคโนโลยีของ E-Banking
  ตัวอย่างเทคโนโลยี E-Banking ของ TFB เช่น
   · CORPORATE CONNECT เป็นการพัฒนารูปแบบการให้บริการลูกค้าระดับองค์กรธุรกิจของธนาคารกสิกรไทย โดยผ่านระบบคอมพิวเตอร์ โดยลูกค้าของธนาคารสามารถเชื่อมระบบคอมพิวเตอร์ของบริษัท ตรงเข้ากับระบบคอมพิวเตอร์ของธนาคารกสิกรไทยที่ได้มีการสร้างหน้าจอแสดงถึงบริการต่างๆ ที่ลูกค้าต้องการจะทำ ธุรกรรมที่ลูกค้าของธนาคารกสิกรไทย สามารถกระทำได้โดยผ่านบริการ CORPORATE CONNECT จะประกอบด้วย
     - การจัดการด้านการเงิน (Cash Connect) คือ ธุรกรรมการโอนเงิน โดยการโอนเงินระหว่างบัญชี จะมีวงเงินโอนได้สูงสุดครั้งละ 10 ล้านบาท ไม่จำกัดจำนวนครั้ง การโอนเงินให้บุคคลอื่นที่มีบัญชีกับธนาคารกสิกรไทย สามารถโอนได้ครั้งละ 3 ล้านบาท และไม่จำกัดจำนวนครั้งเช่นกัน และการโอนเงินให้บุคคลอื่นที่มีบัญชีต่างธนาคาร สามารถโอนได้โดยไม่ต้องผูกบัญชีที่จะโอนเงินล่วงหน้า นอกจากนี้ บริษัทที่ใช้บริการ CORPORATE CONNECT ยังสามารถดูรายการการชำระเงินของลูกค้าผ่านช่องทางต่างๆ เช่นเคาน์เตอร์สาขาธนาคาร เครื่องเอทีเอ็ม ธนาคารทางโทรศัพท์ อินเทอร์เน็ต ตลอดจนการสอบถามข้อมูลทางบัญชี รายงานด้านการเงิน และสอบถามข้อมูลบัญชีออมทรัพย์ และกระแสรายวันได้ย้อนหลัง 6 เดือน
     - ธุรกิจการค้าระหว่างประเทศ (Trade Connect) คือ การเปิด L/C บิลเรียกเก็บสินค้าเข้า/ออก การโอนเงินต่างประเทศ สินเชื่อสินค้าเข้า/ออก รวมทั้งการเรียกดูข้อมูลเกี่ยวกับอัตราดอกเบี้ย ค่าธรรมเนียม ตลอดจนการติดตามสถานะของตั๋วเงิน และการติดต่อกับคู่ค้าต่างประเทศ
     - การซื้อขายเงินตราต่างประเทศ และการบริหารความเสี่ยง (F/X Connect) คือการซื้อขายเงินตราต่างประเทศโดยระบบออนไลน์ ที่มีความปลอดภัย รวดเร็ว และมีมาตรฐาน ทั้งในรูปแบบของการซื้อขายทันที (Spot Transaction) และการซื้อขายล่วงหน้า (Forward Transaction)
     - TFB E - Banking Center ประกอบด้วยบริการอัตโนมัติกว่า 10 รูปแบบ ที่ลูกค้าสามารถทำรายการต่างๆ กับธนาคารได้ด้วยตัวเอง ผ่านเครื่องมือและอุปกรณ์อิเล็กทรอนิกส์ต่างๆ ได้แก่ TFB E-ATM เป็นเครื่องเอทีเอ็มที่ให้บริการได้มากกว่าการถอนเงิน คือ ลูกค้าสามารถโอนเงิน ชำระเงินซื้อประกันอุบัติเหตุ หรือบริจาคเงิน เพื่อการกุศลได้ด้วยตัวเอง
     - TFB E-Phone Banking เป็นบริการระบบโทรศัพท์อัตโนมัติ เพื่อทำรายการทางธนาคาร หรือสอบถามข้อมูลบริการร่วมกับการให้บริการของศูนย์ลูกค้าสัมพันธ์ที่ หมายเลขโทรศัพท์ (02) 1571
     - TFB E-Info Service เป็นบริการส่งข้อมูลเกี่ยวกับบริการของธนาคารให้แก่ลูกค้าผ่านทางเพจเจอร์ และมือถือระบบดิจิตอล ตามวันเวลาที่ลูกค้าระบุ อาทิ ยอดเงินคงเหลือในบัญชี ยอดเช็คคืน หรืออัตราแลกเปลี่ยนเงินตราต่างประเทศ
     - TFB E-Mobile Banking เป็นบริการธนาคารทางโทรศัพท์อัตโนมัติผ่านระบบ Short Message Service (SMS) ของโทรศัพท์มือถือระบบดิจิตอล
     - TFB E-Saving Account เป็นบริการเงินฝากออมทรัพย์ที่ไม่จำเป็นต้องพกพาสมุดบัญชี โดยลูกค้าสามารถพิมพ์เอกสารรายการเดินบัญชี (Statement) ที่เครื่อง TFB E-ATM ได้
     - TFE E-Cash Card เป็นบัตรเดบิตในประเทศของธนาคารที่สามารถเลือกรูปภาพบนบัตรได้ด้วย ตนเอง โดยสามารถใช้ชำระค่าสินค้า และบริการที่ร้านค้าในประเทศไทยได้โดยการลงลายมือชื่อ และใช้เป็นบัตรเอทีเอ็มได้
     - TFB E-Commerce Ser-vice เป็นบริการเรียกเก็บเงินจากบัตรเครดิตสำหรับร้านค้าที่ขายสินค้าทางอินเตอร์เน็ต และเครื่องปรับสมุดเงินฝากอัตโนมัติ

· E-Wallets (Electronic Wallets)



  ในอนาคต E-Wallets จะเป็นที่สนใจแก่คนทั่วไปมากขึ้นเพราะมีความเป็นส่วนตัว, สะดวกสบาย และรวดเร็ว โดยมีบริการต่างๆ ดังนี้
     - Online shopping ด้วยโทรศัพท์มือถือ
       E-wallet สามารถอำนวยความสะดวกในการใช้ซื้อสินค้าทางโทรศัพท์มือถือและ PDA
     - เปรียบเทียบราคาสินค้าหรือบริการ
       E-Wallets สามารถเปรียบราคาสินค้าหรือบริการได้ทุกที่ที่มีอินเตอร์เน็ต เพื่อไว้ใช้ซื้อสินค้าหรือบริการแบบออนไลน์และออฟไลน์ การให้บริการแบบนี้จะมีความโปร่งใสอยู่ในการควบคุมของผู้บริโภค
     - Bill Payments
       E-Wallets สามารถทำการชำระเงินตามใบเรียกเก็บเงินที่เรียกเก็บเงินในนามของผู้ใช้ บริการนี้รวมถึงแสดงตารางกำหนดเวลาการชำระเงินของใบแจ้งหนี้และรับใบเรียกเก็บเงินแล้วแสดงเป็นรายงานได้
     - การเข้าถึงข้อมูลส่วนบุคคล
       E-Wallets สามารถเข้าถึงข้อมูลส่วนบุคคลในจุดเดียว เช่น ข้อมูลการรักษาพยาบาลการประกัน, รถยนต์, จำนอง, การเกษียณอายุ, รายงานการลงทุน. ข้อมูลทั้งหมดจะถูกเก็บเพื่อรอการประมวลผลและสรุปรวม ข้อมูลและทำการขยายการสรุปรวมนี้ไปทางการประมูลออนไลน์และเกมออนไลน์
     - Virtual Personal Organizer
       E-Wallets สามารถเก็บข้อมูลต่างๆได้ เช่น ปฏิทินของผู้ใช้, รายชื่อสำหรับติดต่อ, ตารางการทำงาน และรายชื่ออื่นๆในเครือข่าย โดยสามารถที่จะดึงข้อมูลมาเพื่อปรับปรุงได้
     - การจ่ายชำระค่าสินค้าหรือบริการด้วยระบบไร้สาย ณ จุดขาย
       E-Wallets จะอนุญาตให้ทำการชำระค่าสินค้าหรือบริการ ณ จุดขายได โดยอุปกรณ์นั้นต้องมีการติดตั้งระบบอินฟราเรด หรือ บลูทูธ อิเล็กทรอนิกส์กระเป๋าซอฟต์แวร์จะทำการดึงข้อมูลหมายเลขบัตรเครดิตของผู้ใช้จากเครือข่ายแล้วทำการส่งหมายเลขบัตรเครดิตจากอุปกรณ์ของผู้ใช้ทางอินฟราเรดหรือบลูทูธไปยัง ณ จุดขายเพื่อทำการชำระเงินค่าสินค้าหรือบริการ
     - Pre-emptive Purchasing
       E-Wallets จะทำการประมวลผลการซื้อสินค้าหรือบริการของผู้บริโภคและจะบันทึกการซื้อรวมถึงรายละเอียดของการซื้อ เช่น เมื่อผู้บริโภคซื้อสินค้าช่วงต้นเดือนเป็นประจำ เมื่อถึงเวลาที่กำหนด
       E-Wallets ก็ทำการเตือนล่วงหน้าผู้บริโภคให้ทำการซื้อสินค้านั้น เป็นต้น
     - Device to device Person to Person Payments.
       E-Wallets สามารถทำการโอนการจ่ายชำระเงินจากของผู้ใช้หนึ่งไปยังอีกของผู้ใช้อีกคนหนึ่งได้ โดยต้องทำการติดตั้งระบบ E บนอุปกรณ์ทั้งสองเครื่อง
     - Customized for Internet Appliances
       E-Wallets สามารถติดต่อกับอุปกรณ์เครื่องใช้ไฟฟ้าที่มีการเชื่อมต่อไปยังอินเตอร์เน็ตได้ เช่น เมื่อสินค้าบริโภคบางอย่างในตู้เย็นหมด ตู้เย็นก็จะทำการส่งข้อมูลเพื่อทำการซื้อสินค้านั้นไปยัง E-Wallets และให้ E-Wallets ทำการชำระเงิน หรือ ติดต่อกับเครื่องเล่นเกม เพื่อทำการซื้อเกมใหม่และทำการจ่ายชำระค่าเกมนั้น หรือ เชื่อมต่อกับ settop-box เพื่อชำระค่าเคเบิ้ลทีวี, ค่าใช้จานดาวเทียมดูทีวีได้ เป็นต้น

Security Trends e-Banking ของ Compass Security
  - ใช้ 128 bit SSL Encryption
  - มี Digital Server Certificate
  - ใช้ระบบ Threefold Security System: Username, Password and Strike List

· Security Measures


  - Attack Detection
  - การตรวจสอบการโจมตีจาก hijacking โดย
  - การใช้คำสั่งต่างๆต้องระบุค่า parameters
  - ต้องมี SSL Session เดียวกัน
  - การตรวจสอบการทำรายการ โดย
  - เก็บสถิติเกี่ยวกับพฤติกรรมของผู้ใช้
  - เปรียบเทียบการทำรายการต่างๆกับพฤติกรรมของผู้ใช้
  - บันทึกรายชื่อของผู้ใช้
  - จำกัดจำนวนการทำรายการ
  - Second Channel
  - ส่งการยืนยันการใช้ไปทางแชเนลอื่น เช่น
  - ส่งไปยังแอปพลิเคชันอื่นบนคอมพิวเตอร์
  - ส่งไปยังโทรศัพท์เคลื่อนที่ ทาง SMS
  - Secured Channel
  - ป้อนข้อมูลโดยใช้อุปกรณ์ภายนอก โดย
  - อุปกรณ์ภายนอกไม่สามารถควบคุมได้โดย Trojan
  - อุปกรณ์ภายนอกนั้นมีรหัสผ่าน
  - Secure Platform
  - คอมพิวเตอร์ที่ใช้เฉพาะสำหรับ e-Banking โดย
  - รันโปรแกรมจากซีดีรอม, USB Stick
  - อุปกรณ์ที่จำลองให้เหมือนจริง
  - แล็ปท็อปสำหรับ e-Banking
  - Secure Environment
  - การเริ่มรันโปรแกรมโดยใช้ Brower ที่มีการป้องกันจาก Trojans เช่น
  - Downstripped Browser
  - โปรแกรมที่มีลิขสิทธิ์
  - มีการตรวจสอบการล็อคอินเข้าใช้

· Current client security approaches:

o โปรแกรมที่ใช้รักษาความปลอดภัย
- รัน Browser บน USB stick
- โปรแกรมมีการรักษาความปลอดภัยสำหรับเครื่อง client
- ระบบปฏิบัติการเสมือนจริงบน host system
- รันโปรแกรมจาก CD-ROM หรือ USB stick

o Transaction Signing

- Transaction ต้องมีรายละเอียดและปลดล็อคได้จากโทรศัพท์มือถือ (SMS)
- อุปกรณ์ภายนอกต้องทำงานกับ SmartCard
- สามารถอ่านข้อมูลจากทางหน้าจอและทำการถอดรหัสบนอุปกรณ์ภายนอก



สรุป
การให้บริการแบบ E-Banking กำลังเป็นที่นิยมเนื่องจากสะดวกและรวดเร็ว อีกทั้งยังมีการให้บริการหลายรูปแบบที่ตอบสนองความต้องการของลูกค้าได้แบบหลากหลาย
การเข้าถึงระบบ E-Banking สามารถทำได้ทุกทีที่มีการเชื่อต่ออินเตอร์เน็ต โดยสามารถใช้บริการบนเครื่องคอมพิวเตอร์, โทรศัพท์มือถือ, PDA เป็นต้น
ในปัจจุบันยังมีการเชื่อมต่อไปยังอุปกรณ์ที่เป็นเครื่องใช้ไฟฟ้าที่สามารถเชื่อมต่ออินเตอร์เน็ตได้ เช่น เครื่องเล่นเกมเพลย์สเตชั่น เชื่อมต่อเพื่อสั่งซื้อเกมและชำระเงินแบบอัตโนมัติ
คาดว่าในอนาคตก็อาจมีบริการรูปแบบใหม่เกิดขึ้นอีกมากมายอย่างแน่นอน

เอกสารอ้างอิง
16. http://www.softsearch.com/ac4/product1.asp?Product_ID=313112

Account Information System (วิชา ITM 640)

 




ระบบสารสนเทศทางการบัญชี (Account Information System : AIS)

ระบบ (System) หมายถึงกิจกรรมที่มีความสัมพันธ์กันตั้งแต่ 2 กิจกรรมขึ้นไปมาประกอบกัน โดยมีวัตถุประสงค์ร่วมกัน เช่น ระบบของมหาวิทยาลัยจะประกอบด้วยคณะต่างๆหลายคณะ แต่ละคณะก็สามารถแบ่งออกเป็นสาขาวิชาได้อีก จะเห็นได้ว่าสาขาวิชาเป็นระบบย่อยของคณะ และคณะก็เป็นระบบย่อยในมหาวิทยาลัย

ข้อมูล (Data) หมายถึงข้อเท็จจริงต่างๆ ที่เก็บรวบรวมไว้ เป็นเพียงสิ่งที่บอกเหตุการณ์ที่ได้เกิดขึ้น แต่ไม่มีความหมาย หรือมีประโยชน์ในการตัดสินใจ เช่น ขายผ้าทอเกาะยอได้ 25 ผืน ขายน้ำตาลแว่นได้ 15กิโลกรัม เป็นต้น

สารสนเทศ (Information) หมายถึงข้อมูลที่ได้ผ่านการประมวลผลและถูกจัดให้ อยู่ในรูปที่ มีความหมายและมีประโยชน์ต่อการตัดสินใจ หรือนำไปใช้งาน เช่น ยอดขายเพิ่มขึ้น หรือลดลงจากปีที่แล้ว ในอัตราร้อยละเท่าใด


รูปแบบ ความสัมพันธ์ระหว่าง ข้อมูลและสารสนเทศ

ระบบสารสนเทศ (Information System) หมายถึงระบบงานที่ออกแบบขึ้นมา เพื่อประมวลผลข้อมูล ให้เป็นสารสนเทศ หรือจากข้อมูลดิบที่ไม่มีความหมายให้อยู่ในรูปที่มีความหมาย หรือมีประโยชน์ต่อการตัดสินใจของผู้ใช้ ซึ่งการประมวลผลข้อมูลดังกล่าว อาจจะทำด้วยมือ หรือเครื่องคอมพิวเตอร์ก็ได้


ระบบสารสนเทศทางการบัญชี (Account Information System) คือ ระบบที่พัฒนาขึ้นเพื่อใช้งานในกิจการเฉพาะด้านระบบงานการบัญชี โดยใช้ทรัพยากรบุคคล คอมพิวเตอร์ อุปกรณ์รอบข้าง ทำหน้าที่หลักในการบันทึก ประมวลผล และจัดทำสารสนเทศทางบัญชี ให้เป็นสารสนเทศที่มีประโยชน์ในการตัดสินใจต่อผู้ใช้ระบบสารสนเทศทางการบัญชีมีความสำคัญต่อการดำเนินธุรกิจดังนี้
1. การเก็บบันทึกรายการที่เกิดขึ้นของธุรกิจ
2. การประมวลผลข้อมูลให้ได้สารสนเทศที่มีประโยชน์ต่อการวางแผน การสั่งการและการควบคุม
3. การควบคุมสินทรัพย์ (รวมถึงสารสนเทศ) ของธุรกิจให้มั่นใจว่า ข้อมูลที่ได้มานั้นถูกต้องและเชื่อถือได้

รายการบัญชีที่เกิดขึ้นจากการดำเนินงานของธุรกิจสามารถแบ่งได้เป็น 5 วงจร ได้แก่
1. วงจรรายจ่าย (Expenditure Cycle) ประกอบด้วยกิจกรรมที่เกี่ยวข้องกับการจัดซื้อ การชำระหนี้
2. วงจรการผลิต (Production Cycle) ประกอบด้วยกิจกรรมที่เกี่ยวข้องกับ การผลิต
3. วงจรทรัพยากรมนุษย์ (Human Resources/Payroll Cycle) ประกอบด้วยกิจกรรมที่เกี่ยวข้องกับ การสรรหาคัดเลือก เงินเดือน ค่าตอบแทนของพนักงาน
4. วงจรรายรับ (Revenue Cycle) ประกอบด้วยกิจกรรมที่เกี่ยวข้องกับ การรับเงิน
5. วงจรการเงิน (Financing Cycle) ประกอบด้วยกิจกรรมที่เกี่ยวข้องกับ การจัดหาเงิน การชำระเงินกู้ การจ่ายเงินปันผลให้แก่ผู้ถือหุ้น



จากรูป ด้านล่าง แสดงถึงความสัมพันธ์ลักษณะรับ – จ่าย ในระบบย่อยของระบบสารสนเทศทางการบัญชี ทั้ง 5 วงจร เช่น ในวงจรรายจ่าย มีการจ่ายเงินสดเพื่อชำระค่าสินค้าหรือบริการ ในวงจรรายรับ มีการส่งมอบสินค้าหรือบริการและรับเงิน เป็นต้น นอกจากนี้ระบบย่อยทั้ง5 วงจรยังเชื่อมโยงข้อมูลกับ ระบบบัญชีแยกประเภททั่วไป และการออกรายงานงบการเงินให้กับผู้ใช้ทั้งภายนอกธุรกิจ ได้แก่ เจ้าหนี้ ผู้ถือหุ้น หน่วยงานราชการและผู้ใช้ภายในธุรกิจได้แก่ ผู้บริหารระดับสูง ผู้จัดการ พนักงาน ด้วย




ความสัมพันธ์ลักษณะรับ – จ่าย ในระบบย่อยของระบบสารสนเทศทางการบัญชี

ผู้ใช้ประโยชน์จากสารสนเทศทางการบัญชีแบ่งได้ 2 กลุ่มใหญ่ๆ คือ
1. บุคคลภายในองค์กร เช่น ผู้บริหารในระดับต่างๆ
2. บุคคลภายนอกองค์กร เช่นผู้ถือหุ้น นักลงทุน เจ้าหนี้ หน่วยงานรัฐบาล และคู่แข่งขัน เป็นต้น

ส่วนประกอบของระบบสารสนเทศทางการบัญชี
1.เป้าหมายและวัตถุประสงค์ (Goals and Objectives)
2.ข้อมูลเข้า (Inputs)
- ยอดขายสินค้า ราคาขายของกิจการ
- ราคาขายของคู่แข่งขัน ยอดขายของคู่แข่งขัน
3. ตัวประมวลผล (Processor) คือ เครื่องมือที่ใช้ในการแปลงสภาพจากข้อมูลให้เป็นสารสนเทศ มักใช้ คอมพิวเตอร์ทำงาน
- การคำนวณ การเรียงลำดับ
- การคิดร้อยละ
- การจัดหมวดหมู่ การจัดทำกราฟ ฯลฯ
4. ข้อมูลออก หรือผลลัพธ์ (Output) คือ สารสนเทศที่มีประโยชน์ต่อผู้ใช้
5. การป้อนกลับ (Feedback)
6.การ เก็บ รักษาข้อมูล (Data Storage)
7. คำสั่งและขั้นตอนการ ปฏิบัติงาน (Instructions and Procedures)
8. ผู้ใช้ (Users)
9. การควบคุมและรักษา ความปลอดภัยของข้อมูล (Control and Security Measures)

วัตถุประสงค์ของระบบสารสนเทศทางการบัญชีมี 3 ประการ คือ
1. เพื่อสนับสนุนการปฏิบัติงานประจำวัน
2. เพื่อสนับสนุนการตัดสินใจของผู้ บริหาร
3. เพื่อสนับสนุนการปฏิบัติตามภาระหน้าที่ทางกฎหมาย

หน้าที่ของระบบสารสนเทศทางการบัญชี
1. การรวบรวมข้อมูล (Data Collection)
2. การประมวลผลข้อมูล (Data Processing)
3. การจัดการข้อมูล (Data Management)
4. การควบคุมข้อมูล และรักษา ความปลอดภัยของข้อมูล (Data Control and Data Security)
5. การจัดทำสารสนเทศ (Information Generation)



ระบบสารสนเทศเพื่อการจัดการ (MIS) หมายถึง ระบบที่รวบรวมและจัดเก็บข้อมูลจากแหล่งข้อมูลต่าง ๆ ทั้งภายใน และภายนอกองค์การอย่างมีหลักเกณฑ์ เพื่อนำมาประมวลผลและจัดรูปแบบให้ได้สารสนเทศที่ช่วยสนับสนุนการทำงาน และการตัดสินใจในด้านต่าง ๆ ของผู้บริหารเพื่อให้การดำเนินงานขององค์การเป็นไปอย่างมีประสิทธิภาพ

โดยที่เราจะเห็นว่า MIS จะประ กอบด้วยหน้าที่หลัก 2 ประการ ดังนี้
1. สามารถเก็บรวบรวมข้อมูลจากแหล่งต่าง ๆ ทั้งจากภายในและภายนอกองค์การมาไว้ด้วยกันอย่างเป็นระบบ
2. สามารถทำการประมวลผลข้อมูลอย่างมีประสิทธิภาพ เพื่อให้ได้สารสนเทศที่ช่วย สนับสนุนการปฏิบัติงานและการบริหารงานของผู้บริหาร
ดังนั้นถ้าระบบใดประกอบด้วยหน้าที่หลักสองประการ ตลอดจนสามารถปฏิบัติงานในหน้าที่หลักทั้งสองได้อย่างครบถ้วน และสมบูรณ์ ระบบนั้นก็สามารถถูกจัดเป็นระบบ MIS ได้

ระบบ MIS ไม่จำเป็นที่จะต้องสร้างขึ้นจากระบบคอมพิวเตอร์ MIS อาจสร้างขึ้นมาจากอุปกรณ์อะไรก็ได้ แต่ต้องสามารถปฏิบัติหน้าที่หลักทั้งสองประการได้อย่างครบถ้วนและสมบูรณ์ แต่เนื่องจากปัจจุบันคอมพิวเตอร์เป็นอุปกรณ์ที่มีประสิทธิภาพในการจัดการข้อมูล นักวิเคราะห์และออกแบบระบบ (System Analyst and Designer) จึงออกแบบระบบสารสนเทศให้มีคอมพิวเตอร์เป็นอุปกรณ์หลักในการจัดการสารสนเทศ

ปัจจุบันขอบเขตการทำงานของระบบสารสนเทศขยายตัวจากการรวบรวมข้อมูลที่มาจากภายในองค์การไปสู่การเชื่อมโยงกับแหล่งข้อมูลจากสิ่งแวดล้อมภายนอก ทั้งจากภายในท้องถิ่น ประเทศ และระดับนานาชาติปัจจุบันธุรกิจต้องใช้เทคโนโลยีสาร สนเทศที่มีศักยภาพ สูงขึ้นเพื่อสร้าง MIS ให้สามารถปฏิบัติหน้าที่ได้อย่างมีประสิทธิภาพ และเป็นเครื่องมือสำคัญที่ช่วยเพิ่ม ขีดความสามารถของธุรกิจ และขีดความสามารถในการบริหารงานของผู้บริหารในยุคปัจจุบัน แต่ปัญหาที่น่าเป็นห่วงคือคน ส่วนใหญ่ยังไม่เข้าใจในศักยภาพและขอบเขตของการใช้งานระบบสารสนเทศ (MIS) นอกจากนี้บุคลากรบางส่วนที่ขาดความเข้าใจอย่างแท้จริงเกี่ยวกับเทคโนโลยีสารสนเทศ มีทัศนคติที่ไม่ดีต่อการใช้งานระบบสารสนเทศ ไม่ยอมเรียนรู้และเปิดรับการเปลี่ยนแปลง จึงให้ความสนใจหรือความสำคัญกับการปรับตัวเข้ากับ MIS น้อยกว่าที่ควร

สรุปลักษณะสำคัญ มีดังนี้
1. มุ่งเน้นประโยชน์ทางด้านการควบคุมให้แก่ฝ่ายบริหาร
2. มีความยืดหยุ่นได้น้อย ลักษณะของรายงาน จะมีรูปแบบค่อนข้างตายตัว
3. ส่วนใหญ่จะใช้ข้อมูลจากภายในองค์กรมากกว่าภายนอกองค์กร
4. ใช้ข้อมูลในอดีตและปัจจุบันในการตัดสินใจ
ความสัมพันธ์ระหว่าง MIS และ AISมี 2 แนวคิด คือ
1. AIS คือ ระบบย่อย ของ MIS
2. AIS และ MIS มีความสัมพันธ์แบบคาบเกี่ยวกัน
กิจการธุรกิจโดยทั่วไป แบ่งเป็น 3 ประเภท ดังนี้
1. กิจกรรมพาณิชยกรรม คือ ซื้อมาขายไป
2. กิจกรรมบริการ
3. กิจกรรมอุตสาหกรรม หรือผลิตสินค้า
วงจรทางการค้า (Transaction Cycles)แบ่งได้ 4 วงจร คือ
1. วงจรรายได้
2. วงจรรายจ่าย
3. วงจรการจัดการทรัพยากร
4. วงจรบัญชีแยกประเภททั่วไป และรายงานทางการเงิน
วงจรบัญชีแยกได้ 2 ประเภท คือ
1. วงจรบัญชีการเงิน ประกอบด้วยกิจกรรม ดังนี้
1.1 รวบรวมรายการค้า
1.2 จำแนกประเภทและใส่ รหัสบัญชี
1.3 บันทึกรายการในสมุดรายวัน
1.4 ผ่านรายการบัญชีไปยังบัญชีแยกประเภทที่เกี่ยวข้อง
1.5 จัดทำงบทดลอง
1.6 จัดทำงบการเงิน
2. วงจรบัญชีเพื่อการจัดการ ประกอบด้วยกิจกรรม ดังนี้
2.1 รวบรวมข้อมูล
2.2 ประมวลผลข้อมูล
2.3 เก็บรักษาข้อมูล
สาเหตุของการพัฒนาระบบสารสนเทศทางการบัญชี
1. มีการเปลี่ยนแปลงเกิดขึ้นทั้งภายในและสภาวะแวดล้อม
2. เกิดข้อบกพร่องขึ้นภายในองค์กร
3. ความก้าวหน้าของเทคโนโลยี
บุคลากรกับการพัฒนาระบบสารสนเทศทางการบัญชี
1. ฝ่ายการจัดการ
2. คณะกรรมการอำนวยการระบบสารสนเทศ
3. คณะทำงานพัฒนาโครงการ
4. นักวิเคราะห์ระบบและผู้เขียนโปรแกรม
5. นักบัญชี
6. ผู้ตรวจสอบภายใน
7. บุคคลภายนอก

บทบาทของนักบัญชีต่อระบบสารสนเทศทางการบัญชี



หลักการขั้นพื้นฐานในการจัดทำสารสนเทศทางการบัญชี
1. รวบรวบเอกสารขั้นต้นที่ใช้เป็นหลักฐานประกอบการบันทึกรายการค้า
1.1 วงจรรายได้ : ขายสินค้า
- ใบสั่งซื้อของลูกค้า
- ใบกำกับสินค้า/ใบกำกับภาษี
- ใบเสร็จรับเงิน/ใบกำกับภาษี
1.2 วงจรค่าใช้จ่าย : ซื้อสินค้า, จ่ายค่าใช้จ่าย
- ใบขอซื้อ, ใบสั่งซื้อ
- ใบกำกับสินค้า/ใบกำกับภาษี
- ใบเสร็จรับเงิน/ใบกำกับภาษี
2. บันทึกรายการค้าลงในสมุดรายวัน
- วิเคราะห์รายการค้า
- จัดทำผังบัญชีตามลักษณะรายการค้าของธุรกิจ
- สมุดรายวันทั่วไป สำหรับ ธุรกิจขนาดเล็ก
- สมุดรายวันเฉพาะ สำหรับธุรกิจขนาดกลางถึงขนาดใหญ่
3. ผ่านรายการไปยังบัญชีแยกประเภททั่วไปและแยกประเภทย่อย
4. จัดทำงบทดลองและกระดาษทำการ
5. จัดทำรายงานการเงินและรายงานเพื่อการบริหารรายงานการเงินตามมาตรฐานการบัญชีฉบับที่ 35 ย่อหน้าที่ 7 ประกอบด้วย
- งบดุล
- งบกำไรขาดทุน
- งบกระแสเงินสด
- งบแสดงการเปลี่ยนแปลงส่วนของเจ้าของ หรืองบกำไรขาดทุนเบ็ดเสร็จ
- หมายเหตุประกอบงบการเงิน

รายงานเพื่อการบริหาร ขึ้นอยู่กับวัตถุประสงค์ในการใช้งาน เช่น
- งบดุลแยกตามส่วนงาน เช่น ตามสายผลิตภัณฑ์, ตามสาขา
- งบกำไรขาดทุนแยกตามส่วนงาน
- รายงานการขายรายไตรมาสเปรียบเทียบ
- รายงานค่าใช้จ่ายในการขายรายไตรมาสเปรียบเทียบ




ประโยชน์จากระบบสารสนเทศทางบัญชี
1. ให้ข้อมูลเพื่อใช้ในการปฏิบัติงานประจำวัน
- รายงานการขายประจำวันแยกตามสายผลิตภัณฑ์
- รายงานสินค้าคงเหลือ/วัตถุดิบแยกตามคลัง
- รายงานการรับเงินประจำวัน
- รายงานการจ่ายเงินประจำวัน
- รายงานวิเคราะห์อายุลูกหนี้ที่เกินกำหนดชำระ
2. ให้ข้อมูลเพื่อใช้ในการตัดสินใจวางแผน และควบคุมการดำเนินงาน
- รายงานต้นทุนการผลิตแยกตามสายผลิตภัณฑ์, สาขา
- รายงานจำนวนและมูลค่าสินทรัพย์ถาวรแยกตามฝ่าย
- รายงานยอดขายรายไตรมาสแยกตามผู้จำหน่าย, พนักงาน
- รายงานค่าใช้จ่ายประจำเดือนแยกตามฝ่าย
- เป็นต้น ขึ้นอยู่กับความต้องการใช้งานของผู้บริหาร
3. ให้ข้อมูลขั้นพื้นฐานตามกฎหมายกำหนดแก่ผู้ใช้ภายนอก
- รายงานการเงินตามที่มาตรฐานการบัญชีฉบับที่35 กำหนดให้จัดทำ
- รายงานการเงินตามที่ตลาดหลักทรัพย์กำหนดให้จัดทำ
- รายงานการเงินตามที่กรมทะเบียนการค้า กระทรวงพาณิชย์ กำหนดให้นิติบุคคลจัดทำ

ลักษณะของการใช้ประโยชน์จากสารสนเทศ
- Relevant สารสนเทศมีความเกี่ยวข้องกับการตัดสินใจ ช่วยเพิ่มความสามารถในการตัดสินใจของผู้บริหารได้
- Reliable ความเชื่อถือได้ของสารสนเทศ แสดงถึงกิจกรรมการทำงานอย่างตรงไปตรงมาและไม่มีข้อผิดพลาด
- Complete ความครบถ้วนของสารสนเทศ
- Timely ความทันสมัยของสารสนเทศ เพื่อให้ผู้บริหารใช้ในการตัดสินใจ อย่างทันท่วงที
- Understandable การสื่อสารสารสนเทศให้ผู้บริหารเข้าใจได้
- Verifiable การตรวจสอบสารสนเทศซึ่งกันและกันได้ หากมอบหมายให้พนักงาน 2 คนประมวลผลข้อมูลชุดเดียวกัน สารสนเทศที่ได้ควรใกล้เคียงกัน

ผู้ที่เกี่ยวข้องกับการจัดทำสารสนเทศทางการบัญชี
1. กลุ่มของผู้จัดทำ ได้แก่ นักบัญชีการเงิน นักบัญชีจัดการ ที่ปรึกษาด้านภาษีอากร และผู้บริหารงานด้านการบัญชี
2. กลุ่มของผู้ตรวจสอบและประเมินผล ได้แก่ ผู้ตรวจสอบภายใน ผู้ตรวจสอบบัญชี
3. กลุ่มของผู้พัฒนาระบบ ได้แก่ ผู้ออกแบบระบบ ผู้เชี่ยวชาญด้านเทคโนโลยีสารสนเทศ นักบัญชี นักโปรแกรมเมอร์

ตัวอย่างที่ 1
บริษัท Ito-Yokado จำกัด ดำเนินธุรกิจร้าน 7-11 ในประเทศญี่ปุ่น ซึ่งมียอดขายสูงขึ้น 2 เท่า ในขณะที่การหมุนของสินค้าคงคลังลดลงจาก 25 วัน เหลือ 7 วัน นั่นหมายถึง ร้าน 7-11 สามารถขายสินค้าได้เร็วขึ้น ผลสำเร็จของการดำเนินนี้เกิดจากการที่ประธานบริษัทได้นำระบบการขายหน้าร้าน (Point of Sale : POS) และระบบการบริหารสินค้าคงคลังแบบทันเวลา (Just In Time Inventory System) มาใช้ในการวิเคราะห์การขาย ควบคุมต้นทุนการสั่งซื้อ บริหารสินค้าให้เพียงพอต่อความต้องการ โดยไม่ให้สินค้าขาด การจัดส่งสินค้ารวดเร็วแต่ไม่เสียหาย
ต่อมาบริษัทได้ขยายธุรกิจในประเทศสหรัฐอเมริกา และใช้ระบบการบริหารที่ประสบความสำเร็จในญี่ปุ่นเช่นเดียวกัน เพื่อควบคุมการทำงานของผู้จัดการร้านอย่างใกล้ชิดว่าได้ใช้ระบบในการวิเคราะห์การทำงานหรือไม่ หากผู้จัดการร้านคนใดไม่ได้ใช้ระบบในการทำงานก็จะถูกเตือนและกระตุ้นให้ใช้ระบบในการทำงานมากขึ้น

ตัวอย่างที่2
Wal-Mart เป็นธุรกิจค้าปลีกที่เจริญเติบโตรวดเร็วที่สุด เพราะบริษัทได้ลงทุนสร้างระบบสารสนเทศทางการบัญชีและเทคโนโลยีทางด้านการสื่อสาร เครือข่ายการจัดส่งสินค้า เพื่อเพิ่มประสิทธิภาพการทำงานจนทำให้ Wal-Mart กลายเป็นผู้นำในธุรกิจค้าปลีกเพราะสามารถบริหารการผลิต ลดต้นทุน และเพิ่มกำไรได้
Wal-Mart ใช้ระบบการรวมศูนย์จัดส่งสินค้าและใช้เทคโนโลยีบาร์โค้ดในการอ่านรหัสสินค้าที่รับมาจากผู้จำหน่าย เพื่อคัดแยกสินค้าสำหรับการจัดส่งไปยังคลังสินค้าต่างๆ อย่างถูกต้อง เมื่อลูกค้ามาซื้อสินค้าบาร์โค้ดจะอ่านรหัสสินค้า เพื่อระบุตัวสินค้า ราคา และจำนวนหน่วย เพื่อนำไปลดยอดประมาณสินค้าลงทำให้ผู้บริหารสามารถตรวจสอบปริมาณสินค้าและดำเนินการจัดส่งสินค้าไปเพิ่มเติมในคลังสินค้าได้ตลอดเวลา
ระบบของ Wal-Mart นี้ได้พัฒนาให้มีประสิทธิภาพขึ้นอีกระบบสารสนเทศทางการบัญชีได้เชื่อมโยงกับระบบขายของ บริษัท Procter & Gamble จำกัด (P&G) โดยอนุญาตให้บริหารปริมาณสินค้าในคลังสินค้าของ Wal-Mart ได้ เมื่อสินค้ามีประมาณลดลงถึงจุดที่ต้องสั่งซื้อ ระบบสารสนเทศทางการบัญชีจะแจ้งเตือนไปยัง P&G ให้จัดส่งสินค้ามาเพิ่มเติมโดยอัตโนมัติ ทำให้ทั้งสองบริษัทประหยัดการลงทุนและการเก็บรักษาสินค้าคงคลังส่งผลให้ต้นทุนสินค้าต่ำลง

บทสรุป
ระบบสารสนเทศทางการบัญชี มีหน้าที่หลักในการ บันทึกข้อมูล ประมวลผล และจัดทำสารสนเทศด้านบัญชีให้ผู้ใช้ภายในและผู้ใช้ภายนอก
กระบวนการจัดทำสารสนเทศทางบัญชี ทำด้วยมือ หรือด้วยคอมพิวเตอร์ก็ตาม ผลลัพธ์ออกมาเป็น สารสนเทศทางบัญชีที่ไม่แตกต่างกัน
ระบบสารสนเทศทางบัญชี มีประโยชน์แก่ผู้ใช้ 3 ประการ คือ
1. ให้ข้อมูลเพื่อการปฏิบัติงานประจำวัน
2. ให้ข้อมูลเพื่อการตัดสินใจวางแผนและควบคุม
3. ให้ข้อมูลตามกฎหมายกำหนดให้แก่ผู้ใช้ภายนอก
การจัดทำระบบสารสนเทศทางการบัญชี มีผู้ที่เกี่ยวข้องได้แก่
1. กลุ่มของผู้จัดทำบัญชี
2. กลุ่มของผู้ตรวจประเมินผล
3. กลุ่มของ ผู้พัฒนาระบบ (หมายถึงทั้งนักเทคโนโลยีสารสนเทศ และนักบัญชี)

ในอดีตการบริหารธุรกิจจะประสบความสำเร็จหรือไม่จะขึ้นอยู่กับตัวบุคคลเป็นสำคัญ กล่าวคือถ้าคนใดสามารถวางแผนได้ดี ควบคุมงานได้ดี ก็จะทำให้การบริหารกิจการนั้นสัมฤทธิ์ผลได้ แต่ในปัจจุบันเมื่อธุรกิจมีการแข่งขันมากขึ้น ประกอบกับเทคโนโลยีทางคอมพิวเตอร์ได้มีการพัฒนามากขึ้น คุณภาพของการบริหารและความอยู่รอดขององค์นั้นจึงขึ้นกับระบบมากกว่าตัวบุคคล ดังนั้นการบริหารสมัยใหม่ จะให้ความสำคัญกับระบบข้อมูล และระบบสารสนเทศมากขึ้น เพราะหากกิจการใดมีระบบสารสนเทศที่ดีกว่าก็จะทำให้สามารถให้ข้อมูลในการตัดสินใจที่รวดเร็ว ถูกต้องและมีประสิทธิภาพมากกว่า ซึ่งจะส่งผลให้กิจการนั้นสามารถอยู่รอดได้มากกว่า

แหล่งที่มา
1. Marshall B. Romney and Paul John Steinbart, Accounting Information System
2. น้อย จันทร์อำไพ, ระบบสารสนเทศทางการบัญชี
3. นันทรัตน์ นามบุรี และ ศิริชัย นามบุรี, ระบบสารสนเทศทางการบัญชี

IT Security Audit (วิชา ITM 640)


Information Technology Security Audit



การทำ IT Security Audit นั้นต้องปฏิบัติตามระเบียบและหลักเกณฑ์ ของ GLBA, NCUA, FFIEC, HIPAA ฯลฯ โดยต้องมีองค์กรอิสระเพื่อดำเนินการตรวจสอบด้านระบบรักษาความปลอดภัยของข้อมูล IT Security Audit จะเปรียบเทียบกับองค์กรในปัจจุบันด้านการควบคุมความปลอดภัยที่มาตรฐานกำหนดโดย FFIEC หรือ Best Practices based ตามมาตรฐานสากล เช่น ISO 27,001, COBIT 4 เป็นต้น กระบวนการมีขั้นตอนในการรวบรวมและตรวจสอบข้อมูลและผลกระทบต่อประสิทธิภาพการปฏิบัติงานของโปรแกรมรักษาความปลอดภัยและเพื่อช่วยระบุสาเหตุ Additionally, the examination process includes the ability to archive support data used to support audit conclusions with clear audit trails. นอกจากนี้กระบวนการตรวจสอบจะรวมความสามารถในการสนับสนุนการเก็บข้อมูลที่ใช้ในการสนับสนุนข้อสรุปการตรวจสอบกับสถานการณ์ต่างที่ชัดเจน
โดยการตรวจสอบความปลอดภัยหลักๆ มีดังต่อไปนี้
1. ควบคุมตรวจสอบและการเข้าใช้
2. การรักษาความปลอดภัยเครือข่าย
3. ความปลอดภัยของ Host
4. ความปลอดภัยของอุปกรณ์
5. ความปลอดภัยทางกายภาพ
6. การรักษาความปลอดภัยส่วนบุคคล
7. ความปลอดภัยของ Security
8. การได้มาและการพัฒนา Software
9. Business Continuity - Security
10. การเข้ารหัส
11. การรักษาความปลอดภัยของข้อมูล
12. Security Monitoring

- ความต่อเนื่องของ กระบวนการ IT Security Audit
เนื่องจากองค์กรมีการพัฒนาตลอดเวลา IT Security Audit ควรกระทำการอย่างต่อเนื่อง แต่การใช้บุคคลภายนอกมาดำเนินการตรวจสอบสิ่งที่จำเป็น อาจทำให้สิ้นเปลืองงบประมาณ โดยองค์กรอาจหันมาใช้บุคลากรของตนเองเพื่อให้ตรวจสอบระบบความปลอดภัยของ IT ได้


10 วิธีการในการทำ IT Security Audit ภายในองค์กร ดังนี้
1. ขั้นตอนแรกในการดำเนินการตรวจสอบ คือ การสร้างรายการหลักของสินทรัพย์ที่องค์กรของคุณมีเพื่อใช้ในการตัดสินใจในภายหลัง สิ่งที่ต้องการป้องกันตลอดไปในการตรวจสอบ การแสดงรายการของสินทรัพย์ที่สัมผัสได้ (คอมพิวเตอร์ , เซิฟเวอร์ , ไฟล์) จะง่ายกว่าสินทรัพย์ที่สัมผัสไม่ได้ เพื่อให้มั่นใจได้ว่า สินทรัพย์ที่สัมผัสไม่ได้ขององค์กร จะได้รับการพิจาณานั้น ควรต้องมี
- การสร้าง security perimeter ในการตรวจสอบ
security perimeter คือ ขอบเขตของความคิดและขอบเขตทางกายภาพภายในที่การตรวจสอบความปลอดภัยสามารถโฟกัสได้
2. สร้างรายชื่อภัยคุกคาม รวบรวมรายชื่อของภัยคุกคามทั้งหมดในปัจจุบันที่องค์กรเผชิญอยู่ เช่น
- รหัสผ่านของคอมพิวเตอร์และรหัสผ่านของเครือข่าย มีบันทึกของคนทั้งหมดที่มีรหัสผ่าน
- สินทรัพย์ทางกายภาพ เช่น คอมพิวเตอร์หรือแล็บท็อป สามารถเคลื่อนย้ายโดยพนักงานขององค์กรหรือแขกขององค์กร
- บันทึกเกี่ยวกับสินทรัพย์ทางกายภาพ เช่น สินทรัพย์นั้นมีอยู่หรือไม่ , มีการสำรองไว้หรือไม่
- การสำรองข้อมูล เช่น มีการสำรองข้อมูลหรือไม่ แบ็คอัพที่ไหน ใครแบ็คอัพข้อมูล
- มี logging การเข้าถึงข้อมูล เช่น สถานที่ เวลา ใคร และ ข้อมูลอะไร ที่มีการเข้าถึง
- การเข้าถึงข้อมูลของลูกค้า เช่น ข้อมูลบัตรเครดิต ใครได้เข้าใช้ วิธีที่เข้าถึงข้อมูลสามารถทำได้จากภายนอกองค์กรหรือไม่
- การเข้าถึงรายชื่อ client การเข้าใช้งานทางเว็บไซค์ไม่สามารถเข้าถึงฐานข้อมูลของ client และสามารถแฮ็กข้อมูลได้หรือไม่
- การโทรทางไกล มีการจำกัดการโทรหรือไม่จำกัดหรือไม่
- อีเมล์ มีตัวกรองอีเมล์ขยะหรือไม่ โดยพนักงานต้องศึกษาเกี่ยวกับ spam เมล์ และ phishing เมล์ องค์กรมีนโยบายในการส่งอีเมล์ภายในต้องไม่มีลิงค์ต่างๆอยู่ในนั้น
3. ตรวจสอบประวัติภัยคุกคามของคุณ
- โดยตรวจสอบบันทึกขององค์กร และ สอบถามพนักงาน ถึงภัยคุกคามที่ผ่านมา
- ตรวจสอบแนวโน้มของความปลอดภัย โดยดูจาก internet หรือวารสาร ต่างๆ ว่ามีภัยคุกคามไหนบ้างที่ส่งผลกระทบต่อองค์กรของคุณ
- แบ่งปันข้อมูลภัยคุกคามต่างๆกับบริษัทอื่น
4. การจัดลำดับความสำคัญของสินทรัพย์และจุดอ่อน ในขั้นตอนนี้คุณจะจัดลำดับความสำคัญสินทรัพย์และจุดอ่อนของคุณ เพื่อให้คุณสามารถจัดสรรทรัพยากรของบริษัทได้ตามลำดับ
- การคำนวณความน่าจะเป็น ค้นหาข้อมูลเว็บไซค์ที่จะแฮ็กข้อมูลของท่าน
- ทำการวิจัยภัยคุกคามที่ได้รวบรวมไว้และประมาณความน่าจะเป็นที่จะเกิดขึ้น
- การคำนวณความเสี่ยง คำนวณความเสี่ยงที่อาจเกิดขึ้นจากหลายๆทาง เช่น คำนวณความเสียหายที่เกิดขึ้นเป็นมูลค่า จาก สินทรัพย์ หรือ จำนวนเวลาการทำงานที่เสียไป หากเกิดภัยคุกคามขึ้น
5. การใช้ Network Access Controls (NAC)
- Network Access Controls สามารถตรวจสอบความปลอดภัยของผู้ใช้ที่เข้าสู่เครือข่าย เพื่อป้องกันการขโมยข้อมูล โดยมี ACL (Access Control List) ที่แสดงรายละเอียดของสิทธิของผู้ใช้ต่างๆในการเข้าถึงข้อมูล NAC อาจรวมขั้นตอนต่างๆ เช่น encryption, digital signatures, ACLs, verifying IP addresses, user names, checking cookies for web pages
6. การใช้การป้องกันการบุกรุก
- เมื่อ Network Access Control เจอภัยคุกคามจากผู้ใช้ที่ไม่ได้รับอนุญาติก็จะทำการติดตั้งรหัสผ่านในการเข้าถึงข้อมูล Intrustion Prevention System (IPS) จะป้องกันการโจมตีที่เป็นอันตรายเพิ่มเติมจากแฮกเกอร์
- IPS เป็น ไฟร์วอลล์ รุ่นที่สอง ไม่เหมือน รุ่นแรกที่มีแต่การกรอง content based ส่วนในรุ่นที่ 2 นี้จะเพิ่มการกรอง Rate-based เข้าไปด้วย
- Content-based ไฟร์วอลล์นี้จะทำการตรวจสอบแบบลึกในแพ็คเก็จต่างๆ เพื่อดูว่าแพ็คเก็จนั้นมีความเสี่ยงหรือไม่
- Rate-based ไฟร์วอลล์นี้มีการวิเคราะห์ขั้นสูงของ เว็บ หรือ รูปแบบการจราจรบนเครือข่าย หรือตรวจสอบ - application content ตรวจสอบเหตุการณ์ที่ผิดปรกติในแต่ละ case
7. การใช้ Identity & Access Management (IAM)
- เพื่อใช้ควบคุมการเข้าถึงสินทรัพย์ของแต่ละผู้ใช้ และกำหนดสิทธิ์ผู้ใช้แต่ละคนในการเข้าถึงข้อมูลต่างๆ
8. สร้างการสำรองข้อมูล
- การเก็บแบบ Onsite storage เช่น การถอดฮาร์ดดิสก์หรือเทปสำรองข้อมูลเก็บไว้ในวัสดุที่ทนไฟหรือ secured-access room
- การเก็บแบบ Offsite เป็นการเก็บไว้ในสื่อที่สามารถถอดได้หรือเก็บไว้บน VPN (Virtual Private Network) ผ่านทาง Internet
- การกำหนดคีย์ RFID-enabled โดยใช้ smart pass cards , VPN passwords, safe combinations เป็นต้น ในการเข้าถึงแหล่งข้อมูลที่ได้สำรองไว้
- การจัดตารางเวลาในการสำรองข้อมูลให้เหมาะสม
9. Email Protection & Filtering
- การเข้ารหัสอีเมลที่ทำการส่งออก
- Steganography เป็นเทคนิคในการซ่อนข้อมูลในการเปิด เช่น ใน digital image
- ไม่เปิดไฟล์แนบที่ติดมากับอีเมล์ หากไม่มั่นใจว่าไฟล์นั้นเป็นไฟล์ที่ต้องการ
- ไม่เปิด Spam email หรือ อีเมล์ ที่ไม่มั่นใจว่าจะเป็นอีเมล์ที่ต้องการ
10. ป้องกัน Intrusions Physical
เช่น การโมยทรัพย์สินขององค์กร อาจเป็น โน๊ตบุ๊ค หรือ อื่นๆ เป็นต้น ที่มีข้อมูลที่สำคัญๆอยู่
- ติดตั้งระบบตรวจสอบและป้องกันผู้บุกรุก
- เข้ารหัสระบบไฟล์ในฮาร์ดดิสก์
- ใช้บริการป้องกันการขโมย smartphones และ PDAs หากโทรศัพท์ถูกขโมยจะไม่สามารถใช้ได้หากไม่มี authorization code ข้อมูลในโทรศัพท์สามารถกู้คืนได้จาก server

นี่คือ 10 ขั้นตอนในการสร้าง IT Security Audit ด้วยตัวคุณเอง จะช่วยให้คุณตระหนักถึงภัยคุกคามที่อาจเกิดขึ้นในบริษัทของคุณ และ เป็นการเริ่มต้นที่จะวางแผนการรองรับภัยคุกคามนั้น ภัยคุกคามมีการเปลี่ยนแปลงอยู่เสมอ ให้คุณทำการประเมินภัยคุกคามที่เกิดขึ้นใหม่ๆนั้น เพื่อจะได้วางแผนการรองรับได้

ตัวอย่าง
โปรแกรม IT Security Audit ของ ThreeShield Information Security





คุณลักษณะ ของ Windows Security Analysis
1. ตรวจสอบสิทธิ์การเข้าถึงแฟ้มข้อมูล
- boot.ini
- autoexec.bat
2. System Information
- รุ่นของ Windows
- โดเมน
- ชื่อ DNS
- ชื่อผู้ใช้
- ชื่อคอมพิวเตอร์ / ชื่อโฮสต์
- บริษัทผู้ผลิตและรุ่น
- เซิร์ฟเวอร์ชื่อโดเมน
- โดเมน DHCP
- IP address
- เกตเวย์เริ่มต้น
3. บริการที่เป็นประโยชน์
- Windows Time
- SMS Agent
- Compaq/HP Insight Manager
- HTTP SSL (encrypted web pages)
4. การตั้งค่า Local and Domain Account
- การจำกัดรหัสผ่านเฉพาะ Local
- การจำกัดรหัสผ่าน Domain-based
- การปฏิบัติตามนโยบายรหัสผ่าน ของ NIST SP 800-63
- รหัสผ่านต้องการความซับซ้อน
- เข้ารหัสของรหัสผ่าน
- อายุของรหัสผ่าน
5. ข้อมูลเครือข่าย
- NetBIOS shares
- สถิติการสื่อสาร
- สถานะการแสดงผลของ Server
- จำนวนสูงสุดของผู้ใช้
- จำนวนสูงสุดของการเปิดไฟล์ต่อครั้ง
- เวลาที่ไม่มีการทำงาน
- เวลาปัจจุบันของเซิร์ฟเวอร์
6. Security Hardening
- การกดคีย์ Ctrl+Alt+Delete ควรต้องมีการ log-in
- แสดงรายชื่อล่าสุดของผู้ใช้ที่เข้าระบบ
- legal notice ควรจะปรากฏก่อนเข้าสู่ระบบ
- ผู้ใช้จะต้อง log-in ก่อนที่จะสามารถปิดระบบคอมพิวเตอร์
- การเข้าถึงของผู้ใช้จะเป็นแบบ Anonymous
- ความปลอดภัยของ Recovery Console
- ล้าง page file ณ เวลาปิดระบบ
- ป้องกันไม่ให้ผู้ใช้ระยะไกลติดตั้งไดรเวอร์เครื่องพิมพ์
- งดใช้แผ่นดิสเก็ต หรือ งดใช้แผ่น CD-ROM
- NTFS media (รวมไดรเวอร์แบบ hot-swappable)
7. การเข้าสู่ระบบและการตรวจสอบ
- เข้าถึงวัตถุระบบอย่างทั่วถึง
- สำรองข้อมูลและเรียกคืน
- Administrative activities
- Logons
- บริการ Directory
- Process tracking (ต้องมีกลไกเพื่อล้างล็อก)
- Account changes
- Security rule (policy) changes
- system events
8. Server Access
- เข้า Registry จากคอมพิวเตอร์ระยะไกล
- เปลี่ยนชื่อบัญชีของ Guest
- เปลี่ยนชื่อบัญชีของผู้ดูแลระบบ
- Guest account disabled
- Administrator account disabled
9. Automatic updates
- มีการดาวน์โหลดอัพเดทอัตโนมัติและติดตั้ง
- มีการอัพเดทเซิฟเวอร์อัตโนมัติ
10. การจัดการ Patch
- Java ® Runtime Environment version 1.4.2 and 1.3.1
- Computer Associates CAM version 1.11
11. กรอง TCP/IP
- กรอง Global TCP/IP
- กรอง TCP/IP โดยใช้ network card
- จำกัดการใช้ TCP and UDP ports จาก IP address
- จำกัดการใช้ Protocols จาก IP address
12. Default directories ที่ควรลบ
- Adminscripts
- IISsamples
- InetSRV
- default .dll and .asp files
- InetAdmins
- IISAdmin
- IADMpwd
13. Network activity
- ทุกกิจกรรมที่มีการเชื่อมต่อต้องมาจาก Port ที่น่าเชื่อถือ
- services listening สำหรับกิจกรรมต้องมาจาก Port ที่น่าเชื่อถือ
14. Event Logs
- ตรวจสอบ retention and purging
- แสดงขนาดของ log file
15. Trojans, Backdoors, and Worms
- Back Orifice
- Back Orifice 2000
- Beast
- Citrix ICA
- Donald Dick
- Masters Paradise
- Netmeting Remote Desktop
- Netbus
- pcAnywhere
- Reachout
- Remotely Anywhere
- Remote
- Timbuktu
- VNC
16. Active Directory
- ผู้ใช้รหัสผ่านที่ไม่หมดอายุ
- ผู้ใช้ที่มีบัญชีที่ไม่ต้องใช้รหัสผ่าน
- ผู้ใช้ที่มีบัญชีที่ไม่หมดอายุและไม่ต้องใช้รหัสผ่าน
- ผู้ใช้ที่ยังไม่ได้เข้าสู่ระบบมากกว่า 1 ปี หรือ การพยายามใช้ Bad password


ตัวอย่าง
การบริการ IT Security Audit ของ THAICERT

-IT Risk Assessment and Management Service
สารสนเทศ เป็นทรัพยากรที่มีคุณค่าสูงสุดขององค์กร การบริหารจัดการสารสนเทศจึงมีความจำเป็นโดยพื้นฐานเพื่อสร้างความมั่นคง ปลอดภัยและความต่อเนื่องในการดำเนินงาน ก่อให้เกิดข้อได้เปรียบทางด้านการแข่งขัน สร้างความเชื่อมั่นต่อหน่วยงานภายนอกที่เกี่ยวข้อง รวมทั้งรักษาภาพพจน์และชื่อเสียงที่ดีขององค์กร
โดยทั่วไปองค์กรมีความจำเป็นที่จะต้องสร้างความมั่นคงปลอดภัยให้กับสารสนเทศขององค์กรทั้งในแง่ของความลับ ความถูกต้อง และความพร้อมใช้งานของสารสนเทศ ดังนั้นองค์กรจึงมีความจำเป็นต้องประเมินความเสี่ยงที่อาจเกิดขึ้นต่อสารสนเทศที่ใช้งาน และกำหนดแนวทางในการบริหารจัดการความเสี่ยงเหล่านั้นเพื่อให้องค์กรสามารถดำเนินงานต่อไปได้อย่างต่อเนื่องและมีประสิทธิภาพ
การประเมินความเสี่ยง คือการศึกษา วิเคราะห์ และประเมินว่าทรัพย์สินสารสนเทศขององค์กรมีความเสี่ยงต่อการเกิดความเสียหาย มากน้อยเพียงใด โดยพิจารณาจากระดับความสำคัญของทรัพย์สิน ภัยคุกคามที่อาจเกิดขึ้นต่อทรัพย์สิน และจุดอ่อนของทรัพย์สินเหล่านั้น ซึ่งผลลัพธ์จากการประเมินจะทำให้ทราบระดับความเสี่ยงต่อทรัพย์สินแต่ละอย่าง ทั้งที่ที่ยอมรับได้และยอมรับไม่ได้โดยจะต้องผ่านการอนุมัติจากผู้บริหารของ องค์กร จากนั้นก็สามารถบริหารจัดการกับความเสี่ยงโดยกำหนดมาตรการอันเหมาะสมในการ แก้ไขจุดอ่อน และป้องกันภัยคุกคามโดยอ้างอิงตามมาตรฐานความปลอดภัยสากล ISO17799 / BS7799
THAICERT มีบริการด้านการแนะนำวิธีการและการทำสัมมนาเชิงปฏิบัติการเพื่อให้ตัวแทนขององค์กรได้ฝึกปฏิบัติและเรียนรู้วิธีการบริหารจัดการความเสี่ยงที่มีต่อ สารสนเทศโดยอาศัยเทคนิคการบริหารจัดการความเสี่ยงอ้างอิงตามข้อกำหนดใน มาตรฐาน ISO17799 / BS7799 รวมทั้งสามารถวางแผนเพื่อบริหารความเสี่ยงที่มีต่อสารสนเทศขององค์กรต่อไป โดยผู้ให้บริการเป็นผู้เชี่ยวชาญที่ได้รับประกาศนียบัตรการผ่านการฝึกอบรมหลักสูตร Information Security Management System (ISMS) Auditor/Lead Auditor ซึ่งอ้างอิงมาตรฐานความปลอดภัยสากล ISO17799 / BS7799


ISO17799 / BS7799

-บริการ Security Auditing
การรักษาความมั่นคงปลอดภัยของระบบเครือข่ายทั้งที่ใช้งานภายในองค์กรและให้บริการแก่ลูกค้าหรือผู้ใช้บริการมีความจำเป็นและสำคัญต่อองค์กร ดังนั้นองค์กรจึงควรจัดหาหน่วยงานที่มีความเชี่ยวชาญและมีประสบการณ์สูงทางด้านการรักษาความปลอดภัยเครือข่ายคอมพิวเตอร์ เพื่อทำการศึกษาและวิเคราะห์ระบบความปลอดภัยของระบบเครือข่ายที่เกี่ยวข้องทั้งหมดขององค์กร ประเมินระดับความปลอดภัย ค้นหาจุดอ่อนที่สำคัญ พร้อมทั้งเสนอแนะมาตรการในการแก้ไขปัญหาที่พบตามความเหมาะสม ได้แก่
1. Penetration Test ระบบของท่านเคยโดน Hack หรือไม่? ท่านมั่นใจได้แค่ไหนว่าระบบของท่านจะป้องกัน Hacker ได้ 100 เปอร์เซ็นต์?
บริการนี้เป็นการให้บริการทดสอบบุกรุกระบบเพื่อตรวจสอบว่าระบบมีจุดอ่อนหรือช่องโหว่ทางด้านใดบ้าง เป็นการจําลองสถานการณ์หากมีการถูกเจาะระบบโดยแฮกเกอร์ การให้บริการทดสอบการบุกรุกระบบนี้จะดําเนินการจากภายนอกหรือภายในระบบเครือข่ายขององค์กร การทดสอบจากทั้งสองแบบนั้น ผู้เชี่ยวชาญจะทราบข้อมูลเพียงเบื้องต้นเกี่ยวกับระบบขององค์กรเท่านั้น ซึ่งจะเสมือนเป็นการบุกรุกจาก Hacker ตัวจริง
ทั้งนี้เมื่อการทดสอบการบุกรุกระบบเสร็จสิ้นลง ผู้เชี่ยวชาญจะระบุจุดอ่อนของระบบที่พบและนําเสนอวิธีการ แก้ไขเป็นการเฉพาะสําหรับระบบนั้นๆ
2. Vulnerability Scanning องค์กรส่วนใหญ่ไม่สามารถทราบได้ว่าระบบเครือข่ายคอมพิวเตอร์ หรือเซิร์ฟเวอร์ในองค์กรมีช่องโหว่ที่เป็นช่องทางให้แฮกเกอร์ หรือผู้บุกรุกเข้ามาจู่โจมระบบได้หรือไม่ การเฝ้าระวัง และตรวจสอบค้นหาช่องโหว่อย่างสม่ำเสมอถือเป็นวิธีการที่สำคัญเพื่อขจัดปัญหาดังกล่าวข้างต้น เพราะผู้ดูแลระบบสามารถแก้ไขและซ่อมแซมช่องโหว่ได้ทันก่อนจะเกิดการบุกรุกจากแฮกเกอร์ โดยมีบริการผ่านเว็บ (Web Service) นั่นคือบริการ Web-Based Vulnerability Scanner ซึ่งใช้ในการค้นหาและทดสอบช่องโหว่ของเครื่องเซิร์ฟเวอร์และระบบเครือข่าย ผลการตรวจสอบจะอยู่ในรูปแบบของรายงาน พร้อมคำแนะนำจากผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยซึ่งสามารถนำไปประยุกต์ใช้ หรือแก้ไขได้ตรงจุดของช่องโหว่ได้ทันที
3. Information Security Assessment (ISA) ทีมงานจะดำเนินการศึกษา วิเคราะห์และเสนอแนวทางในการปรับปรุงระดับความมั่นคงปลอดภัยของระบบเครือข่ายขององค์กรเพื่อเพิ่มประสิทธิภาพและประสิทธิผลในการดำเนินงานหรือปฏิบัติหน้าที่ของพนักงานภายในองค์กร รักษาทรัพย์สินสารสนเทศขององค์กรให้ปลอดภัยจากภัยคุกคามที่อาจเกิดขึ้น ระบบสามารถให้บริการทั้งภายในและภายนอกอย่างต่อเนื่องหรือมีการหยุดชะงักของระบบน้อยที่สุด และสร้างความเชื่อมั่นต่อลูกค้าหรือผู้ใช้บริการซึ่งใช้ระบบเครือข่ายขององค์กร

-บริการวางแผนสร้างความปลอดภัยให้แก่สารสนเทศขององค์กร ( IT Security Plan Development Service )
องค์กรที่ใช้ระบบสารสนเทศในการดำเนินงานหลายองค์กรประสบปัญหาภัยคุกคามและเกิดผล กระทบต่อองค์กรทั้งในแง่ของการสูญเสียชื่อเสียงและทรัพย์สินอันมีค่า ทั้งนี้เนื่องมาจากองค์กรไม่ได้ตระหนักถึงความสำคัญของการรักษาความปลอดภัยของสารสนเทศรวมถึงไม่มีการวางแผนที่ดีในการป้องกันและรักษาทรัพย์สิน สารสนเทศขององค์กรให้มีความปลอดภัยและสามารถใช้งานได้อย่างมีประสิทธิภาพ เพื่อให้องค์กรดำเนินงานได้อย่างต่อเนื่องและมีประสิทธิภาพ ดังนั้นจึงได้มีบริการนี้ขึ้น โดยทีมงานจะศึกษาและวิเคราะห์สถานภาพของระบบสารสนเทศปัจจุบันขององค์กรและเสนอแนะแผนการสร้างความปลอดภัยให้กับสารสนเทศขององค์กร เพื่อให้องค์กรนำแนวทางดังกล่าวไปใช้ปกป้องทรัพย์สินสารสนเทศขององค์กรให้ปลอดภัยและสามารถใช้งานได้อย่างมีประสิทธิภาพมากขึ้น


ตัวอย่าง
บริการ IT Security Audit ของ สำนักบริการเทคโนโลยีสารสนเทศภาครัฐ

บริการ IT Security Audit เป็นส่วนประกอบของ บริการ Information Security Management คือ บริการดูแลและบริหารจัดการเครือข่ายและระบบ แบบปลอดภัย ซึ่ง บริการ IT Security Audit เป็นบริการตรวจสอบและแก้ไขปัญหาระบบความมั่งคงปลอดภัยสารสนเทศภาครัฐ ในส่วนของการวางแผนด้านการรักษาความปลอดภัยของข้อมูล และขั้นตอนการนำแผนที่วางไว้มาปฏิบัติ ซึ่งประกอบไปด้วยบริการ ต่างๆ ดังนี้
- Penetration Test เป็นการทดสอบการเจาะระบบจากภายนอก เพื่อหาจุดอ่อนของระบบที่อาจจะมีการบุกรุกได้ ทั้งในระดับ Network และ Application
- Risk Assessment เป็นการประเมินและการจัดการความเสี่ยงของระบบสารสนเทศสำหรับเครื่องให้บริการของหน่วยงาน ตลอดจนสภาวะแวดล้อมที่เหมาะสมต่างๆ
- Vulnerability Scan เป็นการตรวจสอบและประเมินช่องโหว่ของระบบที่มีอยู่ โดยทำการตรวจสอบอย่างละเอียดเป็นราย IP
- Risk Treatment/Mitigation เป็นการดำเนินการเพื่อลดความเสี่ยงของระบบสารสนเทศ โดยอยู่ในรูปของการกำหนดและการวางนโยบายด้านความปลอดภัยของระบบซึ่งอิงตามมาตรฐาน ISO/IEC 27001/2005
- Hardening เป็นการดำเนินการทางเทคนิคเพื่อปิดช่องโหว่ต่างๆ ให้กับระบบแบบลงลึกในรายละเอียด เช่น การ upgrade patch, การติดตั้งซอฟแวร์ เป็นต้น
- Re-Vulnerability Scan ซึ่งเป็นการตรวจสอบและประเมินช่องโหว่ของระบบที่มีอยู่อีกครั้ง หลังจากทำ Hardening เพื่อให้เกิดความมั่นใจในความปลอดภัยของระบบสารสนเทศ รวมทั้งตรวจหาช่องโหว่ที่อาจเหลืออยู่เพื่อดำเนินการลดช่องโหว่ดังกล่าวต่อไป


ตัวอย่าง
IT Security Audit Procedure ของ ศูนย์เทคโนโลยีสารสนเทศและการสื่อสาร สำนักงานปลัดกระทรวงสาธารณสุข
การดำเนินการตรวจสอบเหตุการณ์ความมั่นคงปลอดภัยทางระบบสารสนเทศสำหรับองค์กรนั้น เพื่อให้สามารถรองรับเหตุการณ์ด้านความมั่นคงปลอดภัยภายในองค์กร เพื่อให้ทราบถึงรูปแบบการดำเนินการที่เป็นรูปธรรม การกำหนดเงื่อนไขหรือนโยบายการดำเนินงานของบุคลากรและอุปกรณ์ที่ใช้ภายในหน่วยงาน และแนวทางการปฏิบัติตอบสนองเหตุการณ์ความมั่นคงปลอดภัยทางระบบสารสนเทศแยกตามบทบาทหน้าที่หรือตามอุปกรณ์ เพื่อให้ทีมงานหรือบุคลากรภายในหน่วยงานสามารถนำไปปฏิบัติได้ กล่าวถึงแนวทางการสำรองข้อมูลและการปรับปรุงข้อมูลให้ทันสมัย รวมถึงการบริหารจัดการบันทึกการเปลี่ยนแปลงของกระบวนการดำเนินงานและเป็นขั้นตอนที่สำคัญที่สุดเพื่อให้แน่ใจว่ากระบวนการดังกล่าวยังสามารถปฏิบัติได้อย่างมีประสิทธิภาพ
ในองค์กรหรือหน่วยงานใดๆนั้นจะเกิดความมั่นคงสารสนเทศได้ก็ต่อเมื่อระบบฯนั้น มี
1. สภาพพร้อมใช้งาน (availability) เพราะสารสนเทศมีให้ใช้และสามารถใช้ได้ยามต้องการ โดยที่ระบบฯสามารถรับมือต่อการโจมตีและถ้ามีการโจมตีก็สามารถกู้คืนได้
2. การเก็บรักษาความลับ (confidentiality) เพราะข้อมูลและสารสนเทศในระบบฯ นั้นมีการใช้งานเฉพาะในบรรดาผู้ที่เกี่ยวข้องและผู้มีสิทธิรับรู้ในข้อมูลเท่านั้น
3. บูรณภาพ (integrity) เพราะการลงบันทึกและการเปลี่ยนแปลงแก้ไขข้อมูล การกระทำโดยผู้ได้รับอนุญาตเท่านั้น
แนวทางปฏิบัติการตรวจสอบระบบสารสนเทศ
- การตรวจสอบระบบประจำวัน
1. เครื่องให้บริการ (Server) สำหรับระบบที่มีช่วงเวลาให้บริการ ให้สำรวจ Drive ที่ใช้ Boot ระบบได้ ไม่ให้มีแผ่นดิสก์ หรือ CD ใด ๆ ค้างอยู่ ก่อนเปิดระบบ และให้เปิดอุปกรณ์ที่ต้องใช้กระแสไฟฟ้าเป็นปริมาณมากก่อน เช่น เครื่องปรับอุณหภูมิ รวมทั้งอุปกรณ์รายล้อมอื่นๆ
1.1 ในการเริ่มต้นทำงานแต่ละวัน (เมื่อระบบเริ่มทำงานแล้ว) ให้ตรวจสอบโปรแกรมรักษาความปลอดภัยที่ติดตั้ง ดังนี้
- Audit Log File / รายงานจากโปรแกรม Firewall / รายงานจากโปรแกรม Anti Virus /รายงานจากโปรแกรมตรวจสอบการบุกรุกเครือข่าย (Intrusion Detection Network System) ตรวจดูการใช้งานระบบที่ผ่านมา เพื่อหาการลับลอบเข้าระบบนอกเวลา หรือ พฤติกรรมน่าสงสัย เช่น ใส่รหัสผ่าน ผิดมากเกินไป มีการใช้งานระบบโดยใช้สิทธิของผู้ใช้ที่ไม่ได้มาทำงาน มีการส่งข้อมูลออกไปนอกระบบที่ไม่ได้อนุญาต
- Security Assessment Tools ตรวจหาช่องโหว่ของระบบ เพื่อแก้ไขจุดอ่อนของระบบและ Update ข้อมูลของโปรแกรมตรวจสอบ ถ้าพบว่าไม่ทันสมัย แล้วตรวจระบบอีกครั้ง
- ตรวจสอบข่าวสาร รปภ.ระบบ แจ้งเตือนภัย การประกาศข้อบกพร่องของระบบปฏิบัติการ หรือซอฟต์แวร์ใช้งานประเภทต่าง ๆ รวมทั้งเว็บที่เกี่ยวข้องกับกลุ่ม แฮกเกอร์ เพื่อให้สามารถปรับการป้องกันได้ทันที จากแหล่งข้อมูลต่อไปนี้
- ThaiCERT
- ผู้ผลิตโปรแกรมป้องกันไวรัส
1.2 ระหว่างช่วงเวลาทำงาน ให้หมั่นตรวจสอบความปลอดภัยของระบบ ดังนี้
- จุดอ่อนของระบบ ตรวจสอบจาก Security Assessment Tools เมื่อพบให้แก้ไขทันที หรือไม่ควรเกิน 1 วัน - การ Scan port โดยเฉพาะ Server ที่มีการเชื่อมต่อกับอินเตอร์เน็ต
- การพยายามเข้าระบบโดยไม่ถูกต้อง ตรวจสอบจาก Audit Log File
1.3 ก่อนปิดระบบ หรือก่อนเลิกปฏิบัติงาน ให้ตรวจสอบระบบ ดังนี้
- ตรวจสอบการสำรองข้อมูลสำคัญภายใน Server (ถ้ามี)
- ตรวจสอบผู้ใช้งานว่าได้ออกจากระบบอย่างถูกต้องหมดแล้ว
- ตรวจสอบผู้ใช้งานให้มีการสำรองข้อมูลที่ต้องการก่อนปิดระบบ 10 นาที
1.4 การดำเนินการเมื่อตรวจพบการละเมิด และข้อบกพร่องที่ต้องแก้ไข
- หากพบว่ามีการบุกรุกจากภายในระบบ ให้ตรวจสอบแหล่งกระทำผิด และตัดออกจากเครือข่าย หาผู้ละเมิด แจ้งเตือนให้ผู้รับผิดชอบระบบอื่น ๆ ที่ได้รับผลกระทบทราบ ตรวจสอบความเสียหายของระบบที่ถูกละเมิด ปรับแก้ไข รายงานผู้บังคับบัญชา ลงโทษทางวินัย (ถ้าหาผู้ละเมิดได้) ในความผิดไม่ร้ายแรงลงโทษทางกฎหมาย กรณีเกิดความเสียหายร้ายแรงแก่ทางราชการ
- หากพบว่ามีการบุกรุกจากภายนอกระบบ ประสานหน่วยเกี่ยวข้องหาแหล่งกระทำผิดแจ้งเตือนให้ผู้รับผิดชอบระบบอื่น ๆ ที่ได้รับผลกระทบทราบ ตรวจสอบความเสียหายของระบบที่ถูกละเมิด แก้ไขจุดอ่อนที่เป็นสาเหตุ รายงานผู้บังคับบัญชา ลงโทษทางกฎหมายผู้ละเมิด (ถ้ามี)
- หากพบการแพร่กระจายไวรัสคอมพิวเตอร์กำลังดำเนินอยู่ ตรวจสอบและแยกแหล่งแพร่ไวรัสออกจากเครือข่าย โดยถอดสาย LAN ออก ตรวจสอบระบบที่ถูกทำลายแก้ไขข้อบกพร่องที่เป็นสาเหตุ เช่น ปรับข้อมูลการตรวจสอบไวรัสให้ทันสมัย แก้ไขจุดอ่อนของระบบปฏิบัติการ
- กรณีหน่วยไม่สามารถแก้ไขสถานการณ์ได้เอง ให้ขอรับการสนับสนุนที่ศูนย์เทคโนโลยีสารสนเทศและการสื่อสาร สำนักงานปลัดกระทรวงสาธารณสุข
2. เครื่องลูกข่าย ให้ตรวจสอบดังนี้
- โปรแกรมป้องกันไวรัสที่ติดตั้ง ได้รับการปรับข้อมูลให้ทันสมัยแล้ว ทุกเครื่อง
- รหัสผ่านของผู้ใช้ทุกคนมีความแข็งแกร่ง
- ระบบปฏิบัติการได้รับการปรับข้อแก้ไขทั้งหมดแล้ว ทุกเครื่อง
- การตั้งค่าของโปรแกรมรักษาความปลอดภัยเช่น Firewall Anti Virus มีความเหมาะสม
- มีการสำรองข้อมูลที่ใช้งานแล้วอย่างครบถ้วน หลังปฏิบัติงานเรียบร้อยแล้ว


สรุป
Information Technology Security Audit เป็นสิ่งจำเป็นสำหรับองค์กรที่ต้องการรักษาความปลอดภัยของข้อมูล เนื่องจากในบางองค์กรข้อมูลบางอย่างเป็นสิ่งสำคัญ หากต้องถูกขโมยไป หรือเสียหายนั้น ย่อมก่อให้เกิดความเสียหายในตัวมูลค่าที่สามารถวัดเป็นตัวเงินได้อาจมากหรือน้อยขึ้นอยู่กับข้อมูลนั้นๆ
การทำ Information Technology Security Audit ต้องอาศัยบุคคลที่มีความเชี่ยวชาญมากในการทำ เพื่อลดหรือกำจัด สิ่งที่จะทำให้เกิดความเสียหายต่อข้อมูล ซึ่งในปัจจุบันมีหลายบริษัทที่มีบริการทางด้านนี้ หรืออาจจะใช้บุคคลากรในองค์กรก็ได้ ดังนั้นในองค์กรใดที่ยังไม่มี การทำ Information Technology Security Audit ควรเริ่มให้มีโดยเร็ว เพื่อลดผลเสียหายทีจะเกิดขึ้นต่อไปในอนาคต

แหล่งข้อมูล
- 10 Steps to Creating Your Own IT Security Audit, itsecurity
- T Security Audit Software, ThreeShield Information Security
- IT Security Audit Procedure, สำนักงานปลัดกระทรวงสาธารณสุข
- IT Security Audit Services, ThaiCERT