ภาพปกของบทความ
เรื่องราวธุรกิจ / IT GENIUS
CyberSecurity Foundation EP.05 — Assume Breach + Risk: ออกแบบเมืองสำหรับวันที่โจรเข้ามาแล้ว
2026-05-11 · #IT #security #cybersecurity-foundation
ป้อมปราการ 5+ ชั้นพร้อมแล้ว — แต่ถ้าโจรฝ่าเข้ามาได้ล่ะ? นี่คือ mindset ที่ Microsoft / Google / Netflix ใช้เปลี่ยนเกม: สมมติว่าโจรอยู่ในป้อมแล้ว ออกแบบให้ damage จำกัด + รู้เร็ว + ลงทุนตาม Risk ไม่ใช่ตามความรู้สึก
ภาพปกของบทความ
เรื่องราวธุรกิจ / IT GENIUS
CyberSecurity Foundation EP.04 — Defense in Depth + Diversity of Controls: ป้อมปราการ 5 ชั้น
2026-05-11 · #IT #security #cybersecurity-foundation
CIA บอก 'เป้าหมาย' แต่ไม่ได้บอก 'วิธีไปถึง'. ป้อมปราการที่ดีไม่มีกำแพงเดียว — มี 5+ ชั้นต่างเทคนิค พร้อมชั้นทดแทนสำหรับจุดที่ซ่อมไม่ได้. นี่คือวิธีคิดของนายช่างที่รู้ว่าโจรเก่งกว่าที่คิดเสมอ
ภาพปกของบทความ
เรื่องราวธุรกิจ / IT GENIUS
CyberSecurity Foundation EP.03 — CIA Triad: 3 คำถามที่ยามทุกคนต้องตอบ
2026-05-11 · #IT #security #cybersecurity-foundation
ในเมืองที่ของมีค่ามากขึ้น ยามที่ดีต้องตอบ 3 คำถามให้ได้ทุกครั้ง — ใครเห็นได้บ้าง / ของถูกแก้ไหม / ใช้ได้ตอนต้องใช้ไหม. ถ้า control ตัวไหนตอบไม่ได้ แปลว่าอาจไม่จำเป็น
ภาพปกของบทความ
เรื่องราวธุรกิจ / IT GENIUS
CyberSecurity Foundation EP.02 — 4 เคสที่เปลี่ยนวงการ (Equifax / Target / Capital One / SolarWinds)
2026-05-11 · #IT #security #cybersecurity-foundation
4 เมืองใหญ่ที่ถูกปล้น 4 รูปแบบ — Equifax, Target, Capital One, SolarWinds — อ่านจบเห็น pattern ที่ทำให้บริษัทใดๆ พังได้ ไม่ว่าใหญ่หรือเล็ก
ภาพปกของบทความ
เรื่องราวธุรกิจ / IT GENIUS
CyberSecurity Foundation EP.01 — Cybersecurity คือเรื่องของคุณ ไม่ใช่แค่ฝ่าย IT
2026-05-11 · #IT #security #cybersecurity-foundation
เปิดซีรีส์ CyberSecurity Foundation ภาษาคน — ทำไมเรื่องนี้ไม่ใช่ของฝ่าย IT คนเดียวอีกต่อไป และถ้ายังคิดว่าตัวเองไม่มีอะไรน่าขโมย คุณคือเหยื่อในอุดมคติของโจรยุคนี้
ภาพปกของบทความ
เรื่องราวธุรกิจ / IT GENIUS
CyberSecurity Foundation EP.00 (Prologue) — 5 Generations + PPT + ไขความสับสน CISA vs CISA
2026-05-11 · #IT #security #cybersecurity-foundation
ก่อนเข้าซีรีส์ 52 ตอน — บทเปิดที่ปูภาพใหญ่ที่สุด: วิวัฒนาการของ Security 5 generations จาก Computer Security (1970s) → Information Security (1990s) → Cybersecurity (2010s) → Cyber Resilience (2017+) → Cyber Dominance (2020+ ยุค AI). พร้อม PPT Framework (People + Process + Technology) — mental model ที่ครอบทุกยุค. และไขความสับสน CISA 2 ตัวที่คนเขียนเหมือนกันแต่คนละหน่วยงาน — ISACA CISA (certification) กับ US CISA (Cybersecurity and Infrastructure Security Agency) ที่ออก CRR (Cyber Resilience Review) — 10 domains assessment ที่บริษัท critical infrastructure ใช้กันทั่วโลก
ภาพปกของบทความ
เรื่องราวธุรกิจ / IT GENIUS
CyberSecurity Foundation — สารบัญรวม 52 ตอน: เดินทัวร์เมือง security ฉบับภาษาคน
2026-05-11 · #IT #security #cybersecurity-foundation
ซีรีส์ 52 EP ที่พาคุณ — เจ้าของกิจการ ผู้บริหาร พนักงาน หรือคนทั่วไปที่ใช้ smartphone — เข้าใจโลก cybersecurity ทั้งภาพ ตั้งแต่ WHY (ทำไมเรื่องนี้สำคัญกับคุณ) → HOW (ใครคือใคร ใช้ framework ตัวไหน) → WHAT (Identity / Data / Infrastructure / Operations / Governance). ไม่ต้องเป็นโปรแกรมเมอร์ ไม่ต้องสอบใบเซอร์ฯ แค่อยากเข้าใจเมืองของตัวเอง
ภาพปกของบทความ
เรื่องราวธุรกิจ / IT GENIUS
ย้าย Image Gen จาก Flux Schnell → Z-Image Turbo — ภาคอัพเดต local stack
2026-05-09 · #IT #AI
หลัง 2 อาทิตย์ใช้ Flux Schnell ก็เจอ Z-Image Turbo — Apache 2.0 เหมือนกัน, text rendering ดีกว่า, stack เล็กกว่า. เล่าทำไมเปลี่ยน, อะไรเปลี่ยน, 10 lessons hard-won (Layer A v4 subject-agnostic, define-center-precisely, rich-not-empty, ControlNet trade-off)
ภาพปกของบทความ
เรื่องราวธุรกิจ / เปิดบริษัท หัดทำธุรกิจ
Project Management 101 EP.14 — Certifications + Career roadmap + ปิดบท
2026-05-09 · #ธุรกิจ #การจัดการ #project-management
PMP, PRINCE2, PMI-ACP, PSM, CSM, SAFe — ใครควรสอบใบไหน, มูลค่าตลาด, content overlap + career roadmap ของ PM + สรุปทั้งซีรีส์
ภาพปกของบทความ
เรื่องราวธุรกิจ / เปิดบริษัท หัดทำธุรกิจ
Project Management 101 EP.13 — เคสล้มจริง: Denver, NHS, Boeing
2026-05-09 · #ธุรกิจ #การจัดการ #project-management
Denver Airport baggage system ($560M overrun), NHS NPfIT (£12B หาย), Heathrow T5, Boeing 737 MAX (346 ตาย), Healthcare.gov 2013, Mythical Man-Month — root cause + lesson ที่ใช้ judge โปรเจคได้
ภาพปกของบทความ
เรื่องราวธุรกิจ / เปิดบริษัท หัดทำธุรกิจ
Project Management 101 EP.12.5 — ก่อนใช้เครื่องมือ: first principles จาก Lean, TOC, Musk
2026-05-09 · #ธุรกิจ #การจัดการ #project-management
ก่อนเปิด Gantt / WBS / EVM / SAFe ครั้งต่อไป ถาม first principles ก่อน — Toyota Production System, Theory of Constraints, Musk's 5 steps, Lean Startup, Brooks's Law + Bezos two-pizza, Cynefin, pre-mortem — philosophy ที่อยู่เบื้องหลังทุกเครื่องมือ
ภาพปกของบทความ
เรื่องราวธุรกิจ / เปิดบริษัท หัดทำธุรกิจ
Project Management 101 EP.12 — วัดความสำเร็จ: EVM + DORA + Product mindset
2026-05-09 · #ธุรกิจ #การจัดการ #project-management
วัด project ยังไง — EVM (SPI/CPI ของ classic), DORA 4 metrics ของ DevOps (deployment frequency, lead time, change fail rate, MTTR) + shift จาก project mindset → product mindset
ภาพปกของบทความ
เรื่องราวธุรกิจ / เปิดบริษัท หัดทำธุรกิจ
Project Management 101 EP.11 — Waterfall vs Agile vs Hybrid
2026-05-09 · #ธุรกิจ #การจัดการ #project-management
เปรียบเทียบ 2 ขั้วใหญ่ + Hybrid (Water-Scrum-Fall) ที่บริษัทจริงใช้ เมื่อไหร่ Waterfall ดีกว่า เมื่อไหร่ Agile ดีกว่า ทำไมบริษัทใหญ่ส่วนมากเป็น Hybrid
ภาพปกของบทความ
เรื่องราวธุรกิจ / เปิดบริษัท หัดทำธุรกิจ
Project Management 101 EP.09 — Project Cost + Budget Management
2026-05-09 · #ธุรกิจ #การจัดการ #project-management
Cost types (Direct/Indirect, Fixed/Variable, CAPEX/OPEX, Sunk), estimation techniques (Analogous, Parametric, Bottom-up, 3-point), budget development (cost baseline + contingency reserve + management reserve), financial justification (NPV/IRR/Payback/TCO), cost pitfalls
ภาพปกของบทความ
เรื่องราวธุรกิจ / เปิดบริษัท หัดทำธุรกิจ
Project Management 101 EP.10 — 50+ คน: SAFe / LeSS / Conway's Law
2026-05-09 · #ธุรกิจ #การจัดการ #project-management
ทีมใหญ่ 50-500+ คนทำงานยังไงไม่ทับซ้อน SAFe vs LeSS vs Spotify Model + Conway's Law (โครงสร้างทีม → โครงสร้างระบบ) + Brooks' Law (เพิ่มคนกับโปรเจคที่ช้าอยู่แล้ว ช้าลงอีก)
ภาพปกของบทความ
เรื่องราวธุรกิจ / เปิดบริษัท หัดทำธุรกิจ
Project Management 101 EP.08 — Risk + Quality + Procurement
2026-05-09 · #ธุรกิจ #การจัดการ #project-management
Risk cycle (Identify → Assess → Treat → Monitor) + risk register, QA vs QC + Cost of Quality, RFP/RFQ/RFI + contract types (Fixed-price / T&M / Cost-plus) — 3 หัวข้อที่ PMP เน้นแต่ตำราภาษาคน skip
ภาพปกของบทความ
เรื่องราวธุรกิจ / เปิดบริษัท หัดทำธุรกิจ
Project Management 101 EP.07 — เครื่องมือ classic: WBS / Gantt / CPM / PERT / EVA
2026-05-09 · #ธุรกิจ #การจัดการ #project-management
WBS (Work Breakdown Structure) ต่างจาก task list ยังไง, Gantt chart, Critical Path Method (CPM), PERT 3-point estimation, Earned Value Management (SPI/CPI), MoSCoW prioritization — เครื่องมือที่ PMP เน้น
ภาพปกของบทความ
เรื่องราวธุรกิจ / เปิดบริษัท หัดทำธุรกิจ
Project Management 101 EP.06 — Stakeholder + Change Management
2026-05-09 · #ธุรกิจ #การจัดการ #project-management
ใครคือ stakeholder, Mendelow matrix (power × interest), ทำไมโปรเจคล้มเพราะคน ไม่ใช่เพราะ tech + Change Management (ADKAR + Kotter 8 steps) — เรื่องคนยอมรับ/ต้านการเปลี่ยน
ภาพปกของบทความ
เรื่องราวธุรกิจ / เปิดบริษัท หัดทำธุรกิจ
Project Management 101 EP.05 — 5-15 คน: Scrum / Kanban / Lean / XP
2026-05-09 · #ธุรกิจ #การจัดการ #project-management
Scrum 101 (Sprint, standup, retrospective), Kanban (visualize work, limit WIP), Lean (Toyota → software), XP (pair programming, TDD) — ภาษาคน เมื่อไหร่ใช้อะไร เมื่อไหร่ไม่เหมาะ
ภาพปกของบทความ
เรื่องราวธุรกิจ / เปิดบริษัท หัดทำธุรกิจ
Project Management 101 EP.04 — Roles + Team Setup: ใครเป็นใครในโปรเจค
2026-05-09 · #ธุรกิจ #การจัดการ #project-management
Sponsor, Steering Committee, Project Manager, PMO, Product Owner, Scrum Master, BA, Tech Lead, Architect — ใครทำอะไร ใครรายงานใคร + RACI matrix + two-pizza team + feature team vs component team
ภาพปกของบทความ
เรื่องราวธุรกิจ / เปิดบริษัท หัดทำธุรกิจ
Project Management 101 EP.03 — 1 คน + 2-5 คน: ก่อนต้องการ framework
2026-05-09 · #ธุรกิจ #การจัดการ #project-management
เถ้าแก่คนเดียวบริหารตัวเองยังไง ทีม 2-5 คน + co-founder coordinate ยังไง เมื่อไหร่ Trello + Notion พอ ทำไม startup ขนาดเล็กไม่ต้อง Scrum
ภาพปกของบทความ
เรื่องราวธุรกิจ / เปิดบริษัท หัดทำธุรกิจ
Project Management 101 EP.02 — Project / Program / Portfolio + Lifecycle
2026-05-09 · #ธุรกิจ #การจัดการ #project-management
3 ระดับของงาน Project (ทำชิ้นเดียว), Program (กลุ่ม project ที่เกี่ยวกัน), Portfolio (ทุก program ของบริษัท) + 5 phase ของ project lifecycle (Initiation → Planning → Execution → Monitoring → Closing) + Project ต่างจาก BAU ยังไง
ภาพปกของบทความ
เรื่องราวธุรกิจ / เปิดบริษัท หัดทำธุรกิจ
Project Management 101 EP.01 — ประวัติศาสตร์: จาก Henry Gantt ถึง Agile Manifesto
2026-05-09 · #ธุรกิจ #การจัดการ #project-management
PM เป็น discipline อายุยังไม่ถึง 100 ปี เกิดจาก Hoover Dam, Manhattan Project, Polaris missile, Royce paper 1970, Brooks 1975 ถึง Agile Manifesto 2001 ทำไมแต่ละยุคต้องเกิดเครื่องมือใหม่
ภาพปกของบทความ
เรื่องราวธุรกิจ / เปิดบริษัท หัดทำธุรกิจ
Project Management 101 — สารบัญ: ภาษาคน จาก 1 คน ถึง enterprise
2026-05-09 · #ธุรกิจ #การจัดการ #project-management
Mini-series 15 ตอน Project Management ในภาษาคน — ตั้งแต่ Project/Program/Portfolio, lifecycle, roles, methodology (Scrum/Kanban/Waterfall/Agile/SAFe), เครื่องมือ (WBS/Gantt/PERT/EVA), cost + budget, การวัด (DORA), philosophy (Lean/TOC/Musk), เคสล้มจริง ถึง certification ทุกใบ
ภาพปกของบทความ
เรื่องราวธุรกิจ / เปิดบริษัท หัดทำธุรกิจ
Organization Anatomy EP.06 — Conflict-of-Interest + เคสที่ governance ล้ม
2026-05-09 · #ธุรกิจ #การจัดการ #governance #organization-anatomy
กฎเหล็กของ governance: ตำแหน่งไหนรวมในคนเดียวได้ ตำแหน่งไหนห้าม + 6 เคสจริงที่ governance ล้ม (Enron, Wirecard, FTX, Theranos, Wells Fargo, Lehman) + pattern ที่ใช้ judge บริษัทได้
ภาพปกของบทความ
เรื่องราวธุรกิจ / เปิดบริษัท หัดทำธุรกิจ
Organization Anatomy EP.05 — Three Lines Model + GRC: ใครทำ ใครกำกับ ใครตรวจ
2026-05-09 · #ธุรกิจ #การจัดการ #governance #organization-anatomy
Three Lines Model — Line 1 ทำ, Line 2 กำกับ, Line 3 ตรวจ + GRC framework (Governance, Risk, Compliance) — mental model ที่อธิบาย org chart ของบริษัทใหญ่ทั้งโลก
ภาพปกของบทความ
เรื่องราวธุรกิจ / เปิดบริษัท หัดทำธุรกิจ
Organization Anatomy EP.04 — C-Suite: ทุกตำแหน่ง Chief ที่ควรรู้จัก
2026-05-09 · #ธุรกิจ #การจัดการ #governance #organization-anatomy
CEO, COO, CFO, CIO, CTO, CISO, CHRO, CMO, CRO, CLO, DPO, CAE — ใครทำอะไร ใครรายงานใคร ทำไม CISO ห้ามรายงาน CIO ทำไม CAE ต้องรายงาน Audit Committee
ภาพปกของบทความ
เรื่องราวธุรกิจ / เปิดบริษัท หัดทำธุรกิจ
Organization Anatomy EP.03 — Board Committees: sub-team ของ board
2026-05-09 · #ธุรกิจ #การจัดการ #governance #organization-anatomy
Audit Committee, Risk Committee, Nomination, Compensation, IT/Cyber, ESG — ทำไม board ต้องตั้ง committee ทำหน้าที่อะไร ใครต้องเป็นสมาชิก
ภาพปกของบทความ
เรื่องราวธุรกิจ / เปิดบริษัท หัดทำธุรกิจ
Organization Anatomy EP.02 — Shareholder + Board: เจ้าของจริง vs คนตัดสินใจ
2026-05-09 · #ธุรกิจ #การจัดการ #governance #organization-anatomy
ใครเป็นเจ้าของบริษัทจริงๆ? ทำไม shareholder ไม่บริหารเอง? Board คือใคร มีกี่ประเภท Chairman กับ CEO ต่างกันยังไง — เข้าใจ 2 layer แรกของ governance ก่อน Layer อื่น
ภาพปกของบทความ
เรื่องราวธุรกิจ / เปิดบริษัท หัดทำธุรกิจ
Organization Anatomy EP.01 — บริษัทโตจาก 1 คน ไปยัง Conglomerate ยังไง
2026-05-09 · #ธุรกิจ #การจัดการ #governance #organization-anatomy
บริษัทเริ่มจาก 1 คน → 10 คน → 100 คน → จดทะเบียนตลาดหลักทรัพย์ → กลุ่มบริษัทระดับ conglomerate แต่ละ stage มีอะไรเปลี่ยนไป ทำไมต้องเปลี่ยน
ภาพปกของบทความ
เรื่องราวธุรกิจ / เปิดบริษัท หัดทำธุรกิจ
Organization Anatomy 101 — สารบัญ: บริษัทใหญ่ทำงานยังไง
2026-05-09 · #ธุรกิจ #การจัดการ #governance #organization-anatomy
Mini-series 6 ตอน อธิบายโครงสร้างบริษัทใหญ่ — จากเถ้าแก่คนเดียว ถึง conglomerate group: shareholder, board, committee, C-Suite, Three Lines, GRC, conflict-of-interest + เคสจริงที่ governance ล้ม (Enron, FTX, Theranos, Wells Fargo)
ภาพปกของบทความ
บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
CISA Series ตอนที่ 53 : D5 - ปิด Domain 5 + ปิดทั้งซีรีส์ CISA + ขั้นตอนต่อไป (สอบจริง)
2026-05-08 · #IT #Auditor
บทสุดท้ายของซีรีส์ — Recap Domain 5 ทั้ง 12 ตอน, 5 บทเรียนที่อยู่ในใจหลัง 54 ตอน 5 Domains 133,000 คำ, ขั้นตอนต่อไปสำหรับการสอบจริง (registration, study schedule, practice questions, exam day) — และคำขอบคุณ
ภาพปกของบทความ
บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
CISA Series ตอนที่ 52 : D5 - นิติวิทยาศาสตร์ดิจิทัล: Forensics และ Evidence Preservation
2026-05-08 · #IT #Auditor
Power-off trap (อันที่ใหญ่ที่สุดของ Domain 5), volatile vs non-volatile evidence, chain of custody, disk imaging, file carving, และ 6 ประเภทของ digital forensics — สิ่งที่ทำให้ incident กลายเป็นหลักฐานที่ใช้ในศาลได้
ภาพปกของบทความ
บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
CISA Series ตอนที่ 51 : D5 - กล้องวงจรปิด + แผนรับมือ: Security Monitoring (SIEM/SOC) และ Incident Response
2026-05-08 · #IT #Auditor
IDS/IPS placement (top trap), signature vs anomaly detection, SIEM correlation, log integrity, alert fatigue, Incident Response 4 phases (Preparation → Detection → Containment → Post-incident), CSIRT, IRP testing และ SOAR
ภาพปกของบทความ
บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
CISA Series ตอนที่ 50 : D5 - เปิด Part B: วิธีที่โจรเข้าบ้าน + การลองงัดบ้าน (Attacks + Pen Testing)
2026-05-08 · #IT #Auditor
Fraud Triangle, attack taxonomy, malware/ransomware lifecycle, vulnerability assessment vs penetration test, pen test types (black/white/grey/double-blind), Red/Blue/Purple teams, SAST vs DAST — เข้าใจการโจมตีเพื่อออกแบบการป้องกัน
ภาพปกของบทความ
บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
CISA Series ตอนที่ 49 : D5 - คนในบ้าน: Security Awareness และ Training
2026-05-08 · #IT #Auditor
ปิด Part A ของ Domain 5 — Awareness vs Training vs Education, security culture, needs assessment, simulated phishing, และ behavior change measurement ที่ทำให้ training ไม่ใช่แค่ checkbox compliance
ภาพปกของบทความ
บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
CISA Series ตอนที่ 48 : D5 - อุปกรณ์ที่เคลื่อนที่ + เชื่อมเน็ต: Mobile, Wireless, IoT
2026-05-08 · #IT #Auditor
MDM, BYOD policy, mobile payment + tokenization, wireless protocols (WPA2/WPA3 + WPS trap), Evil Twin attack และ IoT security ที่หลายองค์กรลืมว่ามี endpoint แบบ default password เป็นพันตัว
ภาพปกของบทความ
บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
CISA Series ตอนที่ 47 : D5 - อพาร์ตเมนต์ที่เช่า: Cloud และ Virtualization Security
2026-05-08 · #IT #Auditor
Shared Responsibility Model (top trap ของ Domain 5), IaaS vs PaaS vs SaaS, virtualization risks, VLAN hopping, container security, cloud migration audit และ DevSecOps — สิ่งที่ต้องเข้าใจเมื่อขอบเขตของบ้านดิจิทัลย้ายไปอยู่ในตึกของคนอื่น
ภาพปกของบทความ
บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
CISA Series ตอนที่ 46 : D5 - ตู้เซฟดิจิทัล + กรมที่ดิน: Cryptography และ PKI
2026-05-08 · #IT #Auditor
Symmetric vs Asymmetric, hashing, link vs E2EE, digital signature ที่ไม่ใช่ encryption, ECC + quantum threat, PKI lifecycle, certificate revocation (CRL/OCSP) และ root CA compromise — ทุกเรื่องที่ทำให้ข้อมูลอ่านไม่ได้ถ้าไม่มีกุญแจ
ภาพปกของบทความ
บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
CISA Series ตอนที่ 45 : D5 - ถนนระหว่างห้อง: Network Security + Endpoint + DLP — ยามตรวจของขาออก
2026-05-08 · #IT #Auditor
Network architecture (LAN/WAN/VPN/CDN/NTP), firewall rule review, IDS/IPS placement (top trap ของ CISA), EDR/XDR endpoint protection และ DLP ที่ป้องกันข้อมูลรั่วในสามสถานะ at rest / in transit / in use
ภาพปกของบทความ
บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
CISA Series ตอนที่ 44 : D5 - กุญแจของบ้านดิจิทัล: IAM ทั้งหมด — Authentication, Authorization, Access Control, IGA
2026-05-08 · #IT #Auditor
Section ใหญ่ที่สุดของ Domain 5 — IAM lifecycle, AAA framework, Zero Trust Architecture, Privileged Access Management, RBAC vs ABAC, IGA และ IDaaS — ทุกเรื่องที่ทำให้ 'คนถูกคน เข้าถูกที่ ถูกเวลา' ทำงานได้จริง
ภาพปกของบทความ
บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
CISA Series ตอนที่ 43 : D5 - กฎบ้านดิจิทัล + ประตูและกำแพง: Security Policies และ Physical Security
2026-05-08 · #IT #Auditor
ฐานรากของ Domain 5 — Security Policy hierarchy (organizational/system-specific/issue-specific), framework selection, baselines, และ physical/environmental controls ที่หลายองค์กรลืมตรวจเพราะดูเรียบง่ายเกินไป
ภาพปกของบทความ
บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
CISA Series ตอนที่ 42 : D5 - เปิด Domain 5: บ้านดิจิทัลของคุณ + แผนที่ป้องกันทั้งหมด
2026-05-08 · #IT #Auditor
Storyboard ของ Domain 5 — Domain ที่ใหญ่ที่สุดในซีรีส์ ใช้ metaphor 'บ้านดิจิทัล' เป็นแกนเดียวร้อย 15 sections เข้าด้วยกัน ตั้งแต่กฎบ้าน ประตู กุญแจ ถนน ตู้เซฟ ไปจนถึงระบบดับเพลิงและตำรวจสืบสวน — ก่อนเจาะรายละเอียด 11 บทถัดไป
ภาพปกของบทความ
บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
CISA Series ตอนที่ 41 : D4 - ปิด Domain 4 + Recap + เกริ่น Domain 5 (Security)
2026-05-07 · #IT #Auditor
ปิด Domain 4 ทั้งหมด — recap 11 ตอน 16 sections (รวม Hardware Review Program, EDI/EDIFACT/X12, IS Operations, DAM, Classification of Operations 4-tier, BCP test 3 vs DR test 5), 5 บทเรียนสำคัญที่ Domain 4 ฝังในหัว, และเกริ่น Domain 5 ที่จะมาเรื่อง Security — ปกป้องระบบและข้อมูลที่เพิ่ง run ผ่านกันมา
ภาพปกของบทความ
บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
CISA Series ตอนที่ 40 : D4 - BCP + DRP + RPO/RTO + กลยุทธ์การฟื้นฟู
2026-05-07 · #IT #Auditor
Section 4.15 + 4.16 — บทใหญ่ที่สุดของซีรีส์ CISA: BCP (organization-wide) vs DRP (IT tactical), RPO vs RTO ที่ exam หลอกบ่อย, hot/warm/cold/mirror site ที่ต้องเลือกตาม BIA, BCP test 3 ระดับ vs DR test 5 ระดับ (คนละชุดกัน), Pandemic + Black Swan, Interruption Window + Orphan/Catch-up data, IS auditor checklist สำหรับ BCP/DRP, insurance ที่เป็น component ของ BCP — และทำไม reciprocal agreement = bad idea
ภาพปกของบทความ
บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
CISA Series ตอนที่ 39 : D4 - Resilience + Backup — สองระดับความพร้อม
2026-05-07 · #IT #Auditor
Section 4.13 + 4.14 — resilience (clustering, telecom redundancy) ทำให้ระบบไม่ล่ม + backup ทำให้ข้อมูลไม่หายเมื่อระบบล่มจริง บทนี้คุย active-active vs active-passive, ransomware ที่กิน sync backup, และทำไม backup ที่ไม่เคย restore = false security
ภาพปกของบทความ
บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
CISA Series ตอนที่ 38 : D4 - เปิด Part B — BIA: ก่อนวางแผนรอด ต้องรู้ว่าอะไรสำคัญ
2026-05-07 · #IT #Auditor
Section 4.12 — เปิด Part B (Business Resilience) ด้วย BIA ที่เป็นรากของ resilience decision ทุกตัว ER triage analogy + ที่ผู้บริหารต้องนั่งร่วม ไม่ใช่ปล่อยให้ IT ทำเอง
ภาพปกของบทความ
บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
CISA Series ตอนที่ 37 : D4 - Database Management — โกดังข้อมูลที่ DBA มีกุญแจทุกดอก
2026-05-07 · #IT #Auditor
Section 4.11 — database คือโกดังที่เก็บคำตอบของทุกคำถามทางธุรกิจ DBA คือคนที่มีกุญแจทุกดอก ใครคุม DBA? บทนี้คุย DBMS architecture, ACID, field-level access, DBA bypass risk, และ backup encryption
ภาพปกของบทความ
บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
CISA Series ตอนที่ 36 : D4 - Log Management — Black Box ขององค์กร + SLA
2026-05-07 · #IT #Auditor
Section 4.9 + 4.10 — log = ความจำขององค์กร ที่ทำให้ตอบได้ว่าเกิดอะไรขึ้น และ SLA = สัญญาที่วัดบริการได้จริง บทนี้คุยเรื่อง log integrity, SIEM ที่ตั้งค่าผิด, outsourced SLA ที่ไม่เคย verify
ภาพปกของบทความ
บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
CISA Series ตอนที่ 35 : D4 - Change + Configuration + Patch Management — ทำไมระบบดีๆ ถึงพังหลัง update
2026-05-07 · #IT #Auditor
Section 4.8 — outage ส่วนใหญ่ไม่ได้มาจาก hacker หรือ hardware แต่มาจาก change ที่เราทำเอง บทนี้คุยทุกแง่ของ change/patch/config management ที่ exam ออกถาม emergency change, backout plan, และ CMDB
ภาพปกของบทความ
บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
CISA Series ตอนที่ 34 : D4 - เมื่อระบบทำงานช้า/ล่ม — Capacity, Incident, Problem Management
2026-05-07 · #IT #Auditor
Section 4.6 + 4.7 — capacity management ป้องกันก่อนล่ม, incident management กู้คืนเมื่อล่ม, problem management หาต้นตอเพื่อไม่ให้ล่มซ้ำ ที่ exam ชอบหลอกว่า incident กับ problem คือเรื่องเดียวกัน — มันไม่ใช่
ภาพปกของบทความ
บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
CISA Series ตอนที่ 33 : D4 - Interfaces + Shadow IT — รอยต่อที่มักหลุดมือ
2026-05-07 · #IT #Auditor
ข้อมูลที่หาย/ผิด/รั่ว ส่วนใหญ่เกิดตอนเดินทางระหว่างระบบ ไม่ใช่ตอนนิ่งใน database ตอนนี้คุย Section 4.4 (System Interfaces) + 4.5 (Shadow IT/EUC) — สองเรื่องที่ผมเรียกว่า รอยต่อทางการ และ รอยต่อใต้ดิน
ภาพปกของบทความ
บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
CISA Series ตอนที่ 32 : D4 - โครงสร้าง IT ที่ Auditor ต้องอ่านได้: USB + Asset + Job Scheduling
2026-05-07 · #IT #Auditor
ปูพื้น 3 เรื่องโครงสร้างของ Part A — USB ที่เป็นประตูหลังที่ network firewall มองไม่เห็น, IT Asset Management ที่ทุก control เริ่มจากการรู้ว่ามีอะไร, และ Job Scheduling ที่ทำงานเงียบๆ ทุกคืน. (OSI 7 Layer + Network primitives ที่เคยอยู่ในตอนนี้ ย้ายไปอยู่ใน Cybersecurity Foundation EP.26.5 เป็น primer ที่อ่านก่อนได้)
ภาพปกของบทความ
บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
CISA Series ตอนที่ 31 : D4 - เปิด Domain 4: ระบบที่สร้างเสร็จแล้ว ดูแลให้ทำงานยังไง + รอดยังไง
2026-05-07 · #IT #Auditor
บทเปิด Domain 4 — หลังจาก D3 ปั้นระบบจน go-live ตอนนี้ระบบอยู่ในสนาม ทำงานทุกวัน เจอแรงกระแทกทุกแบบ Domain 4 คือเรื่องของ Run + Survive: ทำให้ทำงานต่อเนื่อง + รอดเมื่อเกิดเหตุไม่คาดคิด
ภาพปกของบทความ
บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
CISA Series ตอนที่ 30 : D3 - Postimplementation Review + ปิด Domain 3 + เกริ่น Domain 4
2026-05-06 · #IT #Auditor
Section 3.8 — Postimplementation Review (PIR) ที่ปิด governance loop ที่เปิดไว้ตั้งแต่ business case ทำไม PIR ต้องรอ 6-12 เดือน, ทำไม independence ของ auditor PIR สำคัญที่สุด, project closure 5 ขั้น พร้อม recap Domain 3 ทั้ง 8 ตอน + 5 บทเรียนสำคัญ และเกริ่น Domain 4 ที่จะคุยเรื่อง 'ระบบที่ build เสร็จแล้ว ดูแลให้ทำงานยังไง'
ภาพปกของบทความ
บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
CISA Series ตอนที่ 29 : D3 - Go-Live: Configuration + Release + Migration + Data Conversion
2026-05-06 · #IT #Auditor
Section 3.6 + 3.7 — วันที่ความเสี่ยงสูงสุดของโปรเจ็คทั้งหมด ครอบคลุม configuration management (CMDB, baselines, check-in/check-out), data migration architecture (Unload-Cleanse-Transfer-Load), changeover techniques (parallel, phased, abrupt), rollback plan ที่ต้องทดสอบจริง และ end-user training ที่ไม่ใช่กิจกรรมท้ายสุด
ภาพปกของบทความ
บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
CISA Series ตอนที่ 28 : D3 - Testing + IS Auditor Tools (UAT, certification, CAATs ใน SDLC)
2026-05-06 · #IT #Auditor
Section 3.5 — testing classifications (unit, integration, system, recovery, security, performance), QAT vs UAT, ทำไม UAT ห้าม delegate ให้ vendor และ IS auditor's own tools (ITF, GAS, SCARF, snapshot, parallel simulation) ที่เป็น CAATs ในมุม SDLC พร้อม data integrity testing + certification process ก่อน go-live
ภาพปกของบทความ
บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
CISA Series ตอนที่ 27 : D3 - Application Controls: 3 ด่านควบคุมข้อมูล (Input / Processing / Output)
2026-05-06 · #IT #Auditor
Section 3.4 — application controls ที่ทดสอบบ่อยที่สุดในข้อสอบ Input controls (edit checks, batch totals, source authorization), Processing controls (run-to-run totals, exception reports, reasonableness), Output controls (distribution, retention, reconciliation) พร้อมเรื่อง DBA bypass — application controls แข็งแค่ไหน ก็ไม่มีความหมายถ้าฐานข้อมูลถูกแก้ตรง
ภาพปกของบทความ
บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
CISA Series ตอนที่ 26 : D3 - Methodology ทางเลือก: Agile, Scrum, Prototype, RAD, DevOps, OOSD
2026-05-06 · #IT #Auditor
Section 3.3.5 — methodology ที่ไม่ใช่ waterfall ทุกแบบมี risk profile คนละเรื่อง Agile ไม่ใช่ no documentation, Prototype ไม่ใช่ production after approval, RAD ไม่ใช่แค่ shortened waterfall, DevOps ไม่ใช่ทำให้ change control หาย OOSD เป็น programming paradigm ไม่ใช่ methodology ของโปรเจ็ค auditor ต้องตรวจคนละจุดในแต่ละแบบ
ภาพปกของบทความ
บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
CISA Series ตอนที่ 25 : D3 - SDLC: Waterfall + Build vs Buy + Acquisition
2026-05-06 · #IT #Auditor
Section 3.3 phases 1-3 + 3.3.7-3.3.9 — SDLC แบบ waterfall ที่ทุก methodology อื่นใช้เป็น baseline เปรียบเทียบ พร้อมเรื่องการซื้อระบบ: RFP/ITT, vendor evaluation, source code escrow, right-to-audit clause และเหตุผลที่ buyer ต้องทดสอบเอง — ห้าม delegate ให้ vendor
ภาพปกของบทความ
บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
CISA Series ตอนที่ 24 : D3 - Project Governance + Business Case + Feasibility — ก่อนตอกเสาเข็ม
2026-05-06 · #IT #Auditor
Section 3.1 + 3.2 — ก่อนจะเริ่มสร้างระบบ ต้องมี governance structure (sponsor, steering committee, PM, PMO), business case ที่วัดได้, และ feasibility study ที่เปรียบเทียบทางเลือกอย่างซื่อตรง บทนี้รวม WBS, Gantt, CPM, PERT, EVA และเรื่องที่ IS auditor มักพลาดที่สุด — independence ที่หายไปเมื่อเข้าไปอยู่ในทีมโปรเจ็ค
ภาพปกของบทความ
บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
CISA Series ตอนที่ 23 : D3 - เปิด Domain 3: ระบบใหม่เกิดยังไง — จากไอเดียถึงวันที่ขึ้น production
2026-05-06 · #IT #Auditor
เปิด Domain 3 — ก่อนจะลงรายละเอียด SDLC, methodology หลายแบบ, application controls, testing, migration และ postimplementation review ผมขอวาด map ทั้ง domain ก่อน — ตั้งแต่วันที่ business โยนไอเดียมา จนถึงวันที่ระบบขึ้น production แล้วยังต้องมีคนกลับมาตรวจอีกรอบ
ภาพปกของบทความ
บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
CISA Series ตอนที่ 22 : D2 - ปิด Domain 2 + Recap + เกริ่น Domain 3 (Acquisition/Development)
2026-05-05 · #IT #Auditor
ปิด Domain 2 — recap ทั้ง 9 ตอน, 5 บทเรียนสำคัญที่ Domain 2 ฝังในหัว (Accountability ไม่ transfer, Governance vs Management, วงจรไม่หยุด, Independence = Structural, Documentation = Asset) บวกเกริ่น Domain 3 ที่เปลี่ยนเรื่องไปยัง 'สร้าง IT system ใหม่'
ภาพปกของบทความ
บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
CISA Series ตอนที่ 21 : D2 - Quality Assurance + Quality Management ของ IT
2026-05-05 · #IT #Auditor
QA vs QC ที่คนใช้สลับกันตลอด, QA Independence ที่ต้อง structural ไม่ใช่แค่ stated, Quality Management ที่ทำให้ process เป็น repeatable, Operational Excellence — ที่มาของ continuous improvement บวก trap คลาสสิก: developer review code ตัวเอง
ภาพปกของบทความ
บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
CISA Series ตอนที่ 20 : D2 - Performance Monitoring — KPI/KRI/KGI + PDCA + Balanced Scorecard
2026-05-05 · #IT #Auditor
วัด IT performance ที่ไม่ใช่แค่ตัวเลขบน dashboard — KPI (จะถึงเป้ามั้ย), KRI (เสี่ยงเพิ่มขึ้นมั้ย), KGI (control ทำงานจริงมั้ย) — 3 ตัวที่บอกคนละเรื่อง บวก PDCA cycle และ IT Balanced Scorecard ที่ทำให้ board เห็น IT ครบทุกมิติ
ภาพปกของบทความ
บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
CISA Series ตอนที่ 19 : D2 - IT Vendor Management — Outsourcing ที่ Accountability ไม่หาย
2026-05-05 · #IT #Auditor
Outsourcing เป็น sourcing ที่ใหญ่ที่สุดของ IT ในยุคนี้ — แต่ผู้บริหารเข้าใจผิดบ่อยที่สุดว่า 'ส่งออกแล้วไม่ต้องรับผิดชอบ' จริง ๆ accountability ไม่ transfer สัญญา outsourcing ที่ดี + SOC report + right-to-audit + cloud governance + concentration risk
ภาพปกของบทความ
บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
CISA Series ตอนที่ 18 : D2 - เปิด Part B: IT Resource Management (HR + Financial Controls)
2026-05-05 · #IT #Auditor
Part B ของ D2 เริ่มแล้ว — ลงไปดู operational governance: portfolio management ที่จัดสรร IT investment, HR controls (background check, mandatory leave, termination), enterprise change management, financial management (chargeback, capex vs opex), security management ที่เป็นระบบ
ภาพปกของบทความ
บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
CISA Series ตอนที่ 17B : D2 - Privacy Program + Data Governance — ข้อมูลที่ Governance ปกป้อง
2026-05-05 · #IT #Auditor
Section 2.6 + 2.7 ลึก — Privacy Program (data controller vs processor, consent + opt-in/out + withdrawal, 8 documentation types, ISACA Privacy Principle 9, Privacy Audit), Data Governance (4 classification levels, Information Owner, Legal Purpose / Consent / Legitimate Interest), NIST Privacy Framework (Control-P + Communicate-P), Transborder Data Flow
ภาพปกของบทความ
บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
CISA Series ตอนที่ 17A : D2 - Enterprise Risk Management — บริหารความเสี่ยงเป็นวงจร
2026-05-05 · #IT #Auditor
Section 2.5 ERM ลึก — Risk Appetite vs Risk Tolerance, ISRM = management function (ไม่ใช่ audit), Risk Lifecycle 4 ขั้น (Identify/Assess/Respond/Monitor), Threat actors (script kiddie / hacktivist / nation-state), Environmental threats, Vulnerabilities, Risk Responses 4 แบบ, Control Matrix, Risk Methods (Qualitative/Semiquantitative/Quantitative + Delphi)
ภาพปกของบทความ
บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
CISA Series ตอนที่ 16B : D2 - IS Strategy + Org Structure + Business Intelligence + EA — Governance ทำงานยังไงในชีวิตจริง
2026-05-05 · #IT #Auditor
ส่วนที่ 2 ของ Section 2.2 + Section 2.4 — ทำงานยังไงในชีวิตจริง: IS Strategy + Strategic Planning Lifecycle (agile/rolling vs 5-year cycle), IT Strategy vs IT Steering Committee (trap คลาสสิก), Organizational Structure + SoD + Job Rotation + Mandatory Leave, Business Intelligence + Data Architecture (11 layers), Enterprise Architecture (Zachman + TOGAF)
ภาพปกของบทความ
บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
CISA Series ตอนที่ 16A : D2 - EGIT + Three Lines + Information Security Governance — ใครรับผิดชอบ Governance
2026-05-05 · #IT #Auditor
ส่วนที่ 1 ของ Section 2.2 — ใครรับผิดชอบ governance ของ IT? Corporate Governance + COBIT 7 components, EGIT (board responsibility ไม่ใช่ของ CIO), Governance vs Management ที่คนสับสนตลอด, Three Lines Model (First/Second/Third Line) + Information Security Governance (CISO reporting line trap)
ภาพปกของบทความ
บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
CISA Series ตอนที่ 15 : D2 - กฎที่ IT ต้องอยู่ใต้: Laws, Regulations, Policies, Standards, Procedures
2026-05-05 · #IT #Auditor
ลำดับชั้นของกฎ — จากกฎหมายภายนอก (PDPA, GDPR) ลงมาเป็น policy ภายใน → standards → procedures → guidelines เห็นว่ากฎที่ดูยุ่งเหยิงในชีวิตจริง จัดเป็นชั้นได้สวยงาม และทำไม auditor ต้องเข้าใจชั้นทั้งหมดเพื่อตรวจ control ให้ตรงจุด
ภาพปกของบทความ
บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
CISA Series ตอนที่ 14 : D2 - เปิด Domain 2: เถ้าแก่บริหารบริษัทใหญ่ขึ้น แต่ IT ก็ใหญ่ตาม
2026-05-05 · #IT #Auditor
บทเปิด Domain 2 — เปลี่ยนมุมจาก 'วิธีของหมอ' (auditor process ใน D1) มาเป็น 'สรีระวิทยาของผู้ป่วย' (governance ขององค์กรที่ถูก audit) เล่าตั้งแต่เถ้าแก่ตัดสินใจคนเดียว จนบริษัทโตเป็น enterprise ที่ต้องการ board, committee, และระบบ governance ของ IT
ภาพปกของบทความ
บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
CISA Series ตอนที่ 13 : D1 - ปิด Domain 1: QA ของ Audit เอง + Recap ทั้งหมด + เกริ่น Domain 2
2026-05-04 · #IT #Auditor
Section 1.10 — ใครตรวจ auditor? Audit Committee oversight, IS Audit QA process, Training & development, Independence + CPE monitoring พร้อม recap Domain 1 ทั้ง 13 ตอน 5 บทเรียนสำคัญ และเกริ่นว่า Domain 2 (Governance) จะพาเราไปไหนต่อ
ภาพปกของบทความ
บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
CISA Series ตอนที่ 12 : D1 - Reporting & Communication: ปิด Engagement ด้วย Report ที่ทำงาน
2026-05-04 · #IT #Auditor
Section 1.9 — ออก audit report ยังไงให้ board ใช้ตัดสินใจได้ — 6 objectives ของ report, รู้ว่าใครเป็น audience, structure ของ report, balance ระหว่าง positive/negative findings, follow-up เป็น value creation จริง และ documentation ที่ trace ได้ทั้งสองทาง
ภาพปกของบทความ
บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
CISA Series ตอนที่ 11 : D1 - Data Analytics + CAATs + AI: จาก Sample สู่ Full Population
2026-05-04 · #IT #Auditor
Section 1.8 — เทคโนโลยีเปลี่ยน audit ยังไง วิวัฒนาการของเครื่องมือจาก CAATs (Generalized Audit Software) → Continuous Auditing (5 techniques) → AI/ML in IS Audit พร้อม risks ของ AI ที่ต้องระวังเสมอ
ภาพปกของบทความ
บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
CISA Series ตอนที่ 10 : D1 - Evidence Collection: หลักฐานแบบไหนใช้ได้ในศาลของ Audit
2026-05-04 · #IT #Auditor
Section 1.7 — เก็บ evidence ยังไงให้ยืน — Sufficient + Competent (reliable + relevant) นิยาม Evidence, 4 มิติคุณภาพ, 7 เทคนิคเก็บหลักฐาน, ลำดับชั้นความน่าเชื่อถือ และศิลปะของการสัมภาษณ์ + สังเกตการณ์
ภาพปกของบทความ
บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
CISA Series ตอนที่ 09 : D1 - Testing & Sampling: ตรวจ Control ยังไง เลือก Sample เท่าไหร่
2026-05-04 · #IT #Auditor
Section 1.6 — เครื่องมือทดสอบใน Fieldwork phase ของ engagement สองคู่ที่ต้องเข้าใจ: Compliance vs Substantive testing + Statistical vs Nonstatistical sampling พร้อม Attribute, Variable sampling, Sampling Risk และ 6 ขั้นตอนสร้าง sample
ภาพปกของบทความ
บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
CISA Series ตอนที่ 08 : D1 - เปิด Part B — Audit Engagement = Project Management
2026-05-04 · #IT #Auditor
บทเปิด Part B พร้อมเนื้อ Section 1.5 เต็ม — Audit Engagement คือ Project ที่มี 3 phases ลึกลงไปดู Audit Objectives, Phases, Programs, Work Papers และการรับมือ Fraud พร้อมแย้มทุกบทถัดไปใน Part B
ภาพปกของบทความ
บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
CISA Series ตอนที่ 07 : D1 - Compliance + Laws & ปิดท้าย Part A เตรียมตัวสู่ Part B
2026-05-04 · #IT #Auditor
บทสุดท้ายของ Part A — กฎหมาย/regulations เป็น mandatory input ที่บังคับ audit scope ไม่ว่า risk จะบอกอะไร พร้อมสรุปภาพรวมทั้ง Part A 8 ตอน และเตรียมตัวเข้าสู่ Part B (Execution: testing, evidence, reporting, QA)
ภาพปกของบทความ
บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
CISA Series ตอนที่ 06 : D1 - Risk-Based Planning + Audit Universe + 4 Layers
2026-05-04 · #IT #Auditor
ขยายขั้น 'วางแผนตรวจ' จาก flow ในตอน 03 — เอาภาษา Risk + Control จากตอน 05 มาใช้จริง สร้าง Audit Universe จัดอันดับด้วย risk assessment ผ่าน 4-layer planning hierarchy ที่ ISACA กำหนด
ภาพปกของบทความ
บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
CISA Series ตอนที่ 05 : D1 - ภาษา Risk + Control: ปูพื้นก่อนวางแผน
2026-05-04 · #IT #Auditor
บทที่ใหญ่สุดของ Part A — ปูพื้นภาษา 2 คำที่เป็นคู่หูในมุม owner: Risk (สิ่งที่อาจเกิดขึ้นแล้วเสียหาย) และ Control (สิ่งที่ทำเพื่อกัน) ครอบคลุม Audit Risk Trinity, Materiality, 3 Control Methods, 5 Classifications, Risk-Control Link และ Prescriptive Frameworks
ภาพปกของบทความ
บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
CISA Series ตอนที่ 04 : D1 - 11 ประเภท Audit + เมื่อ Auditor กลายเป็น Facilitator
2026-05-04 · #IT #Auditor
Section 1.2 ของ Domain 1 — ขยายขั้น 'เลือกประเภท audit' จาก flow ในตอน 03 ทำไม ISACA ถึงแบ่ง audit ออกเป็น 11 ประเภท วิธีคิดมาจากไหน บวก 2 แนวทางพิเศษ (CSA + Integrated) ที่เปลี่ยนบทบาท auditor
ภาพปกของบทความ
บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
CISA Series ตอนที่ 03 : D1 - IS Audit ตั้งแต่เริ่ม...จนจบ
2026-05-04 · #IT #Auditor
บทที่ผมเขียนย้อนกลับมาแทรก หลังอ่าน Part A จบ — เพราะถ้าไม่เห็น flow ทั้งวง ทุกศัพท์ใน Section 1.2-1.4 ก็จะลอย เล่าตั้งแต่ปัญหาเกิดในธุรกิจ จนวิวัฒนาการเป็น Charter ส่งต่อให้ auditor ลงสนามจนออก report
ภาพปกของบทความ
บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
CISA Series ตอนที่ 02 : D1 - Internal Audit Function: Charter ที่เป็นรากของ Audit Universe
2026-05-04 · #IT #Auditor
ก่อน IS auditor จะมี audit ให้ตรวจ ต้องมี mandate ที่ board อนุมัติให้ทำงานก่อน — Audit Charter คือเอกสารที่กำหนด authority, scope, independence และสายการรายงานที่เป็นรากของ Audit Universe ทั้งหมดในองค์กร
ภาพปกของบทความ
บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
CISA Series ตอนที่ 01 : D1 - Rule Book ของวิชาชีพ — ITAF, Standards, Guidelines, Tools และ Code of Ethics
2026-05-04 · #IT #Auditor
ก่อน IS auditor จะออกไปตรวจอะไร ต้องรู้ว่าตัวเองถูกกำกับด้วยกฎอะไรบ้าง — ITAF เป็นบ้านที่ครอบ 3 ชั้นกฎ (Standards บังคับ, Guidelines ต้องพิจารณา, Tools เลือกได้) บวก Code of Ethics 7 ข้อที่กำกับว่าคุณเป็น auditor แบบไหน
ภาพปกของบทความ
เรื่องราวธุรกิจ / IT GENIUS
เมื่อทำ Local LLM ไว้เข้าห้องสอบ Open Book เองแบบงงๆ
2026-05-02 · #IT #AI #LLM #RAG
อาจารย์บอกว่า Open Book + เอาคอมเข้าได้ แต่ห้ามต่อเน็ต — เลยลองทำ AI ติดเครื่องไปเองดูซะเลย 555+ บันทึก 3-4 วัน (หมดเป็นวันๆ เลย) ลุย Local LLM + RAG บน gaming laptop เครื่องเดียว อธิบายทุก tool ตั้งแต่ Ollama, Embedding, ChromaDB, RAG, Hybrid RRF ให้เข้าใจตั้งแต่ศูนย์ — เผื่อตัวเองมา refer หรือใครเจอสถานการณ์คล้ายกัน หรือแค่อยากมี AI ส่วนตัวพกไว้ในเครื่อง ไม่ต้องพึ่ง cloud
ภาพปกของบทความ
บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
CISA Series ตอนที่ 0 : CISA คืออะไร? — เรื่องราวที่ทำให้ผมเริ่มเล็งวุฒิบัตรนี้
2026-05-02 · #IT #Auditor
เปิดตัวเรื่อง CISA — Certified Information Systems Auditor วุฒิบัตรสากลของสาย IT Audit ที่อยู่มา 48 ปี ทำไมยังเป็น gold standard, โครงสร้างข้อสอบเป็นยังไง, ค่าใช้จ่าย/ประสบการณ์เท่าไหร่ และทำไมผมถึงเริ่มสนใจ — บทเปิดก่อนซีรีส์ทบทวนเนื้อหาแต่ละ Domain
ภาพปกของบทความ
เรื่องราวธุรกิจ / Street Marketing
เมื่อผมหาทำ สร้าง CLI Tool ใช้เองให้ทีมการตลาดใช้
2026-04-30 · #AI #IT #Tools
ทำไมผมถึงให้ทีมคุยกับ AI แทนที่จะเรียน technical setup ของ 10+ platforms — เก็บเวลาไปคิดกลยุทธ์ดีกว่า
ภาพปกของบทความ
เรื่องราวธุรกิจ / IT GENIUS
วิธีทำให้ AI ที่ generate cover ของบล็อก รู้ว่าควรจัด composition ตรงไหน
2026-04-28 · #IT #AI
เคยอัปรูปขึ้น Facebook Page cover แล้วบนมือถือเห็นเต็ม แต่บนเดสก์ท็อปหัวคนถูกตัดมั้ย? บล็อกผมก็เจอปัญหาเดียวกัน — เลยออกแบบ Safe-Zone Discipline ให้ AI รู้ว่าควรวาง subject ตรงไหนเพื่อให้รอดทุก crop
ภาพปกของบทความ
เรื่องราวธุรกิจ / IT GENIUS
เมื่ออยากทำ Image Gen AI บนเครื่องเอง!
2026-04-24 · #IT #AI
จาก Nano Banana API ไม่ฟรีอีกต่อไป ถึง Flux Schnell บน RTX 4060 8GB — เรื่องราวของการทำ cover blog ฟรี 100% สั่งผ่านแชทอย่างเดียว
ภาพปกของบทความ
เรื่องราวธุรกิจ / IT GENIUS
IT Foundation EP.10 — Project Management
2026-04-23 · #IT
ตอนจบของ IT Foundation — Agile vs Waterfall vs MVP, วิธีรันโปรเจ็ค software ตั้งแต่ศูนย์ถึงร้อย สำหรับเจ้าของกิจการ
ภาพปกของบทความ
เรื่องราวธุรกิจ / IT GENIUS
IT Foundation EP.09 — Security ขั้นสูง
2026-04-23 · #IT
ตอนที่ 9 ของ IT Foundation — Zero-Trust Architecture, Offensive Security, Incident Response สำหรับธุรกิจที่อยากรอดในยุค AI
ภาพปกของบทความ
เรื่องราวธุรกิจ / IT GENIUS
IT Foundation EP.08 — Dev/Deploy/Ops
2026-04-23 · #IT #AI
ตอนที่ 8 ของ IT Foundation — จากการเขียนโค้ดในยุค AI ไปจนถึง Git, Hosting, Deploy, Monitoring ครบวงจรส่งของถึงลูกค้า
ภาพปกของบทความ
เรื่องราวธุรกิจ / IT GENIUS
IT Foundation EP.07 — Performance & Testing
2026-04-23 · #IT
ตอนที่ 7 ของ IT Foundation — ทำยังไงให้เว็บเร็ว ทดสอบไม่ให้พัง และขยายให้รองรับคนล้านคน
ภาพปกของบทความ
เรื่องราวธุรกิจ / IT GENIUS
IT Foundation EP.06 — Security พื้นฐาน
2026-04-23 · #IT
ตอนที่ 6 ของ IT Foundation — รู้จักโจรดิจิทัล OWASP, Authentication แบบยาม, Encryption แบบรถขนเงิน อธิบายแบบป้อมปราการ
ภาพปกของบทความ
เรื่องราวธุรกิจ / IT GENIUS
IT Foundation EP.05 — Web Technologies
2026-04-23 · #IT
ตอนที่ 5 ของ IT Foundation — เครื่องมือจริงที่คนทำเว็บใช้ ทั้งฝั่ง frontend backend และการไหลของข้อมูล อธิบายแบบโรงงานกับพัสดุ
ภาพปกของบทความ
เรื่องราวธุรกิจ / IT GENIUS
IT Foundation EP.04 — Architectures
2026-04-23 · #IT
ตอนที่ 4 ของ IT Foundation — วิวัฒนาการของ server architecture และกลยุทธ์ mobile app เปรียบเทียบแบบวางผังเมือง
ภาพปกของบทความ
เรื่องราวธุรกิจ / IT GENIUS
IT Foundation EP.03 — ซอฟต์แวร์ทำงานยังไง
2026-04-23 · #IT
ตอนที่ 3 ของ IT Foundation — ซอฟต์แวร์ทำงานแบบร้านอาหาร: Frontend คือห้องอาหาร Backend คือห้องครัว Data Flow คือวงจรออเดอร์
ภาพปกของบทความ
เรื่องราวธุรกิจ / IT GENIUS
IT Foundation EP.02 — พื้นฐาน Computer Science
2026-04-23 · #IT
ตอนที่ 2 ของ IT Foundation — Data Structures, Algorithms, Networking, DNS, Database อธิบายแบบคนคุยกับคน