
บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
CISA Series ตอนที่ 34 : D4 - เมื่อระบบทำงานช้า/ล่ม — Capacity, Incident, Problem Management
2026-05-07 · #IT #Auditor
Section 4.6 + 4.7 — capacity management ป้องกันก่อนล่ม, incident management กู้คืนเมื่อล่ม, problem management หาต้นตอเพื่อไม่ให้ล่มซ้ำ ที่ exam ชอบหลอกว่า incident กับ problem คือเรื่องเดียวกัน — มันไม่ใช่

บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
CISA Series ตอนที่ 33 : D4 - Interfaces + Shadow IT — รอยต่อที่มักหลุดมือ
2026-05-07 · #IT #Auditor
ข้อมูลที่หาย/ผิด/รั่ว ส่วนใหญ่เกิดตอนเดินทางระหว่างระบบ ไม่ใช่ตอนนิ่งใน database ตอนนี้คุย Section 4.4 (System Interfaces) + 4.5 (Shadow IT/EUC) — สองเรื่องที่ผมเรียกว่า รอยต่อทางการ และ รอยต่อใต้ดิน

บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
CISA Series ตอนที่ 32 : D4 - โครงสร้าง IT ที่ Auditor ต้องอ่านได้: USB + Asset + Job Scheduling
2026-05-07 · #IT #Auditor
ปูพื้น 3 เรื่องโครงสร้างของ Part A — USB ที่เป็นประตูหลังที่ network firewall มองไม่เห็น, IT Asset Management ที่ทุก control เริ่มจากการรู้ว่ามีอะไร, และ Job Scheduling ที่ทำงานเงียบๆ ทุกคืน. (OSI 7 Layer + Network primitives ที่เคยอยู่ในตอนนี้ ย้ายไปอยู่ใน Cybersecurity Foundation EP.26.5 เป็น primer ที่อ่านก่อนได้)

บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
CISA Series ตอนที่ 31 : D4 - เปิด Domain 4: ระบบที่สร้างเสร็จแล้ว ดูแลให้ทำงานยังไง + รอดยังไง
2026-05-07 · #IT #Auditor
บทเปิด Domain 4 — หลังจาก D3 ปั้นระบบจน go-live ตอนนี้ระบบอยู่ในสนาม ทำงานทุกวัน เจอแรงกระแทกทุกแบบ Domain 4 คือเรื่องของ Run + Survive: ทำให้ทำงานต่อเนื่อง + รอดเมื่อเกิดเหตุไม่คาดคิด

บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
CISA Series ตอนที่ 30 : D3 - Postimplementation Review + ปิด Domain 3 + เกริ่น Domain 4
2026-05-06 · #IT #Auditor
Section 3.8 — Postimplementation Review (PIR) ที่ปิด governance loop ที่เปิดไว้ตั้งแต่ business case ทำไม PIR ต้องรอ 6-12 เดือน, ทำไม independence ของ auditor PIR สำคัญที่สุด, project closure 5 ขั้น พร้อม recap Domain 3 ทั้ง 8 ตอน + 5 บทเรียนสำคัญ และเกริ่น Domain 4 ที่จะคุยเรื่อง 'ระบบที่ build เสร็จแล้ว ดูแลให้ทำงานยังไง'

บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
CISA Series ตอนที่ 29 : D3 - Go-Live: Configuration + Release + Migration + Data Conversion
2026-05-06 · #IT #Auditor
Section 3.6 + 3.7 — วันที่ความเสี่ยงสูงสุดของโปรเจ็คทั้งหมด ครอบคลุม configuration management (CMDB, baselines, check-in/check-out), data migration architecture (Unload-Cleanse-Transfer-Load), changeover techniques (parallel, phased, abrupt), rollback plan ที่ต้องทดสอบจริง และ end-user training ที่ไม่ใช่กิจกรรมท้ายสุด

บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
CISA Series ตอนที่ 28 : D3 - Testing + IS Auditor Tools (UAT, certification, CAATs ใน SDLC)
2026-05-06 · #IT #Auditor
Section 3.5 — testing classifications (unit, integration, system, recovery, security, performance), QAT vs UAT, ทำไม UAT ห้าม delegate ให้ vendor และ IS auditor's own tools (ITF, GAS, SCARF, snapshot, parallel simulation) ที่เป็น CAATs ในมุม SDLC พร้อม data integrity testing + certification process ก่อน go-live

บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
CISA Series ตอนที่ 27 : D3 - Application Controls: 3 ด่านควบคุมข้อมูล (Input / Processing / Output)
2026-05-06 · #IT #Auditor
Section 3.4 — application controls ที่ทดสอบบ่อยที่สุดในข้อสอบ Input controls (edit checks, batch totals, source authorization), Processing controls (run-to-run totals, exception reports, reasonableness), Output controls (distribution, retention, reconciliation) พร้อมเรื่อง DBA bypass — application controls แข็งแค่ไหน ก็ไม่มีความหมายถ้าฐานข้อมูลถูกแก้ตรง

บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
CISA Series ตอนที่ 26 : D3 - Methodology ทางเลือก: Agile, Scrum, Prototype, RAD, DevOps, OOSD
2026-05-06 · #IT #Auditor
Section 3.3.5 — methodology ที่ไม่ใช่ waterfall ทุกแบบมี risk profile คนละเรื่อง Agile ไม่ใช่ no documentation, Prototype ไม่ใช่ production after approval, RAD ไม่ใช่แค่ shortened waterfall, DevOps ไม่ใช่ทำให้ change control หาย OOSD เป็น programming paradigm ไม่ใช่ methodology ของโปรเจ็ค auditor ต้องตรวจคนละจุดในแต่ละแบบ

บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
CISA Series ตอนที่ 25 : D3 - SDLC: Waterfall + Build vs Buy + Acquisition
2026-05-06 · #IT #Auditor
Section 3.3 phases 1-3 + 3.3.7-3.3.9 — SDLC แบบ waterfall ที่ทุก methodology อื่นใช้เป็น baseline เปรียบเทียบ พร้อมเรื่องการซื้อระบบ: RFP/ITT, vendor evaluation, source code escrow, right-to-audit clause และเหตุผลที่ buyer ต้องทดสอบเอง — ห้าม delegate ให้ vendor

บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
CISA Series ตอนที่ 24 : D3 - Project Governance + Business Case + Feasibility — ก่อนตอกเสาเข็ม
2026-05-06 · #IT #Auditor
Section 3.1 + 3.2 — ก่อนจะเริ่มสร้างระบบ ต้องมี governance structure (sponsor, steering committee, PM, PMO), business case ที่วัดได้, และ feasibility study ที่เปรียบเทียบทางเลือกอย่างซื่อตรง บทนี้รวม WBS, Gantt, CPM, PERT, EVA และเรื่องที่ IS auditor มักพลาดที่สุด — independence ที่หายไปเมื่อเข้าไปอยู่ในทีมโปรเจ็ค

บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
CISA Series ตอนที่ 23 : D3 - เปิด Domain 3: ระบบใหม่เกิดยังไง — จากไอเดียถึงวันที่ขึ้น production
2026-05-06 · #IT #Auditor
เปิด Domain 3 — ก่อนจะลงรายละเอียด SDLC, methodology หลายแบบ, application controls, testing, migration และ postimplementation review ผมขอวาด map ทั้ง domain ก่อน — ตั้งแต่วันที่ business โยนไอเดียมา จนถึงวันที่ระบบขึ้น production แล้วยังต้องมีคนกลับมาตรวจอีกรอบ

บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
CISA Series ตอนที่ 22 : D2 - ปิด Domain 2 + Recap + เกริ่น Domain 3 (Acquisition/Development)
2026-05-05 · #IT #Auditor
ปิด Domain 2 — recap ทั้ง 9 ตอน, 5 บทเรียนสำคัญที่ Domain 2 ฝังในหัว (Accountability ไม่ transfer, Governance vs Management, วงจรไม่หยุด, Independence = Structural, Documentation = Asset) บวกเกริ่น Domain 3 ที่เปลี่ยนเรื่องไปยัง 'สร้าง IT system ใหม่'

บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
CISA Series ตอนที่ 21 : D2 - Quality Assurance + Quality Management ของ IT
2026-05-05 · #IT #Auditor
QA vs QC ที่คนใช้สลับกันตลอด, QA Independence ที่ต้อง structural ไม่ใช่แค่ stated, Quality Management ที่ทำให้ process เป็น repeatable, Operational Excellence — ที่มาของ continuous improvement บวก trap คลาสสิก: developer review code ตัวเอง

บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
CISA Series ตอนที่ 20 : D2 - Performance Monitoring — KPI/KRI/KGI + PDCA + Balanced Scorecard
2026-05-05 · #IT #Auditor
วัด IT performance ที่ไม่ใช่แค่ตัวเลขบน dashboard — KPI (จะถึงเป้ามั้ย), KRI (เสี่ยงเพิ่มขึ้นมั้ย), KGI (control ทำงานจริงมั้ย) — 3 ตัวที่บอกคนละเรื่อง บวก PDCA cycle และ IT Balanced Scorecard ที่ทำให้ board เห็น IT ครบทุกมิติ

บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
CISA Series ตอนที่ 19 : D2 - IT Vendor Management — Outsourcing ที่ Accountability ไม่หาย
2026-05-05 · #IT #Auditor
Outsourcing เป็น sourcing ที่ใหญ่ที่สุดของ IT ในยุคนี้ — แต่ผู้บริหารเข้าใจผิดบ่อยที่สุดว่า 'ส่งออกแล้วไม่ต้องรับผิดชอบ' จริง ๆ accountability ไม่ transfer สัญญา outsourcing ที่ดี + SOC report + right-to-audit + cloud governance + concentration risk

บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
CISA Series ตอนที่ 18 : D2 - เปิด Part B: IT Resource Management (HR + Financial Controls)
2026-05-05 · #IT #Auditor
Part B ของ D2 เริ่มแล้ว — ลงไปดู operational governance: portfolio management ที่จัดสรร IT investment, HR controls (background check, mandatory leave, termination), enterprise change management, financial management (chargeback, capex vs opex), security management ที่เป็นระบบ

บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
CISA Series ตอนที่ 17B : D2 - Privacy Program + Data Governance — ข้อมูลที่ Governance ปกป้อง
2026-05-05 · #IT #Auditor
Section 2.6 + 2.7 ลึก — Privacy Program (data controller vs processor, consent + opt-in/out + withdrawal, 8 documentation types, ISACA Privacy Principle 9, Privacy Audit), Data Governance (4 classification levels, Information Owner, Legal Purpose / Consent / Legitimate Interest), NIST Privacy Framework (Control-P + Communicate-P), Transborder Data Flow

บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
CISA Series ตอนที่ 17A : D2 - Enterprise Risk Management — บริหารความเสี่ยงเป็นวงจร
2026-05-05 · #IT #Auditor
Section 2.5 ERM ลึก — Risk Appetite vs Risk Tolerance, ISRM = management function (ไม่ใช่ audit), Risk Lifecycle 4 ขั้น (Identify/Assess/Respond/Monitor), Threat actors (script kiddie / hacktivist / nation-state), Environmental threats, Vulnerabilities, Risk Responses 4 แบบ, Control Matrix, Risk Methods (Qualitative/Semiquantitative/Quantitative + Delphi)

บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
CISA Series ตอนที่ 16B : D2 - IS Strategy + Org Structure + Business Intelligence + EA — Governance ทำงานยังไงในชีวิตจริง
2026-05-05 · #IT #Auditor
ส่วนที่ 2 ของ Section 2.2 + Section 2.4 — ทำงานยังไงในชีวิตจริง: IS Strategy + Strategic Planning Lifecycle (agile/rolling vs 5-year cycle), IT Strategy vs IT Steering Committee (trap คลาสสิก), Organizational Structure + SoD + Job Rotation + Mandatory Leave, Business Intelligence + Data Architecture (11 layers), Enterprise Architecture (Zachman + TOGAF)

บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
CISA Series ตอนที่ 16A : D2 - EGIT + Three Lines + Information Security Governance — ใครรับผิดชอบ Governance
2026-05-05 · #IT #Auditor
ส่วนที่ 1 ของ Section 2.2 — ใครรับผิดชอบ governance ของ IT? Corporate Governance + COBIT 7 components, EGIT (board responsibility ไม่ใช่ของ CIO), Governance vs Management ที่คนสับสนตลอด, Three Lines Model (First/Second/Third Line) + Information Security Governance (CISO reporting line trap)

บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
CISA Series ตอนที่ 15 : D2 - กฎที่ IT ต้องอยู่ใต้: Laws, Regulations, Policies, Standards, Procedures
2026-05-05 · #IT #Auditor
ลำดับชั้นของกฎ — จากกฎหมายภายนอก (PDPA, GDPR) ลงมาเป็น policy ภายใน → standards → procedures → guidelines เห็นว่ากฎที่ดูยุ่งเหยิงในชีวิตจริง จัดเป็นชั้นได้สวยงาม และทำไม auditor ต้องเข้าใจชั้นทั้งหมดเพื่อตรวจ control ให้ตรงจุด

บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
CISA Series ตอนที่ 14 : D2 - เปิด Domain 2: เถ้าแก่บริหารบริษัทใหญ่ขึ้น แต่ IT ก็ใหญ่ตาม
2026-05-05 · #IT #Auditor
บทเปิด Domain 2 — เปลี่ยนมุมจาก 'วิธีของหมอ' (auditor process ใน D1) มาเป็น 'สรีระวิทยาของผู้ป่วย' (governance ขององค์กรที่ถูก audit) เล่าตั้งแต่เถ้าแก่ตัดสินใจคนเดียว จนบริษัทโตเป็น enterprise ที่ต้องการ board, committee, และระบบ governance ของ IT

บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
CISA Series ตอนที่ 13 : D1 - ปิด Domain 1: QA ของ Audit เอง + Recap ทั้งหมด + เกริ่น Domain 2
2026-05-04 · #IT #Auditor
Section 1.10 — ใครตรวจ auditor? Audit Committee oversight, IS Audit QA process, Training & development, Independence + CPE monitoring พร้อม recap Domain 1 ทั้ง 13 ตอน 5 บทเรียนสำคัญ และเกริ่นว่า Domain 2 (Governance) จะพาเราไปไหนต่อ

บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
CISA Series ตอนที่ 12 : D1 - Reporting & Communication: ปิด Engagement ด้วย Report ที่ทำงาน
2026-05-04 · #IT #Auditor
Section 1.9 — ออก audit report ยังไงให้ board ใช้ตัดสินใจได้ — 6 objectives ของ report, รู้ว่าใครเป็น audience, structure ของ report, balance ระหว่าง positive/negative findings, follow-up เป็น value creation จริง และ documentation ที่ trace ได้ทั้งสองทาง
2026
25 โพสต์
05-07
CISA Series ตอนที่ 34 : D4 - เมื่อระบบทำงานช้า/ล่ม — Capacity, Incident, Problem Management
#IT #Auditor
05-07
CISA Series ตอนที่ 33 : D4 - Interfaces + Shadow IT — รอยต่อที่มักหลุดมือ
#IT #Auditor
05-07
CISA Series ตอนที่ 32 : D4 - โครงสร้าง IT ที่ Auditor ต้องอ่านได้: USB + Asset + Job Scheduling
#IT #Auditor
05-07
CISA Series ตอนที่ 31 : D4 - เปิด Domain 4: ระบบที่สร้างเสร็จแล้ว ดูแลให้ทำงานยังไง + รอดยังไง
#IT #Auditor
05-06
CISA Series ตอนที่ 30 : D3 - Postimplementation Review + ปิด Domain 3 + เกริ่น Domain 4
#IT #Auditor
05-06
CISA Series ตอนที่ 29 : D3 - Go-Live: Configuration + Release + Migration + Data Conversion
#IT #Auditor
05-06
CISA Series ตอนที่ 28 : D3 - Testing + IS Auditor Tools (UAT, certification, CAATs ใน SDLC)
#IT #Auditor
05-06
CISA Series ตอนที่ 27 : D3 - Application Controls: 3 ด่านควบคุมข้อมูล (Input / Processing / Output)
#IT #Auditor
05-06
CISA Series ตอนที่ 26 : D3 - Methodology ทางเลือก: Agile, Scrum, Prototype, RAD, DevOps, OOSD
#IT #Auditor
05-06
CISA Series ตอนที่ 25 : D3 - SDLC: Waterfall + Build vs Buy + Acquisition
#IT #Auditor
05-06
CISA Series ตอนที่ 24 : D3 - Project Governance + Business Case + Feasibility — ก่อนตอกเสาเข็ม
#IT #Auditor
05-06
CISA Series ตอนที่ 23 : D3 - เปิด Domain 3: ระบบใหม่เกิดยังไง — จากไอเดียถึงวันที่ขึ้น production
#IT #Auditor
05-05
CISA Series ตอนที่ 22 : D2 - ปิด Domain 2 + Recap + เกริ่น Domain 3 (Acquisition/Development)
#IT #Auditor
05-05
CISA Series ตอนที่ 21 : D2 - Quality Assurance + Quality Management ของ IT
#IT #Auditor
05-05
CISA Series ตอนที่ 20 : D2 - Performance Monitoring — KPI/KRI/KGI + PDCA + Balanced Scorecard
#IT #Auditor
05-05
CISA Series ตอนที่ 19 : D2 - IT Vendor Management — Outsourcing ที่ Accountability ไม่หาย
#IT #Auditor
05-05
CISA Series ตอนที่ 18 : D2 - เปิด Part B: IT Resource Management (HR + Financial Controls)
#IT #Auditor
05-05
CISA Series ตอนที่ 17B : D2 - Privacy Program + Data Governance — ข้อมูลที่ Governance ปกป้อง
#IT #Auditor
05-05
CISA Series ตอนที่ 17A : D2 - Enterprise Risk Management — บริหารความเสี่ยงเป็นวงจร
#IT #Auditor
05-05
CISA Series ตอนที่ 16B : D2 - IS Strategy + Org Structure + Business Intelligence + EA — Governance ทำงานยังไงในชีวิตจริง
#IT #Auditor
05-05
CISA Series ตอนที่ 16A : D2 - EGIT + Three Lines + Information Security Governance — ใครรับผิดชอบ Governance
#IT #Auditor
05-05
CISA Series ตอนที่ 15 : D2 - กฎที่ IT ต้องอยู่ใต้: Laws, Regulations, Policies, Standards, Procedures
#IT #Auditor
05-05
CISA Series ตอนที่ 14 : D2 - เปิด Domain 2: เถ้าแก่บริหารบริษัทใหญ่ขึ้น แต่ IT ก็ใหญ่ตาม
#IT #Auditor
05-04
CISA Series ตอนที่ 13 : D1 - ปิด Domain 1: QA ของ Audit เอง + Recap ทั้งหมด + เกริ่น Domain 2
#IT #Auditor
05-04
CISA Series ตอนที่ 12 : D1 - Reporting & Communication: ปิด Engagement ด้วย Report ที่ทำงาน
#IT #Auditor