ภาพปกของบทความ
บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
CISA Series ตอนที่ 34 : D4 - เมื่อระบบทำงานช้า/ล่ม — Capacity, Incident, Problem Management
2026-05-07 · #IT #Auditor
Section 4.6 + 4.7 — capacity management ป้องกันก่อนล่ม, incident management กู้คืนเมื่อล่ม, problem management หาต้นตอเพื่อไม่ให้ล่มซ้ำ ที่ exam ชอบหลอกว่า incident กับ problem คือเรื่องเดียวกัน — มันไม่ใช่
ภาพปกของบทความ
บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
CISA Series ตอนที่ 33 : D4 - Interfaces + Shadow IT — รอยต่อที่มักหลุดมือ
2026-05-07 · #IT #Auditor
ข้อมูลที่หาย/ผิด/รั่ว ส่วนใหญ่เกิดตอนเดินทางระหว่างระบบ ไม่ใช่ตอนนิ่งใน database ตอนนี้คุย Section 4.4 (System Interfaces) + 4.5 (Shadow IT/EUC) — สองเรื่องที่ผมเรียกว่า รอยต่อทางการ และ รอยต่อใต้ดิน
ภาพปกของบทความ
บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
CISA Series ตอนที่ 32 : D4 - โครงสร้าง IT ที่ Auditor ต้องอ่านได้: USB + Asset + Job Scheduling
2026-05-07 · #IT #Auditor
ปูพื้น 3 เรื่องโครงสร้างของ Part A — USB ที่เป็นประตูหลังที่ network firewall มองไม่เห็น, IT Asset Management ที่ทุก control เริ่มจากการรู้ว่ามีอะไร, และ Job Scheduling ที่ทำงานเงียบๆ ทุกคืน. (OSI 7 Layer + Network primitives ที่เคยอยู่ในตอนนี้ ย้ายไปอยู่ใน Cybersecurity Foundation EP.26.5 เป็น primer ที่อ่านก่อนได้)
ภาพปกของบทความ
บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
CISA Series ตอนที่ 31 : D4 - เปิด Domain 4: ระบบที่สร้างเสร็จแล้ว ดูแลให้ทำงานยังไง + รอดยังไง
2026-05-07 · #IT #Auditor
บทเปิด Domain 4 — หลังจาก D3 ปั้นระบบจน go-live ตอนนี้ระบบอยู่ในสนาม ทำงานทุกวัน เจอแรงกระแทกทุกแบบ Domain 4 คือเรื่องของ Run + Survive: ทำให้ทำงานต่อเนื่อง + รอดเมื่อเกิดเหตุไม่คาดคิด
ภาพปกของบทความ
บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
CISA Series ตอนที่ 30 : D3 - Postimplementation Review + ปิด Domain 3 + เกริ่น Domain 4
2026-05-06 · #IT #Auditor
Section 3.8 — Postimplementation Review (PIR) ที่ปิด governance loop ที่เปิดไว้ตั้งแต่ business case ทำไม PIR ต้องรอ 6-12 เดือน, ทำไม independence ของ auditor PIR สำคัญที่สุด, project closure 5 ขั้น พร้อม recap Domain 3 ทั้ง 8 ตอน + 5 บทเรียนสำคัญ และเกริ่น Domain 4 ที่จะคุยเรื่อง 'ระบบที่ build เสร็จแล้ว ดูแลให้ทำงานยังไง'
ภาพปกของบทความ
บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
CISA Series ตอนที่ 29 : D3 - Go-Live: Configuration + Release + Migration + Data Conversion
2026-05-06 · #IT #Auditor
Section 3.6 + 3.7 — วันที่ความเสี่ยงสูงสุดของโปรเจ็คทั้งหมด ครอบคลุม configuration management (CMDB, baselines, check-in/check-out), data migration architecture (Unload-Cleanse-Transfer-Load), changeover techniques (parallel, phased, abrupt), rollback plan ที่ต้องทดสอบจริง และ end-user training ที่ไม่ใช่กิจกรรมท้ายสุด
ภาพปกของบทความ
บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
CISA Series ตอนที่ 28 : D3 - Testing + IS Auditor Tools (UAT, certification, CAATs ใน SDLC)
2026-05-06 · #IT #Auditor
Section 3.5 — testing classifications (unit, integration, system, recovery, security, performance), QAT vs UAT, ทำไม UAT ห้าม delegate ให้ vendor และ IS auditor's own tools (ITF, GAS, SCARF, snapshot, parallel simulation) ที่เป็น CAATs ในมุม SDLC พร้อม data integrity testing + certification process ก่อน go-live
ภาพปกของบทความ
บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
CISA Series ตอนที่ 27 : D3 - Application Controls: 3 ด่านควบคุมข้อมูล (Input / Processing / Output)
2026-05-06 · #IT #Auditor
Section 3.4 — application controls ที่ทดสอบบ่อยที่สุดในข้อสอบ Input controls (edit checks, batch totals, source authorization), Processing controls (run-to-run totals, exception reports, reasonableness), Output controls (distribution, retention, reconciliation) พร้อมเรื่อง DBA bypass — application controls แข็งแค่ไหน ก็ไม่มีความหมายถ้าฐานข้อมูลถูกแก้ตรง
ภาพปกของบทความ
บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
CISA Series ตอนที่ 26 : D3 - Methodology ทางเลือก: Agile, Scrum, Prototype, RAD, DevOps, OOSD
2026-05-06 · #IT #Auditor
Section 3.3.5 — methodology ที่ไม่ใช่ waterfall ทุกแบบมี risk profile คนละเรื่อง Agile ไม่ใช่ no documentation, Prototype ไม่ใช่ production after approval, RAD ไม่ใช่แค่ shortened waterfall, DevOps ไม่ใช่ทำให้ change control หาย OOSD เป็น programming paradigm ไม่ใช่ methodology ของโปรเจ็ค auditor ต้องตรวจคนละจุดในแต่ละแบบ
ภาพปกของบทความ
บันทึกส่วนตัว / เรื่องที่เรียน เรื่องที่อ่าน
CISA Series ตอนที่ 25 : D3 - SDLC: Waterfall + Build vs Buy + Acquisition
2026-05-06 · #IT #Auditor
Section 3.3 phases 1-3 + 3.3.7-3.3.9 — SDLC แบบ waterfall ที่ทุก methodology อื่นใช้เป็น baseline เปรียบเทียบ พร้อมเรื่องการซื้อระบบ: RFP/ITT, vendor evaluation, source code escrow, right-to-audit clause และเหตุผลที่ buyer ต้องทดสอบเอง — ห้าม delegate ให้ vendor