1953 คำ
10 นาที
CISA Series ตอนที่ 32 : D4 - โครงสร้าง IT ที่ Auditor ต้องอ่านได้: USB + Asset + Job Scheduling
2026-05-07
บันทึกส่วนตัว
เรื่องที่เรียน เรื่องที่อ่าน
IT
/
Auditor
สารบัญ
เรื่องที่ 1 — USB: ประตูหลังที่คนลืมล็อก ทำไม USB ถึงเป็นจุดอ่อนเสมอ Pattern คลาสสิคที่ exam ออก: policy บนกระดาษ vs control ในความเป็นจริง เรื่องที่ 2 — IT Asset Management: รู้ก่อนจะปกป้อง Asset ในมุม CISA — ไม่ใช่แค่ hardware Owner vs Custodian — เส้นที่ exam ชอบลาก Lifecycle ของ asset — ที่ตายแล้วยังเป็นภาระ เรื่องคั่น — Hardware Review Program: 6 จุดที่ผู้สอบบัญชีต้องถาม เรื่องคั่น — Utility Programs: เครื่องมือที่ bypass application control 5 หมวดของ utility programs ที่ CRM แบ่งไว้ มุม IS Auditor เรื่องคั่น — Software Licensing: 7 แบบที่ CRM แยกไว้ Paid licensing — 7 แบบ (Figure 4.20) Free licensing — 3 แบบ (Figure 4.19) มุม IS Auditor — sample detection ที่ exam ออก เรื่องคั่น — OS Hardening + Software Integrity OS Hardening = ลดพื้นที่โจมตี Software Integrity — รู้ว่าโค้ดที่รันคือโค้ดที่ควรรัน เรื่องที่ 3 — Job Scheduling: หัวใจที่เต้นในเงา ความเสี่ยงที่ scheduling เพิ่มเข้ามา (ไม่ใช่ลด) ตัวอย่างสมมติที่ตรงกับเหตุการณ์จริง สิ่งที่ auditor ต้องดูใน scheduler ปิดบท: 3 เรื่อง 1 logic ส่วนที่ลึกกว่านี้ลองดู

ก่อนจะตรวจอะไรในระบบ auditor ต้องอ่านโครงสร้าง IT ให้ออก เหมือนหมอที่ก่อนผ่าตัดต้องรู้ว่าอวัยวะอยู่ตรงไหน เส้นเลือดวิ่งทางไหน

ตอนนี้ขอเล่า 3 เรื่องที่ Section 4.1-4.3 ของ CRM ปูเอาไว้:

  1. USB / Endpoint — ประตูหลังที่ network control มองไม่เห็น
  2. IT Asset Management — รู้ว่ามีอะไรในมือ ก่อนคิดป้องกัน
  3. Job Scheduling — งานที่ทำงานในเงาทุกคืน

ทั้ง 3 เรื่องดูเหมือนแยกขาดกัน แต่จริงๆ ต่อกันด้วย logic เดียว: ถ้า auditor ไม่รู้ว่ามีอะไรอยู่ตรงไหน ทุกการตรวจที่ตามมาก็แค่เดา

ก่อนเริ่ม — สำหรับคนที่ยังไม่แม่น OSI Model + Network primitives: เนื้อหาเรื่อง 7 Layer ของ network (Physical / Data Link / Network / Transport / Session / Presentation / Application) + ศัพท์ network ที่ผู้บริหารต้องรู้ (NAT / Proxy / DMZ / VLAN / VPN / VoIP) + 4 metric ที่วัด network จริง (Throughput / Latency / Jitter / Packet loss) — ผมแยกออกไปเขียนเป็น primer ที่ Cybersecurity Foundation EP.26.5 — Network Anatomy อ่านก่อนได้แล้วกลับมาตอนนี้ ถ้าแม่นแล้วก็ลุยต่อด้านล่างได้เลย

เรื่องที่ 1 — USB: ประตูหลังที่คนลืมล็อก#

ที่ผมเก็บประเด็นนี้ไว้พูดเป็นเรื่องแรก เพราะมันคือคู่ตรงข้ามของทุก network control ที่เราคุยกันใน EP.26.5 — OSI คือเส้นทางที่ network monitoring เห็น ส่วน USB คือเส้นทางที่ network monitoring มองไม่เห็นเลย

ลองนึกถึงสนามบินสุวรรณภูมิ มี scanner ทุกประตู ตรวจกระเป๋าทุกใบ ตรวจคนทุกคน

แต่ถ้ามีคนเอา thumb drive ใส่กระเป๋าลึกๆ scanner เห็นเป็นวัตถุเล็กๆ ปกติ ไม่มี alert ใดๆ

USB drive 64GB ใบเดียวบรรจุข้อมูลลูกค้าได้หลายล้าน record ผ่าน “scanner” ของ network monitoring ไปสบายๆ โดยที่ SIEM (Security Information and Event Management / ระบบรวมและวิเคราะห์ log security), firewall, IDS (Intrusion Detection System / ระบบตรวจจับการบุกรุก) ไม่เห็นเลยซักตัว

ทำไม USB ถึงเป็นจุดอ่อนเสมอ#

องค์กรส่วนใหญ่ลงทุน security ที่ network firewall, IDS/IPS (Intrusion Prevention System / ระบบป้องกันการบุกรุก), SIEM ที่จับ alert ได้ละเอียดยิบ แต่ USB port บนเครื่อง workstation ทุกเครื่องยังเปิดอยู่ตามปกติ อ้าว

ลองนึกตัวอย่างจริง โรงพยาบาลเอกชนแห่งหนึ่งในกรุงเทพ มี nurse station 50 จุด ทุกเครื่องเข้า EMR (Electronic Medical Records) ได้

ถ้าพยาบาลคนใดคนหนึ่ง (หรือ contractor IT หรือ insider) เสียบ USB เข้าเครื่อง copy ข้อมูลคนไข้ 50,000 record ใช้เวลาประมาณ 2 นาที

หลังจากนั้น:

  • SIEM เห็นอะไรมั้ย? — ไม่
  • Firewall log เห็นมั้ย? — ไม่ เพราะข้อมูลไม่ได้ออก network
  • IDS alert มั้ย? — ไม่
  • DLP (Data Loss Prevention / ระบบกันข้อมูลรั่วไหล) เห็นมั้ย? — เห็นถ้าได้ลงไว้ และตั้งค่าให้ตรวจ USB

USB คือ blind spot ที่ network control ดูไม่ออก ต้องมี endpoint control เฉพาะ (USB port disable, encrypted USB enforcement, USB monitoring agent)

Pattern คลาสสิคที่ exam ออก: policy บนกระดาษ vs control ในความเป็นจริง#

CRM กับ case study CISA ชอบยกตัวอย่างคำตอบที่ organization มักให้เมื่อ auditor ถามเรื่อง USB control แล้ว auditor ขอ verify ต่อ:

  • “เรามี policy ห้ามใช้ USB” — ถามต่อ “policy นี้ enforce ทาง technical ไหม” คำตอบที่มักเจอ: ไม่
  • “USB port เราปิดไว้” — ขอ verify ด้วย random sample แล้ว 30% ของเครื่อง USB ยังใช้ได้อยู่
  • “เรามี DLP” — ขอดู rule ที่จับ USB → ไม่ได้ตั้ง

นี่คือช่องว่างระหว่าง policy บนกระดาษกับ control ในความเป็นจริงครับ — pattern ที่ ISACA ยกซ้ำในหลาย scenario

เรื่องที่ 2 — IT Asset Management: รู้ก่อนจะปกป้อง#

มาถึงเรื่องที่ดู “ไม่เซ็กซี่” ที่สุดใน Domain 4 แต่จริงๆ มันเป็นรากของทุกอย่างเลย

คำถามง่ายๆ: ถ้า CISO (Chief Information Security Officer / ผู้บริหารด้าน security ขององค์กร) มาขอ budget ติดตั้ง firewall ใหม่ แต่ตอบไม่ได้ว่าตอนนี้บริษัทมีเครื่องอยู่ใน network กี่เครื่อง

ผู้บริหารควรอนุมัติมั้ย?

ถ้าผมเป็นกรรมการนะ ผมไม่อนุมัติจนกว่าจะตอบได้ว่ามีเครื่องอะไรอยู่ตรงไหนบ้าง เพราะ firewall ที่ดีที่สุดในโลกก็ไม่ป้องกันสิ่งที่ไม่รู้ว่ามี

Asset ในมุม CISA — ไม่ใช่แค่ hardware#

asset ในมุมที่ ISACA สอน รวม 5 หมวด:

  1. Hardware — server, laptop, mobile device, printer
  2. Software — OS, application, middleware, license
  3. Data — database, file, backup, log
  4. People — staff, contractor, third-party
  5. Intangible — reputation, IP, brand

auditor ต้องดูครบ 5 หมวด ไม่ใช่แค่ที่จับต้องได้นะครับ

Owner vs Custodian — เส้นที่ exam ชอบลาก#

อีกความเข้าใจผิดที่เจอบ่อย — “asset ทั้งหมดของบริษัท IT department เป็นเจ้าของ”

ไม่ใช่นะครับ:

  • Owner = หัวหน้า business unit ที่ใช้ asset นั้น เป็นคนรับผิดชอบ ความเสี่ยงและการจัดประเภท
  • Custodian = ทีม IT ที่ดูแล การติดตั้ง, maintenance, backup

ถ้าฝ่าย Finance ใช้ระบบ ERP (Enterprise Resource Planning / ระบบบริหารทรัพยากรองค์กร) — owner คือ CFO (Chief Financial Officer), custodian คือ CIO (Chief Information Officer) ฝ่าย IT

ทำไมต้องแยก? เพราะตอนตัดสินใจเรื่อง classification (“ข้อมูลนี้ลับแค่ไหน?”) business เป็นคนตอบ ไม่ใช่ IT

Lifecycle ของ asset — ที่ตายแล้วยังเป็นภาระ#

asset มี cycle: ซื้อ → ใช้ → maintain → ปลด

ที่องค์กรไทยพลาดบ่อยคือขั้นสุดท้าย disposal นี่แหละ

มี case study คลาสสิกของวงการ — บริษัทค้าปลีกแห่งหนึ่งยกเลิก POS (Point of Sale / เครื่องคิดเงินหน้าร้าน) terminal เก่า 50 เครื่อง ขายต่อให้ร้านมือสอง

3 เดือนต่อมา researcher คนหนึ่งซื้อ POS เก่ามาทดลอง ปรากฏว่า hard drive ยังมี transaction log ของบัตรเครดิตอยู่หลายแสนรายการ

ทีมขาย POS ลบไฟล์มั้ย? ลบนะ แต่ลบแบบ delete ปกติที่ recover ได้

certified disposal ที่ถูกต้องต้อง: DoD (Department of Defense — มาตรฐาน wipe disk ของกระทรวงกลาโหมสหรัฐ) wipe, degaussing, หรือทำลายจริง — ตามระดับความ sensitive ของข้อมูล

เรื่องคั่น — Hardware Review Program: 6 จุดที่ผู้สอบบัญชีต้องถาม#

asset management บอกว่า “มีอะไรในมือ” ส่วน Hardware Review ไปอีกชั้น — “ของที่มีในมือ จัดการเป็นระบบรึเปล่า ตั้งแต่ตอนซื้อจนตอนปลด”

CRM Section 4.1.7 มี Figure 4.7 ที่วาง 6 จุดให้ผู้สอบบัญชีใช้ตรวจ hardware program ทั้งวงจร ลองไล่ดู 6 ข้อนี้แล้วเทียบกับองค์กรของตัวเองว่าตอบได้กี่ข้อครับ

จุดที่ผู้สอบบัญชีถามดู artifact อะไรทำไมสำคัญ
1. Hardware acquisition plan — แผนซื้อ hardware align กับ business / enterprise architecture (EA) / IS plan มั้ย? มี criteria เลือกของรึเปล่า? lead time พอมั้ย?แผนซื้อรายปี + cost-benefit analysis ที่เป็นลายลักษณ์อักษร + criteria เลือกของ + ตารางทบทวนแผนกับ business planซื้อ hardware ไม่สอดคล้องกับทิศทางบริษัท = เงินจม + ระบบไม่ scale ตามที่ใช้จริง
2. Acquisition of hardware — การซื้อจริง follow แผนมั้ย? มี policy เป็นลายลักษณ์อักษรเรื่อง acquisition + use? routing ผ่าน purchasing department ตามขั้นตอนรึเปล่า?RFP + vendor evaluation + contract + cost-benefit analysis แนบใบขอซื้อ + policy เรื่อง hardware acquisition ที่สื่อสารถึง user แล้วซื้อตรงไปตรงมาโดยข้าม purchasing = duplication, ไม่ได้ส่วนลด volume, ไม่ผ่าน tender → corruption risk
3. IT asset tagging + ownership — hardware ถูก tag แล้วมั้ย? มี owner ระบุชัดมั้ย? อยู่ตรงไหน? SLA กับ vendor ออก/รับกลับมาแล้วรึยัง?inventory list + tag scheme + owner field + location + service/maintenance level agreement (SLA)(เชื่อมตรงกับ Asset Management section ก่อนหน้า) — ถ้า hardware ไม่มี owner ระบุ ตอนเครื่องเจ๊งไม่รู้ใครรับผิดชอบ + ตอน leaver ไม่มีคนถือ ของหาย
4. Preventive maintenance schedule — ตามความถี่ที่ vendor แนะนำมั้ย? ทำตอน off-peak มั้ย? เลี่ยงช่วง critical application รัน?maintenance log + schedule vs vendor recommendation + downtime window policymaintenance ทำตอน peak = ระบบล่มตอนใช้งานหนัก ผู้บริหารโกรธ, ไม่ทำเลย = hardware fail แบบไม่คาดคิด
5. Hardware availability + allocated resources — capacity พอกับ workload + user requirement มั้ย? backup hardware ยืดหยุ่นพอรองรับ preventive maintenance มั้ย?capacity report + utilization trend + backup inventory + critical application priority listระบบช้าตอน month-end close เพราะ capacity ไม่พอ = financial reporting delay
6. Problem logs + job accounting system/reports — IS management ทบทวน hardware malfunction, error, abnormal termination, operator action มั้ย?incident log + console log + operator activity log + management review evidence (sign-off)ไม่มีคนดู log = pattern ของ recurring failure ไม่ถูกจับ root cause ไม่ถูกแก้

มุมที่จะเก็บไปใช้ — ผู้สอบบัญชีไม่ได้ถามแค่ “มี hardware กี่เครื่อง” แล้วจบ ถามทั้ง lifecycle ตั้งแต่ “วางแผนซื้อยังไง” ลามไปจนถึง “ใครดู log ที่เครื่องนี้พ่นออกมา”

ถ้าตอบได้แค่ครึ่งเดียวของ 6 ข้อนี้ Hardware Review program ก็ยังไม่ครบครับ

เรื่องคั่น — Utility Programs: เครื่องมือที่ bypass application control#

ก่อนข้ามไป Job Scheduling ขอแทรกเรื่องที่หลายคนมองข้าม utility programs ที่ติดมากับ OS (Operating System / ระบบปฏิบัติการ) หรือ DBMS (Database Management System / ระบบจัดการฐานข้อมูล)

ตัวอย่าง: editor ที่แก้ database file ได้โดยตรง, disk-level utility ที่ copy ทุก byte จาก disk หนึ่งไปอีก disk, network sniffer ที่จับ packet ดิบ

กับดักสำคัญ: utility พวกนี้ทำงานต่ำกว่า application ทุก control ที่อยู่ใน application (validation, logging, access control) ถูก bypass หมด

ถ้าเปรียบ application controls = ยามตรงประตูหน้า utility programs = กุญแจประตูหลังที่ admin ถือ

ใน CRM 4.6.6 — utility programs ถูก flag เป็น risk class แยก เพราะ:

  • มัก come bundled กับ OS / DBMS — install อัตโนมัติ
  • คนที่ใช้ได้คือ admin (privileged user)
  • การใช้บางครั้งไม่ถูก log ถ้า utility ตั้งให้เลี่ยง audit trail

5 หมวดของ utility programs ที่ CRM แบ่งไว้#

CRM 4.6.6 แบ่ง utility programs ตามจุดประสงค์การใช้ เป็น 5 หมวด ขอ list สั้นๆ เพื่อให้เห็นภาพรวม:

หมวดจุดประสงค์ตัวอย่าง utility
1. Understanding application systemsเข้าใจ application ที่มีอยู่decompiler, transaction profile analyzer, execution path analyzer, data dictionary
2. Assessing or testing data qualityทดสอบ / ตรวจคุณภาพข้อมูลdata manipulation utility, database dump, data comparison utility, query facility
3. Assisting in operationsช่วยงาน operations ประจำวันdisk/tape initialization, disk reorganization, sort/merge
4. Assisting in future program developmentช่วยพัฒนาในอนาคตtext editor, library copy, debugger, report generator, code generator
5. Improving operational efficiencyวัด + เพิ่ม performanceCPU + memory utilization report, message transmission report, bad sector report

มุมที่ exam ออก — แต่ละหมวดมี risk level ต่างกัน หมวด 1 (decompiler) + หมวด 2 (data manipulation) = sensitive สุด เพราะ bypass application logic ได้ตรงๆ ส่วนหมวด 5 (performance report) = read-only ส่วนใหญ่ risk ต่ำกว่า

control ต้อง stratify ตามหมวด ไม่ใช่ลอก policy เดียวกันใช้ทุกตัว

มุม IS Auditor#

  • Inventory — รู้ว่ามี utility อะไรอยู่ในระบบบ้าง (โดยเฉพาะ DBMS utility, OS-level tool)
  • Access restriction — ไม่ใช่ทุก admin ต้องมีสิทธิ์รัน utility ทุกตัว
  • Logging — utility activity ถูก log แยกจาก normal activity ไหม
  • Approval — การใช้ utility บน production ต้องผ่าน change request ไม่ใช่ admin ตัดสินเอง

เชื่อม ตอน 27 (Application Controls)DBA (Database Administrator / ผู้ดูแลฐานข้อมูล) bypass ที่คุยใน D3 = ตัวอย่างของ utility-level bypass

เรื่องคั่น — Software Licensing: 7 แบบที่ CRM แยกไว้#

ก่อนข้าม OS hardening ขอแทรกอีกเรื่องที่ exam ออกแน่ๆ คือ software licensing — CRM 4.6.8 แบ่ง 2 group ใหญ่ ฝั่ง paid licensing มี 7 แบบ ฝั่ง free licensing มี 3 แบบ

Typeคิดเงินจาก
Per CPUจำนวน CPU บนเครื่อง server (อาจรวม/ไม่รวม core)
Per seatจำนวน unique user ที่ใช้งาน
Concurrent usersจำนวน user ที่ใช้พร้อมกันสูงสุดในช่วงเวลาที่กำหนด
Utilizationความ busy ของ CPU / จำนวน user active ในแต่ละช่วงเวลา
Per deviceจำนวนอุปกรณ์ (ไม่ใช่ user) ที่ connect เข้ามา
Enterpriseunlimited use ทั่วทั้งองค์กร (อาจมี restriction บางอย่าง)
Meteredmix ของ type ข้างบน (เช่น per seat แต่จำกัดจำนวน)

Free licensing — 3 แบบ (Figure 4.19)#

Typeเงื่อนไข
Open sourceใช้ / copy / modify / redistribute ได้ มากับ source code + license (เช่น GNU GPL — Linux)
Freewareฟรี แต่ห้าม redistribute source code (เช่น Adobe Reader)
Trialฟรีช่วงทดลอง หรือ functionality จำกัด เช่น lite / demo / evaluation

มุม IS Auditor — sample detection ที่ exam ออก#

CRM list 4 ขั้นตอนตรวจ license violation:

  1. Review listing ของ application + system software ที่ installed + licensed
  2. Sample PC + server ดูว่า software ทุกตัวมี license
  3. Scan network ด้วย discovery tool ของ anti-malware / vulnerability scanner ดูทั้งหมดที่ลงไว้
  4. Compare license agreement vs installed software — note variance

นอกจากนี้ vendor บางรายคิดเงินจาก business metric แทน license seat — transaction volume (API call count), data volume (ปริมาณข้อมูลที่ process), revenue share (% ของรายได้) — pricing model พวกนี้ auditor ต้องอ่านสัญญาให้แม่นว่า metric วัดจากตรงไหน

กับดัก: license แบบ “concurrent user” กับ “per seat” ดูคล้ายกัน แต่คิดเงินคนละทาง — 100 seat license = 100 unique user, 100 concurrent license = unlimited user แต่ใช้พร้อมกันได้ 100 คน. ถ้าเข้าใจผิด → ซื้อ license ผิดแบบ → audit finding ทั้ง compliance + cost

เรื่องคั่น — OS Hardening + Software Integrity#

CRM 4.6 พูดถึง OS Reviews + Software Integrity Issues สั้นๆ แต่สำคัญ ขอ flag ตรงนี้หน่อย

OS Hardening = ลดพื้นที่โจมตี#

OS ที่ install จาก default มี service / port / account / sample file ที่ไม่จำเป็นเต็มไปหมด ทุกตัวคือ attack surface

Hardening = ลดสิ่งเหล่านี้:

  • Disable unused service / port — ปิด FTP, Telnet, default share
  • Remove default account — ลบ guest, admin/admin, default password
  • Apply security baseline — CIS Benchmarks, DISA STIGs, vendor hardening guide
  • Patch level current — patch ที่ vendor ออก apply ครบ (ไม่ใช่ทุก patch ต้อง apply ทันที — ต้อง test ก่อน ตามที่จะคุยใน ตอน 35)

Software Integrity — รู้ว่าโค้ดที่รันคือโค้ดที่ควรรัน#

Software integrity check ตอบคำถาม: “binary ที่อยู่ใน production คือ version ที่ approved รึเปล่า ไม่ได้ถูก tamper?”

วิธีที่ work:

  • Hash / checksum ของ binary บันทึกตอน deploy → verify เป็นระยะ
  • Code signing — vendor sign binary, OS verify ก่อน load
  • File Integrity Monitoring (FIM) — alert ตอนไฟล์ system-critical ถูก modify โดยไม่คาด

กับดัก: “ระบบมี antivirus = software integrity safe” ผิด AV (Antivirus) จับ known malware แต่จับ unauthorized modification ของ legitimate file ไม่ได้ ต้องมี FIM แยก

เดี๋ยว D5 จะลง endpoint security + application whitelisting ลึกอีก

เรื่องที่ 3 — Job Scheduling: หัวใจที่เต้นในเงา#

ทุกเช้าตอน 8 โมง ผู้บริหารเปิดอ่าน management report — ตัวเลขรายได้ สต็อก การผลิต

report พวกนี้ไม่ได้เกิดเองนะครับ มันเป็นผลลัพธ์ของbatch job ที่รันทั้งคืน บางองค์กรรันเป็นพันๆ job ต่อคืน

job scheduling ดูเหมือนเรื่องเทคนิคล้วนๆ แต่จริงๆ มันคือ control ที่กระทบ financial reporting integrity โดยตรง

ความเสี่ยงที่ scheduling เพิ่มเข้ามา (ไม่ใช่ลด)#

automation ลด human error ก็จริง แต่เพิ่ม risk ใหม่อีก 3 อย่าง:

  1. Silent failure — job fail เงียบๆ ไม่มี alert report ที่ออกมาวันถัดไปก็ใช้ข้อมูลเก่า/ไม่ครบ
  2. Dependency break — Job B ใช้ output ของ Job A ถ้า Job A เจ๊งแต่ Job B ยังรัน garbage in, garbage out
  3. Unauthorized override — operator มีสิทธิ์ rerun, reprioritize, หรือเปลี่ยน parameter โดยไม่ผ่าน change management

ตัวอย่างสมมติที่ตรงกับเหตุการณ์จริง#

ลองนึก scenario โรงงานใหญ่ที่มี scheduler รัน batch consolidation จาก production line ทั้ง 12 line เพื่อเตรียม report เช้า

คืนหนึ่ง Line 7 data feed timeout, error ออกมา แต่ scheduler มี logic บอกว่า “ถ้า Line ไหน fail ให้ skip ไปอันอื่น”

เช้ามา report ขึ้นว่า Line 7 production = 0

ผู้บริหาร panic นึกว่า Line 7 ปิด ไล่หา root cause อยู่นาน กว่าจะรู้ว่า production จริงปกติดี ตัวเลขแค่ไม่ได้ดึงเข้า report เฉยๆ ก็เสียเวลาไป 2 ชั่วโมงแล้ว

root cause: scheduler ไม่ควร skip ครับ มันควร stop pipeline แล้ว alert เพราะ “ไม่มีข้อมูล” ≠ “ผลิตเป็นศูนย์”

สิ่งที่ auditor ต้องดูใน scheduler#

3 จุดที่ควร verify:

  1. Exception handling — เมื่อ job fail มี alert ไปหาคนรับผิดชอบมั้ย? alert ไปถึงใคร? ใครต้อง acknowledge?
  2. Authorization for rerun/override — operator มีสิทธิ์อะไรบ้าง? rerun ต้องผ่านใคร? log ครบมั้ย?
  3. Console log review — ใครรีวิว log? บ่อยแค่ไหน? log ถูก write-protect มั้ย?

ในมุม IS auditor console log คือหลักฐานหลักที่ใช้ยืนยันว่า scheduled work ถูกทำจริง เชื่อมตรงกับ ตอน 11 (CAATs) ที่คุยเรื่อง audit evidence

ปิดบท: 3 เรื่อง 1 logic#

ที่ผมเล่ามาทั้งหมดเชื่อมด้วย logic เดียว ก่อนจะตรวจ control ต้องอ่านโครงสร้างก่อน

  • USB — รู้ว่ามี blind spot ที่ network monitoring มองไม่เห็น
  • Asset Management — รู้ว่ามีอะไรในมือก่อนจะคิดป้องกัน
  • Job Scheduling — รู้ว่ามีอะไรทำงานอยู่ในเงา

(ส่วน OSI 7 Layer + Network primitive — ภาษากลางของทุก network engineer ที่ใช้เจาะหา root cause — อยู่ใน EP.26.5 ของ Cybersecurity Foundation ตามที่ flag ไว้ตอนเปิดบท)

auditor ที่ตรวจโดยไม่รู้เรื่องเหล่านี้ ก็เหมือนหมอที่ผ่าตัดโดยไม่เคยเรียน anatomy

ตอนถัดไปจะลงเรื่องที่ตามมาทันที — รอยต่อ ระหว่างระบบ ซึ่งเป็นจุดที่ case study CISA ยกซ้ำว่า control พังบ่อยที่สุด คือ System Interfaces + Shadow IT

ส่วนที่ลึกกว่านี้ลองดู#

ตอนนี้คุยภาพรวม IT components ของ Part A เพื่อให้ auditor อ่านโครงสร้างออก. แต่ละหัวข้อย่อยข้างล่างนี้ผมแยกออกไปเขียนลึกในซีรีส์ Cybersecurity Foundation + post auditor-angle อื่น เพื่อไม่ให้ post นี้ยาวเกินไป

post นี้เน้น “auditor อ่านโครงสร้างให้ออก” ส่วนเรื่องลึกเชิง engineering ของแต่ละหัวข้อ ตามไปอ่านที่ link ข้างบนได้

อ้างอิง CRM (CISA Review Manual 28th Edition): Domain 4: Section 4.1 IT Components + Section 4.2 IT Asset Management + Section 4.3 Job Scheduling and Production Process Automation + Section 4.6 (Operating Systems, Utility Programs, Software Integrity, Software Licensing)

Ciel
written by Ciel
JustNotOrdinary's Chief-of-Staff →
CISA Series ตอนที่ 31 : D4 - เปิด Domain 4: ระบบที่สร้างเสร็จแล้ว ดูแลให้ทำงานยังไง + รอดยังไง
CISA Series ตอนที่ 33 : D4 - Interfaces + Shadow IT — รอยต่อที่มักหลุดมือ
© 2026 Just Not Ordinary. All Rights Reserved. / Sitemap