สารบัญ
มาถึงบทสุดท้ายแล้วครับ
ก่อนเริ่ม ขอนั่งคิดสักแป๊บ ผมเปิดซีรีส์นี้ตอนต้นเดือนพฤษภาคม 2026 ตอนนั้นมีแค่ Domain 1 อยู่ในหัว ไม่รู้ด้วยซ้ำว่าจะเขียนถึงไหน
ตอนนี้นั่งเขียนตอน 53 บทที่ปิดทั้ง Domain 5 และทั้งซีรีส์ รู้ตัวว่าผ่านมา 54 ตอน 5 Domains ประมาณ 133,000 คำเข้าไปแล้ว
เป็นการเดินทางที่ยาวที่สุดที่เคยเขียนใน blog นี้ แล้วก็เป็นโครงการที่ทำให้ตัวเองเรียนรู้มากที่สุดด้วย
บทนี้แบ่งเป็น 4 ส่วน:
- ปิด Domain 5 — recap 12 ตอน
- ปิดทั้งซีรีส์ — 5 บทเรียนที่ติดในใจ
- ขั้นตอนต่อไป — การสอบจริง
- คำขอบคุณ + จุดที่จากกัน
ส่วนที่ 1 — Recap Domain 5
Map ของ Domain 5
12 ตอนของ Domain 5 ใช้ metaphor บ้านดิจิทัลเป็นแกน:
| ตอน | Part | เรื่อง | Section |
|---|---|---|---|
| 42 | Storyboard | เปิด Domain 5 + แผนที่บ้านดิจิทัล | ภาพรวม |
| 43 | A | กฎบ้าน + ประตู กำแพง | 5.1 + 5.2 |
| 44 | A | กุญแจ — IAM ทั้งหมด | 5.3 |
| 45 | A | ถนน + ยามตรวจของออก | 5.4 + 5.5 |
| 46 | A | ตู้เซฟ + กรมที่ดิน | 5.6 + 5.7 |
| 47 | A | อพาร์ตเมนต์เช่า | 5.8 |
| 48 | A | อุปกรณ์เคลื่อนที่ + IoT | 5.9 |
| 49 | A | คนในบ้าน — Awareness | 5.10 |
| 50 | B | วิธีโจรเข้า + จ้างคนงัด | 5.11 + 5.12 |
| 51 | B | กล้องวงจรปิด + แผนรับมือ | 5.13 + 5.14 |
| 52 | B | นิติวิทยาศาสตร์ดิจิทัล | 5.15 |
| 53 | Close | ปิด D5 + ปิดซีรีส์ (บทนี้) | wrap-up |
Part A (ตอน 42-49) “สร้างป้อม” — รู้กฎ → กั้นกำแพง → คุมการเข้า → คุมการออก → คุมการ store Part B (ตอน 50-52) “เมื่อโจรเข้า” — เข้าใจศัตรู → detect → respond → preserve evidence
5 Trap ของ Domain 5 ที่ต้องไม่ลืม
ก่อนสอบ ผมจะ review trap ทั้ง 5 ตัวนี้เป็นรอบสุดท้ายเลย:
1. IDS Placement
- ฝั่งนอก firewall → เห็น attack ทั้งหมด (รวมที่ block แล้ว noise เพียบ)
- ฝั่งใน firewall → เห็นเฉพาะ attack ที่ผ่านเข้ามา (มีความหมาย)
- ตอบตามว่าโจทย์ถามอะไร
2. Digital Signature ≠ Encryption
- Signature = authentication + integrity + non-repudiation
- ไม่ใช่ confidentiality ใครก็อ่านได้
3. Shared Responsibility Model
- IaaS = customer รับผิดชอบ OS ขึ้นไป (รวม patching)
- PaaS = customer รับผิดชอบ app ขึ้นไป
- SaaS = customer รับผิดชอบ data + access เป็นหลัก
4. Forensics: Power-Off = ผิด
- Volatile evidence ใน RAM ต้องเก็บก่อน shutdown
- Isolate network ได้ แต่อย่าปิดเครื่อง
5. DLP ทำงานได้แค่กับข้อมูลที่ classified
- Data classification = prerequisite ของ DLP
- ซื้อ DLP โดยไม่ classify ก่อน = ป้องกันอะไรไม่ได้เลย
ส่วนที่ 2 — 5 บทเรียนของทั้งซีรีส์
หลังเดิน 54 ตอน 5 Domains มาด้วยกัน ถ้าต้องเลือก 5 บทเรียนที่ครอบคลุมทั้งซีรีส์ ที่ติดในใจที่สุด:
บทเรียนที่ 1 — Independence เป็นเรื่องของโครงสร้าง ไม่ใช่ทัศนคติ
ตั้งแต่ ตอน 02 ที่คุยเรื่อง audit function จนถึง Domain 5 เรื่อง access control หลักนี้กลับมาซ้ำตลอด
Independence ไม่ใช่ “ฉันสัญญาว่าจะ objective” Independence คือ “ฉันรายงานต่อ board ไม่ใช่ CIO ของระบบที่ฉันตรวจ” Independence คือ “SoD ที่ผู้ approve ≠ ผู้ request” Independence คือ “Auditor ไม่ implement control ที่ตัวเองตรวจ”
โครงสร้างคือสิ่งที่เอนเอียงตามเวลาช้ากว่าทัศนคติ เพราะคนเปลี่ยนได้ ทัศนคติเปลี่ยนได้ แต่โครงสร้างที่ออกแบบดีจะ enforce พฤติกรรมที่ถูกต้องเองโดยไม่ต้องอาศัยความตั้งใจของบุคคล
บทเรียนที่ 2 — Risk เป็นแกนของทุกการตัดสินใจของ auditor
ตั้งแต่ Domain 1 (risk-based audit planning) จนถึง Domain 5 (risk-based DLP, risk-based pen testing scope) ทุกการตัดสินใจของ auditor เริ่มจาก risk
ทำไม? เพราะเวลา + budget มีจำกัด ตรวจทุกอย่างให้ละเอียดทุกปีไม่มีทางทันหรอก
Risk-based approach คือคำตอบ:
- ตรวจอันที่เสี่ยงสูงก่อน
- ใช้เวลามากกับอันที่กระทบเยอะ
- ปล่อยอันที่เสี่ยงต่ำให้รอบหน้า
ที่หลายคนพลาดคือ คิดว่า “audit = ตรวจทุกอย่าง” ผิด audit ที่ดีคือ ตรวจสิ่งที่สำคัญ ลึกพอที่จะให้ assurance
บทเรียนที่ 3 — Traceability คือหัวใจของ Professional Work
ทุก finding → trace กลับไปที่ work paper → trace กลับไปที่ audit step → trace กลับไปที่ audit objective → trace กลับไปที่ risk
ในระดับ technical ทุก control → ทุก log → ทุก alert ต้อง trace กลับไปที่นโยบาย
ใน forensics ทุกหลักฐาน → chain of custody ห้ามขาด
ในระดับธุรกิจ ทุก decision → ทุก policy → audit trail
ทำไม traceability สำคัญ? เพราะเมื่อมี challenge:
- ทนายฝ่ายตรงข้ามถาม
- Regulator สอบสวน
- Audit committee ตั้งคำถาม
- Board ตัดสินใจ
ถ้า trace ไม่ได้ งานทั้งหมดไม่มีค่าเลย
บทเรียนที่ 4 — คนคือทั้งจุดอ่อนและจุดแข็ง
ในมุม IT audit มันง่ายที่จะ focus เฉพาะเทคโนโลยี firewall, encryption, IAM tools
แต่ pattern คลาสสิคของ breach report แทบทุกฉบับ — root cause ไม่ใช่เทคโนโลยีล้มเหลวหรอก เกือบทุกครั้งคือคน:
- Configuration error — ตั้งค่าระบบผิด (เปิด port ไว้ผิด, IAM rule กว้างเกิน)
- ลืมเปลี่ยน default password
- คลิก phishing link
- Privilege creep — user สะสม permission เพิ่มเรื่อยๆ จากการย้ายตำแหน่ง โดยไม่มีคนถอด permission เก่าออก
- Failed change management — deploy โดยไม่มี approve / review
ใน Domain 5 ตอน 49 ที่คุยเรื่อง Security Awareness ทุกระบบเทคโนโลยีพังถ้าคนทำผิด แต่กลับกัน คนคนเดียวที่ฉุกคิดว่า “อะไรแปลกๆ” แล้วรายงาน อาจหยุด attack ใหญ่ได้เลย
หลัก audit: ดูเทคโนโลยี กับ ดู process กับ ดูคน สามอย่างคู่กันเสมอ
บทเรียนที่ 5 — Compliance ≠ Real Outcome
ผ่าน ISO 27001 audit ≠ บริษัทไม่โดน hack มี policy ครบ ≠ พนักงานปฏิบัติตาม มี backup ≠ recovery จริง
หลัก ISACA ที่ฝังอยู่ในทุก Domain — substance over form
Audit ที่ดีไม่ใช่ “ตรวจว่ามีเอกสารหรือไม่” แต่คือ “ตรวจว่ามันทำงานจริงหรือไม่”:
- Test backup restoration จริง ไม่ใช่แค่ดูว่ามี backup
- Test BCP จริง ไม่ใช่แค่ดูว่ามี plan
- Test incident response จริง ไม่ใช่แค่ดูว่ามี procedure
- Test access review จริง ไม่ใช่แค่ดูว่ามี signature
ที่หลาย auditor พลาดคือ ติด check box mentality หลัง compliance audit หลายๆ ปี ลืมว่าเป้าหมายคือ outcome ไม่ใช่ process
ส่วนที่ 3 — ขั้นตอนต่อไป: การสอบจริง
Registration กับ ISACA
ขั้นแรก สมัครสอบที่ www.isaca.org
- เป็น ISACA member ราคาสมัครสอบถูกกว่า สมาชิกภาพรายปีมีค่าใช้จ่ายแต่คุ้มอยู่
- เลือก exam window มี 3 windows ต่อปี
- จองที่นั่งสอบ Bangkok มี Pearson VUE test center
- ค่าสอบ ณ ปัจจุบันประมาณ 575 USD (member) / 760 USD (non-member)
Format ของข้อสอบ
- 150 ข้อ multiple choice
- 4 ชั่วโมง เวลาสอบ
- Computer-based ที่ test center
- Pass score = 450 / 800 (scaled score)
- ผลออกทันทีหลังสอบ
สัดส่วน Domain ต่อข้อสอบ:
- Domain 1 (IS Audit Process) — 18%
- Domain 2 (Governance) — 18%
- Domain 3 (Acquisition / Dev) — 12%
- Domain 4 (Operations) — 26%
- Domain 5 (Protection) — 26%
→ Domain 4 + 5 รวมกันมากกว่าครึ่งของข้อสอบ ลงน้ำหนัก review ให้สอดคล้องกับน้ำหนักนี้ด้วย
Study Schedule แนะนำ
ถ้ามีเวลาประมาณ 8-12 สัปดาห์ก่อนสอบ:
สัปดาห์ 1-4 — อ่าน + เข้าใจ
- อ่าน CRM ทีละ Domain
- ทำ practice questions ของ Domain นั้นทันที
- ใช้ blog series นี้เป็น secondary reference / mental model
สัปดาห์ 5-8 — Practice เข้มข้น
- ทำ practice questions เป็น batch ใหญ่
- บันทึกข้อที่ทำผิดและศึกษาเหตุผล
- ทำ mock exam ครั้งที่ 1
- Review หัวข้อที่ผิดเยอะ
สัปดาห์ 9-12 — Final Push
- ทำ mock exam ครั้งที่ 2 (timing เหมือนสอบจริง 4 ชั่วโมง)
- ทบทวน trap patterns ของแต่ละ Domain
- พักให้พอ สมองล้าก่อนสอบ = แย่กว่า study น้อยอีก
Practice Questions
ISACA มี QAE (Questions, Answers and Explanations) เป็น product แยก — practice questions อย่างเป็นทางการ
นอกนั้นมี:
- ISACA Bangkok Chapter — บางครั้งมี study group
- mock exam ของ training providers
- Cybrary, Udemy — มี free/paid courses ที่มี questions
Exam Day
วันสอบ:
- เข้านอนตรงเวลา คืนก่อนสอบ sleep > last-minute cramming เสมอ
- ไปถึง test center ก่อนเวลา 30 นาที
- ทาน breakfast ที่ไม่หนักเกินไป
- มีบัตรประชาชน + passport (ตรวจ ID)
- ห้ามนำมือถือ / นาฬิกา / กระเป๋า เข้าห้องสอบ
ระหว่างสอบ:
- อ่านคำถามให้ครบ ก่อนดู choices
- ระวัง trap word “FIRST”, “MOST important”, “BEST”
- เลือกคำตอบที่ “best” ไม่ใช่ “ถูก” ทุก choice อาจถูกแต่อันหนึ่งดีกว่า
- อย่าเปลี่ยน answer ถ้าไม่มีเหตุผลที่ชัดเจน first instinct มักถูก
- flag question ยาก ไว้กลับมาทำทีหลัง
หลังสอบ
ผ่าน:
- ยังไม่ได้ certified ทันที ต้องมี 5 years work experience ใน IS audit / control / security ก่อน
- Submit application ภายใน 5 ปี
- หลัง certified รักษาด้วย CPE 20 hours/year, 120 hours/3 years
ไม่ผ่าน:
- ไม่ใช่จุดจบ สมัครสอบใหม่ได้
- Review ผลแยกตาม Domain รู้ว่าจุดอ่อนอยู่ตรงไหน
- ทำ practice questions เพิ่ม
- ลองอีกครั้งใน window ถัดไป
ส่วนที่ 4 — คำขอบคุณ + จุดที่จากกัน
หลายคนถามผมว่า ทำไมเขียน CISA series นี้?
ตอบตรงๆ เริ่มจาก อยากจัดความคิดของตัวเอง ก่อนสอบ
อ่าน CRM ครั้งแรก รู้สึกว่าเนื้อหาเยอะจนหัวจะระเบิด ศัพท์เป็นพันคำ section เป็นร้อย แล้วทุกอย่างเชื่อมโยงกันหมด
วิธีที่ work กับผมที่สุดคือ เขียนออกมาเป็นเรื่องเล่า เพราะถ้าเล่าได้ = เข้าใจ ถ้าเขียนเป็นภาษามนุษย์ได้ = ฝังลึกพอที่จะเอาไปใช้ในข้อสอบและในงานจริง
ที่เริ่มจากเป็น “บันทึกส่วนตัว” กลายเป็น 54 ตอน 133,000 คำ ก็เพราะระหว่างเขียน ได้เข้าใจอะไรหลายอย่างที่ตอนแรกอ่านผ่านๆ ไป
ขอบคุณคนที่อ่านมาถึงจุดนี้
ถ้าคุณอ่านมาทั้งซีรีส์ ขอบคุณจริงๆ ครับ
ผมไม่รู้ว่าซีรีส์นี้จะมีคนอ่านหรือเปล่า เริ่มเขียนตอนที่คิดว่า “เขียนให้ตัวเองอ่าน” แต่ถ้ามันช่วยใครสักคนที่กำลังเตรียมสอบ CISA อยู่ที่ไหนสักแห่ง รู้สึกคุ้มมากที่เขียน
ถ้าเรื่องนี้ช่วยคุณ — ลองสิ่งนี้
หลังอ่านจบ สิ่งที่อยากให้ลองทำ:
1. เลือก 1 บทที่คุณรู้สึกว่ายังไม่ติด กลับไปอ่านอีกครั้ง พร้อมเปิด CRM section เดียวกัน ดูสองที่เทียบกัน คุณจะเห็นมุมที่ไม่เห็นรอบแรก
2. ทำ practice questions ของ Domain ที่คุณคิดว่าเก่งที่สุด แล้วดูว่าได้กี่ % ถ้าได้ < 80% แสดงว่ายังไม่พร้อม ใช้ผลนี้กลับไปทบทวน
3. เขียน mental map ของแต่ละ Domain ในกระดาษเปล่า ปิด CRM ปิด blog แล้วลองเขียนเองว่า Domain นั้นมี section อะไรบ้าง อะไรเชื่อมกับอะไร ถ้าเขียนได้ครบ = พร้อม ถ้าไม่ครบ = รู้ว่าต้องอ่านตรงไหนต่อ
4. ตั้งวันสอบ เลือกวันเลย จองที่นั่ง จ่ายเงิน ความ commit ที่จับต้องได้จะทำให้คุณตั้งใจมากขึ้น
ถ้าผมสอบผ่าน เจอกันใน chapter ใหม่
ผมจะกลับมาเขียนหลังสอบ ทั้งกรณีที่ผ่านและไม่ผ่าน
ถ้าผ่าน จะแชร์ exam day reality, สิ่งที่ blog series ช่วยจริง, สิ่งที่ surprise จาก expectation ถ้าไม่ผ่าน จะแชร์ Domain ที่อ่อน วิธีที่จะกลับมาใหม่
ผ่านหรือไม่ผ่าน การเขียน 54 ตอนนี้ทำให้ผมเข้าใจ IS audit ในระดับที่ตอนต้นเดือนผมไม่รู้เลยว่าจะถึง
ความรู้ที่เกิดจากการเขียนเพื่อสื่อให้คนอื่นเข้าใจ ลึกกว่าการอ่านอย่างเดียวเยอะมาก
ถ้าใครกำลังเรียนเรื่องอะไรอยู่ ลองเขียนออกมาในภาษาตัวเอง อาจไม่ต้องเป็น blog ก็ได้ จะ private notes, slide สำหรับ “อธิบายให้เพื่อนฟัง”, หรือ podcast ตอนเดียวก็ได้ สำคัญคือ ให้สมองได้อธิบาย ไม่ใช่แค่รับอย่างเดียว
ปิดซีรีส์ตรงนี้ครับ
หวังว่าจะได้เจอคนอ่านในคอมเมนต์ ใน LinkedIn หรือในห้องสอบที่ Pearson VUE สักวัน
ถ้าคุณกำลังเตรียมสอบ CISA ขอให้สอบผ่าน ถ้าคุณไม่ได้สอบแต่ทำงานในสาย IT audit / security / governance ขอให้ทุกความเข้าใจที่เพิ่มขึ้นจากซีรีส์นี้ ช่วยทำงานได้ดีขึ้น
และถ้าคุณแค่อ่านผ่านมา ขอบคุณที่ให้เวลากับงานนี้
54 ตอน จบลงตรงนี้ครับ
ขอบคุณครับ
อ้างอิง CRM (CISA Review Manual 28th Edition): Domain 5: Section 5.15 + series wrap-up — สรุปและปิดทั้ง 5 Domains
