เหตุการณ์การใช้งานเกี่ยวกับระบบ IT (log) 42 2. 8.8 การติดตามดูแลระบบและเฝ้าระวังภัยคุกคามทางไซเบอร์ ( security monitoring) 44 2. 8.9 การประเมินช่องโหว่ทางเทคนิค ( technical vulnerability assessment) 45 2

และสามารถติดตามและตรวจสอบการเข้าถึงและใช้งานข้อมูลและระบบ IT ย้อนหลังได้ ตามที่กฎหมายกำหนด 8.8 การติดตามดูแลระบบและเฝ้าระวังภัยคุกคามทางไซเบอร์ (security monitoring) โดยมีกระบวนการหรือเครื่องมือป้องกัน

เท่ากับการควบคุมที่พึงมีที่สำนักงานกำหนดไว้ ผู้ตรวจสอบสามารถใช้ดุลยพินิจ ในการตัดสินใจให้ผลการประเมินเป็น “Yes” ได้ ตัวอย่าง การควบคุมที่พึงมี จัดให้มีผู้บริหารระดับสูง (chief information security officer

เพื่อให้อยู่ในระดับที่องค์กรยอมรับได้ 2.2.2 นโยบายการรักษาความมั่นคงปลอดภัยด้าน IT (IT security policy) (1) โครงสร้างการบริหารงานเพื่อการรักษาความมั่นคงปลอดภัยด้าน IT (organization of information

มีวุฒิบัตรอย่างหนึ่งอย่างใดดังนี้ 1.2.1 Certified Information Systems Auditor (CISA) 1.2.2 Certified Information Security Manager (CISM) 1.2.3 Certified Information Systems Security Professional (CISSP

มั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ” (information technology security) หมายความว่า การธำรงไว้ซึ่งความลับ (confidentiality) ความถูกต้องครบถ้วน (integrity) สภาพพร้อมใช้งาน (availability) ของสารสนเทศ รวมทั้ง

เรื่องดังต่อไปนี้ (1) การกำกับดูแลและบริหารจัดการด้านเทคโนโลยีสารสนเทศ (Information Technology Governance) (2) การรักษาความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ (Information Technology Security) (3) การตรวจ