โดยครอบคลุมข้อมูลดังนี้ 4.2.1 ข้อมูลที่อยู่บนอุปกรณ์ที่ใช้ปฏิบัติงาน (data at endpoint) 4.2.2 ข้อมูลที่อยู่ระหว่างการรับส่งผ่านเครือข่าย (data in transit) 4.2.3 ข้อมูลที่อยู่บนระบบงานและสื่อบันทึกข้อมูล

. ขอบเขตในการตรวจสอบ (Audit scope) 3 4. การตรวจสอบ 7 4.1 วิธีการเก็บหลักฐาน 7 4.2 แนวทางการสุ่มตัวอย่าง 8 4.3 การบันทึกข้อมูลเกี่ยวกับการตรวจสอบ 9 4.4 ประเภทของการตรวจสอบ 9 5. การสรุปผลการตรวจสอบ 12

น้อยทุก 2 ปี 3.1.2 กรณีเป็นผู้ประกอบธุรกิจที่มีความเสี่ยงระดับต่ำ ต้องจัดให้มีการตรวจสอบ ด้าน IT อย่างน้อยปีละ 1 ครั้ง โดยเป็นการตรวจสอบแบบเต็มรูปแบบ (full scope) ที่ครอบคลุมหลักเกณฑ์ทั้งหมด อย่างน้อยทุก

ลับ โดยครอบคลุมข้อมูลดังนี้ 4.2.1 ข้อมูลที่อยู่บนอุปกรณ์ที่ใช้ปฏิบัติงาน (data at endpoint) 4.2.2 ข้อมูลที่อยู่ระหว่างการรับส่งผ่านเครือข่าย (data in transit) 4.2.3 ข้อมูลที่อยู่บนระบบงานและสื่อบันทึก