. ขอบเขตในการตรวจสอบ (Audit scope) 3 4. การตรวจสอบ 7 4.1 วิธีการเก็บหลักฐาน 7 4.2 แนวทางการสุ่มตัวอย่าง 8 4.3 การบันทึกข้อมูลเกี่ยวกับการตรวจสอบ 9 4.4 ประเภทของการตรวจสอบ 9 5. การสรุปผลการตรวจสอบ 12

(data at rest) 1. ผู้ประกอบธุรกิจควรกำหนดหลักเกณฑ์การจัดชั้นความลับของข้อมูล (data classification) และวิธีการจัดการข้อมูล (data handling) ตามชั้นความลับ ให้ครอบคลุมตลอดวงจรชีวิตของข้อมูล (data life cycle

น้อยทุก 2 ปี 3.1.2 กรณีเป็นผู้ประกอบธุรกิจที่มีความเสี่ยงระดับต่ำ ต้องจัดให้มีการตรวจสอบ ด้าน IT อย่างน้อยปีละ 1 ครั้ง โดยเป็นการตรวจสอบแบบเต็มรูปแบบ (full scope) ที่ครอบคลุมหลักเกณฑ์ทั้งหมด อย่างน้อยทุก

maintenance) ผู้ประกอบธุรกิจต้องมีการบริหารจัดการโครงการด้าน IT และมีการจัดหา พัฒนา รวมถึงบำรุงรักษา ระบบ IT เพื่อให้มั่นใจว่ามีการรักษาความมั่นคงปลอดภัยตลอดวงจรชีวิตของระบบ IT (entire life cycle) ดังนี้ การ