. ขอบเขตในการตรวจสอบ (Audit scope) 3 4. การตรวจสอบ 7 4.1 วิธีการเก็บหลักฐาน 7 4.2 แนวทางการสุ่มตัวอย่าง 8 4.3 การบันทึกข้อมูลเกี่ยวกับการตรวจสอบ 9 4.4 ประเภทของการตรวจสอบ 9 5. การสรุปผลการตรวจสอบ 12

น้อยทุก 2 ปี 3.1.2 กรณีเป็นผู้ประกอบธุรกิจที่มีความเสี่ยงระดับต่ำ ต้องจัดให้มีการตรวจสอบ ด้าน IT อย่างน้อยปีละ 1 ครั้ง โดยเป็นการตรวจสอบแบบเต็มรูปแบบ (full scope) ที่ครอบคลุมหลักเกณฑ์ทั้งหมด อย่างน้อยทุก

security) 48 2.1 0 การบริหารจัดการโครงการด้าน IT (IT project management) การจัดหา พัฒนา และบำรุงรักษาระบบ IT (system acquisition, development and maintenance) 50 2.1 0 .1 การบริหารจัดการโครงการด้าน IT (IT

(IT project management, and system acquisition, development and maintenance) (11) การบริหารจัดการเหตุการณ์ผิดปกติด้าน IT (IT incident management) (12) แผนฉุกเฉินด้าน IT (IT contingency plan) 2.3 ผู้

ทางไซเบอร์ที่อาจเกิดขึ้น รวมทั้งพร้อมให้บริการได้อย่างต่อเนื่อง ส่วนที่ 10 การบริหารจัดการโครงการด้าน IT (IT project management) การจัดหา พัฒนา และบำรุงรักษาระบบ IT (system acquisition, development and