Internal Audit Procedure

Internal audit is a formal requirement of ISO/IEC 27001.

For many small organizations, this activity can be difficult to organize internally while still maintaining the level of independence, objectivity, and structure expected from an effective audit.

@OUPNarith

The Cambodia Academy of Digital Technology (CADT) is proud to announce that applications for our Master’s Degree programs in AI & Data Science and Cybersecurity for the 2026–2027 academic year are now open!

At CADT, it’s more than just studying; you’ll gain real experience, work on exciting projects, and prepare for your career before you even graduate.

@OUPNarith

ស្ថាប័នភាគច្រើនគិតថាពួកគេមាន "ភាពចាស់ទុំ" ផ្នែក GRC ហើយ។

ប៉ុន្តែពួកគេមិនទាន់ដល់កម្រិតនោះទេ។

ពួកគេគ្រាន់តែស្ថិតនៅចំណុចណាមួយនៃដំណើរការអភិវឌ្ឍន៍តែប៉ុណ្ណោះ

• ជាច្រើននៅតែបន្តដោះស្រាយបញ្ហានៅពេលវាកើតឡើង ជាជាងការត្រៀមទប់ស្កាត់ទុកជាមុន

• មានការគ្រប់គ្រង ប៉ុន្តែវាមិនត្រូវបានធ្វើសមាហរណកម្មបញ្ចូលគ្នាទេ

• ការតាមដានមានដំណើរការ ប៉ុន្តែមិនជាប់លាប់ទេ

• ទិន្នន័យត្រូវបានប្រមូល ប៉ុន្តែមិនបានជួយជំរុញដល់ការសម្រេចចិត្តឡើយ

នោះហើយជាមូលហេតុដែលហានិភ័យនឹកស្មានមិនដល់នៅតែបន្តកើតមាន។

អ្វីទៅជាភាពចាស់ទុំពិតប្រាកដ៖

✔ ផ្លាស់ប្តូរពីការអនុលោមតាមដាច់ដោយឡែក ទៅជា GRC ដែលមានសមាហរណកម្មគ្នា

✔ ប្តូរពីការត្រួតពិនិត្យតាមកាលកំណត់ ទៅជាការតាមដានជាប្រចាំ

✔ ប្រែក្លាយទិន្នន័យទៅជាព័ត៌មានលម្អិតដែលអាចទស្សន៍ទាយ និងត្រៀមរួចរាល់សម្រាប់ការសម្រេចចិត្ត

✔ បញ្ចូលហានិភ័យ សវនកម្ម និងការអនុលោមតាមទៅក្នុងប្រព័ន្ធអេកូឡូស៊ី (ecosystem) តែមួយ

✔ ឈានឆ្ពោះទៅរកប្រព័ន្ធគ្រប់គ្រងដែលជំរុញដោយភាពឆ្លាតវៃ និងអាចកែតម្រូវដោយខ្លួនឯងបាន

គោលដៅគឺមិនមែនបង្កើតប្រព័ន្ធគ្រប់គ្រងឱ្យកាន់តែច្រើននោះទេ។

វាគឺជាការបង្កើតប្រព័ន្ធគ្រប់គ្រងឱ្យកាន់តែឆ្លាតវៃ។

ហើយនេះគឺជាការពិតដ៏ពិបាកទទួលយកមួយ៖
ស្ថាប័នភាគច្រើនស្ថិតនៅចន្លោះកម្រិតទី 2 និងទី 4 ប៉ុណ្ណោះ។

តើអ្នកកំពុងស្ថិតនៅចំណុចណាលើខ្សែបន្ទាត់នៃភាពចាស់ទុំនេះ ហើយតើមានអ្វីកំពុងរារាំងជំហានបន្ទាប់របស់អ្នក?

@Infosecisac

តើអ្វីទៅជាការដោះស្រាយហានិភ័យ (Risk Treatment)?

ការដោះស្រាយហានិភ័យ គឺជាដំណើរការនៃការសម្រេចចិត្តថាតើស្ថាប័នមួយត្រូវឆ្លើយតបយ៉ាងដូចម្តេចចំពោះហានិភ័យដែលត្រូវបានរកឃើញ។ គោលដៅគឺមិនមែនតែងតែលុបបំបាត់ហានិភ័យទាំងស្រុងនោះទេ ប៉ុន្តែគឺដើម្បីគ្រប់គ្រងវាឱ្យស្ថិតក្នុងកម្រិតមួយដែលអាចទទួលយកបាន។

យុទ្ធសាស្ត្រសំខាន់ៗទាំង ៤ ក្នុងការដោះស្រាយហានិភ័យមាន៖

កាត់បន្ថយ (Mitigate) – កាត់បន្ថយលទ្ធភាពកើតឡើង ឬផលប៉ះពាល់នៃហានិភ័យតាមរយៈការត្រួតពិនិត្យ និងវិធានការការពារ

➡️ ឧទាហរណ៍៖ ការអនុវត្តមុខងារផ្ទៀងផ្ទាត់ពហុកត្តា (MFA) ការបំប្លែងទិន្នន័យសម្ងាត់ (encryption) ឬការគ្រប់គ្រងសិទ្ធិចូលប្រើប្រាស់ ដើម្បីកាត់បន្ថយហានិភ័យនៃការលេចធ្លាយទិន្នន័យ។

🔄 ផ្ទេរ (Transfer)** – បង្វែរហានិភ័យទៅឱ្យភាគីទីបី

➡️ ឧទាហរណ៍៖ ការទិញធានារ៉ាប់រងលើសុវត្ថិភាពអ៊ីនធឺណិត (cyber insurance) ការជួលសេវាកម្មពីខាងក្រៅ (outsourcing) ឬកិច្ចសន្យាជាមួយក្រុមហ៊ុនផ្គត់ផ្គង់។

✔️ទទួលយក (Accept) – ទទួលស្គាល់ហានិភ័យដែលនៅសេសសល់ នៅពេលដែលវាស្ថិតក្នុងកម្រិតមួយដែលអាចអត់ឱន ឬទទួលយកបាន

➡️ ឧទាហរណ៍៖ ការទទួលយកហានិភ័យប្រតិបត្តិការដែលមានផលប៉ះពាល់ទាប បន្ទាប់ពីវិធានការគ្រប់គ្រងត្រូវបានអនុវត្តរួចរាល់។

🚫 ចៀសវាង (Avoid) – លុបបំបាត់សកម្មភាពទាំងឡាយណាដែលបង្កឱ្យមានហានិភ័យ

➡️ ឧទាហរណ៍៖ ការបញ្ឈប់ការប្រមូលទិន្នន័យដែលមិនចាំបាច់ ឬការបិទដំណើរការទាំងឡាយណាដែលមានហានិភ័យខ្ពស់។

💡 ចំណុចសំខាន់ដែលត្រូវចងចាំ៖

ហានិភ័យមិនអាចត្រូវបានលុបបំបាត់ចោលទាំងស្រុងជានិច្ចនោះទេ — ប៉ុន្តែវាត្រូវតែត្រូវបានវាយតម្លៃ ដោះស្រាយ និងតាមដានជាបន្តបន្ទាប់។

ការគ្រប់គ្រងហានិភ័យដ៏រឹងមាំ មិនមែនមានន័យថាគ្មានហានិភ័យ (zero risk) ទាល់តែសោះនោះទេ តែវាគឺជាការសម្រេចចិត្តដ៏ឆ្លាតវៃ និងការធានាបាននូវភាពធន់នៃអាជីវកម្ម។

@OUPNarith

លេខកូដ *1200# ដំណោះស្រាយផ្តាច់សេវាកម្មទូរសព្ទបន្ថែមដែលមិនត្រូវការប្រើ
—-
លោកអ្នកអាចពិនិត្យ និងផ្តាច់សេវាកម្មផ្សេងៗ ដែលមិនចង់ប្រើគ្រប់ប្រព័ន្ធទាំងអស់តាមរយៈលេខកូដ *1200#

សូមទស្សនាវីដេអូ៖ https://www.facebook.com/reel/2027578574689535

#video #digitalservice #mobileservice #posts #telecommunications #digital #MPTC #GoDigitalCambodia #Cambodia
*****
✅ ដើម្បីទទួលបានឱកាសល្អៗ និងព័ត៌មានថ្មីៗអំពីបច្ចេកវិទ្យាឌីជីថល សូមចូលក្នុងឆានែលបណ្តាញសង្គមរបស់ក្រសួងប្រៃសណីយ៍និងទូរគមនាគមន៍តាមរយៈតំណភ្ជាប់ https://mptc.gov.kh/sm

📲 ទាញយក MPTC Speed Test: iOS | Android

💡 គន្លឹះសំខាន់៖ ចូរស្គាល់, តាមដាន និង ការពារឧបករណ៍ឌីជីថលទាំងអស់នៅក្នុងអង្គភាពអ្នក។ ឧបករណ៍ដែលអ្នកមិនបានដឹង មើលមិនឃើញ ហើយគ្រប់គ្រងមិនបាន នោះវានឹងក្លាយទៅជាទ្វារចូលធំបំផុតសម្រាប់ហេគឃ័រ! 🚨

ហេតុអ្វីបានជាអង្គភាពដែលមិនគ្រប់គ្រងទ្រព្យសម្បត្តិឌីជីថល (Cyber Assets / IT Assets) របស់ខ្លួនមានគ្រោះថ្នាក់ខ្លាំង? 🔐⚠️

🛡️ គ្រោះថ្នាក់តាមអុីនធឺណិត សម្រាប់ឧបករណ៍ដែលគ្មានការគ្រប់គ្រង៖

💀 ១. ចោរលួចទិន្នន័យ (Data Theft)
ឧបករណ៍ដែលគ្មានការការពារ គឺដូចជាទុកទ្វារផ្ទះបើកទូលាយ។ ក្រុមហេគឃ័រអាចចូលលួចយក ព័ត៌មានសម្ងាត់, លេខកូដ, ឬទិន្នន័យអតិថិជន បានយ៉ាងងាយ។

🦠 ២. មេរោគ និង Ransomware
ឧបករណ៍ដែលមិនបានអាប់ដេត ងាយត្រូវមេរោគឆ្លង! ក្រុមហេគឃ័រអាចបញ្ចូល មេរោគ រួចហើយចាក់ចោរ (encrypt) ទិន្នន័យរបស់អ្នក ហើយទាមទារលុយថ្លៃលោះ។

👻 ៣. ការលួចប្រើអត្តសញ្ញាណ (Identity Spoofing)
ប្រសិនបើឧបករណ៍គ្មានការការពារ ហេគឃ័រអាចក្លែងបន្លំជាអ្នកដើម្បី បោកប្រាស់អតិថិជន ឬដៃគូអាជីវកម្មរបស់អ្នក។

🕵️ ៤. ចារកម្មឌីជីថល (Cyber Espionage)
ហេគឃ័រគេអាចលាក់ខ្លួននៅក្នុងបណ្តាញរបស់អ្នក ដោយស្ងាត់ស្ងៀម ដើម្បីលួចមើលព័ត៌មានសម្ងាត់ អស់រយៈពេលជាច្រើនខែ ឬច្រើនឆ្នាំ។

💥 ៥. ការវាយប្រហារ DDoS
ហេគឃ័រអាចប្រើឧបករណ៍ដែលគ្មានការការពាររបស់អ្នក ដើម្បីវាយប្រហារទៅលើអ្នកដទៃ ហើយអ្នកទៅជាជនរងគ្រោះ និងអាចជនល្មើសក្នុងពេលតែមួយ!

🔑 ៦. ការប្រើពាក្យសម្ងាត់ខ្សោយ (Weak Password Exploit)
ឧបករណ៍ដែលមិនគ្រប់គ្រង ច្រើនតែប្រើលេខសម្ងាត់ដើមមកពីរោងចក្រ ដែលហេគឃ័រឲអាចទាយដឹង ក្នុងរយៈពេលតែប៉ុន្មានវិនាទី ប៉ុណ្ណោះ!

#ដំណើរឆ្ពោះទៅកាន់ភាពធនសាយប័រនៅកម្ពុជា

#CyberSecurity #សន្តិសុខឌីជីថល #ការពារទិន្នន័យ #Khmer

@OUPNarith

Data Center Networking

@OUPNarith