สารบัญ
มาถึงบทสุดท้ายแล้วครับ
ก่อนเริ่ม ขอนั่งคิดสักแป๊บ — ผมเปิดซีรีส์นี้ตอนต้นเดือนพฤษภาคม 2026 ตอนนั้นมีแค่ Domain 1 อยู่ในหัว ไม่รู้ว่าจะเขียนถึงไหน
ตอนนี้นั่งเขียนตอน 53 — บทที่ปิดทั้ง Domain 5 และทั้งซีรีส์ — รู้ตัวว่าผ่านมา 54 ตอน 5 Domains ประมาณ 133,000 คำ
เป็นการเดินทางที่ยาวที่สุดที่ผมเคยเขียนใน blog นี้ และเป็นโครงการที่ทำให้ตัวเองเรียนรู้มากที่สุดด้วย
บทนี้แบ่งเป็น 4 ส่วน:
- ปิด Domain 5 — recap 12 ตอน
- ปิดทั้งซีรีส์ — 5 บทเรียนที่ติดในใจ
- ขั้นตอนต่อไป — การสอบจริง
- คำขอบคุณ + จุดที่จากกัน
ส่วนที่ 1 — Recap Domain 5
Map ของ Domain 5
12 ตอนของ Domain 5 ใช้ metaphor บ้านดิจิทัลเป็นแกน:
| ตอน | Part | เรื่อง | Section |
|---|---|---|---|
| 42 | Storyboard | เปิด Domain 5 + แผนที่บ้านดิจิทัล | ภาพรวม |
| 43 | A | กฎบ้าน + ประตู กำแพง | 5.1 + 5.2 |
| 44 | A | กุญแจ — IAM ทั้งหมด | 5.3 |
| 45 | A | ถนน + ยามตรวจของออก | 5.4 + 5.5 |
| 46 | A | ตู้เซฟ + กรมที่ดิน | 5.6 + 5.7 |
| 47 | A | อพาร์ตเมนต์เช่า | 5.8 |
| 48 | A | อุปกรณ์เคลื่อนที่ + IoT | 5.9 |
| 49 | A | คนในบ้าน — Awareness | 5.10 |
| 50 | B | วิธีโจรเข้า + จ้างคนงัด | 5.11 + 5.12 |
| 51 | B | กล้องวงจรปิด + แผนรับมือ | 5.13 + 5.14 |
| 52 | B | นิติวิทยาศาสตร์ดิจิทัล | 5.15 |
| 53 | Close | ปิด D5 + ปิดซีรีส์ (บทนี้) | wrap-up |
Part A (ตอน 42-49) “สร้างป้อม” — รู้กฎ → กั้นกำแพง → คุมการเข้า → คุมการออก → คุมการ store Part B (ตอน 50-52) “เมื่อโจรเข้า” — เข้าใจศัตรู → detect → respond → preserve evidence
5 Trap ของ Domain 5 ที่ต้องไม่ลืม
ก่อนสอบ ผมจะ review trap ทั้ง 5 ตัวนี้สุดท้าย:
1. IDS Placement
- ฝั่งนอก firewall → เห็น attack ทั้งหมด (รวมที่ block แล้ว — noise)
- ฝั่งใน firewall → เห็นเฉพาะ attack ที่ผ่านเข้ามา (มีความหมาย)
- ตอบตามว่าโจทย์ถามอะไร
2. Digital Signature ≠ Encryption
- Signature = authentication + integrity + non-repudiation
- ไม่ใช่ confidentiality — ใครก็อ่านได้
3. Shared Responsibility Model
- IaaS = customer รับผิดชอบ OS ขึ้นไป (รวม patching)
- PaaS = customer รับผิดชอบ app ขึ้นไป
- SaaS = customer รับผิดชอบ data + access เป็นหลัก
4. Forensics: Power-Off = ผิด
- Volatile evidence ใน RAM ต้องเก็บก่อน shutdown
- Isolate network ได้ แต่อย่าปิดเครื่อง
5. DLP ทำงานได้แค่กับข้อมูลที่ classified
- Data classification = prerequisite ของ DLP
- ซื้อ DLP โดยไม่ classify = ป้องกันอะไรไม่ได้
ส่วนที่ 2 — 5 บทเรียนของทั้งซีรีส์
หลังเดิน 54 ตอน 5 Domains มาด้วยกัน — ถ้าผมต้องเลือก 5 บทเรียนที่ครอบคลุมทั้งซีรีส์ ที่ติดในใจที่สุด:
บทเรียนที่ 1 — Independence เป็นเรื่องของโครงสร้าง ไม่ใช่ทัศนคติ
ตั้งแต่ ตอน 02 ที่คุยเรื่อง audit function จนถึง Domain 5 เรื่อง access control — หลักนี้กลับมาซ้ำ
Independence ไม่ใช่ “ฉันสัญญาว่าจะ objective” Independence คือ “ฉันรายงานต่อ board ไม่ใช่ CIO ของระบบที่ฉันตรวจ” Independence คือ “SoD ที่ผู้ approve ≠ ผู้ request” Independence คือ “Auditor ไม่ implement control ที่ตัวเองตรวจ”
โครงสร้างคือสิ่งที่เอนทาตามเวลาช้ากว่าทัศนคติ — เพราะคนเปลี่ยนได้ ทัศนคติเปลี่ยนได้ — แต่โครงสร้างที่ออกแบบดีจะ enforce พฤติกรรมที่ถูกต้องเองโดยไม่ต้องอาศัยความตั้งใจของบุคคล
บทเรียนที่ 2 — Risk เป็นแกนของทุกการตัดสินใจของ auditor
ตั้งแต่ Domain 1 (risk-based audit planning) จนถึง Domain 5 (risk-based DLP, risk-based pen testing scope) — ทุกการตัดสินใจของ auditor เริ่มจาก risk
ทำไม? เพราะเวลา + budget มีจำกัด — ตรวจทุกอย่างให้ละเอียดทุกปีไม่มีทางทัน
Risk-based approach คือคำตอบ:
- ตรวจอันที่เสี่ยงสูงก่อน
- ใช้เวลามากกับอันที่กระทบเยอะ
- ปล่อยอันที่เสี่ยงต่ำให้รอบหน้า
ที่หลายคนพลาด — คิดว่า “audit = ตรวจทุกอย่าง” — ผิด audit ที่ดีคือ ตรวจสิ่งที่สำคัญ ลึกพอที่จะให้ assurance
บทเรียนที่ 3 — Traceability คือหัวใจของ Professional Work
ทุก finding → trace กลับไปที่ work paper → trace กลับไปที่ audit step → trace กลับไปที่ audit objective → trace กลับไปที่ risk
ในระดับ technical — ทุก control → ทุก log → ทุก alert ต้อง trace กลับไปที่นโยบาย
ใน forensics — ทุกหลักฐาน → chain of custody → ห้ามขาด
ในระดับธุรกิจ — ทุก decision → ทุก policy → audit trail
ทำไม traceability สำคัญ? เพราะเมื่อมี challenge:
- ทนายฝ่ายตรงข้ามถาม
- Regulator สอบสวน
- Audit committee ตั้งคำถาม
- Board ตัดสินใจ
ถ้า trace ไม่ได้ — งานทั้งหมดไม่มีค่า
บทเรียนที่ 4 — คนคือทั้งจุดอ่อนและจุดแข็ง
ในมุม IT audit — มันง่ายที่จะ focus เฉพาะเทคโนโลยี — firewall, encryption, IAM tools
แต่ทุก breach report ที่ผมเคยอ่าน — root cause ไม่ใช่เทคโนโลยีล้มเหลว เกือบทุกครั้งคือคน:
- Configuration error
- ลืมเปลี่ยน default password
- คลิก phishing link
- Privilege creep
- Failed change management
ใน Domain 5 ตอน 49 ที่คุยเรื่อง Security Awareness — ทุกระบบเทคโนโลยีพังถ้าคนทำผิด แต่กลับกัน — คนคนเดียวที่ฉุกคิดว่า “อะไรแปลกๆ” และรายงาน — อาจหยุด attack ใหญ่ได้
หลัก audit: ดูเทคโนโลยี กับ ดู process กับ ดูคน — สามอย่างคู่กันเสมอ
บทเรียนที่ 5 — Compliance ≠ Real Outcome
ผ่าน ISO 27001 audit ≠ บริษัทไม่โดน hack มี policy ครบ ≠ พนักงานปฏิบัติตาม มี backup ≠ recovery จริง
หลัก ISACA ที่ฝังอยู่ในทุก Domain — substance over form
Audit ที่ดีไม่ใช่ “ตรวจว่ามีเอกสารหรือไม่” — แต่คือ “ตรวจว่ามันทำงานจริงหรือไม่”:
- Test backup restoration จริง — ไม่ใช่แค่ดูว่ามี backup
- Test BCP จริง — ไม่ใช่แค่ดูว่ามี plan
- Test incident response จริง — ไม่ใช่แค่ดูว่ามี procedure
- Test access review จริง — ไม่ใช่แค่ดูว่ามี signature
ที่หลาย auditor พลาด — ติด check box mentality หลัง compliance audit หลายๆ ปี — ลืมว่าเป้าหมายคือ outcome ไม่ใช่ process
ส่วนที่ 3 — ขั้นตอนต่อไป: การสอบจริง
Registration กับ ISACA
ขั้นแรก — สมัครสอบที่ www.isaca.org
- เป็น ISACA member ราคาสมัครสอบถูกกว่า — สมาชิกภาพรายปีมีค่าใช้จ่ายแต่คุ้ม
- เลือก exam window — มี 3 windows ต่อปี
- จองที่นั่งสอบ — Bangkok มี Pearson VUE test center
- ค่าสอบ ณ ปัจจุบันประมาณ 575 USD (member) / 760 USD (non-member)
Format ของข้อสอบ
- 150 ข้อ multiple choice
- 4 ชั่วโมง เวลาสอบ
- Computer-based ที่ test center
- Pass score = 450 / 800 (scaled score)
- ผลออกทันทีหลังสอบ
สัดส่วน Domain ต่อข้อสอบ:
- Domain 1 (IS Audit Process) — 18%
- Domain 2 (Governance) — 18%
- Domain 3 (Acquisition / Dev) — 12%
- Domain 4 (Operations) — 26%
- Domain 5 (Protection) — 26%
→ Domain 4 + 5 รวมกันมากกว่าครึ่งของข้อสอบ — ลงน้ำหนัก review สอดคล้องกับน้ำหนักนี้
Study Schedule แนะนำ
ถ้ามีเวลาประมาณ 8-12 สัปดาห์ก่อนสอบ:
สัปดาห์ 1-4 — อ่าน + เข้าใจ
- อ่าน CRM ทีละ Domain
- ทำ practice questions ของ Domain นั้นทันที
- ใช้ blog series นี้เป็น secondary reference / mental model
สัปดาห์ 5-8 — Practice เข้มข้น
- ทำ practice questions เป็น batch ใหญ่
- บันทึกข้อที่ทำผิดและศึกษาเหตุผล
- ทำ mock exam ครั้งที่ 1
- Review หัวข้อที่ผิดเยอะ
สัปดาห์ 9-12 — Final Push
- ทำ mock exam ครั้งที่ 2 (timing เหมือนสอบจริง 4 ชั่วโมง)
- ทบทวน trap patterns ของแต่ละ Domain
- พักให้พอ — สมองล้าก่อนสอบ = แย่กว่า study น้อย
Practice Questions
ISACA มี QAE (Questions, Answers and Explanations) เป็น product แยก — practice questions อย่างเป็นทางการ
นอกนั้นมี:
- ISACA Bangkok Chapter — บางครั้งมี study group
- mock exam ของ training providers
- Cybrary, Udemy — มี free/paid courses ที่มี questions
Exam Day
วันสอบ:
- เข้านอนตรงเวลา คืนก่อนสอบ — sleep > last-minute cramming
- ไปถึง test center ก่อนเวลา 30 นาที
- ทาน breakfast ที่ไม่หนักเกินไป
- มีบัตรประชาชน + passport (ตรวจ ID)
- ห้ามนำมือถือ / นาฬิกา / กระเป๋า เข้าห้องสอบ
ระหว่างสอบ:
- อ่านคำถามให้ครบ ก่อนดู choices
- ระวัง trap word — “FIRST”, “MOST important”, “BEST”
- เลือกคำตอบที่ “best” ไม่ใช่ “ถูก” — ทุก choice อาจถูกแต่อันหนึ่งดีกว่า
- อย่าเปลี่ยน answer ถ้าไม่มีเหตุผลที่ชัดเจน — first instinct มักถูก
- flag question ยาก กลับมาทำทีหลัง
หลังสอบ
ผ่าน:
- ยังไม่ได้ certified ทันที — ต้องมี 5 years work experience ใน IS audit / control / security
- Submit application ภายใน 5 ปี
- หลัง certified — รักษาด้วย CPE 20 hours/year, 120 hours/3 years
ไม่ผ่าน:
- ไม่ใช่จุดจบ — สมัครสอบใหม่ได้
- Review ผลแยกตาม Domain — รู้ว่าจุดอ่อนอยู่ตรงไหน
- ทำ practice questions เพิ่ม
- ลองอีกครั้งใน window ถัดไป
ส่วนที่ 4 — คำขอบคุณ + จุดที่จากกัน
หลายคนถามผมว่า — ทำไมเขียน CISA series นี้?
ตอบตรงๆ — เริ่มจาก อยากจัดความคิดของตัวเอง ก่อนสอบ
ผมอ่าน CRM ครั้งแรก รู้สึกว่าเนื้อหาเยอะจนหัวจะระเบิด — ศัพท์เป็นพันคำ section เป็นร้อย และทุกอย่างเชื่อมโยงกันหมด
วิธีที่ work กับผมที่สุดคือ — เขียนออกมาเป็นเรื่องเล่า เพราะถ้าเล่าได้ = เข้าใจ ถ้าเขียนเป็นภาษามนุษย์ได้ = ฝังลึกพอที่จะเอาไปใช้ในข้อสอบและในงานจริง
ที่เริ่มจากเป็น “บันทึกส่วนตัว” กลายเป็น 54 ตอน 133,000 คำ — เพราะระหว่างเขียน ผมได้เข้าใจอะไรหลายอย่างที่ตอนแรกอ่านผ่านๆ
ขอบคุณคนที่อ่านมาถึงจุดนี้
ถ้าคุณอ่านมาทั้งซีรีส์ — ขอบคุณจริงๆ ครับ
ผมไม่รู้ว่าซีรีส์นี้จะมีคนอ่าน — เริ่มเขียนตอนที่คิดว่า “เขียนให้ตัวเองอ่าน” — แต่ถ้ามันช่วยใครสักคนที่กำลังเตรียมสอบ CISA อยู่ที่ไหนสักแห่ง — ผมรู้สึกคุ้มมากที่เขียน
ถ้าเรื่องนี้ช่วยคุณ — ลองสิ่งนี้
หลังอ่านจบ — สิ่งที่อยากให้ลองทำ:
1. เลือก 1 บทที่คุณรู้สึกว่ายังไม่ติด — กลับไปอ่านอีกครั้ง พร้อมเปิด CRM section เดียวกัน — ดูสองที่เทียบกัน คุณจะเห็นมุมที่ไม่เห็นรอบแรก
2. ทำ practice questions ของ Domain ที่คุณคิดว่าเก่งที่สุด — แล้วดูว่าได้กี่ % ถ้าได้ < 80% — แสดงว่ายังไม่พร้อม ใช้ผลนี้กลับไปทบทวน
3. เขียน mental map ของแต่ละ Domain ในกระดาษเปล่า — ปิด CRM ปิด blog แล้วลองเขียนเองว่า Domain นั้นมี section อะไรบ้าง อะไรเชื่อมกับอะไร ถ้าเขียนได้ครบ = พร้อม ถ้าไม่ครบ = รู้ว่าต้องอ่านตรงไหนต่อ
4. ตั้งวันสอบ — เลือกวันเลย จองที่นั่ง จ่ายเงิน ความ commit ที่จับต้องได้จะทำให้คุณตั้งใจมากขึ้น
ถ้าผมสอบผ่าน — เจอกันใน chapter ใหม่
ผมจะกลับมาเขียนหลังสอบ — ทั้งกรณีที่ผ่านและไม่ผ่าน
ถ้าผ่าน — จะแชร์ exam day reality, สิ่งที่ blog series ช่วยจริง, สิ่งที่ surprise จาก expectation ถ้าไม่ผ่าน — จะแชร์ Domain ที่อ่อน วิธีที่จะกลับมาใหม่
ผ่านหรือไม่ผ่าน — การเขียน 54 ตอนนี้ทำให้ผมเข้าใจ IS audit ในระดับที่ตอนต้นเดือนผมไม่รู้ว่าจะถึง
ความรู้ที่เกิดจากการเขียนเพื่อสื่อให้คนอื่นเข้าใจ — ลึกกว่าการอ่านอย่างเดียวมาก
ถ้าใครกำลังเรียนเรื่องอะไรอยู่ — ลองเขียนออกมาในภาษาตัวเอง อาจไม่ต้องเป็น blog ก็ได้ จะ private notes, slide สำหรับ “อธิบายให้เพื่อนฟัง”, หรือ podcast ตอนเดียว — สำคัญคือ ให้สมองได้อธิบาย ไม่ใช่แค่รับ
ปิดซีรีส์ตรงนี้ครับ
หวังว่าจะได้เจอคนอ่านในคอมเมนต์ ใน LinkedIn หรือในห้องสอบที่ Pearson VUE สักวัน
ถ้าคุณกำลังเตรียมสอบ CISA — ขอให้สอบผ่าน ถ้าคุณไม่ได้สอบแต่ทำงานในสาย IT audit / security / governance — ขอให้ทุกความเข้าใจที่เพิ่มขึ้นจากซีรีส์นี้ — ช่วยทำงานได้ดีขึ้น
และถ้าคุณแค่อ่านผ่านมา — ขอบคุณที่ให้เวลากับงานนี้
54 ตอน — จบลงตรงนี้
ขอบคุณครับ
อ้างอิง CRM (CISA Review Manual 28th Edition): Domain 5: Section 5.15 + series wrap-up — สรุปและปิดทั้ง 5 Domains
