ปิด Domain 4 ทั้งหมด — recap 11 ตอน 16 sections, 5 บทเรียนสำคัญที่ Domain 4 ฝังในหัว, และเกริ่น Domain 5 ที่จะมาเรื่อง Security — ปกป้องระบบและข้อมูลที่เพิ่ง run ผ่านกันมา

Section 4.15 + 4.16 — บทใหญ่ที่สุดของซีรีส์ CISA: BCP (organization-wide) vs DRP (IT tactical), RPO vs RTO ที่ exam หลอกบ่อย, hot/warm/cold/mirror site ที่ต้องเลือกตาม BIA, BCP testing 3 ระดับ, และทำไม reciprocal agreement = bad idea

Section 4.13 + 4.14 — resilience (clustering, telecom redundancy) ทำให้ระบบไม่ล่ม + backup ทำให้ข้อมูลไม่หายเมื่อระบบล่มจริง บทนี้คุย active-active vs active-passive, ransomware ที่กิน sync backup, และทำไม backup ที่ไม่เคย restore = false security

Section 4.12 — เปิด Part B (Business Resilience) ด้วย BIA ที่เป็นรากของ resilience decision ทุกตัว ER triage analogy + ที่ผู้บริหารต้องนั่งร่วม ไม่ใช่ปล่อยให้ IT ทำเอง

Section 4.11 — database คือโกดังที่เก็บคำตอบของทุกคำถามทางธุรกิจ DBA คือคนที่มีกุญแจทุกดอก ใครคุม DBA? บทนี้คุย DBMS architecture, ACID, field-level access, DBA bypass risk, และ backup encryption

Section 4.9 + 4.10 — log = ความจำขององค์กร ที่ทำให้ตอบได้ว่าเกิดอะไรขึ้น และ SLA = สัญญาที่วัดบริการได้จริง บทนี้คุยเรื่อง log integrity, SIEM ที่ตั้งค่าผิด, outsourced SLA ที่ไม่เคย verify

Section 4.8 — outage ส่วนใหญ่ไม่ได้มาจาก hacker หรือ hardware แต่มาจาก change ที่เราทำเอง บทนี้คุยทุกแง่ของ change/patch/config management ที่ exam ออกถาม emergency change, backout plan, และ CMDB

Section 4.6 + 4.7 — capacity management ป้องกันก่อนล่ม, incident management กู้คืนเมื่อล่ม, problem management หาต้นตอเพื่อไม่ให้ล่มซ้ำ ที่ exam ชอบหลอกว่า incident กับ problem คือเรื่องเดียวกัน — มันไม่ใช่

ข้อมูลที่หาย/ผิด/รั่ว ส่วนใหญ่เกิดตอนเดินทางระหว่างระบบ ไม่ใช่ตอนนิ่งใน database ตอนนี้คุย Section 4.4 (System Interfaces) + 4.5 (Shadow IT/EUC) — สองเรื่องที่ผมเรียกว่า รอยต่อทางการ และ รอยต่อใต้ดิน

ปูพื้น 4 เรื่องโครงสร้างของ Part A — OSI Model 7 ชั้น (เปรียบกับระบบไปรษณีย์ไทย), USB ที่เป็นประตูหลังที่ network firewall มองไม่เห็น, IT Asset Management ที่ทุก control เริ่มจากการรู้ว่ามีอะไร, และ Job Scheduling ที่ทำงานเงียบๆ ทุกคืน

บทเปิด Domain 4 — หลังจาก D3 ปั้นระบบจน go-live ตอนนี้ระบบอยู่ในสนาม ทำงานทุกวัน เจอแรงกระแทกทุกแบบ Domain 4 คือเรื่องของ Run + Survive: ทำให้ทำงานต่อเนื่อง + รอดเมื่อเกิดเหตุไม่คาดคิด

Section 3.8 — Postimplementation Review (PIR) ที่ปิด governance loop ที่เปิดไว้ตั้งแต่ business case ทำไม PIR ต้องรอ 6-12 เดือน, ทำไม independence ของ auditor PIR สำคัญที่สุด, project closure 5 ขั้น พร้อม recap Domain 3 ทั้ง 8 ตอน + 5 บทเรียนสำคัญ และเกริ่น Domain 4 ที่จะคุยเรื่อง 'ระบบที่ build เสร็จแล้ว ดูแลให้ทำงานยังไง'

Section 3.6 + 3.7 — วันที่ความเสี่ยงสูงสุดของโปรเจ็คทั้งหมด ครอบคลุม configuration management (CMDB, baselines, check-in/check-out), data migration architecture (Unload-Cleanse-Transfer-Load), changeover techniques (parallel, phased, abrupt), rollback plan ที่ต้องทดสอบจริง และ end-user training ที่ไม่ใช่กิจกรรมท้ายสุด

Section 3.5 — testing classifications (unit, integration, system, recovery, security, performance), QAT vs UAT, ทำไม UAT ห้าม delegate ให้ vendor และ IS auditor's own tools (ITF, GAS, SCARF, snapshot, parallel simulation) ที่เป็น CAATs ในมุม SDLC พร้อม data integrity testing + certification process ก่อน go-live

Section 3.4 — application controls ที่ทดสอบบ่อยที่สุดในข้อสอบ Input controls (edit checks, batch totals, source authorization), Processing controls (run-to-run totals, exception reports, reasonableness), Output controls (distribution, retention, reconciliation) พร้อมเรื่อง DBA bypass — application controls แข็งแค่ไหน ก็ไม่มีความหมายถ้าฐานข้อมูลถูกแก้ตรง

Section 3.3.5 — methodology ที่ไม่ใช่ waterfall ทุกแบบมี risk profile คนละเรื่อง Agile ไม่ใช่ no documentation, Prototype ไม่ใช่ production after approval, RAD ไม่ใช่แค่ shortened waterfall, DevOps ไม่ใช่ทำให้ change control หาย OOSD เป็น programming paradigm ไม่ใช่ methodology ของโปรเจ็ค auditor ต้องตรวจคนละจุดในแต่ละแบบ

Section 3.3 phases 1-3 + 3.3.7-3.3.9 — SDLC แบบ waterfall ที่ทุก methodology อื่นใช้เป็น baseline เปรียบเทียบ พร้อมเรื่องการซื้อระบบ: RFP/ITT, vendor evaluation, source code escrow, right-to-audit clause และเหตุผลที่ buyer ต้องทดสอบเอง — ห้าม delegate ให้ vendor

Section 3.1 + 3.2 — ก่อนจะเริ่มสร้างระบบ ต้องมี governance structure (sponsor, steering committee, PM, PMO), business case ที่วัดได้, และ feasibility study ที่เปรียบเทียบทางเลือกอย่างซื่อตรง บทนี้รวม WBS, Gantt, CPM, PERT, EVA และเรื่องที่ IS auditor มักพลาดที่สุด — independence ที่หายไปเมื่อเข้าไปอยู่ในทีมโปรเจ็ค

เปิด Domain 3 — ก่อนจะลงรายละเอียด SDLC, methodology หลายแบบ, application controls, testing, migration และ postimplementation review ผมขอวาด map ทั้ง domain ก่อน — ตั้งแต่วันที่ business โยนไอเดียมา จนถึงวันที่ระบบขึ้น production แล้วยังต้องมีคนกลับมาตรวจอีกรอบ

ปิด Domain 2 — recap ทั้ง 9 ตอน, 5 บทเรียนสำคัญที่ Domain 2 ฝังในหัว (Accountability ไม่ transfer, Governance vs Management, วงจรไม่หยุด, Independence = Structural, Documentation = Asset) บวกเกริ่น Domain 3 ที่เปลี่ยนเรื่องไปยัง 'สร้าง IT system ใหม่'

QA vs QC ที่คนใช้สลับกันตลอด, QA Independence ที่ต้อง structural ไม่ใช่แค่ stated, Quality Management ที่ทำให้ process เป็น repeatable, Operational Excellence — ที่มาของ continuous improvement บวก trap คลาสสิก: developer review code ตัวเอง

วัด IT performance ที่ไม่ใช่แค่ตัวเลขบน dashboard — KPI (จะถึงเป้ามั้ย), KRI (เสี่ยงเพิ่มขึ้นมั้ย), KGI (control ทำงานจริงมั้ย) — 3 ตัวที่บอกคนละเรื่อง บวก PDCA cycle และ IT Balanced Scorecard ที่ทำให้ board เห็น IT ครบทุกมิติ

Outsourcing เป็น sourcing ที่ใหญ่ที่สุดของ IT ในยุคนี้ — แต่ผู้บริหารเข้าใจผิดบ่อยที่สุดว่า 'ส่งออกแล้วไม่ต้องรับผิดชอบ' จริง ๆ accountability ไม่ transfer สัญญา outsourcing ที่ดี + SOC report + right-to-audit + cloud governance + concentration risk

Part B ของ D2 เริ่มแล้ว — ลงไปดู operational governance: portfolio management ที่จัดสรร IT investment, HR controls (background check, mandatory leave, termination), enterprise change management, financial management (chargeback, capex vs opex), security management ที่เป็นระบบ

บริหารความเสี่ยงและข้อมูล — Risk Management Lifecycle (Identify/Assess/Respond/Monitor), Risk Appetite vs Risk Tolerance, Privacy Program (PDPA/GDPR) ที่ไม่ใช่แค่ post privacy notice, Data Classification + Data Owner vs Custodian บวก trap ที่ developer เข้าถึง production data

บทใหญ่ที่สุดของ Domain 2 — ใจกลางของ governance ทั้งหมด: EGIT (board responsibility ไม่ใช่ของ IT), Three Lines Model (operational/risk/audit), SoD (ทำไม DBA อนุมัติ access ตัวเองไม่ได้), Enterprise Architecture (แผนที่ IT ที่ board ต้องเห็น) บวก traps ที่ออกข้อสอบบ่อย: IT Strategy vs Steering, CIO รายงาน CFO

ลำดับชั้นของกฎ — จากกฎหมายภายนอก (PDPA, GDPR) ลงมาเป็น policy ภายใน → standards → procedures → guidelines เห็นว่ากฎที่ดูยุ่งเหยิงในชีวิตจริง จัดเป็นชั้นได้สวยงาม และทำไม auditor ต้องเข้าใจชั้นทั้งหมดเพื่อตรวจ control ให้ตรงจุด

บทเปิด Domain 2 — เปลี่ยนมุมจาก 'วิธีของหมอ' (auditor process ใน D1) มาเป็น 'สรีระวิทยาของผู้ป่วย' (governance ขององค์กรที่ถูก audit) เล่าตั้งแต่เถ้าแก่ตัดสินใจคนเดียว จนบริษัทโตเป็น enterprise ที่ต้องการ board, committee, และระบบ governance ของ IT

Section 1.10 — ใครตรวจ auditor? Audit Committee oversight, IS Audit QA process, Training & development, Independence + CPE monitoring พร้อม recap Domain 1 ทั้ง 13 ตอน 5 บทเรียนสำคัญ และเกริ่นว่า Domain 2 (Governance) จะนำเรา go where

Section 1.9 — ออก audit report ยังไงให้ board ใช้ตัดสินใจได้ — 6 objectives ของ report, รู้ว่าใครเป็น audience, structure ของ report, balance ระหว่าง positive/negative findings, follow-up เป็น value creation จริง และ documentation ที่ trace ได้ทั้งสองทาง

Section 1.8 — เทคโนโลยีเปลี่ยน audit ยังไง วิวัฒนาการของเครื่องมือจาก CAATs (Generalized Audit Software) → Continuous Auditing (5 techniques) → AI/ML in IS Audit พร้อม risks ของ AI ที่ต้องระวังเสมอ

Section 1.7 — เก็บ evidence ยังไงให้ยืน — Sufficient + Competent (reliable + relevant) นิยาม Evidence, 4 มิติคุณภาพ, 7 เทคนิคเก็บหลักฐาน, ลำดับชั้นความน่าเชื่อถือ และศิลปะของการสัมภาษณ์ + สังเกตการณ์

Section 1.6 — เครื่องมือทดสอบใน Fieldwork phase ของ engagement สองคู่ที่ต้องเข้าใจ: Compliance vs Substantive testing + Statistical vs Nonstatistical sampling พร้อม Attribute, Variable sampling, Sampling Risk และ 6 ขั้นตอนสร้าง sample

บทเปิด Part B พร้อมเนื้อ Section 1.5 เต็ม — Audit Engagement คือ Project ที่มี 3 phases ลึกลงไปดู Audit Objectives, Phases, Programs, Work Papers และการรับมือ Fraud พร้อมทีเซอร์ทุกบทถัดไปใน Part B

บทสุดท้ายของ Part A — กฎหมาย/regulations เป็น mandatory input ที่บังคับ audit scope ไม่ว่า risk จะบอกอะไร พร้อมสรุปภาพรวมทั้ง Part A 8 ตอน และเตรียมตัวเข้าสู่ Part B (Execution: testing, evidence, reporting, QA)

ขยายขั้น 'วางแผนตรวจ' จาก flow ในตอน 03 — เอาภาษา Risk + Control จากตอน 05 มาใช้จริง สร้าง Audit Universe จัดอันดับด้วย risk assessment ผ่าน 4-layer planning hierarchy ที่ ISACA กำหนด

บทที่ใหญ่สุดของ Part A — ปูพื้นภาษา 2 คำที่เป็นคู่หูในมุม owner: Risk (สิ่งที่อาจเกิดขึ้นแล้วเสียหาย) และ Control (สิ่งที่ทำเพื่อกัน) ครอบคลุม Audit Risk Trinity, Materiality, 3 Control Methods, 5 Classifications, Risk-Control Link และ Prescriptive Frameworks

Section 1.2 ของ Domain 1 — ขยายขั้น 'เลือกประเภท audit' จาก flow ในตอน 03 ทำไม ISACA ถึงแบ่ง audit ออกเป็น 11 ประเภท วิธีคิดมาจากไหน บวก 2 แนวทางพิเศษ (CSA + Integrated) ที่เปลี่ยนบทบาท auditor

บทที่ผมเขียนย้อนกลับมาแทรก หลังอ่าน Part A จบ — เพราะถ้าไม่เห็น flow ทั้งวง ทุกศัพท์ใน Section 1.2-1.4 ก็จะลอย เล่าตั้งแต่ปัญหาเกิดในธุรกิจ จนวิวัฒนาการเป็น Charter ส่งต่อให้ auditor ลงสนามจนออก report

ก่อน IS auditor จะมี audit ให้ตรวจ ต้องมี mandate ที่ board อนุมัติให้ทำงานก่อน — Audit Charter คือเอกสารที่กำหนด authority, scope, independence และสายการรายงานที่เป็นรากของ Audit Universe ทั้งหมดในองค์กร

ก่อน IS auditor จะออกไปตรวจอะไร ต้องรู้ว่าตัวเองถูกกำกับด้วยกฎอะไรบ้าง — ITAF เป็นบ้านที่ครอบ 3 ชั้นกฎ (Standards บังคับ, Guidelines ต้องพิจารณา, Tools เลือกได้) บวก Code of Ethics 7 ข้อที่กำกับว่าคุณเป็น auditor แบบไหน

เปิดตัวเรื่อง CISA — Certified Information Systems Auditor วุฒิบัตรสากลของสาย IT Audit ที่อยู่มา 48 ปี ทำไมยังเป็น gold standard, โครงสร้างข้อสอบเป็นยังไง, ค่าใช้จ่าย/ประสบการณ์เท่าไหร่ และทำไมผมถึงเริ่มสนใจ — บทเปิดก่อนซีรีส์ทบทวนเนื้อหาแต่ละ Domain

อาจารย์บอกว่า Open Book + เอาคอมเข้าได้ แต่ห้ามต่อเน็ต — เลยลองทำ AI ติดเครื่องไปเองดูซะเลย 555+ บันทึก 3-4 วัน (หมดเป็นวันๆ เลย) ลุย Local LLM + RAG บน gaming laptop เครื่องเดียว อธิบายทุก tool ตั้งแต่ Ollama, Embedding, ChromaDB, RAG, Hybrid RRF ให้เข้าใจตั้งแต่ศูนย์ — เผื่อตัวเองมา refer หรือใครเจอสถานการณ์คล้ายกัน หรือแค่อยากมี AI ส่วนตัวพกไว้ในเครื่อง ไม่ต้องพึ่ง cloud

ทำไมผมถึงให้ทีมคุยกับ AI แทนที่จะเรียน technical setup ของ 10+ platforms — เก็บเวลาไปคิดกลยุทธ์ดีกว่า

เคยอัปรูปขึ้น Facebook Page cover แล้วบนมือถือเห็นเต็ม แต่บนเดสก์ท็อปหัวคนถูกตัดมั้ย? บล็อกผมก็เจอปัญหาเดียวกัน — เลยออกแบบ Safe-Zone Discipline ให้ AI รู้ว่าควรวาง subject ตรงไหนเพื่อให้รอดทุก crop

จาก Nano Banana API ไม่ฟรีอีกต่อไป ถึง Flux Schnell บน RTX 4060 8GB — เรื่องราวของการทำ cover blog ฟรี 100% สั่งผ่านแชทอย่างเดียว

ตอนจบของ IT Foundation — Agile vs Waterfall vs MVP, วิธีรันโปรเจ็ค software ตั้งแต่ศูนย์ถึงร้อย สำหรับเจ้าของกิจการ

ตอนที่ 9 ของ IT Foundation — Zero-Trust Architecture, Offensive Security, Incident Response สำหรับธุรกิจที่อยากรอดในยุค AI

ตอนที่ 8 ของ IT Foundation — จากการเขียนโค้ดในยุค AI ไปจนถึง Git, Hosting, Deploy, Monitoring ครบวงจรส่งของถึงลูกค้า

ตอนที่ 7 ของ IT Foundation — ทำยังไงให้เว็บเร็ว ทดสอบไม่ให้พัง และขยายให้รองรับคนล้านคน

ตอนที่ 6 ของ IT Foundation — รู้จักโจรดิจิทัล OWASP, Authentication แบบยาม, Encryption แบบรถขนเงิน อธิบายแบบป้อมปราการ

ตอนที่ 5 ของ IT Foundation — เครื่องมือจริงที่คนทำเว็บใช้ ทั้งฝั่ง frontend backend และการไหลของข้อมูล อธิบายแบบโรงงานกับพัสดุ

ตอนที่ 4 ของ IT Foundation — วิวัฒนาการของ server architecture และกลยุทธ์ mobile app เปรียบเทียบแบบวางผังเมือง

ตอนที่ 3 ของ IT Foundation — ซอฟต์แวร์ทำงานแบบร้านอาหาร: Frontend คือห้องอาหาร Backend คือห้องครัว Data Flow คือวงจรออเดอร์

ตอนที่ 2 ของ IT Foundation — Data Structures, Algorithms, Networking, DNS, Database อธิบายแบบคนคุยกับคน

เริ่ม series IT Foundation — รากฐานคอมพิวเตอร์ตั้งแต่ลูกคิด ENIAC ซิลิคอน IoT ไปจนถึง Quantum Computing อธิบายเป็นภาษาคน

ตอนปิด series — Enneagram 8sp ยืนยัน core driver ของผม คือ autonomy. ทุก framework ตลอดซีรีส์ชี้ทางเดียวกัน ทำตามแล้วชีวิตอยู่ในที่ของมัน

ต่อจาก Zone of Genius — Human Design ตอบเรื่อง energy management. ผมเป็น Manifestor — สาย sprint ทำตู้มแล้วพัก ไม่ใช่สายมาราธอน

ต่อจาก Wealth Dynamics — Zone of Genius อธิบายว่าทำไมเราหา supporter ที่ดีพอไม่เจอสักที ผมดันเป็น Operation Expert เลยติดอยู่ในกับดัก Zone of Excellence

ต่อจาก MBTI — Wealth Dynamics ยืนยันว่าผมเป็น Lord ตามทฤษฎี — แต่ในชีวิตจริงเรากลับไม่ค่อยได้นั่งในที่ของ Lord สักที

ต่อจาก DISC — MBTI ขุดต่อว่าในหัวเราคิดยังไง ผมออกมาเป็น INTJ ตัวเดิมตั้งแต่อายุ 20 ปลายๆมาตลอด

เปิด series 5 ตอน เริ่มจาก DISC — framework ตัวแรกที่ผมใช้คุยกับ AI assistant ให้รู้จักผมมากขึ้น

เดือนเดียวประหยัดค่าโฮสไปหลายพันบาท ย้ายเว็บทั้งหมดออกจาก WordPress + Cloudways มาอยู่บน Cloudflare ecosystem ล้วนๆ เขียนเว็บผ่านแชทกับ Claude — ทำไม ใช้อะไรแทน ดีกว่าเดิมยังไง

เรียนคอมที่ศูนย์การศึกษาต่อเนื่องจุฬาฯ ตั้งแต่ ป.2 ยุคไม่มี IDE เจอ bug ต้องร้องไห้ — จนมาเจอ AI ที่ทำให้พื้นฐานที่เรียนมา pay off

แนะนำตัวให้รู้จักกัน เรียนอะไรมา ทำอะไรมาบ้าง ชีวิตการทำงานตั้งแต่เด็กจนถึงปัจจุบัน