นโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัย...

นโยบายและแนวปฏบตในการรกษาความมนคงปลอดภย

ดานสารสนเทศ กรมประมง (Information Security Policy)

โดย

ศนยสารสนเทศ กรมประมง

กระทรวงเกษตรและสหกรณ

กมภาพนธ พ.ศ. 2556

สารบญ หนา

วตถประสงคและขอบเขต 1 องคประกอบของนโยบาย 2 ค านยาม 3 สวนท 1 นโยบายการรกษาความมนคงปลอดภยทางดานกายภาพและสงแวดลอม 6 สวนท 2 นโยบายการควบคมการเขา-ออกหองควบคมระบบเครอขาย 10 สวนท 3 นโยบายการควบคมการเขาถงระบบเทคโนโลยสารสนเทศ 12 สวนท 4 นโยบายการควบคมหนวยงานภายนอกเขาถงระบบเทคโนโลยสารสนเทศ 22 สวนท 5 นโยบายการควบคมการเขาถงและใชบรการระบบเครอขาย 24 สวนท 6 นโยบายการควบคมการเขาถงระบบปฏบตการ 27 สวนท 7 นโยบายการควบคมการเขาถงโปรแกรมประยกตหรอแอพพลเคชนและสารสนเทศ 29 สวนท 8 นโยบายการใชงานเครองคอมพวเตอรสวนบคคล 32 สวนท 9 นโยบายการใชงานเครองคอมพวเตอรแบบพกพา 34 สวนท 10 นโยบายการใชงานอนเตอรเนต 37 สวนท 11 นโยบายการใชงานจดหมายอเลกทรอนกส 39 สวนท 12 นโยบายการควบคมการเขาถงระบบเครอขายไรสาย 41 สวนท 13 นโยบายปองกนไวรส และซอฟตแวรทไมประสงคด 42 สวนท 14 นโยบายปองกนระบบเครอขายและตรวจจบการบกรก 43 สวนท 15 นโยบายการส ารองและกคนขอมล 45 สวนท 16 นโยบายดานการปฏบตตามขอบงคบ 48 สวนท 17 นโยบายการสอบทานการปฏบตตามนโยบายและแนวปฏบต

ในการรกษาความมนคงปลอดภยดานสารสนเทศ 50 สวนท 18 นโยบายการสรางความตระหนกในเรองการรกษาความมนคงปลอดภย

ดานสารสนเทศ 52

นโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ กรมประมง หนา 1

นโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ กรมประมง

(Information Security Policy) 1. วตถประสงคและขอบเขต

เพอใหระบบเทคโนโลยสารสนเทศของกรมประมง หรอตอไปนเรยกวา “องคกร” เปนไปอยางเหมาะสม มประสทธภาพ มความมนคงปลอดภยและสามารถด าเนนงานไดอยางตอเนอง รวมทงปองกนปญหาทอาจจะเกดขนจากการใชงานระบบเทคโนโลยสารสนเทศในลกษณะทไมถกตองและการถกคกคามจากภย ตาง ๆ ซงอาจกอใหเกดความเสยหายแกองคกรและหนวยงานในสงกด อกทงเปนการด าเนนงานตามพระราชกฤษฎกาก าหนดหลกเกณฑและวธการในการท าธรกรรมทางอเลกทรอนกสภาครฐ พ.ศ. 2549 มาตรา 5 หนวยงานของรฐตองจดท าแนวนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ เพอใหการด าเนนงานใด ๆ ดวยวธการทางอเลกทรอนกสกบหนวยงานของรฐหรอโดยหนวยงานของรฐมความมนคงปลอดภยและเชอถอได องคกรจงเหนสมควรก าหนดนโยบายการรกษาความมนคงปลอดภยดานสารสนเทศใหมมาตรฐาน (Standard) แนวปฏบต (Guideline) ขนตอนปฏบต (Procedure) ครอบคลมดานการรกษาความมนคงปลอดภยระบบเทคโนโลยสารสนเทศและปองกนภยคกคามตาง ๆ โดยมวตถประสงค ดงน

1.1**เพอใหเกดความเชอมนและมความมนคงปลอดภยในการใชงานระบบเทคโนโลยสารสนเทศ หรอเครอขายคอมพวเตอรขององคกร ท าใหด าเนนงานไดอยางมประสทธภาพและประสทธผล

1.2**เพอใหองคกรมการก าหนดขอบเขตของการบรหารจดการความมนคงปลอดภยระบบเทคโนโลยสารสนเทศ โดยอางองตามมาตรฐาน ISO/IEC 27001 Annex A และศกษารายละเอยดวธปฏบตทางเทคนค จาก ISO/IEC 17799:2005 รวมทงมการปรบปรงอยางตอเนอง

1.3**เพอเผยแพรใหเจาหนาททกระดบในองคกรไดรบทราบและเจาหนาททกคนตองถอปฏบตตามนโยบายนอยางเครงครด

1.4**เพอก าหนดมาตรฐาน แนวทางปฏบตใหผบรหาร เจาหนาท ผดแลระบบและบคคลภายนอก ทปฏบตงานใหกบองคกร ตระหนกถงความส าคญของการรกษาความมนคงปลอดภยในการใชงานระบบเทคโนโลยสารสนเทศขององคกรส าหรบการด าเนนงานและปฏบตตามอยางเครงครด 1.5**การก าหนดความรบผดชอบ กรณระบบคอมพวเตอรหรอขอมลสารสนเทศเกดความเสยหาย หรออนตรายใด ๆ แกองคกรหรอผหนงผใด อนเนองมาจากความบกพรอง ละเลย หรอฝาฝนการปฏบตตามนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ ก าหนดใหผบรหารระดบสง ซงมหนาทดแลรบผดชอบดานเทคโนโลยสารสนเทศขององคกร (CIO) เปนผรบผดชอบตอความเสยง ความเสยหาย หรออนตรายทเกดขน

1.6**นโยบายนตองมการด าเนนการตรวจสอบ ประเมน รวมทงปรบปรงนโยบายและขอปฏบต ตามระยะเวลา 1 ครงตอป


2. องคประกอบของนโยบาย ค านยาม สวนท 1 นโยบายการรกษาความมนคงปลอดภยทางกายภาพและสงแวดลอม (Physical and

Environment Security Policy) สวนท 2 นโยบายการควบคมการเขา-ออกหองควบคมระบบเครอขาย (Network System Control

Room Policy) สวนท 3 นโยบายการควบคมการเขาถงระบบเทคโนโลยสารสนเทศ (Access Control Policy) สวนท 4 นโยบายการควบคมหนวยงานภายนอกเขาถงระบบเทคโนโลยสารสนเทศ (Third Party

Access Control Policy) สวนท 5 นโยบายการควบคมการเขาถงและใชบรการระบบเครอขาย (Network Access Control) สวนท 6 นโยบายการควบคมการเขาถงระบบปฏบตการ (Operating System Access Control) สวนท 7 นโยบายการควบคมการเขาถงโปรแกรมประยกตหรอแอพพลเคชนและสารสนเทศ

(Application Information Access Control) สวนท 8 นโยบายการใชงานเครองคอมพวเตอรสวนบคคล (Use of Personal Computer Policy) สวนท 9 นโยบายการใชงานเครองคอมพวเตอรพกพา (Use of Notebook Computer Policy) สวนท 10 นโยบายการใชงานอนเตอรเนต (Internet Security Policy) สวนท 11 นโยบายการใชงานจดหมายอเลกทรอนกส (E-mail Policy) สวนท 12 นโยบายการควบคมการเขาถงระบบเครอขายไรสาย (Wireless Policy) สวนท 13 นโยบายปองกนไวรส และซอฟตแวรทไมประสงคด (Virus and Malicious software

Protection Policy สวนท 14 นโยบายปองกนระบบเครอขายและตรวจจบการบกรก (Firewall & IPS Policy) สวนท 15 นโยบายการส ารองและกคนขอมล (Backup and Recovery Policy) สวนท 16 นโยบายดานการปฏบตตามขอบงคบ (Compliance Policy) สวนท 17 นโยบายการสอบทานการปฏบตตามนโยบายและแนวปฏบตในการรกษาความมนคง

ปลอดภยดานสารสนเทศ สวนท 18 นโยบายการสรางความตระหนกในเรองการรกษาความมนคงปลอดภยดานสารสนเทศ

(information Security Awareness policy) องคประกอบของนโยบายการรกษาความมนคงปลอดภยดานสารสนเทศขององคกร แตละสวนทกลาว

ขางตนจะประกอบดวยวตถประสงค รายละเอยดของมาตรฐาน (Standard) แนวทางปฏบต (Guideline) และขนตอนวธการปฏบต (Procedure) ในการรกษาความมนคงปลอดภยระบบเทคโนโลยสารสนเทศขององคกร เพอทจะท าใหองคกรมมาตรการในการรกษาความมนคงปลอดภยระบบเทคโนโลยสารสนเทศอยในระดบทปลอดภย ชวยลดความเสยหายตอการด าเนนงาน สนทรพย บคลากร ขององคกร ท าใหสามารถด าเนนงานไดอยางมนคงปลอดภย

นโยบายการเขาใชงานระบบเทคโนโลยสารสนเทศขององคกรน จดเปนมาตรฐานดานความปลอดภย ในการใชงานระบบเทคโนโลยสารสนเทศขององคกร ซงเจาหนาทขององคกรและหนวยงานภายนอกจะตองปฏบตตามอยางเครงครด


ค านยาม ค านยามทใชในนโยบายน ประกอบดวย

องคกร หมายถง กรมประมง ผบงคบบญชา หมายถง ผมอ านาจสงการตามโครงสรางการบรหารขององคกร ศนยสารสนเทศ หมายถง ศนยสารสนเทศ เปนหนวยงานทใหบรการดานเทคโนโลยสารสนเทศและการสอสาร

ใหค าปรกษา พฒนาปรบปรง บ ารงรกษา ระบบคอมพวเตอรและเครอขายภายในองคกร ผอ านวยการศนยสารสนเทศ หมายถง ผมอ านาจในดานเทคโนโลยสารสนเทศและการสอสารขององคกร

ซงบทบาทหนาทและความรบผดชอบในสวนของการก าหนดนโยบายมาตรฐาน การควบคมดแลการใชงานระบบเทคโนโลยสารสนเทศ

การรกษาความมนคงปลอดภย หมายถง การรกษาความมนคงปลอดภยส าหรบระบบเทคโนโลยสารสนเทศขององคกร

มาตรฐาน (Standard) หมายถง บรรทดฐานทบงคบใชในการปฏบตการจรงเพอใหไดตามวตถประสงคหรอเปาหมาย

วธการปฏบต (Procedure) หมายถง รายละเอยดทบอกขนตอนเปนขอ ๆ ทตองน ามาปฏบต เพอใหไดมาซงมาตรฐานทไดก าหนดไวตามวตถประสงค

แนวทางปฏบต (Guideline) หมายถง แนวทางทไมไดบงคบใหปฏบต แตแนะน าใหปฏบตตาม เพอใหสามารถบรรลเปาหมายไดงายขน

ผใชงาน หมายถง บคคลทไดรบอนญาต (Authorized User) ใหสามารถเขาใชงาน บรหาร หรอดแลรกษาระบบเทคโนโลยสารสนเทศขององคกร โดยมสทธและหนาทขนอยกบบทบาท (Role) ซงองคกรก าหนดไว ดงน

o ผบรหาร หมายถง อธบด รองอธบด ผเชยวชาญ ผตรวจราชการกรมประมง ผอ านวยการส านกฯกองฯ ศนยฯ สถานฯ ประมงจงหวด หวหนาหนวยงานราชการ

o ผดแลระบบ (System Administrator) หมายถง เจาหนาททไดรบมอบหมายจากผบงคบบญชาใหมหนาทรบผดชอบในการดแลรกษาระบบและเครอขายคอมพวเตอรซงสามารถเขาถง โปรแกรมเครอขายคอมพวเตอร เพอการจดการฐานขอมลของเครอขายคอมพวเตอร

o เจาหนาท หมายถง ขาราชการ พนกงานราชการ ลกจางชวคราว ลกจางประจ า และเจาหนาทประจ าโครงการขององคกร

สทธของผใชงาน หมายถง สทธทวไป สทธจ าเพาะ สทธพเศษ และสทธอนใดทเกยวของกบระบบสารสนเทศของหนวยงาน

หนวยงานภายนอก หมายถง องคกรหรอหนวยงานภายนอก ทกรมประมงอนญาตใหมสทธในการเขาถงและใชงานขอมลหรอทรพยสนตาง ๆ ของหนวยงาน โดยจะไดรบสทธในการใชระบบตามอ านาจหนาทและตองรบผดชอบในการรกษาความลบของขอมล

ขอมลคอมพวเตอร หมายถง ขอมล ขอความ ค าสง ชดค าสง หรอสงอนใดบรรดาทอยในระบบคอมพวเตอรในสภาพทระบบคอมพวเตอรอาจประมวลผลได และใหหมายความรวมถงขอมลอเลกทรอนกสตามกฎหมายวาดวยธรกรรมอเลกทรอนกส


สารสนเทศ (Information) หมายถง ขอเทจจรงทไดจากขอมลน ามาผานการประมวลผล การจดระเบยบใหขอมลซงอาจอยในรปของตวเลข ขอความ หรอภาพกราฟฟก ใหเปนระบบทผใชสามารถเขาใจไดงาย และสามารถน าไปใชประโยชนในการบรหาร การวางแผน การตดสนใจ และอน ๆ

ระบบคอมพวเตอร หมายถง อปกรณหรอชดอปกรณของคอมพวเตอรทเชอมการท างานเขาดวยกน โดยไดมการก าหนดค าสง ชดค าสง หรอสงอนใด และแนวทางปฏบตงานใหอปกรณหรอชดอปกรณท าหนาทประมวลผลขอมลโดยอตโนมต

ระบบเครอขาย (Network System) หมายถง ระบบทสามารถใชในการตดตอสอสารหรอการสงขอมลและสารสนเทศระหวางระบบเทคโนโลยสารสนเทศตาง ๆ ขององคกรได เชน ระบบ LAN ระบบ Intranetระบบ Internet เปนตน

o ระบบ LAN และระบบ Intranet หมายถง ระบบเครอขายอเลกทรอนกสทเชอมตอระบบคอมพวเตอรตาง ๆ ภายในหนวยงานเขาดวยกน เปนเครอขายทมจดประสงคเพอการตดตอ สอสารแลกเปลยนขอมลและสารสนเทศภายในหนวยงาน

o ระบบ Internet หมายถง ระบบเครอขายอเลกทรอนกสทเชอมตอระบบเครอขายคอมพวเตอรตาง ๆ ของหนวยงานเขากบเครอขายอนเตอรเนตทวโลก

ระบบเทคโนโลยสารสนเทศ (Information Technology System) หมายถง ระบบงานของหนวยงานทน าเอาเทคโนโลยสารสนเทศ ระบบคอมพวเตอร และระบบเครอขายมาชวยในการสรางสารสนเทศ ทหนวยงานสามารถน ามาใชประโยชนในการวางแผน การบรหาร การสนบสนนการใหบรการ การพฒนาและควบคมการตดตอสอสาร ซงมองคประกอบ เชน ระบบคอมพวเตอร ระบบเครอขาย โปรแกรม ขอมล และสารสนเทศ เปนตน

พนทใชงานระบบเทคโนโลยสารสนเทศ (Information System Workspace) หมายถง พนท ทหนวยงานอนญาตใหมการใชงานระบบเทคโนโลยสารสนเทศ โดยแบงเปน

o พนทท างานทวไป (General Working Area) หมายถง พนทตดตงเครองคอมพวเตอรสวนบคคล และคอมพวเตอรพกพาทประจ าโตะท างาน

o พนทท างานของผดแลระบบ (System Administrator Area) o พนทตดตงอปกรณระบบเทคโนโลยสารสนเทศหรอระบบเครอขาย (IT Equipment or

Network Area) o พนทจดเกบขอมลคอมพวเตอร (Data Storage Area) o พนทใชงานระบบเครอขายไรสาย (Wireless LAN Coverage Area)

เจาของขอมล หมายถง ผไดรบมอบอ านาจจากผบงคบบญชาใหรบผดชอบขอมลของระบบงาน โดยเจาของขอมลเปนผรบผดชอบขอมลนน ๆ หรอไดรบผลกระทบโดยตรงหากขอมลเหลานนเกดสญหาย

สนทรพย หมายถง ขอมล ระบบขอมล และสนทรพยดานเทคโนโลยสารสนเทศและการสอสาร ของหนวยงาน เชน อปกรณระบบเครอขาย ซอฟตแวรทมลขสทธ เปนตน

จดหมายอเลกทรอนกส (E-mail) หมายถง ระบบทบคคลใชในการรบ-สงขอความระหวางกนโดยผานเครองคอมพวเตอรและเครอขายทเชอมโยงถงกน ขอมลทสงเปนไดทงตวอกษร ภาพถาย ภาพกราฟฟก ภาพเคลอนไหว และเสยง โดยผสงสามารถสงขาวสารไปยงผรบคนเดยวหรอหลายคน มาตรฐานทใชในการรบ-สงขอมลชนดน ไดแก SMTP POP3 และ IMAP เปนตน


รหสผาน (Password) หมายถง ตวอกษรหรออกขระหรอตวเลข ทใชเปนเครองมอในการตรวจสอบ ยนยนตวบคคล เพอควบคมการเขาถงขอมลและระบบขอมลในการรกษาความมนคงปลอดภยของขอมลและระบบเทคโนโลยสารสนเทศ

ชดค าสงไมพงประสงค หมายถง ชดค าสงทมผลท าใหคอมพวเตอร หรอระบบคอมพวเตอรหรอชดค าสงอนเกดความเสยหาย ถกท าลาย ถกแกไขเปลยนแปลงหรอเพมเตม ขดของหรอปฏบตงานไมตรงตามค าสงทก าหนดไว

การเขาถงหรอควบคมการใชงานสารสนเทศ หมายถง การอนญาต การก าหนดสทธ หรอการมอบอ านาจใหผใชงาน เขาถงหรอใชงานเครอขาย หรอระบบสารสนเทศทงทางอเลกทรอนกสและทางกายภาพ รวมทงการอนญาตเชนวานนส าหรบบคคลภายนอก ตลอดจนอาจก าหนดขอปฏบตเกยวกบการเขาถง โดยมชอบเอาไวดวย

ความมนคงปลอดภยดานสารสนเทศ หมายถง การธ ารงไวซงความลบ (Confidentiality) ความถกตองครบถวน (Integrity) และสภาพพรอมใชงาน (Availability) ของสารสนเทศรวมทงคณสมบตอน ไดแกความถกตองแทจรง (Authenticity) ความรบผด (Accountability) การหามปฏเสธความรบผด (Non-Repudiation) และความนาเชอถอ (Reliability)

เหตการณดานความมนคงปลอดภย หมายถง กรณทระบการเกดเหตการณ สภาพของบรการ หรอเครอขายทแสดงใหเหนความเปนไปไดทจะเกดการฝาฝนนโยบายดานความมนคงปลอดภย หรอมาตรการปองกนทลมเหลว หรอเหตการณอนไมอาจรไดวาอาจเกยวของกบความมนคงปลอดภย

สถานการณดานความมนคงปลอดภยทไมพงประสงคหรอไมอาจคาดคด หมายถง สถานการณ ดานความมนคงปลอดภยทไมพงประสงคหรอไมอาจคาดคด (Unwanted or Unexpected) ซงอาจท าใหระบบขององคกรถกบกรกหรอโจมต และความมนคงปลอดภยถกคกคาม


สวนท 1 นโยบายการรกษาความมนคงปลอดภยทางดานกายภาพและสงแวดลอม

(Physical and Environment Security Policy)

1. วตถประสงค ก าหนดเปนมาตรการควบคมและปองกนเพอการรกษาความมนคงปลอดภยทเกยวของกบ

การเขาใชงานหรอการเขาถงอาคาร สถานท และพนทใชงานระบบเทคโนโลยสารสนเทศ โดยพจารณาตามความส าคญของอปกรณระบบเทคโนโลยสารสนเทศ ขอมลซงเปนทรพยสนทมคาและอาจจ าเปน ตองรกษาความลบ โดยมาตรการนจะมผลบงคบใชกบผใชและหนวยงานภายนอก ซงมสวนเกยวของกบการใชงานระบบเทคโนโลยสารสนเทศของหนวยงาน

2. ผรบผดชอบ 1. ศนยสารสนเทศ 2. ส านกงานเลขานการกรม 3. ส านกวจยและพฒนาประมงน าจด 4. ส านกวจยและพฒนาประมงทะเล 5. ส านกบรหารจดการดานการประมง 6. ส านกพฒนาและถายทอดเทคโนโลยการประมง 7. กองตรวจสอบรบรองมาตรฐานคณภาพสตวน าและผลตภณฑสตวน า 8. ผดแลระบบทไดรบมอบหมาย

3. แนวปฏบตการก าหนดบรเวณทตองมการรกษาความมนคงปลอดภย 3.1 ภายในองคกร ควรมการจ าแนกและก าหนดพนทของระบบเทคโนโลยสารสนเทศตาง ๆ อยางเหมาะสม

โดยจดท าเปนเอกสาร “การก าหนดพนทเพอการรกษาความมนคงปลอดภยของระบบสารสนเทศ” เพอจดประสงคในการเฝาระวง ควบคม การรกษาความมนคงปลอดภยจากผทไมไดรบอนญาต รวมทงปองกนความเสยหายอน ๆ ทอาจเกดขนได

3.2 จดใหมเวรยาม รกษาอาคารและหองควบคมระบบเครอขายและอปกรณเชอมโยงเครอขาย ภายในอาคาร เพอปองกนการแอบลกลอบเขาสพนทปฏบตงานภายในเพอการลกลอบกอวนาศกรรม การโจรกรรม หรอการท าลายอปกรณ ระบบประมวลผล ระบบฐานขอมลและระบบเครอขาย

3.3 ผบรหาร ควรก าหนดและแบงแยกบรเวณพนทใชงานระบบเทคโนโลยสารสนเทศใหชดเจน รวมทงจดท าแผนผงแสดงต าแหนงของพนทใชงานและประกาศใหรบทราบทวกน โดยการก าหนดพนทดงกลาวอาจแบงออกไดเปน พนทท างานทวไป (General Working Area) พนทท างานของผดแลระบบ (System Administrator Area) พนทตดตงอปกรณระบบเทคโนโลยสารสนเทศ (IT Equipment Area) พนทจดเกบขอมลคอมพวเตอร (Data Storage Area) และพนทใชงานเครอขายไรสาย (Wireless LAN Coverage area) เปนตน

3.4 ผบรหารตองก าหนดสทธใหกบเจาหนาทใหสามารถมสทธในการเขาถงพนทใชงานระบบเทคโนโลยสารสนเทศ เพอปฏบตหนาทตามทไดรบมอบหมายอยางครบถวน ประกอบดวย

3.4.1 จดท า “ทะเบยนผมสทธเขา-ออกพนท” เพอใชงานระบบเทคโนโลยสารสนเทศ 3.4.2 ท าการบนทกการเขา-ออกพนทใชงาน และก าหนดผมหนาทรบผดชอบการบนทกการเขา-ออก

ดงกลาว โดยจดท าเปนเอกสาร “บนทกการเขา-ออกพนท”

http://www.fisheries.go.th/marine

http://extension.fisheries.go.th/


3.4.3 จดใหมเจาหนาทท าหนาทตรวจสอบประวตการเขา-ออกพนทใชงานระบบเทคโนโลยสารสนเทศเปนประจ าทกวน และใหมการปรบปรงรายการผมสทธเขา-ออกพนทใชงานระบบสารสนเทศและการสอสารอยางนอยปละ 1 ครง

4. แนวปฏบตการควบคมการเขา-ออก อาคาร สถานท 4.1 จดท าเอกสารระบสทธของผใช และ “หนวยงานภายนอก” ในการเขาถงสถานท โดยแบงแยกได

ดงน 4.1.1 องคกรตองก าหนดสทธผใชทมสทธผานเขา-ออก และชวงเวลาทมสทธในการผานเขา-ออก

ในแตละ “พนทใชงานระบบ” อยางชดเจน 4.1.2 รณรงคหรอออกกฎใหเจาหนาทองคกรแขวนบตรพนกงานเพอใชระบตวตนกอนเขาอาคาร

หรอสถานทส าคญของหนวยงาน 4.1.3 การเขาถงอาคารของหนวยงาน ของบคคลภายนอกหรอผมาตดตอ เจาหนาทรกษาความปลอดภย

จะตองใหมการแลกบตรทใชระบตวตนของบคคลนน ๆ เชน บตรประจ าตวประชาชน ใบอนญาตขบข เปนตน แลวท าการลงบนทกขอมลบตรในสมดบนทกและรบแบบฟอรม การเขา-ออกพรอมกบบตรผตดตอ (Visitor)

4.1.4 บคคลทมาตดตอตองตดบตรผตดตอ(Visitor) ตรงจดทสามารถเหนไดชดเจน ตลอดเวลา ทอยในองคกร

4.1.5 กรณทบคคลภายนอกหรอผตดตอ ตองการน าอปกรณตาง ๆ เชน คอมพวเตอรสวนบคคล หรอคอมพวเตอรพกพา หรออปกรณเครอขายเขาบรเวณอาคาร เจาหนาทรกษาความปลอดภยจะตองลงบนทกในแบบฟอรมการเขา-ออกในรายการอปกรณทน าเขามาใหถกตอง

4.1.6 กรณทบคคลภายนอกเขามาตดตอ เจาหนาทจะตองลงชออนญาตการเขา-ออกในแบบฟอรมการเขา-ออกใหถกตอง

4.1.7 บคคลภายนอกหรอผตดตอ ตองคนแบบฟอรมการเขา-ออกและบตรผตดตอ (Visitor) กบเจาหนาทรกษาความปลอดภยกอนออกจากอาคาร และ รปภ. ตองตรวจสอบผตดตอ อปกรณ พรอมลงเวลาออกทสมดบนทกใหถกตอง

4.2 ผใชจะไดรบสทธใหเขา-ออกสถานทท างานไดเฉพาะบรเวณพนททถกก าหนดเพอใชในการท างานเทานน

4.3 หากมบคคลอนใดทไมใชผใช ขอเขาพนทโดยมไดขอสทธในการเขาพนทนนไวเปนการลวงหนา หนวยงานเจาของพนท ตองตรวจสอบเหตผลและความจ าเปน กอนทจะอนญาต ทงน จะตองแสดงบตรประจ าตวทองคกรออกให โดยหนวยงานเจาของพนทตองจดบนทกบคคลและการขอเขา-ออกไวเปนหลกฐาน ทงในกรณทอนญาตและไมอนญาตใหเขาพนท

5. แนวปฏบตการควบคมสนทรพยสารสนเทศและการใชงานระบบคอมพวเตอร (Clear Desk and Clear Screen Policy)

ตองควบคมไมใหสนทรพยสารสนเทศ เชน เอกสาร สอบนทกขอมล คอมพวเตอร หรอสารสนเทศ อยในภาวะซงเสยงตอการเขาถงโดยผซงไมมสทธ และตองก าหนดใหผใชงานออกจากระบบสารสนเทศ เมอวางเวนจากการใชงาน 5.1 การจดท าบรเวณลอมรอบ (Physical Security Perimeter)

5.1.1 มการจดสภาพแวดลอมทางกายภาพเพอปองกนบคคลภายนอกบกรกเขาสพนทภายในองคกร 5.1.2 มการประเมนความเสยงทางกายภาพและก าหนดมาตรการลดความเสยง


5.1.3 ผนงลอมรอบของส านกงานหรอพนททมระบบเทคโนโลยสารสนเทศอยภายในควรสรางเปนผนงทบ

5.1.4 ประตหรอทางเขาส านกงานหรออาคารออกแบบเพอปองกนการบกรกทางกายภาพ 5.1.5 ประตหรอทางเขาของหองควบคมระบบเครอขายและเครองคอมพวเตอรแมขายตองมระบบ

ทสามารถลอคได เพอปองกนการบกรกทางกายภาพ 5.1.6 บคลากรทปฏบตงานภายในศนยสารสนเทศ ตองปดประตและหนาตางใหลอคอยเสมอ

ภายหลงเลกงาน และนอกเวลาราชการ 5.1.7 มการจดระบบการรกษาความปลอดภย โดยมพนกงานรกษาความปลอดภย (รปภ.)

และควรมการตดตงกลองวงจรปดภายในลฟท เพอควบคมการเขาถงของบคคลภายนอก 5.1.8 ประตหน ไฟและผนงในบรเวณขางเคยงตองมการกอสรางใหมความทนทานตอความรอน

อยางเพยงพอ 5.1.9 ตองแยกพนทส าหรบระบบเทคโนโลยสารสนเทศขององคกรออกจากพนททมการดแล

หรอบรหารจดการโดยผใหบรการภายนอก 5.2 การจดบรเวณส าหรบการเขาถง หรอการสงมอบผลตภณฑโดยบคคลภายนอก (Public Access

Delivery and Loading Areas) 5.2.1 จ ากดการเขาถงพนทหรอบรเวณทมการสงมอบหรอขนถายผลตภณฑเพอปองกนการเขาถง

โดยไมไดรบอนญาต 5.2.2 จ ากดบคลากรซงสามารถเขาถงพนทหรอบรเวณสงมอบนน 5.2.3 ควรจดพนทหรอบรเวณสงมอบไวในบรเวณตางหากเพอหลกเลยงการเขาถงพนทอน ๆ

ภายในองคกร 5.2.4 ตองตรวจสอบวสดหรอปจจยการผลตทเปนอนตรายกอนทจะโอนยายวสดนนไปยงพนททม

การใชงาน 5.2.5 ก าหนดใหมการลงทะเบยนและตรวจนบผลตภณฑทสงมอบโดยผขายหรอผใหบรการ

ภายนอกโดยใหสอดคลองกบระเบยบพสด หรอขนตอนปฏบตส าหรบการบรหารจดการทรพยสนขององคกร

5.3 การจดวางและการปองกนอปกรณ (Equipment Siting and Protection) 5.3.1 ตองจดวางอปกรณในพนทหรอบรเวณทเหมาะสมเพอหลกเลยงการเขาถงพนท

ของผปฏบตงานในหนวยงานหรอส านกงานใหนอยทสด 5.3.2 ตองจดวางระบบเทคโนโลยสารสนเทศในต าแหนงทเหมาะสมเพอหลกเลยงการมองเหน

ขอมลส าคญจากบคคลภายนอก โดยการหนหนาจอเขามาภายในโดยไมใหบคคลผซงไมมสทธสามารถมองเหนหนาจอนนได

5.3.3 ตองแยกเกบอปกรณทมความส าคญไวตางหากอกพนทหนง เพอดแลความมนคงปลอดภย 5.3.4 หามไมใหมการน าอาหาร เครองดม และสบบหรในบรเวณหรอพนทหองควบคมระบบ

เครอขาย/ระบบคอมพวเตอร/ระบบเครองคอมพวเตอรแมขาย 5.3.5 ด าเนนการตรวจสอบ สอดสอง ระดบอณหภม และดแลสภาพแวดลอมภายในบรเวณ

หองควบคมระบบเครอขาย/ระบบคอมพวเตอร/ระบบเครองคอมพวเตอรแมขาย เพอปองกนความเสยหายตออปกรณทอยในบรเวณดงกลาว


5.3.6 มมาตรการปองกนอปกรณไฟฟาเสยหายจากการทกระแสไฟฟาไมแนนอน หรอไฟฟากระชาก

5.4 ระบบและอปกรณสนบสนนการท างาน (Supporting Utilities) 5.4.1 ตองมระบบสนบสนนการท างานของระบบเทคโนโลยสารสนเทศขององคกรทเพยงพอ

ตอความตองการใชงาน เชน ระบบปรบอากาศ ระบบระบายอากาศ ระบบกระแสไฟฟาส ารอง เปนตน และตองมการตรวจสอบหรอทดสอบระบบสนบสนนดงกลาวอยางสม าเสมอ เพอใหมนใจไดวาระบบท างานตามปกต และลดความเสยงจากการลมเหลวในการท างานของระบบ

5.4.2 ตองมการใชระบบยพเอสกบระบบเทคโนโลยสารสนเทศเพอปองกนอปกรณไฟฟาเสยหายจากความไมสม าเสมอของกระแสไฟฟาและตองทดสอบระบบยพเอสอยางสม าเสมอ โดยทดสอบใหตรงตามค าแนะน าทผผลตไดระบไว

5.5 การรกษาความมนคงปลอดภยส าหรบหองท างานและทรพยสนอน ๆ 5.5.1 เจาหนาททกคนตองปฏบตการปองกนทรพยสน 5.5.2 เจาหนาทตองออกจากระบบทนท เมอจ าเปนตองปลอยทงโดยไมมผดแล 5.5.3 ตองมการจดเกบขอมลส าคญในสถานททมความปลอดภย เชน ในตเอกสารทมกญแจลอค

และไมทงเอกสารทส าคญไวบนโตะ เพอความปลอดภยของทรพยสนของราชการ 5.5.4 ตองปองกนเครองโทรสาร เมอไมมผใชงาน และปองกนตหรอบรเวณทใชในการรบ-สง

เอกสารไปรษณย เพอความปลอดภยของขอมล 5.5.5 ตองไมใหผทไมไดรบอนญาตใชอปกรณคอมพวเตอรตาง ๆ เชน เครองคอมพวเตอร

กลองดจตอล เครองพมพ เครองส าเนาเอกสาร เครองสแกนเอกสาร เปนตน โดยไมไดรบอนญาต

5.5.6 น าเอกสารออกจากเครองพมพทนททพมพงานเสรจ 5.6 มาตรฐานการท าลายสอบนทกขอมลและขอมลอเลกทรอนกส

5.6.1 ตองท าการเคลยรขอมลทบนทกอยในอปกรณฮารดดสกหรอสอบนทกขอมล กอนท าการเปลยนหรดทดแทนอปกรณ

5.6.2 ตองท าการลบขอมลทบนทกอยในอปกรณฮารดดสกหรอสอบนทกขอมล กอนท าการท าลายหรอจ าหนาย

5.6.3 ตองท าการฟอรแมต (Format) ฮารดดสก เพอปองกนการกคนขอมลในฮารดดสก โดยการใชวธแบบเขยนทบซ าจ านวน 1 ครง ตามมาตรฐาน NIST 800-88 ส าหรบขอมลทมความลบระดบต า หรอแบบเขยนทบซ าจ านวน 3 ครง ตามมาตรฐาน DoD 5220.22- M ส าหรบขอมลทมความลบระดบปานกลาง หรอแบบเขยนทบซ าจ านวน 7 ครง ตามมาตรฐาน NSA ส าหรบขอมลทมความลบระดบสง

5.6.4 ควรลบขอมลออกจากฐานขอมลทมอายตงแต 5 ปขนไป และส ารองขอมลลงฮารดดสกภายนอก (External Hard Disk) หรอสอขอมลส ารอง (Backup Media) และจดเกบ ไวในสถานททเหมาะสม ไมเสยงตอการรวไหลของขอมล

5.6.5 ตองไดรบความเหนชอบจากผมอ านาจอนมตในการท าลายสอบนทกขอมล หรอลบขอมลอเลกทรอนกสออกจากฐานขอมล


สวนท 2 นโยบายการควบคมการเขา-ออกหองควบคมระบบเครอขาย

(Network System Control Room Policy)

1. วตถประสงค เพอก าหนดมาตรการควบคม ปองกนมใหบคคลทไมมอ านาจหนาทเกยวของในการปฏบตหนาท

เขาถง ลวงร แกไข เปลยนแปลงระบบเทคโนโลยสารสนเทศทส าคญ ซงจะท าใหเกดความเสยหายตอขอมลและระบบขอมลขององคกร โดยมการก าหนดกระบวนการควบคมการเขา-ออกทแตกตางกนของกลมบคคลตาง ๆ ทมความจ าเปนตองเขา-ออกหองควบคมระบบเครอขาย

2. ผรบผดชอบ 1. ศนยสารสนเทศ 2. ผดแลระบบทไดรบมอบหมาย

3. ค าจ ากดความของผเกยวของ 3.1 ผดแลระบบ หมายถง เจาหนาททกคนทท างานเกยวของโดยตรงกบงานปฏบตการและบ ารงดแล

รกษาระบบเทคโนโลยสารสนเทศภายในหองควบคมระบบเครอขาย 3.2 เจาหนาท หมายถง เจาหนาทองคกรทมสทธในการเขา-ออกสถานท อาคาร หอง ตามทก าหนด

ในทะเบยนผมสทธเขา-ออกพนท 3.3 ผตดตอจากหนวยงานภายนอก หมายถง บคคลจากหนวยงานภายนอกทมาท าการตดตอขอเขาถง

หรอใชขอมลหรอทรพยสนตาง ๆ ของหองควบคมระบบเครอขาย 4. บทบาทและความรบผดชอบ

4.1 ผอ านวยการศนยสารสนเทศ 4.1.1 อนมตสทธเขา-ออกพนทใชงานระบบเทคโนโลยสารสนเทศ 4.1.2 อนมตกระบวนการควบคมการเขา-ออก หองควบคมระบบเครอขาย

4.2 ผดแลระบบ หองควบคมระบบเครอขาย 4.2.1 ตรวจสอบดแลบคคลทขออนญาตเขามาภายในหองควบคมระบบเครอขาย ใหปฏบต

ตามระเบยบและกฎเกณฑของหองควบคมระบบเครอขายอยางเครงครด 4.2.2 ตรวจสอบใหมนใจวาบคคลทไดผานเขา-ออกหองควบคมระบบเครอขาย ตองตดบตร

ผตดตอ (Visitor) หรอบตรประจ าตวขององคกรเทานน 5. แนวปฏบตการควบคมการเขา-ออกหองควบคมระบบเครอขาย

5.1 ผดแลระบบหองควบคมระบบเครอขาย และเจาหนาทองคกร มแนวทางปฏบต ดงน 5.1.1 ผดแลระบบหองควบคมระบบเครอขาย ควรจดระบบเทคโนโลยสารสนเทศใหเปนสดสวน

ชดเจน เชน สวนระบบเครอขาย (Network Zone) สวนเครองแมขาย (Server Zone) เปนตน เพอสะดวกในการปฏบตงานและยงท าใหการควบคมการเขาถงหรอเขาใชงานอปกรณคอมพวเตอรส าคญตาง ๆ มประสทธภาพมากขน

5.1.2 ผดแลระบบหองควบคมระบบเครอขาย ตองท าการก าหนดสทธบคคลในการเขา-ออกหองควบคมระบบเครอขาย โดยเฉพาะบคคลทปฏบตหนาทเกยวของภายใน และมการบนทก “ทะเบยนผมสทธเขา-ออกพนท” เชน เจาหนาทปฏบตงานคอมพวเตอร (Computer Operator) เจาหนาทผดแลระบบ (System Administrator) เปนตน


5.1.3 สทธในการเขา-ออกหองควบคมระบบเครอขายของเจาหนาทแตละคนขนอยกบหนาท การปฏบตงานภายในหองควบคมระบบเครอขาย

5.1.4 เจาหนาททกคนตองท าบตรผาน (Key Card) เพอใชในการเขา-ออกหองควบคมระบบเครอขาย*ตามกระบวนการทระบใน*ขอ 6*(6.4)*“การบรหารจดการสทธการใชงานระบบและรหสผาน” ในนโยบายการควบคมการเขาถงระบบเทคโนโลยสารสนเทศ

5.1.5 ตองจดท าระบบเกบบนทกการเขา-ออกหองควบคมระบบเครอขาย ตามกระบวนการ ทระบไวในเอกสาร “บนทกการเขา-ออกพนท”

5.1.6 กรณเจาหนาททไมมหนาทเกยวของประจ า อาจมความจ าเปนตองเขา-ออกหองควบคมระบบเครอขาย กตองมการควบคมอยางรดกม

5.1.7 การเขาถงหองควบคมระบบเครอขาย ตองมการลงบนทกตามแบบฟอรมทระบไวในเอกสาร “บนทกการเขา-ออกพนท” และตองตรวจสอบใหมนใจวาบคคลทผานเขา-ออก ทกคนตองกรอกแบบฟอรมดงกลาว

5.1.8 กรณผตดตอจากหนวยงานภายนอก มความจ าเปนตองเขาหองควบคมระบบเครอขาย เจาหนาทผดแลระบบขององคกรจะตองเปนผน าพาเขาไป และคอยสอดสอง ก ากบดแลตลอดการปฏบตงาน

5.2 ผตดตอจากหนวยงานภายนอก มแนวทางปฏบต ดงน 5.2.1 ผตดตอจากหนวยงานภายนอก ทกคนตองท าการแลกบตรทใชระบตวตน เชน

บตรประจ าตวประชาชน หรอใบอนญาตขบข กบเจาหนาทรกษาความปลอดภย เพอรบบตรผตดตอ “Visitor” แลวท าการลงบนทกขอมลในสมดบนทกตามทระบไวในเอกสาร “บนทกการเขา-ออกพนท”

5.2.2 ผตดตอจากหนวยงานภายนอก ทน าอปกรณคอมพวเตอรหรออปกรณทใชในการปฏบตงานภายในองคกร จะตองลงบนทกรายการอปกรณในแบบฟอรมการขออนญาต เขา-ออกตามทระบไวในเอกสาร “บนทกการเขา-ออกพนท” ใหถกตองชดเจน

5.2.3 ผตดตอจากหนวยงานภายนอก ตองตดบตรผานตรงจดทสามารถเหนไดชดเจนตลอดเวลาทอยในหองควบคมระบบเครอขายหรอศนยสารสนเทศ

5.2.4 พนททผตดตอจากหนวยงานภายนอก สามารถเขาไดตามทระบไวในแบบฟอรมการขออนญาตเขา-ออก และตองมเจาหนาทคอยสอดสองดแลตลอดเวลา

5.2.5 ผตดตอจากหนวยงานภายนอก ตองคนบตรผตดตอกบเจาหนาทรกษาความปลอดภย ซงเจาหนาทรกษาความปลอดภยตองตรวจสอบการคนบตรและตรวจสอบแบบฟอรมการขออนญาตเขา-ออกวามเจาหนาทลงนามอนญาตแลวทกครง

5.2.6 เจาหนาทรกษาความปลอดภย ตองตรวจสอบรายการอปกรณทลงบนทกไวในแบบฟอรมการขออนญาตเขา-ออกและตรวจสอบอปกรณทน าออกมาใหถกตอง

5.2.7 เจาหนาทควรตรวจสอบความถกตองของขอมลในสมดบนทกและแบบฟอรมการขออนญาตเขา-ออกกบเจาหนาทรกษาความปลอดภยเปนประจ าทกเดอน


สวนท 3 นโยบายการควบคมการเขาถงระบบเทคโนโลยสารสนเทศ

(Access Control Policy)

1. วตถประสงค เพอก าหนดมาตรการควบคมบคคลทไมไดอนญาตเขาถงระบบเทคโนโลยสารสนเทศขององคกร

และปองกนการบกรกผานระบบเครอขายจากผบกรก จากโปรแกรมชดค าสงไมพงประสงค ทจะสรางความเสยหายแกขอมล หรอการท างานของระบบเทคโนโลยสารสนเทศใหหยดชะงก และท าใหสามารถตรวจสอบตดตามพสจนตวบคคลทเขาใชงานระบบเทคโนโลยสารสนเทศขององคกรไดอยางถกตอง

2. ผรบผดชอบ 1. ศนยสารสนเทศ 2. ผดแลระบบทไดรบมอบหมาย 3. เจาหนาทประจ าโครงการขององคกร

3. ขอก าหนดเกยวกบประเภทขอมล ล าดบชนความลบของขอมล เวลาทไดเขาถง และชองทางการเขาถง

3.1 ประเภทขอมลขององคกร แบงไดดงน 3.1.1 ขอมลสารสนเทศดานการบรหาร

นโยบาย ขอมลยทธศาสตร ขอมลค ารบรองการปฏบตราชการ ขอมลบคลากร ขอมลงบประมาณการเงนและบญช

3.1.2 ขอมลสารสนเทศดานการจดการและปฏบตงาน ขอมลการด าเนนงานตามภารกจของกรมประมง ขอมลกฎ ระเบยบ กฎหมายประมง ขอมลการตดตอสอสารภายในกรมประมง ขอมลตดตามการด าเนนงานตามภารกจของกรมประมง ขอมลตดตามการใชจายงบประมาณ ขอมลรายงานผลการปฏบตงาน

3.1.3 ขอมลสารสนเทศดานการใหบรการ ขอมลทะเบยนเกษตรกร ขอมลทะเบยนเรอ ขอมลใบอนญาตและใบรบรองดานการประมง ขอมลวชาการและองคความรดานการประมง ขอมลดานการวจย ขอมลภมสารสนเทศดานการประมง

http://172.16.1.63/ipa/

http://gis.fisheries.go.th/


ขอมลสถตการประมง 3.2 ล าดบความส าคญ หรอล าดบชนความลบของขอมล

ใชแนวทางตามระเบยบวาดวยการรกษาความลบของทางราชการ พ.ศ.2544 ซงระเบยบดงกลาวเปนมาตรการทละเอยด รอบคอบ ถอวาเปนแนวทางทเหมาะสมในการจดการเอกสารอเลกทรอนกส และในการรกษาความปลอดภยของเอกสารอเลกทรอนกส โดยไดก าหนดกระบวนการและกรรมวธตอเอกสารทส าคญไวดงน

3.2.1 การก าหนดชนความลบ ตามความส าคญของขอมลในเอกสาร ก าหนดไว 3 ระดบ ไดแก ลบ ลบมาก ลบทสด และมการก าหนดความรบผดชอบ ใหแกผมอ านาจก าหนดชนความลบ เปนผพจารณาก าหนดระดบชนความลบของเอกสาร และการยกเลกหรอปรบระดบชนความลบของเอกสารตามความจ าเปน

3.2.2 การควบคมเอกสาร โดยก าหนดใหมมาตรการควบคมตาง ๆ คอ การจดท าทะเบยน การตรวจสอบ การจดท าเอกสาร การส าเนาและการแปล การโอน การสงและการรบ การเกบรกษา การยม การท าลาย การปฏบตในเวลาฉกเฉน เวลาสญหาย รวมถงการเปดเผยขอมลในเอกสาร

3.3 เวลาทไดเขาถง 3.3.1 การเขาถงสารสนเทศในเวลาราชการ (08.30 – 16.30 น.) 3.3.2 การเขาถงสารสนเทศนอกเวลาราชการ (นอกชวงเวลา 08.30 – 16.30 น.) 3.3.3 การเขาถงสารสนเทศในชวงเวลาวนหยดราชการ (วนหยดราชการ และ วนหยดนกขตฤกษ) 3.3.4 การเขาถงในชวงเวลาพเศษเปนรายครง ตองระบชวงเวลาและจ านวนระยะเวลาการเขาถง

ระยะเวลาการเขาถง ไดแก 1-3 วน 1 สปดาห 1 เดอน 3 เดอน ครงปงบประมาณ ตามเวลาทรองขอ

3.4 ชองทางการเขาถง 3.4.1 ตดตอดวยตนเอง (เขาถงไดในเวลาราชการ) 3.4.2 เคานเตอรบรการ (เขาถงไดในเวลาราชการ) 3.4.3 โทรศพทหรอโทรสาร (เขาถงไดในเวลาราชการ) 3.4.4 หนงสอหรอบนทกขอความ (เขาถงไดในเวลาราชการ) 3.4.5 ระบบแลน (เขาถงไดทงในและนอกเวลาราชการ) 3.4.6 ระบบอนทราเนต (เขาถงไดทงในและนอกเวลาราชการ) 3.4.7 ระบบอนเตอรเนต (เขาถงไดทกชวงเวลา) 3.4.8 ระบบจดหมายอเลกทรอนกส (เขาถงไดทกชวงเวลา) 3.4.9 เวบไซต (เขาถงไดทกชวงเวลา หรอ ในชวงเวลาพเศษทก าหนด) 3.4.10 การประชมทางไกล (เขาถงไดในเวลาราชการ และ ในชวงเวลาพเศษเปนรายครง)


4. แนวปฏบตในการควบคมการเขาถงระบบ 4.1 สถานทตงของระบบเทคโนโลยสารสนเทศทส าคญตองมการควบคมการเขา-ออกทรดกมและอนญาต

ใหเฉพาะบคคลทไดรบสทธและมความจ าเปนผานเขาใชงานไดเทานน 4.2 ผดแลระบบ ตองก าหนดสทธการเขาถงขอมลและระบบขอมลใหเหมาะสมกบการเขาใชงานของผใช

ระบบและหนาทความรบผดชอบของเจาหนาทในการปฏบตงานกอนเขาใชระบบเทคโนโลยสารสนเทศ รวมทงมการทบทวนสทธการเขาถงอยางสม าเสมอ ทก 6 เดอนเปนอยางนอย ทงน ผใชระบบจะตองไดรบอนญาตจากผดแลระบบตามความจ าเปนในการใชงาน

4.3 ผดแลระบบ หรอผทไดรบมอบหมายเทานนทสามารถแกไขเปลยนแปลงสทธการเขาถงขอมล และระบบขอมลได

4.4 ผดแลระบบ ควรจดใหมการตดตงระบบบนทกและตดตามการใชงานระบบเทคโนโลยสารสนเทศขององคกร และตรวจตราการละเมดความปลอดภย ทมตอระบบขอมลส าคญ

4.5 ผดแลระบบ ตองจดใหมการบนทกรายละเอยดการเขาถงระบบ การแกไขเปลยนแปลงสทธตาง ๆ และการผานเขา-ออกสถานทตงของระบบ ของทงผทไดรบอนญาตและไมไดรบอนญาต เพอเปนหลกฐานในการตรวจสอบหากมปญหาเกดขน

5. แนวปฏบตการควบคมการเขาถงระบบเทคโนโลยสารสนเทศ 5.1 ผดแลระบบ มหนาทในการตรวจสอบการอนมตและก าหนดสทธในการผานเขาสระบบ ไดแก ผใช

ในการขออนญาตเขาระบบงานนน จะตองมการท าเปนเอกสารเพอขอสทธในการเขาสระบบ และก าหนดใหมการลงนามอนมต เอกสารดงกลาวตองมการจดเกบไวเปนหลกฐาน

5.2 เจาของขอมล และ “เจาของระบบงาน” จะอนญาตใหผใชงานเขาสระบบเฉพาะในสวนทจ าเปนตองรตามหนาทงานเทานน เนองจากการใหสทธเกนความจ าเปนในการใชงาน จะน าไปสความเสยง ในการใชงานเกนอ านาจหนาท ดงนนการก าหนดสทธในการเขาถงระบบงานตองก าหนดตามความจ าเปนขนต าในการใชงานตามภารกจเทานน

5.3 ผใชงานจะตองไดรบอนญาตจากเจาหนาททรบผดชอบขอมลและระบบงานตามความจ าเปนตอการใชงานระบบเทคโนโลยสารสนเทศ

6. แนวปฏบตการบรหารจดการการเขาถงของผใช 6.1 การลงทะเบยนเจาหนาทใหมขององคกร

6.1.1 จดท าแบบฟอรมการลงทะเบยนผใชงาน ส าหรบระบบเทคโนโลยสารสนเทศขององคกร

6.1.2 ผดแลระบบตองตรวจสอบวาผใชไดรบมอบหมายสทธจากเจาของระบบ ส าหรบการใชงานระบบสารสนเทศและบรการอยางถกตอง ตองมการอนมตรบรองการไดสทธจากผบรหารอยางชดเจน

6.1.3 ผดแลระบบตองตรวจสอบบญชผใชงาน โดยไมมการลงทะเบยนผใชงานมากอน

6.1.4 ผดแลระบบตองตรวจสอบและใหสทธในการเขาถงทเหมาะสมตอหนาทความรบผดชอบ และมความสอดคลองกบนโยบายความมนคงปลอดภยขององคกร

6.1.5 ผดแลระบบตองมอบเอกสารรบรองสทธการเขาถงแกผใช เพอแสดงถงสทธและหนาทความรบผดชอบของผใชงานในการเขาถงระบบเทคโนโลยสารสนเทศ รวมทงก าหนดใหผใชงานท าการลงนามในเอกสารดงกลาวหลงจากทไดท าความเขาใจแลว

6.1.6 ผดแลระบบตองก าหนดใหมการถอดถอนสทธการเขาถงระบบเทคโนโลยสารสนเทศโดยทนทเมอผใชงานนนท าการลาออกหรอเปลยนต าแหนงงาน


6.1.7 การลงทะเบยนผใชงาน ผดแลระบบตองท าการตรวจสอบหรอทบทวนบญชผใชงานทงหมด เพอปองกนการเขาถงระบบเทคโนโลยสารสนเทศโดยไมไดรบอนญาต

6.1.8 การลงทะเบยนผใชงานระบบเทคโนโลยสารสนเทศ 6.1.8.1 เจาหนาทใหมขององคกรกรอกขอมลค าขอใชบรการลงแบบฟอรมลงทะเบยน

ผใชงานระบบเทคโนโลยสารสนเทศ เชน ค าขอใชอนเตอรเนต ระบบอเมล หรอระบบงานตาง ๆ

6.1.8.2 ยนค าขอกบผอ านวยการศนยสารสนเทศ หรอเจาหนาทศนยสารสนเทศผทไดรบมอบหมาย

6.1.9 การใหสทธการใชงานระบบเทคโนโลยสารสนเทศ 6.1.9.1 ผดแลระบบตรวจสอบขอมลในแบบฟอรม ซงขอมลจะตองครบถวนทงหมด

พรอมทงตองมลายเซนของผขอเขาใชงานระบบ ลายเซนของบคคลผมสทธอนญาตในการลงทะเบยนผใชงานระบบเทคโนโลยสารสนเทศ

6.1.9.2 ผดแลระบบตรวจสอบความซ าซอนของบญชผใชงาน 6.1.9.3 ผดแลระบบใหสทธการใชงานระบบตามค าขอในแบบฟอรม

6.1.10 การแจงยกเลกสทธการใชงานระบบเทคโนโลยสารสนเทศ 6.1.10.1 หวหนางานหรอผบงคบบญชา กรอกขอมลลงในแบบฟอรม และยนค าขอ

กบผอ านวยการศนยสารสนเทศ 6.1.10.2 ผดแลระบบยกเลกสทธการใชงานระบบตามค าขอในแบบฟอรม และลบชอ

ผใชงานออกจากระบบงานทเกยวของทงหมด 6.2 ก าหนดสทธการใชระบบเทคโนโลยสารสนเทศทส าคญ เชน ระบบคอมพวเตอรโปรแกรมประยกต

(Application) จดหมายอเลกทรอนกส (E-mail) ระบบเครอขายไรสาย (Wireless LAN) ระบบอนเตอรเนต เปนตน โดยตองใหสทธเฉพาะการปฏบตงานในหนาทและตองไดรบความเหนชอบ จากผดแลระบบเปนลายลกษณอกษร รวมทงตองทบทวนสทธดงกลาวอยางสม าเสมอ

6.3 ผใช ตองลงนามรบทราบสทธและหนาทเกยวกบการใชงานระบบเทคโนโลยสารสนเทศ เปนลายลกษณอกษร และตองปฏบตตามอยางเครงครด

6.4 การบรหารจดการสทธการใชงานระบบและรหสผาน 6.4.1 ผดแลระบบ ทรบผดชอบระบบงานนน ๆ ตองก าหนดสทธของเจาหนาทในการเขาถงระบบ

เทคโนโลยสารสนเทศแตละระบบ รวมทงก าหนดสทธแยกตามหนาททรบผดชอบ 6.4.2 การก าหนด การเปลยนแปลงและการยกเลกรหสผาน ตองปฏบตตาม “การบรหารจดการ

สทธการใชงานระบบและรหสผาน” 6.4.3 การสงรหสผานชวคราวใหกบผใชควรใชวธการทปลอดภย ควรหลกเลยงการใชบคคลทสาม

หรอการสงจดหมายอเลกทรอนกสทไมมการปองกนในการสงรหสผาน 6.4.4 ควรก าหนดใหผใชตอบยนยนการไดรบรหสผาน 6.4.5 ควรก าหนดใหผใชงานไมบนทกหรอเกบรหสผานไวในระบบคอมพวเตอรในรปแบบทไมได

ปองกนการเขาถง 6.4.6 การก าหนดชอผใชหรอรหส ID ตองเปนหนงเดยวคอไมซ ากน


6.4.7 กรณมความจ าเปนตองใหสทธพเศษกบผใช หมายถง ผใชทมสทธสงสด ตองมการพจารณาการควบคมผใชทมสทธพเศษนนอยางรดกมเพยงพอโดยใชปจจยตอไปนประกอบการพจารณา 6.4.7.1 ควรไดรบความเหนชอบและอนมตจากผดแลระบบงานนน ๆ 6.4.7.2 ควรควบคมการใชงานอยางเขมงวด เชน ก าหนดใหมการควบคมการใชงาน

เฉพาะกรณจ าเปนเทานน 6.4.7.3 ควรก าหนดระยะเวลาการใชงานและระงบการใชงานทนทเมอพนระยะเวลา

ดงกลาว 6.4.7.4 ควรมการเปลยนรหสผานอยางเครงครด เชน ทกครงหลงหมดความจ าเปน

ในการใชงาน หรอในกรณทมความจ าเปนตองใชงานเปนระยะเวลานาน ควรเปลยนรหสผานทก 3 เดอน เปนตน

6.4.8 สทธพเศษควรไดรบการมอบหมายใหกบรหสผใชทตางจากรหสผใชทใชงานตามปกต 6.5 การบรหารจดการการเขาถงขอมลตามระดบชนความลบ

6.5.1 ผดแลระบบตองบรหารจดการการเขาถงขอมลตามประเภทชนความลบ ในการควบคมการเขาถงขอมลแตละประเภทชนความลบ ทงการเขาถงโดยตรงและการเขาถงผานระบบงาน ระยะเวลาในการเขาถง ชองทางในการเขาถง รวมถงวธการท าลายขอมลแตละประเภทชนความลบ ดงตอไปน 6.5.1.1 ตองควบคมการเขาถงขอมลแตละประเภทชนความลบทงการเขาถงโดยตรง

และการเขาถงผานระบบงาน 6.5.1.2 ตองก าหนดรายชอผใช (Username) และรหสผาน (Password) เพอใชในการ

ตรวจสอบตวตนจรงของผใชขอมลในแตละชนความลบของขอมล 6.5.1.3 ควรก าหนดระยะเวลาการใชงานและระงบการใชงานทนทเมอพนระยะเวลา

ดงกลาว 6.5.1.4 การรบ-สงขอมลส าคญผานระบบเครอขายสาธารณะ ควรไดรบการเขารหส

(Encryption) ทเปนมาตรฐานสากล เชน SSL VPN หรอ XML Encryption เปนตน

6.5.1.5 ควรก าหนดการเปลยนรหสผาน ตามระยะเวลาทก าหนดของระดบความส าคญของขอมล

6.5.1.6 ควรก าหนดมาตรการรกษาความมนคงปลอดภยของขอมลในกรณทน าเครองคอมพวเตอรออกนอกพนทของหนวยงาน เชน สงเครองคอมพวเตอรไปตรวจซอม ควรส ารองและลบขอมลทเกบอยในสอบนทกกอน เปนตน

6.5.2 ผใชสามารถน าการเขารหสมาใชกบขอมลทเปนความลบ โดยใหปฏบตตามระเบยบการรกษาความลบทางราชการ พ.ศ. 2544

6.5.3 เจาของขอมล จะตองมการสอบทานความเหมาะสมของสทธในการเขาถงขอมลอยางนอยปละ 4 ครง เพอใหมนใจไดวาสทธตาง ๆ ทใหไวยงคงมความเหมาะสม


6.6 การบรหารจดการชอผใชงานและรหสผาน 6.6.1 ผดแลระบบตองก าหนดรหสผานเรมตนใหกบผใชงาน หรอใชระบบการก าหนดรหสผาน

อตโนมต 6.6.2 ผดแลระบบมการก าหนดระยะเวลาการเปลยนรหสผาน โดยพจารณาจากล าดบชน

ความลบของขอมล หรอความส าคญตามภารกจ และรหสผานทก าหนดใหม ตองไมซ ากบรหสผานเดม

6.6.3 ผใชงานทไดรบรหสผานในครงแรกหรอไดรบรหสผานใหม ควรเปลยนรหสผานทไดรบ โดยทนท

6.6.4 ผใชงานตองก าหนดรหสผานและเปลยนรหสผานของตนเองในการใชงานตามหลกเกณฑ ซงผดแลระบบก าหนด และตองยนยอมใหผดแลระบบด าเนนการใด ๆ เพอใหเกดความมนคงปลอดภยของระบบเทคโนโลยสารสนเทศ

6.6.5 ผใชงานตองเกบรกษารหสผานใหเปนความลบ และระมดระวงปองกนรหสผานของตนเองในการใชงานไมใหรวไหลไปยงผอน และไมมอบใหผอนน าไปใชไมวาดวยเหตใด ๆ ทงสน เวนแต กรณผใชงานทมอ านาจอนมตใด ๆ ในระบบเทคโนโลยสารสนเทศไมสามารถปฏบตราชการอนจะเปนเหตใหระบบเทคโนโลยสารสนเทศไมสามารถด าเนนการตอไปได ใหแตงตงผปฏบตงานแทนในชวงเวลาดงกลาวเพอใชเปนหลกฐานในการตรวจสอบการใชสทธ และหลงจากผปฏบตงานแทนด าเนนการเรยบรอยแลวใหผใชงานซงเปนเจาของรหสผานท าการเปลยนรหสผานโดยทนท

6.6.6 ก าหนดใหรหสผานตองมมากกวาหรอเทากบ ๘ ตวอกษร (โดยมการผสมกนระหวางตวอกษรทเปนตวพมพปกต ตวเลข และสญลกษณเขาดวยกน)

6.6.7 ไมควรก าหนดรหสผานอยางเปนแบบแผน เชน “abcdef” “aaaaaa” “๑๒๓๔๕” 6.6.8 ไมควรก าหนดรหสผานทเกยวของกบผใชงาน เชน ชอสกล วน เดอน ปเกด ทอย 6.6.9 ไมควรก าหนดรหสผานเปนค าศพททอยในพจนานกรม 6.6.10 ก าหนดจ านวนครงทยอมใหผใชงานใสรหสผานผด ไมเกน ๓ ครง 6.6.11 ไมใชรหสผานสวนบคคลส าหรบการใชแฟมขอมลรวมกบบคคลอน ผานเครอขาย

คอมพวเตอร 6.6.12 ไมใชโปรแกรมคอมพวเตอรชวยในการจ ารหสผานสวนบคคลอตโนมต 6.6.13 ไมจดหรอบนทกรหสผานสวนบคคลไวในสถานททงายตอการสงเกตเหนของบคคลอน 6.6.14 ในกรณทไมใชระบบเทคโนโลยสารสนเทศ ใหผใชงานออกจากระบบ (Log off) ทนท

เพอปองกนบคคลอนมาใชระบบเทคโนโลยสารสนเทศตอเนอง และหากสงสยวารหสผานเกดการรวไหลตองเปลยนรหสผานทนท

6.6.15 เมอมปญหาการใชงานชอผใชงานและรหสผาน ใหตดตอผดแลระบบ เชน ลมชอผใชงานหรอรหสผาน

6.6.16 การสงมอบรหสผานใหกบผใชงานตองเปนไปอยางปลอดภย โดยใสซองปดผนก และประทบตรา“ลบ” และสงไปยงผใชงาน และแนบเอกสาร “แนวปฏบตส าหรบการบรหารจดการชอผใชงานและรหสผาน”รวมทงแจงใหผใชงานปฏบตตามระเบยบดงกลาวโดยเครงครด


6.7 การใชงานรหสผาน 6.7.1 เกบรหสผานไวเปนความลบ 6.7.2 หลกเลยงการบนทกรหสผาน (เชน บนทกลงในกระดาษ ในแฟมขอมล หรอในอปกรณ

พกพกตาง ๆ) นอกจากวาจะเปนการบนทกอยางปลอดภยและวธการในการบนทกไดรบการอนมตแลว

6.7.3 เปลยนรหสผานทกครงทมสญญาณบอกเหตวารหสผานอาจรวไหลได 6.7.4 ก าหนดรหสผานทมคณภาพและมความยาวเพยงพอ ส าหรบ

6.7.4.1 งายส าหรบจดจ า 6.7.4.2 ไมอยบนพนฐานของสงทคนอนสามารถคาดเดาไดงายหรอสามารถหาไดจาก

ขอมลเกยวกบตน เชน ชอ หมายเลขโทรศพท และวนเกด เปนตน 6.7.4.3 ไมสรางจดออนโดยการใชค าทอยในพจนานกรม 6.7.4.4 ไมมค าซ าหรอตวอกษรซ า ไมควรเปนตวเลขทงหมด หรอไมควรเปนตวอกษร

ทงหมด 6.7.5 เปลยนรหสผานอยางสม าเสมออยางนอยตามชวงเวลาทก าหนด หรอขนอยกบจ านวนการ

เขาถงระบบ (รหสผานส าหรบผใชทไดสทธพเศษควรไดรบการเปลยนแปลงบอยกวาปกต) และหลกเลยงการวนใชรหสผานเดมทเคยใชแลว

6.7.6 ก าหนดใหเปลยนแปลงรหสผานชวคราวทนททเขาใชงานเปนครงแรก 6.7.7 ไมเกบรหสผานไวในโปรแกรมหรอกระบวนการ Login อตโนมต 6.7.8 ไมใชรหสผานรวมกบผอน 6.7.9 ไมใชรหสผานเดยวกนในกรณใชในการปฏบตงานและในกรณใชสวนตว 6.7.10 ถาผใชจ าเปนตองเขาถงขอมลหรอบรการจากหลายระบบ และจ าเปนตองดแลจดจ า

รหสผานหลายตว ควรแนะน าใหใชรหสผานเดยวกนทมคณภาพขางตน ส าหรบการเขาถงทกระบบ ซงระบบเหลานนควรมการรกษาความมนคงปลอดภยในระดบท เชอถอได

6.8 การทบทวนสทธการเขาถงของผใชงาน 6.8.1 สทธการเขาถงขอมลของผใชควรไดรบการพจารณาทบทวนอยางสม าเสมอตามชวง

ระยะเวลาทก าหนด เชน ทก ๆ 6 เดอน และทกครงทมการปรบเปลยน เชน การยาย หนวยงาน การเลอนต าแหนง การเปลยนหนาทรบผดชอบ หรอการยกเลกการจาง เปนตน

6.8.2 สทธการเขาถงขอมลควรไดรบการทบทวนและจดสรรใหมเมอมการเคลอนยายบคลากรภายในองคกร

6.8.3 การใหอ านาจส าหรบสทธการเขาถงพเศษ ควรมการทบทวนบอยกวา เชน ท าทก 3 เดอนเปนตน

6.8.4 การจดสรรสทธพเศษควรไดรบการตรวจสอบอยางสม าเสมอตามชวงระยะเวลาทก าหนดเพอใหมนใจไดวาไมมการไดสทธพเศษกบผใชทไมไดรบมอบอ านาจ

6.8.5 ความเปลยนแปลงของผใชทไดรบสทธพเศษควรถกบนทกเพอการทบทวน 6.9 การปองกนอปกรณในขณะทไมมผใชงานทอปกรณ

6.9.1 ผดแลระบบ ตองก าหนดใหผใชงานออกจากระบบเทคโนโลยสารสนเทศ ระบบงาน เครองคอมพวเตอรทใชงาน หรอเครองคอมพวเตอรพกพา โดยทนทเมอเสรจสนงาน


6.9.2 ผใชงาน ตองลอคอปกรณทส าคญเมอไมไดใชงานหรอปลอยทงไวโดยไมไดดแลชวคราว 6.9.3 ผดแลระบบ ตองก าหนดใหพนกงานปองกนผอนเขาใชเครองคอมพวเตอรหรอระบบ

เทคโนโลยสารสนเทศของตนโดยใสรหสผานไดถกตองกอนเขาใชงานเครองคอมพวเตอร 7. แนวปฏบตการบรหารจดการการเขาถงระบบเครอขาย

7.1 ผดแลระบบ ตองมการออกแบบระบบเครอขายตามกลมของบรการระบบเทคโนโลยสารสนเทศ ทมการใชงาน กลมของผใช และกลมของระบบสารสนเทศ เชน โซนภายใน (Internal Zone) โซนภายนอก (External Zone) เปนตน เพอท าใหการควบคม และปองกนการบกรกไดอยางเปนระบบ

7.2 การเขาสระบบเครอขายภายในขององคกร โดยผานทางอนเตอรเนตหรออนทราเนต จะตองไดรบการอนมตเปนลายลกษณอกษรจากผอ านวยการศนยสารสนเทศ กอนทจะสามารถใชงานได ในทกกรณ

7.3 ผดแลระบบ ตองมวธการจ ากดสทธการใชงานเพอควบคมผใชใหสามารถใชงานเฉพาะเครอขาย ทไดรบอนญาตเทานน

7.4 ผดแลระบบ ควรมวธการจ ากดเสนทางการเขาถงเครอขายทมการใชงานรวมกน 7.5 ผดแลระบบ ควรจดใหมวธเพอจ ากดการใชเสนทางบนเครอขาย (Enforced Path) จากเครองลกขาย

ไปยงเครองแมขาย เพอไมใหผใชสามารถใชเสนทางอน ๆ ได 7.6 ตองก าหนดบคคลทรบผดชอบในการก าหนด แกไข หรอเปลยนแปลงคา Parameter ตาง ๆ

ของระบบเครอขายและอปกรณตาง ๆ ทเชอมตอกบระบบเครอขายอยางชดเจน และควรม การทบทวนการก าหนดคา parameter ตาง ๆ อยางนอยปละครง นอกจากน การก าหนดแกไข หรอเปลยนแปลงคา Parameter ควรแจงบคคลทเกยวของใหรบทราบทกครง

7.7 ระบบเครอขายทงหมดขององคกรทมการเชอมตอไปยงระบบเครอขายอน ๆ ภายนอกองคกร ควรเชอมตอผานอปกรณปองกนการบกรกหรอโปรแกรมในการท า Packet Filtering เชน การใช Firewall หรอ Hardware อน ๆ รวมทงตองมความสามารถในการตรวจมลแวร (Malware) ดวย

7.8 ตองมการตดตงระบบตรวจจบการบกรก (IPS/IDS) เพอตรวจสอบการใชงานของบคคลทเขาใชงานระบบเครอขายขององคกรในลกษณะทผดปกตผานระบบเครอขาย โดยมการตรวจสอบการบกรกผานระบบเครอขาย การใชงานในลกษณะทผดปกตและการแกไขเปล ยนแปลงระบบเครอขาย โดยบคคลทไมมอ านาจหนาทเกยวของ

7.9 การเขาสระบบงานเครอขายภายในองคกร โดยผานทางอนเตอรเนตจ าเปนตองมการ Login และตองมการพสจนยนยนตวตน (Authentication) เพอตรวจสอบความถกตอง

7.10 IP address ภายในของระบบงานเครอขายภายในขององคกร จ าเปนตองมการปองกนมใหหนวยงานภายนอกทเชอมตอสามารถมองเหนได เพอเปนการปองกนไมใหบคคลภายนอกสามารถรขอมลเกยวกบโครงสรางของระบบเครอขายและสวนประกอบของศนยสารสนเทศและการสอสารไดโดยงาย

7.11 ตองจดท าแผนผงระบบเครอขาย (Network Diagram) ซงมรายละเอยดเกยวกบขอบเขตของเครอขายภายในและเครอขายภายนอก และอปกรณตาง ๆ พรอมทงปรบปรงใหเปนปจจบน อยเสมอ

7.12 การใชเครองมอตาง ๆ (Tools) เพอการตรวจสอบระบบเครอขาย ควรไดรบการอนมตจากผดแลระบบ และจ ากดการใชงานเฉพาะเทาทจ าเปน

7.13 การตดตงและการเชอมตออปกรณเครอขายจะตองด าเนนการโดยเจาหนาทศนยสารสนเทศเทานน


8. แนวปฏบตการบรหารจดการระบบคอมพวเตอรแมขาย 8.1 ควรก าหนดบคคลทรบผดชอบในการดแลระบบคอมพวเตอรแมขาย (Server) ในการก าหนดแกไข

หรอเปลยนแปลงคาตาง ๆ ของโปรแกรมระบบ (System Software) อยางชดเจน 8.2 ตองมขนตอนหรอวธปฏบตในการตรวจสอบระบบคอมพวเตอรแมขายและในกรณทพบวามการใช

งานหรอเปลยนแปลงคาในลกษณะผดปกต จะตองด าเนนการแกไข รวมทงมการรายงานโดยทนท 8.3 ตองเปดใชบรการ (Service) เทาทจ าเปนเทานน เชน บรการ Telnet Ftp หรอ Ping เปนตน ทงน

หากบรการทจ าเปนตองใชมความเสยงตอระบบรกษาความปลอดภยแลว ตองมมาตรการปองกนเพมเตมดวย

8.4 ควรด าเนนการตดตงอพเดตระบบซอฟตแวรใหเปนปจจบน เพออดชองโหวตาง ๆ ของโปรแกรมระบบ (System Software) อยางสม าเสมอ เชน Web Server เปนตน

8.5 ควรมการทดสอบโปรแกรมระบบ (System Software) เกยวกบการรกษาความปลอดภย และประสทธภาพการใชงานโดยทวไปกอนตดตงและหลงจากการแกไขหรอบ ารงรกษา

8.6 การตดตงและการเชอมตอระบบคอมพวเตอรแมขายจะตองด าเนนการโดยเจาหนาทศนยสารสนเทศเทานน

9. แนวปฏบตการบรหารจดการการบนทกและตรวจสอบ 9.1 ควรก าหนดใหมการบนทกการท างานของระบบคอมพวเตอรแมขายและเครอขายบนทกการ

ปฏบตงานของผใชงาน (Application Logs) และบนทกรายละเอยดของระบบปองกนการบกรก เชน บนทกการเขา-ออกระบบ บนทกการพยายามเขาสระบบ บนทกการใชงาน Command Line และ Firewall Log เปนตน เพอประโยชนในการใชตรวจสอบและตองเกบบนทกดงกลาวไว อยางนอย 3 เดอน

9.2 ควรมการตรวจสอบบนทกการปฏบตงานของผใชงานอยางสม าเสมอ 9.3 ตองมวธการปองกนการแกไขเปลยนแปลงบนทกตาง ๆ และจ ากดสทธการเขาถงบนทกเหลานน

ใหเฉพาะบคคลทเกยวของเทานน 10. แนวปฏบตการควบคมการเขาใชงานระบบจากภายนอกศนยสารสนเทศ

ตองก าหนดใหมการควบคมการใชงานระบบทผดแลระบบไดตดตงไวภายในองคกร เพอดแลรกษาความปลอดภยของระบบจากภายนอก โดยมแนวทางปฏบต ดงน 10.1 การเขาสระบบจากระยะไกล (Remote Access) สระบบเครอขายคอมพวเตอรขององคกร

กอใหเกดชองทางทมความเสยงสงตอความปลอดภยของขอมลและทรพยากรขององคกร การควบคมบคคลทเขาสระบบขององคกรจากระยะไกลจงตองมการก าหนดมาตรการการรกษาความปลอดภยทเพมขนจากมาตรฐานการเขาสระบบภายใน

10.2 วธการใด ๆ กตามทสามารถเขาสขอมลหรอระบบขอมลได จากระยะไกลตองไดรบการอนมต จากผอ านวยการศนยสารสนเทศกอน และมการควบคมอยางเขมงวดกอนน ามาใชและผใชตองปฏบตตามขอก าหนดของการเขาสระบบและขอมลอยางเครงครด

10.3 กอนท าการใหสทธในการเขาสระบบจากระยะไกล ผใชตองแสดงหลกฐานระบเหตผล หรอความจ าเปนในการด าเนนงานกบองคกรอยางเพยงพอและตองไดรบอนมตจากผมอ านาจอยางเปนทางการ

10.4 ตองมการควบคมพอรต (Port) ทใชในการเขาสระบบอยางรดกม


10.5 การอนญาตใหผใชเขาสระบบจากระยะไกล ตองอยบนพนฐานของความจ าเปนเทานน และไมควรเปด Port และ Modem ทใชทงเอาไวโดยไมจ าเปน ชองทางดงกลาวควรตด การเชอมตอเมอไมไดใชงานแลว และจะเปดใหใชไดตอเมอมการรองขอทจ าเปนเทานน

11. แนวปฏบตการพสจนตวตนส าหรบผใชทอยภายนอก ผใชระบบทกคนเมอจะเขาใชงานระบบ ไมวาจะเปนการเขาสระบบสารสนเทศทางอนเตอรเนต

หรอการเขาสระบบจากระยะไกล (Remote Access) จะตองผานการพสจนตวตนจากระบบขององคกร อยางนอย 1 วธ ส าหรบในทางปฏบตจะแบงออกเปนสองขนตอน คอ

1. การแสดงตวตน (Identification) คอ ขนตอนปอนชอผใช (Username) 2. การพสจนยนยนตวตน (Authentication) คอ ขนตอนปอนรหสผาน (Password)


สวนท 4 นโยบายการควบคมหนวยงานภายนอกเขาถงระบบเทคโนโลยสารสนเทศ

(Third Party Access Control Policy)

1. วตถประสงค การใชบรการจากหนวยภายนอกอาจกอใหเกดความเสยงได เชน ความเสยงตอการเขาถงขอมล

ความเสยงตอการถกแกไขขอมลอยางไมถกตอง และการประมวลผลของระบบงานโดยไมไดรบอนญาต เปนตน เพอใหการควบคมหนวยงานภายนอกทมการเขาใชงานระบบเทคโนโลยสารสนเทศขององคกร ใหเปนไปอยางมนคงปลอดภยและก าหนดแนวทางในการคดเลอก ควบคมการปฏบตงานของหนวยงานภายนอก เชน การพฒนาระบบการใชบรการของทปรกษา การใชบรการดานระบบเทคโนโลยสารสนเทศจากหนวยงานภายนอก เปนตน


3. แนวปฏบตทวไป 3.1 ผอ านวยการศนยสารสนเทศตองก าหนดใหมการประเมนความเสยงจากการเขาถงระบบเทคโนโลย

สารสนเทศ หรออปกรณทใชในการประมวลผลโดยหนวยงานภายนอก และก าหนดมาตรการรองรบหรอแกไขทเหมาะสมกอนทจะอนญาตใหเขาถงระบบเทคโนโลยสารสนเทศได

3.2 การควบคมการเขาใชงานระบบเทคโนโลยสารสนเทศของหนวยงานภายนอก 3.2.1 บคคลภายนอกทตองการสทธในการเขาใชงานระบบเทคโนโลยสารสนเทศขององคกร

จะตองท าเรองขออนญาตเปนลายลกษณอกษร เพอขออนมตจากผอ านวยการศนยสารสนเทศ 3.2.2 จดท าเอกสารแบบฟอรมส าหรบใหหนวยงานภายนอกท าการระบเหตผลความจ าเปนทตอง

เขาใชงานระบบเทคโนโลยสารสนเทศ ซงตองมรายละเอยดอยางนอย ดงน 3.2.2.1 เหตผลในการขอใช 3.2.2.2 ระยะเวลาในการใช 3.2.2.3 การตรวจสอบความปลอดภยของอปกรณทเชอมตอเครอขาย 3.2.2.4 การตรวจสอบ MAC Address ของเครองคอมพวเตอรทเชอมตอ 3.2.2.5 การก าหนดการปองกนในเรองการเปดเผยขอมล

3.2.3 หนวยงานภายนอกทท างานใหกบองคกรทกหนวยงาน ไมวาจะท างานอยภายในองคกรหรอนอกสถานท จ าเปนตองลงนามในสญญาการไมเปดเผยขอมลขององคกร โดยสญญาตองจดท าใหเสรจกอนใหสทธในการเขาสระบบเทคโนโลยสารสนเทศ

3.2.4 องคกรควรพจารณาการเขาไปประเมนความเสยงหรอจดท าการควบคมภายในของหนวยงานภายนอก ทงน ขนอยกบความส าคญของระบบเทคโนโลยสารสนเทศทเขาไปปฏบตงาน

3.2.5 เจาของโครงการซงรบผดชอบตอโครงการทมการเขาถงขอมลโดยหนวยงานภายนอก ตองก าหนดการเขาใชงานเฉพาะบคคลทจ าเปนเทานนและใหหนวยงานภายนอกลงนาม ในสญญาไมเปดเผยขอมล


3.2.6 ส าหรบโครงการขนาดใหญ หนวยงานภายนอกทสามารถเขาถงขอมลทมความส าคญ ขององคกร ผดแลระบบตองควบคมการปฏบตงานนน ๆ ใหมความมนคงปลอดภย ทง 3 ดาน คอ การรกษาความลบ (Confidentially) การรกษาความถกตองของขอมล (Integrity) และการรกษาความพรอมทจะใหบรการ (Availability)

3.2.7 องคกรมสทธในการตรวจสอบตามสญญาการใชงานระบบเทคโนโลยสารสนเทศ เพอใหมนใจวา องคกรสามารถควบคมการใชงานไดอยางทวถงตามสญญานน

3.2.8 ควรด าเนนการใหผใหบรการหนวยงานภายนอกจดท าแผนการด าเนนงาน คมอการปฏบตงานและเอกสารทเกยวของ รวมทงมการปรบปรงใหทนสมยอยเสมอเพอควบคมหรอตรวจสอบการใหบรการของผใหบรการไดอยางเขมงวด เพอใหมนใจไดวาเปนไปตามขอบเขตทไดก าหนดไว


สวนท 5 นโยบายการควบคมการเขาถงและใชบรการระบบเครอขาย

(Network Access Control)

1. วตถประสงค เพอก าหนดมาตรการควบคมปองกนมใหบคคลทไมมอ านาจหนาทเกยวของในการปฏบตหนาท

เขาถงลวงร แกไข เปลยนแปลงระบบเครอขายและการสอสารทส าคญ ซงจะท าใหเกดความเสยหาย ตอขอมลและระบบสารสนเทศขององคกร โดยมการก าหนดนโยบายและแนวปฏบตควบคมการเขาใชงานเครอขายทแตกตางกนของกลมเครอขายตาง ๆ ตามการแบงแยกเครอขายเปน VLAN


3. แนวปฏบตการควบคมการเขาถงและใชบรการระบบเครอขาย 3.1 การใชงานบรการเครอขาย

3.1.1 หามผใชงานกระท าการใด ๆ เกยวกบขอมลทเปนการขดตอกฎหมายหรอศลธรรมอนด แหงสาธารณชน โดยผใชงานรบรองวาหากมการกระท าการใด ๆ ดงกลาว ยอมถอวา อยนอกเหนอ ความรบผดชอบขององคกร

3.1.2 องคกรไมอนญาตใหผใชงานกระท าการใด ๆ ทเขาขายลกษณะเพอการคาหรอการแสวงหาผลก าไรผานเครองคอมพวเตอรและเครอขาย เชน การประกาศแจงความการซอ หรอการจ าหนายสนคาการน าขอมลไปซอขาย การรบบรการคนหาขอมลโดยคดคาบรการ การให บรการโฆษณาสนคา หรอการเปดบรการอนเทอรเนตแกบคคลทวไปเพอแสวงหาก าไร

3.1.3 ผใชงานตองไมละเมดตอผอน คอ ผใชงานตองไมอาน เขยน ลบ เปลยนแปลงหรอแกไขใด ๆ ในสวนทมใชของตนโดยไมไดรบอนญาต การบกรก (Hack) เขาสบญชผใชงาน (User Account) ของผอน การเผยแพรขอความใด ๆ ทกอใหเกดความเสยหายเสอมเสยแกผอน การใชภาษาไมสภาพหรอการเขยนขอความทท าใหผอนเสยหาย ถอเปนการละเมดสทธของผอนทงสน ผใชงานตองรบผดชอบแตเพยงฝายเดยว องคกรไมมสวนรวมรบผดชอบความเสยหายดงกลาว

3.1.4 หามมใหผใดเขาใชงานโดยมไดรบอนญาต การบกรกหรอพยายามบกรกเขาสระบบถอวาเปนการพยายามรกล าเขตหวงหามของทางราชการ

3.1.5 องคกรใหบญชผใชงาน (User Account) เปนการเฉพาะบคคลเทานน ผใชงานจะโอน หรอจายแจกสทธนใหกบผอนไมได

3.1.6 บญชผใชงาน (User Account) ทองคกรใหกบผใชงานนน ผใชงานตองเปนผรบผดชอบผลตาง ๆ อนอาจจะเกดมขน รวมถงผลเสยหายตาง ๆ ทเกดจากบญชผใชงาน (User Account) นน ๆ เวนแตจะพสจนไดวาผลเสยหายนนเกดจากการกระท าของผอน

3.1.7 ก าหนดใหผใชงานสามารถเขาถงระบบสารสนเทศไดแตเพยงบรการทไดรบอนญาต ใหเขาถงเทานน

3.1.8 หามเปดหรอใชงานโปรแกรมประเภท Peer-to-Peer หรอโปรแกรมทมความเสยง เวนแตจะไดรบอนญาตจากผบงคบบญชา


3.1.9 หามเปดหรอใชงานโปรแกรมออนไลนทกประเภท เพอความบนเทง ในระหวางปฏบตงาน 3.2 การยนยนตวบคคลส าหรบผใชงานทอยภายนอกหนวยงาน

จะตองมขอปฏบตหรอกระบวนการใหมการยนยนตวบคคลกอนทจะอนญาตใหผใชงาน ทอยภายนอกหนวยงานสามารถเขาใชงานเครอขายและระบบสารสนเทศของหนวยงานได ดงน

3.2.1 ผใชงานทจะเขาใชงานระบบตองแสดงตวตน (Identification) ดวยชอผใชงาน (Username) ทกครง

3.2.2 ใหมการตรวจสอบผใชงานทกครงกอนทจะอนญาตใหเขาถงระบบขอมล โดยจะตองมวธการยนยนตวบคคล (Authentication) เพอแสดงวาเปนผใชงานตวจรง เชน การใชรหสผาน (Password) หรอการใชสมารทการด เปนตน

3.2.3 จะตองมวธการในการตรวจสอบเพอพสจนตวตน ส าหรบการเขาสระบบสารสนเทศ ของหนวยงาน อยางนอย 1 วธ

3.2.4 ตองมการตรวจสอบผใชงานเมอมเขาสระบบสารสนเทศของหนวยงานจากอนเทอรเนต 3.3 ผดแลระบบหองควบคมระบบเครอขายและเจาหนาทองคกรมแนวทางปฏบตดงน

3.3.1 ผดแลระบบหองควบคมระบบเครอขายตองท าการก าหนดสทธบคคลในการเขา-ออกหองควบคมระบบเครอขายโดยเฉพาะบคคลทปฏบตหนาทเกยวของภายใน เชน เจาหนาทปฏบตงานคอมพวเตอร และเจาหนาทผดแลระบบ เปนตน

3.3.2 สทธในการเขา-ออกหองตาง ๆ ภายในหองควบคมระบบเครอขายของเจาหนาทแตละคน ตองไดรบการอนมตจากหวหนากลมคอมพวเตอรและเทคโนโลยเครอขาย เปนลายลกษณอกษร โดยสทธของเจาหนาทแตละคนขนอยกบหนาทการปฏบตงานภายหองควบคมระบบเครอขาย

3.3.3 ตองจดท าระบบเกบบนทกการเขา-ออกองคกร ตามกระบวนการทระบไวในเอกสาร“แบบฟอรมการเขา-ออกพนท”

3.3.4 กรณเจาหนาททไมมหนาทเกยวของประจ ามความจ าเปนตองเขา-ออกหองควบคมระบบเครอขายกตองมการควบคมอยางรดกม

3.3.5 การเขาถงหองควบคมระบบเครอขายตองมการลงบนทกตามแบบฟอรมทระบไวในเอกสาร “แบบฟอรมการเขา-ออกพนท”

3.4 ผตดตอจากหนวยงานภายนอกมแนวทางปฏบตดงน 3.4.1 ผตดตอจากหนวยงานภายนอกทกคนตองท าการลงบนทกขอมลลงในสมดบนทกตามทระบ

ไวในเอกสาร“แบบฟอรมการเขา-ออกพนท” 3.4.2 ผตดตอจากหนวยงานภายนอกทน าอปกรณคอมพวเตอร หรออปกรณทใชในการ

ปฏบตงานภายในองคกร มาปฏบตงานทหองควบคมระบบเครอขาย ตองลงบนทกรายการอปกรณในแบบฟอรมการขออนญาตเขา-ออก ตามทระบไวในเอกสาร“แบบฟอรมการเขา-ออกพนท ” ใหถกตองชดเจน

3.4.3 เจาหนาทควรตรวจสอบความถกตองของขอมลในสมดบนทกเปนประจ าทกเดอน 3.5 การระบอปกรณบนเครอขาย

3.5.1 ผดแลระบบมการเกบบญชการขอเชอมตอเครอขาย ไดแก รายชอผขอใชบรการ รายละเอยดเครองคอมพวเตอรทขอใชบรการ IP Address และสถานทตดตง


3.5.2 กรณอปกรณทมการเชอมตอจากเครอขายภายนอก ตองมการระบหมายเลขอปกรณวาสามารถเขาเชอมตอกบเครอขายภายในไดหรอไมสามารถเชอมตอได

3.5.3 อปกรณเครอขายตองสามารถตรวจสอบ IP Address ของทงตนทางและปลายทางได 3.5.4 ผขอใชบรการตองท าหนงสอเปนลายลกษณอกษรถงผอ านวยการศนยสารสนเทศ

เรอง “การขอเชอมตอเครอขาย” และตองไดรบการอนมตจากผบงคบบญชาตามล าดบชน 3.6 การปองกนพอรตทใชส าหรบตรวจสอบและปรบแตงระบบ

3.6.1 ผดแลระบบตองก าหนดการเปด–ปด พอรตของอปกรณเครอขายเพอควบคมการเขาถงตอพอรตของอปกรณเครอขายตาง ๆ โดยจะปดพอรตทเสยงทจะกอใหเกดความเสยหายตอระบบเครอขาย

3.6.2 บคคลภายนอกเขามาตดตอหรอเขามาด าเนนการใด ๆ ในหองควบคมระบบเครอขาย/ระบบคอมพวเตอร จะตองลงชอเขา-ออกใน “แบบฟอรมการเขา-ออกพนท ” ใหถกตองและไดรบการอนมตจากหวหนากลมคอมพวเตอรและเทคโนโลยเครอขายกอน ซงตองมเจาหนาทอยกบบคคลทมาตดตอตลอดเวลา

3.6.3 บคคลภายนอกเขามาด าเนนการบ ารงรกษา บรหารจดการพอรตของอปกรณ เครอขายหรอบรหารจดการผานระบบเครอขาย ตองไดรบการอนมตจากผบงคบบญชาตามล าดบชน

3.6.4 ตองยกเลกหรอปดพอรตและบรการบนอปกรณเครอขายทไมมความจ าเปนในการใชงาน 3.7 การแบงแยกเครอขาย

3.7.1 องคกรแบงแยกเครอขายเปนเครอขายยอย ๆ ตามอาคารตาง ๆ เพอควบคมการเขาถงเครอขายโดยไมไดรบอนญาต

3.7.2 องคกรจดแบงเครอขายภายในและเครอขายภายนอก เพอความปลอดภยในการใชงานระบบสารสนเทศ

3.7.3 องคกรตดตง Firewall เพอปองกนทางเขาเครอขายจากผไมหวงด 3.8 การการควบคมการเชอมตอทางเครอขาย

ตองควบคมการเขาถงหรอใชงานเครอขายทมการใชรวมกนหรอเชอมตอระหวางใหสอดคลองกบแนวปฏบตการควบคมการเขาถง ดงน

3.8.1 มการตรวจสอบการเชอมตอเครอขาย 3.8.2 จ ากดสทธ ความสามารถของผใชในการเชอมตอเขาสเครอขาย 3.8.3 ระบอปกรณ เครองมอทใชควบคมการเชอมตอเครอขาย 3.8.4 มระบบการตรวจจบผบกรกทงในระดบเครอขาย และระดบเครองคอมพวเตอรแมขาย 3.8.5 ควบคมไมใหมการเปดใหบรการบนเครอขาย โดยไมไดรบอนญาต

3.9 การควบคมการจดเสนทางบนเครอขาย ตองควบคมการจดเสนทางบนเครอขายเพอใหการเชอมตอของคอมพวเตอรและการสงผาน

หรอไหลเวยนของขอมลหรอสารสนเทศสอดคลองกบแนวปฏบตการควบคมการเขาถงหรอการประยกต ใชงานตามภารกจ ดงน

3.9.1 ควบคมไมใหมการเปดเผยแผนการใชหมายเลขเครอขาย (IP Address) 3.9.2 ก าหนดใหมการแปลงหมายเลขเครอขาย เพอแยกเครอขายยอย 3.9.3 ก าหนดมาตรการการบงคบใชเสนทางเครอขาย สามารถเชอมเครอขายปลายทางผานทาง

ทก าหนดไว หรอจ ากดสทธในการใชบรการเครอขาย


สวนท 6 นโยบายการควบคมการเขาถงระบบปฏบตการ

(Operating System Access Control)

1. วตถประสงค เพอใหผใชงานไดรบทราบถงหนาทและความรบผดชอบในการใชระบบปฏบตการ รวมทง

ท าความเขาใจตลอดจนปฏบตตามอยางเครงครด อนจะเปนการปองกนทรพยากรและขอมลของหนวยงานใหมความลบความถกตองและมความพรอมใชงานอยเสมอ


3. แนวปฏบตเพอการเขาใชงานทมนคงปลอดภย

3.1 ผใชงานตองก าหนดรหสผานในการใชงานเครองคอมพวเตอรทรบผดชอบ 3.2 ผใชงานตองตงคาการใชงานโปรแกรมถนอมหนาจอ (Screen Saver) เพอท าการลอคหนาจอภาพ

เมอไมมการใชงาน หลงจากนนเมอตองการใชงานผใชบรการตองใสรหสผาน (Password) เพอเขาใชงาน

3.3 กอนการเขาใชระบบปฏบตการตองใส User และ Password ทกครง 3.4 ผใชงานตองไมอนญาตใหผอนใชชอผใช (Username) และรหสผาน (Password) ของตนในการเขา

ใชงานเครองคอมพวเตอรของหนวยงานรวมกน 3.5 ผใชงานตองท าการลงบนทกออก (Logout) ทนทเมอเลกใชงานหรอไมอยทหนาจอเปนเวลานาน 3.6 หามเปดหรอใชงานโปรแกรมประเภท Peer-to-Peer หรอโปรแกรมทมความเสยง เวนแตจะไดรบ

อนญาตจากผบงคบบญชา 3.7 ซอฟตแวรทองคกรใชมลขสทธ ผใชงานสามารถขอใชงานไดตามหนาทความจ าเปน และหามไมให

ผใชงานท าการตดตงหรอใชงานซอฟตแวรอนใดทไมมลขสทธ หากตรวจพบถอวาเปนความผด สวนบคคล ผใชงานรบผดชอบแตเพยงผเดยว

3.8 ซอฟตแวรทองคกรจดเตรยมไวใหผใชงานถอเปนสงจ าเปน หามมใหผใชงานท าการตดตง ถอดถอนเปลยนแปลง แกไข หรอท าส าเนา เพอน าไปใชงานทอน

3.9 หามใชทรพยากรทกประเภททเปนขององคกรเพอประโยชนทางการคา 3.10 หามผใชงานน าเสนอขอมลทผดกฎหมาย ละเมดลขสทธ แสดงขอความรปภาพไมเหมาะสม

หรอขดตอศลธรรม กรณผใชสรางเวบเพจบนเครอขายคอมพวเตอร 3.11 หามผใชระบบสารสนเทศขององคกร เพอควบคมคอมพวเตอรหรอระบบสารสนเทศภายนอก

โดยไมไดรบอนญาตจากผมอ านาจ 4. แนวปฏบตการระบและยนยนตวตนของผใชงาน (User Identification and Authentication)

4.1 ผใชงานตองท าการพสจนตวตนทกครงกอนใชระบบเทคโนโลยสารสนเทศ เพอปองกนผไมมสทธ เขาใชงานระบบเทคโนโลยสารสนเทศ หากการระบและยนยนตวตนของผใชงานมปญหา หรอเกดความผดพลาด ผใชงานแจงใหผดแลระบบท าการแกไข


4.2 ผใชงานทเปนเจาของบญชผใชบรการ (Account) ตองเปนผรบผดชอบในผลตาง ๆ อนจะเกดขนจากการใชบญชผใชบรการ (Account) ของเครองคอมพวเตอรและระบบเครอขาย เวนแตจะพสจนไดวาผลเสยหายนนเกดจากการกระท าของผอน

4.3 ผใชงานตองเกบรกษาบญชผใชบรการ (Account) ไวเปนความลบและหามเปดเผยตอบคคลอน หามโอน จ าหนาย หรอจายแจกใหผอน โดยไมไดรบอนญาตจากผบงคบบญชา

4.4 ผใชงานตองลงบนทกเขา (Login) โดยใชบญช ผใชบรการ (Account) ของตนเอง และท าการลงบนทกออก (Logout) ทกครง เมอสนสดการใชงานหรอหยดการใชงานชวคราว

5. แนวปฏบตการใชงานโปรแกรมประเภทยทลต (Use of System Utilities) 5.1 มการก าหนดขนตอนปฏบตส าหรบการขออนมตการใชงานโปรแกรมยทลต ระดบสทธของผขอ

อนมตและการระบและพสจนตวตนส าหรบการเขาไปใชงานโปรแกรมยทลต เพอจ ากดและควบคมการใชงาน

5.2 ตองจดเกบโปรแกรมยทลตออกจากซอฟตแวรส าหรบระบบงาน 5.3 มการจ ากดผทไดรบอนญาตใหใชงานโปรแกรมยทลต 5.4 ตองยกเลกหรอลบทงโปรแกรมยทลตและซอฟตแวรทเกยวของกบระบบงานทไมมความจ าเปน

ในการใชงาน รวมทงตองปองกนไมใหผใชงานสามารถเขาถงหรอใชงานโปรแกรมยทลตได 6. แนวปฏบตการหมดเวลาใชงานระบบสารสนเทศ (Session Time-out)

6.1 ตองก าหนดใหระบบเทคโนโลยสารสนเทศ เชน ระบบงาน อปกรณเครอขาย เปนตน มการตด และหมดเวลาการใชงาน รวมถงปดการใชงานดวย หลงจากทไมมกจกรรมการใชงานชวงระยะเวลา ๑๐ นาท

6.2 ตองก าหนดใหระบบเทคโนโลยสารสนเทศท าการลางหนาจอหลงจากทไมมกจกรรมการใชงาน ชวงระยะเวลา ๑๐ นาท เพอปองกนผอนเหนขอมลบนหนาจอ

6.3 ตองก าหนดใหระบบเทคโนโลยสารสนเทศมการตดและหมดเวลาการใชงานทสนขนส าหรบระบบเทคโนโลยสารสนเทศทมความเสยงสง เชน ระบบงบประมาณการเงน ระบบงานเงนเดอน เพอปองกนการเขาถงขอมลโดยไมไดรบอนญาต


สวนท 7 นโยบายการควบคมการเขาถงโปรแกรมประยกตหรอแอพพลเคชนและสารสนเทศ

(Application Information Access Control)

1. วตถประสงค เพอก าหนดมาตรการควบคมบคคลทไมไดอนญาตเขาถงระบบสารสนเทศขององคกร และปองกน

การบกรกผานระบบเครอขายจากผบกรกจากโปรแกรมชดค าสงไมพงประสงคทจะสรางความเสยหาย แกขอมลหรอการท างานของระบบเทคโนโลยสารสนเทศและการสอสารใหหยดชะงกและท าใหสามารถ ตรวจสอบตดตามพสจนตวบคคลทเขาใชงานระบบเทคโนโลยสารสนเทศและการสอสารขององคกร ไดอยางถกตอง


3. แนวปฏบตการจ ากดการเขาถงสารสนเทศ (Information Access Control)

3.1.1 ดแลระบบ (System Administrator) ตองก าหนดการลงทะเบยนบคลากรใหมขององคกร ควรก าหนดใหมขนตอนปฏบตอยางเปนทางการเพอใหมสทธตาง ๆ ในการใชงานตามความจ าเปนรวมทงขนตอนปฏบต ส าหรบการยกเลกสทธการใชงาน เชน การลาออก หรอการเปลยนต าแหนงงานภายในหนวยงาน เปนตน

3.1.2 ผดแลระบบ (System Administrator) ตองก าหนดสทธการใชงานระบบเทคโนโลยสารสนเทศ ทส าคญ เชน ระบบคอมพวเตอรโปรแกรมประยกต (Application) จดหมายอเลกทรอนกส (E-mail) ระบบอนเตอรเนต (Internet) ระบบเครอขายไรสาย (Wireless LAN) เปนตน โดยตองใหสทธเฉพาะการปฏบตงานในหนาทและตองไดรบความเหนชอบจากผบงคบบญชาเปนลายลกษณอกษร รวมทงตองทบทวนสทธดงกลาวอยางสม าเสมอ

3.1.3 ผดแลระบบ (System Administrator) ตองก าหนดระยะเวลาในการเชอมตอระบบสารสนเทศ(Limitation of Connection Time) ทใชในการปฏบตงานระบบสารสนเทศตาง ๆ เมอผใชงานไมมการใชงานระบบสารสนเทศ เกนกวา 10 นาท ระบบจะยตการใชงาน ผใชงานตองท าการ Login เขาระบบสารสนเทศอกครง

3.1.4 ผดแลระบบ (System Administrator) ตองบรหารจดการสทธการใชงานระบบและรหสผาน ของบคลากรดงตอไปน 3.1.4.1 ก าหนดการเปลยนแปลงและการยกเลกรหสผาน (Password) เมอผใชงานระบบ

ลาออก หรอพนจากต าแหนง หรอยกเลกการใชงาน 3.1.4.2 สงมอบรหสผาน (Password) ชวคราวใหกบผใชบรการดวยวธการทปลอดภย

ควรหลกเลยงการใชบคคลอน หรอการสงจดหมายอเลกทรอนกส (E-mail) ทไมม การปองกนในการสงรหสผาน (Password)

3.1.4.3 ก าหนดใหผใชบรการตอบยนยนการไดรบรหสผาน (Password) 3.1.4.4 ก าหนดใหผใชงานไมบนทกหรอเกบรหสผาน (Password) ไวในระบบคอมพวเตอร

ในรปแบบทไมไดปองกนการเขาถง


3.1.4.5 ก าหนดชอผใชหรอรหสผใชงานตองไมซ ากน 3.1.4.6 ในกรณมความจ าเปนตองใหสทธพเศษกบผใชงานทมสทธสงสด ผใชงานนนจะตอง

ไดรบความเหนชอบและอนมตจากผบงคบบญชา โดยมการก าหนดระยะเวลาการใชงานและระงบการใชงานทนทเมอพนระยะเวลาดงกลาวหรอพนจากต าแหนง และมการก าหนดสทธพเศษทไดรบวาเขาถงไดถงระดบใดไดบาง และตองก าหนดใหรหสผใชงานตางจากรหสผใชงานตามปกต

3.1.5 เพอเปนการรกษาความปลอดภยของขอมลอเลกทรอนกส องคกรไดก าหนดชองทางการเขาถงระบบเทคโนโลยสารสนเทศทส าคญทองคกรพฒนาในรปแบบของ Webbase Application โดยเขาถงไดผานระบบเครอขายภายใน ซงสามารถใชงานไดเฉพาะส านกงานทเปนจดเชอมโยงเครอขายดงกลาว

3.1.6 ผดแลระบบ (System Administrator) ตองบรหารจดการการเขาถงขอมลตามประเภทชนความลบในการควบคมการเขาถงขอมลแตละประเภทชนความลบทงการเขาถงโดยตรงและการเขาถงผานระบบงาน รวมถงวธการท าลายขอมลแตละประเภทชนความลบ ดงตอไปน 3.1.6.1 ตองควบคมการเขาถงขอมลแตละประเภทชนความลบทงการเขาถงโดยตรงและการ

เขาถงผานระบบงาน 3.1.6.2 ตองก าหนดรายชอผใช (Username) และรหสผาน (Password) เพอใชในการ

ตรวจสอบตวตนจรงของผใชขอมลในแตละชนความลบของขอมล 3.1.6.3 ก าหนดระยะเวลาการใชงานและระงบการใชงานทนทเมอพนระยะเวลาดงกลาว 3.1.6.4 การรบ-สงขอมลส าคญผานระบบเครอขายสาธารณะ ควรไดรบการเขารหส (Encryption)

ทเปนมาตรฐานสากล เชน SSL VPN หรอ XML Encryption เปนตน 3.1.6.5 ก าหนดการเปลยนรหสผาน (Password) ตามระยะเวลาทก าหนดของระดบ

ความส าคญของขอมล 3.1.6.6 ก าหนดมาตรการรกษาความมนคงปลอดภยของขอมลในกรณทน าเครองคอมพวเตอร

ออกนอกพนทของหนวยงาน เชน สงเครองคอมพวเตอรไปตรวจซอม ตองส ารอง และลบขอมลทเกบอยในสอบนทกกอน เปนตน

4. แนวปฏบตการจ ากดระยะเวลาการเชอมตอระบบเทคโนโลยสารสนเทศ (Limitation of Connection Time)

4.1 ตองก าหนดใหระบบเทคโนโลยสารสนเทศมการจ ากดระยะเวลาการเชอมตอส าหรบการใชงานเพอใหผใชงานสามารถใชงานไดนานทสดภายในระยะเวลาทก าหนดเทานน โดยก าหนดให ใชงานได 1 ชวโมงตอการเชอมตอหนงครง ก าหนดใหใชงานไดเฉพาะในชวงเวลาการท างาน ของส านกงานตามปกตเทานน

4.2 ตองก าหนดใหระบบเทคโนโลยสารสนเทศ เชน ระบบงานทมความส าคญสง ระบบงานทมการใชงานในสถานททมความเสยง (ในทสาธารณะหรอพนทภายนอกองคกร) เปนตน มการจ ากดชวงระยะเวลาการเชอมตอ

4.3 ตองก าหนดใหระบบเทคโนโลยสารสนเทศทตองมการจ ากดชวงระยะเวลาการใชงาน มการระบ และพสจนตวตนเพอเขาใชงานใหมตามชวงระยะเวลาทก าหนดไว ทก ๆ ๑ ชวโมง


5. แนวปฏบตการจดการกบระบบซงไวตอการรบกวน 5.1 ระบบซงไวตอการรบกวน มผลกระทบและมความส าคญสงตอองคกร ไดแก ระบบ GFMIS

หรอระบบการบรหารการเงนการคลงภาครฐแบบอเลกทรอนกส เปนระบบทใชในการปฏบตงานดานการงบประมาณการบญช การจดซอจดจาง การเบกจาย และการบรหารทรพยากร ซงดแลรบผดชอบโดยกรมบญชกลางจะไดรบการแยกออกจากระบบงานอน ๆ ขององคกร

5.2 ระบบซงไวตอการรบกวน ตองมการควบคมสภาพแวดลอมของตนเองโดยเฉพาะ โดยมหองปฏบตงานแยกเปนสดสวน และตองมการก าหนดสทธใหเฉพาะผทมสทธใชระบบเทานน เขาไปปฏบตงานในหองควบคมดงกลาว

6. แนวปฏบตงานจากภายนอกส านกงาน (Teleworking)

6.1 ตองมการก าหนดมาตรการและการเตรยมการตาง ๆ ทจ าเปนกอน ซงรวมถงการเตรยมการปองกนทางกายภาพส าหรบสถานททจะอนญาตการปฏบตงานของผใชงานจากระยะไกล กอนทจะอนญาตใหเรมปฏบตงานจากระยะไกล

6.2 ตองมการก าหนดมาตรการทมความมนคงปลอดภยส าหรบระบบสอสารขอมลระหวางสถานททจะมการปฏบตงานจากระยะไกลและระบบงานตาง ๆ ภายในองคกร กอนทจะอนญาตใหเรมปฏบตงานจากระยะไกล

6.3 ตองก าหนดมาตรการการรกษาความมนคงปลอดภยทางกายภาพส าหรบสถานททจะมการปฏบตงานของผใชงานจากระยะไกล (ซงรวมถงตก อาคาร ส านกงาน และสงแวดลอมภายนอก) เพอปองกนการขโมยอปกรณการเขาถงขอมลโดยไมไดรบอนญาต และการเชอมตอจากระยะไกลโดยผไมประสงคดเพอเขาสระบบงานขององคกร

6.4 ตองก าหนดใหผปฏบตงานจากระยะไกลไมอนญาตใหครอบครวหรอเพอนของตนเขาถงระบบเทคโนโลยสารสนเทศขององคกรในสถานทดงกลาว

6.5 ตองมการก าหนดมาตรการควบคมส าหรบการใชเครอขายจากทบานเพอเขาถงระบบเทคโนโลยสารสนเทศขององคกร รวมทงมาตรการควบคมการใชเครอขายไรสายทบาน

6.6 ตองมการตรวจสอบวาอปกรณทเปนของสวนตวซงใชในการเขาถงระบบเทคโนโลยสารสนเทศ ขององคกรจากระยะไกลมการปองกนไวรสและการใชงานไฟรวอลลตามทองคกรตองการ

6.7 ตองมการจดเตรยมอปกรณส าหรบการปฏบตงานจากระยะไกล การจดเกบขอมล และอปกรณสอสารไวใหกบผปฏบตงานจากระยะไกล

6.8 องคกรไมอนญาตให ใชงานอปกรณทเปนของสวนตวเพอเขาถงระบบเทคโนโลยสารสนเทศ ขององคกรจากระยะไกล ถาอปกรณดงกลาวไมอยภายใตการควบคมหรอดแลโดยองคกร

6.9 องคกรตองก าหนดชนดของงานทอนญาตและไมอนญาตใหท าส าหรบการปฏบตงานจากระยะไกลชวโมงการท างานในสถานทดงกลาว ชนความลบของขอมลทอนญาตใหใชงานได และระบบงานและบรการตาง ๆ ขององคกรทอนญาตใหเขาถงไดจากระยะไกล

6.10 องคกรตองก าหนดขนตอนปฏบตส าหรบการขออนมตและการยกเลกการปฏบตงานจากระยะไกล การก าหนดหรอปรบปรงสทธการเขาถงระบบงาน และการคนอปกรณทใชงานเมอมการยกเลกการปฏบตงาน


สวนท 8 นโยบายการใชงานเครองคอมพวเตอรสวนบคคล

(Use of Personal Computer Policy)

1. วตถประสงค ขอก าหนดมาตรฐานการใชงานเครองคอมพวเตอรสวนบคคลนไดถกจดท าขนเพอชวยใหผใชไดรบ

ทราบถงหนาทและความรบผดชอบในการใชงานเครองคอมพวเตอรสวนบคคลและผใชควรท าความเขาใจและปฏบตตามอยางเครงครด เพอปองกนทรพยากรและขอมลทมคาขององคกร ใหมความลบ ความถกตอง และมความพรอมใชงานอยเสมอ

2. ผรบผดชอบ 1. ศนยสารสนเทศ 2. ผใชงาน

3. แนวปฏบตทวไป 3.1 เครองคอมพวเตอรทองคกรอนญาตใหผใชใชงานเปนทรพยสนขององคกร ดงนนผใชจงควรใชงาน

เครองคอมพวเตอรอยางมประสทธภาพเพองานขององคกร 3.2 โปรแกรมทไดถกตดตงลงบนเครองคอมพวเตอรขององคกร ตองเปนโปรแกรมทองคกรไดซอลขสทธ

มาอยางถกตองตามกฎหมาย ดงนน หามผใชคดลอกโปรแกรมตาง ๆ และน าไปตดตงบนเครองคอมพวเตอรสวนตว หรอแกไข หรอน าไปใหผอนใชงานโดยผดกฎหมาย

3.3 ไมอนญาตใหผใชท าการตดตงและแกไขเปลยนแปลงโปรแกรมในเครองคอมพวเตอรสวนบคคล ขององคกร

3.4 การตงชอเครองคอมพวเตอร (Computer name) สวนบคคล จะตองก าหนดโดยเจาหนาท ขององคกรเทานน

3.5 การเคลอนยาย หรอสงเครองคอมพวเตอรสวนบคคลตรวจซอมจะตองด าเนนการโดยเจาหนาท ของศนยสารสนเทศเทานน

3.6 กอนการใชงานสอบนทกพกพาตาง ๆ ควรมการตรวจสอบเพอหาไวรสโดยโปรแกรมปองกนไวรส 3.7 ไมควรเกบขอมลส าคญขององคกรไวบนเครองคอมพวเตอรสวนบคคลททานใชงานอย 3.8 ไมควรสราง Short-cut หรอปมกดงายบน Desktop ทเชอมตอไปยงขอมลส าคญขององคกร 3.9 ผใชมหนาทและรบผดชอบตอการดแลรกษาความปลอดภยของเครองคอมพวเตอร โดยควรปฏบต

ดงน 3.9.1 ไมควรน าอาหารหรอเครองดมอยใกลบรเวณเครองคอมพวเตอร 3.9.2 ไมควรวางสอแมเหลกไวใกลหนาจอเครองคอมพวเตอรหรอ Disk Drive

4. แนวปฏบตการควบคมการเขาถงระบบปฏบตการ 4.1 ผใชตองก าหนดชอผใชงาน (Username) และรหสผาน (Password) ในการเขาใชงาน

ระบบปฏบตการ 4.2 ผใชไมควรอนญาตใหผอนใชชอผใชงาน*(Username)*และรหสผาน*(Password)*ของตน

ในการเขาใชเครองคอมพวเตอรรวมกน 4.3 ในระหวางเวลาพกกลางวนและหลงเลกงาน ผใชควร Logout ออกจากเครองคอมพวเตอร

หรอลอคหนาจอดวยโปรแกรม Screen Saver เมอไมมการใชงานโดยตงเวลาประมาณ 10 นาท


4.4 มการก าหนดระยะเวลาการเชอมตอระบบสารสนเทศ เมอไมมการใชงานในระยะเวลาหนงใหยตการใชงานระบบสารสนเทศนน (Session Time-out)

5. แนวปฏบตในการใชรหสผาน ใหผใชปฏบตตามแนวทางการใชรหสผานตาม ขอ 5*(5.7) “การใชงานรหสผาน” ในนโยบาย

การควบคมการเขาถงระบบเทคโนโลยสารสนเทศ 6. แนวปฏบตการปองกนจากโปรแกรมชดค าสงไมพงประสงค (Malware)

6.1 ผใชตองท าการ Update ระบบปฏบตการ เวบบราวเซอรและโปรแกรมใชงานตาง ๆ อยางสม าเสมอ เพอปดชองโหว (Vulnerability) ทเกดขนจากซอฟตแวรเปนการปองกนการโจมตจากภยคกคามตาง ๆ

6.2 ผใชมหนาทรบผดชอบในการตดตงโปรแกรมปองกนไวรส (Antivirus) ใหกบเครองคอมพวเตอร 6.3 ผใชควรตรวจสอบหาไวรสจากสอตาง ๆ เชน Floppy Disk Thumb Drive และ Data Storage

อน ๆ กอนน ามาใชงานรวมกบเครองคอมพวเตอร 6.4 ผใชควรตรวจสอบไฟลทแนบมากบจดหมายอเลกทรอนกสหรอไฟลทดาวนโหลดมาจากอนเตอรเนต

ดวยโปรแกรมปองกนไวรส กอนใชงาน 6.5 ผใชควรตรวจสอบขอมลคอมพวเตอรใดทมชดค าสงไมพงประสงครวมอยดวย ซงมผลท าให

ขอมลคอมพวเตอร หรอระบบคอมพวเตอรหรอชดค าสงอนเกดความเสยหาย ถกท าลาย ถกแกไขเปลยนแปลง หรอปฏบตงานไมตรงตามค าสงทก าหนดไว

7. แนวปฏบตการส ารองขอมลและการกคน 7.1 ผใชตองรบผดชอบในการส ารองขอมลจากเครองคอมพวเตอรไวบนสอบนทกอน ๆ เชน CD DVD

External Hard Disk เปนตน 7.2 ผใชมหนาทเกบรกษาสอขอมลส ารอง (Backup Media) ไวในสถานททเหมาะสม ไมเสยงตอการ

รวไหลของขอมลและทดสอบการกคนขอมลทส ารองไวอยางสม าเสมอ 7.3 ผใชควรประเมนความเสยงวาขอมลทเกบไวบน Hard Disk ไมควรจะเปนขอมลส าคญเกยวของกบ

การท างาน เพราะหาก Hard Disk เสยไป กไมกระทบตอการด าเนนการขององคกร


สวนท 9 นโยบายการใชงานเครองคอมพวเตอรแบบพกพา

(Use of Notebook Computer Policy)

1. วตถประสงค เพอสรางความมนคงปลอดภยส าหรบอปกรณเครองคอมพวเตอรแบบพกพาและการน าไป

ปฏบตงานภายนอกองคกร เพอเปนการปองกนขอมลและอปกรณขององคกรใหเกดความปลอดภย ผใชจงควรรบทราบถงขอก าหนดและมาตรฐานในการใชงาน การบ ารงรกษาและสงทควรหลกเลยง ในการใชเครองคอมพวเตอรแบบพกพาใหมประสทธภาพสงสด

2. ผรบผดชอบ 1. ศนยสารสนเทศ 2. ผใชงาน

3. แนวปฏบตทวไป 3.1 เครองคอมพวเตอรแบบพกพาทองคกรอนญาตใหผใชใชงานเปนทรพยสนขององคกร ดงนน ผใชจง

ควรใชงานเครองคอมพวเตอรแบบพกพาอยางมประสทธภาพเพองานขององคกร 3.2 โปรแกรมทไดถกตดตงลงบนเครองคอมพวเตอรแบบพกพาขององคกรตองเปนโปรแกรมทองคกรได

ซอลขสทธถกตองตามกฎหมาย ดงนน หามผใชคดลอกโปรแกรมตาง ๆ และน าไปตดตงบนเครองคอมพวเตอรแบบพกพา หรอแกไข หรอน าไปใหผอนใชงานโดยผดกฎหมาย

3.3 การตงชอเครองคอมพวเตอร (Computer name) แบบพกพาจะตองก าหนดโดยเจาหนาท ของศนยสารสนเทศเทานน

3.4 การเคลอนยาย หรอสงเครองคอมพวเตอรแบบพกพาตรวจซอมจะตองด าเนนการโดยเจาหนาท ของศนยสารสนเทศเทานน

3.5 ผใชควรศกษาและปฏบตตามคมอการใชงานอยางละเอยด เพอการใชงานอยางปลอดภยและมประสทธภาพ

3.6 ไมดดแปลงแกไขสวนประกอบตาง ๆ ของคอมพวเตอรและรกษาสภาพของคอมพวเตอร ใหมสภาพเดม

3.7 ในกรณทตองการเคลอนยายเครองคอมพวเตอรแบบพกพา ควรใสกระเปาส าหรบเครองคอมพวเตอรแบบพกพา เพอปองกนอนตรายทเกดจากการกระทบกระเทอน เชน การตกจากโตะท างาน หรอหลดมอ เปนตน

3.8 ไมควรใสเครองคอมพวเตอรแบบพกพาไปในกระเปาเดนทางทเสยงตอการถกกดทบโดยไมไดตงใจจากการมของหนกทบบนเครอง หรออาจถกจบโยนได

3.9 การใชเครองคอมพวเตอรแบบพกพาเปนระยะเวลานานเกนไป ในสภาพทมอากาศรอนจด ควรปดเครองคอมพวเตอรเพอเปนการพกเครองสกระยะหนงกอนเปดใชงานใหมอกครง

3.10 หลกเลยงการใชนวหรอของแขง เชน ปลายปากกา กดสมผสหนาจอ LCD ใหเปนรอยขดขวน หรอท าใหจอ LCD ของเครองคอมพวเตอรแบบพกพาแตกเสยหายได

3.11 ไมควรวางของทบบนหนาจอและแปนพมพ 3.12 การเคลอนยายเครองขณะทเครองเปดใชงานอยใหท าการยกจากฐานภายใตแปนพมพ หามยาย

เครองโดยการดงหนาจอภาพขน


3.13 ไมควรเคลอนยายเครองในขณะท Hard Disk ก าลงท างาน 3.14 ไมควรใชหรอวางเครองคอมพวเตอรแบบพกพาใกลสงทเปนของเหลว ความชน เชน อาหาร น า

กาแฟ เครองดมตาง ๆ เปนตน 3.15 ไมควรใชหรอวางเครองคอมพวเตอรแบบพกพา ควรอยในสภาพแวดลอมทมอณหภมสงกวา

35 องศาเซลเชยส 3.16 ไมควรวางเครองคอมพวเตอรแบบพกพาไวใกลอปกรณทมสนามแมเหลกไฟฟาแรงสงในระยะใกล

เชน แมเหลก โทรทศน ไมโครเวฟ ตเยน เปนตน 3.17 ไมควรตดตงหรอวางคอมพวเตอรแบบพกพาในทมการสนสะเทอน เชน ในยานพาหนะทก าลง

เคลอนท 3.18 การเชดท าความสะอาดหนาจอภาพควรเชดอยาเบามอทสด และควรเชดไปในแนวทางเดยวกน

หามเชดแบบหมนวน เพราะจ าท าใหหนาจอมรอยขดขวนได 4. แนวปฏบตการปองกนความปลอดภยทางดานกายภาพ

4.1 ผใชมหนาทรบผดชอบในการปองกนการสญหาย เชน ควรลอคเครองขณะทไมไดใชงาน ไมวางเครองทงไวในทสาธารณะ หรอในบรเวณทมความเสยงตอการสญหาย

4.2 ผใชไมควรเกบหรอใชงานคอมพวเตอรแบบพกพาในสถานททมความรอน/ความชน/ฝนละอองสงและตองระวงปองกนการตกกระทบ

4.3 หามมใหผใชท าการเปลยนแปลงแกไขสวนประกอบยอย (Sub component) ทตดตงอยภายในรวมถงแบตเตอร

5. แนวปฏบตการควบคมการเขาถงระบบปฏบตการ 5.1 ผใชตองก าหนดชอผใชงาน (Username) และรหสผาน (Password) ในการเขาใชงาน

ระบบปฏบตการของเครองคอมพวเตอรแบบพกพา 5.2 ผใชควรก าหนดรหสผานใหมคณภาพดอยางนอยตามทระบไวใน ขอ 5*(5.7) “การใชงานรหสผาน”

ในนโยบายการควบคมการเขาถงระบบเทคโนโลยสารสนเทศ 5.3 ผใชควรตงการใชงานโปรแกรมรกษาจอภาพ (Screen Saver) โดยตงเวลาประมาณ 10 นาท

ใหท าการลอคหนาจอเมอไมมการใชงาน หลงจากนนเมอตองการใชงานผใชตองใสรหสผาน 5.4 ผใชตองท าการ Logout ออกจากระบบทนทเมอเลกใชงานหรอไมอยทหนาจอเปนเวลานาน

6. แนวปฏบตในการใชรหสผาน ใหผใชปฏบตตามแนวทางการใชรหสผานตาม ขอ 5*(5.7) “การใชงานรหสผาน” ในนโยบาย

การควบคมการเขาถงระบบเทคโนโลยสารสนเทศ 7. แนวปฏบตการปองกนจากโปรแกรมชดค าสงไมพงประสงค (Malware)

7.1 ผใชตองท าการ Update ระบบปฏบตการ เวบบราวเซอร และโปรแกรมการใชงานตาง ๆ อยางสม าเสมอเพอปดชองโหว (Vulnerability) ทเกดขนจากซอฟตแวรเปนการปองกนการโจมตจากภยคกคามตาง ๆ

7.2 หามมใหผใชท าการปดหรอยกเลกระบบการปองกนไวรส ทตดตงอยบนเครองคอมพวเตอร แบบพกพา

7.3 หากผใชพบหรอสงสยวาเครองคอมพวเตอรแบบพกพาตดชดค าสงไมพงประสงค (Malware) หามมใหผใชเชอมตอเครองเขากบระบบเครอขายเพอปองกนการแพรกระจายของชดค าสงทไมพงประสงคไปยงเครองอน ๆ ได


8. แนวปฏบตการส ารองขอมลและการกคน 8.1 ผใชควรท าการส ารองขอมลจากเครองคอมพวเตอรแบบพกพา โดยวธการและสอตาง ๆ

เพอปองกนการสญหายของขอมล 8.2 ผใชควรจะเกบรกษาสอส ารองขอมล (Backup Media) ไวในสถานททเหมาะสม ไมเสยงตอการ

รวไหลของขอมล 8.3 แผนสอส ารองขอมลตาง ๆ ทเกบขอมลไวจะตองท าการทดสอบการกคนอยางสม าเสมอ 8.4 แผนสอส ารองขอมลทไมใชงานแลว ควรท าลายไมใหสามารถน าไปใชงานไดอก


สวนท 10 นโยบายการใชงานอนเตอรเนต (Internet Security Policy)

1. วตถประสงค

เพอใหผใชรบทราบกฎเกณฑแนวทางปฏบตในการใชงานอนเตอรเนตอยางปลอดภยและเปนการปองกนไมใหละเมดพระราชบญญตวาดวยการกระท าผดเกยวกบคอมพวเตอร พ.ศ. 2550 เชน การสงขอมล ขอความ ค าสง ชดค าสง หรอสงอนใดทอยในระบบคอมพวเตอรแกบคคลอนอนเปนการรบกวนการใชระบบคอมพวเตอรของบคคลอนโดยปกตสข ท าใหระบบคอมพวเตอรขององคกรถกระงบ ชะลอ ขดขวาง หรอถกรบกวนจนไมสามารถท างานตามปกตได

2. ผรบผดชอบ 1. ศนยสารสนเทศ 2. ผดแลระบบทไดรบมอบหมาย 3. ผใชงาน

3. แนวปฏบตในการใชงานอนเตอรเนต 3.1 ผดแลระบบควรก าหนดเสนทางการเชอมตอระบบคอมพวเตอรเพอการเขาใชงานอนเตอรเนต ทตอง

เชอมตอผานระบบรกษาความปลอดภยทองคกรจดสรรไวเทานน เชน Proxy Firewall IPS/IDS เปนตน หามผใชท าการเชอมตอระบบคอมพวเตอรผานชองทางอน เชน Dial-Up Modem ยกเวนแตวามเหตผลความจ าเปนและท าการขออนญาตจากผอ านวยการศนยสารสนเทศ เปนลายลกษณอกษรแลว

3.2 เครองคอมพวเตอรสวนบคคลและเครองคอมพวเตอรพกพา กอนท าการเชอมตออนเตอรเนต ผานเวบบราวเซอร (Web Browser) ตองมการตดตงโปรแกรมปองกนไวรส และท าการอดชองโหวของระบบปฏบตการทเวบบราวเซอรตดตงอย

3.3 ในการรบ-สงขอมลคอมพวเตอรผานทางอนเตอรเนตจะตองมการทดสอบไวรส (Virus Scanning) โดยโปรแกรมปองกนไวรสกอนการรบ-สงขอมลทกครง

3.4 ผใชตองไมใชเครอขายอนเตอรเนตขององคกร เพอหาประโยชนในเชงธรกจสวนตว และท าการ เขาสเวบไซตทไมเหมาะสม เชน เวบไซตทขดตอศลธรรม เวบไซตทมเนอหาทขดตอชาต ศาสนา พระมหากษตรย หรอเวบไซตทเปนภยตอสงคม เปนตน

3.5 ผใชจะถกก าหนดสทธในการเขาถงแหลงขอมลตามหนาทความรบผดชอบ เพอประสทธภาพ ของเครอขายและความปลอดภยทางขอมลขององคกร

3.6 ผใชตองไมเผยแพรขอมลทเปนการหาประโยชนสวนตวหรอขอมลทไมเหมาะสมทางศลธรรม หรอขอมลทละเมดสทธของผอน หรอขอมลทอาจกอความเสยหายใหกบองคกร

3.7 หามผใชเปดเผยขอมลส าคญทเปนความลบเกยวกบงานขององคกร ทยงไมไดประกาศอยางเปนทางการผานอนเตอรเนต

3.8 ผใชไมน าเขาขอมลคอมพวเตอรคอมพวเตอรใด ๆ ทมลกษณะอนเปนเทจ อนเปนความผดเกยวกบความมนคงแหงราชอาณาจกร อนเปนความผดเกยวกบการกอการราย หรอภาพทมลกษณะอนลามก และไมท าการเผยแพรหรอสงตอขอมลคอมพวเตอรดงกลาวผานอนเตอรเนต


3.9 ผใชไมน าเขาขอมลคอมพวเตอรทเปนภาพของผอนและภาพนนเปนภาพทเกดจากการสรางขน ตดตอ เตมหรอดดแปลงดวยวธการทางอเลกทรอนกส หรอวธการอนใด ทงนจะท าใหผอนนน เสยชอเสยง ถกดหมน ถกเกลยดชง หรอไดรบความอบอาย

3.10 ผใชมหนาทตรวจสอบความถกตองและความนาเชอถอของขอมลคอมพวเตอรทอยบนอนเตอรเนตกอนน าขอมลไปใชงาน

3.11 ผใชตองระมดระวงการดาวนโหลดโปรแกรมใชงานจากอนเตอรเนต ซงรวมถง Patch หรอ Fixes ตาง ๆ จากผขาย ตองเปนไปโดยไมละเมดทรพยสนทางปญญา

3.12 ในการเสนอความคดเหนผานเวบบอรด (Webboard) ผใชตองไมเปดเผยขอมลทส าคญและเปนความลบขององคกร และตองไมใชขอความทยวย ใหราย ทจะท าใหเกดความเสอมเสยตอชอเสยงขององคกร การท าลายความสมพนธกบเจาหนาทของหนวยงานอน ๆ

3.13 หลงจากใชงานอนเตอรเนตเสรจแลว ใหท าการปดเวบบราวเซอรเพอปองกนการเขาใชงาน โดยบคคลอน


สวนท 11 นโยบายการใชงานจดหมายอเลกทรอนกส

(E-mail Policy)

1. วตถประสงค ก าหนดมาตรการการใชงานจดหมายอเลกทรอนกสผานระบบเครอขายขององคกร ซงผใชจะตอง

ใหความส าคญและตระหนกถงปญหาทเกดขนจากการใชบรการจดหมายอเลกทรอนกสบนเครอขายอนเตอรเนต ผใชจะตองเขาใจกฎเกณฑตาง ๆ ทผดแลระบบเครอขายวางไว ไมละเมดสทธหรอกระท าการใด ๆ ทจะสรางปญหา หรอไมเคารพกฎเกณฑทวางไว และจะตองปฏบตตามค าแนะน าของผดแลระบบเครอขายนนอยางเครงครด จะท าใหการใชงานจดหมายอเลกทรอนกสผานระบบเครอขายเปนไปอยางปลอดภยและมประสทธภาพ

2. ผรบผดชอบ 1. ศนยสารสนเทศ 2. ผดแลระบบทไดรบมอบหมาย 3. ผใชงาน

3. แนวปฏบตในการสงจดหมายอเลกทรอนกส 3.1 ผดแลระบบตองก าหนดสทธการเขาถงระบบจดหมายอเลกทรอนกสขององคกร ใหเหมาะสมกบการ

เขาใชบรการของผใชระบบและหนาทความรบผดชอบของผใช รวมทงมการทบทวนสทธการเขาใชงานอยางสม าเสมอ เชน การลาออก เปนตน

3.2 ผดแลระบบตองก าหนดสทธบญชรายชอผใชรายใหมและรหสผานส าหรบการใชงานครงแรก เพอใชในการตรวจสอบตวตนจรงของผใชระบบจดหมายอเลกทรอนกสขององคกร

3.3 ส าหรบผใชรายใหมจะไดรบรหสผานครงแรก (Default Password) ในการผานเขาระบบจดหมายอเลกทรอนกสและเมอมการเขาสระบบในครงแรกนน ระบบจะตองมการบงคบใหเปลยนรหสผานโดยทนท

3.4 การก าหนดรหสผานทด (Good Password) มแนวทางปฏบตตาม ขอ 5*(5.7) “การใชงานรหสผาน” ในนโยบายการควบคมการเขาถงระบบเทคโนโลยสารสนเทศ

3.5 รหสจดหมายอเลกทรอนกส เวลาใสรหสผานตองไมปรากฏหรอแสดงรหสผานออกมา แตตองแสดงออกมาในรปของสญลกษณแทนตวอกษรนน เชน “x” หรอ “O” ในการพมพแตละตวอกษร

3.6 ผดแลระบบควรก าหนดใหระบบจดหมายอเลกทรอนกส ควรมการ Logout ออกจากหนาจอ ตดการใชงานผใชเมอผใชไมไดใชงานระบบเปนระยะเวลาตามทก าหนดไว เชน 15 นาท เมอตองการเขาใชงานตอตองใสชอผใชและรหสผานอกครง

3.7 ผใชไมควรตงคาการใชโปรแกรมชวยจ ารหสผานสวนบคคลอตโนมต (Save Password) ของระบบจดหมายอเลกทรอนกส

3.8 ผใชควรมการเปลยนรหสผานอยางเครงครด เชน ควรเปลยนรหสผานทก 3 - 6 เดอน 3.9 ผใชควรระมดระวงในการใชจดหมายอเลกทรอนกสเพอไมใหเกดความเสยหายตอองคกรหรอละเมด

ลขสทธ สรางความนาร าคาญตอผอน หรอผดกฎหมาย หรอละเมดศลธรรม และไมแสวงหาประโยชน หรออนญาตใหผอนแสวงหาผลประโยชนในเชงธรกจจากการใชจดหมายอเลกทรอนกสผานระบบเครอขายขององคกร


3.10 ขอหาม ผใชไมควรใชทอยจดหมายอเลกทรอนกส (E-mail Address) ของผอนเพออาน รบ-สงขอความ ยกเวนแตจะไดรบการยนยอมจากเจาของผใชและใหถอวาเจาของจดหมายอเลกทรอนกสเปนผรบผดชอบตอการใชงานตาง ๆ ในจดหมายอเลกทรอนกสของตน

3.11 ผใชควรใชทอยจดหมายอเลกทรอนกสขององคกร เพอการท างานขององคกรเทานน 3.12 หลงจากการใชงานระบบจดหมายอเลกทรอนกสเสรจสน ควรท าการ Logout ออกจากระบบ

ทกครง เพอปองกนบคคลอนเขาใชงานจดหมายอเลกทรอนกส 3.13 ผใชควรท าการตรวจสอบเอกสารแนบจากจดหมายอเลกทรอนกสกอนท าการเปด เพอท าการ

ตรวจสอบไฟลโดยใชโปรแกรมปองกนไวรส เปนการปองกนในการเปดไฟลทเปน Executable File เชน .exe .com เปนตน

3.14 ผใชไมเปดหรอสงจดหมายอเลกทรอนกสหรอขอความทไดรบจากผสงทไมรจก 3.15 ผใชไมควรใชขอความทไมสภาพ หรอรบ-สงจดหมายอเลกทรอนกสทไมเหมาะสม ขอมลอนอาจ

ท าใหเสยชอเสยงขององคกร ท าใหเกดความแตกแยกระหวางองคกรผานทางจดหมายอเลกทรอนกส 3.16 ในกรณทตองการสงขอมลทเปนความลบ ไมควรระบความส าคญของขอมลลงในหวขอจดหมาย

อเลกทรอนกส 3.17 ผใชควรตรวจสอบตเกบจดหมายอเลกทรอนกสของตนเองทกวน และควรจดเกบแฟมขอมล

และจดหมายอเลกทรอนกสของตนใหเหลอจ านวนนอยทสด 3.18 ผใชควรลบจดหมายอเลกทรอนกสทไมตองการออกจากระบบเพอลดปรมาณการใชเนอทระบบ

จดหมายอเลกทรอนกส 3.19 ขอควรระวง ผใชไมควรโอนยายจดหมายอเลกทรอนกสทจะใชอางองภายหลง มายงเครองคอมพวเตอร

ของตน เพอเปนการปองกนผอนแอบอานจดหมายได ดงนนไมควรจดเกบขอมลหรอจดหมายอเลกทรอนกสทไมไดใชแลวไวในตจดหมายอเลกทรอนกส


สวนท 12 นโยบายการควบคมการเขาถงระบบเครอขายไรสาย

(Wireless Policy)

1. วตถประสงค เพอก าหนดมาตรฐานการควบคมการเขาถงระบบเครอขายไรสาย (Wireless LAN) ขององคกร

โดยการก าหนดสทธของผใชในการเขาถงระบบใหเหมาะสมตามหนาทความรบผดชอบในการปฏบตงาน รวมทงมการทบทวนสทธการเขาถงอยางสม าเสมอ ทงนผใชระบบตองผานการพสจนตวตนจรงจากระบบ วาไดรบอนญาตจากผดแลระบบ เพอสรางความมนคงปลอดภยของการใชงานระบบเครอขายไรสาย


3. แนวปฏบตในการควบคมการเขาถงระบบเครอขายไรสาย 3.1 ผใชงานจะตองมบญชผใชงานระบบเครอขายขององคกร จงจะสามารถใชงานระบบเครอขายไรสาย

นได กรณทองคกรมนโยบายในการใชชอผใชกลาง ใหผใชงานตดตอเจาหนาทศนยสารสนเทศ เพอรบ คา SSID (Service Set Identifier) และ Network Key ในการระบตวตนกอนเขาใชงานระบบเครอขายไรสาย

3.2 ผดแลระบบตองก าหนดต าแหนงการวางอปกรณ Access Point (AP) ใหเหมาะสมเปนการควบคมไมใหสญญาณของอปกรณรวไหลออกไปนอกบรเวณทใชงาน เพอปองกนไมใหผโจมตสามารถรบ-สงสญญาณจากภายนอกอาคารหรอบรเวณขอบเขตทควบคมได

3.3 ผดแลระบบตองเลอกใชก าลงสงใหเหมาะสมกบพนทใชงานและควรส ารวจวาสญญาณรวไหลออกไป ภายนอกหรอไม นอกจากนการใชเสาอากาศพเศษทสามารถก าหนดทศทางการแพรกระจาย ของสญญาณอาจชวยลดการรวไหลของสญญาณใหดขน

3.4 ผดแลระบบตองท าการเปลยนคา SSID (Service Set Identifier) ทถกก าหนดเปนคา Default มาจากผผลตทนททน า AP มาใชงาน

3.5 ผดแลระบบตองเปลยนคาชอ Login และรหสผานส าหรบการตงคาการท างานของอปกรณไรสาย และผดแลระบบตองเลอกใชชอ Login และรหสผานทมการคาดเดาไดยาก เพอปองกนผโจมตไมใหสามารถเดาหรอเจาะรหสไดโดยงาย

3.6 ผดแลระบบตองก าหนดคาใช WEP หรอ WPA ในการเขารหสหรอขอมลระหวาง Wireless LAN Client และ AP เพอใหยากตอการดกจบ จะชวยใหปลอดภยมากขน

3.7 ผดแลระบบตองจะมการตดตง Firewall ระหวางเครอขายไรสายกบเครอขายภายในองคกร 3.8 ผดแลระบบตองใชซอฟตแวรหรอฮารดแวรตรวจสอบความมนคงปลอดภยของระบบเครอขายไรสาย

อยางสม าเสมอ เพอคอยตรวจสอบและบนทกเหตการณทนาสงสยเกดขนในระบบเครอขายไรสาย 3.9 ในการใชงานเครอขายไรสายผใชงานตองปฏบตตามนโยบายความปลอดภยระบบเทคโนโลย

สารสนเทศอยางเครงครด ทางองคกรสงวนสทธในการยกเลกสทธในการเขาใชเครอขายไรสาย โดยไมตองแจงใหผใชทราบลวงหนา


สวนท 13 นโยบายปองกนไวรส และซอฟตแวรทไมประสงคด

(Virus and Malicious Software Protection Policy)

1. วตถประสงค เพอควบคมและปองกนซอฟตแวรและขอมลขององคกร จากซอฟตแวรอนตรายหรอไวรส

คอมพวเตอร 2. ผรบผดชอบ

1. ศนยสารสนเทศ 2. ผดแลระบบทไดรบมอบหมาย 3. ผใชงาน

3. แนวปฏบตในการปองกนไวรส และซอฟตแวรทไมประสงคด 3.1 กอนน าซอฟตแวรจากภายนอกมาใชงานภายในองคกร ผใชงานตองท าการตรวจสอบซอฟแวร

ดงกลาวใหแนใจวาซอฟตแวรนน ๆ ไมมไวรสคอมพวเตอรหรอซอฟตแวรอนตรายแฝงอย 3.2 ผดแลระบบตองจดใหมการตดตงโปรแกรมปองกนไวรสเวอรชนลาสดในระดบระบบปฏบตการ

บนเครองคอมพวเตอรและเครองเซรฟเวอร 3.3 ผดแลระบบตองก าหนดใหโปรแกรมคนหาไวรสท างานพรอมกนกบการเรมท างานของระบบ

ประมวลผล และโปรแกรมดงกลาวตองท างานในขณะทมการใชระบบดวย นอกจากนผดแลระบบตองมการปรบปรงโปรแกรมปองกนไวรสใหทนสมยอยเสมอ

3.4 ผดแลระบบตองท าการตรวจทานระบบขอมลเพอตรวจหาไวรสและซอฟตแวรอนตรายอยเปนประจ า

3.5 ผใชงานตองตรวจหาไวรสของไฟลทแนบมากบจดหมายอเลกทรอนกสหรอไฟลทดาวนโหลด มาจากอนเตอรเนตกอนน าไปใชงาน

3.6 หามมใหเจาหนาทด าเนนการใด ๆ ทเกยวกบการพฒนาไวรสหรอซอฟตแวรอนตรายหรอเกบไวเปนเจาของ

3.7 ในกรณทมการน าสอบนทกขอมลจากหนวยงานภายนอกองคกรมาใช ผใชงานสอขอมลนนตองตรวจสอบไวรสคอมพวเตอรกอนใชงานทกครง


สวนท 14 นโยบายปองกนระบบเครอขายและตรวจจบการบกรก

(Firewall & IPS Policy)

1. วตถประสงค เพอควบคมการใชงานเครอขาย และกรองแพกเกตทผานเขามาในเครอขายองคกร

2. ผรบผดชอบ 1. สารสนเทศ 2. ผดแลระบบทไดรบมอบหมาย

3. แนวปฏบตในการปองกนระบบเครอขายและตรวจจบการบกรก 3.1 อนญาตเฉพาะบรการเครอขายทจ าเปนตอการใชงาน บรการเครอขายอน ๆ ทเหลอปดใหหมด 3.2 ไมอนญาตใหสแกนเพอตรวจสอบเครอขายดวยโปรแกรมประเภท Network Scanning Tools เชน

Nmap เปนตน 3.3 ปดบรการรวมทงซอฟตแวรทไมจ าเปนบนไฟรวอลล 3.4 จ ากดบรการเครอขายทท างานบนไฟรวอลลใหมนอยทสด โดยใหแยกบรการอน ๆ เหลานน

ไปท างานบนเครองอน 3.5 จ ากดชอบญชผใชบนเครองไฟรวอลลใหมนอยทสด และไมรนไฟรวอลลโดยใชชอบญชผใชทเปน

Root หรอ Administrator 3.6 เปลยนรหสผานส าหรบ Root หรอ Administrator ทผขายก าหนดมาให ใหเปนรหสอนทยากตอการเดา 3.7 ควรใชไฟรวอลลหลายชนดรวมกน เชน ไฟรวอลลแบบกรองแพกเกต ไฟรวอลลแบบพรอกซ

เพอเปนการเสรมความมนคงปลอดภยในแงมมทตางกน 3.8 ควรใชระบบอนท างานรวมกบไฟรวอลล ไดแก ระบบปองกนการบกรก (IPS) ไฟรวอลลสวนตว

(Personal Firewall) โปรแกรมปองกนไวรส (Antivirus) โปรแกรมกรองอเมลและกรองเวบ (Anti Spam) ซงเปนการเสรมการรกษาความมนคงปลอดภยภาพรวมไดสงขน

3.9 ก าหนดกฎในไฟรวอลลใหกรองทงแพกเกตทไมประสงคดตามรายการชองโหวทแพรระบาด อยในปจจบนเสมอ

3.10 ปองกนการเขาถงทางกายภาพตอไฟรวอลลใหมความแขงแกรง เชน จดท าเปนหองทมการควบคมการเขา-ออกอยางเขมงวด

3.11 หมนตรวจสอบกฎของไฟรวอลลเพอก าจดกฎทไมมความจ าเปนทงไป เพอเพมประสทธภาพ ของการประมวลผลกฎทก าหนดไวของไฟรวอลล

3.12 เมอเพมกฎขอใหมเขาไปในไฟรวอลล ตรวจสอบวากฎทใสเขาไปนนไมขดแยงกบกฎทมอยแลวเดมรวมทงทดสอบดวยวาไฟรวอลลสามารถปองกนไดจรงตามกฎขอใหมนน

3.13 ตรวจสอบวากฎทก าหนดไวบนไฟรวอลลไมมขอใดขดแยงกบนโยบายความมนคงปลอดภย ขององคกรอยางนอยควรท าปละครง

3.14 ไมอนญาตใหเขาถงไฟรวอลลจากทางไกลโดยโปรแกรมประเภท Telnet หรอแมแต โดยการเขาถงใหท าไดจากตวเครองไฟรวอลลโดยตรง

3.15 สรางความแขงแกรงใหกบระบบปฏบตการของไฟรวอลล โดยการ Update Patch อยเสมอ


3.16 ตรวจสอบและตดตงโปรแกรมอดชองโหวส าหรบระบบปฏบตการของไฟรวอลลอยางสม าเสมอ 3.17 กอนการอพเกรดหรอแกไขชองโหวของไฟรวอลล ใหท าส ารองขอมลแบบ Full Backup

ของเครองไฟรวอลลนนเกบไวกอน หากมปญหาจะไดน ากลบมาตดตงและใชงานไดอยางรวดเรว 3.18 ใชไฟรวอลลรวมกบเราทเตอร เพอปองกนปญหา DoS (Denial of Service) และปญหาการเจาะ

ระบบเขาสไฟรวอลลไดโดยตรง 3.19 ใชไฟรวอลลเพอกนเครอขายภายในในกรณทมความจ าเปน เชน เครอขายสวนนนอนญาตให

เฉพาะผใชทมสทธเทานนในการเขาถง 3.20 บนทกขอมล Log ของการเขาถงไฟรวอลลเกบไว รวมทงหากไฟรวอลลมขดความสามารถในการ

แจงเตอนใหเปดใชขดความสามารถนดวย 3.21 ใชเซรฟเวอร เชน Syslog แยกตางหากอกเครองหนงจากเครองของไฟรวอลล เพอเกบบนทก

ขอมล Log ของการเขาถงไฟรวอลลไวบนเซรฟเวอรนน ซงจะท าใหการเปลยนแปลงแกไขขอมล Log โดยผบกรกท าไดยากขน

3.22 หากหนวยงานอนตองการน าระบบขน จะตองท าเปนหนงสอผานผอ านวยการศนยสารสนเทศ แจงเจาหนาทใหด าเนนการเปนกรณไป


สวนท 15 นโยบายการส ารองและกคนขอมล (Backup and Recovery Policy)

1. วตถประสงค

เพอปองกนความเสยหายทอาจจะเกดขน เมอขอมลเสยหาย หรอถกท าลายจากไวรสคอมพวเตอร ผบกรกท าลาย หรอเปลยนแปลงขอมล โดยสามารถน าขอมลทมปญหากลบมาใชงานได 2. ผรบผดชอบ

1. ศนยสารสนเทศ 2. ผดแลระบบทไดรบมอบหมาย 3. ผใชงาน

3. แนวปฏบตในการคดเลอกการส ารองขอมล ตองพจารณาคดเลอกระบบสารสนเทศทส าคญและจดท าระบบส ารองทเหมาะสมใหอยในสภาพ

พรอมใชงาน ตามแนวทางตอไปน 3.1 มการจดท าบญชระบบสารสนเทศทมความส าคญทงหมดของหนวยงาน พรอมทงก าหนดระบบ

สารสนเทศทจะจดท าระบบส ารอง และจดท าระบบแผนเตรยมพรอมกรณฉกเฉน อยางนอยปละ 1 ครง

3.2 ก าหนดใหมการส ารองขอมลของระบบสารสนเทศแตละระบบ และก าหนดความถในการส ารองขอมล หากระบบใดทมการเปลยนแปลงบอย ควรก าหนดใหมความถในการส ารองขอมลมากขน โดยใหมวธการส ารองขอมล ดงน

3.3 ก าหนดประเภทของขอมลทตองท าการส ารองเกบไว และความถในการส ารอง 3.4 ก าหนดรปแบบการส ารองขอมลใหเหมาะสมกบขอมลทจะท าการส ารอง เชน การส ารองขอมล

แบบเตม (Full Backup) หรอการส ารองขอมลแบบสวนตาง (Incremental Backup) 3.5 บนทกขอมลทเกยวของกบกจกรรมการส ารองขอมล ไดแก ผด าเนนการ วน/เวลาชอขอมลทส ารอง

ส าเรจ/ไมส าเรจ เปนตน 3.6 ตรวจสอบขอมลทงหมดของระบบวามการส ารองขอมลไวอยางครบถวน เชน ซอฟตแวรตาง ๆ

ทเกยวของกบระบบสารสนเทศ ขอมล Configuration ขอมลในฐานขอมล เปนตน 3.7 จดเกบขอมลทส ารองนนในสอเกบขอมล โดยมการพมพชอบนสอเกบขอมลนนใหสามารถแสดงถง

ระบบซอฟตแวร วนท เวลาทส ารองขอมล และผรบผดชอบในการส ารองขอมลไวอยางชดเจน 3.8 จดเกบขอมลทส ารองไวนอกสถานท ระยะทางระหวางสถานททจดเกบขอมลส ารองกบหนวยงาน

ควรหางกนเพยงพอ เพอไมใหสงผลกระทบตอขอมลทจดเกบไวนอกสถานทนน ในกรณทเกดภยพบตกบหนวยงาน เชน ไฟไหม เปนตน

3.9 ด าเนนการปองกนทางกายภาพอยางเพยงพอตอสถานทส ารองทใชจดเกบขอมลนอกสถานท 3.10 ทดสอบบนทกขอมลส ารองอยางสม าเสมอ เพอตรวจสอบวายงคงสามารถเขาถงขอมลไดตามปกต 3.11 จดท าขนตอนปฏบตส าหรบการกคนขอมลทเสยหายจากขอมลทไดส ารองเกบไวตรวจสอบ

และทดสอบประสทธภาพและประสทธผลของขนตอนปฏบตในการกคนขอมลอยางสม าเสมอ 3.12 ก าหนดใหมการใชงานการเขารหสขอมลกบขอมลลบทไดส ารองเกบไว


4. แนวปฏบตในการจดท าแผนเตรยมความพรอมกรณฉกเฉนในกรณทไมสามารถด าเนนการดวยวธการทางอเลกทรอนกส

ตองจดท าแผนเตรยมความพรอมกรณฉกเฉนในกรณทไมสามารถด าเนนการดวยวธการทางอเลกทรอนกส เพอใหสามารถใชงานสารสนเทศไดตามปกตอยางตอเนอง โดยตองปรบปรงแผนเตรยมความพรอมกรณฉกเฉนดงกลาวใหสามารถปรบใชไดอยางเหมาะสมและสอดคลองกบการใชงาน ตามภารกจ ตามแนวทางตอไปน 4.1 มการจดท าแผนเตรยมความพรอมกรณฉกเฉนในกรณทไมสามารถด าเนนการดวยวธการทาง

อเลกทรอนกส โดยมรายละเอยดอยางนอย ดงน 4.1.1 มการก าหนดหนาท และความรบผดชอบของผทเกยวของทงหมด 4.1.2 มการประเมนความเสยงส าหรบระบบทมความส าคญเหลานน และก าหนดมาตรการ

เพอลดความเสยงเหลานน เชน ไฟดบเปนระยะเวลานาน ไฟไหม แผนดนไหว การชมนมประทวงท าใหไมสามารถเขามาใชระบบงานได เปนตน

4.1.3 มการก าหนดขนตอนปฏบตในการกคนระบบสารสนเทศ 4.1.4 มการก าหนดขนตอนปฏบตในการส ารองขอมล และทดสอบกคนขอมลทส ารองไว 4.1.5 มการก าหนดชองทางในการตดตอกบผใหบรการภายนอก เชน ผใหบรการเครอขาย

ฮารดแวร ซอฟตแวร เปนตน เมอเกดเหตจ าเปนทจะตองตดตอ 4.1.6 การสรางความตระหนก หรอใหความรแกเจาหนาทผทเกยวของกบขนตอนการปฏบต

หรอสงทตองท าเมอเกดเหตเรงดวน เปนตน 4.2 มการทบทวนเพอปรบปรงแผนเตรยมความพรอมกรณฉกเฉนดงกลาวใหสามารถปรบใชไดอยาง

เหมาะสมและสอดคลองกบการใชงานตามภารกจ อยางนอยปละ 1 ครง 5. แนวปฏบตในการส ารองและกคนขอมล

เพอลดความเสยงทอาจจะเกดขนกบขอมล และสามารถน าขอมลกลบมาใชงานได ในกรณทฮารดดสกเสยหาย ไวรสคอมพวเตอรท าลายขอมล ผบกรกท าการลบขอมลหรอเปลยนแปลงขอมล การเผลอลบขอมลหรอเปลยนแปลงขอมลโดยผใชงานเอง โดยมมาตรการ ดงน

5.1 การส ารองขอมล 5.1.1 ผดแลระบบตองตงคาระบบใหมการส ารองขอมลโดยอตโนมต หรอท าการส ารองขอมล

ของระบบซงอยในความรบผดชอบของตนเองตามความเหมาะสมของแตละระบบ ไมต ากวา 1 ครงตอเดอน

5.1.2 ผดแลระบบตองตงคาส ารองขอมลอตโนมตส าหรบเครองคอมพวเตอรแมขายของเวบไซต (Web Server)

5.1.3 ผใชงานเครองคอมพวเตอรทวไป จะตองท าการส ารองขอมลในเครองคอมพวเตอร ของตนเองตามความเหมาะสม ไมต ากวา 1 ครงตอเดอน


5.1.4 เมอองคกรประกาศใหมการส ารองขอมลเนองจากจะไดมการด าเนนการทอาจสงผลตอขอมลในเครองคอมพวเตอรของผใช ผใชจะตองท าการส ารองขอมลดงกลาวภายในระยะเวลาทก าหนด

5.1.5 หากผดแลระบบหรอผใชงานเครองคอมพวเตอรเหนวาขอมลใดเปนขอมลส าคญใหพมพ (Print) ออกมาเกบส ารองไวในรปของเอกสารกระดาษ (Hard Copy)

5.1.6 แผนกผดแลระบบตองท าการทดสอบกขอมลส ารองในทกระบบ โดยตองมการทดสอบอยางนอยปละหนงครง ซงการทดสอบดงกลาวตองใชขอมลส ารองจากระบบทใชงานจรง แตทดสอบบนระบบทดสอบ

5.1.7 ผดแลระบบตองท าการส ารองขอมลอเลกทรอนกสขององคกร และเกบรกษาไวตามแนวทางปฏบตการเกบรกษาขอมลขององคกร โดยตองมการก าหนดระยะเวลาในการเกบรกษาขอมลทส าคญดวย

5.2 การกคนขอมล เพอใหการฟนฟระบบ/ขอมลจากความเสยหายทอาจเกดขนจากการหยดท างานของการประมวลผล

โปรแกรม (Hang) หรอไฟฟาดบ ตลอดจนเหตการณอนใดซงสงผลตอเครองคอมพวเตอร หรอการประมวลผลของคอมพวเตอรหยดท างานอยางกะทนหน หรอเปลยนการท างานไปจากเดม ท าใหไมสามารถบนทกขอมลไดทนเวลา หรอไมสามารถใชงานคอมพวเตอรไดตามปกต มมาตรการในการกคนขอมล ดงน

5.2.1 ผใชงานจะตองเปดใชงานการกคน (Recovery) ของระบบปฏบตการตลอดเวลา 5.2.2 ผดแลระบบจะตองจดหาเครองคอมพวเตอร/อปกรณ และการตดตงซอฟตแวรใหม

เพอทดแทนของเดมทเสยหาย 5.2.3 ผดแลระบบจะตองท าการบ ารงรกษาระบบคอมพวเตอรและอปกรณสนบสนน

เพอปองกนความเสยหายทอาจเกดขนกบระบบ


สวนท 16 นโยบายดานการปฏบตตามขอบงคบ

(Compliance Policy) 1. วตถประสงค

การปฏบตตามขอบงคบดานกฎหมาย เพอลดความเสยงทเกดจากการละเมดขอบงคบทางกฎหมายทเกยวของกบการด าเนนงานขององคกร การทองคกรทราบถงขอก าหนดตาง ๆ ทเกยวของ จะสามารถท าใหองคกรมความตระหนกถงความเสยงทเกดขนรวมทงวางมาตรการควบคมทเหมาะสมได เพอปองกนความเสยหายทอาจเกดขนจากการละเมดดงกลาว

2. ผรบผดชอบ 1. ศนยสารสนเทศ 2. กองนตการ 3. ผดแลระบบทไดรบมอบหมาย 4. เจาหนาททไดรบมอบหมาย 5. ผใชงาน

3. แนวปฏบตในการปฏบตตามขอบงคบ 3.1 การปฏบตตามขอบงคบดานกฎหมาย

บรรดากฎหมายใด ๆ ทไดประกาศใชในประเทศไทย ถอเปนสงส าคญทผใชงานคอมพวเตอรจะตองตระหนกและปฏบตตามอยางเครงครด และไมกระท าความผดนน ดงนน หากผใชงานคอมพวเตอรกระท าผดตามกฎหมายดงกลาว องคกรถอวาความผดนนเปนความผดสวนบคคล 3.2 การปกปองขอมลสวนบคคล

3.2.1 ขอมลรายละเอยดทเกยวกบการด าเนนงานขององคกร ถอวาเปนขอมลทมความส าคญ เฉพาะเจาหนาททไดรบมอบหมายตามหนาทงานหรอไดรบอนญาตจากผบรหารเทานน ทสามารถเปลยนแปลงแกไขขอมลดงกลาวได

3.2.2 ขอมลสวนตวของเจาหนาทถอวาเปนขอมลลบ และสามารถเปดเผยไดเฉพาะผทมสทธ เชน เจาหนาทเอง หรอผท างานทมความเกยวของเทานน อยางไรกดองคกรสงวนสทธ ในการเขาถงขอมลทงหมดทสรางและเกบอยในระบบสารสนเทศขององคกร

3.3 ลขสทธซอฟตแวร 3.3.1 หามมใหเจาหนาทน าซอฟตแวรภายนอกมาใชในระบบประมวลผลขององคกร โดยมได

รบอนญาตเปนลายลกษณอกษรจากผบงคบบญชาในหนวยงาน โดยผบงคบบญชาฯ ตองสอบทานกบศนยสารสนเทศ ในเรองลขสทธขององคกรและความเสยงดานความปลอดภยสารสนเทศในการน าซอฟตแวรดงกลาวมาใชตามล าดบ

3.3.2 เจาหนาทตองไมท าส าเนา หรอเผยแพรซอฟตแวรทองคกรไดจดซอลขสทธเพอการใชงาน ยกเวนการท าส าเนานนเพยงแตเพอไวใชส าหรบเหตฉกเฉนหรอเพอเปนส าเนาไวใชแทนซอฟตแวรตนฉบบเทานน

3.3.3 ซอฟตแวรทพฒนาภายในองคกร ทงโดยบคคลอนหรอเจาหนาทขององคกรถอวาเปนทรพยสนขององคกร องคกรไมอนญาตใหเจาหนาทท าส าเนาหรอเผยแพรซอฟตแวร ทเปนทรพยสนขององคกร โดยไมไดรบการอนญาตจากผบรหารเปนลายลกษณอกษร


3.3.4 ผทใชงานซอฟตแวรบนระบบสารสนเทศขององคกรทงหมด ตองยดถอและปฏบตตามกฎหมายลขสทธและขอก าหนดของผผลตซอฟตแวรอยางเครงครด

3.3.5 ซอฟตแวรทไดจดซอจากภายนอกอาจมเงอนไขในเรองลขสทธดานการใชงานทแตกตางกน หนวยงานทรบผดชอบดานการจดซอตองรบผดชอบในการศกษาถงเงอนไขดงกลาว จากศนยสารสนเทศ ตองสรางความตระหนกถงผใชงานซอฟตแวรดงกลาวไดทราบถงเงอนไขตาง ๆ และขอหามทเกยวของ

3.3.6 การจดซอหรอใชซอฟตแวรของบคคลอนตองปฏบตใหสอดคลองกบขอตกลงดานลขสทธ หามน าซอฟตแวรทซอไปตดตงทคอมพวเตอรเครองอนนอกเหนอจากเครองทไดมการตดตงแลวตามขอตกลงเรองลขสทธซอฟตแวร

3.3.7 ท าการตรวจสอบการใชงานคอมพวเตอรขององคกรอยางสม าเสมอ เพอใหมนใจวาการใชงานอปกรณคอมพวเตอรทกชนดเปนไปตามขอตกลงดานลขสทธซอฟตแวร

3.3.8 เจาหนาททฝาฝนละเมดขอตกลงดานลขสทธของเจาของซอฟตแวรถอวาเปนการละเมดนโยบายความปลอดภยสารสนเทศขององคกร ถงแมการละเมดนนจะเปนไปเพอการปฏบตงานขององคกรกตาม เจาหนาทตองรบผดชอบผลเสยหายทงหมด


สวนท 17 นโยบายการสอบทานการปฏบตตามนโยบายและแนวปฏบต

ในการรกษาความมนคงปลอดภยดานสารสนเทศ

1. วตถประสงค การสอบทานการปฏบตตามนโยบายการรกษาความมนคงปลอดภยดานสารสนเทศ เพอใหมนใจ

วานโยบายและมาตรฐานตาง ๆ ดานความปลอดภยสารสนเทศมการปฏบตตามอยางมประสทธผลในทางปฏบตองคกรจ าเปนตองมการตรวจสอบอยางสม าเสมอ ทงทางดานกระบวนการท างานรวมถงดานเทคนค ทงนการตรวจสอบมไดจ ากดเฉพาะหนวยงานตรวจสอบหรอ คณะท างานสอบทาน แตยงรวมถงการตรวจสอบภายในโดยหนวยงานของตนเอง

2. ผรบผดชอบ 1. ศนยสารสนเทศ 2. ผตรวจสอบภายใน (Internal Auditor) หรอผตรวจสอบจากภายนอก (External Auditor) 3. ผดแลระบบทไดรบมอบหมาย

3. แนวทางปฏบตในการสอบทาน 3.1 การปฏบตตามนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ

3.1.1 ก าหนดใหมคณะท างานสอบทาน ระบบการรกษาความมนคงปลอดภยของระบบเทคโนโลยสารสนเทศ

3.1.2 ด าเนนการสอบทานระบบการรกษาความมนคงปลอดภยของระบบเทคโนโลยสารสนเทศ รวมถงการปฏบตงาน ขนตอน และกระบวนการทเกยวของดานความปลอดภยสารสนเทศ วาสอดคลองกบนโยบายหรอไม โดยรายงานสรปผลเปนรายไตรมาสหรออยางนอย ทก 6 เดอน ให CIO ทราบพรอมเสนอแนะแนวทางปรบปรงแกไขในกรณทพบวาระบบการรกษาความมนคงปลอดภยของระบบเทคโนโลยสารสนเทศมจดบกพรอง

3.1.3 หวหนางานในแตละหนวยงานตองรบผดชอบในการสอบทานอยางสม าเสมอ ถงการปฏบตงานวาสอดคลองกบนโยบาย และกระบวนการทเกยวของดานความปลอดภยสารสนเทศ โดยศนยสารสนเทศรบผดชอบในการสนบสนนดานการใหค าแนะน าในการปฏบตตามขอก าหนดดานความปลอดภยสารสนเทศทเกยวของกบการปฏบตงานดงกลาว

3.1.4 ก าหนดใหมการตรวจสอบและประเมนความเสยง โดยผตรวจสอบภายในหนวยงานภาครฐ (Internal Auditor) หรอโดยผตรวจสอบอสระดานความมนคงปลอดภยจากภายนอก (External Auditor) อยางนอยปละ 1 ครง

3.1.5 รายการทสอบทาน 3.1.5.1 การปองกนการบกรกระบบ 3.1.5.2 การส ารองขอมล 3.1.5.3 การควบคมการเขาหองหองควบคมระบบเครอขาย 3.1.5.4 การควบคมผเขา-ออกอาคาร


3.1.5.5 การซอมรบสถานการณฉกเฉน 3.2 การก ากบดแลการปฏบตตามดานเทคนค

3.2.1 ผบรหารตองก ากบดแลเพอใหมนใจวาเจาหนาททราบถงความรบผดชอบดานการรกษาความปลอดภยสารสนเทศและไดมการปฏบตในทางทเหมาะสม ซงอาจรวมถงการจดใหมมาตรการในการวดผลการปฏบตงานของเจาหนาทจากการปฏบตตามมาตรฐานความปลอดภยของสารสนเทศ

3.2.2 แผนกดานตรวจสอบภายในหรอคณะท างานสอบทานตองตรวจสอบการควบคมทางดานเทคนคของระบบสารสนเทศ เพอตรวจสอบวามความเพยงพอและเหมาะสมหรอไม รวมทงการปฏบตตามการควบคมเหลานน

3.2.3 ในระบบสารสนเทศโดยเฉพาะระบบทส าคญและมความเสยงสง ตองมการทดสอบระดบมาตรฐานความปลอดภยของระบบสารสนเทศอยางสม าเสมอ เชน การทดสอบการเจาะระบบ เปนตน เพอตรวจสอบถงจดเปราะบางของระบบและประสทธผลของการควบคมดานความปลอดภย

3.2.4 เครองมอทใชในการตรวจสอบระบบคอมพวเตอรทงหมด ซงรวมถงซอฟตแวร ระบบงาน และเอกสาร ทจ าเปนส าหรบงานตรวจสอบระบบคอมพวเตอร ตองไดรบการปกปอง จากการลกลอบใชงานหรอใชในทางทผดวตถประสงค และการควบคมจ ากดการเขาใชงานใหเฉพาะแผนกทเกยวของกบการตรวจสอบเทานน


สวนท 18 นโยบายการสรางความตระหนกในเรองการรกษาความมนคงปลอดภย

ดานสารสนเทศ (Information Security Awareness Policy)

1. วตถประสงค เพอเผยแพรนโยบายและแนวปฏบตใหกบบคลากรและบคคลทเกยวของ ไดมความรความ

เขาใจและตระหนกถงความส าคญของการรกษาความมนคงปลอดภยดานสารสนเทศ ตลอดจนสามารถน าไปปฏบตไดอยางถกตอง

2. ผรบผดชอบ 1. ศนยสารสนเทศ 2. สวนถายทอดเทคโนโลยการประมง ส านกพฒนาและถายทอดเทคโนโลยการประมง 3. ฝายประชาสมพนธ ส านกงานเลขานการกรม 4. หนวยงานทไดรบมอบหมายในการจดฝกอบรม 5. ผดแลระบบทไดรบมอบหมาย 6. เจาหนาททไดรบมอบหมาย

3. แนวปฏบตการสรางความตระหนกในเรองการรกษาความมนคงปลอดภยดานสารสนเทศ 3.1 จดฝกอบรมแนวปฏบตตามนโยบายอยางสม าเสมอ โดยการจดฝกอบรมอาจใชวธการเสรมเนอหา

แนวปฏบตตามนโยบายเขากบหลกสตรอบรมตาง ๆ ตามแผนการฝกอบรมของหนวยงาน 3.2 จดท าคมอการใชงานระบบสารสนเทศอยางปลอดภย และมการเผยแพรทางเวบไซตของหนวยงาน 3.3 ใหความรเกยวกบแนวปฏบต ในลกษณะเกรดความร หรอขอระวงในรปแบบทสามารถเขาใจ

และน าไปปฏบตไดงาย ซงมการปรบเปลยนเกรดความรอยเสมอ โดยการตดประกาศ ประชาสมพนธ แผนพบ เผยแพรผานเวบไซต

3.4 ระดมการมสวนรวมและลงสภาคปฏบต ดวยการก ากบ ตดตาม ประเมนผล และส ารวจความตองการของผใชบรการ

http://extension.fisheries.go.th/

http://www.fisheries.go.th/secretary/

นโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัย...

Documents