แนวปฏบตในการรกษาความมนคงปลอดภย ดานสารสนเทศ ของกระทรวงสาธารณสข

ประกาศ ณ วนท ๗ มกราคม ๒๕๕๖

สารบญ หนา ค านยาม ๑ หมวดท ๑ การควบคมการเขาถงและการใชงานระบบสารสนเทศ ๓

สวนท ๑. การควบคมการเขาถงสารสนเทศ ๓ สวนท ๒. การบรหารจดการการเขาถงของผใช ๕ สวนท ๓. การก าหนดหนาทความรบผดชอบของผใชงาน ๗ สวนท ๔. การบรหารจดการสนทรพย ๙ สวนท ๕. การควบคมการเขาถงเครอขาย ๑๐ สวนท ๖. การควบคมการเขาถงระบบปฏบตการ ๑๓ สวนท ๗. การควบคมการเขาถงโปรแกรมประยกตหรอแอพพลเคชนและสารสนเทศ ๑๕ สวนท ๘. การบรหารจดการซอฟตแวรและลขสทธ และการปองกนโปรแกรม

ไมประสงคด ๑๗ สวนท ๙. การปฏบตงานจากภายนอกส านกงาน ๑๙ สวนท ๑๐. การควบคมการเขาถงระบบเครอขายไรสาย ๒๐ สวนท ๑๑. การควบคมการใชงานอปกรณปองกนเครอขาย ๒๑ สวนท ๑๒. การควบคมการใชจดหมายอเลกทรอนกส ๒๒ สวนท ๑๓. การควบคมการใชอนเตอรเนต ๒๔ สวนท ๑๔. การใชงานเครองคอมพวเตอรสวนบคคล ๒๕ สวนท ๑๕. การใชงานเครองคอมพวเตอรแบบพกพา ๒๗ สวนท ๑๖. การตรวจจบการบกรก ๒๙ สวนท ๑๗. การตดตงและก าหนดคาของระบบ ๓๐ สวนท ๑๘. การจดเกบขอมลจราจรคอมพวเตอร ๓๒

หมวดท ๒ การรกษาความปลอดภยฐานขอมลและส ารองขอมล ๓๓ สวนท ๑. การรกษาความปลอดภยฐานขอมล ๓๓ สวนท ๒. การส ารองขอมล ๓๕

หมวดท ๓ การตรวจสอบและประเมนความเสยงดานสารสนเทศ ๓๗ สวนท ๑. การตรวจสอบและประเมนความเสยง ๓๗ สวนท ๒. ความเสยงทอาจเปนอตรายตอระบบเทคโนโลยสารสนเทศ ๓๘

หมวดท ๔ การรกษาความปลอดภยดานกายภาพ สถานทและสภาพแวดลอม ๔๐ หมวดท ๕ การด าเนนการตอบสนองเหตการณความมนคงปลอดภยทางระบบสารสนเทศ ๔๔ หมวดท ๖ การสรางความตระหนกในเรองการรกษาความปลอดภยของ ๔๕

ระบบเทคโนโลยสารสนเทศ

หมวดท ๗ หนาทและความรบผดชอบ ๔๖ ภาคผนวก ๑ การจดท าประกาศแนวนโยบายและแนวปฏบต ในการรกษาความมนคงปลอดภยดานสารสนเทศ ภาคผนวก ๒ แนวปฏบต เมอเกดฟชชง (Phishing) ทเวบเซอรเวอรของหนวยงาน

แนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ ของกระทรวงสาธารณสข หนา ๑

แนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ ของกระทรวงสาธารณสข

ตามประกาศกระทรวงสาธารณสข เรอง นโยบายในการรกษาความมนคงปลอดภยดานสารสนเทศของกระทรวงสาธารณสข ก าหนดใหมการจดท าแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศของกระทรวงสาธารณสข เพอใหระบบเทคโนโลยสารสนเทศของกระทรวงสาธารณสข เปนไปอยางเหมาะสม มประสทธภาพ มความมนคงปลอดภย และสามารถด าเนนงานไดอยางตอเนอง รวมทงปองกนปญหาทอาจจะเกดขนจากการใชงานระบบเทคโนโลยสารสนเทศในลกษณะทไมถกตอง และจากการถกคกคามจากภยตาง ๆ ซงอาจกอใหเกดความเสยหายตอกระทรวงสาธารณสขนน

กระทรวงสาธารณสข จงก าหนดแนวปฏบตในการใชระบบสารสนเทศใหมความมนคงปลอดภย ดงน ขอ ๑ ค านยาม

“หนวยงาน” หมายถง กรม ส านก สถาบน ศนย กอง และหนวยงานทมฐานะเทยบเทากรม/กอง รวมถงหนวยงานสวนภมภาค ทอยในสงกดกระทรวงสาธารณสข

“ผใชงาน” หมายถง ขาราชการ ลกจาง และพนกงานราชการ ผดแลระบบ ผบรหารองคกร ผรบบรการ หรอผทไดรบอนญาตใหใชเครองคอมพวเตอรและระบบเครอขายของหนวยงาน

“ผบรหาร” หมายถง ผมอ านาจในการบงคบบญชาในหนวยงาน ไดแก ปลดกระทรวง อธบดหรอเทยบเทา ผอ านวยการส านก/สถาบน/ศนย/กอง เปนตน

“ผบรหารระดบสง” หมายถง ปลดกระทรวง อธบดหรอเทยบเทา “ผดแลระบบ” (System Administrator) หมายถง ผทไดรบมอบหมายจากหวหนาหนวยงาน

ใหมหนาทรบผดชอบดแลรกษาหรอจดการระบบคอมพวเตอรและระบบเครอขายไมวาสวนหนงสวนใด “เจาของขอมล” หมายถง ผไดรบมอบอ านาจจากหวหนาหนวยงานใหรบผดชอบขอมล

ของระบบงาน โดยเจาของขอมลเปนผรบผดชอบขอมลนน ๆ หรอไดรบผลกระทบโดยตรงหากขอมลเหลานน เกดสญหาย

“สทธของผใชงาน” หมายถง สทธทวไป สทธจ าเพาะ สทธพเศษ และสทธอนใดทเกยวของกบระบบสารสนเทศของหนวยงาน โดยหนวยงานจะเปนผพจารณาสทธในการใชสนทรพย “สนทรพย” หมายถง ขอมล ระบบขอมล และทรพยสนดานเทคโนโลยสารสนเทศและการสอสารของหนวยงาน เชน เครองคอมพวเตอรแบบตงโตะและแบบพกพา อปกรณสอสารทสามารถเชอมตอกบระบบเครอขาย อาทเชน โทรศพทเคลอนททสามารถเชอมตอกบระบบเครอขายได (Smartphone) อปกรณระบบเครอขาย ฮารดแวรและซอฟตแวร รวมถงซอฟตแวรทมลขสทธ เปนตน

“ระบบเครอขาย” หมายถง ระบบทสามารถใชในการตดตอสอสารหรอการสงขอมลและสารสนเทศระหวางระบบเทคโนโลยสารสนเทศตาง ๆ ของหนวยงานได เชน ระบบเครอขายแบบมสาย (LAN) และระบบเครอขายแบบไรสาย (Wireless LAN) เปนตน

“การเขาถงหรอควบคมการใชงานสารสนเทศ” หมายถง การอนญาต การก าหนดสทธ หรอการมอบอ านาจใหผใชงานเขาถง หรอใชงานเครอขายหรอระบบสารสนเทศ ทงทางอเลกทรอนกสและทางกายภาพ รวมทงการอนญาตเชนวานนส าหรบบคคลภายนอก ตลอดจนอาจก าหนดขอปฏบตเกยวกบการเขาถงโดยมชอบเอาไวดวยกได “ความมนคงปลอดภยดานสารสนเทศ” หมายถง การธ ารงไวซงความลบ ความถกตองครบถวน และสภาพพรอมใชงานของสารสนเทศ รวมทงคณสมบตอน ไดแก ความถกตองแทจรง ความรบผด การหามปฏเสธความรบผด และความนาเชอถอ

แนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ ของกระทรวงสาธารณสข หนา ๒

“เหตการณดานความมนคงปลอดภย” หมายถง การเกดเหตการณ สภาพของบรการ หรอเครอขายทแสดงใหเหนความเปนไปได ทจะเกดการฝาฝนนโยบายดานความมนคงปลอดภย หรอมาตรการปองกนทลมเหลว หรอเหตการณอนไมอาจรไดวาอาจเกยวของกบความมนคงปลอดภย “สถานการณดานความมนคงปลอดภยทไมพงประสงคหรอไมอาจคาดคด” หมายถง สถานการณดานความมนคงปลอดภยทไมพงประสงคหรอไมอาจคาดคด ซงอาจท าใหระบบของหนวยงานถกบกรกหรอโจมต และความมนคงปลอดภยถกคกคาม

แนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ ของกระทรวงสาธารณสข หนา ๓

หมวดท ๑ การควบคมการเขาถงและการใชงานระบบสารสนเทศ

วตถประสงค

๑ เพอควบคมการเขาถงขอมลและอปกรณในการประมวลผลขอมลโดยค านงถงการใชงานและความมงคงปลอดภย

๒ เพอก าหนดกฎเกณฑทเกยวกบการอนญาตใหเขาถง การก าหนดสทธ และการมอบอ านาจของหนวยงานของรฐ

๓ เพอใหผใชงานไดรบรเขาใจและสามารถปฏบตตามแนวทางทก าหนดโดยเครงครด และตระหนกถงความส าคญของการรกษาความมนคงปลอดภยของระบบสารสนเทศ

แนวปฎบต สวนท ๑ การควบคมการเขาถงสารสนเทศ (Access Control)

ขอ ๑. ผดแลระบบ จะอนญาตใหผใชงานเขาถงระบบสารสนเทศทตองการใชงานได ตอเมอไดรบอนญาตจาก ผรบผดชอบ/เจาของขอมล/เจาของระบบ ตามความจ าเปนตอการใชงาน เทานน

ขอ ๒. บคคลจากหนวยงานภายนอกทตองการสทธในการเขาใชงานระบบสารสนเทศของหนวยงานจะตองขออนญาตเปนลายลกษณอกษรตอหวหนาหนวยงาน

ขอ ๓. ผดแลระบบ ตองก าหนดสทธการเขาถงขอมลและระบบขอมลใหเหมาะสมกบการเขาใชงานของผใชงาน และหนาทความรบผดชอบในการปฏบตงานของผใชงานระบบสารสนเทศ รวมทงมการทบทวนสทธการเขาถงอยางสม าเสมอ ดงน

(๑) ก าหนดเกณฑในการอนญาตใหเขาถงการใชงานสารสนเทศ ทเกยวของกบการอนญาต การก าหนดสทธ หรอการมอบอ านาจ ดงน (๑.๑) ก าหนดสทธของผใชงานแตละกลมทเกยวของ เชน

- อานอยางเดยว - สรางขอมล - ปอนขอมล - แกไข - อนมต - ไมมสทธ

(๑.๒) ก าหนดเกณฑการระงบสทธ มอบอ านาจ ใหเปนไปตามการบรหารจดการ การเขาถงของผใชงาน (user access management) ทไดก าหนดไว

(๑.๓) ผใชงานทตองการเขาใชงานระบบสารสนเทศของหนวยงานจะตองขออนญาตเปนลายลกษณอกษรและไดรบการพจารณาอนญาตจากหวหนาหนวยงานหรอผดแลระบบทไดรบมอบหมาย

(๒) การแบงประเภทของขอมลและการจดล าดบความส าคญหรอล าดบชนความลบของขอมล ใชแนวทางตามระเบยบวาดวยการรกษาความลบของทางราชการ พ.ศ.๒๕๔๔ ซงระเบยบดงกลาวเปนมาตรการทละเอยด รอบคอบ ถอวาเปนแนวทางทเหมาะสม ในการจดการเอกสารอเลกทรอนกส และในการรกษาความปลอดภยของเอกสารอเลกทรอนกส โดยไดก าหนดกระบวนการและกรรมวธตอเอกสารทส าคญไว ดงน

แนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ ของกระทรวงสาธารณสข หนา ๔

(๒.๑) จดแบงประเภทของขอมล ออกเปน - ขอมลสารสนเทศดานการบรหาร เชน ขอมลนโยบาย ขอมลยทธศาสตร

และค ารบรอง ขอมลบคลากร ขอมลงบประมาณการเงนและบญช เปนตน - ขอมลสารสนเทศดานการแพทยและการสาธารณสข เชน ขอมลผปวย

ขอมลทางการแพทย ขอมลสถานพยาบาล เปนตน (๒.๒) จดแบงระดบความส าคญของขอมล ออกเปน ๓ ระดบ คอ

- ขอมลทมระดบความส าคญมากทสด - ขอมลทมระดบความส าคญปานกลาง - ขอมลทมระดบความส าคญนอย

(๒.๓) จดแบงล าดบชนความลบของขอมล - ขอมลลบทสด หมายถง หากเปดเผยทงหมดหรอเพยงบางสวนจะกอใหเกด

ความเสยหายอยางรายแรงทสด - ขอมลลบมาก หมายถง หากเปดเผยทงหมดหรอเพยงบางสวนจะกอใหเกด

ความเสยหายอยางรายแรง - ขอมลลบ หมายถง หากเปดเผยทงหมดหรอเพยงบางสวนจะกอใหเกด

ความเสยหาย - ขอมลทวไป หมายถง ขอมลทสามารถเปดเผยหรอเผยแพรทวไปได

(๒.๔) จดแบงระดบชนการเขาถง - ระดบชนส าหรบผบรหาร - ระดบชนส าหรบผใชงานทวไป

- ระดบชนส าหรบผดแลระบบหรอผทไดมอบหมาย (๒.๕) รปแบบของเอกสารอเลกทรอนกส แบงไดดงน

- รปแบบเอกสารขอความ (Text Format) เปนไฟลทผลตจากเครองมอทเปนซอฟตแวร ปกตเมอเปดไฟลจะสามารถเหนตวอกษรในไฟลและพอทจะอานขอความนนได ซงมรปแบบยอยอกหลายรปแบบ เชน TEXT Format, Document Format, PDF Format (Portable Document Format)

- รปแบบเอกสารภาพ (Image Format) เปนไฟลทผลตจากเครองมอทเปนซอฟตแวร มรปแบบทใช เชน JPEG Format, PNG or GIF Format, Bitmapping Format เปนตน

ขอ ๔. ผดแลระบบ ตองจดใหมการตดตงระบบบนทกและตดตามการใชงานระบบสารสนเทศของหนวยงาน และตรวจตราการละเมดความปลอดภยทมตอระบบสารสนเทศ

ขอ ๕. ผดแลระบบ ตองจดใหมการบนทกรายละเอยดการเขาถงระบบสารสนเทศและการแกไขเปลยนแปลงสทธตาง ๆ เพอเปนหลกฐานในการตรวจสอบ

ขอ ๖. ผดแลระบบ ตองจดใหมการบนทกการผานเขา-ออกสถานทตงของระบบสารสนเทศเพอเปนหลกฐานในการตรวจสอบ

ขอ ๗. ก าหนดเวลาการเขาถงระบบสารสนเทศ ดงน (๑) ระบบงานบรการ e-Service (Front Office) ส าหรบผใชงานภายนอกสามารถเขาถงได

ตลอดเวลา (๒) ระบบงานภายใน (Back Office) ส าหรบผใชงานภายในตามทหนวยงานก าหนด

แนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ ของกระทรวงสาธารณสข หนา ๕

สวนท ๒ การบรหารจดการการเขาถงของผใชงาน (User Access Management) ขอ ๘. ผดแลระบบ ตองก าหนดการลงทะเบยนผใชงานใหม ดงน

(๑) จดท าแบบฟอรมการลงทะเบยนผใชงาน ส าหรบระบบเทคโนโลยสารสนเทศ (๒) ผดแลระบบตองตรวจสอบบญชผใชงาน เพอไมใหมการลงทะเบยนซ าซอน (๓) ผดแลระบบตองตรวจสอบและใหสทธในการเขาถงทเหมาะสมตอหนาทความ

รบผดชอบ (ตามขอ ๓) (๔) ผดแลระบบตองก าหนดใหมการแจกเอกสารหรอสงทแสดงเปนลายลกษณอกษรใหแก

ผใชงานเพอแสดงถงสทธและหนาทความรบผดชอบของผใชงานในการเขาถงระบบเทคโนโลยสารสนเทศ

ขอ ๙. ผดแลระบบ ตองก าหนดการใชงานระบบเทคโนโลยสารสนเทศทส าคญ เชน ระบบคอมพวเตอรโปรแกรมประยกต (Application) จดหมายอเลกทรอนกส (E-Mail) ระบบเครอขายไรสาย (Wireless LAN) ระบบอนเตอรเนต (Internet) เปนตน โดยตองใหสทธเฉพาะการปฏบตงานในหนาทและไดรบความเหนชอบเปนลายลกษณอกษร

ขอ ๑๐. ผดแลระบบตองทบทวนบญชผใชงาน สทธการใชงาน อยางสม าเสมอ อยางนอย ปละ ๑ ครง เพอปองกนการเขาถงระบบโดยไมไดรบอนญาต โดยปฏบตตามแนวทาง ดงน

(๑) พมพรายชอของผทยงมสทธในระบบแยกตามหนวยงาน (๒) จดสงรายชอนนใหกบผบงคบบญชาของหนวยงานเพอด าเนนการทบทวนรายชอและ

สทธการเขาใชงานวาถกตองหรอไม (๓) ด าเนนการแกไขขอมล สทธตาง ๆ ใหถกตองตามทไดรบแจงกลบจากหนวยงาน (๔) ขนตอนปฏบตส าหรบการยกเลกสทธการใชงาน เมอลาออกตองด าเนนการภายใน ๓

วน หรอ เมอเปลยนต าแหนงงานภายในตองด าเนนการภายใน ๗ วน ขอ ๑๑. การบรหารจดการรหสผาน

(๑) ก าหนดการเปลยนแปลงและการยกเลกรหสผาน (Password) เมอผใชงานลาออก หรอพนจากต าแหนง หรอยกเลกการใชงาน

(๒) ก าหนดชอผใชงานหรอรหสผใชงานตองไมซ ากน (๓) สงมอบรหสผาน (Password) ชวคราวใหกบผใชงานดวยวธการทปลอดภย

หลกเลยงการใชบคคลอนหรอการสงจดหมายอเลกทรอนกส (E-Mail) ทไมมการปองกนในการสงรหสผาน (Password)

(๔) ก าหนดใหผใชงานตอบยนยนการไดรบรหสผาน (Password) (๕) ก าหนดจ านวนครงทยอมใหผใชงานใสรหสผาน (Password) ผดพลาดไดไมเกน ๓ ครง (๖) ก าหนดใหผใชงานไมบนทกหรอเกบรหสผาน (Password) ไวในระบบคอมพวเตอร

ในรปแบบทไมไดปองกนการเขาถง (๗) ในกรณมความจ าเปนตองใหสทธพเศษกบผใชงานทมสทธสงสด ผใชงานนนจะตอง

ไดรบความเหนชอบและอนมตจากหวหนาหนวยงาน โดยมการก าหนดระยะเวลา การใชงานและระงบการใชงานทนทเมอพนระยะเวลาดงกลาวหรอพนจากต าแหนง และมการก าหนดสทธพเศษทไดรบ วาสามารถเขาถงไดถงระดบใดไดบาง และตองก าหนดใหรหสผใชงานตางจากรหสผใชงานตามปกต

ขอ ๑๒. ผดแลระบบ ตองบรหารจดการการเขาถงขอมลตามประเภทชนความลบ ในการควบคมการเขาถงขอมลแตละประเภทชนความลบทงการเขาถงโดยตรงและการเขาถงผานระบบงาน รวมถงวธ การท าลายขอมลแตละประเภทชนความลบ มดงตอไปน

แนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ ของกระทรวงสาธารณสข หนา ๖

(๑) ควบคมการเขาถงขอมลแตละประเภทชนความลบทงการเขาถงโดยตรงและการเขาถงผานระบบงาน

(๒) ก าหนดรายชอผใชงาน (Username) และรหสผาน (Password) เพอใชในการตรวจสอบตวตนจรงของผใชงานขอมลในแตละชนความลบของขอมล

(๓) ก าหนดระยะเวลาการใชงานและระงบการใชงานทนทเมอพนระยะเวลาดงกลาว (๔) การรบสงขอมลส าคญผานระบบเครอขายสาธารณะ ควรไดรบการเขารหส

(Encryption) ทเปนมาตรฐานสากล เชน SSL, VPN หรอ XML Encryption เปนตน (๕) ก าหนดการเปลยนรหสผาน (Password) ตามระยะเวลาทก าหนดของระดบ

ความส าคญของขอมล (๖) ก าหนดมาตรการรกษาความมนคงปลอดภยของขอมลในกรณทน าสนทรพยออก

นอกหนวยงาน เชน บ ารงรกษา ตรวจซอม ใหด าเนนการส ารองและลบขอมลทเกบอยในสอบนทกกอน เปนตน

(๗) เจาของขอมลตองมการตรวจสอบความเหมาะสมของสทธในการเขาถงขอมลของผใชงาน อยางนอยปละ ๑ ครง เพอใหมนใจไดวาสทธตาง ๆ ทใหไวยงคงม ความเหมาะสม

ขอ ๑๓. ระบบงานสารสนเทศทางธรกจทเชอมโยงกน (Business Information Systems) ใหหวหนาหนวยงานพจารณาประเดนตาง ๆ ทางดานความมนคงปลอดภย และจดออนตาง ๆ กอนตดสนใจ ใชขอมลรวมกนในระบบงาน หรอระบบเทคโนโลยสารสนเทศทจะเชอมโยงเขาดวยกน เชน ระหวาง กระทรวงสาธารณสขหรอหนวยงานทมาขอเชอมโยง

(๑) ก าหนดนโยบายและมาตรการเพอควบคม ปองกน และบรหารจดการการใชขอมลรวมกน

(๒) พจารณาจ ากดหรอไมอนญาตการเขาถงขอมลสวนบคคล (๓) พจารณาวามบคลากรใดบางทมสทธหรอไดรบอนญาตใหเขาใชงาน (๔) พจารณาเรองการลงทะเบยนผใชงาน (๕) ไมอนญาตใหมการใชงานขอมลส าคญหรอขอมลลบรวมกนในกรณทระบบไมม

มาตรการปองกนเพยงพอ

แนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ ของกระทรวงสาธารณสข หนา ๗

สวนท ๓ การก าหนดหนาทความรบผดชอบของผใชงาน (User Responsibilities)

ขอ ๑๔. การใชงานรหสผาน ผใชงานตองปฏบต ดงน (๑) ผใชงานมหนาทในการปองกน ดแล รกษาขอมลบญชชอผใชงาน (Username) และ

รหสผาน (Password) โดยผใชงานแตละคนตองมบญชชอผใชงาน (Username) ของตนเอง หามใชรวมกบผอน รวมทงหามท าการเผยแพร แจกจาย ท าใหผอนลวงรรหสผาน (Password)

(๒) ก าหนดรหสผานประกอบดวยตวอกษรไมนอยกวา ๖ ตวอกษร ซงตองประกอบดวยตวเลข (Numerical character) ตวอกษร (Alphabet) และตวอกษรพเศษ (Special character)

(๓) ไมก าหนดรหสผานสวนบคคลจากชอหรอนามสกลของตนเอง หรอบคคลในครอบครว

(๔) ไมใชรหสผานสวนบคคลส าหรบการใชแฟมขอมลรวมกบบคคลอนผานเครอขายคอมพวเตอร

(๕) ไมใชโปรแกรมคอมพวเตอรชวยในการจ ารหสผานสวนบคคลอตโนมต (save password) ส าหรบเครองคอมพวเตอรสวนบคคลทผใชงานครอบครองอย

(๖) ไมจดหรอบนทกรหสผานสวนบคคลไวในสถานท ทงายตอการสงเกตเหนของบคคลอน (๗) ก าหนดรหสผานเรมตนใหกบผใชงานใหยากตอการเดา และการสงมอบรหสผาน

ใหกบผใชงานตองเปนไปอยางปลอดภย (๘) ผใชงานตองเปลยนรหสผาน (Password) ไมเกน ๑๘๐ วนหรอทกครงทมการ

แจงเตอนใหเปลยนรหสผาน ขอ ๑๕. การน าการเขารหส มาใชกบขอมลทเปนความลบ ผใชงานจะตองปฏบตตามระเบยบการ

รกษาความลบทางราชการ พ.ศ. ๒๕๔๔ และตองใชวธการเขารหส (Encryption) ทเปนมาตรฐานสากล ขอ ๑๖. การกระท าใด ๆ ทเกดจากการใชบญชของผใชงาน (Username) อนมกฎหมายก าหนดให

เปนความผด ไมวาการกระท านนจะเกดจากผใชงานหรอไมกตาม ใหถอวาเปนความรบผดชอบสวนบคคล ซงผใชงานจะตองรบผดชอบตอความผดทเกดขนเอง

ขอ ๑๗. ผใชงานตองท าการพสจนตวตนทกครงกอนทจะใชสนทรพยหรอระบบสารสนเทศของหนวยงาน และหากการพสจนตวตนนนมปญหา ไมวาจะเกดจากรหสผานลอกกด หรอเกดจากความผดพลาดใด ๆ กด ผใชงานตองแจงใหผดแลระบบทราบทนท โดยปฏบตตามแนวทาง ดงน

(๑) คอมพวเตอรทกประเภท กอนการเขาถงระบบปฏบตการตองท าการพสจนตวตนทกครง (๒) การใชงานระบบคอมพวเตอรอนในเครอขายจะตองท าการพสจนตวตนทกครง (๓) การใชงานอนเตอรเนต (Internet) ตองท าการพสจนตวตน และตองมการบนทก

ขอมลซงสามารถบงบอกตวตนบคคลผใชงานได (๔) เมอผใชงานไมอยทเครองคอมพวเตอร ตองท าการลอกหนาจอทกครง และตอง

ท าการพสจนตวตนกอนการใชงานทกครง (๕) เครองคอมพวเตอรทกเครองตองท าการตงเวลาพกหนาจอ (screen saver)

โดยตงเวลาอยางนอย ๑๕ นาท ขอ ๑๘. ผใชงานตองตระหนกและระมดระวงตอการใชงานขอมล ไมวาขอมลนนจะเปนของ

กระทรวงสาธารณสข หรอเปนขอมลของบคคลภายนอก

แนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ ของกระทรวงสาธารณสข หนา ๘

ขอ ๑๙. ขอมลทเปนความลบหรอมระดบความส าคญ ทอยในการครอบครอง/ดแลของ หนวยงาน หามไมใหท าการเผยแพร เปลยนแปลง ท าซ า หรอท าลาย โดยไมไดรบอนญาตจากหวหนาหนวยงาน

ขอ ๒๐. ผใชงานมสวนรวมในการดแลรกษาและรบผดชอบตอขอมลของกระทรวงสาธารณสข และขอมลของผรบบรการ หากเกดการสญหาย โดยน าไปใชในทางทผด การเผยแพรโดยไมไดรบอนญาต ผใชงานตองมสวนรวมในการรบผดชอบตอความเสยหายนนดวย

ขอ ๒๑. ผใชงานตองปองกน ดแล รกษาไวซงความลบ ความถกตอง และความพรอมใชของขอมล ตลอดจนเอกสาร สอบนทกขอมลคอมพวเตอร หรอสารสนเทศตาง ๆ ทเสยงตอการเขาถงโดยผซงไมมสทธ

ขอ ๒๒. ผใชงานมสทธโดยชอบธรรมทจะเกบรกษา ใชงาน และปองกนขอมลสวนบคคลตามเหนสมควร กระทรวงสาธารณสขจะใหการสนบสนนและเคารพตอสทธสวนบคคล และไมอนญาตใหบคคลหนงบคคลใดท าการละเมดตอขอมลสวนบคคลโดยไมไดรบอนญาตจากผใชงานทครอบครองขอมลนน ยกเวนในกรณทกระทรวงสาธารณสขตองการตรวจสอบขอมล หรอคาดวาขอมลนนเกยวของกบกระทรวงสาธารณสข ซงกระทรวงสาธารณสขอาจแตงตงใหผท าหนาทตรวจสอบ ท าการตรวจสอบขอมลเหลานนไดตลอดเวลา โดยไมตองแจงใหผใชงานทราบ

ขอ ๒๓. หามเปดหรอใชงาน (Run) โปรแกรมประเภท Peer-to-Peer (หมายถง วธการจดเครอขายคอมพวเตอรแบบหนง ทก าหนดใหคอมพวเตอรในเครอขายทกเครองเหมอนกนหรอเทาเทยมกน หมายความวา แตละเครองตางมโปรแกรมหรอมแฟมขอมลเกบไวเอง การจดแบบนท าใหสามารถใชโปรแกรมหรอแฟมขอมลของคอมพวเตอรเครองใดกได แทนทจะตองใชจากเครองบรการแฟม (File Server) เทานน) หรอโปรแกรมทมความเสยงในระดบเดยวกน เชน บทเทอรเรนท(Bittorrent), อมล (Emule) เปนตน เวนแตจะไดรบอนญาตจากหวหนาหนวยงาน

ขอ ๒๔. หามเปดหรอใชงาน (Run) โปรแกรมออนไลนทกประเภท เพอความบนเทง เชน การดหนง ฟงเพลง เกมส เปนตน ในระหวางเวลาปฏบตราชการ

ขอ ๒๕. หามใชสนทรพยของหนวยงาน ทจดเตรยมให เพอการเผยแพร ขอมล ขอความ รปภาพ หรอสงอนใด ทมลกษณะขดตอศลธรรม ความมนคงของประเทศ กฎหมาย หรอกระทบตอภารกจของกระทรวงสาธารณสข

ขอ ๒๖. หามใชสนทรพยของหนวยงาน เพอการรบกวน กอใหเกดความเสยหาย หรอใชในการโจรกรรมขอมล หรอสงอนใดอนเปนการขดตอกฎหมายและศลธรรม หรอกระทบตอภารกจของกระทรวงสาธารณสข

ขอ ๒๗. หามใชสนทรพยของกระทรวงสาธารณสขเพอประโยชนทางการคา ขอ ๒๘. หามกระท าการใด ๆ เพอการดกขอมล ไมวาจะเปนขอความ ภาพ เสยง หรอสงอนใด

ในเครอขายระบบสารสนเทศของกระทรวงสาธารณสข โดยเดดขาด ไมวาจะดวยวธการใด ๆ กตาม ขอ ๒๙. หามกระท าการรบกวน ท าลาย หรอท าใหระบบสารสนเทศของหนวยงานตองหยดชะงก ขอ ๓๐. หามใชระบบสารสนเทศของกระทรวงสาธารณสข เพอการควบคมคอมพวเตอรหรอระบบ

สารสนเทศภายนอก โดยไมไดรบอนญาตจากหวหนาหนวยงานหรอผดแลระบบทไดรบมอบหมาย ขอ ๓๑. หามกระท าการใด ๆ อนมลกษณะเปนการลกลอบใชงานหรอรบรรหสสวนบคคลของผอน

ไมวาจะเปนกรณใด ๆ เพอประโยชนในการเขาถงขอมล หรอเพอการใชทรพยากรกตาม ขอ ๓๒. หามตดตงอปกรณหรอกระท าการใด ๆ เพอเขาถงระบบสารสนเทศของกระทรวง

สาธารณสข โดยไมไดรบอนญาตจากหวหนาหนวยงานหรอผดแลระบบทไดรบมอบหมาย

แนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ ของกระทรวงสาธารณสข หนา ๙

สวนท ๔ การบรหารจดการสนทรพย (Assets Management)

ขอ ๓๓. ผใชงานตองไมเขาไปในหองปฏบตการเครอขายคอมพวเตอร (Operation Center หมายถง สถานททใชส าหรบตดตงเครองคอมพวเตอรแมขายและ/หรออปกรณบรหารจดการเครอขาย) ทเปนเขตหวงหามโดยเดดขาด เวนแตไดรบอนญาตจากผดแลระบบ

ขอ ๓๔. ผใชงานตองไมน าอปกรณหรอชนสวนใดออกจากหองปฏบตการเครอขายคอมพวเตอร เวนแตจะไดรบอนญาตจากผดแลระบบ

ขอ ๓๕. ผใชงานตองไมน าเครองมอ หรออปกรณอนใด เชอมเขาเครอขายเพอการประกอบธรกจสวนบคคล

ขอ ๓๖. ผใชงานตองไมคดลอกหรอท าส าเนาแฟมขอมลทมลขสทธก ากบการใชงาน กอนได รบอนญาต และผใชงานตองไมใช หรอลบแฟมขอมลของผอน ไมวากรณใด ๆ

ขอ ๓๗. ผใชงานตองท าลายขอมลส าคญในอปกรณสอบนทกขอมล แฟมขอมล กอนทจะก าจดอปกรณดงกลาว และใชเทคนคในการลบหรอเขยนขอมลทบบนขอมลทมความส าคญในอปกรณส าหรบจดเกบขอมลกอนทจะอนญาตใหผอนน าอปกรณนนไปใชงานตอ เพอปองกนไมใหมการเขาถงขอมลส าคญนนได และพจารณาวธการท าลายขอมลบนสอบนทกขอมลแตละประเภท ดงน

ประเภทสอบนทกขอมล วธท าลาย กระดาษ ใชการหนดวยเครองหนท าลายเอกสาร Flash Drive - ใหการท าลายขอมลบน Flash Drive ตามมาตรฐาน DOD

5220.22 M ของกระทรวงกลาโหมสหรฐอเมรกา ซงเปนมาตรฐานการท าลายขอมลโดยการเขยนทบขอมลเดมหลายรอบ - ใชวธการทบหรอบดใหเสยหาย

แผน CD/DVD ใชการหนดวยเครองหนท าลายเอกสาร เทป ใชวธการทบหรอบดใหเสยหาย หรอเผาท าลาย ฮารดดสก - ใชการท าลายขอมลบนฮารดดสกตามมาตรฐาน DOD 5220.22 M

ของกระทรวงกลาโหมสหรฐอเมรกา ซงเปนมาตรฐานการท าลายขอมลโดยการเขยนทบขอมลเดมหลายรอบ - ใชวธการทบหรอบดใหเสยหาย

ขอ ๓๘. ผใชงานมหนาทตองรบผดชอบตอสนทรพยทหนวยงานมอบไวใหใชงานเสมอนหนงเปน

สนทรพยของผใชงานเอง โดยบรรดารายการสนทรพย (Asset lists) ทผใชงานตองรบผดชอบ การรบหรอคนสนทรพย จะถกบนทกและตรวจสอบทกครงโดยเจาหนาททหนวยงานมอบหมาย

ขอ ๓๙. กรณท างานนอกสถานทผใชงานตองดแลและรบผดชอบสนทรพยของหนวยงานทไดรบมอบหมาย

ขอ ๔๐. ผใชงานมหนาทตองชดใชคาเสยหายไมวาทรพยสนนนจะช ารด หรอสญหายตามมลคาทรพยสน หากความเสยหายนนเกดจากความประมาทของผใชงาน

ขอ ๔๑. ผใชงานตองไมใหผอนยม คอมพวเตอร หรอโนตบค ไมวาในกรณใด ๆ เวนแตการยมนนไดรบการอนมตเปนลายลกษณอกษรจากหวหนาหนวยงาน

แนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ ของกระทรวงสาธารณสข หนา ๑๐

ขอ ๔๒. ผใชงานมสทธใชสนทรพยและระบบสารสนเทศตาง ๆ ทหนวยงานจดเตรยมไวใหใชงาน โดยมวตถประสงคเพอการใชงานของหนวยงานเทานน หามมใหผใชงานน าสนทรพยและระบบสารสนเทศ ตาง ๆ ไปใชในกจกรรมทหนวยงานไมไดก าหนด หรอท าใหเกดความเสยหายตอกระทรวงสาธารณสข

ขอ ๔๓. ความเสยหายใด ๆ ทเกดจากการละเมดตามขอ ๔๒ ใหถอเปนความผดสวนบคคลโดยผใชงานตองรบผดชอบตอความเสยหายทเกดขน

แนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ ของกระทรวงสาธารณสข หนา ๑๑

สวนท ๕ การควบคมการเขาถงเครอขาย (Network Access Control)

ขอ ๔๔. มาตรการควบคมการเขา-ออกหองควบคมเครองคอมพวเตอรแมขาย (Server) (๑) ผตดตอจากหนวยงานภายนอกทกคน ตองท าการแลกบตรทใชระบตวตน เชน

บตรประชาชน หรอใบอนญาตขบข กบเจาหนาทรกษาความปลอดภย เพอรบบตร ผตดตอ (Visitor) แลวท าการลงบนทกขอมลลงในสมดบนทก ตามทระบไวในเอกสาร “บนทกการเขาออกพนท”

(๒) ผตดตอจากหนวยงานภายนอก ทน าอปกรณคอมพวเตอร หรออปกรณทใชในการปฏบตงานมาปฏบตงานทหองควบคมระบบเครอขาย ตองลงบนทกรายการอปกรณ ในแบบฟอรมการขออนญาตเขาออกตามทระบไวในเอกสาร “บนทกการเขาออกพนท” ใหถกตองชดเจน

(๓) ผดแลระบบ ตองตรวจสอบความถกตองของขอมลในสมดบนทก แบบฟอรมการ ขออนญาตเขาออกกบเจาหนาทรกษาความปลอดภยเปนประจ าทกเดอน

ขอ ๔๕. ผใชงานจะน าเครองคอมพวเตอร อปกรณมาเชอมตอกบเครองคอมพวเตอร ระบบเครอขายของหนวยงาน ตองไดรบอนญาตจากหวหนาหนวยงานและตองปฏบตตามนโยบายนโดยเครงครด โดยผใชงานตองกรอกแบบฟอรม “การขอเชอมตอเครอขาย” โดยดาวนโหลดผาน เวบไซตของกระทรวงสาธารณสข หวขอ Intranet สาธารณสข

ขอ ๔๖. การขออนญาตใชงานพนท Web Server ชอโดเมนยอย (Sub Domain Name) ทหนวยงานรบผดชอบอย จะตองท าหนงสอขออนญาตตอหวหนาหนวยงาน และจะตองไมตดตงโปรแกรม ใด ๆ ทสงผลกระทบตอการกระท าของระบบและผใชงานอน ๆ

ขอ ๔๗. หามผใดกระท าการเคลอนยาย ตดตงเพมเตมหรอท าการใด ๆ ตออปกรณสวนกลาง ไดแก อปกรณจดเสนทาง (Router) อปกรณกระจายสญญาณขอมล (Switch) อปกรณทเชอมตอกบระบบเครอขายหลก โดยไมไดรบอนญาตจากผดแลระบบ

ขอ ๔๘. ผดแลระบบ ตองควบคมการเขาถงระบบเครอขาย เพอบรหารจดการระบบเครอขายไดอยางมประสทธภาพ ดงตอไปน

(๑) ตองจ ากดสทธการใชงานเพอควบคมผใชงานใหสามารถใชงานเฉพาะระบบเครอขายทไดรบอนญาตเทานน

(๒) ตองจ ากดเสนทางการเขาถงระบบเครอขายทมการใชงานรวมกน (๓) ตองจ ากดการใชเสนทางบนเครอขายจากเครองคอมพวเตอรไปยงเครองคอมพวเตอร

แมขาย เพอไมใหผใชงานสามารถใชเสนทางอน ๆ ได (๔) ระบบเครอขายทงหมดของหนวยงานทมการเชอมตอไปยงระบบเครอขายอน ๆ

ภายนอกหนวยงานตองเชอมตอผานอปกรณปองกนการบกรก รวมทงตองมความสามารถในการตรวจจบโปรแกรมประสงคราย (Malware) ดวย

(๕) ระบบเครอขายตองตดตงระบบตรวจจบการบกรก (Intrusion Prevention System/Intrusion Detection System) เพอตรวจสอบการใชงานของบคคลทเขาใชงานระบบเครอขายของหนวยงานในลกษณะทผดปกต

(๖) การเขาสระบบเครอขายภายในหนวยงาน โดยผานทางระบบอนเตอรเนตจ าเปนตองมการลงบนทกเขาใชงาน (Login) โดยแสดงตวตนดวยชอผใชงาน และตองมการพสจนยนยนตวตน (Authentication) ดวยการใชรหสผาน เพอตรวจสอบความถกตองของผใชงานกอนทกครง

แนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ ของกระทรวงสาธารณสข หนา ๑๒

(๗) ตองปองกนมใหหนวยงานภายนอกทเชอมตอสามารถมองเหน IP Address ภายในของระบบเครอขายภายในของหนวยงาน

(๘) ตองจดท าแผนผงระบบเครอขาย (Network Diagram) ซงมรายละเอยดเกยวกบขอบเขตของระบบเครอขายภายในและเครอขายภายนอก และอปกรณตาง ๆ พรอมทงปรบปรงใหเปนปจจบนอยเสมอ

(๙) การระบอปกรณบนเครอขาย - ผดแลระบบมการเกบบญชการขอเชอมตอเครอขาย ไดแก รายชอผขอใชบรการ

รายละเอยด เครองคอมพวเตอรทขอใชบรการ IP Address และสถานทตดตง - ผดแลระบบตองจ ากดผใชงานทสามารถเขาใชอปกรณได - กรณอปกรณทมการเชอมตอจากเครอขายภายนอก ตองมการระบหมายเลข

อปกรณวาสามารถเขาเชอมตอกบเครอขายภายในไดหรอไมสามารถเชอมตอได - อปกรณเครอขายตองสามารถตรวจสอบ IP Address ของทงตนทางและ

ปลายทางได - ผขอใชบรการตองกรอกแบบฟอรม “การขอเชอมตอเครอขาย” โดยดาวนโหลด

ผาน เวบไซตของกระทรวงสาธารณสข หวขอ Intranet สาธารณสข - การเขาใชงานอปกรณบนเครอขายตองท าการพสจนตวตนทกครงทใชอปกรณ

ขอ ๔๙. ผดแลระบบ ตองบรหารควบคมเครองคอมพวเตอรแมขาย (Server) และรบผดชอบในการดแลระบบคอมพวเตอรแมขาย (Server) ในการก าหนดแกไข หรอเปลยนแปลงคาตาง ๆ ของซอฟตแวรระบบ (Systems Software)

ขอ ๕๐. การตดตงหรอปรบปรงซอฟตแวรของระบบงานตองมการขออนมตจากผดแลระบบใหตดตงกอนด าเนนการ

ขอ ๕๑. ก าหนดใหมการจดเกบซอรสโคด ไลบราร และเอกสารส าหรบซอฟตแวรของระบบงาน ไวในสถานททมความมนคงปลอดภย

ขอ ๕๒. การจดเกบขอมลจราจรทางคอมพวเตอร (Log) เพอใหขอมลจราจรทางคอมพวเตอร มความถกตองและสามารถระบถงตวบคคลไดตามแนวทาง พ.ร.บ. คอมพวเตอร ๒๕๕๐

ขอ ๕๓. ก าหนดมาตรการควบคมการใชงานระบบเครอขายและเครองคอมพวเตอรแมขาย (Server) จากผใชงานภายนอกหนวยงาน เพอดแลรกษาความปลอดภยของระบบ ตามแนวทางปฏบต ดงตอไปน

(๑) บคคลจากหนวยงานภายนอกทตองการสทธในการเขาใชงานระบบเครอขายและเครองคอมพวเตอรแมขาย (Server) ของหนวยงานจะตองท าเรองขออนญาตเปนลายลกษณอกษร เพอขออนญาตจากหวหนาหนวยงาน

(๒) มการควบคมชองทาง (Port) ทใชในการเขาสระบบอยางรดกม (๓) วธการใด ๆ ทสามารถเขาสขอมล หรอระบบขอมลไดจากระยะไกลตองไดรบการ

อนญาตจากหวหนาหนวยงาน (๔) การเขาสระบบจากระยะไกล ผใชงานตองแสดงหลกฐาน ระบเหตผลหรอความ

จ าเปนในการด าเนนงานกบหนวยงานอยางเพยงพอ (๕) การเขาสระบบเครอขายภายในและระบบสารสนเทศในหนวยงานจากระยะไกลตอง

มการลงบนทกเขาใชงาน (Login) โดยแสดงตวตนดวยชอผใชงาน และตองมการพสจนยนยนตวตน (Authentication) ดวยการใชรหสผาน เพอตรวจสอบความถกตองของผใชงานกอนทกครง

แนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ ของกระทรวงสาธารณสข หนา ๑๓

ขอ ๕๔. ก าหนดใหมการแบงแยกเครอขาย ดงตอไปน (๑) Internet แบงแยกเครอขายเปนเครอขายยอย ๆ ตามอาคารตาง ๆ เพอควบคมการ

เขาถงเครอขายโดยไมไดรบอนญาต (๒) Intranet แบงเครอขายภายในและเครอขายภายนอก เพอความปลอดภยในการใช

งานระบบสารสนเทศภายใน ขอ ๕๕. ก าหนดการปองกนเครอขายและอปกรณตาง ๆ ทเชอมตอกบระบบเครอขายอยางชดเจน

และตองทบทวนการก าหนดคา Parameter ตาง ๆ เชน IP Address อยางนอยปละ ๑ ครง นอกจากน การก าหนดแกไขหรอเปลยนแปลงคา parameter ตองแจงบคคลทเกยวของใหรบทราบทกครง

ขอ ๕๖. ระบบเครอขายทงหมดทมการเชอมตอไปยงระบบเครอขายอน ๆ ภายนอกหนวยงาน ตองเชอมตอผานอปกรณปองกนการบกรกหรอโปรแกรมในการท า Packet filtering เชน การใชไฟรวอลล (Firewall) หรอฮารดแวรอน ๆ รวมทงตองมความสามารถในการตรวจจบมลแวร (Malware) ดวย

ขอ ๕๗. ตองมการตดตงระบบตรวจจบการบกรก (IPS/IDS) เพอตรวจสอบการใชงานของบคคล ทเขาใชงานระบบเครอขายของหนวยงาน ในลกษณะทผดปกต โดยมการตรวจสอบการบกรกผานระบบเครอขาย การใชงานในลกษณะทผดปกต และการแกไขเปลยนแปลงระบบเครอขาย โดยบคคลทไมมอ านาจหนาทเกยวของ

ขอ ๕๘. IP address ของระบบงานเครอขายภายในจ าเปนตองมการปองกนมใหหนวยงานภายนอกทเชอมตอสามารถมองเหนได เพอเปนการปองกนไมใหบคคลภายนอกสามารถรขอมลเกยวกบโครงสรางของระบบเครอขายไดโดยงาย

ขอ ๕๙. การใชเครองมอตาง ๆ (Tools) เพอการตรวจสอบระบบเครอขายตองไดรบการอนมตจากผดแลระบบและจ ากดการใชงานเฉพาะเทาทจ าเปน

แนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ ของกระทรวงสาธารณสข หนา ๑๔

สวนท ๖ การควบคมการเขาถงระบบปฏบตการ (Operating System Access Control) ขอ ๖๐. ผดแลระบบ ตองก าหนดการลงทะเบยนบคลากรใหมของหนวยงาน (โดยปฏบตตามขอ ๘)

ในการใชงานตามความจ าเปนรวมทงขนตอนปฏบตส าหรบการยกเลกสทธการใชงาน (โดยปฏบตตามขอ ๑๐) เชน การลาออก หรอการเปลยนต าแหนงงานภายในหนวยงาน เปนตน

ขอ ๖๑. ก าหนดขนตอนการปฏบตเพอเขาใชงาน (๑) ผใชงานตองก าหนดรหสผานในการใชงานเครองคอมพวเตอรทรบผดชอบ (๒) หลงจากระบบตดตงเสรจ ตองยกเลกบญชผใชงานหรอเปลยนรหสผานของทกรหส

ผใชงานทไดถกก าหนดไวเรมตนทมาพรอมกบการตดตงระบบทนท (๓) ผใชงานตองตงคาการใชงานโปรแกรมถนอมหนาจอ (Screen saver) เพอท าการ

ลอกหนาจอภาพเมอไมมการใชงาน หลงจากนนเมอตองการใชงานผใชงานตอง ใสรหสผาน (Password) เพอเขาใชงาน

(๔) กอนการเขาใชระบบปฏบตการตองท าการลงบนทกเขาใชงาน (Login) ทกครง (๕) ผใชงานตองไมอนญาตใหผอนใชชอผใชงาน (Username) และรหสผาน

(Password) ของตนในการเขาใชงานเครองคอมพวเตอรของหนวยงานรวมกน (๖) ผใชงานตองท าการลงบนทกออก (Logout) ทนทเมอเลกใชงานหรอไมอยทหนาจอ

เปนเวลานาน (๗) หามเปดหรอใชงานโปรแกรมประเภท Peer-to-Peer หรอโปรแกรมทมความเสยง

เวนแตจะไดรบอนญาตจากหวหนาหนวยงานกระทรวงสาธารณสข (๘) ซอฟตแวรทกระทรวงสาธารณสข ใชมลขสทธ ผใชงานสามารถขอใชงานไดตาม

หนาทความจ าเปน และหามไมใหผใชงานท าการตดตงหรอใชงานซอฟตแวรอนใด ทไมมลขสทธ หากตรวจพบ ถอวาเปนความผดสวนบคคล ผใชงานรบผดชอบแตเพยงผเดยว

(๙) ซอฟทแวรทกระทรวงสาธารณสขจดเตรยมไวใหผใชงาน ถอเปนสงจ าเปน หามมใหผใชงานท าการตดตง ถอดถอนเปลยนแปลง แกไข หรอท าส าเนาเพอน าไปใชงาน ทอน

(๑๐) หามใชทรพยากรทกประเภททเปนของกระทรวงสาธารณสข เพอประโยชนทางการคา

(๑๑) หามผใชงานน าเสนอขอมลทผดกฎหมาย ละเมดลขสทธ แสดงขอความรปภาพ ไมเหมาะสม หรอขดตอศลธรรม กรณผใชงานสรางเวบเพจบนเครอขายคอมพวเตอร

(๑๒) หามผใชงานของหนวยงาน ควบคมคอมพวเตอรหรอระบบสารสนเทศภายนอก โดยไมไดรบอนญาตจากหวหนาหนวยงาน

ขอ ๖๒. การระบและยนยนตวตนของผใชงาน (User Identification and Authentication) ก าหนดใหผใชงานแสดงตวตนดวยชอผใชงาน และตองมการพสจนยนยนตวตนดวยการใชรหสผาน เพอตรวจสอบความถกตองของผใชงานกอนทกครง

ขอ ๖๓. การใชงานโปรแกรมประเภทยทลต (Use of system utilities) ตองจ ากดและควบคมการใชงาน โปรแกรมยทลตส าหรบโปรแกรมคอมพวเตอรทส าคญ เนองจากการใชงานโปรแกรมยทลตบางชนดสามารถท าใหผใชหลกเลยงมาตรการปองกนทางดานความมนคงปลอดภยของระบบได เพอปองกนการละเมด หรอหลกเลยงมาตรการความมนคงปลอดภยทไดก าหนดไวหรอทมอยแลว ใหด าเนนการ ดงน

แนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ ของกระทรวงสาธารณสข หนา ๑๕

(๑) การใชงานโปรแกรมยทลต ตองไดรบการอนมตจากผดแลระบบ และตองมการพสจนยนยนตวตนส าหรบการเขาไปใชงานโปรแกรมยทลต เพอจ ากดและควบคมการ ใชงาน

(๒) โปรแกรมยทลตทน ามาใชงานตองไมละเมดลขสทธ (๓) ตองจดเกบโปรแกรมยทลตออกจากซอฟตแวรส าหรบระบบงาน (๔) มการจ ากดสทธผทไดรบอนญาตใหใชงานโปรแกรมยทลต (๕) ตองยกเลกหรอลบทงโปรแกรมยทลตและซอฟตแวรทเกยวของกบระบบงานทไมม

ความจ าเปนในการใชงาน รวมทงตองปองกนไมใหผใชงานสามารถเขาถงหรอใชงานโปรแกรมยทลตได

ขอ ๖๔. การก าหนดเวลาใชงานระบบสารสนเทศ (Session time-out) (๑) ก าหนดใหระบบสารสนเทศมการตดและหมดเวลาการใชงาน รวมทงปดการใชงาน

ดวย หลงจากทไมมกจกรรมการใชงานชวงระยะเวลา ๑๕ นาท (๒) ก าหนดใหระบบสารสนเทศมการตดและหมดเวลาการใชงานทสนขนส าหรบระบบ

สารสนเทศทมความเสยงสง ขอ ๖๕. การจ ากดระยะเวลาการเชอมตอระบบเทคโนโลยสารสนเทศ (Limitation of

connection time) (๑) ก าหนดใหระบบเทคโนโลยสารสนเทศมการจ ากดระยะเวลาการเชอมตอส าหรบการ

ใชงานเพอใหผใชงานสามารถใชงานไดนานทสดภายในระยะเวลาทก าหนด และก าหนดใหใชงานไดตามชวงเวลาการท างานทหนวยงานก าหนดเทานน

(๒) ก าหนดใหระบบเทคโนโลยสารสนเทศ ทมความส าคญสง ระบบงานทมการใชงานในสถานททมความเสยง (ในทสาธารณะหรอพนทภายนอกหนวยงาน) มการจ ากดชวงระยะเวลาการเชอมตอ

แนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ ของกระทรวงสาธารณสข หนา ๑๖

สวนท ๗ การควบคมการเขาถงโปรแกรมประยกตหรอแอพพลเคชนและสารสนเทศ (Application and Information Access Control)

ขอ ๖๖. ผดแลระบบ ตองก าหนดการลงทะเบยนผใชงานใหม (โดยปฏบตตามขอ ๘) ในการใชงานตามความจ าเปนรวมทงขนตอนปฏบตส าหรบการยกเลกสทธการใชงาน (โดยปฏบตตามขอ ๑๐) เชน การลาออก หรอการเปลยนต าแหนงงานภายในหนวยงาน เปนตน

ขอ ๖๗. ผดแลระบบ ตองก าหนดสทธการใชงานระบบเทคโนโลยสารสนเทศทส าคญ เชน ระบบคอมพวเตอรโปรแกรมประยกต (Application) จดหมายอเลกทรอนกส (E-Mail) ระบบเครอขายไรสาย (Wireless LAN) ระบบอนเตอรเนต (Internet) เปนตน โดยตองใหสทธเฉพาะการปฏบตงานในหนาท และตองไดรบความเหนชอบจากหวหนาหนวยงานเปนลายลกษณอกษร รวมทงตองทบทวนสทธดงกลาว อยางสม าเสมอ

ขอ ๖๘. ผดแลระบบ ตองก าหนดระยะเวลาในการเชอมตอระบบสารสนเทศ ทใชในการปฏบตงานระบบสารสนเทศตาง ๆ เมอผใชงานไมมการใชงานระบบสารสนเทศ เกน ๑๕ นาท ระบบจะยตการใชงาน ผใชงานตองท าการการลงบนทกเขาใชงาน (Login) กอนเขาระบบสารสนเทศอกครง

ขอ ๖๙. ผดแลระบบ ตองบรหารจดการสทธการใชงานระบบและรหสผานของบคลากรดงตอไปน (๑) ก าหนดการเปลยนแปลงและการยกเลกรหสผาน (Password) เมอผใชงานระบบ

ลาออก หรอพนจากต าแหนง หรอยกเลกการใชงาน (๒) ก าหนดใหผใชงานไมบนทกหรอเกบรหสผาน (Password) ไวในระบบคอมพวเตอร

ในรปแบบทไมไดปองกนการเขาถง (๓) ก าหนดชอผใชงานหรอรหสผใชงานตองไมซ ากน (๔) ในกรณมความจ าเปนตองใหสทธพเศษกบผใชงานทมสทธสงสด ผใชงานนนจะตอง

ไดรบความเหนชอบและอนมตจากหวหนาหนวยงาน โดยมการก าหนดระยะเวลา การใชงานและระงบการใชงานทนทเมอพนระยะเวลาดงกลาวหรอพนจากต าแหนง และมการก าหนดสทธพเศษทไดรบวาเขาถงไดถงระดบใดไดบาง และตองก าหนดใหรหสผใชงานตางจากรหสผใชงานตามปกต

ขอ ๗๐. ผดแลระบบ ตองบรหารจดการการเขาถงขอมลตามประเภทชนความลบในการควบคมการเขาถงขอมลแตละประเภทชนความลบทงการเขาถงโดยตรงและการเขาถงผานระบบงาน รวมถงวธการท าลายขอมลแตละประเภทชนความลบ ดงตอไปน

(๑) ตองควบคมการเขาถงขอมลแตละประเภทชนความลบทงการเขาถงโดยตรงและ การเขาถงผานระบบงาน

(๒) ตองก าหนดรายชอผใชงาน (Username) และรหสผาน (Password) เพอใชใน การตรวจสอบตวตนจรงของผใชงานขอมล ในแตละชนความลบของขอมล

(๓) ก าหนดระยะเวลาการใชงานและระงบการใชงานทนทเมอพนระยะเวลาดงกลาว (๔) การรบสงขอมลส าคญผานระบบเครอขายสาธารณะ ควรไดรบการเขารหส

(Encryption) ทเปนมาตรฐานสากล เชน SSL, VPN หรอ XML Encryption เปนตน

(๕) ก าหนดการเปลยนรหสผาน (Password) ตามระยะเวลาทก าหนดของระดบความส าคญของขอมล

แนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ ของกระทรวงสาธารณสข หนา ๑๗

(๖) ก าหนดมาตรการรกษาความมนคงปลอดภยของขอมลในกรณทน าสนทรพยออก นอกหนวยงาน เชน บ ารงรกษา ตรวจซอม ใหด าเนนการส ารองและลบขอมล ทเกบอยในสอบนทกกอน เปนตน

ขอ ๗๑. ระบบซงไวตอการรบกวน มผลกระทบและมความส าคญสง ใหปฏบตดงน (๑) แยกระบบทไวตอการรบกวนออกจากระบบงานอน ๆ (๒) มการควบคมสภาพแวดลอมของตนเอง โดยมหองปฏบตงานแยกเปนสดสวน (๓) มการก าหนดสทธใหเฉพาะผทมสทธใชระบบเทานน

ขอ ๗๒. การใชงานอปกรณคอมพวเตอรและสอสารเคลอนท ตองปฏบตดงตอไปน (๑) ตรวจสอบความพรอมของคอมพวเตอร และอปกรณทจะน าไปใชงานวาอยในสภาพ

พรอมใชงานหรอไม และตรวจสอบโปรแกรมมาตรฐานวาถกตองตามลขสทธ (๒) ระมดระวงไมใหบคคลภายนอกคดลอกขอมลจากคอมพวเตอรทน าไปใชได เวนแต

ขอมลทไดมการเผยแพรเปนการทวไป (๓) เมอหมดความจ าเปนตองใชอปกรณคอมพวเตอรและสอสารเคลอนทแลว ใหรบน า

สงคนเจาหนาททรบผดชอบทนท (๔) เจาหนาทผรบผดชอบในการรบคนตองตรวจสอบสภาพความพรอมใชงานของ

อปกรณคอมพวเตอรและสอสารเคลอนททรบคนดวย (๕) หากปรากฎวาความเสยหายทเกดขนนนเกดจากความประมาทอยางรายแรงของ

ผน าไปใช ผน าไปใชตองรบผดชอบตอความเสยหายทเกดขน

แนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ ของกระทรวงสาธารณสข หนา ๑๘

สวนท ๘ การบรหารจดการซอฟตแวรและลขสทธ และการปองกนโปรแกรมไมประสงคด (Software Licensing and intellectual property and Preventing MalWare)

ขอ ๗๓. กระทรวงสาธารณสข ไดใหความส าคญตอเรองทรพยสนทางปญญา ดงนนซอฟตแวรทหนวยงานอนญาตใหใชงานหรอทหนวยงานมลขสทธ ผใชงานสามารถขอใชงานไดตามหนาทความจ าเปน และหามไมใหผใชงานท าการตดตงหรอใชงานซอฟตแวรอนใดทไมมลขสทธ หากมการตรวจสอบพบความผดฐานละเมดลขสทธ ถอวาเปนความผดสวนบคคล ผใชงานจะตองรบผดชอบแตเพยงผเดยว

ขอ ๗๔. ซอฟตแวร (Software) ทหนวยงานไดจดเตรยมไวใหผใชงาน ถอเปนสงจ าเปนตอการท างาน หามมใหผใชงานท าการ ถอดถอน เปลยนแปลง แกไข หรอท าส าเนาเพอน าไปใชงานทอน ๆ ยกเวนไดรบการอนญาตจากหวหนาหนวยงานหรอผทไดรบมอบหมายทมสทธในลขสทธ

ขอ ๗๕. คอมพวเตอรของผใชงานตดตงโปรแกรมปองกนไวรสคอมพวเตอร (Anti virus) ตามทหนวยงานไดประกาศใหใช เวนแตคอมพวเตอรนนเปนเครองเพอการศกษา โดยตองไดรบอนญาตจากหวหนาหนวยงาน

ขอ ๗๖. บรรดาขอมล ไฟล ซอฟตแวร หรอสงอนใด ทไดรบจากผใชงานอนตองไดรบการตรวจสอบไวรสคอมพวเตอรและโปรแกรมไมประสงคดกอนน ามาใชงานหรอเกบบนทกทกครง

ขอ ๗๗. ผใชงานตองท าการปรบปรงขอมล ส าหรบตรวจสอบและปรบปรงระบบปฏบตการ (Update patch) ใหใหมเสมอ เพอเปนการปองกนความเสยหายทอาจเกดขน

ขอ ๗๘. ผใชงานตองพงระวงไวรสและโปรแกรมไมประสงคดตลอดเวลา รวมทงเมอพบสงผดปกตผใชงานตองแจงเหตแกผดแลระบบ

ขอ ๗๙. เมอผใชงานพบวาเครองคอมพวเตอรตดไวรส ผใชงานตองไมเชอมตอเครองคอมพวเตอรเขาสเครอขาย และตองแจงแกผดแลระบบ

ขอ ๘๐. หามลกลอบท าส าเนา เปลยนแปลง ลบทง ซงขอมล ขอความ เอกสาร หรอสงใด ๆ ทเปนสนทรพยของหนวยงาน หรอของผอน โดยไมไดรบอนญาตจากหวหนาหนวยงาน

ขอ ๘๑. หามท าการเผยแพรไวรสคอมพวเตอร มลแวร หรอโปรแกรมอนตรายใด ๆ ทอาจกอใหเกดความเสยหายมาสสนทรพยของหนวยงาน สทธทจะพฒนาโปรแกรมหรอฮารดแวรใด ๆ สามารถด าเนนการได แตตองไมด าเนนการดงน

(๑) พฒนาโปรแกรมหรอฮารดแวรใด ๆ ทจะท าลายกลไกรกษาความปลอดภยระบบรวมทงการกระท าในลกษณะเปนการแอบใชรหสผาน การลกลอบท าส าเนาขอมลบคคลอนหรอแกะรหสผานของบคคลอน

(๒) พฒนาโปรแกรมหรอฮารดแวรใด ๆ ซงท าใหผใชงานมสทธและล าดบความส าคญ ในการครอบครองทรพยากรระบบมากกวาผใชงานอน

(๓) พฒนาโปรแกรมใดทจะท าซ าตวโปรแกรมหรอแฝงตวโปรแกรมไปกบโปรแกรมอน ในลกษณะเชนเดยวกบหนอนหรอไวรสคอมพวเตอร

(๔) พฒนาโปรแกรมหรอฮารดแวรใด ๆ ทจะท าลายระบบจ ากดสทธการใช (License) ซอฟตแวร

(๕) น าเสนอขอมลทผดกฎหมาย ละเมดลขสทธแสดงขอความรปภาพไมเหมาะสม หรอขดตอศลธรรมประเพณอนดงามของประเทศไทย กรณทผใชงานสรางเวบเพจ บนเครอขายคอมพวเตอร

ขอ ๘๒. การพฒนาซอฟตแวรโดยหนวยงานภายนอก (Outsourced software development) (๑) จดใหมการควบคมโครงการพฒนาซอฟตแวรโดยผรบจางใหบรการจากภายนอก

แนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ ของกระทรวงสาธารณสข หนา ๑๙

(๒) พจารณาระบวาใครจะเปนผมสทธในทรพยสนทางปญญาส าหรบซอรสโคด ในการพฒนาซอฟตแวรโดยผรบจางใหบรการจากภายนอก

(๓) พจารณาก าหนดเรองการสงวนสทธทจะตรวจสอบดานคณภาพและความถกตองของซอฟตแวรทจะมการพฒนาโดยผใหบรการภายนอก โดยระบไวในสญญาจางท ท ากบผใหบรการภายนอกนน

(๔) ใหมการตรวจสอบโปรแกรมไมประสงคด ในซอฟตแวรตาง ๆ ทจะท าการตดตง กอนด าเนนการตดตง

(๕) หลงจากการสงมอบการพฒนาซอฟแวรจากหนวยงานภายนอก หนวยงานตองด าเนนการเปลยนรหสผานตาง ๆ

แนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ ของกระทรวงสาธารณสข หนา ๒๐

สวนท ๙ การปฏบตงานจากภายนอกส านกงาน (Teleworking)

ขอ ๘๓. ตองมการตรวจสอบวาอปกรณทเปนของสวนตวซงใชในการเขาถงระบบเทคโนโลยสารสนเทศของหนวยงานจากระยะไกลมการปองกนไวรสและการใชงานไฟรวอลลตามทหนวยงานก าหนด

ขอ ๘๔. ตองมการจดเตรยมอปกรณส าหรบการปฏบตงานจากระยะไกล การจดเกบขอมล และอปกรณสอสารไวใหกบผใชงานจากระยะไกล

ขอ ๘๕. ผใชงานจากระยะไกลทกคน ตองผานการพสจนตวตน เพอเพมความปลอดภยจะตองมการตรวจสอบ เชน รหสผาน หรอวธการเขารหส เปนตน

ขอ ๘๖. ไมอนญาตใหใชงานอปกรณทเปนของสวนตวเพอเขาถงระบบเทคโนโลยสารสนเทศของหนวยงานจากระยะไกล หากอปกรณดงกลาวไมอยภายใตการควบคมตามนโยบายความมนคงปลอดภยของหนวยงาน

ขอ ๘๗. ตองก าหนดชนดของงาน ชวโมงการท างาน ชนความลบของขอมล ระบบงานและบรการตางๆ ของหนวยงานทอนญาตและไมอนญาตใหปฏบตงานจากระยะไกล

ขอ ๘๘. ตองก าหนดขนตอนปฏบตส าหรบการขออนมต การขอยกเลก การก าหนดหรอปรบปรงสทธการเขาถงระบบงาน และการคนอปกรณทใชปฏบตงานจากระยะไกล

แนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ ของกระทรวงสาธารณสข หนา ๒๑

สวนท ๑๐ การควบคมการเขาถงระบบเครอขายไรสาย (Wireless LAN Access Control)

ขอ ๘๙. ผดแลระบบ ตองควบคมสญญาณของอปกรณกระจายสญญาณแบบไรสาย (Access Point) ใหรวไหลออกนอกพนทใชงานระบบเครอขายไรสายนอยทสด

ขอ ๙๐. ผดแลระบบ ตองท าการเปลยนคา SSID (Service Set Identifier) ทถกก าหนดเปนคา โดยปรยาย (Default) มาจากผผลตทนททน าอปกรณกระจายสญญาณแบบไรสาย (Access Point) มาใชงาน และก าหนดใหซอน SSID (Service Set Identifier)

ขอ ๙๑. ผดแลระบบ ตองก าหนดคา Wireless Security เปนแบบ WEP (Wired Equivalent Privacy) หรอ WPA (Wi-Fi Protected Access) ในการเขารหสขอมลระหวาง Wireless LAN Client และ อปกรณกระจายสญญาณแบบไรสาย (Access Point) และก าหนดคาใหไมแสดงชอระบบเครอขายไรสาย

ขอ ๙๒. ผดแลระบบ เลอกใชวธการควบคม MAC Address (Media Access Control Address) และชอผใชงาน (Username) รหสผาน (Password) ของผใชงานทมสทธในการเขาใชงานระบบเครอขาย ไรสาย โดยจะอนญาตเฉพาะอปกรณทม MAC address (Media Access Control Address) และชอผใชงาน (Username) และรหสผาน (Password) ตามทก าหนดไวเทานนใหเขาใชระบบเครอขายไรสายไดอยางถกตอง

ขอ ๙๓. ผดแลระบบ ตองมการตดตงไฟรวอลล (Firewall) ระหวางระบบเครอขายไรสายกบระบบเครอขายภายในหนวยงาน

ขอ ๙๔. ผดแลระบบ ควรก าหนดใหผใชงานในระบบเครอขายไรสายตดตอสอสารกบเครอขายภายในหนวยงานผานทาง VPN (Virtual Private Network) เพอชวยปองกนการบกรกในระบบเครอขาย ไรสาย

ขอ ๙๕. ผดแลระบบ ตองท าการลงทะเบยนอปกรณทกตวทใชตดตอระบบเครอขายไรสาย ขอ ๙๖. ผดแลระบบ ตองใชซอฟตแวรหรอฮารดแวรตรวจสอบความมนคงปลอดภยของระบบ

เครอขายไรสายเพอคอยตรวจสอบและบนทกเหตการณทนาสงสยเกดขนในระบบเครอขายไรสาย และจดสงรายงานผลการตรวจสอบทก ๓ เดอน และในกรณทตรวจสอบพบการใชงานระบบเครอขายไรสายทผดปกต ใหผดแลระบบ รายงานตอหวหนาหนวยงานทราบทนท

ขอ ๙๗. ผดแลระบบ ตองควบคมดแลไมใหบคคลหรอหนวยงานภายนอกทไมไดรบอนญาต ใชงานระบบเครอขายไรสายในการเขาสระบบอนทราเนต (Intranet) และฐานขอมลภายในตาง ๆ ของหนวยงาน

ขอ ๙๘. ผใชงานทตองการเขาถงระบบเครอขายไรสายของกระทรวงสาธารณสข จะตองท าการลงทะเบยนกบผดแลระบบและตองไดรบพจารณาอนญาตจากหวหนาหนวยงานอยางเปนลายลกษณอกษร

ขอ ๙๙. ผดแลระบบ ตองท าการลงทะเบยนก าหนดสทธผใชงานในการเขาถงระบบเครอขายไรสาย ใหเหมาะสมกบหนาทความรบผดชอบในการปฏบตงาน กอนเขาใชระบบเครอขายไรสาย รวมทง มการทบทวนสทธการเขาถงอยางสม าเสมอ ทงน จะตองไดรบอนญาตจากผดแลระบบตามความจ าเปนในการใชงาน

แนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ ของกระทรวงสาธารณสข หนา ๒๒

สวนท ๑๑ การควบคมการใชงานอปกรณปองกนเครอขาย (Firewall Control)

ขอ ๑๐๐. หนวยงานมหนาทในการบรหารจดการ การตดตงและก าหนดคาของ Firewall ทงหมด ขอ ๑๐๑. การก าหนดคาเรมตนของ Firewall ตองก าหนดเปนปฏเสธทงหมด (Deny) ขอ ๑๐๒. ทกบรการ (Services) และเสนทางเชอมตออนเตอรเนตทไมอนญาตตาม Policy จะตอง

ถกบลอก (Block) โดย Firewall ขอ ๑๐๓. ผใชงานอนเตอรเนตจะตองท าการลงบนทกเขาใชงาน (Login) กอนการใชงานทกครง ขอ ๑๐๔. การก าหนดคาบรการและการเชอมตอทอนญาต จะตองมการบนทกการเปลยนแปลง

ทกครง หากมการเปลยนแปลงคาตาง ๆ ของ Firewall ขอ ๑๐๕. การเขาถงตวอปกรณ Firewall จะตองสามารถเขาถงไดเฉพาะผทไดรบมอบหมายให

ดแลจดการเทานน ขอ ๑๐๖. ขอมลจราจรทางคอมพวเตอรทเขาออกอปกรณ Firewall จะตองสงคาไปจดเกบ

ทอปกรณจดเกบขอมลจราจรทางคอมพวเตอร โดยจะตองจดเกบขอมลจราจรไมนอยกวา ๙๐ วน ขอ ๑๐๗. การก าหนดนโยบายในการใหบรการอนเตอรเนตกบเครองคอมพวเตอรลกขายจะ

เปดพอรตการเชอมตอพนฐานของโปรแกรมทวไป ทอนญาตใหใชงาน ซงหากมความจ าเปนทจะใชงานพอรตการเชอมตอนอกเหนอทก าหนด จะตองไดรบความยนยอมจากหนวยงานกอน

ขอ ๑๐๘. การก าหนดคาการใหบรการของเครองคอมพวเตอรแมขายในแตละสวนของเครอขาย จะตองก าหนดคาอนญาตเฉพาะพอรตการเชอมตอทจ าเปนตอการใหบรการเทานน

ขอ ๑๐๙. จะตองมการส ารองขอมลการก าหนดคาตาง ๆ ของอปกรณ Firewall เปนประจ า ทกสปดาหหรอทกครงกอนทจะมการเปลยนแปลงคา

ขอ ๑๑๐. เครองคอมพวเตอรแมขายทใหบรการระบบงานสารสนเทศตาง ๆ ภายในหนวยงาน ทมลกษณะทเปนอนทราเนตจะตองไมอนญาตใหมการเชอมตอเพอใชงานอนเตอรเนต เวนแตมความจ าเปน โดยจะตองก าหนดเปนกรณไป

ขอ ๑๑๑. หนวยงานมสทธทจะระงบหรอบลอกการใชงานของเครองคอมพวเตอรลกขายทมพฤตกรรมการใชงานทผดนโยบาย หรอเกดจากการท างานของโปรแกรมทมความเสยงตอความปลอดภยจนกวาจะไดรบการแกไข

ขอ ๑๑๒. การเชอมตอในลกษณะของการ Remote Login จากภายนอกมายงเครองแมขาย หรออปกรณเครอขายภายใน จะตองบนทกรายการของการด าเนนการตามแบบการขออนญาตด าเนนการเกยวกบเครองคอมพวเตอรแมขายและอปกรณเครอขาย และจะตองไดรบความเหนชอบจากหวหนา หนวยงานกอน

ขอ ๑๑๓. ผละเมดนโยบายดานความปลอดภยของ Firewall จะถกระงบการใชงานอนเตอรเนตทนท

แนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ ของกระทรวงสาธารณสข หนา ๒๓

สวนท ๑๒ การควบคมการใชจดหมายอเลกทรอนกส (E-Mail)

ขอ ๑๑๔. ในการลงทะเบยนบญชผใชงานจดหมายอเลกทรอนกส (E-Mail) ตองท าการกรอกขอมล ขอเขาใชบรการจดหมายอเลกทรอนกส (E-Mail) โดยยนค าขอกบเจาหนาทหนวยงาน

ขอ ๑๑๕. รหสจดหมายอเลกทรอนกส เวลาใสรหสผานตองไมปรากฏหรอแสดงรหสผานออกมา แตตองแสดงออกมาในรปของสญลกษณแทนตวอกษรนน เชน “x” หรอ “O” ในการพมพแตละตวอกษร

ขอ ๑๑๖. เมอไดรบรหสผาน (Password) ครงแรกในการเขาระบบจดหมายอเลกทรอนกส (E-Mail) และเมอมการเขาสระบบในครงแรกนน ใหเปลยนรหสผาน (Password) โดยทนท

ขอ ๑๑๗. ผดแลระบบ ตองก าหนดจ านวนครงทยอมใหผใชงานใสรหสผานผดได เชน ไมเกน ๓ ครง ขอ ๑๑๘. ไมบนทกหรอเกบรหสผาน (Password) ไวในระบบคอมพวเตอร ขอ ๑๑๙. เปลยนรหสผาน (Password) ทก ๓ - ๖ เดอน ขอ ๑๒๐. ไมใชทอยจดหมายอเลกทรอนกส (E-Mail Address) ของผอนเพออานหรอรบหรอ

สงขอความ ยกเวนแตจะไดรบการยนยอมจากเจาของผใชงานและใหถอวาเจาของจดหมายอเลกทรอนกส (E-Mail) เปนผรบผดชอบตอการใชงานในจดหมายอเลกทรอนกส (E-Mail) ของตน

ขอ ๑๒๑. หลงจากการใชงานระบบจดหมายอเลกทรอนกส (E-Mail) เสรจสนตองลงบนทกออก (Logout) ทกครง

ขอ ๑๒๒. การสงขอมลทเปนความลบ ไมควรระบความส าคญของขอมลลงในหวขอจดหมายอเลกทรอนกส (E-Mail) เวนเสยแตวาจะใชวธการเขารหสขอมล E-Mail ทหนวยงานก าหนดไว ใหใชความระมดระวงในการระบชอทอย E-Mail ของผรบใหถกตองเพอปองกนการสงผดตวผรบ

ขอ ๑๒๓. หามสง E-Mail ทมลกษณะเปนจดหมายขยะ (Spam Mail) ขอ ๑๒๔. หามสง E-Mail ทมลกษณะเปนจดหมายลกโซ (Chain Letter) ขอ ๑๒๕. หามสง E-Mail ทมลกษณะเปนการละเมดตอกฏหมาย หรอสทธของบคคลอน ขอ ๑๒๖. หามสง E-Mail ทมไวรสไปใหกบบคคลอนโดยเจตนา ขอ ๑๒๗. ใหระบชอของผสงใน E-Mail ทกฉบบทสงไป ขอ ๑๒๘. ใหท าการส ารองขอมล E-Mail ตามความจ าเปนอยางสม าเสมอ (แมวาหนวยงานจะ

ท าการส ารองขอมล E-Mail ไวใหแตกเพยงชวงระยะเวลาหนงเทานน ดงนน E-Mail ทเกามาก ๆ และจ าเปนตองใชงานจงมความจ าเปนตองส ารองเกบไวดวยตนเอง)

ขอ ๑๒๙. ผใชงานตองท าการตรวจสอบเอกสารแนบจากจดหมายอเลกทรอนกสกอนการเปด เพอตรวจสอบไฟลโดยใชโปรแกรมปองกนไวรส เปนการปองกนในการเปดไฟลทเปน Executable file เชน .exe .com เปนตน

ขอ ๑๓๐. ผใชงานตองไมเปดหรอสงตอจดหมายอเลกทรอนกสหรอขอความทไดรบจากผสง ทไมรจก

ขอ ๑๓๑. ผใชงานตองใชขอความทไมสภาพหรอรบสงจดหมายอเลกทรอนกสทไมเหมาะสม ขอมลอนอาจท าใหเสยชอเสยงของหนวยงาน ท าใหเกดความแตกแยกระหวางหนวยงาน ผานทางจดหมายอเลกทรอนกส

ขอ ๑๓๒. ผใชงานตองตรวจสอบตเกบจดหมายอเลกทรอนกสของตนเองทกวน และควรจดเกบแฟมขอมลและจดหมายอเลกทรอนกสของตนใหเหลอจ านวนนอยทสด และควรลบจดหมายอเลกทรอนกสทไมตองการออกจากระบบเพอลดปรมาณการใชเนอทระบบจดหมายอเลกทรอนกส

แนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ ของกระทรวงสาธารณสข หนา ๒๔

ขอ ๑๓๓. ขอควรระวง ผใชงานควรโอนยายจดหมายอเลกทรอนกสทจะใชอางองภายหลงมายงเครองคอมพวเตอรของตน เพอเปนการปองกนผอนแอบอานจดหมายได ดงนนไมควรจดเกบขอมล หรอจดหมายอเลกทรอนกสทไมไดใชแลวไวในตจดหมายอเลกทรอนกส

ขอ ๑๓๔. ผใชงานตองใชจดหมายอเลกทรอนกสภาครฐ ส าหรบใชรบ-สงขอมลในระบบราชการ ตามมตคณะรฐมนตรเมอวนท ๑๘ ธนวาคม ๒๕๕๐ เรอง การพฒนาระบบจดหมายอเลกทรอนกสกลางเพอการสอสารในภาครฐ

แนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ ของกระทรวงสาธารณสข หนา ๒๕

สวนท ๑๓ การควบคมการใชอนเตอรเนต (Internet)

ขอ ๑๓๕. ผดแลระบบ ตองก าหนดเสนทางการเชอมตอระบบคอมพวเตอรเพอการเขาใชงานอนเตอรเนต ทตองเชอมตอผานระบบรกษาความปลอดภยทหนวยงานจดสรรไวเทานน เชน Proxy, Firewall, IPS-IDS เปนตน หามผใชงานท าการเชอมตอระบบคอมพวเตอรผานชองทางอน เชน Dial-up Modem ยกเวนแตวามเหตผลความจ าเปนและตองท าการขออนญาตจากหวหนาหนวยงานเปนลายลกษณอกษร

ขอ ๑๓๖. เครองคอมพวเตอรสวนบคคลและเครองคอมพวเตอรแบบพกพา กอนท าการเชอมตออนเตอรเนต ผานเวบเบราเซอร (Web browser) ตองมการตดตงโปรแกรมปองกนไวรส และท าการอดชองโหวของระบบปฏบตการ

ขอ ๑๓๗. ในการรบสงขอมลคอมพวเตอรผานทางอนเตอรเนตจะตองมการทดสอบไวรส (Virus scanning) โดยโปรแกรมปองกนไวรสกอนการรบสงขอมลทกครง

ขอ ๑๓๘. ไมใชระบบอนเตอรเนต (Internet) ของหนวยงาน เพอหาประโยชนในเชงพาณชยเปน การสวนบคคล และท าการเขาสเวบไซตทไมเหมาะสม เชน เวบไซตทขดตอศลธรรม เวบไซตทมเนอหาอนอาจกระทบกระเทอนหรอเปนภยตอความมนคงตอชาต ศาสนา พระมหากษตรย หรอเวบไซตทเปนภยตอสงคม หรอละเมดสทธของผอน หรอขอมลทอาจกอใหเกดความเสยหายใหกบหนวยงาน

ขอ ๑๓๙. หามเปดเผยขอมลส าคญทเปนความลบเกยวกบงานของหนวยงานทยงไมไดประกาศ อยางเปนทางการผานระบบอนเตอรเนต (Internet)

ขอ ๑๔๐. ระมดระวงการดาวนโหลด โปรแกรมใชงานจากระบบอนเตอรเนต (Internet) การอพเดท (Update) โปรแกรมตาง ๆ ตองเปนไปโดยไมละเมดลขสทธ

ขอ ๑๔๑. ในการใชงานกระดานสนทนาอเลกทรอนกส ไมเปดเผยขอมลทส าคญและเปนความลบของหนวยงาน

ขอ ๑๔๒. ในการใชงานกระดานสนทนาอเลกทรอนกส ไมเสนอความคดเหน หรอใชขอความท ยวย ใหราย ทจะท าใหเกดความเสอมเสยตอชอเสยงของหนวยงาน การท าลายความสมพนธกบบคลากร ของหนวยงานอน ๆ

ขอ ๑๔๓. ผใชงานไมน าเขาขอมลคอมพวเตอรใด ๆ ทมลกษณะอนเปนเทจ อนเปนความผดเกยวกบความมนคงแหงราชอาณาจกร อนเปนความผดเกยวกบการกอการราย หรอภาพทมลกษณะอนลามก และไมท าการเผยแพรหรอสงตอขอมลคอมพวเตอรดงกลาวผานอนเตอรเนต

ขอ ๑๔๔. หลงจากใชงานระบบอนเตอรเนต (Internet) เสรจแลว ใหปดเวบเบราเซอรเพอปองกนการเขาใชงานโดยบคคลอน ๆ

ขอ ๑๔๕. หลงจากใชงานอนเตอรเนตเสรจแลว ใหท าการออกจากระบบเพอปองกนการเขาใชงานโดยบคคลอน ๆ

ขอ ๑๔๖. ผใชงานตองปฏบตตามกฎหมายวาดวยการกระท าความผดเกยวกบคอมพวเตอร อยางเครงครด

แนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ ของกระทรวงสาธารณสข หนา ๒๖

สวนท ๑๔ การใชงานเครองคอมพวเตอรสวนบคคล

ขอ ๑๔๗. แนวทางปฏบตการใชงานทวไป (๑) เครองคอมพวเตอรทหนวยงานอนญาตใหใชงาน เปนสนทรพยของหนวยงานเพอใช

ในงานราชการ (๒) โปรแกรมทไดถกตดตงลงบนเครองคอมพวเตอรของหนวยงานตองเปนโปรแกรม

ทหนวยงานไดซอลขสทธมาอยางถกตองตามกฎหมาย ดงนนหามผใชงานคดลอกโปรแกรมตาง ๆ และน าไปตดตงบนเครองคอมพวเตอรสวนตว หรอแกไข หรอน าไปใหผอนใชงานโดยผดกฎหมาย

(๓) ไมอนญาตใหผใชงานท าการตดตงและแกไขเปลยนแปลงโปรแกรมในเครองคอมพวเตอรสวนบคคลของหนวยงาน

(๔) การเคลอนยายหรอสงเครองคอมพวเตอรสวนบคคลตรวจซอมจะตองด าเนนการโดยเจาหนาทของหนวยงานหรอผรบจางเหมาบ ารงรกษาเครองคอมพวเตอรและอปกรณทไดท าสญญากบกระทรวงสาธารณสข เทานน

(๕) กอนการใชงานสอบนทกพกพาตาง ๆ ตองมการตรวจสอบเพอหาไวรสโดยโปรแกรมปองกนไวรส

(๖) ผใชงาน มหนาทและรบผดชอบตอการดแลรกษาความปลอดภยของเครองคอมพวเตอร

(๗) ปดเครองคอมพวเตอรสวนบคคลทตนเองครอบครองใชงานอยเมอใชงานประจ าวนเสรจสน หรอเมอมการยตการใชงานเกนกวา ๑ ชวโมง

(๘) ท าการตงคา Screen Saver ของเครองคอมพวเตอรทตนเองรบผดชอบใหมการ ลอกหนาจอหลงจากทไมไดใชงานเกนกวา ๓๐ นาท เพอปองกนบคคลอนมาใชงานทเครองคอมพวเตอร

(๙) หามน าเครองคอมพวเตอรสวนตวทเจาหนาทเปนเจาของมาใชกบระบบเครอขายของหนวยงาน ยกเวนจะไดรบการตรวจสอบจากผดแลระบบของหนวยงานกอนการใชงาน

ขอ ๑๔๘. การใชรหสผาน ใหผใชงานปฏบตตามแนวทางการบรหารจดการรหสผานทระบไวในเอกสาร “การก าหนดหนาทความรบผดชอบของผใชงาน”

ขอ ๑๔๙. การปองกนจากโปรแกรมชดค าสงไมพงประสงค (Malware) (๑) ผใชงานตองตรวจสอบหาไวรสจากสอตาง ๆ เชน Floppy Disk, Flash Drive

และ Data Storage อน ๆ กอนน ามาใชงานรวมกบเครองคอมพวเตอร (๒) ผใชงานตองตรวจสอบไฟลทแนบมากบจดหมายอเลกทรอนกสหรอไฟลท

ดาวนโหลดมาจากอนเตอรเนตดวยโปรแกรมปองกนไวรส กอนใชงาน (๓) ผใชงานตองตรวจสอบขอมลคอมพวเตอรใดทมชดค าสงไมพงประสงครวมอยดวย

ซงมผลท าใหขอมลคอมพวเตอร หรอระบบคอมพวเตอรหรอชดค าสงอนเกดความเสยหาย ถกท าลาย ถกแกไขเปลยนแปลง หรอปฏบตงานไมตรงตามค าสงท ก าหนดไว

ขอ ๑๕๐. การส ารองขอมลและการกคน

แนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ ของกระทรวงสาธารณสข หนา ๒๗

(๑) ผใชงานตองรบผดชอบในการส ารองขอมลจากเครองคอมพวเตอรไวบนสอบนทกอน ๆ เชน CD, DVD, External Hard Disk เปนตน

(๒) ผใชงานมหนาทเกบรกษาสอขอมลส ารอง (Backup Media) ไวในสถานททเหมาะสม ไมเสยงตอการรวไหลของขอมลและทดสอบการกคนขอมลทส ารองไวอยางสม าเสมอ

(๓) ผใชงานตองประเมนความเสยงวาขอมลทเกบไวบน Hard Disk ไมควรจะเปนขอมลส าคญเกยวของกบการท างาน เพราะหาก Hard Disk เสยไป กไมกระทบ ตอการด าเนนการของหนวยงาน

แนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ ของกระทรวงสาธารณสข หนา ๒๘

สวนท ๑๕ การใชงานเครองคอมพวเตอรแบบพกพา

ขอ ๑๕๑. แนวทางปฏบตการใชงานทวไป (๑) เครองคอมพวเตอรแบบพกพาทหนวยงานอนญาตใหใชงาน เปนสนทรพยของ

หนวยงานเพอใชในงานราชการ (๒) โปรแกรมทไดถกตดตงลงบนเครองคอมพวเตอรแบบพกพาของหนวยงานตองเปน

โปรแกรมทหนวยงาน ไดซอลขสทธมาอยางถกตองตามกฎหมาย ดงนนหามผใชงานคดลอกโปรแกรมตาง ๆ และน าไปตดตงบนเครองคอมพวเตอรสวนตว หรอแกไข หรอน าไปใหผอนใชงานโดยผดกฎหมาย

(๓) ผใชงานตองศกษาและปฏบตตามคมอการใชงานอยางละเอยด เพอการใชงานอยางปลอดภยและมประสทธภาพ

(๔) ไมดดแปลงแกไขสวนประกอบตาง ๆ ของคอมพวเตอรและรกษาสภาพของคอมพวเตอรใหมสภาพเดม

(๕) ในกรณทตองการเคลอนยายเครองคอมพวเตอรแบบพกพา ควรใสกระเปาส าหรบเครองคอมพวเตอรแบบพกพา เพอปองกนอนตรายทเกดจากการกระทบกระเทอน เชน การตกจากโตะท างาน หรอหลดมอ เปนตน

(๖) หลกเลยงการใชนวหรอของแขง เชน ปลายปากกา กดสมผสหนาจอ LCD ใหเปนรอยขดขวนหรอท าใหจอ LCD ของเครองคอมพวเตอรแบบพกพาแตกเสยหายได

(๗) ไมวางของทบบนหนาจอและแปนพมพ (๘) การเชดท าความสะอาดหนาจอภาพตองเชดอยางเบามอทสด และตองเชดไปใน

แนวทางเดยวกนหามเชดแบบหมนวน เพราะจะท าใหหนาจอมรอยขดขวนได (๙) การใชเครองคอมพวเตอรแบบพกพาเปนระยะเวลานานเกนไป ในสภาพทมอากาศ

รอนจด ตองปดเครองคอมพวเตอรเพอเปนการพกเครองสกระยะหนงกอนเปดใชงานใหมอกครง

(๑๐) การเคลอนยายเครอง ขณะทเครองเปดใชงานอย ใหท าการยกจากฐานภายใตแปนพมพ หามยายเครองโดยการดงหนาจอภาพขน

ขอ ๑๕๒. ความปลอดภยทางดานกายภาพ (๑) ผใชงานมหนาทรบผดชอบในการปองกนการสญหาย เชน ควรลอคเครองขณะท

ไมไดใชงาน ไมวางเครองทงไวในทสาธารณะ หรอในบรเวณทมความเสยงตอการสญหาย

(๒) ผใชงานไมเกบหรอใชงานคอมพวเตอรแบบพกพาในสถานททมความรอน/ความชน/ฝนละอองสงและตองระวงปองกนการตกกระทบ

ขอ ๑๕๓. การควบคมการเขาถงระบบปฏบตการ

(๑) ผใชงานตองก าหนดชอผใชงาน (User name) และรหสผาน (Password) ในการเขาใชงานระบบปฏบตการของเครองคอมพวเตอรแบบพกพา

(๒) ผใชงานตองก าหนดรหสผานใหมคณภาพดอยางนอยตามทระบไวในเอกสาร“การบรหารจดการสทธการใชงานระบบและรหสผาน”

แนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ ของกระทรวงสาธารณสข หนา ๒๙

(๓) ผใชงานตองตงการใชงานโปรแกรมรกษาจอภาพ (Screen Saver) โดยตงเวลาประมาณ ๑๕ นาท ใหท าการลอกหนาจอเมอไมมการใชงาน หลงจากนนเมอตองการใชงานตองใสรหสผาน

(๔) ผใชงานตองท าการ Logout ออกจากระบบทนทเมอเลกใชงานหรอไมอยทหนาจอเปนเวลานาน

ขอ ๑๕๔. การใชรหสผานใหผใชงานปฏบตตามแนวทางการบรหารจดการรหสผานทระบไวในเอกสาร “การก าหนดหนาทความรบผดชอบของผใชงาน”

ขอ ๑๕๕. การส ารองขอมลและการกคน (๑) ผใชงานตองท าการส ารองขอมลจากเครองคอมพวเตอรแบบพกพา โดยวธการและ

สอตาง ๆ เพอปองกนการสญหายของขอมล (๒) ผใชงานตองจะเกบรกษาสอส ารองขอมล (Backup media) ไวในสถานท

ทเหมาะสม ไมเสยงตอการรวไหลของขอมล (๓) แผนสอส ารองขอมลตาง ๆ ทเกบขอมลไวจะตองท าการทดสอบการกคน

อยางสม าเสมอ (๔) แผนสอส ารองขอมลทไมใชงานแลว ตองท าลายไมใหสามารถน าไปใชงานไดอก (๕) ผใชงานตองประเมนความเสยงวาขอมลทเกบไวบน Hard Disk ไมควรจะเปน

ขอมลส าคญเกยวของกบการท างาน เพราะหาก Hard Disk เสยไป กไมกระทบ ตอการด าเนนการของหนวยงาน

แนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ ของกระทรวงสาธารณสข หนา ๓๐

สวนท ๑๖ การตรวจจบการบกรก (Intrusion Detection System / Intrusion Prevention System Policy : IDS/IPS )

ขอ ๑๕๖. IDS/IPS Policy เปนนโยบายการตดตงระบบตรวจสอบการบกรก และตรวจสอบความปลอดภยของเครอขาย เพอปองกนทรพยากร ระบบสารสนเทศ และขอมลบนเครอขายภายในหนวยงาน ใหมความมนคงปลอดภย เปนแนวทางการปฏบตเกยวกบการตรวจสอบการบกรกเครอขาย พรอมกบบทบาทและความรบผดชอบทเกยวของ

ขอ ๑๕๗. IDS/IPS Policy ครอบคลมทกโฮสต (Host) ในเครอขายของหนวยงานและเครอขายขอมลทงหมด รวมถงเสนทางทขอมลอาจเดนทาง ซงไมอยในเครอขายอนเตอรเนตทกเสนทาง

ขอ ๑๕๘. ระบบทงหมดทสามารถเขาถงไดจากอนเตอรเนตหรอทสาธารณะจะตองผานการตรวจสอบจากระบบ IDS/IPS

ขอ ๑๕๙. ระบบทงหมดใน DMZ (Demilitarized zone) จะตองไดรบการตรวจสอบรปแบบการใหบรการกอนการตดตงและเปดใหบรการ

ขอ ๑๖๐. โฮสต (Host) และเครอขายทงหมดทมการสงผานขอมลผาน IDS/IPS จะตองมการบนทกผลการตรวจสอบ

ขอ ๑๖๑. ระบบ IDS/IPS จะตองมการตรวจสอบและ Update Patch/Signature เปนประจ า ขอ ๑๖๒. ตองมการตรวจสอบเหตการณ ขอมลจราจร พฤตกรรมการใชงาน กจกรรม และบนทก

ปรมาณขอมลเขาใชงานเครอขายเปนประจ าทกวนโดยผดแลระบบ ขอ ๑๖๓. IDS/IPS จะท างานภายใตกฎควบคมพนฐานของ Firewall ทใชในการเขาถงเครอขาย

ของระบบสารสนเทศตามปกต ขอ ๑๖๔. เครองแมขายทมการตดตง host-based IDS จะตองมการตรวจสอบขอมลประจ าวน ขอ ๑๖๕. พฤตกรรมการใชงาน กจกรรม หรอเหตการณทงหมด ทมความเสยงตอการบกรก

การโจมตระบบ พฤตกรรมทนาสงสย หรอการพยายามเขาระบบ ทงทประสบความส าเรจและไมประสบความส าเรจ จะตองมการรายงานใหหวหนาหนวยงานทราบทนททตรวจพบ

ขอ ๑๖๖. พฤตกรรม กจกรรมทนาสงสย หรอระบบการท างานทผดปกต ทถกคนพบ จะตองมการรายงานใหหวหนาหนวยงานทราบ ภายใน ๑ ชวโมงทตรวจพบ

ขอ ๑๖๗. การตรวจสอบการบกรกทงหมดจะตองเกบบนทกขอมลไวไมนอยกวา ๙๐ วน ขอ ๑๖๘. ระบบ IDS/IPS มรปแบบการตอบสนองตอเหตการณทเกดขน ไดแก รายงานผลการ

ตรวจพบของเหตการณตาง ๆ ด าเนนการตามขนตอนเพอลดความเสยหาย ลบซอฟตแวรมงรายทตรวจพบ ปองกนเหตการณทอาจเกดอกในอนาคต และด าเนนการตามแผน

ขอ ๑๖๙. หนวยงานมสทธในการยตการเชอมตอเครอขายของเครองคอมพวเตอรทมพฤตกรรมเสยงตอการบกรกระบบ โดยไมตองมการแจงแกผใชงานลวงหนา

ขอ ๑๗๐. ผทถกตรวจสอบวาพยายามกระท าการอนใดทเปนการละเมดนโยบายของกระทรวงสาธารณสข การพยายามเขาถงระบบโดยมชอบ การโจมตระบบ หรอมพฤตกรรมเสยงตอการท างานของระบบสารสนเทศ จะถกระงบการใชเครอขายทนท หากการกระท าดงกลาวเปนการกระท าความผดทสอดคลองกบ กฎหมายวาดวยการกระท าความผดเกยวกบคอมพวเตอร หรอเปนการกระท าทสงผลใหเกดความเสยหายตอขอมล และทรพยากรระบบของหนวยงาน จะตองถกด าเนนคดตามขนตอนของกฎหมาย

แนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ ของกระทรวงสาธารณสข หนา ๓๑

สวนท ๑๗ การตดตงและก าหนดคาของระบบ (System Installation and Configuration) ขอ ๑๗๑. การปรบปรงระบบปฏบตการ (Operating System Update)

(๑) ตรวจสอบเครองแมขาย และอปกรณระบบ (๒) ตดตงระบบปฏบตการตรงตามความตองการการใชงาน (๓) ก าหนดชอและรหสผาน ผดแลระบบ และชอผใชงาน (User) (๔) ก าหนดคาตดตง ชอเครอง (Computer Name) / IP Address (๕) ปรบปรง / ก าหนดคาระดบความปลอดภยของระบบปฏบตการ (กรณท

ระบบปฏบตการทม ServicePatch Update) (๖) ตดตงโปรแกรม Antivirus / ปรบปรง Virus Definition และก าหนดคาการ

ตรวจสอบระบบการสแกนและปรบปรงโปรแกรม ขอ ๑๗๒. การบรหารบญชผใชงาน/สทธการเขาถงและการใชงานระบบ (User Account

Management) (๑) ก าหนดชอและรหสผาน ผดแลระบบ (System Adminstrator) (๒) ก าหนดชอผใชงาน (User Name) และรหสผาน (Password) (๓) บนทกบญชผใชงานและสทธการเขาใชระบบ

ขอ ๑๗๓. การปรบปรงการรกษาความปลอดภย / Anti Virus (System Security & Antivirus Upadte)

(๑) ตดตาม เฝาระวง ระบบการท างานของคอมพวเตอร การเขาใชระบบ (๒) Performance ของระบบ หรอตรวจสอบจากระบบรกษาความปลอดภยทตดตง (๓) ปรบปรง / ก าหนดคาระบบความปลอดภย ใหเหมาะสมกบปญหา (๔) ปรบปรงโปรแกรม Antivirus และ Definition ใหทนสมยเปนประจ าทกสปดาห (๕) ด าเนนการ Scan ตรวจหาไวรสคอมพวเตอร เปนประจ า

ขอ ๑๗๔. ตดตง / ปรบปรงระบบจดการฐานขอล (Database Management Operation) (๑) ตดตงระบบจดการฐานขอมล ตามความตองการของระบบงานทหนวยงานใช (๒) ก าหนดคาระบบหรอโปรแกรมฐานขอมล ใหท างานรวมกบระบบปฏบตการได

อยางถกตอง และมประสทธภาพ ตามระบบฐานขอมลนนก าหนด (๓) สราง และก าหนดรายชอผบรหารระบบฐานขอมล (Database Admin)

ชอผใชงานอนและสทธการใช (๔) ปรบปรง / ก าหนดคาระบบใหเหมาะสม ทนสมย หรอปองกนการเกดปญหาอย

เสมอ ขอ ๑๗๕. ตดตงฐานขอมลโปรแกรมระบบงานตาง ๆ / ก าหนดคาระบบของโปรแกรมและก าหนด

ผใชและสทธการเขาใชบรการ หรอเขาถงฐานขอมล (๑) ตดตงโปรแกรมระบบงานตามความตองการ หรอการพฒนา (๒) ก าหนดคา หรอโปรแกรม หรอบรการ ใหท างานรวมกบระบบปฏบตการ เปนไป

ตามโปรแกรมหรอระบบงานนนอยางถกตองและมประสทธภาพ (๓) ตดตงฐานขอมลและเชอมตอระบบงาน และท าการทดสอบการใหบรการตาม

ระบบงานนนก าหนด (๔) แจงผใชงาน หรอเจาของระบบงาน ใหสามารถเรมใชงานได โดยแจงรายชอ

รหสผาน และสทธการเขาใชระบบและฐานขอมลตามทก าหนดไว (๕) ก าหนดเกณฑการส ารอง / ส าเนา / ทดสอบกคน (Restore Test)

แนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ ของกระทรวงสาธารณสข หนา ๓๒

(๖) บนทกขอก าหนด คาตดตง และบญชชอผใชงานแตละระดบของระบบทกครงทมการสราง / ปรบปรง

แนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ ของกระทรวงสาธารณสข หนา ๓๓

สวนท ๑๘ การจดเกบขอมลจราจรคอมพวเตอร (Log)

ขอ ๑๗๖. จดเกบขอมลจราจรทางคอมพวเตอร (Log) ไวในสอเกบขอมลทสามารถรกษาความครบถวน ถกตอง แทจรง ระบตวบคคลทเขาถงสอดงกลาวได และขอมลทใชในการจดเกบ ตองก าหนดชนความลบในการเขาถง

ขอ ๑๗๗. หามแกไขขอมลจราจรคอมพวเตอร (Log) ทเกบรกษาไว ขอ ๑๗๘. ก าหนดใหมการบนทกการท างานของระบบบนทกการปฏบตงานของผ ใชงาน

(Application Logs) และบนทกรายละเอยดของระบบปองกนการบกรก เชน บนทกการเขา – ออกระบบ บนทกการพยายามเขาสระบบ เปนตน เพอประโยชนในการใชตรวจสอบและตองเกบบนทกไวอยางนอย ๙๐ วน นบตงแตการใชงานสนสดลง โดยปฏบตตามกฎหมายวาดวยการกระท าความผดเกยวกบคอมพวเตอร

ขอ ๑๗๙. ตองมวธการปองกนการแกไขเปลยนแปลงบนทกตาง ๆ และจ ากดสทธการเขาถงบนทกเหลานนใหเฉพาะบคคลทเกยวของเทานน

แนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ ของกระทรวงสาธารณสข หนา ๓๔

หมวดท ๒ การรกษาความปลอดภยฐานขอมลและส ารองขอมล

วตถประสงค

๑. เพอใหระบบสารสนเทศของหนวยงานสามารถใหบรการไดอยางตอเนอง ๒. เพอใหเปนมาตรฐาน แนวทางปฏบตและความรบผดชอบของผดแลระบบในการปฏบตงานใหกบ

หนวยงานอยางเครงครด และตระหนกถงความส าคญของการรกษาความมนคงปลอดภย ๓. เพอใหผใชงานไดรบรเขาใจและสามารถปฏบตตามแนวทางทก าหนดโดยเครงครด และตระหนก

ถงความส าคญของการรกษาความมนคงปลอดภยของระบบสารสนเทศ แนวปฎบต สวนท ๑ การรกษาความปลอดภยฐานขอมล

ขอ ๑. ก าหนดสทธและความส าคญของขอมลและฐานขอมล (๑) จดท าบญชฐานขอมล การจ าแนกกลมทรพยากรของระบบหรอการท างาน โดยให

ก าหนดกลมผใชงานและสทธของกลมผใชงาน (๒) ก าหนดเกณฑในการอนญาตใหเขาถงการใชงานสารสนเทศ ทเกยวของกบการอนญาต

การก าหนดสทธ หรอการมอบอ านาจ ดงน (๒.๑) ก าหนดสทธของผใชงานแตละกลมทเกยวของ

- อานอยางเดยว - สรางขอมล - ปอนขอมล - แกไข - อนมต - ไมมสทธ

(๒.๒) ก าหนดเกณฑการระงบสทธม การมอบอ านาจ ใหเปนไปตามการบรหารจดการการเขาถงของผใชงาน (User Access Management) ทไดก าหนดไว

(๒.๓) ผใชงานทตองการเขาใชงานระบบสารสนเทศของหนวยงานจะตองขออนญาตเปนลายลกษณอกษรและไดรบการพจารณาอนญาตจากหวหนาหนวยงานหรอผดแลระบบทไดรบมอบหมาย

(๓) ขนตอนปฏบตเพอการจดเกบขอมล (๓.๑) จดแบงประเภทของขอมล ออกเปน

- ขอมลสารสนเทศดานการบรหาร เชน ขอมลนโยบาย ขอมลยทธศาสตรและค ารบรอง ขอมลบคลากร ขอมลงบประมาณการเงนและบญช เปนตน

- ขอมลสารสนเทศดานการพาณชยทใหบรการ เชน ขอมลดชนเศรษฐกจการคา ขอมลการคาระหวางประเทศของไทย ขอมลเศรษฐกจการคาจงหวด เปนตน

(๓.๒) จดแบงระดบความส าคญของขอมล ออกเปน ๓ ระดบ คอ - ขอมลทมระดบความส าคญมากทสด

แนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ ของกระทรวงสาธารณสข หนา ๓๕

- ขอมลทมระดบความส าคญปานกลาง - ขอมลทมระดบความส าคญนอย

(๓.๓) จดแบงล าดบชนความลบของขอมล - ขอมลลบทสด หมายถง หากเปดเผยทงหมดหรอเพยงบางสวนจะกอใหเกด

ความเสยหายอยางรายแรงทสด - ขอมลลบมาก หมายถง หากเปดเผยทงหมดหรอเพยงบางสวนจะกอใหเกด

ความเสยหายอยางรายแรง - ขอมลลบ หมายถง หากเปดเผยทงหมดหรอเพยงบางสวนจะกอใหเกดความ

เสยหาย - ขอมลทวไป หมายถง ขอมลทสามารถเปดเผยหรอเผยแพรทวไปได

(๓.๔) จดแบงระดบชนการเขาถง - ระดบชนส าหรบผบรหาร - ระดบชนส าหรบผใชงานทวไป - ระดบชนส าหรบผดแลระบบหรอผทไดมอบหมาย

(๓.๕) การก าหนดเวลาทไดเขาถง (๓.๖) การก าหนดจ านวนชองทางทสามารถเขาถง

ขอ ๒. ขอมล ขาวสารสารสนเทศทกประเภทในฐานขอมลตองไดรบการจดระดบการปองกนผมสทธเขาใชหรอด าเนนการ รวมทงรายละเอยดอน ๆ ทจ าเปนตอมาตรการรกษาความปลอดภย

ขอ ๓. การปฏบตเกยวกบขอมลทเปนความลบใหปฏบตตามระเบยบวาดวยการรกษาความลบทางราชการ พ.ศ. ๒๕๔๔ และแนวปฏบตการรกษาความมนคงปลอดภยดานสารสนเทศ หมวดท ๑ ขอ ๑๒

ขอ ๔. หนวยงานเจาของฐานขอมล ผมสทธและอ านาจในสายงาน เปนผพจารณาคณสมบตของผใชงานและโปรแกรมทไดรบอนญาตใหกระท าการใด ๆ กบขอมลนนไดตามสทธและจดใหมแฟมลงบนทกเขาออก (Log File) การใชงานส าหรบฐานขอมลตามความจ าเปน เพอประโยชนในการตรวจสอบความถกตองของการใชงานฐานขอมล

ขอ ๕. ในกรณฐานขอมลทมการใชรวมกนระหวางสวนราชการ หรอแลกเปลยน หรอขอใชขอมลจากสวนราชการใหจดท าขอตกลงการใชขอมล หรอส าหรบการแลกเปลยนสารสนเทศระหวางหนวยงานกบหนวยงานภายนอก ดงตอไปน

(๑) ก าหนดนโยบาย ขนตอนปฏบต และมาตรฐานเพอปองกนขอมลและสอบนทกขอมลทจะมการขนยายหรอสงไปยงอกสถานทหนง

(๒) ก าหนดหนาทความรบผดชอบของผทเกยวของและขนตอนปฏบตในการใชขอมลรวมกน หรอแลกเปลยนขอมล เชน วธการสง การรบ เปนตน

(๓) ก าหนดหนาทความรบผดชอบในการปองกนขอมล (๔) ก าหนดขนตอนปฏบตส าหรบตรวจสอบวาใครเปนผสงขอมลและใครเปนผรบขอมล

เพอเปนการปองกนการปฏเสธ (๕) ก าหนดความรบผดชอบส าหรบกรณทขอมลทแลกเปลยนกนเกดการสญหายหรอเกด

เหตการณความเสยหายอน ๆ กบขอมลนน (๖) ก าหนดสทธการเขาถงขอมล (๗) ก าหนดมาตรฐานทางเทคนคทใชในการเขาถงขอมลหรอซอฟตแวร (๘) ก าหนดมาตรการพเศษส าหรบปองกนเอกสาร ขอมล ซอฟตแวร หรออน ๆ ทม

ความส าคญ เชน กญแจทใชในการเขารหส เปนตน

แนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ ของกระทรวงสาธารณสข หนา ๓๖

สวนท ๒ การส ารองขอมล ขอ ๖. พจารณาคดเลอกระบบสารสนเทศทส าคญและจดท าระบบส ารองทเหมาะสมใหอยในสภาพ

พรอมใชงาน โดยเรยงล าดบความจ าเปนมากไปนอย ขอ ๗. ก าหนดหนาทและความรบผดชอบของเจาหนาทในการส ารองขอมล ขอ ๘. มการจดท าบญชระบบสารสนเทศทมความส าคญทงหมดของหนวยงาน พรอมทงก าหนด

ระบบสารสนเทศทจะจดท าระบบส ารอง และจดท าระบบแผนเตรยมพรอมกรณฉกเฉน อยางนอยปละ ๑ ครง ขอ ๙. ก าหนดใหมการส ารองขอมลของระบบสารสนเทศแตละระบบ และก าหนดความถใน

การส ารองขอมล หากระบบใดทมการเปลยนแปลงบอยก าหนดใหมความถในการส ารองขอมลมากขน โดยใหมวธการส ารองขอมล ดงน

(๑) ก าหนดประเภทของขอมลทตองท าการส ารองเกบไว และความถในการส ารอง (๒) ก าหนดรปแบบการส ารองขอมลใหเหมาะสมกบขอมลทจะท าการส ารองขอมล (๓) บนทกขอมลทเกยวของกบกจกรรมการส ารองขอมล ไดแก ผด าเนนการ วน/เวลาชอ

ขอมลทส ารอง ส าเรจ/ไมส าเรจ เปนตน (๔) ตรวจสอบคาคอนฟกกเรชนตาง ๆ ของระบบการส ารองขอมล (๕) จดเกบขอมลทส ารองนนในสอเกบขอมล โดยมการพมพชอบนสอเกบขอมลนนให

สามารถแสดงถงระบบซอฟตแวร วนท เวลาทส ารองขอมล และผรบผดชอบในการส ารองขอมลไวอยางชดเจน

(๖) จดเกบขอมลทส ารองไวนอกสถานท ระยะทางระหวางสถานททจดเกบขอมลส ารองกบหนวยงานตองหางกนเพยงพอ เพอไมใหสงผลกระทบตอขอมลทจดเกบไวนอกสถานทนนในกรณทเกดภยพบตกบหนวยงาน

(๗) ด าเนนการปองกนทางกายภาพอยางเพยงพอตอสถานทส ารองทใชจดเกบขอมลนอกสถานท

(๘) ทดสอบบนทกขอมลส ารองอยางสม าเสมอ เพอตรวจสอบวายงคงสามารถเขาถงขอมลไดตามปกต

(๙) จดท าขนตอนปฏบตส าหรบการกคนขอมลทเสยหายจากขอมลทไดส ารองเกบไว (๑๐) ตรวจสอบและทดสอบประสทธภาพและประสทธผลของขนตอนปฏบตในการกคน

ขอมลอยางสม าเสมอ อยางนอยปละ ๑ ครง หรอตามความเหมาะสมโดยค านงถงความเสยงตางๆ ทจะเกดขน

(๑๑) ก าหนดใหมการใชงานการเขารหสขอมลกบขอมลลบทไดส ารองเกบไว ขอ ๑๐. ตองจดท าแผนเตรยมความพรอมกรณฉกเฉนในกรณทไมสามารถด าเนนการดวยวธการ

ทางอเลกทรอนกส เพอใหสามารถใชงานสารสนเทศไดตามปกตอยางตอเนอง โดย (๑) มการก าหนดหนาท และความรบผดชอบของผทเกยวของทงหมด (๒) มการประเมนความเสยงส าหรบระบบทมความส าคญเหลานน และก าหนดมาตรการ

เพอลดความเสยงเหลานน เชน ไฟดบเปนระยะเวลานาน ไฟไหม แผนดนไหว การชมนมประทวงท าใหไมสามารถเขามาใชระบบงานได เปนตน

(๓) มการก าหนดขนตอนปฏบตในการกคนระบบสารสนเทศ (๔) มการก าหนดขนตอนปฏบตในการส ารองขอมล และทดสอบกคนขอมลทส ารองไว (๕) มการก าหนดชองทางในการตดตอกบผใหบรการภายนอก เชน ผใหบรการเครอขาย

ฮารดแวร ซอฟตแวร เปนตน เมอเกดเหตจ าเปนทจะตองตดตอ

แนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ ของกระทรวงสาธารณสข หนา ๓๗

(๖) การสรางความตระหนก หรอใหความรแกเจาหนาทผท เกยวของกบขนตอนการปฏบต หรอ สงทตองท าเมอเกดเหตเรงดวน เปนตน

ขอ ๑๑. มการทบทวนเพอปรบปรงแผนเตรยมความพรอมกรณฉกเฉนดงกลาวใหสามารถปรบใชไดอยางเหมาะสมและสอดคลองกบการใชงานตามภารกจ อยางนอยปละ ๑ ครง

ขอ ๑๒. ตองมการก าหนดหนาทและความรบผดชอบของบคลากรซงดแลรบผดชอบระบบสารสนเทศ ระบบส ารอง และการจดท าแผนเตรยมพรอมกรณฉกเฉนในกรณทไมสามารถด าเนนการดวยวธการทางอเลกทรอนกส

ขอ ๑๓. ตองมการทดสอบสภาพพรอมใชงานของระบบสารสนเทศ ระบบส ารอง และระบบแผนเตรยมพรอมกรณฉกเฉน อยางนอยปละ ๑ ครง หรอตามความเหมาะสมโดยค านงถงความเสยงตาง ๆ ทจะเกดขน เพอใหระบบมสภาพพรอมใชงานอยเสมอ

ขอ ๑๔. มการทบทวนระบบสารสนเทศ ระบบส ารอง และระบบแผนเตรยมพรอมกรณฉกเฉน ทเพยงพอตอสภาพความเสยงทยอมรบไดของแตละหนวยงาน อยางนอยปละ ๑ ครง

แนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ ของกระทรวงสาธารณสข หนา ๓๘

หมวดท ๓ การตรวจสอบและประเมนความเสยงดานสารสนเทศ

วตถประสงค

๑. เพอใหมการตรวจสอบและประเมนความเสยงของระบบสารสนเทศหรอสถานการณดานความมนคงปลอดภยทไมพงประสงคหรอไมอาจคาดคดได

๒. เพอเปนการปองกนและลดระดบความเสยงทอาจจะเกดขนไดกบระบบสารสนเทศ ๓. เพอเปนแนวทางในการปฏบตหากเกดความเสยงทเปนอตรายตอระบบสารสนเทศ

แนวปฎบต สวนท ๑ การตรวจสอบและประเมนความเสยง

ตรวจสอบและประเมนความเสยงดานสารสนเทศหรอสถานการณดานความมนคงปลอดภยทไมพงประสงคหรอไมอาจคาดคดได ทอาจเกดขนกบระบบเทคโนโลยสารสนเทศ โดยผตรวจสอบภายในของหนวยงาน (Internal Auditor) หรอโดยผตรวจสอบอสระดานความมนคงปลอดภยจากภายนอก (External Auditor) อยางนอยปละ ๑ ครง เพอใหหนวยงานไดทราบถงระดบความเสยงและระดบความมนคงปลอดภยสารสนเทศ โดยมแนวทางในตรวจสอบและประเมนความเสยงทตองค านงถง ดงน

ขอ ๑. จดล าดบความส าคญของความเสยง ขอ ๒. คนหาวธการด าเนนการเพอลดความเสยง ขอ ๓. ศกษาขอดขอเสยของวธการด าเนนการเพอลดความเสยง ขอ ๔. สรปผลขอเสนอแนะและแนวทางแกไขเพอลดความเสยงทตรวจสอบได ขอ ๕. มการตรวจสอบและประเมนความเสยงและใหจดท ารายงานพรอมขอเสนอแนะ ขอ ๖. มมาตรการในการตรวจประเมนระบบสารสนเทศ อยางนอย ดงน

(๑) ก าหนดใหผตรวจสอบสามารถเขาถงขอมลทจ าเปนตองตรวจสอบไดแบบอานได อยางเดยว

(๒) ในกรณทจ าเปนตองเขาถงขอมลในแบบอน ๆ ใหสรางส าเนาส าหรบขอมลนน เพอให ผตรวจสอบใชงาน รวมทงตองท าลายหรอลบโดยทนททตรวจสอบเสรจ หรอตองจดเกบไวโดยมการปองกนเปนอยางด

(๓) ก าหนดใหมการระบและจดสรรทรพยากรทจ าเปนตองใชในการตรวจสอบระบบบรหารจดการความมนคงปลอดภย

(๔) ก าหนดใหมการเฝาระวงการเขาถงระบบโดยผตรวจสอบ รวมทง บนทกขอมลลอกแสดงการเขาถงนน ซงรวมถงวนและเวลาทเขาถงระบบงานทส าคญ ๆ

(๕) ในกรณทมเครองมอส าหรบการตรวจประเมนระบบสารสนเทศ ก าหนดใหแยกการตดตงเครองมอทใชในการตรวจสอบ ออกจากระบบใหบรการจร งหรอระบบทใชในการพฒนา และมการจดเกบปองกนเครองมอนนจากการเขาถงโดยไมไดรบอนญาต

แนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ ของกระทรวงสาธารณสข หนา ๓๙

สวนท ๒ ความเสยงทอาจเปนอนตรายตอระบบเทคโนโลยสารสนเทศ

จากการตดตามตรวจสอบความเสยงตาง ๆ รวมถงเหตการณดานความมนคงปลอดภยในระบบเทคโนโลยสารสนเทศ สามารถแยกเปนภยตาง ๆ ได ๔ ประเภท ดงน

ประเภทท ๑ ภยทเกดจากเจาหนาทหรอบคลากรของหนวยงาน (Human Error) เชน เจาหนาทหรอบคลากรของหนวยงานขาดความรความเขาใจในเครองมออปกรณคอมพวเตอร ทงดาน Hardware และ Software ซงอาจท าใหระบบเทคโนโลยสารสนเทศเสยหาย ใชงานไมได เกดการชะงกงน หรอหยดท างาน และสงผลให ไมสามารถใชงานระบบเทคโนโลยสารสนเทศไดอยางเตมประสทธภาพ ไดก าหนดแนวทางการด าเนนการเบองตนเพอลดปญหาความเสยงทจะเกดขนกบระบบเทคโนโลยสารสนเทศไว ดงน

(๑) จดหลกสตรอบรมเจาหนาทของหนวยงาน ใหมความรความเขาใจในดาน Hardware และ Software เบองตน เพอลดความเสยงดาน Human error ใหนอยทสด ท าใหเจาหนาทมความรความเขาใจการใชและบรหารจดการเครองมออปกรณทางดานสารสนเทศ ทงทางดาน Hardware และ Software ไดมประสทธภาพยงขน ท าใหความเสยงทเกดจาก Human error ลดนอยลง

(๒) จดท าหนงสอแจงเวยนหนวยงานทงสวนกลางและสวนภมภาค เรอง การใชและการประหยดพลงงานใหกบเครองคอมพวเตอรและอปกรณ เพอเปนแนวทางปฏบตไดอยางถกตอง

ประเภทท ๒ ภยทเกดจาก Software ทสรางความเสยหายใหแกเครองคอมพวเตอรหรอระบบเครอขายคอมพวเตอรประกอบดวย ไวรสคอมพวเตอร (Computer Virus), หนอนอนเตอรเนต (Internet Worm), มาโทรจน (Trojan Horse), และขาวไวรสหลอกลวง (Hoax) พวก Software เหลานอาจรบกวนการท างาน และกอใหเกดความเสยหายใหแกระบบเทคโนโลยสารสนเทศ ถงขนท าใหระบบเครอขายคอมพวเตอรใชงานไมได ไดก าหนดแนวทางปฏบตเพอเตรยมรบสถานการณภยจาก Software ดงน

(๑) ตดตง Firewall ทเครองคอมพวเตอรแมขาย ท าหนาทในการก าหนดสทธการเขาใชงานเครองคอมพวเตอรแมขาย และปองกนการบกรกจากภายนอก

(๒) ตดตงซอฟตแวร Anti virus ดกจบไวรสทเขามาในระบบเครอขาย และสามารถตรวจสอบไดวามไวรสชนดใดเขามาท าความเสยหายกบระบบเครอขายคอมพวเตอร

ประเภทท ๓ ภยจากไฟไหม หรอ ระบบไฟฟา จดเปนภยรายแรงทท าความเสยหายใหแก

ระบบเทคโนโลยสารสนเทศ ไดก าหนดแนวทางปฏบตเพอเตรยมรบสถานการณ ดงน (๑) ตดตงอปกรณส ารองไฟฟา (UPS) เพอควบคมการจายกระแสไฟฟาใหกบระบบเครอง

แมขาย (Server) ในกรณเกดกระแสไฟฟาขดของ ระบบเครอขายคอมพวเตอรจะสามารถใหบรการไดในระยะเวลาทสามารถจดเกบและส ารองขอมลไวอยางปลอดภย

(๒) ตดตงอปกรณตรวจจบควน กรณทเกดเหตการณกระแสไฟฟาขดของหรอมควนไฟเกดขนภายในหองควบคมระบบเครอขาย อปกรณดงกลาวจะสงสญญาณแจงเตอนทหนวยรกษาความปลอดภยเพอทราบ และรบเขามาระงบเหตฉกเฉนอยางทนทวงท ซงมการตรวจสอบความพรอมของอปกรณอยางสม าเสมอ

แนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ ของกระทรวงสาธารณสข หนา ๔๐

(๓) ตดตงอปกรณดบเพลงชนดกาซ ทหองควบคมระบบคอมพวเตอรเพอไวใชในกรณเหตฉกเฉน (ไฟไหม) โดยมการตรวจสอบความพรอมของอปกรณและทดลองใชงานโดยสม าเสมอ

ประเภทท ๔ ภยจากน าทวม (อทกภย) ความเสยงตอความเสยหายจากน าทวม จดเปนภย

รายแรงทท าความเสยหายใหแกระบบเทคโนโลยสารสนเทศ ไดก าหนดแนวทางปฏบตเพอเตรยมรบสถานการณ ดงน

(๑) เฝาระวงภยอนเกดจากน าทวมโดยตดตามจากพยากรณอากาศของกรมอตนยมวทยาตลอดเวลา

(๒) ถอดเทป Back up ขอมลทงหมด ไปเกบไวในทปลอดภย (๓) ด าเนนการตดระบบไฟฟาในหองควบคม โดยปดเบรคเกอรเครองปรบอากาศ เพอ

ปองกนเครองควบคมเสยหาย และปองกนภยจากไฟฟา (๔) เจาหนาทชวยกนเคลอนยายเครองคอมพวเตอรแมขาย และอปกรณเครอขายไวในทสง (๕) กรณน าลดลงเรยบรอยแลวใหชางไฟฟาตรวจสอบระบบไฟฟาในหองควบคมเครอขาย

วา สามารถใชงานไดปกตหรอไม และเตรยมความพรอมหองควบคมระบบเครอขายส าหรบตดตงเครองคอมพวเตอร แมขายและอปกรณเครอขาย

(๖) ท าการตดตงเครองคอมพวเตอรแมขายและอปกรณเครอขาย พรอมทงทดสอบการใชงานของเครองคอมพวเตอรแมขายแตละเครองวาสามารถใหบรการไดตามปกตหรอไม ตรวจสอบระบบ Network วา สามารถเชอมตอและใหบรการกบเครองคอมพวเตอรลกขายไดหรอไม

(๗) เมอตรวจสอบแลววาเครองคอมพวเตอรแมขายและระบบเครอขายสามารถใหบรการขอมลไดเรยบรอยแลว แจงใหหนวยงานทเกยวของทราบ เพอเขามาใชบรการไดตามปกต

แนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ ของกระทรวงสาธารณสข หนา ๔๑

หมวดท ๔ การรกษาความปลอดภยดานกายภาพ สถานท และสภาพแวดลอม

วตถประสงค

เพอก าหนดมาตรการในการควบคมและปองกนการรกษาความมนคงปลอดภยในการเขาใชงานหรอเขาถงพนทใชงานในระบบสารสนเทศ โดยพจารณาตามความส าคญของอปกรณ ระบบเทคโนโลยสารสนเทศขอมล ซงมผลบงคบใชกบผใชงานและรวมถงบคคล และหนวยงานภายนอกทมสวนเกยวของกบการใชงานระบบเทคโนโลยสารสนเทศของหนวยงาน

แนวปฎบต

ขอ ๑. อาคาร สถานท และพนทใชงานระบบสารสนเทศ หมายถง ทซงเปนทตงของระบบ คอมพวเตอร ระบบเครอขาย หรอระบบสารสนเทศอน ๆ พนทเตรยมขอมลจดเกบคอมพวเตอรและอปกรณ พนทปฏบตงานของบคลากรทางคอมพวเตอร รวมทงเครองคอมพวเตอรสวนบคคลและอปกรณประกอบทตดตงประจ าโตะท างาน

ขอ ๒. หองควบคมระบบเครอขายคอมพวเตอร ตองมลกษณะ ดงน (๑) ก าหนดเปนเขตหวงหามเดดขาด หรอเขตหวงหามเฉพาะโดยพจารณาตาม

ความส าคญแลวแตกรณ (๒) ตองเปนพนททไมตงอยในบรเวณทมการผานเขา–ออก ของบคคลเปนจ านวนมาก (๓) จะตองไมมปายหรอสญลกษณทบงบอกถงการมระบบส าคญอยภายในสถานทดงกลาว (๔) จะตองปดลอก หรอใสกญแจประตหนาตางหรอหองเสมอเมอไมมเจาหนาทประจ าอย (๕) หากจ าเปนตองใชเครองโทรสารหรอเครองถายเอกสาร ใหตดตงแยก ออกมาจาก

บรเวณดงกลาว (๖) ไมอนญาตใหถายรปหรอบนทกภาพเคลอนไหวในบรเวณดงกลาว เปนอนขาด (๗) จดพนทส าหรบการสงมอบผลตภณฑ โดยแยกจากบรเวณทมทรพยากรสารสนเทศ

จดตงไว เพอปองกนการเขาถงระบบจากผไมไดรบอนญาต ขอ ๓. การก าหนดบรเวณทตองมการรกษาความมนคงปลอดภย

(๑) มการจ าแนกและก าหนดพนทของระบบเทคโนโลยสารสนเทศตาง ๆ อยางเหมาะสมเพอจดประสงคในการเฝาระวง ควบคม การรกษาความมนคงปลอดภย จากผทไมไดรบอนญาต รวมทงปองกนความเสยหายอน ๆ ทอาจเกดขนได

(๒) ก าหนดและแบงแยกบรเวณพนทใชงานระบบเทคโนโลยสารสนเทศใหชดเจน รวมทงจดท าแผนผงแสดงต าแหนงของพนทใชงานและประกาศใหรบทราบทวกน โดยการก าหนดพนทดงกลาวอาจแบงออกไดเปนพนทท างานทวไป (General Working Area) พนทท างานของผดแลระบบ (System Administrator Area) พนทตดตงอปกรณระบบเทคโนโลยสารสนเทศ (IT Equipment Area) พนทจดเกบขอมลคอมพวเตอร (Data Storage Area) และพนทใชงานเครอขายไรสาย (Wireless LAN Coverage Area) เปนตน

แนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ ของกระทรวงสาธารณสข หนา ๔๒

ขอ ๔. การควบคมการเขาออก อาคารสถานท (๑) ก าหนดสทธผใชงาน ทมสทธผานเขา-ออก และชวงเวลาทมสทธในการผานเขาออก

ในแตละ “พนทใชงานระบบ” อยางชดเจน (๒) การเขาถงอาคารของหนวยงาน ของบคคลภายนอก หรอผมาตดตอ เจาหนาทรกษา

ความปลอดภย จะตองใหมการแลกบตรทใชระบตวตนของบคคลนนๆ เชน บตรประชาชน ใบอนญาตขบข เปนตน แลวท าการลงบนทกขอมลบตรในสมดบนทกและรบแบบฟอรมการเขาออกพรอมกบบตรผตดตอ (Visitor)

(๓) ใหมการบนทกวนและเวลาการเขา-ออกพนทส าคญของผทมาตดตอ (Visitors) (๔) ผมาตดตอตองตดบตรใหเหนเดนชดตลอดระยะเวลาทอยภายในหนวยงาน (๕) บรษทผไดรบการวาจางตองตดบตรใหเหนเดนชดตลอดระยะเวลาการท างาน (๖) จดเกบบนทกการเขา-ออกส าหรบพนทหรอบรเวณทมความส าคญ เชน (Data Center)

เปนตน เพอใชในการตรวจสอบในภายหลงเมอมความจ าเปน (๗) ดแลผทมาตดตอในพนทหรอบรเวณทมความส าคญจนกระทงเสรจสนภารกจและ

จากไป เพอปองกนการสญหายของทรพยสนหรอปองกนการเขาถงทางกายภาพโดยไมไดรบอนญาต

(๘) มกลไกการอนญาตการเขาถงพนทหรอบรเวณทมความส าคญของบคคลภายนอก และตองมเหตผลทเพยงพอในการเขาถงบรเวณดงกลาว

(๙) สรางความตระหนกใหผทมาตดตอจากภายนอกเขาใจในกฎเกณฑหรอขอก าหนดตางๆ ทตองปฏบตระหวางทอยในพนทหรอบรเวณทมความส าคญ

(๑๐) มการควบคมการเขาถงพนททมขอมลส าคญจดเกบหรอประมวลผลอย (๑๑) ไมอนญาตใหผไมมกจเขาไปในพนทหรอบรเวณทมความส าคญเวนแตไดรบการอนญาต (๑๒) มการพสจนตวตน เชน การใชบตรรด การใชรหสผาน เปนตน เพอควบคมการเขา-

ออกในพนทหรอบรเวณทมความส าคญ (Data Center) (๑๓) จดใหมการดแลและเฝาระวงการปฏบตงานของบคคลภายนอกในขณะทปฏบตงานใน

พนทหรอบรเวณทมความส าคญ (๑๔) จดใหมการทบทวน หรอยกเลกสทธการเขาถงพนทหรอบรเวณทมความส าคญ

อยางนอยปละ ๑ ครง ขอ ๕. ระบบและอปกรณสนบสนนการท างาน (Supporting Utilities)

(๑) มระบบสนบสนนการท างานของระบบเทคโนโลยสารสนเทศของหนวยงานทเพยงพอตอความตองการใชงานโดยใหมระบบดงตอไปน

- ระบบส ารองกระแสไฟฟา (UPS) - เครองก าเนดกระแสไฟฟาส ารอง (Generator) - ระบบระบายอากาศ - ระบบปรบอากาศ และควบคมความชน

(๒) ใหมการตรวจสอบหรอทดสอบระบบสนบสนนเหลานนอยางนอยปละ ๑ ครง เพอใหมนใจไดวาระบบท างานตามปกต และลดความเสยงจากการลมเหลวในการท างานของระบบ

แนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ ของกระทรวงสาธารณสข หนา ๔๓

(๓) ตดตงระบบแจงเตอน เพอแจงเตอนกรณทระบบสนบสนนการท างานภายในหองเครองท างานผดปกตหรอหยดการท างาน

ขอ ๖. การเดนสายไฟ สายสอสาร และสายเคเบลอนๆ (Cabling Security) (๑) หลกเลยงการเดนสายสญญาณเครอขายของหนวยงานในลกษณะทตองผานเขาไปใน

บรเวณทมบคคลภายนอกเขาถงได (๒) ใหมการรอยทอสายสญญาณตาง ๆ เพอปองกนการดกจบสญญาณ หรอการตด

สายสญญาณเพอท าใหเกดความเสยหาย (๓) ใหเดนสายสญญาณสอสารและสายไฟฟาแยกออกจากกน เพอปองกนการแทรกแซง

รบกวนของสญญาณซงกนและกน (๔) ท าปายชอส าหรบสายสญญาณและบนอปกรณเพอปองกนการตดตอสญญาณผดเสน (๕) จดท าผงสายสญญาณสอสารตาง ๆ ใหครบถวนและถกตอง (๖) หองทมสายสญญาณสอสารตาง ๆ ปดใสสลกใหสนท เพอปองกนการเขาถงของ

บคคลภายนอก (๗) พจารณาใชงานสายไฟเบอรออฟตก แทนสายสญญาณสอสารแบบเดม (เชน

สายสญญาณแบบ coaxial cable) ส าหรบระบบสารสนเทศทส าคญ (๘) ด าเนนการส ารวจระบบสายสญญาณสอสารทงหมดเพอตรวจหาการตดตงอปกรณดก

จบสญญาณโดยผไมประสงคด ขอ ๗. การบ ารงรกษาอปกรณ (Equipment Maintenance)

(๑) ใหมก าหนดการบ ารงรกษาอปกรณตามรอบระยะเวลาทแนะน าโดยผผลต (๒) ปฏบตตามค าแนะน าในการบ ารงรกษาตามทผผลตแนะน า (๓) จดเกบบนทกกจกรรมการบ ารงรกษาอปกรณส าหรบการใหบรการทกครง เพอใชใน

การตรวจสอบหรอประเมนในภายหลง (๔) จดเกบบนทกปญหาและขอบกพรองของอปกรณทพบ เพอใชในการประเมนและ

ปรบปรงอปกรณดงกลาว (๕) ควบคมและสอดสองดแลการปฏบตงานของผใหบรการภายนอกทมาท าการบ ารงรกษา

อปกรณภายในหนวยงาน (๖) จดใหมการอนมตสทธการเขาถงอปกรณทมขอมลส าคญโดยผรบจางใหบรการจาก

ภายนอก (ทมาท าการบ ารงรกษาอปกรณ) เพอปองกนการเขาถงขอมลโดยไมไดรบอนญาต

ขอ ๘. การน าทรพยสนของหนวยงานออกนอกหนวยงาน (Removal of Property) (๑) ใหมการขออนญาตกอนน าอปกรณหรอทรพยสนนนออกไปใชงานนอกหนวยงาน (๒) ก าหนดผรบผดชอบในการเคลอนยายหรอน าอปกรณออกนอกหนวยงาน (๓) ก าหนดระยะเวลาของการน าอปกรณออกไปใชงานนอกหนวยงาน (๔) เมอมการน าอปกรณสงคน ใหตรวจสอบวาสอดคลองกบระยะเวลาทอนญาตและ

ตรวจสอบการช ารดเสยหายของอปกรณดวย (๕) บนทกขอมลการน าอปกรณของหนวยงานออกไปใชงานนอกหนวยงาน เพอเอาไวเปน

หลกฐานปองกนการสญหาย รวมทงบนทกขอมลเพมเตมเมอน าอปกรณสงคน

แนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ ของกระทรวงสาธารณสข หนา ๔๔

ขอ ๙. การปองกนอปกรณทใชงานอยนอกหนวยงาน (Security of Equipment off-premises) (๑) ก าหนดมาตรการความปลอดภยเพอปองกนความเสยงจากการน าอปกรณหรอ

ทรพยสนของหนวยงานออกไปใชงาน เชน การขนสง การเกดอบตเหตกบอปกรณ (๒) ไมทงอปกรณหรอทรพยสนของหนวยงานไวโดยล าพงในทสาธารณะ (๓) เจาหนาทมความรบผดชอบดแลอปกรณหรอทรพยสนเสมอนเปนทรพยสนของตนเอง

ขอ ๑๐. การก าจดอปกรณหรอการน าอปกรณกลบมาใชงานอกครง (Secure Disposal or re-use of Equipment)

(๑) ใหท าลายขอมลส าคญในอปกรณกอนทจะก าจดอปกรณดงกลาว (๒) มมาตรการหรอเทคนคในการลบหรอเขยนขอมลทบบนขอมลทมความส าคญในอปกรณ

ส าหรบจดเกบขอมลกอนทจะอนญาตใหผอนน าอปกรณนนไปใชงานตอ เพอปองกนไมใหมการเขาถงขอมลส าคญนนได

แนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ ของกระทรวงสาธารณสข หนา ๔๕

หมวดท ๕ การด าเนนการตอบสนองเหตการณความมนคงปลอดภย

ทางระบบสารสนเทศ วตถประสงค

เพอก าหนดมาตรการในการปองกนการบกรกและการโจมต หรอเหตการณละเมดความปลอดภยระบบสารสนเทศใหมความมนคงปลอดภย

แนวปฎบต

ขอ ๑. ระบบปองกนผบกรก

(๑) ด าเนนการตรวจสอบ Log File หรอรายงงานของระบบปองกนการบกรก สงทท าการตรวจสอบม ดงตอไปน - มการโจมตมากนอยเพยงใด และเปนการโจมตประเภทใดมากทสด - ลกษณะของการโจมตทเกดขนมรปแบบทสามารถคาดเดาไดหรอไม - ระดบความรนแรงมากนอยเพยงใด - หมายเลขไอพของเครอขายทเปนผโจมต

ขอ ๒. ระบบไฟรวอลล (๑) ด าเนนการตรวจระบบปองกนการบกรก อยางนอยเดอนละ ๑ ครง (๒) ด าเนนการตรวจสอบบนทกของ Log File และรายงานของไฟรวอลล สงทตอง

ตรวจสอบมดงตอไปน - Packet ทไฟรวอลลไดท าการ Block - ลกษณะของ Packet ทถก Block - Packet ของหมายเลขไอพ ของเครอขายใดถก Block เปนจ านวนมาก

(๓) กรณตรวจพบการโจมตระบบหรอเหตการณละเมดความปลอดภยระบบสารสนเทศใหแจงหวหนาหนวยงาน เพอตดสนใจด าเนนการแกไขปญหา

ขอ ๓. ระบบปองกนภยคกคามทางอนเตอรเนต ภยคกคามทางอนเตอรเนตหรอมลแวร (Malware) ประกอบดวย ไวรส หนอนอนเตอรเนต โทรจน รวมถงสปายแวร

(๑) ด าเนนการตรวจสอบ Log File และรายงานของอปกรณทเกยวของกบระบบปองกนภยคกคามทางอนเตอรเนต สงทตองตรวจสอบมดงน - มลแวรประเภทใดถกพบเปนจ านวนมาก - มลแวรถกสงมาจากเครอขายใด และถกสงไปยงทใด - มการสงมลแวรจากเครอขายภายในกระทรวงสาธารณสขไปยงภายนอกหรอไม

(๒) ศกษาหาวธแกไขเครองคอมพวเตอรทตดมลแวร โดยเฉพาะมลแวรประเภททตรวจพบวากระจาย อยในเครอขายของกระทรวงสาธารณสข

(๓) ตรวจสอบพบวาเครองคอมพวเตอรภายในเครอขายตดมลแวรหรอสงมลแวรออกไปขางนอก ตองระงบการเชอมตอของเครองทตดมลแวรกบระบบเครอขาย แลวท าการแกไขเครองนนทนท

แนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ ของกระทรวงสาธารณสข หนา ๔๖

หมวดท ๖ การสรางความตระหนกในเรองการรกษาความปลอดภยของ

ระบบเทคโนโลยสารสนเทศ วตถประสงค

๑. เพอสรางความรความเขาใจ ในการใชระบบสารสนเทศและระบบคอมพวเตอรใหแกผใชงานของกระทรวงสาธารณสข

๒. เพอใหการใชงานระบบสารสนเทสศและระบบคอมพวเตอรเกดความมนคงปลอดภย ๓. เพอปองกนและลดการกระท าความผดทเกดขนจากการใชระบบสารสนเทศและระบบ

คอมพวเตอรโดยไมคาดคด

แนวปฎบต

ขอ ๑. จดใหมการทบทวน ปรบปรงนโยบายและแนวปฏบตใหเปนปจจบนอยเสมอ อยางนอยปละ ๑ ครง

ขอ ๒. จดฝกอบรมแนวปฏบตตามแนวนโยบายอยางสม าเสมอ โดยการจดฝกอบรมโดยใชวธการเสรมเนอหาแนวปฏบตตามแนวนโยบายเขากบหลกสตรอบรมตาง ๆ ตามแผนการฝกอบรมของหนวยงาน

ขอ ๓. จดสมมนาเพอเผยแพรนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ และสรางความตระหนกถงความส าคญของการปฏบตใหกบบคลากร โดยการจดสมมนามแผนการด าเนนงานปละไมนอยกวา ๑ ครง โดยจะจดรวมกบการสมมนาทเกยวของกบดานเทคโนโลยสารสนเทศ และมการเชญวทยากรจากภายนอกทมประสบการณดานการรกษาความมนคงปลอดภยดานสารสนเทศมาถายทอดความร

ขอ ๔. ตดประกาศประชาสมพนธ ใหความรเกยวกบแนวปฏบต ในลกษณะเกรดความร หรอขอระวงในรปแบบทสามารถเขาใจและน าไปปฏบตไดงาย โดยมการปรบเปลยนเกรดความรอยเสมอ

ขอ ๕. ระดมการมสวนรวมและลงสภาคปฏบตดวยการก ากบ ตดตาม ประเมนผล และส ารวจความตองการของผใชงาน

ขอ ๖. ใหมการสรางความตระหนกเกยวกบโปรแกรมไมประสงคด เพอใหเจาหนาทมความรความเขาใจและสามารถปองกนตนเองไดและใหรบทราบขนตอนปฏบตเมอพบเหตโปรแกรมไมประสงคดวาตองด าเนนการอยางไร

ขอ ๗. สรางความรความเขาใจใหแกผใชงานใหตระหนกถงเหตการณดานความมนคงปลอดภยทเกดขน และสถานการณดานความมนคงปลอดภยทไมพงประสงคหรอไมอาจคาดคด เพอใหผใชงานปฏบตตามนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยของหนวยงาน

ขอ ๘. ผใชงานตองตระหนกและปฏบตตามกฎหมายใด ๆ ทไดประกาศใชในประเทศไทยรวมทงกฎระเบยบของกระทรวงสาธารณสข และขอตกลงระหวางประเทศอยางเครงครด ทงนหากผใชงานไมปฏบตตามกฎหมายดงกลาว ถอวาความผดนนเปนความผดสวนบคคลซงผใชงานจะตองรบผดชอบตอความผดทเกดขนเอง

แนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ ของกระทรวงสาธารณสข หนา ๔๗

หมวดท ๗ หนาทและความรบผดชอบ

วตถประสงค

เพอก าหนดหนาทความรบผดชอบของผบรหารระดบสง ผอ านวยการ หวหนา เจาหนาท ตลอดจนผทไดรบมอบหมายใหดแลรบผดชอบดานสารสนเทศ

แนวปฏบต

ขอ ๑. ระดบนโยบาย ผรบผดชอบ ไดแก - ผบรหารเทคโนโลยสารสนเทศระดบสง (CSO/CIO) - ผอ านวยการศนยเทคโนโลยสารสนเทศ หรอเทยบเทาระดบผอ านวยการ

(๑) รบผดชอบในการก าหนดนโยบาย ใหขอเสนอแนะ ค าปรกษา ตลอดจนตดตาม ก ากบ ดแล ควบคมตรวจสอบเจาหนาทในระดบปฏบต

(๒) รบผดชอบตอความเสยง ความเสยหาย หรออนตรายทเกดขนกรณระบบ คอมพวเตอรหรอขอมลสารสนเทศเกดความเสยหาย หรออนตรายใด ๆ แกองคกรหรอผหนงผใด อนเนองมาจากความบกพรอง ละเลย หรอฝาฝนการปฏบตตามแนวนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ

ขอ ๒. ระดบบรหาร ผรบผดชอบ ไดแก หวหนากลม/หวหนาศนยเทคโนโลยสารสนเทศ หรอ

เทยบเทาหวหนากลม (๑) รบผดชอบ ก ากบ ดแลการปฏบตงานของผปฏบต ตลอดจนศกษา ทบทวน วางแผน

ตดตามการบรหารความเสยง และระบบรกษาความปลอดภยฐานขอมลและเทคโนโลยสารสนเทศ

(๒) รบผดชอบในการควบคม ดแล รกษาความปลอดภย ระบบสารสนเทศและระบบฐานขอมล

ขอ ๓. ระดบปฏบต ผรบผดชอบ ไดแก

- ผทไดรบมอบหมายใหปฏบตหนาทจากหวหนาสวนราชการกระทรวงสาธารณสข เชน นกวชาการคอมพวเตอร เจาหนาทเครองคอมพวเตอร

(๑) ปฏบตตามนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ (๒) ประสานการปฏบตงานตามแผนปองกนและแกไขปญหาระบบความมนคงปลอดภยของ

ฐานขอมลและสารสนเทศจากสถานการณความไมแนนอนและภยพบต (๓) รบผดชอบควบคม ดแล รกษาความปลอดภย และบ ารงรกษา ระบบเครองคอมพวเตอร

ระบบเครอขาย หองควบคมระบบเครอขายและเครองคอมพวเตอรแมขาย (๔) ท าการส ารองขอมลและเรยกคนขอมล (Backup and Recovery) ตามรอบระยะเวลาท

ก าหนด (๕) ปองกนการถกเจาะระบบ และแกไขปญหาการถกเจาะเขาระบบฐานขอมลจาก

บคคลภายนอก (Hacker) โดยไมไดรบอนญาต

แนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ ของกระทรวงสาธารณสข หนา ๔๘

(๖) รบผดชอบในการกษาความปลอดภย ระบบอนเตอรเนต (๗) ปฏบตงานอน ๆ ตามทไดรบมอบหมายในการรกษาความมนคงปลอดภยดานสารสนเทศ

ของกระทรวงสาธารณสข

ภาคผนวก

(ภาคผนวก ๑)

แนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ ของกระทรวงสาธารณสข (ภาคผนวก) หนา ๑

การจดท าประกาศแนวนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ

ขอ ๑. การรกษาความมนคงปลอดภยดานสารสนเทศในการท าธรกรรมทางอเลกทรอนกสตามประกาศนม ๒ สวน ดงน

๑.๑. นโยบายในการรกษาความมนคงปลอดภยดานสารสนเทศ ตองมเนอหาอยางนอยครอบคลมตามขอ ๔

๑.๒. แนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ ตองมเนอหาอยางนอยครอบคลมตามขอ ๕ – ๑๔

ขอ ๒. นโยบายในการรกษาความมนคงปลอดภยดานสารสนเทศ ตามประกาศน ม ๒ สวน ดงน ๒.๑. สวนทวาดวยการจดท านโยบาย

(๑) ผบรหาร เจาหนาทปฏบตการดานคอมพวเตอรและผใชงานไดมสวนรวมในการท านโยบาย

(๒) นโยบายไดท าเปนลายลกษณอกษร โดยประกาศใหผใชงานทราบและสามารถเขาถงไดอยางสะดวกผานทางเวบไซตของกระทรวงสาธารณสข

(๓) ก าหนดผรบผดชอบตามนโยบายและแนวปฏบตดงกลาวใหชดเจน (๔) มการทบทวนและปรบปรงนโยบายอยางนอยปละ ๑ ครง

๒.๒. สวนทวาดวยรายละเอยดของนโยบาย (๑) การเขาถงหรอควบคมการใชงานสารสนเทศ (๒) มระบบสารสนเทศและระบบส ารองของสารสนเทศ (๓) มการตรวจสอบและประเมนความเสยงดานสารสนเทศ (๔) การสรางความรความเขาใจในการใชระบบสารสนเทศและระบบคอมพวเตอร

ขอ ๓. มขอก าหนดการเขาถงหรอควบคมการใชงานระบบสารสนเทศ (access control) อยางนอยดงน (๑) มการควบคมการเขาถงขอมลและอปกรณในการประมวลผลขอมล โดยค านงถงการ

ใชงานและความมนคงปลอดภย (๒) ในการก าหนดกฎเกณฑเกยวกบการอนญาตใหเขาถง ตองก าหนดตามนโยบายท

เกยวของกบการอนญาต การก าหนดสทธ หรอการมอบอ านาจของหนวยงาน (๓) ตองก าหนดเกยวกบประเภทของขอมล ล าดบความส าคญ หรอล าดบชนความลบ

ของขอมล รวมทงระดบชนการเขาถง เวลาทไดเขาถง และชองทางการเขาถง

ขอ ๔. ม ข อก าหนดการ ใช ง านตามภารก จ เ พอควบคมการ เ ข าถ งสา รสน เทศ (business requirements for access control) อยางนอยดงน

(๑) มการควบคมการเขาถงสารสนเทศ โดยจดท าขอปฏบตส าหรบการควบคมการเขาถงสารสนเทศ

(๒) มการปรบปรงใหสอดคลองกบขอกาหนดการใชงานตามภารกจ และขอกาหนดดานความมนคงปลอดภย โดยก าหนดสทธทเกยวของกบระบบสารสนเทศ หลกการ “ตามความจ าเปนทตองร”

ขอ ๕. มการบรหารจดการการเขาถงของผใชงาน (user access management) เพอควบคมการเขาถงระบบสารสนเทศเฉพาะผทไดรบอนญาตแลว เพอปองกนการเขาถงจากผซงไมไดรบอนญาต อยางนอยดงน

(ภาคผนวก ๑)

แนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ ของกระทรวงสาธารณสข (ภาคผนวก) หนา ๒

(๑) สรางความรความเขาใจใหกบผใชงาน เพอใหเกดความตระหนก ความเขาใจถงภยและผลกระทบทเกดจากการใชงานระบบสารสนเทศโดยไมระมดระวงหรอรเทาไมถงการณ รวมถงก าหนดใหมมาตรการเชงปองกนตามความเหมาะสม

(๒) การลงทะเบยนผใชงาน (user registration) ตองก าหนดใหมขนตอนทางปฏบตส าหรบการลงทะเบยนผใชงานเมอมการอนญาตใหเขาถงระบบสารสนเทศ และการตดออกจากทะเบยนของผใชงานเมอมการยกเลกเพกถอนการอนญาตดงกลาว

(๓) การบรหารจดการสทธของผใชงาน (user management) ตองจดใหมการควบคมและจ ากดสทธเพอเขาถงและใชงานระบบสารสนเทศแตละชนดตามความเหมาะสม ทงนรวมถงสทธจ าเพาะ สทธพเศษ และสทธอน ๆ ทเกยวของกบการเขาถง

(๔) การบรหารจดการรหสผานส าหรบผใชงาน (user password management) ตองจดใหมกระบวนการบรหารจดการรหสผานส าหรบผใชงานอยางรดกม

(๕) การทบทวนสทธการเขาถงของผใชงาน (review of user access rights) ตองจดใหมกระบวนการทบทวนสทธการเขาถงของผใชงานระบบสารสนเทศตามสระยะเวลาทก าหนดไว

ขอ ๖. มการก าหนดหนาทความรบผดชอบของผใชงาน (user responsibilities) เพอปองกนการเขาถงโดยไมไดรบอนญาต การเปดเผย การลวงร หรอการลกลอบท าส าเนาขอมลสารสนเทศและการลกขโมยอปกรณประมวลผลสารสนเทศ มเนอหาอยางนอย ดงน

(๑) การใชงานรหสผาน (password use) ก าหนดแนวปฏบตทดส าหรบผใชงานในการก าหนดรหสผาน การใชงานรหสผาน และการเปลยนรหสผาน

(๒) การปองกนอปกรณในขณะทไมมผใชงานทอปกรณ ก าหนดแนวปฏบตทเหมาะสมเพอปองกนไมใหผไมมสทธสามารถเขาถงอปกรณของหนวยงานในขณะทไมมผดแล

(๓) การควบคมสนทรพยสารสนเทศและการใชงานระบบคอมพวเตอร (clear desk and clear screen policy) ตองควบคมไมใหสนทรพยสารสนเทศ เชน เอกสาร สอบนทกขอมล คอมพวเตอรหรอสารสนเทศอยในภาวะเสยงตอการเขาถงโดยผซงไมมสทธ และตองก าหนดใหผใชงานออกจากระบบสารสนเทศเมอวางเวนจากการใชงาน

(๔) ผใชงานอาจน าการเขารหส มาใชกบขอมลทเปนความลบ โดยใหปฏบตตามระเบยบการรกษาความลบทางราชการ พ.ศ.๒๕๔๔

ขอ ๗. มการควบคมการเขาถงเครอขาย (network access control) เพอปองกนการเขาถงบรการทางเครอขายโดยไมไดรบอนญาต อยางนอยดงน

(๑) การใชบรการเครอขาย ตองก าหนดใหผใชงานสามารถเขาถงระบบสารสนเทศไดแตเพยงบรการทไดรบอนญาตใหเขาถงเทานน

(๒) การยนยนตวบคคลส าหรบผใชงานทอยภายนอกหนวยงาน (user authentication for external connection) ตองก าหนดใหมการยนยนตวบคคลกอนทจะอนญาตใหผใชงานทอยภายนอกหนวยงานสามารถเขาใชงานเครอขายและระบบสารสนเทศของหนวยงานได

(๓) การระบอปกรณบนเครอขาย (equipment identification in networks) ตองมวธการทสามารถระบอปกรณบนเครอขายได และควรใชการระบอปกรณบนเครอขายเปนการยนยน

(ภาคผนวก ๑)

แนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ ของกระทรวงสาธารณสข (ภาคผนวก) หนา ๓

(๔) การปองกนพอรตทใชส าหรบตรวจสอบและปรบแตงระบบ (remote diagnostic and configuration port protection) ตองควบคมการเขาถงพอรตทใชส าหรบตรวจสอบและปรบแตงระบบทงการเขาถงทางกายภาพและทางเครอขาย

(๕) การแบงแยกเครอขาย (segregation in networks) ตองท าการแบงแยกเครอขายตามกลมของบรการสารสนเทศ กลมผใชงาน และกลมของระบบสารสนเทศ

(๖) การควบคมการเชอมตอทางเครอขาย (network connection control) ตองควบคมการเขาถงหรอใชงานเครอขายทมการใชรวมกนหรอเชอมตอระหวางใหสอดคลองกบแนวปฏบตการควบคมการเขาถง

(๗) การควบคมการจดเสนทางบนเครอขาย (network routing control) ตองควบคมการจดเสนทางบนเครอขายเพอใหการเชอมตอของคอมพวเตอรและการสงผานหรอไหลเวยนของขอมลหรอสารสนเทศสอดคลองกบแนวปฏบตการควบคมการเขาถงหรอการประยกตใชงานตามภารกจ

ขอ ๘. มการควบคมการเขาถงระบบปฏบตการ (operation system access control) เพอปองกนการเขาถงระบบปฏบตการโดยไมไดรบอนญาต อยางนอยดงน

(๑) ก าหนดขนตอนปฏบตเพอการเขาใชงานทมนคงปลอดภย การเขาถงระบบปฏบตการจะตองควบคมโดยวธการยนยนตวตนทมนคงปลอดภย

(๒) ระบและยนยนตวตนของผใชงาน (user identification and authentication) ตองก าหนดใหผใชงานมขอมลเฉพาะเจาะจงซงสามารถระบตวตนของผใชงาน และเลอกใชขนตอนทางเทคนคในการยนยนตวตนทเหมาะสมเพอรองรบการกลาวอางวาเปนผใชงานทระบถง

(๓) การบรหารจดการรหสผาน (password management system) ตองจดท าหรอจดใหมระบบบรหารจดการรหสผานทสามารถท างานเชงโตตอบ (interactive) หรอมการท างานในลกษณะอตโนมต ซงเออตอการก าหนดรหสผานทมคณภาพ

(๔) การใชงานโปรแกรมอรรถประโยชน (use of system utilities) ควรจ ากดและควบคมการใชงานโปรแกรมประเภทอรรถประโยชน เพอปองกนการละเมดหรอหลกเลยงมาตรการความมนคงปลอดภยทไดก าหนดไวหรอทมอยแลว

(๕) เมอมการวางเวนจากการใชงานในระยะเวลาหนงใหยตการใชงานระบบสารสนเทศนน (session time-out)

(๖) การจ ากดระยะเวลาการเชอมตอระบบสารสนเทศ (limitation of connection time) ตองจ ากดระยะเวลาในการเชอมตอเพอใหมความมนคงปลอดภยมากยงขนส าหรบระบบสารสนเทศหรอโปรแกรมทมความเสยงหรอมความส าคญสง

ขอ ๙. มการควบคมการเขาถงโปรแกรมประยกตหรอแอพพลเคชนและสารสนเทศ (application and information access control) โดยตองมการควบคม อยางนอยดงน

(๑) การจ ากดการเขาถงสารสนเทศ (information access restriction) ตองจ ากดหรอควบคมการเขาถงหรอเขาใชงานของผใชงานและบคลากรฝายสนบสนนการเขาใชงานในการเขาถงสารสนเทศและฟงกชน (function) ตาง ๆ ของโปรแกรมประยกตหรอแอพพลเคชน ทงน โดยใหสอดคลองตามนโยบายควบคมการเขาถงสารสนเทศทไดก าหนดไว

(ภาคผนวก ๑)

แนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ ของกระทรวงสาธารณสข (ภาคผนวก) หนา ๔

(๒) ระบบซงไวตอการรบกวน มผลกระทบและมความส าคญสงตอหนวยงาน ตองไดรบการแยกออกจากระบบอน ๆ และมการควบคมสภาพแวดลอมของตนเองโดยเฉพาะ ใหมการควบคมอปกรณคอมพวเตอรและสอสารเคลอนทและการปฏบตงานจากภายนอกหนวยงาน (mobile computing and teleworking)

(๓) การควบคมอปกรณคอมพวเตอรและสอสารเคลอนท ตองก าหนดแนวปฏบตและมาตรการทเหมาะสมเพอปกปองสารสนเทศจากความเสยงของการใชอปกรณคอมพวเตอรและสอสารเคลอนท

(๔) การปฏบตงานจากภายนอกหนวยงาน (teleworking) ตองก าหนดแนวปฏบต แผนงานและขนตอนปฏบตเพอปรบใชส าหรบการปฏบตงานของหนวยงานจากภายนอกหนวยงาน

ขอ ๑๐. จดท าระบบส ารองส าหรบระบบสารสนเทศ ตามแนวทางตอไปน (๑) ตองพจารณาคดเลอกและจดท าระบบส ารองทเหมาะสมใหอยในสภาพพรอมใชงานท

เหมาะสม (๒) ตองจดท าแผนเตรยมความพรอมกรณฉกเฉนในกรณทไมสามารถด าเนนการดวย

วธการทางอเลกทรอนกส เพอใหสามารถใชงานสารสนเทศไดตามปกตอยางตอเนอง โดยตองปรบปรงแผนเตรยมความพรอมกรณฉกเฉนดงกลาวใหสามารถปรบใชไดอยางเหมาะสมและสอดคลองกบการใชงานตามภารกจ

(๓) ตองมการก าหนดหนาทและความรบผดชอบของบคลากรซงดแลรบผดชอบระบบสารสนเทศ ระบบส ารอง และการจดท าแผนเตรยมพรอมกรณฉกเฉนในกรณทไมสามารถด าเนนการดวยวธการทางอเลกทรอนกส

(๔) ตองมการทดสอบสภาพพรอมใชงานของระบบสารสนเทศ ระบบส ารองและระบบแผนเตรยมพรอมกรณฉกเฉนอยางสม าเสมอ อยางนอยปละ ๑ ครง

(๕) มการปฏบตและทบทวนแนวทางจดท าระบบส ารอง อยางนอยปละ ๑ ครง ขอ ๑๑. มการตรวจสอบและประเมนความเสยงดานสารสนเทศ โดยมเนอหาอยางนอยดงน

(๑) ตองจดใหมการตรวจสอบและประเมนความเสยงดานสารสนเทศทอาจเกดขนกบระบบสารสนเทศ (information security audit and assessment) อยางนอยปละ ๑ ครง

(๒) ในการตรวจสอบและประเมนความเสยงจะตองด าเนนการโดยผตรวจสอบภายในของหนวยงาน (internal auditor) หรอโดยผตรวจสอบอสระดานความมนคงปลอดภยจากภายนอก (external auditor) เพอใหหนวยงานไดทราบถงระดบความเสยงและระดบความมนคงปลอดภยสารสนเทศ

ขอ ๑๒. ตองก าหนดความรบผดชอบทชดเจน กรณระบบคอมพวเตอรหรอขอมลสารสนเทศเกดความเสยหาย หรออนตรายใด ๆ แกหนวยงานหรอผหนงผใด อนเนองมาจากความบกพรองละเลย หรอฝาฝนการปฏบตตามนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ โดยก าหนดใหผบรหารระดบสงมหนาทดแลรบผดชอบดานสารสนเทศของหนวยงานเปนผรบผดชอบตอความเสยง ความเสยหาย หรออนตรายทเกดขน

(ภาคผนวก ๒)

แนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ ของกระทรวงสาธารณสข (ภาคผนวก) หนา ๑

แนวปฏบต เมอเกดฟชชง (Phishing) ทเวบเซอรเวอรของหนวยงาน วตถประสงค

เพอก าหนดมาตรการในการแกไขปญหาการเกดฟชชง (Phishing) ใหสามารถด าเนนการไดอยางรวดเรว ไมใหเกดความเสยหาย และสงผลกระทบตอหนวยงานทงภายในและภายนอกทใชงานระบบสารสนเทศ

แนวปฏบต

ขอ ๑. เมอผดแลระบบเครอขายของกระทรวงไดรบแจงหรอตรวจพบวาเวบเซอรเวอรของหนวยงานใด ๆ เปนชองทางใหผไมหวงดท าฟชชง (Phishing) ผดแลระบบของกระทรวงจะด าเนนการ ดงน (๑) ด าเนนการบลอค IP Address ของเวบเซอรเวอรทโดนฟชชงนน หรอแจงผ

ใหบรการเสนทางเครอขายของหนวยงานด าเนนการโดยเรงดวน (๒) แจงผดแลเวบเซอรเวอรของหนวยงานทถกท าฟชชง ทาง e-Mail หรอทาง

โทรศพท เพอใหด าเนนการแกไขปญหา ขอ ๒. เมอหนวยงานด าเนนการแกไขปญหาเรยบรอยแลว ใหประสานไปยงเมอผดแลระบบ

เครอขายของกระทรวงหรอผใหบรการเสนทางเครอขายของหนวยงาน เพอปลดบลอค IP Address

ขอ ๓. ผดแลเวบเซอรเวอรของหนวยงานตองตรวจสอบเวบเซอรเวอรและเวบไซตภายในหนวยงานของตนเอง รวมทงตดตงโปรแกรมปรบปรงชองโหว (patch) อยางสม าเสมอ เพอปองกนผทไมหวงดในการเขามาท าฟชชง

หมายเหต : ทางผเสยหายสวนใหญ เปนหนวยงานทมการท าธรกรรมอเลกทรอนกสทเกยวของกบการเงน เชน ธนาคาร เวบไซตทเกยวกบการซอขายออนไลน ฯลฯ หากการด าเนนการแกไขปญหาดงกลาวลาชาและมความเสยหาย อาจมผลทางกฎหมายตอหนวยงานของทาน