Embed Size (px)
Citation preview
คมอการปฏบตงาน ( Procedure Manual )
ชองาน : นโยบายความมนคงปลอดภยดานเทคโนโลยสารสนเทศและการสอสาร(ICT Security Policy)
รหสเอกสาร P IT SP 01-00 ชดท 03 เรมใช 16/07/58
ผทบทวน ...........................................
นางศรพร นรกษ (ต าแหนง ผสท.)
ผอนมต .....................................................
นางสาวอจฉรนทร พฒนพนธชย (ต าแหนง ทป-อ. )
หนาท 1 ของ 55
สารบญ
หนา หมวดท 1 นโยบายความมนคงปลอดภยขององคกร 6 (Security Policy) หมวดท 2 โครงสรางทางดานความมนคงปลอดภยสารสนเทศ 7 (Organizational of Information Security) หมวดท 3 ความมนคงปลอดภยส าหรบทรพยากรบคคล 9 (Human Resource Security) หมวดท 4 การจดหมวดหมและการควบคมสนทรพยขององคกร 12 (Asset Management) หมวดท 5 การควบคมการเขาถง 20 (Access Control) หมวดท 6 การเขารหสขอมล (Cryptography) 25 หมวดท 7 ความมนคงปลอดภยทางดานกายภาพและสงแวดลอมขององคกร 26 (Physical and Environmental Security) หมวดท 8 ความมนคงปลอดภยส าหรบการด าเนนงาน 31
(Operation Security) หมวดท 9 ความมนคงปลอดภยส าหรบการตดตอสอสาร 37 (Communications Security) หมวดท 10 การจดหา พฒนา และดแลระบบสารสนเทศ 40 (Information Systems Acquisition, Development and Maintenance) หมวดท 11 ความสมพนธกบผใหบรการภายนอก 43 (Supplier Relationships) หมวดท 12 การบรหารจดการเหตการณดานความมนคงปลอดภยสารสนเทศ 45 (Information Security Incident Management)
P IT SP 01-00 ชดท 03 หนาท 2 /55
หมวดท 13 ประเดนดานความมนคงปลอดภยสารสนเทศ และการบรหารความตอเนอง ของการด าเนนงานขององคกร 49 (Information Security Aspects of Business Continuity Management) หมวดท 14 การปฏบตตามขอก าหนดทางดานกฎหมาย และบทลงโทษของการละเมด 52 นโยบายความมนคงปลอดภยสารสนเทศของหนวยงาน (Compliance)
P IT SP 01-00 ชดท 03 หนาท 3 /55
อภธานศพท ค าศพท ความหมาย
ระบบเทคโนโลยสาร -สนเทศและการสอสาร
ระบบสารสนเทศ ระบบฐานขอมล ระบบคอมพวเตอร ระบบเครอขาย ระบบ Security ระบบงาน (ซอฟตแวรส าเรจรป ซอฟตแวรประยกต) และระบบสอสารของส านกงาน
ส านกงานฯ หรอ สกท. ส านกงานคณะกรรมการสงเสรมการลงทน (BOI) สสท. ส านกสารสนเทศการลงทน ส านกงานคณะกรรมการสงเสรมการลงทน ผสท. ผอ านวยการส านกสารสนเทศการลงทน เจาหนาท ขาราชการ พนกงานราชการ ลกจาง ของส านกงานคณะกรรมการสงเสรมการลงทน หนวยงานภายนอก บรษท/หนวยงาน ทส านกงานฯ ไดวาจางหรอมอบหมายใหด าเนนการในเรอง
ระบบเทคโนโลยสารสนเทศและการสอสาร อาท ทปรกษา ผรบจาง ผขาย ผใหบรการ หรอเปนผใชบรการ และอนๆ ทเกยวของ
ผใชงาน/ผใชบรการ เจาหนาท และผทไดรบอนญาต (Authorized Users) ซงเปนบคคล/หนวยงานภายนอก ทส านกงานฯ อนญาตใหสามารถเขามาใชงานระบบเทคโนโลยสารสนเทศและการสอสารของส านกงานฯ
สทธของผใชงาน/ สทธของผใชบรการ
สทธทใชในการเขาถงระบบเทคโนโลยสารสนเทศและการสอสารของส านกงานฯ
ผพฒนาระบบ เจาหนาท /หนวยงานภายนอก ทส านกงานฯ ไดวาจางหรอมอบหมายใหด าเนนการในเรองการพฒนาระบบเทคโนโลยสารสนเทศของส านกงานฯ
ผดแลระบบ เจาหนาท /หนวยงานภายนอก ทส านกงานฯ ไดวาจางหรอมอบหมายใหด าเนนการ ดแล และรบผดชอบ ในเรองระบบเทคโนโลยสารสนเทศและการสอสารของส านกงานฯ
ISMR ผบรหารระบบบรหารความมนคงปลอดภยสารสนเทศ (Information Security Management Representative : ISMR)
IST คณะท างานระบบบรหารความมนคงปลอดภยสารสนเทศ (Information Security Team : IST) ซงมองคประกอบดงน
- ประธานคณะท างานระบบบรหารความมนคงปลอดภยสารสนเทศ (Information Security Manager: ISM)
- เจาหนาทระบบบรหารความมนคงปลอดภยสารสนเทศ (Information Security Staff: ISS)
- เจาหนาทควบคมเอกสาร (Document Controller: DC) ISM ประธานคณะท างานระบบบรหารความมนคงปลอดภยสารสนเทศ (Information
Security Manager : ISM)
P IT SP 01-00 ชดท 03 หนาท 4 /55
ค าศพท ความหมาย ISS เจาหนาทระบบบรหารความมนคงปลอดภยสารสนเทศ (Information Security
Staff : ISS) ISS (บรหารจดการสนทรพย)
ISS ทไดรบมอบหมายใหมหนาทรบผดชอบในการจดการสนทรพยสารสนเทศ
ISS (บรหารจดการเหตการณดานความมนคงปลอดภยสารสนเทศ)
ISS ทไดรบมอบหมายใหมหนาทรบผดชอบในการบรหารจดการเหตการณดานความมนคงปลอดภยสารสนเทศ (Information Security Incident Management)
ISS (จดการการเปลยนแปลง)
ISS ทไดรบมอบหมายใหมหนาทรบผดชอบในการจดการเปลยนแปลง (Change Management)
ISS (บรหารจดการแผนสรางความตอเนองใหกบธรกจ)
ISS ทไดรบมอบหมายใหมหนาทรบผดชอบในการบรหารจดการแผนสรางความตอเนองใหกบธรกจ (Business Continuity Plan)
ISS (บรหารจดการสทธผใชงาน)
ISS ทไดรบมอบหมายใหมหนาทรบผดชอบในการบรหารจดการผใชงาน (User Management Procedure) และการทบทวนสทธการเขาถงของผใชงาน (Review of User Access Rights Procedure)
ISS (บรหารขอกฎหมายและลขสทธ)
ISS ทไดรบมอบหมายใหมหนาทรบผดชอบในการตรวจสอบการใชซอฟตแวรทละเมดสนทรพยทางปญญา (Compliance with legal requirements) และกระบวนการตรวจสอบขอกฎหมาย
ISS (บรหารจดการระบบสารสนเทศ)
ISS ซงไดรบมอบหมายใหมหนาทรบผดชอบในการแลกเปลยนสารสนเทศ (Information Exchange Procedure)การพฒนาระบบสารสนเทศ (System Development Procedure) และการควบคมระบบสารสนเทศทใชในการปฏบตงาน (Control of operational software)
สนทรพย สนทรพยของ สกท. ซงแบงเปน 5 ประเภท - สนทรพยขอมล (Information and Document Asset) หมายถง
ฐานขอมล ไฟลขอมล เอกสารสญญา/ขอตกลง เอกสารระบบ (System Document) เอกสารคมอผใชงาน เอกสารการอบรม เอกสารขนตอนการปฏบตงานดานสารสนเทศ แผนด าเนนงานเพอความตอเนอง (Business Continuity Plans) หลกฐานการตรวจสอบ (Audit Trials) และขอมล Archived และอน ๆ
- สนทรพยซอฟตแวร (Software Asset) หมายถง โปรแกรมประยกต (Application Software) ซอฟตแวรระบบ (System Software) โปรแกรมอรรถประโยชน (Utilities) และเครองมอทใชในการพฒนาและบรหาร
P IT SP 01-00 ชดท 03 หนาท 5 /55
ค าศพท ความหมาย จดการ (Development Tools) และอนๆ
- สนทรพยอปกรณ (Hardware Asset) หมายถง อปกรณคอมพวเตอร อปกรณสอสาร สอจดเกบขอมล และ อปกรณหรอเครองมออน ๆ
- สนทรพยงานบรการ (Sevice Asset) หมายถง บรการประมวลผล บรการระบบสอสาร บรการทวไป (อาท ไฟฟา แสงสวาง และระบบปรบอากาศ) และอนๆ
- สนทรพยบคลากร (People Asset) หมายถง เจาหนาทดแลระบบสารสนเทศ เจาหนาทดแลระบบเครอขาย เจาหนาทดแลหอง Data Center เจาหนาทธรการ และอน ๆ
การเขาถงหรอควบคมการใชงานสารสนเทศ
การอนญาต การก าหนดสทธ หรอการมอบอ านาจใหผใชงาน/ผใชบรการ เขาถงหรอใชงานระบบเทคโนโลยสารสนเทศและการสอสาร
ความม นคงปลอดภยดานสารสนเทศ
การธ ารงไวซงความลบ (Confidential) ความถกตองครบถวน (Integrety) และความพรอมใชงาน (Avaliability) ทงนรวมถงคณสมบตในดาน ความถกตองแทจรง ความรบผด การหามปฏเสธความรบผดและความนาเชอถอ
เหต กา รณ ด านความมนคงปลอดภย
เหตการณทท าใหระบบเทคโนโลยสารสนเทศและการสอสารของส านกงานฯ ขาดคณสมบตดานความลบ (Confidential) ความถกตองครบถวน (Integrity) และความพรอมใชงาน (Availability) อาท การปลอมแปลงหนาเวบไซต การเจาะระบบ การขมขทางเวบไซต การแฮกเวบไซต การรวไหลของขอมล การแพรระบาดของไวรสและหนอนอนเทอรเนต ระบบลมไมสามารถใหบรการได และการบกรกเครอขาย
สถานการณดานความมนคงปลอดภยทไมพงปร ะส งค ห ร อ ไ ม อ า จคาดคด
เปนสถานการณ ซงอาจท าใหระบบของส านกงานฯ ถกบกรก หรอโจมต และระบบความมนคงปลอดภยถกคกคาม
P IT SP 01-00 ชดท 03 หนาท 6 /55
หมวดท 1 นโยบายความมนคงปลอดภยขององคกร (Security Policy)
1.1 นโยบายความมนคงปลอดภยสารสนเทศ (Information Security Policy)
วตถประสงค: เพอก าหนดทศทางและใหการสนบสนนการด าเนนการดานความมนคงปลอดภยส าหรบสารสนเทศของ ส านกงานฯ เพอใหเปนไปตามหรอสอดคลองกบขอก าหนดทางธรกจ กฎหมาย และระเบยบปฏบตทเกยวของ
นโยบาย 1.1.1 เอกสารนโยบายความมนคงปลอดภยทเปนลายลกษณอกษร ( Information Security Policy
Document) 1) ตองจดท านโยบายระบบบรหารความมนคงปลอดภยสารสนเทศเปนลายลกษณอกษร เพอให
เกดความเชอมน และมความปลอดภยในการใชงานระบบเทคโนโลยสารสนเทศและการสอสาร โดยนโยบายดงกลาวจะตองไดรบ การอนมตจากเลขาธการส านกงานคณะกรรมการสงเสรมการลงทน ในการน าไปใช
2) ตองจดใหมการเผยแพรเอกสารนโยบายระบบบรหารความมนคงปลอดภยสารสนเทศใหกบเจาหนาทส านกงานฯ หนวยงานภายนอก และผทเกยวของในขอบเขตรบทราบ
1.1.2 การตรวจสอบและประเมนนโยบายความมนคงปลอดภย (Review of the Information Security Policy)
1) ตองด าเนนการตรวจสอบ ทบทวน และประเมนนโยบายระบบบรหารความมนคงปลอดภยสารสนเทศ ตามระยะเวลาทก าหนดไว หรออยางนอย 1 ครงตอป หรอเมอมการเปลยนแปลงทส าคญตอส านกงานฯ
P IT SP 01-00 ชดท 03 หนาท 7 /55
หมวดท 2 โครงสรางทางดานความมนคงปลอดภยสารสนเทศ (Organizational of Information Security)
2.1 โครงสรางทางดานความมนคงปลอดภยสารสนเทศภายในส านกงานฯ (Internal Organization)
วตถประสงค: เพอใหมการก าหนดกรอบการบรหารและจดการความมนคงปลอดภยส าหรบสารสนเทศของ ส านกงานฯ ตงแตการเรมตนและการควบคมการปฏบตงานเพอใหมความมนคงปลอดภย
นโยบาย 2.1.1 บทบาทและหนาทความรบผดชอบดานความมนคงปลอดภยสารสนเทศ (Information Security
Roles and Responsibilities) 1) ISMR ตองก าหนดหนาทความรบผดชอบของเจาหนาท ในการด าเนนงานทางดานความมนคง
ปลอดภยส าหรบสารสนเทศของส านกงานฯ ไวอยางชดเจน 2) ผบรหารส านกงานฯ ตองแตงตงคณะ หรอกลมผท างานหลก ตลอดจนทรพยากรทจ าเปน เพอ
บรหารและจดการความมนคงปลอดภยส าหรบสารสนเทศของส านกงานฯ
2.1.2 การแบงแยกหนาทความรบผดชอบ (Segregation of duties) 1) ผบรหารส านกงานฯ ตองแบงหนาทและก าหนดความรบผดชอบทชดเจนในการปฏบตงาน เพอ
ลดโอกาสทจะท าใหมการเปลยนแปลงทรพยสนของส านกงานฯ หรอมการใชทรพยสนผดวตถประสงค โดยไมไดรบอนญาตหรอโดยไมไดเจตนากตาม
2.1.3 การมรายชอและขอมลส าหรบการตดตอกบหนวยงานอน (Contact with Authorities) 1) ISM ตองก าหนดรายชอและขอมลส าหรบตดตอกบหนวยงานอนๆ เชน ส านกงานต ารวจแหงชาต
สภาความมนคงแหงชาต บมจ.ทศท คอรปอเรชน บมจ.กสท. โทรคมนาคม ผใหบรการอนเทอรเนต (Internet Service Provider) ศนยประสานงานการรกษาความมนคงปลอดภยคอมพวเตอรประเทศไทย (ThaiCERT) เปนตน เพอใชส าหรบการตดตอประสานงานทางดานความมนคงปลอดภยในกรณทมความจ าเปน และเอกสารก าหนดใหมการระบวนทจดท าเอกสาร
2.1.4 การมรายชอและขอมลส าหรบการตดตอกบกลมทมความสนใจเปนพเศษในเรองเดยวกน (Contact with Special Interest Groups)
1) ISM ตองก าหนดรายชอและขอมลส าหรบการตดตอกบกลมตาง ๆ ทมความสนใจเปนพเศษในเรองเดยวกน กลมทมความสนใจดานความมนคงปลอดภยสารสนเทศ หรอสมาคมตางๆ ในอตสาหกรรมทส านกงานฯ มสวนรวมและเอกสารก าหนดใหมการระบวนทจดท าเอกสาร
P IT SP 01-00 ชดท 03 หนาท 8 /55
2.1.5 การบรหารจดการโครงการเพอใหมความมนคงปลอดภย (Information Security in Project Management)
1) ตองมการก าหนดระเบยบ ขอบงคบ กฎเกณฑตางๆ เกยวกบการด าเนนงานและการเขาถงขอมลเพอใหงานโครงการมความมนคงปลอดภย เชน การก าหนดสทธในการเขาถงขอมลของผใชงาน
2) กรณโครงการทจางบรษทภายนอก โครงการทหนวยงานภายนอกด าเนนการให และโครงการทส านกงานฯ จดท าเองตองปฏบตตามวธปฏบตงานเรองการจดท าโครงการดานเทคโนโลยสารสนเทศ (W IT PM 01) เพอใหการบรหารจดการโครงการเกดความมนคงปลอดภย และลดผลกระทบจากความเสยงทอาจเกดขน
2.2 อปกรณคอมพวเตอรแบบพกพาและการปฏบตงานจากภายนอก (Mobile Devices and Teleworking)
วตถประสงค: เพอรกษาความมนคงปลอดภยส าหรบสารสนเทศของการปฏบตการระยะไกลหรอการปฏบตงานจากภายนอกและการใชงานของอปกรณคอมพวเตอรแบบพกพา
นโยบาย 2.2.1 นโยบายส าหรบการใชงานอปกรณคอมพวเตอรแบบพกพา (Mobile device policy)
1) ตองมการก าหนดและปฏบตตามนโยบายหรอมาตรการสนบสนน ส าหรบการใชงานของอปกรณคอมพวเตอรแบบพกพา (Notebook, Teblet, Smartphone และอปกรณสอสารเคลอนทอนๆ) ทมการน ามาใชงาน เพอบรหารจดการความเสยงทมตออปกรณดงกลาว และควรค านงถงความเสยงของการท างานในสภาพแวดลอมทไมไดรบการปองกน โดยใหปฏบตตามวธปฎบตเรองการใชเครองคอมพวเตอรประเภทพกพาในการปฏบตงานนอกสถานท (Mobile Computing and Communications) (W IT AM 01)
2.2.2 การปฏบตงานจากระยะไกล (Teleworking) 1) อนญาตใหบคลากรของส านกงานฯ ทจ าเปนตองปฏบตงานจากภายนอกส านกงานฯ โดยปฏบตตามวธ
ปฏบตงานเรองการควบคมการเขาถง (Access Control) (W IT AC 01) และวธปฏบตงานเรองการลงทะเบยนใชงานระบบสารสนเทศ (W IT AC 02) เพอใหมการตรวจพสจนตวตนและควบคมการท างานจากระยะไกลโดยการแบงระหวางระบบทเชอมตออนเทอรเนตกบระบบอนทราเนตภายในทใชงานในส านกงานฯ และใชงานเครอขายสวนตวเสมอน (Virtual Private Network: VPN)
P IT SP 01-00 ชดท 03 หนาท 9 /55
หมวดท 3 การรกษาความปลอดภยดานทรพยากรมนษย (Human resource security)
3.1 การจดหาบคลากรกอนการจางงาน (Prior to Employment)
วตถประสงค: เพอใหพนกงานและผทท าสญญาจางเขาใจในหนาทความรบผดชอบของตนเองและมความเหมาะสมตามบทบาทหนาททไดรบพจารณาจางงานส านกงานฯ
นโยบาย 3.1.1 การสรรหาบคลากร (Screening)
1) เจาหนาทกลมบรหารทรพยากรบคคล ตองท าการตรวจสอบคณสมบตของผสมครงานทกคนกอนทจะบรรจเปนผบรหาร เจาหนาทชวคราวหรอนกศกษาฝกงาน โดยตองไมมประวตในการบกรก แกไข ท าลาย หรอโจรกรรมขอมลในระบบเทคโนโลยสารสนเทศของหนวยงานใดมากอน
2) เจาหนาทประสานงานกลมบรหารทรพยากรบคคล ตองจดใหมการลงนามในสญญาระหวาง “เจาหนาท” และหนวยงาน วาจะไมเปดเผยความลบของหนวยงาน (Non Disclosure Agreement: NDA) โดยการลงนามนจะเปนสวนหนงของการวาจางเจาหนาทนนๆ ทงนตองมผลผกพนทงในขณะทท างานและผกพนตอเนองเปนเวลาไมนอยกวา 1 ป ภายหลงจากทสนสดการวาจางแลว
3) ปฏบตตามวธปฏบตงานเรอง : การบรหารจดการทรพยากรบคคลดานการรกษาความมนคงปลอดภยสารสนเทศ (Human resources security) (W IT HR 01)
3.1.2 ขอก าหนดและเงอนไขของการจางงาน (Terms and conditions of employment)
1) เจาหนาทประสานงานกลมบรหารทรพยากรบคคล ตองก าหนดเงอนไขการจางงานทรวมถงหนาทความรบผดชอบทางดานความมนคงปลอดภยทางดานสารสนเทศ โดยเจาหนาทกลมบรหารทรพยากรบคคล ตองแจงให สสท. ทราบทนทเมอมเหตดงน
- การวาจางงาน - การเปลยนแปลงสภาพการวาจางงาน - การลาออกจากงาน หรอการสนสดการเปนผบรหาร เจาหนาทและลกจาง หรอการถงแกกรรม - การโยกยายหนวยงาน - การพกงาน การลงโทษทางวนย หรอระงบการปฏบตหนาท
P IT SP 01-00 ชดท 03 หนาท 10 /55
3.2 การสรางความความมนคงปลอดภยขณะเปนเจาหนาท (During employment)
วตถประสงค: เพอใหพนกงานและผทท าสญญาจางตระหนกและปฏบตตามหนาทความรบผดชอบดานความมนคงปลอดภยสารสนเทศของส านกงานฯ
นโยบาย 3.2.1 หนาทความรบผดชอบของผบรหาร (Management responsibilities)
1) ISMR ตองก าหนดใหเจาหนาท พนกงานขาราชการ และเจาหนาทหนวยงานภายนอกทวาจางมาปฏบตงานรบทราบและปฏบตตามนโยบาย กฏ ระเบยบและขนตอนการท างานทเกยวของกบการรกษาความมนคงปลอดภยสารสนเทศของส านกงานฯ ดวย
3.2.2 การสรางความตระหนก การใหความรและการอบรมใหความรดานความมนคงปลอดภยสารสนเทศ (Information Security Awareness, Education and Training)
1) เจาหนาทส านกงานฯ ผรบจางขององคกรทกคนตองไดรบการอบรมใหความร โดยเนอหาทแตละบคคลจะไดรบการฝกอบรมตองเหมาะสมกบบทบาทหนาทในการปฏบตงานของแตละบคคล เพอเปนการสรางความตระหนก และฝกอบรมดานความมนคงปลอดภยสารสนเทศ
2) ตองจดอบรมใหความรแกเจาหนาทส านกงานฯ เกยวกบความตระหนกและวธปฏบตเพอสรางความมนคงปลอดภยใหกบระบบเทคโนโลยสารสนเทศและการสอสาร ซงรวมถงการแจงใหทราบเกยวกบนโยบายความมนคงปลอดภย และการเปลยนแปลงทเกดขนดานเทคโนโลยสารสนเทศและการสอสารของส านกงานฯ ดวย
3) เจาหนาทส านกงานฯ ใหมทกคน ตองไดรบการอบรมเกยวกบนโยบายการรกษาความมนคงปลอดภยระบบเทคโนโลยสารสนเทศและการสอสาร หรอไดรบเอกสารนโยบายการรกษาความมนคงปลอดภยสารสนเทศฯ ฉบบยอ และระเบยบปฏบตทเกยวของกบหนวยงานภายใน 30 วนนบจากเขาท างานในหนวยงาน เพอใหขาราชการ พนกงาน หรอผทเกยวของไดศกษาและถอปฏบต โดยอาจเปนสวนหนงของการปฐมนเทศ และตองมการลงนามและเกบรวบรวมไวในแฟมประวตของบคลากรดวย
4) เจาหนาทประสานงานกลมบรหารทรพยากรบคคล และ ISM มหนาทในการแจงใหทราบเกยวกบนโยบายความมนคงปลอดภยระบบเทคโนโลยสารสนเทศ และการเปลยนแปลงทเกดขนทางดานความมนคงปลอดภยระบบเทคโนโลยสารสนเทศและการสอสารของส านกงานฯ ใหแกบคลากรดวย
3.2.3 กระบวนการทางวนย (Disciplinary Process)
1) ผบรหารส านกงานฯ ตองก าหนดบทลงโทษทางวนยส าหรบผทฝาฝนนโยบาย กฏ และ /หรอระเบยบปฏบตของราชการและส านกงานฯ แตหากเปนการละเมดขอกฎหมาย บทลงโทษจะเปนไปตามฐานความผดทไดกระท าตามทระบในแตละขอกฎหมายนน ๆ
P IT SP 01-00 ชดท 03 หนาท 11 /55
3.3 การสนสดหรอการเปลยนการจางงาน (Termination and change of employment)
วตถประสงค: เพอปองกนผลประโยชนขององคกรซงเปนสวนหนงของการเปลยนหนาท หรอสนสดการจางงาน
นโยบาย 3.3.1 การสนสดหรอการเปลยนหนาทความรบผดชอบของการจางงาน (Termination or Change of
Employment Responsibilities) 1) ตองมการก าหนดและสอสารใหพนกงานหรอผท าสญญาไดรบทราบ รวมทงมการควบคมให
ปฏบตตามขอก าหนดในสญญา 2) เจาหนาทกลมบรหารทรพยากรบคคลมหนาทดแลหากมการแตงตงโยกยาย ปลดหรอ
เปลยนแปลงต าแหนงใดๆ ทเกยวของกบความรบผดชอบในส านกงานฯ 3) เจาหนาทผเกยวของเมอไดรบเรองของผใชงานทสนสดสภาพการจางงานหรอเปลยนหนาทความ
รบผดชอบจากฝายบคคล ใหปฏบตตามคมอการปฏบตงานเรองการลงทะเบยนใชงานระบบสารสนเทศ (W IT AC 02 ) เพอด าเนนการเพกถอนสทธหรอเปลยนแปลงสทธ
P IT SP 01-00 ชดท 03 หนาท 12 /55
หมวดท 4 การบรหารจดการสนทรพย (Asset Management)
4.1 การความรบผดชอบตอสนทรพย (Responsibility for Assets)
วตถประสงค: เพอใหสนทรพยของส านกงานฯ ไดรบการปองกนและปกปองอยางเหมาะสม
นโยบาย 4.1.1 ทะเบยนสนทรพย (Inventory of assets)
1) ISS (บรหารจดการสนทรพย) ตองจดท าและเกบทะเบยนสนทรพย ซงรวมถงสนทรพยขอมล และเอกสาร (Information and Document Asset) สนทรพยซอฟตแวร (Software Asset) สนทรพยอปกรณ (Hardware Asset) สนทรพยงานบรการ (Service Asset) และบคลากร (People Asset) เพอเปนขอมลเบองตนส าหรบการน าไปวเคราะห ประเมนความเสยงและบรหารจดการความเสยงทมตอสนทรพยอยางเหมาะสม รวมถงเปนการควบคมและจดการสนทรพยของส านกงานฯ โดยปฏบตตามเอกสารคมอการปฏบตงานเรองการบรหารจดการสนทรพยสารสนเทศของส านกงานฯ (Asset Management) (P IT AM 01)
2) ISS (บรหารจดการสนทรพย) ตองมการตรวจสอบสนทรพย (Inventory Check) ตองจดใหมการตรวจสอบบญชสนทรพยทกประเภท ตามระยะเวลาทก าหนดไว เชน ปละ 1 ครง หรอภายใน 1 เดอน เมอมการเปลยนแปลงทส าคญเกดขน เปนตน
3) ISS (บรหารจดการสนทรพย) ตองประเมนความเสยงตามแนวทางการจดการความเสยงของสนทรพย เมอมสนทรพยใหม หรอสนทรพยทมการเปลยนแปลงทส าคญเกดขน
4.1.2 ความเปนเจาของสนทรพย (Ownership for Assets)
1) ISS (บรหารจดการสนทรพย) จะตองก าหนดบคคล หรอหนวยงานผรบผดชอบขอมลและสนทรพยทงหมดดานเทคโนโลยสารสนเทศและการสอสารของส านกงานฯ อยางชดเจน
4.1.3 การอนญาตใหใชสนทรพย (Acceptable Use for Assets)
1) ISS (บรหารจดการสนทรพย) จะตองก าหนด แสดง บนทกเปนเอกสาร และกฏการอนญาตใหใชขอมลและสนทรพยจะตองถกใช
2) การอนญาตใหใชงานสนทรพยดานอปกรณคอมพวเตอรมดงน
- ระบบเทคโนโลยสารสนเทศและอปกรณการประมวลผลขอมลทเกยวของทงหมด ทส านกงานฯ เปนผจดหามานน มวตถประสงคเพอใหใชในการด าเนนงานของส านกงานฯ การใชงานระบบและอปกรณตางๆ เพอกจธระสวนตวนน อนญาตใหสามารถใชไดในขอบเขตทจ ากดตามความเหมาะสม ซงจะตองไมรบกวนหรอเปนอปสรรคตอการท างานตามหนาทความรบผดชอบของเจาหนาท
- เจาหนาท ตลอดจนหนวยงานภายนอก ทไดรบการวาจางโดยส านกงานฯ จะตองมความรบผดชอบตออปกรณคอมพวเตอรทไดมอบไวใหใชงาน รวมทงสอดสองดแลทรพยากรเหลานให
P IT SP 01-00 ชดท 03 หนาท 13 /55
มความปลอดภย และคงความถกตอง โดยหมายรวมถงขอมล และระบบสารสนเทศของส านกงานฯ
- ผใชงานตองรบผดชอบในการใชงานเครองคอมพวเตอร และอปกรณตาง ๆ ของส านกงานฯ อยางระมดระวง และใหการปกปองเสมอนเปนสนทรพยของตน
- เครองคอมพวเตอรแมขาย เครองคอมพวเตอรลกขาย และเครองคอมพวเตอรพกพาทงหมดของส านกงานฯ ตองไดรบการปกปองดวยรหสผานของระบบปฏบตการทกครงเมอตองการเขาใชงาน และตองไดรบการปกปองอตโนมตโดยรหสผานของ Screen Saver หรอท าการ Log Off อปกรณทกครงเมอไมไดใชงานอปกรณเปนระยะเวลาหนง
- ผใชงานตองไมเชอมตอเครองคอมพวเตอรสวนตวของตนเขาระบบเครอขายของส านกงานฯ รวมถงตองไมตดตงซอฟตแวรใด ๆ ลงในเครองคอมพวเตอรของส านกงานฯ กอนไดรบอนญาตจาก สสท.
- เครองคอมพวเตอรพกพาทมการเกบขอมลลบไว ตองไดรบการปกปองเทยบเทากบเครองคอมพวเตอรทใชงานอยภายในส านกงานฯ อาท การตดตงซอฟตแวรปองกนไวรส ซอฟตแวรปองกนสปายแวร และมการปรบปรง Security Patch อยเสมอ ฯลฯ ทงน ผใชงานตองท าการปกปองอปกรณและขอมลในอปกรณตามค าแนะน าทระบไวใน เอกสารขนตอนการปฏบตงาน เรองการใชเครองคอมพวเตอรประเภทพกพาในการปฏบตงานนอกสถานท (Mobile Computing and Communications) (W IT AM 01)
- อปกรณคอมพวเตอรของส านกงานฯ ตองไมถกดดแปลง หรอตดตงอปกรณเพมเตมใดๆ กอนไดรบอนญาตจากผบรหารของสวนงานนนๆ และเจาหนาทตองไมอนญาตใหผไมมหนาทเกยวของท าการตดตงฮารดแวรหรอซอฟตแวรใดๆ บนเครองคอมพวเตอรของส านกงานฯ อยางเดดขาด
3) การอนญาตใหใชงานสนทรพยดานซอฟตแวรมดงน
- หามเจาหนาท ท าการตดตงหรอเผยแพรซอฟตแวรทละเมดลขสทธบนระบบคอมพวเตอรของส านกงานฯ
- ซอฟตแวรทน ามาใชในการประมวลผลและจดเกบขอมลลบหรอขอมลส าคญของส านกงานฯ ทงทไดมาจากการพฒนาขนโดยเจาหนาท หรอทไดรบการจดซอมา ตองไดรบการตรวจสอบ ควบคม และอนมตอยางเหมาะสมโดยหนวยงานเจาของระบบหรอขอมล กอนน ามาตดตงใชงานบนระบบเทคโนโลยสารสนเทศของส านกงานฯ
- ระบบสารสนเทศทงหมดทถกใชงานโดยผใชงานทวไป ตองมเอกสารสนบสนนการใชงานอยางเพยงพอ เพอใหผใชงานทวไปของส านกงานฯ มความเขาใจและสามารถใชงานระบบสารสนเทศได
- รายชอซอฟตแวร หรอระบบสารสนเทศ ทถกตดตงในเครองคอมพวเตอรของผใชงานตองไดรบการจดท าเปนเอกสาร และไดรบการอนมตโดยผบรหารของสายงานเทคโนโลยสารสนเทศ เพอใหมนใจวาซอฟตแวรเหลานมลขสทธถกตองครบถวน และไดรบการตดตงเพอวตถประสงคในการท างานของส านกงานฯ เทานน
P IT SP 01-00 ชดท 03 หนาท 14 /55
4) การอนญาตใหใชงานอนเทอรเนตมดงน
- ส านกงานฯ จดหาบรการอนเทอรเนตไวเพอสนบสนนการด าเนนงาน และอ านวยความสะดวกแกเจาหนาทในการท าวจยการคนหาขอมลความร และการตดตอสอสารกบบคคลภายนอก เพอเพมประสทธภาพในการท างานและการใหบรการของส านกงานฯ
- ผใชงาน ตองใชงานอนเทอรเนตดวยความระมดระวง และการใชงานนนตองไมเปนสาเหตใหส านกงานฯ และบคคลผทเกยวของกบส านกงานฯ เสอมเสยชอเสยง หรอเกยวพนกบการกระท าทผดกฎหมาย ทงนการใชงานอนเทอรเนตในทางทผดถอเปนความผดทางวนย และอาจถกด าเนนคดตามกฎหมาย
- การเขาใชงานอนเทอรเนตตองเขาใชงานผาน Gateway ทไดรบอนญาต หรอผานเครองคอมพวเตอรลกขายทไดรบการจดเตรยมเพอใชงานเฉพาะกจเทานน ทงนส านกงานฯ ขอสงวนสทธในการตรวจสอบการใชงานอนเทอรเนตของผใชงาน เพอตรวจสอบการใชงานในลกษณะทไมเหมาะสม
- หามผใชงานคลกหนาตางโฆษณาแบบปอบอพ หรอเขาสเวบไซตใดๆ ทโฆษณาโดยสแปม เนองจากเวบไซตเหลานอาจมโปรแกรมมงรายแฝงอย หรออาจโจรกรรมขอมลในเครองคอมพวเตอรของผใชงานโดยทผใชงานไมไดรบทราบหรอไมไดอนญาต
- หามผใชงานเขาชม ดาวนโหลด หรอท าซ าสอลามกอนาจาร และสออนใดทไมเหมาะสมหรอผดกฎหมาย
- ส านกงานฯ ไมสนบสนนการแสดงความคดเหนสวนตวในรปแบบอเลกทรอนกส (เชน ผานทางเวบบอรด หรอบลอก) ของเจาหนาท ทงนความเสยหายใดๆ ทอาจเกดขนจากการแสดงความคดเหนดงกลาว ถอเปนความรบผดชอบของเจาหนาทผนน
5) การอนญาตใหใชงานอเมลมดงน
- ผใชงานอเมลทงหมดของส านกงานฯ ตองม E-mail Account เปนของตนเอง
- E-mail Account ตองไดรบการปกปองดวยรหสผาน เพอปองกนการถกลวงละเมดและการน าอเมลไปใชในทางทผด
- E-mail Account ทมวตถประสงคพเศษ เชน [email protected] อาจไดรบการสรางขนเพอเปน E-mail Account กลางของสวนงาน และ/หรอ เพอใชงานรวมกนโดยผใชงานมากกวาหนงคนขนไป โดยตองมผใชงานหนงคนทไดรบการแตงตงใหท าหนาทเปนเจาของ E-mail Account นน
- E-mail Account ทงหมด และอเมลทกฉบบ (รวมถงอเมลสวนตว) ทถกสราง และเกบรกษาอยบนระบบคอมพวเตอร หรอระบบเครอขายของส านกงานฯ ถอเปนสนทรพยของส านกงานฯ
- ผใชงานตองใชงานซอฟตแวรทไดรบอนญาตเทานนในการเขาถง และ/หรอ ตดตอสอสารกบระบบอเมลของส านกงานฯ
- พนทเกบอเมลบนเครองคอมพวเตอรแมขายสวนกลาง (Mailbox Size) ของผใชงานมขนาดทจ ากด ทงน เมอปรมาณของอเมลมากจนใกลเคยงกบขนาดพนททตงคาไว ผใชงานจะไดรบขอความแจง
P IT SP 01-00 ชดท 03 หนาท 15 /55
เตอนจากระบบ และถาหากปรมาณของอเมลมากเกนกวาพนทจดเกบแลว ผใชงานจะไมสามารถรบ-สงอเมลไดตามปกตอกตอไป
- ขนาดของอเมลและไฟลแนบไดรบการจ ากดไว โดยหากอเมลและไฟลแนบมขนาดใหญเกนกวาทก าหนด ผใชงานจะไดรบจดหมายตกลบแจงวาไมสามารถสงอเมลดงกลาวได
- ผใชงานตองลบอเมลทไมจ าเปนออกจาก Mailbox ของตนอยเสมอ เพอเปนการรกษาพนทเกบอเมลใหเปนไปตามขนาดทส านกงานฯ ก าหนด ทงนผใชงานตองเกบรกษาอเมลทเกยวของกบการท างาน และอเมลตามทกฎหมายก าหนดไวเทานน
- หามใช E-mail Account ของส านกงานฯ เพอกระท าการใดๆ ทเกยวของกบสงผดกฎหมายตวอยางเชน เพอการโฆษณายาสบ สงมนเมา สนคาหนภาษ การเผยแพรซอฟตแวรละเมดลขสทธ เปนตน
- หามใช E-mail Account ของส านกงานฯ ในการประกาศขอมลใดๆ ในชมชนอเลกทรอนกส เชน เวบบอรด บลอก กระดานขาว เปนตน เวนแตการประกาศขอมลนนเกยวของหรอเปนสวนหนงของการท างานใหกบส านกงานฯ
- ซอฟตแวรส าหรบใชงานอเมลตองไดรบการตงคาใหอเมลสงออกทกฉบบมลายเซนของผสงเสมอ โดยลายเซนนนตองประกอบดวย ชอ-สกล ต าแหนง ชอหนวยงาน ส านกงานฯ และเบอรโทรศพทตดตอ
- หามผใชงานท าส าเนาขอความ หรอท าส าเนาไฟลแนบทเปนขอมลลบจากอเมลของบคคลอนกอนไดรบอนญาตจากเจาของขอมล
- ผใชงานตองรางเนอหาของอเมลดวยความระมดระวง โดยค านงอยเสมอวาตนเองเปนผสงออกอเมลนนในนามตวแทนของส านกงานฯ
- หามผใชงานท าการปลอมแปลงขอความในอเมล หวจดหมายอเมล ลายเซนในอเมล หรอ e-mail Account ของบคคลอนโดยเดดขาด
- ผใชงานตองไมยนยอมใหบคคลอนท าการสงอเมลโดยใช E-mail Account ของตนโดยเดดขาด ไมวาบคคลนนจะเปนผบงคบบญชา เลขานการ ผชวย หรอบคคลอนใดกตาม
- ผใชงานตองหลกเลยงการใชค าสง “Reply with History” ซงเปนการตอบกลบอเมลพรอมไฟลแนบไปยงผรบ ยกเวนในกรณทจ าเปนตองใชงานเทานน อยางไรกตาม เมอมการใชงานค าสง “Reply with History” ผใชงานควรท าการลบไฟลแนบทงเสยกอนทจะท าการสงอเมล
- ผใชงานตองท าการสงอเมลใหแกผรบทเกยวของและจ าเปนตองรบทราบขอมลเทานนและหามใชค าสง “Reply All” ถาหากอเมลฉบบนนไมไดมความจ าเปนตองตอบกลบไปยงผรบทกคน
- หามผใชงานสงอเมลทผรบไมไดตองการ ตวอยางเชน อเมลขยะ (Junk Mail) หรอโฆษณาสนคาตางๆ (Spam Mail) เปนตน
- หามผใชงานสรางหรอมสวนรวมใดๆ กบการสง อเมลหลอกลวง หรอการสงอเมลในลกษณะลกโซโดยเดดขาด
P IT SP 01-00 ชดท 03 หนาท 16 /55
- หามผใชงานสงหรอสงตออเมลทมเนอหา หรอรปภาพทเขาขายการดหมน หมนประมาท กลาวราย ท าใหบคคลอนเสอมเสยชอเสยง เหยยดชนชน ขมข ลามกอนาจาร การยวยทางเพศ หรออเมลทมเนอหาสมเสยงตอประเดนทางวฒนธรรม หรอศาสนา และอเมลทกระทบตอความมนคงของชาต หรอสถาบนพระมหากษตรยโดยเดดขาด
- หามผใชงานสงอเมลทมไฟลแนบเกยวกบการพนน ภาพลามกอนาจาร หรอไฟลอนใดทไมเกยวของกบการท างานและสงผลเสยตอส านกงานฯ
- ผใชงานตองใชความระมดระวงเปนพเศษเมอจ าเปนตองเปดไฟลแนบทไดรบจากผสงทตนเองไมรจก ซงไฟลแนบนนอาจมไวรส อเมลบอมบ หรอโปรแกรมแฝง (มาโทรจน)
- เมอผใชงานไดรบขอความเตอนจากซอฟตแวรปองกนไวรสวา เครองคอมพวเตอรของตนมไวรส ผใชงานตองระงบการสงอเมลโดยทนท จนกวาเครองคอมพวเตอรจะไดรบการแกไขจนกลบเขาสสภาพปกต
6) การอนญาตใหใชงานโทรศพท โทรสาร เครองพมพ และเครองถายเอกสาร มดงน
- ผใชงานตองปกปองความมนคงปลอดภยของขอมลลบอยางเตมท เมอจ าเปนตองสงขอมลนนผานเครองโทรสาร ทงน รายละเอยดเพมเตมดไดจาก ระเบยบวาดวยการรกษาความลบของทางราชการ พ.ศ. ๒๕๔๔
- ถาหากผใชงานไดรบขอมลจากการสงโทรสารทผดพลาด ตวอยางเชน สงโทรสารผด หมายเลข ผดสวนงานเปนตน ผใชงานตองแจงใหผสงโทรสารนนรบทราบ และท าลายเอกสารขอมลนน
- หามผใชงานสงพมพขอมลลบดวยเครองพมพทตงอยในพนทสวนกลาง เวนแตจะมบคคลทไดรบอนญาตรอรบเอกสารทออกมาจากเครองพมพนน
- หามผใชงานบนทกหรอฝากขอความทมขอมลลบในเครองตอบรบโทรศพทอตโนมตหรอ ระบบวอยซเมลโดยเดดขาด
- หามสนทนาเกยวกบขอมลลบผานล าโพงของเครองโทรศพท (Speakerphones) หรอผานสออเลกทรอนกสใด ๆ เชน Voice Over IP หรอในระหวางการประชมทางไกล เวนแตผเขารวมการประชมทกหนวยงานไดรบการพสจนตวตนแลววา เปนผทเกยวของและมสทธรบทราบขอมล
- ผทเกยวของตรวจสอบจนมนใจแลววา ไมมบคคลทไมไดรบอนญาตอยในบรเวณใกลเคยงทอาจไดยนขอมลลบทสนทนาอย
- การประชมทางไกลถกจดขนในบรเวณทมความมนคงปลอดภย เชน หองประชมทมผนงและประตทเหมาะสมสามารถปองกนเสยงลอดออกมาได เปนตน
- ผใชงานตองสนทนาโทรศพทดวยความระมดระวง เพอปองกนขอมลลบถกแอบฟงโดยบคคลทไมไดรบอนญาต
- ในกรณทตองมการเปดเผยขอมลลบใด ๆ ทางโทรศพท ผใหขอมลตองท าการตรวจสอบใหมนใจวาคสนทนานน เปนผไดรบอนญาตใหรบทราบขอมลดงกลาว กอนทจะเปดเผยขอมล
P IT SP 01-00 ชดท 03 หนาท 17 /55
- ผใชงานตองขออนญาตจากเจาของขอมลกอนท าการถายเอกสารหรอสแกนเอกสารทมขอมลลบ โดยส าเนาเอกสารนนตองไดรบการปกปองดแลในระดบเทยบเทากบเอกสารตนฉบบตามระเบยบวาดวยการรกษาความลบของทางราชการ พ.ศ. ๒๕๔๔
- เจาหนาทตองไมเปดเผยสถานทตงของหองเครองคอมพวเตอรแมขายตอบคคลภายนอกโดยเดดขาด เวนแตบคคลภายนอกนนมความจ าเปนตองรบทราบเพอการปฏบตงาน
กรณทเจาหนาท สกท. ไมปฏบตตามทส านกงานก าหนด
- ส าหรบขาราชการ ใหด าเนนการตามระเบยบขาราชการพลเรอน พ.ศ. 2551
- ส าหรบพนกงานราชการ ใหด าเนนการตามระเบยบส านกนายกรฐมนตรวาดวยพนกงานราชการ พ.ศ. 2547
4.1.4 การคนสนทรพย (Return on Assets)
1) เจาหนาทส านกงานฯ ซงพนสภาพจากการจางงานตองคนสนทรพยทงหมดซงเกยวของกบระบบงานคอมพวเตอร รวมทงกญแจ บตรประจ าตวเจาหนาท บตรผานเขา-ออก คอมพวเตอรและอปกรณตอพวง คมอ และเอกสารตางๆ ใหแกผบงคบบญชากอนวนสดทายของการวาจางงาน โดยปฏบตตามวธปฏบตงานเรองการสงคนทรพยสน (Return of assets) (W IT HR 02)
4.2 การจดหมวดหมขอมลและสนทรพยสารสนเทศ (Information Classification)
วตถประสงค: เพอท าใหแนใจวาสารสนเทศของส านกงานฯ ไดรบการปกปองในระดบทเหมาะสม
นโยบาย 4.2.1 การก าหนดชนความลบของสารสนเทศ (Classification of Information)
1) สารสนเทศตองมการจดชนความลบโดยพจารณาจากความตองการดานกฎหมาย คณคา ระดบความส าคญ และระดบความออนไหวหากถกเปดเผยหรอเปลยนแปลงโดยไมไดรบอนญาต
2) เจาหนาทตองท าการจดหมวดหม การก าหนดชนความลบ และการก าหนดระดบความส าคญของเอกสาร (Classification Guidelines) เพอปองกนสารสนเทศ ใหมความปลอดภยดวยวธการทเหมาะสม โดยใหปฏบตระเบยบวาดวยการรกษาความลบของทางราชการ พ.ศ. ๒๕๔๔
3) เอกสารหรอสงตพมพ ทพมพหรอท าซ าขนมาจากตนฉบบซงมการก าหนดชนความลบไว ทงในกรณทงหมดหรอบางสวน ใหถอวามชนความลบเดยวกนกบตนฉบบขอมลดจตอลหรอสารสนเทศดจตอลนน
4.2.2 การจดท าปายชอ ของขอมล (Labeling of Information) 1) ตองจดใหมวธการจดท าและจดการปายชอส าหรบปดฉลากเอกสารขอมลและอปกรณสนทรพย
สารสนเทศทเกยวของกบการบรหารดานเทคโนโลยสารสนเทศและการสอสาร
P IT SP 01-00 ชดท 03 หนาท 18 /55
2) ขอมลทอยในรปแบบของเอกสาร ทถกจดท าขนจะตองมการควบคมและรกษาความปลอดภยอยางเหมาะสมตงแตการเรมพมพ การจดท าปายชอ การเกบรกษา การท าส าเนา การแจกจาย จนถงการท าลาย และก าหนดเปนระเบยบปฏบตใหเจาหนาท ตองปฏบตตามเพอใหมนใจวาขอมลไดรบการควบคมและรกษาความปลอดภย
4.2.3 การจดการสนทรพย (Handling of Asset)
1) ขอมลลบตองไมถกเปดเผยกบผอน เวนแตมความจ าเปนในการปฏบตงานเทานน 2) ผใชงานตองตระหนกถงการรกษาขอมลทถกเกบไวในเครองคอมพวเตอรของผใชงาน โดยเฉพาะ
อยางยง เครองคอมพวเตอรทมการใชงานรวมกนมากกวาหนงคนขนไป ขอมลลบเหลานตองไดรบการปกปองโดยการเขารหส หรอโดยวธการอนใดของระบบปฏบตการ หรอระบบสารสนเทศอยางเหมาะสม
3) ผใชงานควรเกบรกษาเอกสารลบและสอบนทกขอมลทมขอมลลบในตทสามารถปดลอคไดเมอไมไดใชงาน โดยเฉพาะอยางยงเมออยนอกเวลาท าการ หรอเมอตองทงเอกสารหรอสอนนไวโดยไมอยทโตะท างาน
4) ขอมลลบตองถกเกบออกจากอปกรณประมวลผลตาง ๆ เชน เครองพมพ เครองโทรสาร เครองถายเอกสาร ฯลฯ โดยทนท
5) เจาหนาทตองไมเปดเผยขอมลลบตอบคคลภายนอก ยกเวนในกรณทการเปดเผยนนครอบคลมโดยขอตกลงการไมเปดเผยขอมล
6) เจาหนาทตองไมพดคยหรอใชงานขอมลลบของส านกงานฯในพนทสาธารณะ เชน ลฟท รานอาหาร ฯลฯ
7) สอบนทกขอมล และอปกรณคอมพวเตอรพกพาตาง ๆ (เชน PDA, USB-Drive, CD-Rom เปนตน) ทมขอมลลบของส านกงานฯ บนทกอย ตองไดรบการดแลรกษาและใชงานอยางระมดระวง
4.3 การจดการสอทใชในการบนทกขอมลใหมความมนคงปลอดภย (Media Handing)
วตถประสงค: เพอปองกนความเสยหายทอาจเกดขนกบสอทใชในการบนทกขอมลของส านกงานฯ โดยการถกเปดเผยโดยไมไดรบอนญาต การเปลยนแปลง การขนยาย การลบ หรอการท าลายขอมล
นโยบาย 4.3.1 การบรหารจดการสอบนทกขอมลทสามารถเคลอนยายได (Management of Removable Media)
1) การบรหารจดการส าหรบสอบนทกขอมลทสามารถเคลอนยายได ตองมการจดท าขนตอนส าหรบบรหารจดการสอบนทกขอมล โดยตองมความสอดคลองกบวธหรอขนตอนการจดชนความลบของสารสนเทศทองคกรก าหนดไว สอบนทกขอมลทมขอมลตองมการปองกนขอมลจากการถกเขาถงโดยไมไดรบอนญาต การน าไปใชผดวตถประสงค หรอความเสยหายในระหวางนทน าสงหรอขนยายสอบนทกขอมลนน ตองก าหนดวธปฏบตและสทธส าหรบการใชงานสอบนทกขอมลโดยปฏบตตามเอกสารคมอการปฏบตงานเรองการลงทะเบยนสอเคลอนท และสอบทานการใชงาน (W IT CO 07)
P IT SP 01-00 ชดท 03 หนาท 19 /55
4.3.2 การท าลายสอบนทกขอมล (Disposal of Media) 1) ส านกงานฯ จดท าระเบยบวธปฏบตงานส าหรบการท าลายสอทใชในการบนทกขอมลอยาง เปน
ลายลกษณอกษรโดยปฏบตตามวธปฏบตงานเรองการท าลายสอบนทกขอมลและขอมลบนสอบนทกขอมล (Disposal of media procedure) (W IT CO 09)
2) การท าลายเอกสารและสอทใชในการบนทกขอมล จะตองไดรบการอนมตจากเจาของขอมล รวมทงบนทกรายละเอยดอยางเหมาะสม
3) ควรท าลายสอทใชในการบนทกขอมล เอกสาร และอปกรณส านกงานภายใตสงแวดลอมทไดมการควบคม (Controlled Environment)
4.3.3 การเคลอนยายสอบนทกขอมล (Physical Media Transfer)
1) ตองมวธการจดสงสอบนทกขอมล (สารสนเทศหรอซอฟตแวร) ใหมความมนคงปลอดภย โดยปฏบตตามวธปฏบตงานเรองการสงผานสอบนทกขอมล (Physical Media In Transit) (W IT CO 06)
P IT SP 01-00 ชดท 03 หนาท 20 /55
หมวดท 5 ความการควบคมการเขาถง (Access Control)
5.1 การควบคมการเขาถงระบบสารสนเทศ (Business Requirement for Access Control)
วตถประสงค: เพอควบคมการเขาถงขอมลและระบบสารสนเทศใหมความมนคงปลอดภย
นโยบาย 5.1.1 นโยบายควบคมการเขาถง (Access Control Policy)
1) มการก าหนดใหมการควบคมการใชงานขอมลและระบบสารสนเทศ เพอควบคมการเขาถง ใหเขาไดเฉพาะผทไดรบอนญาตเทานน โดยปฏบตตามวธปฏบตงานเรองการควบคมการเขาถง (Access Control) (W IT AC 01) และวธปฏบตงานเรองการลงทะเบยนใชงานระบบสารสนเทศ (W IT AC 02)
2) ตองก าหนดสทธการเขาถงขอมลและระบบสารสนเทศใหเหมาะสมกบการเขาใชงานและหนาทความรบผดชอบของผใชงานกอนเขาใชระบบเทคโนโลยสารสนเทศและการสอสาร รวมทงมการทบทวนสทธการเขาถงอยางสม าเสมอ โดยปฏบตตามคมอการปฏบตงานเรองการทบทวนสทธการเขาถงของผใชงาน (Review of User Access Rights Procedure) (P IT AC 02) ทงนผใชงานจะตองไดรบอนญาตจากผบงคบบญชาตามความจ าเปนในการใชงาน
3) ผดแลระบบเทานนทสามารถแกไขเปลยนแปลงสทธการเขาถงขอมลและระบบสารสนเทศได 4) ตองมการบนทกและตดตามการใชงานระบบเทคโนโลยสารสนเทศและการสอสารของส านกงาน
ฯ และเฝาระวงการละเมดความปลอดภย ทมตอขอมลและระบบสารสนเทศทส าคญ 5) ตองบนทกรายละเอยดการเขาถงระบบ การแกไขเปลยนแปลงสทธตาง ๆ ของทงผทไดรบ
อนญาตและไมไดรบอนญาต เพอเปนหลกฐานในการตรวจสอบหากมปญหาเกดขน 6) ตองก าหนดกฎเกณฑขอหามและบทลงโทษการเขาถงขอมลและระบบสารสนเทศ 7) การเขาถงขอมล และระบบสารสนเทศของส านกงานฯ จะกระท าไดกตอเมอไดรบการอนมตโดย
ผบงคบบญชาของบคคลนน ๆ และสามารถเขาใชขอมล และระบบเฉพาะทเกยวของกบงานในหนาทของบคคลนน ๆ เทานน ความปลอดภยของขอมล และกระบวนการรกษาความลบของขอมลถอวาเปนสวนหนงในการก าหนดนโยบาย และขนตอนการท างานของระบบสารสนเทศ กระบวนการเหลานหมายรวมถงการใหสทธ และการบรหารจดการรหสในการเขาใชงาน การก าหนดขอบเขตในการเขาถงขอมลหรอระบบคอมพวเตอร และอปกรณทเกบขอมลประเภทอน ๆ การส ารองขอมลและการกขอมลทเสยหายกลบคนมา
P IT SP 01-00 ชดท 03 หนาท 21 /55
5.1.2 การเขาถงเครอขายและบรการเครอขาย (Access to Network and Network Services) ผใชงานตองไดรบสทธการเขาถงเฉพาะเครอขายและบรการของเครอขายตามทตนไดรบอนมตการเขาถงเทานน
1) ตองควบคมการเขาถงเครอขายและบรการบนเครอขายโดยเฉพาะ เพอรกษาความมนคงปลอดภยใหแกขอมลและระบบเทคโนโลยสารสนเทศ อาท
- ใชงานโปรโตคอลทมนคงปลอดภยในการบรหารจดการระบบเครอขาย อาท Secure Socket Layer (SSL) Simple Network Management Protocol (SNMP)
- จ ากดการใชงานเครอขายทสงผลกระทบตอ Bandwidth เชน การรบ-สงไฟลขนาดใหญ ฟงเพลงออนไลน ดทวออนไลน หรอ เลนเกมสออนไลน ในชวงเวลาท าการ ยกเวนกรณทไดรบอนญาตจาก ISM
- ผใชงานจะตองสามารถเขาถงระบบเครอขายและระบบสารสนเทศได แตเพยงบรการทไดรบอนญาตใหเขาถงเทานน
2) ระบบเครอขายตองไดรบการออกแบบและตงคาอยางเหมาะสม เพอรกษาความมนคงปลอดภยใหแกขอมลสารสนเทศและระบบเทคโนโลยสารสนเทศและการสอสาร อาท
- อปกรณทเชอมตอกบระบบเครอขายทงหมดตองไดรบการตงคาใหมความปลอดภยและการมการตรวจสอบกจกรรมตาง ๆ ทเกยวของกบระบบเครอขาย
- ระบบสายสญญาณตองไดรบมาตรฐานอตสาหกรรมและไดรบการตดตงโดยผทมความช านาญทผานการพจารณาอนมตแลว
- อปกรณเครอขาย อาท Router, Firewall, Switch, Wireless Access Point ตองไดรบการตงคาตามความจ าเปนดานความมนคงปลอดภยของอปกรณนน ๆ หรอตามค าแนะน าของส านกงานฯ ดานความมนคงปลอดภยตาง ๆ อาท SANS Institute หรอ NSA
- IP Address ตองไดรบการลงทะเบยน แจกจายและบรหารจดการโดย สสท. - อปกรณเครอขายทส าคญ เชน Router, Core Switch ตองมอปกรณส ารองไฟฟา (UPS) เสมอ - การเปลยนแปลงระบบเครอขายหรออปกรณเครอขายตองไดรบการควบคมโดยปฏบตตาม
เอกสารวธการปฏบตงานเรองการจดการการเปลยนแปลงระบบสารสนเทศ ( Change Management ) (W IT CO 08)
- ระบบเครอขายตองไดรบการออกแบบหรอตงคาใหท างานไดอยางมประสทธภาพ (Reliable) มความยดหยน (Flexible) รวมถงสามารถรองรบการขยายตวและความตองการใชงานในอนาคต (Scalable)
3) ขอตกลงการใหบรการเครอขายตองระบถงรายละเอยด และขอก าหนดเกยวกบการรกษาความมนคงปลอดภย ระดบการใหบรการ และการบรหารจดการบรการเครอขายทงหมด หากบรการเครอขายนนไดรบการด าเนนการโดยหนวยงานภายนอก ตองมการระบถงสทธของบรษทฯ ในการตดตามตรวจสอบ และตรวจประเมนการท างานของหนวยงานภายนอกดวย
P IT SP 01-00 ชดท 03 หนาท 22 /55
5.2 การจดการการเขาถงระบบของผใชงาน (User Access Management)
วตถประสงค: เพอปองกนไมใหผทไมมสทธใชงานสามารถเขาถงระบบสารสนเทศได
นโยบาย 5.2.1 การลงทะเบยนและการถอดถอนสทธผใชงาน (User Registration and De-Registration)
1) การลงทะเบยนผใชงานใหม ตองก าหนดใหมระเบยบปฏบตอยางเปนทางการส าหรบการลงทะเบยนผใชงานใหมเพอใหมสทธตาง ๆ ในการใชงานตามความจ าเปน รวมทงระเบยบปฏบตส าหรบการยกเลกสทธการใชงาน เชน เมอลาออกไป หรอเมอเปลยนต าแหนงงานภายในส านกงานฯ เปนตน โดยปฏบตตามวธปฏบตงานเรองการควบคมการเขาถง (Access Control) (W IT AC 01) และวธปฏบตงานเรองการลงทะเบยนใชงานระบบสารสนเทศ (W IT AC 02) โดยผใชงานตองไดรบการทบทวน และพจารณาอนมตตามขนตอนของส านกงานฯ อยางเครงครด
5.2.2 การจดการสทธการเขาถงของผใชงาน (User Access Provisioning)
1) การจดการสทธการเขาถงของผใชงาน ตองก าหนดใหมวธการในการบรหารจดการสทธการเขาถง ทงการใหสทธและการถอดถอนสทธ ตองมระเบยบวธการก าหนดไวส าหรบผใชงานทกประเภท
5.2.3 การบรหารจดการสทธตามระดบสทธการเขาถง (Management of Privileged Access Right)
1) ตองก าหนดสทธของผใชงานในการเขาถงระบบสารสนเทศแตละระบบ รวมทงก าหนดสทธแยกตามหนาททรบผดชอบดวย
2) ผใชงานตองไดรบการตรวจพสจนตวตนทกครงเมอท าการ Log-on เขาสระบบสารสนเทศ 5.2.4 การบรหารจดการขอมลความลบส าหรบการพสจนตวตนของผใชงาน (Management of Secret
Authentication Information of User) 1) ตองมกระบวนการจดการ การสงมอบขอมลเพอพสจนตวตนของผใชงานซงเปนความลบ และการ
เกบรกษาขอมลความลบของตวเอง การสงมอบขอมลการพสจนตวตนของผใชงานซงเปนขอมลลบ 2) เจาหนาท สสท. ตองปฏบตตามวธปฏบตงานเรอง การลงทะเบยนใชงานระบบสารสนเทศ (W IT
AC 02) โดยการสงมอบขอมลการพสจนตวตนของผใชงาน เจาหนาทจะสงโดยใชแบบฟอรม F IT AC 02 5.2.5 การทบทวนสทธในการเขาถงระบบของผใชงาน (Review of User Access Rights)
1) ตองทบทวนสทธในการเขาถงระบบสารสนเทศตามระยะเวลาทก าหนดไว ตามคมอการปฏบตงานเรองการทบทวนสทธการเขาถงของผใชงาน (Review of User Access Rights Procedure) (P IT AC 02)
P IT SP 01-00 ชดท 03 หนาท 23 /55
5.2.6 การถอนหรอการจดการสทธการเขาถง (Removal or Adjustment of Access Rights) 1) สทธการเขาถงของพนกงานและลกจางของหนวยงานภายนอกตอสารสนเทศและอปกรณ
ประมวลผลสารสนเทศตองไดรบการถอดถอนเมอสนสดการจางงาน หมดสญญา หรอสนสดขอตกลงการจาง และตองไดรบการปรบปรงใหถกตองอยางสม าเสมอ โดยปฏบตงานเรองการลงทะเบยนใชงานระบบสารสนเทศ (W IT AC 02)
2) ตองทบทวนสทธในการเขาถงระบบสารสนเทศตามระยะเวลาทก าหนดไว ตามคมอการปฏบตงานเรองการทบทวนสทธการเขาถงของผใชงาน (Review of User Access Rights Procedure) (P IT AC 02)
5.3 หนาทความรบผดชอบของผใชงาน (User responsibilies)
วตถประสงค: เพอใหผใชงานมความรบผดชอบในการปองกนขอมลทใชในการพสจนตวตน
นโยบาย 5.3.1 การใชขอมลการพสจนตวตนซงเปนขอมลลบ (Use of Secret Authentication Information)
1) การใชงานและเกบรกษาขอมลการพสจนตวตนของผใชงาน ตองด าเนนการตามนโยบายหรอวธปฏบตขององคกรส าหรบการใชงานขอมลพสจนตวตนซงเปนขอมลลบ เชน
- เกบรกษา Username และ Password ตองเปนความลบหามเปดเผยใหบคคลอนทราบ - หลกเลยงการเกบบนทกขอมลการตรวจสอบความลบ เวนแตสามารถเกบไวอยางปลอดภย
ไดและ - เมอไดรบขอมล Password ซงเปนขอมล Default ควรมการแกไขทนทเมอเขาใชงานระบบ
ครงแรก 5.4 การควบคมการเขาถงระบบ (System and Application Access Control)
วตถประสงค: เพอปองกนการเขาถงระบบโดยไมไดรบอนญาต
นโยบาย 5.4.1 การจ ากดการเขาถงสารสนเทศ (Information Access Restriction)
1) ตองมการควบคมการใชงานสารสนเทศในระบบสารสนเทศ ไดแก ก าหนดสทธในการใชงาน เชน เขยน อาน ลบ ได เปนตน ก าหนดกลมของผใชทสามารถใชงานได ตรวจสอบวาสารสนเทศทอนญาตใหใชงานนนมเฉพาะขอมลทจ าเปนตองใชงาน
2) บญชผใชงานทมสทธการเขาถงระบบสารสนเทศในระดบพเศษ เชน Root หรอ Administrator ตองไดรบการพจารณามอบหมายใหแกผใชงานตามความจ าเปนและมการก าหนดระยะเวลาในการเขาถงอยางเหมาะสมกบการท างานเทานน
P IT SP 01-00 ชดท 03 หนาท 24 /55
3) บคคลภายนอก ตองแสดงความยนยอมปฎบตตามนโยบายดานการรกษาความมนคงปลอดภยดานเทคโนโลยสารสนเทศและการสอสาร (ICT Security Policy) ของส านกงานฯ อยางเครงครด กอนทจะไดรบอนญาตใหเขาถงระบบเทคโนโลยสารสนเทศของส านกงานฯ
5.4.2 ขนตอนปฏบตส าหรบการเขาสระบบทมความมนคงปลอดภย (Secure log-on Procedure)
1) ตองก าหนดกระบวนการในการเขาถงระบบใหมความมนคงปลอดภย โดยก าหนดใหระบบปฏเสธการใหบรการ หากผใชงานพมพรหสผานผดพลาดเกน 3 ครง
5.4.3 ระบบบรหารจดการรหสผาน (Password Management System)
1) ตองจดใหมระบบหรอวธการในการตรวจสอบคณภาพของรหสผาน และมวธการควบคมดแลใหผใชงานระบบเปลยนรหสผานตามระยะเวลาทก าหนด
5.4.4 การใชโปรแกรมอรรถประโยชน (Use of Privileged Utility Programs)
1) การใชโปรแกรมอรรถประโยชนทอาจละเมดมาตรการความมนคงปลอดภยของระบบ ตองมการจ ากดและควบคมการใชอยางใกลชด
2) ตองก าหนดใหมการควบคมการใชโปรแกรมยทลตส าหรบระบบ เพอปองกนการเขาถงโดยผทไมไดรบอนญาต ไดแก
- กอนใชตองท าการพสจนตวตนกอน
- ใหท าการแยกโปรแกรมยทลตออกจากโปรแกรมระบบงาน
- จ ากดการใชงานโปรแกรมยทลตใหเฉพาะผทไดรบมอบหมายแลวเทานน
- ใหบนทกรายละเอยดการเขาใชงานโปรแกรมยทลต เชน ผใชงานระบบ เปนตน
5.4.5 การควบคมการเขาถงซอรสโคดส าหรบระบบ (Access Control to Program Source Code) 1) ผพฒนาระบบสารสนเทศตองจดใหมการควบคมการเขาถง Source Code ของระบบทใชงานจรง
หรอใหบรการ เชน
- ไมควรเกบ Source Code ไวในเครองทใชงานจรงและตองเกบ Source Code ไวในททปลอดภย - ตองไมเกบ Source Code ทอยในระหวางท าการทดสอบรวมไวกบ Source Code ทใชงานไดจรง
แลว
P IT SP 01-00 ชดท 03 หนาท 25 /55
หมวดท 6 การเขารหสขอมล (Cryptography)
6.1 การก าหนดการควบคมการเขารหสขอมล (Cryptographic controls)
วตถประสงค: เพอใหมการเขารหสขอมลอยางเหมาะสมและไดผล และเพอปองการความลบ การปลอมแปลง หรอความถกตองของสารสนเทศ
นโยบาย 6.1.1 นโยบายการใชมาตรการเขารหสขอมล (Policy on the Use of Cryptographic Controls)
1) ส านกงานฯ ตองมนโยบายการควบคมการเขารหสขอมล ตามขอตกลง กฎหมาย และระเบยบทเกยวของ
6.1.2 การบรหารจดการกญแจในการเขารหสขอมล (Key Management) 1) นโยบายการใชงาน การปองกน และอายการใชงานของกญแจตองมการจดท าและปฏบตตามตลอด
วงจรชวตของกญแจ โดยองคกรควรมการก าหนดมาตรการในการเกบ Key ทเปนขอมลลบของแตละบคคล
P IT SP 01-00 ชดท 03 หนาท 26 /55
หมวดท 7 ความมนคงปลอดภยทางดานกายภาพและสงแวดลอมขององคกร (Physical and Environmental Security) 7.1 บรเวณทตองมการรกษาความมนคงปลอดภย (Secure Areas)
วตถประสงค: เพอเปนมาตรฐานในการรกษาความมนคงปลอดภยทางกายภาพทเกยวกบสถานทซงเปนทตงและพนทใชงานของระบบเทคโนโลยสารสนเทศ ตลอดจนอปกรณคอมพวเตอร ขอมลและสารสนเทศซงเปนสนทรพยส านกงานฯ
นโยบาย 7.1.1 การก าหนดพนทมนคงปลอดภย (Physical Security Perimeter)
1) หนวยงานจะตองมการจ าแนก และก าหนดพนทในการใชงานระบบเทคโนโลยสารสนเทศตางๆ อยางเหมาะสม เพอจดประสงคในการเฝาระวง ควบคม และรกษาความมนคงปลอดภยจากผทไมได รบอนญาต รวมทงปองกนความเสยหายอนๆ ทอาจเกดขนได เมอมการก าหนดพนทแลวใหมการควบคมการเขาออก
2) หนวยงานจะตองจ าแนก ก าหนด และแบงบรเวณ “พนทใชงานระบบเทคโนโลยสารสนเทศ (Information System Workspaces)” รวมทงจดท าแผนผงแสดงต าแหนง และชนดของพนทใชงานระบบเทคโนโลยสารสนเทศ และประกาศใหทราบทวกน (หนวยงานควรระบใหชดเจนวามพนทใชงานระบบเทคโนโลยสารสนเทศประเภทใดบาง และมพนทใชงานระบบเทคโนโลยสารสนเทศใดทอาจจ าแนกไดมากกวา 1 ประเภท)
3) หนวยงานตองก าหนดการตดตงอปกรณระบบเทคโนโลยสารสนเทศใน “พนทใชงานระบบเทคโนโลยสารสนเทศ”ใหสอดคลองกบหมวดหมและความส าคญของขอมลหรอสารสนเทศทมอยในระบบ
4) เจาหนาทส านกงานฯ เจาหนาทส านกงานฯ ตองดแลรกษาสภาพแวดลอมในการท างานเสมอนดแลบานของตน
7.1.2 การควบคมการเขาออก (Physical Entry Controls)
หนวยงานทเกยวของกบการบรหารจดการอาคารและสถานท ตองจดใหมการควบคมการเขาออกในบรเวณ “พนทใชงานระบบเทคโนโลยสารสนเทศ” โดยใหผานเขาออกไดเฉพาะ “เจาหนาท สสท.” ทมสทธเทานน และมแนวทางปฏบต ดงน
1) ตองก าหนด “เจาหนาท สสท.” ทมสทธผานเขาออก และชวงเวลาทมสทธในการผานเขาออกในแตละ“พนทใชงานระบบเทคโนโลยสารสนเทศ” อยางชดเจน
2) “เจาหนาท สสท.” จะไดรบสทธใหเขาออกสถานทท างานไดเฉพาะบรเวณพนททถกก าหนดเพอใชในการท างานเทานน
3) หากมบคคลอนใดทไมใช “เจาหนาท สสท.” ขอเขาพนทโดยมไดขอสทธในการเขาพนทนนไวเปนการลวงหนา หนวยงานตองตรวจสอบเหตผลและความจ าเปน กอนทจะอนญาต หรอไมอนญาตใหบคคล
P IT SP 01-00 ชดท 03 หนาท 27 /55
เขาพนทเปนการชวคราว ทงนบคคลจะตองแสดงบตรประจ าตวประชาชน หรอบตรประจ าตวอนทราชการออกให โดยหนวยงานเจาของพนทตองจดบนทกบคคลและการขอเขาออกไวเปนหลกฐาน (ทงในกรณทอนญาต และไมอนญาตใหเขาพนท) และตองมการบนทกขอมลการเขาออกหองคอมพวเตอรแมขาย(Data Center) ของบคคลภายนอกทกครง พรอมทงจดเกบบนทกดงกลาวไวอยางนอย 1 ป
4) บคคลภายนอกตองท าการแลกบตรประจ าตวของตนทออกใหโดยหนวยงานของรฐ ตวอยางเชน บตรประชาชน ใบขบข พาสปอรต ฯลฯ กบบตรผมาตดตอของหนวยงาน กอนไดรบอนญาตใหเขาถงพนทส านกงาน
5) เจาหนาทส านกงานฯ และบคคลภายนอกตองตดบตรเจาหนาท หรอบตรผมาตดตอตลอดเวลาทอยในพนทส านกงาน ทงน บตรประจ าตวและบตรผมาตดตอ ไมอนญาตใหโอนกรรมสทธหรอหยบยมกนใชงาน
6) เจาหนาทส านกงานฯ ตองไมเปดประตส านกงานทงไว หรอยนยอมใหบคคลอนตดตามเขาภายในพนทส านกงานโดยเดดขาด เวนแตบคคลอนนนสามารถแสดงบตรประจ าตวหรอบตรผมาตดตอได เพอเปนการปองกนการเขาถงพนทส านกงาน และพนทควบคมความมนคงปลอดภยโดยบคคลทไมไดรบอนญาต
7) ผใชงานตองแจงเจาหนาทรกษาความปลอดภยทนท เมอพบเหนบคคลแปลกหนาหรอบคคลทไมแขวนบตรเจาหนาทหรอบตรผมาตดตอในพนทส านกงาน
8) เจาหนาทส านกงานฯ ควรตดตาม ควบคมดแล และใหค าแนะน าผทมาตดตอกบตนตลอดเวลาทผมาตดตอนนอยในพนทส านกงาน
7.1.3 การรกษาความมนคงปลอดภยส านกงาน หองท างาน และเครองมอตาง ๆ (Securing Offices,
Rooms and Facilities) 1) ISMR ตองจดใหมมาตรการในการรกษาความมนคงปลอดภยอนๆ ใหกบส านกงาน หองท างานและ
เครองมอตางๆ เชน เครองคอมพวเตอรหรอระบบทมความส าคญสง ตองไมตงอยในบรเวณทมการผานเขาออกของบคคลเปนจ านวนมาก ส านกงานหรอหองจะตอง ไมมปาย หรอ สญลกษณ ทบงบอกถงการมระบบส าคญอยภายในสถานทดงกลาว ประต หนาตางของส านกงาน หรอหองตองใสกญแจเสมอ เมอไมมคนอย ตองตงเครองโทรสารหรอเครองถายเอกสารแยกออกมาจากบรเวณทตองมการรกษาความมนคงปลอดภย เปนตน
2) เจาหนาทควรตรวจสอบความมนคงปลอดภยของพนทท างานของตนเปนประจ าทกวนหลงเลกงาน เพอใหมนใจวาตเซฟ ตเอกสาร ลนชก และอปกรณตาง ๆ ไดรบการปดลอค อยางเหมาะสม และกญแจถกเกบรกษาไวอยางปลอดภย
3) ขอมล สอบนทก วสด และอปกรณทจดเกบขอมลลบตองไมถกทงไวโดยล าพงบนโตะท างาน ในหองประชม หรอในตทไมไดลอคกญแจโดยเดดขาด
4) ขอมล สอบนทก วสด และอปกรณทจดเกบขอมลลบตองไมถกทงลงในถงขยะโดยไมไดรบการท าลายอยางเหมาะสม วธการท าลายขอมล สอบนทก วสด และอปกรณเหลานโดยปฏบตตามเอกสารวธปฏบตงาน
P IT SP 01-00 ชดท 03 หนาท 28 /55
เรองการท าลายสอบนทกขอมลและขอมลบนสอบนทกขอมล (Disposal of Media Procedure) (P IT CO 03)
5) เจาหนาทตองไมยนยอมใหผใดท าการเคลอนยายเครองคอมพวเตอรหรอสอบนทกขอมลออกจากพนทท างานของตนโดยเดดขาด เวนแตบคคลผนนเปนเจาหนาททไดรบอนญาตใหด าเนนการ และเปนการด าเนนการทมค าสงอยางถกตองของหนวยงานเทานน
7.1.4 การปองกนภยคกคามจากภายนอกและสงแวดลอมอน ๆ (Protecting against External and
Environmental Threats) 1) หนวยงานตองมการปองกนจากการท าลายของธรรมชาตหรอคนทอาจจะเกดขน ซงเปนภยคกคาม
จากภายนอกตองมการเตรยมการปองกนเหตทอาจเกดขน 7.1.5 การปฎบตงานในพนทมนคงปลอดภย (Working in Secure Areas)
1) หวหนาของแตละหนวยงาน ตองมการควบคมการปฏบตงานของหนวยงานภายนอกในบรเวณพนทควบคม ไดแก การไมอนญาตใหถายภาพหรอวดโอในบรเวณนน เปนตน
2) หนวยงานตองมปายประกาศขอความ “หามเขากอนไดรบอนญาต” “หามถายภาพหรอวดโอ” และ “หามสบบหร” บรเวณภายในพนทควบคมการปฏบตงาน
7.1.6 การก าหนดพนทส าหรบบคคลภายนอกใชรบสงสงสงของ (Delivery and Loading Areas)
1) หนวยงานตองมการจ ากดพนทการเขาถงของบคคลภายนอกทอาจเขามาในพนทได หากเปนไปไดควรแบงแยกพนททเกยวของกบการท างานออกจากพนททบคคลภายนอกเขามาได เชน บรเวณเกบและจดสงสนคาจะตองไมอยในพนทๆ บคคลภายนอกเขาถงได
2) เจาหนาทและเจาหนาทของหนวยงานภายนอก (Third Party) ตองตดบตรประจ าตวตลอดเวลาขณะปฏบตหนาทในบรเวณ สสท. และหากผใดพบเหนผทไมตดบตรประจ าตวถอเปนหนาททจะตองแจงเจาหนาทรกษาความปลอดภยโดยทนท
7.2 ความมนคงปลอดภยของอปกรณ (Equipment)
วตถประสงค: เพอปองกนการใชอปกรณคอมพวเตอรโดยไมไดรบอนญาต และเพอใหมนใจไดวาอปกรณคอมพวเตอรไดมการปองกนอยางเพยงพอจากภยธรรมชาต การโจรกรรม และความเสยหายอนๆ
นโยบาย 7.2.1 การจดตงและการปองกนอปกรณ (Equipment Seting and Protection)
1) เจาหนาท สสท. ตองจดตงเครองมอไวในสถานททปลอดภย รวมทงมการปองกนภยหรออนตรายทอาจเกดขนกบอปกรณเหลานน
P IT SP 01-00 ชดท 03 หนาท 29 /55
7.2.2 การดแลอปกรณตางๆ (Supporting Utilities) 1) เจาหนาท สสท. ตองก าหนดใหมระบบกระแสไฟฟาส ารอง เชน ใช Uninterruptible Power
Supply (UPS) เปนตน 2) เจาหนาท สสท. ตองมการตรวจสอบระบบไฟฟาส ารอง อยางนอยปละ 2 ครง
7.2.3 การเดนสายไฟและสายเคเบล (Cabling Security)
1) ตองก าหนดใหมการปองกนการเดนสายไฟฟา หรอสายเคเบลเขามาภายในอาคารส านกงาน 2) บรเวณทมการเดนสายไฟฟาหรอสายเคเบลเขามาภายในอาคารส านกงาน และมการตดตงตพก
สาย ตองลอคไวตลอดเวลาและจ ากดการเขาใชงานไดเฉพาะเจาหนาทหรอบคคลทมสทธเทานน
7.2.4 การดแลรกษาอปกรณ (Equipment Maintenance) 1) เจาหนาท สสท. ตองก าหนดใหมการดแลและบ ารงรกษาอปกรณอยางถกตองและสม าเสมอ เชน
จดใหมการซอมบ ารงอยางนอยปละ 1 ครง เปนตน
7.2.5 การน าสนทรพยขององคกรออกนอกส านกงาน (Removal of Asset) 1) อปกรณสารสนเทศหรอซอฟตแวร ตองไมมการน าออกนอกส านกงานฯ โดยไมไดรบอนญาต หากม
ความประสงคจะน าออกจากส านกงานโดยตองปฏบตตามวธปฏบตงานเรอง การขอน าทรพยสนขององคกรออกนอกส านกงาน (W IT PE 05)
7.2.6 การปองกนอปกรณและสนทรพยสารสนเทศทใชงานอยนอกหนวยงาน (Security of Equipment
and asset Off-Premises) 1) หนวยงานตองก าหนดใหมการปองกนสนทรพยและอปกรณของหนวยงาน เชน เครองคอมพวเตอร
พกพา โทรศพทมอถอ เปนตน เมอถกน าไปใชงานนอกหนวยงาน จะตองปฏบตตามระเบยบในการใชงาน การยม-คน
7.2.7 การจดการอปกรณหรอการน าอปกรณกลบมาใชใหม (Secure Disposal or Re-use of Equipment)
1) หนวยงานตองก าหนดใหมวธการในการตรวจสอบอปกรณซงมขอมลส าคญเกบไว เชน ฮารดแวร ซอฟตแวร เปนตน ทงน เพอปองกนการรวไหลหรอการเปดเผยขอมลดงกลาวกอนน าอปกรณไปแจกจาย
7.2.8 การปองกนอปกรณของผใชงานทไมมผดแล (Unattended User Equipment) 1) ผใชงานตองปองกนไมใหผไมมสทธเขาถงอปกรณ ระบบสารสนเทศ ระบบคอมพวเตอรและระบบ
เครอขาย ทไมมผดแล
P IT SP 01-00 ชดท 03 หนาท 30 /55
7.2.9 การควบคมการไมทงสนทรพยสารสนเทศทส าคญไวในทไมปลอดภย (Clear Desk and Clear Screen Policy)
1) เจาหนาทตองก าหนดการควบคมเอกสาร ขอมล หรอสอตางๆ ทมขอมลส าคญจดเกบ หรอบนทกอย ไมใหวางทงไวบนโตะท างานหรอในสถานทไมปลอดภยในขณะไมไดน ามาใชงาน ตลอดจนการควบคมหนาจอคอมพวเตอร (Desktop)ไมใหมขอมลส าคญ ปรากฏในขณะไมไดใชงาน
P IT SP 01-00 ชดท 03 หนาท 31 /55
หมวดท 8 ความมนคงปลอดภยส าหรบการด าเนนงาน (Operation Security) 8.1 ขนตอนการปฏบตงานและหนาทความรบผดชอบ (Operation Procedures and
Responsibilities)
วตถประสงค: เพอใหการปฏบตงานกบอปกรณประมวลสารสนเทศเปนไปอยางถกตองและมความมนคงปลอดภย
นโยบาย 8.1.1 การก าหนดขนตอนการปฏบตงานใหเปนลายลกษณอกษร (Document Operating Procedures)
1) ตองจดท าคมอ และ/หรอ ขนตอนการปฏบตงานสารสนเทศในหนวยงาน เชน ขนตอนการแจงเหตขดของ ขนตอนการกคน ขนตอนการบ ารงรกษาและดแลระบบ ซงประกอบไปดวยรายละเอยดขนตอนการปฏบต และเจาหนาทหรอหนวยงานผรบผดชอบ
2) คมอและขนตอนการปฏบตงานตองไดรบการปรบปรงเมอมการปรบเปลยนขนตอนและผรบผดชอบการปฏบตงานนนๆ โดยคมอและขนตอนการปฏบตงานทกฉบบตองไดรบการทบทวนอยางนอยปละ 1 ครง
3) มการก าหนดหนาทความรบผดชอบ รวมทงวธปฏบตเมอมเหตการณผดปกตหรอการละเมดความปลอดภย และด าเนนการตรวจสอบผกระท าการละเมด
8.1.2 การจดการการเปลยนแปลง (Change Management) 1) ตองมการจดการการเปลยนแปลงระบบเครอขาย ระบบคอมพวเตอร อปกรณ ซอฟตแวร ทกครง
โดยปฏบตตามวธการปฏบตงานเรองการจดการการเปลยนแปลงสารสนเทศ (Change Management ) (W IT CO 08)
2) เมอมการเปลยนแปลงสภาพแวดลอมทเกยวกบระบบสารสนเทศ เชน ระบบปรบอากาศ น า ไฟฟา สญญาณเตอนภย อปกรณตรวจจบ ฯลฯ เจาหนาทตองประสานงานหรอรายงานกบ ISS (จดการการเปลยนแปลง)
3) เมอมการเปลยนแปลงสภาพแวดลอมทเกยวกบระบบสารสนเทศ ตองมเอกสารเปนทางการในการรองขอการเปลยนแปลงทกครง
4) ISS (จดการการเปลยนแปลง) ตองจดใหมการประชมเปนประจ าเพอตรวจสอบค ารองขอการเปลยนแปลง (Change Request) และพจารณาตรวจสอบ การเปลยนแปลงตาง ๆ ใหเปนทพอใจและยอมรบได
5) ตาราง และ/หรอ แผนการเปลยนแปลงทกครงตองไดรบความเหนชอบจาก ISS (จดการการเปลยนแปลง) กอนจะท าการเปลยนแปลง
6) บนทกการเปลยนแปลงทกครงจะตองแจงใหหนวยงานทเกยวของไดรบทราบโดยบนทกฯ ตองประกอบดวยขอมลอยางนอยดงตอไปน
- วนทรบเรอง และวนทท าการเปลยนแปลง
P IT SP 01-00 ชดท 03 หนาท 32 /55
- เจาของขอมล และผดแลระบบ - วธการเปลยนแปลง - ผลของการเปลยนแปลง (ส าเรจ หรอ ลมเหลว)
8.1.3 การจดการขดความสามารถ (Capacity Management)
1) ตองมการตดตามสภาพการใชงาน และวเคราะหขดความสามารถของทรพยากรดานเทคโนโลยสารสนเทศและการสอสารปจจบนอยางสม าเสมอ ตามความเหมาะสมของทรพยากรชนดตางๆ โดยปฏบตตามเอกสารวธปฏบตงานเรองการจดการขดความสามารถระบบ (Capacity Management) (W IT CO 02)
2) ตองมการวางแผนจดการขดความสามารถของระบบ อยางนอยปละ 1 ครง โดยพจารณาจากความตองการใชงานทรพยากรดานเทคโนโลยสารสนเทศและการสอสารในอนาคต (อาท ความตองการใน 1 ปทจะถง เชน CPU ทความเรวสงขน ฮารดดสกทความจมากขน เปนตน) สภาพการใชงานทรพยากรในปจจบน การเปลยนแปลงของเทคโนโลย
3) แผนการจดการขดความสามารถของระบบตองประกอบดวยวธการจดการขดความสามารถ อาท การ Tunning การจดหาเพมเตม
8.1.4 การแยกเครองมอในการประมวลผลสารสนเทศในการพฒนา ทดสอบและสภาพแวดลอมในการปฏบตงาน
(Separation of Development, Testing and Operational Environment) 1) ตองมการแยกเครองมอในการประมวลผลสารสนเทศ (ระบบคอมพวเตอรและเครอขาย) ในการ
พฒนาและทดสอบ อาท การพฒนาซอฟตแวรควรมการแยกเครองทใชในการพฒนาและทดสอบ ออกจากกบเครองทใชงานจรง หากจ าเปนระบบเครอขายของการพฒนาควรแยกออกจากระบบทใชงานจรงดวย
8.2 การปองกนโปรแกรมไมประสงคด (Protection from Malware)
วตถประสงค: เพอใหสารสนเทศและอปกรณประมวลผลสารสนเทศเปนไปอยางถกตองและมนคงปลอดภย
นโยบาย 8.2.1 มาตรการปองกนโปรแกรมไมประสงคด (Control Against Malware)
1) เครองคอมพวเตอรลกขาย และเครองคอมพวเตอรแบบพกพา ตองไดรบการตดตงโปรแกรมปองกนไวรส รนลาสดทไดรบการอนมตจาก สสท . และตองเปดใชงานตลอดเวลาทใชงานเครอง โดยปฏบตตามเอกสารวธปฏบตงานเรองการจดการควบคมซอฟตแวรไมประสงคด (Controls Against Malicious Code Procedure) (W IT CO 04)
P IT SP 01-00 ชดท 03 หนาท 33 /55
2) เครองคอมพวเตอรแมขายทใหบรการการปองกนไวรส ตองมการปรบปรงขอมลลาสด (Update Latest Pattern) อยเสมอ เครองใหบรการ เครองตงโตะ และโนตบคทกเครองตองไดรบการปรบปรงขอมลลาสดจากเครองคอมพวเตอรแมขายทใหบรการการปองกนไวรส
3) เอกสารการตดตงคาของเครองคอมพวเตอรแมขายทใหบรการปองกนไวรส ตองไดรบการตรวจสอบทก 6 เดอน และตองจดท าเอกสาร Checklist ประกอบการตรวจสอบดวย
4) หามเจาหนาทท าการดาวนโหลด แชรแวร หรอฟรแวรโดยตรงจากอนเทอรเนต โดยปราศจากการอนมตจาก สสท. หลงจากการอนมตแลว เจาหนาทตองท าการสแกนซอฟตแวรดวยโปรแกรมตรวจหาไวรส กอนการใชงาน
5) ไฟลทกไฟลทดาวนโหลดในหนวยงานเปนไฟลแนบของอเมล ส าเนาจากแผนดส หรอไฟลแชรตาง ๆ ตองไดรบการสแกนหาไวรส
6) หามผใชงานสราง เกบ หรอเผยแพรโปรแกรมมงรายใดๆ ตวอยางเชน ไวรส หนอนอนเทอรเนต โปรแกรมแฝง (มาโทรจน) อเมลบอมบ ฯลฯ เขาสระบบคอมพวเตอรของส านกงานฯ
7) หามผใชงานขดขวาง หรอรบกวนการท างานของซอฟตแวรปองกนไวรส 8) ไฟลทเกยวของกบการท างานเทานน ทไดรบอนญาตใหสามารถรบ-สงผานระบบเครอขายของ
ส านกงานฯ ได ทงนผใชงานควรรบไฟลเฉพาะจากบคคลทตนรจก และจากชองทางการตดตอสอสารทนาจะเปนไปไดเทานน นอกจากนผใชงานตองท าการสแกนไวรสในไฟลทไดรบดวยซอฟตแวรปองกนไวรสของส านกงานฯ กอนเปดใชงานเสมอ
9) เครองคอมพวเตอรแมขายทกเครองใหปดฟงกชนการท างานเชอมตอกบอนเทอรเนตยกเวนในกรณทจ าเปนตองใชเทานน เพอเปนการปองกนไมใหโปรแกรมไมประสงคดมผลกระทบกบขอมลทส าคญบนเครองคอมพวเตอรแมขายเหลาน
8.3 การส ารองขอมล (Backup)
วตถประสงค: เพอเปนแนวทางในก าหนดการส ารองขอมล เพอใชในการกระบบในกรณทเกดเหตตาง ๆ เชน ภยธรรมชาต ระบบเสยหาย ฯลฯ
นโยบาย 8.3.1 การส ารองขอมล (Information Backup)
1) ตองก าหนดความถในการท าการส ารองขอมล ขนอยกบความส าคญของขอมลและการยอมรบความเสยงทก าหนดโดยเจาของขอมล หรอระบบโดยปฏบตตามเอกสารวธปฏบตงานเรองการจดการการส ารองขอมลสารสนเทศ (Backup & Restore Procedure) (W IT CB 01)
2) ตองจดใหมการดแลอปกรณ หรอระบบส ารองขอมลใหมประสทธภาพ สามารถใชงานไดตลอดเวลา 3) ตองมการควมคมการเขาถงทางกายภาพ (Physical Access Control) ของสถานททเกบขอมล
ส ารอง สอเกบขอมลตองไดรบการปองกนสอดคลองกบระดบความส าคญของระบบสารสนเทศ 4) ตองก าหนดระยะเวลาในการส ารองขอมลตามระดบการบรหารความเสยง
P IT SP 01-00 ชดท 03 หนาท 34 /55
5) ตองมกระบวนการส ารองขอมลและการกขอมลของทกระบบ ตองมการท าเอกสาร และมการตรวจสอบเปนระยะ ๆ
6) ตองจดใหมทะเบยนการบนทกขอมลการส ารองขอมล และการเรยกคนขอมลในแตละครง 7) ขอมลส ารองตองไดรบการทดสอบเปนระยะ ๆ เพอใหมนใจวาขอมลทส ารองไวสามารถกขอมล
กลบมาไดอยางสมบรณ 8) ตองลงบนทกการเกบสอขอมลทสถานทเกบขอมล ตองไดรบการตรวจสอบเปนประจ าทกป 9) กระบวนการในการเกบขอมลระหวางสถานทระบบคอมพวเตอรและสถานทเกบขอมลตองไดรบ
การตรวจสอบอยางนอยปละ 1 ครง 10) สอทใชเกบขอมลตองมปายบอกรายละเอยด ซงประกอบดวยขอมลอยางนอยดงตอไปน
- ชอระบบ
- วนสราง
- ระดบความส าคญของขอมล
- รายละเอยดตดตอผดแลขอมล
8.4 การบนทกขอมลลอกและการเฝาระวง (Logging and Monitoring)
วตถประสงค: เพอใหมการเกบหลกฐานหรอบนทกเหตการณ เพอใชเปนหลกฐานยนยน
นโยบาย 8.4.1 การบนทกขอมลเหตการณ (Event logging)
1) ตองก าหนดใหท าการบนทกกจกรรมการใชงานของผใช การปฏเสธการใหบรการของระบบ และเหตการณตาง ๆ ทเกยวของกบความมนคงปลอดภยอยางสม าเสมอตามระยะเวลาทก าหนดไว โดยปฏบตตามเอกสารคมอการปฏบตงานเรองการเฝาระวงการใชงานระบบ (System Usage Monitoring Procedure) (P IT CO 05)
8.4.2 การปองกนขอมลลอก (Protection of Log Information) 1) ตองก าหนดใหมการปองกนขอมลบนทกกจกรรมหรอเหตการณตาง ๆ ทเกยวของกบการใชงาน
สารสนเทศ เพอปองกนการเปลยนแปลง หรอการแกไขโดยไมไดรบอนญาต
8.4.3 ขอมลลอกของผดแลระบบและเจาหนาทปฏบตการ (Administrator and Operator Logs) 1) ตองก าหนดใหมการบนทกกจกรรมการด าเนนงานของผดแลระบบ หรอเจาหนาททเกยวของกบ
ระบบอน ๆ รวมถงอปกรณคอมพวเตอรและเครอขาย
P IT SP 01-00 ชดท 03 หนาท 35 /55
8.4.4 การตงเวลาใหถกตอง (Clock Synchronization) 1) ตองตงเวลาของเครองคอมพวเตอรและอปกรณคอมพวเตอรในหนวยงานใหตรงกน โดยอางองจาก
แหลงเวลาทถกระบตาม พ.ร.บ. วาดวยการกระท าความผดเกยวกบคอมพวเตอร เพอชวยในการตรวจสอบชวงเวลาหากเครองคอมพวเตอรและอปกรณคอมพวเตอรของส านกงานฯ ถกบกรกตาม พ.ร.บ. วาดวยการกระท าความผดเกยวกบคอมพวเตอร
8.5 การควบคมการตดตงซอฟตแวรบนระบบทใหบรการ (Control of Operation Software )
วตถประสงค: เพอใหระบบทใหบรการ สามารถใหบรการและมการท างานทถกตอง
นโยบาย 8.5.1 การตดตงซอฟตแวรบนระบบทใหบรการ (Installation of Software on Operational Systems)
1) ผพฒนาระบบสารสนเทศตองมการควบคมการตดตงซอฟตแวรใหม ซอฟตแวรไลบาร ซอฟตแวรอดชองโหว ลงในเครองทใชงานหรอเครองใหบรการ โดยกอนการตดตงในระบบจรงจะตองผานการทดสอบการใชงานมาเปนอยางด วาไมกอใหเกดปญหากบเครองทใหบรการอย โดยปฏบตตามวธการปฎบตเรองการควบคมระบบสารสนเทศทใชในการปฏบตงาน (Control of operational software) (P IT IS 02)
8.6 การบรหารจดการชองโหวทางเทคนค ( Technical Vulnerability Management )
วตถประสงค: เพอสรางความมนคงปลอดภยใหกบซอฟตแวรส าหรบระบบสารสนเทศ รวมทงสารสนเทศในระบบดวย เพอลดความเสยงจากการโจมตโดยอาศยชองโหวทางเทคนคทมการเผยแพรหรอตพมพในสถานทตาง ๆ
นโยบาย 8.6.1 การบรหารจดการชองโหวทางเทคนค (Management of Technical Vulnerabilities)
1) ตองมการตดตามขอมลขาวสารทเกยวของกบชองโหวในระบบตาง ๆ ทใชงานและประเมนความเสยงของชองโหวเหลานนรวมทงก าหนดมาตรการรองรบเพอลดความเสยงดงกลาว
8.6.2 การจ ากดการตดตงซอฟตแวร (Restrictions on Software Installation)
1) ส านกงานฯ ตองปฏบตตามขอก าหนดทางลขสทธ (Copyright) ในการใชงานสนทรพยทางปญญาทหนวยงานจดหามาใชงานและตองระมดระวงทจะไมละเมด
2) ส านกงานฯ ตองปฏบตตามขอก าหนดทระบไวในลขสทธการใชงานซอฟตแวรอยางเครงครด (Software Copyright) รวมทงตองมการควบคมการใชงานซอฟตแวรตามลขสทธทไดรบดวย ไดแก การลงทะเบยนเพอใชงานซอฟตแวรตองเกบหลกฐานแสดงความเปนเจาของลขสทธ ตรวจสอบอยางสม าเสมอวาซอฟตแวรทตดตงมลขสทธถกตองหรอไมตามคมอการปฏบตงานเรองการตรวจสอบการใชซอฟตแวรทละเมดสนทรพยทางปญญา (Monitoring of illegal Software Usage Procedure) (P IT CL 01)
P IT SP 01-00 ชดท 03 หนาท 36 /55
3) หามผใชงานท าการใชงาน ท าซ า หรอเผยแพร รปภาพ บทเพลง บทความ หนงสอ หรอเอกสารใด ๆ ทเปนการละเมดลขสทธ หรอตดตงซอฟตแวรละเมดลขสทธบนระบบเทคโนโลยสารสนเทศของส านกงานฯ โดยเดดขาด
4) เพอทจะใหเกดความแนใจวาเจาหนาทส านกงานฯ มไดละเมดลขสทธโดยไมไดตงใจ หรอพลงเผลอ จงไมควรจะท าส าเนาซอฟตแวรใด ๆ ทตดตงอยในเครองคอมพวเตอรของส านกงาน เพอจดประสงคใด ๆ กตาม โดยทไมไดรบอนญาตจาก ISMR และในขณะเดยวกน เจาหนาทส านกงานฯ ไมควรจะตดตงโปรแกรมใด ๆ ลงในเครองคอมพวเตอรของส านกงาน โดยไมไดรบการอนญาต ทงนเพอทจะใหแนใจวามใบอนญาตทครอบคลมการตดตงดงกลาว
5) ส านกงานฯ ก าหนดใหมการตรวจสอบเครองคอมพวเตอรอยางนอยปละ 2 ครง เพอตรวจดรายการของซอฟตแวรในเครองคอมพวเตอร และเพอใหแนใจวาส านกงาน มใบอนญาตการใชงานส าหรบผลตภณฑซอฟตแวรแตละตวในเครองคอมพวเตอร ถาพบวามซอฟตแวรทไมไดรบอนญาต ซอฟตแวรเหลานนจะถกลบทง และถาหากมความจ าเปน ส านกงานอาจจะมการพจารณาใหน าซอฟตแวรทมใบอนญาตอยางถกตองอนมาใชแทนซอฟตแวรดงกลาวได
8.7 การพจารณาการตรวจสอบระบบสารสนเทศ (Information System Audit Considerations)
วตถประสงค: เพอใหกระบวนการตรวจสอบระบบสารสนเทศทงหมด มผลกระทบนอยทสดตอการด าเนนงานของหนวยงาน
นโยบาย 8.7.1 การวางแผนการตรวจสอบระบบสารสนเทศทงหมด (Information System Audit Controls)
1) ISS ตองวางแผนการตรวจสอบระบบ โดยการตรวจสอบทจะด าเนนการจะตองมผลกระทบตอระบบ และกระบวนการด าเนนงานของหนวยงานนอยทสด
P IT SP 01-00 ชดท 03 หนาท 37 /55
หมวดท 9 ความมนคงปลอดภยส าหรบการสอสารขอมล (Communications Security)
9.1 การการจดการระบบรกษาความปลอดภยระบบเครอขาย (Network Security Management )
วตถประสงค: เพอปองกนขอมลในระบบเครอขาย และปองกนโครงสรางพนฐานทสนบสนนระบบเครอขายของส านกงานฯ
นโยบาย 9.1.1 การควบคมการเขาถงเครอขาย (Network Control)
1) ตองก าหนดหนาทความรบผดชอบ รวมทงวธปฏบตเมอมเหตการณผดปกต หรอการละเมดความปลอดภย และด าเนนการตรวจสอบผกระท าการละเมด
2) การจดท าคมอและขนตอนการปฏบตงานสารสนเทศในหนวยงาน ตองมเนอหาในสวนการใชงานอปกรณเครอขายทสนบสนนความมนคงปลอดภย
3) ตองแบงหนาทความรบผดชอบในการด าเนนงานในสวนทเกยวกบระบบเทคโนโลยสารสนเทศและเครอขายทหนวยงานนนรบผดชอบ
4) ตองบนทกรายละเอยดการเปลยนแปลงแกไขทส าคญและแจงใหหนวยงานอนๆ ทเกยวของทราบ กรณทมการเปลยนแปลงแกไขระบบเครอขาย
5) บรหารจดการกจกรรมทเกยวของใหเหมาะสมและตองมนใจวาสอดคลองกบการควบคมขอมลสารสนเทศทสงผานเครอขายตลอดจนโครงสรางพนฐานของส านกงานฯ ดวย
9.1.2 การความมนคงปลอดภยส าหรบการใชบรการเครอขาย (Security of Network Service)
1) ระบบเครอขายทงหมดของส านกงานฯ ทมการเชอมตอไปยงระบบเครอขายอน ๆ ตองมการใชอปกรณหรอโปรแกรมในการท า Packet Filtering เชน การใช Firewall หรอ ฮารดแวรอน ๆ รวมทงตองมความสามารถในการตรวจจบไวรสดวย
2) ตองจ ากดจ านวนการเชอมตอจากภายนอกเขามายงระบบเครอขายของส านกงานฯ และตองก าหนดใหการเชอมตอเขามายงเครองคอมพวเตอรทก าหนดไวเฉพาะและตดตอกบระบบงานทก าหนดไวเฉพาะเทานน และควรก าหนดใหเครองคอมพวเตอรและระบบงานดงกลาวแยกออกจากระบบเครอขายทเปนสวนทใชงานจรงของส านกงานฯ ทงทางดานกายภาพและทางดาน Logical และตองไมอนญาตใหหนวยงานภายนอกมสทธเขามาใชคอมพวเตอรหรอระบบงานเครอขายส านกงานฯ ได
3) หามผใชงานตดตงโมเดมเขากบเครองคอมพวเตอรของตน หรอตอกบจดใดกตามบนระบบเครอขายของส านกงานฯ โดยไมไดรบอนญาตจาก สสท.
P IT SP 01-00 ชดท 03 หนาท 38 /55
4) หามบคคลภายนอกท าการเชอมตอเครองคอมพวเตอรหรออปกรณใดๆ จากภายนอกเขากบระบบคอมพวเตอรและระบบเครอขายของส านกงานฯ โดยเดดขาด หากมความจ าเปนตองใชงานตองด าเนนการขออนมตอยางเหมาะสมกอนทกครง
5) หามผใชงานตดตงฮารดแวรหรอซอฟตแวรใดๆ ทเกยวของกบการใหบรการเครอขาย ตวอยางเชน Router, Switch, Hub และ Wireless Access Point ฯลฯ โดยไมไดรบอนญาตเดดขาด
6) หามผใชงานทอยบนระบบเครอขายของส านกงานฯ ท าการเชอมตอออกไปยงเครอขายภายนอก ผานทางโมเดมหรออปกรณเชอมตออนในขณะทยงเชอมตออยกบระบบเครอขายภายในส านกงานฯ โดยเดดขาด
9.1.3 การจดแบงเครอขายภายในส านกงานฯ (Segregation in Network)
1) ตองออกแบบระบบเครอขายตามกลมของการบรการระบบเทคโนโลยสารสนเทศและการสอสารทมการใชงาน โดยแบงตามกลมของผใชและกลมของระบบสารสนเทศ โดยแบงเปนโซนภายใน (Internal Zone) และ โซนภายนอก (External Zone) เพอท าใหการควบคม และปองกนการบกรกไดอยางเปนระบบ
2) ตองจดท าแผนผงระบบเครอขาย (Network Diagram) ตองมรายละเอยดเกยวกบขอบเขตของเครอขายภายในและเครอขายภายนอก และอปกรณตาง ๆ พรอมทงปรบปรงใหเปนปจจบนอยเสมอ
9.2 การถายโอนขอมล (Information Transfer )
วตถประสงค: เพอใหมวธการรกษาความมนคงปลอดภยของสารสนเทศ ทมการถายโอนขอมลกนภายในองคกร และถายโอนขอมลกบภายนอกหนวยงาน
นโยบาย 9.2.1 นโยบายและขนตอนปฎบตส าหรบการถายโอนสารสนเทศ (Information Transfer Policies and
Procedures) 1) ตองมการจดท านโยบาย ขนตอนปฏบต หรอมาตรการส าหรบการถายโอนสารสนเทศอยางเปน
ทางการและมการปฏบตตามเพอปองกนสารสนเทศทมการถายโอนกบหนวยงานภายนอก 2) ตองมการด าเนนการแลกเปลยนสารสนเทศ โดยปฏบตตามคมอการปฏบตงานเรองการแลกเปลยน
สารสนเทศ (Information Exchange Procedure) (P IT CO 04)
9.2.2 ขอตกลงส าหรบการถายโอนสารสนเทศ (Agreements on Information Transfer) 1) ตองมการจดท าขอตกลงในการแลกเปลยนขอมล โดยปฏบตตามคมอการปฏบตงานเรองการ
แลกเปลยนสารสนเทศ (Information Exchange Procedure) (P IT CO 04)
P IT SP 01-00 ชดท 03 หนาท 39 /55
9.2.3 การรกษาความมนคงปลอดภยการสงขอความอเลกทรอนกส (Electronic Messaging) 1) ตองมการก าหนดวธการปองกนการเขาถงขอมลอเลกทรอนกสรวมถงการจดสงขอมล
อเลกทรอนกสผานระบบเครอขาย
9.2.4 การรกษาความลบหรอขอตกลงการไมเปดเผยขอมล (Confidentiality or Non-Disclosure Agreements)
1) ตองมการจดท าขอตกลง หรอสญญาการรกษาความลบ หรอขอตกลงการไมเปดเผยขอมล (Non Disclosure Agreement : NDA) ซงเปนไปตามความตองการดานการปองกนขอมลของส านกงานฯ และมการทบทวนอยางสม าเสมอ
2) พนกงาน บคคล หรอผตดตอจากหนวยงานอน ทมสวนตองเขาถงสารสนเทศของ ส านกงานฯ ตองจดใหมการลงนามในสญญาระหวาง “เจาหนาท” และ “ผตดตอ” วาจะไมเปดเผยความลบของหนวยงาน (Non Disclosure Agreement: NDA)
P IT SP 01-00 ชดท 03 หนาท 40 /55
หมวดท 10 การจดหา พฒนา และดแลระบบสารสนเทศ (Systems Acquisition, Development and Maintenance)
10.1 การก าหนดความตองการดานความมนคงปลอดภยส าหรบระบบสารสนเทศ (Security Requirements of Information Systems)
วตถประสงค: เพอใหแนใจวามการสรางความปลอดภยสารสนเทศใหกบระบบสารสนเทศ ตลอดวงจรการพฒนาระบบ ซงรวมถงความตองการดานความปลอดภยสารสนเทศทใหบรการผานเครอขายสาธารณะ
นโยบาย 10.1.1 การก าหนดความตองการดานความมนคงปลอดภย (Information Security Requirements Analysis and
Specification) ตองก าหนดความตองการดานความมนคงปลอดภยไวอยางชดเจนในระบบทจะพฒนาขนมาใชงาน หรอซอมา
ใชงาน 1) หนวยงานดแลระบบเทคโนโลยสารสนเทศ จะตองท าการวเคราะหระบบเทคโนโลยสารสนเทศ วามความ
เสยงใดบางทจะท าใหขอมลเกดความเสยหาย โดยมงเนนในสวนตาง ๆ ดงน
- มาตรการปฏบตกอนทจะเกดความเสยหาย เชน การส ารองขอมล ระบบเครอขายส ารอง เปนตน
- มาตรการปฏบตหลงจากเกดความเสยหาย เชน แผนการกคนขอมล ระยะเวลาในการกคนขอมล เปนตน
10.1.2 ความมนคงปลอดภยของบรการสารสนเทศบนเครอขายสาธารณะ (Securing application services on public networks)
1) สารสนเทศทเกยวของกบการบรการสารสนเทศทมการสงผานเครอขายสาธารณะ ตองไดรบการปองกน และการเปดเผย หรอเปลยนแปลงขอมลโดยไมไดรบอนญาต
10.1.3 การปองกนธรกรรมของบรการสารสนเทศ (Protecting application services transactions) 1) สารสนเทศทเกยวของกบธรกรรมของบรการสารสนเทศ ตองไดรบการปองกนจากการรบสงขอมลทไม
สมบรณ การสงขอมลผดเสนทาง การเปลยนแปลงขอความโดยไมไดรบอนญาต การเปดเผยขอมลโดยไมไดรบอนญาต การสงขอมลซ าโดยไมไดรบอนญาต
P IT SP 01-00 ชดท 03 หนาท 41 /55
10.2 ความมนคงปลอดภยส าหรบกระบวนการในการพฒนาระบบ (Security in Development and Support Processes)
วตถประสงค: เพอใหมนใจไดวามระบบสารสนเทศมความมนคงปลอดภย ครอบคลมทงวงจรการพฒนาระบบสารสนเทศ (development lifecycle)
นโยบาย 10.2.1 นโยบายการพฒนาระบบใหมความมนคงปลอดภย (Secure development policy)
1) ตองมการก าหนดหลกเกณฑส าหรบการพฒนาซอฟตแวร และมการปฏบตตามนโยบายหรอขอก าหนดทองคกรก าหนดขนมา เชน การพฒนาซอฟตแวรควรค านงความปลอดภยในทกขนตอนของการพฒนา และนกพฒนา (Deleloper) ควรมความสามารถในการหลกเลยงไมใหโปรแกรมทพฒนาตรวจพบชวงโหว และตองสามารถแกไขชองโหวทตรวจพบได
10.2.2 กระบวนการในการควบคมการเปลยนแปลงแกไขซอฟตแวร (System Change Control Procedures)
1) ผพฒนาระบบสารสนเทศตองมกระบวนการเพอควบคมการเปลยนแปลงแกไขซอฟตแวรส าหรบระบบสารสนเทศทใชงานจรง หรอใหบรการอยแลว เชน
- ค าขอใหแกไขตองมาจากผทมสทธ
- ตองมการอนมตค าขอโดยผมอ านาจ
- ตองมการควบคมผลขางเคยงทอาจเกดขนหลงจากมการแกไข
- เมอแกไขเสรจแลวตองมการตรวจรบจากผมอ านาจ
- ตองเกบรายละเอยดของค าขอไว เปนตน โดยปฏบตตามวธปฎบตงานเรอง การจดการเปลยนแปลงระบบสารสนเทศ (Change Management
Work Instruction) (W IT CO 08) 10.2.3 การตรวจสอบซอฟตแวรหลงจากการเปลยนแปลงระบบปฏบตการ (Technical Review of Applications
After Operating Platform Changes) 1) เมอระบบปฏบตการมการแกไขหรอเปลยนแปลง ผพฒนาระบบสารสนเทศจะตองตรวจสอบและทดสอบ
ซอฟตแวรตาง ๆทใชงานวาไมมผลกระทบตอการท างานและความมนคงปลอดภย 10.2.4 การควบคมการเปลยนแปลงของซอฟตแวรส าเรจรป (Restrictions on Changes to Software Packages)
1) เมอมการใชงานซอฟตแวรส าเรจรปตองมการควบคมการเปลยนแปลงเทาทจ าเปน และการเปลยนแปลงทงหมดจะตองถกทดสอบและจดท าเปนเอกสารเพอใหสามารถน ามาใชงานไดเมอมการปรบปรงซอฟตแวรในอนาคต
P IT SP 01-00 ชดท 03 หนาท 42 /55
10.2.5 หลกการวศวกรรมระบบดานความมนคงปลอดภย (Secure system engineering principles) 1) เพอใหเกดความมนคงปลอดภยทางดานวศวกรรมระบบ ตองมการก าหนดขนมาเปนลายลกษณอกษร โดย
มการปรบปรงอยางตอเนอง และมการประยกตใชกบงานพฒนาระบบ
10.2.6 สภาพแวดลอมของการพฒนาระบบทมความมนคงปลอดภย (Secure development environment) 1) สสท. ตองมการจดท าหรอปองกนสภาพแวดลอมในการท างานตางๆ ใหมความเหมาะสมและปลอดภย ทง
การพฒนาและปรบปรงระบบเพมเตมตลอดวงจรชวตของการพฒนาระบบ
10.2.7 การจางหนวยงานภายนอกเพอพฒนาระบบงาน (Outsourced Development) 1) ในการท าสญญาวาจางการพฒนาระบบของส านกงานฯ ตองมความชดเจนและครอบคลมถงสญญา
ทางดานลขสทธซอฟตแวร การใชระบบ การตรวจสอบระบบ โดยละเอยดกอนตดตงใชงานจรง รวมถงการรบรองคณภาพของระบบ และการก าหนดขอบเขตในการจางพฒนาระบบ
10.2.8 การทดสอบดานความมนคงปลอดภยของระบบ (System security testing)
1) โปรแกรมหรอระบบทพฒนาขนมา ควรมการทดสอบคณสมบตดานความมนคงปลอดภย โดยตองมการทดสอบอยในชวงระหวางการพฒนา
10.2.9 การทดสอบเพอรบรองระบบ (System acceptance testing) 1) มการจดท าแผนการทดสอบหรอเกณฑทเกยวของเพอรบรองระบบ โดยตองมการจดท าทงส าหรบระบบ
ใหม และระบบทปรบปรง 2) ตองจดใหมเกณฑในการยอมรบระบบใหม ระบบทจดซอเขามาใชงาน หรอทรพยากรสารสนเทศอน ๆ กอน
การใชงาน รวมทงตองจดท าเอกสาร Checklist หวขอทท าการทดสอบระบบกอนทจะตรวจรบระบบนน และใหมการเซนชอเจาหนาทท าการทดสอบและลายเซนผสงมอบ โดยปฏบตตามเอกสารวธปฏบตงานเรองการจดการการยอมรบระบบ (System Acceptance) (W IT CO 03)
10.3 ขอมลส าหรบการทดสอบ (Test data)
วตถประสงค: เพอใหมการปองกนขอมลทน ามาใชในการทดสอบ
นโยบาย 10.3.1 การปองกนขอมลส าหรบการทดสอบ (Protection of Test Data)
1) ขอมลจรงทจะน าไปใชในการทดสอบระบบ จะตองไดรบอนญาตจากผรบผดชอบในการรกษาขอมลนน ๆ กอน เมอใชงานเสรจจะตองท าการลบขอมลจรงออกจากระบบทดสอบทนท และท าการบนทกไวเปนหลกฐานวาไดน าขอมลจรงไปใชในการทดสอบอะไรบาง รวมถงวน เวลา และหนวยงานททดสอบ แจงไปยงผรบผดชอบในการรกษาขอมลนนอกครง
P IT SP 01-00 ชดท 03 หนาท 43 /55
หมวดท 11 ความสมพนธกบผใหบรการภายนอก (Supplier relationships)
11.1 ความมนคงปลอดภยสารสนเทศกบความสมพนธกบผใหบรการภายนอก (Information security in supplier relationships)
วตถประสงค: เพอใหมการปองกนสนทรพยขององคกร ทมการเขาถงโดยผใหบรการภายนอก
นโยบาย 11.1.1 นโยบายความมนคงปลอดภยสารสนเทศดานความสมพนธกบผใหบรการภายนอก (Information security
policy for supplier relationships) 1) หนวยงานจะตองก าหนดใหมการจดท าขอก าหนด หรอสญญารวมกนระหวางหนวยงานกบผใหบรการ
ภายนอก และตองจดท าเปนลายลกษณอกษร โดยปฏบตตามวธปฏบตงานเรองการใหบรการของหนวยงานภายนอก (Third Party Service Delivery Management) (W IT CO 01)
11.1.2 การระบความมนคงปลอดภยในขอตกลงการใหบรการภายนอก (Assessing security within supplier
agreements) 1) ISM และเจาหนาท สสท. ตองระบและจดท าขอก าหนด ขอตกลง หรอสญญารวมกนระหวาง
หนวยงานกบผใหบรการภายนอก ทเกยวของกบความมนคงปลอดภยส าหรบสารสนเทศ ตองปฏบตตามวธปฏบตงานเรองการใหบรการของหนวยงานภายนอก (Third Party Service Delivery Management) (W IT CO 01) เมอมความจ าเปนตองใหผใหบรการภายนอกนน เขาถงสารสนเทศหรออปกรณประมวลผลสารสนเทศของส านกงานฯ และกอนทจะอนญาตใหสามารถเขาถงได ผใหบรการภายนอกตองปฏบตตามวธปฏบตงานเรองการลงทะเบยนใชงานระบบสารสนเทศ (W IT AC 02)
11.1.3 หวงโซของการใหบรการเทคโนโลยสารสนเทศและการสอสารโดยผใหบรการภายนอก (Information
and communication technology supply chain) 1) ขอตกลงกบผใหบรการภายนอก ตองรวมถงความตองการเรองการระบความเสยงอนเกดจากหวง
โซของการใหบรการเทคโนโลยสารสนเทศและการสอสาร โดยผใหบรการภายนอกตองปฏบตตามวธปฏบตงานเรองการใหบรการของหนวยงานภายนอก (Third Party Service Delivery Management) (W IT CO 01)
P IT SP 01-00 ชดท 03 หนาท 44 /55
11.2 การบรหารจดการ การใหบรการโดยผใหบรการภายนอก (Supplier service delivery management)
วตถประสงค: เพอใหมการรกษาไวซงระดบความมนคงปลอดภย และระบบการใหบรการตามทตกลงกนไวในขอตกลงการใหบรการ ของผใหบรการภายนอก
นโยบาย
11.2.1 การตดตามและทบทวนบรการของผใหบรการภายนอก (Monitoring and review of Supplier Services)
1) ส านกงานฯ ตองจดท าขอตกลง ก าหนดสทธส าหรบส านกงานฯ ทจะตรวจสอบสภาพแวดลอมการท างาน รวมทงการตรวจสอบการท างานของหนวยงานภายนอก โดยพจารณาจากสญญาจดซอจดจางของหนวยงานภายนอก
2) ตองมการทบทวนตดตามและตรวจประเมนการใหบรการของผใหบรการภายนอกอยางสม าเสมอ
11.2.2 การบรหารจดการ การเปลยนแปลงบรการของผใหบรการภายนอก (Managing Chages to Supplier Services)
1) การเปลยนแปลงรายละเอยดการใหบรการของหนวยงานภายนอก ทเกยวของกบบรการดานสารสนเทศของส านกงานฯ ทกครง ตองเปนไปตามเอกสารวธปฏบตงานเรองการใหบรการของหนวยงานภายนอก (Third Party Service Delivery Management) (W IT CO 01)
2) การเปลยนแปลงตอการใหบรการของผใหบรการภายนอกรวมทงการปรบปรงนโยบาย ขนตอนการปฏบตและมาตรการทใชอยในปจจบนตองมการบรหารจดการ โดยตองน าระดบความส าคญของสารสนเทศ และกระบวนการทางธรกจทเกยวของมาพจารณาดวย และตองมการทบทวนการประเมนความเสยงใหม
P IT SP 01-00 ชดท 03 หนาท 45 /55
หมวดท 12 การบรหารจดการเหตการณดานความมนคงปลอดภยสารสนเทศ (Information Security Incident Management)
12.1 การบรหารจดการเหตการณความมนคงปลอดภยสารสนเทศและการปรบปรง (Management of information security incidents and improvements)
วตถประสงค: เพอใหเหตการณและจดออนทเกยวของกบความมนคงปลอดภยตอระบบสารสนเทศของส านกงาน ไดรบการด าเนนการทถกตองในชวงระยะเวลาทเหมาะสม
นโยบาย 12.1.1 หนาทความรบผดชอบและขนตอนปฏบต (Responsibilities and Procedures)
1) ISS (บรหารจดการเหตการณดานความมนคงปลอดภยสารสนเทศ) ตองก าหนดหนาทความรบผดชอบและขนตอนปฏบต เพอรบมอกบเหตการณทเกยวของกบความมนคงปลอดภยของหนวยงานและขนตอนดงกลาวตองมความรวดเรว ไดผล และมความเปนระบบระเบยบทด
12.1.2 การรายงานเหตการณทเกยวของกบความมนคงปลอดภย (Reporting Information Security Events)
1) ผใชงานตองรายงานเหตการณทเกยวของกบความมนคงปลอดภยของส านกงานฯ โดยผานชองทางรายงานทก าหนดไว และ ISS (บรหารจดการเหตการณดานความมนคงปลอดภยสารสนเทศ) จะตองด าเนนการอยางรวดเรวทสดเทาทจะท าได โดยปฏบตตามเอกสารวธปฏบตงานเรองการบรหารจดการเหตการณดานความม นคงปลอดภยสารสนเทศ ( Information Security Incident Management Procedure) (W IT IM 01)
2) ผใชงานและบคคลภายนอกทกคนมหนาทรายงานเหตละเมดความมนคงปลอดภย จดออน หรอการกระท าทไมเหมาะสมใด ๆ ทเกดขน หรอตองสงสยวาเกดขนภายในส านกงานฯ ตอผบงคบบญชา หรอหนวยงานจดการความปลอดภย (Security Management) ทนททพบเหต เพอใหสามารถด าเนนการแกไขปญหาไดอยางทนทวงท
3) ผใชงานทพบหรอรบทราบถงการท างานทผดปกต ขอผดพลาด หรอจดออนของซอฟตแ วร ตองรายงานตอ ISS (บรหารจดการเหตการณดานความมนคงปลอดภยสารสนเทศ) ทนท
4) ผใชงานทพบวาฮารดแวรหรออปกรณใด ๆ เกดความเสยหาย หรอท างานผดปกต ตองรายงานตอ ISS (บรหารจดการเหตการณดานความมนคงปลอดภยสารสนเทศ) ทนท
5) ผใชงานและบคคลภายนอกทพบเหตละเมดความมนคงปลอดภยหรอจดออนใด ๆ ในส านกงานฯ ตองไมบอกเลาเหตการณทเกดขนกบผอ น ยกเวน ผ บงคบบญชา หนวยงานจดการความปลอดภย (Security Management) และหามท าการพสจนขอสงสยเกยวกบจดออนดานความมนคงปลอดภยนนดวยตนเอง
6) การกระท าอน ๆ ทถอเปนขอหามของส านกงานฯ มดงน
P IT SP 01-00 ชดท 03 หนาท 46 /55
- การกระท าใดๆ ทกฎหมายบญญตวาเปนความผด ตลอดจนการกระท าในลกษณะอนๆ ทกลาวถงดานลางน ถอเปนขอหามของส านกงานฯ ไมยนยอมใหพนกงานด าเนนการโดยเดดขาด ทงนส านกงานฯ มไดเขยนระบถงขอหามทงหมดทหามกระท าไว แตเขยนเพอเปนแนวทางใหแกผใชงานไดรบทราบเทานน
หมายเหต: เจาหนาทบางสวนอาจไดรบยกเวนจากขอหามบางขอทกลาวไวดานลางน (ตราบเทาทไมขดตอกฎหมาย) หากเปนการด าเนนการตามหนาททไดรบมอบหมาย เชน ผดแลระบบสามารถระงบการเขาถงระบบเครอขายของอปกรณใด ๆ หากการเขาถงนนรบกวนการท างานของระบบเทคโนโลยสารสนเทศ
- การใชงานทรพยากรของ ส านกงาน ฯ เพอการจดหาหรอสงตอ วสด เอกสาร หรอรปภาพลามกอนาจาร หรอทขดตอกฎหมาย
- การฉอโกงโดยใช User ID และรหสผานทส านกงาน ฯ ก าหนดให เพอเสนอขายสนคาหรอบรการใด ๆ
- การพยายามลวงละเมดความมนคงปลอดภย หรอรบกวนการท างานของระบบเครอขาย ตวอยางของการลวงละเมดความมนคงปลอดภย ไดแก การเขาถงขอมลหรอเครองคอมพวเตอรแมขายทตนไมไดรบอนญาต เปนตน สวนตวอยางของการรบกวนการท างานของระบบเครอขาย ไดแก Sniffing, Pinged Floods, Pack Spoofing, Denial of Service และ Forged Routing Information ดวยเจตนามงราย เปนตน
- การใชงาน Bandwidth จ านวนมากโดยเฉพาะอยางยงการใชงานโปรแกรมประเภท P2P File Sharing
- การท า Port Scanning และ Security Scanning เวนแตเปนการด าเนนการตามหนาททไดรบมอบหมาย
- การดกฟงหรอดกจบขอมลทพนกงานไมไดรบอนญาตใหรบรดวยวธการใด ๆ เวนแตเปนการด าเนนการตามหนาททไดรบมอบหมาย
- การคนหาจดบกพรองของระบบ เพอท าการเขาถงขอมลหรอระบบโดยไมไดรบอนญาต
- การหลบเลยงการพสจนตวตนผใชงานหรอมาตรการดานความมนคงปลอดภยของคอมพวเตอร ระบบเครอขายใด ๆ
- การใชโปรแกรม/สครปต/ค าสง หรอการสงขอความใด ๆ โดยมเจตนารบกวน ลดประสทธภาพการใหบรการ หรอระงบการใชงานของผใชงาน ทงโดยผานระบบภายใน หรอผานระบบเครอขายตาง ๆ
- การใหขอมลลบเกยวกบรายชอพนกงาน รายชอลกคา ความลบของส านกงานฯ และขอมลลบอน ๆ แกบคคลภายนอก
P IT SP 01-00 ชดท 03 หนาท 47 /55
- การขมขคกคคามทกรปแบบผานอเมล โทรศพท หรอระบบสงขอความ ไมวาจะดวยภาษา ความถ หรอขนาดของขอความการแสดงความคดเหน หรอสงขอความใด ๆ ทไมเกยวของกบการท างานไปหาบคคลจ านวนมาก (Newsgroup Spam)
- การละเมดสทธสวนบคคล ลขสทธของส านกงานฯ ความลบของส านกงานฯ สทธบตร ทรบพยสนทางปญญา หรอกฎหมายอนใด
12.1.3 การรายงานจดออนทเกยวของกบความมนคงปลอดภย (Reporting Information Security
Weaknesses) 1) ISS (บรหารจดการเหตการณดานความมนคงปลอดภยสารสนเทศ) ตองบนทกและรายงาน
จดออนทเกยวของกบความมนคงปลอดภยของส านกงานฯ ทสงเกตพบหรอเกดความสงสยในระบบหรอบรการทใชงานอย
12.1.4 การประเมนและตดสนใจตอสถานการณความมนคงปลอดภยสารสนเทศ (Assessment of and
decision on information security events) 1) สถานการณความมนคงปลอดภยสารสนเทศตองมการประเมนและตองมการตดสนวาสถานการณ
นนถอเปนเหตการณความมนคงปลอดภยสารสนเทศหรอไม 12.1.5 การตอบสนองตอเหตการณความมนคงปลอดภยสารสนเทศ (Response to information security
incidents) 1) ISS ตองมการก าหนดขนตอนไวรองรบกรณเกดเหตการณทประเมนแลววากอใหเกดความไมมนคง
ปลอดภย 2) เมอเกดเหตการณความมนคงปลอดภยสารสนเทศตองไดรบการตอบสนองเพอจดการกบปญหา
ตามขนตอนปฏบตทจดท าไวเปนลายลกษณอกษร
12.1.6 การเรยนรจากเหตการณทเกยวของกบความมนคงปลอดภย (Learning from Information Security Incidents)
1) ISS (บรหารจดการเหตการณดานความมนคงปลอดภยสารสนเทศ) ตองบนทกเหตการณละเมดความมนคงปลอดภย โดยอยางนอยจะตองพจารณาถงประเภทของเหตการณปรมาณทเกดขนและคาใชจายเกดขนจากความเสยหาย เพอจะไดเรยนรจากเหตการณทเกดขนแลวและเตรยมการปองกนทจ าเปนไวลวงหนา
P IT SP 01-00 ชดท 03 หนาท 48 /55
12.1.7 การเกบรวบรวมหลกฐาน (Collection of Evidence) 1) ISS (บรหารจดการเหตการณดานความมนคงปลอดภยสารสนเทศ) ตองรวบรวมและจดเกบ
หลกฐานตามกฎ หรอหลกเกณฑส าหรบการเกบหลกฐานอางองในกระบวนการทางศาลทเกยวของ เมอพบวาเหตการณทเกดขนนนมความเกยวของกบการด าเนนการทางกฎหมายแพงหรออาญา
P IT SP 01-00 ชดท 03 หนาท 49 /55
หมวดท 13 ประเดนดานความมนคงปลอดภยสารสนเทศของการบรหาร จดการ เพอสรางความตอเนองทางธรกจ (Information security -aspects of business continuity management)
13.1 ความตอเนองดานความมนคงปลอดภยสารสนเทศ (Information security continuity)
วตถประสงค: เพอปองกนการหยดชะงกในการด าเนนงานของส านกงานฯ ทเปนผลมาจากความลมเหลวหรอการหยดท างานของระบบ
นโยบาย 13.1.1 การวางแผนความตอเนองดานความมนคงปลอดภยสารสนเทศ (Planning information security
continuity) 1) องคกรตองก าหนดความตองการดานความมนคงปลอดภยสารสนเทศ และดานความตอเนอง
ในสถานการณความเสยหายทเกดขน เชน ในชวงทเกดวกฤตหรอภยพบต 2 ) I SS (บรห า ร จดก า ร แผนส ร า ง ค ว ามตอ เ น อ ง ใ หกบ ธ ร ก จ ) ต อ ง จดท า แนวทา ง
ปฏบต ใ นกา รจดท า แผนรอ งรบ เ หตก า รณฉ ก เ ฉน ขอ งร ะบบ เทค โน โลยส า รสน เทศ ควร พจารณา ด งน
- การ เตร ยมความพรอม เ พ อปอ งกนและลดโอกาสท จ ะ เกด เหตการณท ก อ ให เกดความเส ยหายและมผลกระทบตอการด า เนน งานของ ส านกงานฯ และการใหบร การด าน เทคโนโลยสารสนเทศส านกงานฯ
- กา รต อบสน องตอ ส ถ าน กา ร ณฉ ก เ ฉน เ พ อ ค ว บคม และจ า กด ข อบ เ ข ตขอ งค ว า ม เ ส ย ห า ย เ ชน ก า ห น ด แ น ว ท า ง ก า ร ค ว บ คม ก า ร แ ก ไ ข ส ถ า น ก า ร ณฉ ก เฉน เปนตน
- การด า เนนการ เ พ อ ให ส านกงานฯ สามารถด า เนน ง าน เปน ไป ไดอย า งตอ เน อ ง เ ช น ก า ร ส า ร อ ง ขอ มล แ ล ะ อป ก ร ณส า ค ญ ก า ร ก ร ะ บ บ ง า น แ ล ะ ขอ มล ทเ ส ยหาย เปนตน
- กา ร ก ลบ คน ส ก า ร ท า ง า น ป ก ต เ พ อ ใ หก า ร ด า เ นน ง า น ส า นก ง า น ฯ ก ลบ สสภ าวะปกต เ ชน การก าหนดแนวทางการ ฟนฟค ว าม เส ยหาย ใหกลบ เ ข า สการปฏบต ง านตามปกต เปนตน
P IT SP 01-00 ชดท 03 หนาท 50 /55
13.1.2 การปฏบตเพอเตรยมการสรางความตอเนองดานความมนคงปลอดภยสารสนเทศ ( Implement information security continuity )
1) ส านก ง านฯ ตอ งจดต ง I SS (บรห า รจดการแผนสร า งคว ามตอ เน อ ง ใหก บธ ร ก จ ) ของระบบ เทค โน โ ลยส า รสน เทศ ซ ง ป ระกอบ ไปด ว ย ต ว แทนจากหน ว ย ง านเจ าของขอมล เจ าของระบบงาน หน วยงานท ด แลขอมล เปนตน
2 ) I SS (บรหารจดการแผนสร างความตอ เน อง ใหกบธ รก จ ) ต อ งจดท าแผนรองรบ เหตการณฉ ก เฉนของระบบเทคโนโลยส ารสน เทศ ท เ ปนลายลกษณอ กษร และปรบ ปร งแก ไขใหทนสมยอย เ สมอ รวมถ งการจด ใหม การทดสอบแผนอย า งนอยปละหน งคร ง โดยปฏบต ตามเอกสารค ม อการปฏบต ง าน เ ร อ งการจดท าแผนการบรหารความตอ เน อ ง ใหกบ ธ ร ก จ (Bus iness Cont inu i ty P lans Development and Execut ion Procedure ) (P IT BC 01)
13.1.3 การตรวจสอบ ทบทวน และการประเมนความตอเนองดานความมนคงปลอดภยสารสนเทศ (Verify, review and evaluate information security continuity)
1) I SS (บรหารจดการแผนสร า งความตอ เน อ ง ใหกบธ รก จ ) ต อ งก าหนด เวลาการทดสอบแผน ก าหนดการทดสอบแผนฉก เฉนท ช ด เจน รวมถ งก าหนดระยะ เวลาท ใ ชในการทดสอบต งแต เ ร มตน จนส นส ดกระบวนการทดสอบ
2 ) I SS (บรหารจดการแผนสร างความตอ เน อง ใหกบธ รก จ ) ต องก าหนด เหตการณจ า ล อ งท จ ะ ใ ชทดสอบแ ละร ายละ เ อ ย ด ใ นก า รก า หนดร า ยละ เ อ ย ดข อ ง เหตก า ร ณจ า ล อ ง ค ว ร ร ะบ ว ต ถป ร ะ ส ง ค ข อบ เ ข ตขอ ง ร ะบบ ง า น ห รอ ก ร ะบว นก า รท า ง าน ทเ ก ย ว ขอ ง กบ ก า รทดสอบ แผนท ง หมด ร วมถ ง ก า ร ก า หน ดข น ตอน กา รทด สอบแผ นฉก เฉน
3 ) I SS (บรหารจดการแผนสร างความตอ เน อง ใหกบธ รก จ ) ต องก าหนดทรพยากรต า ง ๆ ท ใ ช ใ น ก า ร ท ด ส อบ แ ผ น ฉก เ ฉน ก า ห น ด ผ ร บ ผด ช อ บ ท จ ะ ท า ห น า ท ค ว บ คม ประสานงาน และรบผดชอบในการจดการทดสอบแผนฉก เฉน รวมถ งสถานท และอปกรณ เคร องมอต า งๆ และงบประมาณท ต อง ใชด วย
4 ) I SS (บรหารจดการแผนสร า งความตอ เน อ ง ใ หกบธ รก จ ) ต อ งก าหนดแผนงาน แนวทาง และระยะ เ วลา ในการทบทวนและปรบปร งแผนอย า งชด เจน เ พ อ ให แผนน นมความทนสมย และเหมาะสมกบสถานการณป จจบน
P IT SP 01-00 ชดท 03 หนาท 51 /55
13.2 การเตรยมอปกรณประมวลผลส ารอง (Redundancies)
วตถประสงค: เพอจดเตรยมสภาพความพรอมใชงานของอปกรณประมวลผลสารสนเทศ
นโยบาย 13.2.1 สภาพความพรอมใชงานของอปกรณประมวลผลสารสนทศ (Availability of information
processing facilities) 1) อปกรณประมวลผลสารสนเทศตองมการเตรยมการส ารองไวอยางเพยงพอ เพอใหตรงตาม
ความตองการดานสภาพความพรอมใชทก าหนด
P IT SP 01-00 ชดท 03 หนาท 52 /55
หมวดท 14 การปฏบตตามขอก าหนดทางดานกฎหมาย และบทลงโทษของการละเมดนโยบายความมนคงปลอดภยสารสนเทศของหนวยงาน (Compliance)
14.1 การปฏบตตามขอก าหนดดานกฎหมายและในสญญาจาง (Compliance with Legal and Contractual Requirements)
วตถประสงค: เพอหลกเลยงการฝาฝนกฎหมายทงทางอาญาและทางแพง พระราชบญญต ระเบยบขอบงคบรวมทงสญญาตาง ๆ
นโยบาย 14.1.1 การระบขอก าหนดและความตองการในสญญาจางในการใชงานระบบสารสนเทศ (Identification
of Applicable Legislation and Contractual Requirements) 1) ส านกงานฯ ตองมการศกษาและก าหนดรายการของนโยบาย กฎ ระเบยบขอบงคบ กฎหมาย หรอ
สญญาทเกยวของกบการใชงานเทคโนโลยสารสนเทศและการสอสารของหนวยงาน 2) เจาหนาทส านกงานฯ เจาหนาทส านกงานฯ ทกคนตองรบทราบ ท าความเขาใจ และปฏบตตาม
รายการของนโยบาย กฎ ระเบยบขอบงคบ กฎหมาย หรอสญญาทเกยวของกบการใชงานเทคโนโลยสารสนเทศและการสอสารทก าหนดขนอยางเครงครด โดยปฏบตตามเอกสารคมอการปฏบตงานเรองการตรวจสอบกบกฎหมาย IT (W IT CL 02) และมรายการดงตอไปนเปนอยางนอย
- นโยบายการรกษาความมนคงดานเทคโนโลยสารสนเทศและการสอสาร
- พ.ร.บ. วาดวยการกระท าความผดเกยวกบคอมพวเตอร
- พ.ร.บ. ธรกรรมทางอเลกทรอนกส
- พ.ร.ฎ. ก าหนดหลกเกณฑและวธการในการท าธรกรรมทางอเลกทรอนกสภาครฐ
- พ.ร.บ. ลขสทธ 3) ขอมลทถกสราง เกบรกษา หรอสงผานระบบเทคโนโลยสารสนเทศของส านกงานฯ ถอเปน
สนทรพยของส านกงานฯ (ยกเวน ขอมลทเปนสนทรพยของลกคา หรอบคคลภายนอกรวมถงซอฟตแวร หรอวสดอน ๆ ทไดรบการคมครองโดยสทธบตร หรอลขสทธของบคคลภายนอก) ทงนส านกงานฯ สามารถเปดเผยหรอใชงานขอมลเหลานเปนหลกฐานในการสบสวนความผดตาง ๆ โดยไมจ าเปนตองแจงใหผใชงานทราบลวงหนา
4) เพอวตถประสงคในการบรหารจดการและรกษาความมนคงปลอดภยของระบบเทคโนโลยสารสนเทศของส านกงานฯ และขอสงวนสทธในการตรวจสอบการใชงานเครองคอมพเตอร ระบบคอมพวเตอร และระบบเครอขายของผใชงานเพอใหมนใจวามการใชงานตรงตามทนโยบายตาง ๆ ของส านกงานฯ ก าหนดไว
P IT SP 01-00 ชดท 03 หนาท 53 /55
5) ส านกงานฯ ขอสงวนสทธในการเขาถง ทบทวน และตรวจสอบอเมลของผใชงาน โดยไมจ าเปนตองแจงใหทราบลวงหนา อยางไรกตามส านกงานฯ จะด าเนนการตร วจสอบด ง กล า วตอ เ ม อมค ว ามจ า เปน เท าน น และจะ ไม เ ป ด เ ผยขอมล ใดๆ ของผ ใ ช ง าน เ วนแต เปนการ เปด เ ผยตามค าส งศาลตามบทบ งคบของกฎหมาย หรอด วยความยนยอมจากผ ใช ง าน เท าน น
6) ห าม เจาหนาทส านกงานฯ ใชงานสนทรพยและระบบเทคโนโลยสารสนเทศของส านกงานฯ กระท าการใดๆ ทขดแยงตอกฎหมายแหงราชอาณาจกรไทยและกฎหมายระหวางประเทศ ไมวาโดยกรณใดกตาม
7) การสงซอฟตแวร ขอมลลบ ซอฟตแวรการเขารหส หรอเทคโนโลยใดๆ ออกนอกประเทศ ไมขดตอขอกฎหมายใดๆ ทงของราชอาณาจกรไทย ระหวางประเทศ และของประเทศปลายทาง ทงนผใชงานตองปรกษาผบงคบบญชา และผเชยวชาญดานกฎหมายกอนด าเนนการสงออก
14.1.2 สนทรพยทางปญญา (Intellectual Property Rights)
1) ส า นก ง า น ตอ ง ป ฏบต ต า ม ขอ ก า ห น ด ท า ง ลข สท ธ ( Copyr i ght ) ใ น ก า ร ใ ช ง า น สนทรพยทางปญญาท หน วยงานจดหามาใช งาน และตองระมดระว งท จะไมละ เม ด
2 ) ส านกงานตองปฏบต ต ามขอก าหนดท ร ะบ ไ ว ในลขสทธ ก าร ใช ง านซอฟตแวร อย า งเคร งครด (Software Copyr i ght ) รวมท งต อ งมการควบคมการ ใช ง านซอฟตแวรต ามลขสทธ ท ได ร บด วย ได แก การลงทะ เบยน เ พ อ ใช ง านซอฟตแวรต อ ง เกบหลกฐานแสดงคว าม เปน เ จ า ของลขสทธ ต ร วจสอบอย า งสม า เ สมอว า ซอฟตแ ว ร ท ต ด ต ง ม ล ขสทธ ถ ก ต อ ง ห รอ ไ มต า ม ค ม อ ก า ร ป ฏบต ง า น เ ร อ ง ก า ร ต ร ว จ ส อ บ ก า ร ใ ชซ อ ฟ ตแ ว รท ล ะ เ มดสนทรพยทางปญญา (Mon i to r ing o f i l lega l Sof tware Usage Procedure ) (P IT CL 01 )
3 ) ห ามผ ใ ช ง าน ด า เ นนการท า ซ า ห รอ เ ผยแพร รปภาพ บท เพลง บทความ หน ง ส อ หร อ เอกสารใดๆ ท เปนการละเมดล ขสทธ หร อตดต งซอฟตแวร ละ เมดล ขสทธ บนระบบเทคโนโลยสารสนเทศของส าน กงานฯ โดยเดดขาด
4 ) เ พ อท จ ะ ให เ ก ดความแน ใ จว า เ จ าหน าท ส า น ก ง านฯ ม ไ ด ล ะ เมดล ขสท ธ โ ดย ไม ไ ดต ง ใ จ ห ร อ พ ล ง เ ผ ล อ จ ง ไ ม ค ว ร จ ะ ท า ส า เ น า ซ อ ฟ ตแ ว ร ใ ด ๆ ท ต ด ต ง อ ย ใ น เ ค ร อ งคอมพ ว เ ตอ ร ข อ งส า นก ง า นฯ เ พ อ จ ดป ร ะส งค ใ ดๆ กต าม โ ดย ท ไ ม ไ ด ร บ อนญ าตจ า ก I SMR และ ในขณะ เดย วกน เจ าหน าท ส า น ก ง านฯ ไมค ว รจะตดต ง โ ป รแกรม ใดๆ ล ง ในเคร องคอมพว เตอร ของส าน กงานฯ โดยไม ได ร บการอนญาต ท งน เ พ อท จ ะ ใหแน ใ จว ามใบอนญาตท ครอบคลมการตดต งด งกล าว
5 ) ส านก ง านฯ ก าหนด ใหม กา รตรวจสอบเคร อ งคอมพ ว เ ตอรอย า งนอยปละ 2 คร ง เ พอตรวจด รายการของซอฟตแวร ใน เคร อ งคอมพ ว เตอร และ เ พ อ ให แน ใ จว าส านก งาน ม ใบอนญาตการ ใช ง านส าหรบผลตภณฑซอฟตแ ว ร แต ล ะต ว ใน เคร อ งคอมพ ว เ ตอร ถ าพบว ามซอฟตแวรท ไม ได ร บอนญาต ซอฟตแวร เหล าน นจะถกลบท ง และถ าหากมความ
P IT SP 01-00 ชดท 03 หนาท 54 /55
จ า เปน ส านก ง าน ฯ อาจจะมก า รพจ า รณา ใหน า ซอฟตแ วรท ม ใบ อนญาตอย า งถกตอ งอนมาใช แทนซอฟตแวร ด งกล าว ได
14.1.3 การปองกนขอมลเพอใชเปนหลกฐานอางองในการปฏบตตามขอก าหนด (Protection of
Records) 1) ส า นก ง าน ฯ ตอ ง จด เ กบ ขอมล เ พ อ ใ ช เ ปนห ลก ฐ า นอ า ง อ ง ว า ไ ดป ฏบ ต ต า มขอ -
ก าหนดทางด านกฎระ เบยบ หรอขอบ ง คบท ไ ด ก าหนด ไว โ ดยม ร ะยะ เ วล าจด เ กบตามค ว า ม ส า คญ ข อ ง ขอ มล ร ะ เ บย บ ห น ว ย ง า น ว า ด ว ย ง า น ส า ร บ ร ร ณ แ ล ะก ฎ ห ม า ย เ ชน ระเบยบส านกนายกร ฐมนตร
14.1.4 ความเปนสวนตวและการปองกนขอมลสวนบคคล (Privacy and protection of personally identifiable information)
1) ส า นก ง าน ฯ ตองมการการปองกนขอมลและความเปนสวนตวตามกฎหมาย ระเบยบ สญญาทเกยวกบส านกงานฯ
14.1.5 การควบคมการเขารหส (Regulation of cryptographic controls) 1) ส านกงานฯ ตองมการควบคมการเขารหสขอมล ตามขอตกลง กฎหมาย และระเบยบทเกยวของ
14.2 การทบทวนความมนคงปลอดภยสารสนเทศ (Information Security Reviews)
วตถประสงค: เพอใหมการปฏบตดานความมนคงปลอดภยสารสนเทศ อยางสอดคลองกบนโยบายและขนตอนปฏบตขององคกร
นโยบาย 14.2.1 การทบทวนอยางอสระดานความมนคงปลอดภยสารสนเทศ ( Independent review of
information security) 1) IST ตองมการทบทวน วธการในการบรหารจดการความมนคงปลอดภยสารสนเทศและการปฏบต
ขององคกร เชน ทบทวนวตถประสงค มาตรการ นโยบาย วธปฏบตงานตางๆ ใหถกตองและเปนปจจบนตามรอบระยะเวลาทก าหนด เชน ปละ 1 ครง หรอทบทวนเมอมการเปลยนแปลง
14.2.2 การตรวจสอบความสอดคลองกบนโยบายความมนคงปลอดภยของหนวยงาน (Compliance with
Security Policy and Standards) 1) IST ตองจดใหมการตรวจสอบระบบทงหมดของหนวยงานตามนโยบายการรกษาความมนคง
ปลอดภยสารสนเทศและระยะเวลาทก าหนดไว
P IT SP 01-00 ชดท 03 หนาท 55 /55
2) IST ตองมการตรวจสอบและทบทวนเอกสารนโยบาย มาตรการ วธการปฏบตงานรวมถงแบบฟอรมทเกยวเนองกนตามระยะเวลาทก าหนดหรอเมอมการเปลยนแปลง
14.2.3 การทบทวนความสอดคลองทางเทคนค (Technical Compliance Review) 1) IST ตองจดใหมการตรวจสอบรายละเอยดทางเทคนคของระบบทใชงาน หรอใหบรการอยแลวตาม
ระยะเวลาทก าหนดไววามความมนคงปลอดภยสารสนเทศอยางพอเพยงหรอไม ไดแก การตรวจดวาระบบสามารถถกบกรกไดหรอไม การปรบแตงคาพารามเตอรทระบบใชงานเปนไปอยางปลอดภยหรอไม รวมทงมการตรวจสอบระบบโดยท าการใชซอฟตแวรคนหาชองโหว (Vulnerability Scanning) และทดสอบการโจมตระบบ (Penetration Test) เพอตรวจสอบขอบกพรองของระบบดวย
