Embed Size (px)
Citation preview
นโยบายและแนวปฏบต ในการรกษาความมนคงปลอดภยดานสารสนเทศ
ประจ าป พ.ศ. ๒๕๖๑
ส านกงานคณะกรรมการออยและน าตาลทราย
มกราคม ๒๕๖๑
สารบญ
เรอง หนา สารบญ
ค านยาม ๑ นโยบายในการรกษาความมนคงปลอดภยดานสารสนเทศ ๔ หมวดท ๑ การควบคมการเขาถงและการใชงานระบบสารสนเทศ
สวนท ๑ การเขาถงและควบคมการใชงานระบบสารสนเทศ ๗ สวนท ๒ การบรหารจดการสทธการเขาถง ๑๑ สวนท ๓ การบรหารจดการการเขาถงขอมลตามระดบชนความลบ ๑๖ สวนท ๔ การบรหารจดการดานความมนคงปลอดภยของระบบเครอขาย ๑๘ สวนท ๕ การบรหารจดการระบบสารสนเทศ ๒๓ สวนท ๖
การควบคมการเขาถงระบบปฏบตการ โปรแกรมประยกต และโปรแกรมอรรถประโยชน
๒๔
สวนท ๗ สวนท ๘
สวนท ๙
การบรหารจดการดานความมนคงปลอดภยระบบเครอขายไรสาย การรกษาความมนคงปลอดภยของจดหมายอเลกทรอนกส หนาทความรบผดชอบของผใชงาน (User responsibilities)
๒๖ ๒๗ ๒๙
หมวดท ๒ การจดท าระบบส ารองขอมลและการเตรยมความพรอมกรณฉกเฉน
สวนท ๑ การส ารองขอมลส าคญและการเตรยมรบมอกบเหตฉกเฉน ๓๒ สวนท ๒ การบรหารจดการเหตการณดานความมนคงปลอดภย ๓๔
หมวดท ๓ หมวดท ๔
การตรวจสอบและประเมนความเสยงดานสารสนเทศ หนาทและความรบผดชอบ
๓๖
๓๙
ภาคผนวก
ขนตอนการลงทะเบยนผใชงาน (User Register) ๔๑
แบบฟอรม “การขอใชบรการระบบเทคโนโลยสารสนเทศ” (FM-IT-01 V1.0/59) ๔๓
แบบฟอรม “การขอใชบรการเครอขายไรสาย (WI-FI) / VPN” (FM-IT-02 V1.0/59) ๔๔
๑
ค านยาม
ค านยามในสวนนเปนการใหค าจ ากดความส าหรบศพททใชงานในนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศฉบบน เพอใหมความหมายทชดเจนและเขาใจตรงกน ประกอบดวย
(๑) “สอน.” หมายถง ส านกงานคณะกรรมการออยแลน าตาลทราย (๒) “หนวยงาน” หมายถง ส านก/กอง/กลมงาน หรอทเรยกชอเปนอยางอน ในสงกด
ส านกงานคณะกรรมการออยและน าตาลทราย (๓) “กทส.” หมายถง กลมเทคโนโลยสารสนเทศและการสอสาร เปนหนวยงาน
ทใหบรการดานเทคโนโลยสารสนเทศและการสอสาร ใหค าปรกษา พฒนา ปรบปรง ตดตง บ ารงรกษาระบบคอมพวเตอร ระบบชดค าสงโปรแกรม และเครอขายใน สอน.
(๔) “สารสนเทศ” หมายถง ขอเทจจรงทไดจากขอมลน ามาผานการประมวลผลการจด ระเบยบใหขอมล ซงอาจอย ในรปของตวเลข ขอความ หรอ ภาพกราฟกใหเปนระบบทผใชสามารถเขาใจไดงาย และสามารถน าไปใชประโยชนในการบรหาร การวางแผน การตดสนใจ และ
อน ๆ (๕) “ระบบสารสนเทศ” หมายถง ระบบงานทใชจดเกบและประมวลผลขอมลซงท างาน
ประสานกนระหวางฮารดแวร ซอฟตแวร ขอมล ผใชงาน และกระบวนการประมวลผลใหเกดเปนขอมลสารสนเทศทสามารถน าไปใชประโยชนในการ วางแผน การบรหาร การสนบสนนใหการบรการการพฒนาและควบคมการตดตอสอสารได
(๖) “ระบบเครอขาย” หมายถง ระบบทสามารถใชในการตดตอสอสาร หรอการสงขอมล และสารสนเทศ ระหวางระบบเทคโนโลยสารสนเทศตาง ๆ ของสอน. ได เชน ระบบแลน (LAN) ระบบอนทราเนต (Intranet) และระบบอนเทอรเนต (Internet)
(๗) “สนทรพย” หมายถง ทรพยสนหรอสงใดกตามทงทมตวตน และไมมตวตนอนม มลคาหรอคณคาส าหรบ สอน. ไดแก ขอมล ระบบขอมล และสนทรพยดานเทคโนโลยสารสนเทศและการสอสาร อาท บคลากร ฮารดแวร ซอฟตแวร คอมพวเตอร เครองคอมพวเตอรแมขาย ระบบสารสนเทศ ระบบเครอขาย อปกรณระบบเครอขาย เลขไอพ โดเมนเนม รวมถงซอฟตแวรทมลขสทธ หรอสงใดกตามทมคณคาตอหนวยงาน
๒
(๘) “ผบรหารสงสด” CEO (Chief Executive Officer) หมายถงเลขาธการคณะกรรมการออยและน าตาลทราย เปนผรบผดชอบ กรณระบบคอมพวเตอรหรอขอมลสารสนเทศเกดความเสยหายหรออนตรายใด ๆ แกองคกรหรอผหนงผใด อนเนองมาจากความบกพรอง ละเลย หรอฝาฝนการปฏบตตามนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ
(๙) “ผบรหารเทคโนโลยสารสนเทศระดบสง” CIO (Chief Information Officer) หมายถง ผทเลขาธการคณะกรรมการออยและน าตาลทราย มอบหมายใหรบผดชอบสงการและก ากบดแล ตดตามการด าเนนงานดานเทคโนโลยสารสนเทศของ สอน.
(๑๐) “ผบรหาร” หมายถง ผเชยวชาญ ผอ านวยการส านก และผอ านวยการศนยสงเสรมอตสาหกรรมออยและน าตาลทรายแตละภมภาค ของ สอน. เปนผมอ านาจสงการตามโครงสรางการแบงสวนราชการ
(๑๑) “หวหนากลม” หมายถง หวหนากลมเทคโนโลยสารสนเทศและการสอสาร รบผดชอบในการก าหนดนโยบาย การควบคมก ากบดแลการใชงานระบบสารสนเทศและระบบเครอขาย
(๑๒) “ผใชงาน” หมายถง บคคลทไดรบอนญาตใหสามารถเขาใชงาน บรหาร หรอดแลรกษาระบบเทคโนโลยสารสนเทศของ สอน. โดยมสทธและหนาทขนอยกบบทบาท ซงก าหนดตามขอ (๑๓) (๑๔) (๑๕) (๑๖) และ (๑๗)
(๑๓) “ผดแลระบบ” หมายถง ผทไดรบมอบหมายจากผบรหารระดบสง หรอ หวหนากลม ใหมหนาทรบผดชอบในการดแลรกษาขอมลสารสนเทศ ระบบสารสนเทศ และระบบเครอขาย ซงสามารถเขาถง และปรบปรงใหระบบสามารถใชงานไดด และมประสทธภาพ
(๑๔) “ผรบผดชอบระบบสารสนเทศ” หมายถง ผทไดรบมอบหมายใหมหนาทดแลระบบงานของ สอน. ในภาพรวม
(๑๕) “เจาหนาท” หมายถง ขาราชการ ลกจางประจ า ลกจางกองทนออยและน าตาลทราย และพนกงานราชการ ของ สอน.
(๑๖) “ผใชงานทเกยวของ” หมายถง บคคล หรอนตบคคลทเปนคสญญาของ สอน. หรอเจาหนาท ทไดรบมอบหมายซงจ าเปนตองใชงานระบบสารสนเทศและระบบเครอขายของ สอน.
(๑๗) “ผใชงานภายนอก” หมายถง บคคล หรอนตบคคลทนอกเหนอจากขอ (๑๕) และ (๑๖) ทมความจ าเปนตองใชงานเครอขายของ สอน.
(๑๘) “ผรบบรการ” หมายถง ประชาชนทวไป นกเรยน นสต นกศกษา
๓
(๑๙) “ความมนคงปลอดภยดานสารสนเทศ” หมายถง ความมนคงและความปลอดภยส าหรบระบบเทคโนโลย สารสนเทศและการสอสารของ สอน. โดย ธ ารงไวซงความลบ (Confidentiality) ความถกตองครบถวน (Integrity) และสภาพพรอมใชงาน (Availability) ของ สารสนเทศ รวมทงคณสมบตอน ไดแกความถกตองแทจรง (Authenticity) ความรบผดชอบ (Accountability) การหาม ปฏเสธความรบผดชอบ (Non-Repudiation) และความนาเชอถอ (Reliability)
(๒๐) “สทธของผใชงาน” หมายถง ระดบชนของการเขาถงขอมลสารสนเทศของเจาหนาทและผใชงานทเกยวของ ไดแก สทธทวไป สทธพเศษ และสทธอนใดทเกยวของกบระบบสารสนเทศของหนวยงาน
(๒๑) “การเขาถงหรอควบคมการใชงานสารสนเทศ” หมายถง การอนญาต การก าหนดสทธ หรอการมอบอ านาจใหผใชงาน เขาถงหรอใชงานระบบเครอขายหรอระบบสารสนเทศ ทงทางอเลกทรอนกสและทายกายภาพ ตลอดจนก าหนดขอปฏบตเกยวกบการเขาถงโดยมชอบ เอาไวดวยกได
(๒๒) “บญชผใชงาน” หมายถง บญชรายชอ (Username) และรหสผาน (Password)
ส าหรบเจาหนาท ผใชงานทเกยวของ และผใชงานภายนอก (๒๓) “Active Directory” หมายถง เครองมอส าหรบใชบรหารจดการ ทมมาพรอมกบ
ระบบปฏบตการ Windows Server ท าหนาทในการเกบและบรหารจดการ บญชผใชงาน กลมผใชงาน สทธในการเขาถง และการก าหนดนโยบายการใชงาน
(๒๔) “เหตการณดานความมนคงปลอดภย” หมายถง กรณทระบการเกดเหตการณ สภาพของบรการ หรอเครอขายทแสดงใหเหนความเปนไปได ทจะเกดการ ฝาฝนนโยบายดานความมนคงปลอดภย หรอมาตรการปองกนทลมเหลว หรอเหตการณอนไมอาจรไดวาอาจเกยวของกบความมนคงปลอดภย
(๒๕) “สถานการณดานความมนคงปลอดภยทไมพงประสงคหรอไมอาจคาดคด” หมายถงสถานการณซงอาจท าใหระบบขององคกรถกบกรกหรอโจมต และความมนคงปลอดภยถกคกคาม
(๒๖) “จดหมาย อเลกทรอนกส (e-Mail)” หมายถง ระบบทบคคลใชในการรบสงขอความระหวางกน โดยผานเครองคอมพวเตอรและเครอขายทเชอมโยงถงกน ข อม ลท ส ง จ ะ เป น ไดท ง ต ว อกษร ภาพถ าย ภ าพกรา ฟก ภาพเคลอนไหว ผสงสามารถสงขาวสารไปยงผรบคนเดยว หรอหลายคน ผานโพรโตคอลมาตรฐานทใชในการรบ-สง ขอมล ไดแก
๔
SMTP, POP3 และ IMAP เปนตน โดยชอทใช ในการบสงจดหมายอเลกทรอนกสจะประกอบดวย 2 สวน คอ ชอผใชงาน และชอโดเมน เชน [email protected]
(๒๗) “ชอผใชงาน (Username)” หมายถง ชดของตวอกษรหรอตวเลขทถกก าหนดขนเพอใชในการเขา ใชในระบบคอมพวเตอรและระบบเครอขายทมการก าหนด สทธการใชงานไว
(๒๘) “รหสผาน (Password)” หมายถง ชดของตวอกษร หรออกขระ หรอตวเลข ทถกก าหนดขน เพอใชเปนเครองมอในการตรวจสอบ ยนยนตวบคคล ในการควบคมการเขาถงขอมลและระบบเครอขาย
(๒๙) “การเขารหสลบ (Encryption)” หมายถง การน าขอมลมาเขารหสลบเพอปองกนการลกลอบเขามาใช ขอมล ผทสามารถเปดไฟลขอมลทเขารหสลบไวจะตองม โปรแกรมถอดรหสลบเพอใหขอมลกลบมาใช งานได ตามปกต
(๓๐) “การพสจนยนยน ตวตน (Authentication)” หมายถง ขนตอนการรกษาความปลอดภยในการเขาใชระบบ เปนขนตอนในการพสจนตวตนของผใชบรการระบบ ทวไปแลวจะเปนการพสจนโดยใชชอผใชและรหสผาน
(๓๑) “ระบบคอมพวเตอร” หมายถง อปกรณ หรอ ชดอปกรณของคอมพวเตอรทเชอมการท างานเขาดวยกนโดยไดมการก าหนดค าสง ชดค าสง หรอ สงอนใด และแนวทางปฏบต ง านให อปกรณ หรอชด อปกรณ ท า หน าทประมวลผลขอมลโดยอตโนมต
(๓๒) “ระบบอนเทอรเนต (Internet)” หมายถง ระบบเครอขายอเลกทรอนกส ทเชอมตอระบบเครอขาย คอมพวเตอรตางๆ ของหนวยงาน เขากบเครอขาย อนเทอรเนตสากล
(๓๓) “SSID (Service Set Identifier)” หมายถง ชอทใชระบเครอขายไรสาย (๓๔) “MAC Address (Media Access Control Address)” หมายถง หมายเลขเฉพาะทใช
อางองถงอปกรณทตดตอกบระบบเครอขาย หมายเลขนจะมากบอนเทอรเนตการด โดยแตละการดจะมหมายเลขทไมซ ากน ตวเลขจะอยในรปของ เลขฐาน 16 จ านวน 6 ค ตวเลขเหลานจะมประโยชนไวใช ส าหรบการสงผานขอมลไปยงตนทางและปลายทางไดอยางถกตอง
(๓๕) “VPN (Virtual Private Network)” หมายถง เครอขายคอมพวเตอรเสมอนสวนตว โดยในการรบสง ขอมลจรงจะท าโดยการเขารหสเฉพาะแลวรบ-สงผาน เครอขายอนเทอรเนต ท าใหบคคลอนไมสามารถอานได และมองไมเหนขอมลนนนไปจนถงปลายทาง
๕
(๓๖) “WPA (Wi-Fi Protected Access)” หมายถง ระบบการเขารหสเพอรกษาความปลอดภยของขอมลใน เครอขายไรสายพฒนาขนมาใหมมความปลอดภยมากกวา วธเดมอยาง WEP
(๓๗) “แผนผงระบบ เครอขาย (Network Diagram)” หมายถง แผนผงซงแสดงถงการเชอมตอของระบบเครอขายของ สอน.
๖
นโยบายในการรกษาความมนคงปลอดภยดานสารสนเทศ
นโยบายในการรกษาความมนคงปลอดภยดานสารสนเทศของ สอน. ก าหนดประเดนส าคญ ดงตอไปน
ขอท ๑ การควบคมการเขาถงและการใชงานระบบสารสนเทศ (Access Control)
(๑.๑) การเขาถงระบบสารสนเทศ ตองควบคมการเขาถงขอมลและอปกรณในการประมวลผลขอมล โดยค านงถงการใชงานและความมนคงปลอดภยในการใชงานระบบสารสนเทศ ก าหนดกฎเกณฑทเกยวกบการอนญาตใหเขาถง ก าหนดสทธเพอใหผใชงานในทกระดบไดรบร เขาใจ และสามารถปฏบตตามแนวทางทก าหนดโดยเครงครด และตระหนกถงความส าคญของการรกษาความมนคงปลอดภยของระบบสารสนเทศ
(๑.๒) การใชงานตามภารกจเพอควบคมการเขาถงสารสนเทศ
(๑.๓) การบรหารจดการสทธการเขาถงของผใชงาน เพอควบคมการเขาถงระบบสารสนเทศและปองกนการเขาถงจากผซงไมไดรบอนญาต ตองก าหนดใหมการลงทะเบยนผใชงาน ตรวจสอบบญชผใชงาน อนมตและก าหนดรหสผานการไดลงทะเบยนผใชงาน เพอใหผใชงานทมสทธเทานนทสามารถเขาใชระบบสารสนเทศ และตองเกบบนทกขอมลการเขาถงและขอมลจราจรทางคอมพวเตอร ตลอดจนบรหารจดการสทธการเขาถงขอมลใหเหมาะสมตามระดบชนความลบของผใชงาน ตองมการทบทวนสทธการใชงานและตรวจสอบการละเมดความปลอดภยเสมอ
(๑.๔) การเขาถงขอมลตามระดบชนความลบ ตองมการจดล าดบชนความลบ ใหใชหลกเกณฑตาม พ.ร.บ. ขอมลขาวสารของทางราชการ พ.ศ. ๒๕๔๐ และระเบยบวาดวยการรกษาความลบของทางราชการ พ.ศ. ๒๕๔๔ มการแบงประเภทของขอมลตามภารกจและการจดล าดบความส าคญของขอมล ก าหนดวธบรหารจดการกบขอมลแตละประเภท รวมถงก าหนดวธปฏบตกบขอมลลบหรอขอมลส าคญกอนการจ าหนายหรอการน าอปกรณกลบมาใชใหม
(๑.๕) การควบคมการเขาถงเครอขาย เพอปองกนการเขาถงบรการทางเครอขายโดยไมไดรบอนญาต ตองก าหนดสทธในการเขาถงเครอขาย ใหผทจะเขาใชงานตองลงบนทกเขาใชงาน (Login) โดยแสดงตวตนดวยชอผใชงาน และตองมการพสจนยนยนตวตน (Authentication) ดวยการใชรหสผานกอนการเขาใชงาน ตองก าหนดเสนทางการเชอมตอระบบคอมพวเตอรส าหรบใชงานอนเตอรเนต โดยผานระบบรกษาความปลอดภยตามท สอน. จดสรรไว และมการออกแบบระบบเครอขายโดยแบงเขต (Zone) การใชงาน เพอท าใหการควบคม และปองกนภยคกคามไดอยางเปนระบบและมประสทธภาพ
(๑.๖) การควบคมการเขาถงระบบปฏบตการ โปรแกรมประยกต และโปรแกรมอรรถประโยชน เพอปองกนการเขาถงระบบปฏบตการโดยไมไดรบอนญาต ตองก าหนดใหผทจะเขาใชงานตองลงบนทกเข า ใช งาน (Login) โดยแสดงตวตนดวยช อผ ใช งาน และตองมการพสจนยนยนตวตน (Authentication) ดวยการใชรหสผานกอนการเขาใชงาน ตองก าหนดระยะเวลาเพอยตการใชงานเมอวางเวนจากการใชงาน และจ ากดระยะเวลาในการเชอมตอ การเขาถงระบบเทคโนโลยสารสนเทศทส าคญ โปรแกรม
๗
ประยกต โปรแกรมอรรถประโยชน หรอแอพพลเคชนตาง ๆ รวมถงจดหมายอเลกทรอนกส (E-mail) ระบบเครอขายไรสาย (Wireless LAN) ระบบอนเตอรเนต (Internet) และระบบงานตาง ๆ ตองใหสทธเฉพาะการปฏบตงานในหนาท และตองไดรบความเหนชอบจากหวหนาหนวยงานเปนลายลกษณอกษร รวมทงตองทบทวนสทธดงกลาวอยางสม าเสมอ
(๑.๗) การควบคมการเขาถงโปรแกรมประยกตและแอพพลเคชน ตองก าหนดสทธ การจดท าระบบส ารองขอมล เพอใหระบบสารสนเทศของ สอน. สามารถใหบรการไดอยางตอเนองและมเสถยรภาพ ตองจดท าระบบสารสนเทศและระบบส ารองทเหมาะสมใหอยในสภาพพรอมใชงาน โดยคดเลอกระบบสารสนเทศทส าคญ เรยงล าดบความจ าเปนจากมากไปนอย พรอมทงก าหนดหนาทและความรบผดชอบของเจาหนาทในการส ารองขอมล และจดท าแผนเตรยมความพรอมกรณฉกเฉนเพอใหสามารถใชงานระบบสารสนเทศไดตามปกตอยางตอเนอง
(๑.๘) การควบคมการเขาถงเครอขายไรสาย เพอปองกนการเขาถงบรการทางเครอขายไรสายโดยไมไดรบอนญาต ผทจะเขาใชงานตองกรอกแบบฟอรมขอใชบรการระบบเครอขาย WIFI ลงบนทกเขาใชงาน (Login) โดยแสดงตวตนดวยชอผใชงาน และตองมการพสจนยนยนตวตน (Authentication) ดวยการใชรหสผานกอนการเขาใชงาน ผดแลระบบตองท าการเปลยนคา Default ของ SSID (Service Set Identifier) ทตงคามาจากผผลต ผดแลระบบตองสราง SSID เปน 2 กลมคอกลมผใชงานทมบญชผใชงานอยใน AD (Active Direvtory) กบผมาตดตองานกบ สอน. (Guest) ตองมการตงคาไมใหเหนชอของ SSID โดยหลงจากไดรบอนมตใหสามารถใชงานเครอขายไรสายได ผใชจะตองน าอปกรณไปใหผดแลระบบลงทะเบยน เพอเกบคา MAC Address (Media Access Control Address) ผแลระบบจะพจารณาแจงชอ SSID ตามความเหมาะสมและความจ าเปนในการใชงาน (๑.๙) การรกษาความมนคงปลอดภยของจดหมายอเลกทรอนกส ก าหนดหนาทและความรบผดชอบของผใชงานในการใชงานจดหมายอเลกทรอนกส โดยเจาหนาทของสอน. ตองใชจดหมายอเลกทรอนกสของ สอน. เทานนในการตดตองานทเกยวกบภารกจของ สอน. ก าหนดขอหาม ขอควรระวง การถกระงบในการใชงาน สทธในการใชงานจะหมดลงกตอเมอพนสภาพการเปนเจาหนาทของ สอน.
(๑.๑๐) หนาทความรบผดชอบของผใชงาน (User Responsibilities) เพอปองกนการเขาถงโดยไมไดรบอนญาต การเปดเผย หรอการขโมยขอมลระบบสารสนเทศ ตองก าหนดรายละเอยดทเกยวกบ การใชงานรหสผาน (Password Use) การปองกนอปกรณทไมมผดแล (Unattended User Equipment) และการเกบรกษาทรพยสนขององคกรไวในททปลอดภยและการปองกนหนาจอเครองคอมพวเตอร (Clear Desk and Clear Screen Policy) เพอใหผใชงานไดรบทราบวธปฏบตในการปองกนการเขาถงขอมลสารสนเทศหรอขอมลทมความส าคญทงของผใชงานและของ สอน.
๘
ขอท ๒ การส ารองขอมลส าคญและการเตรยมรบมอกบเหตฉกเฉน
(๒.๑) การส ารองขอมลส าคญและการเตรยมรบมอกบเหตฉกเฉน ตองมการจดท าระบบส ารองขอมล เพอใหระบบสารสนเทศของ สอน. สามารถใหบรการไดอยางตอเนองและมเสถยรภาพ พรอมใชงาน โดยคดเลอกระบบสารสนเทศทส าคญ พรอมทงก าหนดหนาทและความรบผดชอบของเจาหนาทในการส ารองขอมล และการกคน ตองมการทบทวนแผนเตรยมความพรอมกรณฉกเฉนในกรณท ไมสามารถด าเนนการดวยวธการทางอเลกทรอนกสอยางนอยปละ ๑ ครง เพอใหสามารถใชงานระบบงานสารสนเทศไดตามปกตอยางตอเนอง
(๒.๒) การบรหารจดการเหตการณดานความมนคงปลอดภย ตองมการก าหนดหรอระบเหตการณทอาจเปนปญหาตอความมนคงปลอดภยในการใชระบบเทคโนโลยสารสนเทศของ สอน. เพอเปนแนวทางใหกบผใชงานไดประเมนวาเหตการณทพบมผลกระทบตอระบบสารสนเทศ ตองก าหนดขนตอนการแจงเหตเมอพบเหตการณดานความมนคงปลอดภย มการก าหนดหนาทความรบผดชอบและวธปฏบตในการจดการกบเหตการณทเกดขน
ขอท ๓ การตรวจสอบและประเมนความเสยง ตองตรวจสอบและประเมนความเสยงดานสารสนเทศ โดยจดใหผตรวจสอบภายในของหนวยงาน ( Internal Auditor) หรอผตรวจสอบอสระดานความมนคงปลอดภยจากภายนอก (External Auditor) อยางนอยปละ ๑ ครง เพอใหหนวยงานไดทราบถงระดบความเสยงและระดบความมนคงปลอดภยดานสารสนเทศ
ขอท ๔ การสรางความตระหนกในเรองการรกษาความปลอดภยมนคงสารสนเทศ ตองสรางความรความเขาใจใหกบผใชงาน เพอใหเกดความตระหนก ความเขาใจถงภยและผลกระทบทเกดจากการใชงานระบบสารสนเทศโดยไมระมดระวงหรอรเทาไมถงการณ ใหด าเนนการ ดงน
(๔.๑) จดอบรมแนวปฏบตตามนโยบายในการรกษาความมนคงปลอดภยดานสารสนเทศของ สอน.อยางสม าเสมอ โดยอาจเพมเนอหาทเกยวของกบเทคโนโลยหรอภยในรปแบบใหม ๆ รวมทงกฎหมาย ระเบยบ ทเกยวของกบการใชงาน
(๔.๒) เผยแพรนโยบายและแนวปฏบตในการรกษามนคงปลอดภยสารสนเทศดานสารสนเทศทางเวบไซต สอน. หรอหองสมดของ สอน. เพอใหผใชงานและบคคลทวไปเขาถงได
(๔.๓) มมาตรการเชงปองกน โดยใหความรเกยวกบแนวปฏบตในลกษณะเกรดความร ขอควรระวงในการใชงานระบบสารสนเทศ รวมถงตองมการก าหนดบทลงโทษเมอพบวามการใชระบบสารสนเทศทไมถกตอง ไดแก การระงบการเขาถง หรอการระงบสทธการใชงาน
๙
หมวดท ๑ การควบคมการเขาถงและการใชงานระบบสารสนเทศ
___________________________________________________________________________
วตถประสงค
๑. เพอก าหนดการควบคมการเขาถงขอมลสารสนเทศ โดยค านงถงการใชงานและความมนคงปลอดภยดานสารสนเทศ ๒. เพอก าหนดกฎเกณฑทเกยวกบการอนญาตใหเขาถง การก าหนดสทธ และการมอบอ านาจของหนวยงานของรฐ ๓. เพอใหผใชงานไดรบร เขาใจ และสามารถปฏบตตามแนวทางทก าหนดโดยเครงครด และตระหนกถงความส าคญของการรกษาความมนคงปลอดภยของระบบสารสนเทศ ๔. เพอใหการตรวจสอบตดตามพสจนตวบคคลทเขาใชงานระบบสารสนเทศไดอยางถกตอง
แนวปฏบต
สวนท ๑ การเขาถงและควบคมการใชงานระบบสารสนเทศ (Access Control)
ขอ ๑ ผดแลระบบตองจดท าบญชหรอทะเบยนสนทรพย เพอใช ในการบรหารจดการและก าหนดสทธในการเขาถงและใชงาน
ขอ ๒ ผดแลระบบตองก าหนดสทธของผใชงานระบบสารสนเทศแตละกลม อยางนอยดงน - อานอยางเดยว - สราง/บนทกขอมล - แกไข/ปรบปรง - ลบขอมล - สทธการอนมต/อนญาต - ระงบสทธ
ขอ ๓ ผดแลระบบตองจดการควบคมการเขาถงระบบสารสนเทศของหนวยงาน ดงน (๑) ผดแลระบบ ตองก าหนดใหผใชงานเขาถงระบบสารสนเทศไดแตเพยงบรการทไดรบ
อนญาตใหเขาถงเทานน (๒) ผดแลระบบ มหนาทในการตรวจสอบการอนมตและก าหนดสทธในการผานเขาสระบบ
กลาวคอ ในการขออนญาตเขาระบบงานนน ผใชงานจะตองมการกรอกเอกสารลงทะเบยนขอใชงานตามท สอน. ก าหนด เพอขออนญาตเขาสระบบสารสนเทศ และก าหนดใหมการลงนามอนมตเอกสารดงกลาวโดยผบงคบบญชาหรอผรบมอบอ านาจจากผบงคบบญชาเพอการจดเกบไวเปนหลกฐาน จากนน ผดแลระบบจะสรางบญชผใชงาน ส าหรบการเขาถงโดยเฉพาะในสวนทจ าเปนและไดรบอนญาตใหเขาถงเทานน โดยค านงถงประเภทของขอมล ล าดบความส าคญ และชนความลบ รวมถงระบบซงไวตอการรบกวน มผลกระทบ และม
๑๐
ความส าคญสง ไดแก ระบบออกใบอนญาตน าเขาและสงออกน าตาลทราย ตองแยกออกจาก ระบบอน และแสดงใหเหนถงผลกระทบและระดบความส าคญตอ สอน.
(๓) ผดแลระบบตองจดเกบบญชรายชอของผใชงานระบบปฏบตการไวใน Active Directory และตองก าหนดไมใหผใชงานเขาสระบบได หากผใชงานใสรหสผานเขาระบบผดเกน ๓ ครง จนกวาจะยนเรองพรอมหลกฐานแสดงความเปนตวตนตอเจาหนาทดแลระบบ เพอขอรหสผานใหมอกครง
(๔) ผดแลระบบ ตองก าหนดใหการ Log-in เพอเขาระบบงานใด ๆ จะตองมการตรวจจบการเปดระบบงานไว เมอไมมการใชงาน จะท าการ Log-out ระบบใหอตโนมตในระยะเวลาทเหมาะสม
(๕) ผดแลระบบ ตองอนญาตใหผใชงานเขาสระบบเฉพาะในสวนทจ าเปนตองรตามหนาทงานเทานน เนองจากการใหสทธเกนความจ าเปนในการใชงาน จะน าไปสความเสยงในการใชงานเกนอ านาจหนาท ดงนน การก าหนดสทธในการเขาถงระบบงานตองก าหนดตามความจ าเปนขนต าเทานน
(๖) กรณมการอนญาตใหผใชงานภายนอก ผเกยวของ เขาถงระบบสารสนเทศของ สอน. เพอด าเนนการใดๆ เมอไดใชงานเสรจแลวผดแลระบบตองยกเลกสทธกบผใชเหลานนในทนท ส าหรบผรบจางพฒนาและดแลระบบสารสนเทศตองเขาผานระบบ VPN (Virtual Private Network) เทานน และหากพบวาการด าเนนการนนมผลกระทบหรอท าใหเกดความเสยหายตอระบบสารสนเทศ ผใชงานตองเปนผรบผดชอบ
(๗) ก าหนดระยะเวลาการใชงานระบบสารสนเทศของ สอน. ดงน (๗.๑) ระบบงานบรการ e-Service (Front Office) ส าหรบผใชงานภายนอกตลอด ๒๔ ชวโมง ไมเวนวนหยดราชการ (๗.๒) ระบบงานภายใน (Back Office) หรอโปรแกรมทมความเสยงสง ส าหรบเจาหนาท ใหเขาถงในเวลาราชการ (๘.๓๐ – ๑๖.๓๐ น.) เทานน เวนแตไดรบอนญาต
ขอ ๔ ผดแลระบบ ตองจดการรกษาความปลอดภยทางกายภาพ (Physical Security anagement) ดงน
(๑) จ าแนกและก าหนดพนทหองควบคมระบบ มจดประสงคในการเฝาระวง ควบคมการรกษาความมนคงปลอดภย จากผทไมไดรบอนญาต รวมทงปองกนความเสยหายอน ๆ ทอาจเกดขน โดยก าหนดพนท ดงน
(๑.๑) พนททจดไวส าหรบการเยยมชมหรอสงเกตการณระบบ (๑.๒) พนทจ ากดการเขาถง ไดแก หองทมการตดตงและจดเกบอปกรณระบบ
สารสนเทศหรอระบบเครอขาย โดยตองตดตงระบบควบคมการการเขาถงพนททางกายภาพ (๒) การเดนสายสญญาณเครอขายตาง ๆ ทตองผานเขาไปในบรเวณทเปนมมอบลบตา หรอ
บรเวณทบคคลภายนอกเขาถงได ตองมการรอยทอสญญาณ เพอปองกนการดกจบสญญาณ การตด หรอการกดของสตวตาง ๆ
(๓) ตดตงระบบดบเพลงชนดทใชส าหรบอปกรณไฟฟาและท าความเสยหายใหกบระบบนอยทสดเมอมการใชงาน
(๔) ตดตงระบบไฟฉกเฉนใหเพยงพอส าหรบการท างานเมอเกดกรณไฟฟาดบ
๑๑
ขอ ๕ ผดแลระบบ ตองจดการควบคมการเขา - ออก พนทควบคม ดงน (๑) ใหมการบนทกวนและเวลาการเขา - ออกพนทส าคญของผทมาเยอน (Visitors)
(๒) ดแลผมาเยอนในพนทหรอบรเวณทมความส าคญจนกระทงเสรจภารกจ เพอปองกนการสญหายของทรพยสนหรอปองกนการเขาถงทางกายภาพโดยไมไดรบอนญาต
(๓) การเขา - ออก พนทควบคมของบคคลภายนอก ตองจดใหมกลไกการอนญาตการเขาถง พนทหรอบรเวณทมความส าคญของ สอน. และระบเหตผลทเพยงพอในการเขาถงบรเวณดงกลาวอยางชดเจน
(๔) มการควบคมการเขาถงพนททมขอมลส าคญจดเกบหรอประมวลผลอย (๕) ไมอนญาตใหผไมมกจเขาไปในพนทหรอบรเวณทมความส าคญเวนแตไดรบอนญาต (๖) มการพสจนตวตน เพอควบคมการเขา - ออก ในพนทหรอบรเวณทมความส าคญ
โดยเฉพาะในหอง Server การควบคมการเขา - ออก ใหยนยนตวตนโดยใชลกษณะเฉพาะทางชวภาพไดแก ระบบสแกนลายนวมอของแตละบคคล (Authentication by Biometric Traits)
(๗) จดเกบบนทกการเขา - ออกส าหรบพนทหรอบรเวณทมความส าคญ โดยเฉพาะในหอง Server เพอใชในการตรวจสอบในภายหลงเมอมความจ าเปน
(๘) จดใหมการทบทวน หรอยกเลกสทธการเขาถงพนทหรอบรเวณทมความส าคญอยางสม าเสมอ
ขอ ๖ ผดแลระบบและผรบผดชอบระบบสารสนเทศ ตองก าหนดการบ ารงรกษาอปกรณ ดงน (๑) ก าหนดใหมการบ ารงรกษาอปกรณตามรอบระยะเวลาทก าหนด (๒) ปฏบตตามค าแนะน าในการบ ารงรกษาตามทผผลตแนะน า (๓) จดเกบบนทกกจกรรมการบ ารงรกษาอปกรณส าหรบการใหบรการทกครง เพอใชในการ
ตรวจสอบหรอประเมนในภายหลง (๔) จดเกบบนทกปญหาและขอบกพรองของอปกรณทพบ เพอใชในการประเมนและปรบปรง
อปกรณดงกลาว (๕) ควบคมและดแลการปฏบตงานของบรษทผรบจางเหมาบ ารงรกษาระบบคอมพวเตอรทมา
ท าการบ ารงรกษาอปกรณภายในหนวยงาน (๖) จดใหมการอนมตสทธการเขาถงอปกรณทมความส าคญของผรบจางทมาท าการ
บ ารงรกษาอปกรณ เพอปองกนการเขาถงขอมลโดยไมไดรบอนญาต
ขอ ๗ ผดแลระบบ ตองควบคมการน าอปกรณคอมพวเตอรของ สอน. ออกนอกหนวยงาน ดงน (๑) ตองมการกรอกใบค ารอง เสนอตอหวหนากลม และตองไดรบอนมตกอนทจะน าอปกรณ
หรอทรพยสนออกนอกหนวยงานได (๒) ตองมการบนทกขอมลการน าอปกรณของ สอน. ออกนอกหนวยงาน และตองมการลง
ลายมอชอตอนรบอปกรณเพอเอาไวเปนหลกฐานปองกนการสญหายรวมทงบนทกขอมลเพมเตมเมอน าอปกรณมาสงคน
๑๒
ขอ ๘ ผดแลระบบ ตองจดการปองกนอปกรณทใชงานอยนอกหนวยงาน (๑) ก าหนดมาตรการความปลอดภยเพอปองกนความเสยงจากการน าอปกรณคอมพวเตอร
ของ สอน. ออกไปใชงานนอกสถานท (๒) หามผใชงานละทงอปกรณคอมพวเตอรของ สอน. ไวโดยล าพงในทสาธารณะ (๓) ใหผใชงานรบผดชอบดแลอปกรณคอมพวเตอรของ สอน. เสมอนเปนทรพยสนของตนเอง
ขอ ๙ ผดแลระบบและผรบผดชอบระบบสารสนเทศ ตองควบคมการจ าหนายอปกรณคอมพวเตอรหรอการน าสอบนทกขอมลกลบมาใชงานอกครง ดงน
(๑) ใหท าลายขอมลส าคญในสอบนทกขอมลกอนทจะสงจ าหนายอปกรณดงกลาว (ใหปฏบตตามแนวทางการท าลายขอมลบนสอบนทกขอมล ในสวนท ๙ หนาทความรบผดชอบของผใชงาน ขอ ๖)
(๒) มมาตรการหรอเทคนคในการลบหรอเขยนทบบนขอมลทมความส าคญในอปกรณส าหรบจดเกบขอมลกอนทจะอนญาตใหผอนน าอปกรณนนไปใชงานตอ เพอปองกนไมใหมการเขาถงขอมลส าคญนนได
ขอ ๑๐ ผใชงานระบบสารสนเทศของหนวยงานภายใน สอน. ตองก าหนดรหสผาน และใชงานรหสผานอยางปลอดภย ดงน
(๑) ลงนามรบบญชผใชงานของตนเอง หากพบวาบญชผใชงานนนถกเปดออกใหแจงผดแลระบบทนท
(๒) เปลยนรหสผานของตนเองทนทหลงจากไดรบรหสผานชวคราว โดยการตงรหสผานใหมจะตองด าเนนการแนวทางการก าหนดรหสผานในระบบบรหารจดการบญชผใชงาน
(๓) ตงคาเครองไมใหบนทกรหสผาน เพอใหการใชงานรหสผานมความปลอดภย ผใชงานควรจดเกบและรกษารหสผานของตนเองไวใหเปนความลบและระมดระวงมใหผ อนล วงร รวมทงไมจดบนทกรหสผานไวในทสามารถสงเกตเหนไดโดยงาย หรอไมบนทกรหสผานไวในเครอง ทงน ผใชงานสามารถปฏเสธความรบผดชอบหากผอนลวงรและน าบญชผใชงานนไปใชงาน
(๔) การใชบญชผใชงานของผอนจะตองไดรบอนญาตจากเจาของบญชผใชงานและเจาของบญชผใชงานไมอาจปฏเสธความรบผดชอบหากบญชผใชงานดงกลาวถกใชไปในทางมชอบ
ขอ ๑๑ ขอก าหนดการใชงานตามภารกจเพอควบคมการเขาถง (Business Requirements for Access Control)
(๑) สอน. ไดจดใหมการบรการสารสนเทศรวมทงระบบเทคโนโลยสารสนเทศ เพอใชประโยชนตามภารกจของ สอน. ไดแก การขอรบใบรบรองหรอใบอนญาตสงออกน าตาลทรายไปนอกราชอาณาจกร การควบคมการผลตและการขนยายน าตาลทราย การบรการ ขอมลสารสนเทศของอตสาหกรรมออยและน าตาลทราย การบรหารจดการระบบหนงสอราชการ ทงนการใชงานตามภารกจตองอยบนพนฐานของการเคารพสทธของบคคลอน การปฏบตใหถกตองตามพรบ.ออยและน าตาลทราย และกฎหมายทเกยวของ โดยก าหนดสทธการเขาถง จะแบงตามล าดบชนการบรหารจดการของผบรหาร ดงน
๑๓
(๑.๑) ผบรหารระดบสง ไดแก เลขาธการส านกงานคณะกรรมการออยและน าตาลทราย รองเลขาธการส านกงานคณะกรรมการออยและน าตาลทราย สามารถเขาถงขอมลไดตามภารกจทไดรบมอบหมายใหก ากบดแล
(๑.๒) ผบรหารระดบหนวยงาน ไดแก ผอ านวยการกอง/ส านก หวหนากลมงานสามารถเขาถงขอมลภายใตความรบผดชอบดแล
(๑.๓) ผปฏบตงาน สามารถเขาถงไดเฉพาะสวนงานทตนเองไดรบมอบหมาย (๒) การอนญาตและการทบทวนสทธการเขาถงตามภารกจ
(๒.๑) ผใชงานจะตองไดรบอนญาตจากหนวยงานเจาของขอมลและผดแลระบบตามความจ าเปนตอการใชงานระบบสารสนเทศ
(๒.๒) เจาของขอมลและเจาของระบบงาน จะอนญาตใหผใชงานเขาสระบบไดเฉพาะสวนทจ าเปนตามหนาททไดรบมอบหมายเทานน
(๒.๓) ผดแลระบบมหนาทตรวจสอบการอนมต และก าหนดสทธในการผานเขาสระบบใหแกผใชงาน ซงตองมการจดท าเอกสารขอสทธในการเขาสระบบและก าหนดใหมการลงนามอนมต
(๓) ขอมลพนฐานทใชประกอบการควบคมและจ ากดสทธส าหรบผใชงาน (๓.๑) ชอ นามสกล ของผขอใชบรการ (๓.๒) ต าแหนง และ หนวยงานตนสงกด (๓.๓) ค าสงมอบหมายและหนาทความรบผดชอบ (๓.๔) วนทเรมมผลบงคบใช วนทสนสด (๓.๕) ลายเซนอนมตจากหวหนางาน
สวนท ๒ การบรหารจดการสทธการเขาถง (User Access Management)
เพอควบคมการเขาถงระบบสารสนเทศเฉพาะผทไดรบอนญาตแลว และผานการฝกอบรม หลกสตร สรางความตระหนกเรองความมนคงปลอดภยสารสนเทศ (Information Security Awareness Training) เพอ ปองกนการเขาถงจากผซงไมไดรบอนญาต ดงน
ขอ ๑ การสรางความรความเขาใจเกยวกบการรกษาความมนคงปลอดภยสารสนเทศ (1) มการเผยแพรนโยบายและแนวปฏบต ในการรกษาความมนคงปลอดภยดานสารสนเทศ
ใหผใชงานไดรบทราบ (2) มการจดฝกอบรมใหความรความเขาใจกบผใชงาน เพอใหเกดความตระหนก ความเขาใจ
ถงภยและผลกระทบทเกดจากการใชงานระบบสารสนเทศโดยไมระมดระวง หรอรเทาไมถงการณ (๓) เสรมเนอหาแนวปฏบตตามนโยบายเขากบหลกสตรอบรมตางๆ ตามแผนการฝกอบรม
ของหนวยงาน
๑๔
ขอ ๒ การลงทะเบยนผใชงาน (User Registration) ตองก าหนดใหมขนตอนทางปฏบตส าหรบการลงทะเบยนผใชงานเมอมการอนญาตใหเขาถง
ระบบสารสนเทศและการตดออกจากทะเบยนของผใชงานเมอมการยกเลกเพกถอนการอนญาตดงกลาว โดยปฏบตตามแนวทางดงน
(๑) ผขอใชงานตองปฏบตตามขนตอนการลงทะเบยน (User Register) ตามท สอน. ก าหนดใน ภาคผนวก ก. โดยทผขอใชงานจะตองลงนามรบทราบนโยบายความมนคงปลอดภยและแนวปฏบตของ สอน. อยางเครงครด
(๒) ผดแลระบบตองตรวจสอบบญชผใชงาน เพอไมใหมการลงทะเบยนซ าซอน (๓) ผดแลระบบตองตรวจสอบและใหสทธในการเขาถงทเหมาะสมตอหนาทความรบผดชอบ
(๔) จดท าเอกสารแสดงถงสทธและหนาทความรบผดชอบของผใชงานเปนลายลกษณอกษร (๕) มการบนทกและจดเกบขอมลการขออนมตเขาใชระบบสารสนเทศ
(๖) การอนญาตใหเขาถงระบบสารสนเทศตองไดรบการพจารณาอนญาตจากผอ านวยการ หนวยงานเจาของระบบสารสนเทศ หรอผดแลระบบทไดรบมอบหมาย
(๗) ตองด าเนนการยกเลกเพกถอนการอนญาตใหเขาถงระบบสารสนเทศและตดออกจากทะเบยน ผใชงานทนท เมอมการลาออก เปลยนต าแหนง โอน ยาย หรอสนสดการจาง
ขอ ๓ การบรหารจดการบญชผใชงาน (User Account) ตองก าหนดใหมขนตอนทางปฏบตส าหรบการบรหารจดการบญชผใชงาน ดงน
(๑) ผดแลระบบและผรบผดชอบระบบสารสนเทศของหนวยงานภายใน สอน. จดท าบญชผใชงานกลาง โดยก าหนดชอผใชงาน (Username) และรหสผาน (Password) เพอใหสามารถระบและยนยนตวตนของผใชงาน (User Identification and Authentication) ตามสทธการเขาถง
(๒) ผดแลระบบและผรบผดชอบระบบสารสนเทศของหนวยงานภายใน สอน. ตองก าหนดชอผใชงานในบญชผใชงาน ดงน
(๒.๑) ชอผใชงานตองไมซ ากน (๒.๒) ชอผใชงานตองสอถงชอผเปนเจาของบญชผใชงานหรอหนวยงาน
(๓) ผดแลระบบและผรบผดชอบระบบสารสนเทศของหนวยงานภายใน สอน. ตองมการทบทวนสทธของผใชงานอยางสม าเสมอ การตรวจสอบสทธจะตองอางองจากหนงสอค าสงตางๆ ไดแก ค าสงใหลาออก ค าสงโยกยาย ค าสงบรรจบคลากร ในการเปลยนแปลงสทธการเขาใชงานระบบสารสนเทศจะตองกระท าหลงจากจดเกบส าเนาเอกสารค าสงแลวเทานน
(๔) ส านกงานเลขานการกรม มหนาทรายงานความเคลอนไหวของบญชเจาหนาทตอ กทส. โดยเรงดวน ในกรณบรรจใหม ลาออก ออกจากราชการ ยายหนวยงาน เกษยณอาย หรอถงแกกรรม ยกเวนกรณทเกยวกบการมอบอ านาจหรอยกเลกในการลงนามโดยลายมอชออเลกทรอนกสใหด าเนนการโดยดวนทสด
๑๕
(๕) การขอบญชผใชงาน (๕.๑) ผบรหารสงสด ผบรหารเทคโนโลยสารสนเทศระดบสง และผบรหารไดรบบญช
ผใชงานโดยมตองรองขอ (๕.๒) เจาหนาท หรอผทเกยวของ ตองปฏบตตามขนตอนการลงทะเบยน (User
Register) ตามท สอน. ก าหนดใน ภาคผนวก ก. โดยทผขอใชงานจะตองลงนามรบทราบนโยบายความมนคงปลอดภยและแนวปฏบตของ สอน. อยางเครงครด
(๕.๓) ในกรณทบญชเจาหนาทและผใชงานทเกยวของถกระงบชวคราว หากเจาหนาทหรอผใชงานทเกยวของประสงคจะใชงานบญชผใชงานนนใหมใหผอ านวยการส านกมบนทกขอความขอบญชผใชงานใหม พรอมเอกสารใบค ารองเพอขอบญชผใชงาน
(๖) การระงบบญชผใชงาน (๖.๑) เมอฝาฝนหรอไมปฏบตตามนโยบายความมนคงปลอดภยดานสารสนเทศ และ
หวหนากลมมค าสงใหระงบบญชผใชงานเปนการชวคราว (๖.๒) เมอฝาฝนหรอไมปฏบตตามนโยบายความมนคงปลอดภยดานสารสนเทศหลาย
ครง และผบรหารเทคโนโลยสารสนเทศระดบสง มค าสงใหระงบบญชผใชงาน (๖.๓) เมอผบรหารรองขอ
(๗) การยกเลกบญชผใชงาน (๗.๑) เมอฝาฝนหรอไมปฏบตตามนโยบายความมนคงปลอดภยดานสารสนเทศหลาย
ครง และผบรหารเทคโนโลยสารสนเทศระดบสง มค าสงใหยกเลกบญชผใชงานอยางถาวร (๗.๒) เมอผบรหารรองขอ (๗.๓) เมอสนสดสญญา (ส าหรบผใชงานทเกยวของ) (๗.๔) เมอหมดเวลาการใชงานท กวส. ก าหนด (ส าหรบผใชงานภายนอก)
ขอ ๔ การบรหารจดการสทธของผใชงาน (User Management) ตองจดใหมการควบคมและจ ากดสทธเพอ เขาถงและใชงานระบบสารสนเทศแตละชนดตามความ
เหมาะสม ทงนรวมถงสทธทวไป สทธพเศษ และสทธอนใดทเกยวของกบการเขาถง โดยปฏบตตามแนวทางดงนดงน (๑) การขอสทธของผใชงาน
(๑.๑) ผบรหารระดบสง ผบรหารเทคโนโลยสารสนเทศระดบสง และผบรหารไดรบสทธพเศษซงเปนสทธทมการจ ากดการใชงานนอยทสด โดยมตองรองขอ
(๑.๒) เจาหนาท ผทเกยวของ ผดแลระบบ และผรบผดชอบระบบสารสนเทศ ตองปฏบตตามขนตอนการลงทะเบยน (User Register) ตามท สอน.ก าหนดใน ภาคผนวก ก. เพอใหมสทธในการเขาถงและใชงานระบบสารสนเทศตามภารกจและความจ าเปน ดงน
- สทธทวไป หมายถง สทธในการเขาถงเครอขายของ สอน. เพอ Download ขอมลเผยแพรหรอเอกสารทใชส าหรบการประชม การใชงาน Internet หรออปกรณบนเครอขาย เชน Printer Network
๑๖
- สทธของผใชงานระบบสารสนเทศหรอระบบงาน หมายถง สทธในการเขาถงขอมลในระบบสารสนเทศซงผขอใชงานตองระบวตถประสงคและระดบของขอมลตามภารกจทจะเขาถงอยางชดเจนตามความจ าเปนในการปฏบตหนาทและตองไดรบการอนมต กอนเขาใชงาน
- สทธสงสด หมายถง สทธของผดแลระบบหรอผรบผดชอบระบบสารสนเทศ เปนสทธพเศษทผขอตองเปนผทเกยวของและมหนาทหรอภารกจทไดรบมอบหมายใหดแล บรหารจดการ พฒนาและบ ารงรกษาระบบสารสนเทศ ของ สอน.
(๑.๓) ผใชงานภายนอกตองเขยนเอกสารใบค ารองขอใชบรการยนดวยตนเองตอเจาหนาท กวส. เพอเสนออนมตตอหวหนากลม ซงจะไดรบสทธขนพนฐานทเปนการใชงานชวคราวตามระยะเวลาทก าหนด
(๑.๔) ในกรณถกระงบสทธใหเขยนใบค ารองเพอขอเปดสทธการใชงาน (๒) การระงบสทธผใชงาน
(๒.๑) เมอฝาฝนหรอไมปฏบตตามนโยบายความมนคงปลอดภยดานสารสนเทศ และหวหนากลมมค าสงใหระงบสทธผใชงานทงหมดหรอบางสวน
(๒.๒) เมอผอ านวยการส านกรองขอใหระงบสทธผใชงานทงหมดหรอบางสวน (๒.๓) เมอ Login ผดเกน ๓ ครงตดตอกน
(๓) การยกเลกสทธผใชงาน (๓.๑) เมอฝาฝนหรอไมปฏบตตามนโยบายความมนคงปลอดภยดานสารสนเทศหลาย
ครง และ ผบรหารเทคโนโลยสารสนเทศ มค าสงใหยกเลกสทธผใชงาน (๓.๒) เมอผอ านวยการส านกรองขอใหยกเลกสทธผใชงาน (๓.๓) เมอสนสดสญญา (ส าหรบผใชงานทเกยวของ) (๓.๔) เมอหมดเวลาการใชงานท กทส. ก าหนด (ส าหรบผใชงานภายนอก)
ขอ ๕ การบรหารจดการรหสผานส าหรบผใชงาน (User Password Management)
ตองจดใหมกระบวนการบรหารจดการรหสผานส าหรบผใชอยางรดกม โดยปฏบตตามแนวทางดงน
(๑) ผดแลระบบตองก าหนดใหมการใชงานบญชผใชงานและรหสผานแยกเปนรายบคคล เพอใหสามารถตดตามการใชงานและก าหนดเปนความรบผดขอบของแตละคนได
(๒) การตงรหสผานชวคราว ตองยากตอการเดา และตองมความแตกตางกน (๓) ตองก าหนดรหสผานตามเงอนไข ดงน
(๓.๑) มความยาวไมนอยกวา ๘ ตวอกษร (๓.๒) ประกอบดวยตวอกษรพมพเลก ตวอกษรพมพใหญ อกขระสญลกษณ ตวเลข (๓.๓) ไมมความหมายในพจนานกรมภาษาใดๆ ทงสน (๓.๔) ไมก าหนดรหสผานจากชอหรอนามสกลของตนเอง ชอเลน ชอบคคลในครอบครว
ชอบคคลทมความสมพนธใกลชดกบตน และจากค าศพททใชในพจนานกรม
๑๗
(๔) สงมอบรหสผานชวคราว ใหกบผใชงานดวยวธการทปลอดภย ไมใชบคคลอนหรอการสงจดหมายอเลกทรอนกส ในการจดสงรหสผาน
(๕) การเปลยนแปลงรหสผาน สามารถกระท าได ๒ วธ ดงน (๕.๑) การเปลยนแปลงรหสผานโดยผใชงาน ควรท าเมอไดรบรหสผานชวคราวหรอเกด
ความไมมนใจในความปลอดภย สามารถกระท าผานหนาจอจดการขอมลรหสผานภายในระบบปฏบตการของตน (๕.๒) การเปลยนรหสผานโดยผดแลระบบ เนองจากผใชจ ารหสผานไมได ผใชจะตองท า
การกรอกแบบฟอรมขอใชบรการทางดานเทคโนโลยสารสนเทศ เสนอตอผบงคบบญชา ตามล าดบ ไปยงหวหนากลมวชาการและสารสนเทศฯ เพอพจารณาอนมต หลงจากนนผดแลระบบจงด าเนนการตงรหสผานชวคราวใหใหม ผใชงานจะตองท าการเขาสระบบเพอแกไขรหสผานดวยตนเองอกครง ทงนการเปลยนรหสผานควรเปลยนรหสผานตามรอบระยะเวลา ดงน
- ผดแลระบบ ตองเปลยนรหสผานอยางนอย ทก ๓ เดอน - ผใชงาน ตองเปลยนรหสผานอยางนอย ทก ๖ เดอน - เปลยนรหสผานทนท เมอทราบวารหสผานอาจถกเปดเผยหรอลวงร
(๖) การยกเลกรหสผาน คอการยกเลกสทธจะถกด าเนนการผานขนตอนการทบทวนสทธผใชงาน โดยเมอมค าสงโยกยาย ใหลาออก หรอค าสงจดการทรพยากรบคคลอนๆ ทท าใหจ าเปนตองยกเลกสทธ ใหผดแลระบบท าการจดเกบส าเนาค าสงแลวด าเนนการระงบการใชงานหรอลบบญชผใชงานผานระบบ Active Directory ตามแตกรณ
(๗) กรณผใชจ าเปนตองเขาถงขอมลหรอบรการจากหลายระบบ และจ าเปนตอง จดจ ารหสผานหลายตว ผใชงานสามารถใชรหสผานเดยว ส าหรบการเขาถง ทกระบบได ซงระบบเหลานนควรมการรกษาความมนคงปลอดภยในระดบทเชอถอได
(๘) ไมสงรหสผาน ผานระบบเครอขายโดยไมด าเนนการเขารหสเพอรกษาความลบกอน (๙) ตองก าหนดใหผใชงานปอนรหสผใชงานและรหสผานในการใชงาน เพอปองกนการปฏเสธ
ความรบผดชอบ
ขอ ๖ การทบทวนสทธการเขาถงของผใชงาน (Review of User Access Rights) (๑) ส านกงานเลขานการกรม ตองแจงให กทส. ทราบทนทเมอ
- มการบรรจ - มการเปลยนแปลงต าแหนงหนาทความรบผดชอบ - มการลาออกจากงานหรอสนสดการเปนผบรหาร บคลากร และลกจาง หรอการถงแกกรรม - มการโยกยายหนวยงาน - มการพกงาน การลงโทษทางวนย หรอถกระงบการปฏบตหนาท
(๒) ตองจดใหมการทบทวนสทธการเขาถงของผใชงานระบบสารสนเทศและปรบปรงบญช ผใชงาน ปละ ๑ ครง หรอเมอมการเปลยนแปลง ดงน
๑๘
(๒.๑) ผดแลระบบตองด าเนนการแกไขสทธการเขาถงของผใชทนททไดรบแจงการเปลยนแปลงจากส านกงานเลขานการกรม
(๒.๒) ผดแลระบบทบทวนสทธส าหรบผทมสทธการเขาถงระดบ สงสด ไดแก สทธผดแลระบบสงสดระดบหนวยงาน สทธผดแลระบบยอยตามค าสงมอบหมายของหนวยงานเจาของระบบสารสนเทศ ดวยความถทมากกวาผใชงานทวไป
(๒.๓) ผดแลระบบ ตองก าหนดใหมการบนทกการเปลยนแปลงตอบญชผใชงานทมสทธการเขาถงในระดบสงสด เพอใชในการทบทวนในภายหลง
(๒.๔) ผดแลระบบด าเนนการเพกถอนสทธผใชงานทพนสภาพการเปนขาราชการหรอเจาหนาทและบคลากร ของ สอน. ยกเวนกรณเกษยณอายราชการ อนญาตใหใชบญชรายชอผใชงานได
(๒.๕) ผดแลระบบตองก าหนดใหมการถอดถอนสทธการเขาถงระบบเทคโนโลยสารสนเทศโดย ทนทเมอผใชงานนนท าการลาออก/เปลยนต าแหนงงาน/โอนยายขามหนวยงานราชการ/ถงแกกรรม โดยอางองหนงสอราชการจากส านกงานเลขานการกรม
สวนท ๓ การบรหารจดการการเขาถงขอมลตามระดบชนความลบ
ขอ ๑ ผดแลระบบ ตองก าหนดวธปฏบตในการจดเกบขอมลและวธปฏบตในการควบคมการเขาถงขอมลแตละประเภทชนความลบทงการเขาถงโดยตรงและการเขาถงผานระบบงาน รวมถงวธการท าลายขอมลแตละประเภทชนความลบ โดยแบงชนความลบของขอมล เปน ๓ ระดบ ดงน
(๑) ลบทสด หมายถง ขอมลลบซงหากเปดเผยทงหมด หรอเพยงบางสวน จะกอใหเกดความเสยหายแกประโยชนแหงภาครฐรายแรงทสด
(๒) ลบมาก หมายถง ขอมลลบซงหากเปดเผยทงหมด หรอเพยงบางสวนจะกอใหเกดความเสยหายแกประโยชนแหงรฐอยางรายแรง
(๓) ลบ หมายถง ขอมลลบซงหากเปดเผยทงหมด หรอเพยงบางสวนจะกอใหเกดความเสยหายแกประโยชนแหงรฐ
ขอ ๒ การจดล าดบชนความลบและการบรหารจดการกบขอมลตามขอ ๑ ใหใชหลกเกณฑตาม พ.ร.บ. ขอมลขาวสารของทางราชการ พ.ศ. ๒๕๔๐ และระเบยบวาดวยการรกษาความลบของทางราชการ พ.ศ. ๒๕๔๔ โดยแสดงระดบชนความลบของเอกสารขอมลลบอยางชดเจนในเอกสารทเกยวของทกหนา
ขอ ๓ การจดล าดบชนความลบและการบรหารจดการกบขอมลตามขอ ๒ ใหอยในดลพนจของผบรหาร
ขอ ๔ การบรหารจดการกบขอมลตามขอ ๓ ตองมการตรวจสอบความถกตองเหมาะสมของขอมลทจะเผยแพรออกสสาธารณะผานทางเวบไซต ขอมลดงกลาวจะตองไมขดตอกฎหมายและมกลไกปองกนการเขาไปแกไขขอมลโดยไมไดรบอนญาต
๑๙
ขอ ๕ การรบ สง และจดเกบขอมลอเลกทรอนกสทประสงคจะใหเปนความลบไดอยางปลอดภยสามารถขอค าปรกษาหรอการสนบสนนในการเขารหสจากผดแลระบบไดโดยใหปฏบตตามระเบยบการรกษาความลบทางราชการ พ.ศ. ๒๕๔๔
ขอ ๖ ประเภทของขอมลแบงออกเปน ๓ ประเภท ดงน (๑) ขอมลทใชในการบรหารจดการ ไดแก ขอมล นโยบาย ยทธศาสตร บคลากร งบประมาณ
ค ารบรองการปฏบตราชการ การเงนและบญช (๒) ขอมลทใชในการด าเนนงาน ไดแก ขอมล กฎหมาย ระเบยบ ขอมลทเกยวกบภารกจ
หนาทของ สอน. (๓) ขอมลเพอการบรการ ไดแก รายงานทางวชาการ แผนทภาพถายดาวเทยม องคความร
ขอ ๗ ล าดบความส าคญของขอมล แบงออกเปน ๓ ระดบ ดงน (๑) ขอมลทมความส าคญมากทสด ไดแก ขอมลทะเบยนชาวไรออย หวหนากลมชาวไรออย
สถาบนชาวไรออย กากน าตาล ราคาออยขนตนและผลตอบแทนการผลตและจ าหนายน าตาลทรายขนตน และขนสดทายและผลตอบแทนการผลตและจ าหนายน าตาลทรายขนสดทาย
(๒) ขอมลทมความส าคญปานกลาง ไดแก ขอมลพนทปลกออย ขอมลภาพถายดาวเทยม ขอมลพนธออย ขอมลการสงออกน าตาล
(๓) ขอมลทมความส าคญนอย ไดแก ขอมลตามภารกจของ สอน. ทไมอยในขอ (๑) และ (๒)
ขอ ๘ ระดบการเขาถงขอมล แบงออกเปน ๓ ระดบ ดงน (๑) ขอมลทเขาถงไดเฉพาะผมสทธสงสด เพอเขาไปบรหารจดการระบบสารสนเทศ ไดแก
ผดแลระบบ (๒) ขอมลทเขาถงไดเฉพาะผไดรบอนมตสทธ หมายถง ขอมลทผใชงานตองไดรบการอนญาต
จากผรบผดชอบระบบสารสนเทศหรอผดแลระบบ ตามภาระหนาทและความจ าเปน (๓) ขอมลทเขาถงไดทกกลมผใชงาน หมายถงขอมลพนฐานทไดรบอนญาตจากผรบผดชอบระบบ
สารสนเทศหรอผดแลระบบ พจารณาแลววาสามารถเขาถงได
ขอ ๙ การก าหนดชองทางการเขาถงระบบสารสนเทศของ สอน. ตองก าหนด ดงน (๑) ตองใหผรบบรการสามารถเขาถงไดทงจากภายในและภายนอก สอน. (๒) ผรบบรการสามารถรบบรการขอมลขาวสารผานเวบไซตของ สอน. โดยไมตองลงทะเบยน (๓) ผรบบรการสามารถใชบรการสอบถามขอมลตาง ๆ ผานกระดานถามตอบท สอน.
จดเตรยมไวให โดย สอน. สงวนสทธในการลบขอความทไมสภาพ หยาบคาย ไมเหมาะสม หรอขดตอกฎหมายใด ๆ รวมทงขดตอศลธรรมอนด ออกจากระบบโดยไมจ าเปนตองแจงใหทราบ
(๔) ผรบบรการสามารถใชบรการต KIOS ทหองสมด สอน. เพอเขาถงขอมลขาวสารได
๒๐
สวนท ๔ การบรหารจดการดานความมนคงปลอดภยระบบเครอขาย
ขอ ๑ ก าหนดมาตรการทางเครอขายสอสารขอมลเพอปองกนขอมลในเครอขาย ระบบงาน หรอบรการตาง ๆ จากการถกเขาถงหรอถกท าลายโดยไมไดรบอนญาต ดงตอไปน
(๑) ก าหนดบคลากรผมหนาทรบผดชอบ งานทตองรบผดชอบ และขนตอนปฏบตส าหรบการบรหารจดการอปกรณเครอขายทใชในการเขาถงจากระยะไกล
(๒) ก าหนดขนตอนปฏบตส าหรบการบรหารจดการบญชผใชงานทอนญาตใหสามารถเขาใชระบบเทคโนโลยสารสนเทศจากระยะไกล
(๓) ก าหนดมาตรการพเศษเพอปองกนความลบและความถกตองของขอมลส าคญเมอตองสงผานขอมลนนทางเครอขายสาธารณะ โดยใหปฏบตตามระเบยบการรกษาความลบทางราชการ พ.ศ. ๒๕๔๔
(๔) ก าหนดมาตรการเพอปองกนระบบเทคโนโลยสารสนเทศทมการเชอมโยงกบเครอขายสาธารณะ
(๕) ก าหนดมาตรการเพอเฝาระวงสภาพความพรอมใชของระบบเทคโนโลยสารสนเทศตาง ๆ เพอใหสามารถใชงานไดอยางตอเนอง
(๖) มการบนทกขอมลพฤตกรรมการใชงานเกบ Log ของอปกรณเครอขายเพอใชในการตรวจสอบอยางสม าเสมอ
(๗) มการใชฮารดแวรหรอซอฟตแวร ส าหรบการบรหารจดการเครอขาย เพอเฝาระบ เฝาตรวจ ตดตามสถานะ อปกรณในระบบสารสนเทศของ สอน.
(๘) ท าทะเบยนขอมลอปกรณ ครภณฑคอมพวเตอร อปกรณสอสารเคลอนทและระบบเครอขาย รวมทงหมายเลข Media Access Control Address (MAC Address) เพอใหสามารถระบอปกรณบนระบบเครอขายได
ขอ ๒ การควบคมการเขาถงเครอขาย (Network Access Control) (๑) การใชงานบรการเครอขาย
(๑.๑) ผดแลระบบ ด าเนนการออกแบบระบบเครอขายตามกลมการใหบรการระบบเทคโนโลยสารสนเทศทมการใชงาน ตามกลมผใช และกลมของระบบสารสนเทศ และก าหนดใหผใชสามารถเขาถงระบบสารสนเทศไดแตเพยงบรการทไดรบอนญาตใหเขาถงเทานน เพอเปนการควบคมและปองกนการบกรกไดอยางเปนระบบ และใหค านงถงความมนคงปลอดภยเปนส าคญ
(๑.๒) การเขาสระบบเครอขายของ สอน. ตองปฏบตตามขนตอนการลงทะเบยน (User Register) ตามท สอน. ก าหนดใน ภาคผนวก ก. โดยทผขอใชงานจะตองลงนามรบทราบนโยบายความมนคงปลอดภยและแนวปฏบตของ สอน. อยางเครงครดและจะตองไดรบการอนมตเปนลายลกษณอกษรจากผบงคบบญชาของหนวยงานตนสงกดและผานความเหนชอบจากหวหนากลมกอนทจะสามารถใชงานได ในทกกรณ
๒๑
(๑.๓) การใชงานระบบสารสนเทศทส าคญตองใหสทธเฉพาะการปฏบตงานในหนาทและตองไดรบความเหนชอบจากผบงคบบญชาของหนวยงานเจาของระบบเปนลายลกษณอกษร รวมทงตองทบทวนสทธ ปละ ๑ ครง
(๑.๔) สทธการใชงานเครอขายเปนสทธพเศษ (Pivilege) ท สอน. มอบใหบคคล หรอหนวยงานทไดรบสทธ เฉพาะบรการหรอระบบสารสนเทศทไดรบอนญาตใหเขาถงเทานน ไมสามารถโอนสทธใหแกบคคลอนหรอหนวยงานอนได
(๑.๕) ผใชทฝาฝนระเบยบการใชงานระบบเครอขายคอมพวเตอรจะถกพจารณาระงบ และ/หรอ ยกเลกบญชผใชงาน และ กทส. จะแจงหนวยงานตนสงกดเพอพจารณาโทษผใชทฝาฝนระเบยบดวย
(๑.๖) การใชงานทไมอนญาตใหปฏบต (๑.๖.๑) การใชระบบเครอขายคอมพวเตอร เพอการกระท าสงทผดกฎหมาย
(๑.๖.๒) การเขาใชระบบคอมพวเตอรดวยบญชรายชอของผอนทงทไดรบอนญาตและไมไดรบอนญาตจากเจาของบญช
(๑.๖.๓) การเขาถงขอมลของผอนเพอคดลอก แกไข ลบ หรอพมเตม โดยไมไดรบอนญาต
(๑.๖.๔) การใชงานทเปนสาเหตท าใหมผลตอประสทธภาพการท างานของระบบเครอขายลดลง หรอท าใหระบบคอมพวเตอรและระบบเครอขายคอมพวเตอรเสยหาย
(๑.๖.๕) การเผยแพรและ/หรอการเขาถงสอลามกอนาจาร (๑.๖.๖) การใชทรพยากรและระบบเครอขายคอมพวเตอรเพอประกอบธรกจ
หรอเขาขายลกษณะเพอการคาหรอเพอแสวงหาก าไรผานเครองคอมพวเตอร และเครองแมขาย ไดแก การประกาศแจงความการซอหรอการจ าหนายสนคา การน าขอมลไปขาย การรบบรการคนหาขอมลโดยคดคาบรการ การบรการโฆษณาสนคา
(๑.๖.๗) ไมอนญาตใหใชงานโปรแกรมแชรขอมลประเภท Peer to Peer Network
(๒) การยนยนตวบคคลส าหรบผใชทอยภายนอกองคกร (User Authentication for External Connections) ส าหรบผใชทอยภายนอก สอน. ผดแลระบบตองก าหนดใหมการยนยนตว บคคลกอนทจะอนญาตเขาใชงานเครอขายและระบบสารสนเทศของ สอน. ดงน
(๒.๑) ในการเชอมตอเขาสระบบเครอขายของ สอน. ผใชงานตองมการ Login เพอแสดงตวตนดวย Username และ Password และพสจนยนยนตวตน (Authentication) เพอตรวจสอบความถกตอง
(๒.๒) การเขาสระบบสารสนเทศของ สอน. จะตองมการตรวจสอบเพอพสจนตวตนผใชงานอกครง จงอนญาตใหเขาถงระบบขอมลได
(๓) การระบอปกรณบนเครอขาย (Equipment Identification in Networks) (๓.๑) ผดแลระบบด าเนนการส ารวจขอมลอปกรณทเชอมตอบนเครอขายของทก
หนวยงานในอาคารของ สอน. ตามรอบการบ ารงรกษาระบบ (Preventive Maintenance) และจดท าเอกสารผลการส ารวจ จ านวน ๒ รายการ ไดแก
๒๒
(๓.๑.๑) แผนภาพทแสดงต าแหนงทตงอปกรณภายในอาคารสถานท (๓.๑.๒) เอกสารแสดงการจดเกบขอมลในรปแบบตารางทแสดงความสมพนธ
ระหวางขอมล อยางนอย ดงน -- ชอของผใช/ผรบผดชอบอปกรณ -- ชออปกรณ และ Domain ของอปกรณ -- หมายเลข IP Address -- ชอสวนงานทใชอปกรณ -- หมายเลขครภณฑ -- วน เดอน ป ทท าการส ารวจ
(๓.๒) ผดแลระบบด าเนนการจดท าแผนปาย (Label) ทระบขอมลของอปกรณตามผลการส ารวจ ส าหรบตดก ากบทอปกรณเพอความสะดวกในการจ าแนกประเภทและชนดของอปกรณบนเครอขาย
(๔) การปองกนพอรตทใชส าหรบตรวจสอบและปรบแตงระบบ (Remote Diagnostic and Configuration Port Protection)
(๔.๑) บคคลภายนอกเขามาตดตอหรอเขามาด าเนนการใด ๆ ในหอง Server จะตองลงชอ เขา - ออก พนท ใหถกตองและไดรบการอนมตจากหวหนากลมกอน และตองมเจาหนาทอยกบบคคลทมาตดตอตลอดเวลา
(๔.๒) บคคลภายนอกทเขามาด าเนนการบ ารงรกษาระบบ ปรบแตงหรอบรหารจดการพอรตของอปกรณเครอขาย หรอบรหารจดการผานระบบเครอขาย ตองไดรบอนมตจากหวหนากลมกอน
(๔.๓) ผดแลระบบตองก าหนดการเปด - ปดพอรตของอปกรณเครอขาย เพอควบคมการเขาถงพอรตของอปกรณเครอขายตาง ๆ โดยจะปดพอรตทเสยงตอการกอใหเกดความเสยหายตอ ระบบเครอขายคอมพวเตอร
(๔.๔) ท าการควบคมการเขาถงพอรตทใชส าหรบการวเคราะหปญหาและตงคาระบบ ดวยการปดการเขาถงโดยตรงจากภายนอกทงหมด ผใชทตองการเขาถงพอรตจะตองท าการลอกอนเชอมตอกบ VPN กอนจงสามารถใชงานได กายภาพ และโดยการลอกอนเขามาใชงาน
(๔.๕) ผดแลระบบตองท าการ ตรวจสอบเพอ เปด – ปด พอรตของระบบหรออปกรณตามความจ าเปนตอการใชงานอยางนอยสปดาหละ ๒ ครง
(๕) การแบงแยกเครอขาย (Segregation in Networks) (๕.๑) ผดแลระบบ ตองมการออกแบบระบบเครอขายตามกลมการใหบรการระบบ
เทคโนโลยสารสนเทศทมการใชงาน ตามกลมผใช และกลมของระบบสารสนเทศ เพอเปนการควบคมและปองกนการบกรกไดอยางเปนระบบ และใหค านงถงความมนคงปลอดภยเปนส าคญ
(๕.๒) ผดแลระบบ ด าเนนการจดแบงระบบเครอขาย (VLAN) ของเครองคอมพวเตอร ลกขายออกเปนเครอขายยอย ตามโครงสรางอยางเหมาะสมในการปฏบตงานและการบรหารจดการ
๒๓
(๕.๓) ผดแลระบบ ด าเนนการแยกเครองคอมพวเตอรแมขายส าหรบใหบรการขอมลสารสนเทศ กบเครองคอมพวเตอรส าหรบผใชงาน โดยใช Core Switch และ Firewall หรออปกรณเครอขายอน ๆ เพอจ ากดใหเฉพาะกลมผใชงานทไดรบอนญาตเทานน จงจะสามารถเชอมตอเขาไปยงเครองคอมพวเตอรแมขายทใหบรการนนได
(๕.๔) จดท าแผนผงระบบเครอขาย (Network Diagram) ทแสดงขอบเขตทครอบคลมแตละสวนทแบงแยก และอปกรณตาง ๆ พรอมทงปรบปรงใหเปนปจจบนอยเสมอ
(๖) การควบคมการเชอมตอทางเครอขาย (Network Connection Control) ตองควบคมการเขาถงหรอใชงานเครอขายทมการใชรวมกนหรอเชอมตอระหวางกนให สอดคลองกบแนวปฏบตการควบคมการเขาถง ดงน
(๖.๑) ระบบเครอขายทงหมดของหนวยงานทมการเชอมตอไปยงระบบเครอขายอน ๆ ภายนอกหนวยงาน ตองเชอมตอผานอปกรณปองกนการบกรกหรอโปรแกรมในการท า Packet Filtering ไดแก การใช IPS, Firewall, Proxy และ Mail Gateway
(๖.๒) ตดตงระบบตรวจจบและปองกนการบกรก (IDS/IPS) ส าหรบตรวจสอบการใชงานของบคคลทเขาใชงานระบบเครอขายของหนวยงานในลกษณะทผดปกตผานเครอขายหรอมการแกไขเปลยนแปลงระบบเครอขายโดยบคคลทไมมอ านาจหนาทเกยวของ
(๖.๓) การเชอมตอเขาสระบบเครอขายของ สอน. ผใชงานตองมการ Login ดวย Username และ Password และตองมการพสจนยนยนตวตน (Authentication) เพอตรวจสอบความถกตอง
(๖.๔) ในกรณทผดแลระบบตรวจสอบพบวาเครอขายสวนใดกอใหเกดความผดปกตตอระบบเครอขายหลก ของสอน. จะท าการหยดใหบรการโดยการตดการเชอมตอกบระบบเครอขายกลาง โดยไมมการแจงใหทราบลวงหนา จนกวาจะมการแกไขใหท างานไดเปนปกตกอน
(๖.๕) จดท าแผนผงระบบเครอขาย (Network Diagram) ซงมรายละเอยดเกยวกบขอบเขต (Zone) ของเครอขายภายในและเครอขายภายนอก และอปกรณตาง ๆ พรอมทงปรบปรงใหเปนปจจบนอยเสมอ
(๖.๖) ใหผดแลระบบใชเครองมอ (Tool) ไดแก BLUE COAT Management Consoleหรอ Dashboard Fortigate Firewall เพอท าการตรวจสอบการเชอมตอระบบเครอขาย
(๖.๗) ก าหนดใหมการบนทกการท างานของระบบปองกนการบกรก ไดแก บนทกการเขาออกระบบ บนทกการพยายามเขาสระบบ บนทกการใชงาน Command Line และ Firewall Log เพอประโยชนในการตรวจสอบและตองเกบบนทกดงกลาวไวอยางนอย ๓ เดอน หรอไมต ากวา ๙๐ วน
(๖.๘) มการตรวจสอบบนทกการปฏบตงานของผใชงานอยางสม าเสมอ (๗) การควบคมการจดเสนทางบนเครอขาย (Network Routing Control)
(๗.๑) ผดแลระบบ ด าเนนการก าหนดตารางการใชเสนทางบนระบบเครอขาย บนอปกรณคนหาเสนทาง (Router) หรอ อปกรณกระจายสญญาณ เพอควบคมการใชงานเฉพาะเสนทางทไดรบอนญาตเทานน
๒๔
(๗.๒) ผดแลระบบ ตองจ ากดการใชเสนทางบนเครอขาย (Enforced Path) จากเครองคอมพวเตอรของผใชงานไปยงเครองคอมพวเตอรหรออปกรณเครอขายเพอการวเคราะหปญหาและตงคาระบบ ใหก าหนดเฉพาะชด IP Address ของผดแลระบบเทานนทสามารถเขาถงได
(๗.๓) ก าหนดบคคลทรบผดชอบในการก าหนด ตงคา แกไข หรอเปลยนแปลงคาตวแปร (Parameter) ตาง ๆ ของระบบเครอขายและอปกรณตาง ๆ ทเชอมตอกบระบบเครอขายอยางชดเจน และมการทบทวนการก าหนดคาตวแปร (Parameter) ตาง ๆ อยางนอยปละ ๑ ครง
(๗.๔) ขอมลหมายเลขชดอนเตอรเนตของคอมพวเตอร ( IP Address) ภายใน (Local) ของระบบงานเครอขายภายในของ สอน. จ าเปนตองมการปองกนมใหหนวยงานภายนอกทเชอมตอสามารถมองเหนได เพอเปนการปองกนไมใหบคคลภายนอกสามารถรขอมลเกยวกบโครงสรางของระบบเครอขายและสวนประกอบของ สอน. ไดโดยงาย
(๗.๕) หามท าการวางสายเครอขายเพมเตมเองโดยไมไดรบอนญาต ทงนรวมไปถงการตดตง เครอขายแบบไรสายดวย (Wireless Network) การตดตงและการเชอมตออปกรณเครอขายจะตองด าเนนการโดยเจาหนาท กทส. หรอผทไดรบมอบหมายจากผดแลระบบ เทานน
ขอ ๓ การเขาถงระบบเครอขายหรอระบบสารสนเทศจากระบบเครอขายภายนอก ผดแลระบบและผรบผดชอบระบบสารสนเทศของหนวยงานภายใน สอน. ตองดแลรกษาความปลอดภยโดยตองควบคมและจ ากดใหด าเนนการใชไดเฉพาะเทาทจ าเปนเทานน โดยมแนวทางปฏบต ดงน
(๑) การเขาสระบบจากระยะไกล (Remote Access) สระบบเครอขายคอมพวเตอรของ สอน. กอใหเกดชองทางทมความเสยงสงตอความปลอดภยของขอมลและทรพยากรของ สอน. การควบคมบคคลทเขาสระบบของ สอน. จากระยะไกลจงตองมการก าหนดมาตรการรกษาความปลอดภยทเพมขนจากมาตรฐานการเขาสระบบภายใน ผใชงานตองท าการเชอมตอผานระบบ VPN
(๒) วธการใด ๆ กตามทสามารถเขาสขอมลหรอระบบขอมลได จากระยะไกลตองไดรบการอนมตจากผบงคบบญชาหรอผทไดรบมอบอ านาจกอน และมการควบคมอยางเขมงวดกอนน ามาใชและผใชตองปฏบตตามขอก าหนดของการเขาสระบบและขอมลอยางเครงครด
(๓) การใหสทธในการเขาสระบบจากระยะไกล ผใชตองแสดงหลกฐานระบเหตผลหรอความจ าเปนในการด าเนนงานกบ สอน. อยางเพยงพอและตองไดรบอนมตจากผบงคบบญชากอน
(๔) การอนญาตใหผใชเขาสระบบจากระยะไกล ตองอยบนพนฐานของความจ าเปนเทานน และตองมการควบคมพอรต (Port) ทใชในการเขาสระบบอยางรดกม
(๕) ให กทส. จดท าระบบ VPN (Virtual Private Network) โดยเปนชองทางเฉพาะทมการเขารหสเพอปองกนการดกจบขอมลระหวางทาง โดยผใชงานจะสามารถเขาถงระบบสารสนเทศหรอระบบงานไดเฉพาะทตนเองมสทธเทานน ทงน ผใชงานจะตอง Login โดยใช Username และ Password ตามบญชผใชงานทกครง เพอพสจนยนยนตวตน (User Authentication) กอนใชงาน
๒๕
สวนท ๕ การบรหารจดการระบบสารสนเทศ
ขอ ๑ การพฒนาระบบสารสนเทศของ สอน. จะตองควบคมการพฒนาระบบสารสนเทศใหมมาตรฐานดานความมนคงปลอดภย ดงน
(๑) มการพสจนตวตนของผใชงานและแจงเตอนเมอการพสจนตวตนผดพลาด (๒) สามารถแยก Function การท างานตามภารหนาท (๓) สามารถสรางกลมผใชไดตามสทธของผใชงาน (๔) สามารถจดเกบ Log การใชงาน (๕) สามารถยนยนหรอแจงเตอนการเปลยนแปลงแกไขขอมล (๖) ม Function ในการปรบปรงสทธของผใชงาน
ขอ ๒ ผดแลระบบเปนผตรวจสอบ Function (s) ดานความมนคงปลอดภย ตามขอ ๑
ขอ ๓ ผดแลระบบและผรบผดชอบระบบสารสนเทศ ของหนวยงานภายใน สอน. ตองก าหนดระยะเวลาการใชงานระบบสารสนเทศ (Session Time-Out) ดงน
(๑) ก าหนดใหระบบสารสนเทศ ไดแก ระบบงาน ระบบเครอขาย มการตดการตดตอและหมดเวลาการใชงาน รวมทงปดการใชงานดวย หลงจากทไมมกจกรรมการใชงานชวงระยะเวลาหนงทก าหนดไว
(๒) ก าหนดใหระบบสารสนเทศมการตดการตดตอและหมดเวลาการใชงานทสนขนส าหรบระบบสารสนเทศทมความเสยงสง ไดแก ระบบงานทมการจดล าดบวาเปนขอมลทมความส าคญมาก หรอระบบงานทมการก าหนดชนความลบ เพอปองกนการเขาถงขอมลโดยไมไดรบอนญาต
(๓) แนวทางปฏบต (๓.๑) เมอผใชงานไมไดใชงานหรอวางเวนจากการใชงานในระยะเวลา ๑๕ นาท หรอตามท
ผรบผดชอบก าหนด ใหมการตดการเชอมตอการใชงานออกจากระบบสารสนเทศโดยอตโนมต (๓.๒) ถามความพยายามเขาสระบบใหม ใหยนยนการใชงานโดยใสชอผใช (Username)
และรหสผาน (Password) หรอวธการทปลอดภยในการยนยนตวบคคลในทก ๆ ครง
ขอ ๔ ผดแลระบบและผรบผดชอบระบบสารสนเทศ ของหนวยงานภายใน สอน. ตองก าหนดการจ ากดระยะเวลาการเชอมตอระบบสารสนเทศ (Limitation of Connection) ดงน
(๑) ก าหนดใหระบบงานทมการจ ากดชวงระยะเวลาการเชอมตอส าหรบการใชงานเพอใหผใชงานสามารถใชงานไดนานทสดภายในระยะเวลาทก าหนดเทานน
(๒) ก าหนดใหระบบสารสนเทศ ไดแก ระบบงานทมความส าคญสง ระบบงานทมการใชงานในสถานททมความเสยง (ในทสาธารณะหรอพนทภายนอกหนวยงาน) ระบบงานทก าหนดชนความลบ มการจ ากดชวงระยะเวลาการเชอมตอเพอปองกนบคคลทไมมสวนเกยวของเขาถงขอมลไดโดยงาย
(๓) การเชอมตอเขาสระบบสารสนเทศของ สอน. มแนวทางปฏบต ดงน (๓.๑) การเชอมตอเขาสระบบสารสนเทศของ สอน. ก าหนดใหใชงานได ๒ ชวโมงตอการ
เชอมตอหนงครง หรอตามผบงคบบญชาเหนสมควร
๒๖
(๓.๒) การเชอมตอเขาสระบบสารสนเทศของ สอน. ก าหนดใหใชงานไดเฉพาะในชวงเวลาราชการ (๐๘.๓๐ – ๑๖.๓๐ น.) เทานน
(๓.๓) การเชอมตอเขาสระบบสารสนเทศของ สอน. ถากระท าในชวงนอกเวลาท างานตามปกต ตองแจงขอใชงานจากผดแลระบบกอนเพอใหมการบนทกไวตรวจสอบ
ขอ ๕ การควบคมผรบเหมา (Outsource) กรณมการจางเหมาบ ารงรกษา ดแล และพฒนาระบบ สารสนเทศ มวธการปฏบตดงน
(๑) มกระบวนการคดเลอกผรบเหมาโดยเฉพาะ และตองก าหนดคณสมบตของผรบเหมาท ชดเจน เพอใหไดผรบเหมาชวงทมคณสมบตตรงตามมาตรฐานทหนวยงานตองการ ดงน
(๑.๑) ตองมประสบการณ
(๑.๒) มลกคาอางองนาเชอถอ
(๑.๓) มใบรบรองทางดานทกษะวชาชพตามมาตรฐานสากล
(๑.๔) มความพรอมดานเทคโนโลยของการรบเหมาชวงทงในสวนของฮารดแวรและ ซอฟทแวรรวมถงระบบสนบสนนอนๆ
(๒) มขอตกลงหรอสญญาอยางชดเจนในการวาจางผรบเหมาและ ตองก าหนดขอบเขตและ ระดบการรบเหมาชวงอยางชดเจน และผรบเหมาตองน าเสนอ รายละเอยดขอบเขตงาน อยางครบถวน
(๓) สอน. มสทธในการตรวจสอบตามสญญาการใชงานระบบเทคโนโลยสารสนเทศและการสอสารเพอใหมนใจไดวา สอน. สามารถควบคมการใชงาน ไดอยางทวถงตามสญญานน ดงน
(๓.๑) รายละเอยดเกยวกบวธการท างาน
(๓.๒) การก าหนดระยะเวลาตรวจตดตามคณภาพของผรบเหมาเปนระยะๆ หรอแบบสม ตรวจสอบการปฏบตงานในจดทส าคญ เพอพจารณากระบวนการทผรบเหมาชวงใชในการปฏบตงาน และเพอประเมนความสม าเสมอของผรบเหมาในการกระท าตามขอก าหนดของหนวยงาน
(๔) ตองควบคมการเขาถงของขอมลทชดเจน มระบบบนทกการเขาถงขอมล และการส ารอง ขอมลทกขนตอน จ ากดการเขาถงขอมลส าคญหรอใหใชขอมลจากชดจ าลองแทนขอมลจรง และตองท าเรองขออนญาตเปนลายลกษณอกษร เพอขออนมตจากหวหนากลมเทคโนโลยสารสนเทศ โดยตองมรายละเอยดในการเขาระบบสารสนเทศอยางนอย ดงน
(๔.๑) เหตผลในการขอใชงาน
(๔.๒) ระยะเวลาในการใชงาน
(๔.๓) การตรวจสอบความปลอดภยของอปกรณทเชอมตอเครอขาย
(๔.๔) การตรวจสอบ Mac Address ของอปกรณทเชอมตอ
๒๗
(๕) มหลกเกณฑและกระบวนการในการตรวจรบงานทสงมอบโดยผรบเหมาทชดเจน เพอใหไดงานตรงตามมาตรฐานทก าหนด
(๖) ผรบเหมาทท างานใหกบ สอน. ทกหนวยงาน ไมวาจะท างานอยภายใน หรอนอกสถานท จ าเปนตองลงนามใน “สญญาการไมเปดเผยขอมลของ สอน.” โดยสญญาตองท าใหเสรจกอนใหสทธในการเขาสระบบสารสนเทศ และ ผดแลระบบตองควบคมการปฏบตงานนนๆ ใหมความปลอดภยทง 3 ดาน คอ การรกษา ความลบ (Confidentiality) การรกษาความถกตองของขอมล (Integrity) และการรกษา ความพรอมทจะใหบรการ (Availability) และใหก าหนดการเขาใชงานเฉพาะบคคลทจ าเปน เทานน
(๗) ผรบเหมาตองจดท าคมอการปฏบตงาน และเอกสารทเกยวของรวมทง มการปรบปรงให ทนสมย และหากมการปรบเปลยนจะตองแกไขใหถกตอง เพอใชควบคมและตรวจสอบการ ใหบรการของผใหบรการวาเปนไปตามขอก าหนด
ขอ ๖ ระบบสารสนเทศทมผลกระทบตอองคกร ตองมการจดท าระบบส ารองขอมล
สวนท ๖ การควบคมการเขาถงระบบปฏบตการ โปรแกรมประยกต และโปรแกรมอรรถประโยชน
ขอ ๑ การตดตงโปรแกรมระบบปฏบตการ โปรแกรมประยกต และโปรแกรมอรรถประโยชนส าหรบเครองคอมพวเตอรแมขาย รวมทงเครองคอมพวเตอรลกขายของ สอน. ใหกระท าโดยผดแลระบบ โดยโปรแกรมดงกลาวตองไมละเมดลขสทธ
ขอ ๒ การควบคมการเขาถงระบบปฏบตการ ใหด าเนนการ ดงน (๑) กรณเครองแมขาย (Server Computer)
(๑.๑) ผดแลระบบด าเนนการเชอมตอเครองแมขายส าหรบใหบรการทกเครองเขากบระบบ Domain Controller ทท าหนาทบรหารจดการเครองคอมพวเตอร เพอใชบรหารจดการ ก าหนดนโยบาย ควบคลมดแลบญชผใชงาน ตรวจสอบเครองคอมพวเตอรทกเครองของ สอน.
(๑.๒) สรางบญชผใชงานและใหสทธในการเขาถงระบบปฏบตการเทาทจ าเปน และตองคอยตรวจสอบบญชรายชอออยางนอยเดอนละ ๑ ครง เพอยกเลกบญชทไมไดใชงาน
(๑.๓) หลกเลยงการใชบญช Administrator ในการเขาระบบ โดยใหสรางและใชบญชผใชงานทระบไดวาเปนผใดก าลงใชงานอย
(๑.๔) ผใชงานตองท าการลงบนทกออก (Logout) ทนทเมอเลกใชงาน (๑.๕) ผดแลระบบตองตรวจสอบ Event Log เปนประจ าเพอดวามผไมประสงคด
พยายามบกรกเขาถงระบบโดยไมไดรบอนญาตหรอไม (๑.๖) การเขาใชงานระบบปฏบตการจากเครอขายภายนอก จะตองผาน VPN ท
ก าหนดใหเทานน (๒) กรณเครองคอมพวเตอรลกขาย (Client Computer)
(๒.๑) ก าหนดใหเครองคอมพวเตอรทกเครองใน สอน. ตองท าการ Join Domain เพอใหสามารถควบคมและก าหนดนโยบายผาน Domain Controller ได
๒๘
(๒.๒) การตงคา BIOS บน Mainboard ใหตงรหสผานเพอปองกนการแกไข (๒.๓) ใหสทธการใชงานระบบปฏบตการของเครองคอมพวเตอรลกขายทระดบ User (๒.๔) ผใชงานตองตงคาโปรแกรมพกหนาจอ (Screen Saver) ใหมรหสผานเพอท าการ
ลอค หนาจอภาพเมอไมมการใชงานเกนกวา 5 นาท (๒.๕) ผใชงานตองท าการลงบนทกออก (Logout) ทนทเมอเลกใชงานหรอไมอยท
หนาจอเปน เวลานาน
ขอ ๓ การระบและยนยนตวตนของผใชงาน (User Identification and Authentication) ผใชงานตองแสดง ตวตนดวยชอผใชงาน และตองมการพสจนยนยนตวตนดวยการใชรหสผาน
ส าหรบการใชงานระบบ สารสนเทศ ดงน (๑) การพสจนตวตนส าหรบผใชงาน ผดแลระบบตองใหมการพสจนตวตนส าหรบผใชงานเปน
รายบคคลกอนทจะอนญาตใหเขาใชงานระบบ (๒) ผใชงานตองท าการพสจนตวตนโดยใช Username และ Password ของตนเองทกครง
กอนใช ระบบสารสนเทศ เพอปองกนผไมมสทธเขาใชงานระบบสารสนเทศ หากการระบและยนยน ตวตนของผใชงานมปญหา หรอเกดความผดพลาด ผใชงานด าเนนการแจงใหผดแลระบบท าการแกไข
(๓) ผใชงานตองเกบรกษาบญชผใชงานไวเปนความลบและหามเปดเผยตอบคคลอน หามโอน จ าหนาย หรอจายแจกใหผอน โดยไมไดรบอนญาตจากผบงคบบญชา
(๔) ผใชงานตองลงบนทกเขา (Login) โดยใชชอบญชผใชงานของตนเอง และท าการลงบนทกออก (Logout) ทกครง เมอสนสดการใชงานหรอหยดการใชงานชวคราว
ขอ ๔ การบรหารจดการรหสผาน (Password Management System)
ผดแลระบบตองจดท าหรอจดใหมระบบบรหาร จดการรหสผานทสามารถท างานเชงโตตอบ (Interactive) หรอมการท างานในลกษณะอตโนมต ซงเออตอการก าหนดรหสผานทมคณภาพ โดยตองปฏบตดงน
(๑) จ ากดระยะเวลาในการปอนรหสผาน หากผใชงานปอนรหสผานผดเกนจ านวนครงท ก าหนด ระบบจะท าการลอกสทธการเขาถงของผใชงาน ท าใหไมสามารถใชงานไดจนกวาผดแลระบบจะ ปลดลอกให
(๒) ระบบสามารถยตการเชอมตอจากเครองปลายทางได เมอพบวามความพยายามในการเดา รหสผานจากเครองปลายทาง
(๓) มระบบใหผใชงานสามารถเปลยนและยนยนรหสผานไดดวยตนเอง (๔) จดเกบไฟลขอมลรหสผานของผใชงานแยกตางหากจากขอมลของระบบงาน (๕) ไมแสดงขอมลรหสผานในหนาจอของผใชงานระหวางทผใชงานก าลงใสขอมลรหสผานของ
ตนเอง แตแสดงเปนเครองหมายจดหรอดอกจนบนหนาจอแทน
๒๙
(๖) เมอไดด าเนนการตดตงระบบแลว ใหยกเลกชอผใชงานหรอเปลยนรหสผานของทกชอผใชทได ถกก าหนดไวเรมตนทมาพรอมกบการตดตงระบบโดยทนท
ขอ ๕ โปรแกรมประยกตและโปรแกรมอรรถประโยชน ทเปนโปรแกรมมาตรฐานซงผดแลระบบตดตงใหเมอมการสงมอบเครองคอมพวเตอรแกผใชงาน มดงน
(๑) Microsoft Office (๒) Microsoft Windows (๓) Acrobat Reader (๔) Bitdefender Antivirus (๕) WinRAR/WinZip (๖) Google Chrome
ขอ ๖ ในกรณทผใชงานของหนวยงานใดตองการใชงานโปรแกรมอน ๆ นอกเหนอจากขอ ๕ ใหแจงเหตผลความจ าเปนมาท กทส. เพอพจารณาด าเนนการใหตอไป
สวนท ๗ การบรหารจดการดานความมนคงปลอดภยระบบเครอขายไรสาย
ขอ ๑ การควบคมการเขาถงระบบเครอขายไรสาย (Wireless LAN Access Control) มแนวทางปฏบต ดงน
(๑) ผดแลระบบตองควบคมสญญาณของอปกรณกระจายสญญาณ (Access Point) ใหรวไหลออกนอกพนทใชงานระบบเครอขายไรสายนอยทสด
(๒) ผดแลระบบท าการเปลยนคา SSID (Service Set Identifier) ทถกก าหนดเปนคาโดยปรยาย (Default) มาจากผผลตทนทน าอปกรณกระจายสญญาณ (Access Point) มาใชงาน
(๓) ผดแลระบบตองก าหนดคา WEP (Wired Equivalent Privacy) หรอ WPA (Wi-Fi Protected Access) ในการเขารหสขอมลระหวาง Wireless LAN Client และอปกรณกระจายสญญาณ (Access Point) และก าหนดคาใหไมแสดงชอระบบเครอขายไรสาย
(๔) ผดแลระบบเลอกใชวธการควบคม MAC Address (Media Access Control Address) หรอ ชอผใช (Username) รหสผาน (Password) ของผใชบรการทมสทธในการเขาใชงานระบบเครอขายไรสาย โดยจะอนญาตเฉพาะอปกรณทม MAC Address และชอผใช (Username) และรหสผาน (Password) ตามทก าหนดไวเทานนใหเขาใชระบบเครอขายไรสายไดอยางถกตอง
(๕) ผดแลระบบมการตดตงไฟรวอลล (Firewall) ระหวางระบบเครอขายไรสายกบระบบเครอขายภายในหนวยงาน
(๖) ผดและระบบตองใชซอฟตแวรหรอฮารดแวรตรวจสอบความมนคงปลอดภยของระบบเครอขายไรสายเพอคอยตรวจสอบและบนทกเหตการณทนาสงสยเกดขนในระบบเครอขายไรสายทผดปกต ใหผดแลระบบ รายงานตอผบงคบบญชาใหทราบทนท
๓๐
(๗) ผใชงานทมความประสงคจะใชงานระบบเครอขายไรสาย (Wireless) ตองปฏบตตามขนตอนการลงทะเบยน (User Register) ตามท สอน. ก าหนดในภาคผนวก ก. เพอใหมสทธในการใชระบบเครอขายไรสาย (Wireless) ตามภารกจและความจ าเปน
(๘) ผขอใชงานทไดรบอนมตแลว จะตองน าอปกรณไปท าการลงทะเบยนกบผดแลระบบกอนการใชงาน
ขอ ๒ การใชงานระบบเครอขายไรสาย มแนวปฏบต ดงน
(๑) หามผใชงานน าอปกรณ Wireless มาตดตงหรอเปดใชงานเองในหนวยงาน ไมวาจะเปนAccess point, Wireless Router, Wireless USB Client หรอ Wireless Card (๒) หามผใชงานเปดแชร Internet แบบ ad-hoc หรอ peer-to-peer Network หรอเปด แชรดวย Hotspot Bluetooth USB ผานโทรศพทมอถอ หรอสมารทโฟน (๓) ผใชงานตอง Login เพอพสจนตวตน โดยใช Username และ Password ตามบญชผใชงานทกครง
สวนท ๘ การรกษาความมนคงปลอดภยของจดหมายอเลกทรอนกส
ขอ ๑ ผใชงานระบบจดหมายอเลกทรอนกส ของ สอน. มหนาทและความรบผดชอบทตองปฏบต ดงน
(๑) ผมความประสงคจะใชบรการจดหมายอเลกทรอนกส (E-mail) ตองท าการกรอกแบบฟอรมการขอเขาใชบรการจดหมายอเลกทรอนกส ของหนวยงาน โดยยนค าขอผานหนวยงานทสงกดตามขนตอน (๒) เมอมการเขาสระบบจดหมายอเลกทรอนกสในครงแรกนน ควรเปลยนรหสผานโดยทนท (๓) ไมควรบนทกหรอเกบรหสผานไวในระบบคอมพวเตอร หรอเกบไวในททสงเกตได (๔) ไมเปดอานจดหมายทไมปรากฏชอเรอง (Subject) หรอชอผสงไมชดเจน (๕) ผใชตองไมเขาใชบญชจดหมายอเลกทรอนกสของผใชอนไมวาจะไดรบอนญาตหรอไมกตาม (๖) การสงจดหมายอเลกทรอนกสใหกบผรบบรการ หรอตามภารกจของหนวยงาน ผใชงานจะตองใชระบบจดหมายอเลกทรอนกสของสอน. เทานน หามไมใหใชระบบจดหมายอเลกทรอนกสอน เวนแตในกรณทระบบจดหมายอเลกทรอนกสของ สอน. ขดของและ ไดรบการอนญาตจากผบงคบบญชาแลวเทานน (๗) การใชงานจดหมายอเลกทรอนกส ผใชงานตองไมปลอมแปลงชอบญชผสง (๘) การใชงานจดหมายอเลกทรอนกส ตองใชภาษาสภาพ ไมขดตอจรยธรรม ไมท าการปลกปน ยวย เสยดส สอไปในทางผดกฎหมาย และผใชงานตองไมสงขอความทเปนความเหน สวนบคคล โดยอางวาเปนความเหนของ สอน. (๙) หามใชระบบจดหมายอเลกทรอนกสของ สอน. เพอเผยแพร ขอความ รปภาพ วดโอ เสยง ทมลกษณะ หยาบคาย หรอลามกอนาจารหรอสงอนใด ซงมลกษณะขดตอศลธรรม ความมนคงของประเทศ กฎหมาย หรอกระทบตอการด าเนนงานของ สอน. ตลอดจนเปนการรบกวนผใชงานอน รวมทงผรบบรการ สอน.
๓๑
(๑๐) หามใชระบบจดหมายอเลกทรอนกสของ สอน. เพอประกอบธรกจสวนตว หรอเพอบคคลอน (๑๑) การสงขอมลทเปนความลบ ไมควรระบความส าคญของขอมลลงในหวขอจดหมายอเลกทรอนกส (๑๒) หลงจากการใชงานระบบจดหมายอเลกทรอนกส เสรจสนควรออกจากระบบ (Logout) ทกครง
ขอ ๒ การระงบบญชจดหมายอเลกทรอนกส
บญชจดหมายอเลกทรอนกสเปนสทธพเศษเฉพาะ (Privilege) ทผใชไมสามารถโอนสทธใหแกผใชอนได สอน. คงไวซงอ านาจในการจ ากด ระงบ หรอเพกถอนสทธการใชโดยไมตองแจงใหผใชทราบลวงหนา หากไดรบแจงหรอตรวจพบการกระท าใดทขดกบนโยบาย หรออาจกอใหเกดปญหา ความมนคงปลอดภย หรอเสถยรภาพของระบบ หรอการกระท าทขดตอนโยบายหรอกฎหมายแหงรฐ การระงบใชบญชจดหมายอเลกทรอนกส มแนวปฏบต ดงน (๑) เมอผใชพนสภาพการอยในสงกดของ สอน. ผดแลระบบสามารถระงบบญชผใช ซงสงผลใหการเขาใชบญชจดหมายอเลกทรอนกสผานบญชนนถกระงบไปดวย (๒) ผใชสามารถรองขอการขยายสทธการใชบญชผใชเพอคงสทธ การใชบญชจดหมายอเลกทรอนกสเดมไวเมอตองพนสภาพการอยในสงกดของ สอน. โดยยนค ารองผานผบรหารตนสงกดพรอมแนบเหตผลความจ าเปนสงถง กทส. การอนญาตและระยะเวลาการขยายสทธใหเปนอ านาจของหวหนากลม หรอ ผบรหารสงสดมอบหมาย (๓) บญชผใชจดหมายอเลกทรอนกสของผใช สามารถถกระงบการใชงาน โดยค ารองขอจากผบรหารสงสดหรอผบรหาร หากพบวามการใชบญชจดหมายอเลกทรอนกสของผใชในสงกดของหนวยงานทขดกบนโยบายฉบบน (๔) บญชจดหมายอเลกทรอนกสของผใช สามารถถกระงบการใชงานโดยทนทโดยผดแลระบบ หากตรวจพบวามการใชงานทสงผลกระทบใหประสทธภาพระบบเครอขายดอยลงหรอขดตอนโยบาย ไมวาจะเปนการใชโดยผใชหรอการลกลอบเขาใชโดยผอน ทงน กทส. มสทธระงบการใชบญชจดหมายอเลกทรอนกส นน ๆ โดยไมตองแจงใหผใชทราบลวงหนา
สวนท ๙ หนาทความรบผดชอบของผใชงาน (User Responsibilities)
วตถประสงค
๓๒
เพอปองกนการเขาถงโดยไมไดรบอนญาต การเปดเผย หรอการขโมยขอมลระบบสารสนเทศ
ขอ ๑ การใชงานรหสผาน (Password Use) แนวทางปฏบต
(๑) จดเกบรหสผานไวในสถานททมความปลอดภย ไมตดรหสผานไวบร เวณเครองคอมพวเตอรหรอโตะท างาน (๒) ไมเปดเผยรหสผานของตนเองแกผอน (๓) เปลยนรหสผานโดยทนทเมอทราบวารหสผานของตนอาจถกเปดเผยหรอลวงรโดยผอน (๔) เปลยนรหสผานใหมตามรอบระยะเวลาทก าหนดไว
(๕) ไมก าหนดใหระบบงานท าการบนทกหรอจดจ ารหสผานของตนเองไว ไดแก การบนทกไวในหนาจอลอกอน ทงนเพอความสะดวกของตนเองเมอท าการลอกอนในภายหลง จะไดไมตองใสรหสผานอกครง
ขอ ๒ การปองกนอปกรณทไมมผดแล (Unattended User Equipment) ผใชงานควรมความตระหนกและเอาใจใสวาอปกรณขององคกรในบางชวงระยะเวลา ทไมมผดแล ควรมการปองกนทเหมาะสม (เพอปองกนการสญหายหรอถกเขาถงโดยไมไดรบอนญาต)
แนวทางปฏบต (๑) ผใชงานตองปองกนอปกรณคอมพวเตอรทตนเองใชงานเพอปองกนการสญหายหรอถกเขาถงโดยไมไดรบอนญาต (๒) ผใชงานตองออกจากระบบสารสนเทศ (Log Off) โดยทนทเมอเสรจสนการใชงาน เพอปองกนผไมประสงคดสวมรอยเขาใชระบบและเขาถงขอมลในระบบโดยไมไดรบอนญาต
(๓) เพอรกษาความปลอดภยของคอมพวเตอรจากการใชงานทไมถกตอง ผใชควรมการตงคารหสผานในการ เขาใชงาน และตงคารหสผานการลอคหนาจอเมอไมมการใชงานเกนกวา ๑๐ นาท เพอปองกนไมใหผอนเขาใชงานเครองคอมพวเตอรหรอระบบสารสนเทศขององคกรโดยหลงจากทมการลอคหนาจอแลว ผใชงานตองใสรหสผานใหถกตองจงจะสามารถเปดหนาจอเพอเขาถงเครองคอมพวเตอรหรอระบบสารสนเทศได (๔) ควรลอคอปกรณคอมพวเตอรส าคญเมอไมไดถกใชงานหรอตองปลอยทงไวโดยไมไดดแลชวคราวเพอปองกนการสญหายหรอถกขโมย
ขอ ๓ การควบคมสนทรพยสารสนเทศและการใชงานระบบคอมพวเตอร (Clear Desk and Clear Screen Policy) เพอควบคมไมใหมการทงหรอปลอยทรพยสนสารสนเทศทส าคญ ไดแก เอกสาร สอบนทกขอมลตาง ๆ ใหอยในสถานททไมปลอดภย หรอสถานททสามารถเขาถงไดทางกายภาพ ซงอยในบรเวณทเปดหรอทสาธารณะทผอนสามารถเขาถงได รวมถงการปองกนหนาจอเครองคอมพวเตอรจากการถกเขาถงขอมลโดยไมไดรบอนญาต
แนวทางปฏบต
๓๓
(๑) มการปองกนสนทรพยของหนวยงาน และควบคมไมใหมการทงหรอปลอยสนทรพย สารสนเทศทส าคญใหอยในสถานทไมปลอดภย โดยมการจดการบรเวณลอมรอบ การควบคม การเขา - ออก การจดบรเวณการเขาถงการสงผลตภณฑโดยบคคลภายนอก การวางอปกรณ และระบบสนบสนนการท างาน
(๒) มการก าหนดขอบเขตของการปองกน ดงน (๒.๑) ทกคนตองตระหนกและปฏบตการใด ๆ เพอปองกนสนทรพยของหนวยงาน
(๒.๒) ลงชอออกจากระบบงานและระบบปฏบตการคอมพวเตอรทนท เมอจ าเปนตองปลอยทงโดยไมมผดแล
(๒.๓) จดเกบขอมลส าคญในสถานททมความปลอดภย (๒.๔) ไมเกบขอมลส าคญของหนวยงานไวบนเครองคอมพวเตอร หรอสอบนทกขอมลท
เปนสมบตสวนบคคล (๒.๕) ลอคเครองคอมพวเตอร เมอไมไดใชงาน (๒.๖) ปองกนเครองโทรสาร เมอไมมผใชงาน (๒.๗) ปองกนตหรอบรเวณทใชในการรบสงเอกสารไปรษณย
(๒.๘) ปองกนไมใหผ อนใชอปกรณ กลองดจตอล เครองส าเนาเอกสาร เครองสแกนเอกสาร
(๒.๙) น าเอกสารออกจากเครองพมพทนททพมพงานเสรจ (๓) ควบคมการเขาถงขอมล สอบนทกขอมล หรอสนทรพยดานสารสนเทศ โดยผเปนเจาของ
หรอผทไดรบมอบหมายเทานน (๔) การลบ หรอเขยนขอมลทบบนขอมลทส าคญ ในอปกรณทใชในการบนทกขอมลกอนทจะ
อนมตใหผอนน าอปกรณนนไปใชงานตอ เปลยนทดแทน หรอ ท าลาย เพอปองกนไมใหเขาถง ขอมลส าคญได (๕) ส ารองและลบขอมลทเกบอยในสอบนทกกอนสงเครองคอมพวเตอรไปตรวจซอม เพอ
ปองกน การสญหาย หรอการเขาถงขอมลโดยไมไดรบอนญาต (๖) ก าหนดมาตรการควบคมการจ าหนายอปกรณคอมพวเตอรหรอการน าสอบนทกขอมล
กลบมาใชงานอกครง ดงน (๖.๑) ใหท าลายขอมลลบหรอขอมลส าคญในสอบนทกขอมลประเภทตาง ๆ กอนทจะ
แทงจ าหนายอปกรณดงกลาว เพอปองกนการเขาถงขอมลส าคญทยงคงคางอยบนส อบนทกขอมลนน และใหปฏบตตามแนวทางการท าลายสอบนทกขอมล ดงน
ประเภทสอบนทกขอมล วธการท าลาย กระดาษ ใชการหนดวยเครองหนท าลายเอกสาร Flash Drive, Thumb Drive, USB Drive
ใชวธการทบหรอบดใหเสยหาย
๓๔
ฮารดดสก ใชการท าลายขอมลบนฮารดดสกดวยวธการ Format ตามมาตรฐานการท าลายขอมลบนฮารดดสกของกระทรวงกลาโหม สหรฐอเมรกา DoD 5220.22-M (ซงมการเขยนทบขอมลเดมเปนจ านวนหลายรอบ)
แผน CD/DVD ใชการหนดวยเครองหนท าลาย CD/DVD เทป ใชวธการเขยนทบ ทบหรอบดใหเสยหาย
หรอเผาท าลาย
(๖.๒) มมาตรการหรอเทคนคในการลบหรอเขยนขอมลทบบนขอมลทมความส าคญในอปกรณส าหรบจดเกบขอมลกอนทจะอนญาตใหผอนน าอปกรณนนไปใชงานตอ เพอปองกนไมใหมการเขาถงขอมลส าคญนนได
๓๕
หมวดท ๒ การจดท าระบบส ารองขอมลและการเตรยมความพรอมกรณฉกเฉน
___________________________________________________________________________
วตถประสงค
๑. เพอใหระบบสารสนเทศของหนวยงานสามารถใหบรการไดอยางตอเนอง ๒. เพอใหเปนมาตรฐาน แนวทางปฏบตและความรบผดชอบของผดแลระบบในการปฏบตงานใหกบหนวยงานอยางเครงครด และตระหนกถงความส าคญของการรกษาความมนคงปลอดภย ๓. เพอใหผใชงานไดรบรเขาใจและสามารถปฏบตตามแนวทางทก าหนดโดยเครงครด และตระหนกถงความส าคญของการรกษาความมนคงปลอดภยของระบบสารสนเทศ
แนวปฏบต
สวนท ๑ การส ารองขอมลส าคญและการเตรยมรบมอกบเหตฉกเฉน
ขอ ๑ ผรบผดชอบระบบสารสนเทศของหนวยงานภายใน สอน. ตองก าหนดแนวทางปฏบตในการส ารองและกคนขอมล ดงน
(๑) ก าหนดและคดเลอกระบบงานทมความจ าเปนตองส ารองขอมลไว ใหสามารถพรอมน ากลบมาใชงานไดอยางสมบรณ
(๒) ก าหนดหนาทและความรบผดชอบของเจาหนาททดแลระบบสารสนเทศ ระบบส ารอง ขอมล และการกคน การจดท าแผนรองรบสถานการณฉกเฉนทอาจจะเกดขนกบระบบเทคโนโลยสารสนเทศ (IT Contingency Plan) จากกรณฉกเฉนทไมสามารถด าเนนการทางอเลกทรอนกสได
(๓) ก าหนดชนดของขอมลทมความจ าเปนตองส ารองขอมลเกบไว โดยมหลกเกณฑการคดเลอก ดงน (๓.๑) ระบบทมผลกบการใหบรการประชาชน ไดแก Website , e-Service (๓.๒) ระบบตดตอสอสารของ สอน. ไดแก ระบบจดหมายอเลกทรอนกส (๓.๓) ระบบทใชปฏบตงานตามภารกจของ สอน. ไดแก ระบบสารบรรณ ระบบบคลากร
ระบบฐานขอมลการผลตออยและน าตาลทราย ระบบออกใบอนญาตน าเขา-สงออกน าตาลทราย (๔) ก าหนดความถโดยจดท าแผนในการส ารองขอมลของระบบปฏบตการและระบบงาน หาก
ระบบงานทมการเปลยนแปลงบอยจะตองมความถในการส ารองขอมลมากขน (๕) ก าหนดขนตอนการส ารองขอมล และการกคนขอมลอยางถกตอง รวมทงซอฟตแวรทใชใน
การส ารองขอมล (๖) ท าการส ารองขอมลตามความถทก าหนดไว และน าขอมลทส ารองไปเกบไวนอกสถานท
อยางนอย ๑ ชด (๗) ท าการตรวจสอบวาการส ารองขอมลทเกดขนนน ส าเรจครบถวนหรอไม (๘) ท าการทดสอบกคนขอมลทส ารองไวอยางนอยปละ ๑ ครง รวมทงด าเนนการทดสอบวา
ระบบงานทงหมดสามารถใชงานไดหรอไม
๓๖
(๙) แนวปฏบตส าหรบการส ารองขอมล ดงน (๙.๑) ผดแลระบบตองจดใหมการส ารองขอมลและทดสอบขอมลทส ารองเกบไวอยาง
สม าเสมอ (๙.๒) การจดท าบนทกการส ารองขอมล (Operation Logs) ผดแลระบบตองท าบนทก
รายละเอยดการส ารองขอมล ไดแก เวลาเรมตนและสนสด ชอผส ารอง ชนดของขอมลทบนทก (๙.๓) การรายงานขอผดพลาด (Fault Logging) ผดแลระบบตองท ารายงานขอผดพลาด
จากการส ารองขอมลทเกดขน รวมทงวธการทแกไขดวย (๙.๔) ใหผดแลระบบมอบหมายหนาทการส ารองขอมลแกเจาหนาทคนอนไวส ารองในกรณ
ทผดแลระบบไมสามารถปฏบตงานได (๙.๕) ในกรณพบปญหาในการส ารองขอมลจนเปนเหตไมสามารถด าเนนการอยางสมบรณ
ได ใหด าเนนการแกไขปญหาและสรปผลการแกไขปญหาและรายงานตอผอ านวยการส านกทราบ (๙.๖) ใหผดแลระบบก าหนดชนดและชวงเวลาการส ารองขอมลตามความเหมาะสมพรอม
ทงก าหนดสอทใชเกบขอมล (๙.๗) การเขารหสขอมลส าคญในการส ารองขอมล (Encrypted Backup) ผดแลระบบตอง
จดใหมการเขารหสขอมลส ารองทส าคญ โดยการใชเทคโนโลยการเขารหสทเหมาะสมเพอปองกนมใหขอมลส ารองเหลานนถกเปดเผย
(๑๐) จดท าแผนรองรบสถานการณฉกเฉนทอาจจะเกดขนกบระบบเทคโนโลยสารสนเทศ (IT Contingency plan) เพอใหสามารถกคนระบบกลบคนไดภายในระยะเวลาทก าหนด และมรายละเอยด ดงตอไปน
(๑๐.๑) ก าหนดหนาท และความรบผดชอบตอผทเกยวของทงหมด (๑๐.๒) ประเมนความเสยงส าหรบระบบงานทมความส าคญเหลานน และก าหนด
มาตรการเพอลดความเสยง กรณไฟดบเปนระยะเวลานาน ไฟไหม แผนดนไหว การชมนมประทวง ท าใหไมสามารถเขามาใชระบบงานได
(๑๐.๓) ก าหนดชองทางในการตดตอสอสารกบผใหบรการภายนอก ไดแก ผใหบรการเครอขาย ฮารดแวร ซอฟตแวร การไฟฟา การประปา โทรศพท เมอเกดเหตจ าเปนทจะตองตดตอในกรณเกดเหตฉกเฉนตาง ๆ
(๑๐.๔) ท าการทบทวนปรบปรงแผนเตรยมความพรอมกรณเกดเหตฉกเฉนอยางนอยปละ ๑ ครง
(๑๐.๕) จดประชมและแจงใหผทเกยวของทงหมดไดรบทราบรายละเอยดของแผนเตรยมความพรอมกรณเกดเหตฉกเฉน รวมทงเมอมการปรบปรงแผนใหมจะตองจดประชมใหมและแจงใหผ ท เกยวของทราบ
๓๗
สวนท ๒ การบรหารจดการเหตการณดานความมนคงปลอดภย
ขอ ๑ การแจงเหตการณทางดานความมนคงปลอดภย (๑) ใหเจาหนาทหรอผปฏบตงานแจงไปยง กทส. ทนททพบเหตการณทอาจเปนปญหาตอ
ความมนคงปลอดภยในการใชระบบเทคโนโลยสารสนเทศของ สอน. อนไดแก (๑.๑) มโปรแกรมไมประสงคดเขามาในระบบ (๑.๒) มการบกรกเขามาในเครอขาย (๑.๓) ขอมลส าคญเปลยนแปลงหรอสญหาย (๑.๔) มการเปดเผยขอมลส าคญโดยไมไดรบอนญาต (๑.๕) มการน าขอมลส าคญไปใชผดวตถประสงค (๑.๖) มการใชระบบเทคโนโลยสารสนเทศผดวตถประสงค (๑.๗) พบจดออนในระบบงาน ซอฟตแวร หรอฮารดแวรทใชงาน (๑.๘) มการโจมตเขามาในระบบจนไมสามารถใหบรการได (๑.๙) ระบบเทคโนโลยสารสนเทศช ารดหรอสญหาย (๑.๑๐) บคคลภายนอกเขาใชระบบงานของ สอน. โดยไมไดรบอนญาต (๑.๑๑) มการตดตงซอฟตแวรเพอขโมยขอมลหรอเขาถงขอมลในเครอขาย (๑.๑๒) มเหตการณทเปนการละเมดความมนคงปลอดภยของ สอน.
(๒) ใหความรวมมอและอ านวยความสะดวก รวมทงปฏบตตามค าแนะน าของผ บรหาร หรอ กทส. ในการตรวจสอบเหตการณทางดานความมนคงปลอดภยทเกดขน
ขอ ๒ ความรบผดชอบของผดระบบและผรบผดชอบระบบสารสนเทศของ สอน. เมอไดรบแจงจากผใชงานเกยวกบเหตการณทางดานความมนคงปลอดภยทเกดขนหรอทตรวจพบดวยตนเอง ใหปฏบตตามขนตอนดงตอไป
(๑) ประเมนผลกระทบของเหตการณทเกดขนวามผลกระทบในระดบใด (สง กลาง หรอต า) (๒) แจงหวหนากลม เพอรายงานผบงคบบญชาตามล าดบชนใหไดรบทราบตามระดบของ
ผลกระทบ (๓) วเคราะหและแกไขสถานการณตามความจ าเปน กรณการบกรก การโจมตระบบ หรอ
ระบบไดรบความเสยหาย ประสานงานขอความชวยเหลอจากผร ไดแก ศนยประสานงานการรกษาความปลอดภยคอมพวเตอรประเทศไทย (Thai CERT)
(๔) กรณมความจ าเปนตองเกบหลกฐานทางคอมพวเตอรใหผทผานการอบรมหรอฝกฝนเปนผด าเนนการเพอปองกนไมใหหลกฐานเกดความเสยหาย จดเกบหลกฐานไวในสถานททปลอดภยและจ ากดการเขาถงหลกฐานนน
(๕) จดท ารายงานสรปเหตการณนบตงแตไดรบแจงเฉพาะเหตการณทมผลกระทบตงแตระดบปานกลางขนไปและแจงเวยนใหผทเกยวของไดรบทราบ
๓๘
ขอ ๓ ความรบผดชอบของผบงคบบญชากรณทมการละเมดการปฏบต ดงน (๑) ใหแจงรายงานตามสายการบงคบบญชาใหหนวยงานทเกยวของทราบ (๒) สงการสอบสวนหาตวผกระท าผดและผรบผดชอบโดยเรวทสด (๓) พจารณาแกไขขอบกพรองและปองกนไมใหเหตการณเกดซ าอก
ขอ ๔ ความรบผดชอบของหนวยงานทรบผดชอบระบบสารสนเทศ เมอไดรบแจงวาไดเกดการละเมดการรกษาความปลอดภย ใหหนวยงานเจาของระบบสารสนเทศด าเนนการดงน
(๑) พจารณาวาขอมลสารสนเทศ เอกสารกรรมวธขอมลตาง ๆ ประมวลลบ หรอรหสผานทจ าเปนในการใชเครอขายสอสารขอมลสารสนเทศมผลกระทบเสยหายอยางใดหรอไม
(๒) ขจดความเสยหายทเกดขนหรอคาดวาจะเกดขนจากการละเมดโดยทนท อาจจะตองด าเนนการแกไขเปลยนแปลงแผนงานและวธปฏบตพรอมทงปจจยตาง ๆ ทเกยวของตามทเหนสมควร
ขอ ๕ ความรบผดชอบผใชงานตอประกาศฉบบน มดงน (๑) ปฏบตตามประกาศนอยางเครงครดและตองไมละเลยตอหนาทความรบผดชอบของ
ตนเอง (๒) ไมเขาถง เปดเผย เปลยนแปลง แกไข หรอท าลายโดยไมไดรบอนญาต หรอท าใหเสยหาย
ตอระบบคอมพวเตอรและเครอขายของ สอน. (๓) ไมรบกวนหรอแทรกแซงการสอสารขอมลในเครอขายคอมพวเตอรของ สอน. (๔) รายงานเหตการณความเสยง จดออน หรอเหตการณดานความมนคงปลอดภยทพบไปยง
กทส. โดยเรวทสด
๓๙
หมวดท ๓ การตรวจสอบและประเมนความเสยงดานสารสนเทศ
___________________________________________________________________________
วตถประสงค ๑. เพอใหมการตรวจสอบและประเมนความเสยงของระบบสารสนเทศหรอสถานการณดานความ
มนคงปลอดภยทไมพงประสงคหรอไมอาจคาดคดได ๒. เพอเปนการปองกนและลดระดบความเสยงทอาจจะเกดขนไดกบระบบสารสนเทศ ๓. เพอเปนแนวทางในการปฏบตหากเกดความเสยงทเปนอนตรายตอระบบสารสนเทศ
แนวปฏบต
การตรวจสอบและประเมนความเสยงดานสารสนเทศ
ขอ 1 มการตรวจสอบและประเมนความเสยงดานสารสนเทศ โดยมเนอหาอยางนอยดงน (1) ตรวจสอบและประเมนความเสยงดานสารสนเทศทอาจเกดขนกบระบบสารสนเทศ
(Information Security Audit and Assessment) มวธการปฏบต ดงน ๑.๑ มการอนมตใหด าเนนการประเมนความเสยงดานระบบสารสนเทศ ๑.๒ มการวางแผนส าหรบการตรวจสอบระบบบรหารจดการดานความมนคงปลอดภย ๑.๓ มการตรวจสอบและประเมนความเสยงของระบบใหบรการ ๑.๔ มการตรวจประเมนระบบสารสนเทศ (Information System Audit Considerations)
อยางนอย 1 ครงตอป เพอใหมนใจไดวาการตรวจประเมนมประสทธภาพและผลการตรวจสอบเปนทนาเชอถอได (2) ตรวจสอบและประเมนความเสยงทด าเนนการโดยผตรวจสอบภายในของหนวยงาน
(Internal Auditor) หรอโดยผตรวจสอบอสระดานความมนคงปลอดภยจากภายนอก (External Auditor) เพอใหหนวยงานไดทราบถงระดบความเสยงและระดบความมนคงปลอดภยสารสนเทศ มวธการปฏบต ดงน
๒.๑ ก าหนดใหมคณะท างานตรวจสอบและประเมนความเสยงดานสารสนเทศ ซงประกอบดวยหนวยตรวจสอบภายในของหนวยงาน (internal auditor) ผแทนจากส านกตาง ๆ ใน สอน. และ/หรอ ผทไดรบมอบหมายจากคณะกรรมการเทคโนโลยสารสนเทศและการสอสาร สอน. เปนผตรวจสอบและประเมนความเสยงระบบสารสนเทศ และใหตรวจสอบและประเมนความเสยงอยางนอย 1 ครงตอป
๒.๒ มขอตกลงรวมกนส าหรบขอบเขตการตรวจสอบระหวางผตรวจสอบกบผรบการตรวจ ๒.๓ มขอจ ากดใหผตรวจสอบสามารถเขาถงขอมลทจ าเปนตองตรวจสอบไดในลกษณะท
อานไดเพยงอยางเดยว ๒.๔ มวธการทปลอดภยส าหรบการอนญาตใหผตรวจสามารถเขาถงขอมลชนดทสามารถ
เขยนหรอบนทกขอมลได ๒.๕ มการสรางส าเนาขอมลเพอใหผตรวจสอบท างานบนขอมลส าเนา ๒.๖ มการท าลาย หรอลบขอมลทท าส าเนาทงโดยทนททตรวจสอบเสรจ ๒.๗ มวธการแบบปลอดภยส าหรบการเกบหลกฐานขอมลทใชอางองในการตรวจสอบ ๒.๘ มการก าหนดหนาทความรบผดชอบของผตรวจสอบและขนตอนปฏบตส าหรบการ
ตรวจสอบ
๔๐
๒.๙ มการก าหนดเจาหนาททท าหนาทเปนผตรวจสอบใหเปนเอกเทศ จากกจกรรมหรอระบบเทคโนโลยสารสนเทศทจะด าเนนการตรวจสอบ (ผตรวจสอบจะตองไมตรวจสอบกจกรรมหรอระบบเทคโนโลยสารสนเทศทตนดแล หรอรบผดชอบ)
ขอ 2 มแนวทางในการตรวจสอบและประเมนความเสยงทตองค านงถงอยางนอยดงน (1) แนวทางในการตรวจสอบและประเมนความเสยง
(๑.๑) มการทบทวนกระบวนการบรหารจดการความเสยง อยางนอยปละ 1 ครง (๑.๒) มการทบทวนนโยบายและมาตรการในการรกษาความมนคงปลอดภยดาน
สารสนเทศ อยางนอยปละ ๑ ครง (๑.๓) มการตรวจสอบและประเมนความเสยงและใหจดท ารายการพรอมขอเสนอแนะ
ใหผบรหารพจารณาระดบความเสยงทเปนอยและก าหนดแนวทางการปรบปรง และแจงใหหนวยงานภายในทเกยวของทราบเพอน าไปปฏบต
(2) มาตรการในการตรวจประเมนระบบสารสนเทศ อยางนอย ดงน (๒.๑) ผตรวจสอบสามารถเขาถงขอมลทจ าเปนตองตรวจสอบไดแบบอานไดอยางเดยว (๒.๒) ในกรณทจ าเปนตองเขาถงขอมลในแบบอน ๆ ใหสรางส าเนาส าหรบขอมลนน
เพอใหผตรวจสอบใชงาน รวมทงด าเนนการท าลายหรอลบโดยทนททตรวจสอบเสรจ หรอตองจดเกบไวโดยมการปองกนเปนอยางด
(๒.๓) มการระบและจดสรรทรพยากรทจ าเปนตองใชในการตรวจสอบระบบบรหารจดการความมนคงปลอดภย
(๒.๔) มการเฝาระวงการเขาถงระบบโดยผตรวจสอบ รวมทงบนทกขอมลลอกแสดงการเขาถงนน ซงรวมถงวนและเวลาทเขาถงระบบงานทส าคญ
(๒.๕) ในกรณทมเครองมอส าหรบการตรวจประเมนระบบสารสนเทศ ตองแยกการตดตงเครองมอทใชในการตรวจสอบ ออกจากระบบใหบรการจรงหรอระบบทใชในการพฒนา และมกา รจดเกบปองกนเครองมอนนจากการเขาถงโดยไมไดรบอนญาต
(3) รายการทสอบทาน (๓.๑) การปองกนการบกรกระบบ (๓.๒) การส ารองขอมล (๓.๓) การควบคมการเขาหองควบคมระบบเครอขาย (๓.๔) การซอมรบสถานการณฉกเฉน (๓.๕) สอบทานการเขาถงระบบสารสนเทศ (๓.๖) สอบทานการก าหนดการใชงานตามภารกจ
(4) การก ากบดแลการปฏบตตามดานเทคนค (๔.๑) ผบรหารตองก ากบดแลเพอใหมนใจวาเจาหนาททราบถงความรบผดชอบดานการ
รกษาความมนคงปลอดภยสารสนเทศและไดมการปฏบตในทางทเหมาะสม (๔.๒) สอบทานและตรวจสอบการควบคมทางดานเทคนคของระบบสารสนเทศ เพอ
ตรวจสอบวามความเพยงพอและเหมาะสมหรอไม (๔.๓) ในระบบสารสนเทศโดยเฉพาะระบบทส าคญและมความเสยงสง ตองมการ
ทดสอบระดบมาตรฐานความปลอดภยของระบบสารสนเทศอยางสม าเสมอ เพอตรวจสอบถงจดเปราะบางของระบบและประสทธผลของการควบคมดานปลอดภย
๔๑
(๔.๔) เครองมอทใชในการตรวจสอบระบบคอมพวเตอรทงหมด ซงรวมถงซอฟตแวรระบบงานและเอกสาร ทจ าเปนส าหรบงานตรวจสอบระบบคอมพวเตอร ตองไดรบการปกปอง จากการลกลอบใชงานหรอใชงานหรอใชในทางทผดวตถประสงค และการควบคมจ ากดการเขาใชงานใหเฉพาะแผนกทเกยวของกบการตรวจสอบเทานน
๔๒
หมวดท ๔ หนาทและความรบผดชอบ
___________________________________________________________________________
วตถประสงค เพอก าหนดหนาทความรบผดชอบของผบรหารระดบสง ผอ านวยการ หวหนากลมงาน เจาหนาท ตลอดจนผท ไดรบมอบหมายใหดแลรบผดชอบดานสารสนเทศ
แนวปฏบต ขอ 1 ระดบนโยบาย ผรบผดชอบ ไดแก
(๑) ผบรหารสงสด (๒) ผบรหารเทคโนโลยสารสนเทศ ระดบสง มหนาท ดงน
- รบผดชอบในการก าหนดนโยบาย ใหขอเสนอแนะ ค าปรกษา ตลอดจนตดตาม ก ากบ ดแล ควบคมตรวจสอบเจาหนาทในระดบปฏบต
- รบผดชอบตอความเสยง ความเสยหาย หรออนตรายทเกดขนกรณระบบคอมพวเตอร หรอขอมล สารสนเทศเกดความเสยหาย หรออนตรายใด ๆ แกองคกร หรอผหนงผใด อนเนองมาจากความ บกพรอง ละเลย หรอฝาฝนการปฏบตตามนโยบายและแนวปฏบตในการรกษาความมนคง ปลอดภยดานสารสนเทศ
ขอ 2 ระดบบรหาร ผรบผดชอบ ไดแก (๑) ผอ านวยการ หรอเทยบเทา (๒) หวหนากลม หรอเทยบเทาหวหนากลม
มหนาท ดงน - รบผดชอบ ก ากบ ดแล การปฏบตงานของผปฏบต ตลอดจนศกษา ทบทวน วางแผน
ตดตามการ บรหารความเสยง และระบบรกษาความปลอดภยฐานขอมลและเทคโนโลยสารสนเทศ - รบผดชอบในการควบคม ดแล รกษาความปลอดภย ระบบสารสนเทศและระบบ
ฐานขอมล - รบผดชอบ วางแผน จดท า ทบทวน ตดตาม ก ากบ ดแล แผนส ารอง และแผนเตรยม
ความพรอมกรณฉกเฉน ในกรณทไมสามารถด าเนนการดวยวธการทางอเลกทรอนกส
ขอ 3 ระดบปฏบต ผรบผดชอบ ไดแก ผทไดรบมอบหมายใหปฏบตหนาทจากหวหนาสวนราชการส านกงานคณะกรรมการออยและน าตาลทราย ไดแก นกวชาการคอมพวเตอร นกวเคราะหนโยบายและแผน เจาหนาทระบบงานคอมพวเตอร เจาหนาทเครองคอมพวเตอร
มหนาท ดงน - ปฏบตตามนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ - ประสานการปฏบตงานตามแผนปองกนและแกไขปญหาระบบความมนคงปลอดภยของ
ฐานขอมลและสารสนเทศจากสถานการณความไมแนนอนและภยพบต - รบผดชอบควบคม ดแล รกษาความปลอดภย และบ ารงรกษาระบบคอมพวเตอร ระบบ
เครอขาย หองควบคมระบบเครอขายและเครองคอมพวเตอรแมขาย
๔๓
- ท าการส ารองขอมลและเรยกคนขอมล (Backup and Recovery) ตามรอบระยะเวลาทก าหนด
- ปองกนการถกเจาะระบบ และแกไขปญหาการถกเจาะเขาระบบฐานขอมลจากบคคล ภายนอก (Hacker) โดยไมไดรบอนญาต
- รบผดชอบในการรกษาความปลอดภย ระบบอนเทอรเนต และ ระบบจดหมายอเลกทรอนกส
- ปฏบตงานอน ๆ ตามทไดรบมอบหมายในการรกษาความมนคงปลอดภยดานสารสนเทศของส านกงานคณะกรรมการออยและน าตาลทราย
๔๔
ภาคผนวก ก. ขนตอนการลงทะเบยนผใชงาน (User Register) ส านกงานคณะการคณะกรรมการออยและน าตาลทราย
วตถประสงค ๑. เพอจดท าบญชผใชงานและบรหารจดการในการก าหนดสทธ ๒. เพอใหมการยนยนตวตนกอนการเขาใชระบบสารสนเทศ และสามารถสอบกลบไปยงผใชงานไดในกรณมการใชงานโดยไมปฏบตตามนโยบายและแนวปฏบต รวมถงมการกระท าความผดหรอเกดความเสยหายแกระบบสารสนเทศ หรอแกผอน
มขนตอนปฏบต ดงน
การลงทะเบยนเพอขอใชงานระบบสารสนเทศและระบบเครอขาย ผใชภายใน ๑. กรอกแบบฟอรม “การขอใชบรการระบบเทคโนโลยสารสนเทศ” (FM-IT-01 V1.0/59) ๒. ระบรายละเอยดในการขอใชบรการใหชดเจน ๓. เสนอตอผบงคบบญชา ตามล าดบ ไปยง หวหนากลมเทคโนโลยสารสนเทศและการสอสาร เพอ
พจารณาอนมต ๔. เมอไดรบอนมตแลวผดแลระบบหรอผรบผดชอบระบบสารสนเทศ จะตดตอผใชงานใหมารบ
Username และ Password ดวยตนเอง โดยผใชงานตองลงนามรบทราบและจะปฏบตตามขอก าหนดนโยบายและแนวปฏบตในการใชงานโดยเครงครด
ผใชงานภายนอกและผทเกยวของ ๑. ท าหนงสอถง เลขาธการคณะกรรมการออยและน าตาลทราย ๒. ระบรายละเอยดในการขอใชบรการใหชดเจน และชองทางในการตดตอกลบเพอความรวดเรว ๓. แนบเอกสารประกอบในการพจารณาทเกยวของ ไดแก ส าเนาบตรประชาชน ใบมอบอ านาจ ๔. เมอ สอน. พจารณาและอนมตแลวจะแจง Username และ Password รวมถงขอก าหนด
นโยบายและแนวปฏบตในการใชงาน ใหทราบและตองปฏบตโดยเครงครด
การลงทะเบยนเพอขอใชงาน เครอขายไรสาย WIFI Hotspot ผใชภายใน ๑. กรอกแบบฟอรม “ค ารองขอใชเครอขายไรสาย WIFI Hotspot” (FM-IT-02 V1.0/59) ๒. เสนอตอผบงคบบญชา ตามล าดบ ไปยง หวหนากลมเทคโนโลยสารสนเทศและการสอสาร เพอ
พจารณาอนมต
๔๕
๓. เมอไดรบอนมตแลวผดแลระบบจะแจงผใชงานใหน าอปกรณทประสงคจะใชงาน ไปลงทะเบยนเพอบนทก MAC Address (Media Access Control Address) พรอมกบแจง SSID (Service Set Identifier) และรบ Username และ Password ตามสทธทไดรบอนมตดวยตนเอง โดยผใชงานตองลงนามรบทราบและจะปฏบตตามขอก าหนดนโยบายและแนวปฏบตในการใชงานโดยเครงครด
ผใชภายนอก ๑. กรอกแบบฟอรม “ค ารองขอใชเครอขายไรสาย WIFI Hotspot” (FM-IT-02 V1.0/59) ๒. ยนดวยตนเองตอเจาหนาท ท กทส. เพอน าเรยน หวหนากลมเทคโนโลยสารสนเทศและการสอสาร หรอผทไดรบมอบหมาย เพอพจารณาอนมต ๓. น าอปกรณทประสงคจะใชงาน ไปลงทะเบยนทผดแลระบบเพอบนทก MAC Address (Media Access Control Address) พรอมกบรบ Username และ Password ๔. ผใชงานภายนอกจะไดรบสทธเฉพาะในการเขาถงเอกสารทใชในการประชมหรอเอกสารทอนญาตให Download ได รวมถงเวบไซตทผานการ Filter แลวเทานน
