ประกาศกรมการค้าภายใน · 2016-07-21 · “ระบบเครือข่าย” หมายความว่า ระบบการสื่อสารที่เป็นการเช

ประกาศกรมการคาภายใน เรอง นโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ กรมการคาภายใน

พ.ศ. 2555

-----------------------------

อาศยอานาจตามความในมาตรา 5 และมาตรา 7 แหงพระราชกฤษฎกากาหนดหลกเกณฑและวธการในการทาธรกรรมทางอเลกทรอนกสภาครฐ พ.ศ. 2549 กาหนดใหหนวยงานของรฐตองจดทานโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ เพอใหการดาเนนการใดๆ ดวยวธการทางอเลกทรอนกสของหนวยงานของรฐมความมนคงปลอดภยและเชอถอได อธบดกรมการคาภายใน จงออกประกาศไว ดงตอไปน ขอ 1 ประกาศนเรยกวา “ประกาศกรมการคาภายใน เรอง นโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ กรมการคาภายใน พ.ศ. 2555” ขอ 2 ประกาศนใหใชบงคบตงแตวนถดจากวนประกาศเปนตนไป ขอ 3 ในประกาศน “ระบบสารสนเทศ” หมายความวา ระบบขอมลขาวสารทนาเอาเทคโนโลยสารสนเทศและ การสอสารมาใชในการสรางสารสนเทศของหนวยงาน “ระบบคอมพวเตอร” หมายความวา อปกรณหรอชดอปกรณของคอมพวเตอรทเชอมการทางาน เขาดวยกน โดยไดมการกาหนดคาสง ชดคาสง หรอสงอนใด และแนวทางปฏบตงานใหอปกรณหรอชดอปกรณ ทาหนาทประมวลผลขอมลโดยอตโนมต “ระบบเครอขาย” หมายความวา ระบบการสอสารทเปนการเชอมตอคอมพวเตอร ตงแต ๒ เครองขนไปเขาดวยกน เพอสะดวกตอการรวมใชข อมล โปรแกรม หรอเคร องพมพ และอานวยความสะดวก ในการตดตอแลกเปลยนขอมลระหวางคอมพวเตอรไดตลอดเวลา “ระบบเทคโนโลยสารสนเทศและการสอสาร” หมายความวา ระบบงานของหนวยงานทนาเอาเทคโนโลยสารสนเทศ ระบบคอมพวเตอรและระบบเครอขายมาชวยในการสรางระบบสารสนเทศทหนวยงานสามารถนามาใชประโยชนในการวางแผนบรหาร การสนบสนนการใหบรการ การพฒนาและควบคม การตดตอสอสาร เชน คอมพวเตอร ระบบคอมพวเตอร ระบบเครอขาย โปรแกรม ขอมลสารสนเทศ เปนตน “คอมพวเตอร” หมายความวา คอมพวเตอรแบบต งโตะ คอมพวเตอรแบบพกพา และ ใหหมายความรวมถงอปกรณคอมพวเตอรทเกยวของดวย “ทรพยสนสารสนเทศ” หมายความวา ขอมล ระบบขอมล และระบบเทคโนโลยสารสนเทศและ การสอสารของหนวยงาน ไดแก ระบบคอมพวเตอร ระบบเครอขาย ระบบอนทราเนต (Intranet) ระบบอนเทอรเนต (Internet) ระบบเทคโนโลยสารสนเทศ (Information Technology System) เครองคอมพวเตอร ขอมลคอมพวเตอร สารสนเทศ (Information) สอบนทกพกพา “หนวยงาน” หมายความวา กรมการคาภายใน

2

“สทธของผใชงาน” หมายความวา สทธทวไป สทธจาเพาะ สทธพเศษ และสทธอนใดทเกยวของกบระบบสารสนเทศของหนวยงาน “ผใชงาน” หมายความวา ขาราชการ พนกงานราชการ ลกจางประจา ลกจางชวคราว ผรบจาง ของหนวยงาน หรอผทไดรบอนญาตใหใชระบบเทคโนโลยสารสนเทศและการสอสารของหนวยงาน “ผบรหารสงสด” หมายถง อธบด กรมการคาภายใน “ผบรหารเทคโนโลยสารสนเทศระดบสง” หมายถง รองอธบด กรมการคาภายใน ผควบคมดแลและรบผดชอบดานระบบเทคโนโลยสารสนเทศและการสอสาร ของกรมการคาภายใน ข อ 4 การใชและการบรหารจดการระบบเทคโนโลยสารสนเทศและการส อสารของ กรมการคาภายใน ใหคานงถงประโยชนในการดาเนนงานของกรมการคาภายในเปนสาคญ ขอ ๕ การดาเนนการทเกยวของกบการใชและการบรหารจดการระบบคอมพวเตอรสารสนเทศของกรมการคาภายใน ทมไดกาหนดไวในประกาศน ตองไดรบความเหนชอบจากอธบดกรมการคาภายใน หรอ ผทอธบดกรมการคาภายในมอบหมาย ขอ 6 นโยบายในการรกษาความมนคงปลอดภยดานสารสนเทศ

๖.๑ การเขาถงหรอควบคมการใชงานสารสนเทศ หนวยงานมนโยบายทจะใหบรการเทคโนโลยสารสนเทศแกผใชงานและประชาชน

อยางทวถง โดยใหผใชงานและประชาชนสามารถเขาถงและใชงานเทคโนโลยสารสนเทศไดอยางสะดวกและรวดเรว รวมทงมการใหความคมครองขอมลทไมพงเปดเผย

๖.๒ มระบบสารสนเทศและระบบสารองของสารสนเทศ หนวยงานมนโยบายในการบรหารจดการเทคโนโลยสารสนเทศท ไดมาตรฐาน

โดยมการแยกประเภทและจดเกบระบบเทคโนโลยสารสนเทศและการสอสารเปนหมวดหม มระบบสารองระบบสารสนเทศและระบบคอมพวเตอรท สมบรณพรอมใชงาน รวมทงมแผนฉกเฉนในการใชงาน เพอใหสามารถทางานไดอยางตอเนอง

๖.๓ มการตรวจสอบและประเมนความเสยงดานสารสนเทศ หนวยงานมนโยบายใหมการตรวจสอบ ประเมนความเสยง และกาหนดมาตรการในการ

ควบคมความเสยงดานสารสนเทศ อยางนอยปละหนงครง ๖.๔ การสรางความรความเขาใจในการใชระบบเทคโนโลยสารสนเทศและการสอสาร

หนวยงานมนโยบายในการสรางความรความเขาใจ โดยการจดทาคมอ จดฝกอบรม และเผยแพรการใชงานระบบสารสนเทศและระบบคอมพวเตอรใหแกผใชงานทงภายในและภายนอก ขอ 7 กาหนดแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศของหนวยงาน ดงตอไปน

๗.๑ จดทาแนวปฏบตทสอดคลองกบนโยบายการรกษาความมนคงปลอดภยดานสารสนเทศของหนวยงาน

๗.๒ ประกาศนโยบายและแนวปฏบตดงกลาว ใหผเกยวของทงหมดทราบ เพอใหสามารถเขาถง เขาใจและสามารถปฏบตได

๗.๓ กาหนดผรบผดชอบตามนโยบายและแนวปฏบตดงกลาวใหชดเจน ๗.๔ ทบทวนปรบปรงนโยบายและแนวปฏบตใหเปนปจจบนอยเสมอ

3

ขอ 8 ใหมขอกาหนดการเขาถงและควบคมการใชงานสารสนเทศ (access control) ดงตอไปน ๘.๑ มการควบคมการเขาถงขอมลและอปกรณในการประมวลผลขอมล โดยคานงถง

การใชงานและความมนคงปลอดภย ๘.๒ ในการกาหนดกฎเกณฑเกยวกบการอนญาตใหเขาถง ตองกาหนดตามนโยบาย ท

เกยวของกบการอนญาต การกาหนดสทธหรอหนาท หรอการมอบอานาจของหนวยงาน ๘.๓ ตองกาหนดเกยวกบประเภทของขอมล ลาดบความสาคญ หรอลาดบชนความลบ

ของขอมล รวมทงระดบชนการเขาถง เวลาทไดเขาถง และชองทางการเขาถง ขอ 9 ใหมขอกาหนดการใชงานตามภารกจเพอควบคมการเขาถงสารสนเทศ (business

requirements for access control) โดยมการจดทาแนวปฏบตในการควบคมการเขาถงสารสนเทศและ การปรบปรงใหสอดคลองกบขอกาหนดการใชงานตามภารกจและขอกาหนดดานความมนคงปลอดภย

ขอ 10 ใหมการบรหารจดการการเขาถงของผใชงาน (user access management) เพอควบคมการเขาถงระบบสารสนเทศของผใชงาน ทผานการฝกอบรมหลกสตรการสรางความตระหนกในเรองของความมนคงปลอดภยดานสารสนเทศ (information security awareness training) เพอปองกนการเขาถงจากผซงไมไดรบอนญาต ดงตอไปน

๑๐.๑ สรางความรความเขาใจใหกบผใชงาน เพอใหเกดความตระหนก ความเขาใจถงภยและผลกระทบทเกดจากการใชงานระบบสารสนเทศโดยไมระมดระวงหรอรเทาไมถงการณ รวมถงกาหนดใหมมาตรการเชงปองกนตามความเหมาะสม

๑๐.๒ การลงทะเบยนผใชงาน (user registration) ตองกาหนดใหมขนตอนทางปฏบตสาหรบการลงทะเบยนผใชงานเมอมการอนญาตใหเขาถงระบบสารสนเทศ และการตดออกจากทะเบยนของผใชงานเมอมการยกเลกเพกถอนการอนญาตดงกลาว

๑๐.๓ การบรหารจดการสทธของผใชงาน (user management) ตองจดใหมการควบคมและจากดสทธเพอเขาถงและใชงานระบบสารสนเทศแตละชนดตามความเหมาะสม ทงนรวมถงสทธจาเพาะ สทธพเศษ และสทธอนๆ ทเกยวของกบการเขาถง

๑๐.๔ การบรหารจดการรหสผานสาหรบผใชงาน (user password management) ตองจดใหมกระบวนการบรหารจดการรหสผานสาหรบผใชงานอยางรดกม

๑๐.๕ การทบทวนสทธการเขาถงของผใชงาน (review of user access rights) ตองจดใหมกระบวนการทบทวนสทธการเขาถงของผใชงานระบบสารสนเทศตามระยะเวลาทกาหนดไว

ขอ 11 กาหนดหนาทความรบผดชอบของผใชงาน (user responsibilities) เพอปองกน การเขาถงโดยไมไดรบอนญาต การเปดเผย การลวงร หรอการลกลอบทาสาเนาขอมลสารสนเทศหรอการลกขโมยอปกรณประมวลผลสารสนเทศ ดงตอไปน

๑๑.๑ การใชงานรหสผาน (password use) ตองกาหนดแนวปฏบตทดสาหรบผใชงาน ในการกาหนดรหสผาน การใชงานรหสผาน และการเปลยนรหสผานทมคณภาพ

4

๑๑.๒ การปองกนอปกรณในขณะทไมมผใชงานอปกรณ กาหนดแนวปฏบตทเหมาะสมเพอปองกนไมใหผไมมสทธสามารถเขาถงอปกรณของหนวยงานในขณะทไมมผดแล

๑๑.๓ การควบคมทรพยสนสารสนเทศและการใชงานระบบคอมพวเตอร (clear desk and clear screen policy) ตองควบคมไมใหทรพยสนสารสนเทศ เชน เอกสาร สอบนทกขอมล คอมพวเตอรหรอสารสนเทศ อยในภาวะเสยงตอการเขาถงโดยผซงไมมสทธ และตองกาหนดใหผใชงานออกจากระบบสารสนเทศเมอวางเวนจากการใชงาน

๑๑.๔ อาจนาการเขารหสมาใชกบขอมลทเปนความลบ โดยใหปฏบตตามระเบยบ วาดวยการรกษาความลบของทางราชการ พ.ศ. 2544

ขอ 12 ใหควบคมการเขาถงเครอขาย (network access control) เพอปองกนการเขาถงบรการทางเครอขายโดยไมไดรบอนญาต ดงตอไปน

๑๒.๑ การใชบรการเครอขาย ตองกาหนดใหผใชงานสามารถเขาถงระบบสารสนเทศไดเฉพาะบรการทไดรบอนญาตใหเขาถงเทานน

๑๒.๒ การยนยนตวบคคลสาหรบผใชงานทอยภายนอกหนวยงาน (user authentication for external connections) ตองกาหนดใหมการยนยนตวบคคลกอนทจะอนญาตใหผใชงานทอยภายนอกหนวยงานสามารถเขาใชงานเครอขายและระบบสารสนเทศของหนวยงานได

๑๒.๓ การระบอปกรณบนเครอขาย (equipment identification in networks) ตองมวธการทสามารถระบอปกรณบนเครอขายได และควรใชการระบอปกรณบนเครอขายเปนการยนยน

๑๒ .๔ การปองกนพอรตท ใชสาหรบตรวจสอบและปรบแตงระบบ (remote diagnostic and configuration port protection) ตองควบคมการเขาถงพอรตทใชสาหรบตรวจสอบและปรบแตงระบบทงการเขาถงทางกายภาพและทางเครอขาย

๑๒.๕ การแบงแยกเครอขาย (segregation in networks) ตองทาการแบงแยกเครอขายตามกลมของบรการสารสนเทศ กลมผใชงาน และกลมของระบบสารสนเทศ

๑๒.๖ การควบคมการเชอมตอทางเครอขาย (network connection control) ตองควบคมการเขาถงหรอใชงานเครอขายทมการใชรวมกนหรอเชอมตอระหวางหนวยงานใหสอดคลองกบ แนวปฏบตการควบคมการเขาถง

๑๒.๗ การควบคมการจดเสนทางบนเครอขาย (network routing control) ตองควบคมการจดเสนทางบนเครอขาย เพอใหการเชอมตอของคอมพวเตอรและการสงผานหรอไหลเวยนของขอมลหรอสารสนเทศสอดคลองกบแนวปฏบตการควบคมการเขาถงหรอการประยกตใชงานตามภารกจ

ขอ 13 ใหควบคมการเขาถงระบบปฏบตการ (operating system access control) เพอปองกนการเขาถงระบบปฏบตการโดยไมไดรบอนญาต ดงตอไปน

๑๓ .๑ กาหนดขนตอนปฏบต เ พอการเขาใช งานทมนคงปลอดภย การเขาถงระบบปฏบตการจะตองควบคมโดยวธการยนยนตวตนทมนคงปลอดภย

๑๓.๒ ระบและยนยนตวตนของผใชงาน (user identification and authentication) ตองกาหนดใหผใชงานมขอมลเฉพาะเจาะจงซงสามารถระบตวตนของผใชงาน และเลอกใชขนตอนทางเทคนค ในการยนยนตวตนทเหมาะสมเพอรองรบการกลาวอางวาเปนผใชงานทระบถง

5

๑๓.๓ การบรหารจดการรหสผาน (password management system) ตองจดทาหรอจดใหมระบบบรหารจดการรหสผานทสามารถทางานเชงโตตอบ (interactive) หรอมการทางานในลกษณะอตโนมตซงเออตอการกาหนดรหสผานทมคณภาพ

๑๓.๔ การใชงานโปรแกรมอรรถประโยชน (use of system utilities) ควรจากดและควบคมการใชงานโปรแกรมประเภทอรรถประโยชน เพอปองกนการละเมดหรอหลกเลยงมาตรการความมนคงปลอดภยทไดกาหนดไวหรอทมอยแลว

๑๓.๕ เมอมการวางเวนจากการใชงานในระยะเวลาหนงใหยตการใชงานระบบสารสนเทศนน (session time-out)

๑๓.๖ การจากดระยะเวลาการเชอมตอระบบสารสนเทศ (limitation of connection time) ตองจากดระยะเวลาในการเชอมตอเพอใหมความมนคงปลอดภยมากยงขนสาหรบระบบสารสนเทศหรอโปรแกรมทมความเสยงหรอมความสาคญสง

ขอ 14 ใหควบคมการเขาถงโปรแกรมประยกตหรอแอพพลเคชนหรอระบบสารสนเทศ (information access restriction) ดงตอไปน

๑๔.๑ การจากดการเขาถงสารสนเทศ (information access restriction) ตองจากดหรอควบคมการเขาถงหรอเขาใชงานของผใชงานและบคลากรฝายสนบสนนการเขาใชงานในการเขาถงสารสนเทศและฟงกชน (functions) ตางๆ ของโปรแกรมประยกตหรอแอพพลเคชน ทงน โดยใหสอดคลองตามนโยบายควบคมการเขาถงสารสนเทศทไดกาหนดไว

๑๔.๒ การควบคมอปกรณคอมพวเตอรและสอสารเคลอนท ตองกาหนดแนวปฏบตและมาตรการทเหมาะสมเพอปกปองสารสนเทศจากความเสยงของการใชอปกรณคอมพวเตอรและสอสารเคลอนท

๑๔.๓ การปฏบตงานจากภายนอกหนวยงาน (teleworking) ตองกาหนดแนวปฏบต แผนงานและขนตอนปฏบตเพอปรบใชสาหรบการปฏบตงานของหนวยงานจากภายนอกหนวยงาน

ขอ 15 ใหมการจดทาระบบสารอง ดงตอไปน ๑๕.๑ ตองพจารณาคดเลอกและจดทาระบบสารองทเหมาะสมใหอยในสภาพพรอมใชงาน ๑๕.๒ ตองจดทาแผนเตรยมความพรอมกรณฉกเฉนในกรณทไมสามารถดาเนนการดวย

วธการทางอเลกทรอนกส เพอใหสามารถใชงานสารสนเทศไดตามปกตอยางตอเนอง โดยตองปรบปรงแผนเตรยมความพรอมกรณฉกเฉนดงกลาวใหสามารถปรบใชไดอยางเหมาะสมและสอดคลองกบการใชงานตามภารกจ

๑๕.๓ ตองมการกาหนดหนาทและความรบผดชอบของบคลากรซงดแลรบผดชอบระบบเทคโนโลยสารสนเทศและการสอสาร ระบบสารอง และการจดทาแผนเตรยมพรอมกรณฉกเฉนในกรณ ทไมสามารถดาเนนการดวยวธการทางอเลกทรอนกส

๑๕.๔ ตองมการทดสอบสภาพพรอมใชงานของระบบสารสนเทศ ระบบสารองและระบบแผนเตรยมพรอมกรณฉกเฉนอยางสมาเสมอ

๑๕.๕ ความถของการปฏบตในแตละขอ ตองมการปฏบตทเพยงพอตอสภาพความเสยงทยอมรบได

ขอ 16 ใหมการตรวจสอบและประเมนความเสยงดานสารสนเทศ ดงตอไปน ๑๖.๑ ตองจดใหมการตรวจสอบและประเมนความเสยงดานสารสนเทศทอาจเกดขนกบ

ระบบสารสนเทศ (information security audit and assessment) อยางนอยปละหนงครง

6

๑๖.๒ ในการตรวจสอบและประเมนความเสยงจะตองดาเนนการโดยผตรวจสอบภายใน ของหนวยงาน (internal auditor) หรอโดยผตรวจสอบอสระดานความมนคงปลอดภยจากภายนอก (external auditor) เพอใหหนวยงานไดทราบถงระดบความเสยงและระดบความมนคงปลอดภยดานสารสนเทศ

ขอ 17 กรณระบบคอมพวเตอรหรอขอมลสารสนเทศเกดความเสยหาย หรออนตรายใดๆ แกหนวยงานหรอผหนงผใด อนเนองมาจากความบกพรองละเลย หรอฝาฝนการปฏบตตามนโยบายและ แนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ ผบรหารเทคโนโลยสารสนเทศระดบสง เปนผรบผดชอบตอความเสยง ความเสยหาย หรออนตรายทเกดขน

ประกาศ ณ วนท 4 กนยายน พ.ศ. 2555

(นางวชร วมกตายน)

อธบดกรมการคาภายใน

นโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ กรมการคาภายใน

----------------------------------- ปจจบนระบบสารสนเทศและเครอขายคอมพวเตอร (Computer Network) เปนสงสาคญ

สาหรบหนวยงานทเขามาชวยอานวยความสะดวกในการปฏบตงาน ทาใหการเขาถงขอมลมความรวดเรวการตดตอสอสารมประสทธภาพ และชวยประหยดตนทนในการดาเนนงานดานตางๆ ของหนวยงานทเชอมตอระบบอนเทอรเนต ทงนระบบเครอขายดงกลาว แมจะมประโยชนและอานวยความสะดวกกตามแตในขณะเดยวกนกมความเสยงสง และอาจกอใหเกดภยอนตรายหรอสรางความเสยหายตอการปฏบตงาน ไดเชนกน เพราะการใชงานระบบเครอขายคอมพวเตอรเปรยบเสมอนการเปดประตเพอตดตอกบโลกภายนอก ทาใหมโอกาสถกบกรกไดมากขน ซงอาจกอใหเกดอาชญากรรมทางคอมพวเตอรไดหลายรปแบบ เชน โปรแกรมไมพงประสงค หรอการโจมตทางระบบเครอขายเพอกอกวนใหระบบใชการไมได รวมถงการขโมยขอมลหรอความลบทางราชการ ซงสงเหลานเปนการสรางความเสยหายดานระบบสารสนเทศ และทาใหสญเสยชอเสยงหรอภาพพจนของหนวยงาน ดงนนผใชงานและผดแลระบบเทคโนโลยสารสนเทศและการสอสาร จงมความจาเปนตองตระหนกถงการใหการดแลบารงรกษา และการควบคมรกษาความมนคงปลอดภยดานสารสนเทศเปนอยางยง

กรมการคาภายใน ไดดาเนนการจดทานโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศของกรมการคาภายในขน เพอใหการดาเนนงานดวยวธการทางอเลกทรอนกสมความมนคงปลอดภยเปนทยอมรบและเชอมนในขอมลดานสารสนเทศและเปนไปตามบทบญญตกฎหมาย กฎระเบยบทเกยวของ

การรกษาความมนคงปลอดภยดานสารสนเทศ เปนภารกจท ตองไดรบความรวมมอ จากทกหนวยและตองทาอยางตอเนอง มการตรวจสอบอยางสมาเสมอ และปรบปรงเพอใหสอดคลองกบการพฒนาของเทคโนโลยทเปลยนแปลงไปอยางรวดเรว โดยนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศนจะเปนเครองมอใหกบผใชงาน ผดแลระบบ และผทเกยวของยดถอในการปฏบตงานของกรมการคาภายในใหเกดประสทธภาพสงสดตอไป

2

นโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศกรมการคาภายใน

1. หลกการและเหตผล โดยทพระราชกฤษฎกากาหนดหลกเกณฑและวธการในการทาธรกรรมทางอเลกทรอนกส

ภาครฐ พ.ศ. 2549 กาหนดใหหนวยงานของรฐตองจดทานโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ เพอใหการดาเนนธรกรรมดวยวธการทางอเลกทรอนกสมความมนคงปลอดภย และเชอถอได กรมการคาภายใน จงไดจดทานโยบายและแนวปฏบตในการรกษาความมนคงปลอดภย ดานสารสนเทศของกรมการคาภายในขน เพอรกษาความมนคงปลอดภยของขอมลและระบบเทคโนโลยสารสนเทศและการสอสาร ซงเปนเครองมอทสาคญในการปฏบตงานและการบรหารราชการ

2. วตถประสงค ๒.1 เพอใหมนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศของ

กรมการคาภายในเปนไปตามกฎหมาย กฎ ระเบยบทเกยวของ ๒.2 เพอกาหนดแนวทางและวธการปฏบตใหบคลากรและผใชงานทปฏบตงานใหกบ

หนวยงาน รวมทงการยนยนตวบคคล การเขาถงและการควบคมการใชงานระบบสารสนเทศ ๒.3 เพอใหมการสารองขอมลสารสนเทศ อยางสมาเสมอ เพอรกษาความถกตองสมบรณ

ความพรอมใชอยเสมอของระบบสารสนเทศและการจดทาแผนเตรยมความพรอมกรณเกดเหตฉกเฉน ใหสามารถกระบบกลบคนมาไดภายในระยะเวลาทเหมาะสม

๒.4 เพอใหมการตรวจสอบและประเมนความเสยงในการรกษาความมนคงปลอดภย ของขอมลและระบบสารสนเทศอยางสมาเสมอ

๒.5 เพอสรางความตระหนกและสงเสรมใหเกดความร ความเขาใจและการใหการอบรม ทางดานการรกษาความมนคงปลอดภยดานสารสนเทศใหแกบคลากรและผใชงานทเกยวของ

3. แนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศของกรมการคาภายใน

กาหนดแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศของกรมการคาภายใน เพอเปนแนวทางและวธการปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศใหสอดคลองและเปนไปตามนโยบายทกาหนดไว โดยแบงแนวปฏบตออกเปนสวนๆ ดงตอไปน

สวนท 1 คานยาม สวนท 2 นโยบายการบรหารจดการความมนคงปลอดภยสาหรบผบรหาร สวนท 3 นโยบายการใชงานคอมพวเตอรและเครอขายสาหรบผใชงาน ผดแลระบบและ

ผพฒนาระบบ สวนท 4 นโยบายการจดการคอมพวเตอรและเครอขายสาหรบเจาหนาทดานเทคโนโลย

สารสนเทศ สวนท 5 นโยบายการจดการดานบคลากรสาหรบศนยเทคโนโลยสารสนเทศ สวนท 6 นโยบายการเผยแพรขอมลสสาธารณะสาหรบผเปนเจาของหรอรบผดชอบตอ

ขอมลทตองทาการเผยแพรสสาธารณะ

3

สวนท ๑ คานยาม

คานยามทใชในประกาศประกอบดวย “หนวยงาน” หมายถง กรมการคาภายใน “ผบรหารสงสด” หมายถง อธบด กรมการคาภายใน “ผบรหารเทคโนโลยสารสนเทศระดบสง (Chief Information Officer: CIO)” หมายถง

รองอธบด กรมการคาภายใน ผควบคมดแลและรบผดชอบดานระบบเทคโนโลยสารสนเทศและการสอสาร ของกรมการคาภายใน

“ผบงคบบญชา” หมายถง ผมอานาจสงการตามโครงสรางการบรหารของหนวยงาน หรอผทไดรบมอบหมายใหมอานาจสงการ

“การรกษาความมนคงปลอดภย” หมายถง การรกษาความมนคงปลอดภย สาหรบการใชงานระบบเทคโนโลยสารสนเทศและการสอสารของกรมการคาภายใน

“ความมนคงปลอดภยดานสารสนเทศ (Information Security)” หมายถง การธารงไวซงความลบ ความถกตองครบถวน (Integrity) และสภาพความพรอมใชงาน (Availability) ของสารสนเทศรวมทงคณสมบตอน ไดแก ความถกตองแทจรง (Authenticity) ความรบผดชอบ (Accountability) การหามปฏเสธความรบผดชอบ (Non-repudiation) และความนาเชอถอ (Reliability)

“มาตรฐาน” หมายถง บรรทดฐานทบงคบใชในการปฏบตการจรงเพอใหไดตามวตถประสงคหรอเปาหมาย

“ขนตอนปฏบต” หมายถง รายละเอยดทบอกขนตอนเปนขอ ๆ ทตองนามาปฏบตเพอใหไดมาซงมาตรฐานทไดกาหนดไวตามวตถประสงค

“แนวทางปฏบต” หมายถง แนวทางทควรปฏบตตามเพอใหสามารถบรรลวตถประสงคหรอเปาหมายไดงายขน

“ขอปฏบต” หมายถง การปฏบตเพอใหบรรลวตถประสงคของนโยบาย “ระบบเทคโนโลยสารสนเทศ (Information Technology System)” หมายถง

ระบบงานของกรมการคาภายในทนาเอาเทคโนโลยสารสนเทศ ระบบคอมพวเตอร และระบบเครอขายมาชวยในการสรางสารสนเทศทกรมการคาภายใน สามารถนามาใชประโยชนในการวางแผน การบรหาร การสนบสนน การใหบรการ การพฒนาและควบคมการตดตอสอสาร ซงมองคประกอบ เชน ระบบคอมพวเตอร โปรแกรม ขอมลและสารสนเทศ เปนตน

“ผใชงาน” หมายถง บคคลทไดรบอนญาต (Authorized Users) ใหสามารถเขาใชระบบเทคโนโลยสารสนเทศของกรมการคาภายใน ดงน

- ขาราชการ เจาหนาทราชการ ลกจางประจา ลกจางตามสญญาจางในสงกดหนวยงาน

- บคคลทกรมการคาภายใน อนญาตใหเขามาใชระบบเทคโนโลยสารสนเทศของกรมการคาภายในไดชวคราว เพอประโยชนในการดาเนนงานของกรมการคาภายใน เชน เจาหนาทหรอลกจางบรษทภายนอกทเขามาตดตงหรอดแลรกษาระบบใหกบกรมการคาภายใน หรอทปรกษา หรอผปฏบตงานตามสญญาจาง หรอนสตนกศกษาฝกงาน

4

“สทธของผใชงาน” หมายถง สทธทวไป สทธจาเพาะ สทธพเศษ และสทธอนใดทเกยวของกบระบบเทคโนโลยสารสนเทศของกรมการคาภายในทกาหนดโดยผดแลระบบ

“เจาหนาทศนยเทคโนโลยสารสนเทศ” หมายถง บคลากรของศนยเทคโนโลยสารสนเทศทไดรบมอบหมายใหสามารถเขาใชงานดแลระบบเทคโนโลยสารสนเทศของกรมการคาภายใน ดงน

- “ผดแลระบบ (System Administrator)” หมายถง เจาหนาททไดรบมอบหมายจากผบงคบบญชาใหมหนาทรบผดชอบในการดแลรกษาระบบและเครอขายคอมพวเตอร

- “ผพฒนาระบบ (System Developer)” หมายถง เจาหนาททไดรบมอบหมายจากผบงคบบญชาใหมหนาทในการพฒนาและดแลรกษาระบบงานสารสนเทศของหนวยงาน

“หนวยงานภายนอก” หมายถง สวนราชการ องคการ หรอหนวยงานอนทไดรบอนญาตใหมสทธในการเขาถงและใชงานขอมลหรอทรพยสนตางๆ ของหนวยงาน โดยจะไดรบสทธในการใชระบบสารสนเทศตามอานาจหนาทและตองรบผดชอบในการรกษาความลบของขอมล

“ผใหบรการภายนอก (External service provider)” หมายถง หนวยงานภายนอกทรบจางปฏบตงานดานเทคโนโลยสารสนเทศตามความตองการของกรมการคาภายใน

“ขอมลคอมพวเตอร” หมายถง ขอมล ขอความ คาสง ชดคาสง หรอสงอนใดบรรดาทอยในระบบคอมพวเตอรในสภาพทระบบคอมพวเตอรอาจประมวลผลได และใหหมายความรวมถงขอมลอเลกทรอนกสตามกฎหมายวาดวยธรกรรมทางอเลกทรอนกส

“ขอมลจราจรทางคอมพวเตอร (Traffic Log)” หมายความวา ขอมลทเกยวกบการตดตอสอสาร ของระบบคอมพวเตอร ซงแสดงถงแหลงกาเนด ตนทาง ปลายทาง เสนทาง เวลา วนท ปรมาณ ระยะเวลา ชนดของบรการ หรออนๆ ทเกยวของในการตดตอสอสารของระบบคอมพวเตอรนน

“ขอมลลอก (Event Log)” หมายถง ขอมลทเครองคอมพวเตอรและอปกรณเครอขายทบนทกไวซงแสดงถงเหตการณหรอกจกรรมตาง ๆ ทเกดขน โดยทวไปขอมลทบนทกไวนจะมหรอแสดงวนเวลาทเหตการณหรอกจกรรมหนงเกดขนดวย เพอใชในการวเคราะหวาเหตการณหรอกจกรรมนนเกดขนเมอไร

“สารสนเทศ (Information)” หมายถง ขอเทจจรงทไดจากขอมลนามาผานการประมวลผล การจดระเบยบใหขอมลซงอาจอยในรปของตวเลข ขอความ หรอภาพกราฟฟกใหเปนระบบทผใชงานสามารถเขาใจไดงาย แบะสามารถนาไปใชประโยชนในการบรหาร การวางแผน การตดสนใจ และอน ๆ

“ระบบคอมพวเตอร (Computer System)” หมายถง อปกรณ หรอชดอปกรณของคอมพวเตอรทเชอมการทางานเขาดวยกน โดยมการกาหนดคาสง ชดคาสงหรอสงอนใด และแนวทางปฏบตงานใหอปกรณหรอชดอปกรณ ทาหนาทประมวลผลขอมลโดยอตโนมต

“ระบบเครอขาย (Network System)” หมายถง ระบบทใชในการตดตอสอสารหรอการสงขอมลและสารสนเทศระหวางระบบเทคโนโลยสารสนเทศตาง ๆ ของกรมการคาภายใน เชน ระบบแลน (LAN) ระบบอนทราเนต (Intranet) ระบบอนเทอรเนต (Internet) เปนตน

“ระบบแลน (LAN) และระบบอนทราเนต (Intranet)” หมายถง ระบบเครอขายอเลกทรอนกสทเชอมตอระบบคอมพวเตอรตาง ๆ ภายในหนวยงานของกรมการคาภายใน เขาดวยกนเปนเครอขายทมจดประสงคเพอการตดตอสอสารแลกเปลยนขอมลและสารสนเทศภายในหนวยงาน

“ระบบอนเทอรเนต (Internet)” หมายถง ระบบเครอขายอเลกทรอนกสทเชอมตอระบบเครอขายคอมพวเตอรตาง ๆ ของกรมการคาภายในเขากบเครอขายอนเทอรเนตทวโลก

5

“หอง Data Center” หมายถง หองทตดตงเครองคอมพวเตอรแมขายหรอคอมพวเตอรหลก และอปกรณเครอขายหลกทใชงานในหนวยงาน

“สนทรพย” หมายถง ทรพยสนดานระบบเทคโนโลยสารสนเทศและการสอสารของกรมการคาภายใน เชน อปกรณคอมพวเตอร อปกรณระบบเครอขาย ซอฟตแวรทมคาลขสทธ เปนตน

“การเขาถงหรอควบคมการใชงานสารสนเทศ” หมายถง การอนญาต การกาหนดสทธ หรอการมอบอานาจใหผใชงานเขาถงหรอใชงานเครอขายหรอระบบสารสนเทศทางอเลกทรอนกส และทางกายภาพรวมทงการอนญาตทวานนสาหรบบคคลภายนอก ตลอดจนอาจกาหนดขอปฏบตเกยวกบการเขาถงโดยมชอบเอาไวดวยกได

“เหตการณดานความมนคงปลอดภย” หมายถง กรณทระบการเกดเหตการณ สภาพของบรการหรอเครอขายทแสดงใหเหนความเปนไปไดทจะเกดการฝาฝนนโยบายดานความมนคงปลอดภยหรอมาตรการปองกนทลมเหลว หรอเหตการณอนไมอาจรไดวาอาจเกยวของกบความมนคงปลอดภย

“สถานการณดานความมนคงปลอดภยทไมพงประสงคหรอไมอาจคาดคด” หมายถง สถานการณดานความมนคงปลอดภยทไมพงประสงคหรอไมอาจคาดคด ซงอาจะทาใหระบบของหนวยงานถกบกรกหรอโจมตและความมนคงปลอดภยถกคกคาม

“กระบวนการทางธรกจ (Business Process)” หมายถง งานตามภารกจของกรมการคาภายใน ซงประกอบดวยกจกรรมตาง ๆ ทเกยวของทตองดาเนนการจนกระทงแลวเสรจ ปกตกระบวนการ ๆ หนง จะมปจจยนาเขา (input) ทใชในกระบวนการ และมผลลพธ (output) ของกระบวนการนนเกดขน

“กระบวนการทางธรกจสาคญ (Critical Business Process)” หมายถง งานตามภารกจสาคญของกรมการคาภายใน ซงหากงานเหลานเกดการหยดชะงกหรอไมสามารถปฏบตตอไปได จะกอใหเกดความเสยหายตอหนวยงานเปนอยางมาก เชน ความเสยหายดานการเงน ดานชอเสยงภาพลกษณ ดานความเชอมนของลกคา ประชาชน หรอผใชบรการ ดานการละเมดกฎหมาย เปนตน

“จดหมายอเลกทรอนกส (E-mail)” หมายถง ระบบทบคคลใชในการรบสงขอความระหวางกนโดยผานเครองคอมพวเตอรและระบบเครอขายทเชอมโยงถงกน ขอความทสงจะเปนไดทงตวอกษร ตวเลข ภาพ เสยง ภาพกราฟฟก ภาพเคลอนไหว หรอรปแบบอนใดทสอความหมายไดโดยสภาพของสงนนเองหรอโดยผานวธการใดๆ ทผสงสามารถสงขอความไปยงผรบคนเดยวหรอหลายคนกได มาตรฐานทใช ในการรบสงขอความชนดนไดแก SMTP, POP3 และ IMAP เปนตน

“รหสผาน (Password)” หมายถง ตวอกษรหรออกขระหรอตวเลข ทใชเปนเครองมอ ในการตรวจสอบยนยนตวบคคล เพอควบคมการเขาถงขอมลและระบบขอมลในการรกษาความมนคงปลอดภยของขอมลและระบบเทคโนโลยสารสนเทศ

“โปรแกรมไมพงประสงค” หมายถง โปรแกรมคอมพวเตอร ชดคาสง และหรอขอมลอเลกทรอนกสทไดรบการออกแบบขนมาทมวตถประสงคเพอกอกวนหรอสรางความเสยหาย ไมวาโดยตรงหรอโดยออมแกระบบคอมพวเตอรหรอระบบเครอขาย เชน ไวรสคอมพวเตอร (Computer Virus) หรอสปายแวร (Spyware) หรอหนอน (Worm) หรอมาโทรจน (Trojan horse) หรอฟชชง (Phishing) หรอจดหมายขยะ (Spam mail) เปนตน

“ขอมลทเกยวของกบภารกจของหนวยงาน” หมายถง ขอมลทกรมการคาภายใน เปนผสราง เปลยนแปลง หรอ แกไขตามภารกจหรอหนาทความรบผดชอบของหนวยงานนน ขอมลทไดรบจากหนวยงานภายนอก ไมถอวากรมการคาภายในเปนเจาของ เปนแตเพยงผใชงานขอมลเทานน

“เจาของขอมล” หมายถง เจาหนาทของกรมการคาภายใน ซงไดรบมอบหมายใหเปนผรบผดชอบและสามารถสราง เปลยนแปลง หรอแกไขขอมลทเกยวกบภารกจของหนวยงานนน รวมทงการให

6

สทธในการเขาถงขอมลนนแกผอน “ชนความลบของขอมล” หมายถง การจาแนกขอมลสาคญของกรมการคาภายใน ออกเปน

แตละระดบ เพอใหมการจดการกบขอมลเหลานนอยางมนคงปลอดภยเพยงพอ ดงน - “ขอมลลบ” หมายถง เอกสาร/ขอมลตาง ๆ รวมทงขอมลทางอเลกทรอนกสและ

สารสนเทศตาง ๆ ซงจากดการเขาถงโดยผทเกยวของเทานน หามไมใหเปดเผยกบผอน การเปดเผยโดยไมไดรบอนญาตอาจทาใหเกดความเสยหายอยางรายแรงได กาหนดชนความลบเปน 3 ชน คอ ลบทสด (Top secret) ลบมาก (Secret) และลบ (Confidential)

- “ขอมลใชภายในเทานน” (Internal Data) หมายถง เอกสาร/ขอมลตาง ๆ รวมทงขอมลทางอเลกทรอนกสและสารสนเทศตาง ๆ ซงทางกรมการคาภายในสรางขนมาเพอใชงานในกรมการคาภายในเทานน หามไมใหเปดเผยกบบคคลภายนอกโดยไมไดรบอนญาต การเปดเผยขอมลในกรณตองสงมอบใหกบกระทรวงหรอหนวยงานของรฐอน ซงมอานาจในการกากบดแลกรมการคาภายใน

- “ขอมลสวนบคคล” (Personal Data) หมายถง เอกสาร/ขอมลตาง ๆ รวมทงขอมลทางอเลกทรอนกสและสารสนเทศตาง ๆ ซงทางกรมการคาภายในสรางขนมาเอง หรอไดรบจากภายนอก โดยทขอมลเหลานสามารถบงชตวบคคลผเปนเจาของขอมลได เชน ขอมลการศกษา ฐานะการเงน ประวตสขภาพ หรอ ประวตการทางาน ขอมลทมชอของผนนหรอมเลขหมาย รหส หรอสงทสามารถบงบอกลกษณะอน ๆ ททาใหรตวผ นนได ขอมลสวนบคคลในเอกสารนจะหมายถง เฉพาะขอมลของประชาชน ผใชบรการตาง ๆ ของกรมการคาภายในซงถกสรางขนมาเพอใชงานตามภารกจของกรมการคาภายใน

- “ขอมลทเปดเผยได” (Public Data) หมายถง เอกสาร/ขอมลตาง ๆ รวมทงขอมลทางอเลกทรอนกสและสารสนเทศตาง ๆ ซงทางกรมการคาภายในสรางขนมาเอง หรอไดรบจากภายนอก และมจดประสงคเพอใหสามารถเผยแพรขอมลไดในวงกวาง เชน เผยแพรใหประชาชน หรอผใชบรการไดรบทราบ

“สอบนทกขอมล” หมายถง กระดาษ เทป Harddisk, Flash Drive และแผน CD/DVD หรอสอชนดอน ๆ ทใชในการบนทกขอมล

“คณะกรรมการทาลายขอมล” หมายถง กลมเจาหนาทของกรมการคาภายใน ทไดรบแตงตง เพอทาหนาททาลายขอมลทสนสดหรอหมดอายการจดเกบ ขอมลทตองการทาลายสามารถอยบนสอบนทกขอมลไดในหลากหลายรปแบบ

“การเขารหสขอมล” หมายถง การใชซอฟตแวรหรอโปรแกรมคอมพวเตอรซงมความสามารถในการซอนขอมลสาคญจากการมองเหน หรอถกเขาถงโดยไมไดรบอนญาต โดยใชวธการแปลงขอมลเดมไปสขอมลอกรปแบบหนง ทไมสามารถอานทาความเขาใจได (แมวาจะสามารถเขาถงไดกตาม)

“ชองโหว (Software/Hardware vulnerabilites)” หมายถง จดออนทพบในซอฟตแวรหรอฮารดแวร ทกรมการคาภายในใชงาน (ซอฟตแวรหรอฮารดแวรนน ถกพฒนาหรอจดทาโดยผผลตซอฟตแวรหรอฮารดแวร) จดออนทพบอาจทาใหซอฟตแวรหรอฮารดแวรทางานผดพลาดในลกษณะตาง ๆ ซงรวมถงความผดพลาดในตวขอมลดวย

7

“โปรแกรมแกไขชองโหว (Patch for Software/Hardware vulnerabilities)” หมายถง โปรแกรมสาหรบแกไขทผผลตซอฟตแวรหรอฮารดแวรจดทาขนมาเพอแกไขปญหาชองโหว ทผใชงานคนพบและรายงานเขามาใหผผลดไดรบทราบ

“ซอรสโคด (Source code)” หมายถง ชดคาสงทสามารถสงการใหเครองคอมพวเตอรทางานตามทตองการได ชดคาสงนจะถกแปลงโดยโปรแกรมแปลงภาษา เชน Compliler, Interpreter หรอ Assembler ไปเปนโคดทเครองคอมพวเตอร สามารถตความและสงการใหเครองทางานตามทตความ

“เอกสารลบ” หมายถง ขอมลลบทอยในรปของเอกสาร “ไฟลขอมลลบอเลกทรอนกส (ไฟลขอมลลบ)” หมายถง ไฟลทถกสรางจากเครอง

คอมพวเตอรและมขอมลลบอยในไฟล เชน ไฟล.doc ของ Microsoft Office เปนตน “ทะเบยนขอมลลบ” หมายถง เอกสารแสดงรายการของขอมลลบของหนวยงานภายในวา

ประกอบไปดวยขอมลลบอะไรบาง ใครเปนเจาของขอมล หนวยงานใดบางทอนญาตใหเขาถง สถานทใดทใชในการจดเกบขอมล เปนตน

“เจาของขอมลลบ” หมายถง เจาหนาทของกรมการคาภายในททาหนาทเปนผสรางขอมลลบขนมา เปนผทสามารถเปลยงแปลงหรอแกไขขอมลได สามารถกาหนดสทธการเขาถงขอมลลบ คอการกาหนดวาจะอนญาตใหใครบางทสามารถเขาถงขอมลนได

“ขอมลชวคราว” หมายถง ขอมลทเกยวของกบภารกจของหนวยงานซงอยบนสอบนทกขอมลแตไมไดเปนขอมลสาเนาชดสดทายทเจาของขอมลมอย ขอมลดงกลาวถอเปน “ขอมลชวคราว” ทเจาของขอมลสามารถทาลายได

“พอรต (Ports)” หมายถง บรการตาง ๆ บนเครองเซรฟเวอรใหบรการ โดยทวไปบรการเหลานจะไดรบการบรการหมายเลขเปนหมายเลขมาตรฐาน เชน พอรต 80 หมายถงบรการเวบซงบรการขอมลตาง ๆ บนเวบหนง หรอพอรต 25 หมายถงบรการรบสงอเมลบนอนเทอรเนต เปนตน

“ซอฟตแวรยทลต (Utility Software)” หมายถง ซอฟตแวรทมการตดตงเพมเตมลงไปในเครองคอมพวเตอรเพอประโยชนการใชงานในลกษณะใดลกษณะหนง

“สภาพความพรอมใชของระบบ (IT system availability)” หมายถง ความสามารถของระบบทจะใหบรการตามหนาทของตวเองหรอตามทไดถกพฒนาไดอยางตอเนองมากทสด หรอมชวงระยะเวลาทไมสามารถใหบรการไดนอยทสด

“รอยละของสภาพความพรอมใชของระบบ (Percent IT system availability)” หมายถง ภายในชวงระยะเวลาหนงทไดกาหนดไว ระบบงานหนงสามารถใหบรการไดอยางตอเนอง คดรวมเปนระยะเวลาทงหมดเทาไร เชน กาหนดชวงไว 1 ป ระบบงานสามารถใหบรการรวมทงหมดไดกชวโมงภายใน 1 ป เมอคานวณเปนรอยละหรอสดสวน วธการคานวณคอ (ระยะเวลาทระบบงานสามารถใหบรการไดภายใน 1 ป/ระยะเวลา 1 ป) × 100

“ระยะเวลาการหยดชะงกโดยเฉลยตอครง (Mean time to repair - MTTR)” หมายถง คาเฉลยของระยะเวลาทระบบงานหนงเกดการหยดชะงกตอหนงครง คาเฉลยนเกดจากการนาระยะเวลารวมทงหมดทระบบเกดการหยดชะงกหารดวยจานวนครงทเกดการหยดชะงก

“การประเมนผลกระทบทางธรกจ (Business Import Analysis - BIA)” หมายถง การประเมนผลในเชงลบทเกดขนกบธรกจ หากระบบงานหนงซงสนบสนนกระบวนการทางธรกจเกดการหยดชะงกหรอไมสามารถใหบรการได เชน ผลในเชงลบดานมลคาความเสยหายทางธรกจ การใหบรการลกคา สญญาจาง กฎหมาย ระเบยบ ขอบงคบอน ๆ ทหนวยงานตองปฏบตตาม

8

“RTO (Recovery Time Objective)” หมายถง ระยะทจะใชในการกคนระบบงานทมการหยดชะงก เพอใหระบบกลบคนมาทาใหหนวยงานสามารถดาเนนงานหรอใหบรการตอไปได

“MTD (Maximum Tolerable Downtime)” หมายถง ระยะเวลานานทสดทหนวยงานยอมใหการดาเนนงานหยดชะงกได

“RPO (Recovery Point Objective)” หมายถง ระยะเวลาทใหขอมลสญหายไดนานทสด โดยไมสงผลเสยหายตอการดาเนนงาน หรอทาใหการปฏบตงานขาดความความตอเนอง

9

สวนท 2 นโยบายการบรหารจดการความมนคงปลอดภย

สาหรบผบรหาร

วตถประสงค เพอใหมการบรหารจดการความมนคงปลอดภยสาหรบสารสนเทศของหนวยงาน เพอใหสอดคลอง

มาตรฐานสากล ISO/IEC 27001 ผรบผดชอบ

ผบรหารสงสด และผบรหารเทคโนโลยสารสนเทศระดบสง (CIO) อางองมาตรฐาน

หมวดท 1 นโยบายความมนคงปลอดภย หมวดท 2 โครงสรางทางดานความมนคงปลอดภยสาหรบองคกร หมวดท 3 การบรหารจดการสนทรพยขององคกร หมวดท 4 ความมนคงปลอดภยทเกยวของกบบคลากร หมวดท 5 การสรางความมนคงปลอดภยทางกายภาพและสงแวดลอม หมวดท 6 การบรหารจดการดานการสอสารและการดาเนนงานของเครอขายสารสนเทศขององคกร หมวดท 7 การควบคมการเขาถง หมวดท 8 การจดหา การพฒนา และการบารงรกษาระบบสารสนเทศ หมวดท 9 การบรหารจดการเหตการณทเกยวของกบความมนคงปลอดภยขององคกร หมวดท 10 การบรหารความตอเนองในการดาเนนงานขององคกร หมวดท 11 การปฏบตตามขอกาหนด

ขอปฏบต 1) จดการใหมการทาและทบทวนหรอปรบปรงนโยบายความมนคงปลอดภยและนโยบายสนบสนนตาง ๆ

อยางนอยปละ 1 ครง โดยมขนตอนปฏบตสาหรบการทบทวนและปรบปรงนโยบายความมนคงปลอดภย ดงน 1.1) ศกษาผลของการประเมนความเสยงหรอผลการตรวจสอบในรอบปทผานมาเพอกาหนด

นโยบายเชงปองกนเพมเตม 1.2) ศกษาจากแหลงขอมลอางองตาง ๆ ในการจดทานโยบาย 1.3) กาหนดหวขอนโยบายเชงปองกนเพมเตมเพอปองกนความเสยงทอาจเกดขน 1.4) ดาเนนการเพอสรางความตระหนกหรอเพ อใหเกดการเรยนร ในหวขอนโยบายใหมทกาหนด

ขนมา 1.5) จดหาซอฟตแวรตามความจาเปนเพอใชในการตรวจสอบความสอดคลองในการปฏบตตาม

นโยบายนน 1.6) นานโยบายททบทวนหรอปรบปรงเสนอคณะทางานเทคโนโลยสารสนเทศเพอขอคาแนะนาใน

การปรบปรง และขอความเหนชอบเพอประกาศใชงานตอไป 1.7) นาเสนอผบรหารลงนามและประกาศใช

10

2) มการทาหนงสอเวยนปละ 1 ครง เพอแจงใหเจาหนาททงหมดของหนวยงานไดรบทราบเกยวกบประเภทของเหตการณดานความมนคงปลอดภยทตองทาการรายงาน และขอมลทตองทาการรายงาน รวมทงใหปรบปรงขอมลการรายงานดงกลาวตามความจาเปน ประเภทของเหตการณทตองรายงาน ไดแก 2.1) การกระทาทขดตอ พ.ร.บ. วาดวยการกระทาความผดเกยวกบคอมพวเตอร 2.2) การกระทาทขดตอความมนคงของชาต 2.3) การใชทรพยากรสารสนเทศของหนวยงานผดวตถประสงค 2.4) หนาเวบไซตหลกถกเปลยนแปลง 2.5) ขอมลในหนาเวบไซตหลกไมถกตอง หรอคลาดเคลอนจากความเปนจรง 2.6) ขอมลสาคญถกเปลยนแปลง ถกลบ หรอสญหาย 2.7) การเปดเผยขอมลสาคญ หรอขอมลสวนบบคคลโดยไมไดรบอนญาต 2.8) การนาขอมลสาคญไปใชผดวตถประสงค 2.9) ทรพยากรสารสนเทศถกขโมย 2.10) การอนญาตใหบคคลภายนอกเขาใชระบบของหนวยงาน 2.11) การแอบตดตงอปกรณ หรอโปรแกรมเพอดกขโมยขอมล หรอดกดขอมลในเครอขาย 2.12) การใชอานาจของสทธการเปนผดแลระบบอยางไมเหมาะสม 2.13) การบกรกหอง Data Center 2.14) โปรแกรมไมพงประสงค 2.15) เหตการณอน ๆ ทเปนการละเมดนโยบายดานความมนคงปลอดภย

3) มทรพยากรดานบคลากร งบประมาณ การบรหารจดการ และวตถดบทพอเพยงตอการบรหารจดการดานความมนคงปลอดภยในแตละปงบประมาณ ซงรวมถงแผนความมนคงปลอดภยสารสนเทศทจะดาเนนการในปงบประมาณนนดวย

4) มการประเมนความร ความสามารถ หรอทกษะทตองการเพมเตม เปนระยะ ๆ สาหรบเจาหนาทศนยเทคโนโลยสารสนเทศ เพอใชในการวางแผนการอบรมเพมพนความรความสามารถของเจาหนาทตอไป

5) มการอบรมเจาหนาทเพอสรางความตระหนกทเกยวของกบการรกษาความมนคงปลอดภยสาหรบสารสนเทศ อยางนอยปละ 1 ครง

6) มการเกบขอมลการฝกอบรมของเจาหนาทสารสนเทศ รวมทงการสรางความตระหนกทเกยวของกบการรกษาความมนคงปลอดภยสาหรบสารสนเทศ

7) มการตรวจสอบแผนบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร ของกรมการคาภายใน โดยผตรวจสอบภายใน ปละ 1 ครง และจดการใหมการทาแผนเพอปรบปรงหรอแกไขปญหาทพบ

8) มการซอมแผนกคนระบบอยางนอยปละ 1 ครง และปรบปรงแผนฯ ตามความเหมาะสม รวมทงการทาแผนเพอปรบปรงหรอแกไขปญหาทพบ

9) กาหนดเจาหนาทดาเนนงานดานความมนคงปลอดภยสาหรบสารสนเทศและกาหนดหนาทความรบผดชอบ รวมทงปรบปรงโครงสรางดงกลาวตามความจาเปน

10) มการทาแผนความมนคงปลอดภย โดยใหพจารณาจากปจจยนาเขาดงตอไปน 10.1) การปรบปรงนโยบายความมนคงปลอดภยสาหรบปถดไป

11

10.2) ผลการประเมนความเสยงและแผนลดความเสยง 10.3) ผลการแจงเตอนโดยระบบปองกนการบกรกในปทผานมา 10.4) ผลของการตรวจสอบและแกไขชองโหวสาหรบระบบตาง ๆ ในปทผานมา 10.5) ผลการทบทวนการบรหารจดการดานความมนคงปลอดภยโดยผบรหาร 10.6) การจดทาและตอสญญาบารงรกษาระบบและอปกรณตาง ๆ 10.7) แผนการอบรมทางดานความมนคงปลอดภยประจาปซงรวมถงการสรางความตระหนก 10.8) ผลการทดสอบแผนกคนในปทผานมา 10.9) ขอมลภยคกคามตาง ๆ ทไดรบจากหนวยงานภายนอก 10.10) การปรบปรงสญญาการใหบรการโดยหนวยงานภายนอก 10.11) ขอมลกฎหมาย ระเบยบ ขอบงคบตาง ๆ ทตองปฏบตตาม 10.12) ผลการตรวจสอบการแผนบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร ของ

กรมการคาภายใน โดยผตรวจสอบภายใน 11) แสดงเจตนารมณหรอสอสารอยางสมาเสมอเพอใหเจาหนาททงหมดไดเหนถงความสาคญของการ

ปฏบตตามนโยบายความมนคงปลอดภยและนโยบายสนบสนนตาง ๆ โดยเครงครด 12) กรณระบบคอมพวเตอรหรอขอมลสารสนเทศเกดความเสยหาย หรออนตรายใดๆ แกหนวยงานหรอผ

หนงผใด อนเนองมาจากความบกพรองละเลย หรอฝาฝนการปฏบตตามนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ ผบรหารเทคโนโลยสารสนเทศระดบสง ตองเปนผรบผดชอบตอความเสยง ความเสยหาย หรออนตรายทเกดขน

12

สวนท 3 นโยบายการใชงานคอมพวเตอรและเครอขาย สาหรบผใชงาน ผดแลระบบและผพฒนาระบบ

ผใชงาน ผดแลระบบและผพฒนาระบบมหนาทความรบผดชอบตอความมนคงปลอดภยระบบเทคโนโลยสารสนเทศของหนวยงาน ดงน

ประพฤตและปฏบตตามนโยบายความมนคงปลอดภยโดยเครงครด ปฏบตตามกจกรรมหรอกระบวนการดานความมนคงปลอดภยทไดกาหนดไว ไมเขาถง เปดเผย เปลยงแปลง แกไข ทาลาย หรอทาใหเสยหายตอสนทรพยสารสนเทศของหนวยงาน

โดยไมไดรบอนญาต ไมรบกวนหรอแทรกแซงการสอสารของผอนจนทาใหไมสามารถดาเนนตอไปได ปฏบตงานตามหนาทความรบผดชอบของตนเองทไดกาหนดไว รายงานเหตการณความเสยง จดออน หรอเหตการณความมนคงปลอดภยทพบไปยงหนวยรบแจง ในกรณทมการละเลยตอหนาทหรอนโยบายทไดกาหนดไว จะมการสอบสวนและดาเนนการทงทางวนย

และกฎหมายตามความเหมาะสม นโยบายการใชงานคอมพวเตอรและเครอขายประกอบดวย

1. นโยบายการปองกนสนทรพยของหนวยงาน วตถประสงค

เพอปองกนสนทรพยของหนวยงานจากการถกเขาถงโดยไมไดรบอนญาต สญหาย เสยหาย หรอถกขโมย

ผรบผดชอบ ผใชงาน

อางองมาตรฐาน หมวดท 5 การสรางความมนคงปลอดภยทางกายภาพและสงแวดลอม หมวดท 7 การควบคมการเขาถง

ขอปฏบต 1) ออกจากระบบงานโดนทนททใชงานเสรจ 2) ปดเครองคอมพวเตอร (Personal Computer) ทตนเองใชงานอย เมอใชงานประจาวนเสรจสน เวนแต

เครองคอมพวเตอรนนเปนเครองเซรฟเวอรใหบรการทตองใชบรการตลอด 24 ชวโมง 3) ควรมการตงคาการใชงานโปรแกรมถนอมหนาจอ (Screen saver) เพอทาการลอกหนาจอภาพ

หลงจากทไมไดใชงานเกนกวา 30 นาท เมอไมมการใชงาน หลงจากนนเมอตองการใชงานผใชงานตองใสรหสผาน (Password) เพอเขาใชงาน

4) เมอไมมการใชงานเครองคอมพวเตอร (Personal Computer) หรอไมไดอยทหนาเครองคอมพวเตอร เกนกวา 30 นาท ใหทาการลอกเครองคอมพวเตอร โดยกดปม windows+L พรอมกนทคยบอรด

5) ใหขออนมตจากผบงคบบญชา ในกรณทตองการนาอปกรณคอมพวเตอรตาง ๆ ออกนอกสานกงาน 6) ระมดระวงและดแลสนทรพยของหนวยงานทตนเองใชงานหรอถอครองเสมอนเปนสนทรพยของตนเอง

หากเกดความสญหายหรอเสยหายโดยประมาทเลนเลอ ตองรบผดชอบหรอชดใชตอความเสยหายนน

13

2. นโยบายการปองกนไวรสบนเครองคอมพวเตอร วตถประสงค

เพอปองกนขอมลในเครองคอมพวเตอรไมใหเกดความเสยหาย เพอใหเครองคอมพวเตอรทางานอยางถกตอง มความเสถยรภาพ เชอถอได และปลอดภยจากการถกบก

รกหรอโจมต ผรบผดชอบ

ผใชงาน อางองมาตรฐาน

หมวดท 6 การบรหารจดการดานการสอสารและการดาเนนงานของเครอขายสารสนเทศขององคกร ขอปฏบต

1) ตรวจสอบการทางานของโปรแกรมปองกนไวรสวายงทางานตามปกตหรอไม และมการปรบปรงฐานขอมลไวรสอยางสมาเสมอหรอไม โดยใหการทาการตรวจสอบอยางนอยวนละ 1 ครง หากพบวาทางานผดปกต ใหรบแจงผดแลระบบทเกยวของเพอดาเนนการแกไขโดยทนท

3. นโยบายการหามตดตงระบบหรออปกรณตาง ๆ เพมเตม วตถประสงค

เพอปองกนผลขางเคยงจากการตดตงเครองคอมพวเตอร ซอฟตแวรหรออปกรณอน ๆ ทนอกเหนอจากทหนวยงานไดตดตงไวใหใชงาน เชน เปนแหลงทมาของไวรส โทรจน หรอโปรแกรมไมพงประสงคอน ๆ หรอใชเปนทางเขาสเครอขายภายในหนวยงานโดยผไมพงประสงค

เพอปองกนการเขาถงระบบเครอขาย หรอขอมลของหนวยงานโดยไมไดรบอนญาต ผรบผดชอบ


หมวดท 3 การบรหารจดการสนทรพยขององคกร หมวดท 5 การสรางความมนคงปลอดภยทางกายภาพและสงแวดลอม

ขอปฏบต 1) หามตดตงโปรแกรมคอมพวเตอรเพมเตมนอกเหนอจากทหนวยงานไดตดตงไวใหใชงาน 2) หามตดตงโปรแกรมคอมพวเตอรทสามารถใชงานการตรวจสอบขอมลบนระบบเครอขาย ยกเวนการ

ตดตงเพอการปฏบตงานของผดแลระบบทเกยวของ 3) หามตดตงโปรแกรมคอมพวเตอร หรออปกรณคอมพวเตอรอนใดเพมเตมในเครองคอมพวเตอรหรอ

เครอขายของหนวยงาน เพอใหบคคลอนสามารถใชงานเครองคอมพวเตอรนน หรอเครอขายของหนวยงานได

4) หามนาเครองคอมพวเตอรทผใชงานเปนเจาของมาใชกบระบบเครอขายของหนวยงาน ยกเวนจะไดรบการตรวจสอบจากผดแลระบบทเกยวของกอนการใชงาน

14

4. นโยบายการใชงานอนเทอรเนต วตถประสงค

เพอใหมการใชงานอนเทอรเนตทหนวยงานจดไวใหอยางเหมาะสมตามภารกจงานของผใชงาน โดยไมนาไปใชในกจกรรมอน ๆ ทเปนการสญเสยเวลาทางานโดยไมมประโยชน ทมลกษณะเปนอบายมข ทอาจกอใหเกดความเสยหายตอภาพลกษณและชอเสยงของหนวยงาน หรอทขดตอศลธรรม จรยธรรม ชาต ศาสนา พระมหากษตรย หรอสงทบคคลทวไปพงประพฤตปฏบต


อางองมาตรฐาน หมวดท 3 การบรหารจดการสนทรพยขององคกร หมวดท 6 การบรหารจดการดานการสอสารและการดาเนนงานของเครอขายสารสนเทศขององคกร

ขอปฏบต 1) ผใชงานตองเชอมตอระบบคอมพวเตอรเพอการเขาใชงานระบบอนเทอรเนต (Internet) ผานระบบ

รกษาความปลอดภยทหนวยงานจดสรรไวเทานน และหามผใชงานทาการเชอมตอระบบคอมพวเตอรผานชองทางอน ยกเวนแตวามเหตผลความจาเปนและทาการขออนญาตจากผอานวยการศนยเทคโนโลยสารสนเทศเปนลายลกษณอกษรและไดรบอนญาตแลว

2) หามทาการดาวนโหลด (Download) หรอสงไฟลประเภทสอลามกอนาจาร 3) หามเลนเกมส ดภาพยนตร หรอฟงเพลง ผานทางอนเทอรเนตในเวลาทางาน 4) หามเขาเวบไซตทอยในประเภทดงตอไปน

4.1) การพนน 4.2) การวพากษวจารณทเกยวของกบ ชาต ศาสนา และพระมหากษตรย 4.3) การลามก อนาจาร 4.4) อน ๆ ทเกยวของกบสงผดกฎหมาย หรอผดศลธรรม จรยธรรม

5) หามเขาไปสนทนาในหองสนทนาบนเครอขายอนเทอรเนต 6) หามใชอนเทอรเนตเพอดาวนโหลด สง กระจาย หรอแจกจาย สอหรอขอมลดงตอไปน

6.1) สอสงพมพอเลกทรอนกสทเปนการละเมดลขสทธทางปญญา 6.2) ขอมลสวนบคคลทไมไดรบอนญาตจากผเปนเจาของ

7) หามใชอนเทอรเนตเพอเขารวมกจกรรมทอาจกอใหเกดความเสยหายตอภาพลกษณและชอเสยงของหนวยงาน

8) หลงจากใชงานระบบอนเทอรเนต (Internet) เสรจแลว ใหผใชงานทาการปดเวบเบราเซอรเพอปองกนการเขาใชงานโดยบคคลอนๆ

5. นโยบายการใชงานจดหมายอเลกทรอนกส วตถประสงค

เพอใหมการใชงาน E-mail ทหนวยงานจดไวใหอยางเหมาะสมตามภารกจงานของเจาหนาทและลกจาง และไมใชในกจกรรมอน ๆ ทอาจกอใหเกดความเสยหายตอผอนหรอตอหนวยงาน


15

อางองมาตรฐาน หมวดท 3 การบรหารจดการสนทรพยขององคกร หมวดท 6 การบรหารจดการดานการสอสารและการดาเนนงานของเครอขายสารสนเทศขององคกร หมวดท 11 การปฏบตตามขอกาหนด

ขอปฏบต 1) ผใชงานทตองการขอลงทะเบยนบญชผใชงานจดหมายอเลกทรอนกส (E-mail) ตองทาการกรอกขอมล

คาขอเขาใชบรการจดหมายอเลกทรอนกส (E-mail) ของหนวยงาน โดยยนคาขอกบเจาหนาทผดแลระบบเพอดาเนนการกาหนดสทธบญชผใชงาน และรหสผาน (Password)

2) ผใชงานไมควรบนทกหรอเกบรหสผาน (Password) ไวในระบบคอมพวเตอร ในรปแบบทไมไดปองกนการเขาถง

3) ผใชงานควรมการเปลยนรหสผาน (Password) ทก 6 เดอน 4) หามใชทอย E-mail (E-mail Address) อน ๆ นอกเหนอจากทหนวยงานไดจดสรรไวให เพอใชในการ

ตดตองานตามภารกจหรอหนาทความรบผดชอบของตนกบหนวยงานทงภายในและภายนอก 5) หามผใชงานเขาถงขอมล E-mail ของบคคลอนโดยไมไดรบอนญาต 6) หามลงทะเบยนดวยทอย E-mail (E-mail Address) ทหนวยงานมอบใหไวตามทอยเวบไซตตาง ๆ ทไม

มความเกยวของกบงานของหนวยงาน 7) หามสง E-mail ทมลกษณะเปนจดหมายขยะ (Spam Mail) 8) หามสง E-mail ทมลกษณะเปนจดหมายลกโซ (Chain Letter) 9) หามสง E-mail ทมลกษณะเปนการละเมดตอกฏหมายสนทรพยทางปญญา หรอสทธของบคคลอน 10) หามสงตอ หรอเผยแพร E-mail ทมลกษณะดงตอไปน

10.1) การพนน 10.2) การวพากษวจารณทเกยวของกบ ชาต ศาสนา และพระมหากษตรย 10.3) การลามก อนาจาร 10.4) อน ๆ ทเกยวของกบสงผดกฎหมาย หรอผดศลธรรม จรยธรรม

11) หามสง E-mail ทมโปรแกรมไมพงประสงคไปใหกบบคคลอนโดยเจตนา 12) หามปลอมแปลง E-mail ของบคคลอน 13) หามรบ หรอสง E-mail แทนบคคลอนโดยไมไดรบอนญาต 14) หามใชคาทไมสภาพในการสง E-mail 15) หามสง E-mail ทมขอมลความลบของหนวยงาน เวนเสยแตวาจะใชวธการทมความปลอดภยท

หนวยงานกาหนดไว 16) ใหใชความระมดระวงในการระบชอทอย E-mail ของผรบใหถกตอง เพอปองกนการสงขอมลผดพลาด 17) ใหระบชอของผสงใน E-mail ทกฉบบทสงไป 18) ใหจากดกลมผรบ E-mail เทาทมความจาเปนตองรบทราบในขอมลทสงไปนน 19) ควรลบขอมล E-mail ทไมมความจาเปนอยางสมาเสมอ 20) หลงจากการใชงานระบบจดหมายอเลกทรอนกส (e-mail) เสรจสนผใชงานควรทาการลงบนทกออก

(Logout) ทกครง เพอปองกนบคคลอนเขาใชงานจดหมายอเลกทรอนกส (e-mail) 21) ผใชงานมหนาทตองรกษาชอผใชงาน (Username) และรหสผาน (Password) เปนความลบไมให

รวไหลไปถงบคคลทไมเกยวของ

16

6. นโยบายการปองกนการใชทรพยากรผดวตถประสงค วตถประสงค

เพอปองกนการใชทรพยากรของหนวยงานผดวตถประสงค ผรบผดชอบ


หมวดท 11 การปฏบตตามขอกาหนด ขอปฏบต ผใชงานจะตองไมใชระบบเครอขายของหนวยงานโดยมวตถประสงคดงตอไปน

1) เพอกระทาการผดกฎหมาย หรอเพอกอใหเกดความเสยหายแกบคคลอน 2) เพอกระทาการทขดตอ พ.ร.บ. วาดวยการกระทาความผดเกยวกบคอมพวเตอร 3) เพอกระทาการทขดตอความสงบเรยบรอยหรอศลธรรมอนดของประชาชน 4) เพอคาขายสวนตว 5) เพอกระทาการอนมลกษณะเปนการละเมดสนทรพยทางปญญาของหนวยงาน หรอของบคคลอน 6) เพอเขาถงขอมลโดยไมไดรบอนญาตจากผเปนเจาของหรอผทมสทธในขอมลดงกลาว 7) เพอรบหรอสงขอมลซงอาจกอใหเกดความเสยหายตอหนวยงาน เชน การสงขอมลทมลกษณะเปน

จดหมายลกโซ การสงขอมลอนมลกษณะเปนการละเมดตอกฎหมายหรอสทธของบคคลอน เปนตน 8) เพอขดขวางหรอทาใหไมสามารถใชงานไดตามปกต การใชงานเครอขายคอมพวเตอรของหนวยงานของ

ผใชงานอน หรอของหนวยงานภายนอกอน 9) เพอแสดงความคดเหนสวนบคคลในเรองทเกยวของกบการดาเนนงานของหนวยงาน ไปยงทอยเวบใดๆ

ในลกษณะทจะกอหรออาจกอใหเกดความเขาใจทคลาดเคลอนไปจากความเปนจรง 10) เพอกระทาการอนใดทอาจขดตอผลประโยชนของหนวยงาน หรออาจกอใหเกดความขดแยงหรอความ

เสยหายตอหนวยงาน

7. นโยบายการใชงานเครองคอมพวเตอรพกพา วตถประสงค

เพอใหมการใชงานเครองคอมพวเตอรคอมพวเตอรพกพาทหนวยงานจดไวใหอยางเหมาะสม และปองกนการสญหาย เสยหาย หรอถกเขาถงขอมลโดยไมไดรบอนญาต


อางองมาตรฐาน หมวดท 3 การบรหารจดการสนทรพยขององคกร

ขอปฏบต 1) กรอกแบบคาขอยม – คนสาหรบเครองคอมพวเตอรคอมพวเตอรพกพาทจดสรรไวเปนเครองกลางเพอ

ขออนมตกอนนาไปใชงาน 2) ตรวจสอบวาเครองคอมพวเตอรคอมพวเตอรพกพาของหนวยงานไดรบการตดตงโปรแกรมทมลขสทธ

ตามรายชอโปรแกรมมาตรฐานทกาหนดใหตดตงหรอไม (โปรแกรมดงกลาว ไดแก โปรแกรมออฟฟศ โปรแกรมปองกนไวรส หรอโปรแกรมอน ๆ เปนตน) หากพบวายงไมไดตดตง ใหตดตอผดแลระบบทเกยวของเพอขอรบการตดตงกอนการใชงาน

17

3) ระมดระวงและรกษาเครองคอมพวเตอรคอมพวเตอรพกพาเมอมการนาไปใชงานนอกสถานท เพอปองกนการสญหาย หรอการเขาถงขอมลโดยไมไดรบอนญาต

4) ควรมการตงคาการใชงานโปรแกรมถนอมหนาจอ (Screen saver) เพอทาการลอคหนาจอภาพ เมอไมมการใชงานหลงจากนนเมอตองการใชงานผใชงานตองใสรหสผาน (Password) เพอเขาใชงาน

5) หามปลอยเครองทงไวโดยไมมผดแลเมออยในทสาธารณะ

8. นโยบายการกาหนดและปองกนรหสผาน วตถประสงค

เพอปองกนการเขาถงขอมล ระบบ อปกรณ หรอทรพยากรสารสนเทศอน ๆ ของหนวยงานโดยไมไดรบอนญาต


อางองมาตรฐาน หมวดท 7 การควบคมการเขาถง

ขอปฏบต (ดานการบรหารจดการรหสผานสาหรบผใชงาน) 1) เกบรกษารหสผานของตนเองไวเปนความลบ หามเปดเผยตอผอน 2) กาหนดรหสผานใหมคณสมบตตามนโยบายการตงรหสผาน 3) กาหนดรหสผานสาหรบการใชไฟลขอมลรวมกนกบบคคลอน โดยผานทางระบบเครอขาย 4) หามบนทกรหสผานไวในโปรแกรมคอมพวเตอรเพอชวยในการจารหสผานของตน 5) ตองไมจดหรอบนทกรหสผานไวในสถานททงายตอการสงเกตเหนโดยบคคลอน 6) ในกรณทมความจาเปนตองบอกรหสผานแกผอนเพอใหสามารถปฏบตงานแทนตนเองได หลงจากท

ทางานนนเสรจเรยบรอยแลว ใหทาการเปลยนรหสผานโดยทนท ขอปฏบต (ดานการใชงานรหสผาน)

1) หามใชรหสผานของผอนโดยไมไดรบอนญาตโดยเดดขาด 2) ใหทาการออกจากระบบ (Log Out) ทกครง หลงจากใชงานระบบสารสนเทศหรอระบบอนๆ ทตองใช

รหสผานเสรจแลว 3) ในกรณลมรหสผานหรอไมสามารถเขาใชงานระบบได ใหตดตอผดแลระบบ หรอผพฒนาระบบนน เพอ

แกไขปญหา ไมควรพยายามเดารหสผานดวยตวเอง

9. นโยบายการบรหารจดการรหสผาน วตถประสงค

เพอปองกนการเขาถงขอมล ระบบ อปกรณ หรอทรพยากรสารสนเทศอน ๆ ของหนวยงานโดยไมไดรบอนญาต



ขอปฏบต 1) กาหนดรหสผานใหมความยาวไมนอยกวา 8 ตวอกษร

18

2) ตงรหสผานโดยคานงถงความยากตอการคาดเดา ตามแนวทางปฏบตดงน 2.1) มการผสมกนระหวางตวเลข ตวอกษรทเปนตวพมพเลกหรอตวพมพใหญ และตวอกขระพเศษหรอ

สญลกษณตางๆ ดวยกได 2.2) ไมกาหนดรหสผานจากชอ หรอชอสกลของผใชงาน ชอบคคลในครอบครว หรอบคคลทม

ความสมพนธใกลชดกบตน 2.3) ไมกาหนดรหสผานจากคาศพททปรากฏในพจนานกรม หรอจากหมายเลขโทรศพท

3) ทาการเปลยนรหสผานเพอใชงานระบบคอมพวเตอรและระบบเครอขายของหนวยงานทก 6 เดอน หรอเปลยนรหสผานทกครงทมสญญาณบอกเหตวารหสผานอาจรวไหล

4) ไมบนทกหรอเปดเผยรหสผานใหบคคลอนทไมใชเจาของรหสผานโดยเดดขาด ยกเวนกรณ

10. นโยบายการเขาปฏบตงานในหอง Data Center วตถประสงค

เพอควบคมการเขาถงทางกายภาพโดยอนญาตใหเฉพาะผทมภารกจเทานน จงจะสามารถเขาถงหอง Data Centerได และปองกนการสญหาย เสยหาย การถกขโมยของสนทรพยตาง ๆ ในหอง Data Center รวมทงการเขาถงระบบโดยไมไดรบอนญาต

ผรบผดชอบ ผดแลระบบและผพฒนาระบบ

อางองมาตรฐาน หมวดท 5 การสรางความมนคงปลอดภยทางกายภาพและสงแวดลอม

ขอปฏบต 1) หามเขาไปในบรเวณหอง Data Center โดยไมมภารกจทเกยวของหรอจาเปน 2) หามใสรองเทาเขาไปในหอง Data Center 3) หามนาอาหาร และเครองดมเขาไปในบรเวณหอง Data Center 4) ลงบนทกการเขาหอง Data Centerในสมดบนทกการเขา – ออกหอง Data Center 5) หากพบเหนความผดปกตในหอง Data Center เชน มสนทรพยหาย มรองรอยการบกรก เปนตน ใหรบ

แจงเจาหนาทดานเทคโนโลยสารสนเทศทเกยวของ 6) ปฏบตตามคาแนะนาของเจาหนาททดแลหอง Data Center อยางเครงครด

11. นโยบายการจดชนความลบของขอมล วตถประสงค

เพอควบคมการจดชนความลบของขอมลของ กรมการคาภายใน ใหมความถกตองตามลกษณะขอมล ซงจะมผลตอการบรหารจดการและความมนคงปลอดภยของขอมล

ผรบผดชอบ ผพฒนาระบบ

อางองมาตรฐาน หมวดท 3 การบรหารจดการสนทรพยขององคกร

ขอปฏบต 1) กาหนดชนความลบของขอมลเปน ขอมลลบ ขอมลใชภายในเทานน ขอมลสวนบคคล หรอขอมล

เปดเผยได โดยพจารณาจากองคประกอบตอไปน เพอกาหนดชนความลบของขอมล

19

1.1) ความสาคญของเนอหา เชน เนอหาของขอมลนนมความสาคญตอความสาเรจของงานตามภารกจของ กรมการคาภายใน มากนอยเพยงใด หากมความสาคญสง ขอมลนนจะสามารถจดอยในชนความลบประเภทใชภายในเทานน หรอ ลบ เปนตน

1.2) แหลงทมาของขอมล เชน หากขอมลนนมาจากภายนอกและเปนขอมลลบ ชนความลบกจะตองคงไวเชนเดม หรอหากขอมลนนมาจากอนเทอรเนต ชนความลบกจะเปนประเภทเปดเผยได เปนตน

1.3) วธการนาไปใชประโยชน เชน หากขอมลนนสามารถนาไปใชประโยชนในเชงพาณชยได หากถกเปดเผยจะสงผลกระทบดานการเงนของ กรมการคาภายใน ขอมลนจะอยในประเภท ลบ เปนตน

1.4) จานวนบคคลทควรทราบ เชน หากขอมลนนสามารถเปดเผยตอผใชงานขอมลเปนจานวนมาก ชนความลบจะเปนขอมลเปดเผยได เปนตน

1.5) ผลกระทบหากมการเปดเผย เชน หากขอมลนนถกเปดเผย จะมผลระทบดานชอเสยงและภาพลกษณ ดานการเงน ดานการปฏบตตามกฎระเบยบขอบงคบทหนวยงานตองปฏบตตาม หรอดานการมสวนไดสวนเสยของผทเกยวของ ดงนน ขอมลจะสามารถจดอยในชนความลบประเภทใชภายในเทานน หรอ ลบ เปนตน

1.6) หนวงานของรฐทรบผดชอบในฐานะเจาของเรอง เชน ขอมลสาคญ หรอขอมลลบทมาจากเจาของเรองใด จะตองคงชนความลบไวเชนเดม การนาไปใชงานควรขออนญาตจากผทเปนเจาของเรองกอน เปนตน

2) สาหรบขอมลในชนความลบ “ลบ” ไดแก ลบ ลบมาก หรอ ลบทสด เจาของขอมล ตองพจารณาเกณฑตอไปนเพมเตมเพอกาหนดชนความลบทถกตอง 2.1) ลบทสด หมายความถง ขอมลลบซงหากเปดเผยทงหมดหรอเพยงบางสวนจะกอใหเกดความ

เสยหายแกประโยชนแหงรฐและเจาของขอมลอยางรายแรงทสด 2.2) ลบมาก หมายความถง ขอมลลบซงหากเปดเผยทงหมดหรอเพยงบางสวนจะกอใหเกดความ

เสยหายแกประโยชนแหงรฐและเจาของขอมลอยางรายแรง 2.3) ลบ หมายความถง ขอมลลบซงหากเปดเผยทงหมดหรอเพยงบางสวนจะกอใหเกดความ

เสยหายแกประโยชนแหงรฐและเจาของขอมล

12. นโยบายการจดการกบขอมลลบ วตถประสงค

เพอปองกนการเขาถงขอมลลบของ กรมการคาภายใน โดยไมไดรบอนญาต เพอกาหนดวธการจดการขอมลลบของ กรมการคาภายใน อยางเปนรปธรรม มมาตรฐาน และมความ

มนคงปลอดภยเพยงพอ เพอควบคมการใชงานหรอการเขาถงขอมลลบของ กรมการคาภายใน ใหเปนไปอยางมนคงปลอดภย

ผรบผดชอบ ผพฒนาระบบ (ทเปนเจาของขอมลลบ)

อางองมาตรฐาน หมวดท 3 การบรหารจดการสนทรพยขององคกร หมวดท 6 การบรหารจดการดานการสอสารและการดาเนนงานของเครอขายสารสนเทศขององคกร

20

ขอปฏบต 1) ในการกาหนดชนความลบ ใหปฏบตดงน

1.1) กาหนดชนความลบของขอมลลบทตนเองรบผดชอบตามนโยบายการจดชนความลบของขอมล

1.2) พจารณาปรบชนความลบ (ปรบลด เพม หรอยกเลกชนความลบ) ตามความจาเปนใหถกตองและทนสมย และตองแจงใหหนวยงานทสามารถเขาถงขอมลหรอทไดรบการแจกจายทราบดวยทกครง เพอแกไขชนความลบใหถกตอง

2) ในการจดทาหรอจดเตรยมขอมลลบ ใหปฏบตดงน 2.1) จดทาหรอจดเตรยมขอมลในสถานททปลอดภย เชน จดทาในสานกงาน ไมทาในสถานททเปน

สาธารณะซงบคคลภายนอกสามารถเหนขอมลทจดทาได และจากดผทเปนผดาเนนการจดทา 2.2) ในการจดทาขอมลลบซงใชกระดาษหรอวสดชวคราว เชน กระดาษราง กระดาษคารบอน ตอง

ทาลายกระดาษหรอวสดนนทนททจดทาเสรจเรยบรอย ถาเปนการจดทาโดยใชเครองคอมพวเตอร จะตองทาการลบ หรอทาลายสอบนทกขอมลจนไมสามารถนาไปใชประโยชนได (ดวธการทาลายใน นโยบายการทาลายขอมลบนสอบนทกขอมล) หากไมทาลาย ตองเกบรกษาไวในสถานททปลอดภย

2.3) จดทาขอมลโดยแสดงเลขทหนาของจานวนหนาทงหมดไวในทกหนาของขอมลลบ และแสดงไวในสวนทสามารถเหนไดชดเจน เชน มมขวาดานบนของเอกสาร

3) ในการแสดงชนความลบบนขอมลลบ ใหปฏบตดงน 3.1) แสดงชนความลบของขอมล (ซงประกอบดวย “ลบ” “ลบมาก” หรอ “ลบทสด”) ใหปรากฎ

เหนอยางเดนชดทงขอมลทมสภาพเปนกระดาษ ไฟลอเลกทรอนกส เทป External Harddisk, Flash Drive แผน CD/DVD หรอขอมลลบทอยในรปแบบอน ๆ

3.2) แสดงชนความลบบนเอกสารลบในทกหนาของเอกสารใหปรากฎเหนอยางเดนชด 4) ในการทาสาเนาหรอแจกจายขอมลลบ ใหปฏบตดงน

4.1) ทาสาเนาหรอแจกจายขอมลลบใหแกผรบปลายทาง ซงเปนผทมสทธในการเขาถงขอมลตามทระบไวในทะเบยนขอมลลบ หรอสามารถแจกจายใหไดตามความจาเปนในการเขาถงขอมลนน

4.2) แจงใหหนวยงานภายนอกทอนญาตใหเขาถงขอมลลบนนได วาไมอนญาตใหทาสาเนาเพมเตม เวนเสยแตไดรบอนญาตจาก กรมการคาภายใน กอน

5) ในการเกบรกษาเอกสารลบ ใหปฏบตดงน 5.1) จดเกบเอกสารลบไวในแฟมขอมลลบ และนาไปเกบในตเกบเอกสารลบโดยแยกเกบเปนแตละ

เรองหรอแตละหวขอ 5.2) ไมจดเกบเอกสารลบรวมกบเอกสารทอยในชนความลบอน ๆ เชน ขอมลใชภายในเทานน

ขอมลสวนบคคล หรอขอมลทเปดเผยได 5.3) จดเกบแฟมขอมลลบ และสอบนทกขอมล ไวในตและปดลอกดวยกญแจทมนคง

6) ในการยมหรอขอเขาถงขอมลลบ ใหปฏบตดงน 6.1) เมอมการขอยมหรอขอเขาถงขอมลลบ โดยผอนทไมไดเปนผมสทธในการเขาถงขอมลตาม

ทะเบยนขอมลลบ ใหหวหนาหนวยงานภายใน เปนผพจารณาตารวจสอบคณสมบตของผยมหรอขอเขาถงกอน วาเปนผมอานาจหนาททเกยวของหรอไม หรอมความจาเปนในการเขาถงขอมลนนหรอไม พรอมทงตองทาบนทกหลกฐานการยมหรอการขอเขาถงขอมลนนดวย แจงใหผยมหรอขอเขาถงทราบวา หามทาการสาเนาเพมเตม

21

6.2) เมอหมดความจาเปนในการใชงานแลว หวหนาหนวยงานภายใน กาหนดใหผขอยมจดสงขอมลนนกลบคนมาโดยทนท สาหรบกรณการเขาถงระบบเทคโนโลยสารสนเทศ ใหทาการยกเลกบญชผใชงานทขอเขาถงขอมลลบโดยทนท

7) ในการสงเอกสารลบ ใหปฏบตดงน 7.1) ปฏบตตามระเบยบการสงเอกสารลบของ กรมการคาภายใน 7.2) ตรวจสอบทอยอเมลของผรบปลายทางใหถกตอง กอนจดสงไฟลนนไปยงผรบ เพอปองกนการ

สงผดตวบคคล 8) ในการทาลายขอมลลบ ใหปฏบตตาม นโยบายการทาลายขอมลบนสอบนทกขอมล 9) ในการจดการกบไฟลขอมลลบ ใหปฏบตดงน

9.1) แสดงชนความลบบนไฟลขอมลลบ เชน การทาลายนาและแสดงชนความลบกบทกหนาของไฟลดงกลาว

9.2) ปองกนไฟลขอมลลบทจดเกบไวในเครองคอมพวเตอรดวยการใชการเขารหสขอมลตามมาตรฐานของระเบยบวาดวยการรกษาความลบทางราชการ พ.ศ. 2544

9.3) ปองกนไฟลขอมลลบทจดเกบไวในเครองคอมพวเตอรทตนเองใชงาน โดยการใชรหสผานทมความมนคงปลอดภย

9.4) หาม Share ไฟลขอมลลบบนเครอขายของ กรมการคาภายใน เพออนญาตใหผอนเขาถงได 9.5) ตรวจสอบการทางานของระบบปองกนไวรสอยางสมาเสมอในเครองคอมพวเตอรทใชในการ

จดเตรยมไฟลขอมลลบ วามการทางานปองกนไวรสตามปกตหรอไม 9.6) ตรวจสอบการทางานของเครองคอมพวเตอรทตนเองใชงานวามการตดตงโปรแกรมแกไขชอง

โหว เพอแกไขชองโหวของซอฟตแวรในเครองตามปกตหรอไม 9.7) ดาเนนการสารองไฟลขอมลลบในเครองคอมพวเตอรทตนเองใชงานอยางสมาเสมอหรอตาม

ความจาเปน

13. นโยบายการจดการกบขอมลใชภายใน วตถประสงค

เพอปองกนการเขาถงขอมลใชภายในหนวยงานเทานน โดยไมไดรบอนญาต เพอกาหนดวธการจดการกบขอมลใชภายในเทานนอยางเปนรปธรรม มมาตรฐาน และมความมนคง

ปลอดภยเพยงพอ ผรบผดชอบ

ผใชงาน (ทเปนเจาของขอมลใชภายใน) อางองมาตรฐาน

หมวดท 3 การบรหารจดการสนทรพยขององคกร หมวดท 6 การบรหารจดการดานการสอสารและการดาเนนงานของเครอขายสารสนเทศขององคกร

ขอปฏบต 1) ในการระบชนดของขอมลใชภายในเทานน ใหปฏบตตาม นโยบายการจดชนความลบของขอมล เพอ

ระบชนดของขอมลใชภายในเทานนทตนเองรบผดชอบ

22

2) ในการสรางและแสดงชนความลบบนขอมลใชภายในเทานน ใหสรางและแสดงชนความลบบนขอมล กลาวคอ “ขอมลใชภายในเทานน” ใหปรากฎเหนอยางเดนชดทงขอมลทมสภาพเปนกระดาษ ไฟลอเลกทรอนกส เทป External Harddisk, Flash Drive แผน CD/DVD หรอขอมลลบทอยในรปแบบ อน ๆ

3) ในการเกบรกษาเอกสารทเปนขอมลใชภายในเทานน ใหปฏบตดงน 3.1) จดเกบเอกสารทเปนขอมลใชภายในเทานนไวในแฟมขอมลและสอบนทกขอมล แลวนาไปเกบ

ในตเกบเอกสารลบโดยแยกเกบเปนแตละเรองหรอแตละหวขอ 3.2) จดเกบแฟมขอมลและสอบนทกขอมลทเปนขอมลใชภายในเทานน ไวในตและปดลอกดวย

กญแจทมนคง 4) ในการสง การสาเนา หรอการใหยมเอกสารทเปนขอมลใชภายในเทานน ใหจากดการสง การสาเนา

หรอการใหยมเอกสารทเปนขอมลใชภายในเทานนใหแกหนวยงานหรอบคคลทงภายในและภายนอกหนวยงานทมความจาเปนตองใชงานหรอเขาถงขอมลนนเทานน หากไมตองการใหผรบเอกสารเปดเผยขอมลนนตอผอน ใหแจงใหผรบเอกสารไดรบทราบดวย และเมอหมดความจาเปนในการใชงานแลว หวหนาหนวยงานภายใน กาหนดใหผขอยมจดสงขอมลนนกลบคนมาโดยทนท สาหรบกรณการเขาถงระบบเทคโนโลยสารสนเทศ ใหทาการยกเลกบญชผใชงานทขอเขาถงขอมลลบโดยทนท

5) ในการทาลายขอมลใชภายในเทานน ใหปฏบตตาม นโยบายการทาลายขอมลบนสอบนทกขอมล 6) ในการจดการกบไฟลขอมลใชภายในเทานน ใหปฏบตดงน

6.1) ปองกนไฟลขอมลใชภายในเทานนซงจดเกบไวในเครองคอมพวเตอรทตนเองใชงาน โดยการใชรหสผานทมความมนคงปลอดภย

6.2) สามารถ Share ไฟลขอมลใชภายในเทานนบนเครอขายของ กรมการคาภายใน ใหแกหนวยงานหรอผใชงานขอมลภายใน กรมการคาภายใน ได โดยพจารณาจากหนาทหรอความจาเปนในการเขาถงขอมลนน แตตองใชรหสผานทมความมนคงปลอดภยเพอปองกนขอมลท Share นน

6.3) ตรวจสอบการทางานของระบบปองกนไวรสอยางสมาเสมอในเครองคอมพวเตอรทใชในการจดเตรยมไฟลขอมลใชภายในเทานน วามการทางานปองกนไวรสตามปกตหรอไม

6.4) ตรวจสอบการทางานของเครองคอมพวเตอรทตนเองใชงานวามการตดตงโปรแกรมแกไขชองโหว เพอแกไขชองโหวของซอฟตแวรในเครองตามปกตหรอไม

6.5) ดาเนนการสารองไฟลขอมลใชภายในเทานนในเครองคอมพวเตอรทตนเองใชงานอยางสมาเสมอหรอตามความจาเปน

7) ในการสงไฟลขอมลใชภายในเทานนทางอเมล ใหตรวจสอบทอยอเมลของผรบปลายทางใหถกตอง กอนจดสงไฟลขอมลใชภายในเทานนไปยงผรบ เพอปองกนการสงผดตวบคคลและทาใหขอมลเกดการรวไหล

14. นโยบายการทาลายขอมลบนสอบนทกขอมล วตถประสงค

เพอใหมวธการปฏบตทปลอดภยในการทาลายขอมลบนสอบนทกขอมลโดยไมสามารถเขาถงเนอหาภายในสอบนทกขอมลไดอกตอไป

เพอปองกนการเขาถงขอมลบนสอบนทกขอมลโดยไมไดรบอนญาต รวมทงปองกนการรวไหลของขอมล ผรบผดชอบ

ผใชงาน

23

อางองมาตรฐาน หมวดท 5 การสรางความมนคงปลอดภยทางกายภาพและสงแวดลอม หมวดท 6 การบรหารจดการดานการสอสารและการดาเนนงานของเครอขายสารสนเทศขององคกร

ขอปฏบต 1) ในการทาลายสอบนทกขอมล เจาของขอมลพจารณาทาลายสอบนทกขอมลดวยวธการทาลายแยกตาม

ประเภทของสอบนทกขอมลในตาราง ประเภทสอบนทกขอมล วธการทาลายขอมล วธการทาลายสอบนทกขอมล

(กรณไมตองการนากลบมาใชใหม) Flash Drive/การดบนทกขอมล ใหทาลายขอมลบน Flash Drive/การดบนทกขอมลดวยวธการฟอรแมต

(Format) ตาม มาตรฐานการทาลายขอมลบนฮารดดสกของกระทรวงกลาโหม สหรฐอเมรกา DOD 5220.33-M (ซงมการเขยนทบขอมลเดมเปนจานวนหลายรอบ)

ใชวธการทบหรอบดใหเสยหาย

กระดาษ ทาลายดวยเครองทาลายเอกสารหรอฉกใหละเอยด แผน CD/DVD ใหบนทกขอมลเปลาลงแผน CD/DVD ทบขอมลเดมเปนจานวนหลายรอบ

(กรณเปนชนด CD/DVD-RW เทานน) ใชวธการหกแผน CD/DVD หรอขดใหเสยหาย

เทป/วดโอ ใหอดเทป/วดโอเปลาทบขอมลเดมเปนจานวนหลายรอบ ใชวธการทบหรอบดใหเสยหาย ฮารดดสก ใหทาลายขอมลบนฮารดดสกดวยวธการฟอรแมต (Format) ตาม มาตรฐาน

การทาลายขอมลบนฮารดดสกของกระทรวงกลาโหม สหรฐอเมรกา DOD 5220.33-M (ซงมการเขยนทบขอมลเดมเปนจานวนหลายรอบ)


อปกรณสอสารทมหนวยความจา ใหใชเมน ตงคาขอมลจากโรงงาน (Factory Data Reset) เพอใหอปกรณลางขอมลออก


2) ในการทาลายสอบนทกขอมลลบในทะเบยนขอมลลบทสนสดหรอหมดอายการจดเกบ คณะกรรมการทาลายขอมล ตรวจสอบและปฏบตตามระเบยบเรองการทาลายขอมลลบในระเบยบวาดวยการรกษาความลบของทางราชการ พ.ศ. 2544 และพระราชบญญตขอมลขาวสารของราชการ พ.ศ. 2540

15. นโยบายการลงทะเบยนการใชงาน วตถประสงค

เพอควบคมการเขาถงระบบโดยอนญาตใหเขาถงไดตามความจาเปนในการใชงาน เพอใหมการลงทะเบยนและจดทาบญชผใชงานแยกเปนผใชงานรายบคคลและผใชงานรวมกน



ขอปฏบต 1) หามผใชงานใชระบบงานของหนวยงาน จนกวาจะไดรบการอนมตใหใชงานโดยผานการลงทะเบยนกอน

รวมทงตองไมพยายามเขาถงระบบงานใด ๆ กตามทตนยงไมไดรบอนญาตใหใชงาน 2) กรอกแบบคาขอเพอขออนมตใชงานระบบงานตาม แบบคาขอสาหรบลงทะเบยนผใชงานรายบคคล

และนาเสนอตอผบงคบบญชาเพอขออนมตการใชงาน เมอไดรบการอนมตแลวใหสงผบงคบบญชาของผดแลระบบและ/หรอผพฒนาระบบเพอดาเนนการตอไป

3) ในกรณทมความจาเปนตองมการใชงานบญชผใชงานรวมกน ใหขออนมตผบงคบบญชาระดบฝายตาม แบบคาขอสาหรบลงทะเบยนผใชงานรวมกน หากมความเสยหายเกดขน ผใชงานบญชรวมกนนนจะตองรบผดชอบตอความเสยหายทเกดขนรวมกน เมอไดรบการอนมตแลวใหสงผบงคบบญชาของผดแลระบบและ/หรอผพฒนาระบบเพอดาเนนการตอไป

24

16. นโยบายการแจงเหตการณดานความมนคงปลอดภย วตถประสงค

เพอใหการรายงานเหตการณทเกยวของกบความมนคงปลอดภย เพอนาผลทไดไปสการบรหารจดการ รวมทงดาเนนการแกไขไดอยางเหมาะสม ไดผล และทนการณ


อางองมาตรฐาน หมวดท 9 การบรหารจดการเหตการณทเกยวของกบความมนคงปลอดภยขององคกร

ขอปฏบต 1) แจงไปยงเจาหนาทดานเทคโนโลยสารสนเทศ โดยทนท เมอพบเหน เหตการณดานความมนคงปลอดภย

ไดแก 1.1) การกระทาทขดตอ พ.ร.บ. วาดวยการกระทาความผดเกยวกบคอมพวเตอร 1.2) การกระทาทขดตอความมนคงของชาต 1.3) การใชทรพยากรสารสนเทศของหนวยงานผดวตถประสงค 1.4) หนาเวบไซตหลกถกเปลยนแปลง 1.5) ขอมลในหนาเวบไซตหลกไมถกตอง หรอคลาดเคลอนจากความเปนจรง 1.6) ขอมลสาคญถกเปลยนแปลง ถกลบ หรอสญหาย 1.7) การเปดเผยขอมลสาคญ หรอขอมลสวนบคคลโดยไมไดรบอนญาต 1.8) การนาขอมลสาคญไปใชผดวตถประสงค 1.9) ทรพยากรสารสนเทศถกขโมย 1.10) การอนญาตใหบคคลภายนอกเขาใชระบบของหนวยงาน 1.11) การแอบตดตงอปกรณ หรอโปรแกรมเพอดกขโมยขอมล หรอดกดขอมลในเครอขาย 1.12) การใชอานาจของสทธการเปนผดแลระบบอยางไมเหมาะสม 1.13) การบกรกหอง Data Center 1.14) โปรแกรมไมพงประสงค 1.15) เหตการณอน ๆ ทเปนการละเมดนโยบายดานความมนคงปลอดภยของหนวยงาน

2) ใหความรวมมอและอานวยความสะดวกแกผบงคบบญชา ผดแลระบบทเกยวของในการตรวจสอบเหตการณทางดานความมนคงปลอดภยทเกดขน รวมทงปฏบตตามคาแนะนาของผบงคบบญชาและผดแลระบบทเกยวของดวย

25

สวนท 4 นโยบายการจดการคอมพวเตอรและเครอขาย สาหรบเจาหนาทดานเทคโนโลยสารสนเทศ

นโยบายการจดการคอมพวเตอรและเครอขายประกอบดวย

1. นโยบายการจดทาคมอการปฏบตงาน วตถประสงค

เพอใหการปฏบตงานดานสารสนเทศเปนไปอยางถกตอง ลดความผดพลาดทอาจะเกดขน ซงอาจสงผลกระทบใหระบบเกดการหยดชะงกการทางาน


อางองมาตรฐาน หมวดท 6 การบรหารจดการดานการสอสารและการดาเนนงานของเครอขายสารสนเทศขององคกร

ขอปฏบต 1) ใหจดทาและปรบปรงคมอการปฏบตงานใหมความทนสมย อยางนอยใหครอบคลมในรายการคมอการ

ปฏบตงานของหนวยงาน รวมทงใหจดเกบไวในสถานททมความปลอดภย

2. นโยบายการตรวจสอบขอมลความรทเกยวของกบผลตภณฑทหนวยงานใชงาน และความรทเกยวกบความมนคงปลอดภย

วตถประสงค เพอใหเจาหนาทดานเทคโนโลยสารสนเทศ ไดตดตามขอมล ขาวสาร หรอความรทเกยวของกบ

ผลตภณฑตาง ๆ ทหนวยงานใชงาน หรอทเกยวกบการรกษาความมนคงปลอดภยและนามาปรบปรงระบบใหดหรอปลอดภยยงขน


อางองมาตรฐาน หมวดท 2 โครงสรางทางดานความมนคงปลอดภยสาหรบองคกร

ขอปฏบต 1) ใหจดทา และปรบปรงทอย URL สาหรบเวบไซตของผผลตทางดานฮารดแวรและซอฟตแวรทหนวยงาน

ใชงาน เพอใชในการศกษา และตดตามแนวโนมทางดานเทคโนโลยสารสนเทศตาง ๆ และแจงใหผทเกยวของทงหมดไดรบทราบ

2) ใหจดทาและปรบปรงทอย URL สาหรบเวบไซตของแหลงความรทสาคญทเกยวของกบการรกษาความมนคงปลอดภย เพอใชในการศกษา และตดตามแนวโนมทางดานความมนคงปลอดภยตาง ๆ

26

3. นโยบายการพฒนาระบบงาน วตถประสงค

เพอลดความผดพลาดในการพจารณาปรบปรงระบบงานเพมเตม เพอใหระบบงานไดรบการพฒนา เพอใหประมวลผลหรอคานวณไดอยางถกตอง และเพอใหขอมล

นาเขาและนาออกจากระบบมความถกตองและเชอถอได รวมทงปลอดภยจากการถกบกรกหรอเจาะระบบโดยผไมพงประสงค

เพอใหระบบงานทพฒนาหรอจดหาเปนไปตามขอกาหนดหรอคณลกษณะของระบบทกาหนดไว เพอใหสามารถตรวจสอบกจกรรมสาคญตาง ๆ ทเกดกบระบบงานไดในภายหลง เพอลดความผดพลาดในการตดตงระบบงานและอาจสงผลใหระบบหยดชะงกการทางาน

ผรบผดชอบ ผพฒนาระบบและ/หรอ ผใหบรการภายนอก

อางองมาตรฐาน หมวดท 2 โครงสรางทางดานความมนคงปลอดภยสาหรบองคกร หมวดท 8 การจดหา การพฒนา และการบารงรกษาระบบสารสนเทศ

ขอปฏบต 1) กรอกแบบคาขอเพอขออนมตพฒนาระบบงานใหมหรอปรบปรงระบบงานเดม และปฏบตตาม ขนตอน

ปฏบตสาหรบควบคมการเปลยนแปลงระบบงาน ทไดกาหนดไว 2) วเคราะหและประเมนทางเลอกในการพฒนาระบบงานซงแบงเปน 5 ทางเลอก ดงน

2.1) การจดหาซอฟตแวรสาเรจรปซงเปนซอฟตแวรขนาดใหญหรอมความซบซอน 2.2) การจดหาซอฟตแวรสาเรจรปซงเปนซอฟตแวรขนาดเลกและไมมความซบซอน 2.3) การจางพฒนาระบบทมขนาดเลกและไมมความซบซอน 2.4) การพฒนาระบบทมขนาดเลกและไมมความซบซอนดวยตนเอง 2.5) การจางพฒนาระบบทมขนาดใหญหรอมความซบซอน

3) จดทาสญญาการจดซอจดจางระบบงานดงน 3.1) ระบขอกาหนดการไมเปดเผยความลบหรอขอมลสาคญของหนวยงานแกผอน 3.2) จดทาเอกสารขอกาหนดการจางงาน (Term of Reference) โดยระบคณลกษณะของ

ระบบงานทตองการจดหาไวในเอกสารดงกลาว 3.3) อางองตามขอกาหนดตาง ๆ ทระบไวใน

- ขอกาหนดทควรจดทาในสญญาการพฒนาระบบงาน - ขอกาหนดทควรจดทาในสญญาดแลรกษาฮารดแวร - ขอกาหนดทควรจดทาในสญญาการใหบรการเครอขาย

4) บรหารจดการโครงการการจางพฒนาระบบงาน ดงน 4.1) กาหนดใหผใหบรการภายนอกจดทาขอเสนอโครงการเพอประกอบการพจารณาจดจาง หวขอ

ทควรปรากฎในขอเสนอโครงการอยางนอย ประกอบดวย - หลกการและเหตผล - วตถประสงค - เปาหมายของโครงการ - ผลสมฤทธของโครงการ

27

- แผนการดาเนนงาน - ระยะเวลาการดาเนนงาน - กระบวนการพฒนาระบบทใชสาหรบโครงการ - เงอนไขทวไป - ทมผพฒนาระบบและบคลากรทมสวนรวมในโครงการและหนาทความรบผดชอบ - วธการตดตามการดาเนนงานโครงการและความถในการรายงานความคบหนา - ขอเสนอดานราคา

4.2) กาหนดใหมการตดตาม ประเมน และบนทกความเสยงตาง ๆ ทเกยวของกบโครงการพฒนาระบบงาน (เชน บคลากรในทมผพฒนาระบบมการลาออก มการขอเพมความตองการการใชงานระบบ เรมมการใชงบประมาณมากกวาทกาหนดไว) กาหนดมาตรการลดความเสยงทพบและประสานงานใหผทเกยวของไปดาเนนการตามมาตรการลดความเสยงนน จนกระทงแลวเสรจ

4.3) ประสานงานกบผใชงานเพอขอใหยนยนและรบรองความถกตองของระบบงานทการพฒนาแลวเสรจ

4.4) กาหนดใหผใหบรการภายนอกสงมอบงานตามรายการสงทสงมอบทไดกาหนดไวในขอเสนอโครงการ (เชน เอกสารความตองการของระบบ เอกสารการวเคราะหและออกแบบระบบ ซอรสโคด แผนการทดสอบ คมอการใชงาน เอกสารฝกอบรม เอกสารลงนามรบทราบการทดสอบระบบจากผใชงาน เปนตน)

5) กาหนดความตองการดานความมนคงปลอดภยของระบบงาน โดยพจารณาจากความเสยงทมตอระบบงานและกาหนดมาตรการรองรบหรอลดความเสยงเหลานน (มาตรการรองรบหรอลดความเสยง คอความตองการดานความมนคงปลอดภยสาหรบระบบงาน) ความตองการดานความมนคงปลอดภยควรครอบคลมหวขอตอไปน 5.1) ดานการตรวจสอบขอมลนาเขาระบบ (Input Data Validation and Verification) 5.2) ดานการบนทกกจกรรมตาง ๆ ทสาคญและอาจจาเปนตองตรวจสอบในภายหลง 5.3) ดานกลมผใชงาน บทบาท และสทธการเขาถงระบบงาน 5.4) ดานการลงทะเบยนสาหรบการเขาถงระบบงาน 5.5) การทบทวนสทธการเขาถงของผใชงาน 5.6) ดานการตดหรอหมดเวลาการใชงาน 5.7) ดานการระบและพสจนตวตน 5.8) ดานหนาจอการลอกอนทมความมนคงปลอดภย 5.9) ดานการปองกนขอมลรหสผานของผใชงาน 5.10) ดานการปองกนขอมลสาคญทจดเกบไวในระบบ 5.11) ดานการปองกนขอมลสาคญทมการสงผานเครอขาย 5.12) ดานการสนบสนนการบรหารจดการการเขารหสขอมล

6) พฒนาระบบงานตามทไดวเคราะหและออกแบบดานความมนคงปลอดภยไว 7) ทดสอบระบบดงน

7.1) ควบคมการนาขอมลสาคญมาใชในการทดสอบกบระบบทดสอบ - กรณขอมลสวนบคคล ลบขอมลสวนทสามารถบงชตวบคคลทงไปกอนนาขอมลนนไปใชใน

การทดสอบ เชน ลบชอ-นามสกลทงไป เปนตน

28

- กรณขอมลลบ ลบขอมลสวนทเปนความลบทงไปกอนนาขอมลนนไปใชในการทดสอบ 7.2) จดทาแผนการทดสอบระบบอยางนอยดงน

- แผนการทดสอบ Unit Test - แผนการทดสอบ UAT (User Acceptance Test) - แผนการทดสอบ System Integration Test และดาเนนการทดสอบตามแผนทไดกาหนดไวนน

7.3) ทดสอบขอมลนาเขาระบบใหครอบคลมตาม - รปแบบของขอมลในพจนานกรมขอมล (Data dictionary) - แนวทางปฏบตในการทดสอบขอมลนาเขา

7.4) จดทาแผนการทดสอบดานความมนคงปลอดภยโดยอยางนอยใหครอบคลมความตองการดานความมนคงปลอดภยทไดวเคราะหและออกแบบไว และดาเนนการทดสอบระบบตามแผนทไดกาหนดนน

7.5) ตรวจสอบความถกตองของขอมลและรายงานตาง ๆ ในระหวางททาการทดสอบ และหากพบขอผดพลาดใหตรวจสอบหาสาเหตและดาเนนการแกไข

8) ปฏบตตาม นโยบายควบคมการตดตงบนระบบใหบรการจรง ในการตดตงระบบงาน

ขนตอนปฏบตสาหรบควบคมการเปลยนแปลงระบบงาน วตถประสงค

เพอลดความผดพลาดในการดาเนนการเปลยนแปลงตอระบบงาน ซงอาจสงผลใหระบบเสยหาย ทางานผดปกต หยดชะงกการทางาน หรอไมสามารถใหบรการได

ผรบผดชอบ ผบงคบบญชาของผพฒนาระบบ

อางองมาตรฐาน หมวดท 8 การจดหา การพฒนา และการบารงรกษาระบบสารสนเทศ

ขนตอนปฏบต 1) เมอผใชงานตองการพฒนาระบบงานใหม ปรบปรง เปลยนแปลง หรอแกไขระบบงานเดม ใหมการทา

บนทกภายในแจงเพอขอดาเนนการเปลยนแปลงระบบงาน 2) ประเมนผลกระทบของการเปลยนแปลงนนวามผลกระทบมาก (Major) หรอนอย (Minor) โดยใชเกณฑ

ดงน 2.1) ในกรณทเปนการพฒนาระบบงานใหม ใหพจารณาวามผลกระทบมาก 2.2) ในกรณทเปนการปรบปรงระบบงานเดมทตองพฒนาเพมเตม

- ไมเกนรอยละ 10 ใหพจารณาวามผลกระทบนอย - เกนกวารอยละ 10 ใหพจารณาวามผลกระทบมาก

2.3) ในกรณทเปนการแกไขขอผดพลาดในระบบงาน และ - การแกไขคอนขางซบซอนและมปรมาณงานมาก ใหพจารณาวามผลกระทบมาก - กรณอน ๆ ใหพจารณาวามผลกระทบนอย

29

สาหรบการเปลยนแปลงทมผลกระทบมาก (ยกเวนการพฒนาระบบงานใหม) ใหจดเตรยมแผนถอยหลงกลบดวย (ในกรณททาไมสาเรจ จะไดกลบไปใชเวอรชน (Version) กอนการเปลยนแปลงได)

3) ประเมนความเรงดวนวามความเรงดวน (Urgent) หรอปกต (Normal) โดยใชเกณฑ ดงน 3.1) ในกรณทเปนการพฒนาระบบงานใหม ใหพจารณาวาปกต 3.2) ในกรณทเปนการปรบปรงระบบงานเดม และ

- ระบบงานนนสอดคลองกบโครงการตามแผนวสาหกจหรอแผนแมบทเทคโนโลยสารสนเทศสาหรบปงบประมาณนน ใหพจารณาวาปกตวามความเรงดวน

- กรณอน ๆ ใหพจารณาวาปกต 3.3) ในกรณทเปนการแกไขขอผดพลาดในระบบงาน และ

- หากไมดาเนนการโดยทนท ระบบจะทางานผดพลาดหรอไมสามารถทางานได ใหพจารณาวามความเรงดวน

- กรณอน ๆ ใหพจารณาวาปกต 4) อนมตการขอดาเนนการนน 5) จดลาดบความสาคญวาการขออนมตใดทตองทากอนหลงเรยงตามลาดบ 6) จดใหทมผพฒนาระบบวางแผนดาเนนการพฒนาหรอปรบปรงระบบงาน 7) เมอทมผพฒนาระบบไดดาเนนการแลวเสรจ จะตองบนทกขอมลตอทายลงในบนทกภายในขอ

เปลยนแปลง ดงกลาวในสวนการปฏบตดวย 8) การพฒนา/แกไขระบบงาน ในกรณทผพฒนาระบบมความจาเปนตองใชรหสผานรวมกนในการเขาถง

ฐานขอมล ใหแจงเหตผลความจาเปนพรอมขออนมตเปนลายลกษณอกษรจากผบงคบบญชาระดบสานก/กอง ขนไป

แนวทางปฏบตในการทดสอบขอมลนาเขา วตถประสงค

เพอใหขอมลนาเขาและนาออกจากระบบมความถกตองและเชอถอได เพอใหระบบงานทาการประมวลผลหรอคานวณไดอยางถกตอง

ผรบผดชอบ ผพฒนาระบบและ/หรอผใหบรการภายนอก

อางองมาตรฐาน หมวดท 8 การจดหา การพฒนา และการบารงรกษาระบบสารสนเทศ

แนวทางปฏบต 1) ทดสอบขอมลนาเขาระบบงานดงน

1.1) ขอมลนาเขาตรงหรอสอดคลองกบชนดของขอมลตามทตองการหรอไม 1.2) ขอมลนาเขาอยภายในคาขอบเขตบนและลางตามทตองการหรอไม 1.3) ขอมลนาเขามการขาดหายบางสวนหรอไมครบถวนหรอไม 1.4) ขอมลนาเขามการใสตวอกษรหรออกขระทไมถกตองหรอไม 1.5) ขอมลนาเขาไมไดมการระบคาคย (Key) หรอไม 1.6) ขอมลนาเขามการซาซอนกนหรอไม

30

มาตรฐานทางดานความมนคงปลอดภยในการพฒนาระบบงาน วตถประสงค

เพอกาหนดมาตรฐานขนตาของการพฒนาระบบงานเพอใหระบบงานมความมนคงปลอดภยจากการถกเขาถงขอมลหรอระบบโดยไมไดรบอนญาต หรอจากการถกบกรกระบบ

ผรบผดชอบ ผพฒนาระบบ

อางองมาตรฐาน หมวดท 7 การควบคมการเขาถง หมวดท 8 การจดหา การพฒนา และการบารงรกษาระบบสารสนเทศ

ขอปฏบต 1) ใหระบขอกาหนดทางดานความมนคงปลอดภย (Security Requirement) ในการพฒนาระบบงาน

เชน การเขารหสขอมลทมการรบสงระหวางเครองลกขายกบเครองคอมพวเตอรแมขาย การกาหนดสทธในการใชงานตามความจาเปน การกาหนดผใชงานมการตงรหสผานทความเขมแขง เปนตน โดยอางองระเบยบวาดวยการรกษาความลบทางราชการ พ.ศ. 2544

2) ใหพฒนาระบบงานเพอใหมหนาจอสาหรบผดแลระบบงาน ใหสามารถบนทกและปรบปรงสทธของผใชงานได รวมทงตองสามารถบนทกสทธดงกลาวลงเกบไวในฐานขอมลไดดวย

3) ใหพฒนาระบบงานเพอใหผใชงานสามารถกาหนดรหสผานทมความปลอดภยตาม นโยบายการตงรหสผาน ไดแก การกาหนดความยาว และระยะเวลาการเปลยนรหสผาน

4) ใหพฒนาระบบงาน ใหการลอกอน (Log in) ของผใชงานเขาสระบบงานมความปลอดภย โดยปฏบตตามแนวทางดงน 4.1) ไมแสดงรายละเอยดของระบบจนกวาจะลอกอน (Log in) สาเรจ 4.2) ไมมหรอไมแสดงฟงกชน (Function) ใหการชวยเหลอในระหวางททาการลอกอน (Log in) 4.3) บนทกความพยายามในการลอกอน (Log in) ทงทสาเรจและไมสาเรจ และแสดงประวตการ

ลอกอน (Log in) 3 ครงลาสด 4.4) ตดการเชอมตอหลงจากททาการลอกอน (Log in) ไมสาเรจเกนกวา 3 ครง 4.5) เมอมการใสขอมลบญชผใชงานและรหสผานทไมถกตอง ใหแสดงขอความรวม ๆ เชน “ขอมล

การลอกอน (Log in) ไมถกตอง” 4.6) ใหแสดงขอความเตอนทหนาจอ ภายหลงจากการลอกอน (Log in) เสรจสน ขอความเตอน

ดงกลาว ไดแก “ระบบนเปนระบบทเปนสนทรพยของ กรมการคาภายใน การใชงานจะตองไดรบการอนมตกอนเทานน จงจะสามารถใชงานได ผทไมไดรบสทธและเขามาใชระบบงาน หากมการตรวจพบ อาจมการลงโทษทางวนย หรอดาเนนการทางกฎหมายตามความเหมาะสม หนวยงานมสทธในการตรวจสอบพฤตกรรมการใชงานในระหวางทผใชงานใชระบบงานน”

5) ใหพฒนาระบบงานเพอใหมการปองกนขอมลโดยการเขารหส ระหวางเครองลกขายกบเครองคอมพวเตอรแมขาย สาหรบระบบงานทมขอมลทมความสาคญ เชน โดยใช โปรโตคอล HTTPS โดยอางองระเบยบวาดวยการรกษาความลบทางราชการ พ.ศ. 2544

6) สาหรบระบบงานทมความสาคญสง ใหพฒนาระบบงานเพอใหมการตดการเชอมตอทางเครอขาย เมอผใชงานไมไดใชงานนานเกนกวาระยะเวลาหนง เชน 30 นาท รวมทงแจงใหผใชงานไดรบทราบวา ระบบงานจะมการตดการเชอมตอ เมอผใชงานไมไดใชงานนานเกนกวาระยะเวลาดงกลาว

31

4. นโยบายควบคมการตดตงบนระบบใหบรการจรง วตถประสงค

เพอลดความผดพลาดในการตดตงระบบงาน และอาจสงผลใหระบบหยดชะงกการทางานหรอไมสามารถใหบรการได

เพอใหระบบทตดตงมความมนคงปลอดภย และเสถยรภาพในการทางานสง เพอปองกนการละเมดลขสทธของซอฟตแวรทจะทาการตดตง เพอปองกนการเปลยนแปลงหรอแกไขระบบงานดดยไมไดรบอนญาตและทาใหระบบงานทางานไม

ถกตอง และอาจเกดความเสยหายตอหนวยงาน ผรบผดชอบ

ผดแลระบบและ/หรอผพฒนาระบบ อางองมาตรฐาน

หมวดท 6 การบรหารจดการดานการสอสารและการดาเนนงานของเครอขายสารสนเทศขององคกร หมวดท 8 การจดหา การพฒนา และการบารงรกษาระบบสารสนเทศ

ขอปฏบต 1) ปฏบตตาม ขนตอนปฏบตสาหรบควบคมการเปลยนแปลงโครงสรางพนฐานสารสนเทศ เพอขอ

อนมตตดตงระบบงาน 2) ในกรณทเปนการตดตงระบบเพอทดแทนระบบงานเดม ใหทาการสารองขอมลทจาเปน เชน ฐานขอมล

ซอฟตแวร คาคอนฟกกเรชนหรออน ๆ ทเกยวของกบระบบงานนน หากการตดตงทาไมสาเรจ จะไดสามารถถอยหลงกลบไปใชงานระบบงานเดมได

3) ในกรณทมความจาเปนตองเปลยนแปลงขอมลในระบบงานเดมไปสในระบบทจะทาการตดตง ใหกาหนดแผนการถายโอนหรอแปลงขอมลจากระบบงานเดมไปสระบบงานใหม ถายโอนขอมลตามแผนฯ และรวมกบผใชงานตรวจสอบวา ขอมลทมการถายโอนไปนน มความถกตองและครบถวนหรอไม

4) กาหนดแผนการตดตงสาหรบระบบงาน ซงรวมถงระยะเวลาทจะดาเนนการ รวมทงแจงใหผทเกยวของไดรบทราบกอนลวงหนา เชน การตดตง ฮารดแวร ซอฟตแวร และอน ๆ

5) สาหรบซอฟตแวรทจะทาการตดตง 5.1) ถาเปนซอฟตแวรทขายเชงพาณชย ตองเปนซอฟตแวรทมลขสทธถกตอง 5.2) ถาเปนซอฟตแวรประเภทฟรแวร (Freeware) หรอแชรแวร (Shareware) ตองตรวจสอบกอน

วาจะไมเปนการละเมดลขสทธผผลตซอฟตแวรนน 6) อานและปฏบตตามเงอนไขหรอขอตกลงการใชงานซอฟตแวรทจะทาการตดตงอยางเครงครด 7) สาหรบการตดตงซอฟตแวรยทลต (Utility Software) ตองตรวจสอบกอนวาเปนซอฟตแวรทมการ

ทางานทถกตองและเชอถอได 8) ไมตดตงโปรแกรมคอมไพเลอรสาหรบระบบงานบนเครองใหบรการ ยกเวนในกรณทระบบงานตอง

เรยกใชโปรแกรมคอมไพเลอรในขณะททางาน 9) ไมตดตงซอรสโคดของระบบงานบนเครองใหบรการ ยกเวนในกรณทระบบงานตองเรยกใชซอรสโคด

โดยตรงในขณะททางาน 10) ตดตงโปรแกรมแกไขชองโหวตาง ๆ ทเกยวของกบระบบงานตามความจาเปน เชน โปรแกรมแกไขชอง

โหวสาหรบระบบปฏบตการ โปรแกรมแกไขชองโหวสาหรบระบบบรหารจดการฐานขอมล เปนตน

32

11) กาหนดคาพารามเตอรตาง ๆ มมผลตอความมนคงปลอดภยของระบบงานตาม Sequrity Baseline ทเกยวของกบระบบงานนน โดยดาเนนการตาม Sequrity Baseline สาหรบ 11.1) ระบบปฏบตการ Windows 11.2) ระบบปฏบตการ Unit 11.3) ระบบบรหารจดการฐานขอมล 11.4) เวบเซรฟเวอร 11.5) อปกรณเครอขาย

12) ตรวจสอบและปดบรการ (Service) บนระบบทไมมความจาเปนในการใชงานกอนเปดระบบใหบรการ 13) บนทกและตรวจสอบขอมลลอกของระบบงาน ดงน

13.1) เปดใหระบบงานทาการบนทกขอมลลอกทจาเปน สาหรบการตรวจสอบในภายหลง เชน ขอมลลอกของระบบปฏบตของระบบบรหารจดการฐานขอมล เปนตน

13.2) กาหนดแผนการตรวจสอบขอมลลอกบนระบบงานททาการตดตง โดยปฏบตตาม นโยบายการตรวจสอบขอมลลอกและการดาเนนการแกไข และดาเนนการตรวจสอบขอมลลอกตามแผนทไดกาหนดไว

14) มการปองกนไวรสคอมพวเตอรบนระบบงานททาการตดตง 15) จากดการเชอมตอทางเครอขายเพอเขาสระบบงานททาการตดตง ดงน

15.1) จากดการเชอมตอทางเครอขายของผใชงานในการเขาถง หรอใชงานระบบททางานตดตงใหเปนไปตาม นโยบายการควบคมการเขาถง ของหนวยงาน

15.2) กาหนด Routing ทเหมาะสมบนเครอขาย เพอจากดการเขาถงระบบงานโดยผใชงาน 16) จดเกบซอรสโคดของระบบงานไวในสถานททมความปลอดภย ถาจเกบในเครองคอมพวเตอร ตองมการ

ควบคมการเขาถง เชน การใหสทธเฉพาะผเกยวของเทานน การใชรหสผานสาหรบการเขาถง เปนตน และจดเกบไวอยางนอย 2 เวอรชนลาสด

5. นโยบายการควบคมการเขาถง วตถประสงค

เพอกาหนดมาตรการควบคมการเขาถงระบบสารสนเทศและระบบเครอขายของกรมการคาภายใน ใหสามารถเขาถงเฉพาะบรการทไดรบอนญาตใหเขาถงเทานน

เพอปองกนการบกรกผานระบบเครอขายจากผบกรก จากโปรแกรมชดคาสงไมพงประสงคทจะสรางความเสยหายแกขอมล หรอการทางานของระบบเทคโนโลยสารสนเทศและการสอสารใหหยดชะงก

เพอใหสามารถตรวจสอบตดตามพสจนตวบคคลทเขาใชงานระบบเทคโนโลยสารสนเทศและการสอสารของกรมไดอยางถกตอง

ผรบผดชอบ ศนยเทคโนโลยสารสนเทศ ผดแลระบบ/ผพฒนาระบบ

อางองมาตรฐาน หมวดท 5 การสรางความมนคงปลอดภยทางกายภาพและสงแวดลอม หมวดท 7 การควบคมการเขาถง หมวดท 9 การบรหารจดการเหตการณทเกยวของกบความมนคงปลอดภยขององคกร

33

ขอปฏบต 1) ใหศนยเทคโนโลยสารสนเทศกาหนดมาตรการควบคมการเขาใชงานระบบสารสนเทศของหนวยงานเพอ

ดแลรกษาความปลอดภย โดยทบคคลจากหนวยงานภายนอกทตองการสทธในการเขาใชงานระบบสารสนเทศของหนวยงาน ตองขออนญาตเปนลายลกษณอกษรตอผ อานวยการศนยเทคโนโลยสารสนเทศ

2) กาหนดสทธการเขาถงขอมลและระบบขอมลใหเหมาะสมกบการเขาใชงานของผใชงานระบบและหนาทความรบผดชอบของเจาหนาทในการปฏบตงานกอนเขาใชระบบสารสนเทศ รวมทงมการทบทวนสทธการเขาถงอยางสมาเสมอ

3) ผใชงานตองลงนามรบทราบสทธ และหนาทเกยวกบการใชงานระบบเทคโนโลยสารสนเทศเปนลายลกษณอกษร และตองปฏบตตามอยางเครงครด

4) ควรจดใหมการตดตงระบบบนทกและตดตามการใชงานระบบสารสนเทศของหนวยงาน และตรวจสอบการละเมดความปลอดภยทมตอระบบขอมล

5) ตองจดใหมการบนทกรายละเอยดการเขาถงระบบ การแกไขเปลยนแปลงสทธตางๆ และการผานเขาออกสถานทตงของระบบของทงผทไดรบอนญาตและไมไดรบอนญาตเพอเปนหลกฐานในการตรวจสอบ

6) ตองควบคมการเขาถงระบบเครอขาย โดยแบงแยกระบบเครอขายใหเปนสดสวนตามลกษณะของการใชงาน เพอควบคมผใชงานใหสามารถใชงานเฉพาะระบบเครอขายทไดรบอนญาตเทานน โดยกาหนดเลขทอยไอพ (IP Address) แบงเปนสดสวนตามหนวยงานภายใน

7) ตองจากดเสนทางการเขาถงระบบเครอขายทมการใชงานรวมกน โดยจดเสนทางบนเครอขาย คอ อนเทอรเนต ระบบงานภายในกระทรวง และระบบเครอขาย GIN

8) ยตการใชงานระบบสารสนเทศนน เมอวางเวนจากการใชงานในระยะเวลาหนง (Session Time-out) โดยใหทกระบบสารสนเทศหรอแอพพลเคชน มระยะเวลาวางเวนจากการใชงานไมเกน 30 นาท

9) จากดระยะเวลาการเชอมตอระบบสารสนเทศ (Limitation of Connection Time) โดยใหทกระบบสารสนเทศหรอแอพพลเคชน มระยะเวลาสนสดการเชอมตอไมเกน 180 นาท

10) กาหนด routing table เพอจากดการใชเสนทางบนเครอขายจากเครองคอมพวเตอรไปยงเครองคอมพวเตอรแมขายเพอไมใหผใชงานสามารถใชเสนทางอนๆ ได

11) ระบบเครอขายทงหมดของหนวยงานทมการเชอมตอไปยง ระบบเครอขายอนๆ ภายนอกหนวยงานมการเชอมตอผานอปกรณปองกนการบกรก (Firewall) รวมทงตองสามารถใชในการตรวจจบโปรแกรมไมพงประสงคได

12) มระบบตรวจจบการบกรก (Intrusion Prevention System/Intrusion Detection System) เพอตรวจสอบขอมลทมการเขาใชงานผานระบบระบบเครอขายของหนวยงานในลกษณะทผดปกต

13) การเขาสระบบเครอขายภายในหนวยงาน โดยผานทางระบบอนเทอรเนตจาเปนตองมการลอกอน (Log in) เพอตรวจสอบความถกตองของผใชงาน โดยการตรวจสอบกบชอผใชงานทมอยในระบบ วาเปนผใชงานใด และมสทธในการเขาถงหรอไม

14) จดทาแผนผงระบบเครอขาย (Network Diagram) ซงมรายละเอยดเกยวกบขอบเขตของระบบเครอขายภายในและเครอขายภายนอก และอปกรณตางๆ พรอมทงปรบปรงใหเปนปจจบนอยเสมอ

15) การใชเครองมอตางๆ เพอการตรวจสอบระบบเครอขาย ควรไดรบการอนมตจากผดแลระบบ (System Administrator) และจากดการใชงานเฉพาะเทาทจาเปน

34

6. นโยบายการวางแผนเตรยมการสภาพความพรอมใชของระบบงาน วตถประสงค

เพอกาหนดใหมการวางแผนเตรยมการสภาพความพรอมใชของระบบงาน เพอใหระบบงานมสภาพความพรอมใชของระบบงาน หรอเกดการหยดชะงกในระยะเวลาทหนวยงาน

ยอมรบได ผรบผดชอบ

เจาของกระบวนการทางธรกจ (Business Process Owner) ศนยเทคโนโลยสารสนเทศ ผดแลระบบ ผพฒนาระบบ ผใหบรการภายนอก

อางองมาตรฐาน หมวดท 5 การสรางความมนคงปลอดภยทางกายภาพและสงแวดลอม หมวดท 6 การบรหารจดการดานการสอสารและการดาเนนงานของเครอขายสารสนเทศขององคกร หมวดท 10 การบรหารความตอเนองในการดาเนนงานขององคกร

ขอปฏบต 1) ประเมนผลกระทบตอ Business Process กรณทระบบงานเกดการหยดชะงก และกาหนดระดบ

ความสาคญของระบบงาน ดงน 1.1) เจาของกระบวนการทางธรกจและศนยเทคโนโลยสารสนเทศ รวมกนประเมนผลกระทบ หาก

ระบบงานนนเกดการหยดชะงก 1.2) เมอพจารณาผลกระทบทเกดขน เจาของกระบวนการทางธรกจและศนยเทคโนโลยสารสนเทศ

รวมกนกาหนด RTO, RPO และ MTD ของระบบงานนน 1.3) จากผลการประเมนผลกระทบ คา RTO, RPO และ MTD ทกาหนดไว เจาของกระบวนการ

ทางธรกจและศนยเทคโนโลยสารสนเทศรวมกนกาหนด - ระดบความสาคญของระบบ (ซงแบงเปน 3 ระดบ คอ ระบบมความสาคญมาก/ปาน

กลาง/นอย) - รอยละของสภาพความพรอมใชของระบบ - ระยะเวลาการหยดชะงกโดยเฉลยตอครง

2) ผดแลระบบออกแบบฮารดแวรของระบบงาน โดยคานงถงความทนทาน และความเชอถอไดของฮารดแวร ซงจะตองมความเหมาะสมกบรอยละของสภาพความพรอมใชของระบบงานและระยะเวลาการหยดชะงกโดยเฉลยตอครงตามทไดกาหนดไว

3) ผดแลระบบออกแบบฮารดแวรของระบบงาน โดยคานงการมทรพยากรและความรวดเรวของระบบอยางเพยงพอ ไดแก การมซพย หนวยความจา และฮารดดสกในปรมาณและความรวดเรวทมากพอตอการใหบรการ

4) ผดแลระบบกาหนดแผนการบารงรกษาฮารดแวรของระบบงาน โดยพจารณาประเดน ดงน - การรบประกนความเสยหายของฮารดแวรใหม - การตรวจสอบและปรบปรงสภาพของฮารดแวรตามรอบระยะเวลาหนงทกาหนดไว

35

- การกาหนดใหผบรการดานฮารดแวรเขามาดาเนนการแกไขปญหาตามทไดรบแจงจากศนยเทคโนโลยสารสนเทศ และ/หรอ

- การทาสญญาการบารงรกษากบผใหบรการดานฮารดแวร 5) ผพฒนาระบบ กาหนดแผนการบารงรกษาซอฟตแวร/แอพพลเคชน ของระบบงานทมความสาคญอยาง

นอย 6 เดอนภายหลงการตดตงเสรจ 6) ผดแลระบบกาหนดแผนการสารองขอมลของระบบงาน โดยปฏบตตามนโยบายการสารองและทดสอบ

กคนขอมล และดาเนนการสารองขอมลตามแผนทไดกาหนดไว 7) ผพฒนาระบบ กาหนดแผนการตรวจสอบและตดตามสภาพความพรอมใชของระบบงานและดาเนนการ

ตรวจสอบ และตดตามสภาพความพรอมใชตามแผนทไดกาหนดไว สาหรบระบบงานทมความสาคญจากมากไปนอย ใหกาหนดแผนการตรวจสอบและตดตามสภาพความพรอมใชดวยความถในการตรวจสอบจากสงไปตา เชน ระบบงานทมความสาคญมาก ควรมความถในการตรวจสอบสงกวาระบบงานทมความสาคญปานลางและนอย เปนตน

8) ผดแลระบบ กาหนดแผนการตรวจสอบและตดตามทรพยากรของระบบงาน โดยปฏบตตาม นโยบายการจดการทรพยากรของระบบ และดาเนนการตรวจสอบ และตดตามทรพยากรของระบบงานตามแผนทไดกาหนดไว

7. นโยบายการลงทะเบยนผใชงาน วตถประสงค

เพอควบคมการเขาถงระบบโดยอนญาตใหเขาถงตามความจาเปนในการใชงาน เพอกาหนดมาตรฐานการลงทะเบยนผใชงานและการบรหารจดการบญชผใชงาน เพอกาหนดและทบทวนสทธการใชงานเพอใหไดรบสทธตามความจาเปนในการใชงาน

ผรบผดชอบ ผดแลระบบและ/หรอผพฒนาระบบ


ขอปฏบต 1) ลงทะเบยนผใชงานกอนอนญาตใหเขาใชระบบงานตาง ๆ ของหนวยงานโดยใหขออนมตผานทาง แบบ

คาขอสาหรบลงทะเบยนผใชงาน 2) ตงชอบญชผใชงานตามมาตรฐานการตงชอของหนวยงาน เชน “รหสประจาตวของผขอ” 3) จดสงบญชผใชงานและรหสผานโดยใสซองปดผนก และประทบตรา “ลบ” ใหผขอใชงาน 4) สรางบญชผใชงานแยกเปนรายบคคล ในกรณทมความจาเปนตองมการใชงานผใชงานรวมกน ใหขอ

อนมตเปนกรณ ๆ ไป 5) กาหนดสทธการเขาใชระบบงานใหแกผใชงาน ตามหนาทและความรบผดชอบของผใชงานนน หรอตาม

ความจาเปนในการเขาถง (ทงเจาหนาทและบคคลภายนอกทหนวยงานอนญาตใหใชงาน) 6) ทบทวนสทธการเขาใชงานระบบของผใชงานอยางนอยปละ 1 ครง 7) ยกเลกหรอเพกถอนสทธการเขาใชงานกรณทผใชงานลาออก ปรบเปลยนตาแหนง หมดความจาเปนใน

การใชงาน

36

8. นโยบายการบรหารจดการชองโหวของระบบ วตถประสงค

เพอใหระบบทางานอยางถกตอง มเสถยรภาพเชอถอได และปลอดภยจากการถกบกรกหรอโจมต ผรบผดชอบ

ผดแลระบบ อางองมาตรฐาน

หมวดท 8 การจดหา การพฒนา และการบารงรกษาระบบสารสนเทศ ขอปฏบต

1) ตดตงโปรแกรมแกไขชองโหวตามความจาเปนสาหรบชองโหวทมผลกระทบตอการใหบรการของเครองคอมพวเตอรแมขายสาหรบระบบงานของหนวยงาน

2) จดใหเครองคอมพวเตอร (Personal Computer) และคอมพวเตอรพกพา (Notebook computer) ทงหมดของผใชงานตดตงโปรแกรมแกไขชองโหวใหครบถวน (เชน โดยการตงใหเครองดาเนนการเองโดยอตโนมต)

9. นโยบายการจดการกบโปรแกรมไมพงประสงค วตถประสงค

เพอปองกนขอมลในระบบไมใหเกดความเสยหาย เพอใหมการจดการกบปญหาไวรสไดอยางเหมาะสม ไดผลและทนการณ เพอใหระบบทางานอยางถกตอง มเสถยรภาพเชอถอได และปลอดภยจากการถกบกรกหรอโจมต

ผรบผดชอบ ผดแลระบบ


ขอปฏบต 1) ใหผใชงานแจงปญหาการตดไวรสไปยงผดแลระบบโดยทนททพบ 2) ตรวจสอบวาเครองคอมพวเตอรแมขายปองกนไวรสยงทางานตามปกตและมการปรบปรงฐานขอมล

ไวรสหรอไม ตรวจสอบอยางนอยวนละ 1 ครง หากพบวาทางานผดปกต ใหรบดาเนนการแกไข 3) ตรวจสอบและตดตงโปรแกรมปองกนไวรสอยางนอยสาหรบเครองลกขายทงหมด เครองคอมพวเตอร

แมขายสาหรบระบบงานทมความสาคญ และเครองคอมพวเตอรแมขายทใหบรการจดหมายอเลกทรอนกส (Mail Server)

4) ตรวจสอบโปรแกรมปองกนไวรส เพอใหทางานในลกษณะ Real time scan เมอมการเปดไฟลขนมาใชงาน โปรแกรมปองกนไวรสจะทาการสแกนทนท

10. นโยบายการจดการกบเหตการณดานความมนคงปลอดภย วตถประสงค

เพอใหมการรายงานเหตการณทเกยวของกบความมนคงปลอดภยและบรหารจดการรวมทงดาเนนการแกไขไดอยางเหมาะสม ไดผลและทนการณ

เพอนาผลทไดไปปรบปรงการบรหารจดการความมนคงปลอดภยใหดยงขน

37


อางองมาตรฐาน หมวดท 6 การบรหารจดการดานการสอสารและการดาเนนงานของเครอขายสารสนเทศขององคกร หมวดท 9 การบรหารจดการเหตการณทเกยวของกบความมนคงปลอดภยขององคกร

ขอปฏบต 1) เมอไดรบรายงานเหตการณเกยวกบโปรแกรมไมพงประสงคจากผใชงาน ใหปฏบตตาม ขนตอนปฏบต

สาหรบการจดการกบโปรแกรมไมพงประสงค เพอดาเนนการแกไขเหตการณดงกลาว 2) เมอไดรบรายงานเหตการณความมนคงปลอดภยอน ๆ ใหปฏบตตาม ขนตอนปฏบตสาหรบการจดการ

กบเหตการณทเกยวของกบความมนคงปลอดภย เพอดาเนนการแกไขเหตการณดงกลาว

ขนตอนปฏบตสาหรบการจดการกบโปรแกรมไมพงประสงค วตถประสงค

เพอใหมการบรหารจดการปญหาไวรสและดาเนนการแกไขไดอยางเหมาะสม ไดผล และทนการณ ผรบผดชอบ


หมวดท 6 การบรหารจดการดานการสอสารและการดาเนนงานของเครอขายสารสนเทศขององคกร หมวดท 9 การบรหารจดการเหตการณทเกยวของกบความมนคงปลอดภยขององคกร

ขนตอนปฏบต เมอผรบผดชอบไดรบแจงจากผใชงานเกยวกบปญหาไวรส ใหปฏบตตามขนตอนดงตอไปน

1) ดาเนนการตรวจสอบเครองคอมพวเตอรในเบองตน ดวยโปรแกรมปองกนไวรส วาเครองคอมพวเตอรนนตดไวรสหรอไม

2) หากพบวามไวรสใหตดการเชอมตอเครองดงกลาวออกจากระบบเครอขาย เชน ถอนสาย LAN ออก เปนตน

3) หากทราบชอของไวรสนน ใหเขาไปทเวบไซตของผผลตซอฟตแวรปองกนไวรส ทหนวยงานใชงาน เพอศกษาขอมลวธการแกไข หรอดขอมลเพมเตมจากแหลงขอมลทนาเชอถอรวมทงใหทาการ Download เครองมอหรอทล (Tool) ตาง ๆ ทจาเปนสาหรบการแกไข

4) ศกษาและวเคราะหการทางานของไวรสนน เชนมโปรเซส (Process) แปลกปลอมอะไรบางททางานอย หรอมไฟลแปลกปลอมอะไรเพมเตมบาง เปนตน

5) ตรวจสอบวามไฟลใดบางในเครองทไดรบความเสยหาย เพอเตรยมการตดตงและกคนไฟลดงกลาว 6) ในกรณทม Process แปลกปลอมทางานอยใหหยดการทางาน Process นน 7) ตดตงโปรแกรมแกไขชองโหวตามคาแนะนาของผผลตซอฟตแวรปองกนไวรส 8) ใชเครองมอฟกทล (Fix Tool) ตามคาแนะนาของผผลตซอฟตแวรปองกนไวรส เพอทาการแกไขเครอง 9) สาหรบไฟลทเสยหาย ใหนาขอมลทสารองไวมาตดตงกลบคน 10) หาก Process ทไดหยดการทางานไวนน มความจาเปนตองใชงาน ใหเปดการทางาน Process นนมา

อกครง เมอไดรบการแกไขปญหา

38

11) เชอมโยงเครองคอมพวเตอรทไดรบการแกไขแลว กลบคนสเครอขายเพอใหใชงานไดตามปกต 12) แจงใหผทเกยวของทราบถงการแกไขปญหาทไดดาเนนการไป รวมทงใหคาแนะนาในการระมดระวง

และปองกนไวรส

ขนตอนปฏบตสาหรบการจดการกบเหตการณดานความมนคงปลอดภย วตถประสงค

เพอใหมการบรหารจดการเหตการณทเกยวของกบความมนคงปลอดภยของหนวยงาน ผรบผดชอบ


หมวดท 9 การบรหารจดการเหตการณทเกยวของกบความมนคงปลอดภยขององคกร

ขนตอนปฏบต เมอไดรบแจงจากผใชงานเกยวกบเหตการณทางดานความมนคงปลอดภย ใหปฏบตตามขนตอนดงน

1) ประเมนผลกระทบของเหตการณทเกดขน โดยอางองตามเกณฑของแผนบรหารความเสยงดานเทคโนโลยสารสนเทศและการสอสาร ของกรมการคาภายใน

2) แจงใหผบงคบบญชาตามลาดบชนไดรบทราบ เฉพาะกรณทเหตการณนนมผลกระทบตงแตระดบปานกลาง (Medium) ขนไป

3) ดาเนนการตามความจาเปน ตามประเภทของเหตการณดงน 3.1) สาหรบเหตการณดานระบบถกบกรกหรอโจมต ใหปรกษากบผใหบรการภายนอก เพอ

วเคราะหเหตการณและดาเนนการแกไข 3.2) สาหรบเหตการณหนาเวบไซตหลกของหนวยงานถกเปลยน ใหรายงานผบงคบบญชาของผดแล

ระบบ เพอขอความเหนในการดาเนนการ รวมทงอาจปรกษากบผใหบรการภายนอก เพอวเคราะหและดาเนนการแกไข

3.3) สาหรบเหตการณบกรกทางกายภาพของหอง Data Center ใหรายงานผบงคบบญชาของผดแลระบบ เพอขอความเหนในการดาเนนการแกไข

3.4) สาหรบซอฟตแวรมจดออนทางานผดปกต ใหรายงานผบงคบบญชาของผพฒนาระบบและ/หรอผดแลระบบ เพอขอความเหนในการดาเนนการแกไข

3.5) สาหรบเหตการณการไมปฏบตตามนโยบายความมนคงปลอดภย ใหรายงานผบงคบบญชา เพอขอความเหนในการดาเนนการแกไข

3.6) สาหรบเหตการณอน ๆ ใหรายงานผบงคบบญชา เพอขอความเหนในการดาเนนการแกไข 4) บนทกขอมลทเกยวของกบเหตการณดงกลาวในแบบรายงานเหตการณทางดานความมนคงปลอดภย 5) ทารายงานสรปสาหรบเหตการณทมผลกระทบตงแตระดบปานกลาง (Medium) ขนไปและแจงเวยนให

ผทเกยวของไดรบทราบ

39

11. นโยบายการจดการความมนคงปลอดภยสาหรบระบบและเครอขาย วตถประสงค

เพอใหระบบและเครอขายมความมนคงปลอดภย มเสถยรภาพและความนาเชอถอสง และมความปลอดภยจากการถกเขาถงขอมลหรอระบบโดยไมไดรบอนญาต

เพอควบคมการเขาถงระบบบนเครอขายใหเปนไปตามนโยบายควบคมการเขาถง เพอลดความผดพลาดในการเปลยนแปลงระบบซงอาจสงผลใหระบบหยดชะงกการทางานหรอไม

สามารถใหบรการได เพอใหการปฏบตทมการสอดคลองกบกฎหมาย พ.ร.บ. หรอขอบงคบภายนอกอน ๆ ทไดกาหนดไว


อางองมาตรฐาน หมวดท 6 การบรหารจดการดานการสอสารและการดาเนนงานของเครอขายสารสนเทศขององคกร หมวดท 7 การควบคมการเขาถง หมวดท 11 การปฏบตตามขอกาหนด

ขอปฏบต 1) จดทาและปรบปรงเครองคอมพวเตอรแมขายพรอกซ (Proxy) เพอชวยลดปรมาณขอมลในเครอขาย 2) จากดการเขาถงระบบและอปกรณเครอขายสาคญเพอใหการเขาถงนนจะตองมาจากอปกรณ ระบบหรอ

สถานททไดรบอนญาตแลวเทานน 3) ตรวจสอบและปดพอรต (Port) ของระบบหรออปกรณทไมมความจาเปนในการใชงานอยางสมาเสมอ 4) ปรบปรงผงเครอขายและการระบอปกรณบนระบบเครอขายใหมความทนสมยอยเสมอ อยางนอยปละ

1 ครง โดยใชเลขทอยไอพ และชอโฮสต (Hostname) ในการระบอปกรณบนระบบเครอขาย (equipment identification in networks)

5) จดทาและปรบปรงระบบสาหรบการพสจนตวตนกอนเขาใชระบบสาคญตาง ๆ เพอใหมความมนคงปลอดภยมากขน โดยมขอมลของชอผใชงาน ชอ-สกลของผใชงาน หนวยงานหรอบรษททสงกด และสทธการใชงาน และมการบนทกลงขอมลลอก (Event Log) เพอใหสามารถตรวจสอบยอนหลงได

6) ตรวจสอบและจดแบงเครอขายของหนวยงานใหมความมนคงปลอดภยโดยแบงเครอขายแยกตามสานก/กองของกรมการคาภายใน

7) ตรวจสอบและจากดการเชอมตอทางเครอขายโดยผานทางอปกรณเครอขายเพอใหเปนไปตามนโยบายการควบคมการเขาถงของหนวยงาน

8) ตรวจสอบและกาหนดเสนทางบนเครอขายใหเหมาะสมโดยอปกรณทางเครอขาย เพอควบคมการเชอมตอทางเครอขายใหเปนไปตามนโยบายควบคมการเขาถง

9) เฝาระวง ตดตาม และตรวจสอบการทางานของระบบหรออปกรณตาง ๆ อยางสมาเสมอ เพอปองกนกจกรรมทไมไดรบอนญาตหรอการเขาถงโดยไมไดรบอนญาต

10) ตรวจสอบและตงเวลาของระบบหรออปกรณตาง ๆ ใหถกตองตามเวลามาตรฐานสากล (Stratum 0) 11) กรอกแบบคาขอเพอขออนมตดาเนนการเปลยนแปลงโครงสรางพนฐานสารสนเทศตาง ๆ และปฏบต

ตามขนตอนปฏบตสาหรบควบคมการเปลยนแปลงโครงสรางพนฐานสารสนเทศทไดกาหนดไว

40

12) หามเปดชองทางการเชอมตอทางเครอขายจากภายนอกเขาสเครอขายภายในหนวยงาน เพอใหสามารถเขาถงเครองคอมพวเตอรแมขายสาหรบระบบงานไดจากระยะไกล ยกเวนในกรณทมความจาเปน หรอมความเรงดวนสง ซงจะตองไดรบอนมตจากผมบงคบบญชากอนการดาเนนการ รวมทงตองใชวธการทมความปลอดภยทเปนมาตรฐานสาหรบการเชอมตอจากระยะไกลทหนวยงานกาหนดไว หลงจากทสนสดการใชงาน ใหทาการปดชองทางการเชอมตอนนโดยทนท

13) การเชอมตอทางเครอขายจากภายนอกเขาสเครอขายภายในหนวยงาน เพอใหสามารถเขาถงเครองคอมพวเตอรแมขายสาหรบระบบงานไดจากระยะไกล จาเปนตองมการลอกอน (Log in) เพอตรวจสอบความถกตองของผใชงานกอน โดยระบบจะตรวจสอบชอผใชงานกบขอมลทมอยในระบบ วาเปนผใชงานใด และมสทธในการเขาถงหรอไม จงจะอนญาตใหผใชงานทอยภายนอกองคกรสามารถเขาใชงานเครอขายและระบบสารสนเทศขององคกรได และทาการบนทกลงขอมลลอก (Event Log)

ขนตอนปฏบตสาหรบควบคมการเปลยนแปลงโครงสรางพนฐานสารสนเทศ วตถประสงค

เพอลดความผดพลาดในการดาเนนการเปลยนแปลงตอโครงสรางพนฐานสารสนเทศ ซงอาจสงผลใหระบบเสยหาย ทางานผดปกต หยดชะงกการทางาน หรอไมสามารถใหบรการได

ผรบผดชอบ ผบงคบบญชาของผดแลระบบและ/หรอผพฒนาระบบ


ขนตอนปฏบต 1) หารอกบผดแลระบบและ/หรอผพฒนาระบบ เกยวกบการตดตงหรอปรบปรงโครงสรางพนฐานดงกลาว 2) จดหมวดหมของการเปลยนแปลงนนวาเปนการเปลยนแปลงชนดใด ซงประกอบดวย

2.1) การเปลยนแปลงทเกยวของกบระบบงาน 2.2) การเปลยนแปลงกบอปกรณเครอขาย (เชน กาแพงไฟ (Firewall) เราทเตอร (Router) ระบบ

ปองกนการบกรก เปนตน) 3) ประเมนผลกระทบของการเปลยนแปลงนนวามผลกระทบมาก (Major) หรอนอย (Minor) ในกรณท

เปนการเปลยนแปลงดงน ใหพจารณาวามผลกระทบมาก 3.1) ตดตง/ปรบปรงฮารดแวรของระบบงานสาคญ 3.2) ตดตง/ปรบปรงซอฟตแวรตาง ๆ บนระบบงานสาคญ ซงรวมถงระบบปฏบตการ ระบบบรหาร

จดการฐานขอมล การตดตงโปรแกรมแกไขชองโหว 3.3) ตดตงระบบงานสาคญ 3.4) ปรบปรงโครงสรางของฐานขอมลของระบบงานสาคญ 3.5) ตดตง/ปรบปรงกาแพงไฟ (Firewall) เราทเตอร (Router) หรอระบบปองกนการบกรก

สาหรบการเปลยนแปลงอน ๆ ใหพจารณาผลกระทบเปนกรณไป โดยใชเกณฑดงน 3.6) การเปลยนแปลงทมขนตอนการดาเนนการทมากหรอซบซอน หรอใชเวลาเกนกวา 3 ชวโมง

หรอมผลกระทบกบผใชงานเปนจานวนมาก ใหพจารณาวามผลกระทบมาก 3.7) กรณอน ๆ ใหพจารณาวามผลกระทบนอย

สาหรบการเปลยนแปลงทมผลกระทบมากตองใหผขอเปลยนแปลงจดทาแผนการถอยหลงกลบ (ในกรณ

41

ททาไมสาเรจ จะไดกลบไปใชเวอรชน (Version) กอนการเปลยนแปลงได) 4) ประเมนความเรงดวนวามความเรงดวน (Urgent) หรอปกต (Normal) โดยใชเกณฑดงน

4.1) หากเปนการเปลยนแปลงทตองดาเนนการภายใน 2 วนทาการ ซงรวมถงการเปลยนแปลงทตองทาอยางฉกเฉน เชน อปกรณ/เครองคอมพวเตอรแมขายสาคญเสย ใหพจารณาวามความเรงดวน

4.2) หากสามารถดาเนนการไดหลงจาก 2 วนทาการ ใหพจารณาวาปกต 5) ในกรณทเปนการเปลยนแปลงเรงดวน ใหผขอเปลยนแปลงแจงผบงคบบญชาของผดแลระบบกอนเขา

ไปทาการเปลยนแปลง หลงจากนนจงทาเอกสารขออนมตทาการเปลยนแปลงเขามาในภายหลง 6) อนมตการขอดาเนนการนน 7) จดลาดบความสาคญวาการขออนมตใดทตองทากอนหลงเรยงตามลาดบ 8) จดใหผขอเปลยนแปลงวางแผนดาเนนการเปลยนแปลงนน 9) บนทกขอมลขางตนทงหมดลงในแบบคาขออนมตเปลยนแปลง

โครงสรางพนฐานสารสนเทศทควบคม โครงสรางพนฐานสารสนเทศท ตองควบคมเมอจะดาเนนการตดตง เปลยนแปลง แกไข หรอปรบปรง ประกอบดวย

1) ระบบงานสาคญทงหมด 2) ฮารดแวร (Hardware) ของระบบงานสาคญ 3) ซอฟตแวร (Software) ตาง ๆ บนระบบงานสาคญ ซงรวมถงระบบปฏบตการ ระบบบรหารจดการ

ฐานขอมล การตดตงโปรแกรมแกไขชองโหว 4) ฐานขอมลของระบบงานสาคญ 5) ระบบเครอขาย (Network) 6) กาแพงไฟ (Firewall) เราทเตอร (Router) 7) ระบบปองกนการบกรก

12. นโยบายการจดการทรพยากรของระบบ วตถประสงค

เพอใหระบบงานหรออปกรณมทรพยากรทเพยงพอตอการใหบรการอยางตอเนอง เพอใหระบบงานหรออปกรณทางานอยางรวดเรวและมประสทธภาพเพยงพอ

ผรบผดชอบ ผบงคบบญชาของผดแลระบบและ/หรอผพฒนาระบบ ผดแลระบบและ/หรอผพฒนาระบบ


ขอปฏบต 1) จดทาแผนการตรวจสอบและตดตามทรพยากรของระบบ ดงน

1.1) กาหนดประเภทของขอมลทใชในการตรวจสอบและตดตามการใชทรพยากรของระบบ เชน รอยละของการใชซพย รอยละของการใชหนวยความจา รอยละของการใชพนทฮารดดสก และรอยละของปรมาณการใชเครอขาย เปนตน

42

1.2) กาหนดคาปรมาณการใชทรพยากรสงสดบนระบบทยอมรบได 1.3) กาหนดความถในการเขาตรวจสอบปรมาณการใชทรพยากรของระบบ (สาหรบระบบทมความถในการตรวจสอบจากสงไปตา เชน ระบบทมความสาคญมากควรมความถในการตรวจสอบสงกวาระบบทมความสาคญปานกลางและนอย เปนตน)

2) ตดตามและตรวจสอบทรพยากรของระบบตามแผนฯ ทไดกาหนดไวเพอดวายงมทรพยากรเพยงพอตอการใหบรการหรอไม รวมทงบนทกขอมลผลการตดตามนนไวดวย

3) รายงานขอมลผลการตดตามการใชทรพยากรของระบบ (เชน สถตปรมาณการใชซพย หนวยความจาฮารดดสก และปรมาณเครอขาย) ใหผบงคบบญชาไดรบทราบอยางสมาเสมอ

4) ประเมนความตองการทรพยากรของระบบทตองการเพมเตมเพอนาไปใชในการวางแผนปรบปรงประสทธภาพและขดความสามารถของระบบตอไป

13. นโยบายการแลกเปลยนสารสนเทศระหวางหนวยงาน วตถประสงค

เพอใหขอมลทแลกเปลยนกนมความมนคงปลอดภย ถกตอง เชอถอได รวมทงปองกนความเสยหายและการเขาถงโดยไมไดรบอนญาต

ผรบผดชอบ ผบรหารสงสด


ขอปฏบต 1) จดทามาตรการปองกนขอมลสาคญทมการแลกเปลยนกนระหวางหนวยงานอยางเปนทางการโดย

กลาวถงประเดนสาคญดงน 1.1) ขอบเขตของการปองกน 1.2) วตถประสงคในการปองกน 1.3) ความจาเปนในการปองกน 1.4) ชนดของขอมลทแลกเปลยนกนและชนความลบ เปนตน

14. นโยบายการสารองและทดสอบกคนขอมล วตถประสงค

เพอใหมขอมลสารองไวใชสาหรบระบบตาง ๆ ในกรณขอมลหลกเกดความเสยหายหรอไมสามารถใชงานหรอเขาถงได

เพอใหมนใจไดวาขอมลทสารองไวสาหรบระบบเหลานนสามารถใชงานไดจรง ผรบผดชอบ

ผบงคบบญชาของผดแลระบบ อางองมาตรฐาน

หมวดท 6 การบรหารจดการดานการสอสารและการดาเนนงานของเครอขายสารสนเทศขององคกร ขอปฏบต

1) กาหนดระบบทมความสาคญ 2) กาหนดผรบผดชอบในการสารองขอมล

43

3) กาหนดชนดของขอมลของระบบเหลานนทมความจาเปนตองสารองขอมลเกบไว อยางนอยตองประกอบดวย 3.1) ขอมลการตงคา (Configuration) สาหรบระบบ 3.2) ขอมลคมอการปฏบตงานสาหรบระบบ 3.3) ขอมลในฐานขอมลของระบบงาน (กรณทเปนระบบงาน) 3.4) ขอมลซอฟตแวร เชน ซอฟตแวรระบบปฏบตการ ซอฟตแวรระบบงานและซอฟตแวรอน ๆ

เปนตน 4) กาหนดความถในการสารองขอมลสาหรบระบบเหลานน (ระบบทมการเปลยนแปลงขอมลบอยควรม

ความถในการสารองขอมลสง) 5) จดทาหรอปรบปรงขนตอนปฏบตในการสารองและกคนขอมล โดยใหมการปฏบตตามแนวทางปฏบต

สาหรบการสารองและทดสอบกคนขอมล

แนวทางปฏบตสาหรบการสารองและทดสอบกคนขอมล วตถประสงค

เพอใหมการปฏบตเพอสารองขอมลของระบบตาง ๆ รวมทงทดสอบขอมลทสารองไวนนอยางสมาเสมอ ผรบผดชอบ


หมวดท 6 การบรหารจดการดานการสอสารและการดาเนนงานของเครอขายสารสนเทศขององคกร แนวทางปฏบต

1) สารองขอมลตามความถทกาหนดไว 2) ตรวจสอบวาการสารองทเกดขนนนสาเรจครบถวนหรอไม หากไมสาเรจ ใหหาสาเหต ดาเนนการแกไข

และดาเนนการใหมอกครงหนง 3) นาขอมลทสารองไวนนไปเกบไวทงในและนอกสถานทอยางนอยอยางละ 1 ชด 4) ทดสอบกคนขอมลทสารองเกบไวอยางสมาเสมออยางนอยปละ 2 ครง เพอดวาขอมลยงคงสามารถใช

งานไดตามปกตหรอไม

15. นโยบายการสรางความมนคงปลอดภยทางกายภาพสาหรบพนททตองการรกษาความมนคงปลอดภย วตถประสงค

เพอควบคมและจากดการเขาถงทางกายภาพสาหรบพนททมความสาคญ เพอปองกนสนทรพยในพนททมความสาคญไมใหเกดความเสยหาย ถกเขาถงโดยไมไดรบอนญาตหรอ

ถกขโมย ผรบผดชอบ

ผดแลระบบและ/หรอผพฒนาระบบ อางองมาตรฐาน

หมวดท 5 การสรางความมนคงปลอดภยทางกายภาพและสงแวดลอม ขอปฏบต

1) หามนาบคคลภายนอกเขาไปในหอง Data Center โดยไมมกจทจาเปน 2) ใหเปลยนรองเทาทเตรยมไวหนาหองกองเขาหอง Data Center

44

3) หามนาอาหาร และเครองดมเขาไปในบรเวณหอง Data Center 4) สารวจและตดตงกลองโทรทศนวงจรปด (CCTV) เพมเตมความจาเปน เชน ในกรณทเปนมมอบรวมทง

ตรวจสอบการทางานของกลองใหมการทางานอยางถกตอง ตอเนองและใหสามารถเกบภาพไดในมมกวาง และไมมสงกดขวาง

5) บนทกและจดเกบภาพของกลองโทรทศนวงจรปดตามความจาเปน (เชน เกบไวอยางนอย 1 เดอน) เพอใชในการตรวจสอบในภายหลง

6) ตรวจสอบประตทางเขา-ออกและหนาตางของหอง Data Center ใหปดลอก (Lock) อยเสมอ 7) ผใหบรการภายนอกจะตองระมดระวง สอดสองและดแลสนทรพยสารสนเทศทไดรบมอบ เพอใชงาน

จนกระทงเสรจสนงาน 8) ตรวจสอบ และปรบปรงขอมลรายชอผมสทธเขา-ออกหอง Data Center ใหมความถกตอง และ

ทนสมยอยางนอยปละ 1 ครง 9) ตรวจสอบหองต Data Center สายสญญาณสอสารใหมการปดลอก (Lock) อยเสมอ 10) ตรวจสอบต Rack คอมพวเตอรใหมการลอก (Lock) อยเสมอ 11) ใหดแลความสะอาด และความเปนระเบยบเรยบรอยของหอง Data Centerอยางสมาเสมอ 12) จดทาและปรบปรงผงพนทหอง Data Center ใหทนสมย อยางนอยปละ 1 ครง

16. นโยบายการปองกนภยคกคามทางดานสงแวดลอม

วตถประสงค เพอปองกนภยคกคามทางดานสงแวดลอม เชน ไฟไหม นาทวม หรออน ๆ ซงอาจเปนผลใหเกดความ

เสยหายตอสนทรพยสารสนเทศของหนวยงาน ผรบผดชอบ

ผบงคบบญชา อางองมาตรฐาน

หมวดท 5 การสรางความมนคงปลอดภยทางกายภาพและสงแวดลอม ขอปฏบต

1) ตรวจสอบการทางานของอปกรณดบเพลงอยางนอยปละ 1 ครง วายงใชงานไดเปนปกตหรอไม 2) ตรวจสอบการทางานของอปกรณตรวจนารวซมอยางนอยปละ 1 ครง วายงใชงานไดเปนปกตหรอไม 3) ประเมนสภาพแวดลอมของหอง Data Centerอยางนอยปละ 1 ครง และปรบปรงตามความจาเปน

17. นโยบายการปองกนระบบ อปกรณและสายสญญาณตาง ๆ วตถประสงค

เพอปองกนระบบอปกรณ และสายสญญาณตาง ๆ ใหมความปลอดภยและสามารถทางานไดอยางตอเนองไมตดขด


45

อางองมาตรฐาน หมวดท 5 การสรางความมนคงปลอดภยทางกายภาพและสงแวดลอม

ขอปฏบต 1) การจดวางเครองคอมพวเตอร อปกรณสอสาร หรอสนทรพยอน ๆ ไวในบรเวณทมความปลอดภย

ระมดระวงการจดตงอปกรณใหอยในสภาพทมนคง และไมลม หรอโอนเอยงไดโดยงาย 2) ตรวจสอบและบารงรกษาเครองคอมพวเตอรแมขาย อปกรณเครอขาย หรอสนทรพยอน ๆ ทม

ความสาคญอยางสมาเสมอ 3) จดทาหรอตอสญญาการบารงรกษาหอง Data Center เครองคอมพวเตอรแมขาย อปกรณสารองไฟฟา

(UPS) เครองปรบอากาศและอปกรณเครอขายทมความสาคญใหครบถวน 4) จดใหระบบงาน เครองคอมพวเตอรแมขายและอปกรณทมความสาคญตองมระบบกระแสไฟฟาสารอง

สนบสนนการทางานอยางครบถวน 5) ในการเดนสายสญญาณสอสารแบบถาวร ตองเดนสายอยางเปนระเบยบเรยบรอยไมเกะกะ ขวางทาง

และมการรอยสายเขาไปในทอเพอปองกนความเสยหาย 6) ตรวจสอบและจดเกบสายสญญาณสอสารใหอยในสภาพทเปนระเบยบเรยบรอย พรอมทงจดทาปาย

กากบ (Label) ของสายสญญาณเหลานนใหครบถวน 7) ตรวจสอบสภาพการทางานของอปกรณสนบสนนการทางานของระบบคอมพวเตอร ใหอยในสภาพ

พรอมใชงานอยเสมอ ไดแก 7.1) ระบบกระแสไฟฟา 7.2) ระบบการควบคมความชน 7.3) ระบบการระบายอากาศ 7.4) ระบบการปรบอณหภม 7.5) ระบบกระแสไฟฟาสารอง 7.6) ระบบสารองไฟฟา (UPS) เปนตน

18. นโยบายการตรวจสอบขอมลลอกและการดาเนนการแกไข วตถประสงค

เพอตรวจจบ ปองกน และแกไขกจกรรมการประมวลผลของระบบททางานผดปกตหรอไมถกตอง เกดความผดพลาดในระหวางททางาน มลกษณะเปนการเขาถงระบบโดยไมไดรบอนญาต หรอมลกษณะเปนการโจมตหรอบกรกระบบ ซงอาจทาใหระบบเกดความเสยหายหรอไมสามารถใหบรการได

เพอใหมการดาเนนการจดการ แกไข หรอปองกนทเกยวของกบเหตการณทเกดขนนนอยางทนการณและไดผล



ขอปฏบต 1) กาหนดแผนการตรวจสอบขอมลลอกบนระบบ เครองคอมพวเตอรแมขาย และอปกรณเครอขายทม

ความสาคญ ประกอบดวย - เหตการณทตองตรวจสอบ

46

- ความถในการตรวจสอบ เชน รายวน สปดาห - ชอไฟลทมขอมลลอกทเกยวของกบเหตการณ - ระยะเวลาในการจดเกบไฟลทมขอมลลอก - ผรบผดชอบดาเนนการตรวจสอบ

2) ดาเนนการตรวจสอบเหตการณตาง ๆ ในขอมลลอกตามแผนและความถทกาหนดไว 3) ดาเนนการจดการหรอแกไขเหตการณทพบนนตามความเหมาะสม บนทกเหตการณและวธการจดการ

หรอแกไข และรายงานใหผบงคบบญชาไดรบทราบสาหรบกรณทเหตการณทพบมผลกระทบสง 4) ทบทวนและปรบปรงแผนการตรวจสอบขอมลลอกตามความจาเปนอยางนอยปละ 1 ครง

19. นโยบายการจดเกบขอมลจราจรทางคอมพวเตอร (Traffic Log) ตาม พ.ร.บ. วาดวยการกระทาความผดเกยวกบคอมพวเตอร ป 2550

วตถประสงค เพอใหมการปฏบตทสอดคลองกบกฎหมาย พ.ร.บ. หรอขอบงคบภายนอกอน ๆ ทไดกาหนดไว เพอจากดการเขาถงขอมลจราจรทางคอมพวเตอร (Traffic Log) โดยผทรบผดชอบเทานน


อางองมาตรฐาน หมวดท 6 การบรหารจดการดานการสอสารและการดาเนนงานของเครอขายสารสนเทศขององคกร หมวดท 11 การปฏบตตามขอกาหนด

ขอปฏบต 1) จดเกบและสารองขอมลจราจรทางคอมพวเตอร ของระบบดงตอไปนอยางนอยเปนระยะเวลา 90 วน

ชนดของระบบ ขอมลจราจรฯ ทตองเกบ FTP Server ขอมลจราจรฯ ทเกดจากการโอนยายไฟล Mail Server ขอมลจราจรฯ ทเกดจากการรบสงอ-เมล Firewall/ Proxy/ Gateway ขอมลเลขทอยไอพของเครองทงภายในและภายนอกทมการ

เชอมตอกบเครอขายของหนวยงาน Active Directory ขอมลจราจรฯ การพสจนตวตนของผใชงาน Web Server ขอมลจราจรฯ การเขาถงเวบเซรฟเวอร Web Application ซงรวมถง webboard ขอมลจราจรฯ การพสจนตวตนของผใชงาน

2) จากดการเขาถงขอมลจราจรทางคอมพวเตอรดงกลาวโดยกาหนดสทธใหเฉพาะผดแลระบบทเกยวของเทานนทสามารถเขาถงได

20. นโยบายการสรางความตอเนองในการดาเนนงานสาหรบกระบวนการทางธรกจสาคญ วตถประสงค

เพอใหมการบรหารจดการเพอสรางความตอเนองใหกบกระบวนการทางธรกจสาคญของหนวยงาน เมอมเหตการณททาใหเกดการหยดชะงกหรอตดขดตอกระบวนการดงกลาว

47

ผรบผดชอบ เจาของกระบวนการทางธรกจสาคญและ/หรอ ผบงคบบญชา

อางองมาตรฐาน หมวดท 10 การบรหารความตอเนองในการดาเนนงานขององคกร หมวดท 11 การปฏบตตามขอกาหนด

ขอปฏบต 1) กาหนดกระบวนการทางธรกจสาคญและระบบซงสนบสนนกระบวนการดงกลาว 2) ประเมนผลกระทบกรณกระบวนการทางธรกจสาคญและ/หรอ ระบบสนบสนนเกดการหยดชะงก

หรอไมสามารถใหบรการได (ดการประเมนผลกระทบใน นโยบายการวางแผนเตรยมการสภาพความพรอมใชของระบบงาน)

3) ประเมนความเสยงกาหนดแผนการลดความเสยงสาหรบกระบวนการทางธรกจสาคญและ/หรอระบบสนบสนน

4) ดาเนนการเตรยมการลวงหนาทจาเปนสาหรบการสรางความตอเนองใหกบกระบวนการทางธรกจสาคญ (โดยปฏบตตาม นโยบายการเตรยมการลวงหนาทจาเปนสาหรบการสรางความตอเนองในการดาเนนงาน)

5) ดาเนนการเตรยมการลวงหนาทจาเปนสาหรบการกคนระบบสนบสนน (โดยปฏบตตาม นโยบายการเตรยมการลวงหนาทจาเปนสาหรบการกคนระบบเทคโนโลยสารสนเทศ)

6) จดทาแผนสรางความตอเนองในการดาเนนงานสาหรบกระบวนการทางธรกจสาคญ (โดยปฏบตตาม แนวทางปฏบตในการจดทาแผนสรางความตอเนองในการดาเนนงาน)

7) จดทาแผนกคนระบบสนบสนน (โดยปฏบตตามแนวทางปฏบตในการจดทาแผนกคนระบบเทคโนโลยสารสนเทศ)

8) ใหความรแกผทเกยวของทงหมด (ซงรวมถงทมสรางความตอเนองในการดาเนนงาน ทมกคนระบบ และผใหบรการภายนอก) และสรางความตระหนกแกผใชงานเพอใหคนเคยกบการสรางความตอเนองในการดาเนนงานเขาใจในบทบาทและหนาทความรบผดชอบของตนเอง รวมทงสามารถปฏบตไดอยางถกตอง

9) ทบทวนและตรวจสอบรายละเอยดของแผนสรางความตอเนองในการดาเนนงาน และแผนกคนระบบสนบสนนโดยผตรวจสอบภายใน เพอนาไปสการปรบปรงใหดยงขนอยางนอยปละ 1 ครง

10) จดทาแผนการทดสอบ (การสรางความตอเนองในการดาเนนงานและการกคนระบบ) กาหนดสถานการณการทดสอบ ดาเนนการทดสอบตามแผนการทดสอบ บนทกผลการทดสอบ สรปผลและขอเสนอแนะและนาเสนอตอผบรหารระดบสงเพอพจารณาและใหขอคดเหนในการปรบปรงตามความจาเปน

11) ทบทวนการดาเนนการในทกรายการขางตนอยางสมาเสมออยางนอยปละ 1 ครง

21. นโยบายการเตรยมการลวงหนาทจาเปนสาหรบการสรางความตอเนองในการดาเนนงาน วตถประสงค

เพอใหมการเตรยมการลวงหนาตางๆ ทจาเปนสาหรบการสรางความตอเนองใหกบกระบวนการทางธรกจสาคญของ กรมการคาภายใน คอเมอมเหตการณททาใหเกดการหยดชะงกหรอตดขดตอกระบวนการดงกลาว กระบวนการสามารถฟนกลบคนมาใหบรการไดภายในระยะเวลาทเหมาะสม


48


ขอปฏบต สาหรบกระบวนการทางธรกจสาคญกระบวนการหนง ผรบผดชอบ ปฏบตดงน

1) กาหนดรายละเอยดพนฐานของกระบวนการทางธรกจสาคญ 2) กาหนดสถานทสารองทใชในการปฏบตงานของผปฏบตงานสาหรบกระบวนการทางธรกจสาคญ (กรณ

สานกงานปจจบนไมสามารถใชงานได) 3) กาหนดขนตอนของกระบวนการทางธรกจสาคญ 4) กาหนดเอกสารหรอคมอทจาเปนสาหรบกระบวนการทางธรกจสาคญ 5) กาหนดบคลากรผเปนเจาของ ผปฏบตงาน และผทเกยวของกบกระบวนการทางธรกจสาคญ 6) กาหนดระบบเทคโนโลยสารสนเทศทสนบสนนกระบวนการทางธรกจสาคญ 7) กาหนดขอมลสาคญสาหรบกระบวนการทางธรกจสาคญและการสารองหรอสาเนาขอมล 8) กาหนดสถานทสาหรบจดเกบซอฟตแวร/เฟรมแวรนอกสถานท 9) จดทาสญญาการใหบรการกบผใหบรการภายนอกเพอใหสามารถใหบรการระบบเทคโนโลยสารสนเทศ

สนบสนนกระบวนการทางธรกจสาคญ 10) บนทกขอมลของแตละประเดนในขางตนใหครบถวนสมบรณมากทสด 11) ทบทวนประเดนทงหมดในขางตนอยางนอยปละ 1 ครงและปรบเปลยนใหเหมาะสมตามความจาเปน

แนวทางปฏบตในการจดทาแผนสรางความตอเนองในการดาเนนงาน วตถประสงค

เพอกาหนดแนวทางสาหรบการจดทาแผนสรางความตอเนองใหกบกระบวนการทางธรกจสาคญของ กรมการคาภายใน



ขอปฏบต ในการจดทาแผนสรางความตอเนองสาหรบกระบวรการทางธรกจสาคญของ กรมการคาภายใน อยางนอย ผรบผดชอบ ตองกาหนดรายละเอยดลงในแตละหวขอดงน

1) ลาดบของผมอานาจในการสงการใชแผน 2) โครงสรางของทมสรางความตอเนองในการดาเนนงาน 3) รายชอและขอมลตดตอของทมสรางความตอเนองในการดาเนนงาน 4) การสงการใชแผนสรางความตอเนองในการดาเนนงาน 5) การสงยายสถานทปฏบตงานไปยงสถานทปฏบตงานสารอง 6) การเกบรวบรวมเอกสารและอปกรณทจาเปนเพอนาไปใชงานยงสถานทปฏบตงานสารอง 7) การเตรยมความพรอมสาหรบการเรมปฏบตงาน ณ สถานทสารอง 8) การแจงขอมลเกยวกบเหตการณฉกเฉนใหผทเกยวของกบกระบวนการทางธรกจสาคญไดรบทราบ

49

9) การเรมตนปฏบตงาน ณ สถานทสารอง 10) การกลบคนสสภาวะการทางานตามปกต (ภายหลงจากทไดแกไขสถานการณแลว)

22. นโยบายการเตรยมการลวงหนาทจาเปนสาหรบการกคนระบบเทคโนโลยสารสนเทศ วตถประสงค

เพอใหมการเตรยมการลวงหนาตาง ๆ ทจาเปนสาหรบการกคนระบบเทคโนโลยสารสนเทศ ซงสนบสนนกระบวนการทางธรกจสาคญของ กรมการคาภายใน คอเมอมเหตการณททาใหเกดการหยดชะงกหรอตดขดตอระบบดงกลาว ระบบสามารถกคนกลบมาใหบรการไดภายในระยะเวลาทเหมาะสม

ผรบผดชอบ ผบงคบบญชา


ขอปฏบต 1) กาหนดรายชอของระบบเทคโนโลยสารสนเทศ (ซงสนบสนนกระบวนการทางธรกจสาคญของกรมการ

คาภายใน) ทจาเปนตองเตรยมการการกคนและระยะเวลาเปาหมายในการกคน 2) กาหนดสถานทตงและความตองการพนฐานของศนยคอมพวเตอรสารอง (เพอรองรบระบบเทคโนโลย

สารสนเทศสารอง) 3) กาหนดบคลากรผรบผดชอบการกคนระบบเทคโนโลยสารสนเทศและผใหบรการภายนอกทเกยวของ 4) กาหนดรายละเอยดของระบบเทคโนโลยสารสนเทศทจาเปนตองเตรยมการกคน

4.1) ทศนยคอมพวเตอรหลก 4.1.1) ดานฮารดแวรและซอฟตแวรของระบบงาน 4.1.2) ดานฮารดแวรและเฟรมแวรของระบบเครอขาย

4.2) ทศนยคอมพวเตอรสารอง 4.2.1) ดานฮารดแวรและซอฟตแวรของระบบงาน 4.2.2) ดานฮารดแวรและเฟรมแวรของระบบเครอขาย

5) กาหนดขอมลสาคญทจาเปนสาหรบการกคนระบบเทคโนโลยสารสนเทศและการสารองหรอสาเนาขอมล 5.1) ขอมลทอยในรปกระดาษ 5.2) ขอมลทเกยวของกบแตละระบบเทคโนโลยสารเทศ (ในรปแบบอเลกทรอนกส)

6) กาหนดสถานทสาหรบจดเกบซอฟตแวร/เฟรมแวรนอกสถานท 7) จดทาสญญาการใหบรการกบผใหบรการภายนอกเพอใหสามารถบรการระบบเทคโนโลยสารสนเทศได

อยางตอเนองทงศนยคอมพวเตอรหลกและสารอง 8) บนทกขอมลของแตละประเดนในขางตนใหครบถวนสมบรณมากทสด 9) ทบทวนประเดนทงหมดในขางตนอยางนอยปละ 1 ครงและปรบเปลยนใหเหมาะสมตามความจาเปน

50

แนวทางปฏบตในการจดทาแผนกคนระบบเทคโนโลยสารสนเทศ วตถประสงค

เพอกาหนดแนวทางสาหรบการจดทาแผนกคนระบบเทคโนโลยสารสนเทศซงสนบสนนกระบวนการทางธรกจสาคญของ กรมการคาภายใน

ผรบผดชอบ ผบงคบบญชา


ขอปฏบต ในการจดทาแผนกคนระบบเทคโนโลยสารสนเทศซงสนบสนนกระบวนการทางธรกจสาคญของ

กรมการคาภายใน อยางนอยใหผรบผดชอบ กาหนดรายละเอยดลงในแตละหวขอดงน 1) ลาดบของผมอานาจในการสงการใชแผนกคนระบบเทคโนโลยสารสนเทศ 2) โครงสรางของทมกคนระบบเทคโนโลยสารสนเทศ 3) รายชอและขอมลตดตอของทมกคนระบบเทคโนโลยสารสนเทศ 4) การสงการใชแผนกคนระบบเทคโนโลยสารสนเทศ 5) การสงยายสถานทปฏบตงานไปยงศนยคอมพวเตอรสารอง 6) การเกบรวบรวมเอกสารและอปกรณทจาเปนเพอนาไปใชงานยงศนยคอมพวเตอรสารอง 7) การเตรยมความพรอมของศนยคอมพวเตอรสารอง 8) การแจงขอมลเกยวกบเหตการณฉกเฉนใหผใหบรการภายนอกไดรบทราบ 9) การเรมตนปฏบตงาน ณ ศนยคอมพวเตอรสารอง 10) การกลบคนสสภาวะการทางานตามปกต ภายหลงจากทไดแกไขสถานการณแลว

51

สวนท 5 นโยบายการจดการดานบคลากร สาหรบศนยเทคโนโลยสารสนเทศ

1. นโยบายการจดการดานบคลากร วตถประสงค

เพอใหมการกาหนดหนาทความรบผดชอบทชดเจนสาหรบบคลากรทเกยวของกบความมนคงปลอดภยสาหรบสารสนเทศ

เพอใหมการคดเลอกบคลากรดานสารสนเทศทมคณสมบตเหมาะสมเพอมาปฏบตหนาทใหกบหนวยงาน เพอใหมการกาหนดเงอนไขการจางงานบคลากรทรดกมและเปนผลประโยชนตอหนวยงาน เพอใหมการถอดถอนสทธของบคลากรทลาออกหรอยายไปอยแผนกอน รวมทงตรวจสอบสนทรพยของ

หนวยงานทใชงานโดยเจาหนาทนนกอนลาออกไป ผรบผดชอบ

ผอานวยการศนยเทคโนโลยสารสนเทศ อางองมาตรฐาน

หมวดท 4 ความมนคงปลอดภยทเกยวของกบบคลากร ขอปฏบต

1) จดทาและปรบปรงหนาทความรบผดชอบของบคลากรทเกยวของกบความมนคงปลอดภยสาหรบสารสนเทศ

2) จดตงคณะกรรมการเพอคดเลอกบคลากรดานสารสนเทศ 3) มการทาสญญาการจางหรอขอตกลงการจาง สาหรบบคลากรทผานการคดเลอก โดยใหรวมเงอนไขการ

ไมเปดเผยความลบของหนวยงานเปนสวนหนงของสญญาจางหรอขอตกลงการจาง 4) เมอมการลาออกหรอยายแผนกของเจาหนาท ใหฝายบรหารทวไปแจงใหผดแลระบบและ/หรอผพฒนา

ระบบไดรบทราบภายใน 1 สปดาห นบจากมคาสงใหลาออกหรอยายแผนก เพอใหดาเนนการปรบปรงหรอถอดถอนสทธตามความจาเปน

52

สวนท 6 นโยบายการเผยแพรขอมลสสาธารณะ

สาหรบผเปนเจาของหรอรบผดชอบตอขอมลทตองทาการเผยแพรสสาธารณะ 1. นโยบายการนาขอมลเผยแพรสสาธารณะ วตถประสงค

เพอปองกนความผดพลาดของขอมลทจะมการเผยแพรสสาธารณะ ซงอาจจะกอใหเกดความเสยหายตอชอเสยงและภาพลกษณของหนวยงาน

ผรบผดชอบ เจาของขอมลทตองทาการเผยแพรสสาธารณะ


ขอปฏบต 1) ใหผทเปนเจาของขอมลซงตองการนาขอมลนนขนเผยแพรสสาธารณะและผทมหนาทรบผดชอบในการ

นาขอมลขนเผยแพรสสาธารณะ เชน โดยผานทางเวบไซตของหนวยงานจะตองทาการตรวจสอบความถกตองและเหมาะสมของเนอหากอน หากมความผดพลาดเกดขนกบเนอหา จะตองรบผดชอบตอความผดพลาดนน

2) ใหผทมหนาทรบผดชอบในการนาขอมลขนเผยแพรสสาธารณะ เชน โดยผานทางเวบไซตของหนวยงาน จะตองดาเนนการดวยตนเอง หากมการมอบหมายใหผอนดาเนนการแทนตองทาการตรวจสอบความถกตองและเหมาะสมของเนอหาโดยทนท เมอเผยแพรขอมลแลวเสรจ

---------------------------

Documents

ประกาศกรมการค้าภายใน · 2016-07-21 · “ระบบเครือข่าย” หมายความว่า ระบบการสื่อสารที่เป็นการเช