Upload
others
View
13
Download
0
Embed Size (px)
Citation preview
นโยบายและแนวปฏบต ในการรกษาความมนคงปลอดภยดานสารสนเทศ
ประจ าป พ.ศ. ๒๕๖๓
ส านกงานคณะกรรมการออยและน าตาลทราย
มนาคม ๒๕๖๓
ร
ประกาศสานกงานคณะกรรมการออยและน าตาลทราย
เรอง นโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ
-----------------------------------------------
อาศยอานาจตามความในมาตรา ๕ แหงพระราชกฤษฎกากาหนดหลกเกณฑและวธการในการทาธรกรรมทางอเลกทรอนกสภาครฐ พ.ศ. ๒๕๔๙ จงออกประกาศไว ดงตอไปน
๑. ประกาศน เรยกวา “ประกาศสานกงานคณะกรรมการออยและน าตาลทราย เรอง นโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ พ.ศ. ๒๕๖๓”
๒. วตถประสงค
๒.๑ เพอใหเกดความเชอมนและมความมนคงปลอดภยในการใชงานดานสารสนเทศ ของสานกงานคณะกรรมการออยและน าตาลทราย ใหดาเนนงานไดอยางม ประสทธภาพ และประสทธผล ๒.๒ เพอเผยแพรใหเจาหนาททกระดบในหนวยงานสงกดสานกงานคณะกรรมการออย และน าตาลทรายไดรบทราบและถอปฏบตตามนโยบายอยางเครงครด ๒.๓ เพอกาหนดมาตรฐาน แนวทางปฏบตและวธการปฏบตใหผบรหาร ผ ใชงาน ผดแลระบบ และบคคลภายนอกทปฏบตงานใหกบสานกงานคณะกรรมการออย และน าตาลทราย ตระหนกถงความสาคญของการรกษาความมนคงปลอดภย ในการใชงานดานสารสนเทศ
๓. แนวนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศของสานกงานคณะกรรมการออยและน าตาลทราย กาหนดประเดนสาคญ ดงตอไปน ๓.๑ คานยาม ๓.๒ การควบคมการเขาถงและการใชงานระบบสารสนเทศ ๓.๒.๑ การเขาถงและควบคมการใชงานระบบสารสนเทศ ๓.๒.๒ การบรหารจดการสทธการเขาถง ๓.๒.๓ การบรหารจดการการเขาถงขอมลตามระดบช นความลบ ๓.๒.๔ การบรหารจดการดานความมนคงปลอดภย ของระบบเครอขาย ๓.๒.๕ การบรหารจดการระบบสารสนเทศ
/๓.๒.๖ การควบคม...
- ๒ – ๓.๒.๖ การควบคมการเข าถ งระบบปฏบตการ โปรแกรมประยกต และ โปรแกรมอรรถประโยชน ๓.๒.๗ การบรหารจดการดานความมนคงปลอดภยระบบเครอขายไรสาย ๓.๒.๘ การรกษาความมนคงปลอดภยของจดหมายอเลกทรอนกส ๓.๒.๙ หนาทความรบผดชอบของผใชงาน ๓.๓ การรกษาความปลอดภยฐานขอมลและสารองขอมล ๓.๓.๑ การสารองขอมลสาคญและการเตรยมรบมอกบเหตฉกเฉน ๓.๓.๒ การบรหารจดการเหตการณดานความมนคงปลอดภย ๓.๔ การตรวจสอบและประเมนความเสยงดานระบบสารสนเทศ ๓.๕ การสรางความตระหนกในเรองการรกษาความปลอดภยมนคงสารสนเทศ
๔. การกาหนดผรบผดชอบ ๔.๑ ก า หนด ให ผ บ ร ห า รส ง ส ด CEO (Chief Executive Officer) ขอ งส าน ก ง าน
คณะกรรมการออยและน าตาลทราย เปนผรบผดชอบตอความเสยง ความเสยหาย หรออนตรายทเกดข นกรณระบบคอมพวเตอรหรอขอมลสารสนเทศเกดความเสยหายหรออนตรายใด ๆ แกองคกรหรอผหนงผใด อนเนองมาจากความบกพรอง ละเลย หรอฝาฝนการปฏบตตามแนวนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ ๔.๒ กาหนดใหผบรหารเทคโนโลยสารสนเทศระดบสง CIO (Chief Information Officer) ของสานกงานคณะกรรมการออยและน าตาลทราย เปนผรบผดชอบในการสงการตามแนวนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศของสานกงานคณะกรรมการออยและน าตาลทราย ๔.๓ กาหนดให หวหนากลมเทคโนโลยสารสนเทศและการสอสาร เปนผรบผดชอบตดตาม กากบ ดแล ควบคม ตรวจสอบ รวมท งใหขอเสนอแนะแกเจาหนาทระดบปฏบตหรอผทไดรบมอบหมาย ๔.๔ เพอใหการปฏบตตามแนวนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศของสานกงานคณะกรรมการออยและน าตาลทรายเปนไปอยางมประสทธภาพ จงไดกาหนดใหกลมเทคโนโลยสารสนเทศและการสอสาร ผดแลระบบ ผรบผดชอบระบบสารสนเทศและผทไดรบมอบหมาย เปนผรบผดชอบดาเนนการใหเปนไปตามประกาศน และใหมการทบทวน ปรบปรง นโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศใหเปนปจจบนอยเสมอ อยางนอยปละ ๑ คร ง และหากมการเปลยนแปลงนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศใหประกาศใหเจาหนาททกระดบในหนวยงานสงกดสานกงานคณะกรรมการออยและน าตาลทรายรบทราบทกคร ง
/๕. เพอใหเกด...
- ๓ –
๕. เพอใหเกดความตระหนกความเขาใจถงภย และผลกระทบทเกดจากการใชงานดานสารสนเทศโดยไมระมดระวงหรอรเทาไมถงการณ ตองสรางความรและความเขาใจใหกบผใชงานของ สานกงานคณะกรรมการออยและน าตาลทราย ดวยวธการ ดงน
๕.๑ จดอบรมใหความรความเขาใจและหนาทความรบผดชอบของผใชงานในเรองการ รกษาความมนคงปลอดภยดานสารสนเทศ (information security awareness training) เพอปองกนการเขาถงจากผทไมไดรบอนญาต ๕.๒ เผยแพรนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ ทางเวบไซตของสานกงานฯ ใหแกผใชงาน และบคคลทวไปสามารถเขาถงได
๖. นโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ จดเปนมาตรฐานดานการรกษาความมนคงปลอดภยของระบบเทคโนโลยสารสนเทศของสานกงานคณะกรรมการออยและน าตาลทราย เพอใชเปนแนวทางในการดาเนนงานดวยวธการทางอเลกทรอนกสใหมความปลอดภยเชอถอไดเปนไปตามกฎหมาย และระเบยบทเกยวของ จงใหใชแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศตามเอกสารแนบทายประกาศน ซงเจาหนาทของสานกงานคณะกรรมการออยและ น าตาลทราย และหนวยงานทเกยวของตองถอปฏบตอยางเครงครด
ท งน ต งแตบดน เปนตนไป
ประกาศ ณ วนท มนาคม พ.ศ. ๒๕๖๓ (นายเอกภทร วงสวรรณ) เลขาธการคณะกรรมการออยและน าตาลทราย
นโยบายและแนวปฏบต ในการรกษาความมนคงปลอดภยดานสารสนเทศ พ.ศ. ๒๕๖๓
สารบญ
เรอง หนา ค ำนยำม 1
นโยบำยในกำรรกษำควำมมนคงปลอดภยดำนสำรสนเทศ ๖
หมวดท ๑ การควบคมการเขาถงและการใชงานระบบสารสนเทศ
สวนท ๑ กำรเขำถงและควบคมกำรใชงำนระบบสำรสนเทศ ๙
สวนท ๒ กำรบรหำรจดกำรสทธกำรเขำถง ๑๓
สวนท ๓ กำรบรหำรจดกำรกำรเขำถงขอมลตำมระดบชนควำมลบ ๑๘
สวนท ๔ กำรบรหำรจดกำรดำนควำมมนคงปลอดภยของระบบเครอขำย ๑๙
สวนท ๕ กำรบรหำรจดกำรระบบสำรสนเทศ ๒๔
สวนท ๖ กำรควบคมกำรเขำถงระบบปฏบตกำร โปรแกรมประยกต และโปรแกรม ๒๗
อรรถประโยชน
สวนท ๗ กำรบรหำรจดกำรดำนควำมมนคงปลอดภยระบบเครอขำยไรสำย ๒๙
สวนท ๘ กำรรกษำควำมมนคงปลอดภยของจดหมำยอเลกทรอนกส ๓๐
สวนท ๙ หนำทควำมรบผดชอบของผใชงำน (User Responsibilities) ๓๑
หมวดท ๒ การจดท าระบบส ารองขอมลและการเตรยมความพรอมกรณฉกเฉน
สวนท ๑ กำรส ำรองขอมลส ำคญและกำรเตรยมรบมอกบเหตฉกเฉน ๓๔
สวนท ๒ กำรบรหำรจดกำรเหตกำรณดำนควำมมนคงปลอดภย ๓๖
หมวดท ๓ การตรวจสอบและประเมนความเสยงดานสารสนเทศ ๓๘
หมวดท ๔ หนาทและความรบผดชอบ ๔๑
ภาคผนวก
ขนตอนกำรลงทะเบยนผใชงำน (User Register) ๔๓
แบบฟอรม “กำรขอใชบรกำรระบบเทคโนโลยสำรสนเทศ” ๔๓
แบบฟอรม “กำรขอใชบรกำรเครอขำยไรสำย” ๔๓
แบบฟอรม “กำรขอใชบรกำรระบบเทคโนโลยสำรสนเทศ” ๔๓
นโยบายและแนวปฏบต ในการรกษาความมนคงปลอดภยดานสารสนเทศ พ.ศ. ๒๕๖๓ ห น า | ๑
ค านยาม
ค านยามในสวนนเปนการใหค าจ ากดความส าหรบศพททใชงานในนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศฉบบน เพอใหมความหมายทชดเจนและเขาใจตรงกน ประกอบดวย
(๑) “สอน.” หมายถง ส านกงานคณะกรรมการออยและน าตาลทราย (๒) “หนวยงาน” หมายถง ส านก/กอง/กลมงาน หรอทเรยกชอเปนอยางอน ในสงกด
ส านกงานคณะกรรมการออยและน าตาลทราย (๓) “กทส.” หมายถง กลมเทคโนโลยสารสนเทศและการสอสาร เปนหนวยงาน
ทใหบรการดานเทคโนโลยสารสนเทศและการสอสาร ใหค าปรกษา พฒนา ปรบปรง ตดตง บ ารงรกษาระบบคอมพวเตอร ระบบชดค าสงโปรแกรม และเครอขายใน สอน.
(๔) “สารสนเทศ” หมายถง ขอเทจจรงทไดจากขอมลน ามาผานการประมวลผลการจด ระเบยบใหขอมล ซงอาจอย ในรปของตวเลข ขอความ หรอ ภาพกราฟกใหเปนระบบทผใชสามารถเขาใจไดงาย และสามารถน าไปใชประโยชนในการบรหาร การวางแผน การตดสนใจ และ
อน ๆ (๕) “ระบบสารสนเทศ” หมายถง ระบบงานทใชจดเกบและประมวลผลขอมลซงท างาน
ประสานกนระหวางฮารดแวร ซอฟตแวร ขอมล ผใชงาน และกระบวนการประมวลผลใหเกดเปนขอมลสารสนเทศทสามารถน าไปใชประโยชนในการ วางแผน การบรหาร การสนบสนนใหการบรการการพฒนาและควบคมการตดตอสอสารได
(๖) “ระบบเครอขาย” หมายถง ระบบทสามารถใชในการตดตอสอสาร หรอการสงขอมล และสารสนเทศ ระหวางระบบเทคโนโลยสารสนเทศตาง ๆ ของสอน. ได เชน ระบบแลน (LAN) ระบบอนทราเนต (Intranet) และระบบอนเทอรเนต (Internet)
(๗) “สนทรพย” หมายถง ทรพยสนหรอสงใดกตามทงทมตวตน และไมมตวตนอนม มลคาหรอคณคาส าหรบ สอน. ไดแก ขอมล ระบบขอมล และสนทรพยดานเทคโนโลยสารสนเทศและการสอสาร อาท บคลากร ฮารดแวร ซอฟตแวร คอมพวเตอร เครองคอมพวเตอรแมขาย ระบบสารสนเทศ ระบบเครอขาย อปกรณระบบเครอขาย เลขไอพ โดเมนเนม รวมถงซอฟตแวรทมลขสทธ หรอสงใดกตามทมคณคาตอหนวยงาน
นโยบายและแนวปฏบต ในการรกษาความมนคงปลอดภยดานสารสนเทศ พ.ศ. ๒๕๖๓ ห น า | ๒
(๘) “ผบรหารสงสด” CEO (Chief Executive Officer) หมายถงเลขาธการคณะกรรมการออยและน าตาลทราย เปนผรบผดชอบ กรณระบบคอมพวเตอรหรอขอมลสารสนเทศเกดความเสยหายหรออนตรายใด ๆ แกองคกรหรอผหนงผใด อนเนองมาจากความบกพรอง ละเลย หรอฝาฝนการปฏบตตามนโยบายและแนวปฏบต ในการรกษาความมนคงปลอดภยดานสารสนเทศ
(๙) “ผบรหารเทคโนโลยสารสนเทศระดบสง” CIO (Chief Information Officer) หมายถง ผทเลขาธการคณะกรรมการออยและน าตาลทราย มอบหมายใหรบผดชอบสงการและก ากบดแล ตดตามการด าเนนงานดานเทคโนโลยสารสนเทศของ สอน.
(๑๐) “ผบรหาร” หมายถง ผเชยวชาญ ผอ านวยการส านก และผอ านวยการศนยสงเสรมอตสาหกรรมออยและน าตาลทรายแตละภมภาค ของ สอน. เปนผมอ านาจสงการตามโครงสรางการแบงสวนราชการ
(๑๑) “หวหนากลม” หมายถง หวหนากลมเทคโนโลยสารสนเทศและการสอสาร รบผดชอบในการก าหนดนโยบาย การควบคมก ากบดแลการใชงานระบบสารสนเทศและระบบเครอขาย
(๑๒) “ผใชงาน” หมายถง บคคลทไดรบอนญาตใหสามารถเขาใชงาน บรหาร หรอดแลรกษาระบบเทคโนโลยสารสนเทศของ สอน. โดยมสทธและหนาทขนอยกบบทบาท ซงก าหนดตามขอ (๑๓) (๑๔) (๑๕) (๑๖) และ (๑๗)
(๑๓) “ผดแลระบบ” หมายถง ผทไดรบมอบหมายจากผบรหารระดบสง หรอ หวหนากลม ใหมหนาทรบผดชอบในการดแลรกษาขอมลสารสนเทศ ระบบสารสนเทศ และระบบเครอขาย ซงสามารถเขาถง และปรบปรงใหระบบสามารถใชงานไดด และมประสทธภาพ
(๑๔) “ผรบผดชอบระบบสารสนเทศ” หมายถง ผทไดรบมอบหมายใหมหนาทดแลระบบงานของ สอน. ในภาพรวม
(๑๕) “เจาหนาท” หมายถง ขาราชการ ลกจางประจ า ลกจางกองทนออยและน าตาลทราย และพนกงานราชการ ของ สอน.
(๑๖) “ผใชงานทเกยวของ” หมายถง บคคล หรอนตบคคลทเปนคสญญาของ สอน. หรอเจาหนาท ทไดรบมอบหมายซงจ าเปนตองใชงานระบบสารสนเทศและระบบเครอขายของ สอน.
(๑๗) “ผใชงานภายนอก” หมายถง บคคล หรอนตบคคลทนอกเหนอจากขอ (๑๕) และ (๑๖) ทมความจ าเปนตองใชงานเครอขายของ สอน.
(๑๘) “ผรบบรการ” หมายถง ประชาชนทวไป นกเรยน นสต นกศกษา
นโยบายและแนวปฏบต ในการรกษาความมนคงปลอดภยดานสารสนเทศ พ.ศ. ๒๕๖๓ ห น า | ๓
(๑๙) “ความมนคงปลอดภยดานสารสนเทศ” หมายถง ความมนคงและความปลอดภยส าหรบระบบเทคโนโลย สารสนเทศและการสอสารของ สอน. โดย ธ ารงไวซงความลบ (Confidentiality) ความถกตองครบถวน ( Integrity) และสภาพพรอมใชงาน (Availability) ของ สารสนเทศ รวมทงคณสมบต อน ไดแกความถกตองแทจรง (Authenticity) ความรบผดชอบ (Accountability) การหาม ปฏเสธความรบผดชอบ (Non-Repudiation) และความนาเชอถอ (Reliability)
(๒๐) “สทธของผใชงาน” หมายถง ระดบชนของการเขาถงขอมลสารสนเทศของเจาหนาทและผใชงานทเกยวของ ไดแก สทธทวไป สทธพเศษ และสทธอนใดทเกยวของกบระบบสารสนเทศของหนวยงาน
(๒๑) “การเขาถงหรอควบคมการใชงานสารสนเทศ” หมายถง การอนญาต การก าหนดสทธ หรอการมอบอ านาจใหผใชงาน เขาถงหรอใชงานระบบเครอขายหรอระบบสารสนเทศ ทงทางอเลกทรอนกสและทายกายภาพ ตลอดจนก าหนดขอปฏบตเกยวกบการเขาถงโดยมชอบ เอาไวดวยกได
(๒๒) “บญชผใชงาน” หมายถง บญชรายชอ (Username) และรหสผาน (Password) ส าหรบเจาหนาท ผใชงานทเกยวของ และผใชงานภายนอก
(๒๓) “Active Directory” หมายถง เครองมอส าหรบใชบรหารจดการ ทมมาพรอมกบระบบปฏบตการ Windows Server ท าหนาทในการเกบและบรหารจดการ บญชผใชงาน กลมผใชงาน สทธในการเขาถง และการก าหนดนโยบายการใชงาน
(๒๔) “สถานการณดานความมนคงปลอดภยทไมพงประสงคหรอไมอาจคาดคด” หมายถงสถานการณซงอาจท าใหระบบขององคกรถกบกรกหรอโจมต และความมนคงปลอดภยถกคกคาม
(๒๕) “จดหมาย อเลกทรอนกส (e-Mail)” หมายถง ระบบทบคคลใชในการรบสงขอความระหวางกน โดยผานเครองคอมพวเตอรและเครอขายทเชอมโยงถงกน ขอมลทสงจะเปนไดทงตวอกษร ภาพถาย ภาพกราฟก ภาพเคลอนไหว ผสงสามารถสงขาวสารไปยงผรบคนเดยว หรอหลายคน ผานโพรโตคอลมาตรฐานทใชในการรบ-สง ขอมล ไดแก SMTP, POP3 และ IMAP เปนตน โดยชอทใช ในการรบสงจดหมายอเลกทรอนกสจะประกอบ ดวย ๒ สวน คอ ชอผใชงาน และชอโดเมน เชน [email protected]
นโยบายและแนวปฏบต ในการรกษาความมนคงปลอดภยดานสารสนเทศ พ.ศ. ๒๕๖๓ ห น า | ๔
(๒๖) “เหตการณดานความมนคงปลอดภย” หมายถง กรณทระบการเกดเหตการณ สภาพของบรการ หรอเครอขายทแสดงใหเหนความเปนไปได ทจะเกดการ ฝาฝนนโยบายดานความมนคงปลอดภย หรอมาตรการปองกนทลมเหลว หรอเหตการณอนไมอาจรไดวาอาจเกยวของกบความมนคงปลอดภย
(๒๗) “ชอผใชงาน (Username)” หมายถง ชดของตวอกษรหรอตวเลขทถกก าหนดขนเพอใชในการเขา ใชในระบบคอมพวเตอรและระบบเครอขายทมการก าหนด สทธการใชงานไว
(๒๘) “รหสผาน (Password)” หมายถง ชดของตวอกษร หรออกขระ หรอตวเลข ทถกก าหนดขน เพอใชเปนเครองมอในการตรวจสอบ ยนยนตวบคคลในการควบคม การเขาถงขอมลและระบบเครอขาย
(๒๙) “การเขารหสลบ (Encryption)” หมายถง การน าขอมลมาเขารหสลบเพอปองกนการลกลอบเขามาใช ขอมล ผทสามารถเปดไฟลขอมลทเขารหสลบไวจะตองม โปรแกรมถอดรหสลบเพอใหขอมลกลบมาใชงานได ตามปกต
(๓๐) “การพสจนยนยน ตวตน (Authentication)” หมายถง ขนตอนการรกษาความปลอดภยในการเขาใชระบบ เปนขนตอนในการพสจนตวตนของผใชบรการระบบ ทวไปแลวจะเปนการพสจนโดยใชชอผใชและรหสผาน
(๓๑) “ระบบคอมพวเตอร” หมายถง อปกรณ หรอ ชดอปกรณของคอมพวเตอรทเชอมการท างานเขาดวยกนโดยไดมการก าหนดค าสง ชดค าสง หรอ สงอนใด และแนวทางปฏบต ง านให อปกรณ หรอชด อปกรณ ท า หน าทประมวลผลขอมลโดยอตโนมต
(๓๒) “ระบบอนเทอรเนต (Internet)” หมายถง ระบบเครอขายอเลกทรอนกส ทเชอมตอระบบเครอขาย คอมพวเตอรตาง ๆ ของหนวยงาน เขากบเครอขาย อนเทอรเนตสากล
(๓๓) “SSID (Service Set Identifier)” หมายถง ชอทใชระบเครอขายไรสาย (๓๔) “MAC Address (Media Access Control Address)” หมายถง หมายเลขเฉพาะทใชอางอง
ถง อปกรณทตดตอกบระบบเคร อขาย หมายเลขนจะมากบอนเทอรเนตการด โดยแตละการดจะมหมายเลขทไมซ ากน ตวเลขจะอยในรปของ เลขฐาน ๑๖ จ านวน ๖ ค ตวเลขเหลานจะมประโยชนไวใช ส าหรบการสงผานขอมลไปยงตนทางและปลายทางไดอยางถกตอง
นโยบายและแนวปฏบต ในการรกษาความมนคงปลอดภยดานสารสนเทศ พ.ศ. ๒๕๖๓ ห น า | ๕
(๓๕) “VPN (Virtual Private Network)” หมายถง เครอขายคอมพวเตอรเสมอนสวนตว โดยในการรบสง ขอมลจรงจะท าโดยการเขารหสเฉพาะแลวรบ-สงผาน เครอขายอนเทอรเนต ท าใหบคคลอนไมสามารถอานได และมองไมเหนขอมลนนนไปจนถงปลายทาง
(๓๖) “WPA (Wi-Fi Protected Access)” หมายถง ระบบการเขารหสเพอรกษาความปลอดภยของขอมลใน เครอขายไรสายพฒนาขนมาใหมมความปลอดภยมากกวา วธเดมอยาง WEP
(๓๗) “แผนผงระบบ เครอขาย (Network Diagram)” หมายถง แผนผงซงแสดงถงการเชอมตอของระบบเครอขายของ สอน.
นโยบายและแนวปฏบต ในการรกษาความมนคงปลอดภยดานสารสนเทศ พ.ศ. ๒๕๖๓ ห น า | ๖
นโยบายในการรกษาความมนคงปลอดภยดานสารสนเทศ
นโยบายในการรกษาความมนคงปลอดภยดานสารสนเทศของ สอน. ก าหนดประเดนส าคญ ดงตอไปน
ขอท ๑ การควบคมการเขาถงและการใชงานระบบสารสนเทศ (Access Control)
(๑.๑) การเขาถงระบบสารสนเทศ ตองควบคมการเขาถงขอมลและอปกรณในการประมวลผลขอมล โดยค านงถงการใชงานและความมนคงปลอดภยในการใชงานระบบสารสนเทศ ก าหนดกฎเกณฑทเกยวกบการอนญาตใหเขาถง ก าหนดสทธเพอใหผใชงานในทกระดบไดรบร เขาใจ และสามารถปฏบตตามแนวทางทก าหนดโดยเครงครด และตระหนกถงความส าคญของการรกษาความมนคงปลอดภยของระบบสารสนเทศ
(๑.๒) การใชงานตามภารกจเพอควบคมการเขาถงสารสนเทศ
(๑.๓) การบรหารจดการสทธการเขาถงของผใชงาน เพอควบคมการเขาถงระบบสารสนเทศและปองกนการเขาถงจากผซงไมไดรบอนญาต ตองก าหนดใหมการลงทะเบยนผใชงาน ตรวจสอบบญชผใชงาน อนมตและก าหนดรหสผานการไดลงทะเบยนผใชงาน เพอใหผใชงานทมสทธเทานนทสามารถเขาใชระบบสารสนเทศ และตองเกบบนทกขอมลการเขาถงและขอมลจราจรทางคอมพวเตอร ตลอดจนบรหารจดการสทธการเขาถงขอมลใหเหมาะสมตามระดบชนความลบของผใชงาน ตองมการทบทวนสทธการใชงานและตรวจสอบการละเมดความปลอดภยเสมอ
(๑.๔) การเขาถงขอมลตามระดบชนความลบ ตองมการจดล าดบชนความลบ ใหใชหลกเกณฑตาม พ.ร.บ. ขอมลขาวสารของทางราชการ พ.ศ. ๒๕๔๐ และระเบยบวาดวยการรกษาความลบของทางราชการ พ.ศ. ๒๕๔๔ มการแบงประเภทของขอมลตามภารกจและการจดล าดบความส าคญของขอมล ก าหนดวธบรหารจดการกบขอมลแตละประเภท รวมถงก าหนดวธปฏบตกบขอมลลบหรอขอมลส าคญกอนการจ าหนายหรอการน าอปกรณกลบมาใชใหม
(๑.๕) การควบคมการเขาถงเครอขาย เพอปองกนการเขาถงบรการทางเครอขายโดยไมไดรบอนญาต ตองก าหนดสทธในการเขาถงเครอขาย ใหผทจะเขาใชงานตองลงบนทกเขาใชงาน (Login) โดยแสดงตวตนดวยชอผใชงาน และตองมการพสจนยนยนตวตน (Authentication) ดวยการใชรหสผานกอนการเขาใชงาน ตองก าหนดเสนทางการเชอมตอระบบคอมพวเตอรส าหรบใชงานอนเตอรเนต โดยผานระบบรกษาความปลอดภยตามท สอน. จดสรรไว และมการออกแบบระบบเครอขายโดยแบงเขต (Zone) การใชงาน เพอท าใหการควบคม และปองกนภยคกคามไดอยางเปนระบบและมประสทธภาพ
(๑.๖) การควบคมการเขาถงระบบปฏบตการ โปรแกรมประยกต และโปรแกรมอรรถประโยชน เพอปองกนการเขาถงระบบปฏบตการโดยไมไดรบอนญาต ตองก าหนดใหผทจะเขาใชงานตองลงบนทกเขาใชงาน (Login) โดยแสดงตวตนดวยชอผใชงาน และตองมการพสจนยนยนตวตน (Authentication) ดวยการใชรหสผานกอนการเขาใชงาน ตองก าหนดระยะเวลาเพอยตการใชงานเมอวางเวนจากการใชงาน และจ ากดระยะเวลาในการเชอมตอ การเขาถงระบบเทคโนโลยสารสนเทศทส าคญ โปรแกรมประยกต โปรแกรมอรรถประโยชน หรอ
นโยบายและแนวปฏบต ในการรกษาความมนคงปลอดภยดานสารสนเทศ พ.ศ. ๒๕๖๓ ห น า | ๗
แอพพลเคชนตาง ๆ รวมถงจดหมายอเลกทรอนกส (E-mail) ระบบเครอขายไรสาย (Wireless LAN) ระบบอนเตอรเนต (Internet) และระบบงานตาง ๆ ตองใหสทธเฉพาะการปฏบตงานในหนาท และตองไดรบความเหนชอบจากหวหนาหนวยงานเปนลายลกษณอกษร รวมทงตองทบทวนสทธดงกลาวอยางสม าเสมอ (๑.๗) การควบคมการเขาถงโปรแกรมประยกตและแอพพลเคชน ตองก าหนดสทธ การจดท าระบบส ารองขอมล เพอใหระบบสารสนเทศของ สอน. สามารถใหบรการไดอยางตอเนองและมเสถยรภาพ ตองจดท าระบบสารสนเทศและระบบส ารองทเหมาะสมใหอยในสภาพพรอมใชงาน โดยคดเลอกระบบสารสนเทศทส าคญ เรยงล าดบความจ าเปนจากมากไปนอย พรอมทงก าหนดหนาทและความรบผดชอบของเจาหนาทในการส ารองขอมล และจดท าแผนเตรยมความพรอมกรณฉกเฉนเพอใหสามารถใชงานระบบสารสนเทศไดตามปกตอยางตอเนอง (๑.๘) การควบคมการเขาถงเครอขายไรสาย เพอปองกนการเขาถงบรการทางเครอขายไรสายโดยไมไดรบอนญาต ผทจะเขาใชงานตองกรอกแบบฟอรมขอใชบรการระบบเครอขาย WIFI ลงบนทกเขาใชงาน (Login) โดยแสดงตวตนดวยชอผใชงาน และตองมการพสจนยนยนตวตน (Authentication) ดวยการใชรหสผานกอนการเขาใชงาน ผดแลระบบตองท าการเปลยนคา Default ของ SSID (Service Set Identifier) ทตงคามาจากผผลต ผดแลระบบตองสราง SSID เปน ๒ กลมคอกลมผใชงานทมบญชผใชงานอยใน AD (Active Direvtory) กบผมาตดตองานกบ สอน. (Guest) ตองมการตงคาไมใหเหนชอของ SSID โดยหลงจากไดรบอนมตใหสามารถใชงานเครอขายไรสายได ผใชจะตองน าอปกรณไปใหผดแลระบบลงทะเบยน เพอเกบคา MAC Address (Media Access Control Address) ผแลระบบจะพจารณาแจงชอ SSID ตามความเหมาะสมและความจ าเปนในการใชงาน (๑.๙) การรกษาความมนคงปลอดภยของจดหมายอเลกทรอนกส ก าหนดหนาทและความรบผดชอบของผใชงานในการใชงานจดหมายอเลกทรอนกส โดยเจาหนาทของสอน. ตองใชจดหมายอเลกทรอนกสของ สอน. เทานนในการตดตองานทเกยวกบภารกจของ สอน. ก าหนดขอหาม ขอควรระวง การถกระงบในการใชงาน สทธในการใชงานจะหมดลงกตอเมอพนสภาพการเปนเจาหนาทของ สอน. (๑.๑๐) หนาทความรบผดชอบของผใชงาน (User Responsibilities) เพอปองกนการเขาถงโดยไมไดรบอนญาต การเปดเผย หรอการขโมยขอมลระบบสารสนเทศ ตองก าหนดรายละเอยดทเกยวกบ การใชงานรหสผาน (Password Use) การปองกนอปกรณทไมมผดแล (Unattended User Equipment) และการเกบรกษาทรพยสนขององคกรไวในททปลอดภยและการปองกนหนาจอเครองคอมพวเตอร (Clear Desk and Clear Screen Policy) เพอใหผใชงานไดรบทราบวธปฏบตในการปองกนการเขาถงขอมลสารสนเทศหรอขอมลทมความส าคญทงของผใชงานและของ สอน.
ขอท ๒ การส ารองขอมลส าคญและการเตรยมรบมอกบเหตฉกเฉน
(๒.๑) การส ารองขอมลส าคญและการเตรยมรบมอกบเหตฉกเฉน ตองมการจดท าระบบส ารองขอมล เพอใหระบบสารสนเทศของ สอน. สามารถใหบรการไดอยางตอเนองและมเสถยรภาพ พรอมใชงาน โดยคดเลอกระบบสารสนเทศทส าคญ พรอมทงก าหนดหนาทและความรบผดชอบของเจาหนาทในการส ารองขอมล
นโยบายและแนวปฏบต ในการรกษาความมนคงปลอดภยดานสารสนเทศ พ.ศ. ๒๕๖๓ ห น า | ๘
และการกคนตองมการทบทวนแผนเตรยมความพรอมกรณฉกเฉนในกรณทไมสามารถด าเนนการดวยวธการทางอเลกทรอนกสอยางนอยปละ ๑ ครง เพอใหสามารถใชงานระบบงานสารสนเทศไดตามปกตอยางตอเนอง (๒.๒) การบรหารจดการเหตการณดานความมนคงปลอดภย ตองมการก าหนดหรอระบเหตการณทอาจเปนปญหาตอความมนคงปลอดภยในการใชระบบเทคโนโลยสารสนเทศของ สอน. เพอเปนแนวทางใหกบผใชงานไดประเมนวาเหตการณทพบมผลกระทบตอระบบสารสนเทศ ตองก าหนดขนตอนการแจงเหตเมอพบเหตการณดานความมนคงปลอดภย มการก าหนดหนาทความรบผดชอบและวธปฏบตในการจดการกบเหตการณทเกดขน
ขอท ๓ การตรวจสอบและประเมนความเสยง ตองตรวจสอบและประเมนความเสยงดานสารสนเทศ โดยจดใหผตรวจสอบภายในของหนวยงาน ( Internal Auditor) หรอผตรวจสอบอสระดานความมนคงปลอดภยจากภายนอก (External Auditor) อยางนอยปละ ๑ ครง เพอใหหนวยงานไดทราบถงระดบความเสยงและระดบความมนคงปลอดภยดานสารสนเทศ
ขอท ๔ การสรางความตระหนกในเรองการรกษาความปลอดภยมนคงสารสนเทศ ตองสรางความรความเขาใจใหกบผใชงาน เพอใหเกดความตระหนก ความเขาใจถงภยและผลกระทบทเกดจากการใชงานระบบสารสนเทศโดยไมระมดระวงหรอรเทาไมถงการณ ใหด าเนนการ ดงน (๔.๑) จดอบรมแนวปฏบตตามนโยบายในการรกษาความมนคงปลอดภยดานสารสนเทศของ สอน.อยางสม าเสมอ โดยอาจเพมเนอหาทเกยวของกบเทคโนโลยหรอภยในรปแบบใหม ๆ รวมทงกฎหมาย ระเบยบ ทเกยวของกบการใชงาน (๔.๒) เผยแพรนโยบายและแนวปฏบตในการรกษามนคงปลอดภยสารสนเทศดานสารสนเทศทางเวบไซต สอน. หรอหองสมดของ สอน. เพอใหผใชงานและบคคลทวไปเขาถงได (๔.๓) มมาตรการเชงปองกน โดยใหความรเกยวกบแนวปฏบตในลกษณะเกรดความร ขอควรระวงในการใชงานระบบสารสนเทศ รวมถงตองมการก าหนดบทลงโทษเมอพบวามการใชระบบสารสนเทศทไมถกตอง ไดแก การระงบการเขาถง หรอการระงบสทธการใชงาน
นโยบายและแนวปฏบต ในการรกษาความมนคงปลอดภยดานสารสนเทศ พ.ศ. ๒๕๖๓ ห น า | ๙
หมวดท ๑ การควบคมการเขาถงและการใชงานระบบสารสนเทศ
___________________________________________________________________________
วตถประสงค
๑. เพอก าหนดการควบคมการเขาถงขอมลสารสนเทศ โดยค านงถงการใชงานและความมนคงปลอดภยดานสารสนเทศ ๒. เพอก าหนดกฎเกณฑทเกยวกบการอนญาตใหเขาถง การก าหนดสทธ และการมอบอ านาจของหนวยงานของรฐ ๓. เพอใหผใชงานไดรบร เขาใจ และสามารถปฏบตตามแนวทางทก าหนดโดยเครงครด และตระหนกถงความส าคญของการรกษาความมนคงปลอดภยของระบบสารสนเทศ ๔. เพอใหการตรวจสอบตดตามพสจนตวบคคลทเขาใชงานระบบสารสนเทศไดอยางถกตอง
แนวปฏบต
สวนท ๑ การเขาถงและควบคมการใชงานระบบสารสนเทศ (Access Control)
ขอ ๑ ผดแลระบบตองจดท าบญชหรอทะเบยนสนทรพย เพอใชในการบรหารจดการและก าหนดสทธในการเขาถงและใชงาน
ขอ ๒ ผดแลระบบตองก าหนดสทธของผใชงานระบบสารสนเทศแตละกลม อยางนอยดงน - อานอยางเดยว - สราง/บนทกขอมล - แกไข/ปรบปรง - ลบขอมล - สทธการอนมต/อนญาต - ระงบสทธ
ขอ ๓ ผดแลระบบตองจดการควบคมการเขาถงระบบสารสนเทศของหนวยงาน ดงน (๑) ผดแลระบบ ตองก าหนดใหผใชงานเขาถงระบบสารสนเทศไดแตเพยงบรการทไดรบ
อนญาตใหเขาถงเทานน (๒) ผดแลระบบ มหนาทในการตรวจสอบการอนมตและก าหนดสทธในการผานเขาสระบบ
กลาวคอ ในการขออนญาตเขาระบบงานนน ผใชงานจะตองมการกรอกเอกสารลงทะเบยนขอใชงานตามท สอน. ก าหนด เพอขออนญาตเขาสระบบสารสนเทศ และก าหนดใหมการลงนามอนมตเอกสารดงกลาวโดยผบงคบบญชาหรอผรบมอบอ านาจจากผบงคบบญชาเพอการจดเกบไวเปนหลกฐาน จากนน ผดแลระบบจะสรางบญชผใชงาน ส าหรบการเขาถงโดยเฉพาะในสวนทจ าเปนและไดรบอนญาตใหเขาถงเทานน โดยค านงถงประเภทของขอมล ล าดบความส าคญ และชนความลบ รวมถงระบบซงไวตอการรบกวน มผลกระทบ และม
นโยบายและแนวปฏบต ในการรกษาความมนคงปลอดภยดานสารสนเทศ พ.ศ. ๒๕๖๓ ห น า | ๑๐
ความส าคญสง ไดแก ระบบออกใบอนญาตน าเขาและสงออกน าตาลทราย ตองแยกออกจาก ระบบอน และแสดงใหเหนถงผลกระทบและระดบความส าคญตอ สอน.
(๓) ผดแลระบบตองจดเกบบญชรายชอของผใชงานระบบปฏบตการไวใน Active Directory และตองก าหนดไมใหผใชงานเขาสระบบได หากผใชงานใสรหสผานเขาระบบผดเกน ๓ ครง จนกวาจะยนเรองพรอมหลกฐานแสดงความเปนตวตนตอเจาหนาทดแลระบบ เพอขอรหสผานใหมอกครง
(๔) ผดแลระบบ ตองก าหนดใหการ Log-in เพอเขาระบบงานใด ๆ จะตองมการตรวจจบการเปดระบบงานไว เมอไมมการใชงาน จะท าการ Log-out ระบบใหอตโนมตในระยะเวลาทเหมาะสม
(๕) ผดแลระบบ ตองอนญาตใหผใชงานเขาสระบบเฉพาะในสวนทจ าเปนตองรตามหนาทงานเทานน เนองจากการใหสทธเกนความจ าเปนในการใชงาน จะน าไปสความเสยงในการใชงานเกนอ านาจหนาท ดงนน การก าหนดสทธในการเขาถงระบบงานตองก าหนดตามความจ าเปนขนต าเทานน
(๖) กรณมการอนญาตใหผใชงานภายนอก ผเกยวของ เขาถงระบบสารสนเทศของ สอน. เพอด าเนนการใด ๆ เมอไดใชงานเสรจแลวผดแลระบบตองยกเลกสทธกบผใชเหลานนในทนท ส าหรบผรบจางพฒนาและดแลระบบสารสนเทศตองเขาผานระบบ VPN (Virtual Private Network) เทานน และหากพบวาการด าเนนการนนมผลกระทบหรอท าใหเกดความเสยหายตอระบบสารสนเทศ ผใชงานตองเปนผรบผดชอบ
(๗) ก าหนดระยะเวลาการใชงานระบบสารสนเทศของ สอน. ดงน (๗.๑) ระบบงานบรการ e-Service (Front Office) ส าหรบผใชงานภายนอกตลอด ๒๔ ชวโมง ไมเวนวนหยดราชการ (๗.๒) ระบบงานภายใน (Back Office) หรอโปรแกรมทมความเสยงสง ส าหรบเจาหนาท ใหเขาถงในเวลาราชการ (๘.๓๐ – ๑๖.๓๐ น.) เทานน เวนแตไดรบอนญาต
ขอ ๔ ผดแลระบบ ตองจดการรกษาความปลอดภยทางกายภาพ (Physical Security anagement) ดงน (๑) จ าแนกและก าหนดพนทหองควบคมระบบ มจดประสงคในการเฝาระวง ควบคมการ
รกษาความมนคงปลอดภย จากผทไมไดรบอนญาต รวมทงปองกนความเสยหายอน ๆ ทอาจเกดขน โดยก าหนดพนท ดงน
(๑.๑) พนททจดไวส าหรบการเยยมชมหรอสงเกตการณระบบ (๑.๒) พนทจ ากดการเขาถง ไดแก หองทมการตดตงและจดเกบอปกรณระบบสารสนเทศ
หรอระบบเครอขาย โดยตองตดตงระบบควบคมการการเขาถงพนททางกายภาพ (๒) การเดนสายสญญาณเครอขายตาง ๆ ทตองผานเขาไปในบรเวณทเปนมมอบลบตา หรอ
บรเวณทบคคลภายนอกเขาถงได ตองมการรอยทอสญญาณ เพอปองกนการดกจบสญญาณ การตด หรอการกดของสตวตาง ๆ
(๓) ตดตงระบบดบเพลงชนดทใชส าหรบอปกรณไฟฟาและท าความเสยหายใหกบระบบนอยทสดเมอมการใชงาน
(๔) ตดตงระบบไฟฉกเฉนใหเพยงพอส าหรบการท างานเมอเกดกรณไฟฟาดบ
นโยบายและแนวปฏบต ในการรกษาความมนคงปลอดภยดานสารสนเทศ พ.ศ. ๒๕๖๓ ห น า | ๑๑
ขอ ๕ ผดแลระบบ ตองจดการควบคมการเขา - ออก พนทควบคม ดงน (๑) ใหมการบนทกวนและเวลาการเขา - ออกพนทส าคญของผทมาเยอน (Visitors)
(๒) ดแลผมาเยอนในพนทหรอบรเวณทมความส าคญจนกระทงเสรจภารกจ เพอปองกนการสญหายของทรพยสนหรอปองกนการเขาถงทางกายภาพโดยไมไดรบอนญาต
(๓) การเขา - ออก พนทควบคมของบคคลภายนอก ตองจดใหมกลไกการอนญาตการเขาถง พนทหรอบรเวณทมความส าคญของ สอน. และระบเหตผลทเพยงพอในการเขาถงบรเวณดงกลาวอยางชดเจน
(๔) มการควบคมการเขาถงพนททมขอมลส าคญจดเกบหรอประมวลผลอย (๕) ไมอนญาตใหผไมมกจเขาไปในพนทหรอบรเวณทมความส าคญเวนแตไดรบอนญาต (๖) มการพสจนตวตน เพอควบคมการเขา - ออก ในพนทหรอบรเวณทมความส าคญ
โดยเฉพาะในหอง Server การควบคมการเขา - ออก ใหยนยนตวตนโดยใชลกษณะเฉพาะทางชวภาพไดแก ระบบสแกนลายนวมอของแตละบคคล (Authentication by Biometric Traits)
(๗) จดเกบบนทกการเขา - ออกส าหรบพนทหรอบรเวณทมความส าคญ โดยเฉพาะในหอง Server เพอใชในการตรวจสอบในภายหลงเมอมความจ าเปน
(๘) จดใหมการทบทวน หรอยกเลกสทธการเขาถงพนทหรอบรเวณทมความส าคญอยางสม าเสมอ
ขอ ๖ ผดแลระบบและผรบผดชอบระบบสารสนเทศ ตองก าหนดการบ ารงรกษาอปกรณ ดงน (๑) ก าหนดใหมการบ ารงรกษาอปกรณตามรอบระยะเวลาทก าหนด (๒) ปฏบตตามค าแนะน าในการบ ารงรกษาตามทผผลตแนะน า (๓) จดเกบบนทกกจกรรมการบ ารงรกษาอปกรณส าหรบการใหบรการทกครง เพอใชในการ
ตรวจสอบหรอประเมนในภายหลง (๔) จดเกบบนทกปญหาและขอบกพรองของอปกรณทพบ เพอใชในการประเมนและปรบปรง
อปกรณดงกลาว (๕) ควบคมและดแลการปฏบตงานของบรษทผรบจางเหมาบ ารงรกษาระบบคอมพวเตอรทมา
ท าการบ ารงรกษาอปกรณภายในหนวยงาน (๖) จดใหมการอนมตสทธการเขาถงอปกรณทมความส าคญของผรบจางทมาท าการ
บ ารงรกษาอปกรณ เพอปองกนการเขาถงขอมลโดยไมไดรบอนญาต
ขอ ๗ ผดแลระบบ ตองควบคมการน าอปกรณคอมพวเตอรของ สอน. ออกนอกหนวยงาน ดงน (๑) ตองมการกรอกใบค ารอง เสนอตอหวหนากลม และตองไดรบอนมตกอนทจะน าอปกรณ
หรอทรพยสนออกนอกหนวยงานได (๒) ตองมการบนทกขอมลการน าอปกรณของ สอน. ออกนอกหนวยงาน และตองมการลง
ลายมอชอตอนรบอปกรณเพอเอาไวเปนหลกฐานปองกนการสญหายรวมทงบนทกขอมลเพมเตมเมอน าอปกรณมาสงคน
นโยบายและแนวปฏบต ในการรกษาความมนคงปลอดภยดานสารสนเทศ พ.ศ. ๒๕๖๓ ห น า | ๑๒
ขอ ๘ ผดแลระบบ ตองจดการปองกนอปกรณทใชงานอยนอกหนวยงาน (๑) ก าหนดมาตรการความปลอดภยเพอปองกนความเสยงจากการน าอปกรณคอมพวเตอร
ของ สอน. ออกไปใชงานนอกสถานท (๒) หามผใชงานละทงอปกรณคอมพวเตอรของ สอน. ไวโดยล าพงในทสาธารณะ (๓) ใหผใชงานรบผดชอบดแลอปกรณคอมพวเตอรของ สอน. เสมอนเปนทรพยสนของตนเอง
ขอ ๙ ผดแลระบบและผรบผดชอบระบบสารสนเทศ ตองควบคมการจ าหนายอปกรณคอมพวเตอรหรอการน าสอบนทกขอมลกลบมาใชงานอกครง ดงน
(๑) ใหท าลายขอมลส าคญในสอบนทกขอมลกอนทจะสงจ าหนายอปกรณดงกลาว (ใหปฏบตตามแนวทางการท าลายขอมลบนสอบนทกขอมล ในสวนท ๙ หนาทความรบผดชอบของผใชงาน ขอ ๖)
(๒) มมาตรการหรอเทคนคในการลบหรอเขยนทบบนขอมลทมความส าคญในอปกรณส าหรบจดเกบขอมลกอนทจะอนญาตใหผอนน าอปกรณนนไปใชงานตอ เพอปองกนไมใหมการเขาถงขอมลส าคญนนได
ขอ ๑๐ ผใชงานระบบสารสนเทศของหนวยงานภายใน สอน. ตองก าหนดรหสผาน และใชงานรหสผานอยางปลอดภย ดงน
(๑) ลงนามรบบญชผ ใชงานของตนเอง หากพบวาบญชผ ใชงานนนถกเปดออกใหแจง ผดแลระบบทนท
(๒) เปลยนรหสผานของตนเองทนทหลงจากไดรบรหสผานชวคราว โดยการตงรหสผานใหมจะตองด าเนนการแนวทางการก าหนดรหสผานในระบบบรหารจดการบญชผใชงาน
(๓) ตงคาเครองไมใหบนทกรหสผาน เพอใหการใชงานรหสผานมความปลอดภย ผใชงานควรจดเกบและรกษารหสผานของตนเองไวใหเปนความลบและระมดระวงมใหผ อนลวงร รวมทงไมจดบนทกรหสผานไวในทสามารถสงเกตเหนไดโดยงาย หรอไมบนทกรหสผานไวในเครอง ทงน ผใชงานสามารถปฏเสธความรบผดชอบหากผอนลวงรและน าบญชผใชงานนไปใชงาน
(๔) การใชบญชผใชงานของผอนจะตองไดรบอนญาตจากเจาของบญชผใชงานและเจาของบญชผใชงานไมอาจปฏเสธความรบผดชอบหากบญชผใชงานดงกลาวถกใชไปในทางมชอบ
ขอ ๑๑ ขอก าหนดการใชงานตามภารกจเพอควบคมการเขาถง (Business Requirements for Access Control)
(๑) สอน. ไดจดใหมการบรการสารสนเทศรวมทงระบบเทคโนโลยสารสนเทศ เพอใชประโยชนตามภารกจของ สอน. ไดแก การขอรบใบรบรองหรอใบอนญาตสงออกน าตาลทรายไปนอกราชอาณาจกร การควบคมการผลตและการขนยายน าตาลทราย การบรการ ขอมลสารสนเทศของอตสาหกรรมออยและน าตาลทราย การบรหารจดการระบบหนงสอราชการ ทงนการใชงานตามภารกจตองอยบนพนฐานของ การเคารพสทธของบคคลอน การปฏบตใหถกตองตาม พรบ.ออยและน าตาลทราย พ.ศ. ๒๕๒๗ และกฎหมายทเกยวของ โดยก าหนดสทธการเขาถง จะแบงตามล าดบชนการบรหารจดการของผบรหาร ดงน
นโยบายและแนวปฏบต ในการรกษาความมนคงปลอดภยดานสารสนเทศ พ.ศ. ๒๕๖๓ ห น า | ๑๓
(๑.๑) ผบรหารระดบสง ไดแก เลขาธการส านกงานคณะกรรมการออยและน าตาลทราย รองเลขาธการส านกงานคณะกรรมการออยและน าตาลทราย สามารถเขาถงขอมลไดตามภารกจทไดรบมอบหมายใหก ากบดแล
(๑.๒) ผบรหารระดบหนวยงาน ไดแก ผอ านวยการกอง/ส านก หวหนากลมงานสามารถเขาถงขอมลภายใตความรบผดชอบดแล
(๑.๓) ผปฏบตงาน สามารถเขาถงไดเฉพาะสวนงานทตนเองไดรบมอบหมาย (๒) การอนญาตและการทบทวนสทธการเขาถงตามภารกจ
(๒.๑) ผใชงานจะตองไดรบอนญาตจากหนวยงานเจาของขอมลและผดแลระบบตามความจ าเปนตอการใชงานระบบสารสนเทศ
(๒.๒) เจาของขอมลและเจาของระบบงาน จะอนญาตใหผใชงานเขาสระบบไดเฉพาะสวนทจ าเปนตามหนาททไดรบมอบหมายเทานน
(๒.๓) ผดแลระบบมหนาทตรวจสอบการอนมต และก าหนดสทธในการผานเขาสระบบใหแกผใชงาน ซงตองมการจดท าเอกสารขอสทธในการเขาสระบบและก าหนดใหมการลงนามอนมต
(๓) ขอมลพนฐานทใชประกอบการควบคมและจ ากดสทธส าหรบผใชงาน (๓.๑) ชอ นามสกล ของผขอใชบรการ (๓.๒) ต าแหนง และ หนวยงานตนสงกด (๓.๓) ค าสงมอบหมายและหนาทความรบผดชอบ (๓.๔) วนทเรมมผลบงคบใช วนทสนสด (๓.๕) ลายเซนอนมตจากหวหนางาน
สวนท ๒ การบรหารจดการสทธการเขาถง (User Access Management)
เพอควบคมการเขาถงระบบสารสนเทศเฉพาะผทไดรบอนญาตแลว และผานการฝกอบรม หลกสตร สรางความตระหนกเรองความมนคงปลอดภยสารสนเทศ (Information Security Awareness Training) เพอ ปองกนการเขาถงจากผซงไมไดรบอนญาต ดงน
ขอ ๑ การสรางความรความเขาใจเกยวกบการรกษาความมนคงปลอดภยสารสนเทศ (1) มกำรเผยแพรนโยบำยและแนวปฏบต ในกำรรกษำควำมมนคงปลอดภยดำนสำรสนเทศ
ใหผใชงำนไดรบทรำบ (2) มกำรจดฝกอบรมใหควำมรควำมเขำใจกบผใชงำน เพอใหเกดควำมตระหนก ควำมเขำใจ
ถงภยและผลกระทบทเกดจำกกำรใชงำนระบบสำรสนเทศโดยไมระมดระวง หรอรเทำไมถงกำรณ (๓) เสรมเนอหำแนวปฏบตตำมนโยบำยเขำกบหลกสตรอบรมตำง ๆ ตำมแผนกำรฝกอบรม
ของหนวยงำน
นโยบายและแนวปฏบต ในการรกษาความมนคงปลอดภยดานสารสนเทศ พ.ศ. ๒๕๖๓ ห น า | ๑๔
ขอ ๒ การลงทะเบยนผใชงาน (User Registration) ตองก าหนดใหมขนตอนทางปฏบตส าหรบการลงทะเบยนผใชงานเมอมการอนญาตใหเขาถง
ระบบสารสนเทศและการตดออกจากทะเบยนของผใชงานเมอมการยกเลกเพกถอนการอนญาตดงกลาว โดยปฏบตตามแนวทางดงน
(๑) ผขอใชงานตองปฏบตตามขนตอนการลงทะเบยน (User Register) ตามท สอน. ก าหนดใน ภาคผนวก ก. โดยทผขอใชงานจะตองลงนามรบทราบนโยบายความมนคงปลอดภยและแนวปฏบตของ สอน. อยางเครงครด
(๒) ผดแลระบบตองตรวจสอบบญชผใชงาน เพอไมใหมการลงทะเบยนซ าซอน (๓) ผดแลระบบตองตรวจสอบและใหสทธในการเขาถงทเหมาะสมตอหนาทความรบผดชอบ
(๔) จดท าเอกสารแสดงถงสทธและหนาทความรบผดชอบของผใชงานเปนลายลกษณอกษร (๕) มการบนทกและจดเกบขอมลการขออนมตเขาใชระบบสารสนเทศ
(๖) การอนญาตใหเขาถงระบบสารสนเทศตองไดรบการพจารณาอนญาตจากผอ านวยการ หนวยงานเจาของระบบสารสนเทศ หรอผดแลระบบทไดรบมอบหมาย
(๗) ตองด าเนนการยกเลกเพกถอนการอนญาตใหเขาถงระบบสารสนเทศและตดออกจากทะเบยน ผใชงานทนท เมอมการลาออก เปลยนต าแหนง โอน ยาย หรอสนสดการจาง
ขอ ๓ การบรหารจดการบญชผใชงาน (User Account) ตองก าหนดใหมขนตอนทางปฏบตส าหรบการบรหารจดการบญชผใชงาน ดงน
(๑) ผดแลระบบและผรบผดชอบระบบสารสนเทศของหนวยงานภายใน สอน. จดท าบญชผใชงานกลาง โดยก าหนดชอผใชงาน (Username) และรหสผาน (Password) เพอใหสามารถระบและยนยนตวตนของผใชงาน (User Identification and Authentication) ตามสทธการเขาถง
(๒) ผดแลระบบและผรบผดชอบระบบสารสนเทศของหนวยงานภายใน สอน. ตองก าหนดชอผใชงานในบญชผใชงาน ดงน
(๒.๑) ชอผใชงานตองไมซ ากน (๒.๒) ชอผใชงานตองสอถงชอผเปนเจาของบญชผใชงานหรอหนวยงาน
(๓) ผดแลระบบและผรบผดชอบระบบสารสนเทศของหนวยงานภายใน สอน. ตองมการทบทวนสทธของผใชงานอยางสม าเสมอ การตรวจสอบสทธจะตองอางองจากหนงสอค าสงตาง ๆ ไดแก ค าสงใหลาออก ค าสงโยกยาย ค าสงบรรจบคลากร ในการเปลยนแปลงสทธการเขาใชงานระบบสารสนเทศจะตองกระท าหลงจากจดเกบส าเนาเอกสารค าสงแลวเทานน
(๔) ส านกงานเลขานการกรม มหนาทรายงานความเคลอนไหวของบญชเจาหนาทตอ กทส. โดยเรงดวน ในกรณบรรจใหม ลาออก ออกจากราชการ ยายหนวยงาน เกษยณอาย หรอถงแกกรรม ยกเวนกรณทเกยวกบการมอบอ านาจหรอยกเลกในการลงนามโดยลายมอชออเลกทรอนกสใหด าเนนการโดยดวนทสด
นโยบายและแนวปฏบต ในการรกษาความมนคงปลอดภยดานสารสนเทศ พ.ศ. ๒๕๖๓ ห น า | ๑๕
(๕) การขอบญชผใชงาน (๕.๑) ผบรหารสงสด ผบรหารเทคโนโลยสารสนเทศระดบสง และผบรหารไดรบบญช
ผใชงานโดยมตองรองขอ (๕.๒) เจาหนาท หรอผทเกยวของ ตองปฏบตตามขนตอนการลงทะเบยน (User
Register) ตามท สอน. ก าหนดใน ภาคผนวก ก. โดยทผขอใชงานจะตองลงนามรบทราบนโยบายความมนคงปลอดภยและแนวปฏบตของ สอน. อยางเครงครด
(๕.๓) ในกรณทบญชเจาหนาทและผใชงานทเกยวของถกระงบชวคราว หากเจาหนาทหรอผใชงานทเกยวของประสงคจะใชงานบญชผใชงานนนใหมใหผอ านวยการส านกมบนทกขอความขอบญชผใชงานใหม พรอมเอกสารใบค ารองเพอขอบญชผใชงาน
(๖) การระงบบญชผใชงาน (๖.๑) เมอฝาฝนหรอไมปฏบตตามนโยบายความมนคงปลอดภยดานสารสนเทศ และ
หวหนากลมมค าสงใหระงบบญชผใชงานเปนการชวคราว (๖.๒) เมอฝาฝนหรอไมปฏบตตามนโยบายความมนคงปลอดภยดานสารสนเทศหลายครง
และผบรหารเทคโนโลยสารสนเทศระดบสง มค าสงใหระงบบญชผใชงาน (๖.๓) เมอผบรหารรองขอ
(๗) การยกเลกบญชผใชงาน (๗.๑) เมอฝาฝนหรอไมปฏบตตามนโยบายความมนคงปลอดภยดานสารสนเทศหลายครง
และผบรหารเทคโนโลยสารสนเทศระดบสง มค าสงใหยกเลกบญชผใชงานอยางถาวร (๗.๒) เมอผบรหารรองขอ (๗.๓) เมอสนสดสญญา (ส าหรบผใชงานทเกยวของ) (๗.๔) เมอหมดเวลาการใชงานท กทส. ก าหนด (ส าหรบผใชงานภายนอก)
ขอ ๔ การบรหารจดการสทธของผใชงาน (User Management) ตองจดใหมการควบคมและจ ากดสทธเพอ เขาถงและใชงานระบบสารสนเทศแตละชนดตามความ
เหมาะสม ทงนรวมถงสทธทวไป สทธพเศษ และสทธอนใดทเกยวของกบการเขาถง โดยปฏบตตามแนวทางดงนดงน (๑) การขอสทธของผใชงาน
(๑.๑) ผบรหารระดบสง ผบรหารเทคโนโลยสารสนเทศระดบสง และผบรหารไดรบสทธพเศษซงเปนสทธทมการจ ากดการใชงานนอยทสด โดยมตองรองขอ
(๑.๒) เจาหนาท ผทเกยวของ ผดแลระบบ และผรบผดชอบระบบสารสนเทศ ตองปฏบตตามขนตอนการลงทะเบยน (User Register) ตามท สอน.ก าหนดใน ภาคผนวก ก. เพอใหมสทธในการเขาถงและใชงานระบบสารสนเทศตามภารกจและความจ าเปน ดงน
- สทธทวไป หมายถง สทธในการเขาถงเครอขายของ สอน. เพอ Download ขอมลเผยแพรหรอเอกสารทใชส าหรบการประชม การใชงาน Internet หรออปกรณบนเครอขาย เชน Printer Network
นโยบายและแนวปฏบต ในการรกษาความมนคงปลอดภยดานสารสนเทศ พ.ศ. ๒๕๖๓ ห น า | ๑๖
- สทธของผใชงานระบบสารสนเทศหรอระบบงาน หมายถง สทธในการเขาถงขอมลในระบบสารสนเทศซงผขอใชงานตองระบวตถประสงคและระดบของขอมลตามภารกจทจะเขาถงอยางชดเจนตามความจ าเปนในการปฏบตหนาทและตองไดรบการอนมต กอนเขาใชงาน
- สทธสงสด หมายถง สทธของผดแลระบบหรอผรบผดชอบระบบสารสนเทศ เปนสทธพเศษทผขอตองเปนผทเกยวของและมหนาทหรอภารกจทไดรบมอบหมายใหดแล บรหารจดการ พฒนาและบ ารงรกษาระบบสารสนเทศ ของ สอน.
(๑.๓) ผใชงานภายนอกตองเขยนเอกสารใบค ารองขอใชบรการยนดวยตนเองตอเจาหนาท กทส. เพอเสนออนมตตอหวหนากลม ซงจะไดรบสทธขนพนฐานทเปนการใชงานชวคราวตามระยะเวลาทก าหนด
(๑.๔) ในกรณถกระงบสทธใหเขยนใบค ารองเพอขอเปดสทธการใชงาน (๒) การระงบสทธผใชงาน
(๒.๑) เมอฝาฝนหรอไมปฏบตตามนโยบายความมนคงปลอดภยดานสารสนเทศ และหวหนากลมมค าสงใหระงบสทธผใชงานทงหมดหรอบางสวน
(๒.๒) เมอผอ านวยการส านกรองขอใหระงบสทธผใชงานทงหมดหรอบางสวน (๒.๓) เมอ Login ผดเกน ๓ ครงตดตอกน
(๓) การยกเลกสทธผใชงาน (๓.๑) เมอฝาฝนหรอไมปฏบตตามนโยบายความมนคงปลอดภยดานสารสนเทศหลาย
ครง และ ผบรหารเทคโนโลยสารสนเทศ มค าสงใหยกเลกสทธผใชงาน (๓.๒) เมอผอ านวยการส านกรองขอใหยกเลกสทธผใชงาน (๓.๓) เมอสนสดสญญา (ส าหรบผใชงานทเกยวของ) (๓.๔) เมอหมดเวลาการใชงานท กทส. ก าหนด (ส าหรบผใชงานภายนอก)
ขอ ๕ การบรหารจดการรหสผานส าหรบผใชงาน (User Password Management)
ตองจดใหมกระบวนการบรหารจดการรหสผานส าหรบผใชอยางรดกม โดยปฏบตตามแนวทางดงน
(๑) ผดแลระบบตองก าหนดใหมการใชงานบญชผใชงานและรหสผานแยกเปนรายบคคล เพอใหสามารถตดตามการใชงานและก าหนดเปนความรบผดขอบของแตละคนได
(๒) การตงรหสผานชวคราว ตองยากตอการเดา และตองมความแตกตางกน (๓) ตองก าหนดรหสผานตามเงอนไข ดงน
(๓.๑) มความยาวไมนอยกวา ๘ ตวอกษร (๓.๒) ประกอบดวยตวอกษรพมพเลก ตวอกษรพมพใหญ อกขระสญลกษณ ตวเลข (๓.๓) ไมมความหมายในพจนานกรมภาษาใด ๆ ทงสน (๓.๔) ไมก าหนดรหสผานจากชอหรอนามสกลของตนเอง ชอเลน ชอบคคลในครอบครว
ชอบคคลทมความสมพนธใกลชดกบตน และจากค าศพททใชในพจนานกรม
นโยบายและแนวปฏบต ในการรกษาความมนคงปลอดภยดานสารสนเทศ พ.ศ. ๒๕๖๓ ห น า | ๑๗
(๔) สงมอบรหสผานชวคราว ใหกบผใชงานดวยวธการทปลอดภย ไมใชบคคลอนหรอการสงจดหมายอเลกทรอนกส ในการจดสงรหสผาน
(๕) การเปลยนแปลงรหสผาน สามารถกระท าได ๒ วธ ดงน (๕.๑) การเปลยนแปลงรหสผานโดยผใชงาน ควรท าเมอไดรบรหสผานชวคราวหรอเกด
ความไมมนใจในความปลอดภย สามารถกระท าผานหนาจอจดการขอมลรหสผานภายในระบบปฏบตการของตน (๕.๒) การเปลยนรหสผานโดยผดแลระบบ เนองจากผใชจ ารหสผานไมได ผใชจะตองท า
การกรอกแบบฟอรมขอใชบรการทางดานเทคโนโลยสารสนเทศ เสนอตอผบงคบบญชา ตามล าดบ ไปยงหวหนากลมวชาการและสารสนเทศฯ เพอพจารณาอนมต หลงจากนนผดแลระบบจงด าเนนการตง รหสผานชวคราวใหใหม ผใชงานจะตองท าการเขาสระบบเพอแกไขรหสผานดวยตนเองอกครง ทงนการเปลยนรหสผานควรเปลยนรหสผานตามรอบระยะเวลา ดงน
- ผดแลระบบ ตองเปลยนรหสผานอยางนอย ทก ๓ เดอน - ผใชงาน ตองเปลยนรหสผานอยางนอย ทก ๖ เดอน - เปลยนรหสผานทนท เมอทราบวารหสผานอาจถกเปดเผยหรอลวงร
(๖) การยกเลกรหสผาน คอการยกเลกสทธจะถกด าเนนการผานขนตอนการทบทวนสทธผใชงาน โดยเมอมค าสงโยกยาย ใหลาออก หรอค าสงจดการทรพยากรบคคลอน ๆ ทท าใหจ าเปนตองยกเลกสทธ ใหผดแลระบบท าการจดเกบส าเนาค าสงแลวด าเนนการระงบการใชงานหรอลบบญชผใชงานผานระบบ Active Directory ตามแตกรณ
(๗) กรณผใชจ าเปนตองเขาถงขอมลหรอบรการจากหลายระบบ และจ าเปนตอง จดจ ารหสผานหลายตว ผใชงานสามารถใชรหสผานเดยว ส าหรบการเขาถง ทกระบบได ซงระบบเหลานนควรมการรกษาความมนคงปลอดภยในระดบทเชอถอได
(๘) ไมสงรหสผาน ผานระบบเครอขายโดยไมด าเนนการเขารหสเพอรกษาความลบกอน (๙) ตองก าหนดใหผใชงานปอนรหสผใชงานและรหสผานในการใชงาน เพอปองกนการปฏเสธ
ความรบผดชอบ
ขอ ๖ การทบทวนสทธการเขาถงของผใชงาน (Review of User Access Rights) (๑) ส านกงานเลขานการกรม ตองแจงให กทส. ทราบทนทเมอ
- มการบรรจ - มการเปลยนแปลงต าแหนงหนาทความรบผดชอบ - มการลาออกจากงานหรอสนสดการเปนผบรหาร บคลากร และลกจาง หรอการถงแกกรรม - มการโยกยายหนวยงาน - มการพกงาน การลงโทษทางวนย หรอถกระงบการปฏบตหนาท
(๒) ตองจดใหมการทบทวนสทธการเขาถงของผใชงานระบบสารสนเทศและปรบปรงบญช ผใชงาน ปละ ๑ ครง หรอเมอมการเปลยนแปลง ดงน
นโยบายและแนวปฏบต ในการรกษาความมนคงปลอดภยดานสารสนเทศ พ.ศ. ๒๕๖๓ ห น า | ๑๘
(๒.๑) ผดแลระบบตองด าเนนการแกไขสทธการเขาถงของผใชทนททไดรบแจงการเปลยนแปลงจากส านกงานเลขานการกรม
(๒.๒) ผดแลระบบทบทวนสทธส าหรบผทมสทธการเขาถงระดบ สงสด ไดแก สทธผดแลระบบสงสดระดบหนวยงาน สทธผดแลระบบยอยตามค าสงมอบหมายของหนวยงานเจาของระบบสารสนเทศ ดวยความถทมากกวาผใชงานทวไป
(๒.๓) ผดแลระบบ ตองก าหนดใหมการบนทกการเปลยนแปลงตอบญชผใชงานทมสทธการเขาถงในระดบสงสด เพอใชในการทบทวนในภายหลง
(๒.๔) ผดแลระบบด าเนนการเพกถอนสทธผใชงานทพนสภาพการเปนขาราชการหรอเจาหนาทและบคลากร ของ สอน. ยกเวนกรณเกษยณอายราชการ อนญาตใหใชบญชรายชอผใชงานได
(๒.๕) ผดแลระบบตองก าหนดใหมการถอดถอนสทธการเขาถงระบบเทคโนโลยสารสนเทศโดย ทนทเมอผใชงานนนท าการลาออก/เปลยนต าแหนงงาน/โอนยายขามหนวยงานราชการ/ ถงแกกรรม โดยอางองหนงสอราชการจากส านกงานเลขานการกรม
สวนท ๓ การบรหารจดการการเขาถงขอมลตามระดบช นความลบ
ขอ ๑ ผดแลระบบ ตองก าหนดวธปฏบตในการจดเกบขอมลและวธปฏบตในการควบคมการเขาถงขอมลแตละประเภทชนความลบทงการเขาถงโดยตรงและการเขาถงผานระบบงาน รวมถงวธการท าลายขอมลแตละประเภทชนความลบ โดยแบงชนความลบของขอมล เปน ๓ ระดบ ดงน
(๑) ลบทสด หมายถง ขอมลลบซงหากเปดเผยทงหมด หรอเพยงบางสวน จะกอใหเกดความเสยหายแกประโยชนแหงภาครฐรายแรงทสด
(๒) ลบมาก หมายถง ขอมลลบซงหากเปดเผยทงหมด หรอเพยงบางสวนจะกอใหเกดความเสยหายแกประโยชนแหงรฐอยางรายแรง
(๓) ลบ หมายถง ขอมลลบซงหากเปดเผยทงหมด หรอเพยงบางสวนจะกอใหเกดความเสยหายแกประโยชนแหงรฐ
ขอ ๒ การจดล าดบชนความลบและการบรหารจดการกบขอมลตามขอ ๑ ใหใชหลกเกณฑตาม พ.ร.บ. ขอมลขาวสารของทางราชการ พ.ศ. ๒๕๔๐ และระเบยบวาดวยการรกษาความลบของทางราชการ พ.ศ. ๒๕๔๔ โดยแสดงระดบชนความลบของเอกสารขอมลลบอยางชดเจนในเอกสารทเกยวของทกหนา
ขอ ๓ การจดล าดบชนความลบและการบรหารจดการกบขอมลตามขอ ๒ ใหอยในดลพนจของผบรหาร
ขอ ๔ การบรหารจดการกบขอมลตามขอ ๓ ตองมการตรวจสอบความถกตองเหมาะสมของขอมลทจะเผยแพรออกสสาธารณะผานทางเวบไซต ขอมลดงกลาวจะตองไมขดตอกฎหมายและมกลไกปองกนการเขาไปแกไขขอมลโดยไมไดรบอนญาต
ขอ ๕ การรบ สง และจดเกบขอมลอเลกทรอนกสทประสงคจะใหเปนความลบไดอยางปลอดภยสามารถขอค าปรกษาหรอการสนบสนนในการเขารหสจากผดแลระบบไดโดยใหปฏบตตามระเบยบการรกษาความลบทางราชการ พ.ศ. ๒๕๔๔
นโยบายและแนวปฏบต ในการรกษาความมนคงปลอดภยดานสารสนเทศ พ.ศ. ๒๕๖๓ ห น า | ๑๙
ขอ ๖ ประเภทของขอมลแบงออกเปน ๓ ประเภท ดงน (๑) ขอมลทใชในการบรหารจดการ ไดแก ขอมล นโยบาย ยทธศาสตร บคลากร งบประมาณ
ค ารบรองการปฏบตราชการ การเงนและบญช (๒) ขอมลทใชในการด าเนนงาน ไดแก ขอมล กฎหมาย ระเบยบ ขอมลทเกยวกบภารกจ
หนาทของ สอน. (๓) ขอมลเพอการบรการ ไดแก รายงานทางวชาการ แผนทภาพถายดาวเทยม องคความร
ขอ ๗ ล าดบความส าคญของขอมล แบงออกเปน ๓ ระดบ ดงน (๑) ขอมลทมความส าคญมากทสด ไดแก ขอมลทะเบยนชาวไรออย หวหนากลมชาวไรออย
สถาบนชาวไรออย กากน าตาล ราคาออยขนตนและผลตอบแทนการผลตและจ าหนายน าตาลทรายขนตน และราคาออยขนสดทายและผลตอบแทนการผลตและจ าหนายน าตาลทรายขนสดทาย
(๒) ขอมลทมความส าคญปานกลาง ไดแก ขอมลพนทปลกออย ขอมลภาพถายดาวเทยม ขอมลพนธออย ขอมลการสงออกน าตาล
(๓) ขอมลทมความส าคญนอย ไดแก ขอมลตามภารกจของ สอน. ทไมอยในขอ (๑) และ (๒)
ขอ ๘ ระดบการเขาถงขอมล แบงออกเปน ๓ ระดบ ดงน (๑) ขอมลทเขาถงไดเฉพาะผมสทธสงสด เพอเขาไปบรหารจดการระบบสารสนเทศ ไดแก
ผดแลระบบ (๒) ขอมลทเขาถงไดเฉพาะผไดรบอนมตสทธ หมายถง ขอมลทผใชงานตองไดรบการอนญาต
จากผรบผดชอบระบบสารสนเทศหรอผดแลระบบ ตามภาระหนาทและความจ าเปน (๓) ขอมลทเขาถงไดทกกลมผใชงาน หมายถงขอมลพนฐานทไดรบอนญาตจากผรบผดชอบระบบ
สารสนเทศหรอผดแลระบบ พจารณาแลววาสามารถเขาถงได
ขอ ๙ การก าหนดชองทางการเขาถงระบบสารสนเทศของ สอน. ตองก าหนด ดงน (๑) ตองใหผรบบรการสามารถเขาถงไดทงจากภายในและภายนอก สอน. (๒) ผรบบรการสามารถรบบรการขอมลขาวสารผานเวบไซตของ สอน. โดยไมตองลงทะเบยน (๓) ผรบบรการสามารถใชบรการสอบถามขอมลตาง ๆ ผานกระดานถามตอบท สอน.
จดเตรยมไวให โดย สอน. สงวนสทธในการลบขอความทไมสภาพ หยาบคาย ไมเหมาะสม หรอขดตอกฎหมายใด ๆ รวมทงขดตอศลธรรมอนด ออกจากระบบโดยไมจ าเปนตองแจงใหทราบ
สวนท ๔ การบรหารจดการดานความมนคงปลอดภยระบบเครอขาย
ขอ ๑ ก าหนดมาตรการทางเครอขายสอสารขอมลเพอปองกนขอมลในเครอขาย ระบบงาน หรอบรการตาง ๆ จากการถกเขาถงหรอถกท าลายโดยไมไดรบอนญาต ดงตอไปน
(๑) ก าหนดบคลากรผมหนาทรบผดชอบ งานทตองรบผดชอบ และขนตอนปฏบตส าหรบการบรหารจดการอปกรณเครอขายทใชในการเขาถงจากระยะไกล
นโยบายและแนวปฏบต ในการรกษาความมนคงปลอดภยดานสารสนเทศ พ.ศ. ๒๕๖๓ ห น า | ๒๐
(๒) ก าหนดขนตอนปฏบตส าหรบการบรหารจดการบญชผใชงานทอนญาตใหสามารถเขาใชระบบเทคโนโลยสารสนเทศจากระยะไกล
(๓) ก าหนดมาตรการพเศษเพอปองกนความลบและความถกตองของขอมลส าคญเมอตองสงผานขอมลนนทางเครอขายสาธารณะ โดยใหปฏบตตามระเบยบการรกษาความลบทางราชการ พ.ศ. ๒๕๔๔
(๔) ก าหนดมาตรการเพอปองกนระบบเทคโนโลยสารสนเทศทมการเชอมโยงกบเครอขายสาธารณะ (๕) ก าหนดมาตรการเพอเฝาระวงสภาพความพรอมใชของระบบเทคโนโลยสารสนเทศตาง ๆ
เพอใหสามารถใชงานไดอยางตอเนอง (๖) มการบนทกขอมลพฤตกรรมการใชงานเกบ Log ของอปกรณเครอขายเพอใชในการ
ตรวจสอบอยางสม าเสมอ (๗) มการใชฮารดแวรหรอซอฟตแวร ส าหรบการบรหารจดการเครอขาย เพอเฝาระบ
เฝาตรวจ ตดตามสถานะ อปกรณในระบบสารสนเทศของ สอน. (๘) ท าทะเบยนขอมลอปกรณ ครภณฑคอมพวเตอร อปกรณสอสารเคลอนทและระบบ
เครอขาย รวมทงหมายเลข Media Access Control Address (MAC Address) เพอใหสามารถระบอปกรณบนระบบเครอขายได
ขอ ๒ การควบคมการเขาถงเครอขาย (Network Access Control) (๑) การใชงานบรการเครอขาย
(๑.๑) ผดแลระบบ ด าเนนการออกแบบระบบเครอขายตามกลมการใหบรการระบบเทคโนโลยสารสนเทศทมการใชงาน ตามกลมผใช และกลมของระบบสารสนเทศ และก าหนดใหผใชสามารถเขาถงระบบสารสนเทศไดแตเพยงบรการทไดรบอนญาตใหเขาถงเทานน เพอเปนการควบคมและปองกนการบกรกไดอยางเปนระบบ และใหค านงถงความมนคงปลอดภยเปนส าคญ
(๑.๒) การเขาสระบบเครอขายของ สอน. ตองปฏบตตามขนตอนการลงทะเบยน (User Register) ตามท สอน. ก าหนดใน ภาคผนวก ก. โดยทผขอใชงานจะตองลงนามรบทราบนโยบายความมนคงปลอดภยและแนวปฏบตของ สอน. อยางเครงครดและจะตองไดรบการอนมตเปนลายลกษณอกษรจากผบงคบบญชาของหนวยงานตนสงกดและผานความเหนชอบจากหวหนากลมกอนทจะสามารถใชงานได ในทกกรณ
(๑.๓) การใชงานระบบสารสนเทศทส าคญตองใหสทธเฉพาะการปฏบตงานในหนาทและตองไดรบความเหนชอบจากผบงคบบญชาของหนวยงานเจาของระบบเปนลายลกษณอกษร รวมทงตองทบทวนสทธ ปละ ๑ ครง
(๑.๔) สทธการใชงานเครอขายเปนสทธพเศษ (Pivilege) ท สอน. มอบใหบคคล หรอหนวยงานทไดรบสทธ เฉพาะบรการหรอระบบสารสนเทศทไดรบอนญาตใหเขาถงเทานน ไมสามารถโอนสทธใหแกบคคลอนหรอหนวยงานอนได
(๑.๕) ผใชทฝาฝนระเบยบการใชงานระบบเครอขายคอมพวเตอรจะถกพจารณาระงบ และ/หรอ ยกเลกบญชผใชงาน และ กทส. จะแจงหนวยงานตนสงกดเพอพจารณาโทษผใชทฝาฝนระเบยบดวย
นโยบายและแนวปฏบต ในการรกษาความมนคงปลอดภยดานสารสนเทศ พ.ศ. ๒๕๖๓ ห น า | ๒๑
(๑.๖) การใชงานทไมอนญาตใหปฏบต (๑.๖.๑) การใชระบบเครอขายคอมพวเตอร เพอการกระท าสงทผดกฎหมาย
(๑.๖.๒) การเขาใชระบบคอมพวเตอรดวยบญชรายชอของผอนทงทไดรบอนญาตและไมไดรบอนญาตจากเจาของบญช
(๑.๖.๓) การเขาถงขอมลของผอนเพอคดลอก แกไข ลบ หรอพมเตม โดยไมไดรบอนญาต (๑.๖.๔) การใชงานทเปนสาเหตท าใหมผลตอประสทธภาพการท างานของระบบ
เครอขายลดลง หรอท าใหระบบคอมพวเตอรและระบบเครอขายคอมพวเตอรเสยหาย (๑.๖.๕) การเผยแพรและ/หรอการเขาถงสอลามกอนาจาร (๑.๖.๖) การใชทรพยากรและระบบเครอขายคอมพวเตอร เพอประกอบธรกจ
หรอเขาขายลกษณะเพอการคาหรอเพอแสวงหาก าไรผานเครองคอมพวเตอร และเครองแมขาย ไดแก การประกาศแจงความการซอหรอการจ าหนายสนคา การน าขอมลไปขาย การรบบรการคนหาขอมลโดยคดคาบรการ การบรการโฆษณาสนคา
(๑.๖.๗) ไมอนญาตใหใชงานโปรแกรมแชรขอมลประเภท Peer to Peer Network (๒) การยนยนตวบคคลส าหรบผ ใชทอยภายนอกองคกร (User Authentication for
External Connections) ส าหรบผใชทอยภายนอก สอน. ผดแลระบบตองก าหนดใหมการยนยนตวบคคล กอนทจะอนญาตเขาใชงานเครอขายและระบบสารสนเทศของ สอน. ดงน
(๒.๑) ในการเชอมตอเขาสระบบเครอขายของ สอน. ผใชงานตองมการ Login เพอแสดงตวตนดวย Username และ Password และพสจนยนยนตวตน (Authentication) เพอตรวจสอบความถกตอง
(๒.๒) การเขาสระบบสารสนเทศของ สอน. จะตองมการตรวจสอบเพอพสจนตวตนผใชงานอกครง จงอนญาตใหเขาถงระบบขอมลได
(๓) การระบอปกรณบนเครอขาย (Equipment Identification in Networks) (๓.๑) ผดแลระบบด าเนนการส ารวจขอมลอปกรณทเชอมตอบนเครอขายของทก
หนวยงานในอาคารของ สอน. ตามรอบการบ ารงรกษาระบบ (Preventive Maintenance) และจดท าเอกสารผลการส ารวจ จ านวน ๒ รายการ ไดแก
(๓.๑.๑) แผนภาพทแสดงต าแหนงทตงอปกรณภายในอาคารสถานท (๓.๑.๒) เอกสารแสดงการจดเกบขอมลในรปแบบตารางทแสดงความสมพนธ
ระหวางขอมล อยางนอย ดงน -- ชอของผใช/ผรบผดชอบอปกรณ -- ชออปกรณ และ Domain ของอปกรณ -- หมายเลข IP Address -- ชอสวนงานทใชอปกรณ -- หมายเลขครภณฑ -- วน เดอน ป ทท าการส ารวจ
นโยบายและแนวปฏบต ในการรกษาความมนคงปลอดภยดานสารสนเทศ พ.ศ. ๒๕๖๓ ห น า | ๒๒
(๓.๒) ผดแลระบบด าเนนการจดท าแผนปาย (Label) ทระบขอมลของอปกรณตามผลการส ารวจ ส าหรบตดก ากบทอปกรณเพอความสะดวกในการจ าแนกประเภทและชนดของอปกรณบนเครอขาย
(๔) การปองกนพอรตทใชส าหรบตรวจสอบและปรบแตงระบบ (Remote Diagnostic and Configuration Port Protection)
(๔.๑) บคคลภายนอกเขามาตดตอหรอเขามาด าเนนการใด ๆ ในหอง Server จะตอง ลงชอ เขา - ออก พนท ใหถกตองและไดรบการอนมตจากหวหนากลมกอน และตองมเจาหนาทอยกบบคคลทมาตดตอตลอดเวลา
(๔.๒) บคคลภายนอกทเขามาด าเนนการบ ารงรกษาระบบ ปรบแตงหรอบรหารจดการพอรตของอปกรณเครอขาย หรอบรหารจดการผานระบบเครอขาย ตองไดรบอนมตจากหวหนากลมกอน
(๔.๓) ผดแลระบบตองก าหนดการเปด - ปดพอรตของอปกรณเครอขาย เพอควบคมการเขาถงพอรตของอปกรณเครอขายตาง ๆ โดยจะปดพอรตทเสยงตอการกอใหเกดความเสยหายตอ ระบบเครอขายคอมพวเตอร
(๔.๔) ท าการควบคมการเขาถงพอรตทใชส าหรบการวเคราะหปญหาและตงคาระบบ ดวยการปดการเขาถงโดยตรงจากภายนอกทงหมด ผใชทตองการเขาถงพอรตจะตองท าการลอกอนเชอมตอกบ VPN กอนจงสามารถใชงานได กายภาพ และโดยการลอกอนเขามาใชงาน
(๔.๕) ผดแลระบบตองท าการ ตรวจสอบเพอ เปด – ปด พอรตของระบบหรออปกรณตามความจ าเปนตอการใชงานอยางนอยสปดาหละ ๒ ครง
(๕) การแบงแยกเครอขาย (Segregation in Networks) (๕.๑) ผดแลระบบ ตองมการออกแบบระบบเครอขายตามกลมการใหบรการระบบ
เทคโนโลยสารสนเทศทมการใชงาน ตามกลมผใช และกลมของระบบสารสนเทศ เพอเปนการควบคมและปองกนการบกรกไดอยางเปนระบบ และใหค านงถงความมนคงปลอดภยเปนส าคญ
(๕.๒) ผดแลระบบ ด าเนนการจดแบงระบบเครอขาย (VLAN) ของเครองคอมพวเตอร ลกขายออกเปนเครอขายยอย ตามโครงสรางอยางเหมาะสมในการปฏบตงานและการบรหารจดการ
(๕.๓) ผดแลระบบ ด าเนนการแยกเครองคอมพวเตอรแมขายส าหรบใหบรการขอมลสารสนเทศ กบเครองคอมพวเตอรส าหรบผใชงาน โดยใช Core Switch และ Firewall หรออปกรณเครอขายอน ๆ เพอจ ากดใหเฉพาะกลมผใชงานทไดรบอนญาตเทานน จงจะสามารถเชอมตอเขาไปยงเครองคอมพวเตอรแมขายทใหบรการนนได
(๕.๔) จดท าแผนผงระบบเครอขาย (Network Diagram) ทแสดงขอบเขตทครอบคลมแตละสวนทแบงแยก และอปกรณตาง ๆ พรอมทงปรบปรงใหเปนปจจบนอยเสมอ
(๖) การควบคมการเชอมตอทางเครอขาย (Network Connection Control) ตองควบคมการเขาถงหรอใชงานเครอขายทมการใชรวมกนหรอเชอมตอระหวางกนให สอดคลองกบแนวปฏบตการควบคมการเขาถง ดงน
นโยบายและแนวปฏบต ในการรกษาความมนคงปลอดภยดานสารสนเทศ พ.ศ. ๒๕๖๓ ห น า | ๒๓
(๖.๑) ระบบเครอขายทงหมดของหนวยงานทมการเชอมตอไปยงระบบเครอขายอน ๆ ภายนอกหนวยงาน ตองเชอมตอผานอปกรณปองกนการบกรกหรอโปรแกรมในการท า Packet Filtering ไดแก การใช IPS, Firewall, Proxy และ Mail Gateway
(๖.๒) ตดตงระบบตรวจจบและปองกนการบกรก (IDS/IPS) ส าหรบตรวจสอบการใชงานของบคคลทเขาใชงานระบบเครอขายของหนวยงานในลกษณะทผดปกตผานเครอขายหรอมการแกไขเปลยนแปลงระบบเครอขายโดยบคคลทไมมอ านาจหนาทเกยวของ
(๖.๓) การเชอมตอเขาสระบบเครอขายของ สอน. ผใชงานตองมการ Login ดวย Username และ Password และตองมการพสจนยนยนตวตน (Authentication) เพอตรวจสอบความถกตอง
(๖.๔) ในกรณทผดแลระบบตรวจสอบพบวาเครอขายสวนใดกอใหเกดความผดปกตตอระบบเครอขายหลก ของสอน. จะท าการหยดใหบรการโดยการตดการเชอมตอกบระบบเครอขายกลาง โดยไมมการแจงใหทราบลวงหนา จนกวาจะมการแกไขใหท างานไดเปนปกตกอน
(๖.๕) จดท าแผนผงระบบเครอขาย (Network Diagram) ซงมรายละเอยดเกยวกบขอบเขต (Zone) ของเครอขายภายในและเครอขายภายนอก และอปกรณตาง ๆ พรอมทงปรบปรงใหเปนปจจบนอยเสมอ
(๖.๖) ใหผดแลระบบใชเครองมอ (Tool) ไดแก BLUE COAT Management Consoleหรอ Dashboard Fortigate Firewall เพอท าการตรวจสอบการเชอมตอระบบเครอขาย
(๖.๗) ก าหนดใหมการบนทกการท างานของระบบปองกนการบกรก ไดแก บนทกการเขาออกระบบ บนทกการพยายามเขาสระบบ บนทกการใชงาน Command Line และ Firewall Log เพอประโยชนในการตรวจสอบและตองเกบบนทกดงกลาวไวอยางนอย ๓ เดอน หรอไมต ากวา ๙๐ วน
(๖.๘) มการตรวจสอบบนทกการปฏบตงานของผใชงานอยางสม าเสมอ (๗) การควบคมการจดเสนทางบนเครอขาย (Network Routing Control)
(๗.๑) ผดแลระบบ ด าเนนการก าหนดตารางการใชเสนทางบนระบบเครอขาย บนอปกรณคนหาเสนทาง (Router) หรอ อปกรณกระจายสญญาณ เพอควบคมการใชงานเฉพาะเสนทางทไดรบอนญาตเทานน
(๗.๒) ผดแลระบบ ตองจ ากดการใชเสนทางบนเครอขาย (Enforced Path) จากเครองคอมพวเตอรของผใชงานไปยงเครองคอมพวเตอรหรออปกรณเครอขายเพอการวเคราะหปญหาและตงคาระบบ ใหก าหนดเฉพาะชด IP Address ของผดแลระบบเทานนทสามารถเขาถงได
(๗.๓) ก าหนดบคคลทรบผดชอบในการก าหนด ตงคา แกไข หรอเปลยนแปลงคาตวแปร (Parameter) ตาง ๆ ของระบบเครอขายและอปกรณตาง ๆ ทเชอมตอกบระบบเครอขายอยางชดเจน และมการทบทวนการก าหนดคาตวแปร (Parameter) ตาง ๆ อยางนอยปละ ๑ ครง
(๗.๔) ขอมลหมายเลขชดอนเตอรเนตของคอมพวเตอร ( IP Address) ภายใน (Local) ของระบบงานเครอขายภายในของ สอน. จ าเปนตองมการปองกนมใหหนวยงานภายนอกทเชอมตอสามารถมองเหนได เพอเปนการปองกนไมใหบคคลภายนอกสามารถรขอมลเกยวกบโครงสรางของระบบเครอขายและสวนประกอบของ สอน. ไดโดยงาย
นโยบายและแนวปฏบต ในการรกษาความมนคงปลอดภยดานสารสนเทศ พ.ศ. ๒๕๖๓ ห น า | ๒๔
(๗.๕) หามท าการวางสายเครอขายเพมเตมเองโดยไมไดรบอนญาต ทงนรวมไปถงการตดตง เครอขายแบบไรสายดวย (Wireless Network) การตดตงและการเชอมตออปกรณเครอขายจะตองด าเนนการโดยเจาหนาท กทส. หรอผทไดรบมอบหมายจากผดแลระบบ เทานน
ขอ ๓ การเขาถงระบบเครอขายหรอระบบสารสนเทศจากระบบเครอขายภายนอก ผดแลระบบและผรบผดชอบระบบสารสนเทศของหนวยงานภายใน สอน. ตองดแลรกษาความปลอดภยโดยตองควบคมและจ ากดใหด าเนนการใชไดเฉพาะเทาทจ าเปนเทานน โดยมแนวทางปฏบต ดงน
(๑) การเขาสระบบจากระยะไกล (Remote Access) สระบบเครอขายคอมพวเตอรของ สอน. กอใหเกดชองทางทมความเสยงสงตอความปลอดภยของขอมลและทรพยากรของ สอน. การควบคมบคคลทเขาสระบบของ สอน. จากระยะไกลจงตองมการก าหนดมาตรการรกษาความปลอดภยทเพมขนจากมาตรฐานการเขาสระบบภายใน ผใชงานตองท าการเชอมตอผานระบบ VPN
(๒) วธการใด ๆ กตามทสามารถเขาสขอมลหรอระบบขอมลได จากระยะไกลตองไดรบการอนมตจากผบงคบบญชาหรอผทไดรบมอบอ านาจกอน และมการควบคมอยางเขมงวดกอนน ามาใชและผใชตองปฏบตตามขอก าหนดของการเขาสระบบและขอมลอยางเครงครด
(๓) การใหสทธในการเขาสระบบจากระยะไกล ผใชตองแสดงหลกฐานระบเหตผลหรอความจ าเปนในการด าเนนงานกบ สอน. อยางเพยงพอและตองไดรบอนมตจากผบงคบบญชากอน
(๔) การอนญาตใหผใชเขาสระบบจากระยะไกล ตองอยบนพนฐานของความจ าเปนเทานน และตองมการควบคมพอรต (Port) ทใชในการเขาสระบบอยางรดกม
(๕) ให กทส. จดท าระบบ VPN (Virtual Private Network) โดยเปนชองทางเฉพาะทมการเขารหสเพอปองกนการดกจบขอมลระหวางทาง โดยผใชงานจะสามารถเขาถงระบบสารสนเทศหรอระบบงานไดเฉพาะทตนเองมสทธเทานน ทงน ผใชงานจะตอง Login โดยใช Username และ Password ตามบญชผใชงานทกครง เพอพสจนยนยนตวตน (User Authentication) กอนใชงาน
สวนท ๕ การบรหารจดการระบบสารสนเทศ
ขอ ๑ การพฒนาระบบสารสนเทศของ สอน. จะตองควบคมการพฒนาระบบสารสนเทศใหมมาตรฐานดานความมนคงปลอดภย ดงน
(๑) มการพสจนตวตนของผใชงานและแจงเตอนเมอการพสจนตวตนผดพลาด (๒) สามารถแยก Function การท างานตามภาระหนาท (๓) สามารถสรางกลมผใชไดตามสทธของผใชงาน (๔) สามารถจดเกบ Log การใชงาน (๕) สามารถยนยนหรอแจงเตอนการเปลยนแปลงแกไขขอมล (๖) ม Function ในการปรบปรงสทธของผใชงาน
นโยบายและแนวปฏบต ในการรกษาความมนคงปลอดภยดานสารสนเทศ พ.ศ. ๒๕๖๓ ห น า | ๒๕
ขอ ๒ ผดแลระบบเปนผตรวจสอบ Function (s) ดานความมนคงปลอดภย ตามขอ ๑
ขอ ๓ ผดแลระบบและผรบผดชอบระบบสารสนเทศ ของหนวยงานภายใน สอน. ตองก าหนดระยะเวลาการใชงานระบบสารสนเทศ (Session Time-Out) ดงน
(๑) ก าหนดใหระบบสารสนเทศ ไดแก ระบบงาน ระบบเครอขาย มการตดการตดตอและหมดเวลาการใชงาน รวมทงปดการใชงานดวย หลงจากทไมมกจกรรมการใชงานชวงระยะเวลาหนงทก าหนดไว
(๒) ก าหนดใหระบบสารสนเทศมการตดการตดตอและหมดเวลาการใชงานทสนขนส าหรบระบบสารสนเทศทมความเสยงสง ไดแก ระบบงานทมการจดล าดบวาเปนขอมลทมความส าคญมาก หรอระบบงานทมการก าหนดชนความลบ เพอปองกนการเขาถงขอมลโดยไมไดรบอนญาต
(๓) แนวทางปฏบต (๓.๑) เมอผใชงานไมไดใชงานหรอวางเวนจากการใชงานในระยะเวลา ๑๕ นาท หรอตามท
ผรบผดชอบก าหนด ใหมการตดการเชอมตอการใชงานออกจากระบบสารสนเทศโดยอตโนมต (๓.๒) ถามความพยายามเขาสระบบใหม ใหยนยนการใชงานโดยใสชอผใช (Username)
และรหสผาน (Password) หรอวธการทปลอดภยในการยนยนตวบคคลในทก ๆ ครง
ขอ ๔ ผดแลระบบและผรบผดชอบระบบสารสนเทศ ของหนวยงานภายใน สอน. ตองก าหนดการจ ากดระยะเวลาการเชอมตอระบบสารสนเทศ (Limitation of Connection) ดงน
(๑) ก าหนดใหระบบงานทมการจ ากดชวงระยะเวลาการเชอมตอส าหรบการใชงานเพอใหผใชงานสามารถใชงานไดนานทสดภายในระยะเวลาทก าหนดเทานน
(๒) ก าหนดใหระบบสารสนเทศ ไดแก ระบบงานทมความส าคญสง ระบบงานทมการใชงานในสถานททมความเสยง (ในทสาธารณะหรอพนทภายนอกหนวยงาน) ระบบงานทก าหนดชนความลบ มการจ ากดชวงระยะเวลาการเชอมตอเพอปองกนบคคลทไมมสวนเกยวของเขาถงขอมลไดโดยงาย
(๓) การเชอมตอเขาสระบบสารสนเทศของ สอน. มแนวทางปฏบต ดงน (๓.๑) การเชอมตอเขาสระบบสารสนเทศของ สอน. ก าหนดใหใชงานได ๒ ชวโมงตอการ
เชอมตอหนงครง หรอตามผบงคบบญชาเหนสมควร (๓.๒) การเชอมตอเขาสระบบสารสนเทศของ สอน. ก าหนดใหใชงานไดเฉพาะใน
ชวงเวลาราชการ (๐๘.๓๐ – ๑๖.๓๐ น.) เทานน (๓.๓) การเชอมตอเขาสระบบสารสนเทศของ สอน. ถากระท าในชวงนอกเวลาท างาน
ตามปกต ตองแจงขอใชงานจากผดแลระบบกอนเพอใหมการบนทกไวตรวจสอบ
ขอ ๕ การควบคมผรบเหมา (Outsource) กรณมการจางเหมาบ ารงรกษา ดแล และพฒนาระบบ สารสนเทศ มวธการปฏบตดงน
(๑) มกระบวนการคดเลอกผรบเหมาโดยเฉพาะ และตองก าหนดคณสมบตของผรบเหมาท ชดเจน เพอใหไดผรบเหมาชวงทมคณสมบตตรงตามมาตรฐานทหนวยงานตองการ ดงน
นโยบายและแนวปฏบต ในการรกษาความมนคงปลอดภยดานสารสนเทศ พ.ศ. ๒๕๖๓ ห น า | ๒๖
(๑.๑) ตองมประสบการณ
(๑.๒) มลกคาอางองนาเชอถอ
(๑.๓) มใบรบรองทางดานทกษะวชาชพตามมาตรฐานสากล
(๑.๔) มความพรอมดานเทคโนโลยของการรบเหมาชวงทงในสวนของฮารดแวรและ ซอฟทแวรรวมถงระบบสนบสนนอน ๆ
(๒) มขอตกลงหรอสญญาอยางชดเจนในการวาจางผรบเหมาและ ตองก าหนดขอบเขตและ ระดบการรบเหมาชวงอยางชดเจน และผรบเหมาตองน าเสนอ รายละเอยดขอบเขตงาน อยางครบถวน
(๓) สอน. มสทธในการตรวจสอบตามสญญาการใชงานระบบเทคโนโลยสารสนเทศและการสอสารเพอใหมนใจไดวา สอน. สามารถควบคมการใชงาน ไดอยางทวถงตามสญญานน ดงน
(๓.๑) รายละเอยดเกยวกบวธการท างาน
(๓.๒) การก าหนดระยะเวลาตรวจตดตามคณภาพของผรบเหมาเปนระยะ ๆ หรอ แบบสม ตรวจสอบการปฏบตงานในจดทส าคญ เพอพจารณากระบวนการทผรบเหมาชวงใชในการปฏบตงาน และเพอประเมนความสม าเสมอของผรบเหมาในการกระท าตามขอก าหนดของหนวยงาน
(๔) ตองควบคมการเขาถงของขอมลทชดเจน มระบบบนทกการเขาถงขอมล และการส ารอง ขอมลทกขนตอน จ ากดการเขาถงขอมลส าคญหรอใหใชขอมลจากชดจ าลองแทนขอมลจรง และตองท าเรองขออนญาตเปนลายลกษณอกษร เพอขออนมตจากหวหนากลมเทคโนโลยสารสนเทศและการสอสาร โดยตองมรายละเอยดในการเขาระบบสารสนเทศอยางนอย ดงน
(๔.๑) เหตผลในการขอใชงาน
(๔.๒) ระยะเวลาในการใชงาน
(๔.๓) การตรวจสอบความปลอดภยของอปกรณทเชอมตอเครอขาย
(๔.๔) การตรวจสอบ Mac Address ของอปกรณทเชอมตอ
(๕) มหลกเกณฑและกระบวนการในการตรวจรบงานทสงมอบโดยผรบเหมาทชดเจน เพอใหไดงานตรงตามมาตรฐานทก าหนด
(๖) ผรบเหมาทท างานใหกบ สอน. ทกหนวยงาน ไมวาจะท างานอยภายใน หรอนอกสถานท จ าเปนตองลงนามใน “สญญาการไมเปดเผยขอมลของ สอน.” โดยสญญาตองท าใหเสรจกอนใหสทธในการเขาสระบบสารสนเทศ และ ผดแลระบบตองควบคมการปฏบตงานนน ๆ ใหมความปลอดภยทง ๓ ดาน คอ การรกษา ความลบ (Confidentiality) การรกษาความถกตองของขอมล (Integrity) และการรกษา ความพรอมทจะใหบรการ (Availability) และใหก าหนดการเขาใชงานเฉพาะบคคลทจ าเปน เทานน
นโยบายและแนวปฏบต ในการรกษาความมนคงปลอดภยดานสารสนเทศ พ.ศ. ๒๕๖๓ ห น า | ๒๗
(๗) ผรบเหมาตองจดท าคมอการปฏบตงาน และเอกสารทเกยวของรวมทง มการปรบปรงให ทนสมย และหากมการปรบเปลยนจะตองแกไขใหถกตอง เพอใชควบคมและตรวจสอบการ ใหบรการของ ผใหบรการวาเปนไปตามขอก าหนด
ขอ ๖ ระบบสารสนเทศทมผลกระทบตอองคกร ตองมการจดท าระบบส ารองขอมล
สวนท ๖ การควบคมการเขาถงระบบปฏบตการ โปรแกรมประยกต และโปรแกรมอรรถประโยชน
ขอ ๑ การตดตงโปรแกรมระบบปฏบตการ โปรแกรมประยกต และโปรแกรมอรรถประโยชนส าหรบเครองคอมพวเตอรแมขาย รวมทงเครองคอมพวเตอรลกขายของ สอน. ใหกระท าโดยผดแลระบบ โดยโปรแกรมดงกลาวตองไมละเมดลขสทธ
ขอ ๒ การควบคมการเขาถงระบบปฏบตการ ใหด าเนนการ ดงน (๑) กรณเครองแมขาย (Server Computer)
(๑.๑) ผดแลระบบด าเนนการเชอมตอเครองแมขายส าหรบใหบรการทกเครองเขากบระบบ Domain Controller ทท าหนาทบรหารจดการเครองคอมพวเตอร เพอใชบรหารจดการ ก าหนดนโยบาย ควบคลมดแลบญชผใชงาน ตรวจสอบเครองคอมพวเตอรทกเครองของ สอน.
(๑.๒) สรางบญชผใชงานและใหสทธในการเขาถงระบบปฏบตการเทาทจ าเปน และตองคอยตรวจสอบบญชรายชอออยางนอยเดอนละ ๑ ครง เพอยกเลกบญชทไมไดใชงาน
(๑.๓) หลกเลยงการใชบญช Administrator ในการเขาระบบ โดยใหสรางและใชบญชผใชงานทระบไดวาเปนผใดก าลงใชงานอย
(๑.๔) ผใชงานตองท าการลงบนทกออก (Logout) ทนทเมอเลกใชงาน (๑.๕) ผดแลระบบตองตรวจสอบ Event Log เปนประจ าเพอดวามผไมประสงคด
พยายามบกรกเขาถงระบบโดยไมไดรบอนญาตหรอไม (๑.๖) การเขาใชงานระบบปฏบตการจากเครอขายภายนอก จะตองผาน VPN ท
ก าหนดใหเทานน (๒) กรณเครองคอมพวเตอรลกขาย (Client Computer)
(๒.๑) ก าหนดใหเครองคอมพวเตอรทกเครองใน สอน. ทงสวนกลางและสวนภมภาคตองท าการ Join Domain เพอใหสามารถควบคมและก าหนดนโยบายผาน Domain Controller ได
(๒.๒) การตงคา BIOS บน Mainboard ใหตงรหสผานเพอปองกนการแกไข (๒.๓) ใหสทธการใชงานระบบปฏบตการของเครองคอมพวเตอรลกขายทระดบ User (๒.๔) ผใชงานตองตงคาโปรแกรมพกหนาจอ (Screen Saver) ใหมรหสผานเพอท าการ
ลอคหนาจอภาพ เมอไมมการใชงานเกนกวา ๕ นาท (๒.๕) ผใชงานตองท าการลงบนทกออก (Logout) ทนทเมอเลกใชงานหรอไมอยท
หนาจอเปนเวลานาน
นโยบายและแนวปฏบต ในการรกษาความมนคงปลอดภยดานสารสนเทศ พ.ศ. ๒๕๖๓ ห น า | ๒๘
ขอ ๓ การระบและยนยนตวตนของผใชงาน (User Identification and Authentication) ผใชงานตองแสดง ตวตนดวยชอผใชงาน และตองมการพสจนยนยนตวตนดวยการใชรหสผาน
ส าหรบการใชงานระบบ สารสนเทศ ดงน (๑) การพสจนตวตนส าหรบผใชงาน ผดแลระบบตองใหมการพสจนตวตนส าหรบผใชงานเปน
รายบคคลกอนทจะอนญาตใหเขาใชงานระบบ (๒) ผใชงานตองท าการพสจนตวตนโดยใช Username และ Password ของตนเองทกครง
กอนใช ระบบสารสนเทศและเครอขาย เพอปองกนผไมมสทธเขาใชงานระบบสารสนเทศ หากการระบและยนยน ตวตนของผใชงานมปญหา หรอเกดความผดพลาด ผใชงานด าเนนการแจงใหผดแลระบบท าการแกไข
(๓) ผใชงานตองเกบรกษาบญชผใชงานไวเปนความลบและหามเปดเผยตอบคคลอน หามโอน จ าหนาย หรอจายแจกใหผอน โดยไมไดรบอนญาตจากผบงคบบญชา
(๔) ผใชงานตองลงบนทกเขา (Login) โดยใชชอบญชผใชงานของตนเอง และท าการลงบนทกออก (Logout) ทกครง เมอสนสดการใชงานหรอหยดการใชงานชวคราว
ขอ ๔ การบรหารจดการรหสผาน (Password Management System)
ผดแลระบบตองจดท าหรอจดใหมระบบบรหาร จดการรหสผานทสามารถท างานเชงโตตอบ (Interactive) หรอมการท างานในลกษณะอตโนมต ซงเออตอการก าหนดรหสผานทมคณภาพ โดยตองปฏบต ดงน
(๑) จ ากดระยะเวลาในการปอนรหสผาน หากผใชงานปอนรหสผานผดเกนจ านวนครงทก าหนด ระบบจะท าการลอกสทธการเขาถงของผใชงาน ท าใหไมสามารถใชงานไดจนกวาผดแลระบบจะปลดลอกให
(๒) ระบบสามารถยตการเชอมตอจากเครองปลายทางได เมอพบวามความพยายามในการเดา รหสผานจากเครองปลายทาง
(๓) มระบบใหผใชงานสามารถเปลยนและยนยนรหสผานไดดวยตนเอง (๔) จดเกบไฟลขอมลรหสผานของผใชงานแยกตางหากจากขอมลของระบบงาน (๕) ไมแสดงขอมลรหสผานในหนาจอของผใชงานระหวางทผใชงานก าลงใสขอมลรหสผานของ
ตนเอง แตแสดงเปนเครองหมายจดหรอดอกจนบนหนาจอแทน (๖) เมอไดด าเนนการตดตงระบบแลว ใหยกเลกชอผใชงานหรอเปลยนรหสผานของทกชอผใช
ทไดถกก าหนดไวเรมตนทมาพรอมกบการตดตงระบบโดยทนท
ขอ ๕ โปรแกรมประยกตและโปรแกรมอรรถประโยชน ทเปนโปรแกรมมาตรฐานซงผดแลระบบตดตงใหเมอมการสงมอบเครองคอมพวเตอรแกผใชงาน มดงน
(๑) Microsoft Office (๒) Microsoft Windows (๓) Acrobat Reader (๔) Bitdefender Antivirus (๕) WinRAR/WinZip (๖) Google Chrome
นโยบายและแนวปฏบต ในการรกษาความมนคงปลอดภยดานสารสนเทศ พ.ศ. ๒๕๖๓ ห น า | ๒๙
ขอ ๖ ในกรณทผใชงานของหนวยงานใดตองการใชงานโปรแกรมอน ๆ นอกเหนอจากขอ ๕ ใหแจงเหตผลความจ าเปนมาท กทส. เพอพจารณาด าเนนการใหตอไป
สวนท ๗ การบรหารจดการดานความมนคงปลอดภยระบบเครอขายไรสาย
ขอ ๑ การควบคมการเขาถงระบบเครอขายไรสาย (Wireless LAN Access Control) มแนวทางปฏบต ดงน
(๑) ผดแลระบบตองควบคมสญญาณของอปกรณกระจายสญญาณ (Access Point) ใหรวไหลออกนอกพนทใชงานระบบเครอขายไรสายนอยทสด
(๒) ผดแลระบบท าการเปลยนคา SSID (Service Set Identifier) ทถกก าหนดเปนคาโดยปรยาย (Default) มาจากผผลตทนทน าอปกรณกระจายสญญาณ (Access Point) มาใชงาน
(๓) ผดแลระบบตองก าหนดคา WEP (Wired Equivalent Privacy) หรอ WPA (Wi-Fi Protected Access) ในการเขารหสขอมลระหวาง Wireless LAN Client และอปกรณกระจายสญญาณ (Access Point) และก าหนดคาใหไมแสดงชอระบบเครอขายไรสาย
(๔) ผดแลระบบเลอกใชวธการควบคม MAC Address (Media Access Control Address) หรอ ชอผใช (Username) รหสผาน (Password) ของผใชบรการทมสทธในการเขาใชงานระบบเครอขาย ไรสาย โดยจะอนญาตเฉพาะอปกรณทม MAC Address และ/หรอชอผใช (Username) และรหสผาน (Password) ตามทก าหนดไวเทานนใหเขาใชระบบเครอขายไรสายไดอยางถกตอง
(๕) ผดแลระบบมการตดตงไฟรวอลล (Firewall) ระหวางระบบเครอขายไรสายกบระบบเครอขายภายในหนวยงาน
(๖) ผดและระบบตองใชซอฟตแวรหรอฮารดแวรตรวจสอบความมนคงปลอดภยของระบบเครอขายไรสายเพอคอยตรวจสอบและบนทกเหตการณทนาสงสยเกดขนในระบบเครอขายไรสายทผดปกต ใหผดแลระบบ รายงานตอผบงคบบญชาใหทราบทนท
(๗) ผใชงานทมความประสงคจะใชงานระบบเครอขายไรสาย (Wireless) ตองปฏบตตามขนตอนการลงทะเบยน (User Register) ตามท สอน. ก าหนดในภาคผนวก ก. เพอใหมสทธในการใชระบบเครอขายไรสาย (Wireless) ตามภารกจและความจ าเปน
(๘) ผขอใชงานทไดรบอนมตแลว จะตองน าอปกรณไปท าการลงทะเบยนกบผดแลระบบกอนการใชงาน
ขอ ๒ การใชงานระบบเครอขายไรสาย มแนวปฏบต ดงน
(๑) หามผใชงานน าอปกรณ Wireless มาตดตงหรอเปดใชงานเองในหนวยงาน ไมวาจะเปนAccess point, Wireless Router, Wireless USB Client หรอ Wireless Card (๒) หามผใชงานเปดแชร Internet แบบ ad-hoc หรอ peer-to-peer Network หรอเปด แชรดวย Hotspot Bluetooth USB ผานโทรศพทมอถอ หรอสมารทโฟน
นโยบายและแนวปฏบต ในการรกษาความมนคงปลอดภยดานสารสนเทศ พ.ศ. ๒๕๖๓ ห น า | ๓๐
(๓) ผใชงานตอง Login เพอพสจนตวตน โดยใช Username และ Password ตามบญชผใชงานทกครง
สวนท ๘ การรกษาความมนคงปลอดภยของจดหมายอเลกทรอนกส
ขอ ๑ ผใชงานระบบจดหมายอเลกทรอนกส ของ สอน. มหนาทและความรบผดชอบทตองปฏบต ดงน (๑) ผมความประสงคจะใชบรการจดหมายอเลกทรอนกส (E-mail) ตองท าการกรอกแบบฟอรม
การขอเขาใชบรการจดหมายอเลกทรอนกส ของหนวยงาน โดยยนค าขอผานหนวยงานทสงกดตามขนตอน (๒) เมอมการเขาสระบบจดหมายอเลกทรอนกสในครงแรกนน ควรเปลยนรหสผานโดยทนท (๓) ไมควรบนทกหรอเกบรหสผานไวในระบบคอมพวเตอร หรอเกบไวในททสงเกตได (๔) ไมเปดอานจดหมายทไมปรากฏชอเรอง (Subject) หรอชอผสงไมชดเจน (๕) ผใชตองไมเขาใชบญชจดหมายอเลกทรอนกสของผใชอนไมวาจะไดรบอนญาตหรอไมกตาม (๖) การสงจดหมายอเลกทรอนกสใหกบผรบบรการ หรอตามภารกจของหนวยงาน ผใชงานจะตองใชระบบจดหมายอเลกทรอนกสของสอน. เทานน หามไมใหใชระบบจดหมายอเลกทรอนกสอน เวนแตในกรณทระบบจดหมายอเลกทรอนกสของ สอน. ขดของและ ไดรบการอนญาตจากผบงคบบญชาแลวเทานน (๗) การใชงานจดหมายอเลกทรอนกส ผใชงานตองไมปลอมแปลงชอบญชผสง (๘) การใชงานจดหมายอเลกทรอนกส ตองใชภาษาสภาพ ไมขดตอจรยธรรม ไมท าการ ปลกปน ยวย เสยดส สอไปในทางผดกฎหมาย และผใชงานตองไมสงขอความทเปนความเหนสวนบคคล โดยอางวาเปนความเหนของ สอน. (๙) หามใชระบบจดหมายอเลกทรอนกสของ สอน. เพอเผยแพร ขอความ รปภาพ วดโอ เสยง ทมลกษณะ หยาบคาย หรอลามกอนาจารหรอสงอนใด ซงมลกษณะขดตอศลธรรม ความมนคงของประเทศ กฎหมาย หรอกระทบตอการด าเนนงานของ สอน. ตลอดจนเปนการรบกวนผใชงานอน รวมทงผรบบรการ สอน. (๑๐) หามใชระบบจดหมายอเลกทรอนกสของ สอน. เพอประกอบธรกจสวนตว หรอเพอบคคลอน (๑๑) การสงขอมลทเปนความลบ ไมควรระบความส าคญของขอมลลงในหวขอจดหมายอเลกทรอนกส (๑๒) หลงจากการใชงานระบบจดหมายอเลกทรอนกส เสรจสนควรออกจากระบบ (Logout) ทกครง
ขอ ๒ การระงบบญชจดหมายอเลกทรอนกส
บญชจดหมายอเลกทรอนกสเปนสทธพเศษเฉพาะ (Privilege) ทผใชไมสามารถโอนสทธใหแกผใชอนได สอน. คงไวซงอ านาจในการจ ากด ระงบ หรอเพกถอนสทธการใชโดยไมตองแจงใหผใชทราบลวงหนา หากไดรบแจงหรอตรวจพบการกระท าใดทขดกบนโยบาย หรออาจกอใหเกดปญหา ความมนคงปลอดภย หรอเสถยรภาพของระบบ หรอการกระท าทขดตอนโยบายหรอกฎหมายแหงรฐ การระงบใชบญชจดหมายอเลกทรอนกส มแนวปฏบต ดงน (๑) เมอผใชพนสภาพการอยในสงกดของ สอน. ผดแลระบบสามารถระงบบญชผใช ซงสงผลใหการเขาใชบญชจดหมายอเลกทรอนกสผานบญชนนถกระงบไปดวย
นโยบายและแนวปฏบต ในการรกษาความมนคงปลอดภยดานสารสนเทศ พ.ศ. ๒๕๖๓ ห น า | ๓๑
(๒) ผใชสามารถรองขอการขยายสทธการใชบญชผใชเพอคงสทธ การใชบญชจดหมายอเลกทรอนกสเดมไวเมอตองพนสภาพการอยในสงกดของ สอน. โดยยนค ารองผานผบรหารตนสงกดพรอมแนบเหตผลความจ าเปนสงถง กทส. การอนญาตและระยะเวลาการขยายสทธใหเปนอ านาจของหวหนากลม หรอผบรหารสงสดมอบหมาย (๓) บญชผใชจดหมายอเลกทรอนกสของผใช สามารถถกระงบการใชงาน โดยค ารองขอจากผบรหารสงสดหรอผบรหาร หากพบวามการใชบญชจดหมายอเลกทรอนกสของผใชในสงกดของหนวยงานท ขดกบนโยบายฉบบน (๔) บญชจดหมายอเลกทรอนกสของผใช สามารถถกระงบการใชงานโดยทนทโดยผดแลระบบ หากตรวจพบวามการใชงานทสงผลกระทบใหประสทธภาพระบบเครอขายดอยลงหรอขดตอนโยบาย ไมวาจะเปนการใชโดยผใชหรอการลกลอบเขาใชโดยผอน ทงน กทส. มสทธระงบการใชบญชจดหมายอเลกทรอนกส นน ๆ โดยไมตองแจงใหผใชทราบลวงหนา
สวนท ๙ หนาทความรบผดชอบของผใชงาน (User Responsibilities)
วตถประสงค เพอปองกนการเขาถงโดยไมไดรบอนญาต การเปดเผย หรอการขโมยขอมลระบบสารสนเทศ
ขอ ๑ การใชงานรหสผาน (Password Use) แนวทางปฏบต
(๑) จดเกบรหสผานไวในสถานททมความปลอดภย ไมตดรหสผานไวบร เวณเครองคอมพวเตอรหรอโตะท างาน (๒) ไมเปดเผยรหสผานของตนเองแกผอน (๓) เปลยนรหสผานโดยทนทเมอทราบวารหสผานของตนอาจถกเปดเผยหรอลวงรโดยผอน (๔) เปลยนรหสผานใหมตามรอบระยะเวลาทก าหนดไว
(๕) ไมก าหนดใหระบบงานท าการบนทกหรอจดจ ารหสผานของตนเองไว ไดแก การบนทกไวในหนาจอลอกอน ทงนเพอความสะดวกของตนเองเมอท าการลอกอนในภายหลง จะไดไมตองใสรหสผานอกครง
ขอ ๒ การปองกนอปกรณทไมมผดแล (Unattended User Equipment) ผใชงานควรมความตระหนกและเอาใจใสวาอปกรณขององคกรในบางชวงระยะเวลา ทไมมผดแล ควรมการปองกนทเหมาะสม (เพอปองกนการสญหายหรอถกเขาถงโดยไมไดรบอนญาต)
แนวทางปฏบต (๑) ผใชงานตองปองกนอปกรณคอมพวเตอรทตนเองใชงานเพอปองกนการสญหายหรอ ถกเขาถงโดยไมไดรบอนญาต (๒) ผใชงานตองออกจากระบบสารสนเทศ (Log Off) โดยทนทเมอเสรจสนการใชงาน เพอปองกนผไมประสงคดสวมรอยเขาใชระบบและเขาถงขอมลในระบบโดยไมไดรบอนญาต
นโยบายและแนวปฏบต ในการรกษาความมนคงปลอดภยดานสารสนเทศ พ.ศ. ๒๕๖๓ ห น า | ๓๒
(๓) เพอรกษาความปลอดภยของคอมพวเตอรจากการใชงานทไมถกตอง ผใชควรมการตงคารหสผานในการ เขาใชงาน และตงคารหสผานการลอคหนาจอเมอไมมการใชงานเกนกวา ๑๐ นาท เพอปองกนไมใหผอนเขาใชงานเครองคอมพวเตอรหรอระบบสารสนเทศขององคกรโดยหลงจากทมการลอคหนาจอแลว ผใชงานตองใสรหสผานใหถกตองจงจะสามารถเปดหนาจอเพอเขาถงเครองคอมพวเตอรหรอระบบสารสนเทศได (๔) ควรลอคอปกรณคอมพวเตอรส าคญเมอไมไดถกใชงานหรอตองปลอยทงไวโดยไมไดดแลชวคราวเพอปองกนการสญหายหรอถกขโมย
ขอ ๓ การควบคมสนทรพยสารสนเทศและการใชงานระบบคอมพวเตอร (Clear Desk and Clear Screen Policy) เพอควบคมไมใหมการทงหรอปลอยทรพยสนสารสนเทศทส าคญ ไดแก เอกสาร สอบนทกขอมลตาง ๆ ใหอยในสถานททไมปลอดภย หรอสถานททสามารถเขาถงไดทางกายภาพ ซงอยในบรเวณทเปดหรอทสาธารณะทผอนสามารถเขาถงได รวมถงการปองกนหนาจอเครองคอมพวเตอรจากการถกเขาถงขอมลโดยไมไดรบอนญาต
แนวทางปฏบต
(๑) มการปองกนสนทรพยของหนวยงาน และควบคมไมใหมการทงหรอปลอยสนทรพย สารสนเทศทส าคญใหอยในสถานทไมปลอดภย โดยมการจดการบรเวณลอมรอบ การควบคม การเขา - ออก การจดบรเวณการเขาถงการสงผลตภณฑโดยบคคลภายนอก การวางอปกรณ และระบบสนบสนนการท างาน
(๒) มการก าหนดขอบเขตของการปองกน ดงน (๒.๑) ทกคนตองตระหนกและปฏบตการใด ๆ เพอปองกนสนทรพยของหนวยงาน
(๒.๒) ลงชอออกจากระบบงานและระบบปฏบตการคอมพวเตอรทนท เมอจ าเปนตองปลอยทงโดยไมมผดแล
(๒.๓) จดเกบขอมลส าคญในสถานททมความปลอดภย (๒.๔) ไมเกบขอมลส าคญของหนวยงานไวบนเครองคอมพวเตอร หรอสอบนทกขอมลท
เปนสมบตสวนบคคล (๒.๕) ลอคเครองคอมพวเตอร เมอไมไดใชงาน (๒.๖) ปองกนเครองโทรสาร เมอไมมผใชงาน (๒.๗) ปองกนตหรอบรเวณทใชในการรบสงเอกสารไปรษณย
(๒.๘) ปองกนไมใหผอนใชอปกรณ กลองดจตอล เครองส าเนาเอกสาร เครองสแกนเอกสาร (๒.๙) น าเอกสารออกจากเครองพมพทนททพมพงานเสรจ (๓) ควบคมการเขาถงขอมล สอบนทกขอมล หรอสนทรพยดานสารสนเทศ โดยผเปนเจาของ
หรอผทไดรบมอบหมายเทานน (๔) การลบ หรอเขยนขอมลทบบนขอมลทส าคญ ในอปกรณทใชในการบนทกขอมลกอนทจะ
อนมตใหผอนน าอปกรณนนไปใชงานตอ เปลยนทดแทน หรอ ท าลาย เพอปองกนไมใหเขาถง ขอมลส าคญได
นโยบายและแนวปฏบต ในการรกษาความมนคงปลอดภยดานสารสนเทศ พ.ศ. ๒๕๖๓ ห น า | ๓๓
(๕) ส ารองและลบขอมลทเกบอยในสอบนทกกอนสงเครองคอมพวเตอรไปตรวจซอม เพอปองกน การสญหาย หรอการเขาถงขอมลโดยไมไดรบอนญาต
(๖) ก าหนดมาตรการควบคมการจ าหนายอปกรณคอมพวเตอรหรอการน าสอบนทกขอมลกลบมาใชงานอกครง ดงน
(๖.๑) ใหท าลายขอมลลบหรอขอมลส าคญในสอบนทกขอมลประเภทตาง ๆ กอนทจะแทงจ าหนายอปกรณดงกลาว เพอปองกนการเขาถงขอมลส าคญทยงคงคางอยบนส อบนทกขอมลนน และใหปฏบตตามแนวทางการท าลายสอบนทกขอมล ดงน
ประเภทสอบนทกขอมล วธการท าลาย กระดาษ ใชการหนดวยเครองหนท าลายเอกสาร Flash Drive, Thumb Drive, USB Drive ใชวธการทบหรอบดใหเสยหาย ฮารดดสก ใชการท าลายขอมลบนฮารดดสกดวยวธการ Format ตาม
มาตรฐานการท าลายขอมลบนฮารดดสกของกระทรวงกลาโหม สหรฐอเมรกา DoD 5220.22-M (ซงมการเขยนทบขอมลเดมเปนจ านวนหลายรอบ)
แผน CD/DVD ใชการหนดวยเครองหนท าลาย CD/DVD
(๖.๒) มมาตรการหรอเทคนคในการลบหรอเขยนขอมลทบบนขอมลทมความส าคญในอปกรณส าหรบจดเกบขอมลกอนทจะอนญาตใหผอนน าอปกรณนนไปใชงานตอ เพอปองกนไมใหมการเขาถงขอมลส าคญนนได
นโยบายและแนวปฏบต ในการรกษาความมนคงปลอดภยดานสารสนเทศ พ.ศ. ๒๕๖๓ ห น า | ๓๔
หมวดท ๒ การจดท าระบบส ารองขอมลและการเตรยมความพรอมกรณฉกเฉน
___________________________________________________________________________
วตถประสงค
๑. เพอใหระบบสารสนเทศของหนวยงานสามารถใหบรการไดอยางตอเนอง ๒. เพอใหเปนมาตรฐาน แนวทางปฏบตและความรบผดชอบของผดแลระบบในการปฏบตงานใหกบหนวยงานอยางเครงครด และตระหนกถงความส าคญของการรกษาความมนคงปลอดภย ๓. เพอใหผใชงานไดรบรเขาใจและสามารถปฏบตตามแนวทางทก าหนดโดยเครงครด และตระหนกถงความส าคญของการรกษาความมนคงปลอดภยของระบบสารสนเทศ
แนวปฏบต
สวนท ๑ การส ารองขอมลส าคญและการเตรยมรบมอกบเหตฉกเฉน
ขอ ๑ ผรบผดชอบระบบสารสนเทศของหนวยงานภายใน สอน. ตองก าหนดแนวทางปฏบตในการส ารองและกคนขอมล ดงน
(๑) ก าหนดและคดเลอกระบบงานทมความจ าเปนตองส ารองขอมลไว ใหสามารถพรอมน ากลบมาใชงานไดอยางสมบรณ
(๒) ก าหนดหนาทและความรบผดชอบของเจาหนาททดแลระบบสารสนเทศ ระบบส ารอง ขอมล และการกคน การจดท าแผนรองรบสถานการณฉกเฉนทอาจจะเกดขนกบระบบเทคโนโลยสารสนเทศ (IT Contingency Plan) จากกรณฉกเฉนทไมสามารถด าเนนการทางอเลกทรอนกสได
(๓) ก าหนดชนดของขอมลทมความจ าเปนตองส ารองขอมลเกบไว โดยมหลกเกณฑการคดเลอก ดงน (๓.๑) ระบบทมผลกบการใหบรการประชาชน ไดแก Website , e-Service (๓.๒) ระบบตดตอสอสารของ สอน. ไดแก ระบบจดหมายอเลกทรอนกส (๓.๓) ระบบทใชปฏบตงานตามภารกจของ สอน. ไดแก ระบบสารบรรณ ระบบบคลากร
ระบบฐานขอมลการผลตออยและน าตาลทราย ระบบออกใบอนญาตน าเขา-สงออกน าตาลทราย (๔) ก าหนดความถโดยจดท าแผนในการส ารองขอมลของระบบปฏบตการและระบบงาน หาก
ระบบงานทมการเปลยนแปลงบอยจะตองมความถในการส ารองขอมลมากขน (๕) ก าหนดขนตอนการส ารองขอมล และการกคนขอมลอยางถกตอง รวมทงซอฟตแวรทใชใน
การส ารองขอมล (๖) ท าการส ารองขอมลตามความถทก าหนดไว ไปยงศนยคอมพวเตอรส ารอง (Dr Site) (๗) ท าการตรวจสอบวาการส ารองขอมลทเกดขนนน ส าเรจครบถวนหรอไม (๘) ท าการทดสอบกคนขอมลทส ารองไวอยางนอยปละ ๑ ครง รวมทงด าเนนการทดสอบวา
ระบบงานทงหมดสามารถใชงานไดหรอไม
นโยบายและแนวปฏบต ในการรกษาความมนคงปลอดภยดานสารสนเทศ พ.ศ. ๒๕๖๓ ห น า | ๓๕
(๙) แนวปฏบตส าหรบการส ารองขอมล ดงน (๙.๑) ผดแลระบบตองจดใหมการส ารองขอมลและทดสอบขอมลทส ารองเกบไวอยาง
สม าเสมอ (๙.๒) การจดท าบนทกการส ารองขอมล (Operation Logs) ผดแลระบบตองท าบนทก
รายละเอยดการส ารองขอมล ไดแก เวลาเรมตนและสนสด ชอผส ารอง ชนดของขอมลทบนทก (๙.๓) การรายงานขอผดพลาด (Fault Logging) ผดแลระบบตองท ารายงานขอผดพลาด
จากการส ารองขอมลทเกดขน รวมทงวธการทแกไขดวย (๙.๔) ใหผดแลระบบมอบหมายหนาทการส ารองขอมลแกเจาหนาทคนอนไวส ารองใน
กรณทผดแลระบบไมสามารถปฏบตงานได (๙.๕) ในกรณพบปญหาในการส ารองขอมลจนเปนเหตไมสามารถด าเนนการอยาง
สมบรณได ใหด าเนนการแกไขปญหาและสรปผลการแกไขปญหาและรายงานตอผอ านวยการส านกทราบ (๙.๖) ใหผดแลระบบก าหนดชนดและชวงเวลาการส ารองขอมลตามความเหมาะสม
พรอมทงก าหนดสอทใชเกบขอมล (๙.๗) การเขารหสขอมลส าคญในการส ารองขอมล (Encrypted Backup) ผดแลระบบ
ตองจดใหมการเขารหสขอมลส ารองทส าคญ โดยการใชเทคโนโลยการเขารหสทเหมาะสมเพอปองกนมใหขอมลส ารองเหลานนถกเปดเผย
(๑๐) จดท าแผนรองรบสถานการณฉกเฉนทอาจจะเกดขนกบระบบเทคโนโลยสารสนเทศ (IT Contingency plan) เพอใหสามารถกคนระบบกลบคนไดภายในระยะเวลาทก าหนด และมรายละเอยด ดงตอไปน
(๑๐.๑) ก าหนดหนาท และความรบผดชอบตอผทเกยวของทงหมด (๑๐.๒) ประเมนความเสยงส าหรบระบบงานทมความส าคญเหลานน และก าหนด
มาตรการเพอลดความเสยง กรณไฟดบเปนระยะเวลานาน ไฟไหม แผนดนไหว การชมนมประทวง ท าใหไมสามารถเขามาใชระบบงานได
(๑๐.๓) ก าหนดชองทางในการตดตอสอสารกบผใหบรการภายนอก ไดแก ผใหบรการเครอขาย ฮารดแวร ซอฟตแวร การไฟฟา การประปา โทรศพท เมอเกดเหตจ าเปนทจะตองตดตอในกรณเกดเหตฉกเฉนตาง ๆ
(๑๐.๔) ท าการทบทวนปรบปรงแผนเตรยมความพรอมกรณเกดเหตฉกเฉนอยางนอย ปละ ๑ ครง
(๑๐.๕) จดประชมและแจงใหผทเกยวของทงหมดไดรบทราบรายละเอยดของแผนเตรยมความพรอมกรณเกดเหตฉกเฉน รวมทงเมอมการปรบปรงแผนใหมจะตองจดประชมใหมและแจงใหผท เกยวของทราบ
นโยบายและแนวปฏบต ในการรกษาความมนคงปลอดภยดานสารสนเทศ พ.ศ. ๒๕๖๓ ห น า | ๓๖
สวนท ๒ การบรหารจดการเหตการณดานความมนคงปลอดภย
ขอ ๑ การแจงเหตการณทางดานความมนคงปลอดภย (๑) ใหเจาหนาทหรอผปฏบตงานแจงไปยง กทส. ทนททพบเหตการณทอาจเปนปญหาตอ
ความมนคงปลอดภยในการใชระบบเทคโนโลยสารสนเทศของ สอน. อนไดแก (๑.๑) มโปรแกรมไมประสงคดเขามาในระบบ (๑.๒) มการบกรกเขามาในเครอขาย (๑.๓) ขอมลส าคญเปลยนแปลงหรอสญหาย (๑.๔) มการเปดเผยขอมลส าคญโดยไมไดรบอนญาต (๑.๕) มการน าขอมลส าคญไปใชผดวตถประสงค (๑.๖) มการใชระบบเทคโนโลยสารสนเทศผดวตถประสงค (๑.๗) พบจดออนในระบบงาน ซอฟตแวร หรอฮารดแวรทใชงาน (๑.๘) มการโจมตเขามาในระบบจนไมสามารถใหบรการได (๑.๙) ระบบเทคโนโลยสารสนเทศช ารดหรอสญหาย (๑.๑๐) บคคลภายนอกเขาใชระบบงานของ สอน. โดยไมไดรบอนญาต (๑.๑๑) มการตดตงซอฟตแวรเพอขโมยขอมลหรอเขาถงขอมลในเครอขาย (๑.๑๒) มเหตการณทเปนการละเมดความมนคงปลอดภยของ สอน.
(๒) ใหความรวมมอและอ านวยความสะดวก รวมทงปฏบตตามค าแนะน าของผ บรหาร หรอ กทส. ในการตรวจสอบเหตการณทางดานความมนคงปลอดภยทเกดขน
ขอ ๒ ความรบผดชอบของผดระบบและผรบผดชอบระบบสารสนเทศของ สอน. เมอไดรบแจงจากผใชงานเกยวกบเหตการณทางดานความมนคงปลอดภยทเกดขนหรอทตรวจพบดวยตนเอง ใหปฏบตตามขนตอนดงตอไป
(๑) ประเมนผลกระทบของเหตการณทเกดขนวามผลกระทบในระดบใด (สง กลาง หรอต า) (๒) แจงหวหนากลม เพอรายงานผบงคบบญชาตามล าดบชนใหไดรบทราบตามระดบของ
ผลกระทบ (๓) วเคราะหและแกไขสถานการณตามความจ าเปน กรณการบกรก การโจมตระบบ หรอ
ระบบไดรบความเสยหาย ประสานงานขอความชวยเหลอจากผร ไดแก ศนยประสานงานการรกษาความปลอดภยคอมพวเตอรประเทศไทย (Thai CERT)
(๔) กรณมความจ าเปนตองเกบหลกฐานทางคอมพวเตอรใหผทผานการอบรมหรอฝกฝนเปนผด าเนนการเพอปองกนไมใหหลกฐานเกดความเสยหาย จดเกบหลกฐานไวในสถานททปลอดภยและจ ากดการเขาถงหลกฐานนน
(๕) จดท ารายงานสรปเหตการณนบตงแตไดรบแจงเฉพาะเหตการณทมผลกระทบตงแตระดบปานกลางขนไปและแจงเวยนใหผทเกยวของไดรบทราบ
นโยบายและแนวปฏบต ในการรกษาความมนคงปลอดภยดานสารสนเทศ พ.ศ. ๒๕๖๓ ห น า | ๓๗
ขอ ๓ ความรบผดชอบของผบงคบบญชากรณทมการละเมดการปฏบต ดงน (๑) ใหแจงรายงานตามสายการบงคบบญชาใหหนวยงานทเกยวของทราบ (๒) สงการสอบสวนหาตวผกระท าผดและผรบผดชอบโดยเรวทสด (๓) พจารณาแกไขขอบกพรองและปองกนไมใหเหตการณเกดซ าอก
ขอ ๔ ความรบผดชอบของหนวยงานทรบผดชอบระบบสารสนเทศ เมอไดรบแจงวาไดเกดการละเมดการรกษาความปลอดภย ใหหนวยงานเจาของระบบสารสนเทศด าเนนการดงน
(๑) พจารณาวาขอมลสารสนเทศ เอกสารกรรมวธขอมลตาง ๆ ประมวลลบ หรอรหสผานทจ าเปนในการใชเครอขายสอสารขอมลสารสนเทศมผลกระทบเสยหายอยางใดหรอไม
(๒) ขจดความเสยหายทเกดขนหรอคาดวาจะเกดขนจากการละเมดโดยทนท อาจจะตองด าเนนการแกไขเปลยนแปลงแผนงานและวธปฏบตพรอมทงปจจยตาง ๆ ทเกยวของตามทเหนสมควร
ขอ ๕ ความรบผดชอบผใชงานตอประกาศฉบบน มดงน (๑) ปฏบตตามประกาศนอยางเครงครดและตองไมละเลยตอหนาทความรบผดชอบของ
ตนเอง (๒) ไมเขาถง เปดเผย เปลยนแปลง แกไข หรอท าลายโดยไมไดรบอนญาต หรอท าใหเสยหาย
ตอระบบคอมพวเตอรและเครอขายของ สอน. (๓) ไมรบกวนหรอแทรกแซงการสอสารขอมลในเครอขายคอมพวเตอรของ สอน. (๔) รายงานเหตการณความเสยง จดออน หรอเหตการณดานความมนคงปลอดภยทพบไปยง
กทส. โดยเรวทสด
นโยบายและแนวปฏบต ในการรกษาความมนคงปลอดภยดานสารสนเทศ พ.ศ. ๒๕๖๓ ห น า | ๓๘
หมวดท ๓ การตรวจสอบและประเมนความเสยงดานสารสนเทศ
___________________________________________________________________________
วตถประสงค ๑. เพอใหมการตรวจสอบและประเมนความเสยงของระบบสารสนเทศหรอสถานการณดานความ
มนคงปลอดภยทไมพงประสงคหรอไมอาจคาดคดได ๒. เพอเปนการปองกนและลดระดบความเสยงทอาจจะเกดขนไดกบระบบสารสนเทศ ๓. เพอเปนแนวทางในการปฏบตหากเกดความเสยงทเปนอนตรายตอระบบสารสนเทศ
แนวปฏบต
การตรวจสอบและประเมนความเสยงดานสารสนเทศ
ขอ 1 มกำรตรวจสอบและประเมนควำมเสยงดำนสำรสนเทศ โดยมเนอหำอยำงนอยดงน (1) ตรวจสอบและประเมนควำมเสยงดำนสำรสนเทศทอำจเกดขนกบระบบสำรสนเทศ
(Information Security Audit and Assessment) มวธกำรปฏบต ดงน ๑.๑ มกำรอนมตใหด ำเนนกำรประเมนควำมเสยงดำนระบบสำรสนเทศ ๑.๒ มกำรวำงแผนส ำหรบกำรตรวจสอบระบบบรหำรจดกำรดำนควำมมนคงปลอดภย ๑.๓ มกำรตรวจสอบและประเมนควำมเสยงของระบบใหบรกำร ๑.๔ มกำรตรวจประเมนระบบสำรสนเทศ (Information System Audit Considerations)
อยำงนอย 1 ครงตอป เพอใหมนใจไดวำกำรตรวจประเมนมประสทธภำพและผลกำรตรวจสอบเปนทนำเชอถอได (2) ตรวจสอบและประเมนควำมเสยงทด ำเนนกำรโดยผตรวจสอบภำยในของหนวยงำน
(Internal Auditor) หรอโดยผตรวจสอบอสระดำนควำมมนคงปลอดภยจำกภำยนอก (External Auditor) เพอใหหนวยงำนไดทรำบถงระดบควำมเสยงและระดบควำมมนคงปลอดภยสำรสนเทศ มวธกำรปฏบต ดงน
๒.๑ ก ำหนดใหมคณะท ำงำนตรวจสอบและประเมนควำมเสยงดำนสำรสนเทศ ซงประกอบดวยหนวยตรวจสอบภำยในของหนวยงำน (internal auditor) ผแทนจำกส ำนกตำง ๆ ใน สอน. และ/หรอ ผทไดรบมอบหมำยจำกคณะกรรมกำรเทคโนโลยสำรสนเทศและกำรสอสำร สอน. เปนผตรวจสอบและประเมนควำมเสยงระบบสำรสนเทศ และใหตรวจสอบและประเมนควำมเสยงอยำงนอย 1 ครงตอป
๒.๒ มขอตกลงรวมกนส ำหรบขอบเขตกำรตรวจสอบระหวำงผตรวจสอบกบผรบกำรตรวจ ๒.๓ มขอจ ำกดใหผตรวจสอบสำมำรถเขำถงขอมลทจ ำเปนตองตรวจสอบไดในลกษณะท
อำนไดเพยงอยำงเดยว ๒.๔ มวธกำรทปลอดภยส ำหรบกำรอนญำตใหผตรวจสำมำรถเขำถงขอมลชนดทสำมำรถ
เขยนหรอบนทกขอมลได ๒.๕ มกำรสรำงส ำเนำขอมลเพอใหผตรวจสอบท ำงำนบนขอมลส ำเนำ ๒.๖ มกำรท ำลำย หรอลบขอมลทท ำส ำเนำทงโดยทนททตรวจสอบเสรจ ๒.๗ มวธกำรแบบปลอดภยส ำหรบกำรเกบหลกฐำนขอมลทใชอำงองในกำรตรวจสอบ ๒.๘ มกำรก ำหนดหนำทควำมรบผดชอบของผตรวจสอบและขนตอนปฏบตส ำหรบกำร
ตรวจสอบ
นโยบายและแนวปฏบต ในการรกษาความมนคงปลอดภยดานสารสนเทศ พ.ศ. ๒๕๖๓ ห น า | ๓๙
๒.๙ มกำรก ำหนดเจำหนำททท ำหนำทเปนผตรวจสอบใหเปนเอกเทศ จำกกจกรรมหรอระบบเทคโนโลยสำรสนเทศทจะด ำเนนกำรตรวจสอบ (ผตรวจสอบจะตองไมตรวจสอบกจกรรมหรอระบบเทคโนโลยสำรสนเทศทตนดแล หรอรบผดชอบ)
ขอ 2 มแนวทำงในกำรตรวจสอบและประเมนควำมเสยงทตองค ำนงถงอยำงนอยดงน (1) แนวทำงในกำรตรวจสอบและประเมนควำมเสยง
(๑.๑) มกำรทบทวนกระบวนกำรบรหำรจดกำรควำมเสยง อยำงนอยปละ 1 ครง (๑.๒) มกำรทบทวนนโยบำยและมำตรกำรในกำรรกษำควำมมนคงปลอดภยดำน
สำรสนเทศ อยำงนอยปละ ๑ ครง (๑.๓) มกำรตรวจสอบและประเมนควำมเสยงและใหจดท ำรำยกำรพรอมขอเสนอแนะ
ใหผบรหำรพจำรณำระดบควำมเสยงทเปนอยและก ำหนดแนวทำงกำรปรบปรง และแจงใหหนวยงำนภำยในทเกยวของทรำบเพอน ำไปปฏบต
(2) มำตรกำรในกำรตรวจประเมนระบบสำรสนเทศ อยำงนอย ดงน (๒.๑) ผตรวจสอบสำมำรถเขำถงขอมลทจ ำเปนตองตรวจสอบไดแบบอำนไดอยำงเดยว (๒.๒) ในกรณทจ ำเปนตองเขำถงขอมลในแบบอน ๆ ใหสรำงส ำเนำส ำหรบขอมลนน
เพอใหผตรวจสอบใชงำน รวมทงด ำเนนกำรท ำลำยหรอลบโดยทนททตรวจสอบเสรจ หรอตองจดเกบไวโดยมกำรปองกนเปนอยำงด
(๒.๓) มกำรระบและจดสรรทรพยำกรทจ ำเปนตองใชในกำรตรวจสอบระบบบรหำรจดกำรควำมมนคงปลอดภย
(๒.๔) มกำรเฝำระวงกำรเขำถงระบบโดยผตรวจสอบ รวมทงบนทกขอมลลอกแสดงกำรเขำถงนน ซงรวมถงวนและเวลำทเขำถงระบบงำนทส ำคญ
(๒.๕) ในกรณทมเครองมอส ำหรบกำรตรวจประเมนระบบสำรสนเทศ ตองแยกกำรตดตงเครองมอทใชในกำรตรวจสอบ ออกจำกระบบใหบรกำรจรงหรอระบบทใชในกำรพฒนำ และมกำรจดเกบปองกนเครองมอนนจำกกำรเขำถงโดยไมไดรบอนญำต
(3) รำยกำรทสอบทำน (๓.๑) กำรปองกนกำรบกรกระบบ (๓.๒) กำรส ำรองขอมล (๓.๓) กำรควบคมกำรเขำหองควบคมระบบเครอขำย (๓.๔) กำรซอมรบสถำนกำรณฉกเฉน (๓.๕) สอบทำนกำรเขำถงระบบสำรสนเทศ (๓.๖) สอบทำนกำรก ำหนดกำรใชงำนตำมภำรกจ
(4) กำรก ำกบดแลกำรปฏบตตำมดำนเทคนค (๔.๑) ผบรหำรตองก ำกบดแลเพอใหมนใจวำเจำหนำททรำบถงควำมรบผดชอบดำนกำร
รกษำควำมมนคงปลอดภยสำรสนเทศและไดมกำรปฏบตในทำงทเหมำะสม (๔.๒) สอบทำนและตรวจสอบกำรควบคมทำงดำนเทคนคของระบบสำรสนเทศ เพอ
ตรวจสอบวำมควำมเพยงพอและเหมำะสมหรอไม (๔.๓) ในระบบสำรสนเทศโดยเฉพำะระบบทส ำคญและมควำมเสยงสง ตองมกำรทดสอบ
ระดบมำตรฐำนควำมปลอดภยของระบบสำรสนเทศอยำงสม ำเสมอ เพอตรวจสอบถงจดเปรำะบำงของระบบและประสทธผลของกำรควบคมดำนปลอดภย
นโยบายและแนวปฏบต ในการรกษาความมนคงปลอดภยดานสารสนเทศ พ.ศ. ๒๕๖๓ ห น า | ๔๐
(๔.๔) เครองมอทใชในกำรตรวจสอบระบบคอมพวเตอรทงหมด ซงรวมถงซอฟตแวรระบบงำนและเอกสำร ทจ ำเปนส ำหรบงำนตรวจสอบระบบคอมพวเตอร ตองไดรบกำรปกปอง จำกกำรลกลอบใชงำนหรอใชงำนหรอใชในทำงทผดวตถประสงค และกำรควบคมจ ำกดกำรเขำใชงำนใหเฉพำะแผนกทเกยวของกบกำรตรวจสอบเทำนน
นโยบายและแนวปฏบต ในการรกษาความมนคงปลอดภยดานสารสนเทศ พ.ศ. ๒๕๖๓ ห น า | ๔๑
หมวดท ๔ หนาทและความรบผดชอบ
___________________________________________________________________________
วตถประสงค เพอก ำหนดหนำทควำมรบผดชอบของผบรหำรระดบสง ผอ ำนวยกำร หวหนำกลมงำน เจำหนำท ตลอดจนผท ไดรบมอบหมำยใหดแลรบผดชอบดำนสำรสนเทศ
แนวปฏบต ขอ 1 ระดบนโยบำย ผรบผดชอบ ไดแก
(๑) ผบรหำรสงสด (๒) ผบรหำรเทคโนโลยสำรสนเทศ ระดบสง มหนำท ดงน
- รบผดชอบในกำรก ำหนดนโยบำย ใหขอเสนอแนะ ค ำปรกษำ ตลอดจนตดตำม ก ำกบ ดแล ควบคมตรวจสอบเจำหนำทในระดบปฏบต
- รบผดชอบตอควำมเสยง ควำมเสยหำย หรออนตรำยทเกดขนกรณระบบคอมพวเตอร หรอขอมล สำรสนเทศเกดควำมเสยหำย หรออนตรำยใด ๆ แกองคกร หรอผหนงผใด อนเนองมำจำกควำม บกพรอง ละเลย หรอฝำฝนกำรปฏบตตำมนโยบำยและแนวปฏบตในกำรรกษำควำมมนคง ปลอดภยดำนสำรสนเทศ
ขอ 2 ระดบบรหำร ผรบผดชอบ ไดแก (๑) ผอ ำนวยกำร หรอเทยบเทำ (๒) หวหนำกลม หรอเทยบเทำหวหนำกลม
มหนำท ดงน - รบผดชอบ ก ำกบ ดแล กำรปฏบตงำนของผปฏบต ตลอดจนศกษำ ทบทวน วำงแผน
ตดตำมกำร บรหำรควำมเสยง และระบบรกษำควำมปลอดภยฐำนขอมลและเทคโนโลยสำรสนเทศ - รบผดชอบในกำรควบคม ดแล รกษำควำมปลอดภย ระบบสำรสนเทศ และระบบฐำนขอมล - รบผดชอบวำงแผน จดท ำ ทบทวน ตดตำม ก ำกบ ดแล แผนส ำรอง และแผนเตรยม
ควำมพรอมกรณฉกเฉน ในกรณทไมสำมำรถด ำเนนกำรดวยวธกำรทำงอเลกทรอนกส
ขอ 3 ระดบปฏบต ผรบผดชอบ ไดแก ผทไดรบมอบหมำยใหปฏบตหนำทจำกหวหนำสวนรำชกำรส ำนกงำนคณะกรรมกำรออยและน ำตำลทรำย ไดแก นกวชำกำรคอมพวเตอร นกวเครำะหนโยบำยและแผน เจำหนำทระบบงำนคอมพวเตอร เจำหนำทเครองคอมพวเตอร
มหนำท ดงน - ปฏบตตำมนโยบำยและแนวปฏบตในกำรรกษำควำมมนคงปลอดภยดำนสำรสนเทศ - ประสำนกำรปฏบตงำนตำมแผนปองกนและแกไขปญหำระบบควำมมนคงปลอดภยของ
ฐำนขอมลและสำรสนเทศจำกสถำนกำรณควำมไมแนนอนและภยพบต - รบผดชอบควบคม ดแล รกษำควำมปลอดภย และบ ำรงรกษำระบบคอมพวเตอร ระบบ
เครอขำย หองควบคมระบบเครอขำยและเครองคอมพวเตอรแมขำย - ท ำกำรส ำรองขอมลและเรยกคนขอมล (Backup and Recovery) ตำมรอบระยะเวลำท
ก ำหนด
นโยบายและแนวปฏบต ในการรกษาความมนคงปลอดภยดานสารสนเทศ พ.ศ. ๒๕๖๓ ห น า | ๔๒
- ปองกนกำรถกเจำะระบบ และแกไขปญหำกำรถกเจำะเขำระบบฐำนขอมลจำกบคคล ภำยนอก (Hacker) โดยไมไดรบอนญำต
- รบผดชอบในกำรรกษำควำมปลอดภย ระบบอนเทอรเนต และ ระบบจดหมายอเลกทรอนกส
- ปฏบตงำนอน ๆ ตำมทไดรบมอบหมำยในกำรรกษำควำมมนคงปลอดภยดำนสำรสนเทศของส ำนกงำนคณะกรรมกำรออยและน ำตำลทรำย
นโยบายและแนวปฏบต ในการรกษาความมนคงปลอดภยดานสารสนเทศ พ.ศ. ๒๕๖๓ ห น า | ๔๓
ภาคผนวก ก. ข นตอนการลงทะเบยนผใชงาน (User Register) ส านกงานคณะการคณะกรรมการออยและน าตาลทราย
วตถประสงค ๑. เพอจดท าบญชผใชงานและบรหารจดการในการก าหนดสทธ ๒. เพอใหมการยนยนตวตนกอนการเขาใชระบบสารสนเทศ และสามารถสอบกลบไปยงผใชงานไดในกรณมการใชงานโดยไมปฏบตตามนโยบายและแนวปฏบต รวมถงมการกระท าความผดหรอเกดความเสยหายแกระบบสารสนเทศ หรอแกผอน
มข นตอนปฏบต ดงน
การลงทะเบยนเพอขอใชงานระบบสารสนเทศและระบบเครอขาย ผใชภายใน ๑. กรอกแบบฟอรม “การขอใชบรการระบบเทคโนโลยสารสนเทศ” ๒. ระบรายละเอยดในการขอใชบรการใหชดเจน ๓. เสนอตอผบงคบบญชา ตามล าดบ ไปยง หวหนากลมเทคโนโลยสารสนเทศและการสอสาร เพอ
พจารณาอนมต ๔. เมอไดรบอนมตแลวผดแลระบบหรอผรบผดชอบระบบสารสนเทศ จะตดตอผใชงานใหมารบ
Username และ Password ดวยตนเอง โดยผใชงานตองลงนามรบทราบและจะปฏบตตามขอก าหนดนโยบายและแนวปฏบตในการใชงานโดยเครงครด
ผใชงานภายนอกและผทเกยวของ ๑. ท าหนงสอถง เลขาธการคณะกรรมการออยและน าตาลทราย ๒. ระบรายละเอยดในการขอใชบรการใหชดเจน และชองทางในการตดตอกลบเพอความรวดเรว ๓. แนบเอกสารประกอบในการพจารณาทเกยวของ ไดแก ส าเนาบตรประชาชน ใบมอบอ านาจ ๔. เมอ สอน. พจารณาและอนมตแลวจะแจง Username และ Password รวมถงขอก าหนด
นโยบายและแนวปฏบตในการใชงาน ใหทราบและตองปฏบตโดยเครงครด
การลงทะเบยนเพอขอใชงาน เครอขายไรสาย WIFI Hotspot ผใชภายใน ๑. กรอกแบบฟอรม “การขอใชบรการเครอขายไรสาย” ๒. เสนอตอผบงคบบญชา ตามล าดบ ไปยง หวหนากลมเทคโนโลยสารสนเทศและการสอสาร เพอ
พจารณาอนมต
นโยบายและแนวปฏบต ในการรกษาความมนคงปลอดภยดานสารสนเทศ พ.ศ. ๒๕๖๓ ห น า | ๔๔
๓. เมอไดรบอนมตแลวผดแลระบบจะแจงผใชงานใหน าอปกรณทประสงคจะใชงาน ไปลงทะเบยนเพอบนทก MAC Address (Media Access Control Address) พร อมกบแจ ง SSID (Service Set Identifier) และรบ Username และ Password ตามสทธทไดรบอนมตดวยตนเอง โดยผใชงานตองลงนามรบทราบและจะปฏบตตามขอก าหนดนโยบายและแนวปฏบตในการใชงานโดยเครงครด
ผใชภายนอก ๑. กรอกแบบฟอรม “การขอใชบรการเครอขายไรสาย” ๒. ยนดวยตนเองตอเจาหนาท ท กทส. เพอน าเรยน หวหนากลมเทคโนโลยสารสนเทศและการสอสาร หรอผทไดรบมอบหมาย เพอพจารณาอนมต ๓. น าอปกรณทประสงคจะใชงาน ไปลงทะเบยนทผดแลระบบเพอบนทก MAC Address (Media Access Control Address) พรอมกบรบ Username และ Password ๔. ผใชงานภายนอกจะไดรบสทธเฉพาะในการเขาถงเอกสารทใชในการประชมหรอเอกสารทอนญาตให Download ได รวมถงเวบไซตทผานการ Filter แลวเทานน
FM-IT-01 V1.0/59
แบบฟอรมการขอใชบรการ ระบบเทคโนโลยสารสนเทศ
ขอมลผใชบรการ : ชอ.........................................................................นามสกล......................................................................................... NAME……………………………………………………………SURNAME……………………………………..………………………………….. สถานะผขอใชบรการ ขาราชการ ลกจางประจ า พนกงานราชการ ลกจางกองทน ฯ เลขทบตรประชาชน (เฉพาะบคคลภายนอก) หนวยงาน...............................................................ต าแหนง............................................... ......................................... โทรศพท โทรศพทมอถอ
มความประสงคขอรบบรการจากกลมเทคโนโลยสารสนเทศและการสอสาร ในการ บ ารงรกษาเครองคอมพวเตอร/จอ/เครองพมพ หมายเลขครภณฑ..................................................................... พฒนา/แกไข/ปรบปรงระบบงาน........................................................................................................................ ขอใชหองฝกอบรมคอมพวเตอรพรอมอปกรณ...................................................................... .............................. ใหบรการขอมลภมสารสนเทศ เพอน าไปใชในการ......................................................... ..................................... ขอยมใชอปกรณ คอมพวเตอรโนตบค หมายเลขครภณฑ......................................................................... เครองคอมพวเตอร หมายเลขครภณฑ.......................................................................... LCD โปรเจตเตอร หมายเลขครภณฑ......................................................................... อน ๆ...……………………………………………………………………………………………………………… ขอใหลงประกาศเผยแพรขอมลและประชาสมพนธในเวบไซตของ สอน. (กรณาน าไฟลขอมลมาใหทางเจาหนาท กทส.กยผ. ดวย) เรอง…………………………………………………………………………………………………………… ขอสทธการใชงาน ระบบงาน .............................................. ผใชงาน ผดแลระบบ บรหารจดการเครองแมขาย (Remote DeskTop) เรองอน ๆ................................................................................................................... ..................................... จงเรยนมาเพอโปรดพจารณาใหบรการตามค าขอขางตน ..........................................ผขอรบการบรการ (.............................................) วนท.........../............/.........เวลา.................น.
เรยน หน.กทส. เพอพจารณาด าเนนการตอไป .......................................................................... ลงชอ.......................................................................... (.........................................................................)
ผอ. ส านก/ศนย/กลม/งาน
อนมต ไมอนมต เหตผล...........................................................................
......................................................................... .... ด าเนนการตอไป ลงชอ............................................................................. (............................................................................)
วนท............/............/...............
2/เฉพาะ.....
FM-IT-01 V1.0/59
แบบฟอรมการขอใชบรการ ระบบเทคโนโลยสารสนเทศ
(เฉพาะเจาหนาทกลมวชาการและสารสนเทศอตสาหกรรมออยและน าตาลทราย)
เรยน หน.กลมเทคโนโลยสารสนเทศและการสอสาร
ใหบรการไดตามทขอ เมอวนท ..................../......................../.......... ............. เวลา......................น.
............................................................................................................................. ..............................................................
....................................................................................................................................................... ....................................
............................................................................................... ............................................................................................
............................................................................................................................. ..............................................................
............................................................................................................................. ..............................................................
ไมสามารถใหบรการไดตามทขอ เนองจาก........................................................................................................ ............................................................................................................................. .............................................................. ............................................................................................................................. .............................................................. ........................................................................................................................................................ ................................... ............................................................................................... ............................................................................................
จงเรยนมาเพอโปรดทราบ
.......................................................(ผใหบรการ)
(......................................................)
ต าแหนง........................................................
วนท ...................../.................../..........เวลา..............น.
จดเกบบนทกคณภาพ
ส าเนาแจงผทเกยวของ
เพอทราบและด าเนนการตอไป
..........................................................
(........................................................)
ต าแหนง..........................................................
วนท ................./.................../..........เวลา..............น.
เรมใช ณ วนท 19 ตลาคม 2560
1
FM-IT-02 V1.0/59
แบบฟอรมการขอใชบรการเครอขายไรสาย (WI-FI) / VPN
ขอมลผใชบรการ : ชอ.........................................................................นามสกล......................................... ................................................ NAME……………………………………………………………SURNAME……………………………………..………………………………….. สถานะผขอใชบรการ ขาราชการ ลกจางประจ า พนกงานราชการ ลกจางกองทน ฯ อนๆ (โปรดระบ) ................................................................................................................... ................. เลขทบตรประชาชน (เฉพาะบคคลภายนอก) ................................................................................................. ............ หนวยงาน .............................................................. ..................................................................................................... .ต าแหนง ........................................................................................ ............................................................................. หมายเลขโทรศพท …………………………………………………………… หมายเลขมอถอ ………………………………………………
ขาพเจามความประสงค ขอใชบรการ WI-FI ส าหรบอปกรณ ……………………………………………………….
VPN
ภายใตเครอขายของส านกงานคณะกรรมการออยและน าตาลทราย เพอใชงาน Internet หรอเพอด าเนนการใดๆ กบระบบสารสนเทศ ของส านกงานฯ โดยขาพเจาจะปฏบตตามนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ รวมถงระเบยบอนๆ ตามทส านกงานคณะกรรมการออยและน าตาลทรายก าหนด และ จะปฏบตตาม พระราชบญญตวาดวยการกระท าความผดเกยวกบคอมพวเตอร พ.ศ. 2550 อยางเครงครด และยนยอมใหผบรการเกบขอมลจราจรคอมพวเตอรอนเกดจากการใชงานของขาพเจา ไวเพอใหสามารถตรวจสอบโดยผดแลระบบเมอจ าเปน หรอโดยพนกงานเจาหนาทเมอมการรองขอ ลงชอผขอใชบรการ............................................................. วนท............/............./............
เรยน หน.กทส.
..........................................................................
..........................................................................
ลงชอ.......................................................................... (.........................................................................)
ผอ. ส านก/ศนย/กลม/งาน
อนมต ไมอนมต เหตผล...........................................................................
......................................................................... .... ด าเนนการตอไป
ลงชอ............................................................................. (............................................................................)
วนท............/............/...............
2
FM-IT-02 V1.0/59
ระเบยบการใชบรการ Internet ผานเครอขายไรสาย (WI-FI)
สานกงานคณะกรรมการออยและน าตาลทราย
1. ตองปฏบตตามเงอนไข กฎระเบยบ และมารยาท ในการใชงานอยางเครงครด
2. ไมนา username ทไดรบอนมตไปใหผอนใชงานโดยไมไดรบอนญาต ซงหากเจาของบญชเกดประมาทเลนเลอจนทาใหม ผอนนา username ไปใชงาน แลวกอใหเกดความเสยหายตอทรพยสนของสานกงานฯ หรอบคคลใดๆ ผเปนเจาของ บญชจะตองเปนผรบผดชอบ
3. ไมบกรก กอกวน หรอกระทาการใดๆ ทมผลกระทบตอระบบคอมพวเตอรของสานกงานฯ และสถานทอนๆ ท งในประเทศ และตางประเทศ
4. ไมเขาไปทาการเปดรานขายสนคาใดๆ หรอเลนการพนน online ในขณะเชอมตอกบระบบเครอขายของสานกงานฯ
5. ไมเผยแพรขอความอนเปนเทจ ละเมดสทธ หรอเขาขายหมนประมาทผอน
6. ไมเผยแพร รปตดตอ รปโป หรอคลปสอลามกอนาจารใดๆ
นโยบายและแนวปฏบต การคมครองขอมลสวนบคคล
สานกงานคณะกรรมการออยและน าตาลทราย
มนาคม ๒๕๖๓
ร
ประกาศสานกงานคณะกรรมการออยและน าตาลทราย
เรอง นโยบายและแนวปฏบตในการคมครองขอมลสวนบคคล
-----------------------------------------------
อาศยอานาจตามความในมาตรา ๖ แหงพระราชกฤษฎกากาหนดหลกเกณฑและวธการในการทาธรกรรมทางอเลกทรอนกสภาครฐ พ.ศ.๒๕๔๙ จงออกประกาศไว ดงตอไปน
1. ประกาศน เรยกวา “ประกาศสานกงานคณะกรรมการออยและน าตาลทราย เรอง นโยบายและแนวปฏบตในการคมครองขอมลสวนบคคล”
2. นโยบายในการคมครองขอมลสวนบคคลของสานกงานคณะกรรมการออยและน าตาลทรายมวตถประสงค เพอใหขอมลสวนบคคลทมการจดเกบ รวบรวม และใชในการทาธรกรรมอเลกทรอนกสของสานกงานคณะกรรมการออยและน าตาลทรายมความมนคงปลอดภย ความนาเชอถอ และมการคมครอ งขอมลสวนบคคล
๓. นโยบายในการคมครองขอมลสวนบคคลของสานกงานคณะกรรมการออยและน าตาลทรายกาหนดประเดนสาคญ ดงตอไปน
๓.๑ การรวบรวม และการจดเกบรกษาขอมลสวนบคคลทมคณภาพของทาน สานกงาน จะใชวธการทชอบดวยกฎหมายและเปนธรรมในการเกบรวบรวมและจดเกบขอมล ตลอดจนเกบรวบรวม และจดเกบขอมลสวนบคคลอยางจากดเพยงเทาทจาเปนแก การใหบรการธรกรรมทางอเลกทรอนกส หรอบรการดวยวธการทางอเลกทรอนกส อนใดภายใตวตถประสงคของสานกงานเทาน น 3.๒ สานกงานเกบรวบรวมขอมลสวนบคคลของทาน เพอการดาเนนงานของสานกงาน การศกษา วจย หรอการจดทาสถตซงเปนไปตามวตถประสงคของการดาเนนงาน ของสานกงาน และเพอปรบปรงคณภาพของการใหบรการของสานกงานดวย วธการทางอเลกทรอนกสแกทานใหมประสทธภาพมากยงข น 3.๓ สานกงานจะใช เปดเผยขอมลสวนบคคลของทานได ตอเมอไดรบความยนยอมจาก ทานและจะตองเปนการใชตามวตถประสงคของสานกงานเทาน น 3.๔ สานกงานมการใชมาตรการดานความปลอดภยในการปองกนการเขาถง หรอการ แกไขขอมลโดยไมไดรบอนญาต รวมท งมการการตรวจสอบการเขาถงขอมล ดงกลาว โดยใชวธการเขารหสและความปลอดภยทางกายภาพทเหมาะสมเพอ ปองกนการเขาใชงานระบบโดยไมไดรบอนญาต
/3.๕ หากทานเหนวา ...
- 2 - 3.๕ หากทานเหนวา ขอมลสวนบคคลใดทเกยวกบตนไมถกตองตามทเปนจรง ทาน สามารถแจงสานกงานเพอใหแกไข เปลยนแปลง หรอลบขอมลสวนบคคลน นได ในการน สานกงานจะจดทาบนทกคาคดคานการจดเกบ ความถกตอง หรอการ กระทาใดๆ เกยวกบขอมลสวนบคคลของทานไวเปนหลกฐานดวย 3.๖ สานกงานไดจากดการเขาใชงานขอมลสวนบคคลไวเพยงขาราชการ เจาหนาท ผรบจางทจาเปนตองทราบขอมลเพอดาเนนการตางๆ ในนามของสานกงาน บคคล เหลาน มหนาทปฏบตตามขอกาหนดในการรกษาขอมลทเปนความลบ และอาจถก เลกจางและดาเนนคดทางอาญา หากฝาฝนขอกาหนดเหลาน
4. ใหใชแนวปฏบตในการคมครองขอมลสวนบคคลตามแนบทายประกาศน
ท งน ต งแตบดน เปนตนไป
ประกาศ ณ วนท มนาคม พ.ศ. ๒๕๖๓ (นายเอกภทร วงสวรรณ) เลขาธการคณะกรรมการออยและน าตาลทราย
สารบญ
เรอง หนา นโยบายและแนวปฏบตการคมครองขอมลสวนบคคล 1
การเคารพสทธในความเปนสวนบคคลของผใชบรการ ๑
การเกบรวบรวมขอมลสวนบคคลอยางจ ากด ๑
วตถประสงคในการเกบรวบรวมขอมลสวนบคคล ๒
การน าขอมลสวนบคคลไปใชอยางจ ากด ๒
การรกษาความปลอดภยส าหรบขอมลสวนบคคล ๓
การมสวนรวมของเจาของขอมลสวนบคคล ๓
การเชอมโยงขอมลสวนบคคลอนหรอหนวยงานอน ๔
การเปลยนแปลงนโยบายสวนบคคล ๔
แนวปฏบตการคมครองขอมลสวนบคคลของสานกงานคณะกรรมการออยและน าตาลทราย
ส านกงานคณะกรรมการออยและน าตาลทราย (“ส านกงาน”) ไดจดท าแนวปฏบตการคมครองขอมลสวนบคคลเพอเปนการประกาศใหบคคลากรในหนวยงานปฏบตตามนโยบายและแนวปฏบตในการคมครองขอมลสวนบคคลของผใชบรการ ท งน ส านกงานปฏบตตอขอมลสวนบคคลของทาน เชน การเกบรวบรวม การจดเกบรกษา การใช การเปดเผย รวมถงสทธตาง ๆ ของทาน ดงตอไปน
การเคารพสทธในความเปนสวนบคคลของผใชบรการ ๑. ส านกงานเคารพและใหความส าคญถงสทธ ขอมลสวนบคคลและการคมครองขอมลสวนบคคลของทาน และ ส านกงานตระหนกดวา ทานในฐานะผใชบรการธรกรรมทางอเลกทรอนกสของส านกงาน หรอบรการอนใดของส านกงานดวยวธการทางอเลกทรอนกส ยอมมความประสงคทจะไดรบความมนคงปลอดภยในการใชบรการผานเวบไซตของส านกงาน ๒. ขอมลสวนบคคลของทานทส านกงานไดรบมา เชน ชอ อาย ทอย หมายเลขโทรศพท หมายเลขบตรประชาชน เปนตน ซงสามารถบงบอกตวบคคลของทานได และเปนขอมลสวนบคคลทมความสมบรณ ถกตอง เปนปจจบน และมคณภาพ จะถกน าไปใชใหเปนไปตามวตถประสงคการด าเนนงานของส านกงานเทาน น และส านกงานจะด าเนนมาตรการทเขมงวดในการรกษาความมนคงปลอดภย ตลอดจนการปองกนมใหมการน าขอมลสวนบคคลไปใชโดยมไดรบอนญาตจากทานกอน
การเกบรวบรวมขอมลสวนบคคลอยางจากด ๑. ในการเกบรวบรวมขอมล และเกบรกษาขอมลสวนบคคลทมคณภาพของทาน ส านกงานจะใชวธการทชอบดวยกฎหมายและเปนธรรมในการเกบรวบรวมและจดเกบขอมล ตลอดจนเกบรวบรวม และจดเกบขอมลสวนบคคลอยางจ ากดเพยงเทาทจ าเปนแกการใหบรการธรกรรมทางอเลกทรอนกส หรอบรการดวยวธการทางอเลกทรอนกสอนใดภายใตวตถประสงคของส านกงานเทาน น ๒. ส านกงานจะขอความยนยอมจากทานกอนท าการเกบรวบรวม เวนแต (๑) เปนกรณทกฎหมายก าหนด (๒) เปนไปเพอประโยชนของทาน และการขอความยนยอมไมอาจกระท าไดในเวลาน น (๓) เปนไปเพอประโยชนเกยวกบชวต สขภาพ หรอความปลอดภยของทานและผใชบรการทานอน (๔) เพอประโยชนแกการสอบสวนของพนกงานสอบสวน หรอการพจารณาพพากษาคดของศาล (๕) เพอประโยชนในการศกษา วจย หรอการจดท าสถต ๓. ส านกงานจะไมจดเกบขอมลสวนบคคลของทานซงเกยวกบลกษณะทางพนธกรรม พฤตกรรมทางเพศ หรอขอมลทอาจเปนผลราย ท าใหเสยชอเสยง หรออาจกอใหเกดความรสกเกยวกบการเลอกปฏบตโดยไมเปนธรรมหรอความไมเทาเทยมกนแกบคคลใด เวนแต (๑) ไดรบความยนยอมเปนหนงสอจากทาน (๒) เปนกรณทกฎหมายก าหนด (๓) เปนไปเพอประโยชนของทาน และการขอความยนยอมไมอาจกระท าไดในเวลาน น (๔) เปนไปเพอประโยชนเกยวกบชวต สขภาพ หรอความปลอดภยของทานและผใชบรการทานอน (๕) เพอประโยชนแกการสอบสวนของพนกงานสอบสวน หรอการพจารณาพพากษาคดของศาล (๖) เพอประโยชนในการศกษา วจย หรอการจดท าสถต
นโยบายและแนวปฏบตการคมครองขอมลสวนบคคลสอน. ห น า | ๒
๔. ส านกงานอาจรวบรวมขอมลสวนบคคลของทานเขากบขอมลสวนบคคลของทานทไดรบมาจากแหลงอนเฉพาะในกรณทมความจ าเปนและไดรบความยนยอมจากทานเทาน น ท งน เพอประโยชนในการปรบปรงขอมลสวนบคคลของทานใหเปนปจจบน และเพอปรบปรงคณภาพและประสทธภาพของการใหบรการของส านกงานดยงข น
วตถประสงคในการเกบรวบรวมขอมลสวนบคคล ๑. ส านกงานเกบรวบรวมขอมลสวนบคคลของทาน เพอการด าเนนงานของส านกงาน การศกษา วจย หรอการจดท าสถตซงเปนไปตามวตถประสงคของการด าเนนงานของส านกงาน และเพอปรบปรงคณภาพของการใหบรการของส านกงานดวยวธการทางอเลกทรอนกสแกทานใหมประสทธภาพมากยงข น ๒. หากภายหลงมการเปลยนแปลงวตถประสงคในการเกบรวบรวมขอมลสวนบคคล ส านกงานจะแจงใหทานทราบและขอความยนยอม และจดใหมบนทกการแกไขเพมเตมไวเปนหลกฐาน ๓. ในกรณทส านกงานมการเกบรวบรวม จดเกบ ใชและเปดเผยขอมลสวนบคคล เพอด าเนนการอนนอกเหนอจากวตถประสงคตามทไดระบไว ทานมสทธทในความเปนสวนตวของขอมลสวนบคคลของทานในการเลอกวา จะใหส านกงานเกบรวบรวม จดเกบ ใช เปดเผยหรอไมใหเกบรวบรวม จดเกบ ใช เปดเผยขอมลสวนบคคลดงกลาว ๔. เพอวตถประสงคในการวเคราะหและตดตามการใชบรการทางเวบไซต และวตถประสงคในการตรวจสอบยอนหลงในกรณทเกดปญหาการใชงาน ส านกงานจงจดเกบบนทกขอมลการเขาออกเวบไซต (Log Files) ของทานโดยระบบอตโนมต โดยจดเกบขอมลตอไปน เปนอยางนอย (๑) หมายเลขไอพ (IP Address) (๒) ประเภทของโปรแกรมบราวเซอร (Browser) นอกจากน ส านกงานยงไดใชบรการของหนวยงานภายนอกทมการจดเกบบนทกการเขาออกระบบใหบรการทางเวบไซตตามทกฎหมายก าหนดดวย ส าหรบกรณทส านกงานใชบรการหนวยงานภายนอกในการใหบรการเวบไซต ๕. ส านกงานจะไมกระท าการใด ๆ แตกตางจากทระบในวตถประสงคของการเกบรวบรวมขอมลเวนแต (๑) ไดแจงวตถประสงคใหมใหผใชบรการทราบ และไดรบความยนยอมจากผใชบรการ (๒) เปนกรณทกฎหมายก าหนด
การนาขอมลสวนบคคลไปใชอยางจากด ๑. ส านกงานจะใช เปดเผยขอมลสวนบคคลของทานได ตอเมอไดรบความยนยอมจากทานและจะตองเปนการใชตามวตถประสงคของส านกงานเทาน น ๒. ส านกงานจะดแลใหผปฏบตงานของส านกงานมใหเปดเผย แสดง หรอท าใหปรากฏในลกษณะอนใดซงขอมลสวนบคคลของทานนอกเหนอไปจากวตถประสงคหรอตอบคคลภายนอก เวนแต (๑) เปนกรณทกฎหมายก าหนด (๒) ไดรบความยนยอมจากทาน (๓) เปนไปเพอประโยชนเกยวกบชวต สขภาพ หรอความปลอดภยของทานและผใชบรการอน (๔) เพอประโยชนแกการสอบสวนของพนกงานสอบสวน หรอการพจารณาพพากษาคดของศาล (๕) เพอประโยชนในการศกษา วจย หรอการจดท าสถต
นโยบายและแนวปฏบตการคมครองขอมลสวนบคคลสอน. ห น า | ๓
๓. ในบางกรณส านกงานอาจใหบคคลหรอหนวยงานอนเขาถงหรอใชขอมลสวนบคคลของทานเทาทจ าเปน และเพอใหเปนไปตามวตถประสงคและอ านาจหนาทของส านกงาน ท งน ส านกงานจะตองไดรบความยนยอมจากทานกอน
การรกษาความปลอดภยสาหรบขอมลสวนบคคล รายละเอยดทจะกลาวถงตอไปน มวตถประสงคเพอช แจงทานในฐานะผใชบรการเกยวกบเทคโนโลยดานความปลอดภยของส านกงาน เพอใหทานมนใจไดวาขอมลของทานจะมความปลอดภย ๑) ชอผ ใชงาน (User Name) และรหสผาน (Password) หลงจากทานสมคร และลงทะเบยนกบบรการทางอเลกทรอนกสของส านกงานเรยบรอยแลว ทานจะไดรบชอผใชงานและรหสผาน (Password) ทใชส าหรบ เขาสระบบ ส านกงานจะทราบชอผใชงานของทานแตจะไมทราบรหสผานของทาน ทานมหนาทรกษารหสผาน ของทานอยางเครงครด โดยไมเปดเผยชอผใชงานและรหสผานของทานแกบคคลอน ท งน ทานควรเปลยนรหสผาน เปนประจ า และทกคร งททานใชบรการเสรจแลว ทานควรคลก“ออกจากระบบ” เพอปองกนมใหผอนสามารถท า รายการจากบญชของทานได ๒) การใชคกก (Cookies) เปนกระบวนการเพอท าใหผใชบรการสามารถใชงานเวบไซตของส านกงาน ไดสะดวกยงข น คกก มประโยชนส าหรบใหเวบเซรฟเวอรสามารถเรยกใชขอมลเหลาน นไดในภายหลง คกก จะถกตดต งในขณะททานเรยกดเวบ หลงจากททานเลกใชงานโปรแกรมแลว คกก บางตวจะถกจดเกบไวทเครองคอมพวเตอรของทานในรปแบบไฟล หรออาจจะหมดอาย หรอไมมการเกบ ทานสามารถสามารถปรบโปรแกรมบราวเซอร (Browser) ของทานใหรองรบการท างานของคกก หรอไมกได
การมสวนรวมของเจาของขอมลสวนบคคล ๑. ในกรณททานประสงคจะทราบขอมลสวนบคคลเกยวกบตนเอง ทานสามารถมค ารองขอตามหลกเกณฑและวธการทส านกงานก าหนด เมอส านกงานไดรบค ารองขอดงกลาวแลว ส านกงานจะรบด าเนนการแจงถงความมอย หรอรายละเอยดของขอมลสวนบคคลดงกลาวใหทานภายในระยะเวลาอนสมควร ๒. หากทานเหนวา ขอมลสวนบคคลใดทเกยวกบตนไมถกตองตามทเปนจรง ทานสามารถแจงส านกงานเพอใหแกไข เปลยนแปลง หรอลบขอมลสวนบคคลน นได ในการน ส านกงานจะจดท าบนทกค าคดคานการจดเกบ ความถกตอง หรอการกระท าใด ๆ เกยวกบขอมลสวนบคคลของทานไวเปนหลกฐานดวย ๓. ทานมสทธตรวจดความมอย ลกษณะของขอมลสวนบคคล วตถประสงคของการน าขอมลไปใช และสถานทท าการของส านกงาน นอกจากน ยงมสทธดงตอไปน (๑) ขอส าเนา หรอขอส าเนารบรองถกตองเกยวกบขอมลสวนบคคลของตน (๒) ขอแกไข หรอเปลยนแปลงขอมลสวนบคคลของตนใหถกตองสมบรณ (๓) ขอระงบการใช หรอเปดเผยขอมลสวนบคคลทเกยวกบตน (๔) ขอใหด าเนนการลบ หรอท าลายขอมลสวนบคคลทเกยวกบตน (๕) ขอใหเปดเผยถงการไดมาซงขอมลสวนบคคลทเกยวกบตนในกรณทเปนขอมลซงผใชบรการไมไดใหความยนยอมในการรวบรวมหรอจดเกบ อยางไรกตาม ส านกงานอาจปฏเสธสทธของทานไดในกรณทกฎหมายก าหนด หรอในกรณทขอมลสวนบคคลของทานถกท าใหไมปรากฏชอหรอสงบอกลกษณะอนสามารถระบตวทานไดอก
นโยบายและแนวปฏบตการคมครองขอมลสวนบคคลสอน. ห น า | ๔
การเชอมโยงขอมลสวนบคคลกบบคคลอนหรอหนวยงานอน ๑. ส านกงานอาจเชอมโยงขอมลสวนบคคลกบบคคลหรอหนวยงานอน ส านกงานจะแจงใหทานทราบกอนทจะท าการเชอมโยงขอมลสวนบคคล พรอมท งขอความยนยอม โดยมรายละเอยดตอไปน เปนอยางนอย (๑) บคคลหรอหนวยงานทจะท าการเชอมโยงขอมลสวนบคคล (๒) วตถประสงคในการเชอมโยงขอมลสวนบคคล (๓) วธการในการเชอมโยงขอมลสวนบคคล (๔) ขอมลสวนบคคลทจะท าการเชอมโยง (๕) บคคลผมสทธเขาถงขอมลสวนบคคล ๒. ในการเชอมโยงขอมลสวนบคคลกบบคคลหรอหนวยงานอน ส านกงานจะแสดงงชอผเกบรวบรวม บคคลผมสทธในขอมลทไดมการเกบรวบรวมอยางชดเจน เพอใหทานไดรบทราบ นอกจากน ส านกงานจะจดท าบนทกการเชอมโยงขอมลไวเปนหลกฐาน ๓. หากมการเปลยนแปลงการเชอมโยงขอมล ส านกงานจะแจงใหทานทราบถงการเปลยนแปลงดงกลาว และขอความยนยอมกอนการด าเนนการ
การเปลยนแปลงนโยบายสวนบคคล ๑. ส านกงานอาจปรบปรงนโยบายสวนบคคลน เปนคร งคราวเพอใหสอดคลองกบการเปลยนแปลงของการใหบรการ การด าเนนงานของส านกงาน และขอแสนอแนะ ความคดเหนจากทาน ส านกงานจะประกาศแจงการเปลยนแปลงใหทราบอยางชดเจนกอนจะเรมด าเนนการเปลยนแปลง หรออาจสงประกาศแจงเตอนใหทานทราบโดยตรง ๒. ส าหรบขอมลเพมเตมเกยวกบนโยบายและแนวปฏบตคมครองขอมลสวนบคคล หากทานมขอสงสยเพมเตม โปรดตดตอส านกงานไดท:
หนวยงาน : ส านกงานคณะกรรมการออยและน าตาลทราย (สอน.) เวบไซต : http://www.ocsb.go.th ทอย : ๗๕/๖ ถนนพระราม ๖ แขวงพญาไท เขตราชเทว กรงเทพฯ ๑๐๔๐๐ โทรศพท : ๐ ๒๒๐๒ ๓๐๘๑ โทรสาร : ๐ ๒๓๕๔ ๓๔๔๕
*****************************************************************************
แผนรองรบสถานการณฉกเฉน
ทอาจเกดขนกบระบบเทคโนโลยสารสนเทศ
(IT Contingency plan)
สานกงานคณะกรรมการออยและนาตาลทราย
มนาคม ๒๕๖๓
แผนรองรบสถานการณฉกเฉนทอาจเกดขนกบระบบเทคโนโลยสารสนเทศ ( IT Cont ingency P lan )
สารบญ
เรอง หนา
บทน ำ 1
หลกกำรและเหตผล ๒
วตถประสงค ๒
กำรวเครำะหควำมเสยง ๒
๑. กำรเกดภยพบตตอระบบเทคโนโลยสำรสนเทศ ๓
๒. แนวทำงกำรปองกนกำรเกดควำมเสยหำยจำกภยพบต ๔
๓. ขนตอนปฏบตในมำตรกำรทส ำคญ ๘
๔. ขอปฏบตในกำรแกไขปญหำจำกภยพบต ๘
๕. แผนรองรบสถำนกำรณฉกเฉน ๑๑
๕.๑ สถำนกำรณฉกเฉนทเกดจำกควำมขดของดำนเทคนค ๑๑
๕.๑.๑ กรณกำรปองกนไวรสลมเหลว ๑๑
๕.๑.๒ กรณกำรปองกนผบกรกลมเหลว ๑๒
๕.๑.๓ กรณกำรเชอมโยงเครอขำยลมเหลว ๑๓
๕.๑.๔ กรณอปกรณจดเกบขอมลเสยหำย ๑๔
๕.๑.๕ กรณไฟฟำขดของ ๑๕
๕.๒ สถำนกำรณฉกเฉนทเกดจำกภยตำง ๆ ๑๖
๕.๒.๑ กรณไฟไหม ๑๖
๕.๒.๒ กรณน ำทวม ๑๙
๕.๒.๓ กรณแผนดนไหว ๒๐
๕.๓ สถำนกำรณฉกเฉนทเกดจำกควำมไมสงบเรยบรอยในบำนเมอง ๒๑
๕.๓.๑ กรณเกดสถำนกำรณควำมไมสงบเรยบรอยในบำนเมอง ๒๑
๕.๔ สถำนกำรณฉกเฉนทเกดจำกกำรบคคล ๒๒
๕.๔.๑ กรณโจรกรรม ๒๒
๕.๔.๒ กรณผปฏบตงำนไมสำมำรถมำปฏบตงำนได ๒๓
๖. แผนกำรดแลจดกำรรกษำและแกไขปญหำระบบขอมลสำรสนเทศ ๒๔
๗. แผนกคนระบบคอมพวเตอรกลบสภำวะปกตเดม ๒๗
๘. กำรก ำหนดผรบผดชอบ ๒๘
๙. กำรตดตำมและรำยงำนผล ๒๙
แผนรองรบสถานการณฉกเฉนทอาจเกดขนกบระบบเทคโนโลยสารสนเทศ ( IT Cont ingency P lan ) ห น า | ๑
บทนา
ปจจบน สานกงานคณะกรรมการออยและนาตาลทรายมการนาเทคโนโลยสารสนเทศมาใชในการบรหารจดการภายในองคกรและสนบสนนการปฏบตงานมากขน ประกอบกบการพฒนาเทคโนโลยสารสนเทศเพอความสะดวกในการใช งานและความสะดวกในการสรางขอมลสารสนเทศ อนมประโยชนตอการวางแผนพฒนาองคกร การบรหารจดการองคกร และการปฏบตงานของบคลาการ ซงขอมลสารสนเทศตาง ๆ จะมจานวนเพมมากขน ดงนนสานกงานคณะกรรมการออยและนาตาลทรายจาเปนจะตองมการจดการฐานขอมล การเฝาระวง การจดเกบและการดแลรกษาขอมลสารสนเทศเพอให เกดความมนคงปลอดภย และมความพรอมในการทจะนาขอมลสารสนเทศดงกลาวไปใชงานได อยางเตมประสทธภาพตลอดเวลา
สานกงานคณะกรรมการออยและนาตาลทรายไดนาเทคโนโลยสารสนเทศมาใชเพอชวยเพมประสทธภาพในการดาเนนงานของหนวยงาน และใหบรการประชาชนไดรบความสะดวกมากยงขน ในขณะเดยวกนระบบเทคโนโลยสารสนเทศอาจไดรบความเสยหายจากการถกโจมต จากไวรสคอมพวเตอร จากบคลากร จากปญหาไฟฟา จากอคคภย หรอจากปจจยทงภายในและภายนอกตาง ๆ ทอาจกอใหเกดความเสยหายตอระบบเทคโนโลยสารสนเทศ และสงผลกระทบตอการดาเนนงานของหนวยงาน ดงนนเพอปองกนและแกไขปญหา จงมความจาเปนทจะตองมแผนรองรบสถานการณฉกเฉนทอาจเกดขนกบระบบเทคโนโลยสารสนเทศ
แผนรองรบสถานการณฉกเฉนทอาจเกดขนกบระบบเทคโนโลยสารสนเทศ ( IT Cont ingency P lan ) ห น า | ๒
หลกการและเหตผล
สานกงานคณะกรรมการออยและนาตาลทราย ไดนาเทคโนโลยสารสนเทศมาใชเพอชวยเพมประสทธภาพในการทางาน โดยใหบรการขอมลสารสนเทศแกหนวยงานทเกยวของและผทสนใจในอตสาหกรรมออยและนาตาลทรายใหไดรบความสะดวก รวดเรว และมประสทธภาพ แตขณะเดยวกนระบบเทคโนโลยสารสนเทศ อาจไดรบความเสยหายจากการถกโจมตไดจากหลายภยนตรายหลายสาเหต เชน ภยจากไวรสคอมพวเตอร ภยจากการโจรกรรมขอมล การกอเหตจลาจล ระบบไฟฟาขดของ ภยธรรมชาต ตลอดจนปจจยทงภายในและภายนอกตาง ๆ อนอาจกอใหเกดความเสยหายและสรางผลกระทบตอระบบเทคโนโลยสารสนเทศทงระบบของสานกงานคณะกรรมการออยและนาตาลทราย ดงนน เพอปองกนและแกไขปญหาดงกลาว สานกงานคณะกรรมการออยและนาตาลทราย จงไดจดทาแผนแกไขปญหาระบบเทคโนโลยสารสนเทศเมอเกดเหตการณฉกเฉน ( IT Contingency Plan) เมอเกดเหตฉกเฉนขน เพอเปนกรอบแนวทางในการดแลรกษาระบบเทคโนโลยสารสนเทศและระบบอปกรณตาง ๆ ใหสามารถแกไขปญหาทจะสงผลกระทบตอสารสนเทศของหนวยงาน วตถประสงค
๑. เพอสรางความเขาใจรวมกนระหวางผบรหารและผปฏบต ในการดแลรกษาระบบความปลอดภย ของระบบเทคโนโลยสารสนเทศ ของสานกงานคณะกรรมการออยและนาตาลทราย
๒. เพอลดความเสยหายทอาจจะเกดแกระบบเทคโนโลยสารสนเทศ ๓. เพอเปนแนวทางในการดแลรกษาระบบความมนคงปลอดภยของระบบเทคโนโลยสารสนเทศของ
สานกงานคณะกรรมการออยและนาตาลทราย ใหมเสถยรภาพและมความพรอมสาหรบการใชงาน ๔. เพอใหระบบเทคโนโลยสารสนเทศสามารถดาเนนการไดอยางตอเนอง และมประสทธภาพ
สามารถแกไขสถานการณไดอยางทนทวงท ๕. เพอเตรยมความพรอมรบสถานการณฉกเฉนทอาจจะเกดขนกบระบบเทคโนโลยสารสนเทศของ
สานกงานคณะกรรมการออยและนาตาลทราย
การวเคราะหความเสยง
เนองจากภารกจของสานกงานคณะกรรมการออยและนาตาลทรายมความหลากหลาย เทคโนโลยสารสนเทศจงเขามามบทบาทสาคญตอการปฏบตงาน ซงจาเปนตองมการบรหารจดการความเสยงดานสารสนเทศ เพอหาวธการปองกนปญหา และลดโอกาสความเสยหายทอาจเกดขน รวมไปถงแนวทางในการตรวจสอบและประเมนความเสยงดานสารสนเทศ อนจะสงผลกระทบตอระบบเทคโนโลยสารสนเทศ เพอใหระบบเทคโนโลยสารสนเทศของ สานกงานคณะกรรมการออยและนาตาลทรายเปนไปอยางเหมาะสม มประสทธภาพ มความมนคงปลอดภย และเพอใหการนาเทคโนโลยสารสนเทศมาสนบสนนการปฏบตงานใหเกดประโยชนสงสด
แผนรองรบสถานการณฉกเฉนทอาจเกดขนกบระบบเทคโนโลยสารสนเทศ ( IT Cont ingency P lan ) ห น า | ๓
จากการวเคราะหและตรวจสอบความเสยงตางดานสารสนเทศ ของสานกงานคณะกรรมการออยและนาตาลทราย พบประเภทความเสยงทอาจเปนอนตรายตอระบบเทคโนโลยสารสนเทศดงน
๑. ความเสยงดานเทคนค เปนความเสยงทอาจเกดขนจากระบบคอมพวเตอร เครองมอและอปกรณเอง อาจเกดถกโจมตจากไวรสหรอโปรแกรมไมประสงคด ถกกอกวนจาก Hacker ถกเจาะทาลายระบบจาก Cracker เปนตน
๒. ความเสยงดานผปฏบตงาน เปนความเสยงทอาจเกดขนจากการดาเนนการ การจดความสาคญในการเขาถงขอมลไมเหมาะสมกบการใชงานหรอการใหบรการ โดยผใชอาจเขาสระบบสารสนเทศ หรอใชขอมลตาง ๆ ของสานกงานคณะกรรมการออยและนาตาลทรายเกนกวาอานาจหนาทของตนเองทมอย และอาจทาใหเกดความเสยหายตอขอมลสารสนเทศได
๓. ความเสยงดานภยหรอสถานการณฉกเฉน เปนความเสยงทอาจเกดจากภยพบตตามธรรมชาตหรอสถานการณรายแรงทกอใหเกดความเสยหายรายแรงกบขอมลสารสนเทศ เชน ไฟฟาขดของ นาทวม ไฟไหม อาคารถลม การชมนมประทวง หรอความไมสงบเรยบรอยในบานเมอง เปนตน
๔. ความเสยงดานการบรหารจดการ เปนความเสยงจากการแนวนโยบายในการบรหารจดการทอาจสงผลกระทบตอการดาเนนการดานสารสนเทศ
จากผลการวเคราะหและตรวจสอบความเสยงดานเทคโนโลยสารสนเทศ ของสานกงานคณะกรรมการออยและนาตาลทราย ดงทกลาวมาแลว พบวามความเสยงทอาจเปนอนตรายตอระบบเทคโนโลยสารสนเทศ ดงนน เพอใหระบบเทคโนโลยสารสนเทศของ สานกงานคณะกรรมการออยและนาตาลทราย มประสทธภาพ มความมนคงปลอดภย และสามารถนาเทคโนโลยสารสนเทศมาสนบสนนการปฏบตงานใหเกดประโยชนสงสด จงจาเปนจะตองจดทาแผนรองรบสถานการณฉกเฉน เพอเปนกรอบแนวทางในการดแลรกษาระบบเทคโนโลยสารสนเทศ และแกไขปญหาทอาจจะสงผลกระทบตอฐานขอมลและระบบเทคโนโลยสารสนเทศของสานกงานคณะกรรมการออยและนาตาลทราย
๑. การเกดภยพบตตอระบบเทคโนโลยสารสนเทศ
ภยทอาจกอใหเกดความเสยหายกบระบบเทคโนโลยสารสนเทศของ สานกงานคณะกรรมการออยและนาตาลทราย สามารถจาแนกไดเปนสองกลมหลก ๆ ไดแก
๑.๑ ภยพบตจากภายนอก ๑.๑.๑ ภยธรรมชาตทกระทาตออาคารสถานทตงของเครองประมวลผลหลกหรอเครองแมขาย
ไดแก อคคภย อทกภย ความชนและอณหภมทไมเหมาะสม แมลงสตวกดแทะ เปนตน ๑.๑.๒ การโจรกรรมอปกรณคอมพวเตอรแมขายทเปนสวนของการจดเกบและรวบรวมขอมล ๑.๑.๓ ระบบการสอสารของเครองคอมพวเตอรแมขายทเชอมตอกบระบบเครอขายภายนอก
สานกงานคณะกรรมการออยและนาตาลทรายเกดความขดของ ๑.๑.๔ ระบบกระแสไฟฟาขดของ / ไฟฟาดบ
แผนรองรบสถานการณฉกเฉนทอาจเกดขนกบระบบเทคโนโลยสารสนเทศ ( IT Cont ingency P lan ) ห น า | ๔
๑.๑.๕ การบกรกหรอโจมตจากภายนอก เพอเขาถงหรอควบคมระบบเทคโนโลยสารสนเทศ รวมทงสรางความเสยหายหรอทาลายระบบขอมล
๑.๑.๖ ไวรสคอมพวเตอร ๑.๑.๗ ระบบเสยหายจากภยสงคราม เหตจลาจล และการเกดสถานการณความไมสงบ
๑.๒ ภยพบตจากภายใน ๑.๒.๑ ระบบแมขายหลก ระบบฐานขอมลหลกเสยหาย หรอขอมลถกทาลาย ๑.๒.๒ ไวรสคอมพวเตอรจากผใชงานภายในสานกงานคณะกรรมการออยและนาตาลทราย ๑.๒.๓ เจาหนาทหรอบคลากรของหนวยงานขาดความรความเขาใจในการใชเครองมออปกรณ
คอมพวเตอรทงดานฮารดแวร และซอฟทแวร อนอาจทาใหระบบเทคโนโลยสารสนเทศเสยหายใชงานไมไดหรอหยดการทางาน
๒. แนวทางการปองกนความเสยหายจากภยพบต
๒.๑. ภยพบตจากภายนอก ๒.๑.๑ ภยธรรมชาตทกระทาตออาคารสถานทตงของเครองประมวลผลหลกหรอเครอง
แมขายไดแก อคคภย อทกภยและการปองกนความชนและอณหภมทไมเหมาะสม แมลงสตวกดแทะ เปนตน ๒.๑.๑.๑ การปองกนและการดาเนนการอคคภย (๑) กาหนดเขตพนทควบคมการเกดอคคภย และจดทาปายเตอนตาง ๆ
(๒) อบรมแผนปองกนและระงบอคคภย และมการซอมดบเพลง การหนไฟขนตนใหแก เจาหนาทผปฏบตงานทกคน
(๓) ตดตงเครองดบเพลงสาหรบอปกรณอเลกทรอนกสสาหรบหองคอมพวเตอรแมขาย (๔) จดทาเครองหมายระบความสาคญตามลาดบของอปกรณคอมพวเตอรเพอ
ประสทธภาพในการเคลอนยายเมอเกดเหตฉกเฉน ๒.๑.๑.๒ การปองกนอทกภยและการปองกนความชนและอณหภมทไมเหมาะสม
(๑) เปดเครองปรบอากาศและเครองควบคมความชน สาหรบเครองแมขาย ตลอด ๒๔ ชวโมง และตรวจสอบการทางานใหใชงานไดอยางสมาเสมอ
(๒) ตรวจสอบการรวซมของหลงคาอาคารเพอปองกนการรวซมของนาฝน ทคางสะสม (๓) เครองคอมพวเตอรแมขายตองไมอยในบรเวณทนาทวมถง
๒.๑.๒ การโจรกรรมอปกรณคอมพวเตอรแมขายทเปนสวนของการจดเกบและรวบรวมขอมล ๒.๑.๒.๑ ควบคมการเขาออกของหองคอมพวเตอรแมขายและการปองกนความ
เสยหายโดยหามบคคลทไมมอานาจหนาทเกยวของ เขาไปในหองคอมพวเตอรแมขาย หากจาเปนใหมเจาหนาทของกลมงานวชาการและสารสนเทศ เปนผรบผดชอบนาเขาไป
๒.๑.๒.๒ จดใหมระบบรกษาความปลอดภยในการเขาถงอปกรณคอมพวเตอรแมขาย เชน ระบบยนยนตวตน (Finger Scan) และมการตรวจสอบการทางานของระบบใหใชงานไดอยเสมอ
๒.๑.๒.๓ ตดตงกลองวงจรปด และสงสญญาณภาพมาไวทจอภาพสวนกลาง
แผนรองรบสถานการณฉกเฉนทอาจเกดขนกบระบบเทคโนโลยสารสนเทศ ( IT Cont ingency P lan ) ห น า | ๕
๒.๑.๓ ระบบการสอสารของเครองคอมพวเตอรแมขายทเชอมตอกบระบบเครอขายภายนอกสานกงานคณะกรรมการออยและนาตาลทรายเกดความขดของ
๒.๑.๓.๑ การตรวจสอบระบบเครอขายทงภายในและภายนอกอาคารใหสามารถใชงานไดตลอดเวลา
๒.๑.๓.๒ ตองจดใหมเครอขายสารอง สาหรบใชในกรณท เครองแมขายหลกไม สามารถใชงานได
๒.๑.๔ ระบบกระแสไฟฟาขดของ / ไฟฟาดบ ๒.๑.๔.๑ แยกไฟระบบคอมพวเตอรแมขายและเครองปรบอากาศออกจากสายไฟหลก
ทผานสะพานไฟเขาสหนวยงาน ๒.๑.๔.๒ ตดตงเครองสารองไฟฟาและปรบแรงดนอตโนมต (UPS) เพอปองกนความ
เสยหายทอาจเกดขนกบอปกรณคอมพวเตอรหรอการประมวลผลของระบบคอมพวเตอรทงในสวนของเครองคอมพวเตอรแมขาย (Server) และเครองคอมพวเตอรสวนบคคล (PC) ซงตองมระยะเวลาในการสารองไฟฟาไดไมนอยกวา ๓๐ นาท
๒.๑.๔.๓ เปดเครองสารองไฟฟาตลอดระยะเวลาในการใชงานเครองคอมพวเตอรและบารงรกษาเครองสารองไฟฟาใหอยในสภาพพรอมใชงานเสมอ ตรวจสอบระบบสารองไฟฟา (UPS) ทกวนศกร
๒.๑.๔.๔ ตดตงเครองกาเนดไฟฟาสารอง (Generator) เพอจายไฟฟาใหกบหองคอมพวเตอรแมขายและเครองคอมพวเตอรของผมหนาทออกใบอนญาตนาเขา/สงออก ๒.๑.๔.๕ เมอเกดกระแสไฟฟาดบ ใหผใชทกสานก บนทกขอมลทยงคางอยทนท และปดเครองคอมพวเตอรรวมทงอปกรณตางๆ
๒.๑.๔.๖ ตรวจสอบเครองกาเนดไฟฟาสารอง ทกวนศกร ตามรายการเหลานเปนอยางนอย ไดแก ระดบนามน แบตเตอร ระดบนามนเครอง
๒.๑.๕ การบกรกหรอโจมตจากภายนอก เพอเขาถงหรอควบคมระบบเทคโนโลยสารสนเทศ รวมทงสรางความเสยหายหรอทาลายระบบขอมล
๒.๑.๕.๑ สแกนหาจดออนและอพเดท Patch เพอปดกนชองโหวและจดออนโดยใชซอฟทแวรเพอเปนเครองมอในการคนหาชองโหว
๒.๑.๕.๒ ตดตง Firewall เพอปองกนผทมไดรบอนญาตจากระบบเครอขายอนเทอรเนต และอนทราเนต สามารถเขาสระบบเทคโนโลยสารสนเทศ และเครอขายคอมพวเตอรของสานกงานคณะกรรมการ ออยและนาตาลทรายไดโดยจะตองเปดใชงาน Firewall ตลอดเวลา
๒.๑.๕.๓ ตดตง Proxy Server เพอเพมประสทธภาพในการใหบรการอนเทอรเนตของ สานกงานคณะกรรมการออยและนาตาลทรายและกลนกรองขอมลทมาทาง website ซงจะมการกาหนดคา Configuration ใหมความปลอดภยตอระบบเทคโนโลยสารสนเทศและเครอขายคอมพวเตอร
๒.๑.๕.๔ จดเจาหนาทดแลระบบเครอขาย ตรวจสอบปรมาณขอมลบนเครอขายอนเทอรเนตและอนทราเนตของสานกงานคณะกรรมการออยและนาตาลทราย เพอสงเกตปรมาณขอมลบน
แผนรองรบสถานการณฉกเฉนทอาจเกดขนกบระบบเทคโนโลยสารสนเทศ ( IT Cont ingency P lan ) ห น า | ๖
เครอขายวามปรมาณมากผดปกต หรอการเรยกใช ระบบเทคโนโลยสารสนเทศ มความถในการเรยกใชผดปกตเพอจะไดสรปหาสาเหต และปองกนตอไป
๒.๑.๕.๕ ตดตงระบบปองกนไวรสคอมพวเตอรใหทนสมย และอพเดทอยางสมาเสมอ และปดพอรตทไมมการใชงาน
๒.๑.๕.๖ กาหนดรหสผานเพอปองกนการเขาถงระบบโดยไมไดรบอนญาต โดยปฏบตดงน (๑) ตงรหสผานทยากตอการเดาโดยผอน (๒) ไมเปดเผยรหสผานของตนเองแกผอน (๓) จดเกบรหสผานไวในสถานททมความปลอดภย (๔) เปลยนรหสผานโดยทนท เมอทราบวารหสผานของตนอาจถกเปดเผยหรอ
ลวงรโดยผอน (๕) ตงรหสผานทมความยาวขนตาอยางนอย ๘ อกขระ
(๖) ตงรหสผานโดยใชเทคนคสวนตวทงายตอการจารหสผานทไดกาหนดไว (๗) ไมตงรหสผานจากคาทปรากฏในพจนานกรม (๘) ไมตงรหสผานทประกอบดวยอกขระทเรยงกน เชน ๑๒๓, abcd เปนตน
หรอเปนกลมของตวอกขระทเหมอนกน เชน ๑๑๑๑๑, aaa, bbb เปนตน (๙) เปลยนรหสผานใหมตามรอบระยะเวลาทกาหนดไว เชน ทก ๆ ๖ เดอน
สวนในกรณของผดแลระบบ ใหเปลยนรหสผานใหมดวยความถทมากกวาผใชงานทวไป เชน ทก ๆ ๓ เดอน (๑๐) เปลยนรหสผานโดยหลกเลยงการใชรหสผานเดมทเคยตงมาแลว (๑๑) เปลยนรหสผานชวคราว ทไดรบโดยทนทครงแรกททาการลอกอน
เขาสระบบงาน (๑๒) ไมใหระบบงานทาการบนทกหรอจดจารหสผานของตนเองไว เชน บนทกไว
ในหนาจอลอกอน (ทงนเพอความสะดวกของตนเองเมอทาการลอกอนในภายหลง จะไดไมตองใสรหสผาน อกครง) (๑๓) ไมใชรหสผานของตนเองรวมกบผอน (๑๔) หลกเลยงการใชรหสผานเดยวกนสาหรบระบบงานตาง ๆ ทตนใชงาน
๒.๑.๕.๗ ปองกนการปลอมแปลง IP address โดยการกรอง packet ทมาจากภายนอกโดยการนาระบบ DMZ มากรอง IP ทจะเขามายงระบบเครอขาย
๒.๑.๕.๘ ตดตงระบบใหอปกรณเครอขายสามารถปองกนการโจมตแบบ DOS และ DDOS ๒.๑.๖ ไวรสคอมพวเตอร
๒.๑.๖.๑ ตดตงโปรแกรมปองกนไวรสและอพเดทขอมลไวรสอยเสมอ และตองใชโปรแกรมเพอตรวจหาไวรสอยางนอยสปดาหละหนงครง
๒.๑.๖.๒ ระวงภยจากการเปดไฟลจากสอบนทกขอมลตาง ๆ (๑) สแกนหาไวรสจากสอบนทกขอมลกอนใชงานทกครง (๒) ไมควรเปดไฟลทมนามสกลแปลกปลอม หรอนาสงสย (๓) ไมใชสอบนทกขอมลทไมทราบแหลงทมา
แผนรองรบสถานการณฉกเฉนทอาจเกดขนกบระบบเทคโนโลยสารสนเทศ ( IT Cont ingency P lan ) ห น า | ๗
๒.๑.๖.๓ ใชความระมดระวงในการเปด E-mail (๑) ไมเปดไฟล E-mail ถาไมทราบแหลงทมา (๒) ลบ E-mail ทงทนทถาไมทราบแหลงทมา
๒.๑.๖.๔ ระมดระวงการดาวนโหลดไฟลตาง ๆ จากอนเทอรเนต (๑) ไมควรเปดไฟลทไมรจก ทแนบมากบโปรแกรมสนทนาตาง ๆ (๒) ไมควรเปด website ทแนะนามาทาง E-mail (๓) ไมดาวนโหลดไฟลจาก website ทไมนาเชอถอ (๔) ตดตามขอมลการแจงเตอนการโจมตของไวรสตาง ๆ อยางสมาเสมอ (๕) หลกเลยงการแชรไฟลโดยไมจาเปน
๒.๑.๗ ระบบเสยหายจากภยสงคราม/เหตจลาจล และการเกดสถานการณความไมสงบ เนองจากเปนภยจากปจจยภายนอกทไมสามารถยบยงได ในการปองกนหากไมสามารถ
ยายสถานทหรอปองกนสถานทได ควรมการ Back Up ขอมลไวมากกวา ๑ Back Up และแยกสถานทจดเกบ และถาเกดความเสยหายเกดขนกบขอมล กสามารถนาขอมลทมการ Back Up ไว และอปกรณคอมพวเตอร สารองมาใชแทน หากเกดความเสยหายรายแรงควรมศนยคอมพวเตอรสารองเพม
๒.๒ ภยพบตจากภายใน ๒.๒.๑ ระบบแมขายหลก ระบบฐานขอมลหลกเสยหาย หรอขอมลถกทาลาย
๒.๒.๑.๑ การสารองขอมลอตโนมต โดยระบบเครองประมวลผลแมขายจะสารองขอมล ไวในสอบนทกขอมลทกวน
๒.๒.๑.๒ การสารองขอมลดวยระบบ Manual โดยกาหนดใหเจาหนาทสารองขอมลตามระยะเวลาทกาหนดทกสปดาห โดยจะสารองขอมล โครงสรางขอมล Source Code และบนทกขอมลลงในสอบนทก
๒.๒.๑.๓ ทดสอบ Recovery ขอมล โครงสราง และโปรแกรมปฏบตการฐานขอมลทไดสารองไวในสอบนทก ทกสปดาห
๒.๒.๑.๔ ทดสอบ Recovery ฐานขอมลและโปรแกรมปฏบตการฐานขอมล และระบบปฏบตการของเครองแมขายสารองทไดสารองไว เ พอทดสอบระบบการทางานเมอเครองแมขายหลกเสยหาย
๒.๒.๑.๕ จดเจาหนาทในการบารงรกษาสอบนทกขอมลของเครองคอมพวเตอรแมขาย เพอลดความเสยหายของขอมล
๒.๒.๒ ไวรสคอมพวเตอรจากผใชงานภายในสานกงานคณะกรรมการออยและนาตาลทราย ๒.๒.๒.๑ ตดตงโปรแกรมปองกนไวรสทเครองแมขายและลกขายเพอใหสามารถ
ตรวจสอบได ๒.๒.๒.๒ ตดตงโปรแกรมปองกนไวรสและอพเดทขอมลไวรสอยเสมอ ๒.๒.๒.๓ หลกเลยงการแชรไฟลโดยไมจาเปน
แผนรองรบสถานการณฉกเฉนทอาจเกดขนกบระบบเทคโนโลยสารสนเทศ ( IT Cont ingency P lan ) ห น า | ๘
๒.๒.๓ เจาหนาทผใชงานขาดความรในการใชเครองมออปกรณ คอมพวเตอรทงดานฮารดแวร และซอฟทแวร ซงอาจทาใหระบบเทคโนโลยสารสนเทศเสยหาย ใชงานไมได หรอหยดการทางาน
๒.๒.๓.๑ ใหความรแกเจาหนาทและหนวยงานผานชองทางตาง ๆ เชน website, หนงสอเวยน เปนตน
๒.๒.๓.๒ ใสกญแจตอปกรณเครอขาย เพอปองกนการเชอมตอโดยเจาหนาท หรอบคลากรทไมมหนาทโดยตรง (Unauthorized Personals)
๓. ขนตอนปฏบตในมาตรการทสาคญ
๓.๑. การสารองขอมล (Back Up) ๓.๑.๑ การสารองขอมลอตโนมตโดยระบบเครองประมวลผลแมขาย โดยสารองขอมลไวใน
สอบนทก ๑ ชด ๓.๑.๒ การสารองขอมลดวยระบบ Manual โดยกาหนดใหเจาหนาทสารองขอมลตามระยะ
เวลาทกาหนดเปนประจาทกสปดาห โดยสารองขอมล โครงสรางขอมล และ Source Code และบนทกขอมลลงในสอบนทก
๓.๒. การกขอมล (Recovery) ๓.๒.๑ ทดสอบ Recovery ขอมล โครงสราง และโปรแกรมปฏบตการฐานขอมลทไดสารอง
ไวในสอบนทก ทกสปดาห ๓.๒.๒ ทดสอบ Recovery ฐานขอมลและโปรแกรมปฏบตการฐานขอมล และระบบ
ปฏบตการของเครองแมขายสารองทไดสารองไว เพอทดสอบระบบการทางานเมอเครองแมขายหลกเสยทกสปดาห
๔. ขอปฏบตในการแกไขปญหาจากภยพบต
๔.๑. กรณเครองลกขาย ๔.๑.๑ ในกรณทมเหตทาใหเครองคอมพวเตอรไมสามารถดาเนนการใชระบบเทคโนโลย
สารสนเทศไดตามปกต ใหเจาหนาทผนนแจงเหตใหเจาหนาทผเกยวของหรอดแลทราบ หรอ กรณมเหตอนทาใหเจาหนาทผเกยวของไมสามารถดาเนนการใหบรการดานเครอขายได จะตองประกาศใหทกหนวยงานในสงกดทราบ
๔.๑.๒ กรณเกดการขดของเนองจากถกไวรสคอมพวเตอร เพอปองกนความเสยหายทจะ แพรกระจายไปยงเครองอนในระบบเครอขายใหดงสายเชอมโยงระบบเครอขาย (LAN) ออกจากเครองโดยเรว
๔.๑.๓ ในกรณทเกรงวาเหตทเกดจะเปนอนตรายตอหนวยงานภายในตกทตงของเครอง คอมพวเตอรทพบการขดของ ใหดงสาย LAN ออกจากจดชมสายในชนนนออกใหหมด
๔.๑.๔ ใหเจาหนาททเกยวของ แจงเหตขดของนนใหหวหนา หรอผบงคบบญชาทราบโดยเรว
แผนรองรบสถานการณฉกเฉนทอาจเกดขนกบระบบเทคโนโลยสารสนเทศ ( IT Cont ingency P lan ) ห น า | ๙
๔.๒. กรณเครองแมขายและอปกรณเครอขาย ๔.๒.๑ ตดการเชอมตอระบบเครอขายโดยเรว แลวปดอปกรณเครอขายและเครอง
คอมพวเตอร แมขาย ตามลาดบความสาคญของการใหบรการ ๔.๒.๒ ถาไฟฟาดบ/ไฟฟาตก ใหปดเครองคอมพวเตอรแมขายและอปกรณเครอขาย โดย
พจารณาตามความสาคญการใหบรการระยะเวลาทไฟฟาดบและประสทธภาพของเครองสารองไฟฟา ๔.๒.๓ ปดระบบจายไฟ ในกรณไฟไหม ใหใชนายาดบเพลงฉดควบคมเพลงโดยเรว ๔.๒.๔ รบขนยายเครองไปไวในทปลอดภย ๔.๒.๕ ประสานขอความชวยเหลอกบผเชยวชาญทรบผดชอบดแลระบบ Server และระบบ
เครอขายโดยเรวทสด ๔.๒.๖ ในกรณอปกรณดานฮารดแวรเสย ใหรบหาอปกรณสารอง หรอแจงใหบรษทท
รบผดชอบ นาอปกรณมาเปลยนโดยเรวทสด ๔.๒.๗ ผดแลระบบ ตองแจงใหผบงคบบญชาทราบโดยเรว
๔.๓. กรณเครองคอมพวเตอรลกขายตดไวรสคอมพวเตอร ใหดาเนนการดงน ๔.๓.๑ เจาหนาทผใชเครองคอมพวเตอรนน ๆ ดงสาย LAN ออกจากเครองคอมพวเตอรเพอ
ตดการเชอมตอกบระบบเครอขาย ๔.๓.๒ สแกนและกาจดไวรสหรอกกไวรส (Quarantine) ดวยโปรแกรมปองกนไวรส ๔.๓.๓ แจงเจาหนาททเกยวของ เพอตรวจสอบ
๔.๔. หลกปฏบตของบคลากรในการปองกนอคคภยเพอปองกนมใหเกดอคคภยในอาคาร และบคลากรสามารถปฏบตตนไดถกตอง เมอเกดอคคภย จงกาหนดหลกปฏบต ดงน
๔.๔.๑ ไมกระทาการใด ๆ อนจะนาไปสการเกดอคคภยในอาคาร ๔.๔.๒ ควรศกษาเรองตาแหนงการหนไฟ เสนทางหนไฟ ทางออกจากตวอาคาร การตดตง
อปกรณเกยวกบความปลอดภยจากเพลงไหมและการหนไฟอยางละเอยด ๔.๔.๓ ควรหาทางออกฉกเฉนสองทางทใกลหองทางาน ตรวจสอบทางออกฉกเฉน มใหปด
ตายหรอมสงกดขวาง และสามารถใชเปนเสนทางจากภายในอาคารไดอยางปลอดภย ใหนบจานวนประตหองโดยเรมจากหองทางานตนเอง ไปยงทางออกฉกเฉน เพอใหไปถงทางได แมวาไฟดบหรอปกคลมไปดวยควน
๔.๔.๔ เมอเกดเพลงไหม ใหหาตาแหนงสญญาณเตอนเพลงไหม เปดสญญาณเตอนเพลงไหมจากนนออกจากอาคารแลวแจงหนวยดบเพลงทนท
๔.๔.๕ เมอไดยนเสยงสญญาณเตอนเพลงไหม ใหรบหาทางหนออกจากอาคารทนท ๔.๔.๖ หากเพลงไหมในหองทางาน ใหออกจากหอง ปดประต แลวแจงฝายอาคารและ
สถานทเพอแจงหนวยดบเพลงทนท ๔.๔.๗ หากเพลงไหมเกดขนภายนอกหองทางาน กอนออกจากอาคารใหวางมอบนประต
หากประตมความเยนอย คอย ๆ เปดประต แลวไปยงทางหนไฟฉกเฉนทใกลทสด
แผนรองรบสถานการณฉกเฉนทอาจเกดขนกบระบบเทคโนโลยสารสนเทศ ( IT Cont ingency P lan ) ห น า | ๑๐
๔.๔.๘ หากเพลงไหมอยบรเวณใกลประต จะมความรอน หามเปดประตโดยเดดขาด ใหรบแจงหนวยดบเพลง และแจงใหทราบวาทานอยทใดของอาคารซงเพลงไหม หาผาเปยก ปดทางเขาของควนปดพดลม และเครองปรบอากาศ สงสญญาณขอความชวยเหลอทหนาตาง
๔.๔.๙ เมอตองเผชญกบควนไฟ ใหคลานไปยงทางออกฉกเฉน ๔.๔.๑๐ หามใชลฟตขณะเกดเพลงไหม
๔.๕. ระบบปองกนและแกไขปญหาทเกดจากกระแสไฟฟา เนองจากเครองคอมพวเตอรและอปกรณเครอขายคอมพวเตอรสวนใหญ มความไวตอความ
ผดปกตของกระแสไฟฟาทไดรบสงมาก ดงนน สงทมกจะเกดขนและยากตอการหลกเลยงคอ ผลกระทบตาง ๆ ทเกดจากปญหาทางไฟฟา เชน การชารดและเสยหายของอปกรณคอมพวเตอร หรอการสญหายของขอมลสาคญ รวมถงการเสยเวลาจากผลกระทบทเกดจากปญหาทางไฟฟา ประกอบดวย
๔.๕.๑ เปดใชงานเครองสารองไฟฟาและปรบแรงดนไฟฟาอตโนมต (UPS) ตลอดระยะเวลาเปด ใชงานทงเครองคอมพวเตอรแมขายและเครองคอมพวเตอรสวนบคคล
๔.๕.๒ เมอเกดกระแสไฟฟาดบใหรบทาการบนทกขอมลทนทและปดเครองคอมพวเตอรและ อปกรณในภายหลง
แผนรองรบสถานการณฉกเฉนทอาจเกดขนกบระบบเทคโนโลยสารสนเทศ ( IT Cont ingency P lan ) ห น า | ๑๑
๕. แผนรองรบสถานการณฉกเฉน ๕.๑ สถานการณฉกเฉนทเกดจากความขดของดานเทคนค
๕.๑.๑ กรณการปองกนไวรสลมเหลว
กรณถกไวรสหรอผบกรก เพอจากดความเสยหายทอาจแพรกระจายไปยงเครองอนในระบบเครอขายใหทาการจากดการเชอมตอเขาระบบเครอขาย
วเคราะหหาสาเหตและผลกระทบทเกดจากไวรสทระบาด
ดาเนนการปองกนระบบเครอขายเพอหยดยงการระบาดของไวรส
ตรวจสอบและตดตามเครองทตดไวรสและดาเนนการแกไข
กรณททาใหเครองคอมพวเตอรไมสามารถดาเนนการใชไดตามปกต ใหแจงเหต ใหเจาหนาทกลมงานเทคโนโลยสารสนเทศและการสอสาร ทราบ หรอกรณมเหตอนทาใหกลมงานเทคโนโลยสารสนเทศและการสอสาร ไมสามารถดาเนนการใหบรการดานเครอขายได กลมงานเทคโนโลยสารสนเทศและการสอสาร จะตองประกาศใหทกหนวยงานในสงกดทราบ
แผนผงแสดงขนตอนการรบมอสถานการณฉกเฉน กรณการปองกนไวรสลมเหลว
START
จ ำกดกำรเชอมตอเขำระบบเครอขำย เชน ถอดสำยแลน
วเครำะหหำสำเหตและผลกระทบทเกดขน
ปองกนระบบเครอขำยเพอหยดกำรแพรกระจำยทเกดขน
ปองกนระบบเครอขำยเพอหยดกำรแพรกระจำยทเกดขน
STOP
แผนรองรบสถานการณฉกเฉนทอาจเกดขนกบระบบเทคโนโลยสารสนเทศ ( IT Cont ingency P lan ) ห น า | ๑๒
๕.๑.๒ กรณการปองกนผบกรกลมเหลว
กรณทมผบกรก ผดแลระบบตองวเคราะหหาสาเหตของการเขามาในระบบและผลของความเสยหายทเกดขน โดยตรวจสอบจาก log และตรวจสอบการ ตงคาของ Firewall
ผดแลระบบแจงหวหนากลมงานเทคโนโลยสารสนเทศและการสอสาร ใหทราบโดยดวน
ดาเนนการหยดยงการบกรก ปดชองโหวตาง ๆ ททาใหผบกรกเขามาได
แผนผงแสดงขนตอนการรบมอสถานการณฉกเฉน กรณการปองกนผบกรกลมเหลว
START
ตรวจสอบ Log และกำรตงคำ Firewall เพอวเครำะหหำสำเหตกำรเขำมำและผลกระทบทเกดขน
แจง หน.กทส. ทรำบ
ด ำเนนกำรหยดย ง กำรบกรก ปดชองโหวตำง ๆ ทถกบกรกเขำมำ
STOP
แผนรองรบสถานการณฉกเฉนทอาจเกดขนกบระบบเทคโนโลยสารสนเทศ ( IT Cont ingency P lan ) ห น า | ๑๓
๕.๑.๓ กรณการเชอมโยงเครอขายลมเหลว
รบดาเนนการวเคราะหหาจดททาใหเกดปญหา
หากสายเคเบลขาด ใหรบตดตอเจาหนาทบรษททรบดแลบารงรกษาระบบเครอขาย เพอดาเนนการซอมแซมสาย เคเบลใหเสรจเรยบรอยโดยเรว
หากเชอมโยงเครอขายไมไดเฉพาะบางชน ใหดาเนนการตรวจสอบสายทเชอมตอไปยงชนและ switch ทตดตงอย ณ ชนนน ๆ
แผนผงแสดงขนตอนการรบมอสถานการณฉกเฉน กรณการเชอมโยงเครอขายลมเหลว
แผนรองรบสถานการณฉกเฉนทอาจเกดขนกบระบบเทคโนโลยสารสนเทศ ( IT Cont ingency P lan ) ห น า | ๑๔
๕.๑.๔ กรณอปกรณจดเกบขอมลเสยหาย
แจงใหผปฏบตงานทเกยวของทราบ
รบดาเนนการจดหาอปกรณจดเกบขอมลมาเปลยนใหม และนาขอมลทไดสารองไว มากคนขอมลโดยเรว
ทดสอบความสมบรณของขอมล และแจงใหผปฏบตงานทเกยวของทราบ
แผนผงแสดงขนตอนการรบมอสถานการณฉกเฉน กรณอปกรณจดเกบขอมลเสยหาย
แผนรองรบสถานการณฉกเฉนทอาจเกดขนกบระบบเทคโนโลยสารสนเทศ ( IT Cont ingency P lan ) ห น า | ๑๕
๕.๑.๕ กรณไฟฟาขดของ
ระบบคอมพวเตอร สอน. มเครองสารองไฟฟา (UPS) และ Generator ซงสามารถใหบรการระบบไฟฟาสารอง
หากครบ ๓ ชวโมงแลว ระบบไฟฟายงไมปกต ใหมการแจงเตอนไปยงผบงคบบญชาตามลาดบ
ผดแลระบบและผดแลระบบเครอขายดาเนนการปดระบบเพอปองกนความเสยหาย
หากเครองสารองไฟฟามปญหาไมสามารถใชงานได ตดตอบรษททดแลระบบคอมพวเตอร เพอดาเนนการแกไขปญหาทเกดขน หาก Generator มปญหา ประสานเรองระบบไฟฟากบฝายอาคารสถานท หรอจดหาเครองสารองไฟฟาทดแทน
แผนผงแสดงขนตอนการรบมอสถานการณฉกเฉน กรณการไฟฟาขดของ
แผนรองรบสถานการณฉกเฉนทอาจเกดขนกบระบบเทคโนโลยสารสนเทศ ( IT Cont ingency P lan ) ห น า | ๑๖
๕.๒ สถานการณฉกเฉนทเกดจากภยตาง ๆ ๕.๒.๑ กรณไฟไหม
หากเกดไฟไหมขณะปฏบตงานอย ใหผปฏบตงานรบเคลอนยายออกภายนอกตวอาคาร ใหผทสามารถการใชเครองดบเพลงได ใชเครองดบเพลงทตดตงอยทาการดบไฟ
หากไมสามารถควบคมไฟได ผดแลระบบและผดแลระบบเครอขายตองรบเคลอนยายอปกรณจดเกบขอมลสารองออกภายนอกตวอาคาร
ผตดตอประสานงานโทรแจงฝายอาคารและสถานททนท ทเบอร ๓๒๙๖ และ ๓๒๙๗ และโทรแจงสถานดบเพลง พญาไท ทเบอร ๐๒ ๓๕๔ ๖๘๕๘
หากเกดไฟไหมขณะทไมมผปฏบตงาน แลวปรากฏวาอปกรณตาง ๆ ชารดเสยหาย ใหรบดาเนนการจดซอมหรอจดหาอปกรณตาง ๆ มาเพอใหการปฏบตงานดาเนนตอไปได และออกแบบตดตงระบบตรวจจบไฟ และดบไฟอตโนมต
อบรมวธการใชงานเครองดบเพลงและการหนไฟใหกบผปฏบตงานอยางสมาเสมอ อยางนอยปละ ๒ ครง
แผนรองรบสถานการณฉกเฉนทอาจเกดขนกบระบบเทคโนโลยสารสนเทศ ( IT Cont ingency P lan ) ห น า | ๑๗
แผนผงแสดงขนตอนการรบมอสถานการณฉกเฉน กรณไฟไหม (ขณะมผปฏบตงานอย)
แผนรองรบสถานการณฉกเฉนทอาจเกดขนกบระบบเทคโนโลยสารสนเทศ ( IT Cont ingency P lan ) ห น า | ๑๘
แผนผงแสดงขนตอนการรบมอสถานการณฉกเฉน กรณไฟไหม (ขณะไมมผปฏบตงานอย)
แผนรองรบสถานการณฉกเฉนทอาจเกดขนกบระบบเทคโนโลยสารสนเทศ ( IT Cont ingency P lan ) ห น า | ๑๙
๕.๒.๒ กรณนาทวม
ผดแลระบบและผดแลระบบเครอขายปดระบบและทาการเคลอนยายอปกรณทจาเปนไปสถานทปฏบตงานสารอง
ผดแลระบบและผดแลระบบเครอขายตรวจสอบระบบคอมพวเตอรและอปกรณ หากพบความชารด เสยหาย ใหจดสงซอมหรอจดหาเพอใหสามารถดาเนนการได
ผดแลระบบ สารวจระบบขอมลสารสนเทศ หากเสยหายใหนาขอมลสารองทไดจดเกบไวมากคน ใหสามารถใชงานได
แผนผงแสดงขนตอนการรบมอสถานการณฉกเฉน กรณนาทวม
แผนรองรบสถานการณฉกเฉนทอาจเกดขนกบระบบเทคโนโลยสารสนเทศ ( IT Cont ingency P lan ) ห น า | ๒๐
๕.๒.๓ กรณแผนดนไหว
ใหผปฏบตงานรบเคลอนยายออกภายนอกตวอาคาร
ผดแลระบบและผดแลระบบเครอขายนาขอมลสารอง เคลอนยายไปดวยหากสามารถทาได
เมอเหตการณสงบ ตรวจสอบความชารด เสยหาย และดาเนนการแกไขเพอใหระบบสามารถดาเนนการตอไปได
แผนผงแสดงขนตอนการรบมอสถานการณฉกเฉน กรณแผนดนไหว
แผนรองรบสถานการณฉกเฉนทอาจเกดขนกบระบบเทคโนโลยสารสนเทศ ( IT Cont ingency P lan ) ห น า | ๒๑
๕.๓ สถานการณฉกเฉนทเกดจากความไมสงบเรยบรอยในบานเมอง ๕.๓.๑ กรณเกดสถานการณความไมสงบเรยบรอยในบานเมอง เชน การกอการราย การชมนมประทวง
กรณทไมสามารถเขามาปฏบตงานได ผดแลระบบ Remote เขามาเพอตรวจสอบการทางานของระบบ หากพบวาระบบไมสามารถดาเนนการไดตามปกต แจงหวหนากลมงานเทคโนโลยสารสนเทศและการสอสาร ทราบ
หลงเหตการณความไมสงบ ใหผดแลระบบและผดแลเครอขายตรวจสอบความชารด เสยหายซงอาจไดรบจากเหตการณดงกลาว หากพบ ความชารดเสยหาย ใหดาเนนการตดตอบรษททรบผดชอบดแลบารงรกษา
แผนผงแสดงขนตอนการรบมอสถานการณฉกเฉน กรณเกดสถานการณความไมสงบเรยบรอยในบานเมอง
แผนรองรบสถานการณฉกเฉนทอาจเกดขนกบระบบเทคโนโลยสารสนเทศ ( IT Cont ingency P lan ) ห น า | ๒๒
๕.๔ สถานการณฉกเฉนทเกดจากการบคคล ๕.๔.๑ กรณโจรกรรม
ผปฏบตงานแจงผบงคบบญชาใหทราบโดยดวน
สารวจตรวจสอบรายการทรพยสนทสญหาย
ผดแลระบบและผดแลระบบเครอขายรบดาเนนการจดหาอปกรณเพอตดตงทดแทนอปกรณเดม และนาขอมลทไดสารองไวกคน ใหผปฏบตงานสามารถใช ระบบงานตาง ๆ ไดโดยเรว
แผนผงแสดงขนตอนการรบมอสถานการณฉกเฉน กรณโจรกรรม
แผนรองรบสถานการณฉกเฉนทอาจเกดขนกบระบบเทคโนโลยสารสนเทศ ( IT Cont ingency P lan ) ห น า | ๒๓
๕.๔.๒ กรณผปฏบตงานไมสามารถมาปฏบตงานได
แจงผบงคบบญชาทราบ
ปฏบตตามคมอการดาเนนการหากมการจดทาไว หรอตดตอประสานงานกบบคคลอนเพอใหสามารถปฏบตงานแทนได
แผนผงแสดงขนตอนการรบมอสถานการณฉกเฉน กรณผปฏบตงานไมสามารถมาปฏบตงานได
แผนรองรบสถานการณฉกเฉนทอาจเกดขนกบระบบเทคโนโลยสารสนเทศ ( IT Cont ingency P lan ) ห น า | ๒๔
๖. แผนการดแลจดการรกษาและแกไขปญหาระบบขอมลสารสนเทศ ตารางท ๑ แผนการดแลจดการรกษาและแกไขปญหาระบบขอมลสารสนเทศ ประเภทความเสยง/กจกรรม
แนวทางการควบคม ระยะเวลาเรมตน/สนสด
ปงบประมาณ หมายเหต
ต.ค พ.ย ธ.ค ม.ค ก.พ ม.ค เม.ย พ.ค ม.ย ก.ค ส.ค ก.ย ๑. ความเสยงดานความเสยหายของระบบสารสนเทศและขอมลสารสนเทศ
๑.๑ ระบบฐานขอมล/โปรแกรมทใหบรการเกดความเสยหาย
- จดทาการสารองขอมลแบบอตโนมต - จดทาการสารองขอมลแบบไมอตโนมต - ทดสอบการกคนฐานขอมล และระบบสารสนเทศ
- ทกวน/ทกสปดาห - ทก สปดาหเดอนละ ๔ ครง - ทก สปดาห เดอนละ ๔ ครง
๑.๒ ขอมลเสยหายเกดจากอปกรณ บนทกขอมล (Hard disk) ชารด
- จดทาการสารองขอมลแบบอตโนมต - จดทาการสารองขอมลแบบไมอตโนมต - ทดสอบการกคนฐานขอมล และระบบสารสนเทศ
- ทกวน/ทก สปดาห - ทก สปดาหเดอนละ ๔ ครง - ทก สปดาห เดอนละ ๔ ครง
แผนรองรบสถานการณฉกเฉนทอาจเกดขนกบระบบเทคโนโลยสารสนเทศ ( IT Cont ingency P lan ) ห น า | ๒๕
ตารางท ๒ แผนการดแลจดการรกษาและแกไขปญหาระบบขอมลสารสนเทศ
ประเภทความเสยง/กจกรรม แนวทางการควบคม ระยะเวลาเรมตน/สนสด
ปงบประมาณ หมายเหต ต.ค. พ.ย. ธ.ค. ม.ค. ก.พ. ม.ค. เม.ย. พ.ค. ม.ย. ก.ค. ส.ค. ก.ย.
๒. ความเสยงดานภยพบตระบบสารสนเทศ
๒.๑ ไฟไหมหอง Server - ตรวจสอบความพรอมของการใชงานอปกรณดบเพลง
- ทกวนท ๓๐ ก.ย.ของทกป
๒.๒ ระบบเครอขายสอสารหลกเสยหาย/ขดของ
- ตรวจสอบระบบ เครอขายสอสารหลก
- ทก ๓ เดอน
๓. ความเสยงดานความมนคง และปลอดภยของระบบฐานขอมล
๓.๑ ระบบกระแสไฟฟาขดของ/ไฟฟาดบ
- ตรวจสอบระบบ UPS และเครองกาเนดไฟฟา (Generator)
- ทกวนท ๓๐ ก.ย.ของทกป
๓.๒ การถกเจาะหรอลกลอบ (Hack) เขาสระบบประมวลผลของเครอง Server
- ตรวจสอบระบบปองกนการบกรกระบบ เครอขาย (Firewall)
- ทกวนท ๑ และ ๑๖ ของ ทกเดอน
๓.๓ การถกเจาะหรอลกลอบ (Hack) ระบบฐานขอมล
- ตรวจสอบระบบปองกนการบกรกระบบเครอขาย (Firewall)
- ทกวนท ๑ และ ๑๖ ของ ทกเดอน
แผนรองรบสถานการณฉกเฉนทอาจเกดขนกบระบบเทคโนโลยสารสนเทศ ( IT Cont ingency P lan ) ห น า | ๒๖
ตารางท ๓ แผนการดแลจดการรกษาและแกไขปญหาระบบขอมลสารสนเทศ
ประเภทความเสยง/กจกรรม แนวทางการควบคม
ระยะเวลาเรมตน/สนสด
ปงบประมาณ หมายเหต ต.ค. พ.ย. ธ.ค. ม.ค. ก.พ. ม.ค. เม.ย. พ.ค. ม.ย. ก.ค. ส.ค. ก.ย.
๓.๔ ขาดเครองมอปองกนหรอตรวจจบไวรส
มโปรแกรมปองกนไวรสและUpdateฐานขอมลไวรส
สปดาหละ ๑ ครง
๔. ความเสยงดานสทธการใชงานของผใชงานในแตละระดบ
๔.๑ การเขาใชระบบเครอขายคอมพวเตอรภายในสานกงานคณะกรรมการออยและนาตาลทรายโดยไมไดรบอนญาต
- กาหนดสทธในการเขาถงขอมล
- เมอแตงตง /โยกยาย /ลาออก /เกษยณอายราชการ/เสยชวต
๕. อปกรณคอมพวเตอรเสยหาย ๕.๑ คอมพวเตอรไมสามารถไมสามารถใชงานได
- บารงรกษาคอมพวเตอร เชน เปาฝน สแกนฮารดดสค disk cleanup และ diskdefragmenter
- ทก ๓ เดอน
แผนรองรบสถานการณฉกเฉนทอาจเกดขนกบระบบเทคโนโลยสารสนเทศ ( IT Cont ingency P lan ) ห น า | ๒๗
๗. แผนกคนระบบคอมพวเตอรกลบสสภาวะปกตเดม
การกคนระบบเครองคอมพวเตอรแมขายและอปกรณเครอขาย โดยปกตระบบเครองคอมพวเตอร
แมขายและอปกรณเครอขาย ตองอยในสภาพทพรอมรองรบการใหบรการกบเครองลกขายตาง ๆ ไดตลอดเวลา
๒๔ ชวโมง หากไมสามารถใหบรการได ตองรบกระบบคนใหไดเรวทสด เพอทาใหระบบการทางานของเครอง
คอมพวเตอรและขอมลกลบสสภาพเดม เมอระบบเสยหายหรอหยดทางาน โดยดาเนนการ ดงน
๑. จดหาอปกรณ/ชนสวน เพอทดแทน
๒. เปลยนอปกรณชนสวนทเสยหาย
๓. ซอมบารงวสดอปกรณทเสยหาย ใหเสรจภายใน ๔๘ ชวโมง
๔. ขอยมอปกรณคอมพวเตอรจากหนวยงานอนมาใชเปนการชวคราว
๕. นาสอทไดสารองขอมลไวกลบมา Restore โดยเรวภายใน ๔๘ ชวโมง
๖. ตรวจสอบระบบปฏบตการ ระบบฐานขอมล ตรวจสอบความถกตองของขอมลและ ระบบอน ๆ ท
เกยวของ
แผนรองรบสถานการณฉกเฉนทอาจเกดขนกบระบบเทคโนโลยสารสนเทศ ( IT Cont ingency P lan ) ห น า | ๒๘
๘. การกาหนดผรบผดชอบ
ผรบผดชอบดาเนนการเพอใหระบบสารสนเทศใชงานไดอยางตอเนอง
Chief Executive Officer : CEO เลขาธการ
(นายเอกภทร วงสวรรณ) 081-978-9786
Chief Information Officer : CIO รองเลขาธการ
(นายวฤทธ วเศษสนธ) 081-925-8685
ผอานวยการกองยทธศาสตรและแผนงาน (นายสามารถ นอยวน)
081-283-8278
ผประสานงาน/รบผดชอบในกรณเกดเพลงไหมภายในอาคาร ผอานวยการสานกงานเลขานการกรม
(นางสภาณ สรยจนทราทอง) 081-805-9680
ผประสานงานและบรหารกากบดแล สภาพความพรอมของระบบสารสนเทศและเครอขาย
รกษาราชการแทนหวหนากลมเทคโนโลยสารสนเทศและการสอสาร
(นางสาวแววตา พรหมศกด) 081-532-2770
ผดแลระบบไฟฟา นายสมโภชน จนพาท
087-798-8868
ผดแลระบบเครอขาย นายไตรยทธ ศขใหญ
081-917-7166 นายธนะเดช พวงระยา
089-128-0866
ผดแลระบบฐานขอมลและเวบแอบพลเคชน 1. ระบบฐานขอมล - นายธรวฒน ศลปรศม 083-502-7211 - นางสาวกรกนก จนทราธนากล 084-901-9472 2. ระบบเวบแอบพลเคชน - นายโอภาส ศรจนทร 081-955-7040 - นายไพโรจน ใยโพธทอง 092-898-1092
แผนรองรบสถานการณฉกเฉนทอาจเกดขนกบระบบเทคโนโลยสารสนเทศ ( IT Cont ingency P lan ) ห น า | ๒๙
๙. การตดตามและรายงานผล กาหนดใหเจาหนาทผรบผดชอบรายงานผลการดาเนนการหรอการตรวจสอบใหผกากบดแลทราบเปน
ประจาทกเดอน และใหรายงานการเกดปญหาและผลการแกไขใหทราบในทนททสามารถดาเนนการไดในทกกรณตามทระบ
ลงนาม............................................................ (นายเอกภทร วงสวรรณ) เลขาธการคณะกรรมการออยและนาตาลทราย