Embed Size (px)
Citation preview
เอกสารหมายเลข ๒
นโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ
มหาวทยาลยสงขลานครนทร พ.ศ. ๒๕๕๘
สารบญ
หนา ความเปนมา ๑ สวนท ๑ นโยบายควบคมการเขาถงและการใชงานระบบสารสนเทศ ๓
๑. การควบคมการเขาถงขอมลและสารสนเทศของมหาวทยาลย (Information ๓ Access Control) ๒. การบรหารจดการการเขาถงของผใชงาน (User Access Management) ๖ ๓. การก าหนดหนาทความรบผดชอบของผใชงาน (User Responsibilities) ๙ ๔. การควบคมการเขาถงระบบเครอขาย (Network Access Control) ๑๑ ๕. การใชงานอนเทอรเนต (Use of the Internet) ๑๓ ๖. การบรหารจดการคอมพวเตอรแมขาย ๑๓ ๗. การใชงานและการควบคมการใชงานจดหมายอเลกทรอนกส ๑๔ ๘. การควบคมการเขาถงระบบปฏบตการ (Operating System Access Control) ๑๔ ๙. การเขาถงเครองคอมพวเตอรแมขาย ๑๖ ๑๐. การเขาถงเครองคอมพวเตอรทหนวยงานจดไวใหงานรวมกน ๑๖ ๑๑. การเขาถงโปรแกรมประยกตและระบบสารสนเทศ(Application and Information ๑๖
Access Control) ๑๒. การบรหารจดการระบบจดเกบขอมลจราจรคอมพวเตอร (Traffic Log Management) ๑๙ ๑๓. หนาทและความรบผดชอบของผดแลระบบ (System Administrator) ๑๙ ๑๔. การใชงานเครอขายสงคมออนไลน (Social Network) ๒๑ ๑๕. การรกษาความมนคงปลอดภยทางดานกายภาพและสงแวดลอม (Physical and ๒๑
Environmental Security) สวนท ๒ นโยบายการจดท าระบบส ารองสารสนเทศ ๒๓ สวนท ๓ นโยบายการตรวจสอบและประเมนความเสยงสารสนเทศ ๒๕ สวนท ๔ นโยบายการสรางความตระหนกในเรองการรกษาความมนคงปลอดภยดานสารสนเทศ ๒๗ (Information Security Awareness Policy)
๑
ความเปนมา ๑. หลกการและเหตผล
ตามทพระราชกฤษฎกาก าหนดหลกเกณฑและวธการในการท าธรกรรมทางอเลกทรอนกสภาครฐ พ.ศ. ๒๕๔๙ ก าหนดใหหนวยงานของรฐตองจดท านโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ เพอใหการด าเนนกจกรรมหรอการใหบรการตางๆ มความมนคงปลอดภย เชอถอได มหาวทยาลยสงขลานครนทร ไดก าหนดแนวนโยบายและแนวปฏบตการรกษาความมนคงปลอดภยดานสารสนเทศขน เพอใหระบบเทคโนโลยสารสนเทศของมหาวทยาลยสงขลานครนทรเปนไปอยางเหมาะสม มประสทธภาพ ครอบคลมดานการรกษาความมนคงปลอดภยใหสามารถด าเนนงานไดอยางตอเนอง และปองกนภยคกคามตางๆ และการปฏบตตามเจตนารมณของพระราชกฤษฎกาดงกลาวไดอยางถกตองและเหมาะสม รวมถงยงไดเตรยมความพรอมตามกฎหมายและประกาศดานเทคโนโลยสารสนเทศอนๆ ทเกยวของ และการปองกนปญหาทอาจจะเกดขนจากการใชงานระบบเทคโนโลยสารสนเทศในลกษณะทไมถกตอง ตลอดจนการถกคกคามจากภยตาง ๆ ดวย
๒. วตถประสงค มหาวทยาลยสงขลานครนทร ไดก าหนดนโยบายและแนวปฏบตการรกษาความมนคงปลอดภยดานสารสนเทศ
มวตถประสงค ดงตอไปน ๒.๑. เพอก าหนดมาตรฐานแนวทางปฏบตของการรกษาความมนคงปลอดภยในการใชงานระบบเทคโนโลย
สารสนเทศและการสอสารของมหาวทยาลยสงขลานครนทรเปนไปตามกฎหมายและระเบยบปฏบตทเกยวของ
๒.๒. เพอใหเกดความเชอมนดานความมนคงปลอดภยในการใชงานระบบเทคโนโลยสารสนเทศและการสอสารของมหาวทยาลยสงขลานครนทร และท าใหด าเนนงานตาง ๆ เปนไปอยางมประสทธภาพและประสทธผล
๒.๓. เพอเผยแพรนโยบายและแนวปฏบตการรกษาความมนคงปลอดภยดานสารสนเทศใหผบรหาร เจาหนาททกระดบ นกศกษา และบคคลภายนอกทปฏบตงานใหกบองคกร มความร ความเขาใจและตระหนกถงความส าคญและถอปฏบตตามนโยบายนอยางเครงครด
๒.๔. เพอใหมระบบตรวจสอบและประเมนความเสยงในการรกษาความมนคงปลอดภยของขอมลและระบบเทคโนโลยสารสนเทศอยางสม าเสมอทกป
๓. เปาหมาย เปาหมายในการจดท าแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศของมหาวทยาลยสงขลา-
นครนทรมรายละเอยดดงตอไปน ๓.๑ สงเสรมและสนบสนนการรกษาความมนคงปลอดภยดานสารสนเทศใหตอบสนองตอพนธกจและ
นโยบายของมหาวทยาลย ๓.๒ เนนก ากบดแลการด าเนนงานเพอบรหารจดการใหระบบเทคโนโลยสารสนเทศมความถกตองสมบรณ
และพรอมใชงานอยเสมอ ๓.๓ เผยแพรความร ความเขาใจเพอสรางความตระหนกใหบคลากรและผเกยวของทกระดบทงของ
มหาวทยาลยเองและหนวยงานทเกยวของ ๓.๔ ตดตาม ตรวจสอบการด าเนนงาน และปรบปรงแนวนโยบายและแนวปฏบตในการรกษาความมนคง
ปลอดภยดานสารสนเทศใหสอดคลองตามการเปลยนแปลงทเกดขน
๒
๔. องคประกอบของนโยบาย นโยบายในการรกษาความมนคงปลอดภยดานสารสนเทศ มหาวทยาลยสงขลานครนทร จดท าขนเพอก าหนด
แนวทางและวธการปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ ใหสอดคลองและเปนไปตามนโยบายทก าหนดไว โดยมรายละเอยดดงตอไปน
สวนท ๑ นโยบายควบคมการเขาถงและการใชงานระบบสารสนเทศ ๑. การควบคมการเขาถงขอมลและสารสนเทศของมหาวทยาลย (Information Access
Control) ๒. การบรหารจดการการเขาถงของผใชงาน (User Access Management) ๓. การก าหนดหนาทความรบผดชอบของผใชงาน (User Responsibilities) ๔. การควบคมการเขาถงระบบเครอขาย (Network Access Control) ๕. การใชงานอนเทอรเนต (Use of the Internet) ๖. การบรหารจดการคอมพวเตอรแมขาย ๗. การใชงานและการควบคมการใชงานจดหมายอเลกทรอนกส ๘. การควบคมการเขาถงระบบปฏบตการ (Operating System Access Control) ๙. การเขาถงเครองคอมพวเตอรแมขาย ๑๐. การเขาถงเครองคอมพวเตอรทหนวยงานจดไวใหงานรวมกน ๑๑. การเขาถงโปรแกรมประยกตและระบบสารสนเทศ(Application and Information
Access Control) ๑๒. การบรหารจดการระบบจดเกบขอมลจราจรคอมพวเตอร (Traffic Log Management) ๑๓. หนาทและความรบผดชอบของผดแลระบบ (System Administrator) ๑๔. การใชงานเครอขายสงคมออนไลน (Social Network) ๑๕. การรกษาความมนคงปลอดภยทางดานกายภาพและสงแวดลอม (Physical and
Environmental Security) สวนท ๒ นโยบายการจดท าระบบส ารองสารสนเทศ สวนท ๓ นโยบายการตรวจสอบและประเมนความเสยงสารสนเทศ สวนท ๔ นโยบายการสรางความตระหนกในเรองการรกษาความมนคงปลอดภยดานสารสนเทศ (Information
Security Awareness Policy)
๓
สวนท ๑ นโยบายควบคมการเขาถงและการใชงานระบบสารสนเทศ
วตถประสงค
๑. เพอใหมแนวทางปฏบตในการรกษาความมนคงปลอดภยส าหรบควบคมการเขาถงและการใชงานระบบสารสนเทศของมหาวทยาลย
๒. เพอใหผใชงาน ผดแลระบบ และผเกยวของทกฝาย ไดรบร เขาใจขนตอนและปฏบตตามแนวทางบรหารจดการบญชผใชสารสนเทศของมหาวทยาลยโดยเครงครด
ผรบผดชอบ
๑. ศนยคอมพวเตอร ๒. ผดแลระบบทไดรบมอบหมาย ๓. เจาหนาททไดรบมอบหมาย
อางองมาตรฐาน
มาตรฐานการรกษาความมนคงปลอดภยในการประกอบธรกรรมทางอเลกทรอนกส
แนวปฏบต
๑. การควบคมการเขาถงขอมลและสารสนเทศของมหาวทยาลย (Information Access Control) ๑.๑. จดท าบญชทรพยสนหรอทะเบยนทรพยสน
๑.๑.๑. จดท าบญชทรพยสนหรอทะเบยนทรพยสน เพอจ าแนกกลมทรพยากรของระบบหรอการท างาน โดยก าหนดกลมผใชงานและสทธของกลมผใชงาน
๑.๒. ก าหนดสทธการเขาถงขอมลและสารสนเทศของมหาวทยาลย ดงน ๑.๒.๑. ไมมสทธ ๑.๒.๒. อานไดอยางเดยว ๑.๒.๓. สรางขอมล ๑.๒.๔. ปอนขอมล ๑.๒.๕. แกไขขอมล ๑.๒.๖. ลบขอมล ๑.๒.๗. อนมตการใชขอมล
๑.๓. ก าหนดประเภทขอมลของมหาวทยาลยเปน ๖ ประเภทหลกๆ ดงน ๑.๓.๑. ขอมลนกศกษา ๑.๓.๒. ขอมลบคลากร ๑.๓.๓. ขอมลการเงนและบญช ๑.๓.๔. ขอมลทางการศกษา ๑.๓.๕. ขอมลทางการบรหาร
๔
๑.๓.๖. ขอมลการจราจรทางคอมพวเตอร ๑.๔. ก าหนดระดบชนความลบของขอมลและสารสนเทศของมหาวทยาลยเปน ๔ ระดบดงน
๑.๔.๑. ลบ รเฉพาะผทเปนเจาของหรอผทมหนาทเกยวของโดยตรง ๑.๔.๒. ใชภายในเทานน เปนขอมลทสอสารกนในกลมยอยหรอระหวางคณะ/หนวยงาน หรอขอมล
ทเผยแพรเฉพาะภายในมหาวทยาลย ๑.๔.๓. สวนบคคล ใชเฉพาะตวบคคล เจาหนาท หรอหนวยงานทดแลขอมลนน ๑.๔.๔. เปดเผยได เปนขอมลทเปดเผยไดทงภายในและภายนอกมหาวทยาลย
๑.๕. เกณฑในการก าหนดชนความลบของขอมล ๑.๕.๑. ประเภทลบ หมายถง ขอมลทรเฉพาะผทเปนเจาของหรอผทมหนาทเกยวของโดยตรง ๑.๕.๒. ประเภทใชภายในเทานน หมายถง ขอมลทสอสารกนในกลมยอยหรอระหวางคณะ/
หนวยงาน หรอขอมลทเผยแพรเฉพาะภายในมหาวทยาลย ๑.๕.๓. ประเภทสวนบคคล หมายถง ขอมลทใชเฉพาะตวบคคล เจาหนาท หรอหนวยงานทดแล
ขอมลนน ๑.๕.๔. ประเภทเปดเผยได หมายถง ขอมลทเปดเผยไดทงภายในและภายนอกมหาวทยาลย
๑.๖. ก าหนดระดบชนการเขาถงขอมลและสารสนเทศของมหาวทยาลยดงน ๑.๖.๑. การเขาถงส าหรบผบรหาร ๑.๖.๒. การเขาถงส าหรบผปฏบตงานตามภาระหนาท ๑.๖.๓. การเขาถงส าหรบผดแลระบบ ๑.๖.๔. การเขาถงระดบบคคล ๑.๖.๕. การเขาถงระดบผใชงานทวไป
๑.๗. เกณฑการแบงระดบชนการเขาถงขอมลและสารสนเทศของมหาวทยาลย ๑.๗.๑. ผบรหาร เขาถงไดตามอ านาจหนาทและล าดบชนการบงคบบญชาในหนวยงานนน ๑.๗.๒. ผปฏบตงาน เขาถงไดตามอ านาจหนาททไดรบมอบหมาย ๑.๗.๓. ผดแลระบบ มสทธในการบรหารจดการระบบและเขาถงขอมลตามทไดรบมอบหมายตาม
อ านาจหนาท ๑.๗.๔. บคคล เขาถงไดเฉพาะขอมลสวนบคคลของตนเองและขอมลทไดรบอนญาตใหเขาถงได ๑.๗.๕. ผใชงานทวไป เขาถงไดเฉพาะขอมลทไดรบอนญาตใหเขาถงได และสามารถด เขยน แกไข
และลบขอมลเฉพาะทตนเองสรางขนเทานน ๑.๗.๖. การก าหนดสทธพเศษสามารถด าเนนการไดเมอไดรบอนมตจากผมอ านาจหรอเจาของขอมล
เทานน ๑.๗.๗. การมอบอ านาจในการเขาถงสามารถด าเนนการไดเมอไดรบความยนยอมจากเจาของสทธ
หรอหนวยงานหลกเทานน ๑.๘. ก าหนดใหมหนวยงานหลกหรอหนวยงานเจาภาพในการอนญาตการเขาถงขอมลและสารสนเทศ
ของมหาวทยาลยในแตละประเภทดงน ๑.๘.๑. ขอมลนกศกษา หนวยงานหลกคอ กองทะเบยนและประมวลผล และหนวยทะเบยน
นกศกษาแตละวทยาเขต ๑.๘.๒. ขอมลบคลากร หนวยงานหลกคอ กองการเจาหนาท ๑.๘.๓. ขอมลการเงนและบญช หนวยงานหลกคอ กองคลง ๑.๘.๔. ขอมลทางการศกษา ขนอยกบหนวยงานทมหาวทยาลยมอบหมายเปนหนวยงานหลก
๕
๑.๘.๕. ขอมลทางการบรหาร ขนอยกบหนวยงานทมหาวทยาลยมอบหมายเปนหนวยงานหลก ๑.๘.๖. ขอมลการจราจรทางคอมพวเตอร ศนยคอมพวเตอรและหนวยงานทใหบรการระบบ
สารสนเทศ ๑.๘.๗. การก าหนดกฎเกณฑเกยวกบการอนญาตใหเขาถง ตองก าหนดตามนโยบายทเกยวของกบ
การอนญาต การก าหนดสทธ หรอการมอบอ านาจของมหาวทยาลยสงขลานครนทร ๑.๙. การควบคมการเปลยนแปลง
๑.๙.๑. การเปลยนแปลงใดๆ ทอาจสงผลกระทบตอขอมลและสารสนเทศทใชงานอยใหด าเนนการดงน (๑) พจารณาวางแผนด าเนนการเปลยนแปลง รวมทงวางแผนดานงบประมาณท
จ าเปนตองใชในการเปลยนแปลง (๒) แจงใหผทเกยวของไดรบทราบเกยวกบการเปลยนแปลงนนๆ เพอใหบคคลเหลานนม
เวลาเพยงพอในการเตรยมความพรอมกอนทจะด าเนนการเปลยนแปลง (๓) ตองตรวจสอบความสมบรณของขอมลและสารสนเทศภายหลงจากทมการ
เปลยนแปลง ๑.๙.๒. ตองจดเกบซอรสโคดและไลบรารของระบบสารสนเทศทงเวอรชนปจจบนและเวอรชนเกาไว
ในสถานททมความมนคงปลอดภย เพอใหสามารถน ากลบมาใชไดเมอจ าเปน ๑.๑๐. การก าหนดการใชงานตามภารกจ
๑.๑๐.๑. การควบคมการเขาถงระบบสารสนเทศ (๑) นกศกษา จะใหสทธทนททมสภาพเปนนกศกษาและหมดสทธเมอพนสภาพนกศกษา
ไปแลว ๙๐ วน (๒) บคลากร จะใหสทธเขาถงตามภาระหนาททไดรบมอบหมายและหมดสทธเมอพน
สภาพการเปนบคลากร (๓) ผบรหาร จะใหสทธเขาถงตามภาระหนาททไดรบมอบหมายและหมดสทธเมอพน
สภาพการเปนผบรหาร (๔) บคคลภายนอก ไดรบอนญาตเฉพาะระบบและชวงเวลาทก าหนด
๑.๑๐.๒. ขอจ ากดในการเขาถง (๑) นกศกษา เขาถงไดเฉพาะระบบทไดรบอนญาต (๒) บคลากร เขาถงไดตามสทธเบองตนและภารกจทไดรบมอบหมาย (๓) ผบรหาร เขาถงตามสทธและภารกจทไดรบมอบหมาย (๔) บคคลภายนอก เขาถงไดตามทไดรบอนญาต
๑.๑๑. ระยะเวลาการใชงาน ๑.๑๑.๑. ระยะเวลาการเขาถงและการใชงานขอมลและสารสนเทศและระบบสารสนเทศ ผใชงาน
จะเขาถงและใชงานได ดงน (๑) การเขาถงในเวลาราชการ ๐๘.๓๐-๑๖.๓๐ น. (๒) การเขาถงนอกเวลาราชการ หลง ๑๖.๓๐ น. เปนตนไป (๓) การเขาถงในชวงวนหยดราชการและวนหยดนขตฤกษ
๑.๑๑.๒. การจ ากดระยะเวลาการเชอมตอระบบสารสนเทศ (๑) ก าหนดใหระบบสารสนเทศทมความเสยงสงหรอระบบทมขอมลส าคญ ตองตดและ
หมดเวลาการใชงานทสนขนเพอปองกนการเขาถงขอมลโดยไมไดรบอนญาต
๖
(๒) ตองจ ากดชวงระยะเวลาการเชอมตอส าหรบระบบสารสนเทศความเสยงสงหรอระบบทมขอมลส าคญ
๑.๑๒. การหมดสทธการเขาถงและใชงานขอมลสารสนเทศและระบบสารสนเทศ ๑.๑๒.๑. บญชผใชหมดอาย ๑.๑๒.๒. เมอมการเปลยนแปลงสทธการเขาถง ๑.๑๒.๓. ถกระงบสทธ
๑.๑๓. การทบทวนและตรวจสอบสทธการเขาถงและการใชงานขอมล สารสนเทศ และระบบสารสนเทศ ๑.๑๓.๑. ทบทวนและตรวจสอบสทธการเขาถงและใชงานระบบสารสนเทศ ปละ 1 ครง โดย
ผดแลระบบพมพรายชอของผทยงมสทธในระบบแยกตามคณะ/หนวยงานทขอสทธ จดสงรายชอนนใหกบหนวยงานทขอสทธเพอด าเนนการทบทวนวา มรายชอทลาออกหรอไม หรอมการเปลยนแปลงแตยงไมไดแกไขสทธการเขาถงใหถกตองหรอไม
๑.๑๓.๒. หนวยงานผขอสทธแจงกลบผดแลระบบเพอด าเนนการแกไขใหถกตอง ๑.๑๓.๓. หนวยงานทเปนเจาของระบบสารสนเทศตองตรวจสอบคณสมบตและสทธของผใชอยาง
สม าเสมอ หากมการเปลยนแปลงจะตองด าเนนการเปลยนแปลงสทธใหสอดคลองกบระดบชนการเขาถงและการใชงานระบบทนท
๑.๑๔. ชองทางการเขาถง ๑.๑๔.๑. เครอขายภายในมหาวทยาลย ๑.๑๔.๒. เครอขายภายนอกมหาวทยาลย ๑.๑๔.๓. เขาถงโดยผานระบบทจดไวให
๒. การบรหารจดการการเขาถงของผใชงาน (User Access Management) ๒.๑. การสรางความรความเขาใจใหแกผใชงาน
๒.๑.๑. ตองจดท าหลกสตรการฝกอบรมเกยวกบการสรางความตระหนกเรองความมนคงปลอดภยดานสารสนเทศ
๒.๑.๒. อบรมผใชงาน เพอใหสามารถใชงานขอมลและสารสนเทศและระบบสารสนเทศไดอยางถกตอง รวมถงใหตระหนกและเขาใจถงภยและผลกระทบทเกดจากการใชงานขอมลและสารสนเทศและระบบสารสนเทศโดยไมระมดระวง
๒.๑.๓. ตดประกาศประชาสมพนธใหความรเกยวกบแนวปฏบตในลกษณะเกรดความร หรอขอควรระวงในรปแบบทสามารถเขาใจและน าไปปฏบตไดงาย
๒.๒. การแบงกลมบญชผใช บญชผใชระบบสารสนเทศของมหาวทยาลยจดท าขนเพอควบคมการเขาถงและใชงาน
สารสนเทศและระบบสารสนเทศของมหาวทยาลย ตองระบชอบญชผใชแยกเปนรายบคคลทไมซ าซอนกน โดยแบงกลมผใชงานออกเปน 4 กลมคอ
๒.๒.๑. นกศกษาของมหาวทยาลย ๒.๒.๒. บคลากรของมหาวทยาลย อาจารยพเศษ นกวจย และแขกของหนวยงาน ๒.๒.๓. ลกคา ๒.๒.๔. บคคลอน ๆ ท มหาวทยาลยมอบสทธให
๗
๒.๓. การลงทะเบยนผใชงาน ๒.๓.๑. นกศกษา นกศกษาใหมทกคน ไดรบบญชผใชโดยอตโนมต ทนททกองทะเบยนและ
ประมวลผลปอนขอมลนกศกษาเขาสระบบสารสนเทศนกศกษา ๒.๓.๒. บคลากรของมหาวทยาลย อาจารยพเศษ นกวจย และแขกของหนวยงาน ศนยคอมพวเตอร
จะสรางบญชบคลากรใหมโดยอตโนมตทนททกองการเจาหนาท หรอการเจาหนาทคณะ/หนวยงาน ปอนขอมลบคลากรเขาระบบสารสนเทศบคลากร
๒.๓.๓. ลกคาของหนวยงาน กรณหนวยงานตองการบญชผใชเพอบรหารจดการในการใหบรการลกคาเปนกลมบคคล ด าเนนการดงน (๑) ดาวนโหลดแบบฟอรมไดจาก www.cc.psu.ac.th หวขอแบบฟอรมขอใชบรการ
กรอกขอมลใหครบถวนสงศนยคอมพวเตอร (๒) ศนยคอมพวเตอรจะออกบญชผใชให ตามขอมลทหนวยงานระบ และแจง
ผรบผดชอบตามอเมลทระบไวในแบบฟอรม (๓) ผรบผดชอบของหนวยงาน จะตองรบผดชอบความเสยหายใดๆ ทจะเกดจากการใช
งานบญชผใชทศนยคอมพวเตอรออกให (๔) หากตองการเปลยนแปลงผรบผดชอบบญชผใช ใหแจงศนยคอมพวเตอรเปนลาย
ลกษณอกษรลงนามโดยผบรหารของหนวยงาน ระบผรบผดชอบเดม และชอผรบผดชอบใหม พรอมบญชผใชและหมายเลขโทรศพททตดตอไดของผรบผดชอบใหม
(๕) หากตองการยกเลกบญชผใช ใหแจงศนยคอมพวเตอรเปนลายลกษณอกษรลงนามโดยผบรหารของหนวยงาน ระบ ชอผรบผดชอบ และจ านวนบญชผใชทตองการยกเลก
๒.๓.๔. บคคลอนๆท มหาวทยาลยมอบสทธให เชน บคคลทท างานในหนวยงานอสระ บคคลทมหาวทยาลยมอบสทธให สามารถลงทะเบยนขอใชงานบญชผใช โดยตดตอทส านกงานเลขานการศนยคอมพวเตอร โดยมหนงสอรบรองจากผบรหารระดบคณะ/หนวยงานขนไป และแสดงบตรประจ าตวประชาชน หรอหนงสอเดนทาง พรอมส าเนาทรบรองส าเนาถกตอง 1 ฉบบ
๒.๔. การจดการบญชผใชของมหาวทยาลย ๒.๔.๑. การบรหารจดการบญชผใชส าหรบบคลากรของมหาวทยาลย ด าเนนการโดยผานผแทนของ
หนวยงาน โดยผบรหารของหนวยงานแจงชอผแทนทจะรบผดชอบในการดแลบญชผใชของบคลากรในสงกด เปนลายลกษณอกษรถงผอ านวยการศนยคอมพวเตอร โดยมรายละเอยดดงน (๑) ชอหนวยงาน (๒) ชอ-สกลของผแทน (๓) ชอบญชผใชของผแทน (๔) อเมลของผแทน (๕) หมายเลขโทรศพทของผแทน
๘
๒.๔.๒. การเปลยนแปลงผแทนของหนวยงาน ใหแจงศนยคอมพวเตอรเปนลายลกษณอกษร ลงนามโดยผบรหารของหนวยงาน ระบผรบผดชอบเดม และชอผรบผดชอบใหม พรอมอเมลและหมายเลขโทรศพททตดตอไดของผรบผดชอบใหม
๒.๕. การจดการสทธของผใชงาน ๒.๕.๑. เมอเจาหนาทของหนวยงาน ลาออก หรอเปลยนแปลงหนาทความรบผดชอบในระบบทเคย
ขอสทธการใชงานไว ตองรบแจงเพอเปลยนสทธหรอถอดถอนสทธออกจากระบบทนท ๒.๕.๒. การแจงขอใชสทธ/เปลยนแปลงสทธในการเขาถงและใชงานขอมลและสารสนเทศและระบบ
สารสนเทศจะตองจดท าเปนลายลกษณอกษร ระบเหตผล และความจ าเปน (๑) ลงชอโดยผบรหารของหนวยงานทขอใช (๒) สงถงผบรหารของหนวยงานหลก (๓) เกบเอกสารไวเปนหลกฐานอางองทงฝายผขอและผอนญาต (๔) หนวยงานหลกส าเนาเอกสารการอนญาตใหผดแลระบบเพอด าเนนการ
๒.๕.๓. ใหอ านาจกบผดแลระบบในการระงบสทธ ในกรณตรวจพบวามการกระท าความผดตามนโยบายการเขาถงและควบคมการใชงานสารสนเทศ
๒.๕.๔. กรณมความจ าเปนตองใหสทธพเศษกบผใชงาน ตองพจารณาการควบคมผใชงานทมสทธพเศษนนอยางรดกมเพยงพอโดยใชปจจยตอไปนประกอบการพจารณา โดยตองไดรบความเหนชอบและอนมตจากอธการบดหรอผทไดรบมอบอ านาจจากอธการบด (๑) ควบคมการใชงานอยางเขมงวด เชน ก าหนดใหตองควบคมการใชงานเฉพาะกรณ
จ าเปนเทานน (๒) ก าหนดระยะเวลาการใชงานและระงบการใชงานทนทเมอพนระยะเวลาดงกลาว (๓) ตองเปลยนรหสผานอยางเครงครด เชน ทกครงหลงหมดความจ าเปนในการใชงาน
หรอในกรณทมความจ าเปนตองใชงานเปนระยะเวลานานกตองเปลยนรหสผานทก ๓ เดอน เปนตน
๒.๖. การบรหารจดการรหสผานส าหรบผใชงาน ๒.๖.๑. ผดแลระบบตองก าหนดขนตอนการปฏบตส าหรบการตงหรอเปลยนรหสผานทมความมนคง
ปลอดภย ๒.๖.๒. ผดแลระบบตองก าหนดรหสผานชวคราว โดยก าหนดรหสผานใหมความยากตอการเดาโดย
ผอนและก าหนดรหสผานทแตกตางกน ๒.๖.๓. ผดแลระบบตองจดสงรหสผานใหผใชงาน โดยหลกเลยงการใชอเมลเปนชองทางในการสง ๒.๖.๔. ผดแลระบบตองก าหนดใหผใชงานเปลยนรหสผานโดยทนทหลงจากทไดรบรหสผานชวคราว
และตองเปลยนรหสผานทมความยากตอการคาดเดา ๒.๖.๕. ผใชงานตองเปลยนรหสผานเปนระยะหรอทกครงทมการแจงเตอนหรอบงคบใหเปลยน
รหสผานจากผดแลระบบ ๒.๖.๖. ผใชงานตองลงบนทกการออกจากระบบทนท เมอเลกใชงานระบบหรอไมอยหนาจอเปน
เวลานาน ๒.๖.๗. กรณผดแลระบบตรวจพบวารหสผานของผใชงานไมมความปลอดภย หรอตรวจสอบไดวาถก
น าไปใชโดยผอน ผใชงานรายนนจะถกตดสทธการใชงานชวคราวจนกวาจะด าเนนการเปลยนรหสผานเปนทเรยบรอย
๙
๒.๗. การทบทวนสทธการเขาถง ๒.๗.๑. ตองมกระบวนการทบทวนสทธการเขาถงของผใชงานระบบสารสนเทศและปรบปรงบญช
ผใชอยางนอยปละ ๑ ครง ๒.๗.๒. บญชผใชจะหมดอาย ดงน
(๑) กรณบคลากร หมดอายเมอพนสภาพการเปนบคลากรของมหาวทยาลย ยกเวน ผเกษยณอายราชการซงสามารถใชชอบญชและรหสผานส าหรบเขาอนเทอรเนตเทานน
(๒) กรณนกศกษา หมดอายหลงพนสภาพการเปนนกศกษา ๙๐ วน แตจะเปลยนสภาพเปนศษยเกาโดยอตโนมต ซงสามารถใชชอบญชและรหสผานส าหรบเขาอนเทอรเนตและระบบฐานขอมลศษยเกาเทานน
(๓) กรณทไมใชบคลากรของมหาวทยาลย หมดอายตามวนทระบในเอกสารขอเปดบญช หรอ เมอไมมการเขาใชงานตดตอกนเกน ๓ เดอน
๓. การก าหนดหนาทความรบผดชอบของผใชงาน (User Responsibilities) ๓.๑. การใชงานบญชผใชและรหสผาน
๓.๑.๑. ผใชงานตองท าการปองกน ดแล รกษาขอมลบญชผใชและรหสผาน โดยผใชงานแตละคนตองมบญชชอผใชของตนเอง และหามท าการเผยแพรแจกจายหรอท าใหผอนลวงรรหสผาน
๓.๑.๒. ผใชงานตองเปลยนรหสผานทนทเมอสงสยวารหสผานอาจถกเปดเผยหรอลวงร ๓.๒. การใชงานรหสผาน
๓.๒.๑. ผใชงานตองเปลยนรหสผาน ตามระยะเวลาทมหาวทยาลยก าหนด ๓.๒.๒. ไมก าหนดรหสผานทมสวนหนงมาจากสงทสอถงตวผใชงาน เชน ชอ นามสกล ชอเลน ชอ
บดา ชอมารดา ชอหนวยงาน หรอค าศพททมใชในพจนานกรม เปนตน ตองประกอบดวย ตวอกษรไมนอยกวา 8 ตว โดยตองผสมกนระหวางตวอกษรทเปนตวพมพปกต ตวเลข และตวอกขระพเศษเขาดวยกน
๓.๒.๓. ไมใชโปรแกรมคอมพวเตอรชวยในการจ ารหสผานสวนบคคลอตโนมต ๓.๒.๔. ไมจดหรอบนทกรหสผานสวนบคคลไวในสถานททงายตอการสงเกตเหนของบคคลอน ๓.๒.๕. หลกเลยงการใชรหสผานเดยวกบระบบงานตาง ๆ ทมสทธใชงาน
๓.๒.๖. เกบบญชและรหสผานของตนเองไวเปนความลบ ๓.๓. การปองกนอปกรณขณะไมมผใชงาน
๓.๓.๑. ผใชงานตองตงคาการใชงานโปรแกรมถนอมหนาจอ (Screen Saver) เพอท าการลอกหนาจอภาพเมอไมมการใชงาน หลงจากนนเมอตองการใชงานตองใสรหสผานเพอเขาใชงาน
๓.๓.๒. ผใชงานตองลอกอปกรณและเครองคอมพวเตอรทส าคญ เมอไมไดใชงานหรอตองปลอยทงโดยไมไดดแล
๓.๓.๓. ผดแลระบบตองสรางความตระหนกเพอใหผใชงานเขาใจมาตรการปองกนทก าหนดไว ๓.๔. การจดวางและการปองกนอปกรณ
๓.๔.๑. จดวางอปกรณในพนทหรอบรเวณทเหมาะสม เพอหลกเลยงการสญหายหรอใชงานโดยไมไดรบอนญาต
๓.๔.๒. อปกรณทมความส าคญใหแยกเกบไวในพนททมความมนคงปลอดภย
๑๐
๓.๔.๓. ด าเนนการตรวจสอบ สอดสอง และดแลสภาพแวดลอมภายในบรเวณหรอพนททมระบบเทคโนโลยสารสนเทศอยภายในเพอปองกนความเสยหายตออปกรณทอยในบรเวณดงกลาว เชน การตรวจสอบระดบอณหภม ความชน วาอยในระดบปกตหรอไม
๓.๕. การควบคมสนทรพยสารสนเทศและการใชงานระบบคอมพวเตอร ๓.๕.๑. จดเกบเอกสาร ขอมล สอบนทกขอมล คอมพวเตอร หรอสารสนเทศไวในสถานทมนคง
ปลอดภย ๓.๕.๒. ตองควบคมการเขาถงขอมล สอบนทกขอมล หรอสนทรพยดานสารสนเทศ โดยผเปน
เจาของหรอผไดรบมอบหมายเปนลายลกษณอกษรเทานน ๓.๕.๓. มมาตรการหรอเทคนคในการลบหรอเขยนขอมลทบบนขอมลทมความส าคญ ในอปกรณทใช
ในการบนทกขอมลกอนทจะอนญาตใหผอนน าอปกรณนนไปใชงานตอเพอปองกนไมใหเขาถงขอมลส าคญได
๓.๕.๔. ส ารองและลบขอมลทเกบอยในสอบนทกกอนสงเครองคอมพวเตอรไปตรวจซอม เพอปองกนการสญหายหรอการเขาถงขอมลโดยไมไดรบอนญาต
๓.๕.๕. ผใชงานอาจน าการเขารหสมาใชกบขอมลทเปนความลบ โดยใหปฏบตตามระเบยบการรกษาความลบทางราชการ พ.ศ. ๒๕๔๔
๓.๕.๖. จดท าแนวทางส าหรบจดเกบ การท าลาย และระยะเวลาการจดเกบส าหรบขอมลหรอเอกสารตอบโต และแนวทางตองสอดคลองกบกฎหมาย ระเบยบ ขอบงคบ หรอขอก าหนดอนๆ ทมหาวทยาลยตองปฏบตตาม
๓.๕.๗. โปรแกรมตางๆ ทตดตงบนเครองคอมพวเตอรของมหาวทยาลย เปนโปรแกรมทมหาวทยาลยไดซอลขสทธมาอยางถกตองตามกฎหมาย ดงนนหามผใชงานคดลอกโปรแกรมและน าไปตดตงบนเครองคอมพวเตอรสวนตว หรอแกไข หรอน าไปใหผอนใชงานเพราะเปนการกระท าทผดกฎหมาย
๓.๕.๘. ไมเกบขอมลส าคญของมหาวทยาลยไวบนเครองคอมพวเตอรหรอสอบนทกขอมลทเปนสมบตสวนบคคล
๓.๕.๙. ตองท าการเคลยรขอมลทบนทกอยในอปกรณทใชในการบนทกขอมล กอนท าการเปลยนหรดทดแทนอปกรณ
๓.๕.๑๐. ตองลบหรอฟอรแมต (Format) ขอมลทบนทกอยในอปกรณทใชในการบนทกขอมล กอนท าลายหรอเปลยนทดแทนหรอจ าหนายอปกรณ
๓.๕.๑๑. ตองลบขอมลทไมมการใชงานตงแต 5 ปขนไปออกจากฐานขอมล และส ารองขอมลลงฮารดดสกภายนอก (External Hard Disk) หรอสอขอมลส ารอง (Backup Media) และจดเกบ ไวในสถานททเหมาะสม ไมเสยงตอการรวไหลของขอมล ทงน การลบหรอท าลายขอมลอเลกทรอนกสดงกลาว ตองไดรบความเหนชอบจากผมอ านาจอนมตใหท าลายสอบนทกขอมล หรอลบขอมลอเลกทรอนกสออกจากฐานขอมลทกครง
๓.๖. การปองกนโปรแกรมไมประสงคด ๓.๖.๑. ผใชงานตองตดตงและใชงานโปรแกรมคอมพวเตอรส าหรบปองกนและก าจดโปรแกรมไม
ประสงคด รวมทงท าการปรบปรงใหทนสมยอยเสมอ ๓.๖.๒. ตองท าการปรบปรงระบบปฏบตการ เวบเบราวเซอร และโปรแกรมตางๆ อยางสม าเสมอ
เพอปดชองโหว เปนการปองกนการโจมตจากภยคกคามตางๆ
๑๑
๓.๖.๓. ในการรบสงขอมลคอมพวเตอรหรอสารสนเทศ ผานทางระบบเครอขาย และผานทางสอบนทกขอมลทกชนด ผใชงานตองท าการตรวจสอบ เพอปองกนและก าจดโปรแกรมไมประสงคดกอนการรบสงทกครง
๓.๖.๔. ผใชงานตองตรวจสอบไฟล โดยใชโปรแกรมปองกนโปรแกรมไมประสงคด กอนการเปดใชไฟลทสามารถประมวลผลได (Executable file) เชนไฟลทมนามสกล .exe .com .bat .vbs .scr .pif .hta .txt.exe .doc.exe .xls.exe เปนตน
๔. การควบคมการเขาถงระบบเครอขาย (Network Access Control) ๔.๑. การเขาใชงานระบบเครอขายของมหาวทยาลย
๔.๑.๑. การเขาถงระบบเครอขายของมหาวทยาลยจะตองพสจนตวตนผใชงานดวยบญชผใชทมหาวทยาลยออกให
๔.๑.๒. ผใชงานทไดรบอนญาตเขาถงระบบเครอขาย สามารถเขาใชไดเฉพาะบรการในระบบเครอขายตามสทธทไดรบอนญาตเทานน
๔.๑.๓. การเขาถงระบบเครอขายของมหาวทยาลยจากภายนอกตองอยบนพนฐานของความจ าเปนเทานน และตองก าหนดมาตรการรกษาความปลอดภยทเพมขนเปนพเศษจากมาตรฐานการเขาถงระบบเครอขายมหาวทยาลยจากภายใน
๔.๑.๔. เครองคอมพวเตอรแมขายทกเครองทตองการใหเขาถงไดจากอนเทอรเนตจะตองลงทะเบยนกบศนยคอมพวเตอร
๔.๑.๕. จ ากดการเขาถงเครอขายทใชงานรวมกน รวมทงตรวจสอบเปดปดพอรตอปกรณเครอขายตามความจ าเปน
๔.๑.๖. การใชเครองมอตางๆ เพอการตรวจสอบระบบเครอขาย ตองไดรบการอนมตจากผดแลระบบ และจ ากดการใชงานเฉพาะเทาทจ าเปน
๔.๑.๗. การเขาใชเครอขายของบคคลทไมมบญชผใชของมหาวทยาลย ตองขออนญาตใชบญชชวคราวจากมหาวทยาลย ซงจะเขาถงไดตามสทธทไดรบอนญาตและจะตองพสจนตวตนดวยบญชชวคราวนน
๔.๒. การควบคมการเขาถงระบบเครอขายไรสาย (Wireless LAN Access Control) ๔.๒.๑. ผใชงานทตองการเขาถงระบบเครอขายไรสายภายในมหาวทยาลยจะตองท าการลงทะเบยน
กบผดแลระบบ และไดรบการพจารณาอนญาตจากผอ านวยการศนยคอมพวเตอร หรอผบรหารหนวยงานทเปนเจาของระบบเครอขายไรสายนน
๔.๒.๒. ผดแลระบบเครอขายไรสายตองด าเนนการดงตอไปน (๑) ตองท าการลงทะเบยนก าหนดสทธผใชงานระบบเครอขายไรสายใหเหมาะสมกบหนาท
ความรบผดชอบในการปฏบตงาน รวมทงทบทวนสทธการเขาถงอยางสม าเสมอ (๒) ตองลงทะเบยนอปกรณกระจายสญญาณ (access point) ทกตวทน ามาใชในระบบ
เครอขายไรสาย (๓) ตองควบคมสญญาณของอปกรณกระจายสญญาณเพอปองกนไมใหสญญาณของอปกรณ
รวไหลออกนอกพนทใชงาน และปองกนไมใหผโจมตสามารถรบสงสญญาณจากภายนอกอาคารหรอบรเวณขอบเขตทควบคมได
(๔) ตองท าการเปลยนคา SSID ทถกก าหนดเปนคาปรยายมาจากผผลตทนททน าอปกรณกระจายสญญาณมาใชงาน
๑๒
(๕) ตองเปลยนคาชอบญชผใชและรหสผานในการเขาสระบบส าหรบการตงคาการท างานของอปกรณกระจายสญญาณ และตองเลอกใชบญชรายชอและรหสผานทคาดเดาไดยาก เพอปองกนผโจมตไมใหสามารถเดาหรอเจาะรหสผานไดโดยงาย
(๖) ตองเขารหสขอมลระหวาง wireless LAN client และอปกรณกระจายสญญาณ ดวยวธทมความประสทธภาพไมดอยกวาวธ WPA2 (Wi-Fi Protected Access) เพอใหยากตอการดกจบขอมล และท าใหปลอดภยมากขน
(๗) ตองตดตงอปกรณปองกนการบกรก (firewall) ระหวางเครอขายไรสายกบเครอขายภายในมหาวทยาลย
(๘) ตองใชซอฟตแวรหรอฮารดแวรตรวจสอบความมนคงปลอดภยของระบบเครอขายไรสายอยางสม าเสมอ เพอคอยตรวจสอบและบนทกเหตการณทนาสงสยทเกดขนในระบบเครอขายไรสาย และเมอตรวจสอบพบการใชงานระบบเครอขายไรสายทผดปกต ใหรายงานตอผอ านวยการศนยคอมพวเตอรทราบโดยทนท
๔.๓. การระบอปกรณทน ามาเชอมตอบนเครอขาย ๔.๓.๑. อปกรณทน ามาเชอมตอไดรบหมายเลขไอพแอดเดรสตามทก าหนดโดยผดแลระบบเครอขาย ๔.๓.๒. เกบขอมลการใช MAC Address จากเครองบรการก าหนดคาหมายเลขไอพแอดเดรส
(DHCP Server) หรอจาก ARP Table บนสวทช L๓
๔.๔. การปองกนพอรตทใชส าหรบตรวจสอบและปรบแตงระบบ ๔.๔.๑. ตองควบคมพอรตและหมายเลขไอพแอดเดรสทใชส าหรบตรวจสอบและปรบแตงระบบให
เขาถงอปกรณเครอขายอยางรดกม ๔.๔.๒. ตองก าหนดรหสผานส าหรบตรวจสอบและปรบแตงอปกรณเครอขาย เมอใชการเชอมตอ
โดยตรงบนตวอปกรณ ๔.๔.๓. ไมอนญาตใหเชอมตอพอรตโดยตรงจากเครอขายภายนอกมหาวทยาลย แตใหเชอมตอผาน
ชองทางทปลอดภยทมหาวทยาลยก าหนด เชน VPN เปนตน ๔.๔.๔. อปกรณเครอขายคอมพวเตอรทส าคญตองจดเกบในหองอปกรณเครอขายทควบคมความ
ปลอดภย ๔.๔.๕. ตองปดพอรตหรอปดบรการ บนอปกรณเครอขายทไมมความจ าเปนในการใชงาน ๔.๔.๖. ตองตรวจสอบและปดพอรตของระบบหรออปกรณทไมมความจ าเปนในการเขาใชงานอยาง
สม าเสมออยางนอยสปดาหละ ๑ ครง
๔.๕. การแบงแยกเครอขาย (segregation in networks) ๔.๕.๑. ตองจดท าแผนผงระบบเครอขาย ซงมรายละเอยดเกยวกบขอบเขตของระบบเครอขาย
ภายในและเครอขายภายนอก และอปกรณตางๆ พรอมทงปรบปรงใหเปนปจจบนอยเสมอ ๔.๕.๒. แบงแยกเครอขายตามกลมของบรการ กลมผใช และระบบงานตาง ๆ ของมหาวทยาลย ๔.๕.๓. ตองใชไฟรวอลลกนหรอแบงเครอขายภายในออกเปนเครอขายยอย ๆ ๔.๕.๔. ตองใชเกตเวยเพอควบคมการเขาถงเครอขายทงจากภายในและภายนอกหนวยงาน
ซงสอดคลองกบนโยบายควบคมการเขาถงและนโยบายการใชงานบรการเครอขายของหนวยงาน
๑๓
๔.๖. การควบคมการเชอมตอทางเครอขาย (network connection control) ๔.๖.๑. อนญาตการเชอมตอเฉพาะหมายเลขไอพแอดเดรสทก าหนดใหเทานน ๔.๖.๒. ระบบเครอขายทเชอมตอไปยงเครอขายอน ๆ ภายนอกมหาวทยาลย ตองตดตงระบบ
ตรวจจบการบกรก และตองมความสามารถในการตรวจจบโปรแกรมไมประสงคด
๔.๗. การควบคมการจดเสนทางบนเครอขาย (network routing control) ๔.๗.๑. อนญาตเสนทางเครอขายเฉพาะกลมหมายเลขไอพแอดเดรสทก าหนด ๔.๗.๒. มเกตเวยเพอกรองขอมลทไหลเวยนในเครอขาย ๔.๗.๓. ตองตรวจสอบหมายเลขไอพแอดเดรสของตนทางและปลายทาง ๔.๗.๔. ตองควบคมการไหลของขอมลผานเครอขาย ๔.๗.๕. ตองก าหนดเสนทางการไหลของขอมลบนเครอขายทสอดคลองกบการควบคมการเขาถงและ
การใชงานบรการเครอขาย ๔.๗.๖. ตองจ ากดการใชเสนทางบนเครอขายจากเครองคอมพวเตอรไปยงเครองคอมพวเตอรแมขาย
เพอระงบการใชจากเสนทางอน ๔.๘. การยนยนตวบคคลส าหรบผใชงานทอยภายนอกมหาวทยาลย (User Authentication for
External Connections) ๔.๘.๑. ผใชงานทจะเขาใชงานระบบตองแสดงตวตนดวยชอผใชงานทกครง ๔.๘.๒. ผใชงานทอยภายนอกหนวยงาน ตองเปนผทไดรบสทธในการเขาใชบรการแลวเทานน ๔.๘.๓. ตองมระบบตรวจสอบผใชงานทกครงกอนทจะอนญาตใหเขาถงระบบสารสนเทศของ
มหาวทยาลย โดยจะตองมวธการยนยนตวตนดวยการปอนชอผใชงานและรหสผาน เพอแสดงวาเปนผใชงานตวจรง
๕. การใชงานอนเทอรเนต (use of the Internet) ๕.๑. ผใชงานตองเชอมตอระบบคอมพวเตอรเพอการเขาใชงานอนเทอรเนตผานระบบรกษาความปลอดภยท
มหาวทยาลยจดสรรไวตามสทธทไดรบ ๕.๒. หามใชอนเทอรเนตของมหาวทยาลยเพอหาประโยชนในเชงพาณชยเปนการสวนบคคล ๕.๓. ผใชงานตองไมเขาสเวบไซตทไมเหมาะสม เชน เวบไซตทขดตอศลธรรม เวบไซตทมเนอหาอนอาจ
กระทบกระเทอนหรอเปนภยตอความมนคงตอชาต ศาสนา พระมหากษตรย หรอเวบไซตทเปนภย ตอสงคม หรอละเมดสทธของผอน หรอขอมลทอาจกอความเสยหายใหกบมหาวทยาลย เปนตน
๕.๔. ผใชงานตองระมดระวงการดาวนโหลดโปรแกรมใชงานจากอนเทอรเนต ซงรวมถงการดาวนโหลดการปรบปรงโปรแกรมตางๆ ตองเปนไปโดยไมละเมดลขสทธหรอทรพยสนทางปญญา
๕.๕. ไมควรใชบรการบนอนเทอรเนตทมการครอบครองแบนดวดทจ านวนมากหรอเปนเวลานาน ๖. การบรหารจดการคอมพวเตอรแมขาย
๖.๑. ก าหนดผดแลระบบส าหรบเครองคอมพวเตอรแมขายทกเครองอยางเปนลายลกษณอกษร ๖.๒. มขนตอน/กระบวนการในการตรวจสอบคอมพวเตอรแมขาย และในกรณทพบวามการใชงานหรอ
เปลยนแปลงคาทผดปกต จะตองด าเนนการแกไขและบนทกรายงานการแกไขโดยทนท ๖.๓. ตงนาฬกาของเครองคอมพวเตอรแมขายทกเครอง และอปกรณคอมพวเตอรทใหบรการทกชนดใหตรง
กบเวลาอางองมาตรฐาน (time.psu.ac.th) ทมหาวทยาลยใชอางอง
๑๔
๖.๔. เปดใชบรการเทาทจ าเปนเทานน โดยตองมมาตรการปองกนเพมเตมส าหรบบรการทมความเสยงตอระบบรกษาความปลอดภยดวย
๖.๕. ตองปรบปรงระบบซอฟตแวรใหเปนปจจบนอยเสมอ เพออดชองโหวตางๆ ๖.๖. ตองทดสอบโปรแกรมระบบเกยวกบการรกษาความปลอดภยและประสทธภาพการใชงานโดยทวไปกอน
ตดตงและหลงจากการแกไขหรอบ ารงรกษา ๖.๗. การตดตงและการเชอมตอระบบคอมพวเตอรแมขายจะตองด าเนนการโดยผดแลระบบของหนวยงาน
๗. การใชงานและการควบคมการใชงานจดหมายอเลกทรอนกส ๗.๑. นกศกษา ใชบญชผใชทเปนตวเลขรหสนกศกษา ตามดวย @email.psu.ac.th และรหสผานเดยวกบ
PSU Passport โดยเขาใชงานท email.psu.ac.th ๗.๒. บคลากร น าบญชผใช PSU Passport ไปลงทะเบยนเพอใชบรการระบบจดหมายอเลกทรอนกส (PSU
E-mail) ท webmail.psu.ac.th โดยรหสผานของบญชผใช PSU Passport กบรหสผานของบญชผใชจดหมายอเลกทรอนกสจะแยกกน
๗.๓. ผใชงานตองไมใชทอยจดหมายอเลกทรอนกสของผอนเพออานหรอรบ-สงขอความ ๗.๔. กรณทตองการสงขอมลทเปนความลบ ไมควรระบความส าคญของขอมลลงบนหวขอจดหมาย
อเลกทรอนกส ๗.๕. ผใชงานมหนาทจะตองรกษาบญชผใช และรหสผานเปนความลบไมใหรวไหลไปถงบคคลทไมเกยวของ
เพอปองกนการใชงานโดยผไมประสงคด ๗.๖. หลงจากการใชงานระบบจดหมายอเลกทรอนกสเสรจสน ผใชงานตองบนทกการออกทกครง เพอ
ปองกนบคคลอนเขาใชงานจดหมายอเลกทรอนกสของตน ๗.๗. ในการตรวจสอบความผดปกตของการใชงานจดหมายอเลกทรอนกส หากพบวาผใชงานรายใดสง
จดหมายอเลกทรอนกสมากกวาจ านวนทควรจะเปน ระบบจะท าการเปลยนรหสผานอตโนมต เพอปองกนความเสยหายทจะเกดกบระบบของมหาวทยาลย
๗.๘. กอนสงตอ เปดไฟล หรอคลกลงคทแนบมา ตองตรวจสอบใหแนใจกอนวาไมใชจดหมายหลอกลวง ๗.๙. ตองไมสงขอมลสวนบคคลทส าคญ เชน รหสผาน บญชผใช หมายเลขบตรประชาชน หมายเลขบตร
เครดต ฯลฯ ผานจดหมายอเลกทรอนกส ๘. การควบคมการเขาถงระบบปฏบตการ (Operating System access control)
๘.๑. ผดแลระบบ (System Administrator) ๘.๑.๑. ตองก าหนดชอผใชงานและรหสผานใหกบผใชงานระบบปฏบตการของเครองคอมพวเตอร
ของมหาวทยาลย ๘.๒. ก าหนดขนตอนการปฏบตเพอการเขาใชงานทมนคงปลอดภย
๘.๒.๑. ตองไมใหระบบแสดงรายละเอยดส าคญของระบบกอนทการเขาสระบบจะเสรจสมบรณ ๘.๒.๒. ระบบสามารถยตการเชอมตอเครองปลายทางได เมอพบวามการพยายามคาดเดารหสผาน
จากเครองปลายทาง ๘.๒.๓. จ ากดระยะเวลาส าหรบใชในการปองกนรหสผาน ๘.๒.๔. จ ากดการเชอมตอโดยตรงสระบบปฏบตการผานทาง Command Line เนองจาก
อาจสรางความเสยหายใหกบระบบได
๑๕
๘.๓. ระบและยนยนตวตนของผใชงาน (User Identification and Authentication) ๘.๓.๑. ผใชงานตองมบญชผใช และรหสผาน ส าหรบเขาใชงานระบบสารสนเทศของ มหาวทยาลย ๘.๓.๒. สามารถใชอปกรณควบคมความปลอดภยเพมเตม โดยใชสมารทการด RFID หรอ เครองอานลายพมพนวมอ หรอวธการอนทมความปลอดภย
๘.๔. การบรหารจดการรหสผาน (Password Management System) ๘.๔.๑. ตองจ ากดระยะเวลาในการปอนรหสผาน หากผใชงานปอนรหสผานผดเกนจ านวนครง
ทก าหนด ระบบจะท าการลอกสทธการเขาถงของผใชงาน ท าใหไมสามารถใชงานไดจนกวา ผดแลระบบจะปลดลอกให
๘.๔.๒. ระบบสามารถยตการเชอมตอจากเครองปลายทางได เมอพบวามความพยายามในการเดารหสผานจากเครองปลายทาง
๘.๔.๓. มระบบใหผใชงานสามารถเปลยนและยนยนรหสผานไดดวยตนเอง ๘.๔.๔. ตองจดเกบไฟลขอมลรหสผานของผใชงานแยกตางหากจากขอมลของระบบงาน ๘.๔.๕. ไมแสดงขอมลรหสผานในหนาจอของผใชงานระหวางทผใชงานก าลงใสขอมลรหสผานของ
ตนเอง แตแสดงเปนเครองหมายจดหรอดอกจนบนหนาจอแทน ๘.๔.๖. เมอไดด าเนนการตดตงระบบแลว ใหยกเลกชอผใชงานหรอเปลยนรหสผานของทกชอผใชท
ไดถกก าหนดไวเรมตนทมาพรอมกบการตดตงระบบโดยทนท ๘.๕. การใชงานโปรแกรมอรรถประโยชน (Use of System Utilities)
๘.๕.๑. จ ากดสทธการเขาถง และก าหนดสทธอยางรดกมในการอนญาตใหใชโปรแกรม อรรถประโยชน
๘.๕.๒. จดเกบโปรแกรมอรรถประโยชนไวในสอภายนอก ถาไมตองใชงานเปนประจ า ๘.๕.๓. ตองจดเกบบนทกการเรยกใชงานโปรแกรมเหลาน ๘.๕.๔. ตองถอดถอนโปรแกรมอรรถประโยชนทไมจ าเปนออกจากระบบ ๘.๕.๕. โปรแกรมทตดตง ตองเปนโปรแกรมทองคกรไดซอลขสทธถกตองตามกฎหมาย ๘.๕.๖. หามผใชงานคดลอกโปรแกรมตาง ๆ แลวน าไปใหผอนใชงานโดยผดกฎหมาย
๘.๖. การหมดเวลาใชงานระบบสารสนเทศ (Session Time-Out) ๘.๖.๑. ใหก าหนดหลกเกณฑการยตการใชงานระบบสารสนเทศเมอวางเวนจากการใชงานเปนเวลา
ไมเกน ๓๐ นาท หากเปนระบบทมความเสยงหรอความส าคญสง ใหก าหนดระยะเวลายต การใชงานระบบเมอวางเวนจากการใชงานใหสนลงหรอเปนเวลาไมเกน ๑๕ นาท ตามความเหมาะสม เพอปองกนการเขาถงขอมลส าคญโดยไมไดรบอนญาต
๘.๖.๒. ถาไมมการใชงานระบบ ตองท าการยกเลกการใชโปรแกรมประยกตและการเชอมตอเขาสระบบโดยอตโนมต
๘.๖.๓. เครองปลายทางทตงอยในพนททมความเสยงสงตองก าหนดระยะเวลาใหท าการปด เครองโดยอตโนมต หลงจากทไมมการใชงานเปนระยะเวลาตามทก าหนด
๘.๗. การจ ากดระยะเวลาการเชอมตอระบบสารสนเทศ (Limitation of Connection Time) ๘.๗.๑. ก าหนดหลกเกณฑในการจ ากดระยะเวลาการเชอมตอระบบสารสนเทศ ส าหรบระบบ
สารสนเทศหรอแอปพลเคชนทมความเสยงหรอมความส าคญสง เพอใหผใชงานสามารถ
๑๖
ใชงานไดนานทสดภายในระยะเวลาทก าหนดเทานน เชน ก าหนดใหใชงานได ๓ ชวโมง ตอการเชอมตอหนงครง เปนตน และก าหนดใหใชงานไดเฉพาะในชวงเวลาการท างานตามปกตของมหาวทยาลยเทานน
๘.๗.๒. การก าหนดชวงเวลาส าหรบการเชอมตอระบบเครอขายจากเครองปลายทางจะตองพจารณาถงระดบความเสยงของทตงของเครองปลายทางดวย
๘.๗.๓. ก าหนดใหระบบสารสนเทศ เชน ระบบงานทมความส าคญสง และ/หรอระบบงานทมการใชงานในสถานททมความเสยงในทสาธารณะ หรอพนทภายนอกส านกงาน มการจ ากดชวงระยะเวลาการเชอมตอ
๙. การเขาถงเครองคอมพวเตอรแมขาย ๙.๑. หวหนาหนวยงานทเปนเจาของเครองคอมพวเตอรแมขาย ตองแตงตงผมสทธ และก าหนดจ านวนผม
สทธในการเขาถงระบบปฏบตการ ๙.๒. ผใชงานตองยนยนตวตนในการเขาใชระบบปฏบตการดวยบญชผใชและรหสผานของตวเอง ๙.๓. ตองไมแสดงรายละเอยดส าคญของระบบกอนทการเขาสระบบจะเสรจสมบรณ ๙.๔. ตองตงคาระบบใหสามารถยตการเชอมตอจากเครองปลายทางไดเมอพบวามการพยายามคาดเดา
รหสผานจากเครองปลายทาง ๙.๕. ผดแลระบบตองยตการใหบรการทนท ในกรณตรวจพบวามการใชงานทผดปกต หรอไมปลอดภย ๙.๖. หามการตดตงซอฟตแวรอนๆ หรอซอฟตแวรทไดมาจากแหลงภายนอก รวมทงการใชไฟลอนท
มหาวทยาลยไมอนญาต ๙.๗. ผดแลเครองคอมพวเตอรแมขายของหนวยงานตองตรวจสอบซอฟตแวรหรอขอมลในระบบงานส าคญ
อยางสม าเสมอ เพอปองกนการตดตงซอฟตแวรหรอขอมลในระบบงานนนโดยไมใดรบอนญาต ๙.๘. ตดตงซอฟตแวรเพอปองกนโปรแกรมไมประสงคดบนเครองคอมพวเตอรแมขายทกเครอง ๙.๙. ก าหนดหนาทความรบผดชอบและขนตอนปฏบต ส าหรบการจดการกบโปรแกรมไมประสงคด ไดแก
การรายงานการเกดขนของโปรแกรมไมประสงคด การวเคราะห การจดการ การกคนระบบจากความเสยหายทพบ เปนตน
๙.๑๐. ตองตดตามขอมลขาวสารเกยวกบโปรแกรมไมประสงคดอยางสม าเสมอ ๙.๑๑. ตองสรางความตระหนกเกยวกบโปรแกรมไมประสงคด เพอใหผดแลระบบและผใชงานมความรความ
เขาใจและสามารถปองกนตนเองไดและใหรบทราบขนตอนปฏบตเมอพบเหตโปรแกรมไมประสงคดวาตองด าเนนการอยางไร
๑๐. การเขาถงเครองคอมพวเตอรทหนวยงานจดไวใชงานรวมกน ๑๐.๑. ผใชงานตองยนยนตวตนในการเขาใชระบบปฏบตการดวยบญชผใชและรหสผานของตวเอง ๑๐.๒. ระบบตองไมแสดงรายละเอยดส าคญกอนทการเขาสระบบจะเสรจสมบรณ ๑๐.๓. ตองตงคาระบบใหสามารถยตการเชอมตอเมอพบวามความพยายามคาดเดารหสผาน ๑๐.๔. ระบบจะตองจ ากดสทธผใชงานในการตดตง เปลยนแปลง หรอลบโปรแกรมหรอขอมลบนเครอง
๑๑. การเขาถงโปรแกรมประยกตและระบบสารสนเทศ (application and information access control) ๑๑.๑. การจ ากดการเขาถงสารสนเทศ
๑๑.๑.๑. การจ ากดการเขาถงของผใชงาน (๑) เขาไดตามสทธทไดรบอนญาตเทานน (๒) ก าหนดสทธการเขาถงขอมลสวนบคคล (๓) ตองบนทกการออกจากระบบงานโดยทนททใชงานเสรจ
๑๗
๑๑.๑.๒. แบงกลมบคลากรทปฏบตงานดานสารสนเทศของมหาวทยาลย ออกเปน ๓ กลม คอ ผดแลระบบ ผพฒนาระบบงาน และผใชงานระบบ โดยก าหนดหนาทรบผดชอบอยางชดเจนเปนลายลกษณอกษร
๑๑.๑.๓. การบนทกเหตการณทเกยวของกบการใชงานระบบสารสนเทศ ตองบนทกขอมลพฤตกรรมการใชงาน การเขาถงระบบสารสนเทศทส าคญ ดงน (๑) ชอบญชผใช (๒) วนเวลาทเขาถงระบบ (๓) วนเวลาทออกจากระบบ (๔) เหตการณส าคญทเกดขน (๕) บนทกการเขาใชทงทส าเรจและไมส าเรจ (๖) ความพยายามในการเขาถงทรพยากรทงทส าเรจและไมส าเรจ (๗) แสดงการใชสทธ เชน สทธของผดแลระบบ (๘) แสดงการเขาถงไฟลและการกระท ากบไฟล เชน เปด ปด เขยน อานไฟลเปนตน (๙) หมายเลขไอพแอดเดรสทเขาถง (๑๐) แสดงการหยดการท างานของระบบปองกนการบกรก (๑๑) แสดงการหยดการท างานของระบบงานทส าคญๆ
๑๑.๑.๔. การรบ-สงขอมลส าคญผานระบบเครอขายสาธารณะ ควรเขารหส (Encryption) ทเปนมาตรฐานสากล เชน SSL VPN หรอ XML Encryption เปนตน
๑๑.๑.๕. การควบคมผรบเหมาชวง (outsource) กรณมการจางเหมาบ ารงรกษา ดแล และพฒนาระบบสารสนเทศ (๑) มกระบวนการคดเลอกผรบเหมาชวงโดยเฉพาะ และตองก าหนดคณสมบตของ
ผรบเหมาชวงทชดเจน เชน ตองมประสบการณ มลกคาอางองนาเชอถอ หรอใบรบรองทางดานทกษะวชาชพตามมาตรฐานสากล มความพรอมดานเทคโนโลยของการรบเหมาชวงทงในสวนของ ฮารดแวรและซอฟทแวร รวมถงระบบสนบสนนอนๆ เพอใหไดผรบเหมาชวงทมคณสมบตตรงตามมาตรฐานทหนวยงานตองการ
(๒) มขอตกลงหรอสญญาอยางชดเจนในการวาจางผรบเหมาชวง และตองก าหนดขอบเขตและระดบการรบเหมาชวงอยางชดเจน และผรบเหมาชวงตองน าเสนอรายละเอยดงานขอบเขตงานอยางครบถวน
(๓) หนวยงานตองเขาไปตรวจสอบรายละเอยดของการปฏบตงานของผรบเหมาชวงได เชน รวมก าหนดวธการท างาน การตรวจตดตามคณภาพของผรบเหมาชวงเปน ระยะ ๆ ตามทก าหนดไว หรอการสมตรวจสอบการปฏบตงานในจดทส าคญ เพอพจารณากระบวนการทผรบเหมาชวงใชในการปฏบตงาน และเพอประเมนความสม าเสมอของผรบเหมาชวงในการกระท าตามขอก าหนดของหนวยงาน
(๔) ตองควบคมการเขาถงของขอมลทชดเจน มระบบบนทกการเขาถงขอมล และการส ารองขอมลทกขนตอน จ ากดการเขาถงขอมลส าคญหรอใหใชขอมลจากชดจ าลองแทนขอมลจรง
๑๘
(๕) มหลกเกณฑและกระบวนการในการตรวจรบงานทสงมอบโดยผรบเหมาชวงทชดเจน เพอใหไดงานตรงตามมาตรฐานทก าหนด
๑๑.๒. ระบบซงไวตอการรบกวน มผลกระทบตอคนกลมใหญ หรอระบบทมความส าคญตอหนวยงาน จะตองด าเนนการดงน ๑๑.๒.๑. ระบบซงไวตอการรบกวน มผลกระทบ และมความส าคญสง ไดแก ระบบสารสนเทศ
บคลากร ระบบสารสนเทศนกศกษา และระบบสารสนเทศทางการเงน ตองแยกออกจากระบบอน และแสดงใหเหนถงผลกระทบและระดบความส าคญตอมหาวทยาลย
๑๑.๒.๒. ตองควบคมสภาพแวดลอมของระบบซงไวตอการรบกวนโดยเฉพาะ (๑) มหองปฏบตงานแยกเปนสดสวน และตองก าหนดสทธใหเฉพาะผทมหนาททไดรบ
มอบหมายเทานน เขาไปปฏบตงานในหองควบคมดงกลาว (๒) ตดตงระบบแยกตางหากจากระบบสารสนเทศอน (๓) ท าการปองกนการมทรพยากรไมเพยงพอ (๔) มระบบเฝาระวงการเขาถงขอมลส าคญโดยผไมไดรบอนญาต
๑๑.๒.๓. ตองควบคมอปกรณคอมพวเตอรและสอสารเคลอนทและการปฏบตงานจากภายนอกองคกร
๑๑.๓. การควบคมอปกรณคอมพวเตอรและสอสารเคลอนท ๑๑.๓.๑. แนวปฏบตส าหรบการใชอปกรณคอมพวเตอรและสอสารเคลอนททงของสวนตวและ
อปกรณของทางราชการ (๑) ตองลอกหรอยดเครองใหอยกบทกรณทน าเครองไปใชในทสาธารณะ หรอในบรเวณ
ทมความเสยงตอการสญหาย (๒) ตองเปดใชระบบลอกหนาจออตโนมตหรอปดเครองอตโนมตเมอไมไดใชงาน และใน
กรณทไมไดใชงานเปนการชวคราวตองลอกหนาจอทกครง (๓) ผใชตองตงรหสผานเพอเขาใชงานคอมพวเตอรแบบพกพา (๔) ไมใชอปกรณคอมพวเตอรแบบพกพารวมกบบคคลอน (๕) ตองตรวจสอบเพอหาไวรสโดยโปรแกรมปองกนไวรส กอนการใชงานสอบนทก
ขอมลพกพาตาง ๆ (๖) ไมเกบขอมลส าคญของหนวยงานไวบนอปกรณคอมพวเตอรและสอสารเคลอนท
ทใชงานอย หากจ าเปนตองจดเกบขอมลบนอปกรณดงกลาวจะตองเขารหสขอมล ทกครง
(๗) หามใชอปกรณคอมพวเตอรและสอสารพกพา เปนอปกรณกระจายสญญาณเครอขายไรสายภายในมหาวทยาลย
(๘) ตองจดการกบโปรแกรมไมพงประสงคในอปกรณคอมพวเตอรประเภทพกพา เชน ตดตงโปรแกรมปองกนมลแวร ปรบปรงระบบปฏบตการใหทนสมย ไมตดตงซอฟตแวรผดกฏหมาย ไมตดตงซอฟตแวรทไมรจก ฯลฯ
(๙) มกระบวนการจดการกรณทอปกรณคอมพวเตอรพกพาเกดการสญหายหรอถกขโมย เชน เปดระบบลอกไบออส เขารหสไฟลขอมล เขารหสฮารดดสก ตดตงโปรแกรมตดตามเครอง ฯลฯ
๑๙
๑๑.๓.๒. การส ารองขอมลและการกคน (๑) ผใชงานตองรบผดชอบในการส ารองขอมลจากเครองคอมพวเตอรไวบนสอบนทก
ขอมลส ารอง (backup media) เชน ซด ดวด ฮารดดสกภายนอก (External hard disks) เปนตน
(๒) ผใชงานมหนาทเกบรกษาสอบนทกขอมลส ารองไวในสถานททเหมาะสม ไมเสยงตอการรวไหลของขอมล และทดสอบการกคนขอมลทส ารองไวอยางสม าเสมอ
๑๑.๔. การปฏบตงานจากภายนอกส านกงาน (Teleworking) ๑๑.๔.๑. ผใชงานงานระบบจากระยะไกล ตองท าการพสจนตวตนกอนเขาใชงาน ๑๑.๔.๒. ตองรกษาความปลอดภยส าหรบระบบสอสารขอมลระหวางสถานททจะมการปฏบตงาน
จากระยะไกลและระบบงานตาง ๆ ภายในองคกร ๑๑.๔.๓. มมาตรการการรกษาความมนคงปลอดภยทางกายภาพส าหรบสถานททจะมการปฏบตงาน
ของผใชงานจากระยะไกล เพอปองกนการขโมยอปกรณ การเขาถงขอมลโดยไมไดรบอนญาต และการเชอมตอจากระยะไกลโดยผไมประสงคด
๑๑.๔.๔. ผใชงานตองไมอนญาตใหครอบครวหรอเพอนของตนเขาถงระบบเทคโนโลยสารสนเทศขององคกรในสถานทดงกลาว
๑๑.๔.๕. ตองตรวจสอบวาอปกรณทเปนของสวนตวซงใชในการเขาถงระบบสารสนเทศขององคกรจากระยะไกลมระบบปองกนไวรสและการใชงานไฟรวอลลอยางเหมาะสม
๑๑.๔.๖. ตองก าหนดชนดของงานทอนญาตและไมอนญาตใหเขาถงส าหรบการปฏบตงานจากระยะไกล ชวโมงการท างานในสถานทดงกลาว ชนความลบของขอมลทอนญาตใหใชงานได และระบบงานและบรการตาง ๆ ขององคกรทอนญาตใหเขาถงไดจากระยะไกล
๑๒. การบรหารจดการระบบจดเกบขอมลจราจรคอมพวเตอร (traffic log management) ๑๒.๑. ตองก าหนดผรกษาขอมลจราจรคอมพวเตอรประจ าหนวยงาน และม Log server ของหนวยงาน
ส าหรบรวบรวมขอมลจราจรคอมพวเตอรทพรอมสงมอบใหผรกษาขอมลจราจรคอมพวเตอรของ มหาวทยาลยเมอมการรองขอ
๑๒.๒. ก าหนดวธการในการน าสงขอมลจราจรคอมพวเตอรจากสอทใชเกบไปยง Centralized Log Server ของหนวยงาน
๑๒.๓. บนทกการท างานของเครองคอมพวเตอรแมขายและระบบเครอขาย บนทกการปฏบตงานของผใชงาน และบนทกรายละเอยดของระบบปองกนการบกรกไดแก บนทกการเขาออกระบบ ซงประกอบดวย บญชผใช หมายเลขไอพแอดเดรสตนทาง หมายเลขไอพแอดเดรสปลายทาง โปรโตคอล และหมายเลขพอรต เพอประโยชนในการใชตรวจสอบและเกบบนทกดงกลาวไวตามทก าหนดไวในพระราชบญญตวาดวยการกระท าผดเกยวกบคอมพวเตอร
๑๒.๔. ตรวจสอบบนทกการปฏบตงานของผใชงานอยางสม าเสมอ ๑๒.๕. ก าหนดวธการปองกนการแกไข เปลยนแปลง หรอท าลาย ขอมลจราจรคอมพวเตอรตางๆ และจ ากด
สทธการเขาถงขอมลจราจรคอมพวเตอรเฉพาะบคคลทเกยวของเทานน ๑๓. หนาทและความรบผดชอบของผดแลระบบ (system administrator responsibilities)
๑๓.๑. ผดแลระบบ แบงออกเปน ๓ กลม ๑๓.๑.๑. ผดแลระบบเครอขาย (system administrator) ๑๓.๑.๒. ผดแลระบบคอมพวเตอรแมขาย (network administrator)
๒๐
๑๓.๑.๓. ผดแลระบบสารสนเทศ (application administrator) ๑๓.๒. ผดแลระบบเครอขาย มหนาทและความรบผดชอบดงน
๑๓.๒.๑. ดแลรกษาและตรวจสอบอปกรณเครอขายและชองทางการสอสารของระบบเครอขายอยเสมอ และปดชองทางการสอสารของระบบเครอขายทไมมความจ าเปนตองใชงานในทนท
๑๓.๒.๒. เกบรกษาขอมลจราจรทางคอมพวเตอรเทาทจ าเปนเพอใหสามารถระบตวตนผใชงานนบตงแตเรมใชบรการ และตองเกบรกษาไวเปนระยะเวลาตามทกฎหมายก าหนดนบตงแตการใชบรการสนสดลง และการเกบรกษาขอมลจราจรทางคอมพวเตอรตองใชวธการทมนคงปลอดภย ดงตอไปน (๑) มระบบการเกบรกษาความลบของขอมลทจดเกบ และก าหนดชนความลบในการ
เขาถงขอมลดงกลาว เพอรกษาความครบถวนถกตองและความนาเชอถอของขอมล และไมใหผดแลระบบสามารถแกไขขอมลทเกบรกษาไว เวนแต ไดมการก าหนดผทสามารถเขาถงขอมลได เชน ผตรวจสอบระบบสารสนเทศของหนวยงาน หรอบคคลทหนวยงานมอบหมาย
(๒) ขอมลจราจรทางคอมพวเตอรตองระบรายละเอยดผใชงานเปนรายบคคลได (๓) ขอมลจราจรทางคอมพวเตอรตองบนทกอางองเวลากบ time.psu.ac.th
๑๓.๓. ผดแลระบบคอมพวเตอรแมขาย มหนาทและความรบผดชอบดงน ๑๓.๓.๑. ตรวจสอบดแลรกษาการใชงานเครองคอมพวเตอรแมขายของหนวยงานใหเปนไปดวย
ความเรยบรอย และมประสทธภาพ หากตรวจพบสงผดปกตเกยวกบการใชงานเครองคอมพวเตอรแมขายใหรบด าเนนการแกไข รวมทงปองกนและบรรเทาความเสยหายทอาจจะเกดขนในทนท ในกรณทสงผดปกตดงกลาวเกดขนจากการใชงานของผใชงานทไมเปนไปตามนโยบายนใหรบแจงผใชงานผนนใหยตการกระท าในทนท และในกรณจ าเปนเพอปองกนหรอบรรเทาความเสยหายทจะเกดขนแกหนวยงานใหผดแลระบบพจารณาระงบการใชงานของผใชงานทนท
๑๓.๓.๒. ตดตงและปรบปรงโปรแกรมคอมพวเตอรส าหรบแกไขขอบกพรองของเครองคอมพวเตอรแมขาย ใหมความมนคงปลอดภยในการใชงานและทนสมยอยเสมอ
๑๓.๓.๓. ตดตงโปรแกรมส าหรบจดการโปรแกรมไมประสงคดตางๆ ใหเหมาะสม ๑๓.๓.๔. ตรวจสอบความมนคงปลอดภยในการใชงานเครองคอมพวเตอรแมขาย ๑๓.๓.๕. ดแลรกษาและปรบปรงระบบบญชผใชเครองคอมพวเตอรแมขายใหถกตองและเปน
ปจจบนอยเสมอ ๑๓.๔. ผดแลระบบสารสนเทศ มหนาทและความรบผดชอบดงน
๑๓.๔.๑. ดแลรกษาและปรบปรงบญชผใชระบบสารสนเทศใหถกตองและเปนปจจบนอยเสมอ ๑๓.๔.๒. ปรบปรงรายการระบบสารสนเทศและรายการอปกรณทเกยวของกบระบบสารสนเทศนน
ใหถกตอง และเปนปจจบนอยเสมอ ๑๓.๕. หลกธรรมาภบาลของผดแลระบบ
๑๓.๕.๑. ไมใชอ านาจหนาทของตนในการเขาถงขอมลของผใชงานโดยไมมเหตผลอนสมควร ๑๓.๕.๒. ไมกระท าการอนใดทมลกษณะเปนการละเมดสทธหรอขอมลสวนบคคลของผใชงานหรอม
ขอมลสวนบคคลจดเกบไวในระบบคอมพวเตอรโดยไมมเหตผลอนสมควร
๒๑
๑๓.๕.๓. ไมเปดเผยขอมลทไดมาจากการปฏบตหนาท ซงขอมลดงกลาวเปนขอมลทไมเปดเผยใหบคคลหนงบคคลใดทราบ โดยไมมเหตผลอนสมควร
๑๔. การใชงานเครอขายสงคมออนไลน (social network) ๑๔.๑. การใชงานหรอใชบรการเวบไซตเครอขายสงคมออนไลน ตองใชงานเพอประโยชนของทางราชการ
เปนส าคญ ๑๔.๒. ในการใชงานเครอขายสงคมออนไลนผใชงานตองไมเปดเผยขอมลทส าคญและเปนความลบของ
มหาวทยาลย ๑๔.๓. ในการใชงานเครอขายสงคมออนไลน ผใชงานตองไมเสนอความคดเหน หรอใชขอความทยวย ใหราย
ทจะท าใหเกดความเสอมเสยตอชอเสยงของมหาวทยาลย ๑๔.๔. หากผใชงานทราบหรอรสกในภายหลงวาการใชงานเครอขายสงคมออนไลนของทานอาจมผลกระทบ
กบมหาวทยาลย ผใชงานตองแจงศนยคอมพวเตอรโดยเรวทสด เพอด าเนนการตามความเหมาะสม ๑๕. การรกษาความมนคงปลอดภยทางดานกายภาพและสงแวดลอม (physical and environmental
security) ๑๕.๑. การจดการบรเวณแวดลอมทางกายภาพ
๑๕.๑.๑. ก าหนดระดบความส าคญของพนทหรอการจ าแนกพนทใชงาน ๑๕.๑.๒. ก าหนดระบบปองกนการบกรกทตดตงใหครอบคลมพนทหรอบรเวณทมความส าคญ ๑๕.๑.๓. ด าเนนการทดสอบระบบปองกนการบกรกทางกายภาพอยางสม าเสมอ เพอตรวจสอบวา
ยงใชงานไดตามปกต ๑๕.๒. การควบคมการเขา-ออกพนททางกายภาพ
๑๕.๒.๑. ไมอนญาตใหผไมมกจเขาไปในพนทหรอบรเวณทมความส าคญ ๑๕.๒.๒. ตองควบคมการเขาถงพนททมขอมลส าคญจดเกบหรอประมวลผลอย ๑๕.๒.๓. มกลไกการอนญาตการเขาถงพนทหรอบรเวณทมความส าคญของบคคลภายนอกและตองม
เหตผลทเพยงพอในการเขาถงพนทดงกลาว ๑๕.๒.๔. ตองพสจนตวตน เชน การใชบตรรด การใชรหสผาน เพอควบคมการเขา-ออกในพนทหรอ
บรเวณทมความส าคญ เชน หองศนยกลางขอมล (data center) ๑๕.๒.๕. ตองบนทกวนและเวลาเขา-ออก ของผทมาเยอน และจดเกบบนทกไวเพอใชในการ
ตรวจสอบในภายหลงเมอมความจ าเปน ๑๕.๒.๖. มบนทกรายการอปกรณทน าเขา-ออก ๑๕.๒.๗. ดแลผทมาเยอนจนกระทงเสรจสนภารกจ เพอปองกนการสญหายของทรพยสน และ
ปองกนการเขาถงพนทสวนอนทไมไดรบอนญาต ๑๕.๒.๘. ตองควบคมหนวยงานภายนอกในการน าอปกรณคอมพวเตอรหรออปกรณทใชในการ
ปฏบตงานมาปฏบตงานในพนทหรอบรเวณทมความส าคญ ๑๕.๒.๙. สรางความตระหนกใหผทมาเยอนจากภายนอกเขาใจในกฎเกณฑหรอขอก าหนดตางๆ ท
ตองปฏบตระหวางทอยในพนทหรอบรเวณทมความส าคญ ๑๕.๒.๑๐. เจาหนาทของบรษทผไดรบการวาจาง/ผทมาเยอน ตองตดบตรใหเหนชดตลอดระยะเวลา
การปฏบตงาน ๑๕.๒.๑๑. ตองดแลและเฝาระวงการปฏบตงานของบคคลภายนอกในขณะทปฏบตการในพนทหรอ
บรเวณทมความส าคญ ๑๕.๒.๑๒. ตองทบทวน หรอยกเลกสทธการเขาถงพนทหรอบรเวณทมความส าคญอยางสม าเสมอ
๒๒
๑๕.๓. การจดบรเวณส าหรบการเขาถงหรอการสงมอบผลตภณฑโดยบคคลภายนอก ๑๕.๓.๑. จ ากดการเขาถงพนทหรอบรเวณทมการสงมอบหรอขนถายผลตภณฑเพอปองกนการ
เขาถงโดยไมไดรบอนญาต ๑๕.๓.๒. จ ากดบคคลซงสามารถเขาถงพนทหรอบรเวณสงมอบนน ๑๕.๓.๓. จดพนทหรอบรเวณทสงมอบไวในบรเวณตางหากเพอหลกเลยงการเขาถงพนทอนๆ
ภายในมหาวทยาลย ๑๕.๓.๔. ใหตรวจสอบผลตภณฑทเปนอนตรายกอนทจะโอนยายไปยงพนทใชงาน ๑๕.๓.๕. ลงทะเบยนและตรวจนบผลตภณฑทสงมอบโดยผขายหรอผใหบรการภายนอกให
สอดคลองกบระเบยบพสด หรอขนตอนปฏบตส าหรบการบรหารจดการทรพยสนของมหาวทยาลย
๑๕.๔. การสรางความมนคงปลอดภยส าหรบเอกสารระบบ ๑๕.๔.๑. จดเกบเอกสารทเกยวของกบระบบสารสนเทศไวในสถานททมนคงปลอดภย ๑๕.๔.๒. ตองควบคมการเขาถงเอกสารทเกยวของกบระบบสารสนเทศเฉพาะผเกยวของเทานน ๑๕.๔.๓. ควบคมการเขาถงเอกสารทเกยวของกบระบบสารสนเทศทจดเกบหรอเผยแพรอยบน
เครอขายสาธารณะ เชน อนเทอรเนต เพอปองกนการเขาถงหรอเปลยนแปลงแกไขเอกสารนน
๑๕.๕. การน าทรพยสนของมหาวทยาลยออกนอกส านกงาน ๑๕.๕.๑. ตองขออนญาตกอนน าอปกรณหรอทรพยสนออกนอกมหาวทยาลย ๑๕.๕.๒. บนทกขอมลการน าอปกรณของมหาวทยาลยออกนอกส านกงาน เพอใชเปนหลกฐาน
ปองกนการสญหาย รวมทงบนทกขอมลเพมเตมเมอน าอปกรณสงคน ๑๕.๕.๓. ใหเจาหนาทมความรบผดชอบดแลอปกรณหรอทรพยสนของมหาวทยาลยเสมอนเปน
ทรพยสนของตนเอง ๑๕.๖. ระบบและอปกรณสนบสนนการท างาน
๑๕.๖.๑. ตองสนบสนนการท างานของระบบเทคโนโลยสารสนเทศและการสอสารของมหาวทยาลยทเพยงพอตอความตองการใชงาน โดยใหม (๑) ระบบส ารองกระแสไฟฟา (๒) เครองก าเนดกระแสไฟฟาส ารอง (๓) ระบบระบายอากาศ (๔) ระบบปรบอากาศและควบคมความชน (๕) ระบบปองกนอคคภย
๑๕.๖.๒. ตองตรวจสอบหรอทดสอบระบบสนบสนนเหลานนอยางสม าเสมอ เพอใหมนใจไดวาระบบท างานปกตและลดความเสยงจากการลมเหลวในการท างานของระบบ
๑๕.๖.๓. ตดตงระบบแจงเตอน เพอแจงเตอนกรณทระบบสนบสนนการท างาน ท างานผดปกตหรอหยดท างาน
๑๕.๖.๔. จดท าแผนผงแสดงพนทใชงานระบบเทคโนโลยสารสนเทศและการสอสารใหผเกยวของรบทราบ
๒๓
สวนท ๒ นโยบายการจดท าระบบส ารองสารสนเทศ
วตถประสงค ๑. เพอใหระบบสารสนเทศของมหาวทยาลยมสภาพพรอมใชและใหบรการไดอยางตอเนอง ๒. เพอก าหนดแนวปฏบตการจดท าระบบส ารอง การส ารองขอมล และการกคนขอมล ใหผดแลระบบเครอขาย ผดแล
เครองคอมพวเตอรแมขายและผดแลระบบสารสนเทศหนวยงานถอปฏบต เพอใหมนใจไดวามระบบส ารองทสามารถท างานแทนระบบหลกไดในกรณทระบบหลกมปญหา ตองส ารองขอมลและสามารถกคนขอมลไดในกรณทจ าเปน
ผรบผดชอบ
๑. ศนยคอมพวเตอร ๒. ผดแลระบบทไดรบมอบหมาย ๓. เจาหนาทของคณะ/หนวยงานทไดรบมอบหมาย
อางองมาตรฐาน
มาตรฐานการรกษาความมนคงปลอดภยในการประกอบธรกรรมทางอเลกทรอนกส
แนวปฏบต
๑. ระบบส ารอง (disaster recovery site: DR site) ๑.๑. จดท าบญชระบบเครอขายและระบบสารสนเทศทส าคญและจ าเปนตองมระบบส ารอง และทบทวนบญช
อยางนอยปละ ๑ ครง ๑.๒. ระบบส ารองตองอยในหองหรอพนททตางจากระบบหลก และมการควบคม ดงน
๑.๒.๑. มระบบการควบคมการเขาถงทอนญาตเฉพาะผมหนาทเกยวของ ๑.๒.๒. มระบบไฟฟาส ารอง ๑.๒.๓. มระบบปรบอากาศและความชนทเหมาะสม ๑.๒.๔. มระบบปองกนอคคภย ๑.๒.๕. มระบบสองสวางทเหมาะสม ๑.๒.๖. มระบบสอสารหรอระบบเครอขายส ารอง ๑.๒.๗. มระบบแจงเตอนกรณทระบบสนบสนนท างานผดปกตหรอหยดการท างาน
๑.๓. มแผนบ ารงรกษาระบบส ารองทกระบบอยางตอเนอง ๒. การส ารองขอมล (Data Backup)
๒.๑. จดท าบญชระบบสารสนเทศทมความส าคญทงหมดของหนวยงานทจะท าการส ารองขอมล และทบทวนบญชอยางนอยปละ ๑ ครง
๒.๒. ก าหนดวธการส ารองขอมลของระบบสารสนเทศแตละระบบ
๒.๓. ก าหนดความถในการส ารองขอมล ระบบทมความส าคญสง หรอระบบทมการเปลยนแปลงบอย ตองก าหนดใหมความถในการส ารองขอมลมากขน
๒๔
๒.๔. บนทกขอมลทเกยวของกบกจกรรมการส ารองขอมล ไดแก ผด าเนนการ วน/เวลา ชอขอมลทส ารอง สถานะการท างานส าเรจ/ไมส าเรจ เปนตน
๒.๕. ตรวจสอบขอมลทงหมดของระบบวามการส ารองขอมลไวอยางครบถวน เชน ซอฟตแวรตาง ๆ ทเกยวของกบระบบสารสนเทศ ขอมลในฐานขอมล และ ขอมลการตงคาระบบและอปกรณตางๆ เปนตน
๒.๖. จดเกบขอมลส ารองไวในระบบส ารอง ๒.๗. ด าเนนการปองกนทางกายภาพอยางเพยงพอตอสถานทส ารองทใชจดเกบขอมลส ารอง
๒.๘. มแผนเตรยมพรอมกรณฉกเฉนในกรณทไมสามารถด าเนนการดวยวธการทางอเลกทรอนกส ดงน ๒.๘.๑. ตองก าหนดหนาท และความรบผดชอบของผทเกยวของทงหมด
๒.๘.๒. ตองประเมนความเสยงส าหรบระบบทมความส าคญเหลานน และก าหนดมาตรการ เพอ
ลดความเสยงเหลานน เชน ไฟดบเปนระยะเวลานาน ไฟไหม แผนดนไหว การชมนม
ประทวงท าใหไมสามารถเขามาใชระบบงานได เปนตน
๒.๘.๓. ตองก าหนดขนตอนปฏบตในการกคนระบบสารสนเทศ
๒.๘.๔. ตองก าหนดขนตอนปฏบตในการส ารองขอมล และทดสอบกคนขอมลทส ารองไว ๒.๘.๕. ตองทบทวนเพอปรบปรงแผนเตรยมความพรอมกรณฉกเฉนดงกลาวใหสามารถปรบใชไดอยาง
เหมาะสมและสอดคลองกบการใชงานตามภารกจ อยางนอยปละ 1 ครง
๓. การกคนขอมล (Data Recovery) ๓.๑. จดท าขนตอนปฏบตส าหรบการกคนขอมล และตรวจสอบประสทธภาพและประสทธผลของขนตอน
ปฏบตอยางสม าเสมอ ๓.๒. ตรวจสอบผลการบนทกขอมลส ารองอยางสม าเสมอ เพอตรวจสอบวายงคงสามารถเขาถงขอมลได
ตามปกต
๓.๓. ใหใชขอมลทนสมยทสด (Latest Update) ทไดส ารองไวหรอตามความเหมาะสม เพอกคนระบบ
๓.๔. ทดสอบการกคนขอมลทไดท าการส ารองไวอยางสม าเสมออยางนอยปละ ๑ ครง
๔. การทดสอบสภาพพรอมใชงาน
๔.๑. ตองทดสอบสภาพพรอมใชของระบบสารสนเทศ ระบบส ารอง ระบบส ารองขอมลและแผนเตรยมความพรอมกรณฉกเฉนอยางนอยปละ ๑ ครง
๒๕
สวนท ๓ นโยบายการตรวจสอบและประเมนความเสยงสารสนเทศ
วตถประสงค
เพอใหผเกยวของทกฝายไดรบทราบถงหนาท ความรบผดชอบ และความจ าเปนในการประเมนความเสยงสารสนเทศ เพอหาแนวทางปองกนภยคกคามและการโจมตตางๆ ซงท าใหระบบสารสนเทศของมหาวทยาลยหรอของหนวยงานมความปลอดภยและมความพรอมใชงานอยเสมอ
ผรบผดชอบ ๑. ศนยคอมพวเตอร ๒. ผดแลระบบทไดรบมอบหมาย ๓. หนวยตรวจสอบภายใน
อางองมาตรฐาน
มาตรฐานการรกษาความมนคงปลอดภยในการประกอบธรกรรมทางอเลกทรอนกส
แนวปฏบต
๑. หนวยงานจะตองตรวจสอบและประเมนความเสยงดานสารสนเทศทอาจเกดขนกบระบบสารสนเทศ ๑.๑. ตองตรวจสอบและประเมนความเสยงดานสารสนเทศโดยผตรวจสอบภายใน อยางนอยปละ ๑ ครง
๒. ระบความเสยงและผลกระทบของความเสยงใหสอดคลองตามแผนบรหารความเสยงของหนวยงานเพอการประเมนความเสยงนน ดงตอไปน
๒.๑. ความเสยงทเกดจากการลกลอบเขาทางระบบปฏบตการเพอยดครองเครองคอมพวเตอรแมขายผานระบบอนเทอรเนต
๒.๒. ความเสยงทเกดจากการลกลอบเขาเชอมโยงกบระบบเครอขายไรสายโดยไมไดรบอนญาต ๒.๓. ความเสยงทเกดจากเครองมอดานเทคโนโลยสารสนเทศ หรอระบบเครอขายเกดการขดของระหวางการ
ใชงาน ๒.๔. ความเสยงทเกดจากการลงบนทกเขาสารสนเทศทส าคญผานระบบเครอขายของผใชงานคนเดยวกน
มากกวาหนงจด ๒.๕. ความเสยงทเกดจากการลกลอบใชบญชผใชและรหสผานของผอนโดยไมไดรบอนญาต ๒.๖. ความเสยงทเกดจากความเสยหายทางกายภาพ เชน ไฟไหม น าทวม อปกรณสญหาย เปนตน
๓. ก าหนดวธการในการประเมนความเสยงและความรนแรงของผลกระทบทเกดจากความเสยงนน ๔. การประเมนความเสยงใหค านงถงองคประกอบดงตอไปน
๔.๑. ระดบความนาจะเปนทจะเกดความเสยงทระบ ๔.๒. ระดบความรนแรงของผลกระทบทเกดจากความเสยงทระบ ๔.๓. ภยคกคามหรอสงทอาจกอใหเกดเหตการณทระบ ๔.๔. จดออนหรอชองโหวทอาจถกใชในการกอใหเกดเหตการณทระบ
๒๖
๕. ตองแสดงผลการตรวจสอบตามนโยบายการรกษาความมนคงปลอดภยดานสารสนเทศเปนสวนหนงของการรายงานผลการตดตาม ตรวจสอบ และประเมนผลงานดานเทคโนโลยสารสนเทศและการสอสาร
๒๗
สวนท ๔ นโยบายการสรางความตระหนกในเรองการรกษาความมนคงปลอดภยดานสารสนเทศ
(Information Security Awareness Policy)
วตถประสงค เพอเผยแพรนโยบายและแนวปฏบตใหกบบคลากรและผเกยวของ ไดมความรความเขาใจและตระหนกถง
ความส าคญของการรกษาความมนคงปลอดภยดานสารสนเทศ ตลอดจนสามารถน าไปปฏบตไดอยางถกตอง
ผรบผดชอบ ๑. ศนยคอมพวเตอร ๒. หนวยงานทไดรบมอบหมายในการจดฝกอบรม ๓. ผดแลระบบทไดรบมอบหมาย ๔. เจาหนาททไดรบมอบหมาย อางองมาตรฐาน
มาตรฐานการรกษาความมนคงปลอดภยในการประกอบธรกรรมทางอเลกทรอนกส
แนวปฏบต
๑. ตองก าหนดหลกสตรการฝกอบรมเกยวกบการสรางความตระหนกเรองความมนคงปลอดภยสารสนเทศ โดยอาจใชวธการเสรมเนอหาแนวปฏบตตามนโยบายเขากบหลกสตรอบรมตาง ๆ ตามแผนการฝกอบรมของหนวยงาน
๒. ฝกอบรมใหความรความเขาใจกบผใชงาน เพอใหเกดความตระหนก ความเขาใจถงภยและผลกระทบทเกดจาก การใชงานระบบสารสนเทศโดยไมระมดระวงหรอรเทาไมถงการณ รวมถงก าหนดใหมมาตรการเชงปองกนตามความเหมาะสม
๓. จดฝกอบรมการใชงานสารสนเทศของมหาวทยาลยอยางสม าเสมอ หรอทกครงทมการปรบปรงหรอเปลยนแปลงการใชงานของระบบสารสนเทศ
๔. จดท าคมอการใชงานระบบสารสนเทศอยางปลอดภย และเผยแพรทางเวบไซตของหนวยงาน ๕. ใหความรเกยวกบแนวปฏบต ในลกษณะเกรดความร หรอขอควรระวงในรปแบบทสามารถเขาใจ และน าไปปฏบต
ไดงาย ซงมการปรบเปลยนเกรดความรอยเสมอ เชน การตดประกาศ ประชาสมพนธ แผนพบ เผยแพรผานเวบไซต ฯลฯ
๖. ระดมการมสวนรวมและลงสภาคปฏบต ดวยการก ากบ ตดตาม ประเมนผล และส ารวจความตองการของผใช
