ประกาศนโยบายIT-รูปเล่ม1

แนวปฏบิ ตั ิในการรกั ษาความม่นั คงปลอดภัยดา้ นสารสนเทศ
สำนกั งานสาธารณสขุ จงั หวัดสุพรรณบุรี
พ.ศ. ๒๕๖5

งานขอ้ มูลข่าวสารและเทคโนโลยสี ารสนเทศ
กลมุ่ งานพัฒนายุทธศาสตรส์ าธารณสุข

สารบญั หนา้ ท่ี
1
แนวปฏบิ ตั ิในการรักษาความม่นั คงปลอดภยั ด้านสารสนเทศ
ของสำนักงานสาธารณสขุ จังหวดั สพุ รรณบุรี พ.ศ. ๒๕๖5 3
หมวดท่ี ๑ การควบคมุ การเข้าถงึ และการใชง้ านระบบสารสนเทศ 3
สว่ นที่ ๑ การควบคมุ การเข้าถึงสารสนเทศ (Access Control) 6
สว่ นท่ี ๒ การบรหิ ารจัดการการเข้าถงึ ของผใู้ ชง้ าน (User Access Management) 8
สว่ นท่ี ๓ การกำหนดหนา้ ท่คี วามรบั ผดิ ชอบของผูใ้ ชง้ าน (User Responsibilities) 10
ส่วนท่ี ๔ การบรหิ ารจดั การสินทรัพย์ (Assets Management) 11
สว่ นท่ี ๕ การควบคมุ การเข้าถงึ เครอื ขา่ ย (Network Access Control) 15
สว่ นที่ ๖ การควบคุมการเขา้ ถึงระบบปฏิบตั ิการ (Operating System Access Control) 16
ส่วนที่ ๗ การควบคุมการเข้าถึงโปรแกรมประยุกต์หรือแอปพลิเคชันและสารสนเทศ
(Application and Information Access Control) 18
ส่วนท่ี ๘ การบริหารจัดการซอฟตแ์ วรแ์ ละลขิ สทิ ธแ์ิ ละการป้องกนั โปรแกรมไมป่ ระสงค์ดี
(Software Licensing and intellectual property and Preventing Malware) 20
ส่วนที่ ๙ การปฏิบัติงานจากภายนอกสำนักงาน (Teleworking) 20
ส่วนท่ี ๑๐ การควบคมุ การเข้าถงึ ระบบเครอื ขา่ ยไรส้ าย (Wireless LAN Access Control) 21
ส่วนท่ี ๑๑ การควบคุมการใชง้ านอุปกรณป์ อ้ งกนั เครือขา่ ย (Firewall Control) 22
สว่ นที่ ๑๒ การควบคมุ การใช้จดหมายอิเล็กทรอนิกส์ (E-Mail) 24
ส่วนท่ี ๑๓ การควบคมุ การใช้อินเทอรเ์ น็ต (Internet) 25
ส่วนที่ ๑๔ การใชง้ านเครื่องคอมพิวเตอร์ส่วนบคุ คล 26
สว่ นที่ ๑๕ การใชง้ านเคร่ืองคอมพิวเตอร์แบบพกพา 28
สว่ นที่ ๑๖ การตรวจจับการบกุ รุก (Intrusion Detection System / Intrusion
Prevention System Policy : IDS/IPS Policy) 29
ส่วนที่ ๑๗ การติดตัง้ และกำหนดค่าของระบบ (System Installation and Configuration) 30
ส่วนที่ ๑๘ การจดั เกบ็ ขอ้ มลู จราจรคอมพิวเตอร์ (Log) 31
หมวดที่ ๒ การรักษาความปลอดภัยฐานขอ้ มลู และสำรองข้อมลู 31
ส่วนท่ี ๑ การรักษาความปลอดภยั ฐานข้อมลู 33
สว่ นที่ ๒ การสำรองข้อมลู 35
หมวดท่ี ๓ การตรวจสอบและประเมนิ ความเสยี่ งดา้ นสารสนเทศ 35
ส่วนท่ี ๑ การตรวจสอบและประเมินความเส่ียง 36
สว่ นท่ี ๒ ความเส่ียงที่อาจเป็นอนั ตรายตอ่ ระบบเทคโนโลยสี ารสนเทศ 37
หมวดท่ี ๔ การรักษาความปลอดภยั ด้านกายภาพ สถานที่ และสภาพแวดลอ้ ม 41
หมวดที่ ๕ การดำเนินการตอบสนองเหตุการณค์ วามมน่ั คงปลอดภยั ทางระบบสารสนเทศ 42
หมวดท่ี ๖ การสร้างความตระหนักในเรื่องการรักษาความปลอดภัยของระบบเทคโนโลยี
สารสนเทศ 43
หมวดที่ ๗ หน้าทแี่ ละความรับผิดชอบ 44
หมวดที่ ๘ การบริหารจดั การการใช้บรกิ ารจากหน่วยงานภายนอก

แนวปฏบิ ตั ใิ นการรกั ษาความม่นั คงปลอดภัยด้านสารสนเทศ
ของสำนักงานสาธารณสขุ จงั หวดั สพุ รรณบรุ ี พ.ศ. ๒๕๖5

ตามประกาศสำนักงานสาธารณสุขจังหวัดสุพรรณบุรี เรื่อง นโยบายในการรักษาความมั่นคง
ปลอดภัยดา้ นสารสนเทศ ของสำนักงานสาธารณสุขจงั หวัดสุพรรณบุรี พ.ศ. ๒๕๖5 กำหนดใหม้ กี ารจัดทำแนว
ปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ เพื่อให้ระบบเทคโนโลยีสารสนเทศ ของสำนักงาน
สาธารณสุขจังหวัดสุพรรณบุรี เป็นไปอย่างเหมาะสม มีประสิทธิภาพ มีความมั่นคงปลอดภัย และสามารถ
ดำเนนิ งานได้อย่างต่อเนื่อง รวมทั้งปอ้ งกันปัญหาที่อาจจะเกิดขึ้นจากการใชง้ านระบบเทคโนโลยีสารสนเทศใน
ลักษณะที่ไม่ถูกต้อง และจากการถูกคุกคามจากภัยต่าง ๆ ซึ่งอาจก่อให้เกิดความเสียหายต่อสำนักงาน
สาธารณสุขจังหวดั สุพรรณบุรี น้ัน

สำนักงานสาธารณสขุ จงั หวดั สพุ รรณบรุ ี จึงกำหนดแนวปฏบิ ัตใิ นการใช้ระบบสารสนเทศใหม้ ี
ความมนั่ คงปลอดภัย ดังน้ี

ขอ้ ๑ คำนิยาม
“หนว่ ยงาน” หมายถึง สำนกั งานสาธารณสขุ จังหวัดสุพรรณบรุ ี รวมถึงหนว่ ยงานที่อยูภ่ ายใต้
สังกัดของสำนักงานสาธารณสุขจังหวัดสพุ รรณบุรี ทุกหน่วยงาน
“ผู้ใช้งาน” หมายถึง ข้าราชการ ลูกจ้าง พนักงานราชการ ผู้ดูแลระบบ ผู้บริหารองค์กร
ผู้รับบริการ หรือผูท้ ี่ได้รบั อนุญาตใหใ้ ชเ้ ครอ่ื งคอมพวิ เตอรแ์ ละระบบเครือข่ายของหนว่ ยงาน
“ผู้บริหาร” หมายถึง ผู้มีอำนาจในการบังคับบัญชาในหน่วยงาน ได้แก่ รองนายแพทย์
สาธารณสุขจงั หวดั หวั หน้ากลุ่มงาน เป็นต้น
“ผู้บริหารระดับสูงสุด” หมายถึง นายแพทย์สาธารณสุขจังหวัด ผู้อำนวยการโรงพยาบาล
สาธารณสขุ อำเภอ
“ผู้ดูแลระบบ” (System Administrator) หมายถึง ผู้ที่ได้รับมอบหมายจากหัวหน้า
หน่วยงาน ให้มีหน้าที่รับผิดชอบดูแลรักษาหรือจัดการระบบคอมพิวเตอร์และระบบเครือข่ายไม่ว่าส่วนห นึ่ง
ส่วนใด
“เจา้ ของข้อมูล” หมายถึง ผู้ไดร้ บั มอบอำนาจจากหัวหนา้ หนว่ ยงานใหร้ บั ผดิ ชอบขอ้ มลู ของ
ระบบงาน โดยเจา้ ของข้อมูลเปน็ ผู้รับผิดชอบขอ้ มูลนัน้ ๆ หรือได้รบั ผลกระทบโดยตรงหากข้อมลู เหลา่ นน้ั เกดิ
สูญหาย
“สิทธิของผูใ้ ช้งาน” หมายถงึ สทิ ธิท่ัวไป สทิ ธิจำเพาะ สิทธิพเิ ศษ และสทิ ธอิ ืน่ ใดทเี่ กย่ี วข้อง
กบั ระบบสารสนเทศของหนว่ ยงาน โดยหนว่ ยงานจะเป็นผูพ้ จิ ารณาสิทธิในการใช้สินทรัพย์
“สินทรัพย์” หมายถึง ข้อมูล ระบบข้อมูล ระบบเครือข่าย และทรัพย์สินด้านเทคโนโลยี
สารสนเทศและการสือ่ สารของหนว่ ยงานถอื ครอง
“ระบบเครือข่าย” หมายถึง ระบบที่สามารถใช้ในการติดต่อสื่อสารหรือการส่งข้อมูลและ
สารสนเทศระหวา่ งระบบเทคโนโลยีสารสนเทศต่าง ๆ ของหนว่ ยงานได้ ไดแ้ ก่ ระบบเครือข่ายแบบมีสาย
(LAN) และระบบเครือข่ายแบบไรส้ าย (Wireless LAN)

1

ณ วันท่ี 3 พฤษภาคม 2565 กล่มุ งานพฒั นายุทธศาสตรส์ าธารณสุข สำนกั งานสาธารณสุขจังหวดั สพุ รรณบุรี

“การเข้าถงึ หรือควบคุมการใชง้ านสารสนเทศ” หมายถงึ การอนญุ าต การกำหนดสิทธหิ รอื
การมอบอำนาจใหผ้ ูใ้ ชง้ านเข้าถึง หรือใช้งานเครอื ข่ายหรอื ระบบสารสนเทศ ท้ังทางอิเลก็ ทรอนกิ ส์และทาง
กายภาพ รวมทง้ั การอนุญาตเช่นวา่ นั้น สำหรบั บคุ คลภายนอก ตลอดจนอาจกำหนดข้อปฏบิ ัติเกยี่ วกบั การ
เข้าถงึ โดยมชิ อบเอาไว้ด้วยก็ได้

“ความมั่นคงปลอดภัยด้านสารสนเทศ” หมายถึง การธำรงไว้ซึ่งความลับ ความถูกต้อง
ครบถว้ น และสภาพพรอ้ มใช้งานของสารสนเทศ รวมทง้ั คณุ สมบตั อิ ่นื ไดแ้ ก่ ความถกู ต้องแทจ้ ริง ความรับผดิ
การห้ามปฏเิ สธความรบั ผดิ และความน่าเชอ่ื ถอื

“เหตุการณ์ดา้ นความมั่นคงปลอดภัย” หมายถึง การเกิดเหตุการณ์ สภาพของบริการ หรือ
เครือข่ายที่แสดงให้เห็นความเป็นไปได้ ที่จะเกิดการฝ่าฝืนนโยบายด้านความมั่นคงปลอดภัย หรือมาตรการ
ป้องกันท่ลี ้มเหลว หรือเหตุการณอ์ ันไมอ่ าจร้ไู ดว้ า่ อาจเกี่ยวข้องกบั ความมั่นคงปลอดภยั

“สถานการณด์ า้ นความม่ันคงปลอดภัยที่ไม่พงึ ประสงค์หรือไม่อาจคาดคิด” หมายถงึ
สถานการณ์ด้านความม่ันคงปลอดภัยทีไ่ ม่พงึ ประสงค์หรือไมอ่ าจคาดคิด ซึง่ อาจทำให้ระบบของหน่วยงาน
ถูกบุกรุกหรอื โจมตี และความมน่ั คงปลอดภยั ถูกคกุ คาม

2

ณ วนั ที่ 3 พฤษภาคม 2565 กลุ่มงานพัฒนายุทธศาสตร์สาธารณสุข สำนกั งานสาธารณสุขจังหวดั สพุ รรณบรุ ี

หมวดที่ ๑
การควบคมุ การเขา้ ถงึ และการใช้งานระบบสารสนเทศ

วตั ถุประสงค์
๑. เพ่ือควบคุมการเข้าถึงข้อมลู และอุปกรณใ์ นการประมวลผลข้อมลู โดยคำนึงถึงการใช้งานและความ

ม่งั คงปลอดภยั
๒. เพื่อกำหนดกฎเกณฑ์ที่เกี่ยวกับการอนุญาตให้เข้าถึงการกำหนดสิทธิ์และการมอบอำนาจของ

หน่วยงานของรัฐ
๓. เพ่อื ใหผ้ ูใ้ ช้งานได้รบั รู้เข้าใจและสามารถปฏิบตั ติ ามแนวทางท่ีกำหนดโดยเคร่งครดั และตระหนกั ถึง

ความสำคัญของการรกั ษาความม่นั คงปลอดภัยของระบบสารสนเทศ

แนวปฏิบตั ิ
สว่ นที่ ๑ การควบคุมการเข้าถงึ สารสนเทศ (Access Control)

ข้อ ๑. ผู้ดูแลระบบจะอนุญาตให้ผู้ใช้งานเข้าถึงระบบสารสนเทศที่ต้องการใช้งานได้ต่อเมื่อได้รับ
อนุญาตจากผรู้ ับผิดชอบ/เจา้ ของข้อมูล/เจา้ ของระบบและธุรกรรมตามความจำเป็นต่อการใชง้ านเท่านัน้

ข้อ ๒. บคุ คลภายนอกท่ตี ้องการสทิ ธ์ิในการเข้าใช้งานระบบสารสนเทศของหนว่ ยงานให้ทำหนังสือขอ
อนญุ าตเปน็ ลายลกั ษณ์อักษรตอ่ ผู้บริหารระดับสูง หรอื หัวหน้าหนว่ ยงานแลว้ แตก่ รณีเพ่ือให้ความเห็นชอบและ
อนญุ าตก่อน

ขอ้ ๓. กำหนดสิทธ์กิ ารเข้าถึงขอ้ มูลและระบบข้อมูลให้เหมาะสมกับการเข้าใชง้ านของผู้ใชง้ าน และ
หน้าท่คี วามรบั ผดิ ชอบในการปฏิบัตงิ านของผู้ใชง้ านระบบสารสนเทศรวมทงั้ มีการทบทวนสิทธิก์ ารเข้าถึงอยา่ ง
สมำ่ เสมอโดยผดู้ ูแลระบบจะเป็นผกู้ ำหนดสิทธ์ิตามอนญุ าตนั้น ดงั นี้

(๑) กำหนดสิทธ์ขิ องผใู้ ชง้ านแตล่ ะกลมุ่ ที่เกยี่ วข้อง
- อ่านอยา่ งเดยี ว
- สรา้ งข้อมูล
- ป้อนข้อมลู
- แก้ไข
- อนุมัติ
- ไมม่ ีสิทธ์ิ

(๒) กำหนดเกณฑ์การระงับสิทธมิ์ อบอำนาจให้เป็นไปตามการบรหิ ารจัดการการเขา้ ถึงของ
ผ้ใู ชง้ าน (User access management) ท่ไี ด้กำหนดไว้

(๓) ผ้ดู แู ลระบบมหี น้าท่ีควบคุมดแู ลการเขา้ ถึงระบบสารสนเทศและปฏบิ ัติงานตามหัวหน้า
หน่วยงานมอบหมาย ดังน้ี

(๓.๑) อนุญาตให้ผ้ใู ช้งานเข้าถึงระบบสารสนเทศของหน่วยงานจะกระทำได้ต่อเมื่อ
ได้รบั อนุญาตจากหัวหน้าหนว่ ยงานหรือผู้ดแู ลระบบทไี่ ดร้ ับมอบหมาย

(๓.2) กำหนดสทิ ธ์ขิ องผใู้ ช้งานใหเ้ หมาะสมกบั การใช้งานและทบทวนสิทธิก์ ารเขา้ ถงึ
น้นั อย่างสมำ่ เสมอ

3

ณ วนั ที่ 3 พฤษภาคม 2565 กลมุ่ งานพัฒนายุทธศาสตร์สาธารณสุข สำนกั งานสาธารณสขุ จังหวดั สพุ รรณบรุ ี

(๓.๓) ติดตั้งระบบการบันทึกและติดตามการใช้งานและตรวจตราการละเมิดความ
ปลอดภยั ทมี่ ตี ่อระบบสารสนเทศของหน่วยงานอย่างสม่ำเสมอ

ข้อ ๔. จัดแบ่งประเภทของข้อมลู การจัดลำดับความสำคัญหรือลำดับชัน้ ความลบั ของขอ้ มูลระดับช้ัน
การเข้าถึง เวลาเข้าถึง และช่องทางการเข้าถึงข้อมูลไว้ให้ชัดเจนโดยใช้แนวทางตามระเบียบว่าด้วยการรักษา
ความลับของทางราชการ พ.ศ. 2544 ซึ่งระเบียบดังกล่าวถือเป็นแนวทางที่เหมาะสมในการจัดการเอกสาร
อิเลก็ ทรอนิกส์และในการรักษาความปลอดภยั ของเอกสารอเิ ล็กทรอนิกส์โดยกำหนดกระบวนการและกรรมวิธี
ต่อเอกสารที่สำคญั ไวด้ งั นี้

(๑) จัดแบง่ ระดับช้ันการเข้าถึง
- ระดบั ชั้นสำหรบั ผู้บริหาร
- ระดบั ชนั้ สำหรบั ผใู้ ชง้ านทัว่ ไป
- ระดบั ชั้นสำหรบั ผูด้ แู ลระบบหรือผู้ทีไ่ ดร้ ับมอบหมาย

(๒) จัดแบ่งลำดบั ชน้ั ความลบั ของขอ้ มูล
- ข้อมูลลับท่สี ุด หมายถงึ หากเปิดเผยทงั้ หมดหรือเพียงบางส่วนจะกอ่ ใหเ้ กิด

ความเสียหายอย่างร้ายแรงท่ีสุด
- ข้อมลู ลับมาก หมายถงึ หากเปิดเผยท้งั หมดหรือเพียงบางส่วนจะกอ่ ใหเ้ กดิ

ความเสียหายอยา่ งร้ายแรงมาก
- ขอ้ มลู ลบั หมายถึง หากเปิดเผยท้งั หมดหรือเพียงบางสว่ นจะก่อให้เกิดความ

เสยี หาย
- ข้อมลู ทว่ั ไป หมายถึง ข้อมูลทีส่ ามารถเปดิ เผยหรือเผยแพร่ท่ัวไปได้

(๓) จัดแบ่งประเภทของข้อมลู
- ขอ้ มูลสารสนเทศด้านการบรหิ าร เปน็ ข้อมูลที่เก่ียวข้องกับขอ้ มลู นโยบาย ข้อมลู

ยทุ ธศาสตรแ์ ละคำรบั รอง ข้อมลู บคุ ลากร ข้อมลู งบประมาณการเงนิ และบัญชี
- ขอ้ มูลสารสนเทศด้านการแพทย์และการสาธารณสุขเป็นขอ้ มลู ท่ีเกีย่ วข้องกับการ

รกั ษาผปู้ ่วย ประวตั ผิ ูป้ ว่ ย ขอ้ มูลทางการแพทยแ์ ละข้อมลู สถานพยาบาล
(๔) จัดแบง่ ระดับช้นั การเข้าถึง
- ระดบั ชน้ั สำหรบั ผบู้ รหิ าร เข้าถงึ ได้ตามอำนาจหน้าท่ีและลำดับชั้นในบงั คบั บัญชา

ในหน่วยงานนนั้
- ระดบั ช้นั สำหรับผใู้ ช้งานทว่ั ไป เข้าถงึ ได้เฉพาะข้อมูลทไี่ ด้รับอนญุ าตให้เขา้ ถึงได้

หรอื ได้ทำการเผยแพรส่ ำหรบั ผใู้ ช้งานท่วั ไป
- ระดับชั้นสำหรับผดู้ ูแลระบบหรอื ผู้ที่ได้มอบหมาย เขา้ ถึงข้อมูลหรือระบบไดโ้ ดย

สิทธทิ์ ีไ่ ดร้ บั มอบหมายตามอำนาจหนา้ ที่
(๕) รูปแบบของเอกสารอิเล็กทรอนิกส์ให้ถือตามประกาศคณะกรรมการธุรกรรมทาง

อิเล็กทรอนิกส์ เรื่องหลักเกณฑ์และวิธีการในการจัดทำหรือแปลงเอกสารและข้อความให้อยู่ในรูปของข้อมูล
อิเล็กทรอนกิ ส์ พ.ศ. ๒๕๕๓

4

ณ วนั ที่ 3 พฤษภาคม 2565 กลุ่มงานพัฒนายุทธศาสตรส์ าธารณสขุ สำนกั งานสาธารณสุขจังหวัดสุพรรณบรุ ี

ข้อ ๕. ผู้ดูแลระบบต้องบริหารจัดการการเข้าถึงข้อมูลตามประเภทชั้นความลับในการควบคุมการ
เขา้ ถงึ ข้อมูลแตล่ ะประเภทช้นั ความลบั ทงั้ การเข้าถึงโดยตรงและการเข้าถึงผ่านระบบงาน รวมถึงวิธีการทำลาย
ข้อมูลแต่ละประเภทช้นั ความลับ ดงั นี้

(๑) ควบคุมการเข้าถงึ ข้อมลู แตล่ ะประเภทชนั้ ความลับทัง้ การเขา้ ถงึ โดยตรงและการเข้าถึง
ผา่ นระบบ

(๒) กำหนดบัญชีผูใ้ ชง้ าน (Username) และรหัสผ่าน (Password) เพื่อใชใ้ นการพสิ จู น์
ตัวตนของผใู้ ชง้ านข้อมูลในแต่ละชน้ั ความลับ

(๓) กำหนดระยะเวลาการใชง้ านและระงบั การใช้งานทันทเี มือ่ พน้ ระยะเวลาดงั กล่าว
(๔) การกำหนดให้เปล่ยี นรหสั ผา่ น (Password) ตามระยะเวลาทกี่ ำหนดความสำคญั ของ
ขอ้ มูลแตล่ ะระดับ
(๕) การรับ-ส่งข้อมูลด้วย SSL, VPN หรือ XML Encryption ผ่านระบบเครือข่ายต้อง
เข้ารหสั (Encryption) ที่เป็นมาตรฐานสากล
(๖) กำหนดมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลในกรณีที่นำสินทรัพย์ของ
หนว่ ยงานออกนอกหน่วยงาน รวมถงึ การบำรุงรกั ษาตรวจซอ่ มให้ดำเนนิ การสำรองและลบข้อมลู ทเ่ี ก็บอยู่ในส่ือ
บนั ทึกกอ่ น
(๗) กำหนดเวลาการเข้าถึงระบบสารสนเทศหากมีการบันทึกแก้ไขข้อมูลสารบบคดี
อเิ ล็กทรอนิกส์ใหเ้ รยี กรายงานได้ในเวลาเช้าวันรงุ่ ขึ้นในอีกวันถัดไปเทา่ นั้น เน่อื งจากระบบจะทำการประมวลผล
ตอนเทยี่ งคืน
(๘) การกำหนดระยะเวลาการเช่ือมต่อ (Limitation of Connection Time) สำหรบั การใช้
งานระบบสารสนเทศบางระบบให้เป็นไปตามช่วงเวลาการทำงานท่หี นว่ ยงานกำหนดสว่ นระบบสารสนเทศท่ีมี
ความสำคญั สูงให้ทำการตัดระบบและหมดเวลาการใชง้ านรวมทง้ั ปดิ การใช้งานดว้ ยหลงั จากท่ไี มม่ ีการใช้งาน
ภายในชว่ งระยะเวลา 15 นาที
ข้อ ๖. มีข้อกำหนดการใช้งานตามภารกิจเพื่อควบคุมการเข้าถึงสารสนเทศ ( Business
Requirements for Access Control) โดยแบ่งการจดั ทำข้อปฏิบตั ิเป็น 2 สว่ น คือ
(๑) ควบคุมการเข้าถงึ สารสนเทศโดยกำหนดแนวทางการควบคุมการเข้าถงึ ระบบสารสนเทศ
และสิทธเ์ิ ก่ียวข้องกับระบบสารสนเทศ
(๒) ปรบั ปรงุ ใหส้ อดคล้องกับข้อกำหนดการใชง้ านตามภารกิจและข้อกำหนดดา้ นความมั่นคง
ปลอดภยั
ข้อ ๗. การกำหนดระบบและอุปกรณส์ นับสนนุ การปฏิบัติงาน ดงั น้ี
(๑) มีระบบสนับสนุนการทำงานของระบบสารสนเทศของหน่วยงานที่เพียงพอต่อความ
ต้องการใช้งาน ดังนี้ระบบรักษาความปลอดภัย (Security) ระบบสำรองกระแสไฟฟ้า (UPS) เครื่องกำเนิด
กระแสไฟฟา้ สำรอง ระบบระบายอากาศระบบปรบั อากาศและควบคุมความชืน้
(๒) ตรวจสอบหรือทดสอบระบบสนับสนุนเหล่านั้นอย่างสม่ำเสมอ เพื่อให้มั่นใจได้ว่าทำงาน
ได้ปกติและลดความเสยี่ งจากความล้มเหลวในการทำงาน

5

ณ วนั ท่ี 3 พฤษภาคม 2565 กลุ่มงานพัฒนายุทธศาสตร์สาธารณสุข สำนกั งานสาธารณสขุ จังหวัดสุพรรณบุรี

(๓) ติดตั้งระบบแจ้งเตือนเพื่อแจ้งเตือนกรณีที่ระบบสนับสนุนการทำงานภายในห้องศูนย์
ขอ้ มูล (Data Center) เม่อื มีการทำงานเครอื่ งผิดปกตหิ รอื หยดุ การทำงาน

(๔) จัดวางอุปกรณใ์ นพื้นทห่ี รือบริเวณท่ีเหมาะสมเพื่อหลีกเลี่ยงการเขา้ ถงึ จากบุคคลภายนอก
และให้แยกอุปกรณ์ท่ีมีความสำคัญเก็บไวอ้ ีกพื้นท่ีหนึ่งท่ีมีความมั่นคงปลอดภัยเพยี งพอ

(๕) ตรวจสอบสอดส่องดูแลสภาพแวดล้อมภายในห้องและตรวจสอบระดับอุณหภมู ิความชน้ื
ให้อย่รู ะดบั ปกตเิ พอื่ ปอ้ งกนั ความเสียหายต่ออุปกรณ์ท่ีอยภู่ ายในห้องศนู ย์ข้อมลู (Data Center)

(๖) การเดินสายไฟสายสัญญาณเครือข่ายของหน่วยงานและสายเคเบิลอื่นที่จำเป็นต้องทำ
การวางผ่านเข้าไปในบริเวณที่บุคคลภายนอกเข้าถึงได้นั้นให้ร้อยท่อสายสัญญาณต่าง ๆ เพื่อป้องกัน หนู นก
กระรอก แมลงสาบ หรือสัตว์อื่นกัดสายไฟ ป้องกันการดักจับสัญญาณ การตัดสายสัญญาณ อันจะทำให้เกิด
ความเสยี หายต่อระบบเครอื ข่ายใชง้ านไม่ได้

(๗) ตอ้ งจดั ทำแผนผังสายสญั ญาณสื่อสารต่าง ๆ ใหค้ รบถว้ นถูกต้อง โดยสายสญั ญาณส่ือสาร
และสายไฟฟ้าแยกออกจากกัน เพื่อป้องกันการแทรกแซงรบกวนของสัญญาณซ่ึงกันและกัน แล้วให้จัดเก็บ
สายสญั ญาณตา่ ง ๆไวใ้ นตู้ Rack และปิดใสส่ ลกั กญุ แจใหส้ นิทเพื่อป้องกันการเข้าถึงจากบุคคลภายนอกหรือผู้ที่
ไม่มสี ว่ นเกยี่ วขอ้ ง

ส่วนที่ ๒ การบริหารจดั การการเขา้ ถงึ ของผู้ใชง้ าน (User Access Management)
ขอ้ ๘. ผ้ดู ูแลระบบ ตอ้ งกำหนดการลงทะเบยี นผูใ้ ช้งานใหม่ ดงั นี้
(๑) จัดทำแบบฟอร์มการลงทะเบยี นผใู้ ช้งาน สำหรบั ระบบเทคโนโลยสี ารสนเทศ
(๒) ผ้ดู แู ลระบบตอ้ งตรวจสอบบัญชีผใู้ ชง้ าน เพือ่ ไมใ่ ห้มกี ารลงทะเบียนซำ้ ซ้อน
(๓) ผู้ดูแลระบบต้องตรวจสอบและใหส้ ิทธิใ์ นการเข้าถงึ ทเี่ หมาะสมต่อหนา้ ท่ีความรับผดิ ชอบ

(ตามข้อ ๓)
(๔) ผดู้ ูแลระบบตอ้ งกำหนดใหม้ ีการแจกเอกสารหรือสิง่ ที่แสดงเปน็ ลายลกั ษณ์อักษรให้แก่

ผู้ใช้งานเพอื่ แสดงถงึ สิทธ์ิและหน้าท่คี วามรับผดิ ชอบของผใู้ ช้งานในการเข้าถึงระบบเทคโนโลยีสารสนเทศ
ข้อ ๙. ผูด้ ูแลระบบ ต้องกำหนดการใชง้ านระบบเทคโนโลยสี ารสนเทศท่สี ำคัญ โดยมีระบบที่เก่ียวข้อง

คือ ระบบคอมพิวเตอร์โปรแกรมประยุกต์ (Application) จดหมายอิเล็กทรอนิกส์ (E-Mail) ระบบเครือข่ายไร้
สาย (Wireless LAN) ระบบอินเทอร์เน็ต (Internet) โดยต้องให้สิทธิ์เฉพาะการปฏิบัติงานในหน้าที่และได้รับ
ความเหน็ ชอบเป็นลายลกั ษณอ์ ักษร

ข้อ ๑๐. ผดู้ ูแลระบบตอ้ งการทบทวนสทิ ธิก์ ารเข้าถงึ ของผ้ใู ช้งาน (Review of User Access Rights)
ต้องจัดให้มีกระบวนการทบทวนสิทธ์กิ ารเข้าถงึ ของผู้ใชง้ านระบบสารสนเทศและปรับปรุงบญั ชผี ู้ใช้งานอยา่ ง
นอ้ ยปีละ 1 ครั้ง หรือเม่อื มีการโยกย้าย เปล่ยี นตำแหน่ง ลาออก หรอื สิ้นสดุ การจ้างโดยปฏิบัตติ ามแนวทาง
ดังน้ี

(๑) พมิ พร์ ายช่ือของผู้ทีย่ ังมีสิทธ์ใิ นระบบแยกตามหนว่ ยงาน
(๒) จัดสง่ รายชื่อนน้ั ให้กับผบู้ งั คับบัญชาของหน่วยงานเพ่อื ดำเนินการทบทวนรายชอ่ื และ
สิทธิ์การเข้าใช้งานว่าถูกต้องหรือไม่
(๓) ดำเนนิ การแก้ไขข้อมลู สิทธ์ิตา่ ง ๆ ใหถ้ กู ต้องตามท่ีไดร้ ับแจง้ กลบั จากหน่วยงาน

6

ณ วันท่ี 3 พฤษภาคม 2565 กลมุ่ งานพฒั นายุทธศาสตร์สาธารณสขุ สำนักงานสาธารณสขุ จังหวัดสพุ รรณบรุ ี

(๔) ทบทวนสทิ ธกิ์ ารเข้าถงึ ของผู้ใช้งานอยา่ งน้อยปลี ะ 1 ครั้ง และทบทวนสำหรับผทู้ ม่ี ี
สทิ ธใ์ิ นระดบั สงู ด้วยความถ่มี ากกวา่ ผู้ใชง้ าน

(๕) เมือ่ เจ้าหน้าท่ีมีการโยกยา้ ย เปลย่ี นตำแหนง่ ลาออก สิน้ สุดการจ้างงาน หรือเปล่ยี น
หนา้ ท่ีความรบั ผิดชอบในระบบทข่ี อสิทธ์ิการใชง้ าน ให้ถอดถอนสทิ ธภ์ิ ายใน 1 – 2 วันทำการ

ขอ้ ๑๑. การบริหารจดั การรหัสผ่านสำหรบั ผู้ใช้งาน
(๑) กำหนดการเปล่ียนแปลงและการยกเลิกรหัสผา่ น (Password) เมอ่ื ผ้ใู ช้งานลาออก

หรอื พ้นจากตำแหน่ง หรือยกเลิกการใช้งาน
(๒) กำหนดชื่อผใู้ ช้งานหรือรหัสผใู้ ช้งานต้องไม่ซ้ำกัน
(๓) สง่ มอบรหสั ผ่าน (Password) ชวั่ คราวใหก้ บั ผ้ใู ช้งานด้วยวธิ กี ารท่ีปลอดภยั หลีกเลย่ี งการ

ใชบ้ คุ คลอื่นหรอื การสง่ จดหมายอเิ ล็กทรอนิกส์ (E-Mail) ทไี่ ม่มีการป้องกนั ในการสง่ รหสั ผา่ น (Password)
(๔) กำหนดใหผ้ ้ใู ช้งานตอบยืนยันการได้รบั รหัสผ่าน (Password)
(๕) กำหนดจำนวนคร้งั ทย่ี อมให้ผู้ใช้งานใสร่ หสั ผ่าน (Password) ผดิ พลาดได้ไม่เกิน ๓ ครั้ง
(๖) กำหนดให้ผู้ใช้งานไม่บนั ทึกหรอื เก็บรหสั ผ่าน (Password) ไว้ในระบบคอมพิวเตอร์

ในรปู แบบท่ีไมไ่ ดป้ อ้ งกนั การเขา้ ถงึ
ข้อ ๑๒. ผู้ดูแลระบบ ต้องบริหารจัดการการเข้าถึงข้อมลู ตามประเภทชัน้ ความลับ ในการควบคุมการ

เขา้ ถึงข้อมูลแต่ละประเภทชน้ั ความลับท้ังการเข้าถึงโดยตรงและการเข้าถึงผ่านระบบงาน รวมถึงวิธีการทำลาย
ข้อมูลแต่ละประเภทชน้ั ความลบั มีดงั ตอ่ ไปนี้

(๑) ผู้ดูแลระบบต้องกำหนดชั้นความลับของข้อมูล วิธีปฏิบัติในการจัดเก็บข้อมูล และวิธี
ปฏิบัติในการควบคุมการเข้าถึงข้อมูลแต่ละประเภทชั้นความลับทั้งการเข้าถึงโ ดยตรงและการเข้าถึงผ่าน
ระบบงาน รวมถงึ วธิ กี ารทำลายข้อมูลแต่ละประเภทช้นั ความลับหากขอ้ มลู มีความลบั

(๒) เจ้าของข้อมูลจะต้องมีการทบทวนความเหมาะสมของสิทธิ์ในการเข้าถึงข้อมูลของ
ผูใ้ ช้งานอยา่ งนอ้ ยปีละ ๑ ครงั้ เพ่อื ใหม้ ัน่ ใจไดว้ า่ สทิ ธต์ิ า่ ง ๆ ทใี่ หไ้ วย้ งั คงมีความเหมาะสม

(๓) ผู้ดูแลระบบควบคุมการเข้าถึงข้อมูลแต่ละประเภทชั้นความลับทั้งการเข้าถึงข้อมูล
โดยตรงและการเข้าถึงผ่านระบบงาน ผู้ดูแลระบบต้องกำหนดรายชื่อผู้ใช้งาน (User Account) และรหัสผ่าน
(Password) เพ่ือใช้ในการตรวจสอบตวั ตนจริงของผใู้ ชง้ านขอ้ มลู ในแต่ละช้นั ความลับข้อมลู

(๔) การรับสง่ ขอ้ มลู สำคญั ผ่านระบบเครอื ขา่ ยสาธารณะ ตอ้ งได้รับการเขา้ รหสั (Encryption)
ทเี่ ป็นมาตรฐานสากล ไดแ้ ก่ VPN

(๕) มีการกำหนดให้เปลย่ี นรหัสผา่ นตามระยะเวลาท่ีกำหนดของระดับความสำคัญของข้อมูล
ตามทีร่ ะบไุ วใ้ นเอกสาร “การใชง้ านรหสั ผา่ นผู้ใชง้ าน”

(๖) กำหนดมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลในกรณีที่นำสินทรัพย์ออกนอก
หนว่ ยงาน เชน่ บำรุงรักษา ตรวจซอ่ มให้ดำเนินการสำรองและลบขอ้ มูลที่เก็บอยู่ในส่ือบนั ทึกก่อน เป็นตน้

(๗) เจ้าของข้อมูลต้องมกี ารตรวจสอบความเหมาะสมของสทิ ธิในการเขา้ ถึงข้อมูลของผู้ใช้งาน
อย่างนอ้ ยปีละ ๑ ครงั้ เพ่ือให้มั่นใจได้ว่าสทิ ธ์ิต่าง ๆ ทใ่ี ห้ไว้ยงั คงมีความเหมาะสม

7

ณ วันท่ี 3 พฤษภาคม 2565 กล่มุ งานพฒั นายุทธศาสตร์สาธารณสขุ สำนกั งานสาธารณสขุ จังหวดั สุพรรณบุรี

(๘) หากมีการกระทำความผิดเกิดขึ้นจากชื่อผู้ใช้ (Username) และรหัสผ่าน (Password)
ของบุคคลใดบุคคลนั้น ต้องเป็นผู้รับผิดชอบต่อการกระทำความผิดนั้นตามกฎหมายระเบียบข้อบังคับที่
เก่ียวขอ้ ง

ข้อ ๑๓. ระบบงานสารสนเทศทางธุรกจิ ทเ่ี ชื่อมโยงกัน (Business Information Systems) ให้หวั หน้า
หน่วยงานพิจารณาประเด็นต่าง ๆ ทางด้านความมั่นคงปลอดภัย และจุดอ่อนต่าง ๆ ก่อนตัดสินใจใช้ข้อมูล
ร่วมกันในระบบงาน หรือระบบเทคโนโลยีสารสนเทศที่จะเชื่อมโยงเข้าด้วยกัน เช่น ระหว่างสำนักงาน
สาธารณสขุ จงั หวัดสพุ รรณบรุ ี หรอื หนว่ ยงานทม่ี าขอเช่อื มโยง

(๑) กำหนดนโยบายและมาตรการเพื่อควบคุม ปอ้ งกนั และบรหิ ารจัดการการใช้ข้อมลู
รว่ มกัน

(๒) พิจารณาจำกดั หรือไมอ่ นุญาตการเข้าถงึ ข้อมูลส่วนบคุ คล
(๓) พจิ ารณาว่ามบี ุคลากรใดบ้างทีม่ สี ิทธ์หิ รือได้รบั อนุญาตใหเ้ ขา้ ใช้งาน
(๔) พจิ ารณาเร่ืองการลงทะเบียนผใู้ ช้งาน
(๕) ไม่อนญุ าตให้มีการใช้งานข้อมลู สำคัญหรือข้อมูลลับร่วมกนั ในกรณีทรี่ ะบบไม่มีมาตรการ
ปอ้ งกันที่เพยี งพอ

ส่วนท่ี ๓ การกำหนดหน้าทคี่ วามรับผดิ ชอบของผ้ใู ช้งาน (User Responsibilities)
ข้อ ๑๔. การใช้งานรหัสผ่าน ผใู้ ช้งานตอ้ งปฏิบัติ ดังน้ี
(๑) ผใู้ ช้งานมีหน้าทีใ่ นการป้องกัน ดแู ล รักษาข้อมูลบญั ชีช่อื ผู้ใช้งาน (Username) และ
รหสั ผา่ น (Password) โดยผใู้ ช้งานแต่ละคนต้องมีบญั ชีชอื่ ผใู้ ชง้ าน (Username) ของ
ตนเอง หา้ มใชร้ ว่ มกับผูอ้ น่ื รวมทงั้ ห้ามทำการเผยแพร่ แจกจา่ ย ทำให้ผอู้ น่ื ลว่ งรู้
รหสั ผา่ น (Password)
(๒) กำหนดรหัสผ่านประกอบด้วยตวั อกั ษรไม่น้อยกวา่ ๘ ตัวอักษร ซง่ึ ต้องประกอบด้วย
ตวั เลข (Numerical Character) ตัวอกั ษร (Alphabet) และตัวอักษรพิเศษ (Special
Character)
(๓) หลีกเลยี่ งการต้ังรหัสผา่ นทอ่ี ย่บู นพืน้ ฐานท่ีสามารถเดาไดง้ า่ ย เช่น ชอ่ื หรือนามสกุล
ของตนเองหรือตรงกับคำในพจนานกุ รม
(๔) ไมใ่ ช้รหสั ผ่านสว่ นบคุ คลสำหรับการใชแ้ ฟ้มข้อมูลร่วมกับบคุ คลอนื่ ผา่ นเครือขา่ ย
คอมพวิ เตอร์
(๕) ไมใ่ ช้โปรแกรมคอมพวิ เตอรช์ ่วยในการจำรหสั ผา่ นสว่ นบุคคลอตั โนมัติ (Save
Password) สำหรบั เครื่องคอมพวิ เตอร์สว่ นบุคคลทผ่ี ้ใู ชง้ านครอบครองอยู่
(๖) ไมจ่ ดหรือบันทึกรหสั ผ่านส่วนบุคคลไว้ในสถานที่ ท่ีงา่ ยต่อการสงั เกตเหน็ ของบุคคลอื่น
(๗) กำหนดรหสั ผา่ นเรมิ่ ต้นให้กับผู้ใชง้ านใหย้ ากตอ่ การเดา และการสง่ มอบรหสั ผา่ น
ใหก้ ับผูใ้ ช้งานต้องเป็นไปอย่างปลอดภัย
(๘) ผู้ใช้งานต้องเปลยี่ นรหสั ผ่าน (Password) ไมเ่ กิน ๑๘๐ วนั หรอื ทุกครงั้ ทมี่ ี
การแจ้งเตือนให้เปลีย่ นรหสั ผ่าน

8

ณ วนั ท่ี 3 พฤษภาคม 2565 กลมุ่ งานพัฒนายุทธศาสตร์สาธารณสขุ สำนกั งานสาธารณสุขจังหวัดสพุ รรณบุรี

ขอ้ ๑๕. การนำการเข้ารหัส มาใช้กบั ข้อมูลทเ่ี ป็นความลับ ผู้ใช้งานจะต้องปฏิบัตติ ามระเบยี บการ
รกั ษาความลบั ทางราชการ พ.ศ. ๒๕๔๔ และตอ้ งใชว้ ิธีการเขา้ รหัส (Encryption) ที่เหมาะสมและเป็น
มาตรฐานสากล

ขอ้ ๑๖. การกระทำใด ๆ ท่เี กิดจากการใช้บัญชีของผู้ใช้งาน (Username) อนั มีกฎหมายกำหนดให้
เป็นความผิด ไมว่ ่าการกระทำนนั้ จะเกิดจากผูใ้ ช้งานหรือไม่ก็ตาม ใหถ้ ือวา่ เป็นความรบั ผิดชอบส่วนบคุ คล ซึ่ง
ผูใ้ ชง้ านจะตอ้ งรับผดิ ชอบต่อความผิดท่ีเกดิ ขึ้นเอง

ข้อ ๑๗. ผู้ใช้งานต้องทำการพิสูจน์ตัวตนทุกครั้งก่อนที่จะใช้สินทรัพย์หรือระบบสารสนเทศของ
หนว่ ยงาน และหากการพสิ จู นต์ ัวตนนนั้ มปี ญั หา ไม่ว่าจะเกิดจากรหัสผ่านลอ็ กก็ดีหรอื เกิดจากความผดิ พลาดใด
ๆ ก็ดีผู้ใชง้ านต้องแจ้งใหผ้ ดู้ แู ลระบบทราบทนั ทโี ดยปฏบิ ตั ิตามแนวทาง ดังนี้

(๑) คอมพวิ เตอรท์ ุกประเภท การเขา้ ถึงระบบปฏิบัติการต้องทำการพิสูจน์ตวั ตนทกุ ครัง้
(๒) การใช้งานระบบคอมพิวเตอรอ์ ืน่ ในเครือขา่ ยจะตอ้ งทำการพสิ ูจนต์ ัวตนทุกครง้ั
(๓) การใช้งานอนิ เทอรเ์ นต็ (Internet) ตอ้ งทำการพิสจู นต์ ัวตน และต้องมกี ารบนั ทึก
ขอ้ มลู ซ่ึงสามารถบ่งบอกตวั ตนบคุ คลผใู้ ช้งานได้
(๔) เมอื่ ผใู้ ชง้ านไม่อย่ทู เี่ ครื่องคอมพิวเตอรต์ ้องทำการล็อกหนา้ จอทุกคร้งั และตอ้ งทำการ
พสิ ูจนต์ ัวตนก่อนการใชง้ านทุกครั้ง
(๕) ผู้ใช้งานตอ้ งต้ังเวลาพักหน้าจอ (Screen Saver) หลงั จากไม่ไดใ้ ช้งานเปน็ เวลา 10
นาที และต้องใส่รหสั ผ่าน (Password) ใหถ้ ูกต้องจึงจะสามารถเปดิ หน้าจอได้
ข้อ ๑๘. ผใู้ ช้งานต้องตระหนกั และระมดั ระวังต่อการใช้งานข้อมูล ไมว่ ่าข้อมูลนนั้ จะเปน็ ของสำนักงาน
สาธารณสุขจงั หวัดสพุ รรณบรุ ี หรือเป็นข้อมูลของบคุ คลภายนอก
ข้อ ๑๙. เอกสารที่เป็นความลับหรือมีระดับความสำคัญ ซึ่งพิมพ์ออกจากเครื่องพิมพ์ (Printer)
ตลอดจนข้อมูลที่เป็นความลับในรูปอิเล็กทรอนิกส์ ผู้ใช้งานต้องปฏิบัติให้เป็นไปตามระเบียบสำนัก
นายกรัฐมนตรีว่าดว้ ยการรกั ษาความลบั ของทางราชการ ดังนี้
(๑) จดั หมวดหมู่เอกสารทีเ่ ปน็ ความลับหรอื ท่ีมีระดบั ความสำคญั สูงไว้ต่างหาก
(๒) จัดเก็บและกำหนดวิธีการป้องกันท่มี ีความปลอดภยั อย่างเพยี งพอ
(๓) การเผยแพร่ เปลี่ยนแปลง ทำซ้ำ หรอื ทำลาย ต้องได้รับอนญุ าตจากหวั หนา้
หนว่ ยงาน หรือผู้ท่เี ป็นเจ้าของ
(๔) ตรวจสอบความถูกต้องของเอกสารก่อนนำไปใชง้ าน
(๕) ทำลายเอกสารท่ีเป็นความลบั หรือมรี ะดับความสำคัญสงู เม่ือหมดความจำเปน็ ในการ
ใช้งาน
ขอ้ ๒๐. ผใู้ ชง้ านมสี ่วนรว่ มในการดูแลรักษาและรบั ผิดชอบต่อข้อมูลของสำนักงานสาธารณสุขจังหวัด
สุพรรณบุรี และข้อมูลของผู้รับบริการ หากเกิดการสูญหาย โดยนำไปใช้ในทางที่ผิด การเผยแพร่โดยไม่ได้รับ
อนุญาต ผ้ใู ช้งานตอ้ งมีสว่ นร่วมในการรับผิดชอบตอ่ ความเสยี หายนัน้ ดว้ ย
ข้อ ๒๑. ผู้ใชง้ านต้องป้องกนั ดแู ล รกั ษาไวซ้ ่ึงความลบั ความถกู ต้อง และความพรอ้ มใชข้ องข้อมลู
ตลอดจนเอกสาร สื่อบันทึกข้อมูลคอมพิวเตอร์ หรือสารสนเทศต่าง ๆ ที่เสี่ยงต่อการเข้าถึงโดยผู้ซึ่งไม่มีสิทธ์ิ
ข้อ ๒๒. ผู้ใช้งานมีสิทธิ์โดยชอบธรรมที่จะเก็บรักษา ใช้งาน และป้องกันข้อมูลส่วนบุคคลตาม

9

ณ วันที่ 3 พฤษภาคม 2565 กลุ่มงานพฒั นายุทธศาสตรส์ าธารณสุข สำนักงานสาธารณสขุ จังหวดั สุพรรณบรุ ี

เห็นสมควร สำนักงานสาธารณสุขจังหวัดสุพรรณบรุ ี จะให้การสนับสนุนและเคารพต่อสิทธิส่วนบุคคล และไม่
อนุญาตให้บุคคลหนึ่งบุคคลใดทำการละเมิดตอ่ ข้อมูลส่วนบุคคลโดยไม่ได้รับอนญุ าตจากผู้ใช้งานที่ครอบครอง
ขอ้ มูลน้ัน ยกเวน้ ในกรณีทีส่ ำนักงานสาธารณสุขจงั หวัดสุพรรณบรุ ี ตอ้ งการตรวจสอบข้อมูล หรือคาดว่าข้อมูล
น้นั เกยี่ วขอ้ งกบั สำนักงานสาธารณสขุ จังหวัดสุพรรณบุรี ซ่ึงสำนักงานสาธารณสขุ จงั หวดั สุพรรณบุรี อาจแต่งต้ัง
ให้ผู้ทำหน้าทต่ี รวจสอบ ทำการตรวจสอบขอ้ มูลเหล่านัน้ ได้ตลอดเวลา โดยไม่ตอ้ งแจ้งให้ผูใ้ ช้งานทราบ

ข้อ ๒๓. ห้ามเปิดหรือใช้งาน (Run) โปรแกรมประเภท Peer-to-Peer (หมายถึง วิธีการจัดเครือข่าย
คอมพิวเตอร์แบบหน่ึง ที่กำหนดให้คอมพิวเตอรใ์ นเครือข่ายทุกเคร่ืองเหมือนกันหรือเท่าเทียมกัน หมายความ
ว่าแต่ละเครื่องต่างมีโปรแกรมหรือมีแฟ้มข้อมูลเก็บไว้เอง การจัดแบบนี้ทำให้สามารถใช้โปรแกรมหรือ
แฟ้มข้อมูลของคอมพิวเตอร์เครื่องใดก็ได้ แทนที่จะต้องใช้จากเครื่องบริการแฟ้ม (File Server) เท่านั้น) หรือ
โปรแกรมที่มีความเสี่ยงในระดับเดยี วกัน เช่น บิตทอร์เรนต์ (BitTorrent) หรือ อีมูล (Emule) เป็นต้น เว้นแต่
จะไดร้ บั อนุญาตจากหวั หนา้ หน่วยงาน

ข้อ ๒๔. หา้ มเปิดหรือใช้งาน (Run) โปรแกรมออนไลน์ทุกประเภท เพ่ือความบนั เทิง เช่น การดูหนัง
ฟังเพลง เกม เปน็ ต้น ในระหวา่ งเวลาปฏบิ ตั ิราชการ

ขอ้ ๒๕. หา้ มใชส้ ินทรัพย์ของหนว่ ยงาน ท่จี ัดเตรยี มให้ เพ่อื การเผยแพร่ ขอ้ มลู ขอ้ ความ รปู ภาพ หรือ
สิ่งอื่นใด ที่มีลักษณะขัดต่อศีลธรรม ความมั่นคงของประเทศ กฎหมาย หรือกระทบต่อภารกิจของสำนักงาน
สาธารณสุขจงั หวดั สุพรรณบรุ ี

ข้อ ๒๖. ห้ามใช้สินทรัพย์ของหน่วยงาน เพื่อการรบกวน ก่อให้เกิดความเสียหาย หรือใช้ในการ
โจรกรรมข้อมูล หรือสิ่งอื่นใดอันเป็นการขัดต่อกฎหมายและศีลธรรม หรือกระทบต่อภารกิจของสำนักงาน
สาธารณสุขจังหวดั สพุ รรณบรุ ี

ข้อ ๒๗. ห้ามใชส้ ินทรพั ยข์ องสำนกั งานสาธารณสุขจังหวัดสุพรรณบุรี เพอื่ ประโยชน์ทางการค้า
ขอ้ ๒๘. หา้ มกระทำการใด ๆ เพ่อื การดักข้อมูล ไมว่ า่ จะเป็นข้อความ ภาพ เสียง หรอื สง่ิ อ่นื ใด ใน
เครือข่ายระบบสารสนเทศของสำนักงานสาธารณสุขจงั หวัดสุพรรณบุรี โดยเดด็ ขาด ไมว่ า่ จะดว้ ยวธิ ีการใด ๆ ก็
ตาม
ขอ้ ๒๙. ห้ามกระทำการรบกวน ทำลาย หรอื ทำใหร้ ะบบสารสนเทศของหน่วยงานต้องหยุดชะงัก

สว่ นท่ี ๔ การบริหารจัดการสินทรัพย์ (Assets Management)
ขอ้ ๓๓. ผ้ใู ชง้ านต้องไม่เข้าไปในศนู ย์ปฏบิ ัตกิ ารข้อมลู อเิ ล็กทรอนิกส์ (Data Center หมายถึง สถานท่ี

ที่ใช้สำหรับตดิ ตั้งเครื่องคอมพิวเตอร์แม่ข่ายและ/หรืออุปกรณ์บริหารจัดการเครือข่าย) ที่เป็นเขตหวงห้ามโดย
เด็ดขาด เว้นแต่ได้รบั อนญุ าตจากผู้ดูแลระบบ

ข้อ ๓๔. ผู้ใช้งานต้องไม่นำอุปกรณ์หรือชิ้นส่วนใดออกจากห้องปฏิบัติการเครือข่ายคอมพิวเตอร์ เว้น
แตจ่ ะได้รบั อนุญาตจากผูด้ ูแลระบบ

ข้อ ๓๕. ผ้ใู ชง้ านตอ้ งไมน่ ำเครอื่ งมือ หรืออุปกรณอ์ ื่นใด เช่ือมเข้าเครอื ขา่ ยเพ่อื การประกอบธุรกิจส่วน
บคุ คล

ข้อ ๓๖. ผู้ใช้งานตอ้ งไม่คัดลอกหรอื ทำสำเนาแฟม้ ข้อมลู ท่ีมีลิขสทิ ธ์ิกำกบั การใชง้ าน กอ่ นไดร้ บั อนุญาต
และผู้ใชง้ านต้องไม่ใช้ หรือลบแฟม้ ขอ้ มลู ของผู้อนื่ ไมว่ า่ กรณีใด ๆ

10

ณ วันที่ 3 พฤษภาคม 2565 กลมุ่ งานพฒั นายุทธศาสตร์สาธารณสุข สำนักงานสาธารณสุขจังหวัดสุพรรณบุรี

ข้อ ๓๗. ผู้ใช้งานต้องทำลายข้อมูลสำคัญในอุปกรณ์สื่อบันทึกข้อมูล แฟ้มข้อมูล ก่อนที่จะกำจัด
อปุ กรณ์ดังกล่าว และใชเ้ ทคนคิ ในการลบหรอื เขียนขอ้ มลู ทับบนข้อมูลที่มีความสำคญั ในอปุ กรณส์ ำหรับจัดเกบ็
ข้อมูลก่อนที่จะอนุญาตให้ผู้อื่นนำอุปกรณ์น้ันไปใช้งานต่อ เพื่อป้องกันไม่ให้มีการเข้าถึงข้อมูลสำคัญและข้อมูล
อยู่ในภาวะซึ่งเสี่ยงต่อการเข้าถึงโดยผู้ซึ่งไม่มีสิทธิ์นั้นได้และพิจารณาวิธีการทำลายข้อมูลบนสื่อบันทึกข้อมูล
แตล่ ะประเภท ดงั น้ี

ประเภทส่อื บันทึกขอ้ มลู วธิ ที ำลาย
กระดาษ
Flash Drive ใชก้ ารหั่นด้วยเครอ่ื งห่ันทำลายเอกสาร
- ให้การทำลายข้อมูลบน Flash Drive ตามมาตรฐาน DOD
แผ่น CD/DVD ๕๒๒๐.๒๒ M ของกระทรวงกลาโหมสหรฐั อเมริกา ซึ่งเปน็
เทป มาตรฐานการทำลายขอ้ มลู โดยการเขียนทบั ขอ้ มูลเดมิ หลายรอบ
ฮารด์ ดสิ ก์ - ใช้วธิ ีการทุบหรอื บดให้เสียหาย
ใช้การหน่ั ด้วยเครื่องหน่ั ทำลายเอกสาร
ใชว้ ิธีการทบุ หรอื บดใหเ้ สียหาย หรอื เผาท าลาย
- ใช้การทำลายข้อมูลบนฮารด์ ดิสกต์ ามมาตรฐาน DOD
๕๒๒๐.๒๒ M ของกระทรวงกลาโหมสหรัฐอเมริกา ซ่งึ เปน็
มาตรฐานการทำลายขอ้ มูลโดยการเขียนทบั ข้อมูลเดมิ หลายรอบ
- ใช้วธิ กี ารทุบหรอื บดให้เสียหาย

ข้อ ๓๘. ผู้ใช้งานมีหน้าที่ต้องรับผิดชอบต่อสินทรัพย์ที่หน่วยงานมอบไว้ให้ใช้งานเสมือนหนึ่งเป็น
สินทรัพย์ของผู้ใช้งานเอง โดยบรรดารายการสินทรัพย์ (Asset lists) ที่ผู้ใช้งานต้องรับผิดชอบ การรับหรือคืน
สินทรัพย์ จะถกู บันทึกและตรวจสอบทุกคร้ังโดยเจา้ หนา้ ทที่ ่หี น่วยงานมอบหมาย

ข้อ ๓๙. ผู้ใช้งานต้องไม่ให้ผู้อื่นยืมสินทรัพย์ ไม่ว่าในกรณีใด ๆ เว้นแต่การยืมนั้นได้รับการอนุมัติเป็น
ลายลกั ษณอ์ ักษรจากหัวหนา้ หนว่ ยงาน

ข้อ ๔๐. กรณีทำงานนอกสถานที่ผู้ใช้งานต้องดูแลและรับผิดชอบสินทรัพย์ของหน่วยงานที่ได้รับ
มอบหมาย

ข้อ ๔๑. ผู้ใช้งานมีหน้าที่ต้องชดใช้ค่าเสียหายไม่ว่าทรัพย์สินนั้นจะชำรุด หรือสูญหายตามมูลค่า
ทรัพยส์ ิน หากความเสยี หายน้ันเกิดจากความประมาทของผ้ใู ชง้ าน

ขอ้ ๔๒. ผู้ใชง้ านมสี ิทธใิ์ ช้สนิ ทรัพย์และระบบสารสนเทศต่าง ๆ ทีห่ นว่ ยงานจดั เตรียมไว้ให้ใชง้ าน โดย
มีวัตถุประสงค์เพื่อการใช้งานของหน่วยงานเท่านั้น ห้ามมิให้ผู้ใช้งานนำสินทรัพย์และระบบสารสนเทศต่าง ๆ
ไปใช้ในกิจกรรมที่หน่วยงานไม่ได้กำหนด หรือทำให้เกิดความเสียหายต่อสำนักงานสาธารณสุขจังหวัด
สพุ รรณบรุ ี

ข้อ ๔๓. ความเสียหายใด ๆ ที่เกิดจากการละเมิดตามข้อ ๔๒ ให้ถือเป็นความผิดส่วนบุคคลโดย
ผูใ้ ชง้ านต้องรบั ผิดชอบตอ่ ความเสียหายท่เี กดิ ขน้ึ

11

ณ วนั ที่ 3 พฤษภาคม 2565 กล่มุ งานพฒั นายุทธศาสตรส์ าธารณสุข สำนกั งานสาธารณสุขจังหวัดสุพรรณบรุ ี

สว่ นท่ี ๕ การควบคุมการเขา้ ถงึ เครอื ขา่ ย (Network Access Control)
ข้อ ๔๔. มาตรการควบคมุ การเข้า-ออก หอ้ งควบคุมระบบเครือข่าย
(๑) ผู้ตดิ ตอ่ จากหนว่ ยงานภายนอกทุกคน ต้องทำการลงบันทึกข้อมูลลงในสมุดบนั ทึก ตามท่ี

ระบไุ ว้ในเอกสาร “บันทึกการเขา้ ออกห้องควบคุมระบบเครือขา่ ย”
(๒) ผู้ติดต่อจากหน่วยงานภายนอก ที่นำอุปกรณ์คอมพิวเตอร์ หรืออุปกรณ์ที่ใช้ในการ

ปฏิบัติงานมาปฏิบัติงานที่ห้องควบคุมระบบเครือข่าย ต้องลงบันทึกรายการอุปกรณ์ ในแบบฟอร์มการขอ
อนุญาตเข้าออกตามท่ีระบไุ วใ้ นเอกสาร “บนั ทกึ การเข้าออกห้องควบคุมระบบเครือขา่ ย” ใหถ้ ูกต้องชัดเจน

(๓) ผู้ดูแลระบบ ต้องตรวจสอบความถูกต้องของข้อมูลในสมุดบันทึก แบบฟอร์มการขอ
อนุญาตเข้าออกหอ้ งควบคมุ ระบบเครือขา่ ยเป็นประจำทุกเดือน

ข้อ ๔๕. ผู้ใช้งานจะนำเคร่ืองคอมพิวเตอร์ อุปกรณ์มาเชื่อมตอ่ กับเครื่องคอมพิวเตอร์ ระบบเครือข่าย
ของหนว่ ยงาน ต้องได้รบั อนุญาตจากหวั หน้าหน่วยงานและต้องปฏบิ ตั ิตามนโยบายนโ้ี ดยเคร่งครดั โดยผู้ใช้งาน
ต้องกรอกแบบฟอรม์ “การขอเช่อื มต่อเครอื ขา่ ย”

ขอ้ ๔๖. การขออนญุ าตใชง้ านพ้ืนท่ี Web Server ช่อื โดเมนย่อย (Sub Domain Name) ที่หนว่ ยงาน
รับผิดชอบอยู่ จะต้องทำหนังสือขออนุญาตต่อหัวหน้าหน่วยงาน และจะต้องไม่ติดตั้งโปรแกรมใด ๆ ที่ส่งผล
กระทบต่อการกระทำของระบบและผใู้ ช้งานอื่น ๆ

ข้อ ๔๗. ห้ามผู้ใดกระทำการเคลื่อนย้าย ติดตั้งเพิ่มเติมหรือทำการใด ๆ ต่ออุปกรณ์ส่วนกลาง ได้แก่
อุปกรณ์จัดเส้นทาง (Router) อุปกรณ์กระจายสญั ญาณข้อมูล (Switch) อุปกรณ์ที่เชือ่ มต่อกับระบบเครอื ข่าย
หลักโดยไมไ่ ดร้ ับอนญุ าตจากผู้ดูแลระบบ

ขอ้ ๔๘. ผูด้ ูแลระบบ ตอ้ งควบคมุ การเข้าถึงระบบเครือข่าย เพอ่ื บรหิ ารจัดการระบบเครือข่ายได้อย่าง
มปี ระสิทธิภาพ ดงั ตอ่ ไปน้ี

(๑) ต้องจำกัดสิทธิ์การใช้งานเพื่อควบคุมผู้ใช้งานให้สามารถใช้งานเฉพาะระบบเครือข่ายท่ี
ไดร้ บั อนญุ าตเท่านั้น

(๒) ต้องจำกดั เส้นทางการเข้าถงึ ระบบเครือข่ายที่มีการใช้งานรว่ มกนั
(๓) ต้องจำกดั การใช้เส้นทางบนเครือข่ายจากเคร่ืองคอมพวิ เตอร์ไปยังเคร่ืองคอมพิวเตอร์แม่
ขา่ ยเพ่ือไมใ่ หผ้ ู้ใช้งานสามารถใชเ้ สน้ ทางอืน่ ๆ ได้
(๔) ระบบเครือขา่ ยท้งั หมดของหน่วยงานท่มี กี ารเชื่อมต่อไปยังระบบเครือข่ายอ่ืน ๆ ภายนอก
หน่วยงานต้องเชื่อมต่อผ่านอุปกรณ์ป้องกันการบุกรุก รวมทั้งต้องมีความสามารถในการตรวจจับโปรแกรม
ประสงค์รา้ ย (Malware) ด้วย
(๕) ระบบเครือข่ายต้องติดตั้งระบบตรวจจับการบุกรุก ( Intrusion Prevention
System/Intrusion Detection System) เพื่อตรวจสอบการใชง้ านของบคุ คลที่เข้าใช้งานระบบเครือข่ายของ
หน่วยงานในลกั ษณะท่ผี ิดปกติ
(๖) การเข้าสู่ระบบเครือข่ายภายในหน่วยงาน โดยผ่านทางระบบอินเทอร์เน็ตจำเป็นต้องมี
การลงบันทึกเข้าใช้งาน (Login) โดยแสดงตัวตนด้วยชื่อผู้ใช้งาน และต้องมีการพิสูจน์ยืนยันตัวตน
Authentication) ด้วยการใช้รหสั ผ่าน เพื่อตรวจสอบความถกู ต้องของผูใ้ ชง้ านกอ่ นทกุ คร้ัง

12

ณ วนั ที่ 3 พฤษภาคม 2565 กลุ่มงานพฒั นายุทธศาสตรส์ าธารณสุข สำนักงานสาธารณสขุ จังหวัดสพุ รรณบุรี

(๗) ต้องป้องกันมิให้หน่วยงานภายนอกที่เชื่อมต่อสามารถมองเห็น IP Address ภายในของ
ระบบเครือขา่ ยภายในของหนว่ ยงาน

(๘) ต้องจัดทำแผนผงั ระบบเครอื ข่าย (Network Diagram) ซึ่งมีรายละเอยี ดเกีย่ วกบั ขอบเขต
ของระบบเครอื ขา่ ยภายในและเครือข่ายภายนอก และอปุ กรณ์ต่าง ๆ พร้อมท้งั ปรบั ปรุงให้เปน็ ปัจจบุ นั อย่เู สมอ

(๙) การระบุอปุ กรณ์บนเครือขา่ ย
- ผู้ดูแลระบบมีการเก็บบัญชีการขอเชื่อมต่อเครือข่าย ได้แก่ รายชื่อผู้ขอใช้บริการ
รายละเอยี ด เครือ่ งคอมพวิ เตอร์ทีข่ อใช้บริการ IP Address และสถานท่ตี ดิ ตงั้
- อุปกรณ์ที่นำมาเชื่อมต่อจะได้รับหมายเลข IP Address ตามที่กำหนดโดยผู้ดูแลระบบ
เครือข่าย
- ผูด้ ูแลระบบต้องจำกัดผู้ใชง้ านทส่ี ามารถเข้าใชอ้ ุปกรณ์ได้
- กรณีอุปกรณ์ที่มีการเชื่อมต่อจากเครือข่ายภายนอก ต้องมีการระบุหมายเลขอุปกรณ์ว่า
สามารถเข้าเชือ่ มตอ่ กับเครอื ขา่ ยภายในได้หรือไม่สามารถเชือ่ มต่อได้
- อปุ กรณ์เครือข่ายต้องสามารถตรวจสอบ IP Address ของทั้งต้นทางและปลายทางได้
- ผู้ขอใช้บริการต้องกรอกแบบฟอร์ม “การขอเชื่อมต่อเครือข่าย” ที่กลุ่มงานพัฒนา
ยทุ ธศาสตร์สาธารณสขุ
- การเข้าใช้งานอปุ กรณบ์ นเครือขา่ ยต้องทำการพสิ จู น์ตวั ตนทกุ ครงั้ ท่ใี ช้อุปกรณ์
(๑๐) กำหนดระยะเวลาผู้ใช้งานที่อยู่ในระบบเครือข่ายให้ออกจากระบบเครือข่ายเมื่อ เว้น
ว่างจากการใชง้ านเป็นเวลานาน
ข้อ ๔๙. ผู้ดูแลระบบ ต้องบริหารควบคุมเครื่องคอมพิวเตอร์แม่ข่าย (Server) และรับผิดชอบในการ
ดแู ลระบบคอมพิวเตอร์แมข่ า่ ย (Server) ในการกำหนดแก้ไข หรือเปลี่ยนแปลงค่าตา่ ง ๆ ของซอฟตแ์ วร์ระบบ
(Systems Software)
ข้อ ๕๐. การติดตั้งหรือปรับปรุงซอฟต์แวรข์ องระบบงานต้องมีการขออนุมัติจากผู้ดแู ลระบบใหต้ ิดตั้ง
กอ่ นดำเนินการ
ขอ้ ๕๑. กำหนดให้มีการจดั เก็บซอรส์ โคด้ ไลบราร่ี และเอกสารสำหรบั ซอฟต์แวร์ของระบบงาน ไว้ใน
สถานทีท่ ่มี คี วามม่นั คงปลอดภยั
ข้อ ๕๒. การจัดเก็บข้อมูลจราจรทางคอมพิวเตอร์ (Log) เพื่อให้ข้อมูลจราจรทางคอมพิวเตอร์ มี
ความถูกต้องและสามารถระบุถึงตัวบุคคลได้ตามแนวทาง พ.ร.บ. ว่าด้วยการกระทำความผิดเกี่ยวกับ
คอมพิวเตอร์ พ.ศ. ๒๕๖๐
ขอ้ ๕๓. กำหนดมาตรการควบคุมการใช้งานระบบเครอื ข่ายและเครื่องคอมพิวเตอร์แม่ข่าย (Server)
จากผู้ใชง้ านภายนอกหนว่ ยงาน เพอ่ื ดแู ลรักษาความปลอดภัยของระบบ ตามแนวทางปฏบิ ัตดิ งั ต่อไปน้ี
(๑) บุคคลจากหน่วยงานภายนอกที่ต้องการสิทธิ์ในการเข้าใช้งานระบบเครือข่ายและเครื่อง
คอมพิวเตอร์แม่ข่าย (Server) ของหน่วยงานจะต้องทำเรื่องขออนุญาตเป็นลายลักษณ์อักษร เพื่อขออนุญาต
จากหัวหนา้ หนว่ ยงาน
(๒) มีการควบคุมช่องทาง (Port) ทใ่ี ชใ้ นการเข้าส่รู ะบบอย่างรดั กุม

13

ณ วันท่ี 3 พฤษภาคม 2565 กลมุ่ งานพฒั นายุทธศาสตร์สาธารณสุข สำนักงานสาธารณสขุ จังหวดั สุพรรณบรุ ี

(๓) วธิ ีการใด ๆ ที่สามารถเขา้ สู่ขอ้ มลู หรือระบบขอ้ มูลไดจ้ ากระยะไกลตอ้ งได้รับการอนุญาต
จากหัวหน้าหน่วยงาน

(๔) การเข้าส่รู ะบบจากระยะไกล ผใู้ ช้งานตอ้ งแสดงหลักฐาน ระบุเหตผุ ลหรือความจำเป็นใน
การดำเนนิ งานกับหน่วยงานอยา่ งเพยี งพอ

(๕) การเข้าสู่ระบบเครือข่ายภายในและระบบสารสนเทศในหน่วยงานจากระยะไกลต้องมี
การลงบันทึกเข้าใช้งาน (Login) โดยแสดงตัวตนด้วยชื่อผู้ใช้งาน และต้องมีการพิสูจน์ยืนยันตัวตน
(Authentication) ด้วยการใชร้ หสั ผ่าน เพอ่ื ตรวจสอบความถกู ตอ้ งของผู้ใชง้ านก่อนทุกครง้ั

ขอ้ ๕๔. กำหนดใหม้ ีการแบง่ แยกเครือข่าย ดังตอ่ ไปน้ี
(๑) Internet แบ่งแยกเครือข่ายเป็นเครือข่ายย่อย ๆ ตามอาคารต่าง ๆ เพื่อควบคุมการ

เขา้ ถงึ เครอื ขา่ ยโดยไม่ไดร้ ับอนุญาต
(๒) Intranet แบง่ เครอื ข่ายภายในและเครือข่ายภายนอก เพ่อื ความปลอดภยั ในการใชง้ าน

ระบบสารสนเทศภายใน
ข้อ ๕๕. กำหนดการป้องกันเครือขา่ ยและอุปกรณต์ ่าง ๆ ทเ่ี ชือ่ มต่อกบั ระบบเครอื ข่ายอย่างชดั เจน

และตอ้ งทบทวนการกำหนดคา่ Parameter ตา่ ง ๆ เชน่ IP Address อย่างนอ้ ยปลี ะ ๑ คร้ัง นอกจากน้ี
การกำหนดแก้ไขหรอื เปล่ยี นแปลงค่า Parameter ตอ้ งแจง้ บคุ คลทเ่ี ก่ียวขอ้ งใหร้ ับทราบทกุ ครั้ง

ข้อ ๕๖. ระบบเครือข่ายทั้งหมดที่มีการเชื่อมต่อไปยังระบบเครือข่ายอื่น ๆ ภายนอกหน่วยงานต้อง
เชื่อมต่อผ่านอุปกรณ์ป้องกันการบุกรุกหรือโปรแกรมในการท า Packet Filtering เช่น การใช้ไฟร์วอลล์
(Firewall) หรอื ฮารด์ แวร์อน่ื ๆ รวมทง้ั ต้องมีความสามารถในการตรวจจับมัลแวร์ (Malware) ดว้ ย

ข้อ ๕๗. ตอ้ งมีการติดต้ังระบบตรวจจบั การบุกรุก (IPS/IDS) เพือ่ ตรวจสอบการใช้งานของบุคคลที่เข้า
ใช้งานระบบเครือข่ายของหน่วยงาน ในลักษณะที่ผิดปกติ โดยมีการตรวจสอบการบุกรุกผ่านระบบเครือข่าย
การใช้งานในลักษณะที่ผิดปกติ และการแก้ไขเปลี่ยนแปลงระบบเครือข่าย โดยบุคคลที่ไม่มีอำนาจหน้าท่ี
เกยี่ วขอ้ ง

ข้อ ๕๘. IP Address ของระบบงานเครือขา่ ยภายในจำเป็นต้องมีการป้องกนั มิให้หนว่ ยงานภายนอก
ทเ่ี ชอ่ื มต่อสามารถมองเห็นได้ เพอื่ เปน็ การป้องกันไม่ใหบ้ ุคคลภายนอกสามารถรู้ขอ้ มลู เกยี่ วกบั โครงสร้างของ
ระบบเครือขา่ ยได้โดยง่าย

ข้อ ๕๙. การใช้เครื่องมือต่าง ๆ (Tools) เพื่อการตรวจสอบระบบเครือข่ายต้องได้รับการอนุมัติจาก
ผู้ดูแลระบบและจำกดั การใชง้ านเฉพาะเทา่ ท่จี ำเป็น

14

ณ วนั ที่ 3 พฤษภาคม 2565 กล่มุ งานพฒั นายุทธศาสตรส์ าธารณสขุ สำนักงานสาธารณสุขจังหวดั สุพรรณบรุ ี

สว่ นท่ี ๖ การควบคุมการเข้าถงึ ระบบปฏบิ ตั กิ าร (Operating System Access Control)
ขอ้ ๖๐. ผดู้ แู ลระบบ ตอ้ งกำหนดการลงทะเบยี นบุคลากรใหมข่ องหน่วยงาน (โดยปฏิบตั ติ ามข้อ ๘)

ในการใชง้ านตามความจำเป็น รวมทง้ั ข้นั ตอนปฏิบตั สิ ำหรบั การยกเลิกสทิ ธ์ิการใช้งาน (โดยปฏิบตั ิตามขอ้ ๑๐)
เช่น การลาออก หรือการเปลย่ี นตำแหน่งงานภายในหนว่ ยงาน เปน็ ต้น

ขอ้ ๖๑. กำหนดขนั้ ตอนการปฏบิ ตั ิเพ่ือเข้าใชง้ าน
(๑) ผใู้ ช้งานตอ้ งกำหนดรหสั ผา่ นในการใช้งานเครอื่ งคอมพวิ เตอร์ท่รี ับผิดชอบ
(๒) หลังจากระบบติดตั้งเสร็จ ต้องมีระบบบริหารจัดการรหัสผ่าน ที่สามารถทำงานเชิง

โตต้ อบหรอื มีการทำงานในลักษณะอัตโนมตั ิซ่ึงเอื้อต่อการเปลี่ยนรหสั ผา่ นของผู้ใช้งานท่ีได้ถูกกำหนดไว้เร่ิมต้น
ทม่ี าพรอ้ มกับการตดิ ต้ังระบบโดยทนั ที

(๓) ผู้ใช้งานต้องตั้งค่าการใช้งานโปรแกรมถนอมหน้าจอ (Screen Saver) เพื่อทำการล็อก
หน้าจอภาพเมอื่ ไมม่ ีการใช้งาน หลงั จากนั้นเมอื่ ตอ้ งการใช้งาน ผ้ใู ชง้ านตอ้ งใส่รหสั ผา่ น (Password) เพื่อเข้าใช้
งาน

(๔) กอ่ นการเขา้ ใชร้ ะบบปฏิบตั ิการต้องทำการลงบนั ทกึ เขา้ ใช้งาน (Login) ทกุ ครัง้
(๕) ผู้ใช้งานต้องไม่อนุญาตให้ผู้อื่นใช้ชื่อผู้ใช้งาน (Username) และรหัสผ่าน (Password)
ของตนในการเข้าใช้งานเครอ่ื งคอมพิวเตอรข์ องหน่วยงานรว่ มกนั
(๖) ผู้ใช้งานต้องทำการลงบันทึกออก (Logout) ทันทีเมื่อเลิกใช้งานหรือไม่อยู่ที่หน้าจอเป็น
เวลานาน
(๗) ห้ามเปิดหรือใช้งานโปรแกรมประเภท Peer-to-Peer หรือโปรแกรมที่มีความเสี่ยง เว้น
แตจ่ ะไดร้ บั อนุญาตจากผดู้ แู ลระบบ
(๘) ซอฟต์แวร์ที่สำนักงานสาธารณสุขจังหวัดสุพรรณบุรีใช้ มีลิขสิทธิ์ผู้ใช้งานสามารถขอใช้
งานได้ตามหน้าทคี่ วามจำเปน็ และห้ามไม่ใหผ้ ู้ใช้งานทำการตดิ ตั้งหรือใชง้ านซอฟต์แวร์อื่นใดที่ไม่มีลิขสิทธิ์หาก
ตรวจพบ ถอื ว่าเป็นความผิดสว่ นบคุ คล ผูใ้ ช้งานรบั ผิดชอบแตเ่ พยี งผ้เู ดยี ว
(๙) ซอฟต์แวร์ที่สำนักงานสาธารณสุขจังหวัดสุพรรณบุรี จัดเตรียมไว้ให้ผู้ใช้งาน ถือเป็น
ส่ิงจำเป็น หา้ มมใิ หผ้ ใู้ ชง้ านทำการติดตั้ง ถอดถอน เปล่ียนแปลง แก้ไข หรอื ทำสำเนา เพื่อนำไปใช้งานทีอ่ น่ื
(๑๐) ห้ามใช้ทรัพยากรทุกประเภทที่เป็นของสำนักงานสาธารณสุขจังหวัดสุพรรณบุรีเพื่อ
ประโยชนท์ างการคา้
(๑๑) ห้ามผู้ใช้งานนำเสนอข้อมูลที่ผิดกฎหมาย ละเมิดลิขสิทธิ์แสดงข้อความรูปภาพไม่
เหมาะสม หรอื ขัดตอ่ ศลี ธรรม กรณผี ูใ้ ช้งานสรา้ งเวบ็ เพจบนเครอื ข่ายคอมพิวเตอร์
(๑๒) ห้ามผู้ใช้งานของหน่วยงาน ควบคุมคอมพิวเตอร์หรือระบบสารสนเทศภายนอก โดย
ไม่ได้รับอนญุ าตจากหวั หนา้ หน่วยงาน
ข้อ ๖๒. การระบุและยืนยันตัวตนของผู้ใช้งาน (User Identification and Authentication)
กำหนดให้ผู้ใช้งานแสดงตัวตนด้วยชื่อผู้ใช้งาน และต้องมีการพิสูจน์ยืนยันตัวตนด้วยการใช้ร หัสผ่าน เพ่ือ
ตรวจสอบความถูกตอ้ งของผใู้ ช้งานกอ่ นทุกคร้งั โดยปฏบิ ตั ิตามแนวทางทีก่ ำหนดไวใ้ นขอ้ ๑๑
ข้อ ๖๓. การใชง้ านโปรแกรมประเภทยทู ิลติ ้ี (Use of System Utilities) ต้องจำกดั และควบคุมการใช้
งาน โปรแกรมยูทิลิตี้สำหรับโปรแกรมคอมพิวเตอร์ที่สำคัญ เนื่องจากการใช้งานโปรแกรมยูทิลิตี้บางชนิด

15

ณ วนั ท่ี 3 พฤษภาคม 2565 กลุ่มงานพัฒนายุทธศาสตรส์ าธารณสขุ สำนักงานสาธารณสขุ จังหวัดสพุ รรณบรุ ี

สามารถทำให้ผู้ใชห้ ลีกเล่ียงมาตรการป้องกนั ทางดา้ นความมน่ั คงปลอดภัยของระบบได้ เพ่ือปอ้ งกันการละเมิด
หรอื หลกี เลี่ยงมาตรการความม่ันคงปลอดภยั ทีไ่ ดก้ ำหนดไว้หรอื ทมี่ ีอยูแ่ ล้ว ให้ดำเนนิ การ ดังน้ี

(๑) การใช้งานโปรแกรมยูทิลิตี้ต้องได้รับการอนุมัติจากผู้ดูแลระบบ และต้องมีการพิสูจน์
ยนื ยันตวั ตนสำหรับการเข้าไปใชง้ านโปรแกรมยูทิลติ ี้ เพ่ือจำกดั และควบคุมการใช้งาน

(๒) โปรแกรมยทู ลิ ิตท้ี ีน่ ำมาใช้งานต้องไมล่ ะเมิดลิขสทิ ธ์ิ
(๓) ต้องจัดเก็บโปรแกรมยูทลิ ติ ้อี อกจากซอฟต์แวรส์ ำหรับระบบงาน
(๔) มกี ารจำกดั สิทธิ์ผู้ท่ีได้รับอนุญาตใหใ้ ชง้ านโปรแกรมยทู ลิ ติ ้ี
(๕) ต้องยกเลิกหรือลบทิ้งโปรแกรมยูทิลิตีแ้ ละซอฟต์แวร์ท่ีเกย่ี วข้องกับระบบงานท่ีไม่มีความ
จำเป็นในการใชง้ าน รวมทงั้ ตอ้ งปอ้ งกันไม่ใหผ้ ใู้ ชง้ านสามารถเข้าถงึ หรอื ใช้งานโปรแกรมยูทิลิตี้ได้
ข้อ ๖๔. การกำหนดเวลาใชง้ านระบบสารสนเทศ (Session Time-out)
(๑) กำหนดให้ระบบสารสนเทศมีการตัดและหมดเวลาการใช้งาน เมื่อมีการว่างเว้นจากการ
ใชง้ าน เปน็ เวลา 30 นาทเี ป็นอยา่ งนอ้ ย ต้องยตุ ิการใชง้ านระบบสารสนเทศ (Session Time-out) นนั้
(๒) ระบบสารสนเทศที่มีความเสี่ยงหรือความสำคัญสูงให้กำหนดระยะเวลายุติการใช้งาน
ระบบเมอื่ วา่ งเว้นจากการใชง้ านให้สนั้ ขึ้นตามความเหมาะสม หรอื เปน็ เวลา 10 นาที
ขอ้ ๖๕. การจำกดั ระยะเวลาการเชื่อมต่อระบบสารสนเทศ (Limitation of Connection Time)
(๑) ต้องจำกดั ระยะเวลาในการเชื่อมต่อเพ่ือให้มีความม่ันคงปลอดภัยมากยิ่งขึ้นสำหรับระบบ
สารสนเทศ หรอื แอปพลเิ คชันทีม่ ีความเส่ียงหรอื มีความสำคัญสงู เพือ่ ใหม้ ีความมัน่ คงปลอดภยั ดังน้ี
- กำหนดระยะเวลาการเชื่อมต่อระบบเทคโนโลยีสารสนเทศและการสื่อสารสำหรับระบบ
สารสนเทศ หรือแอปพลิเคชันที่มีความเสี่ยง หรือมีความสำคัญสูงเพื่อให้ผู้ใช้งาน สามารถใช้งานได้นานที่ สุด
ภายในระยะเวลาที่กำหนดเทา่ น้นั โดยกำหนดให้ใช้ได้๓ ชว่ั โมงตอ่ การเชื่อมตอ่ ๑ ครง้ั
- กำหนดให้ระบบเทคโนโลยีสารสนเทศและการสื่อสารมีการจำกัดช่วงระยะเวลาการใช้งาน
มกี ารระบแุ ละพสิ จู น์ตวั ตน เพ่ือเข้าใช้งานใหมท่ ุกครั้ง
(๒) กำหนดให้ระบบสารสนเทศ ที่มีความสำคัญสูง ระบบงานที่มีการใช้งานในสถานที่ที่มี
ความเสี่ยง (ในที่สาธารณะหรือพื้นที่ภายนอกหน่วยงาน) มีการจำกัดช่วงระยะเวลาการเชื่อมต่อ ภายใน ๓๐
นาที

ส่วนที่ ๗ การควบคมุ การเข้าถงึ โปรแกรมประยุกต์หรือแอปพลิเคชันและสารสนเทศ (Application and
Information Access Control)

ข้อ ๖๖. ผู้ดูแลระบบ ต้องกำหนดการลงทะเบียนผู้ใช้งานใหม่ (โดยปฏิบัติตามข้อ ๘) ในการใช้งาน
ตามความจำเป็น รวมทั้งขั้นตอนปฏิบัติสำหรับการยกเลิกสิทธิ์การใช้งาน (โดยปฏิบัติตามข้อ ๑๐) เช่น การ
ลาออกหรอื การเปลยี่ นตำแหน่งงานภายในหน่วยงาน เป็นตน้

ข้อ ๖๗. ผู้ดูแลระบบ ต้องกำหนดสิทธิ์การใช้งานระบบเทคโนโลยีสารสนเทศที่สำคัญ เช่น ระบบ
คอมพิวเตอร์โปรแกรมประยุกต์ (Application) จดหมายอิเล็กทรอนิกส์(E-Mail) ระบบเครือข่ายไร้สาย
(Wireless LAN) ระบบอินเทอร์เน็ต (Internet) เป็นต้น โดยต้องให้สิทธิ์เฉพาะการปฏิบัติงานในหน้าที่ และ

16

ณ วนั ท่ี 3 พฤษภาคม 2565 กลุม่ งานพัฒนายุทธศาสตร์สาธารณสขุ สำนักงานสาธารณสขุ จังหวัดสพุ รรณบุรี

ต้องได้รับความเห็นชอบจากหัวหน้าหน่วยงานเป็นลายลักษณ์อักษร รวมทั้งต้องทบทวนสิทธิ์ดังกล่าว อย่าง
สมำ่ เสมอ

ข้อ ๖๘. ผู้ดูแลระบบ ต้องกำหนดระยะเวลาในการเชื่อมต่อระบบสารสนเทศ ที่ใช้ในการปฏิบัติงาน
ระบบสารสนเทศต่าง ๆ เมื่อผู้ใช้งานไม่มีการใช้งานระบบสารสนเทศ เกิน ๑๕ นาทีระบบจะยุติการใช้งาน
ผ้ใู ชง้ านต้องท าการการลงบนั ทึกเข้าใชง้ าน (Login) กอ่ นเข้าระบบสารสนเทศอีกครั้ง

ขอ้ ๖๙. ผูด้ ูแลระบบ ตอ้ งบรหิ ารจัดการสิทธิ์การใช้งานระบบและรหสั ผา่ นของบุคลากรดังตอ่ ไปน้ี
(๑) กำหนดการเปลี่ยนแปลงและการยกเลิกรหสั ผ่าน (Password) เมื่อผู้ใช้งานระบบลาออก

หรือพ้นจากตำแหนง่ หรือยกเลกิ การใชง้ าน
(๒) กำาหนดให้ผู้ใช้งานไม่บันทึกหรือเก็บรหัสผ่าน (Password) ไว้ในระบบคอมพิวเตอร์ใน

รูปแบบทไี่ มไ่ ด้ปอ้ งกนั การเข้าถึง
(๓) กำหนดชอื่ ผ้ใู ช้งานหรอื รหสั ผใู้ ชง้ านต้องไม่ซ้ำกัน
(๔) ในกรณีมคี วามจำเป็นต้องให้สิทธ์ิพิเศษกับผู้ใชง้ านท่ีมีสทิ ธ์ิสูงสุด ผู้ใช้งานนั้นจะต้องได้รับ

ความเห็นชอบและอนุมัติจากหัวหน้าหน่วยงาน โดยมีการกำหนดระยะเวลาการใช้งานและระงับการใช้งาน
ทนั ทเี มื่อพ้นระยะเวลาดังกล่าวหรือพ้นจากตำแหน่ง และมกี ารกำหนดสทิ ธิ์พเิ ศษท่ีได้รับว่าเข้าถึงได้ถึงระดับใด
ได้บา้ ง และต้องกำหนดให้รหสั ผู้ใชง้ านตา่ งจากรหสั ผู้ใชง้ านตามปกติ

ข้อ ๗๐. ผู้ดูแลระบบ ต้องบริหารจัดการการเข้าถึงข้อมูลตามประเภทชั้นความลับในการควบคุมการ
เขา้ ถึงข้อมูลแต่ละประเภทชน้ั ความลับท้ังการเข้าถึงโดยตรงและการเข้าถึงผ่านระบบงาน รวมถงึ วิธีการทำลาย
ข้อมลู แตล่ ะประเภทช้นั ความลับ ดังต่อไปน้ี

(๑) ต้องควบคุมการเข้าถึงข้อมูลแต่ละประเภทชั้นความลับทั้งการเข้าถึงโดยตรงและ การ
เขา้ ถงึ ผา่ นระบบงาน

(๒) ต้องกำหนดรายชื่อผู้ใช้งาน (Username) และรหัสผ่าน (Password) เพื่อใช้ในการ
ตรวจสอบตวั ตนจริงของผูใ้ ช้งานขอ้ มูล ในแต่ละชนั้ ความลบั ของข้อมูล

(๓) กำหนดระยะเวลาการใช้งานและระงบั การใช้งานทันทีเม่ือพน้ ระยะเวลาดงั กลา่ ว
(๔) การรับส่งข้อมลู สำคัญผา่ นระบบเครอื ขา่ ยสาธารณะ ควรได้รับการเขา้ รหสั
(Encryption) ทเี่ ป็นมาตรฐานสากล เช่น SSL, VPN หรอื XML Encryption เป็นตน้
(๕) กำหนดการเปลย่ี นรหสั ผ่าน (Password) ตามระยะเวลาทีก่ ำหนดของระดับความสำาคัญ
ของขอ้ มูล
(๖) กำหนดมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลในกรณีที่นำสินทรัพย์ออกนอก
หนว่ ยงาน เชน่ บำรงุ รกั ษา ตรวจซ่อม ใหด้ ำเนนิ การสำรองและลบข้อมลู ทเ่ี ก็บอยูใ่ นส่ือบันทึกก่อน เป็นตน้
(๗) ต้องสำรองข้อมูลและระบบ และทดสอบการกู้คืนข้อมูลและระบบอย่างสม่ำเสมอ โดย
กำหนดความถ่ใี นการดำเนนิ งานอยา่ งชดั เจนในแตล่ ะระบบ
(๘) ไมเ่ กบ็ ขอ้ มูลสำคัญขององค์การไวบ้ นอปุ กรณแ์ บบพกพา เว้นแตม่ คี วามจำเปน็ และขอ้ มูล
ดังกลา่ วจะตอ้ งมีการเขา้ รหัสข้อมลู ทเ่ี ปน็ มาตรฐาน

17

ณ วันที่ 3 พฤษภาคม 2565 กลมุ่ งานพัฒนายุทธศาสตรส์ าธารณสขุ สำนกั งานสาธารณสขุ จังหวดั สพุ รรณบรุ ี

(๙) ข้อมูลที่มีชั้นความลับที่ต้องส่งออกไปนอกองค์การ โดยถูกจัดเก็บไว้บนอุปกรณ์แบบ
พกพาหรือถูกส่งผ่านระบบเครือข่ายไร้สาย ต้องผ่านการอนุมัติจากเจา้ ของระบบงานและธุรกรรม และทำการ
เขา้ รหัสขอ้ มลู และระบบเครือข่ายไรส้ ายก่อนเทา่ นั้น

(๑๐) การเคลื่อนย้ายข้อมูลที่มีชั้นความลับ ต้องกระทำโดยบุคคลที่เจ้าของระบบงานและ
ธรุ กรรมกำหนด และจะตอ้ งทำลายขอ้ มลู ดังกลา่ วทันทเี มอ่ื ไม่มกี ารใช้งานแล้ว

ขอ้ ๗๑. ระบบซึ่งไวต่อการรบกวน มีผลกระทบและมีความสำคญั สูง ใหป้ ฏิบตั ิดงั นี้
(๑) ระบบท่ไี วต่อการรบกวน โดยมผี ลกระทบและมีความสำคญั สูง ได้แก่ ระบบขอ้ มลู ผ้ปู ่วยท่ี

เปน็ ข้อมลู ท่เี กยี่ วข้องกบั การรักษาพยาบาลและข้อมลู ทางการแพทย์ ระบบบุคลากรท่ีเปน็ ข้อมูลสว่ นบุคคลของ
เจ้าหนา้ ที่ภายในสำนกั งานสาธารณสขุ จงั หวัดสพุ รรณบุรี

(๒) ตอ้ งมีการควบคมุ สภาพแวดลอ้ มของระบบที่ไวต่อการรบกวนโดยเฉพาะ
(๒.๑) มีหอ้ งปฏิบตั ิงานแยกเปน็ สดั สว่ น และต้องกำหนดสิทธ์ิให้เฉพาะผ้ทู ่ีไดร้ ับ

มอบหมายเท่านัน้ เข้าไปปฏบิ ตั ิงานในหอ้ งควบคุมดังกลา่ ว
(๒.๒) ติดตั้งระบบแยกต่างหากจากระบบสารสนเทศอื่นและกำหนดสิทธิ์ในการ

เขา้ ถงึ ขอ้ มูล
(๓) ตอ้ งควบคมุ อุปกรณ์คอมพิวเตอรแ์ ละส่ือสารเคลื่อนทแ่ี ละการปฏิบตั ิงาน

จากภายนอกองคก์ ร
ข้อ ๗๒. การใช้งานอปุ กรณค์ อมพวิ เตอรแ์ ละสอื่ สารเคล่ือนท่ี ตอ้ งปฏิบัตดิ งั ตอ่ ไปนี้
(๑) ตรวจสอบความพรอ้ มของคอมพิวเตอร์ และอุปกรณ์ทจ่ี ะนำไปใชง้ านว่าอยู่ในสภาพ

พร้อมใช้งานหรือไม่ และตรวจสอบโปรแกรมมาตรฐานว่าถกู ตอ้ งตามลขิ สิทธิ์
(๒) ระมดั ระวงั ไมใ่ หบ้ คุ คลภายนอกคัดลอกข้อมลู จากคอมพิวเตอรท์ ี่นำไปใช้ได้ เว้นแต่

ข้อมูลทไี่ ด้มกี ารเผยแพร่เปน็ การทั่วไป
(๓) เมื่อหมดความจำเป็นต้องใช้อุปกรณ์คอมพวิ เตอร์และส่ือสารเคล่ือนที่แล้ว ให้รีบนำส่งคืน

เจา้ หน้าท่ที ่รี ับผิดชอบทนั ที
(๔) เจ้าหน้าทผ่ี รู้ ับผิดชอบในการรบั คนื ตอ้ งตรวจสอบสภาพความพรอ้ มใชง้ านของ

อปุ กรณค์ อมพิวเตอรแ์ ละสือ่ สารเคล่ือนท่ีที่รบั คืนดว้ ย
(๕) หากปรากฏวา่ ความเสียหายทเ่ี กิดขึ้นนน้ั เกิดจากความประมาทอย่างร้ายแรงของ

ผู้นำไปใช้ ผู้นำไปใชต้ อ้ งรับผดิ ชอบตอ่ ความเสยี หายท่เี กิดขึน้

ส่วนท่ี ๘ การบรหิ ารจดั การซอฟต์แวรแ์ ละลิขสิทธิ์และการปอ้ งกนั โปรแกรมไมป่ ระสงคด์ ี (Software
Licensing and intellectual property and Preventing Malware)

ข้อ ๗๓. สำนกั งานสาธารณสุขจงั หวัดสพุ รรณบุรี ไดใ้ ห้ความสำคัญต่อเรื่องทรัพยส์ ินทางปัญญา ดังนั้น
ซอฟต์แวร์ที่หน่วยงานอนุญาตให้ใช้งานหรือท่ีหน่วยงานมลี ขิ สิทธ์ิผูใ้ ช้งานสามารถขอใช้งานได้ตามหนา้ ที่ความ
จำเป็น และห้ามไม่ให้ผู้ใช้งานทำการติดตั้งหรือใช้งานซอฟต์แวร์อื่นใดที่ไม่มีลิขสิทธิ์หากมีการตรวจสอบพบ
ความผิดฐานละเมิดลิขสทิ ธถิ์ อื ว่าเป็นความผดิ สว่ นบุคคล ผใู้ ชง้ านจะตอ้ งรบั ผิดชอบแต่เพียงผ้เู ดยี ว

ข้อ ๗๔. ซอฟต์แวร์ (Software) ท่หี นว่ ยงานไดจ้ ดั เตรยี มไวใ้ ห้ผู้ใชง้ าน ถือเปน็ สงิ่ จำเป็นตอ่ การทำงาน

18

ณ วนั ท่ี 3 พฤษภาคม 2565 กลุม่ งานพัฒนายุทธศาสตร์สาธารณสขุ สำนักงานสาธารณสขุ จังหวดั สุพรรณบรุ ี

ห้ามมิให้ผู้ใช้งานทำการถอดถอน เปลี่ยนแปลง แก้ไข หรือทำสำเนาเพื่อนำไปใช้งานที่อื่น ๆ ยกเว้นได้รับการ
อนญุ าตจากหัวหนา้ หน่วยงานหรือผ้ทู ่ไี ด้รบั มอบหมายทม่ี สี ิทธ์ใิ นลิขสิทธิ์

ข้อ ๗๕. คอมพิวเตอร์ของผู้ใช้งานติดตั้งโปรแกรมป้องกันไวรัสคอมพิวเตอร์ (Antivirus) ตามที่
หน่วยงานได้ประกาศให้ใช้ เว้นแต่คอมพิวเตอร์น้ันเป็นเครื่องเพื่อการศึกษา โดยต้องได้รับอนุญาตจากหัวหน้า
หนว่ ยงาน

ข้อ ๗๖. บรรดาข้อมูล ไฟล์ ซอฟต์แวร์ หรือสิ่งอื่นใด ที่ได้รับจากผู้ใช้งานอื่นต้องได้รับการตรวจสอบ
ไวรัสคอมพวิ เตอรแ์ ละโปรแกรมไม่ประสงค์ดีก่อนนำมาใชง้ านหรือเกบ็ บนั ทกึ ทกุ ครงั้

ข้อ ๗๗. ผู้ใช้งานต้องทำการปรบั ปรงุ ข้อมูล สำหรบั ตรวจสอบและปรบั ปรุงระบบปฏบิ ัติการ (Update
Patch) ให้ใหม่เสมอ เพื่อเปน็ การปอ้ งกนั ความเสียหายท่ีอาจเกิดขึ้น

ข้อ ๗๘. ผู้ใช้งานต้องพึงระวังไวรัสและโปรแกรมไม่ประสงค์ดีตลอดเวลา รวมทั้งเมื่อพบสิ่งผิดปกติ
ผู้ใชง้ านตอ้ งแจง้ เหตุแกผ่ ดู้ ูแลระบบ

ข้อ ๗๙. เมือ่ ผใู้ ชง้ านพบว่าเครื่องคอมพวิ เตอร์ติดไวรัส ผใู้ ชง้ านตอ้ งไม่เชื่อมต่อเคร่ืองคอมพวิ เตอร์
เขา้ สเู่ ครือขา่ ย และต้องแจ้งแก่ผู้ดูแลระบบ

ข้อ ๘๐. หา้ มลักลอบทำสำเนา เปลีย่ นแปลง ลบทงิ้ ซง่ึ ขอ้ มูล ข้อความ เอกสาร หรือสิง่ ใด ๆ ท่เี ปน็
สนิ ทรัพย์ของหนว่ ยงาน หรือของผอู้ ืน่ โดยไม่ไดร้ ับอนุญาตจากหัวหนา้ หนว่ ยงาน

ข้อ ๘๑. ห้ามทำการเผยแพรไ่ วรัสคอมพิวเตอร์ มัลแวร์ หรือโปรแกรมอันตรายใด ๆ ที่อาจกอ่ ให้เกิด
ความเสยี หายมาสู่สินทรพั ย์ของหน่วยงาน สทิ ธิท์ ่ีจะพฒั นาโปรแกรมหรือฮาร์ดแวร์ใด ๆ สามารถดำเนินการได้
แตต่ ้องไม่ดำเนินการ ดังนี้

(๑) พัฒนาโปรแกรมหรือฮาร์ดแวร์ใด ๆ ที่จะทำลายกลไกรักษาความปลอดภัยระบบรวมทั้ง
การกระทำในลักษณะเป็นการแอบใช้รหัสผ่าน การลักลอบทำสำเนาข้อมูลบุคคลอื่นหรือแกะรหัสผ่านของ
บคุ คลอ่ืน

(๒) พัฒนาโปรแกรมหรือฮารด์ แวร์ใด ๆ ซึ่งทำให้ผใู้ ชง้ านมสี ิทธแ์ิ ละลำดับความสำคัญ ในการ
ครอบครองทรพั ยากรระบบมากกว่าผู้ใชง้ านอ่ืน

(๓) พัฒนาโปรแกรมใดที่จะทำซ้ำตัวโปรแกรมหรือแฝงตัวโปรแกรมไปกับโปรแกรมอื่น ใน
ลักษณะเช่นเดียวกบั หนอนหรอื ไวรัสคอมพวิ เตอร์

(๔) พัฒนาโปรแกรมหรือฮาร์ดแวร์ใด ๆ ที่จะทำลายระบบจำกัดสิทธิ์การใช้ (License)
ซอฟตแ์ วร์

(๕) นำเสนอข้อมูลที่ผิดกฎหมาย ละเมิดลิขสิทธิ์แสดงข้อความ รูปภาพไม่เหมาะสม หรือขัด
ต่อศีลธรรมประเพณอี นั ดงี ามของประเทศไทย กรณีทีผ่ ู้ใช้งานสร้างเว็บเพจบนเครอื ขา่ ยคอมพิวเตอร์

ขอ้ ๘๒. การพฒั นาซอฟต์แวรโ์ ดยหนว่ ยงานภายนอก (Outsourced Software Development)
(๑) จัดให้มีการควบคมุ โครงการพฒั นาซอฟตแ์ วร์โดยผูร้ บั จ้างใหบ้ ริการจากภายนอก
(๒) พิจารณาระบุว่าใครจะเป็นผู้มีสิทธิ์ในทรัพยส์ ินทางปัญญาสำหรับซอรส์ โคด้ ในการพัฒนา

ซอฟต์แวร์โดยผู้รับจ้างใหบ้ ริการจากภายนอก
(๓) พิจารณากำหนดเรื่องการสงวนสิทธิ์ที่จะตรวจสอบด้านคุณภาพและความถูกต้องของ

ซอฟตแ์ วร์ทจ่ี ะมีการพฒั นาโดยผู้ใหบ้ ริการภายนอก โดยระบุไว้ในสัญญาจา้ งที่ทำกับผูใ้ ห้บรกิ ารภายนอกนนั้

19

ณ วันท่ี 3 พฤษภาคม 2565 กลุม่ งานพฒั นายุทธศาสตร์สาธารณสุข สำนักงานสาธารณสุขจังหวดั สุพรรณบุรี

(๔) ให้มีการตรวจสอบโปรแกรมไม่ประสงค์ดี ในซอฟต์แวร์ต่าง ๆ ที่จะทำการติดตั้งก่อน
ดำเนินการติดตั้ง

(๕) หลงั จากการส่งมอบการพฒั นาซอฟแวร์จากหนว่ ยงานภายนอก หนว่ ยงานต้องดำเนินการ
เปลย่ี นรหสั ผ่านต่าง ๆ

(๖) ผู้พัฒนาระบบจากภายนอก (Outsource) ต้องลงนามในสัญญาไม่เปิดเผยข้อมูล (Non-
Disclosure Agreement) ก่อนดำเนนิ การ

(๗) ผู้พัฒนาระบบจากภายนอก (Outsource) ต้องถือปฏิบัติตามแนวนโยบาย และแนว
ปฏบิ ัตใิ นการรักษาความม่ันคงปลอดภัยดา้ นสารสนเทศ ของสำนักงานสาธารณสขุ จงั หวัดสุพรรณบุรี

สว่ นท่ี ๙ การปฏิบัติงานจากภายนอกสำนักงาน (Teleworking)
ข้อ ๘๓. ต้องมีการตรวจสอบว่าอุปกรณ์ที่เป็นของส่วนตัวซึ่งใช้ในการเข้าถึงระบบเทคโนโลยี

สารสนเทศของหนว่ ยงานจากระยะไกลมกี ารป้องกันไวรสั และการใช้งานไฟร์วอลลต์ ามที่หน่วยงานกำหนด
ข้อ ๘๔. ต้องมีการจัดเตรียมอุปกรณ์สำหรับการปฏิบัติงานจากระยะไกล การจัดเก็บข้อมูล และ

อปุ กรณ์สือ่ สารไวใ้ หก้ บั ผใู้ ชง้ านจากระยะไกล
ขอ้ ๘๕. ผู้ใช้งานจากระยะไกลทกุ คน ต้องผ่านการพสิ จู นต์ ัวตนก่อนการใช้งาน เพ่ือเพม่ิ ความปลอดภัย

เช่น รหัสผ่าน หรอื วธิ ีการเข้ารหัส เปน็ ตน้
ข้อ ๘๖. ไม่อนุญาตให้ใช้งานอุปกรณ์ที่เป็นของส่วนตัวเพื่อเข้าถึงระบบเทคโนโลยีสารสนเทศของ

หน่วยงานจากระยะไกล หากอุปกรณ์ดังกล่าวไม่อยู่ภายใต้การควบคุมตามนโยบายความมั่นคงปลอดภัยของ
หน่วยงาน

ข้อ ๘๗. ต้องกำหนดชนิดของงาน ชั่วโมงการทำงาน ชั้นความลับของข้อมูล ระบบงานและบริการ
ตา่ งๆ ของหน่วยงานท่อี นุญาตและไมอ่ นญุ าตใหป้ ฏบิ ตั ิงานจากระยะไกล

ข้อ ๘๘. ต้องกำหนดข้ันตอนปฏิบัติสำหรับการขออนุมัติการขอยกเลิก การกำหนดหรือปรับปรุงสิทธิ์
การเข้าถงึ ระบบสารสนเทศและการคืนอปุ กรณ์ท่ีใช้ปฏบิ ัตงิ านจากระยะไกล

ส่วนที่ ๑๐ การควบคมุ การเข้าถึงระบบเครอื ขา่ ยไร้สาย (Wireless LAN Access Control)
ข้อ ๘๙. ผู้ดูแลระบบ ตอ้ งควบคมุ สญั ญาณของอุปกรณ์กระจายสญั ญาณแบบไรส้ าย (Access Point)

ใหร้ ่ัวไหลออกนอกพน้ื ท่ีใชง้ านระบบเครือขา่ ยไร้สายนอ้ ยท่ีสุด
ขอ้ ๙๐. ผูด้ ูแลระบบ ต้องท าการเปลยี่ นค่า SSID (Service Set Identifier) ที่ถกู กำหนดเป็นคา่

เร่มิ ตน้ (Default) มาจากผู้ผลติ ทันทีทีน่ ำอุปกรณ์กระจายสัญญาณแบบไร้สาย (Access Point) มาใช้งาน และ
กำหนดใหซ้ ่อน SSID (Service Set Identifier) โดยเฉพาะระบบงานที่เป็นช้นั ความลับ ดังกล่าวด้วย

ข้อ ๙๑. ผดู้ แู ลระบบ ต้องกำหนดคา่ Wireless Security เป็นแบบ WEP (Wired Equivalent
Privacy) หรือ WPA (Wi-Fi Protected Access) หรือ ทดี่ กี วา่ ในการเข้ารหสั ขอ้ มลู ระหว่างเครอ่ื งลูกขา่ ย
(Wireless LAN Client) และ อปุ กรณ์กระจายสญั ญาณแบบไรส้ าย (Access Point) และกำหนดค่าโดยไม่ให้
แสดงชอ่ื ระบบเครือข่ายไร้สาย

ขอ้ ๙๒. ผู้ดูแลระบบ เลอื กใชว้ ธิ กี ารควบคมุ MAC Address (Media Access Control Address)

20

ณ วันท่ี 3 พฤษภาคม 2565 กลุ่มงานพัฒนายุทธศาสตรส์ าธารณสุข สำนักงานสาธารณสุขจังหวดั สพุ รรณบรุ ี

และหรือบัญชผี ู้ใชง้ าน โดยอนุญาตเฉพาะผใู้ ชง้ านทม่ี สี ทิ ธิใ์ นการเข้าใช้งานระบบเครอื ขา่ ยไรส้ ายตามท่ีกำหนด
ไวเ้ ทา่ นนั้

ข้อ ๙๓. ผ้ดู ูแลระบบ ต้องมกี ารติดตง้ั ไฟล์วอลล์ (Firewall) ระหว่างระบบเครือข่ายไรส้ ายกับระบบ
เครอื ข่ายภายในหน่วยงาน

ขอ้ ๙๔. ผูด้ ูแลระบบ ควรกำหนดให้ผ้ใู ชง้ านในระบบเครอื ขา่ ยไร้สายตดิ ต่อส่อื สารกบั เครือข่ายภายใน
หน่วยงานผ่านทาง VPN (Virtual Private Network) เพื่อชว่ ยปอ้ งกันการบุกรกุ ในระบบเครอื ข่าย ไรส้ าย

ขอ้ ๙๕. ผู้ดแู ลระบบ ตอ้ งทำการลงทะเบยี นอุปกรณท์ ุกตัวทใี่ ชต้ ิดตอ่ ระบบเครือข่ายไรส้ าย
ข้อ ๙๖. ผู้ดูแลระบบ ต้องใช้ซอฟต์แวร์หรือฮาร์ดแวร์ตรวจสอบความมั่นคงปลอดภัยของระบบครือ
ข่ายไร้สายเพื่อคอยตรวจสอบและบันทึกเหตุการณ์ที่น่าสงสัยเกิดขึ้นในระบบเครือข่ายไร้สาย และจัดส่ง
รายงานผลการตรวจสอบทุก ๓ เดือน และในกรณีท่ตี รวจสอบพบการใชง้ านระบบเครอื ขา่ ยไรส้ ายทผี่ ิดปกติ ให้
ผูด้ แู ลระบบ รายงานต่อหวั หน้าหน่วยงานทราบทนั ที
ข้อ ๙๗. ผู้ดูแลระบบ ต้องควบคุมดูแลไม่ให้บุคคลหรือหน่วยงานภายนอกที่ไม่ได้รับอนุญาต ใช้งาน
ระบบเครอื ขา่ ยไรส้ ายในการเข้าสูร่ ะบบเครอื ข่ายและระบบสารสนเทศภายในหน่วยงาน
ข้อ ๙๘. ผู้ใช้งานที่ต้องการเข้าถึงระบบเครือข่ายไร้สายของสำนักงานสาธารณสุขจังหวัดสุพรรณบุรี
จะต้องทำการลงทะเบียนกับผู้ดูแลระบบและต้องได้รับพิจารณาอนุญาตจากหัวหน้าหน่วยงานอย่างเป็นลาย
ลกั ษณอ์ กั ษร
ข้อ ๙๙. ผู้ดูแลระบบ ต้องทำการลงทะเบียนกำหนดสิทธิ์ผู้ใช้งานในการเข้าถึงระบบเครือข่ายไร้สาย
ให้เหมาะสมกับหน้าที่ความรับผิดชอบในการปฏิบัติงาน ก่อนเข้าใช้ระบบเครือข่ายไร้สาย รวมทั้ง มีการ
ทบทวนสทิ ธก์ิ ารเข้าถึงอย่างสม่ำเสมอ ทงั้ น้ี จะต้องไดร้ ับอนญุ าตจากผ้ดู ูแลระบบตามความจำเป็นในการใช้งาน

ส่วนที่ ๑๑ การควบคมุ การใชง้ านอุปกรณ์ปอ้ งกนั เครอื ข่าย (Firewall Control)
ข้อ ๑๐๐. หน่วยงานมีหน้าทีใ่ นการบรหิ ารจัดการ การติดตง้ั และกำหนดค่าของ Firewall ทงั้ หมด
ขอ้ ๑๐๑. การกำหนดค่าเริ่มตน้ ของ Firewall ต้องกำหนดเปน็ ปฏิเสธทั้งหมด (Deny)
ข้อ ๑๐๒. ทุกบรกิ าร (Services) และเสน้ ทางเชือ่ มต่ออินเทอร์เน็ตท่ีไมอ่ นุญาตตาม Policy จะตอ้ ง

ถูกบลอ็ ก (Block) โดย Firewall
ขอ้ ๑๐๓. ผู้ใช้งานอินเทอร์เนต็ จะต้องทำการลงบันทึกเขา้ ใช้งาน (Login) กอ่ นการใช้งานทกุ คร้งั
ขอ้ ๑๐๔. การกำหนดค่าบริการและการเชื่อมตอ่ ทอี่ นญุ าต จะต้องมกี ารบนั ทึกการเปล่ยี นแปลง

ทุกคร้ัง หากมีการเปลีย่ นแปลงค่าตา่ ง ๆ ของ Firewall
ขอ้ ๑๐๕. การเข้าถงึ ตัวอุปกรณ์Firewall จะตอ้ งสามารถเข้าถึงได้เฉพาะผู้ทไ่ี ดร้ ับมอบหมายให้ดูแล

จัดการเท่านัน้
ข้อ ๑๐๖. ขอ้ มูลจราจรทางคอมพวิ เตอร์ทีเ่ ขา้ ออกอปุ กรณ์ Firewall จะต้องส่งค่าไปจัดเกบ็ ทอ่ี ุปกรณ์

จดั เกบ็ ข้อมลู จราจรทางคอมพิวเตอร์ โดยจะตอ้ งจดั เก็บข้อมูลจราจรไมน่ ้อยกวา่ ๙๐ วัน
ขอ้ ๑๐๗. การกำหนดนโยบายในการใหบ้ ริการอินเทอร์เน็ตกับเครอ่ื งคอมพิวเตอรล์ ูกขา่ ยจะเปิดพอร์ต

การเชื่อมต่อพนื้ ฐานของโปรแกรมทว่ั ไป ที่อนญุ าตให้ใช้งาน ซึ่งหากมคี วามจำเปน็ ทจี่ ะใชง้ านพอร์ตการเช่ือมต่อ
นอกเหนือท่กี ำหนด จะตอ้ งได้รบั ความยินยอมจากหน่วยงานก่อน

21

ณ วันท่ี 3 พฤษภาคม 2565 กลมุ่ งานพัฒนายุทธศาสตรส์ าธารณสุข สำนักงานสาธารณสุขจังหวัดสพุ รรณบุรี

ข้อ ๑๐๘. การกำหนดค่าการให้บริการของเครื่องคอมพิวเตอร์แม่ข่ายในแต่ละส่วนของเครือข่าย
จะต้องกำหนดค่าอนญุ าตเฉพาะพอร์ตการเชื่อมต่อที่จำเป็นต่อการให้บริการเทา่ นั้น โดยข้อนโยบายจะต้องถกู
ระบุให้กับเครื่องคอมพวิ เตอร์แม่ข่ายเป็นรายเครอื่ งท่ีใหบ้ ริการจริง และการกำหนดค่าการให้บริการของเครื่อง
คอมพิวเตอร์แม่ข่ายหรืออุปกรณ์ในเครือข่าย ต้องขออนุญาตเป็นลายลักษณ์อักษรต่อหัวหน้าหน่วยงาน โดย
ต้องระบุขอ้ มลู ดังนี้

(๑) หมายเลข Port ท่ตี อ้ งการขอใหเ้ ปิด
(๒) หมายเลข IP Address ของปลายทางทต่ี อ้ งการติดตอ่ ส่อื สาร
(๓) วัตถุประสงค์ หรือชอื่ แอปพลเิ คชันทีต่ อ้ งการใชง้ านผ่าน Port นัน้ ๆ
ข้อ ๑๐๙. จะต้องมีการสำรองข้อมูลการกำหนดค่าต่าง ๆ ของอุปกรณ์ป้องกันเครือข่าย (Firewall)
เป็นประจำทุกเดอื นและทุกครง้ั ก่อนท่จี ะมกี ารเปล่ียนแปลงค่า
ขอ้ ๑๑๐. เคร่ืองคอมพวิ เตอรแ์ มข่ ่ายท่ีใหบ้ รกิ ารระบบงานสารสนเทศตา่ ง ๆ ภายในหนว่ ยงานทม่ี ี
ลกั ษณะท่เี ปน็ อินทราเน็ตจะตอ้ งไมอ่ นุญาตให้มีการเช่ือมต่อเพอ่ื ใชง้ านอินเทอร์เน็ต เวน้ แต่มคี วามจำาเปน็
โดยจะตอ้ งกำหนดเป็นกรณไี ป
ข้อ ๑๑๑. หน่วยงานมีสิทธิ์ที่จะระงับหรือบล็อกการใช้งานของเครื่องคอมพิวเตอร์ลูกข่ายที่มี
พฤติกรรมการใชง้ านทผ่ี ดิ หรือเส่ียงตอ่ ความปลอดภยั ของระบบเครือข่ายส่วนรวม หรือเกิดจากการทำงานของ
โปรแกรมท่ีมคี วามเสยี่ งต่อความปลอดภัยจนกวา่ จะได้รับการแก้ไข
ขอ้ ๑๑๒. การเชื่อมตอ่ ในลักษณะของการควบคมุ ระยะไกล (Remote Login) จากภายนอกมายงั
เครือ่ งแมข่ า่ ยหรืออุปกรณเ์ ครอื ข่ายภายใน ต้องดำเนนิ การดงั นี้
(๑) ขออนุญาตการใชง้ านเป็นลายลกั ษณ์อักษร
(๒) เกบ็ ขอ้ มูล Logfile ที่ Firewall
(๓) เก็บ Logfile จากตัว Application
ข้อ๑๑๓. ผูล้ ะเมิดนโยบายดา้ นความปลอดภัยของ Firewall จะถูกระงบั การให้บริการทันทีจนกว่าจะ
ไดร้ บั การแกไ้ ข
ขอ้ ๑๑๔. ต้องตรวจสอบและปิดพอรต์ ของระบบหรืออปุ กรณท์ ่ีไม่มคี วามจำเป็นในการเข้าใชง้ านอย่าง
สม่ำเสมออย่างนอ้ ยสปั ดาหล์ ะ ๑ ครงั้

ส่วนที่ ๑๒ การควบคุมการใชจ้ ดหมายอเิ ลก็ ทรอนกิ ส์ (E-Mail)
ข้อ ๑๑๕. ในการลงทะเบยี นบญั ชผี ูใ้ ช้งานจดหมายอเิ ลก็ ทรอนกิ ส์ (E-Mail) ต้องทำการกรอกข้อมูล

ขอเขา้ ใชบ้ ริการจดหมายอิเลก็ ทรอนิกส์ (E-Mail) โดยย่ืนคำขอกบั เจา้ หนา้ ทีห่ นว่ ยงาน
ขอ้ ๑๑๖. รหสั จดหมายอิเล็กทรอนิกส์ เวลาใสร่ หัสผา่ นตอ้ งไมป่ รากฏหรอื แสดงรหัสผ่านออกมา

แต่ตอ้ งแสดงออกมาในรูปของสัญลักษณ์แทนตวั อักษรนน้ั เชน่ “x” หรอื “O” ในการพิมพ์แต่ละตวั อักษร
ข้อ ๑๑๗. เมื่อได้รับรหัสผ่าน (Password) ครั้งแรกในการเข้าระบบจดหมายอิเล็กทรอนิกส์ (E-Mail)

และเมือ่ มกี ารเขา้ สรู่ ะบบในครงั้ แรกน้นั ให้เปลยี่ นรหัสผา่ น (Password) โดยทนั ที
ข้อ ๑๑๘. ผดู้ ูแลระบบ ต้องกำหนดจำนวนครง้ั ทีย่ อมให้ผใู้ ชง้ านใสร่ หสั ผา่ นผิดไดเ้ ช่น ไม่เกนิ ๓ คร้ัง
ขอ้ ๑๑๙. ไม่บันทกึ หรอื เก็บรหัสผ่าน (Password) ไวใ้ นระบบคอมพวิ เตอร์

22

ณ วนั ที่ 3 พฤษภาคม 2565 กลุ่มงานพัฒนายุทธศาสตร์สาธารณสขุ สำนักงานสาธารณสุขจังหวดั สพุ รรณบุรี

ข้อ ๑๒๐. เปลยี่ นรหสั ผ่าน (Password) ทกุ ๓ - ๖ เดอื น
ข้อ ๑๒๑. ไม่ใช้ที่อยู่จดหมายอิเล็กทรอนิกส์ (E-Mail Address) ของผู้อื่นเพื่ออ่านหรือรับหรือ ส่ง
ข้อความ ยกเว้นแต่จะได้รับการยินยอมจากเจ้าของผู้ใช้งานและให้ถือว่าเจ้าของจดหมายอิเล็กทรอนิกส์ ( E-
Mail) เปน็ ผรู้ บั ผิดชอบต่อการใชง้ านในจดหมายอเิ ลก็ ทรอนกิ ส(์ E-Mail) ของตน
ข้อ ๑๒๒. หลังจากการใช้งานระบบจดหมายอิเล็กทรอนิกส์ (E-Mail) เสร็จสิ้นต้องลงบันทึกออก
(Logout) ทุกครั้ง
ข้อ ๑๒๓. การส่งข้อมูลที่เป็นความลับ ไม่ควรระบุความสำคัญของข้อมูลลงในหัวข้อจดหมาย
อเิ ลก็ ทรอนิกส์ (E-Mail) เว้นเสยี แต่วา่ จะใชว้ ิธกี ารเข้ารหัสข้อมูล E-Mail ท่หี น่วยงานกำหนดไว้ และให้ใช้ความ
ระมัดระวงั ในการระบชุ อ่ื ทีอ่ ยู่ E-Mail ของผรู้ บั ให้ถกู ต้องเพอ่ื ปอ้ งกนั การส่งผดิ ตัวผรู้ บั
ข้อ ๑๒๔. ห้ามส่งจดหมายอเิ ลก็ ทรอนิกส์ (E-Mail) ที่มลี ักษณะเป็นจดหมายขยะ (Spam Mail)
ขอ้ ๑๒๕. ห้ามสง่ จดหมายอิเลก็ ทรอนิกส์ (E-Mail) ที่มีลกั ษณะเปน็ จดหมายลกู โซ่ (Chain Letter)
ข้อ ๑๒๖. ห้ามส่งจดหมายอิเล็กทรอนิกส์ (E-Mail) ที่มีลักษณะเป็นการละเมิดต่อกฎหมาย หรือสิทธิ
ของบคุ คลอน่ื
ข้อ ๑๒๗. ห้ามสง่ จดหมายอเิ ลก็ ทรอนิกส์ (E-Mail) ที่มไี วรสั ไปให้กบั บุคคลอื่นโดยเจตนา
ข้อ ๑๒๘. ใหร้ ะบชุ ื่อของผสู้ ่งในจดหมายอิเล็กทรอนกิ ส์ (E-Mail) ทุกฉบับท่สี ง่ ไป
ขอ้ ๑๒๙. ให้ทำการสำรองข้อมลู จดหมายอิเลก็ ทรอนกิ ส์ (E-Mail) ตามความจำเปน็ อย่างสม่ำเสมอ
ข้อ ๑๓๐. ผู้ใช้งานต้องทำการตรวจสอบเอกสารแนบจากจดหมายอิเล็กทรอนิกส์ก่อนการเปิดเพ่ือ
ตรวจสอบไฟล์โดยใชโ้ ปรแกรมป้องกันไวรสั เป็นการป้องกันในการเปิดไฟล์ทีเ่ ป็น Executable File เช่น .exe
.com เป็นต้น
ขอ้ ๑๓๑. ผ้ใู ช้งานต้องไมเ่ ปิดหรอื ส่งตอ่ จดหมายอิเล็กทรอนกิ ส์หรอื ข้อความที่ได้รับจากผสู้ ง่ ท่ีไม่รจู้ กั
ข้อ ๑๓๒. ผู้ใช้งานต้องไม่ใช้ข้อความที่ไม่สุภาพหรือรับส่งจดหมายอิเล็กทรอนิกส์ที่ไม่เหมาะสมหรือ
ข้อมูลอันอาจทำให้เสียชื่อเสียงของหน่วยงาน ทำให้เกิดความแตกแยกระหว่างหน่วยงาน ผ่านทางจดหมาย
อเิ ล็กทรอนิกส์
ข้อ ๑๓๓. ผู้ใช้งานต้องตรวจสอบตู้เก็บจดหมายอิเล็กทรอนิกส์ของตนเองทุกวัน และควรจัดเก็บ
แฟ้มข้อมูลและจดหมายอิเล็กทรอนิกส์ของตนให้เหลือจำนวนน้อยที่สุด และควรลบจดหมายอิเล็กทรอนิกส์ท่ี
ไมต่ ้องการออกจากระบบ เพอื่ ลดปริมาณการใชเ้ นอ้ื ทร่ี ะบบจดหมายอิเล็กทรอนิกส์
ข้อ ๑๓๔. ผู้ใช้งานควรโอนย้ายจดหมายอิเล็กทรอนกิ สท์ จ่ี ะใชอ้ ้างองิ ภายหลังมายงั เครื่องคอมพิวเตอร์
ของตน เพอ่ื เป็นการป้องกันผอู้ ืน่ แอบอา่ นจดหมายได้ ดงั นน้ั ไมค่ วรจัดเกบ็ ขอ้ มลู หรือจดหมายอเิ ล็กทรอนิกส์
ที่ไมไ่ ด้ใช้แลว้ ไวใ้ นตู้จดหมายอเิ ลก็ ทรอนกิ ส์
ข้อ ๑๓๕. ผู้ใชง้ านต้องใช้จดหมายอิเล็กทรอนิกสภ์ าครฐั สำหรับใชร้ บั -สง่ ข้อมูลในระบบราชการ ตาม
มติคณะรัฐมนตรีเมื่อวันที่ ๑๘ ธันวาคม ๒๕๕๐ เรื่อง การพัฒนาระบบจดหมายอิเล็กทรอนิกส์กลางเพื่อการ
ส่ือสารในภาครฐั

23

ณ วันที่ 3 พฤษภาคม 2565 กล่มุ งานพฒั นายุทธศาสตรส์ าธารณสุข สำนกั งานสาธารณสุขจังหวัดสุพรรณบุรี

ส่วนที่ ๑๓ การควบคมุ การใชอ้ ินเทอร์เน็ต (Internet)
ข้อ ๑๓๖. ผ้ดู ูแลระบบ ตอ้ งกำหนดเส้นทางการเช่อื มต่อระบบคอมพิวเตอร์เพื่อการเข้าใช้งาน

อนิ เทอร์เนต็ ทีต่ ้องเช่ือมตอ่ ผา่ นระบบรักษาความปลอดภัยท่หี น่วยงานจัดสรรไวเ้ ท่านนั้ เช่น Proxy, Firewall,
IPS-IDS เป็นต้น หา้ มผู้ใช้งานทำการเชือ่ มต่อระบบคอมพวิ เตอร์ผา่ นชอ่ งทางอนื่ เชน่ Dial-up Modem ยกเว้น
แต่วา่ มีเหตุผลความจำเปน็ และต้องทำการขออนญุ าตจากหวั หน้าหนว่ ยงานเป็นลายลักษณอ์ ักษร

ข้อ ๑๓๗. เครื่องคอมพิวเตอร์ส่วนบุคคลและเครื่องคอมพิวเตอร์แบบพกพา ก่อนทำการ
เชือ่ มตอ่ อนิ เทอร์เน็ต ผ่านเวบ็ เบราว์เซอร์ (Web Browser) ต้องมกี ารตดิ ต้ังโปรแกรมป้องกันไวรัส และทำการ
อุดชอ่ งโหว่ของระบบปฏบิ ตั ิการ

ข้อ ๑๓๘. ในการรับส่งข้อมูลคอมพิวเตอร์ผ่านทางอินเทอร์เน็ตจะต้องมีการตรวจจับไวรัส
(Virus Scanning) โดยโปรแกรมปอ้ งกันไวรสั ก่อนการรบั ส่งขอ้ มูลทกุ คร้งั

ขอ้ ๑๓๙. หา้ มใช้เครอื ขา่ ยอนิ เทอรเ์ นต็ ขององคก์ าร เพ่ือกระทำการต่อไปนี้
(๑) หาประโยชน์ในเชิงธุรกิจส่วนตัว
(๒) เพอ่ื ความบันเทิง ได้แก่ การเลน่ เกม ดูภาพยนตรฟ์ ังเพลง
(๓) กระทำการที่ก่อให้เกิดความเสียหายต่อภาพลักษณ์ และชื่อเสียงขององค์การ

เช่น การเผยแพร่ข้อมลู ที่อาจกอ่ ความเสียหายตอ่ องค์การ หรือข้อมูลสำคญั ที่เปน็ ความลับขององคก์ าร
(๔) กระทำผิดกฎหมาย เชน่
- นำเข้าหรือเผยแพร่ ข้อมูลหรือชดุ โปรแกรมทีล่ ะเมิดลขิ สิทธ์ิ
- แพร่กระจายโปรแกรมไม่ประสงคด์ ี (Malware) เชน่ ไวรัสคอมพวิ เตอร์
- กระทำการที่ไม่เหมาะสมขัดต่อศีลธรรม เช่น การเล่นพนันออนไลน์ การ

นำเข้าหรือเผยแพรส่ อื่ ลามก อนาจาร
- กระทำการที่ส่งผลร้าย กระทบกับความมั่นคงของชาติ ศาสนา

พระมหากษัตริย์ เชน่ การกอ่ การร้าย
- กระทำการข่มขู่ คุกคาม หรือละเมิดสิทธิ์ของผู้อื่นให้ได้รับความเสียหาย

เช่น การนำเข้าหรอื เผยแพร่ภาพ เสยี ง สือ่ ผสมภาพและเสียง (Multimedia) ของผู้อน่ื ทั้งที่เป็นข้อมูลจริง หรือ
ขอ้ มลู เทจ็ อันเกิดจากการสร้าง ตดั ต่อ แต่งเติม หรอื ดดั แปลงด้วยวิธีการทางอิเล็กทรอนิกสห์ รือวิธีการอื่นใด ที่
ทำใหผ้ อู้ ื่นนน้ั เสยี ชอ่ื เสียง ถกู ดูหม่นิ ถกู เกลยี ดชัง หรือไดร้ บั ความอับอาย

- กระทำการเป็นภัยต่อสังคม เช่น การนำเข้าหรือเผยแพร่ ข้อมูลที่มี
ลักษณะอันเปน็ เทจ็ เพอ่ื สรา้ งความสับสนวนุ่ วาย หรือเพือ่ การหลอกลวงใหเ้ กดิ ความเสียหายตา่ ง ๆ

ข้อ ๑๔๐. ห้ามเปิดเผยข้อมูลสำคัญที่เป็นความลับเกี่ยวกับงานของหน่วยงานที่ยังไม่ได้
ประกาศ อยา่ งเปน็ ทางการผ่านระบบอนิ เทอรเ์ นต็ (Internet)

ข้อ ๑๔๑. ระมัดระวังการดาวน์โหลด โปรแกรมใช้งานจากระบบอินเทอร์เน็ต (Internet)
การอปั เดต (Update) โปรแกรมต่าง ๆ ต้องเปน็ ไปโดยไมล่ ะเมดิ ลิขสิทธ์ิ

ข้อ ๑๔๒. ในการใช้งานระบบเครือข่ายอินเทอร์เน็ตไม่เปิดเผยข้อมูลที่สำคัญและเป็น
ความลับของหนว่ ยงาน

24

ณ วันที่ 3 พฤษภาคม 2565 กลมุ่ งานพัฒนายุทธศาสตรส์ าธารณสขุ สำนักงานสาธารณสขุ จังหวดั สพุ รรณบรุ ี

ข้อ ๑๔๓. ในการใช้งานกระดานสนทนาอิเล็กทรอนิกส์ ไม่เสนอความคิดเห็น หรือใช้ข้อความที่ยั่วยุ
ให้ร้าย ที่จะทำให้เกิดความเสื่อมเสียต่อชื่อเสียงของหน่วยงาน การทำลายความสัมพันธ์กับบุคลากร ของ
หน่วยงานอื่น ๆ

ข้อ ๑๔๔. ผู้ใช้งานไม่นำเข้าขอ้ มูลคอมพิวเตอร์ใด ๆ ที่มีลักษณะอันเป็นเท็จ อันเป็นความผิดเกี่ยวกับ
ความมั่นคงแห่งราชอาณาจักร อันเป็นความผิดเกี่ยวกับการก่อการร้าย หรือภาพที่มีลักษณะอันลามก และไม่
ทำการเผยแพร่หรอื ส่งตอ่ ข้อมลู คอมพิวเตอรด์ ังกลา่ วผ่านอนิ เทอร์เน็ต

ข้อ ๑๔๕. หลังจากใชง้ านระบบอินเทอร์เนต็ (Internet) เสร็จแลว้ ให้ปดิ เวบ็ บราวเซอรเ์ พอื่ ปอ้ งกนั
การเขา้ ใชง้ านโดยบุคคลอืน่ ๆ

ขอ้ ๑๔๖. หลงั จากใช้งานอินเทอรเ์ นต็ เสรจ็ แลว้ ให้ทำการออกจากระบบเพื่อปอ้ งกนั การเข้าใชง้ าน
โดยบคุ คลอืน่ ๆ

ข้อ ๑๔๗. ผู้ใชง้ านตอ้ งปฏบิ ตั ิตามกฎหมายวา่ ดว้ ยการกระทำความผดิ เก่ียวกับคอมพวิ เตอร์ และ/
หรือกฎหมาย ระเบยี บ วธิ ปี ฏิบตั ิทางคอมพวิ เตอร์ อน่ื ๆ ท่ีเกยี่ วข้อง อย่างเครง่ ครดั

สว่ นที่ ๑๔ การใชง้ านเครอื่ งคอมพวิ เตอรส์ ่วนบคุ คล
ขอ้ ๑๔๘. แนวทางปฏิบตั ิการใชง้ านทั่วไป
(๑) เครอ่ื งคอมพิวเตอร์ท่ีหนว่ ยงานอนุญาตให้ใช้งาน เปน็ สินทรัพยข์ องหน่วยงานเพ่อื ใช้

ในงานราชการ
(๒) โปรแกรมที่ได้ถูกติดตั้งลงบนเครื่องคอมพิวเตอร์ของหน่วยงานต้องเป็นโปรแกรม ที่

หน่วยงานได้ซื้อลิขสิทธิ์มาอย่างถูกต้องตามกฎหมาย ดังนั้นห้ามผู้ใช้งานคัดลอกโปรแกรมต่าง ๆ และนำไป
ติดตั้งบนเครือ่ งคอมพิวเตอร์สว่ นตัว หรือแก้ไข หรือนำไปใหผ้ อู้ ืน่ ใช้งานโดยผิดกฎหมาย

(๓) ไมอ่ นญุ าตให้ผใู้ ช้งานทำการตดิ ตง้ั และแก้ไขเปลย่ี นแปลงโปรแกรมในเคร่ืองคอมพวิ เตอร์
สว่ นบคุ คลของหน่วยงาน

(๔) การเคลื่อนย้ายหรือส่งเครื่องคอมพิวเตอร์ส่วนบุคคลตรวจซ่อมจะต้องดำเนินการโดย
เจ้าหน้าที่ของหน่วยงานหรือผู้รับจ้างเหมาบำรุงรักษาเครื่องคอมพิวเตอร์และอุปกรณ์ที่ได้ทำสัญญากับ
สำนักงานสาธารณสขุ จังหวัดสพุ รรณบรุ ี เท่าน้นั

(๕) ก่อนการใช้งานสื่อบันทึกพกพาต่าง ๆ ต้องมีการตรวจสอบเพื่อหาไวรัสโดยโปรแกรม
ป้องกนั ไวรสั

(๖) ผใู้ ชง้ าน มีหน้าทแี่ ละรับผิดชอบต่อการดูแลรกั ษาความปลอดภัยของเครื่องคอมพิวเตอร์
(๗) ปดิ เครื่องคอมพิวเตอรส์ ่วนบคุ คลที่ตนเองครอบครองใช้งานอยู่ เม่อื ใชง้ านประจำวันเสร็จ
สนิ้ หรือเมือ่ มีการยตุ กิ ารใชง้ านเกินกว่า ๑ ชว่ั โมง
(๘) ท าการตั้งค่า Screen Saver ของเครื่องคอมพิวเตอร์ที่ตนเองรับผิดชอบให้มีการล็อก
หนา้ จอหลงั จากทีไ่ ม่ไดใ้ ช้งานเกินกวา่ ๑๐ นาที เพือ่ ปอ้ งกนั บคุ คลอ่นื มาใช้งานทเ่ี คร่ืองคอมพิวเตอร์
(๙) ห้ามนำเครื่องคอมพิวเตอร์ส่วนตัวบุคคลที่เจา้ หน้าที่เป็นเจ้าของมาใช้กับระบบเครือข่าย
ของหน่วยงาน โดยไม่มีการติดตั้งโปรแกรมป้องกันไวรัสอย่างเหมาะสม และต้องปฏิบัติตามนโยบายการรกั ษา

25

ณ วนั ที่ 3 พฤษภาคม 2565 กลุ่มงานพัฒนายุทธศาสตร์สาธารณสขุ สำนักงานสาธารณสขุ จังหวดั สุพรรณบุรี

ความมั่นคงปลอดภัยด้านสารสนเทศของหน่วยงานอย่างเคร่งครัด ยกเว้นจะได้รับการตรวจสอบจากผู้ดูแล
ระบบของหนว่ ยงานกอ่ นการใช้งาน

ข้อ ๑๔๙. การใช้รหัสผ่าน ให้ผู้ใช้งานปฏิบัติตามแนวทาง “การกำหนดหน้าที่ความรับผิดชอบของ
ผ้ใู ชง้ าน” ทร่ี ะบุไวใ้ นเอกสารส่วนที่ ๓

ข้อ ๑๕๐. การป้องกนั จากโปรแกรมชุดคำสั่งไม่พงึ ประสงค์(Malware)
(๑) ผู้ใช้งานต้องตรวจสอบหาไวรสั จากสือ่ ตา่ ง ๆ เช่น Floppy Disk, Flash Drive และ Data

Storage อนื่ ๆ กอ่ นนำมาใช้งานร่วมกบั เคร่ืองคอมพิวเตอร์
(๒) ผู้ใช้งานต้องตรวจสอบไฟล์ที่แนบมากับจดหมายอิเล็กทรอนิกส์หรือไฟล์ที่ดาวน์โหลดมา

จากอินเทอรเ์ น็ตดว้ ยโปรแกรมป้องกนั ไวรสั ก่อนใชง้ าน
(๓) ผู้ใช้งานต้องตรวจสอบข้อมูลคอมพิวเตอร์ใดที่มีชุดคำสั่งไม่พึงประสงค์รวมอยู่ด้วย ซึ่งมี

ผลทำให้ข้อมูลคอมพิวเตอร์ หรือระบบคอมพิวเตอร์หรือชุดคำสั่งอื่นเกิดความเสียหายถูกทำลาย ถูกแก้ไข
เปลีย่ นแปลง หรือปฏิบัติงานไมต่ รงตามคำสงั่ ท่กี ำหนดไว้

(๔) อุปกรณ์สือ่ บันทึกขอ้ มูลท่ีไม่ใช้งานแล้ว ตอ้ งทำลายตามวิธกี ารท่ีกำหนดไวใ้ น สว่ นที่
๔ ขอ้ ๓๗

ข้อ ๑๕๑. การสำรองข้อมูลและการกู้คืน
(๑) ผู้ใชง้ านตอ้ งรับผิดชอบในการสำรองขอ้ มลู จากเคร่ืองคอมพวิ เตอร์ไว้บนสื่อบันทึกอ่ืน ๆ

เช่น CD, DVD, External Hard Disk เป็นต้น
(๒) ผใู้ ช้งานมีหน้าทีเ่ ก็บรักษาสื่อข้อมูลสำรอง (Backup Media) ไว้ในสถานที่ทเี่ หมาะสม ไม่

เสี่ยงต่อการรัว่ ไหลของขอ้ มูลและทดสอบการก้คู นื ข้อมลู ท่สี ำรองไวอ้ ย่างสมำ่ เสมอ
(๓) ผู้ใช้งานต้องประเมินความเสี่ยงว่าข้อมูลที่เก็บไว้บน Hard Disk ไม่ควรจะเป็นข้อมูล

สำคัญ เกย่ี วข้องกบั การทำงาน เพราะหาก Hard Disk เสยี ไป กไ็ ม่กระทบตอ่ การดำเนินการของหน่วยงาน

สว่ นที่ ๑๕ การใช้งานเคร่อื งคอมพิวเตอรแ์ บบพกพา
ข้อ ๑๕๒. แนวทางปฏบิ ตั ิการใชง้ านทวั่ ไป
(๑) เครื่องคอมพิวเตอรแ์ บบพกพาที่หน่วยงานอนญุ าตให้ใช้งาน เป็นสินทรพั ย์ของหน่วยงาน

เพอ่ื ใชใ้ นงานราชการ
(๒) โปรแกรมที่ได้ถูกติดตั้งลงบนเครื่องคอมพิวเตอร์แบบพกพาของหน่วยงานต้องเป็น

โปรแกรมที่หน่วยงาน ได้ซื้อลิขสิทธิ์มาอย่างถูกต้องตามกฎหมาย ดังนั้น ห้ามผู้ใช้งานคัดลอกโปรแกรมต่าง ๆ
และนำไปติดตั้งบนเคร่อื งคอมพิวเตอรส์ ว่ นตัว หรอื แก้ไข หรือนำไปใหผ้ ู้อนื่ ใช้งานโดยผดิ กฎหมาย

(๓) ผู้ใช้งานต้องศึกษาและปฏิบัติตามคู่มือการใช้งานอย่างละเอียด เพื่อการใช้งานอย่าง
ปลอดภยั และมปี ระสทิ ธิภาพ

(๔) ไม่ดัดแปลงแก้ไขส่วนประกอบตา่ ง ๆ ของคอมพิวเตอร์และรกั ษาสภาพของคอมพิวเตอร์
ใหม้ สี ภาพเดิม

26

ณ วันท่ี 3 พฤษภาคม 2565 กลุ่มงานพัฒนายุทธศาสตร์สาธารณสุข สำนกั งานสาธารณสุขจังหวดั สุพรรณบรุ ี

(๕) ในกรณที ่ีต้องการเคลื่อนย้ายเคร่ืองคอมพวิ เตอรแ์ บบพกพา ควรใสก่ ระเป๋าสำหรับเครื่อง
คอมพิวเตอร์แบบพกพา เพื่อป้องกันอันตรายท่ีเกิดจากการกระทบกระเทือน เช่น การตกจากโต๊ะทำงาน หรือ
หลุดมอื เป็นตน้

(๖) หลกี เล่ียงการใช้นิว้ หรือของแขง็ เช่น ปลายปากกา กดสมั ผัสหน้าจอ LCD ใหเ้ ป็นรอยขีด
ขว่ นหรอื ทำใหจ้ อ LCD ของเครื่องคอมพิวเตอรแ์ บบพกพาแตกเสยี หายได้

(๗) ไม่วางของทับบนหนา้ จอและแปน้ พมิ พ์
(๘) การเช็ดทำความสะอาดหน้าจอภาพต้องเชด็ อยา่ งเบามือที่สุด และต้องเช็ดไปในแนวทาง
เดียวกันหา้ มเช็ดแบบหมนุ วน เพราะจะทำใหห้ นา้ จอมีรอยขีดขว่ นได้
(๙) การใช้เครื่องคอมพิวเตอร์แบบพกพาเป็นระยะเวลานานเกินไป ในสภาพที่มีอากาศร้อน
จดั ต้องปดิ เครื่องคอมพวิ เตอรเ์ พื่อเปน็ การพักเคร่ืองสกั ระยะหน่ึงก่อนเปิดใชง้ านใหม่อีกครง้ั
(๑๐) การเคลื่อนย้ายเครื่อง ขณะที่เครื่องเปิดใช้งานอยู่ ให้ทำการยกจากฐานภายใต้
แป้นพิมพ์ ห้ามยา้ ยเครอื่ งโดยการดงึ หน้าจอภาพข้ึน
ขอ้ ๑๕๓. ความปลอดภยั ทางดา้ นกายภาพ
(๑) ผู้ใช้งานมีหน้าที่รับผิดชอบในการป้องกันการสูญหาย เช่น ควรล็อกเครื่องขณะที่ไม่ได้ใช้
งาน ไม่วางเครือ่ งทง้ิ ไว้ในท่ีสาธารณะ หรอื ในบรเิ วณท่มี คี วามเสีย่ งต่อการสูญหาย
(๒) ผู้ใช้งานไม่เก็บหรือใช้งานคอมพิวเตอร์แบบพกพาในสถานที่ที่มีความร้อน/ความชื้น/ฝุน่
ละอองสูงและตอ้ งระวังปอ้ งกันการตกกระทบ
ข้อ ๑๕๔. การควบคมุ การเขา้ ถึงระบบปฏบิ ัตกิ าร
(๑) ผู้ใช้งานต้องกำหนดชื่อผู้ใช้งาน (User name) และรหัสผ่าน (Password) ในการเข้าใช้
งานระบบปฏบิ ตั กิ ารของเครื่องคอมพวิ เตอรแ์ บบพกพา
(๒) ผู้ใช้งานต้องกำหนดรหสั ผา่ นให้มคี ุณภาพดีอย่างน้อยตามท่ีระบไุ ว้ในเอกสาร“การบริหาร
จดั การสิทธกิ์ ารใช้งานระบบและรหัสผา่ น”
(๓) ผู้ใช้งานต้องตั้งการใช้งานโปรแกรมรักษาจอภาพ (Screen Saver) โดยตั้งเวลาประมาณ
๑๕ นาที ใหท้ ำการลอ็ กหน้าจอเมือ่ ไมม่ ีการใช้งาน หลงั จากนน้ั เม่ือตอ้ งการใช้งานตอ้ งใส่รหัสผ่าน
แนวปฏิบตั ิในการรักษาความม่นั คงปลอดภัยด้านสารสนเทศ ของกระทรวงสาธารณสุข พ.ศ. ๒๕๖5 หน้า ๓๒
(๔) ผู้ใช้งานต้องทำการ Logout ออกจากระบบทันทีเมื่อเลิกใช้งานหรือไม่อยู่ที่หน้าจอเป็น
เวลานาน
ข้อ ๑๕๕. การใชร้ หัสผ่านให้ผู้ใชง้ านปฏบิ ตั ิตามแนวทางการบริหารจดั การรหัสผา่ นทร่ี ะบุไว้ในเอกสาร
“การกำหนดหน้าที่ความรับผิดชอบของผู้ใช้งาน”
ข้อ ๑๕๖. การสำรองข้อมลู และการก้คู นื
(๑) ผู้ใช้งานต้องทำการสำรองข้อมูลจากเครื่องคอมพิวเตอร์แบบพกพา โดยวิธีการและส่ือ
ตา่ ง ๆ เพอ่ื ปอ้ งกันการสูญหายของข้อมูล
(๒) ผู้ใช้งานต้องจะเก็บรักษาสื่อสำรองข้อมูล (Backup Media) ไว้ในสถานที่ที่เหมาะสม ไม่
เส่ียงต่อการรว่ั ไหลของขอ้ มลู
(๓) แผน่ สื่อสำรองขอ้ มูลตา่ ง ๆ ทเ่ี กบ็ ข้อมลู ไว้จะต้องทำการทดสอบการกู้คนื อย่างสม่ำเสมอ

27

ณ วนั ท่ี 3 พฤษภาคม 2565 กล่มุ งานพฒั นายุทธศาสตรส์ าธารณสขุ สำนกั งานสาธารณสขุ จังหวดั สุพรรณบรุ ี

(๔) แผ่นสื่อสำรองข้อมูลท่ีไมใ่ ชง้ านแล้ว ตอ้ งทำลายไมใ่ หส้ ามารถนำไปใช้งานไดอ้ ีก
(๕) ผู้ใช้งานต้องประเมินความเสี่ยงว่าข้อมูลที่เก็บไว้บน Hard Disk ไม่ควรจะเป็นข้อมูล
สำคญั เกย่ี วขอ้ งกับการทำงาน เพราะหาก Hard Disk เสียไป กไ็ มก่ ระทบต่อการดำเนินการของหนว่ ยงาน

ส่วนท่ี ๑๖ การตรวจจบั การบกุ รุก (Intrusion Detection System / Intrusion Prevention System
Policy : IDS/IPS Policy)

ข้อ ๑๕๗. IDS/IPS Policy เป็นนโยบายการติดตั้งระบบตรวจสอบการบุกรุก และตรวจสอบความ
ปลอดภยั ของเครือข่าย เพอื่ ป้องกันทรัพยากร ระบบสารสนเทศ และข้อมลู บนเครือขา่ ยภายในหน่วยงาน ให้มี
ความม่ันคงปลอดภัย เปน็ แนวทางการปฏบิ ัติเกี่ยวกบั การตรวจสอบการบุกรุกเครือข่าย พร้อมกับบทบาทและ
ความรบั ผิดชอบทเี่ กย่ี วขอ้ ง

ข้อ ๑๕๘. IDS/IPS Policy ครอบคลมุ ทุกโฮสต์ (Host) ในเครือขา่ ยของหน่วยงานและเครือข่ายข้อมูล
ท้ังหมด รวมถึงเสน้ ทางทขี่ อ้ มลู อาจเดินทาง ซง่ึ ไม่อย่ใู นเครือข่ายอินเทอรเ์ น็ตทุกเส้นทาง

ขอ้ ๑๕๙. ระบบท้งั หมดท่สี ามารถเข้าถึงได้จากอนิ เทอรเ์ น็ตหรือทีส่ าธารณะจะตอ้ งผ่านการตรวจสอบ
จากระบบ IDS/IPS

ข้อ ๑๖๐. ระบบทั้งหมดใน DMZ (Demilitarized Zone) จะต้องได้รับการตรวจสอบรูปแบบการ
ให้บริการก่อนการตดิ ต้งั และเปดิ ใหบ้ ริการ

ขอ้ ๑๖๑. โฮสต์(Host) และเครอื ข่ายทัง้ หมดทมี่ ีการส่งผ่านข้อมลู ผา่ น IDS/IPS จะตอ้ งมกี ารบนั ทึกผล
การตรวจสอบ

ขอ้ ๑๖๒. ระบบ IDS/IPS จะตอ้ งมกี ารตรวจสอบและ Update Patch/Signature เปน็ ประจำ
ข้อ ๑๖๓. ต้องมีการตรวจสอบเหตุการณ์ ข้อมูลจราจร พฤติกรรมการใช้งาน กิจกรรม และบันทึก
ปรมิ าณข้อมูลเขา้ ใช้งานเครือข่ายเปน็ ประจำทกุ วนั โดยผูด้ ูแลระบบ
ข้อ ๑๖๔. IDS/IPS จะทำงานภายใต้กฎควบคุมพื้นฐานของ Firewall ที่ใช้ในการเข้าถึงเครือข่ายของ
ระบบสารสนเทศตามปกติ
ข้อ ๑๖๕. เครอื่ งแม่ขา่ ยท่ีมกี ารตดิ ต้ัง Host-based IDS จะตอ้ งมีการตรวจสอบข้อมลู ประจำวนั
ข้อ ๑๖๖. จะต้องรายงานพฤติกรรมการใช้งาน กิจกรรม หรือเหตกุ ารณ์ท้ังหมด ทม่ี ีความเสี่ยงต่อการ
บุกรุก การโจมตรี ะบบ พฤตกิ รรมทน่ี า่ สงสัย หรือการพยายามเข้าระบบ ทั้งที่ประสบความสำเร็จและไม่ประสบ
ความสำเร็จ ให้ผ้บู ริหารระดับสงู หรอื ผทู้ ีไ่ ด้รบั มอบหมายใหป้ ฏิบัตหิ นา้ ที่ทราบทันทีทีต่ รวจพบ
ข้อ ๑๖๗. การตรวจสอบการบุกรกุ ทง้ั หมดจะต้องเกบ็ บนั ทึกข้อมลู ไว้ไมน่ ้อยกว่า ๙๐ วนั
ข้อ ๑๖๘. ระบบ IDS/IPS มีรูปแบบการตอบสนองต่อเหตุการณ์ที่เกิดขึ้น ได้แก่ รายงานผลการตรวจ
พบของเหตุการณ์ต่าง ๆ ดำเนินการตามขั้นตอนเพื่อลดความเสียหาย ลบซอฟต์แวร์มุ่งร้ายที่ตรวจพบ ป้องกัน
เหตุการณท์ อ่ี าจเกดิ อีกในอนาคต และดำเนนิ การตามแผน
ข้อ ๑๖๙. หน่วยงานมีสิทธิ์ในการยุติการเชือ่ มต่อเครอื ข่ายของเครื่องคอมพิวเตอรท์ ี่มีพฤติกรรมเส่ยี ง
ตอ่ การบุกรกุ ระบบ โดยไม่ต้องมกี ารแจ้งแกผ่ ใู้ ชง้ านลว่ งหน้า
ข้อ ๑๗๐. ผู้ที่ถูกตรวจสอบว่าพยายามกระทำการอันใดที่เป็นการละเมิดนโยบายของสำนักงาน
สาธารณสุขจังหวัดสุพรรณบุรี การพยายามเข้าถึงระบบโดยมิชอบ การโจมตีระบบ หรือมีพฤติกรรมเสี่ยงต่อ

28

ณ วนั ท่ี 3 พฤษภาคม 2565 กลมุ่ งานพัฒนายุทธศาสตร์สาธารณสุข สำนกั งานสาธารณสุขจังหวัดสุพรรณบรุ ี

การทำงานของระบบสารสนเทศ จะถูกระงับการใช้เครือข่ายทันที หากการกระทำดังกล่าวเป็นการกระทำ
ความผิดที่สอดคล้องกับกฎหมายว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ หรือเป็นการกระทำที่ส่งผล
ให้เกิดความเสียหายต่อข้อมูล และทรัพยากรระบบของหน่วยงาน จะต้องถูกดำเนินคดีตามขั้นตอนของ
กฎหมาย

ส่วนที่ ๑๗ การติดต้ังและกำหนดคา่ ของระบบ (System Installation and Configuration)
ข้อ ๑๗๑. การปรบั ปรุงระบบปฏบิ ัติการ (Operating System Update)
(๑) ตรวจสอบเคร่ืองแม่ขา่ ย และอุปกรณร์ ะบบ
(๒) ตดิ ตัง้ ระบบปฏิบัติการตรงตามความต้องการการใชง้ าน
(๓) กำหนดชื่อและรหัสผ่าน ผดู้ ูแลระบบ และชือ่ ผูใ้ ชง้ าน (User)
(๔) กำหนดค่าติดตั้ง ชือ่ เครอ่ื ง (Computer Name) / IP Address
(๕) ปรับปรุง/กำหนดค่าระดับความปลอดภัยของระบบปฏิบัติการ (กรณีทีร่ ะบบปฏิบัติการที่

มี Service Patch Update)
(๖) ติดตั้งโปรแกรม Antivirus/ปรับปรุง Virus Definition และกำหนดค่าการตรวจสอบ

ระบบการสแกนและปรับปรงุ โปรแกรม
ข้อ ๑๗๒. การบริหารบัญชีผู้ใช้งาน/สิทธิ์การเข้าถึงและการใช้งานระบบ ( User Account

Management)
(๑) กำหนดชอื่ และรหัสผา่ น ผูด้ แู ลระบบ (System Administrator)
(๒) กำหนดชือ่ ผใู้ ช้งาน (Username) และรหัสผา่ น (Password)
(๓) บนั ทกึ บัญชผี ูใ้ ชง้ านและสิทธ์ิการเขา้ ใช้ระบบ

ข้อ ๑๗๓. การปรับปรุงการรักษาความปลอดภัย/ Antivirus (System Security & Antivirus
Update)

(๑) ตดิ ตาม เฝา้ ระวงั ระบบการทำงานของคอมพิวเตอร์ การเข้าใชร้ ะบบ
(๒) Performance ของระบบ หรือตรวจสอบจากระบบรักษาความปลอดภยั ท่ีติดต้ัง
(๓) ปรับปรุง/กำหนดคา่ ระบบความปลอดภัย ใหเ้ หมาะสมกบั ปัญหา
(๔) ปรบั ปรงุ โปรแกรม Antivirus และ Definition ให้ทนั สมยั เป็นประจำทุกสัปดาห์
(๕) ดำเนินการ Scan ตรวจหาไวรสั คอมพวิ เตอร์ เป็นประจำ
ข้อ ๑๗๔. ติดตงั้ /ปรบั ปรงุ ระบบจดั การฐานขอ้ มูล (Database Management Operation)
(๑) ติดตงั้ ระบบจัดการฐานข้อมลู ตามความต้องการของระบบสารสนเทศ
(๒) กำหนดคา่ ระบบหรอื โปรแกรมฐานข้อมลู ใหท้ ำงานร่วมกับระบบปฏิบตั กิ ารได้อย่าง
ถกู ตอ้ ง และมีประสทิ ธิภาพตามข้อกำหนดของระบบฐานข้อมลู
(๓) สรา้ ง และกำหนดรายชื่อผู้บริหารระบบฐานขอ้ มูล (Database Admin) ช่อื ผใู้ ชง้ านอืน่
และสิทธิก์ ารใช้
(๔) ปรับปรงุ /กำหนดค่าระบบใหเ้ หมาะสม ทนั สมัย หรือปอ้ งกนั การเกดิ ปัญหาเป็นประจำ
ขอ้ ๑๗๕. ติดต้งั ฐานขอ้ มลู โปรแกรมระบบงานต่าง ๆ/กำหนดคา่ ระบบของโปรแกรมและกำหนด

29

ณ วนั ท่ี 3 พฤษภาคม 2565 กลุ่มงานพฒั นายุทธศาสตรส์ าธารณสขุ สำนกั งานสาธารณสขุ จังหวัดสุพรรณบรุ ี

ผูใ้ ช้และสทิ ธ์ิการเข้าใช้บรกิ าร หรอื เข้าถึงฐานขอ้ มลู
(๑) ตดิ ตง้ั โปรแกรมระบบงานตามความตอ้ งการ หรอื การพฒั นา
(๒) กำหนดค่า หรือโปรแกรม หรือบริการ ให้ทำงานร่วมกับระบบปฏิบัติการ เป็นไปตาม

โปรแกรมหรือระบบงานน้ันอย่างถูกต้องและมปี ระสิทธภิ าพ
(๓) ติดตั้งฐานข้อมูลและเชื่อมต่อระบบงาน และทำการทดสอบการให้บริการตามระบบงาน

นัน้ กำหนด
(๔) แจ้งผู้ใช้งาน หรือเจ้าของระบบงาน โดยแจ้งรายชื่อ รหัสผ่าน และสิทธิ์การเข้าใช้ระบบ

และฐานข้อมูลตามทีก่ ำหนดไว้
(๕) กำหนดเกณฑ์การสำรอง/สำเนา/ ทดสอบกูค้ ืน (Restore Test)
(๖) บันทึกข้อกำหนด ค่าติดตั้ง และบัญชีชื่อผู้ใช้งานแต่ละระดับของระบบทุกครั้งที่มีการ

สรา้ ง/ปรับปรงุ

ส่วนท่ี ๑๘ การจดั เกบ็ ข้อมลู จราจรคอมพวิ เตอร์ (Log)
ข้อ ๑๗๖. จัดเก็บข้อมูลจราจรทางคอมพิวเตอร์ (Log) ไว้ในสื่อเก็บข้อมูลที่สามารถรักษาความ

ครบถ้วน ถูกต้อง แท้จริง ระบุตัวบุคคลที่เข้าถึงสื่อดังกล่าวได้ และข้อมูลที่ใช้ในการจัดเก็บต้องกำหนดชั้น
ความลบั ในการเข้าถึง

ข้อ ๑๗๗. หา้ มแกไ้ ขข้อมูลจราจรคอมพิวเตอร์ (Log) ทีเ่ ก็บรกั ษาไว้
ข้อ ๑๗๘. กำหนดให้มีการบันทึกการท างานของระบบบันทึกการปฏิบัติงานของผู้ใช้งาน
(Application Logs) และบันทึกรายละเอียดของระบบป้องกันการบุกรุก เช่น บันทึกการเข้า – ออกระบบ
บันทึกการพยายามเข้าสู่ระบบ เป็นต้น เพื่อประโยชน์ในการใช้ตรวจสอบและต้องเก็บบันทึกไว้อย่างน้อย ๙๐
วัน นับต้ังแต่การใชง้ านส้นิ สุดลง โดยปฏบิ ตั ิตามกฎหมายวา่ ด้วยการกระท าความผดิ เกี่ยวกับคอมพิวเตอร์
ข้อ ๑๗๙. ต้องมีวธิ กี ารป้องกนั การแก้ไขเปลีย่ นแปลงบันทึกตา่ ง ๆ และจำกดั สิทธิก์ ารเขา้ ถึงบนั ทึก

30

ณ วนั ที่ 3 พฤษภาคม 2565 กลมุ่ งานพฒั นายุทธศาสตร์สาธารณสขุ สำนักงานสาธารณสขุ จังหวัดสุพรรณบุรี

หมวดที่ ๒
การรักษาความปลอดภยั ฐานข้อมูลและสำรองข้อมลู
วตั ถปุ ระสงค์
๑. เพื่อให้ระบบสารสนเทศของหน่วยงานสามารถให้บริการได้อย่างต่อเนื่อง เป็นมาตรฐาน แนวทาง
ปฏิบัติและความรับผิดชอบของผู้ดูแลระบบในการปฏิบัติงานให้กับหน่วยงานอย่างเคร่งครัด และตระหนักถึง
ความสำคัญของการรกั ษาความมัน่ คงปลอดภยั
๒. เพ่อื ให้ผ้ใู ช้งานได้รบั รเู้ ขา้ ใจและสามารถปฏิบัติตามแนวทางทก่ี ำหนดโดยเคร่งครัด และตระหนักถึง
ความสำคัญของการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศ

แนวปฏบิ ตั ิ
สว่ นท่ี ๑ การรักษาความปลอดภัยฐานข้อมลู

ขอ้ ๑. กำหนดสิทธ์แิ ละความสำคญั ของขอ้ มูลและฐานขอ้ มลู
(๑) จัดทำบัญชฐี านข้อมูล การจำแนกกลมุ่ ทรัพยากรของระบบหรือการทำงาน โดยให้กำหนด

กลุ่มผ้ใู ช้งานและสิทธ์ขิ องกล่มุ ผู้ใช้งาน
(๒) กำหนดเกณฑ์ในการอนุญาตให้เข้าถึงการใช้งานสารสนเทศ ที่เกี่ยวข้องกับการอนุญาต

การกำหนดสทิ ธ์หิ รือการมอบอำนาจ ดังน้ี
(๒.๑) กำหนดสทิ ธิ์ของผใู้ ช้งานแต่ละกลมุ่ ท่ีเกย่ี วขอ้ ง
- อ่านอยา่ งเดียว
- สรา้ งขอ้ มูล
- ป้อนขอ้ มลู
- แกไ้ ข
- อนุมตั ิ
- ไม่มีสิทธ์ิ
(๒.๒) กำหนดเกณฑ์การระงบั สิทธ์ิการมอบอำนาจ ใหเ้ ป็นไปตามการบริหารจัดการ

การเขา้ ถงึ ของผู้ใช้งาน (User Access Management) ที่ได้กำหนดไว้
(๒.๓) ผู้ใชง้ านทีต่ ้องการเขา้ ใชง้ านระบบสารสนเทศของหน่วยงานจะต้องขออนญุ าต

เปน็ ลายลักษณ์อกั ษรและได้รบั การพจิ ารณาอนุญาตจากหัวหนา้ หน่วยงานหรือผดู้ แู ลระบบท่ีได้รับมอบหมาย
(๓) ข้นั ตอนปฏบิ ัติเพ่ือการจดั เก็บขอ้ มูล
(๓.๑) จดั แบ่งประเภทของข้อมูล ออกเป็น
- ข้อมูลสารสนเทศด้านการบริหาร เช่น ข้อมูลนโยบาย ข้อมูลยุทธศาสตร์
และคำรบั รอง ขอ้ มลู บุคลากร ขอ้ มลู งบประมาณการเงินและบญั ชี เป็นตน้
- ข้อมูลสารสนเทศด้านการแพทย์ที่ให้บริการ เช่น ข้อมูลผู้ป่วย ข้อมูลยา
และเวชภณั ฑ์ ข้อมูลสถานพยาบาล เป็นตน้
(๓.๒) จัดแบ่งระดบั ความสำคญั ของข้อมลู ออกเป็น ๓ ระดับ คอื
- ขอ้ มูลทมี่ ีระดบั ความสำคญั มากทส่ี ุด

31

ณ วันท่ี 3 พฤษภาคม 2565 กลุ่มงานพัฒนายุทธศาสตร์สาธารณสขุ สำนักงานสาธารณสุขจังหวัดสุพรรณบุรี

- ข้อมลู ที่มีระดับความสำคญั ปานกลาง
- ขอ้ มูลท่มี รี ะดับความสำคญั นอ้ ย
(๓.๓) จัดแบ่งลำดบั ช้นั ความลับของข้อมูล
- ข้อมูลลับที่สุด หมายถึง หากเปิดเผยทั้งหมดหรือเพียงบางส่วนจะ
กอ่ ให้เกดิ ความเสยี หายอย่างร้ายแรงทีส่ ดุ
- ข้อมูลลับมาก หมายถึง หากเปิดเผยทั้งหมดหรือเพียงบางส่วนจะ
กอ่ ให้เกิดความเสียหายอยา่ งร้ายแรง
- ข้อมลู ลบั หมายถึง หากเปิดเผยทง้ั หมดหรอื เพียงบางสว่ นจะกอ่ ให้เกิด
ความเสยี หาย
- ข้อมูลทั่วไป หมายถึง ขอ้ มลู ท่ีสามารถเปิดเผยหรอื เผยแพรท่ ว่ั ไปได้
(๓.๔) จดั แบ่งระดบั ชัน้ การเข้าถึง
- ระดบั ช้ันสำหรับผู้บริหาร
- ระดบั ช้ันสำหรบั ผใู้ ช้งานท่วั ไป
- ระดบั ช้นั สำหรบั ผดู้ แู ลระบบหรอื ผ้ทู ีไ่ ดม้ อบหมาย
(๓.๕) การกำหนดเวลาทไ่ี ด้เขา้ ถึง
(๓.๖) การกำหนดจำนวนช่องทางทส่ี ามารถเขา้ ถงึ
ขอ้ ๒. ข้อมูล ข่าวสารสารสนเทศทกุ ประเภทในฐานข้อมูลตอ้ งได้รับการจัดระดับการป้องกันผ้มู สี ทิ ธ์ิ
เขา้ ใชห้ รอื ดำเนินการ รวมทั้งรายละเอียดอ่นื ๆ ทจี่ ำเปน็ ต่อมาตรการรกั ษาความปลอดภยั
ข้อ ๓. การปฏิบัติเกี่ยวกับข้อมูลที่เป็นความลับให้ปฏิบัติตามระเบียบว่าด้วยการรักษาความลับทาง
ราชการ พ.ศ. ๒๕๔๔ และแนวปฏบิ ัติการรักษาความมน่ั คงปลอดภัยดา้ นสารสนเทศ หมวดที่ ๑ ข้อ ๑๒
ข้อ ๔. หน่วยงานเจ้าของฐานข้อมูล ผู้มีสิทธิ์และอำนาจในสายงาน เป็นผู้พิจารณาคุณสมบัติของ
ผใู้ ช้งานและโปรแกรมที่ได้รับอนญุ าตให้กระทำการใด ๆ กับข้อมลู น้นั ได้ตามสิทธิแ์ ละจัดให้มีแฟ้มลงบันทึกเข้า
ออก (Log File) การใชง้ านสำหรบั ฐานขอ้ มลู ตามความจำเปน็ เพอื่ ประโยชน์ในการตรวจสอบความถกู ต้องของ
การใชง้ านฐานขอ้ มูล
ข้อ ๕. ในกรณีฐานข้อมลู ที่มีการใชร้ ่วมกันระหว่างส่วนราชการ หรือแลกเปลี่ยน หรือขอใช้ข้อมูลจาก
ส่วนราชการให้จัดทำข้อตกลงการใช้ข้อมูล หรือสำหรับการแลกเปลี่ยนสารสนเทศระหว่างหน่วยงานกับ
หน่วยงานภายนอก ดงั ตอ่ ไปนี้
(๑) กำหนดนโยบาย ข้นั ตอนปฏบิ ัติ และมาตรฐานเพอื่ ป้องกันข้อมลู และสื่อบนั ทึกขอ้ มลู
ทจี่ ะมีการขนยา้ ยหรือส่งไปยงั อีกสถานที่หนึง่
(๒) กำหนดหน้าที่ความรับผิดชอบของผูท้ ่ีเกีย่ วข้องและขั้นตอนปฏิบัตใิ นการใช้ข้อมูลร่วมกัน
หรอื แลกเปล่ยี นขอ้ มลู เช่น วธิ ีการส่ง การรบั เป็นตน้
(๓) กำหนดหนา้ ทีค่ วามรบั ผิดชอบในการปอ้ งกันข้อมลู
(๔) กำหนดขั้นตอนปฏิบัติสำหรับตรวจสอบวา่ ใครเป็นผู้ส่งข้อมูลและใครเป็นผู้รบั ข้อมูลเพอ่ื
เปน็ การปอ้ งกันการปฏเิ สธ

32

ณ วันที่ 3 พฤษภาคม 2565 กล่มุ งานพัฒนายุทธศาสตรส์ าธารณสขุ สำนักงานสาธารณสขุ จังหวดั สพุ รรณบุรี

(๕) กำหนดความรับผิดชอบสำหรับกรณีที่ข้อมูลที่แลกเปลี่ยนกันเกิดการสูญหายหรือเกิด
เหตกุ ารณค์ วามเสียหายอ่นื ๆ กับขอ้ มูลนน้ั

(๖) กำหนดสทิ ธ์กิ ารเข้าถงึ ข้อมูล
(๗) กำหนดมาตรฐานทางเทคนคิ ทีใ่ ช้ในการเขา้ ถึงขอ้ มลู หรอื ซอฟตแ์ วร์
(๘) กำหนดมาตรการพิเศษสำหรับป้องกันเอกสาร ข้อมูล ซอฟต์แวร์ หรืออื่น ๆ ที่มีความ
สำคญั เช่น กญุ แจทีใ่ ช้ในการเขา้ รหสั เปน็ ต้น

สว่ นที่ ๒ การสำรองขอ้ มูล
ข้อ ๖. ต้องพิจารณาคัดเลือกระบบสารสนเทศที่สำคัญและจัดทำระบบสำรองที่เหมาะสมให้อยู่ใน

สภาพพร้อมใช้งาน โดยเรยี งลำดบั ความจำเป็นมากไปน้อย
ข้อ ๗. ต้องกำหนดหนา้ ทีแ่ ละความรับผดิ ชอบของเจา้ หน้าทใี่ นการสำรองข้อมลู
ข้อ ๘. ต้องจัดทำบัญชีระบบสารสนเทศที่มีความสำคญั ทั้งหมดของหน่วยงาน พร้อมทั้งกำหนดระบบ

สารสนเทศท่จี ะจดั ท าระบบสำรอง และจัดท าระบบแผนเตรยี มพรอ้ มกรณีฉกุ เฉิน อย่างน้อยปีละ ๑ คร้งั
ขอ้ ๙. ต้องกำหนดใหม้ ีการสำรองข้อมูลของระบบสารสนเทศแตล่ ะระบบ และกำหนดความถ่ใี นการ

สำรองขอ้ มูล หากระบบใดท่ีมีการเปลย่ี นแปลงบอ่ ยกำหนดใหม้ ีความถี่ในการสำรองข้อมูลมากขน้ึ โดยใหม้ ี
วิธีการสำรองข้อมูล ดังนี้

(๑) กำหนดประเภทของขอ้ มลู ทต่ี อ้ งทำการสำรองเกบ็ ไว้ และความถีใ่ นการสำรอง
(๒) กำหนดรูปแบบการสำรองข้อมลู ใหเ้ หมาะสมกบั ข้อมูลที่จะทำการสำรองข้อมูล
(๓) บันทึกข้อมูลท่ีเก่ยี วข้องกบั กจิ กรรมการสำรองข้อมูล ไดแ้ ก่ ผดู้ ำเนินการ วนั /เวลา
ช่อื ข้อมลู ทสี่ ำรอง สำเร็จ/ไม่สำเร็จ เปน็ ต้น
(๔) ตรวจสอบค่าคอนฟิกกเู รชันตา่ ง ๆ ของระบบการสำรองข้อมลู
(๕) จัดเก็บข้อมูลที่สำรองนั้นในสื่อเก็บข้อมูล โดยมีการพิมพ์ชื่อบนสื่อเก็บข้อมูลนั้นให้
สามารถแสดงถึงระบบซอฟตแ์ วร์ วนั ท่ี เวลาทีส่ ำรองขอ้ มลู และผู้รับผดิ ชอบในการสำรองข้อมูลไวอ้ ยา่ งชดั เจน
(๖) จัดเก็บข้อมูลที่สำรองไว้นอกสถานที่ ระยะทางระหว่างสถานที่ที่จัดเก็บข้อมูลสำรองกับ
หน่วยงานต้องห่างกันเพียงพอ เพื่อไม่ให้ส่งผลกระทบต่อข้อมูลที่จัดเก็บไว้นอกสถานที่นั้น ในกรณีที่เกิดภัย
พิบตั กิ บั หน่วยงาน
(๗) ดำเนินการป้องกันทางกายภาพอย่างเพียงพอต่อสถานที่สำรองที่ใช้จัดเก็บข้อมูลนอก
สถานที่
(๘) ทดสอบบนั ทึกข้อมลู สำรองอย่างสม่ำเสมอ เพ่อื ตรวจสอบวา่ ยังคงสามารถเข้าถึงข้อมูลได้
ตามปกติ
(๙) จดั ทำข้นั ตอนปฏบิ ตั ิสำหรับการกู้คืนขอ้ มูลทเ่ี สยี หายจากข้อมลู ท่ีไดส้ ำรองเก็บไว้
(๑๐) ตรวจสอบและทดสอบประสิทธิภาพและประสิทธิผลของขั้นตอนปฏิบัติในการกู้คืน
ข้อมูลอย่างสมำ่ เสมอ อย่างน้อยปีละ ๑ คร้ัง หรือตามความเหมาะสมโดยคำนึงถึงความเสี่ยงต่างๆ ท่ีจะเกดิ ขึน้
(๑๑) กำหนดให้มีการใชง้ านการเข้ารหสั ข้อมลู กับข้อมูลลบั ทไ่ี ด้สำรองเก็บไว้

33

ณ วันท่ี 3 พฤษภาคม 2565 กลุ่มงานพฒั นายุทธศาสตรส์ าธารณสขุ สำนักงานสาธารณสขุ จังหวดั สุพรรณบรุ ี

ข้อ ๑๐. ต้องจัดทำแผนเตรียมความพร้อมกรณีฉุกเฉินในกรณีที่ไม่สามารถดำเนินการด้วยวิธีการทาง
อเิ ล็กทรอนิกส์ เพื่อใหส้ ามารถใชง้ านสารสนเทศได้ตามปกตอิ ย่างต่อเนื่อง โดย

(๑) มกี ารกำหนดหนา้ ที่ และความรบั ผิดชอบของผูท้ เ่ี กยี่ วขอ้ งทงั้ หมด
(๒) มกี ารประเมินความเสี่ยงสำหรบั ระบบท่ีมีความสำคัญเหล่าน้นั และกำหนดมาตรการเพื่อ
ลดความเสี่ยงเหล่าน้ัน เช่น ไฟดับเปน็ ระยะเวลานาน ไฟไหม้ แผ่นดินไหว การชมุ นุม ประท้วง ทำให้ไม่สามารถ
เข้ามาใช้ระบบงานได้ เป็นต้น
(๓) มีการกำหนดขั้นตอนปฏบิ ตั ิในการกูค้ นื ระบบสารสนเทศ
(๔) มกี ารกำหนดขน้ั ตอนปฏิบตั ใิ นการสำรองข้อมูล และทดสอบก้คู นื ขอ้ มลู ทส่ี ำรองไว้
(๕) มกี ารกำหนดช่องทางในการติดตอ่ กบั ผูใ้ ห้บริการภายนอก เชน่ ผใู้ หบ้ รกิ ารเครอื ขา่ ย
ฮารด์ แวร์ ซอฟต์แวร์ เปน็ ต้น เม่อื เกิดเหตุจำเปน็ ทีจ่ ะต้องตดิ ต่อ
(๖) การสรา้ งความตระหนัก หรือใหค้ วามรู้แก่เจ้าหนา้ ทผี่ ูท้ เี่ ก่ยี วขอ้ งกับขนั้ ตอนการปฏิบตั ิ
หรือ สิ่งทต่ี อ้ งทำเมือ่ เกดิ เหตุเร่งดว่ น เป็นต้น
ขอ้ ๑๑. มกี ารทบทวนเพ่อื ปรบั ปรุงแผนเตรยี มความพรอ้ มกรณีฉุกเฉนิ ดงั กลา่ วใหส้ ามารถปรบั ใชไ้ ด้
อย่างเหมาะสมและสอดคล้องกับการใช้งานตามภารกิจ อย่างน้อยปลี ะ ๑ ครงั้
ขอ้ ๑๒. ต้องมีการกำหนดหน้าทีแ่ ละความรับผดิ ชอบของบุคลากรซึ่งดแู ลรบั ผิดชอบระบบสารสนเทศ
ระบบสำรอง และการจัดทำแผนเตรียมพร้อมกรณีฉุกเฉินในกรณีที่ไม่สามารถดำเนินการด้วยวิธีการทาง
อิเล็กทรอนิกส์
ข้อ ๑๓. ต้องมีการทดสอบสภาพพร้อมใช้งานของระบบสารสนเทศ ระบบสำรอง และระบบแผน
เตรียมพร้อมกรณีฉุกเฉิน อย่างน้อยปีละ ๑ ครั้ง หรือตามความเหมาะสมโดยคำนึงถึงความเสี่ยงต่าง ๆ ที่จะ
เกิดขนึ้ เพ่ือให้ระบบมีสภาพพร้อมใช้งานอย่เู สมอ
ข้อ ๑๔. มีการทบทวนระบบสารสนเทศ ระบบสำรอง และระบบแผนเตรียมพร้อมกรณีฉุกเฉินท่ี
เพียงพอต่อสภาพความเส่ียงทยี่ อมรบั ได้ของแตล่ ะหน่วยงาน อยา่ งนอ้ ยปลี ะ ๑ ครัง้

34

ณ วันที่ 3 พฤษภาคม 2565 กลมุ่ งานพัฒนายุทธศาสตร์สาธารณสุข สำนักงานสาธารณสุขจังหวดั สพุ รรณบุรี

หมวดที่ ๓
การตรวจสอบและประเมนิ ความเส่ยี งด้านสารสนเทศ
วตั ถุประสงค์
๑. เพอ่ื ใหม้ ีการตรวจสอบและประเมินความเสีย่ งของระบบสารสนเทศหรือสถานการณ์
ด้านความมั่นคงปลอดภัยท่ไี ม่พงึ ประสงค์หรอื ไม่อาจคาดคดิ ได้
๒. เพอื่ เปน็ การป้องกันและลดระดบั ความเส่ียงท่อี าจจะเกิดขึน้ ไดก้ บั ระบบสารสนเทศ
๓. เพื่อเปน็ แนวทางในการปฏบิ ตั หิ ากเกดิ ความเสี่ยงทีเ่ ป็นอนั ตรายต่อระบบสารสนเทศ

แนวปฏิบตั ิ
สว่ นที่ ๑ การตรวจสอบและประเมินความเสยี่ ง

ตรวจสอบและประเมินความเสี่ยงด้านสารสนเทศหรือสถานการณ์ด้านความมั่นคงปลอดภัยที่ไม่พึง
ประสงค์หรือไม่อาจคาดคิดได้ ที่อาจเกิดขึ้นกับระบบเทคโนโลยีสารสนเทศ โดยผู้ตรวจสอบภายในของ
หน่วยงาน (Internal Auditor) อย่างน้อยปีละ ๑ ครั้ง เพื่อให้หน่วยงานได้ทราบถึงระดับความเส่ียงและระดบั
ความมนั่ คงปลอดภัยสารสนเทศ โดยมแี นวทางในตรวจสอบและประเมนิ ความเสยี่ งทีต่ อ้ งคำนึงถึง ดังน้ี

ขอ้ ๑. จัดลำดบั ความสำคัญของความเส่ียง
ข้อ ๒. คน้ หาวิธีการดำเนินการเพือ่ ลดความเสี่ยง
ข้อ ๓. ศึกษาข้อดขี ้อเสยี ของวธิ กี ารดำเนนิ การเพื่อลดความเสีย่ ง
ข้อ ๔. สรปุ ผลขอ้ เสนอแนะและแนวทางแก้ไขเพ่ือลดความเสย่ี งท่ีตรวจสอบได้
ขอ้ ๕. มกี ารตรวจสอบและประเมนิ ความเสย่ี งและใหจ้ ดั ทำรายงานพรอ้ มข้อเสนอแนะ
ขอ้ ๖. มมี าตรการในการตรวจประเมนิ ระบบสารสนเทศ อยา่ งนอ้ ย ดงั นี้

(๑) กำหนดให้ผู้ตรวจสอบสามารถเข้าถึงข้อมูลที่จำเป็นต้องตรวจสอบได้แบบอ่านได้ อย่าง
เดียว

(๒) ในกรณีที่จำเป็นต้องเข้าถึงข้อมูลในแบบอื่น ๆ ให้สร้างสำเนาสำหรับข้อมูลนัน้ เพื่อให้ ผู้
ตรวจสอบใช้งาน รวมทัง้ ต้องทำลายหรือลบโดยทันทที ่ีตรวจสอบเสร็จ หรอื ต้องจดั เกบ็ ไวโ้ ดยมีการป้องกันเป็น
อย่างดี

(๓) กำหนดให้มีการระบุและจัดสรรทรัพยากรที่จำเป็นต้องใช้ในการตรวจสอบระบบบริหาร
จดั การความมั่นคงปลอดภยั

(๔) กำหนดให้มีการเฝ้าระวังการเข้าถึงระบบโดยผู้ตรวจสอบ รวมทั้งบันทึก Log แสดงการ
เขา้ ถงึ น้ัน ซ่ึงรวมถงึ วันและเวลาท่เี ขา้ ถึงระบบงานท่ีสำคญั ๆ

(๕) ในกรณีท่ีมเี คร่ืองมือสำหรับการตรวจประเมนิ ระบบสารสนเทศ กำหนดให้แยกการติดต้ัง
เครื่องมือที่ใช้ในการตรวจสอบ ออกจากระบบให้บริการจริงหรือระบบที่ใช้ในการพัฒนาและมีการจัดเก็บ
ปอ้ งกันเครือ่ งมือนัน้ จากการเขา้ ถงึ โดยไม่ได้รับอนญุ าต

35

ณ วันที่ 3 พฤษภาคม 2565 กล่มุ งานพัฒนายุทธศาสตร์สาธารณสขุ สำนักงานสาธารณสขุ จังหวดั สพุ รรณบรุ ี

ส่วนที่ ๒ ความเสย่ี งทอ่ี าจเปน็ อนั ตรายต่อระบบเทคโนโลยสี ารสนเทศ
จากการติดตามตรวจสอบความเสี่ยงต่าง ๆ รวมถึงเหตุการณ์ด้านความมั่นคงปลอดภัยในระบบ

เทคโนโลยสี ารสนเทศ สามารถแยกเป็นภยั ต่าง ๆ ได้ ๔ ประเภท ดงั นี้
ประเภทที่ ๑ ภยั ทเ่ี กดิ จากเจ้าหน้าท่หี รือบุคลากรของหน่วยงาน (Human Error) เช่น เจ้าหน้าท่ีหรือ

บุคลากรของหน่วยงานขาดความรู้ความเข้าใจในเครื่องมืออุปกรณ์คอมพิวเตอร์ ทั้งด้าน Hardware และ
Software ซ่ึงอาจทำให้ระบบเทคโนโลยสี ารสนเทศเสียหาย ใชง้ านไม่ได้ เกิดการชะงกั งนั หรอื หยดุ ทำงานและ
ส่งผลให้ไม่สามารถใช้งานระบบเทคโนโลยีสารสนเทศได้อย่างเต็มประสิทธิภาพ ได้กำหนดแนวทางการ
ดำเนินการเบื้องตน้ เพอ่ื ลดปญั หาความเส่ยี งทีจ่ ะเกิดขน้ึ กับระบบเทคโนโลยสี ารสนเทศไว้ ดังน้ี

(๑) จัดหลักสูตรอบรมเจ้าหน้าที่ของหน่วยงาน ให้มีความรู้ความเข้าใจในด้าน Hardware
และ Software เบื้องต้น เพื่อลดความเสี่ยงด้าน Human Error ให้น้อยที่สุด ทำให้เจ้าหน้าที่มีความรู้ความ
เข้าใจการใช้และบริหารจัดการเครื่องมืออุปกรณ์ทางด้านสารสนเทศ ทั้งทางด้าน Hardware และ Software
ได้มปี ระสทิ ธภิ าพยงิ่ ขนึ้ ทำให้ความเส่ยี งทเ่ี กิดจาก Human Error ลดน้อยลง

(๒) จัดทำหนังสือแจ้งเวียนหน่วยงานทั้งส่วนกลางและส่วนภูมิภาค เรื่อง การใช้และการ
ประหยัดพลังงานให้กบั เครือ่ งคอมพิวเตอร์และอุปกรณ์ เพ่ือเป็นแนวทางปฏิบัติไดอ้ ยา่ งถกู ตอ้ ง

ประเภทที่ ๒ ภัยที่เกิดจาก Software ที่สร้างความเสียหายให้แก่เครื่องคอมพิวเตอร์หรือระบบ
เครือข่ายคอมพิวเตอร์ประกอบด้วย ไวรัสคอมพิวเตอร์ (Computer Virus) หนอนอินเทอร์เน็ต (Internet
Worm) ม้าโทรจัน (Trojan Horse) และข่าวไวรัสหลอกลวง (Hoax) พวก Software เหล่าน้ี อาจรบกวนการ
ทำงาน และก่อให้เกิดความเสยี หายให้แก่ระบบเทคโนโลยีสารสนเทศ ถึงขั้นทำใหร้ ะบบเครือข่ายคอมพิวเตอร์
ใช้งานไมไ่ ด้ ไดก้ ำหนดแนวทางปฏิบัติเพ่อื เตรยี มรับสถานการณภ์ ยั จาก Software ดงั น้ี

(๑) ตดิ ต้ัง Firewall ท่เี ครือ่ งคอมพิวเตอรแ์ มข่ ่าย ทำหนา้ ทใ่ี นการกำหนดสทิ ธิก์ ารเข้าใช้งาน
เคร่ืองคอมพิวเตอรแ์ ม่ข่าย และป้องกันการบุกรุกจากภายนอก

(๒) ติดตั้งซอฟตแ์ วร์ Antivirus ดักจับไวรัสทเี่ ข้ามาในระบบเครือข่าย และสามารถตรวจสอบ
ได้ว่ามีไวรสั ชนดิ ใดเขา้ มาทำความเสียหายกับระบบเครือข่ายคอมพวิ เตอร์

ประเภทที่ ๓ ภัยจากไฟไหม้ หรือ ระบบไฟฟ้า จัดเป็นภัยร้ายแรงที่ทำความเสียหายให้แก่ระบบ
เทคโนโลยสี ารสนเทศ ไดก้ ำหนดแนวทางปฏบิ ัตเิ พื่อเตรียมรบั สถานการณด์ งั นี้

(๑) ตดิ ต้ังอุปกรณส์ ำรองไฟฟา้ (UPS) เพื่อควบคมุ การจ่ายกระแสไฟฟ้าให้กับระบบเครื่องแม่
ข่ายe(Server) ในกรณีเกิดกระแสไฟฟ้าขัดข้อง ระบบเครือข่ายคอมพิวเตอร์จะสามารถให้บริการได้ใน
ระยะเวลาท่สี ามารถจดั เก็บและสำรองขอ้ มลู ไว้อยา่ งปลอดภยั

(๒) ตดิ ตงั้ อปุ กรณต์ รวจจับควนั กรณีทีเ่ กิดเหตุการณก์ ระแสไฟฟ้าขัดข้องหรือมีควันไฟเกิดขึ้น
ภายในห้องควบคุมระบบเครือข่าย อุปกรณ์ดังกล่าวจะส่งสัญญาณแจ้งเตือนที่หน่วยรักษาความปลอดภัยเพ่ือ
ทราบ และรีบเข้ามาระงับเหตฉุ กุ เฉนิ อยา่ งทนั ทว่ งที ซึง่ มกี ารตรวจสอบความพรอ้ มของอปุ กรณอ์ ย่างสมำ่ เสมอ

(๓) ติดตั้งอุปกรณ์ดับเพลิงชนิดก๊าซ ที่ห้องควบคุมระบบคอมพิวเตอร์เพื่อไว้ใช้ในกรณีเหตุ
ฉุกเฉิน (ไฟไหม)้ โดยมีการตรวจสอบความพรอ้ มของอุปกรณ์และทดลองใช้งานโดยสม่ำเสมอ

ประเภทที่ ๔ ภัยจากน้ำท่วม (อุทกภัย) ความเสี่ยงต่อความเสียหายจากน้ำท่วม จัดเป็นภัยร้ายแรงท่ี
ทำความเสียหายใหแ้ กร่ ะบบเทคโนโลยสี ารสนเทศ ได้กำหนดแนวทางปฏบิ ตั ิเพ่ือเตรียมรบั สถานการณด์ ังนี้

36

ณ วันที่ 3 พฤษภาคม 2565 กลมุ่ งานพฒั นายุทธศาสตรส์ าธารณสขุ สำนกั งานสาธารณสขุ จังหวดั สุพรรณบุรี

(๑) เฝ้าระวังภัยอันเกิดจากน้ำท่วมโดยติดตามจากพยากรณ์อากาศของกรมอุตุนิยมวิทยา
ตลอดเวลา

(๒) ถอดเทป Back up ข้อมลู ทง้ั หมด ไปเกบ็ ไว้ในท่ปี ลอดภัย
(๓) ดำเนนิ การตดั ระบบไฟฟา้ ในห้องควบคุม โดยปิดเบรกเกอรเ์ ครือ่ งปรับอากาศ เพอื่ ปอ้ งกัน
เครอื่ งควบคุมเสยี หาย และป้องกนั ภัยจากไฟฟา้
(๔) เจ้าหนา้ ทช่ี ว่ ยกนั เคล่ือนยา้ ยเครือ่ งคอมพวิ เตอรแ์ ม่ขา่ ย และอปุ กรณเ์ ครือขา่ ยไว้ในทสี่ ูง
(๕) กรณีนำ้ ลดลงเรียบร้อยแล้วให้ชา่ งไฟฟ้าตรวจสอบระบบไฟฟ้าในห้องควบคมุ เครือข่าย
ว่าสามารถใช้งานได้ปกติหรือไม่ และเตรียมความพร้อมห้องควบคุมระบบเครือข่ายสำหรับติดตั้งเครื่อง
คอมพิวเตอร์ แมข่ า่ ยและอปุ กรณ์เครอื ขา่ ย
(๖) ทำการติดตั้งเครื่องคอมพิวเตอร์แม่ข่ายและอุปกรณ์เครือข่าย พร้อมทั้งทดสอบการใช้
งานของเครื่องคอมพิวเตอร์แม่ข่ายแต่ละเครื่องว่าสามารถให้บริการได้ตามปกติหรือไม่ ตรวจสอบระบบ
Network วา่ สามารถเชื่อมตอ่ และใหบ้ รกิ ารกบั เคร่ืองคอมพวิ เตอรล์ ูกขา่ ยไดห้ รือไม่
(๗) เมอื่ ตรวจสอบแลว้ ว่าเครื่องคอมพิวเตอร์แมข่ ่ายและระบบเครือข่ายสามารถให้บริการ
ข้อมูลไดเ้ รยี บรอ้ ยแลว้ แจ้งให้หน่วยงานทีเ่ กีย่ วขอ้ งทราบ เพอ่ื เข้ามาใช้บรกิ ารไดต้ ามปกติ

หมวดท่ี ๔
การรกั ษาความปลอดภัยด้านกายภาพ สถานที่ และสภาพแวดลอ้ ม

วัตถปุ ระสงค์
เพื่อกำหนดมาตรการในการควบคุมและป้องกันการรักษาความมั่นคงปลอดภัยในการเข้าใช้งานหรือ

เข้าถึงพื้นที่ใช้งานในระบบสารสนเทศ โดยพิจารณาตามความสำคัญของอุปกรณ์ ระบบเทคโนโลยีสารสนเทศ
ข้อมูลซึ่งมีผลบังคับใช้กับผู้ใช้งานและรวมถึงบุคคล และหน่วยงานภายนอกที่มีส่วนเกี่ยวข้องกับการใช้งาน
ระบบเทคโนโลยสี ารสนเทศของหนว่ ยงาน

แนวปฏบิ ตั ิ
ข้อ ๑. อาคาร สถานที่ และพื้นที่ใช้งานระบบสารสนเทศ หมายถึง ที่ซึ่งเป็นที่ตั้งของระบบ

คอมพิวเตอร์ ระบบเครือข่าย หรือระบบสารสนเทศอื่น ๆ พื้นที่เตรียมข้อมูลจัดเก็บคอมพิวเตอร์และอุปกรณ์
พื้นที่ปฏิบัติงานของบุคลากรทางคอมพิวเตอร์ รวมทั้งเครื่องคอมพิวเตอร์ส่วนบุคคลและอุปกรณ์ประกอบท่ี
ติดตัง้ ประจำโตะ๊ ทำงาน

ขอ้ ๒. หอ้ งควบคมุ ระบบเครือข่ายคอมพิวเตอร์ ต้องมีลักษณะ ดังนี้
(๑) กำหนดเป็นเขตหวงหา้ มเดด็ ขาด หรือเขตหวงห้ามเฉพาะโดยพจิ ารณาตามความสำคญั

แล้วแต่กรณี
(๒) ต้องเปน็ พนื้ ที่ท่ีไมต่ ้งั อยูใ่ นบริเวณท่ีมกี ารผ่านเข้า–ออก ของบคุ คลเปน็ จำนวนมาก
(๓) จะตอ้ งไม่มปี า้ ยหรือสัญลักษณ์ท่บี ง่ บอกถึงการมรี ะบบสำคัญอย่ภู ายในสถานท่ีดงั กล่าว
(๔) จะตอ้ งปิดลอ็ ก หรือใสก่ ุญแจประตหู น้าตา่ งหรือหอ้ งเสมอเมอ่ื ไม่มีเจ้าหน้าที่ประจำอยู่
(๕) หากจำเป็นต้องใช้เคร่อื งโทรสารหรอื เคร่ืองถ่ายเอกสาร ให้ติดตัง้ แยกออกมาจาก

37

ณ วนั ท่ี 3 พฤษภาคม 2565 กลุ่มงานพฒั นายุทธศาสตร์สาธารณสุข สำนักงานสาธารณสุขจังหวดั สพุ รรณบรุ ี

บริเวณดังกล่าว
(๖) ไม่อนุญาตให้ถา่ ยรูปหรอื บนั ทกึ ภาพเคล่ือนไหวในบรเิ วณดงั กล่าว เป็นอันขาด
(๗) จดั พืน้ ทสี่ ำหรบั การสง่ มอบผลิตภัณฑ์ โดยแยกจากบริเวณที่มที รพั ยากรสารสนเทศ

จดั ต้ังไว้ เพือ่ ป้องกนั การเขา้ ถงึ ระบบจากผ้ไู มไ่ ดร้ บั อนุญาต
ขอ้ ๓. การกำหนดบรเิ วณทีต่ ้องมกี ารรักษาความม่ันคงปลอดภัย
(๑) มกี ารจำแนกและกำหนดพ้นื ทขี่ องระบบเทคโนโลยีสารสนเทศตา่ ง ๆ อยา่ งเหมาะสม

เพอื่ จดุ ประสงคใ์ นการเฝ้าระวัง ควบคมุ การรกั ษาความมนั่ คงปลอดภยั จากผู้ท่ีไมไ่ ด้รบั
อนญุ าต รวมท้งั ปอ้ งกันความเสยี หายอืน่ ๆ ทีอ่ าจเกดิ ขน้ึ ได้

(๒) กำหนดและแบ่งแยกบริเวณพื้นที่ใช้งานระบบเทคโนโลยีสารสนเทศให้ชัดเจน รวมท้ัง
จัดทำแผนผังแสดงตำแหน่งของพื้นที่ใช้งานและประกาศให้รับทราบทั่วกัน โดยการกำหนดพื้นที่ดังกล่าวอาจ
แบ่งออกได้เป็นพื้นที่ทำงานทั่วไป (General Working Area) พื้นที่ทำงานของผู้ดูแลระบบ (System
Administrator Area) พื้นที่ติดตั้งอุปกรณ์ระบบเทคโนโลยีสารสนเทศ (IT Equipment Area) พื้นที่จัดเก็บ
ขอ้ มูลคอมพวิ เตอร์ (Data Storage Area) และพืน้ ท่ีใช้งานเครือข่ายไรส้ าย (Wireless LAN Coverage Area)
เป็นตน้

ขอ้ ๔. การควบคุมการเขา้ ออก อาคารสถานท่ี
(๑) กำหนดสิทธ์ิผใู้ ชง้ าน ที่มีสิทธ์ผิ ่านเขา้ -ออก และชว่ งเวลาทมี่ สี ทิ ธใิ์ นการผา่ นเข้าออกในแต่

ละ “พื้นที่ใช้งานระบบ” อย่างชัดเจน แนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ ของ
สำนกั งานสาธารณสขุ จงั หวัดสพุ รรณบรุ ี พ.ศ. ๒๕๖5 หน้า ๔๔

(๒) การเข้าถงึ อาคารของหน่วยงานของบุคคลภายนอก หรือผมู้ าตดิ ตอ่ จะต้องใหผ้ ู้ดแู ลระบบ
ทราบ แล้วทำการลงบนั ทึกขอ้ มลู การเข้าออกไว้เป็นหลักฐาน

(๓) ให้มีการบันทกึ วันและเวลาการเขา้ -ออกพ้นื ที่สำคัญของผู้ทม่ี าติดต่อ (Visitors)
(๔) ผมู้ าตดิ ตอ่ ต้องติดบัตรใหเ้ ห็นเด่นชัดตลอดระยะเวลาท่อี ยู่ภายในหนว่ ยงาน
(๕) บรษิ ัทผู้ได้รบั การว่าจ้างต้องตดิ บัตรใหเ้ หน็ เดน่ ชดั ตลอดระยะเวลาการทำงาน
(๖) จัดเก็บบันทกึ การเขา้ -ออกสำหรับพน้ื ท่ีหรือบริเวณทม่ี ีความสำคัญ เช่น (Data Center)
เป็นต้น เพอ่ื ใชใ้ นการตรวจสอบในภายหลังเม่อื มคี วามจำเป็น
(๗) ดแู ลผทู้ ี่มาติดต่อในพ้ืนทห่ี รือบรเิ วณท่ีมคี วามสำคัญจนกระท่งั เสร็จสน้ิ ภารกิจและจากไป
เพ่ือปอ้ งกนั การสญู หายของทรัพย์สินหรือป้องกนั การเขา้ ถึงทางกายภาพโดยไม่ไดร้ ับอนญุ าต
(๘) มีกลไกการอนุญาตการเขา้ ถึงพ้ืนทีห่ รือบริเวณทีม่ ีความสำคัญของบุคคลภายนอก และ
ตอ้ งมีเหตุผลท่เี พยี งพอในการเขา้ ถงึ บริเวณดังกลา่ ว
(๙) สร้างความตระหนักใหผ้ ทู้ มี่ าตดิ ตอ่ จากภายนอกเขา้ ใจในกฎเกณฑ์หรือขอ้ กำหนดตา่ ง ๆ
ท่ตี อ้ งปฏบิ ัตริ ะหว่างที่อยใู่ นพน้ื ทีห่ รือบรเิ วณท่ีมีความสำคัญ
(๑๐) มีการควบคมุ การเขา้ ถึงพนื้ ท่ีทมี่ ีข้อมูลสำคัญจัดเก็บหรอื ประมวลผลอยู่
(๑๑) ไม่อนุญาตให้ผูไ้ ม่มกี จิ เขา้ ไปในพน้ื ทห่ี รือบรเิ วณทม่ี ีความสำคัญเว้นแตไ่ ด้รับการอนุญาต
(๑๒) มีการพิสจู น์ตวั ตน เชน่ การใช้บัตรรดู การใชร้ หสั ผ่าน เป็นตน้ เพ่ือควบคมุ การเขา้ -ออก
ในพื้นท่ีหรือบรเิ วณท่ีมีความสำคัญ (Data Center)

38

ณ วันท่ี 3 พฤษภาคม 2565 กลุ่มงานพฒั นายุทธศาสตรส์ าธารณสขุ สำนักงานสาธารณสขุ จังหวัดสพุ รรณบุรี

(๑๓) จัดให้มีการดูแลและเฝ้าระวังการปฏิบัติงานของบุคคลภายนอกในขณะที่ปฏิบัติงานใน
พนื้ ท่หี รอื บรเิ วณทมี่ ีความสำคัญ

(๑๔) จัดให้มีการทบทวน หรือยกเลิกสิทธ์ิการเข้าถึงพื้นที่หรือบริเวณที่มีความสำคัญ อย่าง
น้อยปลี ะ ๑ ครั้ง

ขอ้ ๕. ระบบและอปุ กรณ์สนับสนนุ การทำงาน (Supporting Utilities)
(๑) มรี ะบบสนบั สนนุ การทำงานของระบบเทคโนโลยสี ารสนเทศของหน่วยงานที่เพียงพอ

ต่อความต้องการใช้งาน โดยใหม้ รี ะบบดงั ตอ่ ไปนี้
- ระบบสำรองกระแสไฟฟ้า (UPS)
- เครื่องกำเนิดกระแสไฟฟ้าสำรอง (Generator)
- ระบบระบายอากาศ
- ระบบปรบั อากาศ และควบคุมความชน้ื
(๒) ให้มกี ารตรวจสอบหรอื ทดสอบระบบสนบั สนุนเหล่านนั้ อยา่ งนอ้ ยปลี ะ ๑ ครง้ั เพอ่ื ให้

ม่ันใจไดว้ า่ ระบบทำงานตามปกติ และลดความเส่ยี งจากการล้มเหลวในการทำงานของระบบ
(๓) ตดิ ตง้ั ระบบแจ้งเตอื น เพือ่ แจ้งเตือนกรณที ี่ระบบสนับสนุนการทำงานภายในห้องเคร่ือง

ทำงานผิดปกตหิ รอื หยุดการทำงาน
ข้อ ๖. การเดนิ สายไฟ สายสอ่ื สาร และสายเคเบิลอน่ื ๆ (Cabling Security)
(๑) หลีกเลี่ยงการเดินสายสัญญาณเครือข่ายของหน่วยงานในลักษณะที่ต้องผ่านเข้าไปใน

บรเิ วณท่ีมบี ุคคลภายนอกเข้าถงึ ได้
(๒) ให้มีการร้อยท่อสายสัญญาณต่างๆ เพื่อป้องกันการดักจับสัญญาณ หรือการตัด

สายสญั ญาณเพอื่ ทำใหเ้ กิดความเสยี หาย
(๓) ให้เดินสายสัญญาณสื่อสารและสายไฟฟ้าแยกออกจากกัน เพื่อป้องกันการแทรกแซง

รบกวนของสญั ญาณซึง่ กันและกัน
(๔) ทำปา้ ยชื่อสำหรบั สายสญั ญาณและบนอปุ กรณเ์ พ่ือป้องกนั การตัดต่อสญั ญาณผิดเส้น
(๕) จดั ทำผังสายสัญญาณส่ือสารตา่ ง ๆ ใหค้ รบถ้วนและถกู ตอ้ ง
(๖) ห้องที่มีสายสัญญาณสื่อสารต่าง ๆ ปิดใส่สลักให้สนิท เพื่อป้องกันการเข้าถึงของ

บุคคลภายนอก
(๗) พิจารณาใช้งานสายไฟเบอร์ออปติก แทนสายสัญญาณสื่อสารแบบเดิม (เช่น

สายสญั ญาณแบบ Coaxial Cable) สำหรับระบบสารสนเทศทีส่ ำคญั
(๘) ดำเนนิ การสำรวจระบบสายสัญญาณสอื่ สารทัง้ หมดเพอ่ื ตรวจหาการติดตงั้ อุปกรณด์ กั จับ

สัญญาณโดยผู้ไมป่ ระสงค์ดี
ขอ้ ๗. การบำรงุ รกั ษาอปุ กรณ์(Equipment Maintenance)
(๑) ใหม้ ีกำหนดการบำรุงรักษาอปุ กรณต์ ามรอบระยะเวลาทีแ่ นะนำโดยผ้ผู ลิต
(๒) ปฏบิ ัติตามคำแนะนำในการบำรงุ รกั ษาตามทผ่ี ผู้ ลติ แนะนำ
(๓) จัดเก็บบันทึกกิจกรรมการบำรุงรักษาอุปกรณ์สำหรับการให้บริการทุกครั้ง เพื่อใช้ในการ

ตรวจสอบหรือประเมินในภายหลัง

39

ณ วนั ที่ 3 พฤษภาคม 2565 กลุ่มงานพฒั นายุทธศาสตรส์ าธารณสุข สำนักงานสาธารณสุขจังหวัดสุพรรณบรุ ี

(๔) จัดเก็บบันทึกปัญหาและข้อบกพร่องของอุปกรณ์ที่พบ เพื่อใช้ในการประเมินและ
ปรับปรุงอุปกรณด์ งั กล่าว

(๕) ควบคมุ และสอดส่องดูแลการปฏิบตั ิงานของผู้ให้บริการภายนอกท่มี าท าการบำรงุ รักษา
อุปกรณ์ภายในหนว่ ยงาน

(๖) จัดให้มีการอนุมัติสิทธิ์การเข้าถึงอุปกรณ์ที่มีข้อมูลสำคัญของผู้รับจ้างให้บริการจาก
ภายนอก (ทม่ี าท าการบำรงุ รักษาอปุ กรณ์) เพ่ือป้องกนั การเข้าถึงข้อมูลโดยไม่ไดร้ ับอนุญาต

ขอ้ ๘. การนำทรพั ยส์ นิ ของหนว่ ยงานออกนอกหนว่ ยงาน (Removal of Property)
(๑) ใหม้ ีการขออนญุ าตก่อนน าอุปกรณ์หรือทรัพยส์ ินน้นั ออกไปใชง้ านนอกหนว่ ยงาน
(๒) กำหนดผรู้ บั ผดิ ชอบในการเคลอ่ื นยา้ ยหรือน าอุปกรณอ์ อกนอกหนว่ ยงาน
(๓) กำหนดระยะเวลาของการน าอุปกรณ์ออกไปใชง้ านนอกหนว่ ยงาน
(๔) เมอื่ มกี ารนำอปุ กรณส์ ่งคืน ให้ตรวจสอบวา่ สอดคล้องกบั ระยะเวลาท่อี นุญาตและ

ตรวจสอบการชำรดุ เสยี หายของอุปกรณ์ด้วย
(๕) บันทึกข้อมูลการน าอปุ กรณข์ องหน่วยงานออกไปใชง้ านนอกหน่วยงาน เพ่อื เอาไว้เป็น

หลกั ฐานป้องกนั การสญู หาย รวมทง้ั บนั ทกึ ขอ้ มูลเพม่ิ เติมเมอ่ื นำอุปกรณส์ ง่ คนื
ข้อ ๙. การปอ้ งกันอุปกรณท์ ใ่ี ชง้ านอยู่นอกหนว่ ยงาน (Security of Equipment Off-Premises)
(๑) กำหนดมาตรการความปลอดภัยเพื่อป้องกันความเสี่ยงจากการนำอุปกรณ์หรือทรัพยส์ นิ

ของหนว่ ยงานออกไปใชง้ าน เช่น การขนส่ง การเกดิ อุบัติเหตกุ บั อุปกรณ์
(๒) ไมท่ ง้ิ อปุ กรณ์หรอื ทรพั ยส์ ินของหนว่ ยงานไว้โดยลำพังในทส่ี าธารณะ
(๓) เจ้าหน้าทีม่ ีความรบั ผดิ ชอบดูแลอุปกรณห์ รอื ทรพั ย์สนิ เสมือนเปน็ ทรัพย์สินของตนเอง

ขอ้ ๑๐. การกำจดั อปุ กรณห์ รอื การนำอปุ กรณก์ ลับมาใชง้ านอีกครัง้ (Secure Disposal or Re-Use
of Equipment)

(๑) ให้ทำลายข้อมูลสำคญั ในอุปกรณก์ ่อนทีจ่ ะกำจดั อุปกรณ์ดังกลา่ ว
(๒) มีมาตรการหรอื เทคนคิ ในการลบหรอื เขยี นข้อมูลทับบนข้อมลู ท่ีมีความสำคัญในอุปกรณ์
สำหรับจัดเก็บข้อมูลก่อนที่จะอนุญาตให้ผู้อื่นนำอุปกรณ์นั้นไปใช้งานต่อ เพื่อป้องกันไม่ให้มีการเข้าถึงข้อมูล
สำคญั น้ันได้

40

ณ วันท่ี 3 พฤษภาคม 2565 กลมุ่ งานพัฒนายุทธศาสตรส์ าธารณสขุ สำนักงานสาธารณสุขจังหวดั สุพรรณบรุ ี

หมวดท่ี ๕
การดำเนินการตอบสนองเหตกุ ารณ์ความมน่ั คงปลอดภยั ทางระบบสารสนเทศ

วัตถุประสงค์
เพื่อกำหนดมาตรการในการป้องกันการบุกรุกและการโจมตี หรือเหตุการณ์ละเมิดความปลอดภัย

ระบบสารสนเทศใหม้ ีความม่นั คงปลอดภยั
แนวปฏบิ ัติ

ขอ้ ๑. ระบบป้องกันผู้บุกรุก
(๑) ดำเนินการตรวจสอบ Log File หรอื รายงานของระบบป้องกนั การบกุ รกุ สงิ่ ทีท่ ำการ

ตรวจสอบมีดังตอ่ ไปน้ี
- มกี ารโจมตีมากนอ้ ยเพยี งใด และเป็นการโจมตปี ระเภทใดมากท่ีสุด
- ลกั ษณะของการโจมตที ี่เกิดขึ้นมรี ปู แบบที่สามารถคาดเดาไดห้ รือไม่
- ระดบั ความรุนแรงมากน้อยเพียงใด
- หมายเลขไอพีของเครอื ข่ายทเี่ ป็นผโู้ จมตี

ข้อ ๒. ระบบไฟร์วอลล์
(๑) ดำเนนิ การตรวจระบบปอ้ งกันการบกุ รกุ อยา่ งน้อยเดอื นละ ๑ ครัง้
(๒) ดำเนนิ การตรวจสอบบันทึกของ Log File และรายงานของไฟรว์ อลล์ สงิ่ ท่ตี ้องตรวจสอบ

มีดงั ต่อไปน้ี
- Packet ทไี่ ฟร์วอลลไ์ ดท้ ำการ Block
- ลกั ษณะของ Packet ทถี่ ูก Block
- Packet ของหมายเลขไอพี ของเครอื ขา่ ยใดถกู Block เปน็ จำนวนมาก
(๓) กรณีตรวจพบการโจมตีระบบหรือเหตุการณ์ละเมิดความปลอดภัยระบบสารสนเทศให้

แจ้งหัวหนา้ หนว่ ยงาน เพอ่ื ตดั สินใจดำเนินการแก้ไขปญั หา
ข้อ ๓. ระบบปอ้ งกนั ภยั คุกคามทางอินเทอร์เนต็ ภัยคกุ คามทางอินเทอรเ์ น็ตหรือมัลแวร์ (Malware)

ประกอบดว้ ย ไวรสั หนอนอนิ เทอร์เนต็ โทรจนั รวมถึงสปายแวร์
(๑) ดำเนนิ การตรวจสอบ Log File และรายงานของอุปกรณท์ ี่เก่ยี วขอ้ งกบั ระบบป้องกนั

ภยั คุกคามทางอินเทอรเ์ น็ต สิง่ ทตี่ อ้ งตรวจสอบมีดังนี้
- มลั แวร์ประเภทใดถกู พบเปน็ จำนวนมาก
- มัลแวรถ์ ูกส่งมาจากเครอื ขา่ ยใด และถกู ส่งไปยังทใี่ ด
- มีการสง่ มัลแวร์จากเครอื ข่ายภายในกระทรวงสาธารณสุขไปยงั ภายนอกหรอื ไม่
(๒) ศึกษาหาวิธีแก้ไขเคร่ืองคอมพิวเตอร์ท่ีตดิ มลั แวร์ โดยเฉพาะมลั แวร์ประเภททต่ี รวจพบวา่

กระจายอย่ใู นเครือข่ายของสำนักงานสาธารณสุขจงั หวัดสพุ รรณบุรี
(๓) ตรวจสอบพบว่าเครื่องคอมพิวเตอร์ภายในเครือข่ายติดมลั แวร์หรือส่งมัลแวร์ออกไปข้าง

นอก ตอ้ งระงบั การเชอ่ื มตอ่ ของเครื่องทีต่ ิดมัลแวร์กับระบบเครือขา่ ย แลว้ ทำการแกไ้ ขเครอ่ื งน้ันทนั ที

41

ณ วันที่ 3 พฤษภาคม 2565 กลมุ่ งานพฒั นายุทธศาสตร์สาธารณสขุ สำนกั งานสาธารณสขุ จังหวดั สพุ รรณบุรี

หมวดที่ ๖
การสรา้ งความตระหนักในเรอื่ งการรกั ษาความปลอดภัยของระบบเทคโนโลยสี ารสนเทศ

วัตถุประสงค์
๑. เพือ่ สร้างความรคู้ วามเขา้ ใจในการใช้ระบบสารสนเทศและระบบคอมพวิ เตอร์ใหแ้ กผ่ ู้ใชง้ านของ

สำนกั งานสาธารณสุขจงั หวัดสุพรรณบุรี
๒. เพ่ือให้การใชง้ านระบบสารสนเทศและระบบคอมพิวเตอร์เกดิ ความม่นั คงปลอดภยั
๓. เพอ่ื ปอ้ งกันและลดการกระทำความผดิ ท่เี กดิ ขนึ้ จากการใช้ระบบสารสนเทศและระบบคอมพิวเตอร์

โดยไม่คาดคดิ
แนวปฏบิ ัติ

ขอ้ ๑. จัดให้มกี ารทบทวน ปรับปรงุ นโยบายและแนวปฏบิ ัตใิ หเ้ ป็นปจั จุบนั อย่เู สมอ อย่างน้อยปีละ ๑
ครัง้

ข้อ ๒. จัดฝึกอบรมแนวปฏิบัติตามแนวนโยบายอย่างสม่ำเสมอ โดยการจัดฝึกอบรม โดยใช้วิธีการ
เสริมเนื้อหาแนวปฏบิ ตั ติ ามแนวนโยบายเข้ากับหลักสูตรอบรมต่าง ๆ ตามแผนการฝกึ อบรมของหน่วยงาน

ข้อ ๓. จัดสัมมนาเพื่อเผยแพร่นโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้าน
สารสนเทศและสร้างความตระหนกั ถึงความสำคัญของการปฏิบัติใหก้ ับบุคลากร โดยการจัดสัมมนามีแผนการ
ดำเนินงานปลี ะไมน่ ้อยกวา่ ๑ ครงั้ โดยจะจดั ร่วมกับการสัมมนาที่เกย่ี วข้องกับด้านเทคโนโลยสี ารสนเทศ และมี
การเชิญวิทยากรจากภายนอกที่มีประสบการณด์ ้านการรักษาความมั่นคงปลอดภัยด้านสารสนเทศมาถ่ายทอด
ความรู้

ข้อ ๔. ตดิ ประกาศประชาสัมพนั ธ์ ให้ความรู้เก่ียวกับแนวปฏบิ ัติ ในลักษณะเกร็ดความรู้ หรือข้อระวัง
ในรูปแบบทสี่ ามารถเขา้ ใจและนำไปปฏิบตั ิไดง้ ่าย โดยมกี ารปรบั เปลี่ยนเกร็ดความรอู้ ยเู่ สมอ

ข้อ ๕. ระดมการมีส่วนร่วมและลงสู่ภาคปฏิบัติด้วยการกำกับ ติดตาม ประเมินผล และสำรวจความ
ต้องการของผูใ้ ช้งาน

ข้อ ๖. ให้มีการสร้างความตระหนักเกี่ยวกับโปรแกรมไม่ประสงค์ดี เพื่อให้เจ้าหน้าที่มีความรู้ความ
เข้าใจและสามารถป้องกันตนเองได้และให้รับทราบขั้นตอนปฏิบัติเมื่อพบเหตุโปรแกรมไม่ประสงค์ดีว่าต้อง
ดำเนินการอย่างไร

ข้อ ๗. สร้างความรู้ความเข้าใจให้แก่ผู้ใช้งานให้ตระหนักถึงเหตุการณ์ด้านความมั่นคงปลอดภัยท่ี
เกดิ ข้ึน และสถานการณ์ด้านความมน่ั คงปลอดภยั ท่ีไม่พึงประสงค์หรอื ไม่อาจคาดคิด เพอื่ ให้ผู้ใชง้ านปฏิบัติตาม
นโยบายและแนวปฏบิ ัติในการรกั ษาความม่นั คงปลอดภัยของหนว่ ยงาน

ข้อ ๘. ผู้ใช้งานต้องตระหนักและปฏิบัติตามกฎหมายใด ๆ ที่ได้ประกาศใช้ในประเทศไทยรวมทั้ง
กฎระเบียบของกระทรวงสาธารณสุข กฎระเบียบของสำนักงานสาธารณสุขจังหวัดสุพรรณบุรี และข้อตกลง
ระหว่างประเทศอย่างเคร่งครัด ทั้งนี้ หากผู้ใช้งานไม่ปฏิบัติตามกฎหมายดังกล่าว ถือว่าความผิดนั้นเป็น
ความผดิ สว่ นบุคคลซึง่ ผ้ใู ช้งานจะตอ้ งรับผิดชอบตอ่ ความผิดทเ่ี กดิ ข้นึ เอง

42

ณ วันที่ 3 พฤษภาคม 2565 กลุ่มงานพัฒนายุทธศาสตร์สาธารณสุข สำนักงานสาธารณสุขจังหวดั สุพรรณบรุ ี

หมวดที่ ๗
หนา้ ท่แี ละความรบั ผิดชอบ

วตั ถปุ ระสงค์
เพื่อกำหนดหน้าที่ความรับผิดชอบของผู้บริหารระดับสูง หัวหน้า เจ้าหน้าที่ ตลอดจนผู้ที่ได้รับ

มอบหมายใหด้ ูแลรับผดิ ชอบดา้ นสารสนเทศ
แนวปฏิบตั ิ

ข้อ ๑. ระดับนโยบาย ผ้รู บั ผิดชอบ ได้แก่
- ผูบ้ รหิ ารระดับสงู สดุ (Chief Executive Office : CEO) ของหนว่ ยงาน
- ผบู้ ริหารเทคโนโลยีสารสนเทศระดบั สงู (Chief Information Office : CIO) ของหนว่ ยงาน
(๑) รบั ผิดชอบในการกำหนดนโยบาย ให้ขอ้ เสนอแนะ คำปรกึ ษา ตลอดจนติดตาม กำกับ

ดูแล ควบคุมตรวจสอบเจา้ หน้าทใ่ี นระดบั ปฏบิ ตั ิ
(๒) รับผิดชอบต่อความเสี่ยง ความเสียหาย หรืออันตรายที่เกิดขึ้นกรณีระบบคอมพิวเตอร์

หรือข้อมูลสารสนเทศเกิดความเสียหาย หรืออันตรายใด ๆ แก่หน่วยงานหรือผู้หนึ่งผู้ใด อันเนื่องมาจากความ
บกพร่อง ละเลย หรือฝ่าฝืนการปฏิบัติตามแนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้าน
สารสนเทศ

ข้อ ๒. ระดบั บริหาร ผ้รู ับผดิ ชอบ ไดแ้ ก่ หัวหนา้ กลุ่มงาน หรอื เทียบเทา่ หวั หน้ากลมุ่ งาน
(๑) รับผิดชอบ กำกับ ดูแลการปฏิบัติงานของผู้ปฏิบัติ ตลอดจนศึกษา ทบทวน วางแผน

ติดตามการบริหารความเสี่ยง และระบบรักษาความปลอดภัยฐานข้อมลู และเทคโนโลยี
สารสนเทศ

(๒) รับผิดชอบในการควบคุม ดูแล รักษาความปลอดภัย ระบบสารสนเทศและระบบ
ฐานขอ้ มลู

ข้อ ๓. ระดับปฏิบตั ิ ผ้รู บั ผิดชอบ ไดแ้ ก่ ผ้ทู ไี่ ดร้ ับมอบหมายให้ปฏบิ ตั ิหน้าท่ีจากหัวหน้าสว่ นราชการ
สำนกั งานสาธารณสขุ จังหวดั สุพรรณบรุ ี เช่น นักวชิ าการคอมพวิ เตอร์

(๑) ปฏิบตั ิตามนโยบายและแนวปฏิบตั ใิ นการรักษาความมั่นคงปลอดภยั ดา้ นสารสนเทศ
(๒) ประสานการปฏิบัตงิ านตามแผนปอ้ งกันและแก้ไขปัญหาระบบความม่นั คงปลอดภยั ของ
ฐานขอ้ มลู และสารสนเทศจากสถานการณค์ วามไม่แน่นอนและภัยพิบตั ิ
(๓) รบั ผดิ ชอบควบคุม ดแู ล รักษาความปลอดภัย และบำรุงรกั ษา ระบบเครอื่ งคอมพิวเตอร์
ระบบเครอื ข่าย หอ้ งควบคมุ ระบบเครือข่ายและเครอื่ งคอมพวิ เตอรแ์ มข่ ่าย
(๔) ทำการสำรองข้อมูลและเรียกคืนข้อมูล (Backup and Recovery) ตามรอบระยะเวลาท่ี
กำหนด
(๕) ป้องกันการถูกเจาะระบบ และแก้ไขปัญหาการถูกเจาะเข้าระบบฐานข้อมูลจาก
บคุ คลภายนอก (Hacker) โดยไม่ได้รับอนญุ าต
(๖) รับผิดชอบในการรกั ษาความปลอดภัย ระบบอนิ เทอรเ์ น็ต
(๗) ปฏิบตั ิงานอนื่ ๆ ตามที่ได้รับมอบหมายในการรกั ษาความมน่ั คงปลอดภยั ดา้ นสารสนเทศ

43

ณ วนั ที่ 3 พฤษภาคม 2565 กลมุ่ งานพัฒนายุทธศาสตร์สาธารณสขุ สำนักงานสาธารณสุขจังหวดั สพุ รรณบุรี

หมวดที่ ๘
การบริหารจัดการการใชบ้ ริการจากหน่วยงานภายนอก

วตั ถุประสงค์
เพื่อให้หน่วยงานภายนอก ได้ปฏิบัติตามนโยบายรักษาความมั่นคงปลอดภัยด้านสารสนเทศของ

สำนักงานสาธารณสุขจังหวัดสุพรรณบุรี ทำให้ระบบสารสนเทศดำเนินไปได้อย่างต่อเนื่องและมีประสิทธิภาพ
แนวปฏบิ ตั ิ

ข้อ ๑. ต้องมีการประเมินความเสี่ยงจากการเข้าถึงข้อมูล และระบบสารสนเทศ หรืออุปกรณ์ที่ใช้ใน
การประมวลผลโดยหน่วยงานภายนอก และกำหนดมาตรการควบคุมที่เหมาะสมก่อนที่จะอนุญาตให้เข้าถึง
ขอ้ มูลและระบบสารสนเทศ หรืออุปกรณ์ดงั กลา่ วได้

ข้อ ๒. การเข้าใช้งานระบบสารสนเทศ หรือเข้าถึงข้อมูลของหน่วยงานจากหน่วยงานภายนอกต้องมี
การขออนุญาตอย่างเป็นทางการ และได้รับอนุญาตจากหัวหน้าหน่วยงานหรือผู้ดูแลระบบที่ได้รับมอบหมาย
กอ่ นเสมอ

ข้อ ๓.การบริการ และการดำเนินงานจากหน่วยงานภายนอก จะต้องปฏิบัติตาม นโยบายการรักษา
ความม่ันคงปลอดภัยดา้ นสารสนเทศ แนวทางการปฏิบัติงาน มาตรฐาน และกฎข้อบังคับตา่ ง ๆ ของสำนักงาน
สาธารณสุขจังหวดั สุพรรณบุรี

ขอ้ ๔. ผู้ดูแลระบบต้องให้สทิ ธ์กิ ารเขา้ ถงึ ขอ้ มลู ตอ่ หนว่ ยงานภายนอกเท่าทจี่ ำเปน็ เท่าน้นั
ขอ้ ๕. ตอ้ งมีการทำสัญญาการรักษาความลับขององค์กร ระหว่างหนว่ ยงานและหนว่ ยงานภายนอกท่ี
เขา้ มาปฏบิ ัติงานก่อนเปิดใหใ้ ชบ้ รกิ ารระบบเสมอ
ขอ้ ๖. ผใู้ ห้บริการหนว่ ยงานภายนอก ตอ้ งจัดทำแผนการดำเนนิ งาน และวิธกี ารดำเนนิ งาน เป็นอย่าง
นอ้ ยเพ่อื ควบคมุ หรือตรวจสอบการให้บริการของผู้ให้บริการให้เป็นไปอย่างถกู ต้อง ม่ันคงปลอดภัย และเป็นไป
ตามขอบเขตท่ไี ดก้ ำหนดไว้
ข้อ ๗. สัญญาระหว่างหน่วยงาน และหน่วยงานภายนอก ในการให้บริการต้องระบุถึงหัวข้อต่าง ๆ
ดงั ต่อไปนี้ เปน็ อย่างนอ้ ย

- รายละเอียดการให้บรกิ าร แผนการดำเนินงาน วธิ ีการดำเนนิ งาน และส่งิ ทตี่ อ้ งส่งมอบ
- ระดับการใหบ้ ริการ (Service Level)
- หน้าทแ่ี ละความรบั ผดิ ชอบขององค์การและหนว่ ยงานภายนอก ในการใหบ้ ริการในครัง้ นี้
- ระยะเวลาในการใหบ้ รกิ าร และการตรวจรับงานบริการในครง้ั น้ี
- ราคา และเง่ือนไขการชำระเงิน
- ความเป็นเจา้ ของและลขิ สทิ ธข์ิ องอุปกรณ์ ฮารด์ แวร์ หรือซอฟต์แวร์ ทท่ี ำการจัดซ้อื หรอื
พัฒนาขน้ึ (ถา้ ม)ี
- การรักษาความลบั ของข้อมูลที่ได้รับจากการให้บรกิ ารแก่องค์การ

44

ณ วันท่ี 3 พฤษภาคม 2565 กลมุ่ งานพัฒนายุทธศาสตร์สาธารณสุข สำนักงานสาธารณสุขจังหวดั สุพรรณบรุ ี