150 ส�ำ นกั งานคณะกรรมการนโยบายรัฐวิสาหกจิ
2.5
3.2 การบรู ณาการการเชอื่ มโยงขอ้ มลู และการดำ� เนนิ งานรว่ มกนั ระดับ 4 รัฐวิสาหกิจมีการก�ำหนดแนวทางปฏิบัติ/แผนงาน
(Data and System Integration) (น�้ำหนักรอ้ ยละ 3) ท่ีเก่ียวกับการบูรณาการการเช่ือมโยงข้อมูลและ
รัฐวิสาหกิจก�ำหนดแนวทางปฏิบัติ/แผนงานท่ีเกี่ยวกับ การดำ� เนนิ งานรว่ มกนั อยา่ งเปน็ รปู ธรรม โดยสามารถ
การบูรณาการการเช่ือมโยงข้อมูลและการด�ำเนินงานร่วมกัน ระบเุ ปน็ โครงการวา่ จะดำ� เนนิ การอะไร ระบวุ ตั ถปุ ระสงค์
อย่างเปน็ รปู ธรรม ของโครงการทีช่ ดั เจนโครงการมคี วามเป็นไปได้
ระดับ 1 เร่ิมมีแผนงานที่เก่ียวกับการบูรณาการการเช่ือมโยง
ระดับ 5 รัฐวิสาหกิจมีการก�ำหนดแนวทางปฏิบัติ/แผนงาน
ข้อมลู และการดำ� เนนิ งานร่วมกนั ที่เก่ียวกับการบูรณาการการเช่ือมโยงข้อมูลและ
ระดบั 2 รัฐวิสาหกิจมีการก�ำหนดแนวทางปฏิบัติ/แผนงาน การดำ� เนนิ งานรว่ มกนั อยา่ งเปน็ รปู ธรรม โดยสามารถ
ระบเุ ปน็ โครงการวา่ จะดำ� เนนิ การอะไรระบวุ ตั ถปุ ระสงค์
ที่เก่ียวกับการบูรณาการการเชื่อมโยงข้อมูลและ ของโครงการที่ชัดเจนโครงการมีความเป็นไปได้
การดำ� เนนิ งานรว่ มกนั สามารถน�ำโครงการไปปฏิบัติได้อยา่ งเปน็ รูปธรรม
ระดับ 3 รัฐวิสาหกิจมีการก�ำหนดแนวทางปฏิบัติ/แผนงาน
ท่ีเก่ียวกับการบูรณาการการเชื่อมโยงข้อมูลและ
การดำ� เนนิ งานรว่ มกนั อยา่ งเปน็ รปู ธรรม โดยสามารถ
ระบเุ ปน็ โครงการวา่ จะดำ� เนนิ การอะไร ระบวุ ตั ถปุ ระสงค์
ของโครงการที่ชดั เจน
ระบบการประเมินผลการด�ำ เนนิ งานรฐั วิสาหกิจ ตามระบบประเมนิ ผลรฐั วสิ าหกิจ 151
2.5
หมายเหตุ : คณุ ลักษณะ 10 ประการของระบบราชการ 4.0
ที่มา : เอกสารประกอบการบรรยาย e-Government Executive Program
การจัดทำ� แผนปฏิบัติการเพ่ือบรู ณาการกระบวนงานและขอ้ มลู หน่วยงานภาครฐั ดร.ธนาวิชญ์ จนิ ดาประดษิ ฐ์
152 ส�ำ นักงานคณะกรรมการนโยบายรฐั วิสาหกจิ
2.5 4. การกำ� กบั ดแู ลขอ้ มลู และการบรหิ ารจดั การขอ้ มลู ขนาดใหญข่ ององคก์ ร
(Data Governance and Big DataManagement) (นำ�้ หนกั รอ้ ยละ 10)
4.1 การดำ� เนนิ การดา้ นการกำ� กบั ดแู ลขอ้ มลู และการบรหิ าร ระดับ 3 รัฐวิสาหกิจมีกระบวนการก�ำกับดูแลข้อมูลท่ีเป็น
จัดการขอ้ มลู ขนาดใหญ่ขององค์กร มาตรฐานหน่วยงาน โดยมีโครงสร้างการก�ำกับ
(Data Governance and Big Data Management ดูแลข้อมูลที่ชัดเจน มีส่วนงานกลางในการกํากับ
Implementation) (นำ้� หนกั ร้อยละ 10) ดู แ ล ซ่ึ ง ป ร ะ ก อ บ ไ ป ด ้ ว ย บุ ค ค ล ด ้ า น ธุ ร กิ จ แ ล ะ
• รฐั วสิ าหกจิ มกี ารดำ� เนนิ การดา้ นการกำ� กบั ดแู ลขอ้ มลู และ ไอที มีนโยบายข้อมูลและการตรวจสอบบังคับใช
การบรหิ ารจัดการขอ้ มูลขนาดใหญ่ขององค์กรท่ีครอบคลุมถงึ ทั้งหนว ยงาน มกี ารวัดคุณภาพขอ มูล
o กระบวนการกํากับดูแลข้อมูล ระดับ 4 รัฐวิสาหกิจมีกระบวนการก�ำกับดูแลข้อมูลท่ีเป็น
o โครงสร้างการกํากับดูแลข้อมลู มาตรฐานหน่วยงาน โดยมีโครงสร้างการก�ำกับ
o นโยบายขอ้ มลู และการตรวจสอบ ดแู ลขอ้ มลู ทชี่ ดั เจน มสี ่วนงานกลางในการกํากบั ดูแล
o การวดั ประสทิ ธภิ าพกระบวนการและคณุ ภาพขอ้ มลู ซง่ึ ประกอบไปดว้ ยบคุ คลดา้ นธรุ กจิ และไอทมี นี โยบาย
o การวัดความคุ้มทุนและการปรับปรงุ อย่างต่อเนือ่ ง ข้อมูลและการตรวจสอบบังคับใชท ั้งหนวยงาน มกี าร
• รัฐวิสาหกิจมีการก�ำหนดข้อมูลและสารสนเทศท่ีส�ำคัญ วัดประสิทธิภาพกระบวนการและคณุ ภาพขอ มลู
ขององคก์ ร ระดับ 5 รัฐวิสาหกิจมีกระบวนการก�ำกับดูแลข้อมูลท่ีเป็น
• รฐั วสิ าหกจิ มกี ารกาํ หนดสทิ ธิ หนา้ ท่ี และความรบั ผดิ ชอบ มาตรฐานหน่วยงาน โดยมีโครงสร้างการก�ำกับ
ของผู้มีส่วนได้ส่วนเสียในการบริหารจัดการข้อมูลทุกขั้นตอน ดูแลข้อมูลที่ชดั เจน มสี ว่ นงานกลางในการกํากับดแู ล
เพอื่ ใหก้ ารไดม้ าและการนาํ ไปใชข้ อ้ มลู ของหนว่ ยงาน ไดถ้ กู ตอ้ ง ซงึ่ ประกอบไปดว้ ยบคุ คลดา้ นธรุ กจิ และไอทมี นี โยบาย
แมน่ ยำ� ครบถว้ น เปน็ ปัจจบุ นั และใช้งานง่าย ข้อมูลและการตรวจสอบบังคับใชทั้งหนวยงาน
ระดับ 1 เริ่มมกี ารด�ำเนินการด้านการก�ำกับดูแลข้อมลู มีการวัดประสิทธิภาพกระบวนการและคุณภาพ
ระดบั 2 รฐั วสิ าหกจิ มกี ระบวนการกำ� กบั ดแู ลขอ้ มลู ทเ่ี ปน็ มาตร ขอมูล มีการวัดความคุมทุนและดําเนินการปรับปรุง
ฐานสวนงาน/บริการ โดยมีโครงสร้างการก�ำกับดูแล กระบวนการอยางตอเนื่อง รวมถึงมีการใช้ข้อมูล
ข้อมูลมีการกําหนดผู้กํากับดูแลในแต่ละส่วนงาน/ ในรูปแบบที่หลากหลายจากแหล่งข้อมูลท่ีมีความ
บริการ มีนโยบายข้อมูลและการตรวจสอบบังคับใช้ แตกตา่ งนำ� มาใชว้ เิ คราะหร์ ว่ มกนั เพอ่ื ปรบั ปรงุ ทศิ ทาง
ในสว่ นงาน/บรกิ าร ของการดำ� เนินธุรกจิ
ระบบการประเมนิ ผลการด�ำ เนนิ งานรฐั วิสาหกจิ ตามระบบประเมินผลรัฐวิสาหกิจ 153
2.5
หมายเหตุ :
การกำ� กบั ดูแลข้อมูล (Data Governance) คือ “การกำ� หนด 2.มีมาตรการควบคุมและจัดการวงจรชีวิตของข้อมูล
สทิ ธใิ นการตดั สนิ ใจและความรบั ผดิ ชอบ ในการสง่ เสรมิ ใหเ้ กดิ ซึ่งประกอบด้วย การประเมินธุรกิจ การก�ำหนดประเภท
กระบวนการจัดท�ำ การใช้งาน และการบริหารจัดการข้อมูล และแนวทางการแบ่งประเภทของชุดข้อมูล มีการตรวจสอบ
รวมถงึ กระบวนการทีก่ �ำหนดบทบาท นโยบาย และมาตรฐาน อย่างต่อเนอ่ื ง ท้ังการเกบ็ ขอ้ มูลและการทำ� ลายข้อมลู
ทช่ี ว่ ยสนบั สนนุ ใหก้ ารดำ� เนนิ งานเกยี่ วกบั ขอ้ มลู มปี ระสทิ ธภิ าพ 3.มนี โยบายการใชข้ อ้ มลู ทช่ี ดั เจน โดยกำ� หนดนโยบายและ
มากยิง่ ขนึ้ ซ่ึงสง่ ผลใหห้ น่วยงานสามารถบรรลเุ ปา้ หมายได”้ กฎเกณฑ์ของข้อมูลเป็นกรอบส�ำหรับการบริหารจัดการและ
ในมมุ มองของภาครฐั การกำ� กบั ดแู ลขอ้ มลู (Data Governance) กำ� กับดแู ลขอ้ มลู
หมายถึง “การก�ำหนดสิทธิ หน้าท่ีและความรับผิดชอบของ 4.มกี ารกำ� หนดบทบาทหนา้ ทข่ี องเจา้ ของขอ้ มลู โดยกำ� หนด
ผู้มีส่วนได้ส่วนเสียในการบริหารจัดการข้อมูลทุกข้ันตอน วิธีการที่ผู้ดูแลข้อมูลหรือเจ้าของข้อมูลสามารถจัดการ
เพ่ือให้การได้มาและการน�ำไปใช้ข้อมูลของหน่วยงานภาครัฐ เปล่ียนแปลง หรือส่งผ่านข้อมูลให้ชัดเจน เพื่อไม่ให้เกิด
ถกู ตอ้ ง ครบถว้ น เป็นปัจจบุ นั รกั ษาความเปน็ ส่วนบคุ คล และ ปัญหาในกรณีท่ีชุดข้อมูลหรือฐานข้อมูลบางแหล่งอาจจะมี
สามารถเชอ่ื มโยงกนั ไดอ้ ยา่ งมปี ระสทิ ธภิ าพและมนั่ คงปลอดภยั ผดู้ แู ล ผใู้ ชง้ าน หรอื เจา้ ของขอ้ มลู หลายคนหรอื หลายหนว่ ยงาน
โดยใช้ข้อมูลเป็นหลักในการขับเคล่ือนประเทศ เช่น การใช้ 5.ขอ้ มลู มเี มทาดาตา โดยเมทาดาตาจะชว่ ยใหผ้ ใู้ ชง้ านเขา้ ใจ
ขอ้ มลู ในการวเิ คราะห์ การตดั สนิ ใจเชงิ นโยบาย และการบรหิ าร วา่ ขอ้ มลู ชดุ นค้ี อื ขอ้ มลู ทเี่ กยี่ วขอ้ งกบั อะไร สามารถนำ� ไปใชง้ าน
ราชการแผน่ ดนิ การเพมิ่ ประสทิ ธภิ าพในการบรกิ ารประชาชน อย่างไร และมีข้อจ�ำกัดอะไร โดยมีมาตรฐานของเมทาดาตา
การเสริมสร้างและผลักดันธุรกิจที่เกิดจากการใช้นวัตกรรม ทีเ่ หมาะสมกบั การใชง้ าน
ข้อมลู ” ทงั้ น้ี Intragovernmental Group on Geographic 6.ข้อมูลมีคุณภาพ โดยมีมาตรการในการควบคุมคุณภาพ
Information (IGGI, 2005) ใหอ้ งคป์ ระกอบหลกั ของการกำ� กบั ของขอ้ มลู ใหม้ คี ณุ ภาพสงู ซงึ่ จะสนบั สนนุ ใหก้ ารดำ� เนนิ งานของ
ดแู ลข้อมลู ทดี่ ี ประกอบไปด้วย หน่วยงานเป็นไปอย่างมีประสิทธิภาพและประสิทธิผล
1.มีความมั่นคงปลอดภัยและรักษาความเป็นส่วนบุคคล
โดยมมี าตรการในการรกั ษาความมนั่ คงปลอดภยั และความเปน็
ส่วนบุคคล ซึ่งช่วยป้องกันความเสียหายที่จะเกิดขึ้นกับข้อมูล
และการละเมิดสทิ ธสิ ่วนบุคคล
154 ส�ำ นักงานคณะกรรมการนโยบายรฐั วสิ าหกิจ
2.5 Data Governance Framework กรอบการก�ำกับดูแลข้อมูล เวอร์ชัน 1.0
Digital Government Development Agency (DGA)
รอรปู Pic 2.5_17
รูปกรอบการก�ำกบั ดแู ลข้อมูล (DATA GOVERNANCE FRAMEWORK)
ทม่ี า : Data Governance Framework กรอบการก�ำกบั ดแู ลข้อมลู เวอร์ชนั 1.0, Digital Government Development Agency (DGA)
รปู กฎหมาย ระเบยี บ ข้อบังคับ แนวนโยบาย และแนวปฏิบตั ิท่ีเก่ียวขอ้ งกบั การก�ำกบั ดแู ลข้อมลู
ที่มา : Data Governance Framework กรอบการก�ำกับดูแลข้อมลู เวอรช์ ัน 1.0, Digital Government Development Agency (DGA)
ระบบการประเมินผลการด�ำ เนินงานรฐั วิสาหกิจ ตามระบบประเมนิ ผลรัฐวิสาหกจิ 155
สภาพแวดลอ้ มของการก�ำกบั ดแู ลขอ้ มลู (Data Governance - พระราชบัญญัติ (พ.ร.บ.) คุ้มครองข้อมูลส่วนบุคคล 2.5
Environment) พ.ศ. 2562
1.กฎหมาย ระเบยี บ ขอ้ บงั คบั แนวนโยบาย และแนวปฏบิ ตั ิ - ข้อเสนอแนะมาตรฐานด้านเทคโนโลยีสารสนเทศและ
ที่เกี่ยวข้องกับการก�ำกับดูแลข้อมูลปัจจุบันกฎหมาย การสื่อสารที่จ�ำเป็นต่อธุรกรรมทางอิเล็กทรอนิกส์
ทเ่ี กยี่ วขอ้ งกบั ขอ้ มลู ขา่ วสาร หรอื สทิ ธสิ ว่ นบคุ คลในประเทศไทย - แนวทางการนำ� สง่ ขอ้ มลู เขา้ ระบบ GFMIS-SOE สำ� หรบั
มีประเด็นที่อาจส่งผลกระทบต่อหลักแนวคิดการก�ำกับดูแล รฐั วสิ าหกจิ โดยสำ� นกั งานคณะกรรมการนโยบายรฐั วสิ าหกจิ (สคร.)
ข้อมูล ซึ่งหากหน่วยงานในประเทศไทยต้องการสร้างหรือ 2.หลกั การของสภาพแวดลอ้ มและวฒั นธรรมของหนว่ ยงาน
ปรบั ปรงุ ระบบภายในใหม้ กี ารกำ� กบั ดแู ลขอ้ มลู จะตอ้ งพจิ ารณา ทเ่ี ออ้ื ต่อการมกี ารกำ� กบั ดูแลข้อมูล
ประเดน็ หลกั ๆ ทีเ่ กีย่ วขอ้ งกับกฎหมาย ดงั ต่อไปน้ี การกำ� กบั ดแู ลขอ้ มลู มอี งคป์ ระกอบหลายอยา่ งทส่ี นบั สนนุ
ใหเ้ กดิ การกำ� กบั ดแู ลขอ้ มลู ทดี่ ี ในขณะเดยี วกนั จะตอ้ งคำ� นงึ ถงึ
• การเปิดเผยข้อมลู ข้อจ�ำกัดที่อาจส่งผลในเชิงลบต่อการปรับเปล่ียนหรือปฏิรูป
• การแลกเปลีย่ นขอ้ มูล ใหเ้ กดิ การกำ� กบั ดแู ลขอ้ มลู ในหนว่ ยงานดว้ ย วฒั นธรรมองคก์ ร
• การคุม้ ครองขอ้ มูลส่วนบุคคล และสภาพแวดล้อมเป็นหนึ่งในข้อจ�ำกัดที่อาจส่งผลต่อการ
• การรกั ษาความลบั เปล่ียนแปลงในการก�ำกับดูแลข้อมูลหน่วยงานได้ เนื่องจาก
ตวั อย่างเช่น แต่ละหน่วยงานล้วนมีวัฒนธรรมองค์กรและสภาพแวดล้อม
- รฐั ธรรมนูญแห่งราชอาณาจักรไทย พ.ศ. 2560 ในมาตรา ที่แตกต่างกัน
ท่ี 59 ได้ระบุว่า รัฐต้องเปิดเผยข้อมูลหรือข่าวสารสาธารณะ ดงั นนั้ การตระหนกั ถงึ วฒั นธรรมองคก์ รและสภาพแวดลอ้ ม
ในครอบครองของหน่วยงานของรัฐท่ีมิใช่ข้อมูลเก่ียวกับความ ท่ีแตกตา่ งกนั มีความจ�ำเป็นต่อการกำ� หนดโครงสรา้ ง นโยบาย
มั่นคงของรัฐหรอื เป็นความลบั ของทางราชการ บทบาทหน้าที่ การด�ำเนินงานท่ีเอ้ือต่อการก�ำกับดูแลข้อมูล
- พระราชบญั ญัติ (พ.ร.บ.) ขอ้ มูลขา่ วสารของทางราชการ ต้ังแต่เริ่มต้น นอกจากน้ียังต้องมีมาตรการรองรับกรณีท่ีมี
พ.ศ. 2540 การปรบั เปลยี่ นโครงสรา้ งองคก์ ร เนอื่ งจากหากมกี ารปรบั เปลยี่ น
- แนวทางปฏิบัติการเปิดเผยข้อมลู ภาครฐั (Government โครงสร้างองคก์ ร การก�ำกบั ดูแลข้อมูลก็จะเปล่ยี นตามไปดว้ ย
Open Data Publication Guidelines)
- พระราชบัญญัติ (พ.ร.บ.) ข้อมูลขา่ วสารของทางราชการ
พ.ศ. 2540 ก�ำหนดประเภทข้อมูลท่ีเปิดเผยได้และเปิดเผย
ไมไ่ ด้ ซง่ึ เปน็ สงิ่ ทจ่ี ำ� เปน็ ตอ้ งมกี ารพจิ ารณาในกรณที เ่ี ปน็ ขอ้ มลู
ส่วนบุคคล เน่ืองจากข้อมูลที่เป็นข้อมูลส่วนบุคคลจ�ำเป็นต้อง
ได้รบั การค้มุ ครองอยา่ งมีหลักเกณฑ์
156 สำ�นักงานคณะกรรมการนโยบายรฐั วิสาหกจิ
รูปตวั อยา่ งโครงสร้างการกำ�กับดูแลขอ้ มูลภายในหน่วยงาน
2.5 รอรปู Pic 2.5_19
ท่มี า : Data Governance Framework กรอบการกำ� กบั ดแู ลข้อมลู เวอรช์ ัน 1.0, Digital Government Development Agency (DGA)
รปู ระดบั ความพรอ้ มของการกำ�กบั ดูแลข้อมลู
ท่มี า : Data Governance Framework กรอบการกำ�กบั ดูแลขอ้ มูล เวอร์ชนั 1.0, Digital Government Development Agency (DGA)
ระบบการประเมินผลการด�ำ เนนิ งานรัฐวิสาหกจิ ตามระบบประเมนิ ผลรัฐวิสาหกจิ 157
5. การบรหิ ารความมนั่ คงปลอดภยั สารสนเทศ (Information 5. การรักษาความม่ันคงปลอดภัยของระบบเครือข่ายส่ือสาร 2.5
Security Management) (นำ้� หนักรอ้ ยละ 10) (Communications security)
5.1 การบริหารจัดการความม่ังคงปลอดภัยสารสนเทศ 6. การรักษาความม่ังคงปลอดภัยในการปฏิบัติงาน
(Information Security Management) ขององค์กร ดา้ นเทคโนโลยสี ารสนเทศ (IT operations security)
(น�้ำหนักรอ้ ยละ 2.5) 7. การจัดหาและการพัฒนาระบบเทคโนโลยีสารสนเทศ
• กระบวนการบริหารจัดการความมั่งคงปลอดภัย (System acquisition and development)
สารสนเทศ (Information Security Management) 8. การบริหารจัดการเหตุการณ์ผิดปกติและปัญหา
ของรัฐวสิ าหกิจ ด้านเทคโนโลยีสารสนเทศ (IT incident and problem
• รัฐวิสาหกิจมีการก�ำหนดนโยบายหรือแผนการบริหาร management)
จดั การความมนั่ คงปลอดภยั สารสนเทศครอบคลมุ ประเดน็ ดงั นี้ 9. การจัดท�ำแผนฉุกเฉินด้านเทคโนโลยีสารสนเทศ
1. การบริหารจัดการทรัพย์สินด้านเทคโนโลยีสารสนเทศ (IT Contingency Plan)
(IT asset management) 10. การบริหารจัดการผู้ให้บริการภายนอก (Third party
2. การรักษาความมั่นคงปลอดภัยของข้อมูลสารสนเทศ management)
(Data and Information security) • รัฐวิสาหกิจมีการส่ือสารนโยบายหรือแผนการบริหาร
3. การควบคุมการเขา้ ถึง (Access control) จดั การความมน่ั คงปลอดภยั สารสนเทศ (Information Security
4. การรักษาความม่ันคงปลอดภัยทางกายภาพและ Management) ขององคก์ ร
สภาพแวดลอ้ ม (Physical and environmental security) • รัฐวิสาหกิจมีการก�ำหนดแนวทางหรือวิธีการวัด
ประสิทธิผลของการบริหารความมั่นคงปลอดภัยสารสนเทศ
(Information Security Management) ขององค์กร
158 สำ�นักงานคณะกรรมการนโยบายรัฐวสิ าหกจิ
2.5 ระดับ 1 เร่ิมมีแนวทางในการบริหารจัดการความมั่งคง การรบั รู้ของ ผูร้ ับผิดชอบ พนักงาน ผู้สง่ มอบ คู่คา้ ท่ี
สำ� คญั ลูกค้า และผมู้ ีส่วนได้สว่ นเสยี อื่น ทเ่ี กี่ยวขอ้ ง
ปลอดภัยสารสนเทศ
ระดับ 2 รัฐวิสาหกิจมีกระบวนการบริหารจัดการความมั่งคง อยา่ งครบถ้วน
ปลอดภัยสารสนเทศและแนวปฏิบัติท่ีก�ำหนดอย่าง ระดับ 4 รัฐวิสาหกิจมีการก�ำหนดการวัด ติดตาม วิเคราะห์
ครบถ้วนและเปน็ ระบบ ซ่ึงประกอบด้วย ประเมนิ ตวั วดั ผลลพั ธ์ (outcome) ของกระบวนการ
- การบรหิ ารจดั การทรพั ย์สินดา้ นเทคโนโลยีสารสนเทศ บรหิ ารจดั การความมั่งคงปลอดภัยสารสนเทศ
- การรักษาความมน่ั คงปลอดภัยของข้อมลู สารสนเทศ ระดับ 5 รัฐวิสาหกิจมีการก�ำหนดการวัด ติดตาม วิเคราะห์
- การควบคุมการเขา้ ถงึ ประเมนิ ตวั วดั ผลลพั ธ์ (outcome) ของกระบวนการ
- การรักษาความมั่นคงปลอดภัยทางกายภาพและ บริหารจัดการความม่ังคงปลอดภัยสารสนเทศ
สภาพแวดลอ้ ม และมีการน�ำผลลัพธ์ท่ีส�ำคัญของกระบวนการ
- การรกั ษาความมนั่ คงปลอดภยั ของระบบเครอื ขา่ ยสอ่ื สาร เข้าสู่กระบวนการทบทวนการก�ำกับดูแลด้านการ
- การรักษาความมั่งคงปลอดภัยในการปฏิบัติงาน บริหารจัดการดิจิทัล /จัดท�ำแผนปฏิบัติการดิจิทัล
ด้านเทคโนโลยสี ารสนเทศ ขององคก์ ร (ระยะยาว)
- การจัดหาและการพฒั นาระบบเทคโนโลยีสารสนเทศ
- การบริหารจัดการเหตุการณ์ผิดปกติและปัญหา หมายเหตุ :
ดา้ นเทคโนโลยีสารสนเทศ การประเมินกระบวนการจะใช้การประเมินรูปแบบระดับ
- การจัดทำ� แผนฉกุ เฉินด้านเทคโนโลยสี ารสนเทศ วุฒิภาวะ (Maturity Level) โดยพิจารณาจากการจัดการ
- การบรหิ ารจัดการผใู้ ห้บรกิ ารภายนอก กระบวนการใหม้ แี นวทางปฏบิ ตั อิ ยา่ งเปน็ ระบบ สามารถทำ� ซำ�้ ได้
ระดับ 3 รฐั วสิ าหกจิ มกี ารถา่ ยทอดกระบวนการบรหิ ารจดั การ (Repeatable Practice) และเปน็ มาตรฐาน (Standardized
ความมั่งคงปลอดภัยสารสนเทศ แก่ผู้รับผิดชอบ Practice) ซ่ึงมีการถ่ายทอดแนวทางปฏิบัติแบบเดียวกัน
พนกั งาน ผสู้ ง่ มอบ คคู่ า้ ทสี่ ำ� คญั ลกู คา้ และผมู้ สี ว่ นได้ ท่ัวท้ังองค์กร โดยมีการวดั วเิ คราะห์ และประเมินประสทิ ธิผล
สว่ นเสยี อน่ื ทเี่ กยี่ วข้องอย่างครบถว้ น มีการประเมนิ ของกระบวนการอย่างเป็นรูปธรรม เพ่ือน�ำมาปรับปรุงและ
พัฒนากระบวนการอย่างต่อเนอื่ ง
ระบบการประเมินผลการด�ำ เนินงานรฐั วสิ าหกิจ ตามระบบประเมินผลรฐั วิสาหกจิ 159
ความมนั่ คงปลอดภยั ดา้ นสารสนเทศ (information security) (1) การบรหิ ารจดั การทรพั ยส์ นิ ดา้ นเทคโนโลยสี ารสนเทศ 2.5
คอื การธาํ รงไวซ้ ง่ึ ความลบั (confidentiality) ความถกู ตอ้ ง (IT asset management)
ครบถ้วน (integrity) และสภาพพร้อมใช้งาน (availability) สถาบันการเงินต้องจัดให้มีการบริหารจัดการทรัพย์สิน
ของสารสนเทศ รวมทง้ั คณุ สมบตั อิ น่ื ไดแ้ กค่ วามถกู ตอ้ งแทจ้ รงิ ด้านเทคโนโลยีสารสนเทศที่เหมาะสม โดยต้องมีการจัดท�ำ
(authenticity) ความรับผิด (accountability) การห้าม ทะเบียนรายการทรัพย์สินด้านเทคโนโลยีสารสนเทศ
ปฏิเสธความรับผิด (non-repudiation) และความน่าเชื่อถือ เพื่อให้สามารถระบุรายการทรัพย์สินด้านเทคโนโลยี
(reliability) สารสนเทศไดอ้ ยา่ งครบถว้ น และสามารถนำ� ไปใชใ้ นการกำ� หนด
เทคโนโลยีสารสนเทศ (Information Technology - IT) แนวทางการรักษาความม่ันคงปลอดภัยด้านเทคโนโลยี
คือ เทคโนโลยีสารสนเทศท่ีน�ำมาใช้ในการด�ำเนินธุรกิจ สารสนเทศได้อย่างเหมาะสม รวมถึงต้องจัดให้มีการบ�ำรุง
ซง่ึ ครอบคลมุ ถงึ ขอ้ มูล ระบบปฏิบตั ิการ (operating system) รักษาทรัพย์สินด้านเทคโนโลยีสารสนเทศอย่างสม�่ำเสมอ
ระบบงาน (application system) ระบบฐานขอ้ มลู (database เพอื่ ใหม้ คี วามพรอ้ มใชง้ านและสามารถรองรบั การดำ� เนนิ ธรุ กจิ
system) อปุ กรณค์ อมพวิ เตอร์ (hardware) และระบบเครอื ขา่ ย ได้อยา่ งตอ่ เน่อื ง
สอ่ื สาร (communication) เปน็ ต้น (2)การรักษาความม่ันคงปลอดภัยของข้อมูล
การรักษาความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ (information security)
(IT security) สถาบันการเงินต้องจัดให้มีการรักษาความม่ันคงปลอดภัย
ตามประกาศธนาคารแห่งประเทศไทย เร่ืองหลักเกณฑ์ ของข้อมูล ท้ังในการรับส่งข้อมูลผ่านเครือข่ายสื่อสารและ
ก า ร ก� ำ กั บ ดู แ ล ค ว า ม เ สี่ ย ง ด ้ า น เ ท ค โ น โ ล ยี ส า ร ส น เ ท ศ การจัดเก็บข้อมูลบนระบบงานและสื่อบันทึกข้อมูลต่าง ๆ
(Information Technology Risk) ของสถาบนั การเงนิ ลงวนั ท่ี มกี ารจดั ชนั้ ความลบั ของขอ้ มลู (information classification)
20 ธนั วาคม 2560 ก�ำหนดใหส้ ถาบันการเงนิ ตอ้ งน�ำนโยบาย มีการเก็บรักษาและท�ำลายข้อมูให้เหมาะสมกับชั้นความลับ
การรักษาความม่ันคงปลอดภัยด้านเทคโนโลยีสารสนเทศ และมีการบริหารจัดการการเข้ารหัสข้อมูล (cryptography)
มาจัดท�ำระเบียบวิธีปฏิบัติและกระบวนการในการรักษา ที่เชื่อถือได้และเป็นมาตรฐานสากล เพ่ือรักษาความมั่นคง
ความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศของสถาบัน ปลอดภยั และความลบั ของข้อมูล
การเงนิ โดยครอบคลมุ อยา่ งนอ้ ยในเรอื่ งดังตอ่ ไปนี้
160 สำ�นกั งานคณะกรรมการนโยบายรฐั วสิ าหกจิ
2.5 (3) การควบคุมการเข้าถึง (access control) (6) การรกั ษาความมนั่ คงปลอดภยั ในการปฏบิ ตั งิ านดา้ น
สถาบันการเงินต้องจัดให้มีการควบคุมการเข้าถึงระบบปฏิบัติ เทคโนโลยสี ารสนเทศ (IT operations security)
การตวั ตนตามสทิ ธทิ ี่ก�ำหนดไว้ ตามความจำ� เปน็ ในการใชง้ าน สถาบันการเงินต้องจัดให้มีการรักษาความมั่นคงปลอดภัย
และระดับความเส่ียง เพื่อป้องกันการเข้าถึงและเปลี่ยนแปลง ในการปฏบิ ตั งิ าน ดา้ นเทคโนโลยสี ารสนเทศ เพอื่ ใหก้ ารปฏบิ ตั ิ
ระบบหรอื ขอ้ มูลโดยผ้ทู ไี่ มม่ ีสิทธหิ รอื ไมไ่ ด้รับอนญุ าต งานดา้ นเทคโนโลยีสารสนเทศมคี วามมัน่ คงปลอดภัย โดยตอ้ ง
ครอบคลมุ อยา่ งนอ้ ยในเรือ่ งดงั ตอ่ ไปนี้
(4) การรกั ษาความมนั่ คงปลอดภยั ทางกายภาพและสภาพ (6.1) การบริหารจัดการขีดความสามารถของระบบและ
แวดลอ้ ม (physical and environmental security) ระบบสาธารณปู โภค (capacity management)
สถาบันการเงินต้องจัดให้มีการรักษาความม่ันคงปลอดภัย (6.2) การรักษาความม่ันคงปลอดภัยของเครื่องแม่ข่าย
ของศูนย์คอมพิวเตอร์ สถานท่ีปฏิบัติงานที่เก่ียวข้องกับ (server) และอุปกรณ์ที่ใช้ปฏิบัติงานของผู้ใช้เทคโนโลยี
เทคโนโลยีสารสนเทศ และพื้นที่ที่เก่ียวข้องกับเทคโนโลยี สารสนเทศ (endpoint)
สารสนเทศที่ส�ำคัญ รวมท้ังมีระบบการป้องกันและ (6.3) การส�ำรองข้อมูล (data backup) ด้วยวิธีการและ
กระบวนการในการบำ� รงุ รกั ษาอปุ กรณค์ อมพวิ เตอร์ และระบบ ระยะเวลาท่ีเหมาะสม
สาธารณปู โภค (facility) ที่เกย่ี วขอ้ งกับเทคโนโลยสี ารสนเทศ (6.4) การจัดเก็บข้อมูลบันทึกเหตุการณ์ (logging) ของ
เพื่อป้องกันความเสียหายท่ีอาจเกิดข้ึน จากการบุกรุกหรือ เคร่ืองแม่ข่าย ระบบงาน และอุปกรณ์เครือข่ายที่ส�ำคัญ
จากภัยธรรมชาติ และให้มีความพร้อมใช้งานสามารถรองรับ (6.5) การติดตามดูแลระบบและเฝ้าระวังภัยคุกคาม
การด�ำเนินธุรกิจอยา่ งต่อเน่อื ง (security monitoring)
(6.6) การบริหารจัดการช่องโหว่ (vulnerability man-
(5) การรักษาความม่ันคงปลอดภัยของระบบเครือข่าย agement) ของระบบท่ีเหมาะสมตามระดับความเส่ียง
สือ่ สาร (communications security) (6.7) การทดสอบเจาะระบบ (penetration test) โดย
สถาบันการเงินต้องจัดให้มีการรักษาความมั่นคงปลอดภัย จัดให้มีผู้เช่ียวชาญภายในหรือภายนอกที่มีความเป็นอิสระ
ของระบบ เครือข่ายสื่อสารของสถาบันการเงิน เพ่ือให้ระบบ ท�ำหน้าท่ีทดสอบเจาะระบบ สม�่ำเสมออย่างน้อยปีละ 1 คร้ัง
เครือข่ายสื่อสารและข้อมูลท่ีมีการรับส่งผ่านเครือข่ายสื่อสาร (6.8) การบริหารจัดการการเปลี่ยนแปลง (change
มีความม่ันคงปลอดภัย และสามารถป้องกันการบุกรุกหรือ management) โดยจดั ใหม้ กี ระบวนการในการบรหิ ารจดั การ
ภยั คุกคามท่ีอาจเกดิ ข้นึ การเปล่ียนแปลงและควบคุมการเปล่ียนแปลงอย่างรัดกุม
และเพียงพอ
(6.9) การบรหิ ารจดั การการตง้ั คา่ ระบบ (system configu-
ration management) โดยจดั ใหม้ กี ระบวนการในการควบคมุ
การตงั้ คา่ ของระบบทใี่ ชง้ านจรงิ และมกี ารสอบทาน การตง้ั คา่
อยา่ งสมำ่� เสมอ เพอ่ื ปอ้ งกนั ขอ้ ผดิ พลาดในการปฏบิ ตั งิ าน
(6.10) การบรหิ ารจัดการ patch (patch management)
โดยจัดให้มีกระบวนการในการควบคุมการติดต้ัง patch ของ
ระบบที่ใช้งานจริง เพื่อให้สามารถติดตั้ง patch ท่ีส�ำคัญ
ในการรกั ษาความม่ันคงปลอดภัยไดอ้ ย่างทนั การณ์
ระบบการประเมินผลการด�ำ เนินงานรัฐวสิ าหกจิ ตามระบบประเมินผลรฐั วิสาหกจิ 161
(7) การจดั หาและการพฒั นาระบบ (system acquisition ผู้ที่เกย่ี วขอ้ งในกระบวนการพัฒนาระบบ 2.5
and development) – การแบ่งแยกสภาพแวดล้อมของระบบงานท่ีใช้ส�ำหรับ
(7.1) การจัดหาระบบ (system acquisition) สถาบัน การพัฒนา (development) และการทดสอบ (testing)
การเงินต้องก�ำหนดหลักเกณฑ์ท่ีชัดเจนและเหมาะสมในการ ออกจากระบบงานที่ใหบ้ ริการจรงิ (production)
คัดเลือกระบบและผู้ให้บริการ เช่น ความน่าเชือ่ ถือของระบบ – การทดสอบระบบก่อนการใชง้ านจริง
และผู้ให้บริการ การได้รับการรับรองตาม มาตรฐานสากล – การพฒั นาหรอื การเปลยี่ นแปลงระบบทเ่ี กย่ี วขอ้ งกบั การ
หรือมาตรฐานด้านเทคโนโลยีสารสนเทศท่ีเกี่ยวข้องท่ีได้รับ ให้บริการหรือการท�ำธุรกรรมทางอิเล็กทรอนิกส์ สถาบันการ
การยอมรับโดยท่วั ไป (certificate) ความม่ันคงปลอดภยั ของ เงนิ ตอ้ งจดั ใหม้ กี ารทดสอบประสทิ ธภิ าพ (performance test)
ระบบ การสนับสนุนและการบ�ำรุงรักษาระบบ เพ่ือให้มั่นใจ – แนวทางในการควบคุมการรักษาความมั่นคงปลอดภัย
ว่าระบบและผู้ให้บริการ สามารถตอบสนองต่อความต้องการ และความลบั ของขอ้ มลู สำ� คญั ทน่ี ำ� ไปใช้ในการทดสอบ
ในการด�ำเนินธรุกิจของสถาบันการเงินได้ รวมถึงต้องค�ำนึงถึง – การจดั ท�ำคมู่ ือและอบรมผใู้ ช้งานระบบและผดู้ ูแลระบบ
ความยดื หยนุ่ ในการเปลยี่ นแปลงผใู้ หบ้ รกิ าร การเปลยี่ นแปลง
เทคโนโลยี หรือการเปลี่ยนแปลงกลยุทธ์ในการด�ำเนินธุรกิจ (8) การบริหารจดั การเหตกุ ารณผ์ ิดปกติและปัญหา
ในอนาคต (IT incident and problem management)
(7.2) การพัฒนาระบบ (system development) สถาบนั สถาบันการเงินต้องจัดให้มีการบริหารจัดการเหตุการณ์
การเงินต้องจัดให้มีการออกแบบ พัฒนา และทดสอบระบบ ผิดปกติและปัญหา ที่เกิดจากการใช้เทคโนโลยีสารสนเทศ
เพ่อื ใหม้ ่นั ใจวา่ ระบบมคี วามถูกต้อง ม่ันคงปลอดภยั เช่อื ถือได้ อย่างเหมาะสมและทันท่วงที โดยมีการบันทึก วิเคราะห์
พร้อมใช้งาน และมีความยืดหยุ่น เพียงพอท่ีจะรองรับการ และรายงานเหตุการณ์ผิดปกติและปัญหา และการแก้ไข
ปรับปรุงเปล่ียนแปลงระบบในอนาคต โดยสถาบันการเงิน ให้คณะกรรมการของสถาบันการเงิน คณะกรรมการท่ีได้รับ
ต้องจดั ให้มีอย่างน้อย ในเรอ่ื งดงั ต่อไปนี้ มอบหมายหรือผู้บริหารระดับสูงท่ีได้รับมอบหมายทราบ
– เอกสารรายละเอียดคุณสมบัติทางเทคนิค (technical ในระยะเวลาที่เหมาะสม นอกจากน้ีสถาบันการเงินต้องมี
specification) การวิเคราะห์สาเหตุท่ีแท้จริง (root cause) ของปัญหา
– กระบวนการหรือเครื่องมือในการควบคุมเวอร์ชั่นของ เพ่ือหาแนวทางแก้ไขจากสาเหตุท่ีแท้จริง และป้องกัน
คำ� สงั่ ในการเขยี นโปรแกรม (source code version control) ไมใ่ หเ้ กิดเหตกุ ารณผ์ ดิ ปกตซิ ำ้� ในอนาคต
– การแบ่งแยกบทบาทหน้าท่ีและความรับผิดชอบของ
162 สำ�นักงานคณะกรรมการนโยบายรัฐวสิ าหกิจ
2.5 (9) การจดั ท�ำแผนฉุกเฉนิ ด้านเทคโนโลยีสารสนเทศ ของระบบ รวมท้ังการก�ำหนดระยะเวลาสูงสุดที่ยอมให้ธุรกิจ
(9.1) สถาบนั การเงนิ ตอ้ งจดั ใหม้ คี ณะทำ� งานหรอื หนว่ ยงาน หยดุ ชะงกั (maximum tolerance period of disruption :
ทร่ี บั ผดิ ชอบในการจดั ทำ� แผนฉกุ เฉนิ ดา้ นเทคโนโลยสี ารสนเทศ MTPD) เพ่ือรองรับการดำ� เนินธุรกิจอย่างต่อเน่ืองของสถาบัน
อย่างเป็นลายลักษณ์อักษรให้เป็นไปตามนโยบายที่ก�ำหนดไว้ การเงนิ และรองรบั การเกิดเหตุการณ์ผดิ ปกตติ ่าง ๆ ทอี่ าจส่ง
และแผนฉุกเฉินด้านเทคโนโลยีสารสนเทศดังกล่าวต้องได้รับ ผลให้เกิดการหยุดชะงักหรือเกิดความเสียหายต่อระบบ เช่น
อนมุ ัตโิ ดยคณะกรรมการของสถาบนั การเงิน ภัยคุกคามทางไซเบอร์ ภัยธรรมชาติ เพื่อให้สถาบันการเงิน
(9.2) ในการจัดท�ำแผนฉุกเฉินด้านเทคโนโลยีสารสนเทศ ดำ� เนนิ การกรู้ ะบบและกลบั สกู่ ารทำ� งานไดต้ ามปกตใิ หเ้ รว็ ทส่ี ดุ
สถาบันการเงินต้องค�ำนึงถึงลักษณะการด�ำเนินธุรกิจปริมาณ (9.4) สถาบันการเงินต้องจัดท�ำคู่มือหรือเอกสารประกอบ
ธรุ กรรม ความซบั ซอ้ นของเทคโนโลยสาี รสนเทศ และความเสย่ี ง การด�ำเนินการตามแผนฉุกเฉินด้านเทคโนโลยีสารสนเทศ
ทีเ่ กย่ี วข้องในการด�ำเนนิ ธุรกจิ ของสถาบนั การเงนิ รวมทงั้ การ รวมทั้งประชาสัมพันธ์แผนและฝึกอบรมเพื่อให้พนักงาน
บรหิ ารความเสยี่ งทอี่ าจเกดิ จากเหตกุ ารณ์ ความเสยี หายตา่ ง ๆ ทุกคน ที่มีส่วนเก่ียวข้องกับการด�ำเนินการตามแผนฉุกเฉิน
และความเส่ียงทั่วไป เช่น ความเส่ียงด้านปฏิบัติการ ด้านเทคโนโลยีสารสนเทศมีความเข้าใจและสามารถปฏิบัติ
(operational risk) ความเสี่ยงด้านช่ือเสียง (reputational ตามแผนได้
risk) และความเสี่ยงอื่นที่เก่ียวข้อง เช่น ความเส่ียงจากการ (9.5) สถาบันการเงินต้องจัดให้มีการทบทวนและทดสอบ
พง่ึ พาองคก์ รอน่ื ในการดำ� เนนิ ธรุ กจิ (interdependency risk) การปฏบิ ตั ติ าม แผนฉกุ เฉนิ ดา้ นเทคโนโลยสี ารสนเทศอยา่ งนอ้ ย
ความเส่ียงจากการกระจุกตัวของระบบงานหรือทรัพยากร ปีละ 1 คร้งั และทกุ คร้งั ท่มี ีการเปล่ยี นแปลงอย่างมนี ัยสำ� คญั
ที่สำ� คญั (concentration risk) และความเสีย่ งท่มี ีผลกระทบ (9.6) สถาบันการเงินต้องจัดให้มีศูนย์คอมพิวเตอร์ส�ำรอง
ตอ่ สถาบนั การเงนิ ผใู้ ชบ้ รกิ าร ผมู้ สี ว่ นไดเ้ สยี และระบบสถาบนั (disaster recovery site) ท่ีมคี วามพร้อมใช้งานและสามารถ
การเงนิ (systemic risk) ปฏบิ ตั งิ านทดแทนไดเ้ มอื่ ศนู ยค์ อมพวิ เตอรห์ ลกั (primary site)
(9.3) แผนฉุกเฉินด้านเทคโนโลยีสารสนเทศต้องมีความ หยดุ ชะงกั โดยสถาบนั การเงนิ ควรพจิ ารณาใหศ้ นู ยค์ อมพวิ เตอร์
เปน็ ไปได้ ในทางปฏบิ ัติ สามารถน�ำมาใชร้ องรับความเสยี หาย ส�ำรองอยู่ห่างจากศูนย์คอมพิวเตอร์หลักเพียงพอที่จะมิให้
ท่ีเกิดข้ึนได้จริง และสอดคล้องกับแนวปฏิบัติของธนาคาร เกิดปัญหาหรือได้รับผลกระทบในลักษณะเดียวกันในช่วงเวลา
แห่งประเทศไทย เร่ือง การบริหารความต่อเน่ืองทางธุรกิจ เดียวกนั เช่น ระบบไฟฟา้ ขดั ข้อง และภัยธรรมชาติ
(Business Continuity Management : BCM) และการจดั ทำ�
แผนรองรบั การดำ� เนนิ ธรุ กจิ อยา่ งตอ่ เนอ่ื ง (Business Continuity
Plan : BCP) โดยแผน ฉุกเฉินดังกล่าวควรครอบคลุมถึงการ
กำ� หนดระยะเวลาในการกคู้ นื ระบบ (recovery time objective
: RTO) และระยะเวลาสูงสุดท่ียอมให้ข้อมูลเสียหาย
(recovery point objective : RPO) ทสี่ อดคลอ้ งกบั ความสำ� คญั
ระบบการประเมินผลการด�ำ เนินงานรัฐวสิ าหกจิ ตามระบบประเมนิ ผลรัฐวสิ าหกจิ 163
(10) การบริหารจัดการผู้ให้บริการภายนอก (third ความรับผิดชอบต่อการรั่วไหลของข้อมูลอันเนื่องมาจากการ 2.5
party management) น�ำข้อมูลไปใช้นอกเหนือจากท่ีระบุไว้ในสัญญาหรือข้อตกลง
ในกรณีท่ีสถาบันการเงินมีการจัดจ้างผู้ให้บริการภายนอก การให้บริการ นอกจากนี้ ในการจัดจ้างผู้ให้บริการภายนอก
หรือมีพันธมิตรทางธุรกิจท่ีมีการเชื่อมต่อกับระบบเทคโนโลยี หรือมีพันธมิตรทางธุรกิจ ในการร่วมพัฒนาหรือให้บริการ
สารสนเทศของสถาบันการเงิน หรือสามารถเข้าถึงข้อมูล ทางการเงิน สถาบันการเงินต้องค�ำนึงถึงความต่อเนื่องในการ
สำ� คญั ของสถาบนั การเงนิ หรอื ของลกู คา้ ของสถาบนั การเงนิ ได้ ดำ� เนินธรุ กิจของสถาบันการเงนิ ข้อจ�ำกดั หรอื ข้อตกลงในการ
ส ถ า บั น ก า ร เ งิ น ต ้ อ ง มี ก า ร จั ด ท� ำ สั ญ ญ า ห รื อ ข ้ อ ต ก ล ง เปลี่ยนแปลงผู้ให้บริการภายนอกหรือพันธมิตรทางธุรกิจและ
การใหบ้ รกิ ารโดยระบหุ นา้ ทค่ี วามรบั ผดิ ชอบ และเงอ่ื นไขในการ การยกเลิกหรือส้ินสดุ สญั ญา (exit strategy) เพือ่ ใหส้ ถาบนั
ใหบ้ รกิ ารอยา่ งชดั เจน เชน่ การทำ� ลายขอ้ มลู ของสถาบนั การเงนิ การเงนิ สามารถดำ� เนนิ ธรุ กจิ ไดอ้ ยา่ งตอ่ เนอื่ ง และพรอ้ มรบั การ
หรือของลูกค้าทั้งหมดเมื่อส้ินสุดสัญญาหรือเลิกใช้บริการ เปล่ียนแปลงด้านเทคโนโลยที ่อี าจเกิดข้ึนในอนาคต
ทมี่ า : ISO 27001 Solutions
164 ส�ำ นกั งานคณะกรรมการนโยบายรัฐวสิ าหกจิ
2.5
5.2 การบริหารจัดการความเส่ียงด้านความมั่นคงปลอดภัย 2.2 การจัดการความเสี่ยง (Risk treatment) เป็นแนวทาง
สารสนเทศ (Information Security Risk Management) ในการจัดการ ควบคุม และป้องกันความเสี่ยงด้านเทคโนโลยี
ขององค์กร (น�ำ้ หนกั รอ้ ยละ 2.5) สารสนเทศท่ีเหมาะสมและสอดคล้องกับผลการประเมิน
- กระบวนการบริหารจัดการความเส่ียงด้านความมั่นคง ความเสีย่ งด้านความม่ันคงปลอดภัยสารสนเทศ
ปลอดภยั สารสนเทศ (Information Security Risk Management) 2.3 การตดิ ตามและทบทวนความเสย่ี ง (Risk monitoring and
ของรฐั วสิ าหกิจ* review) ควรมกี ารกำ� หนดผรู้ บั ผดิ ชอบและจดั ใหม้ กี ระบวนการ
- รัฐวิสาหกิจมีการก�ำหนดปัจจัยภายในและภายนอก ในการติดตามตัวชี้วัดความเสี่ยงด้านความมั่นคงปลอดภัย
ท่ีสอดคล้องกับวัตถุประสงค์และบริบทขององค์กร ซึ่งส่งผล สารสนเทศ ตามที่ก�ำหนดและทบทวนความเสี่ยงด้านความ
ต่อความสามารถในการบรรลุผลลัพธ์ตามท่ีต้องการของการ ม่นั คงปลอดภยั สารสนเทศใหอ้ ยู่ในระดับท่ียอมรบั ได้
บริหารจัดการความเส่ียงด้านความม่ันคงปลอดภัยสารสนเทศ 2.4 การรายงานความเสยี่ ง (Risk reporting) มกี ารนำ� เสนอผล
ขององค์กร การบรหิ ารแผนความเสย่ี งดา้ นความมนั่ คงปลอดภยั สารสนเทศ
- รัฐวิสาหกิจมีนโยบายหรือแผนการบริหารจัดการ พร้อมกับการรายงานผลการประเมินและการบริหารจัดการ
ความเสยี่ งดา้ นความมน่ั คงปลอดภยั สารสนเทศ โดยอยา่ งนอ้ ย ความเสี่ยงด้านความม่ันคงปลอดภัยสารสนเทศ โดยเชื่อมโยง
ประกอบดว้ ย กับความเสีย่ งในระดบั องคก์ ร
1. โครงสร้างองค์กรและบทบาทหน้าที่ของผู้เกี่ยวข้อง - รัฐวิสาหกิจมีการส่ือสารนโยบายหรือแผนความเส่ียง
ในการบริหารความเสย่ี งด้านความม่นั คงปลอดภัยสารสนเทศ ด้านความม่ันคงปลอดภัยสารสนเทศ (Information Security
2. หลกั เกณฑ์ ระเบยี บวิธีปฏิบัติ และกระบวนการในการ Risk Management) ขององคก์ ร
บริหารความเสีย่ งด้านความม่นั คงปลอดภัยสารสนเทศ ไดแ้ ก่ - รัฐวิสาหกิจมีการก�ำหนดแนวทางหรือวิธีการวัดประสิทธิผล
2.1 การประเมนิ ความเสย่ี ง (Risk assessment) ประกอบดว้ ย ของการบรหิ ารความเสยี่ งดา้ นความมนั่ คงปลอดภยั สารสนเทศ
- การระบคุ วามเส่ยี ง (Risk identification) (Information Security Risk Management) ขององค์กร
- การวเิ คราะหค์ วามเส่ยี ง (Risk analysis)
- การประเมนิ คา่ ความเสี่ยง (Risk evaluation)
ระบบการประเมนิ ผลการด�ำ เนนิ งานรัฐวิสาหกิจ ตามระบบประเมินผลรฐั วสิ าหกิจ 165
2.5
ระดบั 1 เร่ิมมีแนวทางในการบริหารจัดการความเส่ียง ทเ่ี กยี่ วขอ้ งอยา่ งครบถว้ น มีการประเมินการรบั รู้ของ
ดา้ นความมั่นคงปลอดภัยสารสนเทศ ผรู้ บั ผิดชอบ พนกั งาน ผูส้ ง่ มอบ คคู่ า้ ที่สำ� คัญ ลูกค้า
และผูม้ สี ว่ นไดส้ ว่ นเสยี อนื่ ทเ่ี กยี่ วขอ้ งอย่างครบถ้วน
ระดบั 2 รัฐวิสาหกิจมีกระบวนการบริหารจัดการความเสี่ยง ระดับ 4 รัฐวิสาหกิจมีการก�ำหนดการวัด ติดตาม วิเคราะห์
ด้านความม่ันคงปลอดภัยสารสนเทศและแนวปฏิบัติ ประเมนิ ตวั วดั ผลลพั ธ์ (outcome) ของกระบวนการ
ท่ีก�ำหนดอย่างครบถ้วนและเป็นระบบ ซึ่งประกอบ บริหารจัดการความเสี่ยงด้านความมั่นคงปลอดภัย
ด้วย สารสนเทศ
ระดับ 5 รัฐวิสาหกิจมีการก�ำหนดการวัด ติดตาม วิเคราะห์
- โครงสรา้ งองคก์ ร บทบาทหนา้ ทขี่ องผเู้ กย่ี วขอ้ งในการบรหิ าร ประเมนิ ตวั วดั ผลลพั ธ์ (outcome) ของกระบวนการ
ความเส่ียงด้านเทคโนโลยีสารสนเทศ บริหารจัดการความเสี่ยงด้านความม่ันคงปลอดภัย
- การประเมินความเสี่ยง (risk assessment) ประกอบด้วย สารสนเทศและมกี ารนำ� ผลลพั ธท์ สี่ ำ� คญั ของกระบวนการ
การระบุความเส่ียง (risk identification), การวิเคราะห์ เข้าสู่กระบวนการทบทวนการก�ำกับดูแลด้าน
ความเส่ียง (risk analysis), การประเมินค่าความเส่ียง (risk การบรหิ ารจดั การดจิ ทิ ลั /จดั ทำ� แผนปฏบิ ตั กิ ารดจิ ทิ ลั
evaluation) การจัดการความเสี่ยง (risk treatment) ขององค์กร (ระยะยาว)
การติดตามและทบทวนความเส่ียง (risk monitoring and หมายเหตุ :
review) การประเมินกระบวนการจะใช้การประเมินรูปแบบระดับ
- การจัดท�ำ/ทบทวนขอบเขตของระบบบริหารความมั่นคง วุฒิภาวะ (Maturity Level) โดยพิจารณาจากการจัดการ
ปลอดภัยสารสนเทศขององค์กร (Scope of Information กระบวนการใหม้ แี นวทางปฏบิ ตั อิ ยา่ งเปน็ ระบบ สามารถทำ� ซำ�้ ได้
Security Management System ) นโยบายการบริหาร (Repeatable Practice) และเปน็ มาตรฐาน (Standardized
จัดการความม่ังคงปลอดภัยด้านเทคโนโลยีสารสนเทศของ Practice) ซึ่งมีการถ่ายทอดแนวทางปฏิบัติแบบเดียวกัน
องคก์ ร (Information Security Management System Pol- ทว่ั ทั้งองคก์ ร โดยมีการวัด วเิ คราะห์ และประเมนิ ประสิทธผิ ล
icy Statement) และคู่มือหรือแนวปฎิบัติการบริหารจัดการ ของกระบวนการอย่างเป็นรูปธรรมเพื่อน�ำมาปรับปรุงและ
ความมงั่ คงปลอดภัยด้านเทคโนโลยีสารสนเทศขององคก์ ร พัฒนากระบวนการอย่างตอ่ เนื่อง
ระดับ 3 รัฐวิสาหกิจมีการถ่ายทอดกระบวนการบริหาร
จั ด ก า ร ค ว า ม เ สี่ ย ง ด ้ า น ค ว า ม มั่ น ค ง ป ล อ ด ภั ย
สารสนเทศ แก่ผู้รับผิดชอบ พนักงาน ผู้ส่งมอบ
คู่ค้าท่ีส�ำคัญ ลูกค้า และผู้มีส่วนได้ส่วนเสียอ่ืน
166 สำ�นกั งานคณะกรรมการนโยบายรฐั วิสาหกิจ
2.5 ความเสี่ยงด้านเทคโนโลยีสารสนเทศ คือ ความเส่ียงท่ีอาจ สารสนเทศจะเกดิ ขน้ึ และผลกระทบตอ่ การปฏบิ ตั งิ านและการ
เกิดข้ึนจากการใช้เทคโนโลยีสารสนเทศในการด�ำเนินธุรกิจ ด�ำเนินธุรกิจ รวมถึงก�ำหนดระดับความเส่ียง ด้านเทคโนโลยี
ซึ่งจะมีผลกระทบต่อระบบหรือการปฏิบัติงานของรัฐวิสาหกิจ สารสนเทศทย่ี อมรบั ได้ (IT risk appetite)
รวมถงึ ความเสย่ี งทเี่ กดิ จากภยั คกุ คามทางไซเบอร์ (cyber threat)
(2) การจดั การความเส่ียง (risk treatment) สถาบนั การ
การบริหารความเสย่ี งดา้ นเทคโนโลยสี ารสนเทศ เงินตอ้ งมแี นวทางในการจดั การควบคมุ และปอ้ งกนั ความเสย่ี ง
(IT risk management) ท่ีเหมาะสมสอดคล้องกับผลการประเมินความเส่ียงด้าน
ตามประกาศธนาคารแหง่ ประเทศไทย เรอื่ ง หลกั เกณฑก์ าร เทคโนโลยสี ารสนเทศ เพอื่ ใหค้ วามเสยี่ งทเ่ี หลอื อยู่ (residual risk)
กำ� กบั ดแู ลความเสย่ี งดา้ นเทคโนโลยสี ารสนเทศ (Information อยู่ในระดับความเสี่ยงด้านเทคโนโลยีสารสนเทศท่ียอมรับได้
TechnologyRisk)ของสถาบนั การเงนิ ลงวนั ท่ี20ธนั วาคม2560 โดยต้องค�ำนึงถึงความสมดุล ระหว่างต้นทุนในการป้องกัน
เพอื่ ใหส้ ถาบนั การเงนิ สามารถบรหิ ารความเสยี่ งดา้ นเทคโนโลยี ความเสยี่ งและผลประโยชนท์ คี่ าดวา่ จะไดร้ บั นอกจากนี้ สถาบนั
สารสนเทศไดอ้ ยา่ งมปี ระสทิ ธภิ าพ สถาบนั การเงนิ ตอ้ งกำ� หนด การเงนิ ตอ้ งจดั ใหม้ กี ารกำ� หนดดชั นชี ว้ี ดั ความเสยี่ งดา้ นเทคโนโลยี
นโยบายการบริหารความเส่ียงด้านเทคโนโลยีสารสนเทศ สารสนเทศ (IT key risk indicators) ทเี่ กย่ี วขอ้ งกบั การดำ� เนนิ
ให้ครอบคลุมเรื่องโครงสร้างองค์กรและบทบาทหน้าที่ ธุรกิจให้สอดคล้องกับความส�ำคัญของเทคโนโลยีสารสนเทศ
ของผู้ที่เก่ียวข้องในการบริหารความเส่ียงด้านเทคโนโลยี แตล่ ะงาน เพอื่ ใชใ้ นการตดิ ตามและทบทวนความเสย่ี ง
สารสนเทศและต้องน�ำนโยบายดังกล่าวมาจัดท�ำระเบียบ
วิธีปฏิบัติและกระบวนการในการบริหารความเสี่ยงด้าน (3) การติดตามและทบทวนความเสีย่ ง (risk monitoring
เทคโนโลยีสารสนเทศของสถาบนั การเงนิ โดยครอบคลมุ อย่าง and review) สถาบันการเงินต้องจัดให้มีกระบวนการ
นอ้ ยในเรอื่ งดังต่อไปน้ี ที่มีประสิทธิภาพในการติดตามและทบทวนความเสี่ยง
ด้านเทคโนโลยีสารสนเทศ เพื่อให้อยู่ภายใต้ระดับความเสี่ยง
(1) การประเมนิ ความเสีย่ ง (risk assessment) ดา้ นเทคโนโลยีสารสนเทศทยี่ อมรับได้ทีก่ ำ� หนดไว้
(1.1) การระบคุ วามเสย่ี ง (risk identification) สถาบนั การเงนิ
ต้องระบุถึงความเสี่ยงด้านเทคโนโลยีสารสนเทศ ซึ่งรวมถึง (4) การรายงานความเส่ยี ง (risk reporting) สถาบันการ
ภัยคุกคามทางไซเบอร์ และช่องโหว่ต่าง ๆ โดยความเส่ียง เงินต้องมีการรายงานผลการบริหารความเสี่ยงด้านเทคโนโลยี
ดงั กลา่ วอาจมสี าเหตมุ าจากกระบวนการ ปฏบิ ตั งิ าน ระบบงาน สารสนเทศและแนวโน้มของความเสี่ยงด้านเทคโนโลยี
บุคลากร หรอื ปจั จยั ภายนอก สารสนเทศท่ีอาจเกิดขึ้น ต่อคณะกรรมการของสถาบัน
(1.2) การวิเคราะห์ความเสี่ยง (risk analysis) สถาบัน การเงินหรือคณะกรรมการที่ได้รับมอบหมายในระยะเวลา
การเงินต้องเข้าใจและวิเคราะห์ความเส่ียงด้านเทคโนโลยี ท่ีเหมาะสม ทั้งนี้ สถาบันการเงินต้องจัดให้มีการทบทวน
สารสนเทศ เพอ่ื หาแนวทางในการจดั การความเสยี่ งทเ่ี หมาะสม ระเบียบวิธีปฏิบัติและกระบวนการ ในการบริหารความเสี่ยง
(1.3) การประเมนิ คา่ ความเสย่ี ง (risk evaluation) สถาบนั ด้านเทคโนโลยีสารสนเทศ อยา่ งนอ้ ยปีละ 1 ครง้ั และทุกคร้งั
การเงินต้องประเมินถึงโอกาสที่ความเสี่ยงด้านเทคโนโลยี ท่ีมีการเปลยี่ นแปลงอยา่ งมนี ัยสำ� คัญ
ทมี่ า : หลักเกณฑก์ ารกำ�กบั ดูแลความเส่ียงด้านเทคโนโลยีสารสนเทศ (Information Technology Risk) ของสถาบันการเงิน และแนวปฏิบตั ิ
ในการบริหารความเสย่ี งดา้ นเทคโนโลยสี ารสนเทศ ธนาคารแหง่ ประเทศไทย
ระบบการประเมินผลการด�ำ เนินงานรัฐวิสาหกิจ ตามระบบประเมนิ ผลรัฐวสิ าหกิจ 167
2.5
ทมี่ า : กลต.
การระบคุ วามเสยี่ ง
ที่มา : กลต.
168 ส�ำ นักงานคณะกรรมการนโยบายรฐั วิสาหกิจ
2.5 การก�ำหนดระดบั ความเสีย่ งทย่ี อมรบั ได้
รอรปู Pic 2.5_24
ทม่ี า : กลต.
การประเมินความเสี่ยงดา้ นเทคโนโลยสี ารสนเทศ
ท่มี า : กลต.
ระบบการประเมนิ ผลการด�ำ เนนิ งานรฐั วสิ าหกจิ ตามระบบประเมินผลรัฐวิสาหกจิ 169
แนวทางการบรหิ ารจัดการดา้ นเทคโนโลยีสารสนเทศ 2.5
ท่ีมา : กลต.
การก�ำหนดวัดชี้วดั ความเสี่ยง การติดตาม และรายงานผลการบรหิ ารและจดั การความเสี่ยง
ทีม่ า : กลต.
170 ส�ำ นักงานคณะกรรมการนโยบายรฐั วิสาหกจิ
2.5 5.3 การตรวจสอบการบริหารจัดการความมั่งคงปลอดภัย • การวางแผน จดั ตงั้ นำ� ไปปฏบิ ตั ิ และรกั ษาใหค้ งไวต้ ามแผน
สารสนเทศขององคก์ ร (Information Security Management การตรวจประเมนิ
System (ISMS) Audit) (นำ้� หนักร้อยละ 2.5) • การก�ำหนดเกณฑ์การตรวจประเมิน และขอบเขตการ
กระบวนการตรวจสอบการบริหารจัดการความม่ังคง ประเมินแต่ละครั้ง
ปลอดภัยสารสนเทศขององคก์ ร (ISMS Audit)* • การคดั เลอื กผตู้ รวจประเมนิ และดำ� เนนิ การตรวจประเมนิ
รัฐวิสาหกิจมีการตรวจสอบการบริหารจัดการความม่ังคง ที่มีความเป็นกลาง และความเปน็ ธรรม
ปลอดภัยสารสนเทศ (ISMS Audit) โดยมีแนวทางดงั น้ี • การรายงานผลการตรวจประเมินเสนอตอ่ ผู้บริหาร
1. วางแผน จัดต้ัง น�ำไปปฏิบัติ และรักษาให้คงไว้ตาม ระดบั 3 รัฐวิสาหกิจมีการถ่ายทอดกระบวนการตรวจสอบ
แผนการตรวจประเมิน รวมถึงความถี่ วิธีการ หน้าท่ีความ การบริหารจัดการความม่ังคงปลอดภัยสารสนเทศ
รับผิดชอบ ข้อก�ำหนดของการวางแผนและการรายงานผล ขององค์กร แก่ผู้รับผิดชอบ พนักงาน ผู้ส่งมอบ
รวมท้ังให้ความส�ำคัญกับกระบวนการที่เกี่ยวข้องและผลการ คู่ค้าท่ีส�ำคัญ ลูกค้า และผู้มีส่วนได้ส่วนเสียอ่ืน
ประเมินคร้ังก่อน ทีเ่ กี่ยวข้องอย่างครบถว้ น มีการประเมินการรับรขู้ อง
2. ก�ำหนดเกณฑ์การตรวจประเมิน และขอบเขตการ ผู้รบั ผดิ ชอบ พนกั งาน ผ้สู ่งมอบ ค่คู ้าทสี่ �ำคัญ ลกู คา้
ประเมินแตล่ ะครั้ง และผมู้ ีสว่ นได้ส่วนเสียอืน่ ท่ีเก่ยี วข้องอย่างครบถว้ น
3. คัดเลือกผู้ตรวจประเมินและด�ำเนินการตรวจประเมิน ระดบั 4 รัฐวิสาหกิจมีการก�ำหนดการวัด ติดตาม วิเคราะห์
ทม่ี คี วามเป็นกลางและความเปน็ ธรรม ประเมนิ ตวั วดั ผลลพั ธ์ (outcome) ของกระบวนการ
4. รายงานผลการตรวจประเมินเสนอต่อผู้บริหาร ตรวจสอบการบริหารจัดการความม่ังคงปลอดภัย
ที่เกี่ยวข้องและเก็บรักษาเอกสารสนเทศ เพื่อใช้เป็นหลักฐาน สารสนเทศขององคก์ ร
แสดงแผนการตรวจประเมินและผลการตรวจประเมิน ระดับ 5 รัฐวิสาหกิจมีการก�ำหนดการวัด ติดตาม วิเคราะห์
รัฐวิสาหกิจก�ำหนดแนวทางหรือวิธีการวัดประสิทธิผล ประเมนิ ตวั วดั ผลลพั ธ์ (outcome) ของกระบวนการ
ของการตรวจสอบการบริหารจัดการความม่ังคงปลอดภัย ตรวจสอบการบริหารจัดการความม่ังคงปลอดภัย
สารสนเทศ (ISMS) ขององคก์ ร สารสนเทศขององค์กร และมีการน�ำผลลัพธ์ท่ีส�ำคัญ
ของกระบวนการ เขา้ สกู่ ระบวนการทบทวนการกำ� กบั
ระดับ 1 เร่ิมมีแนวทางในการตรวจสอบการบริหารจัดการ ดูแลด้านการบริหารจัดการดิจิทัล/จัดท�ำแผนปฏิบัติ
ความมงั่ คงปลอดภยั สารสนเทศขององค์กร การดจิ ทิ ลั ขององคก์ ร (ระยะยาว)
ระดับ 2 รัฐวิสาหกิจมีกระบวนการตรวจสอบการบริหาร
จัดการความมั่งคงปลอดภัยสารสนเทศขององค์กร
และแนวปฏบิ ตั ทิ กี่ ำ� หนดอยา่ งครบถว้ นและเปน็ ระบบ หมายเหตุ :
ซง่ึ ประกอบด้วย การประเมินกระบวนการจะใช้การประเมินรูปแบบระดับ
วุฒิภาวะ (Maturity Level) โดยพิจารณาจากการจัดการ
กระบวนการใหม้ แี นวทางปฏบิ ตั อิ ยา่ งเปน็ ระบบ สามารถทำ� ซำ้� ได้
(Repeatable Practice) และเปน็ มาตรฐาน (Standardized
Practice) ซ่ึงมีการถ่ายทอดแนวทางปฏิบัติแบบเดียวกัน
ทว่ั ทงั้ องค์กร โดยมกี ารวัด วิเคราะห์ และประเมินประสทิ ธิผล
ของกระบวนการอย่างเป็นรูปธรรม เพ่ือน�ำมาปรับปรุงและ
พฒั นากระบวนการอย่างตอ่ เนอ่ื ง
ระบบการประเมนิ ผลการด�ำ เนนิ งานรัฐวิสาหกจิ ตามระบบประเมินผลรัฐวสิ าหกจิ 171
การตรวจสอบภายใน คอื กจิ กรรมการใหค้ วามเชอ่ื มนั่ และ 1.วางแผน จัดตงั้ น�ำไปปฏิบตั ิ และรกั ษาใหค้ งไวข้ องแผน 2.5
การให้คำ� ปรึกษาอย่างเท่ียงธรรมและเป็นอิสระเพอ่ื เพิม่ คุณค่า งานการตรวจประเมนิ (Audit Programme) ซง่ึ รวมถงึ ความถ่ี
และปรบั ปรุงการดำ� เนินงานขององคก์ ร การตรวจสอบภายใน วธิ กี าร หนา้ ทค่ี วามรบั ผดิ ชอบ ขอ้ กำ� หนดของการวางแผน และ
ชว่ ยใหอ้ งคก์ รบรรลวุ ตั ถปุ ระสงคด์ ว้ ยการประเมนิ และปรบั ปรงุ รายงานผล โดยแผนงานการตรวจประเมินต้องพิจารณาถึง
ประสิทธิผลของกระบวนการบริหารความเส่ียง การควบคุม ความส�ำคัญของกระบวนการที่เก่ียวข้องและผลที่ได้จากการ
และการก�ำกับดแู ลอยา่ งเปน็ ระบบและเปน็ ระเบยี บ จากการตรวจประเมินครั้งก่อน
ขอ้ กำ� หนดระบบบรหิ ารจดั การความมนั่ คงปลอดภยั สำ� หรบั 2.กำ� หนดเกณฑก์ ารตรวจประเมนิ และขอบเขตสำ� หรบั การ
สารสนเทศตามมาตรฐาน ISO/IEC 27001:2013 ก�ำหนด ตรวจประเมินแต่ละคร้ัง
แนวทางในการตรวจประเมนิ ภายใน (Internal audit) ไว้ดังน้ี 3.คัดเลือกผู้ตรวจประเมินและด�ำเนินการตรวจประเมิน
องคก์ รตอ้ งดำ� เนนิ การตรวจประเมนิ ภายในตามรอบระยะเวลา ท่ีมั่นใจได้ถึงความเป็นกลางและความเป็นธรรมของ
ทกี่ ำ� หนด เพอื่ ใหข้ อ้ มลู ทแ่ี สดงวา่ ระบบบรหิ ารจดั การความมง่ั คง กระบวนการการตรวจประเมนิ
ปลอดภัยส�ำหรับสารสนเทศสอดคล้องกับ 1) ข้อก�ำหนดของ 4.มั่นใจว่าผลที่ได้จากการตรวจประเมินได้น�ำไปรายงาน
องค์กรเองส�ำหรับระบบบริหารจัดการความมั่นคงปลอดภัย ตอ่ ผบู้ รหิ ารทเี่ กยี่ วขอ้ ง และเกบ็ รกั ษาสนเทศ เพอ่ื เปน็ หลกั ฐาน
ส�ำหรับสารสนเทศ และ 2) ข้อก�ำหนดของมาตรฐานฉบับนี้ แสดงแผนงานการตรวจประเมินและผลทีไ่ ดจ้ ากการตรวจ
(ISO /IEC 27001:2013) ได้น�ำไปปฏิบัติและรักษาให้คงไว้
อย่างมปี ระสิทธิผล โดยองค์กรต้องมกี ารดำ� เนินการต่อไปน้ี
กระบวนการตรวจสอบภายใน
รอรูป Pic 2.5_28
ท่มี า : ข้อก�ำหนดระบบบริหารจัดการความมนั่ คงปลอดภัย
สำ� หรับสารสนเทศตามมาตรฐาน ISO/IEC 27001:2013
172 ส�ำ นักงานคณะกรรมการนโยบายรัฐวสิ าหกิจ
2.5 5.4 การบรหิ ารจดั การความมน่ั คงปลอดภยั ในการตดิ ตอ่ รัฐวิสาหกิจมีนโยบายหรือมาตรการในการรักษาความ
สอ่ื สารและเครือขา่ ยขององคก์ ร (Communications and ปลอดภัยในอปุ กรณ์ทใ่ี ชป้ ฏบิ ตั งิ าน (Endpoint Security)
Network Security Management) (นำ้� หนกั รอ้ ยละ 1.25) มีการก�ำหนดมาตรฐานและระเบียบวิธีปฏิบัติการรักษา
• รฐั วสิ าหกจิ มนี โยบายหรอื มาตรการตดิ ตง้ั ซอฟแวรป์ อ้ งกนั ความปลอดภัยอุปกรณ์ท่ีใช้ปฏิบัติงานเป็นลายลักษณ์อักษร
โปรแกรมไม่ประสงค์ดี (Malicious Software Prevention ทั้งอุปกรณ์ขององคก์ รและอปุ กรณ์ส่วนตวั
Policy) และแนวทางในการตรวจหา การปอ้ งกนั และการกคู้ นื • รัฐวิสาหกิจมีนโยบายหรือมาตรการในการควบคุม
จากโปรแกรมไม่ประสงค์ดี รวมท้ังด�ำเนินการให้ความรู้ การเขา้ ถงึ (Access Control) ประกอบด้วย
ความเข้าใจ และสร้างความตระหนกั ให้ผู้ใช้งานทีเ่ หมาะสม 1. นโยบายควบคมุ การเขา้ ถงึ (Access control policy)
• รัฐวิสาหกิจมีนโยบายหรือมาตรการในการรักษาความ ท่ีใช้ควบคมุ การเข้าถงึ ต้องมกี ารกำ� หนด จัดทำ� เป็นลายลักษณ์
ม่ันคงปลอดภยั เว็บไซต์และการใช้งานอนิ เตอรเ์ น็ท (Website อักษร และมีการทบทวนตามความต้องการของธุรกิจและ
and Internet Security Policy) เพื่อปกป้องข้อมูลของ ความต้องการด้านความม่ังคงปลอดภัยสารสนเทศ
ผู้ใช้บริการจากการถูกท�ำลาย หรือบุกรุกจากผู้ไม่หวังดี หรือ 2. การเข้าถึงเครือข่ายและบริการคอมพิวเตอร์ (Access
ผู้ท่ีไม่มีสิทธิ์ในการเข้าถึงข้อมูล มีการก�ำหนดมาตรการรักษา to network and network services) โดยผใู้ ช้งานต้องได้รับ
ความมน่ั คงปลอดภัยเว็บไซตแ์ ละการใช้งานอินเตอร์เน็ท สิทธิการเข้าถึงเฉพาะเครือข่ายและบริการเครือข่ายตามท่ี
• รัฐวิสาหกิจมีนโยบายหรือมาตรการในการรักษาความ ตนได้รบั อนุมัตกิ ารเขา้ ถึงเทา่ นนั้
มน่ั คงปลอดภยั ส�ำหรบั การสือ่ สารข้อมลู (Communications • รัฐวิสาหกิจมีการสื่อสารนโยบายหรือมาตรการบริหาร
security) ซง่ึ ประกอบด้วย จัดการความมั่นคงปลอดภัยในการติดต่อสื่อสารและเครือข่าย
1. การบริหารจัดการความม่ังคงปลอดภัยของเครือข่าย (Communications and Network Security Management)
(Network Security Management) ซึ่งประกอบด้วย ขององค์กร
มาตรการเครอื ขา่ ย (Network controls) ความมน่ั คงปลอดภยั
สำ� หรบั บรกิ ารเครอื ขา่ ย (Security of network services) และ ระดบั 1 มีการก�ำหนดนโยบายหรือมาตรการที่เก่ียวข้องกับ
การแบง่ แยกเครือขา่ ย (Segregation in networks) การบริหารจัดการความมั่นคงปลอดภัยในการติดต่อ
2. การถา่ ยโอนสารสนเทศ (Information transfer) ซงึ่ ตอ้ ง สอื่ สารและเครอื ขา่ ย ทส่ี อดคลอ้ งกบั ประเดน็ ยอ่ ยของ
ประกอบด้วยนโยบายและข้ันตอนปฏิบัติส�ำหรับการถ่ายโอน “ระดับ 5” 1 หวั ข้อ
สารสนเทศ (Information transfer policies and procedures) ระดบั 2 มีการก�ำหนดนโยบายหรือมาตรการที่เกี่ยวข้องกับ
และข้อตกลงส�ำหรับการถ่ายโอนสารสนเทศ (Agreements การบริหารจัดการความม่ันคงปลอดภัยในการติดต่อ
on information transfer) สำ� หรบั การถา่ ยโอนสารสนเทศ สอ่ื สารและเครอื ขา่ ย ทสี่ อดคลอ้ งกบั ประเดน็ ยอ่ ยของ
ทางธุรกิจให้มีความปลอดภัยระหว่างองค์กรกับหน่วยงาน “ระดบั 5” 2 หวั ขอ้
ภายนอก ระดบั 3 มีการก�ำหนดนโยบายหรือมาตรการที่เกี่ยวข้องกับ
การบริหารจัดการความม่ันคงปลอดภัยในการติดต่อ
สอื่ สารและเครอื ขา่ ย ทส่ี อดคลอ้ งกบั ประเดน็ ยอ่ ยของ
“ระดับ 5” 3 หวั ขอ้
ระบบการประเมนิ ผลการด�ำ เนนิ งานรฐั วสิ าหกจิ ตามระบบประเมินผลรฐั วสิ าหกจิ 173
ระดับ 4 มีการก�ำหนดนโยบายหรือมาตรการที่เกี่ยวข้องกับ 1. กำ� หนดมาตรฐานและระเบยี บวธิ ปี ฏบิ ตั ใิ นการรบั สง่ ขอ้ มลู 2.5
การบริหารจัดการความม่ันคงปลอดภัยในการติดต่อ ผ่านระบบเครือข่ายส่ือสารในองค์กร และระหว่างเครือข่าย
สอ่ื สารและเครอื ขา่ ย ทสี่ อดคลอ้ งกบั ประเดน็ ยอ่ ยของ สอ่ื สารภายในองคก์ รกบั ระบบเครอื ขา่ ยสอ่ื สารภายนอกองคก์ ร
“ระดับ 5” 4 หวั ข้อ ให้มีความม่ันคงปลอดภัย โดยควรจัดให้มีแนวทางป้องกัน
การเปลี่ยนแปลงแก้ไข ท�ำความเสียหายหรือเข้าถึงข้อมูล
ระดบั 5 มีการก�ำหนดนโยบายหรือมาตรการที่เกี่ยวข้องกับ โดยไม่ได้รับอนุญาต และมีกระบวนการตรวจสอบผู้ใช้งาน
การบริหารจัดการความม่ันคงปลอดภัยในการติดต่อ อยา่ งเขม้ งวด
สื่อสารและเครือข่าย ทค่ี รบถว้ นและครอบคลุม ดังนี้ 2. แนวทางการรักษาความม่ันคงปลอดภัยของระบบ
• การป้องกนั โปรแกรมไม่ประสงคด์ ี เครือข่ายส่ือสาร ให้ รส. ปฏิบัติตามแนวปฏิบัติท่ีดีส�ำหรับ
(Protection from malware) การควบคุมความเสี่ยงของระบบงานเทคโนโลยีสารสนเทศ
• การรกั ษาความมัน่ คงปลอดภัยของเว็บไซต์ ทีส่ นบั สนุนธุรกิจหลัก (IT Best Practices)
(Website Security Policy) การรักษาความปลอดภัยในอุปกรณ์ท่ีใช้ปฏิบัติงาน
• การรักษาความม่ันคงปลอดภัยส�ำหรับการส่ือสาร (Endpoint Security)
ข้อมูล (Communications security)
• การรักษาความปลอดภัยในอุปกรณ์ที่ใช้ปฏิบัติงาน เพ่อื ให้อปุ กรณท์ ใ่ี ชป้ ฏบิ ตั งิ านมคี วามปลอดภยั และไม่เปน็
(Endpoint Security) ชอ่ งทางทที่ ำ� ใหข้ อ้ มลู สำ� คญั ของ รส. รว่ั ไหลหรอื มกี ารเขา้ ใชง้ าน
• การควบคุมการเขา้ ถึง (Access Control) โดยไมไ่ ดร้ ับอนุญาต
1. ก�ำหนดมาตรฐานและระเบียบวิธีปฏิบัติการรักษา
หมายเหตุ : ความปลอดภยั ในอปุ กรณท์ ใี่ ชป้ ฏบิ ตั งิ านเปน็ ลายลกั ษณอ์ กั ษร
ความม่ันคงปลอดภัยทางไซเบอร์ (Cyber Security) ท้ังอปุ กรณ์ของ รส. และอปุ กรณส์ ว่ นตวั (Bring Your Own
คือ ภาพรวม ของเครื่องมือ (tools), นโยบาย (policies), Device : BYOD) เชน่ personal computer, notebook,
แนวคิดการรักษาความปลอดภัย (security concepts), tablet, smartphone, removable media เป็นต้น
การรักษาความปลอดภัย (security safeguards), แนวทาง เพ่ือให้ รส. มีแนวทางท่ีใช้ในการควบคุมความเสี่ยงจากการ
(guidelines), วิธกี ารบริหารความเสย่ี ง (risk management ใชง้ านอปุ กรณด์ งั กลา่ ว
approaches), การปฏิบตั ิ (actions), การอบรม (training),
วธิ ปี ฏบิ ตั ทิ เี่ ปน็ เลศิ (best practices), การรบั ประกนั (assurance)
และเทคโนโลยี (technologies) ท่ีสามารถปกป้อง
สภาพแวดลอ้ มทางไซเบอร์ องคก์ ร และสินทรพั ยข์ องผใู้ ชง้ าน
ได้แก่ อุปกรณ์สาหรับเช่ือมต่อคอมพิวเตอร์, ข้อมูลส่วนตัว,
โครงสร้างพื้นฐาน, แอปพลิเคชัน, บริการ, ระบบสารสนเทศ
และภาพรวมของการสง่ ผา่ นหรอื เก็บขอ้ มูลในไซเบอร์
การรักษาความมั่นคงปลอดภัยของระบบเครือข่ายส่ือสาร
(Communications Security) เพือ่ ให้ รส. มีโครงสร้างของ
ระบบเครือข่ายส่ือสารทมี่ ัน่ คงปลอดภัย มกี ารออกแบบระบบ
เครือข่ายส่ือสารท่ีเหมาะสมตามมาตรฐานสากลและมีการ
ปอ้ งกนั หรอื เฝา้ ระวงั การบกุ รกุ หรอื ภยั คกุ คามในรปู แบบตา่ ง ๆ
174 สำ�นกั งานคณะกรรมการนโยบายรฐั วสิ าหกิจ
2.5 กำ� หนด Security Baseline สำ� หรบั อปุ กรณท์ ใี่ ชป้ ฏบิ ตั งิ านของ การควบคุมการใช้งานอินเตอร์เน็ต โดย รส. ควรมีเคร่ืองมือ
รส. เพอ่ื ปอ้ งกนั ความเสย่ี งทอี่ ปุ กรณเ์ หลา่ นน้ั อาจเปน็ ชอ่ งทาง ในการควบคมุ ใหอ้ ปุ กรณท์ สี่ ามารถเชอื่ มตอ่ อนิ เตอรเ์ นต็ เขา้ ถงึ
ในการแพรก่ ระจายของโปรแกรมไมป่ ระสงคด์ ี (malware) และ เฉพาะเว็บไซต์ที่ได้รับอนุญาตเท่านั้น รวมถึงมีการจ�ำกัดการ
การร่ัวไหลของข้อมูลส�ำคัญตามระดับความเส่ียงที่เหมาะสม ดาวน์โหลดหรืออัพโหลดขอ้ มลู จากอนิ เตอรเ์ นต็
โดยอยา่ งนอ้ ยครอบคลมุ ดงั นี้ - การควบคมุ การใชส้ อ่ื บนั ทกึ ขอ้ มลู พกพา (removable media)
- ติดตั้งระบบปฏิบัติการและโปรแกรมพ้ืนฐานที่ใช้ในการ เชน่ ก�ำหนดแนวทางการอนญุ าต ให้ใชง้ าน Universal Serial
ปฏิบัติงานบนเคร่ืองคอมพิวเตอร์ (personal computer, Bus (USB) หรือ external harddisk เป็นต้น
notebook) โดยมีกระบวนการหรือเครื่องมือในการควบคุม - การควบคุมการใช้ Email เช่น ก�ำหนดแนวทางการใช้งาน
และติดตามไม่ให้ผู้ใช้งานสามารถติดตั้งโปรแกรมอ่ืน ๆ Email เป็นตน้
นอกเหนอื จาก รส. กำ� หนด มกี ระบวนการบรหิ ารจดั การอปุ กรณส์ ว่ นตวั (Bring Your Own
- ติดตั้งโปรแกรมรักษาความปลอดภัย เช่น anti-Virus/ Device : BYOD) ตง้ั แตก่ ารลงทะเบียน การต่ออายุ และการ
anti-malware, Host-based Intrusion Prevention System ยกเลกิ การใช้งาน BYOD อยา่ งนอ้ ยครอบคลุมดงั น้ี
(HIPS) เป็นต้น โดยมีการปรับปรุงประสิทธิภาพของการ
ป้องกันโปรแกรม ไม่ประสงค์ดี (malware) ให้เพียงพอและ หลกั เกณฑก์ ารอนญุ าตใหใ้ ชง้ าน BYOD
เปน็ ปจั จบุ นั เพือ่ ให้เทา่ ทนั ในการปอ้ งกันภยั คุกคามใหม่ ๆ - การควบคุมการใช้ BYOD ในการเข้าถึงระบบเครือข่าย
- ควบคุมไม่ให้มีการจัดเก็บข้อมูลท่ีมีระดับชั้นความลับสูงสุด สอ่ื สาร ระบบงานและขอ้ มลู ของ รส. มกี ระบวนการตรวจสอบ
ในเครือ่ งคอมพิวเตอร์ของผใู้ ชง้ าน แตห่ าก มีความจ�ำเป็นต้อง วิเคราะห์ และติดตามความเสี่ยงของอุปกรณ์ท่ีน�ำมาใช้งาน
จัดเก็บ ต้องมีการรักษาความปลอดภัยที่รัดกุมเพียงพอ เช่น ใน รส. ก�ำหนดรหัสผ่านเพื่อใช้ในการล็อคหรือปลดล็อค
มกี ารเขา้ รหัส เปน็ ตน้ ในการเขา้ ถงึ อปุ กรณส์ ว่ นตวั กรณเี ครอื่ งคอมพวิ เตอร์ (personal
- มีกระบวนการหรือเคร่ืองมือในการตรวจจับ (detect) computer, notebook) ตอ้ งตดิ ตง้ั anti-virus/ anti-malware
คัดกรอง (filter) สกัดกั้น (block) เพ่ือป้องกันข้อมูลส�ำคัญ หรือโปรแกรมตามที่ รส. ก�ำหนด ไม่อนุญาตให้อุปกรณ์
รวั่ ไหล (Data Leakage Prevention : DLP) โทรศัพท์เคลื่อนท่ี (tablet, smartphone) ท่ีถูกปรับแต่ง
- จ�ำกัดการเข้าถึง shared drive หรือ shared folder (rooted หรอื jailbroken) ลงทะเบยี นใชง้ าน BYOD ใชว้ ธิ กี าร
ตามความจำ� เปน็ ในการใชง้ านเทา่ นน้ั พสิ จู นต์ วั ตนอปุ กรณท์ เ่ี ชอ่ื ถอื ไดข้ ององคก์ ร เชน่ trusted root
certification authorities, digital certificate เป็นตน้
ท่มี า : หลักเกณฑก์ ารก�ำกบั ดแู ลความเสี่ยงด้านเทคโนโลยสี ารสนเทศ (Information Technology Risk) ของสถาบันการเงิน
และแนวปฏบิ ตั ใิ นการบรหิ ารความเสย่ี งด้านเทคโนโลยสี ารสนเทศ ธนาคารแห่งประเทศไทย
ระบบการประเมินผลการด�ำ เนนิ งานรฐั วสิ าหกิจ ตามระบบประเมินผลรฐั วสิ าหกจิ 175
NIST Cyber Security Framework 2.5
IDENTIFY PROTECT DETECT RESPOND RECOVER
Asset Management Access Control Anomalies& Events Response Planning Recovery Planning
EBnuvsiinroensms ent ATrwaainrienngess & MCSeoocnnutiirtniotuyrionugs Communications Improvements
Communications
Governance Data Security PDreotceecstsioens Analysis
Risk Assessment Mitigation
PPInrrfooocceePsdrosuetresecsatniodn
Risk Management Maintenance Improvements
PTerocthencotilvoegy
ทม่ี า : National Institute of Standards and Technology
176 ส�ำ นักงานคณะกรรมการนโยบายรฐั วิสาหกิจ
2.5 5.5 การบริหารจัดการความมั่นคงปลอดภัยทรัพย์สินด้าน
เทคโนโลยีสารสนเทศและข้อมูลสารสนเทศ (IT Asset,
Data and Information Security Management)
(น�้ำหนกั ร้อยละ 1.25)
• รัฐวิสาหกิจก�ำหนดพื้นที่ที่เกี่ยวข้องกับเทคโนโลยี • รัฐวิสาหกิจมีการส่ือสารแนวทางการบริหารจัดการ
สารสนเทศที่ต้องการรักษาความปลอดภัย เพื่อป้องกันการ ความมั่นคงปลอดภัยทรัพย์สินด้านเทคโนโลยีสารสนเทศและ
เข้าถึงโดยไม่ได้รับอนุญาต ความเสียหาย และการแทรกแซง ขอ้ มลู สารสนเทศ (IT Asset, Data and Information Security
การท�ำงานที่มีต่อสารสนเทศและอุปกรณ์ประมวลผล Management) ขององคก์ ร
สารสนเทศขององค์กร โดยต้องมีนโยบายหรือมาตรการ เช่น
ก�ำหนดขอบเขตหรือบริเวณโดยรอบทางกายภาพที่ต้องการ ระดบั 1 เริ่มมีมาตรการ/นโยบายการรักษาความมั่นคง
รักษาความปลอดภัย การควบคุมการเข้าออกทางกายภาพ ปลอดภยั ของขอ้ มูล (Information security)
การก�ำหนดสิทธผิ ู้เขา้ ถึง (Approved access requests) และ ระดบั 2 มาตรการ/นโยบายการรกั ษาความมน่ั คงปลอดภยั ของ
มกี ารเกบ็ ข้อมลู การเข้าถงึ (Access logs) พ้นื ที่ ขอ้ มูล (Information security) ประกอบดว้ ย
• รัฐวิสาหกิจมีการรักษาความม่ันคงปลอดภัยของข้อมูล - การก�ำหนดให้ผู้เป็นเจ้าของข้อมูล (Information
สารสนเทศ (Data and Information security) โดยต้อง owner) รบั ผดิ ชอบในการกำ� หนดผใู้ ชง้ าน สทิ ธใิ นการ
ประกอบดว้ ย
เขา้ ถึงและการใชง้ านขอ้ มลู อย่างปลอดภัย
1. การก�ำหนดให้ผู้เป็นเจ้าของข้อมูลสารสนเทศ (Data - การกำ� หนดหลกั เกณฑก์ ารจดั ชน้ั ความลบั ของขอ้ มลู
and Information owner) รบั ผิดชอบในการกำ� หนดผใู้ ชง้ าน (information classification)
สทิ ธใิ นการเขา้ ถงึ และการใชง้ านขอ้ มลู สารสนเทศอยา่ งปลอดภยั ระดบั 3 มาตรการ/นโยบายการรกั ษาความมนั่ คงปลอดภยั ของ
2. การก�ำหนดหลักเกณฑ์การจัดชั้นความลับของข้อมูล ขอ้ มูล (Information security) ประกอบดว้ ย
สารสนเทศ (Data and Information classification)
3. ก�ำหนดแนวทางการรักษาความมั่นคงปลอดภัยของ - การก�ำหนดให้ผู้เป็นเจ้าของข้อมูล(Information
owner) รบั ผดิ ชอบในการกำ� หนดผใู้ ชง้ าน สทิ ธใิ นการ
ข้อมลู ท่ีสอดคล้องตามชน้ั ความลับ เข้าถึงและการใช้งานข้อมลู อยา่ งปลอดภัย
4. การก�ำหนดมาตรฐานและระเบียบวิธีปฏิบัติในการ - การกำ� หนดหลกั เกณฑก์ ารจดั ชน้ั ความลบั ของขอ้ มลู
ทำ� ลายข้อมูลสารสนเทศ (Data and Information disposal) (information classification)
ที่ครอบคลุมขอบเขต หน้าท่ีความรับผิดชอบของหน่วยงาน - ก�ำหนดแนวทางการรักษาความม่ันคงปลอดภัย
ท่ีเกี่ยวข้อง วิธีการท�ำลายข้อมูลให้สอดคล้องกับระดับ ของขอ้ มลู ทส่ี อดคลอ้ งตามชั้นความลับ
ความส�ำคญั ของขอ้ มลู สารสนเทศ
• รัฐวิสาหกิจบริหารจัดการการเข้ารหัสข้อมูลสารสนเทศ ระดับ 4 มาตรการ/นโยบายการรกั ษาความมนั่ คงปลอดภยั ของ
ขอ้ มลู (Information security) ประกอบด้วย
(Cryptography) ก�ำหนดมาตรฐานและระเบียบวิธีปฏิบัติ - การก�ำหนดให้ผู้เป็นเจ้าของข้อมูล (Information
การบริหารจัดการการเข้ารหัสข้อมูลสารสนเทศ ท่ีสอดคล้อง owner) รบั ผดิ ชอบในการกำ� หนดผใู้ ชง้ าน สทิ ธใิ นการ
ตามล�ำดับความส�ำคัญของข้อมูลสารสนเทศและการบริหาร
จดั การกญุ แจ (Key management) เขา้ ถึงและการใชง้ านข้อมูลอย่างปลอดภยั
ระบบการประเมินผลการด�ำ เนินงานรัฐวสิ าหกิจ ตามระบบประเมินผลรฐั วสิ าหกจิ 177
2.5
- การกำ� หนดหลกั เกณฑก์ ารจดั ชนั้ ความลบั ของขอ้ มลู การจัดเก็บหรือใช้งานบนระบบและส่ือบันทึกข้อมูลต่าง ๆ
(information classification) การรักษาความม่ันคงปลอดภัยของข้อมูล (information
security)
- ก�ำหนดแนวทางการรักษาความม่ันคงปลอดภัย 1.ก�ำหนดให้ผู้เป็นเจ้าของข้อมูล (information owner)
ของข้อมูลท่สี อดคลอ้ งตามชน้ั ความลบั รบั ผดิ ชอบในการกำ� หนดผใู้ ชง้ าน สทิ ธกิ ารเขา้ ถงึ และการใชง้ าน
ข้อมูลอยา่ งปลอดภยั
- การก�ำหนดมาตรฐานและระเบียบวิธีปฏิบัติในการ 2.ก�ำหนดหลักเกณฑ์การจัดช้ันความลับของข้อมูล
ท�ำลายขอ้ มลู (Information disposal) (information classification) โดยควรระบุชั้นความลับ
ของข้อมูล (labeling) อย่างชัดเจน
ระดับ 5 มาตรการ/นโยบายการรักษาความมั่นคงปลอดภัย 3.กำ� หนดแนวทางการรกั ษาความมนั่ คงปลอดภยั ของขอ้ มลู
ของข้อมลู (Information security) ประกอบดว้ ย ทสี่ อดคลอ้ งตามชน้ั ความลบั ครอบคลมุ ขอ้ มลู ทอ่ี ยบู่ นอปุ กรณ์
ท่ีใช้ปฏิบัติงาน (data at endpoint) ข้อมูลที่อยู่ระหว่าง
- การก�ำหนดให้ผู้เป็นเจ้าของข้อมูล (Information การรบั สง่ ผา่ นเครอื ขา่ ย (data in transit) ขอ้ มลู ทอ่ี ยบู่ นระบบงาน
owner) รบั ผดิ ชอบในการกำ� หนดผใู้ ชง้ าน สทิ ธใิ นการ และส่อื บันทกึ ขอ้ มลู (data at rest)
เข้าถงึ และการใชง้ านข้อมลู อย่างปลอดภยั 4.ก�ำหนดแนวทางการควบคุมดูแลรักษาความปลอดภัย
ส่ือบันทึกข้อมูลระหว่างขนส่ง (physical media transfer)
- การกำ� หนดหลกั เกณฑก์ ารจดั ชนั้ ความลบั ของขอ้ มลู เพื่อให้มีการควบคุมการเข้าถึงส่ือที่มีข้อมูลส�ำคัญในระหว่าง
(information classification) การขนส่ง
5.ก�ำหนดมาตรฐานและระเบียบวิธีปฏิบัติการท�ำลาย
- ก�ำหนดแนวทางการรักษาความม่ันคงปลอดภัย ขอ้ มลู (information disposal) ครอบคลมุ ขอบเขต หน้าที่
ของข้อมลู ทส่ี อดคลอ้ งตามชัน้ ความลบั ความรบั ผดิ ชอบของหนว่ ยงานทเ่ี กย่ี วขอ้ ง วธิ กี ารทำ� ลายขอ้ มลู
ใหส้ อดคลอ้ งกบั ระดบั ความสำ� คญั ของขอ้ มลู โดยมกี ระบวนการ
- การก�ำหนดมาตรฐานและระเบียบวิธีปฏิบัติ ควบคมุ การทำ� ลายขอ้ มลู ทค่ี รอบคลมุ การอนมุ ตั จิ ากหนว่ ยงาน
ในการทำ� ลายข้อมลู (Information disposal) เจ้าของข้อมูล ก่อนด�ำเนินการการควบคุมการท�ำลาย
ในลักษณะ dual control การสอบทานการปฏิบัติงาน
- การบรหิ ารจดั การการเขา้ รหสั ขอ้ มลู (Cryptography) โดยหัวหน้างาน รวมทั้งจัดให้มีการจัดท�ำทะเบียนการท�ำลาย
ก�ำหนดมาตรฐานและระเบียบวิธีปฏิบัติการบริหาร ข้อมูลส�ำคัญ โดยระบุผู้รับผิดชอบในการท�ำลายข้อมูล วันท่ี
จัดการการเข้ารหัสข้อมูล ที่สอดคล้องตามล�ำดับ เวลา ชนิดของสื่อบันทึกข้อมูล serial number และวิธีการ
ความส�ำคัญของข้อมูลและการบริหารจัดการกุญแจ ท่ใี ชท้ ำ� ลายขอ้ มลู
(Key management)
หมายเหตุ :
การรักษาความม่ันคงปลอดภัยของข้อมูล (Information
Security)
เพ่อื ให้ รส. มกี ารรกั ษาความม่นั คงปลอดภัยและความลับ
ของข้อมูลครอบคลุมการรับส่งข้อมูล ผ่านเครือข่ายสื่อสาร
178 สำ�นักงานคณะกรรมการนโยบายรัฐวิสาหกิจ
2.5 การจดั เก็บข้อมลู บนั ทกึ เหตกุ ารณ์ (logging) การบริหารจัดการการเข้ารหัสข้อมลู (cryptography)
เพอื่ ให้ รส. มขี อ้ มลู บนั ทกึ เหตกุ ารณท์ ค่ี รบถว้ นเพยี งพอและ 1.กำ� หนดมาตรฐานและระเบยี บวธิ ปี ฏบิ ตั กิ ารบรหิ ารจดั การ
ปลอดภยั สามารถใชต้ ดิ ตาม ตรวจสอบรอ่ งรอยการเขา้ ถงึ และ การเข้ารหสั ข้อมลู ครอบคลุม ขอบเขตหนา้ ทคี่ วามรบั ผดิ ชอบ
การใชง้ านระบบหรอื ขอ้ มลู ของผใู้ ชง้ าน รวมทงั้ ใชเ้ ปน็ หลกั ฐาน ของหนว่ ยงานทเี่ กยี่ วขอ้ ง วธิ กี ารเขา้ รหสั ขอ้ มลู (cryptographic
การทำ� ธรุ กรรมทางอเิ ล็กทรอนิกสต์ ามทีก่ ฎหมายกำ� หนด algorithm) ที่สอดคลอ้ งตามระดบั ความสำ� คัญของข้อมูลและ
1.มีการจัดเก็บข้อมูลบันทึกเหตุการณ์ของเครื่องแม่ข่าย การบริหารจดั การกญุ แจเข้ารหัสข้อมลู (key management)
ระบบงาน อุปกรณ์เครือข่ายส่ือสารที่ส�ำคัญด้วยวิธีการ 2.ก�ำหนดให้มีการเข้ารหัสข้อมูลส�ำคัญและช่องทาง
ที่ปลอดภัย โดยมีรายละเอียดที่ครบถ้วนเพียงพอที่จะใช้เป็น การส่ือสารทีใ่ ชร้ ับสง่ ข้อมูลส�ำคญั กบั ภายนอก
หลักฐานในการตรวจสอบท่ีสามารถระบุตัวบุคคลผู้กระท�ำ 3.วิธีการเข้ารหัสข้อมูล ควรใช้มาตรฐานการเข้ารหัส
ได้ และจดั เก็บย้อนหลงั เป็นระยะเวลาอย่างนอ้ ย 90 วนั หรือ ข้อมูลที่เช่ือถือได้และเป็นมาตรฐานสากล เช่น การเข้ารหัส
ตามกฎหมายทีเ่ กยี่ วข้องก�ำหนด ข้อมูลแบบสมมาตร (เช่น AES) การเข้ารหัสข้อมูลแบบ
- บนั ทกึ รอ่ งรอยกจิ กรรมการทำ� ธรุ กรรม (transaction log) สมมาตร (เชน่ public key cryptography) เปน็ ตน้ โดยมกี าร
- บนั ทึกการเขา้ ถึง (access log) ทบทวนประสิทธิภาพของวิธีการเข้ารหัสข้อมูลอย่างสม่�ำเสมอ
- บนั ทกึ การดำ� เนนิ งาน (activity log) ทสี่ ำ� คญั โดยอยา่ งนอ้ ย เพ่ือให้ม่ันใจว่าวิธีการเข้ารหัสข้อมูลที่ใช้งานยังคงมีความ
ต้องครอบคลมุ แข็งแรงเพียงพอ
- การเปล่ียนแปลงแก้ไขโครงสร้างฐานข้อมูลและการ 4.การบรหิ ารจดั การกญุ แจเขา้ รหสั ขอ้ มลู (key management)
เปลยี่ นแปลงแกไ้ ขขอ้ มลู (update/ insert/ delete) ในตาราง ควรก�ำหนดกระบวนการท่ีมีความรัดกุม ปลอดภัยครอบคลุม
ที่ส�ำคัญ ต้ังแต่การสร้างและติดต้ัง การจัดเก็บ และการยกเลิกกุญแจ
- การเปลย่ี นแปลงการตั้งคา่ ความปลอดภัยของระบบ เขา้ รหสั ข้อมูล
- การเขา้ ถงึ object ท่สี ำ� คัญของระบบ
- การเปล่ยี นแปลงแก้ไขบญั ชแี ละสิทธิ์ของผู้ใช้งาน
2. มีการใช้ระบบในการควบคุมค่าเวลาของเครื่องแม่ข่าย
ระบบงาน อุปกรณ์เครือข่ายส่ือสารให้ตรงกับ เครื่องแม่ข่าย
Network Time Protocol : NTP (clock synchronization)
เพื่อให้ค่าเวลาในการบันทึก เหตุการณ์มีความถูกต้อง
ในลกั ษณะ real-time ซงึ่ เคร่อื งแม่ขา่ ย NTP ต้องรบั สัญญาณ
นาฬิกาจากแหลง่ ทม่ี ีความนา่ เช่อื ถือ
3. ขอ้ มลู การบนั ทกึ เหตกุ ารณข์ องอปุ กรณส์ ำ� คญั ควรจดั เกบ็
ไวท้ เี่ ครอ่ื งแมข่ า่ ยทแี่ ยกเฉพาะ อยา่ งนอ้ ยครอบคลมุ access log
และ activity log โดยมีการรักษาความปลอดภัยที่รัดกุม
เพยี งพอในการป้องกนั การเปลีย่ นแปลง แก้ไข หรือทำ� ลาย
4. มีการสอบทานบันทึกการเข้าถึง (access Log) และ
บันทึกการด�ำเนินงาน (activity log) ของผู้ปฏิบัติงานด้าน
เทคโนโลยสี ารสนเทศทีม่ สี ทิ ธส์ิ ูงอยา่ งสมำ่� เสมอ เช่น system
administrator หรือ system operator เปน็ ต้น เพื่อใหม้ นั่ ใจ
ได้ว่าผู้ปฏิบัติงานเข้าถึงและปฏิบัติงานตามขอบเขตหน้าท่ี
ท่ไี ด้รบั มอบหมาย
ระบบการประเมินผลการด�ำ เนนิ งานรฐั วิสาหกจิ ตามระบบประเมนิ ผลรัฐวสิ าหกิจ 179
การสรา้ งและตดิ ต้ังกญุ แจเขา้ รหสั ขอ้ มลู - มีการรักษาความปลอดภัยของกุญแจเข้ารหัสข้อมูล 2.5
- มีการควบคุมสภาพแวดล้อมในการสร้างรหัสท่ีมี ท้ังด้าน physical และ logical โดยใช้อุปกรณ์ รักษา
ความรัดกุมปลอดภัย เช่น เลือกใช้ผู้ให้บริการออกใบรับรอง ความปลอดภัย HSM หรืออุปกรณ์ที่ท�ำหน้าที่ในลักษณะ
(Certification Authority) ท่ีนา่ เชอ่ื ถอื มีขนั้ ตอนการทำ� ลาย เดียวกัน
หลกั ฐานที่ใชห้ ลงั จากสร้างกญุ แจแล้วเสรจ็ - มีการส�ำรองข้อมูลกุญแจเข้ารหัสข้อมูล โดยวิธีการ
- กุญแจเข้ารหัสข้อมูล จะต้องไม่มีพนักงานหรือบุคคลใด เก็บรักษากุญแจเข้ารหัสข้อมูลชุดส�ำรองต้องมีการรักษา
บุคคลหน่งึ รรู้ หสั ทั้งหมด ความปลอดภัยในระดบั เดยี วกับกญุ แจเข้ารหสั ขอ้ มูลชดุ หลกั
- ก�ำหนดขนาดของกุญแจเข้ารหัสข้อมูลท่ีมีความยาว การเปล่ียนและเพิกถอนกุญแจเข้ารหัสขอ้ มลู
เพียงพอในการป้องกันการถูกถอดรหัส เช่น การถูกโจมตี - ก�ำหนดเกณฑ์และแนวทางในการเปล่ียนและเพิกถอน
แบบ brute force เป็นตน้ กุญแจเข้ารหัสข้อมูล เช่น กรณีกุญแจหมดอายุล้าสมัยหรือ
- การแลกเปลย่ี นกญุ แจตอ้ งผ่านกระบวนการและช่องทาง ไมป่ ลอดภยั เปน็ ตน้
ที่ปลอดภัยก�ำหนดไม่ให้ใช้กุญแจเข้ารหัสข้อมูลเดียวกันกับ - ก�ำหนดกระบวนการท�ำลายกุญแจ โดยต้องม่ันใจว่า
หลายระบบงาน ไม่สามารถน�ำกุญแจน้นั มาใช้งานได้อกี
แนวทางการกำ�หนดหลกั เกณฑ์การจัดชนั้ ความลบั ของขอ้ มลู
ทีม่ า : SecureLink
180 ส�ำ นักงานคณะกรรมการนโยบายรัฐวิสาหกจิ
2.5 6. การบริหารความต่อเน่ืองทางธุรกิจและความพร้อมใช้ • รฐั วสิ าหกจิ มแี นวทางในการบำ� รงุ รกั ษาเชงิ ปอ้ งกนั สำ� หรบั
ของระบบ (Business Continuity and Availability ฮารด์ แวร์ทง้ั หมด (Preventive Maintenance Plan) หรอื ขอ้
Management) (นำ�้ หนักรอ้ ยละ 10) ตกลงในการบ�ำรุงรักษาทรัพย์สินด้านเทคโนโลยีสารสนเทศ
กับหนว่ ยงานภายนอกทใี่ ห้บรกิ าร
6.1 การบริหารจัดการทรัพย์สินด้านเทคโนโลยีสารสนเทศ • รัฐวิสาหกิจก�ำหนดแนวทางหรือวิธีการวัดประสิทธิผล
(IT Asset Management) (น้ำ� หนกั ร้อยละ 2.5) ของการบริหารจัดการทรัพย์สินด้านเทคโนโลยีสารสนเทศ
• กระบวนการบริหารจัดการทรัพย์สินด้านเทคโนโลยี (IT Asset Management) ขององค์กร
สารสนเทศ (IT Asset Management) ของรัฐวิสาหกิจ* ระดับ 1 เริ่มมีแนวทางในการบริหารจัดการทรัพย์สิน
• รัฐวิสาหกิจก�ำหนดมาตรฐานและระเบียบวิธีปฏิบัติการ ด้านเทคโนโลยสี ารสนเทศ
บรหิ ารจดั การทรัพยส์ นิ ดา้ นเทคโนโลยีสารสนเทศ ระดับ 2 รัฐวิสาหกิจมีกระบวนการบริหารจัดการทรัพย์สิน
ทค่ี รอบคลมุ การจดั ทำ� ทะเบยี นรายการทรพั ยส์ นิ การปรบั ปรงุ ด้านเทคโนโลยีสารสนเทศและแนวปฏิบัติที่ก�ำหนด
ทะเบยี นรายการทรพั ยส์ นิ การยกเลกิ และการเรยี กคนื ทรพั ยส์ นิ อยา่ งครบถ้วนและเปน็ ระบบ ซง่ึ ประกอบดว้ ย
• รัฐวิสาหกิจก�ำหนดผู้รับผิดชอบในการจัดท�ำปรับปรุง * การจัดทำ� ทะเบยี นรายการทรัพย์สิน
ทะเบียนรายการทรัพย์สินด้านเทคโนโลยีสารสนเทศและ * การปรับปรุงทะเบียนรายการทรัพยส์ นิ
บ�ำรงุ รกั ษาทรัพยส์ ินดา้ นเทคโนโลยสี ารสนเทศอย่างสม่�ำเสมอ * การยกเลกิ และการเรียกคืนทรัพย์สิน
รวมทั้งวางแผนรองรับทรัพย์สินด้านเทคโนโลยีสารสนเทศ * การบำ� รงุ รกั ษาทรพั ยส์ นิ ดา้ นเทคโนโลยสี ารสนเทศ
ท่ีใกล้จะส้ินสุดตามอายุการใช้งาน (End of life) หรือสิ้นสุด * การวางแผนรองรับทรัพย์สินด้านเทคโนโลยี
การใช้งาน (End of support) จากผู้ผลิตได้อย่างเหมาะสม สารสนเทศท่ีใกล้จะสิ้นสุดตามอายุการใช้งาน
ทนั การณ์ (end of life) หรอื สน้ิ สดุ การใชง้ าน (end of support)
• รฐั วสิ าหกจิ จดั ทำ� ทะเบยี นรายการทรพั ยส์ นิ ดา้ นเทคโนโลยี ระดับ 3 รฐั วสิ าหกจิ มกี ารถา่ ยทอดกระบวนการบรหิ ารจดั การ
สารสนเทศ (IT inventory list) ของฮารด์ แวร์ (Hardware) และ ทรัพย์สินด้านเทคโนโลยีสารสนเทศ แก่ผู้รับผิดชอบ
ซอฟต์แวร์ (Software) ที่รองรับระบบเทคโนโลยีสารสนเทศ พนกั งาน ผสู้ ง่ มอบ คคู่ า้ ทส่ี ำ� คญั ลกู คา้ และผมู้ สี ว่ นได้
ขององค์กรไดอ้ ย่างครบถว้ นและเป็นลายลักษณ์อกั ษร ส่วนเสียอื่น ท่เี ก่ียวข้องอยา่ งครบถว้ น มีการประเมนิ
• รัฐวิสาหกิจมีการปรับปรุงทะเบียนรายการทรัพย์สิน การรับรู้ของ ผู้รับผิดชอบ พนักงาน ผู้ส่งมอบ คู่ค้า
ดา้ นเทคโนโลยสี ารสนเทศใหเ้ ปน็ ปจั จุบนั อยา่ งตอ่ เนอื่ ง ทส่ี ำ� คญั ลกู คา้ และผมู้ สี ว่ นไดส้ ว่ นเสยี อน่ื ทเี่ กย่ี วขอ้ ง
• รัฐวิสาหกิจมีกระบวนการในการยกเลิกและเรียกคืน อยา่ งครบถว้ น
ทรัพยส์ นิ (Return asset) เม่ือสนิ้ สดุ อายกุ ารใช้งาน
ระบบการประเมินผลการด�ำ เนินงานรัฐวิสาหกิจ ตามระบบประเมนิ ผลรัฐวิสาหกิจ 181
ระดบั 4 รัฐวิสาหกิจมีการก�ำหนดการวัด ติดตาม วิเคราะห์ 2.5
ประเมนิ ตวั วดั ผลลพั ธ์ (outcome) ของกระบวนการ
บริหารจัดการทรัพยส์ ินดา้ นเทคโนโลยสี ารสนเทศ หมายเหตุ :
การประเมินกระบวนการจะใช้การประเมินรูปแบบระดับ
ระดบั 5 รัฐวิสาหกิจมีการก�ำหนดการวัด ติดตาม วิเคราะห์ วุฒิภาวะ (Maturity Level) โดยพิจารณาจากการจัดการ
ประเมนิ ตวั วดั ผลลพั ธ์ (outcome) ของกระบวนการ กระบวนการใหม้ แี นวทางปฏบิ ตั อิ ยา่ งเปน็ ระบบ สามารถทำ� ซำ�้ ได้
บริหารจัดการทรัพย์สินด้านเทคโนโลยีสารสนเทศ (Repeatable Practice) และเปน็ มาตรฐาน (Standardized
และมีการน�ำผลลัพธ์ท่ีส�ำคัญของกระบวนการ เข้าสู่ Practice) ซึ่งมีการถ่ายทอดแนวทางปฏิบัติแบบเดียวกัน
กระบวนการทบทวน การก�ำกับดูแลด้านการบริหาร ทวั่ ทั้งองค์กร โดยมกี ารวัด วิเคราะห์ และประเมินประสิทธผิ ล
จดั การดจิ ทิ ลั /จดั ทำ� แผนปฏบิ ตั กิ ารดจิ ทิ ลั ขององคก์ ร ของกระบวนการอย่างเป็นรูปธรรม เพื่อน�ำมาปรับปรุงและ
(ระยะยาว) พัฒนากระบวนการอยา่ งต่อเนื่อง
182 ส�ำ นักงานคณะกรรมการนโยบายรัฐวิสาหกจิ
2.5 ทรพั ยส์ ินดา้ นสารสนเทศ คือ ของ รส. อย่างครบถ้วนและเป็นลายลักษณ์อักษร โดย
1.ทรัพย์สินสารสนเทศประเภทระบบ ซึ่งได้แก่ ระบบ ครอบคลุมอย่างน้อย ดงั น้ี
เครือข่ายคอมพิวเตอร์ ระบบคอมพิวเตอร์ ระบบงาน - ช่อื เครือ่ งแมข่ ่าย
คอมพิวเตอร์ และระบบสารสนเทศ - ช่ือระบบปฎิบัติการ (operating system)
2.ทรัพย์สินสารสนเทศประเภทอปุ กรณ์ ซงึ่ ได้แก่ ตัวเครอ่ื ง และเวอรช์ นั
คอมพิวเตอร์ อปุ กรณค์ อมพวิ เตอร์ เครือ่ งบันทึกข้อมลู และ - ชื่อระบบงาน (application) และเวอรช์ นั
อุปกรณอ์ ื่นใด - เจ้าของทรัพยส์ ิน (owner)
3.ทรัพย์สินสารสนเทศประเภทข้อมูล ซ่ึงได้แก่ ข้อมูล - ประเภทของอุปกรณ์ ยี่ห้อ รายละเอียดทางเทคนิค
สารสนเทศ ขอ้ มลู อเิ ล็กทรอนิกส์ และข้อมลู คอมพวิ เตอร์ (specification)
- หมายเลขอา้ งองิ ของฮารด์ แวร์ (serial number) และ
การบริหารจัดการทรัพย์สินด้านเทคโนโลยีสารสนเทศ หมายเลขอา้ งองิ ของซอฟต์แวร์ (software license)
(IT Asset Management) - สถานทีต่ ้ัง
เพื่อให้ รส. มีการจัดท�ำทะเบียนรายการทรัพย์สิน - วนั ทีเ่ รม่ิ ติดตั้ง
ด้านเทคโนโลยีสารสนเทศอย่างครบถ้วนและควบคุม ดูแล - ประเภทการครอบครอง (ซื้อหรอื เช่า)
ทรัพย์สินด้านเทคโนโลยีสารสนเทศให้มีความพร้อมใช้งาน - รายละเอยี ดผ้ใู ห้บริการหรือผู้บำ� รุงรกั ษา
และสามารถรองรับการดำ� เนินธุรกจิ ไดอ้ ยา่ งต่อเนื่อง - วนั ท่ีบ�ำรงุ รกั ษาล่าสดุ
1.กำ� หนดมาตรฐานและระเบยี บวธิ ปี ฏบิ ตั กิ ารบรหิ ารจดั การ - วันสิ้นสุดการใช้งานตามสัญญา (warranty) และ
ทรัพย์สินด้านเทคโนโลยีสารสนเทศ ครอบคลุม การจัดท�ำ วนั สนิ้ สดุ การรบั ประกนั การใชง้ าน (support contract)
ทะเบียนรายการทรัพย์สิน การปรับปรุงทะเบียนรายการ - วนั สน้ิ สดุ การใหบ้ รกิ ารจากผผู้ ลติ (end of support)
ทรพั ยส์ นิ การยกเลกิ และเรยี กคืนทรพั ยส์ ิน 4. มกี ารปรบั ปรงุ ทะเบยี นรายการทรพั ยส์ นิ ดา้ นเทคโนโลยี
2.จัดให้มีหน่วยงานผู้รับผิดชอบในการจัดท�ำปรับปรุง สารสนเทศให้เป็นปัจจุบันอย่างต่อเนื่อง โดยมีการตรวจสอบ
ทะเบียนรายการทรัพย์สินด้านเทคโนโลยีสารสนเทศและ ทรัพย์สินด้านเทคโนโลยีสารสนเทศท่ีมีอยู่จริงกับทะเบียน
บ�ำรงุ รกั ษาทรพั ย์สินด้านเทคโนโลยสี ารสนเทศอย่างสมำ�่ เสมอ รายการอยา่ งสม�ำ่ เสมออยา่ งนอ้ ยปลี ะ 1 ครัง้
รวมท้ังวางแผนรองรับทรัพย์สินด้านเทคโนโลยี สารสนเทศ 5. มีกระบวนการในการยกเลิกและเรียกคืนทรัพย์สิน
ท่ใี กล้จะส้นิ สดุ ตามอายกุ ารใช้งาน (end of life) หรือสิ้นสดุ (return asset) เมื่อสิ้นสุดการใช้งานครอบคลุมทั้งทรัพย์สิน
การใหบ้ รกิ าร (end of support) จากผผู้ ลติ ไดอ้ ยา่ งเหมาะสม ด้านเทคโนโลยีสารสนเทศท่ีใช้งานภายใน รส. และกรณี
ทันการณ์ ทีผ่ ใู้ หบ้ รกิ ารภายนอกมีการใช้งานทรัพย์สินของ รส. ทันทีทมี่ ี
3.มีการจัดท�ำทะเบียนรายการทรัพย์สินด้านเทคโนโลยี การยกเลิกสัญญาจ้างด้วย
สารสนเทศ (IT inventory list) ของฮารด์ แวร์ (hardware) และ
ซอฟต์แวร์ (software) ท่ีรองรับระบบเทคโนโลยีสารสนเทศ
ทีม่ า : หลกั เกณฑก์ ารกำ� กบั ดูแลความเสยี่ งด้านเทคโนโลยสี ารสนเทศ (Information Technology Risk) ของสถาบันการเงิน
และแนวปฏิบตั ใิ นการบริหารความเสี่ยงดา้ นเทคโนโลยสี ารสนเทศ ธนาคารแหง่ ประเทศไทย
ระบบการประเมินผลการด�ำ เนินงานรฐั วิสาหกิจ ตามระบบประเมนิ ผลรัฐวสิ าหกจิ 183
การบริหารจดั การทรัพย์สินด้านเทคโนโลยสี ารสนเทศ 2.5
Requisition maiSnttoecnka/nce
Disposals
Technology IT Asset Discovery
Decommission Management Service
(ITAM)
Reassignment installation
Repair Relocation
ท่ีมา : Wheel Chronicle
184 ส�ำ นักงานคณะกรรมการนโยบายรัฐวสิ าหกจิ
2.5 6.2 การบริหารจัดการคอนฟิกูเรช่ัน (Configuration
Management) (นำ�้ หนกั ร้อยละ 2.5)
• กระบวนการบรหิ ารจดั การคอนฟกิ เู รชนั่ (Configuration ระดบั 3 รัฐวิสาหกิจมีการถ่ายทอดกระบวนการบริหาร
Management) ของรัฐวสิ าหกิจ* จดั การคอนฟกิ เู รชนั่ แกผ่ รู้ บั ผดิ ชอบพนกั งาน ผสู้ ง่ มอบ
• รัฐวิสาหกิจก�ำหนดขอบเขตและแนวทางในการบริหาร
จดั การคอนฟกิ ูเรช่ัน (Configuration Management) คู่ค้าท่ีส�ำคัญ ลูกค้า และผู้มีส่วนได้ส่วนเสียอ่ืน
ท่ีเก่ียวข้องอย่างครบถ้วน มีการประเมินการรับรู้
• รฐั วสิ าหกจิ จดั ทำ� เอกสาร minimum baseline standard ของผู้รับผิดชอบ พนักงาน ผู้ส่งมอบ คู่ค้าที่ส�ำคัญ
เพ่ือเป็นมาตรฐานในการการต้ังค่าของระบบปฏิบัติการระบบ
ฐานข้อมูลและอุปกรณ์เครือข่ายส่ือสารต่าง ๆ อย่างเป็น ลูกค้า และผู้มีส่วนได้ส่วนเสียอื่น ท่ีเก่ียวข้อง
อย่างครบถ้วน
ลายลักษณ์อักษร และมีการทบทวนปรับปรุงให้เป็นปัจจุบัน ระดับ 4 รัฐวิสาหกิจมีการก�ำหนดการวัด ติดตาม วิเคราะห์
อยา่ งสม�ำ่ เสมอ ประเมนิ ตวั วดั ผลลพั ธ์ (outcome) ของกระบวนการ
• รัฐวิสาหกิจมีการจัดเก็บการเปล่ียนแปลงของการ
บริหารจดั การคอนฟกิ เู รช่ัน
ต้ังค่าระบบของทุกอุปกรณ์ ระบบ และระบบงาน (system ระดบั 5 รัฐวิสาหกิจมีการก�ำหนดการวัด ติดตาม วิเคราะห์
configuration version control) ประเมนิ ตวั วดั ผลลพั ธ์ (outcome) ของกระบวนการ
• รัฐวิสาหกิจมีการสอบทานการต้ังค่าจากหน่วยงานท่ีมี
หนา้ ทคี่ วบคมุ ดแู ลความปลอดภยั หรอื ความเสย่ี งดา้ นเทคโนโลยี บริหารจัดการคอนฟิกูเรชั่น และมีการน�ำผลลัพธ์
ที่ส�ำคัญของกระบวนการ เข้าสู่กระบวนการทบทวน
สารสนเทศอย่างสม�่ำเสมอ การก�ำกับดูแลด้านการบริหารจัดการดิจิทัล /จัดท�ำ
• รฐั วสิ าหกจิ กำ� หนดแนวทางหรอื วธิ กี ารวดั ประสทิ ธผิ ลของ
บรหิ ารจดั การคอนฟกิ เู รชนั่ (Configuration Management ) แผนปฏบิ ตั กิ ารดจิ ทิ ลั ขององคก์ ร (ระยะยาว)
ขององคก์ ร หมายเหตุ :
ระดับ 1 เริ่มมีแนวทางในการบริหารจัดการคอนฟิกเู รช่ัน การประเมินกระบวนการจะใช้การประเมินรูปแบบระดับ
ระดับ 2 รฐั วสิ าหกจิ มกี ระบวนการบรหิ ารจดั การคอนฟกิ เู รชน่ั วุฒิภาวะ (Maturity Level) โดยพิจารณาจากการจัดการ
และแนวปฏบิ ตั ทิ ก่ี ำ� หนดอยา่ งครบถว้ น และเปน็ ระบบ กระบวนการใหม้ แี นวทางปฏบิ ตั อิ ยา่ งเปน็ ระบบ สามารถทำ� ซำ�้ ได้
ซง่ึ ประกอบดว้ ย (Repeatable Practice) และเปน็ มาตรฐาน (Standardized
• การจดั ทำ� /ทบทวน minimum baseline standard Practice) ซ่ึงมีการถ่ายทอดแนวทางปฏิบัติแบบเดียวกัน
• การจัดเก็บการเปลี่ยนแปลงของการต้ังค่าระบบ ทวั่ ทั้งองค์กร โดยมีการวัด วเิ คราะห์ และประเมินประสิทธผิ ล
ของทุกอุปกรณ์ ระบบและระบบงาน (system ของกระบวนการอย่างเป็นรูปธรรม เพื่อน�ำมาปรับปรุงและ
configuration version control) พัฒนากระบวนการอย่างตอ่ เนอ่ื ง
ระบบการประเมินผลการด�ำ เนินงานรฐั วสิ าหกจิ ตามระบบประเมนิ ผลรัฐวสิ าหกจิ 185
กระบวนการบริหารจัดการคอนฟิกูเรชั่น (Configuration ต้องผ่านกระบวนการบริหารจัดการการเปล่ียนแปลงที่ รส. 2.5
Management) กำ� หนดเพอ่ื ปอ้ งกนั ความเสยี่ งหรอื ขอ้ ผดิ พลาดในการปฏบิ ตั งิ าน
คือการบริหารจัดการ I TInfrastructure ส�ำหรับการให้ 3. มีการจัดเก็บการเปลี่ยนแปลงของการต้ังค่าระบบ
บริการด้าน IT ทั้งท่ีเป็น ฮาร์ดแวร์ ซอฟต์แวร์ และอุปกรณ์ ของทกุ อปุ กรณ์ ระบบและระบบงาน (system configuration
ต่อพ่วงต่าง ๆ ซ่ึงจะต้องเก็บข้อมูลรายละเอียดของอุปกรณ์ version control) โดยมีการรักษาความปลอดภัยที่รัดกุม
ทงั้ หมดไวเ้ พอ่ื ประกอบการใชง้ าน และเรยี กขอ้ มลู รายละเอยี ด เพียงพอ
ของอุปกรณแ์ ต่ละตัวว่า Configuration Item 4. มีการสอบทานการตั้งค่าจากหน่วยงานท่ีมีหน้าที่
การบรหิ ารจดั การการตงั้ คา่ ระบบ (system configuration ควบคุมดูแลความปลอดภัยหรือความเส่ียงด้านเทคโนโลยี
management) อย่างสม่�ำเสมอเพื่อให้สอดคล้องตามมาตรฐานของ รส.
เพ่ือให้ รส. มีกระบวนการควบคุมการเปล่ียนแปลงการ 5. กรณีมีความจ�ำเป็นต้องตั้งค่าท่ีไม่เป็นไปตามเอกสาร
ตงั้ คา่ ระบบทมี่ คี วามรดั กมุ ปลอดภยั และเปน็ ไปตามมาตรฐาน minimum baseline standard ควรผ่านกระบวนการ
1. จดั ทำ� เอกสาร minimum baseline standard เพอื่ ใช้ ขออนุมัติยกเว้น (exception) เพ่ือประเมินความเส่ียงและ
เป็นมาตรฐานการตั้งค่าของระบบปฏบิ ัติการ ระบบฐานขอ้ มลู พิจารณาแนวทางควบคุมความเส่ียงท่ีเพียงพอเหมาะสม
และอปุ กรณเ์ ครอื ขา่ ยสอ่ื สารตา่ ง ๆ อยา่ งเปน็ ลายลกั ษณอ์ กั ษร ก่อนดำ� เนนิ การ
โดยมกี ารทบทวน ปรบั ปรงุ เอกสารใหเ้ ปน็ ปจั จบุ นั อยา่ งสมำ�่ เสมอ
2. การเปลี่ยนแปลงการตั้งค่าบนระบบที่ให้บริการจริง
ทม่ี า : หลกั เกณฑก์ ารกำ� กบั ดูแลความเสี่ยงด้านเทคโนโลยีสารสนเทศ (Information Technology Risk) ของสถาบันการเงนิ
และแนวปฏิบตั ใิ นการบรหิ ารความเส่ียงด้านเทคโนโลยีสารสนเทศ ธนาคารแห่งประเทศไทย
กระบวนการจัดการคอนฟกิ ูเรชั่น
Figure 3 ------CM Process(BAI10 and MEA01)
BAI10.01 BAI10.02 BAI10.03 BAI10.04 BAI10.05 BAI10.05EA01
ท่มี า : Cobit 5 ISACA
186 ส�ำ นักงานคณะกรรมการนโยบายรฐั วิสาหกจิ
2.5 6.3 การบริหารจัดการเหตุการณ์ผิดปกติ การร้องขอการ 4. การมีศูนย์รับแจ้งเหตุการณ์ผิดปกติและการร้องขอ
บรกิ าร และปญั หาดา้ นเทคโนโลยสี ารสนเทศ (IT Incident, การบริการ โดยท�ำหน้าท่ีในการบันทึกและแก้ไข ในเบ้ืองต้น
Service Requests and Problem Management) หรือส่งต่อเหตุการณ์ผิดปกติไปยังหน่วยงานด้านเทคโนโลยี
(น้ำ� หนกั ร้อยละ 2.5) สารสนเทศท่เี กย่ี วข้อ
5. จัดท�ำแผนการรับมือกับเหตุการณ์ผิดปกติและ
• กระบวนการบรหิ ารจดั การเหตกุ ารณผ์ ดิ ปกติ การรอ้ งขอ การร้องขอการบริการ (Incident and Service Request
การบรกิ าร และปญั หาดา้ นเทคโนโลยสี ารสนเทศ (IT Incident, response plan) ตามความส�ำคัญของเหตุการณ์ เพื่อให้
Service Requests and Problem Management) ของ สามารถรับมือและตอบสนองได้อย่างรวดเร็วและทันการณ์
รฐั วสิ าหกจิ * โดยแผนควรมกี ารระบกุ ระบวนการรบั มอื และชอ่ งทางประสาน
งานจากผู้เช่ียวชาญทั้งภายในและภายนอก รวมท้ังมีแนวทาง
• รัฐวิสาหกิจมีการบริหารจัดการเหตุการณ์ผิดปกติและ ในการตรวจสอบ วเิ คราะห์หาสาเหตุ และประเมินผลกระทบ
การรอ้ งขอการบรกิ ารดา้ นเทคโนโลยสี ารสนเทศ (IT incident 6. มีการจัดท�ำรายงานเหตุการณ์ผิดปกติและการร้องขอ
management and Service Requests) ซ่ึงประกอบดว้ ย การบรกิ ารเสนอตอ่ ผบู้ รหิ ารหรอื คณะกรรมการทไี่ ดร้ บั มอบหมาย
1. การก�ำหนดมาตรฐานและระเบียบวิธีปฏิบัติการ 7. มกี ระบวนการบรหิ ารสภาวะวกิ ฤติ (Crisis management)
บริหารจัดการเหตุการณ์ผิดปกติและการร้องขอการบริการ เพื่อรองรับเหตุการณ์กรณีผิดปกติและการร้องขอการบริการ
ด้านเทคโนโลยีสารสนเทศ โดยครอบคลุมกระบวนการหรือ ด้านเทคโนโลยีสารสนเทศที่เพิ่มระดับความรุนแรงหรือมี
เคร่ืองมือในการบันทึกเหตุการณ์ผิดปกติและการร้องขอ ความยืดเยื้อ
การบริการ การก�ำหนดประเภท การจัดระดับความรุนแรง รัฐวิสาหกิจมีการบริหารจัดการปัญหาด้านเทคโนโลยี
การวิเคราะห์สาเหตุ การด�ำเนินการแก้ไข การติดตามแก้ไข สารสนเทศ (IT Problem Management) ซงึ่ ประกอบดว้ ย
การรายงานเหตุการณผ์ ิดปกตแิ ละการร้องขอการบรกิ าร 1. การก�ำหนดมาตรฐานและระเบียบวิธีปฏิบัติการ
2. การก�ำหนดหลักเกณฑ์การส่งต่อเหตุการณ์ผิดปกติ บริหารจัดการปัญหาด้านเทคโนโลยีสารสนเทศ เพ่ือให้มีการ
(Escalation) และรายงานความคืบหน้าเหตุการณ์ผิดปกติ น�ำเหตุการณผ์ ิดปกตทิ ี่ยงั ไมท่ ราบสาเหตทุ ่แี ท้จริง (Unknown
ใหผ้ เู้ กีย่ วขอ้ ง ผบู้ รหิ าร หรือคณะกรรมการ ไดร้ บั ทราบ root cause) เหตุการณ์ผิดปกติที่เกิดข้ึนซ�้ำ (Repeated
3. การจัดล�ำดับความรุนแรงของปัญหา ควรครอบคลุม incident) มาวิเคราะห์และพิจารณาแนวทางแก้ไขปัญหา
ผลกระทบต่อการให้บริการ ผลกระทบต่อผู้ใช้งาน จากสาเหตุทแี่ ทจ้ รงิ (Root cause)
โดยกรอบระยะเวลาในการแก้ไขเหตุการณ์ผิดปกติและ 2. กระบวนการหรือเครื่องมือในการบันทึกปัญหา
การรอ้ งขอการบรกิ าร ควรคำ� นงึ ถงึ เปา้ หมายระยะเวลาในการ หลกั เกณฑใ์ นการจัดประเภทปัญหา การจัดล�ำดบั ความสำ� คัญ
กู้คืน (Recovery Time Objective : RTO) และเป้าหมาย วิเคราะห์ และจัดให้มีการติดตามแก้ไขปัญหา เพื่อให้ปัญหา
ระยะเวลาสูงสุดที่ยอมให้ธุรกิจหยุดชะงัก (Maximum ได้รับการแกไ้ ข
Tolerance Period of Disruption : MTPD)
ระบบการประเมินผลการด�ำ เนนิ งานรัฐวสิ าหกิจ ตามระบบประเมนิ ผลรัฐวิสาหกิจ 187
3. กระบวนการหรือเคร่ืองมือบันทึกปัญหาที่เคยเกิดข้ึน ระดบั 4 รัฐวิสาหกิจมีการก�ำหนดการวัด ติดตาม วิเคราะห์ 2.5
เพื่อเป็นข้อมูลความรู้ให้สามารถสืบค้นเหตุการณ์ปัญหาและ ประเมนิ ตวั วดั ผลลพั ธ์ (outcome) ของกระบวนการ
แนวทางแก้ไขในภายหลงั ใหร้ วดเรว็ และมปี ระสิทธิภาพ บริหารจัดการเหตุการณ์ผิดปกติ การร้องขอการ
• รฐั วสิ าหกจิ มกี ารสอ่ื สารแนวการบรหิ ารจดั การเหตกุ ารณ์ บรกิ ารและปญั หาดา้ นเทคโนโลยสี ารสนเทศ
ผิดปกติ การร้องขอการบริการและปัญหาด้านเทคโนโลยี
สารสนเทศ (IT Incident, Service Requests and Problem ระดบั 5 รัฐวิสาหกิจมีการก�ำหนดการวัด ติดตามวิเคราะห์
Management) ขององค์กร ประเมนิ ตวั วดั ผลลพั ธ์ (outcome)ของกระบวนการ
• รัฐวิสาหกิจก�ำหนดแนวทางหรือวิธีการวัดประสิทธิผล บริหารจัดการเหตุการณ์ผิดปกติ การร้องขอ
ของการบรหิ ารจดั การเหตกุ ารณผ์ ดิ ปกติ การรอ้ งขอการบรกิ าร การบริการ และปัญหาด้านเทคโนโลยีสารสนเทศ
และปญั หาดา้ นเทคโนโลยสี ารสนเทศ (IT Incident, Service และมีการน�ำผลลัพธ์ที่ส�ำคัญของกระบวนการ
Requests and Problem Management) ขององคก์ ร เข้าสู่กระบวนการทบทวน การก�ำกับดูแลด้านการ
ระดบั 1 เริม่ มแี นวทางในการบริหารจัดการเหตุการณ์ผดิ ปกติ บริหารจัดการดิจิทัล /จัดท�ำแผนปฏิบัติการดิจิทัล
ขององค์กร (ระยะยาว)
การร้องขอการบริการ และปัญหาด้านเทคโนโลยี
สารสนเทศ
ระดับ 2 รัฐวิสาหกิจมีกระบวนการบริหารจัดการเหตุการณ์
ผิดปกติ การร้องขอการบริการ และปัญหาด้าน
เทคโนโลยีสารสนเทศ และแนวปฏิบัติที่ก�ำหนด
อย่างครบถว้ นและเป็นระบบ ซง่ึ ประกอบดว้ ย
* การแกไ้ ขปญั หาและกคู้ นื ความเสยี หายทเ่ี กดิ ขน้ึ จาก
Incident, Problems และ Service requests
* การสำ� รวจความพงึ พอใจของผทู้ ม่ี สี ว่ นเกย่ี วขอ้ งกบั
Incident หรอื Service requests
ระดับ 3 รัฐวิสาหกิจมีการถ่ายทอดกระบวนการบริหาร
จัดการเหตุการณ์ผดิ ปกติ การรอ้ งขอการบรกิ ารและ
ปัญหาด้านเทคโนโลยีสารสนเทศ แก่ผู้รับผิดชอบ
พนกั งาน ผสู้ ง่ มอบ คคู่ า้ ทส่ี ำ� คญั ลกู คา้ และผมู้ สี ว่ นได้
ส่วนเสียอ่ืน ทีเ่ กี่ยวข้องอยา่ งครบถ้วน มกี ารประเมิน
การรับรู้ของ ผู้รับผิดชอบ พนักงาน ผู้ส่งมอบ
คู่ค้าที่ส�ำคัญ ลูกค้า และผู้มีส่วนได้ส่วนเสียอื่น
ท่ีเก่ียวขอ้ งอย่างครบถว้ น
188 สำ�นักงานคณะกรรมการนโยบายรัฐวสิ าหกจิ
2.5 หมายเหตุ :
การประเมินกระบวนการจะใช้การประเมินรูปแบบระดับ การบริหารจัดการเหตุการณ์ผิดปกติ (Incident
วุฒิภาวะ (Maturity Level) โดยพิจารณาจากการจัดการ management) คือ การบริหารและจัดการกับส่ิงผิดปกติ
กระบวนการให้มีแนวทางปฏิบัติอย่างเป็นระบบ สามารถ ที่เกิดข้นึ เหตุการณท์ ่ีทำ� ให้ผู้ใช้งาน (User) ไมส่ ามารถใชง้ าน
ท�ำซ้�ำได้ (Repeatable Practice) และเป็นมาตรฐาน บรกิ ารด้าน IT ไดต้ ามปกติ หรือไมเ่ ปน็ ไปตามทีต่ กลงกนั ไวใ้ น
(Standardized Practice) ซึ่งมีการถ่ายทอดแนวทางปฏิบัติ Service Level Agreement ซง่ึ จะสง่ ผลกระทบตอ่ ประสทิ ธภิ าพ
แบบเดยี วกนั ทว่ั ทง้ั องคก์ ร โดยมกี ารวดั วเิ คราะหแ์ ละประเมนิ และความพรอ้ มในการใหบ้ รกิ าร ดงั นน้ั กระบวนการนจี้ งึ จำ� เปน็
ประสิทธิผลของกระบวนการอย่างเป็นรูปธรรม เพ่ือน�ำมา ต้องมีไว้ เพ่ือเตรียมความพร้อมในการรับมือ โดยมุ่งเน้นท่ี
ปรับปรงุ และพฒั นากระบวนการอยา่ งตอ่ เนื่อง การกู้ระบบงานและ/หรือความสามารถในการใช้งานระบบให้
การบริหารจัดการงานบริการเทคโนโลยีสารสนเทศ กลบั คนื สสู่ ภาวะปกตใิ หเ้ รว็ ทส่ี ดุ เทา่ ทจ่ี ะทำ� ได้ เพอ่ื ลดผลกระทบ
(IT Service Management) คอื การใชเ้ ทคโนโลยสี ารสนเทศ ทจ่ี ะเกิดข้นึ กับองค์กรและผู้ใชง้ านใหม้ ีน้อยท่ีสุดนนั่ เอง
เพอ่ื สนบั สนนุ ความตอ้ งการและเปา้ หมายทางธรุ กจิ ขององคก์ ร การบรหิ ารจดั การปญั หาดา้ นเทคโนโลยสี ารสนเทศ (Problem
(Business Requirements & Objectives) การนำ� เทคโนโลยี Management) คือ มุ่งเน้นที่การแก้ไขปัญหาท่ีสาเหตุท่ีแท้
สารสนเทศมาใช้ในการให้บริการโดยอ้างอิงจาก กระบวนการ จริงของปัญหา เพ่ือป้องกันไม่ให้ปัญหาน้ันกลับมาเกิดข้ึนซ�้ำ
บริหารจัดการงานบริการเทคโนโลยีสารสนเทศ “IT Service ได้อกี ในภายหลงั และจะเกบ็ เป็น KEDB (Know Error Data
Management” หรอื “ITSM” ซึ่งเนน้ เรือ่ งการบรหิ ารจดั การ base) โดยท่ี Problem นั้นจะเกดิ ข้ึนกต็ อ่ เมื่อเกดิ Incident
ทางด้านเทคโนโลยีสารสนเทศให้ตอบสนองต่อความต้องการ ทซี่ ำ้� ๆ กนั บอ่ ย
ของธรุ กิจ และมงุ่ ไปท่คี วามพึงพอใจของผใู้ ช้ระบบสารสนเทศ
(Users) หรือ ลกู คา้ (Customers) เป็นใหญ่
ทม่ี า : ACIS, ACINFOTEC
ระบบการประเมนิ ผลการด�ำ เนนิ งานรฐั วิสาหกจิ ตามระบบประเมินผลรฐั วิสาหกิจ 189
6.4 การบริหารจัดการความต่อเน่ืองทางธุรกิจ (Business • รฐั วสิ าหกจิ จดั ทำ� แผนการบรหิ ารความตอ่ เนอ่ื งทางธรุ กจิ 2.5
Continuity Management) (นำ�้ หนักร้อยละ 2.5) โดยครอบคลมุ การดำ� เนนิ งาน ดังนี้
• กระบวนการบริหารจัดการความต่อเนื่องทางธุรกิจ 1. การจัดท�ำแผนการบริหารความต่อเน่ืองทางธุรกิจ
(Business Continuity Management ) ของรฐั วิสาหกจิ * อย่างเป็นลายลักษณ์อักษร โดยได้รับการอนุมัติจาก
• รัฐวิสาหกิจมีการจัดท�ำแผนบริหารความต่อเน่ือง คณะกรรมการขององคก์ ร
ทางธุรกิจ ซ่ึงค�ำนึงถึงความสอดคล้องกับนโยบายการบริหาร 2. มีคณะท�ำงานหรือหน่วยงานท่ีรับผิดชอบในการ
ความต่อเนื่องของธุรกิจขององค์กรและนโยบายการบริหาร จัดท�ำแผนบริหารความต่อเน่ืองทางธุรกิจอย่างเป็น
ความเสีย่ งขององค์กร ลายลักษณ์อักษร โดยมีผู้บริหารและบุคลากรของหน่วยงาน
• รฐั วสิ าหกจิ มกี ารจดั ทำ� แผนบรหิ ารความตอ่ เนอ่ื งทางธรุ กจิ ทีเ่ กีย่ วข้องเขา้ ร่วมด้วย
ท่ไี ด้รับอนุมตั จิ ากคณะกรรมการขององค์กร 3. รัฐวิสาหกิจจัดท�ำแผนการบริหารความต่อเน่ืองทาง
• รฐั วสิ าหกจิ มกี ารจดั ทำ� แผนบรหิ ารความตอ่ เนอื่ งทางธรุ กจิ ธุรกิจ ควรค�ำนึงถึงลักษณะการด�ำเนินธุรกิจ ปริมาณธุรกรรม
โดยครอบคลุมอยา่ งน้อย ความซบั ซอ้ นของเทคโนโลยสี ารสนเทศ เหตกุ ารณค์ วามเสยี หาย
1. บทบาทหนา้ ทแ่ี ละความรบั ผดิ ชอบของคณะกรรมการ ตา่ ง ๆ และความเส่ยี งทเ่ี ก่ียวขอ้ งในการดำ� เนินธุรกจิ
ผู้บรหิ ารระดับสงู และผเู้ ก่ยี วข้อง 4. รฐั วสิ าหกจิ จดั ทำ� แผนการบรหิ ารความตอ่ เนอ่ื งทางธรุ กจิ
2. การประเมินความเสีย่ ง โดยครอบคลุมการด�ำเนนิ งาน ดังนี้
3. การวิเคราะห์ผลกระทบทางธุรกิจและก�ำหนด 1. การประเมนิ ความเส่ยี ง (Risk analysis)
เป้าหมายในการกูค้ ืนระบบเทคโนโลยีสารสนเทศ 2. การส่ือสารและฝึกอบรมแผนบริหารความต่อเน่ือง
4. การจัดความส�ำคญั ของระบบงาน ทางธรุ กจิ
5. การก�ำหนดกลยทุ ธแ์ ผนการบรหิ ารจัดการ 3. การวิเคราะห์ผลกระทบทางธุรกิจ (Business
ความตอ่ เนื่องทางธุรกิจ mpact analysis)
6. การจัดทำ� แผนการบริหารความตอ่ เนอ่ื งทางธรุ กิจ 4. การทดสอบ ปรบั ปรงุ และการสอบทานแผนบรหิ าร
7. การสอื่ สารและฝกึ อบรมแผนการบรหิ าร ความต่อเนื่องทางธุรกจิ
ความตอ่ เนือ่ งทางธุรกจิ 5. การจดั ล�ำดับความส�ำคญั ของระบบงาน
8. การทดสอบ การปรับปรุง และการสอบทาน 6. การก�ำหนดกลยุทธ์แผนการบริหารความต่อเนื่อง
แผนการบรหิ ารความต่อเนื่องทางธุรกจิ ทางธุรกิจ
7. การจัดทำ� แผนการบริหารความต่อเน่อื งทางธุรกิจ
190 ส�ำ นกั งานคณะกรรมการนโยบายรฐั วสิ าหกิจ
2.5 • รฐั วิสาหกจิ มกี ารสือ่ สารแนวทางหรือแผนการบรหิ ารจดั การ ระดบั 3 รฐั วสิ าหกจิ มกี ารถา่ ยทอดกระบวนการบรหิ ารจดั การ
ความตอ่ เนอ่ื งทางธรุ กจิ (Business Continuity Management) ความต่อเน่ืองทางธุรกิจ แก่ผู้รับผิดชอบ พนักงาน
ขององคก์ ร ผู้ส่งมอบ คู่ค้าท่ีส�ำคัญ ลูกค้า และผู้มีส่วนได้ส่วน
• รฐั วสิ าหกจิ กำ� หนดแนวทางหรอื วธิ กี ารวดั ประสทิ ธผิ ลของการ เสยี อื่น ท่ีเกย่ี วขอ้ งอย่างครบถว้ น มีการประเมนิ การ
บรหิ ารจดั การความตอ่ เนอ่ื งทางธรุ กจิ (Business Continuity รับรู้ของ ผู้รับผิดชอบ พนักงาน ผู้ส่งมอบ คู่ค้าที่
Management) ขององคก์ ร ส�ำคญั ลูกคา้ และผมู้ สี ่วนได้สว่ นเสียอ่ืน ทเี่ กยี่ วข้อง
ระดบั 1 เร่มิ มีแนวทางในการบริหารจดั การความต่อเน่อื งทาง อยา่ งครบถ้วน
ธุรกิจ ระดบั 4 รัฐวิสาหกิจมีการก�ำหนดการวัด ติดตาม วิเคราะห์
ระดับ 2 รฐั วสิ าหกจิ มกี ระบวนการบรหิ ารจดั การความตอ่ เนอื่ ง ประเมนิ ตวั วดั ผลลพั ธ์ (outcome) ของกระบวนการ
ทางธุรกิจ และแนวปฏิบัติท่ีก�ำหนดอย่างครบถ้วน บริหารจัดการความต่อเนอ่ื งทางธรุ กจิ
และเป็นระบบ ซ่ึงประกอบดว้ ย ระดับ 5 รัฐวิสาหกิจมีการก�ำหนดการวัด ติดตาม วิเคราะห์
• การประเมินความเสยี่ ง (risk analysis) ประเมนิ ตวั วดั ผลลพั ธ์ (outcome) ของกระบวนการ
• การวิเคราะห์ผลกระทบทางธุรกิจ (business impact บริหารจัดการความต่อเนื่องทางธุรกิจ และมีการ
analysis) ที่ครบคลุมระบบงานท่ีส�ำคัญอย่างครบถ้วน นำ� ผลลพั ธท์ สี่ ำ� คญั ของกระบวนการ เขา้ สกู่ ระบวนการ
(ทง้ั 8 เกณฑ์) ทบทวน การกำ� กบั ดแู ลดา้ นการบรหิ ารจดั การดจิ ทิ ลั /
• การจดั ล�ำดบั ความสำ� คัญของระบบงาน จดั ท�ำแผนปฏิบตั ิการดิจิทัลขององคก์ ร (ระยะยาว)
• การก�ำหนดกลยุทธ์แผนการบริหารความต่อเนื่อง
ทางธรุ กจิ หมายเหตุ :
• การจัดทำ� แผนการบริหารความต่อเน่อื งทางธรุ กจิ การประเมินกระบวนการจะใช้การประเมินรูปแบบระดับ
• การสื่อสารและฝึกอบรมแผนบริหารความต่อเน่ือง วุฒิภาวะ (Maturity Level) โดยพิจารณาจากการจัดการ
ทางธรุ กิจ กระบวนการใหม้ แี นวทางปฏบิ ตั อิ ยา่ งเปน็ ระบบ สามารถทำ� ซำ�้ ได้
• การทดสอบ ปรับปรุง และการสอบทานแผนบริหาร (Repeatable Practice) และเปน็ มาตรฐาน (Standardized
ความตอ่ เน่อื งทางธุรกจิ Practice) ซ่ึงมีการถ่ายทอดแนวทางปฏิบัติแบบเดียวกัน
ทวั่ ทง้ั องค์กร โดยมีการวดั วเิ คราะห์ และประเมินประสิทธิผล
ของกระบวนการอย่างเป็นรูปธรรม เพ่ือน�ำมาปรับปรุงและ
พัฒนากระบวนการอยา่ งต่อเนอื่ ง
ระบบการประเมินผลการด�ำ เนินงานรัฐวิสาหกจิ ตามระบบประเมนิ ผลรฐั วสิ าหกจิ 191
การจัดทำ� แผนฉกุ เฉินดา้ นเทคโนโลยีสารสนเทศ 2.5
เพ่ือให้ รส. มีแนวทางรองรับเหตุการณ์ผิดปกติที่ระบบเกิดหยุดชะงักหรือ
เกดิ ความเสยี หาย โดยทธี่ รุ กจิ ดำ� เนนิ การตอ่ ไปไดอ้ ยา่ งตอ่ เนอื่ งและสามารถกคู้ นื ระบบ
ใหก้ ลับคืนสูส่ ภาพปกตภิ ายในระยะเวลาท่ยี อมรบั ได้
นโยบายการจัดท�ำแผนฉุกเฉนิ ดา้ นเทคโนโลยีสารสนเทศ
1. ก�ำหนดนโยบายการจัดท�ำแผนฉุกเฉินด้านเทคโนโลยีสารสนเทศ โดยค�ำนึง
ความสอดคล้องกับนโยบายการบริหารความต่อเนื่องของธุรกิจและนโยบายการ
บริหารความเสีย่ งของ รส.
2. นโยบายดังกล่าวต้องได้รับอนุมัติจากคณะกรรมการของ รส. และได้รับการ
ทบทวนอยา่ งนอ้ ยปลี ะ 1 ครงั้ และเมอ่ื มกี ารเปลยี่ นแปลงทส่ี ง่ ผลกระทบกบั แผน เชน่
มีการเปลี่ยนแปลงกลยุทธ์ทางธุรกิจ นโยบายการบริหารความเสี่ยงโดยรวมสภาพ
แวดล้อมของการดำ� เนนิ ธุรกจิ หรอื ทรัพยากรหรือโครงสรา้ งระบบ IT เปน็ ตน้
3. นโยบายการจัดท�ำแผนฉุกเฉินด้านเทคโนโลยีสารสนเทศ ควรครอบคลุม
อยา่ งนอ้ ย
- บทบาทหน้าท่ีและความรับผิดชอบของคณะกรรมการ ผู้บริหารระดับสูง
และผเู้ ก่ียวขอ้ ง
- การประเมินความเสยี่ ง
- การวิเคราะห์ผลกระทบทางธุรกิจและก�ำหนดเป้าหมายในการกู้คืนระบบ
เทคโนโลยีสารสนเทศ
- การจดั ล�ำดับความสำ� คัญของระบบงาน
- การก�ำหนดกลยุทธแ์ ผนฉกุ เฉนิ ด้านเทคโนโลยสี ารสนเทศ
- การจดั ทำ� แผนฉุกเฉินด้านเทคโนโลยีสารสนเทศ
- การสอ่ื สารและการฝึกอบรมแผนฉุกเฉินด้านเทคโนโลยีสารสนเทศ
- การทดสอบ การปรับปรุงและการสอบทานแผนฉุกเฉินด้านเทคโนโลยี
สารสนเทศ
192 ส�ำ นักงานคณะกรรมการนโยบายรัฐวิสาหกิจ
2.5 การจดั ท�ำแผนฉุกเฉนิ ด้านเทคโนโลยสี ารสนเทศ (1) การประเมินความเส่ียง (risk analysis) เพื่อให้ รส.
สามารถระบุเหตุการณ์ความเสี่ยงซึ่งส่งผลกระทบต่อการ
1. มีการจัดท�ำแผนฉุกเฉินด้านเทคโนโลยีสารสนเทศ หยุดชะงักของกระบวนการและระบบเทคโนโลยีสารสนเทศ
อย่างเป็นลายลักษณ์อักษร โดยต้องได้รับการอนุมัติจาก โดยมแี นวทางดำ� เนนิ การ อยา่ งเหมาะสมเพยี งพอดงั นี้
คณะกรรมการของ รส. โดยจัดให้มีการทบทวนอย่างน้อย - ระบุเหตุการณ์ความเสี่ยง (risk scenarios) ท่ีอาจ
ปีละ 1 คร้ัง และทกุ ครง้ั ทม่ี กี ารเปลี่ยนแปลงอยา่ งมีนยั ส�ำคญั ท�ำให้กระบวนการและระบบเทคโนโลยีสารสนเทศ
หยดุ ชะงกั ทง้ั จากภายในและภายนอก เชน่ การโจมตี
2. จัดให้มีคณะท�ำงานหรือหน่วยงานที่รับผิดชอบในการ ดา้ นไซเบอร์ เป็นต้น
จัดท�ำแผนฉุกเฉินด้านเทคโนโลยีสารสนเทศไว้ อย่างเป็น - ประเมินความเสี่ยงโดยพิจารณาการควบคุมที่มีอยู่
ลายลักษณ์อักษร โดยมีผู้บริหารและบุคลากรของหน่วย รวมถึงผลกระทบและโอกาสที่จะเกิดขึ้น พร้อมท้ัง
งานด้านต่าง ๆ ท่ีเกี่ยวข้องเข้าร่วมด้วย เช่น ด้านเทคโนโลยี ก�ำหนดกระบวนการและทรัพยากรที่จะใช้ในการ
สารสนเทศ ด้านธุรกิจ และดา้ นสอื่ สารองคก์ ร เปน็ ตน้ ควบคมุ
- ความเส่ียง จัดท�ำแผนในการจัดการความเสี่ยง
3. การจัดท�ำแผนฉุกเฉินด้านเทคโนโลยีสารสนเทศ เพื่อปรับปรุงกระบวนการและจัดเตรียมทรัพยากร
ควรคำ� นงึ ถงึ ลกั ษณะการดำ� เนนิ ธรุ กจิ ปรมิ าณธรุ กรรมความซบั ซอ้ น ที่จ�ำเป็น ในการควบคุมความเส่ียงให้อยู่ในระดับ
ของเทคโนโลยีสารสนเทศ เหตุการณ์ความเสียหายต่าง ๆ ทีย่ อมรบั ได้
และความเสี่ยงที่เก่ียวข้องในการด�ำเนินธุรกิจของ รส. เช่น (2) การวิเคราะห์ผลกระทบทางธุรกิจ (business
ความเสี่ยงด้านปฏิบัติการ (operational risk) ความเส่ียง impact analysis) เพ่ือให้ทราบถึงความส�ำคัญของระบบ
ด้านชื่อเสียง (reputational risk) ความเสี่ยงจากการพึ่งพา เทคโนโลยีสารสนเทศท่ีมีผลต่อการด�ำเนินธุรกิจของ รส.
องค์กรอ่ืนในการด�ำเนินธุรกิจ (interdependency risk) รวมถึงผลกระทบจากการหยุดชะงักและความเชื่อมโยง
ความเสี่ยงจากการกระจุกตัวของระบบงานหรือทรัพยากร ของการด�ำเนินธุรกิจกับระบบเทคโนโลยีสารสนเทศ โดยมี
ทสี่ ำ� คญั (concentration risk) และความเสยี่ งทมี่ ผี ลกระทบ แนวทางด�ำเนินการดังนี้
ตอ่ รส. ผใู้ ชบ้ รกิ าร ผมู้ สี ว่ นไดเ้ สยี - ระบุระบบเทคโนโลยีสารสนเทศท้ังหมดของ รส.
และทรัพยากรที่มีการเช่ือมโยงพ่ึงพาระหว่างกัน
4. กระบวนการจดั ทำ� แผนฉกุ เฉนิ ดา้ นเทคโนโลยสี ารสนเทศ (dependency)
ควรครอบคลมุ การดำ� เนนิ การ ดงั น้ี - วิเคราะห์ผลกระทบที่เกิดจากการหยุดชะงักของ
เทคโนโลยสี ารสนเทศ โดยคำ� นงึ ถงึ เปา้ หมาย ระยะเวลา
สูงสดุ ทย่ี อมให้ธรุ กจิ หยดุ ชะงกั (Maximum Tolerance
Period of Disruption : MTPD)
ระบบการประเมนิ ผลการด�ำ เนินงานรัฐวิสาหกิจ ตามระบบประเมนิ ผลรฐั วิสาหกิจ 193
- ก�ำหนดเป้าหมายระยะเวลาในการกู้คืนระบบ - ช่อื แผน วตั ถุประสงค์ ขอบเขต และความสมั พนั ธก์ ับ 2.5
(Recovery Time Objective : RTO) และ เปา้ หมาย แผนอ่ืน ๆ ท่ีเกีย่ วขอ้ ง
ระยะเวลาสูงสุดท่ียอมให้ข้อมูลเสียหาย (Recovery - ผังโครงสร้างของการบังคับบัญชาในการด�ำเนิน
Point Objective : RPO) งานตามแผน ผู้ปฏิบัติหน้าท่ีและความรับผิดชอบ
(3) การจัดล�ำดับความส�ำคัญของระบบงาน โดยค�ำนึงถึง และผู้ปฏิบัติที่ท�ำหน้าที่แทนในกรณีท่ีผู้ปฏิบัติหน้าที่
ทรพั ยากร ระยะเวลาในการกคู้ นื ระบบ เปา้ หมายของระบบงาน ไม่สามารถปฏิบัติงานได้ รวมถึงการบันทึกการ
และขอ้ มลู ทคี่ วรกไู้ ดภ้ ายหลงั เกดิ การหยดุ ชะงกั และทรพั ยากร เปลย่ี นแปลงของแผน
ทางเทคโนโลยีสารสนเทศขั้นต�่ำที่จ�ำเป็นต้องใช้ในการกู้คืน - รายละเอียดของระบบเทคโนโลยีสารสนเทศ เช่น
ระบบ ท้ังนี้ รส. ควรพิจารณาใหร้ ะบบการช�ำระเงนิ หรอื ระบบ โครงสร้างสถาปัตยกรรม แผนภาพระบบ เครือข่าย
ทม่ี ผี ลกระทบกบั ระบบ รส. เปน็ วงกวา้ งเปน็ ระบบทมี่ คี วามสำ� คญั สือ่ สาร เป็นต้น
สงู สุด - ขนั้ ตอนในการประกาศใช้แผนฉกุ เฉินดา้ นเทคโนโลยี
(4) การก�ำหนดกลยุทธ์แผนฉุกเฉินด้านเทคโนโลยี สารสนเทศ การตอบสนองต่อเหตุการณ์ ฉุกเฉินและ
สารสนเทศ รส. ต้องมีการก�ำหนดกลยุทธ์แผนฉุกเฉิน แผนการสื่อสารใหห้ นว่ ยงานทีเ่ กี่ยวข้องรับทราบ
ด้านเทคโนโลยีสารสนเทศและแนวทางจัดเตรียมทรัพยากร - ขั้นตอนในการด�ำเนินการกู้คืนระบบ โดยควรระบุ
ระบบเทคโนโลยีสารสนเทศที่เหมาะสมตาม การจัดล�ำดับ รายละเอยี ดอยา่ งชัดเจนและเพียงพอ เพ่ือให้สามารถ
ความส�ำคญั ของระบบงาน โดยพิจารณาอยา่ งน้อยครอบคลมุ ใช้เป็น checklist ควบคุมไม่ให้มีการข้ามหรือละเลย
- เป้าหมายระยะเวลาที่ไดจ้ ากการวิเคราะหผ์ ลกระทบ ขน้ั ตอนท่ีกำ� หนดไว้ ท้ังน้ี รส. ควรจัดทำ� เอกสารหรอื
ทางธุรกจิ เช่น RTO, RPO เป็นตน้ คู่มือประกอบการกู้คืนในแต่ละระบบ ในกรณีท่ีมีการ
- ปัจจัยส�ำคัญที่สนับสนุนให้แผนเป็นไปตามกลยุทธ์ ปรับปรุงหรือเพิ่มเติมขั้นตอนนอกเหนือจากท่ีระบุ
เช่น เทคโนโลยีในการส�ำรองและกู้คืนข้อมูล ในแผนขณะปฏิบัติงานจริง รส. ควรมีกระบวนการ
ความพร้อมใช้ของสถานที่ปฏิบัติงานส�ำรอง เป็นต้น รายงานและขออนุมัติจากผู้บริหารตามที่ก�ำหนด
เพื่อให้ รส. มีทิศทางในการพัฒนาแผนฉุกเฉิน ในโครงสร้างการบังคับบัญชา พร้อมทั้งน�ำข้ันตอน
ดา้ นเทคโนโลยสี ารสนเทศทบ่ี รรลเุ ปา้ หมายทกี่ ำ� หนดไว้ ดงั กล่าวมาปรบั ปรุงแผนใหเ้ ป็นปัจจุบัน
- ทรัพยากรและงบประมาณ เพื่อจัดเตรียมระบบ - ข้ันตอนในการกลับคืนสู่ภาวะปกติ (return to
เทคโนโลยีสารสนเทศให้สอดคล้องตามแผนกลยุทธ์ normal) และการประกาศยกเลิกแผนฉุกเฉิน
และกิจกรรมท่ีต้องด�ำเนนิ การทงั้ หมด ด้านเทคโนโลยีสารสนเทศ
(5) การจัดท�ำแผนฉุกเฉินด้านเทคโนโลยีสารสนเทศ - แผนฉกุ เฉนิ ดา้ นเทคโนโลยสี ารสนเทศ พรอ้ มเอกสาร
แผนฉุกเฉินด้านเทคโนโลยีสารสนเทศควรมีการระบุ ประกอบการทำ� งานภายใตแ้ ผนฉกุ เฉนิ ดา้ นเทคโนโลยี
กระบวนการและขนั้ ตอนสนบั สนนุ การปฏบิ ตั ิทช่ี ดั เจน เพ่ือให้ สารสนเทศ ควรจัดเก็บไว้ในสถานท่ีปลอดภัยและ
สามารถด�ำเนินการได้อย่างรวดเร็วและง่ายต่อการปฏิบัติ มีความพรอ้ มใชใ้ นสถานทป่ี ฏิบตั งิ านหลกั และส�ำรอง
รวมท้ังมีความยืดหยุ่นในการตอบสนองต่อเหตุการณ์ต่าง ๆ
ที่อาจเกดิ ข้นึ อยา่ งนอ้ ยครอบคลมุ
194 สำ�นกั งานคณะกรรมการนโยบายรฐั วสิ าหกจิ
2.5 (6) การสื่อสารและการฝึกอบรมแผนฉุกเฉินด้านเทคโนโลยี ที่มีผลกระทบต่อการให้บริการลูกค้าหรือ ต่อ รส.
นอกจากนี้ อาจพิจารณาการทดสอบระบบส�ำรอง
สารสนเทศ รส. ต้องจัดให้มีการสื่อสารแผนฉุกเฉินด้าน ในลกั ษณะเสมือนจริง (DR live test) เพ่อื ให้มั่นใจวา่
เทคโนโลยีสารสนเทศ และจัดให้มีการฝึกอบรมแก่บุคลากร ระบบส�ำรองสามารถรองรับให้ธุรกิจสามารถด�ำเนินได้
ผมู้ สี ่วนเกย่ี วขอ้ ง อย่างตอ่ เน่อื ง
- กรณรี ะบบงานมีการเชอ่ื มโยงเครอื ข่ายสือ่ สารหรอื
- ในการสื่อสารแผนฯ ต้องมีการระบุแนวทางสื่อสาร ใชบ้ รกิ ารจากหนว่ ยงานภายนอก รส. ควรมกี ารทดสอบ
ทชี่ ดั เจนใหบ้ คุ ลากรทกุ คนทมี่ สี ว่ นเกย่ี วขอ้ งได้ รบั ทราบ แผนฉุกเฉินร่วมกับหน่วยงานภายนอกที่เกี่ยวข้องด้วย
ถงึ รายละเอยี ดในการจดั ทำ� แผน ขน้ั ตอนการดำ� เนนิ งาน เพื่อให้ม่ันใจว่าระบบเทคโนโลยีสารสนเทศของ รส.
ตามแผน มคี วามพรอ้ มใชง้ านรว่ มกบั ระบบเทคโนโลยสี ารสนเทศ
- จัดให้มีการฝึกอบรมแก่บุคลากรผู้มีส่วนเก่ียวข้อง ของหนว่ ยงานภายนอก
กับการด�ำเนินงานตามแผนอย่างน้อยปีละ 1 ครั้ง - มีการรายงานผลการทดสอบต่อคณะกรรมการ
โดยอย่างน้อยควรครอบคลุม วัตถุประสงค์ของแผน ของ รส. โดยมีรายละเอียดอย่างน้อยครอบคลุม
ข้ันตอนการปฏบิ ัติงานตามแผน การประสานงาน และ วตั ถุประสงค์ ขอบเขตการทดสอบ สถานการณจ์ �ำลอง
การส่ือสารกันระหว่างกลุ่ม ขั้นตอนในการรายงาน ระยะเวลาที่ใช้ในการกู้คืนระบบเทียบกับ เป้าหมาย
ระบบรักษาความปลอดภัย กระบวนการเฉพาะของ ที่ก�ำหนด ข้อผิดพลาดและปัญหาหรืออุปสรรคที่พบ
แต่ละกลุ่มด�ำเนินงาน และความรับผิดชอบของแต่ละ พร้อมทัง้ แนวทางปรับปรงุ แก้ไข
บุคคล เปน็ ต้น - รส. ควรจดั ใหม้ กี ารทบทวนและปรบั ปรงุ แผนฉกุ เฉนิ
(7) การทดสอบ การปรับปรุง และการสอบทานแผนฉุกเฉิน ด้านเทคโนโลยสี ารสนเทศอย่างนอ้ ย ปีละ 1 ครัง้ และ
ดา้ นเทคโนโลยีสารสนเทศ ทุกคร้ังที่มีการเปล่ียนแปลงอย่างมีนัยส�ำคัญ เช่น
- จัดให้มีแผนงานเพ่ือทดสอบแผนฉุกเฉินด้าน การเปลี่ยนแปลงบุคลากร ที่มีหน้าท่ีรับผิดชอบในการ
เทคโนโลยีสารสนเทศประจ�ำปี โดยมีรายละเอียด ด�ำเนินงานตามแผน การเปลี่ยนสภาพแวดล้อมของ
อย่างน้อยครอบคลุมสถานการณ์จ�ำลอง รูปแบบการ ระบบเทคโนโลยสี ารสนเทศ เปน็ ตน้ เพอ่ื ใหแ้ ผนฉกุ เฉนิ
ทดสอบ วนั เวลา สถานทใี่ นการทดสอบ บทบาทหนา้ ท่ี ด้านเทคโนโลยสี ารสนเทศเป็นปัจจบุ นั
ของผู้ที่เกี่ยวข้อง ทงั้ นแี้ ผนงานเพือ่ ทดสอบแผนฉกุ เฉิน - รส. อาจจัดให้มีการสอบทานแผนฉุกเฉินด้าน
ด้านเทคโนโลยีสารสนเทศ ประจ�ำปีในภาพรวมควร เทคโนโลยสี ารสนเทศโดยหนว่ ยงานภายนอกหรอื ภายใน
ได้รับการอนุมตั ิจากคณะกรรมการทไี่ ด้รบั มอบหมาย ที่มีความเป็นอิสระเพ่ือยืนยันถึงความเหมาะสมของ
- จัดให้มีการทดสอบแผนฉุกเฉินด้านเทคโนโลยี ขน้ั ตอนตา่ ง ๆ ในการจดั ทำ� แผนใหส้ ามารถใชง้ านไดจ้ รงิ
สารสนเทศท้ังในระดับหน่วยงานและระดับองค์กร
อยา่ งนอ้ ยปลี ะ 1 คร้ัง โดยเฉพาะระบบงานหรอื ขอ้ มูล
ทม่ี า : หลักเกณฑ์การกำ� กบั ดแู ลความเส่ยี งดา้ นเทคโนโลยีสารสนเทศ (Information Technology Risk)
ของสถาบันการเงนิ และแนวปฏบิ ัตใิ นการบริหารความเสี่ยงด้านเทคโนโลยสี ารสนเทศ ธนาคารแห่งประเทศไทย
ระบบการประเมินผลการด�ำ เนนิ งานรัฐวสิ าหกิจ ตามระบบประเมนิ ผลรฐั วิสาหกิจ 195
กระบวนการจดั ทำ� แผนฉกุ เฉนิ ด้านเทคโนโลยสี ารสนเทศ 2.5
ทม่ี า : captechnology
196 ส�ำ นกั งานคณะกรรมการนโยบายรัฐวิสาหกจิ
2.5 7. การด�ำเนินการดา้ นการบรหิ ารจัดการการใชท้ รัพยากรอยา่ งเหมาะสม
(Resource Optimization Management) (น้�ำหนักรอ้ ยละ 10)
7.1 การดำ� เนนิ การดา้ นการบรหิ ารจัดการการใชท้ รพั ยากรอยา่ งเหมาะสม
(Resource Optimization Management Implementation)
(น�ำ้ หนักรอ้ ยละ 5)
• กระบวนการดำ� เนนิ การดา้ นการบรหิ ารจดั การการใชท้ รพั ยากรอยา่ งเหมาะสม
(Resource Optimization Management Implementation) ของรัฐวิสาหกิจ*
• รัฐวิสาหกิจมีกรอบการจัดสรรงบประมาณ และก�ำกับให้การจัดสรรและ
ใช้ทรัพยากรท้ังทางการเงินและไม่ใช่ทางการเงินเป็นไปอย่างเพียงพอและ
มปี ระสิทธภิ าพ รวมทั้งมีการประเมินความความเส่ียงดา้ นการจดั สรรทรัพยากรและ
มาตรการรองรับความเสย่ี งด้านการจดั สรรทรัพยากร ทุกโครงการท่สี �ำคญั
• รฐั วสิ าหกจิ มนี โยบายหรอื แผนในการลดการใชก้ ระดาษและสาธารณปู โภคอน่ื ๆ
เมอื่ เทยี บกบั จ�ำนวนพนักงานในองค์กร
• รัฐวิสาหกิจมีการสื่อสารแนวทางหรือแผนการบริหารจัดการการใช้ทรัพยากร
อยา่ งเหมาะสม (Resource Optimization Management) ขององค์กร
• รัฐวิสาหกิจก�ำหนดแนวทางหรือวิธีการวัดประสิทธิผลของการด�ำเนินการด้าน
การบริหารจัดการการใช้ทรัพยากรอย่างเหมาะสม (Resource Optimization
Management) ขององค์กร
ระดบั 1 เรมิ่ มแี นวทางในการดำ� เนนิ การดา้ นการบรหิ ารจดั การการใชท้ รพั ยากรอยา่ ง
เหมาะสม
ระดับ 2 รฐั วสิ าหกจิ มกี ระบวนการดำ� เนนิ การดา้ นการบรหิ ารจดั การการใชท้ รพั ยากร
อย่างเหมาะสม และแนวปฏิบัติท่ีก�ำหนดอย่างครบถ้วนและเป็นระบบ
ซงึ่ ประกอบดว้ ย
• การก�ำหนดมาตรฐานและระเบียบวิธีปฏิบัติการจัดสรรทรัพยากร
ดา้ นเทคโนโลยีสารสนเทศ
• การก�ำหนดมาตรฐานและระเบียบวิธีปฏิบัติการบริหารจัดการ
ขดี ความสามารถของเทคโนโลยสี ารสนเทศ
• การก�ำหนดมาตรฐานและระเบียบวิธีปฏิบัติในการก�ำหนดตัวชี้วัด
และประเมินผลลัพธ์การใช้ทรัพยากรและการลงทุนด้านเทคโนโลยี
สารสนเทศให้เกดิ มูลคา่ สงู สุด
• การกำ� หนดตวั ชวี้ ดั และประเมนิ ผลลพั ธก์ ารใชท้ รพั ยากร ทางการเงนิ การ
ลงทนุ และดา้ นอนื่ ๆ สำ� หรบั การดำ� เนนิ โครงการ/แผนงาน/กจิ กรรม ใหเ้ ปน็
ไปตามขนั้ ตอนและเป้าหมายทีก่ �ำหนดไว้ อย่างนอ้ ยประกอบดว้ ย
ระบบการประเมนิ ผลการด�ำ เนินงานรฐั วสิ าหกจิ ตามระบบประเมนิ ผลรฐั วิสาหกิจ 197
o ทรพั ยากรทางการเงิน การบรหิ ารจัดการขีดความสามารถของระบบ 2.5
o ทรัพยากรคน (Capacity Management)
o ระบบเทคโนโลยดี ิจทิ ลั เพ่ือให้ รส. สามารถบริหารทรัพยากรด้านเทคโนโลยี
o ระยะเวลา สารสนเทศได้อย่างเพียงพอรองรับต่อการด�ำเนินธุรกิจและ
o ทรพั ยากรพน้ื ฐานตา่ งๆ (เชน่ อาคาร สถานที่ เปน็ ตน้ ) สามารถวางแผนการจัดการเทคโนโลยีสารสนเทศให้รองรับ
ระดับ 3 รฐั วสิ าหกจิ มกี ารถา่ ยทอดกระบวนการดำ� เนนิ การดา้ น การใช้งานในอนาคต
การบริหารจัดการการใช้ทรัพยากรอย่างเหมาะสม 1. กำ� หนดมาตรฐานและระเบยี บวธิ ปี ฏบิ ตั เิ รอ่ื งการบรหิ าร
แก่ผู้รับผิดชอบ พนักงาน ผู้ส่งมอบ คู่ค้าท่ีส�ำคัญ จัดการขีดความสามารถของระบบ เพื่อประเมินและติดตาม
ลกู คา้ และผมู้ สี ว่ นไดส้ ว่ นเสยี อนื่ ทเ่ี กยี่ วขอ้ งอยา่ งครบ ดูแลความเพียงพอของโครงสร้างพ้ืนฐานด้านเทคโนโลยี
ถว้ น มกี ารประเมนิ การรบั รขู้ องผรู้ บั ผดิ ชอบ พนกั งาน สารสนเทศทค่ี รอบคลมุ ถงึ ระบบคอมพวิ เตอร์ ระบบฐานขอ้ มลู
ผสู้ ง่ มอบ คคู่ า้ ทส่ี ำ� คญั ลกู คา้ และผมู้ สี ว่ นไดส้ ว่ นเสยี อนื่ ระบบเครือข่ายสื่อสาร และระบบสาธารณูปโภคที่เกี่ยวข้อง
ท่เี ก่ียวขอ้ งอย่างครบถว้ น กบั งานเทคโนโลยสี ารสนเทศ
ระดับ 4 รัฐวิสาหกิจมีการก�ำหนดการวัด ติดตาม วิเคราะห์ 2. มีการประเมินแนวโน้มการใช้ทรัพยากรด้านเทคโนโลยี
ประเมนิ ตวั วดั ผลลพั ธ์ (outcome) ของกระบวนการ สารสนเทศเพอ่ื วางแผนรองรบั การใชง้ านในอนาคต (capacity
ด�ำเนินการด้านการบริหารจัดการการใช้ทรัพยากร planning) โดยครอบคลมุ ทง้ั ระบบหลักและระบบส�ำรอง
อย่างเหมาะสม 3. มกี ระบวนการหรอื เครอ่ื งมอื ในการตดิ ตามประสทิ ธภิ าพ
ระดบั 5 รัฐวิสาหกิจมีการก�ำหนดการวัด ติดตาม วิเคราะห์ และความเพียงพอของการใช้ทรัพยากรด้านเทคโนโลยี
ประเมนิ ตวั วดั ผลลพั ธ์ (outcome) ของกระบวนการ สารสนเทศของระบบ เพื่อบริหารจัดการทรัพยากรด้าน
ด�ำเนินการด้านการบริหารจัดการการใช้ทรัพยากร เทคโนโลยสี ารสนเทศไดอ้ ยา่ งทนั ทว่ งที และสามารถตอบสนอง
อย่างเหมาะสมและมีการน�ำผลลัพธ์ที่ส�ำคัญของ ความตอ้ งการในการด�ำเนินงานทางธุรกจิ อย่างต่อเนือ่ ง
กระบวนการ เข้าสู่กระบวนการทบทวน การก�ำกับ 4. มีการก�ำหนดตัวชี้วัดการใช้ทรัพยากรด้านเทคโนโลยี
ดแู ลดา้ นการบริหารจดั การดจิ ิทัล /จดั ท�ำแผนปฏบิ ัติ สารสนเทศ (threshold และ trigger) ในระดบั ต่าง ๆ เพ่ือให้
การดจิ ทิ ัลขององค์กร (ระยะยาว) มกี ารแจง้ เตอื นผเู้ กยี่ วขอ้ งอยา่ งทนั ทว่ งที และสามารถวเิ คราะห์
หมายเหตุ : ปญั หาและแนวทางการรบั มอื ทเ่ี หมาะสม รวมถงึ การประสานงาน
การประเมินกระบวนการจะใช้การประเมินรูปแบบระดับ กับหนว่ ยงานทั้งภายในและภายนอกกรณเี กดิ เหตขุ ดั ข้อง
วุฒิภาวะ (Maturity Level) โดยพิจารณาจากการจัดการ 5. จดั ทำ� รายงานความเพยี งพอของทรพั ยากรดา้ นเทคโนโลยี
กระบวนการใหม้ แี นวทางปฏบิ ตั อิ ยา่ งเปน็ ระบบ สามารถทำ� ซำ้� ได้ สารสนเทศน�ำเสนอต่อคณะกรรมการท่ีได้รับมอบหมาย
(Repeatable Practice) และเปน็ มาตรฐาน (Standardized หรือผู้บริหารระดับสูงที่เก่ียวข้องรับทราบอย่างสม่�ำเสมอ
Practice) ซ่ึงมีการถ่ายทอดแนวทางปฏิบัติแบบเดียวกัน เพอ่ื ใหม้ กี ารกำ� กบั ดแู ลความพรอ้ มและความเพยี งพอของระบบ
ท่ัวทั้งองคก์ ร โดยมีการวัด วิเคราะห์ และประเมินประสทิ ธิผล ในการรองรับการให้บริการทางธุรกิจได้อย่างต่อเน่ือง รวมท้ัง
ของกระบวนการอย่างเป็นรูปธรรม เพ่ือน�ำมาปรับปรุงและ เพือ่ พจิ ารณาแนวทางลดความเสย่ี งไดท้ ันการณ์
พัฒนากระบวนการอย่างตอ่ เนือ่ ง ที่มา : หลักเกณฑ์การก�ำกับดูแลความเส่ียงด้านเทคโนโลยี
สารสนเทศ (Information Technology Risk) ของสถาบัน
การเงนิ และแนวปฏบิ ตั ใิ นการบรหิ ารความเสย่ี งดา้ นเทคโนโลยี
สารสนเทศ ธนาคารแห่งประเทศไทย
198 ส�ำ นักงานคณะกรรมการนโยบายรฐั วสิ าหกจิ
7.2 การบริหารจัดการการเลือกใช้เทคโนโลยีที่เป็นมิตร ระดบั 1 เริ่มมีแนวทางในการบริหารจัดการการเลือกใช้
ตอ่ ส่งิ แวดล้อม (Green IT Management) เทคโนโลยีทีเ่ ป็นมิตรตอ่ สง่ิ แวดล้อม
(น้�ำหนักร้อยละ 5) ระดบั 2 รัฐวิสาหกิจมีกระบวนการบริหารจัดการการเลือกใช้
• กระบวนการบริหารจัดการการเลือกใช้เทคโนโลยีท่ี เทคโนโลยีที่เป็นมิตรต่อส่ิงแวดล้อม และแนวปฏิบัติ
2.5 เป็นมิตรต่อสิ่งแวดล้อม (Green IT Management) ของ ทกี่ ำ� หนดอยา่ งครบถว้ นและเปน็ ระบบ ซง่ึ ประกอบดว้ ย
รฐั วสิ าหกจิ * * วฏั จกั รของอุปกรณ์ (Equipment Lifecycle)
• รฐั วสิ าหกจิ มนี โยบายหรอื มาตรการดา้ นการบรหิ ารจดั การ * การใช้ไอทีของผู้ใช้งาน (End User Computing)
การเลือกใช้เทคโนโลยีที่เป็นมิตรต่อส่ิงแวดล้อม (Green IT) * ระบบประมวลผลข้อมูลขนาดใหญ่ในองค์กร
ทใ่ี หค้ วามสำ� คัญกบั 4 องค์ประกอบ ดังน้ี (Enterprise Computing
1.วฏั จกั รของอปุ กรณ์(EquipmentLifecycle)ประกอบดว้ ย * การน�ำ ICT มาใช้ในการลดการปล่อยคาร์บอน
การจัดซื้อ (Procurement) การรีไซเคิลและการน�ำกลับมา (ICT as a Low – Carbon Enabler)
ใช้ซ�ำ้ (Recycle & Reuse) การกำ� จดั (Disposal) ระดบั 3 รฐั วสิ าหกจิ มกี ารถา่ ยทอดกระบวนการบรหิ ารจดั การ
2. การใช้ไอทีของผู้ใช้งาน (End User Computing) การเลือกใช้เทคโนโลยีที่เป็นมิตรต่อส่ิงแวดล้อมแก่
ประกอบดว้ ย คอมพวิ เตอรส์ ว่ นบคุ คล (Personal Computing) ผรู้ ับผิดชอบ พนกั งาน ผสู้ ง่ มอบ คูค่ า้ ที่ส�ำคญั ลกู ค้า
แบ่งเป็น Desktop และ Mobile คอมพิวเตอร์ในแต่ละ และผู้มีส่วนได้ส่วนเสียอ่ืน ที่เก่ียวข้องอย่างครบถ้วน
หน่วยงาน (Departmental Computing) การพิมพ์และ มีการประเมินการรับรู้ของ ผู้รับผิดชอบ พนักงาน
วสั ดุสิ้นเปลือง (Printing and Consumables) ผสู้ ง่ มอบ คคู่ า้ ทสี่ ำ� คญั ลกู คา้ และผมู้ สี ว่ นไดส้ ว่ นเสยี อนื่
3. ระบบประมวลผลข้อมูลขนาดใหญ่ในองค์กร ท่เี ก่ยี วข้องอย่างครบถว้ น
(Enterprise Computing) ประกอบดว้ ย Data Center ICT ระดบั 4 รัฐวิสาหกิจมีการก�ำหนดการวัด ติดตาม วิเคราะห์
Equipment, Data Center Environmental, Networking ประเมนิ ตวั วดั ผลลพั ธ์ (outcome) ของกระบวนการ
& Communications, Outsourcing & Cloud, Software บริหารจัดการการเลือกใช้เทคโนโลยีที่เป็นมิตรต่อ
Architecture สงิ่ แวดลอ้ ม
4. การนำ� ICT มาใชใ้ นการลดการปลอ่ ยคารบ์ อน (ICT as ระดับ 5 รัฐวิสาหกิจมีการก�ำหนดการวัด ติดตาม วิเคราะห์
a Low – Carbon Enabler) ประกอบด้วย Governance & ประเมนิ ตวั วดั ผลลพั ธ์ (outcome) ของกระบวนการ
Compliance, Teleworking & Collaboration, Business บริหารจัดการการเลือกใช้เทคโนโลยีท่ีเป็นมิตร
Process Management, Business Applications, Carbon ต่อส่ิงแวดล้อมและมีการน�ำผลลัพธ์ที่ส�ำคัญของ
Emissions Management กระบวนการ เข้าสู่กระบวนการทบทวน การก�ำกับ
• รัฐวิสาหกิจมีการส่ือสารนโยบายหรือมาตรการด้าน ดูแลด้านการบริหารจดั การดจิ ิทัล /จดั ทำ� แผนปฏบิ ตั ิ
ก า ร บ ริ ห า ร จั ด ก า ร ก า ร เ ลื อ ก ใ ช ้ เ ท ค โ น โ ล ยี ท่ี เ ป ็ น มิ ต ร การดจิ ทิ ัลขององค์กร (ระยะยาว)
ตอ่ สงิ่ แวดล้อม (Green IT) ขององคก์ ร
• รัฐวิสาหกิจก�ำหนดแนวทางหรือวิธีการวัดประสิทธิผล หมายเหตุ :
ของการบริหารจัดการการเลือกใช้เทคโนโลยีท่ีเป็นมิตร * การประเมินกระบวนการจะใช้การประเมินรูปแบบระดับ
ตอ่ สง่ิ แวดลอ้ ม (Green IT) ขององคก์ ร วุฒิภาวะ (Maturity Level) โดยพิจารณาจากการจัดการ
กระบวนการใหม้ แี นวทางปฏบิ ตั อิ ยา่ งเปน็ ระบบ สามารถทำ� ซำ�้ ได้
(Repeatable Practice) และเปน็ มาตรฐาน (Standardized
Practice) ซ่ึงมีการถ่ายทอดแนวทางปฏิบัติแบบเดียวกัน
ทวั่ ทงั้ องค์กร โดยมกี ารวัด วิเคราะห์ และประเมินประสิทธิผล
ของกระบวนการอย่างเป็นรูปธรรม เพื่อน�ำมาปรับปรุงและ
พฒั นากระบวนการอยา่ งต่อเนอ่ื ง
ระบบการประเมนิ ผลการด�ำ เนนิ งานรัฐวิสาหกิจ ตามระบบประเมนิ ผลรฐั วิสาหกจิ 199
Green IT หรอื เทคโนโลยสี เี ขยี ว คอื แนวคดิ ใน การบรหิ ารจดั การ และเลอื กใชเ้ ทคโนโลยที เี่ ปน็ มติ รตอ่ สง่ิ แวดลอ้ ม 2.5
เพอื่ เพมิ่ ประสทิ ธภิ าพในการจดั การการใชพ้ ลงั งาน ลดการใชพ้ ลงั งาน ลดการปลอ่ ยกา๊ ซเรอื นกระจก ลดการสรา้ งขยะ
รวมถงึ การนำ� ขยะอเิ ลคทรอนคิ สม์ ารไี ซเคลิ ใหม่ ซงึ่ เปา้ หมายสงู สดุ คอื อปุ กรณอ์ เิ ลคทรอนคิ ส์ หรอื ขยะอเิ ลคทรอนคิ ส์
ต้องถูกน�ำกลับมาใช้ใหม่ได้ท้ังหมด และไม่มีส่วนประกอบที่ท�ำจากสารพิษ อุปกรณ์อิเลคทรอนิคส์
ตอ้ งใชพ้ ลงั งานนอ้ ยลง
ความหมายของ Green ICT
Green ICT = Green + ICT = Green of Green by ICT
Envpiiorollnumtioenntal Climate Change /tMIThdaaipsntpraooogdcsincauuglcrtpdmoulalrunintuagfnatcsture Uwatitleizri,nsgoIiTl ptoolplurteivoennt air,
Green ICT
ecRdomeondwissususciomoinnnpgsItTciboaeynrblceoucnttrtiicnigty
Green of ICTG reen byICT
ท่ีมา : สวทช. Lifecycle & IT as a Low-
กรอบการเลือกใชเ้ ทคโนโลยีท่ีเปน็ มติ รต่อสงิ่ แวดลอ้ ม Procurement Carbon Enabler
Attitude Procurement CGoomvpelrinaanncece&
Policy The Desktop ITDaEtqauCipemnternet Teleworking
Da&taEnCveinrotrnempeonwter
Practice Mobile Operations BumsianneasgsePmroecnetss
Technology Devices Communications Disposal SMuapnpalgyeCmheanint
Metrics Printing &
Consumablees DeDpisttrIiTbuStyesdte&ms
OITutSsyosutercmesd
ทม่ี า : ISACA
The words you are searching are inside this book. To get more targeted content, please make full-text search by clicking here.
คู่มือการประเมินผลการดำเนินงานรัฐวิสากิจตามระบบประเมินผลใหม่
Discover the best professional documents and content resources in AnyFlip Document Base.
Search