The words you are searching are inside this book. To get more targeted content, please make full-text search by clicking here.
Home Explore นโยบายการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ
View in Fullscreen

นโยบายการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ

Like this book? You can publish your book online for free in a few minutes!
Share

Related Publications

Discover the best professional documents and content resources in AnyFlip Document Base.
Search
Published by Inventech Systems (Thailand) Co., Ltd., 2024-01-18 23:59:08

นโยบายการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ

นโยบายการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ

copyright © 2023 Inventech Systems (Thailand) co., ltd. | All Rights Reserved. ประกาý เลขที่ INV-EX-MM-NT-2024-002 เรื่อง นโยบายการรักþาคüามมั่นคงปลอดภัยด้านÿารÿนเทý (ISMS Policy) 1. นโยบายคüามมั่นคงปลอดภัยÿารÿนเทý (IT Security Policy) üัตถุประÿงค์ เพื่อกําĀนดทิýทางและÿนับÿนุนการดําเนินการด้านคüามมั่นคงปลอดภัยÿําĀรับÿารÿนเทýของบริþัท เพื่อใĀ้เป็นไป ตามĀรือÿอดคล้องกับข้อกำĀนดทางธุรกิจ กฎĀมายและระเบียบปฏิบัติที่เกี่ยüข้อง ขอบข่าย ข้อมูลทั้งĀมด (ทั้งที่อยู่ในรูปเอกÿารและอิเล็กทรอนิกÿ์ไฟล์) ที่ได้รับการจัดเก็บได้รับการใช้งานĀรือใช้ในการÿื่อÿารเพื่อ ดําเนินกิจการขององค์กร บุคคลทั้งĀมดที่มีÿ่üนเกี่ยüข้องในการใช้งานข้อมูลและระบบคอมพิüเตอร์ขององค์กรได้แก่ ผู้บริĀารพนักงานประจํา พนักงานชั่üคราü Āุ้นÿ่üน ตัüแทน ธุรกิจ บุคคลภายนอกที่ถูกü่าจ้างโดยองค์กร บริþัทคู่ค้าบริþัทĀรือบุคคลที่เป็นคู่ÿัญญา และ ผู้ใĀ้บริการ ทรัพย์ÿินทั้งĀมดที่เกี่ยüข้องกับข้อมูล และที่ใช้ในการจัดเก็บÿ่งผ่าน Āรือ ประมüลผลข้อมูล ได้แก่ อุปกรณ์ เครื่อง เซิร์ฟเüอร์เครื่องคอมพิüเตอร์ ซอฟต์แüร์ โปรแกรม เอกÿารอิเล็กทรอนิกÿ์ เอกÿารตีพิมพ์เครื่องมือ ÿิ่งอํานüย คüามÿะดüก ตลอดจนบริการที่ได้รับ แนüทางปฏิบัติ 1.1 นโยบายการรักþาคüามมั่นคงของข้อมูล เพื่อคุ้มครองผลประโยชน์และชื่อเÿียงขององค์กรพนักงานทุกคนต้อง 1.2 ปกป้องข้อมูล (ไม่ü่าจะถูกเก็บอยู่ในรูปแบบใดก็ตาม) ใĀ้พ้นจากเĀตุละเมิดต่างๆ ซึ่งอาจÿ่งผลกระทบต่อคüามลับ ของข้อมูล (Confidentiality) คüามถูกต้องและÿมบูรณ์ครบถ้üนของข้อมูล (Integrity) Āรือคüามมีพร้อมใช้งานของข้อมูล (Availability) 1.3 ปฏิบัติตามมาตรฐาน ISO 27001 และมาตรฐานอื่นๆ ตลอดจนนโยบายด้านคüามมั่นคงที่องค์กรกําĀนด เพื่อคüาม มั่นคงปลอดภัยของข้อมูล 1.4 ปฏิบัติตามข้อกฎĀมายอื่นๆ ที่เกี่ยüข้องทั้งĀมด โดยองค์กรมีนโยบายดังต่อไปนี้ - ข้อมูลที่ÿําคัญขององค์กรต้องได้รับการปกป้องจากการเข้าถึงโดยไม่ได้รับอนุญาต - ข้อมูลที่ÿําคัญขององค์กรต้องได้รับการรักþาคüามลับอย่างเĀมาะÿม - ข้อมูลที่ÿําคัญขององค์กรต้องมีคüามถูกต้องและÿมบูรณ์ครบถ้üน - ข้อมูลที่ÿําคัญขององค์กรต้องมีพร้อมใช้งานอยู่เÿมอ - กฎĀมาย กฎระเบียบและข้อบังคับที่เกี่ยüข้องต่างๆ ต้องได้รับการปฏิบัติตามอย่างถูกต้องครบถ้üน - พนักงานทุกคนต้องได้รับการฝึกอบรมด้านการรักþาคüามมั่นคงของข้อมูล - ใĀ้มีการบริĀารจัดการคüามเÿี่ยง (Risk management) ที่เกี่ยüข้องกับคüามมั่นคงของข้อมูลขึ้นในองค์กร - จัดทําแผนการจัดการเพื่อใĀ้ธุรกิจดําเนินได้อย่างต่อเนื่อง พร้อมทั้งทําการดูแล รักþา และทดÿอบแผนอย่าง เĀมาะÿม


copyright © 2023 Inventech Systems (Thailand) co., ltd. | All Rights Reserved. - จัดใĀ้มีชุดเอกÿารนโยบายด้านคüามมั่นคงของข้อมูลและ เอกÿารÿนับÿนุนที่เกี่ยüข้อง เพื่อกําĀนดระเบียบ ปฏิบัติตลอดจนแนüทางการปฏิบัติงานและการใช้งานข้อมูลอย่างมั่นคงปลอดภัย - จัดใĀ้มีกระบüนการในการรายงาน ÿืบÿüน รับมือ และจัดการกับเĀตุละเมิดคüามมันคงอย่างเĀมาะÿม โดย เĀตุละเมิดคüามมั่นคง ตลอดจนÿิ่งผิดปกติและเĀตุการณ์ที่น่าÿงÿัยอื่นๆ ต้องมีการรายงานไปยังผู้อํานüยการ ฝ่ายเทคโนโลยี ÿารÿนเทýเพื่อดําเนินการตรüจÿอบและแก้ไข 1.5 การปฏิบัติตามนโยบายและการตรüจÿอบ พนักงานและบุคคลที่เกี่ยüข้องทุกคนต้องลงนามในเอกÿารข้อตกลงการไม่เปิดเผยข้อมูล (Nondisclosure Agreement) และ/Āรือ เอกÿารอื่นๆ ที่เกี่ยüข้อง เพื่อเป็นการยอมรับü่าข้อมูลต่างๆ ที่ได้รับทราบและใช้งานในระĀü่างการจ้างงานเป็น ทรัพย์ÿินขององค์กร และ ไม่ÿามารถนําไปใช้เพื่อการอื่นโดยมิได้รับอนุญาต ทั้งนี้ในการใช้งานข้อมูลทั้งĀลายในองค์กร จะถือü่า ทุกคนรับทราบและยินยอมปฏิบัติตามเงื่อนไขของนโยบายนี้ทุกประการ การเจตนาเข้าถึงระบบโดยไม่ได้รับอนุญาต การจงใจใÿ่ ข้อมูลที่ผิดพลาดและการเจตนาเปลี่ยนแปลงข้อมูลโดยไม่ได้รับอนุญาต ถือเป็นÿิ่งต้องĀ้ามทั้งÿิ้น การไม่ปฏิบัติตามนโยบายการ รักþาคüามมั่นคงของข้อมูลนี้ถือü่ามีคüามผิดทางüินัยและ เพื่อใĀ้มั่นใจได้ü่ามีการปฏิบัติตามนโยบายนี้อย่างเคร่งครัด องค์กรจึง จําเป็นต้องจัดใĀ้มีการตรüจติดตามการปฏิบัติงานของพนักงานตลอดจนบุคคลอื่นที่เกี่ยüข้องเป็นระยะๆ ผ่านการตรüจติดตาม การปฏิบัติงานภายใน (Internal audit) และการตรüจÿอบ Security logs / Audit trails ที่เกี่ยüข้อง ทั้งนี้องค์กรขอÿงüนÿิทธิ์ ในการกระทําการใดๆ ที่เĀ็นü่าจําเป็นเพื่อจัดการและป้องกันคüามมั่นคงปลอดภัยใĀ้แก่ข้อมูลและระบบเทคโนโลยีÿารÿนเทýของ องค์กร 1.6 การทบทüนและปรับปรุงนโยบาย นโยบายการรักþาคüามมั่นคงของข้อมูลนี้ต้องได้รับการทบทüน และประเมินผล เพื่อปรับปรุงเนื้อĀา Āรือยืนยันเนื้อĀา เดิม โดย Steering Committee อย่างน้อยปีละĀนึ่งครั้งเพื่อใĀ้มั่นใจได้ü่าเนื้อĀาของนโยบาย ยังคงไü้ซึ่งคüามÿมบูรณ์มี ประÿิทธิภาพ และÿามารถนําไปใช้งานได้อย่างเĀมาะÿม 1.7 บทลงโทþ การละเมิด ฝ่าฝืน ละเลย Āรือไม่ปฏิบัติตามนโยบาย ตลอดจนüิธีการปฏิบัติงาน และเอกÿารÿนับÿนุนต่างๆ ที่เกี่ยüข้อง ไม่ü่าโดยเจตนาĀรือไม่ก็ตามถือเป็นคüามผิดทางüินัยซึ่งต้องถูกพิจารณาลงโทþทางüินัยโดยคณะกรรมการพิจารณาคüามผิดทาง üินัยขององค์กร และĀากการละเมิดĀรือฝ่าฝืนนโยบายนั้นเข้าข่ายการกระทําที่ผิดกฎĀมาย ผู้ละเมิดก็ต้องได้รับการดําเนินคดี ตามที่กฎĀมายระบุไü้ 1.8 เอกÿารอ้างอิง ข้อตกลงการไม่เปิดเผยข้อมูล (Non - Disclosure Agreement) 2. โครงÿร้างทางด้านคüามมั่นคงปลอดภัยÿารÿนเทý (Organization of information security) üัตถุประÿงค์ เพื่อใĀ้มีการกำĀนดกรอบการบริĀารและจัดการคüามมั่นคงปลอดภัยÿำĀรับÿารÿนเทýของบริþัทฯ ตั้งแต่การเริ่มต้น และการคüบคุมการปฏิบัติงานเพื่อใĀ้มีคüามมั่นคงปลอดภัย


copyright © 2023 Inventech Systems (Thailand) co., ltd. | All Rights Reserved. แนüทางปฏิบัติ 2.1 บทบาทและĀน้าที่คüามรับผิดชอบด้านคüามมั่นคงปลอดภัยÿารÿนเทý (Information Security Roles and Responsibilities) ต้องกําĀนดĀน้าที่คüามรับผิดชอบของเจ้าĀน้าที่ในการดําเนินงานทางด้านคüามมั่นคงปลอดภัยÿําĀรับÿารÿนเทýของ บริþัทฯ ไü้อย่างชัดเจน และต้องมีการแต่งตั้งผู้ทํางานĀลักตลอดจนทรัพยากรที่จําเป็น เพื่อบริĀารและจัดการคüามมั่นคง ปลอดภัยÿําĀรับÿารÿนเทýของบริþัทฯ ดังนี้ 2.1.1 การแบ่งแยกĀน้าที่คüามรับผิดชอบ (Segregation of duties) ต้องแบ่งĀน้าที่และกําĀนดคüาม รับผิดชอบที่ชัดเจนในการปฏิบัติงาน เพื่อลดโอกาÿที่จะทําใĀ้มีการเปลี่ยนแปลงทรัพย์ÿินของบริþัทฯ Āรือมีการใช้ทรัพย์ÿินผิด üัตถุประÿงค์โดยไม่ได้รับอนุญาต Āรือโดยไม่ได้เจตนาก็ตาม 2.1.2 การมีรายชื่อและข้อมูลÿําĀรับการติดต่อกับĀน่üยงานอื่น (Contact with Authorities) ต้องมีรายชื่อ และข้อมูลÿําĀรับติดต่อกับĀน่üยงานอื่นๆ เช่น ผู้ดูแลระบบÿารÿนเทý จะต้องมีข้อมูลผู้ใĀ้บริการอินเทอร์เน็ต (Internet Service Provider) เป็นต้น เพื่อใช้ÿําĀรับการติดต่อประÿานงานทางด้านคüามมั่นคงปลอดภัยในกรณีที่มีคüามจําเป็น และเอกÿาร กําĀนดใĀ้มีการระบุüันที่จัดทําเอกÿาร 2.1.3 การบริĀารจัดการโครงการเพื่อใĀ้มีคüามมั่นคงปลอดภัย ( Information Security in Project Management) การดําเนินงานและการเข้าถึงข้อมูล เพื่อใĀ้งานโครงการมีคüามมั่นคงปลอดภัยนั้น ÿิทธิในการเข้าถึงข้อมูลของ ผู้ใช้งาน ผู้ใช้งานจะมีÿิทธิในการเข้าถึงข้อมูลตามĀน้าที่คüามรับผิดชอบในÿายงานของผู้ใช้งานนั้นๆ ตามประกาýโครงÿร้างของ บริþัท 2.2 อุปกรณ์คอมพิüเตอร์แบบพกพาและการปฏิบัติงานจากภายนอก (Mobile Devices and Teleworking) üัตถุประÿงค์ เพื่อรักþาคüามมั่นคงปลอดภัยÿําĀรับÿารÿนเทýของการปฏิบัติการระยะไกลĀรือการปฏิบัติงานภายนอกและการใช้ งานของอุปกรณ์คอมพิüเตอร์แบบพกพา ดังนี้ 2.2.1 นโยบายÿำĀรับการใช้งานอุปกรณ์คอมพิüเตอร์แบบพกพา (Mobile device policy) การใช้งานอุปกรณ์คอมพิüเตอร์แบบพกพา (Notebook) เพื่อบริĀารจัดการคüามเÿี่ยงที่มีต่ออุปกรณ์ดังกล่าü อุปกรณ์คอมพิüเตอร์แบบพกพา (Notebook) จะต้องเป็นอุปกรณ์ที่จัดĀาจากĀน่üยงานเทคโนโลยีÿารÿนเทýจากทางบริþัทฯ เท่านั้น และจะต้องใช้งานโดยผ่านทาง Active Directory เท่านั้น การพกพาคอมพิüเตอร์แบบพกพาใช้งานนอกÿถานที่ ผู้ใช้งาน จะต้องเป็นผู้รับผิดชอบการใช้งานและอุปกรณ์โดยคํานึงถึงคüามปลอดภัยขอข้อมูลและทรัพย์ÿินอย่างÿูงÿุด โดยจะขณะใช้งาน จะต้องดูแลอุปกรณ์ดังกล่าüตลอดเüลาไม่üางไü้ในÿถานที่ ที่ไม่ปลอดภัยĀรือมีคüามเÿี่ยงต่อการÿูญĀายของข้อมูลและทรัพย์ÿิน เช่น Ā้ามüางไü้ในพื้นที่ÿาธารณะโดยปราýจากผู้ดูแล และĀ้ามไü้ในรถยนต์ด้านÿ่üนของผู้โดยÿาร Ā้ามเปิดเผย ชื่อและรĀัÿ ผู้ใช้งาน แก่ผู้อื่นโดยเด็ดขาดĀากมีคüามเÿียĀายของข้อมูลและอุปกรณ์ดังกล่าü โดยเกิดจากการใช้งานผิดüิธีด้üยการจงใจĀรือ ไม่ได้เจตนาของผู้ใช้งาน ผู้ใช้งานจะต้องเป็นผู้รับผิดชอบตามกฎĀมายและกฎของบริþัท 2.2.2 การปฏิบัติงานจากระยะไกล (Teleworking) อนุญาตใĀ้บุคลากรของบริþัทฯ ที่จําเป็นต้องปฏิบัติงานจากภายนอกบริþัทฯ โดยปฏิบัติตามüิธีปฏิบัติงานเรื่อง การคüบคุมการเข้าถึง (Access Control) และüิธีปฏิบัติงานเรื่องการลงทะเบียนใช้งานระบบÿารÿนเทý เพื่อใĀ้มีการพิÿูจน์ตัüตน และคüบคุมการทํางานจากระยะไกลโดยการแบ่งระĀü่างระบบที่เชื่อมต่ออินเทอร์เน็ตกับระบบอินทราเน็ตภายในที่ใช้งานใน


copyright © 2023 Inventech Systems (Thailand) co., ltd. | All Rights Reserved. บริþัทฯ และใช้งานเครือข่ายÿ่üนตัüเÿมือน (Virtual Private Network: VPN) โดยผู้บริĀารฝ่ายงานเป็นผู้พิจารณาอนุญาตใĀ้ ÿิทธิการปฏิบัติงานจากระยะไกล 3. คüามมั่นคงปลอดภัยÿำĀรับทรัพยากรบุคคล (Human resource security) 3.1 การจัดĀาบุคลากรก่อนการจ้างงาน (Prior to Employment) üัตถุประÿงค์ เพื่อใĀ้พนักงานและผู้ที่ทําÿัญญาจ้างเข้าใจในĀน้าที่คüามรับผิดชอบของตนเองและมีคüามเĀมาะÿมตามบทบาทĀน้าที่ที่ ได้รับพิจารณาจ้างงานจากบริþัทฯ แนüทางปฏิบัติ 3.1.1 การÿรรĀาบุคลากร (Screening) เจ้าĀน้าที่กลุ่มบริĀารทรัพยากรบุคคล ต้องทำการตรüจÿอบคุณÿมบัติของผู้ÿมัครงานทุกคน ก่อนที่จะบรรจุ เป็นผู้บริĀาร เจ้าĀน้าที่ชั่üคราüĀรือนักýึกþาฝึกงาน โดยต้องไม่มีประüัติในการบุกรุก แก้ไข ทําลาย Āรือโจรกรรมข้อมูลในระบบ เทคโนโลยีÿารÿนเทýของĀน่üยงานใดมาก่อน เจ้าĀน้าที่ประÿานงานกลุ่มบริĀารทรัพยากรบุคคล ต้องจัดใĀ้มีการลงนามในÿัญญาระĀü่าง “เจ้าĀน้าที่” และ Āน่üยงาน ü่าจะไม่เปิดเผยข้อมูล (Non-Disclosure Agreement: NDA) โดยการลงนามนี้จะเป็นÿ่üนĀนึ่งของการü่าจ้าง เจ้าĀน้าที่นั้นๆ ทั้งนี้ต้องมีผลผูกพันทั้งในขณะที่ทำงานและผูกพันต่อเนื่องเป็นเüลาไม่น้อยกü่า 1 ปี ภายĀลังจากที่ÿิ้นÿุดการ ü่าจ้างแล้üปฏิบัติตามüิธีปฏิบัติงานเรื่อง : การบริĀารจัดการทรัพยากรบุคคลด้านการรักþาคüามมั่นคงปลอดภัยÿารÿนเทý (Human resources security) 3.1.2 ข้อกําĀนดและเงื่อนไขของการจ้างงาน (Terms and conditions of employment) เจ้าĀน้าที่ประÿานงานกลุ่มบริĀารทรัพยากรบุคคล ต้องกำĀนดเงื่อนไขการจ้างงานที่รüมถึง Āน้าที่คüาม รับผิดชอบทางด้านคüามมั่นคงปลอดภัยทางด้านÿารÿนเทý โดยเจ้าĀน้าที่กลุ่มบริĀารทรัพยากรบุคคล ต้องแจ้งใĀ้ผู้บริĀารÿาย งานทราบทันทีเมื่อมีเĀตุดังนี้ - การü่าจ้างงาน - การเปลี่ยนแปลงÿภาพการü่าจ้างงาน - การลาออกจากงาน Āรือการÿิ้นÿุดการเป็นผู้บริĀาร เจ้าĀน้าที่และลูกจ้าง Āรือการถึงแก่กรรม - การโยกย้ายĀน่üยงาน - การพักงาน การลงโทþทางüินัย ĀรือระงับการปฏิบัติĀน้าที่ 3.2 การÿร้างคüามมั่นคงปลอดภัยขณะเป็นเจ้าĀน้าที่ (During Employment) üัตถุประÿงค์ เพื่อใĀ้พนักงานและผู้ที่ทําÿัญญาจ้างตระĀนักและปฏิบัติตามĀน้าที่คüามรับผิดชอบด้านคüามมั่นคงปลอดภัยÿารÿนเทý ของบริþัทฯ แนüทางปฏิบัติ 3.2.1 Āน้าที่คüามรับผิดชอบของผู้บริĀาร (Management Responsibilities) ผู้บริĀารระบบบริĀารคüามมั่นคงปลอดภัยÿารÿนเทý ( Information Security Management Representative) ต้องกําĀนดใĀ้เจ้าĀน้าที่ของบริþัทฯ และเจ้าĀน้าที่Āน่üยงานภายนอกที่ü่าจ้างมาปฏิบัติงานรับทราบและ ปฏิบัติตามนโยบาย กฎ ระเบียบและขั้นตอนทํางานที่เกี่ยüข้องกับการรักþาคüามมั่นคงปลอดภัยÿารÿนเทýของบริþัทฯ ด้üย


copyright © 2023 Inventech Systems (Thailand) co., ltd. | All Rights Reserved. 3.2.2 การÿร้างคüามตระĀนัก การใĀ้คüามรู้และการอบรมใĀ้คüามรู้ด้านคüามมั่นคงปลอดภัยÿารÿนเทý (Information Security Awareness, Education and Training) เจ้าĀน้าที่บริþัทฯ ผู้รับจ้างขององค์กรทุกคนต้องได้รับการอบรมใĀ้คüามรู้โดยเนื้อĀาที่แต่ละบุคคลจะได้รับการ ฝึกอบรมต้องเĀมาะÿมกับบทบาทĀน้าที่ในการปฏิบัติงานของแต่ละบุคคล เพื่อเป็นการÿร้างคüามตระĀนักและฝึกอบรมด้าน คüามมั่นคงปลอดภัยÿารÿนเทý ต้องจัดอบรมใĀ้คüามรู้แก่เจ้าĀน้าที่บริþัทฯ เกี่ยüกับคüามตระĀนักและüิธีปฏิบัติเพื่อÿร้างคüาม มั่นคงปลอดภัยใĀ้กับระบบเทคโนโลยีÿารÿนเทýและการÿื่อÿาร ซึ่งรüมถึงการแจ้งใĀ้ทราบเกี่ยüกับนโยบายคüามมั่นคงปลอดภัย และการเปลี่ยนแปลงที่เกิดขึ้นด้านเทคโนโลยีÿารÿนเทýและการÿื่อÿารของบริþัทฯด้üย เจ้าĀน้าที่บริþัทฯ ใĀม่ทุกคน ต้องได้รับการอบรมเกี่ยüกับนโยบายการรักþาคüามมั่นคงปลอดภัยระบบ เทคโนโลยีÿารÿนเทýและการÿื่อÿาร Āรือได้รับเอกÿารนโยบายการรักþาคüามมั่นคงปลอดภัยÿารÿนเทýฯ และระเบียบปฏิบัติที่ เกี่ยüข้องกับĀน่üยงานภายใน 30 üัน นับจากเข้าทํางานในĀน่üยงาน เพื่อใĀ้พนักงานĀรือผู้ที่เกี่ยüข้องได้ýึกþาและถือปฏิบัติโดย อาจเป็นÿ่üนĀนึ่งของการปฐมนิเทýน์และต้องมีการลงนามและเก็บรüบรüมไü้ในแฟ้มประüัติของบุคลากรด้üย เจ้าĀน้าที่ประÿานงานกลุ่มบริĀารทรัพยากรบุคคล และ คณะทํางานระบบบริĀารคüามมั่นคงปลอดภัย ÿารÿนเทý มีĀน้าที่ในการแจ้งใĀ้ทราบเกี่ยüกับนโยบายคüามมั่นคงปลอดภัยระบบเทคโนโลยีÿารÿนเทý และการเปลี่ยนแปลงที่ เกิดขึ้นทางด้านคüามมั่นคงปลอดภัยระบบเทคโนโลยีÿารÿนเทýและการÿื่อÿารของบริþัทฯ ใĀ้แก่บุคลากรด้üย 3.2.3 กระบüนการทางüินัย (Disciplinary Process) ผู้บริĀารต้องกําĀนดบทลงโทþทางüินัยÿําĀรับผู้ที่ฝ่าฝืนนโยบาย กฎ และ/Āรือ ระเบียบปฏิบัติของบริþัทฯ แต่ Āากเป็นการละเมิดข้อกฎĀมาย บทลงโทþจะเป็นไปตามฐานคüามผิดที่ได้กระทําตามที่ระบุในแต่ละข้อกฎĀมายนั้นๆ 3.3 การÿิ้นÿุดĀรือการเปลี่ยนการจ้างงาน (Termination and change of employment) üัตถุประÿงค์ เพื่อป้องกันผลประโยชน์ขององค์กรซึ่งเป็นÿ่üนĀนึ่งของการเปลี่ยนĀน้าที่ Āรือÿิ้นÿุดการแจ้งงาน แนüทางปฏิบัติ 3.3.1 การÿิ้นÿุดĀรือการเปลี่ยนĀน้าที่คüามรับผิดชอบของการจ้างงาน (Termination or Change of Employment Responsibilities) มีการกำĀนดและÿื่อÿารใĀ้พนักงานĀรือผู้ทําÿัญญาได้รับทราบ รüมทั้งมีการคüบคุมใĀ้ปฏิบัติตามข้อกําĀนด ในÿัญญาเจ้าĀน้าที่กลุ่มบริĀารทรัพยากรบุคคลมีĀน้าที่ดูแลĀากมีการแต่งตั้งโยกย้าย ปลดĀรือ เปลี่ยนแปลงตําแĀน่งใดๆ ที่ เกี่ยüข้องกับคüามรับผิดชอบในบริþัทฯ เจ้าĀน้าที่ผู้เกี่ยüข้องเมื่อได้รับเรื่องของผู้ใช้งานที่ÿิ้นÿุดÿภาพการจ้างงานĀรือเปลี่ยน Āน้าที่คüามรับผิดชอบจากฝ่ายบุคคล ใĀ้ปฏิบัติตามคู่มือการปฏิบัติงานเรื่องการลงทะเบียนใช้งานระบบÿารÿนเทý เพื่อ ดําเนินการเพิกถอนÿิทธิ์Āรือเปลี่ยนแปลงÿิทธิ


copyright © 2023 Inventech Systems (Thailand) co., ltd. | All Rights Reserved. 4. การบริĀารจัดการÿินทรัพย์ (Asset Management) 4.1 การคüบคุมการใช้งานเครื่องคอมพิüเตอร์และอุปกรณ์คอมพิüเตอร์ (Computer and Peripheral Access Control) üัตถุประÿงค์ เพื่อใĀ้ผู้ใช้งานได้รับทราบถึงĀน้าที่และคüามรับผิดชอบในการใช้งานเครื่องคอมพิüเตอร์และอุปกรณ์คอมพิüเตอร์ของ บริþัท รüมทั้งทำคüามเข้าใจตลอดจนปฏิบัติตามอย่างเคร่งครัด อันจะเป็นการป้องกันทรัพยากรและข้อมูลของบริþัทใĀ้มีคüาม ปลอดภัย ถูกต้องและมีคüามพร้อมใช้งานอยู่เÿมอ แนüทางปฏิบัติ • ผู้ใช้งานเครื่องคอมพิüเตอร์และอุปกรณ์คอมพิüเตอร์ของบริþัท ต้องเป็นผู้รับผิดชอบÿินทรัพย์ที่ใช้งาน • Ā้ามใช้เครื่องคอมพิüเตอร์และระบบเครือข่ายคอมพิüเตอร์ของบริþัทเพื่อประกอบธุรกิจการค้า Āรือบริการใดๆ ที่เป็น ของÿ่üนตัüและไม่เĀมาะÿม • ไม่อนุญาตใĀ้ผู้ใช้งาน ทำการติดตั้งและแก้ไขเปลี่ยนแปลงโปรแกรม ในเครื่องคอมพิüเตอร์ของบริþัท เü้นแต่ได้รับ คำปรึกþาĀรือคำแนะนำจากผู้ดูแลระบบ Āรือได้รับอนุญาตจากผู้มีอำนาจÿูงÿุดของĀน่üยงาน • Ā้ามดัดแปลงแก้ไขÿ่üนประกอบต่างๆ ของเครื่องคอมพิüเตอร์ และอุปกรณ์ต่อพ่üง เü้นแต่ได้รับคüามเĀ็นชอบจาก ผู้ดูแลระบบ ĀรือĀน่üยงานที่รับผิดชอบ และผู้ใช้งานต้องรักþาÿภาพของเครื่องคอมพิüเตอร์ และอุปกรณ์ต่อพ่üงใĀ้มีÿภาพเดิม • ผู้ใช้งานต้องไม่เก็บĀรือใช้อุปกรณ์คอมพิüเตอร์ในÿถานที่ที่มีคüามร้อน ชื้น มีฝุ่นละออง และต้องระüังการตกกระทบ • ไม่ใช้Āรือüางอุปกรณ์คอมพิüเตอร์ทุกชนิดใกล้ÿิ่งที่เป็นของเĀลü ใกล้ÿนามแม่เĀล็ก ไฟฟ้าแรงÿูง ในที่มีการÿั่นÿะเทือน และในÿภาพแüดล้อมที่มีอุณĀภูมิÿูงกü่า 35 องýาเซลเซียÿ • ในการเคลื่อนย้ายอุปกรณ์คอมพิüเตอร์ คüรทำด้üยคüามระมัดระüัง ไม่üางของĀนักทับ Āรือโยน • ไม่เคลื่อนย้ายเครื่องขณะที่ฮาร์ดดิÿก์กำลังทำงาน Āรือขณะเปิดใช้งานอยู่ • Āลีกเลี่ยงของแข็งกดÿัมผัÿĀน้าจอคอมพิüเตอร์ซึ่งอาจทำใĀ้เป็นรอยขีดข่üน ĀรือแตกเÿียĀายได้ และคüรเช็ดทำคüาม ÿะอาดĀน้าจอคอมพิüเตอร์อย่างเบามือที่ÿุด และเช็ดไปในทางเดียüกัน Ā้ามเช็ดแบบĀมุนüนเพราะจะทำใĀ้Āน้าจอมีรอยขีดข่üน ได้ • ผู้ใช้งานที่พ้นÿภาพĀรือÿิ้นÿุดโครงการต้องคืนเครื่องคอมพิüเตอร์และอุปกรณ์คอมพิüเตอร์ที่รับผิดชอบทั้งĀมดต่อ Āน่üยงานที่รับผิดชอบในÿภาพที่พร้อมใช้งาน • การเคลื่อนย้ายอุปกรณ์คอมพิüเตอร์เพื่อการปฏิบัติงานภายนอกÿำนักงาน ใĀ้ผู้ใช้งานปฏิบัติตามข้อกำĀนดการนำ ทรัพย์ÿินของบริþัทออกนอกบริþัท • ผู้ใช้งานมีĀน้าที่รับผิดชอบในการป้องกันการÿูญĀาย ไม่üางเครื่องทิ้งไü้ในที่ÿาธารณะ Āรือบริเüณที่มีคüามเÿี่ยงต่อ การÿูญĀาย 4.2 การคüบคุมการใช้งานโปรแกรมคอมพิüเตอร์ (Software License) üัตถุประÿงค์ เพื่อใĀ้ผู้ใช้งานตระĀนักถึงĀน้าที่และคüามรับผิดชอบในการใช้งานโปรแกรมคอมพิüเตอร์ ตลอดจนเข้าใจการใช้ โปรแกรมที่ถูกต้องลิขÿิทธิ์และปฏิบัติตามแนüทางปฏิบัติอย่างเคร่งครัด รüมถึงการใช้งานโปรแกรมคอมพิüเตอร์ใĀ้มีคüามมั่นคง


copyright © 2023 Inventech Systems (Thailand) co., ltd. | All Rights Reserved. ปลอดภัยและÿอดคล้องกับพระราชบัญญัติü่าด้üยการกระทำคüามผิดเกี่ยüกับคอมพิüเตอร์และกฎĀมายที่เกี่ยüข้องแนüทาง ปฏิบัติ ข้อกำĀนดÿำĀรับผู้ดูแลระบบ • มีĀน้าที่รับผิดชอบในการคüบคุม ดูแลการใช้งานโปรแกรมคอมพิüเตอร์ ตลอดจนจัดÿรรการใช้งานโปรแกรม คอมพิüเตอร์ภายในบริþัทตามÿิทธิ์การใช้งานที่กำĀนด • มีĀน้าที่รับผิดชอบในการติดตั้ง และอัพเกรดโปรแกรมคอมพิüเตอร์ใĀ้แก่ผู้ใช้งาน ตามüันเüลาที่นัดĀมาย • ทำการถอดและยกเลิกÿิทธิ์การใช้งานโปรแกรมคอมพิüเตอร์ทันที เมื่อบริþัท และ/ĀรือĀน่üยงาน แจ้งยกเลิกและ/Āรือ ย้ายÿิทธิ์การใช้งานโปรแกรมคอมพิüเตอร์ ข้อกำĀนดÿำĀรับผู้ใช้งาน • ต้องใช้โปรแกรมคอมพิüเตอร์อย่างเช่นüิญญูชนพึงจะใช้ทรัพย์ÿินของตนเอง โดยไม่นำไปใช้ในทางที่ผิดกฎĀมายĀรือ ละเมิดกฎĀมายต่อบุคคลอื่นอันเป็นต้นเĀตุใĀ้เกิดคüามเÿียĀายขึ้นกับบริþัท • โปรแกรมที่ถูกติดตั้งบนเครื่องคอมพิüเตอร์ของบริþัท เป็นโปรแกรมที่ได้ซื้อลิขÿิทธิ์ถูกต้องตามกฎĀมาย ดังนั้น Ā้าม ผู้ใช้งานคัดลอกโปรแกรมต่างๆ และนำไปติดตั้งบนเครื่องคอมพิüเตอร์Āรือแก้ไขĀรือนำไปใĀ้ผู้อื่นใช้งาน • Ā้ามคัดลอก จำĀน่าย เผยแพร่โปรแกรมที่ละเมิดลิขÿิทธิ์ และชุดคำÿั่งที่จัดทำขึ้นโดยไม่ได้รับอนุญาต โดยเฉพาะการ นำไปใช้เพื่อเป็นเครื่องมือในการกระทำคüามผิดทางกฎĀมาย • Ā้ามนำโปรแกรมคอมพิüเตอร์ที่ไม่ชอบด้üยกฎĀมายมาติดตั้งใช้งานบนเครื่องคอมพิüเตอร์ของบริþัทอย่างเด็ดขาด กรณีผู้ใช้งานนำโปรแกรมคอมพิüเตอร์อื่นใดนอกเĀนือไปจากโปรแกรมที่บริþัทมีอยู่ มาใช้งานบนระบบคอมพิüเตอร์ไม่ü่าจะมี Licensed Software Āรือ Freeware ก็ตาม ĀากมีคüามเÿียĀายĀรือละเมิดเกิดขึ้นผู้ใช้งานจะต้องเป็นผู้รับผิดชอบแต่เพียงผู้ เดียü • การติดตั้งใช้งาน การยกเลิกการใช้งาน การโอนย้าย และการคืนเครื่องคอมพิüเตอร์ และโปรแกรมคอมพิüเตอร์ใĀ้ ผู้ใช้งานขอแจ้งคüามประÿงค์ในแต่ละกรณีใĀ้ผู้มีอำนาจพิจารณาอนุมัติ และผู้ดูแลระบบเทคโนโลยีÿารÿนเทýเป็นผู้รับผิดชอบใน การดำเนินการใĀ้เป็นไปตามที่ได้รับอนุมัติในแต่ละกรณี 4.3 การคüบคุมÿินทรัพย์ด้านÿารÿนเทýและการเข้าใช้งานระบบคอมพิüเตอร์ แนüทางปฏิบัติ ต้องคüบคุมไม่ใĀ้ÿินทรัพย์ด้านÿารÿนเทý ได้แก่ เอกÿาร ÿื่อบันทึกข้อมูล คอมพิüเตอร์ และข้อมูลÿารÿนเทýอยู่ใน ÿภาüะเÿี่ยงต่อการเข้าถึงได้โดยผู้ซึ่งไม่มีÿิทธิ์ ขณะที่ไม่มีผู้ใช้งานอุปกรณ์ และต้องกำĀนดใĀ้ผู้ใช้งานออกจากระบบÿารÿนเทýเมื่อ ü่างเü้นจากการใช้งาน ดังต่อไปนี้ - ออกจากระบบÿารÿนเทý (Log out) โดยทันทีเมื่อเÿร็จÿิ้นงาน - มีการป้องกันเครื่องคอมพิüเตอร์ โดยใช้การพิÿูจน์ตัüตนที่เĀมาะÿมก่อนเข้าใช้งาน - ต้องจัดเก็บและÿำรองข้อมูลÿารÿนเทýที่มีคüามÿำคัญของĀน่üยงานไü้ในที่ที่ปลอดภัย การจัดเก็บข้อมูลของ ผู้ใช้งาน จะจัดเก็บได้อยู่ในรูปแบบดังนี้ ข้อมูลของผู้ใช้งาน จะจัดเก็บได้อยู่ในรูปแบบดังนี้ • ในฐานข้อมูลของระบบ Application นั้นๆ ที่จัดเก็บภายใน Data Center ของบริþัท การ Export ข้อมูลออกมาจาก ระบบ Application ไม่ÿามารถทำได้


copyright © 2023 Inventech Systems (Thailand) co., ltd. | All Rights Reserved. • ÿามารถจัดเก็บใน Shared File (Drive กลาง) ใน Folder ตามÿิทธิ์ที่ได้รับ • ปิดเครื่องคอมพิüเตอร์ที่ตนเองใช้งานอยู่ เมื่อไม่มีการใช้งานนานเกิน 1 ชั่üโมง Āรือเมื่อใช้งานประจำüันเÿร็จÿิ้นงาน เü้นแต่เครื่องคอมพิüเตอร์นั้นเป็นเครื่องคอมพิüเตอร์แม่ข่ายใĀ้บริการที่ต้องใช้งานตลอด 24 ชั่üโมง • การตั้งค่า Screen Saver ของเครื่องคอมพิüเตอร์ที่ตนเองใช้งาน ใĀ้มีการล็อค (Lock) Āน้าจอโดยอัตโนมัติĀลังจากไม่ ใช้งานเครื่องคอมพิüเตอร์เกินกü่า 10 นาที • ใĀ้มีการขออนุมัติจากผู้มีอำนาจÿูงÿุดของฝ่ายขึ้นไป ในกรณีที่ต้องการนำทรัพย์ÿินด้านÿารÿนเทýต่างๆ เช่น เอกÿาร ÿื่อบันทึกข้อมูล อุปกรณ์คอมพิüเตอร์ต่างๆ ออกนอกบริþัททุกครั้ง โดยปฏิบัติตามข้อกำĀนดการนำทรัพย์ÿินของบริþัทออกนอก บริþัท • ระมัดระüังและดูแลทรัพย์ÿินของบริþัท ที่ตนเองใช้งานเÿมือนเป็นทรัพย์ÿินของตนเอง ĀากเกิดคüามÿูญĀายโดย ประมาทเลินเล่อ ต้องรับผิดชอบĀรือชดใช้ต่อคüามเÿียĀายนั้น 4.4 การใช้งานจดĀมายอิเล็กทรอนิกÿ์ üัตถุประÿงค์ เพื่อใĀ้การรับÿ่งข้อมูลข่าüÿารด้üยจดĀมายอิเล็กทรอนิกÿ์ ÿามารถÿนับÿนุนการปฏิบัติงานและเป็นไปอย่างถูกต้อง ÿะดüก รüดเร็ü ทันÿถานการณ์ มีประÿิทธิภาพ ปลอดภัย ภายใต้ข้อกำĀนดของกฎĀมาย ระเบียบ ข้อบังคับ และมาตรการรักþา คüามปลอดภัยข้อมูลข่าüÿารของบริþัท ตลอดจนเพื่อใĀ้ผู้ใช้งานเข้าใจถึงคüามÿำคัญและตระĀนักถึงปัญĀาที่เกิดขึ้นจากการใช้ บริการจดĀมายอิเล็กทรอนิกÿ์บนเครือข่ายอินเทอร์เน็ต โดยผู้ใช้จะต้องเข้าใจกฎเกณฑ์ต่างๆ ที่ผู้ดูแลระบบüางไü้ ไม่ละเมิดÿิทธิ์ Āรือกระทำการใดๆ ที่จะÿร้างปัญĀา Āรือไม่เคารพกฎเกณฑ์ที่üางไü้ และจะต้องปฏิบัติตามคำแนะนำของผู้ดูแลระบบอย่าง เคร่งครัด แนüทางปฏิบัติ ต้องคüบคุมไม่ใĀ้ÿินทรัพย์ด้านÿารÿนเทý ได้แก่ เอกÿาร ÿื่อบันทึกข้อมูล คอมพิüเตอร์ และข้อมูลÿารÿนเทýอยู่ใน ÿภาüะเÿี่ยงต่อการเข้าถึงได้โดยผู้ซึ่งไม่มีÿิทธิ์ ขณะที่ไม่มีผู้ใช้งานอุปกรณ์ และต้องกำĀนดใĀ้ผู้ใช้งานออกจากระบบÿารÿนเทýเมื่อ ü่างเü้นจากการใช้งาน ดังต่อไปนี้ • ผู้ใช้บริการจดĀมายอิเล็กทรอนิกÿ์ จะต้องไม่กระทำการละเมิดต่อพระราชบัญญัติü่าด้üยการกระทำคüามผิดเกี่ยüกับ คอมพิüเตอร์ พระราชบัญญัติü่าด้üยธุรกรรมทางอิเล็กทรอนิกÿ์ กฎĀมายที่เกี่ยüข้อง และนโยบายและข้อกำĀนดเกี่ยüกับ เทคโนโลยีÿารÿนเทýที่บริþัทกำĀนด • Āน่üยงานĀรือผู้ปฏิบัติงานผู้ใช้บริการจดĀมายอิเล็กทรอนิกÿ์ของบริþัท จะต้องใช้จดĀมายอิเล็กทรอนิกÿ์ เพื่อ ผลประโยชน์ของบริþัท • ผู้ปฏิบัติงานจะได้รับÿิทธิ์ในการใช้บริการจดĀมายอิเล็กทรอนิกÿ์ โดยทางผู้ดูแลระบบจะเป็นผู้ทำการลงทะเบียน ผู้ใช้บริการจดĀมายอิเล็กทรอนิกÿ์ ตามรายชื่อผู้ปฏิบัติงานที่ได้รับแจ้งมาจากฝ่ายทรัพยากรบุคคล • ไม่ใช้ที่อยู่จดĀมายอิเล็กทรอนิกÿ์ (Email Address) ของผู้อื่นเพื่ออ่าน Āรือรับÿ่งข้อคüาม เü้นแต่จะได้รับการยินยอม จากเจ้าของผู้ใช้บริการ และใĀ้ถือü่าเจ้าของจดĀมายอิเล็กทรอนิกÿ์เป็นผู้รับผิดชอบต่อการใช้งานในจดĀมายอิเล็กทรอนิกÿ์ของ ตน • การใช้งานจดĀมายอิเล็กทรอนิกÿ์ ผู้ใช้งานต้องไม่ปลอมแปลงชื่อบัญชีผู้ÿ่ง Āรือบัญชีผู้ใช้งานอื่น


copyright © 2023 Inventech Systems (Thailand) co., ltd. | All Rights Reserved. • การÿ่งจดĀมายอิเล็กทรอนิกÿ์ใĀ้กับผู้รับบริการตามภารกิจของบริþัท ผู้ใช้งานจะต้องใช้ระบบจดĀมายอิเล็กทรอนิกÿ์ ของบริþัทเท่านั้น Ā้ามไม่ใĀ้ใช้ระบบจดĀมายอิเล็กทรอนิกÿ์อื่น เü้นแต่ในกรณีที่ระบบจดĀมายอิเล็กทรอนิกÿ์ของบริþัทขัดข้อง และต้องได้รับอนุญาตจากผู้บังคับบัญชาแล้üเท่านั้น • การใช้งานจดĀมายอิเล็กทรอนิกÿ์ ต้องใช้ภาþาÿุภาพ ไม่ขัดต่อýีลธรรมอันดีงาม ไม่ทำการปลุกปั่น ยั่üยุ เÿียดÿีÿ่อไป ในทางผิดกฎĀมาย และผู้ใช้งานต้องไม่ÿ่งข้อคüามที่เป็นคüามคิดเĀ็นÿ่üนบุคคล โดยอ้างเป็นคüามเĀ็นของบริþัทĀรือก่อใĀ้เกิด คüามเÿียĀายต่อบริþัท • Ā้ามใช้ระบบจดĀมายอิเล็กทรอนิกÿ์ของบริþัท เพื่อเผยแพร่ ข้อมูล ข้อคüาม รูปภาพ Āรือÿิ่งอื่นใด ซึ่งมีลักþณะขัดต่อ ýีลธรรมอันดีงาม คüามมั่นคงของประเทý กฎĀมาย Āมิ่นต่อÿถาบันพระมĀากþัตริย์ Āรือกระทบต่อการดำเนินงานของบริþัท ตลอดจนเป็นการรบกüนผู้ใช้งานอื่นรüมทั้งผู้รับบริการของบริþัท • Ā้ามผู้ใช้บริการนำที่อยู่จดĀมายอิเล็กทรอนิกÿ์ ไปใช้ในกิจการงานÿ่üนบุคคล เช่น ธุรกิจÿ่üนตัü ใช้ÿมัครเครือข่าย ÿังคมออนไลน์ เป็นต้น Āากตรüจพบü่ามีการกระทำดังกล่าü ใĀ้ถือü่าเจ้าของจดĀมายอิเล็กทรอนิกÿ์ Āรือเจ้าของผู้ใช้บริการ เป็น ผู้รับผิดชอบการกระทำดังกล่าü • Ā้ามกระทำการอันที่จะÿร้างปัญĀาในการใช้ทรัพยากรของระบบ เช่น การÿร้างจดĀมายลูกโซ่ (Chain mail) การÿ่ง จดĀมายจำนüนมาก (Spam mail) การÿ่งจดĀมายต่อเนื่อง (Letter bomb) การÿ่งจดĀมายเพื่อการแพร่กระจายไüรัÿ คอมพิüเตอร์ เป็นต้น • Ā้ามÿ่งข้อมูลข่าüÿารอันเป็นคüามลับของบริþัทใĀ้กับบุคคลอื่นĀรือĀน่üยงานที่ไม่เกี่ยüข้องกับภารกิจของบริþัท • การÿ่งข้อมูลข่าüÿารที่เป็นคüามลับบริþัท คüรมีการเข้ารĀัÿข้อมูลข่าüÿารนั้น และไม่คüรระบุคüามÿำคัญของข้อมูล ลงในĀัüข้อจดĀมายอิเล็กทรอนิกÿ์ • Āลังจากการใช้งานระบบจดĀมายอิเล็กทรอนิกÿ์เÿร็จÿิ้น คüรออกจากระบบ (Log out) ทุกครั้ง • กรณีได้รับการร้องเรียน ร้องขอ ĀรือพบเĀตุอันไม่ชอบด้üยกฎĀมาย ขอÿงüนÿิทธิ์ที่จะทำการยกเลิก Āรือระงับการ บริการชั่üคราüแก่ผู้ปฏิบัติงานนั้น ๆ เพื่อทำการÿอบÿüน และตรüจÿอบÿาเĀตุ • Āากผู้ใช้บริการพบการกระทำที่ไม่เĀมาะÿม Āรือเข้าข่ายการกระทำคüามผิด เกิดขึ้นในบริþัท ใĀ้แจ้งเบาะแÿไปที่ ช่องทางการรับแจ้งเบาะแÿของบริþัท • การกระทำใด ๆ ที่เกี่ยüข้องกับการเผยแพร่ ทั้งในรูปแบบของจดĀมายอิเล็กทรอนิกÿ์ และโฮมเพจของผู้ใช้บริการ ใĀ้ ถือเป็นการกระทำที่อยู่ภายใต้คüามรับผิดชอบของผู้ใช้บริการเท่านั้น ผู้ดูแลระบบและบริþัทไม่มีÿ่üนเกี่ยüข้องใดๆ 5. การคüบคุมการเข้าถึง (Access control) üัตถุประÿงค์ เพื่อกำĀนดมาตรการในการใช้งานระบบอินเทอร์เน็ตผ่านระบบเครือข่ายของบริþัท เพื่อใĀ้เกิดประÿิทธิภาพและมีคüาม มั่นคงปลอดภัย และเพื่อใĀ้ผู้ใช้งานมีคüามตระĀนักในการใช้งานเü็บไซต์ต่างๆ ผ่านระบบเครือข่ายของบริþัท แนüทางปฏิบัติ ต้องคüบคุมไม่ใĀ้ÿินทรัพย์ด้านÿารÿนเทý ได้แก่ เอกÿาร ÿื่อบันทึกข้อมูล คอมพิüเตอร์ และข้อมูลÿารÿนเทýอยู่ใน ÿภาüะเÿี่ยงต่อการเข้าถึงได้โดยผู้ซึ่งไม่มีÿิทธิ์ ขณะที่ไม่มีผู้ใช้งานอุปกรณ์ และต้องกำĀนดใĀ้ผู้ใช้งานออกจากระบบÿารÿนเทýเมื่อ ü่างเü้นจากการใช้งาน ดังต่อไปนี้


copyright © 2023 Inventech Systems (Thailand) co., ltd. | All Rights Reserved. • ÿ่üนเทคโนโลยีÿารÿนเทý ต้องกำĀนดเÿ้นทางการเชื่อมต่อระบบเครือข่ายเพื่อการเข้าใช้งานระบบอินเทอร์เน็ตโดย ต้องผ่านระบบรักþาคüามปลอดภัย ได้แก่ Firewall Āรือ Proxy เป็นต้น • เครื่องคอมพิüเตอร์ของบริþัท ก่อนทำการเชื่อมต่อระบบเครือข่าย ต้องมีการติดตั้งโปรแกรมป้องกันไüรัÿและทำการ อุดช่องโĀü่ของระบบปฏิบัติการก่อน • Āลังจากใช้งานระบบอินเทอร์เน็ตเÿร็จแล้ü ใĀ้ผู้ใช้งานทำการปิดเü็บบราüเซอร์เพื่อป้องกันการเข้าใช้งานโดยบุคคลอื่น • ผู้ใช้งานต้องเข้าถึงแĀล่งข้อมูลตามÿิทธิ์ที่ได้รับตามĀน้าที่คüามรับผิดชอบเพื่อประÿิทธิภาพของระบบเครือข่ายและ คüามปลอดภัยของบริþัท • Ā้ามผู้ใช้งานเปิดเผยข้อมูลÿำคัญที่เป็นคüามลับของบริþัทยกเü้นเป็นไปตามĀลักเกณฑ์การเปิดเผยอย่างเป็นทางการ ของบริþัท • ผู้ใช้ต้องระมัดระüังการดาüน์โĀลดโปรแกรมใช้งานระบบอินเทอร์เน็ต ซึ่งรüมถึงการดาüน์โĀลดเพื่อปรับปรุงโปรแกรม ต่างๆ ต้องเป็นไปโดยไม่ละเมิดลิขÿิทธิ์Āรือทรัพย์ÿินทางปัญญา • ผู้ใช้งานมีĀน้าที่ตรüจÿอบคüามถูกต้องและคüามน่าเชื่อถือของข้อมูลคอมพิüเตอร์ที่อยู่บนอินเทอร์เน็ตก่อนนำไปใช้ งาน • ผู้ใช้งานต้องไม่ใช้เครือข่ายอินเทอร์เน็ตของบริþัท เพื่อประโยชน์ในเชิงธุรกิจÿ่üนตัü และเข้าÿู่เü็บไซต์ที่ไม่เĀมาะÿม เช่น เü็บไซต์ที่ขัดต่อýีลธรรมอันดี เü็บไซต์ที่มีเนื้อĀาเป็นภัยต่อคüามมั่นคงของชาติ ýาÿนา พระมĀากþัตริย์ เü็บไซต์ที่เป็นภัยต่อ ÿังคม เü็บไซต์ลามกอนาจาร เป็นต้น • ผู้ใช้งานจะต้องใช้ระบบอินเทอร์เน็ต ในลักþณะที่ไม่เป็นการละเมิดของบุคคลอื่นๆ และจะต้องไม่ก่อใĀ้เกิดคüาม เÿียĀายขึ้นต่อบริþัท รüมทั้งจะต้องไม่กระทำการใดอันเข้าข่ายคüามผิดตามพระราชบัญญัติü่าด้üยการกระทำผิดเกี่ยüกับ คอมพิüเตอร์ ĀรือกฎĀมายที่เกี่ยüข้องโดยเด็ดขาด ทั้งนี้ การใช้ระบบอินเทอร์เน็ตเพื่อการปฏิบัติงานของบริþัทในทุกกรณี ผู้ใช้งานจะต้องปฏิบัติตามขั้นตอนการปฏิบัติที่บริþัทกำĀนดไü้อย่างเคร่งครัด 6. การเข้ารĀัÿลับข้อมูล (Cryptographic Control) üัตถุประÿงค์ เพื่อคüบคุมบุคคลที่ไม่เกี่ยüข้องมิใĀ้เข้าถึง ล่üงรู้ Āรือแก้ไขเปลี่ยนแปลง ข้อมูลĀรือการทำงานของระบบÿารÿนเทýใน ÿ่üนที่มิได้มีอำนาจĀน้าที่เกี่ยüข้อง แนüทางปฏิบัติ 6.1 การบริĀารจัดการข้อมูล • ต้องมีการจัดลำดับชั้นคüามลับ ต้องมีการแบ่งประเภทของข้อมูลตามภารกิจและการจัดลำดับคüามÿำคัญของข้อมูล กำĀนดüิธีบริĀารจัดการกับข้อมูลแต่ละประเภท รüมถึงกำĀนดüิธีปฏิบัติกับข้อมูลลับĀรือข้อมูลÿำคัญก่อนการยกเลิกĀรือการนำ กลับมาใช้ใĀม่ • การรับÿ่งข้อมูลÿำคัญผ่านระบบเครือข่ายÿาธารณะ ต้องได้รับการเข้ารĀัÿ (Encryption) ที่เป็นมาตรฐานÿากล เช่น การใช้ SSL (Secure Socket Layer) การใช้ VPN (Virtual Private Network) เป็นต้น


copyright © 2023 Inventech Systems (Thailand) co., ltd. | All Rights Reserved. • ต้องมีมาตรการคüบคุมคüามถูกต้องของข้อมูลที่จัดเก็บ (Storage) นำเข้า (Input) ประมüลผล (Operate) และ แÿดงผล (Output) ในกรณีที่มีการจัดเก็บข้อมูลเดียüกันไü้Āลายที่ (Distributed Database) Āรือมีการจัดเก็บชุดข้อมูลที่มี คüามÿัมพันธ์กัน ต้องมีการคüบคุมใĀ้ข้อมูลมีคüามถูกต้องครบถ้üนตรงกัน • คüรมีมาตรการรักþาคüามปลอดภัยข้อมูลในกรณีที่นำเครื่องคอมพิüเตอร์ออกนอกพื้นที่ของบริþัท เช่น ÿ่งซ่อม เป็น ต้น Āรือทำลายข้อมูลที่เก็บอยู่ในÿื่อบันทึกก่อน 6.2 การคüบคุมการกำĀนดÿิทธิ์ใĀ้ผู้ใช้งาน (User Privilege) • ต้องคüบคุมการเข้าถึงข้อมูลและอุปกรณ์ในการประมüลผลข้อมูล โดยคำนึงถึงการใช้งานและคüามมั่นคง ปลอดภัยใน การใช้งานระบบÿารÿนเทý กำĀนดกฎเกณฑ์ที่เกี่ยüกับการอนุญาตใĀ้เข้าถึง กำĀนดÿิทธิ์เพื่อใĀ้ผู้ใช้งานในทุกระดับได้รับรู้ เข้าใจ และÿามารถปฏิบัติตามแนüทางที่กำĀนดโดยเคร่งครัด และตระĀนักถึงคüามÿำคัญของการรักþาคüามมั่นคงปลอดภัยของระบบ ÿารÿนเทý • ต้องกำĀนดÿิทธิ์การใช้ข้อมูลและระบบÿารÿนเทý เช่น ÿิทธิ์การใช้โปรแกรมระบบÿารÿนเทý (Application System) ÿิทธิ์การใช้งานอินเทอร์เน็ต เป็นต้น ใĀ้แก่ผู้ใช้งานใĀ้เĀมาะÿมกับĀน้าที่และคüามรับผิดชอบ โดยต้องใĀ้ÿิทธิเฉพาะเท่าที่จำเป็น แก่การปฏิบัติĀน้าที่ และได้รับคüามเĀ็นชอบจากผู้มีอำนาจĀน้าที่เป็นลายลักþณ์อักþร รüมทั้งทบทüนÿิทธิ์ดังกล่าüอย่าง ÿม่ำเÿมอ • ในกรณีมีคüามจำเป็นต้องใช้ User ที่มีÿิทธิ์พิเýþ ต้องมีการคüบคุมการใช้งานอย่างรัดกุม ทั้งนี้ ในการพิจารณาü่าการ คüบคุม User ที่มีÿิทธิ์พิเýþมีคüามรัดกุมเพียงพอĀรือไม่นั้น บริþัทจะใช้ปัจจัยประกอบการพิจารณาในภาพรüมดังต่อไปนี้ - คüรได้รับคüามเĀ็นชอบจากผู้มีอำนาจĀน้าที่ - คüรคüบคุมการใช้งานของผู้ใช้งานที่มีÿิทธิ์พิเýþอย่างเข้มงüด - คüรกำĀนดระยะเüลาการใช้งาน และระงับการใช้งานทันทีเมื่อพ้นระยะเüลาดังกล่าü - คüรมีการเปลี่ยนรĀัÿผ่านอย่างเคร่งครัด เช่น ทุกครั้งĀลังĀมดคüามจำเป็นในการใช้งาน Āรือในกรณีที่มีคüาม จำเป็นต้องใช้งานเป็นระยะเüลานาน คüรเปลี่ยนรĀัÿผ่านทุก 6 เดือน เป็นต้น • ในกรณีที่ไม่มีการปฏิบัติงานอยู่ที่Āน้าเครื่องคอมพิüเตอร์ ต้องมีมาตรการป้องกันการใช้งานโดยบุคคลอื่นที่มิได้มีÿิทธิ์ และĀน้าที่เกี่ยüข้อง เช่น กำĀนดใĀ้ผู้ใช้งานออกจากระบบงาน (Log Out) ในช่üงเüลาที่มิได้อยู่ปฏิบัติงานที่Āน้าเครื่อง คอมพิüเตอร์ เป็นต้น • ในกรณีที่มีคüามจำเป็นที่ผู้ใช้งานซึ่งเป็นเจ้าของข้อมูลÿำคัญมีการใĀ้ÿิทธิ์ผู้ใช้งานรายอื่นใĀ้ÿามารถเข้าถึงĀรือแก้ไข เปลี่ยนแปลงข้อมูลของตนเองได้ เช่น การ Share Files เป็นต้น จะต้องเป็นการใĀ้ÿิทธิ์เฉพาะรายĀรือเฉพาะกลุ่มเท่านั้น และต้อง ยกเลิกการใĀ้ÿิทธิ์ดังกล่าüในกรณีที่ไม่มีคüามจำเป็นแล้ü และเจ้าของข้อมูลต้องมีĀลักฐานการใĀ้ÿิทธิ์ดังกล่าü และต้องกำĀนด ระยะเüลาการใช้งาน และระงับการใช้งานทันทีเมื่อพ้นระยะเüลาดังกล่าü • ในกรณีที่มีคüามจำเป็นต้องใĀ้ÿิทธิ์บุคคลอื่น ใĀ้มีÿิทธิ์ใช้งานระบบÿารÿนเทýและระบบเครือข่ายในลักþณะฉุกเฉิน Āรือชั่üคราü ต้องมีขั้นตอนĀรือüิธีปฏิบัติ และต้องมีการขออนุมัติจากผู้มีอำนาจĀน้าที่ทุกครั้ง บันทึกเĀตุผลและคüามจำเป็น รüมถึงต้องกำĀนดระยะเüลาการใช้งาน และระงับการใช้งานทันทีเมื่อพ้นระยะเüลาดังกล่าü


copyright © 2023 Inventech Systems (Thailand) co., ltd. | All Rights Reserved. 6.3 การคüบคุมการใช้งานบัญชีรายชื่อผู้ใช้งาน (User Account) และรĀัÿผ่าน (Password) • ต้องมีระบบตรüจÿอบตัüตนจริงและÿิทธิ์การเข้าใช้งานของผู้ใช้งาน (Identification and Authentication) ก่อนเข้าÿู่ ระบบÿารÿนเทýที่รัดกุมเพียงพอ เช่น กำĀนดรĀัÿผ่านใĀ้ยากแก่การคาดเดา เป็นต้น และต้องกำĀนดใĀ้ผู้ใช้งานแต่ละรายมี User Account เป็นของตนเอง ทั้งนี้ การพิจารณาü่าการกำĀนดรĀัÿผ่านมีคüามยากแก่การคาดเดาและการคüบคุมการใช้ รĀัÿผ่านมีคüามรัดกุมĀรือไม่นั้น บริþัทจะใช้ปัจจัยดังต่อไปนี้ประกอบการพิจารณาในภาพรüม - คüรกำĀนดใĀ้รĀัÿผ่านมีคüามยาüพอÿมคüร ซึ่งมาตรฐานÿากลโดยÿ่üนใĀญ่แนะนำใĀ้มีคüามยาüขั้นต่ำ 8 ตัüอักþร (Alphabet + Numeric) - คüรใช้อักขระพิเýþประกอบ เช่น : ; < > $ @ # เป็นต้น - ÿำĀรับผู้ใช้งานทั่üไป คüรเปลี่ยนรĀัÿผ่านอย่างน้อยทุกๆ 6 เดือน ÿ่üนผู้ใช้งานที่มีÿิทธิ์พิเýþ เช่น ผู้จัดการ ระบบ (System Administrator) และผู้ใช้งานที่ติดมากับระบบ (Default User) เป็นต้น คüรเปลี่ยนรĀัÿผ่านอย่างน้อยทุกๆ 2 เดือน - ในการเปลี่ยนรĀัÿผ่านแต่ละครั้ง ไม่คüรกำĀนดรĀัÿผ่านใĀม่ใĀ้ซ้ำของเดิม 3 ครั้งĀลังÿุด - ไม่คüรกำĀนดรĀัÿผ่านอย่างเป็นแบบแผน Āรือคาดเดาได้ง่าย เช่น “abcdef” “aaaaaa” “123456” “password” “P@ssw0rd” เป็นต้น - ไม่คüรกำĀนดรĀัÿผ่านที่เกี่ยüข้องกับผู้ใช้งาน เช่น ชื่อ นามÿกุล üัน เดือน ปีเกิด ที่อยู่ เป็นต้น - ไม่คüรกำĀนดรĀัÿผ่านเป็นคำýัพท์ที่อยู่ในพจนานุกรม - คüรกำĀนดจำนüนครั้งที่ยอมใĀ้ผู้ใช้งานใÿ่รĀัÿผ่านผิด ซึ่งในทางปฏิบัติโดยทั่üไปไม่คüรเกิน 5 ครั้ง - คüรมีüิธีการจัดÿ่งรĀัÿผ่านใĀ้แก่ผู้ใช้งานอย่างรัดกุมและปลอดภัย เช่น การใÿ่ซองปิดผนึก เป็นต้น - ผู้ใช้งานที่ได้รับรĀัÿผ่านในครั้งแรก (Default Password) Āรือได้รับรĀัÿผ่านใĀม่ คüรเปลี่ยนรĀัÿผ่านนั้นโดย ทันที - ผู้ใช้งานคüรเก็บรĀัÿผ่านไü้เป็นคüามลับ ไม่คüรจดใÿ่กระดาþแล้üติดไü้Āน้าเครื่อง ทั้งนี้ ในกรณีที่มีการล่üงรู้ รĀัÿผ่านโดยบุคคลอื่น ผู้ใช้งานคüรเปลี่ยนรĀัÿผ่านโดยทันที • ต้องมีระบบการเข้ารĀัÿ (Encryption) ไฟล์ที่เก็บรĀัÿผ่านเพื่อป้องกันการล่üงรู้Āรือแก้ไขเปลี่ยนแปลง • ต้องตรüจÿอบรายชื่อผู้ใช้งานของระบบงานÿำคัญอย่างÿม่ำเÿมอ และดำเนินการตรüจÿอบบัญชีรายชื่อผู้ใช้งานที่มิได้ มีÿิทธิ์ใช้งานระบบแล้ü เช่น บัญชีรายชื่อของผู้ปฏิบัติงานที่ลาออกแล้ü บัญชีรายชื่อที่ติดมากับระบบ ( Default User) เป็นต้น พร้อมทั้งระงับการใช้งานโดยทันทีเมื่อตรüจพบ เช่น Disable ลบออกจากระบบ Āรือเปลี่ยน รĀัÿผ่าน เป็นต้น 7. การÿร้างคüามมั่นคงปลอดภัยทางกายภาพและÿิ่งแüดล้อม (Physical and Environmental Security) üัตถุประÿงค์ การคüบคุมการเข้าออกĀ้องýูนย์กลางข้อมูล (Data Center Room) มีüัตถุประÿงค์เพื่อป้องกันมิใĀ้บุคคลที่ไม่มี อำนาจ Āน้าที่เกี่ยüข้องเข้าถึง ล่üงรู้ แก้ไขเปลี่ยนแปลง Āรือก่อใĀ้เกิดคüามเÿียĀายต่อข้อมูลและระบบคอมพิüเตอร์ ÿ่üนการป้องกัน คüามเÿียĀายมีüัตถุประÿงค์เพื่อป้องกันมิใĀ้ข้อมูลและระบบคอมพิüเตอร์ได้รับคüามเÿียĀายจากปัจจัยÿภาüะแüดล้อมĀรือ


copyright © 2023 Inventech Systems (Thailand) co., ltd. | All Rights Reserved. ภัยพิบัติต่างๆ โดยมีเนื้อĀาครอบคลุมเกี่ยüกับแนüทางการคüบคุมการเข้าออก Data Center Room และระบบป้องกันคüาม เÿียĀายต่างๆ ที่บริþัทคüรจัดใĀ้มีภายใน Data Center Room แนüทางปฏิบัติ • การคüบคุมĀ้องýูนย์กลางข้อมูล (Data Center Room) • ต้องจัดเก็บอุปกรณ์คอมพิüเตอร์ที่ÿำคัญ เช่น เครื่องแม่ข่าย อุปกรณ์เครือข่าย เป็นต้น ไü้ใน Data Center Room Āรือพื้นที่ĀüงĀ้าม และต้องกำĀนดÿิทธิ์การเข้าออก Data Center Room ใĀ้เฉพาะบุคคลที่มีĀน้าที่เกี่ยüข้อง เช่น ผู้ดูแลระบบ เป็นต้น • ในกรณีบุคคลที่ไม่มีĀน้าที่เกี่ยüข้องประจำ อาจมีคüามจำเป็นต้องเข้าออก Data Center Room ในบางครั้ง ก็ต้องมี การคüบคุมอย่างรัดกุม เช่น กำĀนดใĀ้มีผู้ดูแลระบบ และ/Āรือ ผู้ปฏิบัติงานที่เกี่ยüข้อง คüบคุมดูแลการทำงานตลอดเüลา เป็น ต้น • ต้องมีระบบเก็บบันทึกการเข้าออก Data Center Room โดยบันทึกดังกล่าüต้องมีรายละเอียดเกี่ยüกับตัüบุคคลและ เüลาผ่านเข้าออก และคüรมีการตรüจÿอบบันทึกดังกล่าüอย่างÿม่ำเÿมอ • คüรจัด Data Center Room ใĀ้เป็นÿัดÿ่üน เช่น แบ่งเป็นÿ่üนระบบเครือข่าย (Network Zone) ÿ่üนเครื่อง คอมพิüเตอร์แม่ข่าย (Server Zone) ÿ่üนเครื่องÿำรองไฟฟ้า (UPS Zone) ÿ่üนแบตเตอรี่เครื่องÿำรองไฟฟ้า (Battery UPS Zone) เป็นต้น เพื่อคüามÿะดüกในการปฏิบัติงานและทำใĀ้การคüบคุมการเข้าถึงอุปกรณ์คอมพิüเตอร์ÿำคัญต่างๆ มี ประÿิทธิภาพมากขึ้น • การป้องกันคüามเÿียĀาย • ระบบป้องกันไฟฟ้าขัดข้อง • ต้องมีระบบป้องกันมิใĀ้คอมพิüเตอร์ได้รับคüามเÿียĀายจากคüามไม่คงที่ของกระแÿไฟฟ้า • ต้องมีระบบÿำรองไฟฟ้าÿำĀรับระบบงานคอมพิüเตอร์ที่ÿำคัญ และระบบเครือข่ายคอมพิüเตอร์ เพื่อใĀ้การดำเนินงาน มีคüามต่อเนื่อง • ระบบคüบคุมอุณĀภูมิและคüามชื้น • ต้องคüบคุมÿภาพแüดล้อมใĀ้มีอุณĀภูมิและคüามชื้นที่เĀมาะÿม โดยคüรตั้งอุณĀภูมิเครื่องปรับอากาýและตั้งค่า คüามชื้นใĀ้เĀมาะÿมกับคุณลักþณะ (Specification) ของระบบคอมพิüเตอร์ เนื่องจากระบบคอมพิüเตอร์อาจทำงานผิดปกติ ภายใต้ÿภาüะอุณĀภูมิĀรือคüามชื้นที่ไม่เĀมาะÿม • ระบบเตือนภัยน้ำรั่ü ในกรณีที่มีการยกระดับพื้นของ Data Center Room เพื่อติดตั้งระบบปรับอากาý รüมทั้งเดิน ÿายไฟและ/Āรือ ÿายเครือข่ายด้านล่าง คüรติดตั้งระบบเตือนภัยน้ำรั่üบริเüณที่มีท่อน้ำเพื่อป้องกันĀรือระงับเĀตุน้ำรั่üได้ทันเüลา Āาก Data Center Room ตั้งอยู่ในÿถานที่ที่มีคüามเÿี่ยงต่อภัยน้ำรั่ü คüรĀมั่นÿังเกตü่ามีน้ำรั่üĀรือไม่อย่างÿม่ำเÿมอ 8. คüามมั่นคงปลอดภัยÿำĀรับการดำเนินงาน (Operations Security) üัตถุประÿงค์ เพื่อใĀ้การปฏิบัติงานกับระบบÿารÿนเทýของบริþัทเป็นไปอย่างถูกต้องและมั่นคงปลอดภัย ป้องกันการÿูญĀายของ ข้อมูล และได้รับการปกป้องจากโปรแกรมไม่ประÿงค์ดี


copyright © 2023 Inventech Systems (Thailand) co., ltd. | All Rights Reserved. แนüทางปฏิบัติ • จัดทำคู่มือĀรือขั้นตอนปฏิบัติงานเกี่ยüกับระบบÿารÿนเทýที่ÿำคัญของบริþัท เพื่อป้องกันคüามผิดพลาดในการ ปฏิบัติงานด้านÿารÿนเทý • กำĀนดใĀ้มีการคüบคุมการเปลี่ยนแปลงÿารÿนเทý เช่น ต้องมีการขออนุมัติจากผู้บังคับบัญชาก่อนดำเนินการ เป็นต้น • ต้องมีการÿำรองข้อมูลÿารÿนเทýก่อนการเปลี่ยนแปลงÿารÿนเทý • คüรติดตั้งระบบเพื่อตรüจÿอบติดตามทรัพยากรของระบบÿารÿนเทý เช่น CPU, Memory, Hard Disk ü่าเพียงพอ Āรือไม่ และนำข้อมูลการตรüจÿอบติดตามมาüางแผนการเพิ่มĀรือลดทรัพยากรในอนาคต • ระบบที่มีคüามÿำคัญÿูง คüรแยกระบบการพัฒนาออกจากระบบการใĀ้บริการจริง เพื่อป้องกันการเปลี่ยนแปลงข้อมูล โดยไม่ได้รับอนุญาต • ต้องÿำรüจข้อมูล จัดระดับคüามÿำคัญ กำĀนดข้อมูลที่ต้องการÿำรองและคüามถี่ในการÿำรองข้อมูล • ข้อมูลที่มีคüามÿำคัญÿูง ต้องจัดใĀ้มีคüามถี่การÿำรองมาก และคüรจัดใĀ้มีการÿำรองข้อมูลภายนอกบริþัท • ต้องทดÿอบÿภาพพร้อมใช้งานระบบÿำรองของระบบÿารÿนเทý อย่างน้อยปีละ 1 ครั้ง • ต้องมีมาตรการป้องกันโปรแกรมไม่ประÿงค์ดี เช่น - เครื่องคอมพิüเตอร์ÿ่üนบุคคลĀรือเครื่องคอมพิüเตอร์แบบพกพาÿ่üนบุคคล ก่อนเชื่อมต่อระบบเครือข่ายของ บริþัท ต้องติดตั้งโปรแกรมป้องกันไüรัÿและอุดช่องโĀü่ของระบบปฏิบัติการและเü็บเบราü์เซอร์ - ผู้ใช้งานต้องทำการ Update ระบบปฏิบัติการและโปรแกรมที่ใช้งาน ที่ได้มีการออก Patch และ/Āรือ Hotfix อย่างÿม่ำเÿมอ โดยÿามารถดาüน์โĀลดจากเü็บไซต์ของเจ้าของผลิตภัณฑ์เพื่อแก้ปัญĀาช่องโĀü่ - ในการรับÿ่งข้อมูลคอมพิüเตอร์ผ่านทางอีเมล จะต้องตรüจÿอบไüรัÿ โดยโปรแกรมป้องกันไüรัÿก่อนการ รับÿ่งข้อมูลทุกครั้ง - ผู้ใช้งานต้องติดตั้งซอฟต์แüร์ที่ทางบริþัทได้จัดเตรียมไü้ใĀ้ Āากต้องการติดตั้งซอฟต์แüร์อื่นนอกเĀนือจากที่ บริþัทเตรียมไü้ใĀ้ ต้องแจ้งÿ่üนเทคโนโลยีÿารÿนเทýเพื่อตรüจÿอบคüามปลอดภัยก่อนการติดตั้ง 9. คüามมั่นคงปลอดภัยÿำĀรับการÿื่อÿารข้อมูล (Communications Security) üัตถุประÿงค์ เพื่อป้องกันข้อมูลÿารÿนเทýในเครือข่ายจากบุคคล ไüรัÿ รüมทั้ง Malicious Code ต่างๆ มิใĀ้เข้าถึงĀรือÿร้างคüาม เÿียĀายแก่ข้อมูลĀรือการทำงานของระบบÿารÿนเทý แนüทางปฏิบัติ • การบริĀารจัดการคüามมั่นคงปลอดภัยของระบบเครือข่าย (Network Security Management) - กำĀนดการคüบคุมการเข้าถึงระบบเครือข่ายใĀ้มีคüามมั่นคงปลอดภัย - ต้องจัดแบ่งเครือข่ายระĀü่างผู้ใช้งานภายในและผู้ใช้ภายนอกที่ติดต่อกับบริþัท • การถ่ายโอนข้อมูล (Information Transfer) - ต้องดำเนินการจัดทำข้อตกลงÿำĀรับการถ่ายโอนข้อมูล (Agreements on Information Transfer) โดย คำนึงถึงคüามมั่นคงปลอดภัยของข้อมูล และผู้ดูแลระบบต้องคüบคุมการปฏิบัติงานนั้นๆ ใĀ้มีคüามปลอดภัยทั้ง 3 ด้าน คือ การ


copyright © 2023 Inventech Systems (Thailand) co., ltd. | All Rights Reserved. รักþาคüามลับ (Confidentiality) การรักþาคüามถูกต้องของข้อมูล (Integrity) และการรักþาคüามพร้อมที่จะใĀ้ บริการ (Availability) - ต้องมีการลงนามในÿัญญาระĀü่างบริþัทและĀน่üยงานภายนอกü่าจะไม่เปิดเผยคüามลับของบริþัท (NonDisclosure Agreement : NDA) 10. การจัดĀา พัฒนา และดูแลระบบÿารÿนเทý (Systems Acquisition, Development and Maintenance) 10.1 คüามต้องการด้านคüามมั่นคงปลอดภัยของระบบ (Security requirements of information systems) 10.2 คüามมั่นคงปลอดภัยÿำĀรับกระบüนการพัฒนาและÿนับÿนุน (Security in development and support processes) 10.3 ข้อมูลÿำĀรับการทดทดÿอบ (Test data) 11. คüามÿัมพันธ์กับผู้ใĀ้บริการภายนอก (Supplier Relationships) 11.1 คüามมั่นคงปลอดภัยÿารÿนเทýกับคüามÿัมพันธ์กับผู้ใĀ้บริการภายนอก (Information security in supplier relate) 11.2 การบริĀารจัดการ การใĀ้บริการโดยผู้ใĀ้บริการภายนอก (Supplier service delivery management) 12. การบริĀารจัดการเĀตุการณ์คüามมั่นคงปลอดภัยÿารÿนเทý (Information Security Incident Management) üัตถุประÿงค์ เพื่อใĀ้มีüิธีการที่ÿอดคล้องกันและได้ผลÿำĀรับการบริĀารจัดการเĀตุการณ์คüามมั่นคงปลอดภัยของระบบÿารÿนเทý รüมถึงการแจ้งÿถานการณ์คüามมั่นคงปลอดภัยของระบบÿารÿนเทý และจุดอ่อนของคüามมั่นคงปลอดภัยของระบบÿารÿนเทý ใĀ้ได้รับทราบ แนüทางปฏิบัติ • ต้องกำĀนดĀน้าที่คüามรับผิดชอบและขั้นตอนปฏิบัติงาน เพื่อรับมือเĀตุการณ์ที่เกี่ยüข้องกับคüามมั่นคงปลอดภัยของ บริþัท • ต้องกำĀนดช่องทางการติดต่อÿื่อÿาร เพื่อรายงานÿถานการณ์คüามมั่นคงปลอดภัยของระบบÿารÿนเทýอย่างชัดเจน • Āากผู้ใช้งานตรüจพบเĀตุอันอาจÿ่งผลต่อคüามมั่นคงปลอดภัยของระบบÿารÿนเทýต้องแจ้งเĀตุการณ์ดังกล่าüต่อÿ่üน เทคโนโลยีÿารÿนเทý • กำĀนดใĀ้มีการรายงานÿถานการณ์คüามมั่นคงปลอดภัยของระบบÿารÿนเทýตามระดับคüามรุนแรงของเĀตุการณ์ Āากÿ่งผลกระทบรุนแรงต่อผู้ใช้งานเป็นจำนüนมาก ต้องประกาýใĀ้ทราบโดยรüดเร็ü • ต้องมีการบันทึกเĀตุการณ์ละเมิดคüามมั่นคงปลอดภัย โดยอย่างน้อยต้องพิจารณาถึงประเภทของเĀตุการณ์ ปริมาณที่ เกิดขึ้น และค่าใช้จ่ายที่เกิดจากคüามเÿียĀาย เพื่อที่จะได้เรียนรู้และเตรียมการป้องกัน • ต้องรüบรüมและจัดเก็บĀลักฐานตามกฎĀรือĀลักเกณฑ์ÿำĀรับอ้างอิงในกระบüนการทางýาล


copyright © 2023 Inventech Systems (Thailand) co., ltd. | All Rights Reserved. 13. ประเด็นด้านคüามมั่นคงปลอดภัยÿารÿนเทýของการบริĀารจัดการเพื่อÿร้างคüามต่อเนื่องทางธุรกิจ (Information Security Aspects of Business Continuity Management) üัตถุประÿงค์ เพื่อเป็นการป้องกันการĀยุดชะงักในการดำเนินงานของบริþัท อันเกิดมาจากüิกฤตĀรือภัยพิบัติ และเป็นการจัดเตรียม ÿภาพคüามพร้อมใช้งานของอุปกรณ์ระบบÿารÿนเทýของบริþัท แนüทางปฏิบัติ • ÿ่üนเทคโนโลยีÿารÿนเทý ต้องมีการจัดทำแผนแก้ไข ปัญĀาจากÿถานการณ์คüามไม่แน่นอนและภัยพิบัติ ที่อาจจะเกิด ขึ้นกับระบบÿารÿนเทý ตามแผนบริĀารภาüะüิกฤต (Crisis Management Plan) ของบริþัท • ต้องดำเนินการตรüจÿอบและประเมินคüามเÿี่ยงด้านระบบÿารÿนเทýที่อาจเกิดขึ้น อย่างน้อยปีละ 1 ครั้ง • ต้องทบทüนแผนเตรียมคüามพร้อมกรณีฉุกเฉิน อย่างน้อยปีละ 1 ครั้ง • ต้องมีการตรüจÿอบÿภาพคüามพร้อมใช้งานของระบบÿารÿนเทýÿำรอง อย่างน้อยปีละ 1 ครั้ง 14. การบริĀารจัดการคüามเÿี่ยง (Risk Management) üัตถุประÿงค์ เพื่อใĀ้ÿอดคล้องกับนโยบายการบริĀารคüามÿี่ยงองค์กร และครอบคลุมในเรื่องดังต่อไปนี้ • การกำĀนดĀน้าที่และคüามรับผิดชอบในการบริĀารและจัดการคüามเÿี่ยงด้านเทคโนโลยีÿารÿนเทý ผู้จัดการÿ่üน เทคโนโลยีมีĀน้าที่รับผิดซอบในการýึกþา จัดĀาüิธีการĀรือแนüทางด้านเทคโนโลยีÿารÿนเทý เพื่อลดคüามเÿี่ยงĀรือจัดการคüาม เÿี่ยงที่มีอยู่ แล้üนำเÿนอใĀ้กับผู้บริĀารเพื่อพิจารณาในการจัดการคüามเÿี่ยงด้านระบบเทคโนโลยีÿารÿนเทý • การระบุคüามเÿี่ยงที่เกี่ยüข้องกับเทคโนโลยีÿารÿนเทý (Information Technology Related Risk) • คüามเÿี่ยงด้านกายภาพและÿภาพแüดล้อม ได้แก่ Ā้องýูนย์กลางข้อมูล (Data Center Room) ซึ่งเป็นที่จัดเก็บติดตั้ง เครื่องคอมพิüเตอร์แม่ข่าย (Server) อุปกรณ์เครือข่ายและอุปกรณ์อื่น ต้องมีการคüบคุมการเข้า-ออกและการใช้งาน การ ตรüจÿอบระบบต่างๆ เช่น ระบบเตือนอุณĀภูมิภายในĀ้อง ระบบเตือนอัคคีภัย เป็นต้น • คüามเÿี่ยงด้านการใช้งานโปรแกรมคอมพิüเตอร์บนเครื่องคอมพิüเตอร์ของบริþัท เพื่อป้องกันการใช้งานการติดตั้ง โปรแกรมที่ไม่ปลอดภัยĀรือไม่ประÿงค์ดี เช่น การดาüน์โĀลดโปรแกรมจากภายนอกมาติดตั้ง ซึ่งอาจมีมัลแüร์ Āรือไüรัÿ คอมพิüเตอร์ Āรือมีช่องโĀü่เชื่อมต่อเครือข่ายภายนอกเข้าโจมตีเครื่องคอมพิüเตอร์ที่ใช้งานĀรือเครื่องอื่นที่อยู่บนเครือข่าย เดียüกัน เป็นต้น • คüามÿี่ยงด้านการใช้งานระบบเครือข่ายคอมพิüเตอร์ของบริþัท ต้องมีตรüจÿอบและเฝ้าระüังการใช้งานเครือข่าย ภายในและระบบอินเทอร์เน็ต โดยมีการจัดทำระบบป้องกันการเข้าถึงและการโจมตีจากภายนอกใĀ้กับเครื่องคอมพิüเตอร์แม่ข่าย (Sever) และเครื่องคอมพิüเตอร์ลูกข่าย (Client) ที่ผู้ปฏิบัติงานใช้งาน เช่น ระบบป้องกันการเข้า-ออกใช้งานผ่านอินเทอร์เน็ต การติดตั้งโปรแกรมป้องกันไüรัÿคอมพิüเตอร์ การกรองข้อมูลรับ-ÿ่งอีเมล เป็นต้น • คüามเÿี่ยงด้านบุคคล ต้องมีการกำĀนดÿิทธิ์การใช้งานเข้าถึงระบบเครื่องคอมพิüเตอร์ อุปกรณ์เครือข่ายต่างๆ และ ข้อมูล ใĀ้เป็นไปตามÿิทธิ์ที่พึงมีเพื่อป้องกันการเข้าแก้ไขĀรือเปลี่ยนแปลงข้อมูล • การประเมินคüามเÿี่ยงที่ครอบคลุมถึงโอกาÿจะเกิดคüามÿี่ยง และผลกระทบที่จะเกิดขึ้น เพื่อจัดลำดับคüามÿำคัญใน การบริĀารจัดการคüามÿี่ยง โดยกำĀนดคüามÿี่ยงไü้ 4 ประเภท ดังนี้


copyright © 2023 Inventech Systems (Thailand) co., ltd. | All Rights Reserved. - คüามเÿี่ยงด้านเทคนิค ที่อาจเกิดขึ้นจากคอมพิüเตอร์และอุปกรณ์ถูกโจมตี - คüามเÿี่ยงจากผู้ปฏิบัติงาน ที่เกิดขึ้นจากการจัดการÿิทธิ์ที่ไม่เĀมาะÿม ทำใĀ้เกิดการเข้าถึงข้อมูลเกินกü่า Āน้าที่และอาจทำใĀ้เกิดคüามเÿียĀายกับข้อมูลÿารÿนเทýด้üย - คüามเÿี่ยงจากภัยและÿถานการณ์ฉุกเฉิน ที่เกิดขึ้นจากภัยพิบัติĀรือธรรมชาติ รüมทั้งÿถานการณ์อื่นๆ เช่น กระแÿ่ไฟฟ้าขัดข้อง การชุมนุมประท้üง เป็นต้น - คüามเÿี่ยงด้านบริĀารจัดการ ที่เกิดขึ้นจากแนüนโยบายที่ใช้งานอยู่อาจไม่ÿอดคล้องกับคüามเÿี่ยงที่อาจ เกิดขึ้น • การกำĀนดüิธีการĀรือเครื่องมือในการบริĀารและจัดการคüามเÿี่ยงใĀ้อยู่ในระดับที่บริþัทยอมรับได้จัดทำตาราง ลักþณะรายละเอียดคüามคüามเÿี่ยง (Description of Risk) โดยมีĀัüเรื่อง ชื่อคüามเÿี่ยง ประเภทคüามเÿี่ยง ลักþณะคüามเÿี่ยง ปัจจัยคüามเÿี่ยง และผลกระทบ เป็นต้น กำĀนดระดับโอกาÿการเกิดเĀตุการณ์และระดับคüามรุนแรงของผลกระทบคüามเÿี่ยง รüมถึงการทำแผนภูมิคüามเÿี่ยง (Risk Map) • กำĀนดตัüชี้üัดระดับคüามเÿี่ยงด้านเทคโนโลยีÿารÿนเทý (Information Technology Risk Indicator) รüมถึงจัดใĀ้ มีการติดตามและรายงานผลตัüชี้üัดต่อผู้ที่มีĀน้าที่รับผิดชอบ เพื่อใĀ้ÿามารถบริĀารและจัดการคüามเÿี่ยงได้อย่างเĀมาะÿมและ ทันต่อเĀตุการณ์ 15. คüามÿอดคล้อง (Compliance) 15.1 คüามÿอดคล้องกับคüามต้องการด้านกฎĀมายและในÿัญญาจ้าง (Compliance with legal and contractual require) 15.2 การทบทüนคüามมั่นคงปลอดภัยÿารÿนเทý (Information security reviews) ประกาý ณ üันที่ 1 มกราคม 2567 (นางÿาüüรัฏ อากาýüิภาต) กรรมการผู้จัดการบริþัท


Click to View FlipBook Version