นโยบายความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศและไซเบอร์

ปัจจุบันมีการขับเคลื่อนด้วยเทคโนโลยี ภัยคุกคามทางไซเบอร์จึงกลายเป็นปัญหาที่ท้าทายและหลีกเลี่ยงได้ยากสำหรับองค์กรทุกขนาด นโยบายความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศและไซเบอร์ (Information Technology and Cyber Security Policy) ที่แข็งแกร่งและมีประสิทธิภาพจึงเป็นเสมือนเกราะป้องกันที่สำคัญ ช่วยปกป้องข้อมูลสำคัญ สร้างความเชื่อมั่นให้กับลูกค้า และเสริมสร้างความมั่นคงให้กับธุรกิจ

บริษัท ส.ขอนแก่นฟู้ดส์ จำกัด (มหาชน) ได้ให้ความสำคัญในการรักษาความมั่นคงปลอดภัย จึงมีการสร้างความรู้และความตระหนักในการใช้งานระบบสารสนเทศอย่างมั่นคงปลอดภัยแก่ผู้ใช้งาน ผู้ปฏิบัติงาน โดยการจัดทำนโยบาย จัดฝึกอบรม และเผยแพร่เอกสารที่เกี่ยวข้องผ่านระบบเว็บไซต์ภายในขององค์กร รวมถึงสื่อสารนโยบายความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศและไซเบอร์ให้ผู้ให้บริการภายนอกทราบในเรื่องที่เกี่ยวข้อง รวมถึงการสรรหาบุคลากร ต้องเป็นไปตามเกณฑ์ที่กำหนดและมีการตรวจสอบคุณสมบัติ (Screening) ของผู้สมัครงานทุกคน รวมทั้งตรวจสอบประวัติอาชญากรรมจากสำนักงานตำรวจแห่งชาติ ตลอดจนจัดทำข้อตกลงและเงื่อนไขการจ้างงาน (Terms and conditions of employment) ให้เป็นไปตามเกณฑ์ที่กำหนด

วัตถุประสงค์ (Objective)

เพื่อให้ระบบสารสนเทศขององค์กรเป็นไปอย่างเหมาะสม มีประสิทธิภาพ มีความมั่นคงปลอดภัยและสามารถดำเนินงานได้อย่างต่อเนื่อง รวมทั้งป้องกันปัญหาที่อาจเกิดจากการใช้งานระบบสารสนเทศในลักษณะที่ไม่ถูกต้องและการถูกคุกคามจากภัยต่าง ๆ องค์กรจึงเห็นสมควรกำหนดนโยบายความมั่นคงปลอดภัยสารสนเทศทางไซเบอร์ (Information Technology and Cyber Security Policy) โดยกำหนดให้มีมาตรฐาน (Standard) ขั้นตอนการปฏิบัติ (Procedure) วิธีการปฏิบัติ (Work Instruction) ให้ครอบคลุมด้านการรักษาความมั่นคงปลอดภัยระบบสารสนเทศและป้องกันภัยคุกคามต่าง ๆ โดยมีวัตถุประสงค์ ดังนี้

ขอบเขต (Scope)

นโยบายความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศและไซเบอร์ (Information Technology and Cyber Security Policy) ฉบับนี้ เป็นการดำเนินการตามมาตรฐานระบบบริหารจัดการความมั่นคงปลอดภัยด้านสารสนเทศ (ISO/IEC 27001) โดยมีผลบังคับใช้กับสารสนเทศขององค์กร ผู้ทำหน้าที่ดูแลสินทรัพย์ ผู้ใช้สินทรัพย์ คณะกรรมการ ผู้บริหาร พนักงานและโครงสร้างพื้นฐานสำคัญทางสารสนเทศที่อยู่ภายใต้การกำกับดูแลขององค์กร โดยมีหน้าที่โดยตรงที่จะต้องสนับสนุน ดำเนินการและปฏิบัติตามนโยบายอย่างเคร่งครัด ผู้ใช้อื่น ๆ ที่เกี่ยวข้องแต่ไม่มีหน้าที่ในการดูแลสินทรัพย์จะต้องให้ความร่วมมือในการดำเนินการตามนโยบายนี้ ผู้ฝ่าฝืนนโยบายนี้ถือว่ามีความผิดและจะต้องได้รับการดำเนินการตามระเบียบขององค์กร

หน้าที่และความรับผิดชอบ (Role and Responsibility)

1. หน้าที่ของผู้บังคับบัญชา

2. หน้าที่ของพนักงาน

คำจำกัดความ (Definitions)

คํานิยามในส่วนนี้เป็นการให้คําจํากัดความสําหรับศัพท์ที่ใช้งานในนโยบายและแนวปฏิบัติในการรักษาความมั่นคง ปลอดภัยด้านเทคโนโลยีสารสนเทศฉบับนี้ เพื่อให้มีความหมายที่ชัดเจนและเข้าใจตรงกัน

  1. “องค์กร (Organization)” หมายถึง บริษัท ส.ขอนแก่นฟู้ดส์ จำกัด (มหาชน) ที่ใช้ระบบสารสนเทศและระบบเครือข่ายและคอมพิวเตอร์
  2. “ผู้บริหารระดับสูงสุดขององค์กร (Chief Executive Officer: CEO)” หมายถึง ผู้บริหารระดับสูงสุดของบริษัท ส.ขอนแก่นฟู้ดส์ จำกัด (มหาชน)
  3. “พนักงาน (Employee)” หมายถึง พนักงานภายในองค์กร
  4. “ผู้บังคับบัญชา” หมายถึง ผู้มีอำนาจสั่งการตามโครงสร้างการบริหารขององค์กร
  5. “ผู้ใช้งาน (User)” หมายถึง คณะกรรมการ ผู้บริหาร พนักงาน ที่ได้รับอนุญาต (Authorized Users) ให้สามารถเข้ามาใช้งาน บริหารหรือดูแล รักษาระบบสารสนเทศขององค์กรตามสิทธิและหน้าที่ความรับผิดชอบ
  6. “สิทธิของผู้ใช้งาน” หมายถึง สิทธิและหน้าที่ตามบทบาท (Role) ที่เกี่ยวข้องกับระบบสารสนเทศขององค์กร
  7. “สิทธิใช้งานทั่วไป” หมายถึง คณะกรรมการ ผู้บริหาร พนักงานทั้งหมดที่ใช้งานระบบสารสนเทศพื้นฐานขององค์กร ผู้ใช้งานต้องขออนุญาตจากผู้จัดการแผนก/หัวหน้างานขึ้นไป โดยให้ใช้แบบฟอร์มเพื่อขออนุมัติตามที่องค์กรกำหนด
  8. “สิทธิพิเศษ” หมายถึง สิทธิที่ได้รับมอบหมายเพิ่มเติมจากผู้บังคับบัญชาเป็นกรณีพิเศษ ผู้ใช้งานต้องได้รับมอบหมายจากผู้บังคับบัญชาเป็นครั้งคราว
  9. “อุปกรณ์สารสนเทศ (Computing Device)” ” หมายถึง อุปกรณ์ที่มีหน่วยประมวลผล หน่วยความจำ ส่วนบันทึกข้อมูล ส่วนการเชื่อมต่อเครือข่าย ส่วนรับข้อมูล และส่วนแสดงผล ได้แก่ คอมพิวเตอร์แบบตั้งโต๊ะ เช่น Desktop Computer เป็นต้น คอมพิวเตอร์แบบพกพา เช่น Notebook เป็นต้น อุปกรณ์ต่อพ่วง เช่น Mouse, Keyboard, Monitor เป็นต้น
  10. “ผู้ให้บริการภายนอก” หมายถึง บุคคลหรือนิติบุคคลผู้ให้บริการภายนอก ซึ่งเป็นผู้ให้บริการด้านเทคโนโลยีสารสนเทศหรือผู้ที่มีการเชื่อมต่อกับระบบเทคโนโลยีสารสนเทศขององค์กร หรือเป็นผู้ที่สามารถเข้าถึงข้อมูลของผู้ใช้บริการและข้อมูลสำคัญขององค์กร
  11. “อุปกรณ์สารสนเทศหรืออุปกรณ์เคลื่อนที่ส่วนตัว (Bring your own device: BYOD)” หมายถึง อุปกรณ์คอมพิวเตอร์ที่มีหน่วยประมวลผล ซึ่งพนักงานเป็นเจ้าของและนำมาใช้ปฏิบัติงานที่เกี่ยวข้องกับบริษัท
  12. “เจ้าของข้อมูล (Data Owner)” หมายถึง ผู้ซึ่งรับผิดชอบข้อมูลขององค์กร ซึ่งรวมถึงผู้บังคับบัญชาของเจ้าของข้อมูลนั้นด้วย โดยเจ้าของข้อมูลเป็นผู้ที่รับผิดชอบข้อมูลนั้น ๆ หรือได้รับผลกระทบโดยตรง หากข้อมูลเหล่านั้นเกิดสูญหาย
  13. “เจ้าของระบบงาน (System Owner)” หมายถึง บุคคลหรือหน่วยงานที่รับผิดชอบหลักในด้านการบริหารจัดการระบบสารสนเทศหนึ่งๆ โดยมีบทบาทสำคัญในการดูแลให้ระบบดังกล่าวดำเนินงานได้อย่างปลอดภัย มีประสิทธิภาพ และสอดคล้องกับนโยบายความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศและไซเบอร์ขององค์กร
  14. “ความมั่นคงปลอดภัยด้านสารสนเทศ (Information Security)” หมายถึง การรักษาความลับ (Confidentiality) ความถูกต้องครบถ้วน (Integrity) และความสมบูรณ์พร้อมใช้ (Availability) ของสารสนเทศ รวมทั้งคุณสมบัติอื่น ได้แก่ ความถูกต้องแท้จริง (Authenticity) ความรับผิดชอบ (Accountability) การห้ามปฏิเสธความรับผิด (Non-Repudiation) และความน่าเชื่อถือ (Reliability)
  15. “ข้อมูล (Data)” หมายถึง สิ่งที่สื่อความหมายให้รู้เรื่องราวข้อเท็จจริง ไม่ว่าการสื่อความหมายนั้นจะทำได้โดยสภาพของสิ่งนั้นเองหรือโดยผ่านวิธีการใด ๆ เช่น สื่อสิ่งพิมพ์, รายงาน, หนังสือ, แผนที่, แผนผัง, ภาพวาด, ภาพถ่าย, CD, DVD, Hard disk, Flash drive, External HDD, การบันทึกโดยอุปกรณ์คอมพิวเตอร์ หรือวิธีอื่นใดที่ทำให้สิ่งที่บันทึกไว้ปรากฏได้
  16. “สารสนเทศ (Information)” หมายถึง ข้อเท็จจริงที่ได้จากข้อมูลนำมาผ่านการประมวลผล การจัดระเบียบข้อมูล ซึ่งอาจอยู่ในรูปของตัวเลข ข้อความหรือภาพกราฟิก ให้เป็นระบบที่ผู้ใช้งานสามารถเข้าใจได้ง่าย และสามารถนำไปใช้ประโยชน์ในการบริหาร การวางแผน การตัดสินใจ และอื่น ๆ
  17. “สื่อสังคมออนไลน์ (Social Media)” หมายถึง สังคมออนไลน์ที่ผู้ใช้อินเทอร์เน็ตสามารถแลกเปลี่ยนประสบการณ์ซึ่งกันและกัน โดยใช้สื่อต่าง ๆ เป็นตัวแทนในการสนทนา ได้แก่ Social Networking เช่น Facebook, LinkedIn, Instagram ฯลฯ, Publish เช่น Wikipedia, Tumblr, Online NEWS ฯลฯ, Pictures & Video Sharing เช่น YouTube, Flickr, Photobucket ฯลฯ, Instant Messaging เช่น Microsoft Team, Line, Skype ฯลฯ
  18. “ระบบเครือข่าย (Network System)” หมายถึง ระบบที่สามารถใช้ในการติดต่อสื่อสารหรือส่งข้อมูลระหว่าง ระบบคอมพิวเตอร์ ได้แก่ ระบบ LAN (Local Area Network) ระบบ WLAN (Wireless LAN) เครือข่าย Internet เป็นต้น
  19. “เครือข่าย Internet” หมายถึง ระบบเครือข่ายคอมพิวเตอร์ที่มีขนาดใหญ่ มีการเชื่อมต่อระหว่างเครือข่ายหลาย ๆ เครือข่ายทั่วโลก
  20. “เครือข่าย Intranet” หมายถึง ระบบเครือข่ายที่สามารถเข้าถึงได้โดยผู้ใช้งานภายในองค์กรเท่านั้น โดยมีจุดประสงค์เพื่อการติดต่อสื่อสารแลกเปลี่ยนข้อมูลและสารสนเทศภายในองค์กร
  21. “ระบบสารสนเทศ (Information System)” หมายถึง ระบบงานที่นำเทคโนโลยีมาช่วยในการสร้างสารสนเทศที่สามารถนำมาใช้ประโยชน์ในการวางแผน การบริหาร การสนับสนุนการดำเนินงาน การพัฒนาและควบคุมการติดต่อสื่อสาร ซึ่งประกอบด้วยเทคโนโลยีคอมพิวเตอร์และเทคโนโลยีการสื่อสารโทรคมนาคม ได้แก่ ระบบคอมพิวเตอร์ (Computer System) ระบบเครือข่าย เป็นต้น
  22. “การเปลี่ยนแปลง (Change Management)” หมายถึง กระบวนควบคุมการแก้ไขเปลี่ยนแปลงระบบงานสารสนเทศ การเพิ่มระบบใหม่ขององค์กร รวมทั้งการเปลี่ยนแปลงบางกระบวนการในระบบงานสารสนเทศ
  23. “การจัดการทรัพยากรระบบ (Capacity Management)” หมายถึง การบริหารจัดการทรัพยากรและการกำหนดค่าขีดความสามารถของพนักงาน แผนการดำเนินงาน และอื่น ๆ
  24. “ช่องโหว่ (Vulnerability)” หมายถึง จุดอ่อนของระบบสารสนเทศที่ทำให้ผู้ไม่ประสงค์ดีเข้าโจมตีระบบ ทำให้ประสิทธิภาพของการทำงานลดลง
  25. “การประเมินความเสี่ยง (Risk Assessment)” หมายถึง กระบวนการในการระบุ วิเคราะห์ และประเมินความเสี่ยงที่อาจส่งผลกระทบต่อทรัพยากรสารสนเทศ ระบบงาน หรือองค์กร โดยมีเป้าหมายเพื่อ ทำความเข้าใจความเสี่ยงที่มีอยู่ และวางแผนการจัดการเพื่อป้องกันหรือบรรเทาผลกระทบจากความเสี่ยงนั้นๆ

1.1 นโยบายความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศและไซเบอร์ (Information Technology and Cyber Security Policy)

วัตถุประสงค์ (Objective)

นโยบายความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศและไซเบอร์ (Information Technology and Cyber Security Policy) ฉบับนี้ จัดทำขึ้นเพื่อกำหนดทิศทาง ประเมินความเสี่ยง รับมือ การจัดทำข้อมูลหรือการนำข้อมูลไปใช้ การปฏิบัติตามกรอบความมั่นคงปลอดภัยสารสนเทศทางไซเบอร์ ต่อการรักษาความลับ (Confidentiality) ความถูกต้องครบถ้วน (Integrity) และความพร้อมใช้ (Availability) ของข้อมูลและระบบงานสารสนเทศและการบริหารจัดการ เพื่อผลักดันให้มีการควบคุมภายในด้านสารสนเทศที่รัดกุมตามแนวความเสี่ยง (Risk Based Approach) และสนับสนุนให้ผู้ใช้งานตระหนักถึงความสำคัญของความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศและไซเบอร์ รวมถึงความสำคัญในการบริหารจัดการความเสี่ยงขององค์กร

ข้อปฏิบัติ (Procedures)

  1. ผู้บริหารสูงสุดเป็นผู้รับผิดชอบความเสี่ยงความเสียหายต่อระบบสารสนเทศขององค์กร ซึ่งเกิดจากการละเลย ละเว้นการควบคุมความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศและไซเบอร์
  2. ต้องจัดให้มีการประเมินความเสี่ยงอย่างน้อยปีละ 1 ครั้ง และทุกครั้งที่มีการเปลี่ยนแปลงอย่างมีนัยสำคัญ โดยการประเมินความเสี่ยงดังกล่าวต้องพิจารณาถึงบริบทภายใน (Internal Context) บริบทภายนอก (External Context) ผู้ที่มีส่วนได้ส่วนเสีย (Interested Party) วิสัยทัศน์ พันธกิจ การเปลี่ยนแปลงของระบบความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศและไซเบอร์ ความเสี่ยง มาตรฐานสากล อย่างมีนัยสำคัญ เป็นต้น
  3. ต้องกำหนดเกณฑ์ความเสี่ยงที่ยอมรับได้และความเสี่ยงที่ยอมรับไม่ได้ เพื่อใช้เป็นแนวทางในการบริหารจัดการความเสี่ยงที่เกิดขึ้นจากการประเมินความเสี่ยง
  4. ต้องจัดให้มีการทบทวนนโยบายอย่างน้อยปีละ 1 ครั้ง หรือเมื่อมีการเปลี่ยนแปลงที่สำคัญ
  5. ต้องสนับสนุนให้มีการอบรมเพื่อสร้างความตระหนักด้านความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศและความมั่นคงปลอดภัยทางไซเบอร์ อย่างน้อยปีละ 1 ครั้ง
  6. ต้องมีการกำหนดแผนการตรวจสอบการปฏิบัติตามนโยบายและแนวปฏิบัติความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศและไซเบอร์โดยผู้ตรวจประเมินภายใน (Internal Audit) และหรือผู้ตรวจสอบจากภายนอก (External Audit) อย่างน้อยปีละ 1 ครั้ง และติดตามผลการประเมินเพื่อปรับปรุงป้องกัน หรือแก้ไขปัญหาที่พบ

1.2 โครงสร้างทางด้านความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศและไซเบอร์สำหรับองค์กร (Organization of Information Technology and Cyber Security)

วัตถุประสงค์ (Objective)

เพื่อจัดทำโครงสร้างภายในองค์กร (Internal Organization) กำหนดบทบาทหน้าที่ ความรับผิดชอบ มาตรการควบคุม กำกับและติดตามการปฏิบัติหน้าที่สำหรับหน่วยงานต่าง ๆ ภายในองค์กรอย่างเหมาะสม

ข้อปฏิบัติ (Procedures)

  1. การกำหนดบทบาทและหน้าที่ความรับผิดชอบ (Roles and Responsibilities)
  2. การแบ่งแยกหน้าที่ความรับผิดชอบ (Segregation of Duties)

1.3 นโยบายการบริหารจัดการสินทรัพย์ (Asset Management Policy)

วัตถุประสงค์ (Objective)

เพื่อให้มีการระบุสินทรัพย์ที่สำคัญขององค์กรและกำหนดหน้าที่ความรับผิดชอบในการปกป้องสินทรัพย์จากภัยคุกคาม ช่องโหว่ ผู้บุกรุก การถูกขโมยหรือถูกโจรกรรมและสิ่งที่สร้างความเสียหายที่อาจเกิดขึ้นอย่างเหมาะสม

ข้อปฏิบัติ

หน้าที่ความรับผิดชอบต่อสินทรัพย์ (Responsibility for Assets)

  1. ต้องทำทะเบียนสินทรัพย์ (Asset List) ที่สำคัญซึ่งรวมถึงทะเบียนสินทรัพย์ทางด้านไอที (IT Asset List) และรายการข้อมูลที่เก็บไว้ในสื่อต่างๆ ขององค์กรและแบ่งประเภทให้ชัดเจน เพื่อใช้ในการกำหนดมูลค่าสินทรัพย์โดยระบุผู้เป็นเจ้าของสินทรัพย์แต่ละชนิด ประเภทตามที่กำหนดไว้และต้องจัดให้มีการดูและ รักษา อัพเดทให้เป็นปัจจุบัน
  2. ตรวจสอบทะเบียนสินทรัพย์ (Asset List) และทะเบียนสินทรัพย์ทางด้านไอที (IT Asset List) ตามระยะเวลาที่กำหนดอย่างน้อยปีละ 1 ครั้ง
  3. อุปกรณ์คอมพิวเตอร์ อุปกรณ์เครือข่าย ซอฟต์แวร์ หรือระบบงานคอมพิวเตอร์ที่องค์กรเช่าใช้งาน ต้องกำหนดให้มีหน่วยงานที่รับผิดชอบจัดทำทะเบียนรายการของอุปกรณ์ ซอฟต์แวร์ หรือระบบงานคอมพิวเตอร์ที่เช่ามาใช้งาน
  4. เมื่อสิ้นสุดการจ้างงาน หมดสัญญาหรือสิ้นสุดข้อตกลง พนักงานหรือหน่วยงานภายนอกที่ใช้สินทรัพย์ขององค์กรต้องคืนสินทรัพย์ขององค์กรทั้งหมดที่ตนเองถือครองให้ครบถ้วน
  5. ต้องมีการประเมินความเสี่ยงการรักษาความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศและไซเบอร์ของระบบที่สำคัญ อย่างน้อยปีละ 1 ครั้ง

1.4 นโยบายการควบคุมการเข้าถึง (Access Control Policy)

วัตถุประสงค์ (Objective)

เพื่อบริหารจัดการสิทธิ การระบุตัวตน การกำหนดระยะเวลาและควบคุมการเข้าถึงระบบสารสนเทศเฉพาะผู้ที่ได้รับอนุญาต ป้องกันการเปิดเผยหรือการเข้าถึงระบบและอุปกรณ์ระบบสารสนเทศโดยไม่ได้รับอนุญาต ซึ่งกำหนดแนวทางและนโยบายการปฏิบัติงานประกอบด้วย

  • นโยบายการควบคุมการเข้าถึงและการใช้งานระบบสารสนเทศ (Information System Access Control Policy)
  • นโยบายการควบคุมการเข้าถึงระบบปฏิบัติการ (Operating System Access Control Policy)
  • นโยบายการควบคุมการเข้าถึงโปรแกรมประยุกต์หรือแอปพลิเคชันและสารสนเทศ (Application and Information Access Control Policy)

1.4.1 นโยบายการควบคุมการเข้าถึงและการใช้งานระบบสารสนเทศ (Information System Access Control Policy)

วัตถุประสงค์ (Objective)

นโยบายการควบคุมการเข้าถึงและการใช้งานระบบสารสนเทศนี้จัดทำขึ้นเพื่อ

  • กำหนดกฎเกณฑ์และควบคุมการเข้าถึงข้อมูลและการใช้งานระบบสารสนเทศขององค์กร
  • ปกป้องข้อมูลและสารสนเทศจากการเข้าถึงโดยผู้ที่ไม่ได้รับอนุญาต

ข้อปฏิบัติ (Procedure)

  1. กำหนดการควบคุมการเข้าถึงและใช้งานระบบสารสนเทศ (Information System Access And Usage Control)
  2. บริหารสิทธิในการใช้งานระบบ (System Access Management)
  3. บริหารจัดการการเข้าถึงของผู้ใช้งาน (User Access Management)
  4. กำหนดหน้าที่ความรับผิดชอบของผู้ใช้งาน (User Responsibilities)

1.4.2 นโยบายการควบคุมการเข้าถึงระบบปฏิบัติการ (Operating System Access Control Policy)

วัตถุประสงค์ (Objective)

เพื่อรักษาความมั่นคงปลอดภัยและป้องกันการเข้าถึงระบบปฏิบัติการโดยไม่ได้รับอนุญาต

ข้อปฏิบัติ (Procedures)

  1. กำหนดการควบคุมการเข้าถึงระบบปฏิบัติการขององค์กร
  2. ระบุและยืนยันตัวตนของผู้ใช้งาน (User Identification and Authentication)
  3. การใช้งานโปรแกรมอรรถประโยชน์ (Use of System Utilities)
  4. การกำหนดเวลาในการใช้งานระบบ (Usage time management)

1.4.3 นโยบายการควบคุมการเข้าถึงโปรแกรมประยุกต์หรือแอปพลิเคชันและสารสนเทศ (Application and Information Access Control Policy)

วัตถุประสงค์ (Objective)

เพื่อกำหนดกฎเกณฑ์ควบคุมการเข้าถึงโปรแกรมประยุกต์หรือแอปพลิเคชันและสารสนเทศขององค์กรโดยผู้ที่ไม่ได้รับอนุญาต

ข้อปฏิบัติ (Procedures)

  1. การควบคุมการเข้าถึงโปรแกรมประยุกต์หรือแอปพลิเคชันและสารสนเทศขององค์กร โดยจำกัดหรือควบคุมการเข้าถึงหรือเข้าใช้งานของผู้ใช้งานในการเข้าถึงสารสนเทศและฟังก์ชัน (Functions) ต่าง ๆ ของโปรแกรมประยุกต์หรือแอพพลิเคชั่น

1.5 นโยบายการจัดการผู้ให้บริการภายนอก (Third Party Management Policy)

วัตถุประสงค์ (Objective)

การใช้บริการจากผู้ให้บริการภายนอก อาจก่อให้เกิดความเสี่ยง ได้แก่ ความเสี่ยงต่อการเข้าถึงข้อมูล ความเสี่ยงต่อการถูกแก้ไขข้อมูลอย่างไม่ถูกต้องและการประมวลผลของระบบงานโดยไม่ได้รับอนุญาต การเกิดภัยคุกคามทางไซเบอร์ เป็นต้น จึงจำเป็นต้องมีการควบคุมผู้ให้บริการภายนอกที่มีการเข้าใช้งานระบบสารสนเทศและการสื่อสารขององค์กรให้เป็นไปอย่างมั่นคงปลอดภัยและกำหนดแนวทางการคัดเลือก ควบคุมการปฏิบัติงานและการประเมินสมรรถนะหรือประสิทธิภาพในการให้บริการของผู้ให้บริการภายนอก

ข้อปฏิบัติ (Procedures)

  1. นโยบายความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศและไซเบอร์ (Information Technology and Cyber Security Policy) ด้านความสัมพันธ์กับผู้ให้บริการภายนอก ต้องมีการระบุความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศและไซเบอร์ที่เกี่ยวข้องกับผู้ให้บริการภายนอก โดยผู้ที่เกี่ยวข้องต้องพิจารณาหรือประเมินความเสี่ยงที่อาจเกิดขึ้น กำหนดแนวทางป้องกันเพื่อลดความเสี่ยงนั้นก่อนที่จะอนุญาตให้ผู้ให้บริการภายนอกหรือบุคคลภายนอกเข้าถึงระบบสารสนเทศหรือใช้ข้อมูลสารสนเทศขององค์กร
  2. การควบคุมการเข้าใช้งานของผู้ให้บริการภายนอก (Third Party) ต้องประเมินความเสี่ยงจากการเข้าถึงระบบสารสนเทศหรืออุปกรณ์ที่ใช้ในการประมวลผลและมีมาตรการรองรับหรือแก้ไขที่เหมาะสมก่อนที่จะอนุญาตให้เข้าถึงระบบได้ และผู้ให้บริการภายนอก (Third Party) ที่ต้องการสิทธิในการเข้าถึงแหล่งข้อมูลขององค์กรจะต้องทำเรื่องขออนุมัติจากผู้บังคับบัญชา ผู้จัดการหรือหัวหน้างานเจ้าของข้อมูลตามที่กำหนด ซึ่งเป็นผู้รับผิดชอบต่อการกระทำทั้งหมดของบุคคลดังกล่าวเป็นลายลักษณ์อักษร ระยะเวลาในการใช้
  3. การคัดเลือกผู้ให้บริการภายนอก ต้องปฏิบัติตามขั้นตอนการดำเนินงานการบริหารจัดการการใช้บริการผู้ให้บริการภายนอก (Supply Chain Management Procedure) และเอกสารที่เกี่ยวข้อง
  4. การระบุความมั่นคงปลอดภัยในข้อตกลงการให้บริการของผู้ให้บริการภายนอก ต้องมีการระบุความต้องการด้านความมั่นคงปลอดภัยสารสนเทศกับผู้ให้บริการที่เกี่ยวกับการเข้าถึง การประมวลผล การจัดเก็บ การสื่อสาร และการให้บริการสารสนเทศขององค์กร
  5. การบริหารจัดการการให้บริการโดยผู้ให้บริการภายนอก (Third Party Service Delivery Management) ต้องมีการติดตาม ทบทวน และตรวจประเมินการให้บริการของผู้ให้บริการภายนอกอย่างสม่ำเสมอ หรืออย่างน้อย 1 ครั้ง/ปี เพื่อให้มั่นใจว่าการดำเนินการเป็นไปตามที่กำหนดไว้ กรณีมีการเปลี่ยนแปลงต่อการให้บริการของผู้ให้บริการภายนอก ผู้ให้บริการจากภายนอกต้องแจ้งให้องค์กรรับทราบและอนุมัติการเปลี่ยนแปลงนั้น ๆ ก่อนการดำเนินงานและต้องประเมินความเสี่ยงด้วย

1.6 นโยบายการบริหารจัดการเหตุการณ์ความมั่นคงปลอดภัยสารสนเทศ (Information Security Incident Management Policy)

วัตถุประสงค์ (Objective)

เพื่อให้เหตุการณ์ที่เกี่ยวข้องกับความมั่นคงปลอดภัยต่อระบบสารสนเทศและภัยคุกคามทางไซเบอร์ขององค์กร ได้รับการดำเนินการที่ถูกต้องในช่วงระยะเวลาที่กำหนดหรือเหมาะสม รวมทั้งมีวิธีการจัดการสอดคล้องและสำหรับการบริหารจัดการเหตุการณ์ด้านความมั่นคงปลอดภัยขององค์กร

ข้อปฏิบัติ (Procedures)

  1. กำหนดหน้าที่ความรับผิดชอบการบริหารจัดการเหตุการณ์ความมั่นคงปลอดภัยสารสนเทศทางไซเบอร์อย่างชัดเจน รวมถึงรายละเอียดการติดต่อผู้ที่เกี่ยวข้อง
  2. กำหนดขั้นตอนปฏิบัติเพื่อรับมือเหตุละเมิดด้านความมั่นคงปลอดภัยทางไซเบอร์ขององค์กร โดยจำแนกสถานการณ์ เกณฑ์ ขั้นตอนในการเรียกใช้งาน การตอบสนองต่อเหตุการณ์ เพื่อจำกัดขอบเขตผลกระทบของเหตุการณ์และการเรียกใช้งานกระบวนการกู้คืน (Disaster Recovery Plan: DRP) และกำหนดกระบวนการทบทวนหลังแก้ไขเหตุการณ์ความมั่นคงปลอดภัย เพื่อป้องกันการเกิดปัญหาซ้ำ
  3. ต้องทบทวนแผนการรับมือภัยคุกคามทางไซเบอร์ อย่างน้อยปีละ 1 ครั้ง โดยนับแต่วันที่แผนได้รับการอนุมัติหรือเมื่อมีการเปลี่ยนแปลงอย่างมีนัยสำคัญ และรายงานเหตุการณ์ความมั่นคงปลอดภัยสารสนเทศทางไซเบอร์ให้ผู้บริหารรับทราบ

1.7 นโยบายการบริหารจัดการความต่อเนื่องทางธุรกิจ (Business Continuity Management Policy)

วัตถุประสงค์ (Objective)

เพื่อเป็นแนวทางในการบริหารจัดการความต่อเนื่องในการดำเนินงานขององค์กร เมื่ออยู่ภายใต้สภาวะวิกฤตและเหตุฉุกเฉินต่าง ๆ และทำให้มั่นใจได้ว่า ขั้นตอนการดำเนินงานและระบบสารสนเทศต่าง ๆ ขององค์กรที่สำคัญมีการจัดทำแผนบริหารความต่อเนื่องทางธุรกิจ (Business Continuity Plan หรือ BCP) และแผนกู้คืนระบบเทคโนโลยีสารสนเทศ (Disaster Recovery Plan หรือ DRP) อย่างเหมาะสม

ข้อปฏิบัติ (Procedures)

  1. กำหนดขั้นตอนเตรียมการของแผนรองรับเหตุการณ์ฉุกเฉิน
  2. จัดทำ/ระบุขั้นตอนการปฏิบัติงานสำหรับฟื้นฟูเหตุการณ์ให้กลับสู่ภาวะปกติ การควบคุมการติดตั้ง การตั้งค่าและทดสอบระบบที่ถูกกู้คืนมาหรือทดแทนใหม่ การรายงานสรุปความเสียหายต่อผู้บังคับบัญชา
  3. ประชาสัมพันธ์และฝึกอบรมให้แก่ผู้เกี่ยวข้อง รวมทั้งทดสอบ ปรับปรุง และสอบทานแผนฉุกเฉิน
  4. ควบคุมหรือกำกับให้มีการติดตั้งระบบสารสนเทศสำรอง หรืออุปกรณ์สำรอง หรือระบบสำหรับสนับสนุนการให้บริการที่เพียงพอ เพื่อก่อให้เกิดความต่อเนื่องทางธุรกิจที่เหมาะสม

1.8 นโยบายการปฏิบัติตามข้อกำหนดทางกฎหมาย (Compliance with Legal Requirements Policy)

วัตถุประสงค์ (Objective)

เพื่อป้องกันการละเมิดตามกฎหมายที่เกี่ยวข้องกับการปฏิบัติงาน ระเบียบ ข้อบังคับ เงื่อนไขในสัญญาและข้อกำหนดทางด้านความมั่นคงปลอดภัยอื่น ๆ เพื่อเป็นแนวทางในการปฏิบัติงานขององค์กร พนักงานและผู้เกี่ยวข้องอื่น ๆ ให้สอดคล้องกับมาตรฐาน ข้อกำหนดของกฎหมายตลอดจนนโยบายความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศและไซเบอร์ ซึ่งพนักงานและผู้เกี่ยวข้องอื่น ๆ มีหน้าที่ต้องทำความเข้าใจ ปฏิบัติตามนโยบาย กฎระเบียบ ข้อบังคับ กฎหมายหรือสัญญาที่เกี่ยวข้อง ทั้งนี้รวมถึง

  • พ.ร.บ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ.2560
  • พ.ร.บ.ธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ.2544
  • พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ.2562
  • พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562

ข้อปฏิบัติ (Procedures)

  1. ระบุข้อกำหนดต่าง ๆ ที่มีผลทางกฎหมาย (Identification of Applicable Legislation)
  2. ปฏิบัติตามข้อกำหนดทางลิขสิทธิ์ในการใช้งานทรัพย์สินทางปัญญา
  3. ป้องกันข้อมูลสำคัญขององค์กร (Protection of Organizational Records)
  4. เก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์
  5. การป้องกันข้อมูลส่วนบุคคลและการเข้ารหัส (Personal data protection and encryption)
  6. การป้องกันการใช้งานอุปกรณ์สารสนเทศผิดวัตถุประสงค์ (Prevention of Misuse of Information Processing Facilities)
  7. การลงโทษทางวินัย
    1. ตักเตือนด้วยวาจา
    2. ตักเตือนเป็นลายลักษณ์อักษร
    3. พักงานชั่วคราวโดยไม่ได้รับค่าจ้าง
    4. พ้นสภาพความเป็นพนักงาน
    5. การดำเนินการทางกฎหมายอาญาหรือแพ่ง

กรณีการลงโทษพนักงาน บริษัทไม่จำเป็นต้องปฏิบัติตามลำดับดังกล่าวข้างต้น ซึ่งบริษัทอาจเลือกลงโทษได้โดยพิจารณาตามความรุนแรงของความผิดที่กระทำ

2.1 นโยบายความมั่นคงปลอดภัยที่เกี่ยวข้องกับทรัพยากรบุคคล (Human Resource Security Policy)

วัตถุประสงค์ (Objective)

เพื่อให้องค์กรมีการกำหนดกระบวนการสำหรับการคัดเลือก/สรรหาบุคลากร ฝึกอบรมและควบคุมการปฏิบัติงานของบุคลากรในองค์กรตลอดระยะเวลาการจ้างงานและเพื่อให้เข้าใจถึงหน้าที่ความรับผิดชอบของตนในการรักษาความมั่นคงปลอดภัยของข้อมูลและระบบสารสนเทศขององค์กร

ข้อปฏิบัติ (Procedures)

  1. ก่อนการจ้างงาน (Pre-employment)
    • องค์กรต้องกำหนดหน้าที่ความรับผิดชอบเกี่ยวกับความมั่นคงปลอดภัยด้านสารสนเทศในคุณสมบัติของบุคลากรตามหน้าที่งาน
    • กลุ่มงานบริหารทรัพยากรมนุษย์และองค์กร ต้องตรวจสอบคุณสมบัติของผู้สมัครงานทุกคนก่อนการจ้างงานและตกลงเป็นบุคลากรขององค์กร โดยจะต้องมีการตรวจสอบประวัติอาชญากรรม หรืออื่น ๆ ตามเงื่อนไขที่เกี่ยวข้อง
    • กำหนดเงื่อนไขการจ้างงาน (Terms and Conditions of Employment)
    • คณะกรรมการ ผู้บริหาร และพนักงานใหม่ทุกคนที่เข้ามาปฏิบัติงานในองค์กร ต้องมีการลงนามรับทราบและยินยอมปฏิบัติตามสัญญาการรักษาข้อมูลที่เป็นความลับขององค์กรและเอกสารอื่น ๆ ที่เกี่ยวข้องก่อนอนุญาตให้เริ่มงานหรือเข้าถึงและใช้งานข้อมูลสารสนเทศขององค์กร
  2. ระหว่างการจ้างงาน (During employment)
    • ให้ความรู้และการอบรมด้านความมั่นคงปลอดภัยให้แก่พนักงาน (Information Security Education and Training)
    • กำหนดกระบวนการทางวินัยเพื่อลงโทษ (Disciplinary Process)
  3. การเปลี่ยนตำแหน่งหรือการสิ้นสุดการจ้างงาน (Job transfer or termination)
    • ฝ่ายที่รับผิดชอบ ต้องดำเนินการเปลี่ยนแปลง/เพิกถอน/ยกเลิก/ระงับสิทธิของผู้ใช้งานที่เกี่ยวกับการใช้งานระบบสารสนเทศเพื่อให้สอดคล้องกับการเปลี่ยนแปลงสถานะของการว่าจ้างโดยต้องเก็บข้อมูลให้สามารถตรวจสอบประวัติการเปลี่ยนแปลงสิทธิในระบบสารสนเทศที่เกิดขึ้นเหล่านั้นได้

2.2 นโยบายการควบคุมอุปกรณ์สารสนเทศและการปฏิบัติงานจากภายนอก (Computing Device and Teleworking Policy)

วัตถุประสงค์ (Objective)

เพื่อเป็นแนวทางการควบคุมอุปกรณ์สารสนเทศและการปฏิบัติงานจากที่พักหรือนอกองค์กร (Work from home) ให้เป็นไปตามนโยบายความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศและไซเบอร์ (Information Technology and Cyber Security Policy)

ข้อปฏิบัติ (Procedures)

  1. กำหนดขั้นตอนการนำอุปกรณ์สารสนเทศและอุปกรณ์เคลื่อนที่หรือการใช้งานอุปกรณ์ BYOD ในการปฏิบัติงาน (Computing Device and Mobile Device or Bring Your Own Device) มาใช้งานในองค์กร
  2. กำหนดการปฏิบัติงานจากภายนอกองค์กร (Teleworking)
    • ควบคุมการเข้าถึงการปฏิบัติงานภายนอกองค์กร (External Operations Access Control) ในกรณีที่ผู้ให้บริการภายนอก (Third Party) มีการ Remote Access เพื่อปฏิบัติงานชั่วคราว หน่วยงานหรือผู้ที่รับผิดชอบต้องปฏิบัติโดยควบคุมและตรวจสอบการใช้งาน หรือการเข้าถึงระบบตามสิทธิที่ได้รับอย่างเคร่งครัด และการเชื่อมต่อจากภายนอกองค์กรจะต้องได้รับการอนุมัติและเชื่อมต่อผ่านระบบ Virtual Private Network (VPN) ที่องค์กรจัดหาให้เท่านั้น

3.1 นโยบายความมั่นคงปลอดภัยทางด้านกายภาพและสิ่งแวดล้อม (Physical and Environmental Security Policy)

วัตถุประสงค์ (Objective)

เพื่อกำหนดเป็นมาตรการควบคุมและป้องกันการเข้าใช้งานหรือการเข้าถึงอาคาร สถานที่ พื้นที่ใช้งานระบบสารสนเทศ โดยพิจารณาตามความสำคัญของอุปกรณ์ระบบสารสนเทศ ข้อมูลซึ่งเป็นสินทรัพย์ที่มีค่าและจำเป็นต้องรักษาความลับ โดยมาตรการนี้จะมีผลบังคับกับผู้ใช้งานและผู้ให้บริการภายนอก

ข้อปฏิบัติ (Procedures)

  1. กำหนดมาตรฐานในการกำหนดบริเวณที่ต้องมีความมั่นคงปลอดภัยด้านสารสนเทศ (Secure Area)
  2. กำหนดการควบคุมการเข้าออก (Physical Entry Controls)
  3. กำหนดความมั่นคงปลอดภัยด้านสารสนเทศสำหรับองค์กร ห้องทำงานและเครื่องมือต่าง ๆ (Securing Offices, Rooms and Facilities)
    • การปฏิบัติงานในพื้นที่ขององค์กร (On-Site Operations)
    • กำหนดข้อปฏิบัติสำหรับผู้ติดต่อจากหน่วยงานภายนอก/บุคคลภายนอก
    • กำหนดพื้นที่ที่ต้องการความมั่นคงปลอดภัย (Working in Secure Areas)
    • กำหนดความปลอดภัยของโต๊ะทำงานและการป้องกันหน้าจอคอมพิวเตอร์ (Clear Desk Clear Screen)
    • กำหนดความปลอดภัยของอุปกรณ์ (Equipment Security)

4.1 การบริหารจัดการด้านการดำเนินงาน (Operations Management)

วัตถุประสงค์

เพื่อให้การดำเนินงานที่เกี่ยวข้องกับอุปกรณ์และระบบประมวลผลสารสนเทศเป็นไปอย่างถูกต้องและปลอดภัยและมีประสิทธิภาพ ซึ่งประกอบด้วยนโยบาย 3 เรื่อง ดังนี้

  • นโยบายการเฝ้าระวังทางด้านความมั่นคงปลอดภัย (Security Monitoring Policy)
  • นโยบายการใช้งานระบบป้องกันไวรัสสำหรับเครื่องคอมพิวเตอร์ (Corporate Antivirus for Computer Policy)
  • นโยบายการสำรองข้อมูล (Backup Policy)

4.1.1 นโยบายการเฝ้าระวังทางด้านความมั่นคงปลอดภัย (Security Monitoring Policy)

วัตถุประสงค์ (Objective)

เพื่อเฝ้าระวังกิจกรรมทางด้านความมั่นคงปลอดภัย

ข้อปฏิบัติ (Procedures)

  1. การบันทึกเหตุการณ์ที่เกี่ยวข้องกับการใช้งานสารสนเทศ (Audit Logging)
  2. การตรวจสอบการใช้งานระบบ (Monitoring System Use) เป็นกระบวนการที่สำคัญในการรักษาความปลอดภัยและประสิทธิภาพของระบบสารสนเทศ ซึ่งรวมถึงการติดตามกิจกรรมและสถานะของระบบเพื่อให้สามารถตรวจจับปัญหาและตอบสนองได้อย่างรวดเร็ว
  3. การป้องกันข้อมูลบันทึกเหตุการณ์ (Protection of Log Information)เพื่อป้องกันการเปลี่ยนแปลงหรือการแก้ไขโดยไม่ได้รับอนุญาต
  4. บันทึกกิจกรรมการดำเนินงานของผู้ดูแลระบบ (Administrator and Operator Logs)
  5. การบันทึกเหตุการณ์ข้อผิดพลาด (Fault Logging) เป็นกระบวนการจัดการกับปัญหาที่เกิดขึ้นในระบบหรือซอฟต์แวร์ การบันทึกเหตุการณ์ข้อมูลข้อผิดพลาดต่าง ๆ ช่วยให้สามารถวิเคราะห์และแก้ไขปัญหาได้อย่างรวดเร็วและมีประสิทธิภาพ โดยการบันทึกเหตุการณ์ข้อผิดพลาดควรรวมถึงข้อมูลสำคัญหลายประการ
  6. การบริหารจัดการช่องโหว่ (Vulnerability Assessment) มีความสำคัญต่อการรักษาความปลอดภัยของระบบและข้อมูล
  7. การทดสอบเจาะระบบ (Penetration Testing) ควรพิจารณาดำเนินการทดสอบเจาะระบบอย่างน้อยปีละ 1 ครั้ง ก่อนที่จะมีการทดสอบระบบใหม่หรือมีการเปลี่ยนแปลงระบบที่สำคัญ (ตามความจำเป็น)
  8. การรตั้งเวลาของเครื่องคอมพิวเตอร์ให้ตรงกัน (Clock Synchronization) เป็นกระบวนการที่ให้เวลาของเครื่องคอมพิวเตอร์ทุกเครื่องในเครือข่ายตรงกันอย่างแม่นยำ ช่วยให้ระบบที่ทำงานร่วมกันสามารถทำงานได้อย่างถูกต้องและประสานงานกันได้ดี นอกจากนี้ยังเป็นสิ่งสำคัญสำหรับการรักษาความปลอดภัย การบันทึกเหตุการณ์ (logging) และการทำงานของระบบที่เกี่ยวข้องกับเวลา

4.1.2 นโยบายการใช้งานระบบป้องกันไวรัสสำหรับเครื่องคอมพิวเตอร์ (Corporate Antivirus for Computer Policy)

วัตถุประสงค์ (Objective)

นโยบายฉบับนี้จัดทำขึ้นเพื่อให้เกิดความมั่นคงปลอดภัยของระบบสารสนเทศขององค์กร ซึ่งช่วยลดภาวะเสี่ยงของปัญหาที่อาจเกิดขึ้นกับระบบสารสนเทศทั้งในส่วนของอุปกรณ์และระบบฐานข้อมูลขององค์กร ทำให้สามารถดำเนินงานได้อย่างต่อเนื่อง ไม่เกิดการหยุดชะงัก

ข้อปฏิบัติ (Procedures)

  1. แนวทางปฏิบัติการใช้งานระบบป้องกันไวรัส (Corporate Antivirus) กำหนดการใช้อุปการณ์สารสนเทศและจัดการซอฟต์แวร์ป้องกันไวรัสขององค์กร เพื่อให้มั่นใจว่ามีการป้องกันที่มีประสิทธิภาพและลดความเสี่ยงจากการติดไวรัส มัลแวร์ต่าง ๆ

4.1.3 นโยบายการสำรองข้อมูล (Backup Policy)

วัตถุประสงค์ (Objective)

เพื่อเป็นแนวทางปฏิบัติในการสำรองข้อมูลและป้องกันการสูญหายของข้อมูล

ข้อปฏิบัติ (Procedures)

  1. กำหนดการสำรองข้อมูลจากเครื่องคอมพิวเตอร์ขององค์กร
  2. เก็บสำรองข้อมูลและสารสนเทศขององค์กร โดยต้องสำรองข้อมูลก่อนที่จะมีการปรับปรุงหรือเปลี่ยนแปลงระบบ และกำหนดความถี่ในการสำรองข้อมูลอย่างน้อยสัปดาห์ละ 1 ครั้ง และดำเนินการทดสอบการกู้คืนอย่างน้อยปีละ 1 ครั้ง โดยให้เป็นไปตามเอกสารขั้นตอนการปฏิบัติงานการสำรอง/ทดสอบกู้คืนข้อมูล
  3. ข้อมูลและสารสนเทศที่สำคัญทั้งหมดขององค์กร ต้องมีระบบประมวลผลสำรอง ระบบเครือข่ายสำรอง เพื่อป้องกันการพึ่งพาระบบหลักเพียงระบบเดียว ในกรณีที่ระบบหนึ่งไม่สามารถทำงานได้ สามารถใช้งานอีกระบบหนึ่งได้ทันทีเพื่อให้การดำเนินงานขององค์กรดำเนินต่อไปได้อย่างต่อเนื่อง

4.2 นโยบายการบริหารจัดการการเปลี่ยนแปลง (Change Management Policy)

วัตถุประสงค์ (Objective)

เพื่อควบคุมการเปลี่ยนแปลงระบบสารสนเทศองค์กร เพื่อให้มั่นใจว่าการเปลี่ยนแปลงปรับปรุง แก้ไขระบบสารสนเทศและบริการได้รับการควบคุมตลอดระยะเวลาที่มีการเปลี่ยนแปลงรวมถึงลดความเสี่ยงที่อาจเกิดความเสียหายจากการเปลี่ยนแปลง ปรับปรุง หรือแก้ไขระบบสารสนเทศและบริการ

ข้อปฏิบัติ (Procedures)

  1. ต้องกำหนดวิธีการและกระบวนการในการจัดการการเปลี่ยนแปลงในระบบ, ซอฟต์แวร์, ฮาร์ดแวร์, และกระบวนการทำงานขององค์กร เพื่อให้การเปลี่ยนแปลงดำเนินไปอย่างมีระเบียบและมีการควบคุมอย่างเหมาะสม แนวปฏิบัติที่ดีในการจัดการการเปลี่ยนแปลง ดังนี้
    • ผู้ที่ร้องขอการเปลี่ยนแปลงและหน่วยงานที่เกี่ยวข้องต้องปฏิบัติตามเอกสารขั้นตอนการปฏิบัติการจัดการการเปลี่ยนแปลง (Change Management Procedure)
    • การดำเนินการเปลี่ยนแปลงต้องดำเนินการประเมินความเสี่ยง โดยพิจารณาถึงผลกระทบทุกด้านตามเกณฑ์การประเมินความเสี่ยงขององค์กรรวมถึงด้านความมั่นคงปลอดภัย ระบุประเภทการเปลี่ยนแปลง กำหนดขั้นตอนการย้อนกลับ (Rollback step) กรณีดำเนินการเปลี่ยนแปลงไม่สำเร็จ ทำการทดสอบเบื้องต้น (กรณีจำเป็น) แจ้งผู้ที่อาจได้รับผลกระทบจากการเปลี่ยนแปลง และขออนุมัติการเปลี่ยนแปลงก่อนดำเนินการทุกครั้ง ตามเอกสารขั้นตอนการปฏิบัติการจัดการการเปลี่ยนแปลง (Change Management Procedure)

4.3 นโยบายการบริหารจัดการทรัพยากรระบบ (Capacity Management Policy)

วัตถุประสงค์

เพื่อกำหนดแนวทางและขั้นตอนในการจัดการทรัพยากรระบบไอทีขององค์กร เพื่อให้มั่นใจว่าระบบสามารถรองรับการใช้งานได้อย่างมีประสิทธิภาพและตอบสนองต่อความต้องการทางธุรกิจได้อย่างเหมาะสม และเพียงพอต่อผู้ใช้งานทั้งในปัจจุบันและอนาคต

ข้อปฏิบัติ

  1. ต้องดำเนินการวิเคราะห์แนวโน้มการใช้งานทรัพยากรเพื่อตรวจสอบว่าจะใช้ทรัพยากรอย่างมีประสิทธิภาพและเพื่อคาดการณ์ความต้องการในอนาคต
  2. ต้องประเมินงบประมาณที่ต้องใช้ในการปรับปรุง หรือพัฒนาระบบหรืออื่น ๆ ขององค์กร
  3. ต้องวางแผนและจัดทำแผนการจัดการทรัพยากรและนำเสนอผู้บริหาร เพื่อพิจารณาอนุมัติ
  4. จัดสรรทรัพยากรให้เหมาะสมกับความต้องการของแต่ละหน่วยงานหรือโปรเจกต์เพื่อให้แน่ใจว่ามีการใช้งานทรัพยากรอย่างมีประสิทธิภาพ คาดการณ์ความต้องการในอนาคต โดยใช้ข้อมูลจากการวิเคราะห์แนวโน้มและการติดตามการใช้งาน
  5. วางแผนสำหรับการขยายหรือเพิ่มขนาดของทรัพยากรเมื่อจำเป็น เช่น การเพิ่มเซิร์ฟเวอร์หรือพื้นที่จัดเก็บข้อมูล
  6. ดำเนินการบำรุงรักษาทรัพยากรระบบอย่างสม่ำเสมอ เช่น การปรับปรุง, การซ่อมแซมและการเปลี่ยนชิ้นส่วนที่เสื่อมสภาพ
  7. ระบุและจัดการความเสี่ยงที่เกี่ยวข้องกับการจัดการทรัพยากร เช่น ความล้มเหลวของฮาร์ดแวร์หรือปัญหาประสิทธิภาพ เป็นต้น
  8. เมื่อมีการเปลี่ยนแปลงในทรัพยากรระบบ ต้องดำเนินการตามกระบวนการจัดการการเปลี่ยนแปลงเพื่อให้มั่นใจว่าการเปลี่ยนแปลงจะไม่ส่งผลกระทบต่อการดำเนินงาน
  9. จัดทำรายงานเกี่ยวกับการใช้ทรัพยากร, ประสิทธิภาพ, และปัญหาที่เกิดขึ้นเป็นประจำเดือนหรือประจำไตรมาส
  10. ทบทวนการจัดการทรัพยากรระบบและปรับปรุงนโยบายหรือกระบวนการตามผลการรายงานและความต้องการที่เปลี่ยนแปลง

4.4 การบริหารจัดการด้านการสื่อสาร (Communication Management)

วัตถุประสงค์ (Objective)

เพื่อกำหนดมาตรการควบคุมการบริหารจัดการเครือข่ายและการส่งข้อมูลผ่านระบบเครือข่ายคอมพิวเตอร์ทั้งภายในและภายนอกองค์ให้มีความมั่นคงปลอดภัย โดยประกอบด้วย

  • นโยบายการควบคุมการเข้าถึงระบบเครือข่าย (Network Access Control Policy)
  • นโยบายการรักษาความมั่นคงปลอดภัยการใช้งานอินเทอร์เน็ต (Internet Security Policy)
  • นโยบายการรักษาความมั่นคงปลอดภัยการใช้งานจดหมายอิเล็กทรอนิกส์ (E-mail Security Policy)
  • นโยบายการใช้สื่อสังคมออนไลน์ (Social Media)
  • นโยบายการถ่ายโอนข้อมูลสารสนเทศ (Information Transfer Policy)

4.4.1 นโยบายการควบคุมการเข้าถึงระบบเครือข่าย (Network Access Control Policy)

วัตถุประสงค์ (Objective)

เพื่อรักษาความมั่นคงปลอดภัยและป้องกันการเข้าถึงเครือข่ายโดยไม่ได้รับอนุญาต

ข้อปฏิบัติ (Procedures)

  1. กำหนดหน้าที่ความรับผิดชอบและขั้นตอนการปฏิบัติงาน (Operational Procedures and Responsibilities)
  2. บริหารจัดการเครือข่าย (Network Management)
    • อุปกรณ์ที่ทำหน้าที่เชื่อมโยงกับระบบเครือข่าย เพื่อการทำงานภายในองค์กร ได้แก่ Router และ Switch เป็นต้น จะต้องมีการเชื่อมโยงเครือข่ายเพื่อใช้งานระบบต่าง ๆ จะสามารถกระทำได้ก็ต่อเมื่อได้รับอนุญาตจากส่วนงานที่รับผิดชอบ ผู้ดูแลระบบต้องมีแผนดำเนินการบำรุงรักษาและปรับปรุงเครือข่ายคอมพิวเตอร์ เพื่อให้สามารถใช้งานได้อย่างต่อเนื่องและมีความพร้อมใช้อยู่เสมอ และผู้ดูแลระบบจะต้องไม่ใช้อำนาจหน้าที่ของตนในการเข้าถึงข้อมูลที่รับหรือส่งผ่านเครือข่ายคอมพิวเตอร์ ซึ่งตนไม่มีสิทธิในการเข้าถึงข้อมูลนั้น ๆ
    • อุปกรณ์ที่ทำหน้าที่ Remote Access เพื่อการควบคุมระบบจากระยะไกล ได้แก่ Virtual Private Network เป็นต้น จะต้องมีการปรับปรุงช่องโหว่อย่างสม่ำเสมอ และสำรองค่า Configuration ของอุปกรณ์ทุกครั้งที่ติดตั้ง หรือมีการเปลี่ยนแปลง หรือตามระยะเวลาที่กำหนด และเมื่อมีการทดสอบการเข้าใช้งานระบบสารสนเทศระยะไกลเสร็จสิ้น ให้ลบบัญชีผู้ใช้งานที่ใช้ในการทดสอบออกจากระบบเพื่อไม่ให้ผู้ไม่มีสิทธิเข้ามาใช้ รวมทั้งกำหนดการพิสูจน์ตัวตน ที่มีความมั่นคงปลอดภัยในการส่งข้อมูล
    • กำหนดให้มีวิธีปฏิบัติในการเก็บบันทึก Log และตรวจสอบสิ่งผิดปกติต่าง ๆ ภายในระบบเครือข่าย
    • การใช้งานเครื่องมือต่าง ๆ (Tools) เพื่อตรวจสอบระบบเครือข่าย ต้องกระทำโดยผู้ดูแลระบบเครือข่ายหรืออยู่ภายใต้การควบคุมดูแลของผู้ดูแลระบบเครือข่ายเท่านั้น และต้องได้รับการอนุมัติจากผู้บังคับบัญชาก่อนทุกครั้ง โดยจะจำกัดการใช้งานเฉพาะเท่าที่จำเป็นเท่านั้น
  3. กำหนดกระบวนการควบคุมการเข้าถึงระบบเครือข่าย (Network Access Control)
  4. มีการยืนยันตัวบุคคลสำหรับผู้ใช้งานที่อยู่ภายนอกองค์กร (User Authentication for External Connections)
  5. มีการระบุอุปกรณ์บนเครือข่าย (Equipment Identification in Networks) โดยกำหนดวิธีการพิสูจน์ตัวตนทุกครั้งที่ใช้อุปกรณ์ โดยมีการแสดงตัวตนด้วยชื่อผู้ใช้งาน (Username) และ รหัสผ่าน (Password) มีการควบคุมการใช้งานอย่างเหมาะสม ด้วย MAC address ของอุปกรณ์ที่องค์กรอนุญาตให้ใช้งานได้ และจำกัดผู้ใช้งานที่สามารถเข้าใช้อุปกรณ์ได้ ผ่าน IP address ที่อนุญาตเท่านั้น
  6. การแบ่งแยกเครือข่าย (Networks Segregation) โดยทำการแบ่งแยกเครือข่ายสำหรับกลุ่มผู้ใช้งานให้มีความเหมาะสมตามความต้องการควบคุมความปลอดภัย เพื่อควบคุมการเข้าถึงระบบและเครือข่ายสำคัญให้มีความมั่นคงปลอดภัยในการติดต่อสื่อสารหรือการส่งผ่านข้อมูล
  7. การควบคุมการเชื่อมต่อทางเครือข่าย (Network Connection Control) ต้องมีการจำกัดสิทธิความสามารถของผู้ใช้ในการเชื่อมต่อเข้าสู่เครือข่าย ระบุอุปกรณ์ เครื่องมือที่ใช้ควบคุมการเชื่อมต่อเครือข่าย ต้องมีการตรวจสอบการเชื่อมต่อเครือข่าย
  8. การควบคุมการจัดเส้นทางบนเครือข่าย (Network Routing Control) วางแผนโครงสร้างของเครือข่ายและเส้นทางการจัดส่งข้อมูลโดยพิจารณาถึงโครงสร้างเครือข่ายภายในและการเชื่อมต่อกับเครือข่ายภายนอก ควบคุมไม่ให้มีการเปิดเผยแผนการใช้หมายเลขเครือข่าย (IP Address) สามารถเชื่อมเครือข่ายปลายทางผ่านช่องทางที่กำหนดไว้หรือจำกัดสิทธิในการใช้บริการเครือข่าย และกำหนดเส้นทางสำรองในกรณีที่เส้นทางหลักไม่สามารถใช้งานได้ สำรองข้อมูลการตั้งค่าการจัดเส้นทางเพื่อป้องกันการสูญหายของข้อมูลและสามารถฟื้นฟูได้เมื่อเกิดปัญหา และวางแผนทดสอบขั้นตอนการฟื้นฟูเพื่อให้สามารถกู้คืนการจัดเส้นทางในกรณีที่เกิดเหตุการณ์ที่ไม่คาดคิด
  9. ควบคุมการเข้าใช้งานระบบจากภายนอก (Remote Access)

4.4.2 นโยบายการรักษาความมั่นคงปลอดภัยการใช้งานอินเทอร์เน็ต (Internet Security Policy)

วัตถุประสงค์ (Objective)

เพื่อกำหนดเป็นมาตรฐานในการใช้งานอินเทอร์เน็ต ซึ่งผู้ใช้งานต้องให้ความสำคัญ ไม่ละเมิดสิทธิ์และตระหนักถึงปัญหาที่เกิดขึ้นจากการใช้งานอินเทอร์เน็ต รวมทั้งต้องปฏิบัติตามที่ผู้ดูและระบบกำหนดเพื่อให้มีการดำเนินการอย่างมั่นคงปลอดภัยและมีประสิทธิภาพ

ข้อปฏิบัติ (Procedures)

  1. การใช้งานอินเทอร์เน็ต
    • ห้ามใช้และห้ามเผยแพร่ข้อมูลในเครือข่ายขององค์กรเพื่อประโยชน์ในเชิงธุรกิจเป็นการส่วนตัว หรือเพื่อการเข้าสู่เว็บไซต์ที่ไม่เหมาะสม หรือข้อมูลที่อาจก่อความเสียหายให้กับองค์กร
    • ผู้ใช้งานจะต้องไม่ดาวน์โหลดซอฟต์แวร์ที่ละเมิดทรัพย์สินทางปัญญา
    • ผู้ใช้งานจะถูกกำหนดในการเข้าถึงแหล่งข้อมูลตามหน้าที่ เพื่อประสิทธิภาพของเครือข่ายและความปลอดภัยของข้อมูล
    • ผู้ใช้งานมีหน้าที่ต้องตรวจสอบความถูกต้องและความน่าเชื่อถือของข้อมูลที่อยู่บนอินเทอร์เน็ตก่อนนำข้อมูลไปใช้
    • ผู้ใช้งานต้องไม่แบ่งปัน ชื่อผู้ใช้ และ รหัสผ่าน ของตนเพื่อให้ผู้ใช้งานอื่นเข้าใช้งานผ่านบัญชีของตนเด็ดขขาด หากเกิดปัญหา เช่น การละเมิดลิขสิทธิ์หรือการเก็บข้อมูลที่ผิดกฎหมาย เจ้าของบัญชีผู้ใช้งานนั้นต้องเป็นผู้รับผิดชอบ
    • ในกรณีที่ผู้ใช้งานพบเว็บไซต์ที่ไม่เหมาะสม เป็นภัยต่อความมั่นคงปลอดภัย ขัดต่อศีลธรรม หรืออาจกระทบต่อความปลอดภัยขององค์กร ผู้ใช้งานต้องยกเลิกการติดต่อกับเว็บไซต์ดังกล่าวและแจ้งหน่วยงานที่รับผิดชอบทราบทันที
    • ในการใช้งาน Social Media หรือ Web board ของผู้ใช้งานเพื่อแลกเปลี่ยนข้อมูลในการ ปฏิบัติงานสามารถกระทำได้โดยจะต้องไม่เปิดเผยข้อมูลที่สำคัญและเป็นความลับขององค์กร โดยความคิดเห็นนั้นให้ถือว่าเป็นความคิดเห็นส่วนตัวของผู้ใช้งานไม่ใช่ความคิดเห็นจากองค์กร
    • ในการเสนอความคิดเห็น ผู้ใช้งานต้องไม่ใช้ข้อความที่ยั่วยุ ให้ร้าย ที่จะทำให้เกิดความเสื่อมเสียต่อชื่อเสียงขององค์กร ทำลายความสัมพันธ์กับลูกค้าและพันธมิตรธุรกิจ

4.4.3 นโยบายการรักษาความมั่นคงปลอดภัยการใช้งานจดหมายอิเล็กทรอนิกส์ (E-mail Security Policy)

วัตถุประสงค์ (Objective)

เพื่อกำหนดเป็นมาตรฐานในการใช้งานจดหมายอิเล็กทรอนิกส์ (E-mail) ผู้ใช้งานจะต้องรับทราบถึงหน้าที่และความรับผิดชอบในการใช้งานจดหมายอิเล็กทรอนิกส์ (E-mail) ให้มีการป้องกันการเข้าถึงหรือการเปลี่ยนแปลงแก้ไขข้อความใน E-mail โดยไม่ได้รับอนุญาต และการรักษาข้อมูลและทรัพยากรต่าง ๆ ขององค์กรให้มีความมั่นคงปลอดภัย

ข้อปฏิบัติ (Procedures)

  1. กำหนดการใช้งานจดหมายอิเล็กทรอนิกส์ (E-mail) เมื่อมีการเข้าสู่ระบบจดหมายอิเล็กทรอนิกส์ (E-mail) ครั้งแรก ต้องเปลี่ยนรหัสผ่านโดยทันที ไม่ควรบันทึกหรือเก็บรหัสผ่านไว้ในคอมพิวเตอร์หรือเก็บไว้ในที่ ๆ สังเกตได้ง่าย และต้องมีการแจ้งเตือนเปลี่ยนรหัสผ่านอย่างน้อยทุก 90 วัน ห้ามใช้ที่อยู่จดหมายอิเล็กทรอนิกส์ (E-mail address) ของผู้อื่น เพื่ออ่าน รับ ส่ง ข้อความ เว้นแต่จะได้รับการยินยอมจากเจ้าของ E-mail และให้ถือว่าเจ้าของ E-mail เป็นผู้รับผิดชอบต่อการใช้งานต่าง ๆ ใน E-mail ของตนเอง

4.4.4 นโยบายการใช้สื่อสังคมออนไลน์ (Social Media)

วัตถุประสงค์ (Objective)

เพื่อเป็นแนวทางในการกำกับดูแลการเผยแพร่ข้อมูลและการเข้าถึงเครือข่ายสังคมออนไลน์ (Social Media) ขององค์กร

ข้อปฏิบัติ (Procedures)

  1. การใช้สื่อสังคมออนไลน์ (Social Media)
    • การเผยแพร่บน Social Media ต้องไม่เป็นการละเมิดทรัพย์สินทางปัญญาของผู้อื่น หากต้องการกล่าวอ้างถึงแหล่งข้อมูลที่สนับสนุนข้อความของตนต้องให้การอ้างอิงถึงแหล่งข้อมูลนั้นอย่างชัดเจน
    • ข้อความ ภาพ เสียง วีดิโอคลิป หรือการกระทำการใด ๆ ที่เผยแพร่บน Social Media อันสามารถเข้าถึงได้โดยสาธารณะ ผู้เผยแพร่ต้องรับผิดชอบทั้งทางด้านสังคมและด้านกฎหมาย
    • การสร้าง Page หรือ Account ที่เป็นช่องทางในการเผยแพร่ข้อมูลอย่างเป็นทางการขององค์กร รายชื่อของผู้ดูแล Page (Admin) หรือเจ้าของ Account ต้องแจ้งให้ผู้บริหารหรือผู้บังคับบัญชาทราบ แล้วแต่กรณี และผู้ดูแลมีหน้าที่ต้องมอบสิทธิในการดูแล Page หรือ Account นั้นคืนแก่องค์กรเมื่อพ้นจากหน้าที่หรือพ้นสภาพจากการเป็นพนักงาน
    • หากพบว่ามีการกระทำใด ๆ บน Social Media ที่อาจก่อให้เกิดความเสียหายหรือความเสื่อมเสียชื่อเสียงแก่องค์กร ทางองค์กรจะดำเนินกระบวนการตามกฎหมายที่เกี่ยวข้องกับความผิดนั้นแล้วและดำเนินการทางวินัยด้วย

4.4.5 นโยบายการถ่ายโอนข้อมูลสารสนเทศ (Information Transfer Policy)

วัตถุประสงค์ (Objective)

เพื่อให้มีการรักษาความมั่นคงปลอดภัยของข้อมูลสารสนเทศที่มีการถ่ายโอนภายในองค์กรและหน่วยงานภายนอกหรือผู้ให้บริการภายนอก (Third Party) โดยผ่านทางช่องทางการสื่อสารทุกชนิด

ข้อปฏิบัติ (Procedures)

  1. ผู้ใช้งานจะต้องป้องกันการส่งข้อมูลที่สำคัญด้วยวิธีการแนบเอกสาร (Attachment File) และใส่รหัสลับ ใช้เทคนิคการเข้ารหัส เพื่อปกป้องข้อมูลที่เป็นความลับ ป้องกันการถูกดักจับ คัดลอก แก้ไขและการทำลายข้อมูล
  2. เครื่องถ่ายเอกสารหรือเครื่องพิมพ์ต้องมีการกำหนดรหัสผ่าน เพื่อป้องกันการเข้าถึงจากผู้ที่ไม่ได้รับอนุญาต
  3. ต้องมีความตระหนักในการสื่อสารถ่ายโอนข้อมูลสารสนเทศ กำหนดวิธีการติดต่อสื่อสารข้อมูล และมีการแจ้งให้ผู้รับ-ส่งทราบ
  4. บันทึกเกี่ยวกับการติดต่อสื่อสารข้อมูลที่สามารถติดตามและสอบกลับได้ ทำข้อตกลงในการถ่ายโอนข้อมูลต้องคำนึงถึงนโยบายและกฎหมายที่เกี่ยวข้อง
  5. ระบุความสำคัญของข้อมูล ตามเอกสารประกอบการจัดระดับชั้นความลับของข้อมูล

4.5 นโยบายการการจัดหา การพัฒนา และการบำรุงรักษาระบบสารสนเทศ (Information System Acquisition, Development and Maintenance policy)

วัตถุประสงค์ (Objective)

เพื่อให้ความมั่นคงปลอดภัยสารสนเทศเป็นองค์ประกอบสำคัญหนึ่งของระบบตลอดวงจรการพัฒนาระบบ ซึ่งรวมถึงความต้องการด้านระบบที่มีการให้บริการผ่านเครือข่ายสาธารณะด้วย

ข้อปฏิบัติ (Procedures)

  1. ความต้องการด้านความมั่นคงปลอดภัยของระบบ (Security Requirements of Information Systems) เพื่อปกป้องข้อมูลและทรัพยากรของระบบจากการเข้าถึงที่ไม่ได้รับอนุญาต การโจมตีและภัยคุกคามอื่น ๆ การสร้างระบบที่ปลอดภัยต้องการการประเมินและจัดการความเสี่ยงอย่างรอบคอบเพื่อให้สามารถรับรองความสมบูรณ์และความพร้อมใช้งานของข้อมูลและระบบได้
  2. สารสนเทศที่เกี่ยวข้องกับธุรกรรมของบริการสารสนเทศต้องได้รับการป้องกันจากการรับส่งข้อมูลที่ไม่สมบูรณ์ การส่งข้อมูลผิดเส้นทาง การเปลี่ยนแปลงข้อความโดยไม่ได้รับอนุญาต การเปิดเผยข้อมูลโดยไม่ได้รับอนุญาต และการส่งข้อมูลซ้ำ โดยปฏิบัติตามเอกสารประกอบการจัดระดับชั้นความลับของข้อมูล
  3. กำหนดความมั่นคงปลอดภัยสำหรับกระบวนการพัฒนาและสนับสนุน (Security in Development and Support Processes)
  4. ควบคุมข้อมูลในการทดสอบ (Test Data)

4.6 นโยบายการบริหารจัดการรหัสผ่าน (Password Management Policy)

วัตถุประสงค์ (Objective)

เพื่อเป็นแนวปฏิบัติให้ผู้ใช้งานปฏิบัติอย่างมีความมั่นคงปลอดภัย ป้องกันการเข้าถึงที่ไม่ได้รับอนุญาตและการละเมิดความปลอดภัยของระบบและข้อมูลขององค์กร

ข้อปฏิบัติ (Procedures)

  1. การบริหารรหัสผ่าน (Password Management) ผู้ใช้งานระบบสารสนเทศจะต้องกำหนดรหัสผ่านให้มีความมั่นคงปลอดภัย (Secure Password) ตามนโยบายการบริหารจัดการรหัสผ่าน
  2. กำหนดวิธีการสร้างรหัสผ่าน (Password Creation)
    • ไม่กำหนดรหัสผ่านที่ประกอบด้วยตัวอักษรหรือตัวเลขที่เรียงซ้ำกันเกินกว่า 3 ตัว หรือเรียงกันตามลำดับ
    • การกำหนดรหัสผ่านที่ดีต้องมี รหัสผ่านความยาวขั้นต่ำ เช่น 8-12 ตัวอักษร หรือตามที่ผู้ดูแลกำหนด รหัสผ่านควรประกอบด้วยตัวพิมพ์ใหญ่, ตัวพิมพ์เล็ก, ตัวเลข, และสัญลักษณ์พิเศษ และห้ามใช้รหัสผ่านที่เดาง่าย
    • การเปลี่ยนรหัสผ่าน กำหนดระยะเวลาขั้นต่ำในการเปลี่ยนรหัสผ่าน เช่น ทุก 90 วัน หรือทุก 3 เดือน เป็นต้น แต่สำหรับผู้ที่ได้รับเครื่องคอมพิวเตอร์ Face scan จะได้รับการยกเว้นระยะเวลาการเปลี่ยนรหัสผ่าน ซึ่งผู้ใช้ได้รับการแจ้งเตือนล่วงหน้าอย่างน้อย 7 วัน ก่อนถึงเวลาที่ต้องเปลี่ยนรหัสผ่าน
    • กำหนดการใช้งานรหัสผ่าน ผู้ใช้งานแต่ละคนต้องได้รับมอบชื่อผู้ใช้งานระบบเฉพาะ (Unique user account) เพื่อใช้ในการเข้าถึงระบบต่างๆ ขององค์กร ทั้งนี้ การมอบสิทธิดังกล่าวต้องสอดคล้องตามความจำเป็นในการปฏิบัติงานเท่านั้น “Need-to-Use” อย่างเคร่งครัด รหัสผ่านต้องได้รับการเปลี่ยนเมื่อเข้าใช้งานครั้งแรก และเปลี่ยนอย่างสม่าเสมอตามช่วงระยะเวลาที่กำหนด และไม่เก็บรหัสผ่านไว้ในที่ที่บุคคลอื่นสามารถเห็นหรือเข้าถึงได้ง่าย
    • รหัสผ่านถือเป็นข้อมูลลับ และเป็นหน้าที่ของผู้ใช้งานทุกคนที่ต้องเก็บรักษารหัสผ่านอย่างมั่นคงปลอดภัย ห้ามมิให้มีการใช้งาน User account ร่วมกันหรือให้ผู้อื่นเข้าใช้งาน User account ของตนโดยเด็ดขาด ทั้งนี้ รวมถึงสมาชิกในครอบครัวเมื่อผู้ใช้งานนำงานกลับไปทำที่บ้านด้วย
    • การขอ Reset Password โดยผู้ใช้งานต้องแสดงตัวตน และสิทธิความเป็นเจ้าของ User account นั้นๆ พนักงานที่เกี่ยวข้องมีสิทธิในการขอข้อมูลและพิสูจน์ตัวตนของผู้ใช้งานตามความเหมาะสม

4.7 การเข้ารหัสลับข้อมูล (Cryptography)

วัตถุประสงค์ (Objective)

เพื่อกำหนดแนวทางการเข้ารหัสลับข้อมูลและทำให้ระบบสารสนเทศรักษาไว้ซึ่งความลับของข้อมูล การพิสูจน์ตัวตนของผู้ใช้งานระบบสารสนเทศ และป้องกันการแก้ไขข้อมูลจากผู้ที่ไม่ได้รับอนุญาตอย่างมีประสิทธิภาพและความเหมาะสม

ข้อปฏิบัติ (Procedures)

  1. กำหนดมาตรการการเข้ารหัสลับข้อมูล (Cryptographic Controls) และแนวทางการเลือกมาตรฐานการเข้ารหัสลับข้อมูล โดยให้มีความเหมาะสมกับความเสี่ยงที่อาจเกิดขึ้นกับข้อมูลในแต่ละลำดับชั้นความลับที่กำหนดไว้ แต่กรณีไม่สามารถเข้ารหัสได้ต้องควบคุมการเข้าถึงอย่างเหมาะสม
  2. การบริหารจัดการคีย์ (Key Management) ต้องพิจารณาประเภทกลุ่มข้อมูลที่นำมาใช้เข้ารหัสว่าสอดคล้องกับการจัดระดับชั้นความลับของข้อมูลและแนวทางการดำเนินการกำกับข้อมูล

4.8 นโยบายการบริหารจัดการข้อมูล (Data Management Policy)

วัตถุประสงค์ (Objective)

เป็นแนวทางในการจัดการข้อมูลขององค์กรให้มีประสิทธิภาพ ปลอดภัย และเป็นไปตามข้อกำหนดทางกฎหมาย นโยบายนี้จะครอบคลุม การจำแนกหมวดหมู่จัดลำดับชั้นความลับของข้อมูล กำหนดเจ้าของข้อมูล ระยะเวลาในการจัดเก็บหรือขั้นตอนในลบทำลายข้อมูล (Data Deletion) และหากเป็นข้อมูลที่มีชั้นความลับหรือเป็นข้อมูลที่มีความสำคัญ กำหนดแนวปฏิบัติการปกติข้อมูล (Data Masking) กับข้อมูลที่มีระดับชั้นความลับหรือเป็นข้อมูลสำคัญ แต่หากจำเป็นต้องส่งต่อข้อมูลให้กับหน่วยงาน/ส่วนงานอื่น ต้องดำเนินการปกติข้อมูลเหล่านั้นก่อนส่งต่อ เพื่อให้การบริหารจัดการภายให้องค์กร มีความสะดวก รวดเร็ว มีประสิทธิภาพและมีความมั่นคงปลอดภัยกับข้อมูล โดยประกอบไปด้วย

  • นโยบายการจัดชั้นความลับของสารสนเทศ (Information Classification Policy)
  • นโยบายการปกปิดข้อมูล (Data Masking)
  • นโยบายการจัดการสื่อที่ใช้ในการบันทึกข้อมูล (Media Handling Policy)

4.8.1 นโยบายการจัดชั้นความลับของสารสนเทศ (Information Classification Policy)

วัตถุประสงค์ (Objective)

กำหนดหลักการและกระบวนการในการจัดชั้นความลับของข้อมูลและสารสนเทศในองค์กร เพื่อให้มั่นใจว่าข้อมูลได้รับการปกป้องตามระดับความลับที่เหมาะสม การจัดชั้นความลับช่วยในการจัดการความเสี่ยงและป้องกันการเข้าถึงที่ไม่ได้รับอนุญาต โดยสอดคล้องกับความสำคัญของสารสนเทศนั้น ๆ ที่มีต่อองค์กร

ข้อปฏิบัติ (Procedures)

  1. ชั้นความลับของสารสนเทศ (Classification of Information)
    • กำหนดระดับชั้นความลับ โดยต้องพิจารณาถึงข้อกำหนดทางด้านกฎหมาย คุณค่า ระดับความสำคัญและระดับความอ่อนไหว เพื่อป้องกันมิให้ข้อมูลถูกเปิดเผยหรือเปลี่ยนแปลงโดยไม่ได้รับอนุญาต โดยให้ปฏิบัติตามเอกสารประกอบ การจัดระดับชั้นความลับของข้อมูล เช่น ข้อมูลที่เป็นความลับ, ข้อมูลที่ต้องการการควบคุม, และข้อมูลที่เปิดเผยได้
    • มีการกำหนดระดับชั้นความลับของข้อมูล การจัดเก็บและการใช้งานข้อมูล เป็นลายลักษณ์อักษรและมีการสื่อสารให้ผู้ที่เกี่ยวข้องรับทราบ
  2. การบ่งชี้สารสนเทศ (Labeling of Information)
    • ระบุ/บ่งชี้ระดับความลับที่เหมาะสมสำหรับข้อมูลแต่ละประเภทสอดคล้องตามเอกสารขั้นตอนการปฏิบัติการจัดระดับชั้นความลับของข้อมูล
  3. การจัดการสินทรัพย์สารสนเทศ (Handling of Assets)
    • 3.1 การจัดการสินทรัพย์สารสนเทศต้องปฏิบัติตามขั้นตอนการปฏิบัติการจัดระดับชั้นความลับของข้อมูล
    • 3.2 ควรกำหนดระยะเวลาในการจัดเก็บข้อมูลสำคัญหรือข้อมูลที่มีชั้นความลับ ให้เหมาะสมกับระยะเวลาการใช้งาน หากไม่มีการใช้งานกับข้อมูลเหล่านั้น ควรจัดการลบหรือทำลายสื่อบันทึกข้อมูลสารสนเทศ โดยต้องปฏิบัติตามนโยบายการจัดการสื่อที่ใช้ในการบันทึกข้อมูล (Media Handling Policy)
  4. กำหนดสิทธิ์การเข้าถึงตามระดับความลับของข้อมูล เช่น การเข้าถึงข้อมูลที่เป็นความลับสูง สามารถเข้าถึงได้เฉพาะบางตำแหน่งที่กำหนดเท่านั้น เป็นต้น และทำการตรวจสอบและติดตามการเข้าถึงข้อมูลเพื่อให้มั่นใจว่ามีการปฏิบัติตามนโยบายการจัดชั้นความลับ
  5. ให้การฝึกอบรมแก่พนักงานเกี่ยวกับ ได้แก่ นโยบายการจัดชั้นความลับของข้อมูล, ขั้นตอนการปฏิบัติการจัดระดับชั้นความลับของข้อมูลและวิธีการจัดการข้อมูลตามระดับความลับที่กำหนด หรือเอกสารที่เกี่ยวข้อง

4.8.2 นโยบายการปกปิดข้อมูล (Data Masking)

วัตถุประสงค์ (Objective)

เป็นแนวทางในการดำเนินการซ่อนข้อมูลหรือปกปิดข้อมูล (Data Masking) ที่มีความละเอียดอ่อนหรือข้อมูลที่ต้องรักษาความลับ เพื่อป้องกันการเปิดเผยข้อมูลที่ไม่เหมาะสม โดยจะดำเนินการปกปิดหรือแปลงข้อมูลอ่อนไหว (Sensitive Data) เช่น ข้อมูลส่วนบุคคล (Personal Identifiable Information : PII) หรือข้อมูลที่มีระดับชั้นข้อมูลสูงจากการเข้าถึงโดยผู้ที่ไม่ได้รับอนุญาต ข้อมูลถูกเข้าถึงหรือใช้งานในสภาพแวดล้อมที่มีความเสี่ยง ซึ่งจะช่วยลดความเสี่ยงหากข้อมูลที่สำคัญหรือข้อมูลที่มีชั้นความลับจำเป็นที่จะต้องได้รับการเปิดเผย และลดโอกาสที่ข้อมูลเหล่านั้นจะถูกนำไปใช้ผิดวัตถุประสงค์ นโยบายนี้ช่วยให้ข้อมูลยังคงมีประโยชน์ต่อการใช้งานได้ในขณะที่ยังคงรักษาความปลอดภัยของข้อมูลอย่างมีประสิทธิภาพ

ข้อปฏิบัติ (Procedures)

ข้อมูลที่มีความสำคัญหรือข้อมูลที่มีชั้นความลับจำเป็นที่จะต้องได้รับการเปิดเผย ไม่ว่าจะเป็นการเปิดเผยข้อมูลเพื่อใช้งานภายใน (Internally Shared Data) และการเปิดเผยข้อมูลต่อสาธารณะ ให้ดำเนินการ

  1. ระบุวัตถุประสงค์ (Purpose) และผู้ที่จะนำข้อมูลไปใช้ (Target Users) ให้ชัดเจน
  2. ระบุองค์ประกอบของข้อมูลที่มีสำคัญหรือที่มีชั้นความลับที่ต้องดำเนินการซ่อนข้อมูลหรือปกปิดข้อมูล (Data Masking) ให้สอดคล้องกับสิทธิในการเข้าถึงข้อมูลของผู้ที่จะนำข้อมูลไปใช้ โดยพิจารณาว่าข้อมูลนั้นหากได้รับการเปิดเผยหรือรั่วไหล จะมีความเสี่ยงเกิดผลกระทบต่อผู้ใช้งานหรือองค์กร
  3. กำหนดวิธีการหรือเทคนิคการซ่อนข้อมูลหรือปกปิดข้อมูล (Data Masking) โดยเลือกวิธีการให้เหมาะสมสำหรับวัตถุประสงค์ในการนำข้อมูลไปใช้ประโยชน์ เช่น การเข้ารหัส (Encryption) การเปลี่ยนค่า (Substitution) การกำหนดค่า (Masking)
  4. กำหนดสิทธิ์การเข้าถึงข้อมูลที่ปกปิดตามบทบาทและความจำเป็น เช่น การจำกัดการเข้าถึงข้อมูลที่ปกปิดเฉพาะผู้ที่ได้รับอนุญาต
  5. ตรวจสอบและติดตามการเข้าถึงข้อมูลที่ปกปิดเพื่อให้มั่นใจว่ามีการปฏิบัติตามนโยบายและไม่มีการเข้าถึงที่ไม่ได้รับอนุญาต
  6. เก็บข้อมูลที่ปกปิดในสถานที่ที่ปลอดภัย เช่น การใช้ระบบการจัดเก็บข้อมูลที่มีการควบคุมการเข้าถึง (Access Control) และการเข้ารหัส (Encryption) เป็นต้น
  7. ส่งเสริมให้พนักงานเข้าใจความสำคัญของการปกปิดข้อมูลและการปฏิบัติตามนโยบาย รวมทั้งทบทวนและปรับปรุงนโยบายอย่างน้อย 1 ครั้ง/ปี หรือเมื่อมีการเปลี่ยนแปลงอย่างมีนัยสำคัญ เพื่อให้แน่ใจว่านโยบายยังคงมีความเหมาะสมและเป็นไปตามความต้องการทางธุรกิจและข้อกำหนดด้านกฎหมาย

4.8.3 นโยบายการจัดการสื่อที่ใช้ในการบันทึกข้อมูล (Media Handling Policy)

วัตถุประสงค์ (Objective)

เพื่อป้องกันการเปิดเผยโดยไม่ได้รับอนุญาต การเปลี่ยนแปลงแก้ไข การขนย้าย การลบหรือการทำลายสินทรัพย์สารสนเทศที่จัดเก็บอยู่บนสื่อบันทึกข้อมูลโดยไม่ได้รับอนุญาต

ข้อปฏิบัติ (Procedures)

  1. การบริหารจัดการสื่อบันทึกข้อมูลที่สามารถเคลื่อนย้ายได้ (Management of Removable Media)
    • สื่อบันทึกข้อมูลและอุปกรณ์คอมพิวเตอร์พกพาต่าง ๆ เช่น Thumb- Drive, External hard disk (HDD) เป็นต้น ที่มีข้อมูลลับขององค์กรบันทึกอยู่ ต้องได้รับการควบคุมดูแลการใช้งาน
    • สื่อบันทึกข้อมูลทั้งหมดจะต้องถูกจัดเก็บอย่างปลอดภัย อยู่ในสภาพแวดล้อมที่ไม่เป็นอันตรายต่อสื่อบันทึกข้อมูล
    • ในการจัดเก็บสื่อบันทึกข้อมูลที่สำคัญ ต้องมีการป้องกันการรั่วไหลหรือเปิดเผยข้อมูล
    • ห้ามไม่ให้นำสื่อบันทึกข้อมูลที่สามารถเคลื่อนย้ายได้ไปใช้เพื่อกิจกรรมอื่นซึ่งไม่เกี่ยวกับกิจกรรมขององค์กร
    • ต้องเข้ารหัสข้อมูลที่ละเอียดอ่อนหรือข้อมูลในระดับชั้นความลับทั้งหมดของระบบที่สำคัญของหน่วยงานบนสื่อบันทึกข้อมูลแบบถอดได้
    • ผู้รับผิดชอบต้องตรวจสอบสื่อบันทึกแบบพกพาและอุปกรณ์คอมพิวเตอร์แบบพกพาทั้งหมดก่อนจะเชื่อมต่อกับระบบขององค์กร
    • ห้ามพนักงานนำสื่อบันทึกข้อมูลที่สามารถเคลื่อนย้ายที่ที่เป็นของส่วนตัวมาเชื่อมต่อกับคอมพิวเตอร์ แล็บท็อป หรืออุปรณ์สารสนเทศใด ๆ ขององค์กรโดยไม่ได้รับการอนุญาต ยกเว้นแต่จำเป็นและมีข้อมูลที่เกี่ยวข้องกับการดำเนินงานหรือกิจกรรมใด ๆ ของกับองค์กร จะต้องได้รับการตรวจสอบและได้รับอนุญาตจากฝ่ายโครงสร้างและความปลอดภัยเทคโนโลยีสารสนเทศ
  2. การทำลายสื่อบันทึกข้อมูล (Disposal of Media)
    • ข้อมูลที่มีชั้นความลับ ต้องกำหนดให้มีการทำลายเมื่อไม่มีการใช้งานแล้ว กรณีที่สื่อบันทึกข้อมูลนั้นไม่ได้ถูกนำมาใช้งานแล้ว ก่อนที่จะนำออกไปจากองค์กร ต้องมั่นใจว่าข้อมูลที่อยู่ในสื่อดังกล่าวไม่สามารถกู้คืนกลับมาใช้งานได้อีก
  3. การสร้างความมั่นคงปลอดภัยสำหรับเอกสารระบบสารสนเทศ (Security of System Documentation)
    • จัดเก็บอย่างมั่นคงปลอดภัย ตามเอกสารการจัดระดับชั้นความลับของข้อมูล
    • มีการกำหนดบุคคลที่มีสิทธิเข้าถึงเอกสารระบบสารสนเทศและต้องได้รับการอนุมัติจากเจ้าของระบบงาน
    • ไม่จัดเก็บเอกสารระบบสารสนเทศที่มีความสำคัญไว้ในเครือข่ายสาธารณะ หากจำเป็นต้องใช้งานเครือข่ายสาธารณะจะต้องมีระบบการป้องกันที่เหมาะสม
  4. กำหนดการส่งสื่อบันทึกข้อมูลออกไปภายนอกองค์กร (Physical Media Transfer)
    • ใช้วิธีการขนส่งหรือพนักงานส่งของที่เชื่อถือได้และมีกระบวนการตรวจสอบพนักงานส่งของ และต้องมีการควบคุมที่จำเป็นในการปกป้องข้อมูลสำคัญจากการเปิดเผยหรือแก้ไขโดยไม่ได้รับอนุญาต เช่น การเข้ารหัสให้สอดคล้องตามชั้นความลับ
    • ส่งด้วยตนเองหรือพนักงานขององค์กรและลงบันทึกการรับ-ส่ง เพื่อสามารถตรวจสอบได้ และบางกรณีอาจจะต้องใช้วิธีการแยกส่งออกหลายส่วนและหลายเส้นทางเพื่อกระจายความเสี่ยง

วันที่มีผล: ตั้งแต่วันที่ 3 กุมภาพันธ์ 2568 เป็นต้นไป