คมอการปฏบตงาน ( Procedure Manual )

ชองาน : นโยบายความมนคงปลอดภยดานเทคโนโลยสารสนเทศและการสอสาร(ICT Security Policy)

รหสเอกสาร P IT SP 01-00 ชดท 00 เรมใช ..29..../..10.../55

ผทบทวน นางวชร ถนธาน

(ต าแหนง ผสท. )

ผอนมต นางสาวอจฉรนทร พฒนพนธชย (ต าแหนง ทป-อ. )

หนาท 1 ของ 69

สารบญ

หมวดท 1 นโยบายความมนคงปลอดภยขององคกร (Security Policy) 4

หมวดท 2 โครงสรางทางดานความมนคงปลอดภยสารสนเทศ (Organizational of Information Security) 5

หมวดท 3 การจดหมวดหมและการควบคมสนทรพยขององคกร (Asset Management) 8

หมวดท 4 ความมนคงปลอดภยทเกยวของกบบคลากร (Human Resource Security) 16

หมวดท 5 ความมนคงปลอดภยทางดานกายภาพและสงแวดลอมขององคกร (Physical and Environmental Security) 20

หมวดท 6 การบรหารจดการดานการสอสารและการด าเนนงานของเครอขายสารสนเทศขององคกร (Communications and Operations Management) 25

หมวดท 7 การควบคมการเขาถง (Access Control) 39

หมวดท 8 การจดหา พฒนา และดแลระบบสารสนเทศ (Information Systems Acquisition, Development, and Maintenance) 51

หมวดท 9 การบรหารจดการเหตการณดานความมนคงปลอดภยสารสนเทศ (Information Security Incident Management) 56

หมวดท 10 การบรหารความตอเนองของการด าเนนงานขององคกร (Business Continuity Management) 60

หมวดท 11 การปฏบตตามขอก าหนดทางดานกฎหมาย และบทลงโทษของการละเมดนโยบายความมนคงปลอดภยสารสนเทศของหนวยงาน (Compliance) 64

P IT SP 01-00 ชดท 00 หนาท 2 / 69

อภธานศพท

ค าศพท ความหมาย หนวยงาน หรอ BOI หรอ ส านกงาน

ส านกงานคณะกรรมการสงเสรมการลงทน (BOI)

สสท. ส านกสารสนเทศการลงทน (สสท.) ส านกงานคณะกรรมการสงเสรมการลงทน ผสท. ผอ านวยการส านกสารสนเทศการลงทน (สสท.) เจาหนาท BOI หรอ เจาหนาท

ขาราชการ พนกงานราชการ ลกจางสวสดการ ของส านกงานคณะกรรมการสงเสรมการลงทน

ผใชงานระบบ หรอ ผใชงาน

ผใชทไดรบอนญาต (Authorized Users) ซงเปนบคคล/ ผใชบรการ ท BOI อนญาตใหสามารถเขามาใชงานระบบเทคโนโลยสารสนเทศและการสอสารซงดแลโดย BOI

ผพฒนาระบบสารสนเทศ

เจาหนาท สสท. หรอ บคคล/ หนวยงาน/ องคกร ซงรบจางในการใหบรการซงไดรบมอบหมายใหมหนาทรบผดชอบในการพฒนาระบบสารสนเทศ

ผดแลระบบ เจาหนาทซงไดรบมอบหมายใหมหนาทรบผดชอบในการดแลรกษาระบบสารสนเทศ ระบบคอมพวเตอรและเครอขายคอมพวเตอรซงสามารถเขาถงโปรแกรมเครอขายคอมพวเตอรเพอการจดการฐานขอมลของเครอขายคอมพวเตอร รวมถง System Administrator Network Administrator และ Database Administrator

ISMR ผบรหารระบบบรหารความมนคงปลอดภยสารสนเทศ (Information Security Management Representative : ISMR)

ISM หวหนาคณะท างานระบบบรหารความมนคงปลอดภยสารสนเทศ (Information Security Manager : ISM)

IST คณะท างานระบบบรหารความมนคงปลอดภยสารสนเทศ (Information Security Team : IST)

ISS เจาหนาทระบบบรหารความมนคงปลอดภยสารสนเทศ (Information Security Staff : ISS)

ISS (บรหารจดการสนทรพย)

เจาหนาท ISS ซงไดรบมอบหมายใหมหนาทรบผดชอบในการจดการสนทรพยสารสนเทศ

P IT SP 01-00 ชดท 00 หนาท 3 / 69

ค าศพท ความหมาย IIS (บรหารจดการเหตการณดานความมนคงปลอดภยสารสนเทศ)

เจาหนาท ISS ซงไดรบมอบหมายใหมหนาทรบผดชอบในการบรหารจดการเหตการณดานความมนคงปลอดภยสารสนเทศ (Information Security Incident Management)

IIS (จดการการเปลยนแปลง)

เจาหนาท ISS ซงไดรบมอบหมายใหมหนาทรบผดชอบในการจดการเปลยนแปลง (Change Management)

IIS (บรหารจดการแผนสรางความตอเนองใหกบธรกจ)

เจาหนาท ISS ซงไดรบมอบหมายใหมหนาทรบผดชอบในการบรหารจดการแผนสรางความตอเนองใหกบธรกจ (Business Continuity Plan)

ผใหบรการภายนอก บคคล/หนวยงาน/องคกร ซงรบจางในการใหบรการดานระบบเทคโนโลยสารสนเทศและการสอสารแก BOI ซงรวมถง ทปรกษา ผรบจาง ผขาย ผใหบรการเครอขาย ผใหบรการอนเตอรเนต ผใหบรการอปกรณเชา และอน ๆ ทเกยวของ

หนวยงานภายนอก องคกร/หนวยงานภายนอก BOI ซง BOI อนญาตใหมสทธในการเขาถงหรอใชขอมลหรอทรพยสนตาง ๆ ของ BOI โดยจะไดรบสทธในการเขาระบบตามประเภทงาน และตองรบผดชอบในการรกษาความลบดวย

สนทรพย สนทรพยสารสนเทศ

P IT SP 01-00 ชดท 00 หนาท 4 / 69

หมวดท 1 นโยบายความมนคงปลอดภยขององคกร (Security Policy)

1.1 นโยบายความมนคงปลอดภยสารสนเทศ (Information Security Policy)

วตถประสงค: เพอก าหนดทศทางและใหการสนบสนนการด าเนนการดานความมนคงปลอดภยส าหรบสารสนเทศขององคกร เพอใหเปนไปตามหรอสอดคลองกบขอก าหนดทางธรกจ กฎหมาย และระเบยบปฏบตทเกยวของ

นโยบาย 1.1.1 เอกสารนโยบายความมนคงปลอดภยทเปนลายลกษณอกษร (Information Security Policy Document) 1) ตองจดท านโยบายระบบบรหารการรกษาความมนคงปลอดภยสารสนเทศเปนลายลกษณอกษรเพอใหเกดความเชอมนและมความปลอดภยในการใชงานระบบเทคโนโลยสารสนเทศและระบบเครอขายสอสารขอมล โดยนโยบายฯ ดงกลาวจะตองไดรบการอนมตจากเลขาธการส านกงานคณะกรรมการสงเสรมการลงทนในการน าไปใช 2) ตองจดใหมการเผยแพรเอกสารนโยบายระบบบรหารการรกษาความมนคงปลอดภยสารสนเทศใหกบ

เจาหนาท BOI ผใหบรการภายนอก และผทเกยวของในขอบเขตรบทราบ 1.1.2 การตรวจสอบและประเมนนโยบายความมนคงปลอดภย (Review of the Information Security Policy) 1) ตองด าเนนการตรวจสอบ ทบทวน และประเมนนโยบายการรกษาความมนคงปลอดภยเทคโนโลยสารสนเทศและการสอสารตามระยะเวลาทก าหนดไว หรออยางนอย 1 ครงตอป หรอเมอมการเปลยนแปลงทส าคญตอองคกร

P IT SP 01-00 ชดท 00 หนาท 5 / 69

หมวดท 2 โครงสรางทางดานความมนคงปลอดภยสารสนเทศ (Organizational of Information Security)

2.1 โครงสรางทางดานความมนคงปลอดภยสารสนเทศภายในองคกร (Internal Organization)

วตถประสงค: เพอบรหารและจดการความมนคงปลอดภยส าหรบสารสนเทศขององคกร

นโยบาย 2.1.1 การใหความส าคญของผบรหารและการก าหนดใหมการบรหารจดการทางดานความมนคง

ปลอดภย (Management Commitment to Information Security) 1) ผบรหาร BOI ตองใหความส าคญและใหการสนบสนนตอการบรหารจดการทางดานความมนคงปลอดภย โดยมการก าหนดทศทางทชดเจน การก าหนดค ามนสญญาทชดเจนและการปฏบตทสอดคลอง การมอบหมายงานทเหมาะสมตอบคลากร และการเลงเหนถงความส าคญของหนาทและความรบผดชอบในการสรางความมนคงปลอดภยใหกบสารสนเทศ 2) ผบรหาร BOI ตองแตงตงคณะหรอกลมผท างานหลก ตลอดจนทรพยากรทจ าเปน เพอบรหารและจดการความมนคงปลอดภยส าหรบสารสนเทศขององคกร 2.1.2 การประสานงานความมนคงปลอดภยภายใน (Information Security Coordination) 1) ผบรหาร BOI ตองก าหนดใหมตวแทนเจาหนาทจากหนวยงานตาง ๆ ภายในองคกรเพอประสานงานหรอรวมมอกนในการสรางความมนคงปลอดภยใหกบสารสนเทศขององคกร โดยทตวแทนเหลานนจะมบทบาทและลกษณะงานทรบผดชอบทแตกตางกน 2.1.3 การก าหนดหนาทความรบผดชอบทางดานความมนคงปลอดภย (Allocation of Information

Security Responsibilities) 1) ISMR ตองก าหนดหนาทความรบผดชอบของพนกงานในการด าเนนงานทางดานความมนคงปลอดภยส าหรบสารสนเทศขององคกรไวอยางชดเจน 2.1.4 กระบวนการในการอนมตการใชงานอปกรณประมวลผลสารสนเทศ (Authorization Process

for Information Processing Facilities)

P IT SP 01-00 ชดท 00 หนาท 6 / 69

1) ISM ตองก าหนดกระบวนการในการอนมตการใชงานอปกรณประมวลผลสารสนเทศใหมและบงคบใหมการใชงานกระบวนการน 2.1.5 การลงนามมใหเปดเผยความลบขององคกร (Confidentiality Agreements) 1) เจาหนาทประสานงานกลมบรหารทรพยากรบคคลตองจดใหมการลงนามในขอตกลงระหวางพนกงานกบองคกรวาจะไมเปดเผยความลบขององคกร รวมทงเงอนไขหรอขอก าหนดตาง ๆ ทเกยวของกบการไมเปดเผยความลบจะตองไดรบการปรบปรงอยางสม าเสมอเพอใหสอดคลองกบความตองการขององคกร 2.1.6 การมรายชอและขอมลส าหรบการตดตอกบหนวยงานอน (Contact with Authorities) 1) ISM ตองก าหนดรายชอและขอมลส าหรบตดตอกบหนวยงานอน ๆ เชน ส านกงานต ารวจแหงชาต สภาความมนคงแหงชาต บมจ. ทศท คอรปอเรชน บมจ. กสท. โทรคมนาคม ผใหบรการอนเทอรเนต (Internet Service Provider) ศนยประสานงาน การรกษาความมนคงปลอดภยคอมพวเตอรประเทศไทย (ThaiCERT) เปนตน เพอใชส าหรบการตดตอประสานงานทางดานความมนคงปลอดภยในกรณทมความจ าเปน 2.1.7 การมรายชอและขอมลส าหรบการตดตอกบกลมทมความสนใจเปนพเศษในเรองเดยวกน (Contact with Special Interest Groups) 1) ISM ตองก าหนดรายชอและขอมลส าหรบการตดตอกบกลมตาง ๆ ทมความสนใจเปนพเศษในเรองเดยวกน กลมทมความสนใจดานความมนคงปลอดภยสารสนเทศ หรอสมาคมตาง ๆ ในอตสาหกรรมทองคกรมสวนรวม 2.1.8 การทบทวนดานความมนคงปลอดภยส าหรบสารสนเทศโดยผตรวจสอบอสระ (Independent Review of Information Security) 1) ISM ตองก าหนดใหมการตรวจสอบการบรหารจดการการด าเนนงาน และการปฏบตทเกยวของกบความมนคงปลอดภยส าหรบสารสนเทศโดยผตรวจสอบอสระตามรอบระยะเวลาทก าหนดไว หรอเมอมการเปลยนแปลงทมความส าคญมากตอองคกร

P IT SP 01-00 ชดท 00 หนาท 7 / 69

2.2 โครงสรางทางดานความมนคงปลอดภยทเกยวของกบลกคาหรอหนวยงานภายนอก (External Parties)

วตถประสงค: เพอบรหารจดการความมนคงปลอดภยส าหรบสารสนเทศและอปกรณประมวลผลสารสนเทศขององคกรทถกเขาถง ถกประมวลผล หรอถกใชในการตดตอสอสารกบลกคาหรอหนวยงานภายนอก

นโยบาย 2.2.1 การประเมนความเสยงของการเขาถงสารสนเทศโดยหนวยงานภายนอก (Identification of Risks Related to External Parties) 1) ISM ตองก าหนดใหมการประเมนความเสยงอนเกดจากการเขาถงสารสนเทศ หรออปกรณทใชในการประมวลผลสารสนเทศโดยหนวยงานภายนอก และก าหนดมาตรการรองรบหรอแกไขทเหมาะสมกอนทจะอนญาตใหสามารถเขาถงได 2.2.2 การระบขอก าหนดส าหรบลกคาหรอผใชบรการทเกยวของกบความมนคงปลอดภยส าหรบ

สารสนเทศขององคกร (Addressing Security When Dealing with Customers) 1) ISM ตองระบและบงคบใชขอก าหนดทางดานความมนคงปลอดภยส าหรบสารสนเทศขององคกร เมอมความจ าเปนตองใหลกคาหรอผใชบรการเขาถงสารสนเทศหรอทรพยสนสารสนเทศขององคกร กอนทจะอนญาตใหสามารถเขาถงได 2.2.3 การระบและจดท าขอก าหนดส าหรบหนวยงานภายนอกทเกยวของกบความมนคงปลอดภย

ส าหรบสารสนเทศขององคกร (Addressing Security in Third Party Agreements) 1) ISM และเจาหนาท สสท. ตองระบและจดท าขอก าหนดหรอขอตกลงทเกยวของกบความมนคงปลอดภยส าหรบสารสนเทศระหวางองคกรและหนวยงานภายนอกเมอมความจ าเปนตองใหหนวยงานนนเขาถงสารสนเทศหรออปกรณประมวลผลสารสนเทศขององคกร กอนทจะอนญาตใหสามารถเขาถงได

P IT SP 01-00 ชดท 00 หนาท 8 / 69

หมวดท 3 การจดหมวดหมและการควบคมสนทรพยขององคกร (Asset Management)

3.1 ความรบผดชอบตอสนทรพย (Responsibility for Assets)

วตถประสงค: เพอใหสนทรพยขององคกรไดรบการปองกนและปกปองอยางเหมาะสม นโยบาย 3.1.1 ทะเบยนสนทรพย (Inventory of assets) 1) ISS (บรหารจดการสนทรพย) ตองจดท าและเกบทะเบยนสนทรพย ซงรวมถง สนทรพยขอมลและเอกสาร (Information and Document Asset) สนทรพยซอฟตแวร (Software Asset) สนทรพยอปกรณ (Hardware Asset) สนทรพยงานบรการ (Service Asset) และบคลากร (People Asset) เพอเปนขอมลเบองตนส าหรบการน าไปวเคราะห ประเมนความเสยงและบรหารจดการความเสยงทมตอสนทรพยอยางเหมาะสม รวมถงเปนการควบคมและจดการสนทรพยขององคกร โดยปฏบตตามเอกสารคมอการปฏบตงานเรองการบรหารจดการสนทรพยสารสนเทศขององคกร (Asset Management) (P IT AM 01) 2) ISS (บรหารจดการสนทรพย) ตองมการตรวจสอบสนทรพย (Inventory Check) ตองจดใหมการตรวจสอบบญชสนทรพยทกประเภทตามระยะเวลาทก าหนดไว เชน ปละ 1 ครง หรอภายใน 1 เดอน เมอมการเปลยนแปลงทส าคญเกดขน เปนตน 3) ISS (บรหารจดการสนทรพย) ตองประเมนความเสยงตามแนวทางการจดการความเสยงของสนทรพย เมอมสนทรพยใหม หรอสนทรพยทมการเปลยนแปลงทส าคญเกดขน 3.1.2 ความเปนเจาของสนทรพย (Ownership for Assets) 1) ISS (บรหารจดการสนทรพย) จะตองก าหนดบคคล หรอหนวยงานผรบผดชอบ ขอมลและสนทรพยทงหมดดานเทคโนโลยสารสนเทศและการสอสารของ BOI อยางชดเจน

3.1.3 การอนญาตใหใชสนทรพย (Acceptable Use for Assets) 1) ISS (บรหารจดการสนทรพย) จะตองก าหนด แสดง บนทกเปนเอกสาร และกฏการอนญาตใหใชขอมลและสนทรพยจะตองถกใช 2) การอนญาตใหใชงานสนทรพยดานอปกรณคอมพวเตอรมดงน

P IT SP 01-00 ชดท 00 หนาท 9 / 69

- ระบบเทคโนโลยสารสนเทศ และอปกรณการประมวลผลขอมลทเกยวของทงหมดท BOI เปนผจดหามานน มวตถประสงคเพอใหใชในการด าเนนงานขององคกร การใชงานระบบและอปกรณตาง ๆ เพอกจธระสวนตวนน อนญาตใหสามารถใชไดในขอบเขตทจ ากดตามความเหมาะสม ซงจะตองไมรบกวนหรอเปนอปสรรคตอการท างานตามหนาทความรบผดชอบของเจาหนาท

- เจาหนาท ตลอดจนบคคล และ/หรอนตบคคลทไดรบวาจางโดยส านกงาน จะตองมความรบผดชอบตออปกรณคอมพวเตอรทไดมอบไวใหใชงาน รวมทงสอดสองดแลทรพยากรเหลานใหมความปลอดภย และคงความถกตอง โดยหมายรวมถงขอมล และระบบสารสนเทศของส านกงาน

- ผใชงานตองรบผดชอบในการใชงานเครองคอมพวเตอร และอปกรณตาง ๆ ขององคกร อยางระมดระวง และใหการปกปองเสมอนเปนสนทรพยของตน

- เครองคอมพวเตอรลกขาย เครองคอมพวเตอรพกพา และเครองคอมพวเตอรแมขาย ทงหมดขององคกร ตองไดรบการปกปองดวยรหสผานของระบบปฏบตการทกครงเมอตองการเขาใชงาน และตองไดรบการปกปองอตโนมตโดยรหสผานของ Screen Saver หรอท าการ Log Off อปกรณทกครงเมอไมไดใชงานอปกรณเปนระยะเวลาหนง

- ผใชงานตองไมเชอมตอเครองคอมพวเตอรสวนตวของตนเขาระบบเครอขายขององคกร รวมถงตองไมตดตงซอฟตแวรใด ๆ ลงในเครองคอมพวเตอรขององคกร กอนไดรบอนญาตจาก สสท.

- เครองคอมพวเตอรพกพาทมการเกบขอมลลบไว ตองไดรบการปกปองเทยบเทากบเครองคอมพวเตอรทใชงานอยภายในองคกร อาท การตดตงซอฟตแวรปองกนไวรส ซอฟตแวรปองกนสปายแวร และมการปรบปรง Security Patch อยเสมอ ฯลฯ ทงน ผใชงานตองท าการปกปองอปกรณและขอมลในอปกรณตามค าแนะน าทระบไวใน เอกสารขนตอนการปฏบตงาน เรอง การใชเครองคอมพวเตอรประเภทพกพาในการปฏบตงานนอกสถานท (Mobile Computing and Communications) (W IT AM 01)

- อปกรณคอมพวเตอรขององคกร ตองไมถกดดแปลง หรอตดตงอปกรณเพมเตมใด ๆ กอนไดรบอนญาตจากผบรหารของสวนงานนน ๆ และเจาหนาท ตองไมอนญาตใหผไมมหนาทเกยวของท าการตดตงฮารดแวรหรอซอฟตแวรใด ๆ บนเครองคอมพวเตอรขององคกร อยางเดดขาด

3) การอนญาตใหใชงานสนทรพยดานซอฟตแวรมดงน

- หามเจาหนาทท าการตดตงหรอเผยแพรซอฟตแวรทละเมดลขสทธบนระบบคอมพวเตอรขององคกร

- ซอฟตแวรทน ามาใชในการประมวลผลและจดเกบขอมลลบหรอขอมลส าคญขององคกร ทงทไดมาจากการพฒนาขนโดยผใชงาน หรอทไดรบการจดซอมา ตองไดรบการตรวจสอบ ควบคม และอนมตอยางเหมาะสมโดยหนวยงานเจาของระบบหรอขอมล กอนน ามาตดตงใชงานบนระบบเทคโนโลยสารสนเทศขององคกร

- ระบบสารสนเทศทงหมดทถกใชงานโดยผใชงานทวไป ตองมเอกสารสนบสนนการใชงานอยางเพยงพอ เพอใหผใชงานทวไปขององคกร มความเขาใจและสามารถใชงานระบบสารสนเทศได

P IT SP 01-00 ชดท 00 หนาท 10 / 69

- รายชอซอฟตแวร หรอระบบสารสนเทศ ทถกตดตงในเครองคอมพวเตอรของผใชงานตองไดรบการจดท าเปนเอกสาร และไดรบการอนมตโดยผบรหารของสายงานเทคโนโลยสารสนเทศ เพอใหมนใจวาซอฟตแวรเหลานมลขสทธถกตองครบถวน และไดรบการตดตงเพอวตถประสงคในการท างานขององคกรเทานน

4) การอนญาตใหใชงานอนเทอรเนตมดงน

- องคกรจดหาบรการอนเทอรเนตไวเพอสนบสนนการด าเนนงาน และอ านวยความสะดวกแกเจาหนาทในการท าวจยการคนหาขอมลความร และการตดตอสอสารกบบคคลภายนอก เพอเพมประสทธภาพในการท างานและการใหบรการขององคกร

- ผใชงานตองใชงานอนเทอรเนตดวยความระมดระวง และการใชงานนนตองไมเปนสาเหตใหองคกร และบคคลผทเกยวของกบองคกร เสอมเสยชอเสยง หรอเกยวพนกบการกระท าทผดกฎหมาย ทงน การใชงานอนเทอรเนตในทางทผดถอเปนความผดทางวนย และอาจถกด าเนนคดตามกฎหมาย

- การเขาใชงานอนเทอรเนตตองเขาใชงานผาน Gateway ทไดรบอนญาต หรอผานเครองคอมพวเตอรลกขายทไดรบการจดเตรยมเพอใชงานเฉพาะกจเทานน ทงน องคกร ขอสงวนสทธในการตรวจสอบการใชงานอนเทอรเนตของผใชงาน เพอตรวจสอบการใชงานในลกษณะทไมเหมาะสม

- หามผใชงานคลกหนาตางโฆษณาแบบปอบอพ หรอเขาสเวบไซตใด ๆ ทโฆษณาโดยสแปม เนองจากเวบไซตเหลานอาจมโปรแกรมมงรายแฝงอย หรออาจโจรกรรมขอมลในเครองคอมพวเตอรของผใชงานโดยทผใชงานไมไดรบทราบหรอไมไดอนญาต

- หามผใชงานเขาชม ดาวนโหลด หรอท าซ าสอลามกอนาจาร และสออนใดทไมเหมาะสมหรอผดกฎหมาย

- องคกรไมสนบสนนการแสดงความคดเหนสวนตวในรปแบบอเลกทรอนกส (เชน ผานทางเวบบอรด หรอบลอก) ของเจาหนาท ทงน ความเสยหายใด ๆ ทอาจเกดขนจากการแสดงความคดเหนดงกลาว ถอเปนความรบผดชอบของเจาหนาทผนน

5) การอนญาตใหใชงานอเมลมดงน

- ผใชงานอเมลทงหมดขององคกร ตองม E-mail Account เปนของตนเอง

- E-mail Account ตองไดรบการปกปองดวยรหสผาน เพอปองกนการถกลวงละเมดและการน าอเมลไปใชในทางทผด

- E-mail Account ทมวตถประสงคพเศษ เชน hr@boi.or.th อาจไดรบการสรางขนเพอเปน E-mail Account กลางของสวนงาน และ/หรอ เพอใชงานรวมกนโดยผใชงานมากกวานงคนขนไป โดยตองมผใชงานหนงคนทไดรบการแตงตงใหท าหนาทเปนเจาของ E-mail Account นน

- E-mail Account ทงหมด และอเมลทกฉบบ (รวมถงอเมลสวนตว) ทถกสราง และเกบรกษาอยบนระบบคอมพวเตอร หรอระบบเครอขายขององคกร ถอเปนสนทรพยขององคกร

P IT SP 01-00 ชดท 00 หนาท 11 / 69

- ผใชงานตองใชงานซอฟตแวรทไดรบอนญาตเทานนในการเขาถง และ/หรอ ตดตอสอสารกบระบบอเมลขององคกร

- พนทเกบอเมลบนเครองคอมพวเตอรแมขายสวนกลาง (Mailbox Size) ของผใชงานมขนาดทจ ากด ทงน เมอปรมาณของอเมลมากจนใกลเคยงกบขนาดพนททตงคาไว ผใชงานจะไดรบขอความแจงเตอนจากระบบ และถาหากปรมาณของอเมลมากเกนกวาพนทจดเกบแลว ผใชงานจะไมสามารถรบ-สงอเมลไดตามปกตอกตอไป

- ขนาดของอเมลและไฟลแนบไดรบการจ ากดไว โดยหากอเมลและไฟลแนบมขนาดใหญเกนกวาทก าหนด ผใชงานจะไดรบจดหมายตกลบแจงวาไมสามารถสงอเมลดงกลาวได

- ผใชงานตองลบอเมลทไมจ าเปนออกจาก Mailbox ของตนอยเสมอ เพอเปนการรกษาพนทเกบอเมลใหเปนไปตามขนาดทองคกรก าหนด ทงนผใชงานตองเกบรกษาอเมลทเกยวของกบการท างาน และอเมลตามทกฎหมายก าหนดไวเทานน

- หามใช E-mail Account ขององคกรเพอกระท าการใด ๆ ทเกยวของกบสงผดกฎหมายตวอยางเชน เพอการโฆษณายาสบ สงมนเมา สนคาหนภาษ การเผยแพรซอฟตแวรละเมดลขสทธ เปนตน

- หามใช E-mail Account ขององคกรในการประกาศขอมลใด ๆ ในชมชนอเลกทรอนกส เชน เวบบอรด บลอก กระดานขาว เปนตน เวนแตการประกาศขอมลนนเกยวของหรอเปนสวนหนงของการท างานใหกบองคกร

- ซอฟตแวรส าหรบใชงานอเมลตองไดรบการตงคาใหอเมลสงออกทกฉบบมลายเซนของผสงเสมอ โดยลายเซนนนตองประกอบดวย ชอ-สกล ต าแหนง ชอหนวยงาน องคกรและเบอรโทรศพทตดตอ

- หามผใชงานท าส าเนาขอความหรอท าส าเนาไฟลแนบทเปนขอมลลบจากอเมลของบคคลอนกอนไดรบอนญาตจากเจาของขอมล

- ผใชงานตองรางเนอหาของอเมลดวยความระมดระวง โดยค านงอยเสมอวาตนเองเปนผสงออกอเมลนนในนามตวแทนขององคกร

- หามผใชงานท าการปลอมแปลงขอความในอเมล หวจดหมายอเมล ลายเซนในอเมล หรอ e-mail Account ของบคคลอนโดยเดดขาด

- ผใชงานตองไมยนยอมใหบคคลอนท าการสงอเมลโดยใช e-mail Account ของตนโดยเดดขาด ไมวาบคคลนนจะเปนผบงคบบญชา เลขานการ ผชวย หรอบคคลอนใดกตาม

- ผใชงานตองหลกเลยงการใชค าสง “Reply with History” ซงเปนการตอบกลบอเมลพรอมไฟลแนบไปยงผรบ ยกเวนในกรณทจ าเปนตองใชงานเทานน อยางไรกตาม เมอมการใชงานค าสง “Reply with History” ผใชงานควรท าการลบไฟลแนบทงเสยกอนทจะท าการสงอเมล

- ผใชงานตองท าการสงอเมลใหแกผรบทเกยวของและจ าเปนตองรบทราบขอมลเทานน และหามใชค าสง “Reply All” ถาหากอเมลฉบบนนไมไดมความจ าเปนตองตอบกลบไปยงผรบทกคน

- หามผใชงานสงอเมลทผรบไมไดตองการ ตวอยางเชน อเมลขยะ (Junk Mail) หรอโฆษณาสนคาตาง ๆ

P IT SP 01-00 ชดท 00 หนาท 12 / 69

(Spam Mail) เปนตน

- หามผใชงานสรางหรอมสวนรวมใด ๆ กบการสง อเมลหลอกลวง หรอการสงอเมลในลกษณะลกโซโดยเดดขาด

- หามผใชงานสงหรอสงตออเมลทมเนอหาหรอรปภาพทเขาขายการดหมน หมนประมาท กลาวราย ท าใหบคคลอนเสอมเสยชอเสยง เหยยดชนชน ขมข ลามกอนาจาร การยวยทางเพศ หรออเมลทมเนอหาสมเสยงตอประเดนทางวฒนธรรม หรอศาสนา และอเมลทกระทบตอความมนคงของชาต หรอสถาบนพระมหากษตรยโดยเดดขาด

- หามผใชงานสงอเมลทมไฟลแนบเกยวกบการพนน ภาพลามกอนาจาร หรอไฟลอนใดทไมเกยวของกบการท างานและสงผลเสยตอองคกร

- ผใชงานตองใชความระมดระวงเปนพเศษเมอจ าเปนตองเปดไฟลแนบทไดรบจากผสงทตนเองไมรจก ซงไฟลแนบนนอาจมไวรส อเมลบอมบ หรอโปรแกรมแฝง (มาโทรจน)

- เมอผใชงานไดรบขอความเตอนจากซอฟตแวรปองกนไวรสวา เครองคอมพวเตอรของตนมไวรส ผใชงานตองระงบการสงอเมลโดยทนท จนกวาเครองคอมพวเตอรจะไดรบการแกไขจนกลบเขาสสภาพปกต

6) การอนญาตใหใชงานโทรศพท โทรสาร เครองพมพ และเครองถายเอกสาร มดงน

- ผใชงานตองปกปองความมนคงปลอดภยของขอมลลบอยางเตมท เมอจ าเปนตองสงขอมลนนผานเครองโทรสาร ทงน รายละเอยดเพมเตมดไดจาก ระเบยบวาดวยการรกษาความลบของทางราชการ พ.ศ. ๒๕๔๔

- ถาหากผใชงานไดรบขอมลจากการสงโทรสารทผดพลาด ตวอยางเชน สงโทรสารผด หมายเลข ผดสวนงาน เปนตน ผใชงานตองแจงใหผสงโทรสารนนรบทราบ และท าลายเอกสารขอมลนน

- หามผใชงานสงพมพขอมลลบดวยเครองพมพทตงอยในพนทสวนกลาง เวนแตจะมบคคลทไดรบอนญาตรอรบเอกสารทออกมาจากเครองพมพนน

- หามผใชงานบนทกหรอฝากขอความทมขอมลลบในเครองตอบรบโทรศพทอตโนมตหรอ ระบบวอยซเมลโดยเดดขาด

- หามสนทนาเกยวกบขอมลลบผานล าโพงของเครองโทรศพท (Speakerphones) หรอผานสออเลกทรอนกสใด ๆ เชน Voice Over IP หรอในระหวางการประชมทางไกล เวนแตผเขารวมการประชมทกหนวยงานไดรบการพสจนตวตนแลววา เปนผทเกยวของและมสทธรบทราบขอมล

- ผทเกยวของตรวจสอบจนมนใจแลววา ไมมบคคลทไมไดรบอนญาตอยในบรเวณใกลเคยงทอาจไดยนขอมลลบทสนทนาอย

- การประชมทางไกลถกจดขนในบรเวณทมความมนคงปลอดภย เชน หองประชมทมผนงและประตทเหมาะสมสามารถปองกนเสยงลอดออกมาได เปนตน

- ผใชงานตองสนทนาโทรศพทดวยความระมดระวง เพอปองกนขอมลลบถกแอบฟงโดยบคคลทไมไดรบ

P IT SP 01-00 ชดท 00 หนาท 13 / 69

อนญาต - ในกรณทตองมการเปดเผยขอมลลบใด ๆ ทางโทรศพท ผใหขอมลตองท าการตรวจสอบใหมนใจวาค

สนทนานนเปนผไดรบอนญาตใหรบทราบขอมลดงกลาว กอนทจะเปดเผยขอมล - ผใชงานตองขออนญาตจากเจาของขอมลกอนท าการถายเอกสารหรอสแกนเอกสารทมขอมลลบ โดย

ส าเนาเอกสารนนตองไดรบการปกปองดแลในระดบเทยบเทากบเอกสารตนฉบบตามระเบยบวาดวยการรกษาความลบของทางราชการ พ.ศ. ๒๕๔๔

- เจาหนาทตองไมเปดเผยสถานทตงของหองเครองคอมพวเตอรแมขายตอบคคลภายนอกโดยเดดขาด เวนแตบคคลภายนอกนนมความจ าเปนตองรบทราบเพอการปฏบตงาน

P IT SP 01-00 ชดท 00 หนาท 14 / 69

3.2 การจดหมวดหมขอมลและสนทรพยสารสนเทศ (Information Classification)

วตถประสงค: เพอท าใหแนใจวาสารสนเทศขององคกรไดรบการปกปองในระดบทเหมาะสม นโยบาย 3.2.1 วธการจดหมวดหม การก าหนดชนความลบ และการก าหนดระดบความส าคญของเอกสาร

(Classification Guidelines) 1) เจาหนาทตองท าการจดหมวดหม การก าหนดชนความลบ และการก าหนดระดบความส าคญของเอกสาร (Classification Guidelines) เพอปองกนสารสนเทศ ใหมความปลอดภยดวยวธการทเหมาะสม โดยใหปฏบตระเบยบวาดวยการรกษาความลบของทางราชการ พ.ศ. ๒๕๔๔ 2) เอกสารหรอสงตพมพ ทพมพหรอท าซ าขนมาจากตนฉบบซงมการก าหนดชนความลบไว ทงในกรณทงหมดหรอบางสวน ใหถอวามชนความลบเดยวกนกบตนฉบบขอมลดจตอลหรอสารสนเทศดจตอลนน 3.2.2 การจดท าปายชอ และการจดการขอมลสารสนเทศ (Information Labeling and Handing) 1) สสท. ตองจดใหมวธการจดท าและจดการปายชอส าหรบปดฉลากเอกสารขอมล และอปกรณสนทรพย สารสนเทศทเกยวของกบการบรหารดานเทคโนโลยสารสนเทศและการสอสาร 2) ขอมลทอยในรปแบบของเอกสาร ทถกจดท าขนจะตองมการควบคมและรกษาความปลอดภยอยางเหมาะสมตงแตการเรมพมพ การจดท าปายชอ การเกบรกษา การท าส าเนา การแจกจาย จนถงการท าลาย และก าหนดเปนระเบยบปฏบตใหเจาหนาท ตองปฏบตตามเพอใหมนใจวาขอมลไดรบการควบคมและรกษาความปลอดภย 3) ขอมลลบตองไมถกเปดเผยกบผอน เวนแตมความจ าเปนในการปฏบตงานเทานน 4) ผใชงานตองตระหนกถงการรกษาขอมลทถกเกบไวในเครองคอมพวเตอรของผใชงาน โดยเฉพาะอยางยง เครองคอมพวเตอรทมการใชงานรวมกนมากกวาหนงคนขนไป ขอมลลบเหลานตองไดรบการปกปองโดยการเขารหส หรอโดยวธการอนใดของระบบปฏบตการ หรอระบบสารสนเทศอยางเหมาะสม 5) ผใชงานควรเกบรกษาเอกสารลบและสอบนทกขอมลทมขอมลลบในตทสามารถปดลอคไดเมอไมไดใชงาน โดยเฉพาะอยางยงเมออยนอกเวลาท าการ หรอเมอตองทงเอกสารหรอสอนนไวโดยไมอยทโตะท างาน 6) ขอมลลบตองถกเกบออกจากอปกรณประมวลผลตาง ๆ เชน เครองพมพ เครองโทรสาร เครองถายเอกสาร ฯลฯ โดยทนท 7) เจาหนาทตองไมเปดเผยขอมลลบตอบคคลภายนอก ยกเวนในกรณทการเปดเผยนนครอบคลมโดยขอตกลงการไมเปดเผยขอมล 8) เจาหนาทตองไมพดคยหรอใชงานขอมลลบขององคกรในพนทสาธารณะ เชน ลฟท รานอาหาร ฯลฯ

P IT SP 01-00 ชดท 00 หนาท 15 / 69

9) สอบนทกขอมล และอปกรณคอมพวเตอรพกพาตาง ๆ (เชน PDA, Thumb-Drive, CD-Rom เปนตน) ทมขอมลลบขององคกร บนทกอย ตองไดรบการดแลรกษาและใชงานอยางระมดระวง 10) ขอมลส าคญทเกยวของกบการด าเนนงานขององคกรทงหมด ทงทมการเกบรกษาอยในเครองคอมพวเตอรของผใชงานหรอเครองคอมพวเตอรแมขายทดแลโดยผใชงาน ตองไดรบการส ารองขอมลอยางสม าเสมอ เพอประโยชนในการกคนขอมลเมอมปญหาใด ๆ เกดขน ตวอยางเชน การตดไวรส ฮารดดสกเสย เปนตน

P IT SP 01-00 ชดท 00 หนาท 16 / 69

หมวดท 4 ความมนคงปลอดภยทเกยวของกบบคลากร (Human Resource Security)

4.1 การสรางความความมนคงปลอดภยในกระบวนการสรรหาบคลากรกอนการท างาน (Prior to Employment)

วตถประสงค: เพอก าหนดและคดสรรบคคลกอนทจะเขามาท างาน เพอลดความเสยงจากความผดพลาด การขโมย การปลอมแปลง และการน าไปใชในทางทไมเหมาะสมของพนกงานอนเกดจากการปฏบตงานกบระบบสารสนเทศ และทรพยากรสารสนเทศอน ๆ ขององคกร นโยบาย 4.1.1 การก าหนดหนาทความรบผดชอบดานความปลอดภย (Roles and Responsibilities) 1) ISM ก าหนดหนาทและความรบผดชอบทางดานความมนคงปลอดภยส าหรบสารสนเทศอยางเปนลายลกษณอกษรส าหรบเจาหนาททหนวยงานท าสญญาวาจาง และ/หรอหนวยงานภายนอกวาจางมาปฏบตงาน และจะตองสอดคลองกบนโยบายความมนคงปลอดภยส าหรบสารสนเทศของหนวยงาน 4.1.2 การตรวจสอบคณสมบตของผสมคร (Screening) 1) เจาหนาทกลมบรหารทรพยากรบคคล ตองท าการตรวจสอบคณสมบตของผสมครงานทกคนกอนทจะบรรจเปนผบรหาร พนกงานชวคราวหรอนกศกษาฝกงาน โดยตองไมมประวตในการบกรก แกไข ท าลาย หรอโจรกรรมขอมลในระบบเทคโนโลยสารสนเทศของหนวยงานใดมากอน 2) เจาหนาทประสานงานกลมบรหารทรพยากรบคคล ต องจ ดใหม การลงนามในสญญาระหวาง “เจาหนาท” และหนวยงาน วาจะไมเปดเผยความลบของหนวยงาน (Non Disclosure Agreement : NDA) โดยการลงนามนจะเปนสวนหนงของการวาจางเจาหนาทนน ๆ ทงนตองมผลผกพนทงในขณะทท างานและผกพนตอเนองเปนเวลาไมนอยกวา 1 ป ภายหลงจากทสนสดการวาจางแลว 4.1.3 การก าหนดเงอนไขการจางงาน (Terms and Conditions of Employment) 1) เจาหนาทประสานงานกลมบรหารทรพยากรบคคลตองก าหนดเงอนไขการจางงานทรวมถงหนาทความรบผดชอบทางดานความมนคงปลอดภยทางดานสารสนเทศ 2) เพอใหการบรหารจดการ Login หรอ User ID เปนไปอยางถกตองและเปนปจจบนทสด เจาหนาทกลมบรหารทรพยากรบคคล ตองแจงให สสท. ทราบทนทเมอมเหตดงน

- การวาจางงาน

P IT SP 01-00 ชดท 00 หนาท 17 / 69

- การเปลยนแปลงสภาพการวาจางงาน - การลาออกจากงาน หรอการสนสดการเปนผบรหาร พนกงาน และลกจาง หรอการถงแกกรรม - การโยกยายหนวยงาน - การพกงาน การลงโทษทางวนย หรอระงบการปฏบตหนาท

P IT SP 01-00 ชดท 00 หนาท 18 / 69

4.2 การสรางความความมนคงปลอดภยขณะเปนพนกงาน (During Employment)

วตถประสงค: เพอใหเจาหนาทไดตระหนกถงภยทเกยวของกบการปฏบตงานสารสนเทศ รวมถงใหความรแกพนกงานเพอใหสามารถปองกนภยดงกลาวได

นโยบาย 4.2.1 การรบผดชอบของผบรหาร (Management Responsibilities) 1) ISMR ตองก าหนดใหเจาหนาท พนกงานขาราชการ และเจาหนาทหนวยงานภายนอกทวาจางมาปฏบตงานรบทราบและปฏบตตามนโยบาย กฏ ระเบยบและขนตอนการท างานทเกยวของกบการรกษาความมนคงปลอดภยสารสนเทศของ BOI ดวย 4.2.2 การใหความรและการอบรมดานความมนคงปลอดภยใหแกเจาหนาท (Information Security

Awareness Education and Training) 1) ตองจดอบรมใหความรแกเจาหนาท BOI เกยวกบความตระหนกและวธปฏบตเพอสรางความมนคงปลอดภยใหกบระบบเทคโนโลยสารสนเทศและการสอสาร ซงรวมถงการแจงใหทราบเกยวกบนโยบายความมนคงปลอดภย และการเปลยนแปลงทเกดขนดานเทคโนโลยสารสนเทศและการสอสารของ BOI ดวย 2) เจาหนาท BOI ใหมทกคน ตองไดรบการอบรมเกยวกบนโยบายการรกษาความมนคงปลอดภยระบบเทคโนโลยสารสนเทศและการสอสารและระเบยบปฏบตทเกยวของกบหนวยงานกอนหรออยางนอยภายใน 30 วนนบจากเขาท างานในหนวยงาน โดยควรเปนสวนหนงของการปฐมนเทศ และตองมการลงนามและเกบรวบรวมไวในแฟมประวตของบคลากรดวย 3) เจาหนาทประสานงานกลมบรหารทรพยากรบคคล และ ISM มหนาทในการแจงใหทราบเกยวกบนโยบายความมนคงปลอดภยระบบเทคโนโลยสารสนเทศ และการเปลยนแปลงทเกดขนทางดานความมนคงปลอดภยระบบเทคโนโลยสารสนเทศและการสอสารของ BOI ใหแกบคลากรดวย 4.2.3 การควบคมระเบยบวนย (Disciplinary Process) 1) ผบรหาร BOI ตองก าหนดบทลงโทษทางวนยส าหรบผทฝาฝนนโยบาย กฏ และ/หรอระเบยบปฏบตของ BOI แตหากเปนการละเมดขอกฎหมาย บทลงโทษจะเปนไปตามฐานความผดทไดกระท าตามทระบในแตละขอกฎหมายนน ๆ

P IT SP 01-00 ชดท 00 หนาท 19 / 69

4.3 การยกเลกการจางงาน (Termination of Change of Employment)

วตถประสงค: เพอใหมการยกเลกสทธกบเจาหนาททถกยกเลกการจางงานหรอหมดสญญาฯ เพอความมนคงปลอดภยของระบบสารสนเทศ

นโยบาย 4.3.1 การยกเลกความรบผดชอบ (Termination Responsibility) 1) เจาหนาทกลมบรหารทรพยากรบคคล มหนาทดแลหากมการแตงตงโยกยาย ปลดหรอเปลยนแปลงต าแหนงใด ๆ ทเกยวของกบความรบผดชอบใน BOI 4.3.2 การคนทรพยสน (Return on Assets) 1) เจาหนาท BOI ซงพนสภาพจากการจางงานตองคนทรพยสนทงหมดซงเกยวของกบระบบงานคอมพวเตอร รวมทงกญแจ บตรประจ าตวพนกงาน บตรผานเขา -ออก คอมพวเตอรและอปกรณตอพวง ค มอ และเอกสารตาง ๆ ใหแกผบงคบบญชากอนวนสดทายของการวาจางงาน 4.3.3 การยกเลกการเขาถง (Removal of Access rights) 1) หลงจากมการยกเลกหรอเปลยนแปลงต าแหนงการเปนเจาหนาท BOI แลว เจาหนาทกลมบรหารทรพยากรบคคลจะตองแจงใหเจาหนาท สสท. ยกเลกการเขาถงขอมลตาง ๆ ของหนวยงานและเจาหนาทกลมบรหารทรพยากรบคคลท าการแจงตอพนกงานอน ๆ, ลกคา, บรษทคคา, Third Party/Outsource ทเกยวของใหรบทราบ ตามเหมาะสม

P IT SP 01-00 ชดท 00 หนาท 20 / 69

หมวดท 5 ความมนคงปลอดภยทางดานกายภาพและสงแวดลอมขององคกร (Physical and Environmental Security)

5.1 บรเวณทตองมการรกษาความมนคงปลอดภย (Secure Areas)

วตถประสงค: เพอเปนมาตรฐานในการรกษาความมนคงปลอดภยทางกายภาพทเกยวกบสถานทซงเปนทตงและพนทใชงานของระบบเทคโนโลยสารสนเทศ ตลอดจนอปกรณคอมพวเตอร ขอมลและสารสนเทศซงเปนทรพยสนของ BOI

นโยบาย 5.1.1 การก าหนดพนทมนคงปลอดภย (Physical Security Perimeter) 1) หนวยงานจะตองมการจ าแนก และก าหนดพนทในการใชงานระบบเทคโนโลยสารสนเทศตาง ๆ อยางเหมาะสม เพอจดประสงคในการเฝาระวง ควบคม และรกษาความมนคงปลอดภยจากผทไมไดรบอนญาต รวมทงปองกนความเสยหายอน ๆ ทอาจเกดขนได เมอมการก าหนดพนทแลวใหมการควบคมการเขาออก 2) หนวยงานจะตองก าหนดจ าแนกและแบงบรเวณ “พนทใชงานระบบเทคโนโลยสารสนเทศ (Information System Workspaces)” รวมทงจดท าแผนผงแสดงต าแหนงและชนดของพนทใชงานระบบเทคโนโลยสารสนเทศ และประกาศใหทราบทวกน (หนวยงานควรระบใหชดเจนวามพนทใชงานระบบเทคโนโลยสารสนเทศประเภทใดบาง และมพนทใชงานระบบเทคโนโลยสารสนเทศใดทอาจจ าแนกไดมากกวา 1 ประเภท) 3) หนวยงานตองก าหนดการตดตงอปกรณระบบเทคโนโลยสารสนเทศใน “พนทใชงานระบบเทคโนโลยสารสนเทศ” ใหสอดคลองกบหมวดหมและความส าคญของขอมลหรอสารสนเทศทมอยในระบบ 4) เจาหนาท BOI ตองดแลรกษาสภาพแวดลอมในการท างานเสมอนดแลบานของตน 5.1.2 การควบคมการเขาออก (Physical Entry Controls)

หนวยงานทเกยวของกบการบรหารจดการอาคารและสถานทตองจดใหมการควบคมการเขาออกในบรเวณ “พนทใชงานระบบเทคโนโลยสารสนเทศ” โดยใหผานเขาออกไดเฉพาะ “เจาหนาท สสท.” ทมสทธเทานน และมแนวทางปฏบต ดงน

1.1 1) ตองก าหนด “เจาหนาท สสท.” ทมสทธผานเขาออก และชวงเวลาทมสทธในการผานเขาออกในแตละ“พนทใชงานระบบเทคโนโลยสารสนเทศ” อยางชดเจน

1.2

P IT SP 01-00 ชดท 00 หนาท 21 / 69

1.3 2) “เจาหนาท สสท.” จะไดรบสทธใหเขาออกสถานทท างานไดเฉพาะบรเวณพนททถกก าหนดเพอใชในการท างานเทานน

1.4 3) หากมบคคลอนใดทไมใช “เจาหนาท สสท.” ขอเขาพนทโดยมไดขอสทธในการเขาพนทนนไวเปนการลวงหนา หนวยงานตองตรวจสอบเหตผลและความจ าเปน กอนทจะอนญาต หรอไมอนญาตใหบคคลเขา พนทเปนการชวคราว ทงนบคคลจะตองแสดงบตรประจ าตวประชาชน หรอบตรประจ าตวอนทราชการออกให โดยหนวยงานเจาของพนทตองจดบนทกบคคลและการขอเขาออกไวเปนหลกฐาน (ทงในกรณทอนญาต และไมอนญาตใหเขาพนท) และตองมการบนทกขอมลการเขาออกหองคอมพวเตอรแมขาย (Data Center) ของบคคลภายนอกทกครง พรอมทงจดเกบบนทกดงกลาวไวอยางนอย 1 ป

1.5 4) บคคลภายนอกตองท าการแลกบตรประจ าตวของตนทออกใหโดยหนวยงานของรฐ ตวอยางเชน บตรประชาชน ใบขบข พาสปอรต ฯลฯ กบบตรผมาตดตอของหนวยงาน กอนไดรบอนญาตใหเขาถงพนทส านกงาน 5) เจาหนาท BOI และบคคลภายนอกตองตดบตรพนกงานหรอบตรผมาตดตอตลอดเวลาทอยในพนทส านกงาน ทงน บตรประจ าตวและบตรผมาตดตอไมอนญาตใหโอนกรรมสทธหรอหยบยมกนใชงาน 6) เจาหนาท BOI ตองไมเปดประตส านกงานทงไว หรอยนยอมใหบคคลอนตดตามเขาภายในพนทส านกงานโดยเดดขาด เวนแตบคคลอนนนสามารถแสดงบตรประจ าตว หรอบตรผมาตดตอได เพอเปนการปองกนการเขาถงพนทส านกงาน และพนทควบคมความมนคงปลอดภยโดยบคคลทไมไดรบอนญาต 7) ผใชงานตองแจงเจาหนาทรกษาความปลอดภยทนท เมอพบเหนบคคลแปลกหนาหรอบคคลทไมแขวนบตรพนกงานหรอบตรผมาตดตอในพนทส านกงาน 8) เจาหนาท BOI ควรตดตาม ควบคมดแล และใหค าแนะน าผทมาตดตอกบตนตลอดเวลาทผมาตดตอนนอยในพนทส านกงาน 5.1.3 การรกษาความมนคงปลอดภยส านกงาน หองท างาน และเครองมอตาง ๆ

(Securing Offices, Rooms and Facilities)

1) ISMR ตองจดใหมมาตรการในการรกษาความมนคงปลอดภยอน ๆ ใหกบส านกงาน หองท างานและเครองมอตาง ๆ เชน เครองคอมพวเตอรหรอระบบทมความส าคญสงตองไมตงอยในบรเวณทมการผานเขาออกของบคคลเปนจ านวนมาก ส านกงานหรอหองจะตอง ไมมปาย หรอ สญลกษณ ทบงบอกถงการมระบบส าคญอยภายในสถานทดงกลาว ประตหนาตางของส านกงานหรอหองตองใสกญแจเสมอ เมอไมมคนอยตอง

P IT SP 01-00 ชดท 00 หนาท 22 / 69

ตงเครองโทรสารหรอเครองถายเอกสารแยกออกมาจากบรเวณทตองมการรกษาความมนคงปลอดภย เปนตน

2) เจาหนาทควรตรวจสอบความมนคงปลอดภยของพนทท างานของตนเปนประจ าทกวนหลงเลกงาน เพอใหมนใจวาตเซฟ ตเอกสาร ลนชก และอปกรณตาง ๆ ไดรบการปดลอค อยางเหมาะสม และกญแจถกเกบรกษาไวอยางปลอดภย 3) ขอมล สอบนทก วสด และอปกรณทจดเกบขอมลลบตองไมถกทงไวโดยล าพงบนโตะท างาน ในหองประชม หรอในตทไมไดลอคกญแจโดยเดดขาด 4) ขอมล สอบนทก วสด และอปกรณทจดเกบขอมลลบตองไมถกทงลงในถงขยะโดยไมไดรบการท าลายอยางเหมาะสม วธการท าลายขอมล สอบนทก วสด และอปกรณเหลานโดยปฏบตตามเอกสารวธปฏบตงานเรองการท าลายสอบนทกขอมลและขอมลบนสอบนทกขอมล (Disposal of Media Procedure) (P IT CO 03) 5) เจาหนาทตองไมยนยอมใหผใดท าการเคลอนยายเครองคอมพวเตอรหรอสอบนทกขอมลออกจากพนทท างานของตนโดยเดดขาด เวนแตบคคลผนนเปนเจาหนาททไดรบอนญาตใหด าเนนการ และเปนการด าเนนการทมค าสงอยางถกตองของหนวยงานเทานน 5.1.4 การปองกนภยคกคามจากภายนอกและสงแวดลอมอน ๆ (Protecting Against External and

Environmental Threats) 1) หนวยงานตองมการปองกนจากการท าลายของธรรมชาตหรอคนทอาจจะเกดขน 5.1.5 การปฎบตงานในพนทมนคงปลอดภย (Working in Secure Areas)

1) หวหนาของแตละหนวยงาน ตองมการควบคมการปฏบตงานของหนวยงานภายนอกในบรเวณพนทควบคม ไดแก การไมอนญาตใหถายภาพหรอวดโอในบรเวณนน เปนตน 2) หนวยงานตองมปายประกาศขอความ “หามเขากอนไดรบอนญาต” “หามถายภาพหรอวดโอ” และ “หามสบบหร” บรเวณภายในพนทควบคมการปฏบตงาน

P IT SP 01-00 ชดท 00 หนาท 23 / 69

5.1.6 การจ ากดพนททบคคลภายนอกเขาถง (Public Access, Delivery and Loading Areas) 1) หนวยงานตองมการจ ากดพนทการเขาถงของบคคลภายนอกทอาจเขามาในพนทได หากเปนไปไดควรแบงแยกพนททเกยวของกบการท างานออกจากพนททบคคลภายนอกเขามาได เชน บรเวณเกบและจดสงสนคาจะตองไมอยในพนท ๆ บคคลภายนอกเขาถงได 2) เจาหนาทและพนกงานของผใหบรการภายนอก (Third Party) ตองตดบตรประจ าตวตลอดเวลาขณะปฏบตหนาทในบรเวณ สสท. และหากผใดพบเหนผทไมตดบตรประจ าตวถอเปนหนาททจะตองแจงเจาหนาทรกษาความปลอดภยโดยทนท

P IT SP 01-00 ชดท 00 หนาท 24 / 69

5.2 ความมนคงปลอดภยของอปกรณ (Equipment Security) วตถประสงค: เพอปองกนการใชอปกรณคอมพวเตอรโดยไมไดรบอนญาต และเพอใหมนใจไดวาอปกรณคอมพวเตอรไดมการปองกนอยางเพยงพอจากภยธรรมชาต การโจรกรรม และความเสยหายอน ๆ นโยบาย 5.2.1 การจดตงและการปองกนอปกรณ (Equipments Setting and Protection) 1) เจาหนาท สสท. ตองจดตงเครองมอไวในสถานททปลอดภยรวมทงมการปองกนภยหรออนตรายทอาจเกดขนกบอปกรณเหลานน 5.2.2 การดแลอปกรณตาง ๆ (Supporting Utilities) 1) เจาหนาท สสท. ตองก าหนดใหมระบบกระแสไฟฟาส ารอง เชน ใช Uninterruptible Power Supply (UPS) เปนตน 2) เจาหนาท สสท. ตองมการตรวจสอบระบบไฟฟาส ารอง อยางนอยปละ 2 ครง

5.2.3 การเดนสายไฟและสายเคเบล (Cabling Security)

1) สสท. ตองก าหนดใหมการปองกนการเดนสายไฟฟา หรอสายเคเบลเขามาภายในอาคารส านกงาน 2) บรเวณทมการเดนสายไฟฟาหรอสายเคเบลเขามาภายในอาคารส านกงาน และมการตดตงตพกสาย ตองลอคไวตลอดเวลาและจ ากดการเขาใชงานไดเฉพาะเจาหนาทหรอบคคลทม สทธเทานน 5.2.4 การดแลรกษาอปกรณ (Equipment Maintenance) 1) เจาหนาท สสท. ตองก าหนดใหมการดแลและบ ารงรกษาอปกรณอยางถกตองและสม าเสมอ เชน จดใหมการซอมบ ารงอยางนอยปละ 1 ครง เปนตน 5.2.5 การปองกนอปกรณและทรพยสนสารสนเทศทใชงานอยนอกหนวยงาน (Security of Equipment Off-Premises) 1) หนวยงานตองก าหนดใหมการปองกนทรพยสนและอปกรณของหนวยงาน เชน เครองคอมพวเตอรพกพา, โทรศพทมอถอ เปนตน เมอถกน าไปใชงานนอกหนวยงาน จะตองปฏบตตามระเบยบในการใชงาน การยม-คน 5.2.6 การจดการอปกรณหรอการน าอปกรณกลบมาใชใหม (Secure Disposal or Re-use of Equipment)

1) หนวยงานตองก าหนดใหมวธการในการตรวจสอบอปกรณซงมขอมลส าคญเกบไว เชน ฮารดแวร ซอฟตแวร เปนตน ทงน เพอปองกนการรวไหลหรอการเปดเผยขอมลดงกลาวกอนน าอปกรณไปแจกจาย 5.2.7 การน าอปกรณออกนอกพนท (Removal of Property)

1) อปกรณ ขอมลหรอซอฟตแวรจะตองไดรบการอนญาตจากผทเกยวของกอนน าออกจาก สสท.

P IT SP 01-00 ชดท 00 หนาท 25 / 69

หมวดท 6 การบรหารจดการดานการสอสารและการด าเนนงานของเครอขายสารสนเทศขององคกร (Communications and Operations Management)

6.1 การก าหนดหนาทความรบผดชอบและวธการปฎบตงาน (Operational Procedures and Responsibilities)

วตถประสงค: เพอใหการใชปฏบตงานและการบรหารจดการโครงสรางพนฐานดานสารสนเทศเปนไปอยางถกตองและปลอดภย นโยบาย 6.1.1 คมอและขนตอนการปฎบตงาน (Documented Operation Procedures) 1) สสท. ตองจดท าคมอและ/หรอขนตอนการปฏบตงานสารสนเทศในหนวยงาน เชน ขนตอนการแจงเหตขดของ ขนตอนการกคน ขนตอนการบ ารงรกษาและดแลระบบ ซงประกอบไปดวยรายละเอยดขนตอนการปฏบต และเจาหนาทหรอหนวยงานผรบผดชอบ 2) คมอและขนตอนการปฏบตงานตองไดรบการปรบปรงเมอมการปรบเปลยนขนตอนและผรบผดชอบการปฏบตงานนน ๆ และคมอและขนตอนการปฏบตงานทกฉบบตองไดรบการทบทวนอยางนอยปละ 1 ครง

3) สสท. มการก าหนดหนาทความรบผดชอบ รวมทงวธปฏบตเมอมเหตการณผดปกตหรอการละเมดความปลอดภย และด าเนนการตรวจสอบผกระท าการละเมด

6.1.2 การจดการการเปลยนแปลง (Change Management) 1) สสท. ตองมการจดการการเปลยนแปลงระบบเครอขาย ระบบคอมพวเตอร อปกรณ ซอฟตแวร ทกครง โดยปฏบตตามเอกสารคมอการปฏบตงานเรองการจดการการเปลยนแปลง (Change Management Procedure) (ระบบเครอขาย) (P IT CO 01) และเอกสารคมอการปฏบตงานเรองการจดการการเปลยนแปลง (Change Management Procedure) ระบบสารสนเทศและขอมล (P IT CO 02) 2) เมอมการเปลยนแปลงสภาพแวดลอมทเกยวกบระบบสารสนเทศ เชน ระบบปรบอากาศ น า ไฟฟา สญญาณเตอนภย อปกรณตรวจจบ ฯลฯ เจาหนาทตองประสานงานหรอรายงานกบ IIS (จดการการเปลยนแปลง)

P IT SP 01-00 ชดท 00 หนาท 26 / 69

3) เมอมการเปลยนแปลงสภาพแวดลอมทเกยวกบระบบสารสนเทศ ตองมเอกสารเปนทางการในการรองขอการเปลยนแปลงทกครง 4) IIS (จดการการเปลยนแปลง)ตองจดใหมการประชมเปนประจ าเพอตรวจสอบค ารองขอการเปลยนแปลง (Change Request) และพจารณาตรวจสอบ การเปลยนแปลงตาง ๆ ใหเปนทพอใจและยอมรบได 5) ตารางและ/หรอแผนการเปลยนแปลงทกครงตองไดรบความเหนชอบจาก ISS (จดการการเปลยนแปลง) กอนจะท าการเปลยนแปลง

6) บนทกการเปลยนแปลงทกครงจะตองแจงใหหนวยงานทเกยวของไดรบทราบ โดยบนทกฯ ตองประกอบดวยขอมลอยางนอยดงตอไปน

- วนทรบเรอง และวนทท าการเปลยนแปลง

- เจาของขอมล และผดแลระบบ

- วธการเปลยนแปลง

- ผลของการเปลยนแปลง (ส าเรจ หรอ ลมเหลว)

6.1.3 การแบงหนาทความรบผดชอบ (Segregation of Duties) 1) สสท. ตองมการก าหนดหนาทความรบผดชอบในการด าเนนงานทเกยวของกบระบบสารสนเทศและเครอขายใหเกดความชดเจน เพอหลกเลยงการใชงานสนทรพยผดวตถประสงค หรอโดยไมมสทธ 6.1.4 การแยกเครองมอในการประมวลผลสารสนเทศในการพฒนาและทดสอบ (Separation of development, test and operational facilities) 1) สสท. ตองมการแยกเครองมอในการประมวลผลสารสนเทศ (ระบบคอมพวเตอรและเครอขาย) ในการพฒนาและทดสอบ อาท การพฒนาซอฟตแวรควรมการแยกเครองกบระบบทใชงานจรง หากจ าเปนระบบเครอขายของการพฒนาควรแยกออกจากระบบทใชงานจรง

P IT SP 01-00 ชดท 00 หนาท 27 / 69

6.2 การจดการผใหบรการภายนอก (Third Party Service Delivery Management)

วตถประสงค: เพอใหมและคงไวซงระดบการรกษาความปลอดภยสารสนเทศ และระดบการใหบรการทเหมาะสมและสอดคลองกบขอตกลงการบรการกบหนวยงานภายนอก นโยบาย 6.2.1 การสงมอบบรการ (Service Delivery) 1) BOI ตองมการจดท าขอตกลงเพอควบคมการใหบรการของหนวยงานภายนอกโดยตองประกอบไปดวยรายละเอยด ดงน

- การยอมรบนโยบายและการควบคมดานความมนคงปลอดภยสารสนเทศขององคกร - ขอบเขต รายละเอยด และระดบการใหบรการ (Service Level Agreement) - เอกสารตาง ๆ เกยวกบมาตรการการควบคมทใชทงดานกายภาพและดาน Logical เพอใหมนใจ

ไดวาระบบงานของผใหบรการจากภายนอกสามารถรกษาความมนคงปลอดภยสารสนเทศไดทง 3 ดาน คอ การรกษาความลบ (Confidentiality) การรกษาความถกตองเชอถอได (Integrity) และการรกษาความพรอมทจะใหบรการ (Availability)

- ขอตกลงการเชอมโยงระบบเครอขายของหนวยงานภายนอก - ขอมลทหนวยงานภายนอกสามารถเขาถงไดและขนตอนและวธการรองขอขอมลขององคกรกรณ

ตองการขอมลเพมเตม - สญญาในการไมเปดเผยขอมลขององคกร - การยมหรอการรองขอใชอปกรณขององคกร - ขอก าหนดทางดานกฎหมาย เชน ความลบสวนบคคล (Privacy) และการปองกนขอมล

6.2.2 การทบทวนและตรวจสอบบรการจากผใหบรการภายนอก (Monitoring and Review of Third

Party Services) 1) BOI ตองจดท าขอตกลง ก าหนดสทธส าหรบ BOI ทจะตรวจสอบสภาพแวดลอมการท างานรวมทงการตรวจสอบการท างานของหนวยงานภายนอก โดยพจารณาจากสญญาจดซอจดจางของผใหบรการภายนอก

6.2.3 การจดการการเปลยนแปลงบรการจากผใหบรการภายนอก (Managing Changes to Third Party Services)

1) การเปลยนแปลงรายละเอยดการใหบรการของหนวยงานภายนอกทเกยวของกบบรการดานสารสนเทศขององคกรทกครง ตองเปนไปตามเอกสารวธปฏบตงานเรองการใหบรการของหนวยงานภายนอก (Third Party Service Delivery Management) (W IT CO 01)

P IT SP 01-00 ชดท 00 หนาท 28 / 69

6.3 การวางแผนและการยอมรบระบบสารสนเทศ (System Planning and Acceptance)

วตถประสงค: เพอลดความเสยงตอการเกดความลมเหลวของระบบลงใหเหลอนอยทสด

นโยบาย

6.3.1 การจดการขดความสามารถ (Capacity Management) 1) สสท. ตองมการตดตามสภาพการใชงาน และวเคราะหขดความสามารถทรพยากรดานเทคโนโลยสารสนเทศและการสอสารปจจบนอยางสม าเสมอ ตามความเหมาะสมของทรพยากรชนดตาง ๆ โดยปฏบตตามเอกสารวธปฏบตงานเรองการจดการขดความสามารถระบบ (Capacity Management) (W IT CO 02) 2) สสท. ตองมการวางแผนจดการขดความสามารถของระบบ อยางนอยปละ 1 ครงโดยพจารณาจากความตองการใชงานทรพยากรดานเทคโนโลยสารสนเทศและการสอสารในอนาคต (อาท ความตองการใน 1 ปทจะถง เชน CPU ทความเรวสงขน ฮารดดสกทความจมากขน เปนตน) สภาพการใชงานทรพยากรในปจจบน การเปลยนแปลงของเทคโนโลย 3) แผนการจดการขดความสามารถของระบบตองประกอบดวยวธการจดการขดความสามารถ อาท การ Tunning การจดหาเพมเตม

6.3.2 การยอมรบระบบ (System Acceptance) 1) สสท. ตองจดใหมเกณฑในการยอมรบระบบใหม ระบบทจดซอเขามาใชงาน หรอทรพยากรสารสนเทศ อน ๆ กอนการใชงาน รวมทงตองท าการทดสอบกอนทจะตรวจรบระบบนนดวย โดยปฏบตตามเอกสารวธปฏบตงานเรองการจดการการยอมรบระบบ (System Acceptance) (W IT CO 03)

P IT SP 01-00 ชดท 00 หนาท 29 / 69

6.4 การปองกนซอฟตแวรไมประสงคด (Protection Against Malicious and Mobile Code)

วตถประสงค: เพอเปนแนวทางการปองกนใหซอฟตแวรและขอมลสารสนเทศจากซอฟตแวรไมประสงคด ตาง ๆ

นโยบาย

6.4.1 การควบคมซอฟตแวรไมประสงคด (Controls Against Malicious Code) 1) เครองคอมพวเตอรลกขาย และเครองคอมพวเตอรแบบพกพา ตองไดรบการตดตงโปรแกรมปองกนไวรส รนลาสดทไดรบการอนมตจาก สสท. และตองเปดใชงานตลอดเวลาทใชงานเครอง โดยปฏบตตามเอกสารวธปฏบตงานเรองการจดการควบคมซอฟตแวรไมประสงคด (Controls Against Malicious Code Procedure) (W IT CO 04) 2) เครองคอมพวเตอรแมขายทใหบรการการปองกนไวรส ตองมการปรบปรงขอมลลาสด (Update Latest Pattern) อยเสมอ เครองใหบรการ เครองตงโตะ และโนตบคทกเครองตองไดรบการปรบปรงขอมลลาสดจากเครองคอมพวเตอรแมขายทใหบรการการปองกนไวรส 3) เอกสารการตดตงคาของเครองคอมพวเตอรแมขายทใหบรการปองกนไวรส ตองไดรบการตรวจสอบทก 6 เดอน 4) หามเจาหนาทท าการดาวนโหลดแชรแวรหรอฟรแวรโดยตรงจากอนเทอรเนต โดยปราศจากการอนมตจาก สสท. หลงจากการอนมตแลว เจาหนาทตองท าการสแกนซอฟตแวรดวยโปรแกรมตรวจหาไวรส กอนการใชงาน 5) ไฟลทกไฟลทดาวนโหลดในหนวยงานเปนไฟลแนบของอเมล ส าเนาจากแผนดส หรอไฟลแชรตาง ๆ ตองไดรบการสแกนหาไวรส 6) หามผใชงานสราง เกบ หรอเผยแพรโปรแกรมมงรายใด ๆ ตวอยางเชน ไวรส หนอนอนเทอรเนต โปรแกรมแฝง (มาโทรจน) อเมลบอมบ ฯลฯ เขาสระบบคอมพวเตอรขององคกร 7) หามผใชงานขดขวาง หรอรบกวนการท างานของซอฟตแวรปองกนไวรส

P IT SP 01-00 ชดท 00 หนาท 30 / 69

8) ไฟลทเกยวของกบการท างานเทานนทไดรบอนญาตใหสามารถรบ-สงผานระบบเครอขายขององคกรได ทงน ผใชงานควรรบไฟลเฉพาะจากบคคลทตนรจกและจากชองทางการตดตอสอสารทนาจะเปนไปไดเทานน นอกจากน ผใชงานตองท าการสแกนไวรสในไฟลทไดรบดวยซอฟตแวรปองกนไวรสขององคกร กอนเปดใชงานเสมอ 9) เครองคอมพวเตอรแมขายทกเครองใหปดฟงกชนการท างานเชอมตอกบอนเทอรเนตยกเวนในกรณทจ าเปนตองใชเทานน เพอเปนการปองกนไมใหโปรแกรมไมประสงคดมผลกระทบกบขอมลทส าคญบนเครองคอมพวเตอรแมขายเหลาน

6.4.2 การควบคมโปรแกรมชนดเคลอนทได (Controls Against Mobile Code) 1) เครองคอมพวเตอรลกขาย และเครองคอมพวเตอรแบบพกพา ตองไดรบการปรบคาตดตงอยางเหมาะสมเพอปองกน Active Code ตาง ๆ (เชน Java, Active X) จากแหลงทไมนาเชอถอในอนเทอรเนต

P IT SP 01-00 ชดท 00 หนาท 31 / 69

6.5 นโยบายการส ารองขอมล (Information Back-up)

วตถประสงค: เพอเปนแนวทางในก าหนดการส ารองขอมล เพอใชในการกระบบในกรณทเกดเหตตาง ๆ เชน ภยธรรมชาต ระบบเสยหาย ฯลฯ

นโยบาย 6.5.1 นโยบายการส ารองขอมล (Information Back-up) 1) สสท. ตองก าหนดความถในการท าการส ารองขอมล ขนอยกบความส าคญของขอมลและการยอมรบความเสยงทก าหนดโดยเจาของขอมล หรอระบบ โดยปฏบตตามเอกสารวธปฏบตงานเรองการจดการการส ารองขอมลสารสนเทศ (Backup & Restore Procedure) (W IT CB 01) 2) สสท. ตองจดใหมการดแลอปกรณ หรอระบบส ารองขอมลใหมประสทธภาพ สามารถใชงานไดตลอดเวลา 3) สสท. ตองมการควมคมการเขาถงทางกายภาพ (Physical Access Control) ของสถานททเกบขอมลส ารอง สอเกบขอมลตองไดรบการปองกนสอดคลองกบระดบความส าคญของระบบสารสนเทศ 4) สสท. ตองก าหนดระยะเวลาในการส ารองขอมลตามระดบการบรหารความเสยง 5) สสท. ตองมกระบวนการส ารองขอมลและการกขอมลของทกระบบ ตองมการท าเอกสาร และมการตรวจสอบเปนระยะ ๆ 6) สสท. ตองจดใหมทะเบยนการบนทกขอมลการส ารองขอมล และการเรยกคนขอมลในแตละครง 7) ขอมลส ารองตองไดรบการทดสอบเปนระยะ ๆ เพอใหมนใจวาขอมลทส ารองไวสามารถกขอมลกลบมาไดอยางสมบรณ 8) สสท. ตองลงบนทกการเกบสอขอมลทสถานทเกบขอมล ตองไดรบการตรวจสอบเปนประจ าทกป 9) กระบวนการในการเกบขอมลระหวางสถานทระบบคอมพวเตอรและสถานทเกบขอมลตองไดรบการตรวจสอบอยางนอยปละ 1 ครง

10) สอทใชเกบขอมลตองมปายบอกรายละเอยด ซงประกอบดวยขอมลอยางนอยดงตอไปน

P IT SP 01-00 ชดท 00 หนาท 32 / 69

- ชอระบบ

- วนสราง

- ระดบความส าคญของขอมล

- รายละเอยดตดตอผดแลขอมล

P IT SP 01-00 ชดท 00 หนาท 33 / 69

6.6 การจดการระบบรกษาความปลอดภยระบบเครอขาย (Network Security Management)

วตถประสงค: เพอปองกนขอมลในระบบเครอขาย และปองกนโครงสรางพนฐานทสนบสนนระบบเครอขายขององคกร

นโยบาย 6.6.1 การบรหารและจดการดานความมนคงปลอดภยบนเครอขาย (Network Controls) 1) สสท. ตองก าหนดหนาทความรบผดชอบ รวมทงวธปฏบตเมอมเหตการณผดปกตหรอการละเมดความปลอดภย และด าเนนการตรวจสอบผกระท าการละเมด 2) การจดท าคมอและขนตอนการปฏบตงานสารสนเทศในหนวยงาน ตองมเนอหาในสวนการใชงานอปกรณเครอขายทสนบสนนความมนคงปลอดภย 3) สสท. ตองแบงหนาทความรบผดชอบในการด าเนนงานในสวนทเกยวกบระบบเทคโนโลยสารสนเทศและเครอขายทหนวยงานนนรบผดชอบ 4) สสท. ตองบนทกรายละเอยดการเปลยนแปลงแกไขทส าคญและแจงใหหนวยงานอน ๆ ทเกยวของทราบ กรณทมการเปลยนแปลงแกไขระบบเครอขาย 5) บรหารจดการกจกรรมทเกยวของใหเหมาะสมและตองมนใจวาสอดคลองกบการควบคมขอมลสารสนเทศทสงผานเครอขายตลอดจนโครงสรางพนฐานขององคกรดวย 6.6.2 ความมนคงปลอดภยส าหรบการใชบรการเครอขาย (Security of Network Services) 1) ระบบเครอขายทงหมดของ BOI ทมการเชอมตอไปยงระบบเครอขายอน ๆ ตองมการใชอปกรณหรอโปรแกรมในการท า Packet Filtering เชน การใช Firewall หรอ ฮารดแวรอน ๆ รวมทงตองมความสามารถในการตรวจจบไวรสดวย 2) สสท. ตองจ ากดจ านวนการเชอมตอจากภายนอกเขามายงระบบเครอขายของ BOI และตองก าหนดใหการเชอมตอเขามายงเครองคอมพวเตอรทก าหนดไวเฉพาะและตดตอกบระบบงานทก าหนดไวเฉพาะเทานน และควรก าหนดใหเครองคอมพวเตอรและระบบงานดงกลาวแยกออกจากระบบเครอขายทเปนสวนทใชงานจรงของ BOI ทงทางดานกายภาพและทางดาน Logical และตองไมอนญาตใหหนวยงานภายนอกมสทธเขามาใช

P IT SP 01-00 ชดท 00 หนาท 34 / 69

คอมพวเตอรหรอระบบงานเครอขาย BOI ได 3) หามผใชงานตดตงโมเดมเขากบเครองคอมพวเตอรของตน หรอตอกบจดใดกตามบนระบบเครอขายของ BOI โดยไมไดรบอนญาตจาก สสท. 4) หามบคคลภายนอกท าการเชอมตอเครองคอมพวเตอรหรออปกรณใด ๆ จากภายนอกเขากบระบบคอมพวเตอรและระบบเครอขายของ BOI โดยเดดขาด หากมความจ าเปนตองใชงานตองด าเนนการขออนมตอยางเหมาะสมกอนทกครง 5) หามผใชงานตดตงฮารดแวรหรอซอฟตแวรใด ๆ ทเกยวของกบการใหบรการเครอขาย ตวอยางเชน Router, Switch, Hub และ Wireless Access Point ฯลฯ โดยไมไดรบอนญาตเดดขาด 6) หามผใชงานทอยบนระบบเครอขายของ BOI ท าการเชอมตอออกไปยงเครอขายภายนอก ผานทางโมเดมหรออปกรณเชอมตออนในขณะทยงเชอมตออยกบระบบเครอขายภายใน BOI โดยเดดขาด

P IT SP 01-00 ชดท 00 หนาท 35 / 69

6.7 การจดการสอทใชในการบนทกขอมลใหมความมนคงปลอดภย (Media Handing)

วตถประสงค: ปองกนความเสยหายทอาจเกดขนกบสอทใชในการบนทกขอมลขององคกร

นโยบาย 6.7.1 การบรหารและจดการสอบนทกขอมลทสามารถเคลอนยายได (Management of Removable

Media) 1) สสท. ตองก าหนดวธปฏบตและสทธส าหรบการใชงานสอบนทกขอมล โดยปฏบตตามเอกสารคมอการปฏบตงานเรองการลงทะเบยนสอเคลอนท และสอบทานการใชงาน (W IT CO 07) 6.7.2 การท าลายสอบนทกขอมล (Disposal of Media) 1) สสท. ควรจดท าระเบยบวธปฏบตงานส าหรบการท าลายสอทใชในการบนทกขอมลอยางเปนลายลกษณอกษร โดยปฏบตตามเอกสารคมอการปฏบตงานเรองการท าลายสอบนทกขอมลและขอมลบนสอบนทกขอมล (Disposal of media) (P IT CO 03) 2) การท าลายเอกสารและสอทใชในการบนทกขอมล จะตองไดรบการอนมตจากเจาของขอมล รวมทงบนทกรายละเอยดอยางเหมาะสม 3) สสท. ควรท าลายสอทใชในการบนทกขอมล เอกสาร และอปกรณส านกงานภายใตสงแวดลอมทไดมการควบคม (Controlled Environment) 6.7.3 วธปฏบตในการจดการสอบนทกขอมล (Information Handing Procedures) 1) สสท. ตองมการจดการขอมล โดยปฏบตตามคมอการปฏบตงานเรองการจดการสนทรพยสารสนเทศของ

องคกร (Asset Management) (P IT AM 01) 2) สสท. ตองมการจดการดานการปองกนการรวไหลหรอเปดเผยออกไป โดยมแนวทางปฏบต ดงน - ตองมการตดปายชอไวทสอบนทกอยางชดเจน - ก าหนดบคลกรทมสทธในการใชงาน - ตองเกบสอบนทกไวในสถานทและสงแวดลอมทปลอดภยจากการเสยหายทอาจเกดขนได เชน

อณหภมสงหรอต าเกนไป

P IT SP 01-00 ชดท 00 หนาท 36 / 69

6.7.4 การจดเกบเอกสารทเกยวกบระบบสารสนเทศขององคกรอยางปลอดภย (Security of System Documentation)

1) สสท. ตองมการก าหนดวธปฏบตและสทธส าหรบการใชเอกสารทเกยวของกบระบบสารสนเทศของหนวยงานใหชดเจน 2) สสท. ตองมการเกบรกษาเอกสารทเกยวของกบระบบสารสนเทศขององคกรอยางเหมาะสม 3) สสท. ตองปองกนการรวไหล หรอการเปดเผยของขอมลทส าคญทอยในเอกสารทเกยวของกบระบบสารสนเทศขององคกร

P IT SP 01-00 ชดท 00 หนาท 37 / 69

6.8 การแลกเปลยนขอมลสารสนเทศ (Exchange of Information)

วตถประสงค: เพอปองกนการสญหายของสารสนเทศและซอฟตแวร รวมทงเพอปองกนการเปลยนแปลงแกไขโดยไมไดรบอนญาต หรอการน าสารสนเทศไปใชในทางทไมเหมาะสม

นโยบาย 6.8.1 นโบยายและกระบวนการแลกเปลยนขอมลสารสนเทศ (Information Exchange policies and

procedures) 1) สสท. ตองมการด าเนนการแลกเปลยนสารสนเทศ โดยปฏบตตามคมอการปฏบตงานเรองการแลกเปลยนสารสนเทศ (Information Exchange Procedure) (P IT CO 04) 6.8.2 สญญาและขอก าหนดในการแลกเปลยนสารสนเทศ (Exchange Agreements) 1) สสท. ตองมการจดท าขอตกลงในการแลกเปลยนขอมล โดยปฏบตตามคมอการปฏบตงานเรองการแลกเปลยนสารสนเทศ (Information Exchange Procedure) (P IT CO 04) 6.8.3 การจดสงสอบนทกขอมลอยางมนคงปลอดภย (Physical Media in Transit) 1) สสท. ตองมวธการจดสงสอบนทกขอมล (สารสนเทศหรอซอฟตแวร) ใหมความมนคงปลอดภย โดยปฏบตตามวธปฏบตงานเรองการสงผานสอบนทกขอมล (Physical Media In Transit) (W IT CO 06) 6.8.4 การรกษาความมนคงปลอดภยขอมลอเลกทรอนกส (Electronic Messaging) 1) สสท. ตองมการก าหนดวธการปองกนการเขาถงขอมลอเลกทรอนกสรวมถงการจดสงขอมลอเลกทรอนกสผานระบบเครอขาย 6.8.5 ขอมลเผยแพรตอสาธารณะ (Publicly available information) 1) ขอมลเผยแพรตอสาธารณะมการปองกนการแกไข โดย สสท. ตองมการทบทวนความเทยงตรงและถกตอง

ของขอมลทจะน าเขาระบบ Web site www.boi.go.th โดยปฏบตตามวธปฏบตงานเรองสอสารภายในขององคกร (W SG IN 01)

P IT SP 01-00 ชดท 00 หนาท 38 / 69

6.9 การเฝาระวงทางดานความมนคงปลอดภย (Monitoring)

วตถประสงค: เพอตรวจจบกจกรรมการประมวลผลสารสนเทศทไมไดรบอนญาต

นโยบาย 6.9.1 การบนทกเหตการณทเกยวของกบการใชงานสารสนเทศ (Audit Logging) 1) สสท. ตองก าหนดใหท าการบนทกกจกรรมการใชงานของผใช การปฏเสธการใหบรการของระบบ และเหตการณตาง ๆ ทเกยวของกบความมนคงปลอดภยอยางสม าเสมอตามระยะเวลาทก าหนดไว โดยปฏบตตามเอกสารคมอการปฏบตงานเร องการเฝาระวงการใชงานระบบ (System Usage Monitoring Procedure) (P IT CO 05) 6.9.2 การตรวจสอบการใชงานระบบ (Monitoring System use) 1) สสท. ตองก าหนดใหตรวจสอบการใชงานสนทรพยสารสนเทศอยางสม าเสมอ เพอดวามสงผดปกตเกดขนหรอไม โดยปฏบตตามเอกสารคมอการปฏบตงานเรองการเฝาระวงการใชงานระบบ (System Usage Monitoring Procedure) (P IT CO 05) 6.9.3 การปองกนขอมลบนทกเหตการณ (Protection of log Information) 1) สสท. ตองก าหนดใหมการปองกนขอมลบนทกกจกรรมหรอเหตการณตาง ๆ ทเกยวของกบการใชงานสารสนเทศ เพอปองกนการเปลยนแปลงหรอการแกไขโดยไมไดรบอนญาต 6.9.4 บนทกกจกรรมการด าเนนงานของเจาหนาททเกยวของกบระบบ (Administrator and Operator

Logs) 1) สสท. ตองก าหนดใหมการบนทกกจกรรมการด าเนนงานของผดแลระบบหรอเจาหนาททเกยวของกบระบบอน ๆ รวมถงอปกรณคอมพวเตอรและเครอขาย 6.9.5 การบนทกเหตการณขอผดพลาด (Fault Logging) 1) สสท. ตองก าหนดใหมการบนทกเหตการณขอผดพลาดตาง ๆ ทเกยวของกบการใชงานสารสนเทศ วเคราะหขอผดพลาดเหลานน และด าเนนการแกไขตามสมควร 6.9.6 การตงเวลาของเครองคอมพวเตอรใหตรงกน (Clock Synchronization) 1) สสท. ตองตงเวลาของเครองคอมพวเตอรและอปกรณคอมพวเตอรในหนวยงานใหตรงกนโดยอางองจากแหลงเวลาทถก

ระบตาม พ.ร.บ. วาดวยการกระท าความผดเกยวกบคอมพวเตอร เพอชวยในการตรวจสอบชวงเวลาหากเครองคอมพวเตอรและอปกรณคอมพวเตอรขององคกรถกบกรกตาม พ.ร.บ. วาดวยการกระท าความผดเกยวกบคอมพวเตอร

P IT SP 01-00 ชดท 00 หนาท 39 / 69

หมวดท 7 การควบคมการเขาถง (Access Control) 7.1 การควบคมการเขาถงระบบสารสนเทศ (Business Requirement for Access

Control) วตถประสงค: เพอควบคมการเขาถงขอมลและระบบสารสนเทศใหมความมนคงปลอดภย

นโยบาย 7.1.1 นโยบายควบคมการเขาถง (Access Control Policy) 1) สสท. มการก าหนดใหมการควบคมการใชงานขอมลและระบบสารสนเทศ เพอควบคมการเขาถงให เขาไดเฉพาะผทไดรบอนญาตเทานนโดยปฏบตตามคมอการปฏบตงานเรองการบรหารจดการผใชงาน (User Management Procedure) (P IT AC 01) 2) สสท. ตองก าหนดสทธการเขาถงขอมลและระบบสารสนเทศใหเหมาะสมกบการเขาใชงานและหนาทความรบผดชอบของผใชงานกอนเขาใชระบบเทคโนโลยสารสนเทศและการสอสาร รวมทงมการทบทวนสทธการเขาถงอยางสม าเสมอ โดยปฏบตตามคมอการปฏบตงานเรองการทบทวนสทธการเขาถงของผใชงาน (Review of User Access Rights Procedure) (P IT AC 02) ทงนผใชงานจะตองไดรบอนญาตจากผบงคบบญชาตามความจ าเปนในการใชงาน 3) ผดแลระบบเทานนทสามารถแกไขเปลยนแปลงสทธการเขาถงขอมลและระบบสารสนเทศได 4) สสท. ตองมการบนทกและตดตามการใชงานระบบเทคโนโลยสารสนเทศและการสอสารขององคกร และเฝาระวงการละเมดความปลอดภย ทมตอขอมลและระบบสารสนเทศทส าคญ 5) สสท. ตองบนทกรายละเอยดการเขาถงระบบ การแกไขเปลยนแปลงสทธตาง ๆ ของทงผทไดรบอนญาตและไมไดรบอนญาต เพอเปนหลกฐานในการตรวจสอบหากมปญหาเกดขน 6) สสท. ตองก าหนดกฎเกณฑขอหามและบทลงโทษการเขาถงขอมลและระบบสารสนเทศ 7) การเขาถงขอมล และระบบสารสนเทศของส านกงาน จะกระท าไดกตอเมอไดรบการอนมตโดยผบงคบบญชาของบคคลนน ๆและสามารถเขาใชขอมล และระบบเฉพาะทเกยวของกบงานในหนาทของบคคลนน ๆ เทานน ความปลอดภยของขอมล และกระบวนการรกษาความลบของขอมลถอวาเปนสวนหนงในการก าหนดนโยบาย และขนตอนการท างานของระบบสารสนเทศ กระบวนการเหลานหมายรวมถงการใหสทธ และการบรหารจดการรหสในการเขาใชงาน การก าหนดขอบเขตในการเขาถงขอมล หรอระบบคอมพวเตอร และอปกรณทเกบขอมลประเภทอน ๆ การส ารองขอมลและการกขอมลทเสยหายกลบคนมา

P IT SP 01-00 ชดท 00 หนาท 40 / 69

7.2 การจดการการเขาถงระบบของผใชงาน (User Access Management)

วตถประสงค: เพอปองกนไมใหผทไมมสทธใชงานสามารถเขาถงระบบสารสนเทศได

นโยบาย 7.2.1 การลงทะเบยนผใชงานใหม (User Registration) 1) การลงทะเบยนผใชงานใหม ตองก าหนดใหมระเบยบปฏบตอยางเปนทางการส าหรบการลงทะเบยนผใชงานใหมเพอใหมสทธตาง ๆ ในการใชงานตามความจ าเปนรวมทงระเบยบปฏบตส าหรบการยกเลกสทธการใชงาน เชน เมอลาออกไป หรอเมอเปลยนต าแหนงงานภายในองคกร เปนตน โดยปฏบตตามคมอการปฏบตงานเรองการบรหารจดการผใชงาน (User Management Procedure) (P IT AC 01) โดยผใชงานตองไดรบการทบทวน และพจารณาอนมตตามขนตอนขององคกรอยางเครงครด 7.2.2 การบรหารสทธการเขาถงระบบของผใชงานระบบ (Privilege Management) 1) สสท. ตองก าหนดสทธของผใชงานในการเขาถงระบบสารสนเทศแตละระบบ รวมทงก าหนดสทธแยกตามหนาททรบผดชอบดวย 2) ผใชงานตองไดรบการตรวจพสจนตวตนทกครงเมอท าการ Log-on เขาสระบบสารสนเทศ 7.2.3 การบรหารจดการรหสผานผใชงาน (User Password Management) 1) สสท. ตองบรหารจดการรหสผานของผใชงานใหมความมนคงปลอดภยอยเสมอ ตามคมอการปฏบตงาน

เรองแนวทางการใชเทคโนโลยสารสนเทศ และการสอสาร (ICT usage guideline) (W IT AC 01)

7.2.4 การทบทวนสทธในการเขาถงระบบของผใชงาน (Review of User Access Rights) 1) สสท. ตองทบทวนสทธในการเขาถงระบบสารสนเทศตามระยะเวลาทก าหนดไว ตามคมอการปฏบตงานเรองการทบวนสทธการเขาถงของผใชงาน (Review of User Access Rights Procedure) (P IT AC 02)

P IT SP 01-00 ชดท 00 หนาท 41 / 69

7.3 การรบผดชอบหนาทของผใชงาน (User Responsibilities)

วตถประสงค: เพอปองกนไมใหผทไมมสทธ สามารถเขาถงระบบสารสนเทศได

นโยบาย 7.3.1 การใชงานรหสผาน (Password Use) 1) ผดแลระบบ ทรบผดชอบระบบงานนน ๆ ตองก าหนดสทธของผใชงานในการเขาถงระบบเทคโนโลยสารสนเทศและการสอสารแตละระบบ รวมทงก าหนดสทธแยกตามหนาททรบผดชอบ 2) เจาหนาทตองปฏบตตามการควบคมการเขาถงสารสนเทศองคกร การก าหนด การเปลยนแปลงและการยกเลกรหสผานและการจดการควบคมการใชรหสผาน 3) กรณมความจ าเปนตองใหสทธพเศษกบผใชงาน หมายถง ผใชงานทมสทธสงสด ตองมการพจารณาการควบคมผใชงานทมสทธพเศษนนอยางรดกมเพยงพอ โดยใชปจจยตอไปนประกอบการพจารณา

- ควรไดรบความเหนชอบและอนมตจากผบงคบบญชาและผดแลระบบงานนน ๆ

- ควรควบคมการใชงานอยางเขมงวด เชน ก าหนดใหมการควบคมการใชงานเฉพาะกรณจ าเปนเทานน

- ควรก าหนดระยะเวลาการใชงานและระงบการใชงานทนทเมอพนระยะเวลาดงกลาว

- ควรมการเปลยนรหสผานอยางเครงครด 4) ผใชงานตองเปนผรบผดชอบในการดแล รกษา User Name และรหสผานของตนเอง รวมทงขอมลสวนบคคลทอาจน ามาใชเพอขอเปลยนแปลงขอมลบญชการใชงานระบบได ใหมความมงคงปลอดภยอยางสม าเสมอ 5) รหสผานตองไดรบการเปลยนเมอเขาใชงานครงแรก และเปลยนอยางสม าเสมอตามชวงระยะเวลาทก าหนดไวในวธการปฎบตงานเรองแนวทางการใชเทคโนโลยสารสนเทศ และการสอสาร (W IT AC 01) 6) รหสผานตองมความมนคงปลอดภยตามทไดก าหนดไวในวธการปฎบตงานเรองแนวทางการใชเทคโนโลยสารสนเทศ และการสอสาร (W IT AC 01)

P IT SP 01-00 ชดท 00 หนาท 42 / 69

7) รหสผานถอเปนขอมลลบ และเปนหนาทของผใชงานทกคนทตองเกบรกษารหสผานอยางมนคงปลอดภย หามใช Account รวมกนหรอใหผอนเขาใชงาน Account ของตนโดยเดดขาด ทงน รวมถงสมาชกในครอบครวเมอผใชงานน างานกลบไปท าทบานดวย 8) ผใชงานตองรบผดชอบตอการกระท าใด ๆ ทกระท าผาน User ID และรหสผานของตนทงหมด 9) รหสผานของ Account ทมสทธพเศษในระบบส าคญขององคกรตองไดรบการควบคมโดย สสท. หรอผทไดรบมอบหมายหนาทอยางเปนทางการ 10) ผใชงานทกคนตองไดรบการฝกอบรมเพอใหมความรและความตระหนกในการใชงานรหสผานอยางถกตอง และรบทราบเทคนคตาง ๆ ทใชในการหลอกลวงและน าไปสการโจรกรรมขอมล 11) ระบบหรอการกระท าใด ๆ ทไมสอดคลองกบนโยบายฉบบนตองไดรบการบนทกประเมน และพจารณาอนมตอยางเหมาะสม ตวอยางเชน หากจ าเปนตองมการใชงาน Account รวมกนโดยผใชงานตงแตหนงคนขนไป ISMT ตองเกบบนทกรายชอผทมสทธใชงาน Account ดงกลาวและระบบทงหมดท Account นนมสทธเขาถง 12) หากผใชงานสงสยวา User ID หรอรหสผานของตนถกลวงละเมด ใหผใชงานแจงเหตตอ สสท. และท าการเปลยนแปลงรหสผานทงหมดทนท 13) ผจดการโครงการของระบบใหมทเกดขนในองคกรตองตรวจสอบใหมนใจวา ระบบในความดแลของตนสอดคลองกบเนอหาของนโยบายฉบบน รวมถงเอกสารสนบสนนอน ๆ ทเกยวของทงหมด และตองประสานงานกบผดแลระบบใหท าการควบคม และปรบแตงคาตาง ๆ ของระบบใหเปนไปตามขอก าหนดทเกยวของทงหมดนกอนเรมน ามาใชงานจรง 14) การ Reset Password ตองผานกระบวนการมาตรฐานขององคกรเทานน เพอใหมนใจวาตรงกบ User ทตองการ Reset รหสผานจรง อกทงเจาหนาททดแลระบบมสทธในการขอขอมลและพสจนตวตนของผใชงานตามความเหมาะสม

P IT SP 01-00 ชดท 00 หนาท 43 / 69

15) ในทางกลบกน ผใชงานอาจไดรบการรองขอจาก สสท. ใหท าการเปลยนรหสผานใหม ในกรณทรหสผานของผใชงานไมมความมนคงปลอดภย สามารถถกคาดเดา หรอถกลวงละเมดไดงาย ทงน ผใชงานตองตรวจสอบความถกตองของแหลงทมาของค ารองขอดงกลาวดวย เพอใหมนใจวาการรองขอนนไมไดเปนการหลอกลวง 7.3.2 การปองกนอปกรณทไมมผดแล (Unattended User Equipment) 1) สสท. ตองปองกนไมใหผไมมสทธเขาถงอปกรณส านกงาน ระบบสารสนเทศ ระบบคอมพวเตอรและระบบเครอขาย ทไมมผดแล 7.3.3 การควบคมการไมทงทรพยสนสารสนเทศทส าคญไวในทไมปลอดภย (Clear Desk and Clear Screen Policy) 1) เจาหนาทตองก าหนดการควบคมเอกสาร ขอมล หรอสอตาง ๆ ทมขอมลส าคญจดเกบ หรอบนทกอย ไมใหวางทงไวบนโตะท างานหรอในสถานทไมปลอดภยในขณะไมไดน ามาใชงาน ตลอดจนการควบคมหนาจอคอมพวเตอร (Desktop) ไมใหมขอมลส าคญ ปรากฏในขณะไมไดใชงาน

P IT SP 01-00 ชดท 00 หนาท 44 / 69

7.4 การควบคมการเขาถงเครอขาย (Network Access Control)

วตถประสงค: เพอควบคมการใชบรการบนเครอขายขององคกร

นโยบาย 7.4.1 นโยบายการใชงานบรการเครอขาย (Policy on Use of Network Services) 1) สสท. ตองควบคมการเขาถงเครอขายและบรการบนเครอขายโดยเฉพาะเพอรกษาความมนคงปลอดภยใหแกขอมลและระบบเทคโนโลยสารสนเทศ อาท

- ใชงานโปรโตคอลทมนคงปลอดภยในการบรหารจดการระบบเครอขาย อาท Secure Socket Layer (SSL) Simple Network Management Protocol (SNMP)

- จ ากดการใชงานเครอขายทสงผลกระทบตอ Bandwidth เชน การรบ-สงไฟลขนาดใหญ ฟงเพลงออนไลน ดทวออนไลน หรอ เลนเกมสออนไลน ในชวงเวลาท าการ ยกเวนกรณทไดรบอนญาตจาก ISM

2) ระบบเครอขายตองไดรบการออกแบบและตงคาอยางเหมาะสม เพอรกษาความมนคงปลอดภยใหแกขอมลสารสนเทศและระบบเทคโนโลยสารสนเทศและการสอสาร อาท

- อปกรณทเชอมตอกบระบบเครอขายทงหมดตองไดรบการตงคาใหมความปลอดภยและการมการตรวจสอบกจกรรมตางๆ ทเกยวของกบระบบเครอขาย

- ระบบสายสญญาณตองไดรบมาตรฐานอตสาหกรรมและไดรบการตดตงโดยผทมความช านาญทผานการพจารณาอนมตแลว

- อปกรณเครอขาย อาท Router, Firewall, Switch, Wireless Access Point ตองไดรบการตงคาตามความจ าเปนดานความมนคงปลอดภยของอปกรณนนๆ หรอตามค าแนะน าขององคกรดานความมนคงปลอดภยตางๆ อาท SANS Institute หรอ NSA

- IP Address ตองไดรบการลงทะเบยน แจกจายและบรหารจดการโดย สสท.

- อปกรณเครอขายทส าคญ เชน Router, Core Switch ตองมอปกรณส ารองไฟฟา (UPS) เสมอ

- การเปลยนแปลงระบบเครอขายหรออปกรณเครอขายตองไดรบการควบคมโดยปฏบตตามคมอปฏบตงานเรองการจดการการเปลยนแปลง (Change Management Procedure) ระบบคอมพวเตอรแมขายและระบบเครอขาย (P IT CO 01)

- ระบบเครอขายตองไดรบการออกแบบหรอตงคาใหท างานไดอยางมประสทธภาพ (Reliable) มความยดหยน (Flexible) รวมถงสามารถรองรบการขยายตวและความตองการใชงานในอนาคต (Scalable)

P IT SP 01-00 ชดท 00 หนาท 45 / 69

3) ขอตกลงการใหบรการเครอขายตองระบถงรายละเอยด และขอก าหนดเกยวกบการรกษาความมนคงปลอดภย ระดบการใหบรการ และการบรหารจดการบรการเครอขายทงหมดหากบรการเครอขายนนไดรบการด าเนนการโดยหนวยงานภายนอก ตองมการระบถงสทธของบรษทฯ ในการตดตามตรวจสอบ และตรวจประเมนการท างานของหนวยงานภายนอกดว 7.4.2 การพสจนตวตนของการเชอมตอจากภายนอก (User authentication for external

connections) 1) สสท. ตองมกลไกในการพสจนตวตนทเหมาะสมในการควบคมการเขาถงของผใชงานจากภายนอก โดยปฏบตตามคมอการปฏบตงานเรองการบรหารจดการผใชงาน (User Management Procedure) (P IT AC 01) 7.4.3 การระบและพสจนตวตนของอปกรณในระบบเครอขาย (Equipment identification in

networks) 1) สสท. ตองก าหนดใหอปกรณบนเครอขายสามารถระบและพสจนตวตนเพอบงบอกวาการเชอมตอนนมา

จากอปกรณหรอสถานททไดรบอนญาตแลว เพอใหมการเชอมตอไดเฉพาะอปกรณและสถานททมสทธเทานน

7.4.4 การปองกนพอรตทใชส าหรบตรวจสอบและปรบแตงระบบ (Remote Diagnostic and Configuration Port Protection)

1) สสท. ตองมการปองกนการเขาถงพอรตทใชส าหรบตรวจสอบและปรบแตงระบบ และตองครอบคลมทงการปองกนทางกายภาพและการปองกนการเขาถงโดยผานทางเครอขาย

2) พอรตทไมเกยวของกบการปฏบตงานหรอการด าเนนงานตองถกระงบการใชงาน 7.4.5 การจดแบงเครอขายภายในองคกรกบภายนอกองคกร (Segregation in Networks) 1) สสท. ตองออกแบบระบบเครอขายตามกลมของบรการระบบเทคโนโลยสารสนเทศและการสอสารทมการใชงานแบงตามกลมของผใช และกลมของระบบสารสนเทศ เชน โซนภายใน ( Internal Zone) โซนภายนอก (External Zone) เปนตน เพอท าใหการควบคม และปองกนการบกรกไดอยางเปนระบบ 2) สสท. ตองจดท าแผนผงระบบเครอขาย (Network Diagram) ตองมรายละเอยดเกยวกบขอบเขตของเครอขายภายในและเครอขายภายนอก และอปกรณตาง ๆ พรอมทงปรบปรงใหเปนปจจบนอยเสมอ

P IT SP 01-00 ชดท 00 หนาท 46 / 69

7.4.6 การควบคมผใชงานในการใชงานเครอขาย (Network Connection Control) 1) สสท. ตองจ ากดสทธการใชงานเพอควบคมผใชงานใหสามารถใชงานเฉพาะเครอขายทไดรบอนญาตเทานน

และใหผใชงานปฏบตตามนโยบายขอ 3.1.3 การอนญาตใหใชสนทรพย (Acceptable Use for Assets)

2) บรการเครอขาย (Network Services) ทไมเกยวของกบการปฏบตงานหรอการด าเนนงานตองถกระงบการใชงาน

7.4.7 การจ ากดเสนทางการเขาถงเครอขายทมการใชงานรวมกน (Network Routing Control) 1) สสท. ตองจ ากดเสนทางการเขาถงเครอขายทมการใชงานรวมกน ดงน

- ตรวจสอบความนาเชอถอของตนทางและปลายทางเพอควบคมการเชอมตอใหเปนไปตามทก าหนดไวใน Routing Table เทานน เพอปองกนการเชอมตอกบเครอขายทไมเหมาะสม

- ตรวจสอบเสนทางการเชอมตอทก าหนดไวใน Routing Table อยางสม าเสมอ

- IP Address ของเครอขายภายในตองไมถกเปดเผยตอเครอขายภายนอก อาท การใชเทคโนโลย Network Address Translation (NAT)

P IT SP 01-00 ชดท 00 หนาท 47 / 69

7.5 การควบคมการใชงานระบบปฏบตการ (Operating System Access Control)

วตถประสงค: เพอปองกนการใชงานระบบปฏบตการโดยไมไดรบอนญาต

นโยบาย 7.5.1 กระบวนการเขาถงระบบ (Secure Log-on Procedures) 1) สสท. ตองก าหนดกระบวนการในการเขาถงระบบใหมความมนคงปลอดภย เชน ก าหนดใหระบบใหบรการจะปฏเสธการใชงานหากผใชพมพรหสผานผดพลาดเกน 3 ครง เปนตน

7.5.2 การพสจนตวตนส าหรบผใชงานระบบ (User Identification and Authentication) 1) สสท. ตองก าหนดใหมการพสจนตวตนส าหรบผใชงานระบบเปนรายบคคลกอนทจะอนญาตใหเขาใชงานระบบ

7.5.3 การบรหารจดการรหสผาน (Password Management System) 1) สสท. ตองจดใหมระบบหรอวธการในการตรวจสอบคณภาพของรหสผาน และมวธการควบคมดแลใหผใชงานระบบเปลยนรหสผานตามระยะเวลาทก าหนด

7.5.4 การควบคมการใชงานโปรแกรมยทลต (Use of System Utilities) 1) สสท. ตองก าหนดใหมการควบคมการใชโปรแกรมยทลตส าหรบระบบ เพอปองกนการเขาถงโดยผทไมไดรบอนญาต ไดแก

- กอนใชตองท าการพสจนตวตนกอน

- ใหท าการแยกโปรแกรมยทลตออกจากโปรแกรมระบบงาน

- จ ากดการใชงานโปรแกรมยทลตใหเฉพาะผทไดรบมอบหมายแลวเทานน

- ใหบนทกรายละเอยดการเขาใชงานโปรแกรมยทลต เชน ผใชงานระบบ เปนตน

7.5.5 การก าหนดเวลาการใชงานระบบ (Session Time-out) 1) สสท. ตองมวธการตดเวลาการใชงานเครองคอมพวเตอรลกขาย เมอเครองคอมพวเตอรลกขายนนไมไดมการใชงานเปนระยะเวลาหนง เชน กลไกการลอกหนาจอ และตองใชรหสผานในการเขาสระบบ

P IT SP 01-00 ชดท 00 หนาท 48 / 69

7.6 การควบคมการใชงานระบบสารสนเทศและสารสนเทศ (Application and Information Access Control)

วตถประสงค: เพอปองกนการใชงานระบบสารสนเทศและสารสนเทศโดยไมไดรบอนญาต

นโยบาย 7.6.1 การจ ากดการใชงานสารสนเทศ (Information Access Restriction) 1) สสท. ตองมการควบคมการใชงานสารสนเทศในระบบสารสนเทศ ไดแก ก าหนดสทธในการใชงาน เชน เขยน อาน ลบ ได เปนตน ก าหนดกลมของผใชทสามารถใชงานได ตรวจสอบวาสารสนเทศทอนญาตใหใชงานนนมเฉพาะขอมลทจ าเปนตองใชงาน 2) บญชผใชงานทมสทธการเขาถงระบบสารสนเทศในระดบพเศษ เชน Root หรอ Administrator ตองไดรบการพจารณามอบหมายใหแกผใชงานตามความจ าเปนและมการก าหนดระยะเวลาในการเขาถงอยางเหมาะสมกบการท างานเทานน 3) บคคลภายนอก ตองแสดงความยนยอมปฎบตตามนโยบายดานการรกษาความมนคงปลอดภยดานเทคโนโลยสารสนเทศและการสอสาร (ICT Security Policy) ขององคกรอยางเครงครด กอนทจะไดรบอนญาตใหเขาถงระบบเทคโนโลยสารสนเทศขององคกร 7.6.2 การแยกระบบสารสนเทศทมความส าคญสง (Sensitive System Isolation) 1) สสท. ตองมการแยกระบบสารสนเทศทมความส าคญ หรอมความเสยงสงไวอกบรเวณหนง เชน การแบงระหวางระบบทเชอมตออนเทอรเนตกบระบบอนทราเนตภายในทใชงานในองคกร เปนตน

P IT SP 01-00 ชดท 00 หนาท 49 / 69

7.7 การควบคมการเขาถงขอมลสารสนเทศ (Information Technology Access Control)

วตถประสงค: เพอปองกนการเขาถงขอมลสารสนเทศโดยไมไดรบอนญาต

นโยบาย 7.7.1 การเขาถงขอมลสารสนเทศ (Information Technology Access) 1) สทธการเขาถงไฟลขอมลสารสนเทศตองไดรบการควบคม และไดรบการพจารณาอนมตเทาทจ าเปนเทานน เพอใหไฟลขอมลสารสนเทศไดรบการรกษาความมนคงปลอดภยอยางมประสทธภาพ รวมทงเปนการแบงแยกสทธ และหนาทของผใชงาน

P IT SP 01-00 ชดท 00 หนาท 50 / 69

7.8 คอมพวเตอรประเภทพกพาและการปฏบตงานนอกสถานท (Mobile Computing)

วตถประสงค: เพอควบคมการใชงานอปกรณคอมพวเตอรประเภทพกพาได รวมทงการปฏบตงานนอกส านกงานใหเปนไปอยางปลอดภย

นโยบาย 7.8.1 การปองกนขอมลและทรพยสนดานสารสนเทศทอยในเครองคอมพวเตอรประเภทพกพา

(Mobile Computing and Communications) 1) สสท. ตองมวธการปองกนขอมลและทรพยสนดานสารสนเทศทอยในเครองคอมพวเตอรประเภทพกพา (Notebook, Palmtops, Laptop) และอปกรณสอสารอน ๆ เชน เมอปฏบตงานอยนอกสถานท

- ตองใสรหสผานปองกนหนาจอทกเครอง

- ตองใสรหสผานปองกนขอมลทส าคญ โดยปฏบตตามวธการปฎบตเรองการใชเครองคอมพวเตอรประเภทพกพาในการปฏบตงานนอกสถานท (Mobile Computing and Communications) (W IT AM 01)

7.8.2 การปฏบตงานจากภายนอก (Teleworking) 1) สสท. อนญาตใหบคลากรทจ าเปนตองปฏบตงานขององคกรจากภายนอกส านกงาน โดยใหปฏบตตามคมอการปฏบตงานเรองการบรหารจดการผใชงาน (User Management Procedure) (P IT AC 01) เพอใหมการตรวจพสจนตวตนและควบคมการท างานจากระยะไกล

P IT SP 01-00 ชดท 00 หนาท 51 / 69

หมวดท 8 การจดหา พฒนา และดแลระบบสารสนเทศ (Information Systems Acquisition, Development, and Maintenance)

8.1 การก าหนดความตองการดานความมนคงปลอดภยส าหรบระบบสารสนเทศ (Security Requirements of Information Systems)

วตถประสงค: เพอการสรางความปลอดภยใหกบระบบสารสนเทศ

นโยบาย 8.1.1 การก าหนดความตองการดานความมนคงปลอดภย (Security Requirements Analysis and

Specification) 1) สสท. ตองก าหนดความตองการดานความมนคงปลอดภยไวอยางชดเจนในระบบทจะพฒนาขนมาใชงาน หรอซอมาใชงาน 2) หนวยงานดแลระบบเทคโนโลยสารสนเทศ จะตองท าการวเคราะหระบบเทคโนโลยสารสนเทศ วามความเสยงใดบางทจะท าใหขอมลเกดความเสยหาย โดยมงเนนในสวนตาง ๆ ดงน

- มาตรการปฏบตกอนทจะเกดความเสยหาย เชน การส ารองขอมล ระบบเครอขายส ารอง เปนตน - มาตรการปฏบตหลงจากเกดความเสยหาย เชน แผนการกคนขอมล ระยะเวลาในการกคนขอมล

เปนตน

P IT SP 01-00 ชดท 00 หนาท 52 / 69

8.2 ความมนคงปลอดภยของแฟมขอมลระบบ (Security of System Files)

วตถประสงค: เพอใหโครงการสารสนเทศไดรบการด าเนนการอยางปลอดภย

นโยบาย 8.2.1 การควบคมการตดตงซอฟตแวรลงไปยงระบบทใหบรการ (Control of Operational Software) 1) ผพฒนาระบบสารสนเทศตองมการควบคมการตดตงซอฟตแวรใหม ซอฟตแวรไลบาร ซอฟตแวรอดชองโหว ลงในเครองทใชงานหรอเครองใหบรการ โดยกอนการตดตงในระบบจรงจะตองผานการทดสอบการใชงานมาเปนอยางดวาไมกอใหเกดปญหากบเครองทใหบรการอย โดยปฏบตตามวธการปฎบตเรองการควบคมระบบสารสนเทศทใชในการปฏบตงาน (Control of operational software) (P IT IS 02) 8.2.2 การปองกนขอมลทใชในการทดสอบ (Protection of System Test Data) 1) ขอมลจรงทจะน าไปใชในการทดสอบระบบจะตองไดรบอนญาตจากผรบผดชอบในการรกษาขอมล นน ๆ กอน เมอใชงานเสรจจะตองท าการลบขอมลจรงออกจากระบบทดสอบทนท และท าการบนทกไวเปนหลกฐานวาไดน าขอมลจรงไปใชในการทดสอบอะไรบาง รวมถงวน เวลา และหนวยงานททดสอบ แจงไปยงผรบผดชอบในการรกษาขอมลนนอกครง 8.2.3 การควบคมการเขาถงซอรสโคดส าหรบระบบ (Access Control to Program Source Code) 1) ผพฒนาระบบสารสนเทศตองจดใหมการควบคมการเขาถง Source Code ของระบบทใชงานจรงหรอใหบรการ เชน

- ไมควรเกบ Source Code ไวในเครองทใชงานจรงและตองเกบ Source Code ไวในททปลอดภย

- ตองไมเกบ Source Code ทอยในระหวางท าการทดสอบรวมไวกบ Source Code ทใชงานไดจรงแลว

P IT SP 01-00 ชดท 00 หนาท 53 / 69

8.3 ความมนคงปลอดภยส าหรบกระบวนการในการพฒนาระบบ (Security in Development and Support Processes)

วตถประสงค: เพอสรางความมนคงปลอดภยใหกบซอฟตแวรส าหรบระบบสารสนเทศ รวมทงสารสนเทศในระบบดวย

นโยบาย 8.3.1 กระบวนการในการควบคมการเปลยนแปลงแกไขซอฟตแวร (Change Control Procedures) 1) ผพฒนาระบบสารสนเทศตองมกระบวนการเพอควบคมการเปลยนแปลงแกไขซอฟตแวรส าหรบระบบสารสนเทศทใชงานจรง หรอใหบรการอยแลว เชน

- ค าขอใหแกไขตองมาจากผทมสทธ

- ตองมการอนมตค าขอโดยผมอ านาจ

- ตองมการควบคมผลขางเคยงทอาจเกดขนหลงจากมการแกไข

- เมอแกไขเสรจแลวตองมการตรวจรบจากผมอ านาจ

- ตองเกบรายละเอยดของค าขอไว เปนตน โดยปฏบตตามวธการปฎบตเรอง การจดการการเปลยนแปลง (Change Management Procedure) ระบบสารสนเทศและขอมล (P IT CO 02)

8.3.2 การตรวจสอบซอฟตแวรหลงจากการเปลยนแปลงระบบปฏบตการ (Technical Review of Applications After Operating System Changes)

1) เมอระบบปฏบตการมการแกไขหรอเปลยนแปลงซอฟตแวรตาง ๆ ผพฒนาระบบสารสนเทศจะตองตรวจสอบและทดสอบวาไมมผลกระทบตอการท างานและความมนคงปลอดภย 8.3.3 การควบคมการเปลยนแปลงของซอฟตแวรส าเรจรป (Restrictions on Changes to Software Packages) 1) เมอมการใชงานซอฟตแวรส าเรจรปตองมการควบคมการเปลยนแปลงเทาทจ าเปน และการเปลยนแปลงทงหมดจะตองถกทดสอบและจดท าเปนเอกสารเพอใหสามารถน ามาใชงานไดเมอมการปรบปรงซอฟตแวรในอนาคต

P IT SP 01-00 ชดท 00 หนาท 54 / 69

8.3.4 การควบคมการรวไหลของขอมล (Information Leakage) 1) ผพฒนาระบบสารสนเทศตองมการปองกนโอกาสการรวไหลของขอมล เชน การดกจบขอมลจากสายสญญาณภายนอกองคกร การปลอมแปลง การใชซอฟตแวรทมความเสยงในการรวไหลของขอมล 8.3.5 การควบคมการวาจางการพฒนาระบบ (Outsourced Software Development)

1) ในการท าสญญาวาจางการพฒนาระบบของ BOI ตองมความชดเจนและครอบคลมถงสญญาทางดานลขสทธซอฟตแวร การใชระบบ การตรวจสอบระบบ โดยละเอยดกอนตดตงใชงานจรง รวมถงการรบรองคณภาพของระบบ และการก าหนดขอบเขตในการจางพฒนาระบบ

P IT SP 01-00 ชดท 00 หนาท 55 / 69

8.4 การบรหารจดการชองโหวในฮารดแวรและซอฟตแวร (Technical Vulnerability Management)

วตถประสงค: เพอสรางความมนคงปลอดภยใหกบซอฟตแวรส าหรบระบบสารสนเทศ รวมทงสารสนเทศในระบบดวยเพอลดความเสยงจากการโจมตโดยอาศยชองโหวทางเทคนคทมการเผยแพรหรอตพมพในสถานทตาง ๆ

นโยบาย 8.4.1 มาตรการควบคมชองโหวทางเทคนค (Control of Technical Vulnerabilities) 1) สสท. ตองมการตดตามขอมลขาวสารทเกยวของกบชองโหวในระบบตาง ๆ ทใชงาน และประเมนความเสยงของชองโหวเหลานนรวมทง ก าหนดมาตรการรองรบเพอลดความเสยงดงกลาว

P IT SP 01-00 ชดท 00 หนาท 56 / 69

หมวดท 9 การบรหารจดการเหตการณดานความมนคงปลอดภยสารสนเทศ (Information Security Incident Management)

9.1 การรายงานเหตการณและจดออนทเกยวของกบความมนคง (Reporting Information Security Events and Weaknesses)

วตถประสงค: เพอใหเหตการณและจดออนทเกยวของกบความมนคงปลอดภยตอระบบสารสนเทศขององคกรไดรบการด าเนนการทถกตองในชวงระยะเวลาทเหมาะสม

นโยบาย 9.1.1 การรายงานเหตการณทเกยวของกบความมนคงปลอดภย (Reporting Information Security

Events)

1) ผใชงานตองรายงานเหตการณทเกยวของกบความมนคงปลอดภยขององคกร โดยผานชองทางการรายงานทก าหนดไว และ IIS (บรหารจดการเหตการณดานความมนคงปลอดภยสารสนเทศ) จะตองด าเนนการอยางรวดเรวทสดเทาทจะท าได โดยปฏบตตามเอกสารคมอการปฏบตงานเรองการบรหารจดการเหตการณดานความมนคงปลอดภยสารสนเทศ ( Information Security Incident Management Procedure) (P IT IM 01) 2) ผใชงานและบคคลภายนอกทกคนมหนาทรายงานเหตละเมดความมนคงปลอดภย จดออน หรอการกระท าทไมเหมาะสมใด ๆ ทเกดขน หรอตองสงสยวาเกดขนภายในองคกรตอผบงคบบญชา หรอหนวยงานจดการความปลอดภย (Security Management) ทนททพบเหต เพอใหสามารถด าเนนการแกไขปญหาไดอยางทนทวงท 3) ผใชงานทพบหรอรบทราบถงการท างานทผดปกต ขอผดพลาด หรอจดออนของซอฟตแวร ตองรายงานตอ IIS (บรหารจดการเหตการณดานความมนคงปลอดภยสารสนเทศ) ทนท 4) ผใชงานทพบวาฮารดแวรหรออปกรณใด ๆ เกดความเสยหาย หรอท างานผดปกต ตองรายงานตอ IIS (บรหารจดการเหตการณดานความมนคงปลอดภยสารสนเทศ) ทนท 5) ผใชงานและบคคลภายนอกทพบเหตละเมดความมนคงปลอดภยหรอจดออนใด ๆ ในองคกรตองไมบอกเลาเหตการณทเกดขนกบผอน ยกเวน ผบงคบบญชา หนวยงานจดการความปลอดภย (Security Management)

P IT SP 01-00 ชดท 00 หนาท 57 / 69

และหามท าการพสจนขอสงสยเกยวกบจดออนดานความมนคงปลอดภยนนดวยตนเอง

6) การกระท าอน ๆ ทถอเปนขอหามขององคกรมดงน

- การกระท าใด ๆ ทกฎหมายบญญตวาเปนความผด ตลอดจนการกระท าในลกษณะอน ๆ ทกลาวถงดานลางนถอเปนขอหามขององคกรไมยนยอมใหพนกงานด าเนนการโดยเดดขาด ทงน BOI มไดเขยนระบถงขอหามทงหมดทหามกระท าไว แตเขยนเพอเปนแนวทางใหแกผใชงานไดรบทราบเทานน

หมายเหต : พนกงานบางสวนอาจไดรบยกเวนจากขอหามบางขอทกลาวไวดานลางน (ตราบเทาทไมขดตอกฎหมาย) หากเปนการด าเนนการตามหนาททไดรบมอบหมาย เชน ผดแลระบบสามารถระงบการเขาถงระบบเครอขายของอปกรณใด ๆ หากการเขาถงนนรบกวนการท างานของระบบเทคโนโลยสารสนเทศ

- การใชงานทรพยากรขององคกรเพอการจดหาหรอสงตอ วสด เอกสาร หรอรปภาพลามกอนาจาร หรอทขดตอกฎหมาย

- การฉอโกงโดยใช User ID และรหสผานท BOI ก าหนดให เพอเสนอขายสนคาหรอบรการใด ๆ

- การพยายามลวงละเมดความมนคงปลอดภย หรอรบกวนการท างานของระบบเครอขาย ตวอยางของการลวงละเมดความมนคงปลอดภย ไดแก การเขาถงขอมลหรอเครองคอมพวเตอรแมขายทตนไมไดรบอนญาต เปนตน สวนตวอยางของการรบกวนการท างานของระบบเครอขาย ไดแก Sniffing, Pinged Floods, Pack Spoofing, Denial of Service และ Forged Routing Information ดวยเจตนามงราย เปนตน

- การใชงาน Bandwidth จ านวนมากโดยเฉพาะอยางยงการใชงานโปรแกรมประเภท P2P File Sharing

- การท า Port Scanning และ Security Scanning เวนแตเปนการด าเนนการตามหนาททไดรบมอบหมาย

- การดกฟงหรอดกจบขอมลทพนกงานไมไดรบอนญาตใหรบรดวยวธการใด ๆ เวนแตเปนการด าเนนการตามหนาททไดรบมอบหมาย

- การคนหาจดบกพรองของระบบ เพอท าการเขาถงขอมลหรอระบบโดยไมไดรบอนญาต

- การหลบเลยงการพสจนตวตนผใชงานหรอมาตรการดานความมนคงปลอดภยของคอมพวเตอร ระบบเครอขายใด ๆ

- การใชโปรแกรม/สครปต/ค าสง หรอการสงขอความใด ๆ โดยมเจตนารบกวน ลดประสทธภาพการใหบรการ หรอระงบการใชงานของผใชงาน ทงโดยผานระบบภายใน หรอผานระบบเครอขายตาง ๆ

- การใหขอมลลบเกยวกบรายชอพนกงาน รายชอลกคา ความลบขององคกร และขอมลลบอน ๆ แกบคคลภายนอก

- การขมขคกคคามทกรปแบบผานอเมล โทรศพท หรอระบบสงขอความ ไมวาจะดวยภาษา ความถ หรอขนาดของขอความการแสดงความคดเหน หรอสงขอความใด ๆ ทไมเกยวของกบการท างานไปหา

P IT SP 01-00 ชดท 00 หนาท 58 / 69

บคคลจ านวนมาก (Newsgroup Spam)

- การละเมดสทธสวนบคคล ลขสทธขององคกร ความลบขององคกร สทธบตร ทรบพยสนทางปญญา หรอกฎหมายอนใด

9.1.2 การรายงานจดออนทเกยวของกบความมนคงปลอดภยขององคกร (Reporting Security

Weaknesses) 1) IIS (บรหารจดการเหตการณดานความมนคงปลอดภยสารสนเทศ) ตองบนทกและรายงานจดออนทเกยวของกบความมนคงปลอดภยขององคกรทสงเกตพบหรอเกดความสงสยในระบบหรอบรการทใชงานอย

P IT SP 01-00 ชดท 00 หนาท 59 / 69

9.2 การบรหารจดการและการปรบปรงแกไขตอเหตการณทเกยวของกบความมนคงปลอดภย (Management of Information Security Incidents and Improvements)

วตถประสงค: เพอใหมวธการทสอดคลองและไดผลในการบรหารจดการเหตการณทเกยวของกบ ความมนคงปลอดภยส าหรบสารสนเทศของหนวยงาน

นโยบาย 9.2.1 หนาทความรบผดชอบและขนตอนปฏบต (Responsibilities and Procedures) 1) IIS (บรหารจดการเหตการณดานความมนคงปลอดภยสารสนเทศ) ตองก าหนดหนาทความรบผดชอบและขนตอนปฏบตเพอรบมอกบเหตการณทเกยวของกบความมนคงปลอดภยของหนวยงาน และขนตอนดงกลาวตองมความรวดเรว ไดผล และมความเปนระบบระเบยบทด 9.2.2 การเรยนรจากเหตการณทเกยวของกบความมนคงปลอดภย (Learning from Security Incidents) 1) IIS (บรหารจดการเหตการณดานความมนคงปลอดภยสารสนเทศ) ตองบนทกเหตการณละเมดความมนคงปลอดภย โดยอยางนอยจะตองพจารณาถงประเภทของเหตการณ ปรมาณทเกดขน และคาใชจายเกดขนจากความเสยหาย เพอจะไดเรยนรจากเหตการณทเกดขนแลว และเตรยมการปองกนทจ าเปนไวลวงหนา 9.2.3 การเกบรวบรวมหลกฐาน (Collection of Evidence) 1) IIS (บรหารจดการเหตการณดานความมนคงปลอดภยสารสนเทศ) ตองรวบรวมและจดเกบหลกฐานตามกฎหรอหลกเกณฑส าหรบการเกบหลกฐานอางองในกระบวนการทางศาลทเกยวของ เมอพบวาเหตการณทเกดขนนนมความเกยวของกบการด าเนนการทางกฎหมายแพงหรออาญา

P IT SP 01-00 ชดท 00 หนาท 60 / 69

หมวดท 10 การบรหารความตอเนองของการด าเนนงานขององคกร (Business Continuity Management)

10.1 การจดการความตอเนองของการด าเนนงานองคกร (Aspects of Business Continuity)

วตถประสงค: เพอปองกนการหยดชะงกในการด าเนนงานขององคกรทเปนผลมาจากความลมเหลวหรอ การหยดท างานของระบบ

นโยบาย 10.1.1 ขอบเขตของการด าเนนกระบวนการจดการความตอเนองตองครอบคลมถงการรกษาความปลอดภย

สารสนเทศ (Including Information Security in the Business Continuity Management Process)

1) BOI ตองจดต ง I I S (บรหา รจดการแผนสร า งคว ามตอ เน อ ง ใหกบ ธ รก จ ) ของระบบเทค โน โลยส า ร สน เทศ ซ ง ป ร ะกอบ ไปด ว ยต ว แทนจากหน ว ย ง าน เจ า ของขอมล เ จ า ขอ งระบบงาน หน วยงานท ด แลขอมล เปนตน 2) I I S (บ รห า ร จด ก า ร แ ผ น ส ร า ง ค ว า ม ตอ เ น อ ง ใ หกบ ธ ร ก จ ) ต อ ง จด ท า แ ผ น ร อ ง รบเหตก า รณฉ ก เ ฉนของระบบ เทค โน โลยส า ร สน เทศ ท เ ปนล ายลกษณอ กษร และปรบปร งแก ไ ข ใหทนสมยอย เ สมอ รวมถ งการจด ใหม ก ารทดสอบแผนอย า งนอยปละหน งค ร ง โ ดยปฏบต ต าม เอกสารค ม อการปฏบต ง าน เร อ งการจดท าแผนการบรหา รความตอ เน อ ง ใหกบธ รก จ (Bus iness Cont inu i ty P lans Development and Execut ion Procedure ) (P IT BC 01) 10.1.2 กระบวนการจดการความตอเนองและการประเมนความเสยง

(Business Continuity and Risk Assessment)

1) มก า ร ระบ เ หตก า รณท เ ปนผล ใหก ระบวนการทางธ ร ก จหยดชะง กและความ เปน ไป ไดแ ล ะ ผ ล ก ร ะ ท บ ท จ ะ เ ก ด ข น ซ ง เ ป น ผ ล เ น อ ง ม า จ า ก ก า ร ร ก ษ า ค ว า ม ม น ค ง ป ล อ ด ภ ยสารสนเทศ

- กา รพฒนาแผนรอ ง รบ เ หตก า รณฉ ก เ ฉน ขอ ง ร ะบบ เทค โน โ ลยส า ร สน เทศ ( I T

P IT SP 01-00 ชดท 00 หนาท 61 / 69

Cont ingency P lan Development )

- การประชาสม พนธ และการฝกอบรม

- ก า ร ท ด ส อ บ ป ร บ ป ร ง แ ผ น ร อ ง ร บ เ ห ตก า ร ณฉ ก เ ฉ น ข อ ง ร ะ บ บ เ ท ค โ น โ ล ยสารสนเทศ

10.1.3 การจดท าและการประยกตใชแผนรองรบเหตการณฉกเฉนของระบบเทคโนโลยสารสนเทศ (Developing and Implementing Continuity Plans Including Information Security)

1) I I S (บรหารจดการแผนสร า งความตอ เน อ ง ใหกบธ รก จ ) ต อ งจดท าแนวทางปฏบต ในก า ร จด ท า แผน รอ ง รบ เ หตก า รณฉ ก เ ฉน ขอ ง ร ะบบ เ ทค โน โ ลยส า ร สน เทศ ค ว รพจ า รณ า ด งน

- การ เตร ยมความพรอม เ พ อปอ งกนและลดโอกาสท จ ะ เกด เหตการณท ก อ ให เ ก ดความ เส ยหายและมผลกระทบตอการด า เน น งานขององคก รและการ ใหบ ร กา รด าน เทคโนโลยสารสนเทศของ BOI

- การตอบสนองตอสถานการณฉ ก เ ฉน เ พ อควบคมและจ า กดขอบ เขตของความเส ยห าย เ ชน ก าหนดแนวทางกา รควบคม กา รแก ไ ขสถานการณฉ ก เ ฉน เปนตน

- กา รด า เ นน ก า ร เ พ อ ใ หส าม า ร ถด า เ นน ง าน ขอ งอ ง คก ร เ ปน ไป ไดอ ย า ง ตอ เ น อ ง เชน กา รส า รองขอมล และอปกรณส า คญ กา รก ร ะบบงานและขอมลท เ ส ยหาย เปนตน

- กา รก ลบ คน ส ก า ร ท า ง าน ป กต เ พ อ ใ หก า ร ด า เ นน ง า นข อ ง BOI กลบ ส ส ภ า ว ะป ก ต เ ช น ก า ร ก า ห น ด แ น ว ท า ง ก า ร ฟ น ฟ ค ว า ม เ ส ย ห า ย ใ ห ก ล บ เ ข า ส ก า รปฏบต ง านตามปกต เปนตน

10.1.4 กรอบโครงสรางของขอบเขตของแผนรองรบเหตการณฉกเฉนของระบบเทคโนโลยสารสนเทศ (Business Continuity Planning Framework)

1 ) I I S (บ รห า ร จด ก า ร แ ผ น ส ร า ง ค ว า ม ตอ เ น อ ง ใ หกบ ธ ร ก จ ) ต อ ง จด ท า แ ผ น ร อ ง รบเหตการณฉ ก เฉนของระบบเทคโนโลยสารสน เทศ ตองประกอบไปด วยองคประกอบ อย า งนอยด งน

- ช อแผน

P IT SP 01-00 ชดท 00 หนาท 62 / 69

- วตถประสงค

- ขอบเขตของแผน

- รายละเ อยดของระบบเทคโนโลยสารสนเทศ

- การก าหนดผ ร บผ ดชอบส งการ ผ ม อ านาจตดสน ใจ และส ง การ ในการน าแผนมาปฏบต โครงสร า งการบ งคบบญชา และผ ส งการแทน

- การบนทกการ เปล ยนแปลงของแผน

- ก าหนดแผนการปฏบต ง าน เ พอใหสามารถด า เนนธ รก จ ไดอย า งตอ เน อง

- การกลบคนส การท างานปกต

- การประชาสม พนธ และการฝกอบรม

- การทดสอบ ปรบปร งและสอบทานแผนฉก เฉน

- การปรบปร งและสอบทานแผน

10.1.5 การทดสอบ การรกษาไว และการประเมนทบทวนแผนฉกเฉน (Testing, Maintaining and

Reassessing Business Continuity Plans)

1) I I S (บรหารจดการแผนสร า งความตอ เน อ ง ใหกบธ รก จ ) ต อ งก าหนด เวลาการทดสอบแผน ก าหนดการทดสอบแผนฉก เฉนท ช ด เจน รวมถ งก าหนดระยะ เวลาท ใ ช ในการทดสอบต งแต เ ร มตน จนส นส ดกระบวนการทดสอบ 2 ) I I S (บรหารจดการแผนสร างความตอ เน อง ใหกบธ รก จ ) ต อ งก าหนด เหตการณจ าลองทจะใชทดสอบ และรายละ เอ ยด ในการก าหนดรายละ เอ ยดของ เหตการณจ าลอง ควรระบว ตถประส งค ขอบ เขตของระบบงาน หรอกระบวนการท า งานท เ ก ย ว ขอ งกบการทดสอบแผนท งหมด รวมถ งการก าหนดข นตอนการทดสอบแผนฉก เฉน 3 ) I I S (บรหารจดการแผนสร า งความตอ เน อ ง ใ หกบธ รก จ ) ต อ งก าหนดทรพยากรต า ง ๆ ท ใ ช ใ น ก า รทด สอบ แผน ฉก เ ฉน ก า ห นดผ ร บ ผด ช อบท จ ะท า หน า ท ค ว บคม ป ร ะส า น ง า น และรบ ผด ช อบ ในกา รจดก า รทดสอบแผนฉก เ ฉน ร ว มถ ง สถ านท แ ล ะอป กรณ เ ค ร อ ง มอต า ง ๆ และงบประมาณท ต อง ใชด วย

P IT SP 01-00 ชดท 00 หนาท 63 / 69

4) I I S (บรหารจดการแผนสร างความตอ เน อง ใหกบธ รก จ ) ต อ งก าหนดแผนงาน แนวทาง แ ล ะ ร ะ ย ะ เ ว ล า ใ น ก า ร ท บ ท ว น แ ล ะ ป รบ ป ร ง แ ผ น อ ย า ง ชด เ จ น เ พ อ ใ ห แ ผ น น น มค ว า มทนสมย และเหมาะสมกบสถานการณป จจบน

P IT SP 01-00 ชดท 00 หนาท 64 / 69

หมวดท 11 การปฏบตตามขอก าหนดทางดานกฎหมาย และบทลงโทษของการละเมดนโยบายความมนคงปลอดภยสารสนเทศของหนวยงาน (Compliance)

11.1 การปฏบตตามขอก าหนดทางดานกฎหมาย (Compliance with Legal Requirements)

วตถประสงค: เพอหลกเลยงการฝาฝนกฎหมายทงทางอาญาและทางแพง พระราชบญญต ระเบยบขอบงคบรวมทงสญญาตาง ๆ

นโยบาย 11.1.1 การระบขอก าหนดในการใชงานระบบสารสนเทศ (Identification of Applicable Legislation) 1) BOI ตองมการศกษาและก าหนดรายการของนโยบาย กฎ ระเบยบขอบงคบ กฎหมาย หรอสญญาทเกยวของกบการใชงานเทคโนโลยสารสนเทศและการสอสารของหนวยงาน 2) เจาหนาท BOI ทกคนตองรบทราบ ท าความเขาใจ และปฏบตตามรายการของนโยบาย กฎ ระเบยบขอบงคบ กฎหมาย หรอสญญาทเกยวของกบการใชงานเทคโนโลยสารสนเทศและการสอสารทก าหนดขนอยางเครงครด โดยปฏบตตามเอกสารคมอการปฏบตงานเรองการตรวจสอบกบกฎหมาย IT (W IT CL 02) และมรายการดงตอไปนเปนอยางนอย

- นโยบายการรกษาความมนคงดานเทคโนโลยสารสนเทศและการสอสาร

- พ.ร.บ. วาดวยการกระท าความผดเกยวกบคอมพวเตอร

- พ.ร.บ. ธรกรรมทางอเลกทรอนกส

- พ.ร.ฎ. ก าหนดหลกเกณฑและวธการในการท าธรกรรมทางอเลกทรอนกสภาครฐ

- พ.ร.บ. ลขสทธ 3) ขอมลทถกสราง เกบรกษา หรอสงผานระบบเทคโนโลยสารสนเทศขององคกร ถอเปนทรพยสนขององคกร (ยกเวน ขอมลทเปนทรพยสนของลกคา หรอบคคลภายนอกรวมถงซอฟตแวร หรอวสดอน ๆ ทไดรบการคมครองโดยสทธบตร หรอลขสทธของบคคลภายนอก) ทงน BOI สามารถเปดเผยหรอใชงานขอมลเหลานเปนหลกฐานในการสบสวนความผดตาง ๆ โดยไมจ าเปนตองแจงใหผใชงานทราบลวงหนา 4) เพอวตถประสงคในการบรหารจดการและรกษาความมนคงปลอดภยของระบบเทคโนโลยสารสนเทศของ

P IT SP 01-00 ชดท 00 หนาท 65 / 69

องคกร BOI ขอสงวนสทธในการตรวจสอบการใชงานเครองคอมพเตอร ระบบคอมพวเตอร และระบบเครอขายของผใชงานเพอใหมนใจวามการใชงานตรงตามทนโยบายตาง ๆ ของ BOI ก าหนดไว 5) BOI ข อ ส ง ว น สท ธ ใ น ก า ร เ ข า ถ ง ท บ ท ว น แ ล ะ ต ร ว จ ส อ บ อ เ ม ล ข อ ง ผ ใ ช ง า น โ ด ย ไ มจ า เ ปน ตอ ง แ จ ง ใ หท ร า บ ล ว ง ห น า อ ย า ง ไ ร กต า ม BOI จ ะ ด า เ นน ก า ร ต ร ว จ ส อบ ด ง ก ล า วตอ เ ม อมคว ามจ า เปน เท าน น และจะ ไม เ ป ด เ ผยขอมล ใด ๆ ของผ ใ ช ง าน เ วนแต เ ปนการเ ปด เ ผ ย ต า ม ค า ส ง ศ า ล ต า มบ ท บ ง คบ ข อ ง กฎ ห ม า ย ห รอ ด ว ย ค ว า ม ยน ย อม จ า ก ผ ใ ช ง า นเท าน น 6) ห า ม เ จ า หน า ท BOI ใ ช ง า น ทรพยสน แล ะร ะบบ เท ค โน โ ลยส า ร สน เทศ ขอ งอ ง ค ก ร ก ร ะ ท า ก า ร ใ ด ๆ ท ข ด แ ย ง ต อ ก ฎ ห ม า ย แ ห ง ร า ช อ า ณ า จก ร ไ ท ย แ ล ะ ก ฎ ห ม า ย ร ะ ห ว า งประเทศ ไม ว า โดยกรณ ใดกตาม 7) กา ร ส ง ซ อฟตแ ว ร ข อ มล ลบ ซ อฟตแ ว ร ก า ร เ ข า ร หส ห รอ เ ท ค โน โ ล ย ใ ด ๆ อ อก น อกประ เทศ ไมข ดตอขอกฎ หมาย ใด ๆ ท ง ของ ร าช อาณาจก ร ไทย ระหว า งประ เทศ และของประ เทศปลายทาง ท ง น ผ ใ ช ง านตอ งปรกษาผ บ ง คบบญชา และผ เ ช ย วช าญด าน กฎหมายกอนด า เนนการส งออก 11.1.2 ทรพยสนทางปญญา (Intellectual Property Rights, IPR) 1) ส านกงานตองปฏบตตามขอก าหนดทางลขสทธ (Copyright) ในการใชงานทรพยสนทางปญญาทหนวยงานจดหามาใชงานและตองระมดระวงทจะไมละเมด 2) ส า นก ง า น ตอ ง ป ฏบต ต า ม ขอ ก า ห น ด ท ร ะ บ ไ ว ใ น ลข สท ธ ก า ร ใ ช ง า น ซ อ ฟ ตแ ว ร อ ย า งเคร ง ค รด (Software Copyr i ght ) รวมท งต อ งมก ารควบคมการ ใช ง านซอฟตแ ว รต ามลข สท ธ ท ไ ด ร บ ด ว ย ไ ด แ ก ก า ร ล งท ะ เ บย น เ พ อ ใ ช ง า น ซอฟตแ ว รต อ ง เ กบห ลก ฐ า นแ สด งคว าม เปน เ จ า ของลขสท ธ ต ร วจสอบอย า งสม า เ สมอว า ซอฟตแ ว รท ต ด ต ง ม ล ขสท ธ ถ กตอ งหรอไม ตามค ม อการปฏบต ง าน เร อ งการตรวจสอบก าร ใชซอฟตแวรท ล ะ เมดทรพยสนทางปญญา (Mon i to r ing o f i l lega l Sof tware Usage Procedure ) (P IT CL 01 ) 3) ห า ม ผ ใ ช ง า นท า ก า ร ใ ช ง า น ท า ซ า ห รอ เ ผ ยแ พร รป ภ า พ บท เ พล ง บท คว า ม หน ง ส อ หรอ เ อกสาร ใด ๆ ท เ ปนการละ เมดล ขสท ธ ห ร อตดต ง ซอฟตแ ว ร ล ะ เมดล ขสท ธ บนระบบเทคโนโลยสารสนเทศขององคกร โดย เดดขาด

P IT SP 01-00 ชดท 00 หนาท 66 / 69

4) เ พ อท จ ะ ให เ ก ดความแน ใจ ว า เ จ าหน าท BOI ม ได ละ เมดล ขสท ธ โ ดย ไม ได ต ง ใ จ หรอพล ง เ ผ ล อ จ ง ไ มค ว ร จ ะท า ส า เ น าซ อฟตแ ว ร ใ ด ๆ ท ต ด ต ง อ ย ใ น เ ค ร อ ง คอม พ ว เ ต อ ร ข อ งส า นก ง า น เ พ อ จ ด ป ร ะส ง ค ใ ด ๆ กต า ม โ ด ย ท ไ ม ไ ด ร บ อนญ า ต จ า ก I SMR แ ล ะ ใ นขณะเดยวกน เจ าหน าท BOI ไมควรจะตดต ง โปรแกรมใด ๆ ลงใน เคร องคอมพ ว เตอร ของส านก ง าน โ ดย ไม ไ ด ร บกา รอนญาต ท งน เ พ อท จ ะ ใหแน ใ จว า ม ใ บอนญาตท ค รอบคลมการตดต งด งกล าว 5) ส า นก ง าน ก า ห นด ใหม ก า ร ต ร ว จสอบ เ ค ร อ ง ค อม พ ว เ ตอ รอ ย า งนอ ยปล ะ 2 ค ร ง เ พ อต ร ว จ ด ร า ย ก า ร ข อ ง ซ อฟตแ ว ร ใ น เ ค ร อ ง ค อ ม พ ว เ ต อ ร แ ล ะ เ พ อ ใ ห แ น ใ จ ว า ส า นก ง า น มใบอนญาตการ ใช ง านส าหรบผลตภณฑซอฟตแวร แต ละต ว ใน เคร อ งคอมพ ว เตอร ถ าพบว าม ซอฟตแ ว รท ไ ม ไ ด ร บอนญาต ซอฟตแ ว ร เ หล าน น จะถกลบท ง และถ าหากมค ว ามจ า เปน ส า นก ง านอาจจะมก า รพจ า รณา ใหน า ซอฟตแ ว รท ม ใ บอนญาตอย า ง ถก ตอ ง อ น ม า ใ ช แทนซอฟตแวร ด งกล าว ได 11.1.3 การเกบและการปองกนขอมลเพอใชเปนหลกฐานอางองในการปฏบตตามขอก าหนด

(Protection of Organizational Records) 1) ส า นก ง า น ตอ ง จด เ กบ ขอ มล เ พ อ ใ ช เ ปน ห ลก ฐ า น อ า ง อ ง ว า ไ ดป ฏบ ต ต า ม ขอ ก า ห น ดท า ง ด า น ก ฎ ร ะ เ บ ย บ ห ร อ ข อ บ ง ค บ ท ไ ด ก า ห น ด ไ ว โ ด ย ม ร ะ ย ะ เ ว ล า จ ด เ ก บ ต า มค ว า ม ส า คญ ข อ ง ขอ มล ร ะ เ บย บ ห น ว ย ง า น ว า ด ว ย ง า น ส า ร บ ร ร ณ แ ล ะ ก ฎ ห ม า ย เ ชน ระเบยบส านกนายกร ฐมนตร 11.1.4 การปองกนขอมลและความเปนสวนตว (Data protection and privacy of personal

information) 1) ส านกงานตองมการการปองกนขอมลและความเปนสวนตวตามกฎหมาย ระเบยบ สญญา ทเกยวกบองคกร 11.1.5 การปองกนการใชงานเครองมอ (Prevention of misuse of information processing

facilities) 1) ส านกงานตองมการปองกนระบบสารสนเทศ ระบบคอมพวเตอรและเครอขาย ไมใหผใชงานใชงานในทางท

ผด หรอโดยไมมสทธ

P IT SP 01-00 ชดท 00 หนาท 67 / 69

11.1.6 การควบคมการเขารหส (Regulation of cryptographic controls) 1) ส านกงานตองมการควบคมการเขารหสขอมล ตามขอตกลง กฎหมาย และระเบยบทเกยวของ

P IT SP 01-00 ชดท 00 หนาท 68 / 69

11.2 การตรวจสอบความสอดคลองกบนโยบายความมนคงปลอดภยและรายละเอยดทางเทคนค (Reviews of Security Policy and Technical Compliance)

วตถประสงค: เพอตรวจสอบระบบใหมความสอดคลองกบนโยบายความมนคงปลอดภย

นโยบาย 11.2.1 การตรวจสอบความสอดคลองกบนโยบายความมนคงปลอดภยของหนวยงาน (Compliance

with Security Policy and Standard) 1) IST ตองจดใหมการตรวจสอบระบบทงหมดของหนวยงานตามนโยบายการรกษาความมนคงปลอดภยสารสนเทศและระยะเวลาทก าหนดไว 11.2.2 การตรวจสอบรายละเอยดทางเทคนค (Technical Compliance Checking) 1) IST ตองจดใหมการตรวจสอบรายละเอยดทางเทคนคของระบบทใชงาน หรอใหบรการอยแลวตามระยะเวลาทก าหนดไววามความมนคงปลอดภยสารสนเทศอยางพอเพยงหรอไม ไดแก การตรวจดวาระบบสามารถถกบกรกไดหรอไม การปรบแตงคาพารามเตอรทระบบใชงานเปนไปอยางปลอดภยหรอไม รวมทงมการตรวจสอบระบบโดยท าการใชซอฟตแวรคนหาชองโหว (Vulnerability Scanning) และทดสอบการโจมตระบบ (Penetration Test) เพอตรวจสอบขอบกพรองของระบบดวย

P IT SP 01-00 ชดท 00 หนาท 69 / 69

11.3 การพจารณาการตรวจสอบระบบสารสนเทศ (Information System Audit Considerations)

วตถประสงค: เพอท าใหกระบวนการตรวจสอบระบบสารสนเทศทงหมดมผลกระทบนอยทสดตอ การด าเนนงานของหนวยงาน

นโยบาย 11.3.1 การวางแผนการตรวจสอบระบบสารสนเทศทงหมด (Information System Audit Controls) 1) ISS ตองวางแผนการตรวจสอบระบบ โดยการตรวจสอบทจะด าเนนการจะตองมผลกระทบตอระบบ และกระบวนการด าเนนงานของหนวยงานนอยทสด 11.3.2 การปองกนซอฟตแวรทใชในการตรวจสอบระบบ (Protection of System Audit Tools) 1) ISS ตองมการปองกนการเขาใชซอฟตแวรทใชในการตรวจสอบระบบ มใหมการน าซอฟตแวรไปใชในทางทผด หรอปองกนขอมลส าคญทเปนผลลพธจากการตรวจสอบโดยซอฟตแวรนน