เรื่องร้องเรียนร้องทุกข์
ประวัติความเป็นมา
บทความที่เกี่ยวข้อง
คณะผู้บริหาร
วิสัยทัศน์
พันธกิจ
ทางเข้าสู่ระบบ web tracking
ประกาศและรางวัลแห่งความสำเร็จ
KCS Connect
นโยบายการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ (IT Security Policy)
สารบัญ
หมวดที่ 1 นโยบายความมั่นคงปลอดภัยขององค์กร (Security Policy) 2
หมวดที่ 2 โครงสร้างความมั่นคงปลอดภัยสารสนเทศ (Organization of Information Security) 3
หมวดที่ 3 ความมั่นคงปลอดภัยสำหรับทรัพยากรบุคคล (Human Resource Security) 3
หมวดที่ 4 การบริหารจัดการสินทรัพย์ (Asset Management) 5
หมวดที่ 5 การควบคุมการเข้าถึง (Access Control) 6
หมวดที่ 6 ความมั่นคงปลอดภัยทางกายภาพและสภาพแวดล้อม (Physical and environmental Security) 9
หมวดที่ 7 ความมั่นคงปลอดภัยสำหรับการดำเนินงาน (Operations Security) 12
หมวดที่ 8 ความมั่นคงปลอดภัยสำหรับการสื่อสารข้อมูล (Communications security) 15
หมวดที่ 9 การจัดหา การพัฒนา และการบำรุงรักษาระบบ (System acquisition, development and maintenance) 17
หมวด 10 ความสัมพันธ์กับผู้ให้บริการภายนอก (Supplier relationships) 19
หมวด 11 การบริหารจัดการเหตุการณ์ความมั่นคงปลอดภัยสารสนเทศ (Information Security Incident Management) 20
หมวด 12 การบริหารจัดการความมั่นคงปลอดภัยเพื่อสร้างความต่อเนื่องขององค์กร (Information security aspects of business continuity management) 21
หมวด 13 การปฏิบัติตามข้อกำหนด (Compliance) 22
หมวดที่ 1 นโยบายความมั่นคงปลอดภัยขององค์กร (Security Policy)
1.1 นโยบายการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (Information Security Policy)
วัตถุประสงค์ เพื่อกำหนดทิศทางและสนับสนุนการดำเนินงานด้านความมั่นคงปลอดภัยสารสนเทศ โดยให้สอดคล้องตามภารกิจขององค์กรและไม่ขัดต่อกฎหมายและระเบียบข้อบังคับที่เกี่ยวข้อง
นโยบาย
1.1.1 เอกสารนโยบายความมั่นคงปลอดภัยสารสนเทศที่เป็นลายลักษณ์อักษร (Information Security Policy Document)
1) คณะทำงานด้านความมั่นคงปลอดภัยสารสนเทศ ต้องจัดทำนโยบายการรักษาความ
มั่นคงปลอดภัยสารสนเทศ เป็นลายลักษณ์อักษรเพื่อให้เกิดความเชื่อมั่นและมีความปลอดภัยในการใช้งานระบบเทคโนโลยีสารสนเทศและระบบเครือข่ายสื่อสารข้อมูล โดยนโยบายฯ ดังกล่าวจะต้องได้รับการอนุมัติจากผู้บริหารระดับสูงเพื่อการนำไปใช้
2) คณะทำงานด้านความมั่นคงปลอดภัยสารสนเทศ ต้องจัดให้เผยแพร่ เอกสาร นโยบาย
ระบบบริหาร การรักษาความมั่นคงปลอดภัยสารสนเทศ ให้กับผู้ใช้งาน หน่วยงานภายนอก และผู้ที่เกี่ยวข้องในขอบเขตรับทราบ
1.1.2 การทบทวนการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ
1) คณะทำงานด้านความมั่นคงปลอดภัยสารสนเทศ ต้องดำเนินการตรวจสอบ ทบทวน และ
ประเมิน นโยบายการรักษาความมั่นคงปลอดภัยสารสนเทศตามระยะเวลาที่กำหนดไว้ หรืออย่างน้อย 1 ครั้ง ต่อปี หรือเมื่อมีการเปลี่ยนแปลงที่สำคัญต่อองค์กร
หมวดที่ 2 โครงสร้างความมั่นคงปลอดภัยสารสนเทศ (organization of Information Security)
2.1 โครงสร้างความมั่นคงปลอดภัยสารสนเทศภายในองค์กร (Internal organization)
วัตถุประสงค์ เพื่อกำหนดกรอบการบริหารจัดการความมั่นคงปลอดภัยสำหรับสารสนเทศภายในองค์กร
นโยบาย
2.1.1 การกำหนดบทบาทและหน้าที่ด้านการจัดการความมั่นคงปลอดภัยสารสนเทศ (Information security roles and responsibilities) ผู้บริหารระดับสูงสุดต้องแต่งตั้งกลุ่มหรือคณะทำงานด้านความมั่นคงปลอดภัยสารสนเทศ และ มอบหมายหน้าที่ความรับผิดชอบด้านความมั่นคงปลอดภัยสารสนเทศ
2.1.2 การแบ่งแยกหน้าที่ความรับผิดชอบ (Segregation of duties)
1) ผู้บริหารด้านไอทีต้องกำหนดตำแหน่งหน้าที่และความรับผิดชอบด้านความมั่นคง
ปลอดภัยสารสนเทศให้เหมาะสม พร้อมทั้งควบคุมการปฏิบัติงานเพื่อให้คงไว้ซึ่งนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยสารสนเทศขององค์กร
2) ผู้บริหารด้านไอทีเป็นผู้รับผิดชอบการบริหารจัดการ กำกับดูแล ติดตาม และทบทวน
ภาพรวมของ นโยบายความมั่นคงปลอดภัยด้านสารสนเทศขององค์กร
3) ผู้บริหารด้านไอทีต้องรับผิดชอบกำกับดูแลความมั่นคงปลอดภัยให้เป็นไปตามนโยบาย
และแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยสารสนเทศขององค์กร
4) ผู้ใช้งาน และหน่วยงานภายนอกต้องรับผิดชอบในการปฏิบัติตามนโยบายและแนว
ปฏิบัติในการรักษาความมั่นคงปลอดภัยสารสนเทศขององค์กร
2.1.3 ความมั่นคงปลอดภัยสารสนเทศกับการบริหารจัดการโครงการ (Information security in project management) ต้องระบุความมั่นคงปลอดภัยสารสนเทศสำหรับโครงการที่เกี่ยวข้องกับสารสนเทศ
หมวดที่ 3 ความมั่นคงปลอดภัยสำหรับทรัพยากรบุคคล (Human Resource Security)
3.1 การสรรหาบุคลากรก่อนการทำงาน (Prior to employment)
วัตถุประสงค์ เพื่อคัดสรรพนักงานที่ตรงกับความต้องการ และเพื่อให้พนักงานเข้าใจในหน้าที่และความรับผิดชอบ
นโยบาย
3.1.1 ข้อตกลงและเงื่อนไขการจ้างงาน (Terms and conditions of employment)
เพื่อให้การบริหารจัดการบัญชีผู้ใช้ เป็นไปอย่างถูกต้องและเป็นปัจจุบันที่สุด เจ้าหน้าที่
บุคคลที่ดูแล ทรัพยากรบุคคลขององค์กรต้องแจ้งให้ ผู้ดูแลระบบทราบทันทีเมื่อมีเหตุดังนี้
(1) การว่าจ้างงาน
(2) การเปลี่ยนแปลงสภาพการว่าจ้างงาน
(3) การลาออกจากงาน หรือการสิ้นสุดการเป็นผู้บริหาร พนักงาน และลูกจ้างหรือการถึงแก่กรรม
(4) การโยกย้ายหน่วยงาน
(5) การพักงาน การลงโทษทางวินัย หรือระงับการปฏิบัติหน้าที่
3.2 ระหว่างการจ้างงาน (During employment)
วัตถุประสงค์ เพื่อให้พนักงานและผู้ที่ทำสัญญาจ้างตระหนักและปฏิบัติตามหน้าที่ความรับผิดชอบด้านความมั่นคงปลอดภัยสารสนเทศของตนเอง
นโยบาย
3.2.1 การสร้างความตระหนัก การให้ความรู้ และการฝึกอบรมด้านความมั่นคงปลอดภัยสารสนเทศ
(Information security awareness, education and training) เจ้าหน้าที่ใหม่ต้องได้รับข้อมูล ข่าวสาร เกี่ยวกับเรื่องนโยบายการรักษาความมั่นคงปลอดภัย โดยควรเป็นส่วนหนึ่งของการปฐมนิเทศพนักงาน
3.3 การสิ้นสุดหรือการเปลี่ยนการจ้างงาน (Termination and change of employment)
วัตถุประสงค์ เพื่อให้ยกเลิกหรือเปลี่ยนแปลงสิทธิกับเจ้าหน้าที่ หรือเจ้าหน้าที่จากหน่วยงานภายนอกที่ถูก ยกเลิกหรือเปลี่ยนแปลงการจ้างงาน เพื่อรักษาไว้ซึ่งความมั่นคงปลอดภัยสารสนเทศ
นโยบาย
3.3.1 การสิ้นสุดหรือการเปลี่ยนหน้าที่ความรับผิดชอบของการจ้างงาน (Termination or change of employment responsibilities) หลังจากเปลี่ยนแปลงหรือยกเลิกการจ้างงาน หรือสิ้นสุดโครงการ ต้องยกเลิกสิทธิการเข้าถึงข้อมูลในระบบสารสนเทศทันที
หมวดที่ 4 การบริหารจัดการสินทรัพย์ (Asset Management)
4.1 หน้าที่ความรับผิดชอบต่อสินทรัพย์ (Responsibility for Assets)
วัตถุประสงค์ เพื่อให้ระบุสินทรัพย์ขององค์กรและกำหนดหน้าที่ความรับผิดชอบในการป้องกันสินทรัพย์อย่างเหมาะสม
นโยบาย
4.1.1 บัญชีสินทรัพย์ (Inventory of assets)
1) ต้องจัดทำและเก็บทะเบียนสินทรัพย์สารสนเทศ เพื่อเป็นข้อมูลสำหรับการนำไปวางแผน
บริหารจัดการความเสี่ยงได้อย่างเหมาะสม
2) ต้องตรวจสอบสินทรัพย์ตามระยะเวลาที่กำหนด เช่น ปีละ ๑ ครั้ง หรือ เมื่อมีการ
เปลี่ยนแปลงที่ สำคัญ
4.1.2 ผู้ถือครองสินทรัพย์ (Ownership of assets)
สินทรัพย์ในทะเบียนสินทรัพย์ต้องกำหนดผู้รับผิดชอบให้ชัดเจน
4.1.3 การคืนสินทรัพย์ (Return of assets)
พนักงานที่สิ้นสุดการจ้างงาน หรือสิ้นสุดโครงการต้องคืนสินทรัพย์สารสนเทศที่รับผิดชอบ
ทั้งหมด รวมทั้งกุญแจ บัตรประจำตัวพนักงาน บัตรผ่านเข้าออก คอมพิวเตอร์และอุปกรณ์ต่อพ่วง คู่มือและ อุปกรณ์ต่าง ๆ
4.2 การจัดชั้นความลับของสารสนเทศ (Information classification)
วัตถุประสงค์ เพื่อให้สินทรัพย์สารสนเทศได้รับการป้องกันที่เหมาะสมโดยสอดคล้องกับระดับความสำคัญของสารสนเทศที่มี
นโยบาย
4.2.1 ชั้นความลับของสารสนเทศ (Classification of information)
สินทรัพย์สารสนเทศ ซึ่งทำมาจากต้นฉบับซึ่งมีการกำหนดชั้นความลับไว้ ให้ถือว่ามีชั้น
ความลับ เดียวกับต้นฉบับ
4.2.2 การบ่งชี้สารสนเทศ (Labeling of information)
ต้องจัดให้มีวิธีการจัดทำ และจัดการป้ายชื่อสินทรัพย์
4.2.3 การจัดการสินทรัพย์ (Handling of assets)
1) ข้อมูลลับต้องไม่ถูกเปิดเผยกับผู้อื่น เว้นแต่มีความจำเป็นในการปฏิบัติงาน
2) ข้อมูลที่เป็นข้อมูลลับต้องไม่เปิดเผยต่อบุคคลภายนอก ยกเว้นในกรณีที่การเปิดเผยนั้น
ครอบคลุมโดยข้อตกลงการไม่เปิดเผยข้อมูล
3) ข้อมูลสำคัญที่เกี่ยวข้องกับการดำเนินงานขององค์กรทั้งหมด ทั้งที่เก็บรักษาอยู่ในเครื่อง
คอมพิวเตอร์ ของผู้ใช้งานหรือเครื่องคอมพิวเตอร์แม่ข่ายที่ดูแลโดยผู้ใช้งาน ต้องได้รับการสำรองข้อมูลอย่าง สม่ำเสมอ เพื่อประโยชน์ในการกู้คืนข้อมูลเมื่อมีปัญหาใด ๆ เกิดขึ้น ตัวอย่างเช่น การติดไวรัส ฮาร์ดดิสก์เสีย เป็นต้น
4.3 การจัดการสื่อบันทึกข้อมูล (Media Handling)
วัตถุประสงค์ เพื่อป้องกันการเปิดเผยโดยไม่ได้รับอนุญาต การเปลี่ยนแปลง การขนย้ายการลบ หรือการ ทำลายสารสนเทศที่จัดเก็บอยู่บนสื่อบันทึกข้อมูล
นโยบาย
4.3.1 การบริหารจัดการสื่อบันทึกข้อมูลที่ถอดแยกได้ (Management of removable media)
สื่อบันทึกข้อมูล และอุปกรณ์คอมพิวเตอร์พกพาต่าง ๆ (เช่น Thumb Drive, CD Rom เป็น
ต้น) ที่มีข้อมูลลับขององค์กรบันทึกอยู่ ต้องได้รับการดูแลรักษาและใช้งานอย่างระมัดระวัง
4.3.2 การทำลายสื่อบันทึกข้อมูล (Disposal of media)
ข้อมูลลับขององค์กรที่สำเนามาเก็บอยู่บนสื่อบันทึกข้อมูล หากไม่ใช้งานแล้วต้องทำลายให้
ไม่สามารถนำข้อมูลไปใช้งานต่อได้ ตามแนวปฏิบัติการทำลายข้อมูลหรือกำจัดสื่อบันทึกข้อมูล
4.3.3 การขนย้ายสื่อบันทึกข้อมูล (Physical media transfer)
หากต้องขนย้ายสื่อบันทึกข้อมูลจะต้องป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต เช่น การล็อก
กุญแจ การปิดผนึก การเข้ารหัส เป็นต้น
หมวดที่ 5 การควบคุมการเข้าถึง (Access Control)
วัตถุประสงค์ เพื่อให้มั่นใจได้ว่าเฉพาะบุคคลที่มีสิทธิ์จะสามารถเข้าถึงข้อมูลที่สำคัญได้
นโยบาย
5.1 นโยบายควบคุมการเข้าถึง ( Access Control Policy)
กำหนดนโยบายควบคุมการเข้าถึง เป็นการกำหนดมาตรฐานแนวทางปฏิบัติที่มีความสอดคล้องกับนโยบายในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศสำหรับผู้ใช้งาน เจ้าหน้าที่ รวมถึง บุคคลภายนอกเพื่อควบคุมให้เข้าถึงเฉพาะผู้ที่ได้รับอนุญาต โดยมีมาตรการควบคุมการเข้าถึง ตามแนวปฏิบัติดังต่อไปนี้
1) แนวปฏิบัติในการควบคุมการเข้าถึงสารสนเทศ
2) แนวปฏิบัติการควบคุมการเข้าถึงเครือข่ายและบริการเครือข่าย
3) แนวปฏิบัติการควบคุมการเข้าถึงระบบปฏิบัติการ
4) แนวปฏิบัติการควบคุมการเข้าถึงโปรแกรมประยุกต์หรือแอพพลิเคชั่นและสารสนเทศ
5.2 การระบุและตรวจสอบตัวตน (Identification and Authentication) ในการเข้าใช้งานระบบงาน
หรือเครือข่าย ต้องมีการป้องกันการเข้าถึงข้อมูลจากบุคคลที่ไม่ได้รับอนุญาต หรือ บุคคลที่ไม่มีสิทธิเข้าถึง ด้วยการกำหนดวิธีการพิสูจน์ตัวตนที่เหมาะสม เช่น พิสูจน์ตัวตนด้วย รหัสผ่าน, PIN, ลายนิ้วมือ, ใบหน้า นอกจากนี้ในระบบที่สำคัญควรจะสามารถพิสูจน์ตัวตนแบบหลายปัจจัย Multi Factors Authentication (MFA)
5.3 การกำหนดสิทธิ์ (Authorization) การกำหนดสิทธิ์ให้แก่ผู้ใช้งานในระดับที่เหมาะสม ทําให้มั่นใจ
ว่าการให้สิทธิเข้าใช้งานระบบคอมพิวเตอร์และ ข้อมูลสารสนเทศเป็นไปตามความจําเป็น (Least Privilege) และสอดคล้องกับความต้องการพื้นฐานตามที่ได้รับอนุญาต
