Embed Size (px)
Citation preview
ค ำน ำ
ปจจบนระบบเทคโนโลยสารสนเทศเปนสงส าคญส าหรบหนวยงาน โดยชวยใหการตดตอสอสาร มประสทธภาพ และประหยดตนทนในการด าเนนงาน อยางไรกตาม แมระบบเทคโนโลยสารสนเทศจะมประโยชนและอ านวยความสะดวกในดานตางๆ แตกมความเสยงตอการถกโจมตจากผไมหวงดไดมากขน ซงอาจกอใหเกดอาชญากรรมทางคอมพวเตอรไดหลายรปแบบ เชน โปรแกรมประสงคราย หรอการบกรกโจมตผานระบบเครอขายอนเตอรเนต เพอกอกวนใหระบบใชการไมได รวมถงการขโมยขอมลหรอความลบ ทางราชการ ซงสงเหลานเปนการสรางความเสยหายดานระบบสารสนเทศเปนอยางมาก ทงยงสงผลทางลบ ตอชอเสยงหรอภาพพจนของหนวยงาน ดงนน ผใชบรการและผดแลระบบงานดานเทคโนโลยสารสนเทศ และการสอสาร จงมความจ าเปนจะตองตระหนกถงการดแลบ ารงรกษา และการควบคมรกษาความมนคงปลอดภยดานสารสนเทศเปนอยางยง
ดงนน กรมการพฒนาชมชน จงไดจดท าแนวนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ ประจ าป ๒๕๕๙ ซงด าเนนการภายใตพระราชกฤษฎกาก าหนดหลกเกณฑและวธการท าธรกรรมทางอเลกทรอนกสภาครฐ พ.ศ. ๒๕๔๙ เพอใหหนวยงานทงสวนกลางและภมภาค ใชเปนแนวทางเสรมสรางความมนคงปลอดภยแกระบบสารสนเทศชมชน
กรมการพฒนาชมชน จงหวงเปนอยางยงวา แนวนโยบายและ แนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศฉบบน จะเปนเครองมอใหกบผใชบรการ ผดแลระบบ และผทเกยวของกบระบบเทคโนโลยสารสนเทศของกรมการพฒนาชมชนทกระดบ ในการดแลรกษาความมนคงปลอดภยระบบเทคโนโลยสารสนเทศของหนวยงานตอไป
กรมการพฒนาชมชน ตลาคม ๒๕๕๙
สารบญ เรอง ค าน า สารบญ ประกาศกรมการพฒนาชมชน เรอง แนวนโยบายและแนวปฏบตในการรกษาความมนคง ๑-๙ ปลอดภยดานสารสนเทศ ของกรมการพฒนาชมชน พ.ศ. ๒๕๕๙ เอกสารแนบทายประกาศ เรอง นโยบายและแนวปฏบตในการรกษาความมนคงปลอดภย ๑๑-๔๖ ดานสารสนเทศ ของกรมการพฒนาชมชน พ.ศ. ๒๕๕๙
สวนท ๑ นโยบายควบคมการเขาถงและการใชงานระบบสารสนเทศ ๑๓-๓๘ ๑. การควบคมการเขาถงและการใชงานสารสนเทศ (Access Control) ๑๓-๑๔ ๒. การรกษาความมนคงปลอดภยทางดานกายภาพและสงแวดลอม ๑๕-๑๗ (Physical and Environmental Security) ๓. การบรหารจดการการเขาถงของผใชงาน (User Access Management) ๑๗-๑๙ ๔. การควบคมการเขาถงเครอขาย (Network Access Control) ๑๙-๒๒ ๕. การควบคมการเขาถงระบบปฏบตการ (Operating System Access Control) ๒๒-๒๓ ๖. การควบคมการเขาถงโปรแกรมประยกตหรอแอพลเคชนและสารสนเทศ ๒๓-๒๕ (Application an Information Access Control) ๗. การควบคมการเขาถงระบบเครอขายไรสาย (Wireless LAN Access Control) ๒๕-๒๖ ๘. การเขาถงเครองคอมพวเตอรแมขาย (Server) ๒๖-๒๙ ๙. การก าหนดหนาทความรบผดชอบของผใชงาน (User Responsibilities) ๒๙-๓๒ ๑๐. การใชงานเครองคอมพวเตอรสวนบคคลและเครองคอมพวเตอรแบบพกพา ๓๒-๓๔ ๑๑. การบรหารจดการการเขาถงขอมลตามระดบชนความลบ ๓๔-๓๕ ๑๒. การควบคมการใชงานระบบจดหมายอเลกทรอนกส (E-Mail) ๓๕-๓๗ ๑๓. การใชงานเครอขายสงคมออนไลน (Social Network) ๓๗ ๑๔. การจดเกบขอมลจราจรคอมพวเตอร (Log) ๓๗-๓๘
สวนท ๒ นโยบายระบบสารสนเทศและระบบส ารองของสารสนเทศ ๓๙-๔๒ สวนท ๓ นโยบายการตรวจสอบและประเมนความเสยงดานสารสนเทศ ๔๓-๔๔ สวนท ๔ นโยบายสรางความรความเขาใจในการใชระบบสารสนเทศและระบบคอมพวเตอร ๔๕-๔๖ สวนท ๕ การพจารณาความผด และการด าเนนการทางวนย ๔๗ ภาคผนวก ก ๔๙ - วธปฏบตในการท าลายขอมล ภาคผนวก ข ๕๓ - พระราชกฤษฎกาก าหนดหลกเกณฑและวธการในการท าธรกรรมทางอเลกทรอนกสภาครฐ พ.ศ. ๒๕๔๙ - ประกาศคณะกรรมการธรกรรมทางอเลกทรอนกส เรอง แนวนโยบายและแนวปฏบตใน การรกษาความมนคงปลอดภยดานสารสนเทศของหนวยงานภาครฐ พ.ศ. ๒๕๕๓ - ประกาศคณะกรรมการธรกรรมทางอเลกทรอนกส เรอง แนวนโยบายและแนวปฏบตใน การรกษาความมนคงปลอดภยดานสารสนเทศของหนวยงานภาครฐ (ฉบบท ๒) พ.ศ. ๒๕๕๖ - พระราชบญญตวาดวยการกระท าความผดเกยวกบคอมพวเตอร พ.ศ. ๒๕๕๐
เอกสารแนบทายประกาศ
เรอง แนวนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ ของกรมการพฒนาชมชน พ.ศ. ๒๕๕๙
นโยบายและแนวปฏบตในการรกษาความปลอดภยดานสารสนเทศของกรมการพฒนาชมชน พ.ศ. ๒๕๕๙ ๑๑
สวนท 1 นโยบายควบคมการเขาถงและการใชงานระบบสารสนเทศ
วตถประสงค
1. เพอใหมแนวทางปฏบตในการรกษาความมนคงปลอดภยส าหรบการควบคมการเขาถงและการใชงานระบบสารสนเทศของหนวยงาน
2. เพอใหผรบผดชอบและผมสวนเกยวของ ไดแก ผบรหาร ผ ใชงาน ผดแลระบบ และบคคลภายนอกทปฏบตงานใหกบหนวยงานรบร เขาใจและสามารถปฏบตตามแนวทางทก าหนดโดยเครงครด และตระหนกถงความส าคญของการรกษาความมนคงปลอดภย
ผรบผดชอบ ๑. ผบรหารเทคโนโลยสารสนเทศระดบสง (CIO) กรมการพฒนาชมชน ๒. ผอ านวยการศนยสารสนเทศเพอการพฒนาชมชน กรมการพฒนาชมชน ๓. ผดแลระบบเครอขายคอมพวเตอรทไดรบมอบหมาย
อางองมาตรฐาน - มาตรฐานการรกษาความมนคงปลอดภยในการประกอบธรกรรมทางอเลกทรอนกส (เวอรชน 2.5)
แนวปฏบต 1. การควบคมการเขาถงและใชงานสารสนเทศ (Access Control)
1.1 จดท าบญชสนทรพยหรอทะเบยนสนทรพย การจ าแนกกลมทรพยากรของระบบหรอการ ท างาน โดยใหก าหนดกลมผใชงานและสทธของกลมผใชงาน
1.2 ก าหนดเกณฑในการอนญาตใหเขาถงการใชงานสารสนเทศ ทเกยวของกบการอนญาต การก าหนดสทธ หรอการมอบอ านาจ ดงน
(1) ก าหนดสทธของผใชงานแตละกลมทเกยวของ เชน - อานอยางเดยว - สรางขอมล - ปอนขอมล - แกไข - อนมต - ไมมสทธ
(2) ก าหนดเกณฑการระงบสทธ มอบอ านาจ ใหเปนไปตามการบรหารจดการการเขาถงของผใชงาน (User Access Management) ทไดก าหนดไว
(๓) ผใชงานทตองการเขาใชงานระบบสารสนเทศของหนวยงาน จะตองขออนญาตเปนลายลกษณอกษรและไดรบการพจารณาอนญาตจากผอ านวยการศนยสารสนเทศเพอการพฒนาชมชนหรอผดแลระบบทไดรบมอบหมาย
นโยบายและแนวปฏบตในการรกษาความปลอดภยดานสารสนเทศของกรมการพฒนาชมชน พ.ศ. ๒๕๕๙ ๑๒
1.3 ขนตอนปฏบตเพอการจดเกบขอมล (๑) จดแบง ประเภทขอมล
- ขอมลสารสนเทศดานบรหาร เชน ขอมลบคลากร ขอมลงบประมาณ การเงนและบญช เปนตน
- ขอมลสารสนเทศเพอการพฒนาชมชน เชน ขอมลหมบานเศรษฐกจพอเพยง ขอมลผน าชมชน ขอมลสนคา OTOP ขอมล จปฐ. กชช.2ค เปนตน
(๒) จดแบงระดบความส าคญของขอมล ออกเปน 3 ระดบ คอ - ขอมลทมระดบความส าคญมากทสด - ขอมลทมระดบความส าคญปานกลาง - ขอมลทมระดบความส าคญนอย
(๓) จดแบงล าดบชนความลบของขอมล - ขอมลลบทสด หมายถง หากเปดเผยทงหมดหรอเพยงบางสวนจะกอใหเกดความ
เสยหายอยางรายแรงทสด - ขอมลลบมาก หมายถง หากเปดเผยทงหมดหรอเพยงบางสวนจะกอใหเกดความ
เสยหายอยางรายแรง - ขอมลลบ หมายถง หากเปดเผยทงหมดหรอเพยงบางสวนจะกอใหเกดความ
เสยหาย - ขอมลทวไป หมายถง ขอมลทสามารถเปดเผยหรอเผยแพรทวไปได
(๔) จดแบงระดบชนการเขาถง - ระดบชนส าหรบผบรหาร สามารถเขาถงขอมลทกล าดบชนความลบของขอมล - ระดบชนส าหรบผใชงานทวไป สามารถเขาถงล าดบชนขอมลทวไป เทานน - ระดบชนส าหรบผดแลระบบหรอผทไดมอบหมาย สามารถเขาถงล าดบชน
ขอมลทวไป โดยขอมลลบทสด ขอมลลบมาก และขอมลลบ ตองไดรบอนญาตจากผบรหารเปนลายลกษณอกษร
(๕) การก าหนดเวลาทไดเขาถง ดงน - ขอมลสารสนเทศดานบรหารใหเปนไปตามหวงเวลาทหนวยงานประกาศ - ขอมลสารสนเทศเพอการพฒนาชมชนสามารถเขาถงได ๒๔ ชวโมง
(๖) การก าหนดจ านวนชองทางทสามารถเขาถง 1.4 ผ ด แลระบบ ตองจดใหใช งานตามภารกจ เพ อควบคมการเขาถงสารสนเทศ
(Business Requirements for Access Control) โดยแบงการจดท าขอปฏบตเปน 2 สวน คอ (1) ควบคมการเขาถงสารสนเทศ โดยก าหนดการควบคมการเขาถงระบบสารสนเทศ
และสทธทเกยวของกบระบบสารสนเทศ (2) ปรบปรงใหสอดคลองกบขอก าหนดการใชงานตามภารกจและขอก าหนดดานความ
มนคงปลอดภย
นโยบายและแนวปฏบตในการรกษาความปลอดภยดานสารสนเทศของกรมการพฒนาชมชน พ.ศ. ๒๕๕๙ ๑๓
๒. การรกษาความมนคงปลอดภยทางดานกายภาพและสงแวดลอม (Physical and Environmental Security)
๒.๑ เพอรกษาความปลอดภยแกเครองคอมพวเตอรไดเหมาะสมตามระดบความเสยง ใหศนยสารสนเทศเพอการพฒนาชมชน ก าหนดวธประเมนความเสยง เพอใชเปนมาตรฐานในการจดประเภทคอมพวเตอรตามล าดบความเสยง โดยแบงออกเปน 3 ระดบ คอ
(1) เครองคอมพวเตอรทอยในระดบความเสยงสง (2) เครองคอมพวเตอรทอยในระดบความเสยงปานกลาง (3) เครองคอมพวเตอรทอยในระดบความเสยงต า
๒.๒ การรกษาความปลอดภยแกเครองคอมพวเตอรทางกายภาพ ใหพจารณาสถานทตดตงและเกบรกษาเครองคอมพวเตอรของกรมการพฒนาชมชน 4 ระดบ คอ
(1) เขตหวงหามเดดขาด (Exclusion Area) คอมพวเตอรแมขายตองจดพนทใหเปนเขตหวงหามเดดขาด ตองตงอยในบรเวณดานในทมการสญจรไปมานอย และมการออกแบบสถานทเพอใหอปกรณคอมพวเตอรตงอยภายในพนทมความปลอดภยจากภยคกคามทอาจเกดขน
(2) เขตหวงหามเฉพาะ (Limited Area) ขอมลส าคญจ าเปนตองปกปดเปนความลบ เชน ขอมลบคลากร ตองตงอยในบรเวณดานในของหนวยงานราชการ และตองมการออกแบบสถานทใหอปกรณคอมพวเตอร ตงอยภายในพนทมความปลอดจาก ภยคกคามทอาจเกดขนเขตในความควบคม
(3) เขตในความควบคมของหนวยงานราชการ (Control Area) ตองตงอยในบรเวณของหนวยงานราชการ และตองมการออกแบบสถานทใหอปกรณคอมพวเตอรตงอยภายในพนทมความปลอดภยจากภยคกคามทอาจเกดขน
(4) เขตผมาตดตอ (Public Area) ตองตงอยในบรเวณทเขาถงไดสะดวก โดยตองไมผานเขตในความควบคม และอยหางจากเขตหวงหามเดดขาดและเขตหวงหามเฉพาะ ทงนตองมการออกแบบสถานทใหอปกรณคอมพวเตอรตงอยภายในพนทมความปลอดภยจากภยคกคามทอาจเกดขน
๒.๓ เพอประโยชนในการรกษาความปลอดภยแกสถานททตดตงและเกบรกษาเครองคอมพวเตอรใหผอ านวยการศนยสารสนเทศเพอการพฒนาชมชนด าเนนการ ดงตอไปน
(๑) ประสานงานกบผดแลระบบเครอขายคอมพวเตอร ทงในสวนกลางและสวนภมภาคเพอก าหนดแผนปฏบตเกยวกบอคคภยและเหตฉกเฉนตาง ๆ และทดสอบระบบรกษาความปลอดภยภายในเขตรกษาความปลอดภยอยางนอยปละ 1 ครง
(2) จดอบรมและซกซอมผจดการฐานขอมลทปฏบตงานภายในเขตรกษาความปลอดภยตามระยะเวลาอนสมควร เพอใหสามารถใชงานอปกรณรกษาความปลอดภยไดอยางถกตองและเหมาะสม
๒.๔ ใหกองคลงรบผดชอบการบ ารงรกษาสถานท อปกรณปองกนความเสยหาย และอปกรณปองกนภยตาง ๆ ภายในเขตรกษาความปลอดภย ตามระยะเวลาอนสมควรภายใตค าแนะน าจาก ศนยสารสนเทศเพอการพฒนาชมชน
นโยบายและแนวปฏบตในการรกษาความปลอดภยดานสารสนเทศของกรมการพฒนาชมชน พ.ศ. ๒๕๕๙ ๑๔
๒.๕ เพอประโยชนในการรกษาความปลอดภยแกเครองคอมพวเตอรและอปกรณคอมพวเตอร ใหผดแลระบบเครอขายคอมพวเตอรสวนกลางและสวนภมภาค ด าเนนการดงตอไปน
(1) ก าหนดวธปฏบตในการตดตงและเกบรกษาใหเหมาะสมตามระดบความเสยงเพอปองกนการลกลอบใชอปกรณ
(2) จดท าทะเบยนคมอปกรณคอมพวเตอร โดยมรายละเอยดเกยวกบอปกรณคอมพวเตอร การบ ารงรกษา และการขนยาย
(3) ก าหนดวธปฏบตในการขนยายอปกรณคอมพวเตอรออกจากพนทตดตงใหเหมาะสม ตามระดบความเสยง เพอปองกนเครองคอมพวเตอร อปกรณคอมพวเตอร และขอมลเสยหายจากการขนยาย
(4) รบผดชอบการแกไขซอมแซมเครองคอมพวเตอร และอปกรณคอมพวเตอร ๒.๖ ใหหนวยงานราชการสวนกลาง และสวนภมภาค เจาของเครองคอมพวเตอร และอปกรณ
คอมพวเตอรด าเนนการดงตอไปน (1) เกบรกษาอยางเปนระเบยบในสถานทปลอดภยใหเหมาะสมตามระดบความเสยง
เพอปองกนการลกลอบใชอปกรณคอมพวเตอร (2) ประสานงานกบศนยสารสนเทศเพอการพฒนาชมชนในการจดเตรยมแผนรองรบ
หากอปกรณคอมพวเตอรไดรบความเสยหาย และทดสอบแผนรองรบตามระยะเวลาอนสมควร
(3) มอบหมายใหผดแลระบบเครอขายคอมพวเตอร ดแลการบ ารงรกษาอปกรณคอมพวเตอรและควบคมการขนยายอปกรณคอมพวเตอร เพอปองกนขอมลทจดเกบในอปกรณคอมพวเตอรรวไหลหรอถกแกไข
๒.๗ การเดนสายไฟ สายสอสาร และสายเคเบลอน ๆ (Cabling Security) (1) ในกรณทตองการเพมหรอปรบปรงสายสญญาณและอปกรณทเกยวของ ใหแจง
ผอ านวยการศนยสารสนเทศเพอการพฒนาชมชนทกครง (๒) หลกเลยงการเดนสายสญญาณเครอขายของหนวยงานในลกษณะทตองผานเขาไป
ในบรเวณ ทมบคคลภายนอกเขาถงได (๓) ใหมการรอยทอสายสญญาณตางๆ เพอปองกนการดกจบสญญาณ หรอการตด
สายสญญาณ เพอท าใหเกดความเสยหาย (๔) ใหเดนสายสญญาณสอสารและสายไฟฟาแยกออกจากกน เพอปองกนการ
แทรกแซง รบกวน ของสญญาณซงกนและกน (๕) ท าปายชอส าหรบสายสญญาณและบนอปกรณเพอปองกนการตดตอสญญาณ
ผดพลาด (๖) จดท าผงสายสญญาณสอสารตางๆ ใหครบถวนและถกตอง (๗) หองทมสายสญญาณสอสารตางๆ ปดใสสลกใหสนท เพอปองกนการเขาถงของ
บคคลภายนอก (๘) พจารณาใชงานสายไฟเบอรออฟตก แทนสายสญญาณสอสารแบบเดม (เชน
สายสญญาณ แบบ Coaxial Cable) ส าหรบระบบสารสนเทศทส าคญ
นโยบายและแนวปฏบตในการรกษาความปลอดภยดานสารสนเทศของกรมการพฒนาชมชน พ.ศ. ๒๕๕๙ ๑๕
(๙) ด าเนนการส ารวจระบบสายสญญาณสอสารทงหมดเพอตรวจหาการตดตงอปกรณดกจบสญญาณโดยผไมประสงคด
๒.๘ การน าสนทรพยของหนวยงานออกนอกหนวยงาน (Removal of Property) (๑) ก าหนดผมอ านาจในการเคลอนยายหรอน าอปกรณออกนอกหนวยงาน (๒) ก าหนดระยะเวลาของการน าอปกรณออกไปใชงานนอกหนวยงาน (๓) เมอมการน าอปกรณสงคน ใหตรวจสอบวาสอดคลองกบระยะเวลาทอนญาต และ
ตรวจสอบ การช ารดเสยหายของอปกรณดวย (๔) บนทกขอมลการน าอปกรณของหนวยงานออกไปใชงานนอกหนวยงาน เพอเอาไว
เปนหลกฐานปองกนการสญหาย รวมทง บนทกขอมลเพมเตมเมอน าอปกรณสงคน ๒.๙ การก าจดอปกรณหรอการน าอปกรณกลบมาใชงานอกครง (Secure Disposal
or Re-Use of Equipment) (1) ใหท าลายขอมลส าคญในอปกรณกอนทจะก าจดอปกรณดงกลาว (2) มมาตรการหรอเทคนคในการลบหรอเขยนขอมลทบบนขอมลทมความส าคญใน
อปกรณ กอนใหผอนน าอปกรณนนไปใชงานตอ เพอปองกนไมใหมการเขาถงขอมลส าคญนนได
๒.๑๐ การรกษาความมนคงปลอดภยส าหรบเอกสารระบบสารสนเทศใหจงหวดเกบไวในสถานททมนคงปลอดภย และมมาตรการควบคมการเขาถง
๓. การบรหารจดการการเขาถงของผใชงาน (User Access Management) เพอปองกนการเขาถงจากผซงไมไดรบอนญาต ดงน
๓.๑ การลงทะเบยนบคลากรและบคคลทปฏบตงานใหกบหนวยงาน ใหผดแลระบบก าหนดขนตอนปฏบตอยางเปนทางการเพอใหมสทธตางๆ ในการใชงานตามความจ าเปน ทงขนตอนปฏบตส าหรบการยกเลก และการเปลยนแปลงการใชงาน ดงตอไปน
(๑) จดท าแบบฟอรมประสงคขอใชระบบงานสารสนเทศ ระบบเครอขาย และจดหมายอเลกทรอนกส (E-mail) เพอตรวจสอบสทธและด าเนนการตามขนตอนการลงทะเบยนผใชงาน และยนตอผอ านวยการศนยสารสนเทศเพอการพฒนาชมชน
(๒) มการระบชอบญชผใชงาน แยกเปนรายบคคล ไมซ าซอนกน (๓) จ ากดการใชบญชผใชงานแบบกลมภายใตบญชชอเดยวกน และอนญาตใหใชงาน
ระบบสารสนเทศเทาทจ าเปน (๔) ตรวจสอบและมอบหมายสทธในการเขาถงทเหมาะสมกบหนาทความรบผดชอบ
ซงตองลงนามรบทราบดวย (๕) หลกเกณฑการยกเลกสทธใหเขาถงระบบสารสนเทศ การตดออกจากบญชผใชงาน
และการคนสทธ ใหปฏบต ดงน ก. ใหลบบญชผใชงานโดยไมชกชาหลงจากผใชงานพนสภาพการเปนขาราชการ
และลกจาง โดยใหหวหนาหนวยงานสวนกลางและสวนภมภาค แจงผอ านวยการศนยสารสนเทศเพอการพฒนาชมชนลวงหนาทกครงทมผใชงานหมดสทธเขาสระบบคอมพวเตอร
นโยบายและแนวปฏบตในการรกษาความปลอดภยดานสารสนเทศของกรมการพฒนาชมชน พ.ศ. ๒๕๕๙ ๑๖
ข. การยกเลกสทธการใชงานชวคราว และการคนสทธการใชงานใหพจารณาเหตการณ / สถานการณ ตอไปน
- ผใชงานไมมาปฏบตงานตดตอกนเกน 3 เดอน เชน ลาปวย ลาศกษาตอ เปนตน - มพฤตกรรมการใชงานทหวหนาหนวยงานราชการสวนกลางและสวน
พจารณาแลวเหนวาไมเหมาะสม - การคนสทธการใชงานในกรณทผใชงานถกยกเลกสทธ สามารถกระท าได
ตอเมอไดรบแจงความประสงคจากผใชงานเปนลายลกษณอกษร ค. ในการส ารองบญชผใชงาน ใหผดแลระบบ
- ส ารองไฟลและขอมลแบบออฟไลนทก 3 เดอนเปนอยางนอย โดยพจารณาจากจ านวนครงในการเปลยนแปลงขอมลเปนหลก
- ส ารองทกครงทตดตงระบบงานใหม และควรส ารองขอมลแบบออฟไลนทกครงทมการปรบปรงแกไขระบบงานบนคอมพวเตอรแมขาย
- จดเกบสอทใชส ารองขอมลยอนหลงอยางนอย 3 รน โดยใหจดเกบสอทใชส ารองขอมลลาสดในตนรภยของกรมการพฒนาชมชน และใหจดเกบสอทเหลอภายในเขตหวงหามเดดขาดหรอเขตหวงหามเฉพาะ
- ทดสอบการกคนระบบโดยจ าลองจากสถานการณจรงทกป ๓.๒ ผดแลระบบ ก าหนดการใชงานระบบเทคโนโลยสารสนเทศทส าคญใหเปนสทธเฉพาะการ
ปฏบตหนาท และตองไดรบความเหนชอบจากผบงคบบญชา รวมทงตองทบทวนสทธ อยางนอยปละ ๑ ครง ไดแก ระบบคอมพวเตอร โปรแกรมประยกต จดหมายอเลกทรอนกส ระบบเครอขายไรสาย ระบบอนเทอรเนต
๓.๓ ผดแลระบบ ตองบรหารจดการสทธของผใชงาน ดงตอไปน (๑) ก าหนดประเภทของสทธกบผใชงานระบบสารสนเทศ โดยจ าแนกประเภทสทธตาม
หนาทความรบผดชอบ และตองจดเกบและมอบหมายสทธแกผใชงานระบบสารสนเทศ
(๒) กรณมความจ าเปนตองใหสทธพเศษแกผใชงานทมสทธสงสด ผใชงานนน ตองไดรบความเหนชอบจากผบงคบบญชา โดยก าหนดระยะเวลาการใชงานและระงบการใชงานทนทเมอพนระยะเวลาดงกลาวหรอพนจากต าแหนง และตองมการก าหนดสทธพเศษทไดรบวา ไดเขาถงระดบใดบาง และตองก าหนดใหเปนรหสพเศษทแตกตางจากผใชงานทวไป
(๓) ก าหนดสทธของผใชงานระบบสารสนเทศของผทเกยวของ ไดแก อานอยางเดยว การสรางขอมล การปอนขอมล การแกไขขอมล และการอนมต
๓.๔ ผดแลระบบ ตองบรหารจดการรหสผานของผใชงาน ดงตอไปน (๑) ก าหนดการเปลยนแปลงและการยกเลกรหสผาน เมอผใชงานลาออก หรอพนจาก
ต าแหนง (๒) สงมอบรหสผานชวคราวใหกบผใชงานดวยวธการทปลอดภย ควรหลกเลยงการ
ใชบคคลอน หรอใชจดหมายอเลกทรอนกสทไมมการปองการในการสงรหสผาน
นโยบายและแนวปฏบตในการรกษาความปลอดภยดานสารสนเทศของกรมการพฒนาชมชน พ.ศ. ๒๕๕๙ ๑๗
(๓) ก าหนดใหผใชงาน ตอบยนยนการไดรบรหสผานทนท และใหผใชงานเปลยนรหสผานตามวธปฏบตการใชงานรหสผาน (Password Use)
(๔) ก าหนดใหผใชงานไมบนทกหรอเกบรหสผาน ในระบบคอมพวเตอรทไมมการปองกนการเขาถง
(๕) ก าหนดขอผใชหรอรหสผใชงาน ตองไมซ ากน (๖) ก าหนดใหรหสผใชงานทมสทธพเศษ ใหแตกตางจากผใชงานทวไป
๓.๕ ผดแลระบบ ตองควบคมการเขาถงขอมลตามประเภทของขอมล ระดบความส าคญของขอมล และล าดบชนความลบของขอมล ดงน
(๑) ก าหนดรายชอผใช และรหสผานเพอตรวจสอบสทธการเขาถง (๒) ก าหนดระยะเวลาการใชงานไมเกน ๙๐ นาทตอครง และระงบการใชงานทนทเมอ
พนระยะเวลาดงกลาว (๓) การรบสงขอมลส าคญผานระบบเครอขายสาธารณะ ตองไดรบการเขารหส
(Encryption) ทเปนมาตรฐานสากล เชน SSL VPN หรอ XML Encryption เปนตน (๔) ก าหนดการเปลยนรหสผานทก ๖๐ วน (๕) ก าหนดมาตรการรกษาความมนคงปลอดภยของขอมล ในกรณน าเครองคอมพวเตอร
ออกนอกพนทของหนวยงาน ตองมการส ารอง และลบขอมลทเกบอยในสอบนทกกอน เปนตน
๓.๖ ผดแลระบบ ตองจ ากดการเชอมตอระบบสารสนเทศ (Limitation of Connection Time) ส าหรบระบบสารสนเทศ หรอโปรแกรมทมความเสยง หรอมความเสยงสง ดงน
(๑) ก าหนดใหมการระบและพสจนตวตนเพอเขาใชงานใหม ไมเกน ๙๐ นาท ตอครง (๒) ผประสงคใชงานสารสนเทศหรอโปรแกรมทมความเสยง หรอมความส าคญสง ให
ยนความประสงคเปนลายลกษณอกษรตอผอ านวยการศนยสารสนเทศเพอการพฒนาชมชน
๓.๗ ตองจดใหมการเสรมสรางความร ความเขาใจ เพอเสรมสรางความตระหนกในการรกษาความมนคงปลอดภยดานสารสนเทศ (Information Security Awareness) อยางนอยปละ ๑ ครง ดวยชองทางดงตอไปน
(๑) จดประชมเชงปฏบตการ (๒) เวบไซต (๓) เอกสาร
4. การควบคมการเขาถงเครอขาย (Network Access Control) เพอปองกนการเขาถงบรการทางเครอขายโดยไมไดรบอนญาต อยางนอย ดงน 4.1 ผดแลระบบ ตองก าหนดใหผใชงานสามารถเขาถงระบบสารสนเทศไดแตเพยงบรการท
ไดรบอนญาตใหเขาถงเทานน (1) ใหผดแลระบบก าหนดใหระบบสารสนเทศตองควบคมการเขาถง โดยระบเครอขาย
หรอบรการทอนญาตใหมการใชงานไดเทานน
นโยบายและแนวปฏบตในการรกษาความปลอดภยดานสารสนเทศของกรมการพฒนาชมชน พ.ศ. ๒๕๕๙ ๑๘
(๒) ใหผดแลระบบก าหนดการระบบสารสนเทศทส าคญ ตองใหสทธเฉพาะการฏบตงานในหนาทและตองไดรบความเหนชอบจากผบงคบบญชาเปนลายลกษณอกษร รวมทงตองทบทวนสทธ ดงกลาวอยางนอยปละ ๑ ครง
4.2 การยนยนตวบคคลส าหรบผใชงานทอยภายนอกหนวยงาน (User Authentication for External Connections) จะตองมขอปฏบตหรอกระบวนการใหมการยนยนตวบคคลกอนทจะอนญาตใหผใชงาน ทอยภายนอกหนวยงานสามารถเขาใชงานเครอขายและระบบสารสนเทศของหนวยงานได ดงน
(๑) ผดแลระบบตองก าหนดใหตดตงซอฟตแวรพนฐานทจ าเปน เชน ซอฟตแวรปองกนไวรส ไฟรวอลล ในอปกรณทเปนของสวนตวซงใชในการเชอมตอเพอเขาถงระบบเทคโนโลยสารสนเทศของหนวยงานจากระยะไกล
(๒) ผดแลระบบตองก าหนดรายละเอยดหรอขอก าหนดส าหรบการปฏบตงานจากระยะไกล ดงน - ชนดของงานทอนญาตและไมอนญาตส าหรบการปฏบตงานจากระยะไกล - ระบบงานหรอบรการตางๆ ทอนญาตใหเขาถงไดจากระยะไกล - ชวโมงหรอชวงระยะเวลาการปฏบตงาน - ชนความลบของขอมลทอนญาตใหเขาถงได
(๓) การใชงานตองไดรบอนญาตผอ านวยการศนยสารสนเทศเพอการพฒนาชมชน เปนลายลกษณอกษร และไดรบการควบคมอยางเหมาะสมจากผดแลระบบ เพอปองกนการเปดเผยขอมล และการเขาถงขอมลทไมไดรบอนญาต
(๔) การเขาสระบบจากระยะไกล ผใชงานทจะเขาใชงานระบบตองแสดงตวตนกอนเขา ใชงาน (Identification) ดวยชอผใชงาน (Username) ทกครง
(๕) ผดแลระบบตรวจสอบผใชงานทกครงกอนทจะอนญาตใหเขาถงระบบขอมล โดยจะตองมวธการยนยนตวบคคล (Authentication) เพอแสดงวาเปนผใชงานตวจรง เชน การใชรหสผาน (Password) หรอการใชสมารทการด
(๖) มวธการในการตรวจสอบเพอพสจนตวตน ส าหรบการเขาสระบบสารสนเทศของหนวยงาน อยางนอย 1 วธ
(๗) การเขาสระบบสารสนเทศของหนวยงานจากอนเทอรเนต ใหตรวจสอบผใชงานดวย 4.3 ใหผดแลระบบ ระบอปกรณบนเครอขาย (Equipment Identification in Networks) โดยวธการหรอกระบวนการทสามารถระบอปกรณบนเครอขายเพอยนยนการเขาถง ดงน
(1) ผดแลระบบตองจดท าผงเครอขาย เพอควบคมการใชงานอยางเหมาะสม (๒) ใช MAC address และ IP ในการระบอปกรณบนเครอขาย
4.4 การปองกนพอรตทใชส าหรบตรวจสอบและปรบแตงระบบ (Remote Diagnostic and Configuration Port Protection) ผดแลระบบตองควบคมการเขาถงพอรตทใชส าหรบตรวจสอบและปรบแตงระบบทงการเขาถงทางกายภาพและทางเครอขาย โดยวธปฏบตการเขาถงเครองคอมพวเตอรแมขาย (Server) ตามขอ ๘.๑ – ๘.๕
4.5 การแบงแยกเครอขาย (Segregation in Networks) ตองท าการแบงแยกเครอขาย ส าหรบกลมผใชงาน โดยแบงออกเปน 2 เครอขาย คอ เครอขายส าหรบผใชงานภายใน และเครอขายส าหรบผใชงานภายนอก
นโยบายและแนวปฏบตในการรกษาความปลอดภยดานสารสนเทศของกรมการพฒนาชมชน พ.ศ. ๒๕๕๙ ๑๙
4.6 ผดแลระบบควบคมการเชอมตอทางเครอขาย (Network Connection Control) ตองควบคมการเขาถง หรอใชงานเครอขายทมการใชรวมกน หรอเชอมตอระหวาง ใหสอดคลองกบแนวปฏบตการควบคมการเขาถง ดงน
(1) ท าการตรวจสอบการเชอมตอเครอขาย (2) จ ากดสทธ ความสามารถของผใชในการเชอมตอเขาสเครอขาย
(3) ระบอปกรณ เครองมอทใชควบคมการเชอมตอเครอขาย (4) มระบบการตรวจจบผบกรกทงในระดบเครอขาย และระดบเครองคอมพวเตอรแมขาย (5) ควบคมไมใหเปดใหบรการบนเครอขาย โดยไมไดรบอนญาต
4.7 การควบคมการจดเสนทางบนเครอขาย (Network Routing Control) ตองควบคมการจดเสนทางบนเครอขายเพอควบคมการเชอมตอของคอมพวเตอรและการไหลเวยนของขอมลหรอสารสนเทศ ดงน
(1) ควบคมไมใหเปดเผยแผนการใชหมายเลขเครอขาย (IP Address) (2) ก าหนดใหมการแปลงหมายเลขเครอขาย เพอแยกเครอขายยอย (3) ก าหนดมาตรการการบงคบใชเสนทางเครอขาย สามารถเชอมเครอขายปลายทาง
ผานชองทางทก าหนดไว หรอจ ากดสทธในการใชบรการเครอขาย 4.8 การควบคมการเขาใชงานระบบจากภายนอก
(1) การเขาสระบบจากระยะไกล (Remote Access) ตองมการก าหนดมาตรการรกษาความปลอดภยทเพมขนจากมาตรฐานการเขาสระบบภายใน
(2) การเขาสระบบจากระยะไกล (Remote Access) ตองมการตรวจสอบ เพอพสจนตวตนของผใชงาน เชน รหสผาน หรอวธการเขารหส เปนตน
(3) วธการใด ๆ กตามทสามารถเขาสระบบสารสนเทศและเครอขายไดจากระยะไกลตองไดรบอนมตจากผอ านวยการศนยสารสนเทศเพอการพฒนาชมชนหรอผดแลระบบ ทไดรบมอบหมายกอน และมการควบคมอยางเขมงวดกอนน ามาใชและผใชงานตองปฏบตตามขอก าหนดของการเขาสระบบสารสนเทศอยางเครงครด
(4) กอนใหสทธในการเขาสระบบจากระยะไกล ผใชงานตองแสดงหลกฐานระบเหตผล หรอความจ าเปนในการด าเนนงานกบหนวยงานอยางเพยงพอและตองไดรบอนมตจากผอ านวยการศนยสารสนเทศเพอการพฒนาชมชนหรอผดแลระบบ ทไดรบมอบหมายอยางเปนทางการ
(5) การควบคมพอรต (Port) ทใชในการเขาสระบบอยางรดกม การเขาสระบบโดยการ โทรศพทเขามานน ตองดแลและจดการโดยผดแลระบบและวธการหมนเขาตองไดรบการอนมตอยางถกตองและเหมาะสมแลวเทานน
(6) การอนญาตใหผใชงานเขาสระบบจากระยะไกล ตองอยบนพนฐานของความจ าเปนเทานน และใหตดการเชอมตอ Port และ Modem ทนททภาระกจเสรจสน
๔.๙ การใชงานระบบเครอขายอนเทอรเนต (Internet) ก าหนดใหผใชงานปฏบต ดงน (๑) ตองเปนบคลากรสงกดกรมการพฒนาชมชน ส าหรบบคคลภายนอกจะตองไดรบ
อนญาตจากผดแลระบบเครอขายคอมพวเตอร (๒) ตองใชขอความทสภาพ และถกตองตามธรรมเนยมปฏบตในการใชเครอขายเทานน
นโยบายและแนวปฏบตในการรกษาความปลอดภยดานสารสนเทศของกรมการพฒนาชมชน พ.ศ. ๒๕๕๙ ๒๐
(๓) ตองใชทรพยากรเครอขายอยางมประสทธภาพ โดยเฉพาะการดาวนโหลดไฟล ทมขนาดใหญ หากมความจ าเปนใหปฏบตนอกเวลาท างาน
(๔) ตองรบผดชอบตอขอมลของตนเอง ไมวาจะเกบไวในเครองคอมพวเตอรสวนบคคล เครองคอมพวเตอรแมขาย (Server) หรอการสงขอมลผานเครอขายคอมพวเตอร
(๕) ตองไมใหผอนใชงานผานบญช ของตนโดยเดดขาด หากเกดปญหา เชน การละเมดลขสทธ หรอการเกบขอมลทผดกฎหมาย เจาของบญชตองเปนผรบผดชอบ
5. การควบคมการเขาถงระบบปฏบตการ (Operating System Access Control) เพอปองกนการเขาถงระบบปฏบตการโดยไมไดรบอนญาต ใหปฏบตอยางนอยดงน 5.๑ ก าหนดขนตอนปฏบตเพอการเขาใชงานทมนคงปลอดภย ตองมการควบคมโดยแสดง
วธการยนยนตวตนทมนคงปลอดภย ดงน (๑) ระบบสามารถยตการเชอมตอจากเครองปลายทางได เมอพบวามการพยายามคาดเดา
รหสผานจากเครองปลายทาง (๒) จ ากดระยะเวลาส าหรบใชในการปอนรหสผาน (๓) จ ากดการเชอมตอโดยตรงสระบบปฏบตการผานทาง Command Line เนองจาก
อาจสรางความเสยหายใหกบระบบได 5.๒ ระบและยนยนตวตนของผใชงาน (User Identification and Authentication ) ตองก าหนดให ผใชงานมขอมลเฉพาะเจาะจงซงสามารถระบตวตนของผใชงาน และเลอกใชขนตอนทางเทคนคในการยนยนตวตน ทเหมาะสมเพอรองรบการกลาวอางวาเปนผใชงานทระบถง โดยมแนวปฏบต ดงน
(1) ผใชงานตองมชอผใชงาน (Username) และรหสผาน (Password) ส าหรบเขาใชงานระบบสารสนเทศของหนวยงาน
(2) หากอนญาตใหใชช อ ผ ใช ง าน ( Username) และรหสผาน (Password) รวมกน ตองขนอยกบความจ าเปนทางดานธรกจหรอดานเทคนค
(3) สามารถใชอปกรณควบคมความปลอดภยเพมเตม เชน Smart Card เปนตน 5.๓ การบรหารจดการรหสผาน (Password Management System) ผดแลระบบตองจดให
มระบบบรหารจดการรหสผานทสามารถท างานเชงโตตอบ (Interactive) 5.๔ การใชงานโปรแกรมอรรถประโยชน (Use of System Utilities) ตองมการจ ากดและ
ควบคมการใชงาน เนองจากการใชงานโปรแกรมอรรถประโยชนบางประเภท เออใหผใช หลกเลยงมาตรการปองกนทางดานความมนคงปลอดภยของระบบได เพอปองกนการละเมดหรอหลกเลยงมาตรการความมนคงปลอดภยทไดก าหนดไวหรอทมอยแลว ใหด าเนนการดงน
(1) จ ากดสทธการเขาถงและก าหนดสทธอยางรดกมในการอนญาตใหใชโปรแกรมอรรถประโยชน
(2) ก าหนดใหอนญาตใชงานโปรแกรมอรรถประโยชนเปนรายครงไป (3) จดเกบโปรแกรมอรรถประโยชนไวในสอภายนอก ถาไมตองใชงานเปนประจ า (4) ท าการจดเกบบนทกการเรยกใชงานโปรแกรมเหลาน (5) ก าหนดใหมการถอดถอนโปรแกรมอรรถประโยชนทไมจ าเปนออกจากระบบ
5.๕ เมอมการวางเวนจากการใชงานในระยะเวลาหนงใหยตการใชงานระบบสารสนเทศนน (Session Time-out)
นโยบายและแนวปฏบตในการรกษาความปลอดภยดานสารสนเทศของกรมการพฒนาชมชน พ.ศ. ๒๕๕๙ ๒๑
(1) ใหก าหนดหลกเกณฑการยตการใชงานระบบสารสนเทศ เมอวางเวนจากการใชงานเวลา 30 นาทเปนอยางนอย หากเปนระบบทมความเสยงหรอความส าคญสง ตองก าหนดระยะเวลายตการใชงานระบบเมอวางเวนจากการใชงานใหสนขนหรอตามความเหมาะสม เพอปองกนการเขาถงขอมลส าคญโดยไมไดรบอนญาต
(2) ถาไมมการใชงานระบบ ตองท าการยกเลกการใชโปรแกรมประยกตและการเชอมตอเขาสระบบโดยอตโนมต
(3) เครองปลายทางทตงอยในพนททมความเสยงสง ตองมการก าหนดระยะเวลาใหปด เครองโดยอตโนมต หลงจากทไมมการใชงานเปนระยะเวลาตามทก าหนด
5.๖ การจ ากดระยะเวลาการเชอมตอระบบสารสนเทศ (Limitation of Connection Time) ส าหรบระบบสารสนเทศหรอโปรแกรมทมความเสยงหรอมความส าคญสง ตองจ ากดชวงเวลาในการเชอมตอ เพอใหระบบสารสนเทศมความมนคงปลอดภย
6. การควบคมการเขาถงโปรแกรมประยกตหรอแอพพลเคชนและสารสนเทศ (Application and Information Access Control) ตองมการควบคมอยางนอย ดงน
6.1 การจ ากดการเขาถงสารสนเทศ ( Information Access Restriction) ตองจ ากดหรอควบคมการเขาถงสารสนเทศและฟงกชน (Functions) ตางๆ ของโปรแกรมประยกตหรอแอพพลเคชน โดยใหก าหนดหลกเกณฑในการจ ากดหรอควบคมการเขาถงหรอเขาใชงานทสอดคลองตามนโยบายควบคมการเขาถงสารสนเทศทไดก าหนดไว
6.2 ระบบซงไวตอการรบกวน มผลกระทบและมความส าคญสงตอหนวยงาน ตองด าเนนการ ดงน (1) แยกระบบซงไวตอการรบกวนออกจากระบบอน (2) การควบคมสภาพแวดลอมของระบบ
- แยกหองตดตงระบบซงไวตอการรบกวน ใหเปนสดสวนเฉพาะ - ควบคมการเขาออกหองตดตงระบบซงไวตอการรบกวน โดยการก าหนดสทธ
การเขาออกใหเฉพาะบคคลทมหนาทเกยวของเทานน (3) การควบคมอปกรณคอมพวเตอรและสอสารเคลอนท และการปฏบตงานจาก
ภายนอกหนวยงาน (Mobile Computing and Teleworking) ทเกยวของกบระบบซงไวตอการรบกวน ตองไดรบอนญาตจากผอ านวยการศนยสารสนเทศเพอการพฒนาชมชน
6.3 การควบคมอปกรณคอมพวเตอรและสอสารเคลอนท ตองด าเนนการ ดงน (๑) ใหแตงตงผรบผดชอบ เพอก าหนดสทธการในการเขาถงระบบควบคมอปกรณ
คอมพวเตอรและสอสารเคลอนท (๒) ไดรบอนญาตจากผอ านวยการศนยสารสนเทศเพอการพฒนาชมชน
6.4 การปฏบตงานจากภายนอกหนวยงาน (Teleworking) ก าหนดแนวปฏบต แผนงานและขนตอนปฏบต ใชส าหรบการปฏบตงานของหนวยงานจากภายนอกหนวยงาน ดงน
(๑) การให สทธ ในการเขา สระบบจากระยะไกล ผใชงานตองไดรบอนมตจากผอ านวยการศนยสารสนเทศเพอการพฒนาชมชน เปนลายลกษณอกษร และตองก าหนดระยะเวลาการเขาถงเพอควบคมการเขาถงได
(๒) การเขาสระบบจากระยะไกล ตองท าการพสจนตวตนกอนเขาใชงาน
นโยบายและแนวปฏบตในการรกษาความปลอดภยดานสารสนเทศของกรมการพฒนาชมชน พ.ศ. ๒๕๕๙ ๒๒
(๓) ผดแลระบบตองก าหนดมาตรการปองกนและการเตรยมการตางๆ ทจ าเปน กอนอนญาตใหผใชงานเรมตนปฏบตงานจากระยะไกล
๖.5 ลขสทธของซอฟตแวร และแนวทางปองกนการละเมดลขสทธของซอฟตแวรทใชงานใน กรมการพฒนาชมชน ใหผดแลระบบ ทงหนวยงานราชการสวนกลางและสวนภมภาคปฏบต ดงน
(1) ในกรณทเจาหนาทมความจ าเปนตองใชงานซอฟตแวรนอกเหนอจากทกรมการพฒนาชมชนมลขสทธ ใหแจงความจ าเปนให ผอ านวยการศนยสารสนเทศเพอการพฒนาชมชนพจารณาความเหมาะสม และด าเนนการจดซอใหถกตอง
(๒) จดท าทะเบยนคมการตดตงซอฟตแวรบนคอมพวเตอรแมขายและลกขายเพอตรวจสอบจ านวนลขสทธและรายชอเครองคอมพวเตอรทมการตดตงซอฟตแวร
(๓) เกบเอกสารเกยวกบลขสทธของซอฟตแวรอยางเปนระเบยบในสถานทปลอดภย (๔) ซอฟตแวรทใชงาน ตองเปนซอฟตแวรทไดรบสทธการใชงานถกตองตามกฎหมาย
หรอเปนซอฟตแวรทไมสงวนลขสทธ (๕) ซอฟตแวรทพฒนาขนหรอจดจางใหมการพฒนาถอเปนลขสทธของกรมการพฒนา
ชมชน หามเจาหนาทน าไปเผยแพรตอบคคลภายนอก เวนแตไดรบอนญาตจากกรมการพฒนาชมชน
๖.๖ ซอฟตแวรส าเรจรป ในการตดตงซอฟตแวรส าเรจรป ใหผตดตงซอฟตแวรปฏบตดงน (1) ขอความเหนชอบจากผอ านวยการศนยสารสนเทศเพอการพฒนาชมชน (2) ตรวจสอบไวรสบนซอฟแวรส าเรจรปกอนการตดตง (3) ตดตงซอฟตแวรส าเรจรปใหครบถวน และทดสอบ เพอใหแนใจวาสามารถใชงานได
อยางมประสทธภาพ (๔) กรณซอฟตแวรทตดตง
- มคณสมบตดานการรกษาความปลอดภย ใหเลอกใชงานคณสมบตดงกลาวตามความเหมาะสมแกการใชงาน โดยซอฟตแวรตองมความปลอดภยและสามารถใหบรการไดตามตองการ
- ตองก าหนดคณสมบตเฉพาะ เชน ระบบปองกนการบกรก เวบเซรฟเวอร เปนตน โดยใหผจดการฐานขอมลหนวยงานราชการสวนกลางและสวนภมภาค ประสานงานกบกลมงานพฒนาระบบเครอขาย ในการจดท าเอกสารคมอของซอฟตแวร เพอใชประกอบการท างาน และปรบปรงใหถกตองทกครงทมการเปลยนแปลง ทงนหามเปดเผยเอกสารดงกลาวตอบคคลผไมเกยวของ เวนแตไดรบอนญาตจากผอ านวยการศนยสารสนเทศเพอการพฒนาชมชน
(๕) เอกสารคมอตองแสดงรายละเอยดคณสมบตทก าหนดเฉพาะส าหรบใชงานไดแก คอมพวเตอรแมขายหรอเครองลกขายทตดตง ไดเรกทอรทจดเกบ รายชอไฟลทส าคญ และขนตอนการบรหารซอฟตแวร
๖.๗ ในกรณจางเหมาด าเนนการทเกยวของกบเทคโนโลยสารสนเทศ ใหปฏบตดงน (๑) ขอเหนชอบจากผบรหารเทคโนโลยสารสนเทศระดบสง (CIO) กรมการพฒนาชมชน
นโยบายและแนวปฏบตในการรกษาความปลอดภยดานสารสนเทศของกรมการพฒนาชมชน พ.ศ. ๒๕๕๙ ๒๓
(๒) เอกสารคมอตองแสดงคณสมบตทก าหนดเฉพาะ ไดแก คอมพวเตอรแมขายหรอเครองลกขายทตดตงไดเรกทอรทจดเกบ รายชอไฟลทส าคญ และขนตอนการด าเนนการ
(๓) เทคโนโลยสารสนเทศทจดจาง ใหมการพฒนาถอเปนลขสทธของกรมการพฒนาชมชน หามผรบจางน าไปเผยแพรตอบคคลภายนอก เวนแตไดรบอนญาตจากกรมการพฒนาชมชน
7. การควบคมการเขาถงระบบเครอขายไรสาย (Wireless LAN Access Control) 7.1 ผใชงานทตองการเขาถงระบบเครอขายไรสายของหนวยงาน จะตองท าการลงทะเบยน
กบผดแลระบบ โดยจะตองขออนญาตเปนลายลกษณอกษรและไดรบการพจารณาอนญาตจากผดแลระบบหนวยงานราชการสวนกลาง หรอสวนภมภาคทไดรบมอบหมาย 7.2 ผดแลระบบหนวยงานราชการสวนกลางและสวนภมภาค ตองด าเนนการดงตอไปน
(1) ลงทะเบยนก าหนดสทธผใชงานใหเหมาะกบหนาทความรบผดชอบ รวมทงมการทบทวนสทธการเขาถงอยางสม าเสมอ
(2) ตองลงทะเบยนอปกรณทกชนทใชตดตอระบบเครอขายไรสาย (3) ตองควบคมสญญาณของอปกรณกระจายสญญาณ (Access Point) ไมใหสญญาณ
ของอปกรณรวไหลออกนอกพนทใชงานระบบเครอขายไรสาย และปองกนไมใหผโจมต สามารถรบสงสญญาณจากภายนอกอาคารหรอบรเวณขอบเขตทควบคมได
(4) ใหเปลยนคา SSID (Service Set Identifier) ทนททน าอปกรณกระจายสญญาณ (Access Point) มาใชงาน
(5) ใหเปลยนคาชอบญชรายชอและรหสผาน ของอปกรณไรสายและควรจะเลอกใชชอบญชรายชอและรหสผานทคาดเดาไดยาก เพอปองกนผโจมตไมใหสามารถเดาหรอเจาะรหสไดโดยงาย
(6) ต อ ง ก า ห น ด ค า ใ ช WEP ( Wired Equivalent Privacy) ห ร อ WPA ( Wi- Fi Protected Access) ในการเขารหสขอมลระหวาง Wireless LAN Client และอปกรณกระจายสญญาณ (Access Point) เพอใหยากตอการดกจบและท าใหปลอดภยมากขน
(7) ใหเลอกใชวธการควบคม MAC Address (Media Access Control Address) และชอผใช (Username) รหสผาน (Password) ของผใชงานทมสทธในการเขาใชงานระบบเครอขายไรสาย โดยจะอนญาตเฉพาะอปกรณ ทม MAC Address และชอผใช (Username) รหสผาน (Password) ตามทก าหนดไวเทานน
(8) ตองท าการตดตงอปกรณปองกนการบกรก (Firewall) ระหวางเครอขายไรสายกบ เครอขายภายในหนวยงาน
(9) ใชซอฟตแวรหรอฮารดแวรตรวจสอบความมนคงปลอดภยของระบบเครอขายไรสายอยางสม าเสมอ และเมอตรวจสอบพบการใชงานระบบเครอขายไรสายทผดปกต ใหรายงานตอผอ านวยการศนยสารสนเทศฯ ทราบโดยทนท
นโยบายและแนวปฏบตในการรกษาความปลอดภยดานสารสนเทศของกรมการพฒนาชมชน พ.ศ. ๒๕๕๙ ๒๔
๗.๓ ผใชงานระบบเครอขายแบบไรสาย (Wireless Policy) ของหนวยงานราชการสวนกลางและสวนภมภาค มหนาทและความรบผดชอบทตองปฏบต ดงน
(๑) การตดตงระบบเครอขายไรสาย (Wireless) ตองไดรบอนญาตเปนลายลกษณอกษรจากหวหนาหนวยงานในแตละระดบ และตองก าหนดรหสการเขาใชงาน
(๒) หามน าอปกรณ Wireless มาตดตงหรอเปดใชงานเองในหนวยงานไมวาจะเปน Access Point , Wireless Routers , Wireless USB Client หรอ Wireless Card
(๓) หามผใชงาน (User) เปด ad-hoc หรอ peer-to-peer Network (๔) กรณทหวหนาหนวยงานอนญาตใหมการตดตง Wireless ใหด าเนนการ ดงน
- วาง Access Point (AP) ในต าแหนงทเหมาะสม โดยใหวางหนา Firewall หากมความจ าเปน ตองวางในระบบเครอขายภายใน (Internal Network) โดยใหเพมการรบรองและการเขารหสดวย (Authentication , Encryption)
- ใหก าหนดรายการ MAC Address ทสามารถเขาใช Access Point ไดเฉพาะเครองคอมพวเตอรทอนญาตเทานน
- ใหจดการกบ SSID (Service Set Identifier) ทถกก าหนดเปนคา Default มาจากโรงงานผลต คา SSID ทนททน า Access Point มาใชงาน และตองปดคณสมบตการ Auto Broadcast SSID ของตว Access Point ดวย
- ผ ดแลระบบจะตองเขยนการตดตง Wireless อยางถกวธ และปรบคา Configuration ให เหมาะสม รวมทงท า Check List เกยวกบ Security Configuration
- อปกรณ Wireless LAN ของแตละผผลตม คณสมบตแตกตางกน ตองตรวจสอบคณสมบตกอนการใชงาน
๘. การเขาถงเครองคอมพวเตอรแมขาย (Server) ๘.1 ควบคมการตดตงซอฟตแวร
(๑) ผดแลระบบ ตองเปนผทไดรบการอบรมหรอมความช านาญเทานน จงมมสทธเปลยนแปลงตอระบบสารสนเทศของหนวยงาน
(๒) การตดตงหรอปรบปรงซอฟตแวรของระบบสารสนเทศตองไดรบการอนมตกอนด าเนนการ
(๓) ไมตดตงซอรสโคด คอมไพเลอร (Complier) ของระบบสารสนเทศในเครอง คอมพวเตอรแมขายทใหบรการนนๆ
(๔) ก าหนดใหมการจดเกบซอรสโคดและไลบรารส าหรบซอฟตแวรของระบบสารสนเทศไวในสถานททมความมนคงปลอดภย
(๕) ก าหนดใหผใชงานหรอผทเกยวของ ตองท าการทดสอบระบบสารสนเทศตามจดประสงคทก าหนดไวอยางครบถวนเพยงพอ กอนด าเนนการตดตงบนเครองคอมพวเตอรแมขายทใหบรการ เชน ซอฟตแวรระบบปฏบตการ ซอฟตแวรทเปนตวระบบสารสนเทศ เปนตน
นโยบายและแนวปฏบตในการรกษาความปลอดภยดานสารสนเทศของกรมการพฒนาชมชน พ.ศ. ๒๕๕๙ ๒๕
(๖) ใหผเกยวของ ทดสอบดานความมนคงปลอดภยของระบบสารสนเทศใหครบถวน กอนใหบรการระบบสารสนเทศ
(๗) ใหจดเกบซอฟตแวรเวอรชนเกา ขอมลทเกยวของกบระบบสารสนเทศเดม ตามระยะเวลาทเหมาะสม
(๘) ใหระบความตองการดานระบบสารสนเทศทตองการปรบปรงกอนทจะเรมตนท าการพฒนา
๘.2 ใหทบทวนการท างานของระบบสารสนเทศภายหลงจากทเปลยนแปลงระบบปฏบตการ รวมทงวางแผนดานงบประมาณในกรณทหนวยงานตองใชระบบปฏบตการใหม และตองแจงให ผทเกยวของกบระบบสารสนเทศไดรบทราบเกยวกบการเปลยนแปลงระบบปฏบตการ เพอใหบคคลเหลานนมเวลาเพยงพอในการด าเนนการทดสอบและทบทวนกอนทจะด าเนนการเปลยนแปลงระบบปฏบตการ
๘.3 การพฒนาซอฟตแวรโดยหนวยงานภายนอก (๑) ใหระบวาใครจะเปนผมสทธในสนทรพยทางปญญาส าหรบซอรสโคด ในการพฒนา
ซอฟตแวร (๒) ใหก าหนดเรองการสงวนสทธ ทจะตรวจสอบดานคณภาพและความถกตองของ
ซอฟตแวรทจะมการพฒนาโดยผใหบรการภายนอกโดยระบไวในสญญาจางทท ากบผใหบรการภายนอกนน
(๓) ใหตรวจสอบโปรแกรมไมประสงคด ในซอฟตแวรตางๆ ทจะท าการตดตงกอนด าเนนการตดตง
๘.4 มาตรการควบคมชองโหวทางเทคนค (1) ก าหนดใหจดท าบญชของระบบสารสนเทศเพอใชส าหรบกระบวนการบรหาร
จดการชองโหวของระบบเหลานน มการบนทกดงตอไปน - ชอซอฟตแวรและเวอรชนทใชงาน - สถานททตดตง - เครองทตดตง - ผผลตซอฟตแวร - ขอมลส าหรบตดตอผผลตหรอผพฒนาซอฟแวรนนๆ
(2) ก าหนดใหมการจดการกบชองโหวส าคญของระบบสารสนเทศอยางเหมาะสมในทนท
(3) กระบวนการบรหารจดการชองโหวของระบบสารสนเทศ ใหผดแลระบบการด าเนนการ ดงน - เฝาระวง ตดตาม ประเมนความเสยงส าหรบชองโหวของระบบสารสนเทศ
รวมทงการประสานงานเพอใหผทเกยวของด าเนนการแกไขชองโหวตามความเหมาะสม
- ก าหนดใหผทเกยวของด าเนนการประเมนความเสยงเมอไดรบแจงหรอทราบเกยวกบชองโหวนน
นโยบายและแนวปฏบตในการรกษาความปลอดภยดานสารสนเทศของกรมการพฒนาชมชน พ.ศ. ๒๕๕๙ ๒๖
(4) ปดการใชงานหรอควบคมการเขาถงพอรตทใชส าหรบตรวจสอบและปรบแตงระบบใหใชงานไดอยางจ ากดระยะเวลาเทาทจ าเปน โดยตองไดรบการอนญาตจากผรบผดชอบเปนลายลกษณอกษร
๘.๕ ระบบตรวจจบและปองกน ผบกรก ( Intrusion Detection System ( IDS) and Intrusion Prevention System (IPS) ผดแลระบบ มหนาทและความรบผดชอบทตองปฏบต ดงน
(๑) เฝาระวงและรกษาอปกรณตรวจจบ และปองกนการบกรกระบบ รวมทงวเคราะหหาสาเหตของการบกรก
(๒) เกบสถตเกยวกบความพยายามบกรกหรอโจมตองคกร เพอเปนเครองมอในการวดประสทธภาพของระบบรกษาความปลอดภยอน และเพอเปนการปองกนเครอขายคอมพวเตอร ถกภยคกคามจากภายนอก เชน Hacker รวมทงไวรสประเภทตางๆ
(๓) บรหารจดการเหตการณบกรกระบบ (Incident Management) เพอตอบสนองเหตการณโดยวเคราะหลกษณะการบกรก จดล าดบความส าคญของผลกระทบทเกดขนกบองคกร และจดท าวธปฏบตเพอตอบสนองตอเหตการณการบกรก ตอไปน - จ ากดขอบเขต (Containment) ทเสยงตอการบกรกและจ ากดความรนแรง
ของการบกรก - ก าจดตนเหต (Eradication) รวมถงปดกนชองทางของการบกรก - กคนระบบ (Recovery) แกไขระบบทถกบกรกใหสามารถกลบมาท างานได
ตามปกต - ตดตามผล (Follow-Up) บนทกผลกระทบของเหตการณและแนะน าวธปฏบต
เพอปองกนเหตการณเกดซ า (๔) ก าหนดบคคลรบผดชอบการก าหนด แกไข หรอเปลยนแปลงคา Parameter ตางๆ
ของระบบเครอขาย และอปกรณตางๆ ทเชอมตอกบระบบเครอขายอยางชดเจน รวมถงการทบทวนอยางนอยปละ ๑ ครง และแจงผอ านวยการศนยสารสนเทศเพอการพฒนาชมชน ใหรบทราบเมอมการเปลยนแปลง
(๖) การใชเครองมอตางๆ (Tools) เพอตรวจเชคระบบเครอขาย ตองไดรบการอนมตจากผมอ านาจหนาทและจ ากดการใชงานเฉพาะทจ าเปน
(๗) ผดแลระบบตองท าการตรวจสอบบนทกการปฏบตงานของผใชงานอยางสม าเสมอตองประเมนผลกระทบของการเปลยนแปลงทส าคญเปนลายลกษณอกษร ทงในดานการปฏบตงาน (Operation) ระบบรกษาความปลอดภย (Security) และการท างาน (Functionality) ของระบบงานทเกยวของ
๘.๖ การบนทกขอมลจราจรคอมพวเตอร ทเกยวของกบการใชงานระบบสารสนเทศ (Audit Logging) การบนทกขอมลจราจรคอมพวเตอร (Log) การเขาถงระบบสารสนเทศ ดงน
(1) ขอมลชอบญชผใชงาน (2) ขอมลวนเวลาทเขาถงและออกจากระบบ (๓) ขอมลเหตการณส าคญทเกดขน (๔) ขอมลการลอกอน ทงทส าเรจและไมส าเรจ (๕) ขอมลความพยายามในการเขาถงสนทรพยสารสนเทศทงทส าเรจและไมส าเรจ
นโยบายและแนวปฏบตในการรกษาความปลอดภยดานสารสนเทศของกรมการพฒนาชมชน พ.ศ. ๒๕๕๙ ๒๗
(๖) ขอมลการเปลยนคอนฟกกเรชน (Configuration) ของระบบ (๗) ขอมลแสดงการใชงานแอพพลเคชน (๘) ขอมลแสดงการเขาถงไฟลและการกระท ากบไฟล เชน เปด ปด เขยน อานไฟล เปนตน (๙) ขอมลไอพแอดเดรสทเขาถง (1๐) ขอมลโพรโตคอลเครอขายทใช (1๑) ขอมลแสดงการหยดการท างานของระบบปองกนไวรสคอมพวเตอร (1๒) ขอมลแสดงการส ารองขอมลไมส าเรจ
๘.๗ การเขาถงหองคอมพวเตอรแมขาย (๑) หองคอมพวเตอรแมขาย (Server) ทตงอย ณ กรมการพฒนาชมชน สงวนไวเปนเขต
หวงหามโดยเดดขาด เวนแตไดรบอนญาตจากผอ านวยการศนยสารสนเทศฯ (๒) ผใชงานตองไมน าอปกรณ หรอชนสวนใดของเครองออกจากหองคอมพวเตอรแม
ขาย (Server) เวนแตจะไดรบอนญาตจากผอ านวยการศนยสารสนเทศฯ (๓) ผใชงานตองไมน าเครองมอหรออปกรณอนใดเชอมเขาเครอขายเพอประกอบธรกจ
สวนบคคล
๙. การก าหนดหนาทความรบผดชอบของผใชงาน (User Responsibilities) เพอชวยใหผใชงาน ทงหนวยงานราชการสวนกลาง และสวนภมภาค ไดรบทราบถงหนาทและ
ความรบผดชอบในการใชระบบคอมพวเตอร และระบบเครอขาย อนจะเปนการปองกนทรพยากรและขอมลของหนวยงานใหมความลบ ความถกตอง และมความพรอมใชงานอยเสมอ ดงน
9.1 ผใชงานตองไมใชงานเครองคอมพวเตอร และระบบเครอขายของหนวยงาน ในทางทขดตอพระราชบญญตวาดวยการกระท าความผดเกยวกบคอมพวเตอร พ.ศ. 2550 ดงน
(1) ท าใหแพรหลาย ซงขอมลคอมพวเตอรทอาจะกระทบกระเทอนตอความมนคง แหงราชอาณาจกร หรอทมลกษณะขดตอความสงบเรยบรอย หรอศลธรรมอนดของประชาชน
(2) น าเขาสระบบคอมพวเตอร ซงขอมลคอมพวเตอรปลอมไมวาทงหมดหรอบางสวน หรอขอมลคอมพวเตอรอนเปนเทจ โดยประการทนาจะเกดความเสยหายแกผอน
(3) น าเขาสระบบคอมพวเตอร ซงขอมลคอมพวเตอรอนเปนเทจ โดยการทนาจะเกดความเสยหายตอความมนคงของประเทศ หรอกอใหเกดความตนตระหนกแกประชาชน
(4) น าเขาสระบบคอมพวเตอร ซงขอมลคอมพวเตอรใดๆ อนเปนความผดเกยวกบความมนคงแหงราชอาณาจกรหรอความผดเกยวกบการกอการรายตามประมวลกฎหมายอาญา
(5) น าเขาสระบบคอมพวเตอร ซงขอมลคอมพวเตอรใดๆ ทมลกษณะอนลามก และขอมลคอมพวเตอรนนประชาชนทวไปอาจเขาถงได
(6) น าเขาสระบบคอมพวเตอร ซงขอมลคอมพวเตอรทปรากฏเปนภาพของผอน และ ภาพนนเปนภาพทเกดจากการสรางขน ตดตอ เตม หรอดดแปลงดวยวธการทาง
นโยบายและแนวปฏบตในการรกษาความปลอดภยดานสารสนเทศของกรมการพฒนาชมชน พ.ศ. ๒๕๕๙ ๒๘
อเลกทรอนกส หรอวธการอนใด ทงน โดยประการทนาจะท าใหผอนนนเสยชอเสยง ถกดหมน ถกเกลยดชง หรอไดรบความอบอาย
(7) เขาถงโดยมชอบ ซงระบบคอมพวเตอรทมมาตรการปองกนการเขาถงโดยเฉพาะ และมาตรการนนมไดมไวส าหรบตน
(8) น ามาตรการปองกนการเขาถงระบบคอมพวเตอรทผอนจดท าขนเปนการเฉพาะไปเปดเผยโดยมชอบในประการทนาจะเกดความเสยหายแกผอน
(9) เขาถงโดยมชอบ ซงขอมลคอมพวเตอรทมมาตรการปองกนการเขาถงโดยเฉพาะ และมาตรการนนมไดมไวส าหรบตน
(10) กระท าดวยประการใดโดยมชอบดวยวธการทางอเลกทรอนกส เพอตกรบไวซงขอมลคอมพวเตอรของผอนทอยระหวางการสงในระบบคอมพวเตอร และขอมลคอมพวเตอรนนมไดมไวเพอประโยชนสาธารณะ หรอเพอใหบคคลทวไปใชประโยชนได
(11) ท าใหเสยหาย ท าลาย แกไข เปลยนแปลง หรอเพมเตมไมวาทงหมดหรอบางสวน ซงขอมลคอมพวเตอรของผอนโดยมชอบ
(12) กระท าดวยประการใดโดยมชอบ เพอใหการท างานของระบบคอมพวเตอรของผอนถกระงบ ชะลอ ขดขวาง หรอรบกวนจนไมสามารถท างานตามปกตได
(13) สงขอมลคอมพวเตอรหรอจดหมายอเลกทรอนกส (E-mail) แกบคคลอนโดยปกปด หรอปลอมแปลงแหลงทมาของการสงขอมลดงกลาว อนเปนการรบกวนการใชระบบคอมพวเตอรของบคคลอนโดยปกตสข
(14) กระท าการทนาจะเกดความเสยหายตอขอมลคอมพวเตอร หรอระบบคอมพวเตอรทเกยวกบการรกษาความมนคงปลอดภยของประเทศ ความปลอดภยสาธารณะ ความมนคงในทางเศรษฐกจของประเทศ หรอการบรการสาธารณะ หรอเปนการกระท าตอขอมลคอมพวเตอร หรอระบบคอมพวเตอรทมไวเพอประโยชนสาธารณะ
9.2 ผใชงานตองไมสนบสนนหรอยนยอมใหมการกระท าความผดตาม 9.1 (๑) – (๖) ในระบบคอมพวเตอรทอยในความควบคมของตน
๙.๓ ผใชงานตองไมจ าหนายหรอเผยแพรโปรแกรมทจดท าขนโดยเฉพาะเพอน าไปใชเปนเครองมอในการกระท าความผดตาม 9.๑ (๗) – (๑๔)
9.4 การใชงานเครองคอมพวเตอร และระบบเครอขาย ใหผใชงานปฏบต ดงตอไปน (1) ไมคดลอกโปรแกรมตาง ๆ ทหนวยงานไดซอลขสทธมาอยางถกตองตามกฎหมาย
น าไปตดตงบนเครองคอมพวเตอรสวนตว หรอน าไปใหผอนใชงานโดยผดกฎหมาย (2) การตงชอเครองคอมพวเตอร (Computer Name) ของหนวยงานจะตองก าหนด
โดยกรมการพฒนาชมชนเทานน (3) ไมท าการปรบแตงไบออส (BIOS) หรอการตงคาระบบ (Configuration) อนใดท
อาจสงผลกระทบตอระบบการท างานของคอมพวเตอร อนเปนเหตใหไมสามารถเปดเครองใชงานไดเปนปกต
(4) ไมท าการเปลยนแปลงเลขทอยไอพ (IP Address) ของเครองคอมพวเตอรแบบตงโตะภายในหนวยงาน
นโยบายและแนวปฏบตในการรกษาความปลอดภยดานสารสนเทศของกรมการพฒนาชมชน พ.ศ. ๒๕๕๙ ๒๙
(5) หากผใชงานมความประสงคขอใชเลขทอยไอพสาธารณะ (Public IP Address) ตองท าหนงสอขออนญาตเปนลายลกษณอกษรตอผอ านวยการศนยสารสนเทศเพอการพฒนาชมชนเทานน
(6) ไมตดตงโปรแกรมคอมพวเตอรทมความสามารถในการตรวจสอบขอมลบนระบบเครอขาย
(7) ไมตดตงโปรแกรมคอมพวเตอรหรออปกรณคอมพวเตอรอนใดเพมเตมในเครองคอมพวเตอร หรอเครองคอมพวเตอรแมขาย (Server) ของหนวยงานเพอใหบคคลอนสามารถใชงานเครองคอมพวเตอร และระบบเครอขายของหนวยงานได เวนแตจะไดรบอนญาตจากผอ านวยการศนยสารสนเทศเพอการพฒนาชมชน
(8) ไมใชบรการบนระบบอนเทอรเนต ( Internet) ทมการครอบครองแบนดวดท (Bandwidth) จ านวนมากหรอเปนเวลานานในระหวางเวลาท างาน
9.5 วธปฏบตการใชงานรหสผาน (Password Use) (1) ก าหนดชอผใชงานของทกระบบงาน ตามวธปฏบตในการตงรหสผานทเหมาะสม
ดงน - ใหตงชอผใชงานเปนภาษาองกฤษเทานน - รปแบบการตงชอ ใหใชชอผใชงานแลวตามดวย เครองหมาย Under Score
(_) ตามดวยนามสกล 3 ตว เ ชน นายสมชาย ดจร ง Username = somchai_dee
- ในกรณทชอนามสกลเขยนภาษาองกฤษแลว Username ซ ากนอกใหเพมอกษรนามสกลออกไปไดอก
(2) ในการรกษาความปลอดภยบญชผใชงาน การปฏบตตนเกยวกบรหสผาน ใหผใชงานปฏบต ดงน - ไมตงรหสผานโดยใชชอผใชงานในรปแบบตาง ๆ ไดแก กลบหนาหลง ใช
ตวเลขหรอตวอกษรทเหมอนกนทงหมด - ไมตงรหสผานโดยใชชอหรอขอมลตาง ๆ ทเกยวของผใชงาน ไดแก ชอ
นามสกล วนเกด ชอบตร หมายเลขโทรศพท - ไมตงรหสผานโดยใชค าทอยในพจนานกรม - รหสผานตองมความยาวเกน 6 ตวอกษร - ตงรหสผานทผสมระหวางอกษรตวเลกและอกษรตวใหญ - รหสผานทผสมกบอกขระพเศษ (; $ เปนตน) - ในกรณทระบบรองรบการเปลยนรหสผานใหเปลยนรหสผานโดยไมชกชา
เมอเขาใชงานระบบในครงแรก - หามเปดเผยรหสผานแกผอนและไมจดรหสผานลงกระดาษหรอสออน ๆ หรอ
ก าหนดใหเครองคอมพวเตอรจ ารหสผาน หากเกดความเสยหายเจาของรหสผานตองรบผดชอบ
- หากมความจ าเปนตองเปดเผยรหสผานใหผอนใชงานจะตองควบคมดแลอยางใกลชดเพอไมใหเกดความเสยหายตอกรมการพฒนาชมชน
นโยบายและแนวปฏบตในการรกษาความปลอดภยดานสารสนเทศของกรมการพฒนาชมชน พ.ศ. ๒๕๕๙ ๓๐
- เปลยนรหสผานอยางนอยทก 6๐ วน (3) หากสงสยวาบคคลอนลกลอบหรออาจลกลอบใชบญชผใชงาน หรอสงสยวามการ
ละเมดการรกษาความปลอดภยบญชผใชงาน ใหแจงผดแลระบบเปลยนรหสผานโดยไมชกชา
(4) ในกรณลมรหสผานใหแจงผดแลระบบโดยตรง เพอสรางรหสผานใหม (5) ในกรณถกยกเลกสทธการใชงานชวคราว และประสงคจะขอคนสทธการใชงานให
แจงผดแลระบบ เพอขอบญชผใชงานเปนลายลกษณอกษร และยนหลกฐานดงกลาวตอผอ านวยการศนยสารสนเทศเพอการพฒนาชมชน
(6) ในกรณมบคลากรลาออก และประสงคจะใชบญชผใชงานตอเปนการชวคราว ใหแจงผดแลระบบ เปนลายลกษณอกษรเพอพจารณา และยนหลกฐานดงกลาวตอผอ านวยการศนยสารสนเทศเพอการพฒนาชมชน
(7) ผดแลระบบตองเปลยนรหสถกวาผใชงานทวไป 9.6 วธปฏบตเพอปองกนอปกรณในขณะทไมมผใชงาน เพอปองกนผไมมสทธสามารถเขาถง
อปกรณของหนวยงานในขณะทไมมผดแล ดงน (1) ตองออกจากระบบสารสนเทศทนททเสรจสนการใชงาน (2) ตงใหเครองคอมพวเตอรลอคหนาจอหลงจากทไมไดใชงาน เปนเวลา ๑๐ นาท และ
ก าหนดใหใสรหสผานจงจะสามารถเปดหนาจอได (3) ตองลอคอปกรณและเครองคอมพวเตอรทส าคญ เมอไมไดถกใชงานหรอตองปลอย
ทง โดยไมไดดแลชวคราว 9.7 วธปฏบตเพอควบคมสนทรพยสารสนเทศ และการใชงานระบบคอมพวเตอร (Clear
Desk and Clear Screen Policy) ไมใหสนทรพยสารสนเทศ ไดแก เอกสาร สอบนทกขอมล คอมพวเตอร หรอสารสนเทศ อยในภาวะเสยงตอการเขาถงโดยผซงไมมสทธ
(1) ขอปฏบตในการปองกน และควบคมไมใหมการทงหรอปลอยสนทรพยสารสนเทศใหอยในสถานททปลอดภย ดงน - จ ากดการเขาถงสนทรพยสารสนเทศทส าคญใหก าหนดสทธเฉพาะบคคลท
เกยวของ - การจดบรเวณการเขาถงบคคลภายนอก - จดเกบขอมลส าคญในสถานททมความปลอดภย - ออกจากระบบทนท เมอจ าเปนตองปลอยทงโดยไมมผดแล - ลอคเครองคอมพวเตอร เมอไมไดใชงาน - น าเอกสารออกจากเครองพมพทนททพมพงานเสรจ - ปองกนไมใหผอนใชอปกรณดงตอไปนโดยไมไดรบอนญาต ไดแก กลองดจตอล
เครองส าเนาเอกสาร เครองสแกนเอกสาร - ปองกนเครองโทรสาร เมอไมมผใชงาน - ปองกนตหรอบรเวณทใชในการรบสงเอกสารไปรษณย - ท าลายสออเลกทรอนกส ตามภาคผนวก ก เพอปองกนการน ากลบมาใชใหม
(2) การปองกนตองมความสอดคลองกบประเดนตาง ๆ ดงน
นโยบายและแนวปฏบตในการรกษาความปลอดภยดานสารสนเทศของกรมการพฒนาชมชน พ.ศ. ๒๕๕๙ ๓๑
- แนวทางการจดหมวดหมสารสนเทศ และการจดการกบสารสนเทศ - กฎหมาย ระเบยบ ขอบงคบ หรอขอก าหนดอน ๆ - วฒนธรรมองคกร
(3) การปองกนเครองคอมพวเตอร โดยใชกลไกการพสจนตวตนทเหมาะสมกอนเขาใชงาน 9.8 ใหผใชงานน าการเขารหส (Encryption) มาใชกบขอมลทเปนความลบ โดยจะตองปฏบต
ตามระเบยบการรกษาความลบทางราชการ พ.ศ. ๒๕๔๔
10. การใชงานเครองคอมพวเตอรสวนบคคลและเครองคอมพวเตอรแบบพกพา 10.1 การใชงานทวไป
(1) เครองคอมพวเตอรทหนวยงานอนญาตใหใชงานเปนสนทรพยของหนวยงาน ดงนน ตองใชงานอยางมประสทธภาพเพอบรรลเปาหมายของหนวยงาน
(2) โปรแกรมทไดถกตดตงลงบนเครองคอมพวเตอรของหนวยงาน ตองเปนโปรแกรมทหนวยงานไดซอลขสทธมาอยางถกตองตามกฎหมาย ดงนน หามผใชงานคดลอกโปรแกรมตาง ๆ และน าไปตดตงบนเครองคอมพวเตอรสวนตว หรอแกไข หรอน าไปใหผอนใชงานโดยผดกฎหมาย
(3) ไมอนญาตใหผใชงานท าการตดตงแกไขหรอเปลยนแปลงโปรแกรมในเครอง คอมพวเตอรของหนวยงาน
(4) การเคลอนยายหรอสงเครองคอมพวเตอรไปตรวจซอม ตองด าเนนการโดยผดแลระบบ หรอผรบจางในการบ ารงรกษาเครองคอมพวเตอรและอปกรณทไดท าสญญากบหนวยงานเทานน
(๕) การก าหนดสทธใหผอนสามารถเหนไฟลในเครองคอมพวเตอร (File Sharing) ผใชงานตองกระท าอยางระมดระวง โดยก าหนดสทธเฉพาะบคคลทจ าเปน
(๖) ผ ใ ชงานตอง Shut Down คอมพว เตอร สวนบคคลทกคร งหลง เลกใชงาน ในแตละวน เพอปองกนระบบปฏบตการเสยหาย
(๗) กอนการใชงานสอบนทกพกพาตาง ๆ ตองท าการตรวจสอบเพอหาไวรสโดย โปรแกรมปองกนไวรสทหนวยงานจดหาใหเทานน
(๘) ไมเกบขอมลส าคญของหนวยงานไวบนเครองคอมพวเตอรทใชงานอย (๙) ไมน าอาหารหรอเครองดมเขาใกลบรเวณเครองคอมพวเตอรตงอย (๑๐) ไมวางสอแมเหลกไวใกลหนาจอเครองคอมพวเตอรหรอ Disk Drive
10.2 การส ารองขอมลและการกคน (1) ผใชงานตองรบผดชอบในการส ารองขอมลจากเครองคอมพวเตอรไวบนสอบนทกอน
ๆ เชน CD, DVD, External Hard Disk เปนตน (2) ผใชงานมหนาทเกบรกษาสอขอมลส ารอง (Backup Media) ไวในสถานทท
เหมาะสม ไมเสยงตอการรวไหลของขอมลและทดสอบการกคนขอมลทส ารองไวอยางสม าเสมอ
นโยบายและแนวปฏบตในการรกษาความปลอดภยดานสารสนเทศของกรมการพฒนาชมชน พ.ศ. ๒๕๕๙ ๓๒
(3) ผใชงานตองประเมนความเสยงวา ขอมลทเกบไวบน Hard Disk เปนขอมลทไมส าคญเกยวของกบการท างาน เพราะหาก Hard Disk เสยไป กไมกระทบตอการ ด าเนนการของหนวยงาน
๑๐.๓ การใชคอมพวเตอรสวนบคคล (๑) ผใชงานตองรบผดชอบในการส ารองขอมลของตนเองทจดเกบในคอมพวเตอรสวน
บคคล เพอใชกคนขอมลในกรณทเครองคอมพวเตอรไดรบความเสยหาย (๒) การปองกนไวรส ใหผใชงานปฏบต ดงน
- ปรบปรงหรอตรวจสอบการปรบปรงเวอรชนของซอฟตแวรตรวจสอบไวรส ทกครงทไดรบแจงจากศนยสารสนเทศเพอการพฒนาชมชน
- ในกรณทน าแผนดสกจากผอนหรอคดลอกไฟลจากเครองอนมาใชงาน คอมพวเตอรสวนบคคล ใหตรวจสอบไวรสกอนการใชงานทกครง
(๓) ใหผใชงานตงรหสผานทโปรแกรมรกษาหนาจอ (Screen Saver) เพอปองกนบคคลอน ลกลอบใชงานหรอดขอมลในเครองคอมพวเตอรในขณะทผใชงานไมอยหนาเครอง
(๔) ผใชงานไมแกไขการก าหนดคาเกยวกบเครอขายหรอฮารดแวรของคอมพวเตอรสวนบคคลดวยตนเอง ในกรณทมความจ าเปนตองแกไขใหปรกษาศนยสารสนเทศเพอ การพฒนาชมชน
๑๐.๔ คอมพวเตอรแบบพกพา (๑) ในกรณทตองการเคลอนยายเครองคอมพวเตอรแบบพกพา ตองใสกระเปาส าหรบ
เครองคอมพวเตอรแบบพกพา เพอปองกนอนตรายทเกดจากการกระทบกระเทอน (๒) ไมวางของทบบนหนาจอและแปนพมพ (๓) การเคลอนยายขณะทเครองเปดใชงานอย ใหยกจากฐานภายใตแปนพมพ หามยาย
เครองโดยการดงหนาจอภาพขนโดยเดดขาด (๔) ไมใชหรอวางเครองคอมพวเตอรแบบพกพาใกลสงทเปนของเหลว ความชน เชน
อาหาร น า กาแฟ เครองดมตาง ๆ เปนตน (๕) ผใชงานมหนาทรบผดชอบในการปองกนการสญหาย เชน ไมวางเครองทงไวในท
สาธารณะ หรอในบรเวณทมความเสยงตอการสญหาย (๖) หามผใชงานเปลยนแปลงแกไขสวนประกอบยอย (Sub Component) ทตดตงอย
ภายในรวมถงแบตเตอร
11. การบรหารจดการการเขาถงขอมลตามระดบชนความลบ ๑๑.๑ การรกษาความปลอดภยขอมล แบงออกเปน 2 ประเภท คอ
(1) ขอมลลบ ไดแก ขอมลทถกก าหนดชนความลบตามหลกเกณฑเกยวกบการรกษาความปลอดภยของบคคลและเอกสารทกรมการพฒนาชมชนก าหนดหรอถอปฏบต อยในเวลานน
(2) ขอมลทวไป ไดแก ขอมลทไมถกก าหนดชนความลบ ๑๑.๒ เพอประโยชนในการรกษาความปลอดภยขอมล ใหศนยสารสนเทศเพอการพฒนา
ชมชนด าเนนการดงตอไปน
นโยบายและแนวปฏบตในการรกษาความปลอดภยดานสารสนเทศของกรมการพฒนาชมชน พ.ศ. ๒๕๕๙ ๓๓
(1) ก าหนดวธปฏบตในการควบคมการเขาถงขอมลแตละประเภททงการเขาถงโดยตรง และการเขาถงผานระบบงาน เพอปองกนการลกลอบเขาถงขอมล
(2) ก าหนดวธปฏบตในการจดเกบขอมลแตละประเภท เพอปองกนการลกลอบดขอมลและแกไขขอมล
(3) ก าหนดวธปฏบตในการรบสงขอมลแตละประเภท เพอปองกนการลกลอบดขอมลหรอสรางความเสยหายใหกบขอมลในระหวางรบสง
(4) ก าหนดวธปฏบตในการท าลายขอมลแตละประเภท เมอขอมลหมดอายการใชงาน หรอมความจ าเปนตองท าลาย เพอปองกนการลกลอบดขอมลทคางในอปกรณ เฉพาะส าหรบจดเกบ
(5) ก าหนดวธปฏบตในการส ารองขอมลแตละประเภทใหเหมาะสมกบจ านวนครงในการเปลยนแปลงของขอมล เพอใชกคนในกรณทขอมลไดรบความเสยหาย และให เกบสอทใชส ารองขอมลในอปกรณเฉพาะส าหรบจดเกบทมความปลอดภย
11.๓ เจาของขอมล ตองทบทวนความเหมาะสมของของสทธในการเขาถงขอมลของผใชงาน อยางนอยปละ 1 ครง เพอใหมนใจไดวาสทธตาง ๆ ทใหไวยงคงมความเหมาะสม
11.๔ วธปฏบตในการควบคมการเขาถงขอมลแตละประเภทชนความลบทงการเขาถงโดยตรง และการเขาถงผานระบบสารสนเทศ ผดแลระบบตองก าหนดชอผใชงาน (Username) และรหสผาน (Password) เพอใช ในการตรวจสอบตวตนจรงของผใชขอมลในแตละชนความลบขอมล
11.๕ การรบสงขอมลส าคญผานเครอขายสาธารณะ ควรไดรบการเขารหส (Encryption) ทเปนมาตรฐานสากล เชน SSL, VPN หรอ XML Encryption เปนตน
11.๖ ใหหนวยราชการสวนกลาง และสวนภมภาค มมาตรการรกษาความมนคงปลอดภยของขอมลในกรณทน าเครองคอมพวเตอรออกนอกพนทของหนวยงาน ตองมการส ารองและลบขอมลทเกบอยในสอบนทกกอน เปนตน
๑๑.๗ วธปฏบ ต ท เกยวของกบขอมลลบบนอปกรณคอมพวเตอร ใหถอปฏบ ตตาม พระราชบญญตขอมลขาวสารของราชการ พ.ศ. 2540
(๑) การท าลายขอมลลบใหเปนไปตามค าสง เรอง การรกษาความปลอดภยเกยวกบ บคคลและขอมลขาวสารลบ โดยวธการท าลายขอมลลบใหปฏบตตามวธปฏบตตาม ภาคผนวก ก
(๒) ในการส ารองขอมลลบ ใหปฏบต ดงน - ส ารองขอมลตามระยะเวลาทศนยสารสนเทศเพอการพฒนาชมชนก าหนด
หรอเมอไดรบแจงจากเจาของขอมลวา ขอมลมการเปลยนแปลงจากเดมอยางเปนนยส าคญ
- จดเกบสอทใชส ารองขอมล ในอปกรณเฉพาะส าหรบเกบรกษาทปดลอคได - ตรวจสอบความครบถวนของขอมลทส ารองทกครง
๑๑.๘ การควบคมการเขาถงขอมลทวไป ใหหนวยราชการสวนกลาง และสวนภมภาค ก าหนดใหเจาของขอมล หรอผไดรบมอบหมายท าหนาทบรหารความปลอดภยของขอมล ดงน
(1) เจาของไฟลขอมลสามารถอานและเขยนไฟลขอมล และบคคลทวไปสามารถอานไฟลขอมลไดเทานน
นโยบายและแนวปฏบตในการรกษาความปลอดภยดานสารสนเทศของกรมการพฒนาชมชน พ.ศ. ๒๕๕๙ ๓๔
(2) กรณขอมลทจดเกบในฐานขอมล ควรก าหนดใหผใชงานสามารถเขาถงขอมลในฐานขอมลผานระบบงานเทานน ไมควรใหเขาถงขอมลในฐานขอมลโดยตรง
(๓) วธการท าลายขอมลทวไป ควรปฏบตตามวธปฏบตในภาคผนวก ก (๔) การส ารองขอมลทวไป ใหหนวยราชการสวนกลาง และสวนภมภาคเจาของขอมล
หรอหนวยงานอนทไดรบมอบหมายจากเจาของขอมลใหท าหนาทบรหารความปลอดภยของขอมล ใหปฏบต ดงน
- ส ารองขอมลเดอนละ 1 ครงเปนอยางนอยหรอเมอไดรบแจงจากเจาของขอมลวาขอมลมการเปลยนแปลงจากเดมอยางเปนนยส าคญ
- ควรจดเกบสอทใชส ารองขอมลลงบน แผน CD แผน DVD HardDisk - ควรตรวจสอบความครบถวนของขอมลทส ารองทกครง
12. การควบคมการใชงานระบบจดหมายอเลกทรอนกส (E-Mail) ๑๒.๑ ระบบจดหมายอเลกทรอนกสของกรมการพฒนาชมชน มวตถประสงคเพอการใชงาน
ของกรมการพฒนาชมชน เทานน หามน าบญชจดหมายอเลกทรอนกส (E-Mail Account) ไปใชนอกเหนอจากวตถประสงคทหนวยงานก าหนด
๑๒.๒ ใหหนวยราชการสวนกลาง และสวนภมภาค น ากฎระเบยบขอบงคบการสงและรบจดหมายอเลกทรอนกส (E-Mail) ผานอนเทอรเนต เพอใชเปนแนวทางใหผใชงานปฏบต ดงน
(1) การสงจดหมายอเลกทรอนกส (E-Mail) - การสงขอมลแนบทมความเสยงตอความเสยหายใหเขารหสกอน - การสงจดหมายอเลกทรอนกส (E-Mail) ๑ ฉบบ หามสงไฟลแนบทมขนาดเกน
๑๐ MB และตองบบอดไฟลแนบกอนสง - หามใชจดหมายอเลกทรอนกส (E-Mail) ของกรมการพฒนาชมชนเพอเจตนา
สรางความเสยหายใหกบผอน เชน สงจดหมายอเลกทรอนกส (E-Mail) ซ าหลายครง ขอมลลกษณะลกโซ สงขอความเทจ หรอขอความพาดพงถง บคคลอน เปนตน
- ไมสงขอความทางจดหมายอเลกทรอนกส ทมความผดตามพระราชบญญตวาดวยการกระท าความผดเกยวกบคอมพวเตอร พ.ศ. ๒๕๕๐
(2) การรบจดหมายอเลกทรอนกส (E-Mail) - ลบจดหมายอเลกทรอนกส (E-Mail) ทไมไดใชงานอยางสม าเสมอ เพอไมให
เนอทในการจดเกบจดหมายอเลกทรอนกส (E-Mail) เตม - ไมควรเปดเมล ไฟลแนบ หรอคลกลงคทไมเกยวของกบงานของกรมการ
พฒนาชมชน - ในกรณทสงสยวามการใชจดหมายอเลกทรอนกส (E-Mail) ทผดปกตเกดขน
เชน ไดรบจดหมายอเลกทรอนกส (E-Mail) ฉบบเดยวกนซ าหลายครง หรอไดรบ จดหมายอเลกทรอนกส (E-Mail) จากบคคลทไมรจกเปนประจ า เปนตน ควรรบแจงศนยสารสนเทศเพอการพฒนาชมชนเพอด าเนนการตรวจสอบ
(3) การใชหมายเลขไปรษณยอเลกทรอนกส (E-Mail Address)
นโยบายและแนวปฏบตในการรกษาความปลอดภยดานสารสนเทศของกรมการพฒนาชมชน พ.ศ. ๒๕๕๙ ๓๕
- การแจงหมายเลขไปรษณยอเลกทรอนกส (E-Mail Address) ของกรมการพฒนาชมชนสามารถท าไดในกรณทตองตดตองานของหนวยงาน หรอรจกบคคลหรอองคกรดงกลาว เปนอยางด
- ในกรณทมความจ าเปนตองตดตอเรองสวนตวกบบคคลหรอองคกรทไมรจก ควรใชหมายเลขไปรษณยอเลกทรอนกส (E-Mail Address) อน
12.๓ แนวทางการควบคมการใชงาน ใหผอ านวยการศนยสารสนเทศเพอการพฒนาชมชน ด าเนนการ ดงน
(1) ก าหนดสทธการเขาถงระบบจดหมายอเลกทรอนกสของหนวยงานใหเหมาะสมกบ การเขาใชบรการของผใชระบบและหนาทความรบผดชอบของผใชงาน
(2) ก าหนดจ านวนครงทยอมใหผใชงานใสรหสผาน (Password) ผดพลาดไดไมเกน 5 ครง (3) ทบทวนสทธการเขาใชงานและปรบปรงบญชผใชงาน อยางนอยปละ 1 ครง หรอ
เมอมการเปลยนแปลง เชน มการลาออก เปลยนต าแหนง โอน ยาย หรอสนสด การจาง เปนตน
(4) การควบคมการเขาถงระบบตามแนวทางการบรหารจดการเขาถง ผใ ชงาน (User Access Management) ทไดก าหนดไวอยางเครงครด
๑๒.๔ การสงจดหมายอเลกทรอนกส (E-Mail) ใหกบผรบบรการ คสญญา หรอตามภารกจของกรมการพฒนาชมชน ผใชงานจะตองใชระบบจดหมายอเลกทรอนกส (E-Mail) ของกรมการพฒนาชมชน เทานน หามไมใหใชระบบจดหมายอเลกทรอนกส (E-Mail) อน เวนแตในกรณทระบบจดหมายอเลกทรอนกส (E-Mail) ของกรมการพฒนาชมชน ขดของและไดรบการอนญาตจากผมอ านาจแลวเทานน
๑๒.๕ การใชงานจดหมายอเลกทรอนกส (E-Mail) ผใชงานตองไมปลอมแปลงชอบญชผสง ๑๒.๖ หามใชระบบจดหมายอเลกทรอนกสของกรมการพฒนาชมชนเพอสงจดหมาย
อเลกทรอนกส (E-Mail) ทไมไดมวตถประสงคในงานภารกจของกรมการพฒนาชมชน หรอสงจดหมายอเลกทรอนกส (E-Mail) ทมเนอหาเรองสวนตว หากผใชงานตองการสงจดหมายอเลกทรอนกสดงกลาว ขอใหใชงานจากบรการจดหมายอเลกทรอนกสฟร
๑๒.๗ หามผใชงานน าบญชจดหมายอเลกทรอนกส (E-Mail Account) ซงเปนของกรมการพฒนาชมชน ไปเผยแพรสบคคลอน ไมวาจะเปนทางใดกตาม เชน การโพสตในเวบบอรด ในชดค าถามหรอแบบสอบถามจากผคา เปนตน เวนแตการเผยแพรนนเปนไปเพอผลประโยชนทางราชการ หรอไดรบอนญาตจากผมอ านาจแลวเทานน
๑๒.๘ การสงจดหมายอเลกทรอนกส (E-Mail) ผใชงานตองระบชอผรบ หวขอ ใหชดเจน และใชภาษาสภาพ ไมขดตอจรยธรรม ไมปลกปน ยวย เสยดส หรอสอในทางผดกฎหมาย ๑๒.๙ ผใชงานตองไมสงขอความทเปนความเหนสวนบคคล โดยอางวาเปนความเหนของกรมการพฒนาชมชน หรอกอใหเกดความเสยหายตอกรมการพฒนาชมชน ๑๒.๑๐ หามใชจดหมายอเลกทรอนกสของกรมการพฒนาชมชน เพอเผยแพร ขอมล ขอความ รปภาพ หรอสงอนใด ซงมลกษณะขดตอศลธรรม ความมนคงของประเทศ กฎหมาย หรอกระทบตอการด าเนนงาน ตลอดจนการรบกวนผใชงานอน หรอผรบบรการของกรมการพฒนาชมชน
นโยบายและแนวปฏบตในการรกษาความปลอดภยดานสารสนเทศของกรมการพฒนาชมชน พ.ศ. ๒๕๕๙ ๓๖
1๓. การใชงานเครอขายสงคมออนไลน (Social Network) 1๓.1 อนญาตใหใชงานเครอขายสงคมออนไลนในรปแบบและลกษณะตามทหนวยงานได
ก าหนดไวเทานน 1๓.2 ผใชงานเครอขายสงคมออนไลนตองมความตระหนกเรองความมนคงปลอดภย รวมถง
พฤตกรรมทขดตอพระราชบญญตวาดวยการกระความผดเกยวกบคอมพวเตอร พ.ศ. ๒๕๕๐ และตองรบผดชอบหากเกดความเสยหายใด ๆ ทมผลกระทบกบหนวยงานจากการใชงานเครอขายสงคมออนไลน 1๓.3 หากเกดปญหาจากการใชงานเครอขายสงคมออนไลน ทอาจมผลกระทบกบหนวยงานผใชงานตองแจงตอศนยสารสนเทศเพอการพฒนาชมชนโดยเรวทสด เพอด าเนนการตามความเหมาะสม
1๔. การจดเกบขอมลจราจรคอมพวเตอร (Log) เพอใหขอมลจราจรทางคอมพวเตอร (Log) มความถกตองและสามารถระบถงตวบคคลได ใหปฏบต ดงตอไปน
1๔.1 จดเกบขอมลจราจรทางคอมพวเตอร (Log) ไวในสอเกบขอมลทสามารถรกษาความครบถวน ถกตอง แทจรง ระบตวบคคลทเขาถงสอดงกลาวได และขอมลทใชในการจดเกบตามขอ ๘.๖ ตองก าหนดชนความลบในการเขาถง
1๔.2 หามแกไขขอมลจราจรทางคอมพวเตอร (Log) ๑๔.๓ หากตองการตรวจสอบขอมลจราจรทางคอมพวเตอร (Log) ตองไดรบการอนมตจาก
ผบรหารเทคโนโลยสารสนเทศระดบสง (CIO) 1๔.๔ ก าหนดใหบนทกการท างานของระบบบนทกการปฏบตงานของผใชงาน (Application
Logs) และบนทกรายละเอยดของระบบปองกนการบกรก เชน บนทกการเขา–ออกระบบ บนทกการพยายามเขาสระบบ เปนตน เพอประโยชนในการใชตรวจสอบและตองเกบบนทกไวอยางนอย 90 วน นบตงแตการใชงานสนสดลง
1๔.๕ ตองมวธการปองกนการแกไขเปลยนแปลงบนทกตางๆ และจ ากดสทธการเขาถงบนทก เหลานน ใหเฉพาะบคคลทเกยวของเทานน
นโยบายและแนวปฏบตในการรกษาความปลอดภยดานสารสนเทศของกรมการพฒนาชมชน พ.ศ. ๒๕๕๙ ๓๗
สวนท ๒ นโยบายระบบสารสนเทศและระบบส ารองของสารสนเทศ
วตถประสงค ๑. เพอใหผใชงานระบบสารสนเทศ ของกรมการพฒนาชมชนไดรบทราบถงขอหาม และขอปฏบต ทจะสงผลใหเกดความมนคงปลอดภยตอระบบสารสนเทศ และเกดการใชงานตรงตามวตถประสงคการใชงานระบบสารสนเทศ ของกรมการพฒนาชมชน รวมทงไมละเมดระเบยบ กฎหมาย หรอท าใหเกดความเสยหายในการปฏบตงาน
๒. เพอใหระบบสารสนเทศของหนวยงาน ใหบรการไดอยางตอเนอง ๓. เพอเปนมาตรฐาน แนวทางปฏบตและความรบผดชอบของผดแลระบบในการปฏบตงานใหกบ
หนวยงาน เปนไปอยางเครงครด และตระหนกถงความส าคญของการรกษาความมนคงปลอดภย
ผรบผดชอบ ๑. ผบรหารเทคโนโลยสารสนเทศระดบสง (CIO) กรมการพฒนาชมชน ๒. ผอ านวยการศนยสารสนเทศเพอการพฒนาชมชน กรมการพฒนาชมชน 3. ผดแลระบบทไดรบมอบหมาย
อางองมาตรฐาน - มาตรฐานการรกษาความมนคงปลอดภยในการประกอบธรกรรมทางอเลกทรอนกส (เวอรชน 2.5)
แนวปฏบต ๑. ผดแลระบบตองพจารณาคดเลอกระบบส ารองทเหมาะสมใหอยในสภาพพรอมใช โดยมหลกเกณฑพจารณา ดงน ๑.๑ การควบคมสภาพแวดลอมทเหมาะสมและมระบบส ารองทเพยงพอ ๑.๒ มความสอดคลองกบเทคโนโลย ๑.๓ ประเมนความเสยงยอมรบไดโดยเจาของระบบงาน
๒. ผดแลระบบตองพจารณาคดเลอกระบบสารสนเทศทส าคญและจดท าระบบส ารองทเหมาะสมใหอยในสภาพพรอมใชงาน ตามแนวทางตอไปน ๒.1 ใหผดแลระบบจดท าบญชระบบสารสนเทศทมความส าคญทงหมดของหนวยงาน พรอมทงก าหนดระบบสารสนเทศทจะจดท าระบบส ารอง และจดท าแผนเตรยมพรอมกรณฉกเฉน อยางนอยปละ 1 ครง ๒.๒ ใหผดแลระบบส ารองขอมลของระบบสารสนเทศแตละระบบ เดอนละ ๑ ครง หากระบบใดทมการเปลยนแปลงบอย ควรก าหนดใหมความถในการส ารองขอมลมากขน โดยใหมวธการส ารองขอมล ดงน
- ก าหนดประเภทของขอมลทตองท าการส ารองเกบไว และความถในการส ารอง - ก าหนดรปแบบการส ารองขอมลใหเหมาะสมกบขอมลทจะท าการส ารอง เชน การ
ส ารอง ขอมลแบบเตม (Full Backup) หรอการส ารองขอมลแบบสวนตาง (Incremental Backup)
- บนทกขอมลทเกยวของกบกจกรรมการส ารองขอมล ไดแก ผด าเนนการ วน/เวลา ชอขอมลทส ารอง ส าเรจ/ไมส าเรจ เปนตน
นโยบายและแนวปฏบตในการรกษาความปลอดภยดานสารสนเทศของกรมการพฒนาชมชน พ.ศ. ๒๕๕๙ ๓๘
- ตรวจสอบขอมลทงหมดของระบบวามการส ารองขอมลไวอยางครบถวน เชน ซอฟตแวร ตาง ๆ ทเกยวของกบระบบสารสนเทศ ขอมลการก าหนดคณสมบตของคอมพวเตอร (Configuration) ขอมลในฐานขอมล เปนตน
- จดเกบขอมลทส ารองนนในสอเกบขอมล โดยมการพมพชอบนสอเกบขอมลนนให สามารถแสดงถงระบบซอฟตแวร วนท เวลาทส ารองขอมล และผรบผดชอบไวอยางชดเจน
- จดเกบขอมลทส ารองไวนอกสถานท ระยะทางระหวางสถานททจดเกบขอมลส ารองกบ หนวยงานควรหางกนเพยงพอเพอไมใหสงผลกระทบตอขอมลทจดเกบไวนอกสถานทนน ในกรณทเกดภยพบตกบหนวยงาน เชน ไฟไหม เปนตน
- ด าเนนการปองกนทางกายภาพอยางเพยงพอตอสถานทส ารองทใชจดเกบขอมลนอกสถานท - ทดสอบบนทกขอมลส ารองอยางสม าเสมอ เพอตรวจสอบวายงคงสามารถเขาถง
ขอมลไดตามปกต - จดท าขนตอนปฏบตส าเรจการกคนขอมลทเสยหายจากขอมลทไดส ารองเกบไว - ตรวจสอบและทดสอบประสทธภาพและประสทธผลของขนตอนปฏบตในการกคน
ขอมลอยางสม าเสมอ - ก าหนดใหใชงานการเขารหสขอมลกบขอมลลบทไดส ารองเกบไว
๓. จดท าแผนเตรยมความพรอม กรณฉกเฉนในกรณ ทไมสามารถด าเนนการดวยวธการทาง อเลกทรอนกส เพอใหสามารถใชงานสารสนเทศไดตามปกตอยางตอเนอง โดยตองปรบปรงแผนเตรยมความพรอม กรณฉกเฉนดงกลาวใหสามารถปรบใชไดอยางเหมาะสมและสอดคลองกบการใชงานตามภารกจ ตามแนวทาง ตอไปน ๓.๑ จดท าแผนเตรยมความพรอมกรณฉกเฉนในกรณทไมสามารถด าเนนการดวยวธการทางอเลกทรอนกส โดยมรายละเอยดอยางนอย ดงน
(1) ก าหนดหนาท และความรบผดชอบของผทเกยวของทงหมด (2) ประเมนความเสยงส าเรจระบบทมความส าคญเหลานน และก าหนดมาตรการเพอ
ลดความเสยงเหลานน เชน ไฟดบเปนระยะเวลานาน ไฟไหม แผนดนไหว การชมนม ประทวงท าใหไมสามารถเขามาใชระบบงานได เปนตน
(3) ก าหนดขนตอนปฏบตในการกคนระบบสารสนเทศ (4) ก าหนดขนตอนปฏบตในการส ารองขอมล และทดสอบกคนขอมลทส ารองไว (5) ก าหนดชองทางในการตดตอกบผใหบรการภายนอก เชน ผใหบรการเครอขาย
ฮารดแวร ซอฟตแวร เปนตน เมอเกดเหตจ าเปนทจะตองตดตอ (6) การสรางความตระหนก หรอใหความรแกเจาหนาทผทเกยวของกบขนตอนการ
ปฏบต หรอ สงทตองท าเมอเกดเหตเรงดวน เปนตน ๓.๒ ทบทวนเพอปรบปรงแผนเตรยมความพรอมกรณฉกเฉนดงกลาวใหสามารถปรบใช ไดอยางเหมาะสมและสอดคลองกบการใชงานตามภารกจ อยางนอยปละ 1 ครง ๔. หนาทและความรบผดชอบของบคลากรซงดแลรบผดชอบระบบสารสนเทศ ระบบส ารอง และการจดท าแผนเตรยมพรอมกรณทไมสามารถด าเนนการดวยวธการทางอเลกทรอนกส การจดองคกร
นโยบายและแนวปฏบตในการรกษาความปลอดภยดานสารสนเทศของกรมการพฒนาชมชน พ.ศ. ๒๕๕๙ ๓๙
ปฏบตการฉกเฉนและก าหนดผรบผดชอบในระบบสารสนเทศกรมการพฒนาชมชนเมอเกดเหตฉกเฉน ดงน
๔.๑ ระดบนโยบาย ไดแก (๑) ผบรหารเทคโนโลยสารสนเทศระดบสง (Chief Information Officer: CIO) (๒) ผอ านวยการศนยสารสนเทศเพอการพฒนาชมชน
รบผดชอบ ในการก าหนดนโยบาย ใหขอเสนอแนะ ค าปรกษาตลอดจน ตดตาม ก ากบ ดแล ควบคมตรวจสอบ เจาหนาทในระดบปฏบต ผรบผดชอบ ๔.๒ ระดบอ านวยการ ไดแก ผอ านวยการศนยสารสนเทศเพอการพฒนาชมชน
รบผดชอบ - เปนผบงคบบญชาสงสดในการควบคมและปฏบตการฉกเฉนระบบสารสนเทศ - มอ านาจสงการใหทกหนวยหยดหรอปฏบตการระงบเหตฉกเฉนทเกดขนในระบบ
สารสนเทศ กรมการพฒนาชมชน - ก าหนดจดปลอดภยส าหรบบคคล และวสดอปกรณตางๆ ในสถานท ทเหมาะสม - ประชมหารอกบผจดการฐานขอมล - ประเมนสถานการณ และสงการใหปรบเปลยนแผนฯ ตามความเหมาะสม - รายงานขอมลและผลการปฏบตงานให ผบรหารเทคโนโลยสารสนเทศระดบสง
(CIO) ทราบ ๔.๓ ระดบประสานงานเหตฉกเฉน ไดแก
(๑) ผอ านวยการกลมงานพฒนาระบบเทคโนโลย (๒) ผอ านวยการกลมงานพฒนาระบบเครอขาย
รบผดชอบ - วเคราะหสถานการณในทเกดเหต แลวแจงเหตตอผอ านวยการศนยสารสนเทศ
เพอการพฒนาชมชน เพอระงบเหตฉกเฉน - มอ านาจสงการใหใชแผนปฏบตการฉกเฉนขนตน จนกวาผอ านวยศนยสารสนเทศ
เพอการพฒนาชมชน จะมาถงทเกดเหต - มอ านาจสงการแทนผอ านวยการศนยสารสนเทศเพอการพฒนาชมชน ในกรณท
ผอ านวยการศนยสารสนเทศเพอการพฒนาชมชน ไมสามารถสงการได - สงการใหเจาหนาทผเกยวของมาปฏบตการตามแผนฯ - พจารณาขนตอนและวธการปองกนชวต ทรพยสน ใหเสยหายนอยทสด - ก าหนดอตราก าลงพล วสดอปกรณ และเครองมอจ าเปนตองขอเพมเตมใน
อนาคต ๔.๔ ระดบหวหนาสงการ ณ ทเกดเหต
(๑) ผอ านวยการกลมงานพฒนาระบบเครอขาย (๒) ผอ านวยการกลมงานระบบสารสนเทศชมชน (๓) ผอ านวยการกลมงานพฒนาระบบเทคโนโลย
นโยบายและแนวปฏบตในการรกษาความปลอดภยดานสารสนเทศของกรมการพฒนาชมชน พ.ศ. ๒๕๕๙ ๔๐
รบผดชอบ - ก ากบดแล การปฏบ ตงานของผปฏบ ต ศกษา ทบทวน วางแผนตดตาม
การบรหารความเสยง และระบบรกษาความปลอดภยฐานขอมลและเทคโนโลยสารสนเทศ
- แจงเหตฉกเฉน และเคลอนยายตนเอง ผอน ตลอดจนทรพยสนออกจากทเกดเหต ไปเกบรกษา ณ จดปลอดภยโดยเรว
- ใหขอมลเกยวกบสถานทเกดเหตแกผอ านวยการศนยสารสนเทศเพอการพฒนาชมชนและเจาหนาทประสานงานรกษาความปลอดภยทราบ
- น าทรพยสนทขนยายออกมาเกบเขาทโดยตองตรวจสภาพ และรายงานเสนอผบงคบบญชาตามล าดบขน
๔.๕ ระดบทมงานทเกยวของกบแผน (๑) ทมรบผดชอบดแลบ ารงรกษาขอมลสารสนเทศ มหนาทเฝาระวงและ ตรวจสอบ
บ ารงรกษา แกไข ขอบกพรองตางๆ ของขอมลพนฐาน รวมทงการท าส าเนาและกคน ขอมลพนฐาน ผอ านวยการกลมงานขอมลพนฐานการพฒนาชนบท รบผดชอบก ากบดแล
(๒) ทมรบผดชอบดแลระบบโปรแกรมสารสนเทศ มหนาทเฝาระวงและ ตรวจสอบบ ารงรกษา แกไข ขอบกพรองตางๆ ของระบบโปรแกรมสารสนเทศ รวมทงท าส าเนา และกคนฐานขอมลสารสนเทศ ผอ านวยการกลมงานระบบสารสนเทศชมชนรบผดชอบ ก ากบดแล
(๓) ทมรบผดชอบดแลระบบเทคโนโลยคอมพวเตอร มหนาทเฝาระวงและ ตรวจสอบ บ ารงรกษา แกไข ขอบกพรองตางๆ ของระบบเทคโนโลยคอมพวเตอร รวมทงด าเนนตามแผนรองรบสถานการณฉกเฉน ผอ านวยการกลมงานพฒนาระบบเทคโนโลยรบผดชอบ ก ากบดแล
(๔) ทมรบผดชอบดแลระบบเครอขาย มหนาทเฝาระวงและ ตรวจสอบ บ ารงรกษา แกไขขอบกพรองตางๆ ของระบบเครอขาย รวมทงการท าส าเนา และกคนฐานขอมลบนระบบคอมพวเตอรแมขาย ผอ านวยการกลมงานพฒนาระบบเครอขายรบผดชอบก ากบดแล
๕. ทดสอบและทบทวนสภาพพรอมใชงานของระบบสารสนเทศ ระบบส ารอง และระบบแผนเตรยมพรอมกรณฉกเฉน สภาพความเสยงทยอมรบไดของแตละหนวยงาน อยางนอยปละ 1 ครง
นโยบายและแนวปฏบตในการรกษาความปลอดภยดานสารสนเทศของกรมการพฒนาชมชน พ.ศ. ๒๕๕๙ ๔๑
สวนท ๓ นโยบายการตรวจสอบและประเมนความเสยงดานสารสนเทศ
วตถประสงค 1. เพอใหมการตรวจสอบและประเมนความเสยงของระบบสารสนเทศ 2. เพอเปนการปองกนและลดระดบความเสยงทอาจจะเกดขนกบระบบสารสนเทศ
ผรบผดชอบ ๑. ผบรหารเทคโนโลยสารสนเทศระดบสง (CIO) กรมการพฒนาชมชน ๒. ผอ านวยการศนยสารสนเทศเพอการพฒนาชมชน กรมการพฒนาชมชน ๓. ผตรวจสอบภายใน (Internal Auditor) หรอผตรวจสอบจากภายนอก (External Auditor) ๔. ผดแลระบบเครอขายคอมพวเตอรทไดรบมอบหมาย
อางองมาตรฐาน - มาตรฐานการรกษาความมนคงปลอดภยในการประกอบธรกรรมทางอเลกทรอนกส (เวอรชน 2.5)
แนวปฏบต 1. ตรวจสอบและประเมนความเสยงดานสารสนเทศ โดยมเนอหาอยางนอย ดงน 1.1 ตรวจสอบและประเมนความเสยงดานสารสนเทศทอาจเกดขนกบระบบสารสนเทศ (Information Security Audit and Assessment) อยางนอยปละ 1 ครง 1.2 ตรวจสอบและประเมนความเสยงทด าเนนการโดยผตรวจสอบภายในของหนวยงาน ( Internal Auditor) หรอโดยผตรวจสอบอสระดานความมนคงปลอดภยจากภายนอก (External Auditor) เพอใหหนวยงาน ไดทราบถงระดบความเสยงและระดบความมนคงปลอดภยสารสนเทศ 2. แนวทางในตรวจสอบและประเมนความเสยงทตองค านงถง อยางนอยดงน 2.1 ใหทบทวนกระบวนการบรหารจดการความเสยง อยางนอยปละ ๑ ครง 2.2 ใหทบทวนนโยบายและมาตรการในการรกษาความมนคงปลอดภยดานสารสนเทศ อยางนอย ปละ ๑ ครง 2.3 ใหตรวจสอบและประเมนความเสยงและใหจดท ารายงานพรอมขอเสนอแนะตอผบรหารอยางนอย ป ละ ๑ ครง 2.4 มาตรการในการตรวจประเมนระบบสารสนเทศ อยางนอย ดงน
(1) ก าหนดใหผตรวจสอบสามารถเขาถงขอมลทจ าเปนตองตรวจสอบไดแบบอานไดอยางเดยว
(2) ในกรณทจ าเปนตองเขาถงขอมล ในแบบอนๆ ใหสรางส าเนาส าหรบขอมลนน เพอให ผตรวจสอบใชงาน รวมทงควรท าลายหรอลบโดยทนททตรวจสอบเสรจ หรอตองจดเกบไวโดยมการปองกนเปนอยางด
(3) ก าหนดใหระบและจดสรรทรพยากรทจ าเปนตองใชในการตรวจสอบระบบบรหารจดการความมนคงปลอดภย
นโยบายและแนวปฏบตในการรกษาความปลอดภยดานสารสนเทศของกรมการพฒนาชมชน พ.ศ. ๒๕๕๙ ๔๒
(4) ใหเฝาระวงการเขาถงระบบโดยผตรวจสอบ รวมทงบนทกขอมลจราจรทางคอมพวเตอร (Log) แสดงการเขาถงนน ซงรวมถงวนและเวลาทเขาถงระบบงานทส าคญ ๆ จดเกบขอมลตามขอ ๙.๖
(5) ในกรณทมเครองมอส าหรบการตรวจประเมนระบบสารสนเทศ ควรก าหนดใหแยกการตดตงเครองมอทใชในการตรวจสอบ ออกจากระบบใหบรการจรงหรอระบบทใชในการพฒนา และมการจดเกบปองกนเครองมอนนจากการเขาถงโดยไมไดรบอนญาต
นโยบายและแนวปฏบตในการรกษาความปลอดภยดานสารสนเทศของกรมการพฒนาชมชน พ.ศ. ๒๕๕๙ ๔๓
สวนท 4 นโยบายการสรางความรความเขาใจในการใชระบบสารสนเทศและระบบคอมพวเตอร
วตถประสงค 1. เพอสรางความรความเขาใจในการใชงานระบบสารสนเทศและระบบคอมพวเตอรใหกบ
ผใชงานของกรมการพฒนาชมชน 2. เพอเปนการปองกนการกระท าผดทเกดจากการรเทาไมถงการณของผใชงาน 3. เพอใหการใชงานระบบสารสนเทศและระบบคอมพวเตอร มความมนคงปลอดภย
ผรบผดชอบ ๑. ผบรหารเทคโนโลยสารสนเทศระดบสง (CIO) กรมการพฒนาชมชน ๒. ผอ านวยการศนยสารสนเทศเพอการพฒนาชมชน กรมการพฒนาชมชน ๓. ผอ านวยการสถาบนการพฒนาชมชน ๔. ผดแลระบบเครอขายคอมพวเตอรทไดรบมอบหมาย
อางองมาตรฐาน - มาตรฐานการรกษาความมนคงปลอดภยในการประกอบธรกรรมทางอเลกทรอนกส (เวอรชน 2.5)
แนวปฏบต ๑. จดฝกอบรมการใชงานระบบสารสนเทศของหนวยงาน อยางนอยปละ 1 ครง หรอทกครงทม
การปรบปรงและเปลยนแปลงการใชงานของระบบสารสนเทศ 2. จดท าคมอการใชงานระบบสารสนเทศ และมการเผยแพรทางเวบไซตของหนวยงาน 3. จดฝกอบรมแนวปฏบตตามนโยบายอยางสม าเสมอ โดยการจดฝกอบรมอาจใชวธการเสรม
เนอหา แนวปฏบตตามแนวนโยบายเขากบหลกสตรอบรมตางๆ ตามแผนการฝกอบรมของหนวยงาน 4. จดสมมนาเพอเผยแพรแนวนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดาน
สารสนเทศและสรางความตระหนกถงความส าคญของการปฏบตใหกบผใชงาน โดยการจดสมมนาควรจดปละไมนอยกวา 1 ครง โดยอาจจดรวมกบการสมมนาอนดวยกได และอาจเชญวทยากรจากภายนอกทมประสบการณดานการรกษาความมนคงปลอดภยดานสารสนเทศ มาถายทอดใหความร
5. ตดประกาศประชาสมพนธใหความรเกยวกบแนวปฏบตในลกษณะเกรดความร หรอขอระวงในรปแบบทสามารถเขาใจและน าไปปฏบตไดงาย โดยมการปรบปรงความรอยเสมอ
6. ระดมการมสวนรวมและภาคปฏบตดวยการก ากบ ตดตาม ประเมนผล และส ารวจความตองการของผใชงาน
นโยบายและแนวปฏบตในการรกษาความปลอดภยดานสารสนเทศของกรมการพฒนาชมชน พ.ศ. ๒๕๕๙ ๔๔
สวนท ๕ การพจารณาความผดและการด าเนนการทางวนย
ความผด ผใชงานระบบคอมพวเตอรกรมการพฒนาชมชน ทมเจตนาฝาฝนนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศของกรมการพฒนาชมชน แมวาการฝาฝนนน จะกระท าไมบรรลผลโดยสมบรณ กใหถอวามความผดโดยสมบรณ
การลงโทษ ความผดเกยวกบนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศของกรมการพฒนาชมชน ใหลงโทษผมเจตนาฝาฝนตามระเบยบ กฎหมายทเกยวของ
การบงคบใช ก าหนดใหผบรหารระดบสงสดของหนวยงาน (Chief Executive Officer : CEO) เปนผบงคบใชนโยบายน โดยใหผใชงาน ผดแลระบบ และบคคลภายนอกทปฏบตงานใหกบหนวยงาน ตองยดถอนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศของกรมการพฒนาชมชน เปนแนวทางในการปฏบตงาน โดยเครงครด กรณ ระบบคอมพวเตอร หรอขอมลสารสนเทศเกดความเสยหาย หรออนตรายใดๆ แกองคกร หรอผหนงผใด อนเนองมากจากความบกพรอง ละเลย หรอฝาฝนการปฏบตตามแนวนโยบายและแนวปฏบตในการรกษาความปลอดภยดานสารสนเทศ ก าหนดใหผบรหารระดบสงสดของหนวยงาน (Chief Executive Officer : CEO) เปนผรบผดชอบตอความเสยง ความเสยหาย หรออนตรายทเกดขน
นโยบายและแนวปฏบตในการรกษาความปลอดภยดานสารสนเทศของกรมการพฒนาชมชน พ.ศ. ๒๕๕๙ ๔๕
ภาคผนวก ก
วธปฏบตในการท าลายขอมล
อปกรณส าหรบจดเกบ วธท าลายขอมล แผนดสก ใชวธการหนดวยเครองท าลายเอกสาร เทป ใชวธการทบ หรอบดใหเสยหาย หรอเผาท าลาย ฮารดดสก ใชการท าลายขอมลอยางนอย ตามมาตรฐาน DOD 5220.33 M
(การเขยนทบขอมลเดมเปนจ านวนหลายๆ รอบ) อปกรณส าหรบ จดเกบ ท ไมสามารถลบขอมลได เชน แผนซดรอมส าหรบอานอยางเดยว
ใชวธการทบ หรอบดใหเสยหาย หรอเผาท าลาย
หมายเหต ในกรณทตองการท าลายขอมลในอปกรณส าหรบจดเกบนอกเหนอจากตารางขางตน ใหแจง ศนยสารสนเทศเพอการพฒนาชมชนเพอขอค าแนะน าในการท าลายขอมลทเหมาะสม เพอใหมนใจไดวาขอมลถกเขยนทบจนไมสามารถกคนขอมลเดมไดอก
หนา ๑ เลม ๑๒๔ ตอนท ๔ ก ราชกจจานเบกษา ๑๐ มกราคม ๒๕๕๐
พระราชกฤษฎกา กาหนดหลกเกณฑและวธการในการทาธรกรรมทางอเลกทรอนกสภาครฐ
พ.ศ. ๒๕๔๙
ภมพลอดลยเดช ป.ร. ใหไว ณ วนท ๒๖ พฤศจกายน พ.ศ. ๒๕๔๙
เปนปท ๖๑ ในรชกาลปจจบน พระบาทสมเดจพระปรมนทรมหาภมพลอดลยเดช มพระบรมราชโองการโปรดเกลา ฯ
ใหประกาศวา โดยทเปนการสมควรกาหนดหลกเกณฑและวธการในการทาธรกรรมทางอเลกทรอนกสภาครฐ อาศยอานาจตามความในมาตรา ๑๖ ของรฐธรรมนญแหงราชอาณาจกรไทย (ฉบบชวคราว)
พทธศกราช ๒๕๔๙ และมาตรา ๓๕ วรรคหนง แหงพระราชบญญตวาดวยธรกรรมทางอเลกทรอนกส พ.ศ. ๒๕๔๔ จงทรงพระกรณาโปรดเกลา ฯ ใหตราพระราชกฤษฎกาขนไว ดงตอไปน
มาตรา ๑ พระราชกฤษฎกานเรยกวา “พระราชกฤษฎกากาหนดหลกเกณฑและวธการ ในการทาธรกรรมทางอเลกทรอนกสภาครฐ พ.ศ. ๒๕๔๙”
มาตรา ๒ พระราชกฤษฎกานใหใชบงคบตงแตวนประกาศในราชกจจานเบกษาเปนตนไป มาตรา ๓ ในการทาธรกรรมทางอเลกทรอนกสภาครฐ หนวยงานของรฐตองจดใหมระบบ
เอกสารททาในรปของขอมลอเลกทรอนกสในลกษณะ ดงตอไปน
หนา ๒ เลม ๑๒๔ ตอนท ๔ ก ราชกจจานเบกษา ๑๐ มกราคม ๒๕๕๐
(๑) เอกสารททาในรปของขอมลอเลกทรอนกสนนตองอยในรปแบบทเหมาะสม โดยสามารถแสดงหรออางองเพอใชในภายหลงและยงคงความครบถวนของขอความในรปแบบของขอมลอเลกทรอนกส
(๒) ตองกาหนดระยะเวลาเรมตนและสนสดในการยนเอกสารท ทาในรปของขอมลอเลกทรอนกส โดยปกตใหยดถอวนเวลาของการปฏบตงานหนวยงานของรฐนนเปนหลก และอาจกาหนดระยะเวลาในการดาเนนการพจารณาของหนวยงานของรฐดวยวธการทางอเลกทรอนกสไวดวย กได เวนแตจะมกฎหมายในเรองนนกาหนดไวเปนอยางอน
(๓) ตองกาหนดวธการททาใหสามารถระบตวเจาของลายมอชอ ประเภท ลกษณะหรอรปแบบของลายมอชออเลกทรอนกส และสามารถแสดงไดวาเจาของลายมอชอรบรองขอความในขอมลอเลกทรอนกส
(๔) ตองกาหนดวธการแจงการตอบรบดวยวธการทางอเลกทรอนกสหรอดวยวธการอนใด เพอเปนหลกฐานวาไดมการดาเนนการดวยวธการทางอเลกทรอนกสไปยงอกฝายหนงแลว
มาตรา ๔ นอกจากทบญญตไวในมาตรา ๓ ในกรณทหนวยงานของรฐจดทากระบวนการพจารณาทางปกครองโดยวธการทางอเลกทรอนกส ระบบเอกสารททาในรปของขอมลอเลกทรอนกสตองมลกษณะดงตอไปนดวย เวนแตจะมกฎหมายในเรองนนกาหนดไวเปนอยางอน
(๑) มวธการสอสารกบผยนคาขอในกรณทเอกสารมขอบกพรองหรอมขอความทผดหลง อนเหนไดชดวาเกดจากความไมรหรอความเลนเลอของผยนคาขอ หรอการขอขอเทจจรงเพมเตม รวมทงมวธการแจงสทธและหนาทในกระบวนการพจารณาทางปกครองตามความจาเปนแกกรณ ในกรณทกฎหมายกาหนดใหตองแจงใหคกรณทราบ
(๒) ในกรณมความจาเปนตามลกษณะเฉพาะของธรกรรมทางอเลกทรอนกสภาครฐใด หนวยงานของรฐนนอาจกาหนดเงอนไขวาคกรณยนยอมตกลงและยอมรบการดาเนนการพจารณา ทางปกครองของหนวยงานของรฐโดยวธการทางอเลกทรอนกส
มาตรา ๕ หนวยงานของรฐตองจดทาแนวนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ เพอใหการดาเนนการใด ๆ ดวยวธการทางอเลกทรอนกสกบหนวยงานของรฐหรอโดยหนวยงานของรฐมความมนคงปลอดภยและเชอถอได
แนวนโยบายและแนวปฏบตอยางนอยตองประกอบดวยเนอหา ดงตอไปน (๑) การเขาถงหรอควบคมการใชงานสารสนเทศ
หนา ๓ เลม ๑๒๔ ตอนท ๔ ก ราชกจจานเบกษา ๑๐ มกราคม ๒๕๕๐
(๒) การจดใหมระบบสารสนเทศและระบบสารองของสารสนเทศซงอยในสภาพพรอมใชงาน และจดทาแผนเตรยมพรอมกรณฉกเฉนในกรณทไมสามารถดาเนนการดวยวธการทางอเลกทรอนกส เพอใหสามารถใชงานสารสนเทศไดตามปกตอยางตอเนอง
(๓) การตรวจสอบและประเมนความเสยงดานสารสนเทศอยางสมาเสมอ มาตรา ๖ ในกรณทมการรวบรวม จดเกบ ใช หรอเผยแพรขอมล หรอขอเทจจรงททาให
สามารถระบตวบคคล ไมวาโดยตรงหรอโดยออม ใหหนวยงานของรฐจดทาแนวนโยบายและ แนวปฏบตการคมครองขอมลสวนบคคลดวย
มาตรา ๗ แนวนโยบายและแนวปฏบตตามมาตรา ๕ และมาตรา ๖ ใหหนวยงานของรฐจดทาเปนประกาศ และตองไดรบความเหนชอบจากคณะกรรมการหรอหนวยงานทคณะกรรมการมอบหมาย จงมผลใชบงคบได
หนวยงานของรฐตองปฏบตตามแนวนโยบายและแนวปฏบตทไดแสดงไว และใหจดใหมการตรวจสอบการปฏบตตามแนวนโยบายและแนวปฏบตทกาหนดไวอยางสมาเสมอ
มาตรา ๘ ใหคณะกรรมการหรอหนวยงานทคณะกรรมการมอบหมายจดทาแนวนโยบายและแนวปฏบตหรอการอนอนเกยวกบการดาเนนการตามพระราชกฤษฎกาน ไวเปนตวอยางเบองตน สาหรบการดาเนนการของหนวยงานของรฐในการปฏบตตามพระราชกฤษฎกาน และหากหนวยงานของรฐแหงใดมการปฏบตงานตามกฎหมายทแตกตางเปนการเฉพาะแลว หนวยงานของรฐแหงนนอาจเพมเตมรายละเอยดการปฏบตงานตามกฎหมายทแตกตางนนไดโดยออกเปนระเบยบ ทงน โดยใหคานงถงความถกตองครบถวน ความนาเชอถอ สภาพความพรอมใชงาน และความมนคงปลอดภยของระบบและขอมลอเลกทรอนกส
มาตรา ๙ การทาธรกรรมทางอเลกทรอนกสภาครฐตามหลกเกณฑและวธการตามพระราชกฤษฎกาน ไมมผลเปนการยกเวนกฎหมายหรอหลกเกณฑและวธการทกฎหมายในเรองนนกาหนดไวเพอการอนญาต อนมต การใหความเหนชอบ หรอการวนจฉย
มาตรา ๑๐ ใหนายกรฐมนตรรกษาการตามพระราชกฤษฎกาน
ผรบสนองพระบรมราชโองการ พลเอก สรยทธ จลานนท
นายกรฐมนตร
หนา ๔ เลม ๑๒๔ ตอนท ๔ ก ราชกจจานเบกษา ๑๐ มกราคม ๒๕๕๐
หมายเหต :- เหตผลในการประกาศใชพระราชกฤษฎกาฉบบน คอ เนองจากประเทศไทยไดเรมเขาสยคสงคมสารสนเทศซงมการทาธรกรรมทางอเลกทรอนกสภาครฐมากขน สมควรสนบสนนใหหนวยงานของรฐมระบบการบรการของตนโดยการประยกตใชเทคโนโลยสารสนเทศเพอใหสามารถบรการประชาชนไดอยางทวถง สะดวก และรวดเรว อนเปนการเพมประสทธภาพและประสทธผลของหนวยงานของรฐ พรอมกบใหหนวยงานของรฐสามารถพฒนา การทาธรกรรมทางอเลกทรอนกสภาครฐภายใตมาตรฐานและเปนไปในทศทางเดยวกน และสรางความเชอมนของประชาชนตอการดาเนนกจกรรมของรฐดวยวธการทางอเลกทรอนกส ประกอบกบมาตรา ๓๕ วรรคหนง แหงพระราชบญญตวาดวยธรกรรมทางอเลกทรอนกส พ.ศ. ๒๕๔๔ บญญตวา คาขอ การอนญาต การจดทะเบยน คาสงทางปกครอง การชาระเงน การประกาศหรอการดาเนนการใด ๆ ตามกฎหมายกบหนวยงานของรฐหรอโดยหนวยงานของรฐ ถาไดกระทาในรปของขอมลอเลกทรอนกสตามหลกเกณฑและวธการทกาหนดโดยพระราชกฤษฎกาแลว ใหถอวามผลโดยชอบดวยกฎหมายเชนเดยวกบการดาเนนการตามหลกเกณฑและวธการทกฎหมายในเรองนนกาหนด จงจาเปนตองตราพระราชกฤษฎกาน
หนา ๑๓๑ เลม ๑๒๗ ตอนพเศษ ๗๘ ง ราชกจจานเบกษา ๒๓ มถนายน ๒๕๕๓
ประกาศคณะกรรมการธรกรรมทางอเลกทรอนกส เรอง แนวนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ
ของหนวยงานของรฐ พ.ศ. ๒๕๕๓
ดวยปญหาดานการรกษาความมนคงปลอดภยใหกบสารสนเทศมความรนแรงเพมขนทงในประเทศและตางประเทศ อกทงยงมแนวโนมทจะสงผลกระทบตอภาครฐและภาคธรกจมากขน ทาใหผประกอบการ ตลอดจนองคกร ภาครฐ และภาคเอกชนทมการดาเนนงานใด ๆ ในรปของขอมลอเลกทรอนกสผานระบบสารสนเทศขององคกร ขาดความเชอมนตอการทาธรกรรมทางอเลกทรอนกสในทกรปแบบ ประกอบกบคณะกรรมการธรกรรมทางอเลกทรอนกสตระหนกถงความจาเปน ทจะสงเสรมและผลกดนใหประเทศสามารถยกระดบการแขงขนกบประเทศอน ๆ โดยการนาระบบสารสนเทศและการสอสารมาประยกตใชประกอบการทาธรกรรมทางอเลกทรอนกสอยางแพรหลาย จงเหนความสาคญทจะนากฎหมาย ขอบงคบตาง ๆ มาบงคบใชกบการทาธรกรรมทางอเลกทรอนกสทงในสวนทตองกระทาและในสวนทตองงดเวนการกระทา เพอชวยใหการทาธรกรรมทางอเลกทรอนกสของหนวยงานของรฐมความมนคงปลอดภยและมความนาเชอถอ
เพอใหการดาเนนการใด ๆ ดวยวธการทางอเลกทรอนกสกบหนวยงานของรฐ หรอโดยหนวยงานของรฐมความมนคงปลอดภยและเชอถอได ตลอดจนมมาตรฐานเปนทยอมรบในระดบสากล คณะกรรมการธรกรรมทางอเลกทรอนกส จงเหนควรกาหนดแนวนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศของหนวยงานของรฐ
อาศยอานาจตามความในมาตรา ๕ มาตรา ๗ และมาตรา ๘ แหงพระราชกฤษฎกากาหนดหลกเกณฑและวธการในการทาธรกรรมทางอเลกทรอนกสภาครฐ พ.ศ. ๒๕๔๙ คณะกรรมการธรกรรมทางอเลกทรอนกสจงไดจดทาประกาศฉบบน เพอเปนแนวทางเบองตนใหหนวยงานของรฐ ใชในการกาหนดนโยบาย และขอปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ ซงอยางนอยตองประกอบดวยสาระสาคญ ดงตอไปน
ขอ ๑ ในประกาศน (๑) ผใชงาน หมายความวา ขาราชการ เจาหนาท พนกงานของรฐ ลกจาง ผดแลระบบ
ผบรหารขององคกร ผรบบรการ ผใชงานทวไป
หนา ๑๓๒ เลม ๑๒๗ ตอนพเศษ ๗๘ ง ราชกจจานเบกษา ๒๓ มถนายน ๒๕๕๓
(๒) สทธของผใชงาน หมายความวา สทธทวไป สทธจาเพาะ สทธพเศษ และสทธอนใด ทเกยวของกบระบบสารสนเทศของหนวยงาน
(๓) สนทรพย (asset) หมายความวา สงใดกตามทมคณคาสาหรบองคกร (๔) การเขาถงหรอควบคมการใชงานสารสนเทศ หมายความวา การอนญาต การกาหนดสทธ
หรอการมอบอานาจใหผใชงาน เขาถงหรอใชงานเครอขายหรอระบบสารสนเทศ ทงทางอเลกทรอนกส และทางกายภาพ รวมทงการอนญาตเชนวานนสาหรบบคคลภายนอก ตลอดจนอาจกาหนดขอปฏบตเกยวกบการเขาถงโดยมชอบเอาไวดวยกได
(๕) ความมนคงปลอดภยดานสารสนเทศ (information security) หมายความวา การธารงไวซงความลบ (confidentiality) ความถกตองครบถวน (integrity) และสภาพพรอมใชงาน (availability) ของสารสนเทศ รวมทงคณสมบตอน ไดแกความถกตองแทจรง (authenticity) ความรบผด (accountability) การหามปฏเสธความรบผด (non-repudiation) และความนาเชอถอ (reliability)
(๖) เหตการณดานความมนคงปลอดภย (information security event) หมายความวา กรณทระบการเกดเหตการณ สภาพของบรการหรอเครอขายทแสดงใหเหนความเปนไปไดทจะเกด การฝาฝนนโยบายดานความมนคงปลอดภยหรอมาตรการปองกนทลมเหลว หรอเหตการณอนไมอาจรไดวาอาจเกยวของกบความมนคงปลอดภย
(๗) สถานการณดานความมนคงปลอดภยทไมพงประสงคหรอไมอาจคาดคด (information security incident) หมายความวา สถานการณดานความมนคงปลอดภยทไมพงประสงคหรอไมอาจคาดคด (unwanted or unexpected) ซงอาจทาใหระบบขององคกรถกบกรกหรอโจมต และความมนคงปลอดภยถกคกคาม
ขอ ๒ หนวยงานของรฐตองจดใหมนโยบายในการรกษาความม นคงปลอดภย ดานสารสนเทศของหนวยงานเปนลายลกษณอกษร ซงอยางนอยตองประกอบดวยเนอหา ดงตอไปน
(๑) การเขาถงหรอควบคมการใชงานสารสนเทศ (๒) จดใหมระบบสารสนเทศและระบบสารองของสารสนเทศซงอยในสภาพพรอมใชงาน
และจดทาแผนเตรยมความพรอมกรณ ฉกเ ฉนในกรณท ไมสามารถดาเนนการดวยวธการ ทางอเลกทรอนกสเพอใหสามารถใชงานสารสนเทศไดตามปกตอยางตอเนอง
(๓) การตรวจสอบและประเมนความเสยงดานสารสนเทศอยางสมาเสมอ
หนา ๑๓๓ เลม ๑๒๗ ตอนพเศษ ๗๘ ง ราชกจจานเบกษา ๒๓ มถนายน ๒๕๕๓
ขอ ๓ หนวยงานของรฐตองจดใหมขอปฏบ ตในการรกษาความมนคงปลอดภย ดานสารสนเทศของหนวยงาน ซงอยางนอยตองประกอบดวยกระบวนการ ดงตอไปน
(๑) หนวยงานของรฐตองจดทาขอปฏบตทสอดคลองกบนโยบายการรกษาความมนคงปลอดภยดานสารสนเทศของหนวยงาน
(๒) หนวยงานของรฐตองประกาศนโยบายและขอปฏบตดงกลาว ใหผเกยวของทงหมดทราบ เพอใหสามารถเขาถง เขาใจ และปฏบตตามนโยบายและขอปฏบตได
(๓) หนวยงานของรฐตองกาหนดผรบผดชอบตามนโยบายและขอปฏบตดงกลาวใหชดเจน (๔) หนวยงานของรฐตองทบทวนปรบปรงนโยบายและขอปฏบตใหเปนปจจบนอยเสมอ ขอ ๔ ขอปฏบตในดานการรกษาความมนคงปลอดภย ตองมเนอหาอยางนอยครอบคลม
ตามขอ ๕ - ๑๕ ขอ ๕ ใหมขอกาหนดการเขาถงและควบคมการใชงานสารสนเทศ (access control)
ซงตองมเนอหาอยางนอย ดงน (๑) หนวยงานของรฐตองมการควบคมการเขาถงขอมลและอปกรณในการประมวลผลขอมล
โดยคานงถงการใชงานและความมนคงปลอดภย (๒) ในการกาหนดกฎเกณฑเกยวกบการอนญาตให เขาถง ตองกาหนดตามนโยบาย
ทเกยวของกบการอนญาต การกาหนดสทธ หรอการมอบอานาจของหนวยงานของรฐนน ๆ (๓) หนวยงานของรฐตองกาหนดเกยวกบประเภทของขอมล ลาดบความสาคญ หรอลาดบ
ชนความลบของขอมล รวมทงระดบชนการเขาถง เวลาทไดเขาถง และชองทางการเขาถง ขอ ๖ ใหมขอกาหนดการใชงานตามภารกจเพอควบคมการเขาถงสารสนเทศ (business
requirements for access control) โดยแบงการจดทาขอปฏบตเปน ๒ สวนคอ การควบคมการเขาถงสารสนเทศ และการปรบปรงใหสอดคลองกบขอกาหนดการใชงานตามภารกจและขอกาหนด ดานความมนคงปลอดภย
ขอ ๗ ใหมการบรหารจดการการเขาถงของผใชงาน (user access management) เพอควบคมการเขาถงระบบสารสนเทศเฉพาะผทไดรบอนญาตแลว และผานการฝกอบรม หลกสตรการสรางความตระหนกเรองความมนคงปลอดภยสารสนเทศ (information security awareness training) เพอปองกนการเขาถงจากผซงไมไดรบอนญาต โดยตองมเนอหาอยางนอย ดงน
หนา ๑๓๔ เลม ๑๒๗ ตอนพเศษ ๗๘ ง ราชกจจานเบกษา ๒๓ มถนายน ๒๕๕๓
(๑) สรางความรความเขาใจใหกบผใชงาน เพอใหเกดความตระหนก ความเขาใจถงภย และผลกระทบทเกดจากการใชงานระบบสารสนเทศโดยไมระมดระวงหรอรเทาไมถงการณ รวมถงกาหนดใหมมาตรการเชงปองกนตามความเหมาะสม
(๒) การลงทะเบยนผใชงาน (user registration) ตองกาหนดใหมขนตอนทางปฏบตสาหรบการลงทะเบยนผใชงานเมอมการอนญาตใหเขาถงระบบสารสนเทศ และการตดออกจากทะเบยน ของผใชงานเมอมการยกเลกเพกถอนการอนญาตดงกลาว
(๓) การบรหารจดการสทธของผใชงาน (user management) ตองจดใหมการควบคม และจากดสทธเพอเขาถงและใชงานระบบสารสนเทศแตละชนดตามความเหมาะสม ทงนรวมถงสทธจาเพาะ สทธพเศษ และสทธอน ๆ ทเกยวของกบการเขาถง
(๔) การบรหารจดการรหสผานสาหรบผใชงาน (user password management) ตองจดใหมกระบวนการบรหารจดการรหสผานสาหรบผใชงานอยางรดกม
(๕) การทบทวนสทธการเขาถงของผใชงาน (review of user access rights) ตองจดใหมกระบวนการทบทวนสทธการเขาถงของผใชงานระบบสารสนเทศตามระยะเวลาทกาหนดไว
ขอ ๘ ใหมการกาหนดหนาท ความรบผดชอบของผ ใชงาน (user responsibilities) เพอปองกนการเขาถงโดยไมไดรบอนญาต การเปดเผย การลวงร หรอการลกลอบทาสาเนาขอมลสารสนเทศและการลกขโมยอปกรณประมวลผลสารสนเทศ โดยตองมเนอหาอยางนอย ดงน
(๑) การใชงานรหสผาน (password use) ตองกาหนดแนวปฏบตทดสาหรบผใชงานในการกาหนดรหสผาน การใชงานรหสผาน และการเปลยนรหสผานทมคณภาพ
(๒) การปองกนอปกรณในขณะทไมมผใชงานทอปกรณ ตองกาหนดขอปฏบตทเหมาะสมเพอปองกนไมใหผไมมสทธสามารถเขาถงอปกรณของหนวยงานในขณะทไมมผดแล
(๓) การควบคมสนทรพยสารสนเทศและการใชงานระบบคอมพวเตอร (clear desk and clear screen policy) ตองควบคมไมใหสนทรพยสารสนเทศ เชน เอกสาร สอบนทกขอมล คอมพวเตอร หรอสารสนเทศ อยในภาวะซงเสยงตอการเขาถงโดยผซงไมมสทธ และตองกาหนดใหผใชงานออกจากระบบสารสนเทศเมอวางเวนจากการใชงาน
หนา ๑๓๕ เลม ๑๒๗ ตอนพเศษ ๗๘ ง ราชกจจานเบกษา ๒๓ มถนายน ๒๕๕๓
(๔) ผใชงานอาจนาการเขารหส มาใชกบขอมลทเปนความลบ โดยใหปฏบตตามระเบยบการรกษาความลบทางราชการ พ.ศ. ๒๕๔๔
ขอ ๙ ใหมการควบคมการเขาถงเครอขาย (network access control) เพอปองกน การเขาถงบรการทางเครอขายโดยไมไดรบอนญาต โดยตองมเนอหาอยางนอย ดงน
(๑) การใชงานบรการเครอขาย ตองกาหนดใหผใชงานสามารถเขาถงระบบสารสนเทศ ไดแตเพยงบรการทไดรบอนญาตใหเขาถงเทานน
(๒) การยนยนตวบคคลสาหรบผใชทอยภายนอกองคกร (user authentication for external connections) ตองกาหนดใหมการยนยนตวบคคลกอนทจะอนญาตใหผใชทอยภายนอกองคกรสามารถเขาใชงานเครอขายและระบบสารสนเทศขององคกรได
(๓) การระบอปกรณบนเครอขาย (equipment identification in networks) ตองมวธการ ทสามารถระบอปกรณบนเครอขายได และควรใชการระบอปกรณบนเครอขายเปนการยนยน
(๔) การปองกนพอรตทใชสาหรบตรวจสอบและปรบแตงระบบ (remote diagnostic and configuration port protection) ตองควบคมการเขาถงพอรตทใชสาหรบตรวจสอบและปรบแตงระบบ ทงการเขาถงทางกายภาพและทางเครอขาย
(๕) การแบงแยกเครอขาย (segregation in networks) ตองทาการแบงแยกเครอขาย ตามกลมของบรการสารสนเทศ กลมผใชงาน และกลมของระบบสารสนเทศ
(๖) การควบคมการเชอมตอทางเครอขาย (network connection control) ตองควบคม การเขาถงหรอใชงานเครอขายทมการใชรวมกนหรอเชอมตอระหวางหนวยงานใหสอดคลองกบ ขอปฏบตการควบคมการเขาถง
(๗) การควบคมการจดเสนทางบนเครอขาย (network routing control) ตองควบคมการจดเสนทางบนเครอขายเพอใหการเชอมตอของคอมพวเตอรและการสงผานหรอไหลเวยนของขอมล หรอสารสนเทศสอดคลองกบขอปฏบตการควบคมการเขาถงหรอการประยกตใชงานตามภารกจ
ขอ ๑๐ ใหมการควบคมการเขาถงระบบปฏบตการ (operating system access control) เพอปองกนการเขาถงระบบปฏบตการโดยไมไดรบอนญาต โดยตองมเนอหาอยางนอย ดงน
(๑) การกาหนดขนตอนปฏบตเพอการเขาใชงานทมนคงปลอดภย การเขาถงระบบ ปฏบตการจะตองควบคมโดยวธการยนยนตวตนทมนคงปลอดภย
หนา ๑๓๖ เลม ๑๒๗ ตอนพเศษ ๗๘ ง ราชกจจานเบกษา ๒๓ มถนายน ๒๕๕๓
(๒) การระบและยนยนตวตนของผใชงาน (user identification and authentication) ตองกาหนดใหผใชงานมขอมลเฉพาะเจาะจงซงสามารถระบตวตนของผใชงาน และเลอกใชขนตอนทางเทคนคในการยนยนตวตนทเหมาะสมเพอรองรบการกลาวอางวาเปนผใชงานทระบถง
(๓) การบรหารจดการรหสผาน (password management system) ตองจดทาหรอจดใหมระบบบรหารจดการรหสผานทสามารถทางานเชงโตตอบ (interactive) หรอมการทางานในลกษณะอตโนมต ซงเออตอการกาหนดรหสผานทมคณภาพ
(๔) การใชงานโปรแกรมอรรถประโยชน (use of system utilities) ควรจากดและควบคมการใชงานโปรแกรมประเภทอรรถประโยชน เพอปองกนการละเมดหรอหลกเลยงมาตรการ ความมนคงปลอดภยทไดกาหนดไวหรอทมอยแลว
(๕) เมอมการวางเวนจากการใชงานในระยะเวลาหนงใหยตการใชงานระบบสารสนเทศนน (session time-out)
(๖) การจากดระยะเวลาการเชอมตอระบบสารสนเทศ (limitation of connection time) ตองจากดระยะเวลาในการเชอมตอเพอใหมความมนคงปลอดภยมากยงขนสาหรบระบบสารสนเทศหรอแอพพลเคชนทมความเสยงหรอมความสาคญสง
ขอ ๑๑ ใหมการควบคมการเขาถงโปรแกรมประยกตหรอแอพพลเคชนและสารสนเทศ (application and information access control) โดยตองมการควบคม ดงน
(๑) การจากดการเขาถงสารสนเทศ (information access restriction) ตองจากดหรอควบคมการเขาถงหรอเขาใชงานของผใชงานและบคลากรฝายสนบสนนการเขาใชงานในการเขาถงสารสนเทศและฟงกชน (functions) ตาง ๆ ของโปรแกรมประยกตหรอแอพพลเคชน ทงนโดยใหสอดคลอง ตามนโยบายควบคมการเขาถงสารสนเทศทไดกาหนดไว
(๒) ระบบซงไวตอการรบกวน มผลกระทบและมความสาคญสงตอองคกร ตองไดรบ การแยกออกจากระบบอน ๆ และมการควบคมสภาพแวดลอมของตนเองโดยเฉพาะ ใหมการควบคมอปกรณคอมพวเตอรและสอสารเคลอนทและการปฏบตงานจากภายนอกองคกร (mobile computing and teleworking)
(๓) การควบคมอปกรณคอมพว เตอรและสอสารเคลอนท ตองกาหนดขอปฏบ ต และมาตรการท เหมาะสมเพอปกปองสารสนเทศจากความเสยงของการใชอปกรณคอมพวเตอร และสอสารเคลอนท
หนา ๑๓๗ เลม ๑๒๗ ตอนพเศษ ๗๘ ง ราชกจจานเบกษา ๒๓ มถนายน ๒๕๕๓
(๔) การปฏบตงานจากภายนอกสานกงาน (teleworking) ตองกาหนดขอปฏบต แผนงาน และขนตอนปฏบตเพอปรบใชสาหรบการปฏบตงานขององคกรจากภายนอกสานกงาน
ขอ ๑๒ หนวยงานของรฐทมระบบสารสนเทศตองจดทาระบบสารอง ตามแนวทางตอไปน (๑) ตองพจารณาคดเลอกและจดทาระบบสารองทเหมาะสมใหอยในสภาพพรอมใชงาน
ทเหมาะสม (๒) ตองจดทาแผนเตรยมความพรอมกรณฉกเฉนในกรณทไมสามารถดาเนนการดวยวธการ
ทางอเลกทรอนกส เพอใหสามารถใชงานสารสนเทศไดตามปกตอยางตอเนอง โดยตองปรบปรงแผนเตรยมความพรอมกรณฉกเฉนดงกลาวใหสามารถปรบใชไดอยางเหมาะสมและสอดคลองกบการใชงานตามภารกจ
(๓) ตองมการกาหนดหนาทและความรบผดชอบของบคลากรซงดแลรบผดชอบระบบสารสนเทศ ระบบสารอง และการจดทาแผนเตรยมพรอมกรณฉกเฉนในกรณทไมสามารถดาเนนการดวยวธการทางอเลกทรอนกส
(๔) ตองมการทดสอบสภาพพรอมใชงานของระบบสารสนเทศ ระบบสารองและระบบแผนเตรยมพรอมกรณฉกเฉนอยางสมาเสมอ
(๕) สาหรบความถของการปฏบตในแตละขอ ควรมการปฏบตทเพยงพอตอสภาพความเสยงทยอมรบไดของแตละหนวยงาน
ขอ ๑๓ หนวยงานของรฐตองจดใหมการตรวจสอบและประเมนความเสยงดานสารสนเทศโดยตองมเนอหาอยางนอย ดงน
(๑) หนวยงานของรฐตองจดใหมการตรวจสอบและประเมนความเสยงดานสารสนเทศทอาจเกดขนกบระบบสารสนเทศ (information security audit and assessment) อยางนอยปละ ๑ ครง
(๒) ในการตรวจสอบและประเมนความเสยงจะตองดาเนนการ โดยผตรวจสอบภายในหนวยงานของรฐ (internal auditor) หรอโดยผตรวจสอบอสระดานความมนคงปลอดภยจากภายนอก (external auditor) เพอใหหนวยงานของรฐไดทราบถงระดบความเสยงและระดบความมนคงปลอดภยสารสนเทศของหนวยงาน
ขอ ๑๔ หนวยงานของรฐตองกาหนดความรบผดชอบทชดเจน กรณระบบคอมพวเตอร หรอขอมลสารสนเทศเกดความเสยหาย หรออนตรายใด ๆ แกองคกรหรอผหนงผใด อนเนองมาจาก
หนา ๑๓๘ เลม ๑๒๗ ตอนพเศษ ๗๘ ง ราชกจจานเบกษา ๒๓ มถนายน ๒๕๕๓
ความบกพรอง ละเลย หรอฝาฝนการปฏบตตามแนวนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ โดยกาหนดใหผบรหารระดบสง ซงมหนาทดแลรบผดชอบดานสารสนเทศของหนวยงานของรฐเปนผรบผดชอบตอความเสยง ความเสยหาย หรออนตรายทเกดขน
ขอ ๑๕ หนวยงานของรฐสามารถเลอกใชขอปฏบตในการรกษาความมนคงปลอดภย ดานสารสนเทศ ทตางไปจากประกาศฉบบนได หากแสดงใหเหนวา ขอปฏบตทเลอกใชมความเหมาะสมกวา หรอเทยบเทา
ขอ ๑๖ ประกาศนใหใชบงคบตงแตวนถดจากวนประกาศในราชกจจานเบกษาเปนตนไป
ประกาศ ณ วนท ๓๑ พฤษภาคม พ.ศ. ๒๕๕๓ รอยตรหญง ระนองรกษ สวรรณฉว
รฐมนตรวาการกระทรวงเทคโนโลยสารสนเทศและการสอสาร ประธานกรรมการธรกรรมทางอเลกทรอนกส
หนา ๕๒ เลม ๑๓๐ ตอนพเศษ ๒๑ ง ราชกจจานเบกษา ๑๔ กมภาพนธ ๒๕๕๖
ประกาศคณะกรรมการธรกรรมทางอเลกทรอนกส เรอง แนวนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภย
ดานสารสนเทศของหนวยงานของรฐ (ฉบบท ๒) พ.ศ. ๒๕๕๖
โดยทเปนการสมควรปรบปรงแนวนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภย ดานสารสนเทศของหนวยงานของรฐใหสอดคลองกบมาตรฐานสากล
อาศยอานาจตามความในมาตรา ๕ มาตรา ๗ และมาตรา ๘ แหงพระราชกฤษฎกากาหนดหลกเกณฑและวธการในการทาธรกรรมทางอเลกทรอนกส พ.ศ. ๒๕๔๙ คณะกรรมการธรกรรมทางอเลกทรอนกสจงออกประกาศไว ดงตอไปน
ขอ ๑ ประกาศนเรยกวา “ประกาศคณะกรรมการธรกรรมทางอเลกทรอนกส เรอง แนวนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศของหนวยงานของรฐ (ฉบบท ๒) พ.ศ. ๒๕๕๖”
ขอ ๒ ใหยกเลกความในขอ ๑๔ ของประกาศคณะกรรมการธรกรรมทางอเลกทรอนกส เรอง แนวนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศของหนวยงานของรฐ พ.ศ. ๒๕๕๓ และใหใชความตอไปนแทน
“ขอ ๑๔ หนวยงานของรฐตองกาหนดความรบผดชอบทชดเจน กรณระบบคอมพวเตอรหรอขอมลสารสนเทศเกดความเสยหาย หรออนตรายใด ๆ แกองคกรหรอผหนงผใด อนเนองมาจากความบกพรอง ละเลย หรอฝาฝนการปฏบตตามแนวนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ ทงน ใหผบรหารระดบสงสดของหนวยงาน (Chief Executive Officer : CEO) เปนผรบผดชอบตอความเสยง ความเสยหาย หรออนตรายทเกดขน”
ขอ ๓ ประกาศนใหใชบงคบตงแตวนถดจากวนประกาศในราชกจจานเบกษาเปนตนไป
ประกาศ ณ วนท ๒๕ มกราคม พ.ศ. ๒๕๕๖ นาวาอากาศเอก อนดษฐ นาครทรรพ
รฐมนตรวาการกระทรวงเทคโนโลยสารสนเทศและการสอสาร ประธานกรรมการธรกรรมทางอเลกทรอนกส
หนา ๔ เลม ๑๒๔ ตอนท ๒๗ ก ราชกจจานเบกษา ๑๘ มถนายน ๒๕๕๐
พระราชบญญต วาดวยการกระทาความผดเกยวกบคอมพวเตอร
พ.ศ. ๒๕๕๐
ภมพลอดลยเดช ป.ร. ใหไว ณ วนท ๑๐ มถนายน พ.ศ. ๒๕๕๐
เปนปท ๖๒ ในรชกาลปจจบน พระบาทสมเดจพระปรมนทรมหาภมพลอดลยเดช มพระบรมราชโองการโปรดเกลา ฯ
ใหประกาศวา โดยทเปนการสมควรมกฎหมายวาดวยการกระทาความผดเกยวกบคอมพวเตอร จงทรงพระกรณาโปรดเกลา ฯ ใหตราพระราชบญญตขนไวโดยคาแนะนาและยนยอมของ
สภานตบญญตแหงชาต ดงตอไปน มาตรา ๑ พระราชบญญตนเรยกวา “พระราชบญญตวาดวยการกระทาความผดเกยวกบ
คอมพวเตอร พ.ศ. ๒๕๕๐” มาตรา ๒ พระราชบญญตนใหใชบงคบเมอพนกาหนดสามสบวนนบแตวนประกาศ
ในราชกจจานเบกษาเปนตนไป มาตรา ๓ ในพระราชบญญตน “ระบบคอมพวเตอร” หมายความวา อปกรณหรอชดอปกรณของคอมพวเตอรทเชอมการทางาน
เขาดวยกน โดยไดมการกาหนดคาสง ชดคาสง หรอสงอนใด และแนวทางปฏบตงานใหอปกรณ หรอชดอปกรณทาหนาทประมวลผลขอมลโดยอตโนมต
หนา ๕ เลม ๑๒๔ ตอนท ๒๗ ก ราชกจจานเบกษา ๑๘ มถนายน ๒๕๕๐
“ขอมลคอมพวเตอร” หมายความวา ขอมล ขอความ คาสง ชดคาสง หรอสงอนใดบรรดา ทอยในระบบคอมพวเตอรในสภาพทระบบคอมพวเตอรอาจประมวลผลได และใหหมายความรวมถงขอมลอเลกทรอนกสตามกฎหมายวาดวยธรกรรมทางอเลกทรอนกสดวย
“ขอมลจราจรทางคอมพวเตอร” หมายความวา ขอมลเกยวกบการตดตอสอสารของระบบคอมพวเตอร ซงแสดงถงแหลงกาเนด ตนทาง ปลายทาง เสนทาง เวลา วนท ปรมาณ ระยะเวลา ชนดของบรการ หรออน ๆ ทเกยวของกบการตดตอสอสารของระบบคอมพวเตอรนน
“ผใหบรการ” หมายความวา (๑) ผใหบรการแกบคคลอนในการเขาสอนเทอรเนต หรอใหสามารถตดตอถงกนโดย
ประการอน โดยผานทางระบบคอมพวเตอร ทงน ไมวาจะเปนการใหบรการในนามของตนเอง หรอในนามหรอเพอประโยชนของบคคลอน
(๒) ผใหบรการเกบรกษาขอมลคอมพวเตอรเพอประโยชนของบคคลอน “ผใชบรการ” หมายความวา ผใชบรการของผใหบรการไมวาตองเสยคาใชบรการหรอไมกตาม “พนกงานเจาหนาท” หมายความวา ผซงรฐมนตรแตงตงใหปฏบตการตามพระราชบญญตน “รฐมนตร” หมายความวา รฐมนตรผรกษาการตามพระราชบญญตน มาตรา ๔ ใหรฐมนตรวาการกระทรวงเทคโนโลยสารสนเทศและการสอสารรกษาการตาม
พระราชบญญตน และใหมอานาจออกกฎกระทรวงเพอปฏบตการตามพระราชบญญตน กฎกระทรวงนน เมอไดประกาศในราชกจจานเบกษาแลวใหใชบงคบได
หมวด ๑ ความผดเกยวกบคอมพวเตอร
มาตรา ๕ ผใดเขาถงโดยมชอบซงระบบคอมพวเตอรทมมาตรการปองกนการเขาถงโดยเฉพาะและมาตรการนนมไดมไวสาหรบตน ตองระวางโทษจาคกไมเกนหกเดอน หรอปรบไมเกนหนงหมนบาท หรอทงจาทงปรบ
มาตรา ๖ ผใดลวงรมาตรการปองกนการเขาถงระบบคอมพวเตอรทผอนจดทาขนเปนการเฉพาะ ถานามาตรการดงกลาวไปเปดเผยโดยมชอบในประการทนาจะเกดความเสยหายแกผอน ตองระวางโทษจาคกไมเกนหนงป หรอปรบไมเกนสองหมนบาท หรอทงจาทงปรบ
หนา ๖ เลม ๑๒๔ ตอนท ๒๗ ก ราชกจจานเบกษา ๑๘ มถนายน ๒๕๕๐
มาตรา ๗ ผใดเขาถงโดยมชอบซงขอมลคอมพวเตอรทมมาตรการปองกนการเขาถงโดยเฉพาะและมาตรการนนมไดมไวสาหรบตน ตองระวางโทษจาคกไมเกนสองปหรอปรบไมเกนสหมนบาท หรอทงจาทงปรบ
มาตรา ๘ ผใดกระทาดวยประการใดโดยมชอบดวยวธการทางอเลกทรอนกสเพอดกรบไวซงขอมลคอมพวเตอรของผอนทอยระหวางการสงในระบบคอมพวเตอร และขอมลคอมพวเตอรนนมไดมไวเพอประโยชนสาธารณะหรอเพอใหบคคลทวไปใชประโยชนไดตองระวางโทษจาคกไมเกนสามป หรอปรบไมเกนหกหมนบาท หรอทงจาทงปรบ
มาตรา ๙ ผใดทาใหเสยหาย ทาลาย แกไข เปลยนแปลง หรอเพมเตมไมวาทงหมดหรอบางสวน ซงขอมลคอมพวเตอรของผอนโดยมชอบ ตองระวางโทษจาคกไมเกนหาป หรอปรบไมเกนหนงแสนบาท หรอทงจาทงปรบ
มาตรา ๑๐ ผใดกระทาดวยประการใดโดยมชอบ เพอใหการทางานของระบบคอมพวเตอรของผอนถกระงบ ชะลอ ขดขวาง หรอรบกวนจนไมสามารถทางานตามปกตไดตองระวางโทษจาคกไมเกนหาป หรอปรบไมเกนหนงแสนบาท หรอทงจาทงปรบ
มาตรา ๑๑ ผใดสงขอมลคอมพวเตอรหรอจดหมายอเลกทรอนกสแกบคคลอนโดยปกปดหรอปลอมแปลงแหลงทมาของการสงขอมลดงกลาว อนเปนการรบกวนการใชระบบคอมพวเตอรของบคคลอนโดยปกตสข ตองระวางโทษปรบไมเกนหนงแสนบาท
มาตรา ๑๒ ถาการกระทาความผดตามมาตรา ๙ หรอมาตรา ๑๐ (๑) กอใหเกดความเสยหายแกประชาชน ไมวาความเสยหายนนจะเกดขนในทนทหรอ
ในภายหลงและไมวาจะเกดขนพรอมกนหรอไม ตองระวางโทษจาคกไมเกนสบป และปรบไมเกน สองแสนบาท
(๒) เปนการกระทาโดยประการทนาจะเกดความเสยหายตอขอมลคอมพวเตอร หรอระบบคอมพวเตอรทเกยวกบการรกษาความมนคงปลอดภยของประเทศ ความปลอดภยสาธารณะ ความมนคงในทางเศรษฐกจของประเทศ หรอการบรการสาธารณะ หรอเปนการกระทาตอขอมลคอมพวเตอรหรอระบบคอมพวเตอรทมไวเพอประโยชนสาธารณะ ตองระวางโทษจาคกตงแตสามปถงสบหาป และปรบตงแตหกหมนบาทถงสามแสนบาท
ถาการกระทาความผดตาม (๒) เปนเหตใหผอนถงแกความตาย ตองระวางโทษจาคกตงแตสบปถงยสบป
หนา ๗ เลม ๑๒๔ ตอนท ๒๗ ก ราชกจจานเบกษา ๑๘ มถนายน ๒๕๕๐
มาตรา ๑๓ ผใดจาหนายหรอเผยแพรชดคาสงทจดทาขนโดยเฉพาะเพอนาไปใชเปนเครองมอในการกระทาความผดตามมาตรา ๕ มาตรา ๖ มาตรา ๗ มาตรา ๘ มาตรา ๙ มาตรา ๑๐ หรอมาตรา ๑๑ ตองระวางโทษจาคกไมเกนหนงป หรอปรบไมเกนสองหมนบาท หรอทงจาทงปรบ
มาตรา ๑๔ ผใดกระทาความผดทระบไวดงตอไปน ตองระวางโทษจาคกไมเกนหาป หรอปรบไมเกนหนงแสนบาท หรอทงจาทงปรบ
(๑) นาเขาสระบบคอมพวเตอรซงขอมลคอมพวเตอรปลอมไมวาทงหมดหรอบางสวน หรอขอมลคอมพวเตอรอนเปนเทจ โดยประการทนาจะเกดความเสยหายแกผอนหรอประชาชน
(๒) นาเขาสระบบคอมพวเตอรซงขอมลคอมพวเตอรอนเปนเทจ โดยประการทนาจะเกดความเสยหายตอความมนคงของประเทศหรอกอใหเกดความตนตระหนกแกประชาชน
(๓) นาเขาสระบบคอมพวเตอรซงขอมลคอมพวเตอรใด ๆ อนเปนความผดเกยวกบความมนคงแหงราชอาณาจกรหรอความผดเกยวกบการกอการรายตามประมวลกฎหมายอาญา
(๔) นาเขาสระบบคอมพวเตอรซงขอมลคอมพวเตอรใด ๆ ทมลกษณะอนลามกและขอมลคอมพวเตอรนนประชาชนทวไปอาจเขาถงได
(๕) เผยแพรหรอสงตอซงขอมลคอมพวเตอรโดยรอยแลววาเปนขอมลคอมพวเตอรตาม (๑) (๒) (๓) หรอ (๔)
มาตรา ๑๕ ผใหบรการผใดจงใจสนบสนนหรอยนยอมใหมการกระทาความผดตามมาตรา ๑๔ ในระบบคอมพวเตอรทอยในความควบคมของตน ตองระวางโทษเชนเดยวกบผกระทาความผดตาม มาตรา ๑๔
มาตรา ๑๖ ผ ใดนาเข าส ระบบคอมพวเตอรทประชาชนท วไปอาจเข าถ งได ซงขอมล คอมพวเตอรทปรากฏเปนภาพของผอน และภาพนนเปนภาพทเกดจากการสรางขน ตดตอ เตม หรอดดแปลงดวยวธการทางอเลกทรอนกสหรอวธการอนใด ทงน โดยประการทนาจะทาใหผอนนนเสยชอเสยง ถกดหมน ถกเกลยดชง หรอไดรบความอบอาย ตองระวางโทษจาคกไมเกนสามป หรอปรบไมเกนหกหมนบาท หรอทงจาทงปรบ
ถาการกระทาตามวรรคหนง เปนการนาเขาขอมลคอมพวเตอรโดยสจรต ผกระทาไมมความผด ความผดตามวรรคหนงเปนความผดอนยอมความได ถาผเสยหายในความผดตามวรรคหนงตายเสยกอนรองทกข ใหบดา มารดา คสมรส หรอ
บตรของผเสยหายรองทกขได และใหถอวาเปนผเสยหาย มาตรา ๑๗ ผใดกระทาความผดตามพระราชบญญตนนอกราชอาณาจกรและ
หนา ๘ เลม ๑๒๔ ตอนท ๒๗ ก ราชกจจานเบกษา ๑๘ มถนายน ๒๕๕๐
(๑) ผกระทาความผดนนเปนคนไทย และรฐบาลแหงประเทศทความผดไดเกดขนหรอผเสยหายไดรองขอใหลงโทษ หรอ
(๒) ผกระทาความผดนนเปนคนตางดาว และรฐบาลไทยหรอคนไทยเปนผเสยหายและผเสยหายไดรองขอใหลงโทษ
จะตองรบโทษภายในราชอาณาจกร
หมวด ๒ พนกงานเจาหนาท
มาตรา ๑๘ ภายใตบงคบมาตรา ๑๙ เพอประโยชนในการสบสวนและสอบสวนในกรณทมเหตอนควรเชอไดวามการกระทาความผดตามพระราชบญญตน ใหพนกงานเจาหนาทมอานาจอยางหนงอยางใด ดงตอไปน เฉพาะทจาเปนเพอประโยชนในการใชเปนหลกฐานเกยวกบการกระทาความผดและหาตวผกระทาความผด
(๑) มหนงสอสอบถามหรอเรยกบคคลทเกยวของกบการกระทาความผดตามพระราชบญญตนมาเพอใหถอยคา สงคาชแจงเปนหนงสอ หรอสงเอกสาร ขอมล หรอหลกฐานอนใดทอยในรปแบบทสามารถเขาใจได
(๒) เรยกขอมลจราจรทางคอมพวเตอรจากผใหบรการเกยวกบการตดตอสอสารผานระบบคอมพวเตอรหรอจากบคคลอนทเกยวของ
(๓) สงใหผใหบรการสงมอบขอมลเกยวกบผใชบรการทตองเกบตามมาตรา ๒๖ หรอทอยในความครอบครองหรอควบคมของผใหบรการใหแกพนกงานเจาหนาท
(๔) ทาสาเนาขอมลคอมพวเตอร ขอมลจราจรทางคอมพวเตอร จากระบบคอมพวเตอร ทมเหตอนควรเชอไดวามการกระทาความผดตามพระราชบญญตน ในกรณทระบบคอมพวเตอรนนยงมไดอยในความครอบครองของพนกงานเจาหนาท
(๕) สงใหบคคลซงครอบครองหรอควบคมขอมลคอมพวเตอร หรออปกรณทใชเกบขอมลคอมพวเตอร สงมอบขอมลคอมพวเตอร หรออปกรณดงกลาวใหแกพนกงานเจาหนาท
(๖) ตรวจสอบหรอเขาถงระบบคอมพวเตอร ขอมลคอมพวเตอร ขอมลจราจรทางคอมพวเตอร หรออปกรณทใชเกบขอมลคอมพวเตอรของบคคลใด อนเปนหลกฐานหรออาจใชเปนหลกฐานเกยวกบการกระทาความผด หรอเพอสบสวนหาตวผกระทาความผดและสงใหบคคลนนสงขอมลคอมพวเตอร ขอมลจราจรทางคอมพวเตอร ทเกยวของเทาทจาเปนใหดวยกได
หนา ๙ เลม ๑๒๔ ตอนท ๒๗ ก ราชกจจานเบกษา ๑๘ มถนายน ๒๕๕๐
(๗) ถอดรหสลบของขอมลคอมพวเตอรของบคคลใด หรอสงใหบคคลทเกยวของกบการเขารหสลบของขอมลคอมพวเตอร ทาการถอดรหสลบ หรอใหความรวมมอกบพนกงานเจาหนาทในการถอดรหสลบดงกลาว
(๘) ยดหรออายดระบบคอมพวเตอรเทาทจาเปนเฉพาะเพอประโยชนในการทราบรายละเอยดแหงความผดและผกระทาความผดตามพระราชบญญตน
มาตรา ๑๙ การใชอานาจของพนกงานเจาหนาทตามมาตรา ๑๘ (๔) (๕) (๖) (๗) และ (๘) ใหพนกงานเจาหนาทยนคารองตอศาลทมเขตอานาจเพอมคาสงอนญาตใหพนกงานเจาหนาทดาเนนการตามคารอง ทงน คารองตองระบเหตอนควรเชอไดวาบคคลใดกระทาหรอกาลงจะกระทาการอยางหนงอยางใดอนเปนความผดตามพระราชบญญตน เหตทตองใชอานาจ ลกษณะของการกระทาความผด รายละเอยดเกยวกบอปกรณทใชในการกระทาความผดและผกระทาความผด เทาทสามารถ จะระบได ประกอบคารองดวยในการพจารณาคารองใหศาลพจารณาคารองดงกลาวโดยเรว
เมอศาลมคาสงอนญาตแลว กอนดาเนนการตามคาสงของศาล ใหพนกงานเจาหนาทสงสาเนาบนทกเหตอนควรเชอททาใหตองใชอานาจตามมาตรา ๑๘ (๔) (๕) (๖) (๗) และ (๘) มอบใหเจาของหรอผครอบครองระบบคอมพวเตอรนนไวเปนหลกฐาน แตถาไมมเจาของหรอผครอบครองเครองคอมพวเตอรอย ณ ทนน ใหพนกงานเจาหนาทสงมอบสาเนาบนทกนนใหแกเจาของหรอ ผครอบครองดงกลาวในทนททกระทาได
ใหพนกงานเจาหนาทผเปนหวหนาในการดาเนนการตามมาตรา ๑๘ (๔) (๕) (๖) (๗) และ (๘) สงสาเนาบนทกรายละเอยดการดาเนนการและเหตผลแหงการดาเนนการใหศาลทมเขตอานาจภายในสสบแปดชวโมงนบแตเวลาลงมอดาเนนการ เพอเปนหลกฐาน
การทาสาเนาขอมลคอมพวเตอรตามมาตรา ๑๘ (๔) ใหกระทาไดเฉพาะเมอมเหตอนควรเชอไดวามการกระทาความผดตามพระราชบญญตน และตองไมเปนอปสรรคในการดาเนนกจการของเจาของหรอผครอบครองขอมลคอมพวเตอรนนเกนความจาเปน
การยดหรออายดตามมาตรา ๑๘ (๘) นอกจากจะตองสงมอบสาเนาหนงสอแสดงการยดหรออายดมอบใหเจาของหรอผครอบครองระบบคอมพวเตอรนนไวเปนหลกฐานแลวพนกงานเจาหนาทจะสงยดหรออายดไวเกนสามสบวนมได ในกรณจาเปนทตองยดหรออายดไวนานกวานน ใหยนคารอง ตอศาลทมเขตอานาจเพอขอขยายเวลายดหรออายดได แตศาลจะอนญาตใหขยายเวลาครงเดยวหรอหลายครงรวมกนไดอกไมเกนหกสบวน เมอหมดความจาเปนทจะยดหรออายดหรอครบกาหนดเวลาดงกลาวแลว พนกงานเจาหนาทตองสงคนระบบคอมพวเตอรทยดหรอถอนการอายดโดยพลน
หนา ๑๐ เลม ๑๒๔ ตอนท ๒๗ ก ราชกจจานเบกษา ๑๘ มถนายน ๒๕๕๐
หนงสอแสดงการยดหรออายดตามวรรคหาใหเปนไปตามทกาหนดในกฎกระทรวง มาตรา ๒๐ ในกรณทการกระทาความผดตามพระราชบญญตน เปนการทาใหแพรหลาย
ซงขอมลคอมพวเตอรทอาจกระทบกระเทอนตอความมนคงแหงราชอาณาจกรตามทกาหนดไวในภาคสอง ลกษณะ ๑ หรอลกษณะ ๑/๑ แหงประมวลกฎหมายอาญา หรอทมลกษณะขดตอความสงบเรยบรอยหรอศลธรรมอนดของประชาชน พนกงานเจาหนาทโดยไดรบความเหนชอบจากรฐมนตรอาจยนคารองพรอมแสดงพยานหลกฐานตอศาลทม เขตอานาจขอใหม คาสงระงบการทาใหแพรหลายซงขอมล คอมพวเตอรนนได
ในกรณทศาลมคาสงใหระงบการทาใหแพรหลายซงขอมลคอมพวเตอรตามวรรคหนง ให พนกงานเจาหนาททาการระงบการทาใหแพรหลายนนเอง หรอสงใหผใหบรการระงบการทาใหแพรหลายซงขอมลคอมพวเตอรนนกได
มาตรา ๒๑ ในกรณทพนกงานเจาหนาทพบวา ขอมลคอมพวเตอรใดมชดคาสงไมพงประสงครวมอยดวย พนกงานเจาหนาทอาจยนคารองตอศาลทมเขตอานาจเพอขอใหมคาสงหามจาหนายหรอเผยแพร หรอสงใหเจาของหรอผครอบครองขอมลคอมพวเตอรนนระงบการใช ทาลาย หรอแกไขขอมลคอมพวเตอรนนได หรอจะกาหนดเงอนไขในการใช มไวในครอบครอง หรอ เผยแพรชดคาสงไมพงประสงคดงกลาวกได
ชดคาสงไมพงประสงคตามวรรคหนงหมายถงชดคาสงทมผลทาใหขอมลคอมพวเตอร หรอระบบคอมพวเตอรหรอชดคาสงอนเกดความเสยหาย ถกทาลาย ถกแกไขเปลยนแปลงหรอเพมเตม ขดของ หรอปฏบตงานไมตรงตามคาสงทกาหนดไว หรอโดยประการอนตามทกาหนดในกฎกระทรวง ทงน เวนแตเปนชดคาสงทมงหมายในการปองกนหรอแกไขชดคาสงดงกลาวขางตน ตามทรฐมนตรประกาศในราชกจจานเบกษา
มาตรา ๒๒ หามมใหพนกงานเจาหนาท เปดเผยหรอสงมอบขอมลคอมพวเตอร ขอมล จราจรทางคอมพวเตอร หรอขอมลของผใชบรการ ทไดมาตามมาตรา ๑๘ ใหแกบคคลใด
ความในวรรคหนงมใหใชบงคบกบการกระทาเพอประโยชนในการดาเนนคดกบผกระทาความผดตามพระราชบญญตน หรอเพอประโยชนในการดาเนนคดกบพนกงานเจาหนาทเกยวกบการใชอานาจหนาทโดยมชอบ หรอเปนการกระทาตามคาสงหรอทไดรบอนญาตจากศาล
พนกงานเจาหนาทผใดฝาฝนวรรคหนงตองระวางโทษจาคกไมเกนสามป หรอปรบไมเกน หกหมนบาท หรอทงจาทงปรบ
หนา ๑๑ เลม ๑๒๔ ตอนท ๒๗ ก ราชกจจานเบกษา ๑๘ มถนายน ๒๕๕๐
มาตรา ๒๓ พนกงานเจาหนาทผใดกระทาโดยประมาทเปนเหตใหผอนลวงรขอมลคอมพวเตอร ขอมลจราจรทางคอมพวเตอร หรอขอมลของผใชบรการ ทไดมาตามมาตรา ๑๘ ตองระวางโทษจาคกไมเกนหนงป หรอปรบไมเกนสองหมนบาท หรอทงจาทงปรบ
มาตรา ๒๔ ผใดลวงรขอมลคอมพวเตอร ขอมลจราจรทางคอมพวเตอรหรอขอมลของผใชบรการ ทพนกงานเจาหนาทไดมาตามมาตรา ๑๘ และเปดเผยขอมลนนตอผหนงผใด ตองระวางโทษจาคกไมเกนสองป หรอปรบไมเกนสหมนบาท หรอทงจาทงปรบ
มาตรา ๒๕ ขอมล ขอมลคอมพวเตอร หรอขอมลจราจรทางคอมพวเตอรทพนกงานเจาหนาทไดมาตามพระราชบญญตน ใหอางและรบฟงเปนพยานหลกฐานตามบทบญญตแหงประมวลกฎหมายวธพจารณาความอาญาหรอกฎหมายอนอนวาดวยการสบพยานได แตตองเปนชนดทมไดเกดขนจากการจงใจ มคามนสญญา ขเขญ หลอกลวง หรอโดยมชอบประการอน
มาตรา ๒๖ ผใหบรการตองเกบรกษาขอมลจราจรทางคอมพวเตอรไวไมนอยกวาเกาสบวนนบแตวนทขอมลนนเขาสระบบคอมพวเตอร แตในกรณจาเปนพนกงานเจาหนาทจะสงใหผใหบรการผใดเกบรกษาขอมลจราจรทางคอมพวเตอรไวเกนเกาสบวนแตไมเกนหนงปเปนกรณพเศษเฉพาะรายและเฉพาะคราวกได
ผใหบรการจะตองเกบรกษาขอมลของผใชบรการเทาทจาเปนเพอใหสามารถระบตวผใชบรการนบตงแตเรมใชบรการและตองเกบรกษาไวเปนเวลาไมนอยกวาเกาสบวนนบตงแตการใชบรการสนสดลง
ความในวรรคหนงจะใชกบผใหบรการประเภทใด อยางไร และเมอใด ใหเปนไปตามทรฐมนตรประกาศในราชกจจานเบกษา
ผใหบรการผใดไมปฏบตตามมาตราน ตองระวางโทษปรบไมเกนหาแสนบาท มาตรา ๒๗ ผใดไมปฏบตตามคาสงของศาลหรอพนกงานเจาหนาททสงตามมาตรา ๑๘
หรอมาตรา ๒๐ หรอไมปฏบตตามคาสงของศาลตามมาตรา ๒๑ ตองระวางโทษปรบไมเกนสองแสนบาท และปรบเปนรายวนอกไมเกนวนละหาพนบาทจนกวาจะปฏบตใหถกตอง
มาตรา ๒๘ การแตงตงพนกงานเจาหนาทตามพระราชบญญตน ใหรฐมนตรแตงตงจากผมความรและความชานาญเกยวกบระบบคอมพวเตอรและมคณสมบตตามทรฐมนตรกาหนด
มาตรา ๒๙ ในการปฏบตหนาทตามพระราชบญญตน ใหพนกงานเจาหนาทเปนพนกงานฝายปกครองหรอตารวจชนผใหญตามประมวลกฎหมายวธพจารณาความอาญามอานาจรบคารองทกขหรอรบคากลาวโทษ และมอานาจในการสบสวนสอบสวนเฉพาะความผดตามพระราชบญญตน
หนา ๑๒ เลม ๑๒๔ ตอนท ๒๗ ก ราชกจจานเบกษา ๑๘ มถนายน ๒๕๕๐
ในการจบ ควบคม คน การทาสานวนสอบสวนและดาเนนคดผกระทาความผดตามพระราชบญญตน บรรดาทเปนอานาจของพนกงานฝายปกครองหรอตารวจชนผใหญ หรอพนกงานสอบสวนตามประมวลกฎหมายวธพจารณาความอาญา ใหพนกงานเจาหนาทประสานงานกบพนกงานสอบสวนผรบผดชอบเพอดาเนนการตามอานาจหนาทตอไป
ใหนายกรฐมนตรในฐานะผกากบดแลสานกงานตารวจแหงชาตและรฐมนตรมอานาจรวมกนกาหนดระเบยบเกยวกบแนวทางและวธปฏบตในการดาเนนการตามวรรคสอง
มาตรา ๓๐ ในการปฏบ ตหนาท พนกงานเจาหนาทตองแสดงบตรประจาตวตอบคคล ซงเกยวของ
บตรประจาตวของพนกงานเจาหนาทใหเปนไปตามแบบทรฐมนตรประกาศในราชกจจานเบกษา
ผรบสนองพระบรมราชโองการ พลเอก สรยทธ จลานนท
นายกรฐมนตร
หนา ๑๓ เลม ๑๒๔ ตอนท ๒๗ ก ราชกจจานเบกษา ๑๘ มถนายน ๒๕๕๐
หมายเหต :- เหตผลในการประกาศใชพระราชบญญตฉบบน คอ เนองจากในปจจบนระบบคอมพวเตอรไดเปนสวนสาคญของการประกอบกจการและการดารงชวตของมนษย หากมผกระทาดวยประการใด ๆ ใหระบบคอมพวเตอรไมสามารถทางานตามคาสงทกาหนดไวหรอทาใหการทางานผดพลาดไปจากคาสงทกาหนดไว หรอ ใชวธการใด ๆ เขาลวงรขอมล แกไข หรอทาลายขอมลของบคคลอนในระบบคอมพวเตอรโดยมชอบ หรอ ใชระบบคอมพวเตอรเพอเผยแพรขอมลคอมพวเตอรอนเปนเทจหรอมลกษณะอนลามกอนาจาร ยอมกอใหเกด ความเสยหาย กระทบกระเทอนตอเศรษฐกจ สงคม และความมนคงของรฐ รวมทงความสงบสขและศลธรรม อนดของประชาชน สมควรกาหนดมาตรการเพอปองกนและปราบปรามการกระทาดงกลาว จงจา เปน ตองตราพระราชบญญตน
ทปรกษา นายอภชาต โตดลกเวชช อธบดกรมการพฒนาชมชน นายอรรษษฐ สมพนธรตน รองอธบดกรมการพฒนาชมชน นายทวป บตรโพธ รองอธบดกรมการพฒนาชมชน
คณะผจดท า นายธงชย บตรนชต ผอ านวยการศนยสารสนเทศเพอการพฒนาชมชน นางสาวพมพรรณ พนธศร ผอ านวยการกลมงานประสานแผนและขอมล นางวฒนาพร ฉมสวรรณ ผอ านวยการกลมงานขอมลพนฐานการพฒนาชนบท นางกาญจนวรรณ ชวยมนคง ผอ านวยการกลมงานระบบสารสนเทศชมชน นายอดศร สทธเลศ ผอ านวยการกลมงานพฒนาระบบเทคโนโลยสารสนเทศ นางสาวทพพรรณ ไชยปถมภ ผอ านวยการกลมงานพฒนาระบบเครอขาย นางสาวทกษณานนท สบสมมา หวหนาฝายอ านวยการ นางสาวปวณรตน บตรวงศ นกวชาการพฒนาชมชนช านาญการ นายยทธชย เครอแกว นกวชาการคอมพวเตอรช านาญการ นายกฤชณท เพญภกด นกวชาการพฒนาชมชนปฏบตการ วาท ร.ต.ศรายทธ พทรสกล นกวชาการคอมพวเตอร (พนกงานราชการ)
ผตรวจสอบรปแบบและเนอหา กลมงานพฒนาระบบเครอขาย
