Embed Size (px)
Citation preview
ค าน า
ระบบเทคโนโลยสารสนเทศเปนสงส าคญส าหรบองคกรในปจจบน เพราะเขามาชวยอ านวยความสะดวกในการด าเนนงาน ท าใหการเขาถงขอมลมความรวดเรว การตดตอสอสารมประสทธภาพ และชวยประหยดตนทนในการด าเนนงานดานตางๆ ของหนวยงาน แตในขณะเดยวกนกท าใหหนวยงานมความเสยงเพมขนจากภยคมคามของระบบเทคโนโลยสารสนเทศ ซงอาจสรางความเสยหายตอการปฏบตราชการได เนองจากระบบเทคโนโลยสารสนเทศมการเชอมโยงขอมลไปยงหนวยงานตางๆ สงผลใหชองทางในการถกบกรกเปดกวางขนและอาจกอใหเกดเหตอาชญากรรมทางคอมพวเตอรกบหนวยงานไดหลายรปแบบ เชน โปรแกรมประสงคราย หรอการบกรกโจมตผานระบบเครอขายอนเตอรเนต เพอกอกวนใหระบบใชการไมได รวมถงการขโมยขอมลหรอความลบทางราชการ สงผลใหหนวยงานสญเสยชอเสยงหรอภาพพจนได ดงนนผใชบรการและผดแลระบบงานดานเทคโนโลยสารสนเทศและการสอสาร จงมความจ าเปนจะตองตระหนกถงการใหการดแลบ ารงรกษา และการควบคมรกษาความมนคงปลอดภย ดานสารสนเทศเปนอยางยง
ดงนน ส านกงานสภาความมนคงแหงชาต จงจดท าแนวนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศขององคกร เพอใหการด าเนนงานดวยวธการทางอเลกทรอนกสมความมนคงปลอดภยและเชอถอได เปนไปตามกฎหมายและระเบยบปฏบตทเกยวของ
ทงน นโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศของหนวยงานนน ตองไดรบความรวมมอในการปฏบตตามและตองท าอยางตอเนอง มการตรวจสอบอยางสม าเสมอ และปรบปรงเพอใหสอดคลอง กบการพฒนาของเทคโนโลยท เปลยนแปลงไปอยางรวดเรว จงหวงเปนอยางยงวา แนวนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศฉบบน จะเปนเครองมอใหกบผใชบรการ ผดแลระบบ และผทเกยวของกบระบบเทคโนโลยสารสนเทศของ ส านกงานสภาความมนคงแหงชาต ทกคน ในการดแลรกษาความมนคงปลอดภยระบบเทคโนโลยสารสนเทศของหนวยงานตอไป
สารบญ
หนา
บทท ๑ การรกษาความมนคงปลอดภยทางดานกายภาพและสงแวดลอม ................................................ ๑-๑
๑. วตถประสงค ............................................................................................................................................. ๑-๑
๑. การก าหนดบรเวณทตองมการรกษาความมนคงปลอดภย ........................................................................... ๑-๑
๒. การควบคมการเขาออก อาคาร สถานท ..................................................................................................... ๑-๑
บทท ๒ การควบคมการเขาออกหองศนยคอมพวเตอร............................................................................ ๒-๑
๑. วตถประสงค ............................................................................................................................................. ๒-๑
๒. ค าจ ากดความของผเกยวของ ..................................................................................................................... ๒-๑
๓. บทบาทและความรบผดชอบ ..................................................................................................................... ๒-๑
๔. กระบวนการควบคมการเขาออกหองศนยคอมพวเตอร ............................................................................... ๒-๑
บทท ๓ การควบคมการเขาถงระบบเทคโนโลยสารสนเทศ ...................................................................... ๓-๑
๑. วตถประสงค ............................................................................................................................................. ๓-๑
๒. การก าหนดล าดบความส าคญของขอมลและการใชงานขอมล ...................................................................... ๓-๑
๓. กระบวนการหลกในการควบคมการเขาถงระบบ......................................................................................... ๓-๒
๔. การควบคมการเขาถงระบบเทคโนโลยสารสนเทศ ...................................................................................... ๓-๒
๕. การบรหารจดการการเขาถงของผใช .......................................................................................................... ๓-๓
๖. การบรหารจดการการเขาถงระบบเครอขาย ............................................................................................... ๓-๔
๗. การบรหารจดการระบบคอมพวเตอรแมขาย .............................................................................................. ๓-๕
๘. การบรหารจดการการบนทกและตรวจสอบ ............................................................................................... ๓-๖
๙. การควบคมการเขาใชงานระบบจากภายนอก ............................................................................................. ๓-๖
๑๐. การพสจนตวตนส าหรบผใชทอยภายนอก .................................................................................................. ๓-๗
บทท ๔ การควบคมหนวยงานภายนอกเขาถงระบบเทคโนโลยสารสนเทศ ............................................... ๔-๑
๑. วตถประสงค ............................................................................................................................................. ๔-๑
๒. แนวทางปฏบต ......................................................................................................................................... ๔-๑
บทท ๕ การใชงานเครองคอมพวเตอรสวนบคคล ................................................................................... ๕-๑
๑. วตถประสงค ............................................................................................................................................. ๕-๑
๒. การใชงานทวไป ........................................................................................................................................ ๕-๑
๓. การควบคมการเขาถงระบบปฏบตการ ....................................................................................................... ๕-๑
๔. แนวทางปฏบตในการใชรหสผาน ............................................................................................................... ๕-๒
๕. การปองกนจากโปรแกรมชดค าสงไมพงประสงค(MALWARE) ....................................................................... ๕-๒
๖. การส ารองขอมลและการกคน ................................................................................................................... ๕-๒
บทท ๖ การใชงานเครองคอมพวเตอรแบบพกพา ................................................................................... ๖-๑
๑. วตถประสงค ............................................................................................................................................. ๖-๑
๒. การใชงานทวไป ........................................................................................................................................ ๖-๑
๓. ความปลอดภยทางดานกายภาพ ................................................................................................................ ๖-๒
๔. การควบคมการเขาถงระบบปฏบตการ ....................................................................................................... ๖-๒
๕. แนวทางปฏบตในการใชรหสผาน ............................................................................................................... ๖-๒
๖. การปองกนจากโปรแกรมชดค าสงไมพงประสงค(MALWARE) ....................................................................... ๖-๒
๗. การส ารองขอมลและการกคน ................................................................................................................... ๖-๓
บทท ๗ การใชงานอนเทอรเนต ............................................................................................................. ๗-๑
๑. วตถประสงค ............................................................................................................................................. ๗-๑
๒. แนวทางปฏบตในการใชงานอนเทอรเนต.................................................................................................... ๗-๑
บทท ๘ การใชงานจดหมายอเลกทรอนกส ............................................................................................. ๘-๑
๑. วตถประสงค ............................................................................................................................................. ๘-๑
๒. แนวทางปฏบตในการสงจดหมายอเลกทรอนกส ......................................................................................... ๘-๑
บทท ๙ การควบคมการเขาถงระบบเครอขายไรสาย .............................................................................. ๙-๑
๑. วตถประสงค ............................................................................................................................................. ๙-๑
๒. แนวทางปฏบตในการควบคมการเขาถงระบบเครอขายไรสาย ..................................................................... ๙-๑
บทท ๑๐ การใชงานระบบไฟรวอลล ................................................................................................... ๑๐-๑
๑. วตถประสงค .......................................................................................................................................... ๑๐-๑
๒. แนวทางปฏบตในการรกษาความปลอดภยไฟรวอลล (FIREWALL) ............................................................. ๑๐-๑
บทท ๑๑ การใชงานระบบตรวจจบและปองกนผบกรก ........................................................................ ๑๑-๑
๑. วตถประสงค .......................................................................................................................................... ๑๑-๑
๒. แนวทางปฏบตในการงานระบบตรวจจบและปองกนผบกรก .................................................................... ๑๑-๑
บทท ๑๒ การรกษาสภาพความพรอมใชงานของการใหบรการ.............................................................. ๑๒-๑
๑. วตถประสงค .......................................................................................................................................... ๑๒-๑
๒. แนวทางปฏบตในการส ารองขอมล ระบบส ารอง และการปฏบตงานในสภาวะฉกเฉน ................................ ๑๒-๑
บทท ๑๓ การตรวจสอบและประเมนความเสยงดานสารสนเทศ ............................................................ ๑๓-๑
๑. วตถประสงค .......................................................................................................................................... ๑๓-๑
๒. แนวทางปฏบตในการตรวจสอบและประเมนความเสยงดานสารสนเทศ.................................................... ๑๓-๑
ภาคผนวก ............................................................................................................................................. ก-๑
ภาคผนวก ก รายชอคณะกรรมการ ................................................................................................................... ก-๑
โครงการจดท าแผนแมบท ICT นโยบายและแนวปฏบตตามมาตรฐาน ISO 27001 หนา ๑
นโยบายการรกษาความมนคงปลอดภยของระบบเทคโนโลยสารสนเทศ ส านกงานสภาความมนคงแหงชาต
๑. วตถประสงคและขอบเขต
เพอใหระบบเทคโนโลยสารสนเทศของส านกงานสภาความมนคงแหงชาต หรอตอไปนเรยกวา “องคกร” เปนไปอยางเหมาะสม มประสทธภาพ มความมนคงปลอดภยและสามารถด าเนนงานไดอยางตอเนอง รวมทงปองกนปญหาทอาจจะเกดขนจากการใชงานระบบเทคโนโลยสารสนเทศในลกษณะทไมถกตองและการถกคกคามจากภยตาง ๆ องคกรจงเหนสมควรก าหนดนโยบายการรกษาความมนคงปลอดภยของระบบเทคโนโลยสารสนเทศ โดยก าหนดใหมมาตรฐาน(Standard) แนวปฏบต(Guideline) ขนตอนปฏบต(Procedure) ใหครอบคลมดานการรกษาความมนคงปลอดภยระบบเทคโนโลยสารสนเทศและปองกนภยคกคามตาง ๆ โดยมวตถประสงค ดงตอไปน
๑.๑ การจดท านโยบายการรกษาความมนคงปลอดภยของระบบเทคโนโลยสารสนเทศและการสอสารเพอใหเกดความเชอมนและมความมนคงปลอดภยในการใชงานระบบเทคโนโลยสารสนเทศและการสอสารหรอเครอขายคอมพวเตอรขององคกร ท าใหด าเนนงานไดอยามประสทธภาพและประสทธผล
๑.๒ ก าหนดขอบเขตของการบรหารจดการความมนคงปลอดภยระบบเทคโนโลยสารสนเทศและการสอสาร อางองตามมาตรฐาน ISO/IEC 27001 และมการปรบปรงอยางตอเนอง
๑.๓ นโยบายนจะตองท าการเผยแพรใหเจาหนาททกระดบในองคกรไดรบทราบและเจาหนาททกคนจะตองลงนามยอมรบและปฏบตตามนโยบายนอยางเครงครด
๑.๔ เพอก าหนดมาตรฐาน แนวทางปฏบตและวธปฏบต ใหผบรหาร เจาหนาท ผดแลระบบและบคคลภายนอกทปฏบตงานใหกบองคกร ตระหนกถงความส าคญของการรกษาความมนคงปลอดภยในการใชงานระบบเทคโนโลยสารสนเทศและการสอสารขององคกรในการด าเนนงานและปฏบตตามอยางเครงครด
๑.๕ นโยบายนตองมการด าเนนการตรวจสอบและประเมนนโยบายตามระยะเวลา ๑ ครงตอป หรอตามทระบบไวในเอกสาร “การตรวจสอบประเมนนโยบาย”
โครงการจดท าแผนแมบท ICT นโยบายและแนวปฏบตตามมาตรฐาน ISO 27001 หนา ๒
๒. องคประกอบของนโยบาย ๒.๑ ค านยาม ๒.๒ การรกษาความมนคงปลอดภยทางกายภาพและสงแวดลอม ๒.๓ การควบคมการเขาออกหองศนยคอมพวเตอร ๒.๔ การควบคมการเขาถงระบบเทคโนโลยสารสนเทศ ๒.๕ การควบคมหนวยงานภายนอกเขาถงระบบเทคโนโลยสารสนเทศ ๒.๖ การใชงานเครองคอมพวเตอรสวนบคคล ๒.๗ การใชงานเครองคอมพวเตอรแบบพกพา ๒.๘ การใชงานอนเทอรเนต ๒.๙ การใชงานจดหมายอเลกทรอนกส ๒.๑๐ การควบคมการเขาถงระบบเครอขายไรสาย ๒.๑๑ การใชงานระบบไฟรวอลล ๒.๑๒ การใชงานระบบตรวจจบและปองกนผบกรก ๒.๑๓ การรกษาสภาพความพรอมใชงานของการใหบรการ ๒.๑๔ การตรวจสอบและประเมนความเสยงดานสารสนเทศ
องคประกอบของนโยบายการรกษาความมนคงปลอดภยของระบบเทคโนโลยสารสนเทศและการ
สอสารขององคกร แตละสวนทกลาวขางตนจะประกอบดวยวตถประสงค รายละเอยดของมาตรฐาน(Standard) แนวทางปฏบต (Guideline) และขนตอนวธการปฏบต (Procedure) ในการรกษาความมนคงปลอดภยระบบเทคโนโลยสารสนเทศขององคกร เพอทจะท าใหองคกรมมาตรการในการรกษาความมนคงปลอดภยระบบเทคโนโลยสารสนเทศและการสอสารอยในระดบทปลอดภย ชวยลดความเสยหายตอการด าเนนงาน ทรพยสน บคลากร ขององคกร ท าใหสามารถด าเนนงานไดอยางมนคงปลอดภย นโยบายการเขาใชงานระบบเทคโนโลยสารสนเทศและการสอสารขององคกรน จดเปนมาตรฐานดานความปลอดภยในการใชงานระบบเทคโนโลยสารสนเทศและการสอสารขององคกร ซงเจาหนาทขององคกรและหนวยงานภายนอกจะตองปฏบตตามอยางเครงครด
โครงการจดท าแผนแมบท ICT นโยบายและแนวปฏบตตามมาตรฐาน ISO 27001 หนา ๓
ค านยาม ค านยามทใชในนโยบายน ประกอบดวย
องคกร หมายถง ส านกงานสภาความมนคงแหงชาต ผบงคบบญชา หมายถง ผมอ านาจสงการตามโครงสรางการบรหารขององคกร ศนยเทคโนโลยสารสนเทศ หมายถง กลมงานสารสนเทศความมนคง ทปฏบตงานเปนศนยเทคโนโลย
สารสนเทศ ใหบรการดานงานเทคโนโลยสารสนเทศและการสอสาร ใหค าปรกษา พฒนาปรบปรง บ ารงรกษาระบบคอมพวเตอรและเครอขายภายในองคกร
หวหนากลมงานสารสนเทศความมนคง หมายถง ผมอ านาจในดานเทคโนโลยสารสนเทศและการสอสารขององคกร ซงบทบาทหนาทและความรบผดชอบในสวนของการก าหนดนโยบายมาตรฐาน การควบคมดแลการใชงานระบบเทคโนโลยสารสนเทศและการสอสาร
การรกษาความมนคงปลอดภย หมายถง การรกษาความมนคงปลอดภยส าหรบระบบเทคโนโลยสารสนเทศและการสอสารขององคกร
มาตรฐาน (Standard) หมายถง บรรทดฐานทบงคบใชในการปฏบตการจรงเพอใหไดตามวตถประสงคหรอเปาหมาย
วธการปฏบต (Procedure) หมายถง รายละเอยดทบอกขนตอนเปนขอ ๆ ทตองน ามาปฏบต เพอใหไดมาซงมาตรฐานทไดก าหนดไวตามวตถประสงค
แนวทางปฏบต (Guideline) หมายถง หมายถงแนวทางทไมไดบงคบใหปฏบต แตแนะน าใหปฏบตตามเพอใหสามารถบรรลเปาหมายไดงายขน
ผใช หมายถง บคคลทไดรบอนญาต (Authorized user) ใหสามารถเขาใชงาน บรหาร หรอดแลรกษาระบบเทคโนโลยสารสนเทศขององคกร โดยมสทธและหนาทขนอยกบบทบาท (Role) ซงองคกรก าหนดไว ดงน
o ผบรหาร หมายถง ผมอ านาจบรหารในระดบสงขององคกร เชน หวหนาหนวยงานราชการ เปนตน
o ผดแลระบบ (System Administrator) หมายถง เจาหนาททไดรบมอบหมายจากผบงคบบญชาใหมหนาทรบผดชอบในการดแลรกษาระบบและเครอขายคอมพวเตอรซงสามารถเขาถงโปรแกรมเครอขายคอมพวเตอร เพอการจดการฐานขอมลของเครอขายคอมพวเตอร
o เจาหนาท หมายถง ขาราชการ พนกงานราชการ ลกจางชวคราว ลกจางประจ า และเจาหนาทประจ าโครงการขององคกร
หนวยงานภายนอก หมายถง องคกรหรอหนวยงานภายนอก ทส านกงานสภาความมนคงแหงชาตอนญาตใหมสทธในการเขาถงและใชงานขอมลหรอทรพยสนตาง ๆ ของหนวยงาน โดยจะไดรบสทธในการใชระบบตามอ านาจหนาทและตองรบผดชอบในการกษาความลบของขอมล
ขอมลคอมพวเตอร หมายถง ขอมล ขอความ ค าสง ชดค าสง หรอสงอนใด บรรดาทอยในระบบคอมพวเตอรในสภาพท ระบบคอมพวเตอร อาจประมวลผลได และใหหมายความรวมถง ขอมลอเลกทรอนกสตามกฎหมายวาดวยธรกรรมอเลกทรอนกส
โครงการจดท าแผนแมบท ICT นโยบายและแนวปฏบตตามมาตรฐาน ISO 27001 หนา ๔
สารสนเทศ (Information) หมายถง ขอเทจจรงทไดจากขอมลน ามาผานการประมวลผล การจดระเบยบใหขอมลซงอาจอยในรปของตวเลข ขอความ หรอภาพกราฟก ใหเปนระบบทผใชสามารถเขาใจไดงาย และสามารถน าไปใชประโยชนในการบรหาร การวางแผน การตดสนใจ และอน ๆ
ระบบคอมพวเตอร หมายถง อปกรณหรอชดอปกรณของคอมพวเตอรทเชอมการท างานเขาดวยกนโดยไดมการก าหนดค าสง ชดค าสง หรอสงอนใด และแนวทางปฏบตงานใหอปกรณหรอชดอปกรณท าหนาทประมวลผลขอมลโดยอตโนมต
ระบบเครอขาย (Network System) หมายถง ระบบทสามารถใชในการตดตอสอสารหรอการสงขอมลและสารสนเทศระหวางระบบเทคโนโลยสารสนเทศตาง ๆ ขององคกรได เชน ระบบ LAN, ระบบ Intranet, ระบบ Internet เปนตน
o ระบบ LAN และระบบ Intranet หมายถง ระบบเครอขายอเลกทรอนกสทเชอมตอระบบคอมพวเตอรตาง ๆ ภายในหนวยงานเขาดวยกน เปนเครอขายทมจดประสงคเพอการตดตอสอสารแลกเปลยนขอมลและสารสนเทศภายในหนวยงาน
o ระบบ Internet หมายถง ระบบเครอขายอเลกทรอนกสทเชอมตอระบบเครอขายคอมพวเตอรตาง ๆ ของหนวยงานเขากบเครอขายอนเทอรเนตทวโลก
ระบบเทคโนโลยสารสนเทศ (Information Technology System) หมายถง ระบบงานของหนวยงานทน าเอาเทคโนโลยสารสนเทศ ระบบคอมพวเตอร และระบบเครอขายมาชวยในการสรางสารสนเทศทหนวยงานสามารถน ามาใชประโยชนในการวางแผน การบรหาร การสนบสนนการใหบรการ การพฒนาและควบคมการตดตอสอสาร ซงมองคประกอบ เชน ระบบคอมพวเตอร ระบบเครอขาย โปรแกรม ขอมล และสารสนเทศ เปนตน
พนทใชงานระบบเทคโนโลยสารสนเทศและการสอสาร (Information System Workspace) หมายถง พนททหนวยงานอนญาตใหมการใชงานระบบเทคโนโลยสารสนเทศและการสอสาร โดยแบงเปน
o พนทท างานทวไป (General working area) หมายถง พนทตดตงเครองคอมพวเตอรสวนบคคล และคอมพวเตอรพกพาทประจ าโตะท างาน
o พนทท างานของผดแลระบบ (System administrator area) o พนทตดตงอปกรณระบบเทคโนโลยสารสนเทศหรอระบบเครอขาย (IT equipment or
network area) o พนทจดเกบขอมลคอมพวเตอร (Data storage area) o พนทใชงานระบบเครอขายไรสาย (Wireless LAN coverage area)
เจาของขอมล หมายถง ผไดรบมอบอ านาจจากผบงคบบญชาใหรบผดชอบขอมลของระบบงานโดยเจาของขอมลเปนผรบผดชอบขอมลนน ๆ หรอ ไดรบผลกระทบโดยตรงหากขอมลเหลานนเกดสญหาย
ทรพยสน หมายถง ขอมล ระบบขอมล และทรพยสนดานเทคโนโลยสารสนเทศและการสอสารของหนวยงาน เชน อปกรณระบบเครอขาย ซอฟทแวรทมลขสทธ เปนตน
จดหมายอเลกทรอนกส (e-mail) หมายถง ระบบทบคคลใชในการรบสงขอความระหวางกนโดยผานเครองคอมพวเตอรและเครอขายทเชอมโยงถงกน ขอมลทสงจะเปนไดทงตวอกษร ภาพถาย ภาพกราฟก ภาพเคลอนไหว และเสยง ผสงสามารถสงขาวสารไปยงผรบคนเดยวหรอหลายคนกได มาตรฐานทใชในการรบสงขอมลชนดน ไดแก SMTP, POP3 และ IMAP เปนตน
โครงการจดท าแผนแมบท ICT นโยบายและแนวปฏบตตามมาตรฐาน ISO 27001 หนา ๕
รหสผาน (Password) หมายถง ตวอกษรหรออกขระหรอตวเลข ทใชเปนเครองมอในการตรวจสอบยนยนตวบคคล เพอควบคมการเขาถงขอมลและระบบขอมลในการรกษาความมนคงปลอดภยของขอมลและระบบเทคโนโลยสารสนเทศ
ชดค าสงไมพงประสงค หมายถง ชดค าสงทมผลท าใหคอมพวเตอร หรอระบบคอมพวเตอรหรอชดค าสงอนเกดความเสยหาย ถกท าลาย ถกแกไขเปลยนแปลงหรอเพมเตม ขดของหรอปฏบตงานไมตรงตามค าสงทก าหนดไว
โครงการจดท าแผนแมบท ICT นโยบายและแนวปฏบตตามมาตรฐาน ISO 27001 หนา ๑-๑
บทท ๑ การรกษาความมนคงปลอดภยทางดานกายภาพและสงแวดลอม (Physical and environment security)
๑. วตถประสงค
ก าหนดเปนมาตรการควบคมและปองกนเพอการรกษาความมนคงปลอดภยทเกยวของกบการเขาใชงานหรอการเขาถงอาคาร สถานท และพนทใชงานระบบเทคโนโลยสารสนเทศ โดยพจารณาตามความส าคญของอปกรณระบบเทคโนโลยสารสนเทศ ขอมลซงเปนทรพยสนทมคาและอาจจ าเปนตองรกษาความลบ โดยมาตรการนจะมผลบงคบใชกบผใชและหนวยงานภายนอก ซงมสวนเกยวของกบการใชงานระบบเทคโนโลยสารสนเทศและการสอสารของหนวยงาน
๑. การก าหนดบรเวณทตองมการรกษาความมนคงปลอดภย ๒.๑ ภายในองคกร ควรมการจ าแนกและก าหนดพนทของระบบเทคโนโลยสารสนเทศตาง ๆ อยาง
เหมาะสม โดยจดท าเปนเอกสาร “การก าหนดพนทเพอการรกษาความมนคงปลอดภยของระบบสารสนเทศ” เพอจดประสงคในการเฝาระวง ควบคม การรกษาความมนคงปลอดภยจากผทไมไดรบอนญาต รวมทงปองกนความเสยหายอน ๆ ทอาจเกดขนได
๒.๒ ผบรหาร ควรก าหนดและแบงแยกบรเวณพนทใชงานระบบเทคโนโลยสารสนเทศและการสอสารใหชดเจน รวมทงจดท าแผนผงแสดงต าแหนงของพนทใชงานและประกาศใหรบทราบทวกน โดยการก าหนดพนทดงกลาวอาจแบงออกไดเปน พนทท างานทวไป (General working area) พนทท างานของผดแลระบบ (System administrator area) พนทตดตงอปกรณระบบเทคโนโลยสารสนเทศ (IT equipment area) พนทจดเกบขอมลคอมพวเตอร (Data storage area) และพนทใชงานเครอขายไรสาย (Wireless LAN coverage area) เปนตน
๒.๓ ผบรหาร ตองก าหนดสทธใหกบเจาหนาท ใหสามารถมสทธในการเขาถงพนทใชงานระบบเทคโนโลยสารสนเทศและการสอสาร เพอปฏบตหนาทตามทไดรบมอบหมายอยางครบถวน ประกอบดวย
๒.๓.๑ จดท า “ทะเบยนผมสทธเขาออกพนท” เพอใชงานระบบเทคโนโลยสารสนเทศและการสอสาร
๒.๓.๒ ท าการบนทกการเขาออกพนทใชงานและก าหนดผมหนาทรบผดชอบการบนทกการเขาออกดงกลาว โดยจดท าเปนเอกสาร “บนทกการเขาออกพนท”
๒.๓.๓ จดใหมเจาหนาทท าหนาทตรวจสอบประวตการเขาออกพนทใชงานระบบเทคโนโลยสารสนเทศเปนประจ าทกวน และใหมการปรบปรงรายการผมสทธเขาออกพนทใชงานระบบสารสนเทศและการสอสารอยางนอยปละ ๑ ครง
๒. การควบคมการเขาออก อาคาร สถานท ๓.๑ จดท าเอกสารระบสทธของผใช และ "หนวยงานภายนอก" ในการเขาถงสถานท โดยแบงแยก
ได ดงน ๓.๑.๑ องคกรตองก าหนดสทธ ผใช ทมสทธผานเขาออกและชวงเวลาทมสทธในการผานเขา
ออกในแตละ “พนทใชงานระบบ” อยางชดเจน
โครงการจดท าแผนแมบท ICT นโยบายและแนวปฏบตตามมาตรฐาน ISO 27001 หนา ๑-๒
๓.๑.๒ การเขาถงอาคารของหนวยงาน ของบคคลภายนอกหรอผมาตดตอ เจาหนาทรกษาความปลอดภย จะตองใหมการแลกบตรทใชระบตวตนของบคคลนน ๆ เชน บตรประชาชน ใบอนญาตขบข เปนตน แลวท าการลงบนทกขอมลบตรในสมดบนทกและรบแบบฟอรมการเขาออกพรอมกบบตรผตดตอ (Visitor)
๓.๑.๓ บคคลทมาตดตอตองตดบตรผตดตอ (Visitor) ตรงจดทสามารถเหนไดชดเจน ตลอดเวลาทอยในองคกร
๓.๑.๔ กรณทบคคลภายนอกหรอผตดตอ ตองการน าอปกรณตาง ๆ เชน คอมพวเตอรสวนบคคล หรอคอมพวเตอรพกพา หรออปกรณเครอขายเขาบรเวณอาคาร เจาหนาทรกษาความปลอดภยจะตองลงบนทกในแบบฟอรมการเขาออกในรายการอปกรณทน าเขามาใหถกตอง
๓.๑.๕ เจาหนาท ทบคคลภายนอกเขามาตดตอ จะตองลงชออนญาตการเขาออกในแบบฟอรมการเขาออกไดถกตอง
๓.๑.๖ บคคลภายนอกหรอผตดตอ ตองคนแบบฟอรมการเขาออกและบตรผตดตอ (Visitor) กบเจาหนาทรกษาความปลอดภยกอนออกจากอาคาร และ รปภ. ตองตรวจสอบผตดตอ อปกรณ พรอมลงเวลาออกทสมดบนทกใหถกตอง
๓.๒ ผใช จะไดรบสทธใหเขาออกสถานทท างานไดเฉพาะบรเวณพนททถกก าหนดเพอใชในการท างานเทานน
๓.๓ หากมบคคลอนใดทไมใชผใช ขอเขาพนทโดยมไดขอสทธในการเขาพนทนนไวเปนการลวงหนา หนวยงานเจาของพนท ตองตรวจสอบเหตผลและความจ าเปน กอนทจะอนญาต ทงนจะตองแสดงบตรประจ าตวทองคกรออกให โดยหนวยงานเจาของพนทตองจดบนทกบคคลและการขอเขาออกไวเปนหลกฐาน ทงในกรณทอนญาตและไมอนญาตใหเขาพนท
โครงการจดท าแผนแมบท ICT นโยบายและแนวปฏบตตามมาตรฐาน ISO 27001 หนา ๒-๑
บทท ๒ การควบคมการเขาออกหองศนยคอมพวเตอร (Computer Center Entry Control)
๑. วตถประสงค
เพอก าหนดมาตรการควบคม ปองกนมใหบคคลทไมมอ านาจหนาทเกยวของในการปฏบตหนาทเขาถง ลวงร แกไข เปลยนแปลงระบบเทคโนโลยสารสนเทศและการสอสารทส าคญ ซงจะท าใหเกดความเสยหายตอขอมลและระบบขอมลขององคกร โดยมการก าหนดกระบวนการควบคมการเขาออกทแตกตางกนของกลมบคลตาง ๆ ทมความจ าเปนตองเขาออกหองศนยคอมพวเตอร
๒. ค าจ ากดความของผเกยวของ ๒.๑ ผดแลระบบ หมายถง เจาหนาททกคนทท างานเกยวของโดยตรงกบงานปฏบตการและบ ารง
ดแลรกษาระบบเทคโนโลยสารสนเทศและการสอสารภายในศนยเทคโนโลยสารสนเทศ ๒.๒ เจาหนาท หมายถง เจาหนาทองคกรทมสทธในการเขาออกสถานท อาหาร หอง ภายในองคกร ๒.๓ ผตดตอจากหนวยงานภายนอก หมายถง บคคลจากหนวยงานภายนอกทมาท าการตดตอขอ
เขาถงหรอใชขอมลหรอทรพยสนตาง ๆ ของศนยเทคโนโลยสารสนเทศ
๓. บทบาทและความรบผดชอบ ๓.๑ หวหนากลมงานสารสนเทศความมนคง
๓.๑.๑ อนมตสทธเขาออกพนทใชงานระบบเทคโนโลยสารสนเทศ ๓.๑.๒ อนมตกระบวนการควบคมการเขาออก ศนยเทคโนโลยสารสนเทศ
๓.๒ ผดแลระบบ ศนยเทคโนโลยสารสนเทศ ๓.๒.๑ ตรวจสอบดแลบคคลทขออนญาตเขามาภายในศนยเทคโนโลย ใหปฏบตตามระเบยบ
และกฎเกณฑอยางเครงครด ๓.๒.๒ ตรวจสอบใหมนใจวาบคคลทไดผานเขาออกศนยเทคโนโลยสารสนเทศ ตองตดบตรผ
ตดตอ (Visitor) หรอบตรประจ าตวขององคกรเทานน
๔. กระบวนการควบคมการเขาออกหองศนยคอมพวเตอร ๔.๑ ผดแลระบบ ศนยเทคโนโลยสารสนเทศ และเจาหนาท องคกร มแนวทางปฏบต ดงน
๔.๑.๑ ผดแลระบบ ควรจดระบบเทคโนโลยสารสนเทศและการสอสารใหเปนสดสวนชดเจน เชน สวนระบบเครอขาย (Network Zone) สวนเครองแมขาย (Server Zone) เปนตน เพอสะดวกในกาปฏบตงานและยงท าใหการควบคมการเขาถง หรอเขาใชงานอปกรณคอมพวเตอรส าคญตาง ๆ มประสทธภาพมากขน
๔.๑.๒ ศนยเทคโนโลยสารสนเทศ ตองท าการก าหนดสทธบคคลในการเขาออก ศนยฯ โดยเฉพาะบคคลทปฏบตหนาทเกยวของภายใน และมการบนทก "ทะเบยนผมสทธเขาออกพนท" เชน เจาหนาทปฏบตงานคอมพวเตอร (Computer Operator) เจาหนาทผดแลระบบ (System Administrator) เปนตน
๔.๑.๓ สทธในการเขาออกหองตาง ๆ ภายในศนยเทคโนโลยสารสนเทศ ของเจาหนาทแตละคน ตองไดรบการอนมตจากหวหนากลมงานสารสนเทศความมนคงฯ โดยผาน
โครงการจดท าแผนแมบท ICT นโยบายและแนวปฏบตตามมาตรฐาน ISO 27001 หนา ๒-๒
กระบวนการลงทะเบยนทระบไวในเอกสาร "การบรหารจดการสทธการใชงานระบบ"เปนลายลกษณอกษร โดยสทธของเจาหนาทแตละคนขนอยกบหนาทการปฏบตงานภายในศนยเทคโนโลยสารสนเทศ
๔.๑.๔ เจาหนาททกคนตองท าบตรผานเพอใชในการเขาออกศนยเทคโนโลยสารสนเทศ ตามกระบวนการทระบในเอกสาร "การบรหารจดการสทธการใชงานระบบ"
๔.๑.๕ ตองจดท าระบบเกบบนทกการเขาออกศนยเทคโนโลยสารสนเทศ ตามกระบวนการทระบไวในเอกสาร "บนทกการเขาออกพนท"
๔.๑.๖ กรณเจาหนาททไมมหนาทเกยวของประจ า อาจมความจ าเปนตองเขาออกศนยเทคโนโลยสารสนเทศ กตองมการควบคมอยางรดกม
๔.๑.๗ การเขาถงศนยเทคโนโลยสารสนเทศ และหองคอมพวเตอร ตองมการลงบนทกตามแบบฟอรมทระบไวในเอกสาร "บนทกการเขาออกพนท"
๔.๑.๘ เจาหนาทศนยเทคโนโลยสารสนเทศ ทกคนตองตรวจสอบใหมนใจวาบคคลทผานเขาออกทกคนตองกรอกแบบฟอรมดงกลาว
๔.๒ ผตดตอจากหนวยงานภายนอก มแนวทางปฏบตดงน ๔.๒.๑ ผตดตอจากหนวยงานภายนอก ทกคนตองท าการแลกบตรทใชระบตวตน เชน บตร
ประชาชน หรอใบอนญาตขบข กบเจาหนาทรกษาความปลอดภย เพอรบบตรผตดตอ แลวท าการลงบนทกขอมลลงในสมดบนทก
๔.๒.๒ ผตดตอจากหนวยงานภายนอก ทน าอปกรณคอมพวเตอรหรออปกรณทใชในการปฏบตงานภายในองคกร จะตองลงบนทกรายการอปกรณในแบบฟอรมการขออนญาตเขาออกตามทระบไวในเอกสาร "บนทกการเขาออกพนท" ใหถกตองชดเจน
๔.๒.๓ ผตดตอจากหนวยงานภายนอก ตองตดบตรผานตรงจดทสามารถเหนไดชดเจนตลอดเวลาทอยในศนยเทคโนโลยสารสนเทศ
๔.๒.๔ ผตดตอจากหนวยงานภายนอก สามารถเขาออกศนยเทคโนโลยสารสนเทศ ไดดวยบตรผตดตอ โดยสทธจะขนอยกบเหตผลความจ าเปนในการขอเขาปฏบตงานภายในศนยเทคโนโลยสารสนเทศ
๔.๒.๕ พนททผตดตอจากหนวยงานภายนอก สามารถเขาไดตามทระบไวในแบบฟอรมการขออนญาตเขาออก และตองมเจาหนาทคอยสอดสองดแลตลอดเวลา
๔.๒.๖ ผตดตอจากหนวยงานภายนอก สามารถน าผตดตามเขามาชวยงานไดไมเกนครงละ ๒ คน และทกคนจะตองถกบนทกการเขาออกเชนกน
๔.๒.๗ ผตดตอจากหนวยงานภายนอก ตองคนบตรผตดตอกบเจาหนาทรกษาความปลอดภย ซงเจาหนาทรกษาความปลอดภยตองตรวจสอบการคนบตรทกครง
๔.๒.๘ เจาหนาทรกษาความปลอดภย ตองตรวจสอบรายการอปกรณทลงบนทกไวในแบบฟอรมการขออนญาตเขาออกและตรวจสอบอปกรณทน าออกมาใหถกตอง
๔.๒.๙ เจาหนาทศนยเทคโนโลยสารสนเทศ ควรตรวจสอบความถกตองของขอมลในสมดบนทกและแบบฟอรมการขออนญาตเขาออกกบเจาหนาทรกษาความปลอดภย เปนประจ าทกเดอน
๔.๒.๑๐ เจาหนาทศนยเทคโนโลยสารสนเทศ ตองท าการทบทวนสทธของเจาหนาทใหมความถกตองเหมาะสมอยางสม าเสมออยางนอยปละ ๑ ครง
โครงการจดท าแผนแมบท ICT นโยบายและแนวปฏบตตามมาตรฐาน ISO 27001 หนา ๓-๑
บทท ๓ การควบคมการเขาถงระบบเทคโนโลยสารสนเทศ (Access Control)
๑. วตถประสงค
- เพอใหขอมลทมความส าคญตอองคกรไดรบการจ าแนกชนความลบอยางเหมาะสมตามระดบความส าคญของขอมล และเพอใหเจาหนาททเกยวของรบรและสามารถน าขอมลแตละชนความลบไปใชงานไดอยางถกตองและเหมาะสม
- เพอก าหนดมาตรการควบคมบคคลทไมไดอนญาตเขาถงระบบเทคโนโลยสารสนเทศและการสอสารขององคกร และปองกนการบกรกผานระบบเครอขายจากผบกรก จากโปรแกรมชดค าสงไมพงประสงค ทจะสรางความเสยหายแกขอมล หรอการท างานของระบบเทคโนโลยสารสนเทศและการสอสารใหหยดชะงก และท าใหสามารถตรวจสอบตดตามพสจนตวบคคลทเขาใชงานระบบเทคโนโลยสารสนเทศและการสอสารขององคกรไดอยางถกตอง
๒. การก าหนดล าดบความส าคญของขอมลและการใชงานขอมล ๒.๑ การเขาถงขอมลแตละประเภทตองเปนไปตามระดบชนความลบขององคกรดงตอไปน
๒.๑.๑ ลบมาก (Secret) มความส าคญตอองคกรในระดบสงมาก หากขอมลสญหายหรอถกเปดเผยโดยไมไดรบอนญาตจะสงผลเสยหายตอองคกรอยางมาก
๒.๑.๒ ลบทสด (Confidential) มความส าคญตอองคกรในระดบสง หากสญหายหรอถกเปดเผยโดยไมไดรบอนญาตจะสงผลเสยหายตอองคกรอยางมนยยะส าคญ
๒.๑.๓ ใชภายในองคกร (Internal Use) เปนขอมลทอนญาตใหใชภายในองคกร หากสญหายหรอถกเปดเผยโดยไมไดรบอนญาตจะสงผลเสยหายตอองคกร
๒.๑.๔ สาธารณะ (Public) เปนขอมลทใชเผยแพรสสาธารณะ การเปดเผยขอมลประเภทนไมสงผลกระทบใดกบองคกร
๒.๒ การใชงานขอมล ๒.๒.๑ ผใชงานทกคนตองใชงานขอมลขององคกรตามกฎระเบยบและค าแนะน าทองคกร
ก าหนดไว ๒.๒.๒ ผใชงานตองใชความระมดระวงเปนพเศษในการใชงานขอมลประเภท “Secret” และ
“Confidential” (ตอไปในเอกสารนเรยกวา “ขอมลลบ”) เพอปองกนไมใหขอมลถกเขาถง หรอถกเปดเผยโดยไมไดรบอนญาต
๒.๒.๓ ขอมลลบขององคกรตองไมถกเปดเผยกบผอน เวนแตมความจ าเปนในการปฏบตงานเทานน (ตามหลกการ “Need to Know”)
๒.๒.๔ ผใชงานตองตระหนกถงการรกษาขอมลลบทถกเกบไวในเครองคอมพวเตอรของผใชงาน โดยเฉพาะอยางยง เครองคอมพวเตอรทมการใชงานรวมกนมากกวาหนงคนขนไป ขอมลลบเหลานตองไดรบการปกปองโดยการเขารหส หรอโดยวธการอนใดของระบบปฏบตการ หรอแอพพลเคชนอยางเหมาะสม
๒.๒.๕ ขอมลใดทผใชงานพจารณาวาเปนขอมลลบหรอมจดออนดานความมนคงปลอดภย ตองไดรบการเขารหส
โครงการจดท าแผนแมบท ICT นโยบายและแนวปฏบตตามมาตรฐาน ISO 27001 หนา ๓-๒
๒.๒.๖ ผใชงานควรเกบรกษาเอกสารลบและสอบนทกขอมลทมขอมลลบในตทสามารถปดลอคไดเมอไมไดใชงาน โดยเฉพาะอยางยงเมออยนอกเวลาท าการ หรอเมอตองทงเอกสารหรอสอนนไวโดยไมอยทโตะท างาน
๒.๒.๗ ขอมลลบตองถกเกบออกจากอปกรณประมวลผลตางๆ เชน เครองพมพ เครองโทรสาร เครองถายเอกสาร ฯลฯ ทนท
๒.๒.๘ ผใชงานตองไมเปดเผยขอมลลบตอบคคลภายนอก ยกเวนในกรณทการเปดเผยนนครอบคลมโดยขอตกลงการไมเปดเผยขอมล
๒.๒.๙ ผใชงานตองไมพดคยหรอใชงานขอมลลบขององคกรในพนทสาธารณะ เชน ลฟท รานอาหาร ฯลฯ
๓. กระบวนการหลกในการควบคมการเขาถงระบบเทคโนโลยสารสนเทศ ๓.๑ สถานทตงของระบบเทคโนโลยสารสนเทศและการสอสารทส าคญตองมการควบคมการเขาออก
ทรดกมและอนญาตใหเฉพาะบคคลทไดรบสทธและมความจ าเปนผานเขาใชงานไดเทานน ๓.๒ ผดแลระบบ ตองก าหนดสทธการเขาถงขอมลและระบบขอมลใหเหมาะสมกบการเขาใชงาน
ของผใชระบบและหนาทความรบผดชอบของเจาหนาทในการปฏบตงานกอนเขาใชระบบเทคโนโลยสารสนเทศและการสอสาร รวมทงมการทบทวนสทธการเขาถงอยางสม าเสมอ ทงนผใชระบบจะตองไดรบอนญาตจากผดแลระบบตามความจ าเปนในการใชงาน
๓.๓ ผดแลระบบ หรอผทไดรบมอบหมายเทานนทสามารถแกไขเปลยนแปลงสทธการเขาถงขอมลและระบบขอมลได
๓.๔ ผดแลระบบ ควรจดใหมการตดตงระบบบนทกและตดตามการใชงานระบบเทคโนโลยสารสนเทศและการสอสารขององคกร และตรวจตราการละเมดความปลอดภย ทมตอระบบขอมลส าคญ
๓.๕ ผดแลระบบ ตองจดใหมการบนทกรายละเอยดการเขาถงระบบ การแกไขเปลยนแปลงสทธตาง ๆ และการผานเขาออกสถานทตงของระบบ ของทงผทไดรบอนญาตและไมไดรบอนญาต เพอเปนหลกฐานในการตรวจสอบหากมปญหาเกดขน
๔. การควบคมการเขาถงระบบเทคโนโลยสารสนเทศ ๔.๑ ผดแลระบบ มหนาทในการตรวจสอบการอนมตและก าหนดสทธในการผานเขาสระบบ ไดแก
ผใชในการขออนญาตเขาระบบงานนน จะตองมการท าเปนเอกสารเพอขอสทธในการเขาสระบบและก าหนดใหมการลงนามอนมต เอกสารดงกลาวตองมการจดเกบไวเปนหลกฐาน
๔.๒ ผดแลระบบตองก าหนดระยะเวลาการเชอมตอเขาสระบบ/แอพพลเคชนทมความส าคญ เพอปองกนการเขาถงโดยไมไดรบอนญาต
๔.๓ เจาของขอมล และ “เจาของระบบงาน” จะอนญาตใหผใชงานเขาสระบบเฉพาะในสวนทจ าเปนตองรตามหนาทงานเทานน เนองจากการใหสทธเกนความจ าเปนในการใชงาน จะน าไปสความเสยงในการใชงานเกนอ านาจหนาท ดงนนการก าหนดสทธในการเขาถงระบบงานตองก าหนดตามความจ าเปนขนต าเทานน
๔.๔ ผใชงานจะตองไดรบอนญาตจากเจาหนาททรบผดชอบขอมลและระบบงานตามความจ าเปนตอการใชงานระบบเทคโนโลยสารสนเทศ
โครงการจดท าแผนแมบท ICT นโยบายและแนวปฏบตตามมาตรฐาน ISO 27001 หนา ๓-๓
๕. การบรหารจดการการเขาถงของผใช ๕.๑ การลงทะเบยนเจาหนาทใหมของศนยเทคโนโลยสารสนเทศ ควรก าหนดใหมขนตอนปฏบต
อยางเปนทางการส าหรบการลงทะเบยนเจาหนาทใหมเพอใหมสทธตาง ๆ ในการใชงานตามความจ าเปนรวมทงขนตอนปฏบตส าหรรบการยกเลกสทธการใชงาน เชน เมอลาออกไป หรอเมอเปลยนต าแหนงงานภายในองคกร เปนตน
๕.๒ ก าหนดสทธการใชระบบเทคโนโลยสารสนเทศทส าคญ เชน ระบบคอมพวเตอรโปรแกรมประยกต (Application) จดหมายอเลกทรอนกส (e-mail) ระบบเครอขายไรสาย (Wireless LAN) ระบบอนเทอรเนต เปนตน โดยตองใหสทธเฉพาะการปฏบตงานในหนาทและตองไดรบความเหนชอบจากผดแลระบบเปนลายลกษณอกษร รวมทงตองทบทวนสทธดงกลาวอยางสม าเสมอ
๕.๓ ผใช ตองลงนามรบทราบสทธและหนาทเกยวกบการใชงานระบบเทคโนโลยสารสนเทศเปนลายลกษณอกษร และตองปฏบตตามอยางเครงครด
๕.๔ การบรหารจดการบญชรายชอผใชงาน (User account) และรหสผานของเจาหนาท ๕.๔.๑ ผดแลระบบ ทรบผดชอบระบบงานนน ๆ ตองก าหนดสทธของเจาหนาทในการเขาถง
ระบบเทคโนโลยสารสนเทศและการสอสารแตละระบบ รวมทงก าหนดสทธแยกตามหนาททรบผดชอบซงมแนวทางปฏบต ตามทก าหนดไวในเอกสาร “การบรหารจดการสทธการใชงานระบบและรหสผาน”
๕.๔.๒ การก าหนด การเปลยนแปลงและการยกเลกรหสผาน ตองปฏบตตาม “การบรหารจดการสทธการใชงานระบบและรหสผาน”
๕.๔.๓ กรณมความจ าเปนตองใหสทธพเศษกบผใช หมายถง ผใชทมสทธสงสด ตองมการพจารณาการควบคมผใชทมสทธพเศษนนอยางรดกมเพยงพอโดยใชปจจยตอไปนประกอบการพจารณา
๕.๔.๓.๑ ควรไดรบความเหนชอบและอนมตจากผดแลระบบงานนน ๆ ๕.๔.๓.๒ ควรควบคมการใชงานอยางเขมงวด เชน ก าหนดใหมการควบคมการใชงาน
เฉพาะกรณจ าเปนเทานน ๕.๔.๓.๓ ควรก าหนดระยะเวลาการใชงานและระงบการใชงานทนทเมอพนระยะเวลา
ดงกลาว ๕.๔.๓.๔ ควรมการเปลยนรหสผานอยางเครงครด เชน ทกครงหลงหมดความจ าเปน
ในการใชงาน หรอ ในกรณทมความจ าเปนตองใชงานเปนระยะเวลานานกควรเปลยนรหสผานทก ๓ เดอน เปนตน
๕.๕ การบรหารจดการการเขาถงขอมลตามระดบชนความลบ ๕.๕.๑ ผดแลระบบ ตองก าหนดชนความลบของขอมล วธปฏบตในการจดเกบขอมลและวธ
ปฏบตในการควบคมการเขาถงขอมลแตละประเภทชนความลบทงการเขาถงโดยตรงและการเขาถงผานระบบงาน รวมถงวธการท าลายขอมลแตละประเภทชนความลบ
๕.๕.๒ เจาของขอมล จะตองมการสอบทานความเหมาะสมของสทธในการเขาถงขอมลของผใชงานเหลานอยางนอยปละ ๔ ครง เพอใหมนใจไดวาสทธตาง ๆ ทใหไวยงคงมความเหมาะสม
โครงการจดท าแผนแมบท ICT นโยบายและแนวปฏบตตามมาตรฐาน ISO 27001 หนา ๓-๔
๕.๕.๓ วธปฏบตในการควบคมการเขาถงขอมลแตละประเภทชนความลบทงการเขาถงโดยตรงและการเขาถงผานระบบงาน ผดแลระบบ ตองก าหนดรายชอผ ใชง าน (User Account) และรหสผาน (Password) เพอใชในการตรวจสอบตวตนจรงของผใชขอมลในแตละชนความลบขอมล
๕.๕.๔ การรบสงขอมลส าคญผานเครอขายสาธารณะ ควรไดรบการเขารหส (Encryption) ทเปนมาตรฐานสากล เชน SSL, VPN หรอ XML Encryption เปนตน
๕.๕.๕ ควรมการก าหนดใหเปลยนรหสผานตามระยะเวลาทก าหนดของระดบความส าคญของขอมล ตามทระบไวในเอกสาร “การบรหารจดการสทธการใชงานระบบและรหสผาน”
๕.๕.๖ ควรมมาตรการรกษาความมนคงปลอดภยของขอมลในกรณทน าเครองคอมพวเตอรออกนอกพนทขององคกร เชน สงเครองคอมพวเตอรไปตรวจซอม ควรส ารองและลบขอมลทเกบอยในสอบนทกกอน เปนตน
๖. การบรหารจดการการเขาถงระบบเครอขาย ๖.๑ ผดแลระบบ ตองมการออกแบบระบบเครอขายตามกลมของบรการระบบเทคโนโลยสารสนเทศ
และการสอสารทมการใชงาน กลมของผใช และกลมของระบบสารสนเทศ เชน โซนภายใน (Internal Zone) โซนภายนอก (External Zone) เปนตน เพอท าใหการควบคม และปองกนการบกรกไดอยางเปนระบบ
๖.๒ การเขาสระบบเครอขายภายในขององคกร โดยผานทางอนเทอรเนตจะตองไดรบการอนมตเปนลายลกษณอกษรจากหนวยงานทดแลรบผดชอบดานโครงขายระบบเทคโนโลยสานสนเทศและการสอสารกอนทจะสามารถใชงานไดในทกกรณ
๖.๓ การเขาถงระบบเครอขาย หรอระบบเทคโนโลยสารสนเทศภายในขององคกรตองด าเนนการโดยใชอปกรณทองคกรเปนผจดหา หรออปกรณทไดรบอนญาตซงผานการลงทะเบยน
๖.๔ อปกรณทใชในการเขาถงระบบเครอขายภายในขององคกรควรไดรบการพสจนตวตนดวยวธการทเหมาะสม เชน การตรวจสอบความถกตองของ Media Access Control Address (MAC) การตรวจสอบความถกตองของรหสประจ าเครองอปกรณ หรอการตรวจสอบ Digital Certificate ของอปกรณ เปนตน
๖.๕ ผดแลระบบตองควบคมพอรตของอปกรณตางๆ ทใชส าหรบตรวจสอบและปรบแตงระบบ โดยมรายละเอยดดงน
๖.๕.๑ พอรตทใชส าหรบตรวจสอบและปรบแตงระบบ (Diagnostic และ Configuration Port) ตองถกจ ากดใหสามารถใชงานไดโดยบคคลทไดรบอนญาตเทานน
๖.๕.๒ การเขาถงพอรตทใชส าหรบตรวจสอบและปรบแตงระบบ ตองด าเนนการผานโพรโทคอลทมความมนคงปลอดภย เชน Secure Shell (SSH) หรอผานระบบเครอขายแบบ Out-of-band เทานน
๖.๕.๓ การเขาถงพอรตทใชส าหรบตรวจสอบและปรบแตงระบบ จากระยะไกลผานเครอขายภายนอกตองไดรบการพสจนตวตนของผใชงานดวยวธการตรวจสอบตงแต ๒ ประเภทขนไป (two factors authentication) และใชชองทางการเชอมตอทมนคงปลอดภย
๖.๕.๔ พอรตทไมเกยวของกบการปฏบตงานหรอการด าเนนธรกจตองถกระงบการใชงาน
โครงการจดท าแผนแมบท ICT นโยบายและแนวปฏบตตามมาตรฐาน ISO 27001 หนา ๓-๕
๖.๖ ผดแลระบบ ตองมวธการจ ากดสทธการใชงานเพอควบคมผใชใหสามารถใชงานเฉพาะเครอขายทไดรบอนญาตเทานน
๖.๗ ผดแลระบบ ควรมวธการจ ากดเสนทางการเขาถงเครอขายทมการใชงานรวมกน ๖.๘ ผดแลระบบ ควรจดใหมวธเพอจ ากดการใชเสนทางบนเครอขาย (Enforced Path) จากเครอง
ลกขายไปยงเครองแมขาย เพอไมใหผใชสามารถใชเสนทางอน ๆ ได ๖.๙ ตองก าหนดบคคลทรบผดชอบในการก าหนด แกไข หรอเปลยนแปลงคา parameter ตาง ๆ
ของระบบเครอขายและอปกรณตาง ๆ ทเชอมตอกบระบบเครอขายอยางชดเจน และควรมการทบทวนการก าหนดคา parameter ตาง ๆ อยางนอยปละครง นอกจากน การก าหนดแกไขหรอเปลยนแปลงคา parameter ควรแจงบคคลทเกยวของใหรบทราบทกครง
๖.๑๐ ระบบเครอขายทงหมดขององคกรทมการเชอมตอไปยงระบบเครอขายอน ๆ ภายนอกองคกร ควรเชอมตอผานอปกรณปองกนการบกรกหรอโปรแกรมในการท า Packet filtering เชน การใช Firewall หรอ Hardware รวมทงตองมความสามารถในการตรวจมลแวร (Malware) ดวย
๖.๑๑ ตองมการตดตงระบบตรวจจบการบกรก (IPS/IDS) เพอตรวจสอบการใชงานของบคคลทเขาใชงานระบบเครอขายขององคกรในลกษณะทผดปกตผานระบบเครอขาย โดยมการตรวจสอบการบกรกผานระบบเครอขาย การใชงานในลกษณะทผดปกตและการแกไขเปลยนแปลงระบบเครอขายโดยบคคลทไมมอ านาจหนาทเกยวของ
๖.๑๒ การเขาสระบบงานเครอขายภายในองคกร โดยผานทางอนเทอรเนตจ าเปนตองมการ Login และตองมการพสจนยนยนตวตน (Authentication) เพอตรวจสอบความถกตอง
๖.๑๓ IP address ภายในของระบบงานเครอขายภายในขององคกร จ าเปนตองมการปองกนมใหหนวยงานภายนอกทเชอมตอสามารถมองเหนได เพอเปนการปองกนไมใหบคคลภายนอกสามารถรขอมลเกยวกบโครงสรางของระบบเครอขายและสวนประกอบของศนยเทคโนโลยสารสนเทศไดโดยงาย
๖.๑๔ ตองจดท าแผนผงระบบเครอขาย (Network Diagram) ซงมรายละเอยดเกยวกบขอบเขตของเครอขายภายในและเครอขายภายนอก และอปกรณตาง ๆ พรอมทงปรบปรงใหเปนปจจบนอยเสมอ
๖.๑๕ การใชเครองมอตาง ๆ (Tools) เพอการตรวจสอบระบบเครอขาย ควรไดรบการอนมตจากผดแลระบบ และจ ากดการใชงานเฉพาะเทาทจ าเปน
๖.๑๖ การตดตงและการเชอมตออปกรณเครอขายจะตองด าเนนการโดยเจาหนาทศนยเทคโนโลยสารสนเทศ เทานน
๗. การบรหารจดการระบบคอมพวเตอรแมขาย ๗.๑ ควรก าหนดบคคลทรบผดชอบในการดแลระบบคอมพวเตอรแมขาย (Server) ในการก าหนด
แกไข หรอเปลยนแปลงคาตาง ๆ ของโปรแกรมระบบ (System Software) อยางชดเจน ๗.๒ ตองมขนตอนหรอวธปฏบตในการตรวจสอบระบบคอมพวเตอรแมขายและในกรณทพบวาม
การใชงานหรอเปลยนแปลงคาในลกษณะผดปกต จะตองด าเนนการแกไข รวมทงมการรายงานโดยทนท
โครงการจดท าแผนแมบท ICT นโยบายและแนวปฏบตตามมาตรฐาน ISO 27001 หนา ๓-๖
๗.๓ ตองเปดใชบรการ (Service) เทาทจ าเปนเทานน เชน บรการ telnet ftp หรอ ping เปนตน ทงนหากบรการทจ าเปนตองใชมความเสยงตอระบบรกษาความปลอดภยแลว ตองมมาตรการปองกนเพมเตมดวย
๗.๔ ควรด าเนนการตดตงอพเดทระบบซอฟทแวรใหเปนปจจบน เ พออดชองโหวตาง ๆ ของโปรแกรมระบบ (System Software) อยางสม าเสมอ เชน Web Server เปนตน
๗.๕ ควรมการทดสอบโปรแกรมระบบ (System Software) เกยวกบการรกษาความปลอดภยและประสทธภาพการใชงานโดยทวไปกอนตดตงและหลงจากการแกไขหรอบ ารงรกษา
๗.๖ การเขาถง System Utilities ทปฏบตการดวยสทธพเศษในระดบสง ซงท าใหสามารถเลยงผานกลไกการควบคมระบบ/แอพพลเคชนตางๆ ไดนน ตองถกจ ากดใหเฉพาะผใชงาน หรอผดแลระบบทมความจ าเปนตองใชงานเปนประจ าเทานน ส าหรบการใชงานและการเขาถง System Utilities เหลานนโดยบคคลอน ใหพจารณาอนมตในลกษณะชวคราวในทกกรณ
๗.๗ System Utilities ดงกลาวขางตนตองถกแยกออกจากแอพพลเคชน และซอฟตแวรอนๆ เพอประโยชนในการจ ากดการเขาถงใหแกผใชงานทไดรบอนญาตเทานน
๗.๘ การตดตงและการเชอมตอระบบคอมพวเตอรแมขายจะตองด าเนนการโดยเจาหนาทศนยเทคโนโลยสารสนเทศ เทานน
๘. การบรหารจดการการบนทกและตรวจสอบ ๘.๑ ควรก าหนดใหมการบนทกการท างานของระบบคอมพวเตอรแมขายและเครอขายบนทกการ
ปฏบตงานของผใชงาน (Application logs) และบนทกรายละเอยดของระบบปองกนการบกรก เชน บนทกการเขาออกระบบ บนทกการพยายามเขาสระบบ บนทกการใชงาน command line และ Firewall Log เปนตน เพอประโยชนในการใชตรวจสอบและตองเกบบนทกดงกลาวไวอยางนอย ๓ เดอน
๘.๒ ควรมการตรวจสอบบนทกการปฏบตงานของผใชงานอยางสม าเสมอ ๘.๓ ตองมวธการปองกนการแกไขเปลยนแปลงบนทกตางๆ และจ ากดสทธการเขาถงบนทกเหลานน
ใหเฉพาะบคคลทเกยวของเทานน
๙. การควบคมการเขาใชงานระบบจากภายนอก ศนยเทคโนโลยสารสนเทศ ตองก าหนดใหมการควบคมการใชงานระบบทผดแลระบบไดตดตงไว
ภายในเพอดแลรกษาความปลอดภยของระบบจากภายนอก โดยมแนวทางปฏบต ดงน ๙.๑ การเขาสระบบจากระยะไกล (Remote access) สระบบเครอขายคอมพวเตอรขององคกร
กอใหเกดชองทางทมความเสยงสงตอความปลอดภยของขอมลและทรพยากรขององคกร การควบคมบคคลทเขาสระบบขององคกรจากระยะไกลจงตองมการก าหนดมาตรการการกษาความปลอดภยทเพมขนจากมาตรฐานการเขาสระบบภายใน
๙.๒ วธการใด ๆ กตามทสามารถเขาสขอมลหรอระบบขอมลได จากระยะไกลตองไดรบการอนมตจากหวหนากลมงานสารสนเทศความมนคงฯ กอน และมการควบคมอยางเขมงวดกอนน ามาใชและผใชตองปฏบตตามขอก าหนดของการเขาสระบบและขอมลอยางเครงครด
๙.๓ กอนท าการใหสทธในการเขาสระบบจากระยะไกล ผใชตองแสดงหลกฐานระบเหตผลหรอความจ าเปนในการด าเนนงานกบองคกรอยางเพยงพอและตองไดรบอนมตจากผมอ านาจอยางเปนทางการ
โครงการจดท าแผนแมบท ICT นโยบายและแนวปฏบตตามมาตรฐาน ISO 27001 หนา ๓-๗
๙.๔ ตองมการควบคมพอรต (Port) ทใชในการเขาสระบบอยางรดกม การเขาสระบบโดยการโทรศพทเขาองคการนน ตองดและการจดการโดยผดแลระบบและวธการหมนเขาตองไดรบการอนมตอยางถกตองและเหมาะสมแลวเทานน
๙.๕ การอนญาตใหผใชเขาสระบบจากระยะไกล ตองอยบนพนฐานของความจ าเปนเทานน และไมควรเปด Port และ Modem ทใชทงเอาไวโดยไมจ าเปน ชองทางดงกลาวควรตดการเชอมตอเมอไมไดใชงานแลว และจะเปดใหใชไดตอเมอมการรองขอทจ าเปนเทานน
๑๐. การพสจนตวตนส าหรบผใชทอยภายนอก ๑๐.๑ ผใชระบบทกคนเมอจะเขาใชงานระบบ ตองผานการพสจนตวตนจากระบบขององคกร
ส าหรบในทางปฏบตจะแบงออกเปนสองขนตอน คอ ๑๐.๑.๑ การแสดงตวตน (Identification) คอขนตอนทผใชแสดงชอผใช (Username) ๑๐.๑.๒ การพสจนยนยนตวตน (Authentication) คอ ขนตอนทตรวจสอบหลกฐานเพอแสดง
วาเปนผใชตวจรง เชน การใชรหสผาน (Password) หรอการใชสมารทการดหรอการใช USB token ทมความสามารถ PKI เปนตน
๑๐.๒ การเขาสระบบสารสนเทศขององคกรนน จะตองมวธการในการตรวจสอบเพอพสจนตวตนอยางนอย ๑ วธ
๑๐.๓ การเขาสระบบสารสนเทศขององคกรจากอนเทอรเนตนน ควรมการตรวจสอบผใชงานดวย ๑๐.๔ การเขาสระบบจากระยะไกล (Remote access) เพอเพมความปลอดภยจะตองมการ
ตรวจสอบ เพอพสจนตวตนของผใชงาน เชน รหสผาน หรอวธการเขารหส เปนตน
โครงการจดท าแผนแมบท ICT นโยบายและแนวปฏบตตามมาตรฐาน ISO 27001 หนา ๔-๑
บทท ๔ การควบคมหนวยงานภายนอกเขาถงระบบเทคโนโลยสารสนเทศ (Third party access control)
๑. วตถประสงค
การใชบรการจากหนวยภายนอกอาจกอใหเกดความเสยงได เชน ความเสยงตอการเขาถงขอมล ความเสยงตอการถกแกไขขอมลอยางไมถกตอง และการประมวลผลของระบบงานโดยไมไดรบอนญาต เปนตน เพอใหการควบคมหนวยงานภายนอกทมการเขาใชงานระบบเทคโนโลยสารสนเทศและการสอสารขององคกร ใหเปนไปอยางมนคงปลอดภยและก าหนดแนวทางในการคดเลอก ควบคมการปฏบตงานของหนวยงานภายนอก เชน การพฒนาระบบการใชบรการของทปรกษา การใชบรการดานระบบเทคโนโลยสารสนเทศจากหนวยงานภายนอก เปนตน
๒. แนวทางปฏบต ๒.๑ หวหนากลมงานสารสนเทศความมนคงฯ ตองก าหนดใหมการประเมนความเสยงจากการเขาถง
ระบบเทคโนโลยสารสนเทศและการสอสาร หรออปกรณทใชในการประมวลผลโดยหนวยงานภายนอก และก าหนดมาตรการรองรบหรอแกไขทเหมาะสมกอนทจะอนญาตใหเขาถงระบบเทคโนโลยสารสนเทศและการสอสารได
๒.๒ การควบคมการเขาใชงานระบบเทคโนโลยสารสนเทศและการสอสารของหนวยงานภายนอก ๒.๒.๑ บคคลภายนอกทตองการสทธในการเขาใชงานระบบเทคโนโลยสารสนเทศและการ
สอสารขององคกรจะตองท าเรองขออนญาตเปนลายลกษณอกษร เพอขออนมตจากหวหนากลมงานสารสนเทศความมนคงฯ
๒.๒.๒ จดท าเอกสารแบบฟอรมส าหรบใหหนวยงานภายนอกท าการระบเหตผลความจ าเปนทตองเขาใชงานระบบเทคโนโลยสารสนเทศและการสอสาร ซงตองมรายละเอยดอยางนอย ดงน
๒.๒.๒.๑ เหตผลในการขอใช ๒.๒.๒.๒ ระยะเวลาในการใช ๒.๒.๒.๓ การตรวจสอบความปลอดภยของอปกรณทเชอมตอเครอขาย ๒.๒.๒.๔ การตรวจสอบ MAC address ของเครองคอมพวเตอรทเชอมตอ ๒.๒.๒.๕ การก าหนดการปองกนในเรองการเปดเผยขอมล
๒.๒.๓ หนวยงานภายนอก ทท างานใหกบองคกรทกหนวยงาน ไมวาจะท างานอยภายในองคกรหรอนอกสถานท จ าเปนตองลงนามในสญญาการไมเปดเผยขอมลขององคกร โดยสญญาตองจดท าใหเสรจกอนใหสทธในการเขาสระบบเทคโนโลยสารสนเทศ
๒.๒.๔ องคกร ควรพจารณาการเขาไปประเมนความเสยงหรอจดท าการควบคมภายในของหนวยงานภายนอก ทงนขนอยกบความส าคญของระบบเทคโนโลยสารสนเทศและการสอสารทเขาไปปฏบตงาน
๒.๒.๕ เจาของโครงการ ซงรบปดชอบตอโครงการทมการเขาถงขอมลโดยหนวยงานภายนอกตองก าหนดการเขาใชงานเฉพาะบคคลทจ าเปนเทานนและใหหนวยงานภายนอกลงนามในสญญาไมเปดเผยขอมล
โครงการจดท าแผนแมบท ICT นโยบายและแนวปฏบตตามมาตรฐาน ISO 27001 หนา ๔-๒
๒.๒.๖ ส าหรบโครงการขนาดใหญ หนวยงานภายนอกทสามารถเขาถงขอมลทมความส าคญขององคกร ผดแลระบบตองควบคมการปฏบตงานนน ๆ ใหมความมนคงปลอดภยทง ๓ ดาน คอ การรกษาความลบ (Confidentially) การรกษาความถกตองของขอมล (Integrity) และการรกษาความพรอมทจะใหบรการ (Availability)
๒.๒.๗ องคกรมสทธในการตรวจสอบตามสญญาการใชงานระบบเทคโนโลยสารสนเทศและการสอสารเพอใหมนใจวา องคกรสามารถควบคมการใชงานไดอยางทวถงตามสญญานน
๒.๒.๘ ควรด าเนนการใหผใหบรการหนวยงานภายนอกจดท าแผนการด าเนนงาน คมอการปฏบตงานและเอกสารทเกยวของ รวมทงมการปรบปรงใหทนสมยอยเสมอเพอควบคมหรอตรวจสอบการใหบรการของผใหบรการไดอยางเขมงวด เพอใหมนใจไดวาเปนไปตามขอบเขตทไดก าหนดไว
โครงการจดท าแผนแมบท ICT นโยบายและแนวปฏบตตามมาตรฐาน ISO 27001 หนา ๕-๑
บทท ๕ การใชงานเครองคอมพวเตอรสวนบคคล (Use of Personal Computer)
๑. วตถประสงค
ขอก าหนดมาตรฐานการใชงานเครองคอมพวเตอรสวนบคคลนไดถกจดท าขนเพอชวยใหผใชไดรบทราบถงหนาทและความรบผดชอบในการใชงานเครองคอมพวเตอรสวนบคคลและผใชควรท าความเขาใจและปฏบตตามอยางเครงครด เพอปองกนทรพยากรและขอมลทมคาขององคกร ใหมความลบ ความถกตอง และมความพรอมใชงานอยเสมอ
๒. การใชงานทวไป ๒.๑ เครองคอมพวเตอรทองคกรอนญาตใหผใช ใชงานเปนทรพยสนขององคกร ดงนนผใชจงควรใช
งานเครองคอมพวเตอรอยางมประสทธภาพเพองานขององคกร ๒.๒ โปรแกรมทไดถกตดตงลงบนเครองคอมพวเตอรขององคกร ตองเปนโปรแกรมทองคกรไดซอ
ลขสทธมาอยางถกตองตามกฎหมาย ดงนนหามผใชคดลอกโปรแกรมตาง ๆ และน าไปตดตงบนเครองคอมพวเตอรสวนตว หรอแกไข หรอน าไปใหผอนใชงานโดยผดกฎหมาย
๒.๓ ไมอนญาตใหผใช ท าการตดตงและแกไขเปลยนแปลงโปรแกรมในเครองคอมพวเตอรสวนบคคลชององคกร
๒.๔ การตงชอเครองคอมพวเตอร(Computer name) สวนบคคล จะตองก าหนดโดยเจาหนาทขององคกรเทานน
๒.๕ การเคลอนยายหรอสงเครองคอมพวเตอรสวนบคคลตรวจซอมจะตองด าเนนการโดยเจาหนาทของศนยเทคโนโลยสารสนเทศ เทานน
๒.๖ กอนการใชงานสอบนทกพกพาตาง ๆ ควรมการตรวจสอบเพอหาไวรส โดยโปรแกรมปองกนไวรส
๒.๗ ไมควรเกบขอมลส าคญขององคกรไวบนเครองคอมพวเตอรสวนบคคลททานใชงานอย ๒.๘ ไมควรสราง Short-cut หรอปมกดงายบน Desktop ทเชอมตอไปยงขอมลส าคญขององคกร ๒.๙ ผใช มหนาทและรบผดชอบตอการดแลรกษาความปลอดภยของเครองคอมพวเตอร โดยควร
ปฏบต ดงน ๒.๙.๑ ไมควรน าอาหารหรอเครองดมอยใกลบรเวณเครองคอมพวเตอร ๒.๙.๒ ไมควรวางสอแมเหลกไวใกลหนาจอเครองคอมพวเตอรหรอ Disk Drive
๓. การควบคมการเขาถงระบบปฏบตการ ๓.๑ ผใช ตองก าหนดชอผใชงาน (User name) และรหสผาน (Password) ในการเขาใชงาน
ระบบปฏบตการ ๓.๒ ผใช ควรตงการใชงานโปรแกรมรกษาจอภาพ (Screen Saver) โดยตงเวลาประมาณ ๑๐ นาท
เพอใหท าการลอคหนาจอเมอไมมการใชงาน หลงจากนนเมอตองการใชงานผใชตองใสรหสผาน ๓.๓ ผใช ไมควรอนญาตใหผอนใชชอผใชงาน (User name) และรหสผาน (Password) ของตน ใน
การเขาใชเครองคอมพวเตอรรวมกน
โครงการจดท าแผนแมบท ICT นโยบายและแนวปฏบตตามมาตรฐาน ISO 27001 หนา ๕-๒
๓.๔ ในระหวางเวลาพกกลางวนและหลงเลกงาน ผใชควร Logout ออกจากเครองคอมพวเตอรหรอลอคหนาจอดวยโปรแกรม Screen Saver
๔. แนวทางปฏบตในการใชรหสผาน ๔.๑ ใหผใชปฏบตตามแนวทางการบรหารจดการรหสผานทระบไว ในเอกสาร "การบรหารจดการ
สทธการใชงานระบบและรหสผาน”
๕. การปองกนจากโปรแกรมชดค าสงไมพงประสงค(Malware) ๕.๑ ผใช ตองท าการ Update ระบบปฏบตการ เวบบราวเซอรและโปรแกรมใชงานตาง ๆ อยาง
สม าเสมอ เพอปดชองโหว(Vulnerability) ทเกดขนจากซอฟทแวรเปนการปองกนการโจมตจากภยคกคามตาง ๆ
๕.๒ ผใช มหนาทรบผดชอบในการตดตงโปรแกรมปองกนไวรส (Antivirus) ใหกบเครองคอมพวเตอร
๕.๓ ผใช ควรตรวจสอบหาไวรสจากสอตาง ๆ เชน Floppy Disk, Thumb Drive และ Data Storage อน ๆ กอนน ามาใชงานรวมกบเครองคอมพวเตอร
๕.๔ ผใชควรตรวจสอบไฟลทแนบมากบจดหมายอเลกทรอนกสหรอไฟลทดาวนโหลดมาจากอนเทอรเนตดวยโปรแกรมปองกนไวรส กอนใชงาน
๕.๕ ผใชควรตรวจสอบขอมลคอมพวเตอรใดทมชดค าสงไมพงประสงครวมอยดวย ซงมผลท าใหขอมลคอมพวเตอร หรอระบบคอมพวเตอรหรอชดค าสงอนเกดความเสยหาย ถกท าลาย ถกแกไขเปลยนแปลง หรอปฏบตงานไมตรงตามค าสงทก าหนดไว
๖. การส ารองขอมลและการกคน ๖.๑ ผใชตองรบผดชอบในการส ารองขอมลจากเครองคอมพวเตอรไวบนสอบนทกอน ๆ ๖.๒ ผใชมหนาทเกบรกษาสอขอมลส ารอง(Backup Media) ไวในสถานททเหมาะสม ไมเสยงตอ
การรวไหลของขอมลและทดสอบการกคนขอมลทส ารองไวอยางสม าเสมอ ๖.๓ ผใชควรประเมนความเสยงวาขอมลทเกบไวบน Hard Disk ไมควรจะเปนขอมลส าคญเกยวของ
กบการท างาน เพราะอาจกระทบตอการด าเนนการขององคกร
โครงการจดท าแผนแมบท ICT นโยบายและแนวปฏบตตามมาตรฐาน ISO 27001 หนา ๖-๑
บทท ๖ การใชงานเครองคอมพวเตอรแบบพกพา (Use of Notebook Computer)
๑. วตถประสงค
เพอสรางความมนคงปลอดภยส าหรบอปกรณเครองคอมพวเตอรแบบพกพาและการน าไปปฏบตงานภายนอกองคกร เพอเปนการปองกนขอมลและอปกรณขององคกรใหเกดความปลอดภย ผใชจงควรรบทราบถงขอก าหนดและมาตรฐานในการใชงาน การบ ารงรกษาและสงทควรหลกเลยง ในการใชเครองคอมพวเตอรแบบพกพาใหมประสทธภาพสงสด
๒. การใชงานทวไป ๒.๑ เครองคอมพวเตอรแบบพกพาทองคกรอนญาตใหผใชใชงานเปนทรพยสนขององคกร ดงนน
ผใชจงควรใชงานเครองคอมพวเตอรแบบพกพาอยางมประสทธภาพเพองานขององคกร ๒.๒ โปรแกรมทไดถกตดตงลงบนเครองคอมพวเตอรแบบพกพาขององคกรตองเปนโปรแกรมท
องคกรไดซอลขสทธถกตองตามกฎหมาย ดงนนหามผใชคดลอกโปรแกรมตาง ๆ และน าไปตดตงบนเครองคอมพวเตอรแบบพกพาหรอแกไขหรอน าไปใหผอนใชงานโดยผดกฎหมาย
๒.๓ การตงชอเครองคอมพวเตอร (computer name) แบบพกพาจะตองก าหนดโดยเจาหนาทศนยเทคโนโลยสารสนเทศ เทานน
๒.๔ การเคลอนยายหรอสงเครองคอมพวเตอรแบบพกพาตรวจซอมจะตองด าเนนการโดยเจาหนาทของศนยเทคโนโลยสารสนเทศโนฯ เทานน
๒.๕ ผใชควรศกษาและปฏบตตามคมอการใชงานอยางละเอยด เพอการใชงานอยางปลอดภยและมประสทธภาพ
๒.๖ ไมดดแปลงแกไขสวนประกอบตาง ๆ ของคอมพวเตอรและรกษาสภาพคอมพวเตอรใหมสภาพเดม
๒.๗ ในกรณทตองการเคลอนยายเครองคอมพวเตอรแบบพกพา ควรใสกระเปาส าหรบเคร องคอมพวเตอรแบบพกพา เพอปองกนอนตรายทเกดจากการกระทบกระเทอน เชน การตกจากโตะท างาน หรอหลดมอ เปนตน
๒.๘ ไมควรใสเครองคอมพวเตอรแบบพกพาไปในกระเปาเดนทางทเสยงตอการถถกกดทบโดยไมไดตงใจจากการมของหนกทบบนเครอง หรออาจถกจบโยนได
๒.๙ การใชเครองคอมพวเตอรแบบพกพาเปนระยะเวลานานเกนไป ในสภาพทมอากาศรอนจด ควรปดเครองคอมพวเตอรเพอเปนการพกเครองสกระยะหนงกอนเปดใชงานใหมอกครง
๒.๑๐ หลกเลยงการใชนวหรอของแขง เชน ปลายปากกา กดสมผสหนาจอ LCD ใหเปนรอยขดขวนหรอท าใหจอ LCD ของเครองคอมพวเตอรแบบพกพาแตกเสยหายได
๒.๑๑ ไมควรวางของทบบนหนาจอและแปนพมพ ๒.๑๒ การเคลอนยายเครอง ขณะทเครองเปดใชงานอย ใหท าการยกจากฐานภายใตแปนพมพ หาม
ยายเครองโดยการดงหนาจอภาพขน ๒.๑๓ ไมควรเคลอนยายเครองในขณะท Hard Disk ก าลงท างาน ๒.๑๔ ไมควรใชหรอวางเครองคอมพวเตอรแบบพกพาใกลสงทเปนของเหลว ความชน เชน อาหาร
น า กาแฟ เครองดมตาง ๆ เปนตน
โครงการจดท าแผนแมบท ICT นโยบายและแนวปฏบตตามมาตรฐาน ISO 27001 หนา ๖-๒
๒.๑๕ ไมควรใชหรอวางเครองคอมพวเตอรแบบพกพา ควรอยในสภาพแวดลอมทมอณหภมสงกวา ๔๐ องศาเซลเชยส
๒.๑๖ ไมควรวางเครองคอมพวเตอรแบบพกพาไวใกลอปกรณทมสนามแมเหลกไฟฟาแรงสงในระยะใกล เชน แมเหลก โทรทศน ไมโครเวฟ ตเยน เปนตน
๒.๑๗ ไมควรตดตงหรอวางคอมพวเตอรแบบพกพาในทมการสนสะเทอน เชน ในยานพาหนะทก าลงเคลอนท
๒.๑๘ การเชดท าความสะอาดหนาจอภาพควรเชดอยาเบามอทสด และควรเชดไปในแนวทางเดยวกนหามเชดแบบหมนวน เพราะจ าท าใหหนาจอมรอยขดขวนได
๓. ความปลอดภยทางดานกายภาพ ๓.๑ ผใชมหนาทรบผดชอบในการปองกนการสญหาย เชน ควรลอคเครองขณะทไมไดใชงาน ไมวาง
เครองทงไวในทสาธารณะ หรอในบรเวณทมความเสยงตอการสญหาย ๓.๒ ผใช ไมควรเกบหรอใชงานคอมพวเตอรแบบพกพาในสถานททมความรอน/ความชน/ฝนละออง
สงและตองระวงปองกนการตกกระทบ ๓.๓ หามมใหผใชท าการเปลยนแปลงแกไขสวนประกอบยอย(Sub component) ทตดตงอยภายใน
รวมถงแบตเตอร
๔. การควบคมการเขาถงระบบปฏบตการ ๔.๑ ผใช ตองก าหนดชอผใชงาน(User name) และรหสผาน(Password) ในการเขาใชงาน
ระบบปฏบตการของเครองคอมพวเตอรแบบพกพา ๔.๒ ผใชควรก าหนดรหสผานใหมคณภาพด ๔.๓ ผใชควรตงการใชงานโปรแกรมรกษาจอภาพ(Screen Saver) โดยตงเวลาประมาณ ๑๐ นาท
ใหท าการลอคหนาจอเมอไมมการใชงาน ๔.๔ ผใชตองท าการ Logout ออกจากระบบทนทเมอเลกใชงานหรอไมอยทหนาจอเปนเวลานาน
๕. แนวทางปฏบตในการใชรหสผาน ๕.๑ ใหผใชปฏบตตามแนวทางการบรหารจดการรหสผานทระบไวในเอกสาร “การบรหารจดการ
สทธการใชงานระบบและรหสผาน”
๖. การปองกนจากโปรแกรมชดค าสงไมพงประสงค(Malware) ๖.๑ ผใช ตองท าการ Update ระบบปฏบตการ เวบบราวเซอร และโปรแกรมการใชงานตาง ๆ
อยางสม าเสมอเพอปดชองโหว(Vulnerability) ทเกดขนจากซอฟทแวรเปนการปองกนการโจมตจากภยคกคามตาง ๆ
๖.๒ หามมใหผใชท าการปดหรอยกเลกระบบการปองกนไวรส ทตดตงอยบนเครองคอมพวเตอรแบบพกพา
๖.๓ หากผใชพบหรอสงสยวาเครองคอมพวเตอรแบบพกพาตดชดค าสงไมพงประสงค(Malware) หามมใหผใชเชอมตอเครองเขากบระบบเครอขายเพอปองกนการแพรกระจายของชดค าสงทไมพงประสงคไปยงเครองอน ๆ ได
โครงการจดท าแผนแมบท ICT นโยบายและแนวปฏบตตามมาตรฐาน ISO 27001 หนา ๖-๓
๗. การส ารองขอมลและการกคน ๗.๑ ผใชควรท าการส ารองขอมลจากเครองคอมพวเตอรแบบพกพา โดยวธการและสอตาง ๆ เพอ
ปองกนการสญหายของขอมล ๗.๒ ผใชควรจะเกบรกษาสอส ารองขอมล(Backup media) ไวในสถานททเหมาะสม ไมเสยงตอการ
รวไหลของขอมล ๗.๓ แผนสอส ารองขอมลตาง ๆ ทเกบขอมลไวจะตองท าการทดสอบการกคนอยางสม าเสมอ ๗.๔ แผนสอส ารองขอมลทไมใชงานแลว ควรท าลายไมใหสามารถน าไปใชงานไดอก
โครงการจดท าแผนแมบท ICT นโยบายและแนวปฏบตตามมาตรฐาน ISO 27001 หนา ๗-๑
บทท ๗ การใชงานอนเทอรเนต (Use of the Internet)
๑. วตถประสงค
เพอใหผใชรบทราบกฎเกณฑแนวทางปฏบตในการใชงานอนเทอรเนตอยาปลอดภยและเปนการปองกนไมใหละเมดพระราชบญญตวาดวยการกระท าผดเกยวกบคอมพวเตอร เชน การสงขอมล ขอความ ค าสง ชดค าสง หรอสงอนใดทอยในระบบคอมพวเตอรแกบคคลอนอนเปนการรบกวนการใชระบบคอมพวเตอรของบคคลอนโดยปกตสข ท าใหระบบคอมพวเตอรขององคกรถกระงบ ชะลอ ขดขวางหรอถกรบกวนจนไมสามารถท างานตามปกตได
๒. แนวทางปฏบตในการใชงานอนเทอรเนต ๒.๑ ผดแลระบบ ควรก าหนดเสนทางการเชอมตอระบบคอมพวเตอรเพอการเขาใชงานอนเทอรเนต
ทตองเชอมตอผานระบบรกษาความปลอดภยทองคกรจดสรรไวเทานน เชน Proxy, Firewall, IP-IDS เปนตน หามผใชท าการเชอมตอระบบคอมพวเตอรผานชองทางอน เชน Dial-Up Modem ยกเวนแตวามเหตผลความจ าเปนและท าการขออนญาตจากหวหนากลมงานสารสนเทศความมนคง ฯ เปนลายลกษณอกษรแลว
๒.๒ เครองคอมพวเตอรสวนบคคลสวนบคคลและเครองคอมพวเตอรพกพา กอนท าการเชอมตออนเทอรเนตผานเวบบราวเซอร(Web Browser) ตองมการตดตงโปรแกรมปองกนไวรส และท าการอดชองโหวของระบบปฏบตการทเวบบราวเซอรตดตงอย
๒.๓ ในการรบสงขอมลคอมพวเตอรผานทางอนเทอรเนตจะตองมการทดสอบไวรส (Virus scanning) โดยโปรแกรมปองกนไวรส กอนการรบสงขอมลทกครง
๒.๔ ผใชตองไมใชเครอขายอนเทอรเนตขององคกร เพอหาประโยชนในเชงธรกจสวนตว และท าการเขาสเวบไซตทไมเหมาะสม เชน เวบไซดทขดตอศลธรรม เวบไซตทมเนอหาทขดตอชาต ศาสนา พระมหากษตรย หรอเวบไซตทเปนภยตอสงคม เปนตน
๒.๕ ผใชจะถกก าหนดสทธในการเขาถงแหลงขอมลตามหนาทความรบผดชอบ เพอประสทธภาพของเครอขายและความปลอดภยทางขอมลขององคกร
๒.๖ ผใชตองไมเผยแพรขอมลทเปนการหาประโยชนสวนตวหรอขอมลทไมเหมาะสมทางศลธรรม หรอขอมลทละเมดสทธของผอน หรอขอมลทอาจกอความเสยหายใหกบองคกร
๒.๗ หามผใชเปดเผยขอมลส าคญทเปนความลบเกยวกบงานขององคกร ทยงไมไดประกาศอยางเปนทางการผานอนเทอรเนต
๒.๘ ผใชไมน าเขาขอมลคอมพวเตอรคอมพวเตอรใด ๆ ทมลกษณะอนเปนเทจ อนเปนความผดเกยวกบความมนคงแหงราชอาณาจกร อนเปนความผดเกยวกบการกอการราย หรอภาพทมลกษณะอนลามก และไมท าการเผยแพรหรอสงตอขอมลคอมพวเตอรดงกลาวผานอนเทอรเนต
๒.๙ ผใชไมน าเขาขอมลคอมพวเตอรทเปนภาพของผอนและภาพนนเปนภาพทเกดจากการสรางขน ตดตอ เตมหรอดดแปลงดวยวธการทางอเลกทรอนกส หรอวธการอนใด ทงนจะท าใหผอนนนเสยชอเสยง ถกดหมน ถกเกลยดชง หรอไดรบความอบอาย
๒.๑๐ ผใชมหนาทตรวจสอบความถกตองและความนาเชอถอของขอมลคอมพวเตอรทอยบนอนเทอรเนตกอนน าขอมลไปใชงาน
โครงการจดท าแผนแมบท ICT นโยบายและแนวปฏบตตามมาตรฐาน ISO 27001 หนา ๗-๒
๒.๑๑ ผใชตองระมดระวงการดาวนโหลดโปรแกรมใชงานจากอนเทอรเนต ซงรวมถง Patch หรอ Fixes ตาง ๆ จากผขาย ตองเปนไปโดยไมละเมดทรพยสนทางปญญา
๒.๑๒ การใชงานเวบบอรด(Web Board) ขององคกร ผใชตองไมเปดเผยขอมลทส าคญและเปนความลบขององคกร
๒.๑๓ ในการเสนอความคดเหน ผใชตองไมใชขอวามทยวย ใหราย ทจะท าใหเกดความเสอมเสยตอชอเสยงขององคกร การท าลายความสมพนธกบเจาหนาทของหนวยงานอน ๆ
๒.๑๔ หลงจากใชงานอนเทอรเนตเสรจแลว ใหท าการปดเวบบราวเซอรเพอปองกนการเขาใชงานโดยบคคลอน ๆ
โครงการจดท าแผนแมบท ICT นโยบายและแนวปฏบตตามมาตรฐาน ISO 27001 หนา ๘-๑
บทท ๘ การใชงานจดหมายอเลกทรอนกส (Use of Electronic Mail)
๑. วตถประสงค
ก าหนดมาตรการการใชงานจดหมายอเลกทรอนกสผานระบบเครอขายขององคกร ซงผใชจะตองใหความส าคญและตระหนกถงปญหาทเกดขนจากการใชบรการจดหมายอเลกทรอนกสบนเครอขายอนเทอรเนต ผใชจะตองเขาใจกฎเกณฑตาง ๆ ทผดแลระบบเครอขายวางไว ไมละเมดสทธหรอกระท าการใด ๆ ทจะสรางปญหา หรอไมเคารพกฎเกณฑทวางไว และจะตองปฏบตตามค าแนะน าของผดแลระบบเครอขายนนอยางเครงครด จะท าใหการใชงานจดหมายอเลกทรอนกสผานระบบเครอขายเปนไปอยางปลอดภยและมประสทธภาพ
๒. แนวทางปฏบตในการสงจดหมายอเลกทรอนกส ๒.๑ ผดแลระบบตองก าหนดสทธการเขาถงระบบจดหมายอเลกทรอนกสขององคกร ใหเหมาะสม
กบการเขาใชบรการของผใชระบบและหนาทความรบผดชอบของผใช รวมทงมการทบทวนสทธการเขาใชงานอยางสม าเสมอ เชน การลาออก เปนตน
๒.๒ ผดแลระบบตองก าหนดสทธบญชรายชอผใชรายใหมและรหสผาน ส าหรบการใชงานครงแรก เพอใชในการตรวจสอบตวตนจรงของผใชระบบจดหมายอเลกทรอนกสขององคกร
๒.๓ ส าหรบผใชรายใหมจะไดรบรหสผานครงแรก (Default Password) ในการผานเขาระบบจดหมายอเลกทรอนกสและเมอมการเขาสระบบในครงแรกนน ระบบจะตองมการบงคบใหเปลยนรหสผานโดยทนท
๒.๔ การก าหนดรหสผานทด (Good Password) มแนวทางปฏบตตามทระบไวในเอกสาร “การบรหารจดการสทธการใชงานระบบและรหสผาน)
๒.๕ รหสจดหมายอเลกทรอนกส เวลาใสรหสผานตองไมปรากฏหรอแสดงรหสผานออกมา แตตองแสดงออกมาในรปของสญลกษณแทนตวอกษรนน เขน “x” หรอ O ในการพมพแตละตวอกษร
๒.๖ ผดแลระบบควรก าหนดจ านวนครงทยอมใหผใชงานใสรหสผานผดได ซงในทางปฏบตโดยทวไปไมเกน ๓ ครง
๒.๗ ผดแลระบบควรก าหนดใหระบบจดหมายอเลกทรอนกส ควรมการ Logout ออกจากหนาจอตดการใชงานผใชเมอผใชไมไดใชงานระบบเปนระยะเวลาตามทก าหนดไว เชน ๑๕ นาท เมอตองการเขาใชงานตอตองใสชอผใชและรหสผานอกครง
๒.๘ ผใชไมควรตงคาการใชโปรแกรมชวยจ ารหสผานสวนบคคลอตโนมต (Save Password) ของระบบจดหมายอเลกทรอนกส
๒.๙ ผใชควรมการเปลยนรหสผานอยางเครงครด เชน ควรเปลยนรหสผานทก ๓-๖ เดอน ๒.๑๐ ผใชควรระมดระวงในการใชจดหมายอเลกทรอนกสเพอไมใหเกดความเสยหายตอองคกรหรอ
ละเมดลขสทธ สรางความนาร าคาญตอผอน หรอผดกฎหมาย หรอละเมดศลธรรม และไมแสวงหาประโยชน หรออนญาตใหผอนแสวงหาผลประโยชนในเชงธรกจจากการใชจดหมายอเลกทรอนกสผานระบบเครอขายขององคกร
โครงการจดท าแผนแมบท ICT นโยบายและแนวปฏบตตามมาตรฐาน ISO 27001 หนา ๘-๒
๒.๑๑ ขอหาม ผใชไมควรใชทอยจดหมายอเลกทรอนกส (e-mail address) ของผอนเพออาน รบสงขอความ ยกเวนแตจะไดรบการยนยอมจากเจาของผ ใชและใหถอวาเจาของจดหมายอเลกทรอนกสเปนผรบผดชอบตอการใชงานตาง ๆ ในจดหมายอเลกทรอนกสของตน
๒.๑๒ ผใชควรใชทอยจดหมายอเลกทรอนกสขององคกร เพอการท างานขององคกรเทานน ๒.๑๓ หลงจากการใชงานระบบจดหมายอเลกทรอนกสเสรจสน ควรท าการ Logout ออกจากระบบ
ทกครง เพอปองกนบคคลอนเขาใชงานจดหมายอเลกทรอนกส ๒.๑๔ ผใชควรท าการตรวจสอบเอกสารแนบจากจดหมายอเลกทรอนกสกอนท าการเปด เพอท าการ
ตรวจสอบไฟลโดยใชโปรแกรมปองกนไวรส เปนการปองกนในการเปดไฟลทเปน Executable File เชน .exe, .com เปนตน
๒.๑๕ ผใชไมเปดหรอสงจดหมายอเลกทรอนกสหรอขอความทไดรบจากผสงทไมรจก ๒.๑๖ ผใชไมควรใชขอความทไมสภาพหรอรบสงจดหมายอเลกทรอนกสทไมเหมาะสม ขอมลอนอาจ
ท าใหเสยชอเสยงขององคกร ท าใหเกดความแตกแยกระหวางองคกรผานทางจดหมายอเลกทรอนกส
๒.๑๗ ในกรณทตองการสงขอมลทเปนความลบ ไมควรระบความส าคญของขอมลลงในหวขอจดหมายอเลกทรอนกส
๒.๑๘ ผใชควรตรวจสอบตเกบจดหมายอเลกทรอนกสของตนเองทกวน และควรจดเกบแฟมขอมลและจดหมายอเลกทรอนกสของตนใหเหลอจ านวนนอยทสด
๒.๑๙ ผใชควรลบจดหมายอเลกทรอนกสทไมตองการออกจากระบบเพอลดปรมาณการใชเนอทระบบจดหมายอเลกทรอนกส
๒.๒๐ ขอควรระวง ผใชไมควรโอนยายจดหมายอเลกทรอนกสทจะใชอางองภายหลง มายงเครองคอมพวเตอรของตน เพอเปนการปองกนผอนแอบอานจดหมายได ดงนนไมควรจดเกบขอมลหรอจดหมายอเลกทรอนกสทไมไดใชแลวไวในตจดหมายอเลกทรอนกส
.
โครงการจดท าแผนแมบท ICT นโยบายและแนวปฏบตตามมาตรฐาน ISO 27001 หนา ๙-๑
บทท ๙ การควบคมการเขาถงระบบเครอขายไรสาย (Wireless LAN Access Control)
๑. วตถประสงค
เพอก าหนดมาตรฐานการควบคมการเขาถงระบบเครอขายไรสาย(Wireless LAN) ขององคกร โดยการก าหนดสทธของผใชในการเขาถงระบบใหเหมาะสมตามหนาทความรบผดชอบในการปฏบตงาน รวมทงมกาทบทวนสทธการเขาถงอยางสม าเสมอ ทงนผใชระบบตองผานการพสจนตวตนจรงจากระบบ วาไดรบอนญาตจากผดแลระบบ เพอสรางความมนคงปลอดภยของการใชง านระบบเครอขายไรสาย
๒. แนวทางปฏบตในการควบคมการเขาถงระบบเครอขายไรสาย ๒.๑ ผใชทตองการเขาถงระบบเครอขายไรสายขององคกร จะตองท าการลงทะเบยนกบผดแลระบบ ๒.๒ ผดแลระบบ ตองท าการลงทะเบยน ก าหนดสทธผใชงานในการเขาถงระบบเครอขายไรสายให
เหมาะสมกบหนาทความรบผดชอบในการปฏบตงานกอนเขาใชระบบเครอขายไรสาย รวมทงมการทบทวนสทธการเขาถงอยางสม าเสมอ ทงนระบบจะตองไดรบอนญาตจากผดแลระบบตามความจ าเปนในการใชงาน
๒.๓ ผดแลระบบจะตองท าการลงทะเบยนอปกรณทกตวทใชตดตอระบบเครอขายไรสาย ๒.๔ ผดและระบบตองก าหนดต าแหนงการวางอปกรณ Access Point(AP) ใหเหมาะสมเปนการ
ควบคมไมใหสญญาณของอปกรณรวไหลออกไปนอกบรเวณทใชงาน เพอปองกนไมใหผโจมตสามารถรบสงสญญาณจากภายนอกอาคารหรอบรเวณขอบเขตทควบคมได
๒.๕ ผดแลระบบควรเลอกใชก าลงสงใหเหมาะสมกบพนทใชงานและควรส ารวจวาสญญาณรวไหลออกไปภายนอกหรอไม นอกจากนการใชเสาอากาศพเศษทสามารถก าหนดทศทางการแพรกระจายของสญญาณอาจชวยลดการรวไหลของสญญาณใหดขน
๒.๖ ผดแลระบบ ควรท าการเปลยนคา SSID (Service Set Identifier) ทถกก าหนดเปนคา Default มาจากผผลตทนททน า AP มาใชงาน
๒.๗ ผดแลระบบ ควรเปลยนคาชอ Login และรหสผานส าหรบการตงคาการท างานของอปกรณไรสาย และผดแลระบบควรเลอกใชชอ Login และรหสผานทมความคาดเดาไดยากเพอปองกนผโจมตไมใหสามารถเดาหรอเจาะรหสไดโดยงาย
๒.๘ ผดแลระบบตองก าหนดคาใช Web หรอ WPA ในการเขารหสหรอขอมลระหวาง Wireless LAN Client และ AP เพอใหยากตอการดกจบ จะชวยใหปลอดภยมากขน
๒.๙ ผดแลระบบควรเลอกใชวธการควบคม MAC Address ของผใชทมสทธในการเขาใชงานระบบเครอขายไรสาย โดยจะอนญาตเฉพาะอปกรณทม MAC Address ในการเชอมตอกบเครอขายไรสายตาม SSID ทก าหนดไวตามหนวยงานนนๆ เวนบคคลภายนอกก าหนดใหใชงานเครอขายไรสาย โดยไมควบคม MAC Address แตใหใชงานไดตาม SSID ทผดแลระบบก าหนดเทานน
๒.๑๐ ผดแลระบบควรจะมการตดตง Firewall ระหวางเครอขายไรสายกบเครอขายภายในองคกร ๒.๑๑ ผดแลระบบ ควรก าหนดใหผใชในระบบเครอขายไรสายตดตอสอสารไดเฉพาะกบ VPN
(Virtual Private Network) เพอชวยปองกนการโจมต
โครงการจดท าแผนแมบท ICT นโยบายและแนวปฏบตตามมาตรฐาน ISO 27001 หนา ๙-๒
๒.๑๒ ผดแลระบบ ควรใชซอฟทแวรหรอฮารดแวรตรวจสอบความมนคงปลอดภยของระบบเครอขายไรสายอยางสม าเสมอ เพอคอยตรวจสอบและบนทกเหตการณทนาสงสยเกดขนในระบบเครอขายไรสาย
โครงการจดท าแผนแมบท ICT นโยบายและแนวปฏบตตามมาตรฐาน ISO 27001 หนา ๑๐-๑
บทท ๑๐ การใชงานระบบไฟรวอลล (Firewall Policy)
๑. วตถประสงค เพอปองกนการบกรกจากบคคลภายนอก ในการเขามาในระบบเครอขายภายในองคกรได ท าการตรวจสอบตดตามแพคเกต โดยจะอนญาตใหผมสทธเขา-ออกระบบ เพอควบคมการเชอมตอจากภายนอกสภายในองคกร และจากภายในองคกรสภายนอกองคกร
๒. แนวทางปฏบตในการรกษาความปลอดภยไฟรวอลล (Firewall) ๒.๑ ผดแลระบบตองเฝาระวงและบรหารจดการระบบรกษาความปลอดภย (Firewall) ๒.๒ ผดแลระบบตองก าหนดนโยบาย (Policy) การใชงานไฟรวอลล ๒.๓ ผดแลระบบตองจดใหมระบบตรวจสอบตวตนจรงและสทธการเขาใชงานของผใชงาน
(Identification and Authentication) กอนเขาสระบบงานคอมพวเตอรทรดกมเพยงพอ เชนการก าหนดรหสผาน (Password) ใหยากแกการคาดเดา เปนตน
๒.๔ ผดแลระบบตองก าหนดคา (Configuration) หรอก าหนดนโยบาย (Policy) เพอกลนกรองขอมลทมาทางเวบไซตใหมความปลอดภยตอระบบสารสนเทศและเครอขายคอมพวเตอร ปองกนผบกรก ไวรส รวมทง malicious code ตางๆ มใหเขาถง (Access Risk) หรอสรางความเสยหาย (Availability Risk) แกขอมลหรอการท างานของระบบคอมพวเตอร
๒.๕ ผดแลระบบตองก าหนดขนตอนหรอวธปฏบตในการตรวจสอบการรกษาความปลอดภยระบบคอมพวเตอรแมขาย และในกรณทพบวามการใชงานหรอเปลยนแปลงคา Parameter ในลกษณะทผดปกตตองด าเนนการแกไข รวมทงมการรายงานผบงคบบญชาโดยทนท
๒.๖ การเปดใชบรการ (Service) ตองไดรบอนญาตจากผอ านวยการศนยสารสนเทศเพอการพฒนาชมชน ทงน หากบรการทจ าเปนตองใชมความเสยงตอระบบรกษาความปลอดภย ผดแลระบบตองก าหนดมาตรการปองกนเพมเตม
๒.๗ ผดแลระบบตองเปดใชงานไฟรวอลลตลอดเวลา ๒.๘ ผดแลระบบตองออกจากระบบงาน (Log Out) ในชวงเวลาทมไดอยปฏบตงานทหนาเครอง
คอมพวเตอร ๒.๙ ผดแลระบบตองก าหนดใหมการควบคมการใชงาน โดยการจดใหมบญชผใชงาน ๒.๑๐ ผดแลระบบการใชงานตองบนทกชอผใชงาน (Username) และรหสผาน (Password) เพอเปน
การตรวจสอบผใชกอนเขาใชงานระบบ (Authentication) และควบคมบคคลทไมเกยวของมใหเขาถง ลวงร(Access Risk) หรอแกไข เปลยนแปลง (Integrity Risk) ขอมลหรอการท างานของระบบคอมพวเตอรในสวนทมไดมอ านาจหนาทเกยวของ
๒.๑๑ ผดแลระบบตองตดตง Patch ทจ าเปนของระบบงานส าคญ เพออดชองโหวตาง ๆ ของซอฟตแวรระบบ (System Software) เชน ระบบปฏบตการ DBMS Web Server เปนตน อยางสม าเสมอ
๒.๑๒ ผดแลระบบตองทดสอบซอฟตแวรระบบ (System Software) เกยวกบการรกษาความปลอดภย และประสทธภาพการใชงานโดยทวไปกอนตดตง และหลงการแกไข หรอบ ารงรกษา
โครงการจดท าแผนแมบท ICT นโยบายและแนวปฏบตตามมาตรฐาน ISO 27001 หนา ๑๐-๒
๒.๑๓ ผบงคบบญชาตองก าหนดบคคลรบผดชอบในการก าหนด แกไข หรอเปลยนแปลงคา Parameter ตางๆ อยางชดเจน
๒.๑๔ ผขอใชงานตองยอมรบ และปฏบตตามนโยบายดานความปลอดภยอยางเครงครด ๒.๑๕ ในการขอใชงานหากพบวาการ ขดตอนโยบาย ประกาศ ระเบยบ ขององคกร หรอกฎหมาย
หรออาจท าใหเกดชองโหวดานความปลอดภยตอระบบสารสนเทศ จะไมอนญาตใหใชงาน ๒.๑๖ ภายหลงการอนญาตใหใชงานหากพบวามการใชงานทขดตอนโยบาย ประกาศ ระเบยบ ของ
องคกร หรอกฎหมาย หรออาจจะท าใหเกดชองโหวดานความปลอดภยตอระบบสารสนเทศ หรอท าใหเกดความเสยหายตอระบบสารสนเทศ จะยกเลกการใหบรการทนท
๒.๑๗ ผดแลระบบตองก าหนดแนวทางปฏบตในการใชงาน software utility เชน personal firewall password cracker เปนตน และตรวจสอบการใชงาน software utility อยางสม าเสมอ
โครงการจดท าแผนแมบท ICT นโยบายและแนวปฏบตตามมาตรฐาน ISO 27001 หนา ๑๑-๑
บทท ๑๑ การใชงานระบบตรวจจบและปองกนผบกรก (Intrusion Detection System (IDS) and Intrusion Prevention System (IPS))
๑. วตถประสงค
เพอปองการบกรกจากบคคลทไมพงประสงค โดยมรายงานทสามารถตรวจสอบการด าเนนกจกรรมของผใชได ตลอดจนการตดตามสบคนหารชองโหวของระบบ และคนหาทมาของผบกรกไดอยางมประสทธภาพ
๒. แนวทางปฏบตในการงานระบบตรวจจบและปองกนผบกรก ๒.๑ ผดแลระบบตองก าหนดใหมการเฝาระวงและรกษาอปกรณตรวจจบและปองกนการบกรก
ระบบ (IDS/IPS) เหตการณผดปกตและการแจงเตอนตางๆ ทอปกรณตรวจพบจะถกท าการวเคราะหและหาสาเหตของการบกรกในระบบเทคโนโลยสารสนเทศขององคกร เพอเปนเครองมอส าหรบการสบสวนหาบคคลทโจมต บกรก หรอใชระบบในทางทผด ปองกนกอนทจะเกดการโจมต
๒.๒ ผดแลระบบตองเกบสถตเกยวกบความพยายามทบกรกหรอโจมตองคกร เปนเครองมอในการวดประสทธภาพในการปองกนภยของระบบรกษาความปลอดภยอน เชน ไฟรวอลล เปนตน และเพอเปนการปองกนเครอขายคอมพวเตอรภายในจากอนตรายทมาจากเครอขายคอมพวเตอรภายนอก เชน ผบกรก หรอ Hacker รวมทงไวรสประเภทตาง ๆ
๒.๓ ผดแลระบบตองมการบรหารจดการเหตการณบกรกระบบ (Incident Management) เปนการตอบสนองตอเหตการณบกรกทางเครอขาย สามารถชวยวเคราะหลกษณะการบกรกทางเครอขาย และท าใหสามารถแกไขสถานการณไดอยางถกตอง ลดความเสยงและผลกระทบทอาจเกดขนจากการบกรก โดยตองจดล าดบความส าคญของการบกรกจากผลกระทบทเกดขนกบองคกรและจดท าวธปฏบตทถกตองใหกบองคกรเพอปองกนเหตการณเกดซ า การตอบสนองตอเหตการณ การบกรกแบงเปน ๔ ขนตอนคอ
๑) จ ากดขอบเขต (Containment) จ ากดพนททเสยงตอการบกรกและจ ากดความรนแรงของการบกรก
๒) ก าจดตนเหต(Eradication) ก าจดตนเหตของการบกรก รวมถงปดกนชองทางของการบกรก
๓) กคนระบบ (Recovery) แกไขระบบทถกบกรกใหสามารถกลบมาท างานไดตามปกต
๔) ตดตามผล (Follow-Up) บนทกผลกระทบของเหตการณและแนะน าวธปฏบตเพอปองกนเหตการณเกดซ า
๒.๔ ผดแลระบบตองก าหนดบคคลรบผดชอบในการก าหนด แกไข หรอเปลยนแปลงคา parameter ตาง ๆ ของระบบเครอขาย และอปกรณตางๆ ทเชอมตอกบระบบเครอขายอยางชดเจน และมการทบทวนการก าหนดคา parameter ตางๆ อยางนอยปละครง
๒.๕ การก าหนด แกไข หรอเปลยนแปลงคา parameter ตองแจงบคคลทเกยวของใหรบทราบ ๒.๖ การใชเครองมอตางๆ (tools) เพอตรวจเชคระบบเครอขาย ตองไดรบการอนมตจากผมอ านาจ
หนาท และจ ากดการใชงานเฉพาะเทาทจ าเปน
โครงการจดท าแผนแมบท ICT นโยบายและแนวปฏบตตามมาตรฐาน ISO 27001 หนา ๑๑-๒
๒.๗ ผดแลระบบตองท าการตรวจสอบบนทกการปฏบตงานของผใชงานอยางสม าเสมอตองประเมนผลกระทบของการเปลยนแปลงทส าคญเปนลายลกษณอกษร ทงในดานการปฏบตงาน (operation) ระบบรกษาความปลอดภย (security) และการท างาน (functionality) ของระบบงานทเกยวของ
โครงการจดท าแผนแมบท ICT นโยบายและแนวปฏบตตามมาตรฐาน ISO 27001 หนา ๑๒-๑
บทท ๑๒ การรกษาสภาพความพรอมใชงานของการใหบรการ (IT Service Continuity)
๑. วตถประสงค
- เพอมนใจไดวาระบบสารสนเทศทใหบรการระบบสารสนเทศและขอมลส าคญขององคกรใหมความพรอมใชงานอยตลอด - เพอมนใจไดวาระบบสารสนเทศทใหบรการระบบสารสนเทศและขอมลส าคญขององคกรจะสามารถด าเนนการตอไปไดในขณะทองคกรเผชญกบภาวะวกฤตหรอภยพบต - เพอลดผลกระทบทอาจเกดขนกบองคกร โดยมการล าดบความส าคญจากผลกระทบจากความเสยหายของทรพยสนและผลการวเคราะหความเสยง เพอใชในการพจารณาวธการสรางความตอเนอง
๒. แนวทางปฏบตในการส ารองขอมล ระบบส ารอง และการปฏบตงานในสภาวะฉกเฉน ๒.๑ เครองคอมพวเตอรแมขาย (Server) ทมความส าคญตองมการส ารองขอมลใหอยในสภาพพรอม
ใชงาน ๒.๒ จดท าส าเนาขอมลและซอฟตแวรเกบไว โดยคดเลอกและจดเรยงล าดบตามผลกระทบจาก
ความสญเสยของระบบทมผลตอภารกจหลกของหนวยงาน ๒.๓ มขนตอนการปฏบตการส ารองขอมลและการกคนขอมลอยางถกตอง ทงระบบซอฟตแวร และ
ขอมลในระบบสารสนเทศ ๒.๔ จดเกบขอมลทส ารองในสอเกบขอมล โดยมการแสดงชอระบบทส ารองวน เดอน และเวลาใน
การส ารองขอมลไวอยางชดเจน ขอมลทส ารองตองจดเกบไวในสถานทเกบขอมลส ารองซงตดตงอยในสถานทจดท าระบบส ารอง และตองมการทดสอบสอเกบขอมลส ารองอยางนอยปละครง
๒.๕ ศนยเทคโนโลยสารสนเทศ ตองก าหนดสถานทและเตรยมพนทใหอยในสภาพพรอมใชงานระบบส ารอง
๒.๖ ศนยเทคโนโลยสารสนเทศ ตองก าหนดหนาทและความรบผดชอบของบคลากรซงดแลรบผดชอบระบบสารสนเทศ ระบบส ารอง และการจดท าแผนเตรยมความพรอมฉกเฉน
๒.๗ ศนยเทคโนโลยสารสนเทศ ตองด าเนนการทดสอบสภาพพรอมใชงานของระบบสารสนเทศ ระบบส ารอง และระบบแผนเตรยมความพรอมฉกเฉนปละ ๑ ครง
๒.๘ ผดแลระบบตองจดท าแผนเตรยมความพรอมกรณฉกเฉนทไมสามารถด าเนนการดวยระบบสารสนเทศไดตามปกต โดยตองทบทวนแผนเตรยมความพรอมกรณฉกเฉนดงกลาวอยางนอยปละ ๑ ครง เพอใหสามารถปรบใชไดอยางเหมาะสมและสอดคลองกบการใชงานตามภารกจ
๒.๙ ศนยเทคโนโลยสารสนเทศ และหนวยงานทเกยวของ ตองทดสอบปฏบตตามคมอแผนเตรยมความพรอมกรณฉกเฉนอยางนอยปละ ๑ ครง
โครงการจดท าแผนแมบท ICT นโยบายและแนวปฏบตตามมาตรฐาน ISO 27001 หนา ๑๓-๑
บทท ๑๓ การตรวจสอบและประเมนความเสยงดานสารสนเทศ (IT Risk Management)
๑. วตถประสงค
- เพอก าหนดกฎเกณฑการตรวจสอบและประเมนความเสยงของ ระบบเครอขาย และระบบเทคโนโลยสารสนเทศขององคกร - เพอมนใจไดวาความเสยงของระบบสารสนเทศขององคกรไดถกพจารณาและไดมการจดเตรยมมาตรการในการควบคมความเสยงทเหมาะสม - เพอปองกนและลดความเสยงดานความมนคงปลอดภยทอาจจะเกดขนกบองคกรได
๒. แนวทางปฏบตในการตรวจสอบและประเมนความเสยงดานสารสนเทศ ๒.๑ การระบความเสยงใหสอดคลองกบความเสยงทอาจจะเกดขนจรงกบการท างานดงตวอยางดงน
๒.๑.๑ ความเสยงทเกดจากการลอบเขาทางระบบปฏบตการเพอยดครองเครองคอมพวเตอรแมขายผานระบบอนเทอรเนต (Internet)
๒.๑.๒ ความเสยงทเกดจากการลกลอบเขาเชอมโยงกบระบบเครอขายไรสายโดยไมไดรบอนญาต
๒.๑.๓ ความเสยงทเกดจากเครองมอสารสนเทศ หรอระบบเครอขายเกดการขดของระหวางการใชงาน
๒.๑.๔ ความเสยงทเกดจากการลงบนทกเขาใชงาน (Login) สารสนเทศทส าคญผานระบบเครอขาย ทมชอผใช (Username) เดยวกนในเวลาเดยวกนมากกวาหนงจด
๒.๑.๕ ความเสยงอนทเกยวของกบระบบสารสนเทศองคกร ทอาจจะสงผลกระทบกบการปฏบตงานของหนวยงานในอนาคตได
๒.๒ การตรวจสอบและประเมนความเสยง ความรนแรงของผลกระทบทเกดจากความเสยงนนการตรวจสอบและประเมนความเสยงใหค านงถงองคประกอบดงตอไปน
๒.๒.๑ ความรนแรงของผลกระทบทเกดจากความเสยงทระบ ท าการประเมนในแตละดานของผลกระทบ โดยใหพจารณาถงมาตรการควบคมทมอยในปจจบนดวย
๒.๒.๒ ภยคกคามหรอสงทอาจกอใหเกดเหตการณทระบรวมถงความเปนไปไดทจะเกดขน โดยตองพจารณา ๒ ปจจยหลกดงน แนวโนมการเกดขนของเหตการณความเสยง พจารณาจากความนาจะเปนหรอคาทางสถตทมการบนทกไว เชน เหตการณความเสยงประเภทภยธรรมชาตตางๆ นาจะมแนวโนมการเกดต าเมอดจากสถตทเคยเกดขน ความยากงายทจะถกกระท า พจารณาจากจดออนหรอขอบกพรองทมอย และตวควบคมในปจจบน หากมจดออนหรอขอบกพรองมาก และไมมตวควบคมเลย โอกาสทจะเกดเหตการณความเสยงจะสงกวาในกรณทมตวควบคมอย
๒.๒.๓ จดออนหรอชองโหวทอาจถกใชในการกอใหเกดเหตการณทระบ พจารณาขอบกพรองของระบบหรอขอบกพรองของการควบคมทปจจบนอาจจะไมมอย และจะสงผลใหระบบไมมความมนคงปลอดภยทด
๒.๒.๔ ตรวจสอบและประเมนความเสยงดานสารสนเทศทอาจเกดขนกบระบบสารสนเทศของหนวยงานอยางนอยปละ ๑ ครง
โครงการจดท าแผนแมบท ICT นโยบายและแนวปฏบตตามมาตรฐาน ISO 27001 หนา ๑๓-๒
๒.๒.๕ การตรวจสอบจะตองด าเนนการโดยผตรวจสอบสารสนเทศของหนวยงาน (Internal IT Auditor) อยางนอยปละ ๑ ครง
โครงการจดท าแผนแมบท ICT นโยบายและแนวปฏบตตามมาตรฐาน ISO 27001 หนา ก-๑
ภาคผนวก
ภาคผนวก ก รายชอคณะกรรมการ
รายชอคณะกรรมการด าเนนการจางทปรกษาโดยวธตกลง
โครงการจดท าแผนแมบทเทคโนโลยสารสนเทศและการสอสาร พ.ศ. ๒๕๖๐–๒๕๖๔
และจดท านโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยสารสนเทศ
ตามแนวทางของมาตรฐาน ISO 27001 ของส านกงานสภาความมนคงแหงชาต
- - - - - - - - - - - - - - - - - - -
๑. นายวระ อไรรตน ประธานกรรมการ ๒. นายเทอดไท ศรอประ กรรมการ ๓. นายสนชย คราวฒม กรรมการ ๔. นายพลเทพ ธนโกเศศ กรรมการ ๕. นายผลน กลนขจร กรรมการและเลขานการ ๖. นายภทรพงศ ตณฑเจรญรตน กรรมการและผชวยเลขานการ
