ระเบยบกองทพบก

วาดวยการรกษาความมนคงปลอดภยระบบสารสนเทศของกองทพบก (ฉบบท ๒)

พ.ศ. ๒๕๖๐

เพอใหการรกษาความปลอดภยระบบสารสนเทศของกองทพบกเปนไปดวยความเรยบรอยและมประสทธภาพ จงวางระเบยบไว ดงตอไปน ขอ ๑ ระเบยบนเรยกวา “ระเบยบกองทพบก วาดวยการรกษาความมนคงปลอดภยระบบสารสนเทศของกองทพบก พ.ศ. ๒๕๖๐” ขอ ๒ ระเบยบนใหใชบงคบตงแตบดนเปนตนไป ขอ ๓ บรรดาระเบยบและค าสงอนใดในสวนทก าหนดไวแลว ซงขดหรอแยงกบระเบยบนใหใชระเบยบนแทน โดยยดถอใหอยภายใต พระราชกฤษฎกาก าหนดหลกเกณฑและวธการในการท าธรกรรมทางอเลกทรอนกสภาครฐ พ.ศ. ๒๕๔๙ และกรอบนโยบายดานการรกษาความมนคงปลอดภยเทคโนโลยสารสนเทศกระทรวงกลาโหมทไดประกาศขน ขอ ๔ ระเบยบนใหใชบงคบแกสวนราชการ ขาราชการ พนกงานขาราชการ และลกจาง ทมการปฏบตเกยวกบระบบสารสนเทศ รวมทงบคคลภายนอกทเขามาด าเนนการเกยวกบระบบสารสนเทศของกองทพบก ขอ ๕ ค านยามในระเบยบน ๕.๑ ระบบสารสนเทศ (Information System) หมายถง ระบบขาวสารของกองทพบก ทน าเอาเทคโนโลยของระบบคอมพวเตอรและระบบสอสาร มาช วยในการสรางสารสนเทศของกองทพบก และสามารถน าสารสนเทศมาใชในการวางแผน การบรหาร การพฒนา ควบคม รวมทงแนวทางหรอระเบยบปฏบตในการใชอปกรณเหลาน ซงมองคประกอบดงน ๕.๑.๑ ระบบคอมพวเตอร (Computer System ) หมายถง ระบบทประกอบดวยฮารดแวร (Hardware) ซอฟตแวร (Software) และบคลากรทางคอมพวเตอร (People ware) ๕.๑.๒ เครอข ายคอมพวเตอร (Com puter Network) หมายถ ง การตดตอสอสาร หรอการรบ - สงขอมลระหวางระบบสารสนเทศภายในกองทพบกและหนวยงานอนๆ ทเกยวของกบกองทพบก ๕.๑.๓ สารสนเทศ (Information) หมายถง ขอเทจจรงทไดจากการสกดขอมลใหมความหมายโดยผานการประมวลผล การจดระเบยบใหขอมลซงอาจอยในรปของ ตวเลข ขอความหรอ ภาพกราฟฟกทผใชสามารถเขาใจไดงายและสามารถน าไปใชประโยชนในการบรหารการวางแผนการตดสนใจ และอน ๆ

- ส าเนาคฉบบ -

๕.๒ จดหมายอเลกทรอนกส (Electronic Mail : E-mail) หมายถง การรบสงขอมลผานอนเทอรเนตหรออนทราเนต โดยชอทใชในการรบสงจดหมายอเลกทรอนกส จะมรปแบบซงประกอบไปดวย ๒ สวน คอ ชอผใช และชอโดเมน เชน user@rta.mi.th เปนตน ๕.๓ ผใชงาน (User) หมายถง ขาราชการ พนกงานราชการ และลกจางของกองทพบกทปฏบตงานเกยวกบระบบสารสนเทศกองทพบก รวมถงบคคลภายนอกทหนวยงานอนญาตใหเขามาด าเนนการเกยวกบระบบสารสนเทศของกองทพบก ๕.๔ ผดแลระบบ (System Administrator) หมายถง นายทหารสญญาบตรทปฏบตงานในระบบสารสนเทศของกองทพบกหรอผทไดรบมอบหมายจากผบงคบบญชาใหเปนผดแลระบบสารสนเทศของหนวยงานนนๆ ๕.๕ ผดแลเครอขาย (Network Administrator) หมายถง นายทหารสญญาบตร

ทปฏบตงานในระบบสารสนเทศของกองทพบกหรอผทไดรบมอบหมายจากผบงคบบญชาใหเปนผดแลเครอขาย

สารสนเทศของหนวยงานนนๆ

๕.๖ ผดแลฐานขอมล (Database Administrator) หมายถง นายทหารสญญาบตรท

ปฏบตงานในระบบสารสนเทศของกองทพบกหรอผทไดรบมอบหมายจากผบงคบบญชาใหเปนผดแลฐานขอมล

๕.๗ ผบงคบบญชา หมายถง หวหนาหนวยงานของผปฏบตหนาทในระบบสารสนเทศของกองทพบก ๕.๘ ความมนคงปลอดภยดานสารสนเทศ หมายความวา ความมนคงและความปลอดภยในบรบทของ การรกษาความลบ ความเชอถอได และความพรอมใชงานของขอมล ส าหรบระบบสารสนเทศของกองทพบก ๕.๙ ทรพยสนสารสนเทศ หมายความวา ๕.๙.๑ ระบบเครอขายคอมพวเตอร ระบบคอมพวเตอร ระบบงานคอมพวเตอร และระบบสารสนเทศ ๕.๙.๒ ตวเครองคอมพวเตอร อปกรณคอมพวเตอร เครองบนทกขอมล และอปกรณอนใดทมใชในระบบ ๕.๙.๓ ขอมลสารสนเทศ ขอมลอเลกทรอนกส และขอมลคอมพวเตอร ๕.๑๐ ความมนคงปลอดภยของระบบสารสนเทศ (Information Security) หมายความวา การปองกนทรพยสนสารสนเทศ จากการเขาถง ใชเปดเผย ขดขวาง เปลยนแปลง แกไข ท าใหสญหาย ท าใหเสยหาย ถกท าลาย หรอลวงร โดยมชอบ ๕.๑๑ ความมนคงปลอดภยดานกายภาพ (Physical Security) หมายความวา การจดใหม นโยบาย มาตรการ หลกเกณฑ หรอกระบวนการใดๆ เพอน ามาใชปองกน ทรพยสนสารสนเทศ สงปลกสราง หรอทรพยสนอนใดจากการคกคามของบคคล ภยธรรมชาต อบตภย หรอภยทางกายภาพอน

๕.๑๒ เหตการณดานความมนคงปลอดภย (Security incidents) หมายถง เหตการณทเกดขนกบระบบคอมพวเตอรและเครอขายคอมพวเตอรของกองทพบกหรอเหตการณทสงสยวาจะเปนจดออนหรออาจสรางความเสยหายไดในทสดซงอาจสงผลให ๕.๑๒.๑ เกดการหยดชะงกตอกระบวนการหรอขนตอนการปฏบตงานส าคญ เชน ระบบสารสนเทศของหนวยเกดการหยดชะงก เปนตน ๕.๑๒.๒ เปนการละเมดนโยบายความมนคงปลอดภยของกองทพบก ๕.๑๒.๓ เปนการละเมดตอกฎหมาย ระเบยบ ขอบงคบ หรอขอก าหนดตางๆ ทก าหนดไว ๕.๑๒.๔ เกดภาพลกษณทไมดตอกองทพบกหรอท าใหสญเสยชอเสยง เชน การไปโพสตขอความพาดพงถงกองทพบกในเวบไซตภายนอกซงท าใหเกดความเสยหายตอชอเสยงของกองทพบก เปนตน ๕.๑๒.๕ ตวอยางของเหตการณดานความมนคงปลอดภย ไดแก โปรแกรมไมพงประสงค การพบจดออนในซอฟตแวร ระบบงาน หรอฮารดแวรท ใชงาน การแจงเตอนของระบบปองกนการบกรก ระบบถกบกรกทางเครอขาย ขอมลส าคญถกเปลยนแปลง หรอสญหาย หนาเวบไซตถกเปลยนแปลง การเปดเผยขอมลส าคญโดยไมไดรบอนญาต การใชทรพยากรของหนวยงานผดวตถประสงค เชน การใชเครอขายของหนวยงานเพอกระท าการทขดตอ พระราชบญญตวาดวยการกระท าความผดเกยวกบคอมพวเตอร พ.ศ. ๒๕๕๐ เพอกระท าการทขดตอความสงบเรยบรอยหรอศลธรรมอนดของประชาชน เพอกระท าการอนมลกษณะเปนการละเมดทรพยสนทางปญญา เพอท าการสงขอมลทม ลกษณะเปนจดหมายลกโซ เปนตน ระบบถกโจมตจนไมสามารถใหบรการได ระบบ อปกรณ ฮารดแวร หรอทรพยสนในระบบสารสนเทศอนๆ ถกขโมย การแอบตดตงซอฟตแวรเพอดกขโมยขอมลหรอดกดขอมลในเครอขายของกองทพบก การหยดชะงกของระบบคอมพวเตอรและเครอขาย หรอเหตการณอนๆ ทเปนการละเมดระเบยบฉบบน ๕.๑๒.๖ ตวอยางของเหตการณทเปนจดออน ไดแก ประตศนยคอมพวเตอรไมสามารถปดใหสนทได ระบบสารสนเทศของหนวยมชองทางอนในการเขาสระบบไดโดยไมผานการพสจนตวตนตามปกต เจาหนาทรกษาความปลอดภยของหนวยไมเขมงวดหรอละเลยการปฏบตหนาท บคคลภายนอกสามารถเดนตามเจาหนาทเขาหองระบบสารสนเทศของหนวยโดยไมมการแลกบตรผาน บคคลภายนอกไมไดลงชอกอนเขาศนยคอมพวเตอรของหนวย เจาหนาทไมมการระบตวตนกอนทจะเขาถงหองระบบสารสนเทศของหนวยนน ๕.๑๒.๗ เหตการณดานความมนคงปลอดภยหรอเหตการณทเปนจดออนจ าเปนตองไดรบรายงานจากผใชงานเพอใหมการจดการกบเหตการณเหลานนอยางเหมาะสมไดผลและทนกาล ๕.๑๓ ทรพยสนทางปญญา หมายถง ผลงานอนเกดจากความคดสรางสรรคของมนษย ทรพยสนทางปญญาเปนทรพยสนอกชนดหนงทนอกเหนอจากสงหารมทรพยนนคอทรพยสนทสามารถเคลอนยายได เชน นาฬกา รถยนต โตะ เปนตน และอสงหารมทรพย คอทรพยสนทไมสามารถเคลอนยายได เชน บาน ทดน เปนตน ซงทรพยสนทางปญญา ไดแก ๕.๑๓.๑ ลขสทธ (Copyright) ๕.๑๓.๒ สทธบตร (Patent)

๕.๑๓.๓ เครองหมายการคา (Trademark) ๕.๑๓.๔ แบบผงภมของวงจรรวม (Layout - Designs of Integrated Circuit) ๕.๑๓.๕ ความลบทางการคา (Trade Secrets) ๕.๑๓.๖ สงบงชทางภมศาสตร (Geographical Indication)

๕.๑๔ สนทรพย หมายถง สงของทจ าเปนทงมวลส าหรบกองทพบก ทงทมไวเพอการด ารงอย และการปฏบตของหนวยภายในกองทพบก ทงใหเปนไปตามระเบยบกองทพบกวาดวยความรบผดชอบในสงอปกรณ พ.ศ. ๒๕๓๕ ตามค าจดความ ขอ ๔ วาดวยสงอปกรณของกองทพบก ๕.๑๕ สทธของผใชงาน (user access right) หมายถง สทธทวไป สทธจ าเพาะ สทธพเศษ และสทธอนใด ทเกยวของกบระบบสารสนเทศของกองทพบก หรอ เพอการเขาถงเขาใชสารสนเทศและทรพยสนสารสนเทศของกองทพบก ๕.๑๖ การเขาถง (access) หมายถง ความสามารถในการเขาไป อนอาจท าใหสามารถจะอาน ท า สราง แกไข ปรบปรงเปลยนแปลง ลวงรดวยประการใดๆ หรอไดอาน ท า สราง แกไข ปรบปรงเปลยนแปลง ลวงรดวยประการใดๆ ส าหรบขอมลคอมพวเตอร ขอมลอเลกทรอนกส สารสนเทศ ระบบคอมพวเตอร ระบบสารสนเทศ ทงโดยการเขาถงดวยวธการทางอเลกทรอนกสและวธการทางกายภาพ ๕.๑๗ การควบคมการเขาถงหรอควบคมการใชงานสารสนเทศ (access control) หมายถง การอนญาต การก าหนดสทธ หรอการมอบอ านาจใหผใชงาน เขาถงหรอใชงานเครอขายหรอระบบสารสนเทศ ทงทางอเลกทรอนกส และทางกายภาพ รวมทงการอนญาตเชนวานนส าหรบบคคลภายนอก ตลอดจนอาจก าหนดขอปฏบตเกยวกบการเขาถงโดยมชอบเอาไวดวยกได ๕.๑๘ สถานการณดานความมนคงปลอดภยทไมพงประสงคหรอไมอาจคาดคด หมายถง เหตบกพรองหรอเหตละเมดดานความมนคงปลอดภย ซงอาจท าใหระบบของกองทพบกสญเสย การปฏบตงาน รวมถงการใหบรการตางๆ แตเพยงบางสวนหรอทงหมด จากการถกบกรกหรอโจมตทางชองโหว และความมนคงปลอดภยถกคกคามจากภยคกคามรปแบบตางๆ ๕.๑๙ ภยคกคาม (threats) หมายถง เหตการณตางๆ ทเปนไปไดหรอเหตการณ ทไมพงประสงค ซงอาจสงผลกระทบหรอสรางความเสยหายตอระบบสารสนเทศของกองทพบก ๕.๒๐ ชองโหว (vulnerabilities) หมายถง จดออนของทรพยสนหรอมาตรการ ทเปนชองทางเกดปจจยเสยงจากภยคกคามทมผลกระทบตอทรพยสนหรอตอระบบสารสนเทศของกองทพบก ขอ ๖ ผบญชาการทหารบก ในฐานะผบรหารระดบสงสดกองทพบก (Chief Executive Officer : CEO) เปนผรบผดชอบระบบสารสนเทศในภาพรวมของกองทพบก รวมถงการละเมดมาตรการตางๆ อนท าใหเกดความเสยหายของระบบสารสนเทศทเกดขนตามระเบยบน ขอ ๗ ให ผอ านวยการศนยไซเบอรกองทพบก เปนผรกษาการใหเปนไปตามระเบยบน และใหก าหนดการทบทวนระเบยบน ใหมความทนสมยอยางตอเนอง โดยมวงรอบปงบประมาณละ ๑ ครง

หมวด ๑ กลาวทวไป

ขอ ๘ ความมงหมายของระเบยบน ๘.๑ เพอใหเกดความเชอมนและมระบบการรกษาความมนคงปลอดภยของระบบสารสนเทศของกองทพบกด าเนนงานไปไดอยางมประสทธภาพและประสทธผล ๘.๒ เพอเปนมาตรฐานแนวทางปฏบตและความรบผดชอบของผมสวนเกยวของไดแก ผบงคบบญชา ก าลงพลของหนวย ผดแลระบบ และบคคลภายนอกทปฏบตงานใหกบกองทพบก เปนไปอยางเครงครด และตระหนกถงความส าคญของการรกษาความมนคงปลอดภยของระบบสารสนเทศของกองทพบก ๘.๓ เพอเปนกรอบและแนวทางการปรบปรงพฒนาระบบสารสนเทศของกองทพบกยกระดบมาตรฐานการรกษาความมนคงปลอดภยของระบบสารสนเทศไปสสากล ๘.๔ เพอเปนมาตรการในการรกษาความมนคงปลอดภยของระบบสารสนเทศของกองทพบก ส าหรบการพทกษรกษาและปองกน มใหขอมลและสงทเปนความลบของทางราชการรวไหลหรอรไปถง หรอตกไปอยในมอของฝายตรงขามหรอบคคลผไมมอ านาจหนาท ปองกนการจารกรรม ทงจากบคคลภายในและภายนอกสวนราชการ พทกษรกษาและปองกนการกอวนาศกรรมแกเครองคอมพวเตอร อปกรณสารสนเทศ เครองใชส านกงาน อาคาร สถานท และเอกสารทเกยวของกบระบบสารสนเทศ เปนตน ขอ ๙ หวหนาสวนราชการสามารถก าหนดมาตรการรกษาความมนคงปลอดภยของระบบสารสนเทศของสวนราชการ และแตงตงผรบผดชอบระบบสารสนเทศของสวนราชการเพมเตมไดโดยใหสอดคลองและไมขดแยงกบระเบยบน ขอ ๑๐ เหตผลในการประกาศใชระเบยบน คอ วางแนวนโยบายและแนวปฏบตของกองทพบก ในการรกษาความมนคงปลอดภยของระบบสารสนเทศของกองทพบกเกยวกบระบบคอมพวเตอรระบบสอสารสารสนเทศ ระบบเครอขายสารสนเทศ เพอใหใชบงคบแกสวนราชการ ขาราชการ พนกงานขาราชการ และลกจาง ทมการปฏบตเกยวกบระบบสารสนเทศ รวมทงบคคลภายนอกทเขามาด าเนนการเกยวกบระบบสารสนเทศของกองทพบก ขอ ๑๑ ในการก าหนดชนความลบของสารสนเทศใหเปนไปตาม พรบ.ขอมลขาวสารของ ทางราชการ พ.ศ. ๒๕๔๐ และระเบยบวาดวยการรกษาความลบของทางราชการ พ.ศ. ๒๕๔๔ หรอขอก าหนดอนๆ ทไดประกาศใชทดแทน

หมวด ๒ การจดท าโครงการและการจดหาระบบงาน คอมพวเตอร และอปกรณคอมพวเตอร

(Application, Computer and Device Project Development and Acquisition) ขอ ๑๒ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบก ตองควบคมการจดหาระบบงาน คอมพวเตอร และอปกรณเครอขายและคอมพวเตอรดงน

๑๒.๑ ตองเปนผใหความเหนชอบในการจดท าโครงการดานระบบสารสนเทศของหนวยงานภายในตางๆ ของกองทพบก เพอใหมความเหมาะสมและเกดประโยชนสงสดแกกองทพบก ๑๒.๒ ตองเปนผใหความเหนชอบส าหรบการจดหาระบบงาน คอมพวเตอร อปกรณเครอขาย หรออปกรณคอมพวเตอรของหนวยงานภายในของกองทพบก ๑๒.๓ ไมอนญาตใหหนวยงานภายในตางๆ ของกองทพบกด าเนนการดวยตนเองโดยไมผานความเหนชอบจากหนวยรบผดชอบตามสายงานหรอหนวยงานทไดรบมอบหมายจากผบงคบบญชา

หมวด ๓ การควบคมการเขาถงหรอการใชงานระบบสารสนเทศ

(Access Control) ขอ ๑๓ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบก ตองจดการควบคมการเขาถงระบบสารสนเทศของหนวยงาน โดยก าหนดเปนมาตรการทง ๔ ดาน ดงน ๑๓.๑ ดานการเขาถงระบบสารสนเทศทวไป ๑๓.๑.๑ ผใชงานจะตองไดรบอนญาตจากผรบผดชอบขอมลและ/หรอผรบผดชอบระบบงาน ตามความจ าเปนตอการใชงานระบบสารสนเทศ ๑๓.๑.๒ ผดแลระบบ มหนาทในการตรวจสอบการอนมตและก าหนดสทธในการผานเขาสระบบ ไดแก ผใชในการขออนญาตเขาระบบงานนน จะตองมการท าเปนบนทกและกรอกแบบเอกสารทกองทพบกก าหนด เพอขอสทธในการเขาสระบบเฉพาะในสวนทจ าเปน โดยค านงถงประเภทขอมลและชนความลบ และก าหนดใหมการลงนามอนมตเอกสารดงกลาวโดยผบงคบบญชาหรอผรบมอบอ านาจจากผบงคบบญชาเพอการจดเกบไวเปนหลกฐาน ๑๓.๑.๓ ผรบผดชอบขอมลและผรบผดชอบระบบงานจะอนญาตใหผใชงานเขาสระบบเฉพาะในสวนทจ าเปนตองรตามหนาทงานเทานน เนองจากการใหสทธเกนความจ าเปนในการใชงาน จะน าไปสความเสยงในการใชงานเกนอ านาจหนาท ดงนนการก าหนดสทธในการเขาถงระบบงานตองก าหนดตามความจ าเปนขนต าเทานน ๑๓.๒ ดานการเขาถงระบบเครอขายสารสนเทศ ๑๓.๒.๑ ผใชงานจะตองไดรบอนญาตจากผรบผดชอบระบบเครอขายของกองทพบก ตามสทธและความจ าเปนในการเขาถงเครอขายกอนทจะเขาใชงาน ๑๓.๒.๒ ผดแลเครอขายสารสนเทศของกองทพบก มหนาทตรวจสอบการอนมตและก าหนดการอนญาตในการผานเขาสเครอขายสารสนเทศของกองทพบก ตามสทธและความจ าเปนในการปฏบตงานเทานน ๑๓.๒.๓ ผดแลเครอขายสารสนเทศของกองทพบก จะตองจดใหมการบนทกการใชงานของผใชงาน ตลอดจนการเฝาระวงการใชงาน ไมใหผใชงานลวงละ เมดความปลอดภย ลวงละเมดสทธการใชงาน ลวงละเมดสทธของผใชงานอนๆ อกดวย

๑๓.๓ ดานการเขาถงระบบปฏบตการ ๑๓.๓.๑ ผใชงานตองไดรบอนญาตจากผรบผดชอบระบบปฏบต การ ซ งเปนทรพยสนของกองทพบก จงจะสามารถเขาถงการใชงานได และผ ใช งานตองใชงานเฉพาะระบบปฏบตการทกองทพบกจดหามาอยางถกตองตามกฎหมายเทานน ๑๓.๓.๒ ผรบผดชอบระบบปฏบตการ มหนาทตรวจสอบสทธอนญาต ใหเขาใชงานระบบปฏบตการของผใช และควบคมการใชงานใหเปนไปตามสทธและตามความจ าเปนในการใชงาน รวมถงการบนทกการใชงานของผใช ตลอดจนการเฝาระวงการใชงาน ไมใหผใชงานลวงละเมดความปลอดภย ลวงละเมดสทธการใชงาน รวมถงลวงละเมดสทธของผใชงานอนๆ อกดวย ๑๓.๔ ดานการเขาถงโปรแกรมประยกต (application) ๑๓.๔.๑ ผใชงานตองไดรบอนญาตจากผรบผดชอบโปรแกรมประยกต ซงเปนทรพยสนของกองทพบก จงจะสามารถเขาถงการใชงานได และผใชงานตองใชงานเฉพาะโปรแกรมประยกตทกองทพบกจดหามาอยางถกตองตามกฎหมายเทานน ๑๓.๔.๒ ผรบผดชอบโปรแกรมประยกต มหนาหนาทตรวจสอบสทธอนญาตใหเขาใชงานโปรแกรมประยกตของผใช และควบคมการใชงานใหเปนไปตามสทธและตามความจ าเปนในการใชงาน รวมถงการบนทกการใชงานของผใช ตลอดจนการเฝาระวงการใชงาน ไมใหผใชงานลวงละเมดความปลอดภย ลวงละเมดสทธการใชงาน รวมถงลวงละเมดสทธของผใชงานอนๆ อกดวย ขอ ๑๔ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกตองจดการบรหารจดการการเขาถงของผใชงาน (User Access Management) ดงน ๑๔.๑ การลงทะเบยนเจาหนาทใหม ก าหนดใหมขนตอนปฏบตส าหรบการลงทะเบยน เจาหนาททปฏบตงานใหมเพอใหมสทธตาง ๆ ในการใชงานตามความจ าเปนรวมทงขนตอนปฏบตส าหรบการยกเลกสทธการใชงาน เชน เมอลาออกไป หรอเมอเปลยนต าแหนงงานภายในกองทพบก เปนตน ๑๔.๑.๑ ขนตอนการลงทะเบยนเจาหนาท (user registration) ๑๔.๑.๑.๑ หนวยตนสงกดของเจาหนาทใหม แจงขอมลการขอลงทะเบยนเจาหนาทใหมเปนลายลกษณอกษรตามสายการบงคบบญชา ใหผรบผดชอบระบบสารสนเทศของกองทพบก ๑๔.๑.๑.๒ ผ รบผดชอบระบบสารสนเทศของกองทพบกพจารณาขอมลการขอลงทะเบยนของเจาหนาทใหม โดยตรวจสอบใหถกตองวาเปนเจาหนาทของกองทพบกอยางแทจรง และไดรบสทธในการใชงานตามค ารองขอลงทะเบยนอยางถกตอง ๑๔.๑.๑.๓ ผ รบผดชอบระบบสารสนเทศของกองท พบกพจารณาอนมตใหลงทะเบยนเจาหนาทใหม และแจงผลการอนมตตามสายการบงคบบญชาใหผบงคบบญชาและเจาหนาทใหมทราบตอไป ๑๔.๑.๒ ขนตอนปฏบตส าหรบการยกเลกสทธการใชงาน ๑๔.๑.๒.๑ หนวยตนสงกดของเจาหนาท แจงขอมลการขอยกเลกสทธการใชงานเปนลายลกษณอกษรตามสายการบงคบบญชา ใหผรบผดชอบระบบสารสนเทศของกองทพบก

๑๔.๑.๒.๒ ผ รบผดชอบระบบสารสนเทศของกองทพ บกพจารณาขอมลการขอยกเลกสทธการใชงานของเจาหนาท โดยตรวจสอบใหถกตองวาเปนเจาหนาทของกองทพบกอยางแทจรง และไดรบการยกเลกสทธในการใชงานตามค ารองอยางถกตอง ๑๔.๑.๒.๓ ผ รบผดชอบระบบสารสนเทศของกองทพ บกพจารณาอนมตใหยกเลกสทธการใชงานของเจาหนาท และแจงผลการอนมตตามสายการบงคบบญชาใหผบงคบบญชาและเจาหนาทนนทราบตอไป ๑๔.๒ ก าหนดสทธการใชระบบเทคโนโลยสารสนเทศทส าคญ เชน ระบบคอมพวเตอรโปรแกรมประยกต (Application) จดหมายอเลกทรอนกส (E-mail) ระบบเครอขายไรสาย (Wireless LAN) ระบบอนเทอรเนต (Internet) เปนตน โดยตองใหสทธเฉพาะการปฏบตงานในหนาทและตองไดรบความเหนชอบจากผบงคบบญชา เปนลายลกษณอกษร รวมทงตองทบทวนสทธดงกลาวอยางสม าเสมอ ๑๔.๓ ก าหนดบญชชอผใชงานแยกกนเปนรายบคคล กลาวคอ ไมก าหนดบญชชอผใชงานทซ าซอนกน และถอวาบญชผใชงานเปนการระบและยนยนตวตนของผใชงานตอไป ๑๔.๔ จ ากดการใชงานบญชชอผใชงานแบบกลมซงมการใชงานรวมกน กลาวคอ อนญาตใหใชงานไดกตอเมอมเหตผลความจ าเปนในการใชงานเทานน และผใชงานบญชแบบกลมตองรบผดชอบการใชงานรวมกน ๑๔.๕ ไมอนญาตใหผรองขอใชระบบสารสนเทศเขาใชระบบจนกวาจะไดรบอนมตแลวเทานน ๑๔.๖ จดเกบขอมลการลงทะเบยนของผทรองขอเขาใชระบบสารสนเทศ เพอเอาไวใชอางองหรอตรวจสอบในภายหลง ๑๔.๗ ทบทวนบญชผ ใชงานทงหมดอยางสม าเสมออยางนอยปละ ๑ ครง เพอปองกนการเขาถงระบบโดยไมไดรบอนญาต โดยปฏบตตามแนวทางดงน ๑๔.๗.๑ พมพรายชอของผทยงมสทธในระบบสารสนเทศแยกตามหนวยงานภายในของกองทพบก ๑๔.๗.๒ จดส งรายช อน น ใหกบผ บ งคบบญชาท รบผดชอบระบบสารสนเทศของหนวยเพอด าเนนการทบทวนวามรายชอทออกสทธเขาถงระบบสารสนเทศไปแลวหรอม การเปลยนแปลงแตยงไมไดมการแกไขสทธการเขาถงใหถกตองหรอไม ๑๔.๗.๓ ผบงคบบญชาของหนวยแจงหรออนมตรายชอของผมสทธ ในระบบสารสนเทศทไดรบการแกไขใหถกตองแลว ๑๔.๗.๔ ผดแลระบบสารสนเทศของหนวยด าเนนการแกไขขอมล ผมสทธใหถกตองตามทไดรบแจงหรอไดรบการอนมต ขอ ๑๕ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกตองบรหารจดการบญชรายชอผใชงาน (User account) และรหสผานของเจาหนาทดงน ๑๕.๑ ผดแลระบบทรบผดชอบระบบนน ๆ ตองก าหนดสทธของเจาหนาท ในการเขาถงระบบเทคโนโลยสารสนเทศแตละระบบ รวมทงก าหนดสทธแยกตามหนาททรบผดชอบ ซงมแนวทาง

ปฏบตโดยตองก าหนดไวเปนลายลกษณอกษรอยางชดเจน เชน ก าหนดเปนเอกสารการบรหารจดการสทธการใชงานระบบและรหสผาน เปนตน ๑๕.๒ การก าหนดการเปลยนแปลงและการยกเลกรหสผาน ตองปฏบตตามเอกสารหรอตามระเบยบททางกองทพบกก าหนดขน ๑๕.๓ กรณมความจ าเปนตองใหสทธพเศษกบผใช หมายถง ผใชทมสทธสงสด ตองมการพจารณาการควบคมผใชทมสทธ พเศษนนอยางรดกมเพยงพอโดยใชปจจยตอไปนประกอบ การพจารณาควรไดรบความเหนชอบและอนมตจากผบงคบบญชา ๑๕.๓.๑ ควบคมการใชงานอยางเขมงวด เชน ก าหนดใหมการควบคมการใชงานเฉพาะกรณจ าเปนเทานน ๑๕.๓.๒ ก าหนดระยะเวลาการใชงานและระงบการใชงานทนทเมอพนระยะเวลาดงกลาว ๑๕.๓.๓ มการเปล ยนรหสผานอยางเครงครด เชน ทกครงหลงหมดความจ าเปนในการใชงาน หรอ ในกรณทมความจ าเปนตองใชงานเปนระยะเวลานานกควรเปลยนรหสผานทก ๖๐ วน เปนตน ขอ ๑๖ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกตองจดวธการบรหารจดการ การเขาถงขอมลตามระดบชนความลบ ๑๖.๑ ผดแลระบบ ตองก าหนดชนความลบของขอมล วธปฏบตในการจดเกบขอมลและวธปฏบตในการควบคมการเขาถงขอมลแตละประเภทชนความลบทงการเขาถงโดยตรงและ การเขาถงผานระบบงาน รวมถงวธการท าลายขอมลแตละประเภทชนความลบ ๑๖.๒ ผดแลฐานขอมลหรอเจาของขอมลจะตองมการทบทวนความเหมาะสมของสทธในการเขาถงขอมลของผใชงานเหลานอยางนอยปละ ๑ ครง เพอใหมนใจไดวาสทธตาง ๆ ทใหไวยงคงมความเหมาะสม ๑๖.๓ วธปฏบตในการควบคมการเขาถงขอมลแตละประเภทชนความลบทงการเขาถงโดยตรงและการเขาถงผานระบบงานผดแลระบบตองก าหนดรายชอผใชงาน (User Account) และรหสผาน (Password) เพอใชในการตรวจสอบตวตนจรงของผใชขอมลในแตละชนความลบขอมล ๑๖.๔ การรบส งขอมลส าคญผ านเครอขายสาธารณะผ ใช งานควรไดรบ การเขารหส (Encryption) ทเปนมาตรฐานสากล เชน SSL, VPN เปนตน ๑๖.๕ มการก าหนดให เปลยนรหสผานตามระยะเวลาทก าหนดของระดบความส าคญของขอมล ตามทระบไวในเอกสารหรอตามระเบยบททางกองทพบกก าหนดขน ๑๖.๖ ม ม าตรการร กษ าความม น ค งปลอดภ ยของข อม ล ในกรณ ท น า เครองคอมพวเตอรออกนอกพนทของกองทพบก เชน สงเครองคอมพวเตอรไปตรวจซอม ควรส ารองและลบขอมลทเกบอยในสอบนทกกอน เปนตน ขอ ๑๗ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกตองจดการควบคมการเขาใชงานระบบจากภายนอก หนวยงานทมระบบสารสนเทศ ตองก าหนดใหมการควบคมการใชงานระบบ

ทผดแลระบบไดตดตงเอาไวภายในหนวยของตนเอง เพอดแลรกษาความปลอดภยของระบบภายในจาก การเขาถงระบบจากภายนอกโดยมแนวทางปฏบต ดงน ๑๗.๑ การเขาสระบบจากระยะไกล (Remote access) สระบบเครอขายคอมพวเตอรของกองทพบก กอใหเกดชองทางทมความเสยงสงตอความปลอดภยของขอมลและทรพยากรของกองทพบก การควบคมบคคลทเขาสระบบของกองทพบกจากระยะไกลจงตองมการก าหนดมาตรการรกษาความปลอดภยทเพมขนจากมาตรฐานการเขาสระบบภายใน ๑๗.๒ วธการใด ๆ กตามทสามารถเขาสขอมลหรอระบบขอมลไดจากระยะไกลตองไดรบการอนมตจากผบงคบบญชาหรอผทไดรบการมอบอ านาจกอน และมการควบคมอยางเขมงวดกอนน ามาใชและผใชตองปฏบตตามขอก าหนดของการเขาสระบบและขอมลอยางเครงครด ๑๗.๓ กอนท าการใหสทธ ในการเขาสระบบจากระยะไกล ผ ใชตองแสดงหลกฐานระบเหตผลหรอความจ าเปนในการด าเนนงานกบกองทพบกอยางเพยงพอและตองไดรบอนมตจากผบงคบบญชา ๑๗.๔ มการควบคมพอรต (Port) ทใชในการเขาสระบบอยางรดกม การเขาสระบบโดยการโทรศพทเขามานน ตองดแลและจดการโดยผดแลระบบ และวธการหมนเขาตองไดรบการอนมตอยางถกตองและเหมาะสมแลวเทานน ๑๗.๕ การอนญาตใหผใชเขาสระบบจากระยะไกล ตองอยบนพนฐานของความจ าเปนเทานน และไมเปดชองทางตดตอ (Port) และอปกรณเชอมตอระยะไกล (Modem) ทใชทงเอาไวโดย ไมจ าเปน ชองทางดงกลาวมการตดการเชอมตอเมอไมไดใชงานแลว และจะเปดใหใชไดตอเมอมการรองขอทจ าเปนเทานน ขอ ๑๘ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกตองจดการพสจนตวตนส าหรบผใชทอยภายนอกดงน ผใชระบบทกคนเมอจะเขาใชงานระบบของกองทพบก ตองผานการพสจนตวตนจากระบบของกองทพบก โดยมแนวทางปฏบตดงน ๑๘.๑ การแสดงตวตน (Identification) ดวยชอผใช (Username) ๑๘.๒ การพสจนยนยนตวตน (Authentication) ดวยการใชรหสผาน (Password) ๑๘.๓ การเขาสระบบสารสนเทศของกองทพบกจากอนเทอรเนตนน จะมการตรวจสอบผใชงานดวย ๑๘.๔ การเขาสระบบจากระยะไกล (Remote access) เพอเพมความปลอดภยจะตองมการตรวจสอบ เพอพสจนตวตนของผใชงาน เชน รหสผาน หรอวธการเขารหส เปนตน

หมวด ๔ การบรหารจดการสทธการใชงานระบบและรหสผาน

ขอ ๑๙ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกตองก าหนดวธการบรหารจดการรหสผาน (user password management) และการใชงานรหสผาน (password use) ของเจาหนาทใหมความมนคงปลอดภย และการทบทวนสทธการเขาถงของผใชงาน (review of user access rights) โดยมแนวทางปฏบต ดงน ๑๙.๑ วธการบรหารจดการรหสผาน ๑๙.๑.๑ ตองเกบรกษารหสผานทไดรบใหเปนความลบ ๑๙.๑.๒ ก าหนดใหรหสผานตองมมากกวาหรอเทากบ ๘ ตวอกษร โดยมการผสมกนระหวางตวอกษรทเปนตวพมพปกต ตวเลข และสญลกษณเขาดวยกน ๑๙.๑.๓ ไมควรก าหนดรหสผ านส วนบคคลจากช อหรอนามสกล ของตนเองหรอบคคลในครอบครวหรอบคคลทมความสมพนธใกลชดกบตน หรอจากค าศพททใชในพจนานกรม ๑๙.๑.๔ ไมใชรหสผานสวนบคคลส าหรบการใชแฟมขอมลรวมกบบคคลอนผานเครอขายคอมพวเตอร ๑๙.๑.๕ ไมใชโปรแกรมคอมพวเตอรชวยในการจ ารหสผานสวนบคคลอตโนมต (Save Password) ๑๙.๑.๖ ไมจดหรอบนทกรหสผานสวนบคคลไวในสถานททงายตอการสงเกตเหนของบคคลอน ๑๙.๑.๗ เกบรกษารหสผานทงของตนเองและของกลมไวเปนความลบ ๑๙.๑.๘ การก าหนดรหสผานเรมตนใหกบเจาหนาทใหยากตอการเดา และก าหนดชอผใชหรอรหสผใชงานตองไมซ ากนอกดวย ๑๙.๑.๙ กรณทมความจ าเปนตองบอกรหสผานแกผ อนเนองจากงาน หลงจากด าเนนการเรยบรอย ใหท าการเปลยนรหสผานโดยทนท ๑๙.๑.๑๐ เมอเจาหนาทของหนวยงานลาออก หรอเปลยนแปลงหนาทความรบผดชอบในระบบทขอสทธการใชงาน ใหหนวยแจงผรบผดชอบระบบสารสนเทศทนท เพอเปลยนสทธหรอถอดถอนสทธของผทลาออกออกจากระบบทนททไดรบแจง ๑๙.๑.๑๑ การสงมอบรหสผานใหกบเจาหนาทตองเปนไปอยางปลอดภยโดยใสซองปดผนก และประทบตรา “ลบ” และสงไปยงผใชงาน และ แนบเอกสารการไดรบอนญาตจากผบงคบบญชา รวมทงแจงใหผใชงานปฏบตตามระเบยบดงกลาวโดยเครงครด ๑๙.๒ การใชงานรหสผาน ๑๙.๒.๑ ผใชงานตองใชงานรหสผานของตนเองหรอตามทไดรบอนมตเทานน ๑๙.๒.๒ ผใชงานรหสผานตองปฏบตใหเปนไปตามวธการบรหารจดการรหสผานอยางเครงครด

๑๙.๒.๓ กรณตองการยกเลกหรอเปลยนแปลงรหสผานใหแจงเปนลายลกษณอกษรตามสายการบงคบบญชาใหผรบผดชอบด าเนนการตอไป ๑๙.๒.๔ ผใชงานตองไมใชงานรหสผานซงเคยใชมาแลว อยางนอย ๕ รหสผาน ๑๙.๒.๕ ผใชงานตองเปลยนรหสผาน (Password) ทกๆ ๖๐ วน หรอทกครงทมการแจงเตอนใหเปลยนรหสผาน ๑๙.๒.๖ ผใชงานตองรบผดชอบตอการกระท าใดๆ ทเกดจากบญชของผใชงาน (Username) ไมวา การกระท านนจะเกดจากผใชงานหรอไมกตาม ๑๙.๒.๗ ผใชงานตองท าการพสจนตวตนทกครงกอนทจะใชทรพยสนหรอระบบสารสนเทศของกองทพบก และหากการพสจนตวตนนนมปญหา ไมวาจะเกดจากรหสผาน การโดนลอคกด หรอเกดจากความผดพลาดใดๆ กด ผใชงานตองแจงใหผดแลระบบทราบทนทโดย ๑๙.๒.๗.๑ คอมพวเตอรโนตบค (Notebook) ตองท าการพสจนตวตนในระดบไบออส (BIOS) กอนการใชงาน ๑๙.๒.๗.๒ คอมพวเตอรทกประเภท กอนการเขาถงระบบปฏบตการตองท าการพสจนตวตนทกครง ๑๙.๒.๗.๓ การใชงานระบบคอมพวเตอรอนในเครอขายจะตองท าการพสจนตวตนทกครง ๑๙.๒.๗.๔ การใชงานอนเทอรเนต (Internet) ตองท าการพสจนตวตนและตองมการบนทกขอมลซงสามารถบงบอกตวตนบคคลผใชงานได ๑๙.๒.๗.๕ เมอผ ใชงานไมอยท เครองคอมพวเตอร เครองคอมพวเตอรทกเครองตองท าการลอคหนาจอทกครง และตองท าการพสจนตวตนกอนการใชงานทกครง ๑๙.๒.๗.๖ เครองคอมพวเตอรทกเครองตองท าการตงเวลาพกหนาจอ (screen saver) โดยตงเวลาอยางนอย ๕ นาท และมการใชรหสผานในการเขาถงใหมอกครง ๑๙.๓ การทบทวนสทธการเขาถงของผใชงาน ๑๙.๓.๑ ผดแลระบบ (System Administrator ) เปนผรบผดชอบ ในการทบทวนสทธการถงของผใชงาน ๑๙.๓.๒ วงรอบการทบทวนสทธการเขาถงของผใชงานใหทบทวนทกๆ ๑ ป หรอเมอการเกดการเปลยนแปลงสทธของผใช ไดแก การลาออก การยายหนวย เปนตน อกทงการทบทวนสทธตองพจารณาถงพฤตกรรมการท างานของผใช รวมทงถามการเปลยนแปลงของระบบงานใหม จะตองมการทบทวนสทธการใชงานทกครงอกดวย ๑๙.๓.๓ การทบทวนสทธผดแลระบบ จะตองแจงรายงานการทบทวนสทธ เปนลายลกษณอกษรใหผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกอนมตใหด าเนนการตอไป

หมวด ๕ การสรางความมนคงปลอดภยทางกายภาพและสงแวดลอม

(Physical and environmental security) ขอ ๒๐ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกตองจดการรกษาความมนคงปลอดภยดานกายภาพ (Physical security) ๒๐.๑ ก าหนดระดบความส าคญของพนทหรอการจ าแนกพนใชงาน ๒๐.๒ พนททมระบบเทคโนโลยสารสนเทศอยภายในโดยเฉพาะศนยสารสนเทศกลาง (Data Center) ใหตดตงสญญาณเตอนภยเพอแจงเตอนเมอมการบกรกเกดขน ๒๐.๓ มระบบปองกนการบกรกทตดต งใหครอบคลมพนทหรอบรเวณทมความส าคญ ๒๐.๔ ด าเนนการทดสอบระบบปองกนการบกรกทางกายภาพเพอตรวจสอบ ยงใชงานไดตามปกต ๒๐.๕ บคลากรของกองทพบกควรปดประตและหนาตางใหลอคอยเสมอ ๒๐.๖ ถาตรวจพบอปกรณสารสนเทศ ทถกละทงโดยไมมผ ใชอย ในบรเวณใกลเคยงใหรบแจงผรบผดชอบ ด าเนนการเกบอปกรณดงกลาวในสถานทปลอดภย เพอปองกนการโจรกรรม หรอลกลอบขโมยขอมลจากผไมประสงคดตอไป ขอ ๒๑ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบก ตองจดการควบคมการเขา-ออก (Physical entry controls) ดงน ๒๑.๑ ใหมการบนทกวนและเวลาการเขา - ออกพนทส าคญของผทมาเยอน (Visitors) ๒๑.๒ ดแลผทมาเยอนในพนทหรอบรเวณทมความส าคญจนกระทงเสรจสนภารกจและจากไป เพอปองกนการสญหายของทรพยสนหรอปองกนการเขาถงทางกายภาพโดยไมไดรบอนญาต ๒๑.๓ มกลไกการอนญาตการเขาถงพนทหรอบร เวณทมความส าคญของบคคลภายนอกและควรมเหตผลทเพยงพอในการเขาถงบรเวณดงกลาว ๒๑.๔ สรางความตระหนกใหผทมาเยอนจากภายนอกเขาใจในกฎเกณฑหรอขอก าหนดตางๆ ทตองปฏบตระหวางทอยในพนทหรอบรเวณทมความส าคญ ๒๑.๕ มการควบคมการเขาถงพนททมขอมลส าคญจดเกบหรอประมวลผลอย ๒๑.๖ ไมอนญาตใหผไมมกจเขาไปในพนทหรอบรเวณทมความส าคญเวนแตไดรบการอนญาต ๒๑.๗ มการพสจนตวตน เชน การแสดงบตรผาน การใชบตรแถบแมเหลก การใชรหสผาน เปนตน เพอควบคมการเขา - ออกในพนทหรอบรเวณทมความส าคญ โดยเฉพาะในศนยสารสนเทศกลาง (Data Center) ๒๑.๘ จดเกบบนทกการเขา - ออกส าหรบพนทหรอบรเวณทมความส าคญโดยเฉพาะศนยสารสนเทศกลาง (Data Center) เพอใชในการตรวจสอบในภายหลงเมอมความจ าเปน

๒๑.๙ บคคลภายนอก เชน เจาหนาทบรษท นกศกษาฝกงานหรอผไดรบการวาจางอนๆ ตองตดบตรใหเหนเดนชดตลอดระยะเวลาการท างาน ๒๑.๑๐ ผมาเยอนตองตดบตรให เหนเดนชดตลอดระยะเวลาทอยภายในหนวยงาน ๒๑.๑๑ ควรจดใหมการดแลและเฝาระวงการปฏบตงานของบคคลภายนอก ในขณะทปฏบตงานในพนทหรอบรเวณทมความส าคญ ๒๑.๑๒ จดใหมการทบทวน หรอยกเลกสทธการเขาถงพนทหรอบรเวณทมความส าคญอยางสม าเสมอ ขอ ๒๒ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกตองจดบรเวณส าหรบการเขาถง หรอการสงมอบสงอปกรณโดยบคคลภายนอก (Public access, delivery, and loading areas) ดงน ๒๒.๑ จ ากดการเขาถงพนทหรอบรเวณทมการสงมอบหรอขนถายสงอปกรณเพอปองกนการเขาถงโดยไมไดรบอนญาต ๒๒.๒ จ ากดบคลากรซงสามารถเขาถงพนทหรอบรเวณสงมอบนน ๒๒.๓ จดพนทหรอบรเวณสงมอบไวในบรเวณตางหากเพอหลกเลยงการเขาถงพนทอนๆ ภายในระบบสารสนเทศของหนวย ๒๒.๔ ใหตรวจสอบวสดหรอปจจยการผลตทเปนอนตรายกอนทจะโอนยายวสดนนไปยงพนททมการใชงาน ๒๒.๕ ตรวจนบและลงทะเบยนหรอขนบญชคมสงอปกรณทสงมอบโดยผถกจาง ผขายหรอผใหบรการภายนอกใหสอดคลองกบระเบยบพสด หรอขนตอนปฏบตส าหรบการบรหารจดการ สงอปกรณของกองทพบก ขอ ๒๓ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกตองก าหนดการ จดวางและการปองกนอปกรณ (Equipment Sitting and Protection) ดงน ๒๓.๑ จดวางอปกรณในพนทหรอบรเวณทเหมาะสม เพอหลกเลยงการเขาถงพนทของผปฏบตงานในหองศนยสารสนเทศกลาง ( Data Center) ใหนอยทสด ๒๓.๒ อปกรณทมความส าคญใหแยกเกบไวอกพนทหนง ทความมนคงปลอดภย ๒๓.๓ ไมใหมการน าอาหาร เครองดม และสบบหรในบรเวณหรอพนททมระบบเทคโนโลยสารสนเทศอยภายในศนยสารสนเทศกลาง (Data Center) ๒๓.๔ ด าเนนการตรวจสอบ สอดสอง และดแลสภาพแวดลอมภายในบรเวณหรอพนททมระบบเทคโนโลยสารสนเทศอยภายในเพอปองกนความเสยหายตออปกรณทอยในบรเวณดงกลาว เชน การตรวจสอบระดบอณหภม ความชน ใหอยในระดบปกตหรอไม ขอ ๒๔ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกตองก าหนดระบบและอปกรณสนบสนนการท างาน (Supporting Utilities) ดงน

๒๔.๑ มระบบสนบสนนการท างานของระบบเทคโนโลยสารสนเทศของหนวยทเพยงพอตอความตองการใชงานโดยใหมระบบดงตอไปน ๒๔.๑.๑ ระบบส ารองกระแสไฟฟา (UPS) ๒๔.๑.๒ เครองก าเนดกระแสไฟฟาส ารอง (Generator) ๒๔.๑.๓ ระบบระบายอากาศ ๒๔.๑.๔ ระบบปรบอากาศ และควบคมความชน ๒๔.๒ ใหมการตรวจสอบหรอทดสอบระบบสนบสนนเหลานนอยางสม าเสมอ เพอใหมนใจไดวาระบบท างานตามปกต และลดความเสยงจากการลมเหลวในการท างานของระบบ ๒๔.๓ ตดตงระบบแจงเตอน เพอแจงเตอนกรณทระบบสนบสนนการท างานภายในหองเครองท างานผดปกตหรอหยดการท างาน ขอ ๒๕ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกตองก าหนดและควบคมการเดนสายไฟ สายสอสาร และสายเคเบลอนๆ (Cabling Security) ดงน ๒๕.๑ เครอขายของกองทพบกในลกษณะทตองวางผานเขาไปในบรเวณทมบคคลภายนอกเขาถงไดนน ตองใหมการรอยทอสายสญญาณตางๆ เพอปองกนการดกจบสญญาณ การตดสายสญญาณเพอท าใหเกดความเสยหายและปองกนสตวตางๆ กดสาย เชน หน เปนตน ๒๕.๒ ใหเดนสายสญญาณสอสารและสายไฟฟาแยกออกจากกน เพอปองกนการแทรกแซงรบกวนของสญญาณซงกนและกน ๒๕.๓ ท าปายชอส าหรบสายสญญาณและบนอปกรณเพอปองกนการตดตอสญญาณผดเสน ๒๕.๔ จดท าแผนผงสายสญญาณสอสารตางๆ ใหครบถวนและถกตอง ๒๕.๕ ต Rack ทมสายสญญาณสอสารตางๆ ปดใสสลกใหสนท เพอปองกนการเขาถงของบคคลภายนอก ขอ ๒๖ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกตองก าหนดการบ ารงรกษาอปกรณ (Equipment Maintenance) ดงน ๒๖.๑ ใหมก าหนดการบ ารงรกษาอปกรณตามรอบระยะเวลาทก าหนด ๒๖.๒ ปฏบตตามค าแนะน าในการบ ารงรกษาตามทผผลตแนะน า ๒๖.๓ จดเกบบนทกกจกรรมการบ ารงรกษาอปกรณส าหรบการใหบรการทกครง เพอใชในการตรวจสอบหรอประเมนในภายหลง ๒๖.๔ จดเกบบนทกปญหาและขอบกพรองของอปกรณทพบ เพอใชในการประเมนและปรบปรงอปกรณดงกลาว ๒๖.๕ ควบคมและสอดสองดแลการปฏบตงานของบรษทผรบจางเหมาบ ารงรกษาระบบคอมพวเตอรทมาท าการบ ารงรกษาอปกรณภายในหนวย ๒๖.๖ ควบคมการสงอปกรณออกไปซอมแซมนอกสถานทเพอปองกนการสญหายหรอการเขาถงขอมลโดยไมไดรบอนญาต

๒๖.๗ จดใหมการอนมตสทธการเขาถงอปกรณทมขอมลส าคญของผรบจางทมาท าการบ ารงรกษาอปกรณ เพอปองกนการเขาถงขอมลโดยไมไดรบอนญาต ขอ ๒๗ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกตองควบคมและก าหนดขนตอนการน าสงอปกรณของกองทพบกออกนอกหนวยงาน (Removal of Property) ดงน ๒๗.๑ ใหมการขออนญาตกอนน าสงอปกรณหรอทรพยสนออกนอกหนวย ๒๗.๒ บนทกขอมลการน าสงอปกรณของกองทพบกออกนอกหนวย เพอเอาไวเปนหลกฐานปองกนการสญหาย รวมทงบนทกขอมลเพมเตมเมอน าอปกรณสงคน ขอ ๒๘ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกตองจดการปองกนอปกรณทใชงานอยนอกหนวยงาน (Security of equipment off-premises) ๒๘.๑ ก าหนดมาตรการความปลอดภยเพอปองกนความเสยงจากการน า สงอปกรณหรอทรพยสนของกองทพบกออกไปใชงานนอก ๒๘.๒ ไมทงสงอปกรณหรอทรพยสนของกองทพบกไวโดยล าพงในทสาธารณะ ๒๘.๓ ใหเจาหนาทมความรบผดชอบดแลอปกรณหรอทรพยสนเสมอนเปนทรพยสนของตนเอง ขอ ๒๙ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกตองควบคมการจ าหนายสงอปกรณหรอการน าสงอปกรณกลบมาใชงานอกครง (Secure Disposal or Reuse of Equipment) ดงน ๒๙.๑ ใหท าลายขอมลส าคญ ในส งอปกรณกอนท จะด าเนนการจ าหนาย สงอปกรณดงกลาว และดแนวทางปฏบตในการท าลายสอบนทกขอมลในหมวด ๘ ๒๙.๒ มมาตรการหรอเทคนคในการลบหรอเขยนขอมลทบบนขอมลทมความส าคญในอปกรณส าหรบจดเกบขอมลกอนทจะอนญาตใหผอนน าอปกรณนนไปใชงานตอ เพอปองกนไมใหมการเขาถงขอมลส าคญนนได

หมวด ๖ การบรหารจดการดานการสอสารและการด าเนนงานของเครอขายสารสนเทศ

(Communications and Operations Management) ขอ ๓๐ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกตองก าหนดขนตอนการปฏบตงานทเปนลายลกษณอกษร (Documented Operating Procedures) ดงน ๓๐.๑ จดท าขนตอนปฏบตอยางเปนลายลกษณ อกษรส าหรบภารกจการปฏบตงานกบระบบเทคโนโลยสารสนเทศดงตอไปน ๓๐.๑.๑ การปฏบตงานในหองเครองคอมพวเตอรท ใหบรการหรอศนยสารสนเทศกลาง (Data Center)

๓๐.๑.๒ การเปดและปดระบบงานเชน การเปด - ปดเครอง เปด - ปดระบบงาน เปด - ปดระบบใหบรการ เปนตน ๓๐.๑.๓ การส ารองขอมล ๓๐.๑.๔ การบ ารงรกษาอปกรณ ๓๐.๑.๕ การจดการกบสอบนทกขอมล เชน การท าปายชอบงช การลบ ทงการปองกนการน าสอบนทกขอมลกลบมาใชงานอกครง เปนตน ๓๐.๑.๖ การสงงานเขาไปประมวลผลในเครองคอมพวเตอร และการจดการกบขอผดพลาดทเกดขน ๓๐.๑.๗ การประมวลผลขอมล เชน ขนตอนในการน าขอมล เข าระบบงานประมวลผล และแสดงผล เปนตน ๓๐.๑.๘ การใชงานโปรแกรมอรรถประโยชนตางๆ (Utilities) ๓๐.๑.๙ การรายงานและการจดการกบปญหาทเกดขน ๓๐.๑.๑๐ การจดการกบการท างานลมเหลวและความผดพลาดของระบบคอมพวเตอร ระบบงาน และระบบเครอขาย ๓๐.๑.๑๑ การกคนระบบงานและระบบเครอขาย ๓๐.๒ ก าหนดผรบผดชอบและผมอ านาจในการควบคมการด าเนนการในการจดท าเอกสารขนตอนการปฏบตขางตน และใหมการปรบปรงเอกสารอยางสม าเสมอ ขอ ๓๑ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกตองก าหนดการควบคมการเปลยนแปลง ปรบปรงหรอแกไขระบบเทคโนโลยสารสนเทศดงน ๓๑.๑ ก าหนดขนตอนปฏบตส าหรบการควบคมการเปลยนแปลงตอระบบเทคโนโลยสารสนเทศของกองทพบก เชน ซอฟตแวร ฮารดแวรของระบบงาน ซอฟตแวรระบบปฏบตการ เปนตน ควรมขนตอนการด าเนนการดงตอไปน ๓๑.๑.๑ ระบและบนทกระดบผลกระทบและความเรงดวนของการเปลยนแปลงทขออนมต เชน มากหรอนอย เปนตน ๓๑.๑.๒ บนทกรายละเอยดการด าเนนการทเกยวของเพอใชเปนหลกฐาน ๓๑.๑.๓ ก าหนดใหมการวางแผนการด าเนนการ ๓๑.๑.๔ ก าหนดใหมการทดสอบตามความจ าเปน ๓๑.๑.๕ ก าหนดใหมการแจงผทเกยวของทงหมด ๓๑.๑.๖ ก าหนดใหมการวางแผนหรอขนตอนปฏบตส าหรบการ ถอยหลงกลบส าหรบกรณทท าแลวไมส าเรจ ๓๑.๑.๗ ก าหนดผมอ านาจในการอนมตใหด าเนนการในการปรบปรงหรอแกไขขนตอนปฏบตดงกลาว ขอ ๓๒ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกตองก าหนดการแบงหนาทความรบผดชอบ (Segregation of Duties) ดงน

๓๒.๑ ก าหนดใหการปฏบตงานทมความส าคญ แยกหนาทความรบผดชอบออกจากกนและมผปฏบตงานมากกวาหนงคน ๓๒.๒ ปองกนไมใหงานทมความส าคญสามารถด าเนนการไดตงแตตนจนจบไดดวยบคคลเพยงคนเดยว ๓๒.๓ ใหผบงคบบญชามการสอดสองดแลอยางใกลชดส าหรบงานทมความเสยงตอการเกดความเสยหาย ๓๒.๔ ใหมการจดเกบหลกฐานทสามารถใชตรวจสอบไดในภายหลง ส าหรบงานทมความเสยง ขอ ๓๓ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกตองจดการแยกระบบส าหรบการพฒนา การทดสอบ และการใหบรการออกจากกน (Separation of Development, Test, and Operational Facilities) ดงน ๓๓.๑ ใหพจารณาการแยกเครองคอมพวเตอรของระบบงานและมาตรการเพอใชในการแยกเครองคอมพวเตอรส าหรบการพฒนา การทดสอบและการใหบรการออกจากกนตามความจ าเปน เพอปองกนผลกระทบจากการท างานทมตอกน ๓๓.๒ ก าหนดมาตรการควบคมการถายโอนระบบงานจากเครองคอมพวเตอรทใชส าหรบการพฒนาไปสเครองทใชส าหรบการใหบรการ ๓๓.๓ ใหมการปองกนการเขาถงโปรแกรมอรรถประโยชน เชน ซอฟตแวรทลและยทลต เปนตน ทใชส าหรบการพฒนาระบบงานโดยไมไดรบอนญาตในการเขาถงโปรแกรมฯ ดงกลาวบนเครองคอมพวเตอรส าหรบการพฒนา ๓๓.๔ ก าหนดใหมการแยกบญชผใชงานออกจากกนส าหรบระบบงานทใชในการพฒนาทดสอบและใหบรการจรง ขอ ๓๔ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกตองก าหนดใหมการตรวจสอบและตดตามการใชทรพยากรของระบบและเครอขายคอมพวเตอร ดงน ๓๔.๑ จดท าแผนการตรวจสอบและตดตามทรพยากรของระบบสารสนเทศ ดงน ๓๔.๑.๑ ก าหนดประเภทของขอมลทใชในการตรวจสอบและตดตามการใชทรพยากรของระบบ เชน รอยละของการใชซพย รอยละของการใชหนวยความจ า รอยละของการใชพนทฮารดดสก และรอยละของปรมาณการใชเครอขาย เปนตน ๓๔.๑.๒ ก าหนดคาปรมาณการใชทรพยากรสงสดบนระบบทยอมรบได คาตางๆ เหลานใชส าหรบเปนจดในการแจงเตอนวาระบบสารสนเทศไดมการใชทรพยากรมาจนถงคาสงสดทยอมรบไดแลวหรอไม เชน ก าหนดไวทรอยละ ๘๐ ของการใชซพย เปนตน ๓๔.๑.๓ ก าหนดความถในการเขาตรวจสอบปรมาณการใชทรพยากรของระบบสารสนเทศ ส าหรบระบบทมความส าคญจากมากไปนอย ใหก าหนดแผนการตรวจสอบและตดตามทรพยากรของระบบดวยความถในการตรวจสอบจากสงไปต า เชน ระบบทมความส าคญมากควรมความถในการตรวจสอบสงกวาระบบทมความส าคญปานกลางและนอย เปนตน

๓๔.๒ ตดตามและตรวจสอบทรพยากรของระบบตามแผนการตรวจสอบและตดตามทรพยากรของระบบฯ ทไดก าหนดไวเพอดวายงมทรพยากรเพยงพอตอการใหบรการหรอไม ๓๔.๓ รายงานขอมลผลการตดตามการใชทรพยากรของระบบสารสนเทศ เชน สถตปรมาณการใชซพย หนวยความจ า ฮารดดสก และปรมาณเครอขายคอมพวเตอร ใหผบงคบบญชาไดรบทราบอยางสม าเสมอ ๓๔.๔ ประเมนความตองการทรพยากรของระบบสารสนเทศทตองการเพมเตมเพอน าไปใชในการวางแผนปรบปรงประสทธภาพและขดความสามารถของระบบตอไป

หมวด ๗ การปองกนชดค าสงไมพงประสงค

(Protection Against Malicious Code)

ขอ ๓๕ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกตองก าหนดมาตรการควบคมการเขาถงระบบเทคโนโลยสารสนเทศเพอปองกนชดค าสงไมพงประสงคดงน ๓๕.๑ หามการตดตงซอฟตแวรอนๆ หรอซอฟตแวรทไดมาจากแหลงภายนอก รวมทงการใชแฟมขอมล (File) อนทกองทพบกไมอนญาตใหใชงาน ๓๕.๒ ใหมการตรวจสอบซอฟตแวรหรอขอมลในระบบงานส าคญอยางสม าเสมอเพอปองกนการตดตงซอฟตแวรหรอขอมลในระบบงานนนโดยไมไดรบอนญาต ๓๕.๓ ใหตดตงซอฟตแวรเพอปองกนชดค าสงไมพงประสงคใหกบระบบเทคโนโลยสารสนเทศของกองทพบก และอพเดทซอฟตแวรปองกนชดค าสงไมพงประสงคเปนประจ าสม าเสมอ ๓๕.๔ ใหผดแลระบบด าเนนการตรวจสอบชดค าสงไมพงประสงคในเครองคอมพวเตอรทใหบรการและอปกรณเทคโนโลยสารสนเทศอนๆ ในบรเวณจดทางเขา - ออกเครอขายอยางสม าเสมอเพอดกจบชดค าสงไมพงประสงคทจะเขาสระบบ ๓๕.๕ ก าหนดหนาทความรบผดชอบและขนตอนปฏบตส าหรบการจดการกบชดค าสงไมพงประสงคไดแกการรายงานการเกดขนของชดค าสงไมพงประสงค การวเคราะห การจดการ การกคนระบบจากความเสยหายทตรวจพบ เปนตน ๓๕.๖ มการตดตามขอมลขาวสารเกยวกบชดค าสงไมพงประสงคอยางสม าเสมอ ๓๕.๗ ใหมการสรางความตระหนกเกยวกบชดค าส งไม พงประสงคเพอใหเจาหนาทมความรความเขาใจและสามารถปองกนตนเองไดและใหรบทราบขนตอนปฏบตเมอพบเหตชดค าสง

ไมพงประสงควาตองด าเนนการอยางไร รวมทงใหหนวยมการจดการฝกอบรมสรางความตระหนกอยางนอย ปละ ๑ ครง

หมวด ๘ การจดการเขาถงขอมลสารสนเทศและโปรแกรมประยกต

ขอ ๓๖ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกตองก าหนดการจดการกบขอมลในแตละชนความลบ ดงน ๓๖.๑ ก าหนดระดบชนความลบของขอมลซงอยางนอยประกอบดวย ขอมลทวไป ขอมลสวนบคคล ขอมลใชภายใน และขอมลลบ ๓๖.๒ ก าหนดแนวทางในการจดหมวดหมขอมลเปนชนความลบทเหมาะสมซงควรพจารณาจดหมวดหมจาก ๓๖.๒.๑ แหลงทมาของขอมล เชน หากขอมลนนมาจากภายนอก และเปนขอมลลบ ชนความลบกจะตองคงไวเชนเดม หรอหากขอมลนนมาจากอนเทอรเนต ชนความลบกจะเปนประเภทเปดเผยได เปนตน ๓๖.๒.๒ วธการน าไปใชประโยชน เชน หากขอมลนนสามารถน าไปใชประโยชนในเชงพาณชยได หากถกเปดเผยจะสงผลกระทบดานระบบงบประมาณของหนวย ดงนนขอมลนจะอยในประเภทลบ เปนตน ๓๖.๒.๓ จ านวนบคคลทควรรบทราบ เชน หากขอมลนนสามารถเปดเผยตอผใชงานขอมลเปนจ านวนมาก ชนความลบจะเปนขอมลเปดเผยได เปนตน ๓๖.๒.๔ ผลกระทบหากมการเปดเผย เชน หากขอมลนนถกเปดเผย จะมผลกระทบดานชอเสยงและภาพลกษณ ดานการงบประมาณ ดานการไมปฏบตตามกฎระเบยบขอบงคบ ทหนวยก าหนดตองปฏบตตาม หรอดานการมสวนไดสวนเสยของผทเกยวของ ดงนนขอมลจะสามารถจดอยในประเภทใชภายในเทานน หรอประเภทชนความลบ เปนตน ๓๖.๓ ก าหนดขนตอนปฏบต เพอจดการกบขอมลตามระดบชนความลบ ขนตอนฯ ควรประกอบดวย การควบคมการประมวลผล การควบคมการเขาถง การจดเกบ การจดการกบสอบนทกขอมล การท าปายบงช และการสอสารขอมลอยางมนคงปลอดภย ๓๖.๔ ก าหนดใหมการจ ากดการเขาถงขอมลส าคญเพอปองกนการเขาถงโดยไมไดรบอนญาต ๓๖.๕ ก าหนดมาตรการท าลายสอบนทกขอมลเพอปองกนการเขาถงขอมลส าคญทยงคงคางอยบนสอบนทกขอมลนน โดยอาจปฏบตตามแนวทางดงน

ประเภทสอบนทกขอมล วธการท าลาย Flash Drive ใชวธการทบหรอบดใหเสยหาย

กระดาษ ใชการตดดวยเครองท าลายเอกสาร

แผน CD/DVD ใชการตดดวยเครองท าลายเอกสาร

เทป ใชวธการทบหรอบดใหเสยหาย หรอเผาท าลาย

ฮารดดสก ใชการท าลายขอมลบนฮารดดสกดวยวธการฟอรแมต (Format) ตามมาตรฐานการท าลายขอมลบนฮารดดสกของกระทรวงกลาโหม สหรฐอเมรกา DOD 5220.33-M (ซงมการฟอรแมตเปนจ านวนหลายรอบ)

๓๖.๖ ก าหนดมาตรการเพอตรวจสอบวาขอมลทน าออกจากระบบงานมความถกตองและสมบรณกอนทจะน าไปใชงานตอไป ๓๖.๗ ก าหนดมาตรการปองกนขอมลส าคญทมการส งพมพออกมาทางเครองพมพเพอปองกนการเขาถงโดยผอน ๓๖.๘ จดท าบญชรายชอผมสทธเขาถงขอมลและสอบนทกขอมลส าคญ และมการทบทวนบญชรายชออยางสม าเสมอ ๓๖.๙ มาตรการในการน าวธการเขารหสมาใชกบขอมลชนความลบ ใหปฏบตตาม ระเบยบวาดวยการรกษาความลบทางราชการ พ.ศ. ๒๕๔๔ และระเบยบกองทพบก วาดวยการรกษาความปลอดภยทางการอกษรลบ พ.ศ. ๒๕๑๕ ขอ ๓๗ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกตองจดการสรางความมนคงปลอดภยส าหรบเอกสารระบบ (Security of System Documentation) ดงน ๓๗.๑ จดเกบเอกสารทเกยวของกบระบบเทคโนโลยสารสนเทศไวในสถานททมนคงปลอดภย ๓๗.๒ ใหมการควบคมการเขาถงเอกสารท เกยวขอ งกบระบบเทคโนโลยสารสนเทศโดยผเปนเจาของระบบนน ๓๗.๓ ควบคมการเขาถงเอกสารทเกยวของกบระบบเทคโนโลยสารสนเทศทจดเกบหรอเผยแพรอยบนเครอขายสาธารณะ เชน อนเทอรเนต เปนตน เพอปองกนการเขาถงหรอเปลยนแปลงแกไขเอกสารนน ขอ ๓๘ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกตองก าหนดนโยบายและขนตอนปฏบตส าหรบการแลกเปลยนสารสนเทศ ( Information Exchange Policies and Procedures) ดงน

๓๘.๑ จดท านโยบายหรอแนวทางการใชอยางเหมาะสมส าหรบการใชงานระบบหรออปกรณทใชในการสอสารขอมลระหวางกองทพบก เชน หามใชเพอกอความร าคาญแกผอน ท าใหผอนสญเสยชอเสยง ปลอมเปนบคคลอน เปนตน ๓๘.๒ มวธการทางเทคนคปองกนขอมลส าคญจากการถกเขาถง ถกเปลยนแปลงแกไข ถกสวมรอยโดยผอน ถกเปดเผยความลบ โดยไมไดรบอนญาต ๓๘.๓ จดท าแนวทางส าหรบการจดเกบ การท าลาย และระยะเวลาการจดเกบส าหรบขอมลหรอเอกสารโตตอบ และแนวทางควรสอดคลองกบกฎหมาย ระเบยบ ขอบงคบ หรอขอก าหนดอนๆ ทหนวยตองปฏบตตาม ขอ ๓๙ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกตองก าหนดขอตกลงในการแลกเปลยนสารสนเทศ (Exchange Agreements) โดยมแนวทางขอตกลงส าหรบการแลกเปลยนสารสนเทศระหวางหนวยงานภายในกบหนวยงานภายนอกดงตอไปน ๓๙.๑ ก าหนดนโยบายขนตอนปฏบต และมาตรฐานเพอปองกนขอมลและสอบนทกขอมลทจะมการขนยายหรอสงไปยงอกสถานทหนง ๓๙.๒ ก าหนดหนาทความรบผดชอบของผทเกยวของและขนตอนปฏบตในการแลกเปลยนขอมล เชน วธการสง วธการรบ เปนตน ๓๙.๓ ก าหนดหนาทความรบผดชอบในการปองกนขอมล ๓๙.๔ ก าหนดขนตอนปฏบตส าหรบตรวจสอบวาใครเปนผสงขอมลและใครเปนผรบขอมลเพอเปนการปองกนการปฏเสธความรบผดชอบ ๓๙.๕ ก าหนดความรบผดชอบส าหรบกรณทขอมลทแลกเปลยนกนเกดการ สญหายหรอเกดเหตการณความเสยหายอนๆ กบขอมลนน ๓๙.๖ ก าหนดสทธการเขาถงขอมล ๓๙.๗ ก าหนดมาตรฐานทางเทคนคทใชในการเขาถงขอมลหรอซอฟตแวร ๓๙.๘ ก าหนดมาตรการพเศษส าหรบปองกนเอกสาร ขอมล ซอฟตแวร หรออนๆ ทมความส าคญ เชน กญแจทใชในการเขารหส เปนตน ขอ ๔๐ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกตองก าหนด ระบบสารสนเทศทางตามภารกจทไดรบมอบทมการเชอมโยงถงกน พจารณาประเดนตางๆ ทางดานความมนคงปลอดภย และจดออนตางๆ กอนตดสนใจใชขอมลรวมกนในระบบงาน หรอระบบเทคโนโลยสารสนเทศทจะเชอมโยงเขาดวยกน เชน ระหวางหนวยภายในกองทพบก หรอหนวยงานอนๆ ทจะมาขอเชอมโยงกบกองทพบก เปนตนดงน ๔๐.๑ ก าหนดนโยบายและมาตรการเพอควบคม ปองกน และบรหารจดการการใชขอมลรวมกน ๔๐.๒ พจารณาจ ากดหรอไมอนญาตการเขาถงขอมลสวนบคคล ๔๐.๓ พจารณาวามก าลงพลใดบางทมสทธหรอไดรบอนญาตใหเขาใชงาน ๔๐.๔ พจารณาเรองการลงทะเบยนผใชงาน

๔๐.๕ ไมอนญาตใหมการใชงานขอมลส าคญหรอขอมลทก าหนดชนความลบรวมกนในกรณทระบบไมมมาตรการปองกนเพยงพอ ขอ ๔๑ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกตองก าหนด การหมดเวลาหรอหมดอายการใชงานระบบสารสนเทศ (Session Time-Out) ดงน ๔๑.๑ ก าหนดใหระบบเทคโนโลยสารสนเทศ เชน ระบบงาน อปกรณเครอขาย เปนตน มการตดการตดตอและหมดเวลาการใชงาน รวมทงปดการใชงานดวยหลงจากทไมมกจกรรมการใชงานชวงระยะเวลาหนงทก าหนดไว ๔๑.๒ ก าหนดใหระบบเทคโนโลยสารสนเทศมการตดการตดตอและหมดเวลาการใชงานทสนขนส าหรบระบบเทคโนโลยสารสนเทศทมความเสยงสง เชน ระบบงานทมขอมลส าคญ ระบบงานทก าหนดชนความลบ เปนตน เพอปองกนการเขาถงขอมลโดยไมไดรบอนญาต ๔๑.๓ แนวทางปฏบตดงน ๔๑.๓.๑ เมอผใชงานไมไดใชงานหรอวางเวนจากการใชงานในระยะเวลา ๕ นาท หรอตามทผรบผดชอบก าหนด ใหมการตดการเชอมตอการใชงานออกจากระบบสารสนเทศโดยอตโนมต ๔๑.๓.๒ ถามความพยายามเขาสระบบใหม ใหยนยนการใชงานโดยใสชอผใช (username ) และรหสผาน (password) หรอวธการทปลอดภยในการยนยนตวบคคลในทกๆ ครง ขอ ๔๒ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกตองก าหนด การจ ากดระยะเวลาการเชอมตอระบบเทคโนโลยสารสนเทศ (Limitation of connection time) ดงน ๔๒.๑ ก าหนดใหระบบสารสนเทศมการจ ากดชวงระยะเวลาการเชอมตอส าหรบการใชงานเพอใหผใชงานสามารถใชงานไดนานทสดภายในระยะเวลาทก าหนดเทานน ๔๒.๒ ก าหนดใหระบบสารสนเทศ เชน ระบบงานทมความส าคญสง ระบบงานทมการใชงานในสถานททมความเสยง (ในทสาธารณะหรอพนทภายนอกหนวย) ระบบงานทก าหนดชนความลบ เปนตน มการจ ากดชวงระยะเวลาการเชอมตอเพอปองกนบคคลทไมมสวนเกยวของเขาถงขอมลไดโดยงาย ๔๒.๓ แนวทางปฏบตดงน ๔๒.๓.๑ การเชอมตอเขาสระบบสารสนเทศของกองทพบก ก าหนดใหใชงานได ๒ ชวโมง ตอการเชอมตอหนงครง หรอตามทผบงคบบญชาเหนสมควร ๔๒.๓.๒ การเชอมตอเขาสระบบสารสนเทศของกองทพบก ก าหนดใหใชงานไดเฉพาะในชวงเวลาการท างานตามปกตเทานน ๔๒.๓.๓ การเชอมตอเขาสระบบสารสนเทศของกองทพบก ถากระท าในชวงนอกเวลาท างานตามปกต ตองไดรบอนมตจากผบงคบบญชาเปนลายลกษณอกษร ขอ ๔๓ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกตองก าหนดคณสมบตของการลอกอน (Login) ทมความมนคงปลอดภยส าหรบระบบสารสนเทศ ส าหรบเครองคอมพวเตอรใหบรการหรออปกรณเครอขายคอมพวเตอรทหนวยรบผดชอบ ดงน

๔๓.๑ ไมมหรอไมแสดงฟงกชน (Function) ใหการชวยเหลอในระหวางทท าการลอกอน (Login) ๔๓.๒ บนทกความพยายามในการลอกอนทงทส าเรจและไมส าเรจและแสดงประวตการลอกอน ๓ ครงลาสด ๔๓.๓ ตดการเชอมตอหลงจากทท าการลอกอนไมส าเรจเกนกวา ๓ ครง ๔๓.๔ เมอมการใสขอมลบญชชอผใชงานและรหสผานทไมถกตอง ใหแสดงขอความรวมๆ เชน “ขอมลการลอกอน ไมถกตอง” ๔๓.๕ ใหแสดงขอความเตอนทหนาจอภายหลงจากการลอกอนเสรจส น ขอความเตอนดงกลาว ไดแก “ระบบนเปนระบบทเปนทรพยสนของกองทพบก การใชงานจะตองไดรบการอนมตกอนเทานนจงจะสามารถใชงานได ผทไมไดรบสทธและเขามาใชระบบงาน หากมการตรวจพบ อาจมการลงโทษทางวนย หรอด าเนนการทางกฎหมายตามความเหมาะสม กองทพบกมสทธในการตรวจสอบพฤตกรรมการใชงานในระหวางทผใชงานใชระบบงานนโดยไมถอวาเปนการละเมดความเปนสวนตว” ๔๓.๖ ไมแสดงรายละเอยดของระบบใดๆ จนกวาจะลอกอนส าเรจ ขอ ๔๔ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกตองก าหนด การบนทกเหตการณทเกยวของกบการใชงานสารสนเทศ (Audit Logging) ของระบบงานภายในกองทพบกดงน จดใหมการบนทกขอมลพฤตกรรมการใชงานขอมลโดยการจดเกบ Audit Log เปน Log File ทใชเกบขอมลการเขาถงระบบของผใช เพอตรวจสอบวาใครเขามาใชงานระบบ การตรวจสอบการบกรก รวมไปถงการตรวจสอบขอผดพลาดทเกดขน โดยจดท ารายงานเบองตนสรปขอมลวา ใคร (Who) ท าอะไร (What) เมอไหร (When) ทไหน (Where) และอยางไร (How) ดงนนขอมลทควรจดเกบมดงน ๔๔.๑ ขอมลชอบญชผใชระบบงาน ๔๔.๒ ขอมลวนเวลาทเขาถงระบบงาน ๔๔.๓ ขอมลวนเวลาทออกจากระบบงาน ๔๔.๔ ขอมลเหตการณส าคญทเกดขน ๔๔.๕ ขอมลชอเครองคอมพวเตอรทใชงาน ๔๔.๖ ขอมลการเขาถงระบบ (Log in) ทงทส าเรจและไมส าเรจ ๔๔.๗ ขอมลความพยายามในการเขาถงทรพยากร เชน ขอมลบญชผใชฐานขอมลส าคญของระบบงาน เปนตน ทงทส าเรจและไมส าเรจ ๔๔.๘ ขอมลการเปลยนแปลงสงแวดลอมหรอการก าหนดคา (Configuration) ของระบบงาน ๔๔.๙ ขอมลแสดงการใชสทธ เชน สทธของผดแลระบบ เปนตน ๔๔.๑๐ ขอมลแสดงการใชงานโปรแกรมประยกต (Application Program) ๔๔.๑๑ ขอมลแสดงการเขาถงแฟมขอมล (File) และการกระท ากบแฟมขอมล (File) เชน เปด ปด เขยน อานแฟมขอมล เปนตน ๔๔.๑๒ ขอมลไอพแอดเดรสทเขาถง

๔๔.๑๓ ขอมลโพรโตคอลของเครอขายทใชงาน ๔๔.๑๔ ขอมลการแจงเตอนเกยวกบการเขาถงระบบจากการบกรก ๔๔.๑๕ ขอมลแสดงการหยดการท างานของระบบปองกนการบกรก ๔๔.๑๖ ขอมลแสดงการหยดการท างานของระบบงานส าคญๆ ๔๔.๑๗ ขอมลแสดงการส ารองขอมลไมส าเรจ

หมวด ๙ การบรหารจดการการเขาถงระบบเครอขายสอสารขอมล

ขอ ๔๕ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกตองก าหนดมาตรการทางเครอขายสอสารขอมล (Network Controls) เพอปองกนขอมลในเครอขาย ระบบงาน หรอบรการตางๆ จากการถกเขาถงหรอถกท าลายโดยไมไดรบอนญาต ดงตอไปน ๔๕.๑ ก าหนดบคลากรผมหนาทรบผดชอบ ความรบผดชอบ และขนตอนปฏบตส าหรบการบรหารจดการอปกรณเครอขายทใชในการเขาถงจากระยะไกล ๔๕.๒ ก าหนดข นตอนปฏบตส าหรบการบรหารจดการบญชผ ใชงานและอปกรณทอนญาตใหสามารถเขาใชระบบเทคโนโลยสารสนเทศจากระยะไกล ๔๕.๓ ก าหนดมาตรการพเศษเพอปองกนความลบและความถกตองของขอมลส าคญเมอตองสงผานขอมลนนทางเครอขายสาธารณะ เชน เครอขายอนเทอรเนต เครอขายไรสาย เปนตน ๔๕.๔ ก าหนดมาตรการเพอปองกนระบบเทคโนโลยสารสนเทศทมการเชอมโยงกบเครอขายสาธารณะ ๔๕.๕ ก าหนดมาตรการเพอเฝาระวงสภาพความพรอมใชของระบบเทคโนโลยสารสนเทศตางๆ เพอใหสามารถใชงานไดอยางตอเนอง ๔๕.๖ มการบนทกขอมลพฤตกรรมการใชงานเกบ Log ของอปกรณเครอขายเพอใชในการตรวจสอบอยางสม าเสมอ ๔๕.๗ มการใชฮารดแวรหรอซอฟตแวร ส าหรบการบรหารจดการเครอขาย เพอระบ เฝาตรวจ ตดตามสถานะ อปกรณในระบบสารสนเทศของกองทพบก ขอ ๔๖ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกตองก าหนด การควบคมการเขาถงระบบเครอขายดงน ๔๖.๑ ผดแลระบบ ตองมการออกแบบแบงระบบเครอขายตามกลมของบรการระบบเทคโนโลยสารสนเทศและการสอสารทมการใชงาน กลมของผใช และกลมของระบบสารสนเทศ เชน เขตภายใน (Internal Zone) เขตภายนอก (External Zone) เปนตน เพอเปนการควบคม และปองกนการบกรกไดอยางเปนระบบ

๔๖.๒ ผดแลระบบ ควรด าเนนการแยกและตดตง เครองคอมพวเตอรใหบรการไวในวงเครอขายทแยกตางหากจากวงเครอขายของผใชงาน และใช Firewall หรออปกรณเครอขายอนๆ เพอจ ากดใหเฉพาะกลมผใชงานทไดรบอนญาตเทานน จงจะสามารถเชอมตอเขาไปยงเครองคอมพวเตอรใหบรการนนไดและส าหรบแนวทางปฏบตการใชงานของไฟรวอลล (Firewall) ของกองทพบก มดงน ๔๖.๒.๑ ผดแลระบบมหนาทในการบรหารจดการ การตดตง และก าหนดคาของไฟรวอลลทงหมด ๔๖.๒.๒ การก าหนดคาเรมตนพนฐานของทกเครอขายจะตองเปนการปฏเสธทงหมด ๔๖.๒.๓ ทกเสนทางเชอมตออนเทอรเนตและบรการอนเทอรเนตทไมอนญาตตามนโยบาย จะตองถกบลอก (Block) โดยไฟรวอลล ๔๖.๒.๔ ผใชงานอนเทอรเนตจะตองมการ Login account กอนการใชงานทกครง ๔๖.๒.๕ คาการเปลยนแปลงทงหมดในไฟรวอลล เชน คาพารามเตอร การก าหนดคาใชบรการ และการเชอมตอทอนญาต จะตองมการบนทกการเปลยนแปลงทกครง ๔๖.๒.๖ การเขาถงตวอปกรณไฟรวอลล จะตองสามารถเขาถงไดเฉพาะผทไดรบมอบหมายใหดแลจดการเทานน ๔๖.๒.๗ ขอมลจราจรทางคอมพวเตอรท เขาออกอปกรณ ไฟรวอลล จะตองสงคาไปจดเกบทอปกรณจดเกบขอมลจราจรทางคอมพวเตอร โดยจะตองจดเกบขอมลจราจรไมนอยกวา ๙๐ วน ๔๖.๒.๘ การก าหนดระเบยบในการใหบรการอนเทอรเนตกบเครองคอมพวเตอรลกขายจะเปดพอรตการเชอมตอพนฐานของโปรแกรมทวไป ททางกองทพบกอนญาตใหใชงาน ซงหากมความจ าเปนทจะใชงานพอรตการเชอมตอนอกเหนอทก าหนด จะตองไดรบความยนยอมจากกองทพบกกอน ๔๖.๒.๙ การก าหนดคาการใหบรการของเครองคอมพวเตอรแมขายในแตละสวนของเครอขาย จะตองก าหนดคาอนญาตเฉพาะพอรตการเชอมตอทจ าเปนตอการใหบรการเทานน โดยขอนโยบายจะตองถกระบใหกบเครองคอมพวเตอรแมขายเปนรายเครองทใหบรการจรง ๔๖.๒.๑๐ จะตองมการส ารองขอมลการก าหนดคาตางๆ ของอปกรณไฟรวอลลเปนประจ าทกสปดาห หรอทกครงทมการเปลยนแปลงคา ๔๖.๒.๑๑ เครองคอมพวเตอรแมขายทใหบรการระบบสารสนเทศตางๆ จะตองไมอนญาตใหมการเชอมตอเพอใชงานอนเทอรเนต เวนแตมความจ าเปน โดยจะตองก าหนดเปนกรณไป ๔๖.๒.๑๒ ผดแลระบบมสทธทจะระงบหรอบลอกการใชงานของเครองคอมพวเตอร ทมพฤตกรรมการใชงานทผดนโยบาย หรอเกดจากการท างานของโปรแกรมทม ความเสยงตอความปลอดภย จนกวาจะไดรบการแกไข ๔๖.๒.๑๓ การเชอมตอในลกษณะของการ Remote Login จากภายนอกมายงเครองแมขาย หรออปกรณเครอขายภายใน จะตองบนทกรายการของการด าเนนการตามแบบการขออนญาต

ด าเนนการเกยวกบเครองคอมพวเตอรแมขายและอปกรณเครอขาย และจะตองไดรบความเหนชอบจากผดแลระบบกอน ๔๖.๒.๑๔ ผละเมดนโยบายดานความปลอดภยของไฟรวอลล จะถกระงบการใชงานอนเทอรเนตหรอเชอมตอเครอขายภายในโดยทนท ๔๖.๓ การเขาสระบบเครอขายภายในของกองทพบก โดยผานทางอนเทอรเนตจะตองไดรบการอนมตเปนลายลกษณอกษรจากผบงคบบญชากอนทจะสามารถใชงานไดในทกกรณ ๔๖.๔ ผดแลระบบ ตองมวธการจ ากดสทธการใชงานเพอควบคมผใชใหสามารถใชงานเฉพาะเครอขายทไดรบอนญาตเทานน ๔๖.๕ ผดแลระบบ ตองจ ากดเสนทางการเขาถงเครอขายทมการใชงานรวมกน ๔๖.๖ ผดแลระบบ จดใหมวธเพอจ ากดการใชเสนทางบนเครอขาย (Enforced Path) จากเครองคอมพวเตอรใชงานไปยงเครองคอมพวเตอรใหบรการ เชน ในการเชอมตอเขาสเครอ งคอมพวเตอรใหบรการเพอบรหารจดการระบบ ใหก าหนดเฉพาะชดไอพแอดเดรสของผดแลระบบเทานนทสามารถเขาถงเครองคอมพวเตอรใหบรการนนได ๔๖.๗ ผดแลระบบ ตรวจสอบและปดพอรต (Port) ของอปกรณเครอขายทไมมความจ าเปนในการใชงาน ๔๖.๘ ก าหนดบคคลทรบผดชอบในการก าหนด แกไข หรอเปลยนแปลงคา ตวแปร (Parameter) ตางๆ ของระบบเครอขายและอปกรณตางๆ ทเชอมตอกบระบบเครอขายอยางชดเจน และมการทบทวนการก าหนดคาตวแปร (Parameter) ตางๆ อยางนอยปละครง นอกจากน การก าหนดแกไขหรอเปลยนแปลงคาตวแปร (Parameter) ควรแจงบคคลทเกยวของใหรบทราบทกครง ๔๖.๙ ระบบเครอขายทงหมดของหนวยทมการเชอมตอไปยงระบบเครอขายอนๆ ภายนอกหนวย ตองเชอมตอผานอปกรณปองกนการบกรกหรอโปรแกรมในการท า Packet filtering เชน การใช Firewall หรอ Hardware อนๆ เปนตน ๔๖.๑๐ มการตดตงระบบตรวจจบและปองกนการบกรก (IDS/IPS) เพอตรวจสอบการใชงานของบคคลทเขาใชงานระบบเครอขายของหนวยในลกษณะทผดปกตผานระบบเครอขาย โดยมการตรวจสอบการบกรกผานระบบเครอขาย การใชงานในลกษณะทผดปกตและการแกไขเปลยนแปลงระบบเครอขายโดยบคคลทไมมอ านาจหนาทเกยวของ และส าหรบแนวทางปฏบตการใชงานของอปกรณปองกนการบกรก (IDS/IPS) ดงน ๔๖.๑๐.๑ เปนการตดตงระบบตรวจสอบการบกรก และตรวจสอบความปลอดภยของเครอขาย เพอปองกนทรพยากร ระบบสารสนเทศ และขอมลบนเครอขายภายในของกองทพบก ใหมความมนคงปลอดภย เปนแนวทางการปฏบตเกยวกบการตรวจสอบการบกรกเครอขาย พรอมกบบทบาทและความรบผดชอบทเกยวของ ๔๖.๑๐.๒ ใหครอบคลมทกโฮสต (Host) ในเครอขายของกองทพบกและเครอขายขอมลทงหมด รวมถงเสนทางทขอมลอาจเดนทาง ทงทเชอมตอสเครอขายภายนอก และเครอขายภายในทกเสนทาง

๔๖.๑๐.๓ ระบบทงหมดทสามารถเขาถงไดจากเครอขายภายนอกหรอเครอขายสาธารณะตางๆ จะตองผานการตรวจสอบจากระบบ IDS/IPS ๔๖.๑๐.๔ ระบบทงหมดใน DMZ จะตองไดรบการตรวจสอบรปแบบการใหบรการกอนการตดตงและเปดใหบรการ ๔๖.๑๐.๕ โฮสตและเครอขายทงหมดทมการสงผานขอมลผาน IDS/IPS จะตองมการบนทกผลการตรวจสอบ ๔๖.๑๐.๖ มการตรวจสอบและ Update Patch/Signature ของ IDS/IPS เปนประจ า ๔๖.๑๐.๗ มการตรวจสอบเหตการณ ขอมลจราจร พฤตกรรมการใชงาน กจกรรม และบนทกปรมาณขอมลเขาใชงานเครอขายเปนประจ าทกวนโดยผดแลระบบ ๔๖.๑๐.๘ IDS/IPS จะท างานภายใตกฎควบคมพนฐานของไฟรวอลล ทใชในการเขาถงเครอขายของระบบสารสนเทศตามปกต ๔๖.๑๐.๙ เครองคอมพวเตอรทใหบรการทมการตดตง host-based IDS จะตองมการตรวจสอบขอมลประจ าวน ๔๖.๑๐.๑๐ พฤตกรรมการใชงาน กจกรรม หรอเหตการณทงหมด ทมความเสยงตอการบกรก การโจมตระบบ พฤตกรรมทนาสงสย หรอการพยายามเขาระบบ ทงทประสบความส าเรจและไมประสบความส าเรจ จะตองมการรายงานใหผบงคบบญชาทราบทนททตรวจพบ ๔๖.๑๐.๑๑ พฤตกรรม กจกรรมทนาสงสย หรอระบบการท างานทผดปกต ทถกคนพบ จะตองมการรายงานใหผบงคบบญชาทราบ ภายใน ๑ ชวโมงทตรวจพบ ๔๖.๑๐.๑๒ การตรวจสอบการบกรกทงหมดจะตองเกบบนทกขอมลไวไมนอยกวา ๙๐ วน ๔๖.๑๐.๑๓ มรปแบบการตอบสนองตอเหตการณท เกดขน ไดแก รายงานผลการตรวจพบของเหตการณตางๆ ด าเนนการตามขนตอนเพอลดความเสยหาย ลบซอฟตแวรมงรายทตรวจพบ ปองกนเหตการณทอาจเกดอกในอนาคต และด าเนนการตามแผนเผชญเหตทเกดขน ๔๖.๑๐.๑๔ ผดแลระบบมสทธในการยตการเชอมตอเครอขายของเครองคอมพวเตอรทมพฤตกรรมเสยงตอการบกรกระบบ โดยไมตองมการแจงแกผใชงานลวงหนา ๔๖.๑๐.๑๕ ผทถกตรวจสอบวาพยายามกระท าการอนใดทเปนการละเมดระเบยบของกองทพบก การพยายามเขาถงระบบโดยมชอบ การโจมตระบบ หรอมพฤตกรรมเสยงตอการท างานของระบบสารสนเทศ จะถกระงบการใชเครอขายทนท หากการกระท าดงกลาวเปนการกระท าความผดทสอดคลองกบ พ.ร.บ.วาดวยการกระท าความผดเกยวกบคอมพวเตอร พ.ศ. ๒๕๕๐ หรอเปนการกระท าทสงผลใหเกดความเสยหายตอขอมล และทรพยากรระบบของกองทพบก จะตองถกด าเนนคดตามขนตอนของกฎหมายตอไป ๔๖.๑๑ การเขาสระบบงานเครอขายภายในหนวย ผานทางอนเทอรเนตตองมการ Login และตองมการพสจนยนยนตวตน (Authentication) เพอตรวจสอบความถกตอง

๔๖.๑๒ ขอมลหมายเลขชดอนเทอรเนตของคอมพวเตอร ( IP Address) ภายใน (Local) ของระบบงานเครอขายภายในของหนวย จ าเปนตองมการปองกนมใหหนวยงานภายนอกทเชอมตอสามารถมองเหนได เพอเปนการปองกนไมใหบคคลภายนอกสามารถรขอมลเกยวกบโครงสรางของระบบเครอขายและสวนประกอบของศนยเทคโนโลยสารสนเทศของหนวยไดโดยงาย ๔๖.๑๓ จดท าแผนผงระบบเครอขาย (Network Diagram) ซงมรายละเอยดเกยวกบขอบเขตของเครอขายภายในและเครอขายภายนอก และอปกรณตาง ๆ พรอมทงปรบป รงใหเปนปจจบนอยเสมอ ๔๖.๑๔ การใชเครองมอตางๆ (Tools) เพอการตรวจสอบระบบเครอขาย ตองไดรบการอนมตจากผบงคบบญชาหรอผรบมอบอ านาจ และจ ากดการใชงานเฉพาะเทาทจ าเปน ๔๖.๑๕ การตดตงและการเชอมตออปกรณเครอขายจะตองด าเนนการโดยเจาหนาทศนยเทคโนโลยสารสนเทศของหนวย และจะตองจดท าเปนบญชไวส าหรบระบอปกรณบนเครอขายได ๔๖.๑๖ การบรหารจดการการบนทกและตรวจสอบ ก าหนดใหมการบนทกการท างานของระบบปองกนการบกรก เชน บนทกการเขาออกระบบ บนทกการพยายามเขาสระบบ บนทกการ ใชงาน Command Line และ Firewall Log เปนตน เพอประโยชนในการใชตรวจสอบและตองเกบบนทกดงกลาวไวอยางนอยกวา ๓ เดอน หรอไมต ากวา ๙๐ วน ๔๖.๑๗ มการตรวจสอบบนทกการปฏบตงานของผใชงานอยางสม าเสมอ

หมวด ๑๐ การควบคมการพฒนาหรอจดหาระบบงาน

(Control of Application Development or Acquisition) ขอ ๔๗ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกตองควบคมการพฒนาหรอจดหาระบบงานเพอใหระบบงานทไดรบมความมนคงปลอดภยเพยงพอ ดงน ๔๗.๑ ใหประเมนความเสยงและระบขอก าหนดทางดานความมนคงปลอดภย (Security Requirements) ของระบบงานทจะจดหาหรอพฒนาอยางเปนลายลกษณอกษร ขอก าหนดดงกลาวอยางนอยควรม ๔๗.๑.๑ คณสมบตของการลอกอนเขาส ระบบงานทม ความมนคงปลอดภยของระบบสารสนเทศ ตามหมวด ๘

๔๗.๑.๒ การก าหนดหรอตงรหสผานทมความมนคงปลอดภยของระบบสารสนเทศส าหรบเขาถงระบบสารสนเทศตามหมวด ๔ ๔๗.๑.๓ การเขารหสขอมลส าคญทมการรบ - สงขอมลระหวางเครองผใชงานกบเครองคอมพวเตอรใหบรการ ๔๗.๑.๔ การเขารหสขอมลส าคญ เชน ขอมลลบ ทจดเกบไวในฐานขอมล ๔๗.๑.๕ การตดและหมดเวลาการใชงานหลงจากทไมไดใชระบบงานเกนกวาระยะเวลาตามทก าหนดไว เชน ๑๕ - ๓๐ นาท เปนตน ๔๗.๑.๖ การบนทกบญชชอผใชงานทลอกอนเขาระบบ หมายเลขไอพแอดเดรส วนเวลาทเขาใชระบบ ความส าเรจหรอไมส าเรจในการลอกอนของผใชงาน ๔๗.๒ พฒนาหรอจดหาระบบงานใหไดตามขอก าหนดทางดานความมนคงปลอดภยของระบบสารสนเทศทระบไว ๔๗.๓ พฒนาหรอจดหาระบบงานเพอใหมหนาจอส าหรบผดแลระบบเพอท าการบนทกและปรบปรงสทธของผใชงานได รวมทงตองสามารถบนทกสทธดงกลาวลงเกบไวในฐานขอมลไดดวย ๔๗.๔ ก าหนดใหมการจดท าแผนการทดสอบโดยผพฒนาระบบ น าเสนอแผนดงกลาวเพอพจารณาอนมตโดยผบงคบบญชาหรอผทไดรบการมอบอ านาจ ด าเนนการทดสอบตามแผนฯ บนทกผลการทดสอบ และรายงานผลการทดสอบใหผบงคบบญชาไดรบทราบ เพอใหค าแนะน าในการปรบปรงตางๆ ทจ าเปน แผนการทดสอบทจดท าอยางนอยประกอบดวย ๔๗.๔.๑ แผนการทดสอบ UAT (User Acceptance Test) ๔๗.๔.๒ แผนการทดสอบ System Integration Test ๔๗.๔.๓ แผนการทดสอบขอก าหนดทางดานความมนคงปลอดภย (Security Test) ๔๗.๕ ไมอนญาตการน าขอมลส าคญของกองทพบกไปใชในการทดสอบกบระบบงานเพอปองกนการรวไหลของขอมล เวนเสยแตไดรบการอนมตจากผบงคบบญชาระดบสงกอน และหากเปนไปได ใหตดขอมลสวนทส าคญทงไป ใหเหลอเฉพาะสวนทเพยงพอตอการน าไปใชในการทดสอบ

หมวด ๑๑ การบรหารจดการการเขาถงเครองคอมพวเตอรทใหบรการ (Server)

ขอ ๔๘ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกตองก าหนดการควบคมการตดตงซอฟตแวรลงไปยงระบบเครองคอมพวเตอรทใหบรการ (Control of operational software)

๔๘.๑ ใหมการควบคมการเปลยนแปลงตอระบบงานของหนวยเพอปองกนความเสยหายหรอการหยดชะงกทมตอระบบงานนน ๔๘.๒ ใหผดแลระบบทไดรบการอบรมแลว หรอมความช านาญเทานน ทจะเปนผท าหนาทด าเนนการเปลยนแปลงตอระบบงานของหนวย ๔๘.๓ การตดตงหรอปรบปรงซอฟตแวรของระบบงานตองมการขออนมตใหตดตงกอนด าเนนการ ๔๘.๔ ก าหนดใหมการจดเกบซอรสโคดและไลบรารส าหรบซอฟตแวรของระบบงานไวในสถานททมความมนคงปลอดภย ๔๘.๕ ก าหนดใหผใชงาน หรอผทเกยวของตองท าการทดสอบระบบงานตามจดประสงคทก าหนดไวอยางครบถวน เพยงพอ กอนด าเนนการตดตงบนเครองใหบรการระบบงาน เชน ซอฟตแวรระบบปฏบตการ ซอฟตแวรทเปนตวระบบงาน เปนตน ๔๘.๖ ใหผทเกยวของตองท าการทดสอบดานความมนคงปลอดภยของระบบงานอยางครบถวน กอนด าเนนการตดตงบนเครองใหบรการระบบงาน ๔๘.๗ ท าการปรบปรงไลบรารส าหรบซอฟตแวรของระบบงานใหมความทนสมยและสอดคลองกบทงหมดทการตดตง ๔๘.๘ ในกรณทเปนการตดตงระบบเพอทดแทนระบบงานเดม ใหท าการส ารองขอมลทจ าเปน เชน ฐานขอมล ซอฟตแวร คาคอนฟกกเรชน หรออนๆ ทเกยวของกบระบบงานนน หากการตดตงท าไมส าเรจ จะไดสามารถถอยหลงกลบไปใชระบบงานเดมได ๔๘.๙ ในกรณทมความจ าเปนตองแปลงขอมลในระบบงานเดมไปสขอมลในระบบงานทจะท าการตดตง ใหก าหนดแผนการถายโอนหรอแปลงขอมลจากระบบงานเดมไปสระบบงานใหม ถายโอนขอมลตามแผนฯ และรวมกบผใชงานเพอตรวจสอบวาขอมลทมการถายโอนไปนนมความถกตองและครบถวนหรอไม ๔๘.๑๐ ใหก าหนดแผนการตดตงส าหรบระบบงานซงรวมถงระยะเวลาทจะด าเนนการ รวมทงแจงใหผทเกยวของไดรบทราบกอนลวงหนา เชน แผนการตดตงฮารดแวร ซอฟตแวร และอนๆ ๔๘.๑๑ ส าหรบซอฟตแวรทจะท าการตดตง ใหตรวจสอบกอนวาจะไมเปนการละเมดลขสทธของผผลตซอฟตแวรนน ๔๘.๑๒ ใหอานและปฏบตตามเงอนไขหรอขอตกลงการใชงานซอฟตแวรทจะท าการตดตงอยางเครงครด ๔๘.๑๓ ส าหรบการตดตงซอฟตแวรยทลต (Utility Software) ตองตรวจสอบกอนวาเปนซอฟตแวรทมการท างานทถกตองและเชอถอได ๔๘.๑๔ ตดตงโปรแกรมแกไขชองโหวตางๆ (Patch) ทเกยวของกบระบบงานตามความจ าเปน เชน โปรแกรมแกไขชองโหวส าหรบระบบปฏบตการ โปรแกรมแกไขชองโหวส าหรบระบบบรหารจดการฐานขอมล เปนตน

๔๘.๑๕ ตรวจสอบและปดพอรต (Port) บนระบบงานทไมมความจ าเปนในการ ใชงานกอนเปดระบบใหบรการ ๔๘.๑๖ จดใหมการปองกนไวรสคอมพวเตอรบนระบบงานทท าการตดตง ๔๘.๑๗ จ ากดการเชอมตอทางเครอขายเพออนญาตใหเฉพาะกลมผใชงานทเกยวของเทานน จงจะสามารถเชอมตอเพอเขาสระบบงานทท าการตดตงนน ขอ ๔๙ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกตองก าหนดใหมการทบทวนการท างานของระบบงานภายหลงจากทเปลยนแปลงระบบปฏบตการ (Technical review of applications after operating system changes) ดงน ๔๙.๑ แจงใหผทเกยวของกบระบบงานไดรบทราบเกยวกบการเปลยนแปลงระบบปฏบตการเพอใหบคคลเหลานนมเวลาเพยงพอในการด าเนนการทดสอบและทบทวนกอนทจะด าเนนการเปลยนแปลงระบบปฏบตการ ๔๙.๒ พจารณาวางแผนด าเนนการเปลยนแปลงระบบปฏบตการของระบบงาน รวมทงวางแผนดาน งบประมาณทจ าเปนตองใช ในกรณทกองทพบกตองเปลยนไปใชระบบปฏบตการใหม

หมวด ๑๒ การจางงานหนวยงานภายนอกใหบรการดานเทคโนโลยสารสนเทศ

(Information Technology Service Delivery) ขอ ๕๐ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกตองก าหนด แนวทางการควบคมการจางงานส าหรบการใหบรการดานเทคโนโลยสารสนเทศจากหนวยงานภายนอก ดงน ๕๐.๑ จดใหมการควบคมโครงการทมการจดจางด าเนนการโดยหนวยงานภายนอก ๕๐.๒ ก าหนดใหมการประเมนและจดท าแผนการลด ความเสยงส าหรบกรณการเขาถงระบบงานหรอสารสนเทศโดยหนวยงานภายนอก โดยปฏบตตามแนวทางการประเมนตามหมวด ๒๑ ๕๐.๓ ก าหนดใหมการอางองขอปฏบตทเกยวของในระเบยบของกองทพบกฉบบนไวในสญญาจางเพอใหผรบจางปฏบตตามอยางเครงครด ๕๐.๔ ก าหนดใหมการท าสญญาการไมเปดเผยขอมลส าคญทไดรบจากกองทพบกใหแกผอน ๕๐.๕ ส าหรบบรการตางๆ ทเปนงานใหบรการตามวงรอบระยะเวลาทก าหนดไว หรอตามค ารองขอจากหนวยงานผวาจาง เชน บรการบ ารงรกษาฮารดแวร บรการแกไขปญหาฮารดแวร บรการแกไขปญหาระบบงาน บรการจางในลกษณะ Help Desk ใหก าหนดรายละเอยดการบรการหรอตามทกองทพบกก าหนด ลงไวในสญญาจางดงน ๕๐.๕.๑ รายละเอยดของบรการ ๕๐.๕.๒ ระดบการใหบรการ (Service Level Agreement)

๕๐.๕.๓ ผรบผดชอบในการเฝาระวงหรอตดตามการใหบรการ ๕๐.๕.๔ วธการตดตามการใหบรการ ๕๐.๕.๕ วงรอบระยะทชดเจนของการทบทวนการปฏบตงาน เชน ทกๆ ๓ เดอน เปนตน ๕๐.๕.๖ รปแบบของรายงานทตองการและความถในการจดสงรายงาน ๕๐.๖ ก าหนดใหมการตดตามการใหบรการตามขอ ๕๐.๕ อยางสม าเสมอ และบนทกผลการตดตามนนไวดวย ๕๐.๗ ทบทวนการใหบรการตามขอ ๕๐.๕ จากผลการปฏบตงานในชวงเวลาทผานมาหรอผลทไดบนทกไว รองขอใหผใหบรการปรบปรงการใหบรการเพมเตมตามทตองการ และ/หรอ แกไขสญญาจางตามความเหมาะสมและจ าเปน ๕๐.๘ กรณการจางพฒนาซอฟตแวรหรอระบบงานโดยหนวยงานภายนอก (Outsourced software development) ใหปฏบตตามแนวทางดงน ๕๐.๘.๑ ก าหนดใหมการระบขอก าหนดดานความมนคงปลอดภยของซอฟตแวรหรอระบบงานทจะท าการพฒนาขนมาอยางเปนลายลกษณอกษร ๕๐.๘.๒ ควรพจารณาระบวาใครจะเปนผมสทธในทรพยสนทางปญญาส าหรบชดค าสง (Source Code) ในการพฒนาซอฟตแวรทมการจดจางด าเนนการจากผรบจางภายนอก ๕๐.๘.๓ ควรพจารณาก าหนดเรองการสงวนสทธทจะตรวจสอบดานคณภาพและความถกตองของซอฟตแวรทจะมการพฒนาโดยผรบจางภายนอกโดยระบไวในสญญาจางทท ากบผรบจางภายนอกนน ๕๐.๘.๔ ใหมการตรวจสอบชดค าสงทไมพงประสงคในซอฟตแวรตางๆ ทถกพฒนาขนกอนด าเนนการตดตงหรอทดสอบการใชงานจรง

หมวด ๑๓ การตรวจสอบการใชงานระบบ (Monitoring System Use)

ขอ ๕๑ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกตองก าหนด การประเมนความเสยงส าหรบระบบเทคโนโลยสารสนเทศทใชงานเพอก าหนดแนวทางในการเฝาระวงและดแลระบบเหลานน และก าหนดใหมการเฝาระวงและดแลระบบเทคโนโลยสารสนเทศใหสอดคลองกบกฎหมายระเบยบ ขอบงคบ หรอขอก าหนดอนๆ ทหนวยตองปฏบตตามอยางสม าเสมอ โดยการตรวจสอบดงตอไปน ๕๑.๑ ชอบญชผใชงาน ๕๑.๒ กจกรรมการใชงานและประเภทของกจกรรม ๕๑.๓ วน/เวลาทเขาถง ๕๑.๔ แฟมขอมลหรอขอมลทถกเขาถง

๕๑.๕ โปรแกรมทวไปและอรรถประโยชนตางๆ (Utilities) ทถกเรยกใชงาน ๕๑.๖ การใชบญชผใชงานในระดบสง เชน Supervisor, Root, Administrator เปนตน ๕๑.๗ การเปด - ปดการท างานของระบบ ๕๑.๘ การถอดถอนหรอตดตงอปกรณส าหรบน าเขาและสงออกขอมล ( I/O) เชน ฮารดดสก เปนตน ๕๑.๙ การใชค าสงของผใชงานทไดรบการปฏเสธโดยระบบ เชน พยายามใชค าสงทงทไมมสทธ การพยายามเขาถงระบบอยางไมถกตอง เปนตน ๕๑.๑๐ ความพยายามในการเขาถงขอมลหรอทรพยากรของระบบทไดรบการปฏเสธโดยระบบ ๕๑.๑๑ การแจงเตอนจากไฟรวอลลหรอระบบปองกนการบกรก ๕๑.๑๒ การแจงเตอนจากอปกรณแจงเตอน (Console) ของผดแลระบบ ๕๑.๑๓ การแจงเตอนเมอระบบท างานผดปกต เชน ฮารดดสกเตม เปนตน ๕๑.๑๔ การแจงเตอนจากโปรแกรมบรหารจดการเครอขาย ๕๑.๑๕ การแจงเตอนการท างานของระบบลมเหลวหรอหยดชะงก ๕๑.๑๖ ความพยายามในการเปลยนแปลงคาการตดตงระบบ (Configuration) ดานความมนคงปลอดภยของระบบเทคโนโลยสารสนเทศ

หมวด ๑๔ การใชงานเครองคอมพวเตอรสวนบคคลและอปกรณคอมพวเตอร (Use of Personal Computers and Computer Devices)

ขอ ๕๒ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกตองก าหนดแนวทางปฏบตในการใชงานทวไป ๕๒.๑ เครองคอมพวเตอรทหนวยอนญาตใหผใช ใชงานเปนสงอปกรณหรอทรพยสนของกองทพบก ดงนนผใชจงควรใชงานเครองคอมพวเตอรอยางมประสทธภาพเพองานของกองทพบกเทานน ๕๒.๒ โปรแกรมทไดถกตดตงลงบนเครองคอมพวเตอรของหนวย ตองเปนโปรแกรมทกองทพบกไดซอลขสทธมาอยางถกตองตามกฎหมาย ดงนนหามผใชคดลอกโปรแกรมตางๆ และน าไปตดตงบนเครองคอมพวเตอรสวนตว หรอแกไข หรอน าไปใหผอนใชงานโดยผดกฎหมาย ๕๒.๓ ไมอนญาตใหผใชท าการตดตงและแกไขเปลยนแปลงโปรแกรมในเครองคอมพวเตอรสวนบคคลของหนวยงาน ๕๒.๔ ไมอนญาตใหผใชงานท าการตดตงเครองคอมพวเตอรหรออปกรณประกอบอนทมใชของกองทพบกเชอมตอเขากบระบบและเครอขายคอมพวเตอรของกองทพบก

๕๒.๕ การเคลอนยายหรอสงเครองคอมพวเตอรสวนบคคลตรวจซอมจะตองด าเนนการโดยเจาหนาทของหนวยงานเทคโนโลยสารสนเทศ หรอผรบจางเหมาบ ารงรกษาเครองคอมพวเตอรและอปกรณทไดท าสญญากบกองทพบกเทานน ๕๒.๖ กอนการใชงานสอบนทกพกพาตางๆ ตองมการตรวจสอบเพอหาไวรสโดยโปรแกรมปองกนไวรส ๕๒.๗ ผใชมหนาทและรบผดชอบตอการดแลรกษาความปลอดภยของเครอง ขอ ๕๓ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกตองก าหนดแนวทางปฏบตในการใชรหสผาน ใหผใชปฏบตตามแนวทางการบรหารจดการรหสผานทระบไวในเอกสารทหนวยทรบผดชอบระบบสารสนเทศเปนผก าหนดขน ขอ ๕๔ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกตองก าหนดการปองกนจากโปรแกรมหรอชดค าสงไมพงประสงค (Malware) ดงน ๕๔.๑ ผใชงานควรตรวจสอบหาไวรสจากสอตางๆ เชน Floppy Disk, Thumb Drive และ Data Storage อนๆ เปนตน กอนน ามาใชงานรวมกบเครองคอมพวเตอรของกองทพบก ๕๔.๒ ผใชงานควรตรวจสอบแฟม (File) ทแนบมากบจดหมายอเลกทรอนกส (E-mail) หรอแฟม (File) ทไดรบ (Download) มาจากอนเทอรเนตดวยโปรแกรมปองกนไวรสกอนใชงาน ๕๔.๓ ผใชควรตรวจสอบขอมลคอมพวเตอรทมชดค าสงไมพงประสงครวมอยดวย ซงมผลท าใหขอมลคอมพวเตอรหรอระบบคอมพวเตอรหรอชดค าสงอนๆ เกดความเสยหาย ถกท าลาย แกไขเปลยนแปลง หรอปฏบตงานไมตรงตามค าสงทก าหนดไว ขอ ๕๕ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกตองก าหนด การส ารองขอมลและการกคนดงน ๕๕.๑ ผ ใชงานคอมพวเตอรตองรบผดชอบในการส ารองขอมลจากเครองคอมพวเตอรไวบนสอบนทกอนๆ เชน CD, DVD, External Hard Disk เปนตน ๕๕.๒ ผใชงานคอมพวเตอรมหนาทเกบรกษาสอขอมลส ารอง (Backup Media) ไวในสถานททเหมาะสม ไมเสยงตอการรวไหลของขอมลและทดสอบการกคนขอมลทส ารองไวอยางสม าเสมอ

หมวด ๑๕ การใชงานเครองคอมพวเตอรแบบพกพา

(Use of Notebook Computer)

ขอ ๕๖ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกตองก าหนดแนวทางปฏบตการใชงานทวไป ดงน ๕๖.๑ เครองคอมพวเตอรแบบพกพาทกองทพบกอนญาตใหผใชใชงานเปน สงอปกรณหรอทรพยสนของกองทพบก ดงนนผใชจงควรใชงานเครองคอมพวเตอรแบบพกพาอยางมประสทธภาพเพองานของกองทพบกเทานน

๕๖.๒ โปรแกรมทไดถกตดตงลงบนเครองคอมพวเตอรแบบพกพาของกองทพบกตองเปนโปรแกรมทกองทพบกไดซอลขสทธถกตองตามกฎหมาย ดงนนหามผใชคดลอกโปรแกรมตางๆ และน าไปตดตงบนเครองคอมพวเตอรแบบพกพาหรอแกไขหรอน าไปใหผอนใชงานโดยผดกฎหมาย ๕๖.๓ ผใชควรศกษาและปฏบตตามคมอการใชงานอยางละเอยดเพอการใชงานอยางปลอดภยและมประสทธภาพ ๕๖.๔ ไมดดแปลงแกไขสวนประกอบตางๆ ของคอมพวเตอรและรกษาสภาพของคอมพวเตอรใหมสภาพเดม ๕๖.๕ ในกรณทตองการเคลอนยายเครองคอมพวเตอรแบบพกพา ควรใสกระเปาส าหรบเครองคอมพวเตอรแบบพกพา เพอปองกนอนตรายทเกดจากการกระทบกระเทอน เชน การตกจากโตะท างาน หรอหลดมอ เปนตน ๕๖.๖ หลกเลยงการใชนวหรอของแขง เชน ปลายปากกา ปลายดนสอ เปนตน กดสมผสหนาจอแสดงผลใหเปนรอยขดขวนหรอท าใหจอแสดงผลของเครองคอมพวเตอรแบบพกพาแตกเสยหายได ๕๖.๗ ไมวางของทมน าหนกมากทบบนหนาจอแสดงผลและแปนพมพ ๕๖.๘ การเชดท าความสะอาดหนาจอแสดงผลควรเชดอยางเบามอทสด และควรเชดไปในแนวทางเดยวกนหามเชดแบบหมนวน เพราะจะท าใหหนาจอแสดงผลมรอยขดขวนได ขอ ๕๗ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกตองก าหนดความปลอดภยทางดานกายภาพ ดงน ๕๗.๑ ผใชมหนาทรบผดชอบในการปองกนการสญหาย เชน ควรเกบเครองไวในสถานททมอปกรณปองกนขณะทไมไดใชงาน ไมวางเครองทงไวในทสาธารณะ หรอในบรเวณทมความเสยงตอการสญหาย เปนตน ๕๗.๒ ผใชไมเกบหรอใชงานคอมพวเตอรแบบพกพาในสถานททมความรอนความชนฝนละอองสงและตองระวงปองกนการตกกระทบ ขอ ๕๘ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกตองก าหนดการควบคมการเขาถงระบบปฏบตการ ดงน ๕๘.๑ ผใชตองก าหนดชอผใชงาน (User name) และรหสผาน (Password) ในการเขาใชงานระบบปฏบตการของเครองคอมพวเตอรแบบพกพา ๕๘.๒ ผใชควรก าหนดรหสผานใหมคณภาพดอยางนอยตามทระบไวในเอกสารของหนวยทรบผดชอบระบบสารสนเทศเปนผก าหนดขน ๕๘.๓ ผใชควรตงการใชงานโปรแกรมรกษาหนาจอแสดงผล (Screen Saver) โดยตงเวลาในกรณไมไดใชงานในหวงระยะเวลาขณะหนง เชน ตงไว ๑๐ นาท เปนตน ใหท าการปดกนการ ใชงาน (Lock) ส าหรบหนาจอแสดงผล หลงจากนนเมอตองการใชงานผใชตองใสรหสผาน ๕๘.๔ ผใชตองท าการ Logout ออกจากระบบทนทเมอเลกใชงานหรอไมอยทหนาจอแสดงผลเปนเวลานาน

๕๘.๕ หามบนทกชอผใชงานและรหสผานไวบนสถานททพบเหนไดงาย เชน บนทกไวบนอปกรณคอมพวเตอร บนทกไวบนโตะท างาน เปนตน ขอ ๕๙ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกตองก าหนดแนวทางปฏบตในการใชรหสผาน ผใชปฏบตตามแนวทางการบรหารจดการรหสผานทระบไวในเอกสารของหนวยทรบผดชอบระบบสารสนเทศเปนผก าหนดขน ขอ ๖๐ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกตองก าหนด การส ารองขอมลและการกคน ดงน ๖๐.๑ ผใชควรท าการส ารองขอมลจากเครองคอมพวเตอรแบบพกพา โดยวธการและสอตางๆ เพอปองกนการสญหายของขอมล ๖๐.๒ ผใชควรจะเกบรกษาสอส ารองขอมล (Backup media) ไวในสถานททเหมาะสม ไมเสยงตอการรวไหลของขอมล ๖๐.๓ แผนสอส ารองขอมลตางๆ ทเกบขอมลไวจะตองท าการทดสอบการกคนอยางสม าเสมอ ๖๐.๔ แผนสอส ารองขอมลทไมใชงานแลว ควรท าลายไมใหสามารถน าไปใชงานไดอก ใหปฏบตตามแนวทางการท าลายสอบนทกขอมลในหมวด ๘

หมวด ๑๖ การใชงานอนเทอรเนต (Use of the Internet)

ขอ ๖๑ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกตองก าหนดแนวทางปฏบตในการใชงานอนเทอรเนตดงน ๖๑.๑ ใหผดแลระบบก าหนดเสนทางการเชอมตอระบบคอมพวเตอรเพอการเขาใชงานอนเทอรเนต ทตองเชอมตอผานระบบรกษาความปลอดภย เชน Proxy, Firewall, IPS/IDS เปนตน ๖๑.๒ เครองคอมพวเตอรสวนบคคลและเครองคอมพวเตอรพกพากอนท าการเชอมตออนเทอรเนตเพอใชงานโปรแกรมเขาชมเวบไซต (Web Browser) ตองมการตดตงโปรแกรมปองกนไวรส และท าการอดชองโหวของระบบปฏบตการทโปรแกรมเขาชมเวบไซตตดตงอยกอนการใชงาน

๖๑.๓ ผใชตองไมใชเครอขายอนเทอรเนตของกองทพบก เพอหาประโยชนในเชงธรกจ สวนตวและการเขาสเวบไซตทไมเหมาะสม เชน เวบไซตทขดตอศลธรรม เวบไซตทมเนอหาทขดตอชาต ศาสนา พระมหากษตรย หรอเวบไซตทเปนภยตอสงคม เปนตน ๖๑.๔ ผใชจะถกก าหนดสทธในการเขาถงแหลงขอมลตามหนาทความรบผดชอบ เพอประสทธภาพของเครอขายและความปลอดภยทางขอมลของกองทพบก โดยผานความเหนชอบ จากผบงคบบญชา ๖๑.๕ หามผใชเปดเผยขอมลส าคญทเปนความลบทางราชการและทเกยวของกบกองทพบกโดยไมไดรบอนญาตอยางเปนทางการผานเครอขายอนเทอรเนต เชน เอกสารทก าหนด ชนความลบ รางหนงสอ ประกาศหรอค าสงตางๆ เอกสารการบรรยายสรปทเกยวของกบความมนคงฯ เอกสารทเปนสออเลกทรอนกสตางๆ ทเกยวของกบความมนคงฯ เปนตน ๖๑.๖ ผ ใชมหน าท ตรวจสอบความถกตองและความน าเช อถอของขอมล คอมพวเตอรทอยบนอนเทอรเนตกอนน าขอมลไปใชงาน ๖๑.๗ การใชงานกระดานสนทนา (Web Board) ของหนวย ผใชตองไมเปดเผยขอมลทส าคญ ขอมลสวนบคคล และเปนความลบของทางราชการ โดยไมไดรบอนญาต รวมทงตองไมบนทกขอมลทเปนการใสราย ใหรายบคคลอน และการบนทกขอมลทผดกฎหมายตางๆ ๖๑.๘ หลงจากใชงานอนเทอรเนตเสรจเรยบรอยแลว ใหท าการออกจากระบบ (Logout) เพอปองกนการเขาใชงานโดยบคคลอนๆ ๖๑.๙ ผใชตองปฏบตตาม พ.ร.บ.วาดวยการกระท าความผดเกยวกบคอมพวเตอร พ.ศ. ๒๕๕๐ อยางเครงครด ขอ ๖๒ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกตองก าหนดมาตรการปองกนและรกษาความปลอดภยจากการเชอมตออนเทอรเนตความเรวสงดงน ๖๒.๑ การขอเปดใชบรการเชอมตออนเตอรเนตความเรวสง ผานโทรศพทเลขหมายเอกชน หนวยผขอใชจะตองเสนอขออนมตกองทพบกผานกรมการทหารสอสารเพอพจารณาความเหมาะสมและความจ าเปนในการใชงานตอไป ๖๒.๒ การเชอมตออนเตอรเนตความเรวส ง จะตองไม เชอมตอกบเครองคอมพวเตอรของทางราชการทเชอมตอกบเครอขายภายในกองทพบก ( Intranet) หรอเครองคอมพวเตอรสวนตวทมขอมลขาวสารของกองทพบก ทเปนชนความลบ และ/หรอขอมลทอาจสงผลกระทบดานความมนคงของประเทศโดยเดดขาด ขอ ๖๓ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกตองจดเกบขอมลการจราจรทางคอมพวเตอร กรณทมการใหบรการเขาถงระบบอนเทอรเนตจากภายในหนวยงาน โดยการจดเกบขอมลจราจรทางคอมพวเตอรใหเปนไปตาม พระราชบญญตวาดวยการกระท าความผดเกยวกบคอมพวเตอร พ.ศ. ๒๕๕๐ พระราชบญญตวาดวยการกระท าความผดเกยวกบคอมพวเตอร (ฉบบท ๒) พ.ศ. ๒๕๖๐ และตามประกาศกระทรวงเทคโนโลยสารสนเทศและการสอสาร เรอง หลกเกณฑการเกบรกษาขอมลจราจรทางคอมพวเตอรของผใหบรการ พ.ศ. ๒๕๕๐

หมวด ๑๗

การใชงานจดหมายอเลกทรอนกส (Use of Electronic Mail)

ขอ ๖๔ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกตองก าหนดแนวทางปฏบตในการสงจดหมายอเลกทรอนกส ดงน ๖๔.๑ ผดแลระบบตองก าหนดสทธการเขาถงระบบจดหมายอเลกทรอนกสของกองทพบกใหเหมาะสมกบการเขาใชบรการของผใชระบบและหนาทความรบผดชอบของผ ใช รวมทงมการทบทวนสทธการเขาใชงานอยางสม าเสมอเชน การเปลยนต าแหนง เปลยนตนสงกด การลาออกจากราชการ การเกษยณอาย เปนตน ๖๔.๒ ผดแลระบบตองก าหนดสทธบญชรายชอผ ใชรายใหมและรหสผาน ส าหรบการใชงานครงแรก เพอใชในการตรวจสอบตวตนจรงของผใชระบบจดหมายอเลกทรอนกสของกองทพบก ๖๔.๓ การก าหนดรหสผานทด (Good Password) มแนวทางปฏบตตามทระบไวในเอกสารของหนวยทรบผดชอบระบบสารสนเทศเปนผก าหนดขน ๖๔.๔ รหสผานของจดหมายอเลกทรอนกส เวลาใสรหสผานตองไมปรากฏหรอแสดงรหสผานออกมา แตตองแสดงออกมาในรปของสญลกษณแทนตวอกษรนน เชน “X” หรอ “O” ในการพมพแตละตวอกษร ๖๔.๕ ผใชงานตองใชจดหมายอเลกทรอนกสของกองทพบก หรอ จดหมายอเลกทรอนกส (E-mail) ของภาครฐเพอใชในการตดตองานราชการ ๖๔.๖ ผใชไมควรตงคาการใชโปรแกรมชวยจ ารหสผานสวนบคคลอตโนมต (Save Password) ของระบบจดหมายอเลกทรอนกส ๖๔.๗ ผใชควรมการเปลยนรหสผานอยางเครงครด เชน ควรเปลยนรหสผานทก ๓ - ๖ เดอน เปนตน ๖๔.๘ ผใชควรระมดระวงในการใชจดหมายอเลกทรอนกสเพอไมใหเกดความเสยหายตอกองทพบกหรอละเมดลขสทธ สรางความนาร าคาญตอผอน หรอผดกฎหมาย หรอละเมดศลธรรม และไมแสวงหาประโยชน หรออนญาตใหผ อนแสวงหาผลประโยชนในเชงธรกจจากการใชจดหมายอเลกทรอนกสผานระบบเครอขายของกองทพบก ๖๔.๙ หลงจากการใชงานระบบจดหมายอเลกทรอนกสเสรจสน ผใชควรท าการ ออกจากระบบ (Logout) ทกครง เพอปองกนบคคลอนเขาใชงานจดหมายอเลกทรอนกส ๖๔.๑๐ ผใชควรท าการตรวจสอบเอกสารทแนบจากจดหมายอเลกทรอนกสกอนท าการเปด เพอท าการตรวจสอบแฟมขอมลโดยใชโปรแกรมปองกนไวรส เปนการปองกนในการเปดแฟมขอมลทเปน Executable File เชน .exe, .com เปนตน

๖๔.๑๑ ผใชไมเปดหรอสงจดหมายอเลกทรอนกสหรอขอความทไดรบจากผสงทไมรจก ๖๔.๑๒ ผใชควรตรวจสอบตเกบจดหมายอเลกทรอนกสของตนเองทกวนและควรจดเกบแฟมขอมลและจดหมายอเลกทรอนกสของตนใหเหลอจ านวนนอยทสด ๖๔.๑๓ ผใชควรลบจดหมายอเลกทรอนกสทไมตองการออกจากระบบเพอลดปรมาณการใชเนอทระบบจดหมายอเลกทรอนกส

หมวด ๑๘ การใชงานทรพยสนทางปญญา

(Use of Intellectual Property) ขอ ๖๕ ผใชงานระบบสารสนเทศของกองทพบกควรจะตองปฏบตตามเงอนไขการใชงานและไมละเมดทรพยสนทางปญญาของผอน ดงน ๖๕.๑ ปฏบตตามเงอนไขการใชงานหรอทก าหนดไวของซอฟตแวรหรอทรพยสนทางปญญาอนๆ ทกองทพบก หรอผใชงานมใชงานหรอครอบครอง ๖๕.๒ หามท าซ า เปลยนแปลง หรอแกไขทรพยสนทางปญญาไปสรปแบบอนทเปนการละเมดเงอนไขหรอขอตกลงการใชงาน ๖๕.๓ หามส าเนาทงหมดหรอบางสวนของหนงสอ บทความ เพลง ภาพยนตร รายงาน หรอเอกสารอนๆ ทเปนการละเมดเงอนไขของเจาของทรพยสนทางปญญา

หมวด ๑๙ การควบคมการเขาถงระบบเครอขายไรสาย

(Wireless LAN Access Control) ขอ ๖๖ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกตองก าหนดแนวทางปฏบตในการควบคมการเขาถงระบบเครอขายไรสายดงน ๖๖.๑ ผใชทตองการเขาถงระบบเครอขายไรสายภายในกองทพบกจะตองท าการลงทะเบยนกบผดแลระบบและตองไดรบการพจารณาอนญาตจากผบงคบบญชากอนการใชงาน ๖๖.๒ ผดแลระบบตองท าการลงทะเบยนก าหนดสทธผใชงานในการเขาถงระบบเครอขายไรสายใหเหมาะสมกบหนาทความรบผดชอบในการปฏบตงานกอนเขาใชระบบเครอข ายไรสาย รวมทงมการทบทวนสทธการเขาถงอยางสม าเสมอ ๖๖.๓ ผดแลระบบควรใชซอฟทแวรหรอฮารดแวรตรวจสอบความมนคงปลอดภยของระบบเครอขายไรสายอยางสม าเสมอ

๖๖.๔ การระบ อปกรณทจะเขาใชงานในเครอขายไรสายของกองทพบก นอกจากการลงทะเบยนการใชงานแลว จะตองแจงคา MAC address ของเครอง หรออปกรณทจะเขามาใชงาน เพอใหผรบผดชอบเครอขายไรสายของกองทพบก บนทกเปนหลกฐานการเขาใชงานตอไป

หมวด ๒๐ ระบบส ารองและแผนเตรยมความพรอมกรณฉกเฉน

(Backup System and Contingency Plan)

ขอ ๖๗ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกตองก าหนดแนวทางปฏบตในการคดเลอกและจดท าระบบส ารองและกคนระบบ ดงน ๖๗.๑ ก าหนดระบบงานทมความจ าเปนตองส ารองขอมลไว ๖๗.๒ ก าหนดผรบผดชอบในการส ารองขอมล ๖๗.๓ ก าหนดชนดของขอมลทมความจ าเปนตองส ารองขอมลเกบไว อยางนอยตองประกอบดวย ขอมลในฐานขอมลของระบบ ขอมลส าหรบตวระบบ เชน ซอฟตแวรระบบปฏบตการ และซอฟตแวรอนๆ ทเกยวของ เปนตน ๖๗.๔ ก าหนดความถในการส ารองขอมลของระบบงาน เชน ระบบงานทมการเปลยนแปลงบอย ควรมความถในการส ารองขอมลมากขน เปนตน ๖๗.๕ ท าการส ารองขอมลตามความถทก าหนดไว และควรน าขอมลทส ารองไปเกบไวนอกสถานทอยางนอย ๑ ชด ๖๗.๖ ท าการตรวจสอบวาการส ารองทเกดขนนน ส าเรจครบถวน หรอไม ๖๗.๗ ท าการทดสอบกคนขอมลทส ารองไวอยางนอยปละ ๑ ครง รวมทงด าเนนการทดสอบวาระบบงานทงหมดสามารถใชงานได หรอไม ๖๗.๘ แนวทางปฏบตส าหรบการส ารองขอมล ดงน ๖๗.๘.๑ ผดแลระบบตองจดใหมการส ารองและทดสอบขอมลทส ารองเกบไวอยางสม าเสมอและใหเปนไปตามแนวทางการส ารองขอมลของกองทพบก ๖๗.๘.๒ การจดท าบนทกการส ารองขอมล (Operator logs) ผดแลระบบตองท าบนทกรายละเอยดการส ารองขอมล ไดแก เวลาเรมตนและสนสด ชอผส ารอง ชนดของขอมลทบนทก เปนตน ๖๗.๘.๓ การรายงานขอผดพลาด (Fault logging) ผดแลระบบตองท ารายงานขอผดพลาดจากการส าราองขอมลทเกดขน รวมทงวธการทใชแกไขดวย ๖๗.๘.๔ ใหผดแลระบบมอบหมายหนาทการส ารองขอมลแกเจาหนาทคนอนไวส ารองในกรณทผดแลระบบและ/หรอผดแลเครอขายไมสามารถปฏบตงานได ๖๗.๘.๕ ในกรณพบปญหาในการส ารองขอมลจนเปนเหตไมสามารถด าเนนการอยางสมบรณได ใหด าเนนการแกไขปญหาและสรปผลการแกไขปญหาและรายงานตอผรบผดชอบระบบสารสนเทศของหนวยทราบ

๖๗.๘.๖ ใหผดแลระบบและผดแลเครอขายก าหนดชนดและชวงเวลาการส ารองขอมลตามความเหมาะสมพรอมทงก าหนดสอทใชเกบขอมล โดยรปแบบการส ารองขอมลมสองชนดคอการส ารองขอมลแบบเตม (Full Backup) และการส ารองขอมลแบบสวนตาง (Incremental Backup) ๖๗.๘.๗ การเขารหสขอมลส าคญในการส ารองขอมล (Encrypted backup) ผดแลระบบตองจดใหมการเขารหสขอมลส ารองทส าคญ โดยการใชเทคโนโลยการเขารหสทเหมาะสมเพอปองกนมใหขอมลส ารองเหลานนถกเปดเผย ๖๗.๘.๘ แนวทางทตองปฏบตเกยวของกบการส ารองขอมล (Backup Policy) ผดแลระบบตองปฏบตตามขนตอนปฏบต Backup Procedure โดยเครงครด ๖๗.๘.๙ ส าหรบความถในการส ารองขอมลมดงน

รายการ ขอมลทตองส ารอง ความถในการส ารอง ระบบ E-mail คาตดตงของระบบ (Configure) ชวงกอนและหลงการเปลยนคา

ขอมลในสวน Mailbox ๑ ครงตอเดอน Web Server คาตดตงของระบบ (Configure) ชวงกอนและหลงการเปลยนคา

ขอมลตางๆ ทเผยแพรบนเวบไซต ๑ ครงตอเดอน Database Server คาตดตงของระบบ (Configure) ชวงกอนและหลงการเปลยนคา

ฐานขอมลทมความส าคญ ๑ ครงตอสปดาห อปกรณ Firewall คาตดตงของระบบ (Configure) ชวงกอนและหลงการเปลยนคา

ขอมล Rule ของอปกรณนน ๑ ครงตอเดอน อปกรณ IDS/IPS คาตดตงของระบบ (Configure) ชวงกอนและหลงการเปลยนคา

ขอมล Rule ของอปกรณนน ๑ ครงตอเดอน อปกรณ Server อนๆ คาตดตงของระบบ (Configure) ชวงกอนและหลงการเปลยนคา

ขอมลทมความส าคญของระบบงานทถกเกบในอปกรณตางๆ เหลานน

๑ ครงตอเดอน

๖๗.๘.๑๐ ผดแลระบบและผดแลเครอขายสารสนเทศ รบผดชอบความถกตองและความสมบรณของขอมล ตามความถในขอ ๖๗.๘.๙ ๖๗.๙ แนวทางปฏบตส าหรบการกคนระบบ ดงน ๖๗.๙.๑ ในกรณพบปญหาทอาจสรางความเสยหายตอระบบคอมพวเตอรและ/หรอระบบเครอขายจนเปนเหตท าใหตองด าเนนการกคนระบบใหผดแลระบบและ/หรอผดแลเครอขายด าเนนการแกไขรายงานผลการแกไขพรอมทงบนทกและใหรายงานสรปผลการปฏบตงานตอผรบผดชอบระบบสารสนเทศของหนวย หรอผทไดรบมอบหมายทราบ ๖๗.๙.๒ ใหใชขอมลทนสมยทสด (Latest Update) ทไดส ารองไวหรอตามความเหมาะสมเพอกคนระบบ

๖๗.๙.๓ หากความเสยหายทเกดขนกบระบบคอมพวเตอรหรอระบบเครอขายกระทบตอการใหบรการหรอการใชงานของผใชระบบใหแจงผใชงานทราบทนท พรองทงรายงาน ความคบหนาการกคนระบบเปนระยะ จนกวาจะด าเนนการเสรจสนอยางสมบรณ ขอ ๖๘ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบกตองก าหนดแนวทางเตรยมความพรอมกรณเกดเหตฉกเฉน ดงน ๖๘.๑ ก าหนดระบบงานทมความส าคญทงหมดของกองทพบก และจดท าเปนบญชรายชอของระบบงาน ดงกลาวรวมทงปรบปรงบญชรายชอนใหมความทนสมยอยเสมอตามระบบงานทมความส าคญทเกดขนใหม ๖๘.๒ ประเมนความเสยงส าหรบระบบงานทมความส าคญเหลานน และก าหนดมาตรการเพอลดความเสยงทพบ โดยใหปรบปรงรายงานการประเมนความเสยงอยางนอยปละ ๑ ครง ๖๘.๓ ก าหนดชนดของขอมล เชน ซอฟตแวรตางๆ ทเกยวของกบระบบงาน และขอมลในฐานขอมล เปนตน รวมถงก าหนดความถในการส ารองขอมล วธการส ารองขอมล เชน แบบ Full Backup หรอแบบ Incremental Backup เปนตน ส าหรบระบบงานทมความส าคญเหลานน ๖๘.๔ จดท าแผนเตรยมความพรอมกรณเกดเหตฉกเฉน (Contingency Plan) เพอรบมอกบภยพบต ทอาจเกดขนได ทงวธการทางอเลกทรอนกส และทางกายภาพ อกทงใหก าหนดหวงในการทดสอบแผนดงกลาวในหวงวงรอบ ๖ เดอน ของทกๆ ป โดยแผนฯ ตองมรายละเอยดอยางนอยดงตอไปน ๖๘.๔.๑ การก าหนดหนาท และความรบผดชอบตอผทเกยวของทงหมด ๖๘.๔.๒ การประเมนความเสยงส าหรบระบบงานทมความส าคญเหลานน และก าหนดมาตรการเพอลดความเสยงเหลานน เชน ไฟดบเปนระยะเวลานาน ไฟไหม แผนดนไหว การชมนมประทวงท าใหไมสามารถเขามาใชระบบงานได เปนตน ๖๘.๔.๓ การก าหนดขนตอนปฏบตในการกคนระบบงาน ๖๘.๔.๔ การก าหนดขนตอนปฏบตในการส ารองขอมลและทดสอบ กคนขอมลทส ารองไว ๖๘.๔.๕ การก าหนดชองทางในการตดตอสอสารกบผใหบรการภายนอกเชน ผใหบรการเครอขาย ฮารดแวร ซอฟตแวร เปนตน เมอเกดเหตจ าเปนทจะตองตดตอในกรณเกดเหตฉกเฉนตางๆ เชน เกดอคคภย การกอวนาศกรรม เปนตน ๖๘.๔.๖ การสรางความตระหนกหรอใหความรแกเจาหนาทผทเกยวของกบขนตอนการปฏบตหรอสงทตองท าเมอเกดเหตเรงดวน ๖๘.๕ ใหท าการปรบปรงแผนเตรยมความพรอมกรณเกดเหตฉกเฉนอยางนอย ปละ ๑ ครง โดยมงเนนไปทระบบทมความส าคญสง ๖๘.๖ ใหท าการส ารองขอมลตามชนด ความถ และวธการส ารองทไดก าหนดไว และใหตรวจสอบอยาง สม าเสมอวาขอมลทส ารองไปนนมความครบถวน

๖๘.๗ ใหท าการทดสอบกคนขอมลทส ารองไวนนวาสามารถกคนไดอยางครบถวนหรอไมอยางนอยปละ ๑ ครง ถาพบวามปญหาเกดขนในระหวางการทดสอบกคน ใหด าเนนการแกไข และ บนทกขอมลปญหานนไว พรอมทงวธการแกไขอยางเปนลายลกษณอกษร ๖๘.๘ ใหจดประชมและแจงใหผทเกยวของทงหมดไดรบทราบรายละเอยดของแผนเตรยมความพรอมกรณเกดเหตฉกเฉนรวมทงเมอมการปรบปรงแผนเตรยมความพรอมกรณเกดเหตฉกเฉนใหมจะตองจดประชมใหมและแจงใหผทเกยวของทราบเชนเดยวกน

หมวด ๒๑ การตรวจสอบและประเมนความเสยง

ดานความมนคงปลอดภยระบบเทคโนโลยสารสนเทศ ขอ ๖๙ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบก ตองจดใหมการตรวจสอบดานความมนคงปลอดภยของขอมล ระบบสารสนเทศและเครอขายคอมพวเตอรทตนเองรบผดชอบอยางสม าเสมอ ดงน ๖๙.๑ ตรวจสอบและประเมนดานการบรหารทรพยสนดานเทคโนโลยสารสนเทศ ๖๙.๒ ตรวจสอบและประเมนดานกายภาพและสงแวดลอม ๖๙.๓ ตรวจสอบและประเมนดานระบบเทคโนโลยสารสนเทศและการสอสารขอมลและการปฏบตการ ๖๙.๔ ตรวจสอบและประเมนการควบคมการเขาถง ๖๙.๕ ตรวจสอบและประเมนดานการพฒนาระบบสารสนเทศ เชน ดานการจดซอจดจางพฒนาระบบฯ รวมทงดานการดแลระบบสารสนเทศ เปนตน ๖๙.๖ ตรวจสอบและประเมนดานความพรอมการรบมอกบเหตการณเฉพาะหนา ๖๙.๗ ตรวจสอบความสอดคลองกบระเบยบฉบบนและทางเทคนคกบระเบยบฉบบน ขอ ๗๐ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบก ตองจดใหมการประเมนความเสยงตอทรพยสนสารสนเทศ ซงประกอบดวยทรพยสน ๕ หมวด ไดแก บคลากร ฮารดแวร ซอฟตแวร ขอมล และระบบงาน ทหนวยรบผดชอบอยางนอยปละ ๑ ครง โดยปฏบตตามแนวทางการประเมนดงน ๗๐.๑ ก าหนดใหมการจดท าบญชทรพยสนสารสนเทศ ๗๐.๒ ระบและประเมนความเสยงตอทรพยสนสารสนเทศ ๗๐.๓ จดล าดบความเสยงจากสงมาต า ๗๐.๔ จดท าแผนการลดความเสยงโดยค านงถงการจดการกบความเสยงสงกอน ๗๐.๕ ก าหนดใหมการปฏบตตามแผนการลดความเสยงทก าหนดไวและตดตามจนกระทงแลวเสรจ ๗๐.๖ ความรบผดชอบในการตรวจสอบและประเมนความเสยง

๗๐.๖.๑ กรณการตรวจสอบภายในหนวยงานของกองทพบก ( internal auditor) ๗๐.๖.๑.๑ ใหผรบผดชอบระบบสารสนเทศภายในกองทพบก แตงตงหนวยงาน หรอคณะกรรมการส าหรบการตรวจสอบและประเมนความเสยงระบบสารสนเทศของกองทพบก ๗๐.๖.๑.๒ วงรอบการตรวจสอบปละ ๑ ครง ๗๐.๖.๑.๓ ภายหลงการตรวจสอบ ใหรายงานผลการตรวจสอบใหหนวยทไดรบการตรวจสอบ และผบงคบบญชาตามล าดบชนทราบตอไป ๗๐.๖.๒ กรณผตรวจสอบอสระดานความมนคงปลอดภยจากภายนอก (external auditor) ๗๐.๖.๒.๑ ใหผรบผดชอบระบบสารสนเทศภายในกองทพบก พจารณาจดท าโครงการตรวจสอบและประเมนความเสยงระบบสารสนเทศของกองทพบก ๗๐.๖.๒.๒ โดยใหมการจดจางด าเนนการในวงรอบ ๑ ปงบประมาณ ๗๐.๖.๒.๓ ภายหลงการตรวจสอบ ใหรายงานผลการตรวจสอบใหหนวยทไดรบการตรวจสอบ และผบงคบบญชาตามล าดบชนทราบตอไป

หมวด ๒๒

การบรหารจดการเหตการณดานความมนคงปลอดภย ขอ ๗๑ ผรบผดชอบระบบสารสนเทศของหนวยงานภายในกองทพบก เมอไดรบแจงจากผใชงานเกยวกบเหตการณทางดานความมนคงปลอดภยทเกดขนหรอทตรวจพบใหปฏบตตามขนตอนดงตอไปน ๗๑.๑ ประเมนผลกระทบของเหตการณทเกดขนวามผลกระทบในระดบใด ไดแก ระดบสง ระดบกลาง หรอระดบต า ๗๑.๒ แจงใหผบงคบบญชาตามล าดบชนไดรบทราบตามระดบของผลกระทบ กลาวคอ รายงานไปสระดบชนของผบงคบบญชาทสงขนตามล าดบส าหรบเหตการณทมผลกระทบสงกวา ๗๑.๓ วเคราะหและแกไขสถานการณตามความจ าเปน กรณการบกรก การโจมตระบบ หรอระบบไดรบความเสยหาย กรณทไมสามารถวเคราะหและแกไขโดยหนวยงานเองได ใหประสานงานขอความชวยเหลอจากผทมความรและความเชยวชาญ เชน ศนยประสานงานการรกษาความปลอดภยคอมพวเตอรประเทศไทย (Thai CERT) หรอหนวยงานภายนอกอนๆ เปนตน ๗๑.๔ กรณมความจ าเปนตองเกบหลกฐานทางคอมพวเตอร ใหผทผานการอบรมหรอฝกฝนเปนผด าเนนการเพอปองกนไมใหหลกฐานเกดความเสยหาย จดเกบหลกฐานไวในสถานททปลอดภย และจ ากดการเขาถงหลกฐานนน

๗๑.๕ จดท ารายงานสรปเหตการณนบตงแตไดรบแจงเฉพาะเหตการณทมผลกระทบตงแตระดบปานกลางขนไป และแจงเวยนใหผทเกยวของไดรบทราบ โดยมขอมลอยางนอยในรายงานดงน ๗๑.๕.๑ รายละเอยดเหตการณ ๗๑.๕.๒ วนเวลาทเกดขน ๗๑.๕.๓ ชอผแจง/หนวยงานผแจง ๗๑.๕.๔ สถานะของเหตการณในแตละชวงเวลา ๗๑.๕.๕ ความคบหนาในการด าเนนการในแตละชวงเวลา ๗๑.๕.๖ สาเหตและวธการแกไข ๗๑.๕.๗ ขอเสนอแนะเพอปองกนการเกดซ า

หมวด ๒๓

หนาทและความรบผดชอบ ขอ ๗๒ ความรบผดชอบของผบงคบบญชากรณทมการละเมดการปฏบตตามระเบยบน โดยเฉพาะในกรณระบบสารสนเทศหรอขอมลสารสนเทศเกดความเสยหายหรออนตรายใดๆ อนเนองมาจากความบกพรอง ละเลย หรอฝาฝนการปฏบตตามระเบยบกองทพบกวาดวยการรกษาความปลอดภยสารสนเทศของกองทพบก พ.ศ. ๒๕๖๐ ใหผบงคบบญชาสงสดในพนทและรบผดชอบระบบสารสนเทศของหนวย เปนผรบผดชอบตอความเสยง ความเสยหาย หรออนตรายทเกดขน โดยมแนวทางปฏบตดงน ๗๒.๑ ใหแจงรายงานการละเมดตามสายการบงคบบญชาใหหนวยเหนอและหนวยทเกยวของทราบ ๗๒.๒ สงการสอบสวนหาตวผกระท าผดและผรบผดชอบโดยเรวทสด ๗๒.๓ พจารณาแกไขขอบกพรองและปองกนมใหเหตการณเชนนอบตซ าอก ๗๒.๔ ใหพจารณาสงการลงโทษทางวนยตามแบบธรรมเนยมทหารหรอด าเนนคดตามกฎหมายตอผละเมด ผเกยวของกบการละเมด และผรบผดชอบเมอมการละเมด หรอไมปฏบตตามระเบยบน จะโดยเจตนาหรอไมเจตนา และการละเมดนนจะเกดความเสยหายหรอยงไมเกดความเสยหายตอทางราชการกตาม ขอ ๗๓ ความรบผดชอบของหนวยงานทรบผดชอบระบบสารสนเทศ เมอไดรบแจงวาไดเกดการละเมดการรกษาความปลอดภย ใหสวนราชการเจาของระบบสารสนเทศด าเนนการดงน ๗๓.๑ พจารณาวาขอมลสารสนเทศ เอกสารกรรมวธขอมลตางๆ ประมวลลบ หรอรหสผานทจ าเปนในการใช เครอขายสอสารขอมลสารสนเทศมผลกระทบกระเทอนหรอเกดเสยหายอยางใดหรอไม ๗๓.๒ ขจดความเสยหายทเกดขนหรอคาดวาจะเกดขนจากการละเมดโดยทนท ในการนอาจจะตองด าเนนการแกไขเปลยนแปลงแผนงานและวธปฏบตพรอมทงปจจยตางๆ ทเกยวของตามท เหนสมควร

ขอ ๗๔ ความรบผดชอบของผใชงานตอระเบยบฉบบนมดงน ๗๔.๑ ปฏบตตามระเบยบฯ อยางเครงครด และตองไมละเลยตอหนาทความรบผดชอบของตนเอง ๗๔.๒ ไมเขาถง เปดเผย เปลยนแปลง แกไข หรอท าลายโดยไมไดรบอนญาต หรอท าใหเสยหายตอระบบคอมพวเตอรและเครอขายของกองทพบก ๗๔.๓ ไมรบกวนหรอแทรกแซงการสอสารขอมลในเครอขายคอมพวเตอรของกองทพบก ๗๔.๔ รายงานเหตการณความเสยง จดออน หรอเหตการณดานความมนคงปลอดภยทพบไปยงผบงคบบญชาและผรบผดชอบระบบสารสนเทศโดยเรวทสด ขอ ๗๕ ในกรณทการละเมดการรกษาความปลอดภยเกดผลกระทบกระเทอนเสยหายอยางรายแรงใหอยในดลพนจของของผบงคบบญชาสามารถแกไขเปลยนแปลงแผนงานและวธปฏบต หากจ าเปนใหรายงานหนวยเหนอไดตามความเหมาะสม ขอ ๗๖ ใหสวนราชการทมศนยสารสนเทศหรอศนยกรรมวธขอมลอตโนมตอยในสงกด สามารถออกระเบยบปลกยอยไดโดยไมขดตอระเบยบน

ทงน ตงแตบดนเปนตนไป ประกาศ ณ วนท ตลาคม พ.ศ. ๒๕๖๐ พลเอก

( เฉลมชย สทธสาท ) ผบญชาการทหารบก กรมยทธการทหารบก ยก.ทบ. พ.ท. ราง/ตรวจ ก.ย.๖๐ น.ส. พมพ/ทาน ก.ย.๖๐ พ.อ. ตรวจ ก.ย.๖๐ พ.อ. ตรวจ ก.ย.๖๐ พล.ต. ตรวจ ก.ย.๖๐ พล.ท. ตรวจ ก.ย.๖๐ พล.ท. ตรวจ ก.ย.๖๐ พล.อ. ตรวจ ก.ย.๖๐ พล.อ. ตรวจ ก.ย.๖๐