นโยบายความมั่นคงปลอดภัยสารสนเทศ
สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (“สำนักงาน”) ขอแนะนำให้ท่านทำความเข้าใจนโยบายความมั่นคงปลอดภัยสารสนเทศ (Information Security Policy) นี้ เนื่องจากนโยบายนี้มีวัตถุประสงค์ดังต่อไปนี้
1. เพื่อปกป้องข้อมูลและระบบสารสนเทศให้มีความมั่นคงปลอดภัย
2. เพื่อให้เกิดความพร้อมใช้งานอย่างต่อเนื่องสำหรับระบบสารสนเทศของสำนักงาน
3. เพื่อสร้างความเชื่อมั่นให้แก่ผู้มีส่วนเกี่ยวข้อง ในการใช้บริการระบบสารสนเทศของสำนักงาน
4. เพื่อรักษาระดับการให้บริการระบบสารสนเทศที่มีการรักษาความมั่นคงปลอดภัยตามมาตรฐานสากล และสอดคล้องกับกฎหมาย
เพื่อให้ท่านได้รับทราบถึงนโยบายในการรักษาความมั่นคงปลอดภัยสารสนเทศของสำนักงาน สำนักงานจึงประกาศนโยบายนโยบายความมั่นคงปลอดภัยสารสนเทศ ดังต่อไปนี้
ทั่วไป
การรักษาความมั่นคงปลอดภัยด้านสารสนเทศของสำนักงานใช้กรอบการดำเนินการในรูปแบบวงจรควบคุมคุณภาพ (PDCA Cycle) ซึ่งเป็นการจัดการเชิงกระบวนการ (Process Approach) โดยคำนึงถึงกลไกการควบคุมที่สอดคล้องกับความเสี่ยงของสินทรัพย์ เพื่อตรวจสอบ ประเมินผล ทบทวน และปรับปรุงนโยบายและแนวปฏิบัติการรักษาความมั่นคงปลอดภัยด้านสารสนเทศของสำนักงาน และเอกสารที่เกี่ยวข้องให้ดีขึ้นอย่างต่อเนื่อง และสอดคล้องกับยุทธศาสตร์ของสำนักงาน อย่างน้อยปีละ 1 ครั้ง หรือเมื่อมีเหตุการณ์ที่สำคัญ
โครงสร้าง บทบาท หน้าที่ และความรับผิดชอบ ในการรักษาความมั่นคงปลอดภัย สารสนเทศ
สำนักงานต้องแบ่งแยกหน้าที่และความรับผิดชอบให้ชัดเจนในการปฏิบัติงานเพื่อลดโอกาสที่จะทำให้มีการเปลี่ยนแปลงแก้ไขระบบการรักษาความมั่นคงปลอดภัยสารสนเทศ การเปลี่ยนแปลงทรัพย์สินของสำนักงาน หรือมีการนำทรัพย์สินไปใช้ผิดวัตถุประสงค์ โดยไม่ได้รับอนุญาตหรือโดยไม่ได้เจตนา
(1) ผู้อำนวยการ มีหน้าที่ดังนี้
- ให้การสนับสนุนด้านทรัพยากรที่จำเป็นต่อระบบความมั่นคงปลอดภัยสารสนเทศ ประกาศ และสื่อสารให้มีการปฏิบัติตามนโยบายและแนวปฏิบัติด้านการรักษาความมั่นคงปลอดภัยสารสนเทศที่สำนักงานกำหนด
- กรณีระบบคอมพิวเตอร์หรือข้อมูลสารสนเทศเกิดความเสียหายหรืออันตรายใด ๆ ต่อสำนักงานหรือผู้หนึ่งผู้ใดอันเนื่องมาจากความบกพร่อง ละเลย หรือฝ่าฝืนการปฏิบัติตามแนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยสารสนเทศอย่างมีนัยยะ ผู้อำนวยการมีหน้าที่รับผิดชอบต่อความเสียหายที่เกิดขึ้นทั้งหมดโดยตรง
(2) ผู้บริหารเทคโนโลยีสารสนเทศระดับสูง (Chief Information Officer: CIO) มีหน้าที่ดังนี้
- กำกับ ดูแล ติดตาม ให้คำแนะนำในการปฏิบัติงานให้สอดคล้องกับแผนดิจิทัลของ สพธอ.
- กำกับ ดูแล ติดตาม ให้คำแนะนำในการจัดทำและทบทวนนโยบายและแนวปฏิบัติด้านการรักษาความมั่นคงปลอดภัยสารสนเทศ
- กรณีพบความเสี่ยงด้านเทคโนโลยีสารสนเทศที่อยู่ในระดับที่สำนักงานยอมรับไม่ได้ และมีข้อจำกัดหรือเหตุผลทำให้ไม่สามารถแก้ไขและควบคุมความเสี่ยงนั้นได้ ให้ผู้บริหารเทคโนโลยีสารสนเทศระดับสูงเป็นผู้พิจารณายอมรับความเสี่ยงนั้น หรือเสนอแนะแนวทางอื่นในการแก้ไข โดยคำนึงถึงผลกระทบที่อาจจะเกิดขึ้น
- กรณีพบผู้ปฏิบัติงานกระทำการด้านสารสนเทศในลักษณะอันอาจก่อให้เกิดความเข้าใจผิดต่อภาพลักษณ์หรือความเสียหายต่อสำนักงาน รวมถึงการละเมิดทรัพย์สินทางปัญญาหรือกฎหมายลิขสิทธิ์ ให้ผู้บริหารเทคโนโลยีสารสนเทศระดับสูงพิจารณาสั่งการระงับ ยกเลิก หรือพิจารณาดำเนินการทางวินัย เรียกค่าเสียหาย หรือดำเนินคดีตามกฎหมาย
- อนุมัติการให้สิทธิ์เข้าถึงระบบสารสนเทศให้กับบุคคลภายนอก
(3) ผู้บริหารความมั่นคงปลอดภัยสารสนเทศ (Chief Information Security Officer : CISO) มีหน้าที่ดังนี้
- จัดตั้งและพัฒนาระบบ ISMS ของ สพธอ. ให้สอดคล้องตามมาตรฐาน ISO/IEC 27001
- อนุมัติการใช้งานนโยบายและแนวปฏิบัติด้านการรักษาความมั่นคงปลอดภัยสารสนเทศ และกำกับ ดูแล ติดตาม ให้คำแนะนำในการจัดทำและทบทวนนโยบายและแนวปฏิบัติด้านการรักษาความมั่นคงปลอดภัยสารสนเทศ ให้สอดคล้องกับมาตรฐาน ISO/IEC 27001
- กำกับดูแลการดำเนินกิจกรรมของระบบ ISMS และพิจารณาประสิทธิผลของกระบวนการและการควบคุม (Controls) เพื่อปรับปรุงกระบวนการอย่างต่อเนื่อง
- สนับสนุนการตรวจประเมินภายในของระบบ ISMS และการกำกับดูแล ติดตาม ตลอดจนทบทวนประสิทธิภาพของการแก้ไขและป้องกันข้อบกพร่องในระบบ ISMS รวมถึงการแต่งตั้งผู้ตรวจประเมินระบบมาตรฐานภายใน (Internal ISMS Auditor)
- พิจารณากลั่นกรอง ทบทวน รายงานผลการดำเนินงานของระบบ ISMS ตลอดจนติดตามตรวจสอบและประเมินผล เสนอความเห็นหรือข้อเสนอแนะสำหรับการปรับปรุงระบบ ISMS ต่อคณะผู้บริหาร สพธอ. เพื่อพิจารณาทบทวนและให้ความเห็นหรือข้อเสนอแนะในการปรับปรุงระบบ ISMS อย่างต่อเนื่อง
(4) คณะทำงานบริหารความต่อเนื่องในการทำงาน (Business Continuity Management : BCM) มีหน้าที่จัดทำ ทบทวน และดำเนินงานที่เกี่ยวข้องกับระบบบริหารความต่อเนื่องทางธุรกิจของสำนักงานเป็นไปด้วยความเหมาะสม
(5) ผู้ครอบครอง มีหน้าที่ดังนี้
- บริหารจัดการสินทรัพย์ที่ได้รับมอบหมาย ประกอบด้วย การบำรุงรักษา การปรับปรุงทะเบียนสินทรัพย์ การประเมินความเสี่ยงต่อสินทรัพย์จากการดำเนินกิจกรรมที่เกี่ยวข้องทั้งภายในและภายนอกหน่วยงาน โดยคำนึงถึงเงื่อนไขในการรักษาความมั่นคงปลอดภัย และกำหนดมาตรการรองรับก่อนดำเนินกิจกรรมนั้น และนำมาตรการดังกล่าวในส่วนที่หน่วยงานภายนอกต้องรับทราบมาทำเป็นข้อตกลงระหว่างสำนักงานและหน่วยงานภายนอก รวมถึงดูแลความมั่นคงปลอดภัยที่เกี่ยวข้องกับการทำลาย จำหน่ายออก โอนย้าย หรือยกเลิกการใช้งานสินทรัพย์
- กำหนดรายชื่อและข้อมูลสำหรับติดต่อกับหน่วยงานที่เกี่ยวข้อง เพื่อใช้งานในการติดต่อประสานงานด้านความมั่นคงปลอดภัยสารสนเทศ และต้องทบทวนรายชื่อและข้อมูลสำหรับติดต่ออย่างน้อยปีละ 1 ครั้ง หรือเมื่อมีการเปลี่ยนแปลง
- กำหนดรายชื่อและข้อมูลสำหรับติดต่อกับกลุ่มต่าง ๆ ที่มีความสนใจพิเศษในเรื่องเดียวกัน กลุ่มที่มีความสนในด้านความมั่นคงปลอดภัยสารสนเทศ หรือ หน่วยงาน สมาคม บริษัท ในอุตสาหกรรมที่สำนักงานมีส่วนร่วม และต้องทบทวนรายชื่อและข้อมูลสำหรับติดต่ออย่างน้อยปีละ 1 ครั้ง หรือเมื่อมีการเปลี่ยนแปลง
(6) ผู้ปฏิบัติงาน มีหน้าที่ปฏิบัติตามนโยบายและแนวปฏิบัติด้านการรักษาความมั่นคงปลอดภัยสารสนเทศ รวมถึงดูแลรักษาและระมัดระวังการใช้สินทรัพย์ของสำนักงาน โดยต้องมีความตระหนักรู้ด้านความมั่นคงปลอดภัยสารสนเทศ
(7) Risk Owner มีหน้าที่ความรับผิดชอบในการประเมินความเสี่ยง วางแผนแก้ไขความเสี่ยง และทำให้มั่นใจว่าความเสี่ยงจะได้รับการแก้ไขตามขั้นตอนการปฏิบัติงาน เรื่อง การบริหารจัดการความเสี่ยงความมั่นคงปลอดภัย
การบริหารจัดการความเสี่ยง
สำนักงานมีการบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศ โดยมีแผนการจัดการความเสี่ยง ซึ่งกำหนดเกณฑ์ในการประเมิน การแก้ไข และยอมรับความเสี่ยง เพื่อลดโอกาสในการสูญเสียความลับ ความถูกต้องครบถ้วน และความพร้อมใช้งานของสินทรัพย์ของสำนักงาน ซึ่งมีการจัดแบ่งระดับความเสี่ยงเป็น 4 ระดับ คือ Extreme, High, Medium และ Low โดยระดับความเสี่ยงที่สำนักงาน สามารถยอมรับได้โดยไม่จำเป็นต้องดำเนินการแก้ไขและควบคุมความเสี่ยงคือ ระดับ Low เท่านั้น การยอมรับความเสี่ยงระดับที่สูงกว่า Low ต้องดำเนินการอย่างเป็นลายลักษณ์อักษรและต้องได้รับความเห็นชอบจากผู้บริหารเทคโนโลยีสารสนเทศระดับสูง
การสร้างความมั่นคงปลอดภัยสารสนเทศด้านบุคลากร
สำนักงานมีการสร้างความรู้และความตระหนักในการใช้งานระบบสารสนเทศอย่างมั่นคงปลอดภัยแก่ผู้ใช้งาน ผู้ปฏิบัติงาน โดยการจัดทำคู่มือ จัดฝึกอบรม และเผยแพร่เอกสารที่เกี่ยวข้องผ่านระบบเว็บไซต์ภายในของสำนักงาน รวมถึงสื่อสารนโยบายด้านความมั่นคงปลอดภัยสารสนเทศให้ผู้ให้บริการภายนอกทราบในเรื่องที่เกี่ยวข้อง รวมถึงการสรรหาบุคลากร ต้องเป็นไปตามเกณฑ์ที่กำหนด และมีการตรวจสอบคุณสมบัติ (Screening) ของผู้สมัครงานทุกคนเป็นไปตามเกณฑ์ที่กำหนด และตรวจสอบประวัติอาชญากรรมจากสำนักงานตำรวจแห่งชาติ ตลอดจนจัดทำข้อตกลงและเงื่อนไขการจ้างงาน (Terms and conditions of employment) เป็นไปตามเกณฑ์ที่กำหนด
การสื่อสารในสำนักงาน
สำนักงานมีการเผยแพร่นโยบายและแนวปฏิบัติด้านการรักษาความมั่นคงปลอดภัยสารสนเทศผ่านระบบเว็บไซต์ภายใน และระบบจัดเก็บเอกสารของสำนักงาน เพื่อสื่อสารให้ผู้ปฏิบัติงานภายในสำนักงาน และเผยแพร่นโยบายผ่านหน้าเว็บไซต์ของ สพธอ. เพื่อสื่อสารให้บุคคลภายนอกที่เกี่ยวข้องรับทราบ รวมถึงสามารถเข้าถึงได้อย่างสะดวก
การจัดการเอกสารสารสนเทศ
สำนักงานมีการบริหารจัดการเอกสารที่เกี่ยวข้องกับการปฏิบัติงานภายในของสำนักงาน ได้แก่ นโยบายและแนวปฏิบัติด้านการรักษาความมั่นคงปลอดภัยสารสนเทศ ขั้นตอนการปฏิบัติงาน วิธีปฏิบัติงาน เอกสารสนับสนุนการทำงาน คู่มือการตั้งค่าระบบสารสนเทศ และบันทึกต่าง ๆ โดยเอกสารจะถูกกำหนดรหัสและควบคุม ตั้งแต่การขึ้นทะเบียนเอกสารใหม่ การทบทวนและอนุมัติก่อนการใช้งาน การแก้ไขเอกสาร การเผยแพร่เอกสาร การยกเลิกเอกสาร และการทำลายเอกสารที่เลิกใช้งาน
การทบทวนการบริหารระบบมาตรฐาน
สำนักงานมีการทบทวนการดำเนินงานด้านการรักษาความมั่นคงปลอดภัยสารสนเทศของสำนักงาน เพื่อให้มั่นใจว่าการดำเนินงานมีความเหมาะสม และมีประสิทธิผล ทั้งนี้ การทบทวนดังกล่าวต้องพิจารณาถึงโอกาสในการปรับปรุงและพัฒนาอย่างต่อเนื่องเพื่อบรรลุวัตถุประสงค์ในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศของสำนักงาน โดยมีการรายงานต่อคณะทำงานบริหารระบบมาตรฐานในการประชุมทบทวนการบริหารระบบมาตรฐาน (Management Review) อย่างน้อยปีละ 1 ครั้ง หรือเมื่อมีการเปลี่ยนแปลงที่สำคัญ
การปรับปรุงพัฒนา
สำนักงานมีการแก้ไขและปรับปรุงการปฏิบัติงานที่ไม่สอดคล้องด้านความมั่นคงปลอดภัยสารสนเทศ โดยมีการกำหนดกระบวนการในการทบทวน การระบุสาเหตุ การแก้ไขหรือเปลี่ยนแปลงระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ การทบทวนประสิทธิผลของปฏิบัติการแก้ไข รวมถึงการจัดเก็บเอกสารที่เกี่ยวข้อง เพื่อให้เกิดการพัฒนาอย่างต่อเนื่องและมีประสิทธิภาพ
การบริหารจัดการสินทรัพย์
สำนักงานมีการบริหารจัดการสินทรัพย์ เกี่ยวกับเทคโนโลยีสารสนเทศของสำนักงานประเภทข้อมูล (Information) อุปกรณ์ (Physical) ซอฟต์แวร์ (Software) บุคลากร (Personal) บริการ (Service) โดเมน (Domain) เครื่องเสมือน (Logical) และสื่อสังคมออนไลน์ (Social Media) โดยการจัดทำมาตรการควบคุมการใช้งานสินทรัพย์ที่เหมาะสมตลอดวงจรชีวิตของสินทรัพย์ ตั้งแต่การจัดหา การลงทะเบียน การบำรุงรักษา การจำหน่าย และการทำลายสินทรัพย์ ตามลำดับชั้นความลับของข้อมูลที่อยู่ในสินทรัพย์นั้น ๆ โดยมีตรวจสอบและทบทวนทะเบียนสินทรัพย์อย่างน้อยปีละ 1 ครั้ง หรือเมื่อมีการเปลี่ยนแปลงที่สำคัญเกิดขึ้น เพื่อให้มั่นใจว่าทะเบียนสินทรัพย์เป็นปัจจุบันอยู่เสมอ
การแบ่งประเภทของข้อมูล และการจัดการสื่อที่ใช้ในการบันทึกข้อมูล
สำนักงานมีการแบ่งประเภทของข้อมูล (Data Classification) ทั้งที่อยู่ในรูปแบบกระดาษและอิเล็กทรอนิกส์ แบ่งออกเป็น 3 ประเภท คือ
(1) เผยแพร่ หมายถึง ข้อมูลที่เปิดเผยให้ทุกคนสามารถเข้าถึงได้ โดยเข้าถึงได้จากที่ใดก็ได้ ได้แก่ นโยบายและแนวปฏิบัติด้านความมั่นคงปลอดภัยสารสนเทศ และข้อมูลอื่นที่เผยแพร่ในเว็บไซต์ ภายใต้สังกัดของสำนักงาน
(2) ใช้ภายใน หมายถึง ข้อมูลที่เปิดเผยให้เฉพาะผู้ปฏิบัติงานสามารถเข้าถึงได้ โดยเข้าถึงด้วยระบบเครือข่ายภายในสำนักงาน ได้แก่ เอกสารขั้นตอนปฏิบัติงาน ข้อมูลประกอบการเบิกค่าใช้จ่ายสำนักงาน
(3) ลับ หมายถึง ข้อมูลข่าวสารตามมาตรา ๑๔ หรือมาตรา ๑๕ (ตามพระราชบัญญัติข้อมูลข่าวสารของทางราชการ พ.ศ. ๒๕๔๐) ที่มีคําสั่งไม่ให้เปิดเผยและอยู่ในความครอบครองหรือควบคุมดูแลของหน่วยงานของรัฐ ไม่ว่าจะเป็นเรื่องที่เกี่ยวกับการดําเนินงานของรัฐหรือที่เกี่ยวกับเอกชน รวมถึงข้อมูลส่วนบุคคลที่อ่อนไหว (Sensitive Personal Data) มาตรา ๒๖ (ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.๒๕๖๒
การสร้างความมั่นคงปลอดภัยด้านกายภาพและสภาพแวดล้อม
สํานักงานมีการกําหนดมาตรการเกี่ยวกับการเข้าถึงทางกายภาพและสภาพแวดล้อมของของสํานักงานสําหรับพื้นที่ทั่วไปของสํานักงานพื้นที่มั่นคงปลอดภัยรวมถึงพื้นที่ศูนย์ข้อมูลที่สํานักงานใช้บริการ (Data Center)
การบริหารจัดการการให้บริการโดยหน่วยงานภายนอก
สำนักงานมีการบริหารจัดการการให้บริการโดยหน่วยงานภายนอก โดยกำหนดระเบียบ ข้อบังคับ หลักเกณฑ์ และแนวปฏิบัติในการดำเนินงาน เพื่อใช้ในการติดตาม ทบทวน บริหารจัดการการเปลี่ยนแปลงการให้บริการ และตรวจประเมินการส่งมอบบริการของหน่วยงานภายนอกอย่างสม่ำเสมอ เพื่อควบคุมการเข้าถึงหรือใช้งานข้อมูลและระบบสารสนเทศของสำนักงาน ให้เป็นไปอย่างถูกต้องและมีความมั่นคงปลอดภัย
การปฏิบัติตามข้อกำหนด
สำนักงานมีการปฏิบัติตามข้อกฎหมาย ระเบียบข้อบังคับ ข้อผูกพันตามสัญญาที่เกี่ยวข้องกับความมั่นคงปลอดภัยสารสนเทศ มาตรฐาน และข้อกำหนดด้านความมั่นคงปลอดภัยที่สำนักงานกำหนด โดยมีการสื่อสารกับผู้ปฏิบัติงานให้รับทราบและเข้าใจ รวมทั้งมีการทบทวนและตรวจสอบการปฏิบัติตามนโยบายที่สำนักงานกำหนด
การบริหารความต่อเนื่องในการดําเนินงานของสำนักงาน
สำนักงานมีการบริหารความต่อเนื่องด้านความมั่นคงปลอดภัยระบบสารสนเทศและการดำเนินธุรกิจของสำนักงาน โดยคณะทำงานย่อยบริหารความต่อเนื่องในการทำงาน (Business Continuity Management : BCM) มีหน้าที่ในการวิเคราะห์ผลกระทบทางธุรกิจ (Business Impact Analysis: BIA) จัดลำดับความสำคัญของข้อมูลและระบบสารสนเทศที่จำเป็นต้องมีความต่อเนื่องในการใช้งาน กำหนดกระบวนการ กิจกรรมและทรัพยากรที่จำเป็น จัดทำเอกสารที่เกี่ยวข้อง สื่อสารให้ผู้ที่เกี่ยวข้องทราบและตระหนักถึงหน้าที่ของตน ตลอดจนจัดให้มีการซ้อมแผนบริหารความต่อเนื่องด้านความมั่นคงปลอดภัยสารสนเทศ อย่างน้อยปีละ 1 ครั้ง
การควบคุมการเข้าถึงและการใช้งานระบบสารสนเทศ
สำนักงานมีการควบคุมการเข้าถึงระบบสารสนเทศแก่ผู้ใช้งาน ตั้งแต่การลงทะเบียน การกำหนดสิทธิ
การเพิกถอนสิทธิ การทบทวนสิทธิการใช้งาน และการใช้งานอุปกรณ์พกพาอื่น ๆ (Mobile Device) รวมถึงการให้ความคุ้มครองข้อมูลส่วนบุคคลในส่วนที่ไม่พึงเปิดเผยภายใต้บทบัญญัติของกฎหมาย
การจัดการการเข้ารหัสลับ
สำนักงานมีการเข้ารหัสลับข้อมูลที่มีระดับชั้นความลับเป็น ลับ ลับมาก และลับที่สุด ของสำนักงาน โดยแบ่งตามการจัดการสื่อที่ใช้ในการบันทึกข้อมูล ประกอบด้วย ข้อมูลที่ถูกจัดเก็บอยู่ในเครื่องคอมพิวเตอร์ส่วนบุคคลของสำนักงาน ข้อมูลที่ถูกจัดเก็บอยู่ในเซิร์ฟเวอร์ หรืออยู่ในคลาวด์ของสำนักงาน ข้อมูลที่ถูกส่งผ่านเครือข่าย
การบริหารจัดการการเปลี่ยนแปลง
สำนักงานมีการบริหารจัดการการเปลี่ยนแปลงขององค์กร กระบวนการทางธุรกิจ สินทรัพย์ และระบบประมวลผลข้อมูลสารสนเทศ ที่มีผลกระทบต่อความมั่นคงปลอดภัยสารสนเทศ เพื่อให้มั่นใจว่าการเปลี่ยนแปลงได้รับการ วางแผน การจัดลำดับความสำคัญ ประเมินผลกระทบ การอนุมัติจากผู้มีอำนาจ การมอบหมาย ทดสอบ บันทึก และดำเนินการอย่างเหมาะสม เพื่อลดโอกาสหรือผลกระทบของความเสียหายอันเกิดจากการเปลี่ยนแปลงนั้น และรักษาไว้ซึ่งความมั่นคงปลอดภัยของข้อมูล
การบริหารจัดการขีดความสามารถสารสนเทศ
สำนักงานมีการบริหารจัดการขีดความสามารถสารสนเทศ เพื่อตรวจสอบการใช้งานให้มีทรัพยากรเพียงพอต่อความต้องการใช้งานของสำนักงาน และระบบสารสนเทศของสำนักงานสามารถให้บริการได้อย่างต่อเนื่อง
การควบคุมการติดตั้งซอฟต์แวร์ และการบริหารจัดการช่องโหว่ทางเทคนิค
สำนักงานมีรักษาความมั่นคงปลอดภัยในการปฏิบัติงาน ครอบคลุมในการจัดทำขั้นตอนปฏิบัติงาน
การป้องกันมัลแวร์ การควบคุมการใช้งานซอฟต์แวร์ การบริหารจัดการช่องโหว่ และการตรวจสอบระบบสารสนเทศ
การสำรองข้อมูลและการกู้คืนระบบสารสนเทศ
สำนักงานมีการบริหารจัดการการสำรองข้อมูลสำหรับระบบสารสนเทศ เพื่อป้องกันข้อมูลจากการสูญหาย ถูกทำลาย จากเหตุการณ์ไม่พึงประสงค์หรือเหตุการณ์ที่ไม่คาดคิด เพื่อให้ระบบสารสนเทศของสำนักงานสามารถให้บริการได้อย่างต่อเนื่อง
การบันทึกข้อมูลล็อก และเฝ้าระวัง
สำนักงานมีการบันทึกเหตุการณ์ที่เกิดขึ้นในระบบสารสนเทศ เช่น กิจกรรมของผู้ดูแลระบบและผู้ใช้งาน ความผิดปกติหรือข้อผิดพลาดของระบบสารสนเทศ การใช้งานต่าง ๆ เป็นต้น ทั้งนี้ เหตุการณ์ที่บันทึกต้องได้รับการปกป้องจากการเปลี่ยนแปลงเพื่อทำลายและการเข้าถึงโดยไม่ได้รับอนุญาต โดยต้องมีการตรวจสอบและวิเคราะห์เหตุการณ์ที่บันทึกอย่างสม่ำเสมอ เพื่อป้องกันเหตุการณ์ไม่พึงประสงค์หรือภัยคุกคามที่อาจส่งผลกระทบต่อสำนักงาน
การบริหารจัดการการสื่อสารและการใช้งานระบบเครือข่าย
สำนักงานมีการควบคุมการสื่อสาร และการส่งข้อมูลผ่านระบบเครือข่ายของสำนักงาน เพื่อป้องกันการเข้าถึงระบบสารสนเทศของสำนักงานจากผู้ที่ไม่ได้รับอนุญาต ป้องกันภัยคุกคามที่อาจก่อให้เกิดผลกระทบต่อสำนักงาน รวมถึงควบคุมการเข้าถึงการใช้งานระบบเครือข่ายเพื่อปฏิบัติงานจากภายนอกสำนักงานให้มีความมั่นคงปลอดภัย
การจัดหา พัฒนา และการบำรุงรักษาระบบสารสนเทศ
สำนักงานมีกระบวนการจัดหา การพัฒนา และการบำรุงรักษาระบบสารสนเทศ โดยมีการศึกษาความเป็นไปได้
การวิเคราะห์ผลกระทบ และการตรวจสอบระบบสารสนเทศให้มั่นใจว่าเป็นไปตามข้อกำหนดก่อนการโอนย้ายขึ้นสู่สภาพแวดล้อมการใช้งานจริง เพื่อป้องกันผลกระทบต่อการปฏิบัติงานหรือต่อภารกิจของสำนักงาน
การบริหารจัดการเหตุการณ์ด้านความมั่นคงปลอดภัยสารสนเทศ
สำนักงานมีการบริหารจัดการเหตุการณ์ด้านความมั่นคงปลอดภัยสารสนเทศ โดยมีการกำหนดหน้าที่ของ
ผู้ที่เกี่ยวข้องและขั้นตอนปฏิบัติในการเฝ้าระวัง การรายงานเหตุการณ์ การวิเคราะห์ การเก็บรวบรวมหลักฐาน การแก้ปัญหา และการบันทึกเหตุการณ์ด้านความมั่นคงปลอดภัยสารสนเทศที่เกิดขึ้น เพื่อให้เกิดการตอบสนองอย่างรวดเร็ว มีประสิทธิภาพและประสิทธิผล เป็นระเบียบแบบแผน และนำความรู้ที่ได้รับจากการวิเคราะห์และแก้ปัญหาไปใช้เพื่อลดโอกาสหรือผลกระทบของเหตุการณ์ในอนาคต
การประเมินผลการปฏิบัติงาน
สำนักงานมีการประเมินผลการปฏิบัติงาน เพื่อทบทวนการดำเนินงานด้านการรักษาความมั่นคงปลอดภัยสารสนเทศของสำนักงาน อย่างน้อยปีละ 1 ครั้ง เพื่อให้มั่นใจว่าการดำเนินงานมีความเหมาะสม และมีประสิทธิผล ทั้งนี้ การทบทวนดังกล่าวต้องพิจารณาถึงโอกาสในการปรับปรุงและพัฒนาอย่างต่อเนื่องเพื่อบรรลุวัตถุประสงค์ในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศของสำนักงาน
การเปลี่ยนแปลงนโยบายความมั่นคงปลอดภัยสารสนเทศ
สำนักงานอาจปรับปรุงนโยบายความมั่นคงปลอดภัยสารสนเทศนี้เป็นครั้งคราวเพื่อให้สอดคล้องกับการเปลี่ยนแปลงของการให้บริการ การดำเนินงานของสำนักงาน และข้อเสนอแนะ ความคิดเห็นจากท่าน สำนักงานจะประกาศแจ้งการเปลี่ยนแปลงให้ทราบอย่างชัดเจนก่อนจะเริ่มดำเนินการเปลี่ยนแปลง หรืออาจส่งประกาศแจ้งเตือนให้ท่านทราบโดยตรง
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับนโยบายและแนวปฏิบัติการรักษาความมั่นคงปลอดภัยสารสนเทศ โปรดศึกษาจากนโยบายและแนวปฏิบัติการรักษาความมั่นคงปลอดภัยสารสนเทศฉบับเต็ม หากท่านมีข้อสงสัยเพิ่มเติม โปรดติดต่อสำนักงานได้ที่:
ศูนย์ราชการเฉลิมพระเกียรติ 80 พรรษา (อาคารบี)
ชั้นที่ 6 เลขที่ 120 หมู่ที่ 3 ถนนแจ้งวัฒนะ
แขวงทุ่งสองห้อง เขตหลักสี่ กรุงเทพมหานคร 10210
หมายเลขโทรศัพท์ 0 2123 1234
หมายเลขโทรสาร 0 2123 1200
เว็บไซต์ https://www.etda.or.th