นโยบายในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ
นโยบายในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศของ สอน. กำหนดประเด็นสำคัญ ดังต่อไปนี้
ข้อที่ ๑ การควบคุมการเข้าถึงและการใช้งานระบบสารสนเทศ (Access Control)
(๑.๑) การเข้าถึงระบบสารสนเทศ ต้องควบคุมการเข้าถึงข้อมูลและอุปกรณ์ในการประมวลผลข้อมูล โดยคำนึงถึงการใช้งานและความมั่นคงปลอดภัยในการใช้งานระบบสารสนเทศ กำหนดกฎเกณฑ์ที่เกี่ยวกับการอนุญาตให้เข้าถึง กำหนดสิทธิเพื่อให้ผู้ใช้งานในทุกระดับได้รับรู้ เข้าใจ และสามารถปฏิบัติตามแนวทางที่กำหนดโดยเคร่งครัด และตระหนักถึงความสำคัญของการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศ
(๑.๒) การใช้งานตามภารกิจเพื่อควบคุมการเข้าถึงสารสนเทศ
(๑.๓) การบริหารจัดการสิทธิการเข้าถึงของผู้ใช้งาน เพื่อควบคุมการเข้าถึงระบบสารสนเทศและป้องกันการเข้าถึงจากผู้ซึ่งไม่ได้รับอนุญาต ต้องกำหนดให้มีการลงทะเบียนผู้ใช้งาน ตรวจสอบบัญชีผู้ใช้งานอนุมัติและกำหนดรหัสผ่านการได้ลงทะเบียนผู้ใช้งาน เพื่อให้ผู้ใช้งานที่มีสิทธิเท่านั้นที่สามารถเข้าใช้ระบบสารสนเทศ และต้องเก็บบันทึกข้อมูลการเข้าถึงและข้อมูลจราจรทางคอมพิวเตอร์ ตลอดจนบริหารจัดการสิทธิการเข้าถึงข้อมูลให้เหมาะสมตามระดับชั้นความลับของผู้ใช้งาน ต้องมีการทบทวนสิทธิการใช้งานและตรวจสอบการละเมิดความปลอดภัยเสมอ
(๑.๔) การเข้าถึงข้อมูลตามระดับชั้นความลับ ต้องมีการจัดลำดับชั้นความลับ ให้ใช้หลักเกณฑ์ตาม พ.ร.บ. ข้อมูลข่าวสารของทางราชการ พ.ศ. ๒๕๔๐ และระเบียบว่าด้วยการรักษาความลับของทางราชการ พ.ศ. ๒๕๔๔ มีการแบ่งประเภทของข้อมูลตามภารกิจและการจัดลำดับความสำคัญของข้อมูล กำหนดวิธีบริหารจัดการกับข้อมูลแต่ละประเภท รวมถึงกำหนดวิธีปฏิบัติกับข้อมูลลับหรือข้อมูลสำคัญก่อนการจำหน่ายหรือการนำอุปกรณ์กลับมาใช้ใหม่
(๑.๕) การควบคุมการเข้าถึงเครือข่าย เพื่อป้องกันการเข้าถึงบริการทางเครือข่ายโดยไม่ได้รับอนุญาต ต้องกำหนดสิทธิในการเข้าถึงเครือข่าย ให้ผู้ที่จะเข้าใช้งานต้องลงบันทึกเข้าใช้งาน (Login) โดยแสดงตัวตนด้วยชื่อผู้ใช้งาน และต้องมีการพิสูจน์ยืนยันตัวตน (Authentication) ด้วยการใช้รหัสผ่านก่อนการเข้าใช้งานต้องกำหนดเส้นทางการเชื่อมต่อระบบคอมพิวเตอร์สำหรับใช้งานอินเตอร์เน็ต โดยผ่านระบบรักษาความปลอดภัยตามที่ สอน. จัดสรรไว้ และมีการออกแบบระบบเครือข่ายโดยแบ่งเขต (Zone) การใช้งาน เพื่อทำให้การควบคุม และป้องกันภัยคุกคามได้อย่างเป็นระบบและมีประสิทธิภาพ
(๑.๖) การควบคุมการเข้าถึงระบบปฏิบัติการ โปรแกรมประยุกต์ และโปรแกรมอรรถประโยชน์เพื่อป้องกันการเข้าถึงระบบปฏิบัติการโดยไม่ได้รับอนุญาต ต้องกำหนดให้ผู้ที่จะเข้าใช้งานต้องลงบันทึกเข้าใช้งาน (Login) โดยแสดงตัวตนด้วยชื่อผู้ใช้งาน และต้องมีการพิสูจน์ยืนยันตัวตน (Authentication) ด้วยการใช้รหัสผ่านก่อนการเข้าใช้งาน ต้องกำหนดระยะเวลาเพื่อยุติการใช้งานเมื่อว่างเว้นจากการใช้งาน และจำกัดระยะเวลาในการเชื่อมต่อ การเข้าถึงระบบเทคโนโลยีสารสนเทศที่สำคัญ โปรแกรมประยุกต์ โปรแกรมอรรถประโยชน์ หรือแอพพลิเคชั่นต่าง ๆ รวมถึงจดหมายอิเล็กทรอนิกส์ (E-mail) ระบบเครือข่ายไร้สาย (Wireless LAN) ระบบอินเตอร์เน็ต (Internet) และระบบงานต่าง ๆ ต้องให้สิทธิเฉพาะการปฏิบัติงานในหน้าที่ และต้องได้รับความเห็นชอบจากหัวหน้าหน่วยงานเป็นลายลักษณ์อักษร รวมทั้งต้องทบทวนสิทธิดังกล่าวอย่างสม่ำเสมอ
(๑.๗) การควบคุมการเข้าถึงโปรแกรมประยุกต์และแอพพลิเคชั่น ต้องกำหนดสิทธิ การจัดทำระบบสำรองข้อมูล เพื่อให้ระบบสารสนเทศของ สอน. สามารถให้บริการได้อย่างต่อเนื่องและมีเสถียรภาพ ต้องจัดทำระบบสารสนเทศและระบบสำรองที่เหมาะสมให้อยู่ในสภาพพร้อมใช้งาน โดยคัดเลือกระบบสารสนเทศที่สำคัญ เรียงลำดับความจำเป็นจากมากไปน้อย พร้อมทั้งกำหนดหน้าที่และความรับผิดชอบของเจ้าหน้าที่ในการสำรองข้อมูล และจัดทำแผนเตรียมความพร้อมกรณีฉุกเฉินเพื่อให้สามารถใช้งานระบบสารสนเทศได้ตามปกติอย่างต่อเนื่อง
(๑.๘) การควบคุมการเข้าถึงเครือข่ายไร้สาย เพื่อป้องกันการเข้าถึงบริการทางเครือข่ายไร้สายโดยไม่ได้รับอนุญาต ผู้ที่จะเข้าใช้งานต้องกรอกแบบฟอร์มขอใช้บริการระบบเครือข่าย WIFI ลงบันทึกเข้าใช้งาน (Login) โดยแสดงตัวตนด้วยชื่อผู้ใช้งาน และต้องมีการพิสูจน์ยืนยันตัวตน (Authentication) ด้วยการใช้รหัสผ่านก่อนการเข้าใช้งาน ผู้ดูแลระบบต้องทำการเปลี่ยนค่า Default ของ SSID (Service Set Identifier) ที่ตั้งค่ามาจากผู้ผลิต ผู้ดูแลระบบต้องสร้าง SSID เป็น ๒ กลุ่มคือกลุ่มผู้ใช้งานที่มีบัญชีผู้ใช้งานอยู่ใน AD (Active Directory) กับผู้มาติดต่องานกับ สอน. (Guest) ต้องมีการตั้งค่าไม่ให้เห็นชื่อของ SSID โดยหลังจากได้รับอนุมัติให้สามารถใช้งานเครือข่ายไร้สายได้ ผู้ใช้จะต้องนำอุปกรณ์ไปให้ผู้ดูแลระบบลงทะเบียน เพื่อเก็บค่า MAC Address (Media Access Control Address) ผู้แลระบบจะพิจารณาแจ้งชื่อ SSID ตามความเหมาะสมและความจำเป็นในการใช้งาน
(๑.๙) การรักษาความมั่นคงปลอดภัยของจดหมายอิเล็กทรอนิกส์ กำหนดหน้าที่และความรับผิดชอบของผู้ใช้งานในการใช้งานจดหมายอิเล็กทรอนิกส์ โดยเจ้าหน้าที่ของสอน. ต้องใช้จดหมายอิเล็กทรอนิกส์ของ สอน. เท่านั้นในการติดต่องานที่เกี่ยวกับภารกิจของ สอน. กำหนดข้อห้าม ข้อควรระวัง การถูกระงับในการใช้งาน สิทธิในการใช้งานจะหมดลงก็ต่อเมื่อพ้นสภาพการเป็นเจ้าหน้าที่ของ สอน.
(๑.๑๐) หน้าที่ความรับผิดชอบของผู้ใช้งาน (User Responsibilities) เพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต การเปิดเผย หรือการขโมยข้อมูลระบบสารสนเทศ ต้องกำหนดรายละเอียดที่เกี่ยวกับ การใช้งานรหัสผ่าน (Password Use) การป้องกันอุปกรณ์ที่ไม่มีผู้ดูแล (Unattended User Equipment) และการเก็บรักษาทรัพย์สินขององค์กรไว้ในที่ที่ปลอดภัยและการป้องกันหน้าจอเครื่องคอมพิวเตอร์ (Clear Desk and Clear Screen Policy) เพื่อให้ผู้ใช้งานได้รับทราบวิธีปฏิบัติในการป้องกันการเข้าถึงข้อมูลสารสนเทศหรือข้อมูลที่มีความสำคัญทั้งของผู้ใช้งานและของ สอน.
ข้อที่ ๒ การสำรองข้อมูลสำคัญและการเตรียมรับมือกับเหตุฉุกเฉิน
(๒.๑) การสำรองข้อมูลสำคัญและการเตรียมรับมือกับเหตุฉุกเฉิน ต้องมีการจัดทำระบบสำรองข้อมูล เพื่อให้ระบบสารสนเทศของ สอน. สามารถให้บริการได้อย่างต่อเนื่องและมีเสถียรภาพ พร้อมใช้งาน โดยคัดเลือกระบบสารสนเทศที่สำคัญ พร้อมทั้งกำหนดหน้าที่และความรับผิดชอบของเจ้าหน้าที่ในการสำรองข้อมูลและการกู้คืนต้องมีการทบทวนแผนเตรียมความพร้อมกรณีฉุกเฉินในกรณีที่ไม่สามารถด าเนินการด้วยวิธีการทางอิเล็กทรอนิกส์อย่างน้อยปีละ ๑ ครั้ง เพื่อให้สามารถใช้งานระบบงานสารสนเทศได้ตามปกติอย่างต่อเนื่อง
(๒.๒) การบริหารจัดการเหตุการณ์ด้านความมั่นคงปลอดภัย ต้องมีการกำหนดหรือระบุเหตุการณ์ที่อาจเป็นปัญหาต่อความมั่นคงปลอดภัยในการใช้ระบบเทคโนโลยีสารสนเทศของ สอน. เพื่อเป็นแนวทางให้กับผู้ใช้งานได้ประเมินว่าเหตุการณ์ที่พบมีผลกระทบต่อระบบสารสนเทศ ต้องกำหนดขั้นตอนการแจ้งเหตุเมื่อพบเหตุการณ์ด้านความมั่นคงปลอดภัย มีการกำหนดหน้าที่ความรับผิดชอบและวิธีปฏิบัติในการจัดการกับเหตุการณ์ที่เกิดขึ้น
ข้อที่ ๓ การตรวจสอบและประเมินความเสี่ยง
ต้องตรวจสอบและประเมินความเสี่ยงด้านสารสนเทศ โดยจัดให้ผู้ตรวจสอบภายในของหน่วยงาน (Internal Auditor) หรือผู้ตรวจสอบอิสระด้านความมั่นคงปลอดภัยจากภายนอก (External Auditor) อย่างน้อยปีละ ๑ ครั้ง เพื่อให้หน่วยงานได้ทราบถึงระดับความเสี่ยงและระดับความมั่นคงปลอดภัยด้านสารสนเทศ
ข้อที่ ๔ การสร้างความตระหนักในเรื่องการรักษาความปลอดภัยมั่นคงสารสนเทศ
ต้องสร้างความรู้ความเข้าใจให้กับผู้ใช้งาน เพื่อให้เกิดความตระหนัก ความเข้าใจถึงภัยและผลกระทบที่เกิดจากการใช้งานระบบสารสนเทศโดยไม่ระมัดระวังหรือรู้เท่าไม่ถึงการณ์ ให้ดำเนินการ ดังนี้
(๔.๑) จัดอบรมแนวปฏิบัติตามนโยบายในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศของ สอน. อย่างสม่ำเสมอ โดยอาจเพิ่มเนื้อหาที่เกี่ยวข้องกับเทคโนโลยีหรือภัยในรูปแบบใหม่ ๆ รวมทั้งกฎหมายระเบียบ ที่เกี่ยวข้องกับการใช้งาน
(๔.๒) เผยแพร่นโยบายและแนวปฏิบัติในการรักษามั่นคงปลอดภัยสารสนเทศด้านสารสนเทศทางเว็บไซต์ สอน. หรือห้องสมุดของ สอน. เพื่อให้ผู้ใช้งานและบุคคลทั่วไปเข้าถึงได้
(๔.๓) มีมาตรการเชิงป้องกัน โดยให้ความรู้เกี่ยวกับแนวปฏิบัติในลักษณะเกร็ดความรู้ ข้อควรระวังในการใช้งานระบบสารสนเทศ รวมถึงต้องมีการกำหนดบทลงโทษเมื่อพบว่ามีการใช้ระบบสารสนเทศที่ไม่ถูกต้อง ได้แก่ การระงับการเข้าถึง หรือการระงับสิทธิการใช้งาน
ดาวน์โหลด: OCSB Cyber Security Policy – 2563.pdf