INFORMATION TECHNOLOGY - Rajamangala University of ... ·...

32
ดานเทคโนโลยีสารสนเทศ แนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัย ของมหาว�ทยาลัยเทคโนโลยีราชมงคลธัญบุรมหาว�ทยาลัยเทคโนโลยีราชมงคลธัญบุรINFORMATION TECHNOLOGY SECURITY POLICY

Transcript of INFORMATION TECHNOLOGY - Rajamangala University of ... ·...

Page 1: INFORMATION TECHNOLOGY - Rajamangala University of ... · -๒-“เครือข่ายไร้สาย” หมายความว่า เครือข่ายการสื่อสารแบบไร้สายแบบที่มีการให้บริการในเขตพื้นที่

ดานเทคโนโลยสารสนเทศ

แนวนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภย

ของมหาว�ทยาลยเทคโนโลยราชมงคลธญบร�

มหาว�ทยาลยเทคโนโลยราชมงคลธญบร�

INFORMATION TECHNOLOGY SECURITY POLICY

Page 2: INFORMATION TECHNOLOGY - Rajamangala University of ... · -๒-“เครือข่ายไร้สาย” หมายความว่า เครือข่ายการสื่อสารแบบไร้สายแบบที่มีการให้บริการในเขตพื้นที่

ประกาศมหาวทยาลยเทคโนโลยราชมงคลธญบร

เรอง แนวนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานเทคโนโลยสารสนเทศ ของมหาวทยาลยเทคโนโลยราชมงคลธญบร

................................................... โดยทเปนการสมควรก าหนดนโยบายดานความมนคงปลอดภยของเทคโนโลยสารสนเทศ

Information Technology Security Policy ของมหาวทยาลยเทคโนโลยราชมงคลธญบร โดยมวตถประสงคเพอใหเกดความมนคงและปลอดภยในกจการดานเทคโนโลยสารสนเทศของมหาวทยาลย เพอใหสอดคลอง และรองรบกบมาตรา ๕ แหงพระราชกฤษฎกาก าหนดหลกเกณฑและวธการในการท าธรกรรมทางอเลกทรอนกสภาครฐ พ.ศ.2549 ประกาศคณะกรรมการธรกรรมทางอเลกทรอนกส เรอง แนวนโยบายและแนวปฏบต ในการรกษาความม นคงปลอดภยดานสารสนเทศของหนวยงานของรฐ พ.ศ. ๒๕๕๓ และประกาศคณะกรรมการธรกรรมทางอเลกทรอนกส เร อง แนวนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศของหนวยงานของรฐ (ฉบบท ๒) พ.ศ. ๒๕๕๖

อาศยอ านาจตามความในมาตรา ๒๔ และมาตรา ๒๗ แหงพระราชบญญตมหาวทยาลยเทคโนโลยราชมงคล พ.ศ.๒๕๔๘ และมาตรา ๕ มาตรา ๖ และมาตรา ๗ แหงพระราชกฤษฎกาก าหนดหลกเกณฑและวธการ ในการท าธรกรรมทางอเลกทรอนกสภาครฐ พ.ศ.๒๕๔๙ จงออกประกาศไว ดงตอไปน

ขอ ๑ ในประกาศนใหใชบงคบตงแตวนถดจากวนประกาศเปนตนไป

ขอ ๒ ในประกาศน “มหาวทยาลย” หมายความวา มหาวทยาลยเทคโนโลยราชมงคลธญบร “ส านกคอมพวเตอร” หมายความวา ส านกว ทยบรการและเทคโนโลยสารสนเทศ

มหาวทยาลยเทคโนโลยราชมงคลธญบร “สวนงาน” หมายความวา สวนราชการของมหาวทยาลยเทคโนโลยราชมงคลธญบร ไมวาจะเปนการ

จดตงโดยกฎกระทรวง ประกาศกระทรวง ประกาศสภามหาวทยาลย หรอประกาศมหาวทยาลย “ผ ด แลระบบหรอ หมายความวา ผ ท ม หนาท ร บผดชอบในการดแลระบบเครอขาย ใหเปนไปตามนโยบายทก าหนดไวในประกาศน โดยไดรบการแตงตงจากผบงคบบญชา “ผใชงาน” หมายความวา บคลากรและนกศกษาของมหาวทยาลย รวมถงผทมาขอใชบรการชวคราว “ผใชขอมล”หมายความวา ผใชงานหรอบคคลใดซงไดรบขอมลจากระบบสารสนเทศมหาวทยาลยเพอน าไปใชงานเพอการใดๆ ทมสวนเกยวของกบภารกจของมหาวทยาลย “สทธการใชงาน” หมายความวา สทธในการเขาถงขอมลทไดรบอนญาตหรอไดรบมอบหมาย

“เครอขายหลก”หมายความวา เครอขายทอยในความรบผดชอบของส านกคอมพวเตอร ซงท าหนาทในการเชอมตอเครอขายของสวนงานกบเครอขายอนเตอรเนต

“เครอขายของสวนงาน” หมายความวา เครอขายของสวนทอยในความรบผดชอบของสวนงานทไดรบอนญาตใหจดตงขนอยางเปนลายลกษณอกษรจากส านกคอมพวเตอร เพอเชอมตอกบเครอขายหลก และสวนงานตองปฏบตตามขอตกลงการใชงานเครอขายรวมกนระหวางส านกคอมพวเตอร และสวนงานตางๆ

Page 3: INFORMATION TECHNOLOGY - Rajamangala University of ... · -๒-“เครือข่ายไร้สาย” หมายความว่า เครือข่ายการสื่อสารแบบไร้สายแบบที่มีการให้บริการในเขตพื้นที่

-๒-

“เครอขายไรสาย” หมายความวา เครอขายการสอสารแบบไรสายแบบทมการใหบรการในเขตพนทของมหาวทยาลยทเชอมตอกบเครอขายหลกหรอเครอขายของสวนงาน

“เครอขายอนเทอรเนต” หมายความวา เครอขายของสวนงานหรอองคกรภายนอกความรบผดชอบของมหาวทยาลย หรอเครอขายทเปนสาธารณะทจ าเปนตองมการปฏบตตามพระราชบญญต วาดวยการกระท าความผดเกยวกบคอมพวเตอร พ.ศ. ๒๕๕๐

“เครอขายสงคมออนไลน หมายความวา ระบบหรอซอฟตแวรทสามารถแลกเปลยนขอมลกนหรอเผยแพรขอมลไดอยางกวางขวางผานสอสงคมออนไลนตางๆ เชน Facebook, Twitter, Instagram, YouTube, Facebook Live, Messenger, Skype, Camfrog เปนตน รวมถง ระบบอนๆ ทเปนโปรแกรมประเภทสงขอความทนท (IM: Instant Message) หรอมลกษณะการสอสารขอมลแบบโปรแกรมประเภท มบทบาทเทาเทยมกน (Peer-to-Peer)

“ทรพยากรสารสนเทศ” หมายความวา ทรพยสนของมหาวทยาลยหรอสวนงานทเกยวของกบเทคโนโลยสารสนเทศ เชน เครอขายหลก เครอขายของสวนงาน เครอขายไรสาย ระบบฐานขอมล ระบบความปลอดภยขอมล โปรแกรมประยกต คอมพวเตอร คอมพวเตอรแมขาย เปนตน รวมถงเครอขายอน ทมสวนเกยวของกบกจกรรมของมหาวทยาลยหรอของสวนงาน

“ระบบเทคโนโลยสารสนเทศทส าคญ” หมายความวา ระบบสารสนเทศทใชงานของมหาวทยาลย หรอของสวนงานทมความส าคญตอการด าเนนงานของมหาวทยาลยหรอของสวนงาน

“ระเบยบการขอใชบรการ” หมายความวา ระเบยบท จ ดท าข นเพ อก าหนดกฎหรอ ระเบยบ และขนตอนการขอใชบรการสารสนเทศตางๆ ของมหาวทยาลย หรอจดท าขนโดยสวนงานส าหรบการใหบรการสารสนเทศของสวนงาน และใหหมายความรวมถงระเบยบทออกโดยสวนงานส าหรบการใหบรการสารสนเทศของสวนงานดวย

“ชอผใชงาน” หมายความวา ชอเรยกของผใชงานส าหรบการควบคมการเขาถงทรพยากรสารสนเทศของมหาวทยาลยหรอของสวนงาน

“รหสผาน” หมายความวา รหสทเปนความลบทเฉพาะผใชงานนนทราบแตเพยงผเดยว “ชนความลบขอมล” หมายความวา ระดบการเขาถงของขอมลทมความลบทแตกตางกน

ทตองมการก าหนดการเขาถงขอมลไดตางกนตามอ านาจหนาท โดยใหก าหนดชนความลบขอมลและการก าหนดการเขาถงขอมลตามระเบยบ วาดวย การรกษาความลบของทางราชการ พ.ศ. ๒๕๔๔

“คอมพวเตอรแมขาย” หมายความวา คอมพวเตอรทมการเชอมตอกบเครอขายหลกหรอเครอขายของสวนงาน และมการอนญาตใหเขาถงขอมลจากเครอขายหลกหรอเครอขายของสวนงาน ทมโปรแกรมบรการตดตงอย ทเปนเครองบรการขอมลสารสนเทศ หรอทมลกษณะการใหบรการขอมล

“คอมพวเตอร” หมายความวา คอมพวเตอรและอปกรณ รวมถงคอมพวเตอรสวนบคคล คอมพวเตอรแบบพกพา อปกรณสอสารแบบเคลอนทได เชน แทบเลต สมารทโฟน สมารทดไวซ เปนตน ทสามารถเชอมตอกบเครอขายไรสาย เครอขายหลกหรอเครอขายของสวนงาน

ขอ ๓ นโยบายดานเทคโนโลยสารสนเทศของมหาวทยาลยมผลใชบงคบทกสวนงาน ประกอบดวย ๔ สวน ดงตอไปน

Page 4: INFORMATION TECHNOLOGY - Rajamangala University of ... · -๒-“เครือข่ายไร้สาย” หมายความว่า เครือข่ายการสื่อสารแบบไร้สายแบบที่มีการให้บริการในเขตพื้นที่

-๓-

สวนท ๑ นโยบายควบคมการเขาถงและการใชงานระบบสารสนเทศ ประกอบดวย

(๑) นโยบายการควบคมการเขาถงและใชงานสารสนเทศ (Access Control) (๒) นโยบายการบรหารจดการการเขาถงของผใชงาน (User Access Management) (๓) นโยบายการก าหนดหนาทความรบผดชอบของผใชงาน (User Responsibilities) (๔) นโยบายการควบคมการเขาถงเครอขาย (Network Access Control) (๕) นโยบายการควบคมการเขาถงระบบปฏบตการ (Operating System Access Control) (๖) นโยบายการควบคมการเขาถงโปรแกรมประยกตหรอแอปพลเคชนและสารสนเทศ

(Application And Information Access Control) (๗) นโยบายการควบคมการเขาถงระบบเครอขายไรสาย (Wireless LAN Access Control) (๘) นโยบายการรกษาความมนคงปลอดภยทางดานกายภาพและสงแวดลอม

(Physical And Environmental Security) (๙) นโยบายการเขาถงเครองคอมพวเตอรแมขาย (Server Access Control) (๑๐) นโยบายการใชงานเครองคอมพวเตอรสวนบคคลและเครองคอมพวเตอรแบบ

พกพา (Personal Computer and Portable) (๑๑) นโยบายการบรหารจดการการเขาถงขอมลตามระดบชนความลบ (Data Confidence) (๑๒) นโยบายการควบคมการใชงานระบบจดหมายอเลกทรอนกส (E-mail) (๑๓) นโยบายการใชงานระบบอนเทอรเนต ( Internet) (๑๔) นโยบายการใชงานเครอขายสงคมออนไลน (Social Network) (๑๕) นโยบายการจดเกบขอมลจราจรคอมพวเตอร (Computer Traffic Log) สวนท ๒ นโยบายระบบสารสนเทศและระบบส ารองของสารสนเทศ ครอบคลมประเดน

ส าคญ ดงน (๑) ตองพจารณาคดเลอกระบบสารสนเทศทส าคญและจดท าระบบส ารองทเหมาะสมให

อยในสภาพพรอมใชงาน (๒) ตองจดท าแผนเตรยมความพรอมกรณฉกเฉนในกรณทไมสามารถด าเนนการดวย

วธการทางอเลกทรอนกส เพอใหสามารถใชงานสารสนเทศไดตามปกตอยางตอเนอง โดยตองปรบปรงแผนเตรยมความพรอมกรณฉกเฉนดงกลาว ใหสามารถปรบใชไดอยางเหมาะสมและสอดคลองกบการใชงานตามภารกจ

(๓) ตองมการก าหนดหนาทและความรบผดชอบของบคลากรซงดแลรบผดของระบบ สารสนเทศ ระบบส ารอง และการจดท าแผนเตรยมพรอมกรณฉกเฉนในกรณทไมสามารถด าเนนการดวยวธการทางอเลกทรอนกส (๔) ตองมการทดสอบสภาพพรอมใชงานระบบสารสนเทศ ระบบส ารอง และระบบแผนเตรยมพรอมกรณฉกเฉน ปละ ๑ ครง

(๕) ตองมการทบทวนระบบสารสนเทศ ระบบส ารอง และระบบแผนเตรยมพรอมกรณ ฉกเฉน ทเพยงพอตอสภาพความเสยงทยอมรบไดของแตละหนวยงานในมหาวทยาลย ปละ ๑ ครง

Page 5: INFORMATION TECHNOLOGY - Rajamangala University of ... · -๒-“เครือข่ายไร้สาย” หมายความว่า เครือข่ายการสื่อสารแบบไร้สายแบบที่มีการให้บริการในเขตพื้นที่

-๔-

สวนท ๓ นโยบายการตรวจสอบและประเมนความเสยงดานสารสนเทศ ครอบคลมประเดนส าคญ ดงน

(๑) มการตรวจสอบและประเมนความเสยงดานสารสนเทศ (๒) มแนวทางในการตรวจสอบและประเมนความเสยงทตองค านงถง (๓) มการรายงานผลการประเมนความเสยงดานสารสนเทศปละ ๑ ครง ตอคณะกรรมการเทคโนโลยสารสนเทศและการสอสาร และแจงคณะกรรมการบรหารความเสยงของมหาวทยาลยเพอด าเนนการตอไป (๔) มการแสดงผลการตรวจสอบตามนโยบายการรกษาความมนคงปลอดภยดานสารสนเทศเปนสวนหนงของการรายงานผลการตดตาม ตรวจสอบและประเมนผลงาน ดานเทคโนโลยสารสนเทศและการสอสาร สวนท ๔ นโยบายการสรางความรความเขาใจในการใชระบบสารสนเทศและระบบ คอมพวเตอร ครอบคลมประเดนส าคญ ดงน

(๑) จดใหมการฝกอบรมการใชงานระบบสารสนเทศของมหาวทยาลย ปละไมนอยกวา ๑ ครง หรอทกครงทมการปรบปรงและเปลยนแปลงการใชงานของระบบสารสนเทศ

(๒) จดท าคมอการใชงานระบบสารสนเทศ และมการเผยแพรทางเวบไซตของมหาวทยาลย (๓) จดฝกอบรมแนวปฏบตตามนโยบายอยางสม าเสมอ โดยการจดฝกอบรมอาจใชวธการ

เสรมเน อหา แนวปฏบต ตามแนวนโยบายเขากบหลกสตรอบรมตาง ๆ ตามแผนการฝกอบรมของมหาวทยาลย

(๔) จดสมมนาเพอเผยแพรแนวนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภย ดานสารสนเทศ และสรางความตระหนกถงความส าคญของการปฏบตใหกบผใชงาน โดยการจดสมมนาควรจดปละไมนอยกวา ๑ คร ง โดยอาจจดรวมกบการสมมนาอนดวยกได และอาจเชญวทยากรจากภายนอกทมประสบการณดานการรกษาความมนคงปลอดภยดานสารสนเทศมาถายทอดใหความร

(๕) ตดประกาศประชาสมพนธ ใหความรเกยวกบแนวปฏบตในลกษณะเกรดความร หรอ ขอระวงในรปแบบทสามารถเขาใจและน าไปปฏบตไดงายโดยมการปรบปรงความรอยเสมอ

(๖) ระดมการมสวนรวมและลงสภาคปฏบตดวยการก ากบ ตดตามประเมนผล และส ารวจ ความตองการของผใชงาน

ทงน รายละเอยดของนโยบายและแนวทางปฏบต เปนไปตามเอกสารทแนบทายประกาศน

ขอ ๔ ใหอธการบดรกษาการตามประกาศน และใหมอ านาจวนจฉยและตความเพอปฏบตการตามประกาศน ประกาศ ณ วนท ๒๐ พฤศจกายน พ.ศ. ๒๕๖๒

(นายวรช โหตระไวศยะ ) ผอ านวยการกองกลาง รกษาราชการแทน อธการบดมหาวทยาลยเทคโนโลยราชมงคลธญบร

Page 6: INFORMATION TECHNOLOGY - Rajamangala University of ... · -๒-“เครือข่ายไร้สาย” หมายความว่า เครือข่ายการสื่อสารแบบไร้สายแบบที่มีการให้บริการในเขตพื้นที่

-๕-

เอกสารแนบทายประกาศ

นโยบายและแนวปฏบตการรกษาความมนคงปลอดภยดานเทคโนโลยสารสนเทศ มหาวทยาลยเทคโนโลยราชมงคลธญบร

พ.ศ..............

ส านกวทยบรการและเทคโนโลยสารสนเทศ มหาวทยาลยเทคโนโลยราชมงคลธญบร

Page 7: INFORMATION TECHNOLOGY - Rajamangala University of ... · -๒-“เครือข่ายไร้สาย” หมายความว่า เครือข่ายการสื่อสารแบบไร้สายแบบที่มีการให้บริการในเขตพื้นที่

-๖-

ค ำน ำ

การรกษาความมนคงปลอดภยดานสารสนเทศ เปนสงส าคญทตองปฏบตอยางตอเนอง และจ าเปน

อยางยงทตองไดรบความรวมมอจากทกฝาย นอกจากนนยงตองมการตรวจสอบอยางสม าเสมอ เพอปรบปรง

ใหสอดคลองกบการพฒนาของเทคโนโลยทเปลยนแปลงไปอยางรวดเรว เพอใหการบรการระบบสารสนเทศ

ของมหาวทยาลยฯ เปนไปอยางเหมาะสม มประสทธภาพ มความมนคงปลอดภย รวมทงปองกนปญหาท

อาจจะเกดขนจากการใชงานระบบสารสนเทศในลกษณะทไมถกตอง ซงอาจสงผลใหมการถกคกคามจากภย

ตางๆ นโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ มหาวทยาลยเทคโนโลยราช

มงคลธญบร พ.ศ. ทไดจดท าขนน เพอรองรบกบมาตรา ๕ แหงพระราชกฤษฎกาก าหนดหลกเกณฑและ

วธ การในการท าธรกรรมทางอเลกทรอนกสภาครฐ พ.ศ. ๒๕๔๙ และเพอใหสอดคลองกบประกาศ

คณะกรรมการธรกรรมทางอเลกทรอนกส เร อง แนวนโยบายและแนวปฏบตในการรกษาความมนคง

ปลอดภยดานสารสนเทศของหนวยงานของรฐ พ.ศ. ๒๕๕๓ และประกาศคณะกรรมการธรกรรมทาง

อเลกทรอนกส เรอง แนวนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศของ

หนวยงานของรฐ (ฉบบท ๒) พ.ศ. ๒๕๕๖ จงนบเปนประโยชนตอความมนคงปลอดภยดานสารสนเทศท าให

เกดความรวมมอปฏบตตามนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศไดอยาง

สอดคลอง และเหมาะสม

Page 8: INFORMATION TECHNOLOGY - Rajamangala University of ... · -๒-“เครือข่ายไร้สาย” หมายความว่า เครือข่ายการสื่อสารแบบไร้สายแบบที่มีการให้บริการในเขตพื้นที่

-๗-

สำรบญ หนำ

สวนท ๑ นโยบายควบคมการเขาถงและการใชงานระบบสารสนเทศ .......................................................... ๘ ๑. นโยบายควบคมการเขาถงและการใชงานระบบสารสนเทศ (Access Control)………..…………๘ ๒. นโยบายการบรหารจดการการเขาถงของผใชงาน (User Access Management)………………๙ ๓. นโยบายการก าหนดหนาทความรบผดชอบของผใชงาน (User Responsibilities) ............... ๑๑ ๔. นโยบายการควบคมการเขาถงเครอขาย (Network Access Control) ................................ ๑๒ ๕. นโยบายการควบคมการเขาถงระบบปฏบตการ (Operating System Access Control)….๑๔ ๖. นโยบายการควบคมการเขาถงโปรแกรมประยกตหรอแอปพลเคชนและสารสนเทศ

(Application and Information Access Control)…………………………………………………….๑๖ ๗. นโยบายการควบคมการเขาถงระบบเครอขายไรสาย (Wireless LAN Access Control)…..๑๗ ๘. นโยบายการรกษาความมนคงปลอดภยทางดานกายภาพและสงแวดลอม (Physical and

Environmental Security)………………………………………………………………………………………..๑๗ ๙. นโยบายการเขาถงเครองคอมพวเตอรแมขาย (Server Access Control)……………..………...๑๙ ๑๐. นโยบายการใชงานเครองคอมพวเตอรสวนบคคลและเครองคอมพวเตอรแบบพกพา

(Personal Computer and Portable)………..………………………….………………………………๒๒ ๑๑. นโยบายการบรหารจดการการเขาถงขอมลตามระดบชนความลบ (Data Contidence)….๒๓ ๑๒. นโยบายการควบคมการใชงานระบบจดหมายอเลกทรอนกส (E-mail)………………………….๒๓ ๑๓. นโยบายการใชงานระบบอนเทอรเนต (Internet) ............................................................ ..๒๔ ๑๔. นโยบายการใชงานเครอขายสงคมออนไลน (Social Network)…...................................... ๒๕ ๑๕. นโยบายการจดเกบขอมลจราจรคอมพวเตอร (Computer Traffic Log). ......................... ๒๕

สวนท ๒ นโยบายระบบสารสนเทศและระบบส ารองของสารสนเทศ ...................................................... ๒๖ สวนท ๓ นโยบายการตรวจสอบและประเมนความเสยงดานสารสนเทศ .................................................. ๒๘ สวนท ๔ นโยบายการสรางความรความเขาใจในการใชระบบสารสนเทศและระบบคอมพวเตอร.............. ๓๐

Page 9: INFORMATION TECHNOLOGY - Rajamangala University of ... · -๒-“เครือข่ายไร้สาย” หมายความว่า เครือข่ายการสื่อสารแบบไร้สายแบบที่มีการให้บริการในเขตพื้นที่

-๘-

สวนท ๑ นโยบายควบคมการเขาถงและการใชงานระบบสารสนเทศ

วตถประสงค

๑. เพอใหมแนวทางปฏบตในการรกษาความมนคงปลอดภย ส าหรบการควบคมการเขาถงและการใช งานระบบสารสนเทศของมหาวทยาลย ๒. เพอใหผรบผดชอบและผมสวนเกยวของ ไดแก ผบรหาร ผใชงาน ผดแลระบบ และบคคลภายนอก ทปฏบตงานใหกบมหาวทยาลย ไดรบรเขาใจและสามารถปฏบตตามแนวทางทก าหนดโดยเครงครด และตระหนกถงความส าคญของการรกษาความมนคงปลอดภย

ผรบผดชอบ ๑. ศนยเทคโนโลยสารสนเทศ ๒. ผดแลระบบทไดรบมอบหมาย

อางองมาตรฐาน

- มาตรฐานการรกษาความมนคงปลอดภยในการประกอบธรกรรมทางอเลกทรอนกส

นโยบายและแนวทางปฏบต

๑. นโยบายการควบคมการเขาถงและใชงานสารสนเทศ (Access Control) เพอก าหนดประเภท ระดบชนความลบ ควบคมการเขาถง และใชงานทรพยากรสารสนเทศ มแนวทางปฏบต ดงน ๑.๑ จดท าบญชทรพยสนหรอทะเบยนทรพยสน การจ าแนกกลมทรพยากรของระบบหรอการท างาน โดยใหก าหนดกลมผใชงานและสทธของกลมผใชงาน ๑.๒ ก าหนดเกณฑในการอนญาตใหเขาถงการใชงานสารสนเทศ การอนญาตการก าหนดสทธ หรอการมอบอ านาจ ดงน

(๑) ก าหนดสทธของผใชงานแตละกลมทเกยวของ เชน - อานอยางเดยว - สรางขอมล - ปอนขอมล - แกไข - อนมต - ไมมสทธ

(๒) ก าหนดเกณฑการระงบสทธ มอบอ านาจ ใหเปนไปตามการบรหารจดการการเขาถงของ ผใชงาน (User Access Management) ทก าหนดไว (๓) ผใชงานทตองการเขาใชระบบสารสนเทศของมหาวทยาลย จะตองไดรบการพจารณา อนญาตจากผอ านวยการศนยหรอผทไดรบมอบหมาย

๑.๓ ขนตอนปฏบตเพอจดเกบขอมล (๑) จดแบงประเภทของขอมล ออกเปน

- ขอมลสารสนเทศดานการบรหาร เชน ขอมลนโยบาย ขอมลยทธศาสตรและค ารบรอง ขอมลบคลากร ขอมลงบประมาณการเงนและบญช ฯลฯ

Page 10: INFORMATION TECHNOLOGY - Rajamangala University of ... · -๒-“เครือข่ายไร้สาย” หมายความว่า เครือข่ายการสื่อสารแบบไร้สายแบบที่มีการให้บริการในเขตพื้นที่

-๙-

- ขอมลสารสนเทศตามพนธกจ เชน ขอมลดานการเรยนการสอน ขอมลดานการวจย และขอมลดานบรการวชาการ เปนตน

(๒) จดแบงระดบความส าคญของขอมล ออกเปน ๔ ระดบ คอ - ขอมลทมระดบความส าคญมากทสด - ขอมลทมระดบความส าคญมาก - ขอมลทมระดบความส าคญปานกลาง - ขอมลทมระดบความส าคญนอย

(๓) จดแบงล าดบชนความลบของขอมล - ขอมลลบทสด หมายถง หากเปดเผยทงหมดหรอเพยงบางสวนจะกอใหเกดความ

เสยหายอยางรายแรงทสด - ขอมลลบมาก หมายถง หากเปดเผยทงหมดหรอเพยงบางสวนจะกอใหเกดความ

เสยหายอยางรายแรง - ขอมลลบ หมายถง หากเปดเผยทงหมดหรอเพยงบางสวนจะกอใหเกดความเสยหาย - ขอมลทวไป หมายถง ขอมลทสามารถเปดเผยหรอเผยแพรทวไปได

(๔) จดแบงระดบชนการเขาถง - ระดบชนส าหรบผบรหาร - ระดบชนส าหรบผใชงานทวไป - ระดบชนส าหรบผดแลระบบหรอผทไดรบมอบหมาย

(๕) การก าหนดเวลาทไดเขาถง (๖) การก าหนดจ านวนชองทางทสามารถเขาถง

๑.๔ มขอก าหนดการใชงานตามภารกจ เพอควบคมการเขาถงสารสนเทศ (Mission Requirements for Access Control) โดยแบงการจดท าขอปฏบตเปน ๒ สวน คอ

(๑) มการควบคมการเขาถงสารสนเทศ โดยใหก าหนดแนวทางการควบคมการเขาถงระบบ สารสนเทศ และสทธทเกยวของกบระบบสารสนเทศ

(๒) มการปรบปรงใหสอดคลองกบขอมลก าหนดการใชงานตามภารกจ และขอก าหนดดาน ความมนคงปลอดภย

๒. นโยบายการบรหารจดการการเขาถงของผใชงาน (User Access Management) เพอควบคมการเขาถงระบบสารสนเทศเฉพาะผทไดรบอนญาต และผานการฝกอบรมหลกสตร การสรางความตระหนกเรองความมนคงปลอดภยสารสนเทศ เพอปองกนการเขาถงจากผซงไมไดรบอนญาต มแนวทางปฏบต ดงน ๒.๑ มการก าหนดหลกสตรการฝกอบรมเกยวกบการสรางความตระหนกเรองความมนคงปลอดภยสารสนเทศ ๒.๒ ฝกอบรมใหความรความเขาใจกบผใชงาน เพอใหเกดความตระหนก ความเขาใจถงภย และผลกระทบทเกดจากการใชงานระบบสารสนเทศโดยไมระมดระวงหรอรเทาไมถงการณ รวมถงก าหนดใหมมาตรการเชงปองกนตามความเหมาะสม ๒.๓ มการก าหนดขนตอนปฏบตในการลงทะเบยนผใชงาน (User Registration) ครอบคลมในเรองตอไปน (๑) จดท าแบบฟอรมขอใชงานระบบสารสนเทศ และผใชงานกรอกขอมลลงในแบบฟอรม เพอตรวจสอบสทธและด าเนนการตามขนตอนการลงทะเบยนผใชงาน (๒) มการระบชอบญชผใชงานแยกกนเปนรายบคคล ไมซ าซอนกน

Page 11: INFORMATION TECHNOLOGY - Rajamangala University of ... · -๒-“เครือข่ายไร้สาย” หมายความว่า เครือข่ายการสื่อสารแบบไร้สายแบบที่มีการให้บริการในเขตพื้นที่

-๑๐-

(๓) จ ากดการใชงานบญชผใชงานแบบกลมภายใตบญชรายชอเดยวกน และอนญาตใหใชเทาทจ าเปน

(๔) มการตรวจสอบและมอบหมายสทธในการเขาถงทเหมาะสมตอหนาทความรบผดชอบ (๕) มการตรวจสอบบญชผใชงาน โดยไมมการลงทะเบยนผใชงานมากอน (๖) ก าหนดใหมการจดท าและแจกเอกสารหรอสงทแสดงเปนลายลกษณอกษรใหแกผใชงาน

เพอแสดงถงสทธและหนาทความรบผดชอบของผใชงานในการเขาถงระบบเทคโนโลยสารสนเทศ รวมทงก าหนดใหผใชงานท าการลงนามในเอกสารดงกลาวหลงจากทไดท าความเขาใจแลว

(๗) มการท าบนทกและจดเกบขอมลการขออนมตเขาใชระบบสารสนเทศ (๘) มหลกเกณฑในการอนญาตใหเขาถงระบบสารสนเทศ และไดรบการพจารณาอนญาตจาก

ผอ านวยการศนย (๙) มหลกเกณฑในการยกเลก เพกถอน การอนญาต ใหเขาถงระบบสารสนเทศและการตด

ออกจากทะเบยนของผใชงาน เมอมการ เชน ลาออก เปลยนต าแหนง โอนยาย สนสดการจาง ฯลฯ

๒.๔ มการบรหารจดการสทธของผใชงาน (User Management) โดยแสดงรายละเอยดทเกยวกบการควบคมและจ ากดสทธ เพอใหสามารถเขาถงและใชงานระบบสารสนเทศแตละชนดตามความเหมาะสม ทงนรวมถงสทธจ าเพาะ สทธพเศษ และสทธอนๆ ทเกยวของกบการเขาถง ดงน

(๑) แสดงกระบวนการในการมอบหมายหรอก าหนดสทธการใชงานใหแกผใชงาน (๒) มการก าหนดระดบสทธในการเขาถงสารสนเทศทเหมาะสมตามหนาทความรบผดชอบ

และตามความจ าเปนในการใชงาน (๓) การมอบหมายสทธ ตองสอดคลองกบนโยบายการควบคมการเขาถง (๔) มการบนทกและจดเกบขอมลการมอบหมายสทธใหแกผใชงาน

๒.๕ มการบรหารจดการรหสผานส าหรบผ ใชงาน (User Password Management) โดยจดกระบวนการบรหารจดการรหสผานส าหรบผใชงานอยางรดกม ดงน

(๑) มขนตอนปฏบตส าหรบการตงเปลยนรหสผานทมความมนคงปลอดภย (๒) การตงรหสผานชวคราว ตองยากตอการเดา และตองมความแตกตางกน และอนญาตให

ผใชงานเลอกหรอเปลยนรหสผานไดดวยตนเอง และมขนตอนปฏบต เพอยนยนรหสผานใหม (๓) สงมอบรหสผานชวคราว ใหกบผใชงานดวยวธการทปลอดภย โดยหลกเลยงการใชบคคล

อนหรอการสงจดหมายอเลกทรอนกส ในการจดสงรหสผาน และผใชงานควรตอบกลบทนท หลงจากไดรบรหสผาน

(๔) ผใชงานตองเปลยนรหสผานทนทหลงจากไดรบรหสผานชวคราว และควรเปลยนใหรหสผานยากตอการคาดเดา

(๕) ตองมการลงนามเพอปองกนการเปดเผยขอมลรหสผานของตน (๖) การเปลยนรหสผานตองตรวจสอบบญชชอผใชงาน และรหสผานปจจบนใหถกตองกอนท

จะอนญาตใหเปลยนรหสใหม (๗) ในกรณมความจ าเปนตองใหสทธพเศษกบผใชงานทมสทธสงสด ผใชงานนนจะตองไดรบ

ความเหนชอบ และอนมตจากผบงคบบญชาของหนวยงานเจาของระบบ โดยมการก าหนดระยะเวลาใชงานและระงบการใชงานทนท เมอพนระยะเวลาสทธพเศษทไดรบวาเขาไดถงระดบใดไดบาง และตองก าหนดใหรหสผใชงานตางจากรหสผใชงานตามปกต

Page 12: INFORMATION TECHNOLOGY - Rajamangala University of ... · -๒-“เครือข่ายไร้สาย” หมายความว่า เครือข่ายการสื่อสารแบบไร้สายแบบที่มีการให้บริการในเขตพื้นที่

-๑๑-

๒.๖ การทบทวนสทธการเขาถงผใชงาน (Review of User Access Rights) ตองมกระบวนการทบทวนสทธการเขาถงของผใชงานระบบสารสนเทศและปรบปรงบญชผใชงาน ปละ ๑ ครง หรอเมอมการเปลยนแปลง เชน มการลาออก เปลยนต าแหนง โอนยาย สนสดการจาง ฯลฯ

๓. นโยบายการก าหนดหนาทความรบผดชอบของผใชงาน (User Responsibilities) เพอปองกนการเขาถงโดยไมไดรบอนญาต การเปดเผย การลวงรหรอการลกลอบท าส าเนาขอมล

สารสนเทศ มแนวทางปฏบต ดงน ๓.๑ มการก าหนดวธการปฏบตการใชงานรหสผาน (Password Use) ส าหรบผใชงาน เพอให

สามารถก าหนดรหสผานการใชงานรหสผาน และการเปลยนรหสผานทมคณภาพ ดงน (๑) เปลยนรหสผานชวคราวทนทเมอลอกอนเขาใชงานระบบครงแรก (๒) ควรตงรหสผานทยากตอการเดา (๓) ควรก าหนดรหสผาน ใหมตวอกษรจ านวนมากกวาหรอเทากบ ๘ ตวอกษร โดยมการผสม

กนระหวางตวอกษรทเปนตวพมพปกต ตวเลข และสญลกษณเขาดวยกน (๔) ไมควรก าหนดรหสผานสวนบคคลจากชอหรอนามสกลของตนเอง หรอบคคลในครอบครว

หรอบคคลทมความสมพนธใกลชดกบตน หรอจากค าศพททปรากฏในพจนานกรม (๕) ไมตงรหสผานจากอกขระทเรยงกนหรอกลมเหมอนกน (๖) ไมใชรหสผานสวนบคคลส าหรบการใชแฟมขอมลรวมกบบคคลอนผานเครอขาย

คอมพวเตอร (๗) เกบรกษารหสผานทงของตนเองและของกลมไวเปนความลบ (๘) ไมจดหรอบนทกรหสผานสวนบคคลไวในสถานททงายตอการสงเกตเหนของบคคลอน

หรอเกบไวในระบบคอมพวเตอร (๙) ตองไมก าหนดใหมการบนทกหรอชวยจ ารหสผานสวนบคคล (๑๐) ไมใชรหสผานของตนเองรวมกบผอน (๑๑) กรณทมความจ าเปนตองบอกรหสผานแกผ อนเนองจากงาน หลงจากด าเนนการ

เรยบรอย ใหท าการเปลยนรหสผานโดยทนท (๑๒) ควรมการเปลยนรหสผานตามรอบระยะเวลาทก าหนดไว หรอเปลยนรหสผานทนท

เมอทราบวารหสผานอาจถกเปดเผยหรอลวงร (๑๓) หลกเลยงการใชรหสผานเดม (๑๔) ผดแลระบบตองเปลยนรหสผานบอยครงกวาผใชงานทวไป

๓.๒ การปองกนอปกรณในขณะทไมมผใชงานอปกรณ ใหก าหนดแนวปฏบตทเหมาะสม เพอปองกนไมใหผไมมสทธสามารถเขาถงอปกรณของมหาวทยาลย ในขณะทไมมผดแล ดงน

(๑) มการก าหนดขอปฏบตใหปองกนอปกรณคอมพวเตอรทใชงาน เพอปองกนการสญหายหรอการเขาถงโดยไมไดรบอนญาต

(๒) มมาตรการปองกนอปกรณทไมมผใชงาน หรอตองปลอยทงไวโดยไมมผดแลชวคราว (๓) สรางความตระหนกใหเกดความเขาใจในมาตรการปองกน (๔) ตองออกจากระบบสารสนเทศโดยทนท เมอเสรจสนงาน (๕) ก าหนดใหมการตงลอคหนาจอเครองคอมพวเตอรหลงจากไมไดใชงานเปนเวลาไมเกน ๓๐

นาท และตองใสรหสผานใหถกตองจงจะสามารถเปดหนาจอได (๖) ตองลอคอปกรณและเครองคอมพวเตอรทส าคญ เมอไมไดถกใชงาน หรอตองปลอยทง

โดยไมไดดแลชวคราว

Page 13: INFORMATION TECHNOLOGY - Rajamangala University of ... · -๒-“เครือข่ายไร้สาย” หมายความว่า เครือข่ายการสื่อสารแบบไร้สายแบบที่มีการให้บริการในเขตพื้นที่

-๑๒-

๓.๓ การปฏบตตามนโยบายควบคมการไมทงสนทรพยสารสนเทศส าคญไวในททไมปลอดภย (Clear Desk and Clear Screen Policy) โดยตองควบคมไมใหทรพยสนสารสนเทศ เชน เอกสาร สอบนทกขอมล คอมพวเตอรหรอสารสนเทศ ฯลฯ อยในภาวะเสยงตอการเขาถงโดยผซงไมมสทธ และตองก าหนดใหผใชงานออกจากระบบสารสนเทศเมอวางเวนจากการใชงาน ดงน

(๑) มการก าหนดมาตรการปองกนทรพยสนของมหาวทยาลย และควบคมไมใหมการทงหรอปลอยทรพยสนสารสนเทศทส าคญใหอยในสถานการณทไมปลอดภย ครอบคลมเรองตางๆ เชน - การจดการบรเวณลอมรอบ - การควบคมการเขา-ออก - การจดบรการการเขาถงการสงผลตภณฑโดยบคคลภายนอก - การวางอปกรณ - ระบบและอปกรณสนบสนนการท างาน

(๒) การปองกนตองมความสอดคลองกบเรองตางๆ ดงน - แนวทางการจดหมวดหมสารสนเทศและการจดการกบสารสนเทศ - กฎหมาย ระเบยบ ขอบงคบ หรอขอก าหนดอนๆ - วฒนธรรมองคกร

(๓) มการก าหนดขอบเขตของการปองกน ดงน - ทกคนตองตระหนกและปฏบตการใดๆ เพอปองกนทรพยสนของมหาวทยาลย - ลงชอออกจากระบบทนท เมอจ าเปนตองปลอยทงโดยไมมผดแล - จดเกบขอมลส าคญในสถานททมความปลอดภย - ลอคเครองคอมพวเตอร เมอไมใชงาน - ปองกนเครองโทรสาร เมอไมมผใชงาน - ปองกนตหรอบรเวณทใชในการรบสงเอกสารไปรษณย - ปองกนไมใหผอนใชอปกรณดงตอไปน โดยไมไดรบอนญาต เชน กลองดจตอล เครอง

ส าเนาเอกสาร เครองสแกนเอกสาร ฯลฯ - น าเอกสารออกจากเครองพมพทนททพมพงานเสรจ

๓.๔ ผใชงานอาจน าการเขารหส มาใชกบขอมลทเปนความลบ โดยใหปฏบตตามระเบยบการรกษาความลบทางราชการ พ.ศ. ๒๕๔๔ ดงน

(๑) ตองแสดงหลกฐานเกณฑในการก าหนดเครองขอมลลบ หรอขอมลทส าคญยงยวด (๒) ตองแสดงขอปฏบตส าหรบการเขาถงขอมลลบ หรอขอมลทส าคญยงยวด

๔. นโยบายการควบคมการเขาถงเครอขาย (Network Access Control) เพอปองกนการเขาถงบรการทางเครอขายโดยไมไดรบอนญาต มแนวทางปฏบต ดงน

๔.๑ การใชบรการเครอขาย ตองก าหนดใหผใชงานสามารถเขาถงระบบสารสนเทศไดแตเพยงบรการทไดรบอนญาตใหเขาถงเทานน

(๑) มการก าหนดระบบสารสนเทศทตองมการควบคมการเขาถง โดยระบเครอขาย หรอบรการทอนญาตใหมการใชงานได

(๒) มขอปฏบตส าหรบผใชงานใหสามารถเขาถงระบบสารสนเทศไดแตเพยงบรการทไดรบอนญาตใหเขาถงเทานน

(๓) ก าหนดการใชงานระบบสารสนเทศทส าคญ เชน ระบบคอมพวเตอร โปรแกรมประยกต จดหมายอเลกทรอนกส ระบบเครอขายไรสาย (Wireless LAN) ระบบอนเทอรเนต

Page 14: INFORMATION TECHNOLOGY - Rajamangala University of ... · -๒-“เครือข่ายไร้สาย” หมายความว่า เครือข่ายการสื่อสารแบบไร้สายแบบที่มีการให้บริการในเขตพื้นที่

-๑๓-

(Internet) ฯลฯ โดยตองใหสทธเฉพาะการปฏบตงานในหนาทและตองไดรบความเหนชอบจากผบงคบบญชาของหนวยงานเจาของระบบเปนลายลกษณอกษร รวมทงตองทบทวนสทธดงกลาว ปละ ๑ ครง

๔.๒ การยนยนตวบคคลส าหรบผใชงานทอยภายนอกมหาวทยาลย (User Authentication for External Connection) ตองมขอปฏบตหรอกระบวนการใหมการยนยนตวบคคลกอนทจะอนญาตใหผใชงานทอยภายนอกมหาวทยาลยเขาใชงานเครอขายและระบบสารสนเทศของมหาวทยาลยได ดงน

(๑) ผใชงานทจะเขาใชงานระบบ ตองแสดงตวตน (Identification) ดวยชอผใชงานทกครง (๒) ใหมการตรวจสอบผใชงานทกครงกอนทจะอนญาตใหเขาถงระบบขอมล โดยจะตองม

วธการยนยนตวบคคล (Authentication) เพอแสดงวาเปนผใชงานตวจรง เชน การใชรหสผาน การใชสมารทการด หรอการใช User Token ทใชเทคโนโลย PKI ฯลฯ

(๓) จะตองมวธการในการตรวจสอบเพอพสจนตวตน ส าหรบการเขาสระบบสารสนเทศของมหาวทยาลยงาน ๑ วธ

(๔) การเขาสระบบสารสนเทศของมหาวทยาลยจากอนเทอรเนต ใหมการตรวจสอบผใชงานดวย

๔.๓ การระบอปกรณบนเครอขาย (Equipment Identification in Network) ตองมวธการหรอกระบวนการทสามารถระบอปกรณบนเครอขายได โดยสามารถใชการระบอปกรณบนเครอขายเปนการยนยนการเขาถง ดงน

(๑) ใหก าหนดวธการพสจนตวตนทกครงทใชอปกรณ (๒) มการควบคมการใชงานอยางเหมาะสม (๓) จ ากดผใชงานทสามารถเขาใชอปกรณได

๔.๔ การปองกนพอรตทใชส าหรบตรวจสอบและปรบแตงระบบ (Remote Diagnostic and Configuration Port Protection) ตองควบคมการเขาถงพอรตทใชส าหรบตรวจสอบ และปรบแตงระบบทงการเขาถงทางกายภาพและทางเครอขาย

(๑) แสดงขนตอนหรอหลกเกณฑในการควบคมการเขาถงพอรตทใชส าหรบตรวจสอบ และปรบแตงระบบส าหรบการเขาถงทางกายภาพ และการเขาถงทางเครอขาย

(๒) ก าหนดวธการปองกนชองทางทใชบ ารงรกษาระบบผานเครอขาย (๓) ปดการใชงานหรอควบคมการเขาถงพอรตทใชส าหรบตรวจอบ และปรบแตงระบบใหใช

งานไดอยางจ ากดระยะเวลาเทาทจ าเปน โดยตองไดรบการอนญาตจากผรบผดชอบเปน ลายลกษณอกษร

๔.๕ การแบงแยกเครอขาย (Segregation in Network) ตองท าการแบงแยกเครอขายส าหรบกลมผใชงาน โดยแบงออกเปน ๒ เครอขาย คอ เครอขายส าหรบผใชงานภายใน และเครอขายส าหรบผใชงานภายนอก ๔.๖ การควบคมการเชอมตอทางเครอขาย (Network Connection Control) ตองควบคมการเขาถงหรอใชงานเครอขายทมการใชรวมกน หรอเชอมตอระหวางกนใหสอดคลองกบแนวปฏบตการควบคมการเขาถง ดงน

(๑) มการตรวจสอบการเชอมตอเครอขาย (๒) จ ากดสทธความสามารถของผใชงานในการเชอมตอเขาสเครอขาย (๓) ระบอปกรณ เครองมอ ทใชควบคมการเชอมตอเครอขาย (๔) มระบบการตรวจจบผบกรกทงในระดบเครอขาย และระดบเครองคอมพวเตอรแมขาย (๕) ควบคมไมใหมการเปดใหบรการเครอขาย โดยไมไดรบอนญาต

Page 15: INFORMATION TECHNOLOGY - Rajamangala University of ... · -๒-“เครือข่ายไร้สาย” หมายความว่า เครือข่ายการสื่อสารแบบไร้สายแบบที่มีการให้บริการในเขตพื้นที่

-๑๔-

๔.๗ การควบคมการจดเสนทางเครอขาย (Network Routing Control) ตองควบคมการจดเสนทางบนเครอขาย เพอใหการเชอมตอของคอมพวเตอร และการสงผานหรอไหลเวยนของขอมล หรอสารสนเทศสอดคลองกบแนวปฏบตการควบคมการเขาถงหรอการประยกตใชงานตามภารกจ ดงน

(๑) ควบคมไมใหมการเปดเผยการใชหมายเลขเครอขาย (IP Address Plan) (๒) ก าหนดใหมการแปลงหมายเลขเครอขาย เพอแยกเครอขายยอย (๓) ก าหนดมาตรการการบงคบใชเสนทางเครอขาย สามารถเชอมเครอขายปลายทางผาน

ชองทางทก าหนดไว หรอจ ากดสทธในการใชบรการเครอขาย ๔.๘ การควบคมการเขาใชงานระบบจากภายนอก

(๑) การเขาสระบบจากระยะไกล (Remote Access) สระบบสารสนเทศและเครอขายของมหาวทยาลย ตองก าหนดมาตรการรกษาความปลอดภยทเพมขนจากมาตรฐานการเขาสระบบภายใน

(๒) การเขาสระบบจากระยะไกล (Remote Access) ตองมการตรวจสอบ เพอพสจนตวตนของผใชงาน เชน รหสผาน วธการเขารหส ฯลฯ

(๓) วธการใดๆ กตามทสามารถเขาสระบบสารสนเทศ และเครอขายไดจากระยะไกล ตองไดรบการอนมตจากผอ านวยการศนยกอน และมการควบคมอยางเขมงวดกอนน ามาใช และผใชงานตองปฏบตตามขอก าหนดของการเขาสระบบสารสนเทศอยางเครงครด

(๔) กอนท าการใหสทธในการเขาสระบบจากระยะไกล ผใชงานตองแสดงหลกฐานระบเหตผลหรอความจ าเปนในการด าเนนงานกบมหาวทยาลยอยางเพยงพอ และตองไดรบอนมตจากผอ านวยการศนยอยางเปนทางการ

(๕) มการควบคมพอรต (Port) ทใชในการเขาสระบบอยางรดกม การเขาสระบบโดยการโทรศพทเขามานน ตองดแลและจดการโดยผดแลระบบ และวธการหมนเขาตองไดรบอนมตอยางถกตองและเหมาะสมแลวเทานน

(๖) การอนญาตใหผใชงานเขาสระบบจากระยะไกล ตองอยบนพนฐานของความจ าเปนเทานน และไมควรเปดพอรตทใชทงเอาไวโดยไมจ าเปน ชองทางดงกลาวควรตดการเชอมตอเมอไมไดใชงานแลว และจะเปดใหใชไดตอเมอมการรองขอทจ าเปนเทานน

๕. นโยบายการควบคมการเขาถงระบบปฏบตการ (Operating System Access Control) เพอปองกนการเขาถงระบบปฏบตการโดยไมไดรบอนญาต โดยมแนวปฏบต ดงน

๕.๑ ผดแลระบบ (System Administrator) ตองตดตงโปรแกรมชวยบรหารจดการ (Domain Control) เพอบรหารจดการเครองคอมพวเตอรทกเครองของมหาวทยาลย และก าหนดชอผใชงาน และรหสผานใหกบผใชงานระบบปฏบตการของเครองคอมพวเตอรของมหาวทยาลย

๕.๒ ก าหนดขนตอนการปฏบตเพอการเขาใชงานทมนคงปลอดภย การเขาถงระบบปฏบตการจะตองควบคมโดยแสดงวธการยนยนตวตนทมนคงปลอดภย โดยมแนวปฏบต ดงน

(๑) ตองจดไมใหระบบแสดงรายละเอยดส าคญหรอความผดพลาดตางๆ ของระบบกอนทจะเขาสระบบจะเสรจสมบรณ

(๒) ระบบสามารถยตการเชอมตอเครองปลายทางได เมอพบวามการพยายามคาดเดารหสผานจากเครองปลายทาง

(๓) จ ากดระยะเวลาส าหรบใชในการปองกนรหสผาน (๔) จ ากดการเชอมตอโดยตรงสระบบปฏบตการผานทาง Commend Line เนองจากอาจ

สรางความเสยหายใหกบระบบได

Page 16: INFORMATION TECHNOLOGY - Rajamangala University of ... · -๒-“เครือข่ายไร้สาย” หมายความว่า เครือข่ายการสื่อสารแบบไร้สายแบบที่มีการให้บริการในเขตพื้นที่

-๑๕-

๕.๓ ระบและยนยนตวตนของผใชงาน (User Identification and Authentication) ตองก าหนดใหมผใชงาน และเลอกใชขนตอนทางเทคนคในการยนยนตวตนทเหมาะสมเพอรองรบการกลาวอางวาเปนผใชงานทระบถง โดยมแนวทางปฏบต ดงน

(๑) ผ ใชงานตองมชอผ ใชงาน และรหสผาน ส าหรบเขาใชงานระบบสารสนเทศของมหาวทยาลย

(๒) หากอนญาตใหใชชอผใชงาน และรหสผาน รวมกน ตองขนอยกบความจ าเปนทางดานธรกจหรอดานเทคนค

(๓) สามารถใชอปกรณควบคมความปลอดภยเพมเตม เชน สมารทการด RFID หรอ เครองอานลายพมพนวมอ ฯลฯ

๕.๔ การบรหารจดการรหสผาน (Password Management System) มระบบบรหารจดการรหสผานทสามารถท างานเชงโตตอบ (Interactive) หรอมการท างานในลกษณะอตโนมต ซงเออตอการก าหนดรหสผานทมคณภาพ

เม อไดด า เนนการตดต งระบบแลว ใหยกเลกช อผ ใช งานหรอเปล ยนรหสผานของ ทกชอผใชงานทไดถกก าหนดไวเรมตนทมาพรอมกบการตดตงระบบโดยทนท

๕.๕ การใชงานโปรแกรมอรรถประโยชน (Use of System Utilities) ควรจ ากดและควบคมการใชงานโปรแกรมอรรถประโยชนส าหรบโปรแกรมคอมพวเตอรทส าคญ เนองจากการใชงานโปรแกรมอรรถประโยชนบางชนดสามารถท าใหผใชหลกเลยงมาตรการปองกนทางดานความมนคงปลอดภยทไดก าหนดไวหรอทมอยแลว ใหด าเนนการ ดงน

(๑) จ ากดสทธการเขาถง และก าหนดสทธอยางรดกมในการอนญาตใหใชโปรแกรมอรรถประโยชน

(๒) ก าหนดใหอนญาตใชงานโปรแกรมอรรถประโยชนเปนรายครงไป (๓) จดเกบโปรแกรมอรรถประโยชนไวในสอภายนอก ถาไมตองใชงานเปนประจ า (๔) มการเกบบนทกการเรยกใชงานโปรแกรมเหลาน (๕) ก าหนดใหมการถอดถอนโปรแกรมอรรถประโยชนทไมจ าเปนออกจากระบบ

๕.๖ เมอมการวางเวนจากการใชงานในระยะเวลาหนงใหยตการใชงานระบบสารสนเทศนน

(Session Time-Out) (๑) ใหก าหนดหลกเกณฑการยตการใชงานระบบสารสนเทศเมอวางเวนจากการใชงานเปนเวลา

ไมเกน ๓๐ นาท หากเปนระบบทมความเสยงหรอความส าคญสง ใหก าหนดระยะเวลายตการใชงานระบบเมอวางเวนจากการใชงานใหสนลงหรอเปนเวลาไมเกน ๑๕ นาท ตามความเหมาะสมเพอปองกนการเขาถงขอมลส าคญโดยไมไดรบอนญาต

(๒) ถาไมมการใชงานระบบ ตองท าการยกเลกการใชโปรแกรมประยกตและการเชอมตอเขาสระบบโดยอตโนมต

(๓) เครองปลายทางทตงอยในพนททมความเสยงสงตองมการก าหนดระยะเวลาใหท าการปดเครองโดยอตโนมต หลกจากทไมมการใชงานเปนระยะเวลาตามทก าหนด

Page 17: INFORMATION TECHNOLOGY - Rajamangala University of ... · -๒-“เครือข่ายไร้สาย” หมายความว่า เครือข่ายการสื่อสารแบบไร้สายแบบที่มีการให้บริการในเขตพื้นที่

-๑๖-

๕.๗ การจ ากดระยะเวลาการเชอมตอระบบสารสนเทศ ( Imitation of Connection Time) ตองจ ากดระยะเวลาในการเชอมตอเพอใหมความมนคงปลอดภยมากขนส าหรบระบบสารสนเทศ หรอโปรแกรมทมความเสยงหรอมความส าคญสง

(๑) ก าหนดหลกเกณฑในการจ ากดระยะเวลาการเชอมตอระบบสารสนเทศ ส าหรบระบบสารสนเทศหรอแอปพลเคชนทมความเสยงหรอมความส าคญสง เพอใหผใชงานสามารถใชงานไดนานทสดภายในระยะเวลาทก าหนดเทานน เชน ก าหนดใหใชงานได ๓ ชวโมง ตอการเชอมตอหนงครง ฯลฯ ก าหนดใหใชงานไดเฉพาะในชวงเวลาการท างานของมหาวทยาลยตามปกตเทานน

(๒) การก าหนดชวงเวลาส าหรบการเชอมตอระบบเครอขายจากเครองปลายทางจะตองพจารณาถงระดบความเสยงของทตงของเครองปลายทางดวย

(๓) ก าหนดใหระบบสารสนเทศ เชน ระบบงานทมความส าคญสง หรอระบบงานทมการใชงานในสถานททมความเสยงในทสาธารณะหรอพนทภายนอกส านกงาน ฯลฯ มการจ ากดชวงระยะเวลาการเชอมตอ

๖. นโยบายการควบคมการเขาถงโปรแกรมประยกตหรอ แอปพล เคชนและสารสนเทศ (Application and Information Access Control)

เพอควบคมการเขาถงโปรแกรมประยกตหรอแอปพลเคชนและสารสนเทศ ใหมความมนคงปลอดภย มแนวทางปฏบต ดงน

๖.๑ การจ ากดการเขาถงสารสนเทศ (Information Access Restriction) ตองจ ากดหรอควบคม การเขาถงหรอเขาใชงานของผใชงาน และบคลากรฝายสนบสนนการเขาใชงานในการเขาถงสารสนเทศ และฟงกชนตางๆ ของโปรแกรมประยกต หรอแอปพลเคชน โดยใหก าหนดหลกเกณฑในการจ ากดหรอควบคม การเขาถงหรอเขาใชงานทสอดคลองตามนโยบายควบคมการเขาถงสารสนเทศทไดก าหนดไว

๖.๒ ระบบซงไวตอการรบกวน มผลกระทบและมความส าคญสงตอมหาวทยาลย จะตองด าเนนการดงน

(๑) ตองแยกระบบซงไวตอการรบกวนดงกลาวออกจากระบบอนๆ และแสดงใหเหนถงผลกระทบ และระดบความส าคญตอมหาวทยาลย

(๒) มการควบคมสภาพแวดลอมของระบบดงกลาวโดยเฉพาะ (๓) มการควบคมอปกรณคอมพวเตอรและสอสารเคลอนทและการปฏบตงานจากภายนอก

มหาวทยาลย (Mobile Computing and Teleworking) ทเกยวของกบระบบดงกลาว ๖.๓ การควบคมอปกรณคอมพวเตอรและสอสารเคลอนทตองก าหนดแนวปฏบต และมาตรการท

เหมาะสมในการควบคมการใชอปกรณคอมพวเตอรและสอสารเคลอนท ๖.๔ การปฏบตงานจากภายนอกมหาวทยาลย (Teleworking) ตองก าหนดแนวปฏบตแผนงานและ

ขนตอนปฏบตเพอปรบใชส าหรบการปฏบตงานของมหาวทยาลยจากภายนอกมหาวทยาลย

Page 18: INFORMATION TECHNOLOGY - Rajamangala University of ... · -๒-“เครือข่ายไร้สาย” หมายความว่า เครือข่ายการสื่อสารแบบไร้สายแบบที่มีการให้บริการในเขตพื้นที่

-๑๗-

๗. นโยบายการควบคมการเขาถงระบบเครอขายไรสาย (Wireless LAN Access Control) เพอควบคมการเขาถงระบบเครอขายไรสาย มแนวทางปฏบต ดงน ๗.๑ ผใชงานทตองการเขาถงระบบเครอขายไรสายของมหาวทยาลย จะตองท าการลงทะเบยนกบ

ผดแลระบบ โดยจะตองขออนญาตเปนลายลกษณอกษร และไดรบการพจารณาอนญาตจากผอ านวยการศนย ๗.๒ ผดแลระบบ (System Administrator) ตองด าเนนการดงตอไปน

(๑) ตองท าการลงทะเบยนก าหนดสทธผใชงานการเขาถงระบบเครอขายไรสายใหเหมาะสมกบหนาทความรบผดชอบในการปฏบตงานกอนเขาใชระบบเครอขายไรสาย รวมทงมการทบทวนสทธการเขาถงอยางสม าเสมอ ทงนระบบจะตองไดรบอนญาตจากผดแลระบบตามความจ าเปนในการใชงาน

(๒) ตองท าการลงทะเบยนอปกรณทกตวทใชตดตอระบบเครอขายไรสาย (๓) ตองควบคมสญญาณของอปกรณกระจายสญญาณ (Access Point) เพอปองกนไมให

สญญาณของอปกรณรวไหลออกนอกพนทใชงานระบบเครอขายไรสาย และปองกนไมให ผโจมตสามารถรบสงสญญาณจากภายนอกอาคาร หรอบรเวณขอบเขตทควบคมได

(๔) ควรท าการเปลยนคา SSID ทถกก าหนดเปนคาโดยปรยายมาจากผผลตทนททน าอปกรณกระจายสญญาณ (Access Point) มาใชงาน

(๕) ควรเปลยนคาชอบญชรายชอและรหสผานในการเขาสระบบส าหรบการตงคาการท างานของอปกรณไรสาย และควรจะเลอกใชชอบญชรายชอ และรหสผานทคาดเดาไดยาก เพอปองกนผโจมตไมใหสามารถคาดเดาหรอเจาะรหสผานไดโดยงาย

(๖) ตองมการเขารหสขอมลระหวาง Wireless LAN Client และอปกรณกระจายสญญาณ (Access Point) เพอใหยากตอการดกจบและท าใหปลอดภยมากขน

(๗) ควรจะมการตดตงอปกรณปองกนการบกรก (Firewall) ระหวางเครอขายไรสายกบเครอขายภายในมหาวทยาลย

(๘) ควรใชซอฟตแวรหรอฮารดแวรตรวจสอบความมนคงปลอดภยของระบบเครอขายอยางสม าเสมอ เพอคอยตรวจสอบและบนทกเหตการณทนาสงสยทเกดขนในระบบเครอขายไรสาย และเมอตรวจสอบพบการใชงานระบบเครอขายไรสายทผดปกตใหรายงานตอผอ านวยการศนยทราบโดยทนท

๘. นโยบายการรกษาความมนคงปลอดภยทางดานกายภาพและสงแวดลอม (Physical and Environmental Security)

เพอรกษาความมนคงปลอดภยทางดานกายภาพและสงแวดลอม มแนวทางปฏบต ดงน ศนยขอมลและเครอขายคอมพวเตอร (๑) ใหศนยเปนผก าหนดพนทใชงานระบบสารสนเทศและการสอสารใหชดเจน และจดท า

แผนผงแสดงต าแหนงของพนทใชงานและประกาศใหรบทราบทวกน โดยการก าหนดพนทดงกลาวแบงออกไดเปนพนทท างาน พนทตดตงและจดเกบอปกรณระบบสารสนเทศหรอระบบเครอขาย และพนทใชงานระบบเครอขายไรสาย

(๒) ใหศนยเปนผก าหนดสทธในการเขาถงพนทใชงานระบบสารสนเทศและการสอสาร

Page 19: INFORMATION TECHNOLOGY - Rajamangala University of ... · -๒-“เครือข่ายไร้สาย” หมายความว่า เครือข่ายการสื่อสารแบบไร้สายแบบที่มีการให้บริการในเขตพื้นที่

-๑๘-

(๓) หนวยงานภายนอกทน าเครองคอมพวเตอร หรออปกรณทใชในการปฏบตงานระบบเครอขายภายในมหาวทยาลยจะตองไดรบการอนญาตจากผอ านวยการศนย

(๔) มระบบสนบสนนการท างานของระบบสารสนเทศของมหาวทยาลยทเพยงพอตอความตองการใชงาน โดยใหมระบบดบเพลง ระบบปรบอากาศ และควบคมความชน และใหมการตรวจสอบหรอทดสอบระบบสนบสนนเหลานนอยางสม าเสมอ ใหมนใจไดวาระบบท างานตามปกตและลดความเสยงจากการลมเหลวในการท างานของระบบ

(๕) ตดตงระบบแจงเตอนเพอแจงเตอนกรณทระบบสนบสนนการท างานภายในหองเครองท างานผดปกตหรอหยดการท างาน

๘.๒ การเดนสายไฟ สายสอสาร และสายเคเบลอนๆ (๑) หลกเลยงการเดนสายสญญาณเครอขายของมหาวทยาลยในลกษณะทตองผานเขาไปใน

บรเวณทมบคคลภายนอกเขาถงได (๒) ใหมการปองกนสายสญญาณตางๆ เ พอปองกนการดกจบสญญาณ หรอการตด

สายสญญาณเพอท าใหเกดความเสยหาย (๓) ใหเดนสายสญญาณสอสารและสายไฟฟาแยกออกจากกนเพอปองกนการแทรกแซง

รบกวนของสญญาณซงกนและกน

(๔) ท าปายชอส าหรบสายสญญาณและบนอปกรณเพอปองกนการตดตอสญญาณผดเสน

(๕) จดท าผงสายสญญาณสอสารตางๆ ใหครบถวนและถกตอง

(๖) หองทมสายสญญาณสอสารตางๆ ปดใสสลกใหสนท เพอปองกนการเขาถงของ

บคคลภายนอก

(๗) ด าเนนการส ารวจระบบสายสญญาณสอสารทงหมดเพอตรวจหาการตดตงอปกรณดกจบ

สญญาณโดยผไมประสงคด

๘.๓ การบ ารงรกษาอปกรณ

๑. ใหมก าหนดการบ ารงรกษาอปกรณตามรอบระยะเวลาทแนะน าโดยผผลต

(๒) ปฏบตตามค าแนะน าในการบ ารงรกษาตามทผผลตแนะน า

(๓) จดเกบบนทกกจกรรมการบ ารงรกษาอปกรณส าหรบการใหบรการทกครง เพอใชในการ

ตรวจสอบหรอประเมนในภายหลง

(๔) จดเกบบนทกปญหาและขอบกพรองของอปกรณทพบ เพอใชในการประเมนและปรบปรง

อปกรณดงกลาว

(๕) ควบคมและสอดสองดแลการปฏบตงานของผใหบรการภายนอกทมาท าการบ ารงรกษา

อปกรณภายในมหาวทยาลย

(๖) จดใหมการอนมตสทธการเขาถงอปกรณทมขอมลส าคญโดยผรบจางใหบรการจาก

ภายนอกทมาท าการบ ารงรกษาอปกรณ เพอปองกนการเขาถงขอมลโดยไมไดรบอนญาต

Page 20: INFORMATION TECHNOLOGY - Rajamangala University of ... · -๒-“เครือข่ายไร้สาย” หมายความว่า เครือข่ายการสื่อสารแบบไร้สายแบบที่มีการให้บริการในเขตพื้นที่

-๑๙-

๘.๔ การน าทรพยสนของมหาวทยาลยออกนอกมหาวทยาลย

(๑) ใหมการขออนญาตกอนน าอปกรณหรอทรพยสนนนออกไปใชงานนอกมหาวทยาลย

(๒) ก าหนดผมอ านาจในการเคลอนยายหรอน าอปกรณออกนอกมหาวทยาลย

(๓) ก าหนดระยะเวลาของการน าอปกรณออกไปใชงานนอกมหาวทยาลย

(๔) เมอมการน าอปกรณสงคน ใหตรวจสอบวาสอดคลองกบระยะเวลาทอนญาต และ

ตรวจสอบการช ารดเสยหายของอปกรณดวย

(๕) บนทกขอมลการน าอปกรณของมหาวทยาลยออกไปใชงานนอกมหาวทยาลย เพอ

เอาไวเปนหลกฐานปองกนการสญหายรวมทงบนทกขอมลเพมเตมเมอน าอปกรณสงคน

๘.๕ การจดการอปกรณทใชงานอยนอกมหาวทยาลย

(๑) ก าหนดมาตรการความปลอดภยเพอปองกนความเสยงจากการน าอปกรณ หรอทรพยสน

ของมหาวทยาลยออกไปใชงาน เชน การขนสง และการเกดอบตเหตกบอปกรณ ฯลฯ

(๒) ไมทงอปกรณหรอทรพยสนของมหาวทยาลยไวโดยล าพงในทสาธารณะ

(๓) เจาหนาทมความรบผดชอบดแลอปกรณหรอทรพยสนเสมอนเปนทรพยสนของตนเอง

๘.๖ การก าจดอปกรณหรอการน าอปกรณกลบมาใชงานอกครง

(๑) ใหท าลายขอมลส าคญในอปกรณกอนทจะก าจดอปกรณดงกลาว

(๒) มมาตรการหรอเทคนคในการลบหรอเขยนขอมลทบบนขอมลทมความส าคญ

ในอปกรณส าหรบจด เกบขอมลกอนท จะอนญาตใหผ อนน า อปกรณนน ไปใช

งานตอไป เพอปองกนไมใหมการเขาถงขอมลส าคญนนได

๘.๗ การรกษาความมนคงปลอดภยส าหรบเอกสารระบบสารสนเทศ

(๑) จดเกบเอกสารทเกยวของกบระบบสารสนเทศไวในสถานททมนคงปลอดภย

(๒) ใหมการควบคมการเขาถงเอกสารทเกยวของกบระบบสารสนเทศโดยผเปน เจาของ

ระบบนน

(๓) ควบคมการเขาถงเอกสารทเกยวของกบระบบสารสนเทศทจดเกบ หรอเผยแพรอยบนเครอขายสาธารณะ เชน อนเทอรเนต เพอปองกนการเขาถง หรอเปลยนแปลงแกไขเอกสารนน ฯลฯ

๙. นโยบำยกำรเขำถงเครองคอมพวเตอรแมขำย (Server Access Control) เพอควบคมการเขาถงเครองคอมพวเตอรแมขาย มแนวทางปฏบต ดงน

๙.๑ ควบคมการตดตงซอฟตแวรลงไปยงระบบเครองคอมพวเตอรแมขายทใหบรการ

(๑) ใหมการควบคมการเปลยนแปลงตอระบบสารสนเทศของมหาวทยาลยเพอปองกนความ

เสยหายหรอการหยดชะงกทมตอระบบสารสนเทศนน

Page 21: INFORMATION TECHNOLOGY - Rajamangala University of ... · -๒-“เครือข่ายไร้สาย” หมายความว่า เครือข่ายการสื่อสารแบบไร้สายแบบที่มีการให้บริการในเขตพื้นที่

-๒๐-

(๒) ใหผดแลระบบทไดรบการอบรมแลว หรอมความช านาญเทานน ท จะเปนผท าหนาท

ด าเนนการเปลยนแปลงตอระบบสารสนเทศของมหาวทยาลย

(๓) การตดตงหรอปรบปรงซอฟตแวรของระบบสารสนเทศตองมการขออนมตใหตดตงกอนด าเนนการ

(๔) ไมควรตดตงรหสตนฉบบ (Source Code) ของระบบสารสนเทศในเครองคอมพวเตอรแมขายทใหบรการนนๆ

(๕) ก าหนดใหมการจดเกบรหสตนฉบบและคลงโปรแกรม (Library) ส าหรบซอฟตแวรของระบบสารสนเทศไวในสถานททมความมนคงปลอดภย

(๖) ก าหนดใหผใชงานหรอผทเกยวของตองท าการทดสอบระบบสารสนเทศตามจดประสงคทก าหนดไวอยางครบถวนเพยงพอ กอนด าเนนการตดตงบนเครองคอมพวเตอรแมขายทใหบรการ เชน ซอฟตแวรระบบปฏบตการ และซอฟตแวรทเปนตวระบบสารสนเทศ ฯลฯ

(๗) ใหผทเกยวของตองท าการทดสอบดานความมนคงปลอดภยของระบบสารสนเทศอยางครบถวน กอนด าเนนการตดตงบนเครองใหบรการระบบสารสนเทศ

(๘) ใหมการจดเกบซอฟตแวรเวอรชนเกา ขอมลทเกยวของกบระบบสารสนเทศเดมและขนตอนปฏบตทเกยวของของระบบสารสนเทศในกรณทจ าเปนตองกลบไปใชเวอรชนเกาเหลานน ตามระยะเวลาทเหมาะสม

(๙) ใหมการระบความตองการทางสารสนเทศส าหรบระบบสารสนเทศทตองการปรบปรงกอนทจะเรมตนท าการพฒนา

๙.๒ ใหมการทบทวนการท างานของระบบสารสนเทศภายหลงจากทเปลยนแปลงระบบปฏบตการ (๑) แจงใหผท เกยวของกบระบบสารสนเทศไดรบทราบเกยวกบการเปลยนแปลง

ระบบปฏบตการเพอใหบคคลเหลานนมเวลาเพยงพอในการด าเนนการทดสอบ และทบทวนกอนทจะด าเนนการเปลยนแปลงระบบปฏบตการ

(๒) พจารณาวางแผนด าเนนเปลยนแปลงระบบปฏบตการของระบบสารสนเทศ รวมทงวางแผนดานงบประมาณทจ าเปนตองใชในกรณทมหาวทยาลยตองเปลยนไปใชระบบปฏบตการใหม

๙.๓ การพฒนาซอฟตแวรโดยหนวยงานภายนอก (๑) ควรจดใหมการควบคมการพฒนาซอฟตแวรทจดจางจากบคคลหรอหนวยงานภายนอก (๒) ใหระบวาใครจะเปนผมสทธในทรพยสนทางปญญาส าหรบรหสตนฉบบ ในการพฒนา

ซอฟตแวรโดยผรบจางใหบรการจากภายนอก (๓) ใหก าหนดเรองการสงวนสทธทจะตรวจสอบดานคณภาพและความถกตองของซอฟตแวรท

จะมการพฒนาโดยผใหบรการภายนอกโดยระบไวในสญญาจางทท ากบผใหบรการภายนอกนน

๙.๔ มาตรการควบคมชองโหวทางเทคนค (๑) ก าหนดใหมการจดท าบญชของระบบสารสนเทศเพอใชส าหรบกระบวนการบรหารจดการ

ชองโหวของระบบเหลานน ควรมการบนทกดงตอไปน

Page 22: INFORMATION TECHNOLOGY - Rajamangala University of ... · -๒-“เครือข่ายไร้สาย” หมายความว่า เครือข่ายการสื่อสารแบบไร้สายแบบที่มีการให้บริการในเขตพื้นที่

-๒๑-

- ชอซอฟตแวรและเวอรชนทใชงาน - สถานททตดตง - เครองทตดตง - ผผลตซอฟตแวร - ขอมลส าหรบตดตอผผลตหรอผพฒนาซอฟตแวรนน ๆ

(๒) ก าหนดใหมการจดการกบชองโหวส าคญของระบบสารสนเทศอยางเหมาะสมโดยทนท (๓) กระบวนการบรหารจดการชองโหวของระบบสารสนเทศใหผดแลระบบการด าเนนการ

ดงน - มการเฝาระวงและตดตาม ประเมนความเสยงส าหรบชองโหวของระบบสารสนเทศ

รวมทงการประสานงานเพอใหผทเกยวของด าเนนการแกไขชองโหวตามความเหมาะสม

- ใหก าหนดแหลงขอมลขาวสารเพอใชในการตดตามชองโหวของระบบสารสนเทศของมหาวทยาลย

(๔) ปดการใชงานหรอควบคมการเขาถงพอรตทใชส าหรบตรวจสอบ และปรบแตงระบบใหใชงานไดอยางจ ากดระยะเวลาเทาทจ าเปน โดยตองไดรบการอนญาตจากผรบผดชอบเปนลายลกษณอกษร

๙.๕ การบนทกเหตการณทเกยวของกบการใชงานระบบสารสนเทศ (Audit Logging) มการบนทกพฤตกรรมการใชงาน (Log) การเขาถงระบบสารสนเทศ ดงน

(๑) ขอมลชอบญชผใชงาน (๒) ขอมลวนเวลาทเขาถงระบบ (๓) ขอมลวนเวลาทออกจากระบบ (๔) ขอมลเหตการณส าคญทเกดขน (๕) ขอมลการลอกอน ทงทส าเรจและไมส าเรจ (๖) ขอมลความพยายามในการเขาถงทรพยากรทงทส าเรจและไมส าเรจ (๗) ขอมลการเปลยนคอนฟกกเรชน (Configuration) ของระบบ (๘) ขอมลแสดงการใชงานแอปพลเคชน (๙) ขอมลแสดงการเขาถงไฟลและการกระท ากบไฟล เชน เปด ปด เขยน หรออานไฟล ฯลฯ (๑๐) ขอมลเลขทอยไอพทเขาถง (๑๑) ขอมลโพรโทคอลเครอขายทใช (๑๒) ขอมลแสดงการหยดการท างานของระบบปองกนไวรสคอมพวเตอร (๑๓) ขอมลแสดงการส ารองขอมลไมส าเรจ

Page 23: INFORMATION TECHNOLOGY - Rajamangala University of ... · -๒-“เครือข่ายไร้สาย” หมายความว่า เครือข่ายการสื่อสารแบบไร้สายแบบที่มีการให้บริการในเขตพื้นที่

-๒๒-

๑๐. นโยบายการใชงานเครองคอมพวเตอรสวนบคคลและเครองคอมพวเตอรแบบพกพา (Personal Computer and Portable)

เพอควบคมการใชงานเครองคอมพวเตอรสวนบคคลและเครองคอมพวเตอรแบบพกพา มแนวทางปฏบต ดงน

๑๐.๑ การใชงานทวไป (๑) เครองคอมพวเตอรทมหาวทยาลยอนญาตใหผ ใชงาน ใชงานเปนทรพยสนของ

มหาวทยาลย ดงนน ผใชงานจงควรใชงานเครองคอมพวเตอรอยางมประสทธภาพเพองานของมหาวทยาลย

(๒) โปรแกรมทไดถกตดตงลงบนเครองคอมพวเตอรของมหาวทยาลย ตองเปนโปรแกรมทมหาวทยาลยไดซอลขสทธมาอยางถกตองตามกฎหมาย ดงนน หามผใชงานคดลอกโปรแกรมตางๆ และน าไปตดตงบนเครองคอมพวเตอรสวนตวหรอแกไข หรอน าไปใหผอนใชงานโดยผดกฎหมาย

(๓) ไมอนญาตใหผใชงานท าการตดตงและแกไขเปลยนแปลงโปรแกรมในเครองคอมพวเตอรของมหาวทยาลย

(๔) การเคลอนยายหรอสงเครองคอมพวเตอรไปตรวจซอมจะตองด าเนนการโดยเจาหนาทของศนยหรอผรบจางในการบ ารงรกษาเครองคอมพวเตอร และอปกรณทไดท าสญญากบมหาวทยาลยเทานน

(๕) กอนการใชงานสอบนทกพกพาตางๆ ตองมการตรวจสอบเพอหาไวรสโดยโปรแกรมปองกนไวรส

(๖) ไมวางสอแมเหลกไวใกลหนาจอเครองคอมพวเตอร หรอสอบนทกทอาจกอใหเกดความเสยหายได

(๗) ในกรณทตองการเคลอนยายเครองคอมพวเตอรแบบพกพาควรใสกระเปาส าหรบเครองคอมพวเตอรแบบพกพา เพอปองกนอนตรายทเกดจากการกระทบกระเทอน เชน การตกจากโตะท างาน หรอหลดมอ ฯลฯ

(๘) การใชเครองคอมพวเตอรแบบพกพาเปนระยะเวลานานเกนไป ในสภาพทมอากาศรอนจด ควรปดเครองคอมพวเตอร เพอเปนการพกเครองสกระยะหนงกอนเปดใชงานใหมอกครง

(๙) ไมวางของทบบนหนาจอและแปนพมพ (๑๐) การเคลอนยายเครองขณะทเครองเปดใชงานอย ใหท าการยกจากฐานภายใตแปนพมพ

หามยายเครองโดยการดงหนาจอภาพขน (๑๑) ไมใชหรอวางเครองคอมพวเตอรแบบพกพาใกลสงทเปนของเหลว ความชน เชน อาหาร

น า กาแฟ และเครองดมตางๆ ฯลฯ (๑๒) ผใชงานมหนาทรบผดชอบในการปองกนการสญหาย เชน ควรลอคเครองขณะทไมไดใช

งาน ไมวางเครองทงไวในทสาธารณะ หรอในบรเวณทมความเสยงตอการสญหาย ฯลฯ (๑๓) หามมใหผใชงานท าการเปลยนแปลงแกไขสวนประกอบยอย (Sub Component)

ทตดตงอยภายในรวมถงแบตเตอร

Page 24: INFORMATION TECHNOLOGY - Rajamangala University of ... · -๒-“เครือข่ายไร้สาย” หมายความว่า เครือข่ายการสื่อสารแบบไร้สายแบบที่มีการให้บริการในเขตพื้นที่

-๒๓-

๑๐.๒ การส ารองขอมลและการกคน (๑) ผใชงานตองรบผดชอบในการส ารองขอมลจากเครองคอมพวเตอรไวบนสอบนทกอนๆ เชน

CD, DVD, Flash Drive, External Hard Disk ฯลฯ (๒) ผใชงานมหนาทเกบรกษาสอขอมลส ารอง (Backup Media) ไวในสถานททเหมาะสม

ไมเสยงตอการรวไหลของขอมล และทดสอบการกคนขอมลทส ารองไวอยางสม าเสมอ (๓) ผใชงานควรประเมนความเสยงวาขอมลทเกบไวบน Hard Disk ไมควรจะเปนขอมลส าคญ

เกยวของกบการท างาน

๑๑. นโยบายการบรหารจดการการเขาถงขอมลตามระดบชนความลบ (Data Confidence) เพอใชในการบรหารจดการการเขาถงขอมลตามระดบชนความลบ มแนวทางปฏบต ดงน ๑๑.๑ ผดแลระบบ ตองก าหนดขนความลบของขอมล วธปฏบตในการจดเกบขอมลและวธปฏบต

ในการควบคมการเขาถงขอมลแตละประเภท ชนความลบทงการเขาถงโดยตรงและการเขาถงผานระบบสารสนเทศ รวมถงวธการท าลายขอมลแตละประเภทชนความลบ

๑๑.๒ เจาของขอมล จะตองมการทบทวนความเหมาะสมของสทธในการเขาถงขอมลของผใชงานเหลาน ปละ ๑ ครง เพอใหมนใจไดวาสทธตางๆ ทใหไวยงคงมความเหมาะสม

๑๑.๓ วธปฏบตในการควบคมการเขาถงขอมลแตละประเภทชนความลบทงการเขาถงโดยตรงและการเขาถงผานระบบสารสนเทศ ผดแลระบบตองก าหนดชอผใชงาน และรหสผาน เพอใชในการตรวจสอบตวตนจรงของผใชขอมลในแตละชนความลบขอมล

๑๑.๔ การรบสงขอมลส าคญผานเครอขายสาธารณะ ควรไดรบการเขารหสลบ (Encryption) ทเปนมาตรฐานสากล เชน SSL, VPN หรอ XML Encryption ฯลฯ

๑๒. นโยบายการควบคมการใชงานระบบจดหมายอเลกทรอนกส (E-mail) เพอควบคมการใชงานระบบจดหมายอเลกทรอนกส มแนวทางปฏบต ดงน ๑๒.๑ การใชงานส าหรบผใชงาน

๑. ผใชงานทตองใชงานจดหมายอเลกทรอนกสของมหาวทยาลยตองท าการ กรอกขอมลค าขอเขาใชงาน และยนค าขอกบเจาหนาทเพอด าเนนการก าหนดสทธชอผใชงานรายใหมและรหสผาน

๒. เมอไดรบรหสผานจะตองเปลยนรหสผานโดยทนท หลงจากการเขาสระบบเปนครงแรก ๓. ตองใชจดหมายอเลกทรอนกสของมหาวทยาลยเพอตดตองานของราชการเทานน ๔. ไมควรใชบญชจดหมายอเลกทรอนกสของผอนเพออาน รบสงขอความ ยกเวนจะไดรบการ

ยนยอมจากเจาของจดหมายอเลกทรอนกส และใหถอวาเจาของจดหมายอเลกทรอนกส เปนผรบผดชอบตอการใชงานตางๆ ในจดหมายอเลกทรอนกสของตน

๕. หลงจากการใชงานควรลงชอออกจากระบบทกครง เพอปองกนบคคลอนเขาใชงานระบบ (๗) ในกรณทตองการสงขอมลทเปนความลบ ผใชงานไมควรระบความส าคญของขอมลลงใน

หวขอจดหมายอเลกทรอนกส

Page 25: INFORMATION TECHNOLOGY - Rajamangala University of ... · -๒-“เครือข่ายไร้สาย” หมายความว่า เครือข่ายการสื่อสารแบบไร้สายแบบที่มีการให้บริการในเขตพื้นที่

-๒๔-

(๘) ควรตรวจสอบและลบจดหมายอเลกทรอนกสของตนเองทกวน เพอลดปรมาณการใชพนทของระบบจดหมายอเลกทรอนกสใหเหลอจ านวนนอยทสด

(๙) ผใชงานมหนาทจะตองรกษาชอผใชงาน และรหสผาน เปนความลบไมใหรวไหลไปถงบคคลทไมเกยวของ

(๑๐) ปฏบตตามวธการใชงานรหสผาน (Password Use) ทไดก าหนดไวอยางเครงครด ๑๒.๒ แนวทางการควบคมการใชงานส าหรบผดแลระบบ (System Administrator)

(๑) ก าหนดสทธเขาถงระบบจดหมายอเลกทรอนกสของมหาวทยาลยใหเหมาะสมกบการเขาใชบรการของผใชระบบ และหนาทความรบผดชอบของผใชงาน

(๒) ก าหนดจ านวนครงทยอมใหผใชงานใสรหสผาน (Password) ผดพลาดไดไมเกน ๕ ครง (๓) มการทบทวนสทธการเขาใชงานและปรบปรงบญชผใชงาน ปละ ๑ ครง หรอเมอมการ

เปลยนแปลง เชน มการลาออกหรอเปลยนแปลงต าแหนง โอนยาย หรอสนสดการจาง ฯลฯ (๔) มการควบคมการเขาถงระบบตามแนวทางการบรหารจดการเขาถงผใชงาน (User

Access Management) ทไดก าหนดไวอยางเครงครด

๑๓. นโยบายการใชงานระบบอนเทอรเนต (Internet) เพอควบคมการใชงานระบบอนเทอรเนต มแนวทางปฏบต ดงน

๑๓.๑ ก าหนดเสนทางการเชอมตอระบบคอมพวเตอรเพอการเขาใชงานระบบอนเทอรเนตทเชอมตอผานระบบรกษาความปลอดภยทมหาวทยาลยจดสรรไวเทานน หามผใชงานท าการเชอมตอระบบคอมพวเตอรผานชองทางอนทไมไดรบการอนมตจากผอ านวยการศนย

๑๓.๒ การใชงานเครองคอมพวเตอรจะตองมการตดตงโปรแกรมปองกนไวรส และท าการอดชองโหวกอนทจะท าการเชอมตอระบบอนเทอรเนตผานเวบบราวเซอร

๑๓.๓ ผใชงานตองเขาถงแหลงขอมลตามสทธทไดรบตามหนาทความรบผดชอบ เพอประสทธภาพของระบบเครอขายและความปลอดภยทางขอมลของมหาวทยาลย และตองไมใชระบบอนเทอรเนตของมหาวทยาลยเพอหาประโยชนในเชงพาณชยเปนการสวนบคคล และท าการเขาสเวบไซตทไมเหมาะสม เชน เวบไซตทขดตอศลธรรม เวบไซตทมเนอหาอนอาจกระทบกระเทอน หรอเปนภยตอความมนคงแหงชาต ศาสนา พระมหากษตรย หรอเวบไซตทเปนภยตอสงคม หรอละเมดสทธของผอน หรอขอมลทอาจกอความเสยหายใหกบมหาวทยาลย ฯลฯ

๑๓.๔ หามผใชงานเปดเผยขอมลส าคญทเปนความลบเกยวกบงานของมหาวทยาลยทยงไมไดประกาศอยางเปนทางการผานระบบอนเทอรเนต

๑๓.๕ ผใชงานตองระมดระวงการดาวนโหลดโปรแกรมใชงานจากระบบอนเทอรเนต ซงรวมถงการดาวนโหลดการปรบปรงโปรแกรมตางๆ ตองเปนไปโดยไมละเมดลขสทธหรอทรพยสนทางปญญา

๑๓.๖ ในการใชงานกระดานสนทนาอเลกทรอนกส ผใชงานตองไมเปดเผยขอมลทส าคญและเปนความลบของมหาวทยาลย ไมเสนอความคดเหน หรอใชขอความทยวย ใหราย จะท าใหเกดความเสอมเสยตอชอเสยงของมหาวทยาลย การท าลายความสมพนธกบบคลากรของหนวยงานอนๆ

๑๓.๗ หลงจากใชงานระบบอนเทอรเนตเสรจแลว ใหผใชงานท าการปดเวบบราวเซอรเพอปองกนการเขาใชงานโดยบคคลอนๆ

Page 26: INFORMATION TECHNOLOGY - Rajamangala University of ... · -๒-“เครือข่ายไร้สาย” หมายความว่า เครือข่ายการสื่อสารแบบไร้สายแบบที่มีการให้บริการในเขตพื้นที่

-๒๕-

๑๔. นโยบำยกำรใชงำนเครอขำยสงคมออนไลน (Social Network)

เพอควบคมการใชงานเครอขายสงคมออนไลนใหมความมนคงปลอดภย มแนวทางปฏบต ดงน

๑๔.๑ อนญาตใหใชงานเครอขายสงคมออนไลนในรปแบบและลกษณะตามทมหาวทยาลยได

ก าหนดไวเทานน

๑๔.๒ ผใชงานทใชงานเครอขายสงคมออนไลน ทอาจมผลกระทบกบมหาวทยาลย ผใชงานตองแจงตอศนยโดยเรวทสดเพอด าเนนการตามความเหมาะสม

๑๕. นโยบำยกำรจดเกบขอมลจรำจรคอมพวเตอร (Computer Traffic Log)

เพอใหขอมลจราจรทางคอมพวเตอร (Log) มความถกตองและสามารถระบถงตวบคคลได

มแนวทางปฏบต ดงน

๑๕.๑ จดเกบขอมลจราจรทางคอมพวเตอร (Log) ไวในสอเกบขอมลทสามารถรกษาความ

ครบถวน ถกตอง แทจรง ระบตวบคคลทเขาถงสอดงกลาวได และขอมลทใชในการจดเกบตองก าหนดชน

ความลบในการเขาถง

๑๕.๒ หามผดแลระบบแกไขขอมลทเกบรกษาไว ยกเวนผตรวจสอบระบบสารสนเทศของ

มหาวทยาลย (IT Auditor) หรอบคคลทมหาวทยาลยมอบหมาย

๑๕.๓ ก าหนดใหมการบนทกการท างานของระบบบนทกการปฏบต งานของผ ใช งาน (Application Logs) และบนทกรายละเอยดของระบบปองกนการบกรก เชน การบนทกการเขา -ออกระบบ บนทกการพยายามเขาสระบบ ฯลฯ เพอประโยชนในการใชตรวจสอบและตองเกบบนทกไว ๙๐ วน นบตงแตการใชงานสนสดลง

๑๕.๔ ตองมวธการปองกนการแกไขเปลยนแปลงบนทกตางๆ และจ ากดสทธการเขาถงบนทก

เหลานนใหเฉพาะบคคลทเกยวของเทานน

Page 27: INFORMATION TECHNOLOGY - Rajamangala University of ... · -๒-“เครือข่ายไร้สาย” หมายความว่า เครือข่ายการสื่อสารแบบไร้สายแบบที่มีการให้บริการในเขตพื้นที่

-๒๖-

สวนท ๒ นโยบายระบบสารสนเทศและระบบส ารองของสารสนเทศ

วตถประสงค

๑. เพอใหระบบสารสนเทศของมหาวทยาลย ใหบรการไดอยางตอเนอง ๒. เพอเปนมาตรฐาน แนวทางปฏบตและความรบผดชอบของผดแลระบบในการปฏบตงานใหกบ

มหาวทยาลยเปนไปอยางเครงครด และตระหนกถงความส าคญของการรกษาความมนคงปลอดภย

ผรบผดชอบ ๑. ศนยคอมพวเตอร ๒. สถานสงเสรมและพฒนาระบบสารสนเทศเพอการจดการ ๓. ผดแลระบบทไดรบมอบหมาย

อางองมาตรฐาน - มาตรฐานการรกษาความม นคงปลอดภยในการประกอบธรกรรมทาง อ เลกทรอนกส

(เวอรชน ๒.๕)

แนวปฏบต ๑. ตองพจารณาคดเลอกระบบสารสนเทศทส าคญและจดท าระบบส ารองทเหมาะสมใหอยในสภาพ

พรอมใชงาน ตามแนวทางตอไปน ๑.๑ มการจดท าบญชระบบสารสนเทศทมความส าคญทงหมดของมหาวทยาลย พรอมทงก าหนด

ระบบสารสนเทศทจะจดท าระบบส ารอง และจดท าระบบแผนเตรยมพรอมกรณฉกเฉน ปละ ๑ ครง ๑.๒ ก าหนดใหมการส ารองขอมลของระบบสารสนเทศแตละระบบ และก าหนดความถในการ

ส ารองขอมล หากระบบใดทมการเปลยนแปลงบอย ควรก าหนดใหมความถในการส ารองขอมลมากขนโดยใหมวธการส ารองขอมล ดงน

- ก าหนดประเภทของขอมลทตองท าการส ารองเกบไว และความถในการส ารอง - ก าหนดรปแบบส ารองขอมลใหเหมาะสมกบขอมลทจะท าการส ารอง เชน การส ารองขอมล

แบบเตม (Full Backup) หรอการส ารองขอมลแบบสวนตาง (Incremental Backup) ฯลฯ - บนทกขอมลทเกยวของกบกจกรรมการส ารองขอมล ไดแก ผด าเนนการ วน/เวลา ชอขอมล

ทส ารอง ส าเรจ/ไมส าเรจ เปนตน - ตรวจสอบขอมลทงหมดระบบวามการส ารองขอมลไวอยางครบถวน เชน ซอฟตแวรตางๆ

ทเกยวของกบระบบสารสนเทศ ขอมลคอนฟกกเรชน (Configuration) ขอมลในฐานขอมล ฯลฯ - จดเกบขอมลทส ารองนนในสอเกบขอมล โดยมการพมพชอบนสอเกบส ารองกบมหาวทยาลย

ควรหางกนเพยงพอเพอไมใหสงผลกระทบตอขอมลทจดเกบไวนอกสถานทนน ในกรณทเกดภยพบตกบมหาวทยาลย เชน ไฟไหม น าทวม ฯลฯ

Page 28: INFORMATION TECHNOLOGY - Rajamangala University of ... · -๒-“เครือข่ายไร้สาย” หมายความว่า เครือข่ายการสื่อสารแบบไร้สายแบบที่มีการให้บริการในเขตพื้นที่

-๒๗-

- ด าเนนการปองกนทางกายภาพอยางเพยงพอตอสถานทส ารองทใชจดเกบขอมลนอกสถานท - ทดสอบบนทกขอมลส ารองอยางสม าเสมอ เพอตรวจสอบวายงคงสามารถเขาถงขอมลได

ตามปกต - จดท าขนตอนปฏบตส าหรบการกคนขอมลทเสยหายจากขอมลทไดส ารองเกบไว - ตรวจสอบและทดสอบประสทธผลของขนตอนปฏบตในการกคนขอมลอยางสม าเสมอ - ก าหนดใหมการใชงานการเขารหสขอมลกบขอมลลบทไดส ารองเกบไว

๒. ตองจดท าแผนเตรยมความพรอมกรณฉกเฉนในกรณทไมสามารถด าเนนการดวยวธการทางอเลกทรอนกส เพอใหสามารถใชงานสารสนเทศไดตามปกตอยางตอเนอง โดยตองปรบปรงแผนเตรยมความพรอมกรณฉกเฉนดงกลาว ใหสามารถปรบใชไดอยางเหมาะสมและสอดคลองกบการใชงานตามภารกจ ตามแนวทางตอไปน

๒.๑ มการจดท าแผนเตรยมความพรอมกรณฉกเฉนในกรณทไมสามารถด าเนนการดวยวธการทางอเลกทรอนกส โดยมรายละเอยด ดงน

(๑) มการก าหนดหนาทและความรบผดชอบของผทเกยวของทงหมด (๒) มการประเมนความเสยงส าหรบระบบทมความส าคญเหลานน และก าหนดมาตรการ

เพอลดความเสยงเหลานน เชน ไฟดบเปนระยะเวลานาน ไฟไหม แผนดนไหว การชมนมประทวงท าใหไมสามารถเขามาใชระบบงานได ฯลฯ

(๓) มการก าหนดขนตอนปฏบตในการกคนระบบสารสนเทศ (๔) มการก าหนดขนตอนปฏบตในการส ารองขอมล และทดสอบกคนขอมลทส ารองไว มการ

ก าหนดชองทางในการตดตอกบผใหบรการภายนอก เชน ผใหบรการเครอขายฮารดแวร ซอฟตแวร ฯลฯ เมอเกดเหตจ าเปนทจะตองตดตอ

(๕) การสรางความตระหนก หรอใหความรแกเจาหนาทผทเกยวของกบขนตอนการปฏบตหรอ สงทท าเมอเกดเหตเรงดวน

๒.๒ มการทบทวนเพอปรบปรงแผนเตรยมความพรอมกรณฉกเฉนดงกลาว ใหสามารถปรบใชไดอยางเหมาะสม และสอดคลองกบการใชงานตามภารกจ ปละ ๑ ครง

๓. ตองมการก าหนดหนาทและความรบผดชอบของบคลากรซงดแลรบผดของระบบสารสนเทศ ระบบส ารอง และการจดท าแผนเตรยมพรอมกรณฉกเฉนในกรณทไมสามารถด าเนนการดวยวธการทางอเลกทรอนกส

๔. ตองมการทดสอบสภาพพรอมใชงานระบบสารสนเทศ ระบบส ารอง และระบบแผนเตรยมพรอมกรณฉกเฉน ปละ ๑ ครง

๕. มการทบทวนระบบสารสนเทศ ระบบส ารอง และระบบแผนเตรยมพรอมกรณฉกเฉน ทเพยงพอตอสภาพความเสยงทยอมรบไดของแตละหนวยงานในมหาวทยาลย ปละ ๑ ครง

Page 29: INFORMATION TECHNOLOGY - Rajamangala University of ... · -๒-“เครือข่ายไร้สาย” หมายความว่า เครือข่ายการสื่อสารแบบไร้สายแบบที่มีการให้บริการในเขตพื้นที่

-๒๘-

สวนท ๓ นโยบายการตรวจสอบและประเมนความเสยงดานสารสนเทศ

วตถประสงค

๑. เพอใหมการตรวจสอบและประเมนความเสยงของระบบสารสนเทศ ๒. เพอเปนการปองกนและลดระดบความเสยงทอาจจะเกดขนกบระบบสารสนเทศ

ผรบผดชอบ ๑. ศนยคอมพวเตอร ๒. หนวยตรวจสอบภายใน (Internal Auditing Unit) ๓. ผดแลระบบทไดรบมอบหมาย

อางองมาตรฐาน - มาตรฐานการรกษาความมนคงปลอดภยในการประกอบธรกรรมทางอเลกทรอนกส (เวอรชน ๒.๕)

แนวปฏบต ๑. มการตรวจสอบและประเมนความเสยงดานสารสนเทศ โดยมเนอหา ดงน

๑.๑ ตรวจสอบและประเมนความเสยงดานสารสนเทศทอาจเกดขนกบระบบสารสนเทศ (Information Security Audit and Assessment) ปละ ๑ ครง

๑.๒ ตรวจสอบและประเมนความเสยงทด าเนนการโดยหนวยตรวจสอบภายใน เพอใหมหาวทยาลยไดทราบถงระดบความเสยงและระดบความมนคงปลอดภยสารสนเทศ

๒. มแนวทางในการตรวจสอบและประเมนความเสยงทตองค านงถง ดงน ๒.๑ มการทบทวนกระบวนการบรหารจดการความเสยง ปละ ๑ ครง ๒.๒ มการทบทวนนโยบายและมาตรการในการรกษาความมนคงปลอดภยดานสารสนเทศ ปละ ๑ ครง ๒.๓ มการตรวจสอบและประเมนความเสยง และใหจดท ารายงานพรอมขอเสนอแนะ ๒.๔ มมาตรการในการตรวจประเมนระบบสารสนเทศ ดงน

(๑) ควรก าหนดใหผตรวจสอบสามารถเขาถงขอมลทจ าเปนตองตรวจสอบไดแบบอานอยางเดยว (๒) ในกรณทจ าเปนตองเขาถงขอมลในแบบอนๆ ใหสรางส าเนาส าหรบขอมลนน เพอใหผ

ตรวจสอบใชงาน รวมทงควรท าลายหรอลบโดยทนททตรวจสอบเสรจ หรอตองจดเกบไวโดยมการปองกนเปนอยางด

(๓) ควรก าหนดใหมการระบและจดสรรทรพยากรทจ าเปนตองใชในการตรวจสอบระบบบรหารจดการความมนคงปลอดภย

(๔) ควรก าหนดใหมการเฝาระวงการเขาถงระบบโดยผตรวจสอบ รวมทง บนทกขอมล Log แสดงการเขาถงนน ซงรวมถงวนและเวลาทเขาถงระบบงานทส าคญๆ

Page 30: INFORMATION TECHNOLOGY - Rajamangala University of ... · -๒-“เครือข่ายไร้สาย” หมายความว่า เครือข่ายการสื่อสารแบบไร้สายแบบที่มีการให้บริการในเขตพื้นที่

-๒๙-

(๕) ในกรณทมเครองมอส าหรบการตรวจประเมนระบบสารสนเทศ ควรก าหนดใหแยกการตดตงเครองมอทใชในการตรวจสอบ ออกจากระบบใหบรการจรงหรอระบบทใชในการพฒนา และมการจดเกบปองกนเครองมอนนจากการเขาถงโดยไมไดรบอนญาต

๓. มการรายงานผลการประเมนความเสยงดานสารสนเทศ ปละ ๑ ครง ตอคณะกรรมการเทคโนโลยสารสนเทศและการสอสาร และแจงคณะกรรมการบรหารความเสยงของมหาวทยาลยเพอด าเนนการตอไป

๔. มการแสดงผลการตรวจสอบตามนโยบายการรกษาความมนคงปลอดภยดานสารสนเทศเปนสวนหนงของการรายงานผลการตดตาม ตรวจสอบ และประเมนผลงาน ดานเทคโนโลยสารสนเทศและการสอสาร

Page 31: INFORMATION TECHNOLOGY - Rajamangala University of ... · -๒-“เครือข่ายไร้สาย” หมายความว่า เครือข่ายการสื่อสารแบบไร้สายแบบที่มีการให้บริการในเขตพื้นที่

-๓๐-

สวนท ๔ นโยบายการสรางความรความเขาใจในการใชระบบสารสนเทศและระบบคอมพวเตอร

วตถประสงค

๑. เพอสรางความรความเขาใจในการใชงานระบบสารสนเทศและระบบคอมพวเตอรใหกบผใชงานของมหาวทยาลย

๒. เพอเปนการปองกนการกระท าผดทเกดจากการรเทาไมถงการณของผใชงาน ๓. เพอใหการใชงานระบบสารสนเทศและระบบคอมพวเตอร มความมนคงปลอดภย

ผรบผดชอบ ๑. ศนยคอมพวเตอร ๒. สถานสงเสรมและพฒนาระบบสารสนเทศเพอการจดการ ๓. ผดแลระบบทไดรบมอบหมาย

อางองมาตรฐาน - มาตรฐานการรกษาความม นคงปลอดภยในการประกอบธรกรรมทาง อ เลกทรอนกส

(เวอรชน ๒.๕)

แนวปฏบต ๑. จดใหมการฝกอบรมการใชงานระบบสารสนเทศของมหาวทยาลย ปละ ๑ ครง หรอทกครงทมการ

ปรบปรงและเปลยนแปลงการใชงานของระบบสารสนเทศ ๒. จดท าคมอการใชงานระบบสารสนเทศ และมการเผยแพรทางเวบไซตของมหาวทยาลย ๓. จดฝกอบรมแนวปฏบตตามนโยบายอยางสม าเสมอ โดยการจดฝกอบรมอาจใชวธการเสรมเนอหา

แนวปฏบตตามแนวนโยบายเขากบหลกสตรอบรมตางๆ ตามแผนการฝกอบรมของมหาวทยาลย ๔. จดสมมนาเพอเผยแพรแนวนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศและ

สรางความตระหนกถงความส าคญของการปฏบตใหกบผใชงาน โดยการจดสมมนาควรจดปละไมนอยกวา ๑ ครง โดยอาจจดรวมกบการสมมนาอนดวยกได และอาจเชญวทยากรจากภายนอกทมประสบการณดานการรกษาความมนคงปลอดภยดานสารสนเทศมาถายทอดใหความร

๕. ตดประกาศประชาสมพนธ ใหความรเกยวกบแนวปฏบตในลกษณะเกรดความร หรอขอระวงในรปแบบทสามารถเขาใจและน าไปปฏบตไดงายโดยมการปรบปรงความรอยเสมอ

๖. ระดมการมสวนรวมและลงสภาคปฏบตดวยการก ากบ ตดตามประเมนผล และส ารวจความตองการของผใชงาน

Page 32: INFORMATION TECHNOLOGY - Rajamangala University of ... · -๒-“เครือข่ายไร้สาย” หมายความว่า เครือข่ายการสื่อสารแบบไร้สายแบบที่มีการให้บริการในเขตพื้นที่

ดานเทคโนโลยสารสนเทศแนวนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภย

ของมหาว�ทยาลยเทคโนโลยราชมงคลธญบร� พ.ศ. ๒๕๕๓

INFORMATION TECHNOLOGY SECURITY POLICY


Bachelor of IT (Game Technology)...Bachelor of IT (Game Technology) Faculty of Information and Communication Technology Universiti Teknikal Malaysia Melaka Durian Tunggal, MelakaComputer

Bachelor of IT (Game Technology)...Bachelor of IT (Game Technology) Faculty of Information and Communication Technology Universiti Teknikal Malaysia Melaka Durian Tunggal, MelakaComputer

Information technology — Business Operational View — IT ...ed1.0}en.pdf · Information technology, Subcommittee SC 32, Data management and interchange. ISO/IEC 15944 consists

Information technology — Business Operational View — IT ...ed1.0}en.pdf · Information technology, Subcommittee SC 32, Data management and interchange. ISO/IEC 15944 consists

Information Technology (IT) Master of Engineering€¦ · Information Technology (IT) Master of Engineering Welcome to Frankfurt University of Applied Sciences Fachbereich 2 Informatik

Information Technology (IT) Master of Engineering€¦ · Information Technology (IT) Master of Engineering Welcome to Frankfurt University of Applied Sciences Fachbereich 2 Informatik

CHODAI DOSO 06 CHODAIB— Information DOSO … › alumni › newsletter › data › newsletter...CHODAI DOSO 06 CHODAIB— Information DOSO Naaasaki University Alumni Association

CHODAI DOSO 06 CHODAIB— Information DOSO … › alumni › newsletter › data › newsletter...CHODAI DOSO 06 CHODAIB— Information DOSO Naaasaki University Alumni Association

National Institute of Electronics & Information Technology ...

National Institute of Electronics & Information Technology ...

Sustainable Manufacturingfile.vogel.com.cn/2014/1111/1401126488.pdfChongqing University, ^Institute of Manufacturing Engineering _ Hefei University of Technology, Green Design and

Sustainable Manufacturingfile.vogel.com.cn/2014/1111/1401126488.pdfChongqing University, ^Institute of Manufacturing Engineering _ Hefei University of Technology, Green Design and

Der Forschungscampus. 20.02.2014 - Folie 2 Information technology Materials Engineering Bio- technology Key Technologies - 21st Century.

Der Forschungscampus. 20.02.2014 - Folie 2 Information technology Materials Engineering Bio- technology Key Technologies - 21st Century.

Zufallsexperimente, Zufallsvariable und Stochastische Prozesse · Zufallsexperimente, Zufallsvariable und Stochastische Prozesse Information Technology · University of Ulm 3 Sind

Zufallsexperimente, Zufallsvariable und Stochastische Prozesse · Zufallsexperimente, Zufallsvariable und Stochastische Prozesse Information Technology · University of Ulm 3 Sind

Module Handbook - PORTAL MOBILNOSTI …mobility.ftn.uns.ac.rs/.../03/...Master_IT_Modultabelle_24112015ST.pdfModule Handbook Information Technology ... - Yuan Jiang, "A Practical Guide

Module Handbook - PORTAL MOBILNOSTI …mobility.ftn.uns.ac.rs/.../03/...Master_IT_Modultabelle_24112015ST.pdfModule Handbook Information Technology ... - Yuan Jiang, "A Practical Guide

Externe Helfer bei der digitalen Transformation · Technology“, OT, und Information Technology, IT, immer wichtiger. Dafür braucht es spezielles Integrations-Know-how. com! professional:

Externe Helfer bei der digitalen Transformation · Technology“, OT, und Information Technology, IT, immer wichtiger. Dafür braucht es spezielles Integrations-Know-how. com! professional:

Masterstudiengang International Information Systems · university, do their master’s thesis in cooperation with a foreign university or with a company located outside of Germany.

Masterstudiengang International Information Systems · university, do their master’s thesis in cooperation with a foreign university or with a company located outside of Germany.

Data Integration and Analysis I: Medical Information Systems › bitstream › handle › 1721.1 › ...Biomedical Information Technology 2.771J BEH.453J HST.958J Spring 2005 Lecture

Data Integration and Analysis I: Medical Information Systems › bitstream › handle › 1721.1 › ...Biomedical Information Technology 2.771J BEH.453J HST.958J Spring 2005 Lecture

BACKEND AS A SERVICE - Information Technology Firebase.pdf · • ภายในเครื่องมือถือAndroid เรียกว่า local database ... iOS, Java,

BACKEND AS A SERVICE - Information Technology Firebase.pdf · • ภายในเครื่องมือถือAndroid เรียกว่า local database ... iOS, Java,

Wissenschaftsstandort | 2016 Daten & Analysen zum ...€¦ · die Egypt-Japan University of Science and Technology, die Nile University oder Zewail City und technische Institute und

Wissenschaftsstandort | 2016 Daten & Analysen zum ...€¦ · die Egypt-Japan University of Science and Technology, die Nile University oder Zewail City und technische Institute und

Information Engineering - Department of Computer and Information Science at the University of Constance Dieses okument wird unter folgender Creative-Commons-Lizenz.

Information Engineering - Department of Computer and Information Science at the University of Constance Dieses okument wird unter folgender Creative-Commons-Lizenz.

Prüfungs- und Studienordnung University of Applied ... · der Hochschule Wismar University of Applied Sciences: Technology, Business and Design . Vom 19. Juli 2013 ... Anlage 3 Diploma

Prüfungs- und Studienordnung University of Applied ... · der Hochschule Wismar University of Applied Sciences: Technology, Business and Design . Vom 19. Juli 2013 ... Anlage 3 Diploma

Information technology — Open Systems Interconnection

Information technology — Open Systems Interconnection

Information Engineering - Department of Computer and Information Science at the University of Constance Rainer Kuhlen FB Informatik und Informationswissenschaft.

Information Engineering - Department of Computer and Information Science at the University of Constance Rainer Kuhlen FB Informatik und Informationswissenschaft.

InformatIon · 2019-05-15 · Udon Thani Rajabhat University InformatIon สารสนเทศมหาวิทยาลัยราชภัฏอุดรธานี ปี

InformatIon · 2019-05-15 · Udon Thani Rajabhat University InformatIon สารสนเทศมหาวิทยาลัยราชภัฏอุดรธานี ปี

XML in der Praxis: Electronic Bill Presentment (EBP) Institut für Wirtschaftsinformatik J. W. Goethe-University J. W. Goethe University Institute of Information.

XML in der Praxis: Electronic Bill Presentment (EBP) Institut für Wirtschaftsinformatik J. W. Goethe-University J. W. Goethe University Institute of Information.