(๔) ก�ำหนดขน้ั ตอนปฏบิ ตั ิในการส�ำรองขอ้ มูลและทดสอบกคู้ ืนขอ้ มูลทสี่ �ำรองไว้ (๕) ก�ำหนดช่องทางในการติดต่อกับผู้ให้บริการภายนอก เช่น ผู้ให้บริการเครือข่ายฮาร์ดแวร์ ซอฟตแ์ วร์ เปน็ ต้น เม่อื เกิดเหตุจ�ำเปน็ ทีจ่ ะตอ้ งติดตอ่ (๖) การสร้างความตระหนักหรือให้ความรู้แก่เจ้าหน้าท่ีผู้ท่ีเก่ียวข้องกับข้ันตอนการปฏิบัติ หรอื สง่ิ ที่ต้องท�ำเมอ่ื เกิดเหตุเรง่ ดว่ น เป็นต้น ๓.๒ ทบทวนเพื่อปรับปรุงแผนเตรียมความพร้อมกรณีฉุกเฉินดังกล่าวให้สามารถปรับใช้ได้ อย่างเหมาะสมและสอดคล้องกับการใชง้ านตามภารกจิ อยา่ งน้อยปีละ ๑ ครง้ั ๔. หนา้ ทแี่ ละความรบั ผดิ ชอบของบคุ ลากรซง่ึ ดแู ลรบั ผดิ ชอบระบบสารสนเทศ ระบบส�ำรองและการจดั ท�ำแผน เตรยี มพรอ้ มกรณที ไี่ มส่ ามารถด�ำเนนิ การดว้ ยวธิ กี ารทางอเิ ลก็ ทรอนกิ ส์ การจดั องคก์ รปฏบิ ตั กิ ารฉกุ เฉนิ และก�ำหนด ผู้รับผดิ ชอบในระบบสารสนเทศกรมการพัฒนาชุมชนเม่อื เกดิ เหตุฉกุ เฉิน ดังน้ี ๔.๑ ระดับนโยบาย ไดแ้ ก่ (๑) ผู้บริหารเทคโนโลยสี ารสนเทศระดบั สูง (Chief Information Officer: CIO) (๒) ผู้อ�ำนวยการศนู ย์สารสนเทศเพ่อื การพฒั นาชมุ ชน รับผดิ ชอบ ในการก�ำหนดนโยบาย ให้ข้อเสนอแนะ ค�ำปรึกษาตลอดจน ตดิ ตาม ก�ำกับ ดูแล ควบคมุ ตรวจสอบ เจ้าหน้าที่ในระดบั ปฏบิ ตั ิ ผรู้ บั ผดิ ชอบ ๔.๒ ระดับอ�ำนวยการ ไดแ้ ก่ ผู้อ�ำนวยการศนู ย์สารสนเทศเพ่ือการพฒั นาชุมชน รับผดิ ชอบ - เปน็ ผู้บังคบั บญั ชาสูงสดุ ในการควบคมุ และปฏิบตั ิการฉุกเฉินระบบสารสนเทศ - มอี �ำนาจสั่งการให้ทกุ หนว่ ยหยุดหรอื ปฏิบตั ิการระงบั เหตุฉกุ เฉินที่เกดิ ขึน้ ในระบบสารสนเทศ กรมการพัฒนาชมุ ชน - ก�ำหนดจุดปลอดภัยส�ำหรับบคุ คลและวสั ดอุ ุปกรณต์ า่ งๆ ในสถานที่ทเี่ หมาะสม - ประชุมหารอื กับผู้จัดการฐานขอ้ มลู - ประเมนิ สถานการณแ์ ละส่งั การใหป้ รับเปลย่ี นแผนฯ ตามความเหมาะสม - รายงานขอ้ มูลและผลการปฏิบัติงานใหผ้ ู้บริหารเทคโนโลยีสารสนเทศระดบั สงู (CIO) ทราบ ๔.๓ ระดับประสานงานเหตุฉุกเฉิน ไดแ้ ก่ (๑) ผอู้ �ำนวยการกลมุ่ งานพฒั นาระบบเทคโนโลยี (๒) ผูอ้ �ำนวยการกลุ่มงานพฒั นาระบบเครอื ข่าย รับผดิ ชอบ - วเิ คราะหส์ ถานการณใ์ นทเี่ กดิ เหตแุ ลว้ แจง้ เหตตุ อ่ ผอู้ �ำนวยการศนู ยส์ ารสนเทศเพอ่ื การพฒั นาชมุ ชน เพ่ือระงับเหตุฉุกเฉนิ - มอี �ำนาจสง่ั การใหใ้ ชแ้ ผนปฏบิ ตั กิ ารฉกุ เฉนิ ขนั้ ตน้ จนกวา่ ผอู้ �ำนวยศนู ยส์ ารสนเทศเพอ่ื การพฒั นาชมุ ชน จะมาถงึ ทเ่ี กดิ เหตุ - มอี �ำนาจสง่ั การแทนผอู้ �ำนวยการศนู ยส์ ารสนเทศเพอ่ื การพฒั นาชมุ ชน ในกรณที ผ่ี อู้ �ำนวยการ ศูนยส์ ารสนเทศเพอ่ื การพัฒนาชุมชน ไมส่ ามารถส่งั การได้ - ส่งั การใหเ้ จา้ หนา้ ท่ีผเู้ กีย่ วข้องมาปฏิบตั ิการตามแผนฯ 51
- พิจารณาขั้นตอนและวิธีการป้องกนั ชวี ติ ทรพั ย์สนิ ให้เสียหายนอ้ ยทสี่ ดุ - ก�ำหนดอตั ราก�ำลังพล วัสดอุ ุปกรณ์และเครื่องมือจ�ำเปน็ ตอ้ งขอเพม่ิ เติมในอนาคต ๔.๔ ระดับหวั หน้าส่ังการ ณ ทเ่ี กดิ เหตุ (๑) ผอู้ �ำนวยการกลุ่มงานพัฒนาระบบเครือขา่ ย (๒) ผอู้ �ำนวยการกล่มุ งานระบบสารสนเทศชุมชน (๓) ผอู้ �ำนวยการกลมุ่ งานพฒั นาระบบเทคโนโลยี รับผดิ ชอบ - ก�ำกบั ดแู ล การปฏบิ ตั งิ านของผปู้ ฏบิ ตั ิ ศกึ ษา ทบทวน วางแผนตดิ ตาม การบรหิ ารความเสยี่ ง และระบบรักษาความปลอดภยั ฐานขอ้ มลู และเทคโนโลยสี ารสนเทศ - แจง้ เหตฉุ กุ เฉนิ และเคลอื่ นยา้ ยตนเอง ผอู้ น่ื ตลอดจนทรพั ยส์ นิ ออกจากทเ่ี กดิ เหตไุ ปเกบ็ รกั ษา ณ จุดปลอดภัยโดยเร็ว - ให้ข้อมูลเก่ียวกับสถานที่เกิดเหตุแก่ผู้อ�ำนวยการศูนย์สารสนเทศเพ่ือการพัฒนาชุมชน และเจา้ หน้าทีป่ ระสานงานรกั ษาความปลอดภยั ทราบ - น�ำทรัพย์สินท่ีขนย้ายออกมาเก็บเข้าท่ีโดยต้องตรวจสภาพและรายงานเสนอผู้บังคับบัญชา ตามล�ำดบั ขนั้ ๔.๕ ระดับทีมงานท่เี กีย่ วขอ้ งกบั แผน (๑) ทมี รบั ผดิ ชอบดแู ลบ�ำรงุ รกั ษาขอ้ มลู สารสนเทศ มหี นา้ ทเี่ ฝา้ ระวงั และตรวจสอบ บ�ำรงุ รกั ษา แกไ้ ขขอ้ บกพรอ่ งตา่ ง ๆ ของขอ้ มลู พนื้ ฐาน รวมทงั้ การท�ำส�ำเนาและกคู้ นื ขอ้ มลู พน้ื ฐาน ผอู้ �ำนวยการกลมุ่ งานขอ้ มลู พ้นื ฐานการพัฒนาชนบทรับผดิ ชอบก�ำกบั ดแู ล (๒) ทมี รบั ผดิ ชอบดแู ลระบบโปรแกรมสารสนเทศ มหี นา้ ทเี่ ฝา้ ระวงั และตรวจสอบบ�ำรงุ รกั ษา แกไ้ ข ข้อบกพร่องต่างๆ ของระบบโปรแกรมสารสนเทศ รวมทั้งท�ำส�ำเนาและกู้คืนฐานข้อมูลสารสนเทศ ผู้อ�ำนวยการ กล่มุ งานระบบสารสนเทศชุมชนรบั ผิดชอบก�ำกบั ดูแล (๓) ทมี รบั ผดิ ชอบดแู ลระบบเทคโนโลยคี อมพวิ เตอร์ มหี นา้ ทเ่ี ฝา้ ระวงั และตรวจสอบบ�ำรงุ รกั ษา แกไ้ ขขอ้ บกพรอ่ งตา่ งๆ ของระบบเทคโนโลยคี อมพวิ เตอร์ รวมทง้ั ด�ำเนนิ ตามแผนรองรบั สถานการณฉ์ กุ เฉนิ ผอู้ �ำนวยการ กล่มุ งานพัฒนาระบบเทคโนโลยีรบั ผิดชอบก�ำกบั ดูแล (๔) ทมี รบั ผดิ ชอบดแู ลระบบเครอื ขา่ ย มหี นา้ ทเี่ ฝา้ ระวงั และตรวจสอบบ�ำรงุ รกั ษา แกไ้ ขขอ้ บกพร่องต่างๆ ของระบบเครือข่าย รวมท้ังการท�ำส�ำเนาและกู้คืนฐานข้อมูลบนระบบคอมพิวเตอร์แม่ข่าย ผอู้ �ำนวยการกลมุ่ งานพัฒนาระบบเครอื ข่ายรับผดิ ชอบก�ำกบั ดูแล ๕. ทดสอบและทบทวนสภาพพรอ้ มใชง้ านของระบบสารสนเทศ ระบบส�ำรองและระบบแผนเตรยี มพรอ้ ม กรณีฉกุ เฉนิ สภาพความเสี่ยงท่ียอมรบั ได้ของแต่ละหน่วยงาน อย่างนอ้ ยปีละ ๑ คร้ัง 52
ส่วนท่ี ๓ และประเมนิ ควานมโเยสบี่ยางยดก้าานรสตารรวสจนสเทอบศ วตั ถปุ ระสงค์ ๑. เพอื่ ให้มีการตรวจสอบและประเมินความเสีย่ งของระบบสารสนเทศ ๒. เพ่ือเป็นการปอ้ งกนั และลดระดับความเสย่ี งทอ่ี าจจะเกดิ ขน้ึ กับระบบสารสนเทศ ผ้รู ับผิดชอบ ๑. ผูบ้ รหิ ารเทคโนโลยีสารสนเทศระดบั สูง (CIO) กรมการพัฒนาชมุ ชน ๒. ผอู้ �ำนวยการศนู ยส์ ารสนเทศเพ่ือการพฒั นาชุมชน กรมการพฒั นาชมุ ชน ๓. ผู้ตรวจสอบภายใน (Internal Auditor) หรือผู้ตรวจสอบจากภายนอก (External Auditor) ๔. ผดู้ ูแลระบบเครอื ขา่ ยคอมพวิ เตอรท์ ี่ได้รบั มอบหมาย อา้ งองิ มาตรฐาน - มาตรฐานการรกั ษาความมัน่ คงปลอดภัยในการประกอบธรุ กรรมทางอเิ ลก็ ทรอนกิ ส์ (เวอร์ชั่น ๒.๕) แนวปฏบิ ตั ิ ๑. ตรวจสอบและประเมินความเสี่ยงดา้ นสารสนเทศ โดยมีเนอื้ หาอย่างน้อย ดังน้ี ๑.๑ ตรวจสอบและประเมนิ ความเสยี่ งดา้ นสารสนเทศทอี่ าจเกดิ ขน้ึ กบั ระบบสารสนเทศ (Information Security Audit and Assessment) อยา่ งน้อยปีละ ๑ ครั้ง ๑.๒ ตรวจสอบและประเมินความเสี่ยงท่ีด�ำเนินการโดยผู้ตรวจสอบภายในของหน่วยงาน (Internal Auditor) หรอื โดยผตู้ รวจสอบอสิ ระดา้ นความมนั่ คงปลอดภยั จากภายนอก (External Auditor) เพอื่ ใหห้ นว่ ยงาน ไดท้ ราบถึงระดบั ความเสย่ี งและระดับความม่นั คงปลอดภยั สารสนเทศ ๒. แนวทางในตรวจสอบและประเมินความเสย่ี งท่ตี ้องค�ำนงึ ถึง อยา่ งน้อยดงั นี้ ๒.๑ ใหท้ บทวนกระบวนการบริหารจดั การความเส่ียง อย่างน้อยปลี ะ ๑ คร้งั 53
๒.๒ ใหท้ บทวนนโยบายและมาตรการในการรักษาความม่ันคงปลอดภยั ด้านสารสนเทศ อยา่ งน้อย ปลี ะ ๑ ครง้ั ๒.๓ ให้ตรวจสอบและประเมินความเสี่ยงความม่ันคงปลอดภัยด้านสารสนเทศ เพ่ือการธ�ำรงไว้ ซง่ึ ความลบั (Confidentiality) ความถูกตอ้ ง (Integrity) ความพรอ้ มใช้ (Availability) และให้จดั ท�ำรายงาน พร้อมขอ้ เสนอแนะต่อผู้บรหิ าร อยา่ งนอ้ ยปลี ะ ๑ คร้ัง ๒.๔ มาตรการในการตรวจประเมินระบบสารสนเทศ อย่างนอ้ ย ดงั นี้ (๑) ก�ำหนดให้ผ้ตู รวจสอบสามารถเขา้ ถึงขอ้ มูลที่จ�ำเปน็ ตอ้ งตรวจสอบได้แบบอา่ นได้อย่างเดยี ว (๒) ในกรณีทจ่ี �ำเปน็ ต้องเขา้ ถึงขอ้ มลู ในแบบอืน่ ๆ ให้สร้างส�ำเนาส�ำหรับข้อมูลนัน้ เพอ่ื ให้ผู้ตรวจสอบ ใชง้ าน รวมทง้ั ควรท�ำลายหรือลบโดยทนั ทที ต่ี รวจสอบเสรจ็ หรอื ตอ้ งจดั เกบ็ ไวโ้ ดยมีการปอ้ งกันเปน็ อยา่ งดี (๓) ก�ำหนดใหร้ ะบแุ ละจดั สรรทรพั ยากรทจี่ �ำเปน็ ตอ้ งใชใ้ นการตรวจสอบระบบบรหิ ารจดั การ ความมน่ั คงปลอดภยั (๔) ให้เฝ้าระวังการเข้าถึงระบบโดยผู้ตรวจสอบ รวมท้ังบันทึกข้อมูลจราจรทางคอมพิวเตอร์ (Log) แสดงการเขา้ ถึงน้นั ซง่ึ รวมถึงวนั และเวลาทเ่ี ข้าถึงระบบงานท่ีส�ำคัญ ๆ จดั เก็บข้อมลู ตามขอ้ ๑๔ (๕) ในกรณีทม่ี เี คร่อื งมือส�ำหรบั การตรวจประเมนิ ระบบสารสนเทศ ควรก�ำหนดให้แยกการติดตั้ง เครอ่ื งมอื ทใ่ี ชใ้ นการตรวจสอบ ออกจากระบบใหบ้ รกิ ารจรงิ หรอื ระบบทใี่ ชใ้ นการพฒั นาและมกี ารจดั เกบ็ ปอ้ งกนั เคร่อื งมอื นัน้ จากการเข้าถึงโดยไมไ่ ดร้ บั อนญุ าต 54
ส่วนท่ี ๔ ในการใชร้ ะบนบโสยาบราสยนกเาทรศสแรลา้ งะคระวบามบรคู้คอวมาพมิวเขเตา้ อใจร์ วัตถปุ ระสงค์ ๑. เพื่อสร้างความรู้ความเขา้ ใจในการใชง้ านระบบสารสนเทศและระบบคอมพิวเตอรใ์ หก้ ับผูใ้ ช้งานของ กรมการพฒั นาชมุ ชน ๒. เพื่อเปน็ การป้องกันการกระท�ำผดิ ทเ่ี กิดจากการรเู้ ทา่ ไม่ถงึ การณข์ องผูใ้ ช้งาน ๓. เพื่อให้การใช้งานระบบสารสนเทศและระบบคอมพวิ เตอรม์ คี วามมนั่ คงปลอดภัย ผรู้ ับผิดชอบ ๑. ผบู้ รหิ ารเทคโนโลยสี ารสนเทศระดบั สูง (CIO) กรมการพัฒนาชมุ ชน ๒. ผ้อู �ำนวยการศูนย์สารสนเทศเพ่อื การพฒั นาชมุ ชน กรมการพัฒนาชุมชน ๓. ผู้อ�ำนวยการสถาบนั การพัฒนาชมุ ชน ๔. ผดู้ ูแลระบบเครอื ข่ายคอมพวิ เตอรท์ ่ไี ด้รบั มอบหมาย อ้างอิงมาตรฐาน - มาตรฐานการรักษาความมน่ั คงปลอดภัยในการประกอบธรุ กรรมทางอเิ ลก็ ทรอนกิ ส์ (เวอร์ช่นั ๒.๕) แนวปฏบิ ตั ิ ๑. จัดฝึกอบรมการใช้งานระบบสารสนเทศของหน่วยงาน อย่างน้อยปีละ ๑ ครั้ง หรือทุกคร้ังที่มี การปรบั ปรุงและเปลยี่ นแปลงการใชง้ านของระบบสารสนเทศ ๒. จัดท�ำค่มู อื การใช้งานระบบสารสนเทศและมีการเผยแพรท่ างเวบ็ ไซตข์ องหนว่ ยงาน ๓. จัดฝึกอบรมแนวปฏิบัติตามนโยบายอย่างสม่�ำเสมอ โดยการจัดฝึกอบรมอาจใช้วิธีการเสริมเนื้อหา แนวปฏบิ ตั ิตามแนวนโยบายเขา้ กบั หลกั สตู รอบรมต่าง ๆ ตามแผนการฝกึ อบรมของหน่วยงาน 55
๔. จดั สมั มนาเพอื่ เผยแพรแ่ นวนโยบายและแนวปฏบิ ตั ใิ นการรักษาความม่ันคงปลอดภยั ดา้ นสารสนเทศ และเสรมิ สรา้ งความตระหนกั ถงึ ความส�ำคญั ของการปฏบิ ตั ใิ หก้ บั ผใู้ ชง้ าน โดยการจดั สมั มนาควรจดั ปลี ะไมน่ อ้ ยกวา่ ๑ ครั้ง โดยอาจจัดร่วมกับการสัมมนาอื่นด้วยก็ได้และอาจเชิญวิทยากรจากภายนอกท่ีมีประสบการณ์ ด้านการรกั ษาความมั่นคงปลอดภยั ด้านสารสนเทศมาถ่ายทอดใหค้ วามรู้ ๕. ตดิ ประกาศประชาสมั พนั ธใ์ หค้ วามรเู้ กย่ี วกบั แนวปฏบิ ตั ใิ นลกั ษณะเกรด็ ความรู้ หรอื ขอ้ ระวงั ในรปู แบบ ท่ีสามารถเขา้ ใจและน�ำไปปฏบิ ัติได้ง่าย โดยมกี ารปรับปรุงความรู้อยู่เสมอ ๖. ระดมการมีส่วนร่วมและภาคปฏิบัติดว้ ยการก�ำกับ ตดิ ตาม ประเมินผลและส�ำรวจความต้องการของ ผู้ใชง้ าน 56
ส่วนท่ี ๕ และกการาดรพ�ำเิจนาินรกณาารคทวาางมวินผดิัย ความผดิ ผู้ใช้งานระบบคอมพิวเตอร์กรมการพัฒนาชุมชน ที่มีเจตนาฝ่าฝืนนโยบายและแนวปฏิบัติในการรักษา ความม่ันคงปลอดภัยด้านสารสนเทศของกรมการพัฒนาชุมชน แม้ว่าการฝ่าฝืนนั้นจะกระท�ำไม่บรรลุผล โดยสมบูรณก์ ็ให้ถอื วา่ มคี วามผิดโดยสมบูรณ์ การลงโทษ ความผิดเกี่ยวกับนโยบายและแนวปฏิบัติในการรักษาความม่ันคงปลอดภัยด้านสารสนเทศของ กรมการพฒั นาชมุ ชน ใหล้ งโทษผ้มู เี จตนาฝ่าฝืนตามระเบียบและกฎหมายที่เกีย่ วข้อง การบงั คับใช้ ก�ำหนดใหผ้ ู้บริหารระดับสงู สดุ ของหน่วยงาน (Chief Executive Officer : CEO) เปน็ ผบู้ ังคับใชน้ โยบายนี้ โดยใหผ้ ใู้ ชง้ าน ผดู้ แู ลระบบและบคุ คลภายนอกทปี่ ฏบิ ตั งิ านใหก้ บั หนว่ ยงาน ตอ้ งยดึ ถอื แนวนโยบายและแนวปฏบิ ตั ิ ในการรกั ษาความมน่ั คงปลอดภยั ดา้ นสารสนเทศของกรมการพฒั นาชมุ ชน เปน็ แนวทางในการปฏบิ ตั งิ านโดยเครง่ ครดั กรณี ระบบคอมพวิ เตอร์หรือขอ้ มลู สารสนเทศเกดิ ความเสียหายหรืออนั ตรายใด ๆ แกอ่ งค์กร หรือผู้หน่งึ ผู้ใด อันเนื่องมากจากความบกพร่อง ละเลย หรอื ฝ่าฝนื การปฏบิ ัตติ ามแนวนโยบายและแนวปฏิบตั ใิ นการรกั ษาความ ปลอดภยั ดา้ นสารสนเทศ ก�ำหนดใหผ้ บู้ รหิ ารระดบั สงู สดุ ของหนว่ ยงาน (Chief Executive Officer : CEO) เปน็ ผรู้ บั ผดิ ชอบ ตอ่ ความเสยี่ ง ความเสียหาย หรอื อันตรายที่เกิดข้นึ 57
ภาคผนวก ก วิธปี ฏิบตั ิในการท�ำลายข้อมูล อุปกรณส์ �ำหรับจัดเก็บ วิธที �ำลายขอ้ มลู แผ่นดิสก์ ใช้วิธกี ารหนั่ ด้วยเครือ่ งท�ำลายเอกสาร เทป ใช้วธิ กี ารทบุ หรอื บดให้เสยี หายหรือเผาท�ำลาย ฮาร์ดดิสก์ ใช้การท�ำลายขอ้ มูลอยา่ งน้อยตามมาตรฐาน DOD ๕๒๒๐.๒๒ M (การเขียนทับขอ้ มูลเดิมเป็นจ�ำนวนหลาย ๆ รอบ) อุปกรณ์ส�ำหรับจัดเก็บท่ีไม่สามารถ ใชว้ ิธีการทุบหรอื บดใหเ้ สียหายหรอื เผาท�ำลาย ลบข้อมูลได้ เช่น แผ่นซีดีรอม ส�ำหรับอา่ นอยา่ งเดียว หมายเหตุ : ในกรณีที่ต้องการท�ำลายข้อมูลในอุปกรณ์ส�ำหรับจัดเก็บนอกเหนือจากตารางข้างต้น ให้แจ้ง ศูนย์สารสนเทศเพ่ือการพัฒนาชุมชนเพ่ือขอค�ำแนะน�ำในการท�ำลายข้อมูลท่ีเหมาะสมเพ่ือให้ม่ันใจได้ว่าข้อมูล ถูกเขียนทับจนไม่สามารถกู้คนื ข้อมูลเดมิ ได้อีก 61
เลม ๑๒๔ ตอนท่ี ๔ ก หนา ๑ ๑๐ มกราคม ๒๕๕๐ ราชกิจจานุเบกษา พระราชกฤษฎีกา กาํ หนดหลกั เกณฑและวธิ ีการในการทําธุรกรรมทางอเิ ลก็ ทรอนกิ สภ าครัฐ พ.ศ. ๒๕๔๙ ภมู พิ ลอดลุ ยเดช ป.ร. ใหไว ณ วันที่ ๒๖ พฤศจกิ ายน พ.ศ. ๒๕๔๙ เปนปท ี่ ๖๑ ในรัชกาลปจจุบนั พระบาทสมเด็จพระปรมินทรมหาภูมิพลอดุลยเดช มีพระบรมราชโองการโปรดเกลา ฯ ใหประกาศวา โดยทเี่ ปนการสมควรกําหนดหลกั เกณฑและวธิ กี ารในการทาํ ธรุ กรรมทางอเิ ลก็ ทรอนิกสภ าครฐั อาศัยอํานาจตามความในมาตรา ๑๖ ของรัฐธรรมนูญแหงราชอาณาจักรไทย (ฉบับชั่วคราว) พุทธศักราช ๒๕๔๙ และมาตรา ๓๕ วรรคหน่ึง แหงพระราชบัญญัติวาดวยธุรกรรมทางอิเล็กทรอนิกส พ.ศ. ๒๕๔๔ จึงทรงพระกรุณาโปรดเกลา ฯ ใหต ราพระราชกฤษฎีกาข้ึนไว ดังตอไปนี้ มาตรา ๑ พระราชกฤษฎีกาน้ีเรียกวา “พระราชกฤษฎีกากําหนดหลักเกณฑและวิธีการ ในการทาํ ธุรกรรมทางอิเล็กทรอนกิ สภ าครัฐ พ.ศ. ๒๕๔๙” มาตรา ๒ พระราชกฤษฎีกานีใ้ หใชบังคับต้ังแตวันประกาศในราชกจิ จานเุ บกษาเปน ตน ไป มาตรา ๓ ในการทําธุรกรรมทางอิเล็กทรอนิกสภ าครฐั หนวยงานของรัฐตองจัดใหมีระบบ เอกสารทท่ี ําในรูปของขอมูลอเิ ล็กทรอนกิ สในลักษณะ ดงั ตอ ไปนี้ 67
เลม ๑๒๔ ตอนท่ี ๔ ก หนา ๒ ๑๐ มกราคม ๒๕๕๐ ราชกิจจานุเบกษา (๑) เอกสารท่ีทําในรูปของขอมูลอิเล็กทรอนิกสน้ันตองอยูในรูปแบบที่เหมาะสม โดยสามารถ แสดงหรืออางอิงเพ่ือใชในภายหลังและยังคงความครบถวนของขอความในรูปแบบของขอมูล อเิ ล็กทรอนกิ ส (๒) ตองกําหนดระยะเวลาเริ่มตนและส้ินสุดในการย่ืนเอกสารท่ีทําในรูปของขอมูล อิเล็กทรอนิกส โดยปกติใหยึดถือวันเวลาของการปฏิบัติงานหนวยงานของรัฐนั้นเปนหลัก และอาจ กําหนดระยะเวลาในการดําเนินการพิจารณาของหนวยงานของรัฐดวยวิธีการทางอิเล็กทรอนิกสไวดวย ก็ได เวนแตจ ะมีกฎหมายในเรื่องน้นั กาํ หนดไวเ ปนอยางอืน่ (๓) ตองกําหนดวิธีการที่ทําใหสามารถระบุตัวเจาของลายมือช่ือ ประเภท ลักษณะหรือ รปู แบบของลายมอื ชือ่ อเิ ล็กทรอนกิ ส และสามารถแสดงไดว าเจาของลายมอื ช่อื รับรองขอความในขอ มลู อิเลก็ ทรอนิกส (๔) ตองกําหนดวิธีการแจงการตอบรับดวยวิธีการทางอิเล็กทรอนิกสหรือดวยวิธีการอ่ืนใด เพื่อเปนหลกั ฐานวา ไดมีการดาํ เนนิ การดวยวิธกี ารทางอเิ ล็กทรอนกิ สไปยงั อกี ฝายหนึ่งแลว มาตรา ๔ นอกจากที่บัญญัติไวในมาตรา ๓ ในกรณีที่หนวยงานของรัฐจัดทํากระบวนการ พิจารณาทางปกครองโดยวิธีการทางอิเล็กทรอนิกส ระบบเอกสารที่ทําในรูปของขอมูลอิเล็กทรอนิกส ตอ งมีลักษณะดังตอ ไปนด้ี ว ย เวน แตจะมกี ฎหมายในเร่ืองน้ันกําหนดไวเ ปน อยางอ่ืน (๑) มีวิธีการสื่อสารกับผูย่ืนคําขอในกรณีที่เอกสารมีขอบกพรองหรือมีขอความที่ผิดหลง อันเห็นไดชัดวาเกิดจากความไมรูหรือความเลินเลอของผูยื่นคําขอ หรือการขอขอเท็จจริงเพิ่มเติม รวมท้ังมีวิธีการแจงสิทธิและหนาท่ีในกระบวนการพิจารณาทางปกครองตามความจําเปนแกกรณี ในกรณที ี่กฎหมายกาํ หนดใหต องแจงใหค กู รณีทราบ (๒) ในกรณีมีความจําเปนตามลักษณะเฉพาะของธุรกรรมทางอิเล็กทรอนิกสภาครัฐใด หนวยงานของรัฐนั้นอาจกําหนดเง่ือนไขวาคูกรณียินยอมตกลงและยอมรับการดําเนินการพิจารณา ทางปกครองของหนว ยงานของรัฐโดยวธิ กี ารทางอิเลก็ ทรอนิกส มาตรา ๕ หนวยงานของรัฐตองจัดทําแนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคง ปลอดภัยดานสารสนเทศ เพ่ือใหการดําเนินการใด ๆ ดวยวิธีการทางอิเล็กทรอนิกสกับหนวยงานของรัฐ หรอื โดยหนว ยงานของรฐั มีความม่นั คงปลอดภัยและเชอ่ื ถือได แนวนโยบายและแนวปฏบิ ตั ิอยางนอยตอ งประกอบดว ยเนื้อหา ดังตอ ไปน้ี (๑) การเขา ถึงหรือควบคุมการใชงานสารสนเทศ 68
เลม ๑๒๔ ตอนที่ ๔ ก หนา ๓ ๑๐ มกราคม ๒๕๕๐ ราชกจิ จานุเบกษา (๒) การจัดใหมีระบบสารสนเทศและระบบสํารองของสารสนเทศซ่ึงอยูในสภาพพรอมใชงาน และจัดทําแผนเตรียมพรอมกรณีฉุกเฉินในกรณีท่ีไมสามารถดําเนินการดวยวิธีการทางอิเล็กทรอนิกส เพอ่ื ใหส ามารถใชง านสารสนเทศไดตามปกติอยา งตอเนื่อง (๓) การตรวจสอบและประเมนิ ความเส่ยี งดานสารสนเทศอยา งสมํา่ เสมอ มาตรา ๖ ในกรณีท่ีมีการรวบรวม จัดเก็บ ใช หรือเผยแพรขอมูล หรือขอเท็จจริงท่ีทําให สามารถระบุตัวบุคคล ไมวาโดยตรงหรือโดยออม ใหหนวยงานของรัฐจัดทําแนวนโยบายและ แนวปฏิบตั กิ ารคุม ครองขอมูลสว นบุคคลดวย มาตรา ๗ แนวนโยบายและแนวปฏิบัติตามมาตรา ๕ และมาตรา ๖ ใหหนวยงานของรัฐ จัดทําเปนประกาศ และตองไดรับความเห็นชอบจากคณะกรรมการหรือหนวยงานที่คณะกรรมการ มอบหมาย จึงมีผลใชบงั คบั ได หนวยงานของรัฐตองปฏิบัติตามแนวนโยบายและแนวปฏิบัติที่ไดแสดงไว และใหจัดใหมีการ ตรวจสอบการปฏบิ ตั ติ ามแนวนโยบายและแนวปฏิบตั ิท่ีกาํ หนดไวอ ยางสม่ําเสมอ มาตรา ๘ ใหคณะกรรมการหรือหนวยงานที่คณะกรรมการมอบหมายจัดทําแนวนโยบาย และแนวปฏิบัติหรือการอ่ืนอันเก่ียวกับการดําเนินการตามพระราชกฤษฎีกาน้ี ไวเปนตัวอยางเบ้ืองตน สําหรับการดําเนินการของหนวยงานของรัฐในการปฏิบัติตามพระราชกฤษฎีกานี้ และหากหนวยงาน ของรัฐแหงใดมีการปฏิบัติงานตามกฎหมายท่ีแตกตางเปนการเฉพาะแลว หนวยงานของรัฐแหงนั้นอาจ เพิ่มเติมรายละเอียดการปฏิบัติงานตามกฎหมายที่แตกตางนั้นไดโดยออกเปนระเบียบ ท้ังน้ี โดยให คาํ นึงถึงความถูกตองครบถวน ความนา เชื่อถือ สภาพความพรอมใชงาน และความม่ันคงปลอดภัยของ ระบบและขอมูลอิเล็กทรอนกิ ส มาตรา ๙ การทําธรุ กรรมทางอิเลก็ ทรอนิกสภาครฐั ตามหลักเกณฑและวิธีการตามพระราชกฤษฎีกาน้ี ไมมีผลเปนการยกเวนกฎหมายหรือหลักเกณฑและวิธีการที่กฎหมายในเร่ืองนั้นกําหนดไวเพื่อการ อนุญาต อนุมตั ิ การใหค วามเห็นชอบ หรอื การวนิ ิจฉัย มาตรา ๑๐ ใหนายกรฐั มนตรีรกั ษาการตามพระราชกฤษฎกี าน้ี ผรู ับสนองพระบรมราชโองการ พลเอก สรุ ยุทธ จลุ านนท นายกรฐั มนตรี 69
เลม ๑๒๔ ตอนที่ ๔ ก หนา ๔ ๑๐ มกราคม ๒๕๕๐ ราชกจิ จานุเบกษา หมายเหตุ :- เหตุผลในการประกาศใชพระราชกฤษฎีกาฉบบั นี้ คอื เนอ่ื งจากประเทศไทยไดเ รมิ่ เขา สูย คุ สังคมสารสนเทศ ซง่ึ มีการทําธรุ กรรมทางอิเลก็ ทรอนกิ สภ าครฐั มากข้นึ สมควรสนบั สนุนใหหนวยงานของรัฐมีระบบการบริการของตน โดยการประยุกตใชเทคโนโลยีสารสนเทศเพ่ือใหสามารถบริการประชาชนไดอยางท่ัวถึง สะดวก และรวดเร็ว อันเปนการเพิ่มประสิทธิภาพและประสิทธิผลของหนวยงานของรัฐ พรอมกับใหหนวยงานของรัฐสามารถพัฒนา การทําธุรกรรมทางอิเล็กทรอนิกสภาครัฐภายใตมาตรฐานและเปนไปในทิศทางเดียวกัน และสรางความเช่ือมั่น ของประชาชนตอการดําเนินกิจกรรมของรัฐดวยวิธีการทางอิเล็กทรอนิกส ประกอบกับมาตรา ๓๕ วรรคหน่ึง แหงพระราชบัญญัติวาดวยธุรกรรมทางอิเล็กทรอนิกส พ.ศ. ๒๕๔๔ บัญญัติวา คําขอ การอนุญาต การจดทะเบียน คําสง่ั ทางปกครอง การชาํ ระเงิน การประกาศหรอื การดําเนินการใด ๆ ตามกฎหมายกับหนว ยงานของรัฐหรือโดยหนวยงาน ของรัฐ ถา ไดกระทําในรูปของขอ มูลอิเล็กทรอนิกสตามหลักเกณฑและวิธีการท่ีกําหนดโดยพระราชกฤษฎีกาแลว ใหถอื วามผี ลโดยชอบดวยกฎหมายเชนเดียวกับการดําเนินการตามหลักเกณฑและวิธีการที่กฎหมายในเรื่องนั้นกําหนด จงึ จาํ เปน ตอ งตราพระราชกฤษฎีกานี้ 70
เลม ๑๒๗ ตอนพิเศษ ๗๘ ง หนา ๑๓๑ ๒๓ มิถุนายน ๒๕๕๓ ราชกจิ จานเุ บกษา ประกาศคณะกรรมการธรุ กรรมทางอิเล็กทรอนิกส เรื่อง แนวนโยบายและแนวปฏบิ ัติในการรกั ษาความมนั่ คงปลอดภยั ดา นสารสนเทศ ของหนว ยงานของรฐั พ.ศ. ๒๕๕๓ ดว ยปญหาดา นการรักษาความมนั่ คงปลอดภัยใหก ับสารสนเทศมีความรุนแรงเพ่ิมข้ึนท้ังในประเทศ และตางประเทศ อีกทั้งยังมีแนวโนมท่ีจะสงผลกระทบตอภาครัฐและภาคธุรกิจมากข้ึน ทําให ผูประกอบการ ตลอดจนองคกร ภาครัฐ และภาคเอกชนที่มีการดําเนินงานใด ๆ ในรูปของขอมูล อิเล็กทรอนิกสผานระบบสารสนเทศขององคก ร ขาดความเชอื่ ม่ันตอ การทาํ ธุรกรรมทางอิเล็กทรอนิกส ในทุกรูปแบบ ประกอบกับคณะกรรมการธุรกรรมทางอิเล็กทรอนิกสตระหนักถึงความจําเปน ที่จะสงเสริมและผลักดันใหประเทศสามารถยกระดับการแขงขันกับประเทศอื่น ๆ โดยการนําระบบ สารสนเทศและการส่ือสารมาประยุกตใชประกอบการทําธุรกรรมทางอิเล็กทรอนิกสอยางแพรหลาย จึงเหน็ ความสําคญั ทีจ่ ะนาํ กฎหมาย ขอบงั คับตาง ๆ มาบังคับใชกับการทําธุรกรรมทางอิเล็กทรอนิกส ทัง้ ในสวนทต่ี องกระทาํ และในสว นทต่ี องงดเวน การกระทาํ เพอื่ ชวยใหการทําธุรกรรมทางอิเล็กทรอนิกส ของหนวยงานของรัฐมคี วามมนั่ คงปลอดภัยและมคี วามนาเชอื่ ถอื เพ่ือใหการดําเนินการใด ๆ ดวยวิธีการทางอิเล็กทรอนิกสกับหนวยงานของรัฐ หรือโดย หนว ยงานของรฐั มคี วามมน่ั คงปลอดภยั และเช่อื ถือได ตลอดจนมมี าตรฐานเปนที่ยอมรับในระดบั สากล คณะกรรมการธรุ กรรมทางอเิ ล็กทรอนกิ ส จงึ เห็นควรกาํ หนดแนวนโยบายและแนวปฏิบัติในการรักษา ความมน่ั คงปลอดภัยดา นสารสนเทศของหนว ยงานของรฐั อาศยั อํานาจตามความในมาตรา ๕ มาตรา ๗ และมาตรา ๘ แหงพระราชกฤษฎีกากําหนด หลักเกณฑและวิธีการในการทําธุรกรรมทางอิเล็กทรอนิกสภาครัฐ พ.ศ. ๒๕๔๙ คณะกรรมการ ธรุ กรรมทางอิเล็กทรอนิกสจึงไดจัดทําประกาศฉบับน้ี เพ่ือเปนแนวทางเบ้ืองตนใหหนวยงานของรัฐ ใชในการกําหนดนโยบาย และขอปฏิบัติในการรักษาความม่ันคงปลอดภัยดานสารสนเทศ ซ่ึงอยางนอย ตองประกอบดว ยสาระสําคัญ ดังตอ ไปนี้ ขอ ๑ ในประกาศนี้ (๑) ผูใชงาน หมายความวา ขาราชการ เจาหนาที่ พนักงานของรัฐ ลูกจาง ผูดูแลระบบ ผูบริหารขององคก ร ผูรับบรกิ าร ผูใชง านทว่ั ไป 73
เลม ๑๒๗ ตอนพิเศษ ๗๘ ง หนา ๑๓๒ ๒๓ มถิ ุนายน ๒๕๕๓ ราชกจิ จานเุ บกษา (๒) สทิ ธขิ องผูใ ชง าน หมายความวา สิทธิทั่วไป สิทธิจําเพาะ สิทธิพิเศษ และสิทธิอื่นใด ที่เก่ียวขอ งกบั ระบบสารสนเทศของหนวยงาน (๓) สินทรัพย (asset) หมายความวา สิง่ ใดก็ตามท่มี ีคณุ คาสําหรับองคก ร (๔) การเขาถงึ หรือควบคมุ การใชง านสารสนเทศ หมายความวา การอนุญาต การกําหนดสิทธิ หรือการมอบอํานาจใหผูใชงาน เขาถึงหรือใชงานเครือขายหรือระบบสารสนเทศ ท้ังทางอิเล็กทรอนิกส และทางกายภาพ รวมท้ังการอนญุ าตเชนวาน้ันสําหรับบุคคลภายนอก ตลอดจนอาจกําหนดขอปฏิบัติ เกีย่ วกับการเขา ถงึ โดยมิชอบเอาไวดว ยกไ็ ด (๕) ความม่ันคงปลอดภัยดานสารสนเทศ (information security) หมายความวา การธํารงไว ซึ่งความลับ (confidentiality) ความถกู ตอ งครบถวน (integrity) และสภาพพรอ มใชงาน (availability) ของสารสนเทศ รวมท้ังคุณสมบัติอ่ืน ไดแกความถูกตองแทจริง (authenticity) ความรับผิด (accountability) การหา มปฏเิ สธความรับผดิ (non-repudiation) และความนาเช่ือถือ (reliability) (๖) เหตุการณดานความม่ันคงปลอดภัย (information security event) หมายความวา กรณีที่ระบุการเกิดเหตุการณ สภาพของบริการหรือเครือขายท่ีแสดงใหเห็นความเปนไปไดที่จะเกิด การฝา ฝนนโยบายดานความม่นั คงปลอดภัยหรอื มาตรการปอ งกันท่ลี ม เหลว หรือเหตุการณอันไมอาจรู ไดว า อาจเกย่ี วของกับความมนั่ คงปลอดภัย (๗) สถานการณด า นความมั่นคงปลอดภัยที่ไมพึงประสงคหรือไมอาจคาดคิด (information security incident) หมายความวา สถานการณด านความมนั่ คงปลอดภัยทไี่ มพึงประสงคหรือไมอาจคาดคิด (unwanted or unexpected) ซึ่งอาจทาํ ใหระบบขององคกรถูกบุกรุกหรือโจมตี และความม่ันคง ปลอดภัยถกู คุกคาม ขอ ๒ หนวยงานของรัฐตองจัดใหมีนโยบายในการรักษาความม่ันคงปลอดภัย ดานสารสนเทศของหนวยงานเปนลายลักษณอักษร ซ่ึงอยา งนอ ยตองประกอบดวยเนือ้ หา ดงั ตอ ไปน้ี (๑) การเขาถงึ หรือควบคมุ การใชงานสารสนเทศ (๒) จัดใหมีระบบสารสนเทศและระบบสํารองของสารสนเทศซึ่งอยูในสภาพพรอมใชงาน แ ล ะ จั ด ทํ า แ ผ น เ ต รี ย ม ค ว า ม พ ร อ ม ก ร ณี ฉุ ก เ ฉิ น ใ น ก ร ณี ที่ ไ ม ส า ม า ร ถ ดํ า เ นิ น ก า ร ด ว ย วิ ธี ก า ร ทางอิเลก็ ทรอนกิ สเพือ่ ใหสามารถใชงานสารสนเทศไดต ามปกติอยางตอเนอื่ ง (๓) การตรวจสอบและประเมนิ ความเสยี่ งดานสารสนเทศอยางสม่ําเสมอ 74
เลม ๑๒๗ ตอนพเิ ศษ ๗๘ ง หนา ๑๓๓ ๒๓ มิถุนายน ๒๕๕๓ ราชกจิ จานเุ บกษา ขอ ๓ หนวยงานของรัฐตองจัดใหมีขอปฏิบัติในการรักษาความม่ันคงปลอดภัย ดา นสารสนเทศของหนว ยงาน ซง่ึ อยางนอยตอ งประกอบดวยกระบวนการ ดังตอ ไปน้ี (๑) หนวยงานของรัฐตองจัดทําขอปฏิบัติท่ีสอดคลองกับนโยบายการรักษาความม่ันคง ปลอดภยั ดานสารสนเทศของหนว ยงาน (๒) หนวยงานของรัฐตองประกาศนโยบายและขอปฏิบัติดังกลาว ใหผูเก่ียวของท้ังหมดทราบ เพ่อื ใหสามารถเขาถงึ เขาใจ และปฏบิ ัติตามนโยบายและขอปฏิบตั ิได (๓) หนว ยงานของรฐั ตอ งกาํ หนดผูร ับผดิ ชอบตามนโยบายและขอ ปฏบิ ตั ิดังกลา วใหช ัดเจน (๔) หนวยงานของรฐั ตองทบทวนปรับปรุงนโยบายและขอ ปฏบิ ตั ใิ หเปน ปจ จุบันอยเู สมอ ขอ ๔ ขอ ปฏบิ ตั ิในดานการรักษาความมั่นคงปลอดภัย ตองมีเนื้อหาอยางนอยครอบคลุม ตามขอ ๕ - ๑๕ ขอ ๕ ใหมีขอกาํ หนดการเขาถึงและควบคุมการใชงานสารสนเทศ (access control) ซึ่งตอ งมีเน้ือหาอยางนอย ดงั น้ี (๑) หนวยงานของรัฐตอ งมีการควบคมุ การเขา ถึงขอมูลและอุปกรณใ นการประมวลผลขอมูล โดยคาํ นึงถงึ การใชง านและความม่ันคงปลอดภัย (๒) ในการกําหนดกฎเกณฑเก่ียวกับการอนุญาตใหเขาถึง ตองกําหนดตามนโยบาย ท่เี กี่ยวขอ งกับการอนุญาต การกําหนดสทิ ธิ หรือการมอบอํานาจของหนวยงานของรัฐนั้น ๆ (๓) หนวยงานของรฐั ตอ งกําหนดเกย่ี วกับประเภทของขอมูล ลําดับความสําคัญ หรือลําดับ ช้ันความลับของขอมูล รวมท้งั ระดบั ช้ันการเขาถึง เวลาทไ่ี ดเขาถึง และชองทางการเขาถึง ขอ ๖ ใหมีขอกําหนดการใชงานตามภารกิจเพื่อควบคุมการเขาถึงสารสนเทศ (business requirements for access control) โดยแบง การจัดทําขอ ปฏบิ ัติเปน ๒ สว นคอื การควบคุมการเขาถึง สารสนเทศ และการปรับปรุงใหสอดคลองกับขอกําหนดการใชงานตามภารกิจและขอกําหนด ดานความมนั่ คงปลอดภัย ขอ ๗ ใหมีการบริหารจัดการการเขาถึงของผูใชงาน (user access management) เพ่อื ควบคมุ การเขาถึงระบบสารสนเทศเฉพาะผูท่ีไดรับอนุญาตแลว และผานการฝกอบรม หลักสูตร การสรางความตระหนักเร่ืองความมั่นคงปลอดภัยสารสนเทศ (information security awareness training) เพื่อปองกนั การเขาถึงจากผูซ ่ึงไมไดร บั อนุญาต โดยตองมีเน้อื หาอยางนอย ดังนี้ 75
เลม ๑๒๗ ตอนพเิ ศษ ๗๘ ง หนา ๑๓๔ ๒๓ มถิ นุ ายน ๒๕๕๓ ราชกจิ จานุเบกษา (๑) สรางความรูความเขาใจใหกับผูใชงาน เพ่ือใหเกิดความตระหนัก ความเขาใจถึงภัย และผลกระทบที่เกิดจากการใชงานระบบสารสนเทศโดยไมระมัดระวังหรือรูเทาไมถึงการณ รวมถึง กาํ หนดใหมีมาตรการเชงิ ปองกันตามความเหมาะสม (๒) การลงทะเบียนผใู ชงาน (user registration) ตอ งกําหนดใหมขี ั้นตอนทางปฏิบัติสําหรับ การลงทะเบียนผูใชงานเม่ือมีการอนุญาตใหเขาถึงระบบสารสนเทศ และการตัดออกจากทะเบียน ของผูใชง านเมอื่ มีการยกเลิกเพกิ ถอนการอนุญาตดังกลา ว (๓) การบริหารจัดการสิทธิของผูใชงาน (user management) ตองจัดใหมีการควบคุม และจาํ กดั สิทธิเพือ่ เขาถึงและใชงานระบบสารสนเทศแตล ะชนิดตามความเหมาะสม ทั้งน้ีรวมถึงสิทธิจําเพาะ สทิ ธพิ ิเศษ และสทิ ธอิ นื่ ๆ ทีเ่ ก่ียวขอ งกับการเขาถึง (๔) การบรหิ ารจดั การรหัสผา นสําหรับผใู ชงาน (user password management) ตองจัดใหมี กระบวนการบริหารจดั การรหัสผานสาํ หรบั ผูใ ชงานอยางรดั กุม (๕) การทบทวนสิทธิการเขาถึงของผูใชงาน (review of user access rights) ตองจัดใหมี กระบวนการทบทวนสิทธกิ ารเขาถึงของผูใชง านระบบสารสนเทศตามระยะเวลาท่กี ําหนดไว ขอ ๘ ใหมีการกําหนดหนาที่ความรับผิดชอบของผูใชงาน (user responsibilities) เพื่อปองกันการเขาถึงโดยไมไดรับอนุญาต การเปดเผย การลวงรู หรือการลักลอบทําสําเนาขอมูล สารสนเทศและการลักขโมยอปุ กรณป ระมวลผลสารสนเทศ โดยตอ งมเี นอ้ื หาอยางนอย ดงั น้ี (๑) การใชงานรหัสผา น (password use) ตองกาํ หนดแนวปฏบิ ัติที่ดีสําหรับผูใชงานในการ กาํ หนดรหัสผาน การใชง านรหัสผาน และการเปลย่ี นรหัสผานทีม่ ีคุณภาพ (๒) การปอ งกันอปุ กรณใ นขณะท่ีไมมีผูใชงานท่ีอุปกรณ ตองกําหนดขอปฏิบัติท่ีเหมาะสม เพอื่ ปอ งกนั ไมใ หผไู มมสี ทิ ธิสามารถเขาถงึ อปุ กรณของหนวยงานในขณะที่ไมม ผี ูด แู ล (๓) การควบคุมสินทรัพยสารสนเทศและการใชงานระบบคอมพิวเตอร (clear desk and clear screen policy) ตองควบคุมไมใหสินทรัพยสารสนเทศ เชน เอกสาร สื่อบันทึกขอมูล คอมพิวเตอร หรอื สารสนเทศ อยูใ นภาวะซ่ึงเส่ียงตอการเขาถึงโดยผูซ่ึงไมมีสิทธิ และตองกําหนดให ผูใ ชงานออกจากระบบสารสนเทศเมือ่ วางเวน จากการใชงาน 76
เลม ๑๒๗ ตอนพเิ ศษ ๗๘ ง หนา ๑๓๕ ๒๓ มถิ ุนายน ๒๕๕๓ ราชกจิ จานุเบกษา (๔) ผูใชงานอาจนําการเขารหัส มาใชกับขอมูลท่ีเปนความลับ โดยใหปฏิบัติตามระเบียบ การรกั ษาความลับทางราชการ พ.ศ. ๒๕๔๔ ขอ ๙ ใหมีการควบคุมการเขาถึงเครือขาย (network access control) เพื่อปองกัน การเขาถึงบรกิ ารทางเครอื ขายโดยไมไ ดรับอนญุ าต โดยตองมีเน้ือหาอยางนอย ดังน้ี (๑) การใชงานบริการเครือขาย ตองกําหนดใหผูใชงานสามารถเขาถึงระบบสารสนเทศ ไดแ ตเพยี งบริการทไ่ี ดรบั อนุญาตใหเ ขาถึงเทา นั้น (๒) การยนื ยนั ตัวบุคคลสําหรับผูใชท่ีอยูภายนอกองคกร (user authentication for external connections) ตองกาํ หนดใหม กี ารยืนยนั ตัวบคุ คลกอนท่จี ะอนุญาตใหผ ใู ชท่อี ยูภายนอกองคกรสามารถ เขา ใชงานเครือขา ยและระบบสารสนเทศขององคกรได (๓) การระบุอุปกรณบนเครือขาย (equipment identification in networks) ตองมีวิธีการ ทีส่ ามารถระบอุ ปุ กรณบ นเครอื ขายได และควรใชการระบอุ ปุ กรณบนเครอื ขายเปนการยนื ยนั (๔) การปองกันพอรตที่ใชสําหรับตรวจสอบและปรับแตงระบบ (remote diagnostic and configuration port protection) ตอ งควบคุมการเขาถงึ พอรต ทีใ่ ชสําหรับตรวจสอบและปรับแตงระบบ ทง้ั การเขาถึงทางกายภาพและทางเครอื ขา ย (๕) การแบงแยกเครือขาย (segregation in networks) ตองทําการแบงแยกเครือขาย ตามกลมุ ของบรกิ ารสารสนเทศ กลุมผใู ชง าน และกลมุ ของระบบสารสนเทศ (๖) การควบคุมการเชื่อมตอทางเครือขาย (network connection control) ตองควบคุม การเขาถึงหรือใชงานเครือขายที่มีการใชรวมกันหรือเชื่อมตอระหวางหนวยงานใหสอดคลองกับ ขอ ปฏบิ ัติการควบคมุ การเขา ถึง (๗) การควบคมุ การจดั เสน ทางบนเครือขาย (network routing control) ตองควบคุมการจัด เสนทางบนเครือขายเพื่อใหการเชื่อมตอของคอมพิวเตอรและการสงผานหรือไหลเวียนของขอมูล หรอื สารสนเทศสอดคลอ งกบั ขอปฏิบตั ิการควบคมุ การเขาถงึ หรอื การประยุกตใชง านตามภารกจิ ขอ ๑๐ ใหมีการควบคุมการเขาถึงระบบปฏิบัติการ (operating system access control) เพื่อปองกันการเขา ถงึ ระบบปฏบิ ตั ิการโดยไมไดรับอนุญาต โดยตอ งมีเนอ้ื หาอยา งนอ ย ดงั น้ี (๑) การกําหนดขั้นตอนปฏิบัติเพื่อการเขาใชงานที่มั่นคงปลอดภัย การเขาถึงระบบ ปฏบิ ัตกิ ารจะตอ งควบคมุ โดยวธิ ีการยืนยนั ตัวตนที่มนั่ คงปลอดภยั 77
เลม ๑๒๗ ตอนพเิ ศษ ๗๘ ง หนา ๑๓๖ ๒๓ มิถนุ ายน ๒๕๕๓ ราชกจิ จานุเบกษา (๒) การระบุและยืนยันตัวตนของผูใชงาน (user identification and authentication) ตอ งกําหนดใหผูใชงานมีขอมูลเฉพาะเจาะจงซึ่งสามารถระบุตัวตนของผูใชงาน และเลือกใชข้ันตอน ทางเทคนคิ ในการยนื ยันตัวตนท่เี หมาะสมเพ่อื รองรับการกลา วอางวาเปน ผูใชงานทีร่ ะบุถึง (๓) การบริหารจัดการรหัสผาน (password management system) ตองจัดทําหรือจัดใหมี ระบบบริหารจัดการรหัสผานที่สามารถทํางานเชิงโตตอบ (interactive) หรือมีการทํางานในลักษณะ อัตโนมตั ิ ซง่ึ เอื้อตอการกําหนดรหสั ผา นทม่ี ีคุณภาพ (๔) การใชง านโปรแกรมอรรถประโยชน (use of system utilities) ควรจํากัดและควบคุม การใชงานโปรแกรมประเภทอรรถประโยชน เพ่ือปองกันการละเมิดหรือหลีกเล่ียงมาตรการ ความมั่นคงปลอดภัยที่ไดก าํ หนดไวห รือท่ีมีอยแู ลว (๕) เมือ่ มกี ารวางเวนจากการใชง านในระยะเวลาหน่ึงใหยุติการใชงานระบบสารสนเทศน้ัน (session time-out) (๖) การจํากัดระยะเวลาการเช่ือมตอระบบสารสนเทศ (limitation of connection time) ตองจํากัดระยะเวลาในการเชื่อมตอเพื่อใหมีความม่ันคงปลอดภัยมากยิ่งขึ้นสําหรับระบบสารสนเทศ หรอื แอพพลเิ คชัน่ ทีม่ ีความเส่ียงหรือมีความสาํ คัญสูง ขอ ๑๑ ใหมีการควบคุมการเขาถึงโปรแกรมประยุกตหรือแอพพลิเคช่ันและสารสนเทศ (application and information access control) โดยตองมีการควบคมุ ดังน้ี (๑) การจาํ กัดการเขาถึงสารสนเทศ (information access restriction) ตอ งจาํ กัดหรือควบคุม การเขา ถึงหรอื เขา ใชงานของผใู ชง านและบุคลากรฝายสนับสนนุ การเขาใชงานในการเขาถึงสารสนเทศ และฟงกชัน (functions) ตาง ๆ ของโปรแกรมประยุกตหรือแอพพลิเคชั่น ทั้งนี้โดยใหสอดคลอง ตามนโยบายควบคมุ การเขา ถึงสารสนเทศที่ไดกําหนดไว (๒) ระบบซึ่งไวตอการรบกวน มีผลกระทบและมีความสําคัญสูงตอองคกร ตองไดรับ การแยกออกจากระบบอ่ืน ๆ และมีการควบคุมสภาพแวดลอมของตนเองโดยเฉพาะ ใหมีการควบคุม อปุ กรณค อมพิวเตอรและส่ือสารเคลื่อนท่ีและการปฏิบัติงานจากภายนอกองคกร (mobile computing and teleworking) (๓) การควบคุมอุปกรณคอมพิวเตอรและสื่อสารเคล่ือนท่ี ตองกําหนดขอปฏิบัติ และมาตรการท่ีเหมาะสมเพ่ือปกปองสารสนเทศจากความเส่ียงของการใชอุปกรณคอมพิวเตอร และสอ่ื สารเคล่อื นท่ี 78
เลม ๑๒๗ ตอนพิเศษ ๗๘ ง หนา ๑๓๗ ๒๓ มถิ ุนายน ๒๕๕๓ ราชกิจจานเุ บกษา (๔) การปฏิบัติงานจากภายนอกสํานักงาน (teleworking) ตองกําหนดขอปฏิบัติ แผนงาน และข้นั ตอนปฏบิ ัติเพอ่ื ปรับใชส ําหรบั การปฏิบัตงิ านขององคกรจากภายนอกสํานกั งาน ขอ ๑๒ หนว ยงานของรัฐทมี่ รี ะบบสารสนเทศตอ งจัดทาํ ระบบสาํ รอง ตามแนวทางตอ ไปนี้ (๑) ตองพิจารณาคัดเลือกและจัดทําระบบสํารองที่เหมาะสมใหอยูในสภาพพรอมใชงาน ทเ่ี หมาะสม (๒) ตอ งจดั ทาํ แผนเตรยี มความพรอ มกรณฉี ุกเฉนิ ในกรณีท่ีไมสามารถดําเนินการดวยวิธีการ ทางอเิ ลก็ ทรอนกิ ส เพอ่ื ใหส ามารถใชงานสารสนเทศไดตามปกติอยางตอเน่ือง โดยตองปรับปรุงแผน เตรียมความพรอ มกรณฉี ุกเฉนิ ดงั กลาวใหสามารถปรับใชไดอยางเหมาะสมและสอดคลองกบั การใชงาน ตามภารกิจ (๓) ตองมีการกําหนดหนาท่ีและความรับผิดชอบของบุคลากรซ่ึงดูแลรับผิดชอบระบบ สารสนเทศ ระบบสาํ รอง และการจดั ทําแผนเตรียมพรอมกรณีฉุกเฉินในกรณีที่ไมสามารถดําเนินการ ดวยวธิ กี ารทางอเิ ลก็ ทรอนิกส (๔) ตองมีการทดสอบสภาพพรอมใชงานของระบบสารสนเทศ ระบบสํารองและระบบแผน เตรยี มพรอ มกรณีฉกุ เฉนิ อยางสม่าํ เสมอ (๕) สาํ หรบั ความถขี่ องการปฏบิ ัติในแตละขอ ควรมกี ารปฏิบตั ิท่เี พียงพอตอสภาพความเสี่ยง ที่ยอมรบั ไดของแตละหนว ยงาน ขอ ๑๓ หนว ยงานของรัฐตองจัดใหมีการตรวจสอบและประเมินความเสี่ยงดานสารสนเทศ โดยตองมีเน้อื หาอยางนอย ดงั นี้ (๑) หนว ยงานของรฐั ตอ งจัดใหมกี ารตรวจสอบและประเมนิ ความเส่ียงดานสารสนเทศที่อาจ เกิดข้นึ กบั ระบบสารสนเทศ (information security audit and assessment) อยางนอยปล ะ ๑ ครง้ั (๒) ในการตรวจสอบและประเมินความเสี่ยงจะตองดําเนินการ โดยผูตรวจสอบภายใน หนวยงานของรัฐ (internal auditor) หรอื โดยผูตรวจสอบอิสระดานความมั่นคงปลอดภัยจากภายนอก (external auditor) เพือ่ ใหหนว ยงานของรัฐไดท ราบถึงระดบั ความเส่ียงและระดับความมั่นคงปลอดภัย สารสนเทศของหนว ยงาน ขอ ๑๔ หนวยงานของรัฐตองกําหนดความรับผิดชอบท่ีชัดเจน กรณีระบบคอมพิวเตอร หรอื ขอ มลู สารสนเทศเกดิ ความเสยี หาย หรืออันตรายใด ๆ แกองคกรหรือผูหน่ึงผูใด อันเน่ืองมาจาก 79
เลม ๑๒๗ ตอนพิเศษ ๗๘ ง หนา ๑๓๘ ๒๓ มถิ นุ ายน ๒๕๕๓ ราชกจิ จานเุ บกษา ความบกพรอง ละเลย หรือฝา ฝนการปฏิบัติตามแนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคง ปลอดภยั ดานสารสนเทศ โดยกาํ หนดใหผ ูบริหารระดับสูง ซ่ึงมีหนาที่ดูแลรับผิดชอบดานสารสนเทศ ของหนวยงานของรัฐเปน ผูรับผิดชอบตอความเสี่ยง ความเสยี หาย หรอื อันตรายทเ่ี กิดข้นึ ขอ ๑๕ หนวยงานของรัฐสามารถเลือกใชขอปฏิบัติในการรักษาความม่ันคงปลอดภัย ดานสารสนเทศ ที่ตางไปจากประกาศฉบับนี้ได หากแสดงใหเห็นวา ขอปฏิบัติท่ีเลือกใชมีความ เหมาะสมกวา หรือเทียบเทา ขอ ๑๖ ประกาศน้ใี หใชบ งั คบั ตั้งแตว ันถัดจากวันประกาศในราชกิจจานเุ บกษาเปน ตนไป ประกาศ ณ วันท่ี ๓๑ พฤษภาคม พ.ศ. ๒๕๕๓ รอยตรหี ญงิ ระนองรกั ษ สุวรรณฉวี รฐั มนตรวี า การกระทรวงเทคโนโลยีสารสนเทศและการสอ่ื สาร ประธานกรรมการธุรกรรมทางอเิ ล็กทรอนิกส 80
เลม่ ๑๓๐ ตอนพิเศษ ๒๑ ง หน้า ๕๒ ๑๔ กุมภาพนั ธ์ ๒๕๕๖ ราชกจิ จานุเบกษา ประกาศคณะกรรมการธุรกรรมทางอิเลก็ ทรอนิกส์ เรือ่ ง แนวนโยบายและแนวปฏิบตั ิในการรกั ษาความม่ันคงปลอดภัย ดา้ นสารสนเทศของหน่วยงานของรฐั (ฉบบั ท่ี ๒) พ.ศ. ๒๕๕๖ โดยท่ีเป็นการสมควรปรับปรุงแนวนโยบายและแนวปฏิบัติในการรักษาความม่ันคงปลอดภัย ดา้ นสารสนเทศของหน่วยงานของรฐั ให้สอดคล้องกับมาตรฐานสากล อาศัยอํานาจตามความในมาตรา ๕ มาตรา ๗ และมาตรา ๘ แห่งพระราชกฤษฎีกากําหนด หลักเกณฑ์และวิธีการในการทําธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. ๒๕๔๙ คณะกรรมการธุรกรรมทาง อิเลก็ ทรอนิกส์จึงออกประกาศไว้ ดงั ต่อไปนี้ ข้อ ๑ ประกาศน้เี รียกวา่ “ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ เรื่อง แนวนโยบาย และแนวปฏบิ ัตใิ นการรักษาความม่นั คงปลอดภัยดา้ นสารสนเทศของหนว่ ยงานของรัฐ (ฉบบั ที่ ๒) พ.ศ. ๒๕๕๖” ขอ้ ๒ ให้ยกเลิกความในข้อ ๑๔ ของประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ เรอ่ื ง แนวนโยบายและแนวปฏิบัตใิ นการรกั ษาความม่ันคงปลอดภัยด้านสารสนเทศของหน่วยงานของรัฐ พ.ศ. ๒๕๕๓ และใหใ้ ช้ความตอ่ ไปนีแ้ ทน “ขอ้ ๑๔ หน่วยงานของรฐั ต้องกําหนดความรับผิดชอบที่ชัดเจน กรณีระบบคอมพิวเตอร์หรือ ขอ้ มูลสารสนเทศเกดิ ความเสยี หาย หรืออันตรายใด ๆ แก่องค์กรหรือผู้หน่ึงผู้ใด อันเน่ืองมาจากความบกพร่อง ละเลย หรอื ฝา่ ฝนื การปฏิบตั ิตามแนวนโยบายและแนวปฏิบตั ใิ นการรกั ษาความม่ันคงปลอดภัยด้านสารสนเทศ ทั้งนี้ ใหผ้ ู้บรหิ ารระดับสูงสุดของหนว่ ยงาน (Chief Executive Officer : CEO) เป็นผู้รับผิดชอบต่อความเส่ียง ความเสยี หาย หรอื อันตรายที่เกดิ ข้ึน” ข้อ ๓ ประกาศนีใ้ หใ้ ชบ้ ังคบั ตั้งแต่วนั ถัดจากวันประกาศในราชกิจจานุเบกษาเปน็ ตน้ ไป ประกาศ ณ วันท่ี ๒๕ มกราคม พ.ศ. ๒๕๕๖ นาวาอากาศเอก อนุดิษฐ์ นาครทรรพ รฐั มนตรวี ่าการกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร ประธานกรรมการธุรกรรมทางอิเล็กทรอนิกส์ 83
ทป่ี รึกษา อธิบดกี รมการพัฒนาชมุ ชน นายนิสิต จันทร์สมวงศ์ รองอธิบดกี รมการพฒั นาชุมชน นายทวปี บุตรโพธ์ิ รองอธิบดกี รมการพัฒนาชมุ ชน นายสมหวัง พว่ งบางโพ รองอธบิ ดกี รมการพัฒนาชมุ ชน นายโชคชยั แก้วปอ่ ง คณะผ้จู ดั ท�ำ ผอู้ �ำนวยการศูนยส์ ารสนเทศเพ่อื การพฒั นาชุมชน นายชยั ยา ข�ำสะอาด ผู้อ�ำนวยการกลุ่มงานระบบสารสนเทศชมุ ชน นางกาญจนวรรณ ช่วยม่ันคง ผ้อู �ำนวยการกลมุ่ งานข้อมูลพน้ื ฐานการพฒั นาชนบท นางสาวทิพพรรณ ไชยปู ถมั ภ์ ผ้อู �ำนวยการกลมุ่ งานพัฒนาระบบเทคโนโลยสี ารสนเทศ นายอดิศร สุทธเิ ลศิ ผู้อ�ำนวยการกลมุ่ งานพัฒนาระบบเครือขา่ ย นายชาคริต ถริ ะสาโรช ผู้อ�ำนวยการกลุ่มงานประสานแผนและข้อมูล นายสรุ ยิ า บุญเรืองยศศิริ นกั วิชาการพฒั นาชุมชนช�ำนาญการ นางสาวปวีณรัตน์ บตุ รวงศ์ นักวชิ าการคอมพวิ เตอร์ช�ำนาญการ นายยทุ ธชัย เครือแกว้ นกั วชิ าการพัฒนาชมุ ชนช�ำนาญการ นางสาวกัญธชิ า ปัสวาส นกั วิชาการพฒั นาชมุ ชนช�ำนาญการ นายกฤชณัท เพญ็ ภกั ดิ์ นักวชิ าการคอมพวิ เตอร์ (พนกั งานราชการ) วา่ ที่ ร.ต.ศรายุทธ พทิ ูรสกุล นักวิชาการคอมพวิ เตอร์ (พนักงานราชการ) นายภาคภมู ิ บวั ตูม กลมุ่ งานพฒั นาระบบเครือขา่ ย ผตู้ รวจสอบรปู แบบและเนอ้ื หา
Search
