คูม่ ือสำหรับผู้ใชง้ ำน ด้ำนควำมปลอดภยั ข้อมูลสำรสนเทศ โรงพยำบำลพญำไท 3 PT3-SD-MCI-3003
นโยบายความปลอดภยั ขอ้ มลู สารสนเทศ (INFORMATION SECURITY MANAGEMENT SYSTEM POLICY, ISMS POLICY) บรษิ ทั โรงพยาบาลพญาไท 3 จากัด
ขอบเขต : โรงพยำบำลพญำไท 3 ตั้งอยู่เลขท่ี 111 ถ.เพชรเกษม แขวงปำกคลองภำษเี จรญิ เขตภำษเี จริญ กทม. 10160
ขอบข่ำย : ประยุกต์ใช้ มำตรฐำนครอบคลมุ กระบวนกำรให้บรกิ ำรผปู้ ่วย นอกและผปู้ ว่ ยใน ตลอดจน หน่วยงำนสนับสนุนบริกำร ครอบคลุมหน่วยงำนต่ำง ๆ ของโรงพยำบำลพญำไท 3
คู่มือสำหรับผ้ใู ชง้ ำนด้ำนควำมปลอดภยั ข้อมลู สำรสนเทศ โรงพยำบำลพญำไท 3 หมวด1 หมวด 2 หมวด 3 การควบคมุ การเขา้ ถึงและการใชง้ านระบบสารสนเทศ การสรา้ งความตระหนกั ในเรื่องการ ระบบการควบคุมเอกสารและ • 1 การควบคุมการเขา้ ถึงขอ้ มูล • 7การบรหิ ารจดั การซอฟต์แวร์, รักษาความปลอดภัยของระบบ ข้อมลู สารสนเทศ (Access Control) ลิขสิทธิ์และการป้องกันโปรแกรมไม่ เทคโนโลยีสารสนเทศ • 2. การบรหิ ารจดั การการเข้าถึงของ ประสงค์ดี (Software Licensing • การแบง่ ระดับช้ันความลบั and intellectual property and • กระบวนการสรา้ งความตระหนกั ในเรอ่ื งของ • กระบวนการักษาความลับ (การ Preventing Malware) การรักษาความปลอดภยั ของระบบ จดั เกบ็ ,การสง่ ต่อ,การทาลาย) เทคโนโลยีสารสนเทศ • การช้ีบง่ ระดบั ชน้ั ความลบั ใน เอกสารควบคมุ ผู้ใชง้ าน (User Access • 8 การปฏบิ ัติงานจากภายนอก Management) • 3 การกาหนดหน้าท่คี วาม สานักงาน (Teleworking) รับผิดชอบของผู้ใช้งาน (User Responsibilities) • 9 การควบคุมการเข้าถึงระบบ เครือข่ายไร้สาย (Wireless LAN • 4 การบริหารจัดการทรพั ยส์ นิ Access Control) (Assets Management) • 5 การควบคมุ การเขา้ ถงึ เครอื ขา่ ย • 10 การควบคมุ การใชจ้ ดหมาย (Network Access Control) อเิ ล็กทรอนกิ ส์ (E-Mail) • 6 การควบคุมการเข้าถงึ • 11 การควบคมุ การใชอ้ นิ เทอรเ์ น็ต (Internet) ระบบปฏบิ ัติการ (Operating System Access Control) • 12 การใช้งานเครอื่ งคอมพวิ เตอร์ส่วน บคุ คล
หมวดท่ี 1 กำรควบคมุ กำรเข้ำถึงและกำรใชง้ ำนระบบสำรสนเทศ วตั ถุประสงค์ 1. เพ่ือควบคุมกำรเข้ำถงึ ข้อมูลและอุปกรณใ์ นกำรประมวลผลขอ้ มูลโดยคำนึงถงึ กำรใช้งำนและควำมมัน่ คงปลอดภัย 2. เพื่อกำหนดกฎเกณฑท์ ่ีเกยี่ วกับกำรอนุญำตให้เขำ้ ถงึ กำรกำหนดสิทธแิ์ ละกำรมอบอำนำจของหนว่ ยงำนของบริษัท โรงพยำบำลพญำไท 3 จำกัด 3. เพอ่ื ใหผ้ ู้ปฏิบัตงิ ำนไดร้ ับรเู้ ขำ้ ใจและสำมำรถปฏิบัตติ ำมแนวทำงที่กำหนดโดยเครง่ ครัดและตระหนกั ถงึ ควำมสำคญั ของกำร รกั ษำควำมมั่นคงปลอดภยั ของระบบสำรสนเทศ
ส่วนที่ 1 กำรควบคมุ กำรเขำ้ ถงึ ขอ้ มูลสำรสนเทศ (ACCESS CONTROL) 1. ผู้ปฏิบัติงานจะต้องได้รับอนุญำตกำรเข้ำถึงระบบสำรสนเทศท่ีต้องการใช้งานได้ต่อเมื่อได้รับอนุญาตจาก ผู้รับผิดชอบ/เจ้าของข้อมูล/เจ้าของระบบ ตาม ความจาเป็นตอ่ การใช้งานเท่าน้นั (อ้างอิงจาก PT3-SP-MCI-2003 นโยบายการเข้าถึงระบบสารสนเทศ ด้านข้อมลู ประวตั กิ ารรักษาผ้ปู ่วย รพ. พญาไท 3) 2. บุคคลจำกหน่วยงำนภำยนอกท่ีต้องการสิทธ์ิในการเข้าใช้งานระบบสารสนเทศของหน่วยงานจะต้องขออนุญำตเป็นลำยลักษณ์อักษรผ่ำนหัวหน้ำ หน่วยงำนทร่ี บั ผิดชอบ 3. ผู้ปฏบิ ัติงานต้องบนั ทกึ กำรผ่ำนเขำ้ -ออกสถำนที่ตง้ั ของระบบสารสนเทศเพ่ือเปน็ หลกั ฐานในการตรวจสอบดงั ต่อไปนี้ - กรณบี คุ คลภำยนอกเขำ้ -ออก รพ. ใหแ้ ลกบตั รกบั รปภ.ชน้ั 1 และติดบัตร visitor - กรณเี ข้ำพืน้ ที่แผนกเวชระเบียนและหน่วยสนับสนุนสำรสนเทศ ตอ้ งขออนุญำตกำรเข้ำ-ออกจำกเจ้ำของหน่วยงำนโดยผ่ำนระบบ finger scan - กรณเี ข้ำห้อง server ตอ้ งแจง้ ขออนญุ ำตกำรเข้ำ-ออกและเซ็นชอื่ ในสมุดบันทึกเมื่อต้องเข้ำหอ้ ง server - กรณีเขา้ พน้ื ท่ีอืน่ ๆ ตอ้ งขออนุญำตกำรเขำ้ -ออกจำกเจ้ำของหน่วยงำน - พนักงานภายในบรษิ ทั ฯ ต้องมีบตั รพนกั งำนเพ่อแสดงตัวตนกอ่ นเข้ำพนื้ ท่ีและได้รับการอนญุ าตจากเจ้าของพน้ื ท่ี
สว่ นท่ี 2 กำรบริหำรจดั กำรกำรเขำ้ ถงึ ของผู้ใชง้ ำน (USER ACCESS MANAGEMENT) 1. ผู้ปฏบิ ัติงำนใหม่ตอ้ งทำกำรลงทะเบยี นขอกำรใช้งำน ระบบคอมพิวเตอร์โปรแกรมประยุกต์ (Application), จดหมายอิเล็กทรอนิกส์ (E-Mail), ระบบเครือขา่ ยไรส้ าย (Wireless LAN),ระบบอนิ เทอร์เน็ต (Internet)กับผ้ดู ูแลระบบตามสิทธิท์ ไ่ี ด้รบั การอนมุ ตั ติ ามหนา้ ท่แี ละความ รับผดิ ชอบจากหวั หนา้ 2. หวั หนำ้ แผนกตำ่ ง ๆ ตอ้ งมกี ำรทบทวนบัญชีผ้ปู ฏบิ ตั งิ ำน สทิ ธ์กิ ารใช้งานโปรแกรมสำคญั ไดแ้ ก่ SSB,VPN อย่างสมา่ เสมอ อย่ำงน้อยปีละ 1 ครั้ง ตามขอ้ มูลทีผ่ ู้ดแู ลระบบส่งให้ เพ่ือปอ้ งกันการเข้าถึงระบบโดยไมไ่ ด้รบั อนญุ าต
ส่วนที่ 2 กำรบรหิ ำรจัดกำรกำรเขำ้ ถึงของผใู้ ชง้ ำน (USER ACCESS MANAGEMENT) 3. กำรบริหำรจัดกำรรหสั ผ่ำน (Password) (1) หวั หน้ำแผนกของต้นสงั กัดผู้ปฏบิ ตั ิงำนต้องมกี ารแจง้ กำรเปลี่ยนแปลงหรือกำรยกเลกิ รหสั ผำ่ น (Password) เม่อื ผู้ปฏบิ ตั ิงานลำออกหรอื พน้ จำก ตำแหนง่ หรอื ยกเลิกกำรใชง้ ำน ภำยใน 24 ช่วั โมง นับจากวันส้ินสดุ การทางาน (2) ผูป้ ฏบิ ตั ิงานตอ้ งทำกำรเปลยี่ นรหสั ผำ่ น (Password) หลงั จากไดร้ ับรหสั ผ่าน (Password) ชว่ั ครำวทันที (3) ผใู้ ชง้ านใส่รหัสผำ่ น (Password) ผิดพลำดได้ไม่เกนิ 5 คร้งั หรือตามท่รี ะบบกาหนด ถ้ำเกนิ ต้องติดตอ่ ผทู้ ด่ี แู ลระบบ (4) ผู้ปฏบิ ัตงิ านต้องไมบ่ ันทกึ หรือเกบ็ รหัสผำ่ น (Password) ไวใ้ นระบบคอมพวิ เตอร์ในรปู แบบที่ไม่ได้ปอ้ งกันกำรเข้ำถึง (5) ในกรณีมีความจาเป็นต้องให้สิทธิ์พิเศษกับผู้ปฏิบัติงำนที่มีสิทธ์ิสูงสุด ผู้ปฏิบัติงานน้ันจะต้องได้รับควำมเห็นชอบและอนุมัติจำกผู้บังคับบัญชำตำมสำย งำน โดยแจง้ แบบฟอร์ม โดยมีการกาหนดระยะเวลาการใช้งานและระงับการใชง้ านทันทีเม่อื พน้ ระยะเวลาดังกลา่ วหรือพน้ จากตาแหนง่ และมีการ กาหนดสทิ ธิ์พิเศษทีไ่ ด้รับ วา่ สามารถเขา้ ถึงได้ถึงระดบั ใดไดบ้ ้าง และต้องกาหนดให้รหสั ผู้ใช้งานตา่ งจากรหัสผใู้ ชง้ านตามปกติ (อา้ งองิ จาก PT3-SP-MCI-2003 นโยบายการเข้าถงึ ระบบสารสนเทศ ดา้ นข้อมลู ประวตั กิ ารรกั ษาผูป้ ่วย รพ. พญาไท 3)
ส่วนที่ 2 กำรบริหำรจัดกำรกำรเขำ้ ถึงของผ้ใู ชง้ ำน (USER ACCESS MANAGEMENT) 4. ผู้ปฏิบัติงำนต้องบริหำรจัดกำรกำรเข้ำถึงข้อมูลตำมประเภทชั้นควำมลับ ในกำรควบคุม กำรเข้ำถึงข้อมูลแต่ละประเภทช้ันควำมลับท้ังกำรเข้ำถึงโดยตรงและกำรเข้ำถึงผ่ำน ระบบงำน รวมถึงวิธีกำรทำลำยข้อมูลแต่ละประเภทชั้นควำมลับ โดยมีรำยละเอียด ดังต่อไปน้ี (1) ควบคุมการเขา้ ถึงขอ้ มูลแต่ละประเภทชนั้ ความลับทัง้ การเข้าถึงโดยตรงและการเข้าถงึ ผา่ นระบบงาน (2) กาหนดรายชอ่ื ผู้ใช้งาน (Username) และรหัสผ่าน (Password) เพ่ือใช้ในการ ตรวจสอบตวั ตนจรงิ ของผู้ใช้งานขอ้ มูลในแต่ละชน้ั ความลบั ของขอ้ มูล (3) การรับสง่ ขอ้ มูลสำคญั ผ่ำนระบบเครือข่ำยสำธำรณะ ควรไดร้ ับการเขา้ รหสั (Encryption) (4) กำหนดกำรเปลยี่ นรหสั ผ่ำน (Password) ตำมระยะเวลำทีก่ าหนดของระดับความสาคญั ของขอ้ มูล (6) กาหนดมาตรการรักษาความมั่นคงปลอดภัยของข้อมลู ในกรณีท่นี าทรพั ย์สนิ ออกนอกหน่วยงาน เช่น บำรงุ รกั ษำ ตรวจซอ่ ม ใหด้ าเนินการสำรองและ ลบขอ้ มลู ท่เี กบ็ อยใู่ นส่อื บนั ทึกกอ่ น เป็นต้น
สว่ นท่ี 3 กำรกำหนดหนำ้ ทค่ี วำมรบั ผดิ ชอบของผ้ใู ชง้ ำน (USER RESPONSIBILITIES) 1. กำรใช้งำนรหัสผำ่ น ผู้ปฏบิ ัตงิ ำนตอ้ งปฏิบตั ิ ดังนี้ (1) ผปู้ ฏิบัติงานมีหน้าทใี่ นการป้องกนั ดูแล รักษำข้อมูลบญั ชี ผใู้ ช้งาน (Username) และรหสั ผ่าน (Password) • ตอ้ งมบี ญั ชีผูใ้ ชง้ ำน (Username) ของตนเอง หำ้ มใช้รว่ มกับผู้อน่ื • หำ้ มทำกำรเผยแพร่ แจกจำ่ ย ทำให้ผู้อ่ืนลว่ งรรู้ หสั ผ่ำน (Password) • หลกี เลยี่ งกำรตดิ หรอื วำงรหสั ผำ่ นไวใ้ นทีผ่ อู้ น่ื สำมำรถพบเห็นได้งำ่ ย • ไมใ่ ช้โปรแกรมคอมพิวเตอรช์ ่วยในกำรจำรหสั ผ่ำนส่วนบคุ คลอัตโนมตั ิ (save password) • ไมใ่ ชร้ หัสผ่ำนส่วนบคุ คลสำหรบั กำรใช้แฟม้ ข้อมลู ร่วมกับบคุ คลอืน่ ผำ่ นเครือข่ำยคอมพิวเตอร์ • ลอ็ กเอำท์เม่ือใช้งำนเสรจ็ สน้ิ (ไมล่ อ็ กอนิ คำ้ งไว้) (2) เปลีย่ นรหัสผ่านทกุ ๆ 180 วัน (เฉพำะ Email ทกุ ๆ 90 วนั ) โดยไม่นารหัสผา่ นทเ่ี คยใช้แล้วกลับมาใชอ้ กี และ ปฏิบัตติ ามมาตรฐานรหสั ผา่ นดงั นี้ • รหสั ผ่านควรมีความยาวอย่างนอ้ ย 8 ตัวอักษร • ไมค่ วรใช้สว่ นใดสว่ นหนึ่ง หรอื ท้งั หมดของช่ือ นามสกลุ หมายเลขโทรศัพท์ หรอื ขอ้ มลู สว่ นบคุ คล • ไมค่ วรใช้คาทพี่ บไดใ้ นพจนานุกรมภาษาองั กฤษ • ไมค่ วรใช้กลุ่มของอกั ษรที่เป็นรูปแบบ เช่น aabbccdd, 11111111, 12345678 เปน็ ตน้ • รหสั ผา่ นควรประกอบด้วยอักษรตัวพมิ พ์ใหญ่ ตัวพิมพ์เล็ก ตัวเลข และสัญลกั ษณ์ปะปนกนั เพ่ือให้ เกดิ ความยากในการคาดเดา เช่น aB01$sCz
ส่วนที่ 3 กำรกำหนดหน้ำท่คี วำมรบั ผดิ ชอบของผูใ้ ช้งำน (USER RESPONSIBILITIES) 2. กำรกระทำใด ๆ ท่เี กดิ จำกกำรใช้บัญชขี องผู้ใช้งำน (Username) อันมกี ฎหมายกาหนดให้เปน็ ความผดิ ไม่ว่าการกระทานนั้ จะเกดิ จากผ้ปู ฏิบตั งิ านหรือไม่ ก็ตาม ให้ถือว่าเป็นความรบั ผดิ ชอบสว่ นบคุ คลซ่ึงผูป้ ฏบิ ตั งิ ำนจะตอ้ งรับผิดชอบตอ่ ควำมผดิ ท่ีเกดิ ขึ้นเอง 3. ผู้ปฏิบตั ิงานตอ้ งทาการพิสูจนต์ วั ตนทกุ ครง้ั กอ่ นท่ี จะใชท้ รพั ย์สนิ หรือระบบสารสนเทศของหนว่ ยงาน และหากการพิสจู น์ตัวตนนน้ั มปี ัญหา ไมว่ า่ จะเกดิ จาก รหัสผา่ นล็อกกด็ ีหรอื เกิดจากความผิดพลาดใด ๆ ก็ดีผู้ปฏิบัติงานตอ้ งแจง้ ให้ผดู้ ูแลระบบทราบทันทีโดยปฏิบัติตามแนวทาง ดงั น้ี (1) คอมพิวเตอรท์ ุกประเภท ก่อนการเข้าถงึ ระบบปฏิบัติการต้องทาการพสิ จู น์ตัวตนทกุ ครั้ง (2) การใชง้ านระบบคอมพิวเตอรอ์ ่นื ในเครอื ข่ายจะต้องทาการพสิ ูจนต์ ัวตนทุกครัง้ (3) การใช้งานอินเทอร์เนต็ (Internet) ตอ้ งทาการพิสจู น์ตวั ตน และต้องมีการบนั ทึกข้อมูลซ่ึงสามารถบ่งบอกตัวตนบุคคลผูใ้ ชง้ านได้ (4) เมื่อผ้ปู ฏิบตั งิ านไมอ่ ย่ทู ี่เครอ่ื งคอมพวิ เตอรต์ อ้ งทาการลอ็ กหน้าจอทุกครง้ั และต้องทาการพสิ ูจน์ตวั ตนก่อนการใชง้ านทกุ ครัง้ (5) เครอื่ งคอมพวิ เตอรท์ กุ เครือ่ งตอ้ งทาการตง้ั เวลาพกั หน้าจอ (screen saver) โดยตัง้ เวลำไมเ่ กนิ กวำ่ 15 นำที 4. ผปู้ ฏบิ ตั งิ านมีสว่ นร่วมในกำรดแู ลรักษำและรับผดิ ชอบต่อข้อมลู ของบริษทั และขอ้ มูลของผ้รู ับบริการตา่ ง ๆ หากเกดิ การสญู หาย โดยนาไปใชใ้ นทางท่ีผดิ การเผยแพร่โดยไมไ่ ดร้ ับอนุญาต ผ้ปู ฏิบัตงิ ำนตอ้ งมสี ว่ นรว่ มในกำรรบั ผิดชอบตอ่ ควำมเสียหำยน้ันด้วย 5. ผู้ปฏบิ ัติงานได้จดั ใหม้ รี ะบบปอ้ งกนั ดูแล รักษำไว้ซงึ่ ควำมลับ ควำมถูกต้อง และควำมพร้อมใช้ของข้อมลู ตลอดจนเอกสำร ส่ือบันทึก ข้อมูลคอมพิวเตอร์ หรือสำรสนเทศต่ำง ๆ ท่ีเส่ียงตอ่ กำรเข้ำถึงโดยผู้ซึ่งไมม่ ีสทิ ธิ์
ส่วนท่ี 3 กำรกำหนดหน้ำท่คี วำมรับผดิ ชอบของผูใ้ ชง้ ำน (USER RESPONSIBILITIES) 6. ผู้ปฏบิ ัตงิ านมีสิทธโ์ิ ดยชอบธรรมที่จะเกบ็ รกั ษา ใชง้ าน และปอ้ งกนั ขอ้ มลู สว่ นบคุ คลตามเห็นสมควร บรษิ ัทฯจะใหก้ ารสนับสนนุ และเคารพต่อสทิ ธิส่วน บคุ คล และไม่อนุญาตให้บุคคลหนึง่ บุคคลใดทาการละเมดิ ตอ่ ข้อมูลส่วนบคุ คลโดยไม่ได้รับอนญุ าตจากผ้ปู ฏิบัตงิ านท่คี รอบครองข้อมูลน้นั ยกเวน้ ในกรณที ี่ บรษิ ทั ฯ ต้องการตรวจสอบขอ้ มลู หรอื คาดว่าข้อมลู นนั้ เกยี่ วขอ้ งกบั บริษทั ฯซงึ่ บริษัทฯ อาจแตง่ ตั้งให้ผ้ทู าหน้าที่ตรวจสอบ ทาการตรวจสอบขอ้ มลู เหลา่ นนั้ ได้ตลอดเวลา โดยไมต่ อ้ งแจง้ ให้ผู้ปฏิบัตงิ านทราบ 7. ห้ำมเปิดหรอื ใช้งำน (Run) โปรแกรมประเภท Peer-to-Peer (หมายถึง วธิ ีการจัดเครอื ข่ายคอมพิวเตอร์แบบหนึง่ ทกี่ าหนดให้คอมพิวเตอร์ในเครอื ขา่ ย ทุกเครอื่ งเหมือนกันหรือเท่าเทียมกนั หมายความว่า แตล่ ะเครอื่ งตา่ งมโี ปรแกรมหรอื มแี ฟม้ ขอ้ มลู เกบ็ ไว้เองการจัดแบบนี้ทาให้สามารถใช้โปรแกรมหรือ แฟ้มข้อมลู ของคอมพวิ เตอร์เคร่ืองใดก็ได้แทนท่จี ะตอ้ งใช้จากเครอื่ งบริการแฟ้ม (File Server) เท่านัน้ ) หรือโปรแกรมท่มี ีควำมเส่ียงในระดบั เดยี วกัน เชน่ บทิ เทอร์เรนท์ (Bit torrent), อมี ูล (Emule) เปน็ ต้น เวน้ แตจ่ ะได้รับอนญุ าตจากหวั หน้าหน่วยงาน 8. หำ้ มใชท้ รัพย์สนิ ของหน่วยงำน เพือ่ การรบกวน ก่อให้เกิดควำมเสียหำย หรือใชใ้ นกำรโจรกรรมขอ้ มลู หรอื สิง่ อน่ื ใดอนั เป็นการขดั ตอ่ กฎหมำยและ ศลี ธรรม หรือกระทบตอ่ ภำรกจิ ของบรษิ ัทฯ 9. หำ้ มใช้ทรัพยส์ ินของหน่วยงำนทจ่ี ัดเตรยี มให้เพือ่ การเผยแพร่ข้อมูล ขอ้ ควำม รูปภำพหรือสงิ่ อืน่ ใด ทมี่ ีลักษณะขดั ตอ่ ศีลธรรม ควำมมน่ั คงของประเทศ กฎหมำย หรือกระทบตอ่ ภำรกจิ ของบรษิ ัทฯ
ส่วนที่ 3 กำรกำหนดหน้ำทคี่ วำมรับผดิ ชอบของผใู้ ช้งำน (USER RESPONSIBILITIES) 10. ห้ำมใชท้ รพั ยส์ ินของบริษทั ฯเพอ่ื ประโยชนท์ างการค้าหรือส่วนบุคคล 11. หำ้ มกระทำการใด ๆ เพอ่ื การดักข้อมลู ไมว่ า่ จะเป็นข้อความ ภาพ เสยี ง หรอื สงิ่ อ่นื ใดในเครือขา่ ยระบบสารสนเทศของบริษัทฯ โดยเดด็ ขาด ไม่ว่าจะดว้ ยวธิ ีการใด ๆ ก็ตาม 12. ห้ำมกระทาการรบกวน ทาลาย หรือทาใหร้ ะบบสารสนเทศของหนว่ ยงานต้องหยุดชะงัก 13. ห้ำมใชร้ ะบบสำรสนเทศของบรษิ ทั ฯ เพื่อการควบคุมคอมพวิ เตอร์หรอื ระบบสารสนเทศภายนอก โดยไม่ไดร้ บั อนุญาตจากหัวหนา้ หนว่ ยงาน หรือผู้ดแู ลระบบท่ีได้รับมอบหมาย 14. ห้ำมกระทำกำรใด ๆ อันมีลกั ษณะเปน็ การลกั ลอบใชง้ านหรอื รบั ร้รู หสั ส่วนบคุ คลของผ้อู ื่นไม่วา่ จะเป็นกรณีใด ๆ เพือ่ ประโยชนใ์ นการเข้าถงึ ขอ้ มูล หรือเพอื่ การใช้ทรัพยากรกต็ าม 15. หำ้ มติดตั้งอุปกรณห์ รือกระทาการใด ๆ เพือ่ เขา้ ถงึ ระบบสารสนเทศของบริษัทฯ โดยไมไ่ ดร้ ับอนุญาตผา่ นหวั หนา้ หนว่ ยงานหรือผ้ดู ูแลระบบท่ี ได้รับมอบหมาย
ส่วนท่ี 4 กำรบริหำรจัดกำรทรัพย์สิน (ASSETS MANAGEMENT) 1. ผู้ปฏบิ ตั ิงานต้องไม่เข้ำไปในหอ้ งปฏิบัตกิ ำรเครอื ข่ำยคอมพิวเตอร์ (Data Center หมายถงึ สถานทที่ ่ีใช้สาหรับตดิ ตง้ั เครอ่ื งคอมพวิ เตอรแ์ มข่ ่ายและ/หรือ อปุ กรณบ์ ริหารจัดการเครอื ขา่ ย) ท่ีเปน็ เขตหวงห้ามโดยเด็ดขาด เว้นแตไ่ ด้รับอนญุ ำตจำกผู้ดูแลระบบ 2. ผปู้ ฏิบตั ิงานตอ้ งไมน่ ำอุปกรณ์หรอื ชนิ้ สว่ นใดออกจำกห้องปฏบิ ตั ิกำรเครอื ขำ่ ยคอมพิวเตอร์เว้นแต่จะได้รับอนญุ ำตจำกผดู้ ูแลระบบ 3. ผู้ปฏบิ ตั งิ านตอ้ งไมน่ ำเครื่องมอื หรอื อุปกรณ์อน่ื ใด เชือ่ มเขำ้ เครอื ข่ำยเพอ่ื กำรประกอบธุรกิจส่วนบคุ คล 4. ผปู้ ฏิบัติงานต้องไม่คัดลอกหรอื ทำสำเนำหรอื ถำ่ ยรูปแฟม้ ข้อมูลที่มลี ขิ สทิ ธ์ิกำกบั กำรใช้งำน และข้อมูลในระดบั ชั้นควำมลบั ระดับลบั ท่สี ุด, ลบั , ใช้ ภำยใน ก่อนได้รบั อนุญำต และผู้ใช้งานตอ้ งไมใ่ ชห้ รอื ลบแฟ้มข้อมลู ของผูอ้ ่ืนไมว่ ำ่ กรณใี ด ๆ 5. ผ้ปู ฏบิ ตั ิงานต้องทำลำยขอ้ มูลสำคญั ในอุปกรณส์ ่อื บนั ทกึ ข้อมลู แฟ้มข้อมลู ก่อนทจี่ ะกาจัดอปุ กรณต์ อ้ งทำกำรลบหรือเขียนข้อมลู ทบั บนข้อมูลที่มี ควำมสำคัญในอุปกรณส์ ำหรับจัดเก็บข้อมลู ก่อนที่จะอนุญำตให้ผู้อ่นื นำอุปกรณ์นน้ั ไปใช้งำนตอ่ เพื่อปอ้ งกันไม่ให้มกี ารเขา้ ถงึ ข้อมูลสาคัญนน้ั ได้และ พจิ ารณาวธิ กี ารทาลายข้อมูลบนสือ่ บนั ทกึ ข้อมลู แตล่ ะประเภท ดงั นี้
แนวทำงกำรทำลำยสือ่ บันทกึ ต่ำงๆ ประเภทสอ่ื บันทกึ ข้อมูล วิธกี ำรทำลำย กระดำษ • ข้อมลู หรอื เอกสารถูกทาลายดว้ ยกำรฉกี หรอื เครื่องทำลำยเอกสำร หรอื ส่งทำลำยกับบรษิ ทั ภำยนอก ใช้กำร ตม้ กอ่ นทำกำรยอ่ ยทำลำย ทั้งนี้เพือ่ ใหเ้ กดิ ความแน่ใจวา่ ขอ้ มลู ในเอกสารไม่สามารถถกู นากลบั มาใช้งานได้อกี แผน่ CD/DVD Hard disc/ Flash drive/ ใช้การทาลายดว้ ยการตัด หรือเคร่อื งห่นั ทาลายเอกสาร Memory card/ Mobile • ให้ทาลายข้อมลู ตามมาตรฐาน DOD 5220.22M ของกระทรวงกลาโหมสหรัฐอเมรกิ า ซึ่งเป็นมาตรฐานการ device เทป ทาลายข้อมลู โดยการเขียนทับข้อมูลเดิมหลายรอบ • ใชว้ ธิ กี ารทุบหรือบทให้เสียหาย • ใช้วธิ ีการตดั เทป ทุบหรือบดใหเ้ สียหาย หรอื เผาทาลาย
แนวทำงกำรส่งเอกสำรทำลำย
ส่วนที่ 4 กำรบรหิ ำรจัดกำรทรพั ยส์ นิ (ASSETS MANAGEMENT) 6. ผ้ปู ฏบิ ตั ิงานมีหนำ้ ทต่ี อ้ งรบั ผิดชอบตอ่ ทรพั ย์สินทห่ี นว่ ยงำนมอบไวใ้ ห้ใช้งำนเสมือนหนงึ่ เป็นทรพั ย์สินของผู้ปฏบิ ตั งิ ำนเอง โดยบรรดา รายการทรพั ยส์ นิ (Asset lists) ทผี่ ้ปู ฏบิ ัตงิ านตอ้ งรับผดิ ชอบ กำรรับหรือคืนทรพั ยส์ ิน จะถกู บันทกึ และตรวจสอบทกุ ครง้ั โดยเจ้าหนา้ ท่ที ี่ หนว่ ยงานมอบหมาย 7. กรณที ำงำนนอกสถำนท่ีผปู้ ฏิบัติงำนต้องดแู ลและรบั ผดิ ชอบทรัพย์สนิ ของหน่วยงำนทีไ่ ดร้ ับมอบหมาย 8. ผู้ปฏิบัตงิ ำนมหี น้ำทีต่ ้องชดใชค้ ่ำเสียหำยไม่ว่ำทรัพยส์ นิ นัน้ จะชำรดุ หรือสญู หำยตำมมูลคำ่ ทรัพยส์ ิน หากความเสยี หายนน้ั เกิดจากความ ประมาทของผใู้ ชง้ าน 9. ผ้ปู ฏบิ ตั งิ านตอ้ งไมใ่ หผ้ ูอ้ ืน่ ยืม คอมพวิ เตอร์ตงั้ โต๊ะหรือคอมพวิ เตอร์พกพำ (Notebook) ไมว่ ำ่ ในกรณีใด ๆ เว้นแตก่ ารยืมนั้นได้รับการ อนมุ ัตเิ ปน็ ลายลักษณอ์ กั ษรจากหวั หนา้ หน่วยงานหรอื ผ้ดู แู ลระบบ 10. ผูป้ ฏบิ ัตงิ านมสี ทิ ธิ์ใชท้ รัพย์สินและระบบสารสนเทศต่าง ๆ ท่หี น่วยงานจัดเตรยี มไวใ้ หใ้ ช้งานโดยมวี ตั ถุประสงค์เพือ่ การใช้งานของหนว่ ยงาน เท่านน้ั ห้ำมมใิ ห้นำทรัพยส์ นิ และระบบสำรสนเทศตำ่ ง ๆ ไปใช้ในกจิ กรรมทหี่ นว่ ยงำนไม่ได้กำหนด หรอื ทำใหเ้ กิดควำมเสยี หำยต่อบรษิ ทั ฯ
สว่ นที่ 5 กำรควบคุมกำรเข้ำถึงเครือข่ำย (NETWORK ACCESS CONTROL) 1. ผปู้ ฏบิ ัติงานทจ่ี ะนาเครื่องคอมพวิ เตอร์อปุ กรณม์ าเชือ่ มตอ่ กบั เคร่อื งคอมพิวเตอรร์ ะบบเครือข่ายของหน่วยงาน ตอ้ งไดร้ ับอนุญาตจาก หัวหน้าหน่วยงานและต้องปฏบิ ัติตามนโยบายน้ี โดยเครง่ ครดั โดยผใู้ ชง้ านตอ้ งกรอกแบบฟอรม์ “กำรขอเชอื่ มตอ่ เครือข่ำย” หรอื หวั หนา้ หน่วยงานตอ้ งแจง้ ผู้ดูแลระบบของบรษิ ทั ฯ ทราบ 2. ห้ำมผู้ใดกระทำกำรเคลอ่ื นยำ้ ย ติดตงั้ เพม่ิ เตมิ หรอื ทำกำรใด ๆ ตอ่ อปุ กรณส์ ว่ นกลำง ได้แก่ อปุ กรณ์จดั เสน้ ทาง (Router) อปุ กรณ์ กระจายสญั ญาณขอ้ มลู (Switch) อุปกรณ์ทีเ่ ชื่อมตอ่ กบั ระบบเครือขา่ ยหลกั โดยไม่ไดร้ ับอนญุ าตจากผ้ดู แู ลระบบ
สว่ นที่ 6 กำรควบคุมกำรเขำ้ ถึงระบบปฏิบตั ิกำร (OPERATING SYSTEM ACCESS CONTROL) 1. ผู้ปฏบิ ตั ิงานต้องปฏิบตั ติ ามการเข้าใช้งานระบบปฏิบตั ิการของบรษิ ทั ฯ ดังตอ่ ไปน้ี (1) ผปู้ ฏบิ ัตงิ านต้องกำหนดรหัสผ่ำนในกำรใชง้ ำนเครือ่ งคอมพิวเตอร์ท่รี บั ผิดชอบ (2) ผูป้ ฏบิ ตั งิ านตอ้ งตง้ั ค่าการใช้งานโปรแกรมถนอมหนา้ จอ (Screen saver) ไม่เกนิ กวำ่ 15 นำที เพ่อื ทาการล็อกหน้าจอภาพเมอ่ื ไม่มีการ ใชง้ าน หลังจากนั้นเมอ่ื ต้องการใช้งานผ้ใู ชง้ านตอ้ งใส่รหสั ผ่าน (Password) เพื่อเขา้ ใช้งาน (4) ผปู้ ฏิบตั ิงานต้องไมอ่ นุญำตใหผ้ ้อู ืน่ ใชช้ ือ่ ผู้ใชง้ ำน (Username) และรหัสผำ่ น(Password) ของตนในการเขา้ ใช้งานเคร่ือง คอมพิวเตอร์ของหน่วยงานรว่ มกัน (6) ผปู้ ฏิบัติงานต้องทำกำรลงบนั ทกึ ออก (Logout) ทันทีเม่อื เลิกใชง้ านหรอื ไมอ่ ยู่ทหี่ น้าจอเป็นเวลานาน (7) ซอฟตแ์ วรท์ มี่ ลี ขิ สิทธ์ผูป้ ฏบิ ตั ิงานสามารถขอใช้งานได้ตามหน้าทีค่ วามจาเปน็ และหา้ มไม่ให้ผู้ปฏิบตั ิงานทาการตดิ ต้งั หรอื ใชง้ าน ซอฟตแ์ วรอ์ น่ื ใดทีไ่ มม่ ลี ขิ สทิ ธิ์หากตรวจพบ ถอื วา่ เป็นความผดิ สว่ นบคุ คล ผปู้ ฏบิ ัติงานรับผิดชอบแตเ่ พยี งผเู้ ดยี ว (8) ซอฟท์แวร์ท่จี ดั เตรียมไว้ใหผ้ ใู้ ชง้ านถอื เปน็ สิ่งจาเปน็ ห้ามมใิ ห้ผู้ปฏิบตั ิงานทาการติดตง้ั ถอดถอนเปล่ยี นแปลง แก้ไข หรือทาสาเนาเพอ่ื นาไปใชง้ านท่อี ื่น (9) หำ้ มผปู้ ฏิบตั ิงำนนำเสนอข้อมลู ที่ผดิ กฎหมำยละเมิดลิขสทิ ธแ์ิ สดงขอ้ ควำมรูปภำพไม่เหมำะสม หรอื ขัดต่อศลี ธรรม กรณีผู้ปฏบิ ตั งิ าน สร้างเว็บเพจบนเครือข่ายคอมพิวเตอร์ (10) หา้ มผปู้ ฏิบตั ิงานของหนว่ ยงาน ควบคมุ คอมพิวเตอร์หรอื ระบบสำรสนเทศภำยนอกโดยไม่ได้รับอนญุ าตจากหัวหน้าหนว่ ยงาน
สว่ นที่ 6 กำรควบคุมกำรเข้ำถึงระบบปฏบิ ัติกำร (OPERATING SYSTEM ACCESS CONTROL 2. การใช้งานโปรแกรมประเภทยูทลิ ติ ี้ (Use of system utilities) ตอ้ งจากัดและควบคุมการใชง้ าน โปรแกรมยทู ลิ ติ ีส้ าหรบั โปรแกรม คอมพวิ เตอร์ทส่ี าคัญ เนอื่ งจากการใช้งานโปรแกรมยูทลิ ติ ีบ้ างชนิดสามารถทาให้ผู้ใช้หลกี เลีย่ งมาตรการป้องกนั ทางด้านความมน่ั คงปลอดภยั ของระบบได้ เพอื่ ปอ้ งกันการละเมดิ หรือหลกี เลย่ี งมาตรการความมนั่ คงปลอดภัยท่ีได้กาหนดไวห้ รอื ท่ีมีอยูแ่ ลว้ ใหด้ าเนนิ การ ดังน้ี (1) การใช้งานโปรแกรมยทู ลิ ติ ต้ี ้องไดร้ บั การอนมุ ัตจิ ากผดู้ ูแลระบบ และต้องมีการพสิ ูจน์ยนื ยนั ตวั ตนสาหรับการเขา้ ไปใช้งานโปรแกรมยูทิลิตี้ เพือ่ จากัดและควบคมุ การใช้งาน (2) โปรแกรมยทู ลิ ติ ท้ี ี่นามาใชง้ านต้องไมล่ ะเมิดลขิ สิทธิ์ (3) ตอ้ งจัดเกบ็ โปรแกรมยทู ลิ ติ ี้ออกจากซอฟตแ์ วร์สาหรบั ระบบงาน (4) มีการจากดั สิทธผิ์ ทู้ ี่ไดร้ ับอนุญาตใหใ้ ชง้ านโปรแกรมยูทลิ ติ ้ี (5) ต้องยกเลกิ หรือลบทง้ิ โปรแกรมยูทิลติ แี้ ละซอฟต์แวรท์ เี่ กย่ี วข้องกบั ระบบงานทไี่ ม่มคี วามจาเปน็ ในการใชง้ าน รวมทงั้ ตอ้ งปอ้ งกันไม่ให้ ผปู้ ฏบิ ัตงิ านสามารถเขา้ ถึงหรอื ใชง้ านโปรแกรมยทู ิลติ ้ไี ด้
สว่ นที่ 6 กำรควบคมุ กำรเข้ำถงึ ระบบปฏบิ ตั ิกำร (OPERATING SYSTEM ACCESS CONTROL 3. การใชง้ านอปุ กรณ์คอมพิวเตอร์และส่ือสารเคล่อื นที่ ต้องปฏิบตั ิดงั ต่อไปน้ี (1) ตรวจสอบความพรอ้ มของคอมพิวเตอร์และอุปกรณท์ จ่ี ะนาไปใชง้ านวา่ อยู่ในสภาพพรอ้ มใช้งานหรอื ไมแ่ ละตรวจสอบโปรแกรมมาตรฐาน ว่าถกู ตอ้ งตามลิขสทิ ธ์ิ (2) ระมัดระวังไมใ่ ห้บุคคลภำยนอกคดั ลอกขอ้ มูลจำกคอมพิวเตอรท์ ่นี ำไปใช้ได้ เว้นแตข่ อ้ มลู ทไี่ ด้มกี ารเผยแพรเ่ ป็นการท่วั ไป (3) เมื่อหมดความจาเปน็ ตอ้ งใช้อุปกรณค์ อมพิวเตอรแ์ ละสื่อสารเคลื่อนทแ่ี ลว้ ใหร้ ีบนาส่งคนื เจา้ หนา้ ที่ท่รี บั ผิดชอบทนั ที (4) เจ้าหน้าท่ีผูร้ บั ผิดชอบในการรบั คืนตอ้ งตรวจสอบสภาพความพร้อมใชง้ านของอปุ กรณค์ อมพวิ เตอร์และสอ่ื สารเคล่ือนท่ีทีร่ บั คืนด้วย (5) หากปรากฎว่าความเสียหายท่ีเกดิ ข้นึ น้นั เกิดจากความประมาทอย่างรา้ ยแรงของผ้นู าไปใช้ ผนู้ าไปใชต้ ้องรับผดิ ชอบต่อความเสยี หายท่ี เกดิ ข้นึ
ส่วนที่ 7 กำรบรหิ ำรจดั กำรซอฟต์แวร,์ ลขิ สิทธิแ์ ละกำรปอ้ งกันโปรแกรมไมป่ ระสงค์ดี (SOFTWARE LICENSING AND INTELLECTUAL PROPERTY AND PREVENTING MALWARE) 1. บริษัทฯ ไดใ้ หค้ วามสาคัญตอ่ เรอื่ งทรพั ยส์ นิ ทางปญั ญา ดงั นน้ั ซอฟตแ์ วรท์ ่หี นว่ ยงานอนุญาตให้ใช้งานหรือท่หี นว่ ยงานมลี ขิ สทิ ธผ์ิ ้ใู ชง้ าน สามารถขอใช้งานไดต้ ามหนา้ ที่ความจาเปน็ และหา้ มไมใ่ หผ้ ู้ปฏิบัตงิ านทาการติดต้ังหรือใช้งานซอฟต์แวร์อื่นใดท่ีไมม่ ีลิขสิทธ์ิหากมกี าร ตรวจสอบพบความผิดฐานละเมดิ ลขิ สิทธิ์ถอื วา่ เปน็ ความผดิ สว่ นบุคคล ผูป้ ฏบิ ตั ิงานจะต้องรบั ผิดชอบแต่เพียงผู้เดยี ว 2. ซอฟตแ์ วร์ (Software) ท่ีหน่วยงานไดจ้ ดั เตรียมไว้ใหผ้ ้ปู ฏิบตั ิงานถือเป็นสิง่ จาเปน็ ตอ่ การทางานหา้ มมใิ หผ้ ู้ปฏิบัติงานทาการ ถอดถอน เปล่ยี นแปลง แก้ไข หรอื ทาสาเนาเพอ่ื นาไปใชง้ านทีอ่ ืน่ ๆ ยกเว้นไดร้ ับการอนญุ าตจากหวั หนา้ หนว่ ยงานหรือผู้ทีไ่ ด้รบั มอบหมายท่ีมีสทิ ธ์ิใน ลิขสิทธิ์ 3. ขอ้ มูลไฟลซ์ อฟตแ์ วร์หรอื สิ่งอ่นื ใด ทไ่ี ดร้ ับจากผปู้ ฏิบตั งิ านอ่ืนต้องได้รับกำรตรวจสอบไวรสั คอมพวิ เตอร์และโปรแกรมไม่ประสงคด์ กี อ่ น นามาใชง้ านหรอื กอ่ นเกบ็ บันทึกทกุ คร้งั 4. ผู้ปฏบิ ัตงิ านต้องพึงระวังไวรสั และโปรแกรมไม่ประสงค์ดีตลอดเวลำรวมทง้ั เมอ่ื พบสงิ่ ผดิ ปกติผูป้ ฏิบตั งิ ำนตอ้ งแจง้ เหตผุ ู้ดูแลระบบทราบ ทนั ที 5. เมื่อผู้ปฏิบัติงานพบว่ำเครอื่ งคอมพิวเตอร์ตดิ ไวรัส ผูป้ ฏิบัตงิ านต้องไม่เชอ่ื มตอ่ เครอ่ื งคอมพิวเตอรเ์ ข้ำสู่เครอื ข่ำย และต้องแจง้ แกผ่ ้ดู แู ล ระบบ 6. หำ้ มลกั ลอบทำสำเนำ เปลยี่ นแปลง ลบทงิ้ ซึ่งขอ้ มลู ข้อควำม เอกสำร หรือสิ่งใด ๆ ท่ีเปน็ ทรพั ยส์ นิ ของหน่วยงำน หรอื ของผอู้ ื่น โดย ไมไ่ ด้รับอนญุ ำตจากหัวหนา้ หน่วยงาน
สว่ นท่ี 7 กำรบรหิ ำรจัดกำรซอฟตแ์ วร,์ ลิขสทิ ธแ์ิ ละกำรป้องกันโปรแกรมไม่ประสงค์ดี (SOFTWARE LICENSING AND INTELLECTUAL PROPERTY AND PREVENTING MALWARE) 7. หำ้ มทำกำรเผยแพรไ่ วรัสคอมพิวเตอร์, มัลแวรห์ รือโปรแกรมอนั ตรำยใด ๆ ที่อำจกอ่ ใหเ้ กิดควำมเสยี หำยมำส่ทู รัพยส์ ินของหนว่ ยงำน สิทธท์ิ ่ีจะพัฒนาโปรแกรมหรือฮารด์ แวร์ใด ๆ สามารถดาเนนิ การไดแ้ ต่ต้องไม่ดาเนนิ การดังนี้ (1) พฒั นาโปรแกรมหรือฮารด์ แวรใ์ ด ๆ ที่จะทาลายกลไกรักษาความปลอดภัยระบบ รวมทั้งการกระทาในลักษณะเปน็ การแอบใช้รหสั ผ่าน การลักลอบทาสาเนาข้อมูลบคุ คลอื่นหรือแกะรหสั ผา่ นของบคุ คลอน่ื (2) พฒั นาโปรแกรมหรอื ฮาร์ดแวร์ใด ๆ ซ่งึ ทาใหผ้ ้ใู ชง้ านมสี ิทธแิ์ ละลาดับความสาคญั ในการครอบครองทรพั ยากรระบบมากกวา่ ผใู้ ช้งานอนื่ (3) พัฒนาโปรแกรมใดทีจ่ ะทาซา้ ตัวโปรแกรมหรอื แฝงตวั โปรแกรมไปกบั โปรแกรมอื่นในลกั ษณะเช่นเดยี วกับหนอนหรอื ไวรัสคอมพวิ เตอร์ (4) พัฒนาโปรแกรมหรอื ฮาร์ดแวรใ์ ด ๆ ทจ่ี ะทาลายระบบจากัดสทิ ธิการใช้ (License) ซอฟตแ์ วร์ (5) นาเสนอข้อมูลท่ีผดิ กฎหมาย ละเมิดลิขสทิ ธแิ์ สดงข้อความรปู ภาพไม่เหมาะสมหรือขดั ต่อศลี ธรรมประเพณีอนั ดงี ามของประเทศไทย กรณี ทผี่ ู้ใชง้ านสร้างเว็บเพจบนเครือขา่ ยคอมพิวเตอร์
สว่ นท่ี 8 กำรปฏิบัตงิ ำนจำกภำยนอกสำนกั งำน (TELEWORKING) 1. บริษัทฯ มกี ารตรวจสอบว่ำอปุ กรณ์ท่เี ป็นของส่วนตวั ซึ่งใช้ในการเขา้ ถงึ ระบบเทคโนโลยีสารสนเทศของหนว่ ยงำนจำกระยะไกลมกี าร ป้องกนั ไวรัสและการใช้งานไฟรว์ อลลต์ ามท่หี นว่ ยงานกาหนด 2. บริษัทฯ มกี ำรจัดเตรยี มอุปกรณ์สำหรับกำรปฏิบตั ิงำนจำกระยะไกลหรือกรณใี ชอ้ ปุ กรณส์ ่วนตัวต้องมกี ำรลงทะเบยี นกบั ผดู้ แู ลระบบ 3. ผปู้ ฏบิ ตั งิ านจากระยะไกลทกุ คน ตอ้ งผ่ำนกำรพิสจู น์ตวั ตน เพ่อื เพิม่ ความปลอดภัยจะตอ้ งมีการตรวจสอบ เช่น รหัสผ่าน หรอื วธิ ีการ เข้ารหสั เปน็ ต้น 4. บรษิ ัทฯ ไดก้ าหนดชนิดของงาน, ชวั่ โมงการทางาน ชัน้ ความลบั ของขอ้ มลู ระบบงานและบริการต่าง ๆ ของหน่วยงานทอ่ี นญุ าตและไม่ อนญุ าตให้ปฏบิ ัตงิ านจากระยะไกล 5. บรษิ ัทฯ ไดก้ าหนดข้นั ตอนปฏิบตั สิ าหรบั การขออนุมัติ การขอยกเลิก การกาหนดหรือปรับปรงุ สิทธิ์การเข้าถึงระบบงาน และการคืน อุปกรณ์ทใ่ี ช้ปฏิบัติงานจากระยะไกล
สว่ นที่ 9 กำรควบคุมกำรเข้ำถงึ ระบบเครอื ข่ำยไรส้ ำย (WIRELESS LAN ACCESS CONTROL) 1. ผู้ปฏบิ ตั ิงานทีต่ อ้ งกำรเขำ้ ถึงระบบเครือขำ่ ยไร้สำยของบรษิ ัทฯ จะต้องทำกำรลงทะเบียนกับผู้ดแู ลระบบและต้องได้รบั พิจารณาอนญุ าตจาก หัวหนา้ หนว่ ยงานอย่างเปน็ ลายลกั ษณ์อักษร
สว่ นที่ 10 กำรควบคุมกำรใช้จดหมำยอเิ ล็กทรอนิกส์ (E-MAIL) 1. เม่ือไดร้ บั รหสั ผ่าน (Password) ครง้ั แรกในการเขา้ ระบบจดหมายอิเลก็ ทรอนกิ ส์ (E-Mail) และเม่อื มีการเข้าส่รู ะบบในคร้ังแรกนั้น ให้เปลย่ี น รหสั ผ่ำน (Password) โดยทนั ที 2. ผู้ใชง้ านต้องไม่บนั ทกึ หรอื เก็บรหัสผ่าน (Password) ไว้ในระบบคอมพิวเตอร์ และ เปลี่ยนรหัสผ่าน (Password) ทุก 90 วนั ข้อ 3. การสง่ ขอ้ มลู ทเ่ี ป็นความลับในระดบั ชัน้ ท่ีกาหนด ไม่ควรระบคุ วำมสำคญั ของข้อมลู ลงในหัวขอ้ จดหมำยอิเล็กทรอนกิ ส์ (E-Mail) เว้นเสียแต่ วา่ จะใชว้ ธิ ีกำรเขำ้ รหัสขอ้ มลู ให้ใช้ความระมดั ระวงั ในการระบุชอ่ื ที่อยู่ E-Mail ของผู้รบั ใหถ้ กู ตอ้ งเพ่ือป้องกนั การสง่ ผิดตัวผู้รับ 4. หำ้ มส่ง E-Mail ท่มี ลี ักษณะเป็นจดหมำยขยะ (Spam Mail), จดหมายลกู โซ่ (Chain Letter), เป็นการละเมดิ ตอ่ กฏหมาย หรอื สิทธิของบุคคล อืน่ , ท่มี ไี วรสั ไปให้กับบุคคลอ่นื โดยเจตนา 5. ผูป้ ฏิบตั งิ านต้องทำกำรตรวจสอบเอกสำรแนบจำกจดหมำยอิเล็กทรอนิกสก์ ่อนกำรเปิดเพ่ือตรวจสอบไฟลโ์ ดยใช้โปรแกรมปอ้ งกนั ไวรสั เปน็ การปอ้ งกันในการเปิดไฟลท์ ีเ่ ป็น Executable file เชน่ .exe .com เปน็ ต้น และแจ้งผู้ดูแลระบบเพื่อตรวจสอบกรณไี ม่ม่นั ใจด้านความ ปลอดภยั 6. ผู้ปฏิบตั ิงานต้องไมเ่ ปิดหรอื ส่งต่อจดหมำยอเิ ล็กทรอนกิ สห์ รือข้อควำมทไี่ ดร้ บั จำกผสู้ ่งทไ่ี ม่รูจ้ กั 7. ผปู้ ฏิบตั ิงานตอ้ งไมใ่ ช้ขอ้ ควำมที่ไม่สภุ ำพหรือรับสง่ จดหมำยอเิ ลก็ ทรอนกิ สท์ ีไ่ ม่เหมำะสม ขอ้ มูลอันอำจทำใหเ้ สยี ชอ่ื เสียงของหน่วยงำน ทา ให้เกิดความแตกแยกระหว่างหนว่ ยงาน ผ่านทางจดหมายอเิ ล็กทรอนิกส์ 8. ผูป้ ฏิบตั งิ านตอ้ งใช้จดหมำยอิเลก็ ทรอนกิ สข์ องบรษิ ัทฯ สำหรับใช้รบั -สง่ ข้อมลู ในกำรปฏบิ ัตงิ ำนทเ่ี ก่ียวข้องกับหน้ำที่ทไ่ี ด้รับมอบหมำย
สว่ นที่ 11 กำรควบคมุ กำรใช้อนิ เทอรเ์ น็ต (INTERNET) 1. หำ้ มผปู้ ฏิบตั ิงำนทำกำรเชือ่ มตอ่ ระบบคอมพวิ เตอร์ผ่ำนช่องทำงอนื่ ทไ่ี ม่ใชข่ ององคก์ ร เช่น 3G, 4G rounter ยกเวน้ แต่ว่ามเี หตุผลความ จาเป็นและตอ้ งทาการขออนญุ าตจากหัวหน้าหน่วยงานเป็นลายลักษณอ์ ักษร 2. ไม่ใชร้ ะบบอินเทอร์เนต็ (Internet) ของหน่วยงำน เพอื่ หำประโยชนใ์ นเชงิ พำณิชยเ์ ปน็ กำรส่วนบุคคล และทำกำรเข้ำส่เู วบ็ ไซต์ท่ไี ม่ เหมำะสม เช่น เว็บไซตท์ ีข่ ัดตอ่ ศีลธรรม เว็บไซต์ที่มีเน้ือหาอนั อาจกระทบกระเทือนหรอื เป็นภยั ต่อความมัน่ คงตอ่ ชาติศาสนา พระมหากษตั ริย์ หรอื เว็บไซตท์ เ่ี ป็นภยั ตอ่ สังคมหรือละเมิดสทิ ธิของผู้อ่ืน หรือข้อมูลท่ีอาจกอ่ ใหเ้ กดิ ความเสียหายให้กับหนว่ ยงาน 3. หำ้ มเปดิ เผยข้อมูลสำคญั ท่เี ปน็ ควำมลับเก่ียวกับงานของหน่วยงานท่ยี งั ไม่ได้ประกาศอยา่ งเป็นทางการผ่านระบบอินเทอร์เนต็ (Internet) 4. ระมัดระวงั กำรดำวน์โหลดโปรแกรมทใี่ ชง้ ำนจำกระบบอนิ เทอรเ์ น็ต (Internet) การอัพเดท (Update) โปรแกรมต่าง ๆ ตอ้ งเป็นไปโดย ไมล่ ะเมดิ ลขิ สิทธิ์ 5. ในการใชง้ านกระดานสนทนาอิเล็กทรอนิกส์ หรือ Social Network ต้องไม่เสนอควำมคิดเหน็ หรอื ใชข้ อ้ ควำมท่ยี วั่ ยใุ ห้รำ้ ย ที่จะทำให้เกดิ ควำมเสอ่ื มเสยี ต่อชอ่ื เสยี งของหนว่ ยงำนหรอื บริษัทฯและเปน็ การทาลายความสัมพนั ธ์กับบุคลากรของหนว่ ยงานอืน่ ๆ 6. ผ้ปู ฏิบัตงิ านไมน่ ำเขำ้ ข้อมูลคอมพวิ เตอร์ใดๆ ท่มี ีลกั ษณะอันเปน็ เท็จ อันเป็นควำมผดิ ตำมกฎหมำยทีเ่ ก่ยี วข้อง 7. ผู้ปฏบิ ัติงานต้องปฏบิ ัตติ ำมกฎหมำยว่ำด้วยกำรกระทำควำมผิดเกย่ี วกบั คอมพิวเตอร์อยา่ งเคร่งครดั
ส่วนท่ี 12 กำรใชง้ ำนเครอื่ งคอมพิวเตอรส์ ่วนบุคคล 1. แนวทางปฏิบัตกิ ารใช้งานทว่ั ไป (1) เคร่อื งคอมพวิ เตอรท์ ห่ี นว่ ยงานอนญุ าตใหใ้ ชง้ านเปน็ ทรพั ย์สนิ ของหนว่ ยงาน (2) โปรแกรมที่ได้ถูกติดตั้งลงบนเครอื่ งคอมพิวเตอรข์ องหนว่ ยงำนตอ้ งเปน็ โปรแกรมที่หนว่ ยงำนได้ซอ้ื ลิขสิทธ์ิมาอยา่ งถกู ตอ้ งตามกฎหมาย ดงั นนั้ หำ้ มผู้ปฏบิ ัตงิ ำนคดั ลอกโปรแกรมต่ำง ๆ และนำไปติดตงั้ บนเครอื่ งคอมพิวเตอร์ส่วนตวั หรือแก้ไข หรือนำไปให้ผ้อู น่ื ใชง้ ำนโดย ผิดกฎหมำย (3) การเคลื่อนยา้ ยหรอื ส่งเครอื่ งคอมพวิ เตอร์สว่ นบุคคลตรวจซอ่ มจะต้องดำเนนิ กำรโดยเจ้ำหน้ำท่ี IT หรอื ผู้รับจ้ำงเหมำบำรงุ รักษำ เคร่ืองคอมพิวเตอรแ์ ละอุปกรณท์ ่ีไดท้ ำสัญญำกับบรษิ ัทฯ เท่าน้ัน (5) ก่อนการใช้งานส่ือบนั ทึกพกพาต่าง ๆ ต้องมกี ารตรวจสอบเพือ่ หาไวรัสโดยโปรแกรมป้องกนั ไวรัส (6) ปดิ เครอื่ งคอมพวิ เตอรส์ ว่ นบคุ คลทตี่ นเองครอบครองใชง้ านอยู่เม่อื ใช้งำนประจำวันเสร็จส้ิน หรือเมื่อมกี ำรยตุ กิ ำรใช้งำนเกนิ กวำ่ 1 ชม. (8) ทาการตัง้ คา่ Screen Saver ของเครอ่ื งคอมพวิ เตอร์ท่ตี นเองรับผิดชอบใหม้ ีกำรล็อกหน้ำจอหลงั จำกท่ไี ม่ไดใ้ ชง้ ำนเกนิ กวำ่ 15 นำที เพ่อื ป้องกนั บคุ คลอ่นื มาใช้งานท่ีเคร่อื งคอมพวิ เตอร์ (9) หำ้ มนำเคร่ืองคอมพิวเตอรส์ ่วนตัวท่เี จ้ำหนำ้ ที่เป็นเจำ้ ของมำใชก้ ับระบบเครือขำ่ ยของหน่วยงำน ยกเว้นจะไดร้ ับการตรวจสอบจาก ผ้ดู ูแลระบบของหน่วยงานกอ่ นการใช้งาน
สว่ นท่ี 12 กำรใชง้ ำนเคร่อื งคอมพิวเตอรส์ ว่ นบคุ คล 2. การปอ้ งกันจากโปรแกรมชดุ คาส่งั ไม่พงึ ประสงค์ (Malware) (1) ผ้ใู ชง้ านตอ้ งตรวจสอบหาไวรัสจากสือ่ ตา่ ง ๆ เชน่ Floppy Disk, Flash Drive หรือ Data Storage อื่น ๆ กอ่ นนามาใช้งานร่วมกับเคร่อื ง คอมพิวเตอร์ (2) ผ้ใู ชง้ านตอ้ งตรวจสอบไฟล์ทแี่ นบมากับจดหมายอเิ ลก็ ทรอนิกส์หรอื ไฟล์ท่ีดาวนโ์ หลดมาจากอินเทอร์เน็ตด้วยโปรแกรมป้องกันไวรัสกอ่ นใช้ งาน (3) ผูใ้ ช้งานตอ้ งตรวจสอบขอ้ มูลคอมพวิ เตอร์ใดทม่ี ีชดุ คาส่ังไมพ่ ึงประสงค์รวมอยดู่ ้วยซึ่งมีผลทาใหข้ อ้ มูลคอมพวิ เตอร์หรอื ระบบคอมพวิ เตอร์ หรอื ชดุ คาสง่ั อน่ื เกิดความเสียหาย ถกู ทาลาย ถกู แกไ้ ขเปลยี่ นแปลง หรอื ปฏบิ ตั ิงานไม่ตรงตามคาส่ังทกี่ าหนดไว้ 3. การสารองขอ้ มลู และการกคู้ ืน (1) ผู้ใชง้ านตอ้ งรบั ผิดชอบในการสารองขอ้ มูลสาคัญที่ได้รับอนุญาต โดยหนว่ ยงานตามสายบังคบั บัญชา จากเคร่อื งคอมพิวเตอรไ์ ว้บนสือ่ บันทึกอ่นื ๆ เชน่ CD, DVD, External Hard Disk เป็นต้น (2) ผ้ใู ชง้ านมหี นา้ ท่เี ก็บรักษาส่ือข้อมูลสารอง (Backup Media) ไวใ้ นสถานท่ีทเ่ี หมาะสม ไมเ่ สีย่ งตอ่ การรวั่ ไหลของข้อมูลและทดสอบการกู้คืน ข้อมูลทสี่ ารองไว้อย่างสมา่ เสมอ (3) ผ้ใู ช้งานตอ้ งประเมนิ ความเส่ียงวา่ ขอ้ มลู ท่เี ก็บไว้บน Hard Disk ไม่ควรจะเปน็ ขอ้ มลู สาคัญที่เก่ียวขอ้ งกบั การทางาน เพราะหาก Hard Disk เสียไป กไ็ ม่กระทบต่อการดาเนินการของหนว่ ยงาน
หมวดท่ี 2 กำรสรำ้ งควำมตระหนักในเรอ่ื งกำรรกั ษำควำมปลอดภยั ของระบบ เทคโนโลยสี ำรสนเทศ วัตถุประสงค์ 1. เพอื่ สร้ำงควำมรคู้ วำมเข้ำใจ ในกำรใชร้ ะบบสำรสนเทศและระบบคอมพิวเตอรใ์ ห้แกผ่ ู้ปฏบิ ัตงิ ำนของบรษิ ัทฯ 2. เพื่อให้กำรใช้งำนระบบสำรสนเทศและระบบคอมพวิ เตอร์เกิดควำมมั่นคงปลอดภยั 3. เพ่อื ป้องกันและลดกำรกระทำควำมผิดท่ีเกิดขึ้นจำกกำรใชร้ ะบบสำรสนเทศและระบบคอมพิวเตอร์โดยไมค่ ำดคดิ
กำรสร้ำงควำมตระหนักในเรอื่ งกำรรักษำควำมปลอดภยั ของระบบเทคโนโลยีสำรสนเทศ จดั ใหม้ กี ารทบทวน ผปู้ ฏิบัติงานท่เี ป็น ผปู้ ฏิบัตงิ านควรตดิ ตาม ผปู้ ฏบิ ัติงานควรมีความ ผปู้ ฏบิ ัติงานตอ้ งมีความรู้ ผู้ใชง้ านต้องตระหนกั ปรบั ปรุงนโยบายและ พนกั งานของ บรษิ ทั การประกาศข่าว/การ ตระหนกั เกี่ยวกับ ความเขา้ ใจ รวมถึงความ และปฏบิ ัติตามกฎหมาย แนวปฏบิ ัตใิ หเ้ ป็น โรงพยาบาลพญาไท 3 ประชาสมั พนั ธ์ใหค้ วามรู้ ตระหนกั ถงึ เหตุการณ์ ใด ๆ ทไี่ ด้ประกาศใชใ้ น ปัจจุบนั อยูเ่ สมออยา่ ง จากดั ควรเข้ารว่ มการ เกี่ยวกับแนวปฏบิ ตั ิใน โปรแกรมไม่ประสงคด์ ี ดา้ นความม่ันคงปลอดภัย สมั มนา/อบรมเพ่อื ลกั ษณะเกรด็ ความรู้ เช่น virus, ที่เกิดขึ้น และสถานการณ์ ประเทศไทยรวมทัง้ นอ้ ยทกุ 3 ปี รบั ทราบนโยบายและ หรือข้อระวังในรูปแบบ ด้านความมั่นคงปลอดภัย กฎระเบยี บของบริษทั ฯ แนวปฏิบัตใิ นการรักษา ransomware เปน็ ต้น ทีไ่ มพ่ ึงประสงคห์ รอื ไม่ และข้อตกลงระหวา่ ง ความม่ันคงปลอดภัย ต่างๆ มีความรคู้ วามเข้าใจและ ลกู ค้าอย่างเคร่งครดั ด้านสารสนเทศ และ สามารถปอ้ งกนั ตนเอง อาจคาดคดิ เพื่อให้ สรา้ งความตระหนกั ถึง ผใู้ ชง้ านปฏบิ ตั ิตาม ท้งั นี้หากผู้ใชง้ านไม่ ความสาคัญของการ ไดแ้ ละใหร้ บั ทราบ นโยบายและแนวปฏบิ ัติ ปฏบิ ตั ิตามกฎหมาย ปฏิบัตติ ามขั้นตอนต่างๆ ขน้ั ตอนปฏิบตั ิเม่อื พบ ในการรกั ษาความม่ันคง ดงั กล่าว ถอื ว่าความผิด เหตโุ ปรแกรมไม่ประสงค์ ปลอดภัยของหนว่ ยงาน นั้นเปน็ ความผดิ สว่ น ให้กบั บุคลากร ดีวา่ ต้องดาเนนิ การ และแจ้งใหผ้ ู้ดแู ลระบบ บคุ คลซึ่งผใู้ ชง้ านจะตอ้ ง ทราบอยา่ งรวดเร็ว รบั ผิดชอบตอ่ ความผิดท่ี อย่างไร เกดิ ขน้ึ เอง
หมวดท่ี 3 ระบบกำรควบคมุ เอกสำรและข้อมูล การระดับชนั้ ของเอกสาร อ้างอิงตาม SP-ITD-2007 นโยบายการจดั ลาดบั ความสาคญั และความปลอดภยั ของข้อมลู สารสนเทศ ดังนี้
รปู แบบของทำ้ ยกระดำษ ระบุ ช้นั ความลบั ของเอกสาร สาหรับคมู่ อื คณุ ภาพ : QM ระเบยี บ ปฏบิ ัติงาน : SP วิธปี ฏิบัตงิ าน : WI เอกสารสนับสนนุ SD เอกสารอ้างอิง : (ยกเวน้ เอกสารสนับสนนุ ภายนอก : RF) บรเิ วณกึง่ กลำงด้ำนลำ่ งของกระดำษทกุ แผ่นระบุระดบั ชั้นของเอกสำร อ้างอิงตาม SP-ITD-2007 นโยบายการจดั ลาดับ ความสาคัญและความปลอดภัยของขอ้ มูลสารสนเทศ โดยจะพมิ พด์ ้วยประโยค ดงั นี้ • Secret เช่น PT3-XX-FM0XXX • Confidential เชน่ PT3-XX-FM1XXX • Internal use เชน่ PT3-XX-SP0/SP1/SP2/SP3/WI/QM/SD3/SD4,นโยบาย, คาส่ังแตง่ ตัง้ , รายงานการประชุม • Public เชน่ SD2, FM2, FM3
เอกสำรแนบทำ้ ย บัญชีรำยช่ือและขอ้ มลู ผู้ตดิ ตอ่ 1. บัญชีรายช่ือและขอ้ มูลตดิ ตอ่ หนว่ ยงานภายใน ตัวแทนฝ่ายบริหารระบบความปลอดภัยขอ้ มูลสารสนเทศ ดา้ นขอบเขตความ รายชอื่ อีเมลล์ โทรศัพทเ์ คลื่อนท่ี โทรศพั ทส์ านกั งาน เบอร์ตอ่ สานักงาน รบั ผิดชอบ ระบบการจดั การ ISMS คลอ่ ง ชมุ คล้าย [email protected] 082-667-8955 024671111 3462 ระบบ IT กรณีติดตอ่ เบอร์ สานักงานไม่ได้ ในเวลา หน่วยสนบั สนนุ สารสนเทศ [email protected] 024671111 3460 081-900-8083 นอกเวลา เจา้ หนา้ ที่ oncall [email protected] 081-900-8083 024671111 3460 024671111 3522 ระบบเอกสาร สุรรี ตั น์ สว่างจนั ทร์ [email protected] 086-099-6369 024671111 3523 ความปลอดภยั ข้อมลู สว่ น นพ.อภิชยั โตวณะบตุ ร [email protected] 081-811-3502 บคุ คล (DPO)
เอกสำรแนบท้ำย บัญชรี ำยช่ือและขอ้ มูลผู้ติดตอ่ 2. บัญชีรายชอ่ื และขอ้ มูลตดิ ตอ่ หนว่ ยงานภายนอก หน่วยงาน ช่องทางตดิ ตอ่ United Registrar of Systems (Thailand) Ltd. (URS) บรษิ ัทผใู้ ห้การรบั รอง (CB) 9 Soi Rattanathibeth 30 Bankrasor Muang Nonthaburi 11000 Thailand Tel. 02 969 7722-25 ; 063 1917432 ศนู ยป์ ราบปรามอาชญากรรมทางเทคโนโลยสี ารสนเทศ 02 504 4850 จนั ทร์ - ศกุ ร์ : 08:30 -16:30 สายด่วน 1441 กองบงั คับการปราบปรามการกระทาความผิดเกี่ยวกบั อาชญากรรมทาง Facebook กองบัญชาการตารวจสบื สวนสอบสวนอาชญากรรมทางเทคโนโลยี เทคโนโลยี - บก.ปอท 02 143 8080 [email protected] tcsd.go.th กระทรวงดจิ ทิ ัลเพื่อเศรษฐกิจและสังคม สานกั งานคณะกรรมการสทิ ธมิ นุษยชนแห่งชาติ 02-141-6747 คณะกรรมการการรกั ษาความมั่นคงปลอดภยั ไซเบอรแ์ หง่ ชาติ (กมช.) โทรศัพทส์ ายดว่ น 1377 หรอื 0-2141-3978-83 (เวลาราชการ 08.30 - 16.30 น.) โทรศพั ท์ 02 142 6888 โทรสาร 02 143 7593 สานักงานตารวจแหง่ ชาติ Email: [email protected] แจง้ เหตภุ ยั คกุ คามไซเบอร์: [email protected] 191
Search
Read the Text Version
- 1 - 41
Pages:
