คู่มือสำหรับผ้ใู ช้งำน ดำ้ นควำมปลอดภยั ข้อมลู สำรสนเทศ โรงพยำบำลพญำไท 3
นโยบายความปลอดภยั ขอ้ มูลสารสนเทศ (INFORMATION SECURITY MANAGEMENT SYSTEM POLICY, ISMS POLICY) บริษทั โรงพยาบาลพญาไท 3 จากดั
ขอบเขต : โรงพยำบำลพญำไท 3 ตั้งอยู่เลขท่ี 111 ถ.เพชรเกษม แขวงปำกคลองภำษเี จรญิ เขตภำษเี จริญ กทม. 10160
ขอบข่ำย : ประยุกต์ใช้ มำตรฐำนครอบคลมุ กระบวนกำรให้บรกิ ำรผปู้ ่วย นอกและผปู้ ว่ ยใน ตลอดจน หน่วยงำนสนับสนุนบริกำร ครอบคลุมหน่วยงำนต่ำง ๆ ของโรงพยำบำลพญำไท 3
คู่มือสำหรับผ้ใู ชง้ ำนด้ำนควำมปลอดภยั ข้อมลู สำรสนเทศ โรงพยำบำลพญำไท 3 หมวด1 หมวด 2 หมวด 3 การควบคุมการเขา้ ถึงและการใชง้ านระบบสารสนเทศ การสร้างความตระหนกั ในเรื่องการ ระบบการควบคมุ เอกสารและ • 1 การควบคุมการเขา้ ถึงขอ้ มูล • 7การบรหิ ารจัดการซอฟต์แวร์, รักษาความปลอดภัยของระบบ ข้อมลู สารสนเทศ (Access Control) ลขิ สิทธิ์และการปอ้ งกันโปรแกรมไม่ เทคโนโลยีสารสนเทศ • 2. การบริหารจดั การการเข้าถึงของ ประสงค์ดี (Software Licensing • การแบง่ ระดับช้ันความลบั and intellectual property and • กระบวนการสรา้ งความตระหนกั ในเรอ่ื งของ • กระบวนการักษาความลับ (การ Preventing Malware) การรักษาความปลอดภยั ของระบบ จดั เกบ็ ,การสง่ ต่อ,การทาลาย) เทคโนโลยีสารสนเทศ • การช้ีบง่ ระดบั ชน้ั ความลบั ใน เอกสารควบคมุ ผู้ใชง้ าน (User Access • 8 การปฏบิ ัตงิ านจากภายนอก Management) • 3 การกาหนดหน้าท่คี วาม สานักงาน (Teleworking) รับผดิ ชอบของผู้ใชง้ าน (User Responsibilities) • 9 การควบคมุ การเข้าถึงระบบ เครือข่ายไร้สาย (Wireless LAN • 4 การบรหิ ารจัดการทรพั ยส์ นิ Access Control) (Assets Management) • 5 การควบคมุ การเขา้ ถงึ เครอื ขา่ ย • 10 การควบคมุ การใช้จดหมาย (Network Access Control) อเิ ล็กทรอนกิ ส์ (E-Mail) • 6 การควบคมุ การเข้าถึง • 11 การควบคุมการใช้อนิ เทอรเ์ น็ต (Internet) ระบบปฏิบัตกิ าร (Operating System Access Control) • 12 การใช้งานเครื่องคอมพวิ เตอร์ส่วน บคุ คล
หมวดท่ี 1 กำรควบคมุ กำรเข้ำถึงและกำรใชง้ ำนระบบสำรสนเทศ วตั ถุประสงค์ 1. เพอ่ื ควบคุมกำรเข้ำถงึ ข้อมูลและอุปกรณใ์ นกำรประมวลผลขอ้ มูลโดยคำนึงถงึ กำรใช้งำนและควำมมัน่ คงปลอดภัย 2. เพื่อกำหนดกฎเกณฑท์ ่ีเกยี่ วกับกำรอนุญำตให้เขำ้ ถงึ กำรกำหนดสิทธแิ์ ละกำรมอบอำนำจของหนว่ ยงำนของบริษัท โรงพยำบำลพญำไท 3 จำกัด 3. เพือ่ ใหผ้ ู้ปฏิบตั งิ ำนไดร้ ับรเู้ ขำ้ ใจและสำมำรถปฏิบัตติ ำมแนวทำงที่กำหนดโดยเครง่ ครัดและตระหนกั ถงึ ควำมสำคญั ของกำร รกั ษำควำมม่ันคงปลอดภยั ของระบบสำรสนเทศ
ส่วนที่ 1 กำรควบคมุ กำรเข้ำถงึ ขอ้ มูลสำรสนเทศ (ACCESS CONTROL) 1. ผู้ปฏิบัติงานจะต้องได้รับอนุญาตการเข้าถึงระบบสารสนเทศท่ีต้องการใช้งานได้ต่อเมื่อได้รับอนุญาตจาก ผู้รับผิดชอบ/เจ้าของข้อมูล/เจ้าของระบบ ตาม ความจาเป็นต่อการใช้งานเทา่ นั้น (อ้างอิงจาก PT3-SP-MCI-2003 นโยบายการเข้าถึงระบบสารสนเทศ ดา้ นข้อมลู ประวตั กิ ารรกั ษาผู้ป่วย รพ. พญาไท 3) 2. บคุ คลจากหน่วยงานภายนอกที่ตอ้ งการสิทธ์ิในการเข้าใช้งานระบบสารสนเทศของหน่วยงานจะต้องขออนุญาตเป็นลายลักษณ์อักษรผ่านหัวหน้าหน่วยงาน ทร่ี บั ผดิ ชอบ 3. ผู้ปฏบิ ัติงานต้องบนั ทึกการผ่านเขา้ -ออกสถานที่ตงั้ ของระบบสารสนเทศเพอื่ เป็นหลักฐานในการตรวจสอบดงั ต่อไปนี้ - กรณีบุคคลภายนอกเข้า-ออก รพ. ให้แลกบัตรกบั รปภ.ชนั้ 1 และตดิ บตั ร visitor - กรณีเข้าพืน้ ทแ่ี ผนกเวชระเบยี นและหนว่ ยสนับสนุนสารสนเทศ ตอ้ งขออนุญาตการเข้า-ออกจากเจ้าของหน่วยงานโดยผา่ นระบบ finger scan - กรณเี ขา้ ห้อง server ตอ้ งแจ้งขออนญุ าตการเขา้ -ออกและเซน็ ชือ่ ในสมดุ บันทกึ เมอ่ื ต้องเขา้ ห้อง server - กรณีเข้าพน้ื ที่อื่น ๆ ตอ้ งขออนญุ าตการเข้า-ออกจากเจ้าของหนว่ ยงาน - พนักงานภายในบริษัทฯ ตอ้ งมีบตั รพนักงานเพอ่ แสดงตวั ตนกอ่ นเขา้ พื้นทีแ่ ละได้รบั การอนุญาตจากเจ้าของพืน้ ท่ี
สว่ นท่ี 2 กำรบริหำรจัดกำรกำรเขำ้ ถงึ ของผใู้ ชง้ ำน (USER ACCESS MANAGEMENT) 1. ผ้ปู ฏบิ ัตงิ านใหม่ตอ้ งทาการลงทะเบยี นขอการใชง้ าน ระบบคอมพิวเตอร์โปรแกรมประยกุ ต์ (Application), จดหมายอิเล็กทรอนกิ ส์ (E-Mail), ระบบเครอื ข่ายไร้สาย (Wireless LAN),ระบบอินเทอร์เนต็ (Internet)กบั ผดู้ ูแลระบบตามสทิ ธทิ์ ่ไี ดร้ บั การอนมุ ตั ิตามหน้าที่ และความ รบั ผดิ ชอบจากหวั หน้า 2. หวั หน้าแผนกตา่ ง ๆ ต้องมกี ารทบทวนบญั ชีผปู้ ฏิบัติงาน สิทธ์ิการใช้งานโปรแกรมสาคญั ไดแ้ ก่ SSB,VPNอยา่ งสม่าเสมอ อยา่ งนอ้ ยปีละ 1 ครงั้ ตามข้อมูลทีผ่ ู้ดูแลระบบสง่ ให้ เพื่อป้องกันการเขา้ ถงึ ระบบโดยไม่ไดร้ ับอนุญาต
ส่วนที่ 2 กำรบริหำรจัดกำรกำรเข้ำถงึ ของผใู้ ช้งำน (USER ACCESS MANAGEMENT) 3. กำรบริหำรจัดกำรรหสั ผ่ำน (Password) (1) หวั หนา้ แผนกของต้นสงั กดั ผู้ปฏิบตั ิงานตอ้ งมกี ารแจ้งการเปล่ียนแปลง หรือการยกเลิกรหัสผ่าน (Password) เมอ่ื ผปู้ ฏิบตั งิ านลาออกหรือพ้นจากตาแหน่ง หรือ ยกเลิกการใช้งานภายใน 24 ชวั่ โมงนบั จากวนั สนิ้ สดุ การทางาน (2) ผปู้ ฏิบัตงิ านตอ้ งกาหนดชื่อผใู้ ชง้ าน (user name) หรอื รหสั (Password) ของผู้ใชง้ านต้องไม่ซ้ากัน (3) เมื่อผู้ปฏิบัติงานได้รับมอบรหัสผ่าน (Password) ชั่วคราวจากผู้ดูแลระบบ ผู้ปฏิบัติงานต้องหลีกเลี่ยงการใช้บุคคลอื่นหรือการส่งจดหมายอิเล็กทรอนิกส์ (E-Mail) ทไ่ี มม่ ีการป้องกนั ในการส่งรหัสผ่าน (Password) (4) ผู้ปฏิบัติงานตอ้ งทาการเปล่ยี นรหสั ผา่ น (Password) หลังจากไดร้ บั รหสั ผา่ น (Password) ชัว่ คราวทนั ที (5) ระบบจะกาหนดจานวนครั้งที่ยอมใหผ้ ู้ใชง้ านใส่รหสั ผา่ น (Password) ผิดพลาดไดไ้ ม่เกนิ 5 ครั้งหรือตามที่ระบบกาหนด ถ้าเกนิ ตอ้ งตดิ ตอ่ ผู้ทีด่ แู ลระบบ (6) ผู้ปฏิบัตงิ านต้องไมบ่ ันทกึ หรือเก็บรหสั ผ่าน (Password) ไวใ้ นระบบคอมพวิ เตอรใ์ นรปู แบบท่ีไม่ได้ปอ้ งกนั การเข้าถงึ (7) ในกรณมี คี วามจาเป็นต้องให้สิทธ์ิพิเศษกับผู้ปฏิบัติงานท่ีมีสิทธ์ิสูงสุด ผู้ปฏิบัติงานน้ันจะต้องได้รับความเห็นชอบและอนุมัติจากผู้บังคับบัญชาตามสายงาน โดย แจง้ แบบฟอรม์ โดยมีการกาหนดระยะเวลาการใช้งานและระงับการใช้งานทันทีเมื่อพ้นระยะเวลาดังกล่าวหรือพ้นจากตาแหน่งและมีการกาหนดสิทธ์ิ พิเศษท่ี ได้รับ ว่าสามารถเข้าถึงได้ถึงระดับใดได้บ้าง และต้องกาหนดให้รหัสผู้ใช้งานต่างจากรหัสผู้ใช้งานตามปกติ (อ้างอิงจาก PT3-SP-MCI-2003 นโยบายการ เข้าถึงระบบสารสนเทศ ด้านขอ้ มูลประวัตกิ ารรกั ษาผ้ปู ว่ ย รพ. พญาไท 3)
ส่วนท่ี 2 กำรบริหำรจดั กำรกำรเขำ้ ถงึ ของผใู้ ชง้ ำน (USER ACCESS MANAGEMENT) 4. ผู้ปฏิบัติงำนต้องบริหำรจัดกำรกำรเข้ำถึงข้อมูลตำมประเภทช้ันควำมลับ ในกำรควบคุม กำรเข้ำถึงข้อมูล แต่ละประเภทช้ันควำมลับทั้งกำรเข้ำถึงโดยตรงและกำรเข้ำถึงผ่ำนระบบงำน รวมถึงวิธีกำรทำลำย ขอ้ มูลแต่ละประเภทชั้นควำมลับ โดยมรี ำยละเอียดดังต่อไปนี้ (1) ควบคมุ การเข้าถึงขอ้ มลู แตล่ ะประเภทช้นั ความลับทัง้ การเข้าถึงโดยตรงและการเข้าถงึ ผา่ นระบบงาน (2) กาหนดรายชื่อผู้ใช้งาน (Username) และรหัสผ่าน (Password) เพื่อใช้ในการตรวจสอบตัวตนจริง ของผู้ใช้งานข้อมูลในแต่ละชัน้ ความลบั ของข้อมูล (3) กาหนดระยะเวลาการใช้งานและระงบั การใช้งานทันทีเมือ่ พน้ ระยะเวลาดังกลา่ ว (4) การรบั สง่ ขอ้ มลู สาคญั ผา่ นระบบเครอื ขา่ ยสาธารณะ ควรไดร้ บั การเข้ารหัส (Encryption) ที่เปน็ มาตรฐานสากล ไดแ้ ก่SSL, VPN, HTTPS หรือ XML Encryption เปน็ ต้น (5) กาหนดการเปลี่ยนรหสั ผา่ น (Password) ตามระยะเวลาท่ีกาหนดของระดบั ความสาคัญของขอ้ มูล (6) กาหนดมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลในกรณีที่นาทรัพย์สินออกนอกหน่วยงาน เช่น บารงุ รกั ษา ตรวจซอ่ ม ให้ดาเนนิ การสารองและลบข้อมลู ท่เี ก็บอยูใ่ นสอ่ื บนั ทกึ ก่อน เป็นต้น
สว่ นท่ี 3 กำรกำหนดหนำ้ ท่คี วำมรบั ผดิ ชอบของผใู้ ช้งำน (USER RESPONSIBILITIES) 1. กำรใช้งำนรหัสผ่ำน ผ้ปู ฏบิ ัติงำนต้องปฏบิ ัติ ดงั น้ี (1) ผ้ปู ฏิบตั งิ านมีหน้าท่ใี นการป้องกัน ดแู ล รักษาขอ้ มูลบญั ชีช่อื ผู้ใชง้ าน (Username) และรหสั ผา่ น (Password) โดยผปู้ ฏิบัติงานแตล่ ะคนต้องมีบัญชชี ื่อผใู้ ช้งาน (Username)ของตนเอง หา้ มใชร้ ่วมกับผ้อู ื่น รวมทัง้ ห้ามทาการเผยแพร่ แจกจ่าย ทาใหผ้ อู้ นื่ ลว่ งรู้รหสั ผา่ น (Password) (2) เปลี่ยนรหัสผา่ นทุก ๆ 180 วัน (เฉพาะ Email ทกุ ๆ 90 วัน) โดยไม่นารหัสผา่ นทเ่ี คยใชแ้ ล้วกลับมาใช้อกี และ ปฏบิ ัตติ ามมาตรฐานรหัสผา่ นดังน้ี • รหสั ผา่ นควรมีความยาวอยา่ งนอ้ ย 8 ตัวอกั ษร • ไมค่ วรใช้สว่ นใดสว่ นหนึง่ หรอื ท้ังหมดของช่อื นามสกลุ หมายเลขโทรศพั ท์ หรือข้อมลู ส่วนบุคคลใดๆ • ไมค่ วรใชค้ าท่ีพบไดใ้ นพจนานกุ รมภาษาองั กฤษ • ไมค่ วรใชก้ ลุ่มของอกั ษรท่เี ปน็ รปู แบบ เช่น aabbccdd, 11111111, 12345678 เป็นต้น • รหสั ผา่ นควรประกอบดว้ ยอักษรตวั พมิ พ์ใหญ่ ตวั พิมพ์เลก็ ตัวเลข และสัญลักษณป์ ะปนกนั เพ่อื ให้เกิด ความยากในการคาดเดา เช่น aB01$sCz
สว่ นที่ 3 กำรกำหนดหนำ้ ท่คี วำมรบั ผดิ ชอบของผูใ้ ช้งำน (USER RESPONSIBILITIES) 1. กำรใชง้ ำนรหสั ผ่ำน ผ้ปู ฏิบัตงิ ำนต้องปฏบิ ตั ิ ดังน้ี (ตอ่ ) (3) รหัสผใู้ ช้งานของผู้ใช้งานสารสนเทศถือเปน็ ความลับ ห้ามมใิ ห้ผู้ใช้งานสารสนเทศเปดิ เผยให้ผู้อื่นได้รบั ทราบ (4) ระมดั ระวังในการจัดเก็บรหสั ผา่ น โดยจดั เก็บไวใ้ นสถานท่ที ่มี คี วามปลอดภยั /ปอ้ งกนั การพบเห็นหรือล่วงรู้ จากผูอ้ ืน่ (5) หลกี เล่ยี งการติดหรอื วางรหัสผา่ นไว้ในท่ีผอู้ ่นื สามารถพบเห็นไดง้ า่ ย (6) ไมใ่ ช้โปรแกรมคอมพวิ เตอรช์ ว่ ยในการจารหัสผา่ นส่วนบุคคลอัตโนมตั ิ (save password) สาหรับเครอื่ ง คอมพิวเตอร์สว่ นบุคคลทผ่ี ้ปู ฏบิ ตั งิ านครอบครองอยู่ (7) ไมใ่ ชร้ หสั ผ่านสว่ นบคุ คลสาหรับการใช้แฟม้ ข้อมูลร่วมกบั บคุ คลอ่นื ผ่านเครอื ข่ายคอมพิวเตอร์ (8) ล็อกเอาท์เม่ือใชง้ านเสรจ็ สนิ้ (ไม่ล็อกอนิ คา้ งไว้)
ส่วนท่ี 3 กำรกำหนดหนำ้ ทีค่ วำมรบั ผดิ ชอบของผูใ้ ชง้ ำน (USER RESPONSIBILITIES) 2. การนาการเขา้ รหสั มาใชก้ ับข้อมูลทเี่ ป็นความลบั ผปู้ ฏบิ ตั ิงานจะต้องปฏิบตั ิตามมาตรฐานที่บริษทั กาหนด และตอ้ งใชว้ ธิ ีการเขา้ รหัส (Encryption) ทเี่ ป็น มาตรฐานสากล 3. การสง่ ตอ่ ข้อมูลท่ีเป็นความลบั ผ่าน Email ทั้งภายในและภายนอกองค์กร ขอ้ มูลดงั กลา่ วควรมีการเข้ารหัส (Encryption) โดยให้ส่ง Email แยกกันระหว่าง ขอ้ มลู และรหสั ผา่ น 4. การกระทาใด ๆ ทเ่ี กิดจากการใชบ้ ญั ชขี องผู้ใชง้ าน (Username) อันมกี ฎหมายกาหนดใหเ้ ปน็ ความผดิ ไม่วา่ การกระทาน้นั จะเกดิ จากผ้ปู ฏบิ ตั ิงานหรอื ไมก่ ต็ าม ใหถ้ อื ว่าเปน็ ความรบั ผิดชอบส่วนบคุ คลซึ่งผ้ปู ฏบิ ตั ิงานจะต้องรับผดิ ชอบตอ่ ความผิดที่เกิดขึ้นเอง 5. ผปู้ ฏิบัติงานต้องทาการพสิ ูจน์ตัวตนทกุ ครงั้ ก่อนท่ี จะใชท้ รพั ย์สนิ หรือระบบสารสนเทศของหนว่ ยงาน และหากการพิสูจน์ตัวตนนนั้ มปี ัญหา ไมว่ ่าจะเกดิ จาก รหสั ผ่านล็อกกด็ หี รือเกดิ จากความผิดพลาดใด ๆ กด็ ผี ปู้ ฏบิ ัติงานต้องแจ้งใหผ้ ู้ดูแลระบบทราบทนั ทีโดยปฏิบัติตามแนวทาง ดังน้ี (1) คอมพวิ เตอรท์ กุ ประเภท กอ่ นการเข้าถึงระบบปฏบิ ัติการตอ้ งทาการพสิ ูจนต์ ัวตนทุกคร้ัง (2) การใช้งานระบบคอมพวิ เตอรอ์ ื่นในเครือข่ายจะตอ้ งทาการพิสจู นต์ ัวตนทุกครั้ง (3) การใช้งานอนิ เทอร์เน็ต (Internet) ต้องทาการพิสูจนต์ ัวตน และต้องมกี ารบันทึกขอ้ มลู ซง่ึ สามารถบ่งบอกตวั ตนบุคคลผใู้ ช้งานได้ (4) เมือ่ ผู้ปฏบิ ตั งิ านไม่อยทู่ ีเ่ ครือ่ งคอมพวิ เตอรต์ อ้ งทาการล็อกหนา้ จอทุกครัง้ และตอ้ งทาการพิสจู น์ตัวตนก่อนการใช้งานทกุ ครั้ง (5) เครื่องคอมพวิ เตอร์ทุกเครื่องต้องทาการตั้งเวลาพักหนา้ จอ (screen saver) โดยตง้ั เวลาอย่างน้อย 15 นาที
ส่วนท่ี 3 กำรกำหนดหนำ้ ท่ีควำมรับผดิ ชอบของผู้ใชง้ ำน (USER RESPONSIBILITIES) 6. ผปู้ ฏบิ ตั ิงานมสี ่วนร่วมในการดูแลรักษาและรับผิดชอบตอ่ ขอ้ มูลของบรษิ ทั และขอ้ มลู ของผู้รบั บรกิ ารต่าง ๆ หากเกดิ การสูญหาย โดยนาไปใช้ในทางท่ผี ิด การ เผยแพรโ่ ดยไมไ่ ดร้ ับอนุญาต ผ้ปู ฏบิ ัติงานต้องมีสว่ นรว่ มในการรบั ผิดชอบต่อความเสียหายนัน้ ดว้ ย 7. ผปู้ ฏิบัตงิ านไดจ้ ดั ใหม้ ีระบบปอ้ งกนั ดแู ล รกั ษาไว้ซ่งึ ความลบั ความถกู ต้อง และความพร้อมใชข้ องข้อมูลตลอดจนเอกสาร ส่ือบนั ทึกขอ้ มลู คอมพวิ เตอร์ หรอื สารสนเทศตา่ ง ๆ ทีเ่ สี่ยงต่อการเข้าถงึ โดยผูซ้ ึ่งไมม่ สี ิทธ์ิ 8. ผูป้ ฏบิ ัตงิ านมสี ิทธโ์ิ ดยชอบธรรมทีจ่ ะเก็บรกั ษา ใชง้ าน และปอ้ งกันข้อมลู ส่วนบุคคลตามเหน็ สมควร บรษิ ทั ฯ จะให้การสนบั สนุนและเคารพต่อสทิ ธสิ ่วนบุคคล และไมอ่ นญุ าตใหบ้ ุคคลหนึง่ บคุ คลใดทาการละเมดิ ตอ่ ขอ้ มลู ส่วนบุคคลโดยไม่ได้รับอนุญาตจากผปู้ ฏิบตั ิงานทค่ี รอบครองขอ้ มูลนัน้ ยกเวน้ ในกรณีท่บี ริษทั ฯ ต้องการตรวจสอบขอ้ มูล หรอื คาดว่าขอ้ มลู น้ันเกีย่ วข้องกบั บริษทั ฯซ่ึงบริษัทฯ อาจแต่งตงั้ ให้ผู้ทาหนา้ ทตี่ รวจสอบ ทาการตรวจสอบขอ้ มูลเหลา่ น้นั ไดต้ ลอดเวลา โดยไมต่ อ้ งแจง้ ให้ผปู้ ฏิบตั งิ านทราบ 9. ห้ามเปิดหรอื ใช้งาน (Run) โปรแกรมประเภท Peer-to-Peer (หมายถงึ วธิ กี ารจดั เครอื ข่ายคอมพิวเตอรแ์ บบหนง่ึ ทีก่ าหนดให้คอมพวิ เตอรใ์ นเครอื ขา่ ยทุก เครอื่ งเหมือนกันหรอื เทา่ เทียมกนั หมายความวา่ แตล่ ะเคร่อื งตา่ งมีโปรแกรมหรือมแี ฟ้มข้อมลู เกบ็ ไวเ้ องการจดั แบบนท้ี าให้สามารถใช้โปรแกรมหรือแฟม้ ข้อมูล ของคอมพิวเตอร์เครอ่ื งใดกไ็ ดแ้ ทนท่ีจะต้องใช้จากเครื่องบริการแฟม้ (File Server) เท่าน้ัน) หรอื โปรแกรมทม่ี คี วามเส่ยี งในระดับเดียวกัน เช่น บิทเทอร์เรนท์ (Bit torrent), อมี ลู (Emule) เป็นต้น เวน้ แต่จะได้รับอนญุ าตจากหวั หนา้ หนว่ ยงาน 10. หา้ มใชท้ รัพย์สนิ ของหน่วยงาน เพ่ือการรบกวน ก่อใหเ้ กดิ ความเสยี หาย หรือใช้ในการโจรกรรมข้อมลู หรอื สงิ่ อนื่ ใดอนั เปน็ การขดั ตอ่ กฎหมายและศีลธรรม หรอื กระทบต่อภารกจิ ของบริษัทฯ
ส่วนที่ 3 กำรกำหนดหนำ้ ที่ควำมรบั ผดิ ชอบของผู้ใช้งำน (USER RESPONSIBILITIES) 11. หา้ มใช้ทรพั ย์สินของหนว่ ยงานทจ่ี ดั เตรียมให้เพื่อการเผยแพร่ ข้อมูล ขอ้ ความ รปู ภาพหรือสิง่ อนื่ ใด ทมี่ ีลกั ษณะขัดตอ่ ศีลธรรม ความมัน่ คงของประเทศ กฎหมาย หรอื กระทบตอ่ ภารกิจของบรษิ ัทฯ 12. หา้ มใช้ทรัพย์สนิ ของหน่วยงาน เพือ่ การรบกวน กอ่ ให้เกิดความเสยี หาย หรอื ใช้ในการโจรกรรมขอ้ มลู หรือส่ิงอ่นื ใดอนั เปน็ การขดั ตอ่ กฎหมายและศีลธรรม หรอื กระทบต่อภารกิจของบริษัทฯ 13. หา้ มใชท้ รัพย์สินของบริษัทฯเพอื่ ประโยชน์ทางการค้าหรอื สว่ นบคุ คล 14. ห้ามกระทาการใด ๆ เพอ่ื การดกั ข้อมูล ไม่ว่าจะเปน็ ข้อความ ภาพ เสียง หรือสงิ่ อ่นื ใดในเครือขา่ ยระบบสารสนเทศของบริษัทฯ โดยเดด็ ขาด ไมว่ ่าจะดว้ ย วิธีการใด ๆ ก็ตาม 15. หา้ มกระทาการรบกวน ทาลาย หรือทาให้ระบบสารสนเทศของหน่วยงานต้องหยดุ ชะงัก 16. ห้ามใชร้ ะบบสารสนเทศของบรษิ ทั ฯ เพือ่ การควบคุมคอมพิวเตอร์หรือระบบสารสนเทศภายนอก โดยไมไ่ ดร้ ับอนญุ าตจากหวั หน้าหนว่ ยงานหรอื ผ้ดู แู ลระบบท่ี ได้รับมอบหมาย 17. หา้ มกระทาการใด ๆ อันมลี ักษณะเปน็ การลกั ลอบใช้งานหรอื รับรู้รหสั ส่วนบคุ คลของผูอ้ ื่นไม่ว่าจะเปน็ กรณีใด ๆ เพื่อประโยชนใ์ นการเขา้ ถงึ ขอ้ มูล หรือเพอื่ การใช้ทรพั ยากรก็ตาม 18. หา้ มติดต้ังอุปกรณห์ รอื กระทาการใด ๆ เพื่อเข้าถึงระบบสารสนเทศของบริษัทฯ โดยไมไ่ ดร้ บั อนญุ าตผ่านหัวหน้าหน่วยงานหรือผูด้ ูแลระบบทไี่ ดร้ ับมอบหมาย
สว่ นที่ 4 กำรบรหิ ำรจดั กำรทรัพยส์ ิน (ASSETS MANAGEMENT) 1. ผปู้ ฏบิ ัตงิ านตอ้ งไม่เข้าไปในห้องปฏบิ ัตกิ ารเครือข่ายคอมพิวเตอร์ (Data Center หมายถึง สถานทท่ี ีใ่ ช้สาหรบั ติดต้ังเครื่องคอมพวิ เตอรแ์ มข่ า่ ย และ/หรืออุปกรณบ์ ริหารจัดการเครือข่าย) ท่ีเปน็ เขตหวงหา้ มโดยเด็ดขาด เวน้ แตไ่ ดร้ บั อนญุ าตจากผ้ดู ูแลระบบ 2. ผปู้ ฏบิ ัตงิ านตอ้ งไมน่ าอปุ กรณห์ รอื ชนิ้ สว่ นใดออกจากห้องปฏิบัตกิ ารเครือข่ายคอมพิวเตอร์เว้นแต่จะไดร้ ับอนญุ าตจากผ้ดู แู ลระบบ 3. ผปู้ ฏบิ ัตงิ านตอ้ งไม่นาเคร่อื งมอื หรืออุปกรณ์อื่นใด เชอ่ื มเข้าเครอื ข่ายเพอ่ื การประกอบธรุ กิจส่วนบุคคล 4. ผูป้ ฏบิ ตั ิงานต้องไมค่ ดั ลอกหรือทาสาเนาหรอื ถา่ ยรปู แฟ้มข้อมลู ท่มี ลี ขิ สิทธิ์กากบั การใช้งาน และข้อมลู ในระดบั ช้นั ความลบั ระดบั ลับที่สุด, ลับ, ใชภ้ ายใน ก่อนไดร้ บั อนญุ าต และผู้ใชง้ านต้องไมใ่ ช้หรอื ลบแฟม้ ข้อมูลของผู้อนื่ ไม่วา่ กรณีใด ๆ 5. ผู้ปฏบิ ัติงานตอ้ งทาลายข้อมูลสาคญั ในอปุ กรณส์ ่อื บนั ทึกข้อมูล แฟม้ ขอ้ มลู กอ่ นที่จะกาจัดอุปกรณ์ดังกลา่ ว และใชเ้ ทคนคิ ในการลบหรอื เขียน ข้อมลู ทับบนข้อมลู ท่มี คี วามสาคัญในอุปกรณ์สาหรบั จัดเก็บข้อมลู ก่อนท่จี ะอนญุ าตใหผ้ ู้อนื่ นาอุปกรณ์นนั้ ไปใช้งานตอ่ เพื่อปอ้ งกันไม่ใหม้ กี าร เขา้ ถึงข้อมูลสาคัญนั้นได้และพิจารณาวธิ กี ารทาลายข้อมูลบนสอื่ บนั ทกึ ข้อมลู แต่ละประเภท ดังน้ี
ประเภทส่ือบันทกึ ขอ้ มลู วิธกี ำรทำลำย กระดำษ - ข้อมูลหรอื เอกสารถูกทาลายดว้ ยการฉกี หรือเครื่องทาลายเอกสาร ทง้ั น้ีเพ่อื ให้เกิดความแนใ่ จวา่ ข้อมูลในเอกสารไม่ สามารถถกู นากลับมาใช้งานได้อกี แผน่ CD/DVD Hard disc/ Flash drive/ - ขอ้ มูลหรอื เอกสารท่ีมีขอ้ มูลสว่ นบคุ คล สง่ ทาลายกบั บริษัทภายนอก ใช้การต้มก่อนทาการยอ่ ยทาลาย Memory card/ Mobile ใช้การทาลายด้วยการตัด หรอื เครื่องห่ันทาลายเอกสาร device ใหท้ าลายข้อมลู ตามมาตรฐาน DOD 5220.22M ของกระทรวงกลาโหมสหรัฐอเมริกา ซ่ึงเป็นมาตรฐานการทาลาย เทป ขอ้ มลู โดยการเขียนทบั ขอ้ มูลเดิมหลายรอบ ใชว้ ธิ กี ารทุบหรือบทใหเ้ สยี หาย ใช้วิธกี ารตดั เทป ทบุ หรอื บดใหเ้ สยี หาย หรือเผาทาลาย
ส่วนที่ 4 กำรบรหิ ำรจดั กำรทรัพย์สิน (ASSETS MANAGEMENT) 6. ผปู้ ฏบิ ตั ิงานมหี น้าที่ตอ้ งรบั ผดิ ชอบต่อทรัพยส์ นิ ทีห่ น่วยงานมอบไว้ใหใ้ ชง้ านเสมอื นหนึง่ เป็นทรัพยส์ ินของผู้ปฏบิ ัตงิ านเอง โดยบรรดารายการ ทรัพยส์ นิ (Asset lists) ท่ีผปู้ ฏิบัตงิ านตอ้ งรบั ผดิ ชอบ การรับหรือคืนทรัพยส์ ิน จะถกู บันทึกและตรวจสอบทกุ ครงั้ โดยเจ้าหนา้ ทที่ ีห่ นว่ ยงาน มอบหมาย 7. กรณที างานนอกสถานทีผ่ ปู้ ฏิบตั งิ านต้องดูแลและรบั ผิดชอบทรพั ยส์ นิ ของหนว่ ยงานทีไ่ ด้รับมอบหมาย 8. ผปู้ ฏบิ ตั ิงานมีหนา้ ทต่ี ้องชดใช้คา่ เสยี หายไมว่ ่าทรพั ยส์ นิ นน้ั จะชารุด หรือสูญหายตามมลู คา่ ทรพั ย์สิน หากความเสยี หายน้นั เกิดจากความ ประมาทของผใู้ ช้งาน 9. ผปู้ ฏิบัติงานต้องไมใ่ ห้ผู้อน่ื ยมื คอมพวิ เตอร์ตัง้ โต๊ะหรอื คอมพิวเตอรพ์ กพา (Notebook) ไมว่ า่ ในกรณใี ด ๆ เว้นแต่การยมื นนั้ ไดร้ ับการอนุมัติ เป็นลายลกั ษณ์อักษรจากหวั หน้าหน่วยงานหรือผูด้ ูแลระบบ 10. ผ้ปู ฏบิ ัตงิ านมีสิทธใิ์ ชท้ รัพย์สินและระบบสารสนเทศต่าง ๆ ที่หนว่ ยงานจดั เตรียมไว้ใหใ้ ช้งานโดยมวี ัตถุประสงค์เพ่ือการใช้งานของหนว่ ยงาน เท่าน้นั ห้ามมใิ หน้ าทรพั ย์สินและระบบสารสนเทศตา่ ง ๆ ไปใช้ในกจิ กรรมทหี่ น่วยงานไมไ่ ดก้ าหนด หรือทาให้เกดิ ความเสยี หายตอ่ บรษิ ัทฯ 11. ผู้ปฏบิ ตั งิ านมีหนา้ ทตี่ อ้ งรบั ผิดชอบตอ่ ทรพั ย์สินท่หี น่วยงานมอบไว้ให้ใชง้ านเสมอื นหนง่ึ เปน็ ทรัพยส์ นิ ของผปู้ ฏบิ ตั ิงานเอง โดยบรรดารายการ ทรัพยส์ ิน (Asset lists) ทีผ่ ้ปู ฏบิ ัตงิ านตอ้ งรบั ผดิ ชอบ การรับหรือคืนทรัพย์สิน จะถูกบันทกึ และตรวจสอบทุกคร้ังโดยเจ้าหนา้ ที่ท่ีหนว่ ยงาน มอบหมาย
ส่วนท่ี 4 กำรบรหิ ำรจดั กำรทรัพยส์ ิน (ASSETS MANAGEMENT) 12. กรณที างานนอกสถานท่ีผปู้ ฏบิ ตั ิงานต้องดูแลและรับผดิ ชอบทรัพย์สนิ ของหนว่ ยงานทไ่ี ด้รบั มอบหมาย 13. ผู้ปฏิบัติงานมหี น้าท่ตี อ้ งชดใช้คา่ เสียหายไมว่ า่ ทรพั ย์สินน้ันจะชารดุ หรอื สญู หายตามมูลคา่ ทรพั ยส์ ิน หากความเสียหายน้นั เกิดจากความ ประมาทของผใู้ ชง้ าน 14. ผปู้ ฏิบตั งิ านต้องไม่ใหผ้ ู้อ่ืนยมื คอมพิวเตอร์ต้ังโต๊ะหรือคอมพวิ เตอรพ์ กพา (Notebook) ไมว่ ่าในกรณีใด ๆ เว้นแต่การยืมน้นั ไดร้ บั การอนมุ ัติ เปน็ ลายลักษณ์อักษรจากหัวหน้าหน่วยงานหรือผ้ดู ูแลระบบ 15. ผปู้ ฏบิ ัตงิ านมีสิทธิ์ใช้ทรพั ย์สินและระบบสารสนเทศตา่ ง ๆ ท่หี นว่ ยงานจัดเตรียมไว้ให้ใชง้ านโดยมวี ตั ถปุ ระสงคเ์ พอ่ื การใชง้ านของหน่วยงาน เท่านั้น หา้ มมใิ ห้นาทรัพยส์ นิ และระบบสารสนเทศต่าง ๆ ไปใชใ้ นกจิ กรรมท่หี น่วยงานไม่ไดก้ าหนด หรือทาใหเ้ กิดความเสยี หายตอ่ บรษิ ัทฯ 16. ความเสียหายใด ๆ ทเ่ี กดิ จากการละเมิดด้านความปลอดภยั ข้อมลู สารสนเทศ ใหถ้ อื เป็นความผิดส่วนบุคคลโดยผปู้ ฏิบัติงานตอ้ งรบั ผิดชอบตอ่ ความเสียหายท่เี กิดข้ึน
ส่วนที่ 5 กำรควบคมุ กำรเข้ำถงึ เครือข่ำย (NETWORK ACCESS CONTROL) 1. มาตรการควบคมุ การเข้า-ออกหอ้ งควบคมุ เครื่องคอมพวิ เตอรแ์ ม่ขา่ ย (Server) (1) กรณบี ุคคลภายนอกเข้า-ออก รพ. ให้แลกบัตรกบั รปภ.ชน้ั 1 และติดบัตร visitor เม่อื ได้รบั อนุญาตจากเจา้ ของพ้ืนท่ี ก่อนเขา้ พ้ืนทีท่ าการ ลงบนั ทึกขอ้ มูลลงในสมุดบันทึก ตามที่ระบุไวใ้ นเอกสาร “บนั ทึกการเขา้ -ออกพน้ื ท”่ี (2) ผ้ตู ดิ ต่อจากหน่วยงานภายนอก ที่นาอปุ กรณค์ อมพิวเตอร์หรืออปุ กรณท์ ่ีใชใ้ นการปฏบิ ัติงานมาปฏิบัตงิ านท่ีห้องควบคมุ ระบบเครอื ข่าย ต้องลงบนั ทึกรายการอปุ กรณ์ในแบบฟอรม์ การขออนุญาตเข้า-ออกตามท่รี ะบุไว้ในเอกสาร “บนั ทึกการเขา้ -ออกพืน้ ท”่ี ใหถ้ ูกต้องชัดเจน (3) ผดู้ ูแลระบบ ตอ้ งตรวจสอบความถูกตอ้ งของข้อมูลในสมดุ บันทกึ แบบฟอร์มการขออนุญาต เข้า-ออก กบั ผู้มีหน้าทีด่ ูแลพื้นท่เี ปน็ ประจา ทกุ เดอื น 2. ผู้ปฏิบัตงิ านท่จี ะนาเครือ่ งคอมพิวเตอร์อปุ กรณม์ าเชอื่ มต่อกับเคร่ืองคอมพิวเตอร์ระบบเครอื ขา่ ยของหน่วยงาน ตอ้ งไดร้ บั อนญุ าตจากหัวหนา้ หน่วยงานและต้องปฏบิ ัติตามนโยบายนี้ โดยเครง่ ครดั โดยผใู้ ช้งานตอ้ งกรอกแบบฟอร์ม “การขอเชอ่ื มตอ่ เครือข่าย” หรือหัวหน้าหน่วยงานต้อง แจ้งผูด้ ูแลระบบของบรษิ ทั ฯ ทราบ 3. ห้ามผใู้ ดกระทาการเคลื่อนยา้ ย ตดิ ตง้ั เพิ่มเติมหรอื ทาการใด ๆ ต่ออปุ กรณ์ส่วนกลาง ไดแ้ ก่ อปุ กรณจ์ ดั เส้นทาง (Router) อปุ กรณก์ ระจาย สัญญาณข้อมลู (Switch) อุปกรณท์ ่ีเชือ่ มต่อกับระบบเครอื ข่ายหลกั โดยไม่ไดร้ ับอนญุ าตจากผู้ดูแลระบบ
ส่วนท่ี 5 กำรควบคุมกำรเข้ำถงึ เครือข่ำย (NETWORK ACCESS CONTROL) 4. ระบบเครือข่ายท้งั หมดทมี่ ีการเชอ่ื มตอ่ ไปยงั ระบบเครอื ขา่ ยอืน่ ๆ ภายนอก (การใช้ Internet) ผูใ้ ชง้ านตอ้ งเช่ือมตอ่ ผา่ นอปุ กรณป์ อ้ งกันการบกุ รุกหรือโปรแกรมในการทา Packet filtering เชน่ การใชไ้ ฟรว์ อลล์ (Firewall) หรือฮาร์ดแวร์อน่ื ๆ รวมทง้ั ตอ้ งมีความสามารถในการ ตรวจจับมัลแวร์ (Malware) ด้วย 5. IP address ของระบบงานเครอื ข่ายภายใน ผู้ปฏิบตั ิงานจาเป็นต้องมีการปอ้ งกนั มใิ หห้ น่วยงานภายนอกทเี่ ชื่อมต่อสามารถมองเห็นไดเ้ พอ่ื เป็น การป้องกนั ไม่ให้บคุ คลภายนอกสามารถรขู้ ้อมูลเกย่ี วกบั โครงสรา้ งของระบบเครือขา่ ยไดโ้ ดยง่าย 6. การใช้เครือ่ งมือตา่ งๆ (Tools) เพ่ือการตรวจสอบระบบเครอื ข่ายต้องไดร้ บั การอนุมัตจิ ากผู้ดูแลระบบและจากดั การใชง้ านเฉพาะเท่าท่ีจาเป็น
สว่ นที่ 6 กำรควบคมุ กำรเข้ำถงึ ระบบปฏิบัติกำร (OPERATING SYSTEM ACCESS CONTROL) 1. ผู้ปฏบิ ตั งิ านต้องปฏิบตั ติ ามการเข้าใช้งานระบบปฏบิ ตั กิ ารของบรษิ ัทฯ ดงั ต่อไปนี้ (1) ผปู้ ฏบิ ตั งิ านต้องกาหนดรหสั ผา่ นในการใชง้ านเคร่ืองคอมพิวเตอร์ท่รี ับผิดชอบ (2) หลังจากระบบติดตงั้ เสร็จ ตอ้ งยกเลิกบัญชีผ้ใู ชง้ านหรอื เปลี่ยนรหัสผา่ นของทุกรหสั ผู้ใชง้ านท่ไี ดถ้ ูกกาหนดไวเ้ ริม่ ต้นท่มี าพร้อมกับการ ตดิ ต้ังระบบทันที (3) ผ้ปู ฏิบัตงิ านตอ้ งตั้งคา่ การใช้งานโปรแกรมถนอมหน้าจอ (Screen saver) เพือ่ ทาการลอ็ กหน้าจอภาพเมอ่ื ไม่มีการใช้งาน หลงั จากน้ันเมอ่ื ตอ้ งการใช้งานผใู้ ชง้ านตอ้ งใสร่ หสั ผา่ น (Password) เพอ่ื เขา้ ใชง้ าน (4) ก่อนการเข้าใชร้ ะบบปฏิบัติการต้องทาการลงบนั ทึกเขา้ ใชง้ าน (Login) ทกุ ครัง้ (5) ผู้ปฏบิ ัตงิ านต้องไมอ่ นุญาตใหผ้ อู้ ่นื ใชช้ อื่ ผูใ้ ช้งาน (Username) และรหัสผา่ น(Password) ของตนในการเขา้ ใช้งานเครื่องคอมพวิ เตอร์ของ หน่วยงานรว่ มกัน (6) ผปู้ ฏบิ ตั ิงานต้องทาการลงบนั ทกึ ออก (Logout) ทนั ทีเม่อื เลกิ ใชง้ านหรอื ไมอ่ ย่ทู ่ีหนา้ จอเป็นเวลานาน (7) หา้ มเปิดหรอื ใชง้ านโปรแกรมประเภท Peer-to-Peer หรือโปรแกรมท่มี คี วามเสย่ี งเว้นแต่จะไดร้ ับอนุญาตจากหวั หน้าหนว่ ยงาน
สว่ นที่ 6 กำรควบคุมกำรเขำ้ ถึงระบบปฏิบัติกำร (OPERATING SYSTEM ACCESS CONTROL 1. ผู้ปฏิบัติงานต้องปฏบิ ตั ติ ามการเขา้ ใช้งานระบบปฏบิ ัติการของบริษัทฯ ดงั ต่อไปน้ี (8) ซอฟต์แวรท์ ี่ ใชม้ ีลขิ สิทธผ์ ปู้ ฏบิ ัตงิ านสามารถขอใช้งานได้ตามหน้าทค่ี วามจาเป็น และห้ามไม่ใหผ้ ้ปู ฏบิ ตั งิ านทาการติดตงั้ หรือใช้งาน ซอฟต์แวรอ์ ่นื ใดที่ไม่มีลิขสทิ ธ์หิ ากตรวจพบ ถือวา่ เปน็ ความผดิ สว่ นบคุ คล ผ้ปู ฏิบัติงานรบั ผิดชอบแต่เพียงผูเ้ ดยี ว (9) ซอฟท์แวร์ทีจ่ ัดเตรยี มไว้ให้ผู้ใชง้ าน ถอื เปน็ ส่งิ จาเปน็ ห้ามมิใหผ้ ปู้ ฏบิ ตั ิงานทาการตดิ ตง้ั ถอดถอนเปลยี่ นแปลง แกไ้ ข หรอื ทาสาเนาเพอ่ื นาไปใช้งานท่ีอื่น (10) ห้ามใชท้ รัพยากรทุกประเภททีเ่ ปน็ ของบรษิ ทั ฯ เพือ่ ประโยชนท์ างการคา้ (11) หา้ มผปู้ ฏบิ ัติงานนาเสนอข้อมูลที่ผิดกฎหมาย ละเมิดลิขสทิ ธิแ์ สดงขอ้ ความรปู ภาพไม่เหมาะสม หรือขัดต่อศลี ธรรม กรณีผ้ปู ฏบิ ัติงาน สร้างเวบ็ เพจบนเครอื ขา่ ยคอมพวิ เตอร์ (12) ห้ามผู้ปฏบิ ัตงิ านของหน่วยงาน ควบคุมคอมพิวเตอร์หรอื ระบบสารสนเทศภายนอกโดยไมไ่ ดร้ ับอนุญาตจากหัวหน้าหนว่ ยงาน
ส่วนที่ 6 กำรควบคุมกำรเข้ำถงึ ระบบปฏบิ ตั ิกำร (OPERATING SYSTEM ACCESS CONTROL 2. การระบแุ ละยืนยนั ตวั ตนของผู้ใช้งาน (User Identification and Authentication) กาหนดให้ผู้ปฏิบัติงานแสดงตวั ตนด้วยช่อื ผู้ใช้งาน และ ต้องมีการพสิ ูจนย์ นื ยันตัวตนดว้ ยการใชร้ หสั ผ่านเพอื่ ตรวจสอบความถกู ต้องของผู้ปฏบิ ัตงิ านกอ่ นทุกคร้ัง 3. การใชง้ านโปรแกรมประเภทยูทลิ ติ ี้ (Use of system utilities) ตอ้ งจากัดและควบคุมการใช้งาน โปรแกรมยูทลิ ติ ีส้ าหรบั โปรแกรม คอมพิวเตอร์ท่สี าคัญ เนอื่ งจากการใช้งานโปรแกรมยูทิลติ ้ีบางชนิดสามารถทาให้ผู้ใช้หลีกเลยี่ งมาตรการปอ้ งกันทางด้านความมน่ั คงปลอดภัย ของระบบได้ เพื่อปอ้ งกนั การละเมดิ หรอื หลกี เลี่ยงมาตรการความมัน่ คงปลอดภัยท่ีไดก้ าหนดไวห้ รอื ท่ีมีอยูแ่ ล้ว ใหด้ าเนนิ การ ดังน้ี (1) การใชง้ านโปรแกรมยูทลิ ติ ตี้ ้องไดร้ บั การอนุมัติจากผู้ดูแลระบบ และต้องมีการพิสจู น์ยนื ยนั ตวั ตนสาหรับการเขา้ ไปใช้งานโปรแกรมยูทลิ ติ ้ี เพอื่ จากดั และควบคุมการใชง้ าน (2) โปรแกรมยูทลิ ติ ้ีท่ีนามาใชง้ านตอ้ งไม่ละเมิดลิขสิทธิ์ (3) ตอ้ งจดั เก็บโปรแกรมยูทลิ ติ อ้ี อกจากซอฟต์แวร์สาหรับระบบงาน (4) มีการจากดั สิทธิ์ผทู้ ่ไี ด้รับอนญุ าตใหใ้ ชง้ านโปรแกรมยูทลิ ติ ี้ (5) ต้องยกเลิกหรือลบทงิ้ โปรแกรมยทู ิลติ แ้ี ละซอฟตแ์ วร์ที่เกย่ี วข้องกบั ระบบงานทไ่ี มม่ ีความจาเปน็ ในการใช้งาน รวมทง้ั ตอ้ งป้องกนั ไมใ่ ห้ ผู้ปฏิบตั งิ านสามารถเข้าถึงหรอื ใช้งานโปรแกรมยูทลิ ติ ี้ได้
สว่ นท่ี 6 กำรควบคุมกำรเข้ำถึงระบบปฏิบตั ิกำร (OPERATING SYSTEM ACCESS CONTROL 4. การใช้งานอปุ กรณค์ อมพวิ เตอร์และสอื่ สารเคล่อื นที่ ต้องปฏิบัติดงั ตอ่ ไปน้ี (1) ตรวจสอบความพร้อมของคอมพิวเตอร์ และอุปกรณท์ ี่จะนาไปใช้งานว่าอยู่ในสภาพพร้อมใช้งานหรือไมแ่ ละตรวจสอบโปรแกรมมาตรฐาน ว่าถูกต้องตามลขิ สทิ ธิ์ (2) ระมัดระวังไมใ่ หบ้ ุคคลภายนอกคัดลอกขอ้ มลู จากคอมพิวเตอร์ทีน่ าไปใช้ได้ เว้นแตข่ ้อมูลทีไ่ ดม้ ีการเผยแพร่เป็นการทั่วไป (3) เมอื่ หมดความจาเปน็ ตอ้ งใชอ้ ุปกรณ์คอมพิวเตอร์และส่อื สารเคลอื่ นทีแ่ ล้ว ใหร้ บี นาส่งคืนเจา้ หนา้ ทท่ี ีร่ บั ผดิ ชอบทันที (4) เจา้ หน้าท่ผี รู้ ับผิดชอบในการรับคนื ตอ้ งตรวจสอบสภาพความพร้อมใชง้ านของอุปกรณ์คอมพวิ เตอร์และสื่อสารเคลื่อนที่ทร่ี บั คืนด้วย (5) หากปรากฎวา่ ความเสยี หายท่ีเกดิ ขึน้ น้นั เกดิ จากความประมาทอย่างรา้ ยแรงของผู้นาไปใช้ ผู้นาไปใชต้ ้องรบั ผิดชอบตอ่ ความเสียหายท่ี เกิดข้นึ
ส่วนที่ 7 กำรบริหำรจดั กำรซอฟตแ์ วร์, ลิขสทิ ธแ์ิ ละกำรป้องกันโปรแกรมไมป่ ระสงค์ดี (SOFTWARE LICENSING AND INTELLECTUAL PROPERTY AND PREVENTING MALWARE) 1. บรษิ ัทฯ ได้ใหค้ วามสาคัญตอ่ เรือ่ งทรพั ย์สินทางปัญญา ดงั นนั้ ซอฟต์แวรท์ หี่ นว่ ยงานอนุญาตให้ใชง้ านหรอื ทห่ี นว่ ยงานมลี ิขสิทธ์ผิ ใู้ ช้งานสามารถ ขอใชง้ านได้ตามหน้าท่ีความจาเปน็ และห้ามไมใ่ หผ้ ปู้ ฏบิ ัตงิ านทาการตดิ ตัง้ หรือใชง้ านซอฟตแ์ วร์อ่นื ใดท่ไี มม่ ลี ิขสิทธิ์หากมกี ารตรวจสอบพบ ความผิดฐานละเมิดลขิ สทิ ธ์ิถอื ว่าเป็นความผดิ ส่วนบุคคล ผู้ปฏบิ ตั งิ านจะต้องรบั ผิดชอบแต่เพยี งผ้เู ดียว 2. ซอฟต์แวร(์ Software) ท่หี น่วยงานไดจ้ ัดเตรยี มไว้ใหผ้ ปู้ ฏบิ ตั งิ าน ถือเป็นส่งิ จาเปน็ ต่อการทางานห้ามมใิ ห้ผูป้ ฏิบตั ิงานทาการ ถอดถอน เปลี่ยนแปลง แก้ไข หรือทาสาเนาเพอื่ นาไปใช้งานท่ีอื่น ๆ ยกเว้นไดร้ บั การอนญุ าตจากหวั หนา้ หน่วยงานหรอื ผู้ทไี่ ด้รับมอบหมายที่มสี ทิ ธิ์ใน ลิขสทิ ธ์ิ 3. คอมพวิ เตอรข์ องผ้ปู ฏบิ ตั ิงานตดิ ต้งั โปรแกรมปอ้ งกันไวรสั คอมพวิ เตอร์ (Anti virus) ตามที่หน่วยงานไดป้ ระกาศใหใ้ ช้เวน้ แตค่ อมพิวเตอร์น้นั เปน็ เคร่อื งเพอื่ การศกึ ษาหรอื โครงการพฒั นาต่างๆ โดยตอ้ งไดร้ บั อนญุ าตจากหวั หน้าหน่วยงาน/ผู้จัดการโครงการ 4. บรรดาขอ้ มลู ไฟลซ์ อฟต์แวร์หรอื สิ่งอน่ื ใด ท่ไี ด้รบั จากผปู้ ฏิบตั ิงานอ่ืนตอ้ งได้รับการตรวจสอบไวรัสคอมพวิ เตอรแ์ ละโปรแกรมไม่ประสงค์ดกี ่อน นามาใชง้ านหรือก่อนเก็บบันทึกทกุ ครง้ั 5. ผู้ปฏบิ ัตงิ านต้องทาการปรับปรงุ ขอ้ มูลหรือตรวจสอบการปรบั ปรุง สาหรับตรวจสอบและปรับปรงุ ระบบปฏบิ ัติการ (Update patch) ใหใ้ หม่ เสมอ เพ่อื เป็นการปอ้ งกนั ความเสียหายทีอ่ าจเกิดข้ึน 6. ผปู้ ฏิบัติงานตอ้ งพึงระวงั ไวรสั และโปรแกรมไม่ประสงคด์ ตี ลอดเวลา รวมทง้ั เมอ่ื พบสง่ิ ผดิ ปกตผิ ปู้ ฏบิ ัติงานต้องแจง้ เหตแุ ก่ผดู้ ูแลระบบทราบทนั ที
ส่วนท่ี 7 กำรบริหำรจดั กำรซอฟต์แวร์, ลขิ สทิ ธ์แิ ละกำรปอ้ งกนั โปรแกรมไม่ประสงคด์ ี (SOFTWARE LICENSING AND INTELLECTUAL PROPERTY AND PREVENTING MALWARE) 7. เมอ่ื ผปู้ ฏิบตั งิ านพบว่าเครอ่ื งคอมพิวเตอร์ติดไวรัส ผปู้ ฏิบตั ิงานตอ้ งไมเ่ ชอ่ื มต่อเครอ่ื งคอมพวิ เตอร์เข้าสู่เครือข่าย และตอ้ งแจง้ แกผ่ ู้ดูแลระบบ 8. หา้ มลักลอบทาสาเนา เปลี่ยนแปลง ลบทิ้ง ซึ่งข้อมลู ขอ้ ความ เอกสาร หรือสิ่งใด ๆ ทเ่ี ป็นทรัพยส์ นิ ของหน่วยงาน หรือของผอู้ น่ื โดยไมไ่ ดร้ ับ อนุญาตจากหวั หนา้ หน่วยงาน 9. หา้ มทาการเผยแพร่ไวรสั คอมพวิ เตอร์, มัลแวรห์ รือโปรแกรมอันตรายใด ๆ ที่อาจกอ่ ใหเ้ กดิ ความเสยี หายมาสู่ทรัพย์สนิ ของหนว่ ยงาน สิทธท์ิ ่ีจะ พัฒนาโปรแกรมหรือฮารด์ แวร์ใด ๆ สามารถดาเนนิ การได้แตต่ ้องไมด่ าเนินการดงั น้ี (1) พัฒนาโปรแกรมหรอื ฮารด์ แวรใ์ ด ๆ ที่จะทาลายกลไกรกั ษาความปลอดภยั ระบบ รวมท้งั การกระทาในลักษณะเปน็ การแอบใชร้ หัสผ่าน ผ การลักลอบทาสาเนาข้อมลู บคุ คลอืน่ หรอื แกะรหสั ผ่านของบคุ คลอ่ืน (2) พัฒนาโปรแกรมหรือฮารด์ แวรใ์ ด ๆ ซ่งึ ทาใหผ้ ใู้ ช้งานมสี ิทธิแ์ ละลาดบั ความสาคัญในการครอบครองทรัพยากรระบบมากกว่าผใู้ ชง้ านอน่ื (3) พัฒนาโปรแกรมใดท่ีจะทาซา้ ตวั โปรแกรมหรอื แฝงตวั โปรแกรมไปกบั โปรแกรมอื่นในลักษณะเชน่ เดยี วกบั หนอนหรอื ไวรัสคอมพวิ เตอร์ (4) พัฒนาโปรแกรมหรือฮาร์ดแวรใ์ ด ๆ ที่จะทาลายระบบจากดั สทิ ธิการใช้ (License) ซอฟต์แวร์ (5) นาเสนอขอ้ มลู ท่ผี ิดกฎหมาย ละเมดิ ลิขสิทธิ์แสดงขอ้ ความรูปภาพไม่เหมาะสมหรอื ขัดต่อศลี ธรรมประเพณีอันดงี ามของประเทศไทย กรณีท่ี ผใู้ ชง้ านสร้างเว็บเพจบนเครอื ข่ายคอมพิวเตอร์
สว่ นท่ี 8 กำรปฏบิ ตั ิงำนจำกภำยนอกสำนกั งำน (TELEWORKING) 1. บรษิ ัทฯ มกี ารตรวจสอบว่าอปุ กรณท์ เ่ี ป็นของสว่ นตวั ซ่ึงใชใ้ นการเข้าถงึ ระบบเทคโนโลยีสารสนเทศของหนว่ ยงานจากระยะไกลมกี ารป้องกัน ไวรัสและการใช้งานไฟรว์ อลลต์ ามที่หน่วยงานกาหนด 2. บริษัทฯ มกี ารจดั เตรียมอปุ กรณส์ าหรับการปฏบิ ัตงิ านจากระยะไกลหรอื กรณีใช้อปุ กรณ์ส่วนตัวตอ้ งมีการลงทะเบยี นกับผดู้ แู ลระบบ 3. ผปู้ ฏบิ ัตงิ านจากระยะไกลทุกคน ตอ้ งผา่ นการพสิ ูจนต์ ัวตน เพอื่ เพ่ิมความปลอดภัยจะตอ้ งมกี ารตรวจสอบ เช่น รหัสผา่ น หรือวธิ กี ารเขา้ รหัส เปน็ ตน้ 4. บรษิ ทั ฯ ได้กาหนดชนิดของงาน, ชั่วโมงการทางาน ชัน้ ความลบั ของข้อมลู ระบบงานและบรกิ ารตา่ ง ๆ ของหน่วยงานทอ่ี นญุ าตและไม่อนญุ าต ให้ปฏบิ ัติงานจากระยะไกล 5. บริษัทฯ ไดก้ าหนดขั้นตอนปฏิบตั สิ าหรบั การขออนุมตั ิ การขอยกเลกิ การกาหนดหรอื ปรับปรงุ สิทธ์ิการเขา้ ถงึ ระบบงาน และการคนื อุปกรณท์ ่ี ใชป้ ฏบิ ัติงานจากระยะไกล
สว่ นที่ 9 กำรควบคมุ กำรเข้ำถงึ ระบบเครือข่ำยไร้สำย (WIRELESS LAN ACCESS CONTROL) 1. ผู้ปฏบิ ตั งิ านท่ตี อ้ งการเข้าถึงระบบเครือข่ายไรส้ ายของบรษิ ทั ฯ จะต้องทาการลงทะเบียนกับผดู้ แู ลระบบและต้องไดร้ ับพิจารณาอนญุ าตจาก หัวหน้าหนว่ ยงานอยา่ งเป็นลายลกั ษณ์อักษร
สว่ นท่ี 10 กำรควบคุมกำรใชจ้ ดหมำยอิเลก็ ทรอนิกส์ (E-MAIL) 1. ในการลงทะเบยี นบญั ชผี ู้ใชง้ านจดหมายอเิ ล็กทรอนกิ ส์ (E-Mail) บรษิ ทั ฯ ได้กาหนดใหต้ ้องทาการกรอกข้อมูลขอเข้าใช้บริการจดหมาย อิเลก็ ทรอนิกส์ (E-Mail) โดยยน่ื คาขอกับเจา้ หน้าที่หนว่ ยงาน 2. รหสั จดหมายอเิ ล็กทรอนิกส์ เวลาใส่รหัสผ่านตอ้ งไมป่ รากฏหรอื แสดงรหัสผา่ นออกมาแตต่ ้องแสดงออกมาในรปู ของสัญลกั ษณแ์ ทนตวั อกั ษรนนั้ เชน่ “x” หรอื “O” ในการพิมพแ์ ตล่ ะตัวอักษร 3. เมือ่ ไดร้ บั รหัสผ่าน (Password) คร้งั แรกในการเข้าระบบจดหมายอิเล็กทรอนิกส์ (E-Mail) และเมอื่ มกี ารเข้าส่รู ะบบในคร้ังแรกนั้น ให้เปลีย่ น รหสั ผ่าน (Password) โดยทันที 4. ผดู้ ูแลระบบ ตอ้ งกาหนดจานวนคร้ังท่ียอมใหผ้ ใู้ ช้งานใสร่ หสั ผ่านผิดได้เชน่ ไม่เกิน 3 ครง้ั 5. ผู้ใชง้ านต้องไมบ่ ันทกึ หรือเก็บรหัสผา่ น (Password) ไวใ้ นระบบคอมพิวเตอร์ 6. บรษิ ัทฯ ไดก้ าหนดใหม้ กี ารเปลี่ยนรหสั ผา่ น (Password) ทกุ 90 วนั ข้อ 7. บริษทั ฯ ได้กาหนดใหไ้ มใ่ ชท้ ี่อยู่จดหมายอเิ ลก็ ทรอนิกส์ (E-Mail Address) ของผู้อ่ืนเพื่ออ่านหรอื รับหรือส่งขอ้ ความ ยกเว้นแตจ่ ะไดร้ ับการ ยนิ ยอมจากเจ้าของผใู้ ชง้ านและใหถ้ ือวา่ เจา้ ของจดหมายอิเล็กทรอนิกส์ (E-Mail) เป็นผ้รู บั ผิดชอบต่อการใชง้ านในจดหมายอิเล็กทรอนกิ ส์ (E- Mail) ของตน 8. หลงั จากการใชง้ านระบบจดหมายอเิ ล็กทรอนิกส์ (E-Mail) เสรจ็ ส้ินต้องลงบันทกึ ออก (Logout) ทุกครง้ั
ส่วนที่ 10 กำรควบคุมกำรใช้จดหมำยอเิ ลก็ ทรอนิกส์ (E-MAIL) 9. การสง่ ขอ้ มลู ท่เี ปน็ ความลบั ในระดบั ชน้ั ท่กี าหนด ไม่ควรระบุความสาคญั ของขอ้ มูลลงในหัวขอ้ จดหมายอิเล็กทรอนกิ ส์ (E-Mail) เว้นเสยี แต่ว่า จะใชว้ ธิ กี ารเข้ารหัสขอ้ มลู E-Mail ทีห่ นว่ ยงานกาหนดไว้ ใหใ้ ชค้ วามระมดั ระวงั ในการระบชุ อ่ื ท่ีอยู่ E-Mail ของผรู้ ับให้ถกู ต้องเพอ่ื ปอ้ งกันการ ส่งผดิ ตัวผ้รู บั 10. หา้ มสง่ E-Mail ทม่ี ีลกั ษณะเป็นจดหมายขยะ (Spam Mail), จดหมายลกู โซ่ (Chain Letter), เปน็ การละเมิดต่อกฏหมาย หรอื สิทธิของบุคคล อืน่ , ที่มีไวรัสไปใหก้ บั บคุ คลอื่นโดยเจตนา 11. ใหร้ ะบุชื่อของผสู้ ง่ ใน E-Mail ทกุ ฉบับท่สี ง่ ไป 12. ผู้ปฏบิ ัติงานต้องทาการตรวจสอบเอกสารแนบจากจดหมายอิเลก็ ทรอนกิ ส์กอ่ นการเปดิ เพอ่ื ตรวจสอบไฟล์โดยใช้โปรแกรมป้องกนั ไวรัส เปน็ การ ป้องกนั ในการเปิดไฟลท์ เี่ ปน็ Executable file เช่น .exe .com เป็นตน้ และแจง้ ผูด้ ูแลระบบเพอ่ื ตรวจสอบกรณไี มม่ นั่ ใจดา้ นความปลอดภยั 13. ผูป้ ฏบิ ตั งิ านตอ้ งไมเ่ ปิดหรือส่งตอ่ จดหมายอเิ ล็กทรอนกิ ส์หรือข้อความที่ได้รับจากผสู้ ง่ ทีไ่ ม่ร้จู ัก
ส่วนท่ี 10 กำรควบคุมกำรใชจ้ ดหมำยอิเล็กทรอนกิ ส์ (E-MAIL) 14. ผู้ปฏิบตั งิ านตอ้ งไมใ่ ช้ข้อความทไี่ มส่ ุภาพหรอื รบั ส่งจดหมายอิเลก็ ทรอนกิ ส์ทไ่ี ม่เหมาะสม ขอ้ มูลอันอาจทาใหเ้ สียชื่อเสียงของหน่วยงาน ทาให้ เกดิ ความแตกแยกระหว่างหนว่ ยงาน ผา่ นทางจดหมายอิเล็กทรอนกิ ส์ 15. ผู้ปฏบิ ตั งิ านตอ้ งตรวจสอบกลอ่ งเกบ็ จดหมายอิเล็กทรอนิกสข์ องตนเองทกุ วนั และควรจัดเก็บแฟ้มข้อมลู และจดหมายอิเล็กทรอนกิ สข์ องตนให้ เหลอื จานวนน้อยท่ีสุด และควรลบจดหมายอเิ ลก็ ทรอนิกสท์ ไ่ี มต่ อ้ งการออกจากระบบเพ่อื ลดปรมิ าณการใช้เน้ือที่ระบบจดหมายอเิ ล็กทรอนกิ ส์ 16. ข้อควรระวัง ผ้ปู ฏบิ ัตงิ านควรโอนยา้ ยจดหมายอิเล็กทรอนิกสท์ จ่ี ะใช้อ้างองิ ภายหลงั มายงั เครือ่ งคอมพิวเตอรข์ องตน เพือ่ เป็นการปอ้ งกันผู้อนื่ แอบอ่านจดหมายได้ดังน้นั ไม่ควรจดั เก็บขอ้ มูล หรือจดหมายอเิ ล็กทรอนิกส์ทไี่ ม่ไดใ้ ช้แล้วไว้ในกล่องจดหมายอิเล็กทรอนกิ ส์ 17. ผู้ปฏิบัติงานตอ้ งใชจ้ ดหมายอิเล็กทรอนกิ ส์ของบรษิ ัทฯ สาหรับใช้รับ-ส่งขอ้ มลู ในการปฏิบตั ิงานทีเ่ ก่ยี วข้องกับหน้าทที่ ไี่ ด้รบั มอบหมาย
ส่วนท่ี 11 กำรควบคุมกำรใชอ้ นิ เทอรเ์ นต็ (INTERNET) 1. ห้ามผ้ปู ฏิบัติงานทาการเช่ือมตอ่ ระบบคอมพวิ เตอรผ์ า่ นชอ่ งทางอนื่ ที่ไมใ่ ช่ขององค์กร เช่น 3G, 4G rounter ยกเวน้ แต่วา่ มเี หตุผลความจาเปน็ และตอ้ งทาการขออนญุ าตจากหวั หนา้ หน่วยงานเป็นลายลกั ษณ์อกั ษร 2. เครื่องคอมพิวเตอรส์ ่วนบุคคลและเครอื่ งคอมพวิ เตอร์แบบพกพา ก่อนทาการเชอ่ื มตอ่ อนิ เทอรเ์ น็ต ผา่ นเวบ็ เบราเซอร์ (Web browser) ต้องมี การตดิ ตงั้ โปรแกรมป้องกนั ไวรัส และทาการอุดช่องโหว่ของระบบปฏบิ ตั กิ าร 3. ในการรบั ส่งข้อมูลคอมพวิ เตอรผ์ ่านทางอินเทอรเ์ น็ตจะต้องมีการทดสอบไวรสั (Virus scanning) โดยโปรแกรมป้องกนั ไวรสั ก่อนการรบั สง่ ขอ้ มูลทกุ ครงั้ 4. ไม่ใชร้ ะบบอนิ เทอร์เน็ต (Internet) ของหนว่ ยงาน เพอื่ หาประโยชน์ในเชิงพาณชิ ยเ์ ปน็ การส่วนบคุ คล และทาการเขา้ สูเ่ ว็บไซตท์ ไ่ี มเ่ หมาะสม เช่น เว็บไซตท์ ่ีขดั ต่อศีลธรรม เวบ็ ไซตท์ ีม่ เี นอ้ื หาอันอาจกระทบกระเทอื นหรือเป็นภยั ตอ่ ความม่นั คงต่อชาติศาสนา พระมหากษัตรยิ ์ หรอื เว็บไซต์ทเ่ี ป็นภัยต่อสังคมหรอื ละเมิดสทิ ธิของผอู้ ืน่ หรอื ขอ้ มลู ทอ่ี าจกอ่ ใหเ้ กดิ ความเสียหายให้กับหนว่ ยงาน 5. หา้ มเปดิ เผยข้อมลู สาคัญท่ีเปน็ ความลับเกยี่ วกับงานของหนว่ ยงานทยี่ งั ไม่ได้ประกาศอยา่ งเปน็ ทางการผา่ นระบบอนิ เทอรเ์ นต็ (Internet) 6. ระมดั ระวงั การดาวน์โหลดโปรแกรมที่ใช้งานจากระบบอนิ เทอรเ์ น็ต (Internet) การอัพเดท (Update) โปรแกรมตา่ ง ๆ ตอ้ งเปน็ ไปโดยไม่ ละเมิดลขิ สทิ ธ์ิ
ส่วนที่ 11 กำรควบคุมกำรใชอ้ ินเทอร์เน็ต (INTERNET) 7. ในการใช้งานกระดานสนทนาอเิ ล็กทรอนิกส์ หรือ Social Network ตอ้ งไม่เปดิ เผยขอ้ มูลท่ีสาคัญและเปน็ ความลับของหนว่ ยงานหรอื ของ บรษิ ทั ฯ 8. ในการใช้งานกระดานสนทนาอเิ ลก็ ทรอนิกส์ หรอื Social Network ต้องไมเ่ สนอความคดิ เห็น หรอื ใช้ข้อความท่ียั่วยใุ หร้ า้ ย ท่จี ะทาใหเ้ กิด ความเส่ือมเสยี ตอ่ ชอื่ เสียงของหนว่ ยงานหรอื บรษิ ัทฯ และเปน็ การทาลายความสมั พันธ์กับบุคลากรของหน่วยงานอ่ืนๆ 9. ผู้ปฏบิ ัตงิ านไม่นาเขา้ ขอ้ มลู คอมพิวเตอรใ์ ดๆ ท่ีมีลักษณะอันเป็นเทจ็ อนั เปน็ ความผดิ ตามกฎหมายทีเ่ กยี่ วข้อง เชน่ ผลกระทบต่อความม่ันคง แห่งราชอาณาจกั ร, ผลอันเปน็ ความผดิ เก่ยี วกบั การก่อการร้าย หรือภาพทมี่ ลี ักษณะอนั ลามก และไมท่ าการเผยแพร่หรอื ส่งตอ่ ข้อมลู คอมพวิ เตอรด์ ังกล่าวผา่ นอนิ เทอร์เน็ต 10. หลงั จากใชง้ านระบบอินเทอรเ์ นต็ (Internet) เสรจ็ แล้ว ใหป้ ดิ เว็บเบราเซอร์และทาการออกจากระบบเพอ่ื ป้องกันการเข้าใชง้ านโดยบคุ คลอ่นื 11. ผ้ปู ฏบิ ัตงิ านต้องปฏบิ ัตติ ามกฎหมายว่าดว้ ยการกระทาความผดิ เก่ยี วกบั คอมพิวเตอร์อย่างเครง่ ครัด
ส่วนที่ 12 กำรใช้งำนเครอ่ื งคอมพิวเตอร์สว่ นบคุ คล 1. แนวทางปฏิบตั ิการใชง้ านทัว่ ไป (1) เครือ่ งคอมพวิ เตอร์ท่หี น่วยงานอนญุ าตใหใ้ ชง้ าน เป็นทรัพย์สินของหนว่ ยงานเพอ่ื ใช้ในงานของบรษิ ัทฯ (2) โปรแกรมทไ่ี ดถ้ กู ตดิ ตั้งลงบนเคร่ืองคอมพวิ เตอรข์ องหน่วยงานตอ้ งเปน็ โปรแกรมที่หน่วยงานได้ซ้อื ลขิ สทิ ธ์มิ าอยา่ งถกู ตอ้ งตามกฎหมาย ดังนั้นหา้ มผู้ปฏบิ ตั ิงานคัดลอกโปรแกรมตา่ ง ๆ และนาไปติดตง้ั บนเคร่อื งคอมพิวเตอรส์ ่วนตัว หรือแกไ้ ข หรอื นาไปใหผ้ ู้อ่ืนใช้งานโดยผิด กฎหมาย (3) ไมอ่ นุญาตให้ผูป้ ฏบิ ัตงิ านทาการตดิ ต้ังและแก้ไขเปล่ยี นแปลงโปรแกรมในเครอื่ งคอมพวิ เตอรส์ ว่ นบุคคลของหนว่ ยงาน (4) การเคลื่อนยา้ ยหรอื สง่ เครอื่ งคอมพิวเตอรส์ ว่ นบุคคลตรวจซอ่ มจะต้องดาเนนิ การโดยเจา้ หน้าท่ีของหนว่ ยงานหรือผู้รบั จ้างเหมาบารงุ รกั ษา เครอื่ งคอมพวิ เตอร์และอปุ กรณท์ ไ่ี ดท้ าสญั ญากบั บรษิ ัทฯ เท่านนั้ (5) กอ่ นการใชง้ านส่ือบนั ทึกพกพาต่าง ๆ ตอ้ งมกี ารตรวจสอบเพอ่ื หาไวรสั โดยโปรแกรมปอ้ งกันไวรัส (6) ผู้ปฏิบัติงานมหี นา้ ท่ีและรบั ผดิ ชอบต่อการดูแลรกั ษาความปลอดภัยของเคร่อื งคอมพวิ เตอร์
สว่ นที่ 12 กำรใชง้ ำนเครื่องคอมพิวเตอรส์ ว่ นบุคคล 1. แนวทางปฏบิ ัตกิ ารใชง้ านท่วั ไป (1) เครอื่ งคอมพิวเตอร์ที่หนว่ ยงานอนุญาตให้ใชง้ าน เป็นทรัพย์สนิ ของหน่วยงานเพอื่ ใชใ้ นงานของบริษัทฯ (2) โปรแกรมทไี่ ด้ถกู ติดตั้งลงบนเครื่องคอมพิวเตอร์ของหน่วยงานตอ้ งเปน็ โปรแกรมที่หนว่ ยงานไดซ้ อ้ื ลิขสิทธมิ์ าอยา่ งถกู ตอ้ งตามกฎหมาย ดงั นนั้ ห้ามผู้ปฏิบตั งิ านคัดลอกโปรแกรมต่าง ๆ และนาไปตดิ ต้ังบนเคร่อื งคอมพวิ เตอร์สว่ นตัว หรือแก้ไข หรือนาไปใหผ้ อู้ ่ืนใช้งานโดยผิด กฎหมาย (3) ไม่อนญุ าตให้ผปู้ ฏิบตั ิงานทาการตดิ ตงั้ และแก้ไขเปลย่ี นแปลงโปรแกรมในเคร่อื งคอมพวิ เตอร์สว่ นบุคคลของหน่วยงาน (4) การเคล่อื นยา้ ยหรือสง่ เครอื่ งคอมพวิ เตอรส์ ่วนบคุ คลตรวจซ่อมจะตอ้ งดาเนนิ การโดยเจ้าหนา้ ที่ของหนว่ ยงานหรอื ผู้รบั จา้ งเหมาบารงุ รักษา เครอื่ งคอมพิวเตอรแ์ ละอปุ กรณ์ท่ีได้ทาสัญญากับบริษัทฯ เทา่ น้ัน (5) ก่อนการใช้งานส่ือบันทกึ พกพาต่าง ๆ ตอ้ งมกี ารตรวจสอบเพอื่ หาไวรัสโดยโปรแกรมป้องกนั ไวรัส (6) ผู้ปฏบิ ตั งิ านมีหน้าทแ่ี ละรบั ผิดชอบตอ่ การดแู ลรกั ษาความปลอดภัยของเครื่องคอมพวิ เตอร์ (7) ปิดเครอื่ งคอมพวิ เตอร์สว่ นบคุ คลทต่ี นเองครอบครองใช้งานอยเู่ ม่อื ใช้งานประจาวนั เสรจ็ สิน้ หรือเมอ่ื มีการยุติการใชง้ านเกนิ กว่า 1 ชัว่ โมง (8) ทาการตง้ั คา่ Screen Saver ของเครอ่ื งคอมพวิ เตอรท์ ่ีตนเองรับผิดชอบใหม้ ีการลอ็ กหนา้ จอหลังจากท่ีไมไ่ ดใ้ ชง้ านเกินกว่า 15 นาที เพ่ือ ป้องกันบคุ คลอนื่ มาใชง้ านทเ่ี ครอื่ งคอมพิวเตอร์ (9) หา้ มนาเครอื่ งคอมพิวเตอร์ส่วนตัวที่เจา้ หนา้ ท่เี ปน็ เจา้ ของมาใชก้ ับระบบเครอื ข่ายของหนว่ ยงาน ยกเว้นจะได้รับการตรวจสอบจากผูด้ แู ล ระบบของหนว่ ยงานกอ่ นการใช้งาน
สว่ นท่ี 12 กำรใชง้ ำนเคร่อื งคอมพิวเตอรส์ ว่ นบคุ คล 2. การป้องกนั จากโปรแกรมชดุ คาส่งั ไม่พงึ ประสงค์ (Malware) (1) ผู้ใชง้ านตอ้ งตรวจสอบหาไวรัสจากสือ่ ตา่ ง ๆ เชน่ Floppy Disk, Flash Drive หรือ Data Storage อื่น ๆ กอ่ นนามาใช้งานร่วมกับเคร่อื ง คอมพิวเตอร์ (2) ผ้ใู ชง้ านตอ้ งตรวจสอบไฟล์ทแี่ นบมากับจดหมายอเิ ลก็ ทรอนิกส์หรอื ไฟล์ท่ีดาวนโ์ หลดมาจากอินเทอร์เน็ตด้วยโปรแกรมป้องกันไวรัสกอ่ นใช้ งาน (3) ผูใ้ ช้งานตอ้ งตรวจสอบขอ้ มูลคอมพิวเตอร์ใดทม่ี ีชดุ คาส่ังไมพ่ ึงประสงค์รวมอยดู่ ้วยซ่งึ มีผลทาใหข้ อ้ มูลคอมพวิ เตอร์หรอื ระบบคอมพวิ เตอร์ หรอื ชุดคาส่งั อน่ื เกิดความเสียหาย ถกู ทาลาย ถกู แกไ้ ขเปลยี่ นแปลง หรอื ปฏบิ ตั ิงานไมต่ รงตามคาส่ังทกี่ าหนดไว้ 3. การสารองขอ้ มลู และการกคู้ ืน (1) ผ้ใู ชง้ านตอ้ งรับผิดชอบในการสารองขอ้ มูลสาคัญที่ได้รับอนุญาต โดยหนว่ ยงานตามสายบังคบั บัญชา จากเคร่อื งคอมพิวเตอรไ์ ว้บนสือ่ บันทกึ อ่นื ๆ เชน่ CD, DVD, External Hard Disk เป็นต้น (2) ผใู้ ชง้ านมีหน้าทเี่ ก็บรักษาส่ือข้อมูลสารอง (Backup Media) ไวใ้ นสถานท่ีทเ่ี หมาะสม ไมเ่ สีย่ งตอ่ การรวั่ ไหลของข้อมูลและทดสอบการกู้คืน ขอ้ มลู ทสี่ ารองไว้อย่างสมา่ เสมอ (3) ผใู้ ช้งานตอ้ งประเมนิ ความเส่ียงวา่ ขอ้ มลู ท่เี ก็บไว้บน Hard Disk ไม่ควรจะเปน็ ขอ้ มูลสาคัญที่เก่ียวขอ้ งกบั การทางาน เพราะหาก Hard Disk เสยี ไป กไ็ มก่ ระทบต่อการดาเนินการของหนว่ ยงาน
หมวดท่ี 2 กำรสรำ้ งควำมตระหนักในเรอ่ื งกำรรกั ษำควำมปลอดภยั ของระบบ เทคโนโลยสี ำรสนเทศ วัตถุประสงค์ 1. เพอื่ สร้ำงควำมรคู้ วำมเข้ำใจ ในกำรใชร้ ะบบสำรสนเทศและระบบคอมพิวเตอรใ์ ห้แกผ่ ู้ปฏบิ ัตงิ ำนของบรษิ ัทฯ 2. เพื่อให้กำรใช้งำนระบบสำรสนเทศและระบบคอมพวิ เตอร์เกิดควำมมั่นคงปลอดภยั 3. เพ่อื ป้องกันและลดกำรกระทำควำมผิดท่เี กิดขึ้นจำกกำรใชร้ ะบบสำรสนเทศและระบบคอมพิวเตอร์โดยไมค่ ำดคดิ
กำรสร้ำงควำมตระหนกั ในเรอ่ื งกำรรกั ษำควำมปลอดภยั ของระบบเทคโนโลยีสำรสนเทศ จดั ใหม้ กี ารทบทวน ผปู้ ฏบิ ัติงานทเี่ ปน็ ผปู้ ฏบิ ตั ิงานควรตดิ ตาม ผปู้ ฏบิ ัติงานควรมีความ ผปู้ ฏบิ ัติงานตอ้ งมีความรู้ ผู้ใชง้ านต้องตระหนกั ปรบั ปรุงนโยบายและ พนกั งานของ บรษิ ทั การประกาศข่าว/การ ตระหนกั เกี่ยวกับ ความเขา้ ใจ รวมถึงความ และปฏบิ ัติตามกฎหมาย แนวปฏบิ ัตใิ หเ้ ปน็ โรงพยาบาลพญาไท 3 ประชาสมั พนั ธ์ใหค้ วามรู้ ตระหนกั ถงึ เหตุการณ์ ใด ๆ ทไี่ ด้ประกาศใชใ้ น ปัจจุบนั อยูเ่ สมออยา่ ง จากดั ควรเข้ารว่ มการ เก่ียวกับแนวปฏิบัติใน โปรแกรมไม่ประสงคด์ ี ดา้ นความม่ันคงปลอดภัย สัมมนา/อบรมเพ่ือ ลกั ษณะเกรด็ ความรู้ เช่น virus, ที่เกิดขึ้น และสถานการณ์ ประเทศไทยรวมทัง้ นอ้ ยทกุ 3 ปี รับทราบนโยบายและ หรือข้อระวังในรปู แบบ ด้านความมั่นคงปลอดภัย กฎระเบยี บของบริษทั ฯ แนวปฏิบัติในการรักษา ransomware เปน็ ต้น ทีไ่ มพ่ ึงประสงคห์ รอื ไม่ และข้อตกลงระหวา่ ง ความมน่ั คงปลอดภยั ต่างๆ มีความรู้ความเข้าใจและ ลกู ค้าอย่างเคร่งครดั ดา้ นสารสนเทศ และ สามารถปอ้ งกนั ตนเอง อาจคาดคดิ เพ่ือให้ สรา้ งความตระหนักถึง ผใู้ ชง้ านปฏบิ ตั ิตาม ท้งั นี้หากผู้ใชง้ านไม่ ความสาคัญของการ ไดแ้ ละใหร้ บั ทราบ นโยบายและแนวปฏิบตั ิ ปฏบิ ตั ิตามกฎหมาย ปฏบิ ตั ติ ามขน้ั ตอนต่างๆ ขน้ั ตอนปฏิบตั ิเม่อื พบ ในการรกั ษาความมั่นคง ดงั กล่าว ถอื ว่าความผิด เหตโุ ปรแกรมไม่ประสงค์ ปลอดภัยของหนว่ ยงาน นั้นเปน็ ความผดิ ส่วน ใหก้ บั บคุ ลากร ดีวา่ ต้องดาเนนิ การ และแจ้งใหผ้ ู้ดแู ลระบบ บคุ คลซึ่งผใู้ ชง้ านจะตอ้ ง ทราบอยา่ งรวดเร็ว รบั ผิดชอบตอ่ ความผิดท่ี อย่างไร เกดิ ขน้ึ เอง
หมวดที่ 3 ระบบกำรควบคมุ เอกสำรและขอ้ มลู
การระดับชน้ั ของเอกสารอา้ งอิงตาม SP-ITD-2007 นโยบายการจดั ลาดับความสาคญั และความปลอดภัยของขอ้ มูล สารสนเทศ ดงั นี้
รูปแบบของทำ้ ยกระดำษ ระบุ ช้นั ความลบั ของเอกสาร สาหรบั คูม่ ือคุณภาพ : QM ระเบียบ ปฏบิ ตั งิ าน : SP วธิ ปี ฏบิ ัติงาน : WI เอกสารสนับสนุน SD เอกสารอา้ งอิง : (ยกเวน้ เอกสารสนบั สนนุ ภายนอก : RF) บริเวณก่ึงกลางดา้ นลา่ งของกระดาษทกุ แผ่น ระบรุ ะดบั ชน้ั ของเอกสาร อา้ งองิ ตาม SP-ITD-2007 นโยบายการจัดลาดบั ความสาคัญและความปลอดภยั ของข้อมลู สารสนเทศ โดยจะพมิ พด์ ้วยประโยค ดงั นี้ • Secret (เช่น FM0) • Confidential (เช่น FM1) • Internal use (เชน่ นโยบาย, คาสงั่ แต่งตง้ั , รายงานการประชุม, SP0, SP1,SP2, SP3, WI, QM, SD3, SD4) • Public (เช่น SD2, FM2, FM3)
เอกสำรแนบทำ้ ย บัญชีรำยช่ือและขอ้ มลู ผู้ตดิ ตอ่ 1. บัญชีรายช่ือและขอ้ มูลตดิ ตอ่ หนว่ ยงานภายใน ตัวแทนฝ่ายบริหารระบบความปลอดภัยขอ้ มูลสารสนเทศ ด้านขอบเขตความ รายชอื่ อีเมลล์ โทรศัพทเ์ คลื่อนท่ี โทรศัพทส์ านกั งาน เบอรต์ อ่ สานกั งาน รบั ผิดชอบ ระบบการจดั การ ISMS คลอ่ ง ชมุ คล้าย [email protected] 082-667-8955 024671111 3462 ระบบ IT กรณีติดตอ่ เบอร์ สานักงานไม่ได้ ในเวลา หน่วยสนบั สนนุ สารสนเทศ [email protected] 024671111 3460 081-900-8083 นอกเวลา เจา้ หนา้ ที่ oncall [email protected] 081-900-8083 024671111 3460 024671111 3522 ระบบเอกสาร สุรรี ตั น์ สว่างจนั ทร์ [email protected] 086-099-6369 024671111 3523 ความปลอดภยั ข้อมลู สว่ น นพ.อภิชยั โตวณะบตุ ร [email protected] 081-811-3502 บคุ คล (DPO)
เอกสำรแนบท้ำย บัญชรี ำยช่ือและขอ้ มูลผู้ตดิ ตอ่ 2. บัญชรี ายชอ่ื และขอ้ มูลตดิ ตอ่ หนว่ ยงานภายนอก หน่วยงาน ช่องทางตดิ ตอ่ United Registrar of Systems (Thailand) Ltd. (URS) บริษทั ผู้ใหก้ ารรับรอง (CB) 9 Soi Rattanathibeth 30 Bankrasor Muang Nonthaburi 11000 Thailand Tel. 02 969 7722-25 ; 063 1917432 ศูนยป์ ราบปรามอาชญากรรมทางเทคโนโลยีสารสนเทศ 02 504 4850 จนั ทร์ - ศกุ ร์ : 08:30 -16:30 สายด่วน 1441 กองบังคบั การปราบปรามการกระทาความผิดเกย่ี วกบั อาชญากรรมทาง Facebook กองบัญชาการตารวจสบื สวนสอบสวนอาชญากรรมทางเทคโนโลยี เทคโนโลยี - บก.ปอท 02 143 8080 [email protected] tcsd.go.th กระทรวงดจิ ทิ ลั เพอ่ื เศรษฐกจิ และสังคม สานกั งานคณะกรรมการสทิ ธิมนุษยชนแหง่ ชาติ 02-141-6747 คณะกรรมการการรกั ษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (กมช.) โทรศพั ท์สายดว่ น 1377 หรือ 0-2141-3978-83 (เวลาราชการ 08.30 - 16.30 น.) โทรศพั ท์ 02 142 6888 โทรสาร 02 143 7593 สานักงานตารวจแหง่ ชาติ Email: [email protected] แจง้ เหตภุ ยั คกุ คามไซเบอร์: [email protected] 191
Search
Read the Text Version
- 1 - 49
Pages:
