นโยบายในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศของรัฐสภา

นโยบาย ในการรกั ษาความม่ันคงปลอดภยั ดา้ นสารสนเทศของรัฐสภา คณะอนุกรรมการขบั เคลื่อนแผนการรักษาความมั่นคงปลอดภยั ด้านเทคโนโลยีสารสนเทศและการสอ่ื สารของรัฐสภา ระยะ 4 ปี (พ.ศ. 2562 – 2565)

นโยบายในการรกั ษาความมน่ั คงปลอดภยั ด้านสารสนเทศของรฐั สภา รหัสเอกสาร : STD_PY_01 เวอรช์ นั่ : 1.0 วันท่มี ผี ลบังคับใช้ : 30 ก.ย. 2562 นโยบายในการรกั ษาความมนั่ คงปลอดภัยดา้ นสารสนเทศของรฐั สภา STD_PY_01 เวอรช์ นั่ : 1.0 2

สารบัญ หนา้ 4 นโยบายความมัน่ คงปลอดภัยสารสนเทศของรัฐสภา 4 วัตถปุ ระสงค์ 4 องค์ประกอบของนโยบาย 5 นยิ ามคำศัพท์ 8 หมวดท่ี 1 นโยบายความมน่ั คงปลอดภยั สารสนเทศ 9 หมวดที่ 2 โครงสร้างความม่นั คงปลอดภัยสารสนเทศ 10 หมวดที่ 3 ความมั่นคงปลอดภยั ท่ีเกย่ี วขอ้ งกบั บุคลากร 11 หมวดท่ี 4 การจดั หมวดหมู่และการควบคุมสินทรัพย์ขององคก์ ร 12 หมวดที่ 5 การควบคุมการเข้าถงึ 13 หมวดที่ 6 การเข้ารหสั ข้อมูล 13 หมวดท่ี 7 ความมนั่ คงปลอดภัยทางดา้ นกายภาพและส่ิงแวดล้อม 14 หมวดท่ี 8 ความมน่ั คงปลอดภัยสำหรับการดำเนนิ งาน 16 หมวดท่ี 9 ความมั่นคงปลอดภยั ในการสื่อสารข้อมลู หมวดท่ี 10 การจัดหา พัฒนา และการบำรงุ รักษาระบบ 16 หมวดท่ี 11 ความสมั พันธก์ บั ผู้ใหบ้ รกิ ารภายนอก 17 หมวดที่ 12 การบรหิ ารจดั การเหตกุ ารณด์ า้ นความม่ันคงปลอดภัยสารสนเทศ 18 หมวดท่ี 13 ความมัน่ คงปลอดภยั สารสนเทศของการบริหารจัดการ เพ่ือสร้างความต่อเนื่องทางธุรกจิ 18 หมวดที่ 14 การปฏิบตั ติ ามข้อกำหนด 19 นโยบายในการรกั ษาความมนั่ คงปลอดภัยดา้ นสารสนเทศของรัฐสภา STD_PY_01 เวอร์ชนั่ : 1.0 3

นโยบายในการรักษาความมั่นคงปลอดภัยสารสนเทศของรัฐสภา รัฐสภา ได้ประกาศใช้แผนการรักษาความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศและการสื่อสาร ของรัฐสภา ระยะ 4 ปี (พ.ศ. 2562–2565) เป็นกรอบกำหนดทิศทางการดำเนินงานด้านการรักษาความ ปลอดภัย ให้เป็นไปตามสากล และมีการติดตามประเมินผลการดำเนินงาน อีกทั้งเพื่อให้เป็นตามความใน มาตรา 5 มาตรา 6 และมาตรา 7 แห่งพระราชกฤษฎีกากำหนดหลักเกณฑ์และวิธีการในการทำธุรกรรมทาง อิเล็กทรอนิกส์ภาครัฐ พ.ศ. 2546 และประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ เรื่องแนวนโยบาย และแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศของหน่วยงานภาครัฐ พ.ศ. 2553 ดังนั้นจึง เห็นสมควรกำหนดนโยบายความม่นั คงปลอดภยั ของสารสนเทศขน้ึ เพือ่ ให้ระบบเทคโนโลยสี ารสนเทศและการ สื่อสารของรฐั สภา มีการดแู ลการบรหิ ารจัดการอยา่ งมปี ระสทิ ธภิ าพตามหลักมาตรฐานสากล โดยใหค้ รอบคลุม ด้านการรกั ษาความลบั ความถกู ต้อง และสภาพพรอ้ มใชข้ องสารสนเทศ วตั ถุประสงค์ 1. เพื่อให้มีนโยบายรักษาความมั่นคงปลอดภัยสารสนเทศ เพื่อเป็นกรอบในการกำหนดมาตรฐาน ขนั้ ตอนปฏิบตั งิ าน ผรู้ ับผิดชอบ และใช้งานระบบรักษาความม่ันคงปลอดภัยของสารสนเทศรฐั สภา 2. เพ่อื กำหนดให้มกี ารสำรองข้อมลู สารสนเทศอย่างสมำ่ เสมอ มีแผนเตรยี มความพร้อมสำหรับกรณี ฉกุ เฉิน และให้สามารถก้รู ะบบกลับคืนได้ภายในระยะเวลาท่เี หมาะสม สามารถใช้งานไดเ้ ป็นปกติอย่างต่อเน่ือง เหมาะสม และสอดคลอ้ งตามภารกิจ 3. เพื่อให้มีการตรวจสอบและประเมินความเสี่ยงในการรักษาความมั่นคงปลอดภัยสารสนเทศ รวมท้งั ระบบเทคโนโลยสี ารสนเทศและการสือ่ สารอย่างสมำ่ เสมอ 4. เพื่อส่งเสริมให้มีการเผยแพร่ความรู้แก่บุคลากรของรัฐสภา รวมถึงบุคคลที่เกี่ยวข้อง เพื่อสร้าง ความเข้าใจ ให้เกิดความตระหนัก และมสี ว่ นรว่ มรับผิดชอบในการรักษาความมั่นคงปลอดภัยของสารสนเทศ องคป์ ระกอบของนโยบาย นโยบายนี้จัดทำขึ้นโดยอาศัยกรอบตามมาตรฐานสากลด้านความม่ั นคงปลอดภัยของสารสนเทศ ISO/IEC 27000:2013 รวมทั้งข้อกำหนดตามกฎหมายและระเบียบปฏิบัตทิ ี่เกี่ยวข้องกับความมั่นคงปลอดภยั ของสารสนเทศ เพ่อื ใช้เป็นกรอบและแนวปฏิบัติในการป้องกนั และรักษาสินทรัพย์ด้านสารสนเทศของรัฐสภา จากภาวะคุกคามทุกประเภทที่อาจจะเกิดขึ้นจากภายในและภายนอกรัฐสภา โดยเจตนาหรือ รู้เท่าไม่ถึงการณ์ ซึ่งเป็นแนวนโยบายในภาพรวมเพื่อการจัดการด้านการบริหารความมั่นคงปลอดภัยของ สารสนเทศ โดยจดั แบง่ สาระสำคัญออกเปน็ 14 หมวด ประกอบดว้ ย หมวดท่ี 1 นโยบายความมนั่ คงปลอดภยั สารสนเทศ (Information Security Policy) นโยบายในการรกั ษาความมั่นคงปลอดภัยด้านสารสนเทศของรฐั สภา STD_PY_01 เวอร์ช่นั : 1.0 4

หมวดท่ี 2 โครงสร้างความม่นั คงปลอดภยั สารสนเทศ (Organization of Information Security) หมวดท่ี 3 ความมนั่ คงปลอดภยั ทเี่ ก่ยี วข้องกบั บุคลากร (Human Resource Security) หมวดที่ 4 การจดั หมวดหมูแ่ ละการควบคุมสนิ ทรัพย์ขององคก์ ร (Asset Management) หมวดที่ 5 การควบคุมการเขา้ ถงึ (Access Control) หมวดท่ี 6 การเขา้ รหสั ข้อมลู (Cryptography) หมวดท่ี 7 ความมั่นคงปลอดภัยทางด้านกายภาพและสิ่งแวดล้อม (Physical and Environmental Security) หมวดที่ 8 ความม่นั คงปลอดภัยสำหรับการดำเนนิ งาน (Operations Security) หมวดที่ 9 ความม่ันคงปลอดภยั ในการส่อื สารขอ้ มูล (Communications Security) หมวดที่ 10 การจัดหา พัฒนา และการบำรุงรักษาระบบ (Systems Acquisition, Development And Maintenance) หมวดที่ 11 ความสมั พันธก์ บั ผูใ้ หบ้ รกิ ารภายนอก (Supplier Relationships) หมวดที่ 12 การบริหารจัดการเหตุการณ์ด้านความมั่นคงปลอดภัยสารสนเทศ (Information Security Incident Management) หมวดที่ 13 ความมั่นคงปลอดภัยสารสนเทศของการบริหารจัดการ เพื่อสร้างความต่อเนื่องทางธรุ กิจ (Information Security Aspects of Business Continuity Management) หมวดที่ 14 การปฏิบัติตามขอ้ กำหนด (Compliance) นิยามคำศัพท์ สารสนเทศ หมายถึง ขอ้ มลู ท่ีผา่ นการประมวลผลแลว้ การจัดระเบียบให้ข้อมูลซึ่งอยู่ในรูปของตัวเลข ข้อความ หรือกราฟฟิก ให้อยู่ในลักษณะที่ผู้ใช้สามารถเข้าใจได้ง่าย และสามารถนำไปใช้ประโยชน์ในการ บริหาร การวางแผน การตัดสินใจ และอ่นื ๆ ระบบงาน หมายถึง การนำระบบเทคโนโลยีสารสนเทศมาประยกุ ต์ใช้ในการทำงานเพื่อให้งานสำเร็จ ตามวตั ถปุ ระสงคท์ ี่ต้ังไว้ ระบบปฏิบัติการ หมายถึง ซอฟต์แวร์ควบคุมการทำงานของเครื่องคอมพิวเตอร์ และจัดสรรการใช้ ทรัพยากรระบบ เช่น การจัดสรรหน่วยความจำ การควบคุมการทำงานของอุปกรณ์ป้อนข้อมูลและอุปกรณ์ แสดงผล ระบบเครือข่าย หมายถึง ระบบเครอื ข่ายคอมพิวเตอร์ของรัฐสภา นโยบายในการรักษาความม่นั คงปลอดภยั ดา้ นสารสนเทศของรฐั สภา STD_PY_01 เวอร์ชนั่ : 1.0 5

ความมั่นคงปลอดภัยของสารสนเทศ หมายถึงการธำรงไว้ซึ่งความลับ (confidentiality) ความ ถกู ตอ้ ง (integrity) สภาพพร้อมใช้งาน (availability) ของสารสนเทศ ความลับ (CONFIDENTIALITY) หมายถงึ การรับรองวา่ จะมกี ารเก็บรักษาข้อมลู ไวเ้ ป็นความลับและ จะมีเพียงผมู้ ีสิทธิเท่าน่ันทจี่ ะเข้าถึงข้อมูลเหลา่ นนั้ ได้ ความถูกตอ้ ง (INTEGRITY) หมายถงึ การรับรองว่าขอ้ มูลจะไม่ถกู กระทำการใดๆ อันมผี ลให้เกิดการ เปลย่ี นแปลง หรือแกไ้ ขโดยผู้ไม่มสี ทิ ธิ ไม่ว่าการกระทำน้ันจะมเี จตนาหรือไมก่ ต็ าม สภาพพรอ้ มใช้งาน (AVAILABILITY) หมายถึง การรับรองว่าข้อมูล หรอื ระบบเทคโนโลยสี ารสนเทศ ทง้ั หลายพร้อมทีจ่ ะให้บริการในเวลาทตี่ ้องการใช้งาน ความเส่ยี ง หมายถงึ โอกาสของสนิ ทรพั ยส์ ารสนเทศในการถูกละเมิดการรกั ษาความปลอดภัย การเข้ารหัส (ENCRYPTION) หมายความว่า การนำข้อมูลมาเข้ารหัสเพื่อป้องกันการลกั ลอบเข้ามา ใช้ข้อมูล ผู้ที่สามารถเปิดไฟล์ข้อมูลที่เข้ารหัสไว้จะต้องมีโปรแกรมถอดรหัสเพื่อให้ข้อมูลกลับมาใช้งานได้ ตามปกติ ช่องโหว่ หมายถึง จุดอ่อนของระบบสารสนเทศที่ทำให้ผู้ไม่ประสงค์ดีเข้าโจมตีระบบ ทำให้ ประสิทธภิ าพของการทำงานลดลง สินทรัพย์ หมายถึง เครื่องคอมพิวเตอร์ของรัฐสภา เครือข่าย ข้อมูลและระบบสารสนเทศต่าง ๆ ที่ รัฐสภาพัฒนาหรือจดั หาเพือ่ ใช้ในกิจการของรฐั สภา และบุคลากรของรฐั สภา ผบู้ ริหารระดับสูงสดุ (Chief Executive Officer : CEO) หมายถงึ เลขาธิการรฐั สภา ผบู้ งั คับบญั ชา หมายถึง ผมู้ อี ำนาจส่งั การตามโครงสร้างการบรหิ ารของหนว่ ยงานภายในรัฐสภา ผู้ใช้งาน หมายถึง ข้าราชการ สมาชิกรัฐสภา รวมถึงบุคคลภายนอกหรือผู้ไดร้ ับสิทธิการใช้งานระบบ เทคโนโลยสี ารสนเทศและสนิ ทรัพย์ต่าง ๆ ของรัฐสภา และได้รับอนุญาตให้เข้าใช้งานสารสนเทศของรัฐสภา ผู้ดูแลระบบ หมายถึง เจ้าหน้าที่ที่ได้รับมอบหมายจากผู้บังคับบญั ชาให้มีหน้าท่ีรับผิดชอบดแู ลรกั ษา หรือจัดการ ระบบคอมพิวเตอร์ลูกข่าย ระบบคอมพิวเตอร์แม่ข่าย ระบบเครือข่าย และระบบสารสนเทศของ รัฐสภา ผู้พัฒนาระบบ หมายถึง ผู้ที่ได้รับมอบหมายให้มีหน้าที่รับผิดชอบในการพัฒนาและปรับปรุง ระบบงานสารสนเทศของรฐั สภา เจ้าของข้อมูล หมายถึง ผู้ได้รับมอบอำนาจจากหัวหน้าหน่วยงานให้รับผิดชอบข้อมูลของระบบงาน โดยเจ้าของขอ้ มลู เปน็ ผู้รบั ผิดชอบข้อมลู น้นั ๆ หรอื ได้รบั ผลกระทบโดยตรงหากข้อมลู เหล่านน้ั เกิดสูญหาย นโยบายในการรักษาความมน่ั คงปลอดภัยดา้ นสารสนเทศของรัฐสภา STD_PY_01 เวอร์ช่นั : 1.0 6

เจ้าของระบบ หมายถึง ผู้ที่ได้รับมอบหมายให้บริหารจัดการบัญชีรายชื่อผู้มีสิทธิในการเข้าถึง ระบบงาน เช่น การให้สิทธิ การเพิ่มสิทธิ การลดสิทธิ การยกเลิกสิทธิ รวมทั้งการพัฒนา ปรับปรุงดูแล บำรงุ รกั ษาระบบงาน บัญชีผู้ใช้งาน หมายความว่า บัญชีรายชื่อผู้เข้าถึงและรหัสผ่านในการใช้งานระบบสารสนเทศ ระบบปฏบิ ัตกิ าร ระบบเครือขา่ ย รวมถงึ โปรแกรมประยกุ ต์และสารสนเทศของรฐั สภา สิทธิของผู้ใช้งาน หมายความว่า สิทธิในการเข้าถึงระบบสารสนเทศ สิทธิในการเข้าถึง ระบบปฏิบัติการ สิทธิการใช้งานเครือข่าย รวมถึงสิทธิที่เกี่ยวข้องกับโปรแกรมประยุกต์และสารสน เทศของ รัฐสภา ผู้ให้บริการภายนอก หมายถึง องค์กร หรือหน่วยงานภายนอกที่ได้รับอนุญาตให้มีสิทธิในการเข้าถึง และใช้งานข้อมูลหรือสินทรัพย์ต่าง ๆ ของรัฐสภา โดยจะได้รับสิทธิในการใช้ระบบตามอำนาจหน้าที่และต้อง รบั ผิดชอบในการรักษาความลบั ของข้อมูล และผลกระทบต่อความเสยี หายทอ่ี าจเกดิ ขน้ึ จากการปฏิบตั งิ าน เหตุการณ์ด้านความมั่นคงปลอดภัย หมายถึง กรณีที่ระบุการเกิดเหตุการณ์สภาพของบริการหรือ เครือข่ายที่แสดงให้เห็นความเป็นไปได้ที่จะเกิดการฝ่าฝืนนโยบายด้านความมั่นคงปลอดภัยหรือมาตรการ ป้องกนั ทีล่ ม้ เหลว หรือเหตุการณ์อันไม่อาจรู้ไดว้ า่ อาจเกยี่ วข้องกบั ความม่นั คงปลอดภัย นโยบายในการรกั ษาความมน่ั คงปลอดภยั ด้านสารสนเทศของรัฐสภา STD_PY_01 เวอร์ชนั่ : 1.0 7

หมวดที่ 1 นโยบายความมน่ั คงปลอดภัยสารสนเทศ (Information Security Policy) 1.1 วตั ถปุ ระสงค์ เพื่อกำหนดกรอบทิศทางและให้การสนับสนุนการดำเนินการด้านความมั่นคงปลอดภัยสำหรับ สารสนเทศของรัฐสภา เพื่อให้เกิดการดำเนินการตามมาตรฐานสากล และสอดคล้องกับข้อกำหนดทาง กฎหมาย และระเบยี บปฏิบตั ิทเ่ี ก่ียวขอ้ ง 1.2 ข้อกำหนดตามกฎหมาย ความมัน่ คงปลอดภัยดา้ นเทคโนโลยสี ารสนเทศบางประเด็นอาจเกย่ี วขอ้ งกบั กฎหมายท่บี ญั ญตั ิ เชน่ 1) กฎหมายธรุ กรรมทางอิเลก็ ทรอนกิ ส์ 2) กฎหมายการกระทำความผิดเก่ยี วกบั คอมพวิ เตอร์ 3) กฎหมายลขิ สิทธิ์ 1.3 ผทู้ ่ีไดร้ บั ผลกระทบจากนโยบาย นโยบายฯ นี้มีผลบังคับใช้กับขา้ ราชการ สมาชิกรัฐสภา รวมถึงบุคคลภายนอกหรือผู้ได้รับสิทธิการใช้ งานระบบเทคโนโลยีสารสนเทศของรฐั สภา และไดร้ บั อนุญาตให้เขา้ ใช้งานสารสนเทศของรัฐสภา 1.4 การใช้งาน การใช้งานสารสนเทศรวมถึงระบบเทคโนโลยีสารสนเทศและการสื่อสาร ต้องเป็นไปอย่างเหมาะสม โดยอยู่บนพื้นฐานของการเคารพสิทธิและความรูส้ กึ ของผู้อืน่ เคารพและปฏิบัตอิ ย่างถูกต้องตามกฎหมายและ ไมเ่ กีย่ วขอ้ งกบั การดำเนินธุรกิจการคา้ ใด ๆ 1.5 พนื้ ที่ท่ีมผี ลบังคบั ใช้ มีผลบังคับใช้กับพื้นที่ที่สามารถเข้าถึงสารสนเทศและเครือข่ายสารสนเทศของรัฐสภา รวมถึงการ เรียกใช้งานจากทางบ้าน หรือ การเข้าถึงจากระยะไกลและการเชื่อมโยงจากองค์กรภายนอก การอนุญาตและ มอบสิทธิในการเข้าถึงทุกระบบฯ ต้องดำเนินการตามนโยบายฯ และได้มีการสร้างความเข้าใจในเรื่องภาวะ ความเส่ยี งท่ีอาจเกิดขนึ้ นโยบายในการรักษาความม่นั คงปลอดภยั ด้านสารสนเทศของรัฐสภา STD_PY_01 เวอรช์ นั่ : 1.0 8

1.6 การตรวจสอบและทบทวน รัฐสภาต้องกำหนดให้มีผู้บริหารระดับสูงทำหน้าที่กำกับดูแลนโยบายฯ และรับผิดชอบในการ ตรวจสอบการดำเนินงานตามนโยบายฯ อย่างสม่ำเสมอและทันเหตุการณ์ โดยให้มีการทบทวนอย่างน้อยปีละ 1 คร้งั หรอื เมือ่ มเี หตกุ ารณ์เปลี่ยนแปลงทส่ี ำคญั เพื่อความเหมาะสมและปกป้องผลประโยชนข์ องรฐั สภา หมวดท่ี 2 โครงสรา้ งทางดา้ นความม่นั คงปลอดภัยสารสนเทศ (Organization of Information Security) 2.1 วตั ถุประสงค์ เพื่อให้การบริหารและการรักษาความมั่นคงปลอดภัยที่เกี่ยวกับสารสนเทศของรัฐสภาดำเนินการได้ อย่างชัดเจน และบุคลากรของรัฐสภาทุกคนได้ตระหนักถึงความสำคัญในเรื่องความมั่นคงปลอดภัยของ สารสนเทศ มีความรู้ความเข้าใจ และมีความรับผิดชอบตามภาระหน้าที่ และร่วมกันในการจำกัดภาวะความ เสยี่ งและภยั คุกคามซงึ่ มีแนวโนม้ ของความซบั ซ้อนและความรนุ แรงเพ่มิ มากขนึ้ 2.2 ผู้รบั ผิดชอบด้านความม่ันคงปลอดภัยของสารสนเทศ 2.2.1 ระดับสำนกั งานฯ ผู้บริหารระดับสงู (Chief Executive Officer : CEO) เปน็ ผูร้ บั ผดิ ชอบการบริหารจดั การและ กำกับดูแลภาพรวมของความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศของรัฐสภา โดยมอบหมายให้สำนัก สารสนเทศทำหนา้ ทีร่ ับผดิ ชอบในสว่ นของนโยบายการรักษาความมั่นคงปลอดภัย ทงั้ นี้ สำนกั /กลุ่มงาน ท่ีเป็น เจ้าของข้อมูลท่อี ยู่ในระบบสว่ นกลางและในระบบที่สรา้ งขึน้ เอง ตอ้ งรบั ผิดชอบกำกบั ดูแลความม่นั คงปลอดภัย ให้เปน็ ไปตามนโยบายและแนวปฏิบัติของรัฐสภา 2.2.2 ระดบั สำนกั /กล่มุ งาน สำนัก/กลุ่มงาน ต้องกำหนดให้ผู้บริหารหรือเจ้าหน้าที่ประจำของหน่วยงานในฐานะเจ้าของ ข้อมูลเป็นผู้รับผิดชอบในการประสานความร่วมมือและกำกับดูแลให้มีการปฏิบัติตามนโยบายและแนวปฏิบัติ ของรฐั สภา 2.3 ภาระความรบั ผดิ ชอบดา้ นความมัน่ คงปลอดภยั ของสารสนเทศ 2.3.1 ผู้บรหิ าร นโยบายในการรกั ษาความมน่ั คงปลอดภัยด้านสารสนเทศของรฐั สภา STD_PY_01 เวอรช์ ่นั : 1.0 9

ผู้บริหารระดับสูง (Chief Executive Officer : CEO) และผู้บริหารของทุกสำนักฯ ภายใต้ สังกัดรัฐสภา ต้องกำกับดูแลให้บุคลากรได้ตระหนักถึงความสำคัญของความมั่นคงปลอดภัยของสารสนเทศ และปฏิบตั ิตามนโยบายและแนวปฏบิ ัติของรฐั สภา 2.3.2 ผ้ใู ช้งาน ผู้ใช้งานทุกคนต้องรับผิดชอบในการปฏิบัตติ ามนโยบายและแนวปฏิบัติของรัฐสภา และต้อง รายงานต่อผู้บังคับบัญชา หากพบปัญหาหรือช่องโหว่ที่เกี่ยวกับความมั่นคงปลอดภัยของสารสนเทศ ต้อง รับผิดชอบในการปฏิบัติตามนโยบายและแนวปฏิบัติของรัฐสภา ใช้งานตามสิทธิที่ได้รับอนุญาต และต้อง รบั ผดิ ชอบในการไม่เปดิ เผยความลับของรัฐสภา โดยมไิ ด้รับอนุญาต 2.3.3 ผ้พู ฒั นาและผดู้ แู ลระบบ ผู้พัฒนาและผู้ดูแลระบบที่เกี่ยวกับสารสนเทศทุกระบบของรัฐสภา ต้องตระหนักถึง ความสำคัญของความมนั่ คงปลอดภัยของสารสนเทศ โดยมาตรการความมัน่ คงปลอดภัยของระบบต้องผ่านการ พิจารณาและได้รับคำแนะนำจากผู้บริหารเทคโนโลยีสารสนเทศระดับสูง และต้องมีภาระงานในเรื่องความ มัน่ คงปลอดภัยของสารสนเทศ ทัง้ ดา้ นเทคนคิ การตรวจสอบ การเฝ้าระวงั การประเมินและรายงานความเส่ียง ตอ่ รฐั สภา 2.4 อุปกรณส์ อื่ สารพกพาและการปฏิบัติงานระยะไกล ต้องมีการรักษาความมั่นคงปลอดภัยของการปฏิบตั ิงานด้วยอุปกรณ์สือ่ สารพกพาและการปฏิบตั ิงาน ระยะไกล โดยต้องมกี ารกำหนดมาตรการบรหิ ารจัดการและแนวปฏบิ ัตขิ องรัฐสภา หมวดที่ 3 ความมั่นคงปลอดภยั ทเ่ี กี่ยวข้องกบั บคุ ลากร (Human Resource Security) 3.1 วัตถปุ ระสงค์ เพอ่ื ใหบ้ คุ ลากรของรฐั สภา และบุคลากรของผรู้ ับสญั ญาวา่ จ้างจากรัฐสภา ได้เข้าใจบทบาทและหน้าท่ี ความรับผิดชอบของตน เพื่อลดความเสี่ยงอันเกิดจากการขโมย การฉ้อโกง รวมท้ังการใช้สารสนเทศรวมถึง ระบบเทคโนโลยีสารสนเทศอยา่ งไม่ถูกตอ้ ง หรือผิดวตั ถปุ ระสงค์ 3.2 ความมั่นคงปลอดภัยก่อนการจ้างงาน รัฐสภาต้องกำหนดหน้าที่ความรับผิดชอบด้านความมั่นคงปลอดภัยของสารสนเทศอย่างเป็นลาย ลกั ษณอ์ กั ษร และต้องมีการตรวจสอบคุณสมบตั ิของผู้สมัครตามระเบยี บที่เกี่ยวข้อง โดยพิจารณาจากจดหมาย นโยบายในการรกั ษาความมั่นคงปลอดภยั ด้านสารสนเทศของรัฐสภา STD_PY_01 เวอร์ชนั่ : 1.0 10

รับรอง ประวัติการทำงาน และต้องมีการระบุเงื่อนไขการจ้างงาน ซึ่งรวมถึงความรับผิดชอบด้านความมั่นคง ปลอดภยั ของสารสนเทศ 3.3 ความมนั่ คงปลอดภยั ระหว่างการจ้างงาน บุคลากรของรัฐสภา หรือผู้ได้รับจ้างต้องปฏิบัติตามนโยบายและแนวปฏิบัติความมั่นคงปลอดภัยของ รัฐสภา โดยต้องมีการให้ความรู้และฝึกอบรมด้านความมั่นคงปลอดภัยแก่บุคลากร ในกรณีที่กระทำความผิด ต้องมีกระบวนการสอบสวนและลงโทษตามระเบียบของรฐั สภา 3.4 การสนิ้ สุดหรือการเปลย่ี นการจา้ ง เมื่อสิ้นสุดการเป็นบุคลากรหรือมีการโยกย้ายสับเปลี่ยนหน้าที่ความรับผิดชอบหรือการเปลี่ยนสญั ญา การจ้างงานต้องมีการคืนทรัพย์สินของรัฐสภา และถอดถอนหรือมอบสิทธิที่เหมาะสมในการเข้าถึงระบบ สารสนเทศของบุคลากรนั้น หมวดท่ี 4 การจดั หมวดหมแู่ ละการควบคมุ สนิ ทรัพย์ขององคก์ ร (Asset Management) 4.1 วตั ถปุ ระสงค์ เพื่อป้องกันสินทรัพย์สารสนเทศของรัฐสภา และกำหนดระดับของการป้องกันสารสนเทศอย่าง เหมาะสมโดยมีการจัดทำบัญชีสนิ ทรพั ยร์ ะบุผูเ้ ป็นเจา้ ของสินทรพั ย์และกำหนดหลักเกณฑ์ในการใช้งาน และส่ง การคืนสินทรัพย์รวมถึงการทำลายสื่อบันทึกข้อมูลที่เหมาะสมมีการจัดหมวดหมู่ตามระดับชั้นความลับและ จัดทำป้ายชือ่ เพ่อื การบรหิ ารจัดการสนิ ทรพั ยต์ ามทไ่ี ดจ้ ดั หมวดหมู่ไว้ 4.2 ความรบั ผดิ ชอบต่อสินทรพั ยส์ ารสนเทศ รัฐสภาต้องกำหนดให้มีผู้รับผิดชอบในการจัดทำบัญชีสินทรัพย์สารสนเทศและปรับปรุงให้ถูกต้องอยู่ เสมอและต้องจัดทำกฎ ระเบียบ หรือ หลักเกณฑ์ในการใช้สินทรัพย์อย่างเป็นลายลักษณ์อักษรเพื่อให้เกิดการ ใช้งานไดอ้ ย่างเหมาะสม และเพ่ือปอ้ งกนั ความเสยี หายต่อสนิ ทรัพยเ์ หล่านน้ั 4.3 การจัดหมวดหมู่ รัฐสภาต้องจัดให้มีกระบวนการในการจัดหมวดหมู่ของสินทรัพย์สารสนเทศตามระดับชั้นความลับ คุณค่า ข้อกำหนดทางกฎหมายและระดับความสำคัญที่มีต่อรัฐสภา ทั้งนี้เพื่อให้สามารถกำหนดวิธีการในการ นโยบายในการรักษาความม่ันคงปลอดภยั ด้านสารสนเทศของรฐั สภา STD_PY_01 เวอร์ชน่ั : 1.0 11

ป้องกนั ไดอ้ ยา่ งเหมาะสม รวมทงั้ จัดใหม้ ีขั้นตอนปฏบิ ัติในการจดั ทำป้ายชอื่ และการจดั การสนิ ทรัพย์สารสนเทศ ตามหมวดหมู่ทก่ี ำหนดไว้ 4.4 การจดั ส่ือทใ่ี ชบ้ นั ทึกข้อมลู เพ่ือป้องกนั การเปดิ เผยโดยไม่ไดร้ ับอนุญาต มีการป้องกนั ในการนำสง่ หรอื การขนยา้ ย หรือการทำลาย สารสนเทศท่จี ัดเก็บอยู่บนสือ่ บันทึกขอ้ มูลอย่างมั่นคงปลอดภยั เม่ือหมดความตอ้ งการในการใชง้ าน หมวดท่ี 5 การควบคุมการเขา้ ถงึ (Access Control) 5.1 วัตถปุ ระสงค์ เพื่อควบคุมการเข้าถึงระบบสารสนเทศเฉพาะผู้ที่ได้รับอนุญาต ป้องกันการการเปิดเผยหรือขโมย สารสนเทศ และสร้างความมั่นคงปลอดภัยสำหรับอุปกรณ์สื่อสารประเภทพกพาและการปฏิบัติงานจาก ภายนอกให้เกิดความมั่นคงปลอดภัยด้านสารสนเทศของรัฐสภา จำเป็นต้องมีการกำหนดนโยบายการเข้าถึง ระบบ การบริหารจัดการการเขา้ ถงึ ของผใู้ ชแ้ ละการควบคมุ การเขา้ ถงึ เครือข่าย 5.2 การควบคมุ การเข้าถึงระบบตามความต้องการทางธุรกจิ รฐั สภา ต้องมนี โยบายควบคุมการเขา้ ถึงเครือข่ายและระบบสารสนเทศอย่างเปน็ ลายลักษณ์อักษรและ ทบทวนตามระยะเวลาท่ีกำหนดไว้โดยพจิ ารณาให้สอดคล้องกับภารกิจของรัฐสภา และความมนั่ คงปลอดภัยใน การเขา้ ถึงสนิ ทรัพยส์ ารสนเทศ 5.3 การบรหิ ารจัดการการเขา้ ถึงของผูใ้ ชง้ าน รัฐสภา ต้องมีการกำหนดมาตรการและแนวปฏิบัติอย่างเป็นระบบเพื่อใช้ในการกำหนดรหสั บญั ชีผู้ใช้ การจัดการสทิ ธิในการเข้าใชร้ ะบบสารสนเทศ การจดั การรหัสผา่ น รวมถงึ การทบทวนสิทธกิ ารเขา้ ถงึ ของผู้ใช้ 5.4 หนา้ ทีค่ วามรับผดิ ชอบของผใู้ ช้งาน เพ่อื ป้องกันการเขา้ ถึงโดยมิได้รับอนญุ าต ผู้ใชง้ านตอ้ งให้ความร่วมมือในการปฏิบัติตามมาตรการด้าน การรกั ษาความปลอดภยั ในการเข้าถึงอยา่ งเคร่งครัด 5.5 การควบคมุ การเข้าถงึ ระบบ นโยบายในการรกั ษาความมัน่ คงปลอดภัยดา้ นสารสนเทศของรฐั สภา STD_PY_01 เวอรช์ ่นั : 1.0 12

การเข้าถึงระบบภายในรัฐสภา หรือการเชื่อมต่อจากภายนอกต้องมีมาตรการควบคุมที่ชัดเจน ต้อง ผ่านการพสิ จู น์ตัวตนและตรวจสอบสิทธิตามขั้นตอนอย่างมปี ระสิทธิภาพ โดยระบบต้องยอมให้เฉพาะผู้ใช้งาน ท่ีได้รบั อนญุ าตผ่านเข้าสู่เครอื ขา่ ย และใช้บรกิ ารได้ตามสิทธทิ กี่ ำหนดใหเ้ ท่านั้น หมวดที่ 6 การเข้ารหัสข้อมูล (Cryptography) 6.1 วตั ถุประสงค์ เพื่อใหม้ กี ารใช้การเขา้ รหัสข้อมูลอยา่ งเหมาะสมและไดผ้ ลป้องกนั ความลบั การปลอมแปลงหรือความ ถกู ต้องของสารสนเทศ 6.2 นโยบายการควบคมุ การเข้ารหัสเพอ่ื ป้องกันขอ้ มลู สารสนเทศ นโยบายการควบคุมการเข้ารหัสมีการพิจารณาถึงการควบคุมการเข้ารหัส ผลของการประเมินความ เสีย่ ง เพอ่ื ระบุระดบั การป้องกัน 6.3 การบรหิ ารจัดการกญุ แจ การบริหารจัดการการเข้ารหัส (key management) และมาตรฐานอื่น ๆ ที่มีประสิทธิภาพ การใช้ งาน การป้องกนั และอายกุ ารใชง้ านของกญุ แจ ตอ้ งมกี ารจดั ทำและปฏบิ ัตติ ามตลอดวงจรชีวติ ของกุญแจ หมวดท่ี 7 ความมั่นคงปลอดภัยทางด้านกายภาพและสงิ่ แวดลอ้ ม (Physical and Environmental Security) 7.1 วัตถปุ ระสงค์ เพื่อควบคุมและป้องกันการเข้าถึงทางกายภาพโดยมิได้รับอนุญาต ป้องกันความเสียหายและการ คุกคามสินทรัพย์ ป้องกันการถูกเปิดเผยโดยมิได้รับอนุญาต และป้องกันมิให้กิจกรรมการดำเนินงานด้าน เทคโนโลยีสารสนเทศของรัฐสภาเกิดการติดขัดหรือหยุดชะงัก อาทิ การมีระบบไฟฟ้าสำรอง ระบบสื่อสาร สำรอง 7.2 การรักษาความปลอดภัยทางกายภาพ นโยบายในการรกั ษาความมน่ั คงปลอดภัยดา้ นสารสนเทศของรัฐสภา STD_PY_01 เวอรช์ ั่น : 1.0 13

รัฐสภา ต้องกำหนดรายละเอียดของสถานท่ีและอุปกรณ์ท่ีจำเป็นต้องมรี ะบบป้องกันการเสียหายและ การควบคุมการเข้าออกในการรักษาความมั่นคงปลอดภัย อาทิ ห้องปฏิบัติการเครือข่ายคอมพิวเตอร์ของ รฐั สภา ต้องมรี ะบบรกั ษาความปลอดภัยและมกี ารควบคุมการเขา้ ถึงอย่างเข้มงวด 7.3 การควบคมุ การเข้าถงึ อปุ กรณ์ อุปกรณท์ ุกชนิดต้องกำหนดให้มผี ู้รับผิดชอบโดยตรง และผ้รู ับผิดชอบเท่านั้นที่ได้รับสิทธิในการเข้าถึง โดยต้องจดั ใหม้ ีระบบสำหรับจัดเกบ็ ข้อมลู การเขา้ ถึงเพ่ือใชเ้ ปน็ หลักฐานในการตรวจสอบ 7.4 การรกั ษาความปลอดภยั ของอปุ กรณ์ อุปกรณ์สำคญั ทีถ่ กู จัดเกบ็ ในห้องปฏบิ ัติการระบบเครือข่ายคอมพวิ เตอร์ ต้องมีการจัดวางอยา่ งถูกต้อง มีปา้ ยเพอื่ บง่ บอกถึงตำแหน่งในการเชื่อมต่ออุปกรณ์และมีการกำหนดแผนการบำรุงรักษาอุปกรณ์อย่างชัดเจน และตอ่ เน่ือง 7.5 การนำอปุ กรณอ์ อกนอกหน่วยงาน การนำอุปกรณท์ ุกชน้ิ ออกนอกหน่วยงาน ต้องปฏิบัตติ ามมาตรการด้านการรักษาความมัน่ คงปลอดภัย ของรฐั สภาและต้องจดั ใหม้ กี ารตรวจสอบอยา่ งเครง่ ครดั หมวดท่ี 8 ความมั่นคงปลอดภัยสำหรบั การดำเนินงาน (Operations Security) 8.1 วัตถุประสงค์ เพ่ือให้การดำเนนิ การท่ีเก่ียวขอ้ งกับโครงสร้างพนื้ ฐานด้านสารสนเทศ และอปุ กรณ์ประมวลผลมีความ ถูกต้อง เหมาะสม และปลอดภัย ในแต่ละขั้นตอนของการปฏิบัติงานต้องมีการบันทึกและจัดเก็บเป็นลาย ลกั ษณอ์ ักษรเพอื่ ประโยชนส์ ำหรับการกู้คนื ข้อมลู ในกรณีท่เี กดิ การเสยี หายรวมถึงการป้องกนั และเฝ้าระวัง การ บรหิ ารจัดการชอ่ งโหว่ 8.2 ขั้นตอนการปฏบิ ตั งิ านและหน้าท่ีความรับผดิ ชอบ โครงสร้างพื้นฐานและสารสนเทศทุกระบบต้องมีผู้รับผิดชอบมีเอกสารขั้นตอนการปฏิบัติงานที่ได้ บันทึกไว้เป็นลายลักษณอ์ ักษร ในกรณีที่มกี ารเปล่ียนแปลงขอ้ มูล หรือการปรับเปล่ียนเวอร์ชันของระบบ หรือ โปรแกรมภายใน ต้องมีการบันทึกการจัดการกับปัญหาที่อาจเกิดขึ้นจากการเปลี่ยนแปลงนั้นได้ และสามารถ นโยบายในการรักษาความม่ันคงปลอดภยั ด้านสารสนเทศของรัฐสภา STD_PY_01 เวอร์ชน่ั : 1.0 14

กลับคืนสู่สถานะเดิมได้หากแก้ไขไม่สำเร็จ มีการบริหารขีดความสามารถของโครงสร้างพื้นฐานและระบบ สารสนเทศ 8.3 การปอ้ งกนั โปรแกรมท่ไี มพ่ ึงประสงค์ รัฐสภา ต้องจัดให้มีการติดตั้งซอฟต์แวร์เพื่อป้องกันโปรแกรมที่ไม่ประสงค์ดี รวมทั้งโปรแกรมเพ่ือ ป้องกันช่องโหว่ของระบบปฏิบัติการสำหรับระบบงานหรืออุปกรณ์หลักของรัฐสภา และกำหนดให้มีระเบียบ และขั้นตอนวิธีปฏิบัติที่เหมาะสม และสนับสนุนให้หน่วยงานภายในที่มีการใช้งานผ่านระบบเครือข่ายของ รัฐสภา ได้ยึดถือและปฏบิ ัตติ าม 8.4 การสำรองข้อมลู รัฐสภา ต้องจัดให้มีการสำรองข้อมูลที่สำคัญโดยต้องกำหนดรูปแบบและวิธีปฏิบัติรวมทั้งแผนการ สำรองข้อมูลที่เหมาะสมตามลำดับความสำคัญของหน่วยงานภายในรัฐสภา เพื่อป้องกันการสูญหายอันจะ เกิดขึ้นจากภาวะคุกคามหรือจากการเกิดภัยพิบัติโดยต้องกำหนดให้มีผู้รับผิดชอบในการสำรองข้อมูลต าม รปู แบบและแผนการดำเนินการที่กำหนดไว้ 8.5 การบันทกึ ขอ้ มูลล็อกและการเฝ้าระวงั รัฐสภา ต้องจัดให้มีการเฝ้าระวังระบบที่มีความสำคัญเพื่อป้องกันการเข้าถึงโดยมิได้รับอนุญาต การ ปฏิเสธการให้บริการของระบบ และเหตุการณ์ต่าง ๆ ที่เกี่ยวข้องกับความมั่นคงปลอดภัยอย่างสม่ำเสมอ ต้อง ให้มกี ารจัดเกบ็ ข้อมูลจราจรบนเครือข่ายที่สอดคล้องกบั ข้อกำหนดตามพระราชบัญญัติการกระทำความผิดทาง คอมพิวเตอร์และต้องกำหนดขั้นตอนวิธีปฏิบัติในการต้ังเวลาของระบบคอมพิวเตอร์กลางให้ตรงกันโดยอ้างองิ จากแหลง่ เวลาที่ถูกต้องท่ีช่วยในการตรวจสอบช่วงเวลาในกรณเี กดิ เหตุการณ์ท่ีกระทบต่อความมนั่ คงปลอดภัย ของระบบคอมพิวเตอร์ของรัฐสภา 8.6 การควบคมุ การติดต้ังซอฟตแ์ วรบ์ นระบบให้บริการ ต้องมีมาตรการในการรักษาความสมบูรณ์ของระบบปฏิบัติงานโดยมีการควบคุมการติดตั้งซอฟต์แวร์ ใหม่ ซอฟต์แวร์ไลบารี่ ซอฟต์แวร์อุดช่องโหว่ ลงในเครื่องที่ใช้งานโดยก่อนการติดตั้งในระบบต้องผ่านการ ทดสอบการใช้งานมาเป็นอยา่ งดไี มก่ อ่ ให้เกิดปัญหากับระบบ 8.7 การบรหิ ารจดั การชอ่ งโหวใ่ นฮาร์ดแวร์และซอฟตแ์ วร์ นโยบายในการรกั ษาความมนั่ คงปลอดภยั ด้านสารสนเทศของรัฐสภา STD_PY_01 เวอร์ชั่น : 1.0 15

ฮาร์ดแวร์และซอฟต์แวร์ที่ใช้ต้องได้รับการดูแลอย่างสม่ำเสมอเพื่อให้สามารถทำงานได้เป็นปกติ ต้อง ปรบั ปรุงชอ่ งโหว่ในระบบต่างๆ มกี ารประเมินความเสีย่ งของช่องโหวเ่ หลา่ นน้ั ตามระยะเวลาที่กำหนด กำหนด มาตรการรองรับเพือ่ ลดความเสย่ี งดงั กล่าว 8.8 สิง่ ทตี่ อ้ งพจิ ารณาการตรวจประเมินระบบ ตอ้ งลดผลกระทบของกิจกรรมการตรวจประเมินบนระบบให้บริการ โดยการกำหนดวิธีการปฏิบัติงาน ที่ชัดเจนในการใชง้ านซอฟตแ์ วรท์ ใี่ ช้ในการตรวจประเมนิ เพ่ือป้องกันมิให้นำซอฟตแ์ วร์ไปใช้ในทางท่ีผดิ หมวดที่ 9 ความมั่นคงปลอดภยั ในการส่ือสารข้อมลู (Communications Security) 9.1 วัตถุประสงค์ เพ่อื ปอ้ งกนั ข้อมูลบนเครือขา่ ยและอุปกรณ์ประมวลผลสารสนเทศ โดยมกี ารกำหนดการบริหารจัดการ ความมั่นคงปลอดภัยของเครือข่าย และการถ่ายโอนข้อมูลสารสนเทศรวมถึงข้อกำหนดในการรักษาความลับ หรือการไม่เปิดเผยความลบั 9.2 การบรหิ ารจัดการความมั่นคงปลอดภัยของเครอื ข่าย ต้องจัดให้มีการติดตามสภาพการใช้งานและวิเคราะห์ขดี ความสามารถตรวจจับทรัพยากรสารสนเทศ ตามหลักเกณฑ์ทรี่ ฐั สภาประกาศใช้ และทดสอบการทำงานของทรัพยากรสารสนเทศนน้ั เพื่อใหส้ ามารถใช้งาน ได้ตามขอ้ กำหนด และมีการบำรุงรกั ษาระบบใหใ้ ชง้ านได้ดีอยู่เสมอ 9.3 การถ่ายโอนสารสนเทศ ในการถ่ายโอนหรอื แลกเปล่ยี นสารสนเทศ จากหนว่ ยงานภายนอกต้องมีการตรวจสอบและบันทึกการ ปฏิบัติงาน มีการเฝ้าระวังและจัดทำรายงานผลการดำเนินงานที่เกิดขึ้นอย่างสม่ำเสมอรวมถึงกำหนดแนว ทางการบรหิ ารจัดการในกรณีทีม่ กี ารเปลยี่ นแปลงซ่งึ อาจจะมีผลกระทบต่อรัฐสภา หมวดท่ี 10 การจดั หา พัฒนา และการบำรุงรักษาระบบ (Systems Acquisition, Development, and Maintenance) 10.1 วตั ถุประสงค์ นโยบายในการรกั ษาความม่ันคงปลอดภัยด้านสารสนเทศของรัฐสภา STD_PY_01 เวอรช์ ่นั : 1.0 16

เพ่อื ใหก้ ารจดั หา พฒั นาระบบสารสนเทศและการบำรุงรักษาระบบสารสนเทศ ไดพ้ ิจารณาถึงประเด็น ทางด้านความมั่นคงปลอดภัยเป็นองค์ประกอบพื้นฐานที่สำคัญในทุกขั้นตอนตลอดวงจรชีวิตการพัฒนาระบบ ซึ่งครอบคลุมถึงกระบวนในการพัฒนา การทดสอบ และขอ้ มูลสำหรับใชท้ ดสอบ 10.2 ความตอ้ งการดา้ นความมนั่ คงปลอดภยั ของสารสนเทศ การจัดหาและการพัฒนาระบบสารสนเทศใหม่ หรือการปรับปรุงจากระบบที่มีอยู่เดิม ต้องมีการระบุ ข้อกำหนดด้านความมั่นคงปลอดภัยของสารสนเทศบนเครือข่ายสาธารณะรวมถึงธุรกรรมของบริการ สารสนเทศ 10.3 ความมน่ั คงปลอดภัยสำหรับกระบวนการพฒั นาและสนับสนนุ การพัฒนาระบบสารสนเทศต้องมีความมั่นคงปลอดภัยมีการออกแบบและดำเนนิ การตลอดวงจรชวี ิต ของการพัฒนา การกำหนดขั้นตอนวธิ ปี ฏิบัตอิ ย่างเป็นทางการ เพื่อใช้ควบคุมการเปลีย่ นแปลงหรือแกไ้ ข และ ต้องมีการตรวจสอบการทำงานหลังการเปลี่ยนแปลงนนั้ ๆ 10.4 ขอ้ มลู สำหรับการทดสอบระบบ ต้องมมี าตรการควบคุมการใช้ข้อมูลสำหรบั การทดสอบระบบและการป้องกันข้อมูลรว่ั ไหล เม่ือใช้งาน เสรจ็ ต้องลบขอ้ มูลจรงิ ออกจากระบบทดสอบทันที หมวดที่ 11 ความสัมพนั ธก์ ับผูใ้ หบ้ ริการภายนอก (Supplier Relationships) 11.1 วัตถุประสงค์ เพื่อป้องกันสินทรัพย์องค์กรทีส่ ามารถเข้าถงึ โดยผู้ให้บรกิ ารภายนอก มีข้อตกลงเป็นลายลักษณอ์ ักษร กบั ผใู้ ห้บรกิ ารภายนอก ในส่วนของการเข้าถึงระบบ การประมวลผล การจดั เกบ็ และการส่ือสารสารสนเทศ ท่ี ผู้ให้บริการภายนอกพึงปฏิบัติ และการบริหารจัดการด้านการเปลี่ยนแปลง ในการให้บริการผู้ให้บริการ ภายนอก 11.2 ความมั่นคงปลอดภัยสารสนเทศกับความสัมพันธต์ อ่ ผู้ให้บรกิ ารภายนอก การรับบริการจากหน่วยงานภายนอกต้องมีการตรวจสอบและบันทึกการปฏิบัติงาน มีการเฝ้าระวัง และจัดทำรายงานผลการดำเนนิ งานทเี่ กดิ ขึ้นอยา่ งสมำ่ เสมอรวมถึงกำหนดแนวทางการบริหารจัดการในกรณีที่ มีการเปลย่ี นแปลงซ่ึงอาจจะมผี ลกระทบตอ่ รัฐสภา นโยบายในการรกั ษาความมนั่ คงปลอดภัยดา้ นสารสนเทศของรัฐสภา STD_PY_01 เวอร์ชนั่ : 1.0 17

11.3 กาบริหารจดั การการให้บริการโดยผใู้ ห้บรกิ ารภายนอก ติดตามทบทวนบริการของผู้ให้บริการภายนอก มีการติดตามสภาพการใช้งานและวิเคราะห์ขีด ความสามารถตรวจรับทรัพยากรสารสนเทศตามหลักเกณฑ์ที่รัฐสภาประกาศใช้ และทดสอบการทำงานของ ทรัพยากรสารสนเทศน้ันเพอ่ื ใหส้ ามารถใชง้ านได้ตามข้อกำหนด หมวดท่ี 12 การบริหารจดั การเหตุการณด์ า้ นความม่ันคงปลอดภยั สารสนเทศ (Information Security Incident Management) 12.1 วัตถปุ ระสงค์ เพื่อให้มีระบบการรายงานเหตุการณ์และจุดอ่อนที่เกี่ยวข้องกับความมั่นคงปลอดภัยต่อระบบ สารสนเทศ ได้รับการสื่อสารและและดำเนินการที่ถูกต้องในช่วงระยะเวลาที่เหมาะสม และให้มีวิธีการที่ สอดคล้องและได้ผลในการบริหารจัดการเหตุการณ์ที่เกี่ยวข้องกับความมั่นคงปลอดภัยสำหรับ สารสนเทศของ รัฐสภา 12.2 การบรหิ ารจัดการเหตุการณค์ วามมน่ั คงปลอดภยั สารสนเทศและการปรับปรงุ ต้องมีวิธกี ารท่ีสอดคลอ้ งและไดผ้ ลสำหรับการบริหารจัดการณ์ความม่นั คงปลอดภัยสารสนเทศ รวมถึง การแจง้ สถานการณ์ความม่ันคงปลอดภยั สารสนเทศ จุดออ่ นด้านความม่ันคงปลอดภยั สารสนเทศให้รับทราบ หมวดท่ี 13 ความมัน่ คงปลอดภยั สารสนเทศของการบริหารจดั การ เพอ่ื สร้างความต่อเนอ่ื งทางธรุ กิจ (Information Security Aspects of Business Continuity Management) 13.1 วัตถปุ ระสงค์ เพื่อมิให้การดำเนินงานตามภารกิจของรัฐสภา ไม่เกิดการติดขัดหรือหยุดชะงัก และป้องกันมิให้การ ปฏบิ ตั งิ านได้รับผลกระทบหรือเกดิ ความเสียหายรุนแรง อนั เน่ืองจากความผดิ พลาดของระบบสารสนเทศ และ สามารถกู้ระบบคืนได้ในระยะเวลาที่เหมาะสม โดยมีการวางแผน จัดทำเอกสาร นำไปปฏิบัติ บำรุงรักษา ตรวจสอบ ควบคุม และประเมินผลในสว่ นของความต่อเนื่องด้านความมั่นคงปลอดภัยสารสนเทศ เพื่อให้ม่ันใจ ว่าระดับความม่ันคงปลอดภัยสารสนเทศอยู่ในเกณฑ์ที่ยอมรับได้ในกรณีที่เกิดเหตุการณ์ไม่พึงประสงค์ รวมถึง การเตรียมการเพ่ือสรา้ งความต่อเน่อื งของอปุ กรณ์ในการประเมนิ ผลสารสนเทศใหพ้ ร้อมใช้งานอยู่เสมอ 13.2 ความตอ่ เนอ่ื งด้านความม่ันคงปลอดภยั สารสนเทศ นโยบายในการรักษาความมัน่ คงปลอดภยั ด้านสารสนเทศของรฐั สภา STD_PY_01 เวอร์ชน่ั : 1.0 18

ต้องกำหนดความต้องการด้านความมั่นคงปลอดภยั สารสนเทศ และด้านความต่อเน่ืองในสถานการณ์ ความเสียหายที่เกิดขึ้น เช่น ในช่วงที่เกิดวิกฤตหรือภัยพิบัติ จัดทำเป็นลายลักษณ์อักษร ปฏิบัติ และปรับปรุง กระบวนการ ข้ันตอนปฏิบตั ิ มีการมาตรการสรา้ งความต่อเนือ่ งทไี่ ดเ้ ตรียมการไวต้ ามรอบระยะเวลาท่กี ำหนด 13.3 การเตรยี มการอุปกรณป์ ระมวลผลสำรอง จัดเตรียมสภาพความพร้อมใช้อุปกรณ์ประมวลผลสารสนเทศไว้อย่างเพียงพอเพื่อให้ตรงตามความ ต้องการด้านสภาพความพรอ้ มใช้ที่กำหนดไว้ หมวดท่ี 14 การปฏิบัตติ ามข้อกำหนด (Compliance) 14.1 วัตถุประสงค์ เพอื่ หลีกเลี่ยงการละเมิดข้อกำหนดทางกฎหมาย ระเบียบปฏบิ ัติ ข้อกำหนดในสญั ญา และข้อกำหนด ทางดา้ นความมั่นคงปลอดภัยๆ และใหม้ ั่นใจว่าความม่นั คงปลอดภยั สารสนเทศถูกนำไปปฏิบัติ และใช้งานตาม นโยบายและระเบยี บปฏิบตั ิของรฐั สภา 14.2 การปฏิบัตติ ามข้อกำหนดของสัญญาและกฎหมาย รัฐสภา ต้องมีการศึกษา กฎ ระเบียบ ข้อบังคับ กฎหมาย หรือสัญญาที่เกี่ยวข้องกับการใช้งาน เทคโนโลยีสารสนเทศและการสื่อสารของรัฐสภา เพื่อให้บุคลากรได้รับทราบทำความเข้าใจ และปฏิบัติตามได้ อย่างเครง่ ครดั 14.3 การทบทวนความมน่ั คงปลอดภัยสารสนเทศ รัฐสภา ต้องจัดให้มีการทบทวน มาตรการ นโยบาย กระบวนการ ขั้นตอนปฏิบัติเพื่อความมั่นคง ปลอดภัยสารสนเทศ อย่างอิสระตามรอบระยะเวลาที่กำหนดไว้ โดยเทียบกับนโยบายมาตรฐาน ด้านความ มัน่ คงปลอดภยั สารสนเทศท่เี กยี่ วข้อง นโยบายในการรักษาความม่ันคงปลอดภัยดา้ นสารสนเทศของรฐั สภา STD_PY_01 เวอรช์ ั่น : 1.0 19

จดั เตรยี มเอกสารโดย : นายสธุ ี ยืนแนน่ อน นกั วชิ าการคอมพวิ เตอร/์ สผ. 12 ก.พ. 62 _________ _____________________ ________ _________ พจิ ารณา/ทบทวนโดย : ______________ ________ _________ เลขาธิการรัฐสภา วันท่ี อนุมัตโิ ดย : ______________ ตำแหนง่ /สงั กดั ลงนาม ชื่อ ประวัติการแก้ไขเอกสาร เวอร์ชน่ั วันท่มี ผี ลบังคับใช้ บทที/่ หน้าท่ีแกไ้ ข รายละเอยี ดการแกไ้ ข 1.0 30 ก.ย. 62 ทั้งหมด เอกสารใหม่ นโยบายในการรกั ษาความม่ันคงปลอดภัยด้านสารสนเทศของรัฐสภา STD_PY_01 เวอรช์ ั่น : 1.0 20