แนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ ของ มทร.ธัญบุรี

มหาวท� ยาลยั เทคโนโลยีราชมงคลธัญบรุ � INFORMATION TECHNOLOGY SECURITY POLICY แนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภยั ดา นเทคโนโลยีสารสนเทศ ของมหาว�ทยาลัยเทคโนโลยีราชมงคลธญั บุร�

ประกาศมหาวทิ ยาลัยเทคโนโลยรี าชมงคลธญั บรุ ี เรือ่ ง แนวนโยบายและแนวปฏบิ ัตใิ นการรักษาความมัน่ คงปลอดภัยดา้ นเทคโนโลยสี ารสนเทศ ของมหาวทิ ยาลัยเทคโนโลยีราชมงคลธญั บุรี ................................................... โดยที่เป็นการสมควรกาหนดนโยบายด้านความมั่นคงปลอดภัยของเทคโนโลยีสารสนเทศ Information Technology Security Policy ของมหาวิทยาลยั เทคโนโลยรี าชมงคลธัญบุรี โดยมีวัตถุประสงค์ เพื่อให้เกิดความมั่นคงและปลอดภัยในกิจการด้านเทคโนโลยีสารสนเทศของมหาวิทยาลัย เพื่อให้สอดคล้อง และรองรับกับมาตรา ๕ แห่งพระราชกฤษฎีกากาหนดหลักเกณฑ์และวิธีการในการทาธุรกรรมทางอิเล็กทรอนิกส์ ภาครัฐ พ.ศ.2549 ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ เรื่อง แนวนโยบายและแนวปฏิบัติ ในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศของหน่วยงานของรัฐ พ.ศ. ๒๕๕๓ และประกาศ คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ เรื่อง แนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคง ปลอดภัยด้านสารสนเทศของหน่วยงานของรัฐ (ฉบับที่ ๒) พ.ศ. ๒๕๕๖ อาศัยอานาจตามความในมาตรา ๒๔ และมาตรา ๒๗ แหง่ พระราชบัญญัติมหาวิทยาลัยเทคโนโลยี ราชมงคล พ.ศ.๒๕๔๘ และมาตรา ๕ มาตรา ๖ และมาตรา ๗ แห่งพระราชกฤษฎีกากาหนดหลักเกณฑ์และวิธีการ ในการทาธุรกรรมทางอิเล็กทรอนิกส์ภาครัฐ พ.ศ.๒๕๔๙ จึงออกประกาศไว้ ดังต่อไปน้ี ข้อ ๑ ในประกาศน้ีให้ใช้บังคับต้ังแต่วันถัดจากวันประกาศเป็นต้นไป ข้อ ๒ ในประกาศน้ี “มหาวิทยาลัย” หมายความว่า มหาวิทยาลัยเทคโนโลยีราชมงคลธัญบุรี “สานักคอมพิวเตอร์” หมายความว่า สานักวิทยบริการและเทคโนโลยีสารสนเทศ มหาวิทยาลัยเทคโนโลยีราชมงคลธัญบุรี “ส่วนงาน” หมายความวา่ สว่ นราชการของมหาวิทยาลยั เทคโนโลยีราชมงคลธญั บุรี ไมว่ า่ จะเปน็ การ จัดตั้งโดยกฎกระทรวง ประกาศกระทรวง ประกาศสภามหาวิทยาลัย หรือประกาศมหาวิทยาลัย “ผู้ดูแลระบบหรือ หมายความว่า ผู้ที่มีหน้าที่รับผิดชอบในการดูแลระบบเครือข่าย ให้เป็นไปตามนโยบายท่ีกาหนดไว้ในประกาศน้ี โดยได้รับการแต่งต้ังจากผู้บังคับบัญชา “ผู้ใชง้ าน” หมายความว่า บุคลากรและนักศึกษาของมหาวิทยาลยั รวมถงึ ผูท้ ีม่ าขอใชบ้ รกิ ารชว่ั คราว “ผู้ใช้ข้อมูล”หมายความว่า ผู้ใช้งานหรือบุคคลใดซึ่งได้รับข้อมูลจากระบบสารสนเทศมหาวิทยาลยั เพื่อนาไปใช้งานเพื่อการใดๆ ท่ีมีส่วนเกี่ยวข้องกับภารกิจของมหาวิทยาลัย “สทิ ธกิ ารใชง้ าน” หมายความว่า สทิ ธใิ นการเขา้ ถึงขอ้ มลู ท่ีไดร้ ับอนญุ าตหรอื ได้รบั มอบหมาย “เครือข่ายหลัก”หมายความว่า เครือข่ายที่อยู่ในความรับผิดชอบของสานักคอมพิวเตอร์ ซึ่งทาหน้าท่ีในการเช่ือมต่อเครือข่ายของส่วนงานกับเครือข่ายอินเตอร์เน็ต “เครือข่ายของส่วนงาน” หมายความว่า เครือข่ายของส่วนที่อยู่ในความรับผิดชอบของส่วนงานที่ ได้รับอนุญาตให้จัดตั้งขึ้นอย่างเป็นลายลักษณ์อักษรจากสานักคอมพิวเตอร์ เพื่อเชื่อมต่อกับเครือข่ายหลัก และส่วนงานต้องปฏิบัติตามข้อตกลงการใช้งานเครือข่ายร่วมกันระหว่างสานักคอมพิวเตอร์ และส่วนงาน ต่างๆ

-๒- “เครือขา่ ยไร้สาย” หมายความวา่ เครอื ขา่ ยการสื่อสารแบบไร้สายแบบท่ีมีการให้บริการในเขตพ้ืนที่ ของมหาวิทยาลัยที่เชื่อมต่อกับเครือข่ายหลักหรือเครือข่ายของส่วนงาน “เครือข่ายอินเทอร์เน็ต” หมายความว่า เครือข่ายของส่วนงานหรือองค์กรภายนอกความ รับผิดชอบของมหาวิทยาลัย หรือเครือข่ายที่เป็นสาธารณะที่จาเป็นต้องมีการปฏิบัติตาม พระราชบัญญัติ ว่าด้วยการกระทาความผิดเก่ียวกับคอมพิวเตอร์ พ.ศ. ๒๕๕๐ “เครือข่ายสังคมออนไลน์ หมายความว่า ระบบหรือซอฟต์แวร์ท่ีสามารถแลกเปล่ียนข้อมูลกัน หรือเผยแพร่ข้อมูลได้อย่างกว้างขวางผ่านสื่อสังคมออนไลน์ต่างๆ เช่น Facebook, Twitter, Instagram, YouTube, Facebook Live, Messenger, Skype, Camfrog เป็นต้น รวมถึง ระบบอื่นๆ ท่ีเป็นโปรแกรม ประเภทส่งข้อความทันที (IM: Instant Message) หรือมีลักษณะการสื่อสารข้อมูลแบบโปรแกรมประเภท มีบทบาทเท่าเทียมกัน (Peer-to-Peer) “ทรัพยากรสารสนเทศ” หมายความว่า ทรัพย์สินของมหาวิทยาลัยหรือส่วนงานที่ เกี่ยวข้องกับเทคโนโลยีสารสนเทศ เช่น เครือข่ายหลัก เครือข่ายของส่วนงาน เครือข่ายไร้สาย ระบบ ฐานข้อมูล ระบบความปลอดภัยข้อมูล โปรแกรมประยุกต์ คอมพิวเตอร์ คอมพิวเตอร์แม่ข่าย เป็นต้น รวมถึง เครอื ขา่ ยอืน่ ท่ีมีส่วนเกี่ยวข้องกับกิจกรรมของมหาวิทยาลัยหรือของส่วนงาน “ระบบเทคโนโลยีสารสนเทศที่สาคัญ” หมายความว่า ระบบสารสนเทศที่ใช้งานของ มหาวิทยาลัย หรือของส่วนงานที่มีความสาคัญต่อการดาเนินงานของมหาวิทยาลัยหรือของส่วนงาน “ระเบียบการขอใช้บริการ” หมายความว่า ระเบียบที่จัดทาขึ้นเพื่อกาหนดกฎหรือ ระเบียบ และขั้นตอนการขอใช้บริการสารสนเทศต่างๆ ของมหาวิทยาลัย หรือจัดทาข้ึนโดยส่วนงานสาหรับ การให้บริการสารสนเทศของส่วนงาน และให้หมายความรวมถึงระเบียบที่ออกโดยส่วนงานสาหรับการ ให้บริการสารสนเทศของส่วนงานด้วย “ช่ือผู้ใช้งาน” หมายความว่า ชื่อเรียกของผู้ใช้งานสาหรับการควบคุมการเข้าถึงทรัพยากร สารสนเทศของมหาวิทยาลัยหรือของส่วนงาน “รหัสผ่าน” หมายความว่า รหัสที่เป็นความลับที่เฉพาะผู้ใช้งานน้ันทราบแต่เพียงผู้เดียว “ชั้นความลับข้อมูล” หมายความว่า ระดับการเข้าถึงของข้อมูลที่มีความลับที่แตกต่างกัน ที่ต้องมีการกาหนดการเข้าถึงข้อมูลได้ต่างกันตามอานาจหน้าที่ โดยให้กาหนดชั้นความลับข้อมูลและการ กาหนดการเข้าถึงข้อมูลตามระเบียบ ว่าด้วย การรักษาความลับของทางราชการ พ.ศ. ๒๕๔๔ “คอมพิวเตอร์แม่ข่าย” หมายความว่า คอมพิวเตอร์ที่มีการเชื่อมต่อกับเครือข่ายหลักหรือ เครือข่ายของส่วนงาน และมีการอนุญาตให้เข้าถึงข้อมูลจากเครือข่ายหลักหรือเครือข่ายของส่วนงาน ที่มี โปรแกรมบริการติดตั้งอยู่ ที่เป็นเคร่ืองบริการข้อมูลสารสนเทศ หรือที่มีลักษณะการให้บริการข้อมูล “คอมพิวเตอร์” หมายความว่า คอมพิวเตอร์และอุปกรณ์ รวมถึงคอมพิวเตอร์ส่วนบุคคล คอมพิวเตอร์แบบพกพา อุปกรณ์ส่ือสารแบบเคล่ือนที่ได้ เช่น แท็บเล็ต สมาร์ทโฟน สมาร์ทดีไวซ์ เป็นต้น ท่ีสามารถเชื่อมต่อกับเครือข่ายไร้สาย เครือข่ายหลักหรือเครือข่ายของส่วนงาน ข้อ ๓ นโยบายด้านเทคโนโลยีสารสนเทศของมหาวิทยาลัยมีผลใช้บังคับทุกส่วนงาน ประกอบด้วย ๔ ส่วน ดังต่อไปน้ี

-๓- ส่วนที่ ๑ นโยบายควบคมุ การเข้าถึงและการใชง้ านระบบสารสนเทศ ประกอบด้วย (๑) นโยบายการควบคุมการเข้าถึงและใช้งานสารสนเทศ (Access Control) (๒) นโยบายการบริหารจัดการการเขา้ ถึงของผใู้ ช้งาน (User Access Management) (๓) นโยบายการกาหนดหน้าท่ีความรับผิดชอบของผู้ใช้งาน (User Responsibilities) (๔) นโยบายการควบคุมการเข้าถึงเครือข่าย (Network Access Control) (๕) นโยบายการควบคุมการเข้าถงึ ระบบปฏบิ ตั ิการ (Operating System Access Control) (๖) นโยบายการควบคุมการเข้าถึงโปรแกรมประยุกต์หรือแอปพลิเคชันและสารสนเทศ (Application And Information Access Control) (๗) นโยบายการควบคุมการเขา้ ถึงระบบเครือขา่ ยไร้สาย (Wireless LAN Access Control) (๘) นโยบายการรักษาความมั่นคงปลอดภัยทางด้านกายภาพและส่ิงแวดล้อม (Physical And Environmental Security) (๙) นโยบายการเข้าถึงเครื่องคอมพิวเตอร์แม่ข่าย (Server Access Control) (๑๐) นโยบายการใช้งานเคร่ืองคอมพิวเตอร์ส่วนบุคคลและเคร่ืองคอมพิวเตอร์แบบ พกพา (Personal Computer and Portable) (๑๑) นโยบายการบริหารจัดการการเข้าถึงขอ้ มูลตามระดับชั้นความลับ (Data Confidence) (๑๒) นโยบายการควบคุมการใช้งานระบบจดหมายอิเล็กทรอนิกส์ (E-mail) (๑๓) นโยบายการใช้งานระบบอินเทอร์เน็ต (Internet) (๑๔) นโยบายการใช้งานเครือข่ายสังคมออนไลน์ (Social Network) (๑๕) นโยบายการจัดเก็บข้อมูลจราจรคอมพิวเตอร์ (Computer Traffic Log) สาคัญ ดังนี้ สว่ นที่ ๒ นโยบายระบบสารสนเทศและระบบสารองของสารสนเทศ ครอบคลุมประเดน็ (๑) ตอ้ งพจิ ารณาคัดเลือกระบบสารสนเทศท่สี าคญั และจัดทาระบบสารองทีเ่ หมาะสมให้ อยใู่ นสภาพพร้อมใช้งาน (๒) ตอ้ งจัดทาแผนเตรียมความพรอ้ มกรณีฉกุ เฉนิ ในกรณีท่ีไมส่ ามารถดาเนินการด้วย วิธีการทางอิเล็กทรอนิกส์ เพื่อให้สามารถใช้งานสารสนเทศได้ตามปกติอย่างต่อเน่ือง โดยต้องปรับปรุงแผน เตรียมความพร้อมกรณีฉุกเฉนิ ดังกล่าว ให้สามารถปรับใช้ได้อย่างเหมาะสมและสอดคล้องกับการใชง้ านตามภารกจิ (๓) ตอ้ งมีการกาหนดหนา้ ทีแ่ ละความรับผดิ ชอบของบุคลากรซง่ึ ดแู ลรับผดิ ของระบบ สารสนเทศ ระบบสารอง และการจัดทาแผนเตรียมพร้อมกรณีฉุกเฉินในกรณีที่ไม่สามารถดาเนินการด้วยวิธีการทาง อิเลก็ ทรอนกิ ส์ (๔) ต้องมีการทดสอบสภาพพร้อมใช้งานระบบสารสนเทศ ระบบสารอง และระบบแผน เตรยี มพรอ้ มกรณฉี ุกเฉิน ปีละ ๑ คร้ัง (๕) ต้องมกี ารทบทวนระบบสารสนเทศ ระบบสารอง และระบบแผนเตรียมพร้อมกรณี ฉกุ เฉนิ ที่เพียงพอตอ่ สภาพความเส่ยี งทยี่ อมรับไดข้ องแต่ละหนว่ ยงานในมหาวิทยาลยั ปีละ ๑ ครง้ั

-๔- ส่วนท่ี ๓ นโยบายการตรวจสอบและประเมนิ ความเสี่ยงด้านสารสนเทศ ครอบคลมุ ประเด็นสาคญั ดังน้ี (๑) มีการตรวจสอบและประเมนิ ความเส่ียงด้านสารสนเทศ (๒) มแี นวทางในการตรวจสอบและประเมนิ ความเส่ยี งทตี่ ้องคานงึ ถึง (๓) มีการรายงานผลการประเมินความเสี่ยงด้านสารสนเทศปีละ ๑ ครั้ง ต่อคณะกรรมการ เทคโนโลยีสารสนเทศและการส่ือสาร และแจ้งคณะกรรมการบริหารความเสี่ยงของมหาวิทยาลัยเพ่ือ ดาเนินการต่อไป (๔) มีการแสดงผลการตรวจสอบตามนโยบายการรกั ษาความม่นั คงปลอดภัยดา้ นสารสนเทศ เป็นส่วนหนงึ่ ของการรายงานผลการตดิ ตาม ตรวจสอบและประเมินผลงาน ด้านเทคโนโลยสี ารสนเทศและการ ส่อื สาร ส่วนที่ ๔ นโยบายการสรา้ งความรูค้ วามเขา้ ใจในการใชร้ ะบบสารสนเทศและระบบ คอมพิวเตอร์ ครอบคลุมประเด็นสาคัญ ดงั นี้ (๑) จดั ให้มกี ารฝึกอบรมการใชง้ านระบบสารสนเทศของมหาวทิ ยาลยั ปีละไม่นอ้ ยกวา่ ๑ คร้ัง หรือทุกคร้ังท่ีมีการปรับปรุงและเปล่ียนแปลงการใช้งานของระบบสารสนเทศ (๒) จดั ทาคูม่ อื การใชง้ านระบบสารสนเทศ และมีการเผยแพรท่ างเว็บไซตข์ องมหาวิทยาลยั (๓) จัดฝึกอบรมแนวปฏิบัติตามนโยบายอย่างสมา่ เสมอ โดยการจัดฝึกอบรมอาจใช้วิธีการ เสริมเนื้อหา แนวปฏิบัติตามแนวนโยบายเข้ากับหลักสูตรอบรมต่าง ๆ ตามแผนการฝึกอบรมของ มหาวิทยาลัย (๔) จัดสัมมนาเพื่อเผยแพร่แนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัย ด้านสารสนเทศ และสร้างความตระหนักถึงความสาคัญของการปฏิบัติให้กับผู้ใช้งาน โดยการจัดสัมมนา ควรจัดปีละไม่น้อยกว่า ๑ ครั้ง โดยอาจจัดร่วมกับการสัมมนาอื่นด้วยก็ได้ และอาจเชิญวิทยากรจาก ภายนอกที่มีประสบการณ์ด้านการรักษาความม่ันคงปลอดภัยด้านสารสนเทศมาถ่ายทอดให้ความรู้ (๕) ติดประกาศประชาสัมพันธ์ ให้ความรู้เกี่ยวกับแนวปฏิบัติในลักษณะเกร็ดความรู้ หรือ ข้อระวังในรูปแบบท่ีสามารถเข้าใจและนาไปปฏิบัติได้ง่ายโดยมีการปรับปรุงความรู้อยู่เสมอ (๖) ระดมการมีส่วนร่วมและลงสู่ภาคปฏิบัติด้วยการกากับ ติดตามประเมินผล และสารวจ ความต้องการของผู้ใช้งาน ท้ังนี้ รายละเอียดของนโยบายและแนวทางปฏิบัติเป็นไปตามเอกสารที่แนบท้ายประกาศนี้ ข้อ ๔ ให้อธิการบดีรักษาการตามประกาศนี้ และให้มีอานาจวินิจฉัยและตีความเพ่ือปฏิบัติการ ตามประกาศนี้ ประกาศ ณ วันที่ ๒๐ พฤศจกิ ายน พ.ศ. ๒๕๖๒ (นายวิรัช โหตระไวศยะ ) ผอู้ านวยการกองกลาง รกั ษาราชการแทน อธกิ ารบดมี หาวทิ ยาลยั เทคโนโลยีราชมงคลธญั บรุ ี

-๕- เอกสารแนบท้ายประกาศ นโยบายและแนวปฏิบตั กิ ารรกั ษาความมน่ั คงปลอดภยั ด้านเทคโนโลยีสารสนเทศ มหาวทิ ยาลยั เทคโนโลยรี าชมงคลธญั บรุ ี พ.ศ.............. สานกั วิทยบรกิ ารและเทคโนโลยีสารสนเทศ มหาวทิ ยาลัยเทคโนโลยีราชมงคลธญั บรุ ี

-๖- คำนำ การรักษาความม่ันคงปลอดภัยด้านสารสนเทศ เป็นสิ่งสาคัญที่ต้องปฏิบัติอย่างต่อเน่ือง และจาเป็น อย่างย่ิงท่ีต้องได้รับความร่วมมือจากทุกฝ่าย นอกจากน้ันยังต้องมีการตรวจสอบอย่างสม่าเสมอ เพ่ือปรับปรุง ให้สอดคล้องกับการพัฒนาของเทคโนโลยีที่เปล่ียนแปลงไปอย่างรวดเร็ว เพ่ือให้การบริการระบบสารสนเทศ ของมหาวิทยาลัยฯ เป็นไปอย่างเหมาะสม มีประสิทธิภาพ มีความมั่นคงปลอดภัย รวมทั้งป้องกันปัญหาท่ี อาจจะเกิดข้ึนจากการใช้งานระบบสารสนเทศในลักษณะท่ีไม่ถูกต้อง ซ่ึงอาจส่งผลให้มีการถูกคุกคามจากภัย ต่างๆ นโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ มหาวิทยาลัยเทคโนโลยีราช มงคลธัญบุรี พ.ศ. ท่ีได้จัดทาข้ึนน้ี เพื่อรองรับกับมาตรา ๕ แห่งพระราชกฤษฎีกากาหนดหลักเกณฑ์และ วิธีการในการทาธุรกรรมทางอิเล็กทรอนิกส์ภาครัฐ พ.ศ. ๒๕๔๙ และเพื่อให้สอดคล้องกับประกาศ คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ เรื่อง แนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคง ปลอดภัยด้านสารสนเทศของหน่วยงานของรัฐ พ.ศ. ๒๕๕๓ และประกาศคณะกรรมการธุรกรรมทาง อิเล็กทรอนิกส์ เรื่อง แนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศของ หน่วยงานของรัฐ (ฉบับที่ ๒) พ.ศ. ๒๕๕๖ จึงนับเป็นประโยชน์ต่อความม่ันคงปลอดภัยด้านสารสนเทศทาให้ เกิดความร่วมมือปฏิบัติตามนโยบายและแนวปฏิบัติในการรักษาความม่ันคงปลอดภัยด้านสารสนเทศได้อย่าง สอดคลอ้ ง และเหมาะสม

-๗- ส่วนท่ี ๑ สำรบญั หน้ำ ส่วนที่ ๒ สว่ นที่ ๓ นโยบายควบคุมการเข้าถึงและการใชง้ านระบบสารสนเทศ ..........................................................๘ ส่วนท่ี ๔ ๑. นโยบายควบคุมการเขา้ ถึงและการใชง้ านระบบสารสนเทศ (Access Control)………..…………๘ ๒. นโยบายการบรหิ ารจดั การการเข้าถึงของผู้ใชง้ าน (User Access Management)………………๙ ๓. นโยบายการกาหนดหนา้ ท่ีความรบั ผดิ ชอบของผู้ใชง้ าน (User Responsibilities)............... ๑๑ ๔. นโยบายการควบคมุ การเข้าถึงเครือขา่ ย (Network Access Control)................................ ๑๒ ๕. นโยบายการควบคุมการเขา้ ถึงระบบปฏิบตั ิการ (Operating System Access Control)….๑๔ ๖. นโยบายการควบคมุ การเข้าถึงโปรแกรมประยุกต์หรือแอปพลิเคชนั และสารสนเทศ (Application and Information Access Control)…………………………………………………….๑๖ ๗. นโยบายการควบคุมการเข้าถึงระบบเครือขา่ ยไร้สาย (Wireless LAN Access Control)…..๑๗ ๘. นโยบายการรักษาความม่นั คงปลอดภยั ทางด้านกายภาพและส่ิงแวดลอ้ ม (Physical and Environmental Security)………………………………………………………………………………………..๑๗ ๙. นโยบายการเข้าถึงเครื่องคอมพวิ เตอร์แม่ขา่ ย (Server Access Control)……………..………...๑๙ ๑๐. นโยบายการใช้งานเครื่องคอมพวิ เตอรส์ ว่ นบุคคลและเคร่ืองคอมพวิ เตอร์แบบพกพา (Personal Computer and Portable)………..………………………….………………………………๒๒ ๑๑. นโยบายการบรหิ ารจัดการการเข้าถงึ ข้อมลู ตามระดับชั้นความลบั (Data Contidence)….๒๓ ๑๒. นโยบายการควบคุมการใช้งานระบบจดหมายอเิ ลก็ ทรอนกิ ส์ (E-mail)………………………….๒๓ ๑๓. นโยบายการใชง้ านระบบอินเทอร์เน็ต (Internet)............................................................ ..๒๔ ๑๔. นโยบายการใชง้ านเครือขา่ ยสังคมออนไลน์ (Social Network)…...................................... ๒๕ ๑๕. นโยบายการจัดเก็บข้อมลู จราจรคอมพวิ เตอร์ (Computer Traffic Log).......................... ๒๕ นโยบายระบบสารสนเทศและระบบสารองของสารสนเทศ ...................................................... ๒๖ นโยบายการตรวจสอบและประเมินความเสย่ี งดา้ นสารสนเทศ .................................................. ๒๘ นโยบายการสรา้ งความรู้ความเข้าใจในการใช้ระบบสารสนเทศและระบบคอมพวิ เตอร.์ ............. ๓๐

-๘- สว่ นท่ี ๑ นโยบายควบคมุ การเขา้ ถงึ และการใชง้ านระบบสารสนเทศ วตั ถุประสงค์ ๑. เพอ่ื ใหม้ แี นวทางปฏิบัติในการรกั ษาความมน่ั คงปลอดภัย สาหรับการควบคมุ การเข้าถงึ และการใช้ งานระบบสารสนเทศของมหาวิทยาลัย ๒. เพือ่ ให้ผู้รับผดิ ชอบและผู้มีส่วนเกี่ยวข้อง ไดแ้ ก่ ผู้บรหิ าร ผู้ใช้งาน ผ้ดู แู ลระบบ และบคุ คลภายนอก ท่ปี ฏบิ ัติงานให้กบั มหาวทิ ยาลัย ได้รับรูเ้ ขา้ ใจและสามารถปฏิบัตติ ามแนวทางที่กาหนดโดยเคร่งครัด และตระหนักถงึ ความสาคญั ของการรักษาความมนั่ คงปลอดภยั ผ้รู ับผดิ ชอบ ๑. ศูนยเ์ ทคโนโลยสี ารสนเทศ ๒. ผดู้ ูแลระบบทไี่ ดร้ บั มอบหมาย อ้างอิงมาตรฐาน - มาตรฐานการรกั ษาความมั่นคงปลอดภัยในการประกอบธรุ กรรมทางอเิ ล็กทรอนกิ ส์ นโยบายและแนวทางปฏิบัติ ๑. นโยบายการควบคุมการเขา้ ถงึ และใชง้ านสารสนเทศ (Access Control) เพ่ือกาหนดประเภท ระดับชั้นความลับ ควบคุมการเข้าถึง และใช้งานทรัพยากรสารสนเทศ มีแนวทางปฏบิ ตั ิ ดงั นี้ ๑.๑ จัดทาบัญชีทรัพย์สินหรือทะเบียนทรัพย์สิน การจาแนกกลุ่มทรัพยากรของระบบหรือการ ทางาน โดยให้กาหนดกลุ่มผูใ้ ช้งานและสทิ ธิของกลมุ่ ผใู้ ชง้ าน ๑.๒ กาหนดเกณฑ์ในการอนุญาตให้เข้าถึงการใช้งานสารสนเทศ การอนุญาตการกาหนดสิทธิ หรือ การมอบอานาจ ดงั น้ี (๑) กาหนดสทิ ธิของผูใ้ ชง้ านแตล่ ะกลุ่มท่ีเกี่ยวข้อง เชน่ - อา่ นอย่างเดยี ว - สร้างข้อมลู - ป้อนข้อมลู - แก้ไข - อนมุ ัติ - ไมม่ ีสทิ ธิ (๒) กาหนดเกณฑก์ ารระงบั สทิ ธิ มอบอานาจ ให้เป็นไปตามการบรหิ ารจดั การการเข้าถึงของ ผูใ้ ช้งาน (User Access Management) ที่กาหนดไว้ (๓) ผู้ใช้งานทตี่ อ้ งการเข้าใชร้ ะบบสารสนเทศของมหาวิทยาลัย จะต้องได้รบั การพจิ ารณา อนญุ าตจากผอู้ านวยการศูนยห์ รอื ผทู้ ีไ่ ดร้ ับมอบหมาย ๑.๓ ขั้นตอนปฏิบตั ิเพ่ือจดั เก็บข้อมลู (๑) จัดแบง่ ประเภทของขอ้ มูล ออกเปน็ - ขอ้ มลู สารสนเทศด้านการบรหิ าร เชน่ ข้อมูลนโยบาย ข้อมูลยุทธศาสตร์และคารับรอง ข้อมูลบุคลากร ขอ้ มูลงบประมาณการเงินและบัญชี ฯลฯ

-๙- - ข้อมูลสารสนเทศตามพันธกิจ เช่น ข้อมูลด้านการเรียนการสอน ข้อมูลด้านการวิจัย และขอ้ มูลดา้ นบริการวชิ าการ เปน็ ตน้ (๒) จัดแบง่ ระดับความสาคญั ของข้อมูล ออกเปน็ ๔ ระดับ คอื - ข้อมูลทม่ี ีระดบั ความสาคัญมากทีส่ ดุ - ขอ้ มูลที่มีระดบั ความสาคญั มาก - ข้อมูลที่มรี ะดบั ความสาคญั ปานกลาง - ข้อมลู ท่มี รี ะดบั ความสาคัญน้อย (๓) จดั แบ่งลาดับชนั้ ความลบั ของขอ้ มลู - ข้อมูลลับท่ีสุด หมายถึง หากเปิดเผยทั้งหมดหรือเพียงบางส่วนจะก่อให้เกิดความ เสียหายอยา่ งรา้ ยแรงทสี่ ดุ - ข้อมูลลับมาก หมายถึง หากเปิดเผยท้ังหมดหรือเพียงบางส่วนจะก่อให้เกิดความ เสียหายอย่างร้ายแรง - ข้อมูลลบั หมายถึง หากเปดิ เผยทงั้ หมดหรือเพยี งบางสว่ นจะก่อให้เกิดความเสยี หาย - ข้อมูลทว่ั ไป หมายถงึ ขอ้ มลู ทสี่ ามารถเปดิ เผยหรอื เผยแพร่ท่ัวไปได้ (๔) จัดแบง่ ระดบั ชัน้ การเข้าถงึ - ระดบั ช้ันสาหรบั ผบู้ รหิ าร - ระดบั ช้นั สาหรับผู้ใชง้ านท่วั ไป - ระดบั ช้ันสาหรบั ผดู้ แู ลระบบหรือผูท้ ีไ่ ด้รบั มอบหมาย (๕) การกาหนดเวลาทีไ่ ด้เข้าถึง (๖) การกาหนดจานวนช่องทางทีส่ ามารถเข้าถึง ๑.๔ มขี อ้ กาหนดการใช้งานตามภารกจิ เพือ่ ควบคุมการเขา้ ถึงสารสนเทศ (Mission Requirements for Access Control) โดยแบง่ การจัดทาข้อปฏบิ ัตเิ ป็น ๒ สว่ น คือ (๑) มีการควบคมุ การเขา้ ถงึ สารสนเทศ โดยให้กาหนดแนวทางการควบคุมการเข้าถงึ ระบบ สารสนเทศ และสทิ ธทิ ่ีเกี่ยวขอ้ งกับระบบสารสนเทศ (๒) มีการปรับปรุงให้สอดคล้องกับข้อมูลกาหนดการใช้งานตามภารกิจ และข้อกาหนดด้าน ความมนั่ คงปลอดภยั ๒. นโยบายการบริหารจัดการการเข้าถึงของผ้ใู ชง้ าน (User Access Management) เพ่ือควบคุมการเข้าถึงระบบสารสนเทศเฉพาะผู้ที่ได้รับอนุญาต และผ่านการฝึกอบรมหลักสูตร การสร้างความตระหนักเร่ืองความมั่นคงปลอดภัยสารสนเทศ เพื่อป้องกันการเข้าถึงจากผู้ซึ่งไม่ได้รับอนุญาต มีแนวทางปฏบิ ตั ิ ดงั น้ี ๒.๑ มีการกาหนดหลักสูตรการฝึกอบรมเก่ียวกับการสร้างความตระหนักเรื่องความม่ันคงปลอดภัย สารสนเทศ ๒.๒ ฝึกอบรมให้ความรู้ความเข้าใจกับผู้ใช้งาน เพื่อให้เกิดความตระหนัก ความเข้าใจถึงภัย และ ผลกระทบที่เกิดจากการใช้งานระบบสารสนเทศโดยไม่ระมัดระวังหรือรู้เท่าไม่ถึงการณ์ รวมถึงกาหนดให้มี มาตรการเชิงป้องกนั ตามความเหมาะสม ๒.๓ มีการกาหนดข้ันตอนปฏิบตั ิในการลงทะเบียนผู้ใช้งาน (User Registration) ครอบคลุมในเรอ่ื ง ต่อไปนี้ (๑) จดั ทาแบบฟอร์มขอใชง้ านระบบสารสนเทศ และผใู้ ชง้ านกรอกขอ้ มูลลงในแบบฟอร์ม เพอ่ื ตรวจสอบสิทธแิ ละดาเนินการตามข้นั ตอนการลงทะเบียนผ้ใู ชง้ าน (๒) มกี ารระบุชื่อบัญชผี ู้ใช้งานแยกกันเปน็ รายบคุ คล ไม่ซ้าซ้อนกนั

-๑๐- (๓) จากัดการใช้งานบัญชีผู้ใช้งานแบบกลุ่มภายใต้บัญชีรายชื่อเดียวกัน และอนุญาตให้ใช้ เทา่ ทีจ่ าเปน็ (๔) มกี ารตรวจสอบและมอบหมายสทิ ธใิ นการเขา้ ถงึ ที่เหมาะสมต่อหนา้ ท่ีความรบั ผดิ ชอบ (๕) มีการตรวจสอบบญั ชีผใู้ ชง้ าน โดยไมม่ กี ารลงทะเบยี นผู้ใชง้ านมากอ่ น (๖) กาหนดให้มีการจัดทาและแจกเอกสารหรือส่ิงที่แสดงเป็นลายลักษณ์อักษรให้แก่ผู้ใช้งาน เพื่อแสดงถึงสิทธิและหน้าท่ีความรับผิดชอบของผู้ใช้งานในการเข้าถึงระบบเทค โนโลยี สารสนเทศ รวมทั้งกาหนดให้ผู้ใช้งานทาการลงนามในเอกสารดังกล่าวหลังจากท่ีได้ทา ความเข้าใจแลว้ (๗) มีการทาบันทกึ และจดั เกบ็ ขอ้ มูลการขออนมุ ตั ิเข้าใชร้ ะบบสารสนเทศ (๘) มีหลกั เกณฑ์ในการอนุญาตให้เข้าถึงระบบสารสนเทศ และได้รับการพิจารณาอนุญาตจาก ผูอ้ านวยการศนู ย์ (๙) มีหลักเกณฑ์ในการยกเลิก เพิกถอน การอนุญาต ให้เข้าถึงระบบสารสนเทศและการตัด ออกจากทะเบยี นของผู้ใชง้ าน เมอื่ มีการ เชน่ ลาออก เปลยี่ นตาแหนง่ โอนย้าย ส้นิ สุดการ จ้าง ฯลฯ ๒.๔ มีการบริหารจัดการสิทธิของผู้ใช้งาน (User Management) โดยแสดงรายละเอียดที่เกี่ยวกับ การควบคุมและจากัดสิทธิ เพ่ือให้สามารถเข้าถึงและใช้งานระบบสารสนเทศแต่ละชนิดตามความเหมาะสม ทัง้ น้รี วมถึงสทิ ธิจาเพาะ สทิ ธิพิเศษ และสิทธอิ ่ืนๆ ทเ่ี กยี่ วข้องกับการเข้าถึง ดังนี้ (๑) แสดงกระบวนการในการมอบหมายหรอื กาหนดสิทธกิ ารใชง้ านใหแ้ ก่ผู้ใช้งาน (๒) มีการกาหนดระดับสิทธิในการเข้าถึงสารสนเทศที่เหมาะสมตามหน้าท่ีความรับผิดชอบ และตามความจาเปน็ ในการใชง้ าน (๓) การมอบหมายสทิ ธิ ตอ้ งสอดคลอ้ งกบั นโยบายการควบคมุ การเข้าถึง (๔) มกี ารบนั ทกึ และจดั เก็บข้อมูลการมอบหมายสทิ ธิให้แกผ่ ใู้ ชง้ าน ๒.๕ มีการบริหารจัดการรหัสผ่านสาหรับผู้ใช้งาน (User Password Management) โดยจัด กระบวนการบริหารจดั การรหสั ผ่านสาหรับผู้ใชง้ านอยา่ งรัดกมุ ดงั นี้ (๑) มขี นั้ ตอนปฏิบตั สิ าหรับการตัง้ เปล่ยี นรหสั ผ่านที่มีความมนั่ คงปลอดภยั (๒) การต้ังรหัสผ่านช่ัวคราว ต้องยากต่อการเดา และต้องมีความแตกต่างกัน และอนุญาตให้ ผูใ้ ชง้ านเลอื กหรือเปล่ียนรหัสผา่ นไดด้ ้วยตนเอง และมีขัน้ ตอนปฏิบตั ิ เพือ่ ยนื ยันรหสั ผ่านใหม่ (๓) ส่งมอบรหัสผ่านช่ัวคราว ให้กับผู้ใช้งานด้วยวิธีการท่ีปลอดภัย โดยหลีกเลี่ยงการใช้บุคคล อื่นหรือการส่งจดหมายอิเล็กทรอนิกส์ ในการจัดส่งรหัสผ่าน และผู้ใช้งานควรตอบกลับ ทนั ที หลงั จากได้รับรหสั ผ่าน (๔) ผู้ใช้งานต้องเปล่ียนรหัสผ่านทันทีหลังจากได้รับรหัสผ่านช่ัวคราว และควรเปล่ียนให้ รหัสผา่ นยากตอ่ การคาดเดา (๕) ต้องมกี ารลงนามเพ่อื ป้องกนั การเปิดเผยข้อมลู รหัสผา่ นของตน (๖) การเปล่ียนรหัสผ่านต้องตรวจสอบบัญชชี ่อื ผู้ใชง้ าน และรหัสผ่านปัจจุบันให้ถูกต้องก่อนที่ จะอนุญาตให้เปลีย่ นรหัสใหม่ (๗) ในกรณีมีความจาเป็นต้องให้สิทธิพิเศษกับผู้ใช้งานท่ีมีสิทธิสูงสุด ผู้ใช้งานน้ันจะต้องได้รับ ความเห็นชอบ และอนุมัติจากผู้บังคับบัญชาของหน่วยงานเจ้าของระบบ โดยมีการ กาหนดระยะเวลาใช้งานและระงับการใช้งานทันที เมื่อพ้นระยะเวลาสิทธิพิเศษท่ีได้รับวา่ เขา้ ได้ถงึ ระดับใดได้บา้ ง และต้องกาหนดให้รหสั ผใู้ ช้งานตา่ งจากรหัสผู้ใชง้ านตามปกติ

-๑๑- ๒.๖ การทบทวนสิทธิการเข้าถึงผู้ใช้งาน (Review of User Access Rights) ต้องมีกระบวนการ ทบทวนสิทธิการเข้าถึงของผู้ใช้งานระบบสารสนเทศและปรับปรุงบัญชีผู้ใช้งาน ปีละ ๑ ครั้ง หรือเม่ือมีการ เปลีย่ นแปลง เช่น มกี ารลาออก เปล่ียนตาแหนง่ โอนย้าย ส้นิ สุดการจ้าง ฯลฯ ๓. นโยบายการกาหนดหน้าทค่ี วามรบั ผดิ ชอบของผู้ใชง้ าน (User Responsibilities) เพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต การเปิดเผย การล่วงรู้หรือการลักลอบทาสาเนาข้อมูล สารสนเทศ มีแนวทางปฏิบตั ิ ดงั นี้ ๓.๑ มีการกาหนดวิธีการปฏิบัติการใช้งานรหัสผ่าน (Password Use) สาหรับผู้ใช้งาน เพ่ือให้ สามารถกาหนดรหัสผา่ นการใชง้ านรหัสผา่ น และการเปล่ียนรหสั ผ่านท่ีมีคณุ ภาพ ดงั น้ี (๑) เปล่ียนรหสั ผา่ นชวั่ คราวทนั ทเี ม่ือล็อกอินเข้าใช้งานระบบครง้ั แรก (๒) ควรตัง้ รหัสผา่ นทยี่ ากต่อการเดา (๓) ควรกาหนดรหัสผ่าน ให้มีตัวอักษรจานวนมากกว่าหรือเท่ากับ ๘ ตัวอักษร โดยมีการผสม กันระหว่างตวั อักษรทเี่ ปน็ ตวั พิมพ์ปกติ ตวั เลข และสญั ลักษณเ์ ขา้ ด้วยกัน (๔) ไม่ควรกาหนดรหสั ผ่านสว่ นบคุ คลจากชื่อหรือนามสกลุ ของตนเอง หรือบุคคลในครอบครัว หรอื บุคคลท่ีมีความสมั พันธใ์ กล้ชดิ กับตน หรอื จากคาศัพท์ทปี่ รากฏในพจนานกุ รม (๕) ไมต่ ง้ั รหัสผา่ นจากอักขระทีเ่ รียงกันหรอื กลุ่มเหมอื นกนั (๖) ไม่ใช้รหัสผ่านส่วนบุคคลสาหรับการใช้แฟ้มข้อมูลร่วมกับบุคคลอ่ืนผ่านเครือข่าย คอมพวิ เตอร์ (๗) เก็บรกั ษารหัสผา่ นท้ังของตนเองและของกลุม่ ไว้เป็นความลับ (๘) ไม่จดหรือบันทึกรหัสผ่านส่วนบุคคลไว้ในสถานที่ท่ีง่ายต่อการสังเกตเห็นของบุคคลอ่ืน หรือเก็บไวใ้ นระบบคอมพวิ เตอร์ (๙) ตอ้ งไม่กาหนดให้มกี ารบนั ทึกหรอื ชว่ ยจารหสั ผา่ นส่วนบคุ คล (๑๐) ไมใ่ ชร้ หสั ผา่ นของตนเองร่วมกบั ผู้อื่น (๑๑) กรณีที่มีความจาเป็นต้องบอกรหัสผ่านแก่ผู้อ่ืนเนื่องจากงาน หลังจากดาเนินการ เรยี บรอ้ ย ให้ทาการเปลย่ี นรหสั ผ่านโดยทนั ที (๑๒) ควรมีการเปล่ียนรหัสผ่านตามรอบระยะเวลาท่ีกาหนดไว้ หรือเปล่ียนรหัสผ่านทันที เมื่อทราบวา่ รหัสผ่านอาจถกู เปดิ เผยหรือล่วงรู้ (๑๓) หลีกเล่ยี งการใช้รหัสผา่ นเดมิ (๑๔) ผ้ดู แู ลระบบตอ้ งเปลี่ยนรหสั ผา่ นบอ่ ยครง้ั กว่าผใู้ ช้งานทว่ั ไป ๓.๒ การปอ้ งกันอปุ กรณใ์ นขณะทไี่ ม่มีผใู้ ชง้ านอปุ กรณ์ ให้กาหนดแนวปฏิบตั ทิ ่ีเหมาะสม เพื่อปอ้ งกัน ไมใ่ หผ้ ู้ไม่มีสิทธิสามารถเข้าถงึ อปุ กรณ์ของมหาวิทยาลัย ในขณะท่ีไม่มผี ูด้ แู ล ดังนี้ (๑) มีการกาหนดข้อปฏิบัติให้ป้องกันอุปกรณ์คอมพิวเตอร์ที่ใช้งาน เพ่ือป้องกันการสูญหาย หรอื การเข้าถงึ โดยไม่ได้รับอนุญาต (๒) มมี าตรการป้องกนั อปุ กรณ์ทไี่ ม่มผี ูใ้ ช้งาน หรือตอ้ งปลอ่ ยท้ิงไว้โดยไม่มีผ้ดู แู ลช่วั คราว (๓) สรา้ งความตระหนกั ให้เกดิ ความเขา้ ใจในมาตรการป้องกนั (๔) ตอ้ งออกจากระบบสารสนเทศโดยทันที เม่อื เสรจ็ ส้ินงาน (๕) กาหนดให้มกี ารตงั้ ล็อคหน้าจอเครือ่ งคอมพิวเตอร์หลังจากไม่ได้ใชง้ านเป็นเวลาไม่เกนิ ๓๐ นาที และต้องใส่รหสั ผ่านให้ถูกต้องจึงจะสามารถเปดิ หนา้ จอได้ (๖) ต้องล็อคอุปกรณ์และเคร่ืองคอมพิวเตอร์ท่ีสาคัญ เม่ือไม่ได้ถูกใช้งาน หรือต้องปล่อยทิ้ง โดยไม่ไดด้ แู ลชั่วคราว

-๑๒- ๓.๓ การปฏิบัติตามนโยบายควบคมุ การไม่ทิ้งสนิ ทรัพยส์ ารสนเทศสาคญั ไว้ในท่ีที่ไม่ปลอดภัย (Clear Desk and Clear Screen Policy) โดยต้องควบคุมไม่ให้ทรัพย์สินสารสนเทศ เช่น เอกสาร สื่อบันทึกข้อมูล คอมพิวเตอร์หรือสารสนเทศ ฯลฯ อยู่ในภาวะเสี่ยงต่อการเข้าถึงโดยผู้ซึ่งไม่มีสิทธิ และต้องกาหนดให้ผู้ใช้งาน ออกจากระบบสารสนเทศเมอื่ ว่างเว้นจากการใช้งาน ดงั น้ี (๑) มีการกาหนดมาตรการป้องกันทรัพย์สินของมหาวิทยาลัย และควบคุมไม่ให้มีการท้ิงหรือ ปล่อยทรัพย์สินสารสนเทศท่ีสาคัญให้อยู่ในสถานการณ์ที่ไม่ปลอดภัย ครอบคลุมเร่ือง ต่างๆ เชน่ - การจัดการบรเิ วณลอ้ มรอบ - การควบคมุ การเข้า-ออก - การจัดบริการการเขา้ ถึงการส่งผลิตภัณฑ์โดยบุคคลภายนอก - การวางอุปกรณ์ - ระบบและอุปกรณ์สนบั สนนุ การทางาน (๒) การป้องกนั ต้องมีความสอดคลอ้ งกับเร่อื งต่างๆ ดังน้ี - แนวทางการจัดหมวดหมู่สารสนเทศและการจัดการกับสารสนเทศ - กฎหมาย ระเบยี บ ข้อบังคบั หรอื ขอ้ กาหนดอ่ืนๆ - วฒั นธรรมองค์กร (๓) มีการกาหนดขอบเขตของการป้องกัน ดังน้ี - ทกุ คนต้องตระหนักและปฏิบัติการใดๆ เพื่อป้องกันทรพั ยส์ ินของมหาวทิ ยาลยั - ลงช่อื ออกจากระบบทันที เม่อื จาเป็นตอ้ งปล่อยท้ิงโดยไม่มีผ้ดู แู ล - จัดเกบ็ ขอ้ มลู สาคญั ในสถานท่ที ี่มีความปลอดภยั - ลอ็ คเครื่องคอมพวิ เตอร์ เม่ือไมใ่ ชง้ าน - ปอ้ งกันเครือ่ งโทรสาร เมอื่ ไม่มผี ้ใู ช้งาน - ปอ้ งกันตหู้ รือบรเิ วณทใ่ี ช้ในการรบั ส่งเอกสารไปรษณีย์ - ป้องกันไม่ให้ผู้อื่นใช้อุปกรณ์ดังต่อไปนี้ โดยไม่ได้รับอนุญาต เช่น กล้องดิจิตอล เคร่ือง สาเนาเอกสาร เครอ่ื งสแกนเอกสาร ฯลฯ - นาเอกสารออกจากเครอ่ื งพิมพท์ นั ทีท่ีพิมพ์งานเสรจ็ ๓.๔ ผู้ใช้งานอาจนาการเข้ารหัส มาใช้กับข้อมูลที่เป็นความลับ โดยให้ปฏิบัติตามระเบียบการรักษา ความลับทางราชการ พ.ศ. ๒๕๔๔ ดงั น้ี (๑) ต้องแสดงหลักฐานเกณฑ์ในการกาหนดเครื่องข้อมลู ลบั หรอื ข้อมลู ท่สี าคญั ยิ่งยวด (๒) ต้องแสดงข้อปฏิบตั สิ าหรับการเขา้ ถึงขอ้ มลู ลบั หรือข้อมลู ท่ีสาคญั ย่ิงยวด ๔. นโยบายการควบคมุ การเข้าถึงเครอื ขา่ ย (Network Access Control) เพอ่ื ป้องกันการเขา้ ถึงบริการทางเครือขา่ ยโดยไม่ได้รับอนุญาต มีแนวทางปฏิบตั ิ ดงั นี้ ๔.๑ การใช้บริการเครือข่าย ต้องกาหนดให้ผู้ใช้งานสามารถเข้าถึงระบบสารสนเทศได้แต่เพียง บริการทีไ่ ด้รับอนุญาตให้เขา้ ถงึ เทา่ น้ัน (๑) มีการกาหนดระบบสารสนเทศท่ีต้องมีการควบคุมการเข้าถึง โดยระบุเครือข่าย หรือบรกิ ารทอี่ นญุ าตให้มกี ารใช้งานได้ (๒) มีข้อปฏิบัติสาหรับผู้ใช้งานให้สามารถเข้าถึงระบบสารสนเทศได้แต่เพียงบริการที่ได้รับ อนุญาตให้เขา้ ถงึ เท่านัน้ (๓) กาหนดการใช้งานระบบสารสนเทศที่สาคัญ เช่น ระบบคอมพิวเตอร์ โปรแกรมประยุกต์ จดหมายอิเล็กทรอนิกส์ ระบบเครือข่ายไร้สาย (Wireless LAN) ระบบอินเทอร์เน็ต

-๑๓- (Internet) ฯลฯ โดยต้องให้สิทธิเฉพาะการปฏิบัติงานในหน้าท่ีและต้องได้รับความ เห็นชอบจากผู้บังคับบัญชาของหน่วยงานเจ้าของระบบเป็นลายลักษณ์อักษร รวมทั้งต้อง ทบทวนสทิ ธดิ ังกลา่ ว ปลี ะ ๑ ครง้ั ๔.๒ การยืนยันตัวบุคคลสาหรับผู้ใช้งานที่อยู่ภายนอกมหาวิทยาลัย (User Authentication for External Connection) ต้องมีข้อปฏิบัติหรือกระบวนการให้มีการยืนยันตวั บุคคลก่อนท่ีจะอนุญาตให้ผู้ใชง้ าน ท่ีอยูภ่ ายนอกมหาวทิ ยาลยั เขา้ ใช้งานเครือข่ายและระบบสารสนเทศของมหาวิทยาลัยได้ ดงั น้ี (๑) ผู้ใช้งานท่จี ะเข้าใช้งานระบบ ต้องแสดงตัวตน (Identification) ด้วยช่อื ผใู้ ช้งานทุกครั้ง (๒) ให้มีการตรวจสอบผู้ใช้งานทุกคร้ังก่อนท่ีจะอนุญาตให้เข้าถึงระบบข้อมูล โดยจะต้องมี วิธีการยืนยันตัวบุคคล (Authentication) เพื่อแสดงว่าเป็นผู้ใช้งานตัวจริง เช่น การใช้ รหัสผ่าน การใช้สมาร์ทการด์ หรอื การใช้ User Token ท่ใี ชเ้ ทคโนโลยี PKI ฯลฯ (๓) จะต้องมีวิธีการในการตรวจสอบเพื่อพิสูจน์ตัวตน สาหรับการเข้าสู่ระบบสารสนเทศของ มหาวิทยาลัยงาน ๑ วธิ ี (๔) การเข้าสู่ระบบสารสนเทศของมหาวิทยาลัยจากอินเทอร์เน็ต ให้มีการตรวจสอบผู้ใช้งาน ด้วย ๔.๓ การระบุอุปกรณ์บนเครือข่าย (Equipment Identification in Network) ต้องมีวิธีการหรือ กระบวนการท่ีสามารถระบุอุปกรณ์บนเครอื ข่ายได้ โดยสามารถใช้การระบุอุปกรณ์บนเครือข่ายเป็นการยืนยนั การเขา้ ถงึ ดงั นี้ (๑) ใหก้ าหนดวิธีการพิสจู น์ตัวตนทุกครั้งท่ใี ช้อุปกรณ์ (๒) มกี ารควบคุมการใชง้ านอย่างเหมาะสม (๓) จากดั ผใู้ ชง้ านทสี่ ามารถเขา้ ใชอ้ ปุ กรณ์ได้ ๔.๔ การป้องกันพอร์ตที่ใช้สาหรับตรวจสอบและปรับแต่งระบบ (Remote Diagnostic and Configuration Port Protection) ต้องควบคุมการเข้าถึงพอร์ตท่ีใช้สาหรับตรวจสอบ และปรับแต่งระบบท้ัง การเข้าถึงทางกายภาพและทางเครือข่าย (๑) แสดงขั้นตอนหรือหลักเกณฑ์ในการควบคุมการเข้าถึงพอร์ตที่ใช้สาหรับตรวจสอบ และปรบั แตง่ ระบบสาหรับการเขา้ ถงึ ทางกายภาพ และการเข้าถงึ ทางเครือขา่ ย (๒) กาหนดวิธกี ารป้องกนั ช่องทางทใ่ี ช้บารุงรกั ษาระบบผา่ นเครือข่าย (๓) ปิดการใช้งานหรือควบคุมการเข้าถึงพอร์ตที่ใช้สาหรับตรวจอบ และปรับแต่งระบบให้ใช้ งานได้อย่างจากัดระยะเวลาเท่าที่จาเป็น โดยต้องได้รับการอนุญาตจากผู้รับผิดชอบเป็น ลายลกั ษณอ์ กั ษร ๔.๕ การแบ่งแยกเครือข่าย (Segregation in Network) ต้องทาการแบ่งแยกเครือข่ายสาหรับกลุ่ม ผู้ใช้งาน โดยแบ่งออกเป็น ๒ เครือข่าย คือ เครือข่ายสาหรับผู้ใช้งานภายใน และเครือข่ายสาหรับผู้ใช้งาน ภายนอก ๔.๖ การควบคุมการเชื่อมต่อทางเครือข่าย (Network Connection Control) ต้องควบคุมการ เข้าถึงหรือใช้งานเครือข่ายที่มีการใช้ร่วมกัน หรือเช่ือมต่อระหว่างกันให้สอดคล้องกับแนวปฏิบัติการควบคุม การเข้าถึง ดงั นี้ (๑) มกี ารตรวจสอบการเช่อื มต่อเครือข่าย (๒) จากัดสิทธคิ วามสามารถของผใู้ ชง้ านในการเช่อื มตอ่ เขา้ สูเ่ ครือข่าย (๓) ระบอุ ปุ กรณ์ เครอ่ื งมอื ท่ีใช้ควบคุมการเชื่อมต่อเครือขา่ ย (๔) มีระบบการตรวจจบั ผู้บกุ รุกท้งั ในระดับเครอื ข่าย และระดับเครอ่ื งคอมพิวเตอรแ์ ม่ขา่ ย (๕) ควบคมุ ไมใ่ ห้มกี ารเปดิ ให้บริการเครอื ขา่ ย โดยไม่ได้รับอนุญาต

-๑๔- ๔.๗ การควบคุมการจัดเส้นทางเครอื ข่าย (Network Routing Control) ต้องควบคมุ การจัดเส้นทาง บนเครือข่าย เพ่ือให้การเชื่อมต่อของคอมพิวเตอร์ และการส่งผ่านหรือไหลเวียนของข้อมูล หรือสารสนเทศ สอดคลอ้ งกบั แนวปฏิบัติการควบคมุ การเข้าถงึ หรือการประยกุ ตใ์ ชง้ านตามภารกิจ ดงั น้ี (๑) ควบคุมไม่ให้มกี ารเปดิ เผยการใช้หมายเลขเครือข่าย (IP Address Plan) (๒) กาหนดใหม้ ีการแปลงหมายเลขเครือขา่ ย เพอ่ื แยกเครอื ขา่ ยยอ่ ย (๓) กาหนดมาตรการการบังคับใช้เส้นทางเครือข่าย สามารถเชื่อมเครือข่ายปลายทางผ่าน ชอ่ งทางทีก่ าหนดไว้ หรอื จากดั สิทธใิ นการใชบ้ ริการเครือข่าย ๔.๘ การควบคมุ การเขา้ ใช้งานระบบจากภายนอก (๑) การเข้าสู่ระบบจากระยะไกล (Remote Access) สู่ระบบสารสนเทศและเครือข่ายของ มหาวิทยาลัย ต้องกาหนดมาตรการรักษาความปลอดภัยท่ีเพ่ิมขึ้นจากมาตรฐานการเข้าสู่ ระบบภายใน (๒) การเข้าสู่ระบบจากระยะไกล (Remote Access) ต้องมีการตรวจสอบ เพื่อพิสูจน์ตัวตน ของผูใ้ ชง้ าน เชน่ รหสั ผา่ น วธิ กี ารเข้ารหัส ฯลฯ (๓) วิธีการใดๆ ก็ตามที่สามารถเข้าสู่ระบบสารสนเทศ และเครือข่ายได้จากระยะไกล ต้องได้รับการอนุมัติจากผู้อานวยการศูนย์ก่อน และมีการควบคุมอย่างเข้มงวดก่อน นามาใช้ และผู้ใช้งานต้องปฏิบัติตามข้อกาหนดของการเข้าสู่ระบบสารสนเทศอย่าง เครง่ ครดั (๔) กอ่ นทาการใหส้ ิทธิในการเขา้ สู่ระบบจากระยะไกล ผ้ใู ชง้ านตอ้ งแสดงหลักฐานระบุเหตุผล หรือความจาเป็นในการดาเนินงานกับมหาวิทยาลัยอย่างเพียงพอ และต้องได้รับอนุมัติ จากผ้อู านวยการศูนย์อยา่ งเปน็ ทางการ (๕) มีการควบคุมพอร์ต (Port) ที่ใช้ในการเข้าสู่ระบบอย่างรัดกุม การเข้าสู่ระบบโดยการ โทรศัพท์เข้ามาน้ัน ต้องดูแลและจัดการโดยผู้ดูแลระบบ และวิธีการหมุนเข้าต้องได้รับ อนุมัติอย่างถูกตอ้ งและเหมาะสมแลว้ เทา่ นน้ั (๖) การอนุญาตให้ผู้ใช้งานเข้าสู่ระบบจากระยะไกล ต้องอยู่บนพ้ืนฐานของความจาเป็น เท่านั้น และไมค่ วรเปดิ พอรต์ ทใี่ ช้ทิ้งเอาไว้โดยไมจ่ าเป็น ช่องทางดังกล่าวควรตัดการเชื่อม ต่อเม่ือไม่ได้ใชง้ านแลว้ และจะเปดิ ให้ใชไ้ ดต้ ่อเมือ่ มกี ารรอ้ งขอทจ่ี าเป็นเท่านน้ั ๕. นโยบายการควบคมุ การเขา้ ถงึ ระบบปฏิบัติการ (Operating System Access Control) เพอื่ ปอ้ งกันการเข้าถึงระบบปฏบิ ัตกิ ารโดยไม่ไดร้ บั อนญุ าต โดยมีแนวปฏิบัติ ดังน้ี ๕.๑ ผู้ดูแลระบบ (System Administrator) ต้องติดต้ังโปรแกรมช่วยบริหารจัดการ (Domain Control) เพื่อบริหารจัดการเคร่ืองคอมพิวเตอร์ทุกเครื่องของมหาวิทยาลัย และกาหนดชื่อผู้ใช้งาน และรหสั ผา่ นใหก้ ับผ้ใู ช้งานระบบปฏบิ ัตกิ ารของเครื่องคอมพิวเตอร์ของมหาวิทยาลยั ๕.๒ กาหนดขั้นตอนการปฏิบัติเพื่อการเข้าใช้งานท่ีม่ันคงปลอดภัย การเข้าถึงระบบปฏิบัติการ จะต้องควบคมุ โดยแสดงวธิ กี ารยืนยนั ตัวตนทม่ี ่นั คงปลอดภยั โดยมีแนวปฏิบตั ิ ดังนี้ (๑) ต้องจัดไม่ให้ระบบแสดงรายละเอียดสาคัญหรือความผิดพลาดต่างๆ ของระบบก่อนที่จะ เข้าสรู่ ะบบจะเสร็จสมบูรณ์ (๒) ระบบสามารถยุติการเชื่อมต่อเครื่องปลายทางได้ เมื่อพบว่ามีการพยายามคาดเดา รหสั ผา่ นจากเคร่อื งปลายทาง (๓) จากดั ระยะเวลาสาหรบั ใชใ้ นการปอ้ งกนั รหัสผา่ น (๔) จากัดการเช่ือมต่อโดยตรงสู่ระบบปฏิบัติการผ่านทาง Commend Line เนื่องจากอาจ สรา้ งความเสยี หายให้กับระบบได้

-๑๕- ๕.๓ ระบุและยนื ยันตวั ตนของผใู้ ช้งาน (User Identification and Authentication) ต้องกาหนดให้ มีผู้ใช้งาน และเลือกใช้ข้ันตอนทางเทคนิคในการยืนยันตัวตนที่เหมาะสมเพ่ือรองรับการกล่าวอ้างว่าเป็น ผ้ใู ชง้ านทร่ี ะบถุ ึง โดยมแี นวทางปฏิบัติ ดงั นี้ (๑) ผู้ใช้งานต้องมีชื่อผู้ใช้งาน และรหัสผ่าน สาหรับเข้าใช้งานระบบสารสนเทศของ มหาวิทยาลัย (๒) หากอนุญาตให้ใช้ช่ือผู้ใช้งาน และรหัสผ่าน ร่วมกัน ต้องขึ้นอยู่กับความจาเป็นทางด้าน ธุรกิจหรอื ด้านเทคนคิ (๓) สามารถใช้อุปกรณ์ควบคุมความปลอดภัยเพ่ิมเติม เช่น สมาร์ทการ์ด RFID หรือ เคร่ือง อา่ นลายพิมพน์ ิว้ มือ ฯลฯ ๕.๔ การบริหารจัดการรหัสผ่าน (Password Management System) มีระบบบริหารจัดการ รหัสผ่านที่สามารถทางานเชิงโต้ตอบ (Interactive) หรือมีการทางานในลักษณะอตั โนมตั ิ ซ่งึ เอ้ือต่อการกาหนด รหัสผา่ นที่มีคณุ ภาพ เมื่อได้ดาเนินการติดตั้งระบบแล้ว ให้ยกเลิกชื่อผู้ใช้งานหรือเปล่ียนรหัสผ่านของ ทุกช่ือผใู้ ช้งานท่ไี ด้ถูกกาหนดไว้เริ่มตน้ ที่มาพร้อมกับการติดต้งั ระบบโดยทนั ที ๕.๕ การใช้งานโปรแกรมอรรถประโยชน์ (Use of System Utilities) ควรจากัดและควบคุมการใช้ งานโปรแกรมอรรถประโยชน์สาหรับโปรแกรมคอมพิวเตอร์ท่ีสาคัญ เน่ืองจากการใช้งานโปรแกรม อรรถประโยชน์บางชนิดสามารถทาให้ผ้ใู ช้หลกี เลีย่ งมาตรการป้องกันทางดา้ นความมั่นคงปลอดภัยท่ีได้กาหนด ไวห้ รือทม่ี ีอยแู่ ล้ว ใหด้ าเนนิ การ ดังน้ี (๑) จากัดสิทธิการเข้าถึง และกาหนดสิทธิอย่างรัดกุมในการอนุญาตให้ใช้โปรแกรม อรรถประโยชน์ (๒) กาหนดให้อนญุ าตใชง้ านโปรแกรมอรรถประโยชนเ์ ปน็ รายครง้ั ไป (๓) จัดเกบ็ โปรแกรมอรรถประโยชนไ์ วใ้ นสอ่ื ภายนอก ถ้าไม่ตอ้ งใช้งานเปน็ ประจา (๔) มีการเก็บบนั ทกึ การเรยี กใชง้ านโปรแกรมเหล่านี้ (๕) กาหนดใหม้ กี ารถอดถอนโปรแกรมอรรถประโยชน์ท่ไี ม่จาเปน็ ออกจากระบบ ๕.๖ เม่ือมีการว่างเว้นจากการใช้งานในระยะเวลาหน่ึงให้ยุติการใช้งานระบบสารสนเทศนั้น (Session Time-Out) (๑) ใหก้ าหนดหลกั เกณฑ์การยุติการใชง้ านระบบสารสนเทศเมื่อว่างเวน้ จากการใช้งานเป็นเวลา ไมเ่ กิน ๓๐ นาที หากเป็นระบบท่ีมีความเสี่ยงหรือความสาคัญสูง ใหก้ าหนดระยะเวลายุตกิ ารใช้ งานระบบเม่ือว่างเว้นจากการใช้งานให้สั้นลงหรือเป็นเวลาไม่เกิน ๑๕ นาที ตามความ เหมาะสมเพ่ือป้องกันการเขา้ ถึงข้อมูลสาคญั โดยไม่ไดร้ ับอนุญาต (๒) ถ้าไม่มีการใชง้ านระบบ ตอ้ งทาการยกเลิกการใช้โปรแกรมประยุกต์และการเช่ือมต่อเข้าสู่ ระบบโดยอตั โนมัติ (๓) เคร่ืองปลายทางท่ีตั้งอยู่ในพ้ืนที่ท่ีมีความเส่ียงสูงต้องมีการกาหนดระยะเวลาให้ทาการปิด เคร่ืองโดยอตั โนมตั ิ หลกั จากทไ่ี มม่ กี ารใชง้ านเปน็ ระยะเวลาตามท่กี าหนด

-๑๖- ๕.๗ การจากัดระยะเวลาการเชื่อมต่อระบบสารสนเทศ (Imitation of Connection Time) ต้องจากัดระยะเวลาในการเชื่อมต่อเพื่อให้มีความมั่นคงปลอดภัยมากขึ้นสาหรับระบบสารสนเทศ หรือ โปรแกรมทม่ี คี วามเสี่ยงหรือมีความสาคญั สงู (๑) กาหนดหลักเกณฑ์ในการจากัดระยะเวลาการเชื่อมต่อระบบสารสนเทศ สาหรับระบบ สารสนเทศหรือแอปพลเิ คชันทีม่ คี วามเสี่ยงหรอื มีความสาคัญสูง เพือ่ ใหผ้ ใู้ ชง้ านสามารถใช้ งานได้นานที่สุดภายในระยะเวลาท่ีกาหนดเท่าน้ัน เช่น กาหนดให้ใช้งานได้ ๓ ช่ัวโมง ต่อการเชื่อมต่อหน่ึงครั้ง ฯลฯ กาหนดให้ใช้งานได้เฉพาะในช่วงเวลาการทางานของ มหาวิทยาลัยตามปกตเิ ทา่ นน้ั (๒) การกาหนดช่วงเวลาสาหรับการเช่ือมต่อระบบเครือข่ายจากเคร่ืองปลายทางจะต้อง พจิ ารณาถงึ ระดับความเส่ียงของที่ตัง้ ของเคร่ืองปลายทางด้วย (๓) กาหนดให้ระบบสารสนเทศ เช่น ระบบงานท่ีมีความสาคัญสูง หรือระบบงานท่ีมีการใช้ งานในสถานที่ท่ีมีความเสี่ยงในที่สาธารณะหรือพ้ืนที่ภายนอกสานักงาน ฯลฯ มีการจากัด ชว่ งระยะเวลาการเช่อื มตอ่ ๖. นโยบายการควบคุมการเข้าถึงโปรแกรมประยุกต์หรือ แอปพลิเคชันและสารสนเทศ (Application and Information Access Control) เพ่ือควบคุมการเขา้ ถงึ โปรแกรมประยุกตห์ รอื แอปพลเิ คชนั และสารสนเทศ ให้มคี วามมัน่ คงปลอดภัย มีแนวทางปฏิบตั ิ ดงั นี้ ๖.๑ การจากัดการเข้าถึงสารสนเทศ (Information Access Restriction) ต้องจากัดหรือควบคุม การเข้าถึงหรือเข้าใช้งานของผู้ใช้งาน และบุคลากรฝ่ายสนับสนุนการเข้าใช้งานในการเข้าถึงสารสนเทศ และฟงั กช์ ันตา่ งๆ ของโปรแกรมประยุกต์ หรือแอปพลิเคชนั โดยให้กาหนดหลกั เกณฑ์ในการจากัดหรือควบคุม การเข้าถงึ หรอื เขา้ ใชง้ านที่สอดคล้องตามนโยบายควบคุมการเข้าถงึ สารสนเทศทไ่ี ด้กาหนดไว้ ๖.๒ ระบบซึ่งไวต่อการรบกวน มีผลกระทบและมีความสาคัญสูงตอ่ มหาวทิ ยาลัย จะต้องดาเนินการ ดงั น้ี (๑) ต้องแยกระบบซึ่งไวต่อการรบกวนดังกล่าวออกจากระบบอื่นๆ และแสดงให้เห็นถึง ผลกระทบ และระดบั ความสาคัญตอ่ มหาวิทยาลยั (๒) มีการควบคุมสภาพแวดลอ้ มของระบบดังกลา่ วโดยเฉพาะ (๓) มีการควบคุมอุปกรณ์คอมพิวเตอร์และสื่อสารเคลื่อนท่ีและการปฏิบัติงานจากภายนอก มหาวทิ ยาลยั (Mobile Computing and Teleworking) ทีเ่ ก่ยี วขอ้ งกับระบบดังกล่าว ๖.๓ การควบคุมอุปกรณ์คอมพิวเตอร์และสื่อสารเคลื่อนที่ต้องกาหนดแนวปฏิบัติ และมาตรการที่ เหมาะสมในการควบคุมการใชอ้ ุปกรณ์คอมพิวเตอรแ์ ละส่อื สารเคลื่อนที่ ๖.๔ การปฏิบตั งิ านจากภายนอกมหาวิทยาลยั (Teleworking) ตอ้ งกาหนดแนวปฏิบตั ิแผนงานและ ขั้นตอนปฏบิ ตั ิเพอ่ื ปรับใช้สาหรบั การปฏบิ ัตงิ านของมหาวิทยาลัยจากภายนอกมหาวิทยาลัย

-๑๗- ๗. นโยบายการควบคมุ การเขา้ ถึงระบบเครือข่ายไรส้ าย (Wireless LAN Access Control) เพื่อควบคมุ การเขา้ ถึงระบบเครือขา่ ยไร้สาย มีแนวทางปฏิบตั ิ ดงั นี้ ๗.๑ ผู้ใช้งานท่ีต้องการเข้าถึงระบบเครือข่ายไร้สายของมหาวิทยาลัย จะต้องทาการลงทะเบียนกับ ผ้ดู ูแลระบบ โดยจะต้องขออนุญาตเป็นลายลกั ษณ์อักษร และได้รับการพจิ ารณาอนุญาตจากผู้อานวยการศูนย์ ๗.๒ ผดู้ ูแลระบบ (System Administrator) ตอ้ งดาเนินการดังตอ่ ไปน้ี (๑) ต้องทาการลงทะเบียนกาหนดสิทธิผู้ใช้งานการเข้าถึงระบบเครือข่ายไร้สายให้เหมาะสม กับหน้าท่ีความรบั ผดิ ชอบในการปฏบิ ัติงานก่อนเข้าใช้ระบบเครือข่ายไร้สาย รวมทั้งมีการ ทบทวนสิทธิการเข้าถึงอย่างสม่าเสมอ ทั้งนี้ระบบจะต้องได้รับอนุญาตจากผู้ดูแลระบบ ตามความจาเปน็ ในการใช้งาน (๒) ตอ้ งทาการลงทะเบยี นอปุ กรณ์ทกุ ตัวท่ีใช้ติดต่อระบบเครือขา่ ยไร้สาย (๓) ต้องควบคุมสัญญาณของอุปกรณ์กระจายสัญญาณ (Access Point) เพื่อป้องกันไม่ให้ สัญญาณของอุปกรณ์ร่ัวไหลออกนอกพ้ืนท่ีใช้งานระบบเครือข่ายไร้สาย และป้องกันไม่ให้ ผูโ้ จมตสี ามารถรับส่งสญั ญาณจากภายนอกอาคาร หรือบรเิ วณขอบเขตทีค่ วบคมุ ได้ (๔) ควรทาการเปลี่ยนค่า SSID ท่ีถูกกาหนดเป็นค่าโดยปริยายมาจากผู้ผลิตทันทีท่ีนาอุปกรณ์ กระจายสญั ญาณ (Access Point) มาใชง้ าน (๕) ควรเปลี่ยนค่าชื่อบัญชีรายชื่อและรหัสผ่านในการเข้าสู่ระบบสาหรับการตั้งค่าการทางาน ของอุปกรณ์ไร้สาย และควรจะเลือกใช้ช่ือบัญชีรายชื่อ และรหัสผ่านที่คาดเดาได้ยาก เพ่อื ป้องกันผู้โจมตไี ม่ให้สามารถคาดเดาหรือเจาะรหัสผ่านได้โดยง่าย (๖) ต้องมีการเข้ารหัสข้อมูลระหว่าง Wireless LAN Client และอุปกรณ์กระจายสัญญาณ (Access Point) เพ่อื ให้ยากต่อการดักจบั และทาให้ปลอดภยั มากขึ้น (๗) ควรจะมีการติดต้ังอุปกรณ์ป้องกันการบุกรุก (Firewall) ระหว่างเครือข่ายไร้สายกับ เครอื ขา่ ยภายในมหาวิทยาลยั (๘) ควรใช้ซอฟต์แวร์หรือฮาร์ดแวร์ตรวจสอบความม่ันคงปลอดภัยของระบบเครือข่ายอย่าง สมา่ เสมอ เพอ่ื คอยตรวจสอบและบนั ทกึ เหตุการณ์ทีน่ า่ สงสัยท่ีเกิดข้นึ ในระบบเครือข่ายไร้ สาย และเมื่อตรวจสอบพบการใช้งานระบบเครือข่ายไร้สายที่ผิดปกติให้รายงานต่อ ผู้อานวยการศนู ยท์ ราบโดยทนั ที ๘. นโยบายการรักษาความม่ันคงปลอดภัยทางด้านกายภาพและส่ิงแวดล้อม (Physical and Environmental Security) เพอื่ รักษาความม่ันคงปลอดภัยทางด้านกายภาพและส่งิ แวดลอ้ ม มีแนวทางปฏบิ ัติ ดงั นี้ ศูนย์ขอ้ มูลและเครือขา่ ยคอมพิวเตอร์ (๑) ให้ศูนย์เป็นผู้กาหนดพ้ืนท่ีใช้งานระบบสารสนเทศและการส่ือสารให้ชัดเจน และจัดทา แผนผังแสดงตาแหน่งของพื้นทใี่ ช้งานและประกาศให้รับทราบทว่ั กนั โดยการกาหนดพ้ืนท่ี ดังกล่าวแบ่งออกได้เป็นพื้นที่ทางาน พื้นที่ติดต้ังและจัดเก็บอุปกรณ์ระบบสารสนเทศหรือ ระบบเครือขา่ ย และพ้ืนทใ่ี ช้งานระบบเครอื ขา่ ยไร้สาย (๒) ใหศ้ ูนยเ์ ป็นผู้กาหนดสทิ ธิในการเขา้ ถงึ พนื้ ที่ใชง้ านระบบสารสนเทศและการสื่อสาร

-๑๘- (๓) หน่วยงานภายนอกที่นาเครื่องคอมพิวเตอร์ หรืออุปกรณ์ที่ใช้ในการปฏิบัติงานระบบ เครือขา่ ยภายในมหาวิทยาลยั จะต้องไดร้ บั การอนญุ าตจากผู้อานวยการศูนย์ (๔) มีระบบสนับสนุนการทางานของระบบสารสนเทศของมหาวิทยาลัยท่ีเพียงพอต่อความ ต้องการใช้งาน โดยให้มีระบบดับเพลิง ระบบปรับอากาศ และควบคุมความช้ืน และให้มี การตรวจสอบหรือทดสอบระบบสนับสนุนเหล่าน้ันอย่างสม่าเสมอ ให้มั่นใจได้ว่าระบบ ทางานตามปกติและลดความเส่ียงจากการลม้ เหลวในการทางานของระบบ (๕) ติดต้ังระบบแจ้งเตือนเพ่ือแจ้งเตือนกรณีที่ระบบสนับสนุนการทางานภายในห้องเคร่ือง ทางานผดิ ปกติหรอื หยดุ การทางาน ๘.๒ การเดินสายไฟ สายสื่อสาร และสายเคเบิ้ลอนื่ ๆ (๑) หลีกเลี่ยงการเดินสายสัญญาณเครือข่ายของมหาวิทยาลัยในลักษณะที่ต้องผ่านเข้าไปใน บริเวณทมี่ ีบคุ คลภายนอกเข้าถงึ ได้ (๒) ให้มีการป้องกันสายสัญญาณต่างๆ เพ่ือป้องกันการดักจับสัญญาณ หรือการตัด สายสัญญาณเพอื่ ทาใหเ้ กิดความเสยี หาย (๓) ให้เดินสายสัญญาณสื่อสารและสายไฟฟ้าแยกออกจากกันเพ่ือป้องกันการแทรกแซง รบกวนของสญั ญาณซึ่งกนั และกัน (๔) ทาปา้ ยชื่อสาหรบั สายสญั ญาณและบนอุปกรณเ์ พ่ือป้องกนั การตดั ตอ่ สัญญาณผดิ เส้น (๕) จัดทาผงั สายสัญญาณสื่อสารต่างๆ ให้ครบถว้ นและถกู ตอ้ ง (๖) ห้องท่ีมีสายสัญญาณส่ือสารต่างๆ ปิดใส่สลักให้สนิท เพื่อป้องกันการเข้าถึงของ บคุ คลภายนอก (๗) ดาเนินการสารวจระบบสายสัญญาณสื่อสารทั้งหมดเพ่ือตรวจหาการติดต้ังอุปกรณ์ดักจับ สญั ญาณโดยผ้ไู ม่ประสงคด์ ี ๘.๓ การบารุงรักษาอุปกรณ์ ๑. ใหม้ ีกาหนดการบารุงรกั ษาอปุ กรณ์ตามรอบระยะเวลาท่แี นะนาโดยผู้ผลติ (๒) ปฏบิ ตั ติ ามคาแนะนาในการบารุงรกั ษาตามทีผ่ ผู้ ลิตแนะนา (๓) จัดเก็บบันทึกกิจกรรมการบารุงรักษาอุปกรณ์สาหรับการให้บริการทุกคร้ัง เพื่อใช้ในการ ตรวจสอบหรอื ประเมนิ ในภายหลัง (๔) จัดเกบ็ บนั ทึกปัญหาและข้อบกพร่องของอุปกรณ์ที่พบ เพ่ือใชใ้ นการประเมินและปรับปรุง อุปกรณ์ดังกลา่ ว (๕) ควบคุมและสอดส่องดูแลการปฏิบัติงานของผู้ให้บริการภายนอกท่ีมาทาการบารุงรักษา อปุ กรณ์ภายในมหาวทิ ยาลัย (๖) จัดให้มีการอนุมัติสิทธิการเข้าถึงอุปกรณ์ที่มีข้อมูลสาคัญโดยผู้รับจ้างให้บริการจาก ภายนอกทม่ี าทาการบารงุ รักษาอปุ กรณ์ เพือ่ ป้องกันการเข้าถึงขอ้ มลู โดยไม่ไดร้ ับอนุญาต

-๑๙- ๘.๔ การนาทรพั ย์สนิ ของมหาวทิ ยาลยั ออกนอกมหาวทิ ยาลยั (๑) ใหม้ ีการขออนญุ าตกอ่ นนาอปุ กรณห์ รือทรัพยส์ ินน้นั ออกไปใชง้ านนอกมหาวทิ ยาลัย (๒) กาหนดผมู้ ีอานาจในการเคลื่อนยา้ ยหรอื นาอปุ กรณ์ออกนอกมหาวทิ ยาลัย (๓) กาหนดระยะเวลาของการนาอปุ กรณ์ออกไปใช้งานนอกมหาวิทยาลัย (๔) เมือ่ มีการนาอุปกรณส์ ง่ คนื ให้ตรวจสอบว่าสอดคลอ้ งกบั ระยะเวลาที่อนุญาต และ ตรวจสอบการชารุดเสียหายของอุปกรณด์ ้วย (๕) บนั ทกึ ขอ้ มูลการนาอปุ กรณ์ของมหาวทิ ยาลยั ออกไปใชง้ านนอกมหาวิทยาลยั เพอ่ื เอาไวเ้ ป็นหลักฐานปอ้ งกนั การสญู หายรวมท้ังบนั ทกึ ขอ้ มลู เพ่ิมเตมิ เม่ือนาอุปกรณ์สง่ คืน ๘.๕ การจัดการอุปกรณท์ ่ีใชง้ านอยูน่ อกมหาวิทยาลัย (๑) กาหนดมาตรการความปลอดภัยเพื่อป้องกันความเส่ียงจากการนาอุปกรณ์ หรือทรัพย์สิน ของมหาวิทยาลัยออกไปใชง้ าน เช่น การขนสง่ และการเกดิ อบุ ตั ิเหตกุ บั อุปกรณ์ ฯลฯ (๒) ไมท่ ิ้งอุปกรณห์ รอื ทรพั ยส์ นิ ของมหาวิทยาลยั ไว้โดยลาพงั ในทส่ี าธารณะ (๓) เจ้าหนา้ ท่มี ีความรบั ผดิ ชอบดแู ลอปุ กรณ์หรอื ทรัพย์สนิ เสมือนเปน็ ทรพั ยส์ นิ ของตนเอง ๘.๖ การกาจัดอปุ กรณห์ รือการนาอุปกรณ์กลบั มาใชง้ านอกี คร้งั (๑) ใหท้ าลายข้อมูลสาคญั ในอปุ กรณ์กอ่ นทจ่ี ะกาจดั อุปกรณ์ดงั กลา่ ว (๒) มีมาตรการหรือเทคนิคในการลบหรือเขียนข้อมูลทับบนข้อมูลที่มีความสาคัญ ใ น อุ ป ก ร ณ์ ส า ห รั บ จั ด เ ก็ บ ข้ อ มู ล ก่ อ น ท่ี จ ะ อ นุ ญ า ต ใ ห้ ผู้ อื่ น น า อุ ป ก ร ณ์ น้ั น ไ ป ใ ช้ งานตอ่ ไป เพือ่ ป้องกันไม่ให้มีการเข้าถงึ ขอ้ มลู สาคัญน้ันได้ ๘.๗ การรกั ษาความมั่นคงปลอดภยั สาหรบั เอกสารระบบสารสนเทศ (๑) จัดเก็บเอกสารท่ีเกย่ี วขอ้ งกบั ระบบสารสนเทศไว้ในสถานทท่ี ่ีมน่ั คงปลอดภยั (๒) ให้มีการควบคุมการเข้าถึงเอกสารที่เก่ียวข้องกับระบบสารสนเทศโดยผู้เป็น เจ้าของ ระบบน้ัน (๓) ควบคุมการเข้าถึงเอกสารที่เกี่ยวข้องกับระบบสารสนเทศที่จัดเก็บ หรือเผยแพร่อยู่บน เครือข่ายสาธารณะ เช่น อินเทอร์เน็ต เพ่ือป้องกันการเข้าถึง หรือเปล่ียนแปลงแก้ไข เอกสารน้นั ฯลฯ ๙. นโยบำยกำรเขำ้ ถงึ เครอื่ งคอมพวิ เตอร์แม่ข่ำย (Server Access Control) เพ่อื ควบคมุ การเข้าถึงเครอื่ งคอมพิวเตอร์แมข่ ่าย มีแนวทางปฏบิ ัติ ดงั นี้ ๙.๑ ควบคุมการตดิ ตง้ั ซอฟต์แวรล์ งไปยังระบบเคร่ืองคอมพิวเตอร์แมข่ ่ายทใี่ หบ้ รกิ าร (๑) ให้มีการควบคุมการเปลี่ยนแปลงต่อระบบสารสนเทศของมหาวิทยาลัยเพื่อป้องกันความ เสยี หายหรือการหยดุ ชะงักทมี่ ีต่อระบบสารสนเทศนน้ั

-๒๐- (๒) ให้ผู้ดูแลระบบที่ได้รับการอบรมแล้ว หรือมีความชานาญเท่าน้ัน ที่จะเป็นผู้ทาหน้าที่ ดาเนินการเปล่ยี นแปลงตอ่ ระบบสารสนเทศของมหาวทิ ยาลัย (๓) การติดตั้งหรือปรับปรุงซอฟต์แวร์ของระบบสารสนเทศต้องมีการขออนุมัติให้ติดต้ังก่อน ดาเนินการ (๔) ไมค่ วรติดตัง้ รหัสต้นฉบับ (Source Code) ของระบบสารสนเทศในเคร่ืองคอมพิวเตอร์แม่ ขา่ ยท่ีใหบ้ ริการนั้นๆ (๕) กาหนดให้มีการจัดเก็บรหัสต้นฉบับและคลังโปรแกรม (Library) สาหรับซอฟต์แวร์ของ ระบบสารสนเทศไว้ในสถานทท่ี ี่มคี วามม่ันคงปลอดภัย (๖) กาหนดให้ผู้ใชง้ านหรือผู้ที่เก่ียวข้องต้องทาการทดสอบระบบสารสนเทศตามจุดประสงคท์ ี่ กาหนดไว้อย่างครบถ้วนเพียงพอ ก่อนดาเนินการติดตั้งบนเครื่องคอมพิวเตอร์แม่ข่ายท่ี ใหบ้ รกิ าร เช่น ซอฟต์แวรร์ ะบบปฏบิ ตั กิ าร และซอฟต์แวร์ท่เี ป็นตวั ระบบสารสนเทศ ฯลฯ (๗) ให้ผู้ที่เกี่ยวข้องต้องทาการทดสอบด้านความมั่นคงปลอดภัยของระบบสารสนเทศอย่าง ครบถว้ น กอ่ นดาเนินการติดตัง้ บนเครอื่ งใหบ้ รกิ ารระบบสารสนเทศ (๘) ให้มีการจัดเก็บซอฟต์แวร์เวอร์ชันเก่า ข้อมูลท่ีเก่ียวข้องกับระบบสารสนเทศเดิมและ ขั้นตอนปฏิบัติที่เกี่ยวข้องของระบบสารสนเทศในกรณีท่ีจาเป็นต้องกลับไปใช้เวอร์ชันเก่า เหล่าน้นั ตามระยะเวลาทเี่ หมาะสม (๙) ให้มีการระบุความต้องการทางสารสนเทศสาหรับระบบสารสนเทศท่ีต้องการปรับปรุง ก่อนทจ่ี ะเริ่มต้นทาการพฒั นา ๙.๒ ให้มกี ารทบทวนการทางานของระบบสารสนเทศภายหลังจากท่เี ปลี่ยนแปลงระบบปฏิบัติการ (๑) แจ้งให้ผู้ที่เกี่ยวข้องกับระบบสารสนเทศได้รับทราบเกี่ยวกับการเปลี่ยนแปลง ระบบปฏิบัติการเพ่ือให้บุคคลเหล่านั้นมีเวลาเพียงพอในการดาเนินการทดสอบ และทบทวนกอ่ นท่ีจะดาเนินการเปลย่ี นแปลงระบบปฏิบตั ิการ (๒) พิจารณาวางแผนดาเนินเปลี่ยนแปลงระบบปฏิบัติการของระบบสารสนเทศ รวมทั้ง วางแผนด้านงบประมาณท่ีจาเป็นต้องใช้ในกรณีท่ีมหาวิทยาลัยต้องเปล่ียนไปใช้ ระบบปฏบิ ตั ิการใหม่ ๙.๓ การพฒั นาซอฟต์แวรโ์ ดยหนว่ ยงานภายนอก (๑) ควรจัดให้มีการควบคมุ การพฒั นาซอฟต์แวร์ท่ีจดั จา้ งจากบคุ คลหรือหนว่ ยงานภายนอก (๒) ให้ระบุว่าใครจะเป็นผู้มีสิทธิในทรัพย์สินทางปัญญาสาหรับรหัสต้นฉบับ ในการพัฒนา ซอฟต์แวรโ์ ดยผู้รับจ้างใหบ้ รกิ ารจากภายนอก (๓) ให้กาหนดเรื่องการสงวนสทิ ธิท่จี ะตรวจสอบด้านคุณภาพและความถกู ต้องของซอฟต์แวร์ท่ี จะมีการพัฒนาโดยผู้ให้บริการภายนอกโดยระบุไว้ในสัญญาจ้างที่ทากับผู้ให้บริการ ภายนอกนน้ั ๙.๔ มาตรการควบคมุ ชอ่ งโหวท่ างเทคนคิ (๑) กาหนดใหม้ ีการจัดทาบญั ชีของระบบสารสนเทศเพ่ือใชส้ าหรับกระบวนการบรหิ ารจัดการ ช่องโหว่ของระบบเหล่าน้ัน ควรมีการบันทกึ ดังตอ่ ไปนี้

-๒๑- - ชอ่ื ซอฟตแ์ วรแ์ ละเวอรช์ นั ที่ใช้งาน - สถานท่ีทีต่ ิดตั้ง - เครอ่ื งที่ตดิ ต้งั - ผูผ้ ลิตซอฟตแ์ วร์ - ข้อมูลสาหรับติดตอ่ ผู้ผลติ หรอื ผู้พฒั นาซอฟตแ์ วรน์ น้ั ๆ (๒) กาหนดใหม้ กี ารจัดการกับช่องโหว่สาคัญของระบบสารสนเทศอย่างเหมาะสมโดยทนั ที (๓) กระบวนการบริหารจัดการช่องโหว่ของระบบสารสนเทศให้ผู้ดูแลระบบการดาเนินการ ดงั น้ี - มกี ารเฝ้าระวังและติดตาม ประเมินความเส่ยี งสาหรับช่องโหวข่ องระบบสารสนเทศ รวมท้งั การประสานงานเพ่ือให้ผู้ท่เี กยี่ วขอ้ งดาเนินการแก้ไขชอ่ งโหวต่ ามความ เหมาะสม - ใหก้ าหนดแหลง่ ข้อมูลข่าวสารเพอื่ ใช้ในการตดิ ตามชอ่ งโหว่ของระบบสารสนเทศของ มหาวิทยาลัย (๔) ปิดการใช้งานหรือควบคุมการเข้าถึงพอร์ตท่ีใช้สาหรับตรวจสอบ และปรับแต่งระบบให้ใช้ งานได้อย่างจากัดระยะเวลาเท่าท่ีจาเป็น โดยต้องได้รับการอนุญาตจากผู้รับผิดชอบเป็นลาย ลกั ษณ์อักษร ๙.๕ การบันทึกเหตุการณ์ท่ีเก่ียวข้องกับการใช้งานระบบสารสนเทศ (Audit Logging) มีการบันทึก พฤตกิ รรมการใชง้ าน (Log) การเข้าถึงระบบสารสนเทศ ดงั น้ี (๑) ขอ้ มูลชอ่ื บญั ชีผใู้ ช้งาน (๒) ขอ้ มลู วนั เวลาทเี่ ข้าถงึ ระบบ (๓) ขอ้ มูลวันเวลาท่ีออกจากระบบ (๔) ขอ้ มลู เหตกุ ารณส์ าคญั ทเ่ี กิดข้ึน (๕) ขอ้ มูลการลอ็ กอิน ทั้งท่ีสาเร็จและไมส่ าเรจ็ (๖) ขอ้ มูลความพยายามในการเข้าถงึ ทรัพยากรทง้ั ทสี่ าเรจ็ และไมส่ าเร็จ (๗) ขอ้ มูลการเปล่ียนคอนฟกิ กูเรชนั (Configuration) ของระบบ (๘) ข้อมลู แสดงการใช้งานแอปพลิเคชนั (๙) ข้อมูลแสดงการเข้าถึงไฟล์และการกระทากบั ไฟล์ เช่น เปดิ ปิด เขยี น หรืออ่านไฟล์ ฯลฯ (๑๐) ข้อมูลเลขท่ีอยู่ไอพที เ่ี ขา้ ถึง (๑๑) ข้อมูลโพรโทคอลเครือขา่ ยท่ใี ช้ (๑๒) ข้อมลู แสดงการหยดุ การทางานของระบบป้องกันไวรัสคอมพิวเตอร์ (๑๓) ขอ้ มูลแสดงการสารองขอ้ มูลไม่สาเรจ็

-๒๒- ๑๐. นโยบายการใช้งานเคร่ืองคอมพิวเตอร์ส่วนบุคคลและเคร่ืองคอมพิวเตอร์แบบพกพา (Personal Computer and Portable) เพือ่ ควบคุมการใช้งานเคร่ืองคอมพิวเตอร์ส่วนบุคคลและเครื่องคอมพิวเตอร์แบบพกพา มแี นวทาง ปฏบิ ตั ิ ดังนี้ ๑๐.๑ การใช้งานทว่ั ไป (๑) เครื่องคอมพิวเตอร์ที่มหาวิทยาลัยอนุญาตให้ผู้ใช้งาน ใช้งานเป็นทรัพย์สินของ มหาวทิ ยาลัย ดงั นั้น ผู้ใช้งานจึงควรใชง้ านเคร่อื งคอมพิวเตอร์อย่างมีประสิทธภิ าพเพื่องาน ของมหาวิทยาลัย (๒) โปรแกรมที่ได้ถูกติดต้ังลงบนเคร่ืองคอมพิวเตอร์ของมหาวิทยาลัย ต้องเป็นโปรแกรมที่ มหาวิทยาลัยได้ซื้อลิขสิทธิ์มาอย่างถูกต้องตามกฎหมาย ดังนั้น ห้ามผู้ใช้งานคัดลอก โปรแกรมตา่ งๆ และนาไปตดิ ตง้ั บนเครื่องคอมพวิ เตอรส์ ว่ นตัวหรือแกไ้ ข หรอื นาไปให้ผู้อื่น ใชง้ านโดยผดิ กฎหมาย (๓) ไม่อนุญาตให้ผู้ใช้งานทาการติดตั้งและแก้ไขเปลี่ยนแปลงโปรแกรมในเครื่องคอมพิวเตอร์ ของมหาวิทยาลัย (๔) การเคล่ือนย้ายหรือส่งเครื่องคอมพิวเตอร์ไปตรวจซ่อมจะต้องดาเนินการโดยเจ้าหน้าท่ี ของศูนย์หรือผู้รับจ้างในการบารุงรักษาเคร่ืองคอมพิวเตอร์ และอุปกรณ์ที่ได้ทาสัญญากบั มหาวทิ ยาลยั เท่าน้นั (๕) ก่อนการใช้งานส่ือบันทึกพกพาต่างๆ ต้องมีการตรวจสอบเพ่ือหาไวรัสโดยโปรแกรม ป้องกนั ไวรัส (๖) ไม่วางสื่อแม่เหล็กไว้ใกล้หน้าจอเครื่องคอมพิวเตอร์ หรือส่ือบันทึกที่อาจก่อให้เกิดความ เสยี หายได้ (๗) ในกรณีที่ต้องการเคลื่อนย้ายเครื่องคอมพิวเตอร์แบบพกพาควรใส่กระเป๋าสาหรับเครื่อง คอมพิวเตอร์แบบพกพา เพื่อป้องกันอันตรายที่เกิดจากการกระทบกระเทือน เช่น การตก จากโตะ๊ ทางาน หรอื หลดุ มือ ฯลฯ (๘) การใช้เครื่องคอมพวิ เตอร์แบบพกพาเป็นระยะเวลานานเกินไป ในสภาพท่มี อี ากาศร้อนจัด ควรปดิ เครื่องคอมพิวเตอร์ เพือ่ เป็นการพักเคร่อื งสกั ระยะหน่งึ กอ่ นเปิดใช้งานใหม่อกี คร้ัง (๙) ไม่วางของทับบนหน้าจอและแป้นพิมพ์ (๑๐) การเคล่ือนย้ายเครื่องขณะท่ีเครื่องเปิดใช้งานอยู่ ให้ทาการยกจากฐานภายใต้แป้นพิมพ์ ห้ามยา้ ยเครื่องโดยการดงึ หนา้ จอภาพขน้ึ (๑๑) ไมใ่ ช้หรือวางเคร่ืองคอมพวิ เตอร์แบบพกพาใกลส้ ิ่งที่เป็นของเหลว ความชน้ื เช่น อาหาร นา้ กาแฟ และเครอ่ื งด่ืมตา่ งๆ ฯลฯ (๑๒) ผใู้ ชง้ านมหี น้าท่รี ับผิดชอบในการป้องกันการสูญหาย เชน่ ควรลอ็ คเครื่องขณะที่ไม่ได้ใช้ งาน ไมว่ างเคร่อื งทิง้ ไว้ในที่สาธารณะ หรือในบริเวณทม่ี ีความเสยี่ งต่อการสญู หาย ฯลฯ (๑๓) ห้ามมิให้ผู้ใช้งานทาการเปลี่ยนแปลงแก้ไขส่วนประกอบย่อย (Sub Component) ทีต่ ดิ ต้งั อยภู่ ายในรวมถึงแบตเตอรี่

-๒๓- ๑๐.๒ การสารองข้อมลู และการกู้คนื (๑) ผู้ใช้งานต้องรับผิดชอบในการสารองข้อมลู จากเคร่อื งคอมพวิ เตอร์ไวบ้ นสื่อบันทึกอน่ื ๆ เช่น CD, DVD, Flash Drive, External Hard Disk ฯลฯ (๒) ผู้ใช้งานมีหน้าท่ีเก็บรักษาส่ือข้อมูลสารอง (Backup Media) ไว้ในสถานท่ีที่เหมาะสม ไมเ่ สีย่ งตอ่ การรัว่ ไหลของขอ้ มูล และทดสอบการกู้คืนขอ้ มูลท่สี ารองไว้อย่างสม่าเสมอ (๓) ผใู้ ช้งานควรประเมินความเสย่ี งวา่ ข้อมูลที่เก็บไว้บน Hard Disk ไม่ควรจะเปน็ ข้อมูลสาคัญ เกี่ยวข้องกบั การทางาน ๑๑. นโยบายการบริหารจดั การการเข้าถงึ ขอ้ มลู ตามระดับชน้ั ความลับ (Data Confidence) เพอื่ ใชใ้ นการบริหารจัดการการเข้าถงึ ขอ้ มลู ตามระดับชั้นความลบั มีแนวทางปฏบิ ตั ิ ดงั น้ี ๑๑.๑ ผู้ดูแลระบบ ต้องกาหนดขั้นความลับของข้อมูล วิธีปฏิบัติในการจัดเก็บข้อมูลและวิธีปฏบิ ัติ ในการควบคุมการเข้าถึงข้อมูลแต่ละประเภท ช้ันความลับทั้งการเข้าถึงโดยตรงและการเข้าถึงผ่านระบบ สารสนเทศ รวมถึงวิธกี ารทาลายขอ้ มูลแตล่ ะประเภทช้นั ความลับ ๑๑.๒ เจ้าของข้อมูล จะต้องมีการทบทวนความเหมาะสมของสิทธใิ นการเข้าถึงข้อมูลของผู้ใช้งาน เหลา่ น้ี ปลี ะ ๑ ครั้ง เพ่ือใหม้ น่ั ใจไดว้ ่าสิทธติ า่ งๆ ที่ใหไ้ ว้ยังคงมีความเหมาะสม ๑๑.๓ วธิ ปี ฏบิ ัติในการควบคุมการเขา้ ถึงขอ้ มลู แตล่ ะประเภทช้นั ความลับทั้งการเข้าถึงโดยตรงและ การเข้าถึงผ่านระบบสารสนเทศ ผู้ดูแลระบบต้องกาหนดชื่อผู้ใช้งาน และรหัสผ่าน เพื่อใช้ในการตรวจสอบ ตวั ตนจริงของผ้ใู ช้ข้อมลู ในแต่ละชน้ั ความลับขอ้ มลู ๑๑.๔ การรับส่งข้อมูลสาคัญผ่านเครือข่ายสาธารณะ ควรได้รับการเข้ารหัสลับ (Encryption) ทีเ่ ป็นมาตรฐานสากล เช่น SSL, VPN หรอื XML Encryption ฯลฯ ๑๒. นโยบายการควบคมุ การใชง้ านระบบจดหมายอเิ ล็กทรอนกิ ส์ (E-mail) เพอ่ื ควบคุมการใชง้ านระบบจดหมายอิเล็กทรอนิกส์ มแี นวทางปฏิบตั ิ ดงั น้ี ๑๒.๑ การใชง้ านสาหรับผู้ใช้งาน ๑. ผู้ใช้งานท่ีต้องใช้งานจดหมายอิเล็กทรอนิกส์ของมหาวิทยาลัยต้องทาการ กรอกข้อมูลคา ขอเข้าใช้งาน และย่ืนคาขอกับเจ้าหน้าที่เพื่อดาเนินการกาหนดสิทธิช่ือผู้ใช้งานรายใหม่ และรหัสผ่าน ๒. เมอ่ื ไดร้ ับรหสั ผา่ นจะต้องเปลย่ี นรหสั ผ่านโดยทนั ที หลังจากการเข้าสรู่ ะบบเปน็ คร้ังแรก ๓. ต้องใช้จดหมายอิเลก็ ทรอนกิ สข์ องมหาวทิ ยาลัยเพือ่ ตดิ ตอ่ งานของราชการเท่านนั้ ๔. ไม่ควรใช้บญั ชจี ดหมายอิเล็กทรอนิกสข์ องผอู้ ื่นเพ่ืออา่ น รับส่งขอ้ ความ ยกเวน้ จะได้รบั การ ยินยอมจากเจ้าของจดหมายอิเล็กทรอนิกส์ และให้ถือว่าเจ้าของจดหมายอิเล็กทรอนิกส์ เป็นผรู้ บั ผิดชอบตอ่ การใช้งานตา่ งๆ ในจดหมายอเิ ลก็ ทรอนิกส์ของตน ๕. หลังจากการใชง้ านควรลงชอ่ื ออกจากระบบทุกครั้ง เพอ่ื ปอ้ งกนั บุคคลอ่ืนเข้าใช้งานระบบ (๗) ในกรณีที่ต้องการส่งข้อมูลที่เป็นความลับ ผู้ใช้งานไม่ควรระบุความสาคัญของข้อมูลลงใน หวั ข้อจดหมายอเิ ล็กทรอนิกส์

-๒๔- (๘) ควรตรวจสอบและลบจดหมายอิเล็กทรอนิกส์ของตนเองทุกวนั เพอื่ ลดปรมิ าณการใช้พ้ืนท่ี ของระบบจดหมายอิเลก็ ทรอนิกสใ์ หเ้ หลอื จานวนน้อยที่สดุ (๙) ผู้ใช้งานมีหน้าท่ีจะต้องรักษาช่ือผู้ใช้งาน และรหัสผ่าน เป็นความลับไม่ให้รั่วไหลไปถึง บุคคลท่ไี ม่เกย่ี วขอ้ ง (๑๐) ปฏิบัติตามวิธีการใช้งานรหัสผา่ น (Password Use) ทไ่ี ดก้ าหนดไวอ้ ยา่ งเคร่งครัด ๑๒.๒ แนวทางการควบคุมการใช้งานสาหรบั ผู้ดูแลระบบ (System Administrator) (๑) กาหนดสิทธิเข้าถึงระบบจดหมายอิเล็กทรอนิกส์ของมหาวิทยาลัยให้เหมาะสมกับการเข้า ใช้บริการของผ้ใู ช้ระบบ และหน้าทค่ี วามรบั ผิดชอบของผู้ใช้งาน (๒) กาหนดจานวนคร้ังทีย่ อมให้ผู้ใชง้ านใส่รหัสผา่ น (Password) ผิดพลาดไดไ้ มเ่ กนิ ๕ ครั้ง (๓) มีการทบทวนสิทธิการเข้าใช้งานและปรับปรุงบัญชีผู้ใช้งาน ปีละ ๑ คร้ัง หรือเม่ือมีการ เปลยี่ นแปลง เช่น มกี ารลาออกหรือเปลย่ี นแปลงตาแหน่ง โอนย้าย หรอื สนิ้ สุดการจ้าง ฯลฯ (๔) มีการควบคุมการเข้าถึงระบบตามแนวทางการบริหารจัดการเข้าถึงผู้ใช้งาน (User Access Management) ที่ได้กาหนดไวอ้ ยา่ งเคร่งครัด ๑๓. นโยบายการใชง้ านระบบอินเทอร์เนต็ (Internet) เพือ่ ควบคุมการใชง้ านระบบอนิ เทอร์เนต็ มีแนวทางปฏบิ ัติ ดังนี้ ๑๓.๑ กาหนดเส้นทางการเชื่อมต่อระบบคอมพิวเตอร์เพ่ือการเข้าใช้งานระบบอินเทอร์เน็ตท่ี เช่ือมต่อผ่านระบบรักษาความปลอดภัยที่มหาวิทยาลัยจัดสรรไว้เท่าน้ัน ห้ามผู้ใช้งานทาการเชื่อมต่อระบบ คอมพวิ เตอร์ผ่านช่องทางอนื่ ท่ีไม่ได้รบั การอนุมัตจิ ากผูอ้ านวยการศูนย์ ๑๓.๒ การใช้งานเครื่องคอมพิวเตอร์จะต้องมีการติดตั้งโปรแกรมป้องกันไวรัส และทาการอุดช่อง โหวก่ อ่ นทจ่ี ะทาการเช่ือมต่อระบบอนิ เทอร์เน็ตผ่านเว็บบราวเซอร์ ๑๓.๓ ผใู้ ชง้ านต้องเขา้ ถงึ แหล่งขอ้ มูลตามสิทธทิ ่ไี ดร้ บั ตามหน้าทค่ี วามรับผดิ ชอบ เพือ่ ประสิทธิภาพ ของระบบเครือข่ายและความปลอดภัยทางข้อมูลของมหาวิทยาลัย และต้องไม่ใช้ระบบอินเทอร์เน็ตของ มหาวิทยาลัยเพื่อหาประโยชน์ในเชิงพาณิชย์เป็นการส่วนบุคคล และทาการเข้าสู่เว็บไซต์ที่ไม่เหมาะสม เช่น เว็บไซต์ท่ีขัดต่อศีลธรรม เว็บไซต์ท่ีมีเนื้อหาอันอาจกระทบกระเทือน หรือเป็นภัยต่อความมั่นคงแห่งชาติ ศาสนา พระมหากษัตริย์ หรือเว็บไซต์ท่ีเป็นภัยต่อสังคม หรือละเมิดสิทธิของผู้อ่ืน หรือข้อมูลที่อาจก่อความ เสยี หายให้กับมหาวิทยาลัย ฯลฯ ๑๓.๔ ห้ามผู้ใช้งานเปิดเผยข้อมูลสาคัญที่เป็นความลับเก่ียวกับงานของมหาวิทยาลัยที่ยังไม่ได้ ประกาศอย่างเป็นทางการผา่ นระบบอนิ เทอรเ์ นต็ ๑๓.๕ ผู้ใช้งานต้องระมัดระวังการดาวน์โหลดโปรแกรมใช้งานจากระบบอินเทอร์เน็ต ซึ่งรวมถึง การดาวนโ์ หลดการปรับปรุงโปรแกรมตา่ งๆ ต้องเปน็ ไปโดยไมล่ ะเมิดลขิ สิทธ์หิ รอื ทรัพยส์ นิ ทางปญั ญา ๑๓.๖ ในการใช้งานกระดานสนทนาอิเล็กทรอนิกส์ ผู้ใช้งานต้องไม่เปิดเผยข้อมูลท่ีสาคัญและเป็น ความลับของมหาวิทยาลัย ไม่เสนอความคิดเห็น หรือใช้ข้อความที่ย่ัวยุ ให้ร้าย จะทาให้เกิดความเส่ือมเสียต่อ ชอ่ื เสียงของมหาวทิ ยาลัย การทาลายความสมั พนั ธ์กับบคุ ลากรของหน่วยงานอื่นๆ ๑๓.๗ หลังจากใช้งานระบบอินเทอร์เนต็ เสร็จแล้ว ให้ผู้ใช้งานทาการปิดเวบ็ บราวเซอร์เพื่อป้องกนั การเขา้ ใชง้ านโดยบุคคลอ่นื ๆ

-๒๕- ๑๔. นโยบำยกำรใช้งำนเครือขำ่ ยสงั คมออนไลน์ (Social Network) เพือ่ ควบคุมการใชง้ านเครอื ขา่ ยสังคมออนไลน์ใหม้ ีความม่ันคงปลอดภยั มีแนวทางปฏิบัติ ดงั นี้ ๑๔.๑ อนุญาตให้ใช้งานเครือข่ายสังคมออนไลน์ในรูปแบบและลักษณะตามที่มหาวิทยาลัยได้ กาหนดไว้เทา่ น้นั ๑๔.๒ ผู้ใช้งานที่ใช้งานเครือข่ายสังคมออนไลน์ ท่ีอาจมีผลกระทบกับมหาวิทยาลัย ผู้ใช้งานต้อง แจ้งต่อศูนยโ์ ดยเร็วที่สดุ เพือ่ ดาเนินการตามความเหมาะสม ๑๕. นโยบำยกำรจัดเก็บข้อมูลจรำจรคอมพวิ เตอร์ (Computer Traffic Log) เพื่อให้ข้อมูลจราจรทางคอมพิวเตอร์ (Log) มีความถูกต้องและสามารถระบุถึงตัวบุคคลได้ มแี นวทางปฏิบัติ ดงั นี้ ๑๕.๑ จัดเก็บข้อมูลจราจรทางคอมพิวเตอร์ (Log) ไว้ในส่ือเก็บข้อมูลที่สามารถรักษาความ ครบถ้วน ถูกต้อง แท้จริง ระบุตัวบุคคลที่เข้าถึงสื่อดังกล่าวได้ และข้อมูลท่ีใช้ในการจัดเก็บต้องกาหนดช้ัน ความลับในการเข้าถึง ๑๕.๒ ห้ามผู้ดูแลระบบแก้ไขข้อมูลท่ีเก็บรักษาไว้ ยกเว้นผู้ตรวจสอบระบบสารสนเทศของ มหาวทิ ยาลัย (IT Auditor) หรือบุคคลท่มี หาวทิ ยาลยั มอบหมาย ๑๕.๓ กาหนดให้มีการบันทึกการทางานของระบบบันทึกการปฏิบัติงานของผู้ใช้งาน (Application Logs) และบันทึกรายละเอียดของระบบป้องกันการบุกรุก เช่น การบันทึกการเข้า-ออกระบบ บันทึกการพยายามเข้าสู่ระบบ ฯลฯ เพ่ือประโยชน์ในการใชต้ รวจสอบและต้องเก็บบันทึกไว้ ๙๐ วัน นับต้ังแต่ การใช้งานส้นิ สดุ ลง ๑๕.๔ ต้องมีวิธีการป้องกันการแก้ไขเปลี่ยนแปลงบันทึกต่างๆ และจากัดสิทธิการเข้าถึงบันทึก เหลา่ น้นั ให้เฉพาะบุคคลที่เกี่ยวข้องเท่านนั้

-๒๖- ส่วนท่ี ๒ นโยบายระบบสารสนเทศและระบบสารองของสารสนเทศ วตั ถปุ ระสงค์ ๑. เพอ่ื ให้ระบบสารสนเทศของมหาวทิ ยาลยั ใหบ้ รกิ ารได้อยา่ งตอ่ เน่ือง ๒. เพื่อเป็นมาตรฐาน แนวทางปฏิบัติและความรับผิดชอบของผู้ดูแลระบบในการปฏิบัติงานให้กับ มหาวิทยาลัยเปน็ ไปอยา่ งเครง่ ครดั และตระหนกั ถงึ ความสาคญั ของการรกั ษาความมน่ั คงปลอดภยั ผ้รู ับผดิ ชอบ ๑. ศูนย์คอมพวิ เตอร์ ๒. สถานส่งเสรมิ และพัฒนาระบบสารสนเทศเพ่ือการจดั การ ๓. ผู้ดแู ลระบบทไี่ ดร้ บั มอบหมาย อา้ งองิ มาตรฐาน - มาตรฐานการรักษาความม่ันคงปลอดภัยในการประกอบธุรกรรมทางอิเล็กทรอนิกส์ (เวอรช์ นั ๒.๕) แนวปฏบิ ัติ ๑. ต้องพิจารณาคัดเลือกระบบสารสนเทศที่สาคัญและจัดทาระบบสารองท่ีเหมาะสมให้อยู่ในสภาพ พรอ้ มใชง้ าน ตามแนวทางต่อไปนี้ ๑.๑ มีการจัดทาบัญชีระบบสารสนเทศที่มีความสาคัญท้ังหมดของมหาวิทยาลัย พร้อมท้ังกาหนด ระบบสารสนเทศทจี่ ะจดั ทาระบบสารอง และจัดทาระบบแผนเตรียมพร้อมกรณฉี ุกเฉนิ ปลี ะ ๑ คร้งั ๑.๒ กาหนดให้มีการสารองข้อมูลของระบบสารสนเทศแต่ละระบบ และกาหนดความถ่ีในการ สารองข้อมูล หากระบบใดท่ีมีการเปลี่ยนแปลงบ่อย ควรกาหนดใหม้ คี วามถใ่ี นการสารองข้อมูลมากข้ึนโดยให้มี วธิ ีการสารองขอ้ มูล ดังนี้ - กาหนดประเภทของขอ้ มลู ท่ตี ้องทาการสารองเก็บไว้ และความถใ่ี นการสารอง - กาหนดรูปแบบสารองข้อมูลให้เหมาะสมกับข้อมูลที่จะทาการสารอง เช่น การสารองข้อมูล แบบเตม็ (Full Backup) หรอื การสารองขอ้ มลู แบบสว่ นตา่ ง (Incremental Backup) ฯลฯ - บันทึกข้อมูลท่ีเก่ียวข้องกับกิจกรรมการสารองข้อมูล ได้แก่ ผู้ดาเนินการ วัน/เวลา ช่ือข้อมูล ทส่ี ารอง สาเร็จ/ไม่สาเรจ็ เป็นตน้ - ตรวจสอบข้อมูลท้ังหมดระบบว่ามีการสารองข้อมูลไว้อย่างครบถ้วน เช่น ซอฟต์แวร์ต่างๆ ท่เี ก่ยี วขอ้ งกับระบบสารสนเทศ ข้อมูลคอนฟิกกูเรชนั (Configuration) ขอ้ มลู ในฐานขอ้ มูล ฯลฯ - จัดเก็บข้อมูลท่ีสารองน้ันในส่ือเก็บข้อมูล โดยมีการพิมพ์ช่ือบนสื่อเก็บสารองกับมหาวิทยาลยั ควรห่างกันเพียงพอเพ่ือไม่ให้ส่งผลกระทบต่อข้อมูลท่ีจัดเก็บไว้นอกสถานที่นั้น ในกรณีท่ีเกิด ภยั พิบัติกบั มหาวทิ ยาลัย เชน่ ไฟไหม้ นา้ ทว่ ม ฯลฯ

-๒๗- - ดาเนินการปอ้ งกันทางกายภาพอย่างเพียงพอต่อสถานที่สารองท่ีใชจ้ ัดเกบ็ ข้อมลู นอกสถานที่ - ทดสอบบันทึกข้อมูลสารองอย่างสม่าเสมอ เพื่อตรวจสอบว่ายังคงสามารถเข้าถึงข้อมูลได้ ตามปกติ - จดั ทาขั้นตอนปฏิบตั สิ าหรบั การก้คู นื ข้อมลู ท่เี สยี หายจากข้อมลู ท่ีได้สารองเกบ็ ไว้ - ตรวจสอบและทดสอบประสทิ ธผิ ลของขั้นตอนปฏิบตั ิในการกู้คนื ข้อมลู อย่างสมา่ เสมอ - กาหนดให้มกี ารใชง้ านการเขา้ รหสั ขอ้ มูลกับข้อมูลลับทไ่ี ดส้ ารองเกบ็ ไว้ ๒. ต้องจัดทาแผนเตรียมความพร้อมกรณีฉุกเฉินในกรณีที่ไม่สามารถดาเนินการด้วยวิธีการทาง อิเล็กทรอนิกส์ เพ่ือให้สามารถใช้งานสารสนเทศได้ตามปกติอย่างต่อเนื่อง โดยต้องปรับปรุงแผนเตรียมความ พร้อมกรณีฉุกเฉินดังกล่าว ให้สามารถปรับใช้ได้อย่างเหมาะสมและสอดคล้องกับการใช้งานตามภารกิจ ตามแนวทางตอ่ ไปนี้ ๒.๑ มีการจัดทาแผนเตรียมความพร้อมกรณีฉุกเฉินในกรณีที่ไม่สามารถดาเนินการด้วยวิธีการทาง อเิ ลก็ ทรอนิกส์ โดยมรี ายละเอียด ดงั นี้ (๑) มกี ารกาหนดหน้าท่แี ละความรบั ผิดชอบของผทู้ ่เี กย่ี วข้องทั้งหมด (๒) มีการประเมินความเส่ียงสาหรับระบบท่ีมีความสาคัญเหล่านั้น และกาหนดมาตรการ เพื่อลดความเส่ียงเหล่าน้ัน เช่น ไฟดับเป็นระยะเวลานาน ไฟไหม้ แผ่นดินไหว การชุมนุม ประทว้ งทาให้ไมส่ ามารถเขา้ มาใชร้ ะบบงานได้ ฯลฯ (๓) มกี ารกาหนดข้นั ตอนปฏิบตั ใิ นการกคู้ นื ระบบสารสนเทศ (๔) มีการกาหนดขั้นตอนปฏิบัติในการสารองข้อมูล และทดสอบกู้คืนข้อมูลท่ีสารองไว้มีการ กาหนดช่องทางในการติดต่อกับผู้ให้บริการภายนอก เช่น ผู้ให้บริการเครือข่ายฮาร์ดแวร์ ซอฟตแ์ วร์ ฯลฯ เมอื่ เกิดเหตุจาเปน็ ที่จะตอ้ งตดิ ต่อ (๕) การสรา้ งความตระหนัก หรอื ใหค้ วามรแู้ ก่เจ้าหน้าท่ผี ทู้ ีเ่ ก่ียวข้องกับขน้ั ตอนการปฏิบตั ิหรอื สงิ่ ทที่ าเมอ่ื เกดิ เหตเุ ร่งด่วน ๒.๒ มีการทบทวนเพื่อปรับปรุงแผนเตรียมความพร้อมกรณีฉุกเฉินดังกล่าว ให้สามารถปรับใช้ได้ อยา่ งเหมาะสม และสอดคล้องกบั การใช้งานตามภารกิจ ปลี ะ ๑ คร้งั ๓. ต้องมีการกาหนดหน้าที่และความรับผิดชอบของบุคลากรซึ่งดูแลรับผิดของระบบสารสนเทศ ระบบสารอง และการจัดทาแผนเตรียมพร้อมกรณีฉุกเฉินในกรณีที่ไม่สามารถดาเนินการด้วยวิธีการทาง อเิ ลก็ ทรอนิกส์ ๔. ต้องมีการทดสอบสภาพพร้อมใช้งานระบบสารสนเทศ ระบบสารอง และระบบแผนเตรียมพร้อม กรณีฉกุ เฉนิ ปีละ ๑ คร้งั ๕. มีการทบทวนระบบสารสนเทศ ระบบสารอง และระบบแผนเตรียมพร้อมกรณีฉุกเฉิน ที่เพียงพอต่อ สภาพความเสีย่ งท่ยี อมรับไดข้ องแตล่ ะหนว่ ยงานในมหาวิทยาลยั ปีละ ๑ คร้งั

-๒๘- สว่ นที่ ๓ นโยบายการตรวจสอบและประเมินความเส่ียงด้านสารสนเทศ วตั ถปุ ระสงค์ ๑. เพ่ือใหม้ กี ารตรวจสอบและประเมนิ ความเสยี่ งของระบบสารสนเทศ ๒. เพอ่ื เปน็ การป้องกันและลดระดับความเส่ียงท่ีอาจจะเกดิ ข้นึ กับระบบสารสนเทศ ผู้รบั ผดิ ชอบ ๑. ศนู ย์คอมพิวเตอร์ ๒. หน่วยตรวจสอบภายใน (Internal Auditing Unit) ๓. ผูด้ แู ลระบบท่ีไดร้ บั มอบหมาย อ้างองิ มาตรฐาน - มาตรฐานการรักษาความม่นั คงปลอดภยั ในการประกอบธุรกรรมทางอิเล็กทรอนิกส์ (เวอร์ชนั ๒.๕) แนวปฏิบตั ิ ๑. มีการตรวจสอบและประเมินความเสี่ยงด้านสารสนเทศ โดยมเี น้อื หา ดังนี้ ๑.๑ ตรวจสอบและประเมินความเส่ียงด้านสารสนเทศที่อาจเกิดขึ้นกับระบบสารสนเทศ (Information Security Audit and Assessment) ปีละ ๑ คร้ัง ๑.๒ ตรวจสอบและประเมนิ ความเสี่ยงที่ดาเนนิ การโดยหนว่ ยตรวจสอบภายใน เพื่อให้มหาวิทยาลยั ไดท้ ราบถึงระดบั ความเสี่ยงและระดับความมัน่ คงปลอดภัยสารสนเทศ ๒. มแี นวทางในการตรวจสอบและประเมนิ ความเส่ยี งทตี่ ้องคานงึ ถึง ดังน้ี ๒.๑ มีการทบทวนกระบวนการบริหารจัดการความเสย่ี ง ปีละ ๑ ครง้ั ๒.๒ มกี ารทบทวนนโยบายและมาตรการในการรักษาความม่ันคงปลอดภยั ด้านสารสนเทศ ปลี ะ ๑ ครงั้ ๒.๓ มกี ารตรวจสอบและประเมนิ ความเส่ยี ง และใหจ้ ดั ทารายงานพร้อมข้อเสนอแนะ ๒.๔ มีมาตรการในการตรวจประเมินระบบสารสนเทศ ดังนี้ (๑) ควรกาหนดใหผ้ ูต้ รวจสอบสามารถเข้าถึงข้อมลู ทจ่ี าเป็นต้องตรวจสอบได้แบบอา่ นอย่างเดยี ว (๒) ในกรณีที่จาเป็นต้องเข้าถึงข้อมูลในแบบอื่นๆ ให้สร้างสาเนาสาหรับข้อมูลน้ัน เพื่อให้ผู้ ตรวจสอบใช้งาน รวมทั้งควรทาลายหรือลบโดยทันทีท่ีตรวจสอบเสร็จ หรือต้องจัดเก็บไว้ โดยมีการป้องกันเปน็ อยา่ งดี (๓) ควรกาหนดให้มีการระบุและจัดสรรทรัพยากรท่ีจาเป็นต้องใช้ในการตรวจสอบระบบ บริหารจัดการความม่ันคงปลอดภัย (๔) ควรกาหนดให้มีการเฝ้าระวังการเข้าถึงระบบโดยผู้ตรวจสอบ รวมท้ัง บันทึกข้อมูล Log แสดงการเข้าถึงนั้น ซ่งึ รวมถงึ วันและเวลาทเี่ ข้าถงึ ระบบงานทสี่ าคญั ๆ

-๒๙- (๕) ในกรณีที่มีเคร่ืองมือสาหรับการตรวจประเมินระบบสารสนเทศ ควรกาหนดให้แยกการ ติดตั้งเคร่ืองมือท่ีใช้ในการตรวจสอบ ออกจากระบบให้บริการจริงหรือระบบที่ใช้ในการ พัฒนา และมีการจดั เก็บปอ้ งกนั เคร่ืองมือนั้นจากการเขา้ ถงึ โดยไมไ่ ดร้ ับอนุญาต ๓. มีการรายงานผลการประเมินความเสี่ยงด้านสารสนเทศ ปีละ ๑ ครั้ง ต่อคณะกรรมการเทคโนโลยี สารสนเทศและการสอ่ื สาร และแจง้ คณะกรรมการบรหิ ารความเสี่ยงของมหาวทิ ยาลยั เพื่อดาเนนิ การตอ่ ไป ๔. มกี ารแสดงผลการตรวจสอบตามนโยบายการรักษาความม่ันคงปลอดภยั ด้านสารสนเทศเป็นสว่ นหนึ่ง ของการรายงานผลการติดตาม ตรวจสอบ และประเมินผลงาน ด้านเทคโนโลยีสารสนเทศและการส่ือสาร

-๓๐- ส่วนท่ี ๔ นโยบายการสร้างความรูค้ วามเขา้ ใจในการใชร้ ะบบสารสนเทศและระบบคอมพวิ เตอร์ วัตถุประสงค์ ๑. เพอ่ื สร้างความรคู้ วามเข้าใจในการใช้งานระบบสารสนเทศและระบบคอมพวิ เตอร์ใหก้ ับผู้ใชง้ านของ มหาวิทยาลัย ๒. เพ่ือเปน็ การป้องกนั การกระทาผดิ ทเ่ี กดิ จากการรู้เท่าไมถ่ งึ การณข์ องผู้ใชง้ าน ๓. เพอ่ื ใหก้ ารใชง้ านระบบสารสนเทศและระบบคอมพิวเตอร์ มีความม่นั คงปลอดภยั ผูร้ ับผดิ ชอบ ๑. ศนู ย์คอมพิวเตอร์ ๒. สถานสง่ เสริมและพัฒนาระบบสารสนเทศเพื่อการจดั การ ๓. ผู้ดูแลระบบท่ีได้รับมอบหมาย อา้ งอิงมาตรฐาน - มาตรฐานการรักษาความม่ันคงปลอดภัยในการประกอบธุรกรรมทางอิเล็กทรอนิกส์ (เวอร์ชนั ๒.๕) แนวปฏิบัติ ๑. จัดให้มีการฝึกอบรมการใช้งานระบบสารสนเทศของมหาวิทยาลัย ปีละ ๑ คร้ัง หรือทุกคร้ังท่ีมีการ ปรับปรุงและเปลีย่ นแปลงการใช้งานของระบบสารสนเทศ ๒. จัดทาคมู่ ือการใชง้ านระบบสารสนเทศ และมีการเผยแพร่ทางเวบ็ ไซตข์ องมหาวิทยาลัย ๓. จัดฝึกอบรมแนวปฏิบัติตามนโยบายอย่างสม่าเสมอ โดยการจัดฝึกอบรมอาจใช้วิธีการเสริมเนื้อหา แนวปฏบิ ัติตามแนวนโยบายเข้ากับหลกั สตู รอบรมต่างๆ ตามแผนการฝกึ อบรมของมหาวิทยาลัย ๔. จดั สมั มนาเพ่ือเผยแพร่แนวนโยบายและแนวปฏิบัตใิ นการรักษาความมั่นคงปลอดภยั ด้านสารสนเทศและ สร้างความตระหนักถึงความสาคัญของการปฏิบัติให้กับผู้ใช้งาน โดยการจัดสัมมนาควรจัดปีละไม่ น้อยกว่า ๑ ครั้ง โดยอาจจัดร่วมกับการสัมมนาอ่ืนด้วยก็ได้ และอาจเชิญวิทยากรจากภายนอกที่มี ประสบการณด์ า้ นการรกั ษาความมั่นคงปลอดภัยดา้ นสารสนเทศมาถ่ายทอดให้ความรู้ ๕. ติดประกาศประชาสัมพันธ์ ให้ความรู้เกี่ยวกับแนวปฏิบัติในลักษณะเกร็ดความรู้ หรือข้อระวังใน รูปแบบท่สี ามารถเขา้ ใจและนาไปปฏบิ ัตไิ ดง้ ่ายโดยมกี ารปรับปรุงความรอู้ ยู่เสมอ ๖. ระดมการมสี ว่ นร่วมและลงสภู่ าคปฏิบัติดว้ ยการกากับ ติดตามประเมินผล และสารวจความต้องการ ของผ้ใู ชง้ าน

ดา นเทคโนโลยสี ารสนเทศแนวนโยบายและแนวปฏิบตั ิในการรักษาความมน่ั คงปลอดภยั ของมหาว�ทยาลยั เทคโนโลยีราชมงคลธัญบรุ � พ.ศ. ๒๕๕๓ INFORMATION TECHNOLOGY SECURITY POLICY