153กฎหมายเทคโนโลยีสารสนเทศ

-๑๑- ๗. การรบั รองคกู ุญแจใหม (Certificate Re-key) เนอ้ื หาสว นนีค้ วรใหขอมลู เกย่ี วกับการสรา งคูกุญแจใหม รวมถงึ การออกใบรบั รองอเิ ล็กทรอนกิ ส ใหมเพอื่ รองรับคกู ุญแจใหม โดยผใู ชบริการหรอื บคุ คลอื่น ๗.๑ กรณีตางๆ ท่ีผูใหบริการออกใบรับรองอิเล็กทรอนิกสสามารถหรือตองสรางคูกุญแจ และ ออกใบรับรองอเิ ลก็ ทรอนกิ สเ พอ่ื รองรบั คูก ุญแจใหมน ี้ เชน กรณขี องการเพิกถอนใบรับรอง อิเล็กทรอนิกส หรือการหมดอายุการใชงานของคูกญุ แจ ๗.๒ การกาํ หนดใหบ ุคคลใดสามารถขอใบรับรองอิเล็กทรอนิกสเพอ่ื รองรับคูกญุ แจใหม ๗.๓ ควรมวี ธิ ีการแจง การออกใบรบั รองอิเลก็ ทรอนกิ สใ หมใหผ ใู ชบริการทราบ ๗.๔ ควรระบุวิธีการยอมรบั ใบรับรองอิเลก็ ทรอนกิ สท ผ่ี ใู หบ ริการออกใบรบั รองอิเลก็ ทรอนกิ ส เพ่ือรองรับคกู ุญแจใหม ๗.๕ ควรอธบิ ายเก่ยี วกับการเผยแพรใ บรับรองอิเล็กทรอนกิ สต ลอดจนวธิ กี ารแจง บคุ คล ที่เกีย่ วขอ งใหท ราบถงึ การออกใบรับรองอเิ ล็กทรอนิกสเ พือ่ รองรับคกู ญุ แจใหม ๘. การแกไ ขเปลย่ี นแปลงใบรับรองอเิ ลก็ ทรอนกิ ส (Certificate Modification) เน้อื หาสว นนค้ี วรใหข อ มลู เกยี่ วกบั การออกใบรับรองอิเลก็ ทรอนกิ สใหมอ ันเน่อื งมาจากการแกไข เปลยี่ นแปลงขอ มลู ในใบรบั รองอเิ ลก็ ทรอนกิ สท ไ่ี มใชกุญแจสาธารณะของผูใชบรกิ าร เชน ๘.๑ กรณีตา งๆ ท่ีผูใหบ ริการออกใบรับรองอิเล็กทรอนิกสอนุญาตใหผูใชบริการสามารถแกไข เปลี่ยนแปลงขอมูลในใบรับรองอิเล็กทรอนิกสได เชน การเปลี่ยนช่ือ การเปล่ียนแปลง Distinguished Name และการเปลยี่ นบทบาทภาระหนาท่ีในที่ทาํ งาน ๘.๒ การกําหนดใหบุคคลใดสามารถขอแกไขเปลี่ยนแปลงใบรับรองอิเล็กทรอนิกสได เชน ผูใชบรกิ าร เจา หนา ท่ฝี า ยบคุ คล หรือเจา หนา ทีร่ บั ลงทะเบยี น เปน ตน ๘.๓ ควรมีวธิ กี ารแจง การออกใบรับรองอเิ ล็กทรอนิกสใหมใหผ ูใ ชบรกิ ารทราบ ๘.๔ ควรระบวุ ธิ กี ารยอมรับใบรบั รองอิเลก็ ทรอนิกสทผี่ ใู หบ รกิ ารออกใหใ หม ๘.๕ ควรอธิบายเก่ียวกับการเผยแพรใบรับรองอิเล็กทรอนิกสตลอดจนวิธีการแจงบุคคล ท่ีเกยี่ วของใหทราบถึงการออกใบรบั รองอิเล็กทรอนกิ สใ หม ๙. การเพกิ ถอนและพักใชใบรบั รองอิเลก็ ทรอนิกส (Certificate Revocation and Suspension) เน้ือหาสว นนคี้ วรใหขอมูลเกยี่ วกับการเพิกถอนและการพกั ใชใบรับรองอเิ ล็กทรอนกิ ส ๙.๑ กรณีตางๆผูใหบริการออกใบรับรองอิเล็กทรอนิกส ใหมีการพักใชหรือเพิกถอนใบรับรอง อเิ ล็กทรอนกิ ส เชน การเลิกจางงานผูใชบริการ การสูญหายของอุปกรณเขารหัสลับ หรือ มเี หตุอนั ควรสงสัยวามกี ารลว งรูก ญุ แจสว นตัวโดยมชิ อบ เปน ตน ส�ำานักงานพฒั นาธุรกรรมทางอิเล็กทรอนิกส์ (องคก์ ารมหาชน) หน้า 78 สำา�นกั งานคณะกรรมการธุรกรรมทางอิเลก็ ทรอนกิ ส์

-๑๒- ๙.๒ การกําหนดใหบุคคลใดสามารถขอเพิกถอนและพักใชใบรับรองอิเล็กทรอนิกสของ ผใู ชบรกิ ารได เชน ผใู ชบรกิ าร และเจา หนา ทร่ี บั ลงทะเบียน เปนตน ๙.๓ ควรมีการระบุกระบวนการขอเพิกถอนและพักใชใบรับรองอิเล็กทรอนิกส เชน การกําหนดใหเจา หนา ทรี่ ับลงทะเบยี น หรือผูใ ชบ ริการตองลงลายมือช่ือกํากับคําขอเพิกถอน ใบรับรองอิเลก็ ทรอนกิ ส เปน ตน ๙.๔ ควรมกี ารกําหนดระยะเวลาท่ีผูใชบริการสามารถขอเพิกถอนใบรบั รองอเิ ลก็ ทรอนิกสไ ด ๙.๕ ควรมีการกําหนดวิธีการท่ีคูกรณีท่ีเกี่ยวของสามารถตรวจสอบสถานะของใบรับรอง อเิ ลก็ ทรอนกิ สได ๙.๖ ในกรณีที่มีการใช Certificate Revocation List (CRL) ในการเผยแพรใบรับรอง อิเล็กทรอนิกสท่ีไดเพิกถอนและพักใช ควรมีการกําหนดความถ่ีของการเผยแพรขอมูล ดังกลาว ระยะเวลาระหวางการสราง CRL และเวลาท่ีเผยแพร CRL ใหสาธารณะทราบ และถา มีการใหบ ริการตรวจสอบสถานะของใบรบั รองอิเล็กทรอนกิ สแบบออนไลน ก็ควรแจง ใหส าธารณะทราบถึงวธิ กี ารใชง าน เงือ่ นไข และขอ กําหนดทเ่ี กีย่ วของดวย ๙.๗ ควรกําหนดระยะเวลาการพกั ใชใ บรบั รองอิเลก็ ทรอนกิ ส ๑๐. บรกิ ารตรวจสอบสถานะของใบรบั รองอิเล็กทรอนิกส (Certificate Status Services) ขอมูลสวนน้ีกลาวถึงบริการตรวจสอบสถานะของใบรับรองอิเล็กทรอนิกสสําหรับคูกรณี ท่เี กีย่ วขอ ง และควรมปี ระเดน็ ดงั ตอไปน้ี ๑๐.๑ ลกั ษณะของบริการตรวจสอบสถานะของใบรบั รองอิเลก็ ทรอนิกส และสภาพพรอมใชงาน ของระบบบริการ รวมถึงนโยบายรองรบั กรณีที่ระบบไมส ามารถใหบ ริการได ๑๐.๒ ลกั ษณะของบรกิ ารอนื่ ทีเ่ กี่ยวของ ๑๑. การเลกิ ใชบริการใบรบั รองอเิ ลก็ ทรอนิกส (End of Subscription) ขอ มลู สวนน้กี ลาวถึงขั้นตอนทผี่ ใู ชบริการปฏิบัติในการเลิกใชใบรับรองอิเล็กทรอนิกสซ่ึงอาจมี สาเหตุมาจากการหมดอายุของใบรับรองอิเล็กทรอนิกส หรือการเลิกใหบริการโดยผูใหบริการ ออกใบรับรองอเิ ลก็ ทรอนกิ ส ๑๒. การเก็บรักษาและการกูคนื กญุ แจ (Key Escrow and Recovery) ผใู หบ รกิ ารออกใบรับรองอิเล็กทรอนิกสควรระบุนโยบายเก่ียวกับการเก็บรักษาและการกูคืน กญุ แจสวนตัว และการปองกนั Session Key (Session Key Encapsulation) สำา�นกั งานพัฒนาธรุ กรรมทางอเิ ล็กทรอนกิ ส์ (องค์การมหาชน) หนา้ 79 ส�าำ นักงานคณะกรรมการธุรกรรมทางอเิ ลก็ ทรอนกิ ส์

-๑๓- บทที่ ๕ การควบคุมความมั่นคงปลอดภัยของเคร่ืองมืออุปกรณ การบริหารจัดการ และ การดําเนนิ งาน (Facility, Management, and Operational Controls) สําหรบั เนอื้ หาในบทน้ีจะครอบคลมุ การควบคุมและการรกั ษาความมั่นคงปลอดภัยทางกายภาพ สําหรับกรณีที่ผูใหบริการออกใบรับรองอิเล็กทรอนิกสตองใชในการสรางกุญแจ (Key Generation) การยืนยนั ตัวบคุ คล (Subject Authentication) การออกใบรับรองอิเล็กทรอนิกส (Certificate Issuance) การเพกิ ถอนใบรับรองอเิ ล็กทรอนกิ ส (Certificate Revocation) การตรวจสอบระบบและเกบ็ รักษาขอมูล (Auditing and Archiving) ใหม นั่ คงปลอดภัย ดังน้ัน จึงควรมีการกําหนดวิธีการในการรักษาความมั่นคงปลอดภัยของบุคคลที่เกี่ยวของ เพ่อื สรางความเช่อื มนั่ ในการใชงานใบรับรองอิเลก็ ทรอนิกส และปอ งกนั มใิ หม กี ารบกุ รุก หรือเขาถงึ ระบบ หรือลวงรูขอมูลในระบบการใหบริการของผูใหบริการออกใบรับรองอิเล็กทรอนิกส รวมท้ังปองกัน มใิ หเกิดความผิดพลาดในขอ มูลท่ใี ชใ นการสรางใบรับรองอเิ ล็กทรอนกิ ส หรือรายการเพิกถอนใบรับรอง อิเล็กทรอนิกสกรณีที่มีการลว งรูกุญแจสวนตัวของผูใหบรกิ ารออกใบรบั รองอเิ ล็กทรอนิกสโ ดยมิชอบ ทงั้ น้ี ความม่ันคงปลอดภัยทางกายภาพ (Physical Security Controls) น้ัน ครอบคลุมในเรื่อง ดังตอไปนี้ ๑. สถานทีต่ ้งั หรอื การกอสรางสาํ นักงานในการใหบรกิ าร (Site Location and Construction) เน้ือหาในสวนน้ีควรมีการกําหนดพ้ืนที่ที่มีการรักษาความมั่นคงปลอดภัยเปนพิเศษ (High Security Zone) หรือการใชหองและตูนิรภัย การติดตั้งระบบโทรทัศนวงจรปด และระบบตรวจจับ การบุกรุกทางกายภาพ เปน ตน ๒. การเขา ถึงทางกายภาพ (Physical Access) ควรกําหนดเกี่ยวกับการเขาออกระหวางพื้นท่ีสํานักงานกับพื้นที่ที่มีการรักษาความมั่นคง ปลอดภัยเปนพิเศษ การเคล่ือนยายจากพ้ืนท่ีหนึ่งไปยังอีกพ้ืนที่หนึ่ง ใหมีการปองกันการเขาถึงทาง กายภาพ เชน การพิสูจนต ัวบคุ คลกอ นอนญุ าตใหเขา ถงึ ระบบใหบ ริการได อาจทําไดโ ดยการใชบ ัตรแถบ แมเหลก็ และการตรวจสอบลายนิ้วมอื เปน ตน นอกจากน้ี ยังควรมกี ารคํานึงถึงการบริหารจัดการระบบ ไฟฟา และระบบปรับอากาศ การปองกันภัยจากน้ํา การจดั เก็บ Backup Media ไวในสถานทอ่ี น่ื ที่ไดรับ การปองกันการเขาถงึ ปอ งกันภยั จากไฟและน้ํา ๓. การควบคมุ ความม่ันคงปลอดภยั ดานกายภาพ (Physical Security Controls) ผูใหบริการออกใบรับรองอิเล็กทรอนิกสควรบรรยายวิธีการควบคุมดานกายภาพของสถานที่ ประกอบการในหวั ขอ ดงั ตอไปน้ี ๓.๑ สถานท่ตี ง้ั ของผใู หบ รกิ ารออกใบรับรองอเิ ลก็ ทรอนกิ ส และการจัดแบงพ้ืนที่ตามระดับของ ความมั่นคงปลอดภยั ที่ตอ งการ ๓.๒ การควบคุมการเขาถงึ พ้ืนท่ที ่ีตองการระดบั ความม่ันคงปลอดภัยที่ตา งกัน ส�าำ นักงานพฒั นาธรุ กรรมทางอเิ ล็กทรอนิกส์ (องคก์ ารมหาชน) หน้า 80 สำ�านกั งานคณะกรรมการธรุ กรรมทางอิเล็กทรอนกิ ส์

-๑๔- ๓.๓ การดแู ลเรอ่ื งพลงั งานไฟฟา การไหลเวียนของน้ํา การควบคุมสภาพอากาศ อุณหภูมิและ ความชื้นสัมพัทธ การปอ งกันการเกดิ อัคคภี ัย เพอ่ื ปองกันการหยุดชะงักของการใหบริการ จากเหตเุ หลานี้ ๓.๔ การเก็บรักษาส่ือที่ใชเก็บขอมูลของผูใหบริการออกใบรับรองอิเล็กทรอนิกสใหม่ันคง ปลอดภยั ตลอดจนการกําหนดใหมีการสํารองขอมูลนอกสถานที่ประกอบการเพ่ือปองกัน การสูญเสยี หรอื สูญหายของขอ มลู ๔. การควบคมุ กระบวนการตา งๆ ในการดาํ เนินการ (Procedural Controls) ผูใหบ ริการออกใบรับรองอิเล็กทรอนิกสควรมีการจัดบทบาทและหนาที่ของบุคลากรในองคกร ใหเ หมาะสม และกําหนดนโยบายเกีย่ วกบั การทํางานของบุคลากรในแตละบทบาท เชน วิธีการระบุและ ยืนยันตัวบุคคล หรือวิธีการเขาถึงขอมูลสําคัญโดยบุคคลในบทบาทตางๆ โดยการแบงแยกหนาท่ี ซ่งึ ไมอ นญุ าตใหบ คุ คลหน่ึงรับหนา ทีใ่ นหลายบทบาทดว ยเหตุผลดา นความมัน่ คงปลอดภยั ของขอมลู ๕. การกูคืนระบบอันเกิดจากพฤติการณท่ีกระทบตอความม่ันคงปลอดภัยของขอมูลและ ภัยพบิ ตั ิอันเกิดแกระบบ (Compromise and Disaster Recovery) ผใู หบ รกิ ารออกใบรับรองอิเล็กทรอนิกสควรมีนโยบายในการกูคืนระบบอันเกิดจากพฤติการณ ท่ีกระทบตอความม่ันคงปลอดภัยของขอมูลและภัยพิบัติอันเกิดแกระบบ เชน ขอมูลถูกทําลาย อนั เนือ่ งมาจากอบุ ตั ิเหตุหรอื สาเหตุอ่ืนใด เพ่ือใหการใหบรกิ ารไมหยดุ ชะงัก ๖. การเลิกกิจการของผใู หบริการออกใบรบั รองอิเล็กทรอนกิ สแ ละเจา หนา ท่รี ับลงทะเบยี น (CA or RA Termination) ในกรณีท่ีผูใหบริการออกใบรับรองอิเล็กทรอนิกสหรือเจาหนาท่ีรับลงทะเบียนเลิกกิจการ จะตองมีการแจงใหบุคคลที่เก่ียวของทราบ รวมถึงผูท่ีรับผิดชอบขอมูลของผูใหบริการออกใบรับรอง อิเล็กทรอนิกสและเจาหนาทรี่ บั ลงทะเบียนเพ่อื ใหเกดิ ผลกระทบตอ ผใู ชบ ริการนอยทส่ี ดุ บทที่ ๖ การควบคุมความมัน่ คงปลอดภัยดานเทคนคิ (Technical Security Controls) สาํ หรบั เนอ้ื หาในสวนนเ้ี ปนการกาํ หนดมาตรการดานการรักษาความม่ันคงปลอดภัยของกุญแจ และขอมลู สาํ หรับอนุญาตใหใ ชก ญุ แจ เชน PIN และ Password และประเด็นตางๆ ทเี่ กี่ยวกบั การบริหาร จดั การกญุ แจ ๑. การสรา งและตดิ ตงั้ คกู ญุ แจ (Key Pair Generation and Installation) การสรา งและการตดิ ตัง้ คกู ญุ แจมปี ระเดน็ ทต่ี อ งพจิ ารณาและกาํ หนดเปนนโยบาย ดงั ตอ ไปนี้ ๑.๑ ใครเปนผสู รา งคูก ญุ แจใหผ ูใชบ ริการ และสรางโดยซอฟตแวรห รอื ฮารดแวร ๑.๒ วิธกี ารทีผ่ ูใชบรกิ ารจะไดรบั กุญแจสวนตวั ของตนแบบม่ันคงปลอดภัยเปน ไปไดอยา งไรบาง สำา�นักงานพฒั นาธุรกรรมทางอเิ ล็กทรอนกิ ส์ (องค์การมหาชน) หนา้ 81 สำ�านกั งานคณะกรรมการธรุ กรรมทางอเิ ลก็ ทรอนิกส์

-๑๕- ๑.๓ วธิ ีการท่ีผูใหบริการออกใบรับรองอิเล็กทรอนิกสจะไดรับกุญแจสาธารณะของผูใชบริการ แบบมั่นคงปลอดภัยเปนไปไดอ ยา งไรบาง ๑.๔ คกู รณที เ่ี กี่ยวของจะไดรับกุญแจสาธารณะของผใู หบริการออกใบรับรองอิเลก็ ทรอนิกสแบบ มัน่ คงปลอดภยั เปนไปไดอ ยางไรบา ง ๑.๕ ความยาวของคูกุญแจเปน เทา ใด เชน กญุ แจอาจมีความยาว 1,024 บติ RSA และ 1,024 บิต DSA ๑.๖ ใครเปนผูท่ีกําหนดพารามิเตอรของกุญแจสาธารณะ และมีการตรวจสอบคุณภาพของ พารามเิ ตอรร ะหวางการสรางกุญแจหรือไม ๑.๗ วัตถุประสงคท อี่ าจจะนําคกู ุญแจไปใช หรอื วัตถปุ ระสงคทคี่ วรจํากดั การใชคูกุญแจคืออะไร สาํ หรบั ใบรบั รองตาม X.509 นั้นวัตถุประสงคเ หลา นคี้ วรจะสอดคลองกับการใชงานกุญแจ ตามมาตรฐาน X.509 เวอรช่นั 3 ๒. การปอ งกนั กญุ แจสว นตัว (Private Key Protection) และการจดั การควบคุมชน้ิ สว น สําหรับการเขา รหัสลับ (Cryptographic Module Engineering Control) ในสว นนค้ี วรกาํ หนดวิธกี ารปอ งกันกุญแจสวนตัวและการใชงานชิ้นสวนสําหรับการเขารหัสลับ ของผูใหบริการออกใบรับรองอิเล็กทรอนิกส เจาหนาที่รับลงทะเบียน ผูใชบริการ และผูใหบริการเก็บ ขอมูล โดยคํานึงถึงความมั่นคงปลอดภัยและความเสียหายอันเกิดจากการเก็บรักษากุญแจสวนตัว การสํารองกุญแจสวนตัว และการบันทึกถาวรกุญแจสว นตัว ทัง้ น้ี ใหพ ิจารณาคําถาม ดงั ตอไปนี้ ๒.๑ ถามีการใชงานชิ้นสวนสําหรับการเขารหัสลับ (อาจเปนซอฟตแวร ฮารดแวร และ หรือ เฟรมแวร) ควรจะอางอิงตามมาตรฐานใด ๒.๒ จําเปนตองมีการควบคุมการเขาถึงกุญแจสวนตัว โดยผูมีสิทธิมากกวา ๑ คนหรือไม (แบบ m out of n) ๒.๓ มีนโยบายในการเก็บรกั ษากญุ แจสวนตัวหรอื ไม (Key Escrow) ๒.๔ มนี โยบายในการสาํ รองกญุ แจสวนตัวหรือไม (Private Key Backup) ๒.๕ มนี โยบายในการบันทกึ ถาวรกุญแจสว นตัวหรอื ไม (Private Key Archival) ๒.๖ ในกรณใี ดบา งทีจ่ ะมกี ารถายโอนกุญแจสว นตัวเขาไปในหรือออกจากชิน้ สว นสาํ หรบั เขา รหสั ลบั ๒.๗ การจัดเก็บกุญแจสวนตัวในชิ้นสวนสําหรับเขารหัสลับ (Private Key Storage in Cryptographic Module) จะทําดวยวิธีใด เชน เก็บในรูปแบบขอมูลธรรมดาท่ีอานเขาใจได (Plaintext) รปู แบบของขอมูลทีม่ ีการเขารหัสลับ (Encrypted) หรอื การแยกกุญแจ (Split Key) เปน ตน ๒.๘ ใครเปนผทู ม่ี ีสทิ ธใิ นการใชง านกุญแจสวนตัว ดว ยวธิ อี ยางไร ๒.๙ ใครเปน ผูมสี ทิ ธใิ นการยกเลกิ การใชง านกญุ แจสว นตวั ดวยวธิ ีอยา งไร ๒.๑๐ ใครมสี ทิ ธทิ าํ ลายกญุ แจสวนตัว ดว ยวิธีอยางไร ส�ำานกั งานพฒั นาธุรกรรมทางอเิ ลก็ ทรอนกิ ส์ (องคก์ ารมหาชน) หน้า 82 สำ�านักงานคณะกรรมการธรุ กรรมทางอเิ ลก็ ทรอนกิ ส์

-๑๖- ๒.๑๑ รายละเอียดความสามารถของชิ้นสวนสําหรับเขารหัสลับ เปนอยางไร (อาจอางถึง มาตรฐานทเ่ี กย่ี วของ เชน FIPS 140-1 ๓. รายละเอยี ดอ่ืนเก่ียวกบั การจดั การและบริหารคกู ุญแจ (Other Aspects of Key Pair Management) ในสวนน้ีควรกําหนดวิธีการในการจัดการและบริหารคูกุญแจของผูใหบริการออกใบรับรอง อิเล็กทรอนิกส เจาหนาท่ีรับลงทะเบียน ผูใชบริการ และผูใหบริการเก็บขอมูล โดยพิจารณาคําถาม ดงั ตอ ไปนี้ ๓.๑ ควรมีการเก็บบันทึกถาวรของกุญแจสาธารณะ (Public Key Archival) หรือไม ถามีใคร จะเปนผูทําหนาท่ีเก็บบันทึกถาวร และการควบคุมความมั่นคงปลอดภัยของระบบเก็บ บนั ทกึ ถาวร ทั้งในเร่ืองความจาํ เปน ในการปกปองซอฟตแวร และฮารดแวรท่ีเก่ียวของกับ การใชงานกญุ แจสาธารณะอยตู ลอดเวลา ๓.๒ ระยะเวลาใชง านของใบรับรองอเิ ล็กทรอนิกส และคกู ุญแจของผใู ชบ ริการเปนเทาใด ๔. ขอ มลู ที่ใชในการติดตงั้ ใบรบั รองของผูใชบรกิ าร (Activation Data) เน้อื หาในสว นนคี้ วรกําหนดวธิ กี ารปอ งกันขอมูลท่ีจําเปนตองใชในการติดต้ังใบรับรองของผูใช บริการ (Activation Data) ซึ่งอาจหมายถึง รหัสอางอิง (Reference Code) และรหัสติดตั้ง (Installation Code) เพ่อื ใชในการยืนยันตวั ผใู ชบรกิ ารในข้นั ตอนการตดิ ตง้ั ใบรับรอง ซึ่งเปน ขอมูลท่ีผูใชบริการไดรับ จากผใู หบ รกิ ารออกใบรบั รองอเิ ลก็ ทรอนิกสโ ดยตรงหรอื จากเจา หนาท่รี ับลงทะเบียน ๕. การควบคุมความม่นั คงปลอดภัยของระบบคอมพิวเตอร (Computer Security Controls) เนื้อหาในสวนนี้ควรอธิบายการควบคุมความม่ันคงปลอดภัยของระบบคอมพิวเตอร เพ่ือใหเกิด ความนาเช่ือถือของระบบผใู หบรกิ ารออกใบรบั รองอเิ ลก็ ทรอนกิ ส โดยมีการควบคุมการเขาถึง (Access Control) มีการตรวจสอบ (Audit) ระบบของผใู หบริการออกใบรับรองอิเล็กทรอนิกส การยืนยันตัวบุคคล (Identification และ Authentication) การทดสอบระบบความมั่นคงปลอดภัย (Security testing) และ ทดสอบการบุกรุกระบบ (Penetration Testing) โดยท่ีระบบการควบคุมความม่ันคงปลอดภัยนั้นตอง ไดรับการประเมินตามมาตรฐานสากล เชน The Trusted System Evaluation Criteria (TCSEC) ๖. การควบคมุ ทางเทคนคิ ของระบบใหบรกิ าร (Life Cycle Technical Controls) เน้อื หาในสว นน้ีควรจะกลาวถึงการควบคุมการพัฒนาระบบและการควบคุมการบริหารจัดการ ดานความม่ันคงปลอดภัย การควบคุมการพัฒนาระบบน้ันรวมความถึงความมั่นคงปลอดภัยของ สภาพแวดลอมในการพัฒนาระบบ บุคลากรท่ีพัฒนาระบบ และการออกแบบระบบ เปนตน การควบคุมการบริหารจัดการดานความมั่นคงปลอดภัย หมายความถึง การใชเคร่ืองมือ อุปกรณ (Tools) และกระบวนการ (procedure) เพ่ือใหเกิดความมั่นใจดานความม่ันคงปลอดภัยของ ระบบปฏบิ ัตกิ าร (Operational Systems) และระบบเครือขา ย (Networks) สา�ำ นกั งานพฒั นาธรุ กรรมทางอเิ ลก็ ทรอนิกส์ (องค์การมหาชน) หนา้ 83 สำา�นักงานคณะกรรมการธรุ กรรมทางอิเลก็ ทรอนิกส์

-๑๗- ๗. การควบคมุ ความมั่นคงปลอดภยั ทางเครือขา ย (Network Security Controls) เน้ือหาในสวนน้ีระบุการควบคุมความม่ันคงปลอดภัยทางเครือขายของระบบผูใหบริการออก ใบรับรองอิเล็กทรอนิกส โดยปองกันมิใหเขาถึงระบบไดโดยมิชอบดวยกลไกของอุปกรณรักษาความ ม่นั คงปลอดภัยหลายสวนหลายลําดับช้ัน ไดแก อุปกรณเลือกเสนทาง (Router) ตัวปองกันการบุกรุก (Firewall) ระบบตรวจสอบผบู กุ รกุ (Intrusion Detection System: IDS) ๘. ขอ กาํ หนดสําหรับการประทับเวลาในบันทึกตา งๆ (Time-stamping) หากกําหนดใหม ีการประทบั เวลาในบนั ทกึ ตางๆ ควรระบุไวใ นสวนนี้ และกลาวถึงแหลงทม่ี าของ เวลาและความนา เชื่อถือประกอบดว ย บทท่ี ๗ การกาํ หนดรปู แบบของใบรับรองอเิ ลก็ ทรอนิกส รายการเพิกถอน และสถานะของ ใบรบั รองอิเล็กทรอนิกส (Certificate, CRL, and OCSP Profiles) ๑. รูปแบบของใบรับรองอเิ ล็กทรอนกิ ส (Certificate Profile) เนอื้ หาในสวนน้ีกําหนดรายละเอยี ดเกย่ี วกับประเด็นดังตอไปน้ี (อา งอิงตาม IETF RFC 3280) ๑.๑ เวอรชั่นของใบรบั รองอเิ ล็กทรอนกิ สทสี่ นบั สนนุ ๑.๒ ขอมูลใน Certificate Extensions และความสําคัญ (Criticality) ของขอมูลดังกลาว OID ของขน้ั ตอนวธิ กี ารเขารหัสลบั (Cryptographic Algorithm Object Identifiers) ๑.๓ รูปแบบชื่อของผูใหบริการออกใบรับรองอิเล็กทรอนิกส เจาหนาท่ีรับลงทะเบียน และ ผูใ ชบ ริการ ๑.๔ OID ของแนวนโยบายท่เี ก่ยี วขอ ง ๒. รูปแบบรายการเพกิ ถอนใบรับรอง (Certification Revocation List Profile) ๒.๑ เน้ือหาในสว นนกี้ าํ หนดรายละเอียดเกีย่ วกบั ประเดน็ ดงั ตอ ไปน้ี (อางอิงตาม IETF RFC 3280) เวอรชั่นของรายการเพกิ ถอนใบรับรองทีส่ นับสนุน และ ๒.๒ รายการเพิกถอนใบรับรอง และขอมูลใน CRL Entry Extensions และความสําคัญของ ขอ มูลดงั กลา ว (Criticality) ๓. รปู แบบโปรโตคอล OCSP (OCSP Profile) ในสวนน้แี สดงถึงเนอ้ื หาและรูปแบบของขอ มูลท่ใี ชใ นการตรวจสอบสถานะของใบรบั รองโดย ใชโ ปรโตคอล OCSP (Online Certificate Status Protocol) รวมทั้งขอมูลอืน่ ๆ เชน เวอรช่ันของ OCSP และขอมลู เพ่ิมเติมท่ีสามารถระบลุ งไปใน OCSP (อางองิ ตาม IETF RFC 2560) ส�าำ นักงานพฒั นาธรุ กรรมทางอิเล็กทรอนิกส์ (องคก์ ารมหาชน) หน้า 84 สาำ�นักงานคณะกรรมการธรุ กรรมทางอเิ ลก็ ทรอนิกส์

-๑๘- บทท่ี ๘ การตรวจสอบการปฏิบัติตามกฎขอบังคับตางๆ และการประเมินความเส่ียงอ่ืนๆ (Compliance Audit and Other Assessment) สําหรับเนื้อหาในสวนน้ีจะตองกําหนดเก่ียวกับรายการที่ตองมีการประเมินความเส่ียง หรือ ระเบยี บวิธี (Methodology) ท่ใี ชใ นการประเมนิ ความเสีย่ ง เชน การประเมนิ ความเส่ยี งตามแนวทางของ WebTrust เปน ตน นอกจากนั้น ก็อาจกําหนดความถี่ของการตรวจสอบหรือประเมินความเสี่ยง ทั้งนี้ ในการ ประเมนิ นั้น กต็ องประเมนิ ตามแนวนโยบายและแนวปฏิบัติ และประเมินท้ังกอนมีการใหบริการ เมื่อมี การใหบริการ และการตรวจสอบกรณีมีความเปนไปไดที่จะมีการลวงรูโดยมิชอบอันเปนการกระทบ ถึงความม่ันคงปลอดภยั ท้ังน้ี จําเปนตองระบุคุณสมบัติของบุคลากรที่ทําหนาท่ีตรวจสอบและประเมินความเส่ียง การดําเนินการเกยี่ วกบั ผลการประเมนิ เชน การระงับการดําเนินการชั่วคราว หรอื การเพกิ ถอนใบรับรอง ท่ีออก เปนตน บทท่ี ๙ ขอ กาํ หนดอน่ื ๆ และประเดน็ กฎหมาย (Other Business and Legal Matters) สําหรับเน้ือหาในสวนน้ี จะกําหนดเกี่ยวกับการจัดเก็บคาธรรมเนียม (Fees) ความรับผิดชอบ ทางการเงิน (Financial Responsibility) ทั้งในสวนท่ีเก่ียวกับการดําเนินการหรือกรณีมีการเรียกรอง คา เสยี หายจากการใหบ รกิ ารเกิดขึน้ รวมท้ังประเดน็ ขอกฎหมายตา งๆ อยางไรก็ตาม ในการจัดทําแนวนโยบายและแนวปฏิบัติ นั้น หากผูใหบริการออกใบรับรอง อิเล็กทรอนิกส ตองการใหเอกสารฉบับดังกลาวถือเปนสัญญาฉบับหนึ่งหรือเปนสวนหนึ่งของสัญญา ในการใหบ รกิ าร กอ็ าจจําเปนตองพิจารณาเพิ่มเติมเน้ือหาเกี่ยวกับขอจํากัดความรับผิด (Limitation of Liability) ไวในแนวนโยบายหรือแนวปฏิบัติ ดวย แตหากไมประสงคใหแนวนโยบายและแนวปฏิบัติ เปน สญั ญาหรือสว นหนึง่ ของสัญญาในการใหบริการ ก็อาจจําเปนตองมกี ารจัดทําสัญญาในการใหบริการ ผใู ชบ รกิ าร หรือคกู รณีทเ่ี ก่ียวขอ งซงึ่ มีขอความกาํ หนดเกี่ยวกับขอจํากัดความรับผิดของบุคคลดังกลาว ในการใหบรกิ ารเอาไวด วย ๑. คาธรรมเนียม (Fees) สําหรับคา ธรรมเนียมในการใหบ รกิ ารนน้ั อาจกาํ หนดใหผ ใู หบริการออกใบรับรองอิเล็กทรอนิกส ซ่งึ ใหบริการออกใบรบั รองอิเลก็ ทรอนิกส ผูใหบ รกิ ารเกบ็ รกั ษาขอ มูล หรือผูใหบริการในฐานะเจาหนาที่ รับลงทะเบียน จัดเก็บคาธรรมเนียมไดจากกรณีท่ีมีการออกใบรับรองอิเล็กทรอนิกส หรือตออายุ ใบรับรองดังกลาว (Certificate Issuance or Renewal Fees) คาธรรมเนียมในการเขาถึงใบรับรอง (Certificate Access Fees) การเขาถึงขอมูลเก่ียวกับการเพิกถอนหรือสถานะลาสุดของใบรับรอง อิเล็กทรอนิกส คาธรรมเนียมสําหรับบริการอื่นๆ เชน การเขาถึงแนวนโยบายหรือแนวปฏิบัติ ทั้งนี้ ผูใหบ รกิ ารออกใบรบั รองอเิ ล็กทรอนิกส อาจจดั ทํานโยบายในการคืนคาธรรมเนยี ม (Refund Policy) ไวดว ย สำา�นักงานพฒั นาธุรกรรมทางอิเลก็ ทรอนกิ ส์ (องค์การมหาชน) หนา้ 85 สำา�นกั งานคณะกรรมการธรุ กรรมทางอเิ ลก็ ทรอนกิ ส์

-๑๙- ๒. ความรับผดิ ชอบทางการเงิน (Financial Responsibility) เนื้อหาในสวนนีค้ วรกาํ หนดข้นึ เกยี่ วกบั ความรับผิดในการดําเนินการที่เกดิ ข้นึ (Operational PKI Responsibilities) การรักษาสถานะของผใู หบ รกิ ารใหส ามารถชาํ ระหนี้และจายคา เสียหายในกรณีที่ตอง รับผิดได (to Remain Solvent and Pay Damages) ท้ังน้ี อาจมีการเพิ่มเติมเน้ือหาที่เก่ียวกับวงเงิน ประกันความเสียหายที่คุมครองความรับผิดที่เกิดขึ้น (Insurance Coverage for Liabilities) และความ รับผิดในอนาคต (Contingencies) สินทรัพยที่ปรากฏในงบดุล (Assets on The Balance Sheet) หนังสือค้ําประกัน (Surety Bond) เล็ตเตอร ออฟ เครดิต (Letter of Credit) คาสินไหมทดแทน (Indemnity) และอาจใหค วามคมุ ครองเพิม่ เติมดวยการกาํ หนดเกยี่ วกับการประกันภัย (Insurance) หรือ การใหค าํ รบั รอง (Warranty) ๓. การรักษาความลบั ของขอ มูลทางธรุ กจิ (Confidentiality of Business Information) ดว ยขอมูลบางประเภทเปนความลับทางธุรกิจที่จําเปนตองเก็บไวเปนความลับ เชน แผนทาง ธุรกิจ (Business Plan) ขอมลู การขาย (Sales Information) ความลับทางการคา (Trade Secrets) และ ขอมูลท่ีไดจากบุคคลท่ีสามภายใตขอตกลงไมเปดเผยความลับ (Nondisclosure Agreement) จงึ จําเปน ตอ งกําหนดขอบเขตในการรักษาความลับ ขอ มลู ที่อยูนอกเหนือจากขอตกลงวาดวยการรักษา ความลับ และความรับผิดของบุคคลท่ีเก่ียวของซ่ึงไดรับขอมูลลับน้ัน ทั้งนี้ อาจตองมีกลไกทําใหเกิด ความเช่ือม่ันวาจะมีการปกปองมิใหเกิดพฤติการณท่ีกระทบตอความมั่นคงปลอดภัยของขอมูล (Compromise) ๔. นโยบายในการรกั ษาความเปน สวนตัวหรอื ขอ มลู สว นบุคคล (Privacy of Personal Information) ในการใหบริการของผใู หบรกิ ารออกใบรบั รองอิเล็กทรอนิกส เจาหนา ทรี่ บั ลงทะเบียน หรือบคุ คล อ่นื ๆ ซง่ึ ใหบริการท่ีเก่ียวขอ งน้ัน จําเปนตองใหค วามสําคัญสําหรับการรักษาความเปนสวนตัวหรือเก็บ ขอ มลู สว นบุคคลของผูใชบ ริการไวเปนความลับ จะเปดเผยไดเพียงขอมูลบางอยางเทานั้น เชน ขอมูล ที่ตอ งเผยแพรโ ดยการบนั ทกึ ไวใ นใบรบั รองอิเลก็ ทรอนกิ ส ไดแก ช่ือ ชอ่ื สกุล ของผใู ชบริการ เปน ตน ดงั นน้ั การดําเนินการเก่ียวกับขอมูลสวนบุคคลจึงตองดําเนินการตามกฎหมายวาดวยการน้ัน หรอื กรณที ่ียงั ไมมีการใชบังคับกฎหมายเชนวานั้น ก็อาจจําเปนตองดําเนินการตามหลักเกณฑในการ ใหความคมุ ครองในเรอื่ งดังกลา วตามมาตรฐานสากล เชน ตามแนวทางของ OECD Guidelines ดวยเหตุน้ี ในการดําเนินการใดๆ เก่ียวกับขอมูลสวนบุคคล จึงควรไดรับความยินยอมจาก ผูใชบริการ กอนจะมีการเปดเผยขอมูลสวนบุคคลดังกลาว ทั้งน้ี จะตองกําหนดขอยกเวนกรณี ท่ีจําเปนตองมีการเปดเผยขอมูลสวนบุคคลในกรณีที่ตองดําเนินการตามกฎหมายฉบับตางๆ หรือ เมือ่ มีคําสัง่ ศาล หรือเมอ่ื มคี ําส่ังทางปกครอง เปน ตน ไวด ว ย ๕. ทรพั ยส นิ ทางปญ ญา (Intellectual Property Rights) ใหกําหนดเร่ืองทรัพยสินทางปญญา อันไดแก ลิขสิทธ์ิ สิทธิบัตร เครื่องหมายการคา หรือ ความลับทางการคาซึ่งบุคคลท่ีเก่ียวของอาจมีหรือใชสิทธิเรียกรองตามที่กําหนดไวในแนวนโยบาย สำ�านกั งานพฒั นาธุรกรรมทางอิเลก็ ทรอนิกส์ (องค์การมหาชน) หน้า 86 ส�ำานักงานคณะกรรมการธุรกรรมทางอิเล็กทรอนกิ ส์

-๒๐- แนวปฏบิ ัติ ใบรบั รองอเิ ล็กทรอนกิ ส ชื่อ กุญแจ หรอื ภายใตการอนญุ าตหรอื ท่ีกําหนดไวในขอตกลงใดๆ กับบุคคลท่ีเก่ยี วของ ๖. คํารับรอง (Representations and Warranties) ในสวนนจี้ ะกาํ หนดใหบ ุคคลที่เก่ียวของทําคํารับรองในเร่ืองตางๆ ที่กําหนดไวในแนวนโยบาย หรือแนวปฏิบัติ เชน การกาํ หนดใหผใู หบ รกิ ารออกใบรับรองอิเล็กทรอนิกส ตองใหการรับรองวา ขอมูล หรือขอเท็จจริงทบ่ี ันทึกไวในใบรบั รองอิเลก็ ทรอนกิ สนน้ั ถกู ตอง ตามทีไ่ ดม กี ารกาํ หนดใหแนวปฏบิ ัติเปน ขอตกลงในการใหบริการ รวมท้ังกรณีมีการกําหนดใหมีการใหคํารับรองท่ีกําหนดไวในสัญญาหรือ ขอตกลงอ่ืนๆ เชน ขอตกลงในการใหบริการกับผูใชบริการ (Subscriber Agreement) และขอตกลง ในการใหบรกิ ารกับคกู รณีที่เก่ียวขอ ง (Relying Party Agreement) ๗. การปฏเิ สธความรบั ผิดตามคาํ รับรอง (Disclaimers of Warranties) ในเน้อื หาของแนวนโยบายหรือแนวปฏิบัตินั้น ใหมีการกําหนดเก่ียวกับการปฏิเสธความรับผิด ตามคํารบั รองหรือกาํ หนดเน้ือหาเกี่ยวกบั เรือ่ งดงั กลา วไวใ นสญั ญาในการใหบริการฉบับตา ง ๆ ๘. ขอ จาํ กัดความรับผดิ (Limitations of Liability) ในการใหบริการน้ัน อาจมกี ารกําหนดเก่ียวกบั ขอจาํ กัดความรบั ผดิ ไวด ว ยกไ็ ด โดยอาจพจิ ารณา จากลักษณะของการจํากัดความรับผิด และจํานวนเงินคาเสียหายท่ีจํากัดความรับผิด เชน คาเสียหาย อันเนื่องมาจากการผิดสัญญา (Incidental Damages) คาเสียหายจากการสูญเสียกําไรในอนาคต (Consequential Damages) ๙. คาสนิ ไหมทดแทน (Indemnities) สําหรับการชดใชคาสินไหมทดแทนน้ัน อาจมีการกําหนดใหคูสัญญาฝายใดตองรับผิด ทั้งน้ี โดยอาจมกี ารกําหนดไวในแนวนโยบาย แนวปฏบิ ัติ หรอื สัญญา หรอื ขอตกลงตางๆ เชน การกําหนดให ผูใชบรกิ ารตอ งรบั ผิดในการชดใชคาสินไหมทดแทนกรณที ่ผี ูใ ชบ ริการไดแถลงขอ มลู หรือขอเท็จจริงของ ตนท่ีตองบันทึกไวในใบรับรองอิเล็กทรอนิกสเปนเท็จหรือไมตรงกับความจริง หรือกรณีท่ีคูกรณี ท่ีเกี่ยวของตองรับผิดชดใชคาสินไหมทดแทนที่เกิดข้ึนกับผูใหบริการออกใบรับรองอิเล็กทรอนิกส ในกรณีทไ่ี มตรวจสอบการเพิกถอนใบรับรองอิเล็กทรอนกิ ส สําหรบั ในบทที่ ๙ น้ี นอกจากหัวขอ ขางตนแลว อาจมกี ารกาํ หนดเน้อื หาเกี่ยวกับการเลิกสัญญา การติดตอสื่อสารระหวางผูใหบริการและผูใชบริการ การแกไขปรับปรุงแนวนโยบาย หรือแนวปฏิบัติ การระงบั ขอ พพิ าท กฎหมายท่ีใชบังคับ รวมทั้งเน้ือหาอื่นๆ ที่ผูใหบริการออกใบรับรองอิเล็กทรอนิกส ประสงคจ ะกาํ หนดเพ่มิ เตมิ ไดอ ีกดว ย เอกสารอา งองิ Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework (RFC 3647) สำ�านกั งานพัฒนาธุรกรรมทางอิเลก็ ทรอนกิ ส์ (องค์การมหาชน) หน้า 87 สาำ�นกั งานคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์

พระราชกฤษฎกี า กำหนดประเภทธุรกรรมในทางแพง และพาณิชยท ย่ี กเวน มิใหน ำกฎหมายวาดว ยธุรกรรมทางอิเลก็ ทรอนกิ สม าใชบงั คับ พ.ศ. ๒๕๔๙

ช่อื กฎหมาย พระราชกฤษฎีกากาํ หนดประเภทธรุ กรรมในทางแพง และพาณิชยทย่ี กเวน มใิ หนํา กฎหมายวาดวยธรุ กรรมทางอิเล็กทรอนิกสมาใชบ งั คบั พ.ศ. ๒๕๔๙ ประกาศในราชกิจจานุเบกษา เลม ๑๒๓ / ตอนที่ ๒๖ ก / หนา ๑๘ / วันที่ ๑๕ มนี าคม ๒๕๔๙ เรมิ่ บงั คับใช วนั ท่ี ๑๖ มนี าคม ๒๕๔๙ ผูรกั ษาการ นายกรฐั มนตรี สำา�นักงานพฒั นาธุรกรรมทางอิเลก็ ทรอนิกส์ (องค์การมหาชน) หน้า 89 สำา�นักงานคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์

เลม ๑๒๓ ตอนท่ี ๒๖ ก หนา ๑๘ ๑๕ มนี าคม ๒๕๔๙ ราชกิจจานเุ บกษา พระราชกฤษฎกี า กําหนดประเภทธุรกรรมในทางแพงและพาณชิ ยท ่ียกเวนมใิ หน าํ กฎหมายวา ดวยธรุ กรรมทางอิเล็กทรอนิกสมาใชบงั คับ พ.ศ. ๒๕๔๙ ภมู ิพลอดุลยเดช ป.ร. ใหไว ณ วนั ท่ี ๓ มนี าคม พ.ศ. ๒๕๔๙ เปนปท่ี ๖๑ ในรชั กาลปจจบุ นั พระบาทสมเด็จพระปรมินทรมหาภูมิพลอดุลยเดช มีพระบรมราชโองการโปรดเกลา ฯ ใหป ระกาศวา โดยทีเ่ ปน การสมควรกําหนดประเภทธรุ กรรมในทางแพงและพาณชิ ยท่ยี กเวน มิใหนํากฎหมาย วา ดวยธุรกรรมทางอเิ ล็กทรอนิกสม าใชบงั คับ อาศัยอํานาจตามความในมาตรา ๒๒๑ ของรัฐธรรมนูญแหงราชอาณาจกั รไทย และมาตรา ๓ วรรคหน่ึง แหง พระราชบัญญัติวา ดวยธุรกรรมทางอิเล็กทรอนิกส พ.ศ. ๒๕๔๔ อันเปนกฎหมายท่ีมี บทบญั ญัติบางประการเกยี่ วกบั การจํากดั สทิ ธแิ ละเสรีภาพของบุคคล ซ่ึงมาตรา ๒๙ ประกอบกับมาตรา ๕๐ ของรัฐธรรมนูญแหงราชอาณาจักรไทย บัญญัติใหกระทําไดโดยอาศัยอํานาจตามบทบัญญัติแหงกฎหมาย จึงทรงพระกรณุ าโปรดเกลา ฯ ใหต ราพระราชกฤษฎกี าขึ้นไว ดงั ตอ ไปน้ี มาตรา ๑ พระราชกฤษฎีกาน้ีเรียกวา “พระราชกฤษฎีกากําหนดประเภทธุรกรรมในทางแพง และพาณชิ ยท ยี่ กเวน มิใหน ํากฎหมายวาดว ยธรุ กรรมทางอเิ ลก็ ทรอนิกสมาใชบังคบั พ.ศ. ๒๕๔๙” มาตรา ๒ พระราชกฤษฎีกาน้ีใหใชบังคับตั้งแตวันถัดจากวันประกาศในราชกิจจานุเบกษา เปน ตนไป สำ�านักงานพัฒนาธรุ กรรมทางอเิ ล็กทรอนกิ ส์ (องคก์ ารมหาชน) หนา้ 90 ส�ำานกั งานคณะกรรมการธรุ กรรมทางอเิ ล็กทรอนกิ ส์

เลม ๑๒๓ ตอนท่ี ๒๖ ก หนา ๑๙ ๑๕ มนี าคม ๒๕๔๙ ราชกจิ จานุเบกษา มาตรา ๓ มิใหนําบทบัญญัติตามกฎหมายวาดวยธุรกรรมทางอิเล็กทรอนิกสมาใชบังคับ แกธุรกรรมดังตอ ไปนี้ (๑) ธุรกรรมเกยี่ วกับครอบครวั (๒) ธุรกรรมเกีย่ วกับมรดก มาตรา ๔ ใหนายกรฐั มนตรรี ักษาการตามพระราชกฤษฎกี าน้ี ผรู ับสนองพระบรมราชโองการ พันตาํ รวจโท ทักษิณ ชินวัตร นายกรัฐมนตรี สำ�านกั งานพฒั นาธุรกรรมทางอเิ ล็กทรอนิกส์ (องคก์ ารมหาชน) หน้า 91 ส�ำานักงานคณะกรรมการธุรกรรมทางอเิ ลก็ ทรอนิกส์

เลม ๑๒๓ ตอนท่ี ๒๖ ก หนา ๒๐ ๑๕ มนี าคม ๒๕๔๙ ราชกิจจานเุ บกษา หมายเหตุ :- เหตุผลในการประกาศใชพระราชกฤษฎีกาฉบับน้ี คือ ปจจุบัน แมวาพระราชบัญญัติวาดวย ธุรกรรมทางอเิ ล็กทรอนิกส พ.ศ. ๒๕๔๔ ไดบัญญตั ริ ับรองสถานะทางกฎหมายของขอมูลอเิ ล็กทรอนกิ สแ ละ ลายมือชื่ออิเล็กทรอนิกสใหเทาเทียมกับธุรกรรมที่ทําบนกระดาษและการลงลายมือช่ือไวแลวก็ตาม แตเ นอ่ื งจากการทาํ ธุรกรรมบางประเภทยังไมเหมาะสมที่จะใหก ระทาํ ไดดว ยวธิ ีการทางอเิ ลก็ ทรอนกิ ส สมควร ตราพระราชกฤษฎีกากําหนดประเภทธุรกรรมในทางแพงและพาณชิ ยท ่ยี กเวน มิใหนาํ กฎหมายวาดวยธุรกรรม ทางอิเล็กทรอนิกสม าใชบ ังคบั จึงจาํ เปน ตอ งตราพระราชกฤษฎกี าน้ี สำา�นักงานพฒั นาธรุ กรรมทางอิเล็กทรอนกิ ส์ (องคก์ ารมหาชน) หน้า 92 ส�ำานักงานคณะกรรมการธรุ กรรมทางอิเล็กทรอนิกส์

พระราชกฤษฎีกากำหนดหลกั เกณฑแ ละวิธกี าร ในการทำธรุ กรรมทางอเิ ลก็ ทรอนิกสภ าครัฐ พ.ศ. ๒๕๔๙

ช่ือกฎหมาย พระราชกฤษฎีกากําหนดหลักเกณฑและวธิ ีการในการทาํ ธุรกรรมทางอเิ ล็กทรอนิกส ภาครัฐ พ.ศ. ๒๕๔๙ ประกาศในราชกิจจานุเบกษา เลม ๑๒๔ / ตอนท่ี ๔ ก / หนา ๑ / วนั ที่ ๑๐ มกราคม ๒๕๕๐ เร่ิมบังคบั ใช วนั ที่ ๑๐ มกราคม ๒๕๕๐ ผูรกั ษาการ นายกรฐั มนตรี ส�ำานักงานพัฒนาธรุ กรรมทางอเิ ลก็ ทรอนกิ ส์ (องคก์ ารมหาชน) หนา้ 94 สำ�านกั งานคณะกรรมการธรุ กรรมทางอเิ ลก็ ทรอนกิ ส์

เลม ๑๒๔ ตอนท่ี ๔ ก หนา ๑ ๑๐ มกราคม ๒๕๕๐ ราชกจิ จานุเบกษา พระราชกฤษฎีกา กําหนดหลกั เกณฑและวธิ ีการในการทาํ ธุรกรรมทางอิเลก็ ทรอนิกสภ าครัฐ พ.ศ. ๒๕๔๙ ภมู พิ ลอดลุ ยเดช ป.ร. ใหไว ณ วนั ท่ี ๒๖ พฤศจิกายน พ.ศ. ๒๕๔๙ เปน ปท ่ี ๖๑ ในรัชกาลปจ จบุ นั พระบาทสมเด็จพระปรมินทรมหาภูมิพลอดุลยเดช มีพระบรมราชโองการโปรดเกลา ฯ ใหประกาศวา โดยทเ่ี ปนการสมควรกําหนดหลกั เกณฑแ ละวธิ กี ารในการทาํ ธรุ กรรมทางอเิ ลก็ ทรอนกิ สภ าครฐั อาศัยอํานาจตามความในมาตรา ๑๖ ของรัฐธรรมนูญแหงราชอาณาจักรไทย (ฉบับช่ัวคราว) พุทธศักราช ๒๕๔๙ และมาตรา ๓๕ วรรคหนึ่ง แหงพระราชบัญญัติวาดวยธุรกรรมทางอิเล็กทรอนิกส พ.ศ. ๒๕๔๔ จึงทรงพระกรณุ าโปรดเกลา ฯ ใหต ราพระราชกฤษฎกี าขึน้ ไว ดังตอ ไปน้ี มาตรา ๑ พระราชกฤษฎีกานี้เรียกวา “พระราชกฤษฎีกากําหนดหลักเกณฑและวิธีการ ในการทาํ ธรุ กรรมทางอิเลก็ ทรอนกิ สภาครฐั พ.ศ. ๒๕๔๙” มาตรา ๒ พระราชกฤษฎีกานใ้ี หใชบงั คบั ตัง้ แตว ันประกาศในราชกจิ จานุเบกษาเปนตน ไป มาตรา ๓ ในการทําธุรกรรมทางอิเลก็ ทรอนกิ สภ าครฐั หนวยงานของรัฐตองจัดใหมีระบบ เอกสารทท่ี ําในรูปของขอ มลู อิเลก็ ทรอนิกสในลักษณะ ดังตอไปนี้ สำา�นกั งานพฒั นาธุรกรรมทางอเิ ล็กทรอนกิ ส์ (องคก์ ารมหาชน) หนา้ 95 สำา�นกั งานคณะกรรมการธุรกรรมทางอเิ ลก็ ทรอนกิ ส์

เลม ๑๒๔ ตอนที่ ๔ ก หนา ๒ ๑๐ มกราคม ๒๕๕๐ ราชกิจจานเุ บกษา (๑) เอกสารที่ทําในรูปของขอมูลอิเล็กทรอนิกสน้ันตองอยูในรูปแบบที่เหมาะสม โดยสามารถ แสดงหรืออางอิงเพื่อใชในภายหลังและยังคงความครบถวนของขอความในรูปแบบของขอมูล อเิ ลก็ ทรอนิกส (๒) ตองกําหนดระยะเวลาเริ่มตนและสิ้นสุดในการยื่นเอกสารท่ีทําในรูปของขอมูล อิเล็กทรอนิกส โดยปกติใหยึดถือวันเวลาของการปฏิบัติงานหนวยงานของรัฐน้ันเปนหลัก และอาจ กําหนดระยะเวลาในการดําเนินการพิจารณาของหนวยงานของรัฐดวยวิธีการทางอิเล็กทรอนิกสไวดวย กไ็ ด เวนแตจะมีกฎหมายในเร่ืองนั้นกาํ หนดไวเ ปนอยางอ่ืน (๓) ตองกําหนดวิธีการที่ทําใหสามารถระบุตัวเจาของลายมือชื่อ ประเภท ลักษณะหรือ รปู แบบของลายมอื ชือ่ อิเลก็ ทรอนกิ ส และสามารถแสดงไดว าเจา ของลายมือช่อื รับรองขอ ความในขอมลู อิเลก็ ทรอนกิ ส (๔) ตองกําหนดวิธีการแจงการตอบรับดวยวิธีการทางอิเล็กทรอนิกสหรือดวยวิธีการอื่นใด เพอื่ เปน หลกั ฐานวาไดมีการดําเนนิ การดวยวธิ ีการทางอิเลก็ ทรอนกิ สไปยงั อีกฝา ยหน่งึ แลว มาตรา ๔ นอกจากที่บัญญัติไวในมาตรา ๓ ในกรณีท่ีหนวยงานของรัฐจัดทํากระบวนการ พิจารณาทางปกครองโดยวิธีการทางอิเล็กทรอนิกส ระบบเอกสารที่ทําในรูปของขอมูลอิเล็กทรอนิกส ตองมีลกั ษณะดงั ตอไปนด้ี ว ย เวน แตจะมีกฎหมายในเรื่องนั้นกําหนดไวเปน อยางอ่นื (๑) มีวิธีการส่ือสารกับผูย่ืนคําขอในกรณีท่ีเอกสารมีขอบกพรองหรือมีขอความที่ผิดหลง อันเห็นไดชัดวาเกิดจากความไมรูหรือความเลินเลอของผูยื่นคําขอ หรือการขอขอเท็จจริงเพิ่มเติม รวมทั้งมีวิธีการแจงสิทธิและหนาที่ในกระบวนการพิจารณาทางปกครองตามความจําเปนแกกรณี ในกรณีท่กี ฎหมายกาํ หนดใหตองแจง ใหค กู รณที ราบ (๒) ในกรณีมีความจําเปนตามลักษณะเฉพาะของธุรกรรมทางอิเล็กทรอนิกสภาครัฐใด หนวยงานของรัฐน้ันอาจกําหนดเง่ือนไขวาคูกรณียินยอมตกลงและยอมรับการดําเนินการพิจารณา ทางปกครองของหนวยงานของรัฐโดยวธิ ีการทางอเิ ลก็ ทรอนกิ ส มาตรา ๕ หนวยงานของรัฐตองจัดทําแนวนโยบายและแนวปฏิบัติในการรักษาความม่ันคง ปลอดภัยดานสารสนเทศ เพ่ือใหการดําเนินการใด ๆ ดวยวิธีการทางอิเล็กทรอนิกสกับหนวยงานของรัฐ หรอื โดยหนว ยงานของรัฐมคี วามม่ันคงปลอดภยั และเช่ือถือได แนวนโยบายและแนวปฏบิ ัติอยางนอยตองประกอบดวยเน้ือหา ดังตอ ไปน้ี (๑) การเขา ถึงหรอื ควบคุมการใชง านสารสนเทศ สำ�านักงานพัฒนาธุรกรรมทางอเิ ล็กทรอนกิ ส์ (องค์การมหาชน) หนา้ 96 สำ�านกั งานคณะกรรมการธรุ กรรมทางอิเลก็ ทรอนกิ ส์

เลม ๑๒๔ ตอนท่ี ๔ ก หนา ๓ ๑๐ มกราคม ๒๕๕๐ ราชกิจจานเุ บกษา (๒) การจัดใหมีระบบสารสนเทศและระบบสํารองของสารสนเทศซึ่งอยูในสภาพพรอมใชงาน และจัดทําแผนเตรียมพรอมกรณีฉุกเฉินในกรณีท่ีไมสามารถดําเนินการดวยวิธีการทางอิเล็กทรอนิกส เพื่อใหสามารถใชงานสารสนเทศไดตามปกติอยา งตอ เน่อื ง (๓) การตรวจสอบและประเมนิ ความเสยี่ งดานสารสนเทศอยางสม่ําเสมอ มาตรา ๖ ในกรณีที่มีการรวบรวม จัดเก็บ ใช หรือเผยแพรขอมูล หรือขอเท็จจริงที่ทําให สามารถระบุตัวบุคคล ไมวาโดยตรงหรือโดยออม ใหหนวยงานของรัฐจัดทําแนวนโยบายและ แนวปฏบิ ตั ิการคมุ ครองขอมูลสวนบคุ คลดว ย มาตรา ๗ แนวนโยบายและแนวปฏิบัติตามมาตรา ๕ และมาตรา ๖ ใหหนวยงานของรัฐ จัดทําเปนประกาศ และตองไดรับความเห็นชอบจากคณะกรรมการหรือหนวยงานที่คณะกรรมการ มอบหมาย จึงมีผลใชบงั คบั ได หนว ยงานของรัฐตองปฏิบัติตามแนวนโยบายและแนวปฏิบัติที่ไดแสดงไว และใหจัดใหมีการ ตรวจสอบการปฏิบัตติ ามแนวนโยบายและแนวปฏิบัตทิ ่กี าํ หนดไวอ ยา งสมํา่ เสมอ มาตรา ๘ ใหคณะกรรมการหรือหนวยงานท่ีคณะกรรมการมอบหมายจัดทําแนวนโยบาย และแนวปฏิบัติหรือการอื่นอันเกี่ยวกับการดําเนินการตามพระราชกฤษฎีกาน้ี ไวเปนตัวอยางเบื้องตน สําหรับการดําเนินการของหนวยงานของรัฐในการปฏิบัติตามพระราชกฤษฎีกานี้ และหากหนวยงาน ของรัฐแหงใดมีการปฏิบัติงานตามกฎหมายที่แตกตางเปนการเฉพาะแลว หนวยงานของรัฐแหงน้ันอาจ เพ่ิมเติมรายละเอียดการปฏิบัติงานตามกฎหมายท่ีแตกตางนั้นไดโดยออกเปนระเบียบ ท้ังน้ี โดยให คํานึงถงึ ความถกู ตองครบถวน ความนาเชอื่ ถือ สภาพความพรอมใชงาน และความม่ันคงปลอดภัยของ ระบบและขอ มูลอเิ ลก็ ทรอนกิ ส มาตรา ๙ การทําธุรกรรมทางอิเล็กทรอนกิ สภ าครัฐตามหลักเกณฑแ ละวิธกี ารตามพระราชกฤษฎีกาน้ี ไมมีผลเปนการยกเวนกฎหมายหรือหลักเกณฑและวิธีการที่กฎหมายในเรื่องนั้นกําหนดไวเพ่ือการ อนญุ าต อนมุ ัติ การใหความเห็นชอบ หรอื การวนิ จิ ฉัย มาตรา ๑๐ ใหนายกรัฐมนตรีรักษาการตามพระราชกฤษฎีกาน้ี ผูรับสนองพระบรมราชโองการ พลเอก สุรยุทธ จลุ านนท นายกรัฐมนตรี สาำ�นกั งานพฒั นาธรุ กรรมทางอิเลก็ ทรอนกิ ส์ (องค์การมหาชน) หน้า 97 สำา�นักงานคณะกรรมการธรุ กรรมทางอเิ ล็กทรอนกิ ส์

เลม ๑๒๔ ตอนที่ ๔ ก หนา ๔ ๑๐ มกราคม ๒๕๕๐ ราชกจิ จานุเบกษา หมายเหตุ :- เหตุผลในการประกาศใชพ ระราชกฤษฎกี าฉบับน้ี คอื เน่ืองจากประเทศไทยไดเรมิ่ เขา สยู ุคสงั คมสารสนเทศ ซ่ึงมีการทาํ ธรุ กรรมทางอิเล็กทรอนกิ สภ าครัฐมากข้ึน สมควรสนับสนนุ ใหหนว ยงานของรัฐมีระบบการบริการของตน โดยการประยุกตใชเทคโนโลยีสารสนเทศเพื่อใหสามารถบริการประชาชนไดอยางท่ัวถึง สะดวก และรวดเร็ว อันเปนการเพ่ิมประสิทธิภาพและประสิทธิผลของหนวยงานของรัฐ พรอมกับใหหนวยงานของรัฐสามารถพัฒนา การทําธุรกรรมทางอิเล็กทรอนิกสภาครัฐภายใตมาตรฐานและเปนไปในทิศทางเดียวกัน และสรางความเช่ือม่ัน ของประชาชนตอการดําเนินกิจกรรมของรัฐดวยวิธีการทางอิเล็กทรอนิกส ประกอบกับมาตรา ๓๕ วรรคหน่ึง แหงพระราชบัญญัติวาดวยธุรกรรมทางอิเล็กทรอนิกส พ.ศ. ๒๕๔๔ บัญญัติวา คําขอ การอนุญาต การจดทะเบียน คําสั่งทางปกครอง การชาํ ระเงิน การประกาศหรือการดาํ เนินการใด ๆ ตามกฎหมายกับหนวยงานของรัฐหรือโดยหนวยงาน ของรฐั ถา ไดก ระทําในรูปของขอมลู อเิ ล็กทรอนิกสต ามหลักเกณฑและวิธีการท่ีกําหนดโดยพระราชกฤษฎีกาแลว ใหถ ือวา มผี ลโดยชอบดวยกฎหมายเชนเดียวกับการดําเนินการตามหลักเกณฑและวิธีการท่ีกฎหมายในเรื่องนั้นกําหนด จึงจาํ เปน ตอ งตราพระราชกฤษฎีกานี้ สำา�นักงานพัฒนาธรุ กรรมทางอเิ ลก็ ทรอนิกส์ (องคก์ ารมหาชน) หน้า 98 สำา�นกั งานคณะกรรมการธรุ กรรมทางอิเล็กทรอนกิ ส์

ประกาศคณะกรรมการธุรกรรมทางอเิ ล็กทรอนิกส เร่อื ง แนวนโยบายและแนวปฏบิ ตั ใิ นการรกั ษาความมั่นคงปลอดภัย ดานสารสนเทศของหนวยงานของรฐั (ฉบับท่ี ๒) พ.ศ. ๒๕๕๖

ชอื่ กฎหมาย ประกาศคณะกรรมการธรุ กรรมทางอิเลก็ ทรอนกิ ส์ เรือ่ ง แนวนโยบายและแนวปฏบิ ตั ิ ในการรกั ษาความมน่ั คงปลอดภัยดา้ นสารสนเทศของหน่วยงานของรฐั (ฉบบั ท่ี ๒) พ.ศ. ๒๕๕๖ ประกาศในราชกิจจานุเบกษา เลม่ ๑๓๐ / ตอนพิเศษ ๒๑ ง / หน้า ๕๒ / วันท่ี ๑๔ กุมภาพันธ์ ๒๕๕๖ เร่มิ บงั คับใช้ วนั ที่ ๑๕ กมุ ภาพันธ์ ๒๕๕๖ ส�ำ นกั งานพฒั นาธรุ กรรมทางอเิ ล็กทรอนิกส์ (องคก์ ารมหาชน) หน้า 100 ส�ำ นกั งานคณะกรรมการธรุ กรรมทางอิเลก็ ทรอนกิ ส์

เลม่ ๑๓๐ ตอนพเิ ศษ ๒๑ ง หน้า ๕๒ ๑๔ กมุ ภาพนั ธ์ ๒๕๕๖ ราชกิจจานุเบกษา ประกาศคณะกรรมการธุรกรรมทางอเิ ลก็ ทรอนกิ ส์ เรอื่ ง แนวนโยบายและแนวปฏิบตั ิในการรกั ษาความม่ันคงปลอดภยั ดา้ นสารสนเทศของหน่วยงานของรัฐ (ฉบับที่ ๒) พ.ศ. ๒๕๕๖ โดยที่เป็นการสมควรปรับปรุงแนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัย ดา้ นสารสนเทศของหนว่ ยงานของรัฐให้สอดคลอ้ งกบั มาตรฐานสากล อาศัยอํานาจตามความในมาตรา ๕ มาตรา ๗ และมาตรา ๘ แห่งพระราชกฤษฎีกากําหนด หลักเกณฑ์และวิธีการในการทําธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. ๒๕๔๙ คณะกรรมการธุรกรรมทาง อเิ ลก็ ทรอนกิ สจ์ งึ ออกประกาศไว้ ดังตอ่ ไปน้ี ข้อ ๑ ประกาศนเ้ี รียกวา่ “ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ เรื่อง แนวนโยบาย และแนวปฏิบัติในการรักษาความมนั่ คงปลอดภยั ด้านสารสนเทศของหน่วยงานของรัฐ (ฉบบั ท่ี ๒) พ.ศ. ๒๕๕๖” ขอ้ ๒ ให้ยกเลิกความในข้อ ๑๔ ของประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ เรือ่ ง แนวนโยบายและแนวปฏบิ ตั ใิ นการรักษาความมั่นคงปลอดภัยด้านสารสนเทศของหน่วยงานของรัฐ พ.ศ. ๒๕๕๓ และใหใ้ ชค้ วามต่อไปน้ีแทน “ข้อ ๑๔ หน่วยงานของรฐั ต้องกาํ หนดความรับผิดชอบที่ชัดเจน กรณีระบบคอมพิวเตอร์หรือ ขอ้ มูลสารสนเทศเกดิ ความเสยี หาย หรืออันตรายใด ๆ แก่องค์กรหรือผู้หนึ่งผู้ใด อันเน่ืองมาจากความบกพร่อง ละเลย หรอื ฝา่ ฝืนการปฏบิ ัตติ ามแนวนโยบายและแนวปฏิบัติในการรกั ษาความมน่ั คงปลอดภยั ด้านสารสนเทศ ท้งั น้ี ให้ผบู้ รหิ ารระดบั สูงสุดของหน่วยงาน (Chief Executive Officer : CEO) เป็นผู้รับผิดชอบต่อความเส่ียง ความเสยี หาย หรืออันตรายท่ีเกดิ ข้ึน” ข้อ ๓ ประกาศน้ีให้ใช้บังคบั ตง้ั แต่วนั ถดั จากวันประกาศในราชกิจจานุเบกษาเป็นต้นไป ประกาศ ณ วนั ที่ ๒๕ มกราคม พ.ศ. ๒๕๕๖ นาวาอากาศเอก อนุดษิ ฐ์ นาครทรรพ รฐั มนตรีวา่ การกระทรวงเทคโนโลยสี ารสนเทศและการสอ่ื สาร ประธานกรรมการธรุ กรรมทางอเิ ล็กทรอนกิ ส์ ส�ำ นักงานพัฒนาธุรกรรมทางอิเลก็ ทรอนกิ ส์ (องค์การมหาชน) หนา้ 101 ส�ำ นกั งานคณะกรรมการธรุ กรรมทางอเิ ลก็ ทรอนกิ ส์

ประกาศคณะกรรมการธรุ กรรมทางอเิ ลก็ ทรอนกิ ส เรื่อง แนวนโยบายและแนวปฏบิ ตั ิในการรกั ษาความมัน่ คงปลอดภัย ดานสารสนเทศของหนวยงานของรฐั พ.ศ. ๒๕๕๓

ช่อื กฎหมาย ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนกิ ส เรื่อง แนวนโยบายและแนวปฏบิ ตั ิ ในการรกั ษาความมนั่ คงปลอดภยั ดานสารสนเทศของหนวยงานของรฐั พ.ศ. ๒๕๕๓ ประกาศในราชกิจจานเุ บกษา เลม ๑๒๗ / ตอนพิเศษ ๗๘ ง / หนา ๑๓๑ / วันท่ี ๒๓ มิถนุ ายน ๒๕๕๓ เรม่ิ บงั คับใช วนั ที่ ๒๔ มิถุนายน ๒๕๕๓ สำา�นกั งานพฒั นาธุรกรรมทางอิเล็กทรอนกิ ส์ (องคก์ ารมหาชน) หนา้ 1003 สาำ�นกั งานคณะกรรมการธรุ กรรมทางอเิ ลก็ ทรอนิกส์

เลม ๑๒๗ ตอนพเิ ศษ ๗๘ ง หนา ๑๓๑ ๒๓ มถิ นุ ายน ๒๕๕๓ ราชกิจจานเุ บกษา ประกาศคณะกรรมการธุรกรรมทางอิเลก็ ทรอนิกส เร่อื ง แนวนโยบายและแนวปฏิบตั ใิ นการรักษาความมนั่ คงปลอดภัยดา นสารสนเทศ ของหนว ยงานของรฐั พ.ศ. ๒๕๕๓ ดว ยปญ หาดานการรักษาความม่ันคงปลอดภัยใหกบั สารสนเทศมีความรุนแรงเพ่ิมขึ้นท้ังในประเทศ และตางประเทศ อีกทั้งยังมีแนวโนมท่ีจะสงผลกระทบตอภาครัฐและภาคธุรกิจมากข้ึน ทําให ผูประกอบการ ตลอดจนองคกร ภาครัฐ และภาคเอกชนท่ีมีการดําเนินงานใด ๆ ในรูปของขอมูล อิเล็กทรอนกิ สผา นระบบสารสนเทศขององคกร ขาดความเชื่อมนั่ ตอ การทําธรุ กรรมทางอิเล็กทรอนิกส ในทุกรูปแบบ ประกอบกับคณะกรรมการธุรกรรมทางอิเล็กทรอนิกสตระหนักถึงความจําเปน ที่จะสงเสริมและผลักดันใหประเทศสามารถยกระดับการแขงขันกับประเทศอื่น ๆ โดยการนําระบบ สารสนเทศและการส่ือสารมาประยุกตใชประกอบการทําธุรกรรมทางอิเล็กทรอนิกสอยางแพรหลาย จึงเหน็ ความสาํ คัญท่ีจะนํากฎหมาย ขอบังคับตาง ๆ มาบังคับใชกับการทําธุรกรรมทางอิเล็กทรอนิกส ทงั้ ในสวนทีต่ องกระทําและในสว นท่ีตอ งงดเวนการกระทาํ เพ่อื ชวยใหการทําธุรกรรมทางอิเล็กทรอนิกส ของหนว ยงานของรัฐมคี วามมน่ั คงปลอดภัยและมคี วามนา เช่อื ถือ เพื่อใหการดําเนินการใด ๆ ดวยวิธีการทางอิเล็กทรอนิกสกับหนวยงานของรัฐ หรือโดย หนว ยงานของรัฐมีความม่ันคงปลอดภยั และเชื่อถอื ได ตลอดจนมีมาตรฐานเปน ทีย่ อมรับในระดบั สากล คณะกรรมการธรุ กรรมทางอิเลก็ ทรอนกิ ส จึงเหน็ ควรกาํ หนดแนวนโยบายและแนวปฏิบัติในการรักษา ความมนั่ คงปลอดภัยดา นสารสนเทศของหนวยงานของรฐั อาศัยอาํ นาจตามความในมาตรา ๕ มาตรา ๗ และมาตรา ๘ แหงพระราชกฤษฎีกากําหนด หลักเกณฑและวิธีการในการทําธุรกรรมทางอิเล็กทรอนิกสภาครัฐ พ.ศ. ๒๕๔๙ คณะกรรมการ ธุรกรรมทางอิเล็กทรอนิกสจึงไดจัดทําประกาศฉบับน้ี เพ่ือเปนแนวทางเบื้องตนใหหนวยงานของรัฐ ใชในการกาํ หนดนโยบาย และขอปฏิบัติในการรักษาความม่ันคงปลอดภัยดานสารสนเทศ ซึ่งอยางนอย ตองประกอบดวยสาระสําคัญ ดังตอ ไปนี้ ขอ ๑ ในประกาศน้ี (๑) ผูใชงาน หมายความวา ขาราชการ เจาหนาท่ี พนักงานของรัฐ ลูกจาง ผูดูแลระบบ ผูบรหิ ารขององคกร ผรู บั บรกิ าร ผูใ ชงานท่วั ไป สาำ�นกั งานพฒั นาธุรกรรมทางอเิ ลก็ ทรอนกิ ส์ (องค์การมหาชน) หนา้ 1041 สำา�นกั งานคณะกรรมการธรุ กรรมทางอเิ ลก็ ทรอนกิ ส์

เลม ๑๒๗ ตอนพิเศษ ๗๘ ง หนา ๑๓๒ ๒๓ มถิ นุ ายน ๒๕๕๓ ราชกิจจานเุ บกษา (๒) สทิ ธขิ องผใู ชงาน หมายความวา สทิ ธิท่ัวไป สิทธิจําเพาะ สิทธิพิเศษ และสิทธิอ่ืนใด ที่เกีย่ วขอ งกับระบบสารสนเทศของหนว ยงาน (๓) สินทรพั ย (asset) หมายความวา สิง่ ใดกต็ ามทมี่ ีคุณคาสําหรับองคกร (๔) การเขาถงึ หรอื ควบคมุ การใชงานสารสนเทศ หมายความวา การอนุญาต การกําหนดสิทธิ หรือการมอบอํานาจใหผูใชงาน เขาถึงหรือใชงานเครือขายหรือระบบสารสนเทศ ทั้งทางอิเล็กทรอนิกส และทางกายภาพ รวมท้งั การอนุญาตเชนวานั้นสําหรับบุคคลภายนอก ตลอดจนอาจกําหนดขอปฏิบัติ เกยี่ วกบั การเขาถึงโดยมิชอบเอาไวด ว ยก็ได (๕) ความมั่นคงปลอดภัยดานสารสนเทศ (information security) หมายความวา การธํารงไว ซ่งึ ความลับ (confidentiality) ความถูกตอ งครบถว น (integrity) และสภาพพรอมใชงาน (availability) ของสารสนเทศ รวมทั้งคุณสมบัติอ่ืน ไดแกความถูกตองแทจริง (authenticity) ความรับผิด (accountability) การหามปฏิเสธความรบั ผดิ (non-repudiation) และความนา เชอ่ื ถือ (reliability) (๖) เหตุการณดานความม่ันคงปลอดภัย (information security event) หมายความวา กรณีท่ีระบุการเกิดเหตุการณ สภาพของบริการหรือเครือขายท่ีแสดงใหเห็นความเปนไปไดที่จะเกิด การฝา ฝน นโยบายดานความมน่ั คงปลอดภยั หรือมาตรการปอ งกนั ท่ลี มเหลว หรือเหตุการณอันไมอาจรู ไดว า อาจเก่ียวขอ งกับความมั่นคงปลอดภยั (๗) สถานการณด า นความม่ันคงปลอดภัยที่ไมพึงประสงคหรือไมอาจคาดคิด (information security incident) หมายความวา สถานการณด านความมน่ั คงปลอดภยั ท่ีไมพ ึงประสงคหรือไมอาจคาดคิด (unwanted or unexpected) ซึ่งอาจทาํ ใหระบบขององคกรถูกบุกรุกหรือโจมตี และความมั่นคง ปลอดภยั ถูกคกุ คาม ขอ ๒ หนวยงานของรัฐตองจัดใหมีนโยบายในการรักษาความม่ันคงปลอดภัย ดานสารสนเทศของหนว ยงานเปนลายลกั ษณอกั ษร ซ่งึ อยา งนอยตองประกอบดวยเนอื้ หา ดงั ตอ ไปนี้ (๑) การเขาถึงหรอื ควบคุมการใชง านสารสนเทศ (๒) จดั ใหม รี ะบบสารสนเทศและระบบสํารองของสารสนเทศซึ่งอยูในสภาพพรอมใชงาน แ ล ะ จั ด ทํ า แ ผ น เ ต รี ย ม ค ว า ม พ ร อ ม ก ร ณี ฉุ ก เ ฉิ น ใ น ก ร ณี ท่ี ไ ม ส า ม า ร ถ ดํ า เ นิ น ก า ร ด ว ย วิ ธี ก า ร ทางอเิ ล็กทรอนกิ สเพอ่ื ใหส ามารถใชงานสารสนเทศไดต ามปกติอยา งตอ เน่ือง (๓) การตรวจสอบและประเมินความเสย่ี งดานสารสนเทศอยางสมาํ่ เสมอ สาำ�นกั งานพัฒนาธรุ กรรมทางอิเล็กทรอนกิ ส์ (องคก์ ารมหาชน) หนา้ 1052 สำา�นกั งานคณะกรรมการธุรกรรมทางอเิ ลก็ ทรอนกิ ส์

เลม ๑๒๗ ตอนพเิ ศษ ๗๘ ง หนา ๑๓๓ ๒๓ มิถุนายน ๒๕๕๓ ราชกจิ จานเุ บกษา ขอ ๓ หนวยงานของรัฐตองจัดใหมีขอปฏิบัติในการรักษาความมั่นคงปลอดภัย ดานสารสนเทศของหนว ยงาน ซึ่งอยา งนอ ยตอ งประกอบดวยกระบวนการ ดังตอ ไปนี้ (๑) หนวยงานของรัฐตองจัดทําขอปฏิบัติที่สอดคลองกับนโยบายการรักษาความม่ันคง ปลอดภัยดานสารสนเทศของหนว ยงาน (๒) หนวยงานของรัฐตองประกาศนโยบายและขอปฏิบัติดังกลาว ใหผูเก่ียวของทั้งหมดทราบ เพ่อื ใหส ามารถเขาถงึ เขาใจ และปฏิบตั ิตามนโยบายและขอ ปฏบิ ตั ิได (๓) หนว ยงานของรฐั ตอ งกาํ หนดผรู บั ผิดชอบตามนโยบายและขอ ปฏบิ ตั ดิ ังกลาวใหชัดเจน (๔) หนว ยงานของรฐั ตอ งทบทวนปรับปรงุ นโยบายและขอปฏบิ ตั ิใหเ ปนปจ จุบนั อยเู สมอ ขอ ๔ ขอ ปฏิบตั ใิ นดานการรักษาความม่ันคงปลอดภัย ตองมีเนื้อหาอยางนอยครอบคลุม ตามขอ ๕ - ๑๕ ขอ ๕ ใหมีขอกาํ หนดการเขาถึงและควบคุมการใชงานสารสนเทศ (access control) ซง่ึ ตองมเี นอ้ื หาอยางนอ ย ดงั นี้ (๑) หนว ยงานของรัฐตองมีการควบคุมการเขาถึงขอ มลู และอปุ กรณใ นการประมวลผลขอมูล โดยคํานงึ ถงึ การใชงานและความมน่ั คงปลอดภัย (๒) ในการกําหนดกฎเกณฑเกี่ยวกับการอนุญาตใหเขาถึง ตองกําหนดตามนโยบาย ท่ีเกีย่ วขอ งกับการอนญุ าต การกําหนดสทิ ธิ หรอื การมอบอํานาจของหนวยงานของรฐั น้ัน ๆ (๓) หนวยงานของรัฐตอ งกาํ หนดเกย่ี วกับประเภทของขอมูล ลําดับความสําคัญ หรือลําดับ ชน้ั ความลบั ของขอมูล รวมทงั้ ระดับช้ันการเขา ถงึ เวลาทไี่ ดเ ขาถงึ และชอ งทางการเขา ถงึ ขอ ๖ ใหมีขอกําหนดการใชงานตามภารกิจเพ่ือควบคุมการเขาถึงสารสนเทศ (business requirements for access control) โดยแบง การจดั ทาํ ขอปฏิบัตเิ ปน ๒ สวนคอื การควบคุมการเขาถึง สารสนเทศ และการปรับปรุงใหสอดคลองกับขอกําหนดการใชงานตามภารกิจและขอกําหนด ดา นความมน่ั คงปลอดภยั ขอ ๗ ใหมีการบริหารจัดการการเขาถึงของผูใชงาน (user access management) เพ่ือควบคมุ การเขาถึงระบบสารสนเทศเฉพาะผูท่ีไดรับอนุญาตแลว และผานการฝกอบรม หลักสูตร การสรางความตระหนักเรื่องความม่ันคงปลอดภัยสารสนเทศ (information security awareness training) เพือ่ ปองกนั การเขาถึงจากผูซึง่ ไมไ ดรบั อนญุ าต โดยตองมเี น้ือหาอยา งนอย ดงั น้ี ส�ำานกั งานพัฒนาธรุ กรรมทางอิเล็กทรอนิกส์ (องคก์ ารมหาชน) หน้า 1063 ส�ำานักงานคณะกรรมการธรุ กรรมทางอเิ ลก็ ทรอนกิ ส์

เลม ๑๒๗ ตอนพเิ ศษ ๗๘ ง หนา ๑๓๔ ๒๓ มถิ นุ ายน ๒๕๕๓ ราชกจิ จานุเบกษา (๑) สรางความรูความเขาใจใหกับผูใชงาน เพื่อใหเกิดความตระหนัก ความเขาใจถึงภัย และผลกระทบท่ีเกิดจากการใชงานระบบสารสนเทศโดยไมระมัดระวังหรือรูเทาไมถึงการณ รวมถึง กาํ หนดใหมมี าตรการเชิงปองกันตามความเหมาะสม (๒) การลงทะเบียนผใู ชง าน (user registration) ตอ งกาํ หนดใหม ขี ั้นตอนทางปฏิบัติสําหรับ การลงทะเบียนผูใชงานเม่ือมีการอนุญาตใหเขาถึงระบบสารสนเทศ และการตัดออกจากทะเบียน ของผูใ ชง านเมอื่ มกี ารยกเลกิ เพกิ ถอนการอนุญาตดงั กลา ว (๓) การบริหารจัดการสิทธิของผูใชงาน (user management) ตองจัดใหมีการควบคุม และจาํ กัดสิทธิเพ่ือเขาถึงและใชง านระบบสารสนเทศแตละชนิดตามความเหมาะสม ท้ังน้ีรวมถึงสิทธิจําเพาะ สทิ ธิพิเศษ และสทิ ธิอ่ืน ๆ ที่เกีย่ วขอ งกบั การเขา ถึง (๔) การบรหิ ารจดั การรหัสผานสําหรบั ผใู ชง าน (user password management) ตองจัดใหมี กระบวนการบรหิ ารจดั การรหัสผา นสําหรบั ผูใชง านอยางรดั กมุ (๕) การทบทวนสิทธิการเขาถึงของผูใชงาน (review of user access rights) ตองจัดใหมี กระบวนการทบทวนสทิ ธิการเขาถึงของผูใชง านระบบสารสนเทศตามระยะเวลาท่ีกาํ หนดไว ขอ ๘ ใหมีการกําหนดหนาที่ความรับผิดชอบของผูใชงาน (user responsibilities) เพ่ือปองกันการเขาถึงโดยไมไดรับอนุญาต การเปดเผย การลวงรู หรือการลักลอบทําสําเนาขอมูล สารสนเทศและการลกั ขโมยอุปกรณประมวลผลสารสนเทศ โดยตองมีเนื้อหาอยางนอ ย ดังน้ี (๑) การใชงานรหัสผา น (password use) ตองกาํ หนดแนวปฏิบัติท่ีดีสําหรับผูใชงานในการ กาํ หนดรหสั ผาน การใชง านรหสั ผาน และการเปล่ยี นรหสั ผานท่ีมีคุณภาพ (๒) การปองกันอปุ กรณใ นขณะที่ไมมีผูใชงานท่ีอุปกรณ ตองกําหนดขอปฏิบัติท่ีเหมาะสม เพ่อื ปอ งกนั ไมใ หผไู มม สี ิทธิสามารถเขา ถงึ อปุ กรณข องหนว ยงานในขณะที่ไมมผี ดู แู ล (๓) การควบคุมสินทรัพยสารสนเทศและการใชงานระบบคอมพิวเตอร (clear desk and clear screen policy) ตองควบคุมไมใหสินทรัพยสารสนเทศ เชน เอกสาร สื่อบันทึกขอมูล คอมพิวเตอร หรือสารสนเทศ อยูในภาวะซ่ึงเสี่ยงตอการเขาถึงโดยผูซึ่งไมมีสิทธิ และตองกําหนดให ผูใ ชงานออกจากระบบสารสนเทศเมอ่ื วางเวน จากการใชงาน สำ�านกั งานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องคก์ ารมหาชน) หน้า 1074 ส�ำานกั งานคณะกรรมการธรุ กรรมทางอิเล็กทรอนิกส์

เลม ๑๒๗ ตอนพเิ ศษ ๗๘ ง หนา ๑๓๕ ๒๓ มิถนุ ายน ๒๕๕๓ ราชกจิ จานุเบกษา (๔) ผูใชงานอาจนําการเขารหัส มาใชกับขอมูลท่ีเปนความลับ โดยใหปฏิบัติตามระเบียบ การรักษาความลับทางราชการ พ.ศ. ๒๕๔๔ ขอ ๙ ใหมีการควบคุมการเขาถึงเครือขาย (network access control) เพื่อปองกัน การเขา ถึงบริการทางเครือขา ยโดยไมไดรับอนุญาต โดยตอ งมเี นอื้ หาอยา งนอ ย ดังนี้ (๑) การใชงานบริการเครือขาย ตองกําหนดใหผูใชงานสามารถเขาถึงระบบสารสนเทศ ไดแตเ พยี งบริการทไ่ี ดรับอนุญาตใหเ ขา ถงึ เทานน้ั (๒) การยนื ยนั ตัวบุคคลสําหรับผูใชท่ีอยูภายนอกองคกร (user authentication for external connections) ตองกําหนดใหมีการยนื ยันตัวบุคคลกอ นทจ่ี ะอนุญาตใหผูใชท ่ีอยูภายนอกองคกรสามารถ เขา ใชงานเครือขายและระบบสารสนเทศขององคกรได (๓) การระบุอุปกรณบนเครือขาย (equipment identification in networks) ตองมีวิธีการ ทสี่ ามารถระบุอปุ กรณบนเครือขา ยได และควรใชก ารระบุอุปกรณบนเครอื ขา ยเปน การยืนยนั (๔) การปองกันพอรตท่ีใชสําหรับตรวจสอบและปรับแตงระบบ (remote diagnostic and configuration port protection) ตองควบคมุ การเขาถึงพอรต ทใ่ี ชสําหรับตรวจสอบและปรับแตงระบบ ทั้งการเขา ถงึ ทางกายภาพและทางเครือขาย (๕) การแบงแยกเครือขาย (segregation in networks) ตองทําการแบงแยกเครือขาย ตามกลุมของบรกิ ารสารสนเทศ กลมุ ผใู ชง าน และกลุมของระบบสารสนเทศ (๖) การควบคุมการเช่ือมตอทางเครือขาย (network connection control) ตองควบคุม การเขาถึงหรือใชงานเครือขายท่ีมีการใชรวมกันหรือเช่ือมตอระหวางหนวยงานใหสอดคลองกับ ขอ ปฏบิ ัติการควบคมุ การเขา ถึง (๗) การควบคุมการจัดเสนทางบนเครือขาย (network routing control) ตองควบคุมการจัด เสนทางบนเครือขายเพื่อใหการเชื่อมตอของคอมพิวเตอรและการสงผานหรือไหลเวียนของขอมูล หรอื สารสนเทศสอดคลอ งกบั ขอ ปฏบิ ัติการควบคมุ การเขา ถงึ หรือการประยุกตใชงานตามภารกิจ ขอ ๑๐ ใหมีการควบคุมการเขาถึงระบบปฏิบัติการ (operating system access control) เพื่อปอ งกันการเขา ถงึ ระบบปฏบิ ัติการโดยไมไดรับอนญุ าต โดยตอ งมีเนื้อหาอยางนอ ย ดงั น้ี (๑) การกําหนดข้ันตอนปฏิบัติเพ่ือการเขาใชงานที่ม่ันคงปลอดภัย การเขาถึงระบบ ปฏิบตั ิการจะตองควบคุมโดยวธิ กี ารยนื ยนั ตัวตนทมี่ ่ันคงปลอดภัย ส�ำานักงานพัฒนาธรุ กรรมทางอเิ ล็กทรอนิกส์ (องค์การมหาชน) หนา้ 1058 สำ�านักงานคณะกรรมการธุรกรรมทางอเิ ล็กทรอนิกส์

เลม ๑๒๗ ตอนพเิ ศษ ๗๘ ง หนา ๑๓๖ ๒๓ มิถนุ ายน ๒๕๕๓ ราชกจิ จานุเบกษา (๒) การระบุและยืนยันตัวตนของผูใชงาน (user identification and authentication) ตอ งกําหนดใหผูใชงานมีขอมูลเฉพาะเจาะจงซ่ึงสามารถระบุตัวตนของผูใชงาน และเลือกใชข้ันตอน ทางเทคนิคในการยนื ยันตัวตนทเี่ หมาะสมเพ่ือรองรับการกลาวอางวา เปนผใู ชง านทร่ี ะบุถึง (๓) การบริหารจัดการรหัสผาน (password management system) ตองจัดทําหรือจัดใหมี ระบบบริหารจัดการรหัสผานที่สามารถทํางานเชิงโตตอบ (interactive) หรือมีการทํางานในลักษณะ อตั โนมตั ิ ซึ่งเอ้อื ตอ การกาํ หนดรหัสผานท่ีมคี ณุ ภาพ (๔) การใชง านโปรแกรมอรรถประโยชน (use of system utilities) ควรจํากัดและควบคุม การใชงานโปรแกรมประเภทอรรถประโยชน เพ่ือปองกันการละเมิดหรือหลีกเลี่ยงมาตรการ ความมั่นคงปลอดภยั ที่ไดกาํ หนดไวหรือทมี่ อี ยแู ลว (๕) เม่ือมกี ารวางเวนจากการใชง านในระยะเวลาหน่ึงใหยุติการใชงานระบบสารสนเทศนั้น (session time-out) (๖) การจํากัดระยะเวลาการเช่ือมตอระบบสารสนเทศ (limitation of connection time) ตองจํากัดระยะเวลาในการเชื่อมตอเพ่ือใหมีความมั่นคงปลอดภัยมากย่ิงข้ึนสําหรับระบบสารสนเทศ หรือแอพพลิเคช่ันท่ีมคี วามเสย่ี งหรอื มีความสําคัญสงู ขอ ๑๑ ใหมีการควบคุมการเขาถึงโปรแกรมประยุกตหรือแอพพลิเคช่ันและสารสนเทศ (application and information access control) โดยตองมีการควบคมุ ดังน้ี (๑) การจํากัดการเขา ถงึ สารสนเทศ (information access restriction) ตองจาํ กัดหรอื ควบคุม การเขา ถงึ หรือเขา ใชงานของผูใ ชง านและบคุ ลากรฝายสนบั สนนุ การเขา ใชงานในการเขาถึงสารสนเทศ และฟงกชัน (functions) ตาง ๆ ของโปรแกรมประยุกตหรือแอพพลิเคชั่น ทั้งนี้โดยใหสอดคลอง ตามนโยบายควบคมุ การเขาถงึ สารสนเทศทีไ่ ดก ําหนดไว (๒) ระบบซึ่งไวตอการรบกวน มีผลกระทบและมีความสําคัญสูงตอองคกร ตองไดรับ การแยกออกจากระบบอ่นื ๆ และมกี ารควบคุมสภาพแวดลอมของตนเองโดยเฉพาะ ใหมีการควบคุม อุปกรณคอมพิวเตอรและสื่อสารเคลื่อนท่ีและการปฏิบัติงานจากภายนอกองคกร (mobile computing and teleworking) (๓) การควบคุมอุปกรณคอมพิวเตอรและสื่อสารเคล่ือนที่ ตองกําหนดขอปฏิบัติ และมาตรการท่ีเหมาะสมเพ่ือปกปองสารสนเทศจากความเสี่ยงของการใชอุปกรณคอมพิวเตอร และส่ือสารเคลอ่ื นที่ สำ�านกั งานพฒั นาธุรกรรมทางอเิ ลก็ ทรอนกิ ส์ (องค์การมหาชน) หน้า 1096 สำ�านักงานคณะกรรมการธรุ กรรมทางอิเลก็ ทรอนิกส์

เลม ๑๒๗ ตอนพิเศษ ๗๘ ง หนา ๑๓๗ ๒๓ มิถนุ ายน ๒๕๕๓ ราชกิจจานเุ บกษา (๔) การปฏิบัติงานจากภายนอกสํานักงาน (teleworking) ตองกําหนดขอปฏิบัติ แผนงาน และขัน้ ตอนปฏิบตั ิเพอ่ื ปรบั ใชส ําหรบั การปฏบิ ตั งิ านขององคก รจากภายนอกสํานกั งาน ขอ ๑๒ หนว ยงานของรฐั ทมี่ ีระบบสารสนเทศตอ งจดั ทําระบบสาํ รอง ตามแนวทางตอไปนี้ (๑) ตองพิจารณาคัดเลือกและจัดทําระบบสํารองที่เหมาะสมใหอยูในสภาพพรอมใชงาน ทเี่ หมาะสม (๒) ตองจัดทาํ แผนเตรยี มความพรอ มกรณฉี ุกเฉินในกรณที ไี่ มสามารถดําเนินการดวยวิธีการ ทางอิเล็กทรอนิกส เพ่อื ใหส ามารถใชง านสารสนเทศไดตามปกติอยางตอเนื่อง โดยตองปรับปรุงแผน เตรยี มความพรอ มกรณีฉุกเฉินดงั กลาวใหสามารถปรบั ใชไ ดอ ยางเหมาะสมและสอดคลองกบั การใชงาน ตามภารกิจ (๓) ตองมีการกําหนดหนาที่และความรับผิดชอบของบุคลากรซ่ึงดูแลรับผิดชอบระบบ สารสนเทศ ระบบสํารอง และการจัดทําแผนเตรียมพรอมกรณีฉุกเฉินในกรณีที่ไมสามารถดําเนินการ ดวยวิธีการทางอิเลก็ ทรอนิกส (๔) ตอ งมกี ารทดสอบสภาพพรอ มใชง านของระบบสารสนเทศ ระบบสาํ รองและระบบแผน เตรียมพรอมกรณฉี กุ เฉนิ อยา งสม่ําเสมอ (๕) สําหรับความถขี่ องการปฏิบตั ใิ นแตล ะขอ ควรมกี ารปฏิบตั ทิ ี่เพยี งพอตอ สภาพความเส่ียง ท่ียอมรบั ไดข องแตละหนวยงาน ขอ ๑๓ หนว ยงานของรฐั ตอ งจัดใหมกี ารตรวจสอบและประเมินความเส่ียงดานสารสนเทศ โดยตอ งมเี นอื้ หาอยา งนอ ย ดงั น้ี (๑) หนวยงานของรฐั ตองจดั ใหมีการตรวจสอบและประเมนิ ความเส่ยี งดา นสารสนเทศท่ีอาจ เกิดข้ึนกับระบบสารสนเทศ (information security audit and assessment) อยา งนอยปละ ๑ ครั้ง (๒) ในการตรวจสอบและประเมินความเส่ียงจะตองดําเนินการ โดยผูตรวจสอบภายใน หนวยงานของรัฐ (internal auditor) หรือโดยผตู รวจสอบอิสระดานความม่ันคงปลอดภัยจากภายนอก (external auditor) เพอื่ ใหห นว ยงานของรัฐไดท ราบถงึ ระดับความเสี่ยงและระดับความม่ันคงปลอดภัย สารสนเทศของหนวยงาน ขอ ๑๔ หนวยงานของรัฐตองกําหนดความรับผิดชอบที่ชัดเจน กรณีระบบคอมพิวเตอร หรอื ขอมูลสารสนเทศเกดิ ความเสียหาย หรืออันตรายใด ๆ แกองคกรหรือผูหนึ่งผูใด อันเนื่องมาจาก สำา�นกั งานพฒั นาธรุ กรรมทางอเิ ลก็ ทรอนกิ ส์ (องค์การมหาชน) หน้า 10170 สำา�นักงานคณะกรรมการธรุ กรรมทางอเิ ล็กทรอนกิ ส์

เลม ๑๒๗ ตอนพิเศษ ๗๘ ง หนา ๑๓๘ ๒๓ มถิ ุนายน ๒๕๕๓ ราชกจิ จานุเบกษา ความบกพรอ ง ละเลย หรือฝา ฝน การปฏิบัติตามแนวนโยบายและแนวปฏิบัติในการรักษาความม่ันคง ปลอดภยั ดา นสารสนเทศ โดยกาํ หนดใหผบู รหิ ารระดับสูง ซ่ึงมีหนาที่ดูแลรับผิดชอบดานสารสนเทศ ของหนวยงานของรฐั เปนผรู ับผดิ ชอบตอความเสยี่ ง ความเสยี หาย หรืออนั ตรายทเ่ี กิดข้ึน ขอ ๑๕ หนวยงานของรัฐสามารถเลือกใชขอปฏิบัติในการรักษาความม่ันคงปลอดภัย ดานสารสนเทศ ท่ีตางไปจากประกาศฉบับน้ีได หากแสดงใหเห็นวา ขอปฏิบัติที่เลือกใชมีความ เหมาะสมกวา หรอื เทียบเทา ขอ ๑๖ ประกาศนใี้ หใชบ งั คับตั้งแตวนั ถดั จากวันประกาศในราชกจิ จานุเบกษาเปนตนไป ประกาศ ณ วนั ที่ ๓๑ พฤษภาคม พ.ศ. ๒๕๕๓ รอยตรหี ญิง ระนองรกั ษ สวุ รรณฉวี รัฐมนตรีวา การกระทรวงเทคโนโลยีสารสนเทศและการสอื่ สาร ประธานกรรมการธุรกรรมทางอเิ ล็กทรอนกิ ส สำา�นกั งานพฒั นาธรุ กรรมทางอเิ ลก็ ทรอนกิ ส์ (องคก์ ารมหาชน) หนา้ 10181 สาำ�นักงานคณะกรรมการธุรกรรมทางอเิ ลก็ ทรอนิกส์

ประกาศคณะกรรมการธรุ กรรมทางอเิ ล็กทรอนกิ ส เร่อื ง แนวนโยบายและแนวปฏิบัติในการคุม ครองขอมูลสว นบคุ คล ของหนวยงานของรัฐ พ.ศ. ๒๕๕๓

ชือ่ กฎหมาย ประกาศคณะกรรมการธรุ กรรมทางอิเล็กทรอนิกส เร่ือง แนวนโยบายและแนวปฏิบัติ ในการคุมครองขอมลู สว นบุคคลของหนวยงานของรัฐ พ.ศ. ๒๕๕๓ ประกาศในราชกิจจานเุ บกษา เลม ๑๒๗ / ตอนพเิ ศษ ๑๒๖ ง / หนา ๓๑ / วนั ท่ี ๑ พฤศจิกายน ๒๕๕๓ เรมิ่ บังคบั ใช วันที่ ๒ พฤศจกิ ายน ๒๕๕๓ สำา�นักงานพัฒนาธรุ กรรมทางอิเลก็ ทรอนกิ ส์ (องคก์ ารมหาชน) หนา้ 1103 สาำ�นกั งานคณะกรรมการธุรกรรมทางอเิ ลก็ ทรอนิกส์

เลม ๑๒๗ ตอนพิเศษ ๑๒๖ ง หนา ๓๑ ๑ พฤศจิกายน ๒๕๕๓ ราชกิจจานุเบกษา ประกาศคณะกรรมการธรุ กรรมทางอิเล็กทรอนกิ ส เรื่อง แนวนโยบายและแนวปฏบิ ัติในการคมุ ครองขอมลู สวนบคุ คลของหนวยงานของรัฐ พ.ศ. ๒๕๕๓ ขอมูลสวนบุคคลที่มีการรวบรวม จัดเก็บ ใชหรือเผยแพรในรูปของขอมูลอิเล็กทรอนิกส เปนสิทธิมนษุ ยชนขัน้ พนื้ ฐานท่ไี ดรับความคมุ ครอง ซ่ึงปจ จบุ ันมีการนาํ ระบบสารสนเทศและการสื่อสาร มาประยุกตใชประกอบการทําธุรกรรมทางอิเล็กทรอนิกสอยางแพรหลาย และเพื่อใหการทําธุรกรรม ทางอเิ ล็กทรอนกิ สของหนวยงานของรฐั มคี วามมั่นคงปลอดภัย ความนา เช่อื ถอื และมีการคุมครองขอมูล สวนบคุ คล คณะกรรมการธุรกรรมทางอิเล็กทรอนิกสเห็นสมควรกําหนดแนวนโยบายและแนวปฏิบัติ ในการคุมครองขอมลู สวนบคุ คลของหนวยงานของรฐั ใหมมี าตรฐานเดียวกัน อาศัยอํานาจตามความในมาตรา ๖ มาตรา ๗ และมาตรา ๘ แหงพระราชกฤษฎีกากําหนด หลักเกณฑและวิธีการในการทําธรุ กรรมทางอิเลก็ ทรอนิกสภ าครฐั พ.ศ. ๒๕๔๙ คณะกรรมการธุรกรรม ทางอิเล็กทรอนิกสจึงออกประกาศฉบับน้ี เพ่ือเปนแนวทางเบ้ืองตน ใหหนวยงานของรัฐใชในการ กําหนดนโยบายและขอ ปฏบิ ตั ิในการคุม ครองขอ มลู สวนบุคคลสาํ หรับการทาํ ธุรกรรมทางอิเล็กทรอนิกส ดังตอ ไปนี้ ขอ ๑ ใหหนวยงานของรัฐซ่งึ รวบรวม จดั เก็บ ใช เผยแพร หรือดําเนินการอื่นใดเก่ียวกับ ขอมูลของผูใชบริการธุรกรรมทางอิเล็กทรอนิกส จัดทํานโยบายในการคุมครองขอมูลสวนบุคคลไว เปนลายลกั ษณอ ักษร โดยใหมีสาระสําคญั อยา งนอ ย ดังนี้ (๑) การเกบ็ รวบรวมขอ มูลสวนบุคคลอยางจํากัด การจดั เก็บรวบรวมขอมลู สว นบุคคลใหม ขี อบเขตจาํ กัด และใชวิธีการที่ชอบดวยกฎหมาย และเปนธรรม และใหเ จา ของขอมูลทราบหรอื ไดรับความยินยอมจากเจาของขอ มลู ตามแตก รณี (๒) คุณภาพของขอมลู สวนบคุ คล ขอมูลสวนบุคคลท่ีรวบรวมและจัดเก็บใหเปนไปตามอํานาจหนาที่และวัตถุประสงค ในการดําเนนิ งานของหนวยงานของรัฐตามกฎหมาย สำา�นกั งานพัฒนาธรุ กรรมทางอเิ ลก็ ทรอนิกส์ (องค์การมหาชน) หนา้ 1141 สำา�นกั งานคณะกรรมการธุรกรรมทางอเิ ล็กทรอนกิ ส์

เลม ๑๒๗ ตอนพิเศษ ๑๒๖ ง หนา ๓๒ ๑ พฤศจิกายน ๒๕๕๓ ราชกจิ จานเุ บกษา (๓) การระบุวตั ถุประสงคในการเกบ็ รวบรวม ใหบันทึกวัตถุประสงคของการเก็บรวบรวมขอมูลสวนบุคคลในขณะที่มีการรวบรวม และจัดเก็บ รวมถงึ การนาํ ขอมูลนั้นไปใชในภายหลัง และหากมีการเปล่ียนแปลงวัตถุประสงคของการ เก็บรวบรวมขอ มลู ใหจ ัดทาํ บันทึกแกไ ขเพ่ิมเตมิ ไวเปน หลักฐาน (๔) ขอ จํากดั ในการนาํ ขอมูลสว นบุคคลไปใช หา มมใิ หมีการเปดเผย หรือแสดง หรอื ทาํ ใหปรากฏในลักษณะอื่นใดซ่ึงขอมูลสวนบุคคล ที่ไมสอดคลองกับวัตถุประสงคของการรวบรวมและจัดเก็บขอมูล เวนแตจะไดรับความยินยอม จากเจา ของขอ มลู หรือเปนกรณีทีม่ ีกฎหมายกาํ หนดใหก ระทําได (๕) การรักษาความมน่ั คงปลอดภัย ใหมีมาตรการในการรักษาความมั่นคงปลอดภัยของขอมูลสวนบุคคลอยางเหมาะสม เพ่ือปอ งกันการสญู หาย การเขาถงึ ทาํ ลาย ใช แปลง แกไ ขหรอื เปดเผยขอมลู โดยมิชอบ (๖) การเปดเผยเกย่ี วกบั การดําเนนิ การ แนวปฏบิ ตั ิ และนโยบายทเี่ กยี่ วกับขอ มูลสวนบุคคล ใหมีการเปดเผยการดําเนินการ แนวปฏิบัติ และนโยบายที่เกี่ยวกับขอมูลสวนบุคคล และจัดใหมีวิธีการท่ีสามารถตรวจดูความมีอยู ลักษณะของขอมูลสวนบุคคลวัตถุประสงคของการ นาํ ขอ มูลไปใช ผูควบคุมและสถานท่ีทําการของผูควบคมุ ขอ มลู สว นบุคคล (๗) การมีสวนรวมของเจา ของขอมลู ใหผูควบคุมขอมูลสวนบุคคลแจงถึงความมีอยู หรือรายละเอียดของขอมูลสวนบุคคล แกเจาของขอมูลเมือ่ ไดร บั คาํ รองขอภายในระยะเวลาอันสมควรตามวิธีการในรูปแบบ รวมถึงคาใชจาย (ถา ม)ี ตามสมควร หา มมใิ หผคู วบคุมขอมลู สว นบคุ คลปฏิเสธท่ีจะใหคําช้ีแจงหรือใหขอมูลแกเจาของขอมูล ผสู บื สิทธิ์ ทายาท ผูแ ทนโดยชอบธรรม หรือผพู ทิ กั ษ ตามกฎหมาย ใหผูควบคุมขอมูลจัดทําบันทึกคําคัดคานการจัดเก็บ ความถูกตอง หรือการกระทําใด ๆ เกีย่ วกับขอมูลของเจาของขอ มูลไวเ ปน หลกั ฐาน (๘) ความรับผดิ ชอบของบุคคลซง่ึ ทาํ หนา ทีค่ วบคุมขอ มูล ใหผ คู วบคมุ ขอมลู สว นบุคคลปฏบิ ัติตามมาตรการทีก่ าํ หนดไวข างตน เพื่อใหก ารดาํ เนินงาน ตามแนวนโยบายเกย่ี วกบั การคมุ ครองขอมลู สวนบคุ คลเปน ไปตามมาตรฐานของประกาศฉบับนี้ สำา�นกั งานพัฒนาธรุ กรรมทางอิเลก็ ทรอนกิ ส์ (องคก์ ารมหาชน) หนา้ 1152 สาำ�นักงานคณะกรรมการธุรกรรมทางอเิ ลก็ ทรอนกิ ส์

เลม ๑๒๗ ตอนพิเศษ ๑๒๖ ง หนา ๓๓ ๑ พฤศจิกายน ๒๕๕๓ ราชกจิ จานเุ บกษา ขอ ๒ ใหหนวยงานของรฐั จดั ทาํ ขอปฏิบัติในการคุมครองขอมูลสวนบุคคลของผูใชบริการ และใหม รี ายการอยางนอ ย ดังน้ี (๑) ขอ มลู เบื้องตน ประกอบดว ย (ก) ช่อื นโยบายการคุม ครองขอ มูลสว นบุคคลวา เปนของหนว ยงานใด (ข) รายละเอียดขอบเขตของการบังคับใชนโยบายการคุมครองขอมูลสวนบุคคล ทหี่ นวยงานของรฐั รวบรวม จัดเกบ็ หรือการใชตามวัตถุประสงค (ค) ใหแจงการเปลี่ยนแปลงวัตถุประสงคหรือนโยบายการคุมครองขอมูลสวนบุคคลให เจา ของขอมูลทราบและขอความยินยอมกอนทุกคร้ังตามวิธีการและภายในกําหนดเวลาท่ีประกาศ เชน การแจงลวงหนาใหเจาของขอมูลทราบกอน ๑๕ วัน โดยการสงทางจดหมายอิเล็กทรอนิกส หรือประกาศไวใ นหนา แรกของเว็บไซต เวน แตกฎหมายจะกําหนดไวเ ปนอยา งอน่ื การขอความยินยอมจากเจาของขอมูลน้ัน ใหมีความชัดเจนวาหนวยงานของรัฐขอรับ ความยินยอมเพ่ือวตั ถปุ ระสงคใ ด (๒) การเก็บรวบรวม จดั ประเภท และการใชข อมูลสว นบคุ คล ใหหนวยงานของรัฐที่ทําธุรกรรมทางอิเล็กทรอนิกส ซึ่งเก็บรวบรวมขอมูลผานทาง เว็บไซตหรือผานรูปแบบของการกรอกขอความทางกระดาษแลวนํามาแปลงขอความเขาระบบ อิเล็กทรอนิกสหรือจัดเก็บโดยวิธีอ่ืน ใหแสดงรายละเอียดของการรวบรวมขอมูลเปนชนิด ประเภท รวมถึงขอมูลท่ีจะไมจัดเก็บ และขอมูลที่รวบรวมและจัดเก็บนั้นจะนําไปใชตามวัตถุประสงคใด โดยลักษณะหรือดวยวิธีการท่ีทําใหเจาของขอมูลไดทราบ ท้ังน้ี การรวบรวมและจัดเก็บขอมูลนั้น ใหทาํ เปนประกาศหรือแจง รายละเอยี ดใหเจา ของขอมลู ทราบ ใหห นว ยงานของรฐั ที่จัดบริการผา นทางเวบ็ ไซต แสดงรายละเอียดของการรวบรวมขอมูล ผา นทางเวบ็ ไซตของหนว ยงานนน้ั รวมถึงการใชข อมลู ซงึ่ อยางนอ ยตอ งระบวุ า อยใู นสวนใดของเว็บไซต หรือในเว็บเพจใดท่ีมีการรวบรวมและจัดเก็บขอมูล และใหมีรายละเอียดอยางแจงชัดถึงวิธีการในการ รวบรวมและจัดเก็บขอมลู เชน การจัดเกบ็ โดยใหมกี ารลงทะเบยี น หรอื การกรอกแบบสอบถาม เปน ตน ใหห นวยงานของรฐั รวบรวม จดั เก็บและใชขอมลู สวนบคุ คลจดั ทํารายละเอียด ดังตอ ไปน้ี (ก) การตดิ ตอ ระหวา งหนวยงานของรัฐ ใหหนวยงานของรัฐซึ่งจะติดตอไปยังผูใชบริการดวยวิธีการทางอิเล็กทรอนิกส บอกกลาวใหผ ูใ ชบริการทราบลว งหนา ท้งั น้ี ผใู ชบรกิ ารอาจแจง ความประสงคใ หติดตอ โดยวิธกี ารอนื่ ได สาำ�นกั งานพฒั นาธุรกรรมทางอิเล็กทรอนิกส์ (องคก์ ารมหาชน) หนา้ 1163 สำา�นักงานคณะกรรมการธรุ กรรมทางอเิ ล็กทรอนกิ ส์

เลม ๑๒๗ ตอนพิเศษ ๑๒๖ ง หนา ๓๔ ๑ พฤศจกิ ายน ๒๕๕๓ ราชกจิ จานุเบกษา (ข) การใชค ุกกี้ (Cookies) ใหหนวยงานของรัฐระบุบนเว็บไซตสําหรับการใชคุกกี้ที่เช่ือมโยงกับขอมูลสวนบุคคล วา ผใู ชบรกิ ารจะใชค ุกกี้เพ่อื วัตถปุ ระสงคและประโยชนใ ด และใหส ิทธิทจ่ี ะไมรับการตอ เชื่อมคุกกีไ้ ด (ค) การเก็บขอ มูลสถติ ิเก่ยี วกบั ประชากร (Demographic Information) ใหห นวยงานของรัฐมีเว็บไซตสําหรับการเก็บรวบรวมขอมูลสถิติเก่ียวกับประชากร เชน เพศ อายุ อาชีพ ทส่ี ามารถเช่ือมโยงกับขอมูลระบุตัวบุคคลได ระบุถึงวิธีการรวบรวมและจัดเก็บ ขอมูลดังกลาวไวในนโยบายการคุมครองขอมูลสวนบุคคลดวย และใหช้ีแจงวัตถุประสงคของการใช ขอ มลู ดงั กลาว รวมถึงการใหบุคคลอื่นรวมใชขอ มูลนนั้ ดวย (ง) บันทึกผเู ขา ชมเวบ็ (Log Files) ใหหนว ยงานของรฐั ซ่งึ จัดบรกิ ารเวบ็ ไซตท่ีมีการเก็บบันทึกการเขาออกโดยอัตโนมัติ เชน หมายเลขไอพี (IP Address) เว็บไซตที่เขาออกกอนและหลัง และประเภทของโปรแกรม บราวเซอร (Browser) ที่สามารถเชื่อมโยงขอมูลดังกลาวกับขอมูลซ่ึงระบุตัวบุคคลได ระบุวิธีการ รวบรวมและจัดเก็บขอมูลดังกลาวไวในนโยบายการคุมครองขอมูลสวนบุคคล และใหชี้แจง วตั ถปุ ระสงคของการใช รวมถงึ การใหบคุ คลอื่นรวมใชข อ มลู น้นั ดวย (จ) ใหหนวยงานของรัฐระบุขอมูลที่มีการจัดเก็บผานทางเว็บไซตวาเปนขอมูล ที่ประชาชนมีสิทธิเลือกวา “จะใหหรือไมให” ก็ได และใหหนวยงานของรัฐจัดเตรียมชองทางอ่ืน ในการติดตอ ส่อื สารสําหรบั ผูใชบริการทไี่ มประสงคจะใหข อ มลู ผานทางเว็บไซต (๓) การแสดงระบุความเชือ่ มโยงใหข อมลู สว นบคุ คลกับหนวยงานหรือองคกรอ่นื การเก็บรวบรวมขอ มลู ผานทางเวบ็ ไซตของหนวยงานของรัฐและเว็บไซตดังกลาวท่ีมีการ เชื่อมโยงใหขอมูลแกหนวยงานหรือองคกรอ่ืน ใหหนวยงานของรัฐแสดงไวอยางชัดเจนถึงชื่อ ผูเก็บรวบรวมขอมูลผานทางเว็บไซต หรือชื่อผูมีสิทธิในขอมูลที่ไดมีการเก็บรวบรวม (Data Subject) และช่ือเปนผูมีสิทธิเขาถึงขอมูลดังกลาวท้ังหมด รวมถึงประเภทของขอมูลท่ีจะใชรวมกับหนวยงาน หรอื องคกรน้ัน ๆ ตลอดจนช่อื ผูมีหนา ที่ปฏิบัตติ ามนโยบายการคุมครองขอมูลสวนบุคคลไวในนโยบาย การคมุ ครองขอมลู สวนบคุ คล เพือ่ ใหผ ใู ชบ รกิ ารทราบ ใหหนวยงานของรัฐแจงใหผูใชบริการทราบและใหความยินยอมลวงหนากอนทําการ เปล่ยี นแปลงการเชอื่ มโยงขอ มูลตามวรรคแรกกับหนวยงานหรอื องคก รอน่ื สำ�านกั งานพฒั นาธุรกรรมทางอเิ ล็กทรอนกิ ส์ (องค์การมหาชน) หนา้ 1174 ส�ำานักงานคณะกรรมการธรุ กรรมทางอเิ ลก็ ทรอนกิ ส์

เลม ๑๒๗ ตอนพิเศษ ๑๒๖ ง หนา ๓๕ ๑ พฤศจิกายน ๒๕๕๓ ราชกิจจานเุ บกษา (๔) การรวมขอ มูลจากทมี่ าหลาย ๆ แหง ใหห นว ยงานของรัฐท่ีซ่ึงไดรับขอมูลมาจากผูใชบริการเว็บไซต และจะนําไปรวมเขากับ ขอมูลของบุคคลดังกลาวที่ไดรับจากที่มาแหงอื่น ระบุไวในนโยบายคุมครองขอมูลสวนบุคคล ถงึ เจตนารมณการรวมขอมลู ดงั กลาวดว ย เชน เวบ็ ไซตไ ดรับขอมูลที่เปน ช่ือและที่อยูข องการสงจดหมาย อิเล็กทรอนิกสจ ากผูใชบริการโดยการกรอกขอมูลตามแบบสอบถามผานทางเว็บไซต และจะนําขอมูล ดงั กลา วไปรวมเขากับขอ มูลเกยี่ วกบั ประวตั ขิ องผใู ชบริการทไ่ี ดร บั จากท่ีมาแหง อน่ื (๕) การใหบ ุคคลอื่นใชหรอื การเปดเผยขอมูลสวนบุคคล ใหหนวยงานของรัฐระบุไวในนโยบายการคุมครองขอมูลสวนบุคคลดวยวามีบุคคลอ่ืน ท่จี ะเขาถึงหรือใชขอมูลทหี่ นว ยงานนน้ั ไดเก็บรวบรวมมาผา นทางเวบ็ ไซตด ว ย และใหระบุไวดวยวาการ ใหเขาถึง ใช หรือเปดเผยขอมูลดังกลาวสอดคลองกับขอกําหนดตามกฎหมายของหนวยงานของรัฐ ทีด่ ําเนนิ การดงั กลาว (๖) การรวบรวม จดั เกบ็ ใช และการเปดเผยขอ มลู เกีย่ วกบั ผใู ชบริการ ใหหนวยงานของรัฐซ่ึงรวบรวม จัดเก็บ ใช และเปดเผยขอมูลสวนบุคคลที่ประสงค จะนาํ ไปดาํ เนนิ การอ่ืนนอกเหนอื ไปจากวัตถุประสงคของการรวบรวมขอมูลสวนบุคคลตามที่ไดระบุไว เชน การรวบรวม จดั เก็บ ใช และเปดเผยขอ มลู ทีไ่ มจาํ เปน หรอื การเปดเผยขอมูลสวนบุคคลตอบุคคลอื่น ระบุไวในนโยบายการคุมครองขอมูลสวนบุคคลถึงสิทธิของผูใชบริการท่ีจะเลือกวา จะใหหนวยงาน ของรฐั รวบรวม จดั เกบ็ หรอื ไมใหจัดเก็บ ใชหรอื ไมใ หใ ช และเปดเผยหรอื ไมเปดเผยขอมูลดงั กลา ว การใหผ ูใชบ ริการใชสทิ ธิเลอื กตามวรรคแรกใหรวมถึงการใหสิทธิเลือกแบบท่ีหนวยงาน ของรัฐจะตองขอความยินยอมโดยชัดแจงจากเจาของขอมูลสวนบุคคลนั้นกอน และการใหสิทธิ เลือกแบบท่ีใหสิทธิแกผูใชบริการในการปฏิเสธไมใหมีการใชหรือการเปดเผยขอมูลสวนบุคคล เพอ่ื วัตถุประสงคอื่นนอกเหนือจากวตั ถุประสงคท ่เี กบ็ รวบรวมขอมูลสวนบุคคลดังกลาวขางตนแลวเทาน้ัน ทั้งน้ี การใหสิทธิเลือกตองกระทําใหสมบูรณกอนที่เว็บไซตจะทําการติดตอกับผูใชบริการในครั้งแรก และหากเปน การใชสทิ ธิเลอื กแบบหามไมใหมีการใชขอมูลสวนบุคคลแตกตางไปจากวัตถุประสงคเดิม หนว ยงานเจาของเวบ็ ไซตตองระบุไวในนโยบายการคุม ครองขอ มลู สว นบุคคลใหผูใชบริการไดรับทราบ ถึงวธิ ีการของการสง การตดิ ตอ ครงั้ ท่ีสองของเว็บไซตด ว ย (๗) การเขา ถงึ การแกไ ขใหถ ูกตอง และการปรับปรงุ ใหเปน ปจ จบุ ัน ใหหนวยงานของรัฐกําหนดวิธีการที่ผูใชบริการเว็บไซตสามารถเขาถึงและแกไข หรือปรับปรงุ ขอ มูลสวนบุคคลเก่ียวกับตนเองทห่ี นว ยงานของรฐั รวบรวมและจัดเก็บไวในเวบ็ ไซตใ หถ กู ตอ ง สำ�านกั งานพฒั นาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน) หน้า 1158 สำ�านกั งานคณะกรรมการธรุ กรรมทางอเิ ล็กทรอนกิ ส์

เลม ๑๒๗ ตอนพิเศษ ๑๒๖ ง หนา ๓๖ ๑ พฤศจกิ ายน ๒๕๕๓ ราชกจิ จานุเบกษา (๘) การรักษาความมน่ั คงปลอดภัยของขอมลู สว นบุคคล ใหห นวยงานของรัฐซึ่งรวบรวมขอ มลู สวนบุคคลผานทางจัดใหมีวิธีการรักษาความม่ันคง ปลอดภัยสาํ หรับขอมลู สวนบุคคลที่รวบรวมและจัดเก็บไวใหเหมาะสมกับการรักษาความลับของขอมูล สวนบคุ คล เพือ่ ปอ งกันการเปลยี่ นแปลงแกไขขอ มลู ดงั กลา วโดยมิชอบ รวมถึงการปอ งกนั การกระทําใด ทจ่ี ะมีผลทาํ ใหข อมลู ไมอ ยูในสภาพพรอ มใชง าน ซึง่ หนวยงานของรฐั พงึ ดาํ เนินการ ดังนี้ (ก) สรางเสริมความสํานึกในการรับผิดชอบดานความมั่นคงปลอดภัยของขอมูล สว นบุคคลใหแกบ ุคลากร พนกั งาน หรือลกู จา งของหนว ยงานดวยการเผยแพรข อ มลู ขาวสาร ใหความรู จดั สัมมนา หรอื ฝกอบรมในเรือ่ งดงั กลาวใหแกบคุ ลากรในองคกรเปนประจํา (ข) กําหนดสทิ ธิและขอจาํ กัดสิทธิในการเขาถึงขอมูลสวนบุคคลของบุคลากร พนักงาน หรือลูกจางของตนในแตละลําดับช้ันใหชัดเจน และใหมีการบันทึกรวมทั้งการทําสํารองขอมูลของการ เขาถึงหรือการเขาใชงานขอ มูลสวนบุคคลไวใ นระยะเวลาทีเ่ หมาะสมหรอื ตามระยะเวลาที่กฎหมายกําหนด (ค) ตรวจสอบและประเมินความเส่ียงดานความมั่นคงปลอดภัยของเว็บไซต หรือของระบบสารสนเทศทง้ั หมดอยา งนอ ยปละ ๑ คร้ัง (ง) กําหนดใหมีการใชมาตรการที่เหมาะสมและเปนการเฉพาะสําหรับการรักษา ความมั่นคงปลอดภัยของขอมูลสวนบุคคลที่มีความสําคัญยิ่งหรือเปนขอมูลที่อาจกระทบตอความรูสึก ความเช่อื ความสงบเรยี บรอ ย และศีลธรรมอนั ดีของประชาชนซ่ึงเปนผูใชบริการของหนวยงานของรัฐ หรืออาจกอใหเกิดความเสียหาย หรือมีผลกระทบตอสิทธิเสรีภาพของผูเปนเจาของขอมูลอยางชัดเจน เชน หมายเลขบัตรเดบติ หรือบตั รเครดติ หมายเลขประจําตัวประชาชน หรือหมายเลขประจําตัวบุคคล เช้ือชาติ ศาสนา ความเชอื่ ความคิดเห็นทางการเมือง สุขภาพ พฤติกรรมทางเพศ เปนตน (จ) ควรจัดใหมีมาตรการที่รอบคอบในการรักษาความม่ันคงปลอดภัยสําหรับขอมูล สวนบคุ คลของบคุ คลซึ่งอายไุ มเ กนิ สิบแปดปโ ดยใชว ิธีการโดยเฉพาะและเหมาะสม (๙) การติดตอ กับเวบ็ ไซต เว็บไซตซง่ึ ใหข อ มูลแกผใู ชบรกิ ารในการติดตอ กับหนว ยงานของรัฐ ตองจัดใหมีทั้งขอมูล ติดตอไปยังสถานท่ีทําการงานปกติและขอมูลติดตอผานทางออนไลนดวย ขอมูลติดตอที่หนวยงาน ของรฐั ควรจะระบเุ อาไว อยา งนอ ยตอ งประกอบดว ยขอมูลดังตอ ไปน้ี (ก) ช่อื และทอ่ี ยู (ข) หมายเลขโทรศัพท (ค) หมายเลขโทรสาร (ง) ท่ีอยจู ดหมายอเิ ล็กทรอนกิ ส ส�ำานักงานพัฒนาธุรกรรมทางอเิ ลก็ ทรอนิกส์ (องค์การมหาชน) หนา้ 1196 ส�ำานกั งานคณะกรรมการธรุ กรรมทางอิเล็กทรอนิกส์

เลม ๑๒๗ ตอนพิเศษ ๑๒๖ ง หนา ๓๗ ๑ พฤศจิกายน ๒๕๕๓ ราชกิจจานเุ บกษา ขอ ๓ ใหหนวยงานของรัฐจัดทํานโยบายและแนวปฏิบัติในการคุมครองขอมูลสวนบุคคล ภายใตหลักการตามขอ ๑ และขอ ๒ สําหรับหนวยงานของรัฐที่ไดรับทรัสตมารคจากหนวยงาน หรือองคกรอื่นที่ทาํ หนาท่ีออกทรัสตมารค (Trust Mark) ใหหนวยงานของรัฐนั้นแสดงนโยบาย และแนวปฏิบัติในการคุมครองขอมูลสวนบุคคลที่ไดรับการรับรองจากหนวยงานหรือองคกรที่ออก หรอื รบั รองทรัสตม ารคดังกลา วตอคณะกรรมการธรุ กรรมทางอเิ ล็กทรอนกิ ส ประกอบดวย ทรสั ตมารค (Trust Mark) ตามความในวรรคแรกหมายถึง เคร่ืองหมายที่รับรองวาหนวยงาน ดังกลาวมีมาตรฐานในการคมุ ครองขอมูลสว นบคุ คลของประชาชนในการทําธุรกรรมทางอิเล็กทรอนิกส ซึง่ ออกโดยหนวยงานหรือองคก รทีจ่ ัดตงั้ โดยชอบดว ยกฎหมายเพ่อื ทาํ หนาท่ีในการตรวจสอบและรับรอง การออกทรสั ตมารค ใหกับผขู อรับการรับรอง ขอ ๔ ใหหนวยงานของรัฐกําหนดชื่อเรียกนโยบายการคุมครองขอมูลสวนบุคคลไวให ชัดเจน และในกรณีท่ีมีการปรับปรุงนโยบาย ใหระบุวัน เวลา และป ซึ่งจะมีการปรับปรุง หรือเปลย่ี นแปลงนโยบายดังกลาวไวดวย ขอ ๕ ประกาศน้ีใหใชบงั คับตัง้ แตวันถดั จากวนั ประกาศในราชกจิ จานเุ บกษาเปน ตน ไป ประกาศ ณ วนั ที่ ๑ ตลุ าคม พ.ศ. ๒๕๕๓ จตุ ิ ไกรฤกษ รัฐมนตรีวา การกระทรวงเทคโนโลยีสารสนเทศและการส่อื สาร ประธานกรรมการธุรกรรมทางอเิ ลก็ ทรอนิกส ส�ำานักงานพัฒนาธุรกรรมทางอิเล็กทรอนกิ ส์ (องคก์ ารมหาชน) หนา้ 11270 ส�ำานักงานคณะกรรมการธรุ กรรมทางอิเล็กทรอนิกส์

พระราชกฤษฎีกาวาดวยการควบคุมดูแลธุรกิจบรกิ าร การชำระเงนิ ทางอเิ ล็กทรอนกิ ส พ.ศ. ๒๕๕๑

ชอ่ื กฎหมาย พระราชกฤษฎกี าวา ดว ยการควบคมุ ดูแลธุรกจิ บริการการชาํ ระเงินทางอิเลก็ ทรอนิกส พ.ศ. ๒๕๕๑ ประกาศในราชกิจจานุเบกษา เลม ๑๒๕ / ตอนท่ี ๙๙ ก / หนา ๑ / วันที่ ๑๖ กนั ยายน ๒๕๕๑ เร่มิ บังคบั ใช วนั ที่ ๑๔ มกราคม ๒๕๕๒ ผูรักษาการ นายกรฐั มนตรี สำ�านกั งานพัฒนาธุรกรรมทางอิเล็กทรอนกิ ส์ (องค์การมหาชน) หนา้ 11292 สำ�านักงานคณะกรรมการธรุ กรรมทางอิเลก็ ทรอนิกส์

เลม ๑๒๕ ตอนท่ี ๙๙ ก หนา ๑ ๑๖ กันยายน ๒๕๕๑ ราชกจิ จานุเบกษา พระราชกฤษฎกี า วาดว ยการควบคุมดแู ลธรุ กจิ บรกิ ารการชาํ ระเงนิ ทางอเิ ล็กทรอนิกส พ.ศ. ๒๕๕๑ ภมู พิ ลอดลุ ยเดช ป.ร. ใหไว ณ วนั ที่ ๑๗ สิงหาคม พ.ศ. ๒๕๕๑ เปน ปท ่ี ๖๓ ในรชั กาลปจจุบนั พระบาทสมเด็จพระปรมินทรมหาภูมิพลอดุลยเดช มีพระบรมราชโองการโปรดเกลา ฯ ใหป ระกาศวา โดยท่เี ปน การสมควรควบคุมดแู ลธุรกิจบริการการชําระเงนิ ทางอเิ ลก็ ทรอนิกส อาศยั อํานาจตามความในมาตรา ๑๘๗ ของรฐั ธรรมนูญแหงราชอาณาจักรไทย และมาตรา ๓๒ วรรคหนึ่ง มาตรา ๓๓ วรรคสอง และมาตรา ๓๔ วรรคสอง แหงพระราชบัญญัติวาดวยธุรกรรม ทางอิเล็กทรอนิกส พ.ศ. ๒๕๔๔ อันเปนกฎหมายท่ีมีบทบัญญัติบางประการเก่ียวกับการจํากัดสิทธิ และเสรีภาพของบุคคล ซ่ึงมาตรา ๒๙ ประกอบกับมาตรา ๔๓ ของรัฐธรรมนูญแหงราชอาณาจักรไทย บัญญัติใหกระทําไดโดยอาศัยอํานาจตามบทบัญญัติแหงกฎหมาย จึงทรงพระกรุณาโปรดเกลา ฯ ใหตราพระราชกฤษฎีกาขึ้นไว ดงั ตอ ไปนี้ มาตรา ๑ พระราชกฤษฎีกานี้เรียกวา “พระราชกฤษฎีกาวาดวยการควบคุมดูแล ธรุ กจิ บรกิ ารการชําระเงนิ ทางอเิ ล็กทรอนิกส พ.ศ. ๒๕๕๑” มาตรา ๒ พระราชกฤษฎีกานี้ใหใชบังคับเม่ือพนกําหนดหน่ึงรอยยี่สิบวันนับแตวัน ประกาศในราชกิจจานุเบกษาเปนตนไป สำา�นักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องคก์ ารมหาชน) หน้า 1203 สาำ�นกั งานคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์

เลม ๑๒๕ ตอนท่ี ๙๙ ก หนา ๒ ๑๖ กันยายน ๒๕๕๑ ราชกจิ จานเุ บกษา มาตรา ๓ ในพระราชกฤษฎกี านี้ “การชาํ ระเงินทางอเิ ล็กทรอนิกส” หมายความวา การโอนสิทธิการถือครองเงินหรือการโอน สิทธิการถอนเงิน หรือหักเงินจากบัญชีเงินฝากของผูใชบริการที่เปดไวกับผูใหบริการดวยวิธีการทาง อเิ ลก็ ทรอนกิ สท้งั หมดหรอื บางสว น “บัตรอิเลก็ ทรอนิกส” หมายความวา บตั รอเิ ลก็ ทรอนิกสต ามประมวลกฎหมายอาญา “บัตรเครดติ ” หมายความวา บตั รอเิ ลก็ ทรอนิกสท ผี่ ูใหบรกิ ารออกใหแกผูใชบริการเพ่ือใชชําระ คา สินคา คา บริการ หรือคา อ่ืนใด แทนการชาํ ระดวยเงนิ สด หรือเพื่อใชเบิก ถอน โอน หรือทําธุรกรรม อื่นใดที่เกี่ยวกับเงนิ และผใู หบรกิ ารจะเรียกใหผูใ ชบริการชาํ ระเงนิ ในภายหลัง “บตั รเดบติ ” หมายความวา บัตรอิเลก็ ทรอนกิ สทผ่ี ูใหบ รกิ ารออกใหแ กผูใชบรกิ ารเพอื่ ใชชําระ คาสนิ คา คาบริการ หรอื คาอ่นื ใด แทนการชําระดวยเงนิ สด หรอื เพ่ือใชเบิก ถอน โอน หรือทําธุรกรรม อ่นื ใดท่ีเกย่ี วกบั เงิน ตามมลู คา ของเงนิ ทผ่ี ูใ ชบ ริการไดฝากไวกับผูใหบ ริการ “เงินอิเล็กทรอนิกส” หมายความวา บัตรอิเล็กทรอนิกสท่ีผูใหบริการออกใหแกผูใชบริการ ซ่ึงจะระบชุ ่ือหรือไมก ต็ าม โดยมีการชําระเงินใหแ กผ ใู หบ ริการไวลวงหนา เพ่ือนําไปใชชําระคาสินคา คาบริการ หรือคาอื่นใดแทนการชําระดวยเงินสด และไดมีการบันทึกมูลคาหรือจํานวนเงินท่ีชําระไว ลวงหนา “อดี ซี ”ี (Electronic Data Capture : EDC) หมายความวา อุปกรณหรือเคร่ืองมือสําหรับการ รับสงขอมูลการชําระเงินทางอิเล็กทรอนิกสจากบัตรเครดิต บัตรเดบิต เงินอิเล็กทรอนิกส หรือบัตร อิเลก็ ทรอนกิ สอ่ืนใด ไปยังผใู หบ รกิ ารซง่ึ ออกบตั ร “เครือขายอีดีซี” (EDC Network) หมายความวา เครือขายรับสงขอมูลอีดีซีที่มีศูนยกลาง หรือจดุ เชอ่ื มตอการรับสงขอมลู ระหวา งผูใชบ ริการเครอื ขาย “เครือขายบัตรเครดิต” หมายความวา เครือขายการใหบริการรับสงขอมูลการชําระเงินทาง อิเล็กทรอนิกสจากบัตรเครดิตของผูถือบัตรไปยังผูใหบริการซ่ึงออกบัตรเชนวาน้ัน เพื่ออนุมัติการใช บัตรในการทํารายการแตละรายการ หรือรับสงขอมูลเรียกเก็บเงินอันเกิดจากการชําระเงินทาง อิเล็กทรอนกิ ส ตลอดจนการหกั ทอนบัญชีระหวา งกัน “บริการสวิตชชิ่งในการชําระเงิน” (Transaction Switching) หมายความวา บริการเปน ศูนยก ลางหรือจดุ เชอื่ มตอรับสง ขอมูลรายการชําระเงินทางอเิ ล็กทรอนิกสใหแ กผ ูใ หบรกิ ารตามที่ตกลงกนั “บรกิ ารรับชําระเงนิ แทน” หมายความวา บริการรบั ชําระเงินทางอิเล็กทรอนกิ สแ ทนเจา หน้ี สาำ�นักงานพัฒนาธรุ กรรมทางอิเลก็ ทรอนกิ ส์ (องคก์ ารมหาชน) หนา้ 1241 สาำ�นักงานคณะกรรมการธรุ กรรมทางอิเลก็ ทรอนกิ ส์

เลม ๑๒๕ ตอนที่ ๙๙ ก หนา ๓ ๑๖ กนั ยายน ๒๕๕๑ ราชกิจจานเุ บกษา “บริการหกั บญั ช”ี (Clearing) หมายความวา บริการรับสง ตรวจสอบ และยืนยันขอมูลตาม คําสั่งการชําระเงินสําหรับนําไปคํานวณหายอดเงินแสดงความเปนเจาหน้ี หรือลูกหนี้ของผูใชบริการ เพื่อใชขอมูลดังกลาวไปทําการชําระดุลระหวางเจาหน้ีและลูกหน้ี ทั้งนี้ รวมถึงการจัดการเพื่อให กระบวนการชาํ ระดุลสําเร็จลุลวงดวย “บริการชําระดุล” (Settlement) หมายความวา บริการระบบการชําระเงินที่ตกลงกันไว ลวงหนาระหวางผูใชบริการกับผูใหบริการเพ่ือใหผูใหบริการปรับฐานะความเปนเจาหนี้ หรือลูกหน้ี ของผใู ชบ รกิ ารโดยผใู หบริการจะทาํ การหักบัญชีเงินฝากของผูใชบริการซึ่งมีฐานะเปนลูกหน้ี หรือรับ ชาํ ระหนี้โดยวธิ อี ืน่ ใดตามทีต่ กลงกนั แลว ปรับบญั ชเี งนิ ฝากของผูใชบริการซึ่งมีฐานะเปนเจาหน้ี หรือ ชาํ ระเงินดว ยวิธอี ่นื ใด เพื่อใหหนีด้ งั กลาวระงบั ไป “ผใู หบ ริการ” หมายความวา ผูป ระกอบธุรกิจใหบริการการชาํ ระเงินทางอิเล็กทรอนิกสตามท่ี กาํ หนดไวในบญั ชที า ยพระราชกฤษฎกี าน้ี “ธปท.” หมายความวา ธนาคารแหงประเทศไทย ตามกฎหมายวา ดว ยธนาคารแหงประเทศไทย “ผูวา การ” หมายความวา ผูวา การธนาคารแหง ประเทศไทย “คณะกรรมการ” หมายความวา คณะกรรมการธรุ กรรมทางอิเล็กทรอนกิ ส “พนักงานเจาหนาท่ี” หมายความวา ผูวาการธนาคารแหงประเทศไทยหรือผูซึ่งผูวาการ ธนาคารแหงประเทศไทยแตงต้งั ใหปฏบิ ตั ิการตามพระราชกฤษฎีกานี้ มาตรา ๔ ให ธปท. เปนผูรับผิดชอบในการควบคุมดูแลธุรกิจบริการการชําระเงินทาง อิเล็กทรอนิกสต ามพระราชกฤษฎกี านี้ มาตรา ๕ พระราชกฤษฎกี านี้ไมใชบ งั คับกับการใหบริการการชาํ ระเงนิ ทางอเิ ล็กทรอนิกส ท่ี ธปท. เปนผูใหบริการ มาตรา ๖ ใหน ายกรัฐมนตรีรกั ษาการตามพระราชกฤษฎีกาน้ี หมวด ๑ การประกอบธุรกจิ บริการการชําระเงินทางอเิ ลก็ ทรอนิกส มาตรา ๗ ธรุ กจิ บริการการชาํ ระเงนิ ทางอิเลก็ ทรอนกิ สใดท่ผี ใู หบรกิ ารจะตอ งแจง ใหทราบ ขึน้ ทะเบยี น หรอื ไดรับใบอนญุ าต ใหเ ปน ไปตามบัญชีทายพระราชกฤษฎีกานี้ สำา�นกั งานพฒั นาธรุ กรรมทางอเิ ลก็ ทรอนกิ ส์ (องค์การมหาชน) หนา้ 1252 สำา�นักงานคณะกรรมการธรุ กรรมทางอเิ ล็กทรอนิกส์

เลม ๑๒๕ ตอนที่ ๙๙ ก หนา ๔ ๑๖ กันยายน ๒๕๕๑ ราชกิจจานุเบกษา หลักเกณฑ วิธีการ และแบบการแจงใหทราบ การขึ้นทะเบียน และการขอรับใบอนุญาต ใหเปน ไปตามทีค่ ณะกรรมการประกาศกาํ หนด มาตรา ๘ ผูประสงคจะเปนผูใหบรกิ ารตามบัญชี ก จะเปนบุคคลธรรมดาหรือนิติบุคคล ตามมาตรา ๙ (๒) ก็ได ผูประสงคจ ะเปน ผูใ หบริการตามบัญชี ข หรือบญั ชี ค ตองเปน นิตบิ คุ คลตามมาตรา ๙ (๒) มาตรา ๙ ผูประสงคจะเปนผูใหบริการตองมีคุณสมบัติและไมมีลักษณะตองหาม ดงั ตอ ไปนี้ (๑) บุคคลธรรมดา (ก) มีอายไุ มต ํ่ากวาย่สี ิบปบริบรู ณ (ข) มภี ูมลิ ําเนาหรือถ่ินทอี่ ยูใ นราชอาณาจักร (ค) ไมอยูในระหวางถูกพิทักษทรัพย หรือไมเปนบุคคลลมละลายหรือเคยเปนบุคคล ลมละลายและยงั ไมพนกําหนดสองปนบั แตว นั ทม่ี ีคาํ สัง่ ยกเลกิ การลม ละลายหรือปลดจากลม ละลาย (ง) ไมเปน บคุ คลวิกลจริต คนไรความสามารถ หรอื คนเสมือนไรความสามารถ (จ) ไมเ คยไดร บั โทษจาํ คุกโดยคาํ พิพากษาถึงทีส่ ุดใหจ ําคกุ ในความผิดเกี่ยวกับการปลอม และการแปลง ลักทรัพย ว่ิงราวทรัพย กรรโชก รีดเอาทรัพย ชิงทรัพย ปลนทรัพย ฉอโกง โกงเจาหน้ี ยักยอก หรอื รบั ของโจร หรือความผิดเกี่ยวกับคอมพิวเตอรตามกฎหมายวาดวยการกระทํา ความผดิ เก่ยี วกบั คอมพวิ เตอร (ฉ) ไมเ คยถกู สง่ั หา มประกอบธรุ กิจบรกิ ารการชําระเงินทางอิเล็กทรอนิกสและยังไมพน กาํ หนดหาปน ับถงึ วันแจง ใหท ราบ (ช) ไมเปนกรรมการหรือผูซ่ึงมีอํานาจจัดการของนิติบุคคลท่ีเคยถูกส่ังหามประกอบ ธุรกิจบรกิ ารการชาํ ระเงินทางอเิ ลก็ ทรอนิกสหรอื เพกิ ถอนใบอนุญาตและยังไมพนกําหนดหาปนับถึงวัน แจง ใหท ราบ วนั ขอขึน้ ทะเบียน หรือวนั ขอรบั ใบอนญุ าต แลว แตกรณี (๒) นิตบิ คุ คล (ก) เปนนิติบุคคลประเภทหางหนุ สวนจดทะเบียน หา งหุนสว นจาํ กดั บริษัทจํากัด หรือ บริษัทมหาชนจํากัด และมีวัตถุประสงคเกี่ยวกับการประกอบธุรกิจบริการการชําระเงินทาง อิเล็กทรอนิกสตามที่กําหนดไวในบัญชีทายพระราชกฤษฎีกาน้ี ในการนี้ คณะกรรมการจะประกาศ สาำ�นักงานพฒั นาธุรกรรมทางอิเลก็ ทรอนิกส์ (องค์การมหาชน) หนา้ 1263 สาำ�นกั งานคณะกรรมการธรุ กรรมทางอเิ ลก็ ทรอนกิ ส์

เลม ๑๒๕ ตอนที่ ๙๙ ก หนา ๕ ๑๖ กันยายน ๒๕๕๑ ราชกิจจานเุ บกษา กําหนดจํานวนทุนจดทะเบียนซ่ึงชําระแลวดวยก็ได ทั้งน้ี ในกรณีผูท่ีประสงคจะเปนผูใหบริการตาม บญั ชี ค ตองมิใชน ิตบิ คุ คลประเภทหา งหนุ สว นจดทะเบียน หรอื หางหนุ สว นจํากดั (ข) กรรมการหรือผูซ่ึงมีอํานาจจัดการของนิติบุคคลตองมีคุณสมบัติและไมมีลักษณะ ตอ งหามตาม (๑) (ค) ไมอยใู นระหวางถกู พกั ใชใบอนุญาต (ง) ไมเคยถกู สงั่ หามประกอบธุรกิจบรกิ ารการชําระเงินทางอิเล็กทรอนิกสหรือเพิกถอน ใบอนุญาตและยังไมพนกําหนดหาปนับถึงวันแจงใหทราบ วันยื่นขอจดทะเบียน หรือวันขอรับ ใบอนญุ าต แลว แตก รณี คณะกรรมการอาจออกประกาศกําหนดคุณสมบัติหรือลักษณะตองหามประการอ่ืนของ ผูใหบ รกิ ารแตละบัญชที า ยพระราชกฤษฎกี านี้เพิม่ เตมิ ตามความเหมาะสมอกี ก็ได มาตรา ๑๐ ผูประสงคจะเปนผูใหบริการใหย่ืนแบบการแจงใหทราบ แบบการขอขึ้น ทะเบียน หรอื แบบการขอรบั ใบอนญุ าต แลวแตก รณี พรอ มดว ยเอกสารท่มี ีรายการดังตอไปน้ี (๑) ผใู หบ ริการตามบญั ชี ก ไดแก (ก) แผนฉุกเฉนิ หรือระบบใหบริการสํารองเพ่ือใหส ามารถใหบรกิ ารไดอยา งตอเนื่อง (ข) นโยบายและมาตรการการรักษาความปลอดภัยทางระบบสารสนเทศซึ่งอยางนอย ตอ งมีมาตรฐานตามที่ ธปท. ประกาศกําหนด (๒) ผูใหบ ริการตามบญั ชี ข และบัญชี ค ไดแก (ก) เอกสารตาม (๑) (ข) นโยบายและแผนการประกอบธุรกจิ บรกิ ารการชําระเงนิ ทางอิเล็กทรอนกิ ส (ค) แผนปฏิบัติการเตรียมการรองรับการประกอบธุรกิจบริการการชําระเงินทาง อเิ ล็กทรอนกิ ส (ง) ระบบบริหารและจดั การความเสี่ยง (จ) ระบบการควบคุมภายใน (ฉ) ผลการศึกษาความเปนไปไดและประเมินความเส่ียงในการใหบริการ รวมท้ังแผน ฉกุ เฉนิ รองรบั กรณเี กดิ ปญหา เพื่อประโยชนใ นการควบคมุ ดูแลการใหบริการของผใู หบ ริการแตละบัญชี ธปท. จะประกาศ กําหนดใหย ่ืนเอกสารท่มี รี ายการเพมิ่ เติมจากทก่ี าํ หนดไวต ามวรรคหนง่ึ ก็ได ส�ำานกั งานพัฒนาธุรกรรมทางอิเลก็ ทรอนิกส์ (องค์การมหาชน) หน้า 1274 ส�ำานักงานคณะกรรมการธุรกรรมทางอเิ ลก็ ทรอนกิ ส์