(๖) จัดใหมีการอนุมัติสิทธิ์การเขาถึงอุปกรณท่ีมีขอมูลสําคัญโดยผูรับจางใหบริการจาก ภายนอก (ที่มาทําการบํารุงรักษาอุปกรณ) เพ่ือปองกันการเขาถึงขอมูลโดยไมไดรับ อนญุ าต ขอ ๘. การนาํ ทรัพยสนิ ของหนว ยงานออกนอกหนวยงาน (Removal of Property) (๑) ใหมีการขออนญุ าตกอ นนาํ อปุ กรณห รอื ทรพั ยสินนนั้ ออกไปใชงานนอกหนวยงาน (๒) กําหนดผูรบั ผดิ ชอบในการเคล่อื นยายหรือนาํ อุปกรณออกนอกหนว ยงาน (๓) กาํ หนดระยะเวลาของการนําอุปกรณออกไปใชงานนอกหนวยงาน (๔) เมื่อมีการนําอุปกรณสงคืน ใหตรวจสอบวาสอดคลองกับระยะเวลาที่อนุญาตและ ตรวจสอบการชาํ รุดเสยี หายของอุปกรณด ว ย (๕) บันทึกขอมูลการนําอุปกรณของหนวยงานออกไปใชงานนอกหนวยงาน เพ่ือเอาไวเปน หลักฐานปอ งกนั การสญู หาย รวมท้ังบันทึกขอมูลเพ่มิ เตมิ เมือ่ นําอุปกรณสงคนื แนวปฏบิ ตั ใิ นการรกั ษาความม่นั คงปลอดภัยดา นสารสนเทศ ของกระทรวงสาธารณสขุ หนา ๕๑
ขอ ๙. การปองกันอุปกรณทีใ่ ชงานอยนู อกหนวยงาน (Security of Equipment off-premises) (๑) กาํ หนดมาตรการความปลอดภัยเพื่อปองกนั ความเส่ียงจากการนาํ อุปกรณห รือ ทรพั ยส ินของหนว ยงานออกไปใชงาน เชน การขนสง การเกดิ อุบัติเหตุกับอุปกรณ (๒) ไมทง้ิ อุปกรณห รือทรัพยส นิ ของหนว ยงานไวโดยลําพังในท่ีสาธารณะ (๓) เจา หนา ทีม่ คี วามรบั ผิดชอบดูแลอุปกรณหรอื ทรัพยสินเสมือนเปน ทรัพยส ินของตนเอง ขอ ๑๐. การกําจัดอุปกรณห รอื การนําอปุ กรณกลับมาใชง านอีกคร้ัง (Secure Disposal or re-use of Equipment) (๑) ใหทําลายขอมูลสําคัญในอุปกรณก อนทจ่ี ะกาํ จดั อุปกรณดังกลาว (๒) มมี าตรการหรือเทคนคิ ในการลบหรือเขยี นขอมลู ทบั บนขอ มูลทมี่ คี วามสาํ คัญในอปุ กรณ สําหรบั จัดเก็บขอมลู กอนท่จี ะอนญุ าตใหผูอ่ืนนําอุปกรณน ้นั ไปใชง านตอ เพ่ือปองกัน ไมใหม ีการเขาถงึ ขอ มลู สาํ คญั นั้นได แนวปฏบิ ัติในการรกั ษาความมน่ั คงปลอดภยั ดานสารสนเทศ ของกระทรวงสาธารณสขุ หนา ๕๒
หมวดท่ี ๕ การดาํ เนนิ การตอบสนองเหตุการณค วามมัน่ คงปลอดภัย ทางระบบสารสนเทศ วตั ถปุ ระสงค เพื่อกาํ หนดมาตรการในการปองกันการบุกรุกและการโจมตี หรือเหตกุ ารณล ะเมดิ ความปลอดภัย ระบบสารสนเทศใหมีความมั่นคงปลอดภัย แนวปฎบิ ตั ิ ขอ ๑. ระบบปองกนั ผูบกุ รุก (๑) ดําเนนิ การตรวจสอบ Log File หรือรายงงานของระบบปอ งกันการบุกรกุ สงิ่ ทที่ ําการ ตรวจสอบมี ดงั ตอ ไปนี้ - มกี ารโจมตมี ากนอยเพยี งใด และเปน การโจมตีประเภทใดมากทสี่ ดุ - ลักษณะของการโจมตีท่ีเกดิ ข้ึนมรี ปู แบบทส่ี ามารถคาดเดาไดหรือไม - ระดบั ความรุนแรงมากนอยเพียงใด - หมายเลขไอพีของเครือขา ยทเี่ ปนผโู จมตี ขอ ๒. ระบบไฟรว อลล (๑) ดาํ เนินการตรวจระบบปองกันการบกุ รุก อยา งนอยเดือนละ ๑ ครั้ง (๒) ดาํ เนินการตรวจสอบบันทึกของ Log File และรายงานของไฟรว อลล สง่ิ ที่ตอ ง ตรวจสอบมีดังตอไปนี้ - Packet ทไ่ี ฟรว อลลไ ดทําการ Block - ลักษณะของ Packet ท่ถี ูก Block - Packet ของหมายเลขไอพี ของเครือขายใดถูก Block เปนจํานวนมาก (๓) กรณตี รวจพบการโจมตรี ะบบหรอื เหตุการณละเมิดความปลอดภัยระบบสารสนเทศให แจงหัวหนาหนว ยงาน เพ่ือตดั สินใจดําเนินการแกไขปญ หา ขอ ๓. ระบบปองกนั ภัยคุกคามทางอินเตอรเนต็ ภยั คุกคามทางอินเตอรเนต็ หรอื มลั แวร (Malware) ประกอบดว ย ไวรัส หนอนอนิ เตอรเ นต็ โทรจนั รวมถงึ สปายแวร (๑) ดาํ เนินการตรวจสอบ Log File และรายงานของอุปกรณทีเ่ กี่ยวของกับระบบปอ งกนั ภัยคกุ คามทางอินเตอรเนต็ สิง่ ทต่ี องตรวจสอบมดี งั น้ี - มลั แวรป ระเภทใดถกู พบเปน จํานวนมาก - มัลแวรถูกสง มาจากเครือขา ยใด และถกู สงไปยังที่ใด - มกี ารสง มลั แวรจ ากเครอื ขายภายในกระทรวงสาธารณสุขไปยังภายนอกหรือไม แนวปฏบิ ตั ิในการรกั ษาความมั่นคงปลอดภยั ดา นสารสนเทศ ของกระทรวงสาธารณสุข หนา ๕๓
(๒) ศึกษาหาวธิ ีแกไ ขเครื่องคอมพิวเตอรทตี่ ิดมัลแวร โดยเฉพาะมลั แวรป ระเภทท่ตี รวจ พบวากระจาย อยูใ นเครอื ขา ยของกระทรวงสาธารณสุข (๓) ตรวจสอบพบวา เคร่ืองคอมพิวเตอรภ ายในเครือขายติดมลั แวรห รอื สง มลั แวรอ อกไป ขา งนอก ตอ งระงบั การเช่ือมตอของเคร่ืองทต่ี ิดมลั แวรกบั ระบบเครือขาย แลวทําการ แกไ ขเครื่องนน้ั ทนั ที แนวปฏบิ ตั ิในการรกั ษาความมั่นคงปลอดภัยดา นสารสนเทศ ของกระทรวงสาธารณสขุ หนา ๕๔
หมวดท่ี ๖ การสรา งความตระหนกั ในเรอื่ งการรกั ษาความปลอดภยั ของ ระบบเทคโนโลยีสารสนเทศ วัตถปุ ระสงค ๑. เพ่ือสรา งความรคู วามเขาใจ ในการใชระบบสารสนเทศและระบบคอมพวิ เตอรใหแกผ ูใชง าน ของกระทรวงสาธารณสุข ๒. เพ่ือใหก ารใชง านระบบสารสนเทสศและระบบคอมพวิ เตอรเกดิ ความมน่ั คงปลอดภยั ๓. เพอ่ื ปองกนั และลดการกระทําความผิดที่เกดิ ขึ้นจากการใชระบบสารสนเทศและระบบ คอมพิวเตอรโ ดยไมค าดคดิ แนวปฎบิ ัติ ขอ ๑. จดั ใหม กี ารทบทวน ปรบั ปรงุ นโยบายและแนวปฏบิ ตั ิใหเปนปจ จบุ ันอยูเสมอ อยางนอยปละ ๑ ครัง้ ขอ ๒. จัดฝก อบรมแนวปฏบิ ัติตามแนวนโยบายอยา งสม่าํ เสมอ โดยการจัดฝก อบรมโดยใชวธิ กี าร เสรมิ เนอ้ื หาแนวปฏิบัตติ ามแนวนโยบายเขา กบั หลกั สตู รอบรมตา ง ๆ ตามแผนการฝกอบรมของหนว ยงาน ขอ ๓. จดั สมั มนาเพ่ือเผยแพรนโยบายและแนวปฏิบัติในการรักษาความมน่ั คงปลอดภัยดาน สารสนเทศ และสรางความตระหนกั ถึงความสําคัญของการปฏบิ ัติใหก ับบคุ ลากร โดยการจดั สัมมนามแี ผนการ ดาํ เนนิ งานปละไมนอยกวา ๑ คร้งั โดยจะจดั รว มกบั การสัมมนาท่เี ก่ยี วของกบั ดานเทคโนโลยสี ารสนเทศ และ มีการเชิญวิทยากรจากภายนอกท่ีมีประสบการณดา นการรักษาความมน่ั คงปลอดภยั ดา นสารสนเทศมา ถา ยทอดความรู ขอ ๔. ตดิ ประกาศประชาสมั พันธ ใหค วามรูเ กี่ยวกบั แนวปฏิบตั ิ ในลกั ษณะเกร็ดความรู หรอื ขอ ระวงั ในรูปแบบท่ีสามารถเขา ใจและนําไปปฏบิ ตั ิไดงา ย โดยมีการปรับเปลย่ี นเกร็ดความรูอยูเสมอ ขอ ๕. ระดมการมีสว นรวมและลงสูภาคปฏบิ ัตดิ วยการกาํ กับ ติดตาม ประเมนิ ผล และสํารวจความ ตอ งการของผูใชงาน ขอ ๖. ใหมกี ารสรา งความตระหนักเกย่ี วกับโปรแกรมไมประสงคด ี เพอื่ ใหเ จาหนา ทม่ี ีความรูความ เขาใจและสามารถปองกันตนเองไดและใหร บั ทราบข้นั ตอนปฏิบัติเม่ือพบเหตโุ ปรแกรมไมประสงคดีวา ตอง ดําเนนิ การอยางไร ขอ ๗. สรา งความรูค วามเขาใจใหแ กผูใชงานใหต ระหนกั ถึงเหตุการณด านความมั่นคงปลอดภัยที่ เกิดขึ้น และสถานการณดา นความมน่ั คงปลอดภยั ที่ไมพงึ ประสงคห รอื ไมอาจคาดคดิ เพื่อใหผูใ ชง านปฏบิ ัติตาม นโยบายและแนวปฏบิ ตั ิในการรักษาความม่ันคงปลอดภยั ของหนวยงาน ขอ ๘. ผูใชงานตอ งตระหนักและปฏิบตั ติ ามกฎหมายใด ๆ ทไ่ี ดประกาศใชใ นประเทศไทยรวมท้ัง กฎระเบียบของกระทรวงสาธารณสุข และขอตกลงระหวา งประเทศอยางเครงครดั ทง้ั นห้ี ากผูใชง านไมปฏบิ ตั ิ แนวปฏบิ ัตใิ นการรักษาความมน่ั คงปลอดภยั ดา นสารสนเทศ ของกระทรวงสาธารณสขุ หนา ๕๕
ตามกฎหมายดังกลาว ถือวา ความผิดน้นั เปน ความผดิ สวนบคุ คลซึง่ ผใู ชงานจะตอ งรับผิดชอบตอความผิดที่ เกิดขนึ้ เอง แนวปฏบิ ัตใิ นการรักษาความม่นั คงปลอดภยั ดา นสารสนเทศ ของกระทรวงสาธารณสุข หนา ๕๖
หมวดที่ ๗ หนา ท่ีและความรบั ผดิ ชอบ วตั ถุประสงค เพื่อกาํ หนดหนาที่ความรับผดิ ชอบของผบู ริหารระดบั สูง ผอู ํานวยการ หัวหนา เจาหนา ท่ี ตลอดจนผูที่ ไดร ับมอบหมายใหดูแลรับผิดชอบดา นสารสนเทศ แนวปฏบิ ัติ ขอ ๑. ระดบั นโยบาย ผูรับผิดชอบ ไดแก - ผบู รหิ ารเทคโนโลยีสารสนเทศระดับสูง (CSO/CIO) - ผอู ํานวยการศูนยเ ทคโนโลยีสารสนเทศ หรือเทียบเทา ระดับผอู ํานวยการ (๑) รบั ผดิ ชอบในการกาํ หนดนโยบาย ใหขอ เสนอแนะ คาํ ปรึกษา ตลอดจนติดตาม กํากบั ดูแล ควบคุมตรวจสอบเจา หนาท่ีในระดับปฏบิ ตั ิ (๒) รบั ผิดชอบตอความเส่ยี ง ความเสียหาย หรืออนั ตรายทเ่ี กิดขน้ึ กรณีระบบ คอมพวิ เตอร หรือขอมูลสารสนเทศเกดิ ความเสียหาย หรอื อันตรายใด ๆ แกอ งคกรหรือผหู นึ่งผใู ด อันเนอ่ื งมาจากความบกพรอง ละเลย หรอื ฝาฝนการปฏบิ ัติตามแนวนโยบายและแนว ปฏบิ ตั ิในการรกั ษาความม่ันคงปลอดภยั ดา นสารสนเทศ ขอ ๒. ระดบั บรหิ าร ผรู บั ผดิ ชอบ ไดแก หัวหนากลุม /หัวหนา ศูนยเ ทคโนโลยีสารสนเทศ หรอื เทยี บเทาหวั หนากลมุ (๑) รับผิดชอบ กาํ กับ ดแู ลการปฏิบตั งิ านของผูปฏบิ ตั ิ ตลอดจนศกึ ษา ทบทวน วางแผน ติดตามการบริหารความเสีย่ ง และระบบรักษาความปลอดภัยฐานขอมลู และเทคโนโลยี สารสนเทศ (๒) รบั ผิดชอบในการควบคุม ดูแล รกั ษาความปลอดภัย ระบบสารสนเทศและระบบ ฐานขอ มลู ขอ ๓. ระดบั ปฏบิ ัติ ผูรบั ผิดชอบ ไดแก - ผูท่ีไดรับมอบหมายใหปฏบิ ัตหิ นาทจ่ี ากหัวหนาสว นราชการกระทรวงสาธารณสุข เชน นกั วชิ าการคอมพิวเตอร เจาหนาท่ีเครื่องคอมพวิ เตอร (๑) ปฏบิ ตั ติ ามนโยบายและแนวปฏิบัตใิ นการรกั ษาความมั่นคงปลอดภยั ดา นสารสนเทศ (๒) ประสานการปฏิบตั งิ านตามแผนปองกันและแกไ ขปญ หาระบบความม่นั คงปลอดภยั ของ ฐานขอ มูลและสารสนเทศจากสถานการณความไมแ นน อนและภยั พบิ ัติ แนวปฏบิ ัติในการรักษาความมั่นคงปลอดภัยดา นสารสนเทศ ของกระทรวงสาธารณสุข หนา ๕๗
(๓) รับผดิ ชอบควบคุม ดแู ล รักษาความปลอดภยั และบํารุงรักษา ระบบเคร่ืองคอมพิวเตอร ระบบเครือขา ย หอ งควบคุมระบบเครือขา ยและเครื่องคอมพิวเตอรแ มข า ย (๔) ทาํ การสาํ รองขอมลู และเรียกคืนขอ มลู (Backup and Recovery) ตามรอบระยะเวลาท่ี กําหนด (๕) ปองกนั การถูกเจาะระบบ และแกไขปญหาการถูกเจาะเขา ระบบฐานขอมลู จาก บคุ คลภายนอก (Hacker) โดยไมไดรบั อนญุ าต (๖) รบั ผดิ ชอบในการักษาความปลอดภัย ระบบอนิ เตอรเนต็ (๗) ปฏบิ ตั งิ านอื่น ๆ ตามที่ไดรับมอบหมายในการรกั ษาความม่ันคงปลอดภัยดานสารสนเทศ ของกระทรวงสาธารณสุข แนวปฏบิ ัตใิ นการรกั ษาความมั่นคงปลอดภัยดานสารสนเทศ ของกระทรวงสาธารณสุข หนา ๕๘
Search
