แนวนโยบายและแนวปฏิบัติในการรกั ษาความม่นั คงปลอดภยั ดา นสารสนเทศ วิทยาลัยสารพัดชา งพระนคร ประจําป พ.ศ. ๒๕๕๙
คาํ นํา ตามท่ี พระราชกฤษฎีกากําหนดหลักเกณฑและวิธีการ ในการทําธุรกรรมทางอิเล็กทรอนิกสภาครัฐพ.ศ. ๒๕๔๙ มาตรา ๕ มาตรา ๖ และมาตรา ๗ กําหนดใหหนวยงานของภาครัฐตองจัดทําแนวนโยบายและแนวปฏิบัติ ในการรักษาความม่นั คงปลอดภยั ดานสารสนเทศ เพื่อใหการดําเนินกิจกรรมหรือการใหบริการตางๆ ของหนว ยงานรฐั มคี วามมัน่ คงปลอดภยั และเชอื่ ถอื ได ดังน้ัน วิทยาลัยสารพัดชางพระนคร จึงไดจัดทํานโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยดา นสารสนเทศ ของวิทยาลัยสารพัดชางพระนคร พ.ศ. ๒๕๕๙ เพ่ือใหการดําเนินงานดวยวิธีการทางอิเลก็ ทรอนกิ สม คี วามมั่นคงปลอดภยั และเชอื่ ถอื ได เปนไปตามกฎหมาย และระเบยี บปฏิบตั ทิ เี่ กยี่ วของ อยา งไรกต็ ามการรักษาความปลอดภยั ระบบเทคโนโลยีสารสนเทศ เปน งานทต่ี องไดร บั ความรว มมอื ในการปฏิบตั ติ ามนโยบาย และแนวปฏิบตั ใิ นการรกั ษาความม่นั คงปลอดภัยดานสารสนเทศฯ จากบคุ ลากรทกุ คนและตองทําอยางตอเน่ือง มีการตรวจสอบอยางสม่ําเสมอ และปรับปรุงเพ่ือใหสอดคลองกับการพัฒนาของเทคโนโลยีที่เปล่ียนแปลงไปอยางรวดเร็ว วิทยาลัยสารพัดชางพระนคร จึงหวังเปนอยางยิ่งวา นโยบายและแนวปฏิบัติในการรักษาความม่ันคงปลอดภัยดานสารสนเทศฉบับนี้ จะเปนเคร่ืองมือใหกับผูใชงาน ผูดูแลระบบงาน และผูที่เกี่ยวของกับระบบเครือขายคอมพิวเตอรของวิทยาลัยสารพัดชางพระนคร ถือปฏิบัติโดยเครง ครัดตอ ไป
สารบัญ หนาคาํ นํา ๑สารบญันโยบายและแนวปฏิบัตใิ นการรกั ษาความมั่นคงปลอดภยั ดานสารสนเทศ ๒ วิทยาลัยสารพัดชางพระนคร พ.ศ. ๒๕๕๙ ๓นโยบายในการรกั ษาความมัน่ คงปลอดภยั ดานสารสนเทศ ๔ วิทยาลัยสารพัดชา งพระนคร พ.ศ. ๒๕๕๙ ๑๐แนวปฏบิ ตั ใิ นการรักษาความมัน่ คงปลอดภยั ดานสารสนเทศ ๑๑ ๑๗ วทิ ยาลัยสารพัดชา งพระนคร พ.ศ. ๒๕๕๙ ๒๓คาํ นยิ าม ๒๕สว นที่ ๑. แนวปฏิบตั กิ ารรกั ษาความมั่นคงปลอดภัยทางดา นกายภาพและสงิ่ แวดลอม ๒๖สวนท่ี ๒. แนวปฏบิ ตั กิ ารใชระบบคอมพวิ เตอรและระบบเครอื ขา ย ๒๗สวนที่ ๓. แนวปฏบิ ัตกิ ารควบคมุ การเขาถึงระบบสารสนเทศและระบบเครือขา ยสวนที่ ๔. แนวปฏบิ ตั ขิ องผดู แู ลระบบ ๒๘สวนที่ ๕. แนวปฏิบตั ิการจดั ทําระบบสาํ รองและแผนเตรยี มความพรอมกรณฉี ุกเฉนิสวนที่ ๖. แนวปฏิบตั กิ ารประเมนิ ความเส่ยี งสวนท่ี ๗. แนวปฏบิ ตั กิ ารสรา งความตระหนักในเร่ืองการรักษาความมั่นคงปลอดภัยของ ระบบเทคโนโลยสี ารสนเทศสว นท่ี ๘ การกําหนดผรู บั ผิดชอบ
ภาคผนวก
แนวนโยบายและแนวปฏบิ ตั ใิ นการรักษาความมน่ั คงปลอดภยั ดา นสารสนเทศ วิทยาลัยสารพดั ชา งพระนคร พ.ศ. ๒๕๕๙หลกั การและเหตุผล ตามพระราชกฤษฎีกากําหนดหลักเกณฑและวิธีการในการทําธุรกรรมทางอิเล็กทรอนิกสภาครัฐ พ.ศ.๒๕๔๙ กําหนดใหหนวยงานของรัฐตองจัดทําแนวนโยบายและแนวปฏิบัติในการรักษาความม่ันคงปลอดภัยดา นสารสนเทศ เพื่อใหก ารดําเนินงานของรฐั ดวยวิธกี ารทางอิเล็กทรอนิกส มคี วามมั่นคง ปลอดภัย และเชื่อถือได ดังน้ันวิทยาลัยสารพัดชางพระนคร จึงไดจัดทํานโยบายและแนวปฏิบัติในการรักษาความม่ันคงปลอดภัยดา นสารสนเทศ เพ่อื ใหบ ุคลากรทกุ ระดบั ท่ีเกยี่ วขอ งไดนําไปปฏบิ ตั ิอยา งเครง ครดัวัตถุประสงค ๑. เพื่อใหมีนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยดานสารสนเทศของวิทยาลัยสารพัดชา งพระนคร เปนไปตามกฎหมายและระเบยี บปฏิบตั ทิ ี่เก่ียวขอ ง ๒. เพ่ือกําหนดแนวทางและวิธีการปฏิบัติสําหรับครู บุคลากรทางการศึกษา นักเรียน นักศึกษาพนักงานราชการ และลูกจาง ในการยืนยันตัวบุคคล การเขาถึง และการควบคุมการใชงานระบบเทคโนโลยีสารสนเทศ ๓. เพื่อใหมีการสํารองขอมูลสารสนเทศอยางสม่ําเสมอ และมีแผนเตรียมความพรอมกรณีฉุกเฉิน ที่ไมสามารถดําเนนิ การดวยวธิ กี ารทางอิเลก็ ทรอนิกสไดตามปกติ ๔. เพื่อใหมีการตรวจสอบและประเมินความเสี่ยงในการรักษาความม่ันคงปลอดภัยของขอมูล และระบบเทคโนโลยีสารสนเทศอยางสม่ําเสมอ ๕. เพ่ือสรางความตระหนักและสงเสริมใหเกิดความรู ความเขาใจและการใหการอบรมทางดานการรักษาความปลอดภัยของระบบเทคโนโลยีสารสนเทศใหแก ครู บุคลากรทางการศึกษา นักเรียน นักศึกษาพนกั งานราชการ และลกู จางของวิทยาลัยท่ีเก่ียวขอ ง ๑
นโยบายในการรกั ษาความมั่นคงปลอดภัยดานสารสนเทศ วทิ ยาลัยสารพัดชา งพระนคร พ.ศ. ๒๕๕๙ ๑. สง เสรมิ และสนบั สนนุ การรกั ษาความม่ันคงปลอดภัยดานสารสนเทศใหตอบสนองตอพันธกิจ และนโยบายของวิทยาลยั สารพดั ชางพระนคร ๒. มุงกาํ หนดแนวปฏบิ ัติ แนวทางแกไ ข หรือบทลงโทษตามความเหมาะสม หากมีการละเมิดหรือฝาฝนแนวนโยบายในการรกั ษาความมัน่ คงปลอดภยั ดา นสารสนเทศ รวมทั้งติดตามและตรวจสอบการดําเนินงานอยา งสมํ่าเสมอ เพ่ือใหเ ปน ไปตามกฎหมายและระเบียบปฏบิ ัติทเ่ี กยี่ วของ ๓. เนนกํากับดูแลการดําเนินงาน เพ่ือบริหารจัดการใหระบบเทคโนโลยีสารสนเทศมีความถูกตองสมบรู ณ และพรอมใชง านอยูเสมอ ๔. เผยแพรความรู ความเขาใจเพื่อสรางความตระหนักใหครู บุคลากรทางการศึกษา นักเรียนนักศึกษา พนักงานราชการ และลูกจาง ของวิทยาลัยสารพัดชางพระนคร และหนวยงานภายนอกที่เกี่ยวของตลอดจนสงเสริมใหม กี ารศกึ ษาอยางตอ เน่ือง ๕. ติดตาม ตรวจสอบการดําเนินงาน และปรับปรุงแนวนโยบายและแนวปฏิบัติในการรักษาความมนั่ คงปลอดภัยดานสารสนเทศใหสอดคลองตามการเปล่ียนแปลงของเทคโนโลยี ๒
แนวปฏิบัตใิ นการรักษาความม่นั คงปลอดภยั ดา นสารสนเทศ วทิ ยาลัยสารพดั ชางพระนคร พ.ศ. ๒๕๕๙ แนวปฏิบัติในการรักษาความปลอดภัยดานสารสนเทศ วิทยาลัยสารพัดชางพระนคร จัดทําขึ้นเพื่อกําหนดวิธีปฏิบัติในการรักษาความม่ันคงปลอดภัยดานสารสนเทศใหสอดคลอง และเปนไปตามนโยบายท่ีกําหนดไว โดยแบง นโยบายออกเปนสว น ๆ ดงั ตอ ไปน้ี สว นท่ี ๑. แนวปฏบิ ตั กิ ารรักษาความม่ันคงปลอดภยั ทางดา นกายภาพและสิง่ แวดลอ ม สว นที่ ๒. แนวปฏิบัติการใชระบบคอมพิวเตอรแ ละระบบเครือขาย สวนท่ี ๓. แนวปฏิบตั กิ ารควบคุมการเขาถึงระบบสารสนเทศและระบบเครือขา ย สวนท่ี ๔. แนวปฏบิ ตั ขิ องผดู ูแลระบบ สว นท่ี ๕. แนวปฏิบตั ิการจดั ทําระบบสาํ รองและแผนเตรียมความพรอ มกรณีฉุกเฉนิ สวนท่ี ๖. แนวปฏิบัตกิ ารตรวจสอบและประเมินความเสีย่ ง สวนที่ ๗. แนวปฏิบัติการสรางความตระหนักในเรื่องการรักษาความม่ันคงปลอดภัยของระบบเทคโนโลยีสารสนเทศ สว นท่ี ๘. การกําหนดผรู บั ผดิ ชอบ ๓
คํานยิ ามคาํ นิยามที่ใชใ นนโยบายนป้ี ระกอบดวย “วทิ ยาลยั ” หมายถงึ วิทยาลัยสารพดั ชา งพระนคร “ระบบคอมพิวเตอร” หมายถึง อุปกรณหรือชุดอุปกรณของคอมพิวเตอรท่ีเชื่อมการทํางานเขาดว ยกนั โดยไดมีการกําหนดคําสงั่ และแนวทางปฏิบตั ิงานใหอุปกรณหรือชุดอุปกรณทําหนาที่ประมวลผลขอมูลโดยอตั โนมัติ “ระบบเครือขาย” หมายถึง ระบบท่ีสามารถใชในการติดตอสื่อสารหรือการสงขอมูลและสารสนเทศระหวางระบบเทคโนโลยีสารสนเทศตา งๆ ของวิทยาลัยไดเชน ระบบแลน (LAN) ระบบอินทราเน็ต (Intranet)ระบบอนิ เทอรเ นต็ (Internet) เปน ตน “ความมน่ั คงปลอดภัย” หมายถงึ ความมนั่ คงและความปลอดภัยสําหรับระบบเทคโนโลยีสารสนเทศและการส่ือสารของวิทยาลยั “ระบบแลน (Local Area Network)” และ “ระบบอินทราเน็ต (Intranet)” หมายถึง ระบบเครือขา ยอเิ ล็กทรอนิกสท่ีเชือ่ มตอระบบคอมพวิ เตอรต า ง ๆ ภายในวิทยาลัยเขาดวยกัน เปนระบบเครือขายที่มีจดุ ประสงคเ พอ่ื การติดตอ สือ่ สารแลกเปลี่ยนขอมลู และสารสนเทศภายในวิทยาลัย “ระบบอินเทอรเน็ต (Internet)” หมายถึง ระบบเครือขายอิเล็กทรอนิกสท่ีเชื่อมตอระบบเครือขายคอมพวิ เตอรตา งๆ ของวิทยาลัยเขากับเครือขา ยอนิ เทอรเ นต็ สากล “ระบบเทคโนโลยีสารสนเทศ (Information Technology System)” หมายถึง ระบบงานของวิทยาลยั ที่นําเอาเทคโนโลยีสารสนเทศ ระบบคอมพิวเตอร และระบบเครือขายมาชวยในการสรางสารสนเทศที่วิทยาลัยสามารถนํามาใชประโยชนในการวางแผน การบริหาร การสนับสนุนการใหบริการ การพัฒนาและควบคุมการติดตอส่ือสาร ซ่ึงมีองคประกอบ เชน ระบบคอมพิวเตอรระบบเครือขาย โปรแกรม ขอมูล และสารสนเทศ เปนตน “เคร่ืองคอมพิวเตอร” หมายถึง เครอ่ื งคอมพวิ เตอรแ บบตง้ั โตะและเคร่ืองคอมพวิ เตอรแ บบพกพา “ขอมูลคอมพิวเตอร” หมายถึง ขอมูล ขอความ คําส่ัง ชุดคําส่ัง หรือสิ่งอื่นใด บรรดาท่ีอยูในระบบคอมพิวเตอรในสภาพท่ีระบบคอมพิวเตอรอาจประมวลผลได และใหหมายความรวมถึงขอมูลอิเล็กทรอนิกสตามกฎหมายวา ดว ยธุรกรรมทางอเิ ลก็ ทรอนิกส “สารสนเทศ (Information)” หมายถึง ขอเท็จจริงท่ีไดจากการนําขอมูลมาผานการประมวลผลการจดั ระเบียบใหข อมูลซึง่ อาจอยูในรปู ของตวั เลข ขอความ หรอื ภาพกราฟก ใหเปนระบบที่ผูใชสามารถเขาใจไดงาย และสามารถนําไปใชประโยชนใ นการบรหิ าร การวางแผน การตัดสนิ ใจ และอน่ื ๆ “ผูบงั คบั บัญชา” หมายถึง ผมู ีอํานาจสงั่ การตามโครงสรางการบริหารของวทิ ยาลยั “ผใู ชงาน” หมายถึง ผูบังคับบัญชา ครู บุคลากรทางการศึกษา นักเรียน นักศึกษา พนักงานราชการและลูกจางของวิทยาลัย รวมถึงบุคคลภายนอกที่ไดรับอนุญาตใหใชเคร่ืองคอมพิวเตอรและระบบเครือขายของวิทยาลยั ๔
“ผูดูแลระบบ (System Administrator)” หมายถึง ผูท่ีไดรับมอบหมายจากผูอํานวยการวิทยาลัยใหม ีหนาท่รี ับผิดชอบดูแลรักษา หรือจัดการระบบคอมพวิ เตอรและระบบเครอื ขา ยไมวาสว นหนงึ่ สวนใด “บุคคลภายนอก” หมายถึง บุคคลที่ไมไดสังกัดอยูในวิทยาลัยสารพัดชางพระนคร แตไดรับอนุญาตใหม สี ทิ ธใิ์ นการเขา ถงึ และใชง านขอ มูลหรือสินทรัพยตาง ๆ ของวทิ ยาลัย โดยจะไดรับสิทธิ์ในการใชระบบตามหนา ทีแ่ ละตอ งรับผดิ ชอบในการรกั ษาความลับของขอมลู “พื้นท่ีใชงานระบบเทคโนโลยีสารสนเทศและการสื่อสาร” หมายถึง พื้นท่ีท่ีวิทยาลัยอนุญาต ใหมีการใชง านระบบเทคโนโลยสี ารสนเทศและการส่ือสาร โดยแบงเปน (๑) หองเรยี น หมายถึง พน้ื ที่ท่ตี ดิ ตง้ั เครอ่ื งคอมพวิ เตอรป ระจําโตะเรยี น (๒) สํานักงาน หมายถงึ พื้นทตี่ ิดต้ังเคร่ืองคอมพิวเตอรสวนบุคคลประจําโตะทํางาน และคอมพิวเตอรแบบพกพา รวมถึงพน้ื ทท่ี าํ งานของผดู แู ลระบบ (System Administrator) (๓) พ้ืนที่ติดตั้งและจัดเก็บอุปกรณระบบเทคโนโลยีสารสนเทศหรือระบบเครือขายหมายถึง บริเวณติดตั้งเครื่อง Server และอุปกรณเครอื ขาย (๔) พน้ื ทใี่ ชงานระบบเครือขาย หมายถึง พืน้ ทคี่ รอบคลมุ ในการใหบ ริการระบบเครือขาย (๕) พ้ืนทีใ่ ชง านระบบเครือขา ยไรสาย หมายถงึ พน้ื ทค่ี รอบคลุมในการใหบรกิ ารระบบเครือขา ยไรส าย “สินทรัพย” หมายถึง ขอมูล ระบบขอมูล และสินทรัพยดานเทคโนโลยีสารสนเทศและการส่ือสารของวทิ ยาลัย เชน เครอื่ งคอมพิวเตอร อปุ กรณร ะบบเครือขาย ซอฟตแ วรท ี่มลี ิขสิทธ์ิ เปนตน “จดหมายอิเล็กทรอนิกส (e-mail)” หมายถึง ระบบที่บุคคลใชในการรับสงขอความระหวางกันโดยผานเคร่ืองคอมพิวเตอรและระบบเครือขายท่ีเชื่อมโยงถึงกัน ขอมูลท่ีสงจะเปนไดท้ังตัวอักษร ภาพถายภาพกราฟก ภาพเคล่อื นไหว และเสยี ง ท่ีผูสงสามารถสงขาวสารไปยงั ผูร ับคนเดียวหรือหลายคนกไ็ ด “รหัสผาน (Password)” หมายถึง ตัวอักษรหรืออักขระหรือตัวเลข ท่ีใชเปนเคร่ืองมือในการตรวจสอบยืนยันตัวบุคคล เพื่อควบคุมการเขาถึงขอมูลและระบบขอมูลในการรักษาความม่ันคงปลอดภัยของขอมลู และระบบเทคโนโลยสี ารสนเทศ “บญั ชผี ูใชงาน (Account)” หมายถงึ รายชื่อผมู ีสทิ ธิ์ใชง านเครื่องคอมพวิ เตอร และบริการในระบบเครอื ขายของวทิ ยาลัย “เวลาอางอิงสากล (Stratum 0)” หมายถึง การเปรียบเทียบเวลาของเคร่ืองคอมพิวเตอรแมขายท่ีใชในการเก็บขอมูลจราจรทางคอมพิวเตอร (Log) กับเวลามาตรฐานสากล ในประเทศไทยน้ันเรา อางอิงกับหนวยงานมาตรฐาน (เชน กรมอุทกศาสตร กองทัพเรือ ศูนยเทคโนโลยีอิเล็กทรอนิกสและคอมพิวเตอรแหงชาต)ิ เพ่อื ใหส อดคลองกับพระราชบญั ญตั ิวา ดวยการกระทาํ ความผิดเก่ียวกับคอมพวิ เตอร พ.ศ. ๒๕๕๐ “ขอมูลจราจรทางคอมพิวเตอร (Log)” หมายถึง ขอมูลท่ีเกี่ยวกับการติดตอส่ือสารของระบบคอมพิวเตอร ซ่ึงแสดงถึงแหลงกําเนิด ตนทาง ปลายทาง เสนทาง วันที่ ปริมาณ ระยะเวลา และชนิดของบริการอื่น ๆ ทเ่ี กยี่ วของในการติดตอสอื่ สารของระบบคอมพิวเตอรน ้ัน ๕
“โปรแกรมประสงคราย (Malware)” หมายถึง โปรแกรมคอมพิวเตอร ชุดคําสั่งและ/หรือขอมูลอเิ ลก็ ทรอนิกสท ีไ่ ดร ับการออกแบบขึ้นมาที่มีวัตถุประสงคเพื่อกอกวนหรือสรางความเสียหายไมวาโดยตรงหรือโดยออ ม แกร ะบบคอมพิวเตอรห รอื ระบบเครอื ขาย เชน ไวรสั คอมพิวเตอร (Computer Virus) หรือสปายแวร(Spyware) หรือหนอน (Worm) หรือมาโทรจัน (Trojan horse) หรือฟชชิง (Phishing) หรือจดหมายลูกโซ(Mass Mailing) เปน ตน “ชื่อเครื่องคอมพิวเตอร (Computer Name)” หมายถึง ช่ือที่กําหนดเฉพาะใหกับเคร่ืองคอมพิวเตอรบนระบบเครือขายโดยจะมีชื่อที่ไมซ้ํากัน ทําใหบงบอกไดวาเปนเคร่ืองคอมพิวเตอรใดในระบบเครอื ขาย “สื่อบันทึกพกพา” หมายถึง ส่ืออิเล็กทรอนิกสที่ใชในการบันทึกหรือจัดเก็บขอมูล ไดแก FlashDrive หรือ Handy Drive หรอื Thumb Drive หรือ External Hard disk หรือ Floppy disk เปนตน “ปุมกดงาย (Shortcut)” หมายถึง เครื่องมือท่ีชวยในการเรียกใชโปรแกรมไดอยางรวดเร็ว และสามารถเขา ถึงโปรแกรมหรอื แฟมขอมลู ที่ตองการไดท ันที ซึง่ ผใู ชสามารถลบหรือสรางใหมไ ด “ไบออส (BIOS)” หมายถึง ซอฟตแวรขนาดเล็กซึ่งเก็บอยูในหนวยความจําบนเมนบอรดของเครื่องคอมพิวเตอร ทําหนาที่ควบคุมข้ันตอนการบูตและการทํางานของอุปกรณพ้ืนฐานตาง ๆ ที่ติดต้ังอยูบนเมนบอรด “การต้ังคาระบบ (Configuration)” หมายถึง คาท่ีใชกําหนดการทํางานของโปรแกรม หรือองคประกอบของเคร่ืองคอมพิวเตอรท ัง้ ทางดา นฮารดแวรและซอฟตแ วร “เลขท่ีอยไู อพี (IP Address)” หมายถึง ตัวเลขประจําเครื่องคอมพิวเตอรที่ตออยูในระบบเครือขายซ่ึงเลขนี้ของแตละเคร่ืองจะตองไมซ้ํากัน โดยประกอบดวยชุดของตัวเลข ๔ สวนหรือ ๖ สวน ที่คั่นดวยเครือ่ งหมายจุด (.) “เลขที่อยูไอพีสาธารณะ (Public IP Address)” หมายถึง เลขท่ีอยูไอพีที่มีไวสําหรับใหแตละหนวยงาน หรอื แตละบุคคลสามารถเชอ่ื มตอ เขาหากัน หรอื รบั สงขอมูลระหวา งกันผานเครอื ขา ยสาธารณะได “แบนดวิดท (Bandwidth)” หมายถึง ปริมาณขอมูลที่ไหลเขาหรือออกจากจุดใดจุดหนึ่งของระบบเปน การแสดงใหเ หน็ ถึงปรมิ าณขอมลู ท่ีสามารถถายโอนไดใ นชวงเวลาหนงึ่ และเปนการบอกถึงความเร็วในการรบั สงขอมูล “ช่อื ผูใช (Username)” หมายถงึ ชุดของตัวอกั ษรหรือตัวเลขท่ีถูกกําหนดขึ้นเพ่ือใชในการลงบันทึกเขา (Login) เพือ่ ใชง านเครื่องคอมพวิ เตอรแ ละระบบเครือขายทมี่ ีการกําหนดสิทธิการใชง านไว “ลงบันทึกเขา (Login)” หมายถึง กระบวนการที่ผูใชงานตองทําใหเสร็จสิ้นตามเงื่อนไขที่ตั้งไว เพื่อเขาใชงานระบบคอมพิวเตอรและระบบเครือขาย ซึ่งปกติแลวจะอยูในรูปแบบของการกรอกช่ือผูใช(Username) และรหสั ผาน (Password) ใหถูกตอ ง “ลงบันทึกออก (Logout)” หมายถึง กระบวนการท่ีผูใชงานทําเพ่ือสิ้นสุดการใชงานระบบคอมพวิ เตอรและระบบเครือขาย ๖
“อพั เดท (Update)” หมายถึง ปรับใหเปนปจจุบัน การปรับปรุงขอมูลดานตางๆ ของสารสนเทศใหทนั สมยั อยูเสมอ “ชองโหว (Vulnerability)” หมายถึง ความออนแอในโปรแกรมคอมพิวเตอรซ่ึงยอมใหเกิดการกระทําที่ไมไดรับอนุญาตได โดยเกิดจากขอบกพรองจากการออกแบบโปรแกรม ทําใหมีการอาศัยขอบกพรองดังกลาวเพือ่ เขาถึงขอ มูลโดยไมไดรบั อนุญาต “ไฟลที่สามารถประมวลผลได (Executable file)” หมายถึง ไฟลโปรแกรมที่สามารถเรียกใชงานไดทันที เชน .exe .com .bat .vbs .scr .pif .hta .txt .doc .xls ในขณะท่ีไฟลขอมูลอื่น ๆ จะเปนไฟลขอมูลประกอบ “การเขารหัส (Encryption)” หมายถึง การนําขอมูลมาเขารหัสเพ่ือปองกันการลักลอบเขามาใชขอ มูล ผทู ่สี ามารถเปด ไฟลขอมูลทีเ่ ขารหัสไวจ ะตอ งมโี ปรแกรมถอดรหัสเพอื่ ใหขอมูลกลบั มาใชงานไดตามปกติ “อุปกรณกระจายสัญญาณ (Access Point)” หมายถึง อุปกรณที่ทําหนาที่กระจายสัญญาณในเครือขายไรสาย “SSID (Service Set Identifier)” หมายถึง บริการที่ระบุช่ือของเครือขายไรสายแตละเครือขายที่ไมซ าํ้ กัน โดยทท่ี ุก ๆ เครื่องในระบบตอ งตงั้ คา SSID คา เดียวกัน “โดยปริยาย (Default)” หมายถึง คาท่ีเคร่ืองคอมพิวเตอรหรือโปรแกรมไดกําหนดไวลวงหนา และนําไปใชไดโ ดยปรยิ ายหากไมม กี ารเปล่ยี นแปลงจากผูใชง าน “WEP (Wired Equivalent Privacy)” หมายถึง ระบบการเขารหัสเพ่ือรักษาความปลอดภัยของขอมลู ในเครอื ขา ยไรส ายโดยอาศยั ชุดตวั เลขมาใชเขา รหสั ขอมลู ดงั น้นั ทกุ เครื่องในเครือขายที่รับสงขอมูลถึงกันจงึ ตองรูค า ชุดตัวเลขนี้ “WPA (Wi-Fi Protected Access)” หมายถึง ระบบการเขารหัสเพ่ือรักษาความปลอดภัยของขอ มูลในเครือขา ยไรสายท่พี ฒั นาข้นึ มาใหมใหม ีความปลอดภัยมากกวาวิธีเดิมอยาง WEP (Wired EquivalentPrivacy) “Wireless LAN Client” หมายถงึ เครื่องคอมพิวเตอรลูกขา ยที่ตออยูในระบบแลน โดยใชคล่ืนวิทยุในการสื่อสารขอมูลแทนการใชสายสัญญาณ โดยเครื่องคอมพิวเตอรแตละเคร่ืองจะตองมีทั้งตัวรับและสงสญั ญาณ ซ่งึ มมี าตรฐานทน่ี ิยมใชเรยี กวา IEEE 802.11 “MAC Address (Media Access Control Address)” หมายถึง หมายเลขเฉพาะที่ใชอางถึงอปุ กรณท่ตี อกับระบบเครือขาย หมายเลขน้ีจะมากับอีเทอรเน็ตการด โดยแตละการดจะมีหมายเลขท่ีไมซ้ํากันตวั เลขจะอยใู นรปู ของ เลขฐาน ๑๖ จํานวน ๖ คู ตัวเลขเหลานี้จะมีประโยชนไวใชสําหรับการสงผานขอมูลไปยังตน ทางและปลายทางไดอยางถูกตอง “ไฟรวอลล (Firewall)” หมายถึง เทคโนโลยปี อ งกันการบกุ รกุ จากบคุ คลภายนอก เพ่ือไมใหผูท่ีไมไดรบั อนุญาตเขามาใชขอมูลและทรัพยากรในเครือขาย โดยอาจใชท้ังฮารดแวรและซอฟตแวรในการรักษาความปลอดภยั ๗
“VPN (Virtual Private Network)” หมายถึง เครือขายคอมพิวเตอรเสมือนที่สรางขึ้นมาเปนของสวนตัว โดยในการรับสงขอมูลจริงจะทําโดยการเขารหัสเฉพาะแลวรับ-สงผานเครือขายอินเทอรเน็ต ทําใหบุคคลอน่ื ไมส ามารถอา นได และมองไมเหน็ ขอ มูลน้นั ไปจนถงึ ปลายทาง “Web Server” หมายถึง เครื่องคอมพิวเตอรที่ติดต้ังโปรแกรมบริการเว็บ และมีหนาที่ใหบริการเวบ็ เพจตา ง ๆ “ชื่อโดเมนยอย (Sub Domain Name)” หมายถึง สวนขยายใหทราบถึงกลุมตาง ๆ ภายในโดเมนนัน้ ซงึ่ เปน ชือ่ ทร่ี ะบุใหกับผูใ ชเ พ่ือเขา มายงั เวบ็ ไซตของตน หรืออาจจะใช “ท่อี ยเู ว็บไซต” แทนก็ได “อุปกรณจัดเสนทาง (Router)” หมายถึง อุปกรณที่ใชในระบบเครือขายคอมพิวเตอร ทําหนาท่ีจัดเสน ทางและคน หาเสน ทางเพือ่ สง ขอมลู ตอ ไปยังระบบเครือขายอน่ื “อุปกรณกระจายสัญญาณขอมูล (Switch)” หมายถึง อปุ กรณท่ใี ชในระบบเครือขายคอมพิวเตอรที่ทาํ หนาทีร่ บั -สง ขอ มูล “การพสิ จู นยนื ยันตัวตน (Authentication)” หมายถึง ขั้นตอนการรักษาความปลอดภัยในการเขาใชระบบ เปนขั้นตอนในการพิสูจนตัวตนของผูใชงานระบบ ท่ัวไปแลวจะเปนการพิสูจนโดยใชชื่อผูใช(Username) และรหสั ผา น (Password) “สทิ ธิของผูใ ชง าน” หมายความวา สิทธทิ ่ัวไป สทิ ธิจาํ เพาะ สทิ ธิพิเศษ และสิทธิอ่ืนใดที่เกี่ยว ของกับระบบเทคโนโลยสี ารสนเทศและการสือ่ สารของวทิ ยาลยั “แผนผงั ระบบเครอื ขาย (Network Diagram)” หมายถึง แผนผังซ่ึงแสดงถงึ การเชื่อมตอของระบบเครือขายของวทิ ยาลัย “Command Line” หมายถึง บรรทัดที่ใหผูใชงานปอนคําสั่งแบบขอความ เพื่อส่ังใหเครื่องคอมพิวเตอรทํางานตามตองการ “Firewall Log” หมายถึง การบันทึกการส่ือสารทั้งหมดที่เกิดขึ้นไมวาไฟรวอลล (Firewall) จะอนุญาตใหเกิดการสื่อสารน้ันไดหรือไมก็ตาม ซ่ึงสามารถนํามาใชในการวิเคราะห เพื่อตรวจสอบประเภทของการสือ่ สาร ปริมาณการสื่อสาร นอกจากนั้นแลวยังอาจจะสะทอนใหเห็นจํานวนครั้งที่พยายามจะบุกรุกเขามาภายในวิทยาลยั “DOD 5220.22-M” หมายถึง การลบขอมูลอยางสมบูรณซึ่งไดรับการยอมรับและใชงานกับกระทรวงกลาโหม ประเทศสหรัฐอเมริกา โดยทําใหไมสามารถกูไฟลกลับคืนมาได ซ่ึงทําการลบขอมูล ๓ รอบรอบแรกดว ยขอ มูลแบบสุม รอบท่สี องดว ยบิตท่ตี รงกนั ขาม รอบสดุ ทายดว ยขอ มลู ไบตส มุ “ผูตรวจสอบระบบสารสนเทศของวิทยาลัย (Internal IT Auditor)” หมายถึง ผูท่ีไดรับมอบหมายจากผูบังคับบัญชา ใหมีหนาที่ตรวจสอบขอมูลจราจรทางคอมพิวเตอร (Log) และรับผิดชอบใหสามารถเขา ถงึ ขอมลู จราจรทางคอมพวิ เตอร (Log) ๘
“ผูตรวจสอบระบบสารสนเทศจากหนวยงานภายนอก (External IT Auditor)” หมายถึง ผูที่ไดรับมอบหมายจากสํานักงานคณะกรรมการการอาชีวศึกษา ใหมีสิทธิในการตรวจสอบระบบสารสนเทศหรือระบบเครอื ขา ยของวิทยาลัย “การเขาถึงหรือควบคุมการใชงานสารสนเทศ” หมายความวา การอนุญาต การกําหนดสิทธิหรือการมอบอํานาจใหผูใชงาน เขาถึงหรือใชงานระบบเครือขายหรือระบบสารสนเทศ ทั้งทางอิเล็กทรอนิกสและทางกายภาพ รวมท้ังการอนุญาตเชนวานั้นสําหรับบุคคลภายนอก ตลอดจนกําหนดขอปฏิบัติเกี่ยวกับการเขา ถงึ โดยมชิ อบเอาไวด ว ยก็ได “ความม่ันคงปลอดภัย” หมายความวา ความม่ันคงและความปลอดภัยสําหรับระบบเทคโนโลยีสารสนเทศและการสื่อสารของหนวยงาน โดยธํารงไวซ่ึงความลับ (Confidentiality) ความถูกตอง ครบถวน(Integrity) และสภาพพรอมใชงาน (Availability) ของสารสนเทศ รวมทั้งคุณสมบัติอ่ืน ไดแก ความถูกตองแทจรงิ (Authenticity) ความรับผดิ (Accountability) การหามปฏิเสธความรับผิด (Non-Repudiation) และความนาเช่ือถือ (Reliability) “เหตุการณดานความมั่นคงปลอดภัย (Information security event)” หมายความวา กรณีท่ีระบุการเกิดเหตุการณสภาพของบริการหรือระบบเครือขายที่แสดงใหเห็นความเปนไปไดท่ีจะเกิดการฝาฝนนโยบายดา นความมน่ั คงปลอดภัยหรือมาตรการปอ งกนั ท่ีลมเหลว หรอื เหตกุ ารณอ ันไมอ าจรูไดวาอาจเก่ียวของกบั ความมั่นคงปลอดภยั “สถานการณดานความมั่นคงปลอดภัยที่ไมพึงประสงคหรือไมอาจคาดคิด (Informationsecurity incident)” หมายความวา สถานการณดานความมั่นคงปลอดภัยท่ีไมพึงประสงคหรือไมอาจไมคาดคิด (unwanted or unexpected) ซึ่งอาจทําใหระบบขององคกรถูกบุกรุกหรือโจมตี และความม่ันคงปลอดภัยถกู คกุ คาม ๙
สวนท่ี ๑ แนวปฏิบัติการรักษาความมน่ั คงปลอดภัยทางดา นกายภาพและสง่ิ แวดลอ ม๑. วัตถุประสงค เพ่อื กาํ หนดเปนมาตรการในการควบคุมและปองกันการรักษาความมั่นคงปลอดภัย ท่ีเก่ียวของกับการเขา ใชง านหรอื การเขาถึงพนื้ ทใ่ี ชง านระบบเทคโนโลยีสารสนเทศและการส่ือสาร โดยพิจารณาตามความสําคัญของอุปกรณ ระบบเทคโนโลยีสารสนเทศและขอมูล ซ่ึงเปนสินทรัพยที่มีคาและอาจจําเปนตองรักษาความลับโดยมาตรการน้ีจะมีผลบังคับใชกับผูใชงานท่ีเปนครู บุคลากรทางการศึกษา นักเรียน นักศึกษา พนักงานราชการ และลูกจางของวิทยาลัย รวมถึงบุคคลภายนอกซึ่งมีสวนเกี่ยวของกับการใชงานระบบเทคโนโลยีสารสนเทศและการส่ือสารของวิทยาลัย๒. แนวปฏบิ ตั กิ ารรักษาความมั่นคงปลอดภยั ทางดานกายภาพและสงิ่ แวดลอม ๒.๑ ใหงานศนู ยขอ มลู สารสนเทศ เปน ผูก าํ หนดพื้นที่ผูใชงาน พ้ืนที่ใชงานระบบเทคโนโลยีสารสนเทศและการส่อื สารใหชัดเจน และจัดทาํ แผนผงั แสดงตําแหนงของพ้ืนท่ีใชงาน และประกาศใหรับทราบทั่วกัน โดยการกําหนดพ้ืนท่ีดังกลาวแบงออกไดเปนพื้นท่ีทํางาน พื้นท่ีติดต้ังและจัดเก็บอุปกรณระบบเทคโนโลยีสารสนเทศหรือระบบเครือขา ย พ้นื ที่ใชง านระบบเครือขา ยไรสาย เปนตน ๒.๒ ใหงานศูนยขอมูลสารสนเทศเปนผูกําหนดสิทธิ์ในการเขาถึงพ้ืนท่ีใชงานระบบเทคโนโลยีสารสนเทศและการสื่อสาร ๒.๓ ใหงานศนู ยข อมลู สารสนเทศกําหนดมาตรการควบคมุ การเขา-ออก พ้ืนท่ีใชงานระบบเทคโนโลยีสารสนเทศและการสอ่ื สาร ๒.๔ บคุ คลภายนอกทน่ี าํ เครอื่ งคอมพิวเตอร หรอื อุปกรณท่ีใชในการปฏิบัติงานระบบเครือขายภายในวิทยาลัย จะตองลงบันทึกในแบบฟอรมการขออนุญาตใชงานเคร่ืองคอมพิวเตอรหรืออุปกรณ และตองมีเจาหนาทท่ี ่ไี ดรบั มอบหมายจากผูบังคับบัญชาลงนาม ๑๐
สวนท่ี ๒ แนวปฏบิ ัตกิ ารใชร ะบบคอมพิวเตอรและระบบเครือขาย๑. วัตถปุ ระสงค เพอ่ื ชว ยใหผ ใู ชงานท่ีเปนครู บุคลากรทางการศึกษา นักเรียน นักศึกษา พนักงานราชการ และลูกจางของวิทยาลัยสารพัดชา งพระนคร และบคุ คลภายนอก ไดร บั ทราบถึงหนา ทแี่ ละความรับผิดชอบในการใชระบบคอมพิวเตอรและระบบเครือขาย รวมทั้งทําความเขาใจ ตลอดจนปฏิบัติตามอยางเครงครัด อันจะเปนการปอ งกนั ทรัพยากรและขอ มูลของวิทยาลยั สารพดั ชา งพระนคร ใหเปน ความลับ มีความถูกตองและมีความพรอมใชง านอยูเ สมอ๒. แนวปฏบิ ัติการใชงานเครอ่ื งคอมพิวเตอรและระบบเครือขาย ๒.๑ ผูใชงานจะตองไมใชงานเคร่อื งคอมพิวเตอรและระบบเครือขา ยโดยมีวตั ถปุ ระสงค ดงั ตอ ไปน้ี ๒.๑.๑ ทําใหแพรหลายซึ่งขอมูลคอมพิวเตอรท่ีอาจกระทบกระเทือนตอความมั่นคงแหงราชอาณาจักร หรอื ทม่ี ีลกั ษณะขัดตอ ความสงบเรยี บรอยหรือศีลธรรมอันดขี องประชาชนสูร ะบบคอมพวิ เตอร ๒.๑.๒ นําขอมูลคอมพิวเตอรปลอม ไมวาท้ังหมดหรือบางสวนหรือขอมูลคอมพิวเตอรอันเปนเทจ็ โดยประการทีน่ าจะเกดิ ความเสียหายแกผูอ ่นื เขาสรู ะบบคอมพิวเตอร ๒.๑.๓ นําขอมูลคอมพิวเตอรอันเปนเท็จ โดยประการที่นาจะเกิดความเสียหายตอความม่ันคงของประเทศหรือกอ ใหเ กิดความตนื่ ตระหนกแกป ระชาชนเขา สรู ะบบคอมพวิ เตอร ๒.๑.๔ นําขอมูลคอมพิวเตอรใด ๆ อันเปนความผิดเกี่ยวกับความม่ันคงแหงราชอาณาจักรหรือความผิดเกี่ยวกับการกอการรายตามประมวลกฎหมายอาญาเขาสรู ะบบคอมพิวเตอร ๒.๑.๕ นําขอมูลคอมพิวเตอรใดๆ ท่ีมีลักษณะอันลามก และขอมูลคอมพิวเตอรนั้นประชาชนทว่ั ไปอาจเขา ถึงไดเขา สรู ะบบคอมพิวเตอร ๒.๑.๖ นําขอมูลคอมพิวเตอรท่ีปรากฏเปนภาพของผูอ่ืน และภาพนั้นเปนภาพท่ีเกิดจากการสรา งขน้ึ ตดั ตอ เตมิ หรอื ดดั แปลงดวยวิธีการทางอิเล็กทรอนิกส หรือวิธีการอื่นใด ทั้งนี้ โดยประการที่นาจะทําใหผอู นื่ นนั้ เสยี ชอ่ื เสยี งถูกดหู มิ่น ถูกเกลยี ดชงั หรอื ไดรับความอบั อาย เขา สรู ะบบคอมพวิ เตอร ๒.๑.๗ เผยแพรหรือสงตอซ่ึงขอมูลคอมพิวเตอร โดยรูอยูแลววาเปนขอมูลคอมพิวเตอรตาม๒.๑.๑ ถึง ๒.๑.๖ ๒.๒ ผูใชงานจะตอ งไมสนบั สนุนหรอื ยินยอมใหมกี ารกระทาํ ความผดิ ตาม ๒.๑ ในระบบคอมพิวเตอรที่อยูในความควบคมุ ของตน ๒.๓ ผูใ ชง านจะตอ งไมกระทําการ ดงั ตอ ไปนี้ ๒.๓.๑ เขา ใชร ะบบคอมพวิ เตอรท ่มี ีมาตรการปองกันการเขาถึงโดยเฉพาะ และมาตรการนั้นมิไดมไี วส ําหรับตนโดยมิชอบ ๑๑
๒.๓.๒ นํามาตรการปองกันการเขาถึงระบบคอมพิวเตอรที่ผูอื่นจัดทําข้ึนเปนการเฉพาะ เชนรหสั ผาน ไปเปด เผยโดยมชิ อบในประการท่นี า จะเกดิ ความเสยี หายแกผูอน่ื ๒.๓.๓ เขาถึงซึ่งขอมูลคอมพิวเตอรท่ีมีมาตรการปองกันการเขาถึงโดยเฉพาะ และมาตรการน้ันมิไดมีไวสําหรับตนโดยมิชอบ ๒.๓.๔ กระทําดวยประการใดโดยมิชอบดวยวิธีการทางอิเล็กทรอนิกสเพื่อดักรับไวซึ่งขอมูลคอมพิวเตอรของผูอื่นท่ีอยูระหวางการสงในระบบคอมพิวเตอร และขอมูลคอมพิวเตอรนั้นมิไดมีไวเพื่อประโยชนสาธารณะหรือเพ่อื ใหบ คุ คลทว่ั ไปใชประโยชนได ๒.๓.๕ ทําใหขอ มูลคอมพวิ เตอรของผูอ่ืนเสียหาย ทําลาย แกไข เปลี่ยนแปลง หรือเพ่ิมเติมไมวาทั้งหมดหรอื บางสว น โดยมิชอบ ๒.๓.๖ กระทําดวยประการใดโดยมิชอบ เพื่อใหการทํางานของระบบคอมพิวเตอรของผูอื่นถูกระงับ ชะลอ ขดั ขวาง หรอื รบกวนจนไมสามารถทาํ งานไดต ามปกติ ๒.๓.๗ สง ขอ มลู คอมพิวเตอรห รือจดหมายอิเลก็ ทรอนิกส (e-mail) แกบ ุคคลอื่น โดยปกปดหรือปลอมแปลงแหลง ทมี่ าของการสง ขอ มูลดงั กลา ว อนั เปน การรบกวนการใชระบบคอมพวิ เตอรของบุคคลอน่ื ๒.๓.๘ กระทําใหเกิดความเสียหายตอขอมูลคอมพิวเตอร หรือระบบคอมพิวเตอรท่ีเกี่ยวกับการรักษาความม่ันคงปลอดภัยของประเทศ ความปลอดภัยสาธารณะ ความมั่นคงในทางเศรษฐกิจของประเทศหรือการบริการสาธารณะ หรือเปนการกระทําตอขอมูลคอมพิวเตอรหรือระบบคอมพิวเตอรท่ีมีไวเพ่ือประโยชนสาธารณะ ๒.๓.๙ วิทยาลัย เปนผูมีหนาท่ีจัดคอมพิวเตอรแบบต้ังโตะและพกพา พรอมโปรแกรมคอมพิวเตอรท่ีจําเปนตอการใชงานและถูกตองตามกฎหมาย หากบุคคลใดมีความประสงคตองการใชงานโปรแกรมคอมพิวเตอรอื่นนอกเหนือจากที่ทางวิทยาลัยจัดไว ใหแจงความประสงคมายังงานศูนยขอมูลสารสนเทศ เปนลายลักษณอักษรเพ่ือพิจารณาจัดหาตอไป ๒.๓.๑๐ จําหนายหรือเผยแพรโปรแกรมท่ีจัดทําขึ้นโดยเฉพาะเพ่ือนําไปใชเปนเครื่องมือในการกระทาํ ความผิดตาม ๒.๓.๑ ถึง ๒.๓.๘ ๒.๓.๑๑ ผูใชงานจะตองรับผิดชอบลิขสิทธิ์โปรแกรมคอมพิวเตอรและการกระทําใด ๆ อันเกิดจากการใชคอมพวิ เตอรแ บบพกพา (Notebook) อนั เปนทรัพยส ินสว นตัวของผใู ชง าน ๒.๓.๑๒ หามมิใหผูใชงานทําการแกไขเปลี่ยนแปลงการต้ังคาพารามิเตอรตาง ๆ ของคอมพิวเตอร เชน Computer Name, System Configuration และ Program Configuration เวนแตเปนผูมีหนา ท่ีดแู ลระบบคอมพวิ เตอร หรอื ระบบเครอื ขายคอมพวิ เตอร ๒.๓.๑๓ หามมิใหผูใชติดตั้งโปรแกรมคอมพิวเตอรดวยตนเอง เวนแตเปนผูมีหนาท่ีดูแลระบบคอมพิวเตอร หรอื ระบบเครอื ขายคอมพิวเตอร ๒.๓.๑๔ หามมใิ หใ ชระบบคอมพวิ เตอรแ ละเครอื ขายของวิทยาลยั เพ่ือการพาณิชย หรือการอ่ืนใดทไ่ี มเ กยี่ วขอ งกบั หนา ทที่ ไ่ี ดร ับมอบหมาย ๑๒
๒.๔ การใชงานเครอื่ งคอมพวิ เตอรและระบบเครือขา ย ผูใชงานควรปฏิบตั ิ ดังตอไปนี้ ๒.๔.๑ ใชง านเครื่องคอมพิวเตอรและระบบเครือขายของวิทยาลัย อยางมีประสิทธิภาพและเกิดประโยชนส งู สดุ แกวิทยาลัย ๒.๔.๒ ไมคัดลอกโปรแกรมตาง ๆ ท่ีวิทยาลัยไดซ้ือลิขสิทธิ์มาอยางถูกตองตามกฎหมาย นําไปติดตงั้ บนเคร่อื งคอมพวิ เตอรสวนตวั หรือแกไ ข หรอื นาํ ไปใหผูอ่ืนใชง านโดยผดิ กฎหมาย ๒.๔.๓ การต้ังชื่อเครื่องคอมพิวเตอร (Computer Name) ของหนวยงาน จะตองกําหนดโดยงานศนู ยขอ มลู สารสนเทศเทาน้ัน ๒.๔.๔ ไมทําการปรับแตงไบออส (BIOS) หรือการตั้งคาระบบ (Configuration) อ่ืนใดท่ีอาจสงผลกระทบตอ ระบบการทาํ งานของคอมพวิ เตอร อันเปนเหตใุ หไ มส ามารถเปด เคร่ืองใชงานไดเปน ปกติ ๒.๔.๕ ไมทําการเปล่ียนแปลงเลขที่อยูไอพี (IP Address) ของเครื่องคอมพิวเตอรแบบต้ังโตะภายในหนว ยงาน ๒.๔.๖ หากผูใชงานที่มีความประสงคจะขอใชเลขที่อยูไอพีสาธารณะ (Public IP Address)จะตองทําหนังสือขออนุญาตเปนลายลักษณอักษรตอผูอาํ นวยการวทิ ยาลยั ๒.๔.๗ ไมติดต้ังโปรแกรมคอมพิวเตอรท่ีสามารถใชในการตรวจสอบขอมูลบนระบบเครือขายเวน แตจะไดรบั อนญุ าตจากผอู าํ นวยการวทิ ยาลัย ๒.๔.๘ ไมติดต้ังโปรแกรมคอมพิวเตอรหรืออุปกรณคอมพิวเตอรอื่นใดเพ่ิมเติมในเครื่องคอมพิวเตอร หรือเคร่ืองคอมพิวเตอรแมขาย (Server) ของหนวยงานเพื่อใหบุคคลอ่ืนสามารถใชงานเคร่ืองคอมพิวเตอรแ ละระบบเครอื ขา ยของวิทยาลยั ได เวนแตจะไดรบั อนญุ าตจากผูอํานวยการวทิ ยาลยั ๒.๔.๙ ไมใชบริการบนระบบอินเทอรเน็ต (Internet) ที่มีการครอบครองแบนดวิดท(Bandwidth) จํานวนมากหรอื เปน เวลานานในระหวา งเวลาทาํ งาน๓. แนวปฏิบตั กิ ารควบคมุ การเขาถึงระบบปฏิบัติการ ๓.๑ ผูใชงานไมควรอนุญาตใหผูอื่นใชช่ือผูใช (Username) และรหัสผาน (Password) ของตนในการเขา ใชง านเครอ่ื งคอมพวิ เตอรของวิทยาลัย ๓.๒ ผูใชงานควรทําการลงบันทึกออก (Logout) ทันทีเม่ือเลิกใชงานหรือไมอยูท่ีหนาจอ เปนเวลานานกวา ๓๐ นาที ๓.๓ มีการกําหนดขั้นตอนปฏิบัติเพ่ือการเขาใชงานท่ีมั่นคงปลอดภัย การเขาถึงระบบปฏิบัติการจะตองควบคุมโดย วิธีการยืนยันตัวตนท่ีมั่นคงปลอดภัยโดยการระบุและยืนยันตัวตนของผูใชงาน (UserIdentification and authentication) โดยจะทําการเก็บขอมูลการทางจราจรคอมพิวเตอร (Log) ในกรณีนี้วิทยาลยั ไดใ ชระบบ Active Directory เปนตวั ควบคมุ ๑๓
๔. แนวปฏบิ ตั ิการใชงานบัญชผี ใู ชง าน (Account) ๔.๑ ผูใชงานที่เปนเจาของบัญชีผูใชงาน (Account) ตองเปนผูรับผิดชอบในผลตาง ๆ อันจะเกิดขึ้นจากการใชบัญชีผูใชงาน (Account) ของเครื่องคอมพิวเตอรและระบบเครือขาย เวนแตจะพิสูจนไดวาผลเสียหายน้ันเกิดจากการกระทําของผูอน่ื ๔.๒ ผูใชงานจะตองเก็บรักษาบัญชีผูใชงาน (Account) ไวเปนความลับและหามเปดเผยตอบุคคลอื่นหามโอน จําหนา ย หรอื จา ยแจกใหผ อู น่ื โดยไมไดรับอนญุ าตจากผูอาํ นวยการวทิ ยาลยั ๔.๓ ผูใชงานจะตองลงบันทึกเขา (Login) โดยใชบัญชีผูใชงาน (Account) ของตนเอง และทําการลงบนั ทกึ ออก (Logout) ทกุ คร้งั เมอ่ื สนิ้ สดุ การใชง านหรือหยดุ การใชงานชั่วคราว๕. ใหมกี ารบรหิ ารจดั การการเขาถึงของผูใ ชง าน (User Access Management) เพ่อื ควบคุมการเขาถึง ระบบสารสนเทศเฉพาะผทู ไ่ี ดร บั อนุญาตและผา นการฝกอบรม หลกั สตู ร การสรางความตระหนักเร่อื ง ความมัน่ คงปลอดภัยสารสนเทศ (Information Security Awareness Training) เพ่ือปองกนั การ เขาถงึ จากผูซ ง่ึ ไมไดร บั อนุญาต มีรายละเอียด ดังนี้ ๕.๑ สรางความรคู วามเขาใจใหกับผใู ชง าน เพือ่ ใหเกิดความตระหนัก ความเขา ใจถึงภัยและผลกระทบทเี่ กิดจากการใชงานระบบสารสนเทศโดยไมระมัดระวัง หรือรูเทาไมถึงการณ รวมถึงกําหนดใหมีมาตรการเชิงปองกนั ตามความเหมาะสม ตวั อยางเชน จัดอบรม พ.ร.บ.คอมพวิ เตอรโดยผูเช่ียวชาญเฉพาะดา น ๕.๒ การบริหารจัดการสิทธิของผูใชงาน (User Management) จัดใหมีการควบคุมและจํากัดสิทธิเพ่ือเขา ถงึ และใชง านระบบสารสนเทศแตละชนิดตามความเหมาะสม ท้ังน้ีรวมถึงสิทธิจาเพาะ สิทธิพิเศษ และสทิ ธิอนื่ ๆ ทเ่ี กยี่ วของกบั การเขา ถงึ ๕.๓ การทบทวนสทิ ธิการเขาถึงของผูใชงาน (Review of User Access Rights) จัดใหมีกระบวนการทบทวนสิทธิการเขาถึงของผูใชงานระบบสารสนเทศตามระยะเวลาท่ีกําหนดไว ตัวอยางเชน เมื่อมีบุคลากรเจา หนา ท่ี หรอื พนักงานของวทิ ยาลัยลาออกจากงานไปแลว โดยปกติจะตอ งทําการเก็บขอมูลไวระยะหนึ่งตามความเหมาะสมและความเห็นของผูมีอํานาจตามสายงานน้ัน ๆ ซึ่งเม่ือถึงระยะรอบเวลาดังกลาว งานศูนยขอมูลสารสนเทศจะทําการสอบถามไปยังผูมีอํานาจตามสายงาน โดยวิธีตาง ๆ เชน จดหมายอิเล็กทรอนิกส(e-mail) หรอื บนั ทกึ ขอ ความ ทงั้ น้ีขนึ้ อยูกับความเหมาะสม ของแตละครง้ั ไป๖. แนวปฏบิ ัติการใชรหัสผา น (Password) ๖.๑ รหัสผาน (Password) ควรมีความยาวไมนอยกวา ๖ ตัวอักษร โดยอาจจะมีการผสมกันระหวางตัวเลข ตัวอักษรท่ีเปนตัวพิมพเล็กหรือตัวพิมพใหญ ตัวอักขระพิเศษและสัญลักษณตาง ๆ ดวย ควรใชอักขระพิเศษประกอบ เชน : ; < > เปนตน ๖.๒ ไมควรกําหนดรหัสผาน (Password) จากชื่อ หรือช่ือสกุลของผูใชงาน ช่ือบุคคลในครอบครัวบุคคลท่ีมีความสัมพันธกับตนหรือคําศัพทท่ีใชในพจนานุกรม หรือจากหมายเลขโทรศัพท และไมควรกําหนดรหัสผานอยา งเปนแบบแผน เชน “abcdef” “aaaaaa” หรอื “123456” เปนตน ๑๔
๖.๓ ทําการเปล่ียนรหัสผาน (Password) เพื่อใชงานเครื่องคอมพิวเตอรของวิทยาลัย ทุก ๓-๖ เดือนหรือเปลีย่ นรหสั ผา น (Password) ทกุ คร้ังทม่ี ีสัญญาณบอกเหตวุ า อาจรว่ั ไหล ๖.๔ การเปล่ยี นรหสั ผานแตละคร้ัง ไมควรกําหนดรหัสผานใหมใหซ ํา้ ของเดิมครง้ั สดุ ทาย ๖.๕ ผูใชงานที่ไดรับรหัสผานในครั้งแรก (default password) หรือไดรับรหัสผานใหม ควรเปลี่ยนรหัสผา นน้นั โดยทนั ที ๖.๖ ผูใชงานเก็บรักษารหัสผาน (Password) สําหรับการใชงานเครื่องคอมพิวเตอรและระบบเครอื ขายทไี่ ดมา โดยถือวา เปนความลับเฉพาะบคุ คล และจะตองไมเปดเผยหรือกระทําการใดใหผูอื่นทราบโดยไมไ ดร บั อนุญาตจากผบู ังคับบัญชา ๖.๗ หากมีการนําอุปกรณส่ือสารสนเทศอื่น ๆ เขามาตอพวง เชน แฟลชไดรฟ, สมารทโฟน, กลองดิจิตอล ผูใชงานจะตองแนใจวาอุปกรณเหลาน้ันไมกอใหเกิดความเสียหายตออุปกรณคอมพิวเตอรภายในสํานักงาน หากจําเปนตองมีการเช่ือมตอ ควรแจงเจาหนาที่งานศูนยขอมูลสารสนเทศเพื่อทําการตรวจสอบกอ นการใชงาน๗. แนวปฏบิ ัติการใชง านระบบอนิ เทอรเ น็ต (Internet) ๗.๑ ผูใชงานตองเชื่อมตอระบบคอมพิวเตอรเพื่อการเขาใชงานระบบอินเทอรเน็ต (Internet) ผานระบบรักษาความปลอดภยั ที่วิทยาลัยจัดสรรไวเ ทา นั้น และหามผูใชงานทําการเชื่อมตอระบบคอมพิวเตอรผานชองทางอ่ืน ยกเวนแตวามีเหตุผลความจําเปนและทําการขออนุญาตจากผูอํานวยการวิทยาลัยเปนลายลักษณอักษรแลว ๗.๒ ผใู ชงานตองเขาถึงระบบเทคโนโลยสี ารสนเทศ ตามสทิ ธ์ทิ ่ีไดร บั ตามหนา ทีค่ วามรับผดิ ชอบเทานั้นและเพื่อประสิทธิภาพของระบบเครือขายและความปลอดภัยทางขอมูลของวิทยาลัย ตองไมใชระบบอินเทอรเน็ต (Internet) ของวิทยาลัยเพื่อหาประโยชนในเชิงพาณิชยเปนการสวนบุคคล และทําการเขาสูเว็บไซตท ีไ่ มเหมาะสม เชน เว็บไซตท ข่ี ัดตอศีลธรรม เว็บไซตที่มีเน้ือหาอันอาจกระทบกระเทือนหรือเปนภัยตอความม่ันคงตอชาติ ศาสนา พระมหากษัตริย หรือเว็บไซตที่เปนภัยตอสังคม หรือละเมิดสิทธิ์ของผูอ่ืน หรือขอมูลที่อาจกอ ความเสียหายใหก ับวทิ ยาลยั ๗.๓ หามผูใชง านเปด เผยขอ มลู สาํ คัญที่เปนความลับเกี่ยวกับงานของวิทยาลัย ทีย่ ังไมไดประกาศอยางเปนทางการผานระบบอินเทอรเ นต็ (Internet) ๗.๔ ผูใชงานตองระมัดระวังการดาวนโหลดโปรแกรมใชงานจากระบบอินเทอรเน็ต (Internet) ซึ่งรวมถึงการดาวนโหลดการอัพเดท (Update) โปรแกรมตาง ๆ ตองเปนไปโดยไมละเมิดลิขสิทธิ์หรือทรัพยสินทางปญญา ๗.๕ การใชงานกระดานสนทนาอิเล็กทรอนิกส ผูใชงานตองไมเปดเผยขอมูลท่ีสําคัญ และเปนความลับของวิทยาลัย ๑๕
๗.๖ การใชงานกระดานสนทนาอิเล็กทรอนิกส ผใู ชงานตอ งไมเสนอความคดิ เห็น ใชขอความท่ียั่วยุ ใหราย อันจะกอใหเกิดความเส่ือมเสียตอช่ือเสียงของวิทยาลัย หรือการทําลายความสัมพันธกับบุคลากรของวทิ ยาลยั ๗.๗ หลังจากใชงานระบบอินเทอรเน็ต (Internet) เสร็จแลว ใหผูใชงานควรทําการปดเว็บเบราเซอรเพอื่ ปอ งกนั การเขา ใชงานโดยบคุ คลอน่ื ๆ๘. แนวปฏิบัติใหม ีการควบคุมการเขา ถงึ โปรแกรมประยุกตหรือแอพพลเิ คชั่นและสารสนเทศ (Application and Information Access Control) โดยมีรายละเอียด ดังน้ี ๘.๑ มีการจํากัดการเขาถึงสารสนเทศ (Information access restriction) หรือควบคมุ การเขาถึงการใชงานของผูใชงานในการเขาถึงสารสนเทศและฟงกชั่น (Functions) ตาง ๆ ของโปรแกรมประยุกตหรือแอพพลเิ คชั่นตามความเหมาะสมหรอื ตามหนาท่ี ทไ่ี ดร ับมอบหมาย ๘.๒ ระบบซึ่งไวตอการรบกวน มีผลกระทบและมีความสําคัญสูงตอองคกร จะไดรับการแยกออกจากระบบอื่น ๆ และมีการควบคุมสภาพแวดลอมของตนเองโดยเฉพาะ อยางเชน ระบบบริหารทรัพยากรบุคคลเปนตน ๘.๓ การควบคุมคอมพิวเตอรและอุปกรณส่ือสารเคลื่อนที่ ไดกําหนดขอปฏิบัติและมาตรการท่ีเหมาะสมเพ่อื ปกปองสารสนเทศจากความเส่ียงของการใชอุปกรณค อมพิวเตอรและสอื่ สารตามความเหมาะสม ๘.๔ การควบคุมการปฏิบัติงานจากภายนอกวิทยาลัย (Teleworking) หรือ การควบคุมระยะไกล(Remote Desktop) กําหนดขอ ปฏบิ ัติ แผนงานและข้ันตอนปฏิบัติเพ่ือปรับใชสําหรับการปฏิบัติงานภายนอกวิทยาลัย ท้ังนี้วิทยาลัยจะใหบริการในสวนน้ีผานทางหนาเว็บไซตซึ่งจะมีระบบไฟรวอลล (Firewall) เปนตัวควบคุมและบริหารจัดการการสง-รับขอมูลผานการทํางานประเภทการปฏิบัติงานจากภายนอกวิทยาลัย(Teleworking) หรอื การควบคมุ ระยะไกล (Remote Desktop) ๑๖
สวนท่ี ๓ แนวปฏบิ ตั ิการควบคมุ การเขา ถงึ ระบบสารสนเทศและระบบเครือขาย๑. วตั ถปุ ระสงค เพอ่ื กาํ หนดมาตรการควบคมุ การเขาถงึ ระบบสารสนเทศและระบบเครือขายของวิทยาลัย และปองกันการบุกรุกผานระบบเครือขาย หรือจากโปรแกรมประสงคราย (Malware) ท่ีจะสรางความเสียหายแกขอมูลหรือการทํางานของระบบสารสนเทศและระบบเครือขายใหหยุดชะงัก รวมท้ังใหสามารถตรวจสอบติดตามพิสจู นตวั บคุ คลที่เขา ใชง านระบบสารสนเทศและระบบเครือขา ยของวทิ ยาลยั ไดอ ยางถูกตอง๒. แนวปฏบิ ตั กิ ารควบคุมการเขาถงึ ระบบสารสนเทศ ๒.๑ งานศูนยขอมูลสารสนเทศ ไดกําหนดมาตรการควบคุมการเขาใชงานระบบสารสนเทศของวิทยาลัย เพื่อดูแลรักษาความปลอดภัย โดยบุคคลภายนอกท่ีตองการสิทธ์ิในการเขาใชงานระบบสารสนเทศของวิทยาลัย จะตอ งขออนุญาตเปน ลายลกั ษณอ ักษรตอผูอ าํ นวยการวทิ ยาลัย ๒.๒ ผูดูแลระบบ (System Administrator) ไดกําหนดสิทธิ์การเขาถึงขอมูลและระบบขอมูลใหเหมาะสมกับการเขาใชงานของผูใชงานระบบ และหนาที่ความรับผิดชอบของเจาหนาที่ในการปฏิบัติงานกอนเขาใชร ะบบสารสนเทศ รวมท้งั มีการทบทวนสิทธิ์การเขา ถงึ อยางนอ ยปล ะ ๑ คร้ัง ๒.๓ ผูดูแลระบบ (System Administrator) ไดจัดใหมีการติดต้ังระบบบันทึกและติดตามการใชงานระบบสารสนเทศของวทิ ยาลัย และตรวจตราการละเมิดความปลอดภัยที่มีตอ ระบบขอมลู ๒.๔ ผูดูแลระบบ (System Administrator) ไดจัดใหมีการบันทึกรายละเอียดการเขาถึงระบบการแกไ ขเปล่ียนแปลงสิทธิ์ตาง ๆ และการผานเขา-ออกสถานที่ตั้งของระบบ ของท้ังผูที่ไดรับอนุญาตและไมไดรับอนญุ าตเพ่ือเปน หลักฐานในการตรวจสอบ๓. แนวปฏิบัติการบริหารจดั การการเขา ถึงระบบสารสนเทศ งานศูนยขอมูลสารสนเทศ ผูดูแลระบบ (System Administrator) ไดกําหนดการใชงานระบบเทคโนโลยีสารสนเทศท่ีสําคัญเชน ระบบคอมพิวเตอรโปรแกรมประยุกต (Application) จดหมายอิเล็กทรอนิกส (e-mail) ระบบเครือขายไรสาย (Wireless LAN) ระบบอินเทอรเน็ต (Internet) เปนตน โดยใหสิทธิ์เฉพาะการปฏิบัติงานในหนาที่และตองไดรับความเห็นชอบจากผูบังคับบัญชาเปนลายลักษณอักษรรวมท้งั ไดมีการทบทวนสทิ ธิ์ดังกลา วอยางสมํ่าเสมอ ๓.๑ ผูด แู ลระบบไดบ รหิ ารจดั การสิทธข์ิ องผูใชง าน ดังตอ ไปนี้ ๓.๑.๑ กําหนด จําแนกประเภทสิทธ์ิตามหนาที่และความรับผิดชอบ โดยจัดเก็บและมอบหมายสิทธใ์ิ หแกผ ใู ชง านระบบสารสนเทศซ่งึ จะมสี ทิ ธ์ิตามลาํ ดับช้ันการเขา ถงึ ขอมูล ดงั นี้ ๓.๑.๑.๑ ครู (ครู และบคุ ลากรทางการศกึ ษา) ๓.๑.๑.๒ ผูบ รหิ าร (ผอู ํานวยการวิทยาลยั , รองผูอ าํ นวยการวทิ ยาลัย) ๓.๑.๑.๓ นักศึกษาหลกั สูตรประกาศนียบตั รวชิ าชพี ๑๗
๓.๑.๑.๔ นักศึกษาหลักสูตรวิชาชพี ระยะสัน้ ๓.๑.๑.๕ ลกู จา งประจํา ๓.๑.๑.๖ ลูกจา งช่ัวคราว ๓.๑.๑.๗ ผูด ูแลระบบ ๓.๑.๒ ในกรณีผูใชงานมีความจําเปนตองใชสิทธิ์สูงกวาปกติ ผูใชงานนั้นจะตองไดรับความเห็นชอบและอนุมตั ิจากผูบังคับบัญชา โดยมีการกําหนดระยะเวลาการใชงานและระงับการใชงานทันทีเม่ือพนระยะเวลาดงั กลาว หรือพนจากตาํ แหนง และมกี ารกาํ หนดสิทธิพิเศษทีไ่ ดรับวาเขา ถงึ ขอ มลู ระดับใดไดบาง โดยกาํ หนดใหรหสั ผใู ชง านตา งจากรหัสผใู ชง านตามปกติ เพอื่ ผูดูแลระบบจะไดดําเนนิ การปรับคา หรือแกไขตอ ไป ๓.๑.๓ ทําการยกเลิกรหัสผาน (Password) เม่ือไดรับการแจงจากงานบุคลากร หรือผอู าํ นวยการวทิ ยาลยั เม่ือผูใชงานระบบลาออก หรอื พนจากตาํ แหนง หรอื ยกเลิกอํานาจหนาที่๔. แนวปฏิบัตกิ ารควบคมุ การเขาถึงระบบเครือขายไรส าย ๔.๑ ผูดูแลระบบ (System Administrator) ดําเนินการควบคุมสัญญาณของอุปกรณกระจายสญั ญาณ (Access- Point) ใหร ่วั ไหลออกนอกพน้ื ท่ใี ชง านระบบเครอื ขายไรสายนอยท่สี ดุ ๔.๒ ผูดูแลระบบ (System Administrator) ดําเนินการเปล่ียนคา SSID (Service Set Identifier) ที่ถูกกําหนดเปนคาโดยปริยาย (Default) มาจากผูผลิตทันทีท่ีนําอุปกรณกระจายสัญญาณ (Access Point) มาใชง าน ๔.๓ ผูดูแลระบบ (System Administrator) ดําเนินการกําหนดคา WEP (Wired EquivalentPrivacy) หรือ WPA (Wi-Fi Protected Access) ในการเขารหัสขอมูลระหวาง Wireless LAN Client และอุปกรณกระจายสัญญาณ (Access Point) และกําหนดคาใหไมแสดงช่ือระบบเครือขายไรสายตามความเหมาะสมในกรณตี า ง ๆ ๔.๔ ผูดูแลระบบ (System Administrator) ใชวิธีการควบคุมผานระบบ AD (Active Directory)โดยกําหนดช่ือผูใช (Username) รหัสผา น (Password) สําหรับครู บุคลากรทางการศึกษา นักเรียน นักศึกษาพนักงานราชการ และลูกจางของวิทยาลัย และใชวิธีการควบคุมผานระบบ Firewall Authentication โดยกําหนดช่ือผูใช (Username) รหสั ผา น (Password) สําหรับบุคคลภายนอก ๔.๕ ผูดูแลระบบ (System Administrator) ติดต้ังไฟรวอลล (Firewall) ระหวางระบบเครือขายไรสาย กบั ระบบเครือขายภายในวทิ ยาลยั ๔.๖ ผูดูแลระบบ (System Administrator) ไดกําหนดใหผูใชงานในระบบเครือขายไรสายติดตอสื่อสารไดเฉพาะกับ VPN (Virtual Private Network) เพ่ือชวยปองกันการบุกรุกในระบบเครือขายไรสาย ๔.๗ ผูดูแลระบบ (System Administrator) ใชซอฟตแวรหรือฮารดแวรตรวจสอบความม่ันคงปลอดภัยของระบบเครือขายไรสาย เพ่ือคอยตรวจสอบและบันทึกเหตุการณที่นาสงสัยเกิดข้ึนในระบบเครือขายไรสาย และจัดสงรายงานผลการตรวจสอบทุก ๓ เดือน และในกรณีที่ตรวจสอบพบการใชงานระบบ ๑๘
เครือขายไรสายท่ีผิดปกติ ใหผูดูแลระบบ (System Administrator) รายงานตอผูอํานวยการวิทยาลัยทราบทนั ที ๔.๘ ผูดูแลระบบ (System Administrator) ควบคุมดูแลไมใหบุคคลภายนอกท่ีไมไดรับอนุญาตใชงานระบบเครอื ขา ยไรส ายในการเขา สรู ะบบอนิ ทราเนต็ (Intranet) และฐานขอ มูลภายในตาง ๆ ของวทิ ยาลัย๕. แนวปฏบิ ตั ิการควบคุมการเขา ถงึ ระบบเครือขายและเครื่องคอมพิวเตอรแมข าย ๕.๑ งานศูนยขอมูลสารสนเทศไดกําหนดมาตรการ ควบคุมการเขา-ออก หองควบคุมเครื่องคอมพวิ เตอรแ มขาย (Server) ท่ีไมใชเจาหนาที่งานศูนยขอมูลสารสนเทศ โดยตองลงทะเบียนขออนุญาต ระบุวัน-เวลา เขาออกและเหตุผลความจําเปน ๕.๒ ผใู ชง านภายนอกที่จะนําเครื่องคอมพิวเตอรและอุปกรณ มาเชื่อมตอกับเคร่ืองคอมพิวเตอร และระบบเครือขายของวิทยาลัย ตองไดรับอนุญาตจากผูอํานวยการวิทยาลัย และตองปฏิบัติตามนโยบายนี้โดยเครง ครดั ๕.๓ หามผูใดกระทําการเคล่ือนยาย ติดตั้งเพิ่มเติมหรือทําการใด ๆ ตออุปกรณสวนกลาง ไดแกอุปกรณจัดเสนทาง (Router) อุปกรณกระจายสัญญาณขอมูล (Switch) อุปกรณท่ีเชื่อมตอกับระบบเครือขายหลัก โดยไมไ ดร บั อนญุ าตจากผอู าํ นวยการวทิ ยาลยั ๕.๔ ผูดูแลระบบ (System Administrator) ควบคุมการเขาถึงระบบเครือขาย เพ่ือบริหารจัดการระบบเครือขา ยไดอยางมีประสิทธิภาพ ดังตอ ไปน้ี ๕.๔.๑ ใชวิธีการจํากัดสิทธ์ิการใชงาน เพื่อควบคุมผูใชงานใหสามารถใชงานเฉพาะระบบเครอื ขายทไ่ี ดรบั อนุญาตเทานั้น ๕.๔.๒ มีวิธีการจาํ กดั เสน ทางการเขาถงึ ระบบเครือขา ยท่มี ีการใชงานรว มกนั ๕.๔.๓ มีการกําหนดใหจํากัดการใชเสนทางบนเครือขายจากเครื่องคอมพิวเตอรของผูใชงานไปยังเคร่ืองคอมพิวเตอรแมข า ย ๕.๔.๔ ระบบเครือขายท้งั หมดของวิทยาลัย ทม่ี กี ารเชอื่ มตอไปยังระบบเครือขายอื่น ๆ ภายนอกไดถูกเช่ือมตอผานอุปกรณปองกันการบุกรุก และมีความสามารถในการตรวจจับโปรแกรมประสงคราย(Malware) ๕.๔.๕ การเขาสูระบบเครือขายภายในวิทยาลัย ผานทางระบบอินเทอรเน็ตได กําหนดใหลงบันทึกเขา (Login) โดยระบุช่ือผูใชงานและรหัสผานผูใชงาน ผานระบบพิสูจนยืนยันตัวตน (Authentication)เพือ่ ตรวจสอบความถกู ตองของผใู ชงาน ๕.๔.๖ เลขที่อยูไอพี (IP Address) ของระบบเครือขายภายในวิทยาลัย ไดมีการปองกันหนว ยงานภายนอกที่เช่อื มตอ ไมสามารถมองเห็นได ๕.๔.๗ จัดทําแผนผังระบบเครือขาย (Network Diagram) ซึ่งมีรายละเอียดเกี่ยวกับขอบเขตของระบบเครือขายภายใน และเครือขายภายนอก ท่ีสามารถระบุบนระบบเครือขายและอุปกรณบนเครือขาย ๑๙
พรอมทั้งปรับปรุงใหเปนปจจุบันอยูเสมอ และการระบุอุปกรณบนเครือขาย (Equipment Identification inNetworks) มีวธิ กี ารท่ีสามารถระบอุ ุปกรณบนเครือขา ยได และใชก ารระบุอปุ กรณบนเครือขา ยเปน การยืนยนั ๕.๔.๘ การใชเครื่องมือตางๆ เพ่ือการตรวจสอบระบบเครือขาย จะตองไดรับการอนุมัติจากผูดแู ลระบบ (System Administrator) และจํากดั การใชงานเฉพาะเทา ท่ีจําเปน ๕.๔.๙ มกี ารปอ งกนั พอรต ท่ใี ชส ําหรบั ตรวจสอบและปรบั แตง ระบบ (Remote Diagnostic andConfiguration Port Protection) ควบคุมการเขาถึงพอรตที่ใชสําหรับตรวจสอบและปรับแตงระบบท้ังการเขา ถงึ ทางกายภาพและทางเครือขาย ๕.๔.๑๐ มีการควบคุมการเช่ือมตอทางเครือขาย (Network Connection Control) ควบคุมการเขาถึงหรือใชงานเครือขายท่ีมีการใชรวมกันหรือเชื่อมตอระหวางหนวยงานใหสอดคลองกับขอปฏิบัติการควบคุมการเขาถึง ๕.๔.๑๑ มีการควบคุมการจัดเสนทางบนเครือขาย (Network Routing Control) ควบคุมการจัดเสนทางบนเครือขายเพื่อใหการเชื่อมตอของคอมพิวเตอรและการสงผานหรือไหลเวียนของขอมูลหรือสารสนเทศสอดคลองกับขอ ปฏบิ ตั ิการควบคุมการเขา ถึงหรือการประยุกตใชงานตามภารกจิ ๕.๕ ผูดูแลระบบ (System Administrator) ทําหนาที่บริหารควบคุมเครื่องคอมพิวเตอรแมขาย(Server) และรบั ผิดชอบในการดูแลระบบคอมพิวเตอรแ มข าย (Server) ในการกําหนดแกไข หรือเปลี่ยนแปลงคาตาง ๆ ของซอฟตแวรระบบ (Systems Software) ๕.๖ งานศูนยขอมูลสารสนเทศไดกําหนดมาตรการควบคุมการจัดเก็บขอมูลจราจรทางคอมพิวเตอร(Log) เพื่อใหขอมูลจราจรทางคอมพิวเตอร (Log) มีความถูกตองและสามารถระบุถึงตัวบุคคลไดตามแนวทางดงั ตอไปนี้ ๕.๖.๑ ความครบถวน ถูกตอ ง แทจ ริง และระบุตวั บุคคลท่เี ขาถงึ สอื่ ดังกลา วได และขอมูลที่ใชในการจดั เก็บ กําหนดช้นั ความลับในการเขาถึงขอมูล ซึ่งผูดูแลระบบไมไดรับอนุญาตใหแกไขขอมูลท่ีเก็บรักษาไวยกเวนผูตรวจสอบระบบสารสนเทศของวิทยาลัย (Internal IT Auditor) หรอื บคุ คลท่ีวิทยาลัยมอบหมาย ๕.๖.๒ กําหนดใหมีการบันทึกการทํางาน ของระบบบันทึกการปฏิบัติงานของผูใชงาน(Application Logs) และบันทึกรายละเอียดของระบบปองกนั การบุกรุกเชน บันทึกการเขา-ออกระบบ บันทึกการพยายามเขาสูระบบ บนั ทกึ การใชง าน Command Line และ Firewall Log เปนตน เพ่ือประโยชนในการใชต รวจสอบและตอ งเกบ็ บนั ทึกดังกลา วไวอ ยางนอ ย ๙๐ วนั นับตง้ั แตก ารใชบ รกิ ารสิ้นสดุ ลง ๕.๖.๓ ตรวจสอบบันทึกการปฏบิ ัตงิ านของผใู ชง านระบบอยางสม่าํ เสมอ ๕.๖.๔ วิธีการปองกันการแกไขเปล่ียนแปลงบันทึกตางๆ และจํากัดสิทธิ์การเขาถึง บันทึกเหลา นนั้ ใหเ ฉพาะบคุ คลทีเ่ ก่ยี วขอ งเทานั้น ๕.๗ กําหนดมาตรการควบคุมการใชง านระบบเครือขายและเครื่องคอมพิวเตอรแมขาย (Server) เพ่ือดูแลรักษาความปลอดภัยของระบบจากภายนอกตามแนวทาง ดังตอ ไปนี้ ๒๐
๕.๗.๑ บุคคลจากหนวยงานภายนอกท่ีตองการสิทธิ์ในการเขาใชงานระบบเครือขายและเคร่ืองคอมพิวเตอรแมขาย (Server) ของวิทยาลัย จะตองขออนุญาตเปนลายลักษณอักษร เพื่อขออนุญาตจากผอู ํานวยการวิทยาลยั ๕.๗.๒ ผูดแู ลระบบไดควบคมุ ชอ งทาง (Port) ท่ีใชในการเขา สูระบบอยางรดั กมุ ๕.๗.๓ วธิ กี ารใด ๆ ทีส่ ามารถเขา สขู อมลู หรือระบบขอ มลู ไดจากระยะไกล ตองไดรับการอนุญาตจากผอู าํ นวยการวทิ ยาลยั ๕.๗.๔ การเขา สูระบบจากระยะไกล ผใู ชงานตองแสดงหลกั ฐาน ระบุเหตุผล หรอื ความจําเปนในการดาํ เนินงานกบั ผูอาํ นวยการวทิ ยาลยั ๕.๗.๕ การเขาใชง านตอ งผานระบบการพสิ จู นต ัวตนจากระบบของวทิ ยาลยั๖. แนวปฏบิ ตั ิการควบคมุ การเขาถงึ อุปกรณใ นขณะทไี่ มมีผูใ ชงาน งานศูนยขอมูลสารสนเทศไดกําหนดมาตรการควบคุมการเขาถึงอุปกรณในขณะที่ไมมีผูใชงาน เพ่ือปองกนั ไมใ หผ ไู มมสี ทิ ธิสามารถเขาถงึ อปุ กรณของวทิ ยาลยั ในขณะท่ีไมมีผูด แู ล ดังตอไปนี้ ๖.๑ ผูใชงานตองออกจาก (Log out) ระบบสารสนเทศโดยทันทีเม่ือเสร็จสิ้นการใชงาน หรือไมอยูที่หนา จอเปน เวลานาน ๆ ๖.๒ ปอ งกันผอู ่นื เขา ใชเ ครือ่ งคอมพวิ เตอรหรือระบบสารสนเทศของตน ๖.๓ สรางความตระหนักใหเกิดความเขาใจในมาตรการปองกันการเขาถึงอุปกรณในขณะท่ีไมมีผใู ชง าน ๖.๔ เมื่อผูใชงานระบบสารสนเทศท้ิงไวโดยไมใชงานเปนเวลานาน ระบบจะยุติการใชงานระบบภายในระยะเวลา ๑๐ นาที หรือตามความเหมาะสมข้ึนอยูก ับระบบนนั้ ๆ๗. แนวปฏิบตั ิการลงทะเบียนผใู ชงาน ผูดูแลระบบ (System Administrator) จัดทําข้ันตอนทางปฏิบัติสําหรับการลงทะเบียนผูใชงานในการเขาถึงระบบสารสนเทศ และการตัดออกจากทะเบียนของผูใชงานเม่ือมีการยกเลิกเพิกถอนการอนุญาตดงั กลาว ดังตอ ไปนี้ ๗.๑ ทําการลงทะเบียนผูใชงาน สําหรับระบบสารสนเทศของวิทยาลัย ตามเอกสารหรือ จดหมายอิเล็กทรอนิกส (e-mail) ท่ไี ดรบั แจงเปน ลายลกั ษณอกั ษรจากตนสังกดั นนั้ ๆ ๗.๒ ตรวจสอบบัญชีผูใชงาน โดยไมมีการลงทะเบียนผูใชงานมากอน ๗.๓ ตรวจสอบและใหสิทธิในการเขาถึงที่เหมาะสม ตอหนาที่ความรับผิดชอบตามขอกําหนดของตนสังกัด ๗.๔ แสดงเอกสารเปนบันทึกหรือจดหมายอิเล็กทรอนิกส (e-mail) แจงใหแกผูใชงานเพื่อแสดงถึงสทิ ธิ และหนา ท่ีความรับผดิ ชอบของผใู ชง านในการเขา ถงึ ระบบสารสนเทศ ๗.๕ กําหนดใหมีการถอดถอนสิทธิการเขา ถงึ ระบบสารสนเทศโดยทันที เม่ือผูใชงานนั้นทําการลาออกหรอื เปล่ยี นตาํ แหนงงาน ๒๑
๗.๖ การลงทะเบยี นผูใชงาน ผูดแู ลระบบตอ งทาํ การตรวจสอบ หรือทบทวนบญั ชีผใู ชงานทั้งหมด เพื่อปอ งกนั การเขาถงึ ระบบสารสนเทศโดยไมรับอนุญาต๘. แนวปฏบิ ตั ิการดูแลสินทรพั ยสารสนเทศ ๘.๑ ผูดูแลระบบ (System Administrator) ทําหนาที่ควบคุมสินทรัพยสารสนเทศและการใชงานระบบคอมพิวเตอร (clear desk and clear screen policy) สื่อบันทึกขอมูล คอมพิวเตอร หรือเทปบันทึกBack up ขอมูล ซึ่งเส่ียงตอการเขาถึงโดยผูซึ่งไมมีสิทธิจัดเก็บไวในที่ที่ปลอดภัยในเวลาท่ีไมมีผูดูแล และตองกาํ หนดใหผูใชงานออกจากระบบสารสนเทศเมือ่ วางเวน จากการใชง าน ๘.๒ ผูใชงานตองจัดเก็บขอมูลสารสนเทศท่ีมีความสําคัญ หรือเปนความลับของวิทยาลัย ไวในท่ีปลอดภัยภายหลงั จากใชงานเสรจ็ ๘.๓ ผูใชงานตองปองกันไมใหบุคคลภายนอกใชกลองดิจิตอล เครื่องสําเนาเอกสาร และเครื่องสแกนเอกสาร โดยไมไ ดร บั อนุญาต๙. แนวปฏบิ ัติการแบงแยกระบบเครือขา ย ผูดูแลระบบ (System Administrator) ดําเนินการแบงแยกระบบเครือขาย เปนกลุมของผูใชบริการและกลุมของระบบสารสนเทศ เพื่อจํากัดสิทธิการใชงาน และควบคุมผูใชใหสามารถใชงานเฉพาะระบบเครอื ขายท่ีไดรบั อนญุ าตเทานน้ั โดยแบงออกเปน ๓ โซน ดังตอ ไปน้ี ๙.๑ โซนเครื่องคอมพิวเตอรแมขาย เปนโซนท่ีมีการจัดเตรียมอุปกรณ และระบบเพ่ือปองกันและรกั ษาความม่ันคงปลอดภยั ในระดับสงู เชน ระบบตรวจจบั และปองกนั ผบู กุ รุก ระบบสํารองไฟฟา ระบบสํารองขอ มูล ๙.๒ โซนผูใชงานภายใน เปนโซนสําหรับบุคคลากรในวิทยาลัย โดยมีการติดต้ังระบบ Antivirus และระบบ Firewall ๙.๓ โซนภายนอก สําหรับบุคคลภายนอกใหสามารถเขาถึงและใชงานสารสนเทศภายในหนวยงานผานอุปกรณระบบรักษาความปลอดภัย Firewall หรือ (Intrusion Prevention System/IntrusionDetection System) ๒๒
สวนท่ี ๔ แนวปฏิบัติของผูด ูแลระบบ๑. วตั ถุประสงค เพ่ือกําหนดหนาท่ีและแนวปฏิบัติของผูดูแลระบบ (System Administrator) ในการบริหารจัดการกํากับ ดูแลเคร่อื งคอมพวิ เตอรแ มขาย (Server) และระบบเครือขา ย (Network) ใหส ามารถใชงานไดดีอยูเสมอรวมทัง้ การสอดสองดแู ลผใู ชงานใหเ ปนไปตามแนวนโยบาย๒. แนวปฏบิ ัติของผูดแู ลระบบ (System Administrator) ๒.๑ ผดู ูแลระบบ (System Administrator) มีอํานาจหนา ที่ ดงั ตอไปน้ี ๒.๑.๑ ตรวจสอบดูแลรักษาการใชงานเคร่ืองคอมพิวเตอรและระบบเครือขายของวิทยาลัย ใหเปนไปดวยความเรียบรอยและมีประสิทธิภาพ หากตรวจพบสิ่งผิดปกติเกี่ยวกับการใชงานเคร่ืองคอมพิวเตอรและระบบเครือขา ยใหรีบดําเนินการแกไ ข รวมทง้ั ปอ งกันและบรรเทาความเสียหายที่อาจจะเกิดข้ึนในทันที ในกรณที ส่ี ่ิงผิดปกติดงั กลา วเกิดขน้ึ จากการใชง านของผใู ชง านทีไ่ มเ ปน ไปตามนโยบายน้ี ใหรีบแจงผูใชงานผูนั้นใหยตุ ิการกระทาํ ดังกลา วในทันที และในกรณจี าํ เปน เพอ่ื ปอ งกันหรอื บรรเทาความเสียหายท่ีจะเกิดข้ึนแกวิทยาลัยใหผดู ูแลระบบ (System Administrator) พจิ ารณาระงับการใชระบบเครอื ขา ยของผูใชง านดังกลาวไดทนั ที ๒.๑.๒ ตรวจสอบความม่ันคงปลอดภัยในการใชงานเคร่ืองคอมพิวเตอรแมขาย (Server) และระบบเครือขายอยูเสมอ ๒.๑.๓ ติดตั้งและปรับปรุงโปรแกรมคอมพิวเตอรสําหรับแกไขขอบกพรองของเคร่ืองคอมพวิ เตอรและระบบเครอื ขา ย ใหมคี วามม่นั คงปลอดภยั ในการใชงานและทันสมยั อยเู สมอ ๒.๑.๔ ตรวจสอบความมั่นคงปลอดภัยในการใชงานเคร่ืองคอมพิวเตอรแมขาย (Server) และระบบเครอื ขา ย ๒.๑.๕ เมื่อหมดความจําเปนในการใชงาน ดวยวิธีการตามมาตรฐาน DOD 5220.22-M ผูดูแลระบบจะทําการลบขอมูลคอมพิวเตอรหรือโปรแกรมคอมพิวเตอรแมขาย (Server) อยางถาวร หรือทําลายขอ มลู ทเ่ี กีย่ วขอ งกับการปฏิบัตงิ านของวิทยาลยั บนเครื่องคอมพิวเตอรและระบบเครือขาย ๒.๑.๖ ดูแลรักษาและตรวจสอบชองทางการสื่อสารของระบบเครือขายอยูเสมอ และปดชองทางการสือ่ สารของระบบเครือขายท่ีไมมีความจาํ เปน ตองใชง านในทนั ที ๒.๑.๗ ดูแลรักษาและปรับปรงุ บญั ชจี ดหมายอเิ ลก็ ทรอนิกส (e-mail) ใหถ กู ตองและเปนปจจุบันอยเู สมอ โดยใหยกเลกิ สิทธิ์การใชง านของผูใชง านที่พนสภาพการเปนผูใชง าน ๒.๑.๘ ตรวจสอบเคร่ืองคอมพิวเตอรของผูใชงานใหมีการกําหนดรหัสผาน (Password) รวมทั้งการเก็บรกั ษารหสั ผาน (Password) ๒.๑.๙ ไมใชอ าํ นาจหนาท่ีของตนในการเขาถึงขอมูลของผูใชงานท่ีใชงานระบบคอมพิวเตอรโดยไมมีเหตผุ ลอันสมควร ๒๓
๒.๑.๑๐ ไมกระทําการอ่ืนใดที่มีลักษณะเปนการละเมิดสิทธิ์หรือขอมูลสวนบุคคลของผูใชงานท่ีใชง านระบบคอมพวิ เตอรห รอื มขี อ มลู สว นบุคคลจัดเกบ็ ไวใ นระบบคอมพวิ เตอร โดยไมมีเหตผุ ลอนั สมควร ๒.๑.๑๑ ไมเ ปดเผยขอ มลู ที่ไดม าจากการปฏิบตั หิ นา ท่ี ซึง่ ขอ มูลดงั กลาวเปนขอ มูลท่ีไมเปดเผยใหบุคคลหน่ึงบคุ คลใดทราบ โดยไมม ีเหตผุ ลอนั สมควร ๒.๑.๑๒ เม่ือผูดูแลระบบ (System Administrator) พนจากหนาที่ จะตองคืนสินทรัพยของวิทยาลัย ที่เก่ียวของกับการปฏิบัติหนาท่ีของตนในทันทีท่ีพนจากหนาที่ และใหผูอํานวยการวิทยาลัยหรือผูท่ีไดร ับมอบหมายตรวจสอบการคนื สนิ ทรพั ย ๒.๒ ผูดูแลระบบ (System Administrator) ทําหนาท่ีเก็บรักษาขอมูลจราจรทางคอมพิวเตอร(Log) โดยเก็บรักษาขอมูลของผูใชงานเทาท่ีจําเปนเพื่อใหสามารถระบุตัวผูใชงานนับตั้งแตเริ่มใชบริการและเก็บรักษาไวเปนเวลาไมนอยกวาเกาสิบวันนับตั้งแตการใชบริการส้ินสุดลง การเก็บรักษาขอมูลจราจรทางคอมพิวเตอร (Log) ใชว ิธีการทมี่ ั่นคงปลอดภยั ดังตอ ไปน้ี ๒.๒.๑ เกบ็ ในสอ่ื เกบ็ ขอมลู ทสี่ ามารถรักษาความครบถวนถูกตองแทจริง และระบุตัวบุคคลทีเ่ ขา ถึงสอ่ื ดังกลา วได ๒.๒.๒ มีระบบการเก็บรักษาความลับของขอมูลที่จัดเก็บ และกําหนดช้ันความลับในการเขาถึงขอมูลดังกลาว เพื่อรักษาความนาเชื่อถือของขอมูล และไมใหผูดูแลระบบ (System Administrator)สามารถแกไขขอมลู ทเี่ ก็บรักษาไว เวนแต ผูท ่กี ําหนดใหสามารถเขาถึงขอมูลดังกลาวได เชน ผูตรวจสอบระบบสารสนเทศของวทิ ยาลัย (Internal IT Auditor) หรอื บคุ คลท่วี ทิ ยาลัยมอบหมาย ๒.๒.๓ ในการเกบ็ ขอ มูลจราจรนนั้ สามารถระบรุ ายละเอียดผูใ ชงานเปน รายบคุ คลได ๒.๒.๔ เพื่อใหขอมูลจราจรมีความถูกตองและนํามาใชประโยชนไดจริง ผูดูแลระบบไดต้ังนาฬิกาของอุปกรณบริการทุกชนิดใหตรงกับเวลาอางอิงสากล (Stratum 0) โดยผิดพลาดไมเกิน ๑๐มิลลิวนิ าที ๒๔
สว นท่ี ๕ แนวปฏิบัตกิ ารจดั ทําระบบสํารองและแผนเตรยี มความพรอ มกรณีฉุกเฉนิ๑. วตั ถุประสงค เพ่ือกําหนดเปนมาตรการในการสํารองขอมูลเคร่ืองคอมพิวเตอรแมขาย (Server) อุปกรณหลักท่ีทําหนาท่ีเช่ือมโยงระบบเครือขาย และเตรียมความพรอมในกรณีเกิดเหตุฉุกเฉินหรือไมสามารถดําเนินการดวยวิธกี ารทางอิเล็กทรอนิกส ใหสามารถกูระบบกลับคืนมาไดภายในระยะเวลาที่เหมาะสม เพื่อใหสามารถใชงานระบบเทคโนโลยีสารสนเทศไดตามปกติอยางตอเนื่อง เหมาะสม และสอดคลองกับการใชงานตามภารกิจของวิทยาลยั๒. แนวปฏิบัตกิ ารสาํ รองขอมูล ๒.๑ งานศูนยขอมูลสารสนเทศ สํารองขอมูลและซอฟตแวรเก็บไว เปนรายวัน รายสัปดาห รายเดือนรายป โดยจัดเรียงตามลาํ ดบั ความจาํ เปน ของการสาํ รองขอมลู ระบบสารสนเทศของวิทยาลยั จากจําเปนมากไปหานอ ย ๒.๒ งานศูนยข อ มลู สารสนเทศ จดั ทาํ ขน้ั ตอนการปฏิบัติการและจัดทําการสํารองขอมูล และการกูคืนขอมูลอยางสมํ่าเสมอทุกเดือน หรือตามความเหมาะสมไปยังศูนยกูคืนระบบจากความเสียหายทางภัยพิบัติ(DR-Site) ทง้ั ระบบซอฟตแ วรแ ละขอมลู ในระบบสารสนเทศ ๒.๓ งานศูนยขอมูลสารสนเทศ ไดจัดเก็บสํารองขอมูลในสื่อเก็บขอมูล โดยมีการพิมพช่ือบนสื่อเก็บขอ มูลน้นั ใหสามารถแสดงถงึ ระบบซอฟตแ วร วนั ที่ เวลาท่ีสาํ รองขอมูล และผูรับผดิ ชอบในการสํารองขอมูลไวอยา งชัดเจนและทําการสาํ รองขอมูลแยกไว ณ สถานท่ีอน่ื ๒.๔ งานศูนยขอมูลสารสนเทศ ไดเตรียมความพรอมกรณีเกิดเหตุฉุกเฉิน ใหสามารถกูระบบงานตามลาํ ดับความสาํ คัญคนื มาใหใ ชงานไดภ ายในระยะเวลาท่เี หมาะสม โดยมกี ารทดสอบปละ ๒ ครงั้ ๒.๕ มกี ารกาํ หนดหนา ทแ่ี ละความรบั ผิดชอบของบุคลากร ซึ่งดูแลรับผิดชอบระบบสารสนเทศ ระบบสํารอง และการจัดทําแผนเตรียมพรอมกรณีฉุกเฉิน ในกรณีท่ีไมสามารถดําเนินการดวยวิธีการทางอเิ ลก็ ทรอนกิ สเ ปนลาํ ดบั ช้นั ๒๕
สว นท่ี ๖ แนวปฏิบัตกิ ารประเมินความเสีย่ ง๑. วัตถปุ ระสงค เพ่ือใหมีมาตรการในการควบคุมความเส่ียง และปองกันผลกระทบท่ีอาจมีตอความม่ันคงปลอดภัยดา นสารสนเทศ รวมทงั้ ใหส ามารถกําหนดวิธีการประเมินความเสี่ยงไดอยางถูกตอง สงผลใหระบุความเสี่ยงไดอยางชัดเจน และสามารถควบคุมความเสย่ี งไดอยา งมปี ระสทิ ธภิ าพ๒. แนวปฏบิ ัตกิ ารตรวจสอบและประเมนิ ความเส่ียง ๒.๑ ระบุความเส่ียงและผลกระทบของความเส่ียงใหสอดคลองตามแผนบริหารความเสี่ยงของวิทยาลัย เพอ่ื การตรวจสอบและประเมนิ ความเส่ยี งนั้น ดงั ตอ ไปนี้ ๒.๑.๑ ความเสีย่ งท่ีเกิดจากการลอบเขา ทางระบบปฏิบตั กิ าร เพ่ือยดึ ครองเคร่ืองคอมพิวเตอรแมขายผานระบบอนิ เทอรเ น็ต (Internet) ๒.๑.๒ ความเส่ียงที่เกิดจากการลักลอบเขาเชื่อมโยงกับระบบเครือขายไรสาย โดยไมไดรับอนุญาต ๒.๑.๓ ความเสี่ยงที่เกิดจากเครื่องมือดานเทคโนโลยีสารสนเทศ หรือระบบเครือขายเกิดการขดั ของระหวางการใชงาน ๒.๑.๔ ความเสี่ยงท่ีเกิดจากการลงบันทึกเขา (Login) สารสนเทศท่ีสําคัญผานระบบเครือขายของผูใ ชงานคนเดียวกันมากกวาหนึ่งจุด ๒.๑.๕ ความเสี่ยงท่ีเกิดจากการลกั ลอบใชร หสั ผา น (Password) ของผอู ื่นโดยไมไ ดร ับอนุญาต ๒.๑.๖ จัดใหมีการตรวจสอบและประเมินความเสี่ยงดานสารสนเทศ ท่ีอาจเกิดขึ้นกับระบบสารสนเทศ (Information Security Audit and Assessment) อยางนอ ยปล ะ ๑ ครัง้ ๒.๒ กําหนดวธิ ีการในการตรวจสอบและประเมนิ ความเสยี่ งและความรุนแรงของผลกระทบ ท่ีเกิดจากความเสีย่ งนัน้ ๒.๓ การตรวจสอบและประเมนิ ความเสีย่ งใหคํานงึ ถึงองคประกอบ ดงั ตอ ไปน้ี ๒.๓.๑ ความรนุ แรงของผลกระทบท่เี กดิ จากความเสี่ยงท่รี ะบุ ๒.๓.๒ ภยั คกุ คามหรอื สิ่งที่อาจกอใหเกิดเหตกุ ารณท รี่ ะบรุ วมถึงความเปนไปไดท ีจ่ ะเกดิ ขึ้น ๒.๓.๓ จดุ ออ นหรอื ชอ งโหวท่อี าจถกู ใชในการกอใหเกดิ เหตกุ ารณท่ีระบุ ๒.๓.๔ ในการตรวจสอบและประเมินความเส่ียงจะตองดําเนินการโดยผูตรวจสอบภายในวิทยาลัย เพ่ือใหทราบถึงระดับความเสี่ยงและระดับความมั่นคงปลอดภัยดานสารสนเทศ ความเสียหายหรืออันตรายทีจ่ ะเกิดขึ้นของหนว ยงาน ๒๖
สวนที่ ๗ แนวปฏิบัตกิ ารสรางความตระหนกั ในเรอ่ื งการรักษาความม่นั คง ปลอดภัยของระบบเทคโนโลยสี ารสนเทศ๑. วตั ถปุ ระสงค เพื่อเผยแพรแนวนโยบายและแนวปฏิบัติใหกับครู บุคลากรทางการศึกษา นักเรียน นักศึกษาพนักงานราชการ และลูกจางของวิทยาลัย รวมถึงบุคคลท่ีเก่ียวของ ไดมีความรูความเขาใจ และตระหนักถึงความสําคัญของการรักษาความม่ันคงปลอดภัยดานสารสนเทศ ตลอดจนสามารถนําไปปฏิบัตไิ ดอยา งถกู ตอ ง๒. แนวปฏบิ ัตกิ ารสรา งความตระหนกั ในเรอ่ื งการรกั ษาความม่นั คงปลอดภัยดา นสารสนเทศ ๒.๑ จัดฝกอบรมแนวปฏิบัติตามแนวนโยบายอยางสมํ่าเสมอ โดยการจัดฝกอบรมอาจใชวิธีการเสริมเน้ือหาแนวปฏิบตั ติ ามแนวนโยบายเขา กบั หลักสูตรอบรมตาง ๆ ตามแผนการฝกอบรมของวทิ ยาลยั ๒.๒ จัดสัมมนาเพื่อเผยแพรแนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยดานสารสนเทศ และสรางความตระหนักถึงความสําคัญของการปฏิบัติใหกับบุคลากร โดยการจัดสัมมนาควรจัดปละไมนอยกวา ๑ ครั้ง โดยอาจจัดรวมกับการสัมมนาอ่ืนดวยก็ได และอาจเชิญวิทยากรจากภายนอกท่ีมีประสบการณดา นการรักษาความมน่ั คงปลอดภยั ดา นสารสนเทศ มาถา ยทอดความรู ๒.๓ ติดประกาศประชาสัมพันธ ใหความรูเกี่ยวกับแนวปฏิบัติในลักษณะเกร็ดความรู หรือขอระวังในรปู แบบท่สี ามารถเขาใจและนาํ ไปปฏบิ ตั ิไดง า ย โดยมกี ารปรบั เปลย่ี นเกรด็ ความรอู ยูเสมอ ๒.๔ ระดมการมีสวนรวมและลงสูภาคปฏิบัติดวยการกํากับ ติดตาม ประเมินผล และสํารวจความตอ งการของผูใ ชงาน ๒๗
สว นท่ี ๘ การกําหนดผรู บั ผดิ ชอบ กาํ หนดความรับผิดชอบทชี่ ัดเจน กรณีระบบคอมพิวเตอรหรือขอ มูลสารสนเทศเกิดความเสียหาย หรืออันตรายใด ๆ แกองคกรหรือผูหนึ่งผูใด อันเนื่องมาจากความบกพรอง ละเลย หรือฝาฝนการปฏิบัติตามแนวนโยบายและแนวปฏบิ ัตใิ นการรักษาความม่นั คงปลอดภยั ดา นสารสนเทศ๑. ระดับนโยบาย ผอู าํ นวยการวทิ ยาลัย เปน ผรู บั ผิดชอบในการส่ังการตามนโยบายและแนวปฏิบัติการรักษาความมั่นคงปลอดภัยดานสารสนเทศ ติดตาม และกํากับดูแลควบคุมตรวจสอบ รวมทั้งใหขอเสนอแนะแกเจาหนาที่ระดับปฏิบัติ๒. แนวทางปฏบิ ตั ขิ องผรู ับผิดชอบ ๒.๑ หัวหนางานศูนยขอมูลสารสนเทศ รับผิดชอบกํากับดูแลการปฏิบัติงานของผูปฏิบัติงานอยางใกลชิด ใหความคิดเห็น เสนอแนะวิธีการ และแนวทางแกไขปญหาจากสถานการณความเสี่ยงของระบบฐานขอมูลและสารสนเทศ วางแผนการปฏิบัติงาน ติดตามการปฏิบัติงานตามแผนการบริหารความเส่ียงและตรวจสอบระบบความมนั่ คงและความปลอดภยั ของฐานขอมูลและสารสนเทศ พรอมรายงานผลการดําเนินการรวมทั้งรับผดิ ชอบ ดังน้ี ๒.๑.๑ ควบคมุ การเขา-ออกหอ ง Server ตามการกําหนดสิทธิการเขา ถงึ Server ๒.๑.๒ กํากับดูแล ตรวจสอบ บํารุงรักษาอุปกรณ Server และอุปกรณเชื่อมโยงเครือขาย(Network) ของระบบการเช่ือมโยงเครือขายฐานขอ มูลท้งั หมดใหสามารถใชงานไดตามปกตติ ลอด ๒๔ ชม. ๒.๑.๓ กํากับดูแล การตดิ ต้ัง รือ้ ถอน ดแู ล ตรวจสอบ การเช่อื มโยงการส่ือสารผานเครือขายทางระบบ LAN , Internet , Intranet ทีใ่ หบ ริการในวิทยาลัย ๒.๑.๔ กาํ กับดแู ลรกั ษาการทํางานระบบดับเพลิงอัตโนมัติของเครื่อง Server ใหสามารถทํางานไดตลอดเวลาเมือ่ เกดิ สถานการณไฟไหม ๒.๑.๕ แกไขปญหา อุปสรรค สถานการณความเสี่ยงและความเสียหายที่เกิดขึ้นกับระบบเช่ือมโยงเครอื ขา ยของระบบฐานขอมลู สารสนเทศ ๒.๑.๖ รายงานผลการปฏิบัติงาน สถานการณที่เกิดขึ้นกับระบบเครือขายและระบบฐานขอมูลและสารสนเทศ ใหแ กผ ูบ ังคับบญั ชาระดบั สูงทราบสมาํ่ เสมอ ๒.๑.๗ กํากับดูแล การติดตาม ตรวจสอบ (Monitor) การเขาใชงานและการเขาถึงระบบการทํางานของ Server ตามสทิ ธิการเขาถึงระบบ ๒.๑.๘ กํากับดูแล การปองกันการถูกเจาะระบบ และแกไขปญหาการถูกเจาะเขาระบบฐานขอมูลจากบุคคลภายนอก (Hacker) โดยไมไดรับอนุญาตตามแนวนโยบายและแนวปฏิบัติการรักษาความม่นั คงปลอดภยั ดา นสารสนเทศ ของวทิ ยาลยั สารพัดชา งพระนคร ๒๘
๒.๑.๙ กํากับดูแล ตรวจสอบ บํารุงรักษาอุปกรณปองกันการถูกเจาะระบบจากบุคคลภายนอก(Firewall) และโปรแกรมปฏิบัติการทั้งหมดที่ติดต้ังอยูใน Server ของระบบฐานขอมูลท้ังหมดที่ใหบริการในเว็บไซต ใหส ามารถใชงานไดต ามปกตติ ลอด ๒๔ ชม. ๒.๑.๑๐ กาํ กับดแู ล ตรวจสอบในการกาํ หนดแกไขหรือเปล่ียนแปลงคา Parameter ตาง ๆ ของระบบอ่นื ๆ ๒๙
Search
Read the Text Version
- 1 - 33
Pages:
