กฏหมายดิจิทัล Digital_Law_2020

(๕) สำหรับความถี่ของการปฏิบัติในแตละขอ ควรมีการปฏิบัติที่เพียงพอตอสภาพความเสี่ยง ท่ียอมรบั ไดของแตล ะหนว ยงาน ขอ ๑๓ หนวยงานของรัฐตองจัดใหมีการตรวจสอบและประเมินความเสี่ยงดา นสารสนเทศ โดยตอง มีเนอ้ื หาอยา งนอ ย ดงั น้ี (๑) หนวยงานของรัฐตองจัดใหมีการตรวจสอบและประเมินความเสี่ยงดานสารสนเทศที่อาจเกิดขึ้น กบั ระบบสารสนเทศ (information security audit and assessment) อยา งนอ ยปล ะ ๑ ครงั้ (๒) ในการตรวจสอบและประเมินความเสี่ยงจะตองดำเนินการ โดยผูตรวจสอบภายในหนวยงาน ของรัฐ (internal auditor) หรือโดยผูตรวจสอบอิสระดานความมั่นคงปลอดภัยจากภายนอก (external auditor) เพอ่ื ใหหนว ยงานของรฐั ไดทราบถึงระดบั ความเสยี่ งและระดบั ความม่นั คงปลอดภัยสารสนเทศของ หนวยงาน ขอ ๑๔๑ หนวยงานของรัฐตองกำหนดความรับผิดชอบท่ชี ัดเจน กรณีระบบคอมพวิ เตอรหรือขอมูล สารสนเทศเกิดความเสียหาย หรืออันตรายใด ๆ แกองคกรหรือผูหนึ่งผูใด อันเนื่องมาจากความบกพรอง ละเลย หรือฝาฝนการปฏิบัติตามแนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัย ดานสารสนเทศ ทั้งน้ี ใหผูบริหารระดับสูงสุดของหนวยงาน (Chief Executive Officer : CEO) เปน ผรู ับผดิ ชอบตอความเส่ยี ง ความเสยี หาย หรอื อันตรายท่เี กดิ ขน้ึ ขอ ๑๕ หนวยงานของรัฐสามารถเลือกใชขอปฏิบัติในการรักษาความมั่นคงปลอดภัย ดานสารสนเทศ ทีต่ างไปจากประกาศฉบับนีไ้ ด หากแสดงใหเ หน็ วา ขอปฏิบัตทิ ี่เลอื กใชม คี วามเหมาะสมกวา หรอื เทียบเทา ขอ ๑๖๒ ประกาศน้ีใหใ ชบ ังคบั ตัง้ แตว นั ถัดจากวันประกาศในราชกจิ จานุเบกษาเปนตน ไป ประกาศ ณ วนั ที่ ๓๑ พฤษภาคม พ.ศ. ๒๕๕๓ รอ ยตรีหญงิ ระนองรกั ษ สุวรรณฉวี รัฐมนตรวี า การกระทรวงเทคโนโลยสี ารสนเทศและการส่อื สาร ประธานกรรมการธุรกรรมทางอเิ ลก็ ทรอนกิ ส ๑ ขอ ๑๔ แกไขเพิ่มเติมโดยประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส เรื่อง แนวนโยบายและแนวปฏิบัติ ในการรกั ษาความมัน่ คงปลอดภัยดา นสารสนเทศของหนวยงานของรัฐ (ฉบบั ท่ี ๒) พ.ศ. ๒๕๕๖ ๒ ราชกจิ จานเุ บกษา เลม ๑๒๗/ตอนพเิ ศษ ๗๘ ง/หนา ๑๓๑/๒๓ มิถุนายน ๒๕๕๓ 142 ส�ำ นกั งานพฒั นาธรุ กรรมทางอิเล็กทรอนิกส์

ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส เรื่อง แนวนโยบายและแนวปฏิบัติในการรักษา ความมั่นคงปลอดภยั ดานสารสนเทศของหนวยงานของรัฐ (ฉบับท่ี ๒) พ.ศ. ๒๕๕๖๓ ขอ ๓ ประกาศนี้ใหใ ชบ งั คับต้งั แตว นั ถัดจากวันประกาศในราชกจิ จานเุ บกษาเปนตน ไป ๓ ราชกิจจานุเบกษา เลม ๑๓๐/ตอนพเิ ศษ ๒๑ ง/หนา ๕๒/๑๔ กมุ ภาพันธ ๒๕๕๖ 143 ส�ำ นักงานพฒั นาธรุ กรรมทางอิเล็กทรอนกิ ส์

144 สำ�นกั งานพฒั นาธรุ กรรมทางอิเล็กทรอนกิ ส์

ประกาศคณะกรรมการธุรกรรมทางอเิ ล็กทรอนิกส เรื่อง แนวนโยบายและแนวปฏิบัติในการคมุ ครองขอ มลู สวนบุคคล ของหนวยงานของรฐั พ.ศ. ๒๕๕๓ ส�ำ นกั งานพฒั นาธรุ กรรมทางอิเลก็ ทรอนิกส์ 145

ช่อื กฎหมาย ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส เรื่อง แนวนโยบายและแนวปฏิบัติ ในการคุมครองขอมูลสวนบุคคลของหนวยงานของรฐั พ.ศ. ๒๕๕๓ ประกาศในราชกิจจานเุ บกษา เลม ๑๒๗ / ตอนพิเศษ ๑๒๖ ง / หนา ๓๑ / วันท่ี ๑ พฤศจิกายน ๒๕๕๓ เรม่ิ บังคบั ใช วนั ที่ ๒ พฤศจกิ ายน ๒๕๕๓ แกไขโดย  แกคำผิด ประกาศคณะกรรมการธุรกรรมทางอิเลก็ ทรอนิกส เรอ่ื ง แนวนโยบายและแนวปฏิบตั ิ ในการคุมครองขอมลู สว นบุคคลของหนว ยงานของรฐั พ.ศ. ๒๕๕๓  ประกาศในราชกิจจานเุ บกษา เลม ๑๒๗ / ตอนพเิ ศษ ๑๓๔ ง / หนา ๙๙ / วนั ท่ี ๑๙ พฤศจกิ ายน ๒๕๕๓ 146 ส�ำ นักงานพัฒนาธรุ กรรมทางอิเลก็ ทรอนกิ ส์

ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส เรือ่ ง แนวนโยบายและแนวปฏบิ ตั ิในการคุมครองขอมลู สวนบคุ คลของหนว ยงานของรัฐ พ.ศ. ๒๕๕๓  ขอมูลสวนบุคคลท่ีมีการรวบรวม จัดเก็บ ใชหรือเผยแพรในรูปของขอมูลอิเล็กทรอนิกส เปนสิทธิมนุษยชนข้ันพ้ืนฐานที่ไดรับความคุมครอง ซึ่งปจจุบันมีการนําระบบสารสนเทศและการส่ือสาร มาประยุกตใชประกอบการทําธุรกรรมทางอิเล็กทรอนิกสอยางแพรหลาย และเพ่ือใหการทําธุรกรรม ทางอิเล็กทรอนิกสของหนวยงานของรัฐมีความม่ันคงปลอดภัย ความนาเชื่อถือ และมีการคุมครอง ขอมูลสวนบุคคล คณะกรรมการธุรกรรมทางอิเล็กทรอนิกสเห็นสมควรกําหนดแนวนโยบายและแนวปฏบิ ตั ิ ในการคุมครองขอมลู สว นบุคคลของหนวยงานของรฐั ใหมีมาตรฐานเดยี วกัน อาศัยอํานาจตามความในมาตรา ๖ มาตรา ๗ และมาตรา ๘ แหงพระราชกฤษฎีกากําหนด หลักเกณฑและวิธีการในการทําธุรกรรมทางอิเล็กทรอนิกสภาครัฐ พ.ศ. ๒๕๔๙ คณะกรรมการธุรกรรม ทางอิเล็กทรอนิกสจึงออกประกาศฉบับนี้ เพื่อเปนแนวทางเบื้องตน ใหหนวยงานของรัฐใชในการกําหนด นโยบายและขอปฏิบัตใิ นการคุมครองขอมูลสว นบุคคลสําหรบั การทําธรุ กรรมทางอเิ ลก็ ทรอนิกส ดังตอไปน้ี ขอ ๑ ใหหนวยงานของรฐั ซึ่งรวบรวม จดั เกบ็ ใช เผยแพร หรอื ดําเนนิ การอ่ืนใดเกยี่ วกับขอมูลของ ผใู ชบ รกิ ารธรุ กรรมทางอเิ ล็กทรอนิกส จดั ทํานโยบายในการคุมครองขอมลู สว นบุคคลไวเปนลายลักษณอักษร โดยใหม ีสาระสาํ คญั อยางนอ ย ดังน้ี (๑) การเกบ็ รวบรวมขอมูลสว นบคุ คลอยางจํากดั การจัดเก็บรวบรวมขอมูลสวนบุคคลใหมีขอบเขตจํากัด และใชวิธีการท่ีชอบดวยกฎหมาย และเปน ธรรม และใหเ จา ของขอ มลู ทราบหรอื ไดร ับความยินยอมจากเจา ของขอมลู ตามแตก รณี (๒) คณุ ภาพของขอมูลสว นบุคคล ข อ มู ล ส ว น บุ ค ค ล ที่ ร ว บ ร ว ม แ ล ะ จั ด เ ก็ บ ใ ห เ ป น ไ ป ต า ม อํ า น า จ ห น า ที่ แ ล ะ วั ต ถุ ป ร ะ ส ง ค ในการดําเนนิ งานของหนว ยงานของรัฐตามกฎหมาย (๓) การระบุวัตถุประสงคใ นการเก็บรวบรวม ใหบ นั ทกึ วัตถุประสงคของการเก็บรวบรวมขอมลู สว นบุคคลในขณะท่ีมกี ารรวบรวมและจัดเก็บ รวมถงึ การนาํ ขอมลู นนั้ ไปใชในภายหลัง และหากมีการเปล่ียนแปลงวัตถปุ ระสงคข องการเก็บรวบรวมขอมูล ใหจัดทาํ บันทกึ แกไขเพ่ิมเติมไวเปน หลกั ฐาน สำ�นักงานพัฒนาธรุ กรรมทางอิเล็กทรอนกิ ส์ 147

(๔) ขอจํากดั ในการนาํ ขอมลู สวนบุคคลไปใช หามมิใหมีการเปดเผย หรือแสดง หรือทําใหปรากฏในลักษณะอื่นใดซ่ึงขอมูลสวนบุคคลท่ีไม สอดคลอ งกับวตั ถุประสงคข องการรวบรวมและจัดเก็บขอมูล เวน แตจะไดร ับความยินยอมจากเจาของขอมูล หรือเปน กรณที ม่ี กี ฎหมายกําหนดใหก ระทาํ ได (๕) การรกั ษาความมั่นคงปลอดภัย ใหมีมาตรการในการรักษาความมั่นคงปลอดภัยของขอมูลสวนบุคคลอยางเหมาะสม เพ่อื ปอ งกันการสูญหาย การเขาถงึ ทาํ ลาย ใช แปลง แกไขหรือเปดเผยขอ มลู โดยมิชอบ (๖) การเปด เผยเก่ียวกบั การดําเนินการ แนวปฏบิ ตั ิ และนโยบายที่เก่ยี วกบั ขอมลู สวนบคุ คล ใหม กี ารเปดเผยการดาํ เนินการ แนวปฏบิ ตั ิ และนโยบายท่เี กย่ี วกับขอมูลสวนบุคคล และจดั ใหมี วิธีการที่สามารถตรวจดูความมีอยู ลักษณะของขอมูลสวนบุคคลวัตถุประสงคของการนําขอมูลไปใช ผคู วบคุมและสถานท่ีทาํ การของผคู วบคมุ ขอมลู สว นบุคคล (๗) การมีสวนรว มของเจาของขอ มูล ใหผูควบคุมขอมูลสวนบุคคลแจงถึงความมีอยู หรือรายละเอียดของขอมูลสวนบุคคลแก เจาของขอมูลเมื่อไดรับคํารองขอภายในระยะเวลาอันสมควรตามวิธีการในรูปแบบ รวมถึงคาใชจาย (ถามี) ตามสมควร หามมิใหผูควบคุมขอมูลสวนบุคคลปฏิเสธท่ีจะใหคําช้ีแจงหรือใหขอมูลแกเจาของขอมูล ผูสืบสทิ ธ์ิ ทายาท ผูแทนโดยชอบธรรม หรอื ผพู ิทักษ ตามกฎหมาย ใหผูควบคุมขอมูลจัดทําบันทึกคําคัดคานการจัดเก็บ ความถูกตอง หรือการกระทําใด ๆ เกี่ยวกับขอมูลของเจา ของขอ มลู ไวเ ปน หลกั ฐาน (๘) ความรับผิดชอบของบุคคลซึ่งทาํ หนา ที่ควบคุมขอมูล ใหผูควบคุมขอมูลสวนบุคคลปฏิบัติตามมาตรการที่กําหนดไวขางตนเพื่อใหการดําเนินงาน ตามแนวนโยบายเกยี่ วกับการคมุ ครองขอมูลสว นบคุ คลเปน ไปตามมาตรฐานของประกาศฉบบั น้ี ขอ ๒ ใหหนวยงานของรัฐจัดทําขอปฏิบัติในการคุมครองขอมูลสวนบุคคลของผูใชบ ริการและใหมี รายการอยางนอ ย ดังน้ี (๑) ขอมูลเบ้อื งตน ประกอบดวย (ก) ช่อื นโยบายการคมุ ครองขอมูลสวนบุคคลวาเปน ของหนวยงานใด (ข) รายละเอียดขอบเขตของการบังคับใชนโยบายการคุมครองขอมูลสวนบุคคลที่หนวยงาน ของรัฐรวบรวม จดั เกบ็ หรอื การใชต ามวตั ถุประสงค (ค) ใหแจงการเปล่ียนแปลงวัตถุประสงคหรือนโยบายการคุมครองขอมูลสวนบุคคลให เจาของขอมูลทราบและขอความยินยอมกอนทุกคร้ังตามวิธีการและภายในกําหนดเวลาท่ีประกาศ เชน การแจงลวงหนาใหเจาของขอมูลทราบกอน ๑๕ วัน โดยการสงทางจดหมายอิเล็กทรอนิกสหรือประกาศไว ในหนา แรกของเว็บไซต เวน แตก ฎหมายจะกาํ หนดไวเปนอยา งอ่ืน 148 สำ�นกั งานพัฒนาธรุ กรรมทางอิเล็กทรอนกิ ส์

การขอความยนิ ยอมจากเจา ของขอมูลนั้น ใหม คี วามชัดเจนวาหนวยงานของรัฐขอรับความยินยอม เพือ่ วัตถปุ ระสงคใ ด (๒) การเก็บรวบรวม จัดประเภท และการใชขอมูลสว นบคุ คล ใหหนว ยงานของรัฐที่ทําธรุ กรรมทางอิเล็กทรอนิกส ซงึ่ เก็บรวบรวมขอมูลผานทางเวบ็ ไซตหรือ ผานรูปแบบของการกรอกขอความทางกระดาษแลวนาํ มาแปลงขอความเขาระบบอิเล็กทรอนิกสห รือจัดเก็บ โดยวิธีอ่ืน ใหแสดงรายละเอียดของการรวบรวมขอมูลเปนชนิด ประเภท รวมถึงขอมูลที่จะไมจัดเก็บ และขอมูลท่ีรวบรวมและจัดเก็บน้ันจะนําไปใชตามวัตถุประสงคใด โดยลักษณะหรือดวยวิธีการท่ีทําให เจาของขอมูลไดทราบ ท้ังน้ี การรวบรวมและจัดเก็บขอมูลนั้น ใหทําเปนประกาศหรือแจงรายละเอียด ใหเ จาของขอมลู ทราบ ใหหนวยงานของรัฐท่ีจัดบริการผานทางเว็บไซต แสดงรายละเอียดของการรวบรวมขอมูล ผานทางเว็บไซตของหนวยงานนั้น รวมถึงการใชขอมูลซ่ึงอยางนอยตองระบุวาอยูในสวนใดของเว็บไซต หรือในเว็บเพจใดท่ีมีการรวบรวมและจัดเก็บขอมูล และใหมีรายละเอียดอยางแจงชัดถึงวิธีการ ในการรวบรวมและจดั เก็บขอมูล เชน การจัดเกบ็ โดยใหม ีการลงทะเบยี น หรอื การกรอกแบบสอบถาม เปน ตน ใหหนวยงานของรฐั รวบรวม จดั เก็บและใชข อ มลู สว นบุคคลจัดทํารายละเอยี ด ดงั ตอไปน้ี (ก) การติดตอ ระหวา งหนวยงานของรัฐ ใหหนวยงานของรัฐซ่ึงจะติดตอไปยังผูใชบริการดวยวิธีการทางอิเล็กทรอนิกส บอกกลาว ใหผูใชบ ริการทราบลว งหนา ทัง้ นี้ ผใู ชบรกิ ารอาจแจงความประสงคใ หต ิดตอ โดยวิธกี ารอ่ืนได (ข) การใชคุกกี้ (Cookies) ใหหนวยงานของรัฐระบุบนเว็บไซตสําหรับการใชคุกก้ีท่ีเชื่อมโยงกับขอมูลสวนบุคคล วา ผูใชบ รกิ ารจะใชค ุกก้ีเพือ่ วัตถปุ ระสงคแ ละประโยชนใด และใหส ิทธทิ ี่จะไมรบั การตอ เช่อื มคกุ กีไ้ ด (ค) การเกบ็ ขอมลู สถิติเกยี่ วกับประชากร (Demographic Information) ใหหนวยงานของรัฐมีเว็บไซตสําหรับการเก็บรวบรวมขอมูลสถิติเก่ียวกับประชากร เชน เพศ อายุ อาชีพ ท่ีสามารถเชื่อมโยงกับขอมูลระบุตัวบุคคลได ระบุถึงวิธีการรวบรวมและจัดเก็บ ขอมูลดังกลาวไวในนโยบายการคุมครองขอมูลสวนบุคคลดวย และใหชี้แจงวัตถุประสงคของการใช ขอ มลู ดงั กลาว รวมถงึ การใหบุคคลอ่ืนรวมใชขอมูลนั้นดวย (ง) บนั ทึกผูเขาชมเว็บ (Log Files) ใหหนวยงานของรัฐซ่ึงจัดบริการเว็บไซตที่มีการเก็บบันทึกการเขาออกโดยอัตโนมัติ เชน หมายเลขไอพี (IP Address) เว็บไซตท่ีเขาออกกอนและหลัง และประเภทของโปรแกรมบราวเซอร (Browser) ที่สามารถเชื่อมโยงขอมูลดังกลาวกับขอมูลซึ่งระบุตัวบุคคลได ระบุวิธีการรวบรวมและ จัดเก็บขอมูลดังกลาวไวในนโยบายการคุมครองขอมูลสวนบุคคล และใหช้ีแจงวัตถุประสงคของการใช รวมถงึ การใหบ ุคคลอ่ืนรวมใชข อ มูลนั้นดวย ส�ำ นักงานพัฒนาธรุ กรรมทางอิเล็กทรอนกิ ส์ 149

(จ) ใหหนวยงานของรัฐระบุขอมูลที่มีการจัดเก็บผานทางเว็บไซตวาเปนขอมูลที่ประชาชน มีสิทธิเลือกวา “จะใหหรือไมให” ก็ได และใหหนวยงานของรัฐจัดเตรียมชองทางอ่ืนในการติดตอสื่อสาร สาํ หรบั ผูใชบ รกิ ารทีไ่ มประสงคจะใหข อ มูลผา นทางเว็บไซต (๓) การแสดงระบคุ วามเชอื่ มโยงใหขอมลู สวนบุคคลกบั หนว ยงานหรอื องคกรอ่นื การเก็บรวบรวมขอมูลผานทางเว็บไซตของหนวยงานของรัฐและเว็บไซตดังกลาวที่มี การเช่ือมโยงใหขอมูลแกหนวยงานหรือองคกรอื่น ใหหนวยงานของรัฐแสดงไวอยางชัดเจนถึงชื่อผูเก็บ รวบรวมขอ มูลผานทางเวบ็ ไซต หรือชอื่ ผมู สี ิทธิในขอมูลที่ไดม ีการเกบ็ รวบรวม (Data Subject) และชอ่ื เปน ผูมีสิทธิเขาถึงขอมูลดังกลาวทั้งหมด รวมถึงประเภทของขอมูลที่จะใชรวมกับหนวยงาน หรือองคกรน้ัน ๆ ตลอดจนช่ือผูมีหนาท่ีปฏิบัติตามนโยบายการคุมครองขอมูลสวนบุคคลไวในนโยบายการคุมครองขอมูล สว นบุคคล เพอื่ ใหผใู ชบรกิ ารทราบ ใหห นวยงานของรฐั แจงใหผ ูใชบ ริการทราบและใหความยินยอมลว งหนากอนทําการเปลี่ยนแปลง การเช่อื มโยงขอ มลู ตามวรรคแรกกับหนว ยงานหรือองคกรอืน่ (๔) การรวมขอมูลจากทีม่ าหลาย ๆ แหง ใหหนวยงานของรัฐท่ีซึ่งไดรับขอมูลมาจากผูใชบริการเว็บไซต และจะนําไปรวมเขากับขอมูล ของบุคคลดังกลาวที่ไดรับจากท่ีมาแหงอื่น ระบุไวในนโยบายคุมครองขอมูลสวนบุคคลถึงเจตนารมณ การรวมขอมูลดังกลาวดวย เชน เว็บไซตไดรับขอมูลท่ีเปนช่ือและที่อยูของการสงจดหมายอิเล็กทรอนิกส จากผูใชบริการโดยการกรอกขอมูลตามแบบสอบถามผานทางเว็บไซต และจะนําขอมูลดังกลาวไปรวมเขา กบั ขอ มลู เกีย่ วกับประวัตขิ องผูใชบ รกิ ารทไ่ี ดร ับจากทมี่ าแหงอ่ืน (๕) การใหบ ุคคลอื่นใชห รือการเปด เผยขอ มลู สว นบคุ คล ใหหนวยงานของรัฐระบุไวในนโยบายการคุมครองขอมูลสวนบุคคลดวยวามีบุคคลอ่ืนท่ีจะ เขา ถงึ หรือใชขอมลู ทห่ี นว ยงานนั้นไดเก็บรวบรวมมาผานทางเว็บไซตดว ย และใหระบุไวดว ยวาการใหเขาถึง ใช หรือเปดเผยขอมูลดังกลาวสอดคลองกับขอกําหนดตามกฎหมายของหนวยงานของรัฐท่ีดําเนินการ ดงั กลา ว (๖) การรวบรวม จัดเกบ็ ใช และการเปด เผยขอมลู เกย่ี วกบั ผูใชบ ริการ ใหหนวยงานของรัฐซ่ึงรวบรวม จัดเก็บ ใช และเปดเผยขอมูลสวนบุคคลที่ประสงคจะนําไป ดํ า เ นิ น ก า ร อ่ื น น อ ก เ ห นื อ ไ ป จ า ก วั ต ถุ ป ร ะ ส ง ค ข อ ง ก า ร ร ว บ ร ว ม ข อ มู ล ส ว น บุ ค ค ล ต า ม ท่ี ไ ด ร ะ บุ ไ ว เชน การรวบรวม จัดเก็บ ใช และเปดเผยขอมูลที่ไมจําเปน หรือการเปดเผยขอมูลสวนบุคคลตอบุคคลอื่น ระบุไวในนโยบายการคุมครองขอมูลสวนบุคคลถึงสิทธิของผูใชบริการที่จะเลือกวา จะใหหนวยงานของรัฐ รวบรวมจดั เก็บหรอื ไมใ หจัดเก็บ ใชหรอื ไมใ หใช และเปด เผยหรือไมเปด เผยขอ มลู ดังกลาว การใหผูใชบริการใชสิทธิเลือกตามวรรคแรกใหรวมถึงการใหส ิทธเิ ลอื กแบบที่หนวยงานของรัฐ จะตองขอความยินยอมโดยชัดแจง จากเจาของขอมูลสวนบคุ คลน้ันกอน และการใหสิทธิเลือกแบบท่ีใหส ิทธิ แกผูใชบริการในการปฏิเสธไมใหมีการใชหรือการเปดเผยขอมูลสวนบุคคล เพ่ือวัตถุประสงคอ่ืน นอกเหนอื จากวัตถุประสงคที่เกบ็ รวบรวมขอมลู สวนบคุ คลดังกลา วขา งตนแลวเทา น้นั ท้ังน้ี การใหสิทธเิ ลือก 150 สำ�นักงานพัฒนาธรุ กรรมทางอิเลก็ ทรอนกิ ส์

ตอ งกระทำใหส มบรู ณกอนท่เี วบ็ ไซตจะทำการติดตอกับผูใชบริการในครัง้ แรก และหากเปน การใชสิทธิเลือก แบบหา มไมใหม ีการใชข อมลู สวนบุคคลแตกตางไปจากวตั ถปุ ระสงคเดิม หนว ยงานเจา ของเว็บไซตตองระบุไว ในนโยบายการคุมครองขอมูลสวนบุคคลใหผูใชบริการไดรับทราบถึงวิธกี ารของการสงการติดตอครั้งที่สอง ของเวบ็ ไซตดว ย (๗) การเขาถงึ การแกไขใหถูกตอง และการปรับปรุงใหเ ปนปจ จุบัน ใหหนวยงานของรัฐกำหนดวิธีการที่ผูใชบริการเว็บไซตสามารถเขาถึงและแกไข หรือปรับปรุง ขอ มูลสวนบคุ คลเกย่ี วกับตนเองทหี่ นว ยงานของรฐั รวบรวมและจดั เกบ็ ไวใ นเว็บไซตใ หถูกตอง (๘) การรกั ษาความมน่ั คงปลอดภัยของขอมูลสวนบุคคล ๑ใหหนวยงานของรัฐซึ่งรวบรวมขอมูลสวนบุคคลผานทางเว็บไซตจัดใหมีวิธีการรักษา ความมนั่ คงปลอดภัยสำหรับขอมูลสวนบคุ คลท่ีรวบรวมและจัดเกบ็ ไวใหเหมาะสมกับการรักษาความลับของ ขอมูลสว นบุคคล เพ่อื ปอ งกันการเปลยี่ นแปลงแกไขขอมลู ดังกลาวโดยมิชอบ รวมถึงการปองกันการกระทำ ใดทจ่ี ะมีผลทำใหขอมูลไมอ ยูในสภาพพรอ มใชง าน ซึ่งหนว ยงานของรฐั พงึ ดำเนินการ ดงั น้ี (ก) สรางเสริมความสำนึกในการรับผิดชอบดานความมั่นคงปลอดภัยของขอมูลสวนบุคคล ใหแกบุคลากร พนักงาน หรือลูกจางของหนวยงานดวยการเผยแพรขอมูลขาวสาร ใหความรู จัดสัมมนา หรอื ฝก อบรมในเรอ่ื งดังกลาวใหแ กบ คุ ลากรในองคกรเปนประจำ (ข) กำหนดสิทธิและขอจำกัดสิทธิในการเขาถึงขอมูลสวนบุคคลของบุคลากร พนักงาน หรือลูกจางของตนในแตล ะลำดับชน้ั ใหชัดเจน และใหม ีการบนั ทึกรวมทง้ั การทำสำรองขอมูลของการเขาถึง หรอื การเขาใชง านขอมลู สว นบุคคลไวในระยะเวลาท่ีเหมาะสมหรอื ตามระยะเวลาท่ีกฎหมายกำหนด (ค) ตรวจสอบและประเมินความเสี่ยงดานความมั่นคงปลอดภัยของเว็บไซตหรือของระบบ สารสนเทศทั้งหมดอยา งนอยปละ ๑ คร้งั (ง) กำหนดใหมีการใชมาตรการที่เหมาะสมและเปนการเฉพาะสำหรับการรักษา ความมั่นคงปลอดภัยของขอมูลสวนบุคคลที่มีความสำคัญยิ่งหรือเปนขอมูลที่อาจกระทบตอความรูสึก ความเชื่อ ความสงบเรียบรอย และศีลธรรมอันดีของประชาชนซึ่งเปนผูใชบริการของหนวยงานของรัฐ หรืออาจกอใหเกิดความเสียหาย หรือมีผลกระทบตอสิทธิเสรีภาพของผูเปนเจาของขอมูลอยางชัดเจน เชน หมายเลขบัตรเดบิต หรือบัตรเครดิต หมายเลขประจำตัวประชาชน หรือหมายเลขประจำตัวบุคคล เช้อื ชาติ ศาสนา ความเชอ่ื ความคดิ เหน็ ทางการเมอื ง สุขภาพ พฤตกิ รรมทางเพศ เปนตน (จ) ควรจัดใหมีมาตรการที่รอบคอบในการรักษาความม่ันคงปลอดภัยสำหรบั ขอมลู สวนบุคคล ของบุคคลซึง่ อายุไมเกนิ สิบแปดปโดยใชวิธกี ารโดยเฉพาะและเหมาะสม ๑ คำวา “ใหหนวยงานของรัฐซึ่งรวบรวมขอมูลสวนบุคคลผานทางเว็บไซตจัดใหมีวิธีการรักษาความมั่นคง” แกไขโดย แกคำผิด ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส เรื่อง แนวนโยบายและแนวปฏิบัติในการคุมครองขอมูลสวนบุคคลของหนวยงานของรัฐ พ.ศ. ๒๕๕๓ สำ�นกั งานพัฒนาธรุ กรรมทางอิเล็กทรอนกิ ส์ 151

(๙) การติดตอกับเว็บไซต เว็บไซตซึง่ ใหขอมูลแกผูใชบรกิ ารในการติดตอกับหนวยงานของรัฐ ตองจัดใหมีทั้งขอมลู ติดตอ ไปยังสถานที่ทำการงานปกติและขอมูลติดตอผานทางออนไลนดวย ขอมูลติดตอที่หนวยงานของรัฐควรจะ ระบเุ อาไว อยา งนอยตองประกอบดวยขอ มูลดังตอไปน้ี (ก) ชือ่ และท่ีอยู (ข) หมายเลขโทรศัพท (ค) หมายเลขโทรสาร (ง) ที่อยูจดหมายอิเลก็ ทรอนิกส ขอ ๓ ใหหนวยงานของรัฐจัดทำนโยบายและแนวปฏิบัติในการคุมครองขอมูลสวนบุคคลภายใต หลักการตามขอ ๑ และขอ ๒ สำหรับหนวยงานของรัฐที่ไดรับทรัสตมารคจากหนวยงาน หรือองคกรอื่น ที่ทำหนาที่ออกทรัสตมารค (Trust Mark) ใหหนวยงานของรัฐนั้นแสดงนโยบายและแนวปฏิบัติ ในการคุมครองขอมูลสวนบุคคลที่ไดรับการรับรองจากหนวยงานหรือองคกรที่ออกหรือรับรองทรัสตมารค ดังกลา วตอคณะกรรมการธรุ กรรมทางอิเล็กทรอนิกส ประกอบดว ย ทรัสตมารค (Trust Mark) ตามความในวรรคแรกหมายถึง เครื่องหมายที่รับรองวาหนวยงาน ดังกลาวมีมาตรฐานในการคุมครองขอมูลสวนบุคคลของประชาชนในการทำธุรกรรมทางอิเล็กทรอนิกส ซึ่งออกโดยหนวยงานหรือองคกรที่จัดตั้งโดยชอบดวยกฎหมายเพื่อทำหนาที่ในการตรวจสอบและรับรอง การออกทรสั ตมารค ใหก ับผูขอรับการรับรอง ขอ ๔ ใหหนวยงานของรัฐกำหนดชื่อเรียกนโยบายการคุมครองขอมูลสวนบุคคลไวใหชัดเจน และในกรณีที่มีการปรับปรุงนโยบาย ใหระบุวัน เวลา และป ซึ่งจะมีการปรับปรุงหรือเปลี่ยนแปลงนโยบาย ดังกลาวไวดวย ขอ ๕๒ ประกาศน้ใี หใ ชบ งั คบั ต้ังแตว ันถดั จากวันประกาศในราชกิจจานเุ บกษาเปนตนไป ประกาศ ณ วันท่ี ๑ ตลุ าคม พ.ศ. ๒๕๕๓ จตุ ิ ไกรฤกษ รัฐมนตรวี าการกระทรวงเทคโนโลยีสารสนเทศและการสอ่ื สาร ประธานกรรมการธุรกรรมทางอิเล็กทรอนิกส ๒ ราชกิจจานเุ บกษา เลม ๑๒๗/ตอนพเิ ศษ ๑๒๖ ง/หนา ๓๑/๑ พฤศจกิ ายน ๒๕๕๓ 152 สำ�นักงานพฒั นาธรุ กรรมทางอิเลก็ ทรอนกิ ส์

แกคำผิด ประกาศคณะกรรมการธรุ กรรมทางอเิ ลก็ ทรอนกิ ส๓ เรื่อง แนวนโยบายและแนวปฏิบัติในการคุมครองขอมูลสวนบุคคลของหนวยงานของรัฐ พ.ศ. ๒๕๕๓ ซง่ึ ประกาศในราชกจิ จานุเบกษา ฉบบั ประกาศและงานทว่ั ไป เลม ๑๒๗ ตอนพเิ ศษ ๑๒๖ ง วนั ที่ ๑ พฤศจิกายน ๒๕๕๓ หนา ๓๖ บรรทัดที่ ๒ คำวา “ใหหนวยงานของรัฐซึ่งรวบรวมขอมูลสวนบุคคล ผา นทางจัดใหม ีวิธีการรักษาความมั่นคง” ใหแ กเ ปน “ใหหนวยงานของรัฐ ซง่ึ รวบรวมขอมูลสว นบคุ คลผา นทางเวบ็ ไซตจ ดั ใหมีวธิ ีการรกั ษาความม่ันคง” ๓ ราชกิจจานุเบกษา เลม ๑๒๗/ตอนพิเศษ ๑๓๔ ง/หนา ๙๙/๑๙ พฤศจกิ ายน ๒๕๕๓ 153 สำ�นักงานพัฒนาธรุ กรรมทางอิเล็กทรอนิกส์

154 สำ�นกั งานพฒั นาธรุ กรรมทางอิเล็กทรอนกิ ส์

พระราชกฤษฎกี า วาดว ยวธิ ีการแบบปลอดภัยในการทำธรุ กรรมทางอเิ ล็กทรอนิกส พ.ศ. ๒๕๕๓ สำ�นกั งานพฒั นาธรุ กรรมทางอิเลก็ ทรอนิกส์ 155

ชื่อกฎหมาย พระราชกฤษฎีกาวา ดว ยวิธีการแบบปลอดภยั ในการทำธรุ กรรมทางอเิ ล็กทรอนิกส พ.ศ. ๒๕๕๓ ประกาศในราชกจิ จานุเบกษา เลม ๑๒๗ / ตอนท่ี ๕๓ ก / หนา ๑๓ / วนั ที่ ๓ กันยายน ๒๕๕๓ เรมิ่ บงั คบั ใช วนั ที่ ๒ มีนาคม ๒๕๕๔ ผูรกั ษาการ รฐั มนตรีวา การกระทรวงดจิ ิทัลเพอ่ื เศรษฐกจิ และสงั คม 156 ส�ำ นักงานพฒั นาธรุ กรรมทางอิเล็กทรอนกิ ส์

เลม ๑๒๗ ตอนที่ ๕๓ ก หนา ๑๓ ๓ กนั ยายน ๒๕๕๓ ราชกิจจานุเบกษา พระราชกฤษฎกี า วา ดวยวิธกี ารแบบปลอดภัยในการทําธุรกรรมทางอเิ ล็กทรอนิกส พ.ศ. ๒๕๕๓ ภูมพิ ลอดุลยเดช ป.ร. ใหไว ณ วนั ท่ี ๒๓ สงิ หาคม พ.ศ. ๒๕๕๓ เปนปท่ี ๖๕ ในรัชกาลปจจบุ นั พระบาทสมเด็จพระปรมินทรมหาภูมิพลอดุลยเดช มีพระบรมราชโองการโปรดเกลา ฯ ใหประกาศวา โดยทเ่ี ปน การสมควรกาํ หนดวธิ กี ารแบบปลอดภยั ในการทําธรุ กรรมทางอเิ ล็กทรอนิกส อาศยั อํานาจตามความในมาตรา ๑๘๗ ของรัฐธรรมนูญแหงราชอาณาจักรไทย และมาตรา ๒๕ แหง พระราชบัญญัติวาดวยธุรกรรมทางอิเล็กทรอนิกส พ.ศ. ๒๕๔๔ อันเปนกฎหมายที่มีบทบัญญัติ บางประการเก่ียวกับการจํากัดสิทธิและเสรีภาพของบุคคล ซ่ึงมาตรา ๒๙ ประกอบกับมาตรา ๔๓ ของรัฐธรรมนูญแหงราชอาณาจักรไทย บัญญัติใหกระทําไดโดยอาศัยอํานาจตามบทบัญญัติ แหง กฎหมาย จึงทรงพระกรุณาโปรดเกลา ฯ ใหตราพระราชกฤษฎกี าขน้ึ ไว ดงั ตอ ไปนี้ มาตรา ๑ พระราชกฤษฎกี าน้เี รียกวา “พระราชกฤษฎกี าวา ดวยวิธีการแบบปลอดภัยในการ ทําธุรกรรมทางอเิ ลก็ ทรอนกิ ส พ.ศ. ๒๕๕๓” มาตรา ๒ พระราชกฤษฎีกาน้ีใหใชบังคับเม่ือพนกําหนดหน่ึงรอยแปดสิบวันนับแต วันประกาศในราชกจิ จานเุ บกษาเปนตนไป สำ�นกั งานพฒั นาธรุ กรรมทางอิเลก็ ทรอนกิ ส์ 157

เลม ๑๒๗ ตอนท่ี ๕๓ ก หนา ๑๔ ๓ กันยายน ๒๕๕๓ ราชกิจจานุเบกษา มาตรา ๓ ในพระราชกฤษฎกี าน้ี “วิธีการแบบปลอดภัย” หมายความวา วิธีการแบบปลอดภัยในการทําธุรกรรมทาง อเิ ลก็ ทรอนกิ ส “ทรพั ยส ินสารสนเทศ” หมายความวา (๑) ระบบเครือขายคอมพิวเตอร ระบบคอมพิวเตอร ระบบงานคอมพิวเตอร และระบบ สารสนเทศ (๒) ตัวเครอ่ื งคอมพิวเตอร อุปกรณค อมพิวเตอร เครื่องบันทกึ ขอ มลู และอปุ กรณอ นื่ ใด (๓) ขอ มลู สารสนเทศ ขอ มูลอเิ ล็กทรอนกิ ส และขอมลู คอมพวิ เตอร “ความม่ันคงปลอดภัยของระบบสารสนเทศ” (information security) หมายความวา การปอ งกันทรัพยส ินสารสนเทศจากการเขา ถงึ ใช เปดเผย ขดั ขวาง เปลยี่ นแปลงแกไข ทําใหสูญหาย ทาํ ใหเ สยี หาย ถกู ทาํ ลาย หรอื ลว งรูโดยมชิ อบ “ความมั่นคงปลอดภัยดานบริหารจัดการ” (administrative security) หมายความวา การกระทําในระดับบริหารโดยการจัดใหมีนโยบาย มาตรการ หลักเกณฑ หรือกระบวนการใด ๆ เพื่อนํามาใชใ นกระบวนการคดั เลือก การพัฒนา การนาํ ไปใช หรือการบาํ รงุ รักษาทรพั ยสินสารสนเทศ ใหมีความม่นั คงปลอดภยั “ความม่ันคงปลอดภัยดานกายภาพ” (physical security) หมายความวา การจัดใหมีนโยบาย มาตรการ หลักเกณฑ หรือกระบวนการใด ๆ เพื่อนํามาใชในการปองกันทรัพยสินสารสนเทศ สิ่งปลกู สราง หรือทรัพยสินอืน่ ใดจากการคกุ คามของบุคคล ภยั ธรรมชาติ อุบัติภยั หรอื ภัยทางกายภาพอนื่ “การรักษาความลับ” (confidentiality) หมายความวา การรักษาหรือสงวนไวเพ่ือปองกัน ระบบเครอื ขายคอมพวิ เตอร ระบบคอมพวิ เตอร ระบบงานคอมพิวเตอร ระบบสารสนเทศ ขอมูลสารสนเทศ ขอมูลอิเล็กทรอนิกส หรือขอมูลคอมพิวเตอรจากการเขาถึง ใช หรือเปดเผยโดยบุคคลซึ่งไมไดรับ อนุญาต “การรกั ษาความครบถว น” (integrity) หมายความวา การดําเนินการเพ่ือใหขอมูลสารสนเทศ ขอ มูลอเิ ล็กทรอนกิ ส หรือขอ มลู คอมพิวเตอรอ ยใู นสภาพสมบูรณข ณะทมี่ กี ารใชง าน ประมวลผล โอน หรือเก็บรักษา เพ่ือมิใหมีการเปลี่ยนแปลงแกไข ทําใหสูญหาย ทําใหเสียหาย หรือถูกทําลายโดย ไมไดร ับอนญุ าตหรือโดยมิชอบ 158 ส�ำ นักงานพฒั นาธรุ กรรมทางอิเล็กทรอนิกส์

เลม ๑๒๗ ตอนที่ ๕๓ ก หนา ๑๕ ๓ กนั ยายน ๒๕๕๓ ราชกจิ จานุเบกษา “การรักษาสภาพพรอมใชงาน” (availability) หมายความวา การจัดทําใหทรัพยสิน สารสนเทศสามารถทํางาน เขาถึง หรือใชงานไดในเวลาท่ีตอ งการ “โครงสรางพืน้ ฐานสําคญั ของประเทศ” (critical infrastructure) หมายความวา บรรดาหนวยงาน หรือองคกร หรือสวนงานหน่ึงสวนงานใดของหนวยงานหรือองคกร ซ่ึงธุรกรรมทางอิเล็กทรอนิกส ของหนวยงานหรือองคกร หรือสวนงานของหนวยงานหรือองคกรน้ัน มีผลเกี่ยวเนื่องสําคัญตอ ความมัน่ คงหรือความสงบเรยี บรอยของประเทศ หรอื ตอสาธารณชน มาตรา ๔ วิธีการแบบปลอดภยั มีสามระดบั ดังตอไปน้ี (๑) ระดับเครงครดั (๒) ระดับกลาง (๓) ระดบั พื้นฐาน มาตรา ๕ วธิ ีการแบบปลอดภัยตามมาตรา ๔ ใหใชสําหรับการทําธุรกรรมทางอิเล็กทรอนิกส ดงั ตอ ไปนี้ (๑) ธุรกรรมทางอิเล็กทรอนิกสซ่ึงมีผลกระทบตอความมั่นคงหรือความสงบเรียบรอย ของประเทศ หรือตอ สาธารณชน (๒) ธุรกรรมทางอิเล็กทรอนิกสของหนวยงานหรือองคกร หรือสวนงานของหนวยงาน หรอื องคก รท่ถี อื เปน โครงสรา งพน้ื ฐานสําคัญของประเทศ มาตรา ๖ ใหคณะกรรมการประกาศกําหนดประเภทของธุรกรรมทางอิเล็กทรอนิกส หรอื หลกั เกณฑการประเมนิ ระดับผลกระทบของธรุ กรรมทางอิเลก็ ทรอนกิ สต ามมาตรา ๕ (๑) ซึ่งตอง กระทําตามวิธีการแบบปลอดภัยในระดับเครงครัด ระดับกลาง หรือระดับพ้ืนฐาน แลวแตกรณี ท้ังน้ี โดยใหคํานงึ ถึงระดับความเส่ยี งตอความม่ันคงปลอดภัยของระบบสารสนเทศ ผลกระทบตอมูลคา และความเสยี หายทีผ่ ใู ชบริการอาจไดร ับ รวมทัง้ ผลกระทบตอ เศรษฐกจิ และสังคมของประเทศ ใหคณะกรรมการประกาศกําหนดรายชื่อหรือประเภทของหนวยงานหรือองคกร หรือสวนงาน ของหนวยงานหรือองคก รทถี่ ือเปนโครงสรางพน้ื ฐานสาํ คัญของประเทศตามมาตรา ๕ (๒) ซึ่งตองกระทํา ตามวิธีการแบบปลอดภยั ในระดบั เครง ครัด ระดับกลาง หรือระดบั พน้ื ฐาน แลวแตก รณี มาตรา ๗ วิธีการแบบปลอดภัยตามมาตรา ๔ ในแตละระดับ ใหมีมาตรฐานการรักษา ค ว า ม มั่ น ค ง ป ล อ ด ภั ย ข อ ง ร ะ บ บ ส า ร ส น เ ท ศ ต า ม ห ลั ก เ ก ณ ฑ ท่ี ค ณ ะ ก ร ร ม ก า ร ป ร ะ ก า ศ กํ า ห น ด สำ�นกั งานพัฒนาธรุ กรรมทางอิเลก็ ทรอนิกส์ 159

เลม ๑๒๗ ตอนที่ ๕๓ ก หนา ๑๖ ๓ กนั ยายน ๒๕๕๓ ราชกิจจานเุ บกษา โดยมาตรฐานดังกลาวสําหรับวิธีการแบบปลอดภัยในแตละระดับนั้น อาจมีการกําหนดหลักเกณฑ ทแ่ี ตกตางกันตามความจาํ เปน แตอยางนอยตอ งมกี ารกาํ หนดเกยี่ วกับหลักเกณฑ ดงั ตอ ไปนี้ (๑) การสรา งความมั่นคงปลอดภยั ดานบรหิ ารจัดการ (๒) การจัดโครงสรางดานความมั่นคงปลอดภัยของระบบสารสนเทศ ในสวนการบริหาร จัดการดา นความม่ันคงปลอดภยั ของระบบสารสนเทศ ทัง้ ภายในและภายนอกหนวยงานหรอื องคก ร (๓) การบริหารจดั การทรพั ยส ินสารสนเทศ (๔) การสรางความม่ันคงปลอดภัยของระบบสารสนเทศดา นบคุ ลากร (๕) การสรางความมัน่ คงปลอดภัยดานกายภาพและสภาพแวดลอ ม (๖) การบริหารจัดการดานการสื่อสารและการดําเนินงานของระบบเครือขายคอมพิวเตอร ระบบคอมพวิ เตอร ระบบงานคอมพิวเตอร และระบบสารสนเทศ (๗) การควบคมุ การเขา ถึงระบบเครอื ขายคอมพิวเตอร ระบบคอมพิวเตอร ระบบงานคอมพิวเตอร ระบบสารสนเทศ ขอ มูลสารสนเทศ ขอมลู อเิ ลก็ ทรอนกิ ส และขอ มลู คอมพิวเตอร (๘) การจัดหาหรือจัดใหมี การพัฒนา และการบํารุงรักษาระบบเครือขายคอมพิวเตอร ระบบคอมพวิ เตอร ระบบงานคอมพิวเตอร และระบบสารสนเทศ (๙) การบรหิ ารจดั การสถานการณด า นความมั่นคงปลอดภัยที่ไมพึงประสงค หรือไมอ าจคาดคดิ (๑๐) การบรหิ ารจัดการดานการบรกิ ารหรือการดําเนินงานของหนวยงานหรือองคกรเพื่อใหมี ความตอ เนอื่ ง (๑๑) การตรวจสอบและการประเมินผลการปฏิบัติตามนโยบาย มาตรการ หลักเกณฑ หรอื กระบวนการใด ๆ รวมทั้งขอ กาํ หนดดา นความมน่ั คงปลอดภยั ของระบบสารสนเทศ มาตรา ๘ เพ่ือประโยชนในการเปนแนวทางสําหรับการจัดทํานโยบายหรือแนวปฏิบัติ ในการรักษาความม่ันคงปลอดภัยของระบบสารสนเทศของหนวยงานหรือองคกร คณะกรรมการ อาจระบหุ รอื แสดงตัวอยางมาตรฐานทางเทคโนโลยซี ่งึ เปนที่ยอมรับเปนการทั่วไปวาเปนมาตรฐานทาง เทคโนโลยที เ่ี ชือ่ ถอื ไดไ วใ นประกาศตามมาตรา ๗ ดวยกไ็ ด มาตรา ๙ ธรุ กรรมทางอิเล็กทรอนกิ สใ ดไดกระทําโดยวิธีการที่มีการรักษาความมั่นคงปลอดภัย ของระบบสารสนเทศในระดับท่ีเทียบเทาหรือไมต่ํากวามาตรฐานความมั่นคงปลอดภัยของระบบ สารสนเทศตามประกาศตามมาตรา ๗ ซงึ่ ไดกําหนดไวส าํ หรบั ระดับของวิธีการแบบปลอดภัยในการทํา 160 ส�ำ นกั งานพฒั นาธรุ กรรมทางอิเลก็ ทรอนิกส์

เลม ๑๒๗ ตอนที่ ๕๓ ก หนา ๑๗ ๓ กันยายน ๒๕๕๓ ราชกิจจานเุ บกษา ธุรกรรมทางอิเล็กทรอนิกสนั้น ใหถ ือวาธุรกรรมทางอิเล็กทรอนิกสดังกลาวไดกระทําตามวิธีการท่ีเชื่อถือได ตามมาตรา ๒๕ แหงพระราชบัญญัตวิ าดวยธรุ กรรมทางอเิ ลก็ ทรอนกิ ส พ.ศ. ๒๕๔๔ มาตรา ๑๐ ในการทําธรุ กรรมทางอเิ ล็กทรอนิกสตามวิธีการแบบปลอดภัยตามพระราชกฤษฎีกานี้ ผกู ระทําตอ งคํานึงถึงหลักการพ้ืนฐานของการรักษาความลับ การรักษาความครบถวน และการรักษา สภาพพรอมใชงาน รวมทั้งตองปฏิบัติตามนโยบายและแนวปฏิบัติในการควบคุมการปฏิบัติงานและ การรักษาความมนั่ คงปลอดภัยของระบบสารสนเทศของหนว ยงานหรอื องคก รนั้นดว ย มาตรา ๑๑ ในกรณีที่คณะกรรมการเห็นวาหนวยงานหรือองคกรใด หรือสวนงานหนึ่ง สวนงานใดของหนวยงานหรือองคกรใด มีการจัดทํานโยบายและแนวปฏิบัติในการรักษาความม่ันคง ปลอดภัยของระบบสารสนเทศโดยสอดคลองกับวิธีการแบบปลอดภัยตามพระราชกฤษฎีกาน้ี คณะกรรมการอาจประกาศเผยแพรรายช่ือหนวยงานหรือองคกร หรือสวนงานของหนวยงานหรือองคกรน้ัน เพ่อื ใหสาธารณชนทราบเปน การท่ัวไปกไ็ ด มาตรา ๑๒ ใหคณะกรรมการพิจารณาทบทวนหลักเกณฑเก่ียวกับวิธีการแบบปลอดภัย ตามพระราชกฤษฎีกานี้และประกาศท่อี อกตามพระราชกฤษฎกี านี้ รวมทัง้ กฎหมายอืน่ ท่ีเก่ียวขอ ง อยางนอ ย ทกุ รอบระยะเวลาสองปน ับแตวันท่ีพระราชกฤษฎีกาน้ีใชบังคับ ท้ังนี้ โดยพิจารณาถึงความเหมาะสม และความสอดคลอ งกบั เทคโนโลยที ีไ่ ดม ีการพัฒนาหรอื เปลย่ี นแปลงไป และจดั ทําเปน รายงานเสนอตอ คณะรฐั มนตรเี พ่ือทราบตอไป มาตรา ๑๓ ใหนายกรัฐมนตรรี กั ษาการตามพระราชกฤษฎีกาน้ี ผรู ับสนองพระบรมราชโองการ อภิสทิ ธิ์ เวชชาชวี ะ นายกรัฐมนตรี ส�ำ นกั งานพัฒนาธรุ กรรมทางอิเล็กทรอนกิ ส์ 161

เลม ๑๒๗ ตอนที่ ๕๓ ก หนา ๑๘ ๓ กนั ยายน ๒๕๕๓ ราชกจิ จานุเบกษา หมายเหตุ :- เหตผุ ลในการประกาศใชพระราชกฤษฎีกาฉบับน้ี คือ เนื่องจากในปจจุบันเทคโนโลยีสารสนเทศ และการสือ่ สารไดเขามามีบทบาทสําคัญตอการดําเนินการของท้ังภาครัฐและภาคเอกชน โดยมีการทําธุรกรรม ทางอเิ ล็กทรอนิกสกันอยา งแพรหลาย จึงสมควรสงเสริมใหมีการบริหารจัดการและรักษาความมั่นคงปลอดภัย ของทรัพยสินสารสนเทศในการทําธุรกรรมทางอิเล็กทรอนิกส เพ่ือใหมีการยอมรับและเช่ือม่ันในขอมูล อิเล็กทรอนิกสมากยิ่งข้ึน ประกอบกับมาตรา ๒๕ แหงพระราชบัญญัติวาดวยธุรกรรมทางอิเล็กทรอนิกส พ.ศ. ๒๕๔๔ บัญญัติใหธุรกรรมทางอิเล็กทรอนิกสใดที่ไดกระทําตามวิธีการแบบปลอดภัยที่กําหนดใน พระราชกฤษฎีกาแลว ใหสนั นิษฐานวาเปนวธิ กี ารท่เี ชอ่ื ถือได จงึ จําเปน ตอ งตราพระราชกฤษฎกี านี้ 162 ส�ำ นักงานพฒั นาธรุ กรรมทางอิเลก็ ทรอนกิ ส์

สำ�นกั งานพฒั นาธรุ กรรมทางอิเลก็ ทรอนกิ ส์ 163

164 สำ�นกั งานพฒั นาธรุ กรรมทางอิเล็กทรอนกิ ส์

ประกาศคณะกรรมการธรุ กรรมทางอเิ ล็กทรอนกิ ส เรือ่ ง ประเภทของธรุ กรรมทางอิเลก็ ทรอนิกส และหลักเกณฑ การประเมนิ ระดับผลกระทบของธรุ กรรมทางอิเลก็ ทรอนิกส ตามวิธกี ารแบบปลอดภยั พ.ศ. ๒๕๕๕ ส�ำ นักงานพฒั นาธรุ กรรมทางอิเล็กทรอนกิ ส์ 165

ช่อื กฎหมาย ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส เรื่อง ประเภทของธุรกรรมทางอิเล็กทรอนิกส และหลักเกณฑการประเมินระดับผลกระทบของธุรกรรมทางอิเล็กทรอนิกสตามวิธีการแบบปลอดภัย พ.ศ. ๒๕๕๕ ประกาศในราชกิจจานุเบกษา เลม ๑๒๙ / ตอนพิเศษ ๑๙๑ ง / หนา ๓๙ / วนั ท่ี ๑๙ ธนั วาคม ๒๕๕๕ เร่มิ บังคบั ใช วนั ท่ี ๑๔ ธันวาคม ๒๕๕๖ 166 ส�ำ นักงานพัฒนาธรุ กรรมทางอิเล็กทรอนิกส์

เล่ม ๑๒๙ ตอนพิเศษ ๑๙๑ ง หน้า ๓๙ ๑๙ ธนั วาคม ๒๕๕๕ ราชกิจจานุเบกษา ประกาศคณะกรรมการธุรกรรมทางอิเลก็ ทรอนกิ ส์ เร่อื ง ประเภทของธรุ กรรมทางอเิ ลก็ ทรอนิกส์ และหลักเกณฑ์การประเมินระดับผลกระทบของ ธรุ กรรมทางอิเล็กทรอนิกส์ตามวธิ ีการแบบปลอดภัย พ.ศ. ๒๕๕๕ โดยท่พี ระราชกฤษฎกี าวา่ ด้วยวิธีการแบบปลอดภัยในการทําธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. ๒๕๕๓ กําหนดให้คณะกรรมการประกาศกําหนดประเภทของธุรกรรมทางอิเล็กทรอนิกส์ หรือหลักเกณฑ์ การประเมินระดับผลกระทบของธรุ กรรมทางอิเล็กทรอนิกส์ เพื่อใหก้ ารทําธรุ กรรมทางอเิ ล็กทรอนิกส์ใด ท่ไี ดก้ ระทําตามวิธีการแบบปลอดภัยทคี่ ณะกรรมการกาํ หนดเป็นวิธกี ารที่เช่ือถอื ได้ อาศยั อํานาจตามความในมาตรา ๖ วรรคหน่ึง แห่งพระราชกฤษฎีกาว่าด้วยวิธีการแบบปลอดภัย ในการทาํ ธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. ๒๕๕๓ คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์จึงออก ประกาศเพ่ือกําหนดประเภทของธุรกรรมทางอิเล็กทรอนิกส์ และหลักเกณฑ์การประเมินระดับ ผลกระทบของธุรกรรมทางอิเลก็ ทรอนิกสต์ ามวิธกี ารแบบปลอดภยั ไว้ ดังนี้ ข้อ ๑ ประกาศนี้เรียกว่า “ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ เรื่อง ประเภทของธุรกรรมทางอิเล็กทรอนิกส์ และหลักเกณฑ์การประเมินระดับผลกระทบของธุรกรรมทาง อิเลก็ ทรอนิกส์ตามวธิ กี ารแบบปลอดภัย พ.ศ. ๒๕๕๕” ข้อ ๒ ใหธ้ ุรกรรมทางอิเลก็ ทรอนกิ สใ์ นประเภทดังต่อไปนี้ ใช้วิธีการแบบปลอดภัยในระดับ เครง่ ครดั (๑) ธุรกรรมทางอิเล็กทรอนิกส์ด้านการชําระเงินทางอิเล็กทรอนิกส์ตามพระราชกฤษฎีกา วา่ ดว้ ยการควบคุมดแู ลธุรกจิ บริการการชําระเงินทางอเิ ลก็ ทรอนิกส์ พ.ศ. ๒๕๕๑ (๒) ธุรกรรมทางอิเล็กทรอนิกส์ด้านการเงินของธนาคารพาณิชย์ตามกฎหมายว่าด้วยธุรกิจ สถาบนั การเงิน (๓) ธรุ กรรมทางอเิ ล็กทรอนกิ สด์ า้ นประกันภัยตามกฎหมายว่าดว้ ยประกันชวี ิตและประกนั วนิ าศภยั (๔) ธรุ กรรมทางอิเล็กทรอนิกส์ด้านหลักทรัพย์ของผู้ประกอบธุรกิจหลักทรัพย์ตามกฎหมาย ว่าดว้ ยหลักทรพั ย์และตลาดหลกั ทรพั ย์ (๕) ธุรกรรมทางอิเล็กทรอนิกส์ท่ีจัดเก็บ รวบรวม และให้บริการข้อมูลของบุคคลหรือทรัพย์สิน หรอื ทะเบียนตา่ ง ๆ ท่เี ปน็ เอกสารมหาชนหรอื ทเี่ ปน็ ข้อมลู สาธารณะ (๖) ธรุ กรรมทางอเิ ลก็ ทรอนิกสใ์ นการให้บรกิ ารดา้ นสาธารณูปโภคและบริการสาธารณะท่ีต้อง ดาํ เนนิ การอยา่ งตอ่ เนื่องตลอดเวลา ขอ้ ๓ ในการประเมินระดับผลกระทบของธุรกรรมทางอิเล็กทรอนิกส์ ให้หน่วยงาน หรือองคก์ รยดึ ถอื หลกั การประเมินความเสยี่ งของระบบเทคโนโลยีสารสนเทศซ่งึ เป็นท่ียอมรับเป็นการทั่วไป วา่ เช่อื ถือไดเ้ ป็นแนวทางในการประเมินระดบั ผลกระทบ ส�ำ นักงานพฒั นาธรุ กรรมทางอิเล็กทรอนิกส์ 167

เลม่ ๑๒๙ ตอนพเิ ศษ ๑๙๑ ง หนา้ ๔๐ ๑๙ ธนั วาคม ๒๕๕๕ ราชกจิ จานุเบกษา ข้อ ๔ การประเมินระดับผลกระทบของธุรกรรมทางอิเล็กทรอนิกส์ จะต้องประเมิน ผลกระทบในดา้ นต่อไปน้ีด้วย (๑) ผลกระทบด้านมลู คา่ ความเสียหายทางการเงนิ (๒) ผลกระทบต่อจํานวนผใู้ ช้บริการหรือผู้มีส่วนได้เสียท่ีอาจได้รับอันตรายต่อชีวิต ร่างกาย หรืออนามยั (๓) ผลกระทบต่อจํานวนผู้ใช้บริการหรือผู้มีส่วนได้เสียที่อาจได้รับความเสียหายอ่ืนใด นอกจาก (๒) (๔) ผลกระทบด้านความมัน่ คงของรัฐ ขอ้ ๕ ในการประเมินผลกระทบด้านมูลค่าความเสียหายทางการเงิน ให้จัดเป็นสามระดับ โดยมเี กณฑใ์ นการประเมิน ดังนี้ (๑) ในกรณีมูลค่าความเสยี หายทางการเงินไม่เกินหน่งึ ล้านบาท ให้จดั เปน็ ผลกระทบระดับตํ่า (๒) ในกรณมี ลู ค่าความเสียหายทางการเงินเกินกว่าหน่ึงล้านบาทแต่ไม่เกินหนึ่งร้อยล้านบาท ใหจ้ ดั เปน็ ผลกระทบระดบั กลาง (๓) ในกรณีมูลค่าความเสียหายทางการเงินเกินกว่าหน่ึงร้อยล้านบาทขึ้นไป ให้จัดเป็น ผลกระทบระดับสูง ในการประเมินมูลค่าความเสียหายทางการเงินตามวรรคหนึ่ง ให้คํานวณจากความเสียหาย ท่ีจะเกิดข้ึนในหน่ึงวันและคํานวณความเสียหายโดยตรงเท่านั้น ขอ้ ๖ ในการประเมินผลกระทบต่อจาํ นวนผู้ใชบ้ รกิ ารหรือผมู้ สี ่วนได้เสียท่อี าจได้รับอันตรายต่อชีวิต ร่างกายหรืออนามัย ให้จัดเปน็ สามระดับ โดยมีเกณฑ์ในการประเมิน ดงั นี้ (๑) ในกรณที ไ่ี มม่ ีผใู้ ชบ้ ริการหรือผู้มีส่วนได้เสียได้รับผลกระทบต่อชีวิต ร่างกายหรืออนามัย ใหจ้ ดั เป็นผลกระทบระดับตาํ่ (๒) ในกรณจี าํ นวนผู้ใชบ้ รกิ ารหรอื ผูม้ ีสว่ นได้เสียไดร้ บั ผลกระทบต่อร่างกายหรืออนามัยต้ังแต่ หน่งึ คน แตไ่ มเ่ กินหน่ึงพันคน ให้จดั เปน็ ผลกระทบระดบั กลาง (๓) ในกรณีจํานวนผู้ใช้บริการหรือผู้มีส่วนได้เสียได้รับผลกระทบต่อร่างกายหรืออนามัย เกนิ กวา่ หน่ึงพันคน หรอื ต่อชวี ติ ตงั้ แตห่ น่งึ คน ใหจ้ ดั เปน็ ผลกระทบระดับสูง ในการประเมินผลกระทบตอ่ จํานวนผู้ใช้บริการหรือผู้มีส่วนได้เสียที่อาจได้รับอันตรายต่อชีวิต ร่างกายหรอื อนามยั ตามวรรคหนงึ่ ให้คํานวณจากจํานวนของบุคคลดังกล่าวที่ไดร้ ับผลกระทบในหนึ่งวัน ข้อ ๗ ในการประเมินผลกระทบต่อจํานวนผู้ใช้บริการหรือผู้มีส่วนได้เสียที่อาจได้รับ ความเสยี หายอ่นื นอกจากขอ้ ๔ (๒) ให้จัดเปน็ สามระดับ โดยมเี กณฑใ์ นการประเมิน ดงั น้ี (๑) ในกรณีจํานวนผู้ใช้บริการหรือผู้มีส่วนได้เสียที่อาจได้รับผลกระทบไม่เกินหน่ึงหม่ืนคน ใหจ้ ดั เปน็ ผลกระทบระดบั ตํ่า 168 ส�ำ นักงานพัฒนาธรุ กรรมทางอิเล็กทรอนกิ ส์

เลม่ ๑๒๙ ตอนพิเศษ ๑๙๑ ง หน้า ๔๑ ๑๙ ธนั วาคม ๒๕๕๕ ราชกจิ จานุเบกษา (๒) ในกรณีจํานวนผู้ใช้บริการหรือผู้มีส่วนได้เสียที่อาจได้รับผลกระทบเกินกว่าหน่ึงหม่ืนคน แตไ่ มเ่ กินหน่งึ แสนคน ใหจ้ ดั เป็นผลกระทบระดับกลาง (๓) ในกรณีจํานวนผู้ใช้บริการหรือผู้มีส่วนได้เสียที่อาจได้รับผลกระทบเกินกว่าหน่ึงแสนคน ใหจ้ ดั เป็นผลกระทบระดบั สูง ในการประเมินผลกระทบต่อจํานวนผู้ใช้บริการหรือผู้มีส่วนได้เสียที่อาจได้รับความเสียหาย ตามวรรคหนึ่ง ใหค้ ํานวณจากจาํ นวนของบุคคลดังกล่าวที่ได้รับผลกระทบ ในหนึ่งวันและคํานวณความเสียหาย โดยตรงเท่านัน้ ข้อ ๘ ในการประเมนิ ผลกระทบด้านความม่ันคงของรัฐ ให้จัดเป็นสองระดับ โดยมีเกณฑ์ ในการประเมิน ดังนี้ (๑) ในกรณไี มม่ ีผลกระทบตอ่ ความมนั่ คงของรัฐ ใหจ้ ัดเปน็ ผลกระทบระดบั ตํา่ (๒) ในกรณีมผี ลกระทบตอ่ ความม่ันคงของรฐั ใหจ้ ดั เป็นผลกระทบระดับสงู ข้อ ๙ หากปรากฏว่ามีผลประเมินท่ีเป็นผลกระทบในระดับสูงด้านหนึ่งด้านใดให้ธุรกรรม ทางอิเล็กทรอนิกสน์ ้ันต้องใชว้ ิธกี ารแบบปลอดภัยในระดบั เครง่ ครัด และหากมีผลกระทบในระดับกลาง อยา่ งนอ้ ยสองดา้ นข้นึ ไปให้ใช้วิธกี ารแบบปลอดภัยในระดับกลางข้นึ ไป ในกรณีที่ไม่เป็นไปตามวรรคหน่ึง ให้ธุรกรรมทางอิเล็กทรอนิกส์ใช้วิธีการแบบปลอดภัย ในระดบั ไม่ตาํ่ กว่าระดบั พื้นฐาน ข้อ ๑๐ ประกาศน้ีให้ใช้บังคับเม่ือพ้นกําหนดสามร้อยหกสิบวัน นับแต่วันประกาศใน ราชกิจจานเุ บกษาเปน็ ตน้ ไป ประกาศ ณ วันท่ี ๑๓ พฤศจิกายน พ.ศ. ๒๕๕๕ นาวาอากาศเอก อนดุ ิษฐ์ นาครทรรพ รัฐมนตรวี ่าการกระทรวงเทคโนโลยีสารสนเทศและการสอ่ื สาร ประธานกรรมการธุรกรรมทางอเิ ล็กทรอนกิ ส์ ส�ำ นักงานพัฒนาธรุ กรรมทางอิเลก็ ทรอนิกส์ 169

170 สำ�นกั งานพฒั นาธรุ กรรมทางอิเล็กทรอนกิ ส์

ประกาศคณะกรรมการธุรกรรมทางอเิ ลก็ ทรอนกิ ส เร่อื ง มาตรฐานการรักษาความม่ันคงปลอดภยั ของระบบสารสนเทศ ตามวิธีการแบบปลอดภยั พ.ศ. ๒๕๕๕ สำ�นักงานพฒั นาธรุ กรรมทางอิเล็กทรอนิกส์ 171

ชอื่ กฎหมาย ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส เรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัย ของระบบสารสนเทศตามวิธีการแบบปลอดภัย พ.ศ. ๒๕๕๕ ประกาศในราชกิจจานเุ บกษา เลม ๑๒๙ / ตอนพเิ ศษ ๑๙๑ ง / หนา ๔๒ / วนั ท่ี ๑๙ ธันวาคม ๒๕๕๕ เริม่ บังคบั ใช วนั ที่ ๑๔ ธนั วาคม ๒๕๕๖ 172 ส�ำ นักงานพัฒนาธรุ กรรมทางอิเลก็ ทรอนกิ ส์

เล่ม ๑๒๙ ตอนพิเศษ ๑๙๑ ง หน้า ๔๒ ๑๙ ธันวาคม ๒๕๕๕ ราชกจิ จานเุ บกษา ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนกิ ส์ เร่อื ง มาตรฐานการรกั ษาความม่นั คงปลอดภัยของระบบสารสนเทศตามวิธีการแบบปลอดภยั พ.ศ. ๒๕๕๕ โดยทีพ่ ระราชกฤษฎีกาวา่ ดว้ ยวธิ กี ารแบบปลอดภัยในการทําธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. ๒๕๕๓ กําหนดให้คณะกรรมการประกาศกําหนดมาตรฐานการรกั ษาความม่ันคงปลอดภัยของระบบสารสนเทศ ตามวิธีการแบบปลอดภัยในแต่ละระดับ เพ่ือให้การทําธุรกรรมทางอิเล็กทรอนิกส์ใดท่ีได้กระทําตาม วธิ ีการแบบปลอดภัยทคี่ ณะกรรมการกาํ หนดเป็นวธิ ีการทเี่ ชือ่ ถอื ได้ อาศัยอํานาจตามความในมาตรา ๗ แห่งพระราชกฤษฎีกาว่าด้วยวิธีการแบบปลอดภัยใน การทําธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. ๒๕๕๓ คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์จึงออกประกาศไว้ ดงั ตอ่ ไปนี้ ขอ้ ๑ ประกาศน้ีเรียกว่า “ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ เร่ือง มาตรฐาน การรกั ษาความมั่นคงปลอดภยั ของระบบสารสนเทศตามวธิ กี ารแบบปลอดภัย พ.ศ. ๒๕๕๕” ข้อ ๒ ในกรณีที่จะต้องปฏิบัติให้เป็นไปตามมาตรฐานการรักษาความม่ันคงปลอดภัย ของระบบสารสนเทศตามวิธีการแบบปลอดภัยในระดับเคร่งครัด ระดับกลาง หรือระดับพ้ืนฐาน ให้หน่วยงานหรือองค์กร หรือส่วนงานของหน่วยงานหรือองค์กรปฏิบัติตามมาตรฐานการรักษาความมั่นคง ปลอดภัยของระบบสารสนเทศตามหลกั เกณฑ์ทกี่ ําหนดในแนบทา้ ยประกาศฉบบั น้ี ข้อ ๓ ประกาศนีใ้ หใ้ ชบ้ ังคับเม่อื พ้นกาํ หนดสามร้อยหกสิบวนั นบั แตว่ นั ประกาศในราชกิจจานุเบกษา เปน็ ต้นไป ประกาศ ณ วันท่ี ๑๓ พฤศจกิ ายน พ.ศ. ๒๕๕๕ นาวาอากาศเอก อนดุ ิษฐ์ นาครทรรพ รฐั มนตรีวา่ การกระทรวงเทคโนโลยีสารสนเทศและการส่ือสาร ประธานกรรมการธุรกรรมทางอิเล็กทรอนิกส์ สำ�นกั งานพัฒนาธรุ กรรมทางอิเล็กทรอนิกส์ 173

บญั ชีแนบทา้ ยประกาศคณะกรรมการธรุ กรรมทางอิเลก็ ทรอนิกส์ เร่อื ง มาตรฐานการรกั ษาความมน่ั คงปลอดภยั ของระบบสารสนเทศตามวธิ ีการแบบปลอดภัย พ.ศ. ๒๕๕๕ ------------------------------------------------- มาตรฐานการรกั ษาความมั่นคงปลอดภัยของระบบสารสนเทศเป็นมาตรการสําหรับใช้ในการควบคุมให้ระบบ สารสนเทศมีความม่ันคงปลอดภัย ซึ่งครอบคลุมการรักษาความลับ (Confidentiality) การรักษาความครบถ้วน (Integrity) และการรักษาสภาพพร้อมใช้งาน (Availability) ของระบบสารสนเทศและสารสนเทศในระบบ นั้น โดยการทําธุรกรรมทางอิเล็กทรอนิกส์ด้วยระบบสารสนเทศ ต้องดําเนินการตามมาตรการท่ีเก่ียวข้องตามบัญชีแนบ ทา้ ยนี้ และตอ้ งพิจารณาให้สอดคลอ้ งกบั ระดับความเส่ียงทไี่ ด้จากการประเมนิ ท้ังนี้ มาตรฐานการรกั ษาความม่ันคง ปลอดภัยของระบบสารสนเทศ แบ่งออกเปน็ ๑๑ ข้อ ไดแ้ ก่ ๑. การสรา้ งความมน่ั คงปลอดภัยด้านบรหิ ารจัดการ ๒. การจัดโครงสร้างด้านความมั่นคงปลอดภัยของระบบสารสนเทศในส่วนการบริหารจัดการด้านความ มน่ั คงปลอดภัยของระบบสารสนเทศ ทงั้ ภายในและภายนอกหนว่ ยงานหรือองคก์ ร ๓. การบรหิ ารจดั การทรพั ย์สินสารสนเทศ ๔. การสร้างความมั่นคงปลอดภยั ของระบบสารสนเทศด้านบคุ ลากร ๕. การสรา้ งความมั่นคงปลอดภยั ด้านกายภาพและสภาพแวดลอ้ ม ๖. การบริหารจัดการด้านการส่ือสารและการดําเนินงานของระบบเครือข่ายคอมพิวเตอร์ ระบบ คอมพวิ เตอร์ ระบบงานคอมพิวเตอร์ และระบบสารสนเทศ ๗. การควบคุมการเข้าถึงระบบเครือข่ายคอมพิวเตอร์ ระบบคอมพิวเตอร์ ระบบงานคอมพิวเตอร์ ระบบ สารสนเทศ ขอ้ มูลสารสนเทศ ข้อมูลอเิ ล็กทรอนิกส์ และข้อมลู คอมพิวเตอร์ ๘. การจัดหาหรือจัดให้มีการพัฒนา และการบํารุงรักษาระบบเครือข่ายคอมพิวเตอร์ ระบบคอมพิวเตอร์ ระบบงานคอมพิวเตอร์ และระบบสารสนเทศ ๙. การบริหารจัดการสถานการณด์ ้านความมนั่ คงปลอดภยั ทไี่ มพ่ งึ ประสงค์ หรือไม่อาจคาดคิด ๑๐.การบริหารจัดการด้านการบรกิ ารหรอื การดําเนินงานของหนว่ ยงานหรอื องค์กรเพือ่ ใหม้ ีความ ตอ่ เนอ่ื ง ๑๑.การตรวจสอบและการประเมนิ ผลการปฏิบตั ติ ามนโยบาย มาตรการ หลกั เกณฑ์ หรือกระบวนการใด ๆ รวมทง้ั ขอ้ กาํ หนดดา้ นความมั่นคงปลอดภยั ของระบบสารสนเทศ 174 ส�ำ นักงานพัฒนาธรุ กรรมทางอิเล็กทรอนิกส์

๑. มาตรฐานการรกั ษาความมั่นคงปลอดภัยของระบบสารสนเทศตามวธิ กี ารแบบปลอดภยั ในระดับพ้นื ฐาน การรักษาความม่ันคงปลอดภัยของระบบสารสนเทศตามวิธีการแบบปลอดภัยในระดับพื้นฐานต้องปฏิบัติ ดังนี้ ข้อ ๑. การสร้างความมั่นคงปลอดภัยด้านบริหารจัดการหน่วยงานต้องกําหนดนโยบายในการรักษา ความม่ันคงปลอดภัยด้านสารสนเทศ โดยผ่านการอนุมัติและผลักดันโดยผู้บริหารระดับสูง และมีการประกาศ นโยบายดงั กลา่ วให้พนกั งานและบุคคลภายนอกท่เี กีย่ วข้องรบั ทราบโดยทัว่ กนั ข้อ ๒. การจัดโครงสร้างด้านความม่ันคงปลอดภัยของระบบสารสนเทศในส่วนการบริหารจัดการด้านความ ม่ันคงปลอดภยั ของระบบสารสนเทศ ทง้ั ภายในและภายนอกหน่วยงานหรือองคก์ ร ๒.๑ ผู้บริหารระดับสูงของหน่วยงานมีหน้าท่ีดูแลรับผิดชอบงานด้านสารสนเทศของหน่วยงานให้การ สนับสนุน และกําหนดทิศทางการดําเนินงานเก่ียวกับความมั่นคงปลอดภัยด้านสารสนเทศที่ชัดเจน รวมทั้งมีการ มอบหมายงานท่ีเก่ียวข้องให้กับผู้ปฏิบัติงานอย่างชัดเจน ตลอดจนรับผิดชอบต่อความเสี่ยง ความเสียหาย หรือ อันตรายท่เี กดิ ขึน้ กับระบบสารสนเทศไมว่ ่ากรณใี ด ๆ ๒.๒ สําหรับระบบสารสนเทศใหม่ มีการกําหนดขั้นตอนการพิจารณาทบทวน เพื่ออนุมัติการสร้าง การติดต้ัง หรือการใช้งานในแง่มุมต่าง ๆ เช่น การบริหารจัดการผู้ใช้งานระบบ หรือความสามารถในการทํางาน รว่ มกนั ได้ระหวา่ งระบบเดมิ และระบบใหม่ ๒.๓ มีการกําหนดสัญญาการรักษาข้อมูลท่ีเป็นความลับ (Confidentiality agreement หรือ Non- Disclosure agreement) ท่ีสอดคล้องกับสถานการณ์และความต้องการของหน่วยงานในการปกป้องข้อมูล สารสนเทศ ๒.๔ มีข้อกําหนดเก่ียวกับความมั่นคงปลอดภัยด้านสารสนเทศสําหรับการอนุญาตให้ผู้ใช้บริการท่ีเป็น บุคคลภายนอกเขา้ ถงึ ระบบสารสนเทศ หรือใช้ขอ้ มลู สารสนเทศของหนว่ ยงาน ๒.๕ สําหรับข้อตกลงเพ่ืออนุญาตให้บุคคลภายนอกเข้าถึงระบบสารสนเทศ หรือใช้ข้อมูลสารสนเทศของ หน่วยงาน เพ่ือการอ่าน การประมวลผล การบรหิ ารจัดการระบบสารสนเทศ หรือการพัฒนาระบบสารสนเทศ ควรมี ขอ้ กาํ หนดเกี่ยวกับความม่นั คงปลอดภยั ด้านสารสนเทศระบไุ ว้ในขอ้ ตกลง ข้อ ๓. การบริหารจัดการทรัพย์สินสารสนเทศมีการเก็บบันทึกข้อมูลทรัพย์สินสารสนเทศ โดยข้อมูล ทีจ่ ัดเก็บต้องประกอบดว้ ยข้อมูลท่ีจําเปน็ ในการค้นหาเพอื่ การใชง้ านในภายหลงั ข้อ ๔. การสร้างความม่นั คงปลอดภัยของระบบสารสนเทศดา้ นบคุ ลากร ๔.๑ กําหนดหน้าที่ความรับผิดชอบด้านความมั่นคงปลอดภัยด้านสารสนเทศของพนักงาน หรือหน่วยงาน หรอื บคุ คลภายนอกทวี่ า่ จา้ ง โดยให้สอดคล้องกบั ความมั่นคงปลอดภยั ดา้ นสารสนเทศและนโยบายในการรกั ษาความ มนั่ คงปลอดภัยดา้ นสารสนเทศท่ีหน่วยงานประกาศใช้ ๔.๒ ผู้บริหารระดับสูงของหน่วยงานต้องกําหนดให้พนักงาน หน่วยงานหรือบุคคลภายนอกที่ว่าจ้าง ปฏิบตั งิ านตามนโยบายหรือระเบยี บปฏบิ ัตดิ า้ นความม่นั คงปลอดภัยทีห่ น่วยงานประกาศใช้ ส�ำ นกั งานพฒั นาธรุ กรรมทางอิเลก็ ทรอนกิ ส์ 175

๔.๓ กําหนดให้มีขั้นตอนการลงโทษพนักงานท่ีฝ่าฝืนนโยบายหรือระเบียบปฏิบัติเก่ียวกับความม่ันคง ปลอดภยั ดา้ นสารสนเทศในหน่วยงาน ๔.๔ กําหนดหน้าที่ความรับผิดชอบในการยุติการจ้าง หรือการเปล่ียนแปลงสถานะการจ้างให้ชัดเจน และ มอบหมายใหม้ ีผ้รู ับผิดชอบอยา่ งชดั เจน ๔.๕ พนักงาน หน่วยงานหรือบุคคลภายนอกท่ีว่าจ้างต้องส่งคืนทรัพย์สินสารสนเทศของหน่วยงานเม่ือ สิน้ สดุ สถานะการเป็นพนักงาน หรอื สนิ้ สุดสัญญาหรือขอ้ ตกลงการปฏบิ ัตงิ านให้กบั หน่วยงาน ๔.๖ ให้ยกเลิกสิทธิของพนักงาน หน่วยงานหรือบุคคลภายนอกในการเข้าใช้งานระบบสารสนเทศ เม่ือ ส้ินสุดสถานะการเป็นพนักงาน หรือสิ้นสุดสัญญาหรือข้อตกลงการปฏิบัติงาน และให้ปรับเปล่ียนระดับสิทธิในการ เขา้ ใช้งานระบบสารสนเทศใหเ้ หมาะสมเมื่อมกี ารเปลย่ี นแปลงหน้าท่คี วามรบั ผิดชอบใด ๆ เกิดขึ้น ข้อ ๕. การสรา้ งความมน่ั คงปลอดภัยด้านกายภาพและสภาพแวดลอ้ ม ๕.๑ ให้มีการป้องกันขอบเขตพื้นที่ต้ังของหน่วยงาน (Security perimeter) ที่มีการติดต้ัง จัดเก็บ หรือใช้ งาน ระบบสารสนเทศและข้อมลู สารสนเทศ ๕.๒ มีการออกแบบและติดต้ังการป้องกันความม่ันคงปลอดภัยด้านกายภาพ เพื่อป้องกันภัยจากภายนอก ภัยในระดับหายนะท้ังที่ก่อโดยมนุษย์หรือภัยธรรมชาติ เช่น อัคคีภัย อุทกภัย แผ่นดินไหว ระเบิด การก่อจลาจล เป็นต้น ๕.๓ จดั วางและป้องกันอุปกรณ์สารสนเทศ เพ่อื ลดความเส่ยี งจากภยั ธรรมชาตหิ รืออนั ตรายต่าง ๆ และเพื่อ ป้องกนั การเข้าถึงโดยมิได้รับอนุญาต ๕.๔ มีการป้องกันอุปกรณ์สารสนเทศ ที่อาจเกิดจากไฟฟ้าขัดข้อง (Power failure) หรือท่ีอาจหยุดชะงัก จากข้อผดิ พลาดของโครงสรา้ งพื้นฐาน (Supporting utilities) ๕.๕ มกี ารดแู ลอุปกรณส์ ารสนเทศอย่างถูกวิธี เพอื่ ให้คงไวซ้ ง่ึ ความถูกตอ้ งครบถ้วนและอยู่ในสภาพพร้อมใช้ งานอยเู่ สมอ ข้อ ๖. การบริหารจัดการด้านการส่ือสารและการดําเนินงานของระบบเครือข่ายคอมพิวเตอร์ ระบบ คอมพวิ เตอร์ ระบบงานคอมพิวเตอร์ และระบบสารสนเทศ ๖.๑ มีการจัดทํา ปรับปรุง และดูแลเอกสารข้ันตอนการปฏิบัติงานที่อยู่ในสภาพพร้อมใช้งาน เพื่อให้ พนกั งานสามารถนําไปปฏบิ ัตไิ ด้ ๖.๒ มีการดูแลให้บุคคลหรือหน่วยงานภายนอกที่ให้บริการแก่หน่วยงานตามที่ว่างจ้างปฏิบัติตามสัญญา หรอื ข้อตกลงให้บรกิ ารทรี่ ะบุไว้ ซึ่งต้องครอบคลุมถึงงานด้านความมั่นคงปลอดภัย ลักษณะการใหบ้ ริการ และระดับ การให้บริการ ๖.๓ มีการติดตามตรวจสอบรายงานหรือบันทึกการให้บริการของบุคคลหรือหน่วยงานภายนอกท่ีให้บริการ แก่หน่วยงานตามท่ีว่าจ้างอยา่ งสมาํ่ เสมอ ๖.๔ จัดให้มีเกณฑ์การตรวจรับระบบสารสนเทศที่มีการปรับปรุง หรือที่มีเวอร์ช่ันใหม่ และควรมีการ ทดสอบระบบสารสนเทศทง้ั ในชว่ งการพัฒนาระบบและก่อนการตรวจรับ ๖.๕ มขี ัน้ ตอนควบคมุ การตรวจสอบ ปอ้ งกัน และก้คู นื ในกรณมี กี ารใช้งานโปรแกรมไม่พงึ ประสงค์ และใหม้ ี การสร้างความตระหนกั รูใ้ หก้ บั ผู้ใชง้ านระบบสารสนเทศหรือขอ้ มลู สารสนเทศเก่ียวกบั โปรแกรมไมพ่ ึงประสงค์ 176 สำ�นกั งานพฒั นาธรุ กรรมทางอิเล็กทรอนิกส์

๖.๖ มีการสํารองข้อมูลสารสนเทศ และทดสอบการนํากลับมาใช้งาน โดยให้เป็นไปตามนโยบายการสํารอง ขอ้ มลู ท่หี น่วยงานประกาศใช้ ๖.๗ มีการบริหารจัดการการควบคุมเครือข่ายคอมพิวเตอร์ เพื่อป้องกันภัยคุกคาม และมีการรักษาความ ม่ันคงปลอดภัยของระบบสารสนเทศและแอพพลิเคช่ันท่ีทํางานบนเครือข่ายคอมพิวเตอร์ รวมทั้งข้อมูลสารสนเทศ ท่มี ีการแลกเปล่ียนบนเครือขา่ ยดงั กล่าว ๖.๘ มกี ารกําหนดรปู แบบการรกั ษาความม่ันคงปลอดภัย ระดับการให้บริการ ข้อกําหนดการบริหารจัดการ ในข้อตกลงการให้บริการด้านเครือข่ายคอมพิวเตอร์ ไม่ว่าเป็นการให้บริการโดยหน่วยงานเอง หรือจ้างช่วงไปยัง ผใู้ ห้บรกิ ารภายนอก ๖.๙ จัดให้มีนโยบายและข้ันตอนปฏิบัติงาน รวมท้ังควบคุมการแลกเปลี่ยนข้อมูลสารสนเทศผ่านช่อง ทางการส่ือสารในรปู แบบขอ้ มูลอิเล็กทรอนกิ ส์ ๖.๑๐ จัดให้มีข้อตกลงในการแลกเปล่ียนข้อมูลสารสนเทศหรือซอฟต์แวร์ระหว่างหน่วยงานกับบุคคลหรือ หนว่ ยงานภายนอก ๖.๑๑ จัดให้มีนโยบายและขั้นตอนการปฏิบัติงาน เพ่ือป้องกันข้อมูลสารสนเทศที่มีการสื่อสารหรือ แลกเปลย่ี นผา่ นระบบสารสนเทศทมี่ กี ารเชื่อมตอ่ กับระบบสารสนเทศตา่ ง ๆ ๖.๑๒ มีการป้องกันข้อมูลสารสนเทศท่ีมีการแลกเปล่ียนในการทําพาณิชย์อิเล็กทรอนิกส์ (Electronic commerce) ผ่านเครือข่ายคอมพิวเตอร์สาธารณะ เพื่อมิให้มีการฉ้อโกง ละเมิดสัญญา หรือมีการ ร่วั ไหลหรือข้อมลู สารสนเทศถูกแก้ไขโดยมไิ ดร้ บั อนญุ าต ๖.๑๓ มีการป้องกันข้อมูลสารสนเทศที่มีการส่ือสารหรือแลกเปลี่ยนในการทําธุรกรรมทางออนไลน์ (Online transaction) เพื่อมิให้มีการรับส่งข้อมูลที่ไม่สมบูรณ์ หรือส่งข้อมูลไปผิดท่ี หรือมีการร่ัวไหลของข้อมูล หรอื ข้อมูลถกู แกไ้ ขเปลีย่ นแปลง ถกู ทาํ ซ้าํ ใหม่ หรือถกู สง่ ซํา้ โดยมไิ ดร้ ับอนญุ าต ๖.๑๔ สาํ หรับข้อมลู สารสนเทศที่มีการเผยแพร่ต่อสาธารณชน ให้มีการป้องกันมิให้มีการแก้ไขเปล่ียนแปลง โดยมิไดร้ บั อนุญาต และเพอื่ รกั ษาความถูกต้องครบถ้วนของข้อมูลสารสนเทศ ๖.๑๕ มีการเก็บบันทึกข้อมูล Audit log ซ่ึงบันทึกข้อมูลกิจกรรมการใช้งานของผู้ใช้งานระบบสารสนเทศ และเหตุการณ์เกี่ยวกับความม่ันคงปลอดภัยต่าง ๆ เพื่อประโยชน์ในการสืบสวน สอบสวน ในอนาคต และเพื่อการ ตดิ ตามการควบคมุ การเขา้ ถงึ ๖.๑๖ มขี ้ันตอนการเฝ้าติดตามสังเกตการใช้งานระบบสารสนเทศ และมีการติดตามประเมินผลการติดตาม สังเกตดงั กล่าวอย่างสมา่ํ เสมอ ๖.๑๗ มีการป้องกันระบบสารสนเทศท่ีจัดเก็บ Log และข้อมูล Log เพ่ือป้องกันการเข้าถึงหรือแก้ไข เปลย่ี นแปลงโดยมิได้รับอนญุ าต ๖.๑๘ มีการจัดเก็บ Log ท่ีเก่ียวข้องกับการดูแลระบบสารสนเทศโดยผู้ดูแลระบบ (System administrator หรือ System operator) ขอ้ ๗. การควบคมุ การเขา้ ถึงระบบเครอื ขา่ ยคอมพวิ เตอร์ ระบบคอมพิวเตอร์ ระบบงานคอมพิวเตอร์ ระบบสารสนเทศ ข้อมลู สารสนเทศ ข้อมลู อเิ ลก็ ทรอนกิ ส์ และข้อมูลคอมพิวเตอร์ สำ�นกั งานพัฒนาธรุ กรรมทางอิเลก็ ทรอนกิ ส์ 177

๗.๑ จัดใหม้ ีนโยบายควบคุมการเข้าถึง โดยจัดทําเป็นเอกสาร และมีการติดตามทบทวนให้นโยบายดังกล่าว สอดคล้องกับข้อกําหนดหรือความต้องการด้านการดําเนินงานหรือการให้บริการ และด้านการรักษาความมั่นคง ปลอดภัยระบบสารสนเทศ ๗.๒ จัดให้มีการลงทะเบียนบัญชีผู้ใช้งานระบบสารสนเทศ และยกเลิกบัญชีผู้ใช้อย่างเป็นทางการ เพ่อื ควบคมุ การใหส้ ิทธแิ ละการยกเลกิ สทิ ธใิ นการเขา้ ใช้งานระบบสารสนเทศใด ๆ ของหน่วยงาน ๗.๓ การกําหนดสทิ ธใิ นการเขา้ ถงึ ระดบั สงู ใหท้ าํ อย่างจํากัดและอยูภ่ ายใตก้ ารควบคมุ ๗.๔ ผู้ใช้งานต้องดูแลป้องกันอุปกรณ์สารสนเทศใดที่อยู่ภายใต้ความดูแลรับผิดชอบ ในระหว่างที่ไม่มี การใชง้ าน ๗.๕ จํากดั การเขา้ ถึงเครือข่ายคอมพิวเตอร์ของหนว่ ยงานทีส่ ามารถเข้าถึงได้จากภายนอก โดยให้สอดคล้อง กบั นโยบายควบคุมการเขา้ ถงึ และขอ้ กาํ หนดการใช้งานแอพพลิเคชั่นเพ่อื การดาํ เนินงาน ๗.๖ ให้ผู้ใช้งานทุกคนมีบัญชีผู้ใช้งานเป็นของตนเอง และให้ระบบสารสนเทศมีเทคนิคการตรวจสอบตัวตน ที่เพยี งพอ เพอื่ ให้สามารถระบุตัวตนของผูเ้ ข้าใช้งานระบบสารสนเทศได้ ๗.๗ ให้ยุติหรือปิดหน้าจอการใช้งานระบบสารสนเทศโดยอัตโนมัติ หากไม่มีการใช้งานเกินระยะเวลาสงู สุด ทก่ี ําหนดไว้ ๗.๘ จํากัดการเข้าถึงข้อมูลสารสนเทศและฟังก์ชั่นต่าง ๆ ในแอพพลิเคชั่นของผู้ใช้งานและผู้ดูแลระบบ สารสนเทศ โดยให้สอดคลอ้ งกบั นโยบายการเขา้ ถงึ ทไ่ี ดก้ าํ หนดไว้ ๗.๙ กําหนดนโยบายและแนวทางการจัดการด้านความมั่นคงปลอดภัย เพื่อลดความเส่ียงในการใช้งาน อุปกรณ์สารสนเทศหรืออุปกรณ์การส่ือสารท่ีเคล่ือนย้ายได้ เช่น แล็ปท็อปคอมพิวเตอร์ (Laptop Computer) หรือ สมารท์ โฟน (Smartphone) เปน็ ตน้ ข้อ ๘. การจัดหาหรือจัดให้มีการพัฒนา และการบํารุงรักษาระบบเครือข่ายคอมพิวเตอร์ ระบบ คอมพวิ เตอร์ ระบบงานคอมพิวเตอร์ และระบบสารสนเทศ ๘.๑ ในการจัดทําข้อกําหนดข้ันตํ่าของระบบสารสนเทศใหม่ หรือการปรับปรุงระบบสารสนเทศเดิม ให้มี การระบขุ ้อกาํ หนดดา้ นการควบคมุ ความม่ันคงปลอดภยั ดา้ นสารสนเทศไว้ด้วย ๘.๒ ให้ดแู ล ควบคุม ติดตามตรวจสอบการทาํ งานในการจา้ งช่วงพัฒนาซอฟตแ์ วร์ ข้อ ๙. การบริหารจัดการสถานการณ์ด้านความมั่นคงปลอดภัยท่ีไม่พึงประสงค์ หรือไม่อาจคาดคิดให้มีการ รายงานสถานการณ์ด้านความมั่นคงปลอดภัยท่ีไม่พึงประสงค์ หรือไม่อาจคาดคิดผ่าน ช่องทางการบริหารจัดการ ท่ีเหมาะสมโดยเรว็ ท่ีสดุ ข้อ ๑๐. การบริหารจัดการด้านการบริการหรือการดําเนินงานของหน่วยงานหรือองค์กรเพื่อให้มีความ ต่อเนื่อง ให้กําหนดแผนเพ่ือรักษาไว้หรือกู้คืนการให้บริการสารสนเทศ หลังเกิดเหตุการณ์ท่ีทําให้ การดําเนินงาน หยดุ ชะงกั เพื่อให้ข้อมลู สารสนเทศอยใู่ นสภาพพรอ้ มใชง้ านตามระดบั ท่ีกาํ หนดไว้ ภายในระยะเวลาทก่ี ําหนดไว้ 178 ส�ำ นกั งานพัฒนาธรุ กรรมทางอิเล็กทรอนกิ ส์

ขอ้ ๑๑. การตรวจสอบและการประเมนิ ผลการปฏิบัติตามนโยบาย มาตรการ หลักเกณฑ์ หรือกระบวนการ ใด ๆ รวมทั้งข้อกาํ หนดด้านความมน่ั คงปลอดภยั ของระบบสารสนเทศ ๑๑.๑ ให้มีการระบุไว้ให้ชัดเจนถึงแนวทางในการดําเนินงานของระบบสารสนเทศท่ีมีความสอดคล้องตาม กฎหมายและข้อกําหนดตามสัญญาต่าง ๆ ของหน่วยงาน โดยต้องจัดทําเป็นเอกสาร และมีการปรับปรุงให้เป็น ปัจจุบนั อย่เู สมอ ๑๑.๒ ป้องกันมใิ หม้ กี ารใช้งานระบบสารสนเทศผิดวัตถุประสงค์ ๑๑.๓ พนักงานของหน่วยงานต้องดูแลให้งานท่ีเกี่ยวกับความมั่นคงปลอดภัยด้านสารสนเทศท่ีอยู่ใน ขอบเขตความรับผดิ ชอบได้ดําเนนิ การไปโดยสอดคล้องกบั กฎหมายและข้อกําหนดตามสญั ญาต่าง ๆ ของหนว่ ยงาน ๒. มาตรฐานการรกั ษาความมน่ั คงปลอดภัยของระบบสารสนเทศตามวธิ กี ารแบบปลอดภัยในระดับกลาง การรักษาความม่ันคงปลอดภัยของระบบสารสนเทศตามวิธีการแบบปลอดภัยในระดับกลาง ให้ปฏิบัติตาม มาตรฐานการรักษาความม่ันคงปลอดภัยของระบบสารสนเทศตามวิธีการแบบปลอดภัยในระดับพ้ืนฐาน และต้อง ปฏบิ ตั เิ พม่ิ เติม ดังน้ี ขอ้ ๑. การสร้างความมน่ั คงปลอดภยั ดา้ นบรหิ ารจดั การ หนว่ ยงานต้องวางแผนการตดิ ตามและประเมินผล การใช้งานความมั่นคงปลอดภัยด้านสารสนเทศ และนโยบายในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ อย่างสมํ่าเสมอ เพ่ือปรับปรุงหากมีการเปล่ียนแปลงใด ๆ ภายในหน่วยงาน ทั้งน้ี เพื่อให้เหมาะสมกับสถานการณ์ การใชง้ าน และคงความมีประสิทธผิ ลอยู่เสมอ ข้อ ๒. การจัดโครงสร้างด้านความมั่นคงปลอดภัยของระบบสารสนเทศในส่วนการบริหารจัดการด้านความ มัน่ คงปลอดภัยของระบบสารสนเทศ ทง้ั ภายในและภายนอกหน่วยงานหรอื องค์กร ๒.๑ มีการกําหนดเนื้องานหรือหน้าที่ความรับผิดชอบต่าง ๆ เกี่ยวกับความมั่นคงปลอดภัยด้านสารสนเทศ ไวอ้ ยา่ งชัดเจน ๒.๒ มีการกําหนดขั้นตอนและช่องทางในการติดต่อกับหน่วยงานภายนอกท่ีมีความเชี่ยวชาญเฉพาะด้าน หรอื หน่วยงานทีม่ ีความเช่ยี วชาญด้านความมน่ั คงปลอดภัยด้านสารสนเทศภายใต้สถานการณ์ตา่ ง ๆ ไว้อยา่ งชัดเจน ๒.๓ จัดให้มีการพิจารณาทบทวนแนวทางในการบริหารจัดการงานเก่ียวกับความมั่นคงปลอดภัยด้าน สารสนเทศอย่างสมํ่าเสมอ หรือเม่ือมีการเปล่ียนแปลงใด ๆ ในการดําเนินงาน ท้ังนี้ การพิจารณาทบทวนดังกล่าว ควรดําเนินการโดยผู้ไม่มสี ว่ นไดเ้ สยี กบั งานทม่ี กี ารพิจารณาทบทวน ขอ้ ๓. การบริหารจดั การทรพั ย์สินสารสนเทศ ๓.๑ มีการกาํ หนดบคุ คลผู้มหี น้าที่ดูแลควบคุมการใชง้ านและรับผดิ ชอบทรัพย์สนิ สารสนเทศไว้ชดั เจน ๓.๒ มีการกาํ หนดกฎระเบยี บในการใช้งานทรัพยส์ ินสารสนเทศไว้อยา่ งชดั เจน โดยจัดทาํ เป็นเอกสาร และมี การประกาศใชใ้ นหนว่ ยงาน ๓.๓ มีการจําแนกประเภทของข้อมูลสารสนเทศ โดยจําแนกตามมูลค่าของข้อมูล ข้อกําหนดทางกฎหมาย ระดบั ชั้นความลับและความสําคัญต่อหนว่ ยงาน สำ�นกั งานพัฒนาธรุ กรรมทางอิเลก็ ทรอนิกส์ 179

๓.๔ มีการกําหนดและประกาศใช้ข้ันตอนท่ีเหมาะสมในการจําแนกประเภทของข้อมูลสารสนเทศ และ จัดการข้อมูลสารสนเทศ โดยให้สอดคล้องกับแนวทางการจําแนกประเภทของข้อมูลสารสนเทศท่ีหน่วยงาน ประกาศใช้ ข้อ ๔. การสร้างความมั่นคงปลอดภัยของระบบสารสนเทศด้านบุคลากร พนักงาน หน่วยงานหรือ บุคคลภายนอกต้องได้รับการอบรมเพ่ือสร้างความตระหนักรู้เกี่ยวกับความม่ันคงปลอดภัยด้านสารสนเทศในส่วนที่ เก่ียวข้องกับหน้าที่ความรับผิดชอบของตน และได้รับการส่ือสารให้ทราบถึงนโยบายหรือระเบียบปฏิบัติด้านความ มนั่ คงปลอดภยั สารสนเทศท่หี นว่ ยงานประกาศใช้อยา่ งสม่ําเสมอ หรือเมือ่ มีการเปล่ียนแปลง ข้อ ๕. การสร้างความมั่นคงปลอดภยั ดา้ นกายภาพและสภาพแวดลอ้ ม ๕.๑ มีการออกแบบและติดต้ังการป้องกันความมั่นคงปลอดภัยด้านกายภาพ เพ่ือป้องกันพื้นท่ีหรือสถานที่ ปฏบิ ตั ิงาน หรืออุปกรณ์สารสนเทศตา่ ง ๆ ๕.๒ ไม่ควรนําอุปกรณ์สารสนเทศ ข้อมูลสารสนเทศ หรือซอฟต์แวร์ออกจากสถานที่ปฏิบัติงานของ หน่วยงานหากมิไดร้ บั อนญุ าต ข้อ ๖. การบริหารจัดการด้านการสื่อสารและการดําเนินงานของระบบเครือข่ายคอมพิวเตอร์ ระบบ คอมพวิ เตอร์ ระบบงานคอมพวิ เตอร์ และระบบสารสนเทศ ๖.๑ มกี ารจัดการควบคมุ การเปลี่ยนแปลงของระบบสารสนเทศ ๖.๒ มีการติดตามผลการใช้งานทรัพยากรสารสนเทศ และวางแผนด้านทรัพยากรสารสนเทศให้รองรับการ ปฏบิ ัตงิ านในอนาคตอย่างเหมาะสม ๖.๓ มีข้ันตอนการปฏิบัติงานในการจัดการและจัดเก็บข้อมูลสารสนเทศเพ่ือมิให้ข้อมูลร่ัวไหลหรือถูก นาํ ไปใชผ้ ิดประเภท ๖.๔ มีการจดั เก็บ Log ทเ่ี ก่ียวข้องกับข้อผิดพลาดใด ๆ ของระบบสารสนเทศ มีการวิเคราะห์ Log ดังกล่าว อยา่ งสมํ่าเสมอ และมกี ารจัดการแก้ไขขอ้ ผดิ พลาดทีต่ รวจพบอยา่ งเหมาะสม ๖.๕ ระบบเวลาของระบบสารสนเทศต่าง ๆ ที่ใช้ในหน่วยงานหรือในขอบเขตงานด้านความม่ันคงปลอดภัย (Security domain) ต้องมีความสอดคล้องกัน (Synchronization) โดยให้มีการต้ังค่าพร้อมกับเวลาจากแหล่งเวลา ทีเ่ ชือ่ ถอื ได้ ข้อ ๗. การควบคุมการเข้าถึงระบบเครือข่ายคอมพิวเตอร์ ระบบคอมพวิ เตอร์ ระบบงานคอมพวิ เตอร์ ระบบสารสนเทศ ขอ้ มลู สารสนเทศ ขอ้ มูลอเิ ลก็ ทรอนิกส์ และขอ้ มูลคอมพิวเตอร์ ๗.๑ มขี ้อบงั คบั ให้ผูใ้ ช้งานปฏิบัติตามขั้นตอนเพื่อการเลือกใช้รหัสผ่านอย่างมั่นคงปลอดภัยตามที่หน่วยงาน กาํ หนด ๗.๒ ผใู้ ช้งานสามารถเขา้ ถงึ เฉพาะบรกิ ารทางเครือขา่ ยคอมพิวเตอรท์ ต่ี นเองไดร้ ับอนุญาตใหใ้ ชไ้ ดเ้ ทา่ นน้ั ๗.๓ ให้มีการกําหนดวิธีการตรวจสอบตัวตนท่ีเหมาะสมเพื่อควบคุมการเข้าถึงระบบสารสนเทศของ หนว่ ยงานจากระยะไกล 180 ส�ำ นักงานพฒั นาธรุ กรรมทางอิเล็กทรอนิกส์

๗.๔ มีการควบคุมการเข้าถึงช่องทางการดูแลระบบสารสนเทศท้ังทางกายภาพและการเชื่อมต่อผ่าน คอมพิวเตอร์ สําหรับระบบสารสนเทศที่สามารถเข้าถึงจากระยะไกลได้ เช่น Remote diagnostic หรือ Configuration facility ของอปุ กรณ์เครือข่ายคอมพวิ เตอร์ ๗.๕ มีการจัดกลุ่มตามประเภทของข้อมูลสารสนเทศที่ให้บริการ ระบบสารสนเทศ กลุ่มผู้ใช้งานโดยมีการ แบง่ แยกบนเครอื ข่ายคอมพิวเตอร์อย่างเป็นสัดสว่ น ๗.๖ กําหนดให้มีการควบคุมเส้นทางการไหลของข้อมูลสารสนเทศในระบบเครือข่ายคอมพิวเตอร์เพื่อไม่ให้ ขัดแย้งกับนโยบายควบคมุ การเขา้ ถึงของแอพพลิเคช่นั ๗.๗ กําหนดข้นั ตอนการ Log-on เพอื่ ควบคุมการเขา้ ถึงระบบปฏิบตั ิการคอมพวิ เตอร์ ๗.๘ ให้จัดทําหรือจัดให้มีระบบการบริหารจัดการรหัสผ่านที่สามารถทํางานแบบเชิงโต้ตอบกับผู้ใช้งาน (Interactive) และสามารถรองรบั การใช้งานรหสั ผา่ นท่มี คี วามมนั่ คงปลอดภัย ข้อ ๘. การจัดหาหรือจัดให้มีการพัฒนา และการบํารุงรักษาระบบเครือข่ายคอมพิวเตอร์ ระบบ คอมพวิ เตอร์ ระบบงานคอมพิวเตอร์ และระบบสารสนเทศ ๘.๑ ให้มีการตรวจสอบ (Validate) ข้อมูลใด ๆ ท่ีจะรับเข้าสู่แอพพลิเคช่ันก่อนเสมอ เพื่อให้มั่นใจได้ว่า ขอ้ มลู มีความถกู ตอ้ งและมีรูปแบบเหมาะสม ๘.๒ ให้มีการตรวจสอบ (Validate) ข้อมูลใด ๆ อันเป็นผลจากการประมวลผลของแอพพลิเคชั่น เพื่อให้ ม่ันใจไดว้ ่า ขอ้ มูลทีไ่ ดจ้ ากการประมวลผลถกู ต้องและเหมาะสม ๘.๓ จัดให้มีแนวทางการบริหารจัดการกุญแจ (Key) เพื่อรองรับการใช้งานเทคนิคที่เกี่ยวข้องกับการ เข้ารหัสลับของหนว่ ยงาน ๘.๔ ใหเ้ ลอื กชดุ ข้อมลู สารสนเทศทีจ่ ะนําไปใชเ้ พ่ือการทดสอบในระบบสารสนเทศอยา่ งระมดั ระวงั รวมท้ังมี แนวทางควบคุมและป้องกันขอ้ มูลรว่ั ไหล ๘.๕ ให้มกี ารจํากดั การเขา้ ถงึ ซอรส์ โคด้ (Source code) ของโปรแกรม ๘.๖ หากมีการเปลี่ยนแปลงใด ๆ ในระบบปฏิบัติการคอมพิวเตอร์ ให้มีการตรวจสอบทบทวนการทํางาน ของโปรแกรมท่ีมีความสําคัญ และทดสอบการใช้งานเพื่อให้ม่ันใจว่าผลของการเปล่ียนแปลงดังกล่าว จะไม่ส่งผล กระทบใด ๆ ต่อความมั่นคงปลอดภยั ของระบบสารสนเทศและการให้บรกิ ารของหนว่ ยงาน ข้อ ๙. การบริหารจัดการด้านการบริการหรือการดําเนินงานของหน่วยงานหรือองค์กรเพื่อให้มีความ ต่อเน่ือง ๙.๑ จัดให้มีข้อกําหนดเกี่ยวกับความมั่นคงปลอดภัยด้านสารสนเทศท่ีจําเป็น โดยกําหนดให้เป็นส่วนหนึ่ง ของขน้ั ตอนการบริหารจดั การเพือ่ การดําเนินงานอย่างต่อเน่อื งในภาวะฉกุ เฉนิ ๙.๒ กําหนดให้มีกรอบงานหลักสําหรับการพัฒนาแผนการบริหารจัดการเพื่อการดําเนินงานอย่างต่อเน่ือง ในภาวะฉุกเฉิน เพื่อให้การพัฒนาแผนต่าง ๆ เป็นไปในทิศทางเดียวกัน รวมทั้งสอดคล้องกับข้อกําหนดด้านความ มัน่ คงปลอดภยั ตลอดจนมีการจดั ลาํ ดับความสําคญั กอ่ นหลงั ในการทดสอบและการดแู ล ๙.๓ ให้มีการทดสอบและปรับปรุงแผนการบริหารจัดการเพ่ือการดําเนินงานอย่างต่อเนื่องในภาวะฉุกเฉิน อยา่ งสมํ่าเสมอ เพ่ือใหม้ น่ั ใจวา่ แผนดงั กล่าวเปน็ ปัจจุบนั และมีประสทิ ธผิ ลอยู่เสมอ ส�ำ นกั งานพฒั นาธรุ กรรมทางอิเล็กทรอนกิ ส์ 181

ขอ้ ๑๐. การตรวจสอบและการประเมินผลการปฏิบัติตามนโยบาย มาตรการ หลักเกณฑ์ หรือกระบวนการ ใด ๆ รวมทงั้ ขอ้ กาํ หนดด้านความมัน่ คงปลอดภยั ของระบบสารสนเทศ ๑๐.๑ จัดให้มีการคุ้มครองข้อมูลส่วนบุคคลโดยให้สอดคล้องกับกฎหมายและข้อกําหนดตามสัญญาต่าง ๆ ของหนว่ ยงาน ๑๐.๒ ใช้เทคนคิ การเข้ารหสั ลบั ทส่ี อดคลอ้ งกับกฎหมายและขอ้ กาํ หนดตามสัญญาต่าง ๆ ของหน่วยงาน ๑๐.๓ ให้มีการทบทวนตรวจสอบระบบสารสนเทศในด้านเทคนิคอย่างสม่ําเสมอเพื่อให้สอดคล้องกับ มาตรฐานการพัฒนางานด้านความมัน่ คงปลอดภยั ด้านสารสนเทศ ๑๐.๔ วางแผนและจัดให้มีข้อกําหนดการตรวจสอบและกิจกรรมที่เกี่ยวข้องกับการตรวจสอบระบบ สารสนเทศ เพ่อื ลดความเส่ียงในการเกิดการหยุดชะงักของการใหบ้ ริการ ๑๐.๕ ป้องกันการเข้าใช้งานเคร่ืองมือท่ีใช้เพื่อการตรวจสอบ เพื่อมิให้เกิดการใช้งานผิดประเภทหรือถูก ละเมิดการใชง้ าน (Compromise) ๓. มาตรฐานการรักษาความมน่ั คงปลอดภยั ของระบบสารสนเทศตามวธิ ีการแบบปลอดภยั ในระดบั เคร่งครดั การรักษาความมั่นคงปลอดภัยของระบบสารสนเทศตามวิธีการแบบปลอดภัยในระดับเคร่งครัด ให้ปฏิบัติ ตามมาตรฐานการรักษาความม่ันคงปลอดภัยของระบบสารสนเทศตามวิธีการแบบปลอดภัยในระดับพื้นฐานและ ระดบั กลาง และต้องปฏิบัตเิ พ่ิมเติม ดังนี้ ข้อ ๑. การจัดโครงสร้างด้านความมั่นคงปลอดภัยของระบบสารสนเทศในส่วนการบริหารจัดการด้านความ มนั่ คงปลอดภัยของระบบสารสนเทศ ท้ังภายในและภายนอกหน่วยงานหรือองค์กร ๑.๑ มีการสร้างความร่วมมือระหว่างผู้ท่ีมีบทบาทเก่ียวข้องกับความม่ันคงปลอดภัยด้านสารสนเทศของ หนว่ ยงาน ในงานหรอื กจิ กรรมใด ๆ ที่เก่ียวขอ้ งกบั ความม่ันคงปลอดภยั ด้านสารสนเทศ ๑.๒ มีการกําหนดข้ันตอนและช่องทางในการติดต่อกับหน่วยงานภายนอกท่ีมีหน้าที่ในการกํากับดูแล หรือ หนว่ ยงานทเ่ี กีย่ วขอ้ งกับการบังคับใช้กฎหมาย รวมทงั้ หนว่ ยงานที่ควบคุมดูแลสถานการณ์ฉุกเฉินภายใต้สถานการณ์ ต่าง ๆ ไว้อย่างชดั เจน ๑.๓ ก่อนท่ีจะอนุญาตให้หน่วยงานหรือบุคคลภายนอกเข้าถึงระบบสารสนเทศหรือใช้ข้อมูลสารสนเทศของ หน่วยงาน ให้มีการระบุความเสี่ยงทีอ่ าจเกดิ ขึ้นและกาํ หนดแนวทางป้องกันเพอ่ื ลดความเส่ยี งนัน้ ก่อนการอนญุ าต ขอ้ ๒. การสร้างความมน่ั คงปลอดภยั ของระบบสารสนเทศด้านบุคลากร ๒.๑ ในการพิจารณารับพนักงานเข้าทํางาน หรือการว่าจ้างหน่วยงานหรือบุคคลภายนอก ให้มีการ ตรวจสอบประวัติหรือคุณสมบัติเพ่ือให้เป็นไปตามกฎหมาย กฎระเบียบและจริยธรรมท่ีเก่ียวข้อง โดยให้คํานึงถึง ระดบั ชัน้ ความลบั ของขอ้ มูลสารสนเทศที่จะให้เข้าถงึ และระดับความเสี่ยงท่ไี ดป้ ระเมิน ๒.๒ ในสัญญาจ้างหรือข้อตกลงการปฏิบัติงานของพนักงาน หรือสัญญาว่าจ้างหน่วยงานหรือ บคุ คลภายนอก ให้ระบุหนา้ ทค่ี วามรับผิดชอบด้านความมนั่ คงปลอดภัยด้านสารสนเทศไว้ในสัญญา ขอ้ ๓. การสร้างความมนั่ คงปลอดภยั ด้านกายภาพและสภาพแวดลอ้ ม 182 ส�ำ นกั งานพฒั นาธรุ กรรมทางอิเล็กทรอนิกส์

๓.๑ ในพื้นท่ีท่ีต้องมีการรักษาความม่ันคงปลอดภัยด้านกายภาพ (Secure area) ต้องมีการควบคุมการเข้า ออก โดยให้เฉพาะผมู้ สี ิทธิทีส่ ามารถเข้าออกได้ ๓.๒ มีการออกแบบแนวทางการป้องกันทางกายภาพสําหรับการทํางานในพ้ืนที่ท่ีต้องการรักษาความม่ันคง ปลอดภัยดา้ นกายภาพ (Secure area) และกําหนดให้มีการนาํ ไปใช้งาน ๓.๓ มีการควบคุมบริเวณที่ผู้ไม่มีสิทธิเข้าถึงอาจสามารถเข้าถึงได้ เช่น จุดรับส่งของ เป็นต้น หรือหาก เป็นไปได้ให้แยกบริเวณดังกล่าวออกจากพื้นท่ีที่มีการติดตั้ง จัดเก็บ หรือใช้งาน ระบบสารสนเทศและข้อมูล สารสนเทศเพอ่ื หลีกเลี่ยงการเข้าถึงโดยมไิ ด้รับอนญุ าต ๓.๔ มีการป้องกันสายเคเบิลที่ใช้เพื่อการสื่อสาร หรือสายไฟ เพ่ือมิให้มีการดักรับสัญญาณ (Interception) หรอื มคี วามเสียหายเกิดข้ึน ๓.๕ มีการรักษาความม่ันคงปลอดภัยให้กับอุปกรณ์สารสนเทศท่ีมีการนําไปใช้งานนอกสถานท่ีปฏิบัติงาน ของหนว่ ยงาน โดยใหค้ าํ นึงถงึ ระดบั ความเสีย่ งทีแ่ ตกต่างกันจากการนําไปใชง้ านในสถานท่ีต่าง ๆ ๓.๖ ก่อนการยกเลิกการใช้งานหรือจําหน่ายอุปกรณ์สารสนเทศท่ีใช้ในการจัดเก็บข้อมูลสารสนเทศต้องมี การตรวจสอบอุปกรณ์สารสนเทศน้ันว่า ได้มีการลบ ย้าย หรือทําลาย ข้อมูลที่สําคัญหรือซอฟต์แวร์ท่ีจัดซื้อและ ติดต้ังไว้ดว้ ยวธิ ีการท่ที ําใหไ้ มส่ ามารถกคู้ ืนไดอ้ กี ข้อ ๔. การบริหารจัดการด้านการสื่อสารและการดําเนินงานของระบบเครือข่ายคอมพิวเตอร์ ระบบ คอมพิวเตอร์ ระบบงานคอมพวิ เตอร์ และระบบสารสนเทศ ๔.๑ มีการแบ่งแยกหน้าท่ีและขอบเขตความรับผิดชอบอย่างชัดเจน เพื่อลดโอกาสความผิดพลาดในการ เปล่ียนแปลงหรอื ใช้งานระบบสารสนเทศหรอื ขอ้ มลู สารสนเทศทผ่ี ิดประเภท ๔.๒ มีการแยกระบบสารสนเทศสําหรับการพัฒนา ทดสอบ และใช้งานจริงออกจากกัน เพ่ือลดความเสี่ยง ในการเขา้ ใช้งานหรือการเปลย่ี นแปลงระบบสารสนเทศโดยมไิ ด้รับอนญุ าต ๔.๓ มีการบริหารจัดการการเปลี่ยนแปลงใด ๆ เกี่ยวกับการจัดเตรียมการให้บริการ และการดูแลปรับปรุง นโยบายในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ ขั้นตอนปฏิบัติงาน หรือการควบคุมเก่ียวกับความมั่นคง ปลอดภัยด้านสารสนเทศ โดยคํานึงถึงระดับความสําคัญของการดําเนินธุรกิจท่ีเก่ียวข้องและการประเมินความเส่ียง อยา่ งต่อเนือ่ ง ๔.๔ หากหน่วยงานอนุญาตให้มีการใช้งาน Mobile code (เช่น Script บางอย่างของเว็บแอพพลิเคช่ันที่มี การทํางานอัตโนมัติเม่อื เรียกดูเว็บ) ควรมีการตั้งค่าการทํางาน (Configuration) เพ่ือให้มั่นใจได้ว่าการทํางานของ Mobile code นั้นเป็นไปตามความม่ันคงปลอดภัยด้านสารสนเทศและนโยบายในการรักษาความม่ันคงปลอดภัย ด้านสารสนเทศ และห้ามโดยอัตโนมัติมิให้ Mobile code สามารถทํางานได้ในระบบสารสนเทศ หากในนโยบาย การรกั ษาความมั่นคงปลอดภยั ด้านสารสนเทศ กําหนดหา้ มมิให้ประเภทของ Mobile code ดงั กลา่ วทํางานได้ ๔.๕ มีขั้นตอนการปฏิบัติงานสําหรับการบริหารจัดการอุปกรณ์ท่ีใช้ในการบันทึกข้อมูลอิเล็กทรอนิกส์ที่ สามารถถอดหรือตอ่ พว่ งกับเครื่องคอมพวิ เตอร์ได้ (Removable media) ๔.๖ มีข้ันตอนการปฏิบัติงานในการทําลายอุปกรณ์ที่ใช้ในการบันทึกข้อมูลอิเล็กทรอนิกส์ท่ีสามารถถอด หรือตอ่ พ่วงกับเคร่ืองคอมพิวเตอร์ได้ (Removable media) อย่างมนั่ คงปลอดภยั สำ�นกั งานพฒั นาธรุ กรรมทางอิเลก็ ทรอนกิ ส์ 183

๔.๗ มีการป้องกันมิให้ข้อมูลหรือเอกสารเก่ียวกับระบบสารสนเทศ (System documentation) ถูกเข้าถึง โดยมไิ ดร้ บั อนุญาต ๔.๘ ในกรณที ี่มีการเคล่อื นยา้ ยอปุ กรณท์ ีจ่ ัดเกบ็ ขอ้ มูลสารสนเทศ ให้มีการป้องกันอุปกรณ์ท่ีใช้จัดเก็บข้อมูล ดังกล่าว เพื่อมิให้มีการเข้าถึงโดยมิได้รับอนุญาต หรือถูกนําไปใช้งานผิดประเภท หรืออุปกรณ์หรือข้อมูลสารสนเทศ ได้รบั ความเสยี หาย ๔.๙ ให้มีการปอ้ งกันขอ้ มูลสารสนเทศทีม่ กี ารสอื่ สารกนั ผา่ นข้อมลู อเิ ล็กทรอนิกส์ (Electronic messaging) เช่น จดหมายอิเล็กทรอนกิ ส์ ( E - mail) EDI หรือ Instant messaging) ข้อ ๕. การควบคุมการเข้าถึงระบบเครือข่ายคอมพิวเตอร์ ระบบคอมพิวเตอร์ ระบบงานคอมพิวเตอร์ ระบบสารสนเทศ ขอ้ มูลสารสนเทศ ขอ้ มลู อิเล็กทรอนกิ ส์ และขอ้ มลู คอมพวิ เตอร์ ๕.๑ จดั ใหม้ ีขน้ั ตอนการบรหิ ารจัดการเรือ่ งการกําหนดรหสั ผา่ นอย่างเปน็ ทางการ ๕.๒ กาํ หนดให้ผ้บู ริหารติดตามทบทวนระดบั สทิ ธใิ นการเข้าถงึ ของผใู้ ช้งานอย่างเป็นทางการเป็นประจาํ ๕.๓ มีการกําหนดนโยบาย Clear desk สําหรับข้อมูลสารสนเทศในรูปแบบกระดาษและท่ีจัดเก็บใน อปุ กรณ์บันทึกขอ้ มูลอิเลก็ ทรอนิกส์ท่ีสามารถถอดหรือต่อพ่วงกับเครื่องคอมพิวเตอร์ได้ และนโยบาย Clear screen สําหรบั ระบบสารสนเทศ ๕.๔ ให้มีการระบุอุปกรณ์ที่เชื่อมต่อเข้ากับระบบสารสนเทศโดยอัตโนมัติ (Automatic equipment identification) เพ่ือตรวจสอบการเช่ือมต่อของอุปกรณ์ดังกล่าวว่ามาจากอุปกรณ์ดังกล่าวจริง หรือจากสถานท่ีที่ กําหนดไว้เท่านั้น ท้ังน้ี จําเป็นสําหรับการท่ีระบบสารสนเทศจะรับการเชื่อมต่อจากเฉพาะอุปกรณ์ที่ได้รับอนุญาต หรอื มาจากเฉพาะสถานทีท่ ี่ไดร้ บั อนญุ าต ๕.๕ ให้จํากัดการเข้าถึงการใช้งานโปรแกรมอรรถประโยชน์ต่าง ๆ อย่างเข้มงวด เน่ืองจากโปรแกรม ดังกลา่ วอาจมคี วามสามารถควบคุมดูแลและเปล่ยี นแปลงการทํางานของระบบสารสนเทศได้ ๕.๖ จํากัดระยะเวลาการเชอื่ มต่อกบั ระบบสารสนเทศที่มีระดับความเสี่ยงสูง เพื่อเพ่ิมระดับการรักษาความ ม่ันคงปลอดภัย ๕.๗ สําหรับระบบสารสนเทศที่มีความสําคัญสูง ต้องจัดให้ระบบสารสนเทศทํางานในสภาพแวดล้อมท่ีแยก ออกมาต่างหาก โดยไมใ่ ชป้ ะปนกับระบบสารสนเทศอ่นื ๕.๘ กําหนดให้มีนโยบาย แผนงานและข้ันตอนการปฏิบัติงานท่ีเก่ียวข้องกับกิจกรรมใด ๆ ท่ีมีการ ปฏบิ ัตงิ านจากภายนอกหนว่ ยงาน (Teleworking) ข้อ ๖. การจัดหาหรือจัดให้มีการพัฒนา และการบํารุงรักษาระบบเครือข่ายคอมพิวเตอร์ ระบบ คอมพวิ เตอร์ ระบบงานคอมพวิ เตอร์ และระบบสารสนเทศ ๖.๑ ให้มีการตรวจสอบ (Validate) การทํางานของแอพพลิเคชั่นเพื่อตรวจหาข้อผิดพลาดของข้อมูลท่ีอาจ เกดิ จากการทาํ งานหรือการประมวลผลทีผ่ ิดพลาด ๖.๒ ให้มีข้อกําหนดข้ันต่ําสําหรับการรักษาความถูกต้องแท้จริง (Authenticity) และความถูกต้องครบถ้วน (Integrity) ของข้อมลู ในแอพพลิเคชัน่ รวมทงั้ มกี ารระบแุ ละปฏิบัตติ ามวิธีการป้องกันที่เหมาะสม ๖.๓ จดั ให้มีนโยบายในการใช้งานเทคนิคทีเ่ ก่ยี วขอ้ งกบั การเข้ารหัสลับ ๖.๔ กาํ หนดให้มีขัน้ ตอนการปฏิบัตงิ านเพ่อื ควบคมุ การติดตั้งซอฟตแ์ วร์บนระบบสารสนเทศทีใ่ ห้บริการ 184 สำ�นกั งานพัฒนาธรุ กรรมทางอิเล็กทรอนิกส์

๖.๕ ให้มีการควบคมุ การเปลยี่ นแปลงต่าง ๆ ในการพัฒนาระบบสารสนเทศ โดยมีขัน้ ตอนการควบคมุ ท่ีเป็น ทางการ ๖.๗ ให้จํากัดการเปล่ียนแปลงใด ๆ ต่อซอฟต์แวร์ที่ใช้งาน (Software package) โดยให้เปล่ียนแปลง เฉพาะเท่าทจ่ี ําเป็น และควบคุมทุก ๆ การเปล่ยี นแปลงอย่างเขม้ งวด ๖.๘ มมี าตรการป้องกนั เพื่อลดโอกาสทีเ่ กิดการรว่ั ไหลของขอ้ มูลสารสนเทศ ข้อ ๗. การบรหิ ารจัดการสถานการณ์ดา้ นความมน่ั คงปลอดภัยที่ไม่พงึ ประสงค์ หรือไมอ่ าจคาดคิด ๗.๑ กําหนดให้พนักงานหรือผู้ใช้งานท่ีเป็นบุคคลภายนอก มีการบันทึกและรายงานจุดอ่อนใด ๆ ท่ีอาจ สงั เกตพบระหวา่ งการใชง้ านระบบสารสนเทศ ๗.๒ กําหนดขอบเขตความรับผิดชอบของผู้บริหารและขั้นตอนการปฏิบัติงาน เพื่อตอบสนองต่อ สถานการณด์ า้ นความม่ันคงปลอดภยั ทีไ่ มพ่ ึงประสงค์ หรอื ไมอ่ าจคาดคิด อย่างรวดเรว็ มรี ะเบียบ และมปี ระสทิ ธิผล ๗.๓ หากในขั้นตอนการติดตามผลกับบุคคลหรือหน่วยงานภายหลังจากเกิดสถานการณ์ด้านความม่ันคง ปลอดภัยที่ไม่พึงประสงค์ หรือไม่อาจคาดคิด ซึ่งเก่ียวข้องกับการดําเนินการทางกฎหมาย (ไม่ว่าทางแพ่งหรือทาง อาญา) ให้มกี ารรวบรวม จดั เกบ็ และนาํ เสนอหลกั ฐาน ให้สอดคล้องกับหลกั เกณฑข์ องกฎหมายท่ีใชบ้ งั คบั ข้อ ๘. การบริหารจัดการด้านการบริการหรือการดําเนินงานของหน่วยงานหรือองค์กรเพ่ือให้มีความ ต่อเน่ือง ให้มีการระบุเหตุการณ์ใด ๆ ที่อาจส่งผลให้การดําเนินงานหยุดชะงัก และความเป็นไปได้ในการเกิดผล กระทบ ตลอดจนผลตอ่ เนอ่ื งจากการหยดุ ชะงกั นน้ั ในแงข่ องความม่ันคงปลอดภยั ด้านสารสนเทศ ข้อ ๙. การตรวจสอบและการประเมินผลการปฏิบัติตามนโยบาย มาตรการ หลักเกณฑ์ หรือกระบวนการ ใด ๆ รวมท้งั ข้อกําหนดดา้ นความม่นั คงปลอดภยั ของระบบสารสนเทศ ๙.๑ กาํ หนดขนั้ ตอนปฏิบัตงิ านเพอ่ื ใหม้ ัน่ ใจว่าในการใชง้ านข้อมูลทอี่ าจถือเป็นทรัพย์สินทางปัญญาหรือการ ใชง้ านซอฟต์แวร์มีความสอดคลอ้ งกบั กฎหมายและข้อกาํ หนดตามสญั ญาต่าง ๆ ๙.๒ ป้องกันมิให้ข้อมูลสารสนเทศท่ีสําคัญเกิดความเสียหาย สูญหายหรือถูกปลอมแปลง โดยให้สอดคล้อง กับกฎหมาย ข้อกําหนดตามสญั ญาตา่ ง ๆ ของหนว่ ยงาน และขอ้ กําหนดการใหบ้ ริการ ------------------------------------------------- ส�ำ นกั งานพฒั นาธรุ กรรมทางอิเลก็ ทรอนกิ ส์ 185

186 สำ�นกั งานพฒั นาธรุ กรรมทางอิเล็กทรอนกิ ส์

ประกาศคณะกรรมการธุรกรรมทางอเิ ลก็ ทรอนกิ ส เร่อื ง รายชื่อหนวยงานหรือองคก ร หรือสว นงานของหนว ยงาน หรอื องคก รที่ถอื เปน โครงสรางพนื้ ฐานสาํ คญั ของประเทศซ่งึ ตอ ง กระทําตามวธิ กี ารแบบปลอดภยั ในระดบั เครงครดั พ.ศ. ๒๕๕๙ สำ�นักงานพฒั นาธรุ กรรมทางอิเลก็ ทรอนิกส์ 187

ชอ่ื กฎหมาย ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส เรื่อง รายชื่อหนวยงานหรือองคกร หรือสวนงาน ของหนวยงานหรือองคกรท่ีถือเปนโครงสรางพื้นฐานสําคัญของประเทศซึ่งตองกระทําตามวิธีการแบบปลอดภัย ในระดบั เครง ครัด พ.ศ. ๒๕๕๙ ประกาศในราชกิจจานเุ บกษา เลม ๑๓๓ / ตอนพิเศษ ๑๘๙ ง / หนา ๘ / วนั ท่ี ๒๕ สิงหาคม ๒๕๕๙ เรมิ่ บังคบั ใช วนั ท่ี ๒๐ สงิ หาคม ๒๕๖๐ 188 ส�ำ นกั งานพัฒนาธรุ กรรมทางอิเลก็ ทรอนกิ ส์

เล่ม ๑๓๓ ตอนพเิ ศษ ๑๘๙ ง หน้า ๘ ๒๕ สงิ หาคม ๒๕๕๙ ราชกจิ จานุเบกษา ประกาศคณะกรรมการธรุ กรรมทางอิเล็กทรอนิกส์ เร่อื ง รายชอื่ หนว่ ยงานหรือองคก์ ร หรือส่วนงานของหนว่ ยงานหรือองค์กรท่ีถือเป็น โครงสร้างพ้นื ฐานสําคญั ของประเทศซ่ึงตอ้ งกระทาํ ตามวิธกี ารแบบปลอดภัยในระดับเคร่งครัด พ.ศ. ๒๕๕๙ โดยที่พระราชกฤษฎีกาว่าด้วยวิธีการแบบปลอดภัยในการทําธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. ๒๕๕๓ กําหนดให้คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ประกาศกําหนดรายชื่อหน่วยงานหรือองค์กร หรือส่วนงานของหน่วยงานหรือองค์กรท่ีถือเป็นโครงสร้างพ้ืนฐานสําคัญของประเทศ เพ่ือให้ดําเนินการ ตามวิธีการแบบปลอดภัยในระดับเครง่ ครดั ระดบั กลาง หรอื ระดบั พนื้ ฐาน แล้วแต่กรณี อาศัยอํานาจตามความในมาตรา ๖ วรรคสอง แห่งพระราชกฤษฎีกาว่าด้วยวิธีการแบบปลอดภัย ในการทําธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. ๒๕๕๓ คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์จึงออกประกาศไว้ ดงั ตอ่ ไปน้ี ขอ้ ๑ ประกาศนี้เรียกว่า “ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ เร่ือง รายช่ือ หน่วยงานหรือองค์กร หรือส่วนงานของหน่วยงานหรือองค์กรท่ีถือเป็นโครงสร้างพ้ืนฐานสําคัญของประเทศ ซงึ่ ตอ้ งกระทาํ ตามวิธกี ารแบบปลอดภยั ในระดับเคร่งครัด พ.ศ. ๒๕๕๙” ข้อ ๒ ประกาศนี้ให้ใช้บังคับเมื่อพ้นกําหนดสามร้อยหกสิบวันนับแต่วันประกาศในราชกิจจานุเบกษา เปน็ ต้นไป ข้อ ๓ ให้หน่วยงานหรือองค์กร หรือส่วนงานของหน่วยงานหรือองค์กรที่มีรายช่ือแนบท้าย ประกาศฉบับน้ี ถือเป็นโครงสร้างพื้นฐานสําคัญของประเทศซึ่งต้องกระทําตามวิธีการแบบปลอดภัย ในระดับเคร่งครัดตามพระราชกฤษฎีกาว่าด้วยวิธีการแบบปลอดภัยในการทําธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. ๒๕๕๓ ประกาศ ณ วนั ที่ ๒๘ กรกฎาคม พ.ศ. ๒๕๕๙ อุตตม สาวนายน รฐั มนตรวี า่ การกระทรวงเทคโนโลยสี ารสนเทศและการส่อื สาร ประธานกรรมการธรุ กรรมทางอิเลก็ ทรอนิกส์ ส�ำ นักงานพัฒนาธรุ กรรมทางอิเล็กทรอนกิ ส์ 189

แนบทา้ ย ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนกิ ส์ เรอ่ื ง รายชอื่ หนว่ ยงานหรือองคก์ ร หรอื สว่ นงานของหน่วยงานหรอื องค์กรทถี่ ือเปน็ โครงสรา้ งพืน้ ฐานสาํ คญั ของประเทศซ่งึ ตอ้ งกระทําตามวธิ กี ารแบบปลอดภัยในระดบั เคร่งครดั พ.ศ. ๒๕๕๙ ว่าดว้ ยรายชอ่ื หน่วยงานหรอื องค์กร หรอื ส่วนงานของหนว่ ยงานหรอื องคก์ ร ส่วนราชการ ๑. สาํ นกั นายกรัฐมนตรี เฉพาะ (๑) สํานักงานปลดั สาํ นักนายกรฐั มนตรี (๒) กรมประชาสัมพนั ธ์ (๓) สาํ นกั ขา่ วกรองแห่งชาติ (๔) สํานักงบประมาณ (๕) สํานกั งานคณะกรรมการขา้ ราชการพลเรอื น (๖) สาํ นกั งานคณะกรรมการส่งเสริมการลงทนุ ๒. กระทรวงกลาโหม เฉพาะ (๑) สาํ นักงานปลดั กระทรวงกลาโหม (๒) กองบัญชาการกองทัพไทย (๓) กองทัพบก (๔) กองทพั เรอื (๕) กองทพั อากาศ ๓. กระทรวงการคลัง เฉพาะ (๑) กรมธนารกั ษ์ (๒) กรมบัญชีกลาง (๓) กรมศุลกากร (๔) กรมสรรพสามติ (๕) กรมสรรพากร (๖) สํานักงานคณะกรรมการนโยบายรฐั วิสาหกิจ (๗) สํานกั งานบรหิ ารหนสี้ าธารณะ ๔. กระทรวงการต่างประเทศ ๕. กระทรวงเกษตรและสหกรณ์ เฉพาะ (๑) กรมชลประทาน 190 สำ�นกั งานพฒั นาธรุ กรรมทางอิเลก็ ทรอนิกส์

(๒) กรมประมง 191 (๓) กรมปศสุ ตั ว์ (๔) กรมวิชาการเกษตร (๕) กรมสง่ เสรมิ สหกรณ์ ๖. กระทรวงคมนาคม เฉพาะ (๑) กรมเจา้ ทา่ (๒) กรมการขนสง่ ทางบก (๓) กรมทา่ อากาศยาน (๔) กรมทางหลวง (๕) กรมทางหลวงชนบท (๖) สํานกั งานนโยบายและแผนการขนสง่ และจราจร ๗. กระทรวงทรพั ยากรธรรมชาติและสง่ิ แวดล้อม เฉพาะ (๑) กรมควบคุมมลพิษ ๘. กระทรวงเทคโนโลยสี ารสนเทศและการส่ือสาร เฉพาะ (๑) สํานักงานปลัดกระทรวงเทคโนโลยสี ารสนเทศและการสือ่ สาร (๒) กรมอุตุนิยมวทิ ยา ๙. กระทรวงพลงั งาน เฉพาะ (๑) กรมเช้อื เพลิงธรรมชาติ (๒) กรมธุรกจิ พลงั งาน ๑๐.กระทรวงพาณิชย์ เฉพาะ (๑) กรมการคา้ ภายใน (๒) กรมพัฒนาธรุ กิจการค้า ๑๑.กระทรวงมหาดไทย เฉพาะ (๑) กรมการปกครอง (๒) กรมท่ดี ิน (๓) กรมป้องกันและบรรเทาสาธารณภยั (๔) กรมโยธาธิการและผังเมอื ง ๑๒.กระทรวงยตุ ธิ รรม เฉพาะ (๑) กรมบงั คบั คดี สำ�นกั งานพัฒนาธรุ กรรมทางอิเล็กทรอนกิ ส์