(๕) สำหรับความถี่ของการปฏิบัติในแตละขอ ควรมีการปฏิบัติที่เพียงพอตอสภาพความเสี่ยง ท่ียอมรบั ไดของแตล ะหนว ยงาน ขอ ๑๓ หนวยงานของรัฐตองจัดใหมีการตรวจสอบและประเมินความเสี่ยงดา นสารสนเทศ โดยตอง มีเนอ้ื หาอยา งนอ ย ดงั น้ี (๑) หนวยงานของรัฐตองจัดใหมีการตรวจสอบและประเมินความเสี่ยงดานสารสนเทศที่อาจเกิดขึ้น กบั ระบบสารสนเทศ (information security audit and assessment) อยา งนอ ยปล ะ ๑ ครงั้ (๒) ในการตรวจสอบและประเมินความเสี่ยงจะตองดำเนินการ โดยผูตรวจสอบภายในหนวยงาน ของรัฐ (internal auditor) หรือโดยผูตรวจสอบอิสระดานความมั่นคงปลอดภัยจากภายนอก (external auditor) เพอ่ื ใหหนว ยงานของรฐั ไดทราบถึงระดบั ความเสยี่ งและระดบั ความม่นั คงปลอดภัยสารสนเทศของ หนวยงาน ขอ ๑๔๑ หนวยงานของรัฐตองกำหนดความรับผิดชอบท่ชี ัดเจน กรณีระบบคอมพวิ เตอรหรือขอมูล สารสนเทศเกิดความเสียหาย หรืออันตรายใด ๆ แกองคกรหรือผูหนึ่งผูใด อันเนื่องมาจากความบกพรอง ละเลย หรือฝาฝนการปฏิบัติตามแนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัย ดานสารสนเทศ ทั้งน้ี ใหผูบริหารระดับสูงสุดของหนวยงาน (Chief Executive Officer : CEO) เปน ผรู ับผดิ ชอบตอความเส่ยี ง ความเสยี หาย หรอื อันตรายท่เี กดิ ขน้ึ ขอ ๑๕ หนวยงานของรัฐสามารถเลือกใชขอปฏิบัติในการรักษาความมั่นคงปลอดภัย ดานสารสนเทศ ทีต่ างไปจากประกาศฉบับนีไ้ ด หากแสดงใหเ หน็ วา ขอปฏิบัตทิ ี่เลอื กใชม คี วามเหมาะสมกวา หรอื เทียบเทา ขอ ๑๖๒ ประกาศน้ีใหใ ชบ ังคบั ตัง้ แตว นั ถัดจากวันประกาศในราชกจิ จานุเบกษาเปนตน ไป ประกาศ ณ วนั ที่ ๓๑ พฤษภาคม พ.ศ. ๒๕๕๓ รอ ยตรีหญงิ ระนองรกั ษ สุวรรณฉวี รัฐมนตรวี า การกระทรวงเทคโนโลยสี ารสนเทศและการส่อื สาร ประธานกรรมการธุรกรรมทางอเิ ลก็ ทรอนกิ ส ๑ ขอ ๑๔ แกไขเพิ่มเติมโดยประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส เรื่อง แนวนโยบายและแนวปฏิบัติ ในการรกั ษาความมัน่ คงปลอดภัยดา นสารสนเทศของหนวยงานของรัฐ (ฉบบั ท่ี ๒) พ.ศ. ๒๕๕๖ ๒ ราชกจิ จานเุ บกษา เลม ๑๒๗/ตอนพเิ ศษ ๗๘ ง/หนา ๑๓๑/๒๓ มิถุนายน ๒๕๕๓ 142 ส�ำ นกั งานพฒั นาธรุ กรรมทางอิเล็กทรอนิกส์
ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส เรื่อง แนวนโยบายและแนวปฏิบัติในการรักษา ความมั่นคงปลอดภยั ดานสารสนเทศของหนวยงานของรัฐ (ฉบับท่ี ๒) พ.ศ. ๒๕๕๖๓ ขอ ๓ ประกาศนี้ใหใ ชบ งั คับต้งั แตว นั ถัดจากวันประกาศในราชกจิ จานเุ บกษาเปนตน ไป ๓ ราชกิจจานุเบกษา เลม ๑๓๐/ตอนพเิ ศษ ๒๑ ง/หนา ๕๒/๑๔ กมุ ภาพันธ ๒๕๕๖ 143 ส�ำ นักงานพฒั นาธรุ กรรมทางอิเล็กทรอนกิ ส์
144 สำ�นกั งานพฒั นาธรุ กรรมทางอิเล็กทรอนกิ ส์
ประกาศคณะกรรมการธุรกรรมทางอเิ ล็กทรอนิกส เรื่อง แนวนโยบายและแนวปฏิบัติในการคมุ ครองขอ มลู สวนบุคคล ของหนวยงานของรฐั พ.ศ. ๒๕๕๓ ส�ำ นกั งานพฒั นาธรุ กรรมทางอิเลก็ ทรอนิกส์ 145
ช่อื กฎหมาย ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส เรื่อง แนวนโยบายและแนวปฏิบัติ ในการคุมครองขอมูลสวนบุคคลของหนวยงานของรฐั พ.ศ. ๒๕๕๓ ประกาศในราชกิจจานเุ บกษา เลม ๑๒๗ / ตอนพิเศษ ๑๒๖ ง / หนา ๓๑ / วันท่ี ๑ พฤศจิกายน ๒๕๕๓ เรม่ิ บังคบั ใช วนั ที่ ๒ พฤศจกิ ายน ๒๕๕๓ แกไขโดย แกคำผิด ประกาศคณะกรรมการธุรกรรมทางอิเลก็ ทรอนิกส เรอ่ื ง แนวนโยบายและแนวปฏิบตั ิ ในการคุมครองขอมลู สว นบุคคลของหนว ยงานของรฐั พ.ศ. ๒๕๕๓ ประกาศในราชกิจจานเุ บกษา เลม ๑๒๗ / ตอนพเิ ศษ ๑๓๔ ง / หนา ๙๙ / วนั ท่ี ๑๙ พฤศจกิ ายน ๒๕๕๓ 146 ส�ำ นักงานพัฒนาธรุ กรรมทางอิเลก็ ทรอนกิ ส์
ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส เรือ่ ง แนวนโยบายและแนวปฏบิ ตั ิในการคุมครองขอมลู สวนบคุ คลของหนว ยงานของรัฐ พ.ศ. ๒๕๕๓ ขอมูลสวนบุคคลท่ีมีการรวบรวม จัดเก็บ ใชหรือเผยแพรในรูปของขอมูลอิเล็กทรอนิกส เปนสิทธิมนุษยชนข้ันพ้ืนฐานที่ไดรับความคุมครอง ซึ่งปจจุบันมีการนําระบบสารสนเทศและการส่ือสาร มาประยุกตใชประกอบการทําธุรกรรมทางอิเล็กทรอนิกสอยางแพรหลาย และเพ่ือใหการทําธุรกรรม ทางอิเล็กทรอนิกสของหนวยงานของรัฐมีความม่ันคงปลอดภัย ความนาเชื่อถือ และมีการคุมครอง ขอมูลสวนบุคคล คณะกรรมการธุรกรรมทางอิเล็กทรอนิกสเห็นสมควรกําหนดแนวนโยบายและแนวปฏบิ ตั ิ ในการคุมครองขอมลู สว นบุคคลของหนวยงานของรฐั ใหมีมาตรฐานเดยี วกัน อาศัยอํานาจตามความในมาตรา ๖ มาตรา ๗ และมาตรา ๘ แหงพระราชกฤษฎีกากําหนด หลักเกณฑและวิธีการในการทําธุรกรรมทางอิเล็กทรอนิกสภาครัฐ พ.ศ. ๒๕๔๙ คณะกรรมการธุรกรรม ทางอิเล็กทรอนิกสจึงออกประกาศฉบับนี้ เพื่อเปนแนวทางเบื้องตน ใหหนวยงานของรัฐใชในการกําหนด นโยบายและขอปฏิบัตใิ นการคุมครองขอมูลสว นบุคคลสําหรบั การทําธรุ กรรมทางอเิ ลก็ ทรอนิกส ดังตอไปน้ี ขอ ๑ ใหหนวยงานของรฐั ซึ่งรวบรวม จดั เกบ็ ใช เผยแพร หรอื ดําเนนิ การอ่ืนใดเกยี่ วกับขอมูลของ ผใู ชบ รกิ ารธรุ กรรมทางอเิ ล็กทรอนิกส จดั ทํานโยบายในการคุมครองขอมลู สว นบุคคลไวเปนลายลักษณอักษร โดยใหม ีสาระสาํ คญั อยางนอ ย ดังน้ี (๑) การเกบ็ รวบรวมขอมูลสว นบคุ คลอยางจํากดั การจัดเก็บรวบรวมขอมูลสวนบุคคลใหมีขอบเขตจํากัด และใชวิธีการท่ีชอบดวยกฎหมาย และเปน ธรรม และใหเ จา ของขอ มลู ทราบหรอื ไดร ับความยินยอมจากเจา ของขอมลู ตามแตก รณี (๒) คณุ ภาพของขอมูลสว นบุคคล ข อ มู ล ส ว น บุ ค ค ล ที่ ร ว บ ร ว ม แ ล ะ จั ด เ ก็ บ ใ ห เ ป น ไ ป ต า ม อํ า น า จ ห น า ที่ แ ล ะ วั ต ถุ ป ร ะ ส ง ค ในการดําเนนิ งานของหนว ยงานของรัฐตามกฎหมาย (๓) การระบุวัตถุประสงคใ นการเก็บรวบรวม ใหบ นั ทกึ วัตถุประสงคของการเก็บรวบรวมขอมลู สว นบุคคลในขณะท่ีมกี ารรวบรวมและจัดเก็บ รวมถงึ การนาํ ขอมลู นนั้ ไปใชในภายหลัง และหากมีการเปล่ียนแปลงวัตถปุ ระสงคข องการเก็บรวบรวมขอมูล ใหจัดทาํ บันทกึ แกไขเพ่ิมเติมไวเปน หลกั ฐาน สำ�นักงานพัฒนาธรุ กรรมทางอิเล็กทรอนกิ ส์ 147
(๔) ขอจํากดั ในการนาํ ขอมลู สวนบุคคลไปใช หามมิใหมีการเปดเผย หรือแสดง หรือทําใหปรากฏในลักษณะอื่นใดซ่ึงขอมูลสวนบุคคลท่ีไม สอดคลอ งกับวตั ถุประสงคข องการรวบรวมและจัดเก็บขอมูล เวน แตจะไดร ับความยินยอมจากเจาของขอมูล หรือเปน กรณที ม่ี กี ฎหมายกําหนดใหก ระทาํ ได (๕) การรกั ษาความมั่นคงปลอดภัย ใหมีมาตรการในการรักษาความมั่นคงปลอดภัยของขอมูลสวนบุคคลอยางเหมาะสม เพ่อื ปอ งกันการสูญหาย การเขาถงึ ทาํ ลาย ใช แปลง แกไขหรือเปดเผยขอ มลู โดยมิชอบ (๖) การเปด เผยเก่ียวกบั การดําเนินการ แนวปฏบิ ตั ิ และนโยบายที่เก่ยี วกบั ขอมลู สวนบคุ คล ใหม กี ารเปดเผยการดาํ เนินการ แนวปฏบิ ตั ิ และนโยบายท่เี กย่ี วกับขอมูลสวนบุคคล และจดั ใหมี วิธีการที่สามารถตรวจดูความมีอยู ลักษณะของขอมูลสวนบุคคลวัตถุประสงคของการนําขอมูลไปใช ผคู วบคุมและสถานท่ีทาํ การของผคู วบคมุ ขอมลู สว นบุคคล (๗) การมีสวนรว มของเจาของขอ มูล ใหผูควบคุมขอมูลสวนบุคคลแจงถึงความมีอยู หรือรายละเอียดของขอมูลสวนบุคคลแก เจาของขอมูลเมื่อไดรับคํารองขอภายในระยะเวลาอันสมควรตามวิธีการในรูปแบบ รวมถึงคาใชจาย (ถามี) ตามสมควร หามมิใหผูควบคุมขอมูลสวนบุคคลปฏิเสธท่ีจะใหคําช้ีแจงหรือใหขอมูลแกเจาของขอมูล ผูสืบสทิ ธ์ิ ทายาท ผูแทนโดยชอบธรรม หรอื ผพู ิทักษ ตามกฎหมาย ใหผูควบคุมขอมูลจัดทําบันทึกคําคัดคานการจัดเก็บ ความถูกตอง หรือการกระทําใด ๆ เกี่ยวกับขอมูลของเจา ของขอ มลู ไวเ ปน หลกั ฐาน (๘) ความรับผิดชอบของบุคคลซึ่งทาํ หนา ที่ควบคุมขอมูล ใหผูควบคุมขอมูลสวนบุคคลปฏิบัติตามมาตรการที่กําหนดไวขางตนเพื่อใหการดําเนินงาน ตามแนวนโยบายเกยี่ วกับการคมุ ครองขอมูลสว นบคุ คลเปน ไปตามมาตรฐานของประกาศฉบบั น้ี ขอ ๒ ใหหนวยงานของรัฐจัดทําขอปฏิบัติในการคุมครองขอมูลสวนบุคคลของผูใชบ ริการและใหมี รายการอยางนอ ย ดังน้ี (๑) ขอมูลเบ้อื งตน ประกอบดวย (ก) ช่อื นโยบายการคมุ ครองขอมูลสวนบุคคลวาเปน ของหนวยงานใด (ข) รายละเอียดขอบเขตของการบังคับใชนโยบายการคุมครองขอมูลสวนบุคคลที่หนวยงาน ของรัฐรวบรวม จดั เกบ็ หรอื การใชต ามวตั ถุประสงค (ค) ใหแจงการเปล่ียนแปลงวัตถุประสงคหรือนโยบายการคุมครองขอมูลสวนบุคคลให เจาของขอมูลทราบและขอความยินยอมกอนทุกคร้ังตามวิธีการและภายในกําหนดเวลาท่ีประกาศ เชน การแจงลวงหนาใหเจาของขอมูลทราบกอน ๑๕ วัน โดยการสงทางจดหมายอิเล็กทรอนิกสหรือประกาศไว ในหนา แรกของเว็บไซต เวน แตก ฎหมายจะกาํ หนดไวเปนอยา งอ่ืน 148 สำ�นกั งานพัฒนาธรุ กรรมทางอิเล็กทรอนกิ ส์
การขอความยนิ ยอมจากเจา ของขอมูลนั้น ใหม คี วามชัดเจนวาหนวยงานของรัฐขอรับความยินยอม เพือ่ วัตถปุ ระสงคใ ด (๒) การเก็บรวบรวม จัดประเภท และการใชขอมูลสว นบคุ คล ใหหนว ยงานของรัฐที่ทําธรุ กรรมทางอิเล็กทรอนิกส ซงึ่ เก็บรวบรวมขอมูลผานทางเวบ็ ไซตหรือ ผานรูปแบบของการกรอกขอความทางกระดาษแลวนาํ มาแปลงขอความเขาระบบอิเล็กทรอนิกสห รือจัดเก็บ โดยวิธีอ่ืน ใหแสดงรายละเอียดของการรวบรวมขอมูลเปนชนิด ประเภท รวมถึงขอมูลที่จะไมจัดเก็บ และขอมูลท่ีรวบรวมและจัดเก็บน้ันจะนําไปใชตามวัตถุประสงคใด โดยลักษณะหรือดวยวิธีการท่ีทําให เจาของขอมูลไดทราบ ท้ังน้ี การรวบรวมและจัดเก็บขอมูลนั้น ใหทําเปนประกาศหรือแจงรายละเอียด ใหเ จาของขอมลู ทราบ ใหหนวยงานของรัฐท่ีจัดบริการผานทางเว็บไซต แสดงรายละเอียดของการรวบรวมขอมูล ผานทางเว็บไซตของหนวยงานนั้น รวมถึงการใชขอมูลซ่ึงอยางนอยตองระบุวาอยูในสวนใดของเว็บไซต หรือในเว็บเพจใดท่ีมีการรวบรวมและจัดเก็บขอมูล และใหมีรายละเอียดอยางแจงชัดถึงวิธีการ ในการรวบรวมและจดั เก็บขอมูล เชน การจัดเกบ็ โดยใหม ีการลงทะเบยี น หรอื การกรอกแบบสอบถาม เปน ตน ใหหนวยงานของรฐั รวบรวม จดั เก็บและใชข อ มลู สว นบุคคลจัดทํารายละเอยี ด ดงั ตอไปน้ี (ก) การติดตอ ระหวา งหนวยงานของรัฐ ใหหนวยงานของรัฐซ่ึงจะติดตอไปยังผูใชบริการดวยวิธีการทางอิเล็กทรอนิกส บอกกลาว ใหผูใชบ ริการทราบลว งหนา ทัง้ นี้ ผใู ชบรกิ ารอาจแจงความประสงคใ หต ิดตอ โดยวิธกี ารอ่ืนได (ข) การใชคุกกี้ (Cookies) ใหหนวยงานของรัฐระบุบนเว็บไซตสําหรับการใชคุกก้ีท่ีเชื่อมโยงกับขอมูลสวนบุคคล วา ผูใชบ รกิ ารจะใชค ุกก้ีเพือ่ วัตถปุ ระสงคแ ละประโยชนใด และใหส ิทธทิ ี่จะไมรบั การตอ เช่อื มคกุ กีไ้ ด (ค) การเกบ็ ขอมลู สถิติเกยี่ วกับประชากร (Demographic Information) ใหหนวยงานของรัฐมีเว็บไซตสําหรับการเก็บรวบรวมขอมูลสถิติเก่ียวกับประชากร เชน เพศ อายุ อาชีพ ท่ีสามารถเชื่อมโยงกับขอมูลระบุตัวบุคคลได ระบุถึงวิธีการรวบรวมและจัดเก็บ ขอมูลดังกลาวไวในนโยบายการคุมครองขอมูลสวนบุคคลดวย และใหชี้แจงวัตถุประสงคของการใช ขอ มลู ดงั กลาว รวมถงึ การใหบุคคลอ่ืนรวมใชขอมูลนั้นดวย (ง) บนั ทึกผูเขาชมเว็บ (Log Files) ใหหนวยงานของรัฐซ่ึงจัดบริการเว็บไซตที่มีการเก็บบันทึกการเขาออกโดยอัตโนมัติ เชน หมายเลขไอพี (IP Address) เว็บไซตท่ีเขาออกกอนและหลัง และประเภทของโปรแกรมบราวเซอร (Browser) ที่สามารถเชื่อมโยงขอมูลดังกลาวกับขอมูลซึ่งระบุตัวบุคคลได ระบุวิธีการรวบรวมและ จัดเก็บขอมูลดังกลาวไวในนโยบายการคุมครองขอมูลสวนบุคคล และใหช้ีแจงวัตถุประสงคของการใช รวมถงึ การใหบ ุคคลอ่ืนรวมใชข อ มูลนั้นดวย ส�ำ นักงานพัฒนาธรุ กรรมทางอิเล็กทรอนกิ ส์ 149
(จ) ใหหนวยงานของรัฐระบุขอมูลที่มีการจัดเก็บผานทางเว็บไซตวาเปนขอมูลที่ประชาชน มีสิทธิเลือกวา “จะใหหรือไมให” ก็ได และใหหนวยงานของรัฐจัดเตรียมชองทางอ่ืนในการติดตอสื่อสาร สาํ หรบั ผูใชบ รกิ ารทีไ่ มประสงคจะใหข อ มูลผา นทางเว็บไซต (๓) การแสดงระบคุ วามเชอื่ มโยงใหขอมลู สวนบุคคลกบั หนว ยงานหรอื องคกรอ่นื การเก็บรวบรวมขอมูลผานทางเว็บไซตของหนวยงานของรัฐและเว็บไซตดังกลาวที่มี การเช่ือมโยงใหขอมูลแกหนวยงานหรือองคกรอื่น ใหหนวยงานของรัฐแสดงไวอยางชัดเจนถึงชื่อผูเก็บ รวบรวมขอ มูลผานทางเวบ็ ไซต หรือชอื่ ผมู สี ิทธิในขอมูลที่ไดม ีการเกบ็ รวบรวม (Data Subject) และชอ่ื เปน ผูมีสิทธิเขาถึงขอมูลดังกลาวทั้งหมด รวมถึงประเภทของขอมูลที่จะใชรวมกับหนวยงาน หรือองคกรน้ัน ๆ ตลอดจนช่ือผูมีหนาท่ีปฏิบัติตามนโยบายการคุมครองขอมูลสวนบุคคลไวในนโยบายการคุมครองขอมูล สว นบุคคล เพอื่ ใหผใู ชบรกิ ารทราบ ใหห นวยงานของรฐั แจงใหผ ูใชบ ริการทราบและใหความยินยอมลว งหนากอนทําการเปลี่ยนแปลง การเช่อื มโยงขอ มลู ตามวรรคแรกกับหนว ยงานหรือองคกรอืน่ (๔) การรวมขอมูลจากทีม่ าหลาย ๆ แหง ใหหนวยงานของรัฐท่ีซึ่งไดรับขอมูลมาจากผูใชบริการเว็บไซต และจะนําไปรวมเขากับขอมูล ของบุคคลดังกลาวที่ไดรับจากท่ีมาแหงอื่น ระบุไวในนโยบายคุมครองขอมูลสวนบุคคลถึงเจตนารมณ การรวมขอมูลดังกลาวดวย เชน เว็บไซตไดรับขอมูลท่ีเปนช่ือและที่อยูของการสงจดหมายอิเล็กทรอนิกส จากผูใชบริการโดยการกรอกขอมูลตามแบบสอบถามผานทางเว็บไซต และจะนําขอมูลดังกลาวไปรวมเขา กบั ขอ มลู เกีย่ วกับประวัตขิ องผูใชบ รกิ ารทไ่ี ดร ับจากทมี่ าแหงอ่ืน (๕) การใหบ ุคคลอื่นใชห รือการเปด เผยขอ มลู สว นบคุ คล ใหหนวยงานของรัฐระบุไวในนโยบายการคุมครองขอมูลสวนบุคคลดวยวามีบุคคลอ่ืนท่ีจะ เขา ถงึ หรือใชขอมลู ทห่ี นว ยงานนั้นไดเก็บรวบรวมมาผานทางเว็บไซตดว ย และใหระบุไวดว ยวาการใหเขาถึง ใช หรือเปดเผยขอมูลดังกลาวสอดคลองกับขอกําหนดตามกฎหมายของหนวยงานของรัฐท่ีดําเนินการ ดงั กลา ว (๖) การรวบรวม จัดเกบ็ ใช และการเปด เผยขอมลู เกย่ี วกบั ผูใชบ ริการ ใหหนวยงานของรัฐซ่ึงรวบรวม จัดเก็บ ใช และเปดเผยขอมูลสวนบุคคลที่ประสงคจะนําไป ดํ า เ นิ น ก า ร อ่ื น น อ ก เ ห นื อ ไ ป จ า ก วั ต ถุ ป ร ะ ส ง ค ข อ ง ก า ร ร ว บ ร ว ม ข อ มู ล ส ว น บุ ค ค ล ต า ม ท่ี ไ ด ร ะ บุ ไ ว เชน การรวบรวม จัดเก็บ ใช และเปดเผยขอมูลที่ไมจําเปน หรือการเปดเผยขอมูลสวนบุคคลตอบุคคลอื่น ระบุไวในนโยบายการคุมครองขอมูลสวนบุคคลถึงสิทธิของผูใชบริการที่จะเลือกวา จะใหหนวยงานของรัฐ รวบรวมจดั เก็บหรอื ไมใ หจัดเก็บ ใชหรอื ไมใ หใช และเปด เผยหรือไมเปด เผยขอ มลู ดังกลาว การใหผูใชบริการใชสิทธิเลือกตามวรรคแรกใหรวมถึงการใหส ิทธเิ ลอื กแบบที่หนวยงานของรัฐ จะตองขอความยินยอมโดยชัดแจง จากเจาของขอมูลสวนบคุ คลน้ันกอน และการใหสิทธิเลือกแบบท่ีใหส ิทธิ แกผูใชบริการในการปฏิเสธไมใหมีการใชหรือการเปดเผยขอมูลสวนบุคคล เพ่ือวัตถุประสงคอ่ืน นอกเหนอื จากวัตถุประสงคที่เกบ็ รวบรวมขอมลู สวนบคุ คลดังกลา วขา งตนแลวเทา น้นั ท้ังน้ี การใหสิทธเิ ลือก 150 สำ�นักงานพัฒนาธรุ กรรมทางอิเลก็ ทรอนกิ ส์
ตอ งกระทำใหส มบรู ณกอนท่เี วบ็ ไซตจะทำการติดตอกับผูใชบริการในครัง้ แรก และหากเปน การใชสิทธิเลือก แบบหา มไมใหม ีการใชข อมลู สวนบุคคลแตกตางไปจากวตั ถปุ ระสงคเดิม หนว ยงานเจา ของเว็บไซตตองระบุไว ในนโยบายการคุมครองขอมูลสวนบุคคลใหผูใชบริการไดรับทราบถึงวิธกี ารของการสงการติดตอครั้งที่สอง ของเวบ็ ไซตดว ย (๗) การเขาถงึ การแกไขใหถูกตอง และการปรับปรุงใหเ ปนปจ จุบัน ใหหนวยงานของรัฐกำหนดวิธีการที่ผูใชบริการเว็บไซตสามารถเขาถึงและแกไข หรือปรับปรุง ขอ มูลสวนบคุ คลเกย่ี วกับตนเองทหี่ นว ยงานของรฐั รวบรวมและจดั เกบ็ ไวใ นเว็บไซตใ หถูกตอง (๘) การรกั ษาความมน่ั คงปลอดภัยของขอมูลสวนบุคคล ๑ใหหนวยงานของรัฐซึ่งรวบรวมขอมูลสวนบุคคลผานทางเว็บไซตจัดใหมีวิธีการรักษา ความมนั่ คงปลอดภัยสำหรับขอมูลสวนบคุ คลท่ีรวบรวมและจัดเกบ็ ไวใหเหมาะสมกับการรักษาความลับของ ขอมูลสว นบุคคล เพ่อื ปอ งกันการเปลยี่ นแปลงแกไขขอมลู ดังกลาวโดยมิชอบ รวมถึงการปองกันการกระทำ ใดทจ่ี ะมีผลทำใหขอมูลไมอ ยูในสภาพพรอ มใชง าน ซึ่งหนว ยงานของรฐั พงึ ดำเนินการ ดงั น้ี (ก) สรางเสริมความสำนึกในการรับผิดชอบดานความมั่นคงปลอดภัยของขอมูลสวนบุคคล ใหแกบุคลากร พนักงาน หรือลูกจางของหนวยงานดวยการเผยแพรขอมูลขาวสาร ใหความรู จัดสัมมนา หรอื ฝก อบรมในเรอ่ื งดังกลาวใหแ กบ คุ ลากรในองคกรเปนประจำ (ข) กำหนดสิทธิและขอจำกัดสิทธิในการเขาถึงขอมูลสวนบุคคลของบุคลากร พนักงาน หรือลูกจางของตนในแตล ะลำดับชน้ั ใหชัดเจน และใหม ีการบนั ทึกรวมทง้ั การทำสำรองขอมูลของการเขาถึง หรอื การเขาใชง านขอมลู สว นบุคคลไวในระยะเวลาท่ีเหมาะสมหรอื ตามระยะเวลาท่ีกฎหมายกำหนด (ค) ตรวจสอบและประเมินความเสี่ยงดานความมั่นคงปลอดภัยของเว็บไซตหรือของระบบ สารสนเทศทั้งหมดอยา งนอยปละ ๑ คร้งั (ง) กำหนดใหมีการใชมาตรการที่เหมาะสมและเปนการเฉพาะสำหรับการรักษา ความมั่นคงปลอดภัยของขอมูลสวนบุคคลที่มีความสำคัญยิ่งหรือเปนขอมูลที่อาจกระทบตอความรูสึก ความเชื่อ ความสงบเรียบรอย และศีลธรรมอันดีของประชาชนซึ่งเปนผูใชบริการของหนวยงานของรัฐ หรืออาจกอใหเกิดความเสียหาย หรือมีผลกระทบตอสิทธิเสรีภาพของผูเปนเจาของขอมูลอยางชัดเจน เชน หมายเลขบัตรเดบิต หรือบัตรเครดิต หมายเลขประจำตัวประชาชน หรือหมายเลขประจำตัวบุคคล เช้อื ชาติ ศาสนา ความเชอ่ื ความคดิ เหน็ ทางการเมอื ง สุขภาพ พฤตกิ รรมทางเพศ เปนตน (จ) ควรจัดใหมีมาตรการที่รอบคอบในการรักษาความม่ันคงปลอดภัยสำหรบั ขอมลู สวนบุคคล ของบุคคลซึง่ อายุไมเกนิ สิบแปดปโดยใชวิธกี ารโดยเฉพาะและเหมาะสม ๑ คำวา “ใหหนวยงานของรัฐซึ่งรวบรวมขอมูลสวนบุคคลผานทางเว็บไซตจัดใหมีวิธีการรักษาความมั่นคง” แกไขโดย แกคำผิด ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส เรื่อง แนวนโยบายและแนวปฏิบัติในการคุมครองขอมูลสวนบุคคลของหนวยงานของรัฐ พ.ศ. ๒๕๕๓ สำ�นกั งานพัฒนาธรุ กรรมทางอิเล็กทรอนกิ ส์ 151
(๙) การติดตอกับเว็บไซต เว็บไซตซึง่ ใหขอมูลแกผูใชบรกิ ารในการติดตอกับหนวยงานของรัฐ ตองจัดใหมีทั้งขอมลู ติดตอ ไปยังสถานที่ทำการงานปกติและขอมูลติดตอผานทางออนไลนดวย ขอมูลติดตอที่หนวยงานของรัฐควรจะ ระบเุ อาไว อยา งนอยตองประกอบดวยขอ มูลดังตอไปน้ี (ก) ชือ่ และท่ีอยู (ข) หมายเลขโทรศัพท (ค) หมายเลขโทรสาร (ง) ที่อยูจดหมายอิเลก็ ทรอนิกส ขอ ๓ ใหหนวยงานของรัฐจัดทำนโยบายและแนวปฏิบัติในการคุมครองขอมูลสวนบุคคลภายใต หลักการตามขอ ๑ และขอ ๒ สำหรับหนวยงานของรัฐที่ไดรับทรัสตมารคจากหนวยงาน หรือองคกรอื่น ที่ทำหนาที่ออกทรัสตมารค (Trust Mark) ใหหนวยงานของรัฐนั้นแสดงนโยบายและแนวปฏิบัติ ในการคุมครองขอมูลสวนบุคคลที่ไดรับการรับรองจากหนวยงานหรือองคกรที่ออกหรือรับรองทรัสตมารค ดังกลา วตอคณะกรรมการธรุ กรรมทางอิเล็กทรอนิกส ประกอบดว ย ทรัสตมารค (Trust Mark) ตามความในวรรคแรกหมายถึง เครื่องหมายที่รับรองวาหนวยงาน ดังกลาวมีมาตรฐานในการคุมครองขอมูลสวนบุคคลของประชาชนในการทำธุรกรรมทางอิเล็กทรอนิกส ซึ่งออกโดยหนวยงานหรือองคกรที่จัดตั้งโดยชอบดวยกฎหมายเพื่อทำหนาที่ในการตรวจสอบและรับรอง การออกทรสั ตมารค ใหก ับผูขอรับการรับรอง ขอ ๔ ใหหนวยงานของรัฐกำหนดชื่อเรียกนโยบายการคุมครองขอมูลสวนบุคคลไวใหชัดเจน และในกรณีที่มีการปรับปรุงนโยบาย ใหระบุวัน เวลา และป ซึ่งจะมีการปรับปรุงหรือเปลี่ยนแปลงนโยบาย ดังกลาวไวดวย ขอ ๕๒ ประกาศน้ใี หใ ชบ งั คบั ต้ังแตว ันถดั จากวันประกาศในราชกิจจานเุ บกษาเปนตนไป ประกาศ ณ วันท่ี ๑ ตลุ าคม พ.ศ. ๒๕๕๓ จตุ ิ ไกรฤกษ รัฐมนตรวี าการกระทรวงเทคโนโลยีสารสนเทศและการสอ่ื สาร ประธานกรรมการธุรกรรมทางอิเล็กทรอนิกส ๒ ราชกิจจานเุ บกษา เลม ๑๒๗/ตอนพเิ ศษ ๑๒๖ ง/หนา ๓๑/๑ พฤศจกิ ายน ๒๕๕๓ 152 สำ�นักงานพฒั นาธรุ กรรมทางอิเลก็ ทรอนกิ ส์
แกคำผิด ประกาศคณะกรรมการธรุ กรรมทางอเิ ลก็ ทรอนกิ ส๓ เรื่อง แนวนโยบายและแนวปฏิบัติในการคุมครองขอมูลสวนบุคคลของหนวยงานของรัฐ พ.ศ. ๒๕๕๓ ซง่ึ ประกาศในราชกจิ จานุเบกษา ฉบบั ประกาศและงานทว่ั ไป เลม ๑๒๗ ตอนพเิ ศษ ๑๒๖ ง วนั ที่ ๑ พฤศจิกายน ๒๕๕๓ หนา ๓๖ บรรทัดที่ ๒ คำวา “ใหหนวยงานของรัฐซึ่งรวบรวมขอมูลสวนบุคคล ผา นทางจัดใหม ีวิธีการรักษาความมั่นคง” ใหแ กเ ปน “ใหหนวยงานของรัฐ ซง่ึ รวบรวมขอมูลสว นบคุ คลผา นทางเวบ็ ไซตจ ดั ใหมีวธิ ีการรกั ษาความม่ันคง” ๓ ราชกิจจานุเบกษา เลม ๑๒๗/ตอนพิเศษ ๑๓๔ ง/หนา ๙๙/๑๙ พฤศจกิ ายน ๒๕๕๓ 153 สำ�นักงานพัฒนาธรุ กรรมทางอิเล็กทรอนิกส์
154 สำ�นกั งานพฒั นาธรุ กรรมทางอิเล็กทรอนกิ ส์
พระราชกฤษฎกี า วาดว ยวธิ ีการแบบปลอดภัยในการทำธรุ กรรมทางอเิ ล็กทรอนิกส พ.ศ. ๒๕๕๓ สำ�นกั งานพฒั นาธรุ กรรมทางอิเลก็ ทรอนิกส์ 155
ชื่อกฎหมาย พระราชกฤษฎีกาวา ดว ยวิธีการแบบปลอดภยั ในการทำธรุ กรรมทางอเิ ล็กทรอนิกส พ.ศ. ๒๕๕๓ ประกาศในราชกจิ จานุเบกษา เลม ๑๒๗ / ตอนท่ี ๕๓ ก / หนา ๑๓ / วนั ที่ ๓ กันยายน ๒๕๕๓ เรมิ่ บงั คบั ใช วนั ที่ ๒ มีนาคม ๒๕๕๔ ผูรกั ษาการ รฐั มนตรีวา การกระทรวงดจิ ิทัลเพอ่ื เศรษฐกจิ และสงั คม 156 ส�ำ นักงานพฒั นาธรุ กรรมทางอิเล็กทรอนกิ ส์
เลม ๑๒๗ ตอนที่ ๕๓ ก หนา ๑๓ ๓ กนั ยายน ๒๕๕๓ ราชกิจจานุเบกษา พระราชกฤษฎกี า วา ดวยวิธกี ารแบบปลอดภัยในการทําธุรกรรมทางอเิ ล็กทรอนิกส พ.ศ. ๒๕๕๓ ภูมพิ ลอดุลยเดช ป.ร. ใหไว ณ วนั ท่ี ๒๓ สงิ หาคม พ.ศ. ๒๕๕๓ เปนปท่ี ๖๕ ในรัชกาลปจจบุ นั พระบาทสมเด็จพระปรมินทรมหาภูมิพลอดุลยเดช มีพระบรมราชโองการโปรดเกลา ฯ ใหประกาศวา โดยทเ่ี ปน การสมควรกาํ หนดวธิ กี ารแบบปลอดภยั ในการทําธรุ กรรมทางอเิ ล็กทรอนิกส อาศยั อํานาจตามความในมาตรา ๑๘๗ ของรัฐธรรมนูญแหงราชอาณาจักรไทย และมาตรา ๒๕ แหง พระราชบัญญัติวาดวยธุรกรรมทางอิเล็กทรอนิกส พ.ศ. ๒๕๔๔ อันเปนกฎหมายที่มีบทบัญญัติ บางประการเก่ียวกับการจํากัดสิทธิและเสรีภาพของบุคคล ซ่ึงมาตรา ๒๙ ประกอบกับมาตรา ๔๓ ของรัฐธรรมนูญแหงราชอาณาจักรไทย บัญญัติใหกระทําไดโดยอาศัยอํานาจตามบทบัญญัติ แหง กฎหมาย จึงทรงพระกรุณาโปรดเกลา ฯ ใหตราพระราชกฤษฎกี าขน้ึ ไว ดงั ตอ ไปนี้ มาตรา ๑ พระราชกฤษฎกี าน้เี รียกวา “พระราชกฤษฎกี าวา ดวยวิธีการแบบปลอดภัยในการ ทําธุรกรรมทางอเิ ลก็ ทรอนกิ ส พ.ศ. ๒๕๕๓” มาตรา ๒ พระราชกฤษฎีกาน้ีใหใชบังคับเม่ือพนกําหนดหน่ึงรอยแปดสิบวันนับแต วันประกาศในราชกจิ จานเุ บกษาเปนตนไป สำ�นกั งานพฒั นาธรุ กรรมทางอิเลก็ ทรอนกิ ส์ 157
เลม ๑๒๗ ตอนท่ี ๕๓ ก หนา ๑๔ ๓ กันยายน ๒๕๕๓ ราชกิจจานุเบกษา มาตรา ๓ ในพระราชกฤษฎกี าน้ี “วิธีการแบบปลอดภัย” หมายความวา วิธีการแบบปลอดภัยในการทําธุรกรรมทาง อเิ ลก็ ทรอนกิ ส “ทรพั ยส ินสารสนเทศ” หมายความวา (๑) ระบบเครือขายคอมพิวเตอร ระบบคอมพิวเตอร ระบบงานคอมพิวเตอร และระบบ สารสนเทศ (๒) ตัวเครอ่ื งคอมพิวเตอร อุปกรณค อมพิวเตอร เครื่องบันทกึ ขอ มลู และอปุ กรณอ นื่ ใด (๓) ขอ มลู สารสนเทศ ขอ มูลอเิ ล็กทรอนกิ ส และขอมลู คอมพวิ เตอร “ความม่ันคงปลอดภัยของระบบสารสนเทศ” (information security) หมายความวา การปอ งกันทรัพยส ินสารสนเทศจากการเขา ถงึ ใช เปดเผย ขดั ขวาง เปลยี่ นแปลงแกไข ทําใหสูญหาย ทาํ ใหเ สยี หาย ถกู ทาํ ลาย หรอื ลว งรูโดยมชิ อบ “ความมั่นคงปลอดภัยดานบริหารจัดการ” (administrative security) หมายความวา การกระทําในระดับบริหารโดยการจัดใหมีนโยบาย มาตรการ หลักเกณฑ หรือกระบวนการใด ๆ เพื่อนํามาใชใ นกระบวนการคดั เลือก การพัฒนา การนาํ ไปใช หรือการบาํ รงุ รักษาทรพั ยสินสารสนเทศ ใหมีความม่นั คงปลอดภยั “ความม่ันคงปลอดภัยดานกายภาพ” (physical security) หมายความวา การจัดใหมีนโยบาย มาตรการ หลักเกณฑ หรือกระบวนการใด ๆ เพื่อนํามาใชในการปองกันทรัพยสินสารสนเทศ สิ่งปลกู สราง หรือทรัพยสินอืน่ ใดจากการคกุ คามของบุคคล ภยั ธรรมชาติ อุบัติภยั หรอื ภัยทางกายภาพอนื่ “การรักษาความลับ” (confidentiality) หมายความวา การรักษาหรือสงวนไวเพ่ือปองกัน ระบบเครอื ขายคอมพวิ เตอร ระบบคอมพวิ เตอร ระบบงานคอมพิวเตอร ระบบสารสนเทศ ขอมูลสารสนเทศ ขอมูลอิเล็กทรอนิกส หรือขอมูลคอมพิวเตอรจากการเขาถึง ใช หรือเปดเผยโดยบุคคลซึ่งไมไดรับ อนุญาต “การรกั ษาความครบถว น” (integrity) หมายความวา การดําเนินการเพ่ือใหขอมูลสารสนเทศ ขอ มูลอเิ ล็กทรอนกิ ส หรือขอ มลู คอมพิวเตอรอ ยใู นสภาพสมบูรณข ณะทมี่ กี ารใชง าน ประมวลผล โอน หรือเก็บรักษา เพ่ือมิใหมีการเปลี่ยนแปลงแกไข ทําใหสูญหาย ทําใหเสียหาย หรือถูกทําลายโดย ไมไดร ับอนญุ าตหรือโดยมิชอบ 158 ส�ำ นักงานพฒั นาธรุ กรรมทางอิเล็กทรอนิกส์
เลม ๑๒๗ ตอนที่ ๕๓ ก หนา ๑๕ ๓ กนั ยายน ๒๕๕๓ ราชกจิ จานุเบกษา “การรักษาสภาพพรอมใชงาน” (availability) หมายความวา การจัดทําใหทรัพยสิน สารสนเทศสามารถทํางาน เขาถึง หรือใชงานไดในเวลาท่ีตอ งการ “โครงสรางพืน้ ฐานสําคญั ของประเทศ” (critical infrastructure) หมายความวา บรรดาหนวยงาน หรือองคกร หรือสวนงานหน่ึงสวนงานใดของหนวยงานหรือองคกร ซ่ึงธุรกรรมทางอิเล็กทรอนิกส ของหนวยงานหรือองคกร หรือสวนงานของหนวยงานหรือองคกรน้ัน มีผลเกี่ยวเนื่องสําคัญตอ ความมัน่ คงหรือความสงบเรยี บรอยของประเทศ หรอื ตอสาธารณชน มาตรา ๔ วิธีการแบบปลอดภยั มีสามระดบั ดังตอไปน้ี (๑) ระดับเครงครดั (๒) ระดับกลาง (๓) ระดบั พื้นฐาน มาตรา ๕ วธิ ีการแบบปลอดภัยตามมาตรา ๔ ใหใชสําหรับการทําธุรกรรมทางอิเล็กทรอนิกส ดงั ตอ ไปนี้ (๑) ธุรกรรมทางอิเล็กทรอนิกสซ่ึงมีผลกระทบตอความมั่นคงหรือความสงบเรียบรอย ของประเทศ หรือตอ สาธารณชน (๒) ธุรกรรมทางอิเล็กทรอนิกสของหนวยงานหรือองคกร หรือสวนงานของหนวยงาน หรอื องคก รท่ถี อื เปน โครงสรา งพน้ื ฐานสําคัญของประเทศ มาตรา ๖ ใหคณะกรรมการประกาศกําหนดประเภทของธุรกรรมทางอิเล็กทรอนิกส หรอื หลกั เกณฑการประเมนิ ระดับผลกระทบของธรุ กรรมทางอิเลก็ ทรอนกิ สต ามมาตรา ๕ (๑) ซึ่งตอง กระทําตามวิธีการแบบปลอดภัยในระดับเครงครัด ระดับกลาง หรือระดับพ้ืนฐาน แลวแตกรณี ท้ังน้ี โดยใหคํานงึ ถึงระดับความเส่ยี งตอความม่ันคงปลอดภัยของระบบสารสนเทศ ผลกระทบตอมูลคา และความเสยี หายทีผ่ ใู ชบริการอาจไดร ับ รวมทัง้ ผลกระทบตอ เศรษฐกจิ และสังคมของประเทศ ใหคณะกรรมการประกาศกําหนดรายชื่อหรือประเภทของหนวยงานหรือองคกร หรือสวนงาน ของหนวยงานหรือองคก รทถี่ ือเปนโครงสรางพน้ื ฐานสาํ คัญของประเทศตามมาตรา ๕ (๒) ซึ่งตองกระทํา ตามวิธีการแบบปลอดภยั ในระดบั เครง ครัด ระดับกลาง หรือระดบั พน้ื ฐาน แลวแตก รณี มาตรา ๗ วิธีการแบบปลอดภัยตามมาตรา ๔ ในแตละระดับ ใหมีมาตรฐานการรักษา ค ว า ม มั่ น ค ง ป ล อ ด ภั ย ข อ ง ร ะ บ บ ส า ร ส น เ ท ศ ต า ม ห ลั ก เ ก ณ ฑ ท่ี ค ณ ะ ก ร ร ม ก า ร ป ร ะ ก า ศ กํ า ห น ด สำ�นกั งานพัฒนาธรุ กรรมทางอิเลก็ ทรอนิกส์ 159
เลม ๑๒๗ ตอนที่ ๕๓ ก หนา ๑๖ ๓ กนั ยายน ๒๕๕๓ ราชกิจจานเุ บกษา โดยมาตรฐานดังกลาวสําหรับวิธีการแบบปลอดภัยในแตละระดับนั้น อาจมีการกําหนดหลักเกณฑ ทแ่ี ตกตางกันตามความจาํ เปน แตอยางนอยตอ งมกี ารกาํ หนดเกยี่ วกับหลักเกณฑ ดงั ตอ ไปนี้ (๑) การสรา งความมั่นคงปลอดภยั ดานบรหิ ารจัดการ (๒) การจัดโครงสรางดานความมั่นคงปลอดภัยของระบบสารสนเทศ ในสวนการบริหาร จัดการดา นความม่ันคงปลอดภยั ของระบบสารสนเทศ ทัง้ ภายในและภายนอกหนวยงานหรอื องคก ร (๓) การบริหารจดั การทรพั ยส ินสารสนเทศ (๔) การสรางความม่ันคงปลอดภัยของระบบสารสนเทศดา นบคุ ลากร (๕) การสรางความมัน่ คงปลอดภัยดานกายภาพและสภาพแวดลอ ม (๖) การบริหารจัดการดานการสื่อสารและการดําเนินงานของระบบเครือขายคอมพิวเตอร ระบบคอมพวิ เตอร ระบบงานคอมพิวเตอร และระบบสารสนเทศ (๗) การควบคมุ การเขา ถึงระบบเครอื ขายคอมพิวเตอร ระบบคอมพิวเตอร ระบบงานคอมพิวเตอร ระบบสารสนเทศ ขอ มูลสารสนเทศ ขอมลู อเิ ลก็ ทรอนกิ ส และขอ มลู คอมพิวเตอร (๘) การจัดหาหรือจัดใหมี การพัฒนา และการบํารุงรักษาระบบเครือขายคอมพิวเตอร ระบบคอมพวิ เตอร ระบบงานคอมพิวเตอร และระบบสารสนเทศ (๙) การบรหิ ารจดั การสถานการณด า นความมั่นคงปลอดภัยที่ไมพึงประสงค หรือไมอ าจคาดคดิ (๑๐) การบรหิ ารจัดการดานการบรกิ ารหรือการดําเนินงานของหนวยงานหรือองคกรเพื่อใหมี ความตอ เนอื่ ง (๑๑) การตรวจสอบและการประเมินผลการปฏิบัติตามนโยบาย มาตรการ หลักเกณฑ หรอื กระบวนการใด ๆ รวมทั้งขอ กาํ หนดดา นความมน่ั คงปลอดภยั ของระบบสารสนเทศ มาตรา ๘ เพ่ือประโยชนในการเปนแนวทางสําหรับการจัดทํานโยบายหรือแนวปฏิบัติ ในการรักษาความม่ันคงปลอดภัยของระบบสารสนเทศของหนวยงานหรือองคกร คณะกรรมการ อาจระบหุ รอื แสดงตัวอยางมาตรฐานทางเทคโนโลยซี ่งึ เปนที่ยอมรับเปนการทั่วไปวาเปนมาตรฐานทาง เทคโนโลยที เ่ี ชือ่ ถอื ไดไ วใ นประกาศตามมาตรา ๗ ดวยกไ็ ด มาตรา ๙ ธรุ กรรมทางอิเล็กทรอนกิ สใ ดไดกระทําโดยวิธีการที่มีการรักษาความมั่นคงปลอดภัย ของระบบสารสนเทศในระดับท่ีเทียบเทาหรือไมต่ํากวามาตรฐานความมั่นคงปลอดภัยของระบบ สารสนเทศตามประกาศตามมาตรา ๗ ซงึ่ ไดกําหนดไวส าํ หรบั ระดับของวิธีการแบบปลอดภัยในการทํา 160 ส�ำ นกั งานพฒั นาธรุ กรรมทางอิเลก็ ทรอนิกส์
เลม ๑๒๗ ตอนที่ ๕๓ ก หนา ๑๗ ๓ กันยายน ๒๕๕๓ ราชกิจจานเุ บกษา ธุรกรรมทางอิเล็กทรอนิกสนั้น ใหถ ือวาธุรกรรมทางอิเล็กทรอนิกสดังกลาวไดกระทําตามวิธีการท่ีเชื่อถือได ตามมาตรา ๒๕ แหงพระราชบัญญัตวิ าดวยธรุ กรรมทางอเิ ลก็ ทรอนกิ ส พ.ศ. ๒๕๔๔ มาตรา ๑๐ ในการทําธรุ กรรมทางอเิ ล็กทรอนิกสตามวิธีการแบบปลอดภัยตามพระราชกฤษฎีกานี้ ผกู ระทําตอ งคํานึงถึงหลักการพ้ืนฐานของการรักษาความลับ การรักษาความครบถวน และการรักษา สภาพพรอมใชงาน รวมทั้งตองปฏิบัติตามนโยบายและแนวปฏิบัติในการควบคุมการปฏิบัติงานและ การรักษาความมนั่ คงปลอดภัยของระบบสารสนเทศของหนว ยงานหรอื องคก รนั้นดว ย มาตรา ๑๑ ในกรณีที่คณะกรรมการเห็นวาหนวยงานหรือองคกรใด หรือสวนงานหนึ่ง สวนงานใดของหนวยงานหรือองคกรใด มีการจัดทํานโยบายและแนวปฏิบัติในการรักษาความม่ันคง ปลอดภัยของระบบสารสนเทศโดยสอดคลองกับวิธีการแบบปลอดภัยตามพระราชกฤษฎีกาน้ี คณะกรรมการอาจประกาศเผยแพรรายช่ือหนวยงานหรือองคกร หรือสวนงานของหนวยงานหรือองคกรน้ัน เพ่อื ใหสาธารณชนทราบเปน การท่ัวไปกไ็ ด มาตรา ๑๒ ใหคณะกรรมการพิจารณาทบทวนหลักเกณฑเก่ียวกับวิธีการแบบปลอดภัย ตามพระราชกฤษฎีกานี้และประกาศท่อี อกตามพระราชกฤษฎกี านี้ รวมทัง้ กฎหมายอืน่ ท่ีเก่ียวขอ ง อยางนอ ย ทกุ รอบระยะเวลาสองปน ับแตวันท่ีพระราชกฤษฎีกาน้ีใชบังคับ ท้ังนี้ โดยพิจารณาถึงความเหมาะสม และความสอดคลอ งกบั เทคโนโลยที ีไ่ ดม ีการพัฒนาหรอื เปลย่ี นแปลงไป และจดั ทําเปน รายงานเสนอตอ คณะรฐั มนตรเี พ่ือทราบตอไป มาตรา ๑๓ ใหนายกรัฐมนตรรี กั ษาการตามพระราชกฤษฎีกาน้ี ผรู ับสนองพระบรมราชโองการ อภิสทิ ธิ์ เวชชาชวี ะ นายกรัฐมนตรี ส�ำ นกั งานพัฒนาธรุ กรรมทางอิเล็กทรอนกิ ส์ 161
เลม ๑๒๗ ตอนที่ ๕๓ ก หนา ๑๘ ๓ กนั ยายน ๒๕๕๓ ราชกจิ จานุเบกษา หมายเหตุ :- เหตผุ ลในการประกาศใชพระราชกฤษฎีกาฉบับน้ี คือ เนื่องจากในปจจุบันเทคโนโลยีสารสนเทศ และการสือ่ สารไดเขามามีบทบาทสําคัญตอการดําเนินการของท้ังภาครัฐและภาคเอกชน โดยมีการทําธุรกรรม ทางอเิ ล็กทรอนิกสกันอยา งแพรหลาย จึงสมควรสงเสริมใหมีการบริหารจัดการและรักษาความมั่นคงปลอดภัย ของทรัพยสินสารสนเทศในการทําธุรกรรมทางอิเล็กทรอนิกส เพ่ือใหมีการยอมรับและเช่ือม่ันในขอมูล อิเล็กทรอนิกสมากยิ่งข้ึน ประกอบกับมาตรา ๒๕ แหงพระราชบัญญัติวาดวยธุรกรรมทางอิเล็กทรอนิกส พ.ศ. ๒๕๔๔ บัญญัติใหธุรกรรมทางอิเล็กทรอนิกสใดที่ไดกระทําตามวิธีการแบบปลอดภัยที่กําหนดใน พระราชกฤษฎีกาแลว ใหสนั นิษฐานวาเปนวธิ กี ารท่เี ชอ่ื ถือได จงึ จําเปน ตอ งตราพระราชกฤษฎกี านี้ 162 ส�ำ นักงานพฒั นาธรุ กรรมทางอิเลก็ ทรอนกิ ส์
สำ�นกั งานพฒั นาธรุ กรรมทางอิเลก็ ทรอนกิ ส์ 163
164 สำ�นกั งานพฒั นาธรุ กรรมทางอิเล็กทรอนกิ ส์
ประกาศคณะกรรมการธรุ กรรมทางอเิ ล็กทรอนกิ ส เรือ่ ง ประเภทของธรุ กรรมทางอิเลก็ ทรอนิกส และหลักเกณฑ การประเมนิ ระดับผลกระทบของธรุ กรรมทางอิเลก็ ทรอนิกส ตามวิธกี ารแบบปลอดภยั พ.ศ. ๒๕๕๕ ส�ำ นักงานพฒั นาธรุ กรรมทางอิเล็กทรอนกิ ส์ 165
ช่อื กฎหมาย ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส เรื่อง ประเภทของธุรกรรมทางอิเล็กทรอนิกส และหลักเกณฑการประเมินระดับผลกระทบของธุรกรรมทางอิเล็กทรอนิกสตามวิธีการแบบปลอดภัย พ.ศ. ๒๕๕๕ ประกาศในราชกิจจานุเบกษา เลม ๑๒๙ / ตอนพิเศษ ๑๙๑ ง / หนา ๓๙ / วนั ท่ี ๑๙ ธนั วาคม ๒๕๕๕ เร่มิ บังคบั ใช วนั ท่ี ๑๔ ธันวาคม ๒๕๕๖ 166 ส�ำ นักงานพัฒนาธรุ กรรมทางอิเล็กทรอนิกส์
เล่ม ๑๒๙ ตอนพิเศษ ๑๙๑ ง หน้า ๓๙ ๑๙ ธนั วาคม ๒๕๕๕ ราชกิจจานุเบกษา ประกาศคณะกรรมการธุรกรรมทางอิเลก็ ทรอนกิ ส์ เร่อื ง ประเภทของธรุ กรรมทางอเิ ลก็ ทรอนิกส์ และหลักเกณฑ์การประเมินระดับผลกระทบของ ธรุ กรรมทางอิเล็กทรอนิกส์ตามวธิ ีการแบบปลอดภัย พ.ศ. ๒๕๕๕ โดยท่พี ระราชกฤษฎกี าวา่ ด้วยวิธีการแบบปลอดภัยในการทําธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. ๒๕๕๓ กําหนดให้คณะกรรมการประกาศกําหนดประเภทของธุรกรรมทางอิเล็กทรอนิกส์ หรือหลักเกณฑ์ การประเมินระดับผลกระทบของธรุ กรรมทางอิเล็กทรอนิกส์ เพื่อใหก้ ารทําธรุ กรรมทางอเิ ล็กทรอนิกส์ใด ท่ไี ดก้ ระทําตามวิธีการแบบปลอดภัยทคี่ ณะกรรมการกาํ หนดเป็นวิธกี ารที่เช่ือถอื ได้ อาศยั อํานาจตามความในมาตรา ๖ วรรคหน่ึง แห่งพระราชกฤษฎีกาว่าด้วยวิธีการแบบปลอดภัย ในการทาํ ธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. ๒๕๕๓ คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์จึงออก ประกาศเพ่ือกําหนดประเภทของธุรกรรมทางอิเล็กทรอนิกส์ และหลักเกณฑ์การประเมินระดับ ผลกระทบของธุรกรรมทางอิเลก็ ทรอนิกสต์ ามวิธกี ารแบบปลอดภยั ไว้ ดังนี้ ข้อ ๑ ประกาศนี้เรียกว่า “ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ เรื่อง ประเภทของธุรกรรมทางอิเล็กทรอนิกส์ และหลักเกณฑ์การประเมินระดับผลกระทบของธุรกรรมทาง อิเลก็ ทรอนิกส์ตามวธิ กี ารแบบปลอดภัย พ.ศ. ๒๕๕๕” ข้อ ๒ ใหธ้ ุรกรรมทางอิเลก็ ทรอนกิ สใ์ นประเภทดังต่อไปนี้ ใช้วิธีการแบบปลอดภัยในระดับ เครง่ ครดั (๑) ธุรกรรมทางอิเล็กทรอนิกส์ด้านการชําระเงินทางอิเล็กทรอนิกส์ตามพระราชกฤษฎีกา วา่ ดว้ ยการควบคุมดแู ลธุรกจิ บริการการชําระเงินทางอเิ ลก็ ทรอนิกส์ พ.ศ. ๒๕๕๑ (๒) ธุรกรรมทางอิเล็กทรอนิกส์ด้านการเงินของธนาคารพาณิชย์ตามกฎหมายว่าด้วยธุรกิจ สถาบนั การเงิน (๓) ธรุ กรรมทางอเิ ล็กทรอนกิ สด์ า้ นประกันภัยตามกฎหมายว่าดว้ ยประกันชวี ิตและประกนั วนิ าศภยั (๔) ธรุ กรรมทางอิเล็กทรอนิกส์ด้านหลักทรัพย์ของผู้ประกอบธุรกิจหลักทรัพย์ตามกฎหมาย ว่าดว้ ยหลักทรพั ย์และตลาดหลกั ทรพั ย์ (๕) ธุรกรรมทางอิเล็กทรอนิกส์ท่ีจัดเก็บ รวบรวม และให้บริการข้อมูลของบุคคลหรือทรัพย์สิน หรอื ทะเบียนตา่ ง ๆ ท่เี ปน็ เอกสารมหาชนหรอื ทเี่ ปน็ ข้อมลู สาธารณะ (๖) ธรุ กรรมทางอเิ ลก็ ทรอนิกสใ์ นการให้บรกิ ารดา้ นสาธารณูปโภคและบริการสาธารณะท่ีต้อง ดาํ เนนิ การอยา่ งตอ่ เนื่องตลอดเวลา ขอ้ ๓ ในการประเมินระดับผลกระทบของธุรกรรมทางอิเล็กทรอนิกส์ ให้หน่วยงาน หรือองคก์ รยดึ ถอื หลกั การประเมินความเสยี่ งของระบบเทคโนโลยีสารสนเทศซ่งึ เป็นท่ียอมรับเป็นการทั่วไป วา่ เช่อื ถือไดเ้ ป็นแนวทางในการประเมินระดบั ผลกระทบ ส�ำ นักงานพฒั นาธรุ กรรมทางอิเล็กทรอนิกส์ 167
เลม่ ๑๒๙ ตอนพเิ ศษ ๑๙๑ ง หนา้ ๔๐ ๑๙ ธนั วาคม ๒๕๕๕ ราชกจิ จานุเบกษา ข้อ ๔ การประเมินระดับผลกระทบของธุรกรรมทางอิเล็กทรอนิกส์ จะต้องประเมิน ผลกระทบในดา้ นต่อไปน้ีด้วย (๑) ผลกระทบด้านมลู คา่ ความเสียหายทางการเงนิ (๒) ผลกระทบต่อจํานวนผใู้ ช้บริการหรือผู้มีส่วนได้เสียท่ีอาจได้รับอันตรายต่อชีวิต ร่างกาย หรืออนามยั (๓) ผลกระทบต่อจํานวนผู้ใช้บริการหรือผู้มีส่วนได้เสียที่อาจได้รับความเสียหายอ่ืนใด นอกจาก (๒) (๔) ผลกระทบด้านความมัน่ คงของรัฐ ขอ้ ๕ ในการประเมินผลกระทบด้านมูลค่าความเสียหายทางการเงิน ให้จัดเป็นสามระดับ โดยมเี กณฑใ์ นการประเมิน ดังนี้ (๑) ในกรณีมูลค่าความเสยี หายทางการเงินไม่เกินหน่งึ ล้านบาท ให้จดั เปน็ ผลกระทบระดับตํ่า (๒) ในกรณมี ลู ค่าความเสียหายทางการเงินเกินกว่าหน่ึงล้านบาทแต่ไม่เกินหนึ่งร้อยล้านบาท ใหจ้ ดั เปน็ ผลกระทบระดบั กลาง (๓) ในกรณีมูลค่าความเสียหายทางการเงินเกินกว่าหน่ึงร้อยล้านบาทขึ้นไป ให้จัดเป็น ผลกระทบระดับสูง ในการประเมินมูลค่าความเสียหายทางการเงินตามวรรคหนึ่ง ให้คํานวณจากความเสียหาย ท่ีจะเกิดข้ึนในหน่ึงวันและคํานวณความเสียหายโดยตรงเท่านั้น ขอ้ ๖ ในการประเมินผลกระทบต่อจาํ นวนผู้ใชบ้ รกิ ารหรือผมู้ สี ่วนได้เสียท่อี าจได้รับอันตรายต่อชีวิต ร่างกายหรืออนามัย ให้จัดเปน็ สามระดับ โดยมีเกณฑ์ในการประเมิน ดงั นี้ (๑) ในกรณที ไ่ี มม่ ีผใู้ ชบ้ ริการหรือผู้มีส่วนได้เสียได้รับผลกระทบต่อชีวิต ร่างกายหรืออนามัย ใหจ้ ดั เป็นผลกระทบระดับตาํ่ (๒) ในกรณจี าํ นวนผู้ใชบ้ รกิ ารหรอื ผูม้ ีสว่ นได้เสียไดร้ บั ผลกระทบต่อร่างกายหรืออนามัยต้ังแต่ หน่งึ คน แตไ่ มเ่ กินหน่ึงพันคน ให้จดั เปน็ ผลกระทบระดบั กลาง (๓) ในกรณีจํานวนผู้ใช้บริการหรือผู้มีส่วนได้เสียได้รับผลกระทบต่อร่างกายหรืออนามัย เกนิ กวา่ หน่ึงพันคน หรอื ต่อชวี ติ ตงั้ แตห่ น่งึ คน ใหจ้ ดั เปน็ ผลกระทบระดับสูง ในการประเมินผลกระทบตอ่ จํานวนผู้ใช้บริการหรือผู้มีส่วนได้เสียที่อาจได้รับอันตรายต่อชีวิต ร่างกายหรอื อนามยั ตามวรรคหนงึ่ ให้คํานวณจากจํานวนของบุคคลดังกล่าวที่ไดร้ ับผลกระทบในหนึ่งวัน ข้อ ๗ ในการประเมินผลกระทบต่อจํานวนผู้ใช้บริการหรือผู้มีส่วนได้เสียที่อาจได้รับ ความเสยี หายอ่นื นอกจากขอ้ ๔ (๒) ให้จัดเปน็ สามระดับ โดยมเี กณฑใ์ นการประเมิน ดงั น้ี (๑) ในกรณีจํานวนผู้ใช้บริการหรือผู้มีส่วนได้เสียที่อาจได้รับผลกระทบไม่เกินหน่ึงหม่ืนคน ใหจ้ ดั เปน็ ผลกระทบระดบั ตํ่า 168 ส�ำ นักงานพัฒนาธรุ กรรมทางอิเล็กทรอนกิ ส์
เลม่ ๑๒๙ ตอนพิเศษ ๑๙๑ ง หน้า ๔๑ ๑๙ ธนั วาคม ๒๕๕๕ ราชกจิ จานุเบกษา (๒) ในกรณีจํานวนผู้ใช้บริการหรือผู้มีส่วนได้เสียที่อาจได้รับผลกระทบเกินกว่าหน่ึงหม่ืนคน แตไ่ มเ่ กินหน่งึ แสนคน ใหจ้ ดั เป็นผลกระทบระดับกลาง (๓) ในกรณีจํานวนผู้ใช้บริการหรือผู้มีส่วนได้เสียที่อาจได้รับผลกระทบเกินกว่าหน่ึงแสนคน ใหจ้ ดั เป็นผลกระทบระดบั สูง ในการประเมินผลกระทบต่อจํานวนผู้ใช้บริการหรือผู้มีส่วนได้เสียที่อาจได้รับความเสียหาย ตามวรรคหนึ่ง ใหค้ ํานวณจากจาํ นวนของบุคคลดังกล่าวที่ได้รับผลกระทบ ในหนึ่งวันและคํานวณความเสียหาย โดยตรงเท่านัน้ ข้อ ๘ ในการประเมนิ ผลกระทบด้านความม่ันคงของรัฐ ให้จัดเป็นสองระดับ โดยมีเกณฑ์ ในการประเมิน ดังนี้ (๑) ในกรณไี มม่ ีผลกระทบตอ่ ความมนั่ คงของรัฐ ใหจ้ ัดเปน็ ผลกระทบระดบั ตํา่ (๒) ในกรณีมผี ลกระทบตอ่ ความม่ันคงของรฐั ใหจ้ ดั เป็นผลกระทบระดับสงู ข้อ ๙ หากปรากฏว่ามีผลประเมินท่ีเป็นผลกระทบในระดับสูงด้านหนึ่งด้านใดให้ธุรกรรม ทางอิเล็กทรอนิกสน์ ้ันต้องใชว้ ิธกี ารแบบปลอดภัยในระดบั เครง่ ครัด และหากมีผลกระทบในระดับกลาง อยา่ งนอ้ ยสองดา้ นข้นึ ไปให้ใช้วิธกี ารแบบปลอดภัยในระดับกลางข้นึ ไป ในกรณีที่ไม่เป็นไปตามวรรคหน่ึง ให้ธุรกรรมทางอิเล็กทรอนิกส์ใช้วิธีการแบบปลอดภัย ในระดบั ไม่ตาํ่ กว่าระดบั พื้นฐาน ข้อ ๑๐ ประกาศน้ีให้ใช้บังคับเม่ือพ้นกําหนดสามร้อยหกสิบวัน นับแต่วันประกาศใน ราชกิจจานเุ บกษาเปน็ ตน้ ไป ประกาศ ณ วันท่ี ๑๓ พฤศจิกายน พ.ศ. ๒๕๕๕ นาวาอากาศเอก อนดุ ิษฐ์ นาครทรรพ รัฐมนตรวี ่าการกระทรวงเทคโนโลยีสารสนเทศและการสอ่ื สาร ประธานกรรมการธุรกรรมทางอเิ ล็กทรอนกิ ส์ ส�ำ นักงานพัฒนาธรุ กรรมทางอิเลก็ ทรอนิกส์ 169
170 สำ�นกั งานพฒั นาธรุ กรรมทางอิเล็กทรอนกิ ส์
ประกาศคณะกรรมการธุรกรรมทางอเิ ลก็ ทรอนกิ ส เร่อื ง มาตรฐานการรักษาความม่ันคงปลอดภยั ของระบบสารสนเทศ ตามวิธีการแบบปลอดภยั พ.ศ. ๒๕๕๕ สำ�นักงานพฒั นาธรุ กรรมทางอิเล็กทรอนิกส์ 171
ชอื่ กฎหมาย ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส เรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัย ของระบบสารสนเทศตามวิธีการแบบปลอดภัย พ.ศ. ๒๕๕๕ ประกาศในราชกิจจานเุ บกษา เลม ๑๒๙ / ตอนพเิ ศษ ๑๙๑ ง / หนา ๔๒ / วนั ท่ี ๑๙ ธันวาคม ๒๕๕๕ เริม่ บังคบั ใช วนั ที่ ๑๔ ธนั วาคม ๒๕๕๖ 172 ส�ำ นักงานพัฒนาธรุ กรรมทางอิเลก็ ทรอนกิ ส์
เล่ม ๑๒๙ ตอนพิเศษ ๑๙๑ ง หน้า ๔๒ ๑๙ ธันวาคม ๒๕๕๕ ราชกจิ จานเุ บกษา ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนกิ ส์ เร่อื ง มาตรฐานการรกั ษาความม่นั คงปลอดภัยของระบบสารสนเทศตามวิธีการแบบปลอดภยั พ.ศ. ๒๕๕๕ โดยทีพ่ ระราชกฤษฎีกาวา่ ดว้ ยวธิ กี ารแบบปลอดภัยในการทําธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. ๒๕๕๓ กําหนดให้คณะกรรมการประกาศกําหนดมาตรฐานการรกั ษาความม่ันคงปลอดภัยของระบบสารสนเทศ ตามวิธีการแบบปลอดภัยในแต่ละระดับ เพ่ือให้การทําธุรกรรมทางอิเล็กทรอนิกส์ใดท่ีได้กระทําตาม วธิ ีการแบบปลอดภัยทคี่ ณะกรรมการกาํ หนดเป็นวธิ ีการทเี่ ชือ่ ถอื ได้ อาศัยอํานาจตามความในมาตรา ๗ แห่งพระราชกฤษฎีกาว่าด้วยวิธีการแบบปลอดภัยใน การทําธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. ๒๕๕๓ คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์จึงออกประกาศไว้ ดงั ตอ่ ไปนี้ ขอ้ ๑ ประกาศน้ีเรียกว่า “ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ เร่ือง มาตรฐาน การรกั ษาความมั่นคงปลอดภยั ของระบบสารสนเทศตามวธิ กี ารแบบปลอดภัย พ.ศ. ๒๕๕๕” ข้อ ๒ ในกรณีที่จะต้องปฏิบัติให้เป็นไปตามมาตรฐานการรักษาความม่ันคงปลอดภัย ของระบบสารสนเทศตามวิธีการแบบปลอดภัยในระดับเคร่งครัด ระดับกลาง หรือระดับพ้ืนฐาน ให้หน่วยงานหรือองค์กร หรือส่วนงานของหน่วยงานหรือองค์กรปฏิบัติตามมาตรฐานการรักษาความมั่นคง ปลอดภัยของระบบสารสนเทศตามหลกั เกณฑ์ทกี่ ําหนดในแนบทา้ ยประกาศฉบบั น้ี ข้อ ๓ ประกาศนีใ้ หใ้ ชบ้ ังคับเม่อื พ้นกาํ หนดสามร้อยหกสิบวนั นบั แตว่ นั ประกาศในราชกิจจานุเบกษา เปน็ ต้นไป ประกาศ ณ วันท่ี ๑๓ พฤศจกิ ายน พ.ศ. ๒๕๕๕ นาวาอากาศเอก อนดุ ิษฐ์ นาครทรรพ รฐั มนตรีวา่ การกระทรวงเทคโนโลยีสารสนเทศและการส่ือสาร ประธานกรรมการธุรกรรมทางอิเล็กทรอนิกส์ สำ�นกั งานพัฒนาธรุ กรรมทางอิเล็กทรอนิกส์ 173
บญั ชีแนบทา้ ยประกาศคณะกรรมการธรุ กรรมทางอิเลก็ ทรอนิกส์ เร่อื ง มาตรฐานการรกั ษาความมน่ั คงปลอดภยั ของระบบสารสนเทศตามวธิ ีการแบบปลอดภัย พ.ศ. ๒๕๕๕ ------------------------------------------------- มาตรฐานการรกั ษาความมั่นคงปลอดภัยของระบบสารสนเทศเป็นมาตรการสําหรับใช้ในการควบคุมให้ระบบ สารสนเทศมีความม่ันคงปลอดภัย ซึ่งครอบคลุมการรักษาความลับ (Confidentiality) การรักษาความครบถ้วน (Integrity) และการรักษาสภาพพร้อมใช้งาน (Availability) ของระบบสารสนเทศและสารสนเทศในระบบ นั้น โดยการทําธุรกรรมทางอิเล็กทรอนิกส์ด้วยระบบสารสนเทศ ต้องดําเนินการตามมาตรการท่ีเก่ียวข้องตามบัญชีแนบ ทา้ ยนี้ และตอ้ งพิจารณาให้สอดคลอ้ งกบั ระดับความเส่ียงทไี่ ด้จากการประเมนิ ท้ังนี้ มาตรฐานการรกั ษาความม่ันคง ปลอดภัยของระบบสารสนเทศ แบ่งออกเปน็ ๑๑ ข้อ ไดแ้ ก่ ๑. การสรา้ งความมน่ั คงปลอดภัยด้านบรหิ ารจัดการ ๒. การจัดโครงสร้างด้านความมั่นคงปลอดภัยของระบบสารสนเทศในส่วนการบริหารจัดการด้านความ มน่ั คงปลอดภัยของระบบสารสนเทศ ทงั้ ภายในและภายนอกหนว่ ยงานหรือองคก์ ร ๓. การบรหิ ารจดั การทรพั ย์สินสารสนเทศ ๔. การสร้างความมั่นคงปลอดภยั ของระบบสารสนเทศด้านบคุ ลากร ๕. การสรา้ งความมั่นคงปลอดภยั ด้านกายภาพและสภาพแวดลอ้ ม ๖. การบริหารจัดการด้านการส่ือสารและการดําเนินงานของระบบเครือข่ายคอมพิวเตอร์ ระบบ คอมพวิ เตอร์ ระบบงานคอมพิวเตอร์ และระบบสารสนเทศ ๗. การควบคุมการเข้าถึงระบบเครือข่ายคอมพิวเตอร์ ระบบคอมพิวเตอร์ ระบบงานคอมพิวเตอร์ ระบบ สารสนเทศ ขอ้ มูลสารสนเทศ ข้อมูลอเิ ล็กทรอนิกส์ และข้อมลู คอมพิวเตอร์ ๘. การจัดหาหรือจัดให้มีการพัฒนา และการบํารุงรักษาระบบเครือข่ายคอมพิวเตอร์ ระบบคอมพิวเตอร์ ระบบงานคอมพิวเตอร์ และระบบสารสนเทศ ๙. การบริหารจัดการสถานการณด์ ้านความมนั่ คงปลอดภยั ทไี่ มพ่ งึ ประสงค์ หรือไม่อาจคาดคิด ๑๐.การบริหารจัดการด้านการบรกิ ารหรอื การดําเนินงานของหนว่ ยงานหรอื องค์กรเพือ่ ใหม้ ีความ ตอ่ เนอ่ื ง ๑๑.การตรวจสอบและการประเมนิ ผลการปฏิบตั ติ ามนโยบาย มาตรการ หลกั เกณฑ์ หรือกระบวนการใด ๆ รวมทง้ั ขอ้ กาํ หนดดา้ นความมั่นคงปลอดภยั ของระบบสารสนเทศ 174 ส�ำ นักงานพัฒนาธรุ กรรมทางอิเล็กทรอนิกส์
๑. มาตรฐานการรกั ษาความมั่นคงปลอดภัยของระบบสารสนเทศตามวธิ กี ารแบบปลอดภยั ในระดับพ้นื ฐาน การรักษาความม่ันคงปลอดภัยของระบบสารสนเทศตามวิธีการแบบปลอดภัยในระดับพื้นฐานต้องปฏิบัติ ดังนี้ ข้อ ๑. การสร้างความมั่นคงปลอดภัยด้านบริหารจัดการหน่วยงานต้องกําหนดนโยบายในการรักษา ความม่ันคงปลอดภัยด้านสารสนเทศ โดยผ่านการอนุมัติและผลักดันโดยผู้บริหารระดับสูง และมีการประกาศ นโยบายดงั กลา่ วให้พนกั งานและบุคคลภายนอกท่เี กีย่ วข้องรบั ทราบโดยทัว่ กนั ข้อ ๒. การจัดโครงสร้างด้านความม่ันคงปลอดภัยของระบบสารสนเทศในส่วนการบริหารจัดการด้านความ ม่ันคงปลอดภยั ของระบบสารสนเทศ ทง้ั ภายในและภายนอกหน่วยงานหรือองคก์ ร ๒.๑ ผู้บริหารระดับสูงของหน่วยงานมีหน้าท่ีดูแลรับผิดชอบงานด้านสารสนเทศของหน่วยงานให้การ สนับสนุน และกําหนดทิศทางการดําเนินงานเก่ียวกับความมั่นคงปลอดภัยด้านสารสนเทศที่ชัดเจน รวมทั้งมีการ มอบหมายงานท่ีเก่ียวข้องให้กับผู้ปฏิบัติงานอย่างชัดเจน ตลอดจนรับผิดชอบต่อความเสี่ยง ความเสียหาย หรือ อันตรายท่เี กดิ ขึน้ กับระบบสารสนเทศไมว่ ่ากรณใี ด ๆ ๒.๒ สําหรับระบบสารสนเทศใหม่ มีการกําหนดขั้นตอนการพิจารณาทบทวน เพื่ออนุมัติการสร้าง การติดต้ัง หรือการใช้งานในแง่มุมต่าง ๆ เช่น การบริหารจัดการผู้ใช้งานระบบ หรือความสามารถในการทํางาน รว่ มกนั ได้ระหวา่ งระบบเดมิ และระบบใหม่ ๒.๓ มีการกําหนดสัญญาการรักษาข้อมูลท่ีเป็นความลับ (Confidentiality agreement หรือ Non- Disclosure agreement) ท่ีสอดคล้องกับสถานการณ์และความต้องการของหน่วยงานในการปกป้องข้อมูล สารสนเทศ ๒.๔ มีข้อกําหนดเก่ียวกับความมั่นคงปลอดภัยด้านสารสนเทศสําหรับการอนุญาตให้ผู้ใช้บริการท่ีเป็น บุคคลภายนอกเขา้ ถงึ ระบบสารสนเทศ หรือใช้ขอ้ มลู สารสนเทศของหนว่ ยงาน ๒.๕ สําหรับข้อตกลงเพ่ืออนุญาตให้บุคคลภายนอกเข้าถึงระบบสารสนเทศ หรือใช้ข้อมูลสารสนเทศของ หน่วยงาน เพ่ือการอ่าน การประมวลผล การบรหิ ารจัดการระบบสารสนเทศ หรือการพัฒนาระบบสารสนเทศ ควรมี ขอ้ กาํ หนดเกี่ยวกับความม่นั คงปลอดภยั ด้านสารสนเทศระบไุ ว้ในขอ้ ตกลง ข้อ ๓. การบริหารจัดการทรัพย์สินสารสนเทศมีการเก็บบันทึกข้อมูลทรัพย์สินสารสนเทศ โดยข้อมูล ทีจ่ ัดเก็บต้องประกอบดว้ ยข้อมูลท่ีจําเปน็ ในการค้นหาเพอื่ การใชง้ านในภายหลงั ข้อ ๔. การสร้างความม่นั คงปลอดภัยของระบบสารสนเทศดา้ นบคุ ลากร ๔.๑ กําหนดหน้าที่ความรับผิดชอบด้านความมั่นคงปลอดภัยด้านสารสนเทศของพนักงาน หรือหน่วยงาน หรอื บคุ คลภายนอกทวี่ า่ จา้ ง โดยให้สอดคล้องกบั ความมั่นคงปลอดภยั ดา้ นสารสนเทศและนโยบายในการรกั ษาความ มนั่ คงปลอดภัยดา้ นสารสนเทศท่ีหน่วยงานประกาศใช้ ๔.๒ ผู้บริหารระดับสูงของหน่วยงานต้องกําหนดให้พนักงาน หน่วยงานหรือบุคคลภายนอกที่ว่าจ้าง ปฏิบตั งิ านตามนโยบายหรือระเบยี บปฏบิ ัตดิ า้ นความม่นั คงปลอดภัยทีห่ น่วยงานประกาศใช้ ส�ำ นกั งานพฒั นาธรุ กรรมทางอิเลก็ ทรอนกิ ส์ 175
๔.๓ กําหนดให้มีขั้นตอนการลงโทษพนักงานท่ีฝ่าฝืนนโยบายหรือระเบียบปฏิบัติเก่ียวกับความม่ันคง ปลอดภยั ดา้ นสารสนเทศในหน่วยงาน ๔.๔ กําหนดหน้าที่ความรับผิดชอบในการยุติการจ้าง หรือการเปล่ียนแปลงสถานะการจ้างให้ชัดเจน และ มอบหมายใหม้ ีผ้รู ับผิดชอบอยา่ งชดั เจน ๔.๕ พนักงาน หน่วยงานหรือบุคคลภายนอกท่ีว่าจ้างต้องส่งคืนทรัพย์สินสารสนเทศของหน่วยงานเม่ือ สิน้ สดุ สถานะการเป็นพนักงาน หรอื สนิ้ สุดสัญญาหรือขอ้ ตกลงการปฏบิ ัตงิ านให้กบั หน่วยงาน ๔.๖ ให้ยกเลิกสิทธิของพนักงาน หน่วยงานหรือบุคคลภายนอกในการเข้าใช้งานระบบสารสนเทศ เม่ือ ส้ินสุดสถานะการเป็นพนักงาน หรือสิ้นสุดสัญญาหรือข้อตกลงการปฏิบัติงาน และให้ปรับเปล่ียนระดับสิทธิในการ เขา้ ใช้งานระบบสารสนเทศใหเ้ หมาะสมเมื่อมกี ารเปลย่ี นแปลงหน้าท่คี วามรบั ผิดชอบใด ๆ เกิดขึ้น ข้อ ๕. การสรา้ งความมน่ั คงปลอดภัยด้านกายภาพและสภาพแวดลอ้ ม ๕.๑ ให้มีการป้องกันขอบเขตพื้นที่ต้ังของหน่วยงาน (Security perimeter) ที่มีการติดต้ัง จัดเก็บ หรือใช้ งาน ระบบสารสนเทศและข้อมลู สารสนเทศ ๕.๒ มีการออกแบบและติดต้ังการป้องกันความม่ันคงปลอดภัยด้านกายภาพ เพื่อป้องกันภัยจากภายนอก ภัยในระดับหายนะท้ังที่ก่อโดยมนุษย์หรือภัยธรรมชาติ เช่น อัคคีภัย อุทกภัย แผ่นดินไหว ระเบิด การก่อจลาจล เป็นต้น ๕.๓ จดั วางและป้องกันอุปกรณ์สารสนเทศ เพ่อื ลดความเส่ยี งจากภยั ธรรมชาตหิ รืออนั ตรายต่าง ๆ และเพื่อ ป้องกนั การเข้าถึงโดยมิได้รับอนุญาต ๕.๔ มีการป้องกันอุปกรณ์สารสนเทศ ที่อาจเกิดจากไฟฟ้าขัดข้อง (Power failure) หรือท่ีอาจหยุดชะงัก จากข้อผดิ พลาดของโครงสรา้ งพื้นฐาน (Supporting utilities) ๕.๕ มกี ารดแู ลอุปกรณส์ ารสนเทศอย่างถูกวิธี เพอื่ ให้คงไวซ้ ง่ึ ความถูกตอ้ งครบถ้วนและอยู่ในสภาพพร้อมใช้ งานอยเู่ สมอ ข้อ ๖. การบริหารจัดการด้านการส่ือสารและการดําเนินงานของระบบเครือข่ายคอมพิวเตอร์ ระบบ คอมพวิ เตอร์ ระบบงานคอมพิวเตอร์ และระบบสารสนเทศ ๖.๑ มีการจัดทํา ปรับปรุง และดูแลเอกสารข้ันตอนการปฏิบัติงานที่อยู่ในสภาพพร้อมใช้งาน เพื่อให้ พนกั งานสามารถนําไปปฏบิ ัตไิ ด้ ๖.๒ มีการดูแลให้บุคคลหรือหน่วยงานภายนอกที่ให้บริการแก่หน่วยงานตามที่ว่างจ้างปฏิบัติตามสัญญา หรอื ข้อตกลงให้บรกิ ารทรี่ ะบุไว้ ซึ่งต้องครอบคลุมถึงงานด้านความมั่นคงปลอดภัย ลักษณะการใหบ้ ริการ และระดับ การให้บริการ ๖.๓ มีการติดตามตรวจสอบรายงานหรือบันทึกการให้บริการของบุคคลหรือหน่วยงานภายนอกท่ีให้บริการ แก่หน่วยงานตามท่ีว่าจ้างอยา่ งสมาํ่ เสมอ ๖.๔ จัดให้มีเกณฑ์การตรวจรับระบบสารสนเทศที่มีการปรับปรุง หรือที่มีเวอร์ช่ันใหม่ และควรมีการ ทดสอบระบบสารสนเทศทง้ั ในชว่ งการพัฒนาระบบและก่อนการตรวจรับ ๖.๕ มขี ัน้ ตอนควบคมุ การตรวจสอบ ปอ้ งกัน และก้คู นื ในกรณมี กี ารใช้งานโปรแกรมไม่พงึ ประสงค์ และใหม้ ี การสร้างความตระหนกั รูใ้ หก้ บั ผู้ใชง้ านระบบสารสนเทศหรือขอ้ มลู สารสนเทศเก่ียวกบั โปรแกรมไมพ่ ึงประสงค์ 176 สำ�นกั งานพฒั นาธรุ กรรมทางอิเล็กทรอนิกส์
๖.๖ มีการสํารองข้อมูลสารสนเทศ และทดสอบการนํากลับมาใช้งาน โดยให้เป็นไปตามนโยบายการสํารอง ขอ้ มลู ท่หี น่วยงานประกาศใช้ ๖.๗ มีการบริหารจัดการการควบคุมเครือข่ายคอมพิวเตอร์ เพื่อป้องกันภัยคุกคาม และมีการรักษาความ ม่ันคงปลอดภัยของระบบสารสนเทศและแอพพลิเคช่ันท่ีทํางานบนเครือข่ายคอมพิวเตอร์ รวมทั้งข้อมูลสารสนเทศ ท่มี ีการแลกเปล่ียนบนเครือขา่ ยดงั กล่าว ๖.๘ มกี ารกําหนดรปู แบบการรกั ษาความม่ันคงปลอดภัย ระดับการให้บริการ ข้อกําหนดการบริหารจัดการ ในข้อตกลงการให้บริการด้านเครือข่ายคอมพิวเตอร์ ไม่ว่าเป็นการให้บริการโดยหน่วยงานเอง หรือจ้างช่วงไปยัง ผใู้ ห้บรกิ ารภายนอก ๖.๙ จัดให้มีนโยบายและข้ันตอนปฏิบัติงาน รวมท้ังควบคุมการแลกเปลี่ยนข้อมูลสารสนเทศผ่านช่อง ทางการส่ือสารในรปู แบบขอ้ มูลอิเล็กทรอนกิ ส์ ๖.๑๐ จัดให้มีข้อตกลงในการแลกเปล่ียนข้อมูลสารสนเทศหรือซอฟต์แวร์ระหว่างหน่วยงานกับบุคคลหรือ หนว่ ยงานภายนอก ๖.๑๑ จัดให้มีนโยบายและขั้นตอนการปฏิบัติงาน เพ่ือป้องกันข้อมูลสารสนเทศที่มีการสื่อสารหรือ แลกเปลย่ี นผา่ นระบบสารสนเทศทมี่ กี ารเชื่อมตอ่ กับระบบสารสนเทศตา่ ง ๆ ๖.๑๒ มีการป้องกันข้อมูลสารสนเทศท่ีมีการแลกเปล่ียนในการทําพาณิชย์อิเล็กทรอนิกส์ (Electronic commerce) ผ่านเครือข่ายคอมพิวเตอร์สาธารณะ เพื่อมิให้มีการฉ้อโกง ละเมิดสัญญา หรือมีการ ร่วั ไหลหรือข้อมลู สารสนเทศถูกแก้ไขโดยมไิ ดร้ บั อนญุ าต ๖.๑๓ มีการป้องกันข้อมูลสารสนเทศที่มีการส่ือสารหรือแลกเปลี่ยนในการทําธุรกรรมทางออนไลน์ (Online transaction) เพื่อมิให้มีการรับส่งข้อมูลที่ไม่สมบูรณ์ หรือส่งข้อมูลไปผิดท่ี หรือมีการร่ัวไหลของข้อมูล หรอื ข้อมูลถกู แกไ้ ขเปลีย่ นแปลง ถกู ทาํ ซ้าํ ใหม่ หรือถกู สง่ ซํา้ โดยมไิ ดร้ ับอนญุ าต ๖.๑๔ สาํ หรับข้อมลู สารสนเทศที่มีการเผยแพร่ต่อสาธารณชน ให้มีการป้องกันมิให้มีการแก้ไขเปล่ียนแปลง โดยมิไดร้ บั อนุญาต และเพอื่ รกั ษาความถูกต้องครบถ้วนของข้อมูลสารสนเทศ ๖.๑๕ มีการเก็บบันทึกข้อมูล Audit log ซ่ึงบันทึกข้อมูลกิจกรรมการใช้งานของผู้ใช้งานระบบสารสนเทศ และเหตุการณ์เกี่ยวกับความม่ันคงปลอดภัยต่าง ๆ เพื่อประโยชน์ในการสืบสวน สอบสวน ในอนาคต และเพื่อการ ตดิ ตามการควบคมุ การเขา้ ถงึ ๖.๑๖ มขี ้ันตอนการเฝ้าติดตามสังเกตการใช้งานระบบสารสนเทศ และมีการติดตามประเมินผลการติดตาม สังเกตดงั กล่าวอย่างสมา่ํ เสมอ ๖.๑๗ มีการป้องกันระบบสารสนเทศท่ีจัดเก็บ Log และข้อมูล Log เพ่ือป้องกันการเข้าถึงหรือแก้ไข เปลย่ี นแปลงโดยมิได้รับอนญุ าต ๖.๑๘ มีการจัดเก็บ Log ท่ีเก่ียวข้องกับการดูแลระบบสารสนเทศโดยผู้ดูแลระบบ (System administrator หรือ System operator) ขอ้ ๗. การควบคมุ การเขา้ ถึงระบบเครอื ขา่ ยคอมพวิ เตอร์ ระบบคอมพิวเตอร์ ระบบงานคอมพิวเตอร์ ระบบสารสนเทศ ข้อมลู สารสนเทศ ข้อมลู อเิ ลก็ ทรอนกิ ส์ และข้อมูลคอมพิวเตอร์ สำ�นกั งานพัฒนาธรุ กรรมทางอิเลก็ ทรอนกิ ส์ 177
๗.๑ จัดใหม้ ีนโยบายควบคุมการเข้าถึง โดยจัดทําเป็นเอกสาร และมีการติดตามทบทวนให้นโยบายดังกล่าว สอดคล้องกับข้อกําหนดหรือความต้องการด้านการดําเนินงานหรือการให้บริการ และด้านการรักษาความมั่นคง ปลอดภัยระบบสารสนเทศ ๗.๒ จัดให้มีการลงทะเบียนบัญชีผู้ใช้งานระบบสารสนเทศ และยกเลิกบัญชีผู้ใช้อย่างเป็นทางการ เพ่อื ควบคมุ การใหส้ ิทธแิ ละการยกเลกิ สทิ ธใิ นการเขา้ ใช้งานระบบสารสนเทศใด ๆ ของหน่วยงาน ๗.๓ การกําหนดสทิ ธใิ นการเขา้ ถงึ ระดบั สงู ใหท้ าํ อย่างจํากัดและอยูภ่ ายใตก้ ารควบคมุ ๗.๔ ผู้ใช้งานต้องดูแลป้องกันอุปกรณ์สารสนเทศใดที่อยู่ภายใต้ความดูแลรับผิดชอบ ในระหว่างที่ไม่มี การใชง้ าน ๗.๕ จํากดั การเขา้ ถึงเครือข่ายคอมพิวเตอร์ของหนว่ ยงานทีส่ ามารถเข้าถึงได้จากภายนอก โดยให้สอดคล้อง กบั นโยบายควบคุมการเขา้ ถงึ และขอ้ กาํ หนดการใช้งานแอพพลิเคชั่นเพ่อื การดาํ เนินงาน ๗.๖ ให้ผู้ใช้งานทุกคนมีบัญชีผู้ใช้งานเป็นของตนเอง และให้ระบบสารสนเทศมีเทคนิคการตรวจสอบตัวตน ที่เพยี งพอ เพอื่ ให้สามารถระบุตัวตนของผูเ้ ข้าใช้งานระบบสารสนเทศได้ ๗.๗ ให้ยุติหรือปิดหน้าจอการใช้งานระบบสารสนเทศโดยอัตโนมัติ หากไม่มีการใช้งานเกินระยะเวลาสงู สุด ทก่ี ําหนดไว้ ๗.๘ จํากัดการเข้าถึงข้อมูลสารสนเทศและฟังก์ชั่นต่าง ๆ ในแอพพลิเคชั่นของผู้ใช้งานและผู้ดูแลระบบ สารสนเทศ โดยให้สอดคลอ้ งกบั นโยบายการเขา้ ถงึ ทไ่ี ดก้ าํ หนดไว้ ๗.๙ กําหนดนโยบายและแนวทางการจัดการด้านความมั่นคงปลอดภัย เพื่อลดความเส่ียงในการใช้งาน อุปกรณ์สารสนเทศหรืออุปกรณ์การส่ือสารท่ีเคล่ือนย้ายได้ เช่น แล็ปท็อปคอมพิวเตอร์ (Laptop Computer) หรือ สมารท์ โฟน (Smartphone) เปน็ ตน้ ข้อ ๘. การจัดหาหรือจัดให้มีการพัฒนา และการบํารุงรักษาระบบเครือข่ายคอมพิวเตอร์ ระบบ คอมพวิ เตอร์ ระบบงานคอมพิวเตอร์ และระบบสารสนเทศ ๘.๑ ในการจัดทําข้อกําหนดข้ันตํ่าของระบบสารสนเทศใหม่ หรือการปรับปรุงระบบสารสนเทศเดิม ให้มี การระบขุ ้อกาํ หนดดา้ นการควบคมุ ความม่ันคงปลอดภยั ดา้ นสารสนเทศไว้ด้วย ๘.๒ ให้ดแู ล ควบคุม ติดตามตรวจสอบการทาํ งานในการจา้ งช่วงพัฒนาซอฟตแ์ วร์ ข้อ ๙. การบริหารจัดการสถานการณ์ด้านความมั่นคงปลอดภัยท่ีไม่พึงประสงค์ หรือไม่อาจคาดคิดให้มีการ รายงานสถานการณ์ด้านความมั่นคงปลอดภัยท่ีไม่พึงประสงค์ หรือไม่อาจคาดคิดผ่าน ช่องทางการบริหารจัดการ ท่ีเหมาะสมโดยเรว็ ท่ีสดุ ข้อ ๑๐. การบริหารจัดการด้านการบริการหรือการดําเนินงานของหน่วยงานหรือองค์กรเพื่อให้มีความ ต่อเนื่อง ให้กําหนดแผนเพ่ือรักษาไว้หรือกู้คืนการให้บริการสารสนเทศ หลังเกิดเหตุการณ์ท่ีทําให้ การดําเนินงาน หยดุ ชะงกั เพื่อให้ข้อมลู สารสนเทศอยใู่ นสภาพพรอ้ มใชง้ านตามระดบั ท่ีกาํ หนดไว้ ภายในระยะเวลาทก่ี ําหนดไว้ 178 ส�ำ นกั งานพัฒนาธรุ กรรมทางอิเล็กทรอนกิ ส์
ขอ้ ๑๑. การตรวจสอบและการประเมนิ ผลการปฏิบัติตามนโยบาย มาตรการ หลักเกณฑ์ หรือกระบวนการ ใด ๆ รวมทั้งข้อกาํ หนดด้านความมน่ั คงปลอดภยั ของระบบสารสนเทศ ๑๑.๑ ให้มีการระบุไว้ให้ชัดเจนถึงแนวทางในการดําเนินงานของระบบสารสนเทศท่ีมีความสอดคล้องตาม กฎหมายและข้อกําหนดตามสัญญาต่าง ๆ ของหน่วยงาน โดยต้องจัดทําเป็นเอกสาร และมีการปรับปรุงให้เป็น ปัจจุบนั อย่เู สมอ ๑๑.๒ ป้องกันมใิ หม้ กี ารใช้งานระบบสารสนเทศผิดวัตถุประสงค์ ๑๑.๓ พนักงานของหน่วยงานต้องดูแลให้งานท่ีเกี่ยวกับความมั่นคงปลอดภัยด้านสารสนเทศท่ีอยู่ใน ขอบเขตความรับผดิ ชอบได้ดําเนนิ การไปโดยสอดคล้องกบั กฎหมายและข้อกําหนดตามสญั ญาต่าง ๆ ของหนว่ ยงาน ๒. มาตรฐานการรกั ษาความมน่ั คงปลอดภัยของระบบสารสนเทศตามวธิ กี ารแบบปลอดภัยในระดับกลาง การรักษาความม่ันคงปลอดภัยของระบบสารสนเทศตามวิธีการแบบปลอดภัยในระดับกลาง ให้ปฏิบัติตาม มาตรฐานการรักษาความม่ันคงปลอดภัยของระบบสารสนเทศตามวิธีการแบบปลอดภัยในระดับพ้ืนฐาน และต้อง ปฏบิ ตั เิ พม่ิ เติม ดังน้ี ขอ้ ๑. การสร้างความมน่ั คงปลอดภยั ดา้ นบรหิ ารจดั การ หนว่ ยงานต้องวางแผนการตดิ ตามและประเมินผล การใช้งานความมั่นคงปลอดภัยด้านสารสนเทศ และนโยบายในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ อย่างสมํ่าเสมอ เพ่ือปรับปรุงหากมีการเปล่ียนแปลงใด ๆ ภายในหน่วยงาน ทั้งน้ี เพื่อให้เหมาะสมกับสถานการณ์ การใชง้ าน และคงความมีประสิทธผิ ลอยู่เสมอ ข้อ ๒. การจัดโครงสร้างด้านความมั่นคงปลอดภัยของระบบสารสนเทศในส่วนการบริหารจัดการด้านความ มัน่ คงปลอดภัยของระบบสารสนเทศ ทง้ั ภายในและภายนอกหน่วยงานหรอื องค์กร ๒.๑ มีการกําหนดเนื้องานหรือหน้าที่ความรับผิดชอบต่าง ๆ เกี่ยวกับความมั่นคงปลอดภัยด้านสารสนเทศ ไวอ้ ยา่ งชัดเจน ๒.๒ มีการกําหนดขั้นตอนและช่องทางในการติดต่อกับหน่วยงานภายนอกท่ีมีความเชี่ยวชาญเฉพาะด้าน หรอื หน่วยงานทีม่ ีความเช่ยี วชาญด้านความมน่ั คงปลอดภัยด้านสารสนเทศภายใต้สถานการณ์ตา่ ง ๆ ไว้อยา่ งชัดเจน ๒.๓ จัดให้มีการพิจารณาทบทวนแนวทางในการบริหารจัดการงานเก่ียวกับความมั่นคงปลอดภัยด้าน สารสนเทศอย่างสมํ่าเสมอ หรือเม่ือมีการเปล่ียนแปลงใด ๆ ในการดําเนินงาน ท้ังนี้ การพิจารณาทบทวนดังกล่าว ควรดําเนินการโดยผู้ไม่มสี ว่ นไดเ้ สยี กบั งานทม่ี กี ารพิจารณาทบทวน ขอ้ ๓. การบริหารจดั การทรพั ย์สินสารสนเทศ ๓.๑ มีการกาํ หนดบคุ คลผู้มหี น้าที่ดูแลควบคุมการใชง้ านและรับผดิ ชอบทรัพย์สนิ สารสนเทศไว้ชดั เจน ๓.๒ มีการกาํ หนดกฎระเบยี บในการใช้งานทรัพยส์ ินสารสนเทศไว้อยา่ งชดั เจน โดยจัดทาํ เป็นเอกสาร และมี การประกาศใชใ้ นหนว่ ยงาน ๓.๓ มีการจําแนกประเภทของข้อมูลสารสนเทศ โดยจําแนกตามมูลค่าของข้อมูล ข้อกําหนดทางกฎหมาย ระดบั ชั้นความลับและความสําคัญต่อหนว่ ยงาน สำ�นกั งานพัฒนาธรุ กรรมทางอิเลก็ ทรอนิกส์ 179
๓.๔ มีการกําหนดและประกาศใช้ข้ันตอนท่ีเหมาะสมในการจําแนกประเภทของข้อมูลสารสนเทศ และ จัดการข้อมูลสารสนเทศ โดยให้สอดคล้องกับแนวทางการจําแนกประเภทของข้อมูลสารสนเทศท่ีหน่วยงาน ประกาศใช้ ข้อ ๔. การสร้างความมั่นคงปลอดภัยของระบบสารสนเทศด้านบุคลากร พนักงาน หน่วยงานหรือ บุคคลภายนอกต้องได้รับการอบรมเพ่ือสร้างความตระหนักรู้เกี่ยวกับความม่ันคงปลอดภัยด้านสารสนเทศในส่วนที่ เก่ียวข้องกับหน้าที่ความรับผิดชอบของตน และได้รับการส่ือสารให้ทราบถึงนโยบายหรือระเบียบปฏิบัติด้านความ มนั่ คงปลอดภยั สารสนเทศท่หี นว่ ยงานประกาศใช้อยา่ งสม่ําเสมอ หรือเมือ่ มีการเปล่ียนแปลง ข้อ ๕. การสร้างความมั่นคงปลอดภยั ดา้ นกายภาพและสภาพแวดลอ้ ม ๕.๑ มีการออกแบบและติดต้ังการป้องกันความมั่นคงปลอดภัยด้านกายภาพ เพ่ือป้องกันพื้นท่ีหรือสถานที่ ปฏบิ ตั ิงาน หรืออุปกรณ์สารสนเทศตา่ ง ๆ ๕.๒ ไม่ควรนําอุปกรณ์สารสนเทศ ข้อมูลสารสนเทศ หรือซอฟต์แวร์ออกจากสถานที่ปฏิบัติงานของ หน่วยงานหากมิไดร้ บั อนญุ าต ข้อ ๖. การบริหารจัดการด้านการสื่อสารและการดําเนินงานของระบบเครือข่ายคอมพิวเตอร์ ระบบ คอมพวิ เตอร์ ระบบงานคอมพวิ เตอร์ และระบบสารสนเทศ ๖.๑ มกี ารจัดการควบคมุ การเปลี่ยนแปลงของระบบสารสนเทศ ๖.๒ มีการติดตามผลการใช้งานทรัพยากรสารสนเทศ และวางแผนด้านทรัพยากรสารสนเทศให้รองรับการ ปฏบิ ัตงิ านในอนาคตอย่างเหมาะสม ๖.๓ มีข้ันตอนการปฏิบัติงานในการจัดการและจัดเก็บข้อมูลสารสนเทศเพ่ือมิให้ข้อมูลร่ัวไหลหรือถูก นาํ ไปใชผ้ ิดประเภท ๖.๔ มีการจดั เก็บ Log ทเ่ี ก่ียวข้องกับข้อผิดพลาดใด ๆ ของระบบสารสนเทศ มีการวิเคราะห์ Log ดังกล่าว อยา่ งสมํ่าเสมอ และมกี ารจัดการแก้ไขขอ้ ผดิ พลาดทีต่ รวจพบอยา่ งเหมาะสม ๖.๕ ระบบเวลาของระบบสารสนเทศต่าง ๆ ที่ใช้ในหน่วยงานหรือในขอบเขตงานด้านความม่ันคงปลอดภัย (Security domain) ต้องมีความสอดคล้องกัน (Synchronization) โดยให้มีการต้ังค่าพร้อมกับเวลาจากแหล่งเวลา ทีเ่ ชือ่ ถอื ได้ ข้อ ๗. การควบคุมการเข้าถึงระบบเครือข่ายคอมพิวเตอร์ ระบบคอมพวิ เตอร์ ระบบงานคอมพวิ เตอร์ ระบบสารสนเทศ ขอ้ มลู สารสนเทศ ขอ้ มูลอเิ ลก็ ทรอนิกส์ และขอ้ มูลคอมพิวเตอร์ ๗.๑ มขี ้อบงั คบั ให้ผูใ้ ช้งานปฏิบัติตามขั้นตอนเพื่อการเลือกใช้รหัสผ่านอย่างมั่นคงปลอดภัยตามที่หน่วยงาน กาํ หนด ๗.๒ ผใู้ ช้งานสามารถเขา้ ถงึ เฉพาะบรกิ ารทางเครือขา่ ยคอมพิวเตอรท์ ต่ี นเองไดร้ ับอนุญาตใหใ้ ชไ้ ดเ้ ทา่ นน้ั ๗.๓ ให้มีการกําหนดวิธีการตรวจสอบตัวตนท่ีเหมาะสมเพื่อควบคุมการเข้าถึงระบบสารสนเทศของ หนว่ ยงานจากระยะไกล 180 ส�ำ นักงานพฒั นาธรุ กรรมทางอิเล็กทรอนิกส์
๗.๔ มีการควบคุมการเข้าถึงช่องทางการดูแลระบบสารสนเทศท้ังทางกายภาพและการเชื่อมต่อผ่าน คอมพิวเตอร์ สําหรับระบบสารสนเทศที่สามารถเข้าถึงจากระยะไกลได้ เช่น Remote diagnostic หรือ Configuration facility ของอปุ กรณ์เครือข่ายคอมพวิ เตอร์ ๗.๕ มีการจัดกลุ่มตามประเภทของข้อมูลสารสนเทศที่ให้บริการ ระบบสารสนเทศ กลุ่มผู้ใช้งานโดยมีการ แบง่ แยกบนเครอื ข่ายคอมพิวเตอร์อย่างเป็นสัดสว่ น ๗.๖ กําหนดให้มีการควบคุมเส้นทางการไหลของข้อมูลสารสนเทศในระบบเครือข่ายคอมพิวเตอร์เพื่อไม่ให้ ขัดแย้งกับนโยบายควบคมุ การเขา้ ถึงของแอพพลิเคช่นั ๗.๗ กําหนดข้นั ตอนการ Log-on เพอื่ ควบคุมการเขา้ ถึงระบบปฏิบตั ิการคอมพวิ เตอร์ ๗.๘ ให้จัดทําหรือจัดให้มีระบบการบริหารจัดการรหัสผ่านที่สามารถทํางานแบบเชิงโต้ตอบกับผู้ใช้งาน (Interactive) และสามารถรองรบั การใช้งานรหสั ผา่ นท่มี คี วามมนั่ คงปลอดภัย ข้อ ๘. การจัดหาหรือจัดให้มีการพัฒนา และการบํารุงรักษาระบบเครือข่ายคอมพิวเตอร์ ระบบ คอมพวิ เตอร์ ระบบงานคอมพิวเตอร์ และระบบสารสนเทศ ๘.๑ ให้มีการตรวจสอบ (Validate) ข้อมูลใด ๆ ท่ีจะรับเข้าสู่แอพพลิเคช่ันก่อนเสมอ เพื่อให้มั่นใจได้ว่า ขอ้ มลู มีความถกู ตอ้ งและมีรูปแบบเหมาะสม ๘.๒ ให้มีการตรวจสอบ (Validate) ข้อมูลใด ๆ อันเป็นผลจากการประมวลผลของแอพพลิเคชั่น เพื่อให้ ม่ันใจไดว้ ่า ขอ้ มูลทีไ่ ดจ้ ากการประมวลผลถกู ต้องและเหมาะสม ๘.๓ จัดให้มีแนวทางการบริหารจัดการกุญแจ (Key) เพื่อรองรับการใช้งานเทคนิคที่เกี่ยวข้องกับการ เข้ารหัสลับของหนว่ ยงาน ๘.๔ ใหเ้ ลอื กชดุ ข้อมลู สารสนเทศทีจ่ ะนําไปใชเ้ พ่ือการทดสอบในระบบสารสนเทศอยา่ งระมดั ระวงั รวมท้ังมี แนวทางควบคุมและป้องกันขอ้ มูลรว่ั ไหล ๘.๕ ให้มกี ารจํากดั การเขา้ ถงึ ซอรส์ โคด้ (Source code) ของโปรแกรม ๘.๖ หากมีการเปลี่ยนแปลงใด ๆ ในระบบปฏิบัติการคอมพิวเตอร์ ให้มีการตรวจสอบทบทวนการทํางาน ของโปรแกรมท่ีมีความสําคัญ และทดสอบการใช้งานเพื่อให้ม่ันใจว่าผลของการเปล่ียนแปลงดังกล่าว จะไม่ส่งผล กระทบใด ๆ ต่อความมั่นคงปลอดภยั ของระบบสารสนเทศและการให้บรกิ ารของหนว่ ยงาน ข้อ ๙. การบริหารจัดการด้านการบริการหรือการดําเนินงานของหน่วยงานหรือองค์กรเพื่อให้มีความ ต่อเน่ือง ๙.๑ จัดให้มีข้อกําหนดเกี่ยวกับความมั่นคงปลอดภัยด้านสารสนเทศท่ีจําเป็น โดยกําหนดให้เป็นส่วนหนึ่ง ของขน้ั ตอนการบริหารจดั การเพือ่ การดําเนินงานอย่างต่อเน่อื งในภาวะฉกุ เฉนิ ๙.๒ กําหนดให้มีกรอบงานหลักสําหรับการพัฒนาแผนการบริหารจัดการเพื่อการดําเนินงานอย่างต่อเน่ือง ในภาวะฉุกเฉิน เพื่อให้การพัฒนาแผนต่าง ๆ เป็นไปในทิศทางเดียวกัน รวมทั้งสอดคล้องกับข้อกําหนดด้านความ มัน่ คงปลอดภยั ตลอดจนมีการจดั ลาํ ดับความสําคญั กอ่ นหลงั ในการทดสอบและการดแู ล ๙.๓ ให้มีการทดสอบและปรับปรุงแผนการบริหารจัดการเพ่ือการดําเนินงานอย่างต่อเนื่องในภาวะฉุกเฉิน อยา่ งสมํ่าเสมอ เพ่ือใหม้ น่ั ใจวา่ แผนดงั กล่าวเปน็ ปัจจุบนั และมีประสทิ ธผิ ลอยู่เสมอ ส�ำ นกั งานพฒั นาธรุ กรรมทางอิเล็กทรอนกิ ส์ 181
ขอ้ ๑๐. การตรวจสอบและการประเมินผลการปฏิบัติตามนโยบาย มาตรการ หลักเกณฑ์ หรือกระบวนการ ใด ๆ รวมทงั้ ขอ้ กาํ หนดด้านความมัน่ คงปลอดภยั ของระบบสารสนเทศ ๑๐.๑ จัดให้มีการคุ้มครองข้อมูลส่วนบุคคลโดยให้สอดคล้องกับกฎหมายและข้อกําหนดตามสัญญาต่าง ๆ ของหนว่ ยงาน ๑๐.๒ ใช้เทคนคิ การเข้ารหสั ลบั ทส่ี อดคลอ้ งกับกฎหมายและขอ้ กาํ หนดตามสัญญาต่าง ๆ ของหน่วยงาน ๑๐.๓ ให้มีการทบทวนตรวจสอบระบบสารสนเทศในด้านเทคนิคอย่างสม่ําเสมอเพื่อให้สอดคล้องกับ มาตรฐานการพัฒนางานด้านความมัน่ คงปลอดภยั ด้านสารสนเทศ ๑๐.๔ วางแผนและจัดให้มีข้อกําหนดการตรวจสอบและกิจกรรมที่เกี่ยวข้องกับการตรวจสอบระบบ สารสนเทศ เพ่อื ลดความเส่ียงในการเกิดการหยุดชะงักของการใหบ้ ริการ ๑๐.๕ ป้องกันการเข้าใช้งานเคร่ืองมือท่ีใช้เพื่อการตรวจสอบ เพื่อมิให้เกิดการใช้งานผิดประเภทหรือถูก ละเมิดการใชง้ าน (Compromise) ๓. มาตรฐานการรักษาความมน่ั คงปลอดภยั ของระบบสารสนเทศตามวธิ ีการแบบปลอดภยั ในระดบั เคร่งครดั การรักษาความมั่นคงปลอดภัยของระบบสารสนเทศตามวิธีการแบบปลอดภัยในระดับเคร่งครัด ให้ปฏิบัติ ตามมาตรฐานการรักษาความม่ันคงปลอดภัยของระบบสารสนเทศตามวิธีการแบบปลอดภัยในระดับพื้นฐานและ ระดบั กลาง และต้องปฏิบัตเิ พ่ิมเติม ดังนี้ ข้อ ๑. การจัดโครงสร้างด้านความมั่นคงปลอดภัยของระบบสารสนเทศในส่วนการบริหารจัดการด้านความ มนั่ คงปลอดภัยของระบบสารสนเทศ ท้ังภายในและภายนอกหน่วยงานหรือองค์กร ๑.๑ มีการสร้างความร่วมมือระหว่างผู้ท่ีมีบทบาทเก่ียวข้องกับความม่ันคงปลอดภัยด้านสารสนเทศของ หนว่ ยงาน ในงานหรอื กจิ กรรมใด ๆ ที่เก่ียวขอ้ งกบั ความม่ันคงปลอดภยั ด้านสารสนเทศ ๑.๒ มีการกําหนดข้ันตอนและช่องทางในการติดต่อกับหน่วยงานภายนอกท่ีมีหน้าที่ในการกํากับดูแล หรือ หนว่ ยงานทเ่ี กีย่ วขอ้ งกับการบังคับใช้กฎหมาย รวมทงั้ หนว่ ยงานที่ควบคุมดูแลสถานการณ์ฉุกเฉินภายใต้สถานการณ์ ต่าง ๆ ไว้อย่างชดั เจน ๑.๓ ก่อนท่ีจะอนุญาตให้หน่วยงานหรือบุคคลภายนอกเข้าถึงระบบสารสนเทศหรือใช้ข้อมูลสารสนเทศของ หน่วยงาน ให้มีการระบุความเสี่ยงทีอ่ าจเกดิ ขึ้นและกาํ หนดแนวทางป้องกันเพอ่ื ลดความเส่ยี งนัน้ ก่อนการอนญุ าต ขอ้ ๒. การสร้างความมน่ั คงปลอดภยั ของระบบสารสนเทศด้านบุคลากร ๒.๑ ในการพิจารณารับพนักงานเข้าทํางาน หรือการว่าจ้างหน่วยงานหรือบุคคลภายนอก ให้มีการ ตรวจสอบประวัติหรือคุณสมบัติเพ่ือให้เป็นไปตามกฎหมาย กฎระเบียบและจริยธรรมท่ีเก่ียวข้อง โดยให้คํานึงถึง ระดบั ชัน้ ความลบั ของขอ้ มูลสารสนเทศที่จะให้เข้าถงึ และระดับความเสี่ยงท่ไี ดป้ ระเมิน ๒.๒ ในสัญญาจ้างหรือข้อตกลงการปฏิบัติงานของพนักงาน หรือสัญญาว่าจ้างหน่วยงานหรือ บคุ คลภายนอก ให้ระบุหนา้ ทค่ี วามรับผิดชอบด้านความมนั่ คงปลอดภัยด้านสารสนเทศไว้ในสัญญา ขอ้ ๓. การสร้างความมนั่ คงปลอดภยั ด้านกายภาพและสภาพแวดลอ้ ม 182 ส�ำ นกั งานพฒั นาธรุ กรรมทางอิเล็กทรอนิกส์
๓.๑ ในพื้นท่ีท่ีต้องมีการรักษาความม่ันคงปลอดภัยด้านกายภาพ (Secure area) ต้องมีการควบคุมการเข้า ออก โดยให้เฉพาะผมู้ สี ิทธิทีส่ ามารถเข้าออกได้ ๓.๒ มีการออกแบบแนวทางการป้องกันทางกายภาพสําหรับการทํางานในพ้ืนที่ท่ีต้องการรักษาความม่ันคง ปลอดภัยดา้ นกายภาพ (Secure area) และกําหนดให้มีการนาํ ไปใช้งาน ๓.๓ มีการควบคุมบริเวณที่ผู้ไม่มีสิทธิเข้าถึงอาจสามารถเข้าถึงได้ เช่น จุดรับส่งของ เป็นต้น หรือหาก เป็นไปได้ให้แยกบริเวณดังกล่าวออกจากพื้นท่ีที่มีการติดตั้ง จัดเก็บ หรือใช้งาน ระบบสารสนเทศและข้อมูล สารสนเทศเพอ่ื หลีกเลี่ยงการเข้าถึงโดยมไิ ด้รับอนญุ าต ๓.๔ มีการป้องกันสายเคเบิลที่ใช้เพื่อการสื่อสาร หรือสายไฟ เพ่ือมิให้มีการดักรับสัญญาณ (Interception) หรอื มคี วามเสียหายเกิดข้ึน ๓.๕ มีการรักษาความม่ันคงปลอดภัยให้กับอุปกรณ์สารสนเทศท่ีมีการนําไปใช้งานนอกสถานท่ีปฏิบัติงาน ของหนว่ ยงาน โดยใหค้ าํ นึงถงึ ระดบั ความเสีย่ งทีแ่ ตกต่างกันจากการนําไปใชง้ านในสถานท่ีต่าง ๆ ๓.๖ ก่อนการยกเลิกการใช้งานหรือจําหน่ายอุปกรณ์สารสนเทศท่ีใช้ในการจัดเก็บข้อมูลสารสนเทศต้องมี การตรวจสอบอุปกรณ์สารสนเทศน้ันว่า ได้มีการลบ ย้าย หรือทําลาย ข้อมูลที่สําคัญหรือซอฟต์แวร์ท่ีจัดซื้อและ ติดต้ังไว้ดว้ ยวธิ ีการท่ที ําใหไ้ มส่ ามารถกคู้ ืนไดอ้ กี ข้อ ๔. การบริหารจัดการด้านการสื่อสารและการดําเนินงานของระบบเครือข่ายคอมพิวเตอร์ ระบบ คอมพิวเตอร์ ระบบงานคอมพวิ เตอร์ และระบบสารสนเทศ ๔.๑ มีการแบ่งแยกหน้าท่ีและขอบเขตความรับผิดชอบอย่างชัดเจน เพื่อลดโอกาสความผิดพลาดในการ เปล่ียนแปลงหรอื ใช้งานระบบสารสนเทศหรอื ขอ้ มลู สารสนเทศทผ่ี ิดประเภท ๔.๒ มีการแยกระบบสารสนเทศสําหรับการพัฒนา ทดสอบ และใช้งานจริงออกจากกัน เพ่ือลดความเสี่ยง ในการเขา้ ใช้งานหรือการเปลย่ี นแปลงระบบสารสนเทศโดยมไิ ด้รับอนญุ าต ๔.๓ มีการบริหารจัดการการเปลี่ยนแปลงใด ๆ เกี่ยวกับการจัดเตรียมการให้บริการ และการดูแลปรับปรุง นโยบายในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ ขั้นตอนปฏิบัติงาน หรือการควบคุมเก่ียวกับความมั่นคง ปลอดภัยด้านสารสนเทศ โดยคํานึงถึงระดับความสําคัญของการดําเนินธุรกิจท่ีเก่ียวข้องและการประเมินความเส่ียง อยา่ งต่อเนือ่ ง ๔.๔ หากหน่วยงานอนุญาตให้มีการใช้งาน Mobile code (เช่น Script บางอย่างของเว็บแอพพลิเคช่ันที่มี การทํางานอัตโนมัติเม่อื เรียกดูเว็บ) ควรมีการตั้งค่าการทํางาน (Configuration) เพ่ือให้มั่นใจได้ว่าการทํางานของ Mobile code นั้นเป็นไปตามความม่ันคงปลอดภัยด้านสารสนเทศและนโยบายในการรักษาความม่ันคงปลอดภัย ด้านสารสนเทศ และห้ามโดยอัตโนมัติมิให้ Mobile code สามารถทํางานได้ในระบบสารสนเทศ หากในนโยบาย การรกั ษาความมั่นคงปลอดภยั ด้านสารสนเทศ กําหนดหา้ มมิให้ประเภทของ Mobile code ดงั กลา่ วทํางานได้ ๔.๕ มีขั้นตอนการปฏิบัติงานสําหรับการบริหารจัดการอุปกรณ์ท่ีใช้ในการบันทึกข้อมูลอิเล็กทรอนิกส์ที่ สามารถถอดหรือตอ่ พว่ งกับเครื่องคอมพวิ เตอร์ได้ (Removable media) ๔.๖ มีข้ันตอนการปฏิบัติงานในการทําลายอุปกรณ์ที่ใช้ในการบันทึกข้อมูลอิเล็กทรอนิกส์ท่ีสามารถถอด หรือตอ่ พ่วงกับเคร่ืองคอมพิวเตอร์ได้ (Removable media) อย่างมนั่ คงปลอดภยั สำ�นกั งานพฒั นาธรุ กรรมทางอิเลก็ ทรอนกิ ส์ 183
๔.๗ มีการป้องกันมิให้ข้อมูลหรือเอกสารเก่ียวกับระบบสารสนเทศ (System documentation) ถูกเข้าถึง โดยมไิ ดร้ บั อนุญาต ๔.๘ ในกรณที ี่มีการเคล่อื นยา้ ยอปุ กรณท์ ีจ่ ัดเกบ็ ขอ้ มูลสารสนเทศ ให้มีการป้องกันอุปกรณ์ท่ีใช้จัดเก็บข้อมูล ดังกล่าว เพื่อมิให้มีการเข้าถึงโดยมิได้รับอนุญาต หรือถูกนําไปใช้งานผิดประเภท หรืออุปกรณ์หรือข้อมูลสารสนเทศ ได้รบั ความเสยี หาย ๔.๙ ให้มีการปอ้ งกันขอ้ มูลสารสนเทศทีม่ กี ารสอื่ สารกนั ผา่ นข้อมลู อเิ ล็กทรอนิกส์ (Electronic messaging) เช่น จดหมายอิเล็กทรอนกิ ส์ ( E - mail) EDI หรือ Instant messaging) ข้อ ๕. การควบคุมการเข้าถึงระบบเครือข่ายคอมพิวเตอร์ ระบบคอมพิวเตอร์ ระบบงานคอมพิวเตอร์ ระบบสารสนเทศ ขอ้ มูลสารสนเทศ ขอ้ มลู อิเล็กทรอนกิ ส์ และขอ้ มลู คอมพวิ เตอร์ ๕.๑ จดั ใหม้ ีขน้ั ตอนการบรหิ ารจัดการเรือ่ งการกําหนดรหสั ผา่ นอย่างเปน็ ทางการ ๕.๒ กาํ หนดให้ผ้บู ริหารติดตามทบทวนระดบั สทิ ธใิ นการเข้าถงึ ของผใู้ ช้งานอย่างเป็นทางการเป็นประจาํ ๕.๓ มีการกําหนดนโยบาย Clear desk สําหรับข้อมูลสารสนเทศในรูปแบบกระดาษและท่ีจัดเก็บใน อปุ กรณ์บันทึกขอ้ มูลอิเลก็ ทรอนิกส์ท่ีสามารถถอดหรือต่อพ่วงกับเครื่องคอมพิวเตอร์ได้ และนโยบาย Clear screen สําหรบั ระบบสารสนเทศ ๕.๔ ให้มีการระบุอุปกรณ์ที่เชื่อมต่อเข้ากับระบบสารสนเทศโดยอัตโนมัติ (Automatic equipment identification) เพ่ือตรวจสอบการเช่ือมต่อของอุปกรณ์ดังกล่าวว่ามาจากอุปกรณ์ดังกล่าวจริง หรือจากสถานท่ีที่ กําหนดไว้เท่านั้น ท้ังน้ี จําเป็นสําหรับการท่ีระบบสารสนเทศจะรับการเชื่อมต่อจากเฉพาะอุปกรณ์ที่ได้รับอนุญาต หรอื มาจากเฉพาะสถานทีท่ ี่ไดร้ บั อนญุ าต ๕.๕ ให้จํากัดการเข้าถึงการใช้งานโปรแกรมอรรถประโยชน์ต่าง ๆ อย่างเข้มงวด เน่ืองจากโปรแกรม ดังกลา่ วอาจมคี วามสามารถควบคุมดูแลและเปล่ยี นแปลงการทํางานของระบบสารสนเทศได้ ๕.๖ จํากัดระยะเวลาการเชอื่ มต่อกบั ระบบสารสนเทศที่มีระดับความเสี่ยงสูง เพื่อเพ่ิมระดับการรักษาความ ม่ันคงปลอดภัย ๕.๗ สําหรับระบบสารสนเทศที่มีความสําคัญสูง ต้องจัดให้ระบบสารสนเทศทํางานในสภาพแวดล้อมท่ีแยก ออกมาต่างหาก โดยไมใ่ ชป้ ะปนกับระบบสารสนเทศอ่นื ๕.๘ กําหนดให้มีนโยบาย แผนงานและข้ันตอนการปฏิบัติงานท่ีเก่ียวข้องกับกิจกรรมใด ๆ ท่ีมีการ ปฏบิ ัตงิ านจากภายนอกหนว่ ยงาน (Teleworking) ข้อ ๖. การจัดหาหรือจัดให้มีการพัฒนา และการบํารุงรักษาระบบเครือข่ายคอมพิวเตอร์ ระบบ คอมพวิ เตอร์ ระบบงานคอมพวิ เตอร์ และระบบสารสนเทศ ๖.๑ ให้มีการตรวจสอบ (Validate) การทํางานของแอพพลิเคชั่นเพื่อตรวจหาข้อผิดพลาดของข้อมูลท่ีอาจ เกดิ จากการทาํ งานหรือการประมวลผลทีผ่ ิดพลาด ๖.๒ ให้มีข้อกําหนดข้ันต่ําสําหรับการรักษาความถูกต้องแท้จริง (Authenticity) และความถูกต้องครบถ้วน (Integrity) ของข้อมลู ในแอพพลิเคชัน่ รวมทงั้ มกี ารระบแุ ละปฏิบัตติ ามวิธีการป้องกันที่เหมาะสม ๖.๓ จดั ให้มีนโยบายในการใช้งานเทคนิคทีเ่ ก่ยี วขอ้ งกบั การเข้ารหัสลับ ๖.๔ กาํ หนดให้มีขัน้ ตอนการปฏิบัตงิ านเพ่อื ควบคมุ การติดตั้งซอฟตแ์ วร์บนระบบสารสนเทศทีใ่ ห้บริการ 184 สำ�นกั งานพัฒนาธรุ กรรมทางอิเล็กทรอนิกส์
๖.๕ ให้มีการควบคมุ การเปลยี่ นแปลงต่าง ๆ ในการพัฒนาระบบสารสนเทศ โดยมีขัน้ ตอนการควบคมุ ท่ีเป็น ทางการ ๖.๗ ให้จํากัดการเปล่ียนแปลงใด ๆ ต่อซอฟต์แวร์ที่ใช้งาน (Software package) โดยให้เปล่ียนแปลง เฉพาะเท่าทจ่ี ําเป็น และควบคุมทุก ๆ การเปล่ยี นแปลงอย่างเขม้ งวด ๖.๘ มมี าตรการป้องกนั เพื่อลดโอกาสทีเ่ กิดการรว่ั ไหลของขอ้ มูลสารสนเทศ ข้อ ๗. การบรหิ ารจัดการสถานการณ์ดา้ นความมน่ั คงปลอดภัยที่ไม่พงึ ประสงค์ หรือไมอ่ าจคาดคิด ๗.๑ กําหนดให้พนักงานหรือผู้ใช้งานท่ีเป็นบุคคลภายนอก มีการบันทึกและรายงานจุดอ่อนใด ๆ ท่ีอาจ สงั เกตพบระหวา่ งการใชง้ านระบบสารสนเทศ ๗.๒ กําหนดขอบเขตความรับผิดชอบของผู้บริหารและขั้นตอนการปฏิบัติงาน เพื่อตอบสนองต่อ สถานการณด์ า้ นความม่ันคงปลอดภยั ทีไ่ มพ่ ึงประสงค์ หรอื ไมอ่ าจคาดคิด อย่างรวดเรว็ มรี ะเบียบ และมปี ระสทิ ธิผล ๗.๓ หากในขั้นตอนการติดตามผลกับบุคคลหรือหน่วยงานภายหลังจากเกิดสถานการณ์ด้านความม่ันคง ปลอดภัยที่ไม่พึงประสงค์ หรือไม่อาจคาดคิด ซึ่งเก่ียวข้องกับการดําเนินการทางกฎหมาย (ไม่ว่าทางแพ่งหรือทาง อาญา) ให้มกี ารรวบรวม จดั เกบ็ และนาํ เสนอหลกั ฐาน ให้สอดคล้องกับหลกั เกณฑข์ องกฎหมายท่ีใชบ้ งั คบั ข้อ ๘. การบริหารจัดการด้านการบริการหรือการดําเนินงานของหน่วยงานหรือองค์กรเพ่ือให้มีความ ต่อเน่ือง ให้มีการระบุเหตุการณ์ใด ๆ ที่อาจส่งผลให้การดําเนินงานหยุดชะงัก และความเป็นไปได้ในการเกิดผล กระทบ ตลอดจนผลตอ่ เนอ่ื งจากการหยดุ ชะงกั นน้ั ในแงข่ องความม่ันคงปลอดภยั ด้านสารสนเทศ ข้อ ๙. การตรวจสอบและการประเมินผลการปฏิบัติตามนโยบาย มาตรการ หลักเกณฑ์ หรือกระบวนการ ใด ๆ รวมท้งั ข้อกําหนดดา้ นความม่นั คงปลอดภยั ของระบบสารสนเทศ ๙.๑ กาํ หนดขนั้ ตอนปฏิบัตงิ านเพอ่ื ใหม้ ัน่ ใจว่าในการใชง้ านข้อมูลทอี่ าจถือเป็นทรัพย์สินทางปัญญาหรือการ ใชง้ านซอฟต์แวร์มีความสอดคลอ้ งกบั กฎหมายและข้อกาํ หนดตามสญั ญาต่าง ๆ ๙.๒ ป้องกันมิให้ข้อมูลสารสนเทศท่ีสําคัญเกิดความเสียหาย สูญหายหรือถูกปลอมแปลง โดยให้สอดคล้อง กับกฎหมาย ข้อกําหนดตามสญั ญาตา่ ง ๆ ของหนว่ ยงาน และขอ้ กําหนดการใหบ้ ริการ ------------------------------------------------- ส�ำ นกั งานพฒั นาธรุ กรรมทางอิเลก็ ทรอนกิ ส์ 185
186 สำ�นกั งานพฒั นาธรุ กรรมทางอิเล็กทรอนกิ ส์
ประกาศคณะกรรมการธุรกรรมทางอเิ ลก็ ทรอนกิ ส เร่อื ง รายชื่อหนวยงานหรือองคก ร หรือสว นงานของหนว ยงาน หรอื องคก รที่ถอื เปน โครงสรางพนื้ ฐานสาํ คญั ของประเทศซ่งึ ตอ ง กระทําตามวธิ กี ารแบบปลอดภยั ในระดบั เครงครดั พ.ศ. ๒๕๕๙ สำ�นักงานพฒั นาธรุ กรรมทางอิเลก็ ทรอนิกส์ 187
ชอ่ื กฎหมาย ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส เรื่อง รายชื่อหนวยงานหรือองคกร หรือสวนงาน ของหนวยงานหรือองคกรท่ีถือเปนโครงสรางพื้นฐานสําคัญของประเทศซึ่งตองกระทําตามวิธีการแบบปลอดภัย ในระดบั เครง ครัด พ.ศ. ๒๕๕๙ ประกาศในราชกิจจานเุ บกษา เลม ๑๓๓ / ตอนพิเศษ ๑๘๙ ง / หนา ๘ / วนั ท่ี ๒๕ สิงหาคม ๒๕๕๙ เรมิ่ บังคบั ใช วนั ท่ี ๒๐ สงิ หาคม ๒๕๖๐ 188 ส�ำ นกั งานพัฒนาธรุ กรรมทางอิเลก็ ทรอนกิ ส์
เล่ม ๑๓๓ ตอนพเิ ศษ ๑๘๙ ง หน้า ๘ ๒๕ สงิ หาคม ๒๕๕๙ ราชกจิ จานุเบกษา ประกาศคณะกรรมการธรุ กรรมทางอิเล็กทรอนิกส์ เร่อื ง รายชอื่ หนว่ ยงานหรือองคก์ ร หรือส่วนงานของหนว่ ยงานหรือองค์กรท่ีถือเป็น โครงสร้างพ้นื ฐานสําคญั ของประเทศซ่ึงตอ้ งกระทาํ ตามวิธกี ารแบบปลอดภัยในระดับเคร่งครัด พ.ศ. ๒๕๕๙ โดยที่พระราชกฤษฎีกาว่าด้วยวิธีการแบบปลอดภัยในการทําธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. ๒๕๕๓ กําหนดให้คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ประกาศกําหนดรายชื่อหน่วยงานหรือองค์กร หรือส่วนงานของหน่วยงานหรือองค์กรท่ีถือเป็นโครงสร้างพ้ืนฐานสําคัญของประเทศ เพ่ือให้ดําเนินการ ตามวิธีการแบบปลอดภัยในระดับเครง่ ครดั ระดบั กลาง หรอื ระดบั พนื้ ฐาน แล้วแต่กรณี อาศัยอํานาจตามความในมาตรา ๖ วรรคสอง แห่งพระราชกฤษฎีกาว่าด้วยวิธีการแบบปลอดภัย ในการทําธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. ๒๕๕๓ คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์จึงออกประกาศไว้ ดงั ตอ่ ไปน้ี ขอ้ ๑ ประกาศนี้เรียกว่า “ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ เร่ือง รายช่ือ หน่วยงานหรือองค์กร หรือส่วนงานของหน่วยงานหรือองค์กรท่ีถือเป็นโครงสร้างพ้ืนฐานสําคัญของประเทศ ซงึ่ ตอ้ งกระทาํ ตามวิธกี ารแบบปลอดภยั ในระดับเคร่งครัด พ.ศ. ๒๕๕๙” ข้อ ๒ ประกาศนี้ให้ใช้บังคับเมื่อพ้นกําหนดสามร้อยหกสิบวันนับแต่วันประกาศในราชกิจจานุเบกษา เปน็ ต้นไป ข้อ ๓ ให้หน่วยงานหรือองค์กร หรือส่วนงานของหน่วยงานหรือองค์กรที่มีรายช่ือแนบท้าย ประกาศฉบับน้ี ถือเป็นโครงสร้างพื้นฐานสําคัญของประเทศซึ่งต้องกระทําตามวิธีการแบบปลอดภัย ในระดับเคร่งครัดตามพระราชกฤษฎีกาว่าด้วยวิธีการแบบปลอดภัยในการทําธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. ๒๕๕๓ ประกาศ ณ วนั ที่ ๒๘ กรกฎาคม พ.ศ. ๒๕๕๙ อุตตม สาวนายน รฐั มนตรวี า่ การกระทรวงเทคโนโลยสี ารสนเทศและการส่อื สาร ประธานกรรมการธรุ กรรมทางอิเลก็ ทรอนิกส์ ส�ำ นักงานพัฒนาธรุ กรรมทางอิเล็กทรอนกิ ส์ 189
แนบทา้ ย ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนกิ ส์ เรอ่ื ง รายชอื่ หนว่ ยงานหรือองคก์ ร หรอื สว่ นงานของหน่วยงานหรอื องค์กรทถี่ ือเปน็ โครงสรา้ งพืน้ ฐานสาํ คญั ของประเทศซ่งึ ตอ้ งกระทําตามวธิ กี ารแบบปลอดภัยในระดบั เคร่งครดั พ.ศ. ๒๕๕๙ ว่าดว้ ยรายชอ่ื หน่วยงานหรอื องค์กร หรอื ส่วนงานของหนว่ ยงานหรอื องคก์ ร ส่วนราชการ ๑. สาํ นกั นายกรัฐมนตรี เฉพาะ (๑) สํานักงานปลดั สาํ นักนายกรฐั มนตรี (๒) กรมประชาสัมพนั ธ์ (๓) สาํ นกั ขา่ วกรองแห่งชาติ (๔) สํานักงบประมาณ (๕) สํานกั งานคณะกรรมการขา้ ราชการพลเรอื น (๖) สาํ นกั งานคณะกรรมการส่งเสริมการลงทนุ ๒. กระทรวงกลาโหม เฉพาะ (๑) สาํ นักงานปลดั กระทรวงกลาโหม (๒) กองบัญชาการกองทัพไทย (๓) กองทัพบก (๔) กองทพั เรอื (๕) กองทพั อากาศ ๓. กระทรวงการคลัง เฉพาะ (๑) กรมธนารกั ษ์ (๒) กรมบัญชีกลาง (๓) กรมศุลกากร (๔) กรมสรรพสามติ (๕) กรมสรรพากร (๖) สํานักงานคณะกรรมการนโยบายรฐั วิสาหกิจ (๗) สํานกั งานบรหิ ารหนสี้ าธารณะ ๔. กระทรวงการต่างประเทศ ๕. กระทรวงเกษตรและสหกรณ์ เฉพาะ (๑) กรมชลประทาน 190 สำ�นกั งานพฒั นาธรุ กรรมทางอิเลก็ ทรอนิกส์
(๒) กรมประมง 191 (๓) กรมปศสุ ตั ว์ (๔) กรมวิชาการเกษตร (๕) กรมสง่ เสรมิ สหกรณ์ ๖. กระทรวงคมนาคม เฉพาะ (๑) กรมเจา้ ทา่ (๒) กรมการขนสง่ ทางบก (๓) กรมทา่ อากาศยาน (๔) กรมทางหลวง (๕) กรมทางหลวงชนบท (๖) สํานกั งานนโยบายและแผนการขนสง่ และจราจร ๗. กระทรวงทรพั ยากรธรรมชาติและสง่ิ แวดล้อม เฉพาะ (๑) กรมควบคุมมลพิษ ๘. กระทรวงเทคโนโลยสี ารสนเทศและการส่ือสาร เฉพาะ (๑) สํานักงานปลัดกระทรวงเทคโนโลยสี ารสนเทศและการสือ่ สาร (๒) กรมอุตุนิยมวทิ ยา ๙. กระทรวงพลงั งาน เฉพาะ (๑) กรมเช้อื เพลิงธรรมชาติ (๒) กรมธุรกจิ พลงั งาน ๑๐.กระทรวงพาณิชย์ เฉพาะ (๑) กรมการคา้ ภายใน (๒) กรมพัฒนาธรุ กิจการค้า ๑๑.กระทรวงมหาดไทย เฉพาะ (๑) กรมการปกครอง (๒) กรมท่ดี ิน (๓) กรมป้องกันและบรรเทาสาธารณภยั (๔) กรมโยธาธิการและผังเมอื ง ๑๒.กระทรวงยตุ ธิ รรม เฉพาะ (๑) กรมบงั คบั คดี สำ�นกั งานพัฒนาธรุ กรรมทางอิเล็กทรอนกิ ส์
Search
Read the Text Version
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
- 33
- 34
- 35
- 36
- 37
- 38
- 39
- 40
- 41
- 42
- 43
- 44
- 45
- 46
- 47
- 48
- 49
- 50
- 51
- 52
- 53
- 54
- 55
- 56
- 57
- 58
- 59
- 60
- 61
- 62
- 63
- 64
- 65
- 66
- 67
- 68
- 69
- 70
- 71
- 72
- 73
- 74
- 75
- 76
- 77
- 78
- 79
- 80
- 81
- 82
- 83
- 84
- 85
- 86
- 87
- 88
- 89
- 90
- 91
- 92
- 93
- 94
- 95
- 96
- 97
- 98
- 99
- 100
- 101
- 102
- 103
- 104
- 105
- 106
- 107
- 108
- 109
- 110
- 111
- 112
- 113
- 114
- 115
- 116
- 117
- 118
- 119
- 120
- 121
- 122
- 123
- 124
- 125
- 126
- 127
- 128
- 129
- 130
- 131
- 132
- 133
- 134
- 135
- 136
- 137
- 138
- 139
- 140
- 141
- 142
- 143
- 144
- 145
- 146
- 147
- 148
- 149
- 150
- 151
- 152
- 153
- 154
- 155
- 156
- 157
- 158
- 159
- 160
- 161
- 162
- 163
- 164
- 165
- 166
- 167
- 168
- 169
- 170
- 171
- 172
- 173
- 174
- 175
- 176
- 177
- 178
- 179
- 180
- 181
- 182
- 183
- 184
- 185
- 186
- 187
- 188
- 189
- 190
- 191
- 192
- 193
- 194
- 195
- 196
- 197
- 198
- 199
- 200
- 201
- 202
- 203
- 204
- 205
- 206
- 207
- 208
- 209
- 210
- 211
- 212
- 213
- 214
- 215
- 216
- 217
- 218
- 219
- 220
- 221
- 222
- 223
- 224
- 225
- 226
- 227
- 228
- 229
- 230
- 231
- 232
- 233
- 234
- 235
- 236
- 237
- 238
- 239
- 240
- 241
- 242
- 243
- 244
- 245
- 246
- 247
- 248
- 249
- 250
- 251
- 252
- 253
- 254
- 255
- 256
- 257
- 258
- 259
- 260
- 261
- 262
- 263
- 264
- 265
- 266
- 267
- 268
- 269
- 270
- 271
- 272
- 273
- 274
- 275
- 276
- 277
- 278
- 279
- 280
- 281
- 282
- 283
- 284
- 285
- 286
- 287
- 288
- 289
- 290
- 291
- 292
- 293
- 294
- 295
- 296
- 297
- 298
- 299
- 300
- 301
- 302
- 303
- 304
- 305
- 306
- 307
- 308
- 309
- 310
- 311
- 312
- 313
- 314
- 315
- 316
- 317
- 318
- 319
- 320
- 321
- 322
- 323
- 324
- 325
- 326
- 327
- 328
- 329
- 330
- 331
- 332
- 333
- 334
- 335
- 336
- 337
- 338
- 339
- 340
- 341
- 342
- 343
- 344
- 345
- 346
- 347
- 348
- 349
- 350
- 351
- 352
- 353
- 354
- 355
- 356
- 357
- 358
- 359
- 360
- 361
- 362
- 363
- 364
- 365
- 366
- 367
- 368
- 369
- 370
- 371
- 372
- 373
- 374
- 375
- 376
- 377
- 378
- 379
- 380
- 381
- 382
- 383
- 384
- 385
- 386
- 387
- 388
- 389
- 390
- 391
- 392
- 393
- 394
- 395
- 396
- 397
- 398
- 399
- 400
- 401
- 402
- 403
- 404
- 405
- 406
- 407
- 408
- 409
- 410
- 411
- 412
- 413
- 414
- 415
- 416
- 417
- 418
- 419
- 420
- 421
- 422
- 423
- 424
- 425
- 426
- 427
- 428
- 429
- 430
- 431
- 432
- 433
- 434
- 435
- 436
- 437
- 438
- 439
- 440
- 441
- 442
- 443
- 444
- 445
- 446
- 447
- 448
- 449
- 450
- 451
- 452
- 453
- 454
- 455
- 456
- 457
- 458
- 459
- 460
- 461
- 462
- 463
- 464
- 465
- 466
- 467
- 468
- 469
- 470
- 471
- 472
- 473
- 474
- 1 - 50
- 51 - 100
- 101 - 150
- 151 - 200
- 201 - 250
- 251 - 300
- 301 - 350
- 351 - 400
- 401 - 450
- 451 - 474
Pages: