0 มาตรฐานการรักษาความม ั่งคง ...มาตรฐานการร กษาความม งคงปลอดภ ย ในการประกอบธ

0

0

11001

0101011

0011000 001100

110001100

110010

1110001

110

1000000000000000000000000000000000000001100011100110000000000000000000000000000000000000000000000011111111111100011000000000000000000000000000000000000000000111111111111110000000000

0011

10000000000000011111111111111111111111111000000000000000000000000000000000000000000

0000000000011111111111100000000000000000000001100

0000000000000000000000000000011000000000000000000000000000000000000000001111111111111111111111110000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000001111111111111111111111111111111111111111111111111111111111111111111111111100000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000001111111111111111111111111111111111111111111111111111111111111111111111111111111111111111110000000000000000000000000000111111111111111111111000000000000000000000000000111111111111111111111000000000000000000000000001111111111110000000000000000000000000000000000011001100

0000000000000000001111111111111111111000000000000000111111111111111111111111111111111

1110000001110000000000000000111100000000000000000000000000000000000000000000001111111111111111111111111111111110000000000000000000000000000000000000000000000000000001111111111111111

มาตรฐานการรกษาความมงคงปลอดภยในการประกอบธรกรรมทางอเลกทรอนกส (เวอรชน 2.5)

ประจำป 2550

¨Ñ´¾ÔÁ¾�áÅÐà¼Âá¾Ã‹â´ÂË¹‹ÇÂ» ÔºÑμÔ¡ÒÃÇÔ¨ÑÂà·¤â¹âÅÂÕáÅÐ¹ÇÑμ¡ÃÃÁà¾×èÔÍ¤ÇÒÁÁÑè¹¤§¢Í§»ÃÐà·ÈÀÒÂãμŒ ÈÙ¹Â�à·¤â¹âÅÂÕÍÔàÅç¡·ÃÍ¹Ô¡Ê �áÅÐ¤ÍÁ¾ÔÇàμÍÃ�áË‹§ªÒμÔ

»ÃÐà·È ¤³ÐÍ¹Ø¡ÃÃÁ¡ÒÃ ŒÒ¹¤ÇÒÁÁÑè§¤§ã¹ ¤³ÐÍ¹Ø¡ÃÃÁ¡ÒÃ ØÃ¡ÃÃÁ·Ò§ÍÔàÅç¡·ÃÍ¹Ô¡Ê�

ÈÙ¹Â �à·¤â¹âÅÂÕÍÔàÅç¡·ÃÍ¹Ô¡Ê�áÅÐ¤ÍÁ¾ÔÇàμÍÃ�áË‹§ªÒμ Ô

ÊÓ¹Ñ¡§Ò¹¾Ñ²¹ÒÇÔ·ÂÒÈÒÊμÃ�áÅÐà·¤â¹âÅÂÕáË‹§ªÒμÔ

¡ÃÐ·ÃÇ§ÇÔ·ÂÒÈÒÊμÃ�áÅÐà·¤â¹âÅÂÕ

112 ÍØ·ÂÒ¹ÇÔ·ÂÒÈÒÊμÃ�»ÃÐà·Èä·Â ¶¹¹¾ËÅâÂ¸Ô¹

μÓºÅ¤ÅÍ§Ë¹Öè§ ÍÓàÀÍ¤ÅÍ§ËÅÇ§ Ñ§ËÇÑ´»·ØÁ¸Ò¹Õ 12120

â·ÃÈÑ¾·� 02-564-6900

â·ÃÊÒÃ 02-564-6901..2

National Electronics and Computer Technology Center

National Science and Technology Development Agency

Ministry of Science and Technology

112 Thailand Science Park, Phahon Yothin Road,

Klong Luang, Pathumthani 12120, THAILAND.

Tel. +66-2-564-6900

Fax. +66-2-564-6901..2

http://www.thaicert.nectec.or.the-mail: [email protected]

มาตรฐานการรกษาความมนคงปลอดภยในการประกอบธรกรรมทางอเลกทรอนกส

(เวอรชน 2.5)ประจำป 2550

จดพมพและเผยแพรโดย

หนวยปฏบตการวจยเทคโนโลยและนวตกรรมเพอความมนคงของประเทศ คณะอนกรรมการดานความมนคงภายใต ศนยเทคโนโลยอเลกทรอนกสและคอมพวเตอรแหงชาต ใน คณะกรรมการธรกรรมทางอเลกทรอนกส

มาตรฐานการรกษาความมนคงปลอดภยในการประกอบธรกรรมทางอเลกทรอนกส (เวอรชน 2.5) ประจำป 2550พมพเผยแพรโดยหนวยปฏบตการวจยเทคโนโลยและนวตกรรมเพอความมนคงของประเทศศนยเทคโนโลยอเลกทรอนกสและคอมพวเตอรแหงชาต

ISBN: 978-974-229-584-4

พมพครงท 1 (ธนวาคม 2550)จำนวน 1,000 เลมเอกสารเผยแพร

สงวนลขสทธ พ.ศ. 2550 ตาม พ.ร.บ. ลขสทธ พ.ศ. 2537ศนยเทคโนโลยอเลกทรอนกสและคอมพวเตอรแหงชาตไมอนญาตใหคดลอก ทำซา และดดแปลง สวนใดสวนหนงของหนงสอฉบบนนอกจากจะไดรบอนญาตเปนลายลกษณอกษรจากเจาของลขสทธเทานน

Copyright©2007 by:National Electronics and Computer Technology CenterNational Science and Technology Development AgencyMinistry of Science and Technology112 Thailand Science Park, Phahon Yothin Road, Klong 1, Klong Luang,Pathumthani 12120, THAILAND.Tel. +66(2)-564-6900 Fax. +66(2)-564-6901..2

มาตรฐานการรกษาความมนคงปลอดภยในการประกอบธรกรรมทางอเลกทรอนกส (เวอรชน 2.5) ประจำป 2550/หนวยปฏบตการวจยเทคโนโลยและนวตกรรมเพอความมนคงของประเทศ ศนยเทคโนโลยอเลกทรอนกสและคอมพวเตอรแหงชาต.--กรงเทพฯ : หนวยปฏบตการวจยเทคโนโลยและนวตกรรมเพอความมนคงของประเทศศนยเทคโนโลยอเลกทรอนกสและคอมพวเตอรแหงชาต, 255064 หนาISBN: 978-974-229-584-4

1. ความปลอดภยในระบบคอมพวเตอร. 2. ระบบความปลอดภย. I. ศนยเทคโนโลยอเลกทรอนกสและคอมพวเตอรแหงชาต.หนวยปฏบตการวจยเทคโนโลยและนวตกรรมเพอความมนคงของประเทศ

658.478 QA 76.9

จดทำโดยThai Computer Emergency Response Team หนวยปฏบตการวจยเทคโนโลยและนวตกรรมเพอความมนคงของประเทศศนยเทคโนโลยอเลกทรอนกสและคอมพวเตอรแหงชาตสำนกงานพฒนาวทยาศาสตรและเทคโนโลยแหงชาตกระทรวงวทยาศาสตรและเทคโนโลย112 อทยานวทยาศาสตรประเทศไทย ถนนพหลโยธน ต.คลองหนง อ.คลองหลวง จ.ปทมธาน 12120โทรศพท 02-564-6900 โทรสาร 02-564-6901..2URL: http://thaicert.nectec.or.th/ e-mail: [email protected]

คำนำ

สบเนองจากคณะกรรมการธรกรรมทางอเลกทรอนกสซงกำหนดขนตามกฎหมายวาดวยธรกรรมทางอเลกทรอนกส เพอใหมอำนาจหนาทในการสงเสรมและพฒนาการทำธรกรรมทางอเลกทรอนกส และเสนอแนะมาตรการในการแกไขปญหาและอปสรรคใดๆ ตอการทำธรกรรมทางอเลกทรอนกส รวมทงเสนอแนะการตรากฎหมายตลอดจนการกำกบดแลธรกจบรการเกยวกบการทำธรกรรมทางออนไลนทมความเสยงหรอเพอชวยสรางความเชอมนในการทำธรกรรมดงกลาวใหกบประชาชน และโดยทปญหาและอปสรรคสำคญในการทำธรกรรมทางอเลกทรอนกสในปจจบน คอ ปญหาดานความมนคงปลอดภยของระบบคอมพวเตอรหรอระบบเครอขาย จงเปนเหตใหคณะกรรมการธรกรรมทางอเลกทรอนกส ไดกำหนดนโยบายสำคญในการพฒนาและจดทำมาตรฐานดานความมนคงปลอดภยของระบบคอมพวเตอรหรอระบบเครอขาย ทงน เพอลดปญหาอนเกดจากภยคกคามหรอความเสยงของระบบดงกลาวลงใหมากทสด

ในการน คณะกรรมการธรกรรมทางอเลกทรอนกสจงไดมอบหมายใหคณะอนกรรมการดานความมนคงปลอดภยทำการพฒนามาตรฐานดานความมนคงปลอดภยดงกลาวขน โดยหนวยปฏบตการวจยเทคโนโลยและนวตกรรมเพอความมนคงของประเทศ ศนยเทคโนโลยอเลกทรอนกสและคอมพวเตอรแหงชาต สำนกงานพฒนาวทยาศาสตรและเทคโนโลยแหงชาต ในฐานะฝายเลขานการของคณะอนกรรมการชดดงกลาว เปนหนวยงานซงทำการศกษา วจย และพฒนามาตรฐานดงกลาวโดยอางองกบมาตรฐาน ISO/IEC 27001:2005 และ ISO/IEC 17799:2005 ทงน เพอใหมาตรฐานความมนคงปลอดภยทพฒนาขนนนสอดคลองกบมาตรฐานสากล

หลงจากคณะอนกรรมการดานความมนคงปลอดภยไดพจารณาปรบปรงแกไขรางมาตรฐานทจดทำขนแลว กไดนำรางมาตรฐานดงกลาวประชาสมพนธและรบฟงความคดเหนจากหนวยงานทเกยวของและประชาชนอกจำนวนหลายครงดวยกนและไดมการเผยแพรรางมาตรฐานดงกลาวไปกวา 4,000 ฉบบ โดยไดมการปรบปรงรางมาตรฐานดงกลาวจำนวนหลายครงจนมความสมบรณและทนสมย

จากนนคณะกรรมการธรกรรมทางอเลกทรอนกสกไดพจารณาใหความเหนชอบรางมาตรฐานดงกลาว เพอใหมการดำเนนการตามขนตอนเพอประกาศใหรางมาตรฐานดานความมนคงปลอดภยทจดทำขนนนเปนมาตรฐานของประเทศไทยตอไป

(นายพนธศกด ศรรชตพงษ)ผอำนวยการ

ศนยเทคโนโลยอเลกทรอนกสและคอมพวเตอรแหงชาตกรรมการและเลขานการ

คณะกรรมการธรกรรมทางอเลกทรอนกส

สารบญ

กระบวนการจดทำระบบบรหารจดการความมงคงปลอดภยสำหรบสารสนเทศ ..................................................................................................... 9

ขอ 1 ระบบบรหารจดการความมงคงปลอดภย ............................................. 10

ขอ 2 หนาทความรบผดชอบของผบรหาร .................................................... 18

ขอ 3 การตรวจสอบภายในระบบบรหารจดการความมงคงปลอดภย .............. 20

ขอ 4 การทบทวนระบบบรหารจดการความมงคงปลอดภยโดยผบรหาร ........ 21

ขอ 5 การปรบปรงระบบบรหารจดการความมงคงปลอดภย .......................... 23

มาตรการการจดการความมนคงปลอดภยสำหรบสารสนเทศ .................... 251. นโยบายความมนคงปลอดภย (Security policy) ............................................ 26

1.1 นโยบายความมนคงปลอดภยสำหรบสารสนเทศ (Information securitypolicy) ................................................................................................ 26

2. โครงสรางทางดานความมนคงปลอดภยสำหรบองคกร (Organization ofinformation security) ................................................................................. 262.1 โครงสรางทางดานความมนคงปลอดภยภายในองคกร (Internal

organization) ...................................................................................... 262.2 โครงสรางทางดานความมนคงปลอดภยทเกยวของกบลกคาหรอหนวยงาน

ภายนอก (External parties) ................................................................ 283. การบรหารจดการทรพยสนขององคกร (Asset management) ....................... 29

3.1 หนาทความรบผดชอบตอทรพยสนขององคกร(Responsibility for assets) ................................................................. 29

3.2 การจดหมวดหมสารสนเทศ (Information classification) ........................ 30

4. ความมนคงปลอดภยทเกยวของกบบคลากร (Human resources security) .... 304.1 การสรางความมนคงปลอดภยกอนการจางงาน (Prior to employment) .... 304.2 การสรางความมนคงปลอดภยในระหวางการจางงาน (During

employment) ........................................................................................ 314.3 การสนสดหรอการเปลยนการจางงาน (Termination or change of

employment) ........................................................................................ 325. การสรางความมนคงปลอดภยทางกายภาพและสงแวดลอม (Physical and

environmental security) ............................................................................ 335.1 บรเวณทตองมการรกษาความมนคงปลอดภย (Secure areas) ............... 335.2 ความมนคงปลอดภยของอปกรณ (Equipment security) ........................ 34

6. การบรหารจดการดานการสอสารและการดำเนนงานของเครอขายสารสนเทศขององคกร (Communications and operations management) ................... 356.1 การกำหนดหนาทความรบผดชอบและขนตอนการปฏบตงาน (Operational

procedures and responsibilities) ......................................................... 356.2 การบรหารจดการการใหบรการของหนวยงานภายนอก (Third party service

delivery management) ......................................................................... 366.3 การวางแผนและการตรวจรบทรพยากรสารสนเทศ (System planning and

acceptance) ......................................................................................... 376.4 การปองกนโปรแกรมทไมประสงคด (Protection against malicious and

mobile code) ........................................................................................ 386.5 การสำรองขอมล (Back-up) ................................................................... 386.6 การบรหารจดการทางดานความมนคงปลอดภยสำหรบเครอขายขององคกร

(Network security management) .......................................................... 386.7 การจดการสอทใชในการบนทกขอมล (Media handling) ........................ 396.8 การแลกเปลยนสารสนเทศ (Exchange of information) ........................... 406.9 การสรางความมนคงปลอดภยสำหรบบรการพาณชยอเลกทรอนกส

(Electronic commerce services) ........................................................... 416.10 การเฝาระวงทางดานความมนคงปลอดภย (Monitoring) ........................ 41

7. การควบคมการเขาถง (Access control) ........................................................ 427.1 ขอกำหนดทางธรกจสำหรบการควบคมการเขาถงสารสนเทศ (Business

requirements for access control) ........................................................ 427.2 การบรหารจดการการเขาถงของผใช (User access management) ......... 437.3 หนาทความรบผดชอบของผใชงาน (User responsibilities) .................... 437.4 การควบคมการเขาถงเครอขาย (Network access control) ..................... 447.5 การควบคมการเขาถงระบบปฏบตการ (Operating system access

control) ................................................................................................ 457.6 การควบคมการเขาถงแอปพลเคชนและสารสนเทศ (Application and

information access control) ................................................................ 467.7 การควบคมอปกรณสอสารประเภทพกพาและการปฏบตงานจากภายนอก

องคกร (Mobile computing and teleworking) ...................................... 468. การจดหา การพฒนา และการบำรงรกษาระบบสารสนเทศ (Information systems

acquisition, development and maintenance) ............................................ 478.1 ขอกำหนดดานความมนคงปลอดภยสำหรบระบบสารสนเทศ (Security

requirements of information systems) ................................................. 478.2 การประมวลผลสารสนเทศในแอปพลเคชน (Correct processing in

applications) ....................................................................................... 478.3 มาตรการการเขารหสขอมล (Cryptographic controls) ............................ 488.4 การสรางความมนคงปลอดภยใหกบไฟลของระบบทใหบรการ (Security of

system files) ........................................................................................ 488.5 การสรางความมนคงปลอดภยสำหรบกระบวนการในการพฒนาระบบและ

กระบวนการสนบสนน (Security in development and supportprocesses) .......................................................................................... 49

8.6 การบรหารจดการชองโหวในฮารดแวรและซอฟตแวร (Technical VulnerabilityManagement) ...................................................................................... 50

9. การบรหารจดการเหตการณทเกยวของกบความมนคงปลอดภยขององคกร(Information security incident management) ............................................. 51

9.1 การรายงานเหตการณและจดออนทเกยวของกบความมนคงปลอดภย(Reporting information security events and weaknesses) ................. 51

9.2 การบรหารจดการและการปรบปรงแกไขตอเหตการณทเกยวของกบความมนคงปลอดภย (Management of information security incidentsand improvements) ............................................................................. 51

10. การบรหารความตอเนองในการดำเนนงานขององคกร (Business continuitymanagement) .......................................................................................... 5210.1 หวขอพนฐานสำหรบการบรหารความตอเนองในการดำเนนงานของ

องคกร (Information security aspects of business continuitymanagement) ................................................................................. 52

11. การปฏบตตามขอกำหนด (Compliance) ................................................... 5311.1 การปฏบตตามขอกำหนดทางกฎหมาย (Compliance with legal

requirements) ................................................................................. 5311.2 การปฏบตตามนโยบาย มาตรฐานความมนคงปลอดภยและขอกำหนด

ทางเทคนค (Compliance with security policies and standards, andtechnical compliance) .................................................................... 55

11.3 การตรวจประเมนระบบสารสนเทศ (Information systems auditconsiderations) ............................................................................... 55

ภาคผนวก ก .................................................................................................. 57

ภาคผนวก ข .................................................................................................. 61

สวนท 1

กระบวนการจดทำระบบบรหารจดการความมนคงปลอดภยสำหรบสารสนเทศ

(อางอง ขอกำหนดตามมาตรฐาน ISO/IEC 27001)

คณะอนกรรมการดานความมนคง ในคณะกรรมการธรกรรมทางอเลกทรอนกส

ศนยเทคโนโลยอเลกทรอนกสและคอมพวเตอรแหงชาต

10

กระบวนการจดทำระบบบรหารจดการความมนคงปลอดภยสำหรบสารสนเทศ

ขอ 1 ระบบบรหารจดการความมนคงปลอดภยสำหรบสารสนเทศ1.1 ขอกำหนดทวไป

องคกรจะตองกำหนด ลงมอปฏบต ดำเนนการ เฝาระวง ทบทวน บำรง รกษาและปรบปรงระบบบรหารจดการความมนคงปลอดภยตามทไดกำหนดไวเปนลายลกษณอกษร ภายในกรอบกจกรรมการดำเนนการทางธรกจตางๆ รวมทงความเสยงทเกยวของแนวทางทใชในมาตรฐานฉบบนจะใชกระบวนการ Plan-Do-Check-Act หรอ P-D-C-Aมาประยกตใชตามแสดงใน รปภาพท 1

รปภาพท 1 แผนภาพแสดงวงจรการบรหารจดการความมนคงปลอดภยตามขนตอนPlan-Do-Check-Act

1.2 กำหนดและบรหารจดการ ระบบบรหารจดการความมนคงปลอดภย1.2.1 กำหนดระบบบรหารจดการความมนคงปลอดภย (Plan)

องคกรจะตองปฏบตดงน

มาตรฐานการรกษาความมนคงปลอดภยในการประกอบธรกรรมทางอเลกทรอนกส(เวอรชน 2.5) ประจำป 2550

11

a) กำหนดขอบเขตของระบบบรหารจดการความมนคงปลอดภยโดยพจารณาถงลกษณะของธรกจ องคกร สถานทตง ทรพยสนและเทคโนโลย รวมทงอาจพจารณาถงสงทไมรวมอยในขอบเขตของระบบบรหารจดการความมนคงปลอดภย

b) กำหนดนโยบายความมนคงปลอดภย โดยพจารณาถงลกษณะของธรกจ องคกร สถานทตง ทรพยสน และเทคโนโลยนโยบายความมนคงปลอดภยจะตองมองคประกอบดงนb.1 กรอบในการดำเนนการ ทศทางและหลกการทเกยวของกบ

การรกษาความมนคงปลอดภยสำหรบสารสนเทศb.2 ขอกำหนดทางธรกจ ขอกำหนดในสญญาตางๆ ระเบยบ

ปฏบต ขอบงคบ รวมทงกฎหมายของประเทศb.3 การบรหารจดการความเสยงเชงกลยทธในระดบองคกรb.4 เกณฑในการประเมนความเสยง (ดขอ 1.2.1 c)b.5 การไดรบการอนมตจากผบรหาร

c) กำหนดวธการประเมนความเสยงทเปนรปธรรมขององคกรc.1 ระบวธการประเมนความเสยงทเหมาะสมกบระบบบรหาร

จดการทางดานความมนคงปลอดภยขององคกรc.2 กำหนดเกณฑในการยอมรบความเส ยงและระบระดบ

ความเสยงทยอมรบไดd) ระบบความเสยง

d.1 ระบทรพยสนท อย ในขอบเขตของระบบบรหารจดการความปลอดภยรวมทงผเปนเจาของทรพยสนเหลานน

d.2 ระบภยคกคามทมตอทรพยสนเหลานนd.3 ระบจดออนทภยคกคามอาจจะใชใหเปนประโยชนd.4 ระบผลกระทบทกอใหเกดความสญเสยทางดานความลบ

ความสมบรณ ความพรอมใชของทรพยสนเหลานนe) วเคราะหและประเมนความเสยง

e.1 ประเมนผลกระทบทมตอธรกจซงอาจเปนผลจากความลมเหลว



12

ในการรกษาความมนคงปลอดภย โดยพจารณาผลของการสญเสยความลบ ความสมบรณ ความพรอมใชของทรพยสนเหลานน

e.2 กำหนดความนาจะเปนของความเสยงอนเกดจากความลมเหลวในการรกษาความมนคงปลอดภย

e.3 กำหนดระดบความเสยงe.4 กำหนดวาความเสยงเหลานน สามารถยอมรบไดหรอไม

โดยใชเกณฑในการยอมรบความเสยงทกำหนดไวในขอ1.2.1) c.2)

f) ระบและประเมนทางเลอกในการจดการกบความเสยงการดำเนนการทเปนไปได อาจรวมถงf.1 ใชมาตรการทเหมาะสมf.2 ยอมรบความเสยงเหลานน โดยมเงอนไขวา ความเสยง

เหลานนจะตองอยภายในเกณฑในการยอมรบความเสยงทกำหนดไวในขอ 1.2.1) c.2)

f.3 หลกเลยงความเสยงเหลานนf.4 โอนยายความเสยงเหลานนไปสผอน เชน บรษทประกนภย

เปนตนg) เลอกวตถประสงคและมาตรการทางดานความมนคงปลอดภย

เพอจดการกบความเสยง วตถประสงคและมาตรการดงกลาวสามารถเลอกมาจากมาตรฐานการรกษาความมนคงปลอดภยในการประกอบธรกรรมทางดานอเลกทรอนกสในตอนทายของมาตรฐานฉบบน

h) ขอการอนมตและความเหนชอบสำหรบความเสยงทยงหลงเหลออยในระบบบรหารจดการความมนคงปลอดภย

i) ขอการอนมตเพอลงมอปฏบตและดำเนนการj) จดทำเอกสาร SoA (Statement of Applicability) แสดงการใชงาน

มาตรการตามทแสดงไวในสวนของมาตรฐานการรกษาความมนคง


13

ปลอดภยในการประกอบธรกรรมทางดานอเลกทรอนกสเอกสารดงกลาวควรมองคประกอบดงนj.1 วตถประสงคและมาตรการทางดานความมนคงปลอดภย

ตามทไดเลอกไวในขอ 1.2.1) g) รวมทงเหตผลการใชงานj.2 วตถประสงคและมาตรการทางดานความมนคงปลอดภยท

ไดใชงานอยในปจจบนj.3 วตถประสงคและมาตรการความมนคงปลอดภยท ไมม

การใชงานรวมทงเหตผลทไมมการใชงาน

1.2.2 ลงมอปฏบตและดำเนนการระบบบรหารจดการความมนคงปลอดภยองคกรควรปฏบตดงน (Do)a) จดทำแผนการจดการความเสยงซงกลาวถงการดำเนนการเชง

บรหารจดการ ทรพยากรทจำเปน หนาทความรบผดชอบ และลำดบการดำเนนการเพอบรหารจดการความเสยงทพบ

b) ลงมอปฏบตตามแผนการจดการความเสยงเพอบรรลในวตถ-ประสงคทางดานความมนคงปลอดภยทไดกำหนดไว

c) ลงมอปฏบตตามมาตรการทเลอกไวในขอ 1.1.2) g) เพอบรรลวตถประสงคทางดานความมนคงปลอดภยของมาตรการดงกลาว

d) กำหนดวธการในการวดความสมฤทธผลของมาตรการทเลอกมาใชงาน การวดดงกลาวจะตองสามารถสรางผลลพธทสามารถเปรยบเทยบได รวมทงสามารถสรางผลลพธเดมขนมาอกครงหนงได

e) จดทำและลงมอปฏบตตามแผนการอบรมและสรางความตระหนก(ดขอ 2.2.2)

f) บรหารการดำเนนงานสำหรบระบบบรหารจดการความมนคงปลอดภย

g) บรหารทรพยากรสำหรบระบบบรหารจดการความมนคงปลอดภย(ดขอ 2.2)



14

h) จดทำและลงมอปฏบตตามขนตอนปฏบตและมาตรการอนๆ ซงชวยในการตรวจจบและรบมอกบเหตการณทางดานความมนคงปลอดภย (ดขอ 1.2.3 a)

1.2.3 เฝาระวงและทบทวนระบบบรหารจดการความมนคงปลอดภยองคกรควรปฏบตดงน (Check)a) ลงมอปฏบตตามขนตอนปฏบตและมาตรการอ นๆ สำหรบ

การเฝาระวงและทบทวน เพอใหระบบบรหารจดการความมนคงปลอดภยสามารถa.1 ตรวจจบขอผดพลาดจากการประมวลผลa.2 ระบการละเมดความมนคงปลอดภยและเหตการณทเกยวของ

กบความมนคงปลอดภยa.3 ชวยใหผบรหารสามารถระบไดวากจกรรมทางดานความมนคง

ปลอดภยทมอบหมายใหกบบคลากรขององคกรเปนไปตามทคาดหมายไวหรอไม

a.4 ตรวจจบเหตการณทเกยวของกบความมนคงปลอดภยโดยอาศยตวบงชตางๆ เพอชวยในการตรวจจบเหตการณตางๆทไมคาดคด

a.5 ตรวจสอบไดวาการดำเนนการเพอแกไขการละเมดทางดานความมนคงปลอดภยมความสมฤทธผลหรอไม

b) ดำเนนการทบทวนความสมฤทธผลของระบบบรหารจดการความมนคงปลอดภยอยางสมำเสมอ โดยนำสงตางๆ ตอไปนมาพจารณารวมดวย ไดแก ผลการตรวจสอบกอนหนาน เหตการณละเมดความมนคงปลอดภยทเกดขน ผลการวดความสมฤทธผลคำแนะนำและผลตอบกลบจากองคกรหรอหนวยงานทเกยวของเปนตน

c) วดความสมฤทธผลของมาตรการทางดานความมนคงปลอดภยเพอตรวจสอบวาเปนไปตามขอกำหนดทางดานความมนคงปลอดภย


15

d) ทบทวนผลการประเมนความเสยงตามรอบระยะเวลาทกำหนดไวกบระดบความเสยงทยงเหลออย และระดบความเสยงทยอมรบได โดยพจารณาการเปล ยนแปลงของส งตอไปน ประกอบดวยd.1 องคกรd.2 เทคโนโลยd.3 วตถประสงคและกระบวนการทางธรกจd.4 ภยคกคามทระบไวกอนหนาน กบสภาพการเปลยนแปลง

ปจจบนd.5 ความสมฤทธผลของมาตรการทไดลงมอปฏบตไปแลวd.6 เหตการณภายนอก ไดแก การเปลยนแปลงทมตอกฎ

ระเบยบ กฎหมาย ขอกำหนดในสญญาท ทำไว หรอขอกำหนดอนๆ และการเปลยนแปลงทางสงคม เปนตน

e) ดำเนนการตรวจสอบระบบบรหารจดการความมนคงปลอดภยภายในองคกรตามรอบระยะเวลาทไดกำหนดไว (ดขอ 3)

f) ดำเนนการทบทวนระบบรหารจดการความม นคงปลอดภยโดยผบรหารอยางสมำเสมอ (ดขอ 4.1)

g) ปรบปรงแผนทางดานความม นคงปลอดภยโดยนำผลของการเฝาระวงและทบทวนกจกรรมตางๆ มาพจารณารวมดวย

h) บนทกการดำเนนการซงอาจมผลกระทบตอความสมฤทธผลหรอประสทธภาพของระบบบรหารจดการความมนคงปลอดภย(ดขอ 1.3.3)

1.2.4 บำรงรกษาและปรบปรงระบบบรหารจดการความมนคงปลอดภยองคกรควรปฏบตดงน (Act)a) ปรบปรงระบบบรหารจดการความมนคงปลอดภยตามทระบไว



16

b) ใชมาตรการเชงแกไขและปองกนตามขอ 5.2 และ 5.3 และใชบทเรยนจากประสบการณทางดานความมนคงปลอดภยขององคกรเองและขององคกรอนมาชวยในการปรบปรงใหดขน

c) แจงการปรบปรงและการดำเนนการใหแกทกหนวยทเกยวของโดยใหรายละเอยดทเหมาะสมตอสถานการณทเกดขน

d) ตรวจสอบวาการปรบปรงททำไปแลวนนบรรลตามวตถประสงคทกำหนดไวหรอไม

1.3 ขอกำหนดทางดานการจดทำเอกสาร1.3.1 ความตองการทวไป

เอกสารท จำเปนตองจดทำจะรวมถงบนทกแสดงการตดสนใจของผบรหาร เอกสารจะตองประกอบดวย

a) นโยบายความมนคงปลอดภยตามขอ 1.2.1 b และวตถประสงคb) ขอบเขตของระบบบรหารจดการความมนคงปลอดภยc) ขนตอนการปฏบตและมาตรการสนบสนนระบบบรหารจดการ

ความมนคงปลอดภยd) วธการประเมนความเสยง ตามขอ 1.2.1 ce) รายงานการประเมนความเสยง ตามขอ 1.2.1 c to 1.2.1 gf) แผนการจดการความเสยงตามขอ 1.2.2 bg) ขนตอนการปฏบตทเกยวของกบการวางแผน การดำเนนการและ

การควบคมกระบวนการทางดานความมนคงปลอดภย รวมทงวธการวดความสมฤทธผลของมาตรการตามขอ 1.2.3 c

h) สงทตองบนทกไว ซงกำหนดโดยมาตรฐานน (ดขอ 1.3.3)i) เอกสารแสดงการใชงานมาตรการ หรอ Statement of Aplicability

(SoA)


17

1.3.2 การบรหารจดการเอกสารเอกสารตามขอกำหนดของระบบบรหารจดการความมนคงปลอดภย

จะตองไดรบการปองกนและควบคม ขนตอนการปฏบตทเกยวของกบการจดการเอกสารควรมขนตอนทเกยวของ ดงน

a) อนมตการใชงานเอกสารกอนทจะเผยแพรb) ทบทวน ปรบปรง และอนมตเอกสารตามความจำเปนc) ระบการเปลยนแปลงและสถานภาพของเอกสารปจจบนd) กำหนดเลขทเอกสารตามการปรบปรงทเกดขนe) จดทำใหเอกสารสามารถอาน ทำความเขาใจ และระบไดโดยงายf) จดทำใหเอกสารสามารถเขาถงไดเฉพาะผทมความจำเปนใน

การใชงาน รวมทงการโอนยาย การจดเกบ และการทำลายเอกสารจะตองเปนไปตามขนตอนปฏบตทจดทำไวสำหรบเอกสารชนดนน

g) สามารถระบไดวาเอกสารใดเปนเอกสารจากภายนอกh) ควบคมการแจกจายหรอการเผยแพรเอกสารi) ปองกนการใชเอกสารลาสมย (หรอเลกใชงานแลว)j) ใชวธการระบเอกสารทเหมาะสมหากเอกสารลาสมยนนยงคง

เกบไวเพอจดประสงคใดจดประสงคหนง

1.3.3 การบรหารจดการบนทกขอมล หรอฟอรมตางๆองคกรจะตองมการกำหนด จดทำ และบำรงรกษาบนทกขอมลหรอ

ฟอรมตางๆ เพอใชเปนหลกฐานแสดงความสอดคลองกบขอกำหนดและการดำเนนการทมประสทธภาพของระบบบรหารจดการความมนคงปลอดภยบนทกขอมลทเกบไวจะสะทอนถงประสทธภาพของกระบวนการตามหวขอ 1.2 และการเกดขนของเหตการณทเกยวของกบความมนคงปลอดภย

ทงน บนทกขอมลหรอฟอรมตางๆ จะตอง- ไดรบการปองกนและควบคม



18

- จดเกบไวในกรณทเปนบนทกขอมลทเกยวของกบขอกำหนดทางดานกฎหมาย หรอระเบยบ หรอท ระบไวในสญญาและนโยบายความมนคงปลอดภย

- สามารถอานทำความเขาใจ ระบ และนำขนมาใชงานไดโดยงาย- ไดรบการกำหนดมาตรการทจำเปนสำหรบการกรอกหรอบนทกการจดเกบ การปองกน การนำขนมาใชงาน ระยะเวลาทจะตองจดเกบไวและการทำลายบนทกขอมล และมาตรการดงกลาวตองจดทำเปนลายลกษณอกษร และมการนำไปปฏบตจรง

ขอ 2 หนาทความรบผดชอบของผบรหาร2.1 การใหความสำคญในการบรหารจดการ

ผ บรหารจะตองแสดงถงการใหความสำคญตอการกำหนดการลงมอปฏบตการ ดำเนนการ การเฝาระวง การทบทวน การบำรงรกษาและการปรบปรงระบบบรหารจดการความมนคงปลอดภยโดย

a) กำหนดนโยบายความมนคงปลอดภยb) กำหนดวตถประสงคและแผนสำหรบระบบบรหารจดการc) กำหนดบทบาทและหนาทความรบผดชอบทางดานความมนคงปลอดภยd) แจงทกหนวยภายในองคกรไดรบทราบถงความสำคญของการรกษา

ความมนคงปลอดภยและการปฏบตตามนโยบายความมนคงปลอดภยหนาทความรบผดชอบภายใตกฎหมายของประเทศ รวมทงการยกระดบทางดานความมนคงปลอดภยอยางตอเนอง

e) จดสรรทรพยากรอยางพอเพยงสำหรบการกำหนด การลงมอปฏบตการดำเนนการ การเฝาระวง การทบทวน การบำรงรกษา และการปรบปรงระบบบรหารจดการความมนคงปลอดภย (ดขอ 2.2.1)

f) กำหนดเกณฑในการยอมรบความเสยงและระดบความเสยงทยอมรบไดg) จดใหมการตรวจสอบภายในสำหรบระบบบรหารจดการความมนคง

ปลอดภยh) ดำเนนการทบทวนระบบบรหารจดการความมนคงปลอดภย


19

2.2 การบรหารจดการทรพยากร2.2.1 การจดสรรทรพยากร

องคกรจะตองจดสรรทรพยากรทจำเปนเพอa) กำหนด ลงมอปฏบต ดำเนนการ เฝาระวง ทบทวน บำรงรกษา

และปรบปรงระบบบรหารจดการความมนคงปลอดภยb) ใหมการดำเนนการตามขนตอนปฏบตทางดานความมนคง

ปลอดภยc) ใหสามารถระบขอกำหนดทเกยวของกบกฎหมายและระเบยบ

ปฏบต รวมถงขอกำหนดทางดานความมนคงปลอดภยทระบไวในสญญา

d) ใหสามารถบำรงรกษาความม นคงปลอดภยอยางพอเพยงโดยการเลอกใชมาตรการทางดานความมนคงปลอดภยทถกตองและเหมาะสม

e) ใหมการดำเนนการทบทวนตามความจำเปน รวมถงมการดำเนนการเพมเตมอยางเหมาะสมตอผลของการทบทวนนน

f) ใหสามารถปรบปรงความสมฤทธผลของระบบบรหารจดการความมนคงปลอดภย

2.2.2 การอบรม การสรางความตระหนก และการเพมขดความสามารถองคกรจะตองดำเนนการเพอใหบคลากรทงหมดทไดรบมอบหมาย

หนาทความรบผดชอบตามทกำหนดไวในนโยบายความมนคงปลอดภย บคลากรเหลานนควรมขดความสามารถทจะปฏบตงานตามทกำหนดไว ดงน

a) กำหนดความรความสามารถทจำเปนสำหรบบคลากรทปฏบตหนาทเกยวกบระบบบรหารจดการความมนคงปลอดภย

b) จดการอบรมหรอใชว ธ การอ น (เชน วาจางบคลากรท ม ความสามารถ) เพอเปนการเสรมความรความสามารถ

c) ประเมนความสมฤทธผลของการดำเนนการในขอ b)



20

d) เกบรกษาบนทกขอมลทเกยวของกบการศกษา การฝกอบรมทกษะ ประสบการณและคณสมบตของบคลากรขององคกร(การเกบประวตการเขารบการอบรมของบคลากร จดเกบเปนหลกฐานสำหรบการตรวจสอบดวยขอ 1.3.3)

องคกรจะตองดำเนนการใหบคลากรทเกยวของมความตระหนกถงความเกยวของและความสำคญของกจกรรมทางดานความมนคงปลอดภยทบคคลเหลานเปนสวนหนงและมผลตอความสำเรจของระบบบรหารจดการความมนคงปลอดภย

ขอ 3 การตรวจสอบภายในระบบบรหารจดการความมนคงปลอดภยองคกรควรดำเนนการตรวจสอบภายในตามรอบระยะเวลาทกำหนดไวเพอ

ตรวจสอบวา วตถประสงค มาตรการ กระบวนการ และขนตอนปฏบตของระบบบรหารจดการความมนคงปลอดภย

a) สอดคลองกบขอกำหนดในมาตรฐานฉบบนและกฎหมาย ระเบยบ ขอบงคบหรอขอกำหนดอนๆ ทเกยวของหรอไม

b) สอดคลองกบขอกำหนดทางดานความมนคงปลอดภยทไดกำหนดไวหรอไมc) ไดรบการลงมอปฏบตและบำรงรกษาอยางสมฤทธผลหรอไมd) เปนไปตามทคาดหมายไวหรอไมองคกรจะตองวางแผนตรวจสอบภายในโดยพจารณาถงสถานภาพและ

ความสำคญของกระบวนการและสวนตางๆ ทจะไดรบการตรวจสอบ รวมทงผลการตรวจสอบจากครงตางๆ ทผานมา องคกรจะตองกำหนดเกณฑในการตรวจสอบ ขอบเขต ความถและวธการทใชในการตรวจสอบ การคดเลอกผตรวจสอบ และการดำเนนการตรวจสอบจะตองคำนงถงหลกฐานตามความเปนจรง และความเทยงธรรมของผตรวจสอบรวมทงผตรวจสอบจะตองไมตรวจสอบงานของตนเอง

องคกรตองระบหนาทความรบผดชอบและขอกำหนดตางๆ ในการวางแผนและดำเนนการตรวจสอบ รวมทงการจดทำรายงานผลการตรวจสอบ และบำรงรกษาบนทกขอมลทเกยวของกบการตรวจสอบนน (ดขอ 1.3.3) อยางเปนลายลกษณอกษร


21

ผบรหารทรบผดชอบในสวนทไดรบการตรวจสอบจะตองควบคมใหการดำเนนการแกไขเพอกำจดความไมสอดคลองและสาเหตทเกยวของไดรบการดำเนนการโดยปราศจากความลาชาท เกนควร รวมท งจะตองควบคมใหมกจกรรมการตดตามเพอตรวจสอบการดำเนนการทไดดำเนนการไปแลว และมการจดทำรายงานผลการตรวจสอบนน (ดขอ 5)

ขอ 4 การทบทวนระบบบรหารจดการความมนคงปลอดภยโดยผบรหาร4.1 ขอกำหนดทวไป

ผบรหารจะตองทบทวนระบบบรหารจดการความมนคงปลอดภยตามรอบระยะเวลาทกำหนดไว (เชน ปละ 1 ครง) เพอใหมการดำเนนการทเหมาะสม พอเพยงและสมฤทธผล การทบทวนจะตองรวมถงการปรบปรงหรอเปลยนแปลงระบบบรหารจดการความมนคงปลอดภย ซงหมายรวมถงนโยบายความมนคงปลอดภยและวตถประสงคทางดานความมนคงปลอดภย ผลของการทบทวนจะตองไดรบการบนทกไวอยางเปนลายลกษณอกษรและบนทกขอมลทเกยวของกบการทบทวนจะตองไดรบการบำรงรกษาไว (ดขอ 1.3.3)

4.2 ขอมลนำเขาทใชในการทบทวนขอมลนำเขาทใชในการทบทวนโดยผบรหารจะรวมถงa) ผลการตรวจสอบระบบบรหารจดการความม นคงปลอดภยและผล

การทบทวนb) ผลตอบกลบจากทกหนวยทเกยวของc) เทคนค ผลตภณฑ หรอขนตอนปฏบตซงสามารถใชในการปรบปรง

ประสทธภาพและความสมฤทธผลของระบบบรหารจดการความมนคงปลอดภย

d) สถานภาพของการดำเนนการเชงปองกนและการดำเนนการเชงแกไขe) จดออนหรอภยคกคามทยงไมไดรบการกลาวถงในรายงานการประเมน

ความเสยงครงทผานมา



22

f) ผลของการวดความสมฤทธผลg) การดำเนนการตดตามจากผลการทบทวนครงตางๆ ทผานมาh) การเปลยนแปลงแกไขทอาจมผลตอระบบบรหารจดการความมนคง

ปลอดภยi) ขอเสนอแนะในการปรบปรงแกไข

4.3 ผลจากการทบทวนผลจากการทบทวนโดยผบรหารจะรวมถงการตดสนใจและการดำเนนการ

ตางๆ ดงนa) การปรบปรงทางดานความสมฤทธ ผลของระบบบรหารจดการ

ความมนคงปลอดภยb) การปรบปรงดานการประเมนความเสยงและปรบปรงแผนการจดการกบ

ความเสยงc) การแกไขขนตอนปฏบตและมาตรการทมผลตอความมนคงปลอดภย

สำหรบสารสนเทศ การแกไขดงกลาวอาจเปนผลมาจากการเปลยนแปลงดงนc.1 ขอกำหนดทางธรกจc.2 ขอกำหนดทางดานความมนคงปลอดภยc.3 กระบวนการทางธรกจทมผลตอขอกำหนดทางธรกจทมอยในปจจบนc.4 ขอกำหนดทเกยวของกบกฎ ระเบยบ หรอกฎหมายc.5 ขอกำหนดทระบไวในสญญาc.6 ระดบของความเสยง และ/หรอเกณฑสำหรบการยอมรบความเสยง

d) ความตองการดานทรพยากรe) การปรบปรงวธการวดความสมฤทธผลของมาตรการทใช


23

ขอ 5 การดำเนนการเพอบำรงรกษาหรอปรบปรงระบบบรหารจดการความมนคงปลอดภย5.1 การปรบปรงอยางตอเนอง

องคกรจะตองปรบปรงความสมฤทธผลของระบบบรหารความม นคงปลอดภยอยางตอเนองโดยใช

- นโยบายความมนคงปลอดภย- วตถประสงคทางดานความมนคงปลอดภย- ผลการตรวจสอบความมนคงปลอดภย- ผลการวเคราะหเหตการณทไดรบการเฝาระวง- การดำเนนการเชงแกไขและปองกน- การทบทวนระบบบรหารจดการความมนคงปลอดภยโดยผบรหาร

5.2 การดำเนนการเชงแกไของคกรจะดำเนนการกำจดสาเหตของความไมสอดคลองกบขอกำหนด

สำหรบระบบบรหารจดการความมนคงปลอดภยเพอปองกนการเกดขนอก ขนตอนปฏบตสำหรบการดำเนนการเชงแกไขทเปนลายลกษณอกษรจะตองพจารณาถง

a) การระบความไมสอดคลองb) การระบสาเหตของความไมสอดคลองc) การประเมนความจำเปนในการดำเนนการเพอปองกนไมใหความไม

สอดคลองนนเกดขนอกd) การลงมอปฏบตการดำเนนการเชงแกไขตามความจำเปนe) การบนทกขอมลผลการดำเนนการ (ดขอ 1.3.3)f) การทบทวนการดำเนนการเชงแกไขทไดปฏบตไปแลว

5.3 การดำเนนการเชงปองกนองคกรจะตองดำเนนการกำจดสาเหตของความไมสอดคลองกบขอกำหนด

สำหรบระบบบรหารจดการความมนคงปลอดภยทมโอกาสเกดขนเพอปองกนการเกดขน



24

การดำเนนการเชงปองกนจะตองเหมาะสมกบผลกระทบของปญหาทมโอกาสเกดขนข นตอนปฏบตสำหรบการดำเนนการเชงปองกนท เปนลายลกษณอกษรจะตองพจารณาถง

a) การระบความไมสอดคลองทมโอกาสเกดขนและสาเหตของความไมสอดคลอง

b) การประเมนความจำเปนในการดำเนนการเพอปองกนการเกดขนของความไมสอดคลอง

c) การลงมอปฏบตการดำเนนการเชงปองกนตามความจำเปนd) การบนทกขอมลผลการดำเนนการ (ดขอ 1.3.3)e) การทบทวนการดำเนนการเชงปองกนทไดปฏบตไปแลวองคกรจะตองระบความเสยงทแปรเปลยนไปและกำหนดการดำเนนการ

เชงปองกน โดยใหความสำคญกบความเสยงทมระดบสง รวมทงกำหนดลำดบความสำคญของการดำเนนการเชงปองกน โดยพจารณาจากผลของการประเมนความเสยง


25

สวนท 2

มาตรการการจดการความมนคงปลอดภยสำหรบสารสนเทศ

(อางองตามมาตรฐาน ISO/IEC 27001 Annex Aและศกษารายละเอยดวธปฏบตทางเทคนค

จาก ISO/IEC 17799:2005)



26

มาตรการการจดการความมนคงปลอดภยสำหรบสารสนเทศ

1. นโยบายความมนคงปลอดภย (Security policy)

1.1 นโยบายความมนคงปลอดภยสำหรบสารสนเทศ (Information security policy)มจดประสงคเพอกำหนดทศทางและใหการสนบสนนการดำเนนการดาน

ความมนคงปลอดภยสำหรบสารสนเทศขององคกร เพอใหเปนไปตามหรอสอดคลองกบขอกำหนดทางธรกจ กฎหมาย และระเบยบปฏบตทเกยวของ

1.1.1 เอกสารนโยบายความมนคงปลอดภยทเปนลายลกษณอกษร (Informationsecurity policy document)

(ผบรหารองคกร) ตองจดทำนโยบายความมนคงปลอดภยสำหรบสารสนเทศขององคกรอยางเปนลายลกษณอกษร เอกสารนโยบายตองไดรบการอนมตจากผบรหารขององคกรกอนนำไปใชงานและตองเผยแพรใหพนกงานและหนวยงานภายนอกทงหมดทเกยวของไดรบทราบ

1.1.2 การทบทวนนโยบายความมนคงปลอดภย (Review of the informationsecurity policy)

(ผบรหารองคกร) ตองดำเนนการทบทวนนโยบายความมนคงปลอดภยตามระยะเวลาทกำหนดไว หรอเมอมการเปลยนแปลงทสำคญตอองคกร

2. โครงสรางทางดานความมนคงปลอดภยสำหรบองคกร (Organizationof information security)

2.1 โครงสรางทางดานความมนคงปลอดภยภายในองคกร (Internal organization)มจดประสงคเพอบรหารและจดการความมนคงปลอดภยสำหรบสารสนเทศ

ขององคกร


27

2.1.1 การใหความสำคญของผบรหารและการกำหนดใหมการบรหารจดการทางดานความมนคงปลอดภย (Management commitment to information security)

(ผบรหารองคกร) ตองใหความสำคญและใหการสนบสนนตอการบรหารจดการทางดานความมนคงปลอดภย โดยมการกำหนดทศทางทชดเจน การกำหนดคำมนสญญาทชดเจนและการปฏบตทสอดคลอง การมอบหมายงานทเหมาะสมตอบคลากร และการเลงเหนถงความสำคญของหนาทและความรบผดชอบในการสรางความมนคงปลอดภยใหกบสารสนเทศ

2.1.2 การประสานงานความมนคงปลอดภยภายในองคกร (Informationsecurity coordination) (ผบรหารสารสนเทศ) ตองกำหนดใหมตวแทนพนกงานจากหนวยงานตางๆภายในองคกรเพอประสานงานหรอรวมมอกนในการสรางความมนคงปลอดภยใหกบสารสนเทศขององคกร โดยทตวแทนเหลานนจะมบทบาทและลกษณะงานทรบผดชอบทแตกตางกน

2.1.3 การกำหนดหนาท ความรบผดชอบทางดานความมนคงปลอดภย(Allocation of information security responsibilities) (ผบรหารสารสนเทศ) ตองกำหนดหนาทความรบผดชอบของพนกงานในการดำเนนงานทางดานความมนคงปลอดภยสำหรบสารสนเทศขององคกรไวอยางชดเจน

2.1.4 กระบวนการในการอนมตการใชงานอปกรณประมวลผลสารสนเทศ(Authorization process for information processing facilities)

(ผบรหารสารสนเทศ) ตองกำหนดกระบวนการในการอนมตการใชงานอปกรณประมวลผลสารสนเทศใหมและบงคบใหมการใชงานกระบวนการน

2.1.5 การลงนามมใหเปดเผยความลบขององคกร (Confidentialityagreements)

(หวหนางานบคคล) ตองจดใหมการลงนามในขอตกลงระหวางพนกงานกบองคกรวาจะไมเปดเผยความลบขององคกร (โดยการลงนามนจะเปนสวนหนงของการสญญาวาจางพนกงานนน) รวมทงเงอนไขหรอขอกำหนดตางๆ ทเกยวของกบการไมเปดเผยความลบจะตองไดรบการปรบปรงอยางสมำเสมอเพ อใหสอดคลองกบความตองการขององคกร



28

2.1.6 การมรายชอและขอมลสำหรบการตดตอกบหนวยงานอน (Contact withauthorities)

(ผบรหารสารสนเทศ) ตองมรายชอและขอมลสำหรบตดตอกบหนวยงานอนๆเชน สำนกงานตำรวจแหงชาต สภาความมนคงแหงชาต บมจ. ทศท คอรปอเรชน บมจ.กสท. โทรคมนาคม ผใหบรการอนเทอรเนต (Internet Service Provider) ศนยประสานงานการรกษาความมนคงปลอดภยคอมพวเตอรประเทศไทย (ThaiCERT) เปนตนเพอใชสำหรบการตดตอประสานงานทางดานความมนคงปลอดภยในกรณทมความจำเปน

2.1.7 การมรายชอและขอมลสำหรบการตดตอกบกลมทมความสนใจเปนพเศษในเรองเดยวกน (Contact with special interest groups)

(ผบรหารองคกรและหวหนางานสารสนเทศ) ตองมรายชอและขอมลสำหรบการตดตอกบกลมตางๆ ทมความสนใจเปนพเศษในเรองเดยวกน กลมทความสนใจดานความมนคงปลอดภยสารสนเทศ หรอสมาคมตางๆ ในอตสาหกรรมทองคกรมสวนรวม

2.1.8 การทบทวนดานความมนคงปลอดภยสำหรบสารสนเทศโดยผตรวจสอบอสระ (Independent review of information security)

(ผบรหารสารสนเทศ) ตองกำหนดใหมการตรวจสอบการบรหารจดการการดำเนนงาน และการปฏบตทเกยวของกบความมนคงปลอดภยสำหรบสารสนเทศโดยผตรวจสอบอสระตามรอบระยะเวลาทกำหนดไว หรอเมอมการเปลยนแปลงทมความสำคญมากตอองคกร

2.2 โครงสรางทางดานความมนคงปลอดภยทเกยวของกบลกคาหรอหนวยงานภายนอก (External parties)

มจดประสงคเพอบรหารจดการความมนคงปลอดภยสำหรบสารสนเทศและอปกรณประมวลผลสารสนเทศขององคกรทถกเขาถง ถกประมวลผล หรอถกใชในการตดตอสอสารกบลกคาหรอหนวยงานภายนอก

2.2.1 การประเมนความเสยงของการเขาถงสารสนเทศโดยหนวยงานภายนอก(Identification of risks related to external parties)


29

(หวหนางานสารสนเทศ) ตองกำหนดใหมการประเมนความเสยงอนเกดจากการเขาถงสารสนเทศ หรออปกรณทใชในการประมวลผลสารสนเทศโดยหนวยงานภายนอก และกำหนดมาตรการรองรบหรอแกไขทเหมาะสมกอนทจะอนญาตใหสามารถเขาถงได

2.2.2 การระบขอกำหนดสำหรบลกคาหรอผ ใชบรการท เก ยวของกบความมนคงปลอดภยสำหรบสารสนเทศขององคกร (Addressing security whendealing with customers)

(หวหนางานสารสนเทศ) ตองระบขอกำหนดทางดานความมนคงปลอดภยสำหรบสารสนเทศขององคกร เมอมความจำเปนตองใหลกคาหรอผใชบรการเขาถงสารสนเทศหรอทรพยสนสารสนเทศขององคกร กอนทจะอนญาตใหสามารถเขาถงได

2.2.3 การระบและจดทำขอกำหนดสำหรบหนวยงานภายนอกทเกยวของกบความมนคงปลอดภยสำหรบสารสนเทศขององคกร (Addressing security in third partyagreements)

(หวหนางานสารสนเทศ) ตองระบและจดทำขอกำหนดหรอขอตกลงทเกยวของกบความมนคงปลอดภยสำหรบสารสนเทศระหวางองคกรและหนวยงานภายนอกเมอมความจำเปนตองใหหนวยงานนนเขาถงสารสนเทศหรออปกรณประมวลผลสารสนเทศขององคกร กอนทจะอนญาตใหสามารถเขาถงได

3. การบรหารจดการทรพยสนขององคกร (Asset management)

3.1 หนาทความรบผดชอบตอทรพยสนขององคกร (Responsibility for assets)มจดประสงคเพอปองกนทรพยสนขององคกรจากความเสยหายทอาจเกด

ขนได3.1.1 การจดทำบญชทรพยสน (Inventory of assets)(หวหนางานพสดและหวหนางานสารสนเทศ) ตองจดทำและปรบปรงแกไข

บญชทรพยสนทมความสำคญตอองคกรใหถกตองอยเสมอ3.1.2 การระบผเปนเจาของทรพยสน (Ownership of assets)



30

(หวหนางานพสดและหวหนางานสารสนเทศ) ตองจดใหมการระบผเปนเจาของสารสนเทศ (แตละชนด) และทรพยสนทเกยวของกบการประมวลผลสารสนเทศตามทกำหนดไวในบญชทรพยสน

3.1.3 การใชงานทรพยสนทเหมาะสม (Acceptable use of assets)(หวหนางานพสดและหวหนางานสารสนเทศ) จะตองจดทำกฎ ระเบยบ หรอ

หลกเกณฑอยางเปนลายลกษณอกษรสำหรบการใชงานสารสนเทศและทรพยสนทเกยวของกบการประมวลผลสารสนเทศอยางเหมาะสม เพอปองกนความเสยหายตอทรพยสนเหลานน เชน อนเกดจากการขาดความระมดระวง การขาดการดแล และเอาใจใสเปนตน

3.2 การจดหมวดหมสารสนเทศ (Information classification)มจดประสงคเพอกำหนดระดบของการปองกนสารสนเทศขององคกรอยาง

เหมาะสม3.2.1 การจดหมวดหมทรพยสนสารสนเทศ (Classification guidelines)(หวหนางานสารสนเทศ) จะตองจดใหมกระบวนการในการจดหมวดหมของ

ทรพยสนสารสนเทศตามระดบชนความลบ คณคา ขอกำหนดทางกฎหมายและระดบความสำคญทมตอองคกร ทงนเพอจะไดหาวธการในการปองกนไดอยางเหมาะสม

3.2.2 การจดทำปายชอ และการจดการทรพยสนสารสนเทศ (Informationlabeling and handling)

(หวหนางานสารสนเทศ) จะตองจดใหมขนตอนปฏบตในการจดทำปายชอและการจดการทรพยสนสารสนเทศตามทไดจดหมวดหมไวแลว

4. ความมนคงปลอดภยทเกยวของกบบคลากร (Human resourcessecurity)

4.1 การสรางความมนคงปลอดภยกอนการจางงาน (Prior to employment)มจดประสงคเพอใหพนกงาน ผทองคกรทำสญญาวาจาง (เชน เพอการบำรง

รกษาอปกรณตางๆ ขององคกร) และหนวยงานภายนอก เขาใจถงบทบาท และหนาท


31

ความรบผดชอบของตน และเพอลดความเสยงอนเกดจากการขโมย การฉอโกง และการใชอปกรณผดวตถประสงค

4.1.1 การกำหนดหนาทความรบผดชอบดานความมนคงปลอดภย (Roles andresponsibilities)

(หวหนางานสารสนเทศ) ตองกำหนดหนาทและความรบผดชอบทางดานความมนคงปลอดภยสำหรบสารสนเทศอยางเปนลายลกษณอกษรสำหรบพนกงานผทองคกรทำสญญาวาจาง และ/หรอหนวยงานภายนอกทองคกรตองการวาจางมาปฏบตงานใหองคกร และจะตองสอดคลองกบนโยบายความมนคงปลอดภยสำหรบสารสนเทศขององคกร

4.1.2 การตรวจสอบคณสมบตของผสมคร (Screening)(หวหนางานบคคลและหนวยงานภายในทตองการวาจาง) ตองทำการ

ตรวจสอบคณสมบตของผสมคร (ทงกรณการจางงานเปนพนกงาน การวาจางในลกษณะของสญญา และการวาจางหนวยงานภายนอก) โดยละเอยด เชน ตรวจสอบจากจดหมายรบรอง ประวตการทำงาน วฒการศกษา บคคล หรอบรษททสามารถอางองได การผานการอบรม เปนตน และจะตองพจารณากฎหมาย ระเบยบ จรยธรรม ชนความลบของทรพยสนสารสนเทศ และระดบความเสยงในการเขาถงประกอบการคดเลอกดวย

4.1.3 การกำหนดเงอนไขการจางงาน (Terms and conditions of employment)(หวหนางานบคคลและหนวยงานภายในทตองการวาจาง) ตองกำหนด

เงอนไขการจางงาน (ทงกรณการจางงานเปนพนกงาน การวาจางในลกษณะของสญญาและการวาจางหนวยงานภายนอก) ซ งรวมถงหนาท ความรบผดชอบทางดานความมนคงปลอดภยสำหรบสารสนเทศ และบคลากรทจะไดรบการวาจางดงกลาวจะตองเหนชอบและลงนามในเงอนไขการจางงานนนดวย

4.2 การสรางความมนคงปลอดภยในระหวางการจางงาน (During employment)มจดประสงคเพอใหพนกงาน ผทองคกรทำสญญาวาจาง และหนวยงาน

ภายนอกไดตระหนกถงภยคกคามและปญหาทเกยวของกบความมนคงปลอดภย หนาทความรบผดชอบซงรวมถงหนาทความรบผดชอบทผกพนทางกฎหมาย และไดเรยนร



32

และทำความเขาใจเกยวกบนโยบายความมนคงปลอดภยขององคกร รวมทงเพอลดความเสยงอนเกดจากความผดพลาดในการปฏบตหนาท

4.2.1 หนาทในการบรหารจดการทางดานความมนคงปลอดภย (Managementresponsibilities)

(ผบรหารองคกร) ตองกำหนดใหพนกงานทไดรบการวาจางตามสญญาการ จางงานและผทมาปฏบตหนาทจากหนวยงานภายนอกปฏบตตามมาตรการการรกษาความมนคงปลอดภย ตามนโยบายและขนตอนปฏบตทางดานความมนคงปลอดภยขององคกร

4.2.2 การสรางความตระหนก การใหความร และการอบรมดานความมนคงปลอดภยใหแกพนกงาน (Information security awareness, education, and training)

(หวหนางานบคคลและหวหนางานทเกยวของ) ตองกำหนดใหพนกงานทไดรบการวาจางตามสญญาการจางงาน และผทมาปฏบตหนาทจากหนวยงานภายนอกไดรบการอบรมเพอสรางความตระหนกและเสรมสรางความรทางดานความมนคงปลอดภยอยางสมำเสมอ การอบรมควรครอบคลมถงนโยบายและขนตอนปฏบตสำหรบการรกษาความมนคงปลอดภยขององคกรตามลกษณะงานทพนกงานตองรบผดชอบดวย

4.2.3 กระบวนการทางวนยเพอลงโทษ (Disciplinary process)(ผบรหารองคกร) ตองจดใหมกระบวนการทางวนยเพอลงโทษพนกงาน

ทฝาฝนหรอละเมดนโยบาย หรอระเบยบปฏบตทางดานความมนคงปลอดภยขององคกร

4.3 การสนสดหรอการเปลยนการจางงาน (Termination or change of employment)มจดประสงคเพอใหพนกงาน ผทองคกรทำสญญาวาจาง และหนวยงานภายนอก

ไดทราบถงหนาทความรบผดชอบและบทบาทของตน เมอสนสดการจางงานหรอมการเปลยนการจางงาน

4.3.1 การสนสดหรอการเปลยนการจางงาน (Termination responsibilities)(หวหนางานบคคล) ตองกำหนดหนาทความรบผดชอบสำหรบผทองคกร

เลกการจางงานหรอองคกรเปลยนลกษณะการจางงาน และกำหนดใหปฏบตตามหนาทดงกลาว

4.3.2 การคนทรพยสนขององคกร (Return of assets)


33

(หวหนางานบคคลและหวหนางานพสด) ตองกำหนดใหผทองคกรสนสดการจางงานหรอเปลยนลกษณะการจางงานคนทรพยสนขององคกรทอยในความครอบครองของตน

4.3.3 การถอดถอนสทธในการเขาถง (Removal of access rights)(หวหนางานสารสนเทศและหวหนางานอาคาร) ตองทำการถอดถอนสทธใน

การเขาถงสารสนเทศและทรพยสนสารสนเทศของผทองคกรสนสดการจางงานหรอเปลยนลกษณะการจางงาน

5. การสรางความมนคงปลอดภยทางกายภาพและสงแวดลอม (Physicaland environmental security)

5.1 บรเวณทตองมการรกษาความมนคงปลอดภย (Secure areas)มจดประสงคเพอปองกนการเขาถงทางกายภาพโดยไมไดรบอนญาต การกอ

ใหเกดความเสยหาย และการกอกวนหรอแทรกแซงตอทรพยสนสารสนเทศขององคกร5.1.1 การจดทำบรเวณลอมรอบ (Physical security perimeter)(หวหนางานสารสนเทศ และหวหนางานอาคาร) ตองมการจดสรรพนทกน

บรเวณ จดทำผนงหรอกำแพงลอมรอบ จดทำประตทางเขา-ออกทมการควบคมตงโตะทำการของ รปภ. บรเวณทางเขา-ออกของสำนกงาน เปนตน เพอปองกนการเขาถงสารสนเทศและอปกรณประมวลผลสารสนเทศขององคกร

5.1.2 การควบคมการเขา-ออก (Physical entry controls)(หวหนางานสารสนเทศ และหวหนางานอาคาร) ตองจดใหมการควบคม

การเขา-ออกในบรเวณหรอพนททตองการรกษาความปลอดภย และอนญาตใหผานเขา-ออกไดเฉพาะผทไดรบอนญาตแลวเทานน

5.1.3 การรกษาความมนคงปลอดภยสำหรบสำนกงาน หองทำงาน และทรพยสนอนๆ (Securing offices, rooms and facilities)

(หวหนางานอาคาร) ตองจดใหมการสรางความมนคงปลอดภยทางกายภาพตอสำนกงานหองทำงานและทรพยสนอนๆ

5.1.4 การปองกนภยคกคามจากภายนอกและสงแวดลอม (Protecting againstexternal and environmental threats)



34

(หวหนางานอาคาร) ตองจดใหมการปองกนตอภยคกคามตางๆ ไดแก ไฟไหมนำทวม แผนดนไหว การระเบด ความไมสงบของบานเมอง หรอหายนะอนๆ ทงทเกดจากมนษยและธรรมชาต

5.1.5 การปฏบตงานในพนททตองรกษาความมนคงปลอดภย (Working insecure areas)

(หวหนางานอาคาร) ตองจดใหมการปองกนทางกายภาพและแนวทางสำหรบการปฏบตงาน ในพนททตองรกษาความมนคงปลอดภย

5.1.6 การจดบรเวณสำหรบการเขาถง หรอการสงมอบผลตภณฑโดยบคคลภายนอก (Public access, delivery, and loading areas)

(หวหนางานอาคาร และหวหนางานสารสนเทศ) ตองจดบรเวณสำหรบการเขาถงหรอการสงมอบผลตภณฑโดยบคคลภายนอก เพอปองกนการเขาถงทรพยสนสารสนเทศขององคกรโดยไมไดรบอนญาต และถาเปนไปได ควรจดเปนบรเวณแยกออกมาตางหาก

5.2 ความมนคงปลอดภยของอปกรณ (Equipment security)มจดประสงคเพอปองกนการสญหาย การเกดความเสยหาย การถกขโมย หรอ

การถกเปดเผยโดยไมไดรบอนญาตของทรพยสนขององคกร และการทำใหกจกรรมการดำเนนงานตางๆ ขององคกรเกดการตดขดหรอหยดชะงก

5.2.1 การจดวางและการปองกนอปกรณ (Equipment siting and protection)(พนกงาน) ตองจดวางและปองกนอปกรณของสำนกงานเพอลดความเสยงจาก

ภยคกคามทางดานสงแวดลอมและอนตรายตางๆ รวมทงความเสยงในการเขาถงอปกรณโดยไมไดรบอนญาต

5.2.2 ระบบและอปกรณสนบสนนการทำงาน (Supporting utilities)(หวหนางานสารสนเทศ) ตองกำหนดใหมกลไกการปองกนการลมเหลวของ

ระบบและอปกรณสนบสนนตางๆ ไดแก ระบบกระแสไฟฟา ระบบนำประปา ระบบควบคมอณหภม ระบบระบายอากาศ ระบบปรบอากาศ ระบบกระแสไฟฟาสำรองระบบสายสอสารสำรอง เปนตน

5.2.3 การเดนสายไฟ สายสอสาร และสายเคเบลอนๆ (Cabling security)


35

(หวหนางานอาคาร และหวหนางานสารสนเทศ) ตองกำหนดใหการเดนสายไฟฟา สายสอสาร และสายเคเบลอนๆ ไดรบการปองกนจากการเขาถงโดยไมไดรบอนญาต การทำใหเกดอปสรรคตอสายสญญาณ หรอการทำใหสายสญญาณเหลานนเสยหาย

5.2.4 การบำรงรกษาอปกรณ (Equipment maintenance)(หวหนางานสารสนเทศ) ตองกำหนดใหมการบำรงรกษาอปกรณตางๆ อยาง

สมำเสมอเพอใหอปกรณทำงานไดอยางตอเนองและอยในสภาพทมความสมบรณตอการใชงาน

5.2.5 การปองกนอปกรณทใชงานอยนอกสำนกงาน (Security of equipmentoff-premises)

(หวหนางานสารสนเทศ) ตองกำหนดใหมการปองกนอปกรณตางๆ ทใชงานอยนอกสำนกงานเพอไมใหเกดความเสยหายตออปกรณเหลานน การปองกนใหพจารณาจากความเสยงตางๆ ทมตออปกรณเหลานน

5.2.6 การกำจดอปกรณหรอการนำอปกรณกลบมาใชงานอกครง (Securedisposal or re-use of equipment)

(พนกงาน) ตองตรวจสอบอปกรณทมสอบนทกขอมลเพอดวาขอมลสำคญและซอฟตแวรลขสทธทเกบอยในสอบนทกดงกลาวไดถกลบทง หรอถกบนทกทบกอนทจะทงอปกรณดงกลาวไป ทงนเพอเปนการปองกนขอมลดงกลาวหากมการนำอปกรณกลบมาใชงานอกครง

5.2.7 การนำทรพยสนขององคกรออกนอกสำนกงาน (Removal of property)(หวหนางานอาคาร) ตองไมอนญาตการนำทรพยสนขององคกร ไดแก อปกรณ

สารสนเทศ หรอซอฟตแวร ออกนอกองคกร เวนเสยแตจะไดรบอนญาตแลวเทานน

6. การบรหารจดการดานการสอสารและการดำเนนงานของเครอขายสารสนเทศขององคกร (Communications and operationsmanagement)

6.1 การกำหนดหนาทความรบผดชอบและขนตอนการปฏบตงาน (Operationalprocedures and responsibilities)



36

มจดประสงคเพ อใหการดำเนนงานท เก ยวของกบอปกรณประมวลผลสารสนเทศเปนไปอยางถกตองและปลอดภย

6.1.1 ขนตอนการปฏบตงานทเปนลายลกษณอกษร (Documented operatingprocedures)

(หวหนางานสารสนเทศ) ตองจดทำคมอขนตอนการปฏบตงาน ปรบปรงตามระยะเวลาอนสมควร และแจกจายใหกบผทเกยวของ

6.1.2 การควบคมการเปลยนแปลง ปรบปรง หรอแกไขระบบหรออปกรณประมวลผลสารสนเทศ (Change management)

(หวหนางานสารสนเทศ) ตองกำหนดใหมการควบคมการปลยนแปลง ปรบปรงหรอแกไขระบบหรออปกรณประมวลผลสารสนเทศ

6.1.3 การแบงหนาทความรบผดชอบ (Segregation of duties)(ผท เปนเจาของกระบวนการทางธรกจ) ตองกำหนดใหมการแบงหนาท

ความรบผดชอบเพอลดโอกาสในการเปลยนแปลงหรอแกไขโดยไมไดรบอนญาตหรอใชผดวตถประสงคตอทรพยสนสารสนเทศขององคกร

6.1.4 การแยกระบบสำหรบการพฒนา การทดสอบ และการใหบรการออกจากกน (Separation of development, test, and operational facilities)

(หวหนางานสารสนเทศ) ตองจดใหมการแยกระบบสำหรบการพฒนาการทดสอบ และการใหบรการจรงออกจากกน เพอลดความเสยงในการเขาถงหรอเปลยนแปลงแกไขตอระบบสำหรบการใหบรการจรงโดยไมไดรบอนญาต

6.2 การบรหารจดการการใหบรการของหนวยงานภายนอก (Third party servicedelivery management)

มจดประสงคเพอจดทำและรกษาระดบความมนคงปลอดภยของการปฏบตหนาทโดยหนวยงานภายนอกใหเปนไปตามขอตกลงทจดทำไวระหวางองคกรกบหนวยงานภายนอก

6.2.1 การใหบรการโดยหนวยงานภายนอก (Service delivery)(หวหนางานสารสนเทศ) ตองกำหนดใหผใหบรการจากภายนอกปฏบตตาม

ขอกำหนดหรอขอตกลงทจดทำขนระหวางองคกรและผใหบรการ ขอตกลงควรกลาว


37

ถงมาตรการการรกษาความมนคงปลอดภย ลกษณะของการใหบรการ และระดบของการใหบรการ

6.2.2 การตรวจสอบการใหบรการโดยหนวยงานภายนอก (Monitoring andreview of third party services)

(หวหนางานสารสนเทศ) ตองตรวจสอบการใหบรการโดยหนวยงานภายนอกอยางสมำเสมอ เชน การดจากการใหบรการ การศกษาจากรายงานและขอมลตางๆทกำหนดใหบนทกไว เปนตน

6.2.3 การบรหารจดการการเปลยนแปลงในการใหบรการ (Managing changesto third party services)

(ผบรหารสารสนเทศ) ตองกำหนดใหทำการปรบปรงเงอนไขการใหบรการของหนวยงานภายนอกเมอมการเปลยนแปลงทสำคญตอระบบหรอกระบวนการทเกยวของกบงานใหบรการของหนวยงานภายนอก เชน การปรบปรงระบบสารสนเทศใหม การพฒนาระบบสารสนเทศใหม การปรบปรงนโยบายและขนตอนปฏบตสำหรบการรกษาความมนคงปลอดภย การเปลยนเทคโนโลยใหม การใชผลตภณฑใหม เปนตนซงมผลกระทบตอการดำเนนงานของผใหบรการจากภายนอก

6.3 การวางแผนและการตรวจรบทรพยากรสารสนเทศ (System planning andacceptance)

มจดประสงคเพอลดความเสยงจากความลมเหลวของระบบ6.3.1 การวางแผนความตองการทรพยากรสารสนเทศ (Capacity management)(หวหนางานสารสนเทศ) ตองมการวางแผนเพ อกำหนดความตองการ

ทรพยากรสารสนเทศเพมเตมในอนาคตเพอใหระบบมประสทธภาพทเหมาะสมและเพยงพอตอการใชงาน

6.3.2 การตรวจรบระบบ (System acceptance)(หวหนางานสารสนเทศ) ตองจดใหมเกณฑในการตรวจรบระบบสารสนเทศ

ใหม ทปรบปรงเพมเตม หรอทเปนรนใหม รวมทงตองดำเนนการทดสอบกอนทจะรบระบบนนมาใชงาน



38

6.4 การปองกนโปรแกรมทไมประสงคด (Protection against malicious andmobile code)

มจดประสงคเพอรกษาซอฟตแวรและสารสนเทศใหปลอดภยจากการถกทำลายโดยซอฟตแวรทไมประสงคด

6.4.1 การปองกนโปรแกรมทไมประสงคด (Controls against malicious code)(ผดแลระบบ) ตองมมาตรการสำหรบการตรวจจบ การปองกน และการกกลบคน

เพอปองกนทรพยสนสารสนเทศจากโปรแกรมทไมประสงคด รวมทงตองมการสรางความตระหนกทเกยวของใหกบผใชงานดวย

6.4.2 การปองกนโปรแกรมชนดเคลอนท (Controls against mobile code)(ผดแลระบบ) ตองมมาตรการเพอควบคมการใชงานโปรแกรมชนดเคลอนท

(โปรแกรมทเคลอนทจากหนวยความจำของเครองคอมพวเตอรหนงเพอไปทำงานในหนวยความจำของอกเครองคอมพวเตอรหนง) ใหเปนไปตามนโยบายความมนคงปลอดภยขององคกร และตองปองกนไมใหโปรแกรมชนดเคลอนทอนๆ สามารถทำงานหรอใชงานได

6.5 การสำรองขอมล (Back-up)มจดประสงคเพอรกษาความถกตองสมบรณและความพรอมใชของสารสนเทศ

และอปกรณประมวลผลสารสนเทศ6.5.1 การสำรองขอมล (Information back-up)(หวหนางานสารสนเทศ) ตองจดใหมการสำรองและทดสอบขอมลทสำรอง

เกบไวอยางสมำเสมอ และใหเปนไปตามนโยบายการสำรองขอมลขององคกร

6.6 การบรหารจดการทางดานความมนคงปลอดภยสำหรบเครอขายขององคกร (Network security management)

มจดประสงคเพอปองกนสารสนเทศบนเครอคายและโครงสรางพนฐานทสนบสนนการทำงานของเครอขาย

6.6.1 มาตรการทางเครอขาย (Network controls)


39

(ผดแลระบบ) ตองบรหารและจดการเครอขาย กำหนดมาตรการเพอปองกนภยคกคามตางๆ ทางเครอขาย และดแลรกษาความมนคงปลอดภยสำหรบระบบและแอปพลเคชนทใชงานเครอขาย รวมทงสารสนเทศตางๆ ทสงผานทางเครอขาย

6.6.2 ความมนคงปลอดภยสำหรบบรการเครอขาย (Security of networkservices)

(หวหนางานสารสนเทศ) ตองกำหนดคณสมบตทางดานความมนคงปลอดภยระดบการใหบรการ และขอกำหนดในการบรหารจดการสำหรบบรการเครอขายทงหมดทองคกรใชบรการอย และตองกำหนดไวในขอตกลงในการใหบรการเครอขายโดยทบรการเครอขายเหลานอาจจะเปนบรการเครอขายภายในขององคกรเองหรอบรการทไดรบจากหนวยงานภายนอก

6.7 การจดการสอทใชในการบนทกขอมล (Media handling)มจดประสงคเพอปองกนการเปดเผย การเปลยนแปลงแกไข การลบหรอ

การทำลายทรพยสนสารสนเทศโดยไมไดรบอนญาต และการตดขดหรอหยดชะงกทางธรกจ6.7.1 การบรหารจดการสอบนทกขอมลทสามารถเคลอนยายได (Management

of removable media)(หวหนางานสารสนเทศ) ตองกำหนดขนตอนปฏบตสำหรบบรหารจดการสอ

บนทกขอมลทสามารถเคลอนยายได6.7.2 การกำจดสอบนทกขอมล (Disposal of media)(หวหนางานสารสนเทศ) ตองกำหนดขนตอนปฏบตสำหรบการทำลายสอ

บนทกขอมลทไมมความจำเปนตองใชงานอกตอไปแลว การทำลายตองเปนไปอยางมนคงและปลอดภย

6.7.3 ขนตอนปฏบตสำหรบการจดการสารสนเทศ (Information handlingprocedures)

(หวหนางานสารสนเทศ) ตองกำหนดขนตอนปฏบตสำหรบการจดการและการจดเกบสารสนเทศ เพอปองกนการเขาถงโดยไมไดรบอนญาตหรอการใชงานผดวตถประสงค



40

6.7.4 การสรางความมนคงปลอดภยสำหรบเอกสารระบบ (Security of systemdocumentation)

(หวหนางานสารสนเทศ) ตองกำหนดมาตรการปองกนเอกสารระบบจากการเขาถงโดยไมไดรบอนญาต

6.8 การแลกเปลยนสารสนเทศ (Exchange of information)มจดประสงคเพอรกษาความมนคงปลอดภยของสารสนเทศและซอฟตแวรทม

การแลกเปลยนกนภายในองคกร และทมการแลกเปลยนกบหนวยงานภายนอก6.8.1 นโยบายและขนตอนปฏบตสำหรบการแลกเปลยนสารสนเทศ (Information

exchange policies and procedures)(ผบรหารองคกร) ตองกำหนดนโยบาย ขนตอนปฏบต และมาตรการรองรบเพอ

ปองกนปญหาของการแลกเปลยนสารสนเทศระหวางองคกร (เชน องคกรและหนวยงานภายนอก) โดยผานทางชองทางการสอสารทกชนด

6.8.2 ขอตกลงในการแลกเปลยนสารสนเทศ (Exchange agreements)(หวหนางานสารสนเทศ) ตองจดทำขอตกลงในการแลกเปลยนสารสนเทศ

และซอฟตแวรระหวางองคกรอยางเปนลายลกษณอกษร6.8.3 การสงสอบนทกขอมลออกไปนอกองคกร (Physical media in transit)(หวหนางานสารสนเทศและหวหนางานธรการ) ตองปองกนสอบนทกขอมล

จากการเขาถงโดยไมไดรบอนญาตการใชงานผดวตถประสงค และการทำใหขอมลเกดความเสยหายในระหวางทสงขอมลนนออกไปนอกองคกร

6.8.4 การสงขอความทางอเลกทรอนกส (Electronic messaging)(หวหนางานสารสนเทศ) ตองกำหนดมาตรการในการปองกนสารสนเทศทม

การสงผานทางขอความอเลกทรอนกส6.8.5 ระบบสารสนเทศทางธรกจทเชอมโยงกน (Business information

systems)(ผบรหารสารสนเทศ) ตองกำหนดนโยบายและขนตอนปฏบตเพอปองกน

สารสนเทศทเกยวของกบระบบสารสนเทศทางธรกจทเชอมโยงกน


41

6.9 การสรางความมนคงปลอดภยสำหรบบรการพาณชยอเลกทรอนกส (Electroniccommerce services)

มจดประสงคเพอสรางความมนคงปลอดภยสำหรบบรการพาณชยอเลกทรอนกสและในการใชงาน

6.9.1 การพาณชยอเลกทรอนกส (Electronic commerce)(หวหนางานสารสนเทศ) ตองกำหนดมาตรการสำหรบการปองกนสารสนเทศ

ของระบบพาณชยอเลกทรอนกสทมการสงผานทางเครอขายสาธารณะจากการฉอโกงการปฏเสธ การเปดเผย และการเปลยนแปลงแกไขโดยไมไดรบอนญาต

6.9.2 การทำธรกรรมออนไลน (On-line transactions)(หวหนางานสารสนเทศ) ตองกำหนดมาตรการสำหรบการปองกนสารสนเทศ

ทรบ-สงทเกยวของกบการทำธรกรรมออนไลน ทงนเพอปองกนไมใหเกดความไมสมบรณของสารสนเทศทรบ-สง สารสนเทศถกสงไปผดเสนทางบนเครอขายการเปลยนแปลงสารสนเทศโดยไมไดรบอนญาต การเปดเผยสารสนเทศโดยไมไดรบอนญาต หรอการทำสำเนาสารสนเทศโดยไมไดรบอนญาต

6.9.3 สารสนเทศทมการเผยแพรออกสสาธารณะ (Publicly availableinformation)

(ผดแลระบบ) ตองกำหนดใหมการปองกนความถกตองและความสมบรณของสารสนเทศทมการเผยแพรออกสสาธารณะ

6.10 การเฝาระวงทางดานความมนคงปลอดภย (Monitoring)มจดประสงคเพอตรวจจบกจกรรมการประมวลผลสารสนเทศทไมไดรบอนญาต6.10.1 การบนทกเหตการณทเกยวของกบการใชงานสารสนเทศ (Audit

logging)(หวหนางานสารสนเทศ) ตองกำหนดใหทำการบนทกกจกรรมการใชงานของผใช

การปฏเสธการใหบรการของระบบ และเหตการณตางๆ ทเกยวของกบความมนคงปลอดภยอยางสมำเสมอตามระยะเวลาทกำหนดไว

6.10.2 การตรวจสอบการใชงานระบบ (Monitoring system use)



42

(หวหนางานสารสนเทศ) ตองกำหนดใหมขนตอนปฏบต เพอตรวจสอบการใชงานทรพยสนสารสนเทศอยางสมำเสมอ อาท เพอดวามสงผดปกตเกดขนหรอไม

6.10.3 การปองกนขอมลบนทกเหตการณ (Protection of log information)(หวหนางานสารสนเทศ) ตองกำหนดใหมมาตรการปองกนขอมลบนทก

กจกรรมหรอเหตการณตางๆ ทเก ยวของกบการใชงานสารสนเทศ เพ อปองกนการเปลยนแปลงหรอการแกไขโดยไมไดรบอนญาต

6.10.4 บนทกกจกรรมการดำเนนงานของเจาหนาททเกยวของกบระบบ(Administrator and operator logs)

(หวหนางานสารสนเทศ) ตองกำหนดใหมการบนทกกจกรรมการดำเนนงานของผดแลระบบหรอเจาหนาททเกยวของกบระบบอนๆ

6.10.5 การบนทกเหตการณขอผดพลาด (Fault logging)(หวหนางานสารสนเทศ) ตองกำหนดใหมการบนทกเหตการณขอผดพลาด

ตางๆ ทเกยวของกบการใชงานสารสนเทศ วเคราะหขอผดพลาดเหลานน และดำเนนการแกไขตามสมควร

6.10.6 การตงเวลาของเครองคอมพวเตอรใหตรงกน (Clock synchronization)(ผดแลระบบ) ตองตงเวลาของเครองคอมพวเตอรทกเครองในสำนกงานใหตรง

กนโดยอางองจากแหลงเวลาทถกตองเพอชวยในการตรวจสอบชวงเวลาหากเครองคอมพวเตอรขององคกรถกบกรก

7. การควบคมการเขาถง (Access control)

7.1 ขอกำหนดทางธรกจสำหรบการควบคมการเขาถงสารสนเทศ (Businessrequirements for access control)

มจดประสงคเพอควบคมการเขาถงสารสนเทศ7.1.1 นโยบายการควบคมการเขาถงระบบ (Access control policy)(ผบรหารสารสนเทศ) ตองกำหนดใหมการจดทำนโยบายควบคมการเขาถง

อยางเปนลายลกษณอกษร และปรบปรงตามระยะเวลาทกำหนดไว การจดทำนโยบายนจะพจารณาจากความตองการทางธรกจและทางดานความมนคงปลอดภยในการเขาถงทรพยสนสารสนเทศ


43

7.2 การบรหารจดการการเขาถงของผใช (User access management)มจดประสงคเพอควบคมการเขาถงระบบสารสนเทศเฉพาะผทไดรบอนญาต

แลวและปองกนการเขาถงโดยไมไดรบอนญาต7.2.1 การลงทะเบยนพนกงาน (User registration)(หวหนางานสารสนเทศ) ตองกำหนดใหมขนตอนปฏบตอยางเปนทางการ

สำหรบการลงทะเบยนพนกงานใหม เพอใหมสทธตางๆ ในการใชงานตามความจำเปนรวมทงขนตอนปฏบตสำหรบการยกเลกสทธการใชงาน เชน เมอลาออกไปหรอเปลยนตำแหนงงานภายในองคกร เปนตน

7.2.2 การบรหารจดการสทธการใชงานระบบ (Privilege management)(ผดแลระบบ) ตองจดใหมการควบคมและจำกดสทธการใชงานระบบตาม

ความจำเปนในการใชงาน7.2.3 การบรหารจดการรหสผานสำหรบผใชงาน (User password management)(ผดแลระบบ) ตองจดใหมกระบวนการบรหารจดการรหสผานสำหรบผใชงาน

อยางเปนทางการ เพอควบคมการจดสรรรหสผานใหแกผใชงานอยางมความมนคงปลอดภย

7.2.4 การทบทวนสทธการเขาถงของผใชงาน (Review of user access rights)(หวหนางานสารสนเทศ) ตองจดใหมกระบวนการทบทวนสทธการเขาถงของ

ผใชงานระบบอยางเปนทางการตามระยะเวลาทกำหนดไว

7.3 หนาทความรบผดชอบของผใชงาน (User responsibilities)มจดประสงคเพอปองกนการเขาถงโดยไมไดรบอนญาต การเปดเผยหรอ

การขโมยสารสนเทศและอปกรณประมวลผลสารสนเทศ7.3.1 การใชงานรหสผาน (Password use)(ผดแลระบบ) ตองกำหนดวธปฏบตทดสำหรบผใชงานในการเลอกและใชงาน

รหสผาน7.3.2 การปองกนอปกรณทไมมพนกงานดแล (Unattended user equipment)(พนกงาน) ตองมวธเพอปองกนไมใหผ ไมมสทธสามารถเขาถงอปกรณ

สำนกงานทไมมพนกงานดแล



44

7.3.3 นโยบายควบคมการไมทงทรพยสนสารสนเทศสำคญไวในททไมปลอดภย(Clear desk and clear screen policy)

(ผบรหารสารสนเทศ) ตองจดทำนโยบายเพอควบคมไมใหมการปลอยใหทรพยสนสารสนเทศทสำคญ เชน เอกสาร สอบนทกขอมล อยในสถานททไมปลอดภยเชน สามารถเขาถงไดทางกายภาพ อยในบรเวณทเปนทสาธารณะหรอพบเหนไดงายเปนตน

7.4 การควบคมการเขาถงเครอขาย (Network access control)มจดประสงคเพอปองกนการเขาถงบรการทางเครอขายโดยไมไดรบอนญาต7.4.1 นโยบายการใชงานบรการเครอขาย (Policy on use of network services)(ผบรหารสารสนเทศ) ตองจดทำนโยบายการใชงานเครอขายซงจะตองครอบคลม

ถงการระบวาบรการใดทอนญาตใหผใชงานสามารถใชได บรการใดไมสามารถใชงานได7.4.2 การพสจนตวตนสำหรบผใชทอยภายนอกองคกร (User authentication for

external connections)(ผดแลระบบ) ตองกำหนดใหมการพสจนตวตนกอนทจะอนญาตใหผใชทอย

ภายนอกองคกรสามารถเขาใชงานเครอขายและระบบสารสนเทศขององคกรได7.4.3 การพสจนตวตนอปกรณบนเครอขาย (Equipment identification in

networks)(ผดแลระบบ) ตองกำหนดใหอปกรณบนเครอขายสามารถระบและพสจน

ตวตนเพอบงบอกวาการเชอมตอนนมาจากอปกรณหรอสถานททไดรบอนญาตแลว7.4.4 การปองกนพอรตทใชสำหรบตรวจสอบและปรบแตงระบบ (Remote

diagnostic and configuration port protection)(ผดแลระบบ) ตองมมาตรการปองกนการเขาถงพอรตทใชสำหรบตรวจสอบ

และปรบแตงระบบ มาตรการตองครอบคลมทงการปองกนทางกายภาพและการปองกนการเขาถงโดยผานทางเครอขาย

7.4.5 การแบงแยกเครอขาย (Segregation in networks)(ผดแลระบบ) ตองทำการแบงแยกเครอขายตามกลมของบรการสารสนเทศ

ทใชงาน กลมของผใช และกลมของระบบสารสนเทศ


45

7.4.6 การควบคมการเชอมตอทางเครอขาย (Network connection control)(ผดแลระบบ) ตองจำกดผใชงานในการเชอมตอทางเครอขายระหวางองคกร

การเชอมตอตองเปนไปตามนโยบายควบคมการเขาถงและขอกำหนดทแอปพลเคชนทใชงานทางธรกจไดระบไว

7.4.7 การควบคมการกำหนดเสนทางบนเครอขาย (Network routing control)(ผดแลระบบ) ตองกำหนดเสนทางบนเครอขายเพอควบคมการเชอมตอทาง

เครอขายและการไหลเวยนของสารสนเทศบนเครอขายใหเปนไปตามนโยบายควบคมการเขาถง

7.5 การควบคมการเขาถงระบบปฏบตการ (Operating system access control)มจดประสงคเพอปองกนการเขาถงระบบปฏบตการโดยไมไดรบอนญาต7.5.1 ขนตอนปฏบตในการเขาถงระบบอยางมนคงปลอดภย (Secure log-on

procedures)(ผดแลระบบ) ตองจดใหมขนตอนปฏบตทมความมนคงปลอดภยสำหรบ

การเขาถงหรอการเขาใชงานระบบปฏบตการ7.5.2 การระบและพสจนตวตนของผใชงาน (User identification and

authentication)(ผดแลระบบ) ตองจดใหผใชงานมขอมลสำหรบระบตวตนในการเขาใชงาน

ระบบทไมซำซอนกน และตองจดใหมกระบวนการพสจนตวตนกอนเขาใชงานระบบตามขอมลระบตวตนทไดรบ

7.5.3 ระบบบรหารจดการรหสผาน (Password management system)(ผ ดแลระบบ) ตองจดทำหรอจดใหมระบบบรหารจดการรหสผานท ม

การควบคมการกำหนดรหสผานทมคณภาพ7.5.4 การใชงานโปรแกรมประเภทยทลต (Use of system utilities)(ผดแลระบบ) ตองจำกดและควบคมการใชงานโปรแกรมประเภทยทลต เพอ

ปองกนการละเมดหรอหลกเลยงมาตรการความมนคงปลอดภยทไดกำหนดไวหรอมอยแลว7.5.5 การหมดเวลาการใชงานระบบสารสนเทศ (Session time-out)(ผดแลระบบ) ตองกำหนดใหระบบตดการใชงานผใชเมอผใชไมไดใชงาน

ระบบมาเปนระยะเวลาหนงตามทกำหนดไว



46

7.5.6 การจำกดระยะเวลาการเชอมตอระบบสารสนเทศ (Limitation of connectiontime)

(ผดแลระบบ) ตองจำกดระยะเวลาในการเช อมตอระบบสารสนเทศทมความสำคญสง

7.6 การควบคมการเขาถงแอปพลเคชนและสารสนเทศ (Application andinformation access control)

มจดประสงคเพอปองกนการเขาถงสารสนเทศของแอปพลเคชนโดยไมไดรบอนญาต

7.6.1 การจำกดการเขาถงสารสนเทศ (Information access restriction)(ผ ดแลระบบ) ตองจำกดการเขาถงสารสนเทศและฟงกชนตางๆ ของ

แอปพลเคชนตามนโยบายควบคมการเขาถงสารสนเทศทไดกำหนดไว การเขาถงจะตองแยกตามประเภทของผใชงาน

7.6.2 การแยกระบบสารสนเทศทมความสำคญสง (Sensitive system isolation)(หวหนางานสารสนเทศ) ตองแยกระบบสารสนเทศทมความสำคญสงไวใน

บรเวณทแยกตางหากออกมาสำหรบระบบนโดยเฉพาะ

7.7 การควบคมอปกรณสอสารประเภทพกพาและการปฏบตงานจากภายนอกองคกร (Mobile computing and teleworking)

มจดประสงคเพอสรางความมนคงปลอดภยสำหรบอปกรณสอสารประเภทพกพาและการปฏบตงานจากภายนอกองคกร

7.7.1 การปองกนอปกรณสอสารประเภทพกพา (Mobile computing andcommunications)

(ผบรหารสารสนเทศ) ตองกำหนดนโยบายเพอควบคมหรอปองกนอปกรณสอสารชนดพกพา (เชน notebook, palm และ laptop เปนตน) และตองกำหนดมาตรการปองกนโดยพจารณาจากความเสยงทมตออปกรณเหลาน

7.7.2 การปฏบตงานจากภายนอกสำนกงาน (Teleworking)


47

(ผบรหารสนเทศ) ตองกำหนดนโยบาย แผนงาน และขนตอนปฏบตสำหรบบคลากรทจำเปนตองปฏบตงานขององคกรจากภายนอกสำนกงาน

8. การจดหา การพฒนา และการบำรงรกษาระบบสารสนเทศ (Informationsystems acquisition, development and maintenance)

8.1 ขอกำหนดดานความมนคงปลอดภยสำหรบระบบสารสนเทศ (Securityrequirements of information systems)

มจดประสงคเพอใหการจดหาและการพฒนาระบบสารสนเทศไดพจารณาถงประเดนทางดานความมนคงปลอดภยเปนองคประกอบพนฐานทสำคญ

8.1.1 การวเคราะหและการระบขอกำหนดทางดานความมนคงปลอดภย(Security requirements analysis and specification)

(ผพฒนา และผเปนเจาของระบบ) ตองวเคราะหและระบขอกำหนดทางดานความมนคงปลอดภยสำหรบระบบสารสนเทศใหม หรอระบบทปรบปรงจากระบบทมอยแลว

8.2 การประมวลผลสารสนเทศในแอปพลเคชน (Correct processing inapplications)

มจดประสงคเพ อปองกนความผดพลาดในสารสนเทศ การสญหายของสารสนเทศ การเปลยนแปลงสารสนเทศโดยไมไดรบอนญาต หรอการใชงานสารสนเทศผดวตถประสงค

8.2.1 การตรวจสอบขอมลนำเขา (Input data validation)(ผ พฒนาระบบ) ตองกำหนดกลไกสำหรบตรวจสอบขอมลนำเขาของ

แอปพลเคชนวาขอมลนนมความถกตองและเหมาะสมกอนทจะนำไปประมวลผลตอไป8.2.2 การตรวจสอบขอมลทอยในระหวางการประมวลผล (Control of internal

processing)(ผพฒนาระบบ) ตองกำหนดกลไกสำหรบการตรวจสอบวาขอมลทอยใน

ระหวางการประมวลผลเกดความผดพลาดข นหรอไม เชน อาจมสาเหตจากความผดพลาดในการประมวลผล การกระทำโดยเจตนาของผทเกยวของ เปนตน



48

8.2.3 การตรวจสอบความถกตองของขอความ (Message integrity)(ผพฒนาระบบ) ตองระบขอกำหนดสำหรบการตรวจสอบความถกตองของ

ขอความสำหรบแอปพลเคชน (เพอใหสามารถตรวจสอบไดวาเปนขอความตนฉบบทถกตอง) รวมทงกำหนดมาตรการรองรบเพอปองกนการเปลยนแปลงหรอแกไขขอความนนโดยไมไดรบอนญาต

8.2.4 การตรวจสอบขอมลนำออก (Output data validation)(ผพฒนาระบบ) ตองกำหนดกลไกสำหรบการตรวจสอบขอมลนำออกจาก

แอปพลเคชนเพอเปนการทบทวนวาการประมวลผลของสารสนเทศทเกยวของเปนไปอยางถกตองและเหมาะสม

8.3 มาตรการการเขารหสขอมล (Cryptographic controls)มจดประสงคเพอรกษาความลบของขอมล ยนยนตวตนของผสงขอมล หรอ

รกษาความถกตองสมบรณของขอมลโดยใชวธการการเขารหสขอมล8.3.1 นโยบายการใชงานการเขารหสขอมล (Policy on the use of cryptographic

controls)(ผบรหารสารสนเทศ) ตองกำหนดใหมนโยบายควบคมการใชงานการเขารหส

ขอมล และใหมผลบงคบใชงานภายในองคกร8.3.2 การบรหารจดการกญแจเขารหสขอมล (Key management)(หวหนางานสารสนเทศ) ตองกำหนดใหมการบรหารจดการสำหรบกญแจท

ใชในการเขาหรอถอดรหสขอมล โดยกญแจเหลานจะใชงานรวมกบเทคนคการเขารหสขอมลทกำหนดเปนมาตรฐานขององคกร

8.4 การสรางความมนคงปลอดภยใหกบไฟลของระบบทใหบรการ (Security ofsystem files)

มจดประสงคเพอสรางความมนคงปลอดภยใหกบไฟลตางๆ ของระบบทใหบรการ

8.4.1 การควบคมการตดตงซอฟตแวรลงไปยงระบบทใหบรการ (Control ofoperational software)


49

(หวหนางานสารสนเทศ) ตองจดใหมขนตอนปฏบตเพอควบคมการตดตงซอฟตแวรตางๆ ลงไปยงระบบทใหบรการ ทงนเพอลดความเสยงทจะทำใหระบบใหบรการนนเกดความเสยหายทำงานผดปกต หรอไมสามารถใชงานได

8.4.2 การปองกนขอมลทใชสำหรบการทดสอบ (Protection of system testdata)

(ผพฒนาระบบ) ตองหลกเลยงการใชขอมลจรงทใชงานอยบนระบบใหบรการสำหรบทำการทดสอบระบบ หากมความจำเปนตองใช ตองกำหนดใหมการปองกนและควบคมการใชงาน เชน ควรลบทงบางสวนของขอมลทเปนความลบ ขอมลสวนตว หรอขอมลสำคญ

8.4.3 การควบคมการเขาถงซอรสโคดสำหรบระบบ (Access control toprogram source code)

(หวหนางานสารสนเทศ) ตองจำกดการเขาถงซอรสโคดสำหรบระบบทใหบรการ ทงนเพอปองกนการเปลยนแปลงทอาจเกดขนโดยไมไดรบอนญาต หรอโดยไมไดเจตนา

8.5 การสรางความมนคงปลอดภยสำหรบกระบวนการในการพฒนาระบบและกระบวนการสนบสนน (Security in development and support processes)

มจดประสงคเพอรกษาความมนคงปลอดภยสำหรบซอฟตแวรและสารสนเทศของระบบ

8.5.1 ขนตอนปฏบตสำหรบควบคมการเปลยนแปลงหรอแกไขระบบ (Changecontrol procedures)

(หวหนางานสารสนเทศ) ตองกำหนดขนตอนปฏบตอยางเปนทางการสำหรบควบคมการเปลยนแปลงหรอแกไขระบบสารสนเทศ ทงนเพอลดความเสยงทจะทำใหระบบเกดความเสยหาย ทำงานผดปกต หรอไมสามารถใชงานได

8.5.2 การตรวจสอบการทำงานของแอปพลเคชนภายหลงจากทเปลยนแปลงระบบปฏบตการ (Technical review of applications after operating system changes)



50

(ผดแลระบบ) ตองทำการตรวจสอบทางเทคนคภายหลงจากทเปลยนแปลงระบบปฏบตการเพอดวาแอปพลเคชนททำงานอยบนระบบปฏบตการนน ทำงานผดปกต ไมสามารถใชงานได หรอมปญหาทางดานความมนคงปลอดภยเกดขนหรอไม

8.5.3 การจำกดการเปลยนแปลงแกไขตอซอฟตแวรทมาจากผผลต (Restrictionson changes to software packages)

(หวหนางานสารสนเทศ) ตองหลกเลยงการเปลยนแปลงแกไขตอซอฟตแวรทมาจากผผลต หากจำเปนตองแกไข ตองแกไขตามความจำเปนเทานน และตองมการควบคมการแกไขนนอยางเขมงวดดวย

8.5.4 การปองกนการรวไหลของสารสนเทศ (Information leakage)(หวหนางานสารสนเทศ) ตองกำหนดมาตรการเพอปองกนการรวไหลของ

สารสนเทศขององคกร หรอลดโอกาสทจะทำใหสารสนเทศเกดการรวไหลออกไป8.5.5 การพฒนาซอฟตแวรโดยหนวยงานภายนอก (Outsourced software

development)(หวหนางานสารสนเทศ) ตองกำหนดมาตรการเพอควบคมและตรวจสอบ

การพฒนาซอฟตแวรโดยหนวยงานภายนอก

8.6 การบรหารจดการชองโหวในฮารดแวรและซอฟตแวร (Technical VulnerabilityManagement)

มจดประสงคเพอลดความเสยงจากการโจมตโดยอาศยชองโหวทางเทคนคทมการเผยแพรหรอตพมพในสถานทตางๆ

8.6.1 มาตรการควบคมชองโหวทางเทคนค (Control of technical vulnerabilities)(หวหนางานสารสนเทศ) ตองกำหนดใหมการตดตามขอมลขาวสารท

เกยวของกบชองโหวในระบบตางๆ ทใชงาน ประเมนความเสยงของชองโหวเหลานนรวมทง กำหนดมาตรการรองรบเพอลดความเสยงดงกลาว


51

9. การบรหารจดการเหตการณทเกยวของกบความมนคงปลอดภยขององคกร (Information security incident management)

9.1 การรายงานเหตการณและจดออนทเกยวของกบความมนคงปลอดภย(Reporting information security events and weaknesses)

มจดประสงคเพอใหเหตการณและจดออนทเกยวของกบความมนคงปลอดภยตอระบบสารสนเทศขององคกรไดรบการดำเนนการทถกตองในชวงระยะเวลาทเหมาะสม

9.1.1 การรายงานเหตการณทเกยวของกบความมนคงปลอดภย (Reportinginformation security events)

(พนกงาน หรอผทองคกรวาจางตามสญญาการจางงาน หรอพนกงานของหนวยงานภายนอกทปฏบตงานอยภายในองคกร) ตองรายงานเหตการณทเกยวของกบความมนคงปลอดภยขององคกร โดยผานชองทางการรายงานทกำหนดไว และจะตองดำเนนการอยางรวดเรวทสดเทาทจะทำได

9.1.2 การรายงานจดออนทเกยวของกบความมนคงปลอดภยขององคกร(Reporting security weaknesses)

(พนกงาน หรอผทองคกรวาจางตามสญญาการจางงาน หรอพนกงานของหนวยงานภายนอกทปฏบตงานอยภายในองคกร) ตองบนทกและรายงานจดออนทเกยวของกบความมนคงปลอดภยขององคกรทสงเกตพบหรอเกดความสงสยในระบบหรอบรการทใชงานอย

9.2 การบรหารจดการและการปรบปรงแกไขตอเหตการณท เก ยวของกบความมนคงปลอดภย (Management of information security incidents andimprovements)

มจดประสงคเพ อใหมวธการทสอดคลองและไดผลในการบรหารจดการเหตการณทเกยวของกบความมนคงปลอดภยสำหรบสารสนเทศขององคกร

9.2.1 หนาทความรบผดชอบและขนตอนปฏบต (Responsibilities andprocedures)



52

(หวหนางานสารสนเทศ) ตองกำหนดหนาทความรบผดชอบและขนตอนปฏบตเพอรบมอกบเหตการณทเกยวของกบความมนคงปลอดภยขององคกร และขนตอนดงกลาวตองมความรวดเรว ไดผล และมความเปนระบบระเบยบทด

9.2.2 การเรยนรจากเหตการณทเกยวของกบความมนคงปลอดภย (Learningfrom security incidents)

(ผดแลระบบ) ตองบนทกเหตการณละเมดความมนคงปลอดภย โดยอยางนอยจะตองพจารณาถงประเภทของเหตการณ ปรมาณทเกดขน และคาใชจายเกดขนจากความเสยหาย เพอจะไดเรยนรจากเหตการณทเกดขนแลว และเตรยมการปองกนทจำเปนไวลวงหนา

9.2.3 การเกบรวบรวมหลกฐาน (Collection of evidence)(หวหนางานนตการและหวหนางานสารสนเทศ) ตองรวบรวมและจดเกบ

หลกฐานตามกฎหรอหลกเกณฑสำหรบการเกบหลกฐานอางองในกระบวนการทางศาลทเกยวของ เมอพบวาเหตการณทเกดขนนนมความเกยวของกบการดำเนนการทางกฎหมายแพงหรออาญา

10. การบรหารความตอเนองในการดำเนนงานขององคกร (Businesscontinuity management)

10.1 หวขอพนฐานสำหรบการบรหารความตอเนองในการดำเนนงานขององคกร(Information security aspects of business continuity management)

มจดประสงคเพอปองกนการตดขดหรอการหยดชะงกของกจกรรมตางๆทางธรกจเพอปองกนกระบวนการทางธรกจทสำคญอนเปนผลมาจากการลมเหลวหรอหายนะทมตอระบบสารสนเทศ และเพอใหสามารถกระบบกลบคนมาไดภายในระยะเวลาอนเหมาะสม

10.1.1 กระบวนการในการสรางความตอเนองใหกบธรกจ (Including informationsecurity in the business continuity management process)

(ผบรหารสารสนเทศ) ตองกำหนดใหมกระบวนการในการสรางความตอเนองใหกบธรกจ การบรหารจดการและการปรบปรงกระบวนการดงกลาวอยางสมำเสมอ


53

กระบวนการนจะตองระบขอกำหนดทเกยวของกบความมนคงปลอดภยทจำเปนสำหรบการสรางความตอเนองใหกบธรกจ

10.1.2 การประเมนความเสยงในการสรางความตอเนองใหกบธรกจ (Businesscontinuity and risk assessment)

(หวหนางานสารสนเทศ) ตองระบเหตการณทสามารถทำใหธรกจขององคกรเกดการตดขดหรอหยดชะงก โอกาสทจะเกดขน ผลกระทบทเปนไปได รวมทงผลทเกดขนตอความมนคงปลอดภยสำหรบสารสนเทศขององคกร

10.1.3 การจดทำและใชงานแผนสรางความตอเนองใหกบธรกจ (Developing andimplementing continuity plans including information security)

(ผบรหารสารสนเทศ) ตองจดทำและใชงานแผนสรางความตอเนองใหกบธรกจและการดำเนนงานตางๆ ใหสามารถดำเนนตอไปไดในระดบและชวงเวลาทกำหนดไวภายหลงจากทมเหตการณททำใหธรกจเกดการตดขด หยดชะงก หรอลมเหลว

10.1.4 การกำหนดกรอบสำหรบการวางแผนเพอสรางความตอเนองใหกบธรกจ (Business continuity planning framework)

(ผบรหารสารสนเทศ) ตองกำหนดกรอบสำหรบการวางแผนเพอสรางความตอเนองใหกบธรกจ เพอใหแผนงานทเกยวของทงหมดมความสอดคลองกน ครอบคลมขอกำหนดทางดานความมนคงปลอดภยทกำหนดไว และจดลำดบความสำคญของงานตางๆทตองดำเนนการ

10.1.5 การทดสอบและการปรบปรงแผนสรางความตอเนองใหกบธรกจ (Testing,maintaining and re-assessing business continuity plans)

(ผบรหารสารสนเทศ) ตองกำหนดใหมการทดสอบและปรบปรงแผนสรางความตอเนองใหกบธรกจอยางสมำเสมอ เพอใหแผนมความทนสมยและไดผลเปนอยางด

11. การปฏบตตามขอกำหนด (Compliance)

11.1 การปฏบตตามขอกำหนดทางกฎหมาย (Compliance with legalrequirements)

มจดประสงคเพอหลกเลยงการละเมดขอกำหนดทางกฎหมาย ระเบยบปฏบตขอกำหนดในสญญา และขอกำหนดทางดานความมนคงปลอดภยอนๆ



54

11.1.1 การระบขอกำหนดตางๆ ทมผลทางกฎหมาย (Identification of applicablelegislation)

(หวหนางานนตการ) ตองระบขอกำหนดทางดานกฎหมาย ทางดานระเบยบปฏบต และทปรากฏในสญญา (ระหวางองคกร และบคคลหรอหนวยงานภายนอกอน)ทเกยวของกบการดำเนนงานหรอธรกจขององคกร ตองบนทกขอกำหนดดงกลาวไวเปนลายลกษณอกษร และปรบปรงขอกำหนดเหลานนใหทนสมยอยเสมอ รวมทงกำหนดแนวทางการปฏบตเพอใหสอดคลองกบขอกำหนดดงกลาว

11.1.2 การปองกนสทธและทรพยสนทางปญญา (Intellectual property rights(IRP))

(หวหนางานนตการ) ตองกำหนดขนตอนปฏบตเพอปองกนการละเมดสทธหรอทรพยสนทางปญญา ขนตอนปฏบตดงกลาวตองกำหนดหรอควบคมใหปฏบตตามขอกำหนดทางดานกฎหมาย ทางดานระเบยบปฏบต และทปรากฏในสญญา (ระหวางองคกร และบคคลหรอหนวยงานภายนอกอน) รวมทงขอกำหนดในการใชงานผลตภณฑซอฟตแวรจากผขายดวย

11.1.3 การปองกนขอมลสำคญทเก ยวของกบองคกร (Protection oforganizational records)

(หวหนางานสารสนเทศ) ตองกำหนดใหมการปองกนขอมลทเกยวของกบขอกำหนดทางกฎหมายและระเบยบปฏบต ขอกำหนดทปรากฏในสญญา และขอกำหนดทางธรกจ จากการสญหาย การถกทำลายใหเสยหาย และการปลอมแปลง

11.1.4 การปองกนขอมลสวนตว (Data protection and privacy of personalinformation)

(หวหนางานนตการ และหวหนางานสารสนเทศ) ตองกำหนดใหมการปองกนขอมลสวนตวตามทระบหรอกำหนดไวในกฎหมาย ระเบยบปฏบต และขอสญญาทเกยวของ

11.1.5 การปองกนการใชงานอปกรณประมวลผลสารสนเทศผดวตถประสงค(Prevention of misuse of information processing facilities)

(หวหนางานสารสนเทศ) ตองปองกนไมใหผใชงานใชอปกรณประมวลผลสารสนเทศขององคกรผดวตถประสงคหรอโดยไมไดรบอนญาต


55

11.1.6 การใชงานมาตรการการเขารหสขอมลตามขอกำหนด (Regulation ofcryptographic controls)

(หวหนางานนตการและหวหนางานสารสนเทศ) ตองกำหนดใหใชมาตรการการเขารหสขอมลโดยใหยดถอตาม หรอตองสอดคลองกบขอตกลง กฎหมายและระเบยบปฏบตทเกยวของ

11.2 การปฏบตตามนโยบาย มาตรฐานความมนคงปลอดภยและขอกำหนดทางเทคนค (Compliance with security policies and standards, and technicalcompliance)

มจดประสงคเพอใหระบบเปนไปตามนโยบายและมาตรฐานความมนคงปลอดภยขององคกร

11.2.1 การปฏบตตามนโยบาย และมาตรฐานความมนคงปลอดภย (Compliancewith security policies and standards)

(ผบรหารสารสนเทศ) ตองกำหนดใหผบงคบบญชาคอยกำกบ ดแล และควบคมการปฏบตงานของผทอยใตการบงคบบญชาของตน ใหปฏบตตามขนตอนปฏบตทางดานความมนคงปลอดภยตามหนาทความรบผดชอบของตน ทงนเพอใหการปฏบตเปนไปตามนโยบายและมาตรฐานความมนคงปลอดภยขององคกร

11.2.2 การตรวจสอบการปฏบตตามมาตรฐานทางเทคนคขององคกร (Technicalcompliance checking)

(หวหนางานสารสนเทศ) ตองกำหนดใหมการตรวจสอบระบบสารสนเทศอยางสมำเสมอ เพอควบคมใหเปนไปตามมาตรฐานความมนคงปลอดภยทางเทคนคขององคกร

11.3 การตรวจประเมนระบบสารสนเทศ (Information systems auditconsiderations)

มจดประสงคเพอใหการตรวจประเมนระบบสารสนเทศไดประสทธภาพสงสดและมการแทรกแซงหรอทำใหหยดชะงกตอกระบวนการทางธรกจนอยทสด

11.3.1 มาตรการการตรวจประเมนระบบสารสนเทศ (Information systemsaudit controls)



56

(หวหนางานสารสนเทศ) ตองระบขอกำหนดและกจกรรมทเกยวของกบการตรวจประเมนระบบสารสนเทศขององคกร เพอใหมผลกระทบนอยทสดตอกระบวนการทางธรกจ เชน การหยดชะงกของกระบวนการทางธรกจในระหวางททำการตรวจประเมน

11.3.2 การปองกนเคร องมอสำหรบการตรวจประเมนระบบสารสนเทศ(Protection of information systems audit tools)

(หวหนางานสารสนเทศ) ตองกำหนดใหมการจำกดการเขาถงเครองมอสำหรบการตรวจประเมนระบบสารสนเทศ (เชน ซอฟตแวรทใชในการตรวจประเมน) เพอปองกนการใชงานผดวตถประสงค หรอการเปดเผยขอมลการตรวจประเมนโดยไมไดรบอนญาต


57

ภาคผนวก ก



58

คำนยาม

“พนกงาน” หมายความวา พนกงานและลกจางทปฏบตงานตามหนาทความรบผดชอบภายในองคกร

“ผบรหารองคกร” หมายความวา พนกงานระดบสงขององคกรทมหนาทบรหารจดการ และมอำนาจตดสนใจเกยวกบการดำเนนการทงหมดขององคกร

“ผบรหารสารสนเทศ” หมายความวา พนกงานระดบสงขององคกรทมหนาทบรหารจดการ และมอำนาจตดสนใจเกยวกบระบบสารสนเทศภายในองคกร

“ผดแลระบบ” หมายความวา พนกงานทไดรบมอบหมายใหมหนาทรบผดชอบในการดแลระบบคอมพวเตอร และสามารถเขาถงโปรแกรมคอมพวเตอรหรอขอมลอนเพอจดการเครอขายคอมพวเตอรได เชน บญชผใชระบบคอมพวเตอร (User Account) หรอบญชไปรษณยอเลกทรอนกส (Email Account) เปนตน

“หวหนางานสารสนเทศ” หมายความวา พนกงานทมหนาทควบคมดแลการทำงานของผดแลระบบ พรอมทงมอำนาจสงการผดแลระบบเครอขายและสารสนเทศขององคกร และรายงานตอผบรหารสารสนเทศ

“หวหนางานบคคล” หมายความวา พนกงานทมหนาทควบคมดแลการวางแผนทรพยากรบคคลทงคณภาพ ปรมาณและสดสวนใหมความเหมาะสมกบภารกจ และแผนกลยทธของหนวยงาน


59

ระดบตางๆ ทงในระยะสนและระยะยาว รวมถงบรหารทรพยากรบคคลตามระเบยบ/หลกเกณฑของสำนกงาน

“หวหนางานอาคาร” หมายความวา พนกงานทมหนาทควบคมดแลและบรหารจดการระบบสาธารณปโภคตางๆ และทรพยากรส งอำนวยความสะดวกภายในอาคาร รวมถงดแลความเปนระเบยบเรยบรอยและการรกษาความปลอดภยของสำนกงาน

“หวหนางานธรการ” หมายความวา พนกงานทมหนาทควบคมดแลเกยวกบงานธรการและสารบรรณภายในองคกร

“หนวยงานภายนอก” หมายความวา องคกรอนๆ ทเกยวของเชน บรษทขายฮารดแวรหรอซอฟตแวร บรษทใหคำปรกษาเกยวกบระบบสารสนเทศ เปนตน

“หวหนางานนตการ” หมายความวา พนกงานทมหนาทใหความคดเหนหรอตความเกยวกบระเบยบ ขอกำหนด กฎเกณฑขอบงคบ กฎหมาย พระราชบญญต กฤษฎกา หรอขอความในเชงระเบยบขอบงคบอนๆ รวมทงจดทำระเบยบ ขอกำหนด กฎเกณฑขอบงคบ หรอคำสงสำหรบใชในองคกร



60

เกณฑการประเมนหนวยงานทเขาขายCritical Infrastructure สำหรบประเทศไทย

ดานมลคาความเสยหาย= เสยหายทางธรกจมลคาประมาณ 1 ลานบาท ตอวน= เสยหายทางธรกจมลคาระหวาง 1 - 100 ลานบาท ตอวน= เสยหายทางธรกจมลคาเกนกวา 100 ลานบาท ตอวน

ดานผใชทไดรบผลกระทบ= กระทบผใชจำนวนประมาณนอยกวา 10,000 คน= กระทบผใชจำนวนประมาณ 10,000 - 100,000 คน= กระทบผใชจำนวนประมาณมากกวา 100,000 คน

ดานความปลอดภยในชวตและสขภาพของผใชงาน= ไมไดรบผลกระทบตอชวตและสขภาพ= หากบาดเจบหรอปวย 1 คน= หากเสยชวตเพยง 1 คน

ดานผลกระทบตอความมนคงและความสงบเรยบรอยของสงคม ประเมนเปน 2คาคอ

0 = ไมมผลกระทบ1 = มผลกระทบ

หมายเหต มลคาความเสยหาย หมายถง มลคาเงนโดยรวมทคำนวณขนจากความเสยหายตรงหนา (Incidental Damage) เมอบรการทหนวยงานหรอองคกร ภาครฐนน หยดใหบรการไปในชวงเวลาหนง


61

ภาคผนวก ข



62


63

คณะผจดทำทปรกษา

1. ดร. ทวศกด กออนนตกลรองผอำนวยการสำนกงานพฒนาวทยาศาสตรและเทคโนโลยแหงชาต

2. ดร. พนธศกด ศรรชตพงษผอำนวยการศนยเทคโนโลยอเลกทรอนกสและคอมพวเตอรแหงชาต

3. ดร. ชฎามาศ ธวะเศรษฐกลรองผอำนวยการศนยเทคโนโลยอเลกทรอนกสและคอมพวเตอรแหงชาต

4. นางสรางคณา วายภาพหวหนาสำนกงานเลขานการคณะกรรมการธรกรรมทางอเลกทรอนกสภายใต ศนยเทคโนโลยอเลกทรอนกสและคอมพวเตอรแหงชาต

5. ดร. ศวรกษ ศวโมกษธรรมหวหนาหนวยปฏบตการวจยเทคโนโลยและนวตกรรมเพอความมนคงภายใต ศนยเทคโนโลยอเลกทรอนกสและคอมพวเตอรแหงชาต

รายนามผศกษาและเรยบเรยง1. ดร. โกเมน พบลยโรจน

ศนยเทคโนโลยอเลกทรอนกสและคอมพวเตอรแหงชาต2. ดร. บรรจง หะรงษ

ศนยเทคโนโลยอเลกทรอนกสและคอมพวเตอรแหงชาต3. น.ส. ดวงกมล ทรพยพทยากร

ศนยเทคโนโลยอเลกทรอนกสและคอมพวเตอรแหงชาต4. น.ส. ศรวรรณ อภสรเดช

ศนยเทคโนโลยอเลกทรอนกสและคอมพวเตอรแหงชาต5. นายพธ นาฑสวรรณ




64

6. น.ส.ภทราวด เหมทานนทศนยเทคโนโลยอเลกทรอนกสและคอมพวเตอรแหงชาต

7. น.ส.ธารทพย ตากเทอดเกยรตศนยเทคโนโลยอเลกทรอนกสและคอมพวเตอรแหงชาต

8. นายเลอศกด ลมววฒนกลศนยเทคโนโลยอเลกทรอนกสและคอมพวเตอรแหงชาต

9. นายชวลต ทนกรสตบตรศนยเทคโนโลยอเลกทรอนกสและคอมพวเตอรแหงชาต

10. นายปยวฒน เลอนสฃนธศนยเทคโนโลยอเลกทรอนกสและคอมพวเตอรแหงชาต

11. นายไตรรตน พทธรกษาศนยเทคโนโลยอเลกทรอนกสและคอมพวเตอรแหงชาต

ออกแบบและจดพมพ1. น.ส. ลญจนา นตยพฒน

สำนกงานพฒนาวทยาศาสตรและเทคโนโลยแหงชาต2. น.ส. ฉทกา โกมารกล ณ นคร

สำนกงานพฒนาวทยาศาสตรและเทคโนโลยแหงชาต

Documents

0 มาตรฐานการรักษาความม ั่งคง ...มาตรฐานการร กษาความม งคงปลอดภ ย ในการประกอบธ