ประกวดราคาจ้างบำรุงรักษาและซ่อมแซมแก้ไขระบบประมวลผลและวิเคราะห์ข้อมูลจากวิดีโอเพื่อการบริหารงานรถไฟฟ้า (Video Analytics) ประจำปีงบประมาณ 2569

• จัดหาผู้รับจ้างให้บริการบำรุงรักษาและซ่อมแซมแก้ไขระบบประมวลผลและวิเคราะห์ข้อมูลจากวิดีโอเพื่อการบริหารงานรถไฟฟ้า (Video Analytics) ให้มีความพร้อมให้บริการได้อย่างต่อเนื่องตลอดเวลา
• รองรับการแก้ไขปัญหาจากสาเหตุความบกพร่อง ชำรุด และเสียหายที่อาจจะเกิดขึ้นได้
• เพิ่มศักยภาพของระบบฯ ให้มีประสิทธิภาพมากยิ่งขึ้น
• เพื่อดำเนินการตามมาตรการด้านการรักษาความปลอดภัยของผู้ใช้บริการระบบรถไฟฟ้าของ รฟม.

งานหลักแบ่งออกเป็น 3 ประเภทใหญ่ ดังนี้:

1. การบำรุงรักษาเชิงป้องกัน (Preventive Maintenance - PM)

   • ดำเนินการทุก 3 เดือน (4 ครั้ง/ปี) ณ สถานีทั้งหมดใน 2 โครงการรถไฟฟ้า
   • ตรวจสอบและบำรุงรักษาอุปกรณ์ทุกประเภทตามรายการละเอียด ได้แก่:
     • กล้องวิเคราะห์ภาพและอุปกรณ์ที่เกี่ยวข้อง: ตรวจสอบสัญญาณภาพ, โฟกัส, มุมกล้อง, การบันทึกภาพ, การจับยึด, ทำความสะอาด
     • เครื่องคอมพิวเตอร์แม่ข่ายและอุปกรณ์ประมวลผล: Backup Configuration, ตรวจสอบ OS, CPU, Memory, Hard Disk, เชื่อมต่อสาย, ลบข้อมูลไม่จำเป็น
     • เครื่องสำรองไฟฟ้า (UPS): ตรวจสอบการทำงานและวัดค่า SOH ของแบตเตอรี่, เปลี่ยนแบตเตอรี่หากค่า SOH ต่ำกว่า 80%
     • อุปกรณ์เครือข่ายสื่อสารข้อมูล: Backup Configuration, ตรวจสอบการทำงาน, อัปเดต Software
     • ซอฟต์แวร์สำหรับการประมวลผล: ตรวจสอบการทำงานตามฟังก์ชันหลักและความแม่นยำ
   • หลังการบำรุงรักษาแต่ละรอบ ต้องจัดทำและนำเสนอรายงานสรุปผล พร้อมข้อเสนอแนะ
   • ต้องมีการประชุมเริ่มงาน (Kickoff Meeting) ภายใน 10 วันทำการหลังลงนามสัญญา
   • ต้องลงทะเบียนและใช้งานซอฟต์แวร์บริหารจัดการงานซ่อมบำรุงของ รฟม. (Maximo)

2. การบำรุงรักษาเชิงแก้ไขปรับปรุง (Corrective Maintenance - CM)

   • ให้บริการแก้ไขซ่อมแซมตลอด 24 ชั่วโมง ทุกวัน ไม่เว้นวันหยุด
   • ต้องรับทราบเพื่อเริ่มดำเนินการภายใน 2 ชั่วโมง นับจากเวลาที่ รฟม. แจ้งปัญหา
   • ต้องดำเนินการแก้ไขให้แล้วเสร็จและใช้งานได้ปกติภายใน 48 ชั่วโมง นับจากเวลาที่รับแจ้ง
   • หากไม่สามารถแก้ไขได้ภายในเวลาที่กำหนด ต้องจัดหาอุปกรณ์ทดแทน และ รฟม. มีสิทธิ์จ้างผู้อื่นแก้ไขโดยหักค่าใช้จ่ายจากผู้รับจ้าง
   • จัดทำรายงานผลการ CM รายเดือน (ถ้ามี) และสรุปสถิติอุปกรณ์ขัดข้องส่งพร้อมงานงวดสุดท้าย

3. การปรับปรุงประสิทธิภาพระบบ

   • ปรับปรุงอุปกรณ์บันทึกภาพ (NVR) รุ่น HD-NVR4-PRM-96TB-NPC จำนวน 2 ชุด เป็นเวอร์ชัน Windows Server 2022 หรือดีกว่า ตามข้อกำหนดสเปกที่กำหนด
   • ปรับปรุงระบบปฏิบัติการบน NVR รุ่น PowerEdge R740 จำนวน 4 ชุด ให้เป็น Windows Server 2022 หรือดีกว่า
   • ปรับปรุงระบบบริหารจัดการกล้องวิเคราะห์ภาพ (ACC) ให้เป็นเวอร์ชันปัจจุบันตามเว็บไซต์ผู้ผลิต

4. งานอื่นๆ ที่เกี่ยวข้อง

   • ให้ความร่วมมือในการตรวจสอบปัญหาจากระบบอื่นที่เชื่อมต่อ
   • อัปเดต Software/Firmware ตามที่เจ้าของผลิตภัณฑ์แจ้ง (ไม่มีค่าใช้จ่ายเพิ่ม)
   • จัดทำและส่งมอบ As-Built Drawing ในรูปแบบ AutoCAD
   • ส่งประวัติรูปถ่ายและประวัติอาชญากรของพนักงานทุกคนให้ รฟม.
   • รับผิดชอบต่ออุบัติเหตุ ความเสียหาย หรือการละเมิดที่เกิดจากพนักงานผู้รับจ้าง

• แผนการบำรุงรักษาและกำหนดวัน/เวลาที่จะดำเนินการ (ส่งพร้อมลงนามสัญญา)
• รายชื่อผู้ติดต่อหลัก/สำรอง และเจ้าหน้าที่ผู้ปฏิบัติงาน พร้อมข้อมูลติดต่อ (ส่งพร้อมลงนามสัญญา)
• เอกสารการรับประกันและต่อสิทธิ์การใช้งาน (License) ของอุปกรณ์/ซอฟต์แวร์ทั้งหมด (ภายใน 10 วันทำการหลังลงนาม)
• รายงานการเริ่มงาน (Inception Report) จากการประชุม Kickoff Meeting
• รายงานสรุปผลการตรวจสอบและบำรุงรักษาในแต่ละรอบ (ส่งภายใน 30 วันทำการหลังเสร็จสิ้นรอบ)
• ข้อมูลการ Backup System & Configuration ที่สำรองไว้บนพื้นที่ Cloud Storage ตามที่ รฟม. กำหนด (ส่งพร้อมรายงานแต่ละรอบ)
• แบบแสดงจุดติดตั้งอุปกรณ์ (As-Built Drawing) ในรูปแบบ AutoCAD (ส่งพร้อมรายงานแต่ละรอบ)
• รายงานการแก้ไขปัญหาต่าง ๆ (CM) รายเดือน (ถ้ามี)
• ข้อมูลสรุปจำนวนอุปกรณ์ขัดข้อง อาการขัดข้อง สถิติการเปลี่ยน/ซ่อมอุปกรณ์ (ส่งพร้อมงานงวดสุดท้าย)
• อุปกรณ์/ระบบที่ปรับปรุงแล้วตามข้อ 5.7 พร้อมเอกสารรับรอง
• ประวัติรูปถ่ายและประวัติอาชญากรของพนักงานทุกคน (ภายใน 30 วันทำการนับจากวันเริ่มสัญญา)

ระยะเวลาดำเนินสัญญา 365 วัน นับถัดจากวันที่ลงนามในสัญญา

• Eligibility Requirements: ต้องเป็นนิติบุคคล ผู้มีอาชีพรับจ้างงาน, ต้องลงทะเบียนในระบบ e-GP ของกรมบัญชีกลาง, มีมูลค่าสุทธิของกิจการเป็นไปตามเงื่อนไขของหนังสือ กค(กวจ) 0405.2/ว124, ไม่เป็นผู้มีผลประโยชน์ร่วมกันกับผู้ยื่นข้อเสนอรายอื่น
• Standards Compliance: ต้องใช้กระดาษที่มีเครื่องหมายฉลากเขียวหรือมาตรฐาน มอก.1054 หรือ ISO ในการจัดทำรายงาน, ต้องใช้น้ำยาทำความสะอาดที่ได้รับมาตรฐานฉลากเขียวหรือเทียบเท่า
• Experience: -
• Previous Project Cost: -
• Technical Capabilities: ต้องมี Call Center หรือ Website ของตนเอง เป็นช่องทางรับแจ้งปัญหาตลอด 24 ชั่วโมง, ต้องนำเสนอเอกสารผลิตภัณฑ์ตามรายการที่ รฟม. ต้องดำเนินการปรับปรุงประสิทธิภาพระบบฯ ตามขอบเขตงานข้อ 5.7
• Personnel:
  • ต้องมีเจ้าหน้าที่ทีมงานบำรุงรักษาระบบกล้องวิเคราะห์ภาพ ไม่น้อยกว่า 3 คน ที่ได้รับ Certificate จากเจ้าของผลิตภัณฑ์ (Avigilon Unity หรือ ACC 7)
  • ต้องมีเจ้าหน้าที่ทีมงานบำรุงรักษาที่ผ่านการอบรมการปฏิบัติงานภายในสถานีรถไฟฟ้าและได้รับใบอนุญาตเป็น Person-in-Charge (PIC) จาก บริษัท ทางด่วนและรถไฟฟ้ากรุงเทพ จำกัด (มหาชน) อย่างน้อย 2 คน

การพิจารณาคัดเลือกใช้หลักเกณฑ์ราคา (ราคาต่ำสุดได้เปรียบ) โดยมีเงื่อนไขเพิ่มเติมสำหรับ SMEs และผู้ยื่นข้อเสนอที่เป็นบุคคล/นิติบุคคลไทย ดังนี้:

• หากผู้ยื่นข้อเสนอซึ่งเป็นผู้ประกอบการ SMEs เสนอราคาสูงกว่าราคาต่ำสุดของผู้ยื่นข้อเสนอรายอื่นไม่เกินร้อยละ 10 ให้หน่วยงานจัดซื้อจัดจ้างจากผู้ประกอบการ SMEs ดังกล่าว (เรียงลำดับไม่เกิน 3 ราย)
• หากผู้ยื่นข้อเสนอซึ่งมิใช่ SMEs แต่เป็นบุคคลธรรมดาสัญชาติไทยหรือนิติบุคคลไทย เสนอราคาสูงกว่าราคาต่ำสุดของผู้ยื่นข้อเสนอซึ่งเป็นบุคคล/นิติบุคคลต่างประเทศไม่เกินร้อยละ 3 ให้จัดซื้อจัดจ้างกับบุคคล/นิติบุคคลไทย

ระบบที่ต้องบำรุงรักษาประกอบด้วยอุปกรณ์หลากหลายประเภทจากหลายผู้ผลิต:

1. กล้องวิเคราะห์ภาพ (Analytics Camera) และอุปกรณ์ป้องกัน: ยี่ห้อ Avigilon รุ่นต่างๆ เช่น 2.0C-H4A-B1, 2.0C-H5A-BO1-IR, 2.0C-H4SL-DO1-IR, กล่องป้องกันรุ่น ES-HD-HWS-SM รวม 138 ชุด (สายสีน้ำเงิน 57 ชุด, สายสีม่วง 60 ชุด, กล่องป้องกัน 37 ชุด)
2. เครื่องคอมพิวเตอร์แม่ข่ายและอุปกรณ์ประมวลผล:
   • Server: ยี่ห้อ Dell รุ่น PowerEdge R740 รวม 7 ชุด
   • Network Video Recorder (NVR): ยี่ห้อ Avigilon รุ่น HD-NVR4-PRM-96TB-NPC (2 ชุด), AINVR-STD-32TB-NA (1 ชุด) และ Dell PowerEdge R740 (4 ชุด)
   • Client PC และจอแสดงผล: ยี่ห้อ Dell รุ่น Optiplex 7070, Precision 3680 Tower, และจอ P2219H
   • UPS: ยี่ห้อ APC รุ่นต่างๆ เช่น SMC1500IC, SRT3000XLI-3Y, SRTRK4 รวม 30 ชุด
   • Power Supply: ยี่ห้อ Meanwell รุ่น NDR-240-48 รวม 52 ชุด
3. อุปกรณ์เครือข่ายสื่อสารข้อมูล:
   • Switch: ยี่ห้อ Planet รุ่น WGS-4215-8P2S, IGS-4215-8P2T2S, SGS-6341-24T4X
   • Mini GBIC Module: ยี่ห้อ Planet รุ่น MGB-LX
   • ตู้ Rack: Wall Rack และ Cabinet Rack ขนาดต่างๆ
4. ซอฟต์แวร์สำหรับการประมวลผล:
   • ระบบจดจำใบหน้า (Face Recognition)
   • ระบบบริหารจัดการกล้องวงจรปิด Avigilon Control Center (ACC 7)
5. ข้อกำหนดการปรับปรุงประสิทธิภาพ:
   • ปรับปรุง NVR 2 ชุด ให้มีสเปกขั้นต่ำ: CPU 8 Core (2 หน่วย), RAM DDR5 64 GB, Hard Disk M.2 SSD 480 GB + SATA 96 TB, Network Port Gigabit 6 ช่อง + SFP+ 4 ช่อง, PSU 1200W Redundant 2 หน่วย, ระบบ Online Support
   • อัปเกรดระบบปฏิบัติการบน NVR (Dell PowerEdge R740) 4 ชุด เป็น Windows Server 2022 หรือดีกว่า
   • อัปเดตซอฟต์แวร์บริหารจัดการกล้อง (ACC) ให้เป็นเวอร์ชันปัจจุบัน

• วงเงินงบประมาณ: 7,000,000 บาท (เจ็ดล้านบาทถ้วน) รวมภาษีมูลค่าเพิ่มแล้ว
• การจ่ายเงิน: แบ่งเป็น 2 งวด
  • งวดที่ 1 (50%): ชำระเมื่อดำเนินการประชุม Kickoff, ส่งมอบ Inception Report ภายใน 20 วันทำการหลังลงนาม, และตรวจรับงานบำรุงรักษาครั้งที่ 1 และ 2 เรียบร้อยแล้ว
  • งวดที่ 2 (50%): ชำระเมื่อตรวจรับงานบำรุงรักษาครั้งที่ 3 และ 4 เรียบร้อยแล้ว
• ค่าปรับ:
  • กรณีไม่รับทราบเพื่อเริ่มแก้ไข CM ภายใน 2 ชั่วโมง: ปรับร้อยละ 0.01 ของมูลค่าสัญญาต่อชั่วโมง
  • กรณีไม่สามารถซ่อมแซมแก้ไข CM ให้เสร็จภายใน 48 ชั่วโมง: ปรับร้อยละ 0.2 ของมูลค่าสัญญาต่อวัน
  • กรณีไม่จัดส่งรายงานผลการดำเนินการตามกำหนด: ปรับร้อยละ 0.01 ของมูลค่าสัญญาต่อวัน
• การรับประกัน: ผู้รับจ้างต้องทำการรับประกันและต่อสิทธิ์การใช้งาน (License) ของระบบและอุปกรณ์ทั้งหมดจากเจ้าของผลิตภัณฑ์ และส่งมอบเอกสารการรับประกันให้ รฟม. ภายใน 10 วันทำการหลังลงนาม
• การบอกเลิกสัญญา: รฟม. มีสิทธิ์บอกเลิกสัญญาทันทีหากผู้รับจ้างฝ่าฝืนสัญญาและไม่แก้ไขภายใน 5 วันทำการหลังจากได้รับแจ้ง หรือหากผู้รับจ้างตกเป็นบุคคลล้มละลาย

• ระบบ Video Analytics นี้ติดตั้งที่สถานีใดบ้าง? ติดตั้งในสถานีรถไฟฟ้าสายเฉลิมรัชมงคล 6 สถานี (สุทธิสาร, ห้วยขวาง, ศูนย์วัฒนธรรม, พระราม 9, เพชรบุรี, สุขุมวิท) และสายฉลองรัชธรรม 4 สถานี (เตาปูน, วงศ์สว่าง, กระทรวงสาธารณสุข, ตลาดบางใหญ่) รวมถึงอาคารจอดรถลาดพร้าวและศูนย์ MMC
• ผู้รับจ้างต้องมีทีมงานที่มีใบรับรองใดบ้าง? ต้องมีทีมงานบำรุงรักษาระบบกล้องวิเคราะห์ภาพอย่างน้อย 3 คน ที่มี Certificate จากเจ้าของผลิตภัณฑ์ (Avigilon Unity หรือ ACC 7) และทีมงานบำรุงรักษาอย่างน้อย 2 คน ที่ได้รับใบอนุญาตเป็น Person-in-Charge (PIC) จาก BEM เพื่อทำงานในสถานีได้
• การบำรุงรักษาเชิงป้องกัน (PM) ดำเนินการบ่อยแค่ไหน? ดำเนินการทุก 3 เดือน (4 ครั้งต่อปี) โดยผู้รับจ้างต้องส่งแผนการบำรุงรักษาและกำหนดวันเวลาล่วงหน้า
• หากเกิดอุปกรณ์เสียหายกลางดึก ผู้รับจ้างต้องตอบสนองอย่างไร? ต้องให้บริการบำรุงรักษาเชิงแก้ไข (CM) ตลอด 24 ชั่วโมง รับแจ้งเหตุและเริ่มดำเนินการแก้ไขภายใน 2 ชั่วโมง และแก้ไขให้เสร็จภายใน 48 ชั่วโมง
• ผู้รับจ้างต้องส่งรายงานอะไรบ้างหลังการบำรุงรักษาแต่ละครั้ง? ต้องจัดทำรายงานสรุปผลการตรวจสอบและบำรุงรักษา, ข้อมูล Backup บน Cloud Storage, แบบ As-Built Drawing ใน AutoCAD, และนำเสนอต่อ รฟม. ภายในระยะเวลาที่กำหนด
• มีการปรับปรุงหรืออัพเกรดระบบอะไรบ้างในสัญญานี้? มีการปรับปรุง NVR จำนวน 2 ชุดให้มีสเปกที่สูงขึ้นและอัพเกรด OS เป็น Windows Server 2022, อัพเกรด OS บน NVR อีก 4 ชุด, และอัพเดทซอฟต์แวร์บริหารจัดการกล้อง (ACC) ให้เป็นเวอร์ชันปัจจุบัน
• ผู้รับจ้างต้องปฏิบัติตามนโยบายความปลอดภัยด้าน IT ของ รฟม. ด้วยหรือไม่? ใช่ ผู้รับจ้างและเจ้าหน้าที่ที่เข้าถึงระบบเทคโนโลยีสารสนเทศของ รฟม. ต้องรับทราบและปฏิบัติตามนโยบายการรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศของ รฟม. (ตามภาคผนวก ข.) และต้องลงนามในสัญญาการเก็บรักษาข้อมูลไว้เป็นความลับ (NDA)
• กรณีที่อุปกรณ์เสียหายและต้องการอะไหล่ทดแทน มีเงื่อนไขอย่างไร? อะไหล่หรือวัสดุอุปกรณ์ที่นำมาใช้ต้องมีคุณสมบัติไม่ต่ำกว่าของเดิม และหากเป็นการเปลี่ยนใหม่ ต้องเป็นของใหม่ที่ไม่เคยถูกใช้งานมาก่อน
• ผู้รับจ้างต้องใช้ซอฟต์แวร์ใดของ รฟม. ในการบริหารจัดการงาน? ต้องลงทะเบียนและใช้งานซอฟต์แวร์บริหารจัดการงานซ่อมบำรุงของ รฟม. (Maximo) เพื่อให้ รฟม. ติดตามกำหนดการและตรวจสอบการปฏิบัติงาน
• หากพนักงานของผู้รับจ้างประพฤติตัวไม่เหมาะสมจะเกิดอะไรขึ้น? หาก รฟม. แจ้งเป็นลายลักษณ์อักษรแล้ว ผู้รับจ้างต้องห้ามส่งพนักงานผู้นั้นเข้าปฏิบัติงานอีก และต้องจัดหาพนักงานมาทดแทนทันที โดยไม่มีสิทธิ์เรียกร้องค่าเสียหายจาก รฟม.

ขอบเขตของงานจางบํารุงรักษาและซอมแซมแกไขระบบประมวลผลและวิเคราะหขอมูลจากวิดีโอเพื่อการ บริหารงานรถไฟฟา (Video Analytics) ประจําปงบประมาณ 2569

1. เหตุผลและความจําเปน
   ระบบประมวลผลและวิเคราะห์ข้อมูลจากวิดีโอเพื่อการบริหารงานรถไฟฟ้า (Video Analytics) ของ การรถไฟฟ้าขนส่งมวลชนแห่งประเทศไทย (รฟม.) ประกอบด้วย ระบบจดจำใบหน้า (Face Recognition) และระบบค้นหาอัตลักษณ์ของบุคคล (Appearance Search) มีการใช้งานต่อเนื่องตลอด 24 ชั่วโมง โดยในส่วน ของโครงการรถไฟฟ้าสายเฉลิมรัชมงคลได้ทำการติดตั้งครอบคลุมสถานีรถไฟฟ้า 6 สถานี ประกอบด้วย สถานีสุทธิสาร สถานีห้วยขวาง สถานีศูนย์วัฒนธรรมแห่งประเทศไทย สถานีพระราม 9 สถานีเพชรบุรี และ สถานีสุขุมวิท และโครงการรถไฟฟ้าสายฉลองรัชธรรม ครอบคลุมสถานีรถไฟฟ้า 4 สถานี ประกอบด้วย สถานีเตาปูน สถานีวงศ์สว่าง สถานีกระทรวงสาธารณสุข และสถานีตลาดบางใหญ่ จึงมีความจำเป็นที่ต้องดูแล และบำรุงรักษาเพื่อให้ระบบประมวลผลฯ มีความพร้อมและสามารถใช้งานได้อย่างต่อเนื่อง และมี ประสิทธิภาพ ลดความเสี่ยงเรื่องความเสียหายจากระบบและอุปกรณ์ที่อาจเกิดขึ้นได้
2. วัตถุประสงค
   จัดหาผู้รับจ้างให้บริการบำรุงรักษาและซ่อมแซมแก้ไข ระบบประมวลผลและวิเคราะห์ข้อมูลจากวิดีโอเพื่อการ บริหารงานรถไฟฟ้า (Video Analytics) ให้มีความพร้อมให้บริการได้อย่างต่อเนื่องตลอดเวลา และรองรับการแก้ไข ปัญหาจากสาเหตุความบกพร่อง ชำรุด และเสียหายที่อาจจะเกิดขึ้นได้รวมถึงการเพิ่มศักยภาพของระบบฯ ให้มีประสิทธิภาพมากยิ่งขึ้น เพื่อดำเนินการตามมาตรการด้านการรักษาความปลอดภัยของผู้ใช้บริการระบบ รถไฟฟ้าของ รฟม.
3. คุณสมบัติของผูยื่นขอเสนอ
   3.1 มีความสามารถตามกฎหมาย
   3.2 ไม่เป็นบุคคลล้มละลาย
   3.3 ไม่อยู่ระหว่างเลิกกิจการ
   3.4 ไม่เป็นบุคคลซึ่งอยู่ระหว่างถูกระงับการยื่นข้อเสนอหรือทำสัญญากับหน่วยงานของรัฐไว้ชั่วคราว เนื่องจากเป็นผู้ที่ไม่ผ่านเกณฑ์การประเมินผลการปฏิบัติงานของผู้ประกอบการตามระเบียบที่รัฐมนตรีว่าการ กระทรวงการคลังกำหนดตามที่ประกาศเผยแพร่ในระบบเครือข่ายสารสนเทศของกรมบัญชีกลาง
   3.5 ไม่เป็นบุคคลซึ่งถูกระบุชื่อไว้ในบัญชีรายชื่อผู้ทิ้งงานและได้แจ้งเวียนชื่อให้เป็นผู้ทิ้งงานของ หน่วยงานของรัฐในระบบเครือข่ายสารสนเทศของกรมบัญชีกลาง ซึ่งรวมถึงนิติบุคคลที่ผู้ทิ้งงานเป็นหุ้นส่วน ผู้จัดการ กรรมการผู้จัดการ ผู้บริหาร ผู้มีอำนาจในการดำเนินงานในกิจการของนิติบุคคลนั้นด้วย
   3.6 มีคุณสมบัติและไม่มีลักษณะต้องห้ามตามที่คณะกรรมการนโยบายการจัดซื้อจัดจ้างและการ บริหารพัสดุภาครัฐกำหนดในราชกิจจานุเบกษา
   3.7 เป็นนิติบุคคล ผู้มีอาชีพรับจ้างงานที่ประกวดราคาด้วยวิธีประกวดราคาอิเล็กทรอนิกส์ดังกล่าว 3.8 ไม่เป็นผู้มีผลประโยชน์ร่วมกันกับผู้ยื่นข้อเสนอรายอื่นที่เข้ายื่นข้อเสนอให้แก่การรถไฟฟ้าขนส่ง มวลชนแห่งประเทศไทย ณ วันประกาศประกวดราคาอิเล็กทรอนิกส์ หรือไม่เป็นผู้กระทำการอันเป็นการ ขัดขวางการแข่งขันอย่างเป็นธรรมในการประกวดราคาอิเล็กทรอนิกส์ครั้งนี้

/3.9 ไม่เป็น…

• 2 -
  3.9 ไม่เป็นผู้ได้รบั เอกสิทธิห์ รือความคุ้มกนัซึ่งอาจปฏิเสธไม่ยอมขึ้นศาลไทย เว้นแต่ รัฐบาลของผู้ยื่น ข้อเสนอได้มคีำสั่งให้สละเอกสิทธิ์และความคุ้มกนัเช่นว่านั้น
  3.10 ผู้ยื่นข้อเสนอที่ยื่นข้อเสนอในรูปแบบของ “กจิการร่วมคา้” ต้องมีคุณสมบัติดังนี้ (1) การกำหนดสัดส่วนในการเข้าร่วมค้าของคู่สัญญา
  กรณีท่ขี้อตกลงฯ กำหนดให้ผู้เข้าร่วมค้ารายใดรายหนึ่งเป็นผู้เข้าร่วมค้าหลัก ข้อตกลงฯ จะตอ้ งมีการกำหนดสัดส่วนหน้าที่ และความรับผิดชอบในปริมาณงาน สิ่งของ หรือมูลค่าตามสัญญาของ ผู้เข้าร่วมค้าหลักมากกว่าผู้เข้าร่วมค้ารายอ่นื ทุกราย
  (2) กรณีที่ข้อตกลงฯ กำหนดใหผ้ ู้เข้าร่วมค้ารายใดรายหนึ่งเป็นผู้เข้าร่วมค้าหลัก กิจการร่วมค้า นั้นต้องใช้ผลงานของผู้เข้าร่วมค้าหลกัรายเดียวเป็นผลงานของกิจการร่วมค้าที่ย่นืข้อเสนอ สำหรับข้อตกลงฯ ที่ไม่ได้กำหนดให้ผู้เข้าร่วมค้ารายใดเป็นผู้เข้าร่วมค้าหลัก ผู้เข้าร่วมค้าทุกราย จะต้องมีคุณสมบัตคิรบถ้วนตามเงื่อนไขที่กำหนดไว้ในเอกสารเชิญชวน
  (3) การยื่นข้อเสนอของกิจการร่วมค้า
  (3.1) กรณีที่ข้อตกลงฯ กำหนดให้มีการมอบหมายผู้เข้าร่วมค้ารายใดรายหนึ่งเป็นผู้ยื่น ข้อเสนอ ในนามกิจการร่วมค้า การยื่นข้อเสนอดังกล่าวไม่ต้องมีหนังสือมอบอำนาจ สำหรับข้อตกลงฯ ท่ไีม่ได้กำหนดให้ผู้เข้าร่วมค้ารายใดเป็นผู้ย่นืข้อเสนอ ผู้เข้าร่วมคา้ ทุกรายจะต้องลงลายมือชื่อในหนังสือมอบอำนาจให้ผู้เข้าร่วมค้ารายใดรายหนึ่งเป็นผู้ย่นืข้อเสนอในนาม กจิการร่วมคา้
  (3.2) การยื่นข้อเสนอด้วยวิธปีระกวดราคาอเิล็กทรอนิกส์ (e - bidding) ให้ผู้เข้าร่วมค้าที่
  ได้รับมอบหมายหรือมอบอำนาจตามข้อ (3.1) ดำเนินการซื้อเอกสารประกวดราคาอเล็กทรอนิกส์ กรณีที่มี การจำหน่ายเอกสารซื้อหรอืจ้าง
  3.11 ผู้ยื่นขอ้ เสนอต้องลงทะเบียนในระบบจัดซื้อจัดจ้างภาครัฐด้วยอเิล็กทรอนิกส์ (Electronic Government Procurement : e - GP) ของกรมบัญชีกลาง
  3.12 ผู้ยื่นข้อเสนอต้องมมีูลคา่ สุทธิของกิจการเป็นไปตามเงื่อนไขข้อ1.1 -1.2ของหนงัสือคณะกรรมการ วินิจฉัยปัญหาการจัดซื้อจัดจ้างและการบริหารพสัดุภาครัฐ กรมบัญชีกลาง ด่วนที่สุด ที่ กค(กวจ) 0405.2/ว124 ลงวนั ที่1 มีนาคม 2566 เรื่องแนวทางปฏิบัติในการเร่งรัดการปฏิบตัิงานตามสัญญาและการกำหนดคุณสมบัติ ของผู้มสีิทธิยื่นข้อเสนอ

4. เงื่อนไขและขอกําหนดทั่วไป
   4.1 ผู้ยื่นข้อเสนอตอ้ งมีCall Center หรอื Website ซึ่งใช้เป็นช่องทางรับแจ้งปัญหาต่าง ๆ ซึ่งอาจ เกดิขึ้นได้ตลอด 24 ชั่วโมง ที่เป็นของตนเองเป็นอย่างน้อย
   4.2 ผู้ยื่นข้อเสนอต้องมีเจ้าหน้าที่ทีมงานบำรุงรักษาระบบกล้องวิเคราะห์ภาพ ไม่น้อยกว่า 3 คน ที่ได้รับ Certificate จากเจ้าของผลิตภัณฑ์ (Avigilon Unity หรือ ACC 7) ทั้งนี้ต้องแนบสำเนาบัตรประชาชน เบอร์โทรศัพท์ที่ตดิต่อได้และต้องลงลายมือชื่อของบุคคลดังกล่าว สำหรับใช้เพื่อดำเนินโครงการนี้เท่านั้น โดยจะต้องแนบหลักฐานมาพร้อมกับการย่นืข้อเสนอ

/4.3 ผู้ยื่นข้อเสนอ…

• 3 -
  4.3 ผู้ยื่นข้อเสนอต้องนำเสนอเอกสารผลิตภัณฑ์ตามรายการที่ รฟม. ต้องดำเนินการปรับปรุง ประสิทธิภาพระบบฯ ทั้งหมดทุกรายการ ตามขอบเขตของงานข้อ 5.7
  โดยจะต้องแนบใบรับรอง/เอกสาร ตามข้อ 4.1 – 4.3 ในวันที่ยื่นข้อเสนอประกวดราคา อิเล็กทรอนิกส์ ณ วันที่ยื่นข้อเสนอ
  4.4 ผู้ยื่นข้อเสนอต้องมีเจ้าหน้าที่ทีมงานบำรุงรักษา ที่ผ่านการอบรมการปฏิบัติงานภายในสถานี รถไฟฟ้าและปฏิบัติตามระเบียบข้อบังคับของ บริษัท ทางด่วนและรถไฟฟ้ากรุงเทพ จำกัด (มหาชน) กำหนด และต้องได้รับใบอนุญาตเป็น Person-in-Charge (PIC) ซึ่งสามารถขอเอกสาร Work Permit จาก บริษัท ทางด่วนและรถไฟฟ้ากรุงเทพ จำกัด (มหาชน) และได้รับอนุญาตให้ปฏิบัติงานภายในสถานีรถไฟฟ้า มหานคร สายเฉลิมรัชมงคล และสายฉลองรัชธรรม ภายหลังจากที่ได้มีการลงนามสัญญาแล้ว อย่างน้อย 2 คน
  4.5 กรณีมีรายการใดผิดพลาด หรือตกหล่นในส่วนของข้อกำหนดใด ๆ ส่งผลให้งานจ้างบำรุงรักษา และซ่อมแซมแก้ไขระบบประมวลผลและวิเคราะห์ข้อมูลจากวิดีโอเพื่อการบริหารงานรถไฟฟ้า (Video Analytics) ประจำปีงบประมาณ 2569 ไม่สามารถทำได้ตามความต้องการของ รฟม. ให้ถือเป็นความ รับผิดชอบของผู้รับจ้าง ที่ต้องดำเนินการเพื่อให้ตรงตามความต้องการที่ รฟม. ได้กำหนดไว้ โดยไม่คิด ค่าใช้จ่ายอื่นใดเพิ่มเติม

5. ขอบเขตของงานจางบํารุงรักษาระบบประมวลผลและวิเคราะหขอมูลจากวิดีโอเพื่อการบริหารงาน รถไฟฟา (Video Analytics)
   5.1 กล้องวิเคราะห์ภาพ (Analytics Camera) และอุปกรณ์ที่เกี่ยวข้อง
   5.1.1 กล้องวิเคราะห์ภาพ ประเภท IP Fixed Camera
   สำหรับโครงการรถไฟฟ้าสายเฉลิมรัชมงคล
   ยี่ห้อ Avigilon รุ่น 2.0C-H4A-B1 จำนวน 21 ชุด สำหรับโครงการรถไฟฟ้าสายฉลองรัชธรรม
   ยี่ห้อ Avigilon รุ่น 2.0C-H5A-B1 จำนวน 16 ชุด 5.1.2 กล้องวิเคราะห์ภาพ ประเภท IP Bullet Camera
   สำหรับโครงการรถไฟฟ้าสายเฉลิมรัชมงคล
   ยี่ห้อ Avigilon รุ่น 2.0C-H4A-BO2-IR-B จำนวน 11 ชุด สำหรับโครงการรถไฟฟ้าสายฉลองรัชธรรม
   ยี่ห้อ Avigilon รุ่น 2.0C-H5A-BO1-IR จำนวน 28 ชุด 5.1.3 กล้องโทรทัศน์วงจรปิด ประเภท IP Dome Camera
   สำหรับโครงการรถไฟฟ้าสายเฉลิมรัชมงคล
   ยี่ห้อ Avigilon รุ่น 2.0C-H4SL-DO1-IR จำนวน 25 ชุด กล้องวิเคราะห์ภาพ ประเภท IP Dome Camera
   สำหรับโครงการรถไฟฟ้าสายฉลองรัชธรรม
   ยี่ห้อ Avigilon รุ่น 2.0C-H5A-DO1-IR จำนวน 16 ชุด 5.1.4 กล่องป้องกันกล้องวิเคราะห์ภาพ
   สำหรับโครงการรถไฟฟ้าสายเฉลิมรัชมงคล
   ยี่ห้อ Avigilon รุ่น ES-HD-HWS-SM จำนวน 21 ชุด

/สำหรับโครงการ…

• 4 -
  สำหรับโครงการรถไฟฟ้าสายฉลองรัชธรรม
  ยี่ห้อ Avigilon รุ่น ES-HD-HWS-SM จำนวน 16 ชุด 5.2 เครื่องคอมพิวเตอร์แม่ข่ายและอุปกรณ์ที่เกี่ยวข้องกับการประมวลผลระบบ 5.2.1 เครื่องคอมพิวเตอร์แม่ข่ายสำหรับระบบจดจำใบหน้า (Face Recognition) สำหรับโครงการรถไฟฟ้าสายเฉลิมรัชมงคล
  ยี่ห้อ Dell รุ่น PowerEdge R740 จำนวน 3 ชุด สำหรับโครงการรถไฟฟ้าสายฉลองรัชธรรม
  ยี่ห้อ Dell รุ่น PowerEdge R740 จำนวน 4 ชุด 5.2.2 อุปกรณ์บันทึกภาพจากกล้องโทรทัศน์วงจรปิด (Network Video Recorder) สำหรับโครงการรถไฟฟ้าสายเฉลิมรัชมงคล
  ยี่ห้อ Avigilon รุ่น HD-NVR4-PRM-96TB-NPC จำนวน 2 ชุด ยี่ห้อ Avigilon รุ่น AINVR-STD-32TB-NA จำนวน 1 ชุด สำหรับโครงการรถไฟฟ้าสายฉลองรัชธรรม
  ยี่ห้อ Dell รุ่น PowerEdge R740 จำนวน 4 ชุด 5.2.3 เครื่องคอมพิวเตอร์เพื่อการใช้งานระบบ
  ยี่ห้อ Dell รุ่น Optiplex 7070 จำนวน 4 ชุด ยี่ห้อ Dell รุ่น Precision 3680 Tower จำนวน 1 ชุด 5.2.4 หน้าจอแสดงผลสำหรับการใช้งานระบบ
  ยี่ห้อ Dell รุ่น P2219H จำนวน 6 ชุด 5.2.5 เครื่องสำรองไฟฟ้า (UPS)
  สำหรับโครงการรถไฟฟ้าสายเฉลิมรัชมงคล
  ยี่ห้อ APC รุ่น SMC1500IC จำนวน 4 ชุด ยี่ห้อ APC รุ่น SRV6KRIRK จำนวน 2 ชุด สำหรับโครงการรถไฟฟ้าสายฉลองรัชธรรม
  ยี่ห้อ APC รุ่น SRT3000XLI-3Y จำนวน 4 ชุด ยี่ห้อ APC รุ่น SRT96BP จำนวน 8 ชุด ยี่ห้อ APC รุ่น SRTRK4 จำนวน 12 ชุด 5.2.6 ชุดอุปกรณ์ KVM Switch
  ยี่ห้อ ATEN รุ่น CS1308 จำนวน 2 ชุด 5.2.7 ชุดอุปกรณ์ Power Supply
  สำหรับโครงการรถไฟฟ้าสายเฉลิมรัชมงคล
  ยี่ห้อ Meanwell รุ่น NDR-240-48 จำนวน 28 ชุด สำหรับโครงการรถไฟฟ้าสายฉลองรัชธรรม
  ยี่ห้อ Meanwell รุ่น NDR-240-48 จำนวน 24 ชุด 5.3 อุปกรณ์เครือข่ายสื่อสารข้อมูลสำหรับการเชื่อมต่อระบบประมวลผล
  5.3.1 ชุดอุปกรณ์ Distributed Network Switch
  สำหรับโครงการรถไฟฟ้าสายเฉลิมรัชมงคล
  ยี่ห้อ Planet รุ่น WGS-4215-8P2S จำนวน 28 ชุด

/สำหรับโครงการ…

• 5 -
  สำหรับโครงการรถไฟฟ้าสายฉลองรัชธรรม
  ยี่ห้อ Planet รุ่น IGS-4215-8P2T2S จำนวน 24 ชุด 5.3.2 อุปกรณ์ Mini GBIC LX Module
  สำหรับโครงการรถไฟฟ้าสายเฉลิมรัชมงคล
  ยี่ห้อ Planet รุ่น MGB-LX จำนวน 56 ชุด สำหรับโครงการรถไฟฟ้าสายฉลองรัชธรรม
  ยี่ห้อ Planet รุ่น MGB-LX จำนวน 48 ชุด 5.3.3 อุปกรณ์ Core Network Switch
  สำหรับโครงการรถไฟฟ้าสายเฉลิมรัชมงคล
  ยี่ห้อ Planet รุ่น SGS-6341-24T4X จำนวน 3 ชุด สำหรับโครงการรถไฟฟ้าสายฉลองรัชธรรม
  ยี่ห้อ Planet รุ่น SGS-6341-24T4X จำนวน 5 ชุด 5.3.4 ตู้ Rack สำหรับเก็บอุปกรณ์ระบบเครือข่ายสื่อสารข้อมูล
  สำหรับโครงการรถไฟฟ้าสายเฉลิมรัชมงคล
  Wall Rack 6U with Tray, Fan & Power 4 outlet จำนวน 2 ตู้
  Wall Rack 9U with Tray, Fan & Power 4 Outlet จำนวน 3 ตู้
  Cabinet Rack 42U with Tray, Fan & Power 12 outlet จำนวน 2 ตู้
  สำหรับโครงการรถไฟฟ้าสายฉลองรัชธรรม
  Wall Rack 6U with Tray, Fan & Power 4 outlet จำนวน 24 ตู้
  Wall Rack 27U with Tray, Fan & Power 4 Outlet จำนวน 4 ตู้
  5.4 โปรแกรมสำหรับการประมวลผล (Software)
  5.4.1 ระบบจดจำใบหน้า (Face Recognition)
  5.4.2 ระบบบริหารจัดการกล้องวงจรปิด Avigilon Control Center (ACC 7)
  5.5 การบำรุงรักษาเชิงป้องกัน Preventive Maintenance (PM)
  5.5.1 ผู้รับจ้าง ต้องบำรุงรักษาระบบประมวลผลฯ และอุปกรณ์ต่าง ๆ ภายในโครงการ รถไฟฟ้าสายเฉลิมรัชมงคล ได้แก่ สถานีสุทธิสาร สถานีห้วยขวาง สถานีศูนย์วัฒนธรรมแห่งประเทศไทย สถานีพระราม 9 สถานีเพชรบุรี สถานีสุขุมวิท อาคารจอดรถลาดพร้าว ศูนย์กำกับดูแลและบริหารจัดการ การเดินรถไฟฟ้า (Monitoring Management Center : MMC) และโครงการรถไฟฟ้าสายฉลองรัชธรรม ได้แก่ สถานีเตาปูน สถานีวงศ์สว่าง สถานีกระทรวงสาธารณสุข และสถานีตลาดบางใหญ่ ให้สามารถใช้งานได้ ดีและมีประสิทธิภาพตลอดระยะเวลาสัญญาอย่างน้อย ดังนี้

1. กล้องวิเคราะห์ภาพ (Analytics Camera) และอุปกรณ์ที่เกี่ยวข้อง ตามข้อ 5.1 - ตรวจสอบสัญญาณภาพ โฟกัส และมุมกล้องให้ชัดเจน

• ตรวจสอบสัญญาณและ Connector ให้เป็นปกติ
• ตรวจสอบสภาพกล้องและการจับยึดกล้องให้อยู่ในสภาพใช้งานได้ปกติ และปลอดภัย - ตรวจสอบการทำงานของระบบบันทึกภาพ และการเรียกดูภาพย้อนหลัง
• ตรวจสอบการทำงานของกล้อง เพื่อให้ระบบสามารถใช้งานได้ตลอดเวลา
• ทำความสะอาดส่วนประกอบต่าง ๆ และ Connector ที่ใช้เชื่อมต่อทั้งหมด

/2) เครื่องคอม…

• 6 -

2. เครื่องคอมพิวเตอร์แม่ข่ายและอุปกรณ์ที่เกี่ยวข้องกับการประมวลผลระบบตามข้อ 5.2 (1) รายการอุปกรณ์ข้อ 5.2.1 – 5.2.3

• Backup Configuration อุปกรณ์/ระบบ ที่เกี่ยวข้องทั้งหมด
• ตรวจสอบอุปกรณ์ ระบบปฏิบัติการ (Operation System) Memory,
  CPU, Interfaces, Power Supply และ โปรแกรมที่ใช้งานทั้งหมด ให้สามารถใช้งานได้ปกติ - ตรวจสอบสภาพการทำงานของ Hard disk
• ตรวจสอบการเชื่อมต่อสายไฟ สายสัญญาณต่าง ๆ
• ตรวจสอบความถูกต้องของ Configuration ต่าง ๆ การเชื่อมต่อกับระบบ เครือข่าย วันที่ และเวลาบนอุปกรณ์ให้ถูกต้อง
• ตรวจสอบ Log File และโปรแกรม Anti-Virus รวมถึงความผิดปกติที่เกิดขึ้น - แก้ไข/ลบข้อมูล ที่ไม่จำเป็นต่อการประมวลผลระบบ
• ตรวจสอบความเรียบร้อย และทำความสะอาดส่วนประกอบของอุปกรณ์ทั้งหมด
  (2) รายการอุปกรณ์ข้อ 5.2.4
• ตรวจสอบการแสดงภาพต้องเป็นปกติ
• ตรวจสอบความเรียบร้อย และทำความสะอาดส่วนประกอบของอุปกรณ์ทั้งหมด
  (3) รายการอุปกรณ์ข้อ 5.2.5
• ตรวจสอบการสำรองไฟฟ้า การทำงานต่าง ๆ และตรวจวัดสุขภาพแบตเตอรี่
  (State Of Health : SOH) ให้เป็นปกติ กรณีหากพบว่าแบตเตอรี่มีการชำรุด แตก บวม หรือค่า SOH ต่ำกว่า 80% ต้องดำเนินการเปลี่ยนแบตเตอรี่หลังจากที่ตรวจพบภายในรอบการบำรุงรักษานั้น - ตรวจสอบความเรียบร้อย และทำความสะอาดส่วนประกอบของอุปกรณ์ทั้งหมด
  (4) รายการอุปกรณ์ข้อ 5.2.6 – 5.2.7
• ตรวจสอบการทำงานของอุปกรณ์ทั้งหมด ให้สามารถใช้งานได้เป็นปกติ
• ตรวจสอบความเรียบร้อย และทำความสะอาดส่วนประกอบของอุปกรณ์ทั้งหมด

3. อุปกรณ์เครือข่ายสื่อสารข้อมูลสำหรับการเชื่อมต่อระบบประมวลผล ตามข้อ 5.3

• ทำการ Backup และตรวจสอบความถูกต้องของ Configuration

• ตรวจสอบการเชื่อมต่อสายไฟ สายสัญญาณต่าง ๆ และการทำงานของอุปกรณ์
  ทั้งหมดให้สามารถใช้งานได้เป็นปกติ

• ตรวจสอบการทำงานของ OS, Memory, CPU, Interfaces,PowerSupply เป็นต้น - ตรวจสอบ แก้ไข ติดตั้ง ปรับปรุง Software ต่าง ๆ ของอุปกรณ์ให้เป็นปัจจุบัน (ถ้ามี)

• ตรวจสอบความเรียบร้อย และทำความสะอาดส่วนประกอบของอุปกรณ์ทั้งหมด 4) โปรแกรมสำหรับการประมวลผล (Software) ตามข้อ 5.4

• ตรวจสอบการทำงานตามฟังก์ชันหลักของระบบ ที่ รฟม. จำเป็นต้องใช้งาน

• ตรวจสอบความถูกต้อง และความแม่นยำของระบบต่าง ๆ ที่ รฟม. ใช้งาน

• แก้ไข/ลบข้อมูล ที่ไม่จำเป็นต่อการประมวลผลระบบ
  5.5.2 ระหว่างการดำเนินการ PM ต้องมีผู้ควบคุมงานของผู้รับจ้างที่ได้รับใบอนุญาตเป็น Person-in-Charge (PIC) ซึ่งสามารถขอเอกสาร Work Permit จาก บริษัท ทางด่วนและรถไฟฟ้ากรุงเทพ จำกัด (มหาชน) และได้รับอนุญาตให้ปฏิบัติงานภายในสถานีรถไฟฟ้ามหานคร สายเฉลิมรัชมงคล และสาย
  /ฉลองรัชธรรม…

• 7 -
  ฉลองรัชธรรม เข้าร่วมปฏิบัติงานด้วยโดย รฟม. จะเป็นผู้ประสานงาน และอํานวยความสะดวก ให้ในส่วนที่ เกี่ยวข้อง
  5.5.3 ผู้รับจ้างต้องจัดให้มีการประชุมเริ่มงาน (Kickoff Meeting) เพื่อทำความเข้าใจ และ นำเสนอแผนการดำเนินงาน ภายใน 10 วันทำการ หรือวันที่ รฟม. กำหนด นับถัดจากวันที่ลงนามในสัญญา รวมทั้งต้องส่งรายชื่อผู้ติดต่อหลัก ผู้ติดต่อสำรอง และเจ้าหน้าที่ผู้ปฏิบัติงาน พร้อมหมายเลขโทรศัพท์ โทรศัพท์เคลื่อนที่ และ Email Address หากมีการเปลี่ยนแปลงในระหว่างดำเนินโครงการ ผู้รับจ้างต้องมี หนังสือแจ้งให้ รฟม. ทราบเป็นลายลักษณ์อักษรโดยเร็วที่สุด โดยให้เสนอต่อคณะกรรมการตรวจรับพัสดุ
  5.5.4 อุปกรณ์ทั้งหมดที่ผู้รับจ้างดำเนินการบำรุงรักษาเรียบร้อยแล้ว ให้ติดเครื่องหมาย (Marker) ที่ทนทานสามารถสังเกตได้ง่าย และมีแถบสีที่แตกต่างกันในแต่ละครั้ง โดยให้ระบุวันที่ดำเนินการ ในเครื่องหมายดังกล่าวด้วย
  5.5.5 ในระหว่างการบำรุงรักษา หากผู้รับจ้างมีความจำเป็นต้องปิดการทำงานของอุปกรณ์ใด ๆ ที่อยู่ภายในงานจ้างบำรุงรักษาฯ ต้องได้รับความเห็นชอบจากผู้ดูแลระบบประมวลผลฯ ฝ่ายเทคโนโลยี สารสนเทศของ รฟม. ก่อนดำเนินการ
  5.5.6 หลังจากที่ผู้รับจ้างได้ทำการตรวจสอบและบำรุงรักษาตามรอบแล้วเสร็จ ผู้รับจ้างต้อง จัดทำรายงานเอกสารสรุปผลการตรวจสอบและบำรุงรักษาระบบ รวมถึงอุปกรณ์ต่าง ๆ ทั้งหมด พร้อมทั้งให้ ข้อเสนอแนะ วิธีแก้ไขปัญหา และต้องจัดให้มีทีมงานที่มีความรู้และมีประสบการณ์ในการดูแลระบบ ประมวลผลฯ ประชุมเพื่อนำเสนอรายงานสรุปผลการตรวจสอบและบำรุงรักษา ให้ รฟม. รับทราบ ทุกครั้ง ภายใน 15 วันทำการ หรือตามวันเวลาที่ รฟม. กำหนด รวมถึงต้องจัดทำใบลงชื่อผู้เข้าร่วมฟังรายงาน สรุปผลฯ ดังกล่าวด้วย ทั้งนี้ผู้รับจ้างต้องส่งเอกสารรายงานในรูปแบบไฟล์ดิจิทัลที่สมบูรณ์ซึ่งได้รับการ ยอมรับหรือปรับแก้ไขแล้วจาก รฟม. ภายใน 30 วันทำการ นับตั้งแต่วันสุดท้ายที่เข้ามาดำเนินการ ตรวจสอบและบำรุงรักษาในแต่ละรอบ
  5.5.7 ตามข้อ 5.5.6 ผู้รับจ้างต้องมีหนังสือแจ้งให้ รฟม. ทราบเป็นลายลักษณ์อักษร ล่วงหน้า ไม่น้อยกว่า 5 วันทำการของ รฟม. โดยให้เสนอต่อคณะกรรมการตรวจรับพัสดุ
  5.5.8 ผู้รับจ้างต้องทำการสำรองข้อมูลทั้งในส่วนของอุปกรณ์และระบบประมวลผลฯ ตามข้อ 5.2 – 5.4 ที่จำเป็นและมีความสำคัญ โดยต้องจัดเก็บลงบนพื้นที่ Cloud Storage ตามที่ รฟม. กำหนด ต่อรอบ การบำรุงรักษา ทั้งนี้ให้จัดส่งพร้อมกับรายงานสรุปผลการตรวจสอบและบำรุงรักษาระบบ รวมถึงอุปกรณ์ต่าง ๆ ทั้งหมด ตามข้อ 5.5.6 ในการประชุมแต่ละครั้งด้วย
  5.5.9 การปรับค่า (Configuration) หรือการเปลี่ยนแปลงค่าใด ๆ ที่เกี่ยวกับอุปกรณ์หรือ ระบบ ตามข้อ 5.1 – 5.4 อันเนื่องมาจากความผิดปกติหรือความต้องการของ รฟม. ผู้รับจ้างต้องจัดทำสรุป รายละเอียดของการดำเนินงานในแต่ละครั้ง โดยให้แสดงข้อมูลที่เกี่ยวข้องกับการดำเนินงาน เช่น สาเหตุ หรือปัจจัย สถานะก่อนและหลังการปรับค่าหรือเปลี่ยนแปลงค่า วัน/เวลาที่ดำเนินการ รวมถึงผู้ดำเนินการ เป็นอย่างน้อย แล้วแจ้งให้ รฟม. ทราบเป็นลายลักษณ์อักษร ภายใน 7 วันทำการของ รฟม. หลังจากการ ดำเนินงานแล้วเสร็จ โดยให้เสนอต่อผู้ดูแลระบบประมวลผลฯ ฝ่ายเทคโนโลยีสารสนเทศของ รฟม.
  5.5.10 ผู้รับจ้างต้องจัดทำแบบแสดงจุดติดตั้งอุปกรณ์ที่มีในระบบทั้งหมด พร้อมการวางแนว สายสัญญาณ และสายไฟฟ้าในรูปแบบ Auto CAD (AS-Built Drawing) โดยให้สอดคล้องและถูกต้องเมื่อ เปรียบเทียบกับสถานที่จริง ทั้งนี้ให้จัดส่งพร้อมกับรายงานสรุปผลการตรวจสอบและบำรุงรักษาระบบ รวมถึง อุปกรณ์ต่าง ๆ ทั้งหมด ตามข้อ 5.5.6 ในการประชุมแต่ละครั้งด้วย

/5.5.11 การบำรุง…

• 8 -
  5.5.11 การบำรุงรักษาอุปกรณ์ตามข้อ 5.1 – 5.4 ผู้รับจ้างต้องจัดส่งเจ้าหน้าที่ ที่มีความรู้ ความสามารถ เข้ามาดำเนินการบำรุงรักษาทุกๆ 3 เดือน (4 ครั้ง/ปี) เพื่อให้อุปกรณ์ในระบบประมวลผลฯ อยู่ในสภาพปกติ สามารถใช้งานได้ดีและมีประสิทธิภาพตลอดอายุสัญญา โดยผู้รับจ้างต้องส่งแผนการ บำรุงรักษาและกำหนดวัน/เวลาที่จะดำเนินการ แจ้งให้ รฟม. ทราบมาพร้อมกับการลงนามในสัญญา หากในระหว่างดำเนินโครงการมีความจำเป็นต้องเปลี่ยนแปลงวันและเวลาจากแผนเดิม ผู้รับจ้างต้องมี หนังสือแจ้งให้ทราบล่วงหน้าเป็นลายลักษณ์อักษร ก่อนถึงวันที่กำหนดตามแผนเดิมอย่างน้อย 10 วันทำการ ของ รฟม. โดยให้เสนอต่อคณะกรรมการตรวจรับพัสดุ
  5.5.12 ผู้รับจ้างต้องลงทะเบียน และใช้งานซอฟต์แวร์บริหารจัดการงานซ่อมบำรุงของ รฟม. (Maximo) เพื่อที่ รฟม. จะได้ติดตามกำหนดการปฏิบัติงาน และสามารถตรวจสอบการปฏิบัติงานของผู้รับจ้างได้ 5.5.13 ผู้รับจ้างต้องส่งรายชื่อผู้ติดต่อหลัก ผู้ติดต่อสำรอง และเจ้าหน้าที่ผู้ปฏิบัติงาน พร้อม หมายเลขโทรศัพท์ โทรศัพท์เคลื่อนที่ และ Email Address มาพร้อมกับการลงนามในสัญญา หากมีการ เปลี่ยนแปลงในระหว่างดำเนินโครงการ ผู้รับจ้างต้องมีหนังสือแจ้งให้ รฟม. ทราบเป็นลายลักษณ์อักษร โดยเร็วที่สุด โดยให้เสนอต่อคณะกรรมการตรวจรับพัสดุ
  5.6 การบำรุงรักษาเชิงแก้ไขปรับปรุง Corrective Maintenance (CM)
  5.6.1 ภายในระยะเวลาที่กำหนดไว้ตามข้อกำหนดนี้ ผู้รับจ้างตกลงยอมรับประกันความชำรุด บกพร่องหรือขัดข้องของอุปกรณ์/ระบบ ทั้งหมดในข้อ 5.1 – 5.4 หากอุปกรณ์/ระบบ ชำรุดบกพร่อง หรือใช้ ไม่ได้ทั้งหมดหรือแต่บางส่วน รฟม. จะแจ้งให้ผู้รับจ้างทำการแก้ไขซ่อมแซมหรือเปลี่ยนอุปกรณ์/ระบบ ที่ชำรุด บกพร่องนั้น ได้ตลอด 24 ชั่วโมง การที่จะแก้ไขซ่อมแซมหรือเปลี่ยนอุปกรณ์/ระบบ ดังกล่าวให้อยู่ในดุลยพินิจ และการตัดสินใจของ รฟม. แต่เพียงผู้เดียว โดยผู้รับจ้างจะต้องจัดให้มีเจ้าหน้าที่ ที่มีความเชี่ยวชาญและมี ประสบการณ์ รับทราบเพื่อเริ่มดำเนินการภายใน 2 ชั่วโมง นับตั้งแต่เวลาที่ รฟม. ได้แจ้งความชำรุดบกพร่องให้ ผู้รับจ้างทราบทางโทรศัพท์ โทรศัพท์เคลื่อนที่ หรือจดหมายอิเล็กทรอนิกส์ (E-mail) ได้ทุกวัน ไม่เว้นวันหยุด และต้องดำเนินการแก้ไข ซ่อมแซมหรือเปลี่ยนอุปกรณ์/ระบบ ให้แล้วเสร็จสามารถใช้งานได้เป็นปกติดีดังเดิม ภายใน 48 ชั่วโมงนับแต่เวลาที่ รฟม. ได้แจ้งความชำรุดบกพร่องดังกล่าว ทั้งนี้ ในระหว่างเวลาแก้ไขซ่อมแซม ผู้รับจ้างจะต้องจัดหาอุปกรณ์/ระบบ ที่เหมาะสมมาใช้ทดแทนเพื่อให้ รฟม. สามารถปฏิบัติงานได้อย่างต่อเนื่อง โดยอะไหล่หรือวัสดุอุปกรณ์ที่นำมาใช้ในการซ่อมแซมแก้ไข หรือให้ใช้เป็นการชั่วคราว หรือที่นำมาเปลี่ยนให้ ใหม่นั้น จะต้องมีคุณสมบัติไม่ต่ำกว่าของเดิม กรณีการเปลี่ยนวัสดุอุปกรณ์ให้ใหม่ วัสดุอุปกรณ์นั้นจะต้องเป็น ของใหม่ที่ไม่เคยถูกใช้งานมาก่อนและไม่เป็นของเก่าเก็บ
  5.6.2 ระหว่างการดำเนินการ CM ต้องมีผู้ควบคุมงานของผู้รับจ้างเข้าร่วมปฏิบัติงานด้วย โดย รฟม. จะเป็นผู้ประสานงาน และอํานวยความสะดวก ให้ในส่วนที่เกี่ยวข้อง
  5.6.3 จัดทำรายงานผลการ CM รายเดือน (ทุกเดือน) ในกรณีที่ได้รับแจ้งเหตุจาก รฟม. ส่งให้ ผู้ดูแลระบบประมวลผลฯ ฝ่ายเทคโนโลยีสารสนเทศของ รฟม. พร้อมกับการตรวจรับงานในแต่ละงวด ซึ่งต้องมี ข้อมูล วันเวลาที่รับแจ้งเหตุ สาเหตุการขัดข้อง วิธีการแก้ไข วันเวลาที่ดำเนินการแล้วเสร็จ และชื่อผู้ดำเนินการ แก้ไข ตลอดจนวิธีการป้องกัน เป็นอย่างน้อย
  5.6.4 ผู้รับจ้างต้องจัดทำข้อมูลสรุปจำนวนอุปกรณ์ทั้งหมด รวมถึงชิ้นส่วนอะไหล่ ต่าง ๆ ที่ ขัดข้อง อาการขัดข้อง สถิติการเปลี่ยนอุปกรณ์ และการซ่อมแซมอุปกรณ์ เพื่อใช้เป็นข้อมูลสำหรับวิเคราะห์การ บริหารจัดการอุปกรณ์ ของ รฟม. ส่งให้คณะกรรมการตรวจรับพัสดุ พร้อมการตรวจรับงานในงวดสุดท้าย
  /5.6.5 ผู้รับจ้าง…

• 9 -
  5.6.5 ผู้รับจ้างต้องจัดหาผู้เชี่ยวชาญที่เกี่ยวข้องกับระบบประมวลผลฯ ของ รฟม. ที่มีความ ชํานาญทั้งด้าน Hardware และ Software ให้เพียงพอต่อการแก้ไขปัญหารวมทั้งให้คำแนะนําแก่ผู้ดูแล ระบบประมวลผลฯ ของ รฟม. ตลอดอายุสัญญาจ้าง
  5.6.6 หากผู้รับจ้างไม่สามารถแก้ไข ซ่อมแซมหรือเปลี่ยนอุปกรณ์/ระบบ ภายในระยะเวลาที่กำหนดไว้ ข้างต้นได้ รฟม. มีสิทธิ์จ้างผู้รับจ้างรายอื่นให้ดำเนินการแทนจนกว่าการซ่อมแซมแก้ไข หรือเปลี่ยนอุปกรณ์/ระบบ จน แล้วเสร็จ โดยไม่ทำให้ระยะเวลาการรับประกันสิ้นสุดลง และผู้รับจ้างต้องเป็นผู้ออกค่าใช้จ่ายเพื่อการนี้ทั้งสิ้น แทน รฟม. โดยค่าใช้จ่ายที่เกิดขึ้น รฟม. จะหักเอาจากค่าจ้างหรือเงินอื่น ๆ ที่ค้างจ่ายได้ทันที และ รฟม. ไม่ต้อง บอกสงวนสิทธิ์แต่อย่างใด
  5.6.7 ผู้รับจ้างต้องจัดเตรียมพาหนะ หรือบริการรับ-ส่งเจ้าหน้าที่ รฟม. ในการปฏิบัติงาน นอกสถานที่ เพื่อการซ่อมแซมแก้ไขหรือเปลี่ยนแปลงอุปกรณ์/ระบบ นอกสถานที่ทุกครั้ง ตามที่ เจ้าหน้าที่ รฟม. ร้องขอ ทั้งนี้ผู้รับจ้างต้องรับผิดชอบค่าใช้จ่ายทั้งหมดที่เกิดขึ้นจริงจากการเดินทางดังกล่าว
  5.7 การให้บริการดูแลและจัดหารายการอุปกรณ์/ระบบ เพื่อปรับปรุงประสิทธิภาพ 5.7.1 ผู้รับจ้างต้องดำเนินการปรับปรุงอุปกรณ์บันทึกภาพจากกล้องวิเคราะห์ภาพ (Network Video Recorder) ตามข้อ 5.2.2 รุ่น HD-NVR4-PRM-96TB-NPC จำนวน 2 ชุด อันเนื่องมาจากอุปกรณ์ ไม่สามารถอัปเดตระบบปฏิบัติการได้ โดยให้ปรับปรุงเป็นเวอร์ชัน Windows Server 2022 หรือดีกว่า โดยจะต้อง มีลิขสิทธิ์ถูกต้องตามกฎหมายจากเจ้าของผลิตภัณฑ์ และเป็นสิทธิ์การใช้งานของ รฟม. ซึ่งรับรองความ ปลอดภัยทางไซเบอร์ได้ โดยต้องมีคุณสมบัติอย่างน้อยหรือดีกว่า ดังนี้

1. มีหน่วยประมวลผลกลาง (CPU) ไม่น้อยกว่า 8 Core จำนวน 2 หน่วย
2. มีหน่วยความจำหลักแบบ DDR5 และมีขนาดหน่วยความจำไม่น้อยกว่า 64 GB 3) มี Hard Disk ชนิด M.2 SSD ที่มี Interface แบบ PCIe NVMe ความจุไม่น้อยกว่า 480 GB และมี Hard Disk ชนิด SATA ติดตั้งมาด้วย โดยมีขนาดไม่น้อยกว่า 96 TB
3. มีช่องเชื่อมต่อระบบเครือข่าย Gigabit Ethernet จำนวน 6 ช่องและมีช่องเชื่อมต่อ แบบ SFP+ ไม่น้อยกว่า 4 ช่อง
4. มีระบบจ่ายกำลังไฟฟ้าแบบติดตั้งภายในตัวเครื่อง ขนาดไม่น้อยกว่า 1200 Watt จำนวน 2 หน่วย รองรับการทำงานแบบ redundant
5. เป็นผลิตภัณฑ์เดียวกันกับกล้องวิเคราะห์ภาพ (Analytics Camera) และอุปกรณ์ที่
   เกี่ยวข้องตามข้อ 5.1 ที่ รฟม. มีการใช้งานอยู่และมีหนังสือรับรองผลิตภัณฑ์ระบุชื่อโครงการที่เสนอจากผู้ผลิต หรือตัวแทนจำหน่ายในประเทศไทย
6. ต้องมีระบบ Online Support ที่ให้บริการ Download Driver ผ่านช่องทาง Internet จากผู้ผลิต
   5.7.2 ผู้รับจ้างต้องดำเนินการปรับปรุงระบบปฏิบัติการ บนอุปกรณ์บันทึกภาพจากกล้อง วิเคราะห์ภาพ (Network Video Recorder) ตามข้อ 5.2.2 รุ่น PowerEdge R740 จำนวน 4 ชุด ให้เป็น Windows Server 2022 หรือดีกว่า เพื่อรองรับความปลอดภัยทางไซเบอร์
   5.7.3 ผู้รับจ้างต้องดำเนินการปรับปรุงระบบบริหารจัดการกล้องวิเคราะห์ภาพสำหรับการใช้งาน ภายในโครงการทั้งหมด ตามข้อ 5.4.2 ให้เป็นระบบบริหารจัดการกล้องวิเคราะห์ภาพ ซึ่งเป็นผลิตภัณฑ์ เดียวกันกับกล้องวิเคราะห์ภาพ (Analytics Camera) และอุปกรณ์ที่เกี่ยวข้องตามข้อ 5.1 ที่ รฟม. มีการใช้ งานอยู่ โดยต้องเป็นเวอร์ชันปัจจุบันตามที่ปรากฏบนเว็บไซต์ของผู้ผลิตโดยตรง
   /5.8 การดำเนินการ…

• 10 -
  5.8 การดำเนินการอื่น ๆ ที่เกี่ยวข้องกับการบำรุงรักษาระบบประมวลและวิเคราะห์ข้อมูลจากวิดีโอ เพื่อการบริหารงานรถไฟฟ้า (Video Analytics)
  5.8.1 หากเกิดปัญหาข้อขัดข้องจากระบบอื่น ๆ ที่เชื่อมต่อกับระบบประมวลผลฯ และอยู่ใน ความรับผิดชอบของ รฟม. หรือหน่วยงานอื่นที่เกี่ยวเนื่องกับ รฟม. เช่น ระบบไฟฟ้าหลักขัดข้อง เป็นต้น แล้วส่งผลกระทบทำให้ระบบประมวลผลฯ ไม่สามารถใช้งานได้ตามปกติ ผู้รับจ้างต้องให้ความร่วมมือกับ รฟม. ในการประสานงานและตรวจสอบหาสาเหตุของปัญหาดังกล่าวด้วย โดยเมื่อระบบอื่น ๆ ได้รับการ แก้ไขให้กลับมาใช้งานได้ดีดังเดิมแล้ว ผู้รับจ้างจะต้องดำเนินการแก้ไขข้อขัดข้องของระบบประมวลผลฯ ให้แล้วเสร็จ เป็นไปตามเงื่อนไขข้อตกลงที่กำหนดไว้ ตามข้อ 5.6.1
  5.8.2 หากอุปกรณ์ของระบบประมวลผลฯ ที่ติดตั้งใช้งานบริเวณพื้นที่ ที่มีความสำคัญกับมาตรการ การรักษาความปลอดภัยของ รฟม. หรือพื้นที่อื่น ๆ ตามที่ รฟม. กำหนดไว้เกิดปัญหาข้อขัดข้องขึ้น ผู้รับจ้างต้องเร่ง ดำเนินการแก้ไขให้เป็นที่เรียบร้อยเพื่อให้สามารถกลับมาใช้งานได้ดีดังเดิมโดยเร่งด่วน ตามข้อ 5.6.1
  5.8.3 ในการทำ PM และ CM แต่ละครั้ง หากพบปัญหาความไม่เรียบร้อยหรือผิดปกติให้ ผู้รับจ้างรายงานผู้ดูแลระบบประมวลผลฯ ของ รฟม. ทราบทันที พร้อมทั้งเสนอแนวทางในการแก้ไขปัญหา ภายในวันถัดไปของการเข้ามาดำเนินการ
  5.8.4 กรณีที่เจ้าของผลิตภัณฑ์ Software ระบบประมวลผลฯ ภายในโครงการดังกล่าว ได้ทำการ Update Software/Firmware เป็นรุ่นใหม่เพื่อมาแก้ไขปัญหาข้อขัดข้อง และ/หรือข้อจำกัด ของ Software/Firmware รุ่นเดิม ที่ รฟม. ใช้งานอยู่ซึ่งอุปกรณ์ในระบบของ รฟม. สามารถรองรับได้ผู้รับจ้างต้อง ดำเนินการ Update Software/Firmware นี้ให้กับ รฟม. โดยไม่มีค่าใช้จ่าย โดย รฟม. จะพิจารณาถึงความ จำเป็นที่ต้องดำเนินการ และแจ้งให้ผู้รับจ้างทราบถึงความประสงค์ก่อน ผู้รับจ้างจึงจะมีสิทธิ์ทำการ Update Software/Firmware ได้
  5.8.5 กรณี รฟม. หรือสัญญาจ้างอื่น ๆ ภายในการกํากับดูแลของ รฟม. ต้องการพื้นที่เพื่อ ปรับปรุงเปลี่ยนแปลงใด ๆ และมีอุปกรณ์ของระบบประมวลผลฯ เป็นอุปสรรคหรือกีดขวางการดำเนินงาน ผู้รับจ้างต้องดำเนินการตรวจสอบ แก้ไข/ปรับปรุง เพื่อให้ระบบฯ สามารถใช้งานได้ตามปกติภายใน 5 วัน ทำการ หลังจากระบบอื่น ๆ หรือสัญญาจ้างอื่น ๆ ภายในการกํากับดูแลของ รฟม. ได้รับการแก้ไขให้กลับมาใช้งาน ได้ดีดังเดิมแล้ว โดยผู้รับจ้างต้องประสานงาน และติดตามกับผู้รับจ้างรายอื่นที่เกี่ยวข้องด้วย อีกทั้งต้องจัดส่ง รายงานที่ได้ดำเนินการแก้ไขแล้วเสร็จ ให้แก่ผู้ดูแลระบบประมวลผลฯ ฝ่ายเทคโนโลยีสารสนเทศของ รฟม.
  5.8.6 ผู้รับจ้างต้องส่งประวัติรูปถ่าย และประวัติอาชญากรจากกองทะเบียนประวัติ อาชญากรสํานักงานตํารวจแห่งชาติ ของพนักงานของผู้รับจ้างทุกคนให้ รฟม. ภายใน 30 วันทำการ นับจาก วันเริ่มสัญญาโดยผู้รับจ้างเป็นผู้รับผิดชอบค่าใช้จ่ายในการดำเนินการทั้งหมด และ รฟม. จะจัดเก็บไว้จน ครบอายุของสัญญาจ้างที่กำหนด
  5.8.7 ในการปฏิบัติงานผู้รับจ้างต้องรับผิดชอบต่ออุบัติเหตุ หรือภยันตรายความเสียหายใด ๆ ที่ก่อให้เกิดความเสียหายแก่ร่างกายชีวิต และ/หรือทรัพย์สินวัสดุอุปกรณ์ของ รฟม. หรือผู้ใช้บริการของ รฟม. หรือผู้ปฏิบัติงาน ตลอดจนพนักงานของผู้รับจ้าง โดยผู้รับจ้างต้องรับผิดชอบ และชดใช้ค่าเสียหายที่ เกิดขึ้นทั้งหมด เว้นแต่กรณีเป็นเหตุสุดวิสัย
  5.8.8 ในกรณีที่พนักงานของผู้รับจ้างกระทำการละเมิดต่อ รฟม. หรือเจ้าหน้าที่ของ รฟม. หรือผู้ใช้บริการของ รฟม. อันเกี่ยวกับงานนี้ไม่ว่าจะกระทำเอง หรือผู้อื่น ผู้รับจ้างจะต้องยินยอมชดใช้ ค่าเสียหายที่เกิดขึ้นทั้งหมด

/5.8.9 ในกรณี…

• 11 -
  5.8.9 ในกรณีที่ของสูญหาย หรือถ้ามีการชำรุดเสียหายเกิดขึ้นในบริเวณพื้นที่ที่รับผิดชอบ อันเนื่องมาจากการปฏิบัติงานของพนักงานของผู้รับจ้าง ผู้รับจ้างต้องรับผิดชอบและชดใช้ค่าเสียหาย ให้แก่ รฟม. หรือผู้ใช้บริการของ รฟม. ไม่ว่าจะกระทำเอง หรือร่วมกับผู้อื่น ผู้รับจ้างต้องยินยอมชดใช้ ค่าเสียหายที่เกิดขึ้นทันทีเว้นแต่กรณีเป็นเหตุสุดวิสัย
  5.8.10 ถ้าพนักงานของผู้รับจ้างคนใด ไม่ตั้งใจหรือขาดประสิทธิภาพในการปฏิบัติงาน มีอาการ มึนเมาขณะปฏิบัติงาน อันเนื่องมาจากได้ดื่มสุราก่อน หรือขณะปฏิบัติงาน หลบเลี่ยง หรือละทิ้งงาน ขัดคําสั่ง หรือฝ่าฝืนระเบียบของ รฟม. แสดงกิริยาไม่สุภาพต่อผู้มาใช้บริการของ รฟม. หรือกระด้างกระเดื่องต่อ คณะกรรมการตรวจรับพัสดุของ รฟม. หรือผู้ควบคุมงานของ รฟม. ปฏิบัติงานนอกเหนือจากหน้าที่ที่ได้รับ มอบหมาย หรือกระทำการอื่นใดเพื่อแสวงหาผลประโยชน์ส่วนตนหรือผู้อื่น รับงานหรือรับจ้างผู้อื่น มีพฤติการณ์อันส่อไปในทางทุจริต รวมทั้งประพฤติตนอันอาจก่อให้เกิดความเสียหายต่อชื่อเสียงของ รฟม . เมื่อ รฟม. ได้แจ้งให้ผู้รับจ้างทราบเป็นลายลักษณ์อักษรแล้ว ผู้รับจ้างจะส่งพนักงานผู้นั้นเข้าปฏิบัติงาน อีกไม่ได้ ทั้งนี้ผู้รับจ้างจะต้องจัดหาพนักงานมาปฏิบัติงานทดแทน ให้ครบจำนวนที่กำหนดไว้ โดยไม่มีสิทธิ์ เรียกร้องค่าเสียหายใด ๆ ทั้งสิ้นจาก รฟม. หากพนักงานของผู้รับจ้างกระทำผิดตามที่ได้กล่าวนั้น เจ้าหน้าที่ ควบคุมงานของ รฟม. มีสิทธิ์ให้พนักงานผู้นั้นต้องออกจากพื้นที่รับผิดชอบทันที
  5.8.11 ในกรณีที่ผู้รับจ้างกระทำ หรืองดเว้นการกระทำใด ๆ อันเป็นการฝ่าฝืนหรือไม่ปฏิบัติ ตามสัญญาข้อหนึ่งข้อใดก็ดีและ รฟม. ได้แจ้งให้ผู้รับจ้างทราบเป็นลายลักษณ์อักษรแล้ว แต่ผู้รับจ้าง ไม่ดำเนินการแก้ไข ให้ถูกต้องตามสัญญาภาย ใน 5 วันทำการ นับแต่วันที่ได้รับแจ้งจาก รฟม. หรือ กรณีที่ผู้รับจ้างตกเป็นบุคคลล้มละลาย รฟม. มีสิทธิ์บอกเลิกสัญญาได้ทันที โดยมิต้องบอกกล่าวล่วงหน้า และ รฟม. มีสิทธิ์เรียกร้องค่าเสียหายได้ด้วย โดยเมื่อผู้รับจ้างได้รับทราบการบอกเลิกสัญญาแล้ว ผู้รับจ้างยินยอม ให้ถือว่าสัญญานี้ เป็นอันระงับสิ้นสุดลงโดยทันที
  5.8.12 ผู้รับจ้างต้องไม่เอางานทั้งหมด หรือส่วนหนึ่งส่วนใดของงานนี้ไปให้ผู้อื่นรับจ้างช่วงอีก ทอดหนึ่งโดยมิได้รับอนุญาตเป็นหนังสือจาก รฟม. ในกรณีที่ รฟม. อนุญาตให้ผู้รับจ้างดำเนินการจ้างช่วง ผู้รับจ้างยังคงต้องรับผิดชอบในงานที่ให้ช่วงไปนั้นทุกประการ
  5.9 การส่งมอบงาน
  หลังจากที่ผู้รับจ้างได้เข้าทำการตรวจสอบและบำรุงรักษาตามรอบเวลาที่กำหนด ผู้รับจ้างต้องจัดส่ง รายงานผลการตรวจสอบ รายงานผลการติดตั้ง การตั้งค่าระบบประมวลผลและวิเคราะห์ข้อมูลจากวิดีโอเพื่อการ บริหารงานรถไฟฟ้า (Video Analytics) และเอกสารอื่นๆ ที่เกี่ยวข้องในรูปแบบ Digital File รวมถึงแบบแสดงจุด ติดตั้งอุปกรณ์ที่มีในระบบทั้งหมด พร้อมการวางแนวสายสัญญาณ และสายไฟฟ้าในรูปแบบ Auto CAD (AS-Built Drawing) ให้ผู้รับจ้างจัดส่งผลการตรวจสอบในรูปแบบของไฟล์ที่สามารถปรับปรุงได้ โดยข้อมูล ทั้งหมดต้องจัดเก็บลงบนพื้นที่ Cloud Storage ตามที่ รฟม. กำหนดต่อรอบการบำรุงรักษา เสนอต่อ คณะกรรมการตรวจรับพัสดุ โดยรายงานต้องมีรายละเอียดครอบคลุมดังนี้
  5.9.1 สรุปผลการตรวจสอบระบบฯ ที่เป็นไปตามเงื่อนไขต่าง ๆ ตามข้อ 5.5
  5.9.2 ข้อมูลการ Backup System & Configuration ที่จำเป็นและสำคัญ ของระบบและอุปกรณ์ บนพื้นที่ Cloud Storage ตามที่ รฟม. กำหนด
  5.9.3 แบบแสดงจุดติดตั้งอุปกรณ์ที่มีในระบบทั้งหมด พร้อมการวาง แนวสายสัญญาณ และ สายไฟฟ้าในรูปแบบ Auto CAD (AS-Built Drawing)
  5.9.4 รายงานการแก้ไขปัญหาต่าง ๆ ที่เกิดขึ้นพร้อมแนวทางและวิธีการแก้ไขปัญหา ตามข้อ 5.6.3 (ถ้ามี)

/5.9.5 ข้อมูล…

• 12 -
  5.9.5 ข้อมูลสรุปจำนวนอุปกรณ์ทั้งหมด รวมถึงชิ้นส่วนอะไหล่ ต่าง ๆ ที่ขัดข้อง ตามข้อ 5.6.4 5.9.6 จัดหา ติดตั้ง ตั้งค่าอุปกรณ์/ระบบทีเสนอ พร้อมทั้งเอกสารที่กำหนดตามข้อ 5.7

6. กําหนดเวลาสงมอบพัสดุ
   365 วัน นับถัดจากวันที่ลงนามในสัญญา
7. หลักเกณฑการพิจารณาคัดเลือกขอเสนอ
   7.1 ในการพิจารณาผลการยื่นข้อเสนอประกวดราคาอิเล็กทรอนิกส์ครั้งนี้ รฟม. จะพิจารณาตัดสิน โดยใช้หลักเกณฑ์ราคา
   7.2 หากผู้ยื่นข้อเสนอซึ่งเป็นผู้ประกอบการ SMEs เสนอราคาสูงกว่าราคาต่ำสุดของผู้ยื่นข้อเสนอ รายอื่นที่ไม่เกินร้อยละ 10 ให้หน่วยงานของรัฐจัดซื้อจัดจ้างจากผู้ประกอบการ SMEs ดังกล่าว โดยจัด เรียงลำดับผู้ยื่นข้อเสนอซึ่งเป็นผู้ประกอบการ SMEs ซึ่งเสนอราคาสูงกว่าราคาต่ำสุดของผู้ยื่นข้อเสนอรายอื่น ไม่เกินร้อยละ 10 ที่จะเรียกมาทำสัญญาไม่เกิน 3 ราย
   ผู้ยื่นข้อเสนอที่เป็นกิจการร่วมค้าที่จะได้สิทธิตามวรรคหนึ่ง ผู้เข้าร่วมค้าทุกรายจะต้องเป็น ผู้ประกอบการ SMEs
   ทั้งนี้ ผู้ประกอบการ SMEs ที่จะได้แต้มต่อด้านราคาตามวรรคหนึ่ง จะต้องมีวงเงินสัญญาสะสม ตามปีปฏิทินรวมกับราคาที่เสนอในครั้งนี้แล้ว มีมูลค่ารวมกันไม่เกินมูลค่าของรายได้ตามขนาดที่ขึ้นทะเบียน ไว้กับ สสว.
   7.3 หากผู้ยื่นข้อเสนอซึ่งมิใช่ผู้ประกอบการ SMEs แต่เป็นบุคคลธรรมดาที่ถือสัญชาติไทยหรือนิติ บุคคลที่จัดตั้งขึ้นตามกฎหมายไทยเสนอราคาสูงกว่าราคาต่ำสุดของผู้ยื่นข้อเสนอซึ่งเป็นบุคคลธรรมดาที่มิได้ ถือสัญชาติไทย หรือนิติบุคคลที่จัดตั้งขึ้นตามกฎหมายของต่างประเทศไม่เกินร้อยละ 3 ให้จัดซื้อจัดจ้างกับ บุคคลธรรมดาที่ถือสัญชาติไทยหรือนิติบุคคลที่จัดตั้งขึ้นตามกฎหมายไทยดังกล่าว
   ผู้ยื่นข้อเสนอที่เป็นกิจการร่วมค้าที่จะได้สิทธิตามวรรคหนึ่ง ผู้เข้าร่วมค้าทุกรายจะต้องเป็นบุคคล ธรรมดาที่ถือสัญชาติไทย หรือนิติบุคคลที่จัดตั้งขึ้นตามกฎหมายไทย
8. วงเงินงบประมาณ/วงเงินที่ไดรับจัดสรร
   7,000,000 บาท (เจ็ดล้านบาทถ้วน) รวมภาษีมูลค่าเพิ่ม
9. งวดงานและการจายเงิน
   การชำระเงินตามสัญญา แบ่งออกเป็น 2 งวด ซึ่งได้รวมภาษีมูลค่าเพิ่มแล้ว มีรายละเอียดดังนี้ 9.1 งวดที่ 1 ชำระเงิน 50% ของมูลค่าตามสัญญา เมื่อผู้รับจ้างได้จัดให้มีการประชุมเพื่อเริ่มดำเนิน โครงการ (Kickoff) พร้อมทั้งส่งมอบรายงานการเริ่มงาน (Inception Report) ภายใน 20 วันทำการ นับถัด จากวันที่ลงนามในสัญญา และดำเนินการบำรุงรักษาและซ่อมแซมแก้ไขครั้งที่ 1 และครั้งที่ 2 ซึ่งคณะกรรมการ ตรวจรับพัสดุ ได้ตรวจรับงานถูกต้องครบถ้วนแล้ว ตามข้อ 5.9.1 – 5.9.6 ทั้งนี้ รฟม. จะชำระเงินให้แก่ผู้รับ จ้างเมื่อ รฟม. ดำเนินการตามกระบวนการตรวจรับพัสดุจนแล้วเสร็จ
   9.2 งวดที่ 2 ชำระเงิน 50% ของมูลค่าตามสัญญา เมื่อผู้รับจ้างได้ดำเนินการบำรุงรักษาและซ่อมแซม แก้ไขครั้งที่ 3 และครั้งที่ 4 และคณะกรรมการตรวจรับพัสดุ ได้ตรวจรับงานถูกต้องครบถ้วนแล้วตามข้อ 5.9.1 – 5.9.5 ทั้งนี้ รฟม. จะชำระเงินให้แก่ผู้รับจ้างเมื่อ รฟม. ดำเนินการตามกระบวนการตรวจรับพัสดุจนแล้วเสร็จ /10. อัตราคาปรับ…

• 13 -

10. อตัราคาปรับ
    10.1 จากข้อ 5.6 ในกรณีที่ผู้รับจ้างไม่มีเจ้าหน้าที่ ที่มีความเช่ยีวชาญและมปีระสบการณ์รบั ทราบเพื่อ เริ่มดำเนินการภายในเวลา 2 ชั่วโมง นับแต่เวลาที่ รฟม. ได้แจ้งความชำรุดบกพร่องดงักล่าว ผู้รับจ้าง ยินยอมให้รฟม. ปรับเป็นรายชั่วโมง ในอัตราร้อยละ 0.01 (ศูนย์จุดศูนย์หนึ่ง) ของมูลค่าสญั ญาจ้าง โดยเศษ ของชั่วโมงให้คิดเป็นหนึ่งชั่วโมง นับตั้งแต่ครบกำหนดเวลาดังกล่าว จนกว่าผู้รับจ้างจะรับทราบเพื่อเริ่ม ดำเนินการซ่อมแซมแก้ไขแลว้เสร็จ โดยค่าปรับข้างต้นผู้รับจ้างยินยอมให้รฟม. หักออกจากค่าจ้างหรือเงิน อื่น ๆ ที่คา้งจ่ายได้ทันทีโดย รฟม. ไม่ต้องบอกสงวนสิทธิ์แต่อย่างใด
    10.2 จากข้อ 5.6 ถ้าปรากฏว่าผู้รับจ้างไม่สามารถซ่อมแซมแก้ไข หรือเปลี่ยนอุปกรณ์ให้แล้วเสร็จเป็น ปกติดีดังเดิมภายใน 48 ชั่วโมง นับแต่เวลาที่ รฟม. ไดแ้จ้งความชำรุดบกพรอ่ งดังกล่าว ผ้รูับจ้างยนิยอมให้ รฟม. ปรับเปน็ รายวัน ในอัตราร้อยละ 0.2 (ศูนย์จุดสอง) ของมูลค่าสัญญาจ้าง โดยเศษของวันให้คิดเป็นหน่งึวัน ซ่งึนับตั้งแต่ครบกำหนดเวลาที่ผู้รับจ้างไม่สามารถซ่อมแซมแก้ไขหรือเปลี่ยนอุปกรณ์ให้แก่ รฟม. จนถึงวันที่ ผู้รับจ้างได้ทำการซ่อมแซมแก้ไขหรือเปลี่ยนอุปกรณ์ให้แล้วเสร็จ และสามารถใช้งานได้ดดีังเดิมเรียบร้อยแล้ว ค่าปรับข้างต้นผู้รับจ้างยินยอมให้รฟม. หักเอาจากค่าจ้างหรือเงินอื่น ๆ ที่ค้างจ่ายได้ทันทีโดย รฟม. ไม่ต้อง บอกสงวนสิทธิ์แต่อย่างใด
    10.3 กรณีที่ผู้รับจ้างไม่จัดส่งผลการดำเนินการ ตามข้อ 5.5.6 และ 5.5.8 – 5.5.10 ภายในเวลาที่ รฟม. กำหนด ผ้รูับจ้างยินยอมให้รฟม. ปรับเป็นรายวัน ในอัตราร้อยละ 0.01 (ศูนย์จุดศูนย์หนึ่ง) ของมูลค่าสัญญา จ้าง โดยเศษของวันให้คิดเป็นหนึ่งวัน นับตั้งแต่ครบกำหนดวันดังกล่าวจนกว่าจะจัดส่งผลการดำเนินการ โดยค่าปรบัข้างต้นผู้รับจ้างยินยอมให้รฟม. หกัออกจากค่าจ้างหรือเงินอ่นื ๆ ที่ค้างจ่ายได้ทันทีโดย รฟม. ไม่ต้องบอกสงวนสิทธิ์แตอ่ ยา่ งใด
11. การกําหนดระยะเวลารบั ประกันความชํารุดบกพรอง
    ผู้รับจ้างต้องทำการรับประกัน รวมถึงการต่อสิทธิ์การใช้งานหรือ License ต่าง ๆ (ถ้ามี) ของระบบ และอุปกรณ์ตามข้อ 5.1 – 5.4 จากเจ้าของผลิตภัณฑ์ ทุกอุปกรณ์และต้องส่งมอบเอกสารการรับประกัน รวมถึงเอกสารการต่อสิทธิ์ ทั้งหมดให้ รฟม. ไว้เป็นหลักฐานภายใน 10 วันทำการ นับถัดจากวันลงนามในสัญญา
12. ขอสงวนสิทธิ์
    12.1 ผ้รูับจ้าง และ/หรอืเจ้าหน้าที่ของผู้รับจ้าง ท่เีขา้ถึงระบบเทคโนโลยีสารสนเทศของ รฟม. ต้อง รับทราบและปฏิบัติตามนโยบายการรกั ษาความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศของ รฟม. ที่ปรากฏดังภาคผนวก ข. และจะต้องรักษาความลับต่างๆ ที่ได้จากการปฏิบัติงาน โดยห้ามมใิห้ผู้รับจ้าง และ/หรือเจ้าหน้าที่ของผ้รูับจ้างนำข้อมูลส่วนหนึ่งส่วนใดหรือทั้งหมดที่ได้จากการปฏิบัติงานใน รฟม. ไป ทำซ้ำ เผยแพร่ หรือวิเคราะห์ประมวลผลเพื่อการอื่นใด ไม่ว่าการกระทำดังกล่าวจะเป็นการหาผลประโยชน์ หรือไม่ก็ตาม หาก รฟม. ตรวจพบผ้รูับจ้างต้องชดใช้ค่าเสียหายเป็นจำนวนเงนิไม่น้อยกว่าค่าจ้างทั้งหมด ที่กำหนดไวใ้นสัญญา ทั้งนี้ผู้รับจ้าง และ/หรอืเจ้าหน้าที่ของผู้รบัจ้างต้องลงนามในสัญญาการเก็บรักษา ข้อมูลไว้เป็นความลับ (Non-Disclosure Agreement) กอ่ นเริ่มปฏิบัติงาน ตามรปู แบบที่ รฟม. กำหนด
    12.2 ผู้รับจ้างต้องใช้กระดาษที่ไดร้ับเครื่องหมายฉลากเขียว หรือได้รับการรับรองมาตรฐาน เลขที่ มอก.1054 : มาตรฐานผลิตภณั ฑ์อุตสาหกรรม กระดาษถ่ายเอกสาร หรือผ่านการทดสอบตามเกณฑ์ คุณลักษณะที่ต้องการที่กาํ หนดในมาตรฐานผลิตภัณฑ์อุตสาหกรรมดังกล่าว หรือมาตรฐานระดับประเทศที่ /เทียบเทา่ …

• 14 -
  เทียบเท่าหรือสูงกว่ามาตรฐานผลิตภัณฑ์อุตสาหกรรมหรือมาตรฐานระหว่างประเทศที่เป็นที่ยอมรับ เชน่ ISO ในการจัดทํารายงาน
  12.3 ผู้รับจ้างต้องใช้น้ำยาทำความสะอาดที่ได้รับมาตรฐานฉลากเขียว หรือเทียบเท่า ทั้งนี้ผู้รับจา้ง จะต้องเสนอรายละเอียดคุณสมบัติ ยี่ห้อ และแค็ตตาล็อกของนำ้ยาเคมีที่จะนำมาใช้งานใหพ้ ิจารณาก่อนเริ่ม ปฏิบัติงาน

• 15 -
  ภาคผนวก ก.

• 16 -

• 15 -
  ภาคผนวก ข.

การรถไฟฟ้าขนส่งมวลชนแห่งประเทศไทย
MASS RAPID TRANSIT AUTHORITY OF THAILAND
รัฐวิสาหกิจภายใตกาํกับของรัฐมนตรีวาการกระทรวงคมนาคม
A STATE ENTERPRISE UNDER SUPERVISION OF MINISTER OF TRANSPORT
ประกาศการรถไฟฟาขนสงมวลชนแหงประเทศไทย
เรื่อง นโยบายการรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศ (ฉบับปรับปรุงครั้งท่ี14)
ดวยพระราชกฤษฎีกากําหนดหลักเกณฑและวิธีการในการทําธุรกรรมทางอิเล็กทรอนิกสภ าครัฐ พ.ศ. 2549 มาตรา 5 กําหนดใหหนวยงานของรัฐตองจัดทําแนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัย ดานสารสนเทศ เพ่อืใหการดําเนินการใด ๆ ดวยวิธีการทางอิเล็กทรอนิกสกับหนวยงานของรัฐหรือโดยหนวยงานของรัฐ มีความมั่นคงปลอดภัยและเชื่อถือได จึงสงผลใหระบบเทคโนโลยีสารสนเทศของการรถไฟฟาขนสงมวลชนแหงประเทศไทย (รฟม.) ตองมีการรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศอยางครบถวนเพื่อธํารงไวซึ่งความลับ (Confidentiality) ความถูกตองครบถวน (Integrity) และสภาพพรอมใชงาน (Availability) ของสารสนเทศ รวมท้ัง คณุ สมบติอื่น ไดแก ความถูกตองแทจริง ั (Authenticity) ความรับผิด (Accountability) การหามปฏิเสธความรับผิดชอบ (Non-repudiation) และความนาเชื่อถือ (Reliability)
ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกสเร่ืองแนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคง ปลอดภัยดานสารสนเทศของหนวยงานของรัฐ (ฉบับที่ 2) พ.ศ. 2556 ขอ 14 กําหนดใหหนวยงานของรัฐตองกําหนด ความรับผิดชอบที่ชัดเจน กรณีระบบคอมพิวเตอรหรือขอ มูลสารสนเทศเกิดความเสียหายหรืออันตรายใด ๆ แกองคกรหรือ ผูหนึ่งผูใดอันเน่ืองมาจากความบกพรองละเลย หรือฝาฝนการปฏิบัติตามนโยบายและแนวปฏิบัติในการรักษาความม่ันคง ปลอดภัยดานสารสนเทศ ทั้งนี้ ใหผูบริหารระดับสูงสุดของหนวยงาน (Chief Executive Officer: CEO) เปนผูรับผิดชอบ ตอความเสี่ยง ความเสยีหาย หรืออันตรายที่เกิดขึ้น
อาศัยอํานาจตามความในมาตรา 25 แหงพระราชบัญญัติการรถไฟฟาขนสงมวลชนแหงประเทศไทย พ.ศ. 2543 ผูวาการการรถไฟฟาขนสงมวลชนแหงประเทศไทย จึงออกประกาศการรถไฟฟาขนสงมวลชนแหงประเทศไทย เรื่อง นโยบายการรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศ ดังตอไปนี้

1. วัตถุประสงคและขอบเขต
   เพื่อใหการใชงานระบบเทคโนโลยีสารสนเทศของ รฟม. เปนไปอยางเหมาะสม มีประสิทธิภาพ มีความมั่นคงปลอดภัย และสามารถดําเนินงานไดอยางตอเนื่อง รวมท้งัปองกันปญ หาและลดผลกระทบจากการใชงานระบบเทคโนโลยีสารสนเทศ ในลักษณะที่ไมถูกตองหรือจากการถูกคุกคามจากภัยตาง ๆ จึงไดกําหนดนโยบายเพ่ือควบคุมการรักษาความมั่นคงปลอดภัย ของระบบเทคโนโลยีสารสนเทศ ดังนี้
   1.1 การเขาถึงหรือควบคุมการใชงานสารสนเทศครอบคลุม 4 ดาน คอื
   175 ถ นนพ ร ะ ร า ม 9 แ ข ว ง ห้ ว ย ข ว า ง เข ตห้ ว ย ข ว า ง ก ร ุ ง เ ทพ ม ห าน ค ร 10310 โท ร ศ ัพ ท ์ 0 2716 4 000 โท ร ส า ร 0 27 16 4 0 19 175 R a ma IX R o ad, Hu ai Kh wa n g, B an gko k 1031 0, Tha il a n d , Te l. 6 6 2 71 6 40 00 Fa x. 66 27 16 4 019 http://www.mrta.co.th
   1.1.1 การเขาถึงระบบสารสนเทศ (Access control) ตองตรวจสอบการอนุมัติสิทธ์ิการเขาถึงระบบและ กําหนดรหัสผาน การลงทะเบียนผูใชงานเพื่อใหผูใชที่มีสิทธิ์ (User authentication) เทาน้ันที่สามารถ เขาถึงระบบได รวมถึงมีการเก็บบันทึกขอมูลการเขาถึงระบบ (Access log) และขอมูลจราจรทางคอมพิวเตอร ทั้งน้ีการใหสิทธิ์การใชงานระบบสารสนเทศนั้นตองใหสิทธิ์อยางเหมาะสมและเพียงพอ (Need to know and Need to use)
   /1.1.2 การเขาถึง…

• 2 – 2 -
  1.1.2 การเขาถึงระบบเครือขาย (Networkaccess control) ตองกําหนดเสนทางการเชื่อมตอระบบคอมพิวเตอร การรับ - สง หรือการไหลเวียนขอมูลหรือสารสนเทศจะตองผานระบบการรักษาความปลอดภัยที่องคกร จัดสรรไวเชน Firewall IDS/IPS Proxy หรือการตรวจสอบไวรัสคอมพิวเตอรเปนตน เพื่อควบคุมและ ปองกนั ภัยคุกคามอยางเปนระบบ
  1.1.3 การเขาถึงระบบปฏิบัติการ (Operating system access control) เพื่อปองกันการเขาถึงระบบปฏิบัติการ โดยไมไดรับอนุญาต โดยกําหนดใหมีการยืนยันตัวตนเพื่อระบุถึงตัวตนของผูใชงาน รวมทั้งกําหนดใหมี การจาํกัดระยะเวลาในการเชื่อมตอเพื่อใหมีความมั่นคงปลอดภัยมากยิ่งขึ้น
  1.1.4 การเขาถึงโปรแกรมประยุกตหรือแอปพลิเคชันและสารสนเทศ (Applicationand Information access control) ตองกําหนดสิทธิ์การเขาถึงระบบเทคโนโลยีสารสนเทศ โดยใหสิทธ์ิเฉพาะระบบงานสารสนเทศ ที่ตองปฏิบัติตามหนาที่เทานั้น รวมทั้งมีการทบทวนสิทธิ์การเขาใชงานระบบสารสนเทศอยางสมํา่ เสมอ
  1.2 มีระบบสารสนเทศและระบบสํารองที่อยูในสภาพพรอมใชงาน รวมทั้งมีแผนเตรียมพรอมในกรณีฉุกเฉินหรือ กรณีที่ไมสามารถดําเนินการตามวิธีการทางอิเล็กทรอนิกสได เพื่อใหสามารถใชงานสารสนเทศไดตามปกติ อยางตอเนื่อง
  1.3 ตรวจสอบและประเมนิความเสี่ยงของระบบสารสนเทศอยางสม่ําเสมอ

2. แนวปฏิบัติในการรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศ รฟม.
   แนวปฏิบัติในการรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศ รฟม. ใชแนวทางและกระบวนการ อางอิงตาม 1) ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส เรื่องแนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคง ปลอดภัยดานสารสนเทศของหนวยงานรัฐ พ.ศ. 2553 2) ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส เรื่อง มาตรฐาน การรักษาความม่ันคงปลอดภัยของระบบสารสนเทศตามวิธีการแบบปลอดภัย พ.ศ. 2555 และ 3) มาตรฐาน ISO/IEC 27001:2022 โดยแบงแนวปฏิบตัิออกเปน 17 สวน ตามเอกสารแนบทายประกาศ ดังตอไปนี้
   2.1 นโยบายการบรหิารจัดการความมั่นคงปลอดภัยสําหรับผบู ริหาร (สวนที่ 1)
   2.2 ความมั่นคงปลอดภยัที่เกี่ยวกับบุคลากร (สวนท่ี2)
   2.3 การรักษาความมั่นคงปลอดภัยทางกายภาพและสิ่งแวดลอม (สวนท่ี3)
   2.4 การจดัการทรัพยสิน (สวนที่4)
   2.5 การจดั หา การพัฒนา และการบํารุงรักษาระบบสารสนเทศ (สวนที่ 5)
   2.6 การควบคุมการเขาถึงระบบเทคโนโลยีสารสนเทศ (สวนท่ี6)
   2.7 การควบคุมการเขาถึงระบบเครือขายไรสาย (สวนท่ี7)
   2.8 การควบคุมหนวยงานภายนอกและผูใชงาน (บคุ คลภายนอก) เขาถึงระบบเทคโนโลยีสารสนเทศ (สวนที่ 8) 2.9 การใชงานเครื่องคอมพิวเตอรและอุปกรณเคล่อืนท่ของ รฟม. ี (สวนที่ 9)
   2.10 การใชงานอินเทอรเน็ตและส่อืสังคมออนไลน (สวนที่ 10)
   2.11 การใชงานจดหมายอิเล็กทรอนิกส (สวนที่ 11)
   2.12 การสํารองขอมูลและการเก็บรักษาขอมูลจราจรทางคอมพิวเตอร(สวนท่ี12)
   2.13 การตรวจสอบและประเมินความเสี่ยง (สวนที่ 13)
   2.14 การถายโอน และการแลกเปลี่ยนขอมูลสารสนเทศ (สวนที่ 14)
   2.15 การควบคุมการเขารหัส (สวนที่ 15)
   2.16 การนําอุปกรณสวนตัวมาใชงาน (Bring your own device) (สวนที่ 16)
   2.17 การใชบริการ Cloud (Cloud Services) (สวนที่ 17)
   /แนวปฏิบัติ…

• 3 – 3 -
  แนวปฏิบัติในการรักษาความม่ันคงปลอดภัยระบบเทคโนโลยีสารสนเทศตามขอ 2. จัดเปนมาตรฐานดานความมั่นคง ปลอดภัยในการใชงานระบบเทคโนโลยีสารสนเทศของ รฟม. ซึ่งบุคลากรของ รฟม. หนวยงานภายนอก รวมถงึผใูชบริการ ระบบสารสนเทศของ รฟม. ที่เกี่ยวของจะตองปฏิบัติตามอยางเครงครัด

3. กรณีระบบคอมพิวเตอรหรือขอมูลสารสนเทศเกิดความเสียหาย หรืออันตรายใด ๆ แกองคกรหรือผูหนึ่งผูใด อันเนื่องมาจากความบกพรอง ละเลย หรือฝาฝนการปฏิบัติตามแนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคง ปลอดภัยดานสารสนเทศผูวาการการรถไฟฟาขนสงมวลชนแหงประเทศไทย(ChiefExecutive Officer: CEO) เปนผูรับผิดชอบ ตอความเสี่ยง ความเสียหาย หรืออันตรายที่เกิดขึ้น และดําเนินการตรวจสอบขอเท็จจริงกรณีที่ระบบคอมพิวเตอรหรือ ขอมูลสารสนเทศเกิดความเสียหายหรืออันตรายใด ๆ แกหนวยงานหรือผูหนึ่งผูใด รวมทั้งใหพิจารณาลงโทษตามเหตุอนัควร
   นโยบายนี้ใหใชบังคับเม่อืพนกําหนด 7 วัน นบัแตวันที่ผูมีอํานาจลงนาม
   ประกาศ ณ วันที่ กันยายน พ.ศ. 2568
   (นายกาจผจญ อุดมธรรมภักดี)
   ผูวาการการรถไฟฟาขนสงมวลชนแหงประเทศไทย

สารบัญ
เรื่อง หนา คาํ นิยาม ……………………………………………………………………………………………………………………………………………………….1 สวนที่ 1 นโยบายการบรหิารจัดการความมั่นคงปลอดภัยสาํ หรับผูบรหิาร ……………………………………………………………….3 สวนที่ 2 ความมั่นคงปลอดภัยที่เกี่ยวกับบุคลากร………………………………………………………………………………………………..4 สวนที่ 3 การรกัษาความมั่นคงปลอดภัยทางดานกายภาพและสิ่งแวดลอม ………………………………………………………………7 สวนที่ 4 การจัดการทรัพยส ิน ………………………………………………………………………………………………………………………….8 สวนที่ 5 การจัดหา การพัฒนา และการบํารุงรักษาระบบสารสนเทศ ………………………………………………………………….. 10 สวนที่ 6 การควบคุมการเขาถึงระบบเทคโนโลยีสารสนเทศ ………………………………………………………………………………. 12 สวนที่ 7 การควบคุมการเขาถึงระบบเครือขายไรสาย ………………………………………………………………………………………. 22 สวนที่ 8 การควบคุมหนวยงานภายนอกหรือผูใชงานภายนอกเขาถึงระบบเทคโนโลยสีารสนเทศ …………………………….. 23 สวนที่ 9 การใชงานเครื่องคอมพิวเตอรและอปุ กรณเคลื่อนที่ของ รฟม. ……………………………………………………………… 25 สวนที่ 10 การใชงานอินเทอรเน็ตและสื่อสังคมออนไลน …………………………………………………………………………………… 28 สวนที่ 11 การใชงานจดหมายอิเล็กทรอนิกส ………………………………………………………………………………………………….. 32 สวนที่ 12 การสํารองขอมลูและการเก็บรักษาขอมูลจราจรทางคอมพิวเตอร ………………………………………………………… 33 สวนที่ 13 การตรวจสอบและประเมนิความเสี่ยง……………………………………………………………………………………………… 35 สวนที่ 14 การถายโอน และแลกเปลี่ยนขอมูลสารสนเทศ …………………………………………………………………………………. 38 สวนที่ 15 การควบคุมการเขารหัส ………………………………………………………………………………………………………………… 39 สวนที่ 16 การนําอุปกรณสวนตัวมาใชงาน (Bring your own device) ………………………………………………………………. 40 สวนที่ 17 การใชบริการ Cloud (Cloud Services)………………………………………………………………………………..…………..49
1
เอกสารแนบทายประกาศ การรถไฟฟาขนสงมวลชนแหงประเทศไทย
เรื่อง นโยบายการรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศ
แนวปฏิบัติในการรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศ ของ รฟม.
คํานิยาม
คาํ นิยามที่ใชในนโยบายนี้ประกอบดวย

1. รฟม. หมายถึง การรถไฟฟาขนสงมวลชนแหงประเทศไทย
2. ฝทท. หมายถึง ฝายเทคโนโลยีสารสนเทศ
3. ฝทบ. หมายถึง ฝายทรัพยากรบุคคล
4. ผูบริหารระดับสูงสุด หมายถึง ผูวา การการรถไฟฟาขนสงมวลชนแหงประเทศไทย
5. ผูบงัคับบัญชา หมายถึง ผูมอีํานาจสั่งการตามโครงสรางการบรหิารของ รฟม.
6. ผูใชงาน หมายถึง บุคคลท่ไีดรบัอนุญาตใหสามารถเขาใชงานระบบเทคโนโลยีสารสนเทศของ รฟม. เพื่อประโยชน ในการดําเนินงานของ รฟม. ดังนี้

• ผูใชงานภายใน หมายถึง บุคลากรของ รฟม.
• ผูใชงานภายนอก หมายถึง บุคคลภายนอกที่ รฟม. อนุญาตใหเขามาใชงานระบบเทคโนโลยีสารสนเทศของ รฟม. เชน ท่ปีรึกษา ผปู ฏิบัติงานตามสัญญา หรือนิสตินักศึกษาฝกงาน เปนตน

7. ผูใชบริการ หมายถึง ผูที่สมัครใชบริการระบบงานสารสนเทศของ รฟม. ผานเครือขายสาธารณะ (Internet) 8. หนวยงานภายนอก หมายถึง องคกรตาง ๆ รวมถงึผูรับจาง ซึ่ง รฟม. อนุญาตใหมีสิทธ์ิในการเขาถึง หรือใชขอมูล หรือสินทรัพยตาง ๆ ของ รฟม. โดยจะไดรับสิทธิ์ในการใชระบบตามประเภทงานตามอํานาจและตองรับผิดชอบ ในการรักษาความลับของขอมูล
8. ผูดูแลระบบ หมายถึง พนักงานที่ไดรับมอบหมายจากผูบังคับบัญชาใหมีหนาที่รับผิดชอบในการดูแลรักษาระบบ สารสนเทศ และพนักงานของผูรับจางที่รับผิดชอบติดต้งัหรือบํารุงรักษาระบบสารสนเทศใหรฟม.
9. เจาของขอมลู หมายถงึผูไดรับมอบอํานาจจากผูบังคับบัญชาใหรับผิดชอบขอมูลของระบบงานโดยเจาของขอมูล เปนผูรับผิดชอบขอมูลนั้น ๆ หรือไดรบัผลกระทบโดยตรงหากขอมลู เหลานั้นเกิดสูญหาย
10. มาตรฐาน หมายถึง บรรทัดฐานที่บงัคับใชในการปฏิบัติการจริงเพื่อใหไดตามวัตุประสงคหรือเปาหมาย 12. ขั้นตอนปฏิบัติ หมายถึง รายละเอียดที่บอกขั้นตอนเปนขอ ๆ ที่ตองนํามาปฏิบัติเพื่อใหไดมาซึ่งมาตรฐานตามที่ได กําหนดไวตามวัตถุประสงค
11. แนวปฏิบัติหมายถึง แนวทางทตองปฏิบัติตามเพื่อใหสามารถบรรลุวัตถุ ี่ ประสงคหรือเปาหมายไดงายขึ้น 14. ระบบเทคโนโลยีสารสนเทศ (Information technology system) หมายถึง ระบบงานของ รฟม. ที่นําเอาเทคโนโลยี สารสนเทศ ระบบคอมพิวเตอร และระบบเครือขายสื่อสารขอมูลมาชวยในการสรางสารสนเทศที่ รฟม. สามารถ นํามาใชประโยชนในการวางแผน การบริหาร การสนับสนุน การใหบริการ การพัฒนาและควบคุมการติดตอสื่อสาร ซึ่งมีองคประกอบ ไดแก ระบบคอมพิวเตอร ระบบเครือขาย โปรแกรม ขอมูลและสารสนเทศ เปนตน 15. ขอมูลคอมพิวเตอรหมายถึง ขอมูลขอความ คําสั่ง ชุดคําสั่ง หรือสิ่งอื่นใด ที่อยใูนระบบคอมพิวเตอรในสภาพที่ระบบ  คอมพิวเตอรอาจประมวลผลได และใหหมายความรวมถึงขอมูลอิเล็กทรอนิกสตามกฎหมายวาดวยธุรกรรม อิเล็กทรอนิกส
12. ขอมูลจราจรทางคอมพิวเตอร (Trafficlog) หมายถึงขอมูลเกี่ยวกบัการติดตอสื่อสารของระบบคอมพิวเตอรซึ่งแสดงถึง แหลงกําเนิด ตนทาง ปลายทาง เวลา วันที่ ปริมาณ ระยะเวลา หรืออื่น ๆ ที่เกี่ยวของกับการติดตอสื่อสารของ ระบบคอมพิวเตอรนั้น
13. สารสนเทศ (Information) หมายถึง ขอเท็จจริงที่ไดจากขอมูลนํามาผานการประมวลผล การจัดระเบียบใหขอมูล ซึ่งขอมูลอาจอยูในรูปของตัวเลข ขอความ หรือภาพกราฟกใหเปนระบบที่ผูใชสามารถเขาใจไดงาย และสามารถ นําไปใชประโยชนในการบริหาร การวางแผน การตัดสินใจ และอื่น ๆ
    2
14. ระบบคอมพิวเตอร (Computer system) หมายถึง อุปกรณหรือชุดอุปกรณของคอมพิวเตอรที่เช่ือมการทํางาน เขาดวยกนัโดยไดมีการกําหนดคําสั่ง ชุดคําสั่งหรือสิ่งอื่นใด และแนวปฏิบัติงานใหอุปกรณหรือชุดอุปกรณทําหนาที่ ประมวลผลขอมูลโดยอัตโนมตัิ
15. ระบบเครือขายสื่อสารขอมูล (Network system) หมายถึง ระบบที่สามารถใชในการติดตอสื่อสารหรือการสงขอมูล และสารสนเทศระหวางระบบเทคโนโลยีสารสนเทศตาง ๆ ของ รฟม. เชน ระบบแลน (LAN) ระบบอินทราเน็ต (Intranet) ระบบอินเทอรเน็ต (Internet) เปนตน
16. สิทธิ์ของผูใชงาน หมายถึง สิทธิ์ท่ัวไป สิทธิ์จําเพาะ สิทธิพิเศษ และสิทธิ์อื่นใด ที่เกี่ยวของกับระบบสารสนเทศ ของหนวยงาน
17. ความม่นัคงปลอดภัยดานสารสนเทศ หมายถึง การธํารงไวซึ่งความลบั (Confidentiality) ความถูกตองครบถวน (Integrity) และสภาพพรอมใชงาน (Availability) ของสารสนเทศ รวมทั้งคุณสมบัติอื่น ไดแก ความถูกตองแทจริง (Authenticity) ความรับผิด (Accountability) การหามปฏิเสธความรับผิด (Non-repudiation) และความนาเชื่อถือ (Reliability)
18. เหตุการณดานความมั่นคงปลอดภัย หมายถึง เหตุการณที่แสดงใหเห็นความเปนไปไดที่จะเกดิการฝาฝนนโยบาย ดานความมั่นคงปลอดภัย มาตรการปองกันที่ลมเหลว หรือเหตุการณอันไมอาจรูไดวาอาจเกี่ยวของกับความมั่นคงปลอดภัย 23. สถานการณดานความมั่นคงปลอดภัยที่ไมพึงประสงคหรือไมอาจคาดคิด หมายถึงสถานการณดานความมั่นคงปลอดภยั ที่ไมพึงประสงคหรือไมอาจคาดคิด (Unwanted or unexpected) ซึ่งอาจทําใหระบบขององคกรถูกบุกรุก หรือโจมตีและความมั่นคงปลอดภัยถูกคุกคาม
19. การเขาถึงหรือควบคุมการใชงานสารสนเทศ หมายถึง การอนุญาต การกาํ หนดสิทธิ์หรือการมอบอํานาจใหผูใชงาน เขาถึงหรือใชงานเครือขายหรือระบบสารสนเทศ ทั้งทางอิเล็กทรอนิกสและทางกายภาพ ตลอดจนอาจกําหนดขอ ปฏิบัติ เก่ียวกับการเขาถึงโดยมิชอบเอาไวดวยก็ได
20. สินทรัพย (Assets) หมายถึง สินทรัพยดานระบบเทคโนโลยีสารสนเทศและการสื่อสารของ รฟม. เชน อุปกรณ คอมพิวเตอรอุปกรณระบบเครือขา ย ซอฟตแ วรที่มีคาลิขสิทธิ์ขอมูล ระบบขอมูล ฯลฯ 26. จดหมายอิเล็กทรอนิกส (Email) หมายถึง ระบบที่บุคคลใชในการรับ - สงขอความระหวางกัน โดยผานเครื่อง คอมพิวเตอรและเครือขายที่เชื่อมโยงถึงกนั ขอมูลที่สงจะเปนไดทั้งตัวอักษร ภาพถา ย ภาพกราฟก ภาพเคลื่อนไหว และเสียง ผูสงสามารถสงขาวสารไปยังผูรับคนเดียวหรือหลายคนก็ได โดยขาวสารที่สงนั้นจะถูกเก็บไวในตูจดหมาย (Mail box) ที่กําหนดไวสําหรับผูใชงาน ผูรับสามารถเปดอาน พิมพลงกระดาษ หรือจะลบทิ้งก็ได 27. ชุดคําสั่งไมพึงประสงค (Malicious code) หมายถึง ชุดคําสั่งที่มีผลทําใหคอมพิวเตอร หรือระบบคอมพิวเตอร หรือชุดคําสั่งอื่นเกิดความเสียหาย ถูกทําลาย ถูกแกไขเปลี่ยนแปลงหรือเพิ่มเติม ขัดของหรือปฏิบัติงานไมตรง ตามคําสั่งที่กําหนดไว
21. เครื่องคอมพิวเตอรหมายถงึ เครื่องคอมพิวเตอรแบบตั้งโตะ และเครื่องคอมพิวเตอรแบบพกพา 29. อุปกรณเคลื่อนที่ (Mobile device) หมายถึง อุปกรณอิเล็กทรอนิกสแบบพกพาซ่งึมีความสามารถในการเชื่อมตอกับ อุปกรณอื่นเพื่อรับสงขอมูลผานระบบเครือขา ยโทรคมนาคมไรสายหรือโดยอาศัยคลื่นแมเหล็กไฟฟาเปนสื่อกลาง เชน Tablet, Smart Phone
22. ทรัพยสินของ รฟม. หมายถึง ครุภัณฑ รฟม. และทรัพยสินที่ไมมีการขึ้นทะเบียนครุภัณฑที่ รฟม. จัดสรร งบประมาณเพื่อเปนคาใชจายใหทั้งหมดหรือบางสวน
23. อุปกรณสวนตัว หมายถึง อุปกรณที่ไมใชทรัพยสินของ รฟม. ที่ผูใชงานนํามาเชื่อมตอกับระบบสารสนเทศของ รฟม. เชน เครื่องคอมพิวเตอรสวนบุคคล (Personal computer) เครื่องคอมพิวเตอรพกพา (Notebook) อุปกรณเคลื่อนที่ (Mobile device) Removable media หรืออุปกรณคอมพิวเตอรของโครงการรถไฟฟา เปนตน
    3
    สวนที่ 1
    นโยบายการบริหารจัดการความมั่นคงปลอดภยัสําหรับผูบริหาร
    วัตถุประสงค
    ▪ เพื่อใหการบริหารจัดการความม่ันคงปลอดภัยสารสนเทศขององคกรมีความสอดคลองกับมาตรฐานสากลและ กฎหมายดานความมั่นคงปลอดภัยที่เกี่ยวของ
    ผูรับผิดชอบ
    ▪ ผูบริหารสูงสุด
    อางอิงมาตรฐาน: ISO/IEC 27001:2022
    ▪ มาตรการควบคุมดานองคกร (Organizational Controls)
    แนวปฏิบัติ
24. จัดใหมีการทําและทบทวนหรือปรับปรุงนโยบายความมั่นคงปลอดภัย และแนวปฏิบัติท่ีสนับสนุนการทํางานตางๆ อยางนอยปละ 1 คร้งั โดยพิจารณาจากปจจัยนําเขา ดังนี้
    1.1 กลยุทธการดําเนินงานขององคกร
    1.2 ขอมูลกฎหมาย ระเบียบ ขอบังคับตาง ๆ ที่ตองปฏิบัติตาม
    1.3 การปรับปรุงนโยบายความมั่นคงปลอดภัยสําหรับปถัดไป
    1.4 ผลการประเมินความเส่ยีงและแผนลดความเสี่ยง
    1.5 ผลการแจงเตือนโดยระบบปองกันการบุกรุกในปที่ผานมา
    1.6 ผลของการตรวจสอบขอมูลการปดชองโหว (Patch) สําหรับระบบตาง ๆ ในปท่ผีานมา 1.7 การจัดทําและตอสัญญาบํารงุ รักษาระบบและอุปกรณตาง ๆ
    1.8 แผนการอบรมทางดานความมั่นคงปลอดภัยประจําปซึ่งรวมถึงการสรางความตระหนกั
    1.9 ผลการทดสอบแผนกูคืนในปที่ผานมา
    1.10 ขอมูลภยัคุกคามตาง ๆ ที่เคยเกิดขึ้นในอดีตและปจจุบัน รวมท้งัภัยคุกคามที่ไดรับแจงจากหนวยงานภายนอก 1.11 ผลการตรวจสอบการปฏิบัติตามนโยบายความมั่นคงปลอดภัยโดยผูตรวจสอบภายในหรือโดยผูตรวจสอบ อิสระดานความมั่นคงปลอดภัยจากภายนอก
25. จัดใหมีทรัพยากรดานบุคลากร งบประมาณ การบริหารจัดการ และวตัถุดิบที่เพียงพอตอ การบริหารจัดการความ มั่นคงปลอดภัยสารสนเทศในแตละปงบประมาณ
26. จัดใหมีบุคลากรดําเนินงานดานความมั่นคงปลอดภัยสารสนเทศและกําหนดหนาที่ความรับผิดชอบรวมทั้ง ปรับปรุงโครงสรางดังกลาวตามความจําเปน
27. แสดงเจตนารมณหรือสื่อสารอยางสม่ําเสมอเพื่อใหผูใชงานทั้งหมดไดเห็นถึงความสําคัญของการปฏิบัติตาม นโยบายความมั่นคงปลอดภัยและนโยบายสนับสนุนตาง ๆ โดยเครง ครัดและเปนผูรับผิดชอบตอความเสี่ยง ความเสียหาย หรืออันตรายที่เกิดขึ้นกับสารสนเทศขององคกร รวมถึงสรางความรวมมือระหวางหนวยงาน ที่เกี่ยวของกับความม่นัคงปลอดภัยสารสนเทศ
    4
    สวนที่ 2
    ความมั่นคงปลอดภยัที่เกี่ยวกับบุคลากร
    วัตถุประสงค
    ▪ เพื่อใหผูใชงานเขาใจถึงบทบาท หนาที่ความรับผิดชอบ ทั้งกอนการจางงาน ระหวางการจางงาน และสิ้นสุดหรือ เปลี่ยนแปลงการจางงาน ตลอดจนตระหนักถึงภัยคุกคามและปญหาที่เกี่ยวของกับความมั่นคงปลอดภัยของ ระบบเทคโนโลยีสารสนเทศเพื่อลดความเสี่ยงอันเกิดจากการขโมย การฉอโกง การใชงานระบบเทคโนโลยี สารสนเทศผิดวัตถุประสงคและความผิดพลาดในการปฏิบัติหนาที่ ซึ่งอาจสงผลกระทบหรือทําให รฟม. เกิดความเสียหาย
    ผูรับผิดชอบ
    ▪ ผูอํานวยการฝายเทคโนโลยีสารสนเทศ ผูอํานวยการฝายทรัพยากรบุคคล ผูอํานวยการฝาย/สํานัก/สํานักงาน ที่กํากับดูแลงานที่มีการวาจางหนวยงานภายนอก
    อางอิงมาตรฐาน: ISO/IEC 27001:2022
    ▪ มาตรการควบคุมดานองคกร (Organizational Controls)
    ▪ มาตรการควบคุมดานบุคลากร (People Controls)
    แนวปฏิบัติ
28. การสรางความมั่นคงปลอดภัยกอนการจางงาน (Prior to Employment) เพื่อคัดสรรบุคลากรกอนที่จะเขามา ปฏิบัติงาน และเพื่อลดความเสี่ยงจากการปฏิบัติงานผิดพลาด การขโมย การปลอมแปลง และการนําระบบ สารสนเทศหรือทรัพยากรสารสนเทศของ รฟม. ไปใชในทางที่ไมเหมาะสม รวมทั้งเพื่อใหผูใชงานเขาใจในหนาที่ ความรับผิดชอบของตนเอง
    1.1 การตรวจสอบคุณสมบัติของผูสมัคร (Screening)
    ฝทบ. หรอืฝาย/สํานัก/สํานักงาน ที่กํากบัดูแลงานที่มีการวาจางหนวยงานภายนอก/บุคคลภายนอกตองตรวจสอบ คุณสมบัติของผูสมัคร (ทั้งกรณีการจางเปนพนักงาน ลูกจาง การวาจางหนวยงานภายนอก/บุคคลภายนอก เพื่อปฏิบตัิงานใหรฟม. รวมทั้งนิสิตนักศึกษาฝกงาน) โดยผูสมัครตองไมเคยกระทําผิดกฎหมาย ระเบียบ  ขอบังคับ หรือจริยธรรม รวมทั้งไมมีประวตัิในการบุกรุก แกไข ทําลาย หรือโจรกรรมขอมูลในระบบเทคโนโลยี สารสนเทศมากอน และมีคุณสมบัติตามที่ รฟม. กําหนด
    1.2 การกําหนดเงื่อนไขการจางงาน (Terms and Conditions of Employment) การวาจางใหมีเงื่อนไข การจางงานใหครอบคลุมในเรื่องดังตอไปนี้
    1.2.1 กําหนดหนาที่ความรับผิดชอบดานความมั่นคงปลอดภัยดานสารสนเทศอยางเปนลายลักษณอักษร (Information Security Roles and Responsibilities) แกผูใชงาน โดยกาํ หนดใหสอดคลองกับ  นโยบายความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศของ รฟม.
    1.2.2 กําหนดใหมีการลงนามในสัญญาวา่ จะไมเ ปดเผยความลับของ รฟม. (Non-Disclosure Agreement: NDA)
    1.2.3 ระบบเทคโนโลยีสารสนเทศที่สรางหรือพัฒนาโดยผูใชงานในระหวางการวาจางถือเปนสินทรัพย ของ รฟม.
    1.2.4 กําหนดความรับผิดชอบหรือบทลงโทษ หากผูใชงานไมปฏิบัติตามนโยบายการรักษาความมั่นคงปลอดภัย ของระบบเทคโนโลยีสารสนเทศ รฟม. รวมทั้ง กฎหมาย ระเบียบ ขอบังคับ หรือขอกําหนดอื่น ๆ ที่เกี่ยวของกับการรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศ
    5
29. การสรางความมั่นคงปลอดภยัในระหวางการจางงาน (During Employment) เพื่อสรางความตระหนักแกผูใชงาน เกี่ยวกบั ภัยที่เกี่ยวของกับการปฏิบัติงานสารสนเทศ รวมถึงใหความรูเพื่อใหสามารถปองกันภัยดังกลาวได 2.1 หนาที่ในการบริหารจัดการทางดานความมั่นคงปลอดภัย (Management Responsibilities)
    ผูบริหาร รฟม. ทุกระดับช้ันมีหนาที่สนับสนุนและสงเสริมเร่ืองดังตอไปนี้แกผูใชงาน 2.1.1 ประกาศนโยบายการรักษาความมั่นคงปลอดภัยดานสารสนเทศของ รฟม. เปนลายลักษณอักษรใหทุกคน รับทราบและปฏิบัติตาม
    2.1.2 จูงใจใหผูใชงานปฏิบัติตามนโยบายการรักษาความมั่นคงปลอดภัยดานสารสนเทศของ รฟม. 2.1.3 สรางความตระหนักถึงความมั่นคงปลอดภัยดานสารสนเทศที่เกี่ยวของกับหนาที่ความรับผิดชอบ ของตนเองและของ รฟม.
    2.2 การสรางความตระหนัก การใหความรูและการอบรมดานความมั่นคงปลอดภัยใหแกผูใชงาน (Information Security Awareness, Education and Training) การสรางความตระหนักในการรักษาความมั่นคงปลอดภัย อยางสม่ําเสมอ
    2.2.1 ผูดูแลระบบตองแจงเตือนภัยคุกคาม และชองโหวที่สงผลกระทบตอความมั่นคงปลอดภัยของระบบ เทคโนโลยีสารสนเทศแกผูใชงานที่เกี่ยวของ นอกจากนี้ตองแจงเตือนใหผูใชงานเพิ่มความระมัดระวัง ความเสี่ยงตาง ๆ เชน ไวรัสคอมพิวเตอร เทคนิคการหลอกลอทางจิตวิทยา (Social Engineering) และชองโหวทางเทคนคิ เปนตน
    นโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยดานสารสนเทศนี้ไมไดกอใหเกิดสิทธิ์
    2.2.2 ฝทท. ตองดําเนินการฝกอบรม หรือประชาสัมพันธเพ่อืสรางความตระหนักดานความมั่นคงปลอดภัย ของระบบเทคโนโลยีสารสนเทศแกผูใชงานเปนประจําทุกป
    2.2.3 ฝทท. ตองแจงผูใชงานใหทราบ เม่ือมีการเปลี่ยนแปลงนโยบายการรักษาความมั่นคงปลอดภัย สารสนเทศของ รฟม. รวมทั้งอธิบายผลกระทบจากการเปลี่ยนแปลงดังกลาว
    2.3 การแจงเหตุการณไมปกติ
    ผูใชงานตองแจงเหตุการณไมปกติดานเทคโนโลยีสารสนเทศที่พบผานชองทางที่ รฟม. กําหนดโดยเร็วที่สุด 2.4 การกําหนดบทลงโทษ
    2.4.1 ความรบัผิดตามกฎหมาย
    ทางกฎหมายที่ทําใหผูใชงานพนผดิแมจะไดปฏิบัตติามนโยบายและแนวปฏิบัติในการรักษาความมั่นคง ปลอดภัยสารสนเทศและผูใชงานตกลงยินยอมที่จะไมด ําเนินการใด ๆ ทางกฎหมายตอ รฟม. ซึ่งได ปฏิบัติตามระเบียบนี้แตอยางไรก็ตามหากผูใชงานกระทําการละเมิดหรือกระทําผิดตามนโยบาย และแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยสารสนเทศ อาจเปนความผิดทางวินัยและเปนเหตุ ใหถูกลงโทษทางวินัยไดรฟม. ไมมีสวนรับผิดชอบตอการละเมิดทรัพยสินทางปญญาท่ีเกิดจาก การใชระบบคอมพวิเตอร
    2.4.2 การพิจารณาโทษผูกระทําผิด
    ผูใชงานที่กระทําความผิด ฝทท. จะเพิกถอนสิทธิ์การใชงานและอาจเปนความผิดทางวินัย หรือ ความผิดตามกฎหมายที่เกี่ยวของ

1. พนักงาน/ลูกจางที่ฝาฝนหรือละเมิดนโยบายการรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยี สารสนเทศ รฟม. ตองถกูลงโทษตามกระบวนการทางวินัยของ รฟม. รวมถึงกฎหมายท่เีกี่ยวของ 2) หนวยงานภายนอก/บุคคลภายนอกท่ีกระทําความผิด จะมีโทษตามที่ระบุไวในสัญญาหรือ ถูกเพิกถอนสิทธิ์การใชงาน รวมถึงดําเนินการตามกฎหมายที่เกี่ยวของ
   6

3. การสิ้นสุดหรือการเปลี่ยนแปลงการจางงาน (Termination and Change of Employment) เพื่อกําหนดหนาที่ความรับผิดชอบเมื่อสิ้นสุดหรือเปลี่ยนแปลงการจางงาน ซึ่งรวมไปถึงการคืนทรัพยสินและ การถอดถอนสิทธิ์ในการเขาถึง
   3.1 การแจงการสิ้นสุดหรือเปลี่ยนแปลงการจางงาน
   3.1.1 ฝทบ. ตองแจงให ฝทท. ทราบทันทีหากพนักงานมีการลาออก โยกยาย เกษียณ หรือเสียชีวิต เพื่อ ฝทท. จะไดตรวจสอบและบริหารจัดการสิทธิ์ในการเขาถึงระบบเทคโนโลยสีารสนเทศ
   3.1.2 ฝาย/สํานัก/สํานักงาน ที่กํากับดูแลงานท่มีีการวาจางหนวยงานภายนอก/บุคคลภายนอก ตองแจงให ฝทท. ทราบทันทีในกรณีที่ผูรับจางภายนอกสิ้นสุดสัญญาจางหรือมีการยกเลิกสัญญาจาง เพื่อให ฝทท. ตรวจสอบการใชงานระบบสารสนเทศและถอดถอนสทิธิ์ในการเขาถึงระบบสารสนเทศของ รฟม.
   3.2 การคืนสินทรพัยของ รฟม.
   ผูดูแลระบบตองตรวจสอบเพ่ือเรียกคืนสินทรัพยของ รฟม. จากผูใชงาน เมื่อการสิ้นสุดหรือการเปลี่ยนแปลง การจางงาน
   3.3 การถอดถอนสิทธิ์ในการเขาถึง
   3.3.1 ผูดูแลระบบตองถอดถอนสิทธิ์ในการเขาถึงของผูใชงาน เมอ่ืสิ้นสุดหรือเปล่ยีนแปลงการจางงาน 3.3.2 การถอดถอนสทิธิ์ในการเขาถึงหมายรวมถึง ทางกายภาพ (Physical) และทางตรรกะ (Logical) เชน กุญแจ บัตรแสดงตน บัตรประจําตัวผูใชงาน และบัญชีผูใชงาน เปนตน
   3.3.3 ในกรณีที่ผูใชงานที่ส้นิสุดหรือเปลี่ยนแปลงการจางงาน มีการใชบัญชีผใูชงานรวมกัน (Shared User ID) กับผูใชงานอื่น ผูบังคับบัญชาตองเปลี่ยนรหัสผานทันทีหลังจากสิ้นสุดหรือเปลี่ยนแปลงการจางงาน
   7
   สวนที่ 3
   การรกัษาความมั่นคงปลอดภยัทางดานกายภาพและสิ่งแวดลอม
   วัตถุประสงค
   ▪ เพื่อควบคุมและปองกันการรักษาความม่ันคงปลอดภัยที่เกี่ยวของกับการเขาถึงอาคารสถานที่ และพื้นที่จัดเก็บ ขอมูลคอมพิวเตอร (Data Storage Area)
   ผูรับผิดชอบ
   ▪ ผูดูแลระบบ
   ▪ ผูอํานวยการฝายจัดซื้อและบริการ
   อางอิงมาตรฐาน: ISO/IEC 27001:2022
   ▪ มาตรการควบคุมดานกายภาพ (Physical Controls)
   แนวปฏิบัติ
4. ผูดูแลระบบ ตองออกแบบ และติดตั้งอุปกรณหรือระบบสนับสนุน (Facilities) เพื่อปองกันความมั่นคงปลอดภัย ดานกายภาพ เชน อปุ กรณดับเพลิง ระบบสํารองไฟฟา เครื่องกําเนิดไฟฟา ระบบปรับอากาศและควบคุมความชื้น ระบบเตอืนภัยน้ํารั่ว และตองมีการบํารุงรักษาอยางสม่ําเสมอ
5. ผูดูแลระบบตองติดตั้งอุปกรณสารสนเทศในตูแร็ก (Rack) หรือสถานที่ที่มีความมั่นคงปลอดภัยและมีการปดล็อค 3. ผูดูแลระบบ ตองมีการปองกันสายเคเบิลท่ีใชเพ่ือการสื่อสารหรือสายไฟ มิใหมีการดักรับสัญญาณ (Interception) หรือมีความเสียหายเกดิข้ึน โดยจะตองเดินสายเคเบิลผานทอรอยสายหรือทางเดินสายที่มั่นคงปลอดภัยจากการเขาถึง และไมเดินสายผานพื้นที่ท่ีเขาถึงไดอยางสาธารณะ รวมทั้งสายเคเบิลสื่อสารและสายไฟฟาตองแยกจากกันโดยมี ระยะหางที่เหมาะสม
6. การกําหนดบรเิวณที่มีการรกัษาความมั่นคงปลอดภัย
   กําหนดพื้นที่ของระบบเทคโนโลยีสารสนเทศตาง ๆอยางเหมาะสม เพื่อเปนการเฝาระวัง ควบคุม การรักษาความมั่นคง  ปลอดภัยจากผทู ี่ไมไดรับอนุญาต รวมทั้งปองกันความเสียหายอื่น ๆ ที่อาจเกิดขึ้นไดโดยแบงแยกบริเวณพื้นที่ใชงาน ระบบเทคโนโลยีสารสนเทศออกเปน
   4.1 พื้นที่ทํางาน (Working area) หมายถึง พื้นที่ติดตั้งเครื่องคอมพิวเตอรสวนบุคคลและคอมพิวเตอรพกพา ที่ประจาํ โตะทํางาน
   4.2 พื้นที่จดัเก็บขอ มูลคอมพิวเตอร(Data storage area) หมายถึง พื้นที่ศูนยของขอมูล (Data center) 5. การควบคุมการเขาออก อาคาร สถานที่
   5.1 กําหนดสิทธิ์ของผูใชงานและหนวยงานภายนอกในการเขาถึงสถานที่ โดยแบงแยกได ดังนี้ 5.1.1 ผูดูแลระบบตองกําหนดสิทธ์ิแกผูใชงานที่มีสิทธิ์เขา - ออก และกําหนดชวงระยะเวลาที่มีสิทธิ์ ในการเขา - ออกแตละพื้นที่ใชงานระบบเทคโนโลยีสารสนเทศอยางชัดเจน
   5.1.2 เจาหนาที่รักษาความปลอดภยั (รปภ.)จะตองใหหนวยงานภายนอก/บุคคลภายนอกแลกบัตรที่สามารถ ระบุตัวตนของบุคคลนั้น ๆกอ นเขาถึงอาคารของ รฟม. เชน บัตรประจําตัวประชาชน ใบอนุญาตขับข่ี เปนตน แลวบันทึกขอมูลบตัรในสมุดบันทกึหรือระบบงานสารสนเทศ
   5.1.3 หนวยงานภายนอก/บุคคลภายนอกที่มาติดตอตองติดบัตรผูติดตอ (Visitor) ตรงจุดที่สามารถเห็นได ชัดเจนตลอดเวลาท่ีอยูใน รฟม.และคืนบัตรผตู ิดตอ (Visitor) กอ นออกจากอาคารของ รฟม.
   5.1.4 เจาหนาท่ีรักษาความปลอดภัย (รปภ.) ตองตรวจสอบผูติดตอ อุปกรณพรอมลงเวลาออกที่สมุด บันทึกหรือระบบสารสนเทศใหถูกตอง
   5.2 ผูดูแลระบบ ตองควบคุมการเขา – ออกพื้นที่จัดเก็บขอมูลคอมพิวเตอร (Data Storage Area) ไมใหผูไมมีสิทธิ์ เขาถึงได โดยกําหนดพื้นที่การสงมอบสินคาและพื้นที่การเตรียมหรือประกอบอุปกรณสารสนเทศ (Unpack Area) กอนนําเขาพื้นที่จัดเก็บขอมูลคอมพิวเตอร (Data storage area) และตองควบคุม การ เขา - ออก เพื่อหลีกเลี่ยงการเขาถึงระบบสารสนเทศและขอมูลสารสนเทศโดยไมไดรับอนุญาต โดยปฏบิัตตามขั้นตอนที่ รฟม. กําหนด ิ
   8
   สวนที่ 4
   การจัดการทรัพยส ิน
   วัตถุประสงค
   ▪ เพื่อบริหารจัดการทรัพยสินสารสนเทศ ตั้งแตการจัดหา การใชงาน จนถึงการยกเลิกใชงาน โดยมีการระบุ ทรัพยสินขององคกรและกําหนดหนาที่ความรับผิดชอบในการปกปองทรัพยสินสารสนเทศอยางเหมาะสม ผูรับผิดชอบ
   ▪ ผูบงัคับบัญชา
   ▪ ผูดูแลระบบ
   ▪ เจาของขอมูล
   ▪ ผูใชงาน
   อางอิงมาตรฐาน: ISO/IEC 27001:2022
   ▪ มาตรการควบคุมดานองคกร (Organizational Controls)
   ▪ มาตรการควบคุมดานกายภาพ (Physical Controls)
   ▪ มาตรการควบคุมดานเทคโนโลยี (Technological Controls)
   แนวปฏิบัติ
7. หนาที่ความรับผดิชอบตอทรัพยสินสารสนเทศ (Responsibility for Assets)
   1.1 เจาของขอมูลและผูดูแลระบบ ตองรวมกันจัดทําบัญชีทรัพยสิน/ทะเบียนทรัพยสิน (Asset Inventory) และทบทวนทะเบียนทรัพยส ินอยางนอยปละ 1 ครั้ง หรือเมื่อมีการเปลี่ยนแปลงที่มีนัยสําคัญ
   1.2 เจาของขอมูลและผูดูแลระบบ ตองระบุเจาของทรัพยสินสารสนเทศทุกรายการ เพื่อรับผิดชอบดูแล ความม่ันคงปลอดภัยสารสนเทศตลอดวงจรอายุการใชงาน
   1.3 เจาของขอมูลและผูดูแลระบบ ตองเรียกคืนทรัพยสินสารสนเทศเมื่อสิ้นสุดหรือเปลี่ยนแปลงการจางงาน 1.4 ผูใชงานตองใชทรัพยสินสารสนเทศของ รฟม. อยา งระมัดระวัง และใชเพื่อปฏิบัติงานของ รฟม. เทานั้น รวมทั้งตองปฏิบัติตามกฎหมาย ระเบียบ ขอบังคับ และนโยบาย ของ รฟม.
8. การจําแนกประเภทของทรัพยสินสารสนเทศ (Asset Classification)
   2.1 เจาของขอมูลและผูดูแลระบบ ตองจําแนกประเภททรัพยสินตามขั้นตอนที่ รฟม. กําหนด และทบทวน การจําแนกดังกลาวอยา งสม่ําเสมอ
   2.2 เจาของขอมูลและผูดูแลระบบ ตองจัดทําปายชื่อทรัพยสินสารสนเทศ (Labeling) ใหชัดเจน พรอมทั้งจัดใหมี มาตรการดูแลการรกัษาความมั่นคงปลอดภัยสารสนเทศที่สอดคลองกับประเภททรัพยสินตามระดับชั้นความลบั ที่ รฟม. กําหนด
9. การจัดการสื่อบันทึกขอมูล (Media Handling)
   3.1 เจาของขอมูล ผูดูแลระบบ และผูใชงานตองควบคุมการใชงานและจัดเก็บสื่อบันทึกแบบถอดหรือตอพวง กับเครื่องคอมพิวเตอรได (Removable Media) ตามที่ รฟม. กําหนด
   3.2 เจาของขอมูลตองมีการเขารหัสขอมูลท่ีออนไหว (Sensitive Data) ของ รฟม. ที่จัดเก็บอยูในสื่อบันทึก แบบถอดได
   3.3 เจาของขอมูล ผูดูแลระบบ และผูใชงานตองทําลายขอมูลสําคัญในอุปกรณสื่อบันทึกขอมูล แฟมขอมูล ตามขั้นตอนท่ีรฟม. กําหนด โดยไมสามารถกูคืนขอมูลกลับมาไดอีกกอนจะกําจัดอุปกรณดังกลาวหรือ กอนที่จะอนุญาตใหผูอื่นนําอุปกรณนั้นไปใชงานตอเพื่อปองกันไมใหมีการเขาถึงขอมูลที่สําคัญได โดยพิจารณาวิธีการทาํลายขอมูลบนสื่อบันทึกขอ มลูแตละประเภท ดังนี้
   9
   ประเภทสื่อบันทึกขอมูล วิธีทําลาย กระดาษ ใหหั่นดวยเครื่องทําลายเอกสาร
   Flash Drive 1) ทําลายขอ มูลบน Flash Drive ตามมาตรฐาน DOD5220.22M ของกระทรวงกลาโหมสหรัฐอเมรกิา
   ซึ่งเปนการเขียนทับขอมูลเดิมหลายรอบ

2. ใชวิธีทบุ หรือบดใหเสียหาย
   แผน CD/DVD ใหหั่นดวยเครื่องทําลายเอกสาร
   เทป ใชวิธีทุบหรือบดใหเสียหายหรือเผาทําลาย
   ฮารดดิสก
   1. ทําลายขอมูลบนฮารดดิสกตามมาตรฐาน 
      DOD5220.22M ของกระทรวงกลาโหมสหรัฐอเมริกาซึ่งเปนการเขียนทับขอมูลเดิมหลายรอบ 2) ใชวิธีทุบหรือบดใหเสียหาย

3.4 เจาของขอมูลผูดูแลระบบ และผูใชงาน ตองมีการปองกันสื่อบันทึกขอ มูลที่ใชจัดเก็บขอมูลสารสนเทศในกรณี ที่มีการเคลื่อนยายเพื่อปองกันการเขาถึงขอมูลสารสนเทศโดยไมไดรับอนุญาต ถูกนําไปใชงานผิดวัตถุประสงค รวมถึงปองกันสื่อบันทึกขอมูลไมใหไดรับความเสียหาย โดยรักษาความปลอดภยัสารสนเทศตามขั้นตอนที่ รฟม. กาํ หนด
4. การบริหารจัดการคาคอนฟกูเรชัน (Configuration Management)
4.1 ผูบังคับบัญชาตองกําหนดใหมีแนวทางการบริหารจัดการคาคอนฟกูเรชัน (Configuration Management) 4.2 ผูดูแลระบบตองกําหนดคา Minimum Baseline Standard เพื่อเปนมาตรฐานในการการตั้งคาของ ระบบปฏิบัติการ ระบบฐานขอมูล ระบบงาน และอุปกรณเครือขายส่ือสารตาง ๆอยางเปนลายลักษณอักษร และตองการทบทวนปรับปรุงใหเปนปจจุบันอยางนอยปละ 1 ครั้ง
4.3 ผูดูแลระบบตองควบคมุ การเปลี่ยนแปลงการตั้งคาของระบบปฏิบัติการ ระบบฐานขอมูล ระบบงาน และ อุปกรณเครือขายสื่อสารตาง ๆ ตามขั้นตอนปฏิบัติการควบคุมการเปลี่ยนแปลงหรือแกไขระบบที่ รฟม. กําหนด
4.4 ผูดูแลระบบตองควบคุมเวอรชันของคาคอนฟกูเรชัน (System Configuration Version Control) 4.5 ผูดูแลระบบตองมีการสอบทานคาคอนฟกูเรชันของระบบปฏิบัติการ ระบบฐานขอมูล ระบบงาน และ อุปกรณเครือขายสื่อสารตาง ๆ อยางนอยปละ 1 ครั้ง
10
สวนที่ 5
การจัดหา การพัฒนา และการบํารุงรักษาระบบสารสนเทศ
วัตถุประสงค
▪ เพื่อควบคุมการจัดหา พัฒนา และบํารุงรักษาระบบสารสนเทศ ใหมีการกําหนดมาตรการการรักษาความมั่นคง ปลอดภัย เพื่อปองกันความผิดพลาด สูญหาย และการเปลี่ยนแปลงแกไขระบบ
ผูรับผิดชอบ
▪ ผูบังคับบัญชา
▪ ผูดูแลระบบ
อางอิงมาตรฐาน: ISO/IEC 27001:2022
▪ มาตรการควบคุมดานองคกร (Organizational Controls)
▪ มาตรการควบคุมดานเทคโนโลยี (Technological Controls)
แนวปฏิบัติ

1. ผูบังคับบัญชา ตองควบคุมใหมีการกําหนดขอตกลงและความรับผิดชอบที่เกี่ยวของกับความเสี่ยงดานความมั่นคง ปลอดภัยสารสนเทศลงในสัญญากับผูใหบริการภายนอก โดยใหครอบคลุมรวมถึงผูรับจางชวงดวย 2. ผูบังคับบัญชาตองควบคุมใหมีขอตกลง (Sign Off) กอนเริ่มใชงานระบบจริง (Production) หรือกอนเริ่ม Go Live 3. ผูดูแลระบบ ตองจัดทําขอกําหนดโดยระบุถึงการควบคุมความมั่นคงปลอดภัยดานสารสนเทศที่สอดคลองกับ นโยบายและแนวปฏิบัติดานความมั่นคงปลอดภัยสารสนเทศขององคกร เชน วิธีการแบบปลอดภัยในการพัฒนา โปรแกรมตามมาตรฐาน OWASP (Open Web Application Security Project) Top 10 หรือมาตรฐาน CWE (Common Weakness Enumeration) Top 25 หรือมาตรฐานที่ยอมรับในสากล
2. ผูดูแลระบบตองออกแบบโครงสรางการจัดวางระบบงานและเสนอผูบังคับบัญชาเห็นชอบกอนเริ่ม Go Live 5. ผูดูแลระบบ ตองมีการออกแบบระบบเพื่อตรวจสอบขอมูลที่จะรับเขาสูแอปพลิเคชัน ขอมูลที่เกิดจากการ ประมวลผล และขอมูลที่อยูระหวางการประมวลผล เพื่อตรวจหาและปองกันความไมถูกตองที่เกิดขึ้นกับขอมูล เชน หนวยความจําลน (Buffer Overflows) การใชตัวแปรผิดประเภท และตองมีมาตรการปองกันหรือควบคุม ความลมเหลวระหวางการประมวลผล (Rollback)
3. ผูดูแลระบบตองมีการควบคุมการเขาถึงและควบคุมการเปลี่ยนแปลงหรือแกไขระบบตามขั้นตอนที่ รฟม. กําหนด เพื่อควบคุมผลกระทบที่เกิดขึ้น
4. ผูดูแลระบบตองจํากัดใหมีการเปลี่ยนแปลงใด ๆ ตอซอฟตแวรที่ใชงาน (Software Package) โดยเปลี่ยนแปลง เฉพาะที่จําเปนเทานั้น และควบคุมทุก ๆ การเปลี่ยนแปลงอยางเขมงวดตามขั้นตอนที่ รฟม. กําหนด 8. ผูดูแลระบบตองจํากัดการเขาถึง Source Code ใหเขาถึงไดเฉพาะผูที่มีสิทธิ์เทานั้น 9. ผูดูแลระบบตองจัดทํา Source Code Review เพื่อหาขอผิดพลาดหรือสิ่งผิดปกติและปรับปรุง Source Code ใหมีคุณภาพ
5. ผูดูแลระบบตองควบคุมการจัดสง Source Code ผานชองทางที่มั่นคงปลอดภัยและเปนชองทางที่ รฟม. กําหนดใหใชงานเทานั้น
6. ผูดูแลระบบตองปดบังขอมูลสวนบุคคล (Data Masking) ที่จัดเก็บอยูในระบบงานสารสนเทศดวยวิธีการที่ เหมาะสม
7. ผูดูแลระบบตองแสดงขอมูลของผูใชงานอยางรัดกุม เชน การปดบังขอมูลสําคัญของผูใชงาน (Sensitive Data Masking) เปนตน
   11
8. กรณีของแอปพลิเคชันที่ใชงานผานอปุ กรณเคลื่อนที่ (Mobile device) ใหผูดูแลระบบดําเนนิการ ดังนี้ 13.1 ปดบังหนาจอเมื่อยอแอปพลิเคชัน (Application Blurring) เพื่อลดความเส่ียงที่ขอมูลสําคัญของผูใชงาน จะรั่วไหล
   13.2 ขอสิทธิ์เขาถึงทรัพยากรหรือบริการโดยแอปพลิเคชัน (Application Permission) บนอุปกรณเคลื่อนที่ ของผูใชงานเทาที่จําเปน และมีกระบวนการทบทวนการขอสิทธิ์เปนประจําเพื่อปองกันการละเมิดสิทธิ์ ความเปนสวนตัวของผูใชงาน
9. ผูดูแลระบบตองควบคุมขอมูลที่นํามาใชในการทดสอบระบบ (Test Data) อยางเหมาะสม โดยไมนําขอมูลจริง มาทดสอบ กรณีจําเปนตองใชขอมูลจริงตองไดรับอนุญาตขอมูลจากเจาของกอนนํามาใชงาน และทําลายขอมูล อยางเหมาะสมตามขั้นตอนที่ รฟม. กําหนด
10. ผูดูแลระบบตองแยกระบบสารสนเทศสําหรับการพัฒนา ทดสอบ และใชงานจริงออกจากกันเพื่อลดความเสี่ยง ที่เกิดจากการเปล่ียนแปลงระบบสารสนเทศโดยไมไดรับอนุญาต และตองมีการกําหนดสิทธิ์การเขาถึงระบบ สารสนเทศท่พีัฒนา ทดสอบ หรือใชงานจริง ทั้งระบบสารสนเทศใหม และการปรับปรุงแกไขระบบสารสนเทศเดิม
11. ผูดูแลระบบตองมีการกําหนดขั้นตอนการทดสอบระบบสารสนเทศกอนนําไปใชงานจริง ทั้งในกรณีปรับปรุงระบบ สารสนเทศเดมิและการพัฒนาระบบสารสนเทศใหม
12. ผูดูแลระบบตองติดต้ังซอฟตแวรบนระบบสารสนเทศที่ใหบริการ (Production) ตามขั้นตอนท่ีรฟม. กําหนด และจํากดัสิทธิ์การตดิตั้งซอฟตแวรเพื่อใหระบบสารสนเทศตาง ๆ มีความถูกตองครบถวนและนาเชื่อถือ 18. ผูดูแลระบบตองนําซอฟตแวรท ไมละเมิดลิขสิทธิ์ ี่ มาติดตั้งบนระบบสารสนเทศที่ใหบ รกิาร (Production) 19. ผูดูแลระบบตองกํากับดูแลใหผูรับจางปฏิบัติตามสัญญาหรือขอตกลงการใหบริการที่ระบุไว โดยครอบคลุมถึง ดานความมั่นคงปลอดภัยสารสนเทศ และการปฏิบัติตามขั้นตอนท่เีกี่ยวของตาง ๆ ที่ รฟม. กําหนดไว 20. ผูดูแลระบบ ตองติดตาม ตรวจสอบรายงาน หรือบันทกึการใหบริการของบุคคล/หนวยงานภายนอกท่ีใหบริการแก หนวยงานตามสัญญาวาจางอยางสม่ําเสมอ
13. ผูดูแลระบบ ตองดูแลใหทรัพยสินสารสนเทศไดรับการบํารุงรักษาและซอมแซมตามความตองการ รวมทั้งตอง มีการบนั ทึกประวัติการทํางานผิดปกติการบํารุงรักษา และการซอมแซมอุปกรณนั้น ๆ อยางสม่ําเสมอ 22. ผูดูแลระบบจะตองปดชองโหวของระบบสารสนเทศท่ีมีระดับความรุนแรงในระดับวกิฤติ(Critical) และระดับสูง (High) ทั้งหมดกอนนําไปใชงานจริง (Production) หรือกอนเริ่ม Go Live โดยเฉพาะระบบที่ใหบริการผานเครือขา ย อินเทอรเน็ต (Internet Facing) และระบบที่มคีวามสาํคัญตอการดําเนินงานของ รฟม.
14. ผูดูแลระบบตองพิจารณาเลือกใช Version ของ Software ดังน้ี
    23.1 กรณีนํา Software เดิมมาใชในการจดัหาหรือพฒั นาระบบ จะตองนําผลการตรวจสอบชองโหวและผลการทดสอบ เจาะระบบมาประกอบการพิจารณาคัดเลือกเวอรชันของ Software ดวย เพื่อปองกันไมใหเกิดชอ งโหวเดิม รวมถึงเพื่อลดภาระงานในการปดชองโหวเดิมซ้ํา
    23.2 กรณีเปน Software ที่ไมเคยนํามาใชงานใหเลือกใช  Software เวอรชันลาสุด

12
สวนที่ 6
การควบคมุ การเขาถงึระบบเทคโนโลยีสารสนเทศ
วัตถุประสงค
▪ เพื่อควบคุมการเขาถึงระบบเทคโนโลยีสารสนเทศตั้งแตการกําหนดสิทธิ์ กําหนดประเภทของขอมูล จัดลําดับ ความสําคัญหรือลําดับชั้นความลับของขอมูล ระดับชั้นการเขาถึง เวลาที่เขาถึงได และชองทางการเขาถึง ทั้งนี้ เพื่อควบคุมและปองกันการเขาถึง การลวงรู และการแกไขระบบสารสนเทศของ รฟม. โดยไมไดรับอนุญาต ผูรับผิดชอบ
▪ ผูดูแลระบบ
▪ เจาของขอมลู
▪ ผูใชงาน
อางอิงมาตรฐาน: ISO/IEC 27001:2022
▪ มาตรการควบคุมดานองคกร (Organizational Controls)
▪ มาตรการควบคุมดานเทคโนโลยี (Technological Controls)
แนวปฏิบัติ

1. การควบคุมการเขาถึงระบบสารสนเทศ (Access Control)
   1.1 เจาของขอมูลและผูดูแลระบบ ตองรวมกันกําหนดสิทธิ์ในการเขาถึงระบบสารสนเทศ (Authorization Matrix) ที่เหมาะสมและสอดคลองกับหนาที่ความรับผิดชอบของผูใชงาน และทบทวนเมื่อมีการเปล่ียนแปลง 1.2 เจาของขอมูลและผูดูแลระบบ ตองรวมกันกําหนดระดับการอนุมัติ (Authorization Level) การเขาถึงระบบ เทคโนโลยสีารสนเทศ
   1.3 เจาของขอมูลและผูดูแลระบบ ตองจัดใหมีการแบงแยกหนาที่ความรับผิดชอบ (Segregation of duties) ในการเขาถึงระบบเทคโนโลยีสารสนเทศอยางเหมาะสม เชน มกีารแบงแยกหนาที่ระหวางการแจงความประสงค การเขาถึงและการอนุมตัิการเขาถึง เปนตน
   1.4 กรณีของแอปพลิเคชันที่ใชงานผานอปุ กรณเคลื่อนที่ (Mobile device) ผูดูแลระบบตองปฏิบัติดังน้ี 1.4.1 ไมอนุญาตใหอุปกรณเคลื่อนท่ีที่ใชระบบปฏิบัติการลาสมัย(Obsolete Operating System) เขาใชงาน แอปพลิเคชัน หรือหากอนญุ าตใหใชบริการไดควรมีมาตรการรองรับเพื่อลดความเสี่ยงที่ รฟม.จะไดรับ รวมถึงลดผลกระทบตอผูใชงานตามความเหมาะสม เชน การเพิ่มมาตรการยืนยันตัวตน เปนตน 1.4.2 ไมอนุญาตใหอุปกรณที่มีการปรับแตงการเขาถึงระบบปฏิบัติการ (Rooted/Jailbroken) เขาใชงาน แอปพลิเคชัน เพื่อลดความเสี่ยงที่ผูไมประสงคดีสามารถเขาถึงขอมูลสําคัญของผูใชงานและละเมิด หรือหลีกเลี่ยงมาตรการการรักษาความมั่นคงปลอดภัยที่ รฟม. กําหนดไว
   1.4.3 ไมอนุญาตใหผูใชงานใชแอปพลิเคชันเวอรชันต่ํากวาที่ รฟม. กําหนด เพ่อืใหแอปพลิเคชันมีการ รักษาความมั่นคงปลอดภัยเปนไปตามมาตรฐานของ รฟม.
   1.5 ขั้นตอนปฏบิัติเพื่อการจัดเก็บขอมูล
   เจาของขอมูล ผูดูแลระบบ และผูใชงาน ตองปฏิบัติดังนี้
   1.5.1 แบงประเภทขอมูล ดังนี้

1. ขอมูลและสารสนเทศสาํ หรับสนับสนุนการตัดสินใจของผูบริหาร ไดแก ขอมูลสารสนเทศที่มี ความสําคัญหรือมีความจําเปนเรงดวนที่ตองติดตามอยางใกลชิดเพื่อประกอบการตดัสินใจ เชิงนโยบาย กําหนดนโยบาย และการวางแผนของผูบริหารระดับสูง
   13
2. ขอมูลและสารสนเทศสนับสนุนเชิงยุทธศาสตร (Strategy Data) ไดแก ขอมูลและสารสนเทศ เชงิวิชาการเพื่อสนับสนุนการดาํ เนินงานตามพันธกิจและยุทธศาสตรของ รฟม. ใหบรรลุเปาหมาย รวมทั้งขอมูลที่เผยแพรแกผูรับบริการภายนอก
3. ขอมูลและสารสนเทศท่ีสนับสนุนการปฏิบัติงานประจํา (Operation Data) ไดแก ขอมูลที่
   สนับสนุนการทาํ งานทั่วไปของ รฟม.
   1.5.2 จัดแบงระดับความสําคัญของขอมูล ออกเปน 3 ระดับ คือ
4. ขอมลู ท่มีีระดับความสําคัญมาก หมายถึงขอมูลที่ใชสาํ หรับสนับสนุนการตดัสนิใจของผูบริหาร 2) ขอมลู ท่มีีระดับความสําคัญปานกลาง หมายถึง ขอมูลที่ใชปฏิบัติงานเฉพาะกลุมงาน แผนก กอง หรือฝาย/สํานัก/สํานักงาน ภายในองคกร
5. ขอมูลที่มีระดับความสําคัญนอย หมายถึง ขอมูลที่พนักงาน/ลูกจางภายใน รฟม. สามารถ เขาถึงรวมกันไดหรือสามารถเผยแพรได
   1.5.3 จัดแบงลําดับชั้นความลับของขอมูลตามที่ รฟม. กําหนด
   1.5.4 จัดแบงระดับชั้นการเขาถึง
6. ระดับชั้นสําหรับผูบริหาร เขาถึงไดตามอาํ นาจหนาที่และภารกิจท่ไีดรับมอบหมาย
7. ระดับชั้นสําหรับผูปฏิบัติงานทั่วไป เขาถึงขอมลู ที่ไดรับมอบหมายตามอํานาจหนาที่
8. ระดับชั้นสําหรับผูดูแลระบบหรือผูที่ไดมอบหมาย มีสิทธิ์ในการบริหารจัดการระบบและเขาถึง ขอมูลที่ไดรับมอบหมายตามอํานาจหนาที่
   1.6 เจาของขอมูลและผูดูแลระบบตองกําหนดเวลาการเขาถึงระบบสารสนเทศ
   1.7 ผูดูแลระบบตองจํากัดชองทางการเขาถึงระบบเทคโนโลยีสารสนเทศตามชองทาง ดังนี้ 1) เครือขายภายในของ รฟม.
9. เครือขายภายนอก รฟม.
10. เครือขายอ่นื ที่จัดไวใหเชน ระบบเครือขายสื่อสารขอ มูล GIN
    1.8 ผูดูแลระบบตองกํากับดูแล Default Permission ของไฟล (File) และ โฟลเดอร(Folder) ที่สรางขึ้นใหมี การจํากัดสิทธิ์ในการเขาถึง
    1.9 เจาของขอมูลและผูดูแลระบบ ตองพิจารณาขอกําหนดตางๆ ท่ีมีผลทางกฎหมายซ่ึงเกี่ยวของกับการรักษา ความมั่นคงปลอดภัยสารสนเทศของ รฟม. เชน พระราชบัญญัติ ขอกําหนดทางกฎหมาย ขอกําหนดในสัญญา และขอกําหนดทางดานความมั่นคงปลอดภัยอื่น ๆ เปนตน เพื่อกําหนดสิทธิ์การเขาถึงสารสนเทศและระบบ เทคโนโลยสีารสนเทศของ รฟม.
    1.10 เจาของขอมูลและผูดูแลระบบ ตองมกีารสอบทานสิทธิ์ในการเขาถึงระบบเทคโนโลยีสารสนเทศอยางสม่ําเสมอ พรอมทั้งเพิกถอนสิทธิ์เม่อืพบเห็นสิทธิ์ที่ไมถูกตองตามสทิธิ์ในการเขาถึง (Authorization Matrix) 2. การบริหารจัดการการเขาถงึของผูใชงาน (User Access Management)
    ใหมีการควบคุมการลงทะเบียนผูใชงาน การบริหารจดัการรหัสผาน การบริหารจัดการสิทธิ์การใชงานระบบเทคโนโลยี สารสนเทศ และการทบทวนสทิธิ์การเขาถึงของผูใชงาน
    2.1 การลงทะเบียนผูใชงาน (User Registration)
    2.1.1 ผูดูแลระบบตองบริหารจัดการและควบคุมบัญชีชื่อผูใชงาน (Username) มิใหมีการใชงานบัญชี ชื่อผูใชงานซ้ํากัน ทั้งนี้ในสวนของพนักงาน/ลูกจาง รฟม. ใหกําหนดช่ือผูใชงาน (Username) ตามมาตรฐานจดหมายอิเล็กทรอนิกส (Email) ท่ใีชในองคกร
    2.1.2 เจาของขอมูลตองเปนผูอนุมัติการสรางบัญชีผูใชงานชั่วคราว (Temporary User) และตองจํากัด ชวงเวลาการใชงานเทาที่จําเปน
    14
    2.2 การบริหารจัดการรหัสผาน (User Password Management)
    2.2.1 ผูดูแลระบบตองกาํ หนดรหัสผานแบบชั่วคราวโดยใชวิธีการสุม และบังคับใหมีการเปลี่ยนรหัสผาน เมื่อผูใชงานเขาใชงานระบบในครั้งแรก
    2.2.2 ผูดูแลระบบตองกาํ หนดความยาวของรหัสผาน ดงันี้
11. ผูดูแลระบบมคีวามยาวอยางนอย 16 หลัก
12. ผูใชงานมคีวามยาวอยางนอย 12 หลัก
    2.2.3 ผูดูแลระบบตองกําหนดใหมีการยืนยันตัวตนแบบหลายปจจัย (Multi-Factor Authentication) ตามความเหมาะสม
    2.2.4 ผูดูแลระบบตองกําหนดใหรหัสผานมีความซับซอน โดยประกอบดวย ตัวอักษร ตัวเลข และอักขระ พิเศษ เชน (a-Z) (0-9) (@ , # , & , “ , ‘ , *, =, < , > , % , $ , + , ?) เปนตน
    2.2.5 ผูดูแลระบบตองกําหนดใหมีการเปลี่ยนแปลงรหัสผา น ดังนี้
13. ผูดูแลระบบตองเปลี่ยนรหสัผา นทุก ๆ3 เดือน และไมซ้ํากับรหัสผานเดิม 3ครั้งกอนหนา 2) ผูใชงานตองเปลี่ยนรหัสผานทุก ๆ 6 เดือน และไมซ้ํากับรหัสผานเดิม 3 ครั้งกอนหนา 3) ผูใชงานเชิงระบบ (System account) ใหพจิารณาเปลี่ยนรหัสผานตามความเหมาะสม 2.2.6 ผูดูแลระบบตองกําหนดใหมีการเขารหัสขอมูลรหัสผานในระบบ
    2.2.7 ผูดูแลระบบตองจัดใหมีการควบคุมรหัสผานอยางเขมงวด
    2.2.8 ผูดูแลระบบตองจัดสงบญั ชีชื่อผูใชงาน (Username)และรหสัผาน (Password) ดวยวิธีการที่ปลอดภัย 2.2.9 ผูดูแลระบบตองควบคุมดูแลระบบปฏิบัติการ ระบบฐานขอมูล และระบบงานสารสนเทศ (Application) ที่จัดเก็บบัญชีผูใชงานและรหัสผานอยางเขมงวด โดยใหเขาถึงไดเฉพาะผูดูแลระบบที่ไดรับอนุญาต เทานั้น
    2.2.10 ผูดูแลระบบตองกําหนดวิธีการหรือกระบวนการยนืยันตัวตนที่ปลอดภัย เชน กรณีที่ลืมรหัสผาน 2.2.11 ผูดูแลระบบตองกําหนดใหผูใชบริการ ใชรหัสผานอยา งมั่นคงปลอดภัย ดังน้ ี กรณีแอปพลเิคชันทั่วไป
14. กําหนดความยาวรหัสผานอยางนอย 12 หลัก ซึ่งประกอบดวย ตัวอักษร ตัวเลข และ อักขระพิเศษ เชน (a-Z) (0-9) (@ , # , & , “ , ‘ , *, =, < , > , % , $ , + , ?) เปนตน
15. รหัสผานตองไมเปนคําที่คาดเดาไดงาย เชน คําที่อยูในพจนานุกรม ช่ือ-นามสกุล วันเดือนปเกิด ที่อยู หรือเบอรโทรศัพทเปนตน
16. ไมบังคับใหเปลี่ยนรหัสผาน ทั้งนี้ขึ้นอยูกับความสมัครใจในการเปลี่ยนรหัสผาน และระบบ ตองรองรับการเปล่ยีนรหัสผานในกรณีตาง ๆ ดวยวิธีการที่ปลอดภัย
    กรณีแอปพลเิคชันที่ใชงานผานอุปกรณเคลื่อนท่ี(Mobile device)
17. กําหนดรหัสผานโดยใช PIN code หรือรหัสผานท่ซีับซอน (PIN/Password Complexity) โดยกรณี PIN Code ตองใชรหัสผา น 6 หลักขึ้นไป
18. ไมบังคับใหเปลี่ยนรหัสผาน ทั้งนี้ขึ้นอยูกับความสมัครใจในการเปลี่ยนรหัสผาน และ ระบบตองรองรับการเปลี่ยนรหัสผานในกรณีตาง ๆ ดวยวิธีการที่ปลอดภัย
    2.2.12 ผูดูแลระบบและผใูชงานตองใชรหัสผานอยางปลอดภัย ดังน้ี
19. ตองกําหนดรหัสผานที่ไมสามารถคาดเดาไดงาย เชน คําที่อยูในพจนานุกรม “qwerty”
    “abcde” “12345” ชื่อ-นามสกุล วันเดือนปเกิด ที่อยู หรือเบอรโทรศัพท เปนตน
20. ตองไมใชงานรหัสผานโดยการเขาใชงานโดยอัตโนมัติ ไดแก การกําหนดคา “Remember Password” เปนตน
    15
21. ตองเก็บรหัสผานไวเปนความลับเฉพาะบุคคล ไมเปดเผยใหผูอื่นรับทราบ และไมพิมพ รหัสผานในลักษณะเปดเผย เชน พิมพรหัสผา นตอหนาผูใชงานคนอ่นื เปนตน
22. ตองไมใชบัญชีชื่อผูใชงานและรหัสผานรวมกันกับผูอื่น แมวาบัญชีชื่อผูใชงานจะไดรับการ อนุญาตจากเจาของช่อืผูใชงานบุคคลนั้นก็ตาม
23. ตองเปลี่ยนแปลงรหัสผานเมื่อมีการแจงเตือนจากระบบ หรือสงสัยวารหัสผานลวงรู โดยบุคคลอื่น
    2.3 การบริหารจัดการสิทธิ์ (Privilege Management)
    2.3.1 ผูบังคับบัญชาตองกําหนดใหม ีขั้นตอนปฏิบัติสําหรับการลงทะเบียน การเพิ่มสิทธิ์ การเพิกถอนสิทธิ์ การเปลี่ยนแปลงสิทธิ์ และการทบทวนสิทธิ์ของผูใชงานอยางเปนลายลักษณอักษร
    2.3.2 กําหนดสิทธิ์ที่เหมาะสมกับผูใชงานตามความจําเปนและสอดคลองกับหนาที่ความรับผิดชอบและ จัดเก็บประวัติ (Log) การลงทะเบียน การเพิ่มสิทธิ์ การเพิกถอนสิทธิ์ และการเปลี่ยนแปลงสิทธิ์ ของผูใชงาน
    2.3.3 เจาของขอมูลและผูดูแลระบบ ตองจัดใหมีการควบคุมและจํากัดสิทธิ์ในการใชงานระบบตาม ความจําเปน ในการใชงานเทาน้นั
24. สิทธิ์ในการสรางขอมูล (Create)
25. สิทธิ์ในการอานขอมูลหรือเรียกดขู อมูล (Read)
26. สิทธิ์ในการปรับปรงุขอ มูล (Modify / Update)
27. สิทธิ์ในการลบขอมูล (Delete)
28. สิทธิ์ในการมอบหมายสิทธิ์ในการดําเนินการแทน (Assign)
29. สิทธิ์ในการรับรองความถูกตองครบถวนของขอมูล (Approve/Authenticate)
30. ไมม ีสิทธ์ิ
    2.3.4 เจาของขอมูลและผูดูแลระบบตองเปนผูอนุมัติการใหสิทธิ์เพื่อเขาถึงสารสนเทศหรือระบบ เทคโนโลยสีารสนเทศใด ๆ อยางเปนลายลักษณอักษร
    2.3.5 เจาของขอมูลและผูดูแลระบบ ตองจํากัดจํานวนผูใชงานที่ทําหนาที่เปนผูใหสิทธิ์กับผูใชงาน ใหนอยที่สุดตามความเหมาะสม
    2.3.6 เจาของขอมูลและผูดูแลระบบ ตองจํากัดระยะเวลาการใชงานระบบเทคโนโลยีสารสนเทศของ รฟม. แกหนวยงานภายนอกที่เขามาปฏิบัติงานรวมกับ รฟม.
    2.3.7 เจาของขอมูลและผูดูแลระบบ ตองจัดใหมีการถอดถอนสิทธิ์หรือเปลี่ยนแปลงสิทธิ์การเขาถึงทันที เมื่อผูใชงานเกษียณ เปลี่ยนแปลงหนาที่ความรับผิดชอบ เปลี่ยนแปลงการจางงาน หรือไมมีความจําเปน ในการใชงานระบบเทคโนโลยีสารสนเทศ
    2.3.8 ผูดูแลระบบตองลบหรือระงับการใชงานสิทธิ์ของผูใชงานที่มากบัระบบ (Default User) ในกรณีท่ีมี ความจําเปนตองใชงานตองกําหนดรหัสผา นอยา งมั่นคงปลอดภัย
    2.4 การทบทวนสิทธ์กิารเขาถึงของผูใชงาน (Review of User Access Rights)
    2.4.1 เจาของขอมูลและผูดแูลระบบ ตองมีการสอบทานสิทธ์ิการเขาถึงของผูใชงานระบบเมื่อ รฟม. มีการ เปลี่ยนแปลงระบบเทคโนโลยสีารสนเทศหรอืโครงสรางองคกร
    2.4.2 ผูดูแลระบบ ตองมีการสอบทานและระงับการใชงานบัญชีผูใชงานที่ไมไดใชงานนานเกิน 180 วัน หากผูใชงานตองการกลับมาใชงานจะตองยืนยันตัวตนให ฝทท. ทราบ ทั้งนี้ ระยะเวลาที่ไมไดใชงาน ของบัญชีผใูชงานอาจจะขนึ้อยกู ับแตละระบบสารสนเทศ
    16

3. การปองกันอุปกรณที่ไมมีผูดูแล และการควบคุมการไมทิ้งสินทรัพยสารสนเทศสําคญั ไวในที่ที่ไมปลอดภัย 3.1 การปองกันอุปกรณที่ไมมีผูดูแล (Unattended User Equipment)
   3.1.1 ผูดูแลระบบตองจัดใหมีมาตรการสําหรับปองกันระบบคอมพิวเตอร ระบบเครือขายสื่อสารขอมูล และระบบเทคโนโลยีสารสนเทศ โดยการกําหนดคาของระบบ (Configuration) ใหมีการล็อกหนาจอ สําหรบัอุปกรณที่ไมมีพนักงานดูแล หรือล็อกอุปกรณอยูเสมอ
   3.1.2 ผูใชงานและหนวยงานภายนอก/บคุ คลภายนอก ตองล็อกหนาจออัตโนมัติเมื่อไมมีการใชงานระบบ เทคโนโลยสีารสนเทศของ รฟม.ตามระยะเวลาที่กําหนดโดยตองพักหนาจอ (ScreenSaver)อตัโนมัติ หลังจากที่ไมมีการใชงานคอมพิวเตอรเปนระยะเวลานานกวา 15 นาทีผูใชงานและหนวยงานภายนอก/ บุคคลภายนอกจะใชงานตอไดเมื่อมีการใสรหัสผานที่ถูกตอง
   3.1.3 ผูใชงานตอง Logout ออกจากเครื่องคอมพิวเตอรเมื่อมีความจําเปนตองละทิ้งเครื่องคอมพิวเตอร 3.1.4 ผูใชงานตองปองกันไมใหผูอื่นใชอุปกรณ เชน กลองดิจิทัล เครื่องสําเนาเอกสาร เครื่องสแกน เอกสารโดยไมไดรับอนุญาต
   3.2 การควบคุมสินทรัพยส ารสนเทศและการใชงานระบบคอมพิวเตอร (Clear Desk and Clear Screen Control) 3.2.1 ผูบังคับบัญชาตองกําหนดใหมีผูรับผิดชอบในการดูแลสถานที่ที่มีการรับ - สงแฟกซหรือจดหมาย เขา – ออก
   3.2.2 ผูใชงานตองออกจากระบบคอมพิวเตอร (Logout) ทันทีเม่อืจําเปนตองปลอยท้งิโดยไมมีผดู ูแล 3.2.3 ผูใชงานตองจัดเก็บขอมูลสําคัญแยกตางหาก และปองกันใหมีความปลอดภัยอยางพอเพียง 3.2.4 ผูใชงานตองนาํ เอกสารออกจากเครื่องพิมพท ันทีที่พิมพงานเสร็จ
4. การควบคุมการเขาถึงเครือขาย (Network Access Control)
   ใหมีการควบคมุ การใชงานบริการเครือขายการควบคุมการพิสูจนตัวตนสําหรบัผใูชงานที่อยูภายนอกรฟม.การควบคุม การพิสูจนตัวตนอุปกรณบนเครือขาย การปองกันพอรต (Port) ที่ใชสําหรับตรวจสอบและปรับแตงระบบ การแบงแยก เครือขาย (Segregation in networks) อยางเหมาะสม การควบคุมการเชื่อมตอทางเครือขาย และการควบคุม การกําหนดเสนทางบนเครือขาย
   4.1 การใชงานบรกิารเครือขาย (Use of Network Services)
   4.1.1 ผูดูแลระบบตองควบคุมการเผยแพรแผนผังระบบเครือขายสื่อสารขอมูล (Network Diagram) รวมถึงโครงสราง IP Address ชื่อระบบ และชื่ออุปกรณสารสนเทศแกผูที่ไมไดรับอนุญาตหรือ หนวยงานภายนอก/บุคคลภายนอก
   4.1.2 ผูดูแลระบบตองควบคุมการใชงานระบบเครือขายสื่อสารขอมูลเพื่อปองกันการเขาถึงระบบเครือขาย สื่อสารขอมูลและบริการของระบบเครือขายสื่อสารขอมูลโดยไมไดรับอนุญาต
   4.1.3 ผูดูแลระบบตองควบคุมการเชื่อมตอเครือขายภายนอก เพื่อใชงานอินเทอรเน็ต ซึ่งอาจเปนชองทางให หนวยงานภายนอก/บุคคลภายนอกเขาถึงสารสนเทศหรือระบบเทคโนโลยสีารสนเทศของ รฟม. โดยมิไดรับอนุญาต
   4.1.4 ผูใชงานตองแจงความประสงคในการขอใชงานบริการเครือขายแก ฝทท. และสามารถใชบริการ เครือขายไดหลังจากไดรับการอนุมัติจาก ฝทท. แลว
   4.1.5 ผูใชงาน ตองไมใชระบบเครือขายสื่อสารขอมลู เพ่ือเปนชองทางในการเจาะระบบ (Hacking) หรือ การสแกนชอ งโหวของระบบโดยมิไดรับอนุญาต
   4.2 การพิสจู นต ัวตนของผูใชงานที่อยูภายนอก รฟม. (User Authentication for External Connections) ผูดูแลระบบตองกําหนดใหมีการพิสูจนตัวตนผานระบบ Active Directory ของ รฟม. กอนอนุญาตให ผูใชงานที่อยูภายนอก รฟม. เขาใชงานเครือขายและระบบสารสนเทศของ รฟม.
   17
   4.3 การพิสูจนตัวตนของอุปกรณในระบบเครือขายสื่อสารขอมูล (Equipment Identification in Networks) ผูดูแลระบบตองกําหนดใหมีการพิสูจนตัวตนของอุปกรณในระบบเครือขายสื่อสารขอมูล ไดแก การตรวจสอบ MAC Address
   4.4 การปองกันพอรตที่ใชสําหรับตรวจสอบและปรับแตงระบบ (Remote Diagnostic and Configuration Port Protection)
   ผูดูแลระบบตองระงับบริการและพอรต (Port) ที่ไมมีความจําเปนตองใชบนเครื่องคอมพิวเตอรหรือ อุปกรณเครือขาย
   4.5 ผูดูแลระบบตองติดตั้งระบบตรวจจับการบุกรุก (Instrusion Prevention System/ Instrusion Detection System) ของระบบเครือขาย
   4.6 การแบงแยกเครือขาย (Segregation in Networks)
   4.6.1 ผูดูแลระบบตองจัดใหมีการแบงแยกเครือขายตามกลุมของผูใชงาน หรือกลุมของระบบเทคโนโลยี สารสนเทศ เพื่อควบคุมการใชงานในแตละเครือขายยอยอยางเหมาะสม โดยพิจารณาจากความตองการ ในการเขาถึงขอมูล ระดับความสําคัญของขอมูล รวมถึงการพิจารณาดานราคา ประสิทธิภาพ และ ผลกระทบทางดานความปลอดภัยดังตอไปนี้

1. เครือขายที่อนุญาตใหเขาถึงจากภายนอกและเครือขายที่ใชภายใน รฟม.
2. เครือขายแอปพลิเคชัน (Application) ที่มีความสําคัญกับเครือขายอื่น ๆ ที่มีความสําคัญ
   นอยกวา
3. เครือขายสําหรับเครื่องใหบริการ (Server Farm) กับเครือขายของผูใชงาน ควรมีการ ติดตั้งอุปกรณที่สามารถแบงแยกเครือขายไดเชน Firewall หรือ Switch ที่สามารถ แบง VLAN ไดเปนตน
   4.6.2 ผูดูแลระบบจะกําหนดเสนทางบนเครือขายที่เขมงวด เพื่อจํากัดการเขาถึงระยะไกลไปเฉพาะเครือขาย ที่กําหนดเทานั้น
   4.6.3 ผูดูแลระบบตองตั้งคา (Configuration) อุปกรณเครือขายเชน Firewall หรือ Router มิใหสามารถ บริหารจัดการจากภายนอกเครือขายไดเวนแตในกรณีฉุกเฉินซึ่งตองไดรับการอนุญาตจากผูดูแลระบบ เทานั้น
   4.7 การควบคุมการเชื่อมตอทางเครือขาย (Network Connection Control)
   4.7.1 ผูดูแลระบบตองจํากัดการใชงานเครือขายของผูใชงานในการเชื่อมตอกับเครือขายของ รฟม. เชน Router หรือ Firewall เปนตน พรอมทั้งติดตั้งระบบควบคุมเพื่อกลั่นกรองขอมูลที่รับ - สง เชน Web Filtering, Email Filtering เปนตน เพื่อทําใหการเชื่อมตอมีความปลอดภัย
   4.7.2 ผูดูแลระบบตองติดตั้ง Firewall ระหวางเครือขายของ รฟม. กับเครือขายภายนอก ทั้งนี้ การติดตั้ง Firewall ตองพิจารณาเรื่องดังตอไปนี้
4. การปองกันการจราจรจากภายนอก ตองถูกกําหนดใหใชเสนทางที่ผาน First Tier Firewall ที่มีความมั่นคงปลอดภัยเพื่อปองกันทรัพยสินสารสนเทศของ รฟม. และ โครงสรางพื้นฐานที่มีความสําคัญจากการเขาถึงที่ไมไดรับอนุญาต
5. Firewall ตองระบุตัวตนและพิสูจนตัวตนของผูใชงานกอนที่จะใหสิทธิ์การเขาถึง อินเทอรเฟส (Interface) เพื่อการบริหารจัดการ Firewall
6. Firewall ตองตั้งคาใหระงับบัญชีผูใชงานหลังจากมีความพยายามที่จะเขาสูระบบ ไมสําเร็จ 5 ครั้ง การยกเลิกการระงับตองดําเนินการโดย ฝทท.
7. ไมอนุญาตใหพิสูจนตัวตนผานทางอินเทอรเฟส (Interface) การจัดการ Firewall จากระยะไกล (Remote)
   18
8. ผูที่ไดรบัการมอบหมายจาก ฝทท. เทานั้นที่มีสิทธิ์ที่จะเปลี่ยนการตั้งคา ดานความปลอดภัย บน Firewall
9. Firewall ตองตั้งคา ใหบันทึกเหตุการณดานความม่นัคงปลอดภัย
10. Firewall ตองไดรับการสอบทาน ทดสอบ และตรวจสอบอยางสม่ําเสมอ
11. Firewall ตองถูกบริหารจัดการผานทางการติดตอส่อืสารที่มีการเขารหัส
12. ตองปดบริการและพอรต (Port) ที่ไมจําเปนตองใชบน Firewall
13. Firewall ประเภทซอฟตแวร (Software) ตองติดตั้งบนเครื่องคอมพิวเตอรแมขาย แยกตางหาก
14. Firewall ตองสามารถปองกันตัวเองจากการโจมตี DOS (Denial of service) ได อยางเชน Ping, Sweeps หรือ TCP SYN Floods เปนตน
15. ตองใชเวอรชันของซอฟตแวร (Software) Firewall และระบบปฏิบัติการที่เจาของ ผลิตภัณฑยังใหการสนับสนุน
16. ผูดูแล Firewallตองติดตามขอมูลชองโหวจากผใูหบริการ(Vendor) เพื่อรบั ทราบขาวสาร การ Upgrade และแพ็ตช (Patch) ที่จําเปน และตองติดตั้งแพ็ตช (Patch) ทั้งหมด
    ที่เกี่ยวของ
    4.7.3 ผูดูแลระบบตองติดต้ัง Firewall เพ่ือแบงแยก Zone ใหมีการใช DMZ (Demilitarized zone) โดยตองพิจารณาเรื่องดังตอไปน้ี
17. เครื่องคอมพิวเตอรแมขายที่ใหบริการผานอินเทอรเน็ต เชน FTP, Email, Web และ
    External DNS server เปนตน ตองติดตั้งอยูใน DMZ
18. การเขาถึงจากระยะไกลตองพิสูจนต ัวตนที่ Firewall หรือผานบริการที่อยูใน DMZ
19. DNS Servers ตองไมอนุญาตใหมีการแลกเปลี่ยนโซน (Zone Transfers) เวนแต
    มีเหตุจําเปน
    4.8 การควบคุมการกําหนดเสนทางบนเครือขา ย (Network Routing Control)
    ผูดูแลระบบตองควบคุมการกําหนดเสนทางบนเครือขายเพื่อใหม่ันใจวาการเชื่อมตอเครื่องคอมพิวเตอร และการไหลเวียนของสารสนเทศบนเครือขาย โดยมีกลไกในการตรวจสอบที่อยูปลายทางและตนทางของ การเชื่อมตอ เชน การควบคุมโดย Firewall หรือ Proxy เปนตน

5. การควบคุมการเขาถึงระบบปฏิบัติการ (Operating system Access Control)
   ใหมีการควบคุมการเขาถึงระบบปฏิบัติการอยางมั่นคงปลอดภัย การควบคุมการระบุและพิสูจนตัวตนของผูใชงาน การควบคุมระบบบริหารจัดการรหัสผาน การควบคุมการใชงานโปรแกรมประเภทยูทิลิตี้ (System Utilities) การควบคุมการหมดเวลาการใชงานระบบเทคโนโลยีสารสนเทศ และควบคุมการจํากัดระยะเวลาการเชื่อมตอ ระบบเทคโนโลยสีารสนเทศ
   5.1 ขั้นตอนปฏบิัติในการเขาถึงระบบอยางมั่นคงปลอดภัย (Secure Logon Procedures) 5.1.1 ผูดูแลระบบ ตองจัดใหมีการควบคุมการเขาถึงระบบปฏิบัติการอยางมั่นคงปลอดภัย โดยขั้นตอน การเขาสูระบบตองเปดเผยขอมูลเกี่ยวกับระบบใหนอยที่สุดเพื่อหลีกเลี่ยงผูใชงานท่ไีมไดรับอนุญาต ซึ่งขั้นตอนการ Logon ตองพิจารณา ดังนี้

1. หากกระบวนการเขาสูระบบไมสําเร็จ ระบบตองไมแสดงขอมูลของระบบหรือแอปพลิเคชัน (Application) ที่ใชงานอยู
2. ระบบตองแสดงขอความเตือนผูใชงานวาสามารถเขาใชงานเครื่องคอมพิวเตอรไดเฉพาะ ผูที่มีสิทธิ์เทานั้น
3. หากกระบวนการเขาสูระบบไมสําเร็จ ระบบตองไมแสดงขอมูลที่สามารถระบุตัวตนของระบบ เชน เครือขายที่ใชงาน สถานที่ตั้งของระบบ หรือช่อืเครื่องคอมพิวเตอรแมขาย เปนตน
   19
4. ระบบตองไมแสดงขอความท่ชีี้เฉพาะเหตุของการเขาสูระบบไมสําเร็จ เชน ไมแสดงขอความวา บัญชีผูใชงานผิด หรือ รหัสผานผดิ เปนตน
5. หามเขาสูระบบจากบัญชีผูใชงานสว นบุคคลเดียวกันมากกวาหนึ่ง Session ในระบบเดยีวกัน 6) ระบบตองจํากัดจํานวนครั้งในการพยายามเขาสูระบบท่ีไมสําเร็จ และตองพิจารณาเงื่อนไข ตอไปนี้
   (ก) การเก็บบันทึกผลการเขาสูระบบทั้งที่สําเร็จและไมสําเรจ็
   (ข) หนวงระยะเวลาในการเขาใชงานระบบครั้งตอไป
   (ค) การตัดการเชื่อมตอ
   (ง) การแสดงขอความเตอืนที่หนาจอของผูดูแลระบบเมื่อมีการเขาสูระบบเกินจํานวนครั้ง ที่จํากัดไว
6. ระบบตองแสดงวัน เวลา ในการเขาสูระบบที่สําเร็จในคร้งักอน พรอมทั้งบันทึกจํานวนครั้ง ที่พยายามเขาไมสําเร็จนับแตการเขาสูระบบที่สําเร็จในครั้งกอนของผูใชงาน
7. ระบบตองไมสงรหัสผานแบบ Clear Text ผานระบบเครือขายส่อืสารขอมูล
8. ผูดูแลระบบตองกําหนดจํานวนคร้งัที่ยอมใหใสรหัสผานผิดไดไมเกิน 5 ครั้ง
   5.2 การระบุและพิสูจนตัวตนของผูใชงาน (User Identification and Authentication) ผูดูแลระบบ ตองจัดใหผูใชงานมีบัญชีผูใชงานของแตละบุคคลเพื่อใชพิสูจนตัวตนในการเขาถึงระบบเทคโนโลยี สารสนเทศ และตองใชระบบเทคโนโลยีสารสนเทศพิสูจนตัวตนผูใชงานในการเขาถึงระบบปฏิบัติการผานระบบ Active Directory (AD) หรือ Lightweight Directory Access Protocol (LDAP) ทุกครั้ง พรอมทั้งบันทึก ขอมูลการเขาถึง
   5.3 การใชงานโปรแกรมประเภทยูทิลติี้ (Use of System Utilities)
   ผูดูแลระบบ ตองควบคุมการใชงานโปรแกรมประเภทยูทิลิตี้บนระบบที่ใชงานจริง (Production System) ดังนี้ 5.3.1 ตองจัดทําบัญชีโปรแกรมประเภทยูทลิิตี้(System Utilities) ท่นีาํ มาใชงาน 5.3.2 กําหนดความรับผิดชอบในการใชโปรแกรมประเภทยูทิลิตี้ (System Utilities) แตละรายการ อยางชัดเจนและสื่อสารใหผูเกี่ยวของทราบเพื่อถือปฏิบัติ
   5.3.3 ใหมีการพิสูจนตัวตน และกําหนดสิทธิ์ในการใชงานโปรแกรมประเภทยูทิลิต้ีเฉพาะกลุมคนท่ีมี หนาที่รับผดิชอบ
   5.3.4 มีการบันทึกเหตุการณ (Log) การใชงานโปรแกรมประเภทยูทิลติี้และตองสอบทานจากผูดูแลระบบ อยางสม่ําเสมอ
   5.3.5 ตองทําการเพกิถอนหรือระงับโปรแกรมประเภทยูทิลิตี้ที่ไมจําเปน
   5.4 การหมดเวลาการใชงานระบบสารสนเทศ (Session Timeout)
   5.4.1 ผูดูแลระบบตองกําหนด Session Timeout ของระบบเทคโนโลยีสารสนเทศท่ีไมมกีารใชงานภายใน ระยะเวลา 15 นาที หากระบบใดที่ไมสามารถกําหนด Session Timeout ภายในระยะเวลา 15 นาทีได ใหกําหนดเปนระยะเวลานอยที่สุดที่จะสามารถกําหนดได ทั้งนี้ ถาระบบที่ไมสามารถตัดการเชื่อมตอ แบบอัตโนมัติไดกําหนดใหใชโปรแกรมพักหนาจอที่ตองใสรหัสผา นหรือกาํ หนดใหมีการล็อกหนาจอ
   5.4.2 ผูดูแลระบบ และผูใชงาน ตองตั้งคาใหมีโปรแกรมพักหนาจอที่ตองใสรหัสผานสําหรับเครื่อง คอมพิวเตอรสวนบุคคล เครื่องคอมพิวเตอรแบบพกพา และเครื่องคอมพิวเตอรแมขาย ทั้งนี้ โปรแกรมพักหนาจอกําหนดใหปอนรหัสผานหลังจากที่มีการท้ิงเครื่องดังกลาวไวโดยไมมีการใชงาน เปนระยะเวลา 15 นาที
   20
   5.5 การจํากดัระยะเวลาการเชื่อมตอระบบสารสนเทศ (Limitation of Connection Time) 5.5.1 ผูดูแลระบบ ตองจํากัดระยะเวลาในการเชื่อมตอระบบสารสนเทศที่มีความสําคัญสูง โดยตอง คํานึงถึงระยะเวลาที่จาํ เปนในกระบวนการดําเนินงานทางธุรกิจ ไดแก กําหนดใหเขาใชงานได ในชวงเวลาทําการของ รฟม. 08.00 น. –17.00 น.และเช่อืมตอเพื่อใชงานไดคร้งัละไมเกิน 3ชั่วโมง 5.5.2 ผูใชงาน หากมีความจําเปนตองใชงานนอกเวลาที่กําหนดตองขออนุมัติจากผูบังคับบัญชาเทานั้น 6. การควบคุมการเขาถึงโปรแกรมประยุกตและสารสนเทศ (Application and Information Access Control) ใหมีการจํากัดการเขาถึงสารสนเทศ และการแยกระบบเทคโนโลยีสารสนเทศที่มีความสําคัญสูงไวในบริเวณที่ ควบคุมเฉพาะ
   6.1 การจํากดัการเขาถึงสารสนเทศ (Information Access Restriction)
   6.1.1 เจาของขอมูลและผูดูแลระบบตองกําหนดสิทธิ์การเขาถึงแกผูใชงานเทาที่จําเปนตองใชในการ ปฏิบัติงาน โดยการใหสิทธิ์ตองพิจารณาในเรื่องดังตอไปนี้
9. การจํากัดไมใหใชตวัเลือก (Options) ที่ไมไดรับอนุญาต
10. การจํากัดการเขาถึง Command Line
11. การจํากัดการเขาถงึขอมูลและฟงกชันการใชงานของแอปพลิเคชัน (Application) ที่ไมเกี่ยวของ กับหนาที่ความรับผิดชอบ
12. การจํากัดระดบัสิทธิ์ในการเขาถึงไฟลเชน อานอยางเดียว เปนตน
13. การควบคุมการแจกจาย การเขาถึงขอมูล การนําขอมูลออกจากระบบสารสนเทศ เชน รายงาน เปนตน
    6.1.2 เจาของขอมูลและผูดูแลระบบ ควรกําหนดใหระบบสารสนเทศรองรับการกําหนดสิทธิ์ในการเขาถึง แบบกลุมได
    6.2 การแยกระบบสารสนเทศที่ไวตอการรบกวน (Sensitive System Isolation) มีผลกระทบตอคนกลุมใหญ หรือระบบที่มคีวามสําคญั ตอหนวยงาน ตองดําเนินการดงัน้ี
    6.2.1 เจาของขอมูลและผูดูแลระบบ แยกระบบซ่ึงไวตอการรบกวนออกจากระบบอื่น ๆ และควบคุม สภาพแวดลอมของระบบโดยเฉพาะ ไดแก ระบบ File Sharing ระบบสารสนเทศทางการเงิน และระบบ Active Directory (AD) โดยเขาถึงไดทั้งอุปกรณคอมพิวเตอรและสื่อสารเคลื่อนที่และ การปฏิบัติงานจากภายนอกองคกร (Mobile Computing and Teleworking)
    6.2.2 ผูดูแลระบบตองควบคุมอุปกรณคอมพิวเตอรและอุปกรณเคลื่อนที่และการปฏิบัติงานจาก ภายนอกหนวยงาน (Mobile Computing and Teleworking) ที่เก่ยีวของกับระบบดังกลาว 6.2.3 เจาของขอมูลที่เปนเจาของระบบสารสนเทศที่มีความสําคัญสูงตองเปนผูอนุญาต ในกรณีที่ระบบ สารสนเทศท่มีีความสําคัญสงูมีความจําเปนตองทํางานรวมกับระบบสารสนเทศอื่นที่มีความสําคัญ
    นอยกวา

7. การควบคุมการปฏิบัติงานจากภายนอก รฟม. (Teleworking)
   7.1 ผูดูแลระบบตองกําหนดใหมีการพิสูจนตัวตนกอนการใชงาน และเชื่อมตอผานชองทางที่มีความปลอดภัย ที่มีเทคโนโลยีเขารหสัปองกนั
   7.2 ผูดูแลระบบตองทําการถอดถอนสิทธิ์ในการเขาถึงของผูใชงานจากภายนอกสํานักงาน เมื่อครบกําหนด ระยะเวลาที่ขออนญุ าต
   7.3 ผูใชงาน หากจําเปนตองมีการปฏิบัติงานจากภายนอกสํานักงานของ รฟม. ตองไดรับการอนุญาตจาก ผูบังคับบัญชาอยางเปนลายลักษณอ ักษร ในกรณีเรงดวนสามารถดําเนินการกอน โดยแจงใหผูบังคับบัญชา รับทราบดวย โดยผูบงัคับบญั ชาตองพิจารณาเงื่อนไขในการเตรียมการ ดังตอ ไปนี้
   21

1. ความม่นัคงปลอดภยัทางกายภาพและสภาพแวดลอมของการปฏิบัติงานจากภายนอก รฟม. 2) ความม่ันคงปลอดภัยทางการส่ือสาร โดยยึดจากระดับความสําคัญ (Sensitivity) ของขอมูล ที่จะถูกเขาถึงและสงผานชองทางการเชื่อมตอสื่อสาร (Communication Link) รวมถึงระดับ ความสําคัญ (Sensitivity) ของระบบภายใน รฟม.
   7.4 ผูใชงานตองจัดเก็บเอกสารที่เปนความลับในอุปกรณที่ล็อกไดและมีการควบคุมการเขาถึง โดยใชหลักเกณฑ การรกัษาความลบเชนเดียวกับสารสนเทศที่อยูในสํานักงานของ ั รฟม.
   7.5 ผูใชงาน ตองติดตั้งโปรแกรมปองกันไวรัสและ Personal Firewall สําหรับอุปกรณสวนตัวที่ใชเชื่อมตอ เครือขา ยของ รฟม. จากภายนอก

8. ผูบังคับบัญชา ตองควบคุมการใชงานขอมูลสวนบุคคลใหมีการใชงานท่ีสอดคลองกับกฎหมาย พระราชบัญญัติ กฎระเบียบ ขอบังคับที่เก่ยีวของ เชน พระราชบัญญัติคุมครองขอมูลสวนบุคคล พ.ศ. 2562
   22
   สวนที่ 7
   การควบคุมการเขาถึงระบบเครือขายไรสาย
   วัตถุประสงค
   ▪ เพื่อกําหนดมาตรการในการควบคุมการเขาถึงระบบเครือขายไรสาย (Wireless LAN) ของ รฟม. โดยการกําหนด สิทธ์ิของผูใชงานในการเขาถึงระบบใหเหมาะสมตามหนาที่ความรับผิดชอบในการปฏิบัติงาน รวมทั้งมีการทบทวน สิทธิ์การเขาถึงอยางสม่ําเสมอ
   ▪ เพื่อสรางความมั่นคงปลอดภัยของการใชงานระบบเครือขายไรสาย
   ผูรับผิดชอบ
   ▪ ผูดูแลระบบ
   ▪ ผูใชงาน
   อางอิงมาตรฐาน: ISO/IEC 27001:2022
   ▪ มาตรการควบคุมดานองคกร (Organizational Controls)
   ▪ มาตรการควบคุมดานเทคโนโลยี (Technological Controls)
   แนวปฏิบัติ
9. ผูใชงานที่ตองการเขาถึงระบบเครือขายไรสายของ รฟม. ตองลงทะเบียนกับผูดูแลระบบ และตองไดรับการ อนญุ าตจาก ฝทท. อยางเปนลายลักษณอักษร
10. ผูดูแลระบบตองกําหนดมาตรฐานความปลอดภัยของระบบเครือขายไรสายไมต่ํากวามาตรฐาน WPA2 3. ผูดูแลระบบตองลงทะเบียนกําหนดสิทธิ์ผูใชงานในการเขาถึงระบบเครือขายไรสายใหเหมาะสมกับหนาที่ ความรับผิดชอบในการปฏิบัติงาน รวมทั้งมีการทบทวนสทิธิ์การเขาถงึอยางสม่ําเสมอ
11. ผูดูแลระบบตองลงทะเบียนอุปกรณทุกตัวที่ใชติดตอระบบเครือขายไรสาย
12. ผูดูแลระบบ ตองกําหนดตําแหนงการวางอุปกรณ Access Point (AP) ไมใหสัญญาณของอุปกรณรั่วไหลออกไป นอกบริเวณที่ใชงาน เพื่อปองกันไมใหผูโจมตใช ี Access Point (AP) ของ รฟม. รับ - สงสัญญาณได 6. ผูดูแลระบบตองเลือกใชกําลังสงใหเหมาะสมกับพื้นที่ใชงานและตองสํารวจวาสัญญาณรั่วไหลออกไปภายนอก หรือไม นอกจากนี้การใชเสาอากาศพิเศษที่สามารถกําหนดทิศทางการแพรกระจายของสัญญาณอาจชวยลดการ รั่วไหลของสัญญาณใหดีขึ้น
13. ผูดูแลระบบตองเปลี่ยนคา SSID (Service Set Identifier) ที่ถูกกําหนดเปนคา Default มาจากผูผลิตทันทีที่นํา Access Point (AP) มาใชงาน
14. ผูดูแลระบบตองเปลี่ยนคาชื่อ Login และรหัสผานสําหรับการตั้งคาการทํางานของอุปกรณไรสาย และผูดูแลระบบ ตองเลือกใชชื่อ Login และรหัสผานที่มีความคาดเดาไดยากเพื่อปองกันผูโจมตีไมใหสามารถเดาหรือเจาะรหัส ไดโดยงา ย
15. ผูดูแลระบบตองควบคุม MAC address ชื่อผูใช (Username) และรหัสผาน (Password) ของผูใชงานที่มีสิทธิ์ ในการเขาใชงานระบบเครือขายไรสาย โดยอนุญาตเฉพาะผูใชงานที่ไดรับอนุญาตใหเขาใชเครือขายไรสายไดอยาง ถูกตองเทานั้น
16. ผูดูแลระบบตองตรวจสอบความม่นัคงปลอดภัยของระบบเครือขา ยไรสายอยางสม่ําเสมอ และบันทึกเหตุการณ นาสงสัยท่ีเกิดขึ้นในระบบเครือขายไรสายตามขั้นตอนที่ รฟม. กําหนด
    23
    สวนที่ 8
    การควบคมุ หนวยงานภายนอกและผูใชงานภายนอกเขาถึงระบบเทคโนโลยีสารสนเทศ
    วัตถุประสงค
    ▪ เพื่อควบคุมหนวยงานภายนอกและผูใชงานภายนอกที่มีการเขาใชงานระบบเทคโนโลยีสารสนเทศของ รฟม. ใหเปนไปอยางมั่นคงปลอดภัย
    ผูรับผิดชอบ
    ▪ ผูดูแลระบบ
    ▪ ผูบังคับบญั ชา
    ▪ หนวยงานภายนอก
    ▪ ผูใชงาน (บุคคลภายนอก)
    อางอิงมาตรฐาน: ISO/IEC 27001:2022
    ▪ มาตรการควบคุมดานองคกร (Organizational Controls)
    ▪ มาตรการควบคุมดานกายภาพ (Physical Controls)
    แนวปฏิบัติ
17. ผูดูแลระบบตองประเมินความเสี่ยงจากการเขาถึงระบบเทคโนโลยสีารสนเทศ หรืออุปกรณที่ใชในการประมวลผล โดยหนวยงานภายนอกและผูใชงานภายนอก และกําหนดมาตรการรองรับหรือแกไขที่เหมาะสมกอนท่ีจะอนุญาตให เขาถึงระบบเทคโนโลยีสารสนเทศของ รฟม.
18. การควบคุมการเขาใชงานระบบเทคโนโลยสีารสนเทศของหนวยงานภายนอกและผูใชงานภายนอก 2.1 เจาของขอมูลตองเปนผูอนุญาตการใหสิทธิ์แกหนวยงานภายนอกและผูใชงานภายนอกที่ตองการสทิธิ์ในการ เขาใชงานระบบสารสนเทศของ รฟม. อยางเปนลายลักษณอักษร
    2.2 ผูบังคับบัญชาตองกําหนดใหมีการลงนามการไมเ ปดเผยขอมูลที่สําคัญและเปนความลับของ รฟม. 2.3 ผูบังคับบัญชา ตองควบคุมใหมีการกําหนดขอตกลงและความรับผิดชอบที่เกี่ยวของกับความเสี่ยง ดานความมั่นคงปลอดภัยสารสนเทศลงในสัญญากับหนวยงานภายนอกท่ีใหบริการดานสารสนเทศและ บริการดานการสื่อสาร โดยใหครอบคลุมรวมถึงผูรับจางชวง
    2.4 ผูบังคับบัญชาตองกําหนดใหจัดทําเอกสารแบบฟอรมสําหรับใหหนวยงานภายนอกและผูใชงานภายนอก ระบุเหตุผลความจําเปนท่ตีองเขาใชงานระบบเทคโนโลยีสารสนเทศ ซึ่งมรีายละเอียด ดังนี้
    2.4.1 เหตุผลในการขอใช
    2.4.2 ระยะเวลาในการใช
    2.4.3 การตรวจสอบความปลอดภยัของอุปกรณที่เช่อืมตอเครือขาย
    2.4.4 การตรวจสอบ MAC address ของเครื่องคอมพิวเตอรที่เชื่อมตอ
    2.5 ผูดูแลระบบมีสิทธิ์ในการตรวจสอบการใชงานระบบเทคโนโลยีสารสนเทศของหนวยงานภายนอกและ ผูใชงานภายนอก เพื่อควบคุมการใชงานไดอยางมั่นคงปลอดภัยตามสัญญา
    2.6 ผูดูแลระบบตองควบคุมใหหนวยงานภายนอกจัดทําแผนการดําเนินงาน คูมือการปฏบิัติงานและเอกสารที่ เก่ียวของ รวมทั้งตองปรับปรุงใหทันสมัยอยูเสมอ เพื่อใชสําหรับควบคุมหรือตรวจสอบการทํางาน และ เพ่อืใหม่นัใจวาการปฏิบัติงานเปนไปตามขอบเขตที่ไดกําหนดไว
19. ผูดูแลระบบตองแจงแนวปฏิบัตติาง ๆ ที่เกี่ยวของแกห นวยงานภายนอกและผูใชงานภายนอกเพื่อใหปฏบิัติตาม
    24
20. ผูดูแลระบบ ตองกํากับดูแลหนวยงานภายนอกและผูใชงานภายนอกใหปฏิบัติตามสัญญาหรือขอตกลงการ ใหบริการที่ระบไุวซึ่งตองครอบคลุมถึงดานความม่นัคงปลอดภัย
21. ผูดูแลระบบ ตองติดตาม ตรวจสอบรายงานหรือบันทึกการใหบริการของหนวยงานภายนอกตามที่วา จางอยาง สม่ําเสมอตามสัญญาวาจาง
22. ผูดูแลระบบ ตองกําหนดขั้นตอนและชองทางในการติดตอกับหนวยงานภายนอกที่มีหนาที่ในการกํากบัดูแล หรือ หนวยงานที่เก่ียวของกับการบังคับใชกฎหมาย รวมท้ังหนวยงานที่ควบคุมดูแลสถานการณฉุกเฉินภายใต สถานการณตาง ๆ ไวอยางชัดเจน
23. ผูดูแลระบบ ตองมีขั้นตอนและชองทางในการติดตอกับหนวยงานภายนอกที่มีความเชี่ยวชาญเฉพาะดานหรือ หนวยงานที่มีความเชี่ยวชาญดานความม่นัคงปลอดภัยดานสารสนเทศภายใตสถานการณตาง ๆ ไวอยางชัดเจน 8. ผูดูแลระบบตองควบคุมการเปลี่ยนแปลงของหนวยงานภายนอกท่สีงผลกระทบตอการใหบริการขององคกร และ ตองประเมินความเส่ยีงอยางเหมาะสมเพื่อควบคุมผลกระทบอันเนื่องมาจากการเปลี่ยนแปลงนั้น 9. หนวยงานภายนอกและผูใชงานภายนอก ตองใชงานทรัพยสินสารสนเทศของ รฟม. ดวยความระมัดระวัง และ รักษาความลับของ รฟม. ไมนําไปเปดเผย และตองขออนุญาตพรอมทั้งปฏิบัติตามเงื่อนไขในการเขาถึงระบบ สารสนเทศของ รฟม. ทุกครั้ง
24. หนวยงานภายนอกและผูใชงานภายนอกตองแจงเหตุการณไมปกติตาง ๆ ดานเทคโนโลยีสารสนเทศที่พบผาน ชองทางที่ รฟม. กําหนดโดยเร็วที่สุด
25. หนวยงานภายนอกและผูใชงานภายนอกตองจัดเก็บบัญชีผูใชงานที่ รฟม. จัดทําไวใหใชงานเปนความลับ เฉพาะ บุคคล ไมเปดเผยใหผูอื่นรับทราบ
    25
    สวนที่ 9
    การใชงานเครื่องคอมพิวเตอรและอุปกรณเคลื่อนที่ ของ รฟม.
    วัตถุประสงค
    ▪ เพื่อควบคุมการใชงานทรัพยสินของ รฟม. ประเภทเครื่องคอมพิวเตอรและอุปกรณเคลื่อนที่ใหเหมาะสม ทั้งนี้ เพื่อปองกัน การสูญหาย เสียหาย หรือถูกเขาถึงขอมูลโดยไมไดรับอนุญาต
    ผูรับผิดชอบ
    ▪ ผูดูแลระบบ
    ▪ ผูใชงาน
    อางอิงมาตรฐาน: ISO/IEC 27001:2022
    ▪ มาตรการควบคุมดานองคกร (Organizational Controls)
    ▪ มาตรการควบคุมดานบุคลากร (People Controls)
    ▪ มาตรการควบคุมดานกายภาพ (Physical Controls)
    ▪ มาตรการควบคุมดานเทคโนโลยี (Technological Controls)
    แนวปฏิบัติ
26. การใชงานทั่วไป
    1.1 ผูดูแลระบบตองกําหนดบัญชีซอฟตแวรมาตรฐาน (Software Standard) ที่อนุญาตใหติดตั้งบนเครื่อง คอมพิวเตอรของผูใชงาน และปรับปรุงใหเปนปจจุบันเสมอ
    1.2 ผูดูแลระบบตองเปนผูกําหนดการตั้งชื่อเครื่องคอมพิวเตอร(Computer Name) เทานั้น 1.3 ผูใชงานตองตดิตั้งโปรแกรมสําหรับควบคุมการใชงานอุปกรณเคลื่อนที่ (Mobile Device Management:MDM) รวมถึงอุปกรณอ่นื ๆ ที่ รฟม. ไมสามารถควบคุมการใชงานผานระบบ Active Directory (AD) ได 1.4 ผูใชงานตองใชงานอยางมีประสิทธิภาพเพื่องานของ รฟม.
    1.5 ผูใชงานตองไมติดตั้งโปรแกรมที่ละเมิดลิขสิทธิ์บนเครื่องคอมพิวเตอรและอุปกรณเคลื่อนที่ของ รฟม. 1.6 ผูใชงานตองขอนุญาตติดต้งัโปรแกรมในเคร่ืองคอมพิวเตอรและอุปกรณเคลื่อนที่ตามขั้นตอนที่ รฟม. กําหนด 1.7 ผูใชงานตองไมติดตั้งและแกไขเปล่ยีนแปลงโปรแกรมในเครื่องคอมพิวเตอรและอุปกรณเคลื่อนทของ รฟม. ี่ การดําเนินการดังกลาวตองดําเนินการโดยผูดูแลระบบเทานั้น
    1.8 ผูใชงานตองศึกษาและปฏิบัติตามคูมือการใชงานเครื่องคอมพิวเตอรและอุปกรณเคลื่อนที่อยางละเอียด เพ่อืใหสามารถใชงานอยา งปลอดภัยและมีประสิทธิภาพ
    1.9 ผูใชงานตองไมด ัดแปลงแกไขสว นประกอบตางๆของคอมพิวเตอรและอุปกรณเคลื่อนที่และรักษาใหมสภาพเดิม ี 1.10 ผูใชงานตองแจงซอมเครื่องคอมพวิเตอรและอุปกรณเคลื่อนที่ที่อยูในความรับผิดชอบของ ฝทท. ให ฝทท. เปนผดู ําเนินการเทานั้น
    1.11 ผูใชงานตองอัปเดต Patch และระบบปฏิบตัิการใหทันสมัยอยูเสมอ
    1.12 ผูใชงานตองไมสราง Shortcut ไวบน Desktop ที่เชื่อมตอ ไปยังขอมูลสําคัญของ รฟม.
    1.13 กรณีเครื่องคอมพิวเตอรแบบพกพาและอุปกรณเคลื่อนท่ีผูใชงานตองปฏบิัตเพิ่มเติม ดังนี้ ิ 1.13.1 ตองติดตั้ง Application จาก Official Store หรือเว็บไซตที่ใหบริการผานโปรโตคอล HTTPS 1.13.2 ไมป รบัแตงการเขาถึงระบบปฏบัติการ ิ (Rooted/Jailbroken)
    1.13.3 ในกรณีที่มกีารใชงานอุปกรณประเภทพกพาในท่สีาธารณะ หองประชุม และพื้นที่ภายนอก อื่น ๆ ที่ไมมีการปองกัน หรือไมไดอยูในบริเวณของ รฟม. ใหปองกันการเขาถึงที่ไมไดรับอนุญาต เชน ไมเ ปดการเชื่อมตอแบบไรสายโดยไมมีการเขารหสขอมูล เปนตน ั
    26
    1.13.4 ตองระมัดระวังการเคลื่อนยาย โดยตองใสกระเปาเพื่อปองกันอันตรายที่เกิดจากการกระทบกระเทือน เชน การตกจากโตะทํางานหรือหลุดมือ เปนตน
    1.13.5 ไมใสในกระเปาเดินทางที่เสี่ยงตอการถูกกดทับโดยไมไดตั้งใจจากการมีของหนักทับหรืออาจถกู จับโยนได
    1.13.6 การใชงานเปนระยะเวลานานเกินไป ในสภาพที่มีอากาศรอนจัดตองปดเครื่องคอมพิวเตอรเพื่อเปน การพักเครื่องสักระยะหนึ่งกอนเปดใชงานใหมอกีครั้ง
    1.13.7 หลีกเลี่ยงการใชนิ้วหรือของแข็ง เชน ปลายปากกา กดสัมผัสหนาจอ LCD ใหเปนรอย ขีดขวนหรือ ทําใหจอ LCD ของเครื่องคอมพิวเตอรแบบพกพาแตกเสียหายได
    1.13.8 ไมว างของทับบนหนาจอและแปนพมิพ
    1.13.9 การเคลื่อนยายเครื่องขณะที่เครื่องเปดใชงานอยู ใหทําการยกจากฐานภายใตแปนพิมพ หามยายเครื่องโดยการดงึหนาจอภาพขึ้น
    1.13.10 ไมค ลื่อนยายเครื่องในขณะท Harddisk ี่ กําลังทํางาน
    1.13.11 ไมใชหรือวางใกลสิ่งที่เปนของเหลว ความชื้น เชน อาหาร น้ํา กาแฟ เครื่องดื่มตาง ๆเปนตน 1.13.12 ไมวางใกลอุปกรณที่มีสนามแมเ หล็กไฟฟาแรงสูง เชน แมเหลก็ โทรทัศนไมโครเวฟ ตูเย็น เปนตน 1.13.13 ไมต ิดตั้งหรือวางในที่ที่มีการสั่นสะเทอืน เชน ในยานพาหนะที่กําลังเคลื่อนที่
    1.13.14 การเช็ดทําความสะอาดหนาจอภาพตองเช็ดอยางเบามือที่สุด และตองเช็ดไปในแนวทาง เดียวกันหามเช็ดแบบหมุนวน เพราะจะทําใหหนาจอมีรอยขีดขวนได
    1.13.15 รับผิดชอบในการปองกนัการสูญหาย เชน ตองล็อกเครื่องขณะที่ไมไดใชงาน ไมวางเครื่องทิ้งไวในที่ สาธารณะ หรือในบริเวณที่มีความเสี่ยงตอการสูญหาย
    1.13.16 นําติดตัวไปดวยเสมอ เชน ไมละทิ้ง อุปกรณประมวลผลประเภทพกพาในรถยนตหองพัก ในโรงแรม หรือหองประชุม เปนตน ในกรณีที่มีความจําเปนตองละทิ้งใหจัดเก็บไวในสถานที่
    มั่นคงปลอดภัย
    1.13.17 ไมเก็บหรือใชงานในสถานที่ที่มีความรอน ความชื้นหรือฝุนละอองสูงและตองระวังปองกันการ ตกกระทบ
    1.13.18 ไมเปลี่ยนแปลงแกไขสวนประกอบยอย (Sub Component) ท่ีติดตั้งอยูภายใน เชน แบตเตอรี่ หนวยความจํา
27. แนวปฏิบัติในการใชรหัสผาน
    ใหผูใชงานปฏิบัติตามการใชงานรหัสผาน (Password Use) (สวนที่ 6)
28. การปองกันจากโปรแกรมชุดคําสั่งไมพึงประสงค (Malicious Code)
    3.1 ผูดูแลระบบตองควบคุมการ Update ระบบปฏิบัติการ เว็บเบราวเซอร และโปรแกรมใชงานตาง ๆ อยางสม่ําเสมอ เพ่ือปดชองโหว (Vulnerability) ที่เกิดขึ้นจากซอฟตแวรเปนการปองกันการโจมตีจาก ภัยคุกคามตาง ๆ
    3.2 ผูดูแลระบบตองติดตั้งและปรับปรุงโปรแกรมปองกันไวรัสใหทันสมัยอยูเสมอ
    3.3 ผูใชงานตองไมปดหรือยกเลิกระบบการปองกันไวรสัที่ติดตั้งอยู
    3.4 ผูใชงานตองตรวจสอบหาไวรัสจากสื่อบันทึกตาง ๆ เชน Thumb drive และ Data storage อื่น ๆ กอน นํามาใชงานรวมกับเครื่องคอมพิวเตอรของ รฟม.
    3.5 ผูใชงาน หากพบหรือสงสัยวาเครื่องคอมพิวเตอรและอุปกรณเคลื่อนที่ติดชุดคําสั่งไมพึงประสงค ใหรีบยกเลิก เชื่อมตอเครื่องเขากับระบบเครือขายสื่อสารขอมูลเพื่อปองกันการแพรกระจายของชดุ คําสั่งที่ไมพึงประสงค ไปยังเครื่องอื่น ๆ ไดและแจง ฝทท. ทราบทันที
    27
29. การสํารองขอ มลูและการกูคนื
    4.1 ผูใชงานตองรับผิดชอบในการสํารองขอมูลจากเครื่องคอมพิวเตอรและอุปกรณเคลื่อนที่ไวบนสื่อบันทึกอื่น ๆ เชน ระบบ File Sharing, CD, DVD, External harddisk เปนตน
    4.2 ผูใชงานมีหนาที่เก็บรักษาสื่อขอมูลสํารอง (Backup Media) ไวในสถานที่ที่เหมาะสม ไมเสี่ยงตอการรั่วไหลของ ขอมูลและทดสอบการกูคนืขอมลู ที่สํารองไวอยางสม่ําเสมอ
30. ผูดูแลระบบ ตองควบคุมใหเครื่องคอมพิวเตอรไดรับการปรับตั้งคาอยางเหมาะสม เพื่อปองกันการใชงานหรือ ติดตั้ง Mobile Code เชน Active X, Java จากแหลงที่ไมนาเชื่อถือ
    28
    สว นท่ี10
    การใชงานอนิเทอรเน็ตและสื่อสังคมออนไลน
    วัตถุประสงค
    ▪ เพื่อควบคุมการใชงานอินเทอรเน็ตและการใชงานสื่อสังคมออนไลน(Social Network) ของ รฟม. ใหมีความปลอดภัย และปองกันการละเมิดพระราชบัญญัติวาดวยการกระทําความผิดเกี่ยวกับคอมพิวเตอร จนสงผลกระทบตอ รฟม. ผูรับผิดชอบ
    ▪ ผูดูแลระบบ
    ▪ ผูใชงาน
    อางอิงมาตรฐาน: ISO/IEC 27001:2022
    ▪ มาตรการควบคุมดานองคกร (Organizational Controls)
    ▪ มาตรการควบคุมดานเทคโนโลยี (Technological Controls)
    แนวปฏิบัติ
31. ผูดูแลระบบตองควบคุมการเชื่อมตอทางเครือขายสาํ หรับการเขาถึงอินเทอรเน็ตโดยพิจารณาเรื่องดังตอไปนี้ 1) ผูดูแลระบบตองไมอนุญาตใหใชงานอุปกรณ VideoStreaming อุปกรณ Audio streaming หรือ Download ไฟลที่มีขนาดใหญ ในกรณีที่จําเปนตองไดรับการอนุญาตจากผูบังคับบัญชากอนเทานั้น

2. ผูดูแลระบบตองจํากัดการใชงานอินเทอรเน็ตเพื่อเร่ืองสวนตัวหรือที่ไมใชการดําเนินงานของ รฟม. ใหนอยที่สุด เทาที่เปนไปได เชน การระงับการเขาถึง Website ที่ไมจําเป ็น การระงับการเขาถึง Website ที่มีเนื้อหาตองหาม ตามพระราชบัญญตัิวาดวยการกระทําความผิดเกี่ยวกับคอมพิวเตอร
3. ผูดูแลระบบตองปองกันไมใหมีการรับสงขอมลู ท่ีไมเหมาะสมจากภายนอก รฟม. เชน (ก) Executable เชน .EXE .COM เปนตน
   (ข) ไฟล (File) เสียง เชน AUD .WAV และ .MP3 เปนตน
   (ค) ไฟล (File) วีดิทัศนเชน .MPG .MPEG .MOV และ .AVI เปนตน
   (ง) Peer to Peer เชน .torrent เปนตน
   ในกรณีที่มีความจําเปนตองไดรบัอนุญาตจากผูบังคับบัญชา และ ฝทท.
4. ผูดูแลระบบตองกําหนดเสนทางการเชื่อมตอระบบคอมพิวเตอรเพื่อการเขาใชงานอินเทอรเน็ตที่ตองเชื่อมตอ ผานระบบรกัษาความปลอดภัยที่ รฟม. จัดสรรไวเทานั้น เชน Proxy,Firewall เปนตน
5. ผูดูแลระบบตองทดสอบเสนทางสําหรับการเชื่อมตออินเทอรเน็ตขององคกรระหวางเสนทางท่ีใชงานจริงและ เสนทางสํารองอยางนอยปละ 2 ครั้ง
6. ผูใชงานตองไมเชื่อมตอระบบคอมพิวเตอรผานชองทางอื่น ยกเวนมีความจําเปนและขออนุญาตจาก ฝทท. เปนลายลักษณอักษรแลว
7. ผูใชงานตองขออนุญาตตดิตั้งซอฟตแวร(Software) ที่ Download จากอินเทอรเน็ต และการติดตั้งตองดําเนินการ โดยผูที่ไดรับมอบหมายจากผูดูแลระบบเทานั้น

2. ผูใชงานตองไมมีเจตนาปดบังหรือบิดเบือนตัวตนเมื่อมีการใชงานอินเทอรเน็ต
3. ผูใชงานติดตั้งโปรแกรมปองกันไวรัส พรอมทั้งตองปรับปรุง Virus Signature ที่เครื่องคอมพิวเตอรสวนบุคคลและ เครื่องคอมพิวเตอรพกพาใหมีความทันสมัยอยูเสมอ กอนทําการเชื่อมตออินเทอรเน็ตผานเว็บเบราวเซอร (Web Browser) และตองปดชองโหวของระบบปฏิบัติการที่เว็บเบราวเซอรติดตั้งอยู
4. ผูใชงานจะตองตรวจสอบไวรัส (Virus Scanning) กอนการรับ - สงขอมูลคอมพิวเตอรผา นทางอินเทอรเน็ต
   29
5. ผูใชงานตองไมใชเครือขายอินเทอรเน็ตของ รฟม. เพื่อหาประโยชนในเชิงธุรกิจสวนตัว และทําการเขาสู เว็บไซตที่ ไมเหมาะสม เชน เว็บไซตที่ขัดตอศีลธรรม เว็บไซตที่มีเนื้อหาที่ขัดตอชาติ ศาสนา พระมหากษัตริย หรือเว็บไซตที่ เปนภัยตอสังคม เปนตน
6. ผูใชงานจะถูกกําหนดสิทธิ์ในการเขาถึงแหลงขอมูลตามหนาที่ความรับผิดชอบเพื่อประสิทธิภาพของเครือขายและ ความปลอดภัยทางขอมูลของ รฟม.
7. ผูใชงานตองหลีกเลี่ยงการกระทาํ ท่สีิ้นเปลืองทรพัยากรของเครือขายอินเทอรเน็ต ดังนี้
   (ก) สงจดหมายอิเล็กทรอนิกสลูกโซ
   (ข) ใชเวลาในการเขาถงึอินเทอรเน็ตเกินความจําเปนยกเวนเพื่อปฏิบตัิงานใหรฟม.
   (ค) เลนเกม Online
   (ง) เขาหองพูดคยุ Online ที่ไมไดมีวัตถุประสงคเพื่อปฏิบตัิงานใหรฟม.
8. ผูใชงานตองไมเผยแพรขอมูลที่เปนการหาประโยชนสว นตัวหรือขอมูลที่ไมเหมาะสมทางศีลธรรม หรือขอมูลที่ ละเมิดสทิธิ์ของผูอื่น หรือขอมูลที่อาจกอความเสียหายใหกับ รฟม.
9. ผูใชงานตองไมเปดเผยขอมูลสําคัญที่เปนความลับเกี่ยวกับงานของ รฟม.
10. ผูใชงานตองไมนําเขาขอมูลคอมพิวเตอรใด ๆ ที่มีลักษณะอันเปนเท็จ อันเปนความผดิเกี่ยวกับความมั่นคง แหงราชอาณาจักร อันเปนความผิดเกี่ยวกับการกอการราย หรือภาพที่มีลักษณะอันลามก และไมทําการเผยแพร หรือสงตอขอมูลคอมพิวเตอรดงักลาวผานอินเทอรเนต็
11. ผูใชงานตองไมนําเขาขอมูลคอมพิวเตอรที่เปนภาพของผูอ่ืนและภาพน้ันเปนภาพที่เกิดจากการสรางขึ้น ตัดตอ เติมหรือดัดแปลงดวยวิธีการทางอเิล็กทรอนิกสหรือวิธีการอื่นใด ที่จะทําใหผูอื่นเสียหาย เสียชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง หรือไดรับความอับอาย
12. ผูใชงานมีหนาที่ตรวจสอบความถูกตองและความนาเชื่อถือของขอมูลคอมพิวเตอรที่อยูบนอินเทอรเน็ตกอนนํา ขอมูลไปใชงาน
13. ผูใชงานตองคํานึงวาขอมูลจากอินเทอรเน็ตอาจไมมีความทันสมัยหรือไมมีความถูกตอง ผูใชงานตองตรวจสอบ ความถูกตองของขอมูลจากแหลงที่นาเชื่อถือกอนที่จะเผยแพรขอมลูดังกลาว
14. ผูใชงานตองระมัดระวงัการดาวนโหลดโปรแกรมใชงานจากอินเทอรเน็ตซึ่งรวมถึงPatch หรือ Fixes ตาง ๆ จากผูขาย ตองเปนไปโดยไมล ะเมิดทรัพยสินทางปญญา
15. ผูใชงานตองไมใชขอความที่ยั่วยุ ใหรายในการเสนอความคิดเห็นที่จะทําใหเกิดความเสื่อมเสียตอชื่อเสียงของ รฟม. การทําลายความสัมพันธกับเจาหนาที่ของหนวยงานอื่น ๆ
16. ผูใชงานตองไมบันทึกรหัสผานใน Web Browser (Remember Password) เพ่ือปองกันบุคคลอื่นที่สามารถ เขาถึงคอมพิวเตอรของผูใชงานนํารหัสผานดงักลาวไปใชงานในอินเทอรเน็ตโดยไมไดรับอนุญาต 17. ผูใชงานตองไม Download เอกสาร หรือสารสนเทศตาง ๆ เชน ขอมูล รูปภาพ วิดีโอ เสียง และซอฟตแวร (Software) ที่ละเมิดลิขสิทธิ์หรือผดิกฎหมาย
17. ผูใชงานตองปดเว็บเบราวเซอรเพื่อปองกนัการเขาใชงานโดยบุคคลอื่น ๆ ภายหลังจากใชงานอินเทอรเน็ตเสร็จแลว 19. การใชงานสื่อสังคมออนไลน (Social Network)
    19.1 ผูใชงานตองระมัดระวังในการนําเสนอขอมูลขาวสาร การสงขอความ หรือการแสดงความคิดเห็นผาน สื่อสังคมออนไลนเพื่อไมกอใหเกิดความเสียหายแก รฟม.
    19.2 ผูใชงานตองระมัดระวังในการใชสื่อสังคมออนไลนเนื่องจากพ้ืนที่บนสื่อสังคมออนไลนเปนพื้นที่ สาธารณะไมใชพื้นที่สวนบุคคล ซึ่งขอมูลการใชงานตาง ๆ จะถูกบันทึกไวและอาจมีผลทางกฎหมาย ถึงแมจะเปนการแสดงความคิดเห็นในนามชื่อบัญชีสวนตัว และพึงตระหนักถึงผลกระทบที่อาจเกิดขึ้น กับ รฟม. ได
    30
    19.3 ผูใชงานที่ใชสื่อสงัคมออนไลนเปนเครื่องมือสื่อสารขอมูลในกิจการของ รฟม. หรือชื่อบคุ คลที่ทําใหเขาใจ ไดวาเปนบุคคลในสังกัด ตองแสดงภาพ และขอมูลใหถูกตองชัดเจนในขอมูล โปรไฟล (Profile) และ พึงใชดวยความสุภาพและมีวิจารณญาณ
    19.4 ผูใชงานควรตั้งคําถามที่ใชในกรณีกูคืนบัญชีผูใชงานหรือกูคืนรหัสผาน (Forgot Your Password) ควรเลือกใชขอมูลหรือคําถามที่เปนสวนบุคคลและเปนขอมูลที่ผูอื่นคาดเดาไดยากเพื่อปองกันการสุมคําถาม จากผูประสงคราย
    19.5 ผูใชงานตองไมใชระบบอีเมลของเว็บไซตประเภทสื่อสังคมออนไลน หากจําเปนตองใชจะตองระมัดระวัง ในการคลิกลิงกที่นาสงสัย โดยเฉพาะอีเมลแจงเตือนจากเว็บไซตตาง ๆ ในลักษณะเชื้อเชิญใหคลิกลิงก ที่แนบมาในอีเมล ผูใชงานตองสงสัยวาลิงกดังกลาวเปนลิงกที่ไมปลอดภัย (ลิงกท่ีถูกสรางมาเพ่ือใชขโมย ขอมูลสวนบุคคล ดวยการนําไปสูเว็บไซตที่ดูนาเชื่อถือที่ผูประสงคร ายสรางไวเพื่อใหผูใชงานกรอกขอมูล สวนบุคคล เชน รหัสผาน เปนตน )
    19.6 ผูใชงานตองศึกษาการตั้งคาความเปนสวนตัวหรือ “Privacy Settings” ใหเขาใจเปนอยางดีและ ปรับแตงการตั้งคาความเปนสวนตัวใหเหมาะสมเพื่อปองกันการถูกละเมิดความเปนสวนตัวซึ่ง อาจจะสงผลกระทบตอตนเองหรือ รฟม.
    19.7 ผูใชงานตองใชงานสื่อสังคมออนไลนอยา งเหมาะสม โดยไมล ะเมิดกฎหมายและไมก อใหเกิดความเสียหายหรือ สงผลกระทบตอการทํางานขององคกร
    19.8 ผูใชงานควรปดการใชงานระบบโพสตขอความสาธารณะทุก ๆ สวนของเว็บไซตประเภท Social Network หากจําเปนตองใชงานตองปรับคาใหมีการตรวจสอบขอความกอนเพื่อหลีกเลี่ยงโอกาสแพรกระจายลิงก ที่ไมปลอดภัยจากผูประสงคราย ซึ่งเปนหนึ่งในเทคนิคท่ใีชในการโจมตีประเภท Spear Phishing
    19.9 ผูใชงานตองตรวจสอบกอนจะรับเพ่ือนเขากลุมในเว็บไซตประเภท Social Network โดยตองแนใจวา ขอมูลสวนตัวของเพื่อนคนนั้น เชน รูปถายและประวัติสวนตัวไมถูกแกไขเพื่อปลอมแปลงตัวตนจาก ผูประสงครายที่หวังแอบอางเพื่อคุกคามเปาหมาย
    19.10 ผูใชงานตองตระหนักไวเสมอวาขอมูลตาง ๆ ที่ผูใชงานเผยแพรไวบนบริการสื่อสังคมออนไลนนั้นคงอยู ถาวรและผูอื่นอาจเขาถึงและเผยแพรขอมูลเหลานั้นได 
    19.11 ผูใชงานตองมีขอพิจารณาในการรับเพื่อนเขากลุมที่ชัดเจน และควรประกาศขอความปฏิเสธความ รับผิดชอบที่เกี่ยวกับเนื้อหาหรือขอความแสดงความคิดเห็นซึ่งถูกโพสตจากเพ่ือนในกลุมที่อาจปรากฏใน เว็บไซตป ระเภท Social Network ของผูใชงานเอง
    19.12 ผูใชงานตองติดตั้งซอฟตแวรปองกันไวรัส และอัปเดตฐานขอมูลไวรัสของโปรแกรมอยูเสมอ และตอง หลีกเลี่ยงการใชโปรแกรมที่ละเมิดลิขสิทธิ์เพราะอาจจะมีโปรแกรมประสงครายแฝงตัวอยูภายในเพื่อ ลักลอบ ปลอมแปลง หรือขโมยขอ มูลสําคัญของผูใชงานได
    19.13 ผูใชงานตองระมัดระวังการใชถอยคาํและภาษาที่อาจเปนการดหู มิ่น ยุยง ทาทาย หรอืเปนการละเมิดตอ บุคคลอื่น กรณีบุคคลอื่นมีความคิดเห็นที่แตกตางพึงงดเวนการโตตอบดวยถอยคํารนุ แรง 19.14 ผูใชงานตองระมัดระวังกระบวนการหาขาว หรือภาพจากสื่อสังคมออนไลน โดยมีการตรวจสอบอยางถี่ถวน รอบดานและตองอางอิงแหลงที่มาเมื่อนําเสนอ เวนแตสามารถตรวจสอบและอางอิงจากแหลงขาว ไดโดยตรง
    19.15 หากผูใชงานตองการใชสื่อสังคมออนไลนเปนเครื่องมือในการรายงานขาวในนามของบุคคลธรรมดาตอง แสดงใหชัดเจนวา ขอความใดเปน “ขาว” ขอความใดเปน “ความคิดเหน็สวนตัว”
    19.16 การสงตอหรือเผยแพรขอมูลในสื่อสงัคมออนไลน(Social Media)
    31
    19.16.1 ผูใชงานตองไมสงตอหรือเผยแพรขอมูลที่เปนเท็จ ขาวลือ ขาวไมปรากฏที่มา เปนเพียงการ คาดเดา หรือสงผลเสียหายกับบุคคล สังคม หรือ รฟม.
    19.16.2 ผูใชงานตองไมสงตอหรือเผยแพรขอมูลเรื่องบุคคลเสียชีวิต เด็กและเยาวชน ผูสูญหาย ผูตองหา เวนเสียแตตรวจสอบขอเท็จจริงแลวและเห็นวาเปนประโยชนตอสาธารณะ
    19.16.3 ผูใชงานตองไมสงตอหรือเผยแพรขอมูลที่กระทบตอสิทธิความเปนสวนตัว และศักดิ์ศรีความ เปนมนุษย
    19.17 ผูใชงานตองตั้งคาความปลอดภัยของการใชงานสื่อสังคมออนไลน และระมัดระวังการถูกนําขอมูลจากชื่อบัญชี ไปใชโดยไมเ หมาะสม ผิดวัตถุประสงคและลักษณะการแอบอางโดยบุคคลอื่น
18. ผูใชงานตองใชงานอินเทอรเน็ตและสื่อสังคมออนไลนโดยตระหนักถึงพระราชบัญญัติการกระทําความผิดเกี่ยวกับ คอมพิวเตอรที่บังคับใชอยูเสมอ
    32
    สว นท่ี11
    การใชงานจดหมายอิเล็กทรอนิกส
    วัตถุประสงค
    ▪ เพ่อืกําหนดมาตรการการใชงานจดหมายอิเล็กทรอนิกสของ รฟม. ให  มีความปลอดภัยและมีประสิทธิภาพ ผูรับผิดชอบ
    ▪ ผูดูแลระบบ
    ▪ ผูใชงาน
    อางอิงมาตรฐาน: ISO/IEC 27001:2022
    ▪ มาตรการควบคุมดานองคกร (Organizational Controls)
    ▪ มาตรการควบคุมดานเทคโนโลยี(Technological Controls)
    แนวปฏิบัติ
19. ผูดูแลระบบตองกําหนดสิทธิ์การเขาถึงระบบจดหมายอิเล็กทรอนิกสของ รฟม. ใหเหมาะสมกับหนาที่ความ รับผดิชอบของผูใชงาน รวมทั้งทบทวนสิทธิ์การเขาใชงานอยางสม่ําเสมอ
20. ผูดูแลระบบตองกําหนดบัญชีผูใชงานตามมาตรฐานจดหมายอิเล็กทรอนิกส (Email) ที่ใชในองคกร 3. ผูใชงานตองระมัดระวังในการใชจดหมายอิเล็กทรอนิกสไมใหเกิดความเสียหายตอ รฟม. ละเมิดลิขสิทธิ์ สราง ความนารําคาญตอผูอ่ืน ผิดกฎหมาย ละเมิดศีลธรรม และไมแสวงหาประโยชนหรืออนุญาตใหผูอื่นแสวงหา ผลประโยชนในเชิงธุรกิจจากการใชจดหมายอิเล็กทรอนิกสของ รฟม.
21. ผูใชงานตองไมใชที่อยูจดหมายอเิล็กทรอนิกส(Email Address) ของผูอื่นเพื่ออาน รับ - สงขอความ ยกเวนไดรับการ ยินยอมจากเจาของบัญชีและใหถือวาเจาของบัญชีจดหมายอิเล็กทรอนิกสเปนผูรับผิดชอบตอการใชงานตาง ๆ ในจดหมายอิเล็กทรอนิกสของตน
22. ผูใชงานตองใชท ี่อยูจดหมายอิเล็กทรอนกิสของ รฟม. เพ่อืปฏิบัติงาน ติดตอ และประสานงานของ รฟม. เทานั้น 6. ผูใชงานตองไมใชที่อยูจดหมายอิเล็กทรอนิกสฟรีของเอกชนในการปฏบิัตงิาน ติดตอ และประสานงานของ รฟม. 7. ผูใชงานตอง Logout ออกจากระบบทุกครั้ง หลังจากใชงานระบบจดหมายอิเล็กทรอนิกสเสร็จสิ้นเพื่อปองกัน บุคคลอื่นเขาใชงานจดหมายอิเล็กทรอนิกส
23. ผูใชงานตองตรวจสอบเอกสารแนบจากจดหมายอิเล็กทรอนิกสกอนเปดอาน โดยใชโปรแกรมปองกันไวรัส เพื่อตรวจสอบมัลแวรตา ง ๆ
24. ผูใชงานตองไมเปดหรือสงตอ จดหมายอิเล็กทรอนิกสที่ไดรับจากผูสงที่ไมรจู ัก
25. ผูใชงานตองใชขอความที่สุภาพในการรับ –สงจดหมายอเิล็กทรอนิกสและไมสงจดหมายที่มีเนื้อหาอาจทําให รฟม.  เสียชื่อเสียงหรอืทําใหเกิดความแตกแยกภายใน รฟม.
26. ผูใชงานตองไมระบุความสําคัญของขอมูลลงในหัวขอจดหมายอิเล็กทรอนิกสและตองเขารหัสเพื่อปองกัน การเขาถึงขอมูลโดยผูไมเกี่ยวของเมื่อมีการสงขอมูลที่เปนความลับ
27. ผูใชงานตองตรวจสอบตูเก็บจดหมายอิเล็กทรอนิกสของตนเองทุกวนั และตองจัดเก็บจดหมายอิเล็กทรอนิกสในตูของตน  ใหเหลือจํานวนนอยที่สุด หากมีขอมูลที่จําเปนตองนํามาใชอางอิงในการปฏิบัติงานภายหลังใหผูใชงานโอนยาย จดหมายอิเล็กทรอนิกสมายังเครื่องคอมพิวเตอรของตน ทั้งนี้ เพื่อลดปริมาณการใชเนื้อที่ของระบบจดหมาย อิเล็กทรอนิกส
    33
    สว นท่ี12
    การสํารองขอมูลและการเก็บรักษาขอมูลจราจรทางคอมพิวเตอร
    วัตถุประสงค
    ▪ เพื่อใหมีขอมูลสํารองไวใชงานในกรณีท่ีขอมูลหลักเกิดความเสียหายไมสามารถใชงานหรือเขาถึงไดหรือเมื่อเกิด ภาวะฉุกเฉินตาง ๆ
    ▪ เพื่อใหมกีารปฏิบัติท่สีอดคลองกับกฎหมาย พระราชบัญญตัิหรอืขอบังคับภายนอกอื่น ๆ ผูรับผิดชอบ
    ▪ ผูบงัคับบัญชา
    ▪ ผูดูแลระบบ
    ▪ เจาของขอมูล
    ▪ ผูใชงาน
    อางอิงมาตรฐาน: ISO/IEC 27001:2022
    ▪ มาตรการควบคุมดานองคกร (Organizational Controls)
    ▪ มาตรการควบคุมดานเทคโนโลยี (Technological Controls)
    แนวปฏิบัติ
28. การสํารองขอ มลูระบบแมขาย
    ขอมูลระบบแมขายและขอมูลสําคัญซึ่งเปนความลับของ รฟม. ตองไดรับการเก็บรักษาไวที่ระบบเก็บขอมูล สวนกลาง และสํารองขอมูลไวอยางสม่ําเสมอ เพื่อใหมีขอมูลสํารองไวใช ในกรณีที่ขอมูลหลักเกิดความเสียหาย หรือไมสามารถใชงาน ความถี่ในการดําเนินการสํารองขอมูลและข้นัตอนการสํารองขอมูลระบบแมขา ยเปนความ รับผดิชอบของ ฝทท. โดยมีแนวปฏบิัติดังนี้
    1.1 ผูบังคับบัญชากําหนดผูรับผดิชอบในการสํารองขอมูล
    1.2 ผูดูแลระบบตองกําหนดชนิดของขอมูลของระบบที่มีความจําเปนตองสํารองขอมูลเก็บไว เชน ขอมูล คาคอนฟกกูเรชัน (Configuration) ขอมูลคูมือการปฏิบัติงานสําหรับระบบ ขอมูลในฐานขอมูลของ ระบบงาน ขอมูลซอฟตแวร เชน ซอฟตแวรระบบปฏิบัติการ ซอฟตแวรระบบงาน และซอฟตแวรอื่น ๆ เปนตน
    1.3 ผูดูแลระบบตองสํารองขอมูลตามความถี่ที่กําหนดไว ทั้งนี้ หากเปนขอมูลที่สนับสนุนกระบวนการทํางานที่ สําคัญของ รฟม. ใหสํารองตามความถี่ที่ รฟม. กาํ หนด
    1.4 ผูดูแลระบบตองตรวจสอบวาการสํารองขอมูลสําเร็จครบถวนหรือไม หากไมสําเร็จใหหาสาเหตุและ ดําเนินการแกไขอีกครั้งหนึ่ง
    1.5 ผูดูแลระบบตองนําขอมูลที่สาํรองไวไปเก็บไวทั้งภายในและภายนอก รฟม. อยางนอยอยางละ 1 ชุด 1.6 ผูดูแลระบบทดสอบกูคืนขอมูลที่สาํ รองเก็บไวอยางสม่ําเสมออยางนอยปละ 1 ครั้ง เพื่อใหมนใจวาขอมูล ั่ ที่สาํรองไวมคีวามถูกตอง ครบถวน และพรอมใชงาน
29. การสํารองขอ มลคอมพิวเตอรสวนบุคคล ู ผูใชงานจะตองสํารองขอมูลสําคัญท่ีเก็บรักษาไวในเครื่องคอมพิวเตอรสวนบุคคลหรือคอมพิวเตอรหรอือุปกรณพกพา อื่น ๆ อยางสม่ําเสมอ ความถี่ในการสํารองขอมูลขึ้นอยูกับความถี่ของการเปลี่ยนแปลงของขอมูลและระดับ ความสําคัญของขอมูลหากเกิดการสูญหาย
30. การเก็บรักษาขอมูลจราจรคอมพิวเตอร เพื่อใหสามารถระบุตัวบุคคลผูใชงานไดอยางถูกตอง ผูดูแลระบบตองดําเนินการ ดังนี้
    3.1 เลือกใชนาฬิกาจากแหลงที่นาเชื่อถือที่มีการเชื่อมตอในลําดับชั้น Stratum 0 โดยนาฬิกาจากแหลงดังกลาวจะตอง ไดรบัการอนุมัติใหใชงาน
    3.2 ตั้งนาฬิกาของอปุ กรณที่ใหบริการทุกชนดิจาก NTP Server ของ รฟม. เทานั้น
    34
    3.3 ตองทบทวนนาฬิกาที่ NTP Server อยางนอยสปัดาหละ 1 ครั้ง
    3.4 ตองจัดเก็บรักษาขอมูลจราจรคอมพิวเตอร โดยระยะเวลาในการเก็บตามประกาศกระทรวงเทคโนโลยี สารสนเทศและการสื่อสารเรื่อง หลักเกณฑการเก็บรักษาขอมูลจราจรทางคอมพิวเตอรของผใูหบริการ พ.ศ.2550 (อยา งนอย90 วัน)
    3.5 เก็บรักษาขอมูลจราจรคอมพิวเตอรในสื่อที่สามารถรักษาความครบถวนถูกตองแทจริง มีการเก็บรักษา ความลับของขอมูลตามระดับชั้นความลับในการเขาถึงตามที่ รฟม. กาํ หนด
    3.6 ประเภทของสารสนเทศที่เก็บรกัษา แสดงตามตาราง
    ประเภทของสารสนเทศ กฎหมายที่เกี่ยวของ ระยะเวลาการเก็บ

1. พระราชบัญญัติวาดวยการกระทําความผดิ
   Authentication Server Logs
   รักษา (ป) 1
   (RADIUS, TACACS)
   เกี่ยวกับคอมพิวเตอร พ.ศ. 2550

2. พระราชบัญญัตวิาดวยการกระทําความผิด
   Email Server Logs 1
   เกี่ยวกับคอมพิวเตอร (ฉบับที่ 2) พ.ศ. 2560

3. ประกาศกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม
   Web Application Server Logs 1 เรื่อง หลักเกณฑการเก็บรักษาขอมูลจราจรทาง
   NTP Server Logs 1
   คอมพิวเตอรของผูใหบริการ พ.ศ. 2564
   DHCP Server Logs 1 IPS Logs 1 Firewalls Logs 1 Routers & Switches Logs 1
   Active Directory Logs

   1

4. การจัดเก็บบันทึกขอมูลล็อกและการเฝาระวัง (Logging and Monitoring)
   4.1 ผูดูแลระบบตองมีการจัดเก็บบันทึกเหตุการณ (Event Logs) การใชงานระบบสารสนเทศ 4.2 ผูดูแลระบบตองเก็บบันทึกขอมูล AuditLog ซึ่งบันทึกกิจกรรมการใชงานของผูใชงานระบบสารสนเทศและ เหตุการณเกี่ยวกับความมั่นคงปลอดภัยตาง ๆ เพื่อประโยชนในการสืบสวน สอบสวน และเพื่อการติดตาม การควบคุมการเขาถึง
   4.3 ผูดูแลระบบตองมีการตรวจสอบขอมูลบันทึกเหตกุ ารณอยางสม่ําเสมอ (Log Review)
   4.4 ผูดูแลระบบตองไมลบขอมูลล็อก (Log) หรือปดการใชงานการบันทึกขอมูลล็อก (Log) 4.5 ผูดูแลระบบตองปองกันระบบสารสนเทศที่จัดเก็บล็อก (Log)และขอมูลล็อก(Log) เพื่อปองกันการเขาถึงหรือ แกไขเปลี่ยนแปลงโดยไมไดรับอนุญาต
   35
   สว นท่ี13
   การตรวจสอบและประเมินความเสี่ยง
   วัตถุประสงค
   ▪ เพื่อใหมีการตรวจสอบการดําเนินงานของระบบจัดการความม่นัคงปลอดภัยสารสนเทศและปรับปรุงอยางตอเนื่อง ▪ เพื่อควบคุม และติดตามการปฏิบัติงานของผูดูแลระบบสารสนเทศ ใหสอดคลองตามขอกําหนด กฎหมาย หรือ ระเบียบขอบังคับที่เก่ยีวของกับเทคโนโลยีสารสนเทศ
   ▪ เพื่อประเมินความเสี่ยงดานความมั่นคงปลอดภัยของสารสนเทศและบริหารจัดการความเสี่ยงใหอยูในระดับที่ องคกรยอมรับได
   ผูรับผิดชอบ
   ▪ ผูบงัคับบัญชา
   ▪ ผูดูแลระบบ
   อางอิงมาตรฐาน: ISO/IEC 27001:2022
   ▪ ขอกําหนดหลัก: การวางแผน (Planning)
   ▪ ขอกําหนดหลัก: การตรวจประเมินภายใน (Internal Audit)
   ▪ มาตรการควบคุมดานองคกร (Organizational Controls)
   ▪ มาตรการควบคุมดานเทคโนโลยี (Technological Controls)
   แนวปฏิบัติ
5. ผูบังคับบัญชา ตองกําหนดใหมีแนวทางในการดําเนินงานของระบบสารสนเทศสอดคลองกับกฎหมาย พระราชบัญญัติกฎระเบียบ ขอบังคับที่เกี่ยวของกับความม่ันคงปลอดภัยสารสนเทศโดยตองจัดทําเปน ลายลักษณอักษร และมีการปรับปรงุ ใหเปนปจจุบันอยูเสมอ
6. ผูบงัคับบัญชา ตองกาํ หนดมาตรการในการควบคมุ และบริหารจัดการสินทรัพยทางปญญา ไดแกลิขสิทธิ์ในเอกสาร หรือซอฟตแวร เครื่องหมายการคา สิทธิบัตร และใบอนุญาตการใชงานซอรสโคด หรือการใชงานซอฟตแวร เพื่อใหการดําเนินงานเปนไปตามขอกําหนดทั้งในแงของขอสัญญา และดานกฎหมาย พระราชบัญญัติกฎระเบียบ ขอบังคับดานสินทรัพยทางปญญาท่เีกี่ยวของ
7. ผูบังคับบัญชา ตองควบคุมใหมีการคุมครองขอมูลสวนบุคคลโดยใหสอดคลองกับกฎหมาย พระราชบัญญัติ กฎระเบียบ ขอบังคับที่เก่ยีวของ
8. ผูบงัคับบัญชา ตองกาํกับดูแล และควบคุมการปฏิบัติงานของผูที่อยูใตการบังคับบัญชา เพื่อปองกนัการใชงานระบบ สารสนเทศผิดวัตถุประสงค หรือละเมิดตอนโยบายและแนวทางปฏิบัติการรักษาความมั่นคงปลอดภัยของระบบ สารสนเทศของ รฟม.
9. ผูบังคับบัญชา ตองควบคุมใหมีการปองกันขอมูลสําคัญขององคกร ขอมูลสําคัญท่ีเกี่ยวของกับขอกําหนดทาง กฎหมาย ระเบียบ ขอบังคบั สัญญา ควรไดรับการปองกันจากการสูญหาย ถูกทําลาย และปลอมแปลง 6. ผูบังคับบัญชาตองจัดใหมีการตรวจสอบการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ โดยผูตรวจสอบ ภายใน (Internal Auditor) หรือโดยผูตรวจสอบอิสระดานความมั่นคงปลอดภัยจากภายนอก (External Auditor) ตามระยะเวลาอยางนอยปละ 1 ครั้ง
10. ผูดูแลระบบตองกําหนดกระบวนการตรวจสอบและการแจงเตือนเมื่อเกิดเหตุผิดปกติเกี่ยวกับการใชงาน ทรัพยากร (Capacity) กําหนดเกณฑการใชงานทรัพยากรและวางแผนดานทรัพยากรสารสนเทศใหรองรับการ ปฏิบัติงานในอนาคตอยา งเหมาะสม รวมถึงตองติดตามผลการใชงานทรัพยากรสารสนเทศ
    36
11. ผูดูแลระบบตองมีการตรวจสอบการทํางาน (Monitor) ของระบบสารสนเทศอยางสม่ําเสมอและเสนอผูบังคับบัญชา รับทราบเมื่อมีเหตุการณผิดปกติเกิดขึ้น รวมถึงแจงผูเกี่ยวของเพื่อดําเนินการแกไขโดยไมชักชา 9. ผูดูแลระบบ ตองปองกันการเขาใชงานเครื่องมือที่ใชเพื่อการตรวจสอบ เพื่อมิใหเกิดการใชงานผิดประเภทหรือถูก ละเมิดการใชงาน (Compromise) โดยควบคุมการเขาถึง และตรวจสอบการนําเครื่องมือไปใชงานอยา งสม่ําเสมอ 10. ผูดูแลระบบตองประเมินความเสี่ยงของระบบเทคโนโลยีสารสนเทศอยางนอยปละ 1 ครั้ง หรือเมื่อมีการ เปลี่ยนแปลงอยางมีนยัสําคัญ
12. ผูบังคับบัญชาตองติดตามผลการดําเนินการตามแผนบริหารจัดการความเสี่ยง (Risk Treatment Plan) เปนประจําทุกไตรมาส
13. ผูดูแลระบบตองประเมินความเสี่ยงแลวจัดลําดับความสําคัญของความเส่ยีงนั้นและคนหาวิธีการเพ่ือลดความเสี่ยง ตามขั้นตอนที่ รฟม. กําหนด พรอมทั้งพิจารณาขอดีขอเสียของวิธีการเหลานั้นเพื่อใหผูบริหารของ รฟม. ตัดสินใจ เลือกวิธีการเพื่อลดความเสี่ยงหรือยอมรับความเสี่ยง เมื่อเลือกวิธีการลดความเสี่ยงแลวผูบริหารตองจัดสรร ทรัพยากรอยางเพียงพอเพื่อดําเนนิการ แนวทางการลดความเสี่ยง แบงไดเปน 3 รูปแบบ ไดแก 12.1 การเลือกใชเทคโนโลยี เพื่อใชในการลดความเสี่ยงและเพิ่มความมั่นคงปลอดภัยของระบบเทคโนโลยี
    สารสนเทศ รฟม. เปนวิธีที่จําเปนตองใชงบประมาณและทรัพยากรอยางเพียงพอในการดําเนินการ เชน การเลือกใชอุปกรณ Firewall มากกวาหนึ่งผลิตภัณฑในการปองกันการเขาถึงเครือขายที่สําคัญ การใช อุปกรณสมารทการด หรือ USB Token ในการตรวจสอบยืนยนัตัวตนในการเขาใชงานระบบจากภายนอก
    13.1 ผูดูแลระบบ ตองวางแผนการตรวจสอบและประเมินชองโหวหรือจุดออนดานความมั่น คงปลอดภัย
    รฟม. เปนตน
    12.2 การปรับเปลี่ยนขั้นตอนปฏิบัติ ตองออกแบบขั้นตอนปฏิบัติใหมที่รัดกุมและสามารถรักษาความมั่นคง ปลอดภัยของระบบเทคโนโลยีสารสนเทศ รฟม. ไดดีขึ้น เมื่อออกแบบขั้นตอนปฏิบัติใหมแลวตองมีการ พิจารณาหารือความเหมาะสม ความเปนไปไดและผูบริหารตองเปนผูอนุมัติใหมีการบังคับใชขั้นตอน ปฏิบัติใหมนั้น
    12.3 ผูดูแลระบบตองแจงขั้นตอนปฏิบัติใหผูเกี่ยวของรับรูอยางทั่วถึง รวมทั้งตองจัดฝกอบรมผูใชงาน ที่เกี่ยวของเพื่อใหสามารถปฏิบัติตามขั้นตอนปฏิบัตใหม ิ ไดอยา งราบร่นืและมีประสิทธิภาพ 13. การตรวจสอบความปลอดภัยของระบบสารสนเทศ
    สารสนเทศ และแจงผูท่เีกี่ยวของเพื่อแกไขในกรณีที่พบวาชองโหวหรือจุดออนนั้นอาจเปนเหตุการณดาน ความม่นัคงปลอดภัย อยางนอยปละ 1 ครั้ง
    13.2 ผูดูแลระบบตองตรวจสอบระบบสารสนเทศที่จะตองมีการปรับปรุงเมื่อมีเวอรชันใหม (Patch) รวมทั้งขอมูล ที่เกี่ยวของกับชองโหวดานเทคนิคอยางสม่ําเสมอเพื่อใหทราบถงึภัยคุกคามและความเส่ยีง รวมถึงหาวิธีปองกัน และแกไขที่เหมาะสมกับชองโหวนั้น
    13.3 ผูใชงาน ผูดูแลระบบ และหนวยงานภายนอกตองบันทึกและรายงานชองโหวหรือจุดออนใด ๆดานความมั่นคง ปลอดภัยสารสนเทศ ที่อาจสังเกตพบระหวางการติดตามการใชงานระบบสารสนเทศ ผา นชองทางบริหาร จัดการที่กําหนดไวอยางเหมาะสม และตองดําเนินการปดชองโหวที่มีการตรวจพบหรือไดรับแจง 14. การวิเคราะหขอมูลเชิงลกึของภัยคุกคาม (Threat Intelligence)
    14.1 ผูดูแลระบบตองรวบรวมขอมูลที่เกี่ยวของกับภัยคุกคามทั้งจากภายในและภายนอกองคกร เชน ชองโหว หรือ เหตุการณภ ัยคุกคามตาง ๆ ที่เกิดขึ้น
    14.2 ผูดูแลระบบตองนําขอมูลภัยคุกคามท่ีรวบรวมไดมาวิเคราะหเชิงลึก ไดแก Tactics, Techniques หรือ Procedures (TTPs) ที่กลุมผูไมประสงคดีนํามาใช รวมถึงแรงจูงใจ เปาหมาย และพฤติกรรมการโจมตี ของผูไมประสงคดี เพื่อให รฟม. สามารถจัดเตรียมวิธีการปองกันหรือวิธีการรับมือกับภัยคุกคาม ไดอยางมีประสิทธิภาพและทันทว งที
    37
14. ผูดูแลระบบตองมีการบริหารจัดการการเปลี่ยนแปลงเกี่ยวกับการจัดเตรียมการใหบริการ การดูแลปรับปรุง นโยบายในการรักษาความมั่นคงปลอดภัยดานสารสนเทศ ขั้นตอนปฏิบัติงาน หรือการควบคุมเกี่ยวกับความมั่นคง ปลอดภัยดานสารสนเทศ โดยคํานึงถึงระดับความสําคัญของการดําเนินธุรกิจที่เกี่ยวของและการประเมินความเสี่ยง อยางตอเนื่อง
15. การเตรียมความพรอมกรณีฉุกเฉิน
    เพื่อใหมีการบริหารจัดการความตอเนื่องใหกับกระบวนการทางธุรกิจที่สําคัญขององคกร เมื่อมีเหตุการณที่ทําให เกิดการหยุดชะงกัหรือติดขัดตอกระบวนการดังกลา ว โดยมีแนวปฏิบัติดังนี้
    16.1 ผูดูแลระบบตองกําหนดระบบที่มีความสําคัญทั้งหมดขององคกร และจัดทําเปนบัญชีรายชื่อระบบ ดังกลาวรวมทั้งปรับปรุงรายช่อืระบบสาํคัญและบัญชีฯ ตามความเปนจริง
    16.2 เจาของขอมูลและผูดูแลระบบประเมินความเสี่ยงสําหรับระบบเหลานั้น กําหนดมาตรการเพื่อลดความเสี่ยง ที่พบและจัดทํารายงานการประเมินความเสี่ยง
    16.3 ผูดูแลระบบตองทบทวน/ปรับปรุงแผนบริหารความตอเนื่องทางธุรกิจ (Business Continity Plan: BCP) อยางนอยปละ 1 ครั้ง
    16.4 ผูดูแลระบบจัดทําและปรับปรุงแผนกูคืนระบบอยางนอยปละ 1 ครั้ง
    16.5 เจาของขอมูลและผูดูแลระบบตองทดสอบแผนบริหารความตอเนื่องทางธุรกิจและแผนกูคืนระบบอยางนอย ปละ 1 ครั้ง พรอมท้งับันทึกผลการทดสอบรวมถึงปญ หาท่พี บ และนําเสนอผลการทดสอบและแนวทางแกไข ตอผูบังคับบัญชา
    16.6 ผูดูแลระบบตองจัดประชุมและชี้แจงใหผูที่เกี่ยวของทั้งหมดไดรับทราบเกี่ยวกับแผนบริหารความตอเน่ือง ทางธุรกิจและแผนกูคืน และผลของการฝกซอมการกูคืนระบบและผลการทดสอบแผนบริหารความตอเนื่อง ทางธุรกิจ

38
สว นท่ี14
การถายโอน และแลกเปลี่ยนขอ มูลสารสนเทศ
วัตถุประสงค
▪ เพื่อใหมกีารควบคุมการถายโอนและแลกเปลี่ยนขอมูลสารสนเทศ ปองกันการรั่วไหล หรือมีการแกไขขอมูลโดยที่ ไมไ ดรับอนุญาต รวมถงึการปองกันสื่อบันทึกขอมูลใหมีความปลอดภัยเปน ไปตามขอกําหนด ผูรับผิดชอบ
▪ ผูบงัคับบัญชา
▪ เจาของขอมูล
▪ ผูดูแลระบบ
อางอิงมาตรฐาน: ISO/IEC 27001:2022
▪ มาตรการควบคุมดานองคกร (Organizational Controls)
▪ มาตรการควบคุมดานเทคโนโลยี (Technological Controls)
แนวปฏิบัติ

1. ผูบังคับบัญชา ตองควบคุมใหมีการจัดทํานโยบาย และขั้นตอนการปฏิบัติเพื่อปองกันขอมูลสารสนเทศที่มีการ สื่อสาร หรือแลกเปลี่ยนผานระบบสารสนเทศใหเหมาะสมตามระดับชั้นความลับขอมูลสารสนเทศ ตามขั้นตอนที่ รฟม. กาํ หนด
2. ผูบงัคับบัญชา และเจาของขอ มลู ตองควบคุมใหมีการจัดทําขอตกลงในการแลกเปลี่ยนขอมูลสารสนเทศระหวาง องคกรกับบุคคลหรอืหนวยงานภายนอก
3. ผูดูแลระบบตองแลกเปลี่ยนขอมูลสารสนเทศตองแลกเปลี่ยนผานชองทางที่ปลอดภัย เชน Web Service ที่ใชงาน ผานโปรโตคอล HTTPS
4. ผูดูแลระบบตองปดบังขอมูล (Data Masking) ทั้งขอมูลสวนบุคคลและขอมูลออนไหวขององคกร (Sensitive Data) ที่มีการถายโอนหรือแลกเปลี่ยนขอมูล
5. ผูดูแลระบบ ตองมีการปองกันขอมูลสารสนเทศที่มีการสื่อสารกันผานขอมูลอิเล็กทรอนิกส (Electronic Messaging) เชน จดหมายอิเล็กทรอนิกส (Email) หรือ Instant Messaging ดวยวิธีการหรือมาตรการที่เหมาะสม 6. ผูดูแลระบบ ตองปองกันขอมูลสารสนเทศที่มีการแลกเปลี่ยนในการทําพาณิชยอิเล็กทรอนิกส (Electronic Commerce) ผานเครือขายคอมพิวเตอรสาธารณะ เพื่อมิใหมีการฉอโกง ละเมิดสัญญา หรือมีการรั่วไหล หรือ ขอมูลสารสนเทศถูกแกไขโดยมิไดรับอนุญาต
6. ผูดูแลระบบ ตองปองกันขอมูลสารสนเทศท่ีมีการสื่อสาร หรือแลกเปลี่ยนในการทําธุรกรรมทางออนไลน (Online Transaction) เพื่อมิใหมีการรับสงขอมูลท่ีไมสมบูรณสงขอมูลไปผิดที่ การรั่วไหลของขอมูล ขอมูลถูกแกไข เปลี่ยนแปลง ถูกทําซ้ําใหม หรือถูกสงซํ้าโดยมิไดรับอนุญาต
7. ผูดูแลระบบ ตองควบคุมการรับสงขอมูลสารสนเทศเพื่อปองกนัความผิดพลาด ดังนี้
   8.1 ความไมสมบูรณของขอมูลสารสนเทศที่รับ-สง
   8.2 การสงขอมูลสารสนเทศผิดจุดหมายปลายทาง
   8.3 การเปลี่ยนแปลงขอมูลสารสนเทศโดยไมไดรับอนุญาต
   8.4 การเปดเผยขอมลูสารสนเทศโดยไมไดรับอนุญาต
   8.5 การเขาถึงขอมูลสารสนเทศโดยไมไดรับอนุญาต
   8.6 การนําขอ มูลสารสนเทศกลับมาใชใหมโดยไมไดรับอนุญาต
8. เจาของขอมลู และผูดูแลระบบ ตองมีการปองกันขอมูลสารสนเทศที่มีการเผยแพรตอสาธารณชน มิใหมีการแกไข เปลี่ยนแปลงโดยมิไดรับอนุญาต เพื่อรักษาความถูกตองครบถวนของขอมูลสารสนเทศ
   39
   สว นท่ี15
   การควบคมุ การเขารหัส
   วัตถุประสงค
   ▪ เพื่อใหมีการเขารหัสขอมูลอยางเหมาะสมและมีประสิทธิผลในการปกปองความลบั ปองกัน การปลอมแปลงขอ มูลและ ควบคุมความถูกตองของขอมูล
   ผูรับผิดชอบ
   ▪ ผูดูแลระบบ
   ▪ เจาของขอมูล
   ▪ ผูใชงาน
   อางอิงมาตรฐาน: ISO/IEC 27001:2022
   ▪ มาตรการควบคุมดานเทคโนโลยี (Technological Controls)
   แนวปฏิบัติ
9. เจาของขอมลู ตองเขารหัส หรือการใสร หสัผานขอมูลอิเล็กทรอนิกสขององคกรตามระดับชั้นความลับเพื่อปองกัน ผูไมมสีิทธิ์เขาถึง ตามระเบียบวาดวยการรักษาความลับของทางราชการ พ.ศ. 2544 และตามขั้นตอนที่ รฟม. กําหนด 2. เจาของขอมูล ผูดูแลระบบ และผูใชงานตองปฏิบัติตามระเบียบวาดวยการรักษาความลับของทางราชการ พ.ศ. 2544 ในการนําการเขารหัสมาใชกับขอมูลที่เปนความลับจะตองใชวธิีการเขารหสั (Encryption) ที่เปนมาตรฐานสากล 3. ผูดูแลระบบ ตองใชวิธีการเขารหัส (Encryption) ที่เปนมาตรฐานสากล หลีกเลี่ยงการใชรูปแบบการเขารหัส ที่พัฒนาขึ้นเอง เพื่อใหมั่นใจวาขั้นตอนวิธี (Algorithm) ที่ใชในการเขารหัสน้นั มีความมั่นคงปลอดภัย ดังนี้
   ประเภทกุญแจ / วิธีการเขารหัส เกณฑขั้นต่ํา ความยาวกุญแจ (อยางนอย) กุญแจแบบสมมาตร (Symmetric) AES 256 bits
   กุญแจแบบอสมมาตร (Asymmetric) RSA 1024 bits

การ Hashing
BCrypt
Cost Factor 10ขึ้นไป

4. ผูดูแลระบบ ตองมีการทบทวนข้นัตอนวิธี(Algorithm) และความยาวของกุญแจที่เขารหัสอยางนอยปละ 1 ครั้ง เพื่อใหยังสามารถรักษาไวซึ่งความมั่นคงปลอดภัย
5. ผูดูแลระบบ ตองกําหนดใหมีการบริหารจดัการกุญแจที่ใชในการเขารหัส ดังนี้
   5.1 การสรางกุญแจรหัสควรกระทําในสถานที่ที่มีมาตรการปองกันความปลอดภัย
   5.2 เมื่อมีการสรางกุญแจรหัสที่เปนกุญแจลับ (Private key) ควรสงมอบใหกับเจาของกุญแจโดยตรง โดยวิธีการ ที่ปลอดภัย
   5.3 ควรจัดใหมีการเก็บบนั ทึก Log เพื่อการตรวจสอบสําหรับกิจกรรมตาง ๆ ท่เีกี่ยวของกบัการจัดการกุญแจรหัส 6. ผูใชงาน ควรรักษาความปลอดภัยในการใชงานกุญแจ ดังนี้
   6.1 เก็บกญุ แจรหัสในสถานที่ที่ปลอดภัย เชน ตูนิรภัย หรือสื่อบนั ทึกที่ปลอดภัย และไมมใีครสามารถเขาถึงได 6.2 เมื่อมีการรับกญุ แจสาธารณะ (Public Key) มาใช กอนใชงานจะตองพิสูจนความถูกตองของกุญแจสาธารณะ โดยสอบถามกับผูสงหรือตรวจสอบกับผูแทนในการรับรองความถูกตองของกุญแจสาธารณะ (Certificate Authority) ที่เชื่อถือไดเทานั้น
   6.3 ควบคุมการใชงานและจัดเก็บกุญแจใหสอดคลองกับการรักษาความลับขอมูลตามที่ รฟม. กาํ หนด
   40
   สว นท่ี16
   การนําอปุ กรณสวนตัวมาใชงาน (Bring your own device)
   วัตถุประสงค
   ▪ เพื่อควบคุมการนําอุปกรณสวนตัวมาเชื่อมตอหรือเขาถึงระบบสารสนเทศของ รฟม. ที่ใชในการบริหารจัดการ ระบบสารสนเทศของ รฟม. หรือปฏิบัติงานให รฟม. ทั้งนี้เพื่อปองกันภัยคุกคามที่อาจจะเกิดขึ้นกับระบบ สารสนเทศของ รฟม. รวมถึงเพื่อปองกันไมใหขอมูลของ รฟม. เกิดการรั่วไหล
   ผูรับผิดชอบ
   ▪ ผูดูแลระบบ
   ▪ ผูใชงาน
   อางอิงมาตรฐาน: ISO/IEC 27001:2022
   ▪ มาตรการควบคุมดานบุคลากร (People Controls)
   ▪ มาตรการควบคุมดานเทคโนโลยี (Technological Controls)
   แนวปฏิบัติ
6. ผูดูแลระบบตองกําหนดคุณสมบัติของระบบปฏิบัติการของอุปกรณสวนตัวที่อนุญาตใหนํามาเชื่อมตอหรือเขาถึง ระบบงานสารสนเทศของ รฟม. ได โดยตองเปนระบบปฏิบัติการที่ไมลาสมัย (Obsolete Operating System) และยังไดรับการสนับสนุนการใชงานจากเจาของผลิตภัณฑ
7. ผูดูแลระบบตองตัดการเชื่อมตอหากระบบปฏิบัติการของอุปกรณสวนตัวที่อนุญาตใหนํามาเชื่อมตอหรือเขาถึง ระบบงานสารสนเทศของ รฟม. เกิดการลาสมัย (Obsolete Operating System) หรือเจาของผลิตภัณฑ ไมสนับสนุนการใชงานแลว
8. ผูดูแลระบบตองมีมาตรการปองกันมัลแวร และตรวจสอบการอัปเดต Patch เวอรชันของระบบปฏิบัติการท่ี เจาของผลิตภัณฑยังใหการสนับสนุนการใชงาน
9. ผูดูแลระบบตองไมอนุญาตใหอุปกรณที่มีการปรับแตงการเขาถึงระบบปฏิบัติการ (Rooted/Jailbroken) มาเชื่อมตอ หรือเขาถงึระบบสารสนเทศของ รฟม.
10. ผูดูแลระบบตองแบง แยกเครือขายของอุปกรณสวนตัวที่นํามาเชื่อมตอหรือเขาถึงระบบสารสนเทศของ รฟม. 6. ผูดูแลระบบตองทบทวนเวอรชันของระบบปฏิบัติการที่อนุญาตใหนํามาเชื่อมตอกับระบบสารสนเทศของ รฟม. อยางนอยปละ2คร้ัง หากมีการเปลี่ยนแปลงเวอรชันของระบบปฏบิัติการที่อนุญาตใหเขาถึงระบบสารสนเทศของรฟม. ผูดูและระบบตองแจงใหผูใชงานรับทราบลวงหนา 7 วัน กอนเริ่มบังคับใช
11. ผูใชงานตองติดตั้งโปรแกรมปองกันมัลแวรตามเง่อืนไขที่ รฟม. กาํ หนด
12. ผูใชงานตองไมนําอุปกรณสวนตัวที่ติดต้ังแอปพลิเคชันนอก Official Store มาเชื่อมตอหรือเขาถึงระบบงาน สารสนเทศของ รฟม.
13. ผูใชงานตองไมนําอุปกรณสวนตัวท่ีติดตั้งโปรแกรมละเมิดลิขสิทธิ์มาเชื่อมตอหรือเขาถึงระบบงานสารสนเทศ ของ รฟม.
14. ผูใชงานตองอัปเดต Patch ของระบบปฏิบัติการที่อุปกรณสวนตัวใหเปนเวอรช ันลาสุดรวมถงึตองเปนระบบปฏบิัติการ ที่เจาของผลิตภัณฑยังใหการสนับสนุนการใชงาน
15. ผูใชงานตองยืนยันตัวตนกอนเขาถึงระบบสารสนเทศของ รฟม. ทุกคร้งั
16. ผูใชงานตองติดตั้ง Network Access Control agent (NAC agent) หรือ Mobile Device Management Agent (MDM Agent) ตามที่ รฟม. กําหนด เพื่อควบคุมการใชงานเครือขา ยและการเขาถึงระบบสารสนเทศของ รฟม. 13. กรณีอุปกรณสวนตัวสูญหายหรือถูกขโมยผูใชงานตองแจงผูดูแลระบบโดยเร็วที่สุด เพื่อจัดการขอมูลที่จัดเก็บอยู ในอุปกรณสวนตัวของผูใชงาน
17. ผูใชงานตองเขาถึงระบบสารสนเทศของ รฟม. ผานชองทางที่ รฟม. กําหนด เชน VPN
    41
    สว นท่ี17
    การใชบริการ Cloud (Cloud Services)
    วัตถุประสงค
    ▪ เพื่อควบคุมการเลือกใชงาน การบริหารจัดการ และการยกเลิกการใชบริการ Cloud อยางปลอดภัย ผูรับผิดชอบ
    ▪ ผูบงัคับบัญชา
    ▪ ผูดูแลระบบ
    ▪ เจาของระบบ/เจาของขอมูล
    อางอิงมาตรฐาน: ISO/IEC 27001:2022
    ▪ มาตรการควบคุมดานองคกร (Organizational Controls)
    แนวปฏิบัติ
18. ผูบังคับบัญชาตองควบคุม กาํกบั ดูแล ใหการใชงานบริการ Cloud สอดคลองตามที่กฎหมาย นโยบาย ระเบียบ หรือขอบงัคับที่ภาครัฐกําหนด
19. ผูดูแลระบบตองวิเคราะหความเสี่ยงกอนเลือกบรกิาร Cloud มาใชงานภายในองคกร
20. ผูดูแลระบบตองเลือกใชบริการ Cloud ตามที่กฎหมาย นโยบาย ระเบียบ หรือขอบังคับที่ภาครัฐกาํ หนด 4. ผูดูแลระบบตองเลือกผูใหบริการ Cloud (Cloud Service Provider) ที่เหมาะสมกับการดําเนินงานองคกร 5. ผูดูแลระบบตองพิจารณาขอกําหนดหรือเงื่อนไขของผูใหบริการ Cloud (Cloud Service Provider) ใหชัดเจน กอนตัดสินใจเลือกใชบริการ
21. ผูดูแลระบบตองเลือกใชบริการ Cloud ที่เหมาะสมกับการดําเนินงานขององคกร
22. ผูดูแลระบบตองเลือกใชบริการ Cloud ที่มีการรักษาความปลอดภัย การบริหารจัดการความตอเนื่องทางธุรกิจ และการจัดใหมีระบบฉุกเฉินสํารองตามมาตรฐานสากล เชน ISO, NIST หรือ CSA STAR
23. ผูดูแลระบบตองเลือกใชบริการ Cloud ท่ีมีความพรอมใชงานของบริการครอบคลุมรอยละของเวลาที่พรอม ใหบริการตอป (Uptime) อยางนอยรอยละ 99.00
24. ผูดูแลระบบตองเลือกใชบริการ Cloud ที่มีการรักษาความมั่นคงปลอดภัยของขอมูลสวนบุคคลตาม พ.ร.บ. คุมครอง ขอมูลสวนบุคคล พ.ศ. 2562 หรือกฎหมายคุมครองขอมูลสวนบุคคลของสหภาพยุโรป (General Data Protection Regulation: GDPR) หรือเทียบเทา
25. ผูดูแลระบบ และเจาของระบบ/เจาของขอมูลตองพิจารณาขอมูลสารสนเทศที่จะนําไปใชงานบนระบบ Cloud ใหสอดคลองตามที่กฎหมาย นโยบาย ระเบียบ หรือขอ บังคบั ที่ภาครัฐกาํ หนด
26. ผูดูแลระบบตองติดตาม ทบทวน และประเมินผลการใชบริการ Cloud อยางนอยปละ 1 ครั้ง