ประกวดราคาจ้างปรับปรุงระบบแจ้งปัญหาการใช้งานระบบสารสนเทศ (Help Desk)
การรถไฟฟ้าขนส่งมวลชนแห่งประเทศไทย (รฟม.) มีความประสงค์จะดำเนินการโครงการจ้างปรับปรุงระบบแจ้งปัญหาการใช้งานระบบสารสนเทศ (Help Desk) เพื่อเพิ่มประสิทธิภาพการให้บริการด้านเทคโนโลยีสารสนเทศให้เป็นระบบ มาตรฐาน และสามารถตอบสนองความต้องการของผู้ใช้งานได้อย่างมีประสิทธิภาพและต่อเนื่อง วัตถุประสงค์หลักของโครงการคือ เพื่อเพิ่มประสิทธิภาพการให้บริการด้านเทคโนโลยีสารสนเทศ, เพื่อให้มีเครื่องมือสำหรับรับแจ้งเหตุการณ์ผิดปกติ (Incident) และการร้องขอบริการ (Service Request) ด้านเทคโนโลยีสารสนเทศอย่างเป็นระบบ, เพื่อให้สามารถบริหารจัดการเหตุการณ์ผิดปกติ (Incident), การร้องขอบริการ (Service Request) และการแก้ไขปัญหา (Problem Management) ได้อย่างเป็นระบบ, และเพื่อให้สามารถติดตาม ตรวจสอบ และประเมินผลการให้บริการด้านเทคโนโลยีสารสนเทศได้ โครงการนี้จะครอบคลุมถึงการจัดหาระบบซอฟต์แวร์ที่ทำงานบน Cloud พร้อม License ที่จำเป็น, การตั้งค่าระบบให้สามารถทำงานร่วมกับระบบ Azure Active Directory ของ รฟม., การออกแบบและจัดทำ Service Catalog และ Service Level Agreement (SLA), การฝึกอบรมเจ้าหน้าที่, และการบำรุงรักษาระบบเป็นระยะเวลา 365 วันหลังการตรวจรับงานงวดสุดท้าย
English summary
The Mass Rapid Transit Authority of Thailand (MRTA) intends to procure services for the improvement of its Information System Incident Reporting System (Help Desk). The project aims to enhance the efficiency of IT services by upgrading the Help Desk system, establishing a systematic center for receiving Incidents and Service Requests, and enabling systematic management of problems (Problem Management) and service performance evaluation in line with Service Level Agreements (SLA) to improve user satisfaction. The project scope includes the procurement of cloud-based software with necessary licenses, system configuration for integration with MRTA’s Azure Active Directory, design and implementation of a Service Catalog and SLA, staff training, and system maintenance for 365 days post-final acceptance.
สำนักงานใหญ่ของการรถไฟฟ้าขนส่งมวลชนแห่งประเทศไทย
ข้อมูลเชิงลึกของโครงการ
AI วิเคราะห์เป้าหมายโครงการ
- เพื่อเพิ่มประสิทธิภาพการให้บริ การด้านเทคโนโลยีสารสนเทศ
- เพื่อให้มีเครื่องมือสำหรับรับแจ้งเหตุการณ์ผิดปกติ (Incident) และการร้องขอบริการ (Service Request) ด้านเทคโนโลยีสารสนเทศอย่างเป็นระบบ
- เพื่อให้สามารถบริหารจัดการเหตุการณ์ผิดปกติ (Incident) การร้องขอบริการ (Service Request) และการแก้ไขปัญหา (Problem Management) ได้อย่างเป็นระบบ
- เพื่อให้สามารถติดตาม ตรวจสอบ และประเมินผลการให้บริการด้านเทคโนโลยีสารสนเทศได้
ขอบเขตของงาน
- การประชุมเริ่มงาน (Kickoff Meeting) และนำเสนอแผนการดำเนินงาน
- การเสนอเจ้าหน้าที่ผู้เชี่ยวชาญด้าน IT Service Management (ITSM) พร้อมใบรับรอง ITIL 4 Foundation Certification หรือสูงกว่า
- การศึกษากระบวนการทำงานปัจจุบันเพื่อออกแบบกระบวนการทำงานที่เหมาะสม
- การออกแบบและจัดทำ Service Catalog และ Service Level Agreement (SLA)
- การจัดส่งเอกสารรับรองตามมาตรฐานหรือกฎหมายด้านความมั่นคงปลอดภัยสารสนเทศ, การตรวจสอบระบบรักษาความปลอดภัยข้อมูล, การบริการเทคโนโลยีสารสนเทศ, และการคุ้มครองข้อมูลส่วนบุคคล
- การจัดหาและกำหนดค่าของระบบ Help Desk ที่เสนอให้มีความปลอดภัยและใช้งานร่วมกับระบบสารสนเทศของ รฟม. ได้อย่างมีประสิทธิภาพ
- การตั้งค่าระบบให้ทำงานร่วมกับ Azure Active Directory ของ รฟม. และสามารถยืนยันตัวตนได้
- การตั้งค่าให้ใช้ SSL Certificate ของ รฟม.
- การกำหนดค่า Service Catalog และ SLA บนระบบ Help Desk
- การสำรองข้อมูลและค่า Configuration
- การจัดหาจอภาพขนาดไม่น้อยกว่า 50 นิ้ว เพื่อแสดงสถานะของ Ticket
- การกำหนดสิทธิ์การเข้าถึงระบบที่แตกต่างกันในแต่ละระดับ (Role Matrix)
- การวิเคราะห์และปิดช่องโหว่ (Hardening) ของระบบ Help Desk
- การพัฒนา Chatbot หรือ AI Agent บน Line Official Account ของ รฟม.
- การย้ายหรือนำเข้าข้อมูล Ticket และการแจ้งเตือนช่องโหว่จากระบบ Help Desk เดิม
- การนำเข้าข้อมูล IT Asset, Configuration Item (CI), รายชื่อคู่สัญญา/ผู้รับจ้าง, และ Knowledge Base (KEDB)
- การส่งมอบเอกสารแสดงสิทธิ์การใช้งานซอฟต์แวร์ที่ถูกต้องตามกฎหมาย
- การจัดทำรายงานภาพรวมการเชื่อมโยงของแต่ละกระบวนงาน (Business Architecture) และรายงานข้อมูล (Data Architecture)
- การจัดส่งรายงานผลการดำเนินงานและเอกสารที่เกี่ยวข้องในรูปแบบไฟล์ดิจิทัลบน External Hard Disk
- การจัดฝึกอบรม/สัมมนาให้แก่เจ้าหน้าที่ รฟม. จำนวน 3 หลักสูตร
- การจัดหาเจ้าหน้าที่ประจำที่สำนักงานใหญ่ของ รฟม. ตลอดอายุสัญญา จำนวน 1 คน
สิ่งที่ต้องส่งมอบ
- แผนการดำเนินงาน
- เอกสารรับรองคุณวุฒิ ITIL 4 Foundation Certification หรือสูงกว่า
- เอกสารรับรองตามมาตรฐานหรือกฎหมายด้านความมั่นคงปลอดภัยสารสนเทศ, การตรวจสอบระบบรักษาความปลอดภัยข้อมูล, การบริการเทคโนโลยีสารสนเทศ, และการคุ้มครองข้อมูลส่วนบุคคล
- Service Catalog
- Service Level Agreement (SLA)
- การตั้งค่าระบบ Help Desk ที่สมบูรณ์
- Chatbot หรือ AI Agent บน Line Official Account
- ข้อมูล IT Asset, CI, รายชื่อคู่สัญญา/ผู้รับจ้าง, และ KEDB ที่นำเข้าสู่ระบบ
- เอกสารแสดงสิทธิ์การใช้งานซอฟต์แวร์
- รายงาน Business Architecture
- รายงาน Data Architecture
- รายงานผลการดำเนินงานและเอกสารที่เกี่ยวข้องในรูปแบบไฟล์ดิจิทัลบน External Hard Disk
- เอกสารประกอบการฝึกอบรม
- รายงานการปฏิบัติงานประจำเดือนของเจ้าหน้าที่
ระยะเวลาดำเนินการ
180 วัน นับถัดจากวันที่ลงนามในสัญญา
คุณสมบัติผู้เสนอราคา
- Eligibility Requirements:
- มีความสามารถตามกฎหมาย
- ไม่เป็นบุคคลล้มละลาย
- ไม่เป็นบุคคลที่อยู่ระหว่างเลิกกิจการ
- ไม่เป็นบุคคลซึ่งอยู่ระหว่างถูกระงับการยื่นข้อเสนอหรือทำสัญญากับหน่วยงานของรัฐ
- ไม่เป็นบุคคลซึ่งถูกระบุชื่อไว้ในบัญชีรายชื่อผู้ทิ้งงาน
- มีคุณสมบัติและไม่เป็นลักษณะต้องห้ามตามที่คณะกรรมการนโยบายการจัดซื้อจัดจ้างฯ กำหนด
- เป็นนิติบุคคลผู้มีอาชีพรับจ้างหรือจำหน่ายพัสดุในงานที่เกี่ยวข้อง
- ไม่เป็นผู้มีผลประโยชน์ร่วมกันกับผู้ยื่นข้อเสนอรายอื่น
- ไม่เป็นผู้ได้รับเอกสิทธิ์หรือความคุ้มกัน
- ผู้ยื่นข้อเสนอที่ยื่นข้อเสนอในรูปแบบ “กิจการร่วมค้า” ต้องมีคุณสมบัติตามหนังสือคณะกรรมการวินิจฉัยปัญหากรมบัญชีกลาง
- ต้องลงทะเบียนในระบบจัดซื้อจัดจ้างภาครัฐด้วยอิเล็กทรอนิกส์ (e-GP)
- ต้องมีมูลค่าสุทธิของกิจการเป็นไปตามเงื่อนไขที่กำหนด
- กรณีเป็นผู้ประกอบการ SMEs ต้องมีคุณสมบัติตามคู่มือฯ
- ต้องมีหนังสือรับรองการเป็นตัวแทนจำหน่ายผลิตภัณฑ์ที่เสนอจากบริษัทผู้ผลิต หรือบริษัทสาขา (กรณีเป็นหนังสือจากตัวแทนจำหน่ายในไทย ต้องแนบสำเนาเอกสารแต่งตั้ง)
- เอกสารต้องมีอายุไม่เกิน 90 วัน นับจากวันที่ออกจนถึงวันที่ยื่นข้อเสนอ
- Standards Compliance:
- ด้านความมั่นคงปลอดภัยสารสนเทศ: ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018
- ด้านการตรวจสอบระบบรักษาความปลอดภัยข้อมูล: SOC 2 Type II
- ด้านการบริการเทคโนโลยีสารสนเทศ: ISO/IEC 20000
- ด้านการคุ้มครองข้อมูลส่วนบุคคล: GDPR หรือ PDPA
- Experience:
- มีอาชีพรับจ้างหรือจำหน่ายพัสดุในงานที่เกี่ยวข้องกับการประกวดราคาครั้งนี้ (โดยนัย)
- (ไม่ได้ระบุประสบการณ์เฉพาะเจาะจง เช่น จำนวนปี หรือประเภทโครงการที่เคยทำ)
- Previous Project Cost:
- (ไม่ได้ระบุ)
- Technical Capabilities:
- ซอฟต์แวร์ที่เสนอต้องทำงานบน Cloud
- มีความสามารถในการบันทึก Incident, Service Request, Change Request, Problem Management
- มีความสามารถในการส่ง Email แจ้งเตือน, แจ้งเตือนผู้อำนาจอนุมัติ, ส่งแบบประเมินความพึงพอใจ
- มีความสามารถในการทำ Template สำหรับ Incident, Service Request, Change Request, Problem Management
- มีความสามารถในการ Sync รายชื่อและยืนยันตัวตนกับ Azure Active Directory
- สามารถเปิด Ticket อัตโนมัติผ่าน Line Official Account และ Email
- มีความสามารถในการบริหารจัดการโครงการ (Project Management) และ IT Asset, Configuration Item (CI)
- มีความสามารถในการรวบรวมและจัดเก็บ Knowledge Base
- มีความสามารถในการกำหนด SLA และ Service Catalog
- มีความสามารถในการ Remote Desktop
- มีระบบบันทึก Log (History Role-based access control, Transaction Log, System Status Log)
- สามารถใช้งานระบบในรูปแบบ Mobile Application
- สามารถจัดทำรายงาน (Report) และ Export ในรูปแบบ CSV และ PDF
- มีระบบปัญญาประดิษฐ์ (AI) สำหรับให้คำแนะนำ, สืบค้น, จัดทำ Knowledge Base, และวิเคราะห์แนวโน้ม
- Personnel:
- เจ้าหน้าที่ประจำสัญญาต้องมีวุฒิการศึกษาไม่ต่ำกว่าระดับปริญญาตรี
- เจ้าหน้าที่ต้องมีความรู้ความชำนาญด้านการจัดการบริการเทคโนโลยีสารสนเทศ (ITSM) และมีใบรับรองคุณวุฒิ ITIL 4 Foundation Certification หรือดีกว่า (อายุไม่เกิน 2 ปี)
- เจ้าหน้าที่ต้องไม่มีประวัติอาชญากรรม (ยกเว้นความผิดโดยประมาทหรือลหุโทษ)
- เจ้าหน้าที่ต้องมีทักษะในการให้บริการ, การสื่อสาร, มนุษยสัมพันธ์ที่ดี, กระตือรือร้น และพร้อมเรียนรู้อยู่เสมอ
- เจ้าหน้าที่ต้องมีอุปกรณ์และซอฟต์แวร์สำหรับปฏิบัติงาน (คอมพิวเตอร์, ซอฟต์แวร์ที่จำเป็น, โทรศัพท์ตั้งโต๊ะ, โทรศัพท์เคลื่อนที่พร้อมค่าบริการ)
เกณฑ์การพิจารณา
หลักเกณฑ์ราคา
ข้อกำหนดทางเทคนิค
- ซอฟต์แวร์ที่เสนอต้องทำงานบน Cloud
- จำนวนสิทธิ์การใช้งาน: Technician ไม่น้อยกว่า 33 License, IT Asset ไม่น้อยกว่า 1,200 License
- ความสามารถในการบันทึก Incident, Service Request, Change Request, Problem Management
- ความสามารถในการส่ง Email แจ้งเตือน, แจ้งเตือนผู้อำนาจอนุมัติ, ส่งแบบประเมินความพึงพอใจ
- ความสามารถในการทำ Template สำหรับ Incident, Service Request, Change Request, Problem Management
- ความสามารถในการ Sync รายชื่อและยืนยันตัวตนกับ Azure Active Directory ของ รฟม.
- ความสามารถในการเปิด Ticket อัตโนมัติผ่าน Line Official Account และ Email (Microsoft Exchange 365)
- ความสามารถในการบริหารจัดการโครงการ (Project Management) และ IT Asset, Configuration Item (CI)
- ความสามารถในการรวบรวมและจัดเก็บ Knowledge Base
- ความสามารถในการกำหนด SLA และ Service Catalog
- ความสามารถในการ Remote Desktop
- ระบบบันทึก Log (History Role-based access control, Transaction Log, System Status Log)
- ความสามารถในการใช้งานระบบในรูปแบบ Mobile Application
- ความสามารถในการจัดทำรายงาน (Report) และ Export ในรูปแบบ CSV และ PDF
- ระบบปัญญาประดิษฐ์ (AI) สำหรับให้คำแนะนำ, สืบค้น, จัดทำ Knowledge Base, และวิเคราะห์แนวโน้ม
- การรับรองมาตรฐาน ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018, SOC 2 Type II, ISO/IEC 20000, GDPR หรือ PDPA
- การเข้ารหัสข้อมูล (Data Masking)
- การเชื่อมต่อกับระบบ Azure Active Directory
- การรองรับการทำงานร่วมกับระบบสารสนเทศของ รฟม.
- การรักษาความมั่นคงปลอดภัยตามมาตรฐาน OWASP Top 10, OWASP API Security Top 10, CWE Top 25
เงื่อนไขสัญญา
- การแบ่งงวดงานและการจ่ายเงิน: แบ่งออกเป็น 3 งวด
- งวดที่ 1: ร้อยละ 10 ของมูลค่าสัญญา (เมื่อดำเนินการตามขอบเขตงานงวดที่ 1 เรียบร้อย)
- งวดที่ 2: ร้อยละ 60 ของมูลค่าสัญญา (เมื่อดำเนินการตามขอบเขตงานงวดที่ 2 เรียบร้อย)
- งวดที่ 3 (งวดสุดท้าย): ร้อยละ 30 ของมูลค่าสัญญา (เมื่อดำเนินการตามขอบเขตงานงวดที่ 3 เรียบร้อย)
- การบำรุงรักษา (Preventive Maintenance): 365 วัน นับถัดจากวันที่ตรวจรับงานงวดสุดท้าย
- การรับประกันความชำรุดบกพร่อง: ตลอดอายุสัญญา
- การแก้ไขความชำรุดบกพร่องภายใน 2 ชั่วโมง และซ่อมแซมให้ใช้งานได้ภายใน 24 ชั่วโมง (On-Site Service 24/7)
- คุณภาพการให้บริการ (SLA) ไม่ต่ำกว่าร้อยละ 96.5 ต่อเดือน
- อัตราค่าปรับ:
- กรณีส่งมอบล่าช้า หรือคุณสมบัติไม่ถูกต้อง: ปรับร้อยละ 0.10 ของมูลค่าตามสัญญาต่อวัน
- กรณีเจ้าหน้าที่ปฏิบัติงานไม่ครบชั่วโมง: ปรับ 125 บาทต่อชั่วโมง
- กรณีเจ้าหน้าที่ไม่มาปฏิบัติงาน: ปรับ 1,000 บาทต่อวัน
- กรณีไม่ดำเนินการบำรุงรักษา: ปรับร้อยละ 0.01 ของมูลค่าตามสัญญาต่อครั้ง
- กรณีไม่สามารถให้บริการตาม SLA: ปรับร้อยละ 0.10 ของมูลค่าตามสัญญาต่อชั่วโมง
- การรักษาความมั่นคงปลอดภัย:
- ห้ามเปิดเผยข้อมูลที่เป็นความลับ
- ผู้ปฏิบัติงานต้องลงนามในสัญญาไม่เปิดเผยความลับ (NDA)
- เข้าร่วมการฝึกอบรมด้านความมั่นคงปลอดภัยสารสนเทศ
- พัฒนาและออกแบบระบบตามมาตรฐาน Open Web Application Security Project (OWASP) Top 10, OWASP API Security Top 10, CWE Top 25
- ตรวจสอบความมั่นคงปลอดภัยของ Source Code (Source Code Review)
- ควบคุมเวอร์ชัน (Version Control) ของระบบฯ และ Source Code
- เลือกใช้ซอฟต์แวร์, เครื่องมือ, หรือภาษาที่ใช้ในการพัฒนาระบบเป็นเวอร์ชัน Long Term Support (LTS) หรือเวอร์ชันล่าสุด
- ปิดบังข้อมูลส่วนบุคคลและข้อมูลอ่อนไหวด้วย Data Masking และเข้ารหัสข้อมูล (Encryption)
- กรรมสิทธิ์ซอฟต์แวร์: ซอฟต์แวร์ (Source code), รายงาน, หรือเอกสารที่พัฒนาขึ้นตกเป็นกรรมสิทธิ์และลิขสิทธิ์ของ รฟม. ทั้งหมด
คำถามที่พบบ่อย (FAQ)
- Q: ระบบ Help Desk ที่เสนอต้องเป็นซอฟต์แวร์ประเภทใด?
- A: ซอฟต์แวร์ที่เสนอต้องเป็นซอฟต์แวร์ที่ทำงานบน Cloud
- Q: รฟม. ต้องการ License สำหรับผู้ใช้งานกี่ประเภทและจำนวนเท่าใด?
- A: ต้องการ License สำหรับเจ้าหน้าที่ (Technician) ไม่น้อยกว่า 33 License และสำหรับทรัพยากร (IT Asset) ไม่น้อยกว่า 1,200 License
- Q: ระบบ Help Desk ต้องสามารถเชื่อมต่อกับระบบใดของ รฟม. ได้บ้าง?
- A: ระบบต้องสามารถ Sync รายชื่อและยืนยันตัวตนกับระบบ Azure Active Directory ของ รฟม. ได้
- Q: มีข้อกำหนดด้านมาตรฐานความปลอดภัยสำหรับซอฟต์แวร์ที่เสนอหรือไม่?
- A: ใช่ ซอฟต์แวร์ต้องมีเอกสารรับรองตามมาตรฐานด้านความมั่นคงปลอดภัยสารสนเทศ เช่น ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018 และมาตรฐานด้านการบริการเทคโนโลยีสารสนเทศ เช่น ISO/IEC 20000
- Q: มีข้อกำหนดเกี่ยวกับเจ้าหน้าที่ที่ต้องประจำสัญญาหรือไม่?
- A: มี เจ้าหน้าที่ประจำสัญญาต้องมีวุฒิการศึกษาไม่ต่ำกว่าปริญญาตรี มีความรู้ความชำนาญด้าน ITSM และมีใบรับรอง ITIL 4 Foundation Certification หรือสูงกว่า
- Q: ระยะเวลาการบำรุงรักษาระบบหลังจากตรวจรับงานงวดสุดท้ายนานเท่าใด?
- A: เป็นระยะเวลา 365 วัน นับถัดจากวันที่คณะกรรมการตรวจรับพัสดุได้ตรวจรับงานงวดที่ 3 (งวดสุดท้าย) เรียบร้อยแล้ว
- Q: การประเมินผลการคัดเลือกข้อเสนอจะพิจารณาจากเกณฑ์ใด?
- A: พิจารณาตัดสินโดยใช้เกณฑ์ราคา
- Q: วงเงินงบประมาณสำหรับโครงการนี้เท่าใด?
- A: วงเงินงบประมาณจำนวน 4,400,000 บาท (สี่ล้านสี่แสนบาทถ้วน) รวมภาษีมูลค่าเพิ่มแล้ว
- Q: การจ่ายเงินค่าจ้างจะแบ่งออกเป็นกี่งวด?
- A: แบ่งออกเป็น 3 งวด โดยมีสัดส่วนการจ่ายเงินแตกต่างกันไปตามความคืบหน้าของงาน
- Q: มีข้อกำหนดพิเศษเกี่ยวกับการพัฒนา Chatbot หรือ AI Agent หรือไม่?
- A: ผู้รับจ้างต้องพัฒนา Chatbot หรือ AI Agent บน Line Official Account ของ รฟม. เพื่อช่วยตอบข้อซักถามจากผู้ใช้บริการแบบอัตโนมัติ
เอกสารขอบเขตงาน (TOR) ฉบับเต็ม
ขอบเขตของงานจางปรับปรุงระบบแจงปญหาการใชงานระบบสารสนเทศ (Help Desk)
- ความเปนมา
ปจจุบันเทคโนโลยีดิจิทัลมีบทบาทสำคัญในการสนับสนุนการดำเนินงานของ รฟม. ทั้งในดานการบริหาร จัดการภายในองคกรและการใหบริการตอประชาชน ซึ่งการใหบริการสนับสนุนดานเทคโนโลยีสารสนเทศ จำเปนตองมีการพัฒนาและยกระดับใหมีความเปนระบบ มมีาตรฐาน และสามารถตอบสนองตอความตองการของ ผูใชงานไดอยางมีประสิทธิภาพและตอเนื่อง รฟม. จึงมีความประสงคในการดำเนินโครงการจางปรับปรุงระบบแจง ปญหาการใชงานระบบสารสนเทศ (Help Desk) โดยจัดใหมีศูนยรับแจงเหตุการณผิดปกติ (Incident) และการ รองขอการบริการ (Service Request) ที่มีการบริหารจัดการอยางชัดเจนและเปนระบบ สามารถรองรับการ บริหารจัดการเหตุการณผิดปกติ การแกไขปญหา (Problem Management) และการติดตาม ตรวจสอบ รวมถึง ประเมินผลการใหบริการไดอยางเปนระบบและมีประสิทธิภาพ เพื่อใหเกิดการบริการที่สอดคลองกับขอตกลงระดับการใหบริการ (Service Level Agreement: SLA) และเสริมสรางความพึงพอใจของผูใชบริการภายในองคกร - วัตถุประสงค
2.1 เพื่อเพิ่มประสิทธิภาพการใหบริการดานเทคโนโลยีสารสนเทศ
2.2 เพื่อใหมีเครื่องมือสำหรับรับแจงเหตุการณผิดปกติ (Incident) และการรองขอการบริการ (Service Request) ดานเทคโนโลยีสารสนเทศอยางเปนระบบ
2.3 เพื่อใหสามารถบริหารจัดการเหตุการณผิดปกติ (Incident) การรองขอการบริการ (Service Request) และการแกไขปญหา (Problem Management) ไดอยางเปนระบบ
2.4 เพื่อใหสามารถติดตาม ตรวจสอบ และประเมินผลการใหบริการดานเทคโนโลยีสารสนเทศได - คุณสมบัติของผูยื่นขอเสนอ
3.1 มีความสามารถตามกฎหมาย
3.2 ไมเ ปนบุคคลลมละลาย
3.3 ไมอ ยูระหวางเลิกกิจการ
3.4 ไมเปนบุคคลซึ่งอยูระหวางถูกระงับการยื่นขอเสนอหรือทำสัญญากับหนวยงานของรัฐไวชั่วคราว เนื่องจากเปนผูที่ไมผานเกณฑการประเมินผลการปฏิบัติงานของผูประกอบการตามระเบียบที่รัฐมนตรีวาการ กระทรวงการคลังกำหนดตามที่ประกาศเผยแพรในระบบเครือขา ยสารสนเทศของกรมบญั ชีกลาง
3.5 ไมเปนบุคคลซึ่งถูกระบุชื่อไวในบัญชีรายช่ือผูทิ้งงานและไดแจงเวียนชื่อใหเปนผทู ิ้งงานของหนวยงานของรัฐ ในระบบเครือขายสารสนเทศของกรมบัญชีกลาง ซึ่งรวมถึงนิตบิุคคลที่ผูท้ิงงานเปนหุนสวน ผูจัดการ กรรมการผูจัดการ ผูบริหาร ผมู ีอำนาจในการดำเนินงานในกิจการของนิติบคุ คลนั้นดวย
3.6 มีคุณสมบัติและไมมลีักษณะตองหามตามที่คณะกรรมการนโยบายการจัดซื้อจัดจางและการบริหารพัสดุ ภาครัฐกำหนดในราชกิจจานุเบกษา
3.7 เปนนิติบุคคลผูมีอาชีพรับจางหรือจำหนายพัสดุในงานที่เก่ียวของกับการประกวดราคาดวยวิธีประกวดราคา อเิล็กทรอนิกสครั้งนี้
3.8 ไมเปนผูมีผลประโยชนรวมกันกับผูยื่นขอเสนอรายอื่นที่เขายื่นขอเสนอใหแก รฟม. ณ วันประกาศ ประกวดราคาอิเล็กทรอนิกสหรอืไมเ ปนผูกระทำการอันเปนการขัดขวางการแขงขันอยา งเปนธรรมในการประกวดราคา อเิลก็ ทรอนิกสครั้งนี้
3.9 ไมเปนผูไดรับเอกสิทธิ์หรือความคุมกัน ซึ่งอาจปฏิเสธไมยอมขึ้นศาลไทย เวนแตรัฐบาลของผูยื่นขอเสนอ ไดมีคำส่งัใหสละเอกสิทธิ์และความคุมกนัเชนวานั้น
/3.10 ผยู ื่นขอเสนอ…
- 2 -
3.10 ผูยื่นขอเสนอที่ยื่นขอเสนอในรูปแบบของ “กิจการรวมคา” ตองมีคุณสมบัติเปนไปตามหนังสือ 3.11 ผูยื่นขอเสนอตองลงทะเบียนในระบบจัดซื้อจัดจางภาครัฐดวยอิเล็กทรอนิกส (Electronic
1 มีนาคม 2566 เรื่อง แนวทางปฏิบัติในการเรงรัดการปฏิบัติงานตามสัญญาและการกำหนดคุณสมบัติของผูมีสิทธิ 3.13 กรณีผูยื่นขอเสนอเปนผูประกอบการวิสาหกิจขนาดกลางและขนาดยอม (SMEs) ผูยื่นขอเสนอตองมี
คณะกรรมการวินิจฉัยปญหาการจัดซื้อจัดจางและการบริหารพัสดุภาครัฐ กรมบัญชีกลาง ดวนที่สุด ที่ กค(กวจ) 0405.2/ว581 ลงวนั ที่ 7 ธันวาคม 2563 เรื่อง การพิจารณาคุณสมบัตขิองผูยื่นขอเสนอท่เีปนกิจการรว มคา
สนับสนุน (ฉบับที่ 2) พ.ศ. 2563 ตามหนังสือคณะกรรมการวินิจฉัยปญหาการจัดซื้อจัดจางและการบริหารพัสดุภาครัฐ
Government Procurement : e-GP) ของกรมบัญชกีลาง
3.12 ผูยื่นขอเสนอตองมีมูลคาสทุ ธิของกิจการเปนไปตามเงื่อนไขขอ 1.1 - 1.2ของหนังสือคณะกรรมการวินิจฉัย ปญหาการจัดซื้อจัดจางและการบริหารพัสดุภาครัฐ กรมบัญชีกลาง ดวนที่สุด ที่ กค (กวจ) 0405.2/ว124 ลงวันที่
ยื่นขอเสนอ
จึงจะไดรับการพิจารณาเปนผูประกอบการ SMEs ตามคูมือการปฏิบัติตามกฎกระทรวงกำหนดพัสดุ
คุณสมบัติตามคูมือการปฏิบัติตามกฎกระทรวงกำหนดพัสดุและวิธีการจัดซื้อจัดจางพัสดุที่รัฐตองการสงเสริมหรือ
กรมบัญชีกลาง ดวนที่สุด ที่กค (กวจ) 0405.2/ว78 ลงวนั ที่ 31 มกราคม 2565 เรื่อง แนวทางปฏิบัติการพิจารณา เพื่อมายื่นขอเสนอนี้ และหนังสือตองมีอายุไมเกิน 90 วัน นับจากวันที่ออกหนังสือจนถึงวันที่ยื่นขอเสนอนี้ ทั้งนี้
มูลคาสุทธิของกิจการสำหรับนิติบุคคลที่จัดตั้งข้ึนตามกฎหมายของตางประเทศและบุคคลธรรมดาท่ีมิไดถือสัญชาติไทย และในกรณีที่ผปู ระกอบการ SMEs ที่จะเสนอราคาในรูปแบบของ “กิจการรวมคา” ตองมีคณุ สมบัตดิงันี้ 1) ผูเขารว มคาทุกรายจะตองเปนผูประกอบการ SMEs
3.15 ในวันเสนอราคาหากผูยื่นขอเสนอยื่นเอกสารไมครบถวนตามที่ รฟม. กำหนด ถือวาผูยื่นขอเสนอ
2) ผูเขารวมคาทกุ รายจะตองเปนผูประกอบการที่เปนนิติบุคคลที่จัดตั้งขึ้นตามกฎหมายไทย
และวิธีการจัดซื้อจัดจางพัสดุที่รัฐตองการสงเสริมหรือสนบัสนุน (ฉบับที่ 2) พ.ศ. 2563 3.14 ผูยื่นขอเสนอตองมีหนังสือรับรองการเปนตวัแทนจำหนายผลิตภัณฑที่เสนอจากบริษัทผผูลติ หรอืบริษัทสาขา ของผูผลิตในตางประเทศ หรือบริษัทสาขาของผูผลิตในประเทศไทย หรือตัวแทนจำหนายในประเทศไทย โดยตองออกให
4.1 เปนซอฟตแวรท่ทีำงานบน Cloud ที่มีจำนวนสิทธิ์การใชงาน ดังนี้ 4.1.1 สำหรับเจาหนาที่ (Technician) จำนวนไมนอยกวา 33 License
หากเปนหนังสือจากตัวแทนจำหนายในประเทศไทยตองแนบสำเนาเอกสารแตงตั้งการเปนตัวแทนจำหนายจาก 4.1.2 สำหรับทรัพยสิน (IT Asset) จำนวนไมนอยกวา 1,200 License
ผูผลิตดวย
4.2 สามารถบันทึกเหตุการณผิดปกติ (Incident) ได
4.3 สามารถบันทึกคำขอบริการ (Service Request) ได
ขาดคุณสมบัติในการยื่นเสนอราคา
4.4 สามารถบันทึกการเปลี่ยนแปลง (Change Request) ได
4.5 สามารถบริหารจัดการปญหา (Problem Management ) ได
4. รายละเอียดคุณลักษณะเฉพาะของพสัดุ
ซอฟตแวรที่เสนอตองมีคุณลกัษณะเฉพาะอยางนอย ดังนี้
4.6 สามารถสง Email แจงเตือนเจาหนาที่ (Technician) เม่อืไดรับการ Assign Ticket ได 4.7 สามารถสง Email แจงเตือนผูมีอำนาจ (Approval) เพื่อพิจารณาอนุมัติได
4.8 สามารถสง Email แบบประเมินความพึงพอใจ (Satisfaction Survey) จากซอฟตแวรที่เสนอได
4.9 สามารถทำ Incident Template ได/4.10 สามารถ…
- 3 -
4.10 สามารถทำ Service Request Template ได
4.11 สามารถทำ Change Request Template ได
4.12 สามารถทำ Problem Management Template ได
4.13 สามารถ Sync รายชื่อจากระบบ Azure Active Directory ของ รฟม. ไดเมื่อมีการ Update 4.14 สามารถยืนยันตัวตนเขาใชงานโดยใชชื่อผูใชงานและรหัสผานจากระบบ Azure Active Directory ของ รฟม. ได
4.15 สามารถเปด Ticket แบบอัตโนมัติเมื่อไดรับการแจงเหตุการณผาน Line Official Account และ Email (Microsoft Exchange 365) ได
4.16 สามารถบรหิารจัดการโครงการ (Project Management) ได
4.17 สามารถบรหิารจัดการทรัพยสิน (IT Asset) ได
4.18 สามารถบริหารจัดการ Configuration Item (CI) ได
4.19 สามารถรวบรวมและจัดเก็บแนวทางการแกไขปญ หา (Knowledge Base) ได
4.20 สามารถกำหนดขอตกลงในการใหบรกิาร (Service Level Agreement: SLA) ได 4.21 สามารถกำหนด Service Catalog ได
4.22 สามารถ Remote Desktop ได
4.23 สามารถบันทึกเหตุการณ(Log) ไดอยา งนอย ดังน้ี
4.23.1 คนหา แสดงผล และพิมพประวัติการใหสิทธิ์ การเพิกถอนสิทธิ์การใชงานของผูใชงาน (History Role - based access control) และสามารถพิมพออกเปนรายงานได
4.23.2 คนหา แสดงผล และพิมพประวัติการเขาใชระบบ (Transaction Log) รวมถึงการเพิ่มขอมูล การแกไขขอมูล การลบขอมลู วัน เวลา และหมายเลขประจำเครื่องคอมพิวเตอร(IP Address) 4.23.3 คนหา แสดงผล และพิมพประวัติสถานะของระบบ เชน สถานะปกติ มีการเกิดเหตุการณ ไมพึงประสงค ไฟฟาดับ โดยแสดงเปนชวงวันที่และเวลาได
4.24 สามารถใชงานระบบในรปู แบบ Mobile Application ได
4.25 สามารถจัดทำรายงาน (Report) ได และสงออก (Export) ในรูปแบบ CSV และ PDF ไดเปนอยางนอย 4.26 สามารถทำการปกปดขอมูลออนไหวและขอมูลสวนบุคคล (Data Masking) ได
4.27 มีระบบปญญาประดิษฐ (Artificial Intelligence: AI) โดยทำหนาที่ใหคำแนะนำ สืบคน และจัดทำ Knowledge Base รวมทั้ง วเิคราะหแนวโนมหรือชวยคาดการณลวงหนาได
4.28 รฟม. ไดรับสิทธิ์การใชงานถูกตองตามกฎหมายจากเจาของลิขสิทธิ์
4.29 มีเอกสารรับรองตามมาตรฐานหรือกฎหมายดานตาง ๆ อยางนอยดังน้ี
4.29.1 ดานความมั่นคงปลอดภัยสารสนเทศ ไดแก 1) ISO/IEC 27001 2) ISO/IEC 27017 และ 3) ISO/IEC 27018
4.29.2 ดานการตรวจสอบระบบรกัษาความปลอดภัยขอมูล ไดแก SOC 2 Type II
4.29.3 ดานการบริการเทคโนโลยีสารสนเทศ ไดแก ISO/IEC 20000
4.29.4 ดานการคุมครองขอมูลสว นบุคคล ไดแก GDPR หรือ PDPA
- ขอบเขตของงานที่จะดำเนินการ
ขอบเขตของงานที่จะดำเนินการตามสัญญานี้แบงออกเปน 3 งวด เมื่อผูรับจางดำเนินการตามขอบเขตของงานแตละงวดถูกตองครบถวนแลว จะตองมีหนังสือแจงกำหนดสงมอบงานใหคณะกรรมการตรวจรับพัสดุทราบลวงหนา ไมนอยกวา 3 วันทำการ พรอ มเอกสารสง มอบงานในรูปแบบไฟลอ ิเล็กทรอนิกสโดยจดัเก็บไวบนอุปกรณหรือระบบที่ รฟม. จัดเตรียมไวใหทั้งน้ีขอบเขตของงานแตละงวดมีรายละเอียด ดังน ี้
/ขอบเขตของ…
ขอบเขตของงานงวดที่ 1
5.1 ผูรับจางตองจัดใหมีการประชุมเริ่มงาน (Kickoff Meeting) เพื่อนำเสนอแผนการดำเนินงาน แนวทาง และรายละเอียดการติดตั้งระบบภายใน 30 วัน นับถัดจากวันที่ลงนามในสัญญา
5.2 ผูรับจางตองเสนอเจาหนาที่อยางนอย 1 คน ที่มีความรูความชำนาญดานการจัดการบริการเทคโนโลยี สารสนเทศ (IT Service Management: ITSM) ทำหนาที่เปนผูออกแบบ ใหคำแนะนำ และกำหนด/ปรับปรุงคา ของระบบ Help Desk ที่เสนอตลอดระยะเวลาของสัญญา รวมถึงทำหนาที่กำหนดกระบวนการทำงานที่เกี่ยวของ
- 4 -
ใหสอดคลองตามแนวปฏิบัติ (Information Technology Infrastructure Library: ITIL) โดยจะตองมีเอกสาร ใบรับรองคุณวุฒิ ITIL 4 Foundation Certification หรือดีกวา ที่มีอายุไมเกิน 2 ป นับถัดจากวันที่ออกใบรับรอง
ทั้งนี้ตองแนบสำเนาหนังสือรับรองดังกลาวใหรฟม. พิจารณาภายในการประชุมเริ่มงานตามขอ 5.1
ขอบเขตของงานงวดที่ 2
5.3 ผรูับจางตองศึกษากระบวนการทำงานในปจจุบัน เพื่อนำไปออกแบบกระบวนการทำงานที่เหมาะสมและ มีประสิทธิภาพ
5.4 ผรูับจางตองออกแบบ และจัดทำ Service Catalog ใหสอดคลองกับกระบวนการทำงานของ รฟม.
5.8 ผูรับจางตองตั้งคาระบบใหสามารถทำงานรวมกับระบบ Azure Active Directory ของ รฟม. โดยตอง
5.5 ผรูับจางตองออกแบบ และจัดทำขอตกลงในการใหบริการ (Service Level Agreement: SLA) ใหสอดคลอง กบักระบวนการทำงานของ รฟม.
5.6 ผรูับจางตองจัดสงเอกสารรบัรองตามมาตรฐานหรือกฎหมายดานตาง ๆ ตามขอ 4.29
5.7 ผรูับจางตองจัดหาและกำหนดคาของระบบ Help Desk ที่เสนอ ใหมคีวามปลอดภัยตามคำแนะนำของผูผลิต และสามารถใชงานรว มกับระบบสารสนเทศของ รฟม. ไดอยางมีประสิทธภิาพ
5.12 ผูรับจางตองสำรองขอมูลและคา Configuration โดยนำออก (Export) มาจัดเก็บไวบนอุปกรณหรือ
สามารถเขาใชงานซอฟตแวรดวยชื่อผูใชงานและรหัสผานเดียวกนัได
5.9 ผรูับจางตองตั้งคา ใหใชSSL Certificateของ รฟม. ที่ออกโดยผูใชบริการที่นาเชื่อถือและปรับปรุงเปนประจำ ของ Ticket โดยตองติดตั้ง ณ อาคาร 1 รฟม. ทั้งนี้ ตองเสนอแนวทางการติดตั้งใหคณะกรรมการตรวจรับพัสดุ
อยางนอยปละ 1 คร้งั
5.10 ผูรับจางตองกำหนดคา Service Catalog บนระบบ Help Desk ที่เสนอใหสอดคลองกับที่ออกแบบไว ตามขอ 5.4
ระบบงานยอยทั้งหมด รวมถึง User กลุมตาง ๆ ดวย เชน System User
5.11 ผูรับจางตองกำหนดคา SLA บนระบบ Help Desk ท่เีสนอใหสอดคลองกับที่ออกแบบไวตามขอ 5.5 และซอฟตแวรที่ใชในการพัฒนาระบบ หากซอฟตแวรนั้น ๆ มีการประกาศชองโหว รวมทั้งชองโหวที่ รฟม. ตรวจพบ
ระบบที่ รฟม. จัดเตรียมไวใหเปนประจำทกุ วันและสามารถกคู ืนขอมูลยอนหลังไดไมนอยกวา 30 วัน
5.13 ผูรับจางตองจัดหาจอภาพที่มีขนาดไมนอยกวา50 นิ้วจำนวน 1ชุด พรอมอุปกรณตอควบ เพื่อแสดงสถานะ
พิจารณากอนดำเนินการ
5.14 ผูรับจางตองกำหนดสิทธิ์การเขาถึงระบบที่แตกตา งกันในแตละระดับ (Role Matrix) โดยครอบคลุมถึง
5.15 ผูรับจางตองวิเคราะหและปดชองโหว (Hardening) ของระบบ Help Desk รวมถงึระบบตาง ๆ ที่เกี่ยวของ
โดยจะตองปดชองโหวที่มีระดับความรุนแรงในระดับวิกฤติ (Critical) ระดับสูง (High) ครบทุกชองโหว
/ขอบเขตของ…
-
5 -
ขอบเขตของงานงวดที่ 3 (งวดสุดทาย)
5.16 ผูรับจางตองพัฒนา Chatbot หรือ AI Agent บน Line Official Account ของ รฟม. เพื่อชวยในการ ตอบขอซักถามจากผูใชบริการแบบอัตโนมัติ ซึ่งจะตองสามารถใชงานไดตลอดอายุสัญญา 5.17 ผูรับจางตองกำหนดคาระบบ Help Desk ที่เสนอใหสามารถเปด Ticket แบบอัตโนมัติเมื่อไดรับแจง ผานชองทาง Line Official Account และ Email
5.18 ผูรับจางตองจัดทำ Change Request Form ในรูปแบบอิเล็กทรอนิกสบนระบบ Help Desk ที่เสนอ พรอมทั้งกำหนดลำดับขั้นตอน (Workflow) ตามที่ รฟม. กำหนด จำนวนไมนอยกวา 5 Form 5.19 ผูรับจางตองยายหรือนำเขาขอมูลTicketและการแจงเตอืนชองโหวที่ไดบ นั ทึกไวบนระบบ Help Desk เดิมตั้งแตเดอืนพฤศจกิายน 2566 จนถงึปจจุบัน
5.20 ผูรับจางตองนำเขาขอมลู ไดแก1) รายการทรัพยสิน (IT Asset) 2) รายการ Configuration Item(CI) 3) รายชื่อของคูสัญญาหรือผูรับจาง และ 4) รายการแนวทางการแกไขปญหา (KEDB)
5.21 ผูรับจางตองสงเอกสารแสดงสิทธิ์การใชงานซอฟตแวรที่เสนอ โดย รฟม. มีสิทธิ์การใชงานซอฟตแวร ตามขอ 4. ไดอยางถูกตองตามกฎหมาย เปนระยะเวลา 365 วัน นับถัดจากวันท่ีคณะกรรมการตรวจรับพัสดุ ไดตรวจรับงานงวดสดุ ทาย
5.22 ผูรับจางตองศึกษา วิเคราะหขั้นตอนกระบวนงาน เอกสาร และขอมูลท่เีกี่ยวของ โดยใหจัดทำรายงานอยางนอย 2 สวน ดังนี้
5.22.1 รายงานภาพรวมการเชื่อมโยงของแตละกระบวนงาน และรายงานอธิบายของกระบวนงาน (Business Architecture) เชน ชื่อกระบวนการ (Business Process Name) ผูเกี่ยวของในแตละงาน (Who) เอกสารและขอมูลที่ใชในแตละกระบวนงาน (Input/ Output) วิธีการและเครื่องมือที่ใช (Method and Tools) เปนตน และถากระบวนการน้นัสามารถแตกยอยไดใหแตกกระบวนการยอยใหชดัเจน
5.22.2 รายงานขอมูล (Data Architecture) เชน ชื่อขอมูล คุณลักษณะขอมูล ชนิดของขอมูล ประเภทขอมูล และถาขอมูลนั้นสามารถแตกยอยได ใหแตกยอยรายละเอียดขอมูลใหชัดเจน ทั้งนี้ การตั้งชื่อ และการ อธบิายความ ตองใชภ าษาที่ผูเกี่ยวของที่ไมมีความรูดานไอซทีีสามารถเขาใจได(Non - IT staffunderstandable)
5.23 ผูรับจางตองจัดสงรายงานผลการดำเนินงาน และเอกสารที่เกี่ยวของกับโครงการที่เปนฉบับลาสุด เชน แผนผังการเชื่อมโยงระบบ (System Diagram) เอกสาร Service Catalog เอกสารขอตกลงในการใหบริการ และ คูมือที่เกี่ยวของ เปนตน โดยจัดสงในรปู แบบไฟลดิจิทัลบนั ทึกบน External Hard Disk จำนวน 2 ชุด พรอมสำเนา เอกสารเก็บไวบนอุปกรณหรือระบบที่ รฟม. จัดเตรยีมไวให
5.24 ผูรับจางตองจัดฝกอบรม/สัมมนาใหแกเจาหนาที่ของ รฟม. รวมทั้งตองรับผิดชอบคาใชจายท้ังหมด ที่เกี่ยวของกับการอบรม และคาใชจายที่เกี่ยวของกับผูเขารับการอบรม โดยดำเนินการจัดเตรียมเอกสาร ประกอบการฝกอบรม สถานที่สำหรบัจัดอบรม อาหารวาง เครื่องดื่ม อาหารกลางวัน และอุปกรณท ี่จำเปนตอการ อบรมจำนวนไมนอยกวาผูเขารวมอบรม (เอกสารประกอบการฝกอบรมฉบับภาษาไทยเวนแตกรณีที่ตองการ อธบิายดวยภาษาทางเทคนิคหรือภาษาเฉพาะใหใชภาษาอังกฤษไดและฉบับภาษาอังกฤษ (ถามี) ไวพรอมกันดวย) เปนจำนวน 3 หลกัสูตร ดังนี้
5.24.1 หลักสูตรสำหรับผูดูแลระบบ Help Desk (Administrator) จำนวน 1 หลักสูตร 5.24.2 หลักสูตรสำหรับผใูหบริการ (Technician) จำนวน 1 หลักสตู ร
5.24.3 หลักสูตรสำหรับผใูชบ ริการ (User) จำนวน 1 หลักสูตร
5.25 ผูรับจางตองจัดใหมีเจาหนาที่มาประจำที่สำนักงานใหญของ รฟม. ตลอดอายุสัญญา จำนวน 1 คน ซึ่งมีหนาที่รับแจงเหตุการณผิดปกติ รับคำรองขอบริการจากผูใชบริการ บันทึกเหตุการณบนระบบ Help Desk ที่เสนอ รวมถึงใหคำแนะนำ ติดตามการแกไขปญหาใหกับผูใชบริการ และปฏิบัติงานอื่น ๆ ตามที่ไดรับมอบหมาย โดยมีขอกำหนดท่เีก่ยีวของ ดังนี้
/5.25.1 เจาหนาที่… -
6 -
5.25.1 เจาหนาที่ตองมีวุฒิการศึกษาไมต่ำกวาระดับปริญญาตรี ซึ่งผูรับจางจะตองแจงชื่อ-นามสกุล ประวัติการทำงาน และวุฒิการศึกษาของเจาหนาที่ดังกลาวใหรฟม. พิจารณาภายในวนัตรวจรับ โดยกรอกรายละเอียด ตามภาคผนวก ก. ทั้งน้ีจะตองเริ่มปฏิบัติงานตั้งแตวันที่คณะกรรมการตรวจรบั พัสดุกำหนด
5.25.2 เจาหนาทต่ีองไมม ปีระวตัิอาชญากรรมเกี่ยวกับความผิดทางอาญา เวนแตโทษสำหรับความผิด ที่ไดกระทำโดยประมาทหรือความผิดลหุโทษ โดยตองแสดงหลักฐานผลการตรวจประวัติอาชญากรรมดวยลายนิ้วมือ ที่ออกโดยสำนักงานตำรวจแหงชาติให รฟม. ทราบภายใน 30 วันทำการ นับถัดจากวันที่การตรวจรับงวดสุดทาย เสร็จสิ้น หากพบวาเจาหนาที่มีประวัติอาชญากรรมดังกลาว ผูรบัจางตองจัดสงเจาหนาที่ทานอื่นมาปฏิบัติงานแทน
5.25.3 เจาหนาท่จีะตองปฏิบัตงิานในวันจันทร- วันศุกรตั้งแตเวลา 08.00 - 17.00 น. (ระหวางเวลา 12.00 - 13.00 น. เปนเวลาพักรับประทานอาหารกลางวัน) เวนวันหยุดที่ รฟม. กำหนดไว รวมเวลาทำงานวันละ 8 ชั่วโมง 5.25.4 เจาหนาที่ตองมีทักษะในการใหบริการ การสื่อสาร มีมนุษยสัมพันธที่ดี มีความกระตือรือรน และพรอมเรียนรูอยูเสมอ
5.25.5 เจาหนาทตองมี ่ี อุปกรณแ ละซอฟตแวรส ำหรับปฏบิัติงาน ไดแก เครื่องคอมพิวเตอรซอฟตแวร ที่จำเปนตองใชสำหรับปฏบิัติงาน โทรศพั ทต้งัโตะ และโทรศัพทเคลื่อนที่พรอมคาบริการรายเดือน 5.25.6 เจาหนาที่ตองจัดทำรายงานการปฏิบัติงานเปนประจำทุกเดือน โดยสงใหคณะกรรมการตรวจรับพัสดุ ภายในวนั ที่15 ของเดือนถัดไป
5.25.7 กรณีผูรับจางตองการเปลี่ยนตัวเจาหนาที่หลัก ตองกรอกรายละเอียดตามภาคผนวก ก. และ ทำเปนหนังสือยื่นตอคณะกรรมการตรวจรับพัสดุฯ ลวงหนาไมนอยกวา 3 วันทำการ เพื่อพิจารณากอนการเปลี่ยนตัว เจาหนาที่หลักดังกลาว
5.25.8 รฟม. มีสิทธิ์ขอเปลี่ยนตัวเจาหนาที่ของผูรับจางไดตลอดอายุสัญญา เมื่อเห็นวาไมมีความเหมาะสมที่จะปฏิบัตหินาที่หรือไมผา นการประเมินผลการปฏิบัติงาน ผูรับจางตองจัดหาเจาหนาที่มาทดแทนภายใน 15วันทำการ โดยระหวางการจัดหาเจาหนาที่มาทดแทนนั้น ผูรับจางจะตองจัดใหมีเจาหนาที่สำรองเขามาปฏิบัติงานที่ รฟม. จนกวาผูรับจางจะสามารถจดั หาเจาหนาที่มาทดแทนได
- กำหนดเวลาสงมอบพัสดุ
ผูรับจางจะตองสงมอบงานงวดสดุ ทาย ภายใน 180 วัน นับถัดจากวันที่ลงนามในสัญญา - หลักเกณฑในการพจิารณาคัดเลือกขอเสนอ
ในการพิจารณาผลการคัดเลือกผูชนะการยื่นขอเสนอประกวดราคาอิเล็กทรอนิกสครั้งนี้ รฟม. จะพิจารณา ตัดสินโดยใชหลักเกณฑราคา - วงเงินงบประมาณ/วงเงินที่ไดรับจัดสรร
วงเงินงบประมาณสำหรับจางปรับปรุงระบบแจงปญหาการใชงานระบบสารสนเทศ (Help Desk) จำนวน 4,400,000 บาท (สี่ลานสี่แสนบาทถวน) รวมภาษีมูลคาเพิ่มตลอดจนภาษีอากรอื่น ๆ และคาใชจายทั้งปวงแลว - งวดงานและการจายเงิน
รฟม. จะแบงการสงมอบงานและการชำระเงนิคา จางออกเปน 3 งวด ดังนี้
งวดที่ 1 ชำระเปนจำนวนเงินรอยละ 10 ของมูลคาตามสัญญา เมื่อผูรับจางดำเนินการตามขอบเขตงานงวดที่ 1 (ขอ 5.1 - 5.6) เรียบรอยแลว และคณะกรรมการตรวจรบั พัสดุไดพิจารณาแลวเห็นวา ถูกตองครบถวนและ ตรวจรบั เรยีบรอยแลว
/งวดที่ 2…
- 7 -
งวดที่ 2 ชำระเปนจำนวนเงินรอยละ 60 ของมูลคาตามสัญญา เมื่อผูรับจางดำเนินการตามขอบเขตงานงวดที่ 2 (ขอ 5.7 - 5.15) เรียบรอยแลว และคณะกรรมการตรวจรับพัสดุไดพิจารณาแลวเห็นวาถูกตองครบถวนและตรวจรับเรยีบรอยแลว
งวดที่3 (งวดสุดทาย) ชำระเปนจำนวนเงนิรอยละ 30 ของมูลคาตามสัญญา เมื่อผูรับจางดำเนินการตามขอบเขตงานงวดที่ 3 (ขอ 5.16 - 5.25) เรียบรอยแลว และคณะกรรมการตรวจรับพัสดุไดพิจารณาแลวเห็นวา ถูกตองครบถวนและตรวจรบั เรยีบรอยแลว
- การบำรุงรักษา (Preventive Maintenance)
ผูรับจางตองรับผิดชอบการบำรุงรักษาระบบ Help Desk ที่เสนอ รวมถึงการซอมแซมแกไขใหอยูในสภาพที่ใชงานไดดีอยูเสมอ รวมท้งัดำเนินงานตาง ๆ เพื่อใหระบบมปีระสิทธิภาพ เปนระยะเวลา 365 วัน นับถัดจากวันที่ คณะกรรมการตรวจรบั พัสดุไดตรวจรับงานงวดที่ 3 (งวดสุดทาย) เรยีบรอยแลว โดยมีรายละเอียด ดังนี้
10.1 ผูรับจางตองตรวจสอบระบบตางๆ ที่ไดมาพรอ มกับสัญญานี้เปน ประจำทุก3เดอืน ใหมีความพรอมใชงานและมีความมั่นคงปลอดภยั หากพบวาระบบมีความเสียหาย มีชองโหวจะตองรายงานใหรฟม. ทราบ พรอมกับขออนุมัติ ดำเนินการแกไขเปล่ยีนแปลงในทันทีทั้งนี้ตองสงรายงานผลการตรวจสอบและบำรุงรักษาใหคณะกรรมการตรวจรับพัสดุ เปนลายลักษณอักษร โดยจัดเก็บไวบนอุปกรณหรือระบบที่ รฟม. จัดเตรียมไวให
10.2 ผูรับจางตองสำเนาการกำหนดคา Configuration ของระบบตาง ๆ ที่ไดมาพรอมกับสัญญานี้ ทุกครั้ง ที่มีการเปลี่ยนแปลงหรือเปนประจำทุก 3 เดอืน โดยจดัเก็บไวบนอุปกรณหรือระบบที่ รฟม. จัดเตรียมไวให 10.3 ผูรับจางจะตองปรับปรุง (Update) ขอมูล ไดแก 1) รายการทรัพยสิน (IT Asset) 2) รายการ Configuration Item (CI) 3) รายชื่อของคูสัญญาหรือผูรับจาง และ 4) รายการแนวทางการแกไขปญหา (KEDB) โดยตองดำเนินการทุกครั้งเมื่อมีการเปล่ียนแปลงหรือเมื่อไดรับแจงจาก รฟม. โดยจัดเก็บไวบนอุปกรณหรือระบบที่ รฟม. จัดเตรียมไวให
10.4 ผูรับจางตองประชาสัมพันธระบบ Help Desk ที่เสนอดวยวิธีตาง ๆ พรอมจัดทำรายงานแนวโนม การใชบริการ อยางนอยเดือนละ 1 คร้งั
10.5 ผูรับจางตองจัดทำรายงานการใหบริการตาม SLA เปนประจำ อยางนอยเดือนละ 1 ครั้ง 10.6 ผูรับจางตองจัดทำแนวทางการแกไขปญหาการใชงานดานเทคโนโลยีสารสนเทศที่เกิดขึ้นและนำเขาสูระบบ Help Desk ที่เสนอ พรอมจัดทำ Infographic เพ่อืประชาสัมพันธแ นวทางดังกลาว อยางนอยเดือนละ 1 ครั้ง 10.7 ผูรับจางตองจัดทำ Infographic เพ่อืประชาสัมพันธภัยคุกคาม อยา งนอยเดือนละ 1 ครั้ง - การกำหนดระยะเวลารับประกันความชำรุดบกพรอง
11.1 ผูรับจางตองรับประกันสิทธิ์การใชงานระบบตาง ๆ ที่ไดมาพรอมกับสัญญานี้โดย รฟม. ตองสามารถใชงานปรบั ปรุงระบบ (Update) แจงเหตุขดัของไปยังผูผลิตไดตลอดอายุสัญญา
11.2 ผูรับจางตองรับประกันความชำรดุ บกพรองของระบบ Help Desk ที่เสนอตลอดอายุสัญญา ถาภายในระยะเวลาดังกลาวระบบฯ ชำรุดบกพรอง หรือใชงานไมไดทั้งหมดหรือบางสวน ผูรับจางตองจัดใหมีเจาหนาที่ที่มี ความเชี่ยวชาญและมีประสบการณ เพื่อเริ่มดำเนินการแกไขความชำรุดบกพรองภายใน 2 ชั่วโมง และตอง ซอมแซมแกไขใหสามารถใชงานไดดีดังเดิมภายใน 24 ชั่วโมง นับแตเวลาที่ รฟม. ไดแจงความชำรุดบกพรองนั้นใหผรูับจางทราบผานชองทางโทรศัพทโทรศพั ทเคล่ือนที่ หรือEmail โดยจะตองเขามาทำการแกไข ซอมแซม ณ รฟม. หรือสถานที่ที่ รฟม. กำหนด (On-Site Service) แบบ 24 ชั่วโมง 7 วัน
11.3 ผูรับจางตองรับประกันคุณภาพการใชบริการ (Service Level Agreement : SLA) ของระบบ Help Desk โดย รฟม. ตองสามารถใชงานระบบไดไมต่ำกวารอยละ 96.5 ตอเดือน
/12. อัตราคาปรับ…
- 8 -
- อัตราคาปรับ
12.1 กรณีผูรับจางไมสามารถปฏิบัติตามขอบเขตของงานที่จะดำเนินการตามขอ 5. หรือสงมอบลาชา กวาที่กำหนดไวในสัญญาตามขอ 6. หรือสงมอบแลวแตมีคุณสมบัติไมถูกตองตามรายละเอียดและคุณลักษณะเฉพาะ ที่กำหนด หรือยังไมสามารถใชงานได รฟม. มีสิทธิ์บอกเลิกสัญญาได ในกรณีที่ รฟม. ไมใชสิทธิ์บอกเลิกสัญญา ผูรับจางยินยอมใหรฟม. ปรบัในอตัรารอยละ 0.10 (ศูนยจดุ หนึ่งศูนย) ของมูลคาตามสัญญาเปนรายวัน (เศษของวันใหนับเปนหนึ่งวัน) โดยการปรับจะนับถัดจากวันครบกำหนดสงมอบตามสัญญาจนถึงวันที่ผูรับจางไดสงมอบงานใหแก รฟม. จนถูกตองครบถวนแลว
12.2 กรณี รฟม. ใชสิทธิ์บอกเลิกสัญญา นอกจากผูรับจางยินยอมให รฟม. คิดคาปรับตามขอ 12.1 แลว ผูรับจางตองยนิยอมใหรฟม. ริบหลักประกันสัญญาเปนจำนวนทั้งหมดหรือแตบางสวนก็ไดแลวแตรฟม. จะเห็นสมควร 12.3 กรณีเจาหนาทตี่ ามขอ 5.25 ปฏิบัตงิานไมครบชั่วโมงการทำงานตามขอ 5.25.3 ผูรับจางยินยอมใหปรับในอัตรา 125 บาท ตอ ช่วัโมง (เศษของช่วัโมงใหนับเปนหนึ่งชั่วโมง)
12.4 กรณีเจาหนาที่ตามขอ 5.25ไมมาปฏิบัติงาน หรือมีความจำเปนตองหยุดงาน หรือไมสามารถมาปฏิบัติงานได ผูรับจางตองจัดสงเจาหนาที่ที่มีความรูความสามารถตามที่ รฟม. กำหนดไวมาปฏิบัติงานแทนภายในเวลาไมเกิน 08.00 น. ของวันทำการนั้น โดยจะตองแจงใหผูควบคุมงานของ ฝทท. ทราบลวงหนากอนเจาหนาที่จะเขามาปฏิบัติงานทดแทน หากผูรับจางไมสามารถจัดหาเจาหนาที่มาปฏิบัติงานทดแทนได หรือมาแลวแตไมสามารถปฏิบัติงานได ผูรับจางยินยอมใหปรับในอัตรา 1,000 บาทตอวัน (เศษของวันใหนับเปนหนึ่งวัน)
12.5 กรณีผูรับจางไมดำเนินการบำรุงรักษาตามขอ 10. ผูรับจางยินยอมใหปรับเปนรายเหตุการณในอัตรา รอยละ 0.01 (ศูนยจุดศูนยหนึ่ง) ของมูลคาตามสัญญาตอครั้ง
12.6 กรณี รฟม. ไมสามารถใชบริการตามระยะเวลาการรับประกันตามขอ 11.2 หรือขอ 11.3 โดยเหตุนั้นไมไดเกิดจากระบบเครือขายของ รฟม. ผูรับจางยินยอมใหปรับเปนรายช่วัโมงในอัตรารอยละ 0.10 (ศูนยจุดหนึ่งศูนย) ของมูลคาตามสัญญาตอชั่วโมง (เศษของชั่วโมงใหนับเปนหนึ่งชั่วโมง) โดยการปรับจะนับจากเวลาที่ รฟม. ไดแจง จนถึงเวลาที่ผูรับจางไดซอมแซมแกไขใหระบบสามารถใชงานไดดีดังเดมิ - ขอกำหนดเพื่อความมั่นคงปลอดภัย
13.1 ผูรับจางตองไมเปดเผยขอมูลอันเปนความลับใด ๆ หรือขอมูลอื่นใดทั้งหมดหรือบางสวนที่ไดรับหรือ รับรูมาจาก รฟม. ใหผูอื่นทราบโดยมิไดรับความยินยอมจาก รฟม. และตองควบคุม กำกับไมใหผูปฏิบัติงานของผรูบัจาง เปดเผยขอมูลอันเปนความลับใด ๆ หรือขอมูลอื่นใดทั้งหมดหรือบางสวนที่ไดรับหรือรับรูมาจาก รฟม. ใหผูอื่นทราบเชนกัน หากมีความเสียหายตอ รฟม. ผูรับจางตองรับผิดชอบตอ ความเสียหายที่เกิดขึ้นท้งัหมด
13.2 ผูปฏิบัติงานของผูรับจางทุกคนตองลงนามในสัญญาวาจะไมเปดเผยความลับของ รฟม. (Non-Disclosure Agreement: NDA) กอนเริ่มปฏิบัติงานให รฟม.
13.3 ผูรับจางตองสงบุคลากรเขารวมการฝกอบรมดานความมั่นคงปลอดภัยสารสนเทศ (Information Security Awareness) ตามรอบที่ รฟม. กำหนด เพื่อสรางความตระหนักที่เหมาะสม รวมถึงทบทวนนโยบายการรักษาความ มั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศ และขั้นตอนปฏิบัติของ รฟม. (ถามี)
13.4 ผูรับจางจะตองสงบุคลากรเขารวมฝกซอมแผนบริหารความตอเนื่องทางธุรกิจ (BCP) (ถามี) 13.5 ผูรับจางตองปฏิบัติตามนโยบายการรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศ รฟม. ตามภาคผนวก ข. หากผูรับจางไมปฏิบัติตามนโยบายการรักษาความมั่นคงปลอดภัยฯ จนกอใหเกิดความเสียหาย รฟม. ขอสงวนสิทธิ์ในการเรียกรองคาเสียหายอันเนื่องมาจากการไมปฏิบัติตามนโยบายการรักษาความม่นัคงปลอดภัย ดังกลาว
/13.6 ผูรับจาง…
- 9 -
13.6 ผูรับจางตองพัฒนาและออกแบบระบบโดยคำนึงถึงการรักษาความมั่นคงปลอดภัยสารสนเทศใหมี ความปลอดภัยตามมาตรฐาน Open Web Application Security Project (OWASP) Top 10 ลาสุด OWASP API Security Top 10 ลาสุด และมาตรฐาน Common Weakness Enumeration (CWE) Top 25 ลาสุด ณ ป ที่สงมอบงาน นับถัดจากวันลงนามในสัญญา หรือมาตรฐานที่ยอมรับในสากล หรือกำหนดซอฟตแวรใหเปนเวอรชันลาสดุ ที่ไดรับการอัปเดตแลว
13.7 ผูรับจางตองตรวจสอบความมั่นคงปลอดภัยของ Source Code (Source Code Review) ตามมาตรฐานที่ รฟม. กำหนด
13.8 ผูรับจางตองควบคุมเวอรชัน (Version Control) ของระบบฯ และ Source Code เมื่อมีการเปลี่ยนแปลง หรือการแกไขระบบตา ง ๆ
13.9 ผูรับจางตองเลือกใชซอฟตแวร เครื่องมือ หรือภาษาที่ใชในการพัฒนาระบบเปนเวอรชันแบบนโยบาย สำหรับจัดการวงจรชีวิตของผลิตภัณฑ (Long Term Support : LTS) หรือเวอรชันลาสุด 13.10ผูรับจางตองจัดทำการปดบังขอมูลสวนบุคคล รวมถึงขอมูลสวนบุคคลที่มีความออนไหว (Sensitive Data) ดวยวิธีData Masking ขอมูลที่แสดงในระบบฯ และเขารหัสขอมูล (Encryption) ในฐานขอมูลตามท่ีรฟม. กำหนด 13.11ผูรับจางจะตองรับผิดชอบคาใชจายที่เกี่ยวของกับบริการเครื่องคอมพิวเตอรแมขาย ซอฟตแวร ระบบปฏบิัติการ (Operating System) และซอฟตแวรบ ริหารจัดการระบบฐานขอมูล (Database Management System) รุนลาสุดที่มีขายตามทองตลาด รวมถึงคาใชจา ยในการ Download ขอมูลจากระบบท่เีสนอ (ถามี)
- ขอสงวนสิทธิ์
14.1 กรณีที่มีการสงมอบซอฟตแวรตางไปจากที่กำหนดไวหรือที่เสนอมา จะตองมีเอกสารยืนยันจากผูผลิต หรือสาขาของผูผลิตหรือตัวแทนจำหนายจากตัวแทนจำหนายของผูผลิตในประเทศไทย จากบริษัทผูผลิต หรือจาก บริษัทสาขาของผูผลิตในประเทศไทย หรือจากบริษัทตัวแทนจำหนายของผูผลิตในประเทศไทย วาเปนรุนใหม และจะตองมีคุณสมบัติไมตำ่ กวาที่กำหนดไวหรือที่เสนอมา ทั้งนี้รฟม. สงวนสิทธิ์ที่จะรับมอบหรือไมก ็ได
14.2 กรณีผูรับจางไดสงมอบงานและคณะกรรมการตรวจรับพัสดไุดรับมอบงานงวดท่ี2 เรียบรอยแลว รฟม. สงวนสิทธิ์เริ่มใชงานระบบ Help Desk ที่เสนอไดซ่งึจะตองเปนสทิธิ์การใชงานที่ถูกตองตามกฎหมาย 14.3 ซอฟตแวร (Source code) ที่ไดมีการพัฒนาขึ้น (ในกรณีที่มีการพัฒนาระบบ) รวมทั้งรายงานหรือ เอกสารใด ๆ ที่ผูรับจางไดทำขึ้นอันเนื่องมาจากการปฏิบัติงานตามสัญญานี้ ใหตกเปนกรรมสิทธิ์และลิขสิทธิ์ของ รฟม. ทั้งหมด อยางไรก็ตาม ผูรับจางอาจเก็บสำเนารายงานและเอกสารอื่นดังกลาวไวเพื่อเปนประวัติการทำงานของผูรับจางเองได
14.4 กรณีพบวาประสิทธิภาพ (Performance) ไมเปนไปตามมาตรฐาน หรือตอบสนองการเรียกใชงาน (Response Time) ลาชา ผูรับจางจะตองเขามาแกไขหรือปรับแตง (Adjust) ใหระบบสามารถใชงานไดดีดังเดิมโดยไมมีคาใชจายเพิ่มเติม
14.5 กรณีรฟม. ตรวจพบชองโหวของระบบภายหลังการสงมอบงาน รฟม. ขอสงวนสิทธ์ิในการแจงใหผูรับจาง เขามาดำเนินการปดชองโหวด ังกลาวไดตลอดอายุของสัญญา
14.6 กรณี รฟม. มีการดำเนินการใด ๆ ที่เห็นวาอาจจะสงผลกระทบกับระบบ Help Desk ที่เสนอ รฟม. ขอสงวนสิทธิ์ในการแจงใหผ ูรับจางเขามาสนับสนุนในสวนที่เกี่ยวของไดตลอดอายุของสัญญา 14.7 กรณีรฟม. มีความประสงคไมใชงานระบบที่เสนอ ผูรับจางตองทำลายขอมูลบนระบบที่เสนอใหเปนไปตามมาตรฐานหรือขอตกลง (Agreement) การทำลายขอมูลที่กำหนด โดยตองนำสงหลักฐานการทำลายขอมูลดังกลาว ใหรฟม. เม่อืดำเนินการเสร็จส้นิ (ถามี)
14.8 ผูรับจางจะตองไมเอางานทั้งหมดหรือแตบางสวนไปจางชวงอีกทอดหน่งึ เวนแตการจางชวงงานแตบางสวนที่ไดรับอนุญาตเปนหนังสือจากคณะกรรมการตรวจรับพัสดุฯ แลว การที่ รฟม. ไดอนุญาตใหจางชวงงานแตบางสวนดังกลาวนั้น ไมเปนเหตุใหผูรับจางหลุดพนจากความรับผิดหรือพันธะหนาที่ และผรูับจางจะยังคงตองรับผิดในความผิด และความประมาทเลินเลอของผูรับจางชวง หรือของตัวแทนหรือลูกจางของผรูับจางชวงนั้นทุกประการ (ถามี)
ภาคผนวก ก.
แบบฟอรมรายละเอียดคณุ สมบัติและประสบการณก ารทำงานของเจาหนาที่
รายละเอียดคุณสมบัตแิละประสบการณการทำงานของเจาหนาที่
การเก็บรวบรวมขอมูลสวนบุคคลในเอกสารนี้จัดทำขึ้นภายใตพระราชบัญญัติคุมครองขอมูลสว นบุคคล พ.ศ. 2562 ดวยวัตถุประสงคเพื่อตรวจสอบขอ มูลของเจาหนาท่ี ที่เขามาปฏิบัตงิานใหรฟม. ซึ่งเปนการประมวลผลขอมูลสวนบุคคลเพื่อปฏิบัติตามสัญญา โดยเก็บขอมูลสวนบุคคลเทาที่จำเปนจากเจาของขอมูลสวนบุคคล ซึ่ง รฟม. จะจัดเก็บขอมูล สวนบุคคลจนกวาจะสิ้นสุดขอผูกพันตามสัญญา ทั้งนี้ หากมีขอสอบถามหรือขอใชสิทธิ์ของเจาของขอมูลสวนบุคคล สามารถติดตอไดที่ การรถไฟฟาขนสงมวลชนแหงประเทศไทย สำนักงานใหญ เว็บไซตwww.mrta.co.th โทรศัพท 0 2716 4000
ชื่อภาษาไทย (คำนำหนาช่อื ช่ือ นามสกุล) วัน/เดือน/ป เกิด (วันที่ / เดือน / ปพ.ศ.) อายุ (ป) ถิ่นพำนักปจจุบัน (กรุงเทพมหานคร ประเทศไทย)
รปู ถาย
การศึกษา
ปริญญาตรี (สาขาวิชา) สถานศึกษา (วทิยาลัย / มหาวิทยาลัย / ฯลฯ , ประเทศ) ปที่จบการศึกษา (พ.ศ.) สถานะการทำงานในปจจบุ นั
สถานที่ (ชื่อหนวยงาน) ลกัษณะการจาง (อาชีพอิสระ/พนักงานประจำ/อื่นๆ (โปรดระบุ))
ไมเกิน 6 เดือน
ตำแหนง (ตำแหนง) ชวงเวลาที่ปฏิบัติงาน (วันที่ / เดือน / ป พ.ศ. - วันที่ / เดือน / ป พ.ศ.) ระยะเวลาการทำงาน (ป, เดือน) (สำหรับพนักงานประจำเทาน้นั) ผลการตรวจประวัติอาชญากรรมดวยลายน้วิมือ ไมมีประวตัิอาชญากรรม
ประสบการณการทำงาน
ลำดับที่ 1
สถานที่ (ชื่อหนวยงาน) ลกัษณะการจาง (อาชีพอิสระ/พนักงานประจำ/อื่นๆ (โปรดระบุ))
ตำแหนง (ตำแหนง ) ชวงเวลาที่ปฏิบัติงาน (DD/MM/YYYY - DD/MM/YYYY) ระยะเวลาการทำงาน (ป, เดือน) (สำหรับพนักงานประจำเทา นั้น) ขาพเจาขอรับรองวารายละเอียดคณุ สมบัติและประสบการณการทำงานขางตน นี้เปนความจริงทุกประการ
ลงชื่อ (ลงนามผูมีอำนาจจากบรษิัท) . ลงชื่อ (ลงนามเจาหนาที่) . (……………………………………………….) (……………………………………………….) ตำแหนง…………………………………………………… วนั ที่…………………/…………………/………………… บริษัท……………………………………………………….
วนั ท่.ี………………../…………………/…………………
หมายเหตุ
- แนบหลักฐานสำเนาหนังสือรบัรองวุฒิการศึกษา หรือประกาศนียบัตร และผลการตรวจประวตัอิาชญากรรมดวยลายน้วิมือ เพ่อืประกอบการพจิารณา
- แนบหลักฐานการเปลี่ยนชื่อหรือนามสกุล (ถามี) เพื่อประกอบการพิจารณา
- ขอมลู ปใหแสดงเปนพุทธศักราช
ภาคผนวก ข.
นโยบายการรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศของ รฟม.
การรถไฟฟ้าขนส่งมวลชนแห่งประเทศไทย
MASS RAPID TRANSIT AUTHORITY OF THAILAND
รัฐวิสาหกิจภายใตกํากับของรัฐมนตรีวาการกระทรวงคมนาคม
A STATE ENTERPRISE UNDER SUPERVISION OF MINISTER OF TRANSPORT
ประกาศการรถไฟฟาขนสงมวลชนแหงประเทศไทย
เรื่อง นโยบายการรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศ (ฉบับปรบั ปรุงคร้งัที่14)
ดวยพระราชกฤษฎีกากําหนดหลักเกณฑและวิธีการในการทําธุรกรรมทางอเิล็กทรอนิกสภาครัฐ พ.ศ. 2549มาตรา 5 กําหนดใหหนวยงานของรัฐตองจัดทําแนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยดานสารสนเทศ เพื่อใหการดําเนินการใด ๆ ดวยวิธีการทางอิเล็กทรอนิกสกับหนวยงานของรัฐหรือโดยหนวยงานของรัฐมคีวามมั่นคงปลอดภัยและเชื่อถือไดจงึสงผลใหระบบเทคโนโลยีสารสนเทศของการรถไฟฟาขนสงมวลชนแหงประเทศไทย(รฟม.) ตองมีการรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศอยางครบถวนเพื่อธํารงไวซ่ึงความลับ(Confidentiality) ความถูกตองครบถวน (Integrity) และสภาพพรอมใชงาน (Availability) ของสารสนเทศ รวมทั้ง คุณสมบัติอื่น ไดแก ความถูกตองแทจริง (Authenticity) ความรับผิด (Accountability) การหามปฏิเสธความรับผิดชอบ (Non-repudiation) และความนาเชื่อถือ (Reliability)
ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส เรื่องแนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคง ปลอดภัยดานสารสนเทศของหนวยงานของรัฐ (ฉบับที่ 2) พ.ศ. 2556 ขอ 14 กําหนดใหหนวยงานของรัฐตองกําหนดความรับผิดชอบที่ชัดเจน กรณีระบบคอมพิวเตอรหรือขอมูลสารสนเทศเกิดความเสียหายหรืออันตรายใด ๆ แกองคกรหรือผูหนึ่งผูใด อันเนื่องมาจากความบกพรอง ละเลย หรือฝาฝนการปฏิบัติตามนโยบายและแนวปฏิบัติในการรักษาความมั่นคง ปลอดภัยดานสารสนเทศ ทั้งนี้ ใหผูบริหารระดับสูงสุดของหนวยงาน (Chief Executive Officer: CEO) เปนผูรับผิดชอบตอความเสี่ยง ความเสยีหาย หรืออันตรายท่เีกิดขึ้น
อาศัยอํานาจตามความในมาตรา 25 แหงพระราชบัญญัติการรถไฟฟาขนสงมวลชนแหงประเทศไทยพ.ศ. 2543 ผูวาการการรถไฟฟาขนสงมวลชนแหงประเทศไทย จึงออกประกาศการรถไฟฟาขนสงมวลชนแหงประเทศไทย เรื่อง นโยบายการรักษาความม่นัคงปลอดภยัของระบบเทคโนโลยีสารสนเทศ ดงัตอไปนี้
- วัตถุประสงคและขอบเขต
เพื่อใหการใชงานระบบเทคโนโลยีสารสนเทศของ รฟม. เปน ไปอยางเหมาะสม มีประสิทธิภาพ มีความมั่นคงปลอดภัยและสามารถดาํ เนินงานไดอยางตอเนื่อง รวมทั้งปองกันปญหาและลดผลกระทบจากการใชงานระบบเทคโนโลยีสารสนเทศในลักษณะที่ไมถูกตองหรือจากการถูกคุกคามจากภัยตาง ๆ จงึไดกําหนดนโยบายเพ่ือควบคุมการรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศ ดังนี้
1.1 การเขาถึงหรือควบคุมการใชงานสารสนเทศครอบคลุม 4 ดาน คือ
1.1.1 การเขาถึงระบบสารสนเทศ (Access control) ตองตรวจสอบการอนุมัติสิทธิ์การเขาถึงระบบและกําหนดรหัสผาน การลงทะเบียนผูใชงานเพื่อใหผูใชท ี่มีสิทธิ์ (User authentication) เทานั้นที่สามารถเขาถึงระบบได รวมถึงมีการเก็บบันทึกขอมูลการเขาถึงระบบ (Access log) และขอมูลจราจรทางคอมพิวเตอร ท้ังนี้การใหสิทธิ์การใชงานระบบสารสนเทศนั้นตองใหสิทธ์ิอยางเหมาะสมและเพียงพอ (Need to know and Need to use)
/1.1.2 การเขาถึง…1 75 ถ นนพ ร ะ ร า ม 9 แ ข ว ง ห้ ว ย ข ว า ง เ ข ต ห้ ว ย ข ว า ง ก ร ุ งเ ทพ ม ห าน ค ร 1 0 310 โท ร ศ ัพท ์ 0 27 16 4000 โ ท ร ส า ร 0 2716 4 019 17 5 Ra ma I X R oa d, H uai Khw ang , Ba ngk ok 1 0 310, T hai land , T el .66 2716 40 0 0 F ax. 66 27 16 40 19 http://www.mrta.co.th
- 2 – 2 -
1.1.2 การเขาถึงระบบเครือขาย (Networkaccesscontrol) ตองกําหนดเสนทางการเชื่อมตอระบบคอมพิวเตอร การรับ - สง หรือการไหลเวียนขอมูลหรือสารสนเทศจะตองผานระบบการรักษาความปลอดภัยที่องคกรจัดสรรไวเชน Firewall IDS/IPS Proxy หรือการตรวจสอบไวรสัคอมพวิเตอรเปนตน เพื่อควบคุมและปองกันภัยคุกคามอยางเปนระบบ
1.1.3 การเขาถึงระบบปฏิบัติการ (Operating system access control) เพื่อปองกันการเขาถึงระบบปฏิบัติการโดยไมไดรับอนุญาต โดยกําหนดใหมีการยืนยันตัวตนเพื่อระบุถึงตัวตนของผูใชงาน รวมทั้งกําหนดใหมีการจํากดัระยะเวลาในการเช่อืมตอเพื่อใหมีความมั่นคงปลอดภัยมากยิ่งขึ้น
1.1.4 การเขาถึงโปรแกรมประยุกตหรือแอปพลิเคชันและสารสนเทศ (Applicationand Information access control) ตองกําหนดสิทธิ์การเขาถึงระบบเทคโนโลยีสารสนเทศ โดยใหสิทธิ์เฉพาะระบบงานสารสนเทศท่ตีองปฏิบัติตามหนาที่เทานั้น รวมทั้งมีการทบทวนสิทธิ์การเขาใชงานระบบสารสนเทศอยางสม่ําเสมอ
1.2 มีระบบสารสนเทศและระบบสํารองที่อยูในสภาพพรอมใชงาน รวมทั้งมีแผนเตรียมพรอมในกรณีฉุกเฉินหรือกรณีที่ไมสามารถดําเนินการตามวิธีการทางอิเล็กทรอนิกสได เพื่อใหสามารถใชงานสารสนเทศไดตามปกติอยางตอเนื่อง
1.3 ตรวจสอบและประเมินความเสี่ยงของระบบสารสนเทศอยางสม่ําเสมอ
- แนวปฏิบัติในการรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศ รฟม.
แนวปฏิบัติในการรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศ รฟม. ใชแนวทางและกระบวนการอางอิงตาม 1) ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส เรื่องแนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคง ปลอดภัยดานสารสนเทศของหนวยงานรัฐ พ.ศ. 2553 2) ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกสเร่ือง มาตรฐานการรักษาความม่ันคงปลอดภัยของระบบสารสนเทศตามวิธีการแบบปลอดภัย พ.ศ. 2555 และ 3) มาตรฐาน ISO/IEC27001:2022 โดยแบงแนวปฏิบัติออกเปน 17 สวน ตามเอกสารแนบทายประกาศ ดังตอไปนี้ 2.1 นโยบายการบริหารจัดการความมั่นคงปลอดภัยสําหรับผูบรหิาร (สวนที่ 1)
2.2 ความม่นัคงปลอดภัยที่เกี่ยวกับบุคลากร (สวนที่ 2)
2.3 การรักษาความมั่นคงปลอดภัยทางกายภาพและสิ่งแวดลอม (สวนที่ 3)
2.4 การจัดการทรัพยสิน (สวนท่ี4)
2.5 การจัดหา การพัฒนา และการบํารุงรักษาระบบสารสนเทศ (สวนที่ 5)
2.6 การควบคุมการเขาถงึระบบเทคโนโลยีสารสนเทศ (สวนที่ 6)
2.7 การควบคุมการเขาถึงระบบเครือขายไรสาย (สวนที่ 7)
2.8 การควบคุมหนวยงานภายนอกและผูใชงาน (บุคคลภายนอก) เขาถึงระบบเทคโนโลยีสารสนเทศ (สวนที่ 8) 2.9 การใชงานเครื่องคอมพิวเตอรและอุปกรณเคลื่อนที่ ของ รฟม. (สวนที่ 9)
2.10 การใชงานอินเทอรเน็ตและส่อืสังคมออนไลน (สวนที่ 10)
2.11 การใชงานจดหมายอเิล็กทรอนิกส ( สวนที่ 11)
2.12 การสํารองขอมูลและการเก็บรักษาขอมูลจราจรทางคอมพิวเตอร (สวนที่ 12)
2.13 การตรวจสอบและประเมินความเสี่ยง (สวนที่ 13)
2.14 การถายโอน และการแลกเปลี่ยนขอมูลสารสนเทศ (สวนที่ 14)
2.15 การควบคุมการเขารหัส (สว นท่ี15)
2.16 การนําอุปกรณสวนตัวมาใชงาน (Bring your own device) (สวนที่ 16)
2.17 การใชบ ริการ Cloud (Cloud Services) (สวนที่ 17)
/แนวปฏิบัติ…
- 3 – 3 -
แนวปฏิบัติในการรักษาความมั่นคงปลอดภัยระบบเทคโนโลยีสารสนเทศตามขอ 2. จัดเปนมาตรฐานดานความมั่นคง ปลอดภัยในการใชงานระบบเทคโนโลยีสารสนเทศของ รฟม. ซึ่งบุคลากรของ รฟม. หนวยงานภายนอก รวมถึงผูใชบริการระบบสารสนเทศของ รฟม. ที่เกี่ยวของจะตองปฏบิัติตามอยา งเครงครัด
- กรณีระบบคอมพิวเตอรหรือขอมูลสารสนเทศเกิดความเสียหาย หรืออันตรายใด ๆ แกองคกรหรือผูหนึ่งผูใดอันเนื่องมาจากความบกพรอง ละเลย หรือฝาฝนการปฏิบัติตามแนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคง ปลอดภัยดานสารสนเทศผูวาการการรถไฟฟาขนสงมวลชนแหงประเทศไทย(ChiefExecutive Officer: CEO) เปนผูรับผิดชอบตอความเสี่ยง ความเสียหาย หรืออันตรายที่เกิดขึ้น และดําเนินการตรวจสอบขอเท็จจริงกรณีที่ระบบคอมพิวเตอรหรือขอมูลสารสนเทศเกิดความเสยีหายหรืออันตรายใด ๆแกหนวยงานหรือผูหนึ่งผูใด รวมทั้งใหพิจารณาลงโทษตามเหตุอันควร
นโยบายนี้ใหใชบ ังคับเมื่อพนกําหนด 7 วัน นับแตวันที่ผูมีอํานาจลงนาม
ประกาศ ณ วันที่ กันยายน พ.ศ. 2568
(นายกาจผจญ อุดมธรรมภักดี)
ผูวาการการรถไฟฟาขนสงมวลชนแหงประเทศไทย
สารบัญ
เรื่อง หนา คํานิยาม ……………………………………………………………………………………………………………………………………………………….1 สวนที่ 1 นโยบายการบรหิารจัดการความมั่นคงปลอดภัยสาํ หรับผูบริหาร ……………………………………………………………….3 สวนที่2 ความมั่นคงปลอดภยัที่เก่ยีวกับบุคลากร………………………………………………………………………………………………..4 สวนที่ 3 การรักษาความมั่นคงปลอดภัยทางดานกายภาพและสิ่งแวดลอ ม ………………………………………………………………7 สวนที่ 4 การจดัการทรัพยสิน ………………………………………………………………………………………………………………………….8 สวนที่ 5 การจดัหา การพัฒนา และการบํารุงรักษาระบบสารสนเทศ ………………………………………………………………….. 10 สวนที่ 6 การควบคุมการเขาถึงระบบเทคโนโลยีสารสนเทศ ………………………………………………………………………………. 12 สวนที่ 7 การควบคุมการเขาถึงระบบเครือขายไรสาย ………………………………………………………………………………………. 22 สวนที่ 8 การควบคุมหนวยงานภายนอกหรือผูใชงานภายนอกเขาถึงระบบเทคโนโลยีสารสนเทศ …………………………….. 23 สวนที่ 9 การใชงานเครื่องคอมพวิเตอรและอุปกรณเคลื่อนที่ของ รฟม. ……………………………………………………………… 25 สวนที่ 10 การใชงานอินเทอรเน็ตและสื่อสงัคมออนไลน …………………………………………………………………………………… 28 สวนที่ 11 การใชงานจดหมายอิเล็กทรอนิกส ………………………………………………………………………………………………….. 32 สวนที่ 12 การสํารองขอมลูและการเก็บรักษาขอมูลจราจรทางคอมพิวเตอร ………………………………………………………… 33 สวนที่ 13 การตรวจสอบและประเมินความเสี่ยง……………………………………………………………………………………………… 35 สวนที่ 14 การถา ยโอน และแลกเปลี่ยนขอมูลสารสนเทศ …………………………………………………………………………………. 38 สวนที่ 15 การควบคุมการเขารหสั ………………………………………………………………………………………………………………… 39 สวนที่ 16 การนําอุปกรณส วนตัวมาใชงาน (Bring your own device) ………………………………………………………………. 40 สวนที่ 17 การใชบริการ Cloud (Cloud Services)………………………………………………………………………………..…………..49
1
เอกสารแนบทายประกาศ การรถไฟฟาขนสงมวลชนแหงประเทศไทย
เรื่อง นโยบายการรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศ
แนวปฏิบัติในการรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศ ของ รฟม.
คํานิยาม
คํานิยามที่ใชในนโยบายน้ีประกอบดวย
- รฟม. หมายถึง การรถไฟฟาขนสงมวลชนแหงประเทศไทย
- ฝทท. หมายถึง ฝายเทคโนโลยีสารสนเทศ
- ฝทบ. หมายถึง ฝายทรัพยากรบุคคล
- ผูบริหารระดับสงูสุด หมายถึง ผูวาการการรถไฟฟาขนสงมวลชนแหงประเทศไทย
- ผูบังคับบัญชา หมายถึง ผูมอีํานาจสั่งการตามโครงสรางการบริหารของ รฟม.
- ผูใชงาน หมายถึง บุคคลที่ไดรับอนุญาตใหสามารถเขาใชงานระบบเทคโนโลยีสารสนเทศของ รฟม. เพื่อประโยชน ในการดําเนินงานของ รฟม. ดังนี้
- ผูใชงานภายใน หมายถึง บุคลากรของ รฟม.
- ผูใชงานภายนอก หมายถึง บุคคลภายนอกที่ รฟม. อนุญาตใหเขามาใชงานระบบเทคโนโลยีสารสนเทศของ รฟม. เชน ที่ปรึกษา ผูปฏิบัติงานตามสญั ญา หรือนิสิตนกัศึกษาฝกงาน เปนตน
- ผูใชบริการ หมายถึง ผูที่สมัครใชบริการระบบงานสารสนเทศของ รฟม. ผานเครือขายสาธารณะ (Internet) 8. หนวยงานภายนอก หมายถึง องคกรตาง ๆ รวมถึงผูรับจาง ซึ่ง รฟม. อนุญาตใหมีสิทธิ์ในการเขาถึง หรือใชขอมูล หรือสินทรัพยตาง ๆ ของ รฟม. โดยจะไดรับสิทธิ์ในการใชระบบตามประเภทงานตามอํานาจและตองรับผิดชอบในการรักษาความลับของขอมูล
- ผูดูแลระบบ หมายถึง พนักงานที่ไดรับมอบหมายจากผูบังคับบัญชาใหมีหนาที่รับผิดชอบในการดูแลรักษาระบบสารสนเทศ และพนักงานของผูรับจางที่รับผิดชอบติดตั้งหรือบํารุงรักษาระบบสารสนเทศให รฟม. 10. เจาของขอมูล หมายถึง ผูไดรับมอบอํานาจจากผูบังคับบัญชาใหรับผิดชอบขอมูลของระบบงานโดยเจาของขอมูลเปนผูรับผิดชอบขอมูลนั้น ๆ หรือไดรับผลกระทบโดยตรงหากขอมูลเหลานั้นเกิดสูญหาย 11. มาตรฐาน หมายถึง บรรทัดฐานที่บงัคับใชในการปฏบิัติการจรงิเพื่อใหไดตามวตัุประสงคหรือเปาหมาย 12. ขั้นตอนปฏิบตัิหมายถึง รายละเอียดที่บอกขั้นตอนเปนขอ ๆ ที่ตองนํามาปฏิบัติเพื่อใหไดมาซึ่งมาตรฐานตามที่ได กาํ หนดไวตามวัตถประสงค ุ
- แนวปฏิบัติ หมายถึง แนวทางที่ตองปฏิบัติตามเพ่อืใหสามารถบรรลุวัตถปุ ระสงคหรือเปาหมายไดงายข้นึ 14. ระบบเทคโนโลยีสารสนเทศ (Information technology system) หมายถึง ระบบงานของ รฟม. ท่ีนําเอาเทคโนโลยีสารสนเทศ ระบบคอมพิวเตอร และระบบเครือขายสื่อสารขอมูลมาชวยในการสรางสารสนเทศที่ รฟม. สามารถนํามาใชประโยชนในการวางแผน การบริหาร การสนับสนุน การใหบริการ การพัฒนาและควบคุมการติดตอส่ือสารซึ่งมีองคประกอบ ไดแก ระบบคอมพิวเตอรระบบเครือขาย โปรแกรม ขอมูลและสารสนเทศ เปนตน 15. ขอมูลคอมพิวเตอรหมายถึง ขอมูลขอความ คําสั่ง ชุดคาํสั่ง หรือสิ่งอื่นใด ที่อยูในระบบคอมพิวเตอรในสภาพที่ระบบ คอมพิวเตอรอาจประมวลผลได และใหหมายความรวมถึงขอมูลอิเล็กทรอนิกสตามกฎหมายวาดวยธุรกรรมอเิล็กทรอนิกส
- ขอมูลจราจรทางคอมพิวเตอร (Trafficlog) หมายถึง ขอมูลเกี่ยวกับการติดตอสื่อสารของระบบคอมพิวเตอร ซึ่งแสดงถึง แหลงกําเนิด ตนทาง ปลายทาง เวลา วันที่ ปริมาณ ระยะเวลา หรืออื่น ๆ ที่เกี่ยวของกับการติดตอสื่อสารของ ระบบคอมพิวเตอรนั้น
- สารสนเทศ (Information) หมายถึง ขอเท็จจริงที่ไดจากขอมูลนํามาผานการประมวลผล การจัดระเบียบใหขอมูลซึ่งขอมูลอาจอยูในรูปของตัวเลข ขอความ หรือภาพกราฟกใหเปนระบบที่ผูใชสามารถเขาใจไดงาย และสามารถนําไปใชประโยชนในการบริหาร การวางแผน การตดัสนิใจ และอื่น ๆ
2 - ระบบคอมพิวเตอร (Computer system) หมายถึง อุปกรณหรือชุดอุปกรณของคอมพิวเตอรที่เชื่อมการทํางานเขาดวยกันโดยไดมีการกําหนดคําสั่ง ชุดคําสั่งหรือสิ่งอื่นใด และแนวปฏิบตัิงานใหอปุ กรณหรือชุดอุปกรณทําหนาท่ีประมวลผลขอมูลโดยอัตโนมัติ
- ระบบเครือขายสื่อสารขอมูล (Network system) หมายถึง ระบบที่สามารถใชในการติดตอสื่อสารหรือการสงขอมูลและสารสนเทศระหวางระบบเทคโนโลยีสารสนเทศตาง ๆ ของ รฟม. เชน ระบบแลน (LAN) ระบบอินทราเน็ต (Intranet) ระบบอินเทอรเน็ต (Internet) เปนตน
- สิทธ์ิของผูใชงาน หมายถึง สิทธิ์ทั่วไป สิทธิ์จําเพาะ สิทธิพิเศษ และสิทธิ์อื่นใด ที่เก่ียวของกับระบบสารสนเทศของหนวยงาน
- ความมั่นคงปลอดภัยดานสารสนเทศ หมายถึง การธํารงไวซ่งึความลับ (Confidentiality) ความถูกตองครบถวน(Integrity) และสภาพพรอมใชงาน (Availability) ของสารสนเทศ รวมทั้งคุณสมบัติอื่น ไดแก ความถูกตองแทจริง (Authenticity) ความรับผิด (Accountability) การหามปฏิเสธความรับผิด (Non-repudiation) และความนาเชื่อถือ (Reliability)
- เหตุการณดานความมั่นคงปลอดภัย หมายถึง เหตุการณที่แสดงใหเห็นความเปนไปไดที่จะเกิดการฝาฝนนโยบายดานความมั่นคงปลอดภยั มาตรการปองกันท่ลีมเหลว หรือเหตุการณอันไมอาจรูไดวาอาจเก่ยีวของกับความมั่นคงปลอดภัย23. สถานการณดานความมั่นคงปลอดภัยที่ไมพึงประสงคหรือไมอาจคาดคิด หมายถึงสถานการณดานความมั่นคงปลอดภยั ที่ไมพึงประสงคหรือไมอาจคาดคิด (Unwanted or unexpected) ซึ่งอาจทําใหระบบขององคกรถูกบุกรุกหรือโจมตีและความมั่นคงปลอดภัยถูกคุกคาม
- การเขาถึงหรือควบคุมการใชงานสารสนเทศ หมายถงึการอนุญาต การกาํ หนดสิทธิ์หรือการมอบอํานาจใหผูใชงานเขาถึงหรือใชงานเครือขายหรือระบบสารสนเทศ ทั้งทางอิเล็กทรอนิกสและทางกายภาพ ตลอดจนอาจกําหนดขอปฏิบัติเกี่ยวกับการเขาถึงโดยมิชอบเอาไวดวยก็ได
- สินทรัพย (Assets) หมายถึง สินทรัพยดานระบบเทคโนโลยีสารสนเทศและการสื่อสารของ รฟม. เชน อุปกรณ คอมพิวเตอรอุปกรณระบบเครอืขา ย ซอฟตแวรที่มีคาลิขสิทธ์ ขอมูล ระบบขอมูล ฯลฯ ิ 26. จดหมายอิเล็กทรอนิกส (Email) หมายถึง ระบบท่ีบุคคลใชในการรับ - สงขอความระหวางกัน โดยผานเครื่อง คอมพิวเตอรและเครือขายที่เชื่อมโยงถึงกัน ขอมูลที่สงจะเปนไดทั้งตัวอักษร ภาพถาย ภาพกราฟก ภาพเคล่อืนไหวและเสียงผูสงสามารถสงขาวสารไปยังผูรับคนเดียวหรือหลายคนก็ไดโดยขาวสารที่สงน้ันจะถูกเก็บไวในตูจดหมาย(Mail box) ที่กําหนดไวสําหรับผูใชงาน ผูรับสามารถเปดอาน พิมพลงกระดาษ หรือจะลบทิ้งก็ได 27. ชุดคําสั่งไมพึงประสงค (Malicious code) หมายถึง ชุดคําสั่งที่มีผลทําใหคอมพิวเตอร หรือระบบคอมพิวเตอร หรือชุดคําสั่งอื่นเกิดความเสียหาย ถูกทําลาย ถูกแกไขเปลี่ยนแปลงหรือเพิ่มเติม ขัดของหรือปฏิบัติงานไมตรง ตามคําสั่งที่กําหนดไว
- เครื่องคอมพิวเตอรหมายถึง เคร่อืงคอมพิวเตอรแบบตั้งโตะ และเครื่องคอมพิวเตอรแบบพกพา 29. อปุ กรณเคลื่อนที่ (Mobile device) หมายถึง อุปกรณอิเล็กทรอนิกสแบบพกพา ซึ่งมีความสามารถในการเชื่อมตอกับอปุ กรณอื่นเพื่อรับสงขอมูลผานระบบเครือขายโทรคมนาคมไรสายหรือโดยอาศัยคลื่นแมเหล็กไฟฟาเปนสื่อกลาง เชน Tablet, Smart Phone
- ทรัพยสินของ รฟม. หมายถึง ครุภัณฑ รฟม. และทรัพยสินที่ไมมีการขึ้นทะเบียนครุภัณฑที่ รฟม. จัดสรรงบประมาณเพื่อเปนคาใชจายใหท้งัหมดหรอืบางสวน
- อุปกรณสวนตัว หมายถึง อุปกรณที่ไมใชทรัพยสินของ รฟม. ที่ผูใชงานนํามาเชื่อมตอกับระบบสารสนเทศของ รฟม. เชน เครื่องคอมพิวเตอรสวนบุคคล (Personal computer) เคร่ืองคอมพิวเตอรพกพา (Notebook) อปุ กรณเคลื่อนที่ (Mobile device) Removable media หรืออุปกรณคอมพิวเตอรของโครงการรถไฟฟา เปนตน
3
สวนท่ี1
นโยบายการบริหารจัดการความมั่นคงปลอดภัยสําหรับผูบริหาร
วัตถุประสงค
▪ เพื่อใหการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศขององคกรมีความสอดคลองกับมาตรฐานสากลและกฎหมายดานความมั่นคงปลอดภัยที่เก่ยีวของ
ผูรบั ผดิชอบ
▪ ผูบริหารสูงสดุ
อางอิงมาตรฐาน: ISO/IEC 27001:2022
▪ มาตรการควบคุมดานองคกร (Organizational Controls)
แนวปฏิบัติ - จัดใหมีการทําและทบทวนหรือปรับปรุงนโยบายความมั่นคงปลอดภัย และแนวปฏิบัติที่สนับสนุนการทํางานตาง ๆ อยางนอยปละ 1 ครั้ง โดยพิจารณาจากปจจัยนําเขา ดังนี้
1.1 กลยุทธการดําเนนิงานขององคกร
1.2 ขอมูลกฎหมาย ระเบียบ ขอบังคับตาง ๆ ท่ตีองปฏิบัติตาม
1.3 การปรับปรุงนโยบายความมั่นคงปลอดภัยสําหรับปถัดไป
1.4 ผลการประเมินความเสี่ยงและแผนลดความเสี่ยง
1.5 ผลการแจงเตอืนโดยระบบปองกันการบุกรุกในปที่ผานมา
1.6 ผลของการตรวจสอบขอมูลการปดชองโหว (Patch) สําหรบัระบบตาง ๆ ในปที่ผานมา 1.7 การจดัทาํและตอสัญญาบํารุงรักษาระบบและอุปกรณต าง ๆ
1.8 แผนการอบรมทางดานความมั่นคงปลอดภัยประจําปซึ่งรวมถึงการสรางความตระหนัก 1.9 ผลการทดสอบแผนกูคืนในปที่ผานมา
1.10 ขอมูลภัยคุกคามตาง ๆ ท่เีคยเกิดขึ้นในอดีตและปจจบุ ัน รวมท้งัภัยคุกคามที่ไดรับแจงจากหนวยงานภายนอก1.11 ผลการตรวจสอบการปฏิบัติตามนโยบายความมั่นคงปลอดภัยโดยผูตรวจสอบภายในหรือโดยผูตรวจสอบอสิระดานความมั่นคงปลอดภัยจากภายนอก - จัดใหมีทรัพยากรดานบุคลากร งบประมาณ การบริหารจัดการ และวัตถุดิบที่เพยีงพอตอการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศในแตล ะปงบประมาณ
- จัดใหมีบุคลากรดําเนินงานดานความมั่นคงปลอดภัยสารสนเทศและกําหนดหนาที่ความรับผิดชอบรวมทั้ง ปรับปรุงโครงสรางดังกลาวตามความจําเปน
- แสดงเจตนารมณหรือสื่อสารอยางสม่ําเสมอเพื่อใหผูใชงานทั้งหมดไดเห็นถึงความสําคัญของการปฏิบัติตามนโยบายความมั่นคงปลอดภัยและนโยบายสนับสนุนตาง ๆ โดยเครงครัดและเปนผูรับผิดชอบตอความเสี่ยง ความเสียหาย หรืออันตรายที่เกิดขึ้นกับสารสนเทศขององคกร รวมถึงสรางความรวมมือระหวางหนวยงานที่เก่ยีวของกับความมั่นคงปลอดภยัสารสนเทศ
4
สวนท่ี2
ความมั่นคงปลอดภัยที่เกี่ยวกบั บุคลากร
วัตถุประสงค
▪ เพื่อใหผูใชงานเขาใจถึงบทบาท หนาที่ความรับผิดชอบ ทั้งกอนการจางงาน ระหวางการจางงาน และสิ้นสุดหรือเปลี่ยนแปลงการจางงาน ตลอดจนตระหนักถึงภัยคุกคามและปญหาที่เกี่ยวของกับความมั่นคงปลอดภัยของ ระบบเทคโนโลยีสารสนเทศเพื่อลดความเสี่ยงอันเกิดจากการขโมย การฉอโกง การใชงานระบบเทคโนโลยีสารสนเทศผิดวัตถุประสงคและความผิดพลาดในการปฏิบัติหนาที่ ซึ่งอาจสงผลกระทบหรือทําให รฟม. เกิดความเสยีหาย
ผูรบั ผดิชอบ
▪ ผูอํานวยการฝายเทคโนโลยีสารสนเทศ ผูอํานวยการฝายทรัพยากรบุคคล ผูอํานวยการฝาย/สํานัก/สํานักงาน ที่กํากับดูแลงานที่มีการวาจางหนวยงานภายนอก
อางอิงมาตรฐาน: ISO/IEC 27001:2022
▪ มาตรการควบคุมดานองคกร (Organizational Controls)
▪ มาตรการควบคุมดานบุคลากร (People Controls)
แนวปฏิบัติ - การสรางความม่ันคงปลอดภัยกอนการจางงาน (Prior to Employment) เพ่ือคัดสรรบุคลากรกอนที่จะเขามาปฏิบัติงาน และเพื่อลดความเสี่ยงจากการปฏิบัติงานผิดพลาด การขโมย การปลอมแปลง และการนําระบบสารสนเทศหรือทรัพยากรสารสนเทศของ รฟม. ไปใชในทางที่ไมเหมาะสม รวมทั้งเพื่อใหผูใชงานเขาใจในหนาที่ ความรับผิดชอบของตนเอง
1.1 การตรวจสอบคุณสมบัติของผูสมัคร (Screening)
ฝทบ. หรือฝาย/สํานัก/สํานักงาน ที่กํากบัดแูลงานที่มีการวาจางหนวยงานภายนอก/บุคคลภายนอกตองตรวจสอบคุณสมบัติของผูสมัคร (ทั้งกรณีการจางเปนพนักงาน ลูกจาง การวาจางหนวยงานภายนอก/บุคคลภายนอก เพื่อปฏิบัติงานใหรฟม. รวมทั้งนิสติ นักศึกษาฝกงาน) โดยผูสมัครตองไมเคยกระทําผิดกฎหมาย ระเบียบ ขอบังคบั หรือจรยิธรรม รวมทั้งไมมีประวัติในการบุกรุก แกไข ทําลาย หรือโจรกรรมขอมูลในระบบเทคโนโลยีสารสนเทศมากอน และมีคุณสมบัติตามที่ รฟม. กําหนด
1.2 การกําหนดเงื่อนไขการจางงาน (Terms and Conditions of Employment) การวาจางใหมีเงื่อนไขการจางงานใหครอบคลุมในเรื่องดังตอไปนี้
1.2.1 กําหนดหนาที่ความรับผิดชอบดานความมั่นคงปลอดภัยดานสารสนเทศอยางเปนลายลักษณอักษร (Information Security Roles and Responsibilities) แกผูใชงาน โดยกําหนดใหสอดคลองกับ
นโยบายความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศของ รฟม.
1.2.2 กําหนดใหมีการลงนามในสัญญาวาจะไมเปดเผยความลับของ รฟม. (Non-Disclosure Agreement: NDA)
1.2.3 ระบบเทคโนโลยีสารสนเทศที่สรางหรือพัฒนาโดยผูใชงานในระหวางการวาจางถือเปนสินทรัพย ของ รฟม.
1.2.4 กําหนดความรับผิดชอบหรือบทลงโทษ หากผูใชงานไมปฏิบัติตามนโยบายการรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยสีารสนเทศ รฟม. รวมทั้ง กฎหมาย ระเบียบ ขอบังคับ หรือขอกําหนดอื่น ๆ ท่เีกี่ยวของกับการรักษาความมั่นคงปลอดภยัของระบบเทคโนโลยีสารสนเทศ
5 - การสรางความมั่นคงปลอดภัยในระหวางการจางงาน (During Employment) เพื่อสรางความตระหนักแกผูใชงานเกี่ยวกบั ภัยที่เกี่ยวของกบัการปฏิบตัิงานสารสนเทศ รวมถึงใหความรูเพื่อใหสามารถปองกันภัยดังกลาวได 2.1 หนาที่ในการบริหารจัดการทางดานความมั่นคงปลอดภัย (Management Responsibilities)
ผูบริหาร รฟม. ทุกระดับชั้นมีหนาที่สนับสนุนและสงเสริมเรื่องดังตอไปนี้แกผูใชงาน 2.1.1 ประกาศนโยบายการรักษาความมั่นคงปลอดภัยดานสารสนเทศของ รฟม. เปนลายลักษณอักษรใหทุกคนรับทราบและปฏิบัติตาม
2.1.2 จูงใจใหผูใชงานปฏิบัติตามนโยบายการรักษาความมั่นคงปลอดภัยดานสารสนเทศของ รฟม. 2.1.3 สรางความตระหนักถึงความมั่นคงปลอดภัยดานสารสนเทศท่ีเกี่ยวของกับหนาที่ความรับผิดชอบของตนเองและของ รฟม.
2.2 การสรางความตระหนัก การใหความรูและการอบรมดานความมั่นคงปลอดภัยใหแกผูใชงาน (Information Security Awareness, Education and Training) การสรางความตระหนักในการรักษาความมั่นคงปลอดภัยอยางสม่ําเสมอ
2.2.1 ผูดูแลระบบตองแจงเตือนภัยคุกคาม และชองโหวที่สงผลกระทบตอความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศแกผูใชงานที่เกี่ยวของ นอกจากนี้ตองแจงเตือนใหผูใชงานเพิ่มความระมัดระวัง ความเสี่ยงตาง ๆ เชน ไวรัสคอมพิวเตอร เทคนิคการหลอกลอทางจิตวิทยา (Social Engineering) และชองโหวทางเทคนิค เปนตน
2.2.2 ฝทท. ตองดําเนินการฝกอบรม หรือประชาสัมพันธเพื่อสรางความตระหนักดานความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศแกผูใชงานเปนประจําทุกป
2.2.3 ฝทท. ตองแจงผูใชงานใหทราบ เมื่อมีการเปลี่ยนแปลงนโยบายการรักษาความมั่นคงปลอดภัยสารสนเทศของ รฟม. รวมทั้งอธบิายผลกระทบจากการเปลี่ยนแปลงดังกลา ว
2.3 การแจงเหตุการณไมปกติ
ผูใชงานตองแจงเหตุการณไมปกติดานเทคโนโลยีสารสนเทศที่พบผานชองทางที่ รฟม. กําหนดโดยเร็วที่สุด2.4 การกําหนดบทลงโทษ
2.4.1 ความรับผิดตามกฎหมาย
นโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยดานสารสนเทศนี้ไมไดกอใหเกิดสิทธิ์ ทางกฎหมายที่ทําใหผูใชงานพนผิดแมจะไดปฏิบัติตามนโยบายและแนวปฏิบัติในการรักษาความมั่นคง ปลอดภัยสารสนเทศ และผูใชงานตกลงยินยอมที่จะไมดําเนินการใด ๆ ทางกฎหมายตอ รฟม. ซึ่งได ปฏิบัติตามระเบียบนี้ แตอยางไรก็ตามหากผูใชงานกระทําการละเมิดหรือกระทําผิดตามนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยสารสนเทศ อาจเปนความผิดทางวินัยและเปนเหตุ ใหถูกลงโทษทางวินัยไดรฟม. ไมมีสวนรับผิดชอบตอการละเมิดทรัพยสินทางปญญาท่ีเกิดจากการใชระบบคอมพิวเตอร
2.4.2 การพิจารณาโทษผูกระทําผิด
ผูใชงานที่กระทําความผิด ฝทท. จะเพิกถอนสิทธิ์การใชงานและอาจเปนความผิดทางวินัย หรือความผิดตามกฎหมายที่เกี่ยวของ
- พนักงาน/ลูกจางที่ฝาฝนหรือละเมิดนโยบายการรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศ รฟม. ตองถูกลงโทษตามกระบวนการทางวินัยของ รฟม. รวมถึงกฎหมายที่เกี่ยวของ 2) หนวยงานภายนอก/บุคคลภายนอกที่กระทําความผิด จะมีโทษตามที่ระบุไวในสัญญาหรือถูกเพิกถอนสิทธิ์การใชงาน รวมถึงดําเนินการตามกฎหมายที่เกี่ยวของ
6
- การสิ้นสดุ หรือการเปลี่ยนแปลงการจางงาน (Termination and Change of Employment) เพื่อกําหนดหนาที่ความรับผิดชอบเมื่อสิ้นสุดหรือเปลี่ยนแปลงการจางงาน ซึ่งรวมไปถึงการคืนทรัพยสินและการถอดถอนสิทธิ์ในการเขาถึง
3.1 การแจงการสิ้นสุดหรือเปลี่ยนแปลงการจางงาน
3.1.1 ฝทบ. ตองแจงให ฝทท. ทราบทันทีหากพนักงานมีการลาออก โยกยาย เกษียณ หรือเสียชีวิต เพื่อ ฝทท. จะไดตรวจสอบและบริหารจัดการสิทธิ์ในการเขาถึงระบบเทคโนโลยีสารสนเทศ 3.1.2 ฝาย/สํานัก/สํานักงาน ที่กํากับดูแลงานที่มีการวาจางหนวยงานภายนอก/บุคคลภายนอก ตองแจงให ฝทท. ทราบทันทีในกรณีที่ผูรับจางภายนอกสิ้นสุดสัญญาจางหรือมีการยกเลิกสัญญาจาง เพื่อให ฝทท. ตรวจสอบการใชงานระบบสารสนเทศและถอดถอนสิทธิ์ในการเขาถึงระบบสารสนเทศของ รฟม.
3.2 การคืนสินทรัพยของ รฟม.
ผูดูแลระบบตองตรวจสอบเพ่ือเรียกคืนสินทรัพยของ รฟม. จากผูใชงาน เมื่อการสิ้นสุดหรือการเปลี่ยนแปลง การจางงาน
3.3 การถอดถอนสิทธิ์ในการเขาถึง
3.3.1 ผูดูแลระบบตองถอดถอนสิทธิ์ในการเขาถึงของผูใชงาน เมื่อสิ้นสุดหรือเปลี่ยนแปลงการจางงาน 3.3.2 การถอดถอนสิทธิ์ในการเขาถึงหมายรวมถึง ทางกายภาพ (Physical) และทางตรรกะ (Logical) เชน กุญแจ บัตรแสดงตน บัตรประจําตัวผูใชงาน และบัญชผีูใชงาน เปนตน
3.3.3 ในกรณีท่ผีูใชงานที่สิ้นสุดหรือเปลี่ยนแปลงการจางงาน มีการใชบัญชีผูใชงานรวมกัน (Shared User ID) กับผูใชงานอื่น ผูบังคับบัญชาตองเปลี่ยนรหัสผานทนั ทีหลังจากสิ้นสุดหรือเปล่ยีนแปลงการจางงาน
7
สวนท่ี3
การรักษาความมั่นคงปลอดภัยทางดานกายภาพและส่งิแวดลอม
วัตถุประสงค
▪ เพื่อควบคุมและปองกันการรักษาความมั่นคงปลอดภัยที่เกี่ยวของกับการเขาถงึอาคารสถานที่ และพื้นท่จีัดเก็บขอมูลคอมพิวเตอร (Data Storage Area)
ผูรบั ผดิชอบ
▪ ผูดูแลระบบ
▪ ผูอํานวยการฝายจัดซื้อและบริการ
อางอิงมาตรฐาน: ISO/IEC 27001:2022
▪ มาตรการควบคุมดานกายภาพ (Physical Controls)
แนวปฏิบัติ - ผูดูแลระบบ ตองออกแบบ และติดตั้งอุปกรณหรือระบบสนับสนุน (Facilities) เพื่อปองกันความมั่นคงปลอดภัยดานกายภาพ เชน อุปกรณดับเพลิง ระบบสํารองไฟฟา เครื่องกําเนิดไฟฟา ระบบปรับอากาศและควบคุมความชื้น ระบบเตือนภัยน้ํารั่ว และตองมีการบํารุงรักษาอยางสม่ําเสมอ
- ผูดูแลระบบตองติดตั้งอุปกรณสารสนเทศในตูแร็ก (Rack) หรือสถานที่ท่มีีความมั่นคงปลอดภัยและมีการปดล็อค3. ผูดูแลระบบ ตองมีการปองกันสายเคเบิลที่ใชเพื่อการส่อืสารหรือสายไฟ มิใหมีการดักรับสัญญาณ (Interception) หรือมีความเสียหายเกิดขึ้น โดยจะตองเดินสายเคเบิลผานทอรอยสายหรือทางเดนิสายที่มั่นคงปลอดภัยจากการเขาถึง และไมเดินสายผานพื้นที่ท่เีขาถึงไดอยางสาธารณะ รวมทั้งสายเคเบิลสื่อสารและสายไฟฟาตองแยกจากกันโดยมีระยะหา งที่เหมาะสม
- การกําหนดบริเวณที่มีการรักษาความมั่นคงปลอดภัย
กาํ หนดพื้นที่ของระบบเทคโนโลยีสารสนเทศตาง ๆอยา งเหมาะสม เพ่อืเปนการเฝาระวัง ควบคุม การรักษาความม่ันคง ปลอดภัยจากผูที่ไมไดรบัอนุญาต รวมทั้งปองกันความเสียหายอื่น ๆ ที่อาจเกิดขึ้นไดโดยแบงแยกบรเิวณพื้นที่ใชงานระบบเทคโนโลยีสารสนเทศออกเปน
4.1 พื้นที่ทํางาน (Working area) หมายถึง พื้นที่ติดตั้งเครื่องคอมพิวเตอรสวนบุคคลและคอมพิวเตอรพกพาที่ประจําโตะทํางาน
4.2 พื้นที่จัดเก็บขอมูลคอมพิวเตอร (Data storage area) หมายถึง พื้นที่ศูนยของขอมูล (Data center) 5. การควบคุมการเขาออก อาคาร สถานที่
5.1 กาํ หนดสิทธิ์ของผูใชงานและหนวยงานภายนอกในการเขาถึงสถานที่ โดยแบงแยกได ดังนี้ 5.1.1 ผูดูแลระบบตองกําหนดสิทธ์ิแกผูใชงานที่มีสิทธิ์เขา - ออก และกําหนดชวงระยะเวลาที่มีสิทธิ์ ในการเขา - ออกแตละพื้นที่ใชงานระบบเทคโนโลยีสารสนเทศอยางชัดเจน
5.1.2 เจาหนาที่รักษาความปลอดภัย (รปภ.) จะตองใหหนวยงานภายนอก/บุคคลภายนอกแลกบัตรที่สามารถระบุตัวตนของบุคคลนั้น ๆกอนเขาถึงอาคารของ รฟม. เชน บตัรประจําตัวประชาชน ใบอนุญาตขับขี่
เปนตน แลวบันทกึขอมูลบัตรในสมดุ บนั ทึกหรือระบบงานสารสนเทศ
5.1.3 หนวยงานภายนอก/บุคคลภายนอกที่มาติดตอตองติดบัตรผูติดตอ (Visitor) ตรงจุดที่สามารถเห็นได ชัดเจนตลอดเวลาที่อยูใน รฟม. และคืนบัตรผูติดตอ (Visitor) กอนออกจากอาคารของ รฟม.
5.1.4 เจาหนาที่รักษาความปลอดภัย (รปภ.) ตองตรวจสอบผูติดตอ อุปกรณ พรอมลงเวลาออกที่สมุดบันทกึหรือระบบสารสนเทศใหถกูตอง
5.2 ผูดูแลระบบ ตองควบคุมการเขา – ออกพื้นที่จัดเก็บขอมูลคอมพิวเตอร (Data Storage Area) ไมใหผูไมมีสิทธิ์ เขาถึงได โดยกําหนดพื้นที่การสงมอบสินคาและพื้นที่การเตรียมหรือประกอบอุปกรณสารสนเทศ (Unpack Area) กอนนําเขาพื้นที่จัดเก็บขอมูลคอมพิวเตอร (Data storage area) และตองควบคุมการ เขา - ออก เพื่อหลีกเลี่ยงการเขาถึงระบบสารสนเทศและขอมูลสารสนเทศโดยไมไดรับอนุญาต โดยปฏิบัติตามขั้นตอนที่ รฟม. กําหนด
8
สวนท่ี4
การจัดการทรัพยสิน
วัตถุประสงค
▪ เพื่อบริหารจัดการทรัพยสินสารสนเทศ ตั้งแตการจัดหา การใชงาน จนถึงการยกเลิกใชงาน โดยมีการระบุ ทรัพยสินขององคกรและกําหนดหนาที่ความรับผิดชอบในการปกปองทรัพยสินสารสนเทศอยางเหมาะสม ผูรบั ผดิชอบ
▪ ผูบังคับบัญชา
▪ ผูดูแลระบบ
▪ เจาของขอมูล
▪ ผูใชงาน
อางอิงมาตรฐาน: ISO/IEC 27001:2022
▪ มาตรการควบคุมดานองคกร (Organizational Controls)
▪ มาตรการควบคุมดานกายภาพ (Physical Controls)
▪ มาตรการควบคุมดานเทคโนโลยี (Technological Controls)
แนวปฏิบัติ - หนาที่ความรับผิดชอบตอทรัพยสินสารสนเทศ (Responsibility for Assets)
1.1 เจาของขอมูลและผูดูแลระบบ ตองรวมกันจัดทําบัญชีทรัพยสิน/ทะเบียนทรัพยสิน (Asset Inventory) และทบทวนทะเบียนทรัพยสินอยางนอยปละ 1 ครั้ง หรอืเมื่อมีการเปลี่ยนแปลงที่มีนัยสําคญั
1.2 เจาของขอมูลและผูดูแลระบบ ตองระบุเจาของทรัพยสินสารสนเทศทุกรายการ เพื่อรับผิดชอบดูแลความมั่นคงปลอดภัยสารสนเทศตลอดวงจรอายุการใชงาน
1.3 เจาของขอ มูลและผูดูแลระบบ ตองเรียกคืนทรัพยสินสารสนเทศเมื่อสิ้นสุดหรือเปลี่ยนแปลงการจางงาน 1.4 ผูใชงานตองใชทรัพยสินสารสนเทศของ รฟม. อยางระมัดระวัง และใชเพื่อปฏิบัติงานของ รฟม. เทานั้น รวมทั้งตองปฏิบัติตามกฎหมาย ระเบียบ ขอบังคับ และนโยบาย ของ รฟม. - การจาํแนกประเภทของทรัพยสินสารสนเทศ (Asset Classification)
2.1 เจาของขอมูลและผูดูแลระบบ ตองจําแนกประเภททรัพยสินตามขั้นตอนที่ รฟม. กําหนด และทบทวนการจําแนกดังกลาวอยางสม่ําเสมอ
2.2 เจาของขอมูลและผูดูแลระบบ ตองจัดทําปายชื่อทรัพยสินสารสนเทศ (Labeling) ใหชัดเจน พรอมทั้งจัดใหมีมาตรการดูแลการรกัษาความม่นัคงปลอดภัยสารสนเทศที่สอดคลองกับประเภททรัพยสินตามระดับช้นัความลับที่ รฟม. กําหนด - การจดัการสื่อบันทึกขอมูล (Media Handling)
3.1 เจาของขอมูล ผูดูแลระบบ และผูใชงานตองควบคุมการใชงานและจัดเก็บสื่อบันทึกแบบถอดหรือตอพวง กบัเครื่องคอมพวิเตอรได(Removable Media) ตามที่ รฟม. กําหนด
3.2 เจาของขอมูลตองมีการเขารหัสขอมูลท่ีออนไหว (Sensitive Data) ของ รฟม. ที่จัดเก็บอยูในสื่อบันทึกแบบถอดได
3.3 เจาของขอมูล ผูดูแลระบบ และผูใชงานตองทําลายขอมูลสําคัญในอุปกรณส่ือบันทึกขอมูล แฟมขอมูลตามขั้นตอนท่ีรฟม. กําหนด โดยไมสามารถกูคืนขอมูลกลับมาไดอีกกอนจะกําจัดอุปกรณดังกลาวหรือกอนที่จะอนุญาตใหผูอื่นนําอุปกรณนั้นไปใชงานตอเพื่อปองกันไมใหมีการเขาถึงขอมูลที่สําคัญได โดยพิจารณาวิธีการทําลายขอมูลบนสื่อบันทึกขอมูลแตละประเภท ดงันี้
9
ประเภทสื่อบันทึกขอมลู วิธีทําลาย
กระดาษ ใหหั่นดวยเครื่องทําลายเอกสาร
Flash Drive 1) ทาํลายขอมูลบน Flash Drive ตามมาตรฐาน
DOD5220.22M ของกระทรวงกลาโหมสหรัฐอเมริกา
ซึ่งเปนการเขียนทับขอมูลเดิมหลายรอบ
- ใชวิธีทุบหรือบดใหเสียหาย
แผน CD/DVD ใหหั่นดวยเครื่องทําลายเอกสาร
เทป ใชวิธีทุบหรือบดใหเสียหายหรือเผาทําลาย
ฮารดดิสก- ทาํลายขอมูลบนฮารดดิสกตามมาตรฐาน
DOD5220.22M ของกระทรวงกลาโหมสหรัฐอเมริกาซึ่งเปนการเขียนทับขอมูลเดิมหลายรอบ 2) ใชวิธีทุบหรือบดใหเสียหาย
- ทาํลายขอมูลบนฮารดดิสกตามมาตรฐาน
3.4 เจาของขอมูลผูดูแลระบบ และผูใชงาน ตองมีการปองกันสื่อบันทึกขอมูลที่ใชจัดเก็บขอมูลสารสนเทศในกรณี
ที่มีการเคลื่อนยายเพื่อปองกันการเขาถึงขอมูลสารสนเทศโดยไมไดรับอนุญาต ถูกนาํ ไปใชงานผิดวัตถุประสงค รวมถึงปองกันสื่อบันทึกขอมูลไมใหไดรับความเสียหาย โดยรักษาความปลอดภัยสารสนเทศตามขั้นตอนที่ รฟม. กําหนด
4. การบริหารจัดการคาคอนฟกูเรชัน (Configuration Management)
4.1 ผูบังคับบัญชาตองกําหนดใหมีแนวทางการบริหารจัดการคาคอนฟกูเรชัน (Configuration Management) 4.2 ผูดูแลระบบตองกําหนดคา Minimum Baseline Standard เพื่อเปนมาตรฐานในการการตั้งคาของ ระบบปฏิบัติการ ระบบฐานขอมูล ระบบงาน และอุปกรณเครือขายสื่อสารตาง ๆอยางเปนลายลักษณอักษรและตองการทบทวนปรับปรงุ ใหเปน ปจจุบันอยางนอยปละ 1 ครั้ง
4.3 ผูดูแลระบบตองควบคุมการเปลี่ยนแปลงการต้ังคาของระบบปฏิบัติการ ระบบฐานขอมูล ระบบงาน และอุปกรณเครือขายสื่อสารตาง ๆ ตามขั้นตอนปฏิบัติการควบคุมการเปลี่ยนแปลงหรือแกไขระบบที่ รฟม. กาํ หนด
4.4 ผูดูแลระบบตองควบคุมเวอรชันของคาคอนฟกูเรชัน (System Configuration Version Control) 4.5 ผูดูแลระบบตองมีการสอบทานคาคอนฟกูเรชันของระบบปฏิบัติการ ระบบฐานขอมูล ระบบงาน และอุปกรณเครือขายสื่อสารตาง ๆ อยางนอยปละ 1 ครั้ง
10
สวนที่ 5
การจัดหา การพัฒนา และการบํารุงรักษาระบบสารสนเทศ
วัตถุประสงค
▪ เพื่อควบคุมการจัดหา พัฒนา และบํารุงรักษาระบบสารสนเทศ ใหมีการกําหนดมาตรการการรักษาความมั่นคง ปลอดภัย เพื่อปองกันความผิดพลาด สูญหาย และการเปลี่ยนแปลงแกไขระบบ
ผูรบั ผดิชอบ
▪ ผูบังคับบัญชา
▪ ผูดูแลระบบ
อางอิงมาตรฐาน: ISO/IEC 27001:2022
▪ มาตรการควบคุมดานองคกร (Organizational Controls)
▪ มาตรการควบคุมดานเทคโนโลยี(Technological Controls)
แนวปฏิบัติ
- ผูบังคับบัญชา ตองควบคุมใหมีการกําหนดขอตกลงและความรับผิดชอบที่เกี่ยวของกับความเสี่ยงดานความมั่นคง ปลอดภัยสารสนเทศลงในสัญญากับผูใหบริการภายนอก โดยใหครอบคลุมรวมถึงผูรับจางชวงดวย 2. ผูบังคับบัญชาตองควบคุมใหมีขอตกลง (Sign Off) กอนเริ่มใชงานระบบจริง (Production) หรือกอนเร่มิ Go Live 3. ผูดูแลระบบ ตองจัดทําขอกําหนดโดยระบุถึงการควบคุมความมั่นคงปลอดภัยดานสารสนเทศที่สอดคลองกับนโยบายและแนวปฏบิัติดานความมั่นคงปลอดภัยสารสนเทศขององคกร เชน วิธีการแบบปลอดภัยในการพัฒนาโปรแกรมตามมาตรฐาน OWASP (Open Web Application Security Project) Top 10 หรือมาตรฐาน CWE (Common Weakness Enumeration) Top 25 หรือมาตรฐานที่ยอมรับในสากล
- ผูดูแลระบบตองออกแบบโครงสรางการจัดวางระบบงานและเสนอผูบังคับบัญชาเห็นชอบกอนเริ่ม Go Live 5. ผูดูแลระบบ ตองมีการออกแบบระบบเพื่อตรวจสอบขอมูลที่จะรับเขาสูแอปพลิเคชัน ขอมูลที่เกิดจากการประมวลผล และขอมูลที่อยูระหวางการประมวลผล เพ่ือตรวจหาและปองกันความไมถูกตองที่เกิดขึ้นกับขอมูลเชน หนวยความจําลน (Buffer Overflows) การใชตัวแปรผิดประเภท และตองมีมาตรการปองกันหรือควบคุมความลมเหลวระหวางการประมวลผล (Rollback)
- ผูดูแลระบบตองมีการควบคุมการเขาถึงและควบคุมการเปลี่ยนแปลงหรือแกไขระบบตามขั้นตอนที่ รฟม. กําหนดเพื่อควบคุมผลกระทบที่เกิดขึ้น
- ผูดูแลระบบตองจํากัดใหมีการเปลี่ยนแปลงใด ๆ ตอซอฟตแวรที่ใชงาน (Software Package) โดยเปลี่ยนแปลง เฉพาะที่จําเปนเทานั้น และควบคุมทกุ ๆ การเปลี่ยนแปลงอยางเขมงวดตามขั้นตอนที่ รฟม. กําหนด 8. ผูดูแลระบบตองจํากัดการเขาถึง Source Code ใหเขาถึงไดเฉพาะผูที่มสีิทธิ์เทานั้น 9. ผูดูแลระบบตองจัดทํา Source Code Review เพื่อหาขอผิดพลาดหรือสิ่งผิดปกติและปรับปรุง Source Code ใหมีคุณภาพ
- ผูดูแลระบบตองควบคุมการจัดสง Source Code ผานชองทางที่มั่นคงปลอดภัยและเปนชองทางที่ รฟม. กาํ หนดใหใชงานเทานั้น
- ผูดูแลระบบตองปดบังขอมูลสวนบุคคล (Data Masking) ที่จัดเก็บอยูในระบบงานสารสนเทศดวยวิธีการที่ เหมาะสม
- ผูดูแลระบบตองแสดงขอมูลของผูใชงานอยางรัดกุม เชน การปดบังขอมูลสําคัญของผูใชงาน (Sensitive Data Masking) เปนตน
11 - กรณีของแอปพลิเคชันที่ใชงานผา นอุปกรณเคลื่อนที่ (Mobile device) ใหผูดูแลระบบดําเนินการ ดังน้ี 13.1 ปดบังหนาจอเมื่อยอแอปพลิเคชัน (Application Blurring) เพื่อลดความเสี่ยงที่ขอมูลสําคัญของผูใชงานจะรั่วไหล
13.2 ขอสิทธิ์เขาถึงทรัพยากรหรือบริการโดยแอปพลิเคชัน (Application Permission) บนอุปกรณเคลื่อนที่ ของผูใชงานเทาที่จําเปน และมีกระบวนการทบทวนการขอสิทธิ์เปนประจําเพื่อปองกันการละเมิดสิทธิ์ ความเปนสวนตวัของผูใชงาน - ผูดูแลระบบตองควบคุมขอมูลที่นํามาใชในการทดสอบระบบ (Test Data) อยางเหมาะสม โดยไมนําขอมูลจริง มาทดสอบ กรณีจําเปนตองใชขอมูลจริงตองไดรับอนุญาตขอมูลจากเจาของกอนนํามาใชงาน และทําลายขอมูลอยางเหมาะสมตามขั้นตอนท่ีรฟม. กําหนด
- ผูดูแลระบบตองแยกระบบสารสนเทศสําหรับการพัฒนา ทดสอบ และใชงานจริงออกจากกันเพื่อลดความเสี่ยง ที่เกิดจากการเปลี่ยนแปลงระบบสารสนเทศโดยไมไดรับอนุญาต และตองมีการกําหนดสิทธิ์การเขาถึงระบบสารสนเทศท่พีัฒนา ทดสอบ หรือใชงานจริง ทั้งระบบสารสนเทศใหมและการปรับปรุงแกไขระบบสารสนเทศเดิม
- ผูดูแลระบบตองมีการกําหนดขั้นตอนการทดสอบระบบสารสนเทศกอนนําไปใชงานจริง ทั้งในกรณีปรับปรุงระบบสารสนเทศเดิมและการพัฒนาระบบสารสนเทศใหม
- ผูดูแลระบบตองติดตั้งซอฟตแวรบนระบบสารสนเทศท่ีใหบริการ (Production) ตามขั้นตอนที่ รฟม. กําหนด และจํากัดสิทธิ์การติดตั้งซอฟตแวรเพื่อใหระบบสารสนเทศตาง ๆ มีความถกูตองครบถวนและนาเชื่อถือ 18. ผูดูแลระบบตองนําซอฟตแวรที่ไมละเมิดลิขสิทธิ์มาติดตั้งบนระบบสารสนเทศที่ใหบริการ (Production) 19. ผูดูแลระบบตองกํากับดูแลใหผูรับจางปฏิบัติตามสัญญาหรือขอตกลงการใหบริการที่ระบุไว โดยครอบคลุมถึง ดานความมั่นคงปลอดภยัสารสนเทศ และการปฏิบัติตามขั้นตอนที่เกี่ยวของตา ง ๆ ที่ รฟม. กําหนดไว 20. ผูดูแลระบบ ตองติดตาม ตรวจสอบรายงาน หรือบันทึกการใหบริการของบุคคล/หนวยงานภายนอกที่ใหบริการแก หนวยงานตามสญั ญาวาจางอยางสมํา่ เสมอ
- ผูดูแลระบบ ตองดูแลใหทรัพยสินสารสนเทศไดรับการบํารุงรักษาและซอมแซมตามความตองการ รวมท้ังตอง มีการบันทึกประวัติการทํางานผิดปกติการบํารงุ รักษา และการซอมแซมอุปกรณนั้น ๆ อยางสม่ําเสมอ 22. ผูดูแลระบบจะตองปดชอ งโหวของระบบสารสนเทศที่มีระดับความรุนแรงในระดับวิกฤติ(Critical) และระดับสูง (High) ทั้งหมดกอนนําไปใชงานจริง (Production) หรือกอนเริ่ม Go Live โดยเฉพาะระบบที่ใหบริการผานเครือขายอนิเทอรเน็ต (Internet Facing) และระบบท่มีีความสําคัญตอการดําเนินงานของ รฟม.
- ผูดูแลระบบตองพิจารณาเลือกใช Version ของ Software ดังนี้
23.1 กรณีนํา Software เดิมมาใชในการจัดหาหรือพัฒนาระบบ จะตองนําผลการตรวจสอบชองโหวและผลการทดสอบ เจาะระบบมาประกอบการพิจารณาคัดเลือกเวอรชันของ Software ดวย เพื่อปองกันไมใหเกิดชองโหวเดิมรวมถึงเพื่อลดภาระงานในการปดชองโหวเดิมซ้ํา
23.2 กรณีเปน Software ท่ไีมเคยนํามาใชงานใหเลือกใช Software เวอรช ันลาสุด
12
สวนท่ี6
การควบคุมการเขาถึงระบบเทคโนโลยีสารสนเทศ
วัตถุประสงค
▪ เพื่อควบคุมการเขาถึงระบบเทคโนโลยีสารสนเทศตั้งแตการกําหนดสิทธิ์ กําหนดประเภทของขอมูล จัดลําดับความสําคัญหรือลําดับช้ันความลับของขอมูล ระดับชั้นการเขาถึง เวลาที่เขาถึงไดและชองทางการเขาถึง ทั้งนี้ เพื่อควบคุมและปองกันการเขาถึง การลวงรู และการแกไขระบบสารสนเทศของ รฟม. โดยไมไดรับอนุญาต ผูรบั ผดิชอบ
▪ ผูดูแลระบบ
▪ เจาของขอมูล
▪ ผูใชงาน
อางอิงมาตรฐาน: ISO/IEC 27001:2022
▪ มาตรการควบคุมดานองคกร (Organizational Controls)
▪ มาตรการควบคุมดานเทคโนโลยี (Technological Controls)
แนวปฏิบัติ
- การควบคุมการเขาถึงระบบสารสนเทศ (Access Control)
1.1 เจาของขอมูลและผูดูแลระบบ ตองรวมกันกําหนดสิทธิ์ในการเขาถึงระบบสารสนเทศ (Authorization Matrix) ที่เหมาะสมและสอดคลองกับหนาที่ความรับผิดชอบของผูใชงาน และทบทวนเมื่อมีการเปลี่ยนแปลง 1.2 เจาของขอ มลูและผูดูแลระบบ ตองรวมกันกําหนดระดับการอนุมัติ(Authorization Level) การเขาถึงระบบเทคโนโลยีสารสนเทศ
1.3 เจาของขอมูลและผูดูแลระบบ ตองจัดใหมีการแบงแยกหนาที่ความรับผิดชอบ (Segregation of duties) ในการเขาถึงระบบเทคโนโลยีสารสนเทศอยางเหมาะสม เชน มีการแบงแยกหนาที่ระหวางการแจงความประสงค การเขาถึงและการอนมุ ัติการเขาถึง เปนตน
1.4 กรณีของแอปพลิเคชันที่ใชงานผานอุปกรณเคลื่อนที่ (Mobile device) ผูดูแลระบบตองปฏิบัติ ดังนี้ 1.4.1 ไมอนุญาตใหอุปกรณเคล่อืนที่ที่ใชระบบปฏิบัติการลาสมัย(Obsolete Operating System) เขาใชงานแอปพลิเคชัน หรือหากอนุญาตใหใชบริการไดควรมีมาตรการรองรับเพื่อลดความเสี่ยงที่ รฟม.จะไดรับ
รวมถงึลดผลกระทบตอผูใชงานตามความเหมาะสม เชน การเพิ่มมาตรการยืนยันตัวตน เปนตน1.4.2 ไมอนุญาตใหอุปกรณที่มีการปรับแตงการเขาถึงระบบปฏิบัติการ (Rooted/Jailbroken) เขาใชงานแอปพลิเคชัน เพื่อลดความเสี่ยงที่ผูไมประสงคดีสามารถเขาถึงขอมูลสําคัญของผูใชงานและละเมิด
หรือหลีกเลี่ยงมาตรการการรักษาความมั่นคงปลอดภัยที่ รฟม. กําหนดไว
1.4.3 ไมอนุญาตใหผูใชงานใชแอปพลิเคชันเวอรชันต่ํากวาที่ รฟม. กําหนด เพื่อใหแอปพลิเคชันมีการรักษาความม่นัคงปลอดภัยเปนไปตามมาตรฐานของ รฟม.
1.5 ขั้นตอนปฏบิัติเพื่อการจัดเก็บขอมูล
เจาของขอมูล ผูดแูลระบบ และผูใชงาน ตองปฏิบัติดังนี้
1.5.1 แบงประเภทขอมูล ดังน้ี
- ขอมูลและสารสนเทศสําหรับสนับสนุนการตัดสินใจของผูบริหาร ไดแก ขอมูลสารสนเทศที่มี
ความสําคัญหรือมีความจําเปนเรงดวนที่ตองติดตามอยางใกลชิดเพื่อประกอบการตัดสินใจ
เชิงนโยบาย กําหนดนโยบาย และการวางแผนของผูบริหารระดับสูง
13 - ขอมูลและสารสนเทศสนับสนุนเชิงยุทธศาสตร (Strategy Data) ไดแกขอมูลและสารสนเทศเชิงวิชาการเพื่อสนบัสนุนการดําเนนิงานตามพันธกจิและยุทธศาสตรของ รฟม. ใหบรรลุเปาหมาย
รวมทั้งขอมูลที่เผยแพรแกผูรับบริการภายนอก - ขอมูลและสารสนเทศที่สนับสนุนการปฏิบัติงานประจํา (Operation Data) ไดแก ขอมูลที่ สนบัสนนุ การทํางานทั่วไปของ รฟม.
1.5.2 จัดแบงระดับความสําคัญของขอมูล ออกเปน 3 ระดบั คือ - ขอมูลที่มีระดับความสําคัญมาก หมายถึง ขอมูลที่ใชสําหรับสนับสนุนการตัดสินใจของผูบริหาร 2) ขอมูลที่มีระดับความสําคัญปานกลาง หมายถึง ขอมูลที่ใชปฏิบัติงานเฉพาะกลุมงาน แผนก กอง หรือฝาย/สํานัก/สํานักงาน ภายในองคกร
- ขอมูลท่ีมีระดับความสําคัญนอย หมายถึง ขอมูลที่พนักงาน/ลูกจางภายใน รฟม. สามารถเขาถึงรวมกนัไดหรือสามารถเผยแพรได
1.5.3 จัดแบงลาํดับชั้นความลับของขอมูลตามที่ รฟม. กําหนด
1.5.4 จัดแบงระดับชั้นการเขาถึง - ระดับชั้นสําหรับผูบรหิาร เขาถึงไดตามอํานาจหนาที่และภารกิจที่ไดรับมอบหมาย 2) ระดับชั้นสําหรับผูปฏิบัติงานทั่วไป เขาถึงขอมูลที่ไดรับมอบหมายตามอํานาจหนาที่
- ระดับช้ันสําหรับผูดูแลระบบหรือผูที่ไดมอบหมาย มีสิทธิ์ในการบริหารจัดการระบบและเขาถึง ขอมูลที่ไดรับมอบหมายตามอํานาจหนาท่ี
1.6 เจาของขอมูลและผูดูแลระบบตองกําหนดเวลาการเขาถึงระบบสารสนเทศ
1.7 ผูดูแลระบบตองจํากัดชองทางการเขาถึงระบบเทคโนโลยสีารสนเทศตามชองทาง ดังนี้ 1) เครือขายภายในของ รฟม. - เครือขายภายนอก รฟม.
- เครือขายอื่นที่จัดไวให เชน ระบบเครือขายสื่อสารขอมูล GIN
1.8 ผูดูแลระบบตองกํากับดูแล Default Permission ของไฟล (File) และ โฟลเดอร (Folder) ท่ีสรางขึ้นใหมีการจํากัดสิทธิ์ในการเขาถึง
1.9 เจาของขอมูลและผูดูแลระบบ ตองพิจารณาขอกําหนดตาง ๆ ที่มีผลทางกฎหมายซึ่งเกี่ยวของกับการรักษาความมั่นคงปลอดภัยสารสนเทศของ รฟม. เชน พระราชบัญญัติ ขอกําหนดทางกฎหมาย ขอกําหนดในสัญญาและขอกําหนดทางดานความมั่นคงปลอดภัยอื่น ๆ เปนตน เพื่อกําหนดสิทธ์ิการเขาถึงสารสนเทศและระบบเทคโนโลยีสารสนเทศของ รฟม.
1.10 เจาของขอมูลและผูดูแลระบบ ตองมีการสอบทานสิทธิ์ในการเขาถึงระบบเทคโนโลยีสารสนเทศอยางสม่ําเสมอพรอ มทั้งเพิกถอนสทิธิ์เมื่อพบเห็นสิทธิ์ที่ไมถูกตองตามสิทธ์ใินการเขาถึง (Authorization Matrix) 2. การบริหารจัดการการเขาถึงของผูใชงาน (User Access Management)
ใหมกีารควบคุมการลงทะเบียนผใูชงาน การบริหารจัดการรหัสผาน การบริหารจัดการสิทธิ์การใชงานระบบเทคโนโลยีสารสนเทศ และการทบทวนสิทธิ์การเขาถึงของผใูชงาน
2.1 การลงทะเบียนผใูชงาน (User Registration)
2.1.1 ผูดูแลระบบตองบริหารจัดการและควบคุมบัญชีชื่อผูใชงาน (Username) มิใหมีการใชงานบัญชีชื่อผูใชงานซํ้ากัน ทั้งนี้ในสวนของพนักงาน/ลูกจาง รฟม. ใหกําหนดช่ือผูใชงาน (Username) ตามมาตรฐานจดหมายอิเล็กทรอนิกส(Email) ที่ใชในองคกร
2.1.2 เจาของขอมลูตองเปนผูอนุมัติการสรางบัญชีผูใชงานชั่วคราว (Temporary User) และตองจํากัดชวงเวลาการใชงานเทาที่จําเปน
14
2.2 การบริหารจัดการรหัสผาน (User Password Management)
2.2.1 ผูดูแลระบบตองกําหนดรหัสผานแบบชั่วคราวโดยใชวิธีการสุม และบังคบั ใหมีการเปลี่ยนรหัสผานเมื่อผูใชงานเขาใชงานระบบในครั้งแรก
2.2.2 ผูดูแลระบบตองกําหนดความยาวของรหัสผาน ดังนี้ - ผูดูแลระบบมีความยาวอยางนอย 16 หลกั
- ผูใชงานมีความยาวอยางนอย 12 หลกั
2.2.3 ผูดูแลระบบตองกําหนดใหมีการยืนยันตัวตนแบบหลายปจจัย (Multi-Factor Authentication) ตามความเหมาะสม
2.2.4 ผูดูแลระบบตองกําหนดใหรหัสผา นมีความซับซอน โดยประกอบดวย ตัวอักษร ตัวเลข และอักขระพิเศษ เชน (a-Z) (0-9) (@ , # , & , “ , ‘ , *, =, < , > , % , $ , + , ?) เปนตน
2.2.5 ผูดูแลระบบตองกําหนดใหมีการเปลี่ยนแปลงรหัสผาน ดงันี้ - ผูดูแลระบบตองเปลี่ยนรหัสผานทุก ๆ 3 เดือน และไมซ้ํากับรหัสผานเดิม 3 ครั้งกอนหนา 2) ผูใชงานตองเปล่ยีนรหัสผานทุก ๆ 6 เดือน และไมซ้ํากับรหัสผานเดิม 3 ครั้งกอนหนา 3) ผูใชงานเชิงระบบ (System account) ใหพิจารณาเปลี่ยนรหัสผานตามความเหมาะสม
2.2.6 ผูดูแลระบบตองกําหนดใหมีการเขารหัสขอมูลรหัสผานในระบบ
2.2.7 ผูดูแลระบบตองจดัใหมีการควบคุมรหัสผานอยางเขมงวด
2.2.8 ผูดูแลระบบตองจัดสงบัญชีชื่อผใูชงาน (Username) และรหัสผาน (Password) ดวยวิธีการที่ปลอดภัย2.2.9 ผูดูแลระบบตองควบคุมดูแลระบบปฏิบัติการ ระบบฐานขอมูล และระบบงานสารสนเทศ (Application) ท่ีจัดเก็บบัญชีผูใชงานและรหัสผานอยางเขมงวดโดยใหเขาถึงไดเฉพาะผูดูแลระบบที่ไดรับอนุญาตเทานั้น
2.2.10 ผูดูแลระบบตองกําหนดวิธีการหรือกระบวนการยืนยันตัวตนที่ปลอดภัย เชน กรณีที่ลืมรหัสผาน 2.2.11 ผูดูแลระบบตองกําหนดใหผูใชบริการ ใชรหัสผานอยา งมั่นคงปลอดภัย ดงัน ี้ กรณีแอปพลิเคชันทั่วไป - กําหนดความยาวรหัสผานอยางนอย 12 หลัก ซ่ึงประกอบดวย ตัวอักษร ตัวเลข และอักขระพิเศษ เชน (a-Z) (0-9) (@ , # , & , “ , ‘ , *, =, < , > , % , $ , + , ?) เปนตน
- รหัสผานตองไมเปนคําท่ีคาดเดาไดงาย เชน คําที่อยูในพจนานุกรม ชื่อ-นามสกุล
วันเดือนปเกิด ที่อยู หรือเบอรโทรศพั ทเปนตน - ไมบังคับใหเปลี่ยนรหัสผาน ทั้งนี้ขึ้นอยูกับความสมัครใจในการเปลี่ยนรหัสผาน และระบบ
ตองรองรับการเปลี่ยนรหัสผานในกรณีตาง ๆ ดวยวิธีการที่ปลอดภัย
กรณีแอปพลิเคชันที่ใชงานผานอุปกรณเคลื่อนที่ (Mobile device) - กําหนดรหัสผานโดยใช PIN code หรือรหัสผานที่ซับซอน (PIN/Password Complexity) โดยกรณี PIN Code ตองใชรหัสผาน 6 หลักขึ้นไป
- ไมบังคับใหเปลี่ยนรหัสผาน ทั้งนี้ขึ้นอยูกับความสมัครใจในการเปลี่ยนรหัสผาน และ
ระบบตองรองรับการเปลี่ยนรหัสผานในกรณีตา ง ๆ ดวยวิธีการที่ปลอดภัย
2.2.12 ผูดูแลระบบและผูใชงานตองใชรหัสผานอยางปลอดภัย ดังนี้ - ตองกําหนดรหัสผานที่ไมสามารถคาดเดาไดงาย เชน คาํ ที่อยูในพจนานุกรม “qwerty” “abcde” “12345” ชื่อ-นามสกลุ วันเดือนปเกิด ที่อยู หรือเบอรโทรศัพทเปนตน
- ตองไมใชงานรหัสผานโดยการเขาใชงานโดยอัตโนมัติ ไดแก การกําหนดคา “Remember Password” เปนตน
15 - ตองเก็บรหัสผานไวเปนความลับเฉพาะบุคคล ไมเปดเผยใหผูอ่ืนรับทราบ และไมพิมพ รหัสผานในลกัษณะเปดเผย เชน พิมพรหัสผานตอหนาผูใชงานคนอื่น เปนตน
- ตองไมใชบัญชีชื่อผใูชงานและรหัสผานรวมกันกับผูอื่น แมวาบัญชีชื่อผูใชงานจะไดรับการ
อนุญาตจากเจาของชื่อผูใชงานบุคคลน้นักต็าม - ตองเปลี่ยนแปลงรหัสผานเมื่อมีการแจงเตือนจากระบบ หรือสงสัยวารหัสผานลวงรู โดยบุคคลอื่น
2.3 การบริหารจัดการสิทธิ์ (Privilege Management)
2.3.1 ผูบงัคับบัญชาตองกําหนดใหมีขั้นตอนปฏิบัติสําหรับการลงทะเบียน การเพิ่มสิทธ การเพิกถอนสิทธิ์ ิ์ การเปล่ยีนแปลงสิทธิ์และการทบทวนสิทธิ์ของผใูชงานอยางเปนลายลักษณอักษร 2.3.2 กําหนดสิทธิ์ที่เหมาะสมกับผูใชงานตามความจําเปนและสอดคลองกับหนาที่ความรับผิดชอบและจัดเก็บประวัติ (Log) การลงทะเบียน การเพิ่มสิทธิ์การเพิกถอนสิทธิ์และการเปล่ียนแปลงสิทธิ์ ของผูใชงาน
2.3.3 เจาของขอมูลและผูดูแลระบบ ตองจัดใหมีการควบคุมและจํากัดสิทธิ์ในการใชงานระบบตามความจําเปนในการใชงานเทานั้น - สิทธิ์ในการสรางขอ มูล (Create)
- สิทธิ์ในการอานขอมูลหรือเรียกดูขอมูล (Read)
- สิทธิ์ในการปรับปรุงขอมูล (Modify / Update)
- สิทธิ์ในการลบขอมูล (Delete)
- สิทธิ์ในการมอบหมายสทิธิ์ในการดําเนินการแทน (Assign)
- สิทธิ์ในการรับรองความถูกตองครบถวนของขอมูล (Approve/Authenticate) 7) ไมมสีทิธิ์
2.3.4 เจาของขอมูลและผูดูแลระบบตองเปนผูอนุมัติการใหสิทธิ์เพื่อเขาถึงสารสนเทศหรือระบบเทคโนโลยสีารสนเทศใด ๆ อยางเปนลายลักษณอ กัษร
2.3.5 เจาของขอมูลและผูดูแลระบบ ตองจํากัดจํานวนผูใชงานที่ทําหนาที่เปนผูใหสิทธิ์กับผูใชงานใหนอยที่สุดตามความเหมาะสม
2.3.6 เจาของขอมูลและผูดูแลระบบ ตองจํากัดระยะเวลาการใชงานระบบเทคโนโลยีสารสนเทศของ รฟม. แกหนวยงานภายนอกที่เขามาปฏิบตัิงานรวมกบั รฟม.
2.3.7 เจาของขอมูลและผูดูแลระบบ ตองจัดใหมีการถอดถอนสิทธิ์หรือเปลี่ยนแปลงสิทธิ์การเขาถึงทันที เม่ือผูใชงานเกษียณ เปลี่ยนแปลงหนาที่ความรบัผิดชอบ เปลี่ยนแปลงการจางงาน หรือไมมีความจําเปนในการใชงานระบบเทคโนโลยีสารสนเทศ
2.3.8 ผูดูแลระบบตองลบหรือระงับการใชงานสิทธิ์ของผูใชงานที่มากับระบบ (Default User) ในกรณีที่มีความจําเปนตองใชงานตองกําหนดรหัสผานอยางมั่นคงปลอดภัย
2.4 การทบทวนสิทธิ์การเขาถึงของผูใชงาน (Review of User Access Rights)
2.4.1 เจาของขอมูลและผูดูแลระบบ ตองมีการสอบทานสิทธิ์การเขาถึงของผูใชงานระบบเมื่อ รฟม. มีการเปลี่ยนแปลงระบบเทคโนโลยีสารสนเทศหรือโครงสรางองคก ร
2.4.2 ผูดูแลระบบ ตอ งมีการสอบทานและระงับการใชงานบัญชีผูใชงานที่ไมไดใชงานนานเกิน 180 วันหากผใูชงานตองการกลับมาใชงานจะตองยืนยันตัวตนใหฝทท. ทราบ ทั้งนี้ระยะเวลาที่ไมไดใชงานของบัญชีผูใชงานอาจจะขึ้นอยูกับแตละระบบสารสนเทศ
16
- การปองกันอุปกรณที่ไมมีผูดูแล และการควบคุมการไมทิ้งสินทรัพยสารสนเทศสําคัญไวในที่ที่ไมป ลอดภัย 3.1 การปองกันอุปกรณที่ไมมีผูดูแล (Unattended User Equipment)
3.1.1 ผูดูแลระบบตองจัดใหมีมาตรการสําหรับปองกันระบบคอมพิวเตอร ระบบเครือขายสื่อสารขอมูล และระบบเทคโนโลยีสารสนเทศ โดยการกําหนดคาของระบบ (Configuration) ใหมีการล็อกหนาจอสําหรับอปุ กรณที่ไมมีพนักงานดูแล หรือล็อกอุปกรณอยูเสมอ
3.1.2 ผูใชงานและหนวยงานภายนอก/บุคคลภายนอก ตองล็อกหนาจออัตโนมัติเม่ือไมมีการใชงานระบบเทคโนโลยีสารสนเทศของ รฟม. ตามระยะเวลาที่กําหนด โดยตองพักหนาจอ (ScreenSaver) อัตโนมัติหลังจากที่ไมม ีการใชงานคอมพิวเตอรเปนระยะเวลานานกวา 15 นาทีผูใชงานและหนวยงานภายนอก/ บุคคลภายนอกจะใชงานตอไดเมื่อมีการใสรหัสผานที่ถูกตอง
3.1.3 ผูใชงานตอง Logout ออกจากเครื่องคอมพวิเตอรเมื่อมีความจําเปนตองละทิ้งเครื่องคอมพิวเตอร 3.1.4 ผูใชงานตองปองกันไมใหผูอื่นใชอุปกรณ เชน กลองดิจิทัล เครื่องสําเนาเอกสาร เครื่องสแกนเอกสารโดยไมไ ดรับอนุญาต
3.2 การควบคมุ สินทรัพยสารสนเทศและการใชงานระบบคอมพวิเตอร (Clear Desk and Clear Screen Control) 3.2.1 ผูบงัคับบัญชาตองกําหนดใหมีผูรับผดิชอบในการดแูลสถานที่ที่มีการรบั - สงแฟกซหรือจดหมายเขา – ออก
3.2.2 ผูใชงานตอ งออกจากระบบคอมพิวเตอร(Logout) ทนั ทีเมื่อจําเปนตองปลอยทิ้งโดยไมมีผูดแูล3.2.3 ผูใชงานตอ งจัดเก็บขอมูลสําคัญแยกตางหาก และปองกันใหมีความปลอดภัยอยา งพอเพียง 3.2.4 ผูใชงานตอ งนาํ เอกสารออกจากเครื่องพิมพทันทีที่พมิพงานเสร็จ - การควบคุมการเขาถึงเครือขาย (Network Access Control)
ใหมกีารควบคุมการใชงานบริการเครือขายการควบคุมการพิสูจนตัวตนสําหรับผูใชงานที่อยูภายนอกรฟม.การควบคุมการพิสูจนตัวตนอุปกรณบนเครือขาย การปองกันพอรต (Port) ที่ใชสําหรับตรวจสอบและปรับแตงระบบ การแบงแยกเครือขาย (Segregation in networks) อยางเหมาะสม การควบคุมการเชื่อมตอทางเครือขาย และการควบคุมการกําหนดเสนทางบนเครือขาย
4.1 การใชงานบริการเครือขาย (Use of Network Services)
4.1.1 ผูดูแลระบบตองควบคุมการเผยแพรแผนผังระบบเครือขายสื่อสารขอมูล (Network Diagram) รวมถึงโครงสราง IP Address ชื่อระบบ และชื่ออุปกรณสารสนเทศแกผูที่ไมไดรับอนุญาตหรือหนวยงานภายนอก/บคุ คลภายนอก
4.1.2 ผูดูแลระบบตองควบคมุ การใชงานระบบเครือขา ยส่อืสารขอมูลเพื่อปองกันการเขาถึงระบบเครือขายสื่อสารขอมูลและบริการของระบบเครือขายสื่อสารขอมูลโดยไมไ ดรับอนุญาต
4.1.3 ผูดูแลระบบตองควบคุมการเชื่อมตอเครือขายภายนอก เพื่อใชงานอินเทอรเน็ต ซึ่งอาจเปนชองทางให หนวยงานภายนอก/บุคคลภายนอกเขาถึงสารสนเทศหรือระบบเทคโนโลยีสารสนเทศของ รฟม. โดยมิไดรับอนุญาต
4.1.4 ผูใชงานตองแจงความประสงคในการขอใชงานบริการเครือขายแก ฝทท. และสามารถใชบริการเครือขายไดหลังจากไดรับการอนุมัติจาก ฝทท. แลว
4.1.5 ผูใชงาน ตองไมใชระบบเครือขายสื่อสารขอมูลเพื่อเปนชองทางในการเจาะระบบ (Hacking) หรือการสแกนชองโหวของระบบโดยมิไดรบัอนุญาต
4.2 การพิสูจนตัวตนของผูใชงานท่อียูภายนอก รฟม. (User Authentication for External Connections) ผูดูแลระบบตองกําหนดใหมีการพิสูจนตัวตนผานระบบ Active Directory ของ รฟม. กอนอนุญาตให ผูใชงานที่อยูภายนอก รฟม. เขาใชงานเครือขายและระบบสารสนเทศของ รฟม.
17
4.3 การพิสูจนตัวตนของอุปกรณในระบบเครอืขา ยส่อืสารขอมูล (Equipment Identification in Networks) ผูดูแลระบบตองกําหนดใหมีการพิสูจนต ัวตนของอุปกรณในระบบเครือขายสื่อสารขอมลู ไดแกการตรวจสอบMAC Address
4.4 การปองกันพอรตที่ใชสําหรับตรวจสอบและปรับแตงระบบ (Remote Diagnostic and ConfigurationPort Protection)
ผูดูแลระบบตองระงับบริการและพอรต (Port) ที่ไมมีความจําเปนตองใชบนเครื่องคอมพิวเตอรหรืออปุ กรณเครือขาย
4.5 ผูดูแลระบบตองติดตั้งระบบตรวจจับการบุกรุก (Instrusion Prevention System/ Instrusion Detection System) ของระบบเครือขาย
4.6 การแบง แยกเครือขาย (Segregation in Networks)
4.6.1 ผูดูแลระบบตองจดัใหมีการแบงแยกเครือขายตามกลมุ ของผูใชงาน หรือกลุมของระบบเทคโนโลยีสารสนเทศเพื่อควบคมุ การใชงานในแตละเครือขายยอ ยอยางเหมาะสม โดยพิจารณาจากความตองการในการเขาถึงขอมูล ระดับความสําคญั ของขอมูล รวมถึงการพิจารณาดานราคา ประสิทธิภาพ และผลกระทบทางดานความปลอดภัยดังตอไปนี้
- เครือขายที่อนุญาตใหเขาถึงจากภายนอกและเครือขายที่ใชภายใน รฟม.
- เครือขายแอปพลเิคชัน (Application) ที่มีความสําคัญกับเครือขายอื่น ๆ ที่มีความสําคัญ
นอยกวา - เครือขายสําหรับเครื่องใหบ ริการ (Server Farm) กับเครือขายของผูใชงาน ควรมีการติดต้ังอุปกรณที่สามารถแบงแยกเครือขายไดเชน Firewall หรือ Switch ที่สามารถ
แบง VLAN ไดเปนตน
4.6.2 ผูดูแลระบบจะกําหนดเสนทางบนเครือขายที่เขมงวดเพื่อจาํกัดการเขาถึงระยะไกลไปเฉพาะเครือขายท่กีาํ หนดเทานั้น
4.6.3 ผูดูแลระบบตองตั้งคา (Configuration) อุปกรณเครือขายเชน Firewall หรือ Router มิใหสามารถบริหารจัดการจากภายนอกเครือขายไดเวนแตในกรณีฉุกเฉินซึ่งตองไดรับการอนุญาตจากผูดูแลระบบเทานั้น
4.7 การควบคุมการเชื่อมตอทางเครือขาย (Network Connection Control)
4.7.1 ผูดูแลระบบตองจํากัดการใชงานเครือขายของผูใชงานในการเชื่อมตอ กับเครือขายของ รฟม. เชนRouter หรือ Firewall เปนตน พรอมทั้งติดตั้งระบบควบคมุ เพื่อกลั่นกรองขอมูลที่รบั - สง เชน Web Filtering, Email Filtering เปนตน เพื่อทําใหการเชื่อมตอมีความปลอดภัย
4.7.2 ผูดูแลระบบตองติดตั้ง Firewall ระหวางเครือขายของ รฟม. กับเครือขายภายนอก ท้ังนี้การติดตั้ง Firewall ตองพิจารณาเรื่องดังตอไปนี้ - การปองกันการจราจรจากภายนอก ตองถูกกําหนดใหใชเสนทางที่ผาน First Tier Firewall ที่มีความมั่นคงปลอดภัยเพื่อปองกันทรัพยสินสารสนเทศของ รฟม. และ
โครงสรางพื้นฐานที่มีความสําคัญจากการเขาถึงที่ไมไดรับอนุญาต - Firewall ตองระบุตัวตนและพิสูจนตัวตนของผูใชงานกอนที่จะใหสิทธิ์การเขาถึง อินเทอรเฟส (Interface) เพื่อการบริหารจัดการ Firewall
- Firewall ตองตั้งคาใหระงับบัญชีผูใชงานหลังจากมีความพยายามที่จะเขาสูระบบ
ไมสําเร็จ 5 ครั้ง การยกเลิกการระงับตองดําเนินการโดย ฝทท. - ไมอนุญาตใหพิสูจนตัวตนผานทางอินเทอรเฟส (Interface) การจัดการ Firewall จากระยะไกล (Remote)
18 - ผูที่ไดรับการมอบหมายจาก ฝทท. เทานั้นที่มสีิทธิ์ที่จะเปลี่ยนการตั้งคาดานความปลอดภัย
บน Firewall - Firewall ตองตั้งคาใหบันทึกเหตุการณดานความมั่นคงปลอดภัย
- Firewall ตองไดรับการสอบทาน ทดสอบ และตรวจสอบอยางสม่ําเสมอ
- Firewall ตองถูกบริหารจัดการผานทางการตดิตอสื่อสารที่มีการเขารหัส
- ตองปดบริการและพอรต (Port) ท่ไีมจําเปนตองใชบน Firewall
- Firewall ประเภทซอฟตแวร (Software) ตองติดตั้งบนเครื่องคอมพิวเตอรแมขาย
แยกตางหาก - Firewall ตองสามารถปองกันตัวเองจากการโจมตี DOS (Denial of service) ได อยางเชน Ping, Sweeps หรือ TCP SYN Floods เปนตน
- ตองใชเวอรชันของซอฟตแวร (Software) Firewall และระบบปฏิบัติการที่เจาของ ผลิตภัณฑยังใหการสนับสนุน
- ผูดูแล Firewallตองติดตามขอมูลชอ งโหวจากผูใหบริการ(Vendor) เพ่อืรับทราบขา วสาร
การ Upgrade และแพ็ตช (Patch) ที่จําเปน และตองติดตั้งแพ็ตช (Patch) ทั้งหมด
ที่เกี่ยวของ
4.7.3 ผูดูแลระบบตองติดตั้ง Firewall เพื่อแบงแยก Zone ใหมีการใช DMZ (Demilitarized zone) โดยตองพิจารณาเร่อืงดังตอไปนี้ - เครื่องคอมพิวเตอรแมข ายที่ใหบ ริการผานอินเทอรเน็ตเชน FTP, Email, Web และ External DNS server เปนตน ตองติดตั้งอยใูน DMZ
- การเขาถึงจากระยะไกลตองพิสูจนตัวตนที่ Firewall หรือผานบริการท่อียูใน DMZ
- DNS Servers ตองไมอนุญาตใหมีการแลกเปลี่ยนโซน (Zone Transfers) เวนแต
มเีหตุจาํ เปน
4.8 การควบคุมการกําหนดเสนทางบนเครือขาย (Network Routing Control)
ผูดูแลระบบตองควบคุมการกําหนดเสนทางบนเครือขายเพื่อใหมั่นใจวาการเช่ือมตอเครื่องคอมพิวเตอร และการไหลเวียนของสารสนเทศบนเครือขาย โดยมีกลไกในการตรวจสอบท่อียูปลายทางและตนทางของ การเชื่อมตอ เชน การควบคุมโดย Firewall หรือ Proxy เปนตน
- การควบคุมการเขาถึงระบบปฏิบัติการ (Operating system Access Control)
ใหมีการควบคมุ การเขาถึงระบบปฏิบัติการอยางมั่นคงปลอดภัย การควบคุมการระบุและพิสูจนตัวตนของผูใชงานการควบคุมระบบบริหารจัดการรหัสผาน การควบคุมการใชงานโปรแกรมประเภทยูทิลิตี้ (System Utilities) การควบคุมการหมดเวลาการใชงานระบบเทคโนโลยีสารสนเทศ และควบคุมการจํากัดระยะเวลาการเชื่อมตอระบบเทคโนโลยีสารสนเทศ
5.1 ขั้นตอนปฏบิัติในการเขาถึงระบบอยางมั่นคงปลอดภัย (Secure Logon Procedures) 5.1.1 ผูดูแลระบบ ตองจัดใหมีการควบคุมการเขาถึงระบบปฏิบัติการอยางมั่นคงปลอดภัย โดยขั้นตอนการเขาสูระบบตองเปดเผยขอมูลเกี่ยวกับระบบใหนอยท่สีดุ เพื่อหลีกเลี่ยงผูใชงานที่ไมไดรับอนุญาตซึ่งขั้นตอนการ Logon ตองพิจารณา ดังนี้
- หากกระบวนการเขาสูระบบไมสาํ เร็จ ระบบตองไมแ สดงขอ มูลของระบบหรือแอปพลิเคชัน
(Application) ที่ใชงานอยู - ระบบตองแสดงขอความเตือนผูใชงานวาสามารถเขาใชงานเครื่องคอมพิวเตอรไดเฉพาะ
ผูที่มีสิทธิ์เทานั้น - หากกระบวนการเขาสูระบบไมสําเร็จ ระบบตองไมแสดงขอมูลที่สามารถระบุตัวตนของระบบ เชน เครือขา ยที่ใชงาน สถานที่ต้งัของระบบ หรือชื่อเครื่องคอมพิวเตอรแมขาย เปนตน
19 - ระบบตองไมแสดงขอความที่ชี้เฉพาะเหตุของการเขาสูระบบไมส ําเร็จ เชน ไมแสดงขอความวาบัญชีผูใชงานผดิ หรือ รหัสผานผดิ เปนตน
- หามเขาสูระบบจากบัญชีผใูชงานสวนบุคคลเดียวกนั มากกวาหนึ่ง Session ในระบบเดียวกัน6) ระบบตองจํากัดจํานวนครั้งในการพยายามเขาสูระบบท่ีไมสําเร็จ และตองพิจารณาเงื่อนไขตอไปนี้
(ก) การเก็บบันทึกผลการเขาสูระบบทั้งที่สําเร็จและไมสําเร็จ
(ข) หนวงระยะเวลาในการเขาใชงานระบบครั้งตอไป
(ค) การตัดการเชื่อมตอ
(ง) การแสดงขอความเตือนที่หนาจอของผูดูแลระบบเมื่อมีการเขาสูระบบเกินจํานวนครั้ง ที่จํากัดไว - ระบบตองแสดงวัน เวลา ในการเขาสูระบบที่สาํ เรจ็ ในครั้งกอน พรอมทั้งบันทึกจํานวนครั้ง ท่พียายามเขาไมสําเร็จนบัแตก ารเขาสูระบบท่สีําเร็จในครั้งกอนของผูใชงาน
- ระบบตองไมสงรหัสผานแบบ Clear Text ผานระบบเครือขายสื่อสารขอมลู
- ผูดูแลระบบตองกําหนดจํานวนครั้งที่ยอมใหใสรหัสผานผิดไดไมเกิน 5 ครั้ง
5.2 การระบุและพิสูจนตวัตนของผูใชงาน (User Identification and Authentication) ผูดูแลระบบ ตองจัดใหผูใชงานมีบัญชีผูใชงานของแตละบุคคลเพื่อใชพิสูจนตัวตนในการเขาถึงระบบเทคโนโลยีสารสนเทศ และตองใชระบบเทคโนโลยีสารสนเทศพิสูจนตัวตนผูใชงานในการเขาถึงระบบปฏิบัติการผานระบบ Active Directory (AD) หรือ Lightweight Directory Access Protocol (LDAP) ทุกครั้ง พรอมทั้งบันทึกขอมูลการเขาถึง
5.3 การใชงานโปรแกรมประเภทยูทิลิตี้ (Use of System Utilities)
ผูดูแลระบบ ตองควบคุมการใชงานโปรแกรมประเภทยูทิลิตี้บนระบบที่ใชงานจริง (Production System) ดังนี้ 5.3.1 ตองจัดทําบัญชโีปรแกรมประเภทยูทิลิตี้(System Utilities) ท่นีํามาใชงาน 5.3.2 กําหนดความรับผิดชอบในการใชโปรแกรมประเภทยูทิลิตี้ (System Utilities) แตละรายการ อยางชัดเจนและสื่อสารใหผูเกี่ยวของทราบเพื่อถือปฏิบัติ
5.3.3 ใหมีการพิสูจนตัวตน และกําหนดสิทธิ์ในการใชงานโปรแกรมประเภทยูทิลิตี้เฉพาะกลุมคนที่มีหนาที่รับผิดชอบ
5.3.4 มกีารบันทึกเหตุการณ(Log) การใชงานโปรแกรมประเภทยูทิลิตี้ และตองสอบทานจากผูดูแลระบบอยางสม่ําเสมอ
5.3.5 ตองทําการเพิกถอนหรือระงบัโปรแกรมประเภทยูทิลิตี้ที่ไมจําเปน
5.4 การหมดเวลาการใชงานระบบสารสนเทศ (Session Timeout)
5.4.1 ผูดูแลระบบตองกําหนด Session Timeout ของระบบเทคโนโลยสีารสนเทศที่ไมมีการใชงานภายในระยะเวลา 15 นาที หากระบบใดที่ไมสามารถกําหนด Session Timeout ภายในระยะเวลา 15 นาทีได ใหกําหนดเปนระยะเวลานอยที่สุดที่จะสามารถกําหนดไดทั้งนี้ถาระบบที่ไมสามารถตัดการเช่ือมตอแบบอัตโนมัติไดกําหนดใหใชโปรแกรมพักหนาจอที่ตองใสรหัสผานหรือกําหนดใหมีการล็อกหนาจอ
5.4.2 ผูดูแลระบบ และผูใชงาน ตองตั้งคาใหมีโปรแกรมพักหนาจอที่ตองใสรหัสผานสําหรับเครื่อง คอมพิวเตอรสวนบุคคล เครื่องคอมพิวเตอรแบบพกพา และเครื่องคอมพิวเตอรแมขาย ทั้งน้ีโปรแกรมพักหนาจอกําหนดใหปอนรหัสผานหลังจากที่มีการทิ้งเครื่องดังกลาวไวโดยไมมีการใชงานเปนระยะเวลา 15 นาที
20
5.5 การจาํกัดระยะเวลาการเชื่อมตอระบบสารสนเทศ (Limitation of Connection Time) 5.5.1 ผูดูแลระบบ ตองจํากัดระยะเวลาในการเชื่อมตอระบบสารสนเทศที่มีความสําคัญสูง โดยตอง คํานึงถึงระยะเวลาที่จําเปนในกระบวนการดําเนินงานทางธุรกิจ ไดแก กําหนดใหเขาใชงานได ในชวงเวลาทําการของ รฟม. 08.00 น. –17.00 น.และเชื่อมตอเพื่อใชงานไดครั้งละไมเกิน 3 ชั่วโมง 5.5.2 ผูใชงาน หากมคีวามจําเปนตองใชงานนอกเวลาที่กําหนดตองขออนุมัติจากผูบังคับบัญชาเทานั้น 6. การควบคุมการเขาถึงโปรแกรมประยุกตและสารสนเทศ (Application and Information Access Control) ใหมีการจํากัดการเขาถึงสารสนเทศ และการแยกระบบเทคโนโลยีสารสนเทศที่มีความสําคัญสูงไวในบริเวณที่ ควบคุมเฉพาะ
6.1 การจาํกัดการเขาถึงสารสนเทศ (Information Access Restriction)
6.1.1 เจาของขอมูลและผูดูแลระบบตองกําหนดสิทธิ์การเขาถึงแกผูใชงานเทาที่จําเปนตองใชในการปฏิบัติงาน โดยการใหสิทธ์ติองพิจารณาในเรื่องดังตอ ไปนี้ - การจํากดัไมใหใชตัวเลือก (Options) ที่ไมไดรับอนุญาต
- การจํากดัการเขาถึง Command Line
- การจํากัดการเขาถึงขอมูลและฟงกชันการใชงานของแอปพลิเคชัน (Application) ที่ไมเกี่ยวของ กับหนาที่ความรับผิดชอบ
- การจํากดัระดับสิทธ์ใินการเขาถึงไฟลเชน อานอยางเดียว เปนตน
- การควบคุมการแจกจาย การเขาถึงขอมูล การนําขอมูลออกจากระบบสารสนเทศ เชน
รายงาน เปนตน
6.1.2 เจาของขอมูลและผูดูแลระบบ ควรกําหนดใหระบบสารสนเทศรองรับการกําหนดสิทธิ์ในการเขาถึง แบบกลุมได
6.2 การแยกระบบสารสนเทศที่ไวตอการรบกวน (Sensitive System Isolation) มีผลกระทบตอคนกลุมใหญ หรือระบบที่มคีวามสาํคัญตอหนวยงาน ตองดําเนินการดังนี้
6.2.1 เจาของขอมูลและผูดูแลระบบ แยกระบบซึ่งไวตอการรบกวนออกจากระบบอื่น ๆ และควบคุมสภาพแวดลอมของระบบโดยเฉพาะ ไดแก ระบบ File Sharing ระบบสารสนเทศทางการเงิน และระบบ Active Directory (AD) โดยเขาถึงไดทั้งอุปกรณคอมพิวเตอรและสื่อสารเคลื่อนที่และการปฏบิัติงานจากภายนอกองคกร (Mobile Computing and Teleworking)
6.2.2 ผูดูแลระบบตองควบคุมอุปกรณคอมพิวเตอรและอุปกรณเคลื่อนที่และการปฏิบัติงานจากภายนอกหนวยงาน (Mobile Computing and Teleworking) ที่เกี่ยวของกับระบบดังกลาว 6.2.3 เจาของขอมูลที่เปนเจาของระบบสารสนเทศที่มีความสําคัญสูงตองเปนผูอนุญาต ในกรณีที่ระบบสารสนเทศที่มคีวามสําคัญสูงมีความจําเปนตองทํางานรวมกับระบบสารสนเทศอื่นที่มีความสําคัญนอยกวา
- การควบคุมการปฏิบัติงานจากภายนอก รฟม. (Teleworking)
7.1 ผูดูแลระบบตองกําหนดใหมีการพิสูจนตัวตนกอนการใชงาน และเชื่อมตอผานชองทางที่มีความปลอดภัยที่มีเทคโนโลยีเขารหัสปองกัน
7.2 ผูดูแลระบบตองทําการถอดถอนสิทธิ์ในการเขาถึงของผูใชงานจากภายนอกสํานักงาน เมื่อครบกําหนดระยะเวลาท่ขีออนุญาต
7.3 ผูใชงาน หากจําเปนตองมีการปฏิบัติงานจากภายนอกสํานักงานของ รฟม. ตองไดรับการอนุญาตจากผูบังคับบัญชาอยางเปนลายลักษณอกัษร ในกรณีเรงดว นสามารถดําเนินการกอน โดยแจงใหผูบังคับบัญชารับทราบดวย โดยผูบังคบั บัญชาตองพิจารณาเงื่อนไขในการเตรียมการ ดังตอไปนี้
21
- ความม่นัคงปลอดภัยทางกายภาพและสภาพแวดลอมของการปฏิบัติงานจากภายนอก รฟม. 2) ความมั่นคงปลอดภัยทางการสื่อสาร โดยยึดจากระดับความสําคัญ (Sensitivity) ของขอมูลที่จะถูกเขาถึงและสงผานชองทางการเชื่อมตอส่ือสาร (Communication Link) รวมถึงระดับความสําคัญ (Sensitivity) ของระบบภายใน รฟม.
7.4 ผูใชงานตองจัดเก็บเอกสารที่เปนความลับในอุปกรณที่ล็อกไดและมีการควบคุมการเขาถึง โดยใชหลักเกณฑ การรักษาความลับเชนเดียวกับสารสนเทศที่อยูในสํานักงานของ รฟม.
7.5 ผูใชงาน ตองติดตั้งโปรแกรมปองกันไวรัสและ Personal Firewall สําหรับอุปกรณสวนตัวที่ใชเชื่อมตอเครือขายของ รฟม. จากภายนอก
- ผูบังคับบัญชา ตองควบคุมการใชงานขอมูลสวนบุคคลใหมีการใชงานที่สอดคลองกับกฎหมาย พระราชบัญญัติกฎระเบียบ ขอบังคับที่เกี่ยวของ เชน พระราชบัญญัติคุมครองขอมูลสว นบุคคล พ.ศ. 2562
22
สวนท่ี7
การควบคุมการเขาถึงระบบเครือขายไรสาย
วัตถุประสงค
▪ เพื่อกําหนดมาตรการในการควบคุมการเขาถึงระบบเครือขายไรสาย (Wireless LAN) ของ รฟม. โดยการกําหนดสิทธิ์ของผูใชงานในการเขาถึงระบบใหเหมาะสมตามหนาที่ความรับผิดชอบในการปฏิบัตงิาน รวมท้งัมีการทบทวนสิทธิ์การเขาถึงอยางสม่ําเสมอ
▪ เพื่อสรางความมั่นคงปลอดภัยของการใชงานระบบเครือขายไรสาย
ผูรบั ผดิชอบ
▪ ผูดูแลระบบ
▪ ผูใชงาน
อางอิงมาตรฐาน: ISO/IEC 27001:2022
▪ มาตรการควบคุมดานองคกร (Organizational Controls)
▪ มาตรการควบคุมดานเทคโนโลยี (Technological Controls)
แนวปฏิบัติ - ผูใชงานที่ตองการเขาถึงระบบเครือขายไรสายของ รฟม. ตองลงทะเบียนกับผูดูแลระบบ และตองไดรับการอนุญาตจาก ฝทท. อยางเปน ลายลักษณอ ักษร
- ผูดูแลระบบตองกําหนดมาตรฐานความปลอดภัยของระบบเครือขายไรสายไมต่ํากวามาตรฐาน WPA2 3. ผูดูแลระบบตองลงทะเบียนกําหนดสิทธิ์ผูใชงานในการเขาถึงระบบเครือขายไรสายใหเหมาะสมกับหนาที่ ความรับผิดชอบในการปฏิบัติงาน รวมทั้งมีการทบทวนสิทธิ์การเขาถึงอยางสม่ําเสมอ
- ผูดูแลระบบตองลงทะเบียนอุปกรณทุกตัวที่ใชติดตอระบบเครือขา ยไรสาย
- ผูดูแลระบบ ตองกําหนดตําแหนงการวางอุปกรณ Access Point (AP) ไมใหสัญญาณของอุปกรณร่ัวไหลออกไปนอกบริเวณที่ใชงาน เพื่อปองกันไมใหผูโจมตีใช Access Point (AP) ของ รฟม. รับ - สงสัญญาณได 6. ผูดูแลระบบตองเลือกใชกําลังสงใหเหมาะสมกับพื้นที่ใชงานและตองสํารวจวาสัญญาณรั่วไหลออกไปภายนอกหรือไม นอกจากนี้การใชเสาอากาศพิเศษที่สามารถกําหนดทิศทางการแพรกระจายของสัญญาณอาจชวยลดการรั่วไหลของสัญญาณใหดีขึ้น
- ผูดูแลระบบตองเปลี่ยนคา SSID (Service Set Identifier) ที่ถูกกาํ หนดเปนคา Default มาจากผูผลิตทันทีที่นํา Access Point (AP) มาใชงาน
- ผูดูแลระบบตองเปลี่ยนคาชื่อ Login และรหัสผานสําหรับการตั้งคาการทํางานของอุปกรณไรสาย และผูดูแลระบบตองเลือกใชชื่อ Login และรหัสผานที่มีความคาดเดาไดยากเพื่อปองกันผูโจมตีไมใหสามารถเดาหรือเจาะรหัส ไดโดยงาย
- ผูดูแลระบบตองควบคุม MAC address ชื่อผูใช (Username) และรหัสผาน (Password) ของผูใชงานที่มีสิทธ์ิในการเขาใชงานระบบเครือขายไรสาย โดยอนุญาตเฉพาะผูใชงานที่ไดรับอนุญาตใหเขาใชเครือขายไรสายไดอยาง ถูกตองเทานั้น
- ผูดูแลระบบตองตรวจสอบความมั่นคงปลอดภัยของระบบเครือขายไรสายอยางสม่ําเสมอ และบันทึกเหตุการณ นาสงสัยที่เกิดขึ้นในระบบเครือขายไรสายตามขั้นตอนที่ รฟม. กําหนด
23
สวนท 8่ี
การควบคุมหนวยงานภายนอกและผูใชงานภายนอกเขาถึงระบบเทคโนโลยีสารสนเทศ
วัตถุประสงค
▪ เพื่อควบคุมหนวยงานภายนอกและผูใชงานภายนอกที่มีการเขาใชงานระบบเทคโนโลยีสารสนเทศของ รฟม. ใหเปนไปอยางมั่นคงปลอดภัย
ผูรบั ผดิชอบ
▪ ผูดูแลระบบ
▪ ผูบังคับบัญชา
▪ หนวยงานภายนอก
▪ ผูใชงาน (บุคคลภายนอก)
อางอิงมาตรฐาน: ISO/IEC 27001:2022
▪ มาตรการควบคุมดานองคกร (Organizational Controls)
▪ มาตรการควบคุมดานกายภาพ (Physical Controls)
แนวปฏิบัติ - ผูดูแลระบบตองประเมินความเสี่ยงจากการเขาถึงระบบเทคโนโลยีสารสนเทศ หรืออุปกรณที่ใชในการประมวลผลโดยหนวยงานภายนอกและผูใชงานภายนอก และกําหนดมาตรการรองรับหรือแกไขที่เหมาะสมกอนที่จะอนุญาตให เขาถึงระบบเทคโนโลยีสารสนเทศของ รฟม.
- การควบคุมการเขาใชงานระบบเทคโนโลยีสารสนเทศของหนวยงานภายนอกและผูใชงานภายนอก 2.1 เจาของขอมูลตองเปนผูอนุญาตการใหสิทธิ์แกหนวยงานภายนอกและผูใชงานภายนอกที่ตองการสิทธิ์ในการเขาใชงานระบบสารสนเทศของ รฟม. อยางเปนลายลักษณอักษร
2.2 ผูบังคับบัญชาตองกําหนดใหมีการลงนามการไมเปดเผยขอ มลู ที่สําคัญและเปนความลับของ รฟม. 2.3 ผูบังคับบัญชา ตองควบคุมใหมีการกําหนดขอตกลงและความรับผิดชอบที่เกี่ยวของกับความเสี่ยง ดานความมั่นคงปลอดภัยสารสนเทศลงในสัญญากับหนวยงานภายนอกที่ใหบริการดานสารสนเทศและบริการดานการส่อืสาร โดยใหครอบคลุมรวมถึงผรูับจางชว ง
2.4 ผูบังคับบัญชาตองกําหนดใหจัดทําเอกสารแบบฟอรมสําหรับใหหนวยงานภายนอกและผูใชงานภายนอกระบุเหตุผลความจาํ เปนที่ตองเขาใชงานระบบเทคโนโลยีสารสนเทศ ซึ่งมีรายละเอียด ดังนี้ 2.4.1 เหตผุ ลในการขอใช
2.4.2 ระยะเวลาในการใช
2.4.3 การตรวจสอบความปลอดภัยของอุปกรณที่เชื่อมตอเครือขาย
2.4.4 การตรวจสอบ MAC address ของเครื่องคอมพิวเตอรที่เชื่อมตอ
2.5 ผูดูแลระบบมีสิทธิ์ในการตรวจสอบการใชงานระบบเทคโนโลยีสารสนเทศของหนวยงานภายนอกและผูใชงานภายนอก เพื่อควบคุมการใชงานไดอยางมั่นคงปลอดภัยตามสัญญา
2.6 ผูดูแลระบบตองควบคุมใหหนวยงานภายนอกจัดทําแผนการดําเนินงาน คูมือการปฏิบัติงานและเอกสารที่ เก่ียวของ รวมทั้งตองปรับปรุงใหทันสมัยอยูเสมอ เพื่อใชสําหรับควบคุมหรือตรวจสอบการทํางาน และเพื่อใหมั่นใจวาการปฏบิตัิงานเปนไปตามขอบเขตที่ไดกําหนดไว - ผูดูแลระบบตองแจงแนวปฏิบัติตา ง ๆ ที่เกี่ยวของแกหนวยงานภายนอกและผูใชงานภายนอกเพื่อใหปฏิบัติตาม
24 - ผูดูแลระบบ ตองกํากับดูแลหนวยงานภายนอกและผูใชงานภายนอกใหปฏิบัติตามสัญญาหรือขอตกลงการใหบริการที่ระบุไวซึ่งตองครอบคลุมถึงดานความม่นัคงปลอดภัย
- ผูดูแลระบบ ตองติดตาม ตรวจสอบรายงานหรือบันทึกการใหบริการของหนวยงานภายนอกตามที่วาจางอยาง สม่ําเสมอตามสัญญาวาจาง
- ผูดูแลระบบ ตองกําหนดขั้นตอนและชองทางในการติดตอกับหนวยงานภายนอกที่มหี นาท่ีในการกํากับดูแล หรือหนวยงานที่เกี่ยวของกับการบังคับใชกฎหมาย รวมทั้งหนวยงานที่ควบคุมดูแลสถานการณฉุกเฉินภายใต สถานการณตา ง ๆ ไวอยางชัดเจน
- ผูดูแลระบบ ตองมีขั้นตอนและชองทางในการติดตอกับหนวยงานภายนอกที่มีความเชี่ยวชาญเฉพาะดานหรือหนวยงานที่มีความเชี่ยวชาญดานความมั่นคงปลอดภัยดานสารสนเทศภายใตสถานการณตาง ๆ ไวอยางชัดเจน8. ผูดูแลระบบตองควบคุมการเปลี่ยนแปลงของหนวยงานภายนอกที่สงผลกระทบตอการใหบริการขององคกร และตองประเมินความเสี่ยงอยางเหมาะสมเพื่อควบคุมผลกระทบอันเนื่องมาจากการเปลี่ยนแปลงนั้น 9. หนวยงานภายนอกและผูใชงานภายนอก ตองใชงานทรัพยสินสารสนเทศของ รฟม. ดวยความระมัดระวัง และรักษาความลับของ รฟม. ไมนําไปเปดเผย และตองขออนุญาตพรอมทั้งปฏิบัติตามเงื่อนไขในการเขาถงึระบบสารสนเทศของ รฟม. ทุกครั้ง
- หนวยงานภายนอกและผูใชงานภายนอกตองแจงเหตุการณไมปกติตาง ๆ ดานเทคโนโลยีสารสนเทศที่พบผานชองทางที่ รฟม. กําหนดโดยเร็วท่สีุด
- หนวยงานภายนอกและผูใชงานภายนอกตองจัดเก็บบัญชีผูใชงานที่ รฟม. จัดทําไวใหใชงานเปนความลับ เฉพาะบุคคล ไมเปดเผยใหผูอื่นรับทราบ
25
สวนท่ี9
การใชงานเครื่องคอมพิวเตอรและอุปกรณเคลื่อนที่ ของ รฟม.
วัตถุประสงค
▪ เพื่อควบคุมการใชงานทรัพยสินของ รฟม. ประเภทเครื่องคอมพิวเตอรและอุปกรณเคล่ือนที่ใหเหมาะสม ทั้งนี้ เพื่อปองกัน การสูญหาย เสียหาย หรือถูกเขาถึงขอมูลโดยไมไดรับอนุญาต
ผูรบั ผดิชอบ
▪ ผูดูแลระบบ
▪ ผูใชงาน
อางอิงมาตรฐาน: ISO/IEC 27001:2022
▪ มาตรการควบคุมดานองคกร (Organizational Controls)
▪ มาตรการควบคุมดานบุคลากร (People Controls)
▪ มาตรการควบคุมดานกายภาพ (Physical Controls)
▪ มาตรการควบคุมดานเทคโนโลยี (Technological Controls)
แนวปฏิบัติ - การใชงานทั่วไป
1.1 ผูดูแลระบบตองกําหนดบัญชีซอฟตแวรมาตรฐาน (Software Standard) ที่อนุญาตใหติดตั้งบนเคร่ือง คอมพวิเตอรของผูใชงาน และปรับปรุงใหเปนปจจุบันเสมอ
1.2 ผูดูแลระบบตองเปนผูกําหนดการตั้งช่อืเครื่องคอมพิวเตอร(Computer Name) เทาน้นั 1.3 ผูใชงานตองติดตั้งโปรแกรมสําหรับควบคุมการใชงานอุปกรณเคลื่อนที่ (Mobile Device Management:MDM) รวมถึงอุปกรณอื่น ๆ ที่ รฟม. ไมสามารถควบคุมการใชงานผานระบบ Active Directory (AD) ได 1.4 ผูใชงานตองใชงานอยางมีประสิทธิภาพเพื่องานของ รฟม.
1.5 ผูใชงานตองไมติดตั้งโปรแกรมที่ละเมิดลิขสทิธิ์บนเครื่องคอมพิวเตอรและอุปกรณเคลื่อนท่ีของ รฟม. 1.6 ผูใชงานตองขอนุญาตติดตั้งโปรแกรมในเครื่องคอมพิวเตอรและอุปกรณเคลื่อนที่ตามข้นัตอนที่ รฟม. กาํ หนด1.7 ผูใชงานตองไมติดตั้งและแกไขเปลี่ยนแปลงโปรแกรมในเครื่องคอมพิวเตอรและอุปกรณเคล่อืนที่ของ รฟม. การดําเนินการดังกลาวตองดาํ เนินการโดยผูดูแลระบบเทานั้น
1.8 ผูใชงานตองศึกษาและปฏิบัติตามคูมือการใชงานเครื่องคอมพิวเตอรและอุปกรณเคลื่อนท่ีอยางละเอียดเพื่อใหสามารถใชงานอยางปลอดภัยและมีประสิทธิภาพ
1.9 ผูใชงานตองไมดดัแปลงแกไขสวนประกอบตางๆของคอมพิวเตอรและอุปกรณเคลื่อนที่และรกัษาใหมสภาพเดิมี 1.10 ผูใชงานตองแจงซอมเครื่องคอมพิวเตอรและอุปกรณเคลื่อนที่ที่อยูในความรับผิดชอบของ ฝทท. ให ฝทท. เปนผูดาํ เนินการเทานั้น
1.11 ผูใชงานตองอัปเดต Patch และระบบปฏิบัติการใหทันสมัยอยเูสมอ
1.12 ผูใชงานตองไมสราง Shortcut ไวบน Desktop ที่เชื่อมตอ ไปยังขอมูลสําคญั ของ รฟม.
1.13 กรณีเครื่องคอมพิวเตอรแบบพกพาและอุปกรณเคลื่อนท ผูใชงานตองปฏิบัติเพิ่มเติม ดังนี้ ่ี 1.13.1 ตองติดตั้ง Application จาก Official Store หรือเว็บไซตท ่ีใหบริการผา นโปรโตคอล HTTPS 1.13.2 ไมปรบัแตงการเขาถึงระบบปฏบัติการ ิ (Rooted/Jailbroken)
1.13.3 ในกรณีที่มีการใชงานอุปกรณประเภทพกพาในที่สาธารณะ หองประชุม และพื้นที่ภายนอก อื่น ๆ ที่ไมมีการปองกัน หรือไมไดอยูในบริเวณของ รฟม. ใหปองกันการเขาถึงที่ไมไดรับอนุญาต เชน ไมเปดการเชื่อมตอแบบไรสายโดยไมมีการเขารหัสขอมูล เปนตน
26
1.13.4 ตองระมัดระวังการเคลื่อนยาย โดยตองใสกระเปาเพ่ือปองกันอันตรายที่เกิดจากการกระทบกระเทือนเชน การตกจากโตะทํางานหรือหลุดมือ เปนตน
1.13.5 ไมใสในกระเปาเดินทางที่เสี่ยงตอการถูกกดทับโดยไมไดตั้งใจจากการมีของหนักทับหรืออาจถูกจบัโยนได
1.13.6 การใชงานเปนระยะเวลานานเกินไป ในสภาพที่มีอากาศรอนจัดตองปดเครื่องคอมพิวเตอรเพื่อเปนการพักเคร่ืองสักระยะหนึ่งกอนเปดใชงานใหมอกีครั้ง
1.13.7 หลีกเลี่ยงการใชนิ้วหรือของแข็ง เชน ปลายปากกา กดสัมผัสหนาจอ LCD ใหเปนรอย ขีดขว นหรือทําใหจอ LCD ของเครื่องคอมพิวเตอรแบบพกพาแตกเสียหายได
1.13.8 ไมวางของทบั บนหนาจอและแปน พิมพ
1.13.9 การเคลื่อนยายเครื่องขณะที่เครื่องเปดใชงานอยู ใหทําการยกจากฐานภายใตแปนพิมพ หามยายเครื่องโดยการดึงหนาจอภาพขึ้น
1.13.10 ไมคลื่อนยายเครื่องในขณะที่ Harddisk กําลังทาํ งาน
1.13.11 ไมใชหรอืวางใกลสิ่งท่เปนของเหลว ความชื้น เชน อาหาร น้ํา กาแฟ เครื่องดื่มตาง ๆ เปนตน ี 1.13.12 ไมวางใกลอปุ กรณที่มีสนามแมเหล็กไฟฟาแรงสูง เชน แมเหล็กโทรทัศนไมโครเวฟ ตูเย็น เปนตน1.13.13 ไมติดตั้งหรือวางในที่ที่มกีารส่นัสะเทือน เชน ในยานพาหนะที่กําลังเคลื่อนที่
1.13.14 การเช็ดทําความสะอาดหนาจอภาพตองเช็ดอยางเบามือที่สุด และตองเช็ดไปในแนวทาง เดียวกันหามเช็ดแบบหมนุ วน เพราะจะทําใหหนาจอมีรอยขีดขวนได
1.13.15 รับผิดชอบในการปองกันการสูญหาย เชน ตองลอ็กเคร่ืองขณะท่ไีมไดใชงาน ไมวางเครื่องทิ้งไวในที่ สาธารณะ หรือในบริเวณที่มีความเสี่ยงตอการสูญหาย
1.13.16 นําติดตัวไปดวยเสมอ เชน ไมละทิ้ง อุปกรณประมวลผลประเภทพกพาในรถยนตหองพักในโรงแรม หรือหองประชุม เปนตน ในกรณีท่ีมีความจําเปนตองละทิ้งใหจัดเก็บไวในสถานท่ี
ม่นัคงปลอดภัย
1.13.17 ไมเก็บหรือใชงานในสถานที่ที่มีความรอน ความช้ืนหรือฝุนละอองสูงและตองระวังปองกันการตกกระทบ
1.13.18 ไมเปลี่ยนแปลงแกไขสวนประกอบยอย (Sub Component) ที่ติดตั้งอยูภายใน เชน แบตเตอรี่ หนวยความจํา - แนวปฏิบัติในการใชรหัสผาน
ใหผูใชงานปฏิบัติตามการใชงานรหัสผาน (Password Use) (สวนที่ 6) - การปองกันจากโปรแกรมชุดคําส่งัไมพึงประสงค(Malicious Code)
3.1 ผูดูแลระบบตองควบคุมการ Update ระบบปฏิบัติการ เว็บเบราวเซอร และโปรแกรมใชงานตาง ๆ อยางสม่ําเสมอ เพื่อปดชองโหว (Vulnerability) ท่ีเกิดขึ้นจากซอฟตแวรเปนการปองกันการโจมตีจากภัยคุกคามตาง ๆ
3.2 ผูดูแลระบบตองติดตั้งและปรับปรุงโปรแกรมปองกันไวรัสใหทนัสมัยอยูเสมอ
3.3 ผูใชงานตองไมปดหรือยกเลิกระบบการปองกันไวรัสที่ติดตั้งอยู
3.4 ผูใชงานตองตรวจสอบหาไวรัสจากสื่อบันทึกตาง ๆ เชน Thumb drive และ Data storage อ่ืน ๆ กอนนํามาใชงานรว มกับเครื่องคอมพวิเตอรของ รฟม.
3.5 ผูใชงาน หากพบหรือสงสัยวาเครื่องคอมพิวเตอรและอุปกรณเคลื่อนท่ีติดชุดคําสั่งไมพึงประสงคใหรีบยกเลิกเชื่อมตอเครื่องเขากับระบบเครือขายสื่อสารขอมูลเพื่อปองกันการแพรกระจายของชุดคําสั่งท่ีไมพึงประสงค ไปยังเครื่องอื่น ๆ ไดและแจง ฝทท. ทราบทนั ที
27 - การสํารองขอ มลูและการกูคืน
4.1 ผูใชงานตองรับผิดชอบในการสํารองขอมูลจากเครื่องคอมพิวเตอรและอุปกรณเคล่ือนทไวบนสื่อบันทึกอื่น ๆ เชน ี่ ระบบ File Sharing, CD, DVD, External harddisk เปนตน
4.2 ผูใชงานมีหนาที่เก็บรักษาสื่อขอมูลสํารอง (Backup Media) ไวในสถานท่ีท่เีหมาะสม ไมเสี่ยงตอการรั่วไหลของ ขอมูลและทดสอบการกูคืนขอมูลที่สํารองไวอยางสม่ําเสมอ - ผูดูแลระบบ ตองควบคุมใหเคร่ืองคอมพิวเตอรไดรับการปรับตั้งคาอยางเหมาะสม เพื่อปองกันการใชงานหรือตดิตั้ง Mobile Code เชน Active X, Java จากแหลงที่ไมนาเชื่อถือ
28
สว นที่10
การใชงานอินเทอรเน็ตและสื่อสังคมออนไลน
วัตถุประสงค
▪ เพ่อืควบคุมการใชงานอินเทอรเน็ตและการใชงานสื่อสังคมออนไลน(Social Network) ของ รฟม. ใหมีความปลอดภัยและปองกันการละเมิดพระราชบัญญัตวิาดวยการกระทําความผิดเกี่ยวกับคอมพิวเตอรจนสงผลกระทบตอ รฟม. ผูรบั ผดิชอบ
▪ ผูดูแลระบบ
▪ ผูใชงาน
อางอิงมาตรฐาน: ISO/IEC 27001:2022
▪ มาตรการควบคุมดานองคกร (Organizational Controls)
▪ มาตรการควบคุมดานเทคโนโลยี (Technological Controls)
แนวปฏิบัติ - ผูดูแลระบบตองควบคุมการเชื่อมตอทางเครือขายสําหรบัการเขาถึงอินเทอรเน็ตโดยพิจารณาเรื่องดังตอไปน้ี 1) ผูดแูลระบบตองไมอนุญาตใหใชงานอุปกรณVideoStreaming อุปกรณ Audio streaming หรือ Downloadไฟลที่มีขนาดใหญ ในกรณีที่จําเปนตองไดรับการอนุญาตจากผูบงัคับบัญชากอนเทานั้น 2) ผูดแูลระบบตองจํากัดการใชงานอินเทอรเน็ตเพื่อเรื่องสวนตัวหรือที่ไมใชการดําเนินงานของ รฟม. ใหนอยที่สุดเทาที่เปนไปได เชน การระงับการเขาถึง Website ที่ไมจําเป ็น การระงับการเขาถึง Website ที่มีเนื้อหาตองหามตามพระราชบัญญัติวาดวยการกระทําความผิดเก่ยีวกับคอมพิวเตอร
- ผูดูแลระบบตองปองกันไมใหมีการรับสงขอมูลที่ไมเหมาะสมจากภายนอก รฟม. เชน (ก) Executable เชน .EXE .COM เปนตน
(ข) ไฟล (File) เสียง เชน AUD .WAV และ .MP3 เปนตน
(ค) ไฟล (File) วีดิทศั นเชน .MPG .MPEG .MOV และ .AVI เปนตน
(ง) Peer to Peer เชน .torrent เปนตน
ในกรณีที่มีความจาํ เปนตองไดรับอนุญาตจากผูบังคับบัญชา และ ฝทท. - ผูดแูลระบบตองกําหนดเสนทางการเชื่อมตอระบบคอมพิวเตอรเพื่อการเขาใชงานอินเทอรเนต็ ที่ตองเชื่อมตอผานระบบรักษาความปลอดภัยท่ีรฟม. จัดสรรไวเทาน้นั เชน Proxy,Firewall เปนตน
- ผูดแูลระบบตองทดสอบเสนทางสําหรับการเชื่อมตออินเทอรเน็ตขององคกรระหวางเสนทางที่ใชงานจริงและเสนทางสํารองอยางนอยปละ 2 ครั้ง
- ผูใชงานตองไมเช่ือมตอระบบคอมพิวเตอรผานชองทางอื่น ยกเวนมีความจําเปนและขออนุญาตจาก ฝทท. เปนลายลักษณอักษรแลว
- ผูใชงานตองขออนุญาตติดตั้งซอฟตแวร (Software) ท่ีDownload จากอินเทอรเน็ต และการติดตั้งตองดําเนินการโดยผูที่ไดรับมอบหมายจากผูดแูลระบบเทานั้น
- ผูใชงานตองไมมีเจตนาปดบังหรือบิดเบือนตัวตนเมื่อมีการใชงานอินเทอรเน็ต
- ผูใชงานติดตั้งโปรแกรมปองกันไวรัส พรอมทั้งตองปรับปรุง Virus Signature ท่ีเครื่องคอมพิวเตอรสวนบุคคลและเครื่องคอมพิวเตอรพกพาใหมีความทันสมัยอยูเสมอ กอนทําการเชื่อมตออินเทอรเน็ตผานเว็บเบราวเซอร (WebBrowser) และตองปดชองโหวของระบบปฏิบัติการที่เว็บเบราวเซอรติดตั้งอยู
- ผูใชงานจะตองตรวจสอบไวรัส (Virus Scanning) กอนการรับ - สงขอมูลคอมพิวเตอรผานทางอินเทอรเน็ต
29 - ผูใชงานตองไมใชเครือขายอินเทอรเน็ตของ รฟม. เพ่อืหาประโยชนในเชิงธุรกิจสวนตัว และทําการเขาสูเว็บไซตที่ ไมเหมาะสม เชน เว็บไซตที่ขัดตอศีลธรรม เว็บไซตที่มีเนื้อหาท่ีขัดตอชาติศาสนา พระมหากษัตริยหรือเว็บไซตที่ เปนภัยตอ สังคม เปนตน
- ผูใชงานจะถูกกําหนดสิทธิ์ในการเขาถึงแหลงขอมูลตามหนาที่ความรับผิดชอบเพื่อประสิทธิภาพของเครือขายและความปลอดภัยทางขอมูลของ รฟม.
- ผูใชงานตองหลกีเลี่ยงการกระทําที่ส้นิเปลืองทรพัยากรของเครือขายอินเทอรเน็ต ดังนี้ (ก) สงจดหมายอิเล็กทรอนิกสลูกโซ
(ข) ใชเวลาในการเขาถึงอนิเทอรเน็ตเกินความจําเปนยกเวนเพื่อปฏิบัติงานใหรฟม.
(ค) เลนเกม Online
(ง) เขาหองพูดคยุ Online ท่ไีมไดมวีัตถุประสงคเพื่อปฏบิัติงานใหรฟม. - ผูใชงานตองไมเผยแพรขอมูลที่เปนการหาประโยชนสว นตัวหรือขอมูลที่ไมเหมาะสมทางศีลธรรม หรือขอมูลท่ีละเมิดสิทธิ์ของผูอื่น หรอืขอมูลที่อาจกอความเสียหายใหกับ รฟม.
- ผูใชงานตองไมเปดเผยขอมูลสําคัญที่เปนความลับเกี่ยวกับงานของ รฟม.
- ผูใชงานตองไมนําเขาขอมูลคอมพิวเตอรใด ๆ ที่มีลักษณะอันเปนเท็จ อันเปนความผิดเกี่ยวกับความมั่นคง แหงราชอาณาจักร อันเปนความผิดเกี่ยวกับการกอการราย หรือภาพที่มีลักษณะอันลามก และไมทําการเผยแพร หรือสงตอขอมูลคอมพิวเตอรดังกลาวผานอินเทอรเน็ต
- ผูใชงานตองไมนําเขาขอมูลคอมพิวเตอรที่เปนภาพของผูอื่นและภาพนั้นเปนภาพที่เกิดจากการสรางขึ้น ตัดตอ เติมหรือดัดแปลงดวยวิธีการทางอิเล็กทรอนิกสหรือวิธีการอื่นใด ท่จีะทําใหผูอื่นเสียหาย เสียชื่อเสียง ถูกดูหมิ่นถูกเกลียดชัง หรือไดรับความอับอาย
- ผูใชงานมีหนาที่ตรวจสอบความถูกตองและความนาเชื่อถือของขอมูลคอมพิวเตอรท่ีอยูบนอินเทอรเน็ตกอนนําขอมูลไปใชงาน
- ผูใชงานตองคํานึงวาขอมูลจากอินเทอรเน็ตอาจไมมีความทันสมัยหรือไมมีความถูกตอง ผูใชงานตองตรวจสอบความถูกตองของขอมูลจากแหลงที่นาเชื่อถือกอนที่จะเผยแพรขอมูลดังกลาว
- ผูใชงานตองระมัดระวังการดาวนโหลดโปรแกรมใชงานจากอินเทอรเน็ต ซึ่งรวมถึง Patch หรือ Fixes ตาง ๆ จากผูขาย ตองเปนไปโดยไมละเมิดทรพัยส ินทางปญญา
- ผูใชงานตองไมใชขอความที่ยั่วยุใหรายในการเสนอความคิดเห็นที่จะทําใหเกิดความเส่ือมเสียตอชื่อเสยีงของ รฟม. การทาํลายความสัมพันธกับเจาหนาที่ของหนวยงานอื่น ๆ
- ผูใชงานตองไมบันทึกรหัสผานใน Web Browser (Remember Password) เพ่ือปองกันบุคคลอื่นที่สามารถเขาถึงคอมพิวเตอรของผูใชงานนํารหัสผานดังกลาวไปใชงานในอินเทอรเน็ตโดยไมไดรับอนุญาต 17. ผูใชงานตองไม Download เอกสาร หรือสารสนเทศตาง ๆ เชน ขอมูล รูปภาพ วิดีโอ เสียง และซอฟตแวร (Software) ที่ละเมิดลิขสิทธิ์ หรือผิดกฎหมาย
- ผูใชงานตองปดเว็บเบราวเซอรเพื่อปองกันการเขาใชงานโดยบุคคลอื่น ๆ ภายหลังจากใชงานอินเทอรเน็ตเสร็จแลว 19. การใชงานสื่อสังคมออนไลน (Social Network)
19.1 ผูใชงานตองระมัดระวังในการนําเสนอขอมูลขาวสาร การสงขอความ หรือการแสดงความคิดเห็นผาน สื่อสังคมออนไลนเพ่อืไมกอใหเกิดความเสยีหายแก รฟม.
19.2 ผูใชงานตองระมัดระวังในการใชสื่อสังคมออนไลนเนื่องจากพื้นท่ีบนสื่อสังคมออนไลนเปนพื้นที่ สาธารณะไมใชพื้นที่สวนบุคคล ซึ่งขอมูลการใชงานตาง ๆ จะถูกบันทึกไวและอาจมีผลทางกฎหมายถึงแมจะเปนการแสดงความคิดเห็นในนามชื่อบัญชีสวนตัว และพึงตระหนักถึงผลกระทบที่อาจเกิดขึ้นกับ รฟม. ได
30
19.3 ผูใชงานที่ใชสื่อสังคมออนไลนเปนเครื่องมือสื่อสารขอมูลในกิจการของ รฟม. หรือชื่อบุคคลที่ทําใหเขาใจไดวาเปนบุคคลในสังกัด ตองแสดงภาพ และขอมูลใหถูกตองชัดเจนในขอมูล โปรไฟล (Profile) และพึงใชดวยความสุภาพและมีวจิารณญาณ
19.4 ผูใชงานควรตั้งคําถามที่ใชในกรณีกูคืนบัญชีผูใชงานหรือกูคืนรหัสผาน (Forgot Your Password) ควรเลือกใชขอมูลหรือคําถามที่เปนสวนบุคคลและเปนขอมูลที่ผูอื่นคาดเดาไดยากเพื่อปองกันการสุมคําถามจากผูประสงคราย
19.5 ผูใชงานตองไมใชระบบอีเมลของเว็บไซตประเภทส่ือสังคมออนไลนหากจําเปนตองใชจะตองระมัดระวัง ในการคลิกลิงกที่นาสงสัย โดยเฉพาะอีเมลแจงเตือนจากเว็บไซตตาง ๆ ในลักษณะเชื้อเชิญใหคลิกลิงก ท่ีแนบมาในอีเมล ผูใชงานตองสงสัยวาลิงกดังกลาวเปนลิงกที่ไมปลอดภัย (ลิงกที่ถูกสรางมาเพื่อใชขโมยขอมูลสวนบุคคล ดวยการนําไปสูเว็บไซตที่ดูนาเชื่อถือที่ผูประสงครายสรางไวเพ่ือใหผใูชงานกรอกขอมูลสวนบุคคล เชน รหัสผาน เปนตน)
19.6 ผูใชงานตองศึกษาการตั้งคาความเปนสวนตัวหรือ “Privacy Settings” ใหเขาใจเปนอยางดีและปรับแตงการตั้งคาความเปนสวนตัวใหเหมาะสมเพื่อปองกันการถูกละเมิดความเปนสวนตัวซึ่ง อาจจะสงผลกระทบตอตนเองหรอื รฟม.
19.7 ผูใชงานตองใชงานส่อืสังคมออนไลนอยางเหมาะสม โดยไมละเมิดกฎหมายและไมกอใหเกิดความเสียหายหรือสงผลกระทบตอการทํางานขององคกร
19.8 ผูใชงานควรปดการใชงานระบบโพสตขอความสาธารณะทุก ๆ สวนของเว็บไซตประเภท Social Networkหากจําเปนตองใชงานตองปรับคาใหมีการตรวจสอบขอความกอนเพื่อหลีกเลี่ยงโอกาสแพรกระจายลิงก ท่ไีมปลอดภัยจากผูประสงคราย ซึ่งเปนหนึ่งในเทคนิคที่ใชในการโจมตีประเภท Spear Phishing
19.9 ผูใชงานตองตรวจสอบกอนจะรับเพื่อนเขากลุมในเว็บไซตประเภท Social Network โดยตองแนใจวาขอมูลสวนตัวของเพื่อนคนนั้น เชน รูปถายและประวัติสวนตัวไมถูกแกไขเพื่อปลอมแปลงตัวตนจากผูประสงครายที่หวังแอบอางเพื่อคุกคามเปาหมาย
19.10 ผูใชงานตองตระหนักไวเสมอวาขอมูลตาง ๆ ที่ผูใชงานเผยแพรไวบนบริการสื่อสังคมออนไลนนั้นคงอยู ถาวรและผอู ่นือาจเขาถึงและเผยแพรขอมูลเหลานั้นได
19.11 ผูใชงานตองมีขอพิจารณาในการรับเพื่อนเขากลุมที่ชัดเจน และควรประกาศขอความปฏิเสธความรับผิดชอบที่เกี่ยวกับเนื้อหาหรือขอความแสดงความคิดเห็นซึ่งถูกโพสตจากเพื่อนในกลุมที่อาจปรากฏในเว็บไซตประเภท Social Network ของผูใชงานเอง
19.12 ผูใชงานตองติดตั้งซอฟตแวรปองกันไวรัส และอัปเดตฐานขอมูลไวรัสของโปรแกรมอยูเสมอ และตอง หลีกเลี่ยงการใชโปรแกรมที่ละเมิดลิขสิทธิ์เพราะอาจจะมีโปรแกรมประสงครายแฝงตัวอยูภายในเพ่ือลักลอบ ปลอมแปลง หรือขโมยขอมลูสําคัญของผูใชงานได
19.13 ผูใชงานตองระมัดระวังการใชถอยคําและภาษาที่อาจเปนการดูหมิ่น ยุยง ทาทาย หรือเปนการละเมิดตอบุคคลอื่น กรณบีุคคลอื่นมีความคิดเห็นท่แีตกตางพึงงดเวนการโตตอบดวยถอยคํารุนแรง 19.14 ผูใชงานตองระมัดระวังกระบวนการหาขาว หรือภาพจากสื่อสังคมออนไลน โดยมีการตรวจสอบอยางถี่ถวนรอบดานและตองอางอิงแหลงที่มาเมื่อนําเสนอ เวนแตสามารถตรวจสอบและอางอิงจากแหลงขาวไดโดยตรง
19.15 หากผูใชงานตองการใชสื่อสังคมออนไลนเปนเครื่องมือในการรายงานขาวในนามของบุคคลธรรมดาตอง แสดงใหชัดเจนวา ขอความใดเปน “ขาว” ขอความใดเปน “ความคิดเห็นสวนตัว”
19.16 การสงตอหรือเผยแพรขอมูลในสื่อสังคมออนไลน (Social Media)
31
19.16.1 ผูใชงานตองไมสงตอหรือเผยแพรขอมูลที่เปนเท็จ ขาวลือ ขา วไมปรากฏท่มีา เปนเพียงการคาดเดา หรือสงผลเสียหายกับบุคคล สังคม หรือ รฟม.
19.16.2 ผูใชงานตองไมสงตอหรือเผยแพรขอมูลเรื่องบุคคลเสียชีวิต เด็กและเยาวชน ผูสูญหาย ผูตองหา เวนเสียแตตรวจสอบขอเท็จจริงแลวและเห็นวาเปนประโยชนตอสาธารณะ 19.16.3 ผูใชงานตองไมสงตอหรือเผยแพรขอมลู ที่กระทบตอสิทธคิวามเปนสวนตัว และศักดิ์ศรีความเปนมนษุ ย
19.17 ผูใชงานตองตั้งคาความปลอดภัยของการใชงานสื่อสังคมออนไลน และระมัดระวังการถูกนําขอมูลจากชื่อบัญชีไปใชโดยไมเหมาะสม ผิดวัตถุประสงค และลักษณะการแอบอางโดยบุคคลอื่น - ผูใชงานตองใชงานอินเทอรเน็ตและสื่อสังคมออนไลนโดยตระหนักถึงพระราชบัญญัติการกระทาํความผิดเกี่ยวกบั คอมพิวเตอรที่บงัคับใชอยูเสมอ
32
สว นที่11
การใชงานจดหมายอิเล็กทรอนิกส
วัตถุประสงค
▪ เพื่อกําหนดมาตรการการใชงานจดหมายอิเล็กทรอนิกสของ รฟม. ใหมคีวามปลอดภัยและมีประสิทธภาพ ิ ผูรบั ผดิชอบ
▪ ผูดูแลระบบ
▪ ผูใชงาน
อางอิงมาตรฐาน: ISO/IEC 27001:2022
▪ มาตรการควบคุมดานองคกร (Organizational Controls)
▪ มาตรการควบคุมดานเทคโนโลยี (Technological Controls)
แนวปฏิบัติ - ผูดูแลระบบตองกําหนดสิทธิ์การเขาถึงระบบจดหมายอิเล็กทรอนิกสของ รฟม. ใหเหมาะสมกับหนาที่ความรับผิดชอบของผูใชงาน รวมทั้งทบทวนสิทธิ์การเขาใชงานอยางสม่ําเสมอ
- ผูดูแลระบบตองกําหนดบัญชีผูใชงานตามมาตรฐานจดหมายอเิล็กทรอนิกส(Email) ที่ใชในองคกร 3. ผูใชงานตองระมัดระวังในการใชจดหมายอิเล็กทรอนิกสไมใหเกิดความเสียหายตอ รฟม. ละเมิดลิขสิทธิ์ สราง ความนารําคาญตอผูอ่ืน ผิดกฎหมาย ละเมิดศีลธรรม และไมแสวงหาประโยชนหรืออนุญาตใหผูอื่นแสวงหาผลประโยชนในเชิงธุรกิจจากการใชจดหมายอิเล็กทรอนิกสของ รฟม.
- ผูใชงานตองไมใชท่ีอยูจดหมายอิเล็กทรอนิกส(Email Address) ของผูอื่นเพื่ออาน รับ - สงขอความ ยกเวนไดรับการยินยอมจากเจาของบัญชีและใหถือวาเจาของบัญชีจดหมายอิเล็กทรอนิกสเปนผูรับผิดชอบตอการใชงานตาง ๆ ในจดหมายอิเลก็ ทรอนิกสของตน
- ผูใชงานตองใชที่อยูจดหมายอิเล็กทรอนิกสของ รฟม. เพื่อปฏิบัติงาน ติดตอ และประสานงานของ รฟม. เทานั้น 6. ผูใชงานตองไมใชที่อยูจดหมายอิเล็กทรอนิกสฟรขีองเอกชนในการปฏิบัติงาน ติดตอ และประสานงานของ รฟม. 7. ผูใชงานตอง Logout ออกจากระบบทุกครั้ง หลังจากใชงานระบบจดหมายอิเล็กทรอนิกสเสร็จสิ้นเพื่อปองกันบคุ คลอื่นเขาใชงานจดหมายอิเล็กทรอนิกส
- ผูใชงานตองตรวจสอบเอกสารแนบจากจดหมายอิเล็กทรอนิกสกอนเปดอาน โดยใชโปรแกรมปองกันไวรัส เพื่อตรวจสอบมัลแวรตาง ๆ
- ผูใชงานตองไมเปดหรือสงตอจดหมายอิเล็กทรอนิกสที่ไดรับจากผสู งที่ไมรูจัก
- ผูใชงานตองใชขอความที่สุภาพในการรับ – สงจดหมายอิเล็กทรอนิกส และไมสงจดหมายที่มีเนื้อหาอาจทําให รฟม. เสียชื่อเสียงหรือทําใหเกิดความแตกแยกภายใน รฟม.
- ผูใชงานตองไมระบุความสําคัญของขอมูลลงในหัวขอจดหมายอิเล็กทรอนิกสและตองเขารหัสเพื่อปองกันการเขาถึงขอ มูลโดยผไูมเกี่ยวของเมื่อมีการสงขอมูลที่เปนความลับ
- ผูใชงานตองตรวจสอบตูเก็บจดหมายอิเล็กทรอนิกสของตนเองทุกวนั และตองจัดเก็บจดหมายอิเล็กทรอนิกสในตู ของตนใหเหลือจํานวนนอยที่สุด หากมีขอมูลที่จําเปนตองนํามาใชอางอิงในการปฏิบัติงานภายหลังใหผใูชงานโอนยายจดหมายอิเล็กทรอนิกสมายังเคร่ืองคอมพิวเตอรของตน ทั้งนี้เพื่อลดปริมาณการใชเนื้อที่ของระบบจดหมายอเิล็กทรอนิกส
33
สว นที่12
การสํารองขอมูลและการเก็บรักษาขอมลูจราจรทางคอมพิวเตอร
วัตถุประสงค
▪ เพื่อใหมีขอมูลสํารองไวใชงานในกรณีที่ขอมูลหลักเกิดความเสียหายไมสามารถใชงานหรือเขาถึงได หรือเมื่อเกิดภาวะฉุกเฉินตาง ๆ
▪ เพื่อใหมีการปฏิบัติที่สอดคลองกับกฎหมาย พระราชบัญญัติหรือขอ บังคับภายนอกอื่น ๆ ผูรบั ผดิชอบ
▪ ผูบังคับบัญชา
▪ ผูดูแลระบบ
▪ เจาของขอมูล
▪ ผูใชงาน
อางอิงมาตรฐาน: ISO/IEC 27001:2022
▪ มาตรการควบคุมดานองคกร (Organizational Controls)
▪ มาตรการควบคุมดานเทคโนโลยี (Technological Controls)
แนวปฏิบัติ - การสํารองขอ มลู ระบบแมขาย
ขอมูลระบบแมขายและขอมูลสําคัญซึ่งเปนความลับของ รฟม. ตองไดรับการเก็บรักษาไวที่ระบบเก็บขอมูลสวนกลาง และสํารองขอมูลไวอยางสมํ่าเสมอ เพื่อใหมีขอมูลสํารองไวใชในกรณีที่ขอมูลหลักเกิดความเสียหายหรือไมสามารถใชงาน ความถี่ในการดําเนินการสํารองขอมูลและขั้นตอนการสํารองขอมูลระบบแมขายเปนความรับผิดชอบของ ฝทท. โดยมีแนวปฏิบัติ ดังนี้
1.1 ผูบังคับบัญชากําหนดผูรับผิดชอบในการสํารองขอมูล
1.2 ผูดูแลระบบตองกําหนดชนิดของขอมูลของระบบที่มีความจําเปนตองสํารองขอมูลเก็บไว เชน ขอมูล คาคอนฟกกูเรชัน (Configuration) ขอมูลคูมือการปฏิบัติงานสําหรับระบบ ขอมูลในฐานขอมูลของ ระบบงาน ขอมูลซอฟตแวร เชน ซอฟตแวรระบบปฏิบัติการ ซอฟตแวรระบบงาน และซอฟตแวรอื่น ๆ เปนตน
1.3 ผูดูแลระบบตองสํารองขอมูลตามความถี่ท่กีําหนดไวทั้งนี้หากเปนขอมูลที่สนับสนุนกระบวนการทํางานที่ สําคัญของ รฟม. ใหสํารองตามความถี่ที่ รฟม. กําหนด
1.4 ผูดูแลระบบตองตรวจสอบวาการสํารองขอมูลสําเร็จครบถวนหรือไม หากไมสําเร็จใหหาสาเหตุและดาํ เนินการแกไขอีกครั้งหนึ่ง
1.5 ผูดูแลระบบตองนําขอมูลที่สํารองไวไปเกบ็ ไวท ั้งภายในและภายนอก รฟม. อยางนอยอยางละ 1 ชุด 1.6 ผูดูแลระบบทดสอบกูคืนขอมูลท่ีสํารองเก็บไวอยางสมํ่าเสมอ อยางนอยปละ 1 ครั้ง เพื่อใหมนั่ ใจวาขอมลู ที่สํารองไวมีความถูกตอง ครบถวน และพรอ มใชงาน - การสํารองขอ มลคอมพิวเตอรสวนบุคคล ู ผูใชงานจะตองสํารองขอมูลสําคัญที่เก็บรักษาไวในเครื่องคอมพิวเตอรสวนบุคคลหรือคอมพิวเตอรหรืออุปกรณพกพาอ่ืน ๆ อยางสม่ําเสมอ ความถี่ในการสํารองขอมูลขึ้นอยูกับความถี่ของการเปลี่ยนแปลงของขอมูลและระดับความสําคัญของขอมูลหากเกิดการสญู หาย 3. การเก็บรักษาขอมูลจราจรคอมพิวเตอร
เพื่อใหสามารถระบตุ วับุคคลผูใชงานไดอยางถูกตอง ผูดูแลระบบตองดําเนนิการ ดังนี้
3.1 เลือกใชนาฬิกาจากแหลงที่นาเชื่อถือที่มีการเชื่อมตอในลําดับชั้น Stratum 0 โดยนาฬิกาจากแหลงดังกลาวจะตอง ไดรับการอนุมตัิใหใชงาน
3.2 ต้งันาฬิกาของอุปกรณที่ใหบริการทุกชนิดจาก NTP Server ของ รฟม. เทานั้น
34
3.3 ตองทบทวนนาฬิกาที่ NTP Server อยางนอยสัปดาหละ 1 ครั้ง
3.4 ตองจัดเก็บรักษาขอมูลจราจรคอมพิวเตอร โดยระยะเวลาในการเก็บตามประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสารเร่อืง หลักเกณฑการเก็บรักษาขอมูลจราจรทางคอมพิวเตอรของผูใหบริการ พ.ศ.2550(อยางนอย 90 วัน) 3.5 เก็บรักษาขอมูลจราจรคอมพิวเตอรในส่ือที่สามารถรักษาความครบถวนถูกตองแทจริง มีการเก็บรักษาความลับของขอมูลตามระดับช้ันความลับในการเขาถึงตามที่ รฟม. กาํ หนด 3.6 ประเภทของสารสนเทศที่เก็บรักษา แสดงตามตาราง
ประเภทของสารสนเทศ กฎหมายที่เกี่ยวของ ระยะเวลาการเก็บรักษา (ป) 1) พระราชบัญญัติวาดวยการกระทําความผิด
Authentication Server Logs
เกี่ยวกบัคอมพิวเตอร พ.ศ. 2550
1
(RADIUS, TACACS)
-
พระราชบัญญตัิวาดวยการกระทําความผิด
Email Server Logs 1
เกี่ยวกบัคอมพิวเตอร(ฉบบั ที่ 2) พ.ศ. 2560 -
ประกาศกระทรวงดิจิทัลเพื่อเศรษฐกิจและสงัคม
Web Application Server Logs 1 เรื่อง หลักเกณฑการเก็บรักษาขอมูลจราจรทาง
NTP Server Logs 1
คอมพิวเตอรของผูใหบรกิาร พ.ศ. 2564
DHCP Server Logs 1 IPS Logs 1 Firewalls Logs 1 Routers & Switches Logs 1
Active Directory Logs1
- การจดัเก็บบนั ทึกขอมูลล็อกและการเฝาระวงั (Logging and Monitoring)
4.1 ผูดูแลระบบตองมีการจัดเกบ็ บันทึกเหตุการณ(Event Logs) การใชงานระบบสารสนเทศ 4.2 ผูดูแลระบบตองเก็บบันทึกขอมูล Audit Log ซึ่งบันทึกกิจกรรมการใชงานของผูใชงานระบบสารสนเทศและเหตกุ ารณเกี่ยวกับความมั่นคงปลอดภัยตาง ๆ เพื่อประโยชนในการสบืสวน สอบสวน และเพื่อการติดตามการควบคุมการเขาถึง
4.3 ผูดูแลระบบตองมีการตรวจสอบขอมูลบันทกึเหตุการณอยางสม่ําเสมอ (Log Review) 4.4 ผูดูแลระบบตองไมลบขอมูลล็อก (Log) หรือปดการใชงานการบันทึกขอมูลล็อก (Log) 4.5 ผูดูแลระบบตองปองกันระบบสารสนเทศที่จัดเก็บล็อก (Log)และขอมูลล็อก(Log) เพื่อปองกันการเขาถึงหรือแกไขเปลี่ยนแปลงโดยไมไดรับอนุญาต
35
สว นที่13
การตรวจสอบและประเมินความเสี่ยง
วัตถุประสงค
▪ เพ่อืใหมีการตรวจสอบการดําเนินงานของระบบจัดการความม่นัคงปลอดภัยสารสนเทศและปรบั ปรุงอยางตอเนื่อง ▪ เพื่อควบคุม และติดตามการปฏิบัติงานของผูดูแลระบบสารสนเทศ ใหสอดคลองตามขอกําหนด กฎหมาย หรือระเบียบขอบังคับที่เกี่ยวของกบัเทคโนโลยีสารสนเทศ
▪ เพื่อประเมนิความเสี่ยงดานความมั่นคงปลอดภัยของสารสนเทศและบริหารจัดการความเสี่ยงใหอยูในระดับที่ องคกรยอมรบั ได
ผูรบั ผดิชอบ
▪ ผูบังคับบัญชา
▪ ผูดูแลระบบ
อางอิงมาตรฐาน: ISO/IEC 27001:2022
▪ ขอกําหนดหลัก: การวางแผน (Planning)
▪ ขอกําหนดหลัก: การตรวจประเมินภายใน (Internal Audit)
▪ มาตรการควบคุมดานองคกร (Organizational Controls)
▪ มาตรการควบคุมดานเทคโนโลยี (Technological Controls)
แนวปฏิบัติ - ผูบังคับบัญชา ตองกําหนดใหมีแนวทางในการดําเนินงานของระบบสารสนเทศสอดคลองกับกฎหมาย พระราชบัญญัติ กฎระเบียบ ขอบังคับที่เกี่ยวของกับความมั่นคงปลอดภัยสารสนเทศโดยตองจัดทําเปนลายลกัษณอักษร และมีการปรับปรุงใหเปนปจจุบันอยูเสมอ
- ผูบังคับบัญชา ตองกําหนดมาตรการในการควบคุมและบรหิารจัดการสินทรัพยทางปญญา ไดแกลิขสิทธในเอกสาริ์ หรือซอฟตแวร เครื่องหมายการคา สิทธิบัตร และใบอนุญาตการใชงานซอรสโคด หรือการใชงานซอฟตแวร เพื่อใหการดําเนินงานเปนไปตามขอกําหนดทั้งในแงของขอสัญญา และดานกฎหมาย พระราชบัญญัติ กฎระเบียบ ขอบังคับดานสินทรัพยทางปญญาที่เกี่ยวของ
- ผูบังคับบัญชา ตองควบคุมใหมีการคุมครองขอมูลสวนบุคคลโดยใหสอดคลองกับกฎหมาย พระราชบัญญัติกฎระเบียบ ขอบังคับที่เกี่ยวของ
- ผูบังคับบัญชา ตองกํากับดูแล และควบคุมการปฏิบัติงานของผูที่อยูใตการบังคับบัญชา เพื่อปองกันการใชงานระบบสารสนเทศผิดวัตถุประสงค หรือละเมิดตอนโยบายและแนวทางปฏิบัติการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศของ รฟม.
- ผูบังคับบัญชา ตองควบคุมใหมีการปองกันขอมูลสําคัญขององคกร ขอมูลสําคัญที่เกี่ยวของกับขอกําหนดทาง กฎหมาย ระเบียบ ขอบังคบั สัญญา ควรไดรับการปองกนัจากการสูญหาย ถูกทําลาย และปลอมแปลง 6. ผูบังคับบัญชาตองจัดใหมีการตรวจสอบการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ โดยผูตรวจสอบภายใน (Internal Auditor) หรือโดยผูตรวจสอบอิสระดานความมั่นคงปลอดภัยจากภายนอก (External Auditor) ตามระยะเวลาอยางนอยปละ 1 ครั้ง
- ผูดูแลระบบตองกําหนดกระบวนการตรวจสอบและการแจงเตือนเมื่อเกิดเหตุผิดปกติเกี่ยวกับการใชงานทรัพยากร (Capacity) กําหนดเกณฑการใชงานทรัพยากรและวางแผนดานทรัพยากรสารสนเทศใหรองรับการปฏิบัติงานในอนาคตอยางเหมาะสม รวมถึงตองติดตามผลการใชงานทรัพยากรสารสนเทศ
36 - ผูดูแลระบบตองมีการตรวจสอบการทํางาน (Monitor) ของระบบสารสนเทศอยางสม่ําเสมอและเสนอผูบังคับบัญชารับทราบเมื่อมีเหตุการณผิดปกติเกิดขึ้น รวมถึงแจงผูเกี่ยวของเพื่อดาํ เนินการแกไขโดยไมชักชา 9. ผูดูแลระบบ ตองปองกันการเขาใชงานเครื่องมือท่ใีชเพื่อการตรวจสอบ เพื่อมิใหเกิดการใชงานผิดประเภทหรือถูก
ละเมิดการใชงาน (Compromise) โดยควบคุมการเขาถึง และตรวจสอบการนําเครื่องมือไปใชงานอยางสม่ําเสมอ10. ผูดูแลระบบตองประเมินความเสี่ยงของระบบเทคโนโลยีสารสนเทศอยางนอยปละ 1 ครั้ง หรือเมื่อมีการเปลี่ยนแปลงอยางมีนัยสําคญั - ผูบังคับบัญชาตองติดตามผลการดําเนินการตามแผนบริหารจัดการความเสี่ยง (Risk Treatment Plan) เปนประจําทุกไตรมาส
- ผูดูแลระบบตองประเมินความเสี่ยงแลวจัดลําดับความสําคัญของความเสี่ยงนั้นและคนหาวิธีการเพื่อลดความเสี่ยง ตามข้ันตอนที่ รฟม. กําหนด พรอมท้ังพิจารณาขอดีขอเสียของวิธีการเหลาน้ันเพื่อใหผูบริหารของ รฟม. ตัดสินใจเลือกวิธีการเพื่อลดความเสี่ยงหรือยอมรับความเสี่ยง เมื่อเลือกวิธีการลดความเสี่ยงแลวผูบริหารตองจัดสรรทรัพยากรอยางเพียงพอเพ่อืดําเนินการ แนวทางการลดความเสี่ยง แบงไดเปน 3 รูปแบบ ไดแก 12.1 การเลือกใชเทคโนโลยี เพื่อใชในการลดความเสี่ยงและเพิ่มความมั่นคงปลอดภัยของระบบเทคโนโลยี
สารสนเทศ รฟม. เปนวิธีที่จําเปนตองใชงบประมาณและทรัพยากรอยางเพียงพอในการดําเนินการ เชน การเลือกใชอุปกรณ Firewall มากกวาหน่ึงผลิตภัณฑในการปองกันการเขาถึงเครือขายที่สําคัญ การใช อปุ กรณสมารท การด หรือ USB Token ในการตรวจสอบยนืยันตัวตนในการเขาใชงานระบบจากภายนอกรฟม. เปนตน
12.2 การปรับเปลี่ยนขั้นตอนปฏิบัติตองออกแบบขั้นตอนปฏิบัติใหมท่ีรัดกุมและสามารถรักษาความมั่นคง ปลอดภัยของระบบเทคโนโลยีสารสนเทศ รฟม. ไดดีขึ้น เมื่อออกแบบขั้นตอนปฏิบัติใหมแลวตองมีการพิจารณาหารือความเหมาะสม ความเปนไปได และผูบริหารตองเปนผูอนุมัติใหมีการบังคับใชขั้นตอนปฏิบัติใหมนั้น
12.3 ผูดูแลระบบตองแจงขั้นตอนปฏิบัติใหผูเกี่ยวของรับรูอยางทั่วถึง รวมทั้งตองจัดฝกอบรมผูใชงานที่เกี่ยวของเพื่อใหสามารถปฏิบัติตามข้นัตอนปฏิบัตใหม ิ ไดอยางราบรื่นและมปีระสิทธิภาพ 13. การตรวจสอบความปลอดภัยของระบบสารสนเทศ
13.1 ผูดูแลระบบ ตองวางแผนการตรวจสอบและประเมินชองโหวหรือจุดออนดานความมั่นคงปลอดภัยสารสนเทศ และแจงผูที่เกี่ยวของเพื่อแกไขในกรณีท่ีพบวาชองโหวหรือจุดออนนั้นอาจเปนเหตุการณดานความมั่นคงปลอดภัย อยางนอยปละ 1 ครั้ง
13.2 ผูดูแลระบบตองตรวจสอบระบบสารสนเทศที่จะตองมีการปรับปรุงเมื่อมีเวอรชันใหม (Patch) รวมทั้งขอมูลที่เกี่ยวของกับชองโหวดานเทคนคิอยางสม่ําเสมอเพื่อใหทราบถึงภยัคุกคามและความเสี่ยง รวมถึงหาวิธีปองกันและแกไขที่เหมาะสมกับชองโหวนั้น
13.3 ผูใชงาน ผูดูแลระบบ และหนวยงานภายนอก ตองบันทกึและรายงานชองโหวห รือจุดออนใด ๆดานความมั่นคง ปลอดภัยสารสนเทศ ที่อาจสังเกตพบระหวางการติดตามการใชงานระบบสารสนเทศ ผานชองทางบริหารจัดการที่กําหนดไวอยางเหมาะสม และตองดําเนินการปดชองโหวที่มีการตรวจพบหรือไดรับแจง 14. การวิเคราะหขอมูลเชิงลึกของภัยคุกคาม (Threat Intelligence)
14.1 ผูดูแลระบบตองรวบรวมขอมูลที่เกี่ยวของกับภัยคุกคามทั้งจากภายในและภายนอกองคกร เชน ชองโหว หรือเหตุการณภัยคุกคามตาง ๆ ที่เกิดข้นึ
14.2 ผูดูแลระบบตองนําขอมูลภัยคุกคามที่รวบรวมไดมาวิเคราะหเชิงลึก ไดแก Tactics, Techniques หรือ Procedures (TTPs) ท่ีกลุมผูไมประสงคดีนํามาใชรวมถึงแรงจูงใจ เปาหมาย และพฤติกรรมการโจมตีของผูไมประสงคดี เพื่อให รฟม. สามารถจัดเตรียมวิธีการปองกันหรือวิธีการรับมือกับภัยคุกคามไดอยางมีประสิทธิภาพและทันทวงที
37 - ผูดูแลระบบตองมีการบริหารจัดการการเปล่ียนแปลงเก่ียวกับการจัดเตรียมการใหบริการ การดูแลปรับปรุง นโยบายในการรักษาความมั่นคงปลอดภัยดานสารสนเทศ ข้ันตอนปฏิบัติงาน หรือการควบคุมเกี่ยวกับความมั่นคง ปลอดภัยดานสารสนเทศ โดยคํานึงถึงระดับความสําคัญของการดําเนินธุรกิจที่เกี่ยวของและการประเมินความเสี่ยง อยางตอเนื่อง
- การเตรียมความพรอ มกรณีฉุกเฉิน
เพื่อใหมีการบริหารจัดการความตอเนื่องใหกับกระบวนการทางธุรกิจที่สําคัญขององคกร เม่ือมีเหตุการณที่ทําให เกิดการหยุดชะงักหรือติดขัดตอกระบวนการดังกลาว โดยมีแนวปฏิบัติ ดังนี้
16.1 ผูดูแลระบบตองกําหนดระบบที่มีความสําคัญทั้งหมดขององคกร และจัดทําเปนบัญชีรายชื่อระบบดังกลาวรวมทั้งปรับปรุงรายชื่อระบบสําคัญและบัญชฯี ตามความเปนจริง
16.2 เจาของขอมูลและผูดูแลระบบประเมินความเสี่ยงสําหรับระบบเหลา นั้น กําหนดมาตรการเพื่อลดความเสี่ยง ที่พบและจัดทํารายงานการประเมินความเสี่ยง
16.3 ผูดูแลระบบตองทบทวน/ปรับปรุงแผนบริหารความตอเนื่องทางธุรกิจ (Business Continity Plan: BCP) อยางนอยปละ 1 คร้งั
16.4 ผูดูแลระบบจัดทําและปรับปรุงแผนกูคืนระบบอยางนอยปละ 1 ครั้ง
16.5 เจาของขอมลูและผูดูแลระบบตองทดสอบแผนบริหารความตอ เนื่องทางธุรกิจและแผนกูคืนระบบอยางนอยปละ 1ครั้ง พรอมทั้งบันทึกผลการทดสอบรวมถึงปญหาที่พบ และนาํ เสนอผลการทดสอบและแนวทางแกไขตอผูบังคับบัญชา
16.6 ผูดูแลระบบตองจัดประชุมและชี้แจงใหผูที่เกี่ยวของท้ังหมดไดรับทราบเกี่ยวกับแผนบริหารความตอเนื่อง ทางธุรกจิและแผนกูคืน และผลของการฝกซอมการกูคืนระบบและผลการทดสอบแผนบริหารความตอเนื่อง ทางธุรกจิ
38
สว นที่14
การถายโอน และแลกเปลี่ยนขอมูลสารสนเทศ
วัตถุประสงค
▪ เพื่อใหมีการควบคุมการถายโอนและแลกเปลี่ยนขอมูลสารสนเทศ ปองกันการรั่วไหล หรือมีการแกไขขอมูลโดยที่ ไมไดรับอนุญาต รวมถึงการปองกันสื่อบันทึกขอมูลใหมีความปลอดภัยเปนไปตามขอกําหนด ผูรบั ผดิชอบ
▪ ผูบังคับบัญชา
▪ เจาของขอมูล
▪ ผูดูแลระบบ
อางอิงมาตรฐาน: ISO/IEC 27001:2022
▪ มาตรการควบคุมดานองคกร (Organizational Controls)
▪ มาตรการควบคุมดานเทคโนโลยี (Technological Controls)
แนวปฏิบัติ
- ผูบังคับบัญชา ตองควบคุมใหมีการจัดทํานโยบาย และขั้นตอนการปฏิบัติเพื่อปองกันขอมูลสารสนเทศที่มีการสื่อสาร หรือแลกเปลี่ยนผา นระบบสารสนเทศใหเหมาะสมตามระดับชั้นความลับขอมูลสารสนเทศ ตามขั้นตอนที่ รฟม. กําหนด
- ผูบังคับบัญชา และเจาของขอมูล ตองควบคุมใหมีการจัดทําขอตกลงในการแลกเปลี่ยนขอมูลสารสนเทศระหวาง องคกรกับบุคคลหรือหนวยงานภายนอก
- ผูดูแลระบบตองแลกเปลี่ยนขอมูลสารสนเทศตองแลกเปลี่ยนผานชองทางที่ปลอดภัย เชน Web Service ท่ใีชงานผานโปรโตคอล HTTPS
- ผูดูแลระบบตองปดบังขอมูล (Data Masking) ท้ังขอมูลสวนบุคคลและขอมูลออนไหวขององคกร (Sensitive Data) ที่มีการถายโอนหรือแลกเปล่ียนขอมูล
- ผูดูแลระบบ ตองมีการปองกันขอมูลสารสนเทศที่มีการสื่อสารกันผานขอมูลอิเล็กทรอนิกส (Electronic Messaging) เชน จดหมายอิเล็กทรอนิกส (Email) หรือ Instant Messaging ดวยวิธีการหรือมาตรการท่เีหมาะสม 6. ผูดูแลระบบ ตองปองกันขอมูลสารสนเทศที่มีการแลกเปล่ียนในการทําพาณิชยอิเล็กทรอนิกส(Electronic Commerce) ผานเครือขายคอมพิวเตอรสาธารณะ เพื่อมิใหมีการฉอโกง ละเมิดสัญญา หรือมีการรั่วไหล หรือขอมูลสารสนเทศถูกแกไขโดยมิไดรับอนุญาต
- ผูดูแลระบบ ตองปองกันขอมูลสารสนเทศที่มีการสื่อสาร หรือแลกเปลี่ยนในการทําธุรกรรมทางออนไลน (Online Transaction) เพื่อมิใหมีการรับสงขอมูลท่ีไมสมบูรณสงขอมูลไปผิดที่ การร่ัวไหลของขอมูล ขอมูลถูกแกไขเปลี่ยนแปลง ถกู ทาํซ้ําใหม หรอืถูกสงซํ้าโดยมิไดรับอนุญาต
- ผูดูแลระบบ ตองควบคุมการรับสงขอมูลสารสนเทศเพื่อปองกันความผิดพลาด ดังนี้
8.1 ความไมสมบูรณของขอมูลสารสนเทศที่รบั-สง
8.2 การสงขอมูลสารสนเทศผดิจุดหมายปลายทาง
8.3 การเปลี่ยนแปลงขอมูลสารสนเทศโดยไมไดรับอนุญาต
8.4 การเปดเผยขอมูลสารสนเทศโดยไมไดรับอนญุ าต
8.5 การเขาถึงขอมูลสารสนเทศโดยไมไดรับอนุญาต
8.6 การนําขอมูลสารสนเทศกลบั มาใชใหมโดยไมไดรับอนุญาต - เจาของขอมูล และผูดูแลระบบ ตองมีการปองกันขอมลูสารสนเทศที่มีการเผยแพรตอสาธารณชน มใิหมีการแกไขเปลี่ยนแปลงโดยมไิดรับอนุญาต เพ่อรักษาความถูกตองครบถวนของขอมูลสารสนเทศ ื
39
สว นที่15
การควบคุมการเขารหัส
วัตถุประสงค
▪ เพ่ือใหมีการเขารหัสขอ มูลอยางเหมาะสมและมีประสิทธผิลในการปกปองความลับ ปองกัน การปลอมแปลงขอมูลและควบคุมความถูกตองของขอมูล
ผูรบั ผดิชอบ
▪ ผูดูแลระบบ
▪ เจาของขอมูล
▪ ผูใชงาน
อางอิงมาตรฐาน: ISO/IEC 27001:2022
▪ มาตรการควบคุมดานเทคโนโลยี (Technological Controls)
แนวปฏิบัติ - เจาของขอมูล ตองเขารหัส หรือการใสร หสัผานขอมูลอเิล็กทรอนิกสข ององคกรตามระดับชั้นความลบั เพื่อปองกันผูไมมสีิทธิ์เขาถึง ตามระเบียบวาดวยการรักษาความลับของทางราชการ พ.ศ. 2544 และตามขั้นตอนที่ รฟม. กาํ หนด2. เจาของขอมูล ผูดูแลระบบ และผูใชงานตองปฏิบัติตามระเบียบวาดวยการรักษาความลับของทางราชการ พ.ศ. 2544ในการนําการเขารหัสมาใชกับขอมูลท่เีปนความลับจะตองใชวิธีการเขารหัส (Encryption) ที่เปนมาตรฐานสากล 3. ผูดูแลระบบ ตองใชวิธีการเขารหัส (Encryption) ที่เปนมาตรฐานสากล หลีกเลี่ยงการใชรูปแบบการเขารหัสที่พัฒนาขึ้นเอง เพื่อใหมั่นใจวาข้นัตอนวิธี(Algorithm) ที่ใชในการเขารหัสนั้นมีความมั่นคงปลอดภัย ดังนี้
ประเภทกุญแจ / วิธีการเขารหัส เกณฑขั้นต่ํา ความยาวกุญแจ (อยางนอย) กุญแจแบบสมมาตร (Symmetric) AES 256 bits กุญแจแบบอสมมาตร (Asymmetric) RSA 1024 bits
การ Hashing
BCrypt
Cost Factor 10ขึ้นไป
- ผูดูแลระบบ ตองมีการทบทวนขั้นตอนวิธี(Algorithm) และความยาวของกุญแจที่เขารหัสอยางนอยปละ 1 ครั้ง เพื่อใหยังสามารถรักษาไวซึ่งความมั่นคงปลอดภัย
- ผูดูแลระบบ ตองกําหนดใหมีการบริหารจัดการกุญแจที่ใชในการเขารหัส ดังนี้
5.1 การสรางกุญแจรหัสควรกระทําในสถานที่ที่มีมาตรการปองกันความปลอดภัย 5.2 เมื่อมีการสรางกุญแจรหัสที่เปนกุญแจลับ (Private key) ควรสงมอบใหกับเจาของกุญแจโดยตรง โดยวิธีการที่ปลอดภยั
5.3 ควรจัดใหมีการเก็บบันทึก Log เพื่อการตรวจสอบสําหรับกิจกรรมตาง ๆ ที่เกี่ยวของกับการจัดการกุญแจรหสั 6. ผูใชงาน ควรรักษาความปลอดภัยในการใชงานกุญแจ ดังนี้
6.1 เก็บกญุ แจรหสัในสถานที่ที่ปลอดภัย เชน ตนู ิรภยั หรือสื่อบันทึกที่ปลอดภัย และไมมีใครสามารถเขาถึงได 6.2 เมื่อมีการรับกุญแจสาธารณะ (Public Key) มาใช กอนใชงานจะตองพิสูจนความถูกตองของกุญแจสาธารณะ โดยสอบถามกับผูสงหรือตรวจสอบกับผูแทนในการรับรองความถูกตองของกุญแจสาธารณะ (Certificate Authority) ท่เีชื่อถือไดเทานั้น
6.3 ควบคุมการใชงานและจัดเก็บกุญแจใหสอดคลองกับการรักษาความลบัขอมูลตามที่ รฟม. กาํ หนด
40
สว นที่16
การนําอุปกรณสวนตัวมาใชงาน (Bring your own device)
วัตถุประสงค
▪ เพื่อควบคุมการนําอุปกรณสวนตัวมาเชื่อมตอหรือเขาถึงระบบสารสนเทศของ รฟม. ท่ีใชในการบริหารจัดการระบบสารสนเทศของ รฟม. หรือปฏิบัติงานให รฟม. ทั้งนี้เพื่อปองกันภัยคุกคามที่อาจจะเกิดขึ้นกับระบบสารสนเทศของ รฟม. รวมถึงเพื่อปองกันไมใหขอมูลของ รฟม. เกิดการรั่วไหล
ผูรบั ผดิชอบ
▪ ผูดูแลระบบ
▪ ผูใชงาน
อางอิงมาตรฐาน: ISO/IEC 27001:2022
▪ มาตรการควบคุมดานบุคลากร (People Controls)
▪ มาตรการควบคุมดานเทคโนโลยี(Technological Controls)
แนวปฏิบัติ - ผูดูแลระบบตองกําหนดคุณสมบัติของระบบปฏิบัติการของอุปกรณสวนตัวที่อนุญาตใหนํามาเชื่อมตอหรือเขาถึง ระบบงานสารสนเทศของ รฟม. ไดโดยตองเปนระบบปฏิบัติการที่ไมลาสมัย ( Obsolete Operating System) และยังไดรับการสนับสนุนการใชงานจากเจาของผลติภัณฑ
- ผูดูแลระบบตองตัดการเชื่อมตอหากระบบปฏิบัติการของอุปกรณสวนตัวที่อนุญาตใหนํามาเชื่อมตอหรือเขาถึง ระบบงานสารสนเทศของ รฟม. เกิดการลาสมัย (Obsolete Operating System) หรือเจาของผลิตภัณฑ ไมสนับสนุนการใชงานแลว
- ผูดูแลระบบตองมีมาตรการปองกันมัลแวร และตรวจสอบการอัปเดต Patch เวอรชันของระบบปฏิบัติการท่ีเจาของผลิตภัณฑยังใหการสนับสนุนการใชงาน
- ผูดูแลระบบตองไมอนุญาตใหอุปกรณที่มีการปรับแตงการเขาถึงระบบปฏิบัติการ (Rooted/Jailbroken) มาเชื่อมตอหรือเขาถึงระบบสารสนเทศของ รฟม.
- ผูดูแลระบบตองแบงแยกเครือขายของอุปกรณส วนตัวที่นํามาเชื่อมตอหรือเขาถึงระบบสารสนเทศของ รฟม. 6. ผูดูแลระบบตองทบทวนเวอรชันของระบบปฏิบัติการที่อนุญาตใหนํามาเชื่อมตอกับระบบสารสนเทศของ รฟม. อยางนอยปละ2ครั้ง หากมีการเปลี่ยนแปลงเวอรชนัของระบบปฏิบัติการที่อนุญาตใหเขาถึงระบบสารสนเทศของรฟม. ผูดูและระบบตองแจงใหผูใชงานรับทราบลวงหนา 7 วัน กอนเร่มิบังคับใช
- ผูใชงานตองติดตั้งโปรแกรมปองกันมัลแวรตามเงื่อนไขที่ รฟม. กําหนด
- ผูใชงานตองไมนําอุปกรณสวนตัวที่ติดตั้งแอปพลิเคชันนอก Official Store มาเชื่อมตอหรือเขาถึงระบบงานสารสนเทศของ รฟม.
- ผูใชงานตองไมนําอุปกรณสวนตัวที่ติดตั้งโปรแกรมละเมิดลิขสิทธิ์มาเชื่อมตอหรือเขาถึงระบบงานสารสนเทศ ของ รฟม.
- ผูใชงานตองอัปเดต Patch ของระบบปฏิบัติการที่อุปกรณสวนตัวใหเปนเวอรชันลาสุดรวมถงึตองเปนระบบปฏิบัติการที่เจาของผลิตภัณฑยังใหการสนับสนุนการใชงาน
- ผูใชงานตองยนืยนัตวัตนกอนเขาถึงระบบสารสนเทศของ รฟม. ทุกครั้ง
- ผูใชงานตองติดตั้ง Network Access Control agent (NAC agent) หรือ Mobile Device Management Agent (MDM Agent) ตามที่ รฟม. กําหนด เพื่อควบคุมการใชงานเครือขายและการเขาถึงระบบสารสนเทศของ รฟม. 13. กรณีอุปกรณสวนตัวสูญหายหรือถูกขโมยผูใชงานตองแจงผูดูแลระบบโดยเร็วที่สุด เพื่อจัดการขอมูลที่จัดเก็บอยู ในอปุ กรณสวนตัวของผูใชงาน
- ผูใชงานตองเขาถึงระบบสารสนเทศของ รฟม. ผานชองทางท่ีรฟม. กําหนด เชน VPN
41
สว นที่17
การใชบริการ Cloud (Cloud Services)
วัตถุประสงค
▪ เพื่อควบคุมการเลือกใชงาน การบริหารจัดการ และการยกเลกิการใชบริการ Cloud อยางปลอดภัย ผูรบั ผดิชอบ
▪ ผูบังคับบัญชา
▪ ผูดูแลระบบ
▪ เจาของระบบ/เจาของขอมูล
อางอิงมาตรฐาน: ISO/IEC 27001:2022
▪ มาตรการควบคุมดานองคกร (Organizational Controls)
แนวปฏิบัติ - ผูบังคับบัญชาตองควบคุม กํากับ ดูแล ใหการใชงานบริการ Cloud สอดคลองตามที่กฎหมาย นโยบาย ระเบียบ หรือขอบังคับท่ภีาครฐักําหนด
- ผูดูแลระบบตองวิเคราะหความเสี่ยงกอนเลือกบริการ Cloud มาใชงานภายในองคกร 3. ผูดูแลระบบตองเลือกใชบริการ Cloud ตามที่กฎหมาย นโยบาย ระเบียบ หรือขอบังคับท่ภาครัฐกําหนด ี 4. ผูดูแลระบบตองเลือกผูใหบ ริการ Cloud (Cloud Service Provider) ที่เหมาะสมกับการดาํ เนินงานองคกร 5. ผูดูแลระบบตองพิจารณาขอกําหนดหรือเง่ือนไขของผูใหบริการ Cloud (Cloud Service Provider) ใหชัดเจนกอ นตัดสินใจเลือกใชบริการ
- ผูดูแลระบบตองเลือกใชบริการ Cloud ท่เีหมาะสมกบัการดําเนินงานขององคกร
- ผูดูแลระบบตองเลือกใชบริการ Cloud ท่ีมีการรักษาความปลอดภัย การบริหารจัดการความตอเนื่องทางธุรกิจและการจัดใหมีระบบฉุกเฉินสํารองตามมาตรฐานสากล เชน ISO, NIST หรือ CSA STAR
- ผูดูแลระบบตองเลือกใชบริการ Cloud ที่มีความพรอมใชงานของบริการครอบคลุมรอยละของเวลาที่พรอมใหบริการตอป (Uptime) อยางนอยรอยละ 99.00
- ผูดูแลระบบตองเลอืกใชบริการ Cloud ที่มีการรักษาความมั่นคงปลอดภัยของขอมูลสวนบุคคลตาม พ.ร.บ. คุมครอง ขอมูลสวนบุคคล พ.ศ. 2562 หรือกฎหมายคุมครองขอมูลสวนบุคคลของสหภาพยุโรป (General Data Protection Regulation: GDPR) หรือเทียบเทา
- ผูดูแลระบบ และเจาของระบบ/เจาของขอมูลตองพิจารณาขอมูลสารสนเทศที่จะนําไปใชงานบนระบบ Cloudใหสอดคลองตามที่กฎหมาย นโยบาย ระเบียบ หรือขอบังคับที่ภาครัฐกําหนด
- ผูดูแลระบบตองติดตาม ทบทวน และประเมินผลการใชบริการ Cloud อยา งนอยปละ 1 ครั้ง