จ้างทำของ/จ้างเหมาบริการระหว่างดำเนินการ

ประกวดราคาจ้างปรับปรุงระบบแจ้งปัญหาการใช้งานระบบสารสนเทศ (Help Desk)

การรถไฟฟ้าขนส่งมวลชนแห่งประเทศไทย 69069172573
฿4,400,000 ปีงบ 2569 ประกาศ 15 มิ.ย. 2569 กรุงเทพมหานคร
รายละเอียดการจ้าง

การรถไฟฟ้าขนส่งมวลชนแห่งประเทศไทย (รฟม.) มีความประสงค์จะดำเนินการโครงการจ้างปรับปรุงระบบแจ้งปัญหาการใช้งานระบบสารสนเทศ (Help Desk) เพื่อเพิ่มประสิทธิภาพการให้บริการด้านเทคโนโลยีสารสนเทศให้เป็นระบบ มาตรฐาน และสามารถตอบสนองความต้องการของผู้ใช้งานได้อย่างมีประสิทธิภาพและต่อเนื่อง วัตถุประสงค์หลักของโครงการคือ เพื่อเพิ่มประสิทธิภาพการให้บริการด้านเทคโนโลยีสารสนเทศ, เพื่อให้มีเครื่องมือสำหรับรับแจ้งเหตุการณ์ผิดปกติ (Incident) และการร้องขอบริการ (Service Request) ด้านเทคโนโลยีสารสนเทศอย่างเป็นระบบ, เพื่อให้สามารถบริหารจัดการเหตุการณ์ผิดปกติ (Incident), การร้องขอบริการ (Service Request) และการแก้ไขปัญหา (Problem Management) ได้อย่างเป็นระบบ, และเพื่อให้สามารถติดตาม ตรวจสอบ และประเมินผลการให้บริการด้านเทคโนโลยีสารสนเทศได้ โครงการนี้จะครอบคลุมถึงการจัดหาระบบซอฟต์แวร์ที่ทำงานบน Cloud พร้อม License ที่จำเป็น, การตั้งค่าระบบให้สามารถทำงานร่วมกับระบบ Azure Active Directory ของ รฟม., การออกแบบและจัดทำ Service Catalog และ Service Level Agreement (SLA), การฝึกอบรมเจ้าหน้าที่, และการบำรุงรักษาระบบเป็นระยะเวลา 365 วันหลังการตรวจรับงานงวดสุดท้าย

English summary

The Mass Rapid Transit Authority of Thailand (MRTA) intends to procure services for the improvement of its Information System Incident Reporting System (Help Desk). The project aims to enhance the efficiency of IT services by upgrading the Help Desk system, establishing a systematic center for receiving Incidents and Service Requests, and enabling systematic management of problems (Problem Management) and service performance evaluation in line with Service Level Agreements (SLA) to improve user satisfaction. The project scope includes the procurement of cloud-based software with necessary licenses, system configuration for integration with MRTA’s Azure Active Directory, design and implementation of a Service Catalog and SLA, staff training, and system maintenance for 365 days post-final acceptance.

สถานที่ดำเนินการ

สำนักงานใหญ่ของการรถไฟฟ้าขนส่งมวลชนแห่งประเทศไทย

ข้อมูลเชิงลึกของโครงการ

AI วิเคราะห์

เป้าหมายโครงการ

  • เพื่อเพิ่มประสิทธิภาพการให้บริ การด้านเทคโนโลยีสารสนเทศ
  • เพื่อให้มีเครื่องมือสำหรับรับแจ้งเหตุการณ์ผิดปกติ (Incident) และการร้องขอบริการ (Service Request) ด้านเทคโนโลยีสารสนเทศอย่างเป็นระบบ
  • เพื่อให้สามารถบริหารจัดการเหตุการณ์ผิดปกติ (Incident) การร้องขอบริการ (Service Request) และการแก้ไขปัญหา (Problem Management) ได้อย่างเป็นระบบ
  • เพื่อให้สามารถติดตาม ตรวจสอบ และประเมินผลการให้บริการด้านเทคโนโลยีสารสนเทศได้

ขอบเขตของงาน

  • การประชุมเริ่มงาน (Kickoff Meeting) และนำเสนอแผนการดำเนินงาน
  • การเสนอเจ้าหน้าที่ผู้เชี่ยวชาญด้าน IT Service Management (ITSM) พร้อมใบรับรอง ITIL 4 Foundation Certification หรือสูงกว่า
  • การศึกษากระบวนการทำงานปัจจุบันเพื่อออกแบบกระบวนการทำงานที่เหมาะสม
  • การออกแบบและจัดทำ Service Catalog และ Service Level Agreement (SLA)
  • การจัดส่งเอกสารรับรองตามมาตรฐานหรือกฎหมายด้านความมั่นคงปลอดภัยสารสนเทศ, การตรวจสอบระบบรักษาความปลอดภัยข้อมูล, การบริการเทคโนโลยีสารสนเทศ, และการคุ้มครองข้อมูลส่วนบุคคล
  • การจัดหาและกำหนดค่าของระบบ Help Desk ที่เสนอให้มีความปลอดภัยและใช้งานร่วมกับระบบสารสนเทศของ รฟม. ได้อย่างมีประสิทธิภาพ
  • การตั้งค่าระบบให้ทำงานร่วมกับ Azure Active Directory ของ รฟม. และสามารถยืนยันตัวตนได้
  • การตั้งค่าให้ใช้ SSL Certificate ของ รฟม.
  • การกำหนดค่า Service Catalog และ SLA บนระบบ Help Desk
  • การสำรองข้อมูลและค่า Configuration
  • การจัดหาจอภาพขนาดไม่น้อยกว่า 50 นิ้ว เพื่อแสดงสถานะของ Ticket
  • การกำหนดสิทธิ์การเข้าถึงระบบที่แตกต่างกันในแต่ละระดับ (Role Matrix)
  • การวิเคราะห์และปิดช่องโหว่ (Hardening) ของระบบ Help Desk
  • การพัฒนา Chatbot หรือ AI Agent บน Line Official Account ของ รฟม.
  • การย้ายหรือนำเข้าข้อมูล Ticket และการแจ้งเตือนช่องโหว่จากระบบ Help Desk เดิม
  • การนำเข้าข้อมูล IT Asset, Configuration Item (CI), รายชื่อคู่สัญญา/ผู้รับจ้าง, และ Knowledge Base (KEDB)
  • การส่งมอบเอกสารแสดงสิทธิ์การใช้งานซอฟต์แวร์ที่ถูกต้องตามกฎหมาย
  • การจัดทำรายงานภาพรวมการเชื่อมโยงของแต่ละกระบวนงาน (Business Architecture) และรายงานข้อมูล (Data Architecture)
  • การจัดส่งรายงานผลการดำเนินงานและเอกสารที่เกี่ยวข้องในรูปแบบไฟล์ดิจิทัลบน External Hard Disk
  • การจัดฝึกอบรม/สัมมนาให้แก่เจ้าหน้าที่ รฟม. จำนวน 3 หลักสูตร
  • การจัดหาเจ้าหน้าที่ประจำที่สำนักงานใหญ่ของ รฟม. ตลอดอายุสัญญา จำนวน 1 คน

สิ่งที่ต้องส่งมอบ

  • แผนการดำเนินงาน
  • เอกสารรับรองคุณวุฒิ ITIL 4 Foundation Certification หรือสูงกว่า
  • เอกสารรับรองตามมาตรฐานหรือกฎหมายด้านความมั่นคงปลอดภัยสารสนเทศ, การตรวจสอบระบบรักษาความปลอดภัยข้อมูล, การบริการเทคโนโลยีสารสนเทศ, และการคุ้มครองข้อมูลส่วนบุคคล
  • Service Catalog
  • Service Level Agreement (SLA)
  • การตั้งค่าระบบ Help Desk ที่สมบูรณ์
  • Chatbot หรือ AI Agent บน Line Official Account
  • ข้อมูล IT Asset, CI, รายชื่อคู่สัญญา/ผู้รับจ้าง, และ KEDB ที่นำเข้าสู่ระบบ
  • เอกสารแสดงสิทธิ์การใช้งานซอฟต์แวร์
  • รายงาน Business Architecture
  • รายงาน Data Architecture
  • รายงานผลการดำเนินงานและเอกสารที่เกี่ยวข้องในรูปแบบไฟล์ดิจิทัลบน External Hard Disk
  • เอกสารประกอบการฝึกอบรม
  • รายงานการปฏิบัติงานประจำเดือนของเจ้าหน้าที่

ระยะเวลาดำเนินการ

180 วัน นับถัดจากวันที่ลงนามในสัญญา

คุณสมบัติผู้เสนอราคา

  • Eligibility Requirements:
    • มีความสามารถตามกฎหมาย
    • ไม่เป็นบุคคลล้มละลาย
    • ไม่เป็นบุคคลที่อยู่ระหว่างเลิกกิจการ
    • ไม่เป็นบุคคลซึ่งอยู่ระหว่างถูกระงับการยื่นข้อเสนอหรือทำสัญญากับหน่วยงานของรัฐ
    • ไม่เป็นบุคคลซึ่งถูกระบุชื่อไว้ในบัญชีรายชื่อผู้ทิ้งงาน
    • มีคุณสมบัติและไม่เป็นลักษณะต้องห้ามตามที่คณะกรรมการนโยบายการจัดซื้อจัดจ้างฯ กำหนด
    • เป็นนิติบุคคลผู้มีอาชีพรับจ้างหรือจำหน่ายพัสดุในงานที่เกี่ยวข้อง
    • ไม่เป็นผู้มีผลประโยชน์ร่วมกันกับผู้ยื่นข้อเสนอรายอื่น
    • ไม่เป็นผู้ได้รับเอกสิทธิ์หรือความคุ้มกัน
    • ผู้ยื่นข้อเสนอที่ยื่นข้อเสนอในรูปแบบ “กิจการร่วมค้า” ต้องมีคุณสมบัติตามหนังสือคณะกรรมการวินิจฉัยปัญหากรมบัญชีกลาง
    • ต้องลงทะเบียนในระบบจัดซื้อจัดจ้างภาครัฐด้วยอิเล็กทรอนิกส์ (e-GP)
    • ต้องมีมูลค่าสุทธิของกิจการเป็นไปตามเงื่อนไขที่กำหนด
    • กรณีเป็นผู้ประกอบการ SMEs ต้องมีคุณสมบัติตามคู่มือฯ
    • ต้องมีหนังสือรับรองการเป็นตัวแทนจำหน่ายผลิตภัณฑ์ที่เสนอจากบริษัทผู้ผลิต หรือบริษัทสาขา (กรณีเป็นหนังสือจากตัวแทนจำหน่ายในไทย ต้องแนบสำเนาเอกสารแต่งตั้ง)
    • เอกสารต้องมีอายุไม่เกิน 90 วัน นับจากวันที่ออกจนถึงวันที่ยื่นข้อเสนอ
  • Standards Compliance:
    • ด้านความมั่นคงปลอดภัยสารสนเทศ: ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018
    • ด้านการตรวจสอบระบบรักษาความปลอดภัยข้อมูล: SOC 2 Type II
    • ด้านการบริการเทคโนโลยีสารสนเทศ: ISO/IEC 20000
    • ด้านการคุ้มครองข้อมูลส่วนบุคคล: GDPR หรือ PDPA
  • Experience:
    • มีอาชีพรับจ้างหรือจำหน่ายพัสดุในงานที่เกี่ยวข้องกับการประกวดราคาครั้งนี้ (โดยนัย)
    • (ไม่ได้ระบุประสบการณ์เฉพาะเจาะจง เช่น จำนวนปี หรือประเภทโครงการที่เคยทำ)
  • Previous Project Cost:
    • (ไม่ได้ระบุ)
  • Technical Capabilities:
    • ซอฟต์แวร์ที่เสนอต้องทำงานบน Cloud
    • มีความสามารถในการบันทึก Incident, Service Request, Change Request, Problem Management
    • มีความสามารถในการส่ง Email แจ้งเตือน, แจ้งเตือนผู้อำนาจอนุมัติ, ส่งแบบประเมินความพึงพอใจ
    • มีความสามารถในการทำ Template สำหรับ Incident, Service Request, Change Request, Problem Management
    • มีความสามารถในการ Sync รายชื่อและยืนยันตัวตนกับ Azure Active Directory
    • สามารถเปิด Ticket อัตโนมัติผ่าน Line Official Account และ Email
    • มีความสามารถในการบริหารจัดการโครงการ (Project Management) และ IT Asset, Configuration Item (CI)
    • มีความสามารถในการรวบรวมและจัดเก็บ Knowledge Base
    • มีความสามารถในการกำหนด SLA และ Service Catalog
    • มีความสามารถในการ Remote Desktop
    • มีระบบบันทึก Log (History Role-based access control, Transaction Log, System Status Log)
    • สามารถใช้งานระบบในรูปแบบ Mobile Application
    • สามารถจัดทำรายงาน (Report) และ Export ในรูปแบบ CSV และ PDF
    • มีระบบปัญญาประดิษฐ์ (AI) สำหรับให้คำแนะนำ, สืบค้น, จัดทำ Knowledge Base, และวิเคราะห์แนวโน้ม
  • Personnel:
    • เจ้าหน้าที่ประจำสัญญาต้องมีวุฒิการศึกษาไม่ต่ำกว่าระดับปริญญาตรี
    • เจ้าหน้าที่ต้องมีความรู้ความชำนาญด้านการจัดการบริการเทคโนโลยีสารสนเทศ (ITSM) และมีใบรับรองคุณวุฒิ ITIL 4 Foundation Certification หรือดีกว่า (อายุไม่เกิน 2 ปี)
    • เจ้าหน้าที่ต้องไม่มีประวัติอาชญากรรม (ยกเว้นความผิดโดยประมาทหรือลหุโทษ)
    • เจ้าหน้าที่ต้องมีทักษะในการให้บริการ, การสื่อสาร, มนุษยสัมพันธ์ที่ดี, กระตือรือร้น และพร้อมเรียนรู้อยู่เสมอ
    • เจ้าหน้าที่ต้องมีอุปกรณ์และซอฟต์แวร์สำหรับปฏิบัติงาน (คอมพิวเตอร์, ซอฟต์แวร์ที่จำเป็น, โทรศัพท์ตั้งโต๊ะ, โทรศัพท์เคลื่อนที่พร้อมค่าบริการ)

เกณฑ์การพิจารณา

หลักเกณฑ์ราคา

ข้อกำหนดทางเทคนิค

  • ซอฟต์แวร์ที่เสนอต้องทำงานบน Cloud
  • จำนวนสิทธิ์การใช้งาน: Technician ไม่น้อยกว่า 33 License, IT Asset ไม่น้อยกว่า 1,200 License
  • ความสามารถในการบันทึก Incident, Service Request, Change Request, Problem Management
  • ความสามารถในการส่ง Email แจ้งเตือน, แจ้งเตือนผู้อำนาจอนุมัติ, ส่งแบบประเมินความพึงพอใจ
  • ความสามารถในการทำ Template สำหรับ Incident, Service Request, Change Request, Problem Management
  • ความสามารถในการ Sync รายชื่อและยืนยันตัวตนกับ Azure Active Directory ของ รฟม.
  • ความสามารถในการเปิด Ticket อัตโนมัติผ่าน Line Official Account และ Email (Microsoft Exchange 365)
  • ความสามารถในการบริหารจัดการโครงการ (Project Management) และ IT Asset, Configuration Item (CI)
  • ความสามารถในการรวบรวมและจัดเก็บ Knowledge Base
  • ความสามารถในการกำหนด SLA และ Service Catalog
  • ความสามารถในการ Remote Desktop
  • ระบบบันทึก Log (History Role-based access control, Transaction Log, System Status Log)
  • ความสามารถในการใช้งานระบบในรูปแบบ Mobile Application
  • ความสามารถในการจัดทำรายงาน (Report) และ Export ในรูปแบบ CSV และ PDF
  • ระบบปัญญาประดิษฐ์ (AI) สำหรับให้คำแนะนำ, สืบค้น, จัดทำ Knowledge Base, และวิเคราะห์แนวโน้ม
  • การรับรองมาตรฐาน ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018, SOC 2 Type II, ISO/IEC 20000, GDPR หรือ PDPA
  • การเข้ารหัสข้อมูล (Data Masking)
  • การเชื่อมต่อกับระบบ Azure Active Directory
  • การรองรับการทำงานร่วมกับระบบสารสนเทศของ รฟม.
  • การรักษาความมั่นคงปลอดภัยตามมาตรฐาน OWASP Top 10, OWASP API Security Top 10, CWE Top 25

เงื่อนไขสัญญา

  • การแบ่งงวดงานและการจ่ายเงิน: แบ่งออกเป็น 3 งวด
    • งวดที่ 1: ร้อยละ 10 ของมูลค่าสัญญา (เมื่อดำเนินการตามขอบเขตงานงวดที่ 1 เรียบร้อย)
    • งวดที่ 2: ร้อยละ 60 ของมูลค่าสัญญา (เมื่อดำเนินการตามขอบเขตงานงวดที่ 2 เรียบร้อย)
    • งวดที่ 3 (งวดสุดท้าย): ร้อยละ 30 ของมูลค่าสัญญา (เมื่อดำเนินการตามขอบเขตงานงวดที่ 3 เรียบร้อย)
  • การบำรุงรักษา (Preventive Maintenance): 365 วัน นับถัดจากวันที่ตรวจรับงานงวดสุดท้าย
  • การรับประกันความชำรุดบกพร่อง: ตลอดอายุสัญญา
    • การแก้ไขความชำรุดบกพร่องภายใน 2 ชั่วโมง และซ่อมแซมให้ใช้งานได้ภายใน 24 ชั่วโมง (On-Site Service 24/7)
    • คุณภาพการให้บริการ (SLA) ไม่ต่ำกว่าร้อยละ 96.5 ต่อเดือน
  • อัตราค่าปรับ:
    • กรณีส่งมอบล่าช้า หรือคุณสมบัติไม่ถูกต้อง: ปรับร้อยละ 0.10 ของมูลค่าตามสัญญาต่อวัน
    • กรณีเจ้าหน้าที่ปฏิบัติงานไม่ครบชั่วโมง: ปรับ 125 บาทต่อชั่วโมง
    • กรณีเจ้าหน้าที่ไม่มาปฏิบัติงาน: ปรับ 1,000 บาทต่อวัน
    • กรณีไม่ดำเนินการบำรุงรักษา: ปรับร้อยละ 0.01 ของมูลค่าตามสัญญาต่อครั้ง
    • กรณีไม่สามารถให้บริการตาม SLA: ปรับร้อยละ 0.10 ของมูลค่าตามสัญญาต่อชั่วโมง
  • การรักษาความมั่นคงปลอดภัย:
    • ห้ามเปิดเผยข้อมูลที่เป็นความลับ
    • ผู้ปฏิบัติงานต้องลงนามในสัญญาไม่เปิดเผยความลับ (NDA)
    • เข้าร่วมการฝึกอบรมด้านความมั่นคงปลอดภัยสารสนเทศ
    • พัฒนาและออกแบบระบบตามมาตรฐาน Open Web Application Security Project (OWASP) Top 10, OWASP API Security Top 10, CWE Top 25
    • ตรวจสอบความมั่นคงปลอดภัยของ Source Code (Source Code Review)
    • ควบคุมเวอร์ชัน (Version Control) ของระบบฯ และ Source Code
    • เลือกใช้ซอฟต์แวร์, เครื่องมือ, หรือภาษาที่ใช้ในการพัฒนาระบบเป็นเวอร์ชัน Long Term Support (LTS) หรือเวอร์ชันล่าสุด
    • ปิดบังข้อมูลส่วนบุคคลและข้อมูลอ่อนไหวด้วย Data Masking และเข้ารหัสข้อมูล (Encryption)
  • กรรมสิทธิ์ซอฟต์แวร์: ซอฟต์แวร์ (Source code), รายงาน, หรือเอกสารที่พัฒนาขึ้นตกเป็นกรรมสิทธิ์และลิขสิทธิ์ของ รฟม. ทั้งหมด

คำถามที่พบบ่อย (FAQ)

  • Q: ระบบ Help Desk ที่เสนอต้องเป็นซอฟต์แวร์ประเภทใด?
    • A: ซอฟต์แวร์ที่เสนอต้องเป็นซอฟต์แวร์ที่ทำงานบน Cloud
    • Q: รฟม. ต้องการ License สำหรับผู้ใช้งานกี่ประเภทและจำนวนเท่าใด?
    • A: ต้องการ License สำหรับเจ้าหน้าที่ (Technician) ไม่น้อยกว่า 33 License และสำหรับทรัพยากร (IT Asset) ไม่น้อยกว่า 1,200 License
    • Q: ระบบ Help Desk ต้องสามารถเชื่อมต่อกับระบบใดของ รฟม. ได้บ้าง?
    • A: ระบบต้องสามารถ Sync รายชื่อและยืนยันตัวตนกับระบบ Azure Active Directory ของ รฟม. ได้
    • Q: มีข้อกำหนดด้านมาตรฐานความปลอดภัยสำหรับซอฟต์แวร์ที่เสนอหรือไม่?
    • A: ใช่ ซอฟต์แวร์ต้องมีเอกสารรับรองตามมาตรฐานด้านความมั่นคงปลอดภัยสารสนเทศ เช่น ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018 และมาตรฐานด้านการบริการเทคโนโลยีสารสนเทศ เช่น ISO/IEC 20000
    • Q: มีข้อกำหนดเกี่ยวกับเจ้าหน้าที่ที่ต้องประจำสัญญาหรือไม่?
    • A: มี เจ้าหน้าที่ประจำสัญญาต้องมีวุฒิการศึกษาไม่ต่ำกว่าปริญญาตรี มีความรู้ความชำนาญด้าน ITSM และมีใบรับรอง ITIL 4 Foundation Certification หรือสูงกว่า
    • Q: ระยะเวลาการบำรุงรักษาระบบหลังจากตรวจรับงานงวดสุดท้ายนานเท่าใด?
    • A: เป็นระยะเวลา 365 วัน นับถัดจากวันที่คณะกรรมการตรวจรับพัสดุได้ตรวจรับงานงวดที่ 3 (งวดสุดท้าย) เรียบร้อยแล้ว
    • Q: การประเมินผลการคัดเลือกข้อเสนอจะพิจารณาจากเกณฑ์ใด?
    • A: พิจารณาตัดสินโดยใช้เกณฑ์ราคา
    • Q: วงเงินงบประมาณสำหรับโครงการนี้เท่าใด?
    • A: วงเงินงบประมาณจำนวน 4,400,000 บาท (สี่ล้านสี่แสนบาทถ้วน) รวมภาษีมูลค่าเพิ่มแล้ว
    • Q: การจ่ายเงินค่าจ้างจะแบ่งออกเป็นกี่งวด?
    • A: แบ่งออกเป็น 3 งวด โดยมีสัดส่วนการจ่ายเงินแตกต่างกันไปตามความคืบหน้าของงาน
    • Q: มีข้อกำหนดพิเศษเกี่ยวกับการพัฒนา Chatbot หรือ AI Agent หรือไม่?
    • A: ผู้รับจ้างต้องพัฒนา Chatbot หรือ AI Agent บน Line Official Account ของ รฟม. เพื่อช่วยตอบข้อซักถามจากผู้ใช้บริการแบบอัตโนมัติ

เอกสารขอบเขตงาน (TOR) ฉบับเต็ม

ขอบเขตของงานจางปรับปรุงระบบแจงปญหาการใชงานระบบสารสนเทศ (Help Desk)

  1. ความเปนมา
    ปจจุบันเทคโนโลยีดิจิทัลมีบทบาทสำคัญในการสนับสนุนการดำเนินงานของ รฟม. ทั้งในดานการบริหาร จัดการภายในองคกรและการใหบริการตอประชาชน ซึ่งการใหบริการสนับสนุนดานเทคโนโลยีสารสนเทศ จำเปนตองมีการพัฒนาและยกระดับใหมีความเปนระบบ มมีาตรฐาน และสามารถตอบสนองตอความตองการของ ผูใชงานไดอยางมีประสิทธิภาพและตอเนื่อง รฟม. จึงมีความประสงคในการดำเนินโครงการจางปรับปรุงระบบแจง ปญหาการใชงานระบบสารสนเทศ (Help Desk) โดยจัดใหมีศูนยรับแจงเหตุการณผิดปกติ (Incident) และการ รองขอการบริการ (Service Request) ที่มีการบริหารจัดการอยางชัดเจนและเปนระบบ สามารถรองรับการ บริหารจัดการเหตุการณผิดปกติ การแกไขปญหา (Problem Management) และการติดตาม ตรวจสอบ รวมถึง ประเมินผลการใหบริการไดอยางเปนระบบและมีประสิทธิภาพ เพื่อใหเกิดการบริการที่สอดคลองกับขอตกลงระดับการใหบริการ (Service Level Agreement: SLA) และเสริมสรางความพึงพอใจของผูใชบริการภายในองคกร
  2. วัตถุประสงค
    2.1 เพื่อเพิ่มประสิทธิภาพการใหบริการดานเทคโนโลยีสารสนเทศ
    2.2 เพื่อใหมีเครื่องมือสำหรับรับแจงเหตุการณผิดปกติ (Incident) และการรองขอการบริการ (Service Request) ดานเทคโนโลยีสารสนเทศอยางเปนระบบ
    2.3 เพื่อใหสามารถบริหารจัดการเหตุการณผิดปกติ (Incident) การรองขอการบริการ (Service Request) และการแกไขปญหา (Problem Management) ไดอยางเปนระบบ
    2.4 เพื่อใหสามารถติดตาม ตรวจสอบ และประเมินผลการใหบริการดานเทคโนโลยีสารสนเทศได
  3. คุณสมบัติของผูยื่นขอเสนอ
    3.1 มีความสามารถตามกฎหมาย
    3.2 ไมเ ปนบุคคลลมละลาย
    3.3 ไมอ ยูระหวางเลิกกิจการ
    3.4 ไมเปนบุคคลซึ่งอยูระหวางถูกระงับการยื่นขอเสนอหรือทำสัญญากับหนวยงานของรัฐไวชั่วคราว เนื่องจากเปนผูที่ไมผานเกณฑการประเมินผลการปฏิบัติงานของผูประกอบการตามระเบียบที่รัฐมนตรีวาการ กระทรวงการคลังกำหนดตามที่ประกาศเผยแพรในระบบเครือขา ยสารสนเทศของกรมบญั ชีกลาง
    3.5 ไมเปนบุคคลซึ่งถูกระบุชื่อไวในบัญชีรายช่ือผูทิ้งงานและไดแจงเวียนชื่อใหเปนผทู ิ้งงานของหนวยงานของรัฐ ในระบบเครือขายสารสนเทศของกรมบัญชีกลาง ซึ่งรวมถึงนิตบิุคคลที่ผูท้ิงงานเปนหุนสวน ผูจัดการ กรรมการผูจัดการ ผูบริหาร ผมู ีอำนาจในการดำเนินงานในกิจการของนิติบคุ คลนั้นดวย
    3.6 มีคุณสมบัติและไมมลีักษณะตองหามตามที่คณะกรรมการนโยบายการจัดซื้อจัดจางและการบริหารพัสดุ ภาครัฐกำหนดในราชกิจจานุเบกษา
    3.7 เปนนิติบุคคลผูมีอาชีพรับจางหรือจำหนายพัสดุในงานที่เก่ียวของกับการประกวดราคาดวยวิธีประกวดราคา อเิล็กทรอนิกสครั้งนี้ 
    3.8 ไมเปนผูมีผลประโยชนรวมกันกับผูยื่นขอเสนอรายอื่นที่เขายื่นขอเสนอใหแก รฟม. ณ วันประกาศ ประกวดราคาอิเล็กทรอนิกสหรอืไมเ ปนผูกระทำการอันเปนการขัดขวางการแขงขันอยา งเปนธรรมในการประกวดราคา อเิลก็ ทรอนิกสครั้งนี้
    3.9 ไมเปนผูไดรับเอกสิทธิ์หรือความคุมกัน ซึ่งอาจปฏิเสธไมยอมขึ้นศาลไทย เวนแตรัฐบาลของผูยื่นขอเสนอ ไดมีคำส่งัใหสละเอกสิทธิ์และความคุมกนัเชนวานั้น

/3.10 ผยู ื่นขอเสนอ…

  • 2 -
    3.10 ผูยื่นขอเสนอที่ยื่นขอเสนอในรูปแบบของ “กิจการรวมคา” ตองมีคุณสมบัติเปนไปตามหนังสือ 3.11 ผูยื่นขอเสนอตองลงทะเบียนในระบบจัดซื้อจัดจางภาครัฐดวยอิเล็กทรอนิกส (Electronic

1 มีนาคม 2566 เรื่อง แนวทางปฏิบัติในการเรงรัดการปฏิบัติงานตามสัญญาและการกำหนดคุณสมบัติของผูมีสิทธิ 3.13 กรณีผูยื่นขอเสนอเปนผูประกอบการวิสาหกิจขนาดกลางและขนาดยอม (SMEs) ผูยื่นขอเสนอตองมี
คณะกรรมการวินิจฉัยปญหาการจัดซื้อจัดจางและการบริหารพัสดุภาครัฐ กรมบัญชีกลาง ดวนที่สุด ที่ กค(กวจ) 0405.2/ว581 ลงวนั ที่ 7 ธันวาคม 2563 เรื่อง การพิจารณาคุณสมบัตขิองผูยื่นขอเสนอท่เีปนกิจการรว มคา

สนับสนุน (ฉบับที่ 2) พ.ศ. 2563 ตามหนังสือคณะกรรมการวินิจฉัยปญหาการจัดซื้อจัดจางและการบริหารพัสดุภาครัฐ
Government Procurement : e-GP) ของกรมบัญชกีลาง
3.12 ผูยื่นขอเสนอตองมีมูลคาสทุ ธิของกิจการเปนไปตามเงื่อนไขขอ 1.1 - 1.2ของหนังสือคณะกรรมการวินิจฉัย ปญหาการจัดซื้อจัดจางและการบริหารพัสดุภาครัฐ กรมบัญชีกลาง ดวนที่สุด ที่ กค (กวจ) 0405.2/ว124 ลงวันที่
ยื่นขอเสนอ
จึงจะไดรับการพิจารณาเปนผูประกอบการ SMEs ตามคูมือการปฏิบัติตามกฎกระทรวงกำหนดพัสดุ
คุณสมบัติตามคูมือการปฏิบัติตามกฎกระทรวงกำหนดพัสดุและวิธีการจัดซื้อจัดจางพัสดุที่รัฐตองการสงเสริมหรือ

กรมบัญชีกลาง ดวนที่สุด ที่กค (กวจ) 0405.2/ว78 ลงวนั ที่ 31 มกราคม 2565 เรื่อง แนวทางปฏิบัติการพิจารณา เพื่อมายื่นขอเสนอนี้ และหนังสือตองมีอายุไมเกิน 90 วัน นับจากวันที่ออกหนังสือจนถึงวันที่ยื่นขอเสนอนี้ ทั้งนี้
มูลคาสุทธิของกิจการสำหรับนิติบุคคลที่จัดตั้งข้ึนตามกฎหมายของตางประเทศและบุคคลธรรมดาท่ีมิไดถือสัญชาติไทย และในกรณีที่ผปู ระกอบการ SMEs ที่จะเสนอราคาในรูปแบบของ “กิจการรวมคา” ตองมีคณุ สมบัตดิงันี้ 1) ผูเขารว มคาทุกรายจะตองเปนผูประกอบการ SMEs
3.15 ในวันเสนอราคาหากผูยื่นขอเสนอยื่นเอกสารไมครบถวนตามที่ รฟม. กำหนด ถือวาผูยื่นขอเสนอ
2) ผูเขารวมคาทกุ รายจะตองเปนผูประกอบการที่เปนนิติบุคคลที่จัดตั้งขึ้นตามกฎหมายไทย
และวิธีการจัดซื้อจัดจางพัสดุที่รัฐตองการสงเสริมหรือสนบัสนุน (ฉบับที่ 2) พ.ศ. 2563 3.14 ผูยื่นขอเสนอตองมีหนังสือรับรองการเปนตวัแทนจำหนายผลิตภัณฑที่เสนอจากบริษัทผผูลติ หรอืบริษัทสาขา ของผูผลิตในตางประเทศ หรือบริษัทสาขาของผูผลิตในประเทศไทย หรือตัวแทนจำหนายในประเทศไทย โดยตองออกให
4.1 เปนซอฟตแวรท่ทีำงานบน Cloud ที่มีจำนวนสิทธิ์การใชงาน ดังนี้ 4.1.1 สำหรับเจาหนาที่ (Technician) จำนวนไมนอยกวา 33 License
หากเปนหนังสือจากตัวแทนจำหนายในประเทศไทยตองแนบสำเนาเอกสารแตงตั้งการเปนตัวแทนจำหนายจาก 4.1.2 สำหรับทรัพยสิน (IT Asset) จำนวนไมนอยกวา 1,200 License
ผูผลิตดวย
4.2 สามารถบันทึกเหตุการณผิดปกติ (Incident) ได
4.3 สามารถบันทึกคำขอบริการ (Service Request) ได
ขาดคุณสมบัติในการยื่นเสนอราคา
4.4 สามารถบันทึกการเปลี่ยนแปลง (Change Request) ได
4.5 สามารถบริหารจัดการปญหา (Problem Management ) ได
4. รายละเอียดคุณลักษณะเฉพาะของพสัดุ
ซอฟตแวรที่เสนอตองมีคุณลกัษณะเฉพาะอยางนอย ดังนี้
4.6 สามารถสง Email แจงเตือนเจาหนาที่ (Technician) เม่อืไดรับการ Assign Ticket ได 4.7 สามารถสง Email แจงเตือนผูมีอำนาจ (Approval) เพื่อพิจารณาอนุมัติได

4.8 สามารถสง Email แบบประเมินความพึงพอใจ (Satisfaction Survey) จากซอฟตแวรที่เสนอได

4.9 สามารถทำ Incident Template ได/4.10 สามารถ…

  • 3 -
    4.10 สามารถทำ Service Request Template ได
    4.11 สามารถทำ Change Request Template ได
    4.12 สามารถทำ Problem Management Template ได
    4.13 สามารถ Sync รายชื่อจากระบบ Azure Active Directory ของ รฟม. ไดเมื่อมีการ Update 4.14 สามารถยืนยันตัวตนเขาใชงานโดยใชชื่อผูใชงานและรหัสผานจากระบบ Azure Active Directory ของ รฟม. ได
    4.15 สามารถเปด Ticket แบบอัตโนมัติเมื่อไดรับการแจงเหตุการณผาน Line Official Account และ Email (Microsoft Exchange 365) ได
    4.16 สามารถบรหิารจัดการโครงการ (Project Management) ได
    4.17 สามารถบรหิารจัดการทรัพยสิน (IT Asset) ได
    4.18 สามารถบริหารจัดการ Configuration Item (CI) ได
    4.19 สามารถรวบรวมและจัดเก็บแนวทางการแกไขปญ หา (Knowledge Base) ได
    4.20 สามารถกำหนดขอตกลงในการใหบรกิาร (Service Level Agreement: SLA) ได 4.21 สามารถกำหนด Service Catalog ได
    4.22 สามารถ Remote Desktop ได
    4.23 สามารถบันทึกเหตุการณ(Log) ไดอยา งนอย ดังน้ี
    4.23.1 คนหา แสดงผล และพิมพประวัติการใหสิทธิ์ การเพิกถอนสิทธิ์การใชงานของผูใชงาน (History Role - based access control) และสามารถพิมพออกเปนรายงานได
    4.23.2 คนหา แสดงผล และพิมพประวัติการเขาใชระบบ (Transaction Log) รวมถึงการเพิ่มขอมูล การแกไขขอมูล การลบขอมลู วัน เวลา และหมายเลขประจำเครื่องคอมพิวเตอร(IP Address) 4.23.3 คนหา แสดงผล และพิมพประวัติสถานะของระบบ เชน สถานะปกติ มีการเกิดเหตุการณ ไมพึงประสงค ไฟฟาดับ โดยแสดงเปนชวงวันที่และเวลาได
    4.24 สามารถใชงานระบบในรปู แบบ Mobile Application ได
    4.25 สามารถจัดทำรายงาน (Report) ได และสงออก (Export) ในรูปแบบ CSV และ PDF ไดเปนอยางนอย 4.26 สามารถทำการปกปดขอมูลออนไหวและขอมูลสวนบุคคล (Data Masking) ได
    4.27 มีระบบปญญาประดิษฐ (Artificial Intelligence: AI) โดยทำหนาที่ใหคำแนะนำ สืบคน และจัดทำ Knowledge Base รวมทั้ง วเิคราะหแนวโนมหรือชวยคาดการณลวงหนาได 
    4.28 รฟม. ไดรับสิทธิ์การใชงานถูกตองตามกฎหมายจากเจาของลิขสิทธิ์
    4.29 มีเอกสารรับรองตามมาตรฐานหรือกฎหมายดานตาง ๆ อยางนอยดังน้ี
    4.29.1 ดานความมั่นคงปลอดภัยสารสนเทศ ไดแก 1) ISO/IEC 27001 2) ISO/IEC 27017 และ 3) ISO/IEC 27018
    4.29.2 ดานการตรวจสอบระบบรกัษาความปลอดภัยขอมูล ไดแก SOC 2 Type II 
    4.29.3 ดานการบริการเทคโนโลยีสารสนเทศ ไดแก ISO/IEC 20000
    4.29.4 ดานการคุมครองขอมูลสว นบุคคล ไดแก GDPR หรือ PDPA
  1. ขอบเขตของงานที่จะดำเนินการ
    ขอบเขตของงานที่จะดำเนินการตามสัญญานี้แบงออกเปน 3 งวด เมื่อผูรับจางดำเนินการตามขอบเขตของงานแตละงวดถูกตองครบถวนแลว จะตองมีหนังสือแจงกำหนดสงมอบงานใหคณะกรรมการตรวจรับพัสดุทราบลวงหนา ไมนอยกวา 3 วันทำการ พรอ มเอกสารสง มอบงานในรูปแบบไฟลอ ิเล็กทรอนิกสโดยจดัเก็บไวบนอุปกรณหรือระบบที่ รฟม. จัดเตรียมไวใหทั้งน้ีขอบเขตของงานแตละงวดมีรายละเอียด ดังน ี้
    /ขอบเขตของ…

ขอบเขตของงานงวดที่ 1
5.1 ผูรับจางตองจัดใหมีการประชุมเริ่มงาน (Kickoff Meeting) เพื่อนำเสนอแผนการดำเนินงาน แนวทาง และรายละเอียดการติดตั้งระบบภายใน 30 วัน นับถัดจากวันที่ลงนามในสัญญา
5.2 ผูรับจางตองเสนอเจาหนาที่อยางนอย 1 คน ที่มีความรูความชำนาญดานการจัดการบริการเทคโนโลยี สารสนเทศ (IT Service Management: ITSM) ทำหนาที่เปนผูออกแบบ ใหคำแนะนำ และกำหนด/ปรับปรุงคา ของระบบ Help Desk ที่เสนอตลอดระยะเวลาของสัญญา รวมถึงทำหนาที่กำหนดกระบวนการทำงานที่เกี่ยวของ

  • 4 -
    ใหสอดคลองตามแนวปฏิบัติ (Information Technology Infrastructure Library: ITIL) โดยจะตองมีเอกสาร ใบรับรองคุณวุฒิ ITIL 4 Foundation Certification หรือดีกวา ที่มีอายุไมเกิน 2 ป นับถัดจากวันที่ออกใบรับรอง

ทั้งนี้ตองแนบสำเนาหนังสือรับรองดังกลาวใหรฟม. พิจารณาภายในการประชุมเริ่มงานตามขอ 5.1
ขอบเขตของงานงวดที่ 2

5.3 ผรูับจางตองศึกษากระบวนการทำงานในปจจุบัน เพื่อนำไปออกแบบกระบวนการทำงานที่เหมาะสมและ มีประสิทธิภาพ
5.4 ผรูับจางตองออกแบบ และจัดทำ Service Catalog ใหสอดคลองกับกระบวนการทำงานของ รฟม.

5.8 ผูรับจางตองตั้งคาระบบใหสามารถทำงานรวมกับระบบ Azure Active Directory ของ รฟม. โดยตอง
5.5 ผรูับจางตองออกแบบ และจัดทำขอตกลงในการใหบริการ (Service Level Agreement: SLA) ใหสอดคลอง กบักระบวนการทำงานของ รฟม.
5.6 ผรูับจางตองจัดสงเอกสารรบัรองตามมาตรฐานหรือกฎหมายดานตาง ๆ ตามขอ 4.29
5.7 ผรูับจางตองจัดหาและกำหนดคาของระบบ Help Desk ที่เสนอ ใหมคีวามปลอดภัยตามคำแนะนำของผูผลิต และสามารถใชงานรว มกับระบบสารสนเทศของ รฟม. ไดอยางมีประสิทธภิาพ
5.12 ผูรับจางตองสำรองขอมูลและคา Configuration โดยนำออก (Export) มาจัดเก็บไวบนอุปกรณหรือ

สามารถเขาใชงานซอฟตแวรดวยชื่อผูใชงานและรหัสผานเดียวกนัได
5.9 ผรูับจางตองตั้งคา ใหใชSSL Certificateของ รฟม. ที่ออกโดยผูใชบริการที่นาเชื่อถือและปรับปรุงเปนประจำ ของ Ticket โดยตองติดตั้ง ณ อาคาร 1 รฟม. ทั้งนี้ ตองเสนอแนวทางการติดตั้งใหคณะกรรมการตรวจรับพัสดุ
อยางนอยปละ 1 คร้งั
5.10 ผูรับจางตองกำหนดคา Service Catalog บนระบบ Help Desk ที่เสนอใหสอดคลองกับที่ออกแบบไว ตามขอ 5.4

ระบบงานยอยทั้งหมด รวมถึง User กลุมตาง ๆ ดวย เชน System User
5.11 ผูรับจางตองกำหนดคา SLA บนระบบ Help Desk ท่เีสนอใหสอดคลองกับที่ออกแบบไวตามขอ 5.5 และซอฟตแวรที่ใชในการพัฒนาระบบ หากซอฟตแวรนั้น ๆ มีการประกาศชองโหว รวมทั้งชองโหวที่ รฟม. ตรวจพบ
ระบบที่ รฟม. จัดเตรียมไวใหเปนประจำทกุ วันและสามารถกคู ืนขอมูลยอนหลังไดไมนอยกวา 30 วัน

5.13 ผูรับจางตองจัดหาจอภาพที่มีขนาดไมนอยกวา50 นิ้วจำนวน 1ชุด พรอมอุปกรณตอควบ เพื่อแสดงสถานะ
พิจารณากอนดำเนินการ
5.14 ผูรับจางตองกำหนดสิทธิ์การเขาถึงระบบที่แตกตา งกันในแตละระดับ (Role Matrix) โดยครอบคลุมถึง
5.15 ผูรับจางตองวิเคราะหและปดชองโหว (Hardening) ของระบบ Help Desk รวมถงึระบบตาง ๆ ที่เกี่ยวของ
โดยจะตองปดชองโหวที่มีระดับความรุนแรงในระดับวิกฤติ (Critical) ระดับสูง (High) ครบทุกชองโหว
/ขอบเขตของ…

  • 5 -
    ขอบเขตของงานงวดที่ 3 (งวดสุดทาย)
    5.16 ผูรับจางตองพัฒนา Chatbot หรือ AI Agent บน Line Official Account ของ รฟม. เพื่อชวยในการ ตอบขอซักถามจากผูใชบริการแบบอัตโนมัติ ซึ่งจะตองสามารถใชงานไดตลอดอายุสัญญา 5.17 ผูรับจางตองกำหนดคาระบบ Help Desk ที่เสนอใหสามารถเปด Ticket แบบอัตโนมัติเมื่อไดรับแจง ผานชองทาง Line Official Account และ Email
    5.18 ผูรับจางตองจัดทำ Change Request Form ในรูปแบบอิเล็กทรอนิกสบนระบบ Help Desk ที่เสนอ พรอมทั้งกำหนดลำดับขั้นตอน (Workflow) ตามที่ รฟม. กำหนด จำนวนไมนอยกวา 5 Form 5.19 ผูรับจางตองยายหรือนำเขาขอมูลTicketและการแจงเตอืนชองโหวที่ไดบ นั ทึกไวบนระบบ Help Desk เดิมตั้งแตเดอืนพฤศจกิายน 2566 จนถงึปจจุบัน
    5.20 ผูรับจางตองนำเขาขอมลู ไดแก1) รายการทรัพยสิน (IT Asset) 2) รายการ Configuration Item(CI) 3) รายชื่อของคูสัญญาหรือผูรับจาง และ 4) รายการแนวทางการแกไขปญหา (KEDB)
    5.21 ผูรับจางตองสงเอกสารแสดงสิทธิ์การใชงานซอฟตแวรที่เสนอ โดย รฟม. มีสิทธิ์การใชงานซอฟตแวร ตามขอ 4. ไดอยางถูกตองตามกฎหมาย เปนระยะเวลา 365 วัน นับถัดจากวันท่ีคณะกรรมการตรวจรับพัสดุ ไดตรวจรับงานงวดสดุ ทาย
    5.22 ผูรับจางตองศึกษา วิเคราะหขั้นตอนกระบวนงาน เอกสาร และขอมูลท่เีกี่ยวของ โดยใหจัดทำรายงานอยางนอย 2 สวน ดังนี้
    5.22.1 รายงานภาพรวมการเชื่อมโยงของแตละกระบวนงาน และรายงานอธิบายของกระบวนงาน (Business Architecture) เชน ชื่อกระบวนการ (Business Process Name) ผูเกี่ยวของในแตละงาน (Who) เอกสารและขอมูลที่ใชในแตละกระบวนงาน (Input/ Output) วิธีการและเครื่องมือที่ใช (Method and Tools) เปนตน และถากระบวนการน้นัสามารถแตกยอยไดใหแตกกระบวนการยอยใหชดัเจน
    5.22.2 รายงานขอมูล (Data Architecture) เชน ชื่อขอมูล คุณลักษณะขอมูล ชนิดของขอมูล ประเภทขอมูล และถาขอมูลนั้นสามารถแตกยอยได ใหแตกยอยรายละเอียดขอมูลใหชัดเจน ทั้งนี้ การตั้งชื่อ และการ อธบิายความ ตองใชภ าษาที่ผูเกี่ยวของที่ไมมีความรูดานไอซทีีสามารถเขาใจได(Non - IT staffunderstandable)
    5.23 ผูรับจางตองจัดสงรายงานผลการดำเนินงาน และเอกสารที่เกี่ยวของกับโครงการที่เปนฉบับลาสุด เชน แผนผังการเชื่อมโยงระบบ (System Diagram) เอกสาร Service Catalog เอกสารขอตกลงในการใหบริการ และ คูมือที่เกี่ยวของ เปนตน โดยจัดสงในรปู แบบไฟลดิจิทัลบนั ทึกบน External Hard Disk จำนวน 2 ชุด พรอมสำเนา เอกสารเก็บไวบนอุปกรณหรือระบบที่ รฟม. จัดเตรยีมไวให
    5.24 ผูรับจางตองจัดฝกอบรม/สัมมนาใหแกเจาหนาที่ของ รฟม. รวมทั้งตองรับผิดชอบคาใชจายท้ังหมด ที่เกี่ยวของกับการอบรม และคาใชจายที่เกี่ยวของกับผูเขารับการอบรม โดยดำเนินการจัดเตรียมเอกสาร ประกอบการฝกอบรม สถานที่สำหรบัจัดอบรม อาหารวาง เครื่องดื่ม อาหารกลางวัน และอุปกรณท ี่จำเปนตอการ อบรมจำนวนไมนอยกวาผูเขารวมอบรม (เอกสารประกอบการฝกอบรมฉบับภาษาไทยเวนแตกรณีที่ตองการ อธบิายดวยภาษาทางเทคนิคหรือภาษาเฉพาะใหใชภาษาอังกฤษไดและฉบับภาษาอังกฤษ (ถามี) ไวพรอมกันดวย) เปนจำนวน 3 หลกัสูตร ดังนี้
    5.24.1 หลักสูตรสำหรับผูดูแลระบบ Help Desk (Administrator) จำนวน 1 หลักสูตร 5.24.2 หลักสูตรสำหรับผใูหบริการ (Technician) จำนวน 1 หลักสตู ร
    5.24.3 หลักสูตรสำหรับผใูชบ ริการ (User) จำนวน 1 หลักสูตร
    5.25 ผูรับจางตองจัดใหมีเจาหนาที่มาประจำที่สำนักงานใหญของ รฟม. ตลอดอายุสัญญา จำนวน 1 คน ซึ่งมีหนาที่รับแจงเหตุการณผิดปกติ รับคำรองขอบริการจากผูใชบริการ บันทึกเหตุการณบนระบบ Help Desk ที่เสนอ รวมถึงใหคำแนะนำ ติดตามการแกไขปญหาใหกับผูใชบริการ และปฏิบัติงานอื่น ๆ ตามที่ไดรับมอบหมาย โดยมีขอกำหนดท่เีก่ยีวของ ดังนี้
    /5.25.1 เจาหนาที่…

  • 6 -
    5.25.1 เจาหนาที่ตองมีวุฒิการศึกษาไมต่ำกวาระดับปริญญาตรี ซึ่งผูรับจางจะตองแจงชื่อ-นามสกุล ประวัติการทำงาน และวุฒิการศึกษาของเจาหนาที่ดังกลาวใหรฟม. พิจารณาภายในวนัตรวจรับ โดยกรอกรายละเอียด ตามภาคผนวก ก. ทั้งน้ีจะตองเริ่มปฏิบัติงานตั้งแตวันที่คณะกรรมการตรวจรบั พัสดุกำหนด
    5.25.2 เจาหนาทต่ีองไมม ปีระวตัิอาชญากรรมเกี่ยวกับความผิดทางอาญา เวนแตโทษสำหรับความผิด ที่ไดกระทำโดยประมาทหรือความผิดลหุโทษ โดยตองแสดงหลักฐานผลการตรวจประวัติอาชญากรรมดวยลายนิ้วมือ ที่ออกโดยสำนักงานตำรวจแหงชาติให รฟม. ทราบภายใน 30 วันทำการ นับถัดจากวันที่การตรวจรับงวดสุดทาย เสร็จสิ้น หากพบวาเจาหนาที่มีประวัติอาชญากรรมดังกลาว ผูรบัจางตองจัดสงเจาหนาที่ทานอื่นมาปฏิบัติงานแทน
    5.25.3 เจาหนาท่จีะตองปฏิบัตงิานในวันจันทร- วันศุกรตั้งแตเวลา 08.00 - 17.00 น. (ระหวางเวลา 12.00 - 13.00 น. เปนเวลาพักรับประทานอาหารกลางวัน) เวนวันหยุดที่ รฟม. กำหนดไว รวมเวลาทำงานวันละ 8 ชั่วโมง 5.25.4 เจาหนาที่ตองมีทักษะในการใหบริการ การสื่อสาร มีมนุษยสัมพันธที่ดี มีความกระตือรือรน และพรอมเรียนรูอยูเสมอ
    5.25.5 เจาหนาทตองมี ่ี อุปกรณแ ละซอฟตแวรส ำหรับปฏบิัติงาน ไดแก เครื่องคอมพิวเตอรซอฟตแวร ที่จำเปนตองใชสำหรับปฏบิัติงาน โทรศพั ทต้งัโตะ และโทรศัพทเคลื่อนที่พรอมคาบริการรายเดือน 5.25.6 เจาหนาที่ตองจัดทำรายงานการปฏิบัติงานเปนประจำทุกเดือน โดยสงใหคณะกรรมการตรวจรับพัสดุ ภายในวนั ที่15 ของเดือนถัดไป
    5.25.7 กรณีผูรับจางตองการเปลี่ยนตัวเจาหนาที่หลัก ตองกรอกรายละเอียดตามภาคผนวก ก. และ ทำเปนหนังสือยื่นตอคณะกรรมการตรวจรับพัสดุฯ ลวงหนาไมนอยกวา 3 วันทำการ เพื่อพิจารณากอนการเปลี่ยนตัว เจาหนาที่หลักดังกลาว
    5.25.8 รฟม. มีสิทธิ์ขอเปลี่ยนตัวเจาหนาที่ของผูรับจางไดตลอดอายุสัญญา เมื่อเห็นวาไมมีความเหมาะสมที่จะปฏิบัตหินาที่หรือไมผา นการประเมินผลการปฏิบัติงาน ผูรับจางตองจัดหาเจาหนาที่มาทดแทนภายใน 15วันทำการ โดยระหวางการจัดหาเจาหนาที่มาทดแทนนั้น ผูรับจางจะตองจัดใหมีเจาหนาที่สำรองเขามาปฏิบัติงานที่ รฟม. จนกวาผูรับจางจะสามารถจดั หาเจาหนาที่มาทดแทนได

  1. กำหนดเวลาสงมอบพัสดุ
    ผูรับจางจะตองสงมอบงานงวดสดุ ทาย ภายใน 180 วัน นับถัดจากวันที่ลงนามในสัญญา
  2. หลักเกณฑในการพจิารณาคัดเลือกขอเสนอ
    ในการพิจารณาผลการคัดเลือกผูชนะการยื่นขอเสนอประกวดราคาอิเล็กทรอนิกสครั้งนี้ รฟม. จะพิจารณา ตัดสินโดยใชหลักเกณฑราคา
  3. วงเงินงบประมาณ/วงเงินที่ไดรับจัดสรร
    วงเงินงบประมาณสำหรับจางปรับปรุงระบบแจงปญหาการใชงานระบบสารสนเทศ (Help Desk) จำนวน 4,400,000 บาท (สี่ลานสี่แสนบาทถวน) รวมภาษีมูลคาเพิ่มตลอดจนภาษีอากรอื่น ๆ และคาใชจายทั้งปวงแลว
  4. งวดงานและการจายเงิน
    รฟม. จะแบงการสงมอบงานและการชำระเงนิคา จางออกเปน 3 งวด ดังนี้
    งวดที่ 1 ชำระเปนจำนวนเงินรอยละ 10 ของมูลคาตามสัญญา เมื่อผูรับจางดำเนินการตามขอบเขตงานงวดที่ 1 (ขอ 5.1 - 5.6) เรียบรอยแลว และคณะกรรมการตรวจรบั พัสดุไดพิจารณาแลวเห็นวา ถูกตองครบถวนและ ตรวจรบั เรยีบรอยแลว
    /งวดที่ 2…
  • 7 -
    งวดที่ 2 ชำระเปนจำนวนเงินรอยละ 60 ของมูลคาตามสัญญา เมื่อผูรับจางดำเนินการตามขอบเขตงานงวดที่ 2 (ขอ 5.7 - 5.15) เรียบรอยแลว และคณะกรรมการตรวจรับพัสดุไดพิจารณาแลวเห็นวาถูกตองครบถวนและตรวจรับเรยีบรอยแลว
    งวดที่3 (งวดสุดทาย) ชำระเปนจำนวนเงนิรอยละ 30 ของมูลคาตามสัญญา เมื่อผูรับจางดำเนินการตามขอบเขตงานงวดที่ 3 (ขอ 5.16 - 5.25) เรียบรอยแลว และคณะกรรมการตรวจรับพัสดุไดพิจารณาแลวเห็นวา ถูกตองครบถวนและตรวจรบั เรยีบรอยแลว
  1. การบำรุงรักษา (Preventive Maintenance)
    ผูรับจางตองรับผิดชอบการบำรุงรักษาระบบ Help Desk ที่เสนอ รวมถึงการซอมแซมแกไขใหอยูในสภาพที่ใชงานไดดีอยูเสมอ รวมท้งัดำเนินงานตาง ๆ เพื่อใหระบบมปีระสิทธิภาพ เปนระยะเวลา 365 วัน นับถัดจากวันที่ คณะกรรมการตรวจรบั พัสดุไดตรวจรับงานงวดที่ 3 (งวดสุดทาย) เรยีบรอยแลว โดยมีรายละเอียด ดังนี้
    10.1 ผูรับจางตองตรวจสอบระบบตางๆ ที่ไดมาพรอ มกับสัญญานี้เปน ประจำทุก3เดอืน ใหมีความพรอมใชงานและมีความมั่นคงปลอดภยั หากพบวาระบบมีความเสียหาย มีชองโหวจะตองรายงานใหรฟม. ทราบ พรอมกับขออนุมัติ ดำเนินการแกไขเปล่ยีนแปลงในทันทีทั้งนี้ตองสงรายงานผลการตรวจสอบและบำรุงรักษาใหคณะกรรมการตรวจรับพัสดุ  เปนลายลักษณอักษร โดยจัดเก็บไวบนอุปกรณหรือระบบที่ รฟม. จัดเตรียมไวให
    10.2 ผูรับจางตองสำเนาการกำหนดคา Configuration ของระบบตาง ๆ ที่ไดมาพรอมกับสัญญานี้ ทุกครั้ง ที่มีการเปลี่ยนแปลงหรือเปนประจำทุก 3 เดอืน โดยจดัเก็บไวบนอุปกรณหรือระบบที่ รฟม. จัดเตรียมไวให 10.3 ผูรับจางจะตองปรับปรุง (Update) ขอมูล ไดแก 1) รายการทรัพยสิน (IT Asset) 2) รายการ Configuration Item (CI) 3) รายชื่อของคูสัญญาหรือผูรับจาง และ 4) รายการแนวทางการแกไขปญหา (KEDB) โดยตองดำเนินการทุกครั้งเมื่อมีการเปล่ียนแปลงหรือเมื่อไดรับแจงจาก รฟม. โดยจัดเก็บไวบนอุปกรณหรือระบบที่ รฟม. จัดเตรียมไวให
    10.4 ผูรับจางตองประชาสัมพันธระบบ Help Desk ที่เสนอดวยวิธีตาง ๆ พรอมจัดทำรายงานแนวโนม การใชบริการ อยางนอยเดือนละ 1 คร้งั
    10.5 ผูรับจางตองจัดทำรายงานการใหบริการตาม SLA เปนประจำ อยางนอยเดือนละ 1 ครั้ง 10.6 ผูรับจางตองจัดทำแนวทางการแกไขปญหาการใชงานดานเทคโนโลยีสารสนเทศที่เกิดขึ้นและนำเขาสูระบบ Help Desk ที่เสนอ พรอมจัดทำ Infographic เพ่อืประชาสัมพันธแ นวทางดังกลาว อยางนอยเดือนละ 1 ครั้ง 10.7 ผูรับจางตองจัดทำ Infographic เพ่อืประชาสัมพันธภัยคุกคาม อยา งนอยเดือนละ 1 ครั้ง
  2. การกำหนดระยะเวลารับประกันความชำรุดบกพรอง
    11.1 ผูรับจางตองรับประกันสิทธิ์การใชงานระบบตาง ๆ ที่ไดมาพรอมกับสัญญานี้โดย รฟม. ตองสามารถใชงานปรบั ปรุงระบบ (Update) แจงเหตุขดัของไปยังผูผลิตไดตลอดอายุสัญญา
    11.2 ผูรับจางตองรับประกันความชำรดุ บกพรองของระบบ Help Desk ที่เสนอตลอดอายุสัญญา ถาภายในระยะเวลาดังกลาวระบบฯ ชำรุดบกพรอง หรือใชงานไมไดทั้งหมดหรือบางสวน ผูรับจางตองจัดใหมีเจาหนาที่ที่มี ความเชี่ยวชาญและมีประสบการณ เพื่อเริ่มดำเนินการแกไขความชำรุดบกพรองภายใน 2 ชั่วโมง และตอง ซอมแซมแกไขใหสามารถใชงานไดดีดังเดิมภายใน 24 ชั่วโมง นับแตเวลาที่ รฟม. ไดแจงความชำรุดบกพรองนั้นใหผรูับจางทราบผานชองทางโทรศัพทโทรศพั ทเคล่ือนที่ หรือEmail โดยจะตองเขามาทำการแกไข ซอมแซม ณ รฟม. หรือสถานที่ที่ รฟม. กำหนด (On-Site Service) แบบ 24 ชั่วโมง 7 วัน
    11.3 ผูรับจางตองรับประกันคุณภาพการใชบริการ (Service Level Agreement : SLA) ของระบบ Help Desk โดย รฟม. ตองสามารถใชงานระบบไดไมต่ำกวารอยละ 96.5 ตอเดือน
    /12. อัตราคาปรับ…
  • 8 -
  1. อัตราคาปรับ
    12.1 กรณีผูรับจางไมสามารถปฏิบัติตามขอบเขตของงานที่จะดำเนินการตามขอ 5. หรือสงมอบลาชา กวาที่กำหนดไวในสัญญาตามขอ 6. หรือสงมอบแลวแตมีคุณสมบัติไมถูกตองตามรายละเอียดและคุณลักษณะเฉพาะ ที่กำหนด หรือยังไมสามารถใชงานได รฟม. มีสิทธิ์บอกเลิกสัญญาได ในกรณีที่ รฟม. ไมใชสิทธิ์บอกเลิกสัญญา ผูรับจางยินยอมใหรฟม. ปรบัในอตัรารอยละ 0.10 (ศูนยจดุ หนึ่งศูนย) ของมูลคาตามสัญญาเปนรายวัน (เศษของวันใหนับเปนหนึ่งวัน) โดยการปรับจะนับถัดจากวันครบกำหนดสงมอบตามสัญญาจนถึงวันที่ผูรับจางไดสงมอบงานใหแก รฟม. จนถูกตองครบถวนแลว
    12.2 กรณี รฟม. ใชสิทธิ์บอกเลิกสัญญา นอกจากผูรับจางยินยอมให รฟม. คิดคาปรับตามขอ 12.1 แลว ผูรับจางตองยนิยอมใหรฟม. ริบหลักประกันสัญญาเปนจำนวนทั้งหมดหรือแตบางสวนก็ไดแลวแตรฟม. จะเห็นสมควร 12.3 กรณีเจาหนาทตี่ ามขอ 5.25 ปฏิบัตงิานไมครบชั่วโมงการทำงานตามขอ 5.25.3 ผูรับจางยินยอมใหปรับในอัตรา 125 บาท ตอ ช่วัโมง (เศษของช่วัโมงใหนับเปนหนึ่งชั่วโมง)
    12.4 กรณีเจาหนาที่ตามขอ 5.25ไมมาปฏิบัติงาน หรือมีความจำเปนตองหยุดงาน หรือไมสามารถมาปฏิบัติงานได ผูรับจางตองจัดสงเจาหนาที่ที่มีความรูความสามารถตามที่ รฟม. กำหนดไวมาปฏิบัติงานแทนภายในเวลาไมเกิน 08.00 น. ของวันทำการนั้น โดยจะตองแจงใหผูควบคุมงานของ ฝทท. ทราบลวงหนากอนเจาหนาที่จะเขามาปฏิบัติงานทดแทน หากผูรับจางไมสามารถจัดหาเจาหนาที่มาปฏิบัติงานทดแทนได หรือมาแลวแตไมสามารถปฏิบัติงานได ผูรับจางยินยอมใหปรับในอัตรา 1,000 บาทตอวัน (เศษของวันใหนับเปนหนึ่งวัน)
    12.5 กรณีผูรับจางไมดำเนินการบำรุงรักษาตามขอ 10. ผูรับจางยินยอมใหปรับเปนรายเหตุการณในอัตรา รอยละ 0.01 (ศูนยจุดศูนยหนึ่ง) ของมูลคาตามสัญญาตอครั้ง
    12.6 กรณี รฟม. ไมสามารถใชบริการตามระยะเวลาการรับประกันตามขอ 11.2 หรือขอ 11.3 โดยเหตุนั้นไมไดเกิดจากระบบเครือขายของ รฟม. ผูรับจางยินยอมใหปรับเปนรายช่วัโมงในอัตรารอยละ 0.10 (ศูนยจุดหนึ่งศูนย) ของมูลคาตามสัญญาตอชั่วโมง (เศษของชั่วโมงใหนับเปนหนึ่งชั่วโมง) โดยการปรับจะนับจากเวลาที่ รฟม. ไดแจง จนถึงเวลาที่ผูรับจางไดซอมแซมแกไขใหระบบสามารถใชงานไดดีดังเดมิ
  2. ขอกำหนดเพื่อความมั่นคงปลอดภัย
    13.1 ผูรับจางตองไมเปดเผยขอมูลอันเปนความลับใด ๆ หรือขอมูลอื่นใดทั้งหมดหรือบางสวนที่ไดรับหรือ รับรูมาจาก รฟม. ใหผูอื่นทราบโดยมิไดรับความยินยอมจาก รฟม. และตองควบคุม กำกับไมใหผูปฏิบัติงานของผรูบัจาง เปดเผยขอมูลอันเปนความลับใด ๆ หรือขอมูลอื่นใดทั้งหมดหรือบางสวนที่ไดรับหรือรับรูมาจาก รฟม. ใหผูอื่นทราบเชนกัน หากมีความเสียหายตอ รฟม. ผูรับจางตองรับผิดชอบตอ ความเสียหายที่เกิดขึ้นท้งัหมด
    13.2 ผูปฏิบัติงานของผูรับจางทุกคนตองลงนามในสัญญาวาจะไมเปดเผยความลับของ รฟม. (Non-Disclosure Agreement: NDA) กอนเริ่มปฏิบัติงานให รฟม.
    13.3 ผูรับจางตองสงบุคลากรเขารวมการฝกอบรมดานความมั่นคงปลอดภัยสารสนเทศ (Information Security Awareness) ตามรอบที่ รฟม. กำหนด เพื่อสรางความตระหนักที่เหมาะสม รวมถึงทบทวนนโยบายการรักษาความ มั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศ และขั้นตอนปฏิบัติของ รฟม. (ถามี)
    13.4 ผูรับจางจะตองสงบุคลากรเขารวมฝกซอมแผนบริหารความตอเนื่องทางธุรกิจ (BCP) (ถามี) 13.5 ผูรับจางตองปฏิบัติตามนโยบายการรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศ รฟม. ตามภาคผนวก ข. หากผูรับจางไมปฏิบัติตามนโยบายการรักษาความมั่นคงปลอดภัยฯ จนกอใหเกิดความเสียหาย รฟม. ขอสงวนสิทธิ์ในการเรียกรองคาเสียหายอันเนื่องมาจากการไมปฏิบัติตามนโยบายการรักษาความม่นัคงปลอดภัย ดังกลาว

/13.6 ผูรับจาง…

  • 9 -
    13.6 ผูรับจางตองพัฒนาและออกแบบระบบโดยคำนึงถึงการรักษาความมั่นคงปลอดภัยสารสนเทศใหมี ความปลอดภัยตามมาตรฐาน Open Web Application Security Project (OWASP) Top 10 ลาสุด OWASP API Security Top 10 ลาสุด และมาตรฐาน Common Weakness Enumeration (CWE) Top 25 ลาสุด ณ ป ที่สงมอบงาน นับถัดจากวันลงนามในสัญญา หรือมาตรฐานที่ยอมรับในสากล หรือกำหนดซอฟตแวรใหเปนเวอรชันลาสดุ ที่ไดรับการอัปเดตแลว
    13.7 ผูรับจางตองตรวจสอบความมั่นคงปลอดภัยของ Source Code (Source Code Review) ตามมาตรฐานที่ รฟม. กำหนด
    13.8 ผูรับจางตองควบคุมเวอรชัน (Version Control) ของระบบฯ และ Source Code เมื่อมีการเปลี่ยนแปลง หรือการแกไขระบบตา ง ๆ
    13.9 ผูรับจางตองเลือกใชซอฟตแวร เครื่องมือ หรือภาษาที่ใชในการพัฒนาระบบเปนเวอรชันแบบนโยบาย สำหรับจัดการวงจรชีวิตของผลิตภัณฑ (Long Term Support : LTS) หรือเวอรชันลาสุด 13.10ผูรับจางตองจัดทำการปดบังขอมูลสวนบุคคล รวมถึงขอมูลสวนบุคคลที่มีความออนไหว (Sensitive Data) ดวยวิธีData Masking ขอมูลที่แสดงในระบบฯ และเขารหัสขอมูล (Encryption) ในฐานขอมูลตามท่ีรฟม. กำหนด 13.11ผูรับจางจะตองรับผิดชอบคาใชจายที่เกี่ยวของกับบริการเครื่องคอมพิวเตอรแมขาย ซอฟตแวร ระบบปฏบิัติการ (Operating System) และซอฟตแวรบ ริหารจัดการระบบฐานขอมูล (Database Management System) รุนลาสุดที่มีขายตามทองตลาด รวมถึงคาใชจา ยในการ Download ขอมูลจากระบบท่เีสนอ (ถามี)
  1. ขอสงวนสิทธิ์
    14.1 กรณีที่มีการสงมอบซอฟตแวรตางไปจากที่กำหนดไวหรือที่เสนอมา จะตองมีเอกสารยืนยันจากผูผลิต หรือสาขาของผูผลิตหรือตัวแทนจำหนายจากตัวแทนจำหนายของผูผลิตในประเทศไทย จากบริษัทผูผลิต หรือจาก บริษัทสาขาของผูผลิตในประเทศไทย หรือจากบริษัทตัวแทนจำหนายของผูผลิตในประเทศไทย วาเปนรุนใหม และจะตองมีคุณสมบัติไมตำ่ กวาที่กำหนดไวหรือที่เสนอมา ทั้งนี้รฟม. สงวนสิทธิ์ที่จะรับมอบหรือไมก ็ได
    14.2 กรณีผูรับจางไดสงมอบงานและคณะกรรมการตรวจรับพัสดไุดรับมอบงานงวดท่ี2 เรียบรอยแลว รฟม. สงวนสิทธิ์เริ่มใชงานระบบ Help Desk ที่เสนอไดซ่งึจะตองเปนสทิธิ์การใชงานที่ถูกตองตามกฎหมาย 14.3 ซอฟตแวร (Source code) ที่ไดมีการพัฒนาขึ้น (ในกรณีที่มีการพัฒนาระบบ) รวมทั้งรายงานหรือ เอกสารใด ๆ ที่ผูรับจางไดทำขึ้นอันเนื่องมาจากการปฏิบัติงานตามสัญญานี้ ใหตกเปนกรรมสิทธิ์และลิขสิทธิ์ของ รฟม. ทั้งหมด อยางไรก็ตาม ผูรับจางอาจเก็บสำเนารายงานและเอกสารอื่นดังกลาวไวเพื่อเปนประวัติการทำงานของผูรับจางเองได
    14.4 กรณีพบวาประสิทธิภาพ (Performance) ไมเปนไปตามมาตรฐาน หรือตอบสนองการเรียกใชงาน (Response Time) ลาชา ผูรับจางจะตองเขามาแกไขหรือปรับแตง (Adjust) ใหระบบสามารถใชงานไดดีดังเดิมโดยไมมีคาใชจายเพิ่มเติม
    14.5 กรณีรฟม. ตรวจพบชองโหวของระบบภายหลังการสงมอบงาน รฟม. ขอสงวนสิทธ์ิในการแจงใหผูรับจาง เขามาดำเนินการปดชองโหวด ังกลาวไดตลอดอายุของสัญญา
    14.6 กรณี รฟม. มีการดำเนินการใด ๆ ที่เห็นวาอาจจะสงผลกระทบกับระบบ Help Desk ที่เสนอ รฟม. ขอสงวนสิทธิ์ในการแจงใหผ ูรับจางเขามาสนับสนุนในสวนที่เกี่ยวของไดตลอดอายุของสัญญา 14.7 กรณีรฟม. มีความประสงคไมใชงานระบบที่เสนอ ผูรับจางตองทำลายขอมูลบนระบบที่เสนอใหเปนไปตามมาตรฐานหรือขอตกลง (Agreement) การทำลายขอมูลที่กำหนด โดยตองนำสงหลักฐานการทำลายขอมูลดังกลาว ใหรฟม. เม่อืดำเนินการเสร็จส้นิ (ถามี)
    14.8 ผูรับจางจะตองไมเอางานทั้งหมดหรือแตบางสวนไปจางชวงอีกทอดหน่งึ เวนแตการจางชวงงานแตบางสวนที่ไดรับอนุญาตเปนหนังสือจากคณะกรรมการตรวจรับพัสดุฯ แลว การที่ รฟม. ไดอนุญาตใหจางชวงงานแตบางสวนดังกลาวนั้น ไมเปนเหตุใหผูรับจางหลุดพนจากความรับผิดหรือพันธะหนาที่ และผรูับจางจะยังคงตองรับผิดในความผิด และความประมาทเลินเลอของผูรับจางชวง หรือของตัวแทนหรือลูกจางของผรูับจางชวงนั้นทุกประการ (ถามี)
    ภาคผนวก ก.
    แบบฟอรมรายละเอียดคณุ สมบัติและประสบการณก ารทำงานของเจาหนาที่
    รายละเอียดคุณสมบัตแิละประสบการณการทำงานของเจาหนาที่
    การเก็บรวบรวมขอมูลสวนบุคคลในเอกสารนี้จัดทำขึ้นภายใตพระราชบัญญัติคุมครองขอมูลสว นบุคคล พ.ศ. 2562 ดวยวัตถุประสงคเพื่อตรวจสอบขอ มูลของเจาหนาท่ี ที่เขามาปฏิบัตงิานใหรฟม. ซึ่งเปนการประมวลผลขอมูลสวนบุคคลเพื่อปฏิบัติตามสัญญา โดยเก็บขอมูลสวนบุคคลเทาที่จำเปนจากเจาของขอมูลสวนบุคคล ซึ่ง รฟม. จะจัดเก็บขอมูล สวนบุคคลจนกวาจะสิ้นสุดขอผูกพันตามสัญญา ทั้งนี้ หากมีขอสอบถามหรือขอใชสิทธิ์ของเจาของขอมูลสวนบุคคล สามารถติดตอไดที่ การรถไฟฟาขนสงมวลชนแหงประเทศไทย สำนักงานใหญ เว็บไซตwww.mrta.co.th โทรศัพท 0 2716 4000
    ชื่อภาษาไทย (คำนำหนาช่อื ช่ือ นามสกุล) วัน/เดือน/ป เกิด (วันที่ / เดือน / ปพ.ศ.) อายุ (ป) ถิ่นพำนักปจจุบัน (กรุงเทพมหานคร ประเทศไทย)
    รปู ถาย
    การศึกษา
    ปริญญาตรี (สาขาวิชา) สถานศึกษา (วทิยาลัย / มหาวิทยาลัย / ฯลฯ , ประเทศ) ปที่จบการศึกษา (พ.ศ.) สถานะการทำงานในปจจบุ นั
    สถานที่ (ชื่อหนวยงาน) ลกัษณะการจาง (อาชีพอิสระ/พนักงานประจำ/อื่นๆ (โปรดระบุ))
    ไมเกิน 6 เดือน
    ตำแหนง (ตำแหนง) ชวงเวลาที่ปฏิบัติงาน (วันที่ / เดือน / ป พ.ศ. - วันที่ / เดือน / ป พ.ศ.) ระยะเวลาการทำงาน (ป, เดือน) (สำหรับพนักงานประจำเทาน้นั) ผลการตรวจประวัติอาชญากรรมดวยลายน้วิมือ  ไมมีประวตัิอาชญากรรม
    ประสบการณการทำงาน
    ลำดับที่ 1
    สถานที่ (ชื่อหนวยงาน) ลกัษณะการจาง (อาชีพอิสระ/พนักงานประจำ/อื่นๆ (โปรดระบุ))
    ตำแหนง (ตำแหนง ) ชวงเวลาที่ปฏิบัติงาน (DD/MM/YYYY - DD/MM/YYYY) ระยะเวลาการทำงาน (ป, เดือน) (สำหรับพนักงานประจำเทา นั้น) ขาพเจาขอรับรองวารายละเอียดคณุ สมบัติและประสบการณการทำงานขางตน นี้เปนความจริงทุกประการ
    ลงชื่อ (ลงนามผูมีอำนาจจากบรษิัท) . ลงชื่อ (ลงนามเจาหนาที่) . (……………………………………………….) (……………………………………………….) ตำแหนง…………………………………………………… วนั ที่…………………/…………………/………………… บริษัท……………………………………………………….
    วนั ท่.ี………………../…………………/…………………
    หมายเหตุ
  • แนบหลักฐานสำเนาหนังสือรบัรองวุฒิการศึกษา หรือประกาศนียบัตร และผลการตรวจประวตัอิาชญากรรมดวยลายน้วิมือ เพ่อืประกอบการพจิารณา
  • แนบหลักฐานการเปลี่ยนชื่อหรือนามสกุล (ถามี) เพื่อประกอบการพิจารณา
  • ขอมลู ปใหแสดงเปนพุทธศักราช

ภาคผนวก ข.
นโยบายการรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศของ รฟม.

การรถไฟฟ้าขนส่งมวลชนแห่งประเทศไทย
MASS RAPID TRANSIT AUTHORITY OF THAILAND
รัฐวิสาหกิจภายใตกํากับของรัฐมนตรีวาการกระทรวงคมนาคม
A STATE ENTERPRISE UNDER SUPERVISION OF MINISTER OF TRANSPORT
ประกาศการรถไฟฟาขนสงมวลชนแหงประเทศไทย
เรื่อง นโยบายการรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศ (ฉบับปรบั ปรุงคร้งัที่14)
ดวยพระราชกฤษฎีกากําหนดหลักเกณฑและวิธีการในการทําธุรกรรมทางอเิล็กทรอนิกสภาครัฐ พ.ศ. 2549มาตรา 5 กําหนดใหหนวยงานของรัฐตองจัดทําแนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยดานสารสนเทศ เพื่อใหการดําเนินการใด ๆ ดวยวิธีการทางอิเล็กทรอนิกสกับหนวยงานของรัฐหรือโดยหนวยงานของรัฐมคีวามมั่นคงปลอดภัยและเชื่อถือไดจงึสงผลใหระบบเทคโนโลยีสารสนเทศของการรถไฟฟาขนสงมวลชนแหงประเทศไทย(รฟม.) ตองมีการรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศอยางครบถวนเพื่อธํารงไวซ่ึงความลับ(Confidentiality) ความถูกตองครบถวน (Integrity) และสภาพพรอมใชงาน (Availability) ของสารสนเทศ รวมทั้ง คุณสมบัติอื่น ไดแก ความถูกตองแทจริง (Authenticity) ความรับผิด (Accountability) การหามปฏิเสธความรับผิดชอบ (Non-repudiation) และความนาเชื่อถือ (Reliability)
ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส เรื่องแนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคง ปลอดภัยดานสารสนเทศของหนวยงานของรัฐ (ฉบับที่ 2) พ.ศ. 2556 ขอ 14 กําหนดใหหนวยงานของรัฐตองกําหนดความรับผิดชอบที่ชัดเจน กรณีระบบคอมพิวเตอรหรือขอมูลสารสนเทศเกิดความเสียหายหรืออันตรายใด ๆ แกองคกรหรือผูหนึ่งผูใด อันเนื่องมาจากความบกพรอง ละเลย หรือฝาฝนการปฏิบัติตามนโยบายและแนวปฏิบัติในการรักษาความมั่นคง ปลอดภัยดานสารสนเทศ ทั้งนี้ ใหผูบริหารระดับสูงสุดของหนวยงาน (Chief Executive Officer: CEO) เปนผูรับผิดชอบตอความเสี่ยง ความเสยีหาย หรืออันตรายท่เีกิดขึ้น
อาศัยอํานาจตามความในมาตรา 25 แหงพระราชบัญญัติการรถไฟฟาขนสงมวลชนแหงประเทศไทยพ.ศ. 2543 ผูวาการการรถไฟฟาขนสงมวลชนแหงประเทศไทย จึงออกประกาศการรถไฟฟาขนสงมวลชนแหงประเทศไทย เรื่อง นโยบายการรักษาความม่นัคงปลอดภยัของระบบเทคโนโลยีสารสนเทศ ดงัตอไปนี้

  1. วัตถุประสงคและขอบเขต
    เพื่อใหการใชงานระบบเทคโนโลยีสารสนเทศของ รฟม. เปน ไปอยางเหมาะสม มีประสิทธิภาพ มีความมั่นคงปลอดภัยและสามารถดาํ เนินงานไดอยางตอเนื่อง รวมทั้งปองกันปญหาและลดผลกระทบจากการใชงานระบบเทคโนโลยีสารสนเทศในลักษณะที่ไมถูกตองหรือจากการถูกคุกคามจากภัยตาง ๆ จงึไดกําหนดนโยบายเพ่ือควบคุมการรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศ ดังนี้
    1.1 การเขาถึงหรือควบคุมการใชงานสารสนเทศครอบคลุม 4 ดาน คือ
    1.1.1 การเขาถึงระบบสารสนเทศ (Access control) ตองตรวจสอบการอนุมัติสิทธิ์การเขาถึงระบบและกําหนดรหัสผาน การลงทะเบียนผูใชงานเพื่อใหผูใชท ี่มีสิทธิ์ (User authentication) เทานั้นที่สามารถเขาถึงระบบได รวมถึงมีการเก็บบันทึกขอมูลการเขาถึงระบบ (Access log) และขอมูลจราจรทางคอมพิวเตอร ท้ังนี้การใหสิทธิ์การใชงานระบบสารสนเทศนั้นตองใหสิทธ์ิอยางเหมาะสมและเพียงพอ (Need to know and Need to use)
    /1.1.2 การเขาถึง…1 75 ถ นนพ ร ะ ร า ม 9 แ ข ว ง ห้ ว ย ข ว า ง เ ข ต ห้ ว ย ข ว า ง ก ร ุ งเ ทพ ม ห าน ค ร 1 0 310 โท ร ศ ัพท ์ 0 27 16 4000 โ ท ร ส า ร 0 2716 4 019 17 5 Ra ma I X R oa d, H uai Khw ang , Ba ngk ok 1 0 310, T hai land , T el .66 2716 40 0 0 F ax. 66 27 16 40 19 http://www.mrta.co.th
  • 2 – 2 -
    1.1.2 การเขาถึงระบบเครือขาย (Networkaccesscontrol) ตองกําหนดเสนทางการเชื่อมตอระบบคอมพิวเตอร การรับ - สง หรือการไหลเวียนขอมูลหรือสารสนเทศจะตองผานระบบการรักษาความปลอดภัยที่องคกรจัดสรรไวเชน Firewall IDS/IPS Proxy หรือการตรวจสอบไวรสัคอมพวิเตอรเปนตน เพื่อควบคุมและปองกันภัยคุกคามอยางเปนระบบ
    1.1.3 การเขาถึงระบบปฏิบัติการ (Operating system access control) เพื่อปองกันการเขาถึงระบบปฏิบัติการโดยไมไดรับอนุญาต โดยกําหนดใหมีการยืนยันตัวตนเพื่อระบุถึงตัวตนของผูใชงาน รวมทั้งกําหนดใหมีการจํากดัระยะเวลาในการเช่อืมตอเพื่อใหมีความมั่นคงปลอดภัยมากยิ่งขึ้น
    1.1.4 การเขาถึงโปรแกรมประยุกตหรือแอปพลิเคชันและสารสนเทศ (Applicationand Information access control) ตองกําหนดสิทธิ์การเขาถึงระบบเทคโนโลยีสารสนเทศ โดยใหสิทธิ์เฉพาะระบบงานสารสนเทศท่ตีองปฏิบัติตามหนาที่เทานั้น รวมทั้งมีการทบทวนสิทธิ์การเขาใชงานระบบสารสนเทศอยางสม่ําเสมอ
    1.2 มีระบบสารสนเทศและระบบสํารองที่อยูในสภาพพรอมใชงาน รวมทั้งมีแผนเตรียมพรอมในกรณีฉุกเฉินหรือกรณีที่ไมสามารถดําเนินการตามวิธีการทางอิเล็กทรอนิกสได เพื่อใหสามารถใชงานสารสนเทศไดตามปกติอยางตอเนื่อง
    1.3 ตรวจสอบและประเมินความเสี่ยงของระบบสารสนเทศอยางสม่ําเสมอ
  1. แนวปฏิบัติในการรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศ รฟม.
    แนวปฏิบัติในการรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศ รฟม. ใชแนวทางและกระบวนการอางอิงตาม 1) ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส เรื่องแนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคง ปลอดภัยดานสารสนเทศของหนวยงานรัฐ พ.ศ. 2553 2) ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกสเร่ือง มาตรฐานการรักษาความม่ันคงปลอดภัยของระบบสารสนเทศตามวิธีการแบบปลอดภัย พ.ศ. 2555 และ 3) มาตรฐาน ISO/IEC27001:2022 โดยแบงแนวปฏิบัติออกเปน 17 สวน ตามเอกสารแนบทายประกาศ ดังตอไปนี้ 2.1 นโยบายการบริหารจัดการความมั่นคงปลอดภัยสําหรับผูบรหิาร (สวนที่ 1)
    2.2 ความม่นัคงปลอดภัยที่เกี่ยวกับบุคลากร (สวนที่ 2)
    2.3 การรักษาความมั่นคงปลอดภัยทางกายภาพและสิ่งแวดลอม (สวนที่ 3)
    2.4 การจัดการทรัพยสิน (สวนท่ี4)
    2.5 การจัดหา การพัฒนา และการบํารุงรักษาระบบสารสนเทศ (สวนที่ 5)
    2.6 การควบคุมการเขาถงึระบบเทคโนโลยีสารสนเทศ (สวนที่ 6)
    2.7 การควบคุมการเขาถึงระบบเครือขายไรสาย (สวนที่ 7)
    2.8 การควบคุมหนวยงานภายนอกและผูใชงาน (บุคคลภายนอก) เขาถึงระบบเทคโนโลยีสารสนเทศ (สวนที่ 8) 2.9 การใชงานเครื่องคอมพิวเตอรและอุปกรณเคลื่อนที่  ของ รฟม. (สวนที่ 9)
    2.10 การใชงานอินเทอรเน็ตและส่อืสังคมออนไลน (สวนที่ 10)
    2.11 การใชงานจดหมายอเิล็กทรอนิกส ( สวนที่ 11)
    2.12 การสํารองขอมูลและการเก็บรักษาขอมูลจราจรทางคอมพิวเตอร (สวนที่ 12)
    2.13 การตรวจสอบและประเมินความเสี่ยง (สวนที่ 13)
    2.14 การถายโอน และการแลกเปลี่ยนขอมูลสารสนเทศ (สวนที่ 14)
    2.15 การควบคุมการเขารหัส (สว นท่ี15)
    2.16 การนําอุปกรณสวนตัวมาใชงาน (Bring your own device) (สวนที่ 16)
    2.17 การใชบ ริการ Cloud (Cloud Services) (สวนที่ 17)
    /แนวปฏิบัติ…
  • 3 – 3 -
    แนวปฏิบัติในการรักษาความมั่นคงปลอดภัยระบบเทคโนโลยีสารสนเทศตามขอ 2. จัดเปนมาตรฐานดานความมั่นคง ปลอดภัยในการใชงานระบบเทคโนโลยีสารสนเทศของ รฟม. ซึ่งบุคลากรของ รฟม. หนวยงานภายนอก รวมถึงผูใชบริการระบบสารสนเทศของ รฟม. ที่เกี่ยวของจะตองปฏบิัติตามอยา งเครงครัด
  1. กรณีระบบคอมพิวเตอรหรือขอมูลสารสนเทศเกิดความเสียหาย หรืออันตรายใด ๆ แกองคกรหรือผูหนึ่งผูใดอันเนื่องมาจากความบกพรอง ละเลย หรือฝาฝนการปฏิบัติตามแนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคง ปลอดภัยดานสารสนเทศผูวาการการรถไฟฟาขนสงมวลชนแหงประเทศไทย(ChiefExecutive Officer: CEO) เปนผูรับผิดชอบตอความเสี่ยง ความเสียหาย หรืออันตรายที่เกิดขึ้น และดําเนินการตรวจสอบขอเท็จจริงกรณีที่ระบบคอมพิวเตอรหรือขอมูลสารสนเทศเกิดความเสยีหายหรืออันตรายใด ๆแกหนวยงานหรือผูหนึ่งผูใด รวมทั้งใหพิจารณาลงโทษตามเหตุอันควร
    นโยบายนี้ใหใชบ ังคับเมื่อพนกําหนด 7 วัน นับแตวันที่ผูมีอํานาจลงนาม
    ประกาศ ณ วันที่ กันยายน พ.ศ. 2568
    (นายกาจผจญ อุดมธรรมภักดี)
    ผูวาการการรถไฟฟาขนสงมวลชนแหงประเทศไทย

สารบัญ
เรื่อง หนา คํานิยาม ……………………………………………………………………………………………………………………………………………………….1 สวนที่ 1 นโยบายการบรหิารจัดการความมั่นคงปลอดภัยสาํ หรับผูบริหาร ……………………………………………………………….3 สวนที่2 ความมั่นคงปลอดภยัที่เก่ยีวกับบุคลากร………………………………………………………………………………………………..4 สวนที่ 3 การรักษาความมั่นคงปลอดภัยทางดานกายภาพและสิ่งแวดลอ ม ………………………………………………………………7 สวนที่ 4 การจดัการทรัพยสิน ………………………………………………………………………………………………………………………….8 สวนที่ 5 การจดัหา การพัฒนา และการบํารุงรักษาระบบสารสนเทศ ………………………………………………………………….. 10 สวนที่ 6 การควบคุมการเขาถึงระบบเทคโนโลยีสารสนเทศ ………………………………………………………………………………. 12 สวนที่ 7 การควบคุมการเขาถึงระบบเครือขายไรสาย ………………………………………………………………………………………. 22 สวนที่ 8 การควบคุมหนวยงานภายนอกหรือผูใชงานภายนอกเขาถึงระบบเทคโนโลยีสารสนเทศ …………………………….. 23 สวนที่ 9 การใชงานเครื่องคอมพวิเตอรและอุปกรณเคลื่อนที่ของ รฟม. ……………………………………………………………… 25 สวนที่ 10 การใชงานอินเทอรเน็ตและสื่อสงัคมออนไลน …………………………………………………………………………………… 28 สวนที่ 11 การใชงานจดหมายอิเล็กทรอนิกส ………………………………………………………………………………………………….. 32 สวนที่ 12 การสํารองขอมลูและการเก็บรักษาขอมูลจราจรทางคอมพิวเตอร ………………………………………………………… 33 สวนที่ 13 การตรวจสอบและประเมินความเสี่ยง……………………………………………………………………………………………… 35 สวนที่ 14 การถา ยโอน และแลกเปลี่ยนขอมูลสารสนเทศ …………………………………………………………………………………. 38 สวนที่ 15 การควบคุมการเขารหสั ………………………………………………………………………………………………………………… 39 สวนที่ 16 การนําอุปกรณส วนตัวมาใชงาน (Bring your own device) ………………………………………………………………. 40 สวนที่ 17 การใชบริการ Cloud (Cloud Services)………………………………………………………………………………..…………..49
1
เอกสารแนบทายประกาศ การรถไฟฟาขนสงมวลชนแหงประเทศไทย
เรื่อง นโยบายการรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศ
แนวปฏิบัติในการรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศ ของ รฟม.
คํานิยาม
คํานิยามที่ใชในนโยบายน้ีประกอบดวย

  1. รฟม. หมายถึง การรถไฟฟาขนสงมวลชนแหงประเทศไทย
  2. ฝทท. หมายถึง ฝายเทคโนโลยีสารสนเทศ
  3. ฝทบ. หมายถึง ฝายทรัพยากรบุคคล
  4. ผูบริหารระดับสงูสุด หมายถึง ผูวาการการรถไฟฟาขนสงมวลชนแหงประเทศไทย
  5. ผูบังคับบัญชา หมายถึง ผูมอีํานาจสั่งการตามโครงสรางการบริหารของ รฟม.
  6. ผูใชงาน หมายถึง บุคคลที่ไดรับอนุญาตใหสามารถเขาใชงานระบบเทคโนโลยีสารสนเทศของ รฟม. เพื่อประโยชน ในการดําเนินงานของ รฟม. ดังนี้
  • ผูใชงานภายใน หมายถึง บุคลากรของ รฟม.
  • ผูใชงานภายนอก หมายถึง บุคคลภายนอกที่ รฟม. อนุญาตใหเขามาใชงานระบบเทคโนโลยีสารสนเทศของ รฟม. เชน ที่ปรึกษา ผูปฏิบัติงานตามสญั ญา หรือนิสิตนกัศึกษาฝกงาน เปนตน
  1. ผูใชบริการ หมายถึง ผูที่สมัครใชบริการระบบงานสารสนเทศของ รฟม. ผานเครือขายสาธารณะ (Internet) 8. หนวยงานภายนอก หมายถึง องคกรตาง ๆ รวมถึงผูรับจาง ซึ่ง รฟม. อนุญาตใหมีสิทธิ์ในการเขาถึง หรือใชขอมูล หรือสินทรัพยตาง ๆ ของ รฟม. โดยจะไดรับสิทธิ์ในการใชระบบตามประเภทงานตามอํานาจและตองรับผิดชอบในการรักษาความลับของขอมูล
  2. ผูดูแลระบบ หมายถึง พนักงานที่ไดรับมอบหมายจากผูบังคับบัญชาใหมีหนาที่รับผิดชอบในการดูแลรักษาระบบสารสนเทศ และพนักงานของผูรับจางที่รับผิดชอบติดตั้งหรือบํารุงรักษาระบบสารสนเทศให รฟม. 10. เจาของขอมูล หมายถึง ผูไดรับมอบอํานาจจากผูบังคับบัญชาใหรับผิดชอบขอมูลของระบบงานโดยเจาของขอมูลเปนผูรับผิดชอบขอมูลนั้น ๆ หรือไดรับผลกระทบโดยตรงหากขอมูลเหลานั้นเกิดสูญหาย 11. มาตรฐาน หมายถึง บรรทัดฐานที่บงัคับใชในการปฏบิัติการจรงิเพื่อใหไดตามวตัุประสงคหรือเปาหมาย 12. ขั้นตอนปฏิบตัิหมายถึง รายละเอียดที่บอกขั้นตอนเปนขอ ๆ ที่ตองนํามาปฏิบัติเพื่อใหไดมาซึ่งมาตรฐานตามที่ได กาํ หนดไวตามวัตถประสงค ุ
  3. แนวปฏิบัติ หมายถึง แนวทางที่ตองปฏิบัติตามเพ่อืใหสามารถบรรลุวัตถปุ ระสงคหรือเปาหมายไดงายข้นึ 14. ระบบเทคโนโลยีสารสนเทศ (Information technology system) หมายถึง ระบบงานของ รฟม. ท่ีนําเอาเทคโนโลยีสารสนเทศ ระบบคอมพิวเตอร และระบบเครือขายสื่อสารขอมูลมาชวยในการสรางสารสนเทศที่ รฟม. สามารถนํามาใชประโยชนในการวางแผน การบริหาร การสนับสนุน การใหบริการ การพัฒนาและควบคุมการติดตอส่ือสารซึ่งมีองคประกอบ ไดแก ระบบคอมพิวเตอรระบบเครือขาย โปรแกรม ขอมูลและสารสนเทศ เปนตน 15. ขอมูลคอมพิวเตอรหมายถึง ขอมูลขอความ คําสั่ง ชุดคาํสั่ง หรือสิ่งอื่นใด ที่อยูในระบบคอมพิวเตอรในสภาพที่ระบบ คอมพิวเตอรอาจประมวลผลได และใหหมายความรวมถึงขอมูลอิเล็กทรอนิกสตามกฎหมายวาดวยธุรกรรมอเิล็กทรอนิกส
  4. ขอมูลจราจรทางคอมพิวเตอร (Trafficlog) หมายถึง ขอมูลเกี่ยวกับการติดตอสื่อสารของระบบคอมพิวเตอร ซึ่งแสดงถึง แหลงกําเนิด ตนทาง ปลายทาง เวลา วันที่ ปริมาณ ระยะเวลา หรืออื่น ๆ ที่เกี่ยวของกับการติดตอสื่อสารของ ระบบคอมพิวเตอรนั้น
  5. สารสนเทศ (Information) หมายถึง ขอเท็จจริงที่ไดจากขอมูลนํามาผานการประมวลผล การจัดระเบียบใหขอมูลซึ่งขอมูลอาจอยูในรูปของตัวเลข ขอความ หรือภาพกราฟกใหเปนระบบที่ผูใชสามารถเขาใจไดงาย และสามารถนําไปใชประโยชนในการบริหาร การวางแผน การตดัสนิใจ และอื่น ๆ
    2
  6. ระบบคอมพิวเตอร (Computer system) หมายถึง อุปกรณหรือชุดอุปกรณของคอมพิวเตอรที่เชื่อมการทํางานเขาดวยกันโดยไดมีการกําหนดคําสั่ง ชุดคําสั่งหรือสิ่งอื่นใด และแนวปฏิบตัิงานใหอปุ กรณหรือชุดอุปกรณทําหนาท่ีประมวลผลขอมูลโดยอัตโนมัติ
  7. ระบบเครือขายสื่อสารขอมูล (Network system) หมายถึง ระบบที่สามารถใชในการติดตอสื่อสารหรือการสงขอมูลและสารสนเทศระหวางระบบเทคโนโลยีสารสนเทศตาง ๆ ของ รฟม. เชน ระบบแลน (LAN) ระบบอินทราเน็ต (Intranet) ระบบอินเทอรเน็ต (Internet) เปนตน
  8. สิทธ์ิของผูใชงาน หมายถึง สิทธิ์ทั่วไป สิทธิ์จําเพาะ สิทธิพิเศษ และสิทธิ์อื่นใด ที่เก่ียวของกับระบบสารสนเทศของหนวยงาน
  9. ความมั่นคงปลอดภัยดานสารสนเทศ หมายถึง การธํารงไวซ่งึความลับ (Confidentiality) ความถูกตองครบถวน(Integrity) และสภาพพรอมใชงาน (Availability) ของสารสนเทศ รวมทั้งคุณสมบัติอื่น ไดแก ความถูกตองแทจริง (Authenticity) ความรับผิด (Accountability) การหามปฏิเสธความรับผิด (Non-repudiation) และความนาเชื่อถือ (Reliability)
  10. เหตุการณดานความมั่นคงปลอดภัย หมายถึง เหตุการณที่แสดงใหเห็นความเปนไปไดที่จะเกิดการฝาฝนนโยบายดานความมั่นคงปลอดภยั มาตรการปองกันท่ลีมเหลว หรือเหตุการณอันไมอาจรูไดวาอาจเก่ยีวของกับความมั่นคงปลอดภัย23. สถานการณดานความมั่นคงปลอดภัยที่ไมพึงประสงคหรือไมอาจคาดคิด หมายถึงสถานการณดานความมั่นคงปลอดภยั ที่ไมพึงประสงคหรือไมอาจคาดคิด (Unwanted or unexpected) ซึ่งอาจทําใหระบบขององคกรถูกบุกรุกหรือโจมตีและความมั่นคงปลอดภัยถูกคุกคาม
  11. การเขาถึงหรือควบคุมการใชงานสารสนเทศ หมายถงึการอนุญาต การกาํ หนดสิทธิ์หรือการมอบอํานาจใหผูใชงานเขาถึงหรือใชงานเครือขายหรือระบบสารสนเทศ ทั้งทางอิเล็กทรอนิกสและทางกายภาพ ตลอดจนอาจกําหนดขอปฏิบัติเกี่ยวกับการเขาถึงโดยมิชอบเอาไวดวยก็ได
  12. สินทรัพย (Assets) หมายถึง สินทรัพยดานระบบเทคโนโลยีสารสนเทศและการสื่อสารของ รฟม. เชน อุปกรณ คอมพิวเตอรอุปกรณระบบเครอืขา ย ซอฟตแวรที่มีคาลิขสิทธ์ ขอมูล ระบบขอมูล ฯลฯ ิ 26. จดหมายอิเล็กทรอนิกส (Email) หมายถึง ระบบท่ีบุคคลใชในการรับ - สงขอความระหวางกัน โดยผานเครื่อง คอมพิวเตอรและเครือขายที่เชื่อมโยงถึงกัน ขอมูลที่สงจะเปนไดทั้งตัวอักษร ภาพถาย ภาพกราฟก ภาพเคล่อืนไหวและเสียงผูสงสามารถสงขาวสารไปยังผูรับคนเดียวหรือหลายคนก็ไดโดยขาวสารที่สงน้ันจะถูกเก็บไวในตูจดหมาย(Mail box) ที่กําหนดไวสําหรับผูใชงาน ผูรับสามารถเปดอาน พิมพลงกระดาษ หรือจะลบทิ้งก็ได 27. ชุดคําสั่งไมพึงประสงค (Malicious code) หมายถึง ชุดคําสั่งที่มีผลทําใหคอมพิวเตอร หรือระบบคอมพิวเตอร หรือชุดคําสั่งอื่นเกิดความเสียหาย ถูกทําลาย ถูกแกไขเปลี่ยนแปลงหรือเพิ่มเติม ขัดของหรือปฏิบัติงานไมตรง ตามคําสั่งที่กําหนดไว
  13. เครื่องคอมพิวเตอรหมายถึง เคร่อืงคอมพิวเตอรแบบตั้งโตะ และเครื่องคอมพิวเตอรแบบพกพา 29. อปุ กรณเคลื่อนที่ (Mobile device) หมายถึง อุปกรณอิเล็กทรอนิกสแบบพกพา ซึ่งมีความสามารถในการเชื่อมตอกับอปุ กรณอื่นเพื่อรับสงขอมูลผานระบบเครือขายโทรคมนาคมไรสายหรือโดยอาศัยคลื่นแมเหล็กไฟฟาเปนสื่อกลาง เชน Tablet, Smart Phone
  14. ทรัพยสินของ รฟม. หมายถึง ครุภัณฑ รฟม. และทรัพยสินที่ไมมีการขึ้นทะเบียนครุภัณฑที่ รฟม. จัดสรรงบประมาณเพื่อเปนคาใชจายใหท้งัหมดหรอืบางสวน
  15. อุปกรณสวนตัว หมายถึง อุปกรณที่ไมใชทรัพยสินของ รฟม. ที่ผูใชงานนํามาเชื่อมตอกับระบบสารสนเทศของ รฟม. เชน เครื่องคอมพิวเตอรสวนบุคคล (Personal computer) เคร่ืองคอมพิวเตอรพกพา (Notebook) อปุ กรณเคลื่อนที่ (Mobile device) Removable media หรืออุปกรณคอมพิวเตอรของโครงการรถไฟฟา เปนตน
    3
    สวนท่ี1
    นโยบายการบริหารจัดการความมั่นคงปลอดภัยสําหรับผูบริหาร
    วัตถุประสงค
    ▪ เพื่อใหการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศขององคกรมีความสอดคลองกับมาตรฐานสากลและกฎหมายดานความมั่นคงปลอดภัยที่เก่ยีวของ
    ผูรบั ผดิชอบ
    ▪ ผูบริหารสูงสดุ
    อางอิงมาตรฐาน: ISO/IEC 27001:2022
    ▪ มาตรการควบคุมดานองคกร (Organizational Controls)
    แนวปฏิบัติ
  16. จัดใหมีการทําและทบทวนหรือปรับปรุงนโยบายความมั่นคงปลอดภัย และแนวปฏิบัติที่สนับสนุนการทํางานตาง ๆ อยางนอยปละ 1 ครั้ง โดยพิจารณาจากปจจัยนําเขา ดังนี้
    1.1 กลยุทธการดําเนนิงานขององคกร
    1.2 ขอมูลกฎหมาย ระเบียบ ขอบังคับตาง ๆ ท่ตีองปฏิบัติตาม
    1.3 การปรับปรุงนโยบายความมั่นคงปลอดภัยสําหรับปถัดไป
    1.4 ผลการประเมินความเสี่ยงและแผนลดความเสี่ยง
    1.5 ผลการแจงเตอืนโดยระบบปองกันการบุกรุกในปที่ผานมา
    1.6 ผลของการตรวจสอบขอมูลการปดชองโหว (Patch) สําหรบัระบบตาง ๆ ในปที่ผานมา 1.7 การจดัทาํและตอสัญญาบํารุงรักษาระบบและอุปกรณต าง ๆ
    1.8 แผนการอบรมทางดานความมั่นคงปลอดภัยประจําปซึ่งรวมถึงการสรางความตระหนัก 1.9 ผลการทดสอบแผนกูคืนในปที่ผานมา
    1.10 ขอมูลภัยคุกคามตาง ๆ ท่เีคยเกิดขึ้นในอดีตและปจจบุ ัน รวมท้งัภัยคุกคามที่ไดรับแจงจากหนวยงานภายนอก1.11 ผลการตรวจสอบการปฏิบัติตามนโยบายความมั่นคงปลอดภัยโดยผูตรวจสอบภายในหรือโดยผูตรวจสอบอสิระดานความมั่นคงปลอดภัยจากภายนอก
  17. จัดใหมีทรัพยากรดานบุคลากร งบประมาณ การบริหารจัดการ และวัตถุดิบที่เพยีงพอตอการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศในแตล ะปงบประมาณ
  18. จัดใหมีบุคลากรดําเนินงานดานความมั่นคงปลอดภัยสารสนเทศและกําหนดหนาที่ความรับผิดชอบรวมทั้ง ปรับปรุงโครงสรางดังกลาวตามความจําเปน
  19. แสดงเจตนารมณหรือสื่อสารอยางสม่ําเสมอเพื่อใหผูใชงานทั้งหมดไดเห็นถึงความสําคัญของการปฏิบัติตามนโยบายความมั่นคงปลอดภัยและนโยบายสนับสนุนตาง ๆ โดยเครงครัดและเปนผูรับผิดชอบตอความเสี่ยง ความเสียหาย หรืออันตรายที่เกิดขึ้นกับสารสนเทศขององคกร รวมถึงสรางความรวมมือระหวางหนวยงานที่เก่ยีวของกับความมั่นคงปลอดภยัสารสนเทศ
    4
    สวนท่ี2
    ความมั่นคงปลอดภัยที่เกี่ยวกบั บุคลากร
    วัตถุประสงค
    ▪ เพื่อใหผูใชงานเขาใจถึงบทบาท หนาที่ความรับผิดชอบ ทั้งกอนการจางงาน ระหวางการจางงาน และสิ้นสุดหรือเปลี่ยนแปลงการจางงาน ตลอดจนตระหนักถึงภัยคุกคามและปญหาที่เกี่ยวของกับความมั่นคงปลอดภัยของ ระบบเทคโนโลยีสารสนเทศเพื่อลดความเสี่ยงอันเกิดจากการขโมย การฉอโกง การใชงานระบบเทคโนโลยีสารสนเทศผิดวัตถุประสงคและความผิดพลาดในการปฏิบัติหนาที่ ซึ่งอาจสงผลกระทบหรือทําให รฟม. เกิดความเสยีหาย
    ผูรบั ผดิชอบ
    ▪ ผูอํานวยการฝายเทคโนโลยีสารสนเทศ ผูอํานวยการฝายทรัพยากรบุคคล ผูอํานวยการฝาย/สํานัก/สํานักงาน ที่กํากับดูแลงานที่มีการวาจางหนวยงานภายนอก
    อางอิงมาตรฐาน: ISO/IEC 27001:2022
    ▪ มาตรการควบคุมดานองคกร (Organizational Controls)
    ▪ มาตรการควบคุมดานบุคลากร (People Controls)
    แนวปฏิบัติ
  20. การสรางความม่ันคงปลอดภัยกอนการจางงาน (Prior to Employment) เพ่ือคัดสรรบุคลากรกอนที่จะเขามาปฏิบัติงาน และเพื่อลดความเสี่ยงจากการปฏิบัติงานผิดพลาด การขโมย การปลอมแปลง และการนําระบบสารสนเทศหรือทรัพยากรสารสนเทศของ รฟม. ไปใชในทางที่ไมเหมาะสม รวมทั้งเพื่อใหผูใชงานเขาใจในหนาที่ ความรับผิดชอบของตนเอง
    1.1 การตรวจสอบคุณสมบัติของผูสมัคร (Screening)
    ฝทบ. หรือฝาย/สํานัก/สํานักงาน ที่กํากบัดแูลงานที่มีการวาจางหนวยงานภายนอก/บุคคลภายนอกตองตรวจสอบคุณสมบัติของผูสมัคร (ทั้งกรณีการจางเปนพนักงาน ลูกจาง การวาจางหนวยงานภายนอก/บุคคลภายนอก เพื่อปฏิบัติงานใหรฟม. รวมทั้งนิสติ นักศึกษาฝกงาน) โดยผูสมัครตองไมเคยกระทําผิดกฎหมาย ระเบียบ  ขอบังคบั หรือจรยิธรรม รวมทั้งไมมีประวัติในการบุกรุก แกไข ทําลาย หรือโจรกรรมขอมูลในระบบเทคโนโลยีสารสนเทศมากอน และมีคุณสมบัติตามที่ รฟม. กําหนด
    1.2 การกําหนดเงื่อนไขการจางงาน (Terms and Conditions of Employment) การวาจางใหมีเงื่อนไขการจางงานใหครอบคลุมในเรื่องดังตอไปนี้
    1.2.1 กําหนดหนาที่ความรับผิดชอบดานความมั่นคงปลอดภัยดานสารสนเทศอยางเปนลายลักษณอักษร (Information Security Roles and Responsibilities) แกผูใชงาน โดยกําหนดใหสอดคลองกับ
    นโยบายความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศของ รฟม.
    1.2.2 กําหนดใหมีการลงนามในสัญญาวาจะไมเปดเผยความลับของ รฟม. (Non-Disclosure Agreement: NDA)
    1.2.3 ระบบเทคโนโลยีสารสนเทศที่สรางหรือพัฒนาโดยผูใชงานในระหวางการวาจางถือเปนสินทรัพย ของ รฟม.
    1.2.4 กําหนดความรับผิดชอบหรือบทลงโทษ หากผูใชงานไมปฏิบัติตามนโยบายการรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยสีารสนเทศ รฟม. รวมทั้ง กฎหมาย ระเบียบ ขอบังคับ หรือขอกําหนดอื่น ๆ ท่เีกี่ยวของกับการรักษาความมั่นคงปลอดภยัของระบบเทคโนโลยีสารสนเทศ
    5
  21. การสรางความมั่นคงปลอดภัยในระหวางการจางงาน (During Employment) เพื่อสรางความตระหนักแกผูใชงานเกี่ยวกบั ภัยที่เกี่ยวของกบัการปฏิบตัิงานสารสนเทศ รวมถึงใหความรูเพื่อใหสามารถปองกันภัยดังกลาวได 2.1 หนาที่ในการบริหารจัดการทางดานความมั่นคงปลอดภัย (Management Responsibilities)
    ผูบริหาร รฟม. ทุกระดับชั้นมีหนาที่สนับสนุนและสงเสริมเรื่องดังตอไปนี้แกผูใชงาน 2.1.1 ประกาศนโยบายการรักษาความมั่นคงปลอดภัยดานสารสนเทศของ รฟม. เปนลายลักษณอักษรใหทุกคนรับทราบและปฏิบัติตาม
    2.1.2 จูงใจใหผูใชงานปฏิบัติตามนโยบายการรักษาความมั่นคงปลอดภัยดานสารสนเทศของ รฟม. 2.1.3 สรางความตระหนักถึงความมั่นคงปลอดภัยดานสารสนเทศท่ีเกี่ยวของกับหนาที่ความรับผิดชอบของตนเองและของ รฟม.
    2.2 การสรางความตระหนัก การใหความรูและการอบรมดานความมั่นคงปลอดภัยใหแกผูใชงาน (Information Security Awareness, Education and Training) การสรางความตระหนักในการรักษาความมั่นคงปลอดภัยอยางสม่ําเสมอ
    2.2.1 ผูดูแลระบบตองแจงเตือนภัยคุกคาม และชองโหวที่สงผลกระทบตอความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศแกผูใชงานที่เกี่ยวของ นอกจากนี้ตองแจงเตือนใหผูใชงานเพิ่มความระมัดระวัง ความเสี่ยงตาง ๆ เชน ไวรัสคอมพิวเตอร เทคนิคการหลอกลอทางจิตวิทยา (Social Engineering) และชองโหวทางเทคนิค เปนตน
    2.2.2 ฝทท. ตองดําเนินการฝกอบรม หรือประชาสัมพันธเพื่อสรางความตระหนักดานความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศแกผูใชงานเปนประจําทุกป
    2.2.3 ฝทท. ตองแจงผูใชงานใหทราบ เมื่อมีการเปลี่ยนแปลงนโยบายการรักษาความมั่นคงปลอดภัยสารสนเทศของ รฟม. รวมทั้งอธบิายผลกระทบจากการเปลี่ยนแปลงดังกลา ว
    2.3 การแจงเหตุการณไมปกติ
    ผูใชงานตองแจงเหตุการณไมปกติดานเทคโนโลยีสารสนเทศที่พบผานชองทางที่ รฟม. กําหนดโดยเร็วที่สุด2.4 การกําหนดบทลงโทษ
    2.4.1 ความรับผิดตามกฎหมาย
    นโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยดานสารสนเทศนี้ไมไดกอใหเกิดสิทธิ์ ทางกฎหมายที่ทําใหผูใชงานพนผิดแมจะไดปฏิบัติตามนโยบายและแนวปฏิบัติในการรักษาความมั่นคง ปลอดภัยสารสนเทศ และผูใชงานตกลงยินยอมที่จะไมดําเนินการใด ๆ ทางกฎหมายตอ รฟม. ซึ่งได ปฏิบัติตามระเบียบนี้ แตอยางไรก็ตามหากผูใชงานกระทําการละเมิดหรือกระทําผิดตามนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยสารสนเทศ อาจเปนความผิดทางวินัยและเปนเหตุ ใหถูกลงโทษทางวินัยไดรฟม. ไมมีสวนรับผิดชอบตอการละเมิดทรัพยสินทางปญญาท่ีเกิดจากการใชระบบคอมพิวเตอร
    2.4.2 การพิจารณาโทษผูกระทําผิด
    ผูใชงานที่กระทําความผิด ฝทท. จะเพิกถอนสิทธิ์การใชงานและอาจเปนความผิดทางวินัย หรือความผิดตามกฎหมายที่เกี่ยวของ
  1. พนักงาน/ลูกจางที่ฝาฝนหรือละเมิดนโยบายการรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศ รฟม. ตองถูกลงโทษตามกระบวนการทางวินัยของ รฟม. รวมถึงกฎหมายที่เกี่ยวของ 2) หนวยงานภายนอก/บุคคลภายนอกที่กระทําความผิด จะมีโทษตามที่ระบุไวในสัญญาหรือถูกเพิกถอนสิทธิ์การใชงาน รวมถึงดําเนินการตามกฎหมายที่เกี่ยวของ
    6
  1. การสิ้นสดุ หรือการเปลี่ยนแปลงการจางงาน (Termination and Change of Employment) เพื่อกําหนดหนาที่ความรับผิดชอบเมื่อสิ้นสุดหรือเปลี่ยนแปลงการจางงาน ซึ่งรวมไปถึงการคืนทรัพยสินและการถอดถอนสิทธิ์ในการเขาถึง
    3.1 การแจงการสิ้นสุดหรือเปลี่ยนแปลงการจางงาน
    3.1.1 ฝทบ. ตองแจงให ฝทท. ทราบทันทีหากพนักงานมีการลาออก โยกยาย เกษียณ หรือเสียชีวิต เพื่อ ฝทท. จะไดตรวจสอบและบริหารจัดการสิทธิ์ในการเขาถึงระบบเทคโนโลยีสารสนเทศ 3.1.2 ฝาย/สํานัก/สํานักงาน ที่กํากับดูแลงานที่มีการวาจางหนวยงานภายนอก/บุคคลภายนอก ตองแจงให ฝทท. ทราบทันทีในกรณีที่ผูรับจางภายนอกสิ้นสุดสัญญาจางหรือมีการยกเลิกสัญญาจาง เพื่อให ฝทท. ตรวจสอบการใชงานระบบสารสนเทศและถอดถอนสิทธิ์ในการเขาถึงระบบสารสนเทศของ รฟม.
    3.2 การคืนสินทรัพยของ รฟม.
    ผูดูแลระบบตองตรวจสอบเพ่ือเรียกคืนสินทรัพยของ รฟม. จากผูใชงาน เมื่อการสิ้นสุดหรือการเปลี่ยนแปลง การจางงาน
    3.3 การถอดถอนสิทธิ์ในการเขาถึง
    3.3.1 ผูดูแลระบบตองถอดถอนสิทธิ์ในการเขาถึงของผูใชงาน เมื่อสิ้นสุดหรือเปลี่ยนแปลงการจางงาน 3.3.2 การถอดถอนสิทธิ์ในการเขาถึงหมายรวมถึง ทางกายภาพ (Physical) และทางตรรกะ (Logical) เชน กุญแจ บัตรแสดงตน บัตรประจําตัวผูใชงาน และบัญชผีูใชงาน เปนตน
    3.3.3 ในกรณีท่ผีูใชงานที่สิ้นสุดหรือเปลี่ยนแปลงการจางงาน มีการใชบัญชีผูใชงานรวมกัน (Shared User ID) กับผูใชงานอื่น ผูบังคับบัญชาตองเปลี่ยนรหัสผานทนั ทีหลังจากสิ้นสุดหรือเปล่ยีนแปลงการจางงาน
    7
    สวนท่ี3
    การรักษาความมั่นคงปลอดภัยทางดานกายภาพและส่งิแวดลอม
    วัตถุประสงค
    ▪ เพื่อควบคุมและปองกันการรักษาความมั่นคงปลอดภัยที่เกี่ยวของกับการเขาถงึอาคารสถานที่ และพื้นท่จีัดเก็บขอมูลคอมพิวเตอร (Data Storage Area)
    ผูรบั ผดิชอบ
    ▪ ผูดูแลระบบ
    ▪ ผูอํานวยการฝายจัดซื้อและบริการ
    อางอิงมาตรฐาน: ISO/IEC 27001:2022
    ▪ มาตรการควบคุมดานกายภาพ (Physical Controls)
    แนวปฏิบัติ
  2. ผูดูแลระบบ ตองออกแบบ และติดตั้งอุปกรณหรือระบบสนับสนุน (Facilities) เพื่อปองกันความมั่นคงปลอดภัยดานกายภาพ เชน อุปกรณดับเพลิง ระบบสํารองไฟฟา เครื่องกําเนิดไฟฟา ระบบปรับอากาศและควบคุมความชื้น ระบบเตือนภัยน้ํารั่ว และตองมีการบํารุงรักษาอยางสม่ําเสมอ
  3. ผูดูแลระบบตองติดตั้งอุปกรณสารสนเทศในตูแร็ก (Rack) หรือสถานที่ท่มีีความมั่นคงปลอดภัยและมีการปดล็อค3. ผูดูแลระบบ ตองมีการปองกันสายเคเบิลที่ใชเพื่อการส่อืสารหรือสายไฟ มิใหมีการดักรับสัญญาณ (Interception) หรือมีความเสียหายเกิดขึ้น โดยจะตองเดินสายเคเบิลผานทอรอยสายหรือทางเดนิสายที่มั่นคงปลอดภัยจากการเขาถึง และไมเดินสายผานพื้นที่ท่เีขาถึงไดอยางสาธารณะ รวมทั้งสายเคเบิลสื่อสารและสายไฟฟาตองแยกจากกันโดยมีระยะหา งที่เหมาะสม
  4. การกําหนดบริเวณที่มีการรักษาความมั่นคงปลอดภัย
    กาํ หนดพื้นที่ของระบบเทคโนโลยีสารสนเทศตาง ๆอยา งเหมาะสม เพ่อืเปนการเฝาระวัง ควบคุม การรักษาความม่ันคง ปลอดภัยจากผูที่ไมไดรบัอนุญาต รวมทั้งปองกันความเสียหายอื่น ๆ ที่อาจเกิดขึ้นไดโดยแบงแยกบรเิวณพื้นที่ใชงานระบบเทคโนโลยีสารสนเทศออกเปน
    4.1 พื้นที่ทํางาน (Working area) หมายถึง พื้นที่ติดตั้งเครื่องคอมพิวเตอรสวนบุคคลและคอมพิวเตอรพกพาที่ประจําโตะทํางาน
    4.2 พื้นที่จัดเก็บขอมูลคอมพิวเตอร (Data storage area) หมายถึง พื้นที่ศูนยของขอมูล (Data center) 5. การควบคุมการเขาออก อาคาร สถานที่
    5.1 กาํ หนดสิทธิ์ของผูใชงานและหนวยงานภายนอกในการเขาถึงสถานที่ โดยแบงแยกได ดังนี้ 5.1.1 ผูดูแลระบบตองกําหนดสิทธ์ิแกผูใชงานที่มีสิทธิ์เขา - ออก และกําหนดชวงระยะเวลาที่มีสิทธิ์ ในการเขา - ออกแตละพื้นที่ใชงานระบบเทคโนโลยีสารสนเทศอยางชัดเจน
    5.1.2 เจาหนาที่รักษาความปลอดภัย (รปภ.) จะตองใหหนวยงานภายนอก/บุคคลภายนอกแลกบัตรที่สามารถระบุตัวตนของบุคคลนั้น ๆกอนเขาถึงอาคารของ รฟม. เชน บตัรประจําตัวประชาชน ใบอนุญาตขับขี่
    เปนตน แลวบันทกึขอมูลบัตรในสมดุ บนั ทึกหรือระบบงานสารสนเทศ
    5.1.3 หนวยงานภายนอก/บุคคลภายนอกที่มาติดตอตองติดบัตรผูติดตอ (Visitor) ตรงจุดที่สามารถเห็นได ชัดเจนตลอดเวลาที่อยูใน รฟม. และคืนบัตรผูติดตอ (Visitor) กอนออกจากอาคารของ รฟม.
    5.1.4 เจาหนาที่รักษาความปลอดภัย (รปภ.) ตองตรวจสอบผูติดตอ อุปกรณ พรอมลงเวลาออกที่สมุดบันทกึหรือระบบสารสนเทศใหถกูตอง
    5.2 ผูดูแลระบบ ตองควบคุมการเขา – ออกพื้นที่จัดเก็บขอมูลคอมพิวเตอร (Data Storage Area) ไมใหผูไมมีสิทธิ์ เขาถึงได โดยกําหนดพื้นที่การสงมอบสินคาและพื้นที่การเตรียมหรือประกอบอุปกรณสารสนเทศ (Unpack Area) กอนนําเขาพื้นที่จัดเก็บขอมูลคอมพิวเตอร (Data storage area) และตองควบคุมการ เขา - ออก เพื่อหลีกเลี่ยงการเขาถึงระบบสารสนเทศและขอมูลสารสนเทศโดยไมไดรับอนุญาต โดยปฏิบัติตามขั้นตอนที่ รฟม. กําหนด
    8
    สวนท่ี4
    การจัดการทรัพยสิน
    วัตถุประสงค
    ▪ เพื่อบริหารจัดการทรัพยสินสารสนเทศ ตั้งแตการจัดหา การใชงาน จนถึงการยกเลิกใชงาน โดยมีการระบุ ทรัพยสินขององคกรและกําหนดหนาที่ความรับผิดชอบในการปกปองทรัพยสินสารสนเทศอยางเหมาะสม ผูรบั ผดิชอบ
    ▪ ผูบังคับบัญชา
    ▪ ผูดูแลระบบ
    ▪ เจาของขอมูล
    ▪ ผูใชงาน
    อางอิงมาตรฐาน: ISO/IEC 27001:2022
    ▪ มาตรการควบคุมดานองคกร (Organizational Controls)
    ▪ มาตรการควบคุมดานกายภาพ (Physical Controls)
    ▪ มาตรการควบคุมดานเทคโนโลยี (Technological Controls)
    แนวปฏิบัติ
  5. หนาที่ความรับผิดชอบตอทรัพยสินสารสนเทศ (Responsibility for Assets)
    1.1 เจาของขอมูลและผูดูแลระบบ ตองรวมกันจัดทําบัญชีทรัพยสิน/ทะเบียนทรัพยสิน (Asset Inventory) และทบทวนทะเบียนทรัพยสินอยางนอยปละ 1 ครั้ง หรอืเมื่อมีการเปลี่ยนแปลงที่มีนัยสําคญั
    1.2 เจาของขอมูลและผูดูแลระบบ ตองระบุเจาของทรัพยสินสารสนเทศทุกรายการ เพื่อรับผิดชอบดูแลความมั่นคงปลอดภัยสารสนเทศตลอดวงจรอายุการใชงาน
    1.3 เจาของขอ มูลและผูดูแลระบบ ตองเรียกคืนทรัพยสินสารสนเทศเมื่อสิ้นสุดหรือเปลี่ยนแปลงการจางงาน 1.4 ผูใชงานตองใชทรัพยสินสารสนเทศของ รฟม. อยางระมัดระวัง และใชเพื่อปฏิบัติงานของ รฟม. เทานั้น รวมทั้งตองปฏิบัติตามกฎหมาย ระเบียบ ขอบังคับ และนโยบาย ของ รฟม.
  6. การจาํแนกประเภทของทรัพยสินสารสนเทศ (Asset Classification)
    2.1 เจาของขอมูลและผูดูแลระบบ ตองจําแนกประเภททรัพยสินตามขั้นตอนที่ รฟม. กําหนด และทบทวนการจําแนกดังกลาวอยางสม่ําเสมอ
    2.2 เจาของขอมูลและผูดูแลระบบ ตองจัดทําปายชื่อทรัพยสินสารสนเทศ (Labeling) ใหชัดเจน พรอมทั้งจัดใหมีมาตรการดูแลการรกัษาความม่นัคงปลอดภัยสารสนเทศที่สอดคลองกับประเภททรัพยสินตามระดับช้นัความลับที่ รฟม. กําหนด
  7. การจดัการสื่อบันทึกขอมูล (Media Handling)
    3.1 เจาของขอมูล ผูดูแลระบบ และผูใชงานตองควบคุมการใชงานและจัดเก็บสื่อบันทึกแบบถอดหรือตอพวง กบัเครื่องคอมพวิเตอรได(Removable Media) ตามที่ รฟม. กําหนด
    3.2 เจาของขอมูลตองมีการเขารหัสขอมูลท่ีออนไหว (Sensitive Data) ของ รฟม. ที่จัดเก็บอยูในสื่อบันทึกแบบถอดได
    3.3 เจาของขอมูล ผูดูแลระบบ และผูใชงานตองทําลายขอมูลสําคัญในอุปกรณส่ือบันทึกขอมูล แฟมขอมูลตามขั้นตอนท่ีรฟม. กําหนด โดยไมสามารถกูคืนขอมูลกลับมาไดอีกกอนจะกําจัดอุปกรณดังกลาวหรือกอนที่จะอนุญาตใหผูอื่นนําอุปกรณนั้นไปใชงานตอเพื่อปองกันไมใหมีการเขาถึงขอมูลที่สําคัญได โดยพิจารณาวิธีการทําลายขอมูลบนสื่อบันทึกขอมูลแตละประเภท ดงันี้
    9
    ประเภทสื่อบันทึกขอมลู วิธีทําลาย
    กระดาษ ใหหั่นดวยเครื่องทําลายเอกสาร
    Flash Drive 1) ทาํลายขอมูลบน Flash Drive ตามมาตรฐาน
    DOD5220.22M ของกระทรวงกลาโหมสหรัฐอเมริกา
    ซึ่งเปนการเขียนทับขอมูลเดิมหลายรอบ
  1. ใชวิธีทุบหรือบดใหเสียหาย
    แผน CD/DVD ใหหั่นดวยเครื่องทําลายเอกสาร
    เทป ใชวิธีทุบหรือบดใหเสียหายหรือเผาทําลาย
    ฮารดดิสก
    1. ทาํลายขอมูลบนฮารดดิสกตามมาตรฐาน 
      DOD5220.22M ของกระทรวงกลาโหมสหรัฐอเมริกาซึ่งเปนการเขียนทับขอมูลเดิมหลายรอบ 2) ใชวิธีทุบหรือบดใหเสียหาย

3.4 เจาของขอมูลผูดูแลระบบ และผูใชงาน ตองมีการปองกันสื่อบันทึกขอมูลที่ใชจัดเก็บขอมูลสารสนเทศในกรณี
ที่มีการเคลื่อนยายเพื่อปองกันการเขาถึงขอมูลสารสนเทศโดยไมไดรับอนุญาต ถูกนาํ ไปใชงานผิดวัตถุประสงค รวมถึงปองกันสื่อบันทึกขอมูลไมใหไดรับความเสียหาย โดยรักษาความปลอดภัยสารสนเทศตามขั้นตอนที่ รฟม. กําหนด
4. การบริหารจัดการคาคอนฟกูเรชัน (Configuration Management)
4.1 ผูบังคับบัญชาตองกําหนดใหมีแนวทางการบริหารจัดการคาคอนฟกูเรชัน (Configuration Management) 4.2 ผูดูแลระบบตองกําหนดคา Minimum Baseline Standard เพื่อเปนมาตรฐานในการการตั้งคาของ ระบบปฏิบัติการ ระบบฐานขอมูล ระบบงาน และอุปกรณเครือขายสื่อสารตาง ๆอยางเปนลายลักษณอักษรและตองการทบทวนปรับปรงุ ใหเปน ปจจุบันอยางนอยปละ 1 ครั้ง
4.3 ผูดูแลระบบตองควบคุมการเปลี่ยนแปลงการต้ังคาของระบบปฏิบัติการ ระบบฐานขอมูล ระบบงาน และอุปกรณเครือขายสื่อสารตาง ๆ ตามขั้นตอนปฏิบัติการควบคุมการเปลี่ยนแปลงหรือแกไขระบบที่ รฟม. กาํ หนด
4.4 ผูดูแลระบบตองควบคุมเวอรชันของคาคอนฟกูเรชัน (System Configuration Version Control) 4.5 ผูดูแลระบบตองมีการสอบทานคาคอนฟกูเรชันของระบบปฏิบัติการ ระบบฐานขอมูล ระบบงาน และอุปกรณเครือขายสื่อสารตาง ๆ อยางนอยปละ 1 ครั้ง
10
สวนที่ 5
การจัดหา การพัฒนา และการบํารุงรักษาระบบสารสนเทศ
วัตถุประสงค
▪ เพื่อควบคุมการจัดหา พัฒนา และบํารุงรักษาระบบสารสนเทศ ใหมีการกําหนดมาตรการการรักษาความมั่นคง ปลอดภัย เพื่อปองกันความผิดพลาด สูญหาย และการเปลี่ยนแปลงแกไขระบบ
ผูรบั ผดิชอบ
▪ ผูบังคับบัญชา
▪ ผูดูแลระบบ
อางอิงมาตรฐาน: ISO/IEC 27001:2022
▪ มาตรการควบคุมดานองคกร (Organizational Controls)
▪ มาตรการควบคุมดานเทคโนโลยี(Technological Controls)
แนวปฏิบัติ

  1. ผูบังคับบัญชา ตองควบคุมใหมีการกําหนดขอตกลงและความรับผิดชอบที่เกี่ยวของกับความเสี่ยงดานความมั่นคง ปลอดภัยสารสนเทศลงในสัญญากับผูใหบริการภายนอก โดยใหครอบคลุมรวมถึงผูรับจางชวงดวย 2. ผูบังคับบัญชาตองควบคุมใหมีขอตกลง (Sign Off) กอนเริ่มใชงานระบบจริง (Production) หรือกอนเร่มิ Go Live 3. ผูดูแลระบบ ตองจัดทําขอกําหนดโดยระบุถึงการควบคุมความมั่นคงปลอดภัยดานสารสนเทศที่สอดคลองกับนโยบายและแนวปฏบิัติดานความมั่นคงปลอดภัยสารสนเทศขององคกร เชน วิธีการแบบปลอดภัยในการพัฒนาโปรแกรมตามมาตรฐาน OWASP (Open Web Application Security Project) Top 10 หรือมาตรฐาน CWE (Common Weakness Enumeration) Top 25 หรือมาตรฐานที่ยอมรับในสากล
  2. ผูดูแลระบบตองออกแบบโครงสรางการจัดวางระบบงานและเสนอผูบังคับบัญชาเห็นชอบกอนเริ่ม Go Live 5. ผูดูแลระบบ ตองมีการออกแบบระบบเพื่อตรวจสอบขอมูลที่จะรับเขาสูแอปพลิเคชัน ขอมูลที่เกิดจากการประมวลผล และขอมูลที่อยูระหวางการประมวลผล เพ่ือตรวจหาและปองกันความไมถูกตองที่เกิดขึ้นกับขอมูลเชน หนวยความจําลน (Buffer Overflows) การใชตัวแปรผิดประเภท และตองมีมาตรการปองกันหรือควบคุมความลมเหลวระหวางการประมวลผล (Rollback)
  3. ผูดูแลระบบตองมีการควบคุมการเขาถึงและควบคุมการเปลี่ยนแปลงหรือแกไขระบบตามขั้นตอนที่ รฟม. กําหนดเพื่อควบคุมผลกระทบที่เกิดขึ้น
  4. ผูดูแลระบบตองจํากัดใหมีการเปลี่ยนแปลงใด ๆ ตอซอฟตแวรที่ใชงาน (Software Package) โดยเปลี่ยนแปลง เฉพาะที่จําเปนเทานั้น และควบคุมทกุ ๆ การเปลี่ยนแปลงอยางเขมงวดตามขั้นตอนที่ รฟม. กําหนด 8. ผูดูแลระบบตองจํากัดการเขาถึง Source Code ใหเขาถึงไดเฉพาะผูที่มสีิทธิ์เทานั้น 9. ผูดูแลระบบตองจัดทํา Source Code Review เพื่อหาขอผิดพลาดหรือสิ่งผิดปกติและปรับปรุง Source Code ใหมีคุณภาพ
  5. ผูดูแลระบบตองควบคุมการจัดสง Source Code ผานชองทางที่มั่นคงปลอดภัยและเปนชองทางที่ รฟม. กาํ หนดใหใชงานเทานั้น
  6. ผูดูแลระบบตองปดบังขอมูลสวนบุคคล (Data Masking) ที่จัดเก็บอยูในระบบงานสารสนเทศดวยวิธีการที่ เหมาะสม
  7. ผูดูแลระบบตองแสดงขอมูลของผูใชงานอยางรัดกุม เชน การปดบังขอมูลสําคัญของผูใชงาน (Sensitive Data Masking) เปนตน
    11
  8. กรณีของแอปพลิเคชันที่ใชงานผา นอุปกรณเคลื่อนที่ (Mobile device) ใหผูดูแลระบบดําเนินการ ดังน้ี 13.1 ปดบังหนาจอเมื่อยอแอปพลิเคชัน (Application Blurring) เพื่อลดความเสี่ยงที่ขอมูลสําคัญของผูใชงานจะรั่วไหล
    13.2 ขอสิทธิ์เขาถึงทรัพยากรหรือบริการโดยแอปพลิเคชัน (Application Permission) บนอุปกรณเคลื่อนที่ ของผูใชงานเทาที่จําเปน และมีกระบวนการทบทวนการขอสิทธิ์เปนประจําเพื่อปองกันการละเมิดสิทธิ์ ความเปนสวนตวัของผูใชงาน
  9. ผูดูแลระบบตองควบคุมขอมูลที่นํามาใชในการทดสอบระบบ (Test Data) อยางเหมาะสม โดยไมนําขอมูลจริง มาทดสอบ กรณีจําเปนตองใชขอมูลจริงตองไดรับอนุญาตขอมูลจากเจาของกอนนํามาใชงาน และทําลายขอมูลอยางเหมาะสมตามขั้นตอนท่ีรฟม. กําหนด
  10. ผูดูแลระบบตองแยกระบบสารสนเทศสําหรับการพัฒนา ทดสอบ และใชงานจริงออกจากกันเพื่อลดความเสี่ยง ที่เกิดจากการเปลี่ยนแปลงระบบสารสนเทศโดยไมไดรับอนุญาต และตองมีการกําหนดสิทธิ์การเขาถึงระบบสารสนเทศท่พีัฒนา ทดสอบ หรือใชงานจริง ทั้งระบบสารสนเทศใหมและการปรับปรุงแกไขระบบสารสนเทศเดิม
  11. ผูดูแลระบบตองมีการกําหนดขั้นตอนการทดสอบระบบสารสนเทศกอนนําไปใชงานจริง ทั้งในกรณีปรับปรุงระบบสารสนเทศเดิมและการพัฒนาระบบสารสนเทศใหม
  12. ผูดูแลระบบตองติดตั้งซอฟตแวรบนระบบสารสนเทศท่ีใหบริการ (Production) ตามขั้นตอนที่ รฟม. กําหนด และจํากัดสิทธิ์การติดตั้งซอฟตแวรเพื่อใหระบบสารสนเทศตาง ๆ มีความถกูตองครบถวนและนาเชื่อถือ 18. ผูดูแลระบบตองนําซอฟตแวรที่ไมละเมิดลิขสิทธิ์มาติดตั้งบนระบบสารสนเทศที่ใหบริการ (Production) 19. ผูดูแลระบบตองกํากับดูแลใหผูรับจางปฏิบัติตามสัญญาหรือขอตกลงการใหบริการที่ระบุไว โดยครอบคลุมถึง ดานความมั่นคงปลอดภยัสารสนเทศ และการปฏิบัติตามขั้นตอนที่เกี่ยวของตา ง ๆ ที่ รฟม. กําหนดไว 20. ผูดูแลระบบ ตองติดตาม ตรวจสอบรายงาน หรือบันทึกการใหบริการของบุคคล/หนวยงานภายนอกที่ใหบริการแก หนวยงานตามสญั ญาวาจางอยางสมํา่ เสมอ
  13. ผูดูแลระบบ ตองดูแลใหทรัพยสินสารสนเทศไดรับการบํารุงรักษาและซอมแซมตามความตองการ รวมท้ังตอง มีการบันทึกประวัติการทํางานผิดปกติการบํารงุ รักษา และการซอมแซมอุปกรณนั้น ๆ อยางสม่ําเสมอ 22. ผูดูแลระบบจะตองปดชอ งโหวของระบบสารสนเทศที่มีระดับความรุนแรงในระดับวิกฤติ(Critical) และระดับสูง (High) ทั้งหมดกอนนําไปใชงานจริง (Production) หรือกอนเริ่ม Go Live โดยเฉพาะระบบที่ใหบริการผานเครือขายอนิเทอรเน็ต (Internet Facing) และระบบท่มีีความสําคัญตอการดําเนินงานของ รฟม.
  14. ผูดูแลระบบตองพิจารณาเลือกใช Version ของ Software ดังนี้
    23.1 กรณีนํา Software เดิมมาใชในการจัดหาหรือพัฒนาระบบ จะตองนําผลการตรวจสอบชองโหวและผลการทดสอบ เจาะระบบมาประกอบการพิจารณาคัดเลือกเวอรชันของ Software ดวย เพื่อปองกันไมใหเกิดชองโหวเดิมรวมถึงเพื่อลดภาระงานในการปดชองโหวเดิมซ้ํา
    23.2 กรณีเปน Software ท่ไีมเคยนํามาใชงานใหเลือกใช  Software เวอรช ันลาสุด

12
สวนท่ี6
การควบคุมการเขาถึงระบบเทคโนโลยีสารสนเทศ
วัตถุประสงค
▪ เพื่อควบคุมการเขาถึงระบบเทคโนโลยีสารสนเทศตั้งแตการกําหนดสิทธิ์ กําหนดประเภทของขอมูล จัดลําดับความสําคัญหรือลําดับช้ันความลับของขอมูล ระดับชั้นการเขาถึง เวลาที่เขาถึงไดและชองทางการเขาถึง ทั้งนี้ เพื่อควบคุมและปองกันการเขาถึง การลวงรู และการแกไขระบบสารสนเทศของ รฟม. โดยไมไดรับอนุญาต ผูรบั ผดิชอบ
▪ ผูดูแลระบบ
▪ เจาของขอมูล
▪ ผูใชงาน
อางอิงมาตรฐาน: ISO/IEC 27001:2022
▪ มาตรการควบคุมดานองคกร (Organizational Controls)
▪ มาตรการควบคุมดานเทคโนโลยี (Technological Controls)
แนวปฏิบัติ

  1. การควบคุมการเขาถึงระบบสารสนเทศ (Access Control)
    1.1 เจาของขอมูลและผูดูแลระบบ ตองรวมกันกําหนดสิทธิ์ในการเขาถึงระบบสารสนเทศ (Authorization Matrix) ที่เหมาะสมและสอดคลองกับหนาที่ความรับผิดชอบของผูใชงาน และทบทวนเมื่อมีการเปลี่ยนแปลง 1.2 เจาของขอ มลูและผูดูแลระบบ ตองรวมกันกําหนดระดับการอนุมัติ(Authorization Level) การเขาถึงระบบเทคโนโลยีสารสนเทศ
    1.3 เจาของขอมูลและผูดูแลระบบ ตองจัดใหมีการแบงแยกหนาที่ความรับผิดชอบ (Segregation of duties) ในการเขาถึงระบบเทคโนโลยีสารสนเทศอยางเหมาะสม เชน มีการแบงแยกหนาที่ระหวางการแจงความประสงค การเขาถึงและการอนมุ ัติการเขาถึง เปนตน
    1.4 กรณีของแอปพลิเคชันที่ใชงานผานอุปกรณเคลื่อนที่ (Mobile device) ผูดูแลระบบตองปฏิบัติ ดังนี้ 1.4.1 ไมอนุญาตใหอุปกรณเคล่อืนที่ที่ใชระบบปฏิบัติการลาสมัย(Obsolete Operating System) เขาใชงานแอปพลิเคชัน หรือหากอนุญาตใหใชบริการไดควรมีมาตรการรองรับเพื่อลดความเสี่ยงที่ รฟม.จะไดรับ
    รวมถงึลดผลกระทบตอผูใชงานตามความเหมาะสม เชน การเพิ่มมาตรการยืนยันตัวตน เปนตน1.4.2 ไมอนุญาตใหอุปกรณที่มีการปรับแตงการเขาถึงระบบปฏิบัติการ (Rooted/Jailbroken) เขาใชงานแอปพลิเคชัน เพื่อลดความเสี่ยงที่ผูไมประสงคดีสามารถเขาถึงขอมูลสําคัญของผูใชงานและละเมิด
    หรือหลีกเลี่ยงมาตรการการรักษาความมั่นคงปลอดภัยที่ รฟม. กําหนดไว
    1.4.3 ไมอนุญาตใหผูใชงานใชแอปพลิเคชันเวอรชันต่ํากวาที่ รฟม. กําหนด เพื่อใหแอปพลิเคชันมีการรักษาความม่นัคงปลอดภัยเปนไปตามมาตรฐานของ รฟม.
    1.5 ขั้นตอนปฏบิัติเพื่อการจัดเก็บขอมูล
    เจาของขอมูล ผูดแูลระบบ และผูใชงาน ตองปฏิบัติดังนี้
    1.5.1 แบงประเภทขอมูล ดังน้ี
  1. ขอมูลและสารสนเทศสําหรับสนับสนุนการตัดสินใจของผูบริหาร ไดแก ขอมูลสารสนเทศที่มี
    ความสําคัญหรือมีความจําเปนเรงดวนที่ตองติดตามอยางใกลชิดเพื่อประกอบการตัดสินใจ
    เชิงนโยบาย กําหนดนโยบาย และการวางแผนของผูบริหารระดับสูง
    13
  2. ขอมูลและสารสนเทศสนับสนุนเชิงยุทธศาสตร (Strategy Data) ไดแกขอมูลและสารสนเทศเชิงวิชาการเพื่อสนบัสนุนการดําเนนิงานตามพันธกจิและยุทธศาสตรของ รฟม. ใหบรรลุเปาหมาย
    รวมทั้งขอมูลที่เผยแพรแกผูรับบริการภายนอก
  3. ขอมูลและสารสนเทศที่สนับสนุนการปฏิบัติงานประจํา (Operation Data) ไดแก ขอมูลที่ สนบัสนนุ การทํางานทั่วไปของ รฟม.
    1.5.2 จัดแบงระดับความสําคัญของขอมูล ออกเปน 3 ระดบั คือ
  4. ขอมูลที่มีระดับความสําคัญมาก หมายถึง ขอมูลที่ใชสําหรับสนับสนุนการตัดสินใจของผูบริหาร 2) ขอมูลที่มีระดับความสําคัญปานกลาง หมายถึง ขอมูลที่ใชปฏิบัติงานเฉพาะกลุมงาน แผนก กอง หรือฝาย/สํานัก/สํานักงาน ภายในองคกร
  5. ขอมูลท่ีมีระดับความสําคัญนอย หมายถึง ขอมูลที่พนักงาน/ลูกจางภายใน รฟม. สามารถเขาถึงรวมกนัไดหรือสามารถเผยแพรได
    1.5.3 จัดแบงลาํดับชั้นความลับของขอมูลตามที่ รฟม. กําหนด
    1.5.4 จัดแบงระดับชั้นการเขาถึง
  6. ระดับชั้นสําหรับผูบรหิาร เขาถึงไดตามอํานาจหนาที่และภารกิจที่ไดรับมอบหมาย 2) ระดับชั้นสําหรับผูปฏิบัติงานทั่วไป เขาถึงขอมูลที่ไดรับมอบหมายตามอํานาจหนาที่
  7. ระดับช้ันสําหรับผูดูแลระบบหรือผูที่ไดมอบหมาย มีสิทธิ์ในการบริหารจัดการระบบและเขาถึง ขอมูลที่ไดรับมอบหมายตามอํานาจหนาท่ี
    1.6 เจาของขอมูลและผูดูแลระบบตองกําหนดเวลาการเขาถึงระบบสารสนเทศ
    1.7 ผูดูแลระบบตองจํากัดชองทางการเขาถึงระบบเทคโนโลยสีารสนเทศตามชองทาง ดังนี้ 1) เครือขายภายในของ รฟม.
  8. เครือขายภายนอก รฟม.
  9. เครือขายอื่นที่จัดไวให เชน ระบบเครือขายสื่อสารขอมูล GIN
    1.8 ผูดูแลระบบตองกํากับดูแล Default Permission ของไฟล (File) และ โฟลเดอร (Folder) ท่ีสรางขึ้นใหมีการจํากัดสิทธิ์ในการเขาถึง
    1.9 เจาของขอมูลและผูดูแลระบบ ตองพิจารณาขอกําหนดตาง ๆ ที่มีผลทางกฎหมายซึ่งเกี่ยวของกับการรักษาความมั่นคงปลอดภัยสารสนเทศของ รฟม. เชน พระราชบัญญัติ ขอกําหนดทางกฎหมาย ขอกําหนดในสัญญาและขอกําหนดทางดานความมั่นคงปลอดภัยอื่น ๆ เปนตน เพื่อกําหนดสิทธ์ิการเขาถึงสารสนเทศและระบบเทคโนโลยีสารสนเทศของ รฟม.
    1.10 เจาของขอมูลและผูดูแลระบบ ตองมีการสอบทานสิทธิ์ในการเขาถึงระบบเทคโนโลยีสารสนเทศอยางสม่ําเสมอพรอ มทั้งเพิกถอนสทิธิ์เมื่อพบเห็นสิทธิ์ที่ไมถูกตองตามสิทธ์ใินการเขาถึง (Authorization Matrix) 2. การบริหารจัดการการเขาถึงของผูใชงาน (User Access Management)
    ใหมกีารควบคุมการลงทะเบียนผใูชงาน การบริหารจัดการรหัสผาน การบริหารจัดการสิทธิ์การใชงานระบบเทคโนโลยีสารสนเทศ และการทบทวนสิทธิ์การเขาถึงของผใูชงาน
    2.1 การลงทะเบียนผใูชงาน (User Registration)
    2.1.1 ผูดูแลระบบตองบริหารจัดการและควบคุมบัญชีชื่อผูใชงาน (Username) มิใหมีการใชงานบัญชีชื่อผูใชงานซํ้ากัน ทั้งนี้ในสวนของพนักงาน/ลูกจาง รฟม. ใหกําหนดช่ือผูใชงาน (Username) ตามมาตรฐานจดหมายอิเล็กทรอนิกส(Email) ที่ใชในองคกร
    2.1.2 เจาของขอมลูตองเปนผูอนุมัติการสรางบัญชีผูใชงานชั่วคราว (Temporary User) และตองจํากัดชวงเวลาการใชงานเทาที่จําเปน
    14
    2.2 การบริหารจัดการรหัสผาน (User Password Management)
    2.2.1 ผูดูแลระบบตองกําหนดรหัสผานแบบชั่วคราวโดยใชวิธีการสุม และบังคบั ใหมีการเปลี่ยนรหัสผานเมื่อผูใชงานเขาใชงานระบบในครั้งแรก
    2.2.2 ผูดูแลระบบตองกําหนดความยาวของรหัสผาน ดังนี้
  10. ผูดูแลระบบมีความยาวอยางนอย 16 หลกั
  11. ผูใชงานมีความยาวอยางนอย 12 หลกั
    2.2.3 ผูดูแลระบบตองกําหนดใหมีการยืนยันตัวตนแบบหลายปจจัย (Multi-Factor Authentication) ตามความเหมาะสม
    2.2.4 ผูดูแลระบบตองกําหนดใหรหัสผา นมีความซับซอน โดยประกอบดวย ตัวอักษร ตัวเลข และอักขระพิเศษ เชน (a-Z) (0-9) (@ , # , & , “ , ‘ , *, =, < , > , % , $ , + , ?) เปนตน
    2.2.5 ผูดูแลระบบตองกําหนดใหมีการเปลี่ยนแปลงรหัสผาน ดงันี้
  12. ผูดูแลระบบตองเปลี่ยนรหัสผานทุก ๆ 3 เดือน และไมซ้ํากับรหัสผานเดิม 3 ครั้งกอนหนา 2) ผูใชงานตองเปล่ยีนรหัสผานทุก ๆ 6 เดือน และไมซ้ํากับรหัสผานเดิม 3 ครั้งกอนหนา 3) ผูใชงานเชิงระบบ (System account) ใหพิจารณาเปลี่ยนรหัสผานตามความเหมาะสม
    2.2.6 ผูดูแลระบบตองกําหนดใหมีการเขารหัสขอมูลรหัสผานในระบบ
    2.2.7 ผูดูแลระบบตองจดัใหมีการควบคุมรหัสผานอยางเขมงวด
    2.2.8 ผูดูแลระบบตองจัดสงบัญชีชื่อผใูชงาน (Username) และรหัสผาน (Password) ดวยวิธีการที่ปลอดภัย2.2.9 ผูดูแลระบบตองควบคุมดูแลระบบปฏิบัติการ ระบบฐานขอมูล และระบบงานสารสนเทศ (Application) ท่ีจัดเก็บบัญชีผูใชงานและรหัสผานอยางเขมงวดโดยใหเขาถึงไดเฉพาะผูดูแลระบบที่ไดรับอนุญาตเทานั้น
    2.2.10 ผูดูแลระบบตองกําหนดวิธีการหรือกระบวนการยืนยันตัวตนที่ปลอดภัย เชน กรณีที่ลืมรหัสผาน 2.2.11 ผูดูแลระบบตองกําหนดใหผูใชบริการ ใชรหัสผานอยา งมั่นคงปลอดภัย ดงัน ี้ กรณีแอปพลิเคชันทั่วไป
  13. กําหนดความยาวรหัสผานอยางนอย 12 หลัก ซ่ึงประกอบดวย ตัวอักษร ตัวเลข และอักขระพิเศษ เชน (a-Z) (0-9) (@ , # , & , “ , ‘ , *, =, < , > , % , $ , + , ?) เปนตน
  14. รหัสผานตองไมเปนคําท่ีคาดเดาไดงาย เชน คําที่อยูในพจนานุกรม ชื่อ-นามสกุล
    วันเดือนปเกิด ที่อยู หรือเบอรโทรศพั ทเปนตน
  15. ไมบังคับใหเปลี่ยนรหัสผาน ทั้งนี้ขึ้นอยูกับความสมัครใจในการเปลี่ยนรหัสผาน และระบบ
    ตองรองรับการเปลี่ยนรหัสผานในกรณีตาง ๆ ดวยวิธีการที่ปลอดภัย
    กรณีแอปพลิเคชันที่ใชงานผานอุปกรณเคลื่อนที่ (Mobile device)
  16. กําหนดรหัสผานโดยใช PIN code หรือรหัสผานที่ซับซอน (PIN/Password Complexity) โดยกรณี PIN Code ตองใชรหัสผาน 6 หลักขึ้นไป
  17. ไมบังคับใหเปลี่ยนรหัสผาน ทั้งนี้ขึ้นอยูกับความสมัครใจในการเปลี่ยนรหัสผาน และ
    ระบบตองรองรับการเปลี่ยนรหัสผานในกรณีตา ง ๆ ดวยวิธีการที่ปลอดภัย
    2.2.12 ผูดูแลระบบและผูใชงานตองใชรหัสผานอยางปลอดภัย ดังนี้
  18. ตองกําหนดรหัสผานที่ไมสามารถคาดเดาไดงาย เชน คาํ ที่อยูในพจนานุกรม “qwerty” “abcde” “12345” ชื่อ-นามสกลุ วันเดือนปเกิด ที่อยู หรือเบอรโทรศัพทเปนตน
  19. ตองไมใชงานรหัสผานโดยการเขาใชงานโดยอัตโนมัติ ไดแก การกําหนดคา “Remember Password” เปนตน
    15
  20. ตองเก็บรหัสผานไวเปนความลับเฉพาะบุคคล ไมเปดเผยใหผูอ่ืนรับทราบ และไมพิมพ รหัสผานในลกัษณะเปดเผย เชน พิมพรหัสผานตอหนาผูใชงานคนอื่น เปนตน
  21. ตองไมใชบัญชีชื่อผใูชงานและรหัสผานรวมกันกับผูอื่น แมวาบัญชีชื่อผูใชงานจะไดรับการ
    อนุญาตจากเจาของชื่อผูใชงานบุคคลน้นักต็าม
  22. ตองเปลี่ยนแปลงรหัสผานเมื่อมีการแจงเตือนจากระบบ หรือสงสัยวารหัสผานลวงรู โดยบุคคลอื่น
    2.3 การบริหารจัดการสิทธิ์ (Privilege Management)
    2.3.1 ผูบงัคับบัญชาตองกําหนดใหมีขั้นตอนปฏิบัติสําหรับการลงทะเบียน การเพิ่มสิทธ การเพิกถอนสิทธิ์ ิ์ การเปล่ยีนแปลงสิทธิ์และการทบทวนสิทธิ์ของผใูชงานอยางเปนลายลักษณอักษร 2.3.2 กําหนดสิทธิ์ที่เหมาะสมกับผูใชงานตามความจําเปนและสอดคลองกับหนาที่ความรับผิดชอบและจัดเก็บประวัติ (Log) การลงทะเบียน การเพิ่มสิทธิ์การเพิกถอนสิทธิ์และการเปล่ียนแปลงสิทธิ์ ของผูใชงาน
    2.3.3 เจาของขอมูลและผูดูแลระบบ ตองจัดใหมีการควบคุมและจํากัดสิทธิ์ในการใชงานระบบตามความจําเปนในการใชงานเทานั้น
  23. สิทธิ์ในการสรางขอ มูล (Create)
  24. สิทธิ์ในการอานขอมูลหรือเรียกดูขอมูล (Read)
  25. สิทธิ์ในการปรับปรุงขอมูล (Modify / Update)
  26. สิทธิ์ในการลบขอมูล (Delete)
  27. สิทธิ์ในการมอบหมายสทิธิ์ในการดําเนินการแทน (Assign)
  28. สิทธิ์ในการรับรองความถูกตองครบถวนของขอมูล (Approve/Authenticate) 7) ไมมสีทิธิ์
    2.3.4 เจาของขอมูลและผูดูแลระบบตองเปนผูอนุมัติการใหสิทธิ์เพื่อเขาถึงสารสนเทศหรือระบบเทคโนโลยสีารสนเทศใด ๆ อยางเปนลายลักษณอ กัษร
    2.3.5 เจาของขอมูลและผูดูแลระบบ ตองจํากัดจํานวนผูใชงานที่ทําหนาที่เปนผูใหสิทธิ์กับผูใชงานใหนอยที่สุดตามความเหมาะสม
    2.3.6 เจาของขอมูลและผูดูแลระบบ ตองจํากัดระยะเวลาการใชงานระบบเทคโนโลยีสารสนเทศของ รฟม. แกหนวยงานภายนอกที่เขามาปฏิบตัิงานรวมกบั รฟม.
    2.3.7 เจาของขอมูลและผูดูแลระบบ ตองจัดใหมีการถอดถอนสิทธิ์หรือเปลี่ยนแปลงสิทธิ์การเขาถึงทันที เม่ือผูใชงานเกษียณ เปลี่ยนแปลงหนาที่ความรบัผิดชอบ เปลี่ยนแปลงการจางงาน หรือไมมีความจําเปนในการใชงานระบบเทคโนโลยีสารสนเทศ
    2.3.8 ผูดูแลระบบตองลบหรือระงับการใชงานสิทธิ์ของผูใชงานที่มากับระบบ (Default User) ในกรณีที่มีความจําเปนตองใชงานตองกําหนดรหัสผานอยางมั่นคงปลอดภัย
    2.4 การทบทวนสิทธิ์การเขาถึงของผูใชงาน (Review of User Access Rights)
    2.4.1 เจาของขอมูลและผูดูแลระบบ ตองมีการสอบทานสิทธิ์การเขาถึงของผูใชงานระบบเมื่อ รฟม. มีการเปลี่ยนแปลงระบบเทคโนโลยีสารสนเทศหรือโครงสรางองคก ร
    2.4.2 ผูดูแลระบบ ตอ งมีการสอบทานและระงับการใชงานบัญชีผูใชงานที่ไมไดใชงานนานเกิน 180 วันหากผใูชงานตองการกลับมาใชงานจะตองยืนยันตัวตนใหฝทท. ทราบ ทั้งนี้ระยะเวลาที่ไมไดใชงานของบัญชีผูใชงานอาจจะขึ้นอยูกับแตละระบบสารสนเทศ
    16
  1. การปองกันอุปกรณที่ไมมีผูดูแล และการควบคุมการไมทิ้งสินทรัพยสารสนเทศสําคัญไวในที่ที่ไมป ลอดภัย 3.1 การปองกันอุปกรณที่ไมมีผูดูแล (Unattended User Equipment)
    3.1.1 ผูดูแลระบบตองจัดใหมีมาตรการสําหรับปองกันระบบคอมพิวเตอร ระบบเครือขายสื่อสารขอมูล และระบบเทคโนโลยีสารสนเทศ โดยการกําหนดคาของระบบ (Configuration) ใหมีการล็อกหนาจอสําหรับอปุ กรณที่ไมมีพนักงานดูแล หรือล็อกอุปกรณอยูเสมอ
    3.1.2 ผูใชงานและหนวยงานภายนอก/บุคคลภายนอก ตองล็อกหนาจออัตโนมัติเม่ือไมมีการใชงานระบบเทคโนโลยีสารสนเทศของ รฟม. ตามระยะเวลาที่กําหนด โดยตองพักหนาจอ (ScreenSaver) อัตโนมัติหลังจากที่ไมม ีการใชงานคอมพิวเตอรเปนระยะเวลานานกวา 15 นาทีผูใชงานและหนวยงานภายนอก/ บุคคลภายนอกจะใชงานตอไดเมื่อมีการใสรหัสผานที่ถูกตอง
    3.1.3 ผูใชงานตอง Logout ออกจากเครื่องคอมพวิเตอรเมื่อมีความจําเปนตองละทิ้งเครื่องคอมพิวเตอร  3.1.4 ผูใชงานตองปองกันไมใหผูอื่นใชอุปกรณ เชน กลองดิจิทัล เครื่องสําเนาเอกสาร เครื่องสแกนเอกสารโดยไมไ ดรับอนุญาต
    3.2 การควบคมุ สินทรัพยสารสนเทศและการใชงานระบบคอมพวิเตอร (Clear  Desk and Clear Screen Control) 3.2.1 ผูบงัคับบัญชาตองกําหนดใหมีผูรับผดิชอบในการดแูลสถานที่ที่มีการรบั - สงแฟกซหรือจดหมายเขา – ออก
    3.2.2 ผูใชงานตอ งออกจากระบบคอมพิวเตอร(Logout) ทนั ทีเมื่อจําเปนตองปลอยทิ้งโดยไมมีผูดแูล3.2.3 ผูใชงานตอ งจัดเก็บขอมูลสําคัญแยกตางหาก และปองกันใหมีความปลอดภัยอยา งพอเพียง 3.2.4 ผูใชงานตอ งนาํ เอกสารออกจากเครื่องพิมพทันทีที่พมิพงานเสร็จ
  2. การควบคุมการเขาถึงเครือขาย (Network Access Control)
    ใหมกีารควบคุมการใชงานบริการเครือขายการควบคุมการพิสูจนตัวตนสําหรับผูใชงานที่อยูภายนอกรฟม.การควบคุมการพิสูจนตัวตนอุปกรณบนเครือขาย การปองกันพอรต (Port) ที่ใชสําหรับตรวจสอบและปรับแตงระบบ การแบงแยกเครือขาย (Segregation in networks) อยางเหมาะสม การควบคุมการเชื่อมตอทางเครือขาย และการควบคุมการกําหนดเสนทางบนเครือขาย
    4.1 การใชงานบริการเครือขาย (Use of Network Services)
    4.1.1 ผูดูแลระบบตองควบคุมการเผยแพรแผนผังระบบเครือขายสื่อสารขอมูล (Network Diagram) รวมถึงโครงสราง IP Address ชื่อระบบ และชื่ออุปกรณสารสนเทศแกผูที่ไมไดรับอนุญาตหรือหนวยงานภายนอก/บคุ คลภายนอก
    4.1.2 ผูดูแลระบบตองควบคมุ การใชงานระบบเครือขา ยส่อืสารขอมูลเพื่อปองกันการเขาถึงระบบเครือขายสื่อสารขอมูลและบริการของระบบเครือขายสื่อสารขอมูลโดยไมไ ดรับอนุญาต
    4.1.3 ผูดูแลระบบตองควบคุมการเชื่อมตอเครือขายภายนอก เพื่อใชงานอินเทอรเน็ต ซึ่งอาจเปนชองทางให หนวยงานภายนอก/บุคคลภายนอกเขาถึงสารสนเทศหรือระบบเทคโนโลยีสารสนเทศของ รฟม. โดยมิไดรับอนุญาต
    4.1.4 ผูใชงานตองแจงความประสงคในการขอใชงานบริการเครือขายแก ฝทท. และสามารถใชบริการเครือขายไดหลังจากไดรับการอนุมัติจาก ฝทท. แลว
    4.1.5 ผูใชงาน ตองไมใชระบบเครือขายสื่อสารขอมูลเพื่อเปนชองทางในการเจาะระบบ (Hacking) หรือการสแกนชองโหวของระบบโดยมิไดรบัอนุญาต
    4.2 การพิสูจนตัวตนของผูใชงานท่อียูภายนอก รฟม. (User Authentication for External Connections) ผูดูแลระบบตองกําหนดใหมีการพิสูจนตัวตนผานระบบ Active Directory ของ รฟม. กอนอนุญาตให ผูใชงานที่อยูภายนอก รฟม. เขาใชงานเครือขายและระบบสารสนเทศของ รฟม.
    17
    4.3 การพิสูจนตัวตนของอุปกรณในระบบเครอืขา ยส่อืสารขอมูล (Equipment Identification in Networks) ผูดูแลระบบตองกําหนดใหมีการพิสูจนต ัวตนของอุปกรณในระบบเครือขายสื่อสารขอมลู ไดแกการตรวจสอบMAC Address
    4.4 การปองกันพอรตที่ใชสําหรับตรวจสอบและปรับแตงระบบ (Remote Diagnostic and ConfigurationPort Protection)
    ผูดูแลระบบตองระงับบริการและพอรต (Port) ที่ไมมีความจําเปนตองใชบนเครื่องคอมพิวเตอรหรืออปุ กรณเครือขาย
    4.5 ผูดูแลระบบตองติดตั้งระบบตรวจจับการบุกรุก (Instrusion Prevention System/ Instrusion Detection System) ของระบบเครือขาย
    4.6 การแบง แยกเครือขาย (Segregation in Networks)
    4.6.1 ผูดูแลระบบตองจดัใหมีการแบงแยกเครือขายตามกลมุ ของผูใชงาน หรือกลุมของระบบเทคโนโลยีสารสนเทศเพื่อควบคมุ การใชงานในแตละเครือขายยอ ยอยางเหมาะสม โดยพิจารณาจากความตองการในการเขาถึงขอมูล ระดับความสําคญั ของขอมูล รวมถึงการพิจารณาดานราคา ประสิทธิภาพ และผลกระทบทางดานความปลอดภัยดังตอไปนี้
  1. เครือขายที่อนุญาตใหเขาถึงจากภายนอกและเครือขายที่ใชภายใน รฟม.
  2. เครือขายแอปพลเิคชัน (Application) ที่มีความสําคัญกับเครือขายอื่น ๆ ที่มีความสําคัญ
    นอยกวา
  3. เครือขายสําหรับเครื่องใหบ ริการ (Server Farm) กับเครือขายของผูใชงาน ควรมีการติดต้ังอุปกรณที่สามารถแบงแยกเครือขายไดเชน Firewall หรือ Switch ที่สามารถ
    แบง VLAN ไดเปนตน
    4.6.2 ผูดูแลระบบจะกําหนดเสนทางบนเครือขายที่เขมงวดเพื่อจาํกัดการเขาถึงระยะไกลไปเฉพาะเครือขายท่กีาํ หนดเทานั้น
    4.6.3 ผูดูแลระบบตองตั้งคา (Configuration) อุปกรณเครือขายเชน Firewall หรือ Router มิใหสามารถบริหารจัดการจากภายนอกเครือขายไดเวนแตในกรณีฉุกเฉินซึ่งตองไดรับการอนุญาตจากผูดูแลระบบเทานั้น
    4.7 การควบคุมการเชื่อมตอทางเครือขาย (Network Connection Control)
    4.7.1 ผูดูแลระบบตองจํากัดการใชงานเครือขายของผูใชงานในการเชื่อมตอ กับเครือขายของ รฟม. เชนRouter หรือ Firewall เปนตน พรอมทั้งติดตั้งระบบควบคมุ เพื่อกลั่นกรองขอมูลที่รบั - สง เชน Web Filtering, Email Filtering เปนตน เพื่อทําใหการเชื่อมตอมีความปลอดภัย
    4.7.2 ผูดูแลระบบตองติดตั้ง Firewall ระหวางเครือขายของ รฟม. กับเครือขายภายนอก ท้ังนี้การติดตั้ง Firewall ตองพิจารณาเรื่องดังตอไปนี้
  4. การปองกันการจราจรจากภายนอก ตองถูกกําหนดใหใชเสนทางที่ผาน First Tier Firewall ที่มีความมั่นคงปลอดภัยเพื่อปองกันทรัพยสินสารสนเทศของ รฟม. และ
    โครงสรางพื้นฐานที่มีความสําคัญจากการเขาถึงที่ไมไดรับอนุญาต
  5. Firewall ตองระบุตัวตนและพิสูจนตัวตนของผูใชงานกอนที่จะใหสิทธิ์การเขาถึง อินเทอรเฟส (Interface) เพื่อการบริหารจัดการ Firewall
  6. Firewall ตองตั้งคาใหระงับบัญชีผูใชงานหลังจากมีความพยายามที่จะเขาสูระบบ
    ไมสําเร็จ 5 ครั้ง การยกเลิกการระงับตองดําเนินการโดย ฝทท.
  7. ไมอนุญาตใหพิสูจนตัวตนผานทางอินเทอรเฟส (Interface) การจัดการ Firewall จากระยะไกล (Remote)
    18
  8. ผูที่ไดรับการมอบหมายจาก ฝทท. เทานั้นที่มสีิทธิ์ที่จะเปลี่ยนการตั้งคาดานความปลอดภัย
    บน Firewall
  9. Firewall ตองตั้งคาใหบันทึกเหตุการณดานความมั่นคงปลอดภัย
  10. Firewall ตองไดรับการสอบทาน ทดสอบ และตรวจสอบอยางสม่ําเสมอ
  11. Firewall ตองถูกบริหารจัดการผานทางการตดิตอสื่อสารที่มีการเขารหัส
  12. ตองปดบริการและพอรต (Port) ท่ไีมจําเปนตองใชบน Firewall
  13. Firewall ประเภทซอฟตแวร (Software) ตองติดตั้งบนเครื่องคอมพิวเตอรแมขาย
    แยกตางหาก
  14. Firewall ตองสามารถปองกันตัวเองจากการโจมตี DOS (Denial of service) ได อยางเชน Ping, Sweeps หรือ TCP SYN Floods เปนตน
  15. ตองใชเวอรชันของซอฟตแวร (Software) Firewall และระบบปฏิบัติการที่เจาของ ผลิตภัณฑยังใหการสนับสนุน
  16. ผูดูแล Firewallตองติดตามขอมูลชอ งโหวจากผูใหบริการ(Vendor) เพ่อืรับทราบขา วสาร
    การ Upgrade และแพ็ตช (Patch) ที่จําเปน และตองติดตั้งแพ็ตช (Patch) ทั้งหมด
    ที่เกี่ยวของ
    4.7.3 ผูดูแลระบบตองติดตั้ง Firewall เพื่อแบงแยก Zone ใหมีการใช DMZ (Demilitarized zone) โดยตองพิจารณาเร่อืงดังตอไปนี้
  17. เครื่องคอมพิวเตอรแมข ายที่ใหบ ริการผานอินเทอรเน็ตเชน FTP, Email, Web และ External DNS server เปนตน ตองติดตั้งอยใูน DMZ
  18. การเขาถึงจากระยะไกลตองพิสูจนตัวตนที่ Firewall หรือผานบริการท่อียูใน DMZ
  19. DNS Servers ตองไมอนุญาตใหมีการแลกเปลี่ยนโซน (Zone Transfers) เวนแต
    มเีหตุจาํ เปน
    4.8 การควบคุมการกําหนดเสนทางบนเครือขาย (Network Routing Control)
    ผูดูแลระบบตองควบคุมการกําหนดเสนทางบนเครือขายเพื่อใหมั่นใจวาการเช่ือมตอเครื่องคอมพิวเตอร และการไหลเวียนของสารสนเทศบนเครือขาย โดยมีกลไกในการตรวจสอบท่อียูปลายทางและตนทางของ การเชื่อมตอ เชน การควบคุมโดย Firewall หรือ Proxy เปนตน
  1. การควบคุมการเขาถึงระบบปฏิบัติการ (Operating system Access Control)
    ใหมีการควบคมุ การเขาถึงระบบปฏิบัติการอยางมั่นคงปลอดภัย การควบคุมการระบุและพิสูจนตัวตนของผูใชงานการควบคุมระบบบริหารจัดการรหัสผาน การควบคุมการใชงานโปรแกรมประเภทยูทิลิตี้ (System Utilities) การควบคุมการหมดเวลาการใชงานระบบเทคโนโลยีสารสนเทศ และควบคุมการจํากัดระยะเวลาการเชื่อมตอระบบเทคโนโลยีสารสนเทศ
    5.1 ขั้นตอนปฏบิัติในการเขาถึงระบบอยางมั่นคงปลอดภัย (Secure Logon Procedures) 5.1.1 ผูดูแลระบบ ตองจัดใหมีการควบคุมการเขาถึงระบบปฏิบัติการอยางมั่นคงปลอดภัย โดยขั้นตอนการเขาสูระบบตองเปดเผยขอมูลเกี่ยวกับระบบใหนอยท่สีดุ เพื่อหลีกเลี่ยงผูใชงานที่ไมไดรับอนุญาตซึ่งขั้นตอนการ Logon ตองพิจารณา ดังนี้
  1. หากกระบวนการเขาสูระบบไมสาํ เร็จ ระบบตองไมแ สดงขอ มูลของระบบหรือแอปพลิเคชัน
    (Application) ที่ใชงานอยู
  2. ระบบตองแสดงขอความเตือนผูใชงานวาสามารถเขาใชงานเครื่องคอมพิวเตอรไดเฉพาะ
    ผูที่มีสิทธิ์เทานั้น
  3. หากกระบวนการเขาสูระบบไมสําเร็จ ระบบตองไมแสดงขอมูลที่สามารถระบุตัวตนของระบบ เชน เครือขา ยที่ใชงาน สถานที่ต้งัของระบบ หรือชื่อเครื่องคอมพิวเตอรแมขาย เปนตน
    19
  4. ระบบตองไมแสดงขอความที่ชี้เฉพาะเหตุของการเขาสูระบบไมส ําเร็จ เชน ไมแสดงขอความวาบัญชีผูใชงานผดิ หรือ รหัสผานผดิ เปนตน
  5. หามเขาสูระบบจากบัญชีผใูชงานสวนบุคคลเดียวกนั มากกวาหนึ่ง Session ในระบบเดียวกัน6) ระบบตองจํากัดจํานวนครั้งในการพยายามเขาสูระบบท่ีไมสําเร็จ และตองพิจารณาเงื่อนไขตอไปนี้
    (ก) การเก็บบันทึกผลการเขาสูระบบทั้งที่สําเร็จและไมสําเร็จ
    (ข) หนวงระยะเวลาในการเขาใชงานระบบครั้งตอไป
    (ค) การตัดการเชื่อมตอ
    (ง) การแสดงขอความเตือนที่หนาจอของผูดูแลระบบเมื่อมีการเขาสูระบบเกินจํานวนครั้ง ที่จํากัดไว
  6. ระบบตองแสดงวัน เวลา ในการเขาสูระบบที่สาํ เรจ็ ในครั้งกอน พรอมทั้งบันทึกจํานวนครั้ง ท่พียายามเขาไมสําเร็จนบัแตก ารเขาสูระบบท่สีําเร็จในครั้งกอนของผูใชงาน
  7. ระบบตองไมสงรหัสผานแบบ Clear Text ผานระบบเครือขายสื่อสารขอมลู
  8. ผูดูแลระบบตองกําหนดจํานวนครั้งที่ยอมใหใสรหัสผานผิดไดไมเกิน 5 ครั้ง
    5.2 การระบุและพิสูจนตวัตนของผูใชงาน (User Identification and Authentication) ผูดูแลระบบ ตองจัดใหผูใชงานมีบัญชีผูใชงานของแตละบุคคลเพื่อใชพิสูจนตัวตนในการเขาถึงระบบเทคโนโลยีสารสนเทศ และตองใชระบบเทคโนโลยีสารสนเทศพิสูจนตัวตนผูใชงานในการเขาถึงระบบปฏิบัติการผานระบบ Active Directory (AD) หรือ Lightweight Directory Access Protocol (LDAP) ทุกครั้ง พรอมทั้งบันทึกขอมูลการเขาถึง
    5.3 การใชงานโปรแกรมประเภทยูทิลิตี้ (Use of System Utilities)
    ผูดูแลระบบ ตองควบคุมการใชงานโปรแกรมประเภทยูทิลิตี้บนระบบที่ใชงานจริง (Production System) ดังนี้ 5.3.1 ตองจัดทําบัญชโีปรแกรมประเภทยูทิลิตี้(System Utilities) ท่นีํามาใชงาน 5.3.2 กําหนดความรับผิดชอบในการใชโปรแกรมประเภทยูทิลิตี้ (System Utilities) แตละรายการ อยางชัดเจนและสื่อสารใหผูเกี่ยวของทราบเพื่อถือปฏิบัติ
    5.3.3 ใหมีการพิสูจนตัวตน และกําหนดสิทธิ์ในการใชงานโปรแกรมประเภทยูทิลิตี้เฉพาะกลุมคนที่มีหนาที่รับผิดชอบ
    5.3.4 มกีารบันทึกเหตุการณ(Log) การใชงานโปรแกรมประเภทยูทิลิตี้ และตองสอบทานจากผูดูแลระบบอยางสม่ําเสมอ
    5.3.5 ตองทําการเพิกถอนหรือระงบัโปรแกรมประเภทยูทิลิตี้ที่ไมจําเปน
    5.4 การหมดเวลาการใชงานระบบสารสนเทศ (Session Timeout)
    5.4.1 ผูดูแลระบบตองกําหนด Session Timeout ของระบบเทคโนโลยสีารสนเทศที่ไมมีการใชงานภายในระยะเวลา 15 นาที หากระบบใดที่ไมสามารถกําหนด Session Timeout ภายในระยะเวลา 15 นาทีได ใหกําหนดเปนระยะเวลานอยที่สุดที่จะสามารถกําหนดไดทั้งนี้ถาระบบที่ไมสามารถตัดการเช่ือมตอแบบอัตโนมัติไดกําหนดใหใชโปรแกรมพักหนาจอที่ตองใสรหัสผานหรือกําหนดใหมีการล็อกหนาจอ
    5.4.2 ผูดูแลระบบ และผูใชงาน ตองตั้งคาใหมีโปรแกรมพักหนาจอที่ตองใสรหัสผานสําหรับเครื่อง คอมพิวเตอรสวนบุคคล เครื่องคอมพิวเตอรแบบพกพา และเครื่องคอมพิวเตอรแมขาย ทั้งน้ีโปรแกรมพักหนาจอกําหนดใหปอนรหัสผานหลังจากที่มีการทิ้งเครื่องดังกลาวไวโดยไมมีการใชงานเปนระยะเวลา 15 นาที
    20
    5.5 การจาํกัดระยะเวลาการเชื่อมตอระบบสารสนเทศ (Limitation of Connection Time) 5.5.1 ผูดูแลระบบ ตองจํากัดระยะเวลาในการเชื่อมตอระบบสารสนเทศที่มีความสําคัญสูง โดยตอง คํานึงถึงระยะเวลาที่จําเปนในกระบวนการดําเนินงานทางธุรกิจ ไดแก กําหนดใหเขาใชงานได ในชวงเวลาทําการของ รฟม. 08.00 น. –17.00 น.และเชื่อมตอเพื่อใชงานไดครั้งละไมเกิน 3 ชั่วโมง 5.5.2 ผูใชงาน หากมคีวามจําเปนตองใชงานนอกเวลาที่กําหนดตองขออนุมัติจากผูบังคับบัญชาเทานั้น 6. การควบคุมการเขาถึงโปรแกรมประยุกตและสารสนเทศ (Application and Information Access Control) ใหมีการจํากัดการเขาถึงสารสนเทศ และการแยกระบบเทคโนโลยีสารสนเทศที่มีความสําคัญสูงไวในบริเวณที่ ควบคุมเฉพาะ
    6.1 การจาํกัดการเขาถึงสารสนเทศ (Information Access Restriction)
    6.1.1 เจาของขอมูลและผูดูแลระบบตองกําหนดสิทธิ์การเขาถึงแกผูใชงานเทาที่จําเปนตองใชในการปฏิบัติงาน โดยการใหสิทธ์ติองพิจารณาในเรื่องดังตอ ไปนี้
  9. การจํากดัไมใหใชตัวเลือก (Options) ที่ไมไดรับอนุญาต
  10. การจํากดัการเขาถึง Command Line
  11. การจํากัดการเขาถึงขอมูลและฟงกชันการใชงานของแอปพลิเคชัน (Application) ที่ไมเกี่ยวของ กับหนาที่ความรับผิดชอบ
  12. การจํากดัระดับสิทธ์ใินการเขาถึงไฟลเชน อานอยางเดียว เปนตน
  13. การควบคุมการแจกจาย การเขาถึงขอมูล การนําขอมูลออกจากระบบสารสนเทศ เชน
    รายงาน เปนตน
    6.1.2 เจาของขอมูลและผูดูแลระบบ ควรกําหนดใหระบบสารสนเทศรองรับการกําหนดสิทธิ์ในการเขาถึง แบบกลุมได
    6.2 การแยกระบบสารสนเทศที่ไวตอการรบกวน (Sensitive System Isolation) มีผลกระทบตอคนกลุมใหญ หรือระบบที่มคีวามสาํคัญตอหนวยงาน ตองดําเนินการดังนี้
    6.2.1 เจาของขอมูลและผูดูแลระบบ แยกระบบซึ่งไวตอการรบกวนออกจากระบบอื่น ๆ และควบคุมสภาพแวดลอมของระบบโดยเฉพาะ ไดแก ระบบ File Sharing ระบบสารสนเทศทางการเงิน และระบบ Active Directory (AD) โดยเขาถึงไดทั้งอุปกรณคอมพิวเตอรและสื่อสารเคลื่อนที่และการปฏบิัติงานจากภายนอกองคกร (Mobile Computing and Teleworking)
    6.2.2 ผูดูแลระบบตองควบคุมอุปกรณคอมพิวเตอรและอุปกรณเคลื่อนที่และการปฏิบัติงานจากภายนอกหนวยงาน (Mobile Computing and Teleworking) ที่เกี่ยวของกับระบบดังกลาว 6.2.3 เจาของขอมูลที่เปนเจาของระบบสารสนเทศที่มีความสําคัญสูงตองเปนผูอนุญาต ในกรณีที่ระบบสารสนเทศที่มคีวามสําคัญสูงมีความจําเปนตองทํางานรวมกับระบบสารสนเทศอื่นที่มีความสําคัญนอยกวา
  1. การควบคุมการปฏิบัติงานจากภายนอก รฟม. (Teleworking)
    7.1 ผูดูแลระบบตองกําหนดใหมีการพิสูจนตัวตนกอนการใชงาน และเชื่อมตอผานชองทางที่มีความปลอดภัยที่มีเทคโนโลยีเขารหัสปองกัน
    7.2 ผูดูแลระบบตองทําการถอดถอนสิทธิ์ในการเขาถึงของผูใชงานจากภายนอกสํานักงาน เมื่อครบกําหนดระยะเวลาท่ขีออนุญาต
    7.3 ผูใชงาน หากจําเปนตองมีการปฏิบัติงานจากภายนอกสํานักงานของ รฟม. ตองไดรับการอนุญาตจากผูบังคับบัญชาอยางเปนลายลักษณอกัษร ในกรณีเรงดว นสามารถดําเนินการกอน โดยแจงใหผูบังคับบัญชารับทราบดวย โดยผูบังคบั บัญชาตองพิจารณาเงื่อนไขในการเตรียมการ ดังตอไปนี้
    21
  1. ความม่นัคงปลอดภัยทางกายภาพและสภาพแวดลอมของการปฏิบัติงานจากภายนอก รฟม. 2) ความมั่นคงปลอดภัยทางการสื่อสาร โดยยึดจากระดับความสําคัญ (Sensitivity) ของขอมูลที่จะถูกเขาถึงและสงผานชองทางการเชื่อมตอส่ือสาร (Communication Link) รวมถึงระดับความสําคัญ (Sensitivity) ของระบบภายใน รฟม.
    7.4 ผูใชงานตองจัดเก็บเอกสารที่เปนความลับในอุปกรณที่ล็อกไดและมีการควบคุมการเขาถึง โดยใชหลักเกณฑ การรักษาความลับเชนเดียวกับสารสนเทศที่อยูในสํานักงานของ รฟม.
    7.5 ผูใชงาน ตองติดตั้งโปรแกรมปองกันไวรัสและ Personal Firewall สําหรับอุปกรณสวนตัวที่ใชเชื่อมตอเครือขายของ รฟม. จากภายนอก
  1. ผูบังคับบัญชา ตองควบคุมการใชงานขอมูลสวนบุคคลใหมีการใชงานที่สอดคลองกับกฎหมาย พระราชบัญญัติกฎระเบียบ ขอบังคับที่เกี่ยวของ เชน พระราชบัญญัติคุมครองขอมูลสว นบุคคล พ.ศ. 2562
    22
    สวนท่ี7
    การควบคุมการเขาถึงระบบเครือขายไรสาย
    วัตถุประสงค
    ▪ เพื่อกําหนดมาตรการในการควบคุมการเขาถึงระบบเครือขายไรสาย (Wireless LAN) ของ รฟม. โดยการกําหนดสิทธิ์ของผูใชงานในการเขาถึงระบบใหเหมาะสมตามหนาที่ความรับผิดชอบในการปฏิบัตงิาน รวมท้งัมีการทบทวนสิทธิ์การเขาถึงอยางสม่ําเสมอ
    ▪ เพื่อสรางความมั่นคงปลอดภัยของการใชงานระบบเครือขายไรสาย
    ผูรบั ผดิชอบ
    ▪ ผูดูแลระบบ
    ▪ ผูใชงาน
    อางอิงมาตรฐาน: ISO/IEC 27001:2022
    ▪ มาตรการควบคุมดานองคกร (Organizational Controls)
    ▪ มาตรการควบคุมดานเทคโนโลยี (Technological Controls)
    แนวปฏิบัติ
  2. ผูใชงานที่ตองการเขาถึงระบบเครือขายไรสายของ รฟม. ตองลงทะเบียนกับผูดูแลระบบ และตองไดรับการอนุญาตจาก ฝทท. อยางเปน ลายลักษณอ ักษร
  3. ผูดูแลระบบตองกําหนดมาตรฐานความปลอดภัยของระบบเครือขายไรสายไมต่ํากวามาตรฐาน WPA2 3. ผูดูแลระบบตองลงทะเบียนกําหนดสิทธิ์ผูใชงานในการเขาถึงระบบเครือขายไรสายใหเหมาะสมกับหนาที่ ความรับผิดชอบในการปฏิบัติงาน รวมทั้งมีการทบทวนสิทธิ์การเขาถึงอยางสม่ําเสมอ
  4. ผูดูแลระบบตองลงทะเบียนอุปกรณทุกตัวที่ใชติดตอระบบเครือขา ยไรสาย
  5. ผูดูแลระบบ ตองกําหนดตําแหนงการวางอุปกรณ Access Point (AP) ไมใหสัญญาณของอุปกรณร่ัวไหลออกไปนอกบริเวณที่ใชงาน เพื่อปองกันไมใหผูโจมตีใช Access Point (AP) ของ รฟม. รับ - สงสัญญาณได 6. ผูดูแลระบบตองเลือกใชกําลังสงใหเหมาะสมกับพื้นที่ใชงานและตองสํารวจวาสัญญาณรั่วไหลออกไปภายนอกหรือไม นอกจากนี้การใชเสาอากาศพิเศษที่สามารถกําหนดทิศทางการแพรกระจายของสัญญาณอาจชวยลดการรั่วไหลของสัญญาณใหดีขึ้น
  6. ผูดูแลระบบตองเปลี่ยนคา SSID (Service Set Identifier) ที่ถูกกาํ หนดเปนคา Default มาจากผูผลิตทันทีที่นํา Access Point (AP) มาใชงาน
  7. ผูดูแลระบบตองเปลี่ยนคาชื่อ Login และรหัสผานสําหรับการตั้งคาการทํางานของอุปกรณไรสาย และผูดูแลระบบตองเลือกใชชื่อ Login และรหัสผานที่มีความคาดเดาไดยากเพื่อปองกันผูโจมตีไมใหสามารถเดาหรือเจาะรหัส ไดโดยงาย
  8. ผูดูแลระบบตองควบคุม MAC address ชื่อผูใช (Username) และรหัสผาน (Password) ของผูใชงานที่มีสิทธ์ิในการเขาใชงานระบบเครือขายไรสาย โดยอนุญาตเฉพาะผูใชงานที่ไดรับอนุญาตใหเขาใชเครือขายไรสายไดอยาง ถูกตองเทานั้น
  9. ผูดูแลระบบตองตรวจสอบความมั่นคงปลอดภัยของระบบเครือขายไรสายอยางสม่ําเสมอ และบันทึกเหตุการณ นาสงสัยที่เกิดขึ้นในระบบเครือขายไรสายตามขั้นตอนที่ รฟม. กําหนด
    23
    สวนท 8่ี
    การควบคุมหนวยงานภายนอกและผูใชงานภายนอกเขาถึงระบบเทคโนโลยีสารสนเทศ
    วัตถุประสงค
    ▪ เพื่อควบคุมหนวยงานภายนอกและผูใชงานภายนอกที่มีการเขาใชงานระบบเทคโนโลยีสารสนเทศของ รฟม. ใหเปนไปอยางมั่นคงปลอดภัย
    ผูรบั ผดิชอบ
    ▪ ผูดูแลระบบ
    ▪ ผูบังคับบัญชา
    ▪ หนวยงานภายนอก
    ▪ ผูใชงาน (บุคคลภายนอก)
    อางอิงมาตรฐาน: ISO/IEC 27001:2022
    ▪ มาตรการควบคุมดานองคกร (Organizational Controls)
    ▪ มาตรการควบคุมดานกายภาพ (Physical Controls)
    แนวปฏิบัติ
  10. ผูดูแลระบบตองประเมินความเสี่ยงจากการเขาถึงระบบเทคโนโลยีสารสนเทศ หรืออุปกรณที่ใชในการประมวลผลโดยหนวยงานภายนอกและผูใชงานภายนอก และกําหนดมาตรการรองรับหรือแกไขที่เหมาะสมกอนที่จะอนุญาตให เขาถึงระบบเทคโนโลยีสารสนเทศของ รฟม.
  11. การควบคุมการเขาใชงานระบบเทคโนโลยีสารสนเทศของหนวยงานภายนอกและผูใชงานภายนอก 2.1 เจาของขอมูลตองเปนผูอนุญาตการใหสิทธิ์แกหนวยงานภายนอกและผูใชงานภายนอกที่ตองการสิทธิ์ในการเขาใชงานระบบสารสนเทศของ รฟม. อยางเปนลายลักษณอักษร
    2.2 ผูบังคับบัญชาตองกําหนดใหมีการลงนามการไมเปดเผยขอ มลู ที่สําคัญและเปนความลับของ รฟม. 2.3 ผูบังคับบัญชา ตองควบคุมใหมีการกําหนดขอตกลงและความรับผิดชอบที่เกี่ยวของกับความเสี่ยง ดานความมั่นคงปลอดภัยสารสนเทศลงในสัญญากับหนวยงานภายนอกที่ใหบริการดานสารสนเทศและบริการดานการส่อืสาร โดยใหครอบคลุมรวมถึงผรูับจางชว ง
    2.4 ผูบังคับบัญชาตองกําหนดใหจัดทําเอกสารแบบฟอรมสําหรับใหหนวยงานภายนอกและผูใชงานภายนอกระบุเหตุผลความจาํ เปนที่ตองเขาใชงานระบบเทคโนโลยีสารสนเทศ ซึ่งมีรายละเอียด ดังนี้ 2.4.1 เหตผุ ลในการขอใช
    2.4.2 ระยะเวลาในการใช
    2.4.3 การตรวจสอบความปลอดภัยของอุปกรณที่เชื่อมตอเครือขาย
    2.4.4 การตรวจสอบ MAC address ของเครื่องคอมพิวเตอรที่เชื่อมตอ
    2.5 ผูดูแลระบบมีสิทธิ์ในการตรวจสอบการใชงานระบบเทคโนโลยีสารสนเทศของหนวยงานภายนอกและผูใชงานภายนอก เพื่อควบคุมการใชงานไดอยางมั่นคงปลอดภัยตามสัญญา
    2.6 ผูดูแลระบบตองควบคุมใหหนวยงานภายนอกจัดทําแผนการดําเนินงาน คูมือการปฏิบัติงานและเอกสารที่ เก่ียวของ รวมทั้งตองปรับปรุงใหทันสมัยอยูเสมอ เพื่อใชสําหรับควบคุมหรือตรวจสอบการทํางาน และเพื่อใหมั่นใจวาการปฏบิตัิงานเปนไปตามขอบเขตที่ไดกําหนดไว
  12. ผูดูแลระบบตองแจงแนวปฏิบัติตา ง ๆ ที่เกี่ยวของแกหนวยงานภายนอกและผูใชงานภายนอกเพื่อใหปฏิบัติตาม
    24
  13. ผูดูแลระบบ ตองกํากับดูแลหนวยงานภายนอกและผูใชงานภายนอกใหปฏิบัติตามสัญญาหรือขอตกลงการใหบริการที่ระบุไวซึ่งตองครอบคลุมถึงดานความม่นัคงปลอดภัย
  14. ผูดูแลระบบ ตองติดตาม ตรวจสอบรายงานหรือบันทึกการใหบริการของหนวยงานภายนอกตามที่วาจางอยาง สม่ําเสมอตามสัญญาวาจาง
  15. ผูดูแลระบบ ตองกําหนดขั้นตอนและชองทางในการติดตอกับหนวยงานภายนอกที่มหี นาท่ีในการกํากับดูแล หรือหนวยงานที่เกี่ยวของกับการบังคับใชกฎหมาย รวมทั้งหนวยงานที่ควบคุมดูแลสถานการณฉุกเฉินภายใต สถานการณตา ง ๆ ไวอยางชัดเจน
  16. ผูดูแลระบบ ตองมีขั้นตอนและชองทางในการติดตอกับหนวยงานภายนอกที่มีความเชี่ยวชาญเฉพาะดานหรือหนวยงานที่มีความเชี่ยวชาญดานความมั่นคงปลอดภัยดานสารสนเทศภายใตสถานการณตาง ๆ ไวอยางชัดเจน8. ผูดูแลระบบตองควบคุมการเปลี่ยนแปลงของหนวยงานภายนอกที่สงผลกระทบตอการใหบริการขององคกร และตองประเมินความเสี่ยงอยางเหมาะสมเพื่อควบคุมผลกระทบอันเนื่องมาจากการเปลี่ยนแปลงนั้น 9. หนวยงานภายนอกและผูใชงานภายนอก ตองใชงานทรัพยสินสารสนเทศของ รฟม. ดวยความระมัดระวัง และรักษาความลับของ รฟม. ไมนําไปเปดเผย และตองขออนุญาตพรอมทั้งปฏิบัติตามเงื่อนไขในการเขาถงึระบบสารสนเทศของ รฟม. ทุกครั้ง
  17. หนวยงานภายนอกและผูใชงานภายนอกตองแจงเหตุการณไมปกติตาง ๆ ดานเทคโนโลยีสารสนเทศที่พบผานชองทางที่ รฟม. กําหนดโดยเร็วท่สีุด
  18. หนวยงานภายนอกและผูใชงานภายนอกตองจัดเก็บบัญชีผูใชงานที่ รฟม. จัดทําไวใหใชงานเปนความลับ เฉพาะบุคคล ไมเปดเผยใหผูอื่นรับทราบ
    25
    สวนท่ี9
    การใชงานเครื่องคอมพิวเตอรและอุปกรณเคลื่อนที่ ของ รฟม.
    วัตถุประสงค
    ▪ เพื่อควบคุมการใชงานทรัพยสินของ รฟม. ประเภทเครื่องคอมพิวเตอรและอุปกรณเคล่ือนที่ใหเหมาะสม ทั้งนี้ เพื่อปองกัน การสูญหาย เสียหาย หรือถูกเขาถึงขอมูลโดยไมไดรับอนุญาต
    ผูรบั ผดิชอบ
    ▪ ผูดูแลระบบ
    ▪ ผูใชงาน
    อางอิงมาตรฐาน: ISO/IEC 27001:2022
    ▪ มาตรการควบคุมดานองคกร (Organizational Controls)
    ▪ มาตรการควบคุมดานบุคลากร (People Controls)
    ▪ มาตรการควบคุมดานกายภาพ (Physical Controls)
    ▪ มาตรการควบคุมดานเทคโนโลยี (Technological Controls)
    แนวปฏิบัติ
  19. การใชงานทั่วไป
    1.1 ผูดูแลระบบตองกําหนดบัญชีซอฟตแวรมาตรฐาน (Software Standard) ที่อนุญาตใหติดตั้งบนเคร่ือง คอมพวิเตอรของผูใชงาน และปรับปรุงใหเปนปจจุบันเสมอ
    1.2 ผูดูแลระบบตองเปนผูกําหนดการตั้งช่อืเครื่องคอมพิวเตอร(Computer Name) เทาน้นั 1.3 ผูใชงานตองติดตั้งโปรแกรมสําหรับควบคุมการใชงานอุปกรณเคลื่อนที่ (Mobile Device Management:MDM) รวมถึงอุปกรณอื่น ๆ ที่ รฟม. ไมสามารถควบคุมการใชงานผานระบบ Active Directory (AD) ได 1.4 ผูใชงานตองใชงานอยางมีประสิทธิภาพเพื่องานของ รฟม.
    1.5 ผูใชงานตองไมติดตั้งโปรแกรมที่ละเมิดลิขสทิธิ์บนเครื่องคอมพิวเตอรและอุปกรณเคลื่อนท่ีของ รฟม. 1.6 ผูใชงานตองขอนุญาตติดตั้งโปรแกรมในเครื่องคอมพิวเตอรและอุปกรณเคลื่อนที่ตามข้นัตอนที่ รฟม. กาํ หนด1.7 ผูใชงานตองไมติดตั้งและแกไขเปลี่ยนแปลงโปรแกรมในเครื่องคอมพิวเตอรและอุปกรณเคล่อืนที่ของ รฟม. การดําเนินการดังกลาวตองดาํ เนินการโดยผูดูแลระบบเทานั้น
    1.8 ผูใชงานตองศึกษาและปฏิบัติตามคูมือการใชงานเครื่องคอมพิวเตอรและอุปกรณเคลื่อนท่ีอยางละเอียดเพื่อใหสามารถใชงานอยางปลอดภัยและมีประสิทธิภาพ
    1.9 ผูใชงานตองไมดดัแปลงแกไขสวนประกอบตางๆของคอมพิวเตอรและอุปกรณเคลื่อนที่และรกัษาใหมสภาพเดิมี 1.10 ผูใชงานตองแจงซอมเครื่องคอมพิวเตอรและอุปกรณเคลื่อนที่ที่อยูในความรับผิดชอบของ ฝทท. ให ฝทท.  เปนผูดาํ เนินการเทานั้น
    1.11 ผูใชงานตองอัปเดต Patch และระบบปฏิบัติการใหทันสมัยอยเูสมอ
    1.12 ผูใชงานตองไมสราง Shortcut ไวบน Desktop ที่เชื่อมตอ ไปยังขอมูลสําคญั ของ รฟม.
    1.13 กรณีเครื่องคอมพิวเตอรแบบพกพาและอุปกรณเคลื่อนท ผูใชงานตองปฏิบัติเพิ่มเติม ดังนี้ ่ี 1.13.1 ตองติดตั้ง Application จาก Official Store หรือเว็บไซตท ่ีใหบริการผา นโปรโตคอล HTTPS 1.13.2 ไมปรบัแตงการเขาถึงระบบปฏบัติการ ิ (Rooted/Jailbroken)
    1.13.3 ในกรณีที่มีการใชงานอุปกรณประเภทพกพาในที่สาธารณะ หองประชุม และพื้นที่ภายนอก อื่น ๆ ที่ไมมีการปองกัน หรือไมไดอยูในบริเวณของ รฟม. ใหปองกันการเขาถึงที่ไมไดรับอนุญาต เชน ไมเปดการเชื่อมตอแบบไรสายโดยไมมีการเขารหัสขอมูล เปนตน
    26
    1.13.4 ตองระมัดระวังการเคลื่อนยาย โดยตองใสกระเปาเพ่ือปองกันอันตรายที่เกิดจากการกระทบกระเทือนเชน การตกจากโตะทํางานหรือหลุดมือ เปนตน
    1.13.5 ไมใสในกระเปาเดินทางที่เสี่ยงตอการถูกกดทับโดยไมไดตั้งใจจากการมีของหนักทับหรืออาจถูกจบัโยนได
    1.13.6 การใชงานเปนระยะเวลานานเกินไป ในสภาพที่มีอากาศรอนจัดตองปดเครื่องคอมพิวเตอรเพื่อเปนการพักเคร่ืองสักระยะหนึ่งกอนเปดใชงานใหมอกีครั้ง
    1.13.7 หลีกเลี่ยงการใชนิ้วหรือของแข็ง เชน ปลายปากกา กดสัมผัสหนาจอ LCD ใหเปนรอย ขีดขว นหรือทําใหจอ LCD ของเครื่องคอมพิวเตอรแบบพกพาแตกเสียหายได
    1.13.8 ไมวางของทบั บนหนาจอและแปน พิมพ
    1.13.9 การเคลื่อนยายเครื่องขณะที่เครื่องเปดใชงานอยู ใหทําการยกจากฐานภายใตแปนพิมพ หามยายเครื่องโดยการดึงหนาจอภาพขึ้น
    1.13.10 ไมคลื่อนยายเครื่องในขณะที่ Harddisk กําลังทาํ งาน
    1.13.11 ไมใชหรอืวางใกลสิ่งท่เปนของเหลว ความชื้น เชน อาหาร น้ํา กาแฟ เครื่องดื่มตาง ๆ เปนตน ี 1.13.12 ไมวางใกลอปุ กรณที่มีสนามแมเหล็กไฟฟาแรงสูง เชน แมเหล็กโทรทัศนไมโครเวฟ ตูเย็น เปนตน1.13.13 ไมติดตั้งหรือวางในที่ที่มกีารส่นัสะเทือน เชน ในยานพาหนะที่กําลังเคลื่อนที่
    1.13.14 การเช็ดทําความสะอาดหนาจอภาพตองเช็ดอยางเบามือที่สุด และตองเช็ดไปในแนวทาง เดียวกันหามเช็ดแบบหมนุ วน เพราะจะทําใหหนาจอมีรอยขีดขวนได
    1.13.15 รับผิดชอบในการปองกันการสูญหาย เชน ตองลอ็กเคร่ืองขณะท่ไีมไดใชงาน ไมวางเครื่องทิ้งไวในที่ สาธารณะ หรือในบริเวณที่มีความเสี่ยงตอการสูญหาย
    1.13.16 นําติดตัวไปดวยเสมอ เชน ไมละทิ้ง อุปกรณประมวลผลประเภทพกพาในรถยนตหองพักในโรงแรม หรือหองประชุม เปนตน ในกรณีท่ีมีความจําเปนตองละทิ้งใหจัดเก็บไวในสถานท่ี
    ม่นัคงปลอดภัย
    1.13.17 ไมเก็บหรือใชงานในสถานที่ที่มีความรอน ความช้ืนหรือฝุนละอองสูงและตองระวังปองกันการตกกระทบ
    1.13.18 ไมเปลี่ยนแปลงแกไขสวนประกอบยอย (Sub Component) ที่ติดตั้งอยูภายใน เชน แบตเตอรี่ หนวยความจํา
  20. แนวปฏิบัติในการใชรหัสผาน
    ใหผูใชงานปฏิบัติตามการใชงานรหัสผาน (Password Use) (สวนที่ 6)
  21. การปองกันจากโปรแกรมชุดคําส่งัไมพึงประสงค(Malicious Code)
    3.1 ผูดูแลระบบตองควบคุมการ Update ระบบปฏิบัติการ เว็บเบราวเซอร และโปรแกรมใชงานตาง ๆ อยางสม่ําเสมอ เพื่อปดชองโหว (Vulnerability) ท่ีเกิดขึ้นจากซอฟตแวรเปนการปองกันการโจมตีจากภัยคุกคามตาง ๆ
    3.2 ผูดูแลระบบตองติดตั้งและปรับปรุงโปรแกรมปองกันไวรัสใหทนัสมัยอยูเสมอ
    3.3 ผูใชงานตองไมปดหรือยกเลิกระบบการปองกันไวรัสที่ติดตั้งอยู
    3.4 ผูใชงานตองตรวจสอบหาไวรัสจากสื่อบันทึกตาง ๆ เชน Thumb drive และ Data storage อ่ืน ๆ กอนนํามาใชงานรว มกับเครื่องคอมพวิเตอรของ รฟม.
    3.5 ผูใชงาน หากพบหรือสงสัยวาเครื่องคอมพิวเตอรและอุปกรณเคลื่อนท่ีติดชุดคําสั่งไมพึงประสงคใหรีบยกเลิกเชื่อมตอเครื่องเขากับระบบเครือขายสื่อสารขอมูลเพื่อปองกันการแพรกระจายของชุดคําสั่งท่ีไมพึงประสงค ไปยังเครื่องอื่น ๆ ไดและแจง ฝทท. ทราบทนั ที
    27
  22. การสํารองขอ มลูและการกูคืน
    4.1 ผูใชงานตองรับผิดชอบในการสํารองขอมูลจากเครื่องคอมพิวเตอรและอุปกรณเคล่ือนทไวบนสื่อบันทึกอื่น ๆ เชน ี่ ระบบ File Sharing, CD, DVD, External harddisk เปนตน
    4.2 ผูใชงานมีหนาที่เก็บรักษาสื่อขอมูลสํารอง (Backup Media) ไวในสถานท่ีท่เีหมาะสม ไมเสี่ยงตอการรั่วไหลของ ขอมูลและทดสอบการกูคืนขอมูลที่สํารองไวอยางสม่ําเสมอ
  23. ผูดูแลระบบ ตองควบคุมใหเคร่ืองคอมพิวเตอรไดรับการปรับตั้งคาอยางเหมาะสม เพื่อปองกันการใชงานหรือตดิตั้ง Mobile Code เชน Active X, Java จากแหลงที่ไมนาเชื่อถือ
    28
    สว นที่10
    การใชงานอินเทอรเน็ตและสื่อสังคมออนไลน
    วัตถุประสงค
    ▪ เพ่อืควบคุมการใชงานอินเทอรเน็ตและการใชงานสื่อสังคมออนไลน(Social Network) ของ รฟม. ใหมีความปลอดภัยและปองกันการละเมิดพระราชบัญญัตวิาดวยการกระทําความผิดเกี่ยวกับคอมพิวเตอรจนสงผลกระทบตอ รฟม. ผูรบั ผดิชอบ
    ▪ ผูดูแลระบบ
    ▪ ผูใชงาน
    อางอิงมาตรฐาน: ISO/IEC 27001:2022
    ▪ มาตรการควบคุมดานองคกร (Organizational Controls)
    ▪ มาตรการควบคุมดานเทคโนโลยี (Technological Controls)
    แนวปฏิบัติ
  24. ผูดูแลระบบตองควบคุมการเชื่อมตอทางเครือขายสําหรบัการเขาถึงอินเทอรเน็ตโดยพิจารณาเรื่องดังตอไปน้ี 1) ผูดแูลระบบตองไมอนุญาตใหใชงานอุปกรณVideoStreaming อุปกรณ Audio streaming หรือ Downloadไฟลที่มีขนาดใหญ ในกรณีที่จําเปนตองไดรับการอนุญาตจากผูบงัคับบัญชากอนเทานั้น 2) ผูดแูลระบบตองจํากัดการใชงานอินเทอรเน็ตเพื่อเรื่องสวนตัวหรือที่ไมใชการดําเนินงานของ รฟม. ใหนอยที่สุดเทาที่เปนไปได เชน การระงับการเขาถึง Website ที่ไมจําเป ็น การระงับการเขาถึง Website ที่มีเนื้อหาตองหามตามพระราชบัญญัติวาดวยการกระทําความผิดเก่ยีวกับคอมพิวเตอร
  1. ผูดูแลระบบตองปองกันไมใหมีการรับสงขอมูลที่ไมเหมาะสมจากภายนอก รฟม. เชน (ก) Executable เชน .EXE .COM เปนตน
    (ข) ไฟล (File) เสียง เชน AUD .WAV และ .MP3 เปนตน
    (ค) ไฟล (File) วีดิทศั นเชน .MPG .MPEG .MOV และ .AVI เปนตน
    (ง) Peer to Peer เชน .torrent เปนตน
    ในกรณีที่มีความจาํ เปนตองไดรับอนุญาตจากผูบังคับบัญชา และ ฝทท.
  2. ผูดแูลระบบตองกําหนดเสนทางการเชื่อมตอระบบคอมพิวเตอรเพื่อการเขาใชงานอินเทอรเนต็ ที่ตองเชื่อมตอผานระบบรักษาความปลอดภัยท่ีรฟม. จัดสรรไวเทาน้นั เชน Proxy,Firewall เปนตน
  3. ผูดแูลระบบตองทดสอบเสนทางสําหรับการเชื่อมตออินเทอรเน็ตขององคกรระหวางเสนทางที่ใชงานจริงและเสนทางสํารองอยางนอยปละ 2 ครั้ง
  4. ผูใชงานตองไมเช่ือมตอระบบคอมพิวเตอรผานชองทางอื่น ยกเวนมีความจําเปนและขออนุญาตจาก ฝทท. เปนลายลักษณอักษรแลว
  5. ผูใชงานตองขออนุญาตติดตั้งซอฟตแวร (Software) ท่ีDownload จากอินเทอรเน็ต และการติดตั้งตองดําเนินการโดยผูที่ไดรับมอบหมายจากผูดแูลระบบเทานั้น
  1. ผูใชงานตองไมมีเจตนาปดบังหรือบิดเบือนตัวตนเมื่อมีการใชงานอินเทอรเน็ต
  2. ผูใชงานติดตั้งโปรแกรมปองกันไวรัส พรอมทั้งตองปรับปรุง Virus Signature ท่ีเครื่องคอมพิวเตอรสวนบุคคลและเครื่องคอมพิวเตอรพกพาใหมีความทันสมัยอยูเสมอ กอนทําการเชื่อมตออินเทอรเน็ตผานเว็บเบราวเซอร (WebBrowser) และตองปดชองโหวของระบบปฏิบัติการที่เว็บเบราวเซอรติดตั้งอยู
  3. ผูใชงานจะตองตรวจสอบไวรัส (Virus Scanning) กอนการรับ - สงขอมูลคอมพิวเตอรผานทางอินเทอรเน็ต
    29
  4. ผูใชงานตองไมใชเครือขายอินเทอรเน็ตของ รฟม. เพ่อืหาประโยชนในเชิงธุรกิจสวนตัว และทําการเขาสูเว็บไซตที่ ไมเหมาะสม เชน เว็บไซตที่ขัดตอศีลธรรม เว็บไซตที่มีเนื้อหาท่ีขัดตอชาติศาสนา พระมหากษัตริยหรือเว็บไซตที่ เปนภัยตอ สังคม เปนตน
  5. ผูใชงานจะถูกกําหนดสิทธิ์ในการเขาถึงแหลงขอมูลตามหนาที่ความรับผิดชอบเพื่อประสิทธิภาพของเครือขายและความปลอดภัยทางขอมูลของ รฟม.
  6. ผูใชงานตองหลกีเลี่ยงการกระทําที่ส้นิเปลืองทรพัยากรของเครือขายอินเทอรเน็ต ดังนี้ (ก) สงจดหมายอิเล็กทรอนิกสลูกโซ
    (ข) ใชเวลาในการเขาถึงอนิเทอรเน็ตเกินความจําเปนยกเวนเพื่อปฏิบัติงานใหรฟม.
    (ค) เลนเกม Online
    (ง) เขาหองพูดคยุ Online ท่ไีมไดมวีัตถุประสงคเพื่อปฏบิัติงานใหรฟม.
  7. ผูใชงานตองไมเผยแพรขอมูลที่เปนการหาประโยชนสว นตัวหรือขอมูลที่ไมเหมาะสมทางศีลธรรม หรือขอมูลท่ีละเมิดสิทธิ์ของผูอื่น หรอืขอมูลที่อาจกอความเสียหายใหกับ รฟม.
  8. ผูใชงานตองไมเปดเผยขอมูลสําคัญที่เปนความลับเกี่ยวกับงานของ รฟม.
  9. ผูใชงานตองไมนําเขาขอมูลคอมพิวเตอรใด ๆ ที่มีลักษณะอันเปนเท็จ อันเปนความผิดเกี่ยวกับความมั่นคง แหงราชอาณาจักร อันเปนความผิดเกี่ยวกับการกอการราย หรือภาพที่มีลักษณะอันลามก และไมทําการเผยแพร หรือสงตอขอมูลคอมพิวเตอรดังกลาวผานอินเทอรเน็ต
  10. ผูใชงานตองไมนําเขาขอมูลคอมพิวเตอรที่เปนภาพของผูอื่นและภาพนั้นเปนภาพที่เกิดจากการสรางขึ้น ตัดตอ เติมหรือดัดแปลงดวยวิธีการทางอิเล็กทรอนิกสหรือวิธีการอื่นใด ท่จีะทําใหผูอื่นเสียหาย เสียชื่อเสียง ถูกดูหมิ่นถูกเกลียดชัง หรือไดรับความอับอาย
  11. ผูใชงานมีหนาที่ตรวจสอบความถูกตองและความนาเชื่อถือของขอมูลคอมพิวเตอรท่ีอยูบนอินเทอรเน็ตกอนนําขอมูลไปใชงาน
  12. ผูใชงานตองคํานึงวาขอมูลจากอินเทอรเน็ตอาจไมมีความทันสมัยหรือไมมีความถูกตอง ผูใชงานตองตรวจสอบความถูกตองของขอมูลจากแหลงที่นาเชื่อถือกอนที่จะเผยแพรขอมูลดังกลาว
  13. ผูใชงานตองระมัดระวังการดาวนโหลดโปรแกรมใชงานจากอินเทอรเน็ต ซึ่งรวมถึง Patch หรือ Fixes ตาง ๆ จากผูขาย ตองเปนไปโดยไมละเมิดทรพัยส ินทางปญญา
  14. ผูใชงานตองไมใชขอความที่ยั่วยุใหรายในการเสนอความคิดเห็นที่จะทําใหเกิดความเส่ือมเสียตอชื่อเสยีงของ รฟม. การทาํลายความสัมพันธกับเจาหนาที่ของหนวยงานอื่น ๆ
  15. ผูใชงานตองไมบันทึกรหัสผานใน Web Browser (Remember Password) เพ่ือปองกันบุคคลอื่นที่สามารถเขาถึงคอมพิวเตอรของผูใชงานนํารหัสผานดังกลาวไปใชงานในอินเทอรเน็ตโดยไมไดรับอนุญาต 17. ผูใชงานตองไม Download เอกสาร หรือสารสนเทศตาง ๆ เชน ขอมูล รูปภาพ วิดีโอ เสียง และซอฟตแวร (Software) ที่ละเมิดลิขสิทธิ์ หรือผิดกฎหมาย
  16. ผูใชงานตองปดเว็บเบราวเซอรเพื่อปองกันการเขาใชงานโดยบุคคลอื่น ๆ ภายหลังจากใชงานอินเทอรเน็ตเสร็จแลว 19. การใชงานสื่อสังคมออนไลน (Social Network)
    19.1 ผูใชงานตองระมัดระวังในการนําเสนอขอมูลขาวสาร การสงขอความ หรือการแสดงความคิดเห็นผาน สื่อสังคมออนไลนเพ่อืไมกอใหเกิดความเสยีหายแก รฟม.
    19.2 ผูใชงานตองระมัดระวังในการใชสื่อสังคมออนไลนเนื่องจากพื้นท่ีบนสื่อสังคมออนไลนเปนพื้นที่ สาธารณะไมใชพื้นที่สวนบุคคล ซึ่งขอมูลการใชงานตาง ๆ จะถูกบันทึกไวและอาจมีผลทางกฎหมายถึงแมจะเปนการแสดงความคิดเห็นในนามชื่อบัญชีสวนตัว และพึงตระหนักถึงผลกระทบที่อาจเกิดขึ้นกับ รฟม. ได
    30
    19.3 ผูใชงานที่ใชสื่อสังคมออนไลนเปนเครื่องมือสื่อสารขอมูลในกิจการของ รฟม. หรือชื่อบุคคลที่ทําใหเขาใจไดวาเปนบุคคลในสังกัด ตองแสดงภาพ และขอมูลใหถูกตองชัดเจนในขอมูล โปรไฟล (Profile) และพึงใชดวยความสุภาพและมีวจิารณญาณ
    19.4 ผูใชงานควรตั้งคําถามที่ใชในกรณีกูคืนบัญชีผูใชงานหรือกูคืนรหัสผาน (Forgot Your Password) ควรเลือกใชขอมูลหรือคําถามที่เปนสวนบุคคลและเปนขอมูลที่ผูอื่นคาดเดาไดยากเพื่อปองกันการสุมคําถามจากผูประสงคราย
    19.5 ผูใชงานตองไมใชระบบอีเมลของเว็บไซตประเภทส่ือสังคมออนไลนหากจําเปนตองใชจะตองระมัดระวัง ในการคลิกลิงกที่นาสงสัย โดยเฉพาะอีเมลแจงเตือนจากเว็บไซตตาง ๆ ในลักษณะเชื้อเชิญใหคลิกลิงก ท่ีแนบมาในอีเมล ผูใชงานตองสงสัยวาลิงกดังกลาวเปนลิงกที่ไมปลอดภัย (ลิงกที่ถูกสรางมาเพื่อใชขโมยขอมูลสวนบุคคล ดวยการนําไปสูเว็บไซตที่ดูนาเชื่อถือที่ผูประสงครายสรางไวเพ่ือใหผใูชงานกรอกขอมูลสวนบุคคล เชน รหัสผาน เปนตน)
    19.6 ผูใชงานตองศึกษาการตั้งคาความเปนสวนตัวหรือ “Privacy Settings” ใหเขาใจเปนอยางดีและปรับแตงการตั้งคาความเปนสวนตัวใหเหมาะสมเพื่อปองกันการถูกละเมิดความเปนสวนตัวซึ่ง อาจจะสงผลกระทบตอตนเองหรอื รฟม.
    19.7 ผูใชงานตองใชงานส่อืสังคมออนไลนอยางเหมาะสม โดยไมละเมิดกฎหมายและไมกอใหเกิดความเสียหายหรือสงผลกระทบตอการทํางานขององคกร
    19.8 ผูใชงานควรปดการใชงานระบบโพสตขอความสาธารณะทุก ๆ สวนของเว็บไซตประเภท Social Networkหากจําเปนตองใชงานตองปรับคาใหมีการตรวจสอบขอความกอนเพื่อหลีกเลี่ยงโอกาสแพรกระจายลิงก ท่ไีมปลอดภัยจากผูประสงคราย ซึ่งเปนหนึ่งในเทคนิคที่ใชในการโจมตีประเภท Spear Phishing
    19.9 ผูใชงานตองตรวจสอบกอนจะรับเพื่อนเขากลุมในเว็บไซตประเภท Social Network โดยตองแนใจวาขอมูลสวนตัวของเพื่อนคนนั้น เชน รูปถายและประวัติสวนตัวไมถูกแกไขเพื่อปลอมแปลงตัวตนจากผูประสงครายที่หวังแอบอางเพื่อคุกคามเปาหมาย
    19.10 ผูใชงานตองตระหนักไวเสมอวาขอมูลตาง ๆ ที่ผูใชงานเผยแพรไวบนบริการสื่อสังคมออนไลนนั้นคงอยู ถาวรและผอู ่นือาจเขาถึงและเผยแพรขอมูลเหลานั้นได 
    19.11 ผูใชงานตองมีขอพิจารณาในการรับเพื่อนเขากลุมที่ชัดเจน และควรประกาศขอความปฏิเสธความรับผิดชอบที่เกี่ยวกับเนื้อหาหรือขอความแสดงความคิดเห็นซึ่งถูกโพสตจากเพื่อนในกลุมที่อาจปรากฏในเว็บไซตประเภท Social Network ของผูใชงานเอง
    19.12 ผูใชงานตองติดตั้งซอฟตแวรปองกันไวรัส และอัปเดตฐานขอมูลไวรัสของโปรแกรมอยูเสมอ และตอง หลีกเลี่ยงการใชโปรแกรมที่ละเมิดลิขสิทธิ์เพราะอาจจะมีโปรแกรมประสงครายแฝงตัวอยูภายในเพ่ือลักลอบ ปลอมแปลง หรือขโมยขอมลูสําคัญของผูใชงานได
    19.13 ผูใชงานตองระมัดระวังการใชถอยคําและภาษาที่อาจเปนการดูหมิ่น ยุยง ทาทาย หรือเปนการละเมิดตอบุคคลอื่น กรณบีุคคลอื่นมีความคิดเห็นท่แีตกตางพึงงดเวนการโตตอบดวยถอยคํารุนแรง 19.14 ผูใชงานตองระมัดระวังกระบวนการหาขาว หรือภาพจากสื่อสังคมออนไลน โดยมีการตรวจสอบอยางถี่ถวนรอบดานและตองอางอิงแหลงที่มาเมื่อนําเสนอ เวนแตสามารถตรวจสอบและอางอิงจากแหลงขาวไดโดยตรง
    19.15 หากผูใชงานตองการใชสื่อสังคมออนไลนเปนเครื่องมือในการรายงานขาวในนามของบุคคลธรรมดาตอง แสดงใหชัดเจนวา ขอความใดเปน “ขาว” ขอความใดเปน “ความคิดเห็นสวนตัว”
    19.16 การสงตอหรือเผยแพรขอมูลในสื่อสังคมออนไลน (Social Media)
    31
    19.16.1 ผูใชงานตองไมสงตอหรือเผยแพรขอมูลที่เปนเท็จ ขาวลือ ขา วไมปรากฏท่มีา เปนเพียงการคาดเดา หรือสงผลเสียหายกับบุคคล สังคม หรือ รฟม.
    19.16.2 ผูใชงานตองไมสงตอหรือเผยแพรขอมูลเรื่องบุคคลเสียชีวิต เด็กและเยาวชน ผูสูญหาย ผูตองหา เวนเสียแตตรวจสอบขอเท็จจริงแลวและเห็นวาเปนประโยชนตอสาธารณะ 19.16.3 ผูใชงานตองไมสงตอหรือเผยแพรขอมลู ที่กระทบตอสิทธคิวามเปนสวนตัว และศักดิ์ศรีความเปนมนษุ ย
    19.17 ผูใชงานตองตั้งคาความปลอดภัยของการใชงานสื่อสังคมออนไลน และระมัดระวังการถูกนําขอมูลจากชื่อบัญชีไปใชโดยไมเหมาะสม ผิดวัตถุประสงค และลักษณะการแอบอางโดยบุคคลอื่น
  17. ผูใชงานตองใชงานอินเทอรเน็ตและสื่อสังคมออนไลนโดยตระหนักถึงพระราชบัญญัติการกระทาํความผิดเกี่ยวกบั คอมพิวเตอรที่บงัคับใชอยูเสมอ
    32
    สว นที่11
    การใชงานจดหมายอิเล็กทรอนิกส
    วัตถุประสงค
    ▪ เพื่อกําหนดมาตรการการใชงานจดหมายอิเล็กทรอนิกสของ รฟม. ใหมคีวามปลอดภัยและมีประสิทธภาพ ิ ผูรบั ผดิชอบ
    ▪ ผูดูแลระบบ
    ▪ ผูใชงาน
    อางอิงมาตรฐาน: ISO/IEC 27001:2022
    ▪ มาตรการควบคุมดานองคกร (Organizational Controls)
    ▪ มาตรการควบคุมดานเทคโนโลยี (Technological Controls)
    แนวปฏิบัติ
  18. ผูดูแลระบบตองกําหนดสิทธิ์การเขาถึงระบบจดหมายอิเล็กทรอนิกสของ รฟม. ใหเหมาะสมกับหนาที่ความรับผิดชอบของผูใชงาน รวมทั้งทบทวนสิทธิ์การเขาใชงานอยางสม่ําเสมอ
  19. ผูดูแลระบบตองกําหนดบัญชีผูใชงานตามมาตรฐานจดหมายอเิล็กทรอนิกส(Email) ที่ใชในองคกร 3. ผูใชงานตองระมัดระวังในการใชจดหมายอิเล็กทรอนิกสไมใหเกิดความเสียหายตอ รฟม. ละเมิดลิขสิทธิ์ สราง ความนารําคาญตอผูอ่ืน ผิดกฎหมาย ละเมิดศีลธรรม และไมแสวงหาประโยชนหรืออนุญาตใหผูอื่นแสวงหาผลประโยชนในเชิงธุรกิจจากการใชจดหมายอิเล็กทรอนิกสของ รฟม. 
  20. ผูใชงานตองไมใชท่ีอยูจดหมายอิเล็กทรอนิกส(Email Address) ของผูอื่นเพื่ออาน รับ - สงขอความ ยกเวนไดรับการยินยอมจากเจาของบัญชีและใหถือวาเจาของบัญชีจดหมายอิเล็กทรอนิกสเปนผูรับผิดชอบตอการใชงานตาง ๆ ในจดหมายอิเลก็ ทรอนิกสของตน
  21. ผูใชงานตองใชที่อยูจดหมายอิเล็กทรอนิกสของ รฟม. เพื่อปฏิบัติงาน ติดตอ และประสานงานของ รฟม. เทานั้น 6. ผูใชงานตองไมใชที่อยูจดหมายอิเล็กทรอนิกสฟรขีองเอกชนในการปฏิบัติงาน ติดตอ และประสานงานของ รฟม. 7. ผูใชงานตอง Logout ออกจากระบบทุกครั้ง หลังจากใชงานระบบจดหมายอิเล็กทรอนิกสเสร็จสิ้นเพื่อปองกันบคุ คลอื่นเขาใชงานจดหมายอิเล็กทรอนิกส
  22. ผูใชงานตองตรวจสอบเอกสารแนบจากจดหมายอิเล็กทรอนิกสกอนเปดอาน โดยใชโปรแกรมปองกันไวรัส เพื่อตรวจสอบมัลแวรตาง ๆ
  23. ผูใชงานตองไมเปดหรือสงตอจดหมายอิเล็กทรอนิกสที่ไดรับจากผสู งที่ไมรูจัก
  24. ผูใชงานตองใชขอความที่สุภาพในการรับ – สงจดหมายอิเล็กทรอนิกส และไมสงจดหมายที่มีเนื้อหาอาจทําให รฟม. เสียชื่อเสียงหรือทําใหเกิดความแตกแยกภายใน รฟม.
  25. ผูใชงานตองไมระบุความสําคัญของขอมูลลงในหัวขอจดหมายอิเล็กทรอนิกสและตองเขารหัสเพื่อปองกันการเขาถึงขอ มูลโดยผไูมเกี่ยวของเมื่อมีการสงขอมูลที่เปนความลับ
  26. ผูใชงานตองตรวจสอบตูเก็บจดหมายอิเล็กทรอนิกสของตนเองทุกวนั และตองจัดเก็บจดหมายอิเล็กทรอนิกสในตู  ของตนใหเหลือจํานวนนอยที่สุด หากมีขอมูลที่จําเปนตองนํามาใชอางอิงในการปฏิบัติงานภายหลังใหผใูชงานโอนยายจดหมายอิเล็กทรอนิกสมายังเคร่ืองคอมพิวเตอรของตน ทั้งนี้เพื่อลดปริมาณการใชเนื้อที่ของระบบจดหมายอเิล็กทรอนิกส 
    33
    สว นที่12
    การสํารองขอมูลและการเก็บรักษาขอมลูจราจรทางคอมพิวเตอร
    วัตถุประสงค
    ▪ เพื่อใหมีขอมูลสํารองไวใชงานในกรณีที่ขอมูลหลักเกิดความเสียหายไมสามารถใชงานหรือเขาถึงได หรือเมื่อเกิดภาวะฉุกเฉินตาง ๆ
    ▪ เพื่อใหมีการปฏิบัติที่สอดคลองกับกฎหมาย พระราชบัญญัติหรือขอ บังคับภายนอกอื่น ๆ ผูรบั ผดิชอบ
    ▪ ผูบังคับบัญชา
    ▪ ผูดูแลระบบ
    ▪ เจาของขอมูล
    ▪ ผูใชงาน
    อางอิงมาตรฐาน: ISO/IEC 27001:2022
    ▪ มาตรการควบคุมดานองคกร (Organizational Controls)
    ▪ มาตรการควบคุมดานเทคโนโลยี (Technological Controls)
    แนวปฏิบัติ
  27. การสํารองขอ มลู ระบบแมขาย
    ขอมูลระบบแมขายและขอมูลสําคัญซึ่งเปนความลับของ รฟม. ตองไดรับการเก็บรักษาไวที่ระบบเก็บขอมูลสวนกลาง และสํารองขอมูลไวอยางสมํ่าเสมอ เพื่อใหมีขอมูลสํารองไวใชในกรณีที่ขอมูลหลักเกิดความเสียหายหรือไมสามารถใชงาน ความถี่ในการดําเนินการสํารองขอมูลและขั้นตอนการสํารองขอมูลระบบแมขายเปนความรับผิดชอบของ ฝทท. โดยมีแนวปฏิบัติ ดังนี้
    1.1 ผูบังคับบัญชากําหนดผูรับผิดชอบในการสํารองขอมูล
    1.2 ผูดูแลระบบตองกําหนดชนิดของขอมูลของระบบที่มีความจําเปนตองสํารองขอมูลเก็บไว เชน ขอมูล คาคอนฟกกูเรชัน (Configuration) ขอมูลคูมือการปฏิบัติงานสําหรับระบบ ขอมูลในฐานขอมูลของ ระบบงาน ขอมูลซอฟตแวร เชน ซอฟตแวรระบบปฏิบัติการ ซอฟตแวรระบบงาน และซอฟตแวรอื่น ๆ เปนตน
    1.3 ผูดูแลระบบตองสํารองขอมูลตามความถี่ท่กีําหนดไวทั้งนี้หากเปนขอมูลที่สนับสนุนกระบวนการทํางานที่ สําคัญของ รฟม. ใหสํารองตามความถี่ที่ รฟม. กําหนด
    1.4 ผูดูแลระบบตองตรวจสอบวาการสํารองขอมูลสําเร็จครบถวนหรือไม หากไมสําเร็จใหหาสาเหตุและดาํ เนินการแกไขอีกครั้งหนึ่ง
    1.5 ผูดูแลระบบตองนําขอมูลที่สํารองไวไปเกบ็ ไวท ั้งภายในและภายนอก รฟม. อยางนอยอยางละ 1 ชุด 1.6 ผูดูแลระบบทดสอบกูคืนขอมูลท่ีสํารองเก็บไวอยางสมํ่าเสมอ อยางนอยปละ 1 ครั้ง เพื่อใหมนั่ ใจวาขอมลู ที่สํารองไวมีความถูกตอง ครบถวน และพรอ มใชงาน
  28. การสํารองขอ มลคอมพิวเตอรสวนบุคคล ู ผูใชงานจะตองสํารองขอมูลสําคัญที่เก็บรักษาไวในเครื่องคอมพิวเตอรสวนบุคคลหรือคอมพิวเตอรหรืออุปกรณพกพาอ่ืน ๆ อยางสม่ําเสมอ ความถี่ในการสํารองขอมูลขึ้นอยูกับความถี่ของการเปลี่ยนแปลงของขอมูลและระดับความสําคัญของขอมูลหากเกิดการสญู หาย 3. การเก็บรักษาขอมูลจราจรคอมพิวเตอร
    เพื่อใหสามารถระบตุ วับุคคลผูใชงานไดอยางถูกตอง ผูดูแลระบบตองดําเนนิการ ดังนี้
    3.1 เลือกใชนาฬิกาจากแหลงที่นาเชื่อถือที่มีการเชื่อมตอในลําดับชั้น Stratum 0 โดยนาฬิกาจากแหลงดังกลาวจะตอง ไดรับการอนุมตัิใหใชงาน
    3.2 ต้งันาฬิกาของอุปกรณที่ใหบริการทุกชนิดจาก NTP Server ของ รฟม. เทานั้น
    34
    3.3 ตองทบทวนนาฬิกาที่ NTP Server อยางนอยสัปดาหละ 1 ครั้ง
    3.4 ตองจัดเก็บรักษาขอมูลจราจรคอมพิวเตอร โดยระยะเวลาในการเก็บตามประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสารเร่อืง หลักเกณฑการเก็บรักษาขอมูลจราจรทางคอมพิวเตอรของผูใหบริการ พ.ศ.2550(อยางนอย 90 วัน) 3.5 เก็บรักษาขอมูลจราจรคอมพิวเตอรในส่ือที่สามารถรักษาความครบถวนถูกตองแทจริง มีการเก็บรักษาความลับของขอมูลตามระดับช้ันความลับในการเขาถึงตามที่ รฟม. กาํ หนด 3.6 ประเภทของสารสนเทศที่เก็บรักษา แสดงตามตาราง
    ประเภทของสารสนเทศ กฎหมายที่เกี่ยวของ ระยะเวลาการเก็บรักษา (ป) 1) พระราชบัญญัติวาดวยการกระทําความผิด
    Authentication Server Logs
    เกี่ยวกบัคอมพิวเตอร พ.ศ. 2550
    1
    (RADIUS, TACACS)
  1. พระราชบัญญตัิวาดวยการกระทําความผิด
    Email Server Logs 1
    เกี่ยวกบัคอมพิวเตอร(ฉบบั ที่ 2) พ.ศ. 2560

  2. ประกาศกระทรวงดิจิทัลเพื่อเศรษฐกิจและสงัคม
    Web Application Server Logs 1 เรื่อง หลักเกณฑการเก็บรักษาขอมูลจราจรทาง
    NTP Server Logs 1
    คอมพิวเตอรของผูใหบรกิาร พ.ศ. 2564
    DHCP Server Logs 1 IPS Logs 1 Firewalls Logs 1 Routers & Switches Logs 1
    Active Directory Logs

    1

  1. การจดัเก็บบนั ทึกขอมูลล็อกและการเฝาระวงั (Logging and Monitoring)
    4.1 ผูดูแลระบบตองมีการจัดเกบ็ บันทึกเหตุการณ(Event Logs) การใชงานระบบสารสนเทศ 4.2 ผูดูแลระบบตองเก็บบันทึกขอมูล Audit Log ซึ่งบันทึกกิจกรรมการใชงานของผูใชงานระบบสารสนเทศและเหตกุ ารณเกี่ยวกับความมั่นคงปลอดภัยตาง ๆ เพื่อประโยชนในการสบืสวน สอบสวน และเพื่อการติดตามการควบคุมการเขาถึง
    4.3 ผูดูแลระบบตองมีการตรวจสอบขอมูลบันทกึเหตุการณอยางสม่ําเสมอ (Log Review) 4.4 ผูดูแลระบบตองไมลบขอมูลล็อก (Log) หรือปดการใชงานการบันทึกขอมูลล็อก (Log) 4.5 ผูดูแลระบบตองปองกันระบบสารสนเทศที่จัดเก็บล็อก (Log)และขอมูลล็อก(Log) เพื่อปองกันการเขาถึงหรือแกไขเปลี่ยนแปลงโดยไมไดรับอนุญาต
    35
    สว นที่13
    การตรวจสอบและประเมินความเสี่ยง
    วัตถุประสงค
    ▪ เพ่อืใหมีการตรวจสอบการดําเนินงานของระบบจัดการความม่นัคงปลอดภัยสารสนเทศและปรบั ปรุงอยางตอเนื่อง ▪ เพื่อควบคุม และติดตามการปฏิบัติงานของผูดูแลระบบสารสนเทศ ใหสอดคลองตามขอกําหนด กฎหมาย หรือระเบียบขอบังคับที่เกี่ยวของกบัเทคโนโลยีสารสนเทศ
    ▪ เพื่อประเมนิความเสี่ยงดานความมั่นคงปลอดภัยของสารสนเทศและบริหารจัดการความเสี่ยงใหอยูในระดับที่ องคกรยอมรบั ได
    ผูรบั ผดิชอบ
    ▪ ผูบังคับบัญชา
    ▪ ผูดูแลระบบ
    อางอิงมาตรฐาน: ISO/IEC 27001:2022
    ▪ ขอกําหนดหลัก: การวางแผน (Planning)
    ▪ ขอกําหนดหลัก: การตรวจประเมินภายใน (Internal Audit)
    ▪ มาตรการควบคุมดานองคกร (Organizational Controls)
    ▪ มาตรการควบคุมดานเทคโนโลยี (Technological Controls)
    แนวปฏิบัติ
  2. ผูบังคับบัญชา ตองกําหนดใหมีแนวทางในการดําเนินงานของระบบสารสนเทศสอดคลองกับกฎหมาย พระราชบัญญัติ กฎระเบียบ ขอบังคับที่เกี่ยวของกับความมั่นคงปลอดภัยสารสนเทศโดยตองจัดทําเปนลายลกัษณอักษร และมีการปรับปรุงใหเปนปจจุบันอยูเสมอ
  3. ผูบังคับบัญชา ตองกําหนดมาตรการในการควบคุมและบรหิารจัดการสินทรัพยทางปญญา ไดแกลิขสิทธในเอกสาริ์ หรือซอฟตแวร เครื่องหมายการคา สิทธิบัตร และใบอนุญาตการใชงานซอรสโคด หรือการใชงานซอฟตแวร เพื่อใหการดําเนินงานเปนไปตามขอกําหนดทั้งในแงของขอสัญญา และดานกฎหมาย พระราชบัญญัติ กฎระเบียบ ขอบังคับดานสินทรัพยทางปญญาที่เกี่ยวของ
  4. ผูบังคับบัญชา ตองควบคุมใหมีการคุมครองขอมูลสวนบุคคลโดยใหสอดคลองกับกฎหมาย พระราชบัญญัติกฎระเบียบ ขอบังคับที่เกี่ยวของ
  5. ผูบังคับบัญชา ตองกํากับดูแล และควบคุมการปฏิบัติงานของผูที่อยูใตการบังคับบัญชา เพื่อปองกันการใชงานระบบสารสนเทศผิดวัตถุประสงค หรือละเมิดตอนโยบายและแนวทางปฏิบัติการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศของ รฟม.
  6. ผูบังคับบัญชา ตองควบคุมใหมีการปองกันขอมูลสําคัญขององคกร ขอมูลสําคัญที่เกี่ยวของกับขอกําหนดทาง กฎหมาย ระเบียบ ขอบังคบั สัญญา ควรไดรับการปองกนัจากการสูญหาย ถูกทําลาย และปลอมแปลง 6. ผูบังคับบัญชาตองจัดใหมีการตรวจสอบการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ โดยผูตรวจสอบภายใน (Internal Auditor) หรือโดยผูตรวจสอบอิสระดานความมั่นคงปลอดภัยจากภายนอก (External Auditor) ตามระยะเวลาอยางนอยปละ 1 ครั้ง
  7. ผูดูแลระบบตองกําหนดกระบวนการตรวจสอบและการแจงเตือนเมื่อเกิดเหตุผิดปกติเกี่ยวกับการใชงานทรัพยากร (Capacity) กําหนดเกณฑการใชงานทรัพยากรและวางแผนดานทรัพยากรสารสนเทศใหรองรับการปฏิบัติงานในอนาคตอยางเหมาะสม รวมถึงตองติดตามผลการใชงานทรัพยากรสารสนเทศ
    36
  8. ผูดูแลระบบตองมีการตรวจสอบการทํางาน (Monitor) ของระบบสารสนเทศอยางสม่ําเสมอและเสนอผูบังคับบัญชารับทราบเมื่อมีเหตุการณผิดปกติเกิดขึ้น รวมถึงแจงผูเกี่ยวของเพื่อดาํ เนินการแกไขโดยไมชักชา 9. ผูดูแลระบบ ตองปองกันการเขาใชงานเครื่องมือท่ใีชเพื่อการตรวจสอบ เพื่อมิใหเกิดการใชงานผิดประเภทหรือถูก
    ละเมิดการใชงาน (Compromise) โดยควบคุมการเขาถึง และตรวจสอบการนําเครื่องมือไปใชงานอยางสม่ําเสมอ10. ผูดูแลระบบตองประเมินความเสี่ยงของระบบเทคโนโลยีสารสนเทศอยางนอยปละ 1 ครั้ง หรือเมื่อมีการเปลี่ยนแปลงอยางมีนัยสําคญั
  9. ผูบังคับบัญชาตองติดตามผลการดําเนินการตามแผนบริหารจัดการความเสี่ยง (Risk Treatment Plan) เปนประจําทุกไตรมาส
  10. ผูดูแลระบบตองประเมินความเสี่ยงแลวจัดลําดับความสําคัญของความเสี่ยงนั้นและคนหาวิธีการเพื่อลดความเสี่ยง ตามข้ันตอนที่ รฟม. กําหนด พรอมท้ังพิจารณาขอดีขอเสียของวิธีการเหลาน้ันเพื่อใหผูบริหารของ รฟม. ตัดสินใจเลือกวิธีการเพื่อลดความเสี่ยงหรือยอมรับความเสี่ยง เมื่อเลือกวิธีการลดความเสี่ยงแลวผูบริหารตองจัดสรรทรัพยากรอยางเพียงพอเพ่อืดําเนินการ แนวทางการลดความเสี่ยง แบงไดเปน 3 รูปแบบ ไดแก 12.1 การเลือกใชเทคโนโลยี เพื่อใชในการลดความเสี่ยงและเพิ่มความมั่นคงปลอดภัยของระบบเทคโนโลยี
    สารสนเทศ รฟม. เปนวิธีที่จําเปนตองใชงบประมาณและทรัพยากรอยางเพียงพอในการดําเนินการ เชน การเลือกใชอุปกรณ Firewall มากกวาหน่ึงผลิตภัณฑในการปองกันการเขาถึงเครือขายที่สําคัญ การใช อปุ กรณสมารท การด หรือ USB Token ในการตรวจสอบยนืยันตัวตนในการเขาใชงานระบบจากภายนอกรฟม. เปนตน
    12.2 การปรับเปลี่ยนขั้นตอนปฏิบัติตองออกแบบขั้นตอนปฏิบัติใหมท่ีรัดกุมและสามารถรักษาความมั่นคง ปลอดภัยของระบบเทคโนโลยีสารสนเทศ รฟม. ไดดีขึ้น เมื่อออกแบบขั้นตอนปฏิบัติใหมแลวตองมีการพิจารณาหารือความเหมาะสม ความเปนไปได และผูบริหารตองเปนผูอนุมัติใหมีการบังคับใชขั้นตอนปฏิบัติใหมนั้น
    12.3 ผูดูแลระบบตองแจงขั้นตอนปฏิบัติใหผูเกี่ยวของรับรูอยางทั่วถึง รวมทั้งตองจัดฝกอบรมผูใชงานที่เกี่ยวของเพื่อใหสามารถปฏิบัติตามข้นัตอนปฏิบัตใหม ิ ไดอยางราบรื่นและมปีระสิทธิภาพ 13. การตรวจสอบความปลอดภัยของระบบสารสนเทศ
    13.1 ผูดูแลระบบ ตองวางแผนการตรวจสอบและประเมินชองโหวหรือจุดออนดานความมั่นคงปลอดภัยสารสนเทศ และแจงผูที่เกี่ยวของเพื่อแกไขในกรณีท่ีพบวาชองโหวหรือจุดออนนั้นอาจเปนเหตุการณดานความมั่นคงปลอดภัย อยางนอยปละ 1 ครั้ง
    13.2 ผูดูแลระบบตองตรวจสอบระบบสารสนเทศที่จะตองมีการปรับปรุงเมื่อมีเวอรชันใหม (Patch) รวมทั้งขอมูลที่เกี่ยวของกับชองโหวดานเทคนคิอยางสม่ําเสมอเพื่อใหทราบถึงภยัคุกคามและความเสี่ยง รวมถึงหาวิธีปองกันและแกไขที่เหมาะสมกับชองโหวนั้น
    13.3 ผูใชงาน ผูดูแลระบบ และหนวยงานภายนอก ตองบันทกึและรายงานชองโหวห รือจุดออนใด ๆดานความมั่นคง ปลอดภัยสารสนเทศ ที่อาจสังเกตพบระหวางการติดตามการใชงานระบบสารสนเทศ ผานชองทางบริหารจัดการที่กําหนดไวอยางเหมาะสม และตองดําเนินการปดชองโหวที่มีการตรวจพบหรือไดรับแจง 14. การวิเคราะหขอมูลเชิงลึกของภัยคุกคาม (Threat Intelligence)
    14.1 ผูดูแลระบบตองรวบรวมขอมูลที่เกี่ยวของกับภัยคุกคามทั้งจากภายในและภายนอกองคกร เชน ชองโหว หรือเหตุการณภัยคุกคามตาง ๆ ที่เกิดข้นึ
    14.2 ผูดูแลระบบตองนําขอมูลภัยคุกคามที่รวบรวมไดมาวิเคราะหเชิงลึก ไดแก Tactics, Techniques หรือ Procedures (TTPs) ท่ีกลุมผูไมประสงคดีนํามาใชรวมถึงแรงจูงใจ เปาหมาย และพฤติกรรมการโจมตีของผูไมประสงคดี เพื่อให รฟม. สามารถจัดเตรียมวิธีการปองกันหรือวิธีการรับมือกับภัยคุกคามไดอยางมีประสิทธิภาพและทันทวงที
    37
  11. ผูดูแลระบบตองมีการบริหารจัดการการเปล่ียนแปลงเก่ียวกับการจัดเตรียมการใหบริการ การดูแลปรับปรุง นโยบายในการรักษาความมั่นคงปลอดภัยดานสารสนเทศ ข้ันตอนปฏิบัติงาน หรือการควบคุมเกี่ยวกับความมั่นคง ปลอดภัยดานสารสนเทศ โดยคํานึงถึงระดับความสําคัญของการดําเนินธุรกิจที่เกี่ยวของและการประเมินความเสี่ยง อยางตอเนื่อง
  12. การเตรียมความพรอ มกรณีฉุกเฉิน
    เพื่อใหมีการบริหารจัดการความตอเนื่องใหกับกระบวนการทางธุรกิจที่สําคัญขององคกร เม่ือมีเหตุการณที่ทําให เกิดการหยุดชะงักหรือติดขัดตอกระบวนการดังกลาว โดยมีแนวปฏิบัติ ดังนี้
    16.1 ผูดูแลระบบตองกําหนดระบบที่มีความสําคัญทั้งหมดขององคกร และจัดทําเปนบัญชีรายชื่อระบบดังกลาวรวมทั้งปรับปรุงรายชื่อระบบสําคัญและบัญชฯี ตามความเปนจริง
    16.2 เจาของขอมูลและผูดูแลระบบประเมินความเสี่ยงสําหรับระบบเหลา นั้น กําหนดมาตรการเพื่อลดความเสี่ยง ที่พบและจัดทํารายงานการประเมินความเสี่ยง
    16.3 ผูดูแลระบบตองทบทวน/ปรับปรุงแผนบริหารความตอเนื่องทางธุรกิจ (Business Continity Plan: BCP) อยางนอยปละ 1 คร้งั
    16.4 ผูดูแลระบบจัดทําและปรับปรุงแผนกูคืนระบบอยางนอยปละ 1 ครั้ง
    16.5 เจาของขอมลูและผูดูแลระบบตองทดสอบแผนบริหารความตอ เนื่องทางธุรกิจและแผนกูคืนระบบอยางนอยปละ 1ครั้ง พรอมทั้งบันทึกผลการทดสอบรวมถึงปญหาที่พบ และนาํ เสนอผลการทดสอบและแนวทางแกไขตอผูบังคับบัญชา
    16.6 ผูดูแลระบบตองจัดประชุมและชี้แจงใหผูที่เกี่ยวของท้ังหมดไดรับทราบเกี่ยวกับแผนบริหารความตอเนื่อง ทางธุรกจิและแผนกูคืน และผลของการฝกซอมการกูคืนระบบและผลการทดสอบแผนบริหารความตอเนื่อง ทางธุรกจิ

38
สว นที่14
การถายโอน และแลกเปลี่ยนขอมูลสารสนเทศ
วัตถุประสงค
▪ เพื่อใหมีการควบคุมการถายโอนและแลกเปลี่ยนขอมูลสารสนเทศ ปองกันการรั่วไหล หรือมีการแกไขขอมูลโดยที่ ไมไดรับอนุญาต รวมถึงการปองกันสื่อบันทึกขอมูลใหมีความปลอดภัยเปนไปตามขอกําหนด ผูรบั ผดิชอบ
▪ ผูบังคับบัญชา
▪ เจาของขอมูล
▪ ผูดูแลระบบ
อางอิงมาตรฐาน: ISO/IEC 27001:2022
▪ มาตรการควบคุมดานองคกร (Organizational Controls)
▪ มาตรการควบคุมดานเทคโนโลยี (Technological Controls)
แนวปฏิบัติ

  1. ผูบังคับบัญชา ตองควบคุมใหมีการจัดทํานโยบาย และขั้นตอนการปฏิบัติเพื่อปองกันขอมูลสารสนเทศที่มีการสื่อสาร หรือแลกเปลี่ยนผา นระบบสารสนเทศใหเหมาะสมตามระดับชั้นความลับขอมูลสารสนเทศ ตามขั้นตอนที่ รฟม. กําหนด
  2. ผูบังคับบัญชา และเจาของขอมูล ตองควบคุมใหมีการจัดทําขอตกลงในการแลกเปลี่ยนขอมูลสารสนเทศระหวาง องคกรกับบุคคลหรือหนวยงานภายนอก
  3. ผูดูแลระบบตองแลกเปลี่ยนขอมูลสารสนเทศตองแลกเปลี่ยนผานชองทางที่ปลอดภัย เชน Web Service ท่ใีชงานผานโปรโตคอล HTTPS
  4. ผูดูแลระบบตองปดบังขอมูล (Data Masking) ท้ังขอมูลสวนบุคคลและขอมูลออนไหวขององคกร (Sensitive Data) ที่มีการถายโอนหรือแลกเปล่ียนขอมูล
  5. ผูดูแลระบบ ตองมีการปองกันขอมูลสารสนเทศที่มีการสื่อสารกันผานขอมูลอิเล็กทรอนิกส (Electronic Messaging) เชน จดหมายอิเล็กทรอนิกส (Email) หรือ Instant Messaging ดวยวิธีการหรือมาตรการท่เีหมาะสม 6. ผูดูแลระบบ ตองปองกันขอมูลสารสนเทศที่มีการแลกเปล่ียนในการทําพาณิชยอิเล็กทรอนิกส(Electronic Commerce) ผานเครือขายคอมพิวเตอรสาธารณะ เพื่อมิใหมีการฉอโกง ละเมิดสัญญา หรือมีการรั่วไหล หรือขอมูลสารสนเทศถูกแกไขโดยมิไดรับอนุญาต
  6. ผูดูแลระบบ ตองปองกันขอมูลสารสนเทศที่มีการสื่อสาร หรือแลกเปลี่ยนในการทําธุรกรรมทางออนไลน (Online Transaction) เพื่อมิใหมีการรับสงขอมูลท่ีไมสมบูรณสงขอมูลไปผิดที่ การร่ัวไหลของขอมูล ขอมูลถูกแกไขเปลี่ยนแปลง ถกู ทาํซ้ําใหม หรอืถูกสงซํ้าโดยมิไดรับอนุญาต
  7. ผูดูแลระบบ ตองควบคุมการรับสงขอมูลสารสนเทศเพื่อปองกันความผิดพลาด ดังนี้
    8.1 ความไมสมบูรณของขอมูลสารสนเทศที่รบั-สง
    8.2 การสงขอมูลสารสนเทศผดิจุดหมายปลายทาง
    8.3 การเปลี่ยนแปลงขอมูลสารสนเทศโดยไมไดรับอนุญาต
    8.4 การเปดเผยขอมูลสารสนเทศโดยไมไดรับอนญุ าต
    8.5 การเขาถึงขอมูลสารสนเทศโดยไมไดรับอนุญาต
    8.6 การนําขอมูลสารสนเทศกลบั มาใชใหมโดยไมไดรับอนุญาต
  8. เจาของขอมูล และผูดูแลระบบ ตองมีการปองกันขอมลูสารสนเทศที่มีการเผยแพรตอสาธารณชน มใิหมีการแกไขเปลี่ยนแปลงโดยมไิดรับอนุญาต เพ่อรักษาความถูกตองครบถวนของขอมูลสารสนเทศ ื
    39
    สว นที่15
    การควบคุมการเขารหัส
    วัตถุประสงค
    ▪ เพ่ือใหมีการเขารหัสขอ มูลอยางเหมาะสมและมีประสิทธผิลในการปกปองความลับ ปองกัน การปลอมแปลงขอมูลและควบคุมความถูกตองของขอมูล
    ผูรบั ผดิชอบ
    ▪ ผูดูแลระบบ
    ▪ เจาของขอมูล
    ▪ ผูใชงาน
    อางอิงมาตรฐาน: ISO/IEC 27001:2022
    ▪ มาตรการควบคุมดานเทคโนโลยี (Technological Controls)
    แนวปฏิบัติ
  9. เจาของขอมูล ตองเขารหัส หรือการใสร หสัผานขอมูลอเิล็กทรอนิกสข ององคกรตามระดับชั้นความลบั เพื่อปองกันผูไมมสีิทธิ์เขาถึง ตามระเบียบวาดวยการรักษาความลับของทางราชการ พ.ศ. 2544 และตามขั้นตอนที่ รฟม. กาํ หนด2. เจาของขอมูล ผูดูแลระบบ และผูใชงานตองปฏิบัติตามระเบียบวาดวยการรักษาความลับของทางราชการ พ.ศ. 2544ในการนําการเขารหัสมาใชกับขอมูลท่เีปนความลับจะตองใชวิธีการเขารหัส (Encryption) ที่เปนมาตรฐานสากล 3. ผูดูแลระบบ ตองใชวิธีการเขารหัส (Encryption) ที่เปนมาตรฐานสากล หลีกเลี่ยงการใชรูปแบบการเขารหัสที่พัฒนาขึ้นเอง เพื่อใหมั่นใจวาข้นัตอนวิธี(Algorithm) ที่ใชในการเขารหัสนั้นมีความมั่นคงปลอดภัย ดังนี้
    ประเภทกุญแจ / วิธีการเขารหัส เกณฑขั้นต่ํา ความยาวกุญแจ (อยางนอย) กุญแจแบบสมมาตร (Symmetric) AES 256 bits กุญแจแบบอสมมาตร (Asymmetric) RSA 1024 bits

การ Hashing
BCrypt
Cost Factor 10ขึ้นไป

  1. ผูดูแลระบบ ตองมีการทบทวนขั้นตอนวิธี(Algorithm) และความยาวของกุญแจที่เขารหัสอยางนอยปละ 1 ครั้ง เพื่อใหยังสามารถรักษาไวซึ่งความมั่นคงปลอดภัย
  2. ผูดูแลระบบ ตองกําหนดใหมีการบริหารจัดการกุญแจที่ใชในการเขารหัส ดังนี้
    5.1 การสรางกุญแจรหัสควรกระทําในสถานที่ที่มีมาตรการปองกันความปลอดภัย 5.2 เมื่อมีการสรางกุญแจรหัสที่เปนกุญแจลับ (Private key) ควรสงมอบใหกับเจาของกุญแจโดยตรง โดยวิธีการที่ปลอดภยั
    5.3 ควรจัดใหมีการเก็บบันทึก Log เพื่อการตรวจสอบสําหรับกิจกรรมตาง ๆ ที่เกี่ยวของกับการจัดการกุญแจรหสั 6. ผูใชงาน ควรรักษาความปลอดภัยในการใชงานกุญแจ ดังนี้
    6.1 เก็บกญุ แจรหสัในสถานที่ที่ปลอดภัย เชน ตนู ิรภยั หรือสื่อบันทึกที่ปลอดภัย และไมมีใครสามารถเขาถึงได 6.2 เมื่อมีการรับกุญแจสาธารณะ (Public Key) มาใช กอนใชงานจะตองพิสูจนความถูกตองของกุญแจสาธารณะ โดยสอบถามกับผูสงหรือตรวจสอบกับผูแทนในการรับรองความถูกตองของกุญแจสาธารณะ (Certificate Authority) ท่เีชื่อถือไดเทานั้น
    6.3 ควบคุมการใชงานและจัดเก็บกุญแจใหสอดคลองกับการรักษาความลบัขอมูลตามที่ รฟม. กาํ หนด
    40
    สว นที่16
    การนําอุปกรณสวนตัวมาใชงาน (Bring your own device)
    วัตถุประสงค
    ▪ เพื่อควบคุมการนําอุปกรณสวนตัวมาเชื่อมตอหรือเขาถึงระบบสารสนเทศของ รฟม. ท่ีใชในการบริหารจัดการระบบสารสนเทศของ รฟม. หรือปฏิบัติงานให รฟม. ทั้งนี้เพื่อปองกันภัยคุกคามที่อาจจะเกิดขึ้นกับระบบสารสนเทศของ รฟม. รวมถึงเพื่อปองกันไมใหขอมูลของ รฟม. เกิดการรั่วไหล
    ผูรบั ผดิชอบ
    ▪ ผูดูแลระบบ
    ▪ ผูใชงาน
    อางอิงมาตรฐาน: ISO/IEC 27001:2022
    ▪ มาตรการควบคุมดานบุคลากร (People Controls)
    ▪ มาตรการควบคุมดานเทคโนโลยี(Technological Controls)
    แนวปฏิบัติ
  3. ผูดูแลระบบตองกําหนดคุณสมบัติของระบบปฏิบัติการของอุปกรณสวนตัวที่อนุญาตใหนํามาเชื่อมตอหรือเขาถึง ระบบงานสารสนเทศของ รฟม. ไดโดยตองเปนระบบปฏิบัติการที่ไมลาสมัย (  Obsolete Operating System) และยังไดรับการสนับสนุนการใชงานจากเจาของผลติภัณฑ
  4. ผูดูแลระบบตองตัดการเชื่อมตอหากระบบปฏิบัติการของอุปกรณสวนตัวที่อนุญาตใหนํามาเชื่อมตอหรือเขาถึง ระบบงานสารสนเทศของ รฟม. เกิดการลาสมัย (Obsolete Operating System) หรือเจาของผลิตภัณฑ ไมสนับสนุนการใชงานแลว
  5. ผูดูแลระบบตองมีมาตรการปองกันมัลแวร และตรวจสอบการอัปเดต Patch เวอรชันของระบบปฏิบัติการท่ีเจาของผลิตภัณฑยังใหการสนับสนุนการใชงาน
  6. ผูดูแลระบบตองไมอนุญาตใหอุปกรณที่มีการปรับแตงการเขาถึงระบบปฏิบัติการ (Rooted/Jailbroken) มาเชื่อมตอหรือเขาถึงระบบสารสนเทศของ รฟม.
  7. ผูดูแลระบบตองแบงแยกเครือขายของอุปกรณส วนตัวที่นํามาเชื่อมตอหรือเขาถึงระบบสารสนเทศของ รฟม. 6. ผูดูแลระบบตองทบทวนเวอรชันของระบบปฏิบัติการที่อนุญาตใหนํามาเชื่อมตอกับระบบสารสนเทศของ รฟม. อยางนอยปละ2ครั้ง หากมีการเปลี่ยนแปลงเวอรชนัของระบบปฏิบัติการที่อนุญาตใหเขาถึงระบบสารสนเทศของรฟม. ผูดูและระบบตองแจงใหผูใชงานรับทราบลวงหนา 7 วัน กอนเร่มิบังคับใช
  8. ผูใชงานตองติดตั้งโปรแกรมปองกันมัลแวรตามเงื่อนไขที่ รฟม. กําหนด 
  9. ผูใชงานตองไมนําอุปกรณสวนตัวที่ติดตั้งแอปพลิเคชันนอก Official Store มาเชื่อมตอหรือเขาถึงระบบงานสารสนเทศของ รฟม.
  10. ผูใชงานตองไมนําอุปกรณสวนตัวที่ติดตั้งโปรแกรมละเมิดลิขสิทธิ์มาเชื่อมตอหรือเขาถึงระบบงานสารสนเทศ ของ รฟม.
  11. ผูใชงานตองอัปเดต Patch ของระบบปฏิบัติการที่อุปกรณสวนตัวใหเปนเวอรชันลาสุดรวมถงึตองเปนระบบปฏิบัติการที่เจาของผลิตภัณฑยังใหการสนับสนุนการใชงาน
  12. ผูใชงานตองยนืยนัตวัตนกอนเขาถึงระบบสารสนเทศของ รฟม. ทุกครั้ง
  13. ผูใชงานตองติดตั้ง Network Access Control agent (NAC agent) หรือ Mobile Device Management Agent (MDM Agent) ตามที่ รฟม. กําหนด เพื่อควบคุมการใชงานเครือขายและการเขาถึงระบบสารสนเทศของ รฟม. 13. กรณีอุปกรณสวนตัวสูญหายหรือถูกขโมยผูใชงานตองแจงผูดูแลระบบโดยเร็วที่สุด เพื่อจัดการขอมูลที่จัดเก็บอยู ในอปุ กรณสวนตัวของผูใชงาน
  14. ผูใชงานตองเขาถึงระบบสารสนเทศของ รฟม. ผานชองทางท่ีรฟม. กําหนด เชน VPN
    41
    สว นที่17
    การใชบริการ Cloud (Cloud Services)
    วัตถุประสงค
    ▪ เพื่อควบคุมการเลือกใชงาน การบริหารจัดการ และการยกเลกิการใชบริการ Cloud อยางปลอดภัย ผูรบั ผดิชอบ
    ▪ ผูบังคับบัญชา
    ▪ ผูดูแลระบบ
    ▪ เจาของระบบ/เจาของขอมูล
    อางอิงมาตรฐาน: ISO/IEC 27001:2022
    ▪ มาตรการควบคุมดานองคกร (Organizational Controls)
    แนวปฏิบัติ
  15. ผูบังคับบัญชาตองควบคุม กํากับ ดูแล ใหการใชงานบริการ Cloud สอดคลองตามที่กฎหมาย นโยบาย ระเบียบ หรือขอบังคับท่ภีาครฐักําหนด
  16. ผูดูแลระบบตองวิเคราะหความเสี่ยงกอนเลือกบริการ Cloud มาใชงานภายในองคกร 3. ผูดูแลระบบตองเลือกใชบริการ Cloud ตามที่กฎหมาย นโยบาย ระเบียบ หรือขอบังคับท่ภาครัฐกําหนด ี 4. ผูดูแลระบบตองเลือกผูใหบ ริการ Cloud (Cloud Service Provider) ที่เหมาะสมกับการดาํ เนินงานองคกร 5. ผูดูแลระบบตองพิจารณาขอกําหนดหรือเง่ือนไขของผูใหบริการ Cloud (Cloud Service Provider) ใหชัดเจนกอ นตัดสินใจเลือกใชบริการ
  17. ผูดูแลระบบตองเลือกใชบริการ Cloud ท่เีหมาะสมกบัการดําเนินงานขององคกร
  18. ผูดูแลระบบตองเลือกใชบริการ Cloud ท่ีมีการรักษาความปลอดภัย การบริหารจัดการความตอเนื่องทางธุรกิจและการจัดใหมีระบบฉุกเฉินสํารองตามมาตรฐานสากล เชน ISO, NIST หรือ CSA STAR
  19. ผูดูแลระบบตองเลือกใชบริการ Cloud ที่มีความพรอมใชงานของบริการครอบคลุมรอยละของเวลาที่พรอมใหบริการตอป (Uptime) อยางนอยรอยละ 99.00
  20. ผูดูแลระบบตองเลอืกใชบริการ Cloud ที่มีการรักษาความมั่นคงปลอดภัยของขอมูลสวนบุคคลตาม พ.ร.บ. คุมครอง ขอมูลสวนบุคคล พ.ศ. 2562 หรือกฎหมายคุมครองขอมูลสวนบุคคลของสหภาพยุโรป (General Data Protection Regulation: GDPR) หรือเทียบเทา
  21. ผูดูแลระบบ และเจาของระบบ/เจาของขอมูลตองพิจารณาขอมูลสารสนเทศที่จะนําไปใชงานบนระบบ Cloudใหสอดคลองตามที่กฎหมาย นโยบาย ระเบียบ หรือขอบังคับที่ภาครัฐกําหนด
  22. ผูดูแลระบบตองติดตาม ทบทวน และประเมินผลการใชบริการ Cloud อยา งนอยปละ 1 ครั้ง