ซื้อระหว่างดำเนินการ

ประกวดราคาซื้อพร้อมพัฒนาระบบการแสดงผลข้อมูลการให้บริการรถไฟฟ้า (Smart City) โครงการรถไฟฟ้ามหานคร สายเฉลิมรัชมงคล ประจำปีงบประมาณ พ.ศ. 2569

การรถไฟฟ้าขนส่งมวลชนแห่งประเทศไทย 69069483614
฿28,500,000 ปีงบ 2569 ประกาศ 15 ก.ค. 2569 กรุงเทพมหานคร
รายละเอียดการจ้าง

โครงการนี้มีวัตถุประสงค์เพื่อนำเทคโนโลยีปัญญาประดิษฐ์ (AI) และระบบวิเคราะห์ภาพ (Video Analytics) มาใช้เพิ่มประสิทธิภาพการบริหารจัดการระบบรถไฟฟ้ามหานคร สายเฉลิมรัชมงคล โดย รฟม. ต้องการระบบที่สามารถตรวจสอบเวลาการมาถึงของขบวนรถ (ETA) แบบเรียลไทม์ผ่านการอ่านข้อความหน้าขบวนรถด้วยระบบ OCR รวมถึงการนับจำนวนผู้โดยสารและประเมินความหนาแน่นในพื้นที่ชานชาลาและภายในขบวนรถไฟฟ้า ณ สถานีสำคัญ (เช่น เตาปูนและบางซื่อ)

ขอบเขตงานครอบคลุมตั้งแต่การออกแบบระบบ การจัดหาและติดตั้งกล้อง CCTV ที่มีคุณสมบัติ AI/Edge Computing การติดตั้งระบบ Server และ Edge Computer ในสถานีต่างๆ การพัฒนา Windows Application เพื่อแสดงผลข้อมูล (Dashboard) และการเชื่อมโยงข้อมูลเข้ากับแอปพลิเคชัน MRTA Connect ของ รฟม. นอกจากนี้ยังเน้นย้ำเรื่องความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity) ตามมาตรฐาน OWASP และนโยบายของ รฟม. อย่างเคร่งครัด โดยผู้รับจ้างต้องส่งมอบ Source Code และเอกสารลิขสิทธิ์ทั้งหมดให้เป็นกรรมสิทธิ์ของ รฟม. โครงการนี้มีระยะเวลาดำเนินการรวม 548 วัน โดยมีการแบ่งงวดงาน 6 งวด และกำหนดการรับประกันความชำรุดบกพร่องเป็นเวลา 2 ปี

English summary

The Mass Rapid Transit Authority of Thailand (MRTA) is seeking bids for the “Smart City” project to enhance the Blue Line (MRT Chalerm Ratchamongkol Line) service. The project involves implementing AI-powered video analytics to monitor train arrival times (ETA) via OCR, passenger counting, and density analysis on platforms and inside train carriages. Data will be integrated into the MRTA Connect application to assist commuters in real-time travel planning. The scope includes hardware procurement (CCTV, Servers, Edge Computing), software development, and cybersecurity compliance. The project duration is 548 days with a budget of 28.5 million THB.

สถานที่ดำเนินการ

โครงการรถไฟฟ้ามหานคร สายเฉลิมรัชมงคล (สายสีน้ำเงิน)

ข้อมูลเชิงลึกของโครงการ

AI วิเคราะห์

เป้าหมายโครงการ

  • จัดหาระบบตรวจสอบการมาถึงของขบวนรถไฟฟ้า ระบบนับจำนวนผู้โดยสาร และระบบประเมินความหนาแน่น
  • สนับสนุนการบริหารจัดการและการให้บริการของ รฟม. ให้มีประสิทธิภาพ
  • นำข้อมูลมาวิเคราะห์ วางแผน และปรับปรุงการดำเนินงาน
  • ต่อยอดข้อมูลเพื่อประกอบการวางแผนการเดินทางของผู้ใช้บริการผ่านแอปพลิเคชัน

ขอบเขตของงาน

  • ศึกษาและวิเคราะห์ความต้องการ ออกแบบระบบ Smart City
  • จัดหา ติดตั้ง และส่งมอบกล้อง CCTV แบบวิเคราะห์ภาพ (AI) และอุปกรณ์ต่อพ่วง
  • พัฒนาซอฟต์แวร์ระบบการแสดงผลข้อมูล (Windows Application) และเชื่อมโยงข้อมูลกับ MRTA Connect
  • ติดตั้ง Server และ Edge Computer ในสถานี
  • ดำเนินการทดสอบประสิทธิภาพ (Performance Test, Load Testing, Stress Testing)
  • ปฏิบัติตามมาตรฐานความปลอดภัยไซเบอร์ (Hardening, Source Code Review, OWASP)
  • จัดฝึกอบรมการใช้งานและซ่อมบำรุง

สิ่งที่ต้องส่งมอบ

  • ระบบ Smart City ที่ติดตั้งและใช้งานได้จริง
  • Source Code ของซอฟต์แวร์ทั้งหมด
  • รายงานผลการทดสอบระบบ (Performance Test, Security Test)
  • คู่มือการใช้งานและคู่มือการดูแลระบบ (ภาษาไทย)
  • เอกสารสิทธิ์การใช้งานซอฟต์แวร์ (License)
  • รายงานผลการฝึกอบรม

ระยะเวลาดำเนินการ

548 วัน นับถัดจากวันลงนามในสัญญา

คุณสมบัติผู้เสนอราคา

  • Eligibility Requirements: นิติบุคคลผู้มีอาชีพจำหน่ายและติดตั้งระบบกล้องโทรทัศน์วงจรปิด
  • Standards Compliance: ผลิตภัณฑ์ต้องได้รับมาตรฐานสากล NDAA, FCC, UL และมาตรฐานด้านความปลอดภัยต่อผู้ใช้งาน
  • Experience: มีผลงานติดตั้งระบบกล้องโทรทัศน์วงจรปิดแบบวิเคราะห์ภาพภายใน 5 ปี
  • Previous Project Cost: มีผลงานที่มีมูลค่าเกิน 14,000,000 บาท
  • Technical Capabilities: ต้องผ่านการทดสอบ Proof of Concept (POC) ภายใน 5 วันทำการหลังเสนอราคา
  • Personnel: บุคลากรต้องผ่านการอบรมและได้รับใบอนุญาต PIC/APOSTLE จาก BEM เพื่อปฏิบัติงานในสถานี

เกณฑ์การพิจารณา

  • ราคายื่นข้อเสนอ (30 คะแนน)
  • ข้อเสนอด้านเทคนิคและคุณสมบัติที่เป็นประโยชน์ต่อ รฟม. (70 คะแนน) แบ่งเป็น:
    1. ผลงานของผู้ยื่นข้อเสนอ (20 คะแนน)
    2. บริการหลังการขาย (20 คะแนน)
    3. การทดสอบระบบวิเคราะห์ภาพ (POC) (60 คะแนน)

ข้อกำหนดทางเทคนิค

  • กล้อง CCTV: ความละเอียดไม่น้อยกว่า 4MP, Frame Rate 50fps (สำหรับอ่านป้าย) / 25fps (สำหรับนับคน), มาตรฐาน IP67/IK10, รองรับ AI/Video Analytics (OCR, People Counting)
  • Server: CPU 16 Core, RAM 32GB ECC, Storage 2TB SAS/SSD
  • Edge Computer: CPU 8 Core, RAM 8GB
  • Network: POE Access Switch Layer 2, รองรับ 10/100/1000 Base-T

เงื่อนไขสัญญา

  • ชำระเงิน 6 งวด ตามความสำเร็จของงาน
  • ค่าปรับร้อยละ 0.1 ของมูลค่าสัญญาต่อวันหากส่งมอบล่าช้า
  • รับประกันความชำรุดบกพร่อง 2 ปี

คำถามที่พบบ่อย (FAQ)

  • Q: ระบบต้องรองรับการอ่านป้ายหน้าขบวนรถในสภาวะใดบ้าง? A: ต้องอ่านได้ทั้งในสภาวะปกติและสภาวะฝนตก โดยมีความแม่นยำไม่ต่ำกว่า 95% และ 85% ตามลำดับ
  • Q: ระบบต้องเก็บข้อมูล Log การใช้งานไว้นานเท่าใด? A: ข้อมูลการมาถึงของรถไฟฟ้าต้องเก็บไว้อย่างน้อย 1 ปี
  • Q: หากระบบไม่ผ่านเกณฑ์ประสิทธิภาพ ผู้รับจ้างต้องทำอย่างไร? A: ต้องปรับปรุงแก้ไขให้สมบูรณ์โดยไม่คิดค่าใช้จ่ายเพิ่มเติม
  • Q: การเชื่อมต่อข้อมูลกับระบบเดิมของ รฟม. ต้องทำอย่างไร? A: ต้องพัฒนาให้เชื่อมโยงผ่าน Web Service และรองรับการทำงานร่วมกับระบบ Firewall/Antivirus เดิม
  • Q: ผู้รับจ้างต้องดูแลระบบหลังส่งมอบอย่างไร? A: ต้องเข้ามาตรวจสอบการทำงานและบำรุงรักษาระบบทุกๆ 6 เดือนตลอดระยะเวลารับประกัน
  • Q: การยืนยันตัวตนผู้ใช้งานระบบต้องใช้มาตรฐานใด? A: ต้องรองรับ Azure Active Directory (Azure AD) และ Multi-Factor Authentication (MFA)
  • Q: อุปกรณ์ที่ติดตั้งต้องมีมาตรฐานความปลอดภัยไซเบอร์อย่างไร? A: ต้องผ่านการทำ Hardening และปิดช่องโหว่ระดับ Critical/High ก่อน Go Live
  • Q: การทดสอบ POC ต้องทำที่ไหน? A: ทดสอบภายในสถานีรถไฟฟ้ากับขบวนรถที่กำลังให้บริการจริงตามที่ รฟม. กำหนด
  • Q: สายสัญญาณที่ใช้ต้องมีคุณสมบัติพิเศษหรือไม่? A: ต้องเป็นชนิด LSZH (Low Smoke Zero Halogen) เพื่อความปลอดภัย
  • Q: หากเกิดภัยธรรมชาติจนทำงานไม่ได้ ต้องแจ้งภายในกี่วัน? A: ต้องแจ้งภายใน 7 วันนับจากวันที่ทราบเหตุ

เอกสารขอบเขตงาน (TOR) ฉบับเต็ม

ข้อก ำหนดและขอบเขตงำน
งำนซื้อพร้อมพัฒนำระบบกำรแสดงผลข้อมูลกำรให้บริกำรรถไฟฟ้ำ (Smart City) โครงกำรรถไฟฟ้ำมหำนคร สำยเฉลิมรัชมงคล
ประจ ำปีงบประมำณ พ.ศ. 2569

  1. ควำมเป็นมำของโครงกำร
    การรถไฟฟ้าขนส่งมวลชนแห่งประเทศไทย (รฟม.) ได้ด าเนินการขยายโครงข่ายระบบรถไฟฟ้าอย่าง ต่อเนื่อง โดยปัจจุบันได้เปิดให้บริการแล้วจ านวน 4 โครงการ อย่างไรก็ตาม รฟม. ยังขาดความสามารถ ในการให้ข้อมูลเวลาการมาถึงของขบวนรถไฟฟ้าและความหนาแน่นของผู้โดยสารแบบเรียลไทม์แก่ผู้ใช้บริการ การขาดแคลนข้อมูลดังกล่าวส่งผลให้ผู้โดยสารไม่สามารถวางแผนการเดินทางได้อย่างมีประสิทธิภาพ ขณะเดียวกันเจ้าหน้าที่ยังต้องอาศัยการประเมินด้วยสายตา ซึ่งอาจน ามาซึ่งความล่าช้าในการตัดสินใจและ
    การบริหารจัดการภายในสถานี ในการนี้ รฟม. จึงมีความประสงค์จะใช้เทคโนโลยีปัญญาประดิษฐ์ (AI) เพื่อเพิ่ม ประสิทธิภาพส าหรับการวิเคราะห์ข้อมูลต่าง ๆ ในการบริหารงานในระบบรถไฟฟ้าขนส่งมวลชน ได้แก่ การตรวจสอบเวลาการมาถึงของขบวนรถไฟฟ้าและการประเมินความหนาแน่นของผู้โดยสารในระบบรถไฟฟ้า แบบเรียลไทม์ เพื่อพัฒนาต่อยอดการให้บริการข้อมูลในการวางแผนการเดินทางผ่านแอปพลิเคชั่น MRTA
    Connect ของ รฟม. ส าหรับผู้ที่ก าลังจะเข้ามาใช้บริการในระบบรถไฟฟ้า
  2. วัตถุประสงค์
    2.1 เพื่อด าเนินการจัดหาระบบตรวจสอบการมาถึงของขบวนรถไฟฟ้า ระบบนับจ านวนผู้โดยสาร ระบบ ประเมินความหนาแน่นของผู้โดยสาร และระบบตรวจสอบระยะเวลารอคอยของผู้โดยสารที่ใช้บริการในระบบ รถไฟฟ้า
    2.2 เพื่อสนับสนุนการบริหารจัดการและการให้บริการของ รฟม. ให้มีประสิทธิภาพและเหมาะสมกับ ความต้องการของผู้โดยสารมากยิ่งขึ้น
    2.3 เพื่อน าข้อมูลที่ได้จากระบบดังกล่าวส าหรับการวิเคราะห์ วางแผน และปรับปรุงการด าเนินงานด้านการ ให้บริการระบบรถไฟฟ้าอย่างเป็นระบบและมีประสิทธิภาพ
    2.4 เพื่อน าข้อมูลที่ได้ไปต่อยอดเป็นข้อมูลประกอบการวางแผนการเดินทางของผู้ใช้บริการผ่านแอปพลิเคชัน ก่อนการเข้ามาใช้บริการในระบบรถไฟฟ้า
  3. คุณสมบัติผู้ยื่นข้อเสนอ
    3.1 มีความสามารถตามกฎหมาย
    3.2 ไม่เป็นบุคคลล้มละลาย
    3.3 ไม่อยู่ระหว่างเลิกกิจการ
    3.4 ไม่เป็นบุคคลซึ่งอยู่ระหว่างถูกระงับการยื่นข้อเสนอหรือท าสัญญากับหน่วยงานของรัฐไว้ชั่วคราว เนื่องจากเป็นผู้ที่ไม่ผ่านเกณฑ์การประเมินผลการปฏิบัติงานของผู้ประกอบการตามระเบียบที่รัฐมนตรีว่าการ กระทรวงการคลังก าหนดตามที่ประกาศเผยแพร่ในระบบเครือข่ายสารสนเทศของกรมบัญชีกลาง
    3.5 ไม่เป็นบุคคลซึ่งถูกระบุชื่อไว้ในบัญชีรายชื่อผู้ทิ้งงานและได้แจ้งเวียนชื่อให้เป็นผู้ทิ้งงานของหน่วยงาน ของรัฐในระบบเครือข่ายสารสนเทศของกรมบัญชีกลาง ซึ่งรวมถึงนิติบุคคลที่ผู้ทิ้งงานเป็นหุ้นส่วนผู้จัดการ กรรมการผู้จัดการ ผู้บริหาร ผู้มีอ านาจในการด าเนินงานในกิจการของนิติบุคคลนั้นด้วย /3.6 มีคุณสมบัติ…
  • 2 -
    3.6 มีคุณสมบัติและไม่มีลักษณะต้องห้ามตามที่คณะกรรมการนโยบายการจัดซื้อจัดจ้าง และการบริหาร พัสดุภาครัฐก าหนดในราชกิจจานุเบกษา
    3.7 เป็นนิติบุคคลผู้มีอาชีพจ าหน่ายและติดตั้งระบบกล้องโทรทัศน์วงจรปิด
    3.8 ไม่เป็นผู้มีผลประโยชน์ร่วมกันกับผู้ยื่นข้อเสนอรายอื่นที่เข้ายื่นข้อเสนอให้แก่ รฟม. ณ วันประกาศ ประกวดราคาอิเล็กทรอนิกส์ หรือไม่เป็นผู้กระท าการอันเป็นการขัดขวางการแข่งขันอย่างเป็นธรรมในการ ประกวดราคาอิเล็กทรอนิกส์ครั้งนี้
    3.9 ไม่เป็นผู้ได้รับเอกสิทธิ์หรือความคุ้มกัน ซึ่งอาจปฏิเสธไม่ยอมขึ้นศาลไทย เว้นแต่รัฐบาลของผู้ยื่นข้อเสนอ ได้มีค าสั่งให้สละเอกสิทธิ์และความคุ้มกันเช่นว่านั้น
    3.10 ผู้ยื่นข้อเสนอที่ยื่นข้อเสนอในรูปแบบของ “กิจการร่วมค้า” ต้องมีคุณสมบัติดังนี้ (1) การก าหนดสัดส่วนในการเข้าร่วมค้าของคู่สัญญา
    กรณีที่ข้อตกลงฯ ก าหนดให้ผู้เข้าร่วมค้ารายใดรายหนึ่งเป็นผู้เข้าร่วมค้าหลัก ข้อตกลงฯ จะต้อง มีการก าหนดสัดส่วนหน้าที่และความรับผิดชอบในปริมาณงาน สิ่งของ หรือมูลค่าตามสัญญาของผู้เข้าร่วมค้าหลัก มากกว่าผู้เข้าร่วมค้ารายอื่นทุกราย
    (2) กรณีที่ข้อตกลงฯ ก าหนดให้ผู้เข้าร่วมค้ารายใดรายหนึ่งเป็นผู้เข้าร่วมค้าหลัก กิจการร่วมค้านั้นต้องใช้ ผลงานของผู้เข้าร่วมค้าหลักรายเดียวเป็นผลงานของกิจการร่วมค้าที่ยื่นข้อเสนอ
    ส าหรับข้อตกลงฯ ที่ไม่ได้ก าหนดให้ผู้เข้าร่วมค้ารายใดเป็นผู้เข้าร่วมค้าหลัก ผู้เข้าร่วมค้าทุกราย จะต้องมีคุณสมบัติครบถ้วนตามเงื่อนไขที่ก าหนดไว้ในเอกสารเชิญชวน
    (3) การยื่นข้อเสนอของกิจการร่วมค้า
    (3.1) กรณีที่ข้อตกลงฯ ก าหนดให้มีการมอบหมายผู้เข้าร่วมค้ารายใดรายหนึ่งเป็นผู้ยื่นข้อเสนอ ในนามกิจการร่วมค้า การยื่นข้อเสนอดังกล่าวไม่ต้องมีหนังสือมอบอ านาจ
    ส าหรับข้อตกลงฯ ที่ไม่ได้ก าหนดให้ผู้เข้าร่วมค้ารายใดเป็นผู้ยื่นข้อเสนอ ผู้เข้าร่วมค้าทุกราย จะต้องลงลายมือชื่อในหนังสือมอบอ านาจให้ผู้เข้าร่วมค้ารายใดรายหนึ่งเป็นผู้ยื่นข้อเสนอในนามกิจการร่วมค้า (3.2) การยื่นข้อเสนอด้วยวิธีประกวดราคาอิเล็กทรอนิกส์ (e - bidding) ให้ผู้เข้าร่วมค้าที่ได้รับ มอบหมายหรือมอบอ านาจตามข้อ (3.1) ด าเนินการซื้อเอกสารประกวดราคาอิเล็กทรอนิกส์ กรณีที่มีการ จ าหน่ายเอกสารซื้อหรือจ้าง
    3.11 ผู้ยื่นข้อเสนอต้องลงทะเบียนในระบบจัดซื้อจัดจ้างภาครัฐด้วยอิเล็กทรอนิกส์ (Electronic Government Procurement: e - GP) ของกรมบัญชีกลาง
    3.12 ผู้ยื่นข้อเสนอต้องมีมูลค่าสุทธิของกิจการเป็นไปตามหนังสือคณะกรรมการวินิจฉัยปัญหา การจัดซื้อจัดจ้างและการบริหารพัสดุภาครัฐ กรมบัญชีกลาง ด่วนที่สุด ที่ กค (กวจ) 0405.2/ว48 ลงวันที่ 20 มกราคม 2568 เรื่อง แนวทางการพิจารณางบแสดงฐานะการเงินตามหนังสือคณะกรรมการวิจฉัยปัญหา การจัดซื้อจัดจ้างและการบริหารพัสดุภาครัฐ ด่วนที่สุดที่ กค (กวจ) 0405.2/ว124 ลงวันที่ 1 มีนาคม 2566
    และ ด่วนที่สุดที่ กค (กวจ) 0405.2/ว 814 ลงวันที่ 26 ธันวาคม 2567
    /4. ขอบเขต…
  • 3 -
  1. ขอบเขตกำรด ำเนินงำน
    4.1 ผู้ยื่นข้อเสนอต้องศึกษา วิเคราะห์รายละเอียดความต้องการของ รฟม. ส าหรับระบบตรวจสอบ การมาถึงของขบวนรถไฟฟ้า การตรวจสอบความหนาแน่นของผู้โดยสารภายในขบวนรถไฟฟ้าและชานชาลา โดยให้เรียกระบบนี้ว่า “Smart City” เพื่อน ามาใช้ออกแบบและพัฒนาระบบการแสดงผลข้อมูลการให้บริการ รถไฟฟ้าของ รฟม. พร้อมทั้งวางแผนรายละเอียดการด าเนินงาน น าเสนอเชิงแนวคิด (Conceptual) และ รายละเอียด (Detailed) ให้ รฟม. พิจารณาก่อนด าเนินการพัฒนาซอฟต์แวร์
    4.2 ผู้ยื่นข้อเสนอต้องจัดหา ติดตั้ง และส่งมอบอุปกรณ์กล้องโทรทัศน์วงจรปิดแบบวิเคราะห์ภาพ และ อุปกรณ์ต่อพ่วงอื่น ๆ (ถ้ามี)
    4.3 ผู้ยื่นข้อเสนอต้องออกแบบและพัฒนาระบบ Smart City ให้สามารถท างานร่วมกับกล้องโทรทัศน์วงจรปิด ที่จัดหาในโครงการนี้และกล้องโทรทัศน์วงจรปิดที่ รฟม. มีอยู่ตามภาคผนวก ก โดยต้องสอดคล้องกับ คุณสมบัติตามข้อก าหนดและผลการศึกษาวิเคราะห์รายละเอียดความต้องการของระบบตามข้อ 4.1 รวมถึง ติดตั้งและส่งมอบซอฟต์แวร์อื่น ๆ ที่เกี่ยวข้องทั้งหมดของระบบการแสดงผลข้อมูลการให้บริการรถไฟฟ้า ซึ่งจะต้องมีลิขสิทธิ์ถูกต้องตามกฎหมายและมอบให้เป็นสิทธิ์การใช้งานของ รฟม.
    4.4 ซอฟต์แวร์ (Source Code) ที่ได้มีการพัฒนาขึ้น (ในกรณีที่มีการพัฒนาระบบ) รวมทั้งรายงานหรือ เอกสารใด ๆ ที่ผู้ยื่นข้อเสนอได้ท าขึ้นอันเนื่องมาจากการปฏิบัติงานตามสัญญานี้ ให้ตกเป็นกรรมสิทธิ์และ ลิขสิทธิ์ของ รฟม. ทั้งหมด อย่างไรก็ตาม ผู้ยื่นข้อเสนออาจเก็บส าเนารายงานและเอกสารดังกล่าวไว้เพื่อเป็น ประวัติการท างานของผู้ยื่นข้อเสนอเองได้
    4.5 ผู้ยื่นข้อเสนอต้องพัฒนาโดยเชื่อมโยงข้อมูลระหว่างระบบ Smart City กับ MRTA Connect และระบบ สารสนเทศของ รฟม. (ถ้ามี) ทั้งที่ใช้งานอยู่ในปัจจุบันและรองรับการเชื่อมโยงข้อมูลกับระบบของ รฟม. ที่จะ เกิดขึ้นในอนาคต เพื่อให้สามารถเชื่อมโยงข้อมูลสารสนเทศระหว่างระบบได้โดยอัตโนมัติ เมื่อระบบมีการร้องขอ ข้อมูลสารสนเทศที่เกี่ยวข้อง
    4.6 ผู้ยื่นข้อเสนอต้องติดตั้งและส่งมอบซอฟต์แวร์ระบบปฏิบัติการ (Operating System) รุ่นล่าสุดที่มีขาย ตามท้องตลาด โดยต้องมีสิทธิ์การใช้งานและลิขสิทธิ์ถูกต้องและครบถ้วนส าหรับเครื่องคอมพิวเตอร์แม่ข่าย (server) ของระบบการแสดงผลข้อมูลการให้บริการรถไฟฟ้าของ รฟม. เพื่อให้สามารถท างานได้อย่างมี ประสิทธิภาพ
    4.7 ผู้ยื่นข้อเสนอต้องติดตั้งและส่งมอบซอฟต์แวร์บริหารจัดการระบบฐานข้อมูล (Database Management System) รุ่นล่าสุดที่มีขายตามท้องตลาด อย่างน้อยต้องเป็นเวอร์ชัน Standard และอัปเกรดเวอร์ชันได้ โดยสามารถใช้งานร่วมกับระบบที่เสนอได้จนกว่าจะสิ้นสุดระยะเวลาของโครงการ โดยคณะกรรมการตรวจรับพัสดุ ได้ตรวจรับงานและตกลงรับมอบงานทั้งหมดที่ถูกต้องครบถ้วนเป็นที่เรียบร้อยแล้ว พร้อมสิทธิ์การใช้งานและมีลิขสิทธิ์ ถูกต้องครบถ้วนตามกฎหมาย เพื่อให้ใช้งานกับระบบ Smart City และสามารถท างานบนระบบปฏิบัติการ ตามข้อ 4.6 ได้อย่างมีประสิทธิภาพ
    4.8 ผู้ยื่นข้อเสนอต้องด าเนินการทดสอบ ตรวจสอบประสิทธิภาพ รวมถึงปรับแต่งระบบและเงื่อนไขการ ท างานของระบบ Smart City ให้สอดคล้องกับภารกิจ บทบาทหน้าที่ และแนวทางการปฏิบัติงานของ รฟม. โดยจะต้องท าการทดสอบระบบกล้องโทรทัศน์วงจรปิด ทั้งในส่วนที่จัดหาใหม่ในโครงการนี้และระบบเดิมที่มีอยู่ ของ รฟม. ให้สามารถรองรับการปฏิบัติงานได้อย่างมีประสิทธิภาพทั้งในเวลากลางวันและกลางคืน ในกรณีที่ ผลการทดสอบพบว่าระบบยังไม่สมบูรณ์ หรือไม่ผ่านเกณฑ์ประสิทธิภาพตามที่ รฟม. ก าหนดไว้ในภาคผนวก ข ผู้ยื่นข้อเสนอจะต้องด าเนินการปรับปรุงแก้ไขระบบดังกล่าวให้เสร็จสมบูรณ์และพร้อมใช้งาน โดยไม่คิด ค่าใช้จ่ายเพิ่มเติมใด ๆ ทั้งสิ้นจาก รฟม.
    /4.9 ผู้ยื่น…
  • 4 -
    4.9 ผู้ยื่นข้อเสนอต้องด าเนินการทดสอบสมรรถภาพและประสิทธิภาพของระบบ (Performance Test) บนเครือข่ายที่ รฟม. ก าหนด ซึ่งรวมถึงการตอบสนองการเรียกใช้งาน (Response Time) (ไม่เกิน 4 วินาที) การทดสอบใช้งานระบบในระดับที่คาดว่าจะใช้งานจริง (Load Testing) และการทดสอบใช้งานระบบในระดับ ที่คาดว่าจะใช้งานเกินจริง (Stress Testing) พร้อมส่งมอบเอกสารในงานงวดสุดท้าย
    4.10 ผู้ยื่นข้อเสนอต้องด าเนินการปิดบังข้อมูลส่วนบุคคล รวมถึงข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Data) ด้วยวิธี Data Masking ข้อมูลที่แสดงในระบบ Smart City และเข้ารหัสข้อมูล (Encryption) ในฐานข้อมูลตามที่ รฟม. ก าหนด
    4.11 ผู้ยื่นข้อเสนอต้องวิเคราะห์และปิดช่องโหว่ (Hardening) ของระบบการแสดงผลข้อมูลการให้บริการ รถไฟฟ้าและซอฟต์แวร์ที่ใช้ในการพัฒนาระบบ หากซอฟต์แวร์นั้น ๆ มีการประกาศช่องโหว่ รวมทั้งช่องโหว่ที่ รฟม. ตรวจพบ โดยจะต้องปิดช่องโหว่ที่มีระดับความรุนแรงในระดับวิกฤติ (Critical) ระดับสูง (High) ครบทุกช่องโหว่ ก่อนการ Go Live พร้อมส่งมอบเอกสารในงานงวดสุดท้าย
    4.12 ผู้ยื่นข้อเสนอต้องตรวจสอบความมั่นคงปลอดภัยของ Source Code (Source Code Review) ตามมาตรฐานที่ รฟม. ก าหนด
    4.13 ผู้ยื่นข้อเสนอต้องมีการควบคุมเวอร์ชัน (Version Control) และ Source Code เมื่อมีการเปลี่ยนแปลง การแก้ไขระบบต่าง ๆ โดยส่งมอบเอกสารในงานงวดสุดท้าย
    4.14 ซอฟต์แวร์ที่น ามาใช้ในการพัฒนาระบบต้องเป็นเวอร์ชันที่อัปเดตล่าสุด หรือย้อนหลังได้ไม่เกิน 1 เวอร์ชัน เพื่อลดความเสี่ยงจากช่องโหว่ต่าง ๆ ที่อาจเกิดขึ้นจากการใช้งานซอฟต์แวร์เวอร์ชันเก่า 4.15 การพัฒนา Windows Application หรือ Mobile Application ให้พัฒนาด้านความมั่นคงปลอดภัย ตามมาตรฐาน OWASP (Open Web Application Security Project) Top 10 ล่าสุด มาตรฐาน CWE (Common Weakness Enumeration) Top 25 มาตรฐานสากลที่เป็นที่ยอมรับ หรือประกาศคณะกรรมการการรักษาความ มั่นคงปลอดภัยไซเบอร์แห่งชาติ เรื่องมาตรฐานการรักษาความมั่นคงปลอดภัยเว็บไซต์ พ.ศ. 2568 4.16 ผู้ยื่นข้อเสนอต้องออกแบบ พัฒนา ติดตั้ง และทดสอบระบบที่เสนอ เพื่อให้ระบบ Firewall ระบบ Antivirus ระบบ Backup Data และระบบอื่น ๆ ที่ รฟม. มีและใช้งานอยู่ในปัจจุบัน ท างานร่วมกันได้ อย่างมีประสิทธิภาพ
    4.17 ผู้ยื่นข้อเสนอต้องไม่เปิดเผยข้อมูลอันเป็นความลับใด ๆ หรือข้อมูลอื่นใดทั้งหมดหรือบางส่วนที่ ได้รับหรือรับรู้มาจาก รฟม. ให้ผู้อื่นทราบโดยมิได้รับความยินยอมจาก รฟม. และต้องควบคุม ก ากับไม่ให้ ผู้ปฏิบัติงานของผู้ยื่นข้อเสนอ เปิดเผยข้อมูลอันเป็นความลับใด ๆ หรือข้อมูลอื่นใดทั้งหมดหรือบางส่วนที่ได้รับ หรือรับรู้มาจาก รฟม. ให้ผู้อื่นทราบเช่นกัน หากมีความเสียหายต่อ รฟม. ผู้ยื่นข้อเสนอต้องรับผิดชอบต่อความ เสียหายที่เกิดขึ้นทั้งหมด
    4.18 ผู้ปฏิบัติงานของผู้ยื่นข้อเสนอทุกคนต้องลงนามในสัญญาว่าจะไม่เปิดเผยความลับของ รฟม. (Non-Disclosure Agreement: NDA) ก่อนเริ่มปฏิบัติงานให้ รฟม.
    4.19 ผู้ยื่นข้อเสนอต้องส่งบุคลากรเข้าร่วมการฝึกอบรมด้านความมั่นคงปลอดภัยสารสนเทศ (Information Security Awareness) ตามรอบที่ รฟม. ก าหนด เพื่อสร้างความตระหนักที่เหมาะสม รวมถึง ทบทวนนโยบายการรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศ และขั้นตอนปฏิบัติของ รฟม. (ถ้ามี)
    /4.20 ผู้ยื่น…
  • 5 -
    4.20 ผู้ยื่นข้อเสนอต้องปฏิบัติตามนโยบายการรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศ ของ รฟม. ตามภาคผนวก จ หากผู้ยื่นข้อเสนอไม่ปฏิบัติตามนโยบายการรักษาความมั่นคงปลอดภัยของระบบ เทคโนโลยีสารสนเทศจนก่อให้เกิดความเสียหาย รฟม. ขอสงวนสิทธิ์ในการเรียกร้องค่าเสียหายอันเนื่องมาจากการ ไม่ปฏิบัติตามนโยบายการรักษาความมั่นคงปลอดภัยดังกล่าว
  1. ขอบเขตงำนด้ำนกำรจัดหำและติดตั้งอุปกรณ์ (Hardware Procurement & Installation) 5.1 ผู้ยื่นข้อเสนอต้องจัดท าตารางแสดงรายการวัสดุอุปกรณ์ที่เสนอ โดยเรียงล าดับชื่อวัสดุอุปกรณ์แต่ละ รายการอย่างชัดเจน พร้อมแนบแค็ตตาล็อก (Catalogue) และหรือเอกสารแสดงรายละเอียดคุณสมบัติต่าง ๆ ของ อุปกรณ์แต่ละรายการ โดยผู้ยื่นข้อเสนอต้องท าเครื่องหมายในแค็ตตาล็อก ตรงข้อความที่ระบุชื่อยี่ห้อ รุ่น และ คุณสมบัติของวัสดุของอุปกรณ์ที่จะน ามาติดตั้ง
    5.2 แค็ตตาล็อกและ/หรือเอกสารแสดงคุณสมบัติวัสดุ อุปกรณ์หรือเอกสารประกอบใด ๆ ที่ผู้ยื่นข้อเสนอ น ามาติดตั้งเพื่อการส่งมอบทุกหน้าต้องลงนามก ากับโดยผู้มีอ านาจตามกฎหมาย พร้อมประทับตราของ หน่วยงานผู้ยื่นข้อเสนอ (ถ้ามี)
    5.3 วัสดุ อุปกรณ์ใดที่ก าหนดให้เป็นผลิตภัณฑ์ที่ได้รับรองมาตรฐาน มอก. ต้องมีส าเนาใบรับรอง มอก. หรือมี เอกสารทางราชการที่แสดงถึงการได้รับรอง มอก. หรือเทียบเท่า ของผลิตภัณฑ์ยี่ห้อ รุ่น เพื่อประกอบการพิจารณา ส่วนวัสดุ อุปกรณ์ที่ก าหนดให้เป็นผลิตภัณฑ์ตามมาตรฐานอื่นต้องมีชื่อมาตรฐานดังกล่าว ปรากฏอยู่ในแค็ตตาล็อก หรือมีหนังสือรับรองจากผู้ผลิตหรือผู้แทนจ าหน่ายที่ได้รับการแต่งตั้งจากผู้ผลิตรับรองว่าเป็นผลิตภัณฑ์ตาม มาตรฐานที่ก าหนด แนบประกอบการพิจารณาด้วย
    5.4 หากมีอุปสรรคส าคัญจากภัยธรรมชาติที่ท าให้ไม่สามารถเข้าด าเนินการในพื้นที่ได้ เช่น ฝนตก ฟ้าคะนอง ลมกระโชกแรง และคาดว่าไม่สามารถด าเนินการติดตั้งได้ทันตามระยะเวลาในสัญญาจ้าง ให้ผู้ยื่นข้อเสนอแจ้งเหตุ ดังกล่าวแก่ รฟม. พร้อมระบุถึงอุปสรรคจากภัยธรรมชาติที่ส่งผลให้ไม่สามารถด าเนินการติดตั้งได้ ภายใน 7 วัน นับถัดจากวันที่ทราบเหตุนั้น โดยรฟม. จะพิจารณาตามข้อเท็จจริง
    5.5 พนักงานหรือบุคลากรของผู้ยื่นข้อเสนอจะต้องผ่านการอบรมการปฏิบัติงานภายในสถานีรถไฟฟ้าและ ปฏิบัติตามระเบียบข้อบังคับของบริษัท ทางด่วนและรถไฟฟ้ากรุงเทพ จ ากัด (มหาชน) (BEM) ก าหนด และ ต้องได้รับใบอนุญาตเป็น PIC/APOSTLE (Person in Charge) ซึ่งสามารถขอเอกสารใบ Work Permit จาก BEM และได้รับอนุญาตให้ปฏิบัติงานภายในสถานีโครงการรถไฟฟ้ามหานคร สายเฉลิมรัชมงคล ภายหลังจากที่ได้มีการ ลงนามในสัญญาแล้ว
    5.6 กรณีที่มีการเปลี่ยนแปลงการตั้งค่า (Re-config) ของระบบและอุปกรณ์ที่ได้ติดตั้งตามสัญญานี้รฟม. มีสิทธิ์ที่จะแจ้งให้ผู้ยื่นข้อเสนอมาด าเนินการให้ รฟม. ได้ตลอดอายุสัญญา โดย รฟม. ไม่เสียค่าใช้จ่ายใด ๆ เพิ่มเติม ทั้งสิ้น
    5.7 ผู้ยื่นข้อเสนอต้องจัดหาพร้อมติดตั้งระบบกล้องโทรทัศน์วงจรปิดแบบวิเคราะห์ภาพ และอุปกรณ์ ต่อพ่วงอื่น ๆ (ถ้ามี) ติดตั้งทุกสถานีส าหรับระบบ Smart Cityซึ่งมีรายละเอียดและคุณสมบัติด้านเทคนิค ดังนี้ 5.7.1 กล้องโทรทัศน์วงจรปิดต้องสามารถอ่านข้อมูลบน Display ที่อยู่บนบริเวณด้านหน้าขบวน รถไฟฟ้า ทั้งในขณะรถวิ่งและรถหยุดนิ่งได้ ซึ่งประกอบไปด้วยข้อมูลสถานีปลายทาง (Destination) หมายเลข ขบวนรถไฟฟ้า (Vehicle Number) หมายเลขการให้บริการ (Service Number) และข้อมูลอื่น ๆ (ถ้ามี) พร้อมทั้งน าข้อมูลที่ได้ไปประมวลผล เพื่อแจ้งต าแหน่งขบวนรถไฟฟ้า และการมาถึงของรถไฟฟ้าขบวนนั้น ๆ /แบบเรียลไทม์…
  • 6 -
    แบบเรียลไทม์ (Real-time) ได้ โดยมีตัวอย่างการวางต าแหน่ง ตามรูปที่ 1 และตัวอย่างข้อมูลที่ปรากฏบน Display ตามรูปที่ 2

รูปที่ 1 ตัวอย่างการวางต าแหน่งติดตั้งระบบตรวจสอบการมาถึงของขบวนรถไฟฟ้า
สถานีปลายทาง

หมายเลขขบวนรถไฟฟ้า หมายเลขการให้บริการ
รูปที่ 2 ตัวอย่างข้อมูลที่ปรากฏบน Display
5.7.2 กล้องโทรทัศน์วงจรปิดแบบวิเคราะห์ภาพที่ติดตั้งจะต้องท างานได้ครอบคลุมต่อการให้บริการ ขบวนรถไฟฟ้าทุกสถานีของโครงการรถไฟฟ้ามหานคร สายเฉลิมรัชมงคล โดยแบ่งเป็น 2 ประเภท ได้แก่ 5.7.2.1 การให้บริการขบวนรถไฟฟ้าแบบ 1 ทิศทาง/1ชานชาลา จ านวน 35 สถานี ซึ่งเป็น สถานีที่มีการเดินรถไฟฟ้าในสภาวะปกติ (ขบวนรถไฟฟ้าจะเข้าด้านใดด้านหนึ่งของสถานี)
/5.7.2.2 การให้…

  • 7 -
    5.7.2.2 การให้บริการขบวนรถไฟฟ้าแบบ 2 ทิศทาง/1ชานชาลา จ านวน 3 สถานี ได้แก่ สถานีรถไฟฟ้าท่าพระ สถานีรถไฟฟ้าบางโพ และสถานีรถไฟฟ้าเตาปูน ที่มีการเดินขบวนรถไฟฟ้าเสริม (ขบวนรถไฟฟ้าจะเข้าสถานีทั้ง 2 ด้านและมีการกลับรถภายในสถานี)
    5.7.3 ผู้ยื่นข้อเสนอจะต้องจัดหาและติดตั้งอุปกรณ์กล้องโทรทัศน์วงจรปิดแบบวิเคราะห์ภาพ ให้เพียงพอ ครบทั้ง 38 สถานีซึ่งจะต้องมีคุณสมบัติด้านเทคนิคขั้นต่ า ดังนี้
    5.7.3.1 กล้องต้องมีเทคโนโลยี AI และเทคโนโลยีการวิเคราะห์ภาพที่อยู่ในตัวกล้องเพื่อใช้ ในการสร้างเงื่อนไขในการท า Video Analytics
    5.7.3.2 มีความละเอียดของภาพสูงสุดไม่น้อยกว่า 2688 × 1520 pixel หรือไม่น้อยกว่า 4,085,760 pixel
    5.7.3.3 มี Frame Rate ไม่น้อยกว่า 50 ภาพต่อวินาที (Frame per second) ที่ความ ละเอียดของภาพไม่น้อยกว่า 2688 × 1520 pixel หรือไม่น้อยกว่า 4,085,760 pixel 5.7.3.4 ใช้เทคโนโลยี IR-Cut filter หรือ Infrared Cut-off Removable (ICR) ส าหรับการ บันทึกภาพได้ทั้งกลางวันและกลางคืนโดยอัตโนมัติ
    5.7.3.5 มีความไวแสงน้อยสุด ไม่มากกว่า 0.15 LUX ส าหรับการแสดงภาพสี (Color) 5.7.3.6 มีขนาดตัวรับภาพ (Image Sensor) ไม่น้อยกว่า 1/3 นิ้ว
    5.7.3.7 มีผลต่างค่าความยาวโฟกัสต่ าสุดกับค่าความยาวโฟกัสสูงสุดไม่น้อยกว่า 4.5 มิลลิเมตร
    5.7.3.8 สามารถตรวจจับความเคลื่อนไหวอัตโนมัติ(Motion Detection) ได้
    5.7.3.9 มีฟังก์ชันในการวิเคราะห์และประมวลผลภาพได้ (AI) เช่น ตรวจจับการเคลื่อนไหวใน พื้นที่ที่ก าหนด ตรวจจับการบุกรุกข้ามเส้นที่ก าหนด และตรวจสอบแผ่นป้ายทะเบียนอย่างน้อย 2 ช่องทาง จราจร
    5.7.3.10 สามารถแสดงรายละเอียดของภาพที่มีความแตกต่างของแสงมาก (Wide Dynamic Range หรือ Super Dynamic Range) ได้
    5.7.3.11 สามารถส่งสัญญาณภาพ (Streaming) ไปแสดงได้อย่างน้อย 2 แหล่ง
    5.7.3.12 ได้รับมาตรฐาน Onvif (Open Network Video Interface Forum)
    5.7.3.13 สามารถส่งสัญญาณภาพได้ตามมาตรฐาน H.265 เป็นอย่างน้อย
    5.7.3.14 สามารถใช้งานตามโปรโตคอล (Protocol) IPv4 และ IPv6 ได้
    5.7.3.15 ตัวกล้องได้มาตรฐาน IP67 และมาตรฐาน IK10
    5.7.3.16 สามารถท างานได้ที่อุณหภูมิ -10 °C ถึง 60 °C เป็นอย่างน้อย
    5.7.3.17 มีช่องเชื่อมต่อระบบเครือข่าย (Network Interface) แบบ 10/100 Base-T หรือ ดีกว่า และสามารถท างานได้ตามมาตรฐาน IEEE 802.3af หรือ IEEE 802.3at (Power over Ethernet) ใน ช่องเดียวกันได้
    5.7.3.18สามารถใช้งานกับมาตรฐาน HTTP, HTTPS, “NTP หรือ SNTP”, SNMP, RTSP, IEEE802.1X ได้เป็นอย่างน้อย
    5.7.3.19 มีช่องรองรับการบันทึกข้อมูลลงหน่วยความจ าแบบ SD Card หรือ MicroSD Card หรือ Mini SD Card
    5.7.3.20ต้องมี Software Development Kit (SDK) หรือ Application Programming Interface (API) ที่มีลิขสิทธิ์ถูกต้อง
    /5.7.3.21 ได้รับ…
  • 8 -
    5.7.3.21 ได้รับมาตรฐานด้านความปลอดภัยต่อผู้ใช้งาน
    5.7.3.22 ผู้ผลิตต้องได้รับมาตรฐานด้านระบบการจัดการสิ่งแวดล้อม
    5.7.3.23 ผู้ผลิตต้องได้รับมาตรฐานด้านการบริหารจัดการหรือบริหารงานที่มีคุณภาพ 5.7.3.24 ผลิตภัณฑ์ต้องได้รับมาตรฐานระดับสากล NDAA, FCC, UL
    5.7.4 ระบบจะต้องมีเทคโนโลยีปัญญาประดิษฐ์ (Artificial Intelligence : AI) และระบบวิเคราะห์ภาพ (Video Analytics) ที่สามารถประมวลผลได้ภายในตัวกล้อง (Edge AI) หรือท างานร่วมกับระบบประมวลผล ภายนอกได้ โดยต้องไม่กระทบต่อประสิทธิภาพการท างานตามวัตถุประสงค์ของโครงการ
    5.7.5 ระบบต้องสามารถตรวจจับและอ่านข้อความ (Optical Character Recognition : OCR หรือ Text Recognition) จากป้ายดิจิทัลหรือจออิเล็กทรอนิกส์ (LED / Dot-matrix Display) ที่ติดตั้งอยู่บริเวณ ด้านหน้าของขบวนรถไฟฟ้าได้
    5.7.6 ระบบอ่านตัวอักษรต้องรองรับการอ่านตัวอักษรภาษาไทยหรือภาษาอังกฤษเป็นอย่างน้อย และสามารถท างานได้ขณะที่ขบวนรถไฟฟ้าก าลังเคลื่อนที่
    5.7.7 กล้องโทรทัศน์วงจรปิดจะต้องสามารถอ่านป้าย LED ได้อย่างชัดเจนในทุกสภาพอากาศ 5.7.8 ระบบจะต้องสามารถก าหนดพื้นที่การตรวจจับ (Region of Interest : ROI) เพื่อใช้ในการ วิเคราะห์เฉพาะบริเวณด้านหน้าขบวนรถไฟฟ้าได้
    5.8 ผู้ยื่นข้อเสนอต้องจัดหาพร้อมติดตั้งอุปกรณ์กล้องโทรทัศน์วงจรปิด และอุปกรณ์ต่อพ่วงอื่น ๆ (ถ้ามี) ติดตั้งทุกสถานี ส าหรับระบบตรวจสอบความหนาแน่นของผู้โดยสารภายในชั้นชานชาลา รวมถึงการประมาณการ ระยะเวลาการรอคอยขบวนรถไฟฟ้าของผู้โดยสาร ซึ่งมีรายละเอียด ดังนี้
    5.8.1 ระบบกล้องโทรทัศน์วงจรปิดจะต้องต้องสามารถนับจ านวนผู้โดยสาร (People Counting) ติดตามการเคลื่อนไหวของผู้โดยสาร (Passenger Movement Tracking) และประมวลผลความหนาแน่น (Density) ของผู้โดยสารที่ยืนรอขบวนรถไฟฟ้าจ านวน 3 พื้นที่ ตามจ านวนตู้ของรถไฟฟ้า (ขบวนรถไฟฟ้า 1 ขบวนจะมี 3 ตู้โดยสาร) ในชั้นชานชาลา ตามรูปที่ 3 หรือบริเวณที่ รฟม. ก าหนดทุกชานชาลาของโครงการ
    รถไฟฟ้ามหานคร สายเฉลิมรัชมงคล

ต าแหน่งจุดจอดขบวนรถไฟฟ้า พื้นที่นับจ านวนของผู้โดยสาร
รูปที่ 3 ตัวอย่างต าแหน่งจุดจอดขบวนรถไฟฟ้าและพื้นที่ตรวจสอบความหนาแน่นที่ชานชาลา
5.8.2 ผู้ยื่นข้อเสนอจะต้องด าเนินการจัดหาและติดตั้งกล้องโทรทัศน์วงจรปิดที่ให้ครอบคลุมต่อการ ให้บริการขบวนรถไฟฟ้าทุกสถานี ของโครงการรถไฟฟ้ามหานคร สายเฉลิมรัชมงคล
/5.8.3 อุปกรณ์…

  • 9 -
    5.8.3 อุปกรณ์กล้องโทรทัศน์วงจรปิดส าหรับระบบตรวจสอบความหนาแน่นของผู้โดยสารภายใน ชั้นชานชาลา จะต้องมีคุณสมบัติด้านเทคนิคขั้นต่ า ดังนี้
    5.8.3.1 มีความละเอียดของภาพสูงสุดไม่น้อยกว่า 2688 × 1520 pixel หรือไม่น้อยกว่า 4,085,760 pixel
    5.8.3.2 มี Frame Rate ไม่น้อยกว่า 25 ภาพต่อวินาที (Frame per second) ที่ความ ละเอียดของภาพไม่น้อยกว่า 2688 × 1520 pixel หรือไม่น้อยกว่า 4,085,760 pixel 5.8.3.3 ใช้เทคโนโลยี IR-Cut filter หรือ Infrared Cut-off Removable (ICR) ส าหรับการ บันทึกภาพได้ทั้งกลางวันและกลางคืนโดยอัตโนมัติ
    5.8.3.4 มีความไวแสงน้อยสุด ไม่มากกว่า 0.15 LUX ส าหรับการแสดงภาพสี (Color) และ ไม่มากกว่า 0.03 LUX ส าหรับการแสดงภาพขาวด า (Black/White)
    5.8.3.5 มีขนาดตัวรับภาพ (Image Sensor) ไม่น้อยกว่า 1/3 นิ้ว
    5.8.3.6 มีผลต่างค่าความยาวโฟกัสต่ าสุดกับค่าความยาวโฟกัสสูงสุดไม่น้อยกว่า 4.5 มิลลิเมตร
    5.8.3.7 สามารถตรวจจับความเคลื่อนไหวอัตโนมัติ(Motion Detection) ได้
    5.8.3.8 มีฟังก์ชันในการวิเคราะห์และประมวลผลภาพได้ (AI) เช่น ตรวจจับการเคลื่อนไหวใน พื้นที่ที่ก าหนด ตรวจจับการบุกรุกข้ามเส้นที่ก าหนด และสามารถตรวจสอบการเข้าหรือออกจากพื้นที่ที่ก าหนด 5.8.3.9 สามารถแสดงรายละเอียดของภาพที่มีความแตกต่างของแสงมาก (Wide Dynamic Range หรือ Super Dynamic Range) ได้
    5.8.3.10 สามารถส่งสัญญาณภาพ (Streaming) ไปแสดงได้อย่างน้อย 2 แหล่ง
    5.8.3.11 ได้รับมาตรฐาน Onvif (Open Network Video Interface Forum)
    5.8.3.12 สามารถส่งสัญญาณภาพได้ตามมาตรฐาน H.264 เป็นอย่างน้อย
    5.8.3.13 สามารถใช้งานตามโปรโตคอล (Protocol) IPv4 และ IPv6 ได้
    5.8.3.14 ตัวกล้องได้มาตรฐาน IP67 และมาตรฐาน IK10
    5.8.3.15 สามารถท างานได้ที่อุณหภูมิ -10 °C ถึง 60 °C เป็นอย่างน้อย
    5.8.3.16 มีช่องเชื่อมต่อระบบเครือข่าย (Network Interface) แบบ 10/100 Base-T หรือ ดีกว่า และสามารถท างานได้ตามมาตรฐาน IEEE 802.3af หรือ IEEE 802.3at (Power over Ethernet) ในช่องเดียวกันได้
    5.8.3.17 สามารถใช้งานกับมาตรฐาน HTTP, HTTPS, “NTP หรือ SNTP”, SNMP, RTSP, IEEE802.1X ได้เป็นอย่างน้อย
    5.8.3.18 มีช่องรองรับการบันทึกข้อมูลลงหน่วยความจ าแบบ SD Card หรือ MicroSD Card หรือ Mini SD Card
    5.8.3.19ต้องมี Software Development Kit (SDK) หรือ Application Programming Interface (API) ที่มีลิขสิทธิ์ถูกต้อง
    5.8.3.20 ได้รับมาตรฐานด้านความปลอดภัยต่อผู้ใช้งาน
    5.8.3.21 ผู้ผลิตต้องได้รับมาตรฐานด้านระบบการจัดการสิ่งแวดล้อม
    5.8.3.22 ผู้ผลิตต้องได้รับมาตรฐานด้านการบริหารจัดการหรือบริหารงานที่มีคุณภาพ 5.8.3.23 ผลิตภัณฑ์ต้องได้รับมาตรฐานระดับสากล NDAA, FCC, UL
    /5.8.4 ระบบ…
  • 10 -
    5.8.4 ระบบต้องสามารถบันทึกและประมวลผลเวลา (Timestamp) ของข้อมูลการตรวจวัดจ านวน และความหนาแน่นของผู้โดยสาร (People Counting / Crowd Density) ในพื้นที่ชานชาลาที่ก าหนดได้อย่าง แม่นย า โดยต้องมีการ Synchronize เวลากับระบบกลางด้วย NTP หรือ SNTP และสามารถน าข้อมูลดังกล่าว ไปใช้เป็นข้อมูลอ้างอิงในการวิเคราะห์แนวโน้มความหนาแน่นของผู้โดยสารในแต่ละช่วงเวลา รวมถึงรองรับ การน าไปใช้งานร่วมกับระบบการแสดงผลข้อมูลการให้บริการรถไฟฟ้าหรือระบบสารสนเทศอื่น ๆ ได้
    5.9 ผู้ยื่นข้อเสนอต้องจัดหาพร้อมติดตั้งระบบกล้องโทรทัศน์วงจรปิด และอุปกรณ์ต่อพ่วงอื่น ๆ(ถ้ามี) ส าหรับ ระบบตรวจสอบความหนาแน่นของผู้โดยสารภายในขบวนรถไฟฟ้าที่มีความหนาแน่น และเป็นสถานีเชื่อมต่อ ที่ส าคัญได้แก่ สถานีรถไฟฟ้าเตาปูน และสถานีรถไฟฟ้าบางซื่อ ซึ่งมีรายละเอียด ดังนี้
    5.9.1 ระบบกล้องโทรทัศน์วงจรปิดต้องสามารถนับจ านวนผู้โดยสาร (People Counting) ในพื้นที่ ขบวนรถไฟฟ้าได้โดยการตรวจจับภาพและนับจ านวนผู้โดยสารขณะรถไฟฟ้าเปิดประตูรับ-ส่งผู้โดยสาร (People In Area)
    5.9.2 อุปกรณ์กล้องโทรทัศน์วงจรปิดส าหรับระบบตรวจสอบความหนาแน่นของผู้โดยสารภายในขบวน รถไฟฟ้า ซึ่งจะต้องมีคุณสมบัติด้านเทคนิคขั้นต่ า ดังนี้
    5.9.2.1 มีความละเอียดของภาพสูงสุดไม่น้อยกว่า 2688 × 1520 pixel หรือไม่น้อยกว่า 4,085,760 pixel
    5.9.2.2 มี Frame Rate ไม่น้อยกว่า 25 ภาพต่อวินาที (Frame per second) ที่ความละเอียด ของภาพไม่น้อยกว่า 2688 × 1520 pixel หรือไม่น้อยกว่า 4,085,760 pixel
    5.9.2.3 ใช้เทคโนโลยี IR-Cut filter หรือ Infrared Cut-off Removable (ICR) ส าหรับการ บันทึกภาพได้ทั้งกลางวันและกลางคืนโดยอัตโนมัติ
    5.9.2.4 มีความไวแสงน้อยสุด ไม่มากกว่า 0.15 LUX ส าหรับการแสดงภาพสี (Color) และ ไม่มากกว่า 0.03 LUX ส าหรับการแสดงภาพขาวด า (Black/White)
    5.9.2.5 มีขนาดตัวรับภาพ (Image Sensor) ไม่น้อยกว่า 1/3 นิ้ว
    5.9.2.6 มีผลต่างค่าความยาวโฟกัสต่ าสุดกับค่าความยาวโฟกัสสูงสุดไม่น้อยกว่า 4.5 มิลลิเมตร
    5.9.2.7 สามารถตรวจจับความเคลื่อนไหวอัตโนมัติ(Motion Detection) ได้
    5.9.2.8 มีฟังก์ชันในการวิเคราะห์และประมวลผลภาพได้ (AI) เช่น ตรวจจับการเคลื่อนไหวใน พื้นที่ที่ก าหนด ตรวจจับการบุกรุกข้ามเส้นที่ก าหนด และสามารถตรวจสอบการเข้าหรือออกจากพื้นที่ที่ก าหนด 5.9.2.9 สามารถแสดงรายละเอียดของภาพที่มีความแตกต่างของแสงมาก (Wide Dynamic Range หรือSuper Dynamic Range) ได้
    5.9.2.10 สามารถส่งสัญญาณภาพ (Streaming) ไปแสดงได้อย่างน้อย 2 แหล่ง
    5.9.2.11 ได้รับมาตรฐาน Onvif (Open Network Video Interface Forum)
    5.9.2.12 สามารถส่งสัญญาณภาพได้ตามมาตรฐาน H.264 เป็นอย่างน้อย
    5.9.2.13 สามารถใช้งานตามโปรโตคอล (Protocol) IPv4 และ IPv6 ได้
    5.9.2.14 ตัวกล้องได้มาตรฐาน IP67 และมาตรฐาน IK10
    5.9.2.15 สามารถท างานได้ที่อุณหภูมิ -10 °C ถึง 60 °C เป็นอย่างน้อย
    5.9.2.16 มีช่องเชื่อมต่อระบบเครือข่าย (Network Interface) แบบ 10/100 Base-T หรือ ดีกว่า และสามารถท างานได้ตามมาตรฐาน IEEE 802.3af หรือ IEEE 802.3at (Power over Ethernet) ในช่องเดียวกันได้
    /5.9.2.17 สามารถ…
  • 11 -
    5.9.2.17 สามารถใช้งานกับมาตรฐาน HTTP, HTTPS, “NTP หรือ SNTP”, SNMP, RTSP, IEEE802.1X ได้เป็นอย่างน้อย
    5.9.2.18 มีช่องรองรับการบันทึกข้อมูลลงหน่วยความจ าแบบ SD Card หรือ MicroSD Card หรือ Mini SD Card
    5.9.2.19 ต้ อง มีSoftware Development Kit (SDK) ห รื อ Application Programming Interface (API) ที่มีลิขสิทธิ์ถูกต้อง
    5.9.2.20 ได้รับมาตรฐานด้านความปลอดภัยต่อผู้ใช้งาน
    5.9.2.21 ผู้ผลิตต้องได้รับมาตรฐานด้านระบบการจัดการสิ่งแวดล้อม
    5.9.2.22 ผู้ผลิตต้องได้รับมาตรฐานด้านการบริหารจัดการหรือบริหารงานที่มีคุณภาพ 5.9.2.23 ผลิตภัณฑ์ต้องได้รับมาตรฐานระดับสากล NDAA, FCC, UL
    5.10 ผู้ยื่นข้อเสนอสามารถใช้อุปกรณ์ที่ รฟม. จัดเตรียมไว้ให้ตามภาคผนวก ก มาใช้งานตามขอบเขตงาน ข้อ 5.8 และ 5.9 ตามที่ผู้ยื่นข้อเสนอออกแบบไว้ได้ โดยผู้ยื่นข้อเสนอจะต้องเป็นรับผิดชอบการรื้อย้ายอุปกรณ์ ด้วยตนเอง
    5.11 ผู้ยื่นข้อเสนอต้องจัดหา ติดตั้ง และตั้งค่าคอมพิวเตอร์แม่ข่าย (Server) จ านวน 1 ตัว เพื่อใช้เก็บ ข้อมูล ประมวลผล และเป็นตัวกลางส่งข้อมูลไปยังส่วนอื่น ๆ ซึ่งต้องมีคุณสมบัติด้านเทคนิค อย่างน้อยดังนี้ 5.11.1 มีหน่วยประมวลผลกลาง (CPU) แบบ 16 แกนหลัก (16 core) หรือดีกว่า ส าหรับคอมพิวเตอร์ แม่ข่าย (Server) โดยเฉพาะ และมีความเร็วสัญญาณนาฬิกาพื้นฐานไม่น้อยกว่า 2.9 GHz จ านวนไม่น้อยกว่า 2 หน่วย
    5.11.2 หน่วยประมวลผลกลาง (CPU) รองรับการประมวลผลแบบ 64 bit มีหน่วยความจ าแบบ Cache Memory ในระดับ (Level) เดียวกันไม่น้อยกว่า 24 MB
    5.11.3 มีหน่วยความจ า (RAM) ชนิด ECC DDR4 หรือดีกว่า ขนาดไม่น้อยกว่า 32 GB 5.11.4 สนับสนุนการท างาน RAID ไม่น้อยกว่า RAID 0, 1, 5 โดยให้ท างานด้วย RAID 1 5.11.5 มีหน่วยจัดเก็บข้อมูล ชนิด SCSI หรือ SAS ที่มีความเร็วรอบไม่น้อยกว่า 10,000 รอบ
    ต่อนาทีขนาดความจุไม่น้อยกว่า 2 TB หรือ ชนิด Solid State Drive หรือดีกว่า ขนาดความจุไม่น้อยกว่า 960 GB จ านวนไม่น้อยกว่า 4 หน่วย
    5.11.6 มีช่องเชื่อมต่อระบบเครือข่าย (Network Interface) แบบ 10 Gb Base-T หรือดีกว่า จ านวนไม่น้อยกว่า 2 ช่อง
    5.11.7 มี Power Supply แบบ Redundant หรือ Hot Swap จ านวน 2 หน่วย
    5.11.8 มีโปรแกรมส าหรับบริหารจัดการและดูแลเครื่องคอมพิวเตอร์ที่มีลิขสิทธิ์ถูกต้องตามกฎหมาย 5.11.9 มีระบบป้องกันไวรัสคอมพิวเตอร์พร้อมใช้งานตามระยะเวลาการรับประกัน
    5.12 ผู้ยื่นข้อเสนอมีหน้าที่จัดหา ติดตั้ง และตั้งค่าอุปกรณ์จัดเก็บข้อมูลและการประมวลผลคอมพิวเตอร์ (Edge Computer) ติดตั้งทุกสถานี เพื่อใช้เก็บข้อมูล ประมวลผล และวิเคราะห์ข้อมูล ก่อนส่งข้อมูลไปยัง คอมพิวเตอร์แม่ข่าย (Server) ซึ่งจะต้องมีคุณสมบัติด้านเทคนิค ดังนี้
    5.12.1 มีหน่วยประมวลผลกลาง (CPU) แบบ 8 แกนหลัก (8 core) หรือดีกว่า และมีความเร็ว สัญญาณนาฬิกาพื้นฐานไม่น้อยกว่า 1.6 GHz
    5.12.2 มีหน่วยความจ า (RAM) ขนาดไม่น้อยกว่า 8 GB
    5.12.3 มีหน่วยจัดเก็บข้อมูลแบบ Solid State Drive หรือดีกว่า ขนาดความจุไม่น้อยกว่า 128 GB จ านวนไม่น้อยกว่า 1 หน่วย
    /5.12.4 มีระบบ…
  • 12 -
    5.12.4 มีระบบถอดรหัสไฟล์วิดีโอที่ถูกบีบอัดไว้ (Video Decoding) ที่ความละเอียดอย่างน้อย 1080p ที่ 30 ภาพต่อวินาที (Frame per second)
    5.12.5 มีช่องเชื่อมต่อระบบเครือข่าย (Network Interface) แบบ Gigabit Ethernet หรือดีกว่า จ านวนไม่น้อยกว่า 2 ช่อง
    5.12.6 มีช่องเชื่อมต่อระบบเครือข่าย (Network Interface)
    5.12.7 มีระบบป้องกันไวรัสคอมพิวเตอร์พร้อมใช้งานตามระยะเวลาการรับประกัน
    5.12.8 มีระบบปฏิบัติการ (OS) เครื่องคอมพิวเตอรที่มีลิขสิทธิ์ถูกต้องตามกฎหมาย
    5.13 ผู้ยื่นข้อเสนอมีหน้าที่จัดหา ติดตั้ง และตั้งค่าอุปกรณ์กระจายสัญญาณ (POE Access Switch) ที่ เชื่อมต่อกับอุปกรณ์กระจายสัญญาณหลัก โดยให้มีจ านวนเหมาะสมกับต าแหน่งกล้องโทรทัศน์วงจรปิดที่ได้ ด าเนินการจัดหาในงานนี้และกล้องโทรทัศน์วงจรปิดที่ รฟม. มีอยู่ ซึ่งจะต้องมีคุณสมบัติด้านเทคนิค ดังนี้
    5.13.1 อุปกรณ์กระจายสัญญาณเครือข่ายในระดับไม่น้อยกว่า Layer 2 ที่สามารถจ่ายไฟ Power Over Ethernet ได้ ที่มีขนาด Switching Capacity ไม่น้อยกว่า 20 Gbps
    5.13.2 มีพ อ ร์ ต 10/100/1000 Base-T จ า น ว นไ ม่ น้ อ ย ก ว่ า 8 พ อ ร์ ต ต า ม ม า ต ร ฐ า น 802.3at,802.3af และจ่ายไฟรวมทุกพอร์ตได้เพียงพอต่ออุปกรณ์ที่ต่อใช้งาน
    5.13.3 มีพอร์ต Uplink แบบ 1 Gigabit Ethernet ชนิด SFP หรือ RJ-45 ไม่น้อยกว่า 2 พอร์ต พร้อม Transceiver Module ชนิด 1 Gbps Single Mode หรือดีกว่า มาด้วย 1 โมดูล 5.13.4 มี Forwarding Rate ไม่น้อยกว่า 14 Mpps
    5.13.5 รองรับการเชื่อมต่อด้วย Protocol STP, RTSP, SNMP และ LLDP ได้
    5.13.6 สนับสนุนการท า VLANs ได้ไม่น้อยกว่า 128 VLANs IDs
    5.13.7 สามารถบริหารหรือควบคุมอุปกรณ์ผ่านทาง GUI, Command line interface/Telnet, SSH Webpage ในรูปแบบ Remote upgrade, Default parameter recovery
    5.13.8 ผ่านการรับรองมาตรฐานความปลอดภัย FCC หรือ UL
    5.13.9 ผู้ยื่นข้อเสนอมีหน้าที่จัดหาและติดตั้งสายสัญญาณ UTP ชนิด Cat6 รวมถึงสาย Fiber Optic 5.14 ผู้ยื่นข้อเสนอมีหน้าที่ออกแบบ จัดหา ติดตั้ง และตั้งค่าอุปกรณ์ที่เกี่ยวข้อง โดยเป็นไปตามแผนผังภาพ ที่แสดงโครงสร้างและการเชื่อมต่อระหว่างอุปกรณ์คอมพิวเตอร์ ระบบเครือข่าย หรือ Network Diagram (แผนภาพเครือข่าย) MRTA BTN, MRTA Core Switch และ Application MRT เป็นสิ่งที่ รฟม. มีติดตั้ง ใช้งานอยู่เดิม ตามภาคผนวก ค
    5.15 ผู้ยื่นข้อเสนอมีหน้าที่จัดหาและติดตั้งสายสัญญาณ UTP ชนิด Cat6 รวมถึงสาย Fiber Optic แบบ 12 Core และ 48 Core Single Mode ให้เพียงพอต่อการใช้งาน โดยฉนวนจะต้องผลิตด้วยวัสดุชนิด Low Smoke Zero Halogen (LSZH) อีกทั้งให้เลือกใช้งานประเภทของสายสัญญาณให้เหมาะสมต่อระยะ ความยาวการใช้งานหรือตามที่ รฟม. ก าหนด ส าหรับใช้งานร่วมกับอุปกรณ์
    5.16 ผู้ยื่นข้อเสนอจะต้องใช้วัสดุอุปกรณ์ที่ได้มาตรฐานในการติดตั้งระบบ เช่น Rack Cabinet 15U – 42U, ท่อโลหะร้อยสาย IMC, ท่อ Flexible, ท่อ HDPE, Cable Tray, Cable tag และตู้พักอุปกรณ์ให้มีขนาด และจ านวนที่เพียงพอสอดคล้องกับจ านวนกล้องโทรทัศน์วงจรปิด รวมถึงสายไฟฟ้าและสายสัญญาณที่ติดตั้ง โดยวัสดุจะต้องได้มาตรฐานที่ใช้งานภายในโครงการรถไฟฟ้ามหานคร สายเฉลิมรัชมงคล
    5.17 ผู้ยื่นข้อเสนอต้องแนบเอกสารหลักฐาน เอกสารคุณสมบัติหรือข้อก าหนดของผลิตภัณฑ์ (Datasheet or Catalog) โดยมีรายการดังต่อไปนี้
    /5.17.1 กล้องโทรทัศน์…
  • 13 -
    5.17.1 กล้องโทรทัศน์วงจรปิดแบบวิเคราะห์ภาพส าหรับอ่านข้อมูลบน Display ที่อยู่บนบริเวณ ด้านหน้าขบวนรถไฟฟ้า ตามข้อ 5.7.3
    5.17.2 กล้องโทรทัศน์วงจรปิดส าหรับระบบตรวจสอบความหนาแน่นของผู้โดยสารภายในชั้น ชานชาลา ตามข้อ 5.8.3
    5.17.3 กล้องโทรทัศน์วงจรปิดส าหรับระบบตรวจสอบความหนาแน่นของผู้โดยสารภายในขบวน รถไฟฟ้า ตามข้อ 5.9.2
    5.17.4 คอมพิวเตอร์แม่ข่าย (Server) ตามข้อ 5.11
    5.17.5 อุปกรณ์จัดเก็บข้อมูลและการประมวลผลคอมพิวเตอร์ (Edge Computer) ตามข้อ 5.12 5.17.6 อุปกรณ์กระจายสัญญาณ (POE Access Switch) ตามข้อ 5.13
    5.17.7 สายสัญญาณ UTP ชนิด Cat6 รวมถึงสาย Fiber Optic แบบ 12 Core และ 48 Core Single Mode ตามข้อ 5.15
  1. ขอบเขตงำนด้ำนกำรพัฒนำซอฟต์แวร์ (Software Development Scope) 6.1 ระบบมีลักษณะเป็น Windows Application
    6.2 ระบบรองรับการเชื่อมโยงข้อมูลกับระบบสารสนเทศที่ รฟม. ใช้งานอยู่ได้ในรูปแบบของ Web Service เช่น ระบบบริหารทรัพยากรบุคคล (HR) ในการเชื่อมโยงข้อมูลโครงสร้างองค์กร และข้อมูลพนักงาน เป็นต้น 6.3 ระบบต้องรองรับการยืนยันตัวตนผู้ใช้งาน (Authentication) ผ่านระบบ Azure Active Directory (Azure AD) ของ รฟม. และสามารถท างานร่วมกับระบบบัญชีผู้ใช้งานของ รฟม. ได้
    6.4 ระบบต้องรองรับมาตรการยืนยันตัวตนแบบหลายปัจจัย (Multi-Factor Authentication: MFA) ตาม นโยบายของหน่วยงาน (ถ้ามี)
    6.5 ระบบต้องตรวจสอบจ านวนครั้งที่เข้าสู่ระบบผิดพลาด พร้อมแจ้งเตือนให้ผู้ใช้งานทราบจ านวนครั้งที่ เข้าสู่ระบบผิดพลาด และหากผิดพลาดเกินกว่าที่ Azure AD ก าหนดจะไม่สามารถเข้าใช้งานได้ ซึ่งต้องให้ผู้ดูแล ระบบด าเนินการปลดล็อค
    6.6 ระบบต้องไม่อนุญาตให้เข้าใช้งาน หากมีการ Login บนอุปกรณ์อื่นอยู่ พร้อมแจ้งเตือนว่ามีการเข้าสู่ ระบบค้างไว้ที่อุปกรณ์อื่น และด าเนินการออกจากระบบที่อุปกรณ์นั้นโดยอัตโนมัติ
    6.7 ระบบรองรับการก าหนด Session Timout โดยผู้ดูแลระบบได้
    6.8 ระบบสามารถก าหนดสิทธิ์การใช้งานตามบทบาท (Role-Based Access Control: RBAC) 6.9 ระบบสามารถก าหนดสิทธิ์การเข้าถึงข้อมูล ฟังก์ชัน และหน้าจอการใช้งานได้อย่างละเอียดตามบทบาท ของผู้ใช้งาน เช่น
    6.9.1 ผู้ดูแลระบบ (Administrator)
    6.9.2 ผู้ใช้งานทั่วไป (User)
    6.10 ระบบต้องบันทึกเหตุการณ์ (Log) การใช้งาน อย่างน้อยดังนี้
    6.10.1 การเข้าสู่ระบบ (Login / Logout)
    6.10.2 การพยายามเข้าสู่ระบบที่ไม่ส าเร็จ
    6.10.3 การเข้าถึงข้อมูลและฟังก์ชันส าคัญ
    6.10.4 การเปลี่ยนแปลงค่าการตั้งค่า (Configuration)
    6.10.5 การเพิ่ม/แก้ไข/ลบข้อมูล
    6.10.6 การเปลี่ยนแปลงสิทธิ์ผู้ใช้งาน/6.11 ระบบ…
  • 14 -
    6.11 ระบบต้องรองรับการเชื่อมต่อกับระบบบริหารจัดการ Log หรือระบบ Security ของรฟม. เช่น SIEM เป็นต้น 6.12 ผู้ยื่นข้อเสนอต้องศึกษา วิเคราะห์ ออกแบบ กระบวนการท างานของระบบ Smart City ที่ท างาน ร่วมกับกล้องโทรทัศน์วงจรปิดที่จัดหาในโครงการนี้และที่ รฟม. มีอยู่ พร้อมทั้งให้ค าแนะน าและข้อเสนอแนะที่มี ประโยชน์ รวมถึงออกแบบและพัฒนาระบบการแสดงผลข้อมูลการให้บริการรถไฟฟ้าตามความต้องการของ รฟม. โดยมีระบบย่อยดังนี้
    6.12.1 ระบบตรวจสอบการมาถึงของขบวนรถไฟฟ้า
    6.12.1.1 ระบบกล้องและซอฟต์แวร์วิเคราะห์ภาพต้องสามารถใช้เหตุการณ์การตรวจพบ ข้อความหน้าขบวนรถไฟฟ้าเป็นจุดเริ่มต้น (Trigger Event) ส าหรับกระบวนการค านวณเวลาการมาถึงของ ขบวนรถ (Estimated Time of Arrival: ETA)
    6.12.1.2 ระบบต้องสามารถค านวณและแสดงผลเวลาประมาณการมาถึง (ETA) ในรูปแบบ ของเวลาที่เหลืออยู่ (Countdown Time) ตั้งแต่ขบวนรถถูกตรวจพบ จนถึงจุดจอดรถไฟฟ้า 6.12.1.3 ระบบต้องรองรับการค านวณ ETA โดยใช้ข้อมูลจากระบบภายนอกเพิ่มเติมได้ 6.12.1.4 ระบบต้องสามารถแสดงสถานะการท างานของการประเมิน ETA ได้ เพื่อใช้ในการ ตรวจสอบและติดตามการท างานของระบบ เช่น
    • ตรวจพบขบวนรถแล้ว
    • ก าลังค านวณ ETA
    • ขบวนรถถึงชานชาลาแล้ว
    6.12.1.5 ระบบสามารถวิเคราะห์เวลาการมาถึง เวลาการคาดการณ์ การตรวจสอบ การมาถึงของขบวนรถไฟฟ้า การตรวจสอบสถานะเมื่อขบวนรถไฟฟ้าเข้า-ออกจากสถานี การประมาณการ ระยะเวลาการรอคอยขบวนรถไฟฟ้าขบวนถัดไปที่ก าลังจะเข้าสถานีโครงการรถไฟฟ้ามหานคร สายเฉลิมรัชมงคล แบบเรียลไทม์ (Real-time Data Analytics)
    6.12.1.6 ระบบสามารถเก็บข้อมูลที่เกิดขึ้น (Data Log) ของรถไฟฟ้าทุกขบวน ในส่วนของ ข้อมูลเวลาการมาถึงของขบวนรถไฟฟ้า เวลาที่ขบวนรถไฟฟ้าเริ่มเคลื่อนที่ออกจากสถานี และหมายเลขการ ให้บริการ (Service Number) ตลอดเวลาที่ให้บริการ ซึ่งจะต้องเก็บไว้อย่างน้อย 1 ปี 6.12.2 ระบบตรวจสอบความหนาแน่นของผู้โดยสารภายในชั้นชานชาลา
    6.12.2.1 ระบบจะต้องนับจ านวนผู้โดยสารในชั้นชานชาลา บริเวณที่ รฟม. ก าหนด และ ประมวลผลข้อมูลความหนาแน่นของผู้โดยสารบริเวณชานชาลาได้
    6.12.2.2 ระบบจะต้องนับจ านวนผู้โดยสารที่ยืนรอขบวนรถไฟฟ้าจ านวน 3 พื้นที่ ตามตู้ ของรถไฟฟ้า (ขบวนรถไฟฟ้า 1 ขบวน จะมี 3 ตู้โดยสาร) หรือบริเวณที่ รฟม. ก าหนด 6.12.2.3 ระบบสามารถวิเคราะห์การประมาณการระยะเวลาการรอคอยขบวนรถไฟฟ้า ของผู้โดยสาร โดยตรวจจับบุคคลที่รอคอยในพื้นที่ก าหนด โดยเมื่อผู้โดยสารเข้าพื้นที่ก าหนด ให้เริ่มนับ ระยะเวลาที่ผู้โดยสารคนนั้น ๆ อยู่ในพื้นที่จนออกจากพื้นที่
    6.12.3 ระบบตรวจสอบความหนาแน่นของผู้โดยสารภายในขบวนรถไฟฟ้า
    6.12.3.1 ระบบสามารถตรวจสอบความหนาแน่นของผู้โดยสารภายในขบวนรถไฟฟ้า และ แจ้งเป็นข้อมูลให้ผู้โดยสารทราบส าหรับผู้ใช้บริการรถไฟฟ้าที่สถานีรถไฟฟ้าเตาปูนและสถานีรถไฟฟ้าบางซื่อ หรือสถานีที่ รฟม. ก าหนด
    /6.12.3.2 ระบบ…
  • 15 -
    6.12.3.2 ระบบสามารถวิเคราะห์ความหนาแน่นของผู้โดยสารภายในขบวนรถไฟฟ้าบริเวณ พื้นที่ด้านในประตูรถไฟฟ้าทุกประตูของขบวนรถไฟฟ้าที่ก าลังจอดในก่อนหน้าสถานี หรือ บริเวณที่ รฟม. ก าหนด
    6.13 ผู้ยื่นข้อเสนอต้องออกแบบและพัฒนาหน้าจอแสดงผลภาพรวมของระบบ (Dashboard) ให้ตรงกับ ความต้องการของ รฟม. โดยมีรายงานอย่างน้อยดังนี้
    6.13.1 รายงานต าแหน่งขบวนรถไฟฟ้าและการมาถึงของรถไฟฟ้าขบวนนั้น ๆ แบบเรียลไทม์ (Real-time) 6.13.2 รายงานข้อมูลเป็นจ านวนผู้โดยสารแบบเรียลไทม์ (Real-time)
    6.13.3 รายงานข้อมูลเป็นจ านวนผู้โดยสารต่อชานชาลาแบบเรียลไทม์ (Real-time)
    6.13.4 รายงานข้อมูลในรูปแบบของระยะเวลาของผู้โดยสารที่รอคอยนานที่สุดแบบเรียลไทม์ (Real-time)
  1. ก ำหนดเวลำส่งมอบพัสดุ
    ผู้ยื่นข้อเสนอต้องด าเนินการจัดหา ติดตั้ง และทดสอบงานซื้อพร้อมพัฒนาระบบการแสดงผลข้อมูล การให้บริการรถไฟฟ้า (Smart City) โครงการรถไฟฟ้ามหานคร สายเฉลิมรัชมงคล ประจ าปีงบประมาณ พ.ศ. 2569 ภายใน 548 วัน นับถัดจากวันลงนามในสัญญา
  2. สิ่งที่ต้องด ำเนินกำร และกำรก ำหนดเวลำส่งมอบพัสดุ
    8.1 ผู้ยื่นข้อเสนอต้องจัดให้มีการประชุมเริ่มงาน (Kick off Meeting) เพื่อน าเสนอแผนการด าเนินงาน ในการออกแบบ ติดตั้ง และทดสอบ ให้พิจารณาก่อนการด าเนินงานติดตั้งจริงภายใน 15 วัน นัดถัดจากวันที่ ลงนามในสัญญา
    8.2 ผู้ยื่นข้อเสนอต้องจัดส่งรายงานผลการด าเนินงาน และเอกสารอื่น ๆ ที่เกี่ยวข้องในรูปแบบเอกสารสี และรูปแบบ Digital Files ที่สามารถแก้ไขปรับปรุงได้ เช่น PDF, Doc, .xls, dwg, vsd. เป็นต้น รูปเล่มต้นฉบับ อย่างละ 2 ชุด และส าเนาสีจ านวนไม่น้อยกว่าจ านวนคณะกรรมการตรวจรับพัสดุ พร้อม Digital Files โดยบรรจุลงใน USB Flash Drive จ านวน 2 ชุด ไม่เกิน 30 วันหลังจากส่งมอบงาน
  3. กำรฝึกอบรม
    ผู้ยื่นข้อเสนอจะต้องจัดฝึกอบรมการใช้งาน Software การบริหารจัดการหรือการตั้งค่า Software รวมถึง การซ่อมบ ารุงและแก้ไขอุปกรณ์เบื้องต้นส าหรับผู้ใช้งาน จ านวน 2 ครั้ง ตามเวลาที่ รฟม. ก าหนด พร้อมทั้ง จัดให้มีการทดสอบและประเมินผลผู้เข้าฝึกอบรมดังกล่าว และต้องจัดท ารายงานผลการทดสอบและ ประเมินผลของผู้ที่เข้าฝึกอบรมให้ รฟม. ด้วย
  4. วงเงินงบประมำณ
    วงเงินทั้งสิ้น 28,500,000 บาท (ยี่สิบแปดล้านห้าแสนบาทถ้วน) ซึ่งเป็นราคาที่รวมภาษีมูลค่าเพิ่ม ภาษีอื่น ๆ (ถ้ามี) และค่าใช้จ่ายทั้งปวงไว้ด้วยแล้ว
    /11. งวดงำน…
  • 16 -
  1. งวดงำนและกำรจ่ำยเงิน
    รฟม. จะช าระเงินตามสัญญานี้ เป็นการช าระแบบรายงวด ซึ่งได้รวมภาษีมูลค่าเพิ่ม ตลอดจนภาษีอากรอื่น ๆ และค่าใช้จ่ายทั้งปวงแล้ว โดยมีรายละเอียดการช าระเงินแบ่งเป็นจ านวน 6 งวด ดังนี้
    งวดที่ 1 ช าระเป็นเงินร้อยละ 25 ของมูลค่าตามสัญญา เมื่อคณะกรรมการตรวจรับพัสดุได้ตรวจรับงาน งวดที่ 1 ถูกต้องครบถ้วนแล้ว
    ล าดับ
    รายการ
    1
    รายงานการประชุมเริ่มงาน (Kick off Meeting) และแผนรายละเอียดการด าเนินงานโครงการ
    2
    แผนภาพสถาปัตยกรรมระบบ (System Architecture Diagram) และรายละเอียดองค์ประกอบ ของระบบ (System Components) ในรูปแบบที่เข้าใจง่าย พร้อมค าอธิบายการท างานและการ เชื่อมต่อระหว่างองค์ประกอบต่าง ๆ อย่างครบถ้วน
    3
    แผนผังระบบเครือข่ายสื่อสารข้อมูล (Network Diagram) และแผนผังการติดตั้งอุปกรณ์ กล้องโทรทัศน์วงจรปิด
    4
    น าเสนอการแสดงผลงานต้นแบบ (Prototype) ของระบบแสดงผลข้อมูลการให้บริการรถไฟฟ้า ของ รฟม.

งวดที่ 2 ช าระเป็นเงินร้อยละ 10 ของมูลค่าตามสัญญา เมื่อ รฟม. หรือคณะกรรมการตรวจรับพัสดุ ได้ตรวจรับงานงวดที่ 2 ถูกต้องครบถ้วนแล้ว
ล าดับ
รายการ
1
ติดตั้งและส่งมอบอุปกรณ์กล้องโทรทัศน์วงจรปิด พร้อมคอมพิวเตอร์แม่ข่าย (Server) และอุปกรณ์ อื่น ๆ ที่เกี่ยวข้องจ านวนอย่างน้อย 10 สถานี

งวดที่ 3 ช าระเป็นเงินร้อยละ 10 ของมูลค่าตามสัญญา เมื่อ รฟม. หรือคณะกรรมการตรวจรับพัสดุ ได้ตรวจรับงานงวดที่ 3 ถูกต้องครบถ้วนแล้ว
ล าดับ
รายการ
1
ติดตั้งและส่งมอบอุปกรณ์กล้องโทรทัศน์วงจรปิด และอุปกรณ์อื่น ๆ ที่เกี่ยวข้องจ านวนอย่างน้อย 10 สถานี

งวดที่ 4 ช าระเป็นเงินร้อยละ 10 ของมูลค่าตามสัญญา เมื่อ รฟม. หรือคณะกรรมการตรวจรับพัสดุ ได้ตรวจรับงานงวดที่ 4 ถูกต้องครบถ้วนแล้ว
ล าดับ
รายการ
1
ติดตั้งและส่งมอบอุปกรณ์กล้องโทรทัศน์วงจรปิด และอุปกรณ์อื่น ๆ ที่เกี่ยวข้องจ านวนอย่างน้อย 10 สถานี

/งวดที่ 5…

  • 17 -
    งวดที่ 5 ช าระเป็นเงินร้อยละ 10 ของมูลค่าตามสัญญา เมื่อ รฟม. หรือคณะกรรมการตรวจรับพัสดุ ได้ตรวจรับงานงวดที่ 5 ถูกต้องครบถ้วนแล้ว
    ล าดับ
    รายการ
    1
    ติดตั้งและส่งมอบอุปกรณ์กล้องโทรทัศน์วงจรปิด และอุปกรณ์อื่น ๆ ที่เกี่ยวข้องครบถ้วนทั้งโครงการ

งวดที่ 6 ช าระเป็นเงินร้อยละ 35 ของมูลค่าตามสัญญา เมื่อผู้ยื่นข้อเสนอจัดฝึกอบรมการใช้งาน ให้พนักงานเรียบร้อยแล้ว และ รฟม. หรือคณะกรรมการตรวจรับพัสดุ ได้ตรวจรับงานงวดที่ 6ถูกต้องครบถ้วนแล้ว
ล าดับ
รายการ
1
ติดตั้งและส่งมอบอุปกรณ์กล้องโทรทัศน์วงจรปิด ซอฟต์แวร์ระบบปฏิบัติการ (Operating System) และซอฟต์แวร์บริหารจัดการระบบฐานข้อมูล (Database Management System) พร้อมทั้งส่งมอบเอกสารสิทธิ์ในการใช้ซอฟต์แวร์ (Software License) ครบถ้วน
2
เอกสารแผนการทดสอบระบบและอุปกรณ์ ซึ่งประกอบด้วยรายละเอียดอย่างน้อย ได้แก่ แผนการ ทดสอบ (Test Plan) รายการที่ต้องทดสอบ (Use Case) และชุดสถานการณ์ทดสอบ (Test Case/ Test Scenario) รวมถึงรายละเอียดวิธีการทดสอบ เกณฑ์การประเมินผลตามที่ รฟม. ก าหนด และ ผลลัพธ์ที่คาดหวัง เพื่อใช้เป็นแนวทางในการด าเนินการทดสอบและการตรวจรับระบบให้เป็นไปตาม ข้อก าหนดของโครงการ
3
เอกสารผลการทดสอบระบบและอุปกรณ์ ซึ่งประกอบด้วยรายละเอียดอย่างน้อย ได้แก่ รายการที่ ทดสอบ (Use Case) ชุดสถานการณ์ทดสอบ (Test Case/ Test Scenario) เงื่อนไขการทดสอบ วิธีการทดสอบ (Test Procedure) ข้อมูลอ้างอิง (Ground Truth) ผลการทดสอบ (Test Results) เกณฑ์การประเมินผลตามที่ รฟม. ก าหนด และสรุปผลการทดสอบเมื่อเทียบเกณฑ์การ
ประเมิน
4
รายงานทดสอบสมรรถภาพและประสิทธิภาพของระบบ (Performance Test)
5
ติดตั้งและส่งมอบระบบ พร้อมซอร์สโค้ดโปรแกรม (Source code) ที่ได้มีการพัฒนาขึ้นใน โครงการนี้ ซึ่งผ่านการทดสอบและพร้อมใช้งานแล้ว รวมถึงติดตั้งและส่งมอบซอฟต์แวร์อื่น ๆ ที่ เกี่ยวข้องทั้งหมดของระบบ Smart City ที่มีลิขสิทธิ์ถูกต้องตามกฎหมายและเป็นสิทธิ์การใช้งาน ของ รฟม.
6
เอกสารการออกแบบฐานข้อมูล พร้อมค าอธิบาย (Data Dictionary)
7
เอกสารการเชื่อมต่อและการใช้งานข้อมูลผ่าน API (API Integration and Usage Document)
8
คู่มือส าหรับใช้งานเป็นภาษาไทย
9
คู่มือการ Setup Backup และ Restore เพื่อใช้ในการติดตั้งระบบจัดเก็บส ารองข้อมูล และการกู้ คืนระบบ

/12. กำรก ำหนด…

  • 18 -
  1. กำรก ำหนดระยะเวลำรับประกันควำมช ำรุดบกพร่อง
    12.1 การรับประกันอุปกรณ์ช ารุดบกพร่องของอุปกรณ์ที่ติดตั้งและซอฟต์แวร์ที่ใช้ในโครงการนี้ทั้งหมด เป็นเวลา 2 ปี นับจาก รฟม. ตรวจรับมอบงานงวดสุดท้าย
    12.2 การรับประกันความช ารุดบกพร่องและการบ ารุงรักษาภายหลังจากส่งมอบงาน ผู้ยื่นข้อเสนอ จะต้องมาตรวจสอบการท างานของระบบบ ารุงรักษาระบบ ทุก ๆ 6 เดือน กรณีที่ผู้ยื่นข้อเสนอไม่ด าเนินการใด ๆ ภายในก าหนดตามที่แจ้งหรือด าเนินการล่าช้าไม่เป็นไปตามที่ก าหนด รฟม. สงวนสิทธิ์ที่จะด าเนินการจัดหา บุคคลอื่นมาด าเนินการแทน โดยที่ผู้ยื่นข้อเสนอยินยอมให้ รฟม. สงวนสิทธิ์ที่คิดค่าใช้จ่ายทั้งหมดได้จริง
    12.3 ผู้ยื่นข้อเสนอจะรับผิดชอบต่ออุบัติเหตุ ความเสียหาย หรือภัยอันตรายใด ๆ อันเกิดจากการ ปฏิบัติงานของผู้ยื่นข้อเสนอเอง หรือผู้ที่ได้รับมอบหมายจากผู้ยื่นข้อเสนอ หรือเกิดจากอุปกรณ์ของผู้ยื่นข้อเสนอ โดยผู้ยื่นข้อเสนอจะแก้ไขซ่อมคืนให้ดีหรือเปลี่ยนให้ใหม่ และความรับผิดชอบดังกล่าวครอบคลุมถึง รฟม. บุคลากรของ รฟม. รวมถึงบุคคลที่ 3 (Third party Liability) และลูกจ้างของ รฟม. โดยความรับผิดชอบ ดังกล่าวจะสิ้นสุดเมื่อผู้ยื่นข้อเสนอจัดส่งหนังสือส่งมอบงานมายัง รฟม. และกรรมการตรวจรับพัสดุ ได้ตรวจสอบเรียบร้อยแล้ว
  2. อัตรำค่ำปรับ
    13.1 ในกรณีผู้ยื่นข้อเสนอไม่สามารถส่งมอบงานระบบ และ/หรือ อุปกรณ์ ที่ได้ติดตั้งตามสัญญาให้ แล้วเสร็จตามเวลาที่ก าหนดในสัญญา บางรายการ หรือทั้งหมด หรือมีคุณสมบัติไม่ถูกต้องตามรายละเอียดและ คุณลักษณะที่ก าหนด หรือส่งมอบแล้วแต่ยังไม่สามารถใช้งานได้ ล่าช้าเกินกว่าก าหนดในสัญญา และ รฟม. ยังไม่ได้บอกเลิกสัญญา ให้ถือว่าผู้ยื่นข้อเสนอประพฤติผิดสัญญา และจะต้องช าระค่าปรับเป็นรายวันให้แก่ รฟม. ในอัตราร้อยละ 0.1 (ศูนย์จุดหนึ่ง) ของมูลค่าตามสัญญาต่อวัน นับแต่วันที่ครบก าหนดการส่งมอบงาน หรือ วันที่ รฟม. ได้ขยายให้จนถึงวันที่ รฟม. ได้ตรวจรับงานจนถูกต้องครบถ้วน นอกจากนี้ผู้ยื่นข้อเสนอยินยอม ชดใช้ค่าเสียหายอันเกิดจากการที่ผู้ยื่นข้อเสนอล่าช้าและค่าใช้จ่ายอื่น ๆ ทั้งหมด
    13.2 ในกรณีที่มีอุปกรณ์ช ารุดบกพร่องหลังจากที่ รฟม. ตรวจรับงานงวดสุดท้ายเป็นที่เรียบร้อยแล้ว เมื่อได้รับแจ้งการซ่อมจาก รฟม. ผู้รับจ้างต้องด าเนินการตรวจสอบภายใน 3 ชั่วโมง นับแต่วันที่ได้รับแจ้ง และ ด าเนินการซ่อมแซมแก้ไขหรือซ่อมบ ารุงให้แล้วเสร็จภายใน 12 ชั่วโมง เว้นแต่ไม่สามารถเข้าพื้นที่ปฏิบัติงานได้ ให้ผู้รับจ้างเข้าด าเนินการซ่อมบ ารุงตามใบอนุมัติเข้าพื้นที่ปฏิบัติงาน (Work Permit จาก BEM) ให้แล้วเสร็จ
    ภายใน 24 ชั่วโมง โดยจะมีค่าปรับในอัตราร้อยละ 0.01 ของมูลค่าสัญญา (ต่อตัวต่อวัน)
  3. หลักเกณฑ์พิจำรณำข้อเสนอ
    14.1 รฟม. จะพิจารณาตัดสินคัดเลือกเฉพาะรายที่เสนอหลักฐานเอกสารครบถ้วน ถูกต้อง และปฏิบัติ ถูกต้องตามเงื่อนไขที่ รฟม. ก าหนดเท่านั้น
    14.2 ในการพิจารณาผลการยื่นข้อเสนอคัดเลือกครั้งนี้ รฟม. จะพิจารณาตัดสินโดยใช้หลักเกณฑ์ราคา ประกอบเกณฑ์อื่น ตามภาคผนวก ง
    /15. กำรจัดท ำ…
  • 19 -
  1. การจัดท าข้อเสนอโครงการ
    ผู้ยื่นข้อเสนอต้องด ำเนินกำรยื่นเอกสำรเพื่อใช้ในกำรประกอบกำรพิจำรณำด้ำนเทคนิค มีรำยละเอียด ครอบคลุม ดังนี้
    15.1 ส ำเนำหนังสือรับรองผลงำน หรือส ำเนำสัญญำ หรือใบสั่งซื้อ/ใบสั่งจ้ำง หรืออื่นใดที่เป็นหลักฐำน และให้เห็นว่ำเป็นคู่สัญญำ พร้อมทั้งรับรองส ำเนำถูกต้อง รวมถึงข้อก ำหนดและขอบเขตของงำน (TOR) (ถ้ำมี) ของผลงำนที่แล้วเสร็จภำยในระยะเวลำ 5 ปี นับตั้งแต่วันที่ยื่นข้อเสนอ
    15.2 เอกสำรคุณสมบัติหรือข้อก ำหนดของผลิตภัณฑ์ (Datasheet or Catalog) อุปกรณ์ระบบ กล้องโทรทัศน์วงจรปิด ที่จะใช้ในกำรทดสอบระบบ (Proof of Concept (POC)) โดยจะต้องท ำกำรทดสอบ ระบบภำยใน 5 วันท ำกำร นับถัดจำกวันเสนอรำคำ ซึ่ง รฟม. จะเป็นผู้ก ำหนดวัน เวลำ และสถำนที่ โดยจะแจ้ง ให้ผู้ยื่นข้อเสนอทรำบต่อไป
    ภาคผนวก ก
    ภาคผนวก ก
    ล าดับ
    รายการ
    รุ่น
    สถานที่
    จ านวน
    1
    Bullet Camera
    2.0C-H4A-B1-B
    สถานีรถไฟฟ้าสุทธิสาร
    4
    2
    Dome Camera
    2.0C-H4SL-DO1-IR
    สถานีรถไฟฟ้าสุทธิสาร
    4
    3
    Bullet Camera
    2.0C-H4A-B1-B
    สถานีรถไฟฟ้าห้วยขวาง
    4
    4
    Dome Camera
    2.0C-H4SL-DO1-IR
    สถานีรถไฟฟ้าห้วยขวาง
    4
    5
    Bullet Camera
    2.0C-H4A-B1-B
    สถานีรถไฟฟ้าศูนย์วัฒนธรรมแห่งประเทศไทย
    4
    6
    Dome Camera
    2.0C-H4SL-DO1-IR
    สถานีรถไฟฟ้าศูนย์วัฒนธรรมแห่งประเทศไทย
    5
    7
    Bullet Camera
    2.0C-H4A-B1-B
    สถานีรถไฟฟ้าพระราม 9
    3
    8
    Dome Camera
    2.0C-H4SL-DO1-IR
    สถานีรถไฟฟ้าพระราม 9
    4
    9
    Bullet Camera
    2.0C-H6A-B01-IR
    สถานีรถไฟฟ้าพระราม 9
    5
    10
    POE Switch
    C1300-16P-2G
    สถานีรถไฟฟ้าพระราม 9
    1
    11
    SFP Module
    FINISAR-GLC-LHSMD
    สถานีรถไฟฟ้าพระราม 9
    2
    12
    Bullet Camera
    2.0C-H4A-B1-B
    สถานีรถไฟฟ้าเพชรบุรี
    3
    13
    Dome Camera
    2.0C-H4SL-DO1-IR
    สถานีรถไฟฟ้าเพชรบุรี
    4
    14
    Bullet Camera
    2.0C-H6A-B01-IR
    สถานีรถไฟฟ้าเพชรบุรี
    5
    15
    POE Switch
    C1300-16P-2G
    สถานีรถไฟฟ้าเพชรบุรี
    1
    16
    SFP Module
    FINISAR-GLC-LHSMD
    สถานีรถไฟฟ้าเพชรบุรี
    2
    17
    Bullet Camera
    2.0C-H4A-B1-B
    สถานีรถไฟฟ้าสุขุมวิท
    3
    18
    Dome Camera
    2.0C-H4SL-DO1-IR
    สถานีรถไฟฟ้าสุขุมวิท
    4
    19
    Bullet Camera
    2.0C-H6A-B01-IR
    สถานีรถไฟฟ้าสุขุมวิท
    1
    20
    POE Switch
    C1300-16P-2G
    สถานีรถไฟฟ้าสุขุมวิท
    1
    21
    SFP Module
    FINISAR-GLC-LHSMD
    สถานีรถไฟฟ้าสุขุมวิท
    2
    22
    Bullet Camera
    2.0C-H6A-B01-IR
    สถานีรถไฟฟ้าศูนย์การประชุมแห่งชาติสิริกิติ์
    11
    23
    Server NVR
    VMA-AS3X-16P12-NA
    สถานีรถไฟฟ้าศูนย์การประชุมแห่งชาติสิริกิติ์
    1
    24
    Distribution Switch
    C1300-24T-4G
    สถานีรถไฟฟ้าศูนย์การประชุมแห่งชาติสิริกิติ์
    1
    25
    POE Switch
    C1300-16P-2G
    สถานีรถไฟฟ้าศูนย์การประชุมแห่งชาติสิริกิติ์
    1
    26
    SFP Module
    FINISAR-GLC-LHSMD
    สถานีรถไฟฟ้าศูนย์การประชุมแห่งชาติสิริกิติ์
    2
    27
    UPS 2KVA
    HE-RT-2K-iot
    สถานีรถไฟฟ้าศูนย์การประชุมแห่งชาติสิริกิติ์
    1
    28
    Bullet Camera
    2.0C-H6A-B01-IR
    สถานีรถไฟฟ้าคลองเตย
    4
    29
    Server NVR
    VMA-AS3X-16P12-NA
    สถานีรถไฟฟ้าคลองเตย
    1
    30
    Distribution Switch
    C1300-24T-4G
    สถานีรถไฟฟ้าคลองเตย
    1
    31
    POE Switch
    C1300-16P-2G
    สถานีรถไฟฟ้าคลองเตย
    1
    32
    SFP Module
    FINISAR-GLC-LHSMD
    สถานีรถไฟฟ้าคลองเตย
    2
    33
    UPS 2KVA
    HE-RT-2K-iot
    สถานีรถไฟฟ้าคลองเตย
    1
    34
    Bullet Camera
    2.0C-H6A-B01-IR
    สถานีรถไฟฟ้าลุมพินี
    8

ล าดับ
รายการ
รุ่น
สถานที่
จ านวน
35
Server NVR
VMA-AS3X-16P12-NA
สถานีรถไฟฟ้าลุมพินี
1
36
Distribution Switch
C1300-24T-4G
สถานีรถไฟฟ้าลุมพินี
1
37
POE Switch
C1300-16P-2G
สถานีรถไฟฟ้าลุมพินี
2
38
SFP Module
FINISAR-GLC-LHSMD
สถานีรถไฟฟ้าลุมพินี
4
39
UPS 2KVA
HE-RT-2K-iot
สถานีรถไฟฟ้าลุมพินี
1
40
Bullet Camera
2.0C-H6A-B01-IR
สถานีรถไฟฟ้าสีลม
4
41
Server NVR
VMA-AS3X-16P12-NA
สถานีรถไฟฟ้าสีลม
1
42
Distribution Switch
C1300-24T-4G
สถานีรถไฟฟ้าสีลม
1
43
POE Switch
C1300-16P-2G
สถานีรถไฟฟ้าสีลม
1
44
SFP Module
FINISAR-GLC-LHSMD
สถานีรถไฟฟ้าสีลม
2
45
UPS 2KVA
HE-RT-2K-iot
สถานีรถไฟฟ้าสีลม
1
46
Bullet Camera
2.0C-H6A-B01-IR
สถานีรถไฟฟ้าสามย่าน
9
47
Server NVR
VMA-AS3X-16P12-NA
สถานีรถไฟฟ้าสามย่าน
1
48
Distribution Switch
C1300-24T-4G
สถานีรถไฟฟ้าสามย่าน
1
49
POE Switch
C1300-16P-2G
สถานีรถไฟฟ้าสามย่าน
2
50
SFP Module
FINISAR-GLC-LHSMD
สถานีรถไฟฟ้าสามย่าน
4
51
UPS 2KVA
HE-RT-2K-iot
สถานีรถไฟฟ้าสามย่าน
1
52
Bullet Camera
2.0C-H6A-B01-IR
สถานีรถไฟฟ้าหัวล าโพง
6
53
Server NVR
VMA-AS3X-16P12-NA
สถานีรถไฟฟ้าหัวล าโพง
1
54
Distribution Switch
C1300-24T-4G
สถานีรถไฟฟ้าหัวล าโพง
1
55
POE Switch
C1300-16P-2G
สถานีรถไฟฟ้าหัวล าโพง
1
56
SFP Module
FINISAR-GLC-LHSMD
สถานีรถไฟฟ้าหัวล าโพง
2
57
UPS 2KVA
HE-RT-2K-iot
สถานีรถไฟฟ้าหัวล าโพง
1
58
Bullet Camera
2.0C-H6A-B01-IR
สถานีรถไฟฟ้าภาษีเจริญ
6
59
Server NVR
VMA-AS3X-16P12-NA
สถานีรถไฟฟ้าภาษีเจริญ
1
60
Distribution Switch
C1300-24T-4G
สถานีรถไฟฟ้าภาษีเจริญ
1
61
POE Switch
C1300-16P-2G
สถานีรถไฟฟ้าภาษีเจริญ
2
62
SFP Module
FINISAR-GLC-LHSMD
สถานีรถไฟฟ้าภาษีเจริญ
4
63
UPS 2KVA
HE-RT-2K-iot
สถานีรถไฟฟ้าภาษีเจริญ
1
64
Bullet Camera
IPC264SA-AHDX4K-I1
สถานีรถไฟฟ้าภาษีเจริญ
3
65
Edge computer
Jetson Orin Nano
สถานีรถไฟฟ้าภาษีเจริญ
1
66
Distribution Switch
S5130S-28P-PWR-EI
สถานีรถไฟฟ้าภาษีเจริญ
1
67
Bullet Camera
2.0C-H6A-B01-IR
สถานีรถไฟฟ้าบางแค
6
68
Server NVR
VMA-AS3X-16P12-NA
สถานีรถไฟฟ้าบางแค
1
69
Distribution Switch
C1300-24T-4G
สถานีรถไฟฟ้าบางแค
1
70
POE Switch
C1300-16P-2G
สถานีรถไฟฟ้าบางแค
2

ล าดับ
รายการ
รุ่น
สถานที่
จ านวน
71
SFP Module
FINISAR-GLC-LHSMD
สถานีรถไฟฟ้าบางแค
4
72
UPS 2KVA
HE-RT-2K-iot
สถานีรถไฟฟ้าบางแค
1
73
Bullet Camera
IPC264SA-AHDX4K-I1
สถานีรถไฟฟ้าภาษีเจริญ
3
74
Edge computer
Jetson Orin Nano
สถานีรถไฟฟ้าภาษีเจริญ
1
75
Distribution Switch
S5130S-28P-PWR-EI
สถานีรถไฟฟ้าภาษีเจริญ
1
76
Bullet Camera
2.0C-H6A-B01-IR
สถานีรถไฟฟ้าหลักสอง
6
77
Server NVR
VMA-AS3X-16P12-NA
สถานีรถไฟฟ้าหลักสอง
1
78
Distribution Switch
C1300-24T-4G
สถานีรถไฟฟ้าหลักสอง
1
79
UPS 2KVA
HE-RT-2K-iot
สถานีรถไฟฟ้าหลักสอง
1
80
Bullet Camera
IPC264SA-AHDX4K-I1
สถานีรถไฟฟ้าหลักสอง
6
81
Bullet Camera
IPC2325SB-DZK-I0
สถานีรถไฟฟ้าหลักสอง
1
82
Dome Camera
IPC312SB-ADF28K-l0
สถานีรถไฟฟ้าหลักสอง
1
83
Dual Dome Camera
IPC3224SS-ADF28Kl1
สถานีรถไฟฟ้าหลักสอง
2
84
Edge computer
Jetson Orin Nano
สถานีรถไฟฟ้าหลักสอง
2
85
Distribution Switch
S5130S-28P-PWR-EI
สถานีรถไฟฟ้าหลักสอง
2

ภาคผนวก ข
ภาคผนวก ข
เกณฑ์ประเมินประสิทธิภำพระบบ (AI + CCTV)

  1. ตรวจจับข้อควำมบริเวณด้ำนหน้ำของขบวนรถไฟฟ้ำ
    เกณฑ์
    ตัวชี้วัด (KPI)
    เป้าหมายใน
    สภาวะปกติ
    เป้าหมายใน
    สภาวะฝนตก
    ความแม่นย า end-to-end
    อ่านถูกต้องสมบูรณ์ / ทั้งหมด
    ≥ 95%
    ≥ 85%
    เวลาตอบสนอง
    Latency ตั้งแต่ Frame แรกที่เห็นป้าย → alert
    ≤ 5วินาที
    ≤ 8วินาที

  2. ควำมหนำแน่นของผู้โดยสำรภำยในชั้นชำนชำลำ
    เกณฑ์
    ตัวชี้วัด (KPI)

    เป้าหมาย
    ความแม่นย าในการนับคน
    จ านวนผู้โดยสาร

    ≤ ± 8 คน
    Real-time latency
    Delay: capture → dashboard

    ≤ 5 วินาที
    จ าแนก Density Zone
    Zone classification accuracy (Low/Med/High)

    ≥ 90%
    ความแม่นย าตอนคนหนาแน่น
    Accuracy ที่ capacity > 80%

    ≤ 52 คน

  3. กำรประมำณกำรระยะเวลำกำรรอคอยขบวนรถไฟฟ้ำของผู้โดยสำร
    เกณฑ์
    ตัวชี้วัด (KPI)
    เป้าหมาย
    ประมาณการ Waiting time
    Predicted vs actual waiting time error
    ≤ ±2 นาที

  4. ควำมหนำแน่นของผู้โดยสำรภำยในขบวนรถ
    เกณฑ์
    ตัวชี้วัด (KPI)
    เป้าหมาย
    จ าแนกระดับ Density
    Door-zone density classification accuracy (Low/Med/High/Full)
    ≥ 88%
    Real-time latency
    Delay: capture → dashboard
    ≤ 5 วินาที

ภาคผนวก ค
ภาคผนวก ค
Network Diagram (แผนภำพเครือข่ำย)
สถานีรถไฟฟ้าที่ 1 สถานีรถไฟฟ้าที่ 2 สถานีรถไฟฟ้าที่ X
AI Camera L2 Switch
AI
AI Camera L2 Switch
AI
AI Camera L2 Switch
AI
MRTA Core Switch
MRTA Core Switch MRTA Core Switch MRTA BTN
Server ตามข้อ 5.9 Dash board
Application MRT
ภาคผนวก ง
ภาคผนวก ง
หลักเกณฑ์การให้คะแนนในการพิจารณาคัดเลือกข้อเสนอ
งานซื้อพร้อมพัฒนาระบบการแสดงผลข้อมูลการให้บริการรถไฟฟ้า (Smart City) โครงการรถไฟฟ้ามหานคร สายเฉลิมรัชมงคล
ประจ าปีงบประมาณ พ.ศ. 2569
ในการพิจารณาผลการยื่นข้อเสนอประกวดราคาครั้งนี้ รฟม. จะพิจารณาตัดสินโดยใช้หลักเกณฑ์ราคา ประกอบเกณฑ์อื่น

  1. ราคายื่นข้อเสนอ (Price) ก้าหนดน้้าหนักเท่ากับ ร้อยละ 30 (100 คะแนน) 2. ข้อเสนอด้านเทคนิค และคุณสมบัติที่เป็นประโยชน์ต่อ รฟม. ก้าหนดน้้าหนักเท่ากับ ร้อยละ 70 (100 คะแนน)
    โดยมีรายละเอียดในการพิจารณาแต่ละหัวข้อ ดังนี้
  2. ราคา (Price) ก าหนดน้ าหนักเท่ากับร้อยละ 30 (100 คะแนน)
    หลักเกณฑ์ในการพิจารณาราคา (Price) ให้ผู้มีราคารวมต่้าสุดได้คะแนนเต็มร้อยละ 30 (100 คะแนน) โดยระบบการจัดซื้อจัดจ้างภาครัฐอย่างครบวงจร (e-GP) จะค้านวณคะแนนให้อัตโนมัติ โดยผู้ที่จะเสนอราคาต่้าสุด จะได้ 100 คะแนน
  3. ข้อเสนอด้านเทคนิค และคุณสมบัติที่เป็นประโยชน์ต่อ รฟม. ก าหนดน้ าหนักเท่ากับร้อยละ 70 (100คะแนน) หลักเกณฑ์ในการพิจารณาด้านผลงานของผู้ยื่นข้อเสนอ มีดังนี้
    2.1 ผลงานของผู้ยื่นข้อเสนอ (20 คะแนน)
    พิจารณาให้คะแนนผลงานในงานติดตั้งระบบกล้องโทรทัศน์วงจรปิดแบบวิเคราะห์ภาพของ ผู้ยื่นข้อเสนอ โดยผู้ยื่นข้อเสนอจะต้องมีส้าเนาหนังสือรับรองผลงาน หรือส้าเนาสัญญา หรือใบสั่งซื้อ/ใบสั่งจ้าง หรืออื่นใดที่เป็นหลักฐานและให้เห็นว่าเป็นคู่สัญญา พร้อมทั้งรับรองส้าเนาถูกต้อง รวมถึงข้อก้าหนดและ ขอบเขตของงาน (TOR) (ถ้ามี) ของผลงานที่แล้วเสร็จภายในระยะเวลา 5 ปี นับตั้งแต่วันที่ยื่นข้อเสนอ ทั้งนี้ การประกวดราคาในครั้งนี้ ผู้ยื่นข้อเสนอจะต้องเป็นผู้มีประสบการณ์ในงานลักษณะดังกล่าว เพื่อให้งานเป็นไป ด้วยความเรียบร้อย โดย รฟม. ได้ก้าหนดหลักเกณฑ์การให้คะแนน ดังต่อไปนี้
    หัวข้อ
    เกณฑ์การให้คะแนน
    คะแนนการตัดสิน
    มูลค่าผลงานที่เสนอ
    ภายในระยะเวลา 5 ปี
    มูลค่าสูงสุดอันดับที่ 1
    10 คะแนน
    มูลค่าสูงสุดอันดับที่ 2
    8 คะแนน
    มูลค่าสูงสุดอันดับที่ 3
    5 คะแนน
    ล้าดับอื่น ๆ
    0 คะแนน

หัวข้อ
เกณฑ์การให้คะแนน
คะแนนการตัดสิน
จ านวนผลงานที่มีมูลค่า เกิน 14,000,000 บาท ภายในระยะเวลา 5 ปี ณ วันที่ยื่นข้อเสนอ
จ านวนผลงานสูงสุดอันดับที่ 1
10 คะแนน
จ านวนผลงานสูงสุดอันดับที่ 2
8 คะแนน
จ านวนผลงานสูงสุดอันดับที่ 3
5 คะแนน
ล าดับอื่น ๆ หรือมูลค่าผลงานต่ ากว่าที่ก าหนดในหัวข้อนี้
0 คะแนน

2.2 บริกำรหลังกำรขำย (20 คะแนน)
หัวข้อ
รายละเอียด
เกณฑ์การให้คะแนน
คะแนน
บริการหลัง
การขาย
การรับประกันความช ารุด บกพร่องอุปกรณ์ที่ติดตั้งใหม่ ที่เกินกว่าระยะเวลา
ตามข้อก าหนด (2 ปี)
มากกว่าข้อก าหนดเป็นล าดับที่ 1
20 คะแนน
มากกว่าข้อก าหนดเป็นล าดับที่ 2
15 คะแนน
มากกว่าข้อก าหนดเป็นล าดับที่ 3
10 คะแนน
มากกว่าข้อก าหนดเป็นล าดับที่ 4
5 คะแนน
มากกว่าข้อก าหนดเป็นล าดับอื่น ๆ
3 คะแนน
ตรงตามข้อก าหนด
0 คะแนน

2.3 พิจำรณำกำรทดสอบระบบวิเครำะห์ภำพ (Proof of Concept (POC)) (60 คะแนน) 2.3.1 ผู้ยื่นข้อเสนอต้องเป็นผู้จัดหาและน าอุปกรณ์เข้าร่วมการทดสอบความสามารถของอุปกรณ์ ระบบกล้องโทรทัศน์วงจรปิดแบบวิเคราะห์ภาพ สามารถอ่านข้อมูลสถานีปลายทางที่แสดงผลบริเวณด้านหน้า ขบวนรถไฟฟ้าได้ โดยทดสอบภายในสถานีรถไฟฟ้ากับขบวนขณะรถไฟฟ้าก าลังให้บริการ โดยจะต้องแสดงข้อความ เป็นตัวอักษร หรือภาพ Auto snap shot หรือ Pop-up message จ านวน 3 ครั้ง รวมทั้งสามารถอ่านข้อมูลจ านวน ผู้โดยสารในพื้นที่ที่ก าหนดได้ จ านวน 3 ครั้ง ทั้งนี้ รฟม. จะเป็นผู้ก าหนดสถานที่ วัน และเวลาในการทดสอบของ ผู้ยื่นข้อเสนอ (40 คะแนน)
ล าดับ
เกณฑ์การให้คะแนน
คะแนน
1
ตรวจจับได้ทุกครั้ง
40 คะแนน
2
ตรวจจับได้ 2 ครั้ง จาก 3 ครั้ง
25 คะแนน
3
ตรวจจับได้ 1 ครั้ง จาก 3 ครั้ง
10 คะแนน
4
ตรวจจับไม่ได้
0 คะแนน

2.3.2 พิจารณาให้คะแนนจากความสามารถของอุปกรณ์ระบบกล้องโทรทัศน์วงจรปิดแบบ วิเคราะห์ภาพ สามารถอ่านข้อมูลจ านวนผู้โดยสารในพื้นที่ที่ก าหนดได้จ านวน 3 ครั้ง (1 ครั้งเท่ากับระยะเวลา รอขบวนรถไฟฟ้าต่อ 1 ขบวน) (20 คะแนน)
ล าดับ
เกณฑ์การให้คะแนน
คะแนน
1
ตรวจจับได้ตรงตามจ านวนผู้โดยสารจริง
20 คะแนน
2
มีความผิดพลาดน้อยกว่า 3 คน
15 คะแนน
3
มีความผิดพลาด 4 – 7 คน
10 คะแนน
4
มีความผิดพลาดเกิน 8 คน
0 คะแนน

ภาคผนวก จ

การรถไฟฟ้าขนส่งมวลชนแห่งประเทศไทย
MASS RAPID TRANSIT AUTHORITY OF THAILAND
รัฐวิสาหกิจภายใตกํากับของรัฐมนตรีวาการกระทรวงคมนาคม
A STATE ENTERPRISE UNDER SUPERVISION OF MINISTER OF TRANSPORT
ประกาศการรถไฟฟาขนสงมวลชนแหงประเทศไทย
เรื่อง นโยบายการรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศ (ฉบับปรับปรุงครั้งที่ 14)
ดวยพระราชกฤษฎีกากําหนดหลักเกณฑและวิธีการในการทําธุรกรรมทางอิเล็กทรอนิกสภาครัฐ พ.ศ. 2549 มาตรา 5 กําหนดใหหนวยงานของรัฐตองจัดทําแนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัย ดานสารสนเทศ เพื่อใหการดําเนินการใด ๆ ดวยวิธีการทางอิเล็กทรอนิกสกับหนวยงานของรัฐหรือโดยหนวยงานของรัฐ มีความมั่นคงปลอดภัยและเชื่อถือได จึงสงผลใหระบบเทคโนโลยีสารสนเทศของการรถไฟฟาขนสงมวลชนแหงประเทศไทย (รฟม.) ตองมีการรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศอยางครบถวนเพื่อธํารงไวซึ่งความลับ
(Confidentiality) ความถูกตองครบถวน (Integrity) และสภาพพรอมใชงาน (Availability) ของสารสนเทศ รวมทั้ง คุณสมบัติอื่น ไดแก ความถูกตองแทจริง (Authenticity) ความรับผิด (Accountability) การหามปฏิเสธความรับผิดชอบ (Non-repudiation) และความนาเชื่อถือ (Reliability)
ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส เรื่องแนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคง ปลอดภัยดานสารสนเทศของหนวยงานของรัฐ (ฉบับที่ 2) พ.ศ. 2556 ขอ 14 กําหนดใหหนวยงานของรัฐตองกําหนด ความรับผิดชอบที่ชัดเจน กรณีระบบคอมพิวเตอรหรือขอมูลสารสนเทศเกิดความเสียหายหรืออันตรายใด ๆ แกองคกรหรือ ผูหนึ่งผูใด อันเนื่องมาจากความบกพรอง ละเลย หรือฝาฝนการปฏิบัติตามนโยบายและแนวปฏิบัติในการรักษาความมั่นคง ปลอดภัยดานสารสนเทศ ทั้งนี้ ใหผูบริหารระดับสูงสุดของหนวยงาน (Chief Executive Officer: CEO) เปนผูรับผิดชอบ ตอความเสี่ยง ความเสียหาย หรืออันตรายที่เกิดขึ้น
อาศัยอํานาจตามความในมาตรา 25 แหงพระราชบัญญัติการรถไฟฟาขนสงมวลชนแหงประเทศไทย พ.ศ. 2543 ผูวาการการรถไฟฟาขนสงมวลชนแหงประเทศไทย จึงออกประกาศการรถไฟฟาขนสงมวลชนแหงประเทศไทย เรื่อง นโยบายการรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศ ดังตอไปนี้

  1. วัตถุประสงคและขอบเขต
    เพื่อใหการใชงานระบบเทคโนโลยีสารสนเทศของ รฟม. เปนไปอยางเหมาะสม มีประสิทธิภาพ มีความมั่นคงปลอดภัย และสามารถดําเนินงานไดอยางตอเนื่อง รวมทั้งปองกันปญหาและลดผลกระทบจากการใชงานระบบเทคโนโลยีสารสนเทศ ในลักษณะที่ไมถูกตองหรือจากการถูกคุกคามจากภัยตาง ๆ จึงไดกําหนดนโยบายเพื่อควบคุมการรักษาความมั่นคงปลอดภัย ของระบบเทคโนโลยีสารสนเทศ ดังนี้
    1.1 การเขาถึงหรือควบคุมการใชงานสารสนเทศครอบคลุม 4 ดาน คือ
    1.1.1 การเขาถึงระบบสารสนเทศ (Access control) ตองตรวจสอบการอนุมัติสิทธิ์การเขาถึงระบบและ กําหนดรหัสผาน การลงทะเบียนผูใชงานเพื่อใหผูใชที่มีสิทธิ์(User authentication) เทานั้นที่สามารถ เขาถึงระบบไดรวมถึงมีการเก็บบันทึกขอมูลการเขาถึงระบบ (Access log)และขอมูลจราจรทางคอมพิวเตอร ทั้งนี้ การใหสิทธิ์การใชงานระบบสารสนเทศนั้นตองใหสิทธิ์อยางเหมาะสมและเพียงพอ (Need to know and Need to use)
    /1.1.2 การเขาถึง…
    175 ถนนพระราม 9 แขว งห้วยขวาง เขตห้วยขวา ง กร ุงเท พมหา น คร 103 10 โทร ศัพท 0 271
    ์ 6 40 00 โทร สา ร 0 271 6 40 19
    175 Rama IX Ro ad, Hu ai Khwang, Bangkok 10310, Thailand, Tel .66 27 16 40 00 Fax. 66 27 16 40 19 http://www.mrta.co.th
  • 2 – 2 -
    1.1.2 การเขาถึงระบบเครือขาย(Networkaccesscontrol)ตองกําหนดเสนทางการเชื่อมตอระบบคอมพิวเตอร การรับ - สง หรือการไหลเวียนขอมูลหรือสารสนเทศจะตองผานระบบการรักษาความปลอดภัยที่องคกร จัดสรรไวเชน Firewall IDS/IPS Proxy หรือการตรวจสอบไวรัสคอมพิวเตอรเปนตน เพื่อควบคุมและ ปองกันภัยคุกคามอยางเปนระบบ
    1.1.3 การเขาถึงระบบปฏิบัติการ (Operating system access control) เพื่อปองกันการเขาถึงระบบปฏิบัติการ โดยไมไดรับอนุญาต โดยกําหนดใหมีการยืนยันตัวตนเพื่อระบุถึงตัวตนของผูใชงาน รวมทั้งกําหนดใหมี การจํากัดระยะเวลาในการเชื่อมตอเพื่อใหมีความมั่นคงปลอดภัยมากยิ่งขึ้น
    1.1.4 การเขาถึงโปรแกรมประยุกตหรือแอปพลิเคชันและสารสนเทศ (Applicationand Information access control)ตองกําหนดสิทธิ์การเขาถึงระบบเทคโนโลยีสารสนเทศโดยใหสิทธิ์เฉพาะระบบงานสารสนเทศ ที่ตองปฏิบัติตามหนาที่เทานั้น รวมทั้งมีการทบทวนสิทธิ์การเขาใชงานระบบสารสนเทศอยางสม่ําเสมอ
    1.2 มีระบบสารสนเทศและระบบสํารองที่อยูในสภาพพรอมใชงาน รวมทั้งมีแผนเตรียมพรอมในกรณีฉุกเฉินหรือ กรณีที่ไมสามารถดําเนินการตามวิธีการทางอิเล็กทรอนิกสไดเพื่อใหสามารถใชงานสารสนเทศไดตามปกติ อยางตอเนื่อง
    1.3 ตรวจสอบและประเมินความเสี่ยงของระบบสารสนเทศอยางสม่ําเสมอ
  1. แนวปฏิบัติในการรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศ รฟม.
    แนวปฏิบัติในการรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศ รฟม. ใชแนวทางและกระบวนการ อางอิงตาม 1) ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส เรื่องแนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคง ปลอดภัยดานสารสนเทศของหนวยงานรัฐ พ.ศ. 2553 2) ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส เรื่อง มาตรฐาน การรักษาความมั่นคงปลอดภัยของระบบสารสนเทศตามวิธีการแบบปลอดภัย พ.ศ. 2555 และ 3) มาตรฐาน ISO/IEC 27001:2022 โดยแบงแนวปฏิบัติออกเปน 17 สวน ตามเอกสารแนบทายประกาศ ดังตอไปนี้
    2.1 นโยบายการบริหารจัดการความมั่นคงปลอดภัยสําหรับผูบริหาร (สวนที่ 1)
    2.2 ความมั่นคงปลอดภัยที่เกี่ยวกับบุคลากร (สวนที่ 2)
    2.3 การรักษาความมั่นคงปลอดภัยทางกายภาพและสิ่งแวดลอม (สวนที่ 3)
    2.4 การจัดการทรัพยสิน (สวนที่ 4)
    2.5 การจัดหา การพัฒนา และการบํารุงรักษาระบบสารสนเทศ (สวนที่ 5)
    2.6 การควบคุมการเขาถึงระบบเทคโนโลยีสารสนเทศ (สวนที่ 6)
    2.7 การควบคุมการเขาถึงระบบเครือขายไรสาย (สวนที่ 7)
    2.8 การควบคุมหนวยงานภายนอกและผูใชงาน (บุคคลภายนอก) เขาถึงระบบเทคโนโลยีสารสนเทศ (สวนที่ 8) 2.9 การใชงานเครื่องคอมพิวเตอรและอุปกรณเคลื่อนที่ของ รฟม. (สวนที่ 9)
    2.10 การใชงานอินเทอรเน็ตและสื่อสังคมออนไลน(สวนที่ 10)
    2.11 การใชงานจดหมายอิเล็กทรอนิกส(สวนที่ 11)
    2.12 การสํารองขอมูลและการเก็บรักษาขอมูลจราจรทางคอมพิวเตอร (สวนที่ 12)
    2.13 การตรวจสอบและประเมินความเสี่ยง (สวนที่ 13)
    2.14 การถายโอน และการแลกเปลี่ยนขอมูลสารสนเทศ (สวนที่ 14)
    2.15 การควบคุมการเขารหัส (สวนที่ 15)
    2.16 การนําอุปกรณสวนตัวมาใชงาน (Bring your own device) (สวนที่ 16)
    2.17 การใชบริการ Cloud (Cloud Services) (สวนที่ 17)
    /แนวปฏิบัติ …
  • 3 – 3 -
    แนวปฏิบัติในการรักษาความมั่นคงปลอดภัยระบบเทคโนโลยีสารสนเทศตามขอ 2. จัดเปนมาตรฐานดานความมั่นคง ปลอดภัยในการใชงานระบบเทคโนโลยีสารสนเทศของ รฟม. ซึ่งบุคลากรของ รฟม. หนวยงานภายนอก รวมถึงผูใชบริการ ระบบสารสนเทศของ รฟม. ที่เกี่ยวของจะตองปฏิบัติตามอยางเครงครัด
  1. กรณีระบบคอมพิวเตอรหรือขอมูลสารสนเทศเกิดความเสียหาย หรืออันตรายใด ๆ แกองคกรหรือผูหนึ่งผูใด อันเนื่องมาจากความบกพรอง ละเลย หรือฝาฝนการปฏิบัติตามแนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคง ปลอดภัยดานสารสนเทศผูวาการการรถไฟฟาขนสงมวลชนแหงประเทศไทย(ChiefExecutive Officer: CEO) เปนผูรับผิดชอบ ตอความเสี่ยง ความเสียหาย หรืออันตรายที่เกิดขึ้น และดําเนินการตรวจสอบขอเท็จจริงกรณีที่ระบบคอมพิวเตอรหรือ ขอมูลสารสนเทศเกิดความเสียหายหรืออันตรายใด ๆ แกหนวยงานหรือผูหนึ่งผูใด รวมทั้งใหพิจารณาลงโทษตามเหตุอันควร
    นโยบายนี้ใหใชบังคับเมื่อพนกําหนด 7 วัน นับแตวันที่ผูมีอํานาจลงนาม
    15
    ประกาศ ณ วันที่ กันยายน พ.ศ. 2568
    (นายกาจผจญ อุดมธรรมภักดี)
    ผูวาการการรถไฟฟาขนสงมวลชนแหงประเทศไทย

สารบัญ
เรื่อง หนา คํานิยาม……………………………………………………………………………………………………………………………………………………….1 สวนที่ 1 นโยบายการบริหารจัดการความมั่นคงปลอดภัยสําหรับผูบริหาร……………………………………………………………….3 สวนที่ 2 ความมั่นคงปลอดภัยที่เกี่ยวกับบุคลากร………………………………………………………………………………………………..4 สวนที่ 3 การรักษาความมั่นคงปลอดภัยทางดานกายภาพและสิ่งแวดลอม………………………………………………………………7 สวนที่ 4 การจัดการทรัพยสิน ………………………………………………………………………………………………………………………….8 สวนที่ 5 การจัดหา การพัฒนา และการบํารุงรักษาระบบสารสนเทศ…………………………………………………………………..10 สวนที่ 6 การควบคุมการเขาถึงระบบเทคโนโลยีสารสนเทศ……………………………………………………………………………….12 สวนที่ 7 การควบคุมการเขาถึงระบบเครือขายไรสาย……………………………………………………………………………………….22 สวนที่ 8 การควบคุมหนวยงานภายนอกหรือผูใชงานภายนอกเขาถึงระบบเทคโนโลยีสารสนเทศ……………………………..23 สวนที่ 9 การใชงานเครื่องคอมพิวเตอรและอุปกรณเคลื่อนที่ ของ รฟม. ………………………………………………………………25 สวนที่ 10 การใชงานอินเทอรเน็ตและสื่อสังคมออนไลน……………………………………………………………………………………28 สวนที่ 11 การใชงานจดหมายอิเล็กทรอนิกส…………………………………………………………………………………………………..32 สวนที่ 12 การสํารองขอมูลและการเก็บรักษาขอมูลจราจรทางคอมพิวเตอร…………………………………………………………33 สวนที่ 13 การตรวจสอบและประเมินความเสี่ยง………………………………………………………………………………………………35 สวนที่ 14 การถายโอน และแลกเปลี่ยนขอมูลสารสนเทศ………………………………………………………………………………….38 สวนที่ 15 การควบคุมการเขารหัส…………………………………………………………………………………………………………………39 สวนที่ 16 การนําอุปกรณสวนตัวมาใชงาน (Bring your own device)……………………………………………………………….40 สวนที่ 17 การใชบริการ Cloud (Cloud Services)………………………………………………………………………………..…………..49
1
เอกสารแนบทายประกาศ การรถไฟฟาขนสงมวลชนแหงประเทศไทย
เรื่อง นโยบายการรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศ
แนวปฏิบัติในการรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศ ของ รฟม.
คํานิยาม
คํานิยามที่ใชในนโยบายนี้ ประกอบดวย

  1. รฟม. หมายถึง การรถไฟฟาขนสงมวลชนแหงประเทศไทย
  2. ฝทท. หมายถึง ฝายเทคโนโลยีสารสนเทศ
  3. ฝทบ. หมายถึง ฝายทรัพยากรบุคคล
  4. ผูบริหารระดับสูงสุด หมายถึงผูวาการการรถไฟฟาขนสงมวลชนแหงประเทศไทย
  5. ผูบังคับบัญชา หมายถึง ผูมีอํานาจสั่งการตามโครงสรางการบริหารของ รฟม.
  6. ผูใชงาน หมายถึง บุคคลที่ไดรับอนุญาตใหสามารถเขาใชงานระบบเทคโนโลยีสารสนเทศของ รฟม. เพื่อประโยชน ในการดําเนินงานของ รฟม. ดังนี้
  • ผูใชงานภายใน หมายถึง บุคลากรของ รฟม.
  • ผูใชงานภายนอก หมายถึง บุคคลภายนอกที่ รฟม. อนุญาตใหเขามาใชงานระบบเทคโนโลยีสารสนเทศของ รฟม. เชน ที่ปรึกษา ผูปฏิบัติงานตามสัญญา หรือนิสิตนักศึกษาฝกงาน เปนตน
  1. ผูใชบริการ หมายถึงผูที่สมัครใชบริการระบบงานสารสนเทศของ รฟม. ผานเครือขายสาธารณะ (Internet) 8. หนวยงานภายนอก หมายถึง องคกรตาง ๆ รวมถึงผูรับจาง ซึ่ง รฟม. อนุญาตใหมีสิทธิ์ในการเขาถึง หรือใชขอมูล หรือสินทรัพยตาง ๆ ของ รฟม. โดยจะไดรับสิทธิ์ในการใชระบบตามประเภทงานตามอํานาจและตองรับผิดชอบ ในการรักษาความลับของขอมูล
  2. ผูดูแลระบบ หมายถึง พนักงานที่ไดรับมอบหมายจากผูบังคับบัญชาใหมีหนาที่รับผิดชอบในการดูแลรักษาระบบ สารสนเทศ และพนักงานของผูรับจางที่รับผิดชอบติดตั้งหรือบํารุงรักษาระบบสารสนเทศให รฟม. 10. เจาของขอมูล หมายถึง ผูไดรับมอบอํานาจจากผูบังคับบัญชาใหรับผิดชอบขอมูลของระบบงานโดยเจาของขอมูล เปนผูรับผิดชอบขอมูลนั้น ๆ หรือไดรับผลกระทบโดยตรงหากขอมูลเหลานั้นเกิดสูญหาย
  3. มาตรฐาน หมายถึง บรรทัดฐานที่บังคับใชในการปฏิบัติการจริงเพื่อใหไดตามวัตุประสงคหรือเปาหมาย 12. ขั้นตอนปฏิบัติ หมายถึง รายละเอียดที่บอกขั้นตอนเปนขอ ๆ ที่ตองนํามาปฏิบัติเพื่อใหไดมาซึ่งมาตรฐานตามที่ได กําหนดไวตามวัตถุประสงค
  4. แนวปฏิบัติ หมายถึง แนวทางที่ตองปฏิบัติตามเพื่อใหสามารถบรรลุวัตถุประสงคหรือเปาหมายไดงายขึ้น 14. ระบบเทคโนโลยีสารสนเทศ (Information technology system) หมายถึง ระบบงานของ รฟม. ที่นําเอาเทคโนโลยี สารสนเทศ ระบบคอมพิวเตอร และระบบเครือขายสื่อสารขอมูลมาชวยในการสรางสารสนเทศที่ รฟม. สามารถ นํามาใชประโยชนในการวางแผน การบริหาร การสนับสนุน การใหบริการ การพัฒนาและควบคุมการติดตอสื่อสาร ซึ่งมีองคประกอบ ไดแก ระบบคอมพิวเตอร ระบบเครือขาย โปรแกรม ขอมูลและสารสนเทศ เปนตน 15. ขอมูลคอมพิวเตอรหมายถึง ขอมูล ขอความ คําสั่ง ชุดคําสั่ง หรือสิ่งอื่นใด ที่อยูในระบบคอมพิวเตอรในสภาพที่ระบบ คอมพิวเตอรอาจประมวลผลได และใหหมายความรวมถึงขอมูลอิเล็กทรอนิกสตามกฎหมายวาดวยธุรกรรม อิเล็กทรอนิกส
  5. ขอมูลจราจรทางคอมพิวเตอร (Trafficlog) หมายถึง ขอมูลเกี่ยวกับการติดตอสื่อสารของระบบคอมพิวเตอร ซึ่งแสดงถึง แหลงกําเนิด ตนทาง ปลายทาง เวลา วันที่ ปริมาณ ระยะเวลา หรืออื่น ๆ ที่เกี่ยวของกับการติดตอสื่อสารของ ระบบคอมพิวเตอรนั้น
  6. สารสนเทศ (Information) หมายถึง ขอเท็จจริงที่ไดจากขอมูลนํามาผานการประมวลผล การจัดระเบียบใหขอมูล ซึ่งขอมูลอาจอยูในรูปของตัวเลข ขอความ หรือภาพกราฟกใหเปนระบบที่ผูใชสามารถเขาใจไดงาย และสามารถ นําไปใชประโยชนในการบริหาร การวางแผน การตัดสินใจ และอื่น ๆ
    2
  7. ระบบคอมพิวเตอร (Computer system) หมายถึง อุปกรณหรือชุดอุปกรณของคอมพิวเตอรที่เชื่อมการทํางาน เขาดวยกันโดยไดมีการกําหนดคําสั่ง ชุดคําสั่งหรือสิ่งอื่นใด และแนวปฏิบัติงานใหอุปกรณหรือชุดอุปกรณทําหนาที่ ประมวลผลขอมูลโดยอัตโนมัติ
  8. ระบบเครือขายสื่อสารขอมูล (Network system) หมายถึง ระบบที่สามารถใชในการติดตอสื่อสารหรือการสงขอมูล และสารสนเทศระหวางระบบเทคโนโลยีสารสนเทศตาง ๆ ของ รฟม. เชน ระบบแลน (LAN) ระบบอินทราเน็ต (Intranet) ระบบอินเทอรเน็ต (Internet) เปนตน
  9. สิทธิ์ของผูใชงาน หมายถึง สิทธิ์ทั่วไป สิทธิ์จําเพาะ สิทธิพิเศษ และสิทธิ์อื่นใด ที่เกี่ยวของกับระบบสารสนเทศ ของหนวยงาน
  10. ความมั่นคงปลอดภัยดานสารสนเทศ หมายถึง การธํารงไวซึ่งความลับ (Confidentiality) ความถูกตองครบถวน (Integrity) และสภาพพรอมใชงาน (Availability) ของสารสนเทศ รวมทั้งคุณสมบัติอื่น ไดแก ความถูกตองแทจริง (Authenticity) ความรับผิด (Accountability) การหามปฏิเสธความรับผิด (Non-repudiation) และความนาเชื่อถือ (Reliability)
  11. เหตุการณดานความมั่นคงปลอดภัย หมายถึง เหตุการณที่แสดงใหเห็นความเปนไปไดที่จะเกิดการฝาฝนนโยบาย ดานความมั่นคงปลอดภัย มาตรการปองกันที่ลมเหลว หรือเหตุการณอันไมอาจรูไดวาอาจเกี่ยวของกับความมั่นคงปลอดภัย 23. สถานการณดานความมั่นคงปลอดภัยที่ไมพึงประสงคหรือไมอาจคาดคิด หมายถึง สถานการณดานความมั่นคงปลอดภัย ที่ไมพึงประสงคหรือไมอาจคาดคิด (Unwanted or unexpected) ซึ่งอาจทําใหระบบขององคกรถูกบุกรุก หรือโจมตีและความมั่นคงปลอดภัยถูกคุกคาม
  12. การเขาถึงหรือควบคุมการใชงานสารสนเทศ หมายถึง การอนุญาต การกําหนดสิทธิ์หรือการมอบอํานาจใหผูใชงาน เขาถึงหรือใชงานเครือขายหรือระบบสารสนเทศ ทั้งทางอิเล็กทรอนิกสและทางกายภาพ ตลอดจนอาจกําหนดขอปฏิบัติ เกี่ยวกับการเขาถึงโดยมิชอบเอาไวดวยก็ได
  13. สินทรัพย (Assets) หมายถึง สินทรัพยดานระบบเทคโนโลยีสารสนเทศและการสื่อสารของ รฟม. เชน อุปกรณ คอมพิวเตอร อุปกรณระบบเครือขาย ซอฟตแวรที่มีคาลิขสิทธิ์ขอมูล ระบบขอมูล ฯลฯ
  14. จดหมายอิเล็กทรอนิกส (Email) หมายถึง ระบบที่บุคคลใชในการรับ - สงขอความระหวางกัน โดยผานเครื่อง คอมพิวเตอรและเครือขายที่เชื่อมโยงถึงกัน ขอมูลที่สงจะเปนไดทั้งตัวอักษร ภาพถาย ภาพกราฟก ภาพเคลื่อนไหว และเสียง ผูสงสามารถสงขาวสารไปยังผูรับคนเดียวหรือหลายคนก็ได โดยขาวสารที่สงนั้นจะถูกเก็บไวในตูจดหมาย (Mail box) ที่กําหนดไวสําหรับผูใชงาน ผูรับสามารถเปดอาน พิมพลงกระดาษ หรือจะลบทิ้งก็ได
  15. ชุดคําสั่งไมพึงประสงค (Malicious code) หมายถึง ชุดคําสั่งที่มีผลทําใหคอมพิวเตอร หรือระบบคอมพิวเตอร หรือชุดคําสั่งอื่นเกิดความเสียหาย ถูกทําลาย ถูกแกไขเปลี่ยนแปลงหรือเพิ่มเติม ขัดของหรือปฏิบัติงานไมตรง ตามคําสั่งที่กําหนดไว
  16. เครื่องคอมพิวเตอรหมายถึง เครื่องคอมพิวเตอรแบบตั้งโตะ และเครื่องคอมพิวเตอรแบบพกพา 29. อุปกรณเคลื่อนที่ (Mobile device) หมายถึง อุปกรณอิเล็กทรอนิกสแบบพกพา ซึ่งมีความสามารถในการเชื่อมตอกับ อุปกรณอื่นเพื่อรับสงขอมูลผานระบบเครือขายโทรคมนาคมไรสายหรือโดยอาศัยคลื่นแมเหล็กไฟฟาเปนสื่อกลาง เชน Tablet, Smart Phone
  17. ทรัพยสินของ รฟม. หมายถึง ครุภัณฑ รฟม. และทรัพยสินที่ไมมีการขึ้นทะเบียนครุภัณฑที่ รฟม. จัดสรร งบประมาณเพื่อเปนคาใชจายใหทั้งหมดหรือบางสวน
  18. อุปกรณสวนตัว หมายถึง อุปกรณที่ไมใชทรัพยสินของ รฟม. ที่ผูใชงานนํามาเชื่อมตอกับระบบสารสนเทศของ รฟม. เชน เครื่องคอมพิวเตอรสวนบุคคล (Personal computer) เครื่องคอมพิวเตอรพกพา (Notebook) อุปกรณเคลื่อนที่ (Mobile device) Removable media หรืออุปกรณคอมพิวเตอรของโครงการรถไฟฟา เปนตน
    3
    สวนที่ 1
    นโยบายการบริหารจัดการความมั่นคงปลอดภัยสําหรับผูบริหาร
    วัตถุประสงค
    ▪ เพื่อใหการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศขององคกรมีความสอดคลองกับมาตรฐานสากลและ กฎหมายดานความมั่นคงปลอดภัยที่เกี่ยวของ
    ผูรับผิดชอบ
    ▪ ผูบริหารสูงสุด
    อางอิงมาตรฐาน: ISO/IEC 27001:2022
    ▪ มาตรการควบคุมดานองคกร (Organizational Controls)
    แนวปฏิบัติ
  19. จัดใหมีการทําและทบทวนหรือปรับปรุงนโยบายความมั่นคงปลอดภัย และแนวปฏิบัติที่สนับสนุนการทํางานตาง ๆ อยางนอยปละ 1 ครั้ง โดยพิจารณาจากปจจัยนําเขา ดังนี้
    1.1 กลยุทธการดําเนินงานขององคกร
    1.2 ขอมูลกฎหมาย ระเบียบ ขอบังคับตาง ๆ ที่ตองปฏิบัติตาม
    1.3 การปรับปรุงนโยบายความมั่นคงปลอดภัยสําหรับปถัดไป
    1.4 ผลการประเมินความเสี่ยงและแผนลดความเสี่ยง
    1.5 ผลการแจงเตือนโดยระบบปองกันการบุกรุกในปที่ผานมา
    1.6 ผลของการตรวจสอบขอมูลการปดชองโหว (Patch) สําหรับระบบตาง ๆ ในปที่ผานมา 1.7 การจัดทําและตอสัญญาบํารุงรักษาระบบและอุปกรณตาง ๆ
    1.8 แผนการอบรมทางดานความมั่นคงปลอดภัยประจําปซึ่งรวมถึงการสรางความตระหนัก 1.9 ผลการทดสอบแผนกูคืนในปที่ผานมา
    1.10 ขอมูลภัยคุกคามตาง ๆ ที่เคยเกิดขึ้นในอดีตและปจจุบัน รวมทั้งภัยคุกคามที่ไดรับแจงจากหนวยงานภายนอก 1.11 ผลการตรวจสอบการปฏิบัติตามนโยบายความมั่นคงปลอดภัยโดยผูตรวจสอบภายในหรือโดยผูตรวจสอบ อิสระดานความมั่นคงปลอดภัยจากภายนอก
  20. จัดใหมีทรัพยากรดานบุคลากร งบประมาณ การบริหารจัดการ และวัตถุดิบที่เพียงพอตอการบริหารจัดการความ มั่นคงปลอดภัยสารสนเทศในแตละปงบประมาณ
  21. จัดใหมีบุคลากรดําเนินงานดานความมั่นคงปลอดภัยสารสนเทศและกําหนดหนาที่ความรับผิดชอบรวมทั้ง ปรับปรุงโครงสรางดังกลาวตามความจําเปน
  22. แสดงเจตนารมณหรือสื่อสารอยางสม่ําเสมอเพื่อใหผูใชงานทั้งหมดไดเห็นถึงความสําคัญของการปฏิบัติตาม นโยบายความมั่นคงปลอดภัยและนโยบายสนับสนุนตาง ๆ โดยเครงครัดและเปนผูรับผิดชอบตอความเสี่ยง ความเสียหาย หรืออันตรายที่เกิดขึ้นกับสารสนเทศขององคกร รวมถึงสรางความรวมมือระหวางหนวยงาน ที่เกี่ยวของกับความมั่นคงปลอดภัยสารสนเทศ
    4
    สวนที่ 2
    ความมั่นคงปลอดภัยที่เกี่ยวกับบุคลากร
    วัตถุประสงค
    ▪ เพื่อใหผูใชงานเขาใจถึงบทบาท หนาที่ความรับผิดชอบ ทั้งกอนการจางงาน ระหวางการจางงาน และสิ้นสุดหรือ เปลี่ยนแปลงการจางงาน ตลอดจนตระหนักถึงภัยคุกคามและปญหาที่เกี่ยวของกับความมั่นคงปลอดภัยของ ระบบเทคโนโลยีสารสนเทศเพื่อลดความเสี่ยงอันเกิดจากการขโมย การฉอโกง การใชงานระบบเทคโนโลยี สารสนเทศผิดวัตถุประสงคและความผิดพลาดในการปฏิบัติหนาที่ ซึ่งอาจสงผลกระทบหรือทําให รฟม.
    เกิดความเสียหาย
    ผูรับผิดชอบ
    ▪ ผูอํานวยการฝายเทคโนโลยีสารสนเทศ ผูอํานวยการฝายทรัพยากรบุคคล ผูอํานวยการฝาย/สํานัก/สํานักงาน ที่กํากับดูแลงานที่มีการวาจางหนวยงานภายนอก
    อางอิงมาตรฐาน: ISO/IEC 27001:2022
    ▪ มาตรการควบคุมดานองคกร (Organizational Controls)
    ▪ มาตรการควบคุมดานบุคลากร (People Controls)
    แนวปฏิบัติ
  23. การสรางความมั่นคงปลอดภัยกอนการจางงาน (Prior to Employment) เพื่อคัดสรรบุคลากรกอนที่จะเขามา ปฏิบัติงาน และเพื่อลดความเสี่ยงจากการปฏิบัติงานผิดพลาด การขโมย การปลอมแปลง และการนําระบบ สารสนเทศหรือทรัพยากรสารสนเทศของ รฟม. ไปใชในทางที่ไมเหมาะสม รวมทั้งเพื่อใหผูใชงานเขาใจในหนาที่ ความรับผิดชอบของตนเอง
    1.1 การตรวจสอบคุณสมบัติของผูสมัคร (Screening)
    ฝทบ. หรือฝาย/สํานัก/สํานักงาน ที่กํากับดูแลงานที่มีการวาจางหนวยงานภายนอก/บุคคลภายนอกตองตรวจสอบ คุณสมบัติของผูสมัคร (ทั้งกรณีการจางเปนพนักงาน ลูกจาง การวาจางหนวยงานภายนอก/บุคคลภายนอก เพื่อปฏิบัติงานให รฟม. รวมทั้งนิสิตนักศึกษาฝกงาน) โดยผูสมัครตองไมเคยกระทําผิดกฎหมาย ระเบียบ ขอบังคับ หรือจริยธรรม รวมทั้งไมมีประวัติในการบุกรุก แกไข ทําลาย หรือโจรกรรมขอมูลในระบบเทคโนโลยี สารสนเทศมากอน และมีคุณสมบัติตามที่ รฟม. กําหนด
    1.2 การกําหนดเงื่อนไขการจางงาน (Terms and Conditions of Employment) การวาจางใหมีเงื่อนไข การจางงานใหครอบคลุมในเรื่องดังตอไปนี้
    1.2.1 กําหนดหนาที่ความรับผิดชอบดานความมั่นคงปลอดภัยดานสารสนเทศอยางเปนลายลักษณอักษร (Information Security Roles and Responsibilities) แกผูใชงาน โดยกําหนดใหสอดคลองกับ นโยบายความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศของ รฟม.
    1.2.2 กําหนดใหมีการลงนามในสัญญาวาจะไมเปดเผยความลับของ รฟม. (Non-Disclosure Agreement: NDA)
    1.2.3 ระบบเทคโนโลยีสารสนเทศที่สรางหรือพัฒนาโดยผูใชงานในระหวางการวาจางถือเปนสินทรัพย ของ รฟม.
    1.2.4 กําหนดความรับผิดชอบหรือบทลงโทษ หากผูใชงานไมปฏิบัติตามนโยบายการรักษาความมั่นคงปลอดภัย ของระบบเทคโนโลยีสารสนเทศ รฟม. รวมทั้ง กฎหมาย ระเบียบ ขอบังคับ หรือขอกําหนดอื่น ๆ ที่เกี่ยวของกับการรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศ
    5
  24. การสรางความมั่นคงปลอดภัยในระหวางการจางงาน (During Employment) เพื่อสรางความตระหนักแกผูใชงาน เกี่ยวกับภัยที่เกี่ยวของกับการปฏิบัติงานสารสนเทศ รวมถึงใหความรูเพื่อใหสามารถปองกันภัยดังกลาวได 2.1 หนาที่ในการบริหารจัดการทางดานความมั่นคงปลอดภัย (Management Responsibilities) ผูบริหาร รฟม. ทุกระดับชั้นมีหนาที่สนับสนุนและสงเสริมเรื่องดังตอไปนี้แกผูใชงาน
    2.1.1 ประกาศนโยบายการรักษาความมั่นคงปลอดภัยดานสารสนเทศของ รฟม. เปนลายลักษณอักษรใหทุกคน รับทราบและปฏิบัติตาม
    2.1.2 จูงใจใหผูใชงานปฏิบัติตามนโยบายการรักษาความมั่นคงปลอดภัยดานสารสนเทศของ รฟม. 2.1.3 สรางความตระหนักถึงความมั่นคงปลอดภัยดานสารสนเทศที่เกี่ยวของกับหนาที่ความรับผิดชอบ ของตนเองและของ รฟม.
    2.2 การสรางความตระหนัก การใหความรู และการอบรมดานความมั่นคงปลอดภัยใหแกผูใชงาน (Information Security Awareness, Education and Training) การสรางความตระหนักในการรักษาความมั่นคงปลอดภัย อยางสม่ําเสมอ
    2.2.1 ผูดูแลระบบตองแจงเตือนภัยคุกคาม และชองโหวที่สงผลกระทบตอความมั่นคงปลอดภัยของระบบ เทคโนโลยีสารสนเทศแกผูใชงานที่เกี่ยวของ นอกจากนี้ตองแจงเตือนใหผูใชงานเพิ่มความระมัดระวัง ความเสี่ยงตาง ๆ เชน ไวรัสคอมพิวเตอร เทคนิคการหลอกลอทางจิตวิทยา (Social Engineering) และชองโหวทางเทคนิค เปนตน
    2.2.2 ฝทท. ตองดําเนินการฝกอบรม หรือประชาสัมพันธเพื่อสรางความตระหนักดานความมั่นคงปลอดภัย ของระบบเทคโนโลยีสารสนเทศแกผูใชงานเปนประจําทุกป
    2.2.3 ฝทท. ตองแจงผูใชงานใหทราบ เมื่อมีการเปลี่ยนแปลงนโยบายการรักษาความมั่นคงปลอดภัย สารสนเทศของ รฟม. รวมทั้งอธิบายผลกระทบจากการเปลี่ยนแปลงดังกลาว
    2.3 การแจงเหตุการณไมปกติ
    ผูใชงานตองแจงเหตุการณไมปกติดานเทคโนโลยีสารสนเทศที่พบผานชองทางที่ รฟม. กําหนดโดยเร็วที่สุด 2.4 การกําหนดบทลงโทษ
    2.4.1 ความรับผิดตามกฎหมาย
    นโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยดานสารสนเทศนี้ไมไดกอใหเกิดสิทธิ์ ทางกฎหมายที่ทําใหผูใชงานพนผิดแมจะไดปฏิบัติตามนโยบายและแนวปฏิบัติในการรักษาความมั่นคง ปลอดภัยสารสนเทศและผูใชงานตกลงยินยอมที่จะไมดําเนินการใด ๆ ทางกฎหมายตอ รฟม. ซึ่งได ปฏิบัติตามระเบียบนี้ แตอยางไรก็ตามหากผูใชงานกระทําการละเมิดหรือกระทําผิดตามนโยบาย และแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยสารสนเทศ อาจเปนความผิดทางวินัยและเปนเหตุ ใหถูกลงโทษทางวินัยได รฟม. ไมมีสวนรับผิดชอบตอการละเมิดทรัพยสินทางปญญาที่เกิดจาก การใชระบบคอมพิวเตอร
    2.4.2 การพิจารณาโทษผูกระทําผิด
    ผูใชงานที่กระทําความผิด ฝทท. จะเพิกถอนสิทธิ์การใชงานและอาจเปนความผิดทางวินัย หรือ ความผิดตามกฎหมายที่เกี่ยวของ
  1. พนักงาน/ลูกจางที่ฝาฝนหรือละเมิดนโยบายการรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยี สารสนเทศ รฟม. ตองถูกลงโทษตามกระบวนการทางวินัยของ รฟม. รวมถึงกฎหมายที่เกี่ยวของ 2) หนวยงานภายนอก/บุคคลภายนอกที่กระทําความผิด จะมีโทษตามที่ระบุไวในสัญญาหรือ ถูกเพิกถอนสิทธิ์การใชงาน รวมถึงดําเนินการตามกฎหมายที่เกี่ยวของ
    6
  1. การสิ้นสุดหรือการเปลี่ยนแปลงการจางงาน (Termination and Change of Employment) เพื่อกําหนดหนาที่ความรับผิดชอบเมื่อสิ้นสุดหรือเปลี่ยนแปลงการจางงาน ซึ่งรวมไปถึงการคืนทรัพยสินและ การถอดถอนสิทธิ์ในการเขาถึง
    3.1 การแจงการสิ้นสุดหรือเปลี่ยนแปลงการจางงาน
    3.1.1 ฝทบ. ตองแจงใหฝทท. ทราบทันทีหากพนักงานมีการลาออก โยกยาย เกษียณ หรือเสียชีวิตเพื่อ ฝทท. จะไดตรวจสอบและบริหารจัดการสิทธิ์ในการเขาถึงระบบเทคโนโลยีสารสนเทศ
    3.1.2 ฝาย/สํานัก/สํานักงาน ที่กํากับดูแลงานที่มีการวาจางหนวยงานภายนอก/บุคคลภายนอก ตองแจงให ฝทท. ทราบทันทีในกรณีที่ผูรับจางภายนอกสิ้นสุดสัญญาจางหรือมีการยกเลิกสัญญาจาง เพื่อให ฝทท. ตรวจสอบการใชงานระบบสารสนเทศและถอดถอนสิทธิ์ในการเขาถึงระบบสารสนเทศของ รฟม.
    3.2 การคืนสินทรัพยของ รฟม.
    ผูดูแลระบบตองตรวจสอบเพื่อเรียกคืนสินทรัพยของ รฟม. จากผูใชงาน เมื่อการสิ้นสุดหรือการเปลี่ยนแปลง การจางงาน
    3.3 การถอดถอนสิทธิ์ในการเขาถึง
    3.3.1 ผูดูแลระบบตองถอดถอนสิทธิ์ในการเขาถึงของผูใชงาน เมื่อสิ้นสุดหรือเปลี่ยนแปลงการจางงาน 3.3.2 การถอดถอนสิทธิ์ในการเขาถึงหมายรวมถึง ทางกายภาพ (Physical) และทางตรรกะ (Logical) เชน กุญแจ บัตรแสดงตน บัตรประจําตัวผูใชงาน และบัญชีผูใชงาน เปนตน
    3.3.3 ในกรณีที่ผูใชงานที่สิ้นสุดหรือเปลี่ยนแปลงการจางงาน มีการใชบัญชีผูใชงานรวมกัน (Shared User ID) กับผูใชงานอื่น ผูบังคับบัญชาตองเปลี่ยนรหัสผานทันทีหลังจากสิ้นสุดหรือเปลี่ยนแปลงการจางงาน
    7
    สวนที่ 3
    การรักษาความมั่นคงปลอดภัยทางดานกายภาพและสิ่งแวดลอม
    วัตถุประสงค
    ▪ เพื่อควบคุมและปองกันการรักษาความมั่นคงปลอดภัยที่เกี่ยวของกับการเขาถึงอาคารสถานที่ และพื้นที่จัดเก็บ ขอมูลคอมพิวเตอร (Data Storage Area)
    ผูรับผิดชอบ
    ▪ ผูดูแลระบบ
    ▪ ผูอํานวยการฝายจัดซื้อและบริการ
    อางอิงมาตรฐาน: ISO/IEC 27001:2022
    ▪ มาตรการควบคุมดานกายภาพ (Physical Controls)
    แนวปฏิบัติ
  2. ผูดูแลระบบ ตองออกแบบ และติดตั้งอุปกรณหรือระบบสนับสนุน (Facilities) เพื่อปองกันความมั่นคงปลอดภัย ดานกายภาพ เชน อุปกรณดับเพลิง ระบบสํารองไฟฟา เครื่องกําเนิดไฟฟา ระบบปรับอากาศและควบคุมความชื้น ระบบเตือนภัยน้ํารั่ว และตองมีการบํารุงรักษาอยางสม่ําเสมอ
  3. ผูดูแลระบบตองติดตั้งอุปกรณสารสนเทศในตูแร็ก (Rack) หรือสถานที่ที่มีความมั่นคงปลอดภัยและมีการปดล็อค 3. ผูดูแลระบบ ตองมีการปองกันสายเคเบิลที่ใชเพื่อการสื่อสารหรือสายไฟ มิใหมีการดักรับสัญญาณ (Interception) หรือมีความเสียหายเกิดขึ้น โดยจะตองเดินสายเคเบิลผานทอรอยสายหรือทางเดินสายที่มั่นคงปลอดภัยจากการเขาถึง และไมเดินสายผานพื้นที่ที่เขาถึงไดอยางสาธารณะ รวมทั้งสายเคเบิลสื่อสารและสายไฟฟาตองแยกจากกันโดยมี ระยะหางที่เหมาะสม
  4. การกําหนดบริเวณที่มีการรักษาความมั่นคงปลอดภัย
    กําหนดพื้นที่ของระบบเทคโนโลยีสารสนเทศตาง ๆ อยางเหมาะสม เพื่อเปนการเฝาระวัง ควบคุม การรักษาความมั่นคง ปลอดภัยจากผูที่ไมไดรับอนุญาต รวมทั้งปองกันความเสียหายอื่น ๆ ที่อาจเกิดขึ้นไดโดยแบงแยกบริเวณพื้นที่ใชงาน ระบบเทคโนโลยีสารสนเทศออกเปน
    4.1 พื้นที่ทํางาน (Working area) หมายถึง พื้นที่ติดตั้งเครื่องคอมพิวเตอรสวนบุคคลและคอมพิวเตอรพกพา ที่ประจําโตะทํางาน
    4.2 พื้นที่จัดเก็บขอมูลคอมพิวเตอร (Data storage area) หมายถึง พื้นที่ศูนยของขอมูล (Data center) 5. การควบคุมการเขาออก อาคาร สถานที่
    5.1 กําหนดสิทธิ์ของผูใชงานและหนวยงานภายนอกในการเขาถึงสถานที่ โดยแบงแยกได ดังนี้ 5.1.1 ผูดูแลระบบตองกําหนดสิทธิ์แกผูใชงานที่มีสิทธิ์เขา - ออก และกําหนดชวงระยะเวลาที่มีสิทธิ์ ในการเขา - ออกแตละพื้นที่ใชงานระบบเทคโนโลยีสารสนเทศอยางชัดเจน
    5.1.2 เจาหนาที่รักษาความปลอดภัย (รปภ.) จะตองใหหนวยงานภายนอก/บุคคลภายนอกแลกบัตรที่สามารถ ระบุตัวตนของบุคคลนั้น ๆ กอนเขาถึงอาคารของ รฟม. เชน บัตรประจําตัวประชาชน ใบอนุญาตขับขี่ เปนตน แลวบันทึกขอมูลบัตรในสมุดบันทึกหรือระบบงานสารสนเทศ
    5.1.3 หนวยงานภายนอก/บุคคลภายนอกที่มาติดตอตองติดบัตรผูติดตอ (Visitor) ตรงจุดที่สามารถเห็นได ชัดเจนตลอดเวลาที่อยูใน รฟม.และคืนบัตรผูติดตอ (Visitor) กอนออกจากอาคารของ รฟม.
    5.1.4 เจาหนาที่รักษาความปลอดภัย (รปภ.) ตองตรวจสอบผูติดตอ อุปกรณ พรอมลงเวลาออกที่สมุด บันทึกหรือระบบสารสนเทศใหถูกตอง
    5.2 ผูดูแลระบบ ตองควบคุมการเขา –ออกพื้นที่จัดเก็บขอมูลคอมพิวเตอร (Data Storage Area) ไมใหผูไมมีสิทธิ์ เขาถึงได โดยกําหนดพื้นที่การสงมอบสินคาและพื้นที่การเตรียมหรือประกอบอุปกรณสารสนเทศ (Unpack Area) กอนนําเขาพื้นที่จัดเก็บขอมูลคอมพิวเตอร (Data storage area) และตองควบคุม การ เขา - ออก เพื่อหลีกเลี่ยงการเขาถึงระบบสารสนเทศและขอมูลสารสนเทศโดยไมไดรับอนุญาต โดยปฏิบัติตามขั้นตอนที่ รฟม. กําหนด
    8
    สวนที่ 4
    การจัดการทรัพยสิน
    วัตถุประสงค
    ▪ เพื่อบริหารจัดการทรัพยสินสารสนเทศ ตั้งแตการจัดหา การใชงาน จนถึงการยกเลิกใชงาน โดยมีการระบุ ทรัพยสินขององคกรและกําหนดหนาที่ความรับผิดชอบในการปกปองทรัพยสินสารสนเทศอยางเหมาะสม ผูรับผิดชอบ
    ▪ ผูบังคับบัญชา
    ▪ ผูดูแลระบบ
    ▪ เจาของขอมูล
    ▪ ผูใชงาน
    อางอิงมาตรฐาน: ISO/IEC 27001:2022
    ▪ มาตรการควบคุมดานองคกร (Organizational Controls)
    ▪ มาตรการควบคุมดานกายภาพ (Physical Controls)
    ▪ มาตรการควบคุมดานเทคโนโลยี (Technological Controls)
    แนวปฏิบัติ
  5. หนาที่ความรับผิดชอบตอทรัพยสินสารสนเทศ (Responsibility for Assets)
    1.1 เจาของขอมูลและผูดูแลระบบ ตองรวมกันจัดทําบัญชีทรัพยสิน/ทะเบียนทรัพยสิน (Asset Inventory) และทบทวนทะเบียนทรัพยสินอยางนอยปละ 1 ครั้ง หรือเมื่อมีการเปลี่ยนแปลงที่มีนัยสําคัญ 1.2 เจาของขอมูลและผูดูแลระบบ ตองระบุเจาของทรัพยสินสารสนเทศทุกรายการ เพื่อรับผิดชอบดูแล ความมั่นคงปลอดภัยสารสนเทศตลอดวงจรอายุการใชงาน
    1.3 เจาของขอมูลและผูดูแลระบบ ตองเรียกคืนทรัพยสินสารสนเทศเมื่อสิ้นสุดหรือเปลี่ยนแปลงการจางงาน 1.4 ผูใชงานตองใชทรัพยสินสารสนเทศของ รฟม. อยางระมัดระวัง และใชเพื่อปฏิบัติงานของ รฟม. เทานั้น รวมทั้งตองปฏิบัติตามกฎหมาย ระเบียบ ขอบังคับ และนโยบาย ของ รฟม.
  6. การจําแนกประเภทของทรัพยสินสารสนเทศ (Asset Classification)
    2.1 เจาของขอมูลและผูดูแลระบบ ตองจําแนกประเภททรัพยสินตามขั้นตอนที่ รฟม. กําหนด และทบทวน การจําแนกดังกลาวอยางสม่ําเสมอ
    2.2 เจาของขอมูลและผูดูแลระบบ ตองจัดทําปายชื่อทรัพยสินสารสนเทศ (Labeling) ใหชัดเจน พรอมทั้งจัดใหมี มาตรการดูแลการรักษาความมั่นคงปลอดภัยสารสนเทศที่สอดคลองกับประเภททรัพยสินตามระดับชั้นความลับ ที่ รฟม. กําหนด
  7. การจัดการสื่อบันทึกขอมูล (Media Handling)
    3.1 เจาของขอมูล ผูดูแลระบบ และผูใชงานตองควบคุมการใชงานและจัดเก็บสื่อบันทึกแบบถอดหรือตอพวง กับเครื่องคอมพิวเตอรได (Removable Media) ตามที่ รฟม. กําหนด
    3.2 เจาของขอมูลตองมีการเขารหัสขอมูลที่ออนไหว (Sensitive Data) ของ รฟม. ที่จัดเก็บอยูในสื่อบันทึก แบบถอดได
    3.3 เจาของขอมูล ผูดูแลระบบ และผูใชงานตองทําลายขอมูลสําคัญในอุปกรณสื่อบันทึกขอมูล แฟมขอมูล ตามขั้นตอนที่ รฟม. กําหนด โดยไมสามารถกูคืนขอมูลกลับมาไดอีกกอนจะกําจัดอุปกรณดังกลาวหรือ กอนที่จะอนุญาตใหผูอื่นนําอุปกรณนั้นไปใชงานตอเพื่อปองกันไมใหมีการเขาถึงขอมูลที่สําคัญได โดยพิจารณาวิธีการทําลายขอมูลบนสื่อบันทึกขอมูลแตละประเภท ดังนี้
    9
    ประเภทสื่อบันทึกขอมูล
    วิธีทําลาย
    กระดาษ
    ใหหั่นดวยเครื่องทําลายเอกสาร
    Flash Drive
    1. ทําลายขอมูลบน Flash Drive ตามมาตรฐาน DOD5220.22M ของกระทรวงกลาโหมสหรัฐอเมริกา ซึ่งเปนการเขียนทับขอมูลเดิมหลายรอบ
  1. ใชวิธีทุบหรือบดใหเสียหาย
    แผน CD/DVD
    ใหหั่นดวยเครื่องทําลายเอกสาร
    เทป
    ใชวิธีทุบหรือบดใหเสียหายหรือเผาทําลาย
    ฮารดดิสก
    1. ทําลายขอมูลบนฮารดดิสกตามมาตรฐาน
      DOD5220.22M ของกระทรวงกลาโหมสหรัฐอเมริกา ซึ่งเปนการเขียนทับขอมูลเดิมหลายรอบ
  2. ใชวิธีทุบหรือบดใหเสียหาย

3.4 เจาของขอมูล ผูดูแลระบบ และผูใชงาน ตองมีการปองกันสื่อบันทึกขอมูลที่ใชจัดเก็บขอมูลสารสนเทศ ในกรณี ที่มีการเคลื่อนยายเพื่อปองกันการเขาถึงขอมูลสารสนเทศโดยไมไดรับอนุญาต ถูกนําไปใชงานผิดวัตถุประสงค รวมถึงปองกันสื่อบันทึกขอมูลไมใหไดรับความเสียหาย โดยรักษาความปลอดภัยสารสนเทศตามขั้นตอนที่ รฟม. กําหนด
4. การบริหารจัดการคาคอนฟกูเรชัน (Configuration Management)
4.1 ผูบังคับบัญชาตองกําหนดใหมีแนวทางการบริหารจัดการคาคอนฟกูเรชัน (Configuration Management) 4.2 ผูดูแลระบบตองกําหนดคา Minimum Baseline Standard เพื่อเปนมาตรฐานในการการตั้งคาของ ระบบปฏิบัติการ ระบบฐานขอมูล ระบบงาน และอุปกรณเครือขายสื่อสารตาง ๆอยางเปนลายลักษณอักษร และตองการทบทวนปรับปรุงใหเปนปจจุบันอยางนอยปละ 1 ครั้ง
4.3 ผูดูแลระบบตองควบคุมการเปลี่ยนแปลงการตั้งคาของระบบปฏิบัติการ ระบบฐานขอมูล ระบบงาน และ อุปกรณเครือขายสื่อสารตาง ๆ ตามขั้นตอนปฏิบัติการควบคุมการเปลี่ยนแปลงหรือแกไขระบบที่ รฟม. กําหนด
4.4 ผูดูแลระบบตองควบคุมเวอรชันของคาคอนฟกูเรชัน (System Configuration Version Control) 4.5 ผูดูแลระบบตองมีการสอบทานคาคอนฟกูเรชันของระบบปฏิบัติการ ระบบฐานขอมูล ระบบงาน และ อุปกรณเครือขายสื่อสารตาง ๆ อยางนอยปละ 1 ครั้ง
10
สวนที่ 5
การจัดหา การพัฒนา และการบํารุงรักษาระบบสารสนเทศ
วัตถุประสงค
▪ เพื่อควบคุมการจัดหา พัฒนา และบํารุงรักษาระบบสารสนเทศ ใหมีการกําหนดมาตรการการรักษาความมั่นคง ปลอดภัย เพื่อปองกันความผิดพลาด สูญหาย และการเปลี่ยนแปลงแกไขระบบ
ผูรับผิดชอบ
▪ ผูบังคับบัญชา
▪ ผูดูแลระบบ
อางอิงมาตรฐาน: ISO/IEC 27001:2022
▪ มาตรการควบคุมดานองคกร (Organizational Controls)
▪ มาตรการควบคุมดานเทคโนโลยี (Technological Controls)
แนวปฏิบัติ

  1. ผูบังคับบัญชา ตองควบคุมใหมีการกําหนดขอตกลงและความรับผิดชอบที่เกี่ยวของกับความเสี่ยงดานความมั่นคง ปลอดภัยสารสนเทศลงในสัญญากับผูใหบริการภายนอก โดยใหครอบคลุมรวมถึงผูรับจางชวงดวย 2. ผูบังคับบัญชาตองควบคุมใหมีขอตกลง (Sign Off) กอนเริ่มใชงานระบบจริง (Production) หรือกอนเริ่ม Go Live 3. ผูดูแลระบบ ตองจัดทําขอกําหนดโดยระบุถึงการควบคุมความมั่นคงปลอดภัยดานสารสนเทศที่สอดคลองกับ นโยบายและแนวปฏิบัติดานความมั่นคงปลอดภัยสารสนเทศขององคกร เชน วิธีการแบบปลอดภัยในการพัฒนา โปรแกรมตามมาตรฐาน OWASP (Open Web Application Security Project) Top 10 หรือมาตรฐาน CWE (Common Weakness Enumeration) Top 25 หรือมาตรฐานที่ยอมรับในสากล
  2. ผูดูแลระบบตองออกแบบโครงสรางการจัดวางระบบงานและเสนอผูบังคับบัญชาเห็นชอบกอนเริ่ม Go Live 5. ผูดูแลระบบ ตองมีการออกแบบระบบเพื่อตรวจสอบขอมูลที่จะรับเขาสูแอปพลิเคชัน ขอมูลที่เกิดจากการ ประมวลผล และขอมูลที่อยูระหวางการประมวลผล เพื่อตรวจหาและปองกันความไมถูกตองที่เกิดขึ้นกับขอมูล เชน หนวยความจําลน (Buffer Overflows) การใชตัวแปรผิดประเภท และตองมีมาตรการปองกันหรือควบคุม ความลมเหลวระหวางการประมวลผล (Rollback)
  3. ผูดูแลระบบตองมีการควบคุมการเขาถึงและควบคุมการเปลี่ยนแปลงหรือแกไขระบบตามขั้นตอนที่ รฟม. กําหนด เพื่อควบคุมผลกระทบที่เกิดขึ้น
  4. ผูดูแลระบบตองจํากัดใหมีการเปลี่ยนแปลงใด ๆ ตอซอฟตแวรที่ใชงาน (Software Package) โดยเปลี่ยนแปลง เฉพาะที่จําเปนเทานั้น และควบคุมทุก ๆ การเปลี่ยนแปลงอยางเขมงวดตามขั้นตอนที่ รฟม. กําหนด 8. ผูดูแลระบบตองจํากัดการเขาถึง Source Code ใหเขาถึงไดเฉพาะผูที่มีสิทธิ์เทานั้น
  5. ผูดูแลระบบตองจัดทํา Source Code Review เพื่อหาขอผิดพลาดหรือสิ่งผิดปกติและปรับปรุง Source Code ใหมีคุณภาพ
  6. ผูดูแลระบบตองควบคุมการจัดสง Source Code ผานชองทางที่มั่นคงปลอดภัยและเปนชองทางที่ รฟม. กําหนดใหใชงานเทานั้น
  7. ผูดูแลระบบตองปดบังขอมูลสวนบุคคล (Data Masking) ที่จัดเก็บอยูในระบบงานสารสนเทศดวยวิธีการที่ เหมาะสม
  8. ผูดูแลระบบตองแสดงขอมูลของผูใชงานอยางรัดกุม เชน การปดบังขอมูลสําคัญของผูใชงาน (Sensitive Data Masking) เปนตน
    11
  9. กรณีของแอปพลิเคชันที่ใชงานผานอุปกรณเคลื่อนที่ (Mobile device) ใหผูดูแลระบบดําเนินการ ดังนี้ 13.1 ปดบังหนาจอเมื่อยอแอปพลิเคชัน (Application Blurring) เพื่อลดความเสี่ยงที่ขอมูลสําคัญของผูใชงาน จะรั่วไหล
    13.2 ขอสิทธิ์เขาถึงทรัพยากรหรือบริการโดยแอปพลิเคชัน (Application Permission) บนอุปกรณเคลื่อนที่ ของผูใชงานเทาที่จําเปน และมีกระบวนการทบทวนการขอสิทธิ์เปนประจําเพื่อปองกันการละเมิดสิทธิ์ ความเปนสวนตัวของผูใชงาน
  10. ผูดูแลระบบตองควบคุมขอมูลที่นํามาใชในการทดสอบระบบ (Test Data) อยางเหมาะสม โดยไมนําขอมูลจริง มาทดสอบ กรณีจําเปนตองใชขอมูลจริงตองไดรับอนุญาตขอมูลจากเจาของกอนนํามาใชงาน และทําลายขอมูล อยางเหมาะสมตามขั้นตอนที่ รฟม. กําหนด
  11. ผูดูแลระบบตองแยกระบบสารสนเทศสําหรับการพัฒนา ทดสอบ และใชงานจริงออกจากกันเพื่อลดความเสี่ยง ที่เกิดจากการเปลี่ยนแปลงระบบสารสนเทศโดยไมไดรับอนุญาต และตองมีการกําหนดสิทธิ์การเขาถึงระบบ สารสนเทศที่พัฒนา ทดสอบ หรือใชงานจริง ทั้งระบบสารสนเทศใหม และการปรับปรุงแกไขระบบสารสนเทศเดิม
  12. ผูดูแลระบบตองมีการกําหนดขั้นตอนการทดสอบระบบสารสนเทศกอนนําไปใชงานจริง ทั้งในกรณีปรับปรุงระบบ สารสนเทศเดิมและการพัฒนาระบบสารสนเทศใหม
  13. ผูดูแลระบบตองติดตั้งซอฟตแวรบนระบบสารสนเทศที่ใหบริการ (Production) ตามขั้นตอนที่ รฟม. กําหนด และจํากัดสิทธิ์การติดตั้งซอฟตแวรเพื่อใหระบบสารสนเทศตาง ๆ มีความถูกตองครบถวนและนาเชื่อถือ 18. ผูดูแลระบบตองนําซอฟตแวรที่ไมละเมิดลิขสิทธิ์มาติดตั้งบนระบบสารสนเทศที่ใหบริการ (Production) 19. ผูดูแลระบบตองกํากับดูแลใหผูรับจางปฏิบัติตามสัญญาหรือขอตกลงการใหบริการที่ระบุไว โดยครอบคลุมถึง ดานความมั่นคงปลอดภัยสารสนเทศ และการปฏิบัติตามขั้นตอนที่เกี่ยวของตาง ๆ ที่ รฟม. กําหนดไว 20. ผูดูแลระบบ ตองติดตาม ตรวจสอบรายงาน หรือบันทึกการใหบริการของบุคคล/หนวยงานภายนอกที่ใหบริการแก หนวยงานตามสัญญาวาจางอยางสม่ําเสมอ
  14. ผูดูแลระบบ ตองดูแลใหทรัพยสินสารสนเทศไดรับการบํารุงรักษาและซอมแซมตามความตองการ รวมทั้งตอง มีการบันทึกประวัติการทํางานผิดปกติ การบํารุงรักษา และการซอมแซมอุปกรณนั้น ๆ อยางสม่ําเสมอ 22. ผูดูแลระบบจะตองปดชองโหวของระบบสารสนเทศที่มีระดับความรุนแรงในระดับวิกฤติ (Critical) และระดับสูง (High) ทั้งหมดกอนนําไปใชงานจริง (Production) หรือกอนเริ่ม Go Live โดยเฉพาะระบบที่ใหบริการผานเครือขาย อินเทอรเน็ต (Internet Facing) และระบบที่มีความสําคัญตอการดําเนินงานของ รฟม.
  15. ผูดูแลระบบตองพิจารณาเลือกใช Version ของ Software ดังนี้
    23.1 กรณีนํา Softwareเดิมมาใชในการจัดหาหรือพัฒนาระบบ จะตองนําผลการตรวจสอบชองโหวและผลการทดสอบ เจาะระบบมาประกอบการพิจารณาคัดเลือกเวอรชันของ Software ดวย เพื่อปองกันไมใหเกิดชองโหวเดิม รวมถึงเพื่อลดภาระงานในการปดชองโหวเดิมซ้ํา
    23.2 กรณีเปน Software ที่ไมเคยนํามาใชงานใหเลือกใชSoftware เวอรชันลาสุด
    12
    สวนที่ 6
    การควบคุมการเขาถึงระบบเทคโนโลยีสารสนเทศ
    วัตถุประสงค
    ▪ เพื่อควบคุมการเขาถึงระบบเทคโนโลยีสารสนเทศตั้งแตการกําหนดสิทธิ์ กําหนดประเภทของขอมูล จัดลําดับ ความสําคัญหรือลําดับชั้นความลับของขอมูล ระดับชั้นการเขาถึง เวลาที่เขาถึงได และชองทางการเขาถึง ทั้งนี้ เพื่อควบคุมและปองกันการเขาถึง การลวงรู และการแกไขระบบสารสนเทศของ รฟม. โดยไมไดรับอนุญาต ผูรับผิดชอบ
    ▪ ผูดูแลระบบ
    ▪ เจาของขอมูล
    ▪ ผูใชงาน
    อางอิงมาตรฐาน: ISO/IEC 27001:2022
    ▪ มาตรการควบคุมดานองคกร (Organizational Controls)
    ▪ มาตรการควบคุมดานเทคโนโลยี (Technological Controls)
    แนวปฏิบัติ
  16. การควบคุมการเขาถึงระบบสารสนเทศ (Access Control)
    1.1 เจาของขอมูลและผูดูแลระบบ ตองรวมกันกําหนดสิทธิ์ในการเขาถึงระบบสารสนเทศ (Authorization Matrix) ที่เหมาะสมและสอดคลองกับหนาที่ความรับผิดชอบของผูใชงาน และทบทวนเมื่อมีการเปลี่ยนแปลง 1.2 เจาของขอมูลและผูดูแลระบบ ตองรวมกันกําหนดระดับการอนุมัติ (Authorization Level) การเขาถึงระบบ เทคโนโลยีสารสนเทศ
    1.3 เจาของขอมูลและผูดูแลระบบ ตองจัดใหมีการแบงแยกหนาที่ความรับผิดชอบ (Segregation of duties) ในการเขาถึงระบบเทคโนโลยีสารสนเทศอยางเหมาะสม เชน มีการแบงแยกหนาที่ระหวางการแจงความประสงค การเขาถึงและการอนุมัติการเขาถึง เปนตน
    1.4 กรณีของแอปพลิเคชันที่ใชงานผานอุปกรณเคลื่อนที่ (Mobile device) ผูดูแลระบบตองปฏิบัติ ดังนี้ 1.4.1 ไมอนุญาตใหอุปกรณเคลื่อนที่ที่ใชระบบปฏิบัติการลาสมัย (Obsolete Operating System) เขาใชงาน แอปพลิเคชัน หรือหากอนุญาตใหใชบริการไดควรมีมาตรการรองรับเพื่อลดความเสี่ยงที่ รฟม. จะไดรับ รวมถึงลดผลกระทบตอผูใชงานตามความเหมาะสม เชน การเพิ่มมาตรการยืนยันตัวตน เปนตน 1.4.2 ไมอนุญาตใหอุปกรณที่มีการปรับแตงการเขาถึงระบบปฏิบัติการ (Rooted/Jailbroken) เขาใชงาน แอปพลิเคชัน เพื่อลดความเสี่ยงที่ผูไมประสงคดีสามารถเขาถึงขอมูลสําคัญของผูใชงานและละเมิด หรือหลีกเลี่ยงมาตรการการรักษาความมั่นคงปลอดภัยที่ รฟม. กําหนดไว
    1.4.3 ไมอนุญาตใหผูใชงานใชแอปพลิเคชันเวอรชันต่ํากวาที่ รฟม. กําหนด เพื่อใหแอปพลิเคชันมีการ รักษาความมั่นคงปลอดภัยเปนไปตามมาตรฐานของ รฟม.
    1.5 ขั้นตอนปฏิบัติเพื่อการจัดเก็บขอมูล
    เจาของขอมูล ผูดูแลระบบ และผูใชงาน ตองปฏิบัติดังนี้
    1.5.1 แบงประเภทขอมูล ดังนี้
  1. ขอมูลและสารสนเทศสําหรับสนับสนุนการตัดสินใจของผูบริหาร ไดแก ขอมูลสารสนเทศที่มี ความสําคัญหรือมีความจําเปนเรงดวนที่ตองติดตามอยางใกลชิดเพื่อประกอบการตัดสินใจ
    เชิงนโยบาย กําหนดนโยบาย และการวางแผนของผูบริหารระดับสูง
    13
  2. ขอมูลและสารสนเทศสนับสนุนเชิงยุทธศาสตร (Strategy Data) ไดแก ขอมูลและสารสนเทศ เชิงวิชาการเพื่อสนับสนุนการดําเนินงานตามพันธกิจและยุทธศาสตรของ รฟม. ใหบรรลุเปาหมาย รวมทั้งขอมูลที่เผยแพรแกผูรับบริการภายนอก
  3. ขอมูลและสารสนเทศที่สนับสนุนการปฏิบัติงานประจํา (Operation Data) ไดแก ขอมูลที่ สนับสนุนการทํางานทั่วไปของ รฟม.
    1.5.2 จัดแบงระดับความสําคัญของขอมูล ออกเปน 3 ระดับ คือ
  4. ขอมูลที่มีระดับความสําคัญมาก หมายถึง ขอมูลที่ใชสําหรับสนับสนุนการตัดสินใจของผูบริหาร 2) ขอมูลที่มีระดับความสําคัญปานกลาง หมายถึง ขอมูลที่ใชปฏิบัติงานเฉพาะกลุมงาน แผนก กอง หรือฝาย/สํานัก/สํานักงาน ภายในองคกร
  5. ขอมูลที่มีระดับความสําคัญนอย หมายถึง ขอมูลที่พนักงาน/ลูกจางภายใน รฟม. สามารถ เขาถึงรวมกันไดหรือสามารถเผยแพรได
    1.5.3 จัดแบงลําดับชั้นความลับของขอมูลตามที่ รฟม. กําหนด
    1.5.4 จัดแบงระดับชั้นการเขาถึง
  6. ระดับชั้นสําหรับผูบริหาร เขาถึงไดตามอํานาจหนาที่และภารกิจที่ไดรับมอบหมาย
  7. ระดับชั้นสําหรับผูปฏิบัติงานทั่วไป เขาถึงขอมูลที่ไดรับมอบหมายตามอํานาจหนาที่
  8. ระดับชั้นสําหรับผูดูแลระบบหรือผูที่ไดมอบหมาย มีสิทธิ์ในการบริหารจัดการระบบและเขาถึง ขอมูลที่ไดรับมอบหมายตามอํานาจหนาที่
    1.6 เจาของขอมูลและผูดูแลระบบตองกําหนดเวลาการเขาถึงระบบสารสนเทศ
    1.7 ผูดูแลระบบตองจํากัดชองทางการเขาถึงระบบเทคโนโลยีสารสนเทศตามชองทาง ดังนี้ 1) เครือขายภายในของ รฟม.
  9. เครือขายภายนอก รฟม.
  10. เครือขายอื่นที่จัดไวให เชน ระบบเครือขายสื่อสารขอมูล GIN
    1.8 ผูดูแลระบบตองกํากับดูแล Default Permission ของไฟล (File) และ โฟลเดอร (Folder) ที่สรางขึ้นใหมี การจํากัดสิทธิ์ในการเขาถึง
    1.9 เจาของขอมูลและผูดูแลระบบ ตองพิจารณาขอกําหนดตาง ๆ ที่มีผลทางกฎหมายซึ่งเกี่ยวของกับการรักษา ความมั่นคงปลอดภัยสารสนเทศของ รฟม. เชน พระราชบัญญัติ ขอกําหนดทางกฎหมาย ขอกําหนดในสัญญา และขอกําหนดทางดานความมั่นคงปลอดภัยอื่น ๆ เปนตน เพื่อกําหนดสิทธิ์การเขาถึงสารสนเทศและระบบ เทคโนโลยีสารสนเทศของ รฟม.
    1.10 เจาของขอมูลและผูดูแลระบบ ตองมีการสอบทานสิทธิ์ในการเขาถึงระบบเทคโนโลยีสารสนเทศอยางสม่ําเสมอ พรอมทั้งเพิกถอนสิทธิ์เมื่อพบเห็นสิทธิ์ที่ไมถูกตองตามสิทธิ์ในการเขาถึง (Authorization Matrix) 2. การบริหารจัดการการเขาถึงของผูใชงาน (User Access Management)
    ใหมีการควบคุมการลงทะเบียนผูใชงาน การบริหารจัดการรหัสผาน การบริหารจัดการสิทธิ์การใชงานระบบเทคโนโลยี สารสนเทศ และการทบทวนสิทธิ์การเขาถึงของผูใชงาน
    2.1 การลงทะเบียนผูใชงาน (User Registration)
    2.1.1 ผูดูแลระบบตองบริหารจัดการและควบคุมบัญชีชื่อผูใชงาน (Username) มิใหมีการใชงานบัญชี ชื่อผูใชงานซ้ํากัน ทั้งนี้ ในสวนของพนักงาน/ลูกจาง รฟม. ใหกําหนดชื่อผูใชงาน (Username) ตามมาตรฐานจดหมายอิเล็กทรอนิกส (Email) ที่ใชในองคกร
    2.1.2 เจาของขอมูลตองเปนผูอนุมัติการสรางบัญชีผูใชงานชั่วคราว (Temporary User) และตองจํากัด ชวงเวลาการใชงานเทาที่จําเปน
    14
    2.2 การบริหารจัดการรหัสผาน (User Password Management)
    2.2.1 ผูดูแลระบบตองกําหนดรหัสผานแบบชั่วคราวโดยใชวิธีการสุม และบังคับใหมีการเปลี่ยนรหัสผาน เมื่อผูใชงานเขาใชงานระบบในครั้งแรก
    2.2.2 ผูดูแลระบบตองกําหนดความยาวของรหัสผาน ดังนี้
  11. ผูดูแลระบบมีความยาวอยางนอย 16 หลัก
  12. ผูใชงานมีความยาวอยางนอย 12 หลัก
    2.2.3 ผูดูแลระบบตองกําหนดใหมีการยืนยันตัวตนแบบหลายปจจัย (Multi-Factor Authentication) ตามความเหมาะสม
    2.2.4 ผูดูแลระบบตองกําหนดใหรหัสผานมีความซับซอน โดยประกอบดวย ตัวอักษร ตัวเลข และอักขระ พิเศษ เชน (a-Z) (0-9) (@ , # , & , “ , ‘ , *, =, < , > , % , $ , + , ?) เปนตน
    2.2.5 ผูดูแลระบบตองกําหนดใหมีการเปลี่ยนแปลงรหัสผาน ดังนี้
  13. ผูดูแลระบบตองเปลี่ยนรหัสผานทุก ๆ 3 เดือน และไมซ้ํากับรหัสผานเดิม 3 ครั้งกอนหนา 2) ผูใชงานตองเปลี่ยนรหัสผานทุก ๆ 6 เดือน และไมซ้ํากับรหัสผานเดิม 3 ครั้งกอนหนา 3) ผูใชงานเชิงระบบ (System account) ใหพิจารณาเปลี่ยนรหัสผานตามความเหมาะสม 2.2.6 ผูดูแลระบบตองกําหนดใหมีการเขารหัสขอมูลรหัสผานในระบบ
    2.2.7 ผูดูแลระบบตองจัดใหมีการควบคุมรหัสผานอยางเขมงวด
    2.2.8 ผูดูแลระบบตองจัดสงบัญชีชื่อผูใชงาน (Username) และรหัสผาน (Password) ดวยวิธีการที่ปลอดภัย 2.2.9 ผูดูแลระบบตองควบคุมดูแลระบบปฏิบัติการ ระบบฐานขอมูล และระบบงานสารสนเทศ (Application) ที่จัดเก็บบัญชีผูใชงานและรหัสผานอยางเขมงวด โดยใหเขาถึงไดเฉพาะผูดูแลระบบที่ไดรับอนุญาต เทานั้น
    2.2.10 ผูดูแลระบบตองกําหนดวิธีการหรือกระบวนการยืนยันตัวตนที่ปลอดภัย เชน กรณีที่ลืมรหัสผาน 2.2.11 ผูดูแลระบบตองกําหนดใหผูใชบริการ ใชรหัสผานอยางมั่นคงปลอดภัย ดังนี้
    กรณีแอปพลิเคชันทั่วไป
  14. กําหนดความยาวรหัสผานอยางนอย 12 หลัก ซึ่งประกอบดวย ตัวอักษร ตัวเลข และ อักขระพิเศษ เชน (a-Z) (0-9) (@ , # , & , “ , ‘ , *, =, < , > , % , $ , + , ?) เปนตน
  15. รหัสผานตองไมเปนคําที่คาดเดาไดงาย เชน คําที่อยูในพจนานุกรม ชื่อ-นามสกุล วันเดือนปเกิด ที่อยู หรือเบอรโทรศัพท เปนตน
  16. ไมบังคับใหเปลี่ยนรหัสผาน ทั้งนี้ขึ้นอยูกับความสมัครใจในการเปลี่ยนรหัสผาน และระบบ ตองรองรับการเปลี่ยนรหัสผานในกรณีตาง ๆ ดวยวิธีการที่ปลอดภัย
    กรณีแอปพลิเคชันที่ใชงานผานอุปกรณเคลื่อนที่ (Mobile device)
  17. กําหนดรหัสผานโดยใช PIN code หรือรหัสผานที่ซับซอน (PIN/Password Complexity) โดยกรณี PIN Code ตองใชรหัสผาน 6 หลักขึ้นไป
  18. ไมบังคับใหเปลี่ยนรหัสผาน ทั้งนี้ขึ้นอยูกับความสมัครใจในการเปลี่ยนรหัสผาน และ ระบบตองรองรับการเปลี่ยนรหัสผานในกรณีตาง ๆ ดวยวิธีการที่ปลอดภัย
    2.2.12 ผูดูแลระบบและผูใชงานตองใชรหัสผานอยางปลอดภัย ดังนี้
  19. ตองกําหนดรหัสผานที่ไมสามารถคาดเดาไดงาย เชน คําที่อยูในพจนานุกรม “qwerty” “abcde” “12345” ชื่อ-นามสกุล วันเดือนปเกิด ที่อยู หรือเบอรโทรศัพท เปนตน
  20. ตองไมใชงานรหัสผานโดยการเขาใชงานโดยอัตโนมัติ ไดแก การกําหนดคา “Remember Password” เปนตน
    15
  21. ตองเก็บรหัสผานไวเปนความลับเฉพาะบุคคล ไมเปดเผยใหผูอื่นรับทราบ และไมพิมพ รหัสผานในลักษณะเปดเผย เชน พิมพรหัสผานตอหนาผูใชงานคนอื่น เปนตน
  22. ตองไมใชบัญชีชื่อผูใชงานและรหัสผานรวมกันกับผูอื่น แมวาบัญชีชื่อผูใชงานจะไดรับการ อนุญาตจากเจาของชื่อผูใชงานบุคคลนั้นก็ตาม
  23. ตองเปลี่ยนแปลงรหัสผานเมื่อมีการแจงเตือนจากระบบ หรือสงสัยวารหัสผานลวงรู โดยบุคคลอื่น
    2.3 การบริหารจัดการสิทธิ์ (Privilege Management)
    2.3.1 ผูบังคับบัญชาตองกําหนดใหมีขั้นตอนปฏิบัติสําหรับการลงทะเบียน การเพิ่มสิทธิ์การเพิกถอนสิทธิ์ การเปลี่ยนแปลงสิทธิ์ และการทบทวนสิทธิ์ของผูใชงานอยางเปนลายลักษณอักษร
    2.3.2 กําหนดสิทธิ์ที่เหมาะสมกับผูใชงานตามความจําเปนและสอดคลองกับหนาที่ความรับผิดชอบและ จัดเก็บประวัติ (Log) การลงทะเบียน การเพิ่มสิทธิ์การเพิกถอนสิทธิ์ และการเปลี่ยนแปลงสิทธิ์ ของผูใชงาน
    2.3.3 เจาของขอมูลและผูดูแลระบบ ตองจัดใหมีการควบคุมและจํากัดสิทธิ์ในการใชงานระบบตาม ความจําเปนในการใชงานเทานั้น
  24. สิทธิ์ในการสรางขอมูล (Create)
  25. สิทธิ์ในการอานขอมูลหรือเรียกดูขอมูล (Read)
  26. สิทธิ์ในการปรับปรุงขอมูล (Modify / Update)
  27. สิทธิ์ในการลบขอมูล (Delete)
  28. สิทธิ์ในการมอบหมายสิทธิ์ในการดําเนินการแทน (Assign)
  29. สิทธิ์ในการรับรองความถูกตองครบถวนของขอมูล (Approve/Authenticate)
  30. ไมมีสิทธิ์
    2.3.4 เจาของขอมูลและผูดูแลระบบตองเปนผูอนุมัติการใหสิทธิ์เพื่อเขาถึงสารสนเทศหรือระบบ เทคโนโลยีสารสนเทศใด ๆ อยางเปนลายลักษณอักษร
    2.3.5 เจาของขอมูลและผูดูแลระบบ ตองจํากัดจํานวนผูใชงานที่ทําหนาที่เปนผูใหสิทธิ์กับผูใชงาน ใหนอยที่สุดตามความเหมาะสม
    2.3.6 เจาของขอมูลและผูดูแลระบบ ตองจํากัดระยะเวลาการใชงานระบบเทคโนโลยีสารสนเทศของ รฟม. แกหนวยงานภายนอกที่เขามาปฏิบัติงานรวมกับ รฟม.
    2.3.7 เจาของขอมูลและผูดูแลระบบ ตองจัดใหมีการถอดถอนสิทธิ์หรือเปลี่ยนแปลงสิทธิ์การเขาถึงทันที เมื่อผูใชงานเกษียณ เปลี่ยนแปลงหนาที่ความรับผิดชอบ เปลี่ยนแปลงการจางงาน หรือไมมีความจําเปน ในการใชงานระบบเทคโนโลยีสารสนเทศ
    2.3.8 ผูดูแลระบบตองลบหรือระงับการใชงานสิทธิ์ของผูใชงานที่มากับระบบ (Default User) ในกรณีที่มี ความจําเปนตองใชงานตองกําหนดรหัสผานอยางมั่นคงปลอดภัย
    2.4 การทบทวนสิทธิ์การเขาถึงของผูใชงาน (Review of User Access Rights)
    2.4.1 เจาของขอมูลและผูดูแลระบบ ตองมีการสอบทานสิทธิ์การเขาถึงของผูใชงานระบบเมื่อ รฟม. มีการ เปลี่ยนแปลงระบบเทคโนโลยีสารสนเทศหรือโครงสรางองคกร
    2.4.2 ผูดูแลระบบ ตองมีการสอบทานและระงับการใชงานบัญชีผูใชงานที่ไมไดใชงานนานเกิน 180 วัน หากผูใชงานตองการกลับมาใชงานจะตองยืนยันตัวตนให ฝทท. ทราบ ทั้งนี้ ระยะเวลาที่ไมไดใชงาน ของบัญชีผูใชงานอาจจะขึ้นอยูกับแตละระบบสารสนเทศ
    16
  1. การปองกันอุปกรณที่ไมมีผูดูแล และการควบคุมการไมทิ้งสินทรัพยสารสนเทศสําคัญไวในที่ที่ไมปลอดภัย 3.1 การปองกันอุปกรณที่ไมมีผูดูแล (Unattended User Equipment)
    3.1.1 ผูดูแลระบบตองจัดใหมีมาตรการสําหรับปองกันระบบคอมพิวเตอร ระบบเครือขายสื่อสารขอมูล และระบบเทคโนโลยีสารสนเทศ โดยการกําหนดคาของระบบ (Configuration) ใหมีการล็อกหนาจอ สําหรับอุปกรณที่ไมมีพนักงานดูแล หรือล็อกอุปกรณอยูเสมอ
    3.1.2 ผูใชงานและหนวยงานภายนอก/บุคคลภายนอก ตองล็อกหนาจออัตโนมัติเมื่อไมมีการใชงานระบบ เทคโนโลยีสารสนเทศของ รฟม. ตามระยะเวลาที่กําหนด โดยตองพักหนาจอ(ScreenSaver)อัตโนมัติ หลังจากที่ไมมีการใชงานคอมพิวเตอรเปนระยะเวลานานกวา15 นาทีผูใชงานและหนวยงานภายนอก/ บุคคลภายนอกจะใชงานตอไดเมื่อมีการใสรหัสผานที่ถูกตอง
    3.1.3 ผูใชงานตอง Logout ออกจากเครื่องคอมพิวเตอรเมื่อมีความจําเปนตองละทิ้งเครื่องคอมพิวเตอร 3.1.4 ผูใชงานตองปองกันไมใหผูอื่นใชอุปกรณ เชน กลองดิจิทัล เครื่องสําเนาเอกสาร เครื่องสแกน เอกสารโดยไมไดรับอนุญาต
    3.2 การควบคุมสินทรัพยสารสนเทศและการใชงานระบบคอมพิวเตอร(Clear Desk and Clear Screen Control) 3.2.1 ผูบังคับบัญชาตองกําหนดใหมีผูรับผิดชอบในการดูแลสถานที่ที่มีการรับ - สงแฟกซหรือจดหมาย เขา – ออก
    3.2.2 ผูใชงานตองออกจากระบบคอมพิวเตอร (Logout) ทันที เมื่อจําเปนตองปลอยทิ้งโดยไมมีผูดูแล 3.2.3 ผูใชงานตองจัดเก็บขอมูลสําคัญแยกตางหาก และปองกันใหมีความปลอดภัยอยางพอเพียง 3.2.4 ผูใชงานตองนําเอกสารออกจากเครื่องพิมพทันทีที่พิมพงานเสร็จ
  2. การควบคุมการเขาถึงเครือขาย (Network Access Control)
    ใหมีการควบคุมการใชงานบริการเครือขาย การควบคุมการพิสูจนตัวตนสําหรับผูใชงานที่อยูภายนอก รฟม. การควบคุม การพิสูจนตัวตนอุปกรณบนเครือขาย การปองกันพอรต (Port) ที่ใชสําหรับตรวจสอบและปรับแตงระบบ การแบงแยก เครือขาย (Segregation in networks) อยางเหมาะสม การควบคุมการเชื่อมตอทางเครือขาย และการควบคุม การกําหนดเสนทางบนเครือขาย
    4.1 การใชงานบริการเครือขาย (Use of Network Services)
    4.1.1 ผูดูแลระบบตองควบคุมการเผยแพรแผนผังระบบเครือขายสื่อสารขอมูล (Network Diagram) รวมถึงโครงสราง IP Address ชื่อระบบ และชื่ออุปกรณสารสนเทศแกผูที่ไมไดรับอนุญาตหรือ หนวยงานภายนอก/บุคคลภายนอก
    4.1.2 ผูดูแลระบบตองควบคุมการใชงานระบบเครือขายสื่อสารขอมูลเพื่อปองกันการเขาถึงระบบเครือขาย สื่อสารขอมูลและบริการของระบบเครือขายสื่อสารขอมูลโดยไมไดรับอนุญาต
    4.1.3 ผูดูแลระบบตองควบคุมการเชื่อมตอเครือขายภายนอก เพื่อใชงานอินเทอรเน็ต ซึ่งอาจเปนชองทางให หนวยงานภายนอก/บุคคลภายนอกเขาถึงสารสนเทศหรือระบบเทคโนโลยีสารสนเทศของ รฟม. โดยมิไดรับอนุญาต
    4.1.4 ผูใชงานตองแจงความประสงคในการขอใชงานบริการเครือขายแก ฝทท. และสามารถใชบริการ เครือขายไดหลังจากไดรับการอนุมัติจาก ฝทท. แลว
    4.1.5 ผูใชงาน ตองไมใชระบบเครือขายสื่อสารขอมูลเพื่อเปนชองทางในการเจาะระบบ (Hacking) หรือ การสแกนชองโหวของระบบโดยมิไดรับอนุญาต
    4.2 การพิสูจนตัวตนของผูใชงานที่อยูภายนอก รฟม. (User Authentication for External Connections) ผูดูแลระบบตองกําหนดใหมีการพิสูจนตัวตนผานระบบ Active Directory ของ รฟม. กอนอนุญาตให ผูใชงานที่อยูภายนอก รฟม. เขาใชงานเครือขายและระบบสารสนเทศของ รฟม.
    17
    4.3 การพิสูจนตัวตนของอุปกรณในระบบเครือขายสื่อสารขอมูล (Equipment Identification in Networks) ผูดูแลระบบตองกําหนดใหมีการพิสูจนตัวตนของอุปกรณในระบบเครือขายสื่อสารขอมูล ไดแก การตรวจสอบ MAC Address
    4.4 การปองกันพอรตที่ใชสําหรับตรวจสอบและปรับแตงระบบ (Remote Diagnostic and Configuration Port Protection)
    ผูดูแลระบบตองระงับบริการและพอรต (Port) ที่ไมมีความจําเปนตองใชบนเครื่องคอมพิวเตอรหรือ อุปกรณเครือขาย
    4.5 ผูดูแลระบบตองติดตั้งระบบตรวจจับการบุกรุก (Instrusion Prevention System/ Instrusion Detection System) ของระบบเครือขาย
    4.6 การแบงแยกเครือขาย (Segregation in Networks)
    4.6.1 ผูดูแลระบบตองจัดใหมีการแบงแยกเครือขายตามกลุมของผูใชงาน หรือกลุมของระบบเทคโนโลยี สารสนเทศ เพื่อควบคุมการใชงานในแตละเครือขายยอยอยางเหมาะสม โดยพิจารณาจากความตองการ ในการเขาถึงขอมูล ระดับความสําคัญของขอมูล รวมถึงการพิจารณาดานราคา ประสิทธิภาพ และ ผลกระทบทางดานความปลอดภัยดังตอไปนี้
  1. เครือขายที่อนุญาตใหเขาถึงจากภายนอกและเครือขายที่ใชภายใน รฟม.
  2. เครือขายแอปพลิเคชัน (Application) ที่มีความสําคัญกับเครือขายอื่น ๆ ที่มีความสําคัญ นอยกวา
  3. เครือขายสําหรับเครื่องใหบริการ (Server Farm) กับเครือขายของผูใชงาน ควรมีการ ติดตั้งอุปกรณที่สามารถแบงแยกเครือขายไดเชน Firewall หรือ Switch ที่สามารถ
    แบง VLAN ไดเปนตน
    4.6.2 ผูดูแลระบบจะกําหนดเสนทางบนเครือขายที่เขมงวด เพื่อจํากัดการเขาถึงระยะไกลไปเฉพาะเครือขาย ที่กําหนดเทานั้น
    4.6.3 ผูดูแลระบบตองตั้งคา (Configuration) อุปกรณเครือขายเชน Firewall หรือ Router มิใหสามารถ บริหารจัดการจากภายนอกเครือขายไดเวนแตในกรณีฉุกเฉินซึ่งตองไดรับการอนุญาตจากผูดูแลระบบ เทานั้น
    4.7 การควบคุมการเชื่อมตอทางเครือขาย (Network Connection Control)
    4.7.1 ผูดูแลระบบตองจํากัดการใชงานเครือขายของผูใชงานในการเชื่อมตอกับเครือขายของ รฟม. เชน Router หรือFirewall เปนตน พรอมทั้งติดตั้งระบบควบคุมเพื่อกลั่นกรองขอมูลที่รับ -สง เชน Web Filtering, Email Filtering เปนตน เพื่อทําใหการเชื่อมตอมีความปลอดภัย
    4.7.2 ผูดูแลระบบตองติดตั้ง Firewall ระหวางเครือขายของ รฟม. กับเครือขายภายนอก ทั้งนี้ การติดตั้ง Firewall ตองพิจารณาเรื่องดังตอไปนี้
  4. การปองกันการจราจรจากภายนอก ตองถูกกําหนดใหใชเสนทางที่ผาน First Tier Firewall ที่มีความมั่นคงปลอดภัยเพื่อปองกันทรัพยสินสารสนเทศของ รฟม. และ
    โครงสรางพื้นฐานที่มีความสําคัญจากการเขาถึงที่ไมไดรับอนุญาต
  5. Firewall ตองระบุตัวตนและพิสูจนตัวตนของผูใชงานกอนที่จะใหสิทธิ์การเขาถึง อินเทอรเฟส (Interface) เพื่อการบริหารจัดการ Firewall
  6. Firewall ตองตั้งคาใหระงับบัญชีผูใชงานหลังจากมีความพยายามที่จะเขาสูระบบ ไมสําเร็จ 5 ครั้ง การยกเลิกการระงับตองดําเนินการโดย ฝทท.
  7. ไมอนุญาตใหพิสูจนตัวตนผานทางอินเทอรเฟส (Interface) การจัดการ Firewall จากระยะไกล (Remote)
    18
  8. ผูที่ไดรับการมอบหมายจาก ฝทท. เทานั้นที่มีสิทธิ์ที่จะเปลี่ยนการตั้งคาดานความปลอดภัย บน Firewall
  9. Firewall ตองตั้งคาใหบันทึกเหตุการณดานความมั่นคงปลอดภัย
  10. Firewall ตองไดรับการสอบทาน ทดสอบ และตรวจสอบอยางสม่ําเสมอ
  11. Firewall ตองถูกบริหารจัดการผานทางการติดตอสื่อสารที่มีการเขารหัส
  12. ตองปดบริการและพอรต (Port) ที่ไมจําเปนตองใชบน Firewall
  13. Firewall ประเภทซอฟตแวร(Software) ตองติดตั้งบนเครื่องคอมพิวเตอรแมขาย แยกตางหาก
  14. Firewall ตองสามารถปองกันตัวเองจากการโจมตีDOS (Denial of service) ได อยางเชน Ping, Sweeps หรือ TCP SYN Floods เปนตน
  15. ตองใชเวอรชันของซอฟตแวร (Software) Firewall และระบบปฏิบัติการที่เจาของ ผลิตภัณฑยังใหการสนับสนุน
  16. ผูดูแล Firewallตองติดตามขอมูลชองโหวจากผูใหบริการ (Vendor) เพื่อรับทราบขาวสาร การ Upgrade และแพ็ตช (Patch) ที่จําเปน และตองติดตั้งแพ็ตช(Patch) ทั้งหมด
    ที่เกี่ยวของ
    4.7.3 ผูดูแลระบบตองติดตั้ง Firewall เพื่อแบงแยก Zone ใหมีการใช DMZ (Demilitarized zone) โดยตองพิจารณาเรื่องดังตอไปนี้
  17. เครื่องคอมพิวเตอรแมขายที่ใหบริการผานอินเทอรเน็ต เชน FTP, Email, Web และ External DNS server เปนตน ตองติดตั้งอยูใน DMZ
  18. การเขาถึงจากระยะไกลตองพิสูจนตัวตนที่ Firewall หรือผานบริการที่อยูใน DMZ
  19. DNS Servers ตองไมอนุญาตใหมีการแลกเปลี่ยนโซน (Zone Transfers) เวนแต มีเหตุจําเปน
    4.8 การควบคุมการกําหนดเสนทางบนเครือขาย (Network Routing Control)
    ผูดูแลระบบตองควบคุมการกําหนดเสนทางบนเครือขายเพื่อใหมั่นใจวาการเชื่อมตอเครื่องคอมพิวเตอร และการไหลเวียนของสารสนเทศบนเครือขาย โดยมีกลไกในการตรวจสอบที่อยูปลายทางและตนทางของ การเชื่อมตอ เชน การควบคุมโดย Firewall หรือ Proxy เปนตน
  1. การควบคุมการเขาถึงระบบปฏิบัติการ (Operating system Access Control)
    ใหมีการควบคุมการเขาถึงระบบปฏิบัติการอยางมั่นคงปลอดภัย การควบคุมการระบุและพิสูจนตัวตนของผูใชงาน การควบคุมระบบบริหารจัดการรหัสผาน การควบคุมการใชงานโปรแกรมประเภทยูทิลิตี้ (System Utilities) การควบคุมการหมดเวลาการใชงานระบบเทคโนโลยีสารสนเทศ และควบคุมการจํากัดระยะเวลาการเชื่อมตอ ระบบเทคโนโลยีสารสนเทศ
    5.1 ขั้นตอนปฏิบัติในการเขาถึงระบบอยางมั่นคงปลอดภัย (Secure Logon Procedures) 5.1.1 ผูดูแลระบบ ตองจัดใหมีการควบคุมการเขาถึงระบบปฏิบัติการอยางมั่นคงปลอดภัย โดยขั้นตอน การเขาสูระบบตองเปดเผยขอมูลเกี่ยวกับระบบใหนอยที่สุดเพื่อหลีกเลี่ยงผูใชงานที่ไมไดรับอนุญาต ซึ่งขั้นตอนการ Logon ตองพิจารณา ดังนี้
  1. หากกระบวนการเขาสูระบบไมสําเร็จ ระบบตองไมแสดงขอมูลของระบบหรือแอปพลิเคชัน (Application) ที่ใชงานอยู
  2. ระบบตองแสดงขอความเตือนผูใชงานวาสามารถเขาใชงานเครื่องคอมพิวเตอรไดเฉพาะ ผูที่มีสิทธิ์เทานั้น
  3. หากกระบวนการเขาสูระบบไมสําเร็จ ระบบตองไมแสดงขอมูลที่สามารถระบุตัวตนของระบบ เชน เครือขายที่ใชงาน สถานที่ตั้งของระบบ หรือชื่อเครื่องคอมพิวเตอรแมขาย เปนตน
    19
  4. ระบบตองไมแสดงขอความที่ชี้เฉพาะเหตุของการเขาสูระบบไมสําเร็จ เชน ไมแสดงขอความวา บัญชีผูใชงานผิด หรือ รหัสผานผิด เปนตน
  5. หามเขาสูระบบจากบัญชีผูใชงานสวนบุคคลเดียวกันมากกวาหนึ่ง Session ในระบบเดียวกัน 6) ระบบตองจํากัดจํานวนครั้งในการพยายามเขาสูระบบที่ไมสําเร็จ และตองพิจารณาเงื่อนไข ตอไปนี้
    (ก) การเก็บบันทึกผลการเขาสูระบบทั้งที่สําเร็จและไมสําเร็จ
    (ข) หนวงระยะเวลาในการเขาใชงานระบบครั้งตอไป
    (ค) การตัดการเชื่อมตอ
    (ง) การแสดงขอความเตือนที่หนาจอของผูดูแลระบบเมื่อมีการเขาสูระบบเกินจํานวนครั้ง ที่จํากัดไว
  6. ระบบตองแสดงวัน เวลา ในการเขาสูระบบที่สําเร็จในครั้งกอน พรอมทั้งบันทึกจํานวนครั้ง ที่พยายามเขาไมสําเร็จนับแตการเขาสูระบบที่สําเร็จในครั้งกอนของผูใชงาน
  7. ระบบตองไมสงรหัสผานแบบ Clear Text ผานระบบเครือขายสื่อสารขอมูล
  8. ผูดูแลระบบตองกําหนดจํานวนครั้งที่ยอมใหใสรหัสผานผิดไดไมเกิน 5 ครั้ง
    5.2 การระบุและพิสูจนตัวตนของผูใชงาน (User Identification and Authentication) ผูดูแลระบบ ตองจัดใหผูใชงานมีบัญชีผูใชงานของแตละบุคคลเพื่อใชพิสูจนตัวตนในการเขาถึงระบบเทคโนโลยี สารสนเทศ และตองใชระบบเทคโนโลยีสารสนเทศพิสูจนตัวตนผูใชงานในการเขาถึงระบบปฏิบัติการผานระบบ Active Directory (AD) หรือ Lightweight Directory Access Protocol (LDAP) ทุกครั้ง พรอมทั้งบันทึก ขอมูลการเขาถึง
    5.3 การใชงานโปรแกรมประเภทยูทิลิตี้(Use of System Utilities)
    ผูดูแลระบบ ตองควบคุมการใชงานโปรแกรมประเภทยูทิลิตี้บนระบบที่ใชงานจริง (Production System)ดังนี้ 5.3.1 ตองจัดทําบัญชีโปรแกรมประเภทยูทิลิตี้ (System Utilities) ที่นํามาใชงาน
    5.3.2 กําหนดความรับผิดชอบในการใชโปรแกรมประเภทยูทิลิตี้ (System Utilities) แตละรายการ อยางชัดเจนและสื่อสารใหผูเกี่ยวของทราบเพื่อถือปฏิบัติ
    5.3.3 ใหมีการพิสูจนตัวตน และกําหนดสิทธิ์ในการใชงานโปรแกรมประเภทยูทิลิตี้เฉพาะกลุมคนที่มี หนาที่รับผิดชอบ
    5.3.4 มีการบันทึกเหตุการณ (Log) การใชงานโปรแกรมประเภทยูทิลิตี้ และตองสอบทานจากผูดูแลระบบ อยางสม่ําเสมอ
    5.3.5 ตองทําการเพิกถอนหรือระงับโปรแกรมประเภทยูทิลิตี้ที่ไมจําเปน
    5.4 การหมดเวลาการใชงานระบบสารสนเทศ (Session Timeout)
    5.4.1 ผูดูแลระบบตองกําหนด Session Timeout ของระบบเทคโนโลยีสารสนเทศที่ไมมีการใชงานภายใน ระยะเวลา 15 นาทีหากระบบใดที่ไมสามารถกําหนด Session Timeout ภายในระยะเวลา 15 นาทีได ใหกําหนดเปนระยะเวลานอยที่สุดที่จะสามารถกําหนดไดทั้งนี้ ถาระบบที่ไมสามารถตัดการเชื่อมตอ แบบอัตโนมัติไดกําหนดใหใชโปรแกรมพักหนาจอที่ตองใสรหัสผานหรือกําหนดใหมีการล็อกหนาจอ
    5.4.2 ผูดูแลระบบ และผูใชงาน ตองตั้งคาใหมีโปรแกรมพักหนาจอที่ตองใสรหัสผานสําหรับเครื่อง คอมพิวเตอรสวนบุคคล เครื่องคอมพิวเตอรแบบพกพา และเครื่องคอมพิวเตอรแมขาย ทั้งนี้ โปรแกรมพักหนาจอกําหนดใหปอนรหัสผานหลังจากที่มีการทิ้งเครื่องดังกลาวไวโดยไมมีการใชงาน เปนระยะเวลา 15 นาที
    20
    5.5 การจํากัดระยะเวลาการเชื่อมตอระบบสารสนเทศ (Limitation of Connection Time) 5.5.1 ผูดูแลระบบ ตองจํากัดระยะเวลาในการเชื่อมตอระบบสารสนเทศที่มีความสําคัญสูง โดยตอง คํานึงถึงระยะเวลาที่จําเปนในกระบวนการดําเนินงานทางธุรกิจ ไดแก กําหนดใหเขาใชงานได ในชวงเวลาทําการของ รฟม. 08.00 น. –17.00 น.และเชื่อมตอเพื่อใชงานไดครั้งละไมเกิน 3 ชั่วโมง 5.5.2 ผูใชงาน หากมีความจําเปนตองใชงานนอกเวลาที่กําหนดตองขออนุมัติจากผูบังคับบัญชาเทานั้น 6. การควบคุมการเขาถึงโปรแกรมประยุกตและสารสนเทศ (Application and Information Access Control) ใหมีการจํากัดการเขาถึงสารสนเทศ และการแยกระบบเทคโนโลยีสารสนเทศที่มีความสําคัญสูงไวในบริเวณที่ ควบคุมเฉพาะ
    6.1 การจํากัดการเขาถึงสารสนเทศ (Information Access Restriction)
    6.1.1 เจาของขอมูลและผูดูแลระบบตองกําหนดสิทธิ์การเขาถึงแกผูใชงานเทาที่จําเปนตองใชในการ ปฏิบัติงาน โดยการใหสิทธิ์ตองพิจารณาในเรื่องดังตอไปนี้
  9. การจํากัดไมใหใชตัวเลือก (Options) ที่ไมไดรับอนุญาต
  10. การจํากัดการเขาถึง Command Line
  11. การจํากัดการเขาถึงขอมูลและฟงกชันการใชงานของแอปพลิเคชัน (Application) ที่ไมเกี่ยวของ กับหนาที่ความรับผิดชอบ
  12. การจํากัดระดับสิทธิ์ในการเขาถึงไฟลเชน อานอยางเดียว เปนตน
  13. การควบคุมการแจกจาย การเขาถึงขอมูล การนําขอมูลออกจากระบบสารสนเทศ เชน รายงาน เปนตน
    6.1.2 เจาของขอมูลและผูดูแลระบบ ควรกําหนดใหระบบสารสนเทศรองรับการกําหนดสิทธิ์ในการเขาถึง แบบกลุมได
    6.2 การแยกระบบสารสนเทศที่ไวตอการรบกวน (Sensitive System Isolation) มีผลกระทบตอคนกลุมใหญ หรือระบบที่มีความสําคัญตอหนวยงาน ตองดําเนินการดังนี้
    6.2.1 เจาของขอมูลและผูดูแลระบบ แยกระบบซึ่งไวตอการรบกวนออกจากระบบอื่น ๆ และควบคุม สภาพแวดลอมของระบบโดยเฉพาะ ไดแก ระบบ File Sharing ระบบสารสนเทศทางการเงิน และระบบ Active Directory (AD) โดยเขาถึงไดทั้งอุปกรณคอมพิวเตอรและสื่อสารเคลื่อนที่และ การปฏิบัติงานจากภายนอกองคกร (Mobile Computing and Teleworking)
    6.2.2 ผูดูแลระบบตองควบคุมอุปกรณคอมพิวเตอรและอุปกรณเคลื่อนที่และการปฏิบัติงานจาก ภายนอกหนวยงาน (Mobile Computing and Teleworking) ที่เกี่ยวของกับระบบดังกลาว 6.2.3 เจาของขอมูลที่เปนเจาของระบบสารสนเทศที่มีความสําคัญสูงตองเปนผูอนุญาต ในกรณีที่ระบบ สารสนเทศที่มีความสําคัญสูงมีความจําเปนตองทํางานรวมกับระบบสารสนเทศอื่นที่มีความสําคัญ นอยกวา
  1. การควบคุมการปฏิบัติงานจากภายนอก รฟม. (Teleworking)
    7.1 ผูดูแลระบบตองกําหนดใหมีการพิสูจนตัวตนกอนการใชงาน และเชื่อมตอผานชองทางที่มีความปลอดภัย ที่มีเทคโนโลยีเขารหัสปองกัน
    7.2 ผูดูแลระบบตองทําการถอดถอนสิทธิ์ในการเขาถึงของผูใชงานจากภายนอกสํานักงาน เมื่อครบกําหนด ระยะเวลาที่ขออนุญาต
    7.3 ผูใชงาน หากจําเปนตองมีการปฏิบัติงานจากภายนอกสํานักงานของ รฟม. ตองไดรับการอนุญาตจาก ผูบังคับบัญชาอยางเปนลายลักษณอักษร ในกรณีเรงดวนสามารถดําเนินการกอน โดยแจงใหผูบังคับบัญชา รับทราบดวย โดยผูบังคับบัญชาตองพิจารณาเงื่อนไขในการเตรียมการ ดังตอไปนี้
    21
  1. ความมั่นคงปลอดภัยทางกายภาพและสภาพแวดลอมของการปฏิบัติงานจากภายนอก รฟม. 2) ความมั่นคงปลอดภัยทางการสื่อสาร โดยยึดจากระดับความสําคัญ (Sensitivity) ของขอมูล ที่จะถูกเขาถึงและสงผานชองทางการเชื่อมตอสื่อสาร (Communication Link) รวมถึงระดับ ความสําคัญ (Sensitivity) ของระบบภายใน รฟม.
    7.4 ผูใชงานตองจัดเก็บเอกสารที่เปนความลับในอุปกรณที่ล็อกไดและมีการควบคุมการเขาถึง โดยใชหลักเกณฑ การรักษาความลับเชนเดียวกับสารสนเทศที่อยูในสํานักงานของ รฟม.
    7.5 ผูใชงาน ตองติดตั้งโปรแกรมปองกันไวรัสและ Personal Firewall สําหรับอุปกรณสวนตัวที่ใชเชื่อมตอ เครือขายของ รฟม. จากภายนอก
  1. ผูบังคับบัญชา ตองควบคุมการใชงานขอมูลสวนบุคคลใหมีการใชงานที่สอดคลองกับกฎหมาย พระราชบัญญัติ กฎระเบียบ ขอบังคับที่เกี่ยวของ เชน พระราชบัญญัติคุมครองขอมูลสวนบุคคล พ.ศ. 2562
    22
    สวนที่ 7
    การควบคุมการเขาถึงระบบเครือขายไรสาย
    วัตถุประสงค
    ▪ เพื่อกําหนดมาตรการในการควบคุมการเขาถึงระบบเครือขายไรสาย (Wireless LAN) ของ รฟม. โดยการกําหนด สิทธิ์ของผูใชงานในการเขาถึงระบบใหเหมาะสมตามหนาที่ความรับผิดชอบในการปฏิบัติงาน รวมทั้งมีการทบทวน สิทธิ์การเขาถึงอยางสม่ําเสมอ
    ▪ เพื่อสรางความมั่นคงปลอดภัยของการใชงานระบบเครือขายไรสาย
    ผูรับผิดชอบ
    ▪ ผูดูแลระบบ
    ▪ ผูใชงาน
    อางอิงมาตรฐาน: ISO/IEC 27001:2022
    ▪ มาตรการควบคุมดานองคกร (Organizational Controls)
    ▪ มาตรการควบคุมดานเทคโนโลยี (Technological Controls)
    แนวปฏิบัติ
  2. ผูใชงานที่ตองการเขาถึงระบบเครือขายไรสายของ รฟม. ตองลงทะเบียนกับผูดูแลระบบ และตองไดรับการ อนุญาตจาก ฝทท. อยางเปนลายลักษณอักษร
  3. ผูดูแลระบบตองกําหนดมาตรฐานความปลอดภัยของระบบเครือขายไรสายไมต่ํากวามาตรฐาน WPA2 3. ผูดูแลระบบตองลงทะเบียนกําหนดสิทธิ์ผูใชงานในการเขาถึงระบบเครือขายไรสายใหเหมาะสมกับหนาที่ ความรับผิดชอบในการปฏิบัติงาน รวมทั้งมีการทบทวนสิทธิ์การเขาถึงอยางสม่ําเสมอ
  4. ผูดูแลระบบตองลงทะเบียนอุปกรณทุกตัวที่ใชติดตอระบบเครือขายไรสาย
  5. ผูดูแลระบบ ตองกําหนดตําแหนงการวางอุปกรณ Access Point (AP) ไมใหสัญญาณของอุปกรณรั่วไหลออกไป นอกบริเวณที่ใชงาน เพื่อปองกันไมใหผูโจมตีใช Access Point (AP) ของ รฟม. รับ - สงสัญญาณได 6. ผูดูแลระบบตองเลือกใชกําลังสงใหเหมาะสมกับพื้นที่ใชงานและตองสํารวจวาสัญญาณรั่วไหลออกไปภายนอก หรือไม นอกจากนี้การใชเสาอากาศพิเศษที่สามารถกําหนดทิศทางการแพรกระจายของสัญญาณอาจชวยลดการ รั่วไหลของสัญญาณใหดีขึ้น
  6. ผูดูแลระบบตองเปลี่ยนคา SSID (Service Set Identifier) ที่ถูกกําหนดเปนคา Default มาจากผูผลิตทันทีที่นํา Access Point (AP) มาใชงาน
  7. ผูดูแลระบบตองเปลี่ยนคาชื่อ Login และรหัสผานสําหรับการตั้งคาการทํางานของอุปกรณไรสาย และผูดูแลระบบ ตองเลือกใชชื่อ Login และรหัสผานที่มีความคาดเดาไดยากเพื่อปองกันผูโจมตีไมใหสามารถเดาหรือเจาะรหัส ไดโดยงาย
  8. ผูดูแลระบบตองควบคุม MAC address ชื่อผูใช (Username) และรหัสผาน (Password) ของผูใชงานที่มีสิทธิ์ ในการเขาใชงานระบบเครือขายไรสาย โดยอนุญาตเฉพาะผูใชงานที่ไดรับอนุญาตใหเขาใชเครือขายไรสายไดอยาง ถูกตองเทานั้น
  9. ผูดูแลระบบตองตรวจสอบความมั่นคงปลอดภัยของระบบเครือขายไรสายอยางสม่ําเสมอ และบันทึกเหตุการณ นาสงสัยที่เกิดขึ้นในระบบเครือขายไรสายตามขั้นตอนที่ รฟม. กําหนด
    23
    สวนที่8
    การควบคุมหนวยงานภายนอกและผูใชงานภายนอกเขาถึงระบบเทคโนโลยีสารสนเทศ
    วัตถุประสงค
    ▪ เพื่อควบคุมหนวยงานภายนอกและผูใชงานภายนอกที่มีการเขาใชงานระบบเทคโนโลยีสารสนเทศของ รฟม. ใหเปนไปอยางมั่นคงปลอดภัย
    ผูรับผิดชอบ
    ▪ ผูดูแลระบบ
    ▪ ผูบังคับบัญชา
    ▪ หนวยงานภายนอก
    ▪ ผูใชงาน (บุคคลภายนอก)
    อางอิงมาตรฐาน: ISO/IEC 27001:2022
    ▪ มาตรการควบคุมดานองคกร (Organizational Controls)
    ▪ มาตรการควบคุมดานกายภาพ (Physical Controls)
    แนวปฏิบัติ
  10. ผูดูแลระบบตองประเมินความเสี่ยงจากการเขาถึงระบบเทคโนโลยีสารสนเทศ หรืออุปกรณที่ใชในการประมวลผล โดยหนวยงานภายนอกและผูใชงานภายนอก และกําหนดมาตรการรองรับหรือแกไขที่เหมาะสมกอนที่จะอนุญาตให เขาถึงระบบเทคโนโลยีสารสนเทศของ รฟม.
  11. การควบคุมการเขาใชงานระบบเทคโนโลยีสารสนเทศของหนวยงานภายนอกและผูใชงานภายนอก 2.1 เจาของขอมูลตองเปนผูอนุญาตการใหสิทธิ์แกหนวยงานภายนอกและผูใชงานภายนอกที่ตองการสิทธิ์ในการ เขาใชงานระบบสารสนเทศของ รฟม. อยางเปนลายลักษณอักษร
    2.2 ผูบังคับบัญชาตองกําหนดใหมีการลงนามการไมเปดเผยขอมูลที่สําคัญและเปนความลับของ รฟม. 2.3 ผูบังคับบัญชา ตองควบคุมใหมีการกําหนดขอตกลงและความรับผิดชอบที่เกี่ยวของกับความเสี่ยง ดานความมั่นคงปลอดภัยสารสนเทศลงในสัญญากับหนวยงานภายนอกที่ใหบริการดานสารสนเทศและ บริการดานการสื่อสาร โดยใหครอบคลุมรวมถึงผูรับจางชวง
    2.4 ผูบังคับบัญชาตองกําหนดใหจัดทําเอกสารแบบฟอรมสําหรับใหหนวยงานภายนอกและผูใชงานภายนอก ระบุเหตุผลความจําเปนที่ตองเขาใชงานระบบเทคโนโลยีสารสนเทศ ซึ่งมีรายละเอียด ดังนี้
    2.4.1 เหตุผลในการขอใช
    2.4.2 ระยะเวลาในการใช
    2.4.3 การตรวจสอบความปลอดภัยของอุปกรณที่เชื่อมตอเครือขาย
    2.4.4 การตรวจสอบ MAC address ของเครื่องคอมพิวเตอรที่เชื่อมตอ
    2.5 ผูดูแลระบบมีสิทธิ์ในการตรวจสอบการใชงานระบบเทคโนโลยีสารสนเทศของหนวยงานภายนอกและ ผูใชงานภายนอก เพื่อควบคุมการใชงานไดอยางมั่นคงปลอดภัยตามสัญญา
    2.6 ผูดูแลระบบตองควบคุมใหหนวยงานภายนอกจัดทําแผนการดําเนินงาน คูมือการปฏิบัติงานและเอกสารที่ เกี่ยวของ รวมทั้งตองปรับปรุงใหทันสมัยอยูเสมอ เพื่อใชสําหรับควบคุมหรือตรวจสอบการทํางาน และ เพื่อใหมั่นใจวาการปฏิบัติงานเปนไปตามขอบเขตที่ไดกําหนดไว
  12. ผูดูแลระบบตองแจงแนวปฏิบัติตาง ๆ ที่เกี่ยวของแกหนวยงานภายนอกและผูใชงานภายนอกเพื่อใหปฏิบัติตาม
    24
  13. ผูดูแลระบบ ตองกํากับดูแลหนวยงานภายนอกและผูใชงานภายนอกใหปฏิบัติตามสัญญาหรือขอตกลงการ ใหบริการที่ระบุไว ซึ่งตองครอบคลุมถึงดานความมั่นคงปลอดภัย
  14. ผูดูแลระบบ ตองติดตาม ตรวจสอบรายงานหรือบันทึกการใหบริการของหนวยงานภายนอกตามที่วาจางอยาง สม่ําเสมอตามสัญญาวาจาง
  15. ผูดูแลระบบ ตองกําหนดขั้นตอนและชองทางในการติดตอกับหนวยงานภายนอกที่มีหนาที่ในการกํากับดูแล หรือ หนวยงานที่เกี่ยวของกับการบังคับใชกฎหมาย รวมทั้งหนวยงานที่ควบคุมดูแลสถานการณฉุกเฉินภายใต สถานการณตาง ๆ ไวอยางชัดเจน
  16. ผูดูแลระบบ ตองมีขั้นตอนและชองทางในการติดตอกับหนวยงานภายนอกที่มีความเชี่ยวชาญเฉพาะดานหรือ หนวยงานที่มีความเชี่ยวชาญดานความมั่นคงปลอดภัยดานสารสนเทศภายใตสถานการณตาง ๆ ไวอยางชัดเจน 8. ผูดูแลระบบตองควบคุมการเปลี่ยนแปลงของหนวยงานภายนอกที่สงผลกระทบตอการใหบริการขององคกร และ ตองประเมินความเสี่ยงอยางเหมาะสมเพื่อควบคุมผลกระทบอันเนื่องมาจากการเปลี่ยนแปลงนั้น 9. หนวยงานภายนอกและผูใชงานภายนอก ตองใชงานทรัพยสินสารสนเทศของ รฟม. ดวยความระมัดระวัง และ รักษาความลับของ รฟม. ไมนําไปเปดเผย และตองขออนุญาตพรอมทั้งปฏิบัติตามเงื่อนไขในการเขาถึงระบบ สารสนเทศของ รฟม. ทุกครั้ง
  17. หนวยงานภายนอกและผูใชงานภายนอกตองแจงเหตุการณไมปกติตาง ๆ ดานเทคโนโลยีสารสนเทศที่พบผาน ชองทางที่ รฟม. กําหนดโดยเร็วที่สุด
  18. หนวยงานภายนอกและผูใชงานภายนอกตองจัดเก็บบัญชีผูใชงานที่ รฟม. จัดทําไวใหใชงานเปนความลับ เฉพาะ บุคคล ไมเปดเผยใหผูอื่นรับทราบ
    25
    สวนที่ 9
    การใชงานเครื่องคอมพิวเตอรและอุปกรณเคลื่อนที่ ของ รฟม.
    วัตถุประสงค
    ▪ เพื่อควบคุมการใชงานทรัพยสินของ รฟม. ประเภทเครื่องคอมพิวเตอรและอุปกรณเคลื่อนที่ใหเหมาะสม ทั้งนี้ เพื่อปองกัน การสูญหาย เสียหาย หรือถูกเขาถึงขอมูลโดยไมไดรับอนุญาต
    ผูรับผิดชอบ
    ▪ ผูดูแลระบบ
    ▪ ผูใชงาน
    อางอิงมาตรฐาน: ISO/IEC 27001:2022
    ▪ มาตรการควบคุมดานองคกร (Organizational Controls)
    ▪ มาตรการควบคุมดานบุคลากร (People Controls)
    ▪ มาตรการควบคุมดานกายภาพ (Physical Controls)
    ▪ มาตรการควบคุมดานเทคโนโลยี (Technological Controls)
    แนวปฏิบัติ
  19. การใชงานทั่วไป
    1.1 ผูดูแลระบบตองกําหนดบัญชีซอฟตแวรมาตรฐาน (Software Standard) ที่อนุญาตใหติดตั้งบนเครื่อง คอมพิวเตอรของผูใชงาน และปรับปรุงใหเปนปจจุบันเสมอ
    1.2 ผูดูแลระบบตองเปนผูกําหนดการตั้งชื่อเครื่องคอมพิวเตอร (Computer Name) เทานั้น 1.3 ผูใชงานตองติดตั้งโปรแกรมสําหรับควบคุมการใชงานอุปกรณเคลื่อนที่ (Mobile Device Management: MDM) รวมถึงอุปกรณอื่น ๆ ที่ รฟม. ไมสามารถควบคุมการใชงานผานระบบ Active Directory (AD) ได 1.4 ผูใชงานตองใชงานอยางมีประสิทธิภาพเพื่องานของ รฟม.
    1.5 ผูใชงานตองไมติดตั้งโปรแกรมที่ละเมิดลิขสิทธิ์บนเครื่องคอมพิวเตอรและอุปกรณเคลื่อนที่ของ รฟม. 1.6 ผูใชงานตองขอนุญาตติดตั้งโปรแกรมในเครื่องคอมพิวเตอรและอุปกรณเคลื่อนที่ตามขั้นตอนที่ รฟม. กําหนด 1.7 ผูใชงานตองไมติดตั้งและแกไขเปลี่ยนแปลงโปรแกรมในเครื่องคอมพิวเตอรและอุปกรณเคลื่อนที่ของ รฟม. การดําเนินการดังกลาวตองดําเนินการโดยผูดูแลระบบเทานั้น
    1.8 ผูใชงานตองศึกษาและปฏิบัติตามคูมือการใชงานเครื่องคอมพิวเตอรและอุปกรณเคลื่อนที่อยางละเอียด เพื่อใหสามารถใชงานอยางปลอดภัยและมีประสิทธิภาพ
    1.9 ผูใชงานตองไมดัดแปลงแกไขสวนประกอบตาง ๆ ของคอมพิวเตอรและอุปกรณเคลื่อนที่ และรักษาใหมีสภาพเดิม 1.10 ผูใชงานตองแจงซอมเครื่องคอมพิวเตอรและอุปกรณเคลื่อนที่ที่อยูในความรับผิดชอบของ ฝทท. ใหฝทท. เปนผูดําเนินการเทานั้น
    1.11 ผูใชงานตองอัปเดต Patch และระบบปฏิบัติการใหทันสมัยอยูเสมอ
    1.12 ผูใชงานตองไมสราง Shortcut ไวบน Desktop ที่เชื่อมตอไปยังขอมูลสําคัญของ รฟม. 1.13 กรณีเครื่องคอมพิวเตอรแบบพกพาและอุปกรณเคลื่อนที่ผูใชงานตองปฏิบัติเพิ่มเติม ดังนี้ 1.13.1 ตองติดตั้ง Application จาก Official Store หรือเว็บไซตที่ใหบริการผานโปรโตคอล HTTPS 1.13.2 ไมปรับแตงการเขาถึงระบบปฏิบัติการ (Rooted/Jailbroken)
    1.13.3 ในกรณีที่มีการใชงานอุปกรณประเภทพกพาในที่สาธารณะ หองประชุม และพื้นที่ภายนอก อื่น ๆ ที่ไมมีการปองกัน หรือไมไดอยูในบริเวณของ รฟม. ใหปองกันการเขาถึงที่ไมไดรับอนุญาต เชน ไมเปดการเชื่อมตอแบบไรสายโดยไมมีการเขารหัสขอมูล เปนตน
    26
    1.13.4 ตองระมัดระวังการเคลื่อนยาย โดยตองใสกระเปาเพื่อปองกันอันตรายที่เกิดจากการกระทบกระเทือน เชน การตกจากโตะทํางานหรือหลุดมือ เปนตน
    1.13.5 ไมใสในกระเปาเดินทางที่เสี่ยงตอการถูกกดทับโดยไมไดตั้งใจจากการมีของหนักทับหรืออาจถูก จับโยนได
    1.13.6 การใชงานเปนระยะเวลานานเกินไป ในสภาพที่มีอากาศรอนจัดตองปดเครื่องคอมพิวเตอรเพื่อเปน การพักเครื่องสักระยะหนึ่งกอนเปดใชงานใหมอีกครั้ง
    1.13.7 หลีกเลี่ยงการใชนิ้วหรือของแข็ง เชน ปลายปากกา กดสัมผัสหนาจอ LCD ใหเปนรอย ขีดขวนหรือ ทําใหจอ LCD ของเครื่องคอมพิวเตอรแบบพกพาแตกเสียหายได
    1.13.8 ไมวางของทับบนหนาจอและแปนพิมพ
    1.13.9 การเคลื่อนยายเครื่องขณะที่เครื่องเปดใชงานอยู ใหทําการยกจากฐานภายใตแปนพิมพ หามยายเครื่องโดยการดึงหนาจอภาพขึ้น
    1.13.10 ไมคลื่อนยายเครื่องในขณะที่ Harddisk กําลังทํางาน
    1.13.11 ไมใชหรือวางใกลสิ่งที่เปนของเหลว ความชื้น เชน อาหาร น้ํา กาแฟ เครื่องดื่มตาง ๆ เปนตน 1.13.12 ไมวางใกลอุปกรณที่มีสนามแมเหล็กไฟฟาแรงสูง เชน แมเหล็ก โทรทัศน ไมโครเวฟ ตูเย็น เปนตน 1.13.13 ไมติดตั้งหรือวางในที่ที่มีการสั่นสะเทือน เชน ในยานพาหนะที่กําลังเคลื่อนที่
    1.13.14 การเช็ดทําความสะอาดหนาจอภาพตองเช็ดอยางเบามือที่สุด และตองเช็ดไปในแนวทาง เดียวกันหามเช็ดแบบหมุนวน เพราะจะทําใหหนาจอมีรอยขีดขวนได
    1.13.15 รับผิดชอบในการปองกันการสูญหาย เชน ตองล็อกเครื่องขณะที่ไมไดใชงาน ไมวางเครื่องทิ้งไวในที่ สาธารณะ หรือในบริเวณที่มีความเสี่ยงตอการสูญหาย
    1.13.16 นําติดตัวไปดวยเสมอ เชน ไมละทิ้ง อุปกรณประมวลผลประเภทพกพาในรถยนตหองพัก ในโรงแรม หรือหองประชุม เปนตน ในกรณีที่มีความจําเปนตองละทิ้งใหจัดเก็บไวในสถานที่ มั่นคงปลอดภัย
    1.13.17 ไมเก็บหรือใชงานในสถานที่ที่มีความรอน ความชื้นหรือฝุนละอองสูงและตองระวังปองกันการ ตกกระทบ
    1.13.18 ไมเปลี่ยนแปลงแกไขสวนประกอบยอย (Sub Component) ที่ติดตั้งอยูภายใน เชน แบตเตอรี่ หนวยความจํา
  20. แนวปฏิบัติในการใชรหัสผาน
    ใหผูใชงานปฏิบัติตามการใชงานรหัสผาน (Password Use) (สวนที่ 6)
  21. การปองกันจากโปรแกรมชุดคําสั่งไมพึงประสงค (Malicious Code)
    3.1 ผูดูแลระบบตองควบคุมการ Update ระบบปฏิบัติการ เว็บเบราวเซอรและโปรแกรมใชงานตาง ๆ อยางสม่ําเสมอ เพื่อปดชองโหว (Vulnerability) ที่เกิดขึ้นจากซอฟตแวรเปนการปองกันการโจมตีจาก ภัยคุกคามตาง ๆ
    3.2 ผูดูแลระบบตองติดตั้งและปรับปรุงโปรแกรมปองกันไวรัสใหทันสมัยอยูเสมอ
    3.3 ผูใชงานตองไมปดหรือยกเลิกระบบการปองกันไวรัสที่ติดตั้งอยู
    3.4 ผูใชงานตองตรวจสอบหาไวรัสจากสื่อบันทึกตาง ๆ เชน Thumb drive และ Data storage อื่น ๆ กอน นํามาใชงานรวมกับเครื่องคอมพิวเตอรของ รฟม.
    3.5 ผูใชงาน หากพบหรือสงสัยวาเครื่องคอมพิวเตอรและอุปกรณเคลื่อนที่ติดชุดคําสั่งไมพึงประสงค ใหรีบยกเลิก เชื่อมตอเครื่องเขากับระบบเครือขายสื่อสารขอมูลเพื่อปองกันการแพรกระจายของชุดคําสั่งที่ไมพึงประสงค ไปยังเครื่องอื่น ๆ ไดและแจง ฝทท. ทราบทันที
    27
  22. การสํารองขอมูลและการกูคืน
    4.1 ผูใชงานตองรับผิดชอบในการสํารองขอมูลจากเครื่องคอมพิวเตอรและอุปกรณเคลื่อนที่ไวบนสื่อบันทึกอื่น ๆเชน ระบบ File Sharing, CD, DVD, External harddisk เปนตน
    4.2 ผูใชงานมีหนาที่เก็บรักษาสื่อขอมูลสํารอง (Backup Media) ไวในสถานที่ที่เหมาะสม ไมเสี่ยงตอการรั่วไหลของ ขอมูลและทดสอบการกูคืนขอมูลที่สํารองไวอยางสม่ําเสมอ
  23. ผูดูแลระบบ ตองควบคุมใหเครื่องคอมพิวเตอรไดรับการปรับตั้งคาอยางเหมาะสม เพื่อปองกันการใชงานหรือ ติดตั้ง Mobile Code เชน Active X, Java จากแหลงที่ไมนาเชื่อถือ
    28
    สวนที่ 10
    การใชงานอินเทอรเน็ตและสื่อสังคมออนไลน
    วัตถุประสงค
    ▪ เพื่อควบคุมการใชงานอินเทอรเน็ตและการใชงานสื่อสังคมออนไลน (Social Network) ของ รฟม. ใหมีความปลอดภัย และปองกันการละเมิดพระราชบัญญัติวาดวยการกระทําความผิดเกี่ยวกับคอมพิวเตอร จนสงผลกระทบตอ รฟม. ผูรับผิดชอบ
    ▪ ผูดูแลระบบ
    ▪ ผูใชงาน
    อางอิงมาตรฐาน: ISO/IEC 27001:2022
    ▪ มาตรการควบคุมดานองคกร (Organizational Controls)
    ▪ มาตรการควบคุมดานเทคโนโลยี (Technological Controls)
    แนวปฏิบัติ
  24. ผูดูแลระบบตองควบคุมการเชื่อมตอทางเครือขายสําหรับการเขาถึงอินเทอรเน็ตโดยพิจารณาเรื่องดังตอไปนี้ 1) ผูดูแลระบบตองไมอนุญาตใหใชงานอุปกรณ VideoStreaming อุปกรณ Audio streaming หรือ Download ไฟลที่มีขนาดใหญ ในกรณีที่จําเปนตองไดรับการอนุญาตจากผูบังคับบัญชากอนเทานั้น
  1. ผูดูแลระบบตองจํากัดการใชงานอินเทอรเน็ตเพื่อเรื่องสวนตัวหรือที่ไมใชการดําเนินงานของ รฟม. ใหนอยที่สุด เทาที่เปนไปได เชน การระงับการเขาถึง Website ที่ไมจําเป ็น การระงับการเขาถึง Website ที่มีเนื้อหาตองหาม ตามพระราชบัญญัติวาดวยการกระทําความผิดเกี่ยวกับคอมพิวเตอร
  2. ผูดูแลระบบตองปองกันไมใหมีการรับสงขอมูลที่ไมเหมาะสมจากภายนอก รฟม. เชน
    (ก) Executable เชน .EXE .COM เปนตน
    (ข) ไฟล(File) เสียง เชน AUD .WAV และ .MP3 เปนตน
    (ค) ไฟล(File) วีดิทัศนเชน .MPG .MPEG .MOV และ .AVI เปนตน
    (ง) Peer to Peer เชน .torrent เปนตน
    ในกรณีที่มีความจําเปนตองไดรับอนุญาตจากผูบังคับบัญชา และ ฝทท.
  3. ผูดูแลระบบตองกําหนดเสนทางการเชื่อมตอระบบคอมพิวเตอรเพื่อการเขาใชงานอินเทอรเน็ตที่ตองเชื่อมตอ ผานระบบรักษาความปลอดภัยที่ รฟม. จัดสรรไวเทานั้น เชน Proxy,Firewall เปนตน
  4. ผูดูแลระบบตองทดสอบเสนทางสําหรับการเชื่อมตออินเทอรเน็ตขององคกรระหวางเสนทางที่ใชงานจริงและ เสนทางสํารองอยางนอยปละ 2 ครั้ง
  5. ผูใชงานตองไมเชื่อมตอระบบคอมพิวเตอรผานชองทางอื่น ยกเวนมีความจําเปนและขออนุญาตจาก ฝทท. เปนลายลักษณอักษรแลว
  6. ผูใชงานตองขออนุญาตติดตั้งซอฟตแวร (Software) ที่ Download จากอินเทอรเน็ต และการติดตั้งตองดําเนินการ โดยผูที่ไดรับมอบหมายจากผูดูแลระบบเทานั้น
  1. ผูใชงานตองไมมีเจตนาปดบังหรือบิดเบือนตัวตนเมื่อมีการใชงานอินเทอรเน็ต
  2. ผูใชงานติดตั้งโปรแกรมปองกันไวรัส พรอมทั้งตองปรับปรุง Virus Signature ที่เครื่องคอมพิวเตอรสวนบุคคลและ เครื่องคอมพิวเตอรพกพาใหมีความทันสมัยอยูเสมอ กอนทําการเชื่อมตออินเทอรเน็ตผานเว็บเบราวเซอร (Web Browser) และตองปดชองโหวของระบบปฏิบัติการที่เว็บเบราวเซอรติดตั้งอยู
  3. ผูใชงานจะตองตรวจสอบไวรัส (Virus Scanning) กอนการรับ - สงขอมูลคอมพิวเตอรผานทางอินเทอรเน็ต
    29
  4. ผูใชงานตองไมใชเครือขายอินเทอรเน็ตของ รฟม. เพื่อหาประโยชนในเชิงธุรกิจสวนตัว และทําการเขาสู เว็บไซตที่ ไมเหมาะสม เชน เว็บไซตที่ขัดตอศีลธรรม เว็บไซตที่มีเนื้อหาที่ขัดตอชาติ ศาสนา พระมหากษัตริย หรือเว็บไซตที่ เปนภัยตอสังคม เปนตน
  5. ผูใชงานจะถูกกําหนดสิทธิ์ในการเขาถึงแหลงขอมูลตามหนาที่ความรับผิดชอบเพื่อประสิทธิภาพของเครือขายและ ความปลอดภัยทางขอมูลของ รฟม.
  6. ผูใชงานตองหลีกเลี่ยงการกระทําที่สิ้นเปลืองทรัพยากรของเครือขายอินเทอรเน็ต ดังนี้ (ก) สงจดหมายอิเล็กทรอนิกสลูกโซ
    (ข) ใชเวลาในการเขาถึงอินเทอรเน็ตเกินความจําเปนยกเวนเพื่อปฏิบัติงานให รฟม.
    (ค) เลนเกม Online
    (ง) เขาหองพูดคุย Online ที่ไมไดมีวัตถุประสงคเพื่อปฏิบัติงานให รฟม.
  7. ผูใชงานตองไมเผยแพรขอมูลที่เปนการหาประโยชนสวนตัวหรือขอมูลที่ไมเหมาะสมทางศีลธรรม หรือขอมูลที่ ละเมิดสิทธิ์ของผูอื่น หรือขอมูลที่อาจกอความเสียหายใหกับ รฟม.
  8. ผูใชงานตองไมเปดเผยขอมูลสําคัญที่เปนความลับเกี่ยวกับงานของ รฟม.
  9. ผูใชงานตองไมนําเขาขอมูลคอมพิวเตอรใด ๆ ที่มีลักษณะอันเปนเท็จ อันเปนความผิดเกี่ยวกับความมั่นคง แหงราชอาณาจักร อันเปนความผิดเกี่ยวกับการกอการราย หรือภาพที่มีลักษณะอันลามก และไมทําการเผยแพร หรือสงตอขอมูลคอมพิวเตอรดังกลาวผานอินเทอรเน็ต
  10. ผูใชงานตองไมนําเขาขอมูลคอมพิวเตอรที่เปนภาพของผูอื่นและภาพนั้นเปนภาพที่เกิดจากการสรางขึ้น ตัดตอ เติมหรือดัดแปลงดวยวิธีการทางอิเล็กทรอนิกส หรือวิธีการอื่นใด ที่จะทําใหผูอื่นเสียหาย เสียชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง หรือไดรับความอับอาย
  11. ผูใชงานมีหนาที่ตรวจสอบความถูกตองและความนาเชื่อถือของขอมูลคอมพิวเตอรที่อยูบนอินเทอรเน็ตกอนนํา ขอมูลไปใชงาน
  12. ผูใชงานตองคํานึงวาขอมูลจากอินเทอรเน็ตอาจไมมีความทันสมัยหรือไมมีความถูกตอง ผูใชงานตองตรวจสอบ ความถูกตองของขอมูลจากแหลงที่นาเชื่อถือกอนที่จะเผยแพรขอมูลดังกลาว
  13. ผูใชงานตองระมัดระวังการดาวนโหลดโปรแกรมใชงานจากอินเทอรเน็ต ซึ่งรวมถึง Patch หรือ Fixesตาง ๆ จากผูขาย ตองเปนไปโดยไมละเมิดทรัพยสินทางปญญา
  14. ผูใชงานตองไมใชขอความที่ยั่วยุ ใหรายในการเสนอความคิดเห็นที่จะทําใหเกิดความเสื่อมเสียตอชื่อเสียงของ รฟม. การทําลายความสัมพันธกับเจาหนาที่ของหนวยงานอื่น ๆ
  15. ผูใชงานตองไมบันทึกรหัสผานใน Web Browser (Remember Password) เพื่อปองกันบุคคลอื่นที่สามารถ เขาถึงคอมพิวเตอรของผูใชงานนํารหัสผานดังกลาวไปใชงานในอินเทอรเน็ตโดยไมไดรับอนุญาต 17. ผูใชงานตองไม Download เอกสาร หรือสารสนเทศตาง ๆ เชน ขอมูล รูปภาพ วิดีโอ เสียง และซอฟตแวร (Software) ที่ละเมิดลิขสิทธิ์ หรือผิดกฎหมาย
  16. ผูใชงานตองปดเว็บเบราวเซอรเพื่อปองกันการเขาใชงานโดยบุคคลอื่น ๆ ภายหลังจากใชงานอินเทอรเน็ตเสร็จแลว 19. การใชงานสื่อสังคมออนไลน (Social Network)
    19.1 ผูใชงานตองระมัดระวังในการนําเสนอขอมูลขาวสาร การสงขอความ หรือการแสดงความคิดเห็นผาน สื่อสังคมออนไลนเพื่อไมกอใหเกิดความเสียหายแก รฟม.
    19.2 ผูใชงานตองระมัดระวังในการใชสื่อสังคมออนไลน เนื่องจากพื้นที่บนสื่อสังคมออนไลนเปนพื้นที่ สาธารณะไมใชพื้นที่สวนบุคคล ซึ่งขอมูลการใชงานตาง ๆ จะถูกบันทึกไวและอาจมีผลทางกฎหมาย ถึงแมจะเปนการแสดงความคิดเห็นในนามชื่อบัญชีสวนตัว และพึงตระหนักถึงผลกระทบที่อาจเกิดขึ้น กับ รฟม. ได
    30
    19.3 ผูใชงานที่ใชสื่อสังคมออนไลนเปนเครื่องมือสื่อสารขอมูลในกิจการของ รฟม. หรือชื่อบุคคลที่ทําใหเขาใจ ไดวาเปนบุคคลในสังกัด ตองแสดงภาพ และขอมูลใหถูกตองชัดเจนในขอมูล โปรไฟล (Profile) และ พึงใชดวยความสุภาพและมีวิจารณญาณ
    19.4 ผูใชงานควรตั้งคําถามที่ใชในกรณีกูคืนบัญชีผูใชงานหรือกูคืนรหัสผาน (Forgot Your Password) ควรเลือกใชขอมูลหรือคําถามที่เปนสวนบุคคลและเปนขอมูลที่ผูอื่นคาดเดาไดยากเพื่อปองกันการสุมคําถาม จากผูประสงคราย
    19.5 ผูใชงานตองไมใชระบบอีเมลของเว็บไซตประเภทสื่อสังคมออนไลน หากจําเปนตองใชจะตองระมัดระวัง ในการคลิกลิงกที่นาสงสัย โดยเฉพาะอีเมลแจงเตือนจากเว็บไซตตาง ๆ ในลักษณะเชื้อเชิญใหคลิกลิงก ที่แนบมาในอีเมล ผูใชงานตองสงสัยวาลิงกดังกลาวเปนลิงกที่ไมปลอดภัย (ลิงกที่ถูกสรางมาเพื่อใชขโมย ขอมูลสวนบุคคล ดวยการนําไปสูเว็บไซตที่ดูนาเชื่อถือที่ผูประสงครายสรางไวเพื่อใหผูใชงานกรอกขอมูล สวนบุคคล เชน รหัสผาน เปนตน)
    19.6 ผูใชงานตองศึกษาการตั้งคาความเปนสวนตัวหรือ “Privacy Settings” ใหเขาใจเปนอยางดีและ ปรับแตงการตั้งคาความเปนสวนตัวใหเหมาะสมเพื่อปองกันการถูกละเมิดความเปนสวนตัวซึ่ง อาจจะสงผลกระทบตอตนเองหรือ รฟม.
    19.7 ผูใชงานตองใชงานสื่อสังคมออนไลนอยางเหมาะสม โดยไมละเมิดกฎหมายและไมกอใหเกิดความเสียหายหรือ สงผลกระทบตอการทํางานขององคกร
    19.8 ผูใชงานควรปดการใชงานระบบโพสตขอความสาธารณะทุก ๆ สวนของเว็บไซตประเภท Social Network หากจําเปนตองใชงานตองปรับคาใหมีการตรวจสอบขอความกอนเพื่อหลีกเลี่ยงโอกาสแพรกระจายลิงก ที่ไมปลอดภัยจากผูประสงคราย ซึ่งเปนหนึ่งในเทคนิคที่ใชในการโจมตีประเภท Spear Phishing
    19.9 ผูใชงานตองตรวจสอบกอนจะรับเพื่อนเขากลุมในเว็บไซตประเภท Social Network โดยตองแนใจวา ขอมูลสวนตัวของเพื่อนคนนั้น เชน รูปถายและประวัติสวนตัวไมถูกแกไขเพื่อปลอมแปลงตัวตนจาก ผูประสงครายที่หวังแอบอางเพื่อคุกคามเปาหมาย
    19.10 ผูใชงานตองตระหนักไวเสมอวาขอมูลตาง ๆ ที่ผูใชงานเผยแพรไวบนบริการสื่อสังคมออนไลนนั้นคงอยู ถาวรและผูอื่นอาจเขาถึงและเผยแพรขอมูลเหลานั้นได
    19.11 ผูใชงานตองมีขอพิจารณาในการรับเพื่อนเขากลุมที่ชัดเจน และควรประกาศขอความปฏิเสธความ รับผิดชอบที่เกี่ยวกับเนื้อหาหรือขอความแสดงความคิดเห็นซึ่งถูกโพสตจากเพื่อนในกลุมที่อาจปรากฏใน เว็บไซตประเภท Social Network ของผูใชงานเอง
    19.12 ผูใชงานตองติดตั้งซอฟตแวรปองกันไวรัส และอัปเดตฐานขอมูลไวรัสของโปรแกรมอยูเสมอ และตอง หลีกเลี่ยงการใชโปรแกรมที่ละเมิดลิขสิทธิ์เพราะอาจจะมีโปรแกรมประสงครายแฝงตัวอยูภายในเพื่อ ลักลอบ ปลอมแปลง หรือขโมยขอมูลสําคัญของผูใชงานได
    19.13 ผูใชงานตองระมัดระวังการใชถอยคําและภาษาที่อาจเปนการดูหมิ่น ยุยง ทาทาย หรือเปนการละเมิดตอ บุคคลอื่น กรณีบุคคลอื่นมีความคิดเห็นที่แตกตางพึงงดเวนการโตตอบดวยถอยคํารุนแรง 19.14 ผูใชงานตองระมัดระวังกระบวนการหาขาว หรือภาพจากสื่อสังคมออนไลน โดยมีการตรวจสอบอยางถี่ถวน รอบดานและตองอางอิงแหลงที่มาเมื่อนําเสนอ เวนแตสามารถตรวจสอบและอางอิงจากแหลงขาว ไดโดยตรง
    19.15 หากผูใชงานตองการใชสื่อสังคมออนไลนเปนเครื่องมือในการรายงานขาวในนามของบุคคลธรรมดาตอง แสดงใหชัดเจนวา ขอความใดเปน “ขาว” ขอความใดเปน “ความคิดเห็นสวนตัว”
    19.16 การสงตอหรือเผยแพรขอมูลในสื่อสังคมออนไลน (Social Media)
    31
    19.16.1 ผูใชงานตองไมสงตอหรือเผยแพรขอมูลที่เปนเท็จ ขาวลือ ขาวไมปรากฏที่มา เปนเพียงการ คาดเดา หรือสงผลเสียหายกับบุคคล สังคม หรือ รฟม.
    19.16.2 ผูใชงานตองไมสงตอหรือเผยแพรขอมูลเรื่องบุคคลเสียชีวิต เด็กและเยาวชน ผูสูญหาย ผูตองหา เวนเสียแตตรวจสอบขอเท็จจริงแลวและเห็นวาเปนประโยชนตอสาธารณะ
    19.16.3 ผูใชงานตองไมสงตอหรือเผยแพรขอมูลที่กระทบตอสิทธิความเปนสวนตัว และศักดิ์ศรีความ เปนมนุษย
    19.17 ผูใชงานตองตั้งคาความปลอดภัยของการใชงานสื่อสังคมออนไลน และระมัดระวังการถูกนําขอมูลจากชื่อบัญชี ไปใชโดยไมเหมาะสม ผิดวัตถุประสงค และลักษณะการแอบอางโดยบุคคลอื่น
  17. ผูใชงานตองใชงานอินเทอรเน็ตและสื่อสังคมออนไลนโดยตระหนักถึงพระราชบัญญัติการกระทําความผิดเกี่ยวกับ คอมพิวเตอรที่บังคับใชอยูเสมอ
    32
    สวนที่ 11
    การใชงานจดหมายอิเล็กทรอนิกส
    วัตถุประสงค
    ▪ เพื่อกําหนดมาตรการการใชงานจดหมายอิเล็กทรอนิกสของ รฟม. ใหมีความปลอดภัยและมีประสิทธิภาพ ผูรับผิดชอบ
    ▪ ผูดูแลระบบ
    ▪ ผูใชงาน
    อางอิงมาตรฐาน: ISO/IEC 27001:2022
    ▪ มาตรการควบคุมดานองคกร (Organizational Controls)
    ▪ มาตรการควบคุมดานเทคโนโลยี (Technological Controls)
    แนวปฏิบัติ
  18. ผูดูแลระบบตองกําหนดสิทธิ์การเขาถึงระบบจดหมายอิเล็กทรอนิกสของ รฟม. ใหเหมาะสมกับหนาที่ความ รับผิดชอบของผูใชงาน รวมทั้งทบทวนสิทธิ์การเขาใชงานอยางสม่ําเสมอ
  19. ผูดูแลระบบตองกําหนดบัญชีผูใชงานตามมาตรฐานจดหมายอิเล็กทรอนิกส (Email) ที่ใชในองคกร 3. ผูใชงานตองระมัดระวังในการใชจดหมายอิเล็กทรอนิกสไมใหเกิดความเสียหายตอ รฟม. ละเมิดลิขสิทธิ์สราง ความนารําคาญตอผูอื่น ผิดกฎหมาย ละเมิดศีลธรรม และไมแสวงหาประโยชน หรืออนุญาตใหผูอื่นแสวงหา ผลประโยชนในเชิงธุรกิจจากการใชจดหมายอิเล็กทรอนิกสของ รฟม.
  20. ผูใชงานตองไมใชที่อยูจดหมายอิเล็กทรอนิกส (Email Address) ของผูอื่นเพื่ออาน รับ - สงขอความ ยกเวนไดรับการ ยินยอมจากเจาของบัญชีและใหถือวาเจาของบัญชีจดหมายอิเล็กทรอนิกสเปนผูรับผิดชอบตอการใชงานตาง ๆ ในจดหมายอิเล็กทรอนิกสของตน
  21. ผูใชงานตองใชที่อยูจดหมายอิเล็กทรอนิกสของ รฟม. เพื่อปฏิบัติงาน ติดตอ และประสานงานของ รฟม. เทานั้น 6. ผูใชงานตองไมใชที่อยูจดหมายอิเล็กทรอนิกสฟรีของเอกชนในการปฏิบัติงาน ติดตอ และประสานงานของ รฟม. 7. ผูใชงานตอง Logout ออกจากระบบทุกครั้ง หลังจากใชงานระบบจดหมายอิเล็กทรอนิกสเสร็จสิ้นเพื่อปองกัน บุคคลอื่นเขาใชงานจดหมายอิเล็กทรอนิกส
  22. ผูใชงานตองตรวจสอบเอกสารแนบจากจดหมายอิเล็กทรอนิกสกอนเปดอาน โดยใชโปรแกรมปองกันไวรัส เพื่อตรวจสอบมัลแวรตาง ๆ
  23. ผูใชงานตองไมเปดหรือสงตอจดหมายอิเล็กทรอนิกสที่ไดรับจากผูสงที่ไมรูจัก
  24. ผูใชงานตองใชขอความที่สุภาพในการรับ –สงจดหมายอิเล็กทรอนิกสและไมสงจดหมายที่มีเนื้อหาอาจทําใหรฟม. เสียชื่อเสียงหรือทําใหเกิดความแตกแยกภายใน รฟม.
  25. ผูใชงานตองไมระบุความสําคัญของขอมูลลงในหัวขอจดหมายอิเล็กทรอนิกสและตองเขารหัสเพื่อปองกัน การเขาถึงขอมูลโดยผูไมเกี่ยวของเมื่อมีการสงขอมูลที่เปนความลับ
  26. ผูใชงานตองตรวจสอบตูเก็บจดหมายอิเล็กทรอนิกสของตนเองทุกวัน และตองจัดเก็บจดหมายอิเล็กทรอนิกสในตูของตน ใหเหลือจํานวนนอยที่สุด หากมีขอมูลที่จําเปนตองนํามาใชอางอิงในการปฏิบัติงานภายหลังใหผูใชงานโอนยาย จดหมายอิเล็กทรอนิกสมายังเครื่องคอมพิวเตอรของตน ทั้งนี้ เพื่อลดปริมาณการใชเนื้อที่ของระบบจดหมาย อิเล็กทรอนิกส
    33
    สวนที่ 12
    การสํารองขอมูลและการเก็บรักษาขอมูลจราจรทางคอมพิวเตอร
    วัตถุประสงค
    ▪ เพื่อใหมีขอมูลสํารองไวใชงานในกรณีที่ขอมูลหลักเกิดความเสียหายไมสามารถใชงานหรือเขาถึงไดหรือเมื่อเกิด ภาวะฉุกเฉินตาง ๆ
    ▪ เพื่อใหมีการปฏิบัติที่สอดคลองกับกฎหมาย พระราชบัญญัติ หรือขอบังคับภายนอกอื่น ๆ ผูรับผิดชอบ
    ▪ ผูบังคับบัญชา
    ▪ ผูดูแลระบบ
    ▪ เจาของขอมูล
    ▪ ผูใชงาน
    อางอิงมาตรฐาน: ISO/IEC 27001:2022
    ▪ มาตรการควบคุมดานองคกร (Organizational Controls)
    ▪ มาตรการควบคุมดานเทคโนโลยี (Technological Controls)
    แนวปฏิบัติ
  27. การสํารองขอมูลระบบแมขาย
    ขอมูลระบบแมขายและขอมูลสําคัญซึ่งเปนความลับของ รฟม. ตองไดรับการเก็บรักษาไวที่ระบบเก็บ ขอมูล สวนกลาง และสํารองขอมูลไวอยางสม่ําเสมอ เพื่อใหมีขอมูลสํารองไวใชในกรณีที่ขอมูลหลักเกิดความเสียหาย หรือไมสามารถใชงาน ความถี่ในการดําเนินการสํารองขอมูลและขั้นตอนการสํารองขอมูลระบบแมขายเปนความ รับผิดชอบของ ฝทท. โดยมีแนวปฏิบัติ ดังนี้
    1.1 ผูบังคับบัญชากําหนดผูรับผิดชอบในการสํารองขอมูล
    1.2 ผูดูแลระบบตองกําหนดชนิดของขอมูลของระบบที่มีความจําเปนตองสํารองขอมูลเก็บไว เชน ขอมูล คาคอนฟกกูเรชัน (Configuration) ขอมูลคูมือการปฏิบัติงานสําหรับระบบ ขอมูลในฐานขอมูลของ ระบบงาน ขอมูลซอฟตแวร เชน ซอฟตแวรระบบปฏิบัติการ ซอฟตแวรระบบงาน และซอฟตแวรอื่น ๆ เปนตน
    1.3 ผูดูแลระบบตองสํารองขอมูลตามความถี่ที่กําหนดไวทั้งนี้ หากเปนขอมูลที่สนับสนุนกระบวนการทํางานที่ สําคัญของ รฟม. ใหสํารองตามความถี่ที่ รฟม. กําหนด
    1.4 ผูดูแลระบบตองตรวจสอบวาการสํารองขอมูลสําเร็จครบถวนหรือไม หากไมสําเร็จใหหาสาเหตุและ ดําเนินการแกไขอีกครั้งหนึ่ง
    1.5 ผูดูแลระบบตองนําขอมูลที่สํารองไวไปเก็บไวทั้งภายในและภายนอก รฟม. อยางนอยอยางละ 1 ชุด 1.6 ผูดูแลระบบทดสอบกูคืนขอมูลที่สํารองเก็บไวอยางสม่ําเสมอ อยางนอยปละ 1 ครั้ง เพื่อใหมั่นใจวาขอมูล ที่สํารองไวมีความถูกตอง ครบถวน และพรอมใชงาน
  28. การสํารองขอมูลคอมพิวเตอรสวนบุคคล
    ผูใชงานจะตองสํารองขอมูลสําคัญที่เก็บรักษาไวในเครื่องคอมพิวเตอรสวนบุคคลหรือคอมพิวเตอร หรืออุปกรณพกพา อื่น ๆ อยางสม่ําเสมอ ความถี่ในการสํารองขอมูลขึ้นอยูกับความถี่ของการเปลี่ยนแปลงของขอมูลและระดับ ความสําคัญของขอมูลหากเกิดการสูญหาย
  29. การเก็บรักษาขอมูลจราจรคอมพิวเตอร
    เพื่อใหสามารถระบุตัวบุคคลผูใชงานไดอยางถูกตอง ผูดูแลระบบตองดําเนินการ ดังนี้
    3.1 เลือกใชนาฬิกาจากแหลงที่นาเชื่อถือที่มีการเชื่อมตอในลําดับชั้น Stratum 0โดยนาฬิกาจากแหลงดังกลาวจะตอง ไดรับการอนุมัติใหใชงาน
    3.2 ตั้งนาฬิกาของอุปกรณที่ใหบริการทุกชนิดจาก NTP Server ของ รฟม. เทานั้น
    34
    3.3 ตองทบทวนนาฬิกาที่ NTP Server อยางนอยสัปดาหละ 1 ครั้ง
    3.4 ตองจัดเก็บรักษาขอมูลจราจรคอมพิวเตอร โดยระยะเวลาในการเก็บตามประกาศกระทรวงเทคโนโลยี สารสนเทศและการสื่อสาร เรื่อง หลักเกณฑการเก็บรักษาขอมูลจราจรทางคอมพิวเตอรของผูใหบริการ พ.ศ. 2550 (อยางนอย 90 วัน)
    3.5 เก็บรักษาขอมูลจราจรคอมพิวเตอรในสื่อที่สามารถรักษาความครบถวนถูกตองแทจริง มีการเก็บรักษา ความลับของขอมูลตามระดับชั้นความลับในการเขาถึงตามที่ รฟม. กําหนด
    3.6 ประเภทของสารสนเทศที่เก็บรักษา แสดงตามตาราง
    ประเภทของสารสนเทศ
    กฎหมายที่เกี่ยวของ
    ระยะเวลาการเก็บ
    รักษา (ป)
    Authentication Server Logs (RADIUS, TACACS)
    1. พระราชบัญญัติวาดวยการกระทําความผิด เกี่ยวกับคอมพิวเตอรพ.ศ. 2550
  1. พระราชบัญญัติวาดวยการกระทําความผิด เกี่ยวกับคอมพิวเตอร (ฉบับที่ 2) พ.ศ. 2560 3) ประกาศกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เรื่อง หลักเกณฑการเก็บรักษาขอมูลจราจรทาง คอมพิวเตอรของผูใหบริการ พ.ศ. 2564
    1
    Email Server Logs
    1
    Web Application Server Logs
    1
    NTP Server Logs
    1
    DHCP Server Logs
    1
    IPS Logs
    1
    Firewalls Logs
    1
    Routers & Switches Logs
    1
    Active Directory Logs
    1
  1. การจัดเก็บบันทึกขอมูลล็อกและการเฝาระวัง (Logging and Monitoring)
    4.1 ผูดูแลระบบตองมีการจัดเก็บบันทึกเหตุการณ (Event Logs) การใชงานระบบสารสนเทศ 4.2 ผูดูแลระบบตองเก็บบันทึกขอมูล Audit Logซึ่งบันทึกกิจกรรมการใชงานของผูใชงานระบบสารสนเทศและ เหตุการณเกี่ยวกับความมั่นคงปลอดภัยตาง ๆ เพื่อประโยชนในการสืบสวน สอบสวน และเพื่อการติดตาม การควบคุมการเขาถึง
    4.3 ผูดูแลระบบตองมีการตรวจสอบขอมูลบันทึกเหตุการณอยางสม่ําเสมอ (Log Review) 4.4 ผูดูแลระบบตองไมลบขอมูลล็อก (Log) หรือปดการใชงานการบันทึกขอมูลล็อก (Log) 4.5 ผูดูแลระบบตองปองกันระบบสารสนเทศที่จัดเก็บล็อก(Log)และขอมูลล็อก(Log) เพื่อปองกันการเขาถึงหรือ แกไขเปลี่ยนแปลงโดยไมไดรับอนุญาต
    35
    สวนที่ 13
    การตรวจสอบและประเมินความเสี่ยง
    วัตถุประสงค
    ▪ เพื่อใหมีการตรวจสอบการดําเนินงานของระบบจัดการความมั่นคงปลอดภัยสารสนเทศและปรับปรุงอยางตอเนื่อง ▪ เพื่อควบคุม และติดตามการปฏิบัติงานของผูดูแลระบบสารสนเทศ ใหสอดคลองตามขอกําหนด กฎหมาย หรือ ระเบียบขอบังคับที่เกี่ยวของกับเทคโนโลยีสารสนเทศ
    ▪ เพื่อประเมินความเสี่ยงดานความมั่นคงปลอดภัยของสารสนเทศและบริหารจัดการความเสี่ยงใหอยูในระดับที่ องคกรยอมรับได
    ผูรับผิดชอบ
    ▪ ผูบังคับบัญชา
    ▪ ผูดูแลระบบ
    อางอิงมาตรฐาน: ISO/IEC 27001:2022
    ▪ ขอกําหนดหลัก: การวางแผน (Planning)
    ▪ ขอกําหนดหลัก: การตรวจประเมินภายใน (Internal Audit)
    ▪ มาตรการควบคุมดานองคกร (Organizational Controls)
    ▪ มาตรการควบคุมดานเทคโนโลยี (Technological Controls)
    แนวปฏิบัติ

  2. ผูบังคับบัญชา ตองกําหนดใหมีแนวทางในการดําเนินงานของระบบสารสนเทศสอดคลองกับกฎหมาย พระราชบัญญัติ กฎระเบียบ ขอบังคับที่เกี่ยวของกับความมั่นคงปลอดภัยสารสนเทศโดยตองจัดทําเปน ลายลักษณอักษร และมีการปรับปรุงใหเปนปจจุบันอยูเสมอ

  3. ผูบังคับบัญชา ตองกําหนดมาตรการในการควบคุมและบริหารจัดการสินทรัพยทางปญญา ไดแก ลิขสิทธิ์ในเอกสาร หรือซอฟตแวร เครื่องหมายการคา สิทธิบัตร และใบอนุญาตการใชงานซอรสโคด หรือการใชงานซอฟตแวร เพื่อใหการดําเนินงานเปนไปตามขอกําหนดทั้งในแงของขอสัญญา และดานกฎหมาย พระราชบัญญัติ กฎระเบียบ ขอบังคับดานสินทรัพยทางปญญาที่เกี่ยวของ

  4. ผูบังคับบัญชา ตองควบคุมใหมีการคุมครองขอมูลสวนบุคคลโดยใหสอดคลองกับกฎหมาย พระราชบัญญัติ กฎระเบียบ ขอบังคับที่เกี่ยวของ

  5. ผูบังคับบัญชา ตองกํากับดูแล และควบคุมการปฏิบัติงานของผูที่อยูใตการบังคับบัญชา เพื่อปองกันการใชงานระบบ สารสนเทศผิดวัตถุประสงค หรือละเมิดตอนโยบายและแนวทางปฏิบัติการรักษาความมั่นคงปลอดภัยของระบบ สารสนเทศของ รฟม.

  6. ผูบังคับบัญชา ตองควบคุมใหมีการปองกันขอมูลสําคัญขององคกร ขอมูลสําคัญที่เกี่ยวของกับขอกําหนดทาง กฎหมาย ระเบียบ ขอบังคับ สัญญา ควรไดรับการปองกันจากการสูญหาย ถูกทําลาย และปลอมแปลง 6. ผูบังคับบัญชาตองจัดใหมีการตรวจสอบการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ โดยผูตรวจสอบ ภายใน (Internal Auditor) หรือโดยผูตรวจสอบอิสระดานความมั่นคงปลอดภัยจากภายนอก (External Auditor) ตามระยะเวลาอยางนอยปละ 1 ครั้ง

  7. ผูดูแลระบบตองกําหนดกระบวนการตรวจสอบและการแจงเตือนเมื่อเกิดเหตุผิดปกติเกี่ยวกับการใชงาน ทรัพยากร (Capacity) กําหนดเกณฑการใชงานทรัพยากรและวางแผนดานทรัพยากรสารสนเทศใหรองรับการ ปฏิบัติงานในอนาคตอยางเหมาะสม รวมถึงตองติดตามผลการใชงานทรัพยากรสารสนเทศ
    36

  8. ผูดูแลระบบตองมีการตรวจสอบการทํางาน (Monitor) ของระบบสารสนเทศอยางสม่ําเสมอและเสนอผูบังคับบัญชา รับทราบเมื่อมีเหตุการณผิดปกติเกิดขึ้น รวมถึงแจงผูเกี่ยวของเพื่อดําเนินการแกไขโดยไมชักชา 9. ผูดูแลระบบ ตองปองกันการเขาใชงานเครื่องมือที่ใชเพื่อการตรวจสอบ เพื่อมิใหเกิดการใชงานผิดประเภทหรือถูก ละเมิดการใชงาน (Compromise) โดยควบคุมการเขาถึง และตรวจสอบการนําเครื่องมือไปใชงานอยางสม่ําเสมอ 10. ผูดูแลระบบตองประเมินความเสี่ยงของระบบเทคโนโลยีสารสนเทศอยางนอยปละ 1 ครั้ง หรือเมื่อมีการ เปลี่ยนแปลงอยางมีนัยสําคัญ

  9. ผูบังคับบัญชาตองติดตามผลการดําเนินการตามแผนบริหารจัดการความเสี่ยง (Risk Treatment Plan) เปนประจําทุกไตรมาส

  10. ผูดูแลระบบตองประเมินความเสี่ยงแลวจัดลําดับความสําคัญของความเสี่ยงนั้นและคนหาวิธีการเพื่อลดความเสี่ยง ตามขั้นตอนที่ รฟม. กําหนด พรอมทั้งพิจารณาขอดีขอเสียของวิธีการเหลานั้นเพื่อใหผูบริหารของ รฟม. ตัดสินใจ เลือกวิธีการเพื่อลดความเสี่ยงหรือยอมรับความเสี่ยง เมื่อเลือกวิธีการลดความเสี่ยงแลวผูบริหารตองจัดสรร ทรัพยากรอยางเพียงพอเพื่อดําเนินการ แนวทางการลดความเสี่ยง แบงไดเปน 3 รูปแบบ ไดแก
    12.1 การเลือกใชเทคโนโลยี เพื่อใชในการลดความเสี่ยงและเพิ่มความมั่นคงปลอดภัยของระบบเทคโนโลยี สารสนเทศ รฟม. เปนวิธีที่จําเปนตองใชงบประมาณและทรัพยากรอยางเพียงพอในการดําเนินการ เชน การเลือกใชอุปกรณ Firewall มากกวาหนึ่งผลิตภัณฑในการปองกันการเขาถึงเครือขายที่สําคัญ การใช อุปกรณสมารทการด หรือ USB Token ในการตรวจสอบยืนยันตัวตนในการเขาใชงานระบบจากภายนอก
    รฟม. เปนตน
    12.2 การปรับเปลี่ยนขั้นตอนปฏิบัติ ตองออกแบบขั้นตอนปฏิบัติใหมที่รัดกุมและสามารถรักษาความมั่นคง ปลอดภัยของระบบเทคโนโลยีสารสนเทศ รฟม. ไดดีขึ้น เมื่อออกแบบขั้นตอนปฏิบัติใหมแลวตองมีการ พิจารณาหารือความเหมาะสม ความเปนไปได และผูบริหารตองเปนผูอนุมัติใหมีการบังคับใชขั้นตอน ปฏิบัติใหมนั้น
    12.3 ผูดูแลระบบตองแจงขั้นตอนปฏิบัติใหผูเกี่ยวของรับรูอยางทั่วถึง รวมทั้งตองจัดฝกอบรมผูใชงาน ที่เกี่ยวของเพื่อใหสามารถปฏิบัติตามขั้นตอนปฏิบัติใหมไดอยางราบรื่นและมีประสิทธิภาพ 13. การตรวจสอบความปลอดภัยของระบบสารสนเทศ
    13.1 ผูดูแลระบบ ตองวางแผนการตรวจสอบและประเมินชองโหวหรือจุดออนดานความมั่น คงปลอดภัย สารสนเทศ และแจงผูที่เกี่ยวของเพื่อแกไขในกรณีที่พบวาชองโหวหรือจุดออนนั้นอาจเปนเหตุการณดาน ความมั่นคงปลอดภัย อยางนอยปละ 1 ครั้ง
    13.2 ผูดูแลระบบตองตรวจสอบระบบสารสนเทศที่จะตองมีการปรับปรุงเมื่อมีเวอรชันใหม (Patch) รวมทั้งขอมูล ที่เกี่ยวของกับชองโหวดานเทคนิคอยางสม่ําเสมอเพื่อใหทราบถึงภัยคุกคามและความเสี่ยง รวมถึงหาวิธีปองกัน และแกไขที่เหมาะสมกับชองโหวนั้น
    13.3 ผูใชงาน ผูดูแลระบบ และหนวยงานภายนอก ตองบันทึกและรายงานชองโหวหรือจุดออนใด ๆ ดานความมั่นคง ปลอดภัยสารสนเทศ ที่อาจสังเกตพบระหวางการติดตามการใชงานระบบสารสนเทศ ผานชองทางบริหาร จัดการที่กําหนดไวอยางเหมาะสม และตองดําเนินการปดชองโหวที่มีการตรวจพบหรือไดรับแจง 14. การวิเคราะหขอมูลเชิงลึกของภัยคุกคาม (Threat Intelligence)
    14.1 ผูดูแลระบบตองรวบรวมขอมูลที่เกี่ยวของกับภัยคุกคามทั้งจากภายในและภายนอกองคกร เชน ชองโหว หรือ เหตุการณภัยคุกคามตาง ๆ ที่เกิดขึ้น
    14.2 ผูดูแลระบบตองนําขอมูลภัยคุกคามที่รวบรวมไดมาวิเคราะหเชิงลึก ไดแก Tactics, Techniques หรือ Procedures (TTPs) ที่กลุมผูไมประสงคดีนํามาใชรวมถึงแรงจูงใจ เปาหมาย และพฤติกรรมการโจมตี ของผูไมประสงคดีเพื่อใหรฟม. สามารถจัดเตรียมวิธีการปองกันหรือวิธีการรับมือกับภัยคุกคาม ไดอยางมีประสิทธิภาพและทันทวงที
    37

  11. ผูดูแลระบบตองมีการบริหารจัดการการเปลี่ยนแปลงเกี่ยวกับการจัดเตรียมการใหบริการ การดูแลปรับปรุง นโยบายในการรักษาความมั่นคงปลอดภัยดานสารสนเทศ ขั้นตอนปฏิบัติงาน หรือการควบคุมเกี่ยวกับความมั่นคง ปลอดภัยดานสารสนเทศ โดยคํานึงถึงระดับความสําคัญของการดําเนินธุรกิจที่เกี่ยวของและการประเมินความเสี่ยง อยางตอเนื่อง

  12. การเตรียมความพรอมกรณีฉุกเฉิน
    เพื่อใหมีการบริหารจัดการความตอเนื่องใหกับกระบวนการทางธุรกิจที่สําคัญขององคกร เมื่อมีเหตุการณที่ทําให เกิดการหยุดชะงักหรือติดขัดตอกระบวนการดังกลาว โดยมีแนวปฏิบัติ ดังนี้
    16.1 ผูดูแลระบบตองกําหนดระบบที่มีความสําคัญทั้งหมดขององคกร และจัดทําเปนบัญชีรายชื่อระบบ ดังกลาวรวมทั้งปรับปรุงรายชื่อระบบสําคัญและบัญชีฯ ตามความเปนจริง
    16.2 เจาของขอมูลและผูดูแลระบบประเมินความเสี่ยงสําหรับระบบเหลานั้น กําหนดมาตรการเพื่อลดความเสี่ยง ที่พบและจัดทํารายงานการประเมินความเสี่ยง
    16.3 ผูดูแลระบบตองทบทวน/ปรับปรุงแผนบริหารความตอเนื่องทางธุรกิจ (Business Continity Plan: BCP) อยางนอยปละ 1 ครั้ง
    16.4 ผูดูแลระบบจัดทําและปรับปรุงแผนกูคืนระบบอยางนอยปละ 1 ครั้ง
    16.5 เจาของขอมูลและผูดูแลระบบตองทดสอบแผนบริหารความตอเนื่องทางธุรกิจและแผนกูคืนระบบอยางนอย ปละ 1 ครั้ง พรอมทั้งบันทึกผลการทดสอบรวมถึงปญหาที่พบ และนําเสนอผลการทดสอบและแนวทางแกไข ตอผูบังคับบัญชา
    16.6 ผูดูแลระบบตองจัดประชุมและชี้แจงใหผูที่เกี่ยวของทั้งหมดไดรับทราบเกี่ยวกับแผนบริหารความตอเนื่อง ทางธุรกิจและแผนกูคืน และผลของการฝกซอมการกูคืนระบบและผลการทดสอบแผนบริหารความตอเนื่อง ทางธุรกิจ
    38
    สวนที่ 14
    การถายโอน และแลกเปลี่ยนขอมูลสารสนเทศ
    วัตถุประสงค
    ▪ เพื่อใหมีการควบคุมการถายโอนและแลกเปลี่ยนขอมูลสารสนเทศ ปองกันการรั่วไหล หรือมีการแกไขขอมูลโดยที่ ไมไดรับอนุญาต รวมถึงการปองกันสื่อบันทึกขอมูลใหมีความปลอดภัยเปนไปตามขอกําหนด
    ผูรับผิดชอบ
    ▪ ผูบังคับบัญชา
    ▪ เจาของขอมูล
    ▪ ผูดูแลระบบ
    อางอิงมาตรฐาน: ISO/IEC 27001:2022
    ▪ มาตรการควบคุมดานองคกร (Organizational Controls)
    ▪ มาตรการควบคุมดานเทคโนโลยี (Technological Controls)
    แนวปฏิบัติ

  13. ผูบังคับบัญชา ตองควบคุมใหมีการจัดทํานโยบาย และขั้นตอนการปฏิบัติเพื่อปองกันขอมูลสารสนเทศที่มีการ สื่อสาร หรือแลกเปลี่ยนผานระบบสารสนเทศใหเหมาะสมตามระดับชั้นความลับขอมูลสารสนเทศ ตามขั้นตอนที่ รฟม. กําหนด

  14. ผูบังคับบัญชา และเจาของขอมูล ตองควบคุมใหมีการจัดทําขอตกลงในการแลกเปลี่ยนขอมูลสารสนเทศระหวาง องคกรกับบุคคลหรือหนวยงานภายนอก

  15. ผูดูแลระบบตองแลกเปลี่ยนขอมูลสารสนเทศตองแลกเปลี่ยนผานชองทางที่ปลอดภัย เชน Web Service ที่ใชงาน ผานโปรโตคอล HTTPS

  16. ผูดูแลระบบตองปดบังขอมูล (Data Masking) ทั้งขอมูลสวนบุคคลและขอมูลออนไหวขององคกร (Sensitive Data) ที่มีการถายโอนหรือแลกเปลี่ยนขอมูล

  17. ผูดูแลระบบ ตองมีการปองกันขอมูลสารสนเทศที่มีการสื่อสารกันผานขอมูลอิเล็กทรอนิกส (Electronic Messaging) เชน จดหมายอิเล็กทรอนิกส (Email) หรือ Instant Messaging ดวยวิธีการหรือมาตรการที่เหมาะสม 6. ผูดูแลระบบ ตองปองกันขอมูลสารสนเทศที่มีการแลกเปลี่ยนในการทําพาณิชยอิเล็กทรอนิกส (Electronic
    Commerce) ผานเครือขายคอมพิวเตอรสาธารณะ เพื่อมิใหมีการฉอโกง ละเมิดสัญญา หรือมีการรั่วไหล หรือ ขอมูลสารสนเทศถูกแกไขโดยมิไดรับอนุญาต

  18. ผูดูแลระบบ ตองปองกันขอมูลสารสนเทศที่มีการสื่อสาร หรือแลกเปลี่ยนในการทําธุรกรรมทางออนไลน (Online Transaction) เพื่อมิใหมีการรับสงขอมูลที่ไมสมบูรณ สงขอมูลไปผิดที่ การรั่วไหลของขอมูล ขอมูลถูกแกไข เปลี่ยนแปลง ถูกทําซ้ําใหม หรือถูกสงซํ้าโดยมิไดรับอนุญาต

  19. ผูดูแลระบบ ตองควบคุมการรับสงขอมูลสารสนเทศเพื่อปองกันความผิดพลาด ดังนี้
    8.1 ความไมสมบูรณของขอมูลสารสนเทศที่รับ-สง
    8.2 การสงขอมูลสารสนเทศผิดจุดหมายปลายทาง
    8.3 การเปลี่ยนแปลงขอมูลสารสนเทศโดยไมไดรับอนุญาต
    8.4 การเปดเผยขอมูลสารสนเทศโดยไมไดรับอนุญาต
    8.5 การเขาถึงขอมูลสารสนเทศโดยไมไดรับอนุญาต
    8.6 การนําขอมูลสารสนเทศกลับมาใชใหมโดยไมไดรับอนุญาต

  20. เจาของขอมูล และผูดูแลระบบ ตองมีการปองกันขอมูลสารสนเทศที่มีการเผยแพรตอสาธารณชน มิใหมีการแกไข เปลี่ยนแปลงโดยมิไดรับอนุญาต เพื่อรักษาความถูกตองครบถวนของขอมูลสารสนเทศ
    39
    สวนที่ 15
    การควบคุมการเขารหัส
    วัตถุประสงค
    ▪ เพื่อใหมีการเขารหัสขอมูลอยางเหมาะสมและมีประสิทธิผลในการปกปองความลับ ปองกัน การปลอมแปลงขอมูลและ ควบคุมความถูกตองของขอมูล
    ผูรับผิดชอบ
    ▪ ผูดูแลระบบ
    ▪ เจาของขอมูล
    ▪ ผูใชงาน
    อางอิงมาตรฐาน: ISO/IEC 27001:2022
    ▪ มาตรการควบคุมดานเทคโนโลยี (Technological Controls)
    แนวปฏิบัติ

  21. เจาของขอมูล ตองเขารหัส หรือการใสรหัสผานขอมูลอิเล็กทรอนิกสขององคกรตามระดับชั้นความลับเพื่อปองกัน ผูไมมีสิทธิ์เขาถึง ตามระเบียบวาดวยการรักษาความลับของทางราชการ พ.ศ. 2544 และตามขั้นตอนที่ รฟม. กําหนด 2. เจาของขอมูล ผูดูแลระบบ และผูใชงานตองปฏิบัติตามระเบียบวาดวยการรักษาความลับของทางราชการ พ.ศ. 2544 ในการนําการเขารหัสมาใชกับขอมูลที่เปนความลับจะตองใชวิธีการเขารหัส (Encryption) ที่เปนมาตรฐานสากล 3. ผูดูแลระบบ ตองใชวิธีการเขารหัส (Encryption) ที่เปนมาตรฐานสากล หลีกเลี่ยงการใชรูปแบบการเขารหัส ที่พัฒนาขึ้นเอง เพื่อใหมั่นใจวาขั้นตอนวิธี (Algorithm) ที่ใชในการเขารหัสนั้นมีความมั่นคงปลอดภัย ดังนี้
    ประเภทกุญแจ / วิธีการเขารหัส
    เกณฑขั้นต่ํา
    ความยาวกุญแจ (อยางนอย)
    กุญแจแบบสมมาตร (Symmetric)
    AES
    256 bits
    กุญแจแบบอสมมาตร (Asymmetric)
    RSA
    1024 bits
    การ Hashing
    BCrypt
    Cost Factor 10 ขึ้นไป

  22. ผูดูแลระบบ ตองมีการทบทวนขั้นตอนวิธี (Algorithm) และความยาวของกุญแจที่เขารหัสอยางนอยปละ 1 ครั้ง เพื่อใหยังสามารถรักษาไวซึ่งความมั่นคงปลอดภัย

  23. ผูดูแลระบบ ตองกําหนดใหมีการบริหารจัดการกุญแจที่ใชในการเขารหัส ดังนี้
    5.1 การสรางกุญแจรหัสควรกระทําในสถานที่ที่มีมาตรการปองกันความปลอดภัย
    5.2 เมื่อมีการสรางกุญแจรหัสที่เปนกุญแจลับ (Private key) ควรสงมอบใหกับเจาของกุญแจโดยตรง โดยวิธีการ ที่ปลอดภัย
    5.3 ควรจัดใหมีการเก็บบันทึก Log เพื่อการตรวจสอบสําหรับกิจกรรมตาง ๆ ที่เกี่ยวของกับการจัดการกุญแจรหัส 6. ผูใชงาน ควรรักษาความปลอดภัยในการใชงานกุญแจ ดังนี้
    6.1 เก็บกุญแจรหัสในสถานที่ที่ปลอดภัย เชน ตูนิรภัย หรือสื่อบันทึกที่ปลอดภัย และไมมีใครสามารถเขาถึงได 6.2 เมื่อมีการรับกุญแจสาธารณะ (Public Key) มาใช กอนใชงานจะตองพิสูจนความถูกตองของกุญแจสาธารณะ โดยสอบถามกับผูสงหรือตรวจสอบกับผูแทนในการรับรองความถูกตองของกุญแจสาธารณะ (Certificate Authority) ที่เชื่อถือไดเทานั้น
    6.3 ควบคุมการใชงานและจัดเก็บกุญแจใหสอดคลองกับการรักษาความลับขอมูลตามที่ รฟม. กําหนด
    40
    สวนที่ 16
    การนําอุปกรณสวนตัวมาใชงาน (Bring your own device)
    วัตถุประสงค
    ▪ เพื่อควบคุมการนําอุปกรณสวนตัวมาเชื่อมตอหรือเขาถึงระบบสารสนเทศของ รฟม. ที่ใชในการบริหารจัดการ ระบบสารสนเทศของ รฟม. หรือปฏิบัติงานให รฟม. ทั้งนี้เพื่อปองกันภัยคุกคามที่อาจจะเกิดขึ้นกับระบบ สารสนเทศของ รฟม. รวมถึงเพื่อปองกันไมใหขอมูลของ รฟม. เกิดการรั่วไหล
    ผูรับผิดชอบ
    ▪ ผูดูแลระบบ
    ▪ ผูใชงาน
    อางอิงมาตรฐาน: ISO/IEC 27001:2022
    ▪ มาตรการควบคุมดานบุคลากร (People Controls)
    ▪ มาตรการควบคุมดานเทคโนโลยี (Technological Controls)
    แนวปฏิบัติ

  24. ผูดูแลระบบตองกําหนดคุณสมบัติของระบบปฏิบัติการของอุปกรณสวนตัวที่อนุญาตใหนํามาเชื่อมตอหรือเขาถึง ระบบงานสารสนเทศของ รฟม. ได โดยตองเปนระบบปฏิบัติการที่ไมลาสมัย (Obsolete Operating System) และยังไดรับการสนับสนุนการใชงานจากเจาของผลิตภัณฑ

  25. ผูดูแลระบบตองตัดการเชื่อมตอหากระบบปฏิบัติการของอุปกรณสวนตัวที่อนุญาตใหนํามาเชื่อมตอหรือเขาถึง ระบบงานสารสนเทศของ รฟม. เกิดการลาสมัย (Obsolete Operating System) หรือเจาของผลิตภัณฑ ไมสนับสนุนการใชงานแลว

  26. ผูดูแลระบบตองมีมาตรการปองกันมัลแวร และตรวจสอบการอัปเดต Patch เวอรชันของระบบปฏิบัติการที่ เจาของผลิตภัณฑยังใหการสนับสนุนการใชงาน

  27. ผูดูแลระบบตองไมอนุญาตใหอุปกรณที่มีการปรับแตงการเขาถึงระบบปฏิบัติการ (Rooted/Jailbroken) มาเชื่อมตอ หรือเขาถึงระบบสารสนเทศของ รฟม.

  28. ผูดูแลระบบตองแบงแยกเครือขายของอุปกรณสวนตัวที่นํามาเชื่อมตอหรือเขาถึงระบบสารสนเทศของ รฟม. 6. ผูดูแลระบบตองทบทวนเวอรชันของระบบปฏิบัติการที่อนุญาตใหนํามาเชื่อมตอกับระบบสารสนเทศของ รฟม. อยางนอยปละ 2ครั้ง หากมีการเปลี่ยนแปลงเวอรชันของระบบปฏิบัติการที่อนุญาตใหเขาถึงระบบสารสนเทศของ รฟม. ผูดูและระบบตองแจงใหผูใชงานรับทราบลวงหนา 7 วัน กอนเริ่มบังคับใช

  29. ผูใชงานตองติดตั้งโปรแกรมปองกันมัลแวรตามเงื่อนไขที่ รฟม. กําหนด

  30. ผูใชงานตองไมนําอุปกรณสวนตัวที่ติดตั้งแอปพลิเคชันนอก Official Store มาเชื่อมตอหรือเขาถึงระบบงาน สารสนเทศของ รฟม.

  31. ผูใชงานตองไมนําอุปกรณสวนตัวที่ติดตั้งโปรแกรมละเมิดลิขสิทธิ์มาเชื่อมตอหรือเขาถึงระบบงานสารสนเทศ ของ รฟม.

  32. ผูใชงานตองอัปเดตPatch ของระบบปฏิบัติการที่อุปกรณสวนตัวใหเปนเวอรชันลาสุดรวมถึงตองเปนระบบปฏิบัติการ ที่เจาของผลิตภัณฑยังใหการสนับสนุนการใชงาน

  33. ผูใชงานตองยืนยันตัวตนกอนเขาถึงระบบสารสนเทศของ รฟม. ทุกครั้ง

  34. ผูใชงานตองติดตั้ง Network Access Control agent (NAC agent) หรือ Mobile Device Management Agent (MDM Agent) ตามที่ รฟม. กําหนด เพื่อควบคุมการใชงานเครือขายและการเขาถึงระบบสารสนเทศของ รฟม. 13. กรณีอุปกรณสวนตัวสูญหายหรือถูกขโมยผูใชงานตองแจงผูดูแลระบบโดยเร็วที่สุด เพื่อจัดการขอมูลที่จัดเก็บอยู ในอุปกรณสวนตัวของผูใชงาน

  35. ผูใชงานตองเขาถึงระบบสารสนเทศของ รฟม. ผานชองทางที่ รฟม. กําหนด เชน VPN
    41
    สวนที่ 17
    การใชบริการ Cloud (Cloud Services)
    วัตถุประสงค
    ▪ เพื่อควบคุมการเลือกใชงาน การบริหารจัดการ และการยกเลิกการใชบริการ Cloud อยางปลอดภัย ผูรับผิดชอบ
    ▪ ผูบังคับบัญชา
    ▪ ผูดูแลระบบ
    ▪ เจาของระบบ/เจาของขอมูล
    อางอิงมาตรฐาน: ISO/IEC 27001:2022
    ▪ มาตรการควบคุมดานองคกร (Organizational Controls)
    แนวปฏิบัติ

  36. ผูบังคับบัญชาตองควบคุม กํากับ ดูแล ใหการใชงานบริการ Cloud สอดคลองตามที่กฎหมาย นโยบาย ระเบียบ หรือขอบังคับที่ภาครัฐกําหนด

  37. ผูดูแลระบบตองวิเคราะหความเสี่ยงกอนเลือกบริการ Cloud มาใชงานภายในองคกร

  38. ผูดูแลระบบตองเลือกใชบริการ Cloud ตามที่กฎหมาย นโยบาย ระเบียบ หรือขอบังคับที่ภาครัฐกําหนด 4. ผูดูแลระบบตองเลือกผูใหบริการ Cloud (Cloud Service Provider) ที่เหมาะสมกับการดําเนินงานองคกร 5. ผูดูแลระบบตองพิจารณาขอกําหนดหรือเงื่อนไขของผูใหบริการ Cloud (Cloud Service Provider) ใหชัดเจน กอนตัดสินใจเลือกใชบริการ

  39. ผูดูแลระบบตองเลือกใชบริการ Cloud ที่เหมาะสมกับการดําเนินงานขององคกร

  40. ผูดูแลระบบตองเลือกใชบริการ Cloud ที่มีการรักษาความปลอดภัย การบริหารจัดการความตอเนื่องทางธุรกิจ และการจัดใหมีระบบฉุกเฉินสํารองตามมาตรฐานสากล เชน ISO, NIST หรือ CSA STAR

  41. ผูดูแลระบบตองเลือกใชบริการ Cloud ที่มีความพรอมใชงานของบริการครอบคลุมรอยละของเวลาที่พรอม ใหบริการตอป (Uptime) อยางนอยรอยละ 99.00

  42. ผูดูแลระบบตองเลือกใชบริการ Cloud ที่มีการรักษาความมั่นคงปลอดภัยของขอมูลสวนบุคคลตาม พ.ร.บ. คุมครอง ขอมูลสวนบุคคล พ.ศ. 2562 หรือกฎหมายคุมครองขอมูลสวนบุคคลของสหภาพยุโรป (General Data Protection Regulation: GDPR) หรือเทียบเทา

  43. ผูดูแลระบบ และเจาของระบบ/เจาของขอมูลตองพิจารณาขอมูลสารสนเทศที่จะนําไปใชงานบนระบบ Cloud ใหสอดคลองตามที่กฎหมาย นโยบาย ระเบียบ หรือขอบังคับที่ภาครัฐกําหนด

  44. ผูดูแลระบบตองติดตาม ทบทวน และประเมินผลการใชบริการ Cloud อยางนอยปละ 1 ครั้ง