ประกวดราคาซื้อพร้อมพัฒนาระบบการแสดงผลข้อมูลการให้บริการรถไฟฟ้า (Smart City) โครงการรถไฟฟ้ามหานคร สายเฉลิมรัชมงคล ประจำปีงบประมาณ พ.ศ. 2569
โครงการนี้มีวัตถุประสงค์เพื่อนำเทคโนโลยีปัญญาประดิษฐ์ (AI) และระบบวิเคราะห์ภาพ (Video Analytics) มาใช้เพิ่มประสิทธิภาพการบริหารจัดการระบบรถไฟฟ้ามหานคร สายเฉลิมรัชมงคล โดย รฟม. ต้องการระบบที่สามารถตรวจสอบเวลาการมาถึงของขบวนรถ (ETA) แบบเรียลไทม์ผ่านการอ่านข้อความหน้าขบวนรถด้วยระบบ OCR รวมถึงการนับจำนวนผู้โดยสารและประเมินความหนาแน่นในพื้นที่ชานชาลาและภายในขบวนรถไฟฟ้า ณ สถานีสำคัญ (เช่น เตาปูนและบางซื่อ)
ขอบเขตงานครอบคลุมตั้งแต่การออกแบบระบบ การจัดหาและติดตั้งกล้อง CCTV ที่มีคุณสมบัติ AI/Edge Computing การติดตั้งระบบ Server และ Edge Computer ในสถานีต่างๆ การพัฒนา Windows Application เพื่อแสดงผลข้อมูล (Dashboard) และการเชื่อมโยงข้อมูลเข้ากับแอปพลิเคชัน MRTA Connect ของ รฟม. นอกจากนี้ยังเน้นย้ำเรื่องความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity) ตามมาตรฐาน OWASP และนโยบายของ รฟม. อย่างเคร่งครัด โดยผู้รับจ้างต้องส่งมอบ Source Code และเอกสารลิขสิทธิ์ทั้งหมดให้เป็นกรรมสิทธิ์ของ รฟม. โครงการนี้มีระยะเวลาดำเนินการรวม 548 วัน โดยมีการแบ่งงวดงาน 6 งวด และกำหนดการรับประกันความชำรุดบกพร่องเป็นเวลา 2 ปี
English summary
The Mass Rapid Transit Authority of Thailand (MRTA) is seeking bids for the “Smart City” project to enhance the Blue Line (MRT Chalerm Ratchamongkol Line) service. The project involves implementing AI-powered video analytics to monitor train arrival times (ETA) via OCR, passenger counting, and density analysis on platforms and inside train carriages. Data will be integrated into the MRTA Connect application to assist commuters in real-time travel planning. The scope includes hardware procurement (CCTV, Servers, Edge Computing), software development, and cybersecurity compliance. The project duration is 548 days with a budget of 28.5 million THB.
โครงการรถไฟฟ้ามหานคร สายเฉลิมรัชมงคล (สายสีน้ำเงิน)
ข้อมูลเชิงลึกของโครงการ
AI วิเคราะห์เป้าหมายโครงการ
- จัดหาระบบตรวจสอบการมาถึงของขบวนรถไฟฟ้า ระบบนับจำนวนผู้โดยสาร และระบบประเมินความหนาแน่น
- สนับสนุนการบริหารจัดการและการให้บริการของ รฟม. ให้มีประสิทธิภาพ
- นำข้อมูลมาวิเคราะห์ วางแผน และปรับปรุงการดำเนินงาน
- ต่อยอดข้อมูลเพื่อประกอบการวางแผนการเดินทางของผู้ใช้บริการผ่านแอปพลิเคชัน
ขอบเขตของงาน
- ศึกษาและวิเคราะห์ความต้องการ ออกแบบระบบ Smart City
- จัดหา ติดตั้ง และส่งมอบกล้อง CCTV แบบวิเคราะห์ภาพ (AI) และอุปกรณ์ต่อพ่วง
- พัฒนาซอฟต์แวร์ระบบการแสดงผลข้อมูล (Windows Application) และเชื่อมโยงข้อมูลกับ MRTA Connect
- ติดตั้ง Server และ Edge Computer ในสถานี
- ดำเนินการทดสอบประสิทธิภาพ (Performance Test, Load Testing, Stress Testing)
- ปฏิบัติตามมาตรฐานความปลอดภัยไซเบอร์ (Hardening, Source Code Review, OWASP)
- จัดฝึกอบรมการใช้งานและซ่อมบำรุง
สิ่งที่ต้องส่งมอบ
- ระบบ Smart City ที่ติดตั้งและใช้งานได้จริง
- Source Code ของซอฟต์แวร์ทั้งหมด
- รายงานผลการทดสอบระบบ (Performance Test, Security Test)
- คู่มือการใช้งานและคู่มือการดูแลระบบ (ภาษาไทย)
- เอกสารสิทธิ์การใช้งานซอฟต์แวร์ (License)
- รายงานผลการฝึกอบรม
ระยะเวลาดำเนินการ
548 วัน นับถัดจากวันลงนามในสัญญา
คุณสมบัติผู้เสนอราคา
- Eligibility Requirements: นิติบุคคลผู้มีอาชีพจำหน่ายและติดตั้งระบบกล้องโทรทัศน์วงจรปิด
- Standards Compliance: ผลิตภัณฑ์ต้องได้รับมาตรฐานสากล NDAA, FCC, UL และมาตรฐานด้านความปลอดภัยต่อผู้ใช้งาน
- Experience: มีผลงานติดตั้งระบบกล้องโทรทัศน์วงจรปิดแบบวิเคราะห์ภาพภายใน 5 ปี
- Previous Project Cost: มีผลงานที่มีมูลค่าเกิน 14,000,000 บาท
- Technical Capabilities: ต้องผ่านการทดสอบ Proof of Concept (POC) ภายใน 5 วันทำการหลังเสนอราคา
- Personnel: บุคลากรต้องผ่านการอบรมและได้รับใบอนุญาต PIC/APOSTLE จาก BEM เพื่อปฏิบัติงานในสถานี
เกณฑ์การพิจารณา
- ราคายื่นข้อเสนอ (30 คะแนน)
- ข้อเสนอด้านเทคนิคและคุณสมบัติที่เป็นประโยชน์ต่อ รฟม. (70 คะแนน) แบ่งเป็น:
- ผลงานของผู้ยื่นข้อเสนอ (20 คะแนน)
- บริการหลังการขาย (20 คะแนน)
- การทดสอบระบบวิเคราะห์ภาพ (POC) (60 คะแนน)
ข้อกำหนดทางเทคนิค
- กล้อง CCTV: ความละเอียดไม่น้อยกว่า 4MP, Frame Rate 50fps (สำหรับอ่านป้าย) / 25fps (สำหรับนับคน), มาตรฐาน IP67/IK10, รองรับ AI/Video Analytics (OCR, People Counting)
- Server: CPU 16 Core, RAM 32GB ECC, Storage 2TB SAS/SSD
- Edge Computer: CPU 8 Core, RAM 8GB
- Network: POE Access Switch Layer 2, รองรับ 10/100/1000 Base-T
เงื่อนไขสัญญา
- ชำระเงิน 6 งวด ตามความสำเร็จของงาน
- ค่าปรับร้อยละ 0.1 ของมูลค่าสัญญาต่อวันหากส่งมอบล่าช้า
- รับประกันความชำรุดบกพร่อง 2 ปี
คำถามที่พบบ่อย (FAQ)
- Q: ระบบต้องรองรับการอ่านป้ายหน้าขบวนรถในสภาวะใดบ้าง? A: ต้องอ่านได้ทั้งในสภาวะปกติและสภาวะฝนตก โดยมีความแม่นยำไม่ต่ำกว่า 95% และ 85% ตามลำดับ
- Q: ระบบต้องเก็บข้อมูล Log การใช้งานไว้นานเท่าใด? A: ข้อมูลการมาถึงของรถไฟฟ้าต้องเก็บไว้อย่างน้อย 1 ปี
- Q: หากระบบไม่ผ่านเกณฑ์ประสิทธิภาพ ผู้รับจ้างต้องทำอย่างไร? A: ต้องปรับปรุงแก้ไขให้สมบูรณ์โดยไม่คิดค่าใช้จ่ายเพิ่มเติม
- Q: การเชื่อมต่อข้อมูลกับระบบเดิมของ รฟม. ต้องทำอย่างไร? A: ต้องพัฒนาให้เชื่อมโยงผ่าน Web Service และรองรับการทำงานร่วมกับระบบ Firewall/Antivirus เดิม
- Q: ผู้รับจ้างต้องดูแลระบบหลังส่งมอบอย่างไร? A: ต้องเข้ามาตรวจสอบการทำงานและบำรุงรักษาระบบทุกๆ 6 เดือนตลอดระยะเวลารับประกัน
- Q: การยืนยันตัวตนผู้ใช้งานระบบต้องใช้มาตรฐานใด? A: ต้องรองรับ Azure Active Directory (Azure AD) และ Multi-Factor Authentication (MFA)
- Q: อุปกรณ์ที่ติดตั้งต้องมีมาตรฐานความปลอดภัยไซเบอร์อย่างไร? A: ต้องผ่านการทำ Hardening และปิดช่องโหว่ระดับ Critical/High ก่อน Go Live
- Q: การทดสอบ POC ต้องทำที่ไหน? A: ทดสอบภายในสถานีรถไฟฟ้ากับขบวนรถที่กำลังให้บริการจริงตามที่ รฟม. กำหนด
- Q: สายสัญญาณที่ใช้ต้องมีคุณสมบัติพิเศษหรือไม่? A: ต้องเป็นชนิด LSZH (Low Smoke Zero Halogen) เพื่อความปลอดภัย
- Q: หากเกิดภัยธรรมชาติจนทำงานไม่ได้ ต้องแจ้งภายในกี่วัน? A: ต้องแจ้งภายใน 7 วันนับจากวันที่ทราบเหตุ
เอกสารขอบเขตงาน (TOR) ฉบับเต็ม
ข้อก ำหนดและขอบเขตงำน
งำนซื้อพร้อมพัฒนำระบบกำรแสดงผลข้อมูลกำรให้บริกำรรถไฟฟ้ำ (Smart City) โครงกำรรถไฟฟ้ำมหำนคร สำยเฉลิมรัชมงคล
ประจ ำปีงบประมำณ พ.ศ. 2569
- ควำมเป็นมำของโครงกำร
การรถไฟฟ้าขนส่งมวลชนแห่งประเทศไทย (รฟม.) ได้ด าเนินการขยายโครงข่ายระบบรถไฟฟ้าอย่าง ต่อเนื่อง โดยปัจจุบันได้เปิดให้บริการแล้วจ านวน 4 โครงการ อย่างไรก็ตาม รฟม. ยังขาดความสามารถ ในการให้ข้อมูลเวลาการมาถึงของขบวนรถไฟฟ้าและความหนาแน่นของผู้โดยสารแบบเรียลไทม์แก่ผู้ใช้บริการ การขาดแคลนข้อมูลดังกล่าวส่งผลให้ผู้โดยสารไม่สามารถวางแผนการเดินทางได้อย่างมีประสิทธิภาพ ขณะเดียวกันเจ้าหน้าที่ยังต้องอาศัยการประเมินด้วยสายตา ซึ่งอาจน ามาซึ่งความล่าช้าในการตัดสินใจและ
การบริหารจัดการภายในสถานี ในการนี้ รฟม. จึงมีความประสงค์จะใช้เทคโนโลยีปัญญาประดิษฐ์ (AI) เพื่อเพิ่ม ประสิทธิภาพส าหรับการวิเคราะห์ข้อมูลต่าง ๆ ในการบริหารงานในระบบรถไฟฟ้าขนส่งมวลชน ได้แก่ การตรวจสอบเวลาการมาถึงของขบวนรถไฟฟ้าและการประเมินความหนาแน่นของผู้โดยสารในระบบรถไฟฟ้า แบบเรียลไทม์ เพื่อพัฒนาต่อยอดการให้บริการข้อมูลในการวางแผนการเดินทางผ่านแอปพลิเคชั่น MRTA
Connect ของ รฟม. ส าหรับผู้ที่ก าลังจะเข้ามาใช้บริการในระบบรถไฟฟ้า - วัตถุประสงค์
2.1 เพื่อด าเนินการจัดหาระบบตรวจสอบการมาถึงของขบวนรถไฟฟ้า ระบบนับจ านวนผู้โดยสาร ระบบ ประเมินความหนาแน่นของผู้โดยสาร และระบบตรวจสอบระยะเวลารอคอยของผู้โดยสารที่ใช้บริการในระบบ รถไฟฟ้า
2.2 เพื่อสนับสนุนการบริหารจัดการและการให้บริการของ รฟม. ให้มีประสิทธิภาพและเหมาะสมกับ ความต้องการของผู้โดยสารมากยิ่งขึ้น
2.3 เพื่อน าข้อมูลที่ได้จากระบบดังกล่าวส าหรับการวิเคราะห์ วางแผน และปรับปรุงการด าเนินงานด้านการ ให้บริการระบบรถไฟฟ้าอย่างเป็นระบบและมีประสิทธิภาพ
2.4 เพื่อน าข้อมูลที่ได้ไปต่อยอดเป็นข้อมูลประกอบการวางแผนการเดินทางของผู้ใช้บริการผ่านแอปพลิเคชัน ก่อนการเข้ามาใช้บริการในระบบรถไฟฟ้า - คุณสมบัติผู้ยื่นข้อเสนอ
3.1 มีความสามารถตามกฎหมาย
3.2 ไม่เป็นบุคคลล้มละลาย
3.3 ไม่อยู่ระหว่างเลิกกิจการ
3.4 ไม่เป็นบุคคลซึ่งอยู่ระหว่างถูกระงับการยื่นข้อเสนอหรือท าสัญญากับหน่วยงานของรัฐไว้ชั่วคราว เนื่องจากเป็นผู้ที่ไม่ผ่านเกณฑ์การประเมินผลการปฏิบัติงานของผู้ประกอบการตามระเบียบที่รัฐมนตรีว่าการ กระทรวงการคลังก าหนดตามที่ประกาศเผยแพร่ในระบบเครือข่ายสารสนเทศของกรมบัญชีกลาง
3.5 ไม่เป็นบุคคลซึ่งถูกระบุชื่อไว้ในบัญชีรายชื่อผู้ทิ้งงานและได้แจ้งเวียนชื่อให้เป็นผู้ทิ้งงานของหน่วยงาน ของรัฐในระบบเครือข่ายสารสนเทศของกรมบัญชีกลาง ซึ่งรวมถึงนิติบุคคลที่ผู้ทิ้งงานเป็นหุ้นส่วนผู้จัดการ กรรมการผู้จัดการ ผู้บริหาร ผู้มีอ านาจในการด าเนินงานในกิจการของนิติบุคคลนั้นด้วย /3.6 มีคุณสมบัติ…
- 2 -
3.6 มีคุณสมบัติและไม่มีลักษณะต้องห้ามตามที่คณะกรรมการนโยบายการจัดซื้อจัดจ้าง และการบริหาร พัสดุภาครัฐก าหนดในราชกิจจานุเบกษา
3.7 เป็นนิติบุคคลผู้มีอาชีพจ าหน่ายและติดตั้งระบบกล้องโทรทัศน์วงจรปิด
3.8 ไม่เป็นผู้มีผลประโยชน์ร่วมกันกับผู้ยื่นข้อเสนอรายอื่นที่เข้ายื่นข้อเสนอให้แก่ รฟม. ณ วันประกาศ ประกวดราคาอิเล็กทรอนิกส์ หรือไม่เป็นผู้กระท าการอันเป็นการขัดขวางการแข่งขันอย่างเป็นธรรมในการ ประกวดราคาอิเล็กทรอนิกส์ครั้งนี้
3.9 ไม่เป็นผู้ได้รับเอกสิทธิ์หรือความคุ้มกัน ซึ่งอาจปฏิเสธไม่ยอมขึ้นศาลไทย เว้นแต่รัฐบาลของผู้ยื่นข้อเสนอ ได้มีค าสั่งให้สละเอกสิทธิ์และความคุ้มกันเช่นว่านั้น
3.10 ผู้ยื่นข้อเสนอที่ยื่นข้อเสนอในรูปแบบของ “กิจการร่วมค้า” ต้องมีคุณสมบัติดังนี้ (1) การก าหนดสัดส่วนในการเข้าร่วมค้าของคู่สัญญา
กรณีที่ข้อตกลงฯ ก าหนดให้ผู้เข้าร่วมค้ารายใดรายหนึ่งเป็นผู้เข้าร่วมค้าหลัก ข้อตกลงฯ จะต้อง มีการก าหนดสัดส่วนหน้าที่และความรับผิดชอบในปริมาณงาน สิ่งของ หรือมูลค่าตามสัญญาของผู้เข้าร่วมค้าหลัก มากกว่าผู้เข้าร่วมค้ารายอื่นทุกราย
(2) กรณีที่ข้อตกลงฯ ก าหนดให้ผู้เข้าร่วมค้ารายใดรายหนึ่งเป็นผู้เข้าร่วมค้าหลัก กิจการร่วมค้านั้นต้องใช้ ผลงานของผู้เข้าร่วมค้าหลักรายเดียวเป็นผลงานของกิจการร่วมค้าที่ยื่นข้อเสนอ
ส าหรับข้อตกลงฯ ที่ไม่ได้ก าหนดให้ผู้เข้าร่วมค้ารายใดเป็นผู้เข้าร่วมค้าหลัก ผู้เข้าร่วมค้าทุกราย จะต้องมีคุณสมบัติครบถ้วนตามเงื่อนไขที่ก าหนดไว้ในเอกสารเชิญชวน
(3) การยื่นข้อเสนอของกิจการร่วมค้า
(3.1) กรณีที่ข้อตกลงฯ ก าหนดให้มีการมอบหมายผู้เข้าร่วมค้ารายใดรายหนึ่งเป็นผู้ยื่นข้อเสนอ ในนามกิจการร่วมค้า การยื่นข้อเสนอดังกล่าวไม่ต้องมีหนังสือมอบอ านาจ
ส าหรับข้อตกลงฯ ที่ไม่ได้ก าหนดให้ผู้เข้าร่วมค้ารายใดเป็นผู้ยื่นข้อเสนอ ผู้เข้าร่วมค้าทุกราย จะต้องลงลายมือชื่อในหนังสือมอบอ านาจให้ผู้เข้าร่วมค้ารายใดรายหนึ่งเป็นผู้ยื่นข้อเสนอในนามกิจการร่วมค้า (3.2) การยื่นข้อเสนอด้วยวิธีประกวดราคาอิเล็กทรอนิกส์ (e - bidding) ให้ผู้เข้าร่วมค้าที่ได้รับ มอบหมายหรือมอบอ านาจตามข้อ (3.1) ด าเนินการซื้อเอกสารประกวดราคาอิเล็กทรอนิกส์ กรณีที่มีการ จ าหน่ายเอกสารซื้อหรือจ้าง
3.11 ผู้ยื่นข้อเสนอต้องลงทะเบียนในระบบจัดซื้อจัดจ้างภาครัฐด้วยอิเล็กทรอนิกส์ (Electronic Government Procurement: e - GP) ของกรมบัญชีกลาง
3.12 ผู้ยื่นข้อเสนอต้องมีมูลค่าสุทธิของกิจการเป็นไปตามหนังสือคณะกรรมการวินิจฉัยปัญหา การจัดซื้อจัดจ้างและการบริหารพัสดุภาครัฐ กรมบัญชีกลาง ด่วนที่สุด ที่ กค (กวจ) 0405.2/ว48 ลงวันที่ 20 มกราคม 2568 เรื่อง แนวทางการพิจารณางบแสดงฐานะการเงินตามหนังสือคณะกรรมการวิจฉัยปัญหา การจัดซื้อจัดจ้างและการบริหารพัสดุภาครัฐ ด่วนที่สุดที่ กค (กวจ) 0405.2/ว124 ลงวันที่ 1 มีนาคม 2566
และ ด่วนที่สุดที่ กค (กวจ) 0405.2/ว 814 ลงวันที่ 26 ธันวาคม 2567
/4. ขอบเขต… - 3 -
- ขอบเขตกำรด ำเนินงำน
4.1 ผู้ยื่นข้อเสนอต้องศึกษา วิเคราะห์รายละเอียดความต้องการของ รฟม. ส าหรับระบบตรวจสอบ การมาถึงของขบวนรถไฟฟ้า การตรวจสอบความหนาแน่นของผู้โดยสารภายในขบวนรถไฟฟ้าและชานชาลา โดยให้เรียกระบบนี้ว่า “Smart City” เพื่อน ามาใช้ออกแบบและพัฒนาระบบการแสดงผลข้อมูลการให้บริการ รถไฟฟ้าของ รฟม. พร้อมทั้งวางแผนรายละเอียดการด าเนินงาน น าเสนอเชิงแนวคิด (Conceptual) และ รายละเอียด (Detailed) ให้ รฟม. พิจารณาก่อนด าเนินการพัฒนาซอฟต์แวร์
4.2 ผู้ยื่นข้อเสนอต้องจัดหา ติดตั้ง และส่งมอบอุปกรณ์กล้องโทรทัศน์วงจรปิดแบบวิเคราะห์ภาพ และ อุปกรณ์ต่อพ่วงอื่น ๆ (ถ้ามี)
4.3 ผู้ยื่นข้อเสนอต้องออกแบบและพัฒนาระบบ Smart City ให้สามารถท างานร่วมกับกล้องโทรทัศน์วงจรปิด ที่จัดหาในโครงการนี้และกล้องโทรทัศน์วงจรปิดที่ รฟม. มีอยู่ตามภาคผนวก ก โดยต้องสอดคล้องกับ คุณสมบัติตามข้อก าหนดและผลการศึกษาวิเคราะห์รายละเอียดความต้องการของระบบตามข้อ 4.1 รวมถึง ติดตั้งและส่งมอบซอฟต์แวร์อื่น ๆ ที่เกี่ยวข้องทั้งหมดของระบบการแสดงผลข้อมูลการให้บริการรถไฟฟ้า ซึ่งจะต้องมีลิขสิทธิ์ถูกต้องตามกฎหมายและมอบให้เป็นสิทธิ์การใช้งานของ รฟม.
4.4 ซอฟต์แวร์ (Source Code) ที่ได้มีการพัฒนาขึ้น (ในกรณีที่มีการพัฒนาระบบ) รวมทั้งรายงานหรือ เอกสารใด ๆ ที่ผู้ยื่นข้อเสนอได้ท าขึ้นอันเนื่องมาจากการปฏิบัติงานตามสัญญานี้ ให้ตกเป็นกรรมสิทธิ์และ ลิขสิทธิ์ของ รฟม. ทั้งหมด อย่างไรก็ตาม ผู้ยื่นข้อเสนออาจเก็บส าเนารายงานและเอกสารดังกล่าวไว้เพื่อเป็น ประวัติการท างานของผู้ยื่นข้อเสนอเองได้
4.5 ผู้ยื่นข้อเสนอต้องพัฒนาโดยเชื่อมโยงข้อมูลระหว่างระบบ Smart City กับ MRTA Connect และระบบ สารสนเทศของ รฟม. (ถ้ามี) ทั้งที่ใช้งานอยู่ในปัจจุบันและรองรับการเชื่อมโยงข้อมูลกับระบบของ รฟม. ที่จะ เกิดขึ้นในอนาคต เพื่อให้สามารถเชื่อมโยงข้อมูลสารสนเทศระหว่างระบบได้โดยอัตโนมัติ เมื่อระบบมีการร้องขอ ข้อมูลสารสนเทศที่เกี่ยวข้อง
4.6 ผู้ยื่นข้อเสนอต้องติดตั้งและส่งมอบซอฟต์แวร์ระบบปฏิบัติการ (Operating System) รุ่นล่าสุดที่มีขาย ตามท้องตลาด โดยต้องมีสิทธิ์การใช้งานและลิขสิทธิ์ถูกต้องและครบถ้วนส าหรับเครื่องคอมพิวเตอร์แม่ข่าย (server) ของระบบการแสดงผลข้อมูลการให้บริการรถไฟฟ้าของ รฟม. เพื่อให้สามารถท างานได้อย่างมี ประสิทธิภาพ
4.7 ผู้ยื่นข้อเสนอต้องติดตั้งและส่งมอบซอฟต์แวร์บริหารจัดการระบบฐานข้อมูล (Database Management System) รุ่นล่าสุดที่มีขายตามท้องตลาด อย่างน้อยต้องเป็นเวอร์ชัน Standard และอัปเกรดเวอร์ชันได้ โดยสามารถใช้งานร่วมกับระบบที่เสนอได้จนกว่าจะสิ้นสุดระยะเวลาของโครงการ โดยคณะกรรมการตรวจรับพัสดุ ได้ตรวจรับงานและตกลงรับมอบงานทั้งหมดที่ถูกต้องครบถ้วนเป็นที่เรียบร้อยแล้ว พร้อมสิทธิ์การใช้งานและมีลิขสิทธิ์ ถูกต้องครบถ้วนตามกฎหมาย เพื่อให้ใช้งานกับระบบ Smart City และสามารถท างานบนระบบปฏิบัติการ ตามข้อ 4.6 ได้อย่างมีประสิทธิภาพ
4.8 ผู้ยื่นข้อเสนอต้องด าเนินการทดสอบ ตรวจสอบประสิทธิภาพ รวมถึงปรับแต่งระบบและเงื่อนไขการ ท างานของระบบ Smart City ให้สอดคล้องกับภารกิจ บทบาทหน้าที่ และแนวทางการปฏิบัติงานของ รฟม. โดยจะต้องท าการทดสอบระบบกล้องโทรทัศน์วงจรปิด ทั้งในส่วนที่จัดหาใหม่ในโครงการนี้และระบบเดิมที่มีอยู่ ของ รฟม. ให้สามารถรองรับการปฏิบัติงานได้อย่างมีประสิทธิภาพทั้งในเวลากลางวันและกลางคืน ในกรณีที่ ผลการทดสอบพบว่าระบบยังไม่สมบูรณ์ หรือไม่ผ่านเกณฑ์ประสิทธิภาพตามที่ รฟม. ก าหนดไว้ในภาคผนวก ข ผู้ยื่นข้อเสนอจะต้องด าเนินการปรับปรุงแก้ไขระบบดังกล่าวให้เสร็จสมบูรณ์และพร้อมใช้งาน โดยไม่คิด ค่าใช้จ่ายเพิ่มเติมใด ๆ ทั้งสิ้นจาก รฟม.
/4.9 ผู้ยื่น…
- 4 -
4.9 ผู้ยื่นข้อเสนอต้องด าเนินการทดสอบสมรรถภาพและประสิทธิภาพของระบบ (Performance Test) บนเครือข่ายที่ รฟม. ก าหนด ซึ่งรวมถึงการตอบสนองการเรียกใช้งาน (Response Time) (ไม่เกิน 4 วินาที) การทดสอบใช้งานระบบในระดับที่คาดว่าจะใช้งานจริง (Load Testing) และการทดสอบใช้งานระบบในระดับ ที่คาดว่าจะใช้งานเกินจริง (Stress Testing) พร้อมส่งมอบเอกสารในงานงวดสุดท้าย
4.10 ผู้ยื่นข้อเสนอต้องด าเนินการปิดบังข้อมูลส่วนบุคคล รวมถึงข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Data) ด้วยวิธี Data Masking ข้อมูลที่แสดงในระบบ Smart City และเข้ารหัสข้อมูล (Encryption) ในฐานข้อมูลตามที่ รฟม. ก าหนด
4.11 ผู้ยื่นข้อเสนอต้องวิเคราะห์และปิดช่องโหว่ (Hardening) ของระบบการแสดงผลข้อมูลการให้บริการ รถไฟฟ้าและซอฟต์แวร์ที่ใช้ในการพัฒนาระบบ หากซอฟต์แวร์นั้น ๆ มีการประกาศช่องโหว่ รวมทั้งช่องโหว่ที่ รฟม. ตรวจพบ โดยจะต้องปิดช่องโหว่ที่มีระดับความรุนแรงในระดับวิกฤติ (Critical) ระดับสูง (High) ครบทุกช่องโหว่ ก่อนการ Go Live พร้อมส่งมอบเอกสารในงานงวดสุดท้าย
4.12 ผู้ยื่นข้อเสนอต้องตรวจสอบความมั่นคงปลอดภัยของ Source Code (Source Code Review) ตามมาตรฐานที่ รฟม. ก าหนด
4.13 ผู้ยื่นข้อเสนอต้องมีการควบคุมเวอร์ชัน (Version Control) และ Source Code เมื่อมีการเปลี่ยนแปลง การแก้ไขระบบต่าง ๆ โดยส่งมอบเอกสารในงานงวดสุดท้าย
4.14 ซอฟต์แวร์ที่น ามาใช้ในการพัฒนาระบบต้องเป็นเวอร์ชันที่อัปเดตล่าสุด หรือย้อนหลังได้ไม่เกิน 1 เวอร์ชัน เพื่อลดความเสี่ยงจากช่องโหว่ต่าง ๆ ที่อาจเกิดขึ้นจากการใช้งานซอฟต์แวร์เวอร์ชันเก่า 4.15 การพัฒนา Windows Application หรือ Mobile Application ให้พัฒนาด้านความมั่นคงปลอดภัย ตามมาตรฐาน OWASP (Open Web Application Security Project) Top 10 ล่าสุด มาตรฐาน CWE (Common Weakness Enumeration) Top 25 มาตรฐานสากลที่เป็นที่ยอมรับ หรือประกาศคณะกรรมการการรักษาความ มั่นคงปลอดภัยไซเบอร์แห่งชาติ เรื่องมาตรฐานการรักษาความมั่นคงปลอดภัยเว็บไซต์ พ.ศ. 2568 4.16 ผู้ยื่นข้อเสนอต้องออกแบบ พัฒนา ติดตั้ง และทดสอบระบบที่เสนอ เพื่อให้ระบบ Firewall ระบบ Antivirus ระบบ Backup Data และระบบอื่น ๆ ที่ รฟม. มีและใช้งานอยู่ในปัจจุบัน ท างานร่วมกันได้ อย่างมีประสิทธิภาพ
4.17 ผู้ยื่นข้อเสนอต้องไม่เปิดเผยข้อมูลอันเป็นความลับใด ๆ หรือข้อมูลอื่นใดทั้งหมดหรือบางส่วนที่ ได้รับหรือรับรู้มาจาก รฟม. ให้ผู้อื่นทราบโดยมิได้รับความยินยอมจาก รฟม. และต้องควบคุม ก ากับไม่ให้ ผู้ปฏิบัติงานของผู้ยื่นข้อเสนอ เปิดเผยข้อมูลอันเป็นความลับใด ๆ หรือข้อมูลอื่นใดทั้งหมดหรือบางส่วนที่ได้รับ หรือรับรู้มาจาก รฟม. ให้ผู้อื่นทราบเช่นกัน หากมีความเสียหายต่อ รฟม. ผู้ยื่นข้อเสนอต้องรับผิดชอบต่อความ เสียหายที่เกิดขึ้นทั้งหมด
4.18 ผู้ปฏิบัติงานของผู้ยื่นข้อเสนอทุกคนต้องลงนามในสัญญาว่าจะไม่เปิดเผยความลับของ รฟม. (Non-Disclosure Agreement: NDA) ก่อนเริ่มปฏิบัติงานให้ รฟม.
4.19 ผู้ยื่นข้อเสนอต้องส่งบุคลากรเข้าร่วมการฝึกอบรมด้านความมั่นคงปลอดภัยสารสนเทศ (Information Security Awareness) ตามรอบที่ รฟม. ก าหนด เพื่อสร้างความตระหนักที่เหมาะสม รวมถึง ทบทวนนโยบายการรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศ และขั้นตอนปฏิบัติของ รฟม. (ถ้ามี)
/4.20 ผู้ยื่น… - 5 -
4.20 ผู้ยื่นข้อเสนอต้องปฏิบัติตามนโยบายการรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศ ของ รฟม. ตามภาคผนวก จ หากผู้ยื่นข้อเสนอไม่ปฏิบัติตามนโยบายการรักษาความมั่นคงปลอดภัยของระบบ เทคโนโลยีสารสนเทศจนก่อให้เกิดความเสียหาย รฟม. ขอสงวนสิทธิ์ในการเรียกร้องค่าเสียหายอันเนื่องมาจากการ ไม่ปฏิบัติตามนโยบายการรักษาความมั่นคงปลอดภัยดังกล่าว
- ขอบเขตงำนด้ำนกำรจัดหำและติดตั้งอุปกรณ์ (Hardware Procurement & Installation) 5.1 ผู้ยื่นข้อเสนอต้องจัดท าตารางแสดงรายการวัสดุอุปกรณ์ที่เสนอ โดยเรียงล าดับชื่อวัสดุอุปกรณ์แต่ละ รายการอย่างชัดเจน พร้อมแนบแค็ตตาล็อก (Catalogue) และหรือเอกสารแสดงรายละเอียดคุณสมบัติต่าง ๆ ของ อุปกรณ์แต่ละรายการ โดยผู้ยื่นข้อเสนอต้องท าเครื่องหมายในแค็ตตาล็อก ตรงข้อความที่ระบุชื่อยี่ห้อ รุ่น และ คุณสมบัติของวัสดุของอุปกรณ์ที่จะน ามาติดตั้ง
5.2 แค็ตตาล็อกและ/หรือเอกสารแสดงคุณสมบัติวัสดุ อุปกรณ์หรือเอกสารประกอบใด ๆ ที่ผู้ยื่นข้อเสนอ น ามาติดตั้งเพื่อการส่งมอบทุกหน้าต้องลงนามก ากับโดยผู้มีอ านาจตามกฎหมาย พร้อมประทับตราของ หน่วยงานผู้ยื่นข้อเสนอ (ถ้ามี)
5.3 วัสดุ อุปกรณ์ใดที่ก าหนดให้เป็นผลิตภัณฑ์ที่ได้รับรองมาตรฐาน มอก. ต้องมีส าเนาใบรับรอง มอก. หรือมี เอกสารทางราชการที่แสดงถึงการได้รับรอง มอก. หรือเทียบเท่า ของผลิตภัณฑ์ยี่ห้อ รุ่น เพื่อประกอบการพิจารณา ส่วนวัสดุ อุปกรณ์ที่ก าหนดให้เป็นผลิตภัณฑ์ตามมาตรฐานอื่นต้องมีชื่อมาตรฐานดังกล่าว ปรากฏอยู่ในแค็ตตาล็อก หรือมีหนังสือรับรองจากผู้ผลิตหรือผู้แทนจ าหน่ายที่ได้รับการแต่งตั้งจากผู้ผลิตรับรองว่าเป็นผลิตภัณฑ์ตาม มาตรฐานที่ก าหนด แนบประกอบการพิจารณาด้วย
5.4 หากมีอุปสรรคส าคัญจากภัยธรรมชาติที่ท าให้ไม่สามารถเข้าด าเนินการในพื้นที่ได้ เช่น ฝนตก ฟ้าคะนอง ลมกระโชกแรง และคาดว่าไม่สามารถด าเนินการติดตั้งได้ทันตามระยะเวลาในสัญญาจ้าง ให้ผู้ยื่นข้อเสนอแจ้งเหตุ ดังกล่าวแก่ รฟม. พร้อมระบุถึงอุปสรรคจากภัยธรรมชาติที่ส่งผลให้ไม่สามารถด าเนินการติดตั้งได้ ภายใน 7 วัน นับถัดจากวันที่ทราบเหตุนั้น โดยรฟม. จะพิจารณาตามข้อเท็จจริง
5.5 พนักงานหรือบุคลากรของผู้ยื่นข้อเสนอจะต้องผ่านการอบรมการปฏิบัติงานภายในสถานีรถไฟฟ้าและ ปฏิบัติตามระเบียบข้อบังคับของบริษัท ทางด่วนและรถไฟฟ้ากรุงเทพ จ ากัด (มหาชน) (BEM) ก าหนด และ ต้องได้รับใบอนุญาตเป็น PIC/APOSTLE (Person in Charge) ซึ่งสามารถขอเอกสารใบ Work Permit จาก BEM และได้รับอนุญาตให้ปฏิบัติงานภายในสถานีโครงการรถไฟฟ้ามหานคร สายเฉลิมรัชมงคล ภายหลังจากที่ได้มีการ ลงนามในสัญญาแล้ว
5.6 กรณีที่มีการเปลี่ยนแปลงการตั้งค่า (Re-config) ของระบบและอุปกรณ์ที่ได้ติดตั้งตามสัญญานี้รฟม. มีสิทธิ์ที่จะแจ้งให้ผู้ยื่นข้อเสนอมาด าเนินการให้ รฟม. ได้ตลอดอายุสัญญา โดย รฟม. ไม่เสียค่าใช้จ่ายใด ๆ เพิ่มเติม ทั้งสิ้น
5.7 ผู้ยื่นข้อเสนอต้องจัดหาพร้อมติดตั้งระบบกล้องโทรทัศน์วงจรปิดแบบวิเคราะห์ภาพ และอุปกรณ์ ต่อพ่วงอื่น ๆ (ถ้ามี) ติดตั้งทุกสถานีส าหรับระบบ Smart Cityซึ่งมีรายละเอียดและคุณสมบัติด้านเทคนิค ดังนี้ 5.7.1 กล้องโทรทัศน์วงจรปิดต้องสามารถอ่านข้อมูลบน Display ที่อยู่บนบริเวณด้านหน้าขบวน รถไฟฟ้า ทั้งในขณะรถวิ่งและรถหยุดนิ่งได้ ซึ่งประกอบไปด้วยข้อมูลสถานีปลายทาง (Destination) หมายเลข ขบวนรถไฟฟ้า (Vehicle Number) หมายเลขการให้บริการ (Service Number) และข้อมูลอื่น ๆ (ถ้ามี) พร้อมทั้งน าข้อมูลที่ได้ไปประมวลผล เพื่อแจ้งต าแหน่งขบวนรถไฟฟ้า และการมาถึงของรถไฟฟ้าขบวนนั้น ๆ /แบบเรียลไทม์…
- 6 -
แบบเรียลไทม์ (Real-time) ได้ โดยมีตัวอย่างการวางต าแหน่ง ตามรูปที่ 1 และตัวอย่างข้อมูลที่ปรากฏบน Display ตามรูปที่ 2
รูปที่ 1 ตัวอย่างการวางต าแหน่งติดตั้งระบบตรวจสอบการมาถึงของขบวนรถไฟฟ้า
สถานีปลายทาง
หมายเลขขบวนรถไฟฟ้า หมายเลขการให้บริการ
รูปที่ 2 ตัวอย่างข้อมูลที่ปรากฏบน Display
5.7.2 กล้องโทรทัศน์วงจรปิดแบบวิเคราะห์ภาพที่ติดตั้งจะต้องท างานได้ครอบคลุมต่อการให้บริการ ขบวนรถไฟฟ้าทุกสถานีของโครงการรถไฟฟ้ามหานคร สายเฉลิมรัชมงคล โดยแบ่งเป็น 2 ประเภท ได้แก่ 5.7.2.1 การให้บริการขบวนรถไฟฟ้าแบบ 1 ทิศทาง/1ชานชาลา จ านวน 35 สถานี ซึ่งเป็น สถานีที่มีการเดินรถไฟฟ้าในสภาวะปกติ (ขบวนรถไฟฟ้าจะเข้าด้านใดด้านหนึ่งของสถานี)
/5.7.2.2 การให้…
- 7 -
5.7.2.2 การให้บริการขบวนรถไฟฟ้าแบบ 2 ทิศทาง/1ชานชาลา จ านวน 3 สถานี ได้แก่ สถานีรถไฟฟ้าท่าพระ สถานีรถไฟฟ้าบางโพ และสถานีรถไฟฟ้าเตาปูน ที่มีการเดินขบวนรถไฟฟ้าเสริม (ขบวนรถไฟฟ้าจะเข้าสถานีทั้ง 2 ด้านและมีการกลับรถภายในสถานี)
5.7.3 ผู้ยื่นข้อเสนอจะต้องจัดหาและติดตั้งอุปกรณ์กล้องโทรทัศน์วงจรปิดแบบวิเคราะห์ภาพ ให้เพียงพอ ครบทั้ง 38 สถานีซึ่งจะต้องมีคุณสมบัติด้านเทคนิคขั้นต่ า ดังนี้
5.7.3.1 กล้องต้องมีเทคโนโลยี AI และเทคโนโลยีการวิเคราะห์ภาพที่อยู่ในตัวกล้องเพื่อใช้ ในการสร้างเงื่อนไขในการท า Video Analytics
5.7.3.2 มีความละเอียดของภาพสูงสุดไม่น้อยกว่า 2688 × 1520 pixel หรือไม่น้อยกว่า 4,085,760 pixel
5.7.3.3 มี Frame Rate ไม่น้อยกว่า 50 ภาพต่อวินาที (Frame per second) ที่ความ ละเอียดของภาพไม่น้อยกว่า 2688 × 1520 pixel หรือไม่น้อยกว่า 4,085,760 pixel 5.7.3.4 ใช้เทคโนโลยี IR-Cut filter หรือ Infrared Cut-off Removable (ICR) ส าหรับการ บันทึกภาพได้ทั้งกลางวันและกลางคืนโดยอัตโนมัติ
5.7.3.5 มีความไวแสงน้อยสุด ไม่มากกว่า 0.15 LUX ส าหรับการแสดงภาพสี (Color) 5.7.3.6 มีขนาดตัวรับภาพ (Image Sensor) ไม่น้อยกว่า 1/3 นิ้ว
5.7.3.7 มีผลต่างค่าความยาวโฟกัสต่ าสุดกับค่าความยาวโฟกัสสูงสุดไม่น้อยกว่า 4.5 มิลลิเมตร
5.7.3.8 สามารถตรวจจับความเคลื่อนไหวอัตโนมัติ(Motion Detection) ได้
5.7.3.9 มีฟังก์ชันในการวิเคราะห์และประมวลผลภาพได้ (AI) เช่น ตรวจจับการเคลื่อนไหวใน พื้นที่ที่ก าหนด ตรวจจับการบุกรุกข้ามเส้นที่ก าหนด และตรวจสอบแผ่นป้ายทะเบียนอย่างน้อย 2 ช่องทาง จราจร
5.7.3.10 สามารถแสดงรายละเอียดของภาพที่มีความแตกต่างของแสงมาก (Wide Dynamic Range หรือ Super Dynamic Range) ได้
5.7.3.11 สามารถส่งสัญญาณภาพ (Streaming) ไปแสดงได้อย่างน้อย 2 แหล่ง
5.7.3.12 ได้รับมาตรฐาน Onvif (Open Network Video Interface Forum)
5.7.3.13 สามารถส่งสัญญาณภาพได้ตามมาตรฐาน H.265 เป็นอย่างน้อย
5.7.3.14 สามารถใช้งานตามโปรโตคอล (Protocol) IPv4 และ IPv6 ได้
5.7.3.15 ตัวกล้องได้มาตรฐาน IP67 และมาตรฐาน IK10
5.7.3.16 สามารถท างานได้ที่อุณหภูมิ -10 °C ถึง 60 °C เป็นอย่างน้อย
5.7.3.17 มีช่องเชื่อมต่อระบบเครือข่าย (Network Interface) แบบ 10/100 Base-T หรือ ดีกว่า และสามารถท างานได้ตามมาตรฐาน IEEE 802.3af หรือ IEEE 802.3at (Power over Ethernet) ใน ช่องเดียวกันได้
5.7.3.18สามารถใช้งานกับมาตรฐาน HTTP, HTTPS, “NTP หรือ SNTP”, SNMP, RTSP, IEEE802.1X ได้เป็นอย่างน้อย
5.7.3.19 มีช่องรองรับการบันทึกข้อมูลลงหน่วยความจ าแบบ SD Card หรือ MicroSD Card หรือ Mini SD Card
5.7.3.20ต้องมี Software Development Kit (SDK) หรือ Application Programming Interface (API) ที่มีลิขสิทธิ์ถูกต้อง
/5.7.3.21 ได้รับ… - 8 -
5.7.3.21 ได้รับมาตรฐานด้านความปลอดภัยต่อผู้ใช้งาน
5.7.3.22 ผู้ผลิตต้องได้รับมาตรฐานด้านระบบการจัดการสิ่งแวดล้อม
5.7.3.23 ผู้ผลิตต้องได้รับมาตรฐานด้านการบริหารจัดการหรือบริหารงานที่มีคุณภาพ 5.7.3.24 ผลิตภัณฑ์ต้องได้รับมาตรฐานระดับสากล NDAA, FCC, UL
5.7.4 ระบบจะต้องมีเทคโนโลยีปัญญาประดิษฐ์ (Artificial Intelligence : AI) และระบบวิเคราะห์ภาพ (Video Analytics) ที่สามารถประมวลผลได้ภายในตัวกล้อง (Edge AI) หรือท างานร่วมกับระบบประมวลผล ภายนอกได้ โดยต้องไม่กระทบต่อประสิทธิภาพการท างานตามวัตถุประสงค์ของโครงการ
5.7.5 ระบบต้องสามารถตรวจจับและอ่านข้อความ (Optical Character Recognition : OCR หรือ Text Recognition) จากป้ายดิจิทัลหรือจออิเล็กทรอนิกส์ (LED / Dot-matrix Display) ที่ติดตั้งอยู่บริเวณ ด้านหน้าของขบวนรถไฟฟ้าได้
5.7.6 ระบบอ่านตัวอักษรต้องรองรับการอ่านตัวอักษรภาษาไทยหรือภาษาอังกฤษเป็นอย่างน้อย และสามารถท างานได้ขณะที่ขบวนรถไฟฟ้าก าลังเคลื่อนที่
5.7.7 กล้องโทรทัศน์วงจรปิดจะต้องสามารถอ่านป้าย LED ได้อย่างชัดเจนในทุกสภาพอากาศ 5.7.8 ระบบจะต้องสามารถก าหนดพื้นที่การตรวจจับ (Region of Interest : ROI) เพื่อใช้ในการ วิเคราะห์เฉพาะบริเวณด้านหน้าขบวนรถไฟฟ้าได้
5.8 ผู้ยื่นข้อเสนอต้องจัดหาพร้อมติดตั้งอุปกรณ์กล้องโทรทัศน์วงจรปิด และอุปกรณ์ต่อพ่วงอื่น ๆ (ถ้ามี) ติดตั้งทุกสถานี ส าหรับระบบตรวจสอบความหนาแน่นของผู้โดยสารภายในชั้นชานชาลา รวมถึงการประมาณการ ระยะเวลาการรอคอยขบวนรถไฟฟ้าของผู้โดยสาร ซึ่งมีรายละเอียด ดังนี้
5.8.1 ระบบกล้องโทรทัศน์วงจรปิดจะต้องต้องสามารถนับจ านวนผู้โดยสาร (People Counting) ติดตามการเคลื่อนไหวของผู้โดยสาร (Passenger Movement Tracking) และประมวลผลความหนาแน่น (Density) ของผู้โดยสารที่ยืนรอขบวนรถไฟฟ้าจ านวน 3 พื้นที่ ตามจ านวนตู้ของรถไฟฟ้า (ขบวนรถไฟฟ้า 1 ขบวนจะมี 3 ตู้โดยสาร) ในชั้นชานชาลา ตามรูปที่ 3 หรือบริเวณที่ รฟม. ก าหนดทุกชานชาลาของโครงการ
รถไฟฟ้ามหานคร สายเฉลิมรัชมงคล
ต าแหน่งจุดจอดขบวนรถไฟฟ้า พื้นที่นับจ านวนของผู้โดยสาร
รูปที่ 3 ตัวอย่างต าแหน่งจุดจอดขบวนรถไฟฟ้าและพื้นที่ตรวจสอบความหนาแน่นที่ชานชาลา
5.8.2 ผู้ยื่นข้อเสนอจะต้องด าเนินการจัดหาและติดตั้งกล้องโทรทัศน์วงจรปิดที่ให้ครอบคลุมต่อการ ให้บริการขบวนรถไฟฟ้าทุกสถานี ของโครงการรถไฟฟ้ามหานคร สายเฉลิมรัชมงคล
/5.8.3 อุปกรณ์…
- 9 -
5.8.3 อุปกรณ์กล้องโทรทัศน์วงจรปิดส าหรับระบบตรวจสอบความหนาแน่นของผู้โดยสารภายใน ชั้นชานชาลา จะต้องมีคุณสมบัติด้านเทคนิคขั้นต่ า ดังนี้
5.8.3.1 มีความละเอียดของภาพสูงสุดไม่น้อยกว่า 2688 × 1520 pixel หรือไม่น้อยกว่า 4,085,760 pixel
5.8.3.2 มี Frame Rate ไม่น้อยกว่า 25 ภาพต่อวินาที (Frame per second) ที่ความ ละเอียดของภาพไม่น้อยกว่า 2688 × 1520 pixel หรือไม่น้อยกว่า 4,085,760 pixel 5.8.3.3 ใช้เทคโนโลยี IR-Cut filter หรือ Infrared Cut-off Removable (ICR) ส าหรับการ บันทึกภาพได้ทั้งกลางวันและกลางคืนโดยอัตโนมัติ
5.8.3.4 มีความไวแสงน้อยสุด ไม่มากกว่า 0.15 LUX ส าหรับการแสดงภาพสี (Color) และ ไม่มากกว่า 0.03 LUX ส าหรับการแสดงภาพขาวด า (Black/White)
5.8.3.5 มีขนาดตัวรับภาพ (Image Sensor) ไม่น้อยกว่า 1/3 นิ้ว
5.8.3.6 มีผลต่างค่าความยาวโฟกัสต่ าสุดกับค่าความยาวโฟกัสสูงสุดไม่น้อยกว่า 4.5 มิลลิเมตร
5.8.3.7 สามารถตรวจจับความเคลื่อนไหวอัตโนมัติ(Motion Detection) ได้
5.8.3.8 มีฟังก์ชันในการวิเคราะห์และประมวลผลภาพได้ (AI) เช่น ตรวจจับการเคลื่อนไหวใน พื้นที่ที่ก าหนด ตรวจจับการบุกรุกข้ามเส้นที่ก าหนด และสามารถตรวจสอบการเข้าหรือออกจากพื้นที่ที่ก าหนด 5.8.3.9 สามารถแสดงรายละเอียดของภาพที่มีความแตกต่างของแสงมาก (Wide Dynamic Range หรือ Super Dynamic Range) ได้
5.8.3.10 สามารถส่งสัญญาณภาพ (Streaming) ไปแสดงได้อย่างน้อย 2 แหล่ง
5.8.3.11 ได้รับมาตรฐาน Onvif (Open Network Video Interface Forum)
5.8.3.12 สามารถส่งสัญญาณภาพได้ตามมาตรฐาน H.264 เป็นอย่างน้อย
5.8.3.13 สามารถใช้งานตามโปรโตคอล (Protocol) IPv4 และ IPv6 ได้
5.8.3.14 ตัวกล้องได้มาตรฐาน IP67 และมาตรฐาน IK10
5.8.3.15 สามารถท างานได้ที่อุณหภูมิ -10 °C ถึง 60 °C เป็นอย่างน้อย
5.8.3.16 มีช่องเชื่อมต่อระบบเครือข่าย (Network Interface) แบบ 10/100 Base-T หรือ ดีกว่า และสามารถท างานได้ตามมาตรฐาน IEEE 802.3af หรือ IEEE 802.3at (Power over Ethernet) ในช่องเดียวกันได้
5.8.3.17 สามารถใช้งานกับมาตรฐาน HTTP, HTTPS, “NTP หรือ SNTP”, SNMP, RTSP, IEEE802.1X ได้เป็นอย่างน้อย
5.8.3.18 มีช่องรองรับการบันทึกข้อมูลลงหน่วยความจ าแบบ SD Card หรือ MicroSD Card หรือ Mini SD Card
5.8.3.19ต้องมี Software Development Kit (SDK) หรือ Application Programming Interface (API) ที่มีลิขสิทธิ์ถูกต้อง
5.8.3.20 ได้รับมาตรฐานด้านความปลอดภัยต่อผู้ใช้งาน
5.8.3.21 ผู้ผลิตต้องได้รับมาตรฐานด้านระบบการจัดการสิ่งแวดล้อม
5.8.3.22 ผู้ผลิตต้องได้รับมาตรฐานด้านการบริหารจัดการหรือบริหารงานที่มีคุณภาพ 5.8.3.23 ผลิตภัณฑ์ต้องได้รับมาตรฐานระดับสากล NDAA, FCC, UL
/5.8.4 ระบบ… - 10 -
5.8.4 ระบบต้องสามารถบันทึกและประมวลผลเวลา (Timestamp) ของข้อมูลการตรวจวัดจ านวน และความหนาแน่นของผู้โดยสาร (People Counting / Crowd Density) ในพื้นที่ชานชาลาที่ก าหนดได้อย่าง แม่นย า โดยต้องมีการ Synchronize เวลากับระบบกลางด้วย NTP หรือ SNTP และสามารถน าข้อมูลดังกล่าว ไปใช้เป็นข้อมูลอ้างอิงในการวิเคราะห์แนวโน้มความหนาแน่นของผู้โดยสารในแต่ละช่วงเวลา รวมถึงรองรับ การน าไปใช้งานร่วมกับระบบการแสดงผลข้อมูลการให้บริการรถไฟฟ้าหรือระบบสารสนเทศอื่น ๆ ได้
5.9 ผู้ยื่นข้อเสนอต้องจัดหาพร้อมติดตั้งระบบกล้องโทรทัศน์วงจรปิด และอุปกรณ์ต่อพ่วงอื่น ๆ(ถ้ามี) ส าหรับ ระบบตรวจสอบความหนาแน่นของผู้โดยสารภายในขบวนรถไฟฟ้าที่มีความหนาแน่น และเป็นสถานีเชื่อมต่อ ที่ส าคัญได้แก่ สถานีรถไฟฟ้าเตาปูน และสถานีรถไฟฟ้าบางซื่อ ซึ่งมีรายละเอียด ดังนี้
5.9.1 ระบบกล้องโทรทัศน์วงจรปิดต้องสามารถนับจ านวนผู้โดยสาร (People Counting) ในพื้นที่ ขบวนรถไฟฟ้าได้โดยการตรวจจับภาพและนับจ านวนผู้โดยสารขณะรถไฟฟ้าเปิดประตูรับ-ส่งผู้โดยสาร (People In Area)
5.9.2 อุปกรณ์กล้องโทรทัศน์วงจรปิดส าหรับระบบตรวจสอบความหนาแน่นของผู้โดยสารภายในขบวน รถไฟฟ้า ซึ่งจะต้องมีคุณสมบัติด้านเทคนิคขั้นต่ า ดังนี้
5.9.2.1 มีความละเอียดของภาพสูงสุดไม่น้อยกว่า 2688 × 1520 pixel หรือไม่น้อยกว่า 4,085,760 pixel
5.9.2.2 มี Frame Rate ไม่น้อยกว่า 25 ภาพต่อวินาที (Frame per second) ที่ความละเอียด ของภาพไม่น้อยกว่า 2688 × 1520 pixel หรือไม่น้อยกว่า 4,085,760 pixel
5.9.2.3 ใช้เทคโนโลยี IR-Cut filter หรือ Infrared Cut-off Removable (ICR) ส าหรับการ บันทึกภาพได้ทั้งกลางวันและกลางคืนโดยอัตโนมัติ
5.9.2.4 มีความไวแสงน้อยสุด ไม่มากกว่า 0.15 LUX ส าหรับการแสดงภาพสี (Color) และ ไม่มากกว่า 0.03 LUX ส าหรับการแสดงภาพขาวด า (Black/White)
5.9.2.5 มีขนาดตัวรับภาพ (Image Sensor) ไม่น้อยกว่า 1/3 นิ้ว
5.9.2.6 มีผลต่างค่าความยาวโฟกัสต่ าสุดกับค่าความยาวโฟกัสสูงสุดไม่น้อยกว่า 4.5 มิลลิเมตร
5.9.2.7 สามารถตรวจจับความเคลื่อนไหวอัตโนมัติ(Motion Detection) ได้
5.9.2.8 มีฟังก์ชันในการวิเคราะห์และประมวลผลภาพได้ (AI) เช่น ตรวจจับการเคลื่อนไหวใน พื้นที่ที่ก าหนด ตรวจจับการบุกรุกข้ามเส้นที่ก าหนด และสามารถตรวจสอบการเข้าหรือออกจากพื้นที่ที่ก าหนด 5.9.2.9 สามารถแสดงรายละเอียดของภาพที่มีความแตกต่างของแสงมาก (Wide Dynamic Range หรือSuper Dynamic Range) ได้
5.9.2.10 สามารถส่งสัญญาณภาพ (Streaming) ไปแสดงได้อย่างน้อย 2 แหล่ง
5.9.2.11 ได้รับมาตรฐาน Onvif (Open Network Video Interface Forum)
5.9.2.12 สามารถส่งสัญญาณภาพได้ตามมาตรฐาน H.264 เป็นอย่างน้อย
5.9.2.13 สามารถใช้งานตามโปรโตคอล (Protocol) IPv4 และ IPv6 ได้
5.9.2.14 ตัวกล้องได้มาตรฐาน IP67 และมาตรฐาน IK10
5.9.2.15 สามารถท างานได้ที่อุณหภูมิ -10 °C ถึง 60 °C เป็นอย่างน้อย
5.9.2.16 มีช่องเชื่อมต่อระบบเครือข่าย (Network Interface) แบบ 10/100 Base-T หรือ ดีกว่า และสามารถท างานได้ตามมาตรฐาน IEEE 802.3af หรือ IEEE 802.3at (Power over Ethernet) ในช่องเดียวกันได้
/5.9.2.17 สามารถ… - 11 -
5.9.2.17 สามารถใช้งานกับมาตรฐาน HTTP, HTTPS, “NTP หรือ SNTP”, SNMP, RTSP, IEEE802.1X ได้เป็นอย่างน้อย
5.9.2.18 มีช่องรองรับการบันทึกข้อมูลลงหน่วยความจ าแบบ SD Card หรือ MicroSD Card หรือ Mini SD Card
5.9.2.19 ต้ อง มีSoftware Development Kit (SDK) ห รื อ Application Programming Interface (API) ที่มีลิขสิทธิ์ถูกต้อง
5.9.2.20 ได้รับมาตรฐานด้านความปลอดภัยต่อผู้ใช้งาน
5.9.2.21 ผู้ผลิตต้องได้รับมาตรฐานด้านระบบการจัดการสิ่งแวดล้อม
5.9.2.22 ผู้ผลิตต้องได้รับมาตรฐานด้านการบริหารจัดการหรือบริหารงานที่มีคุณภาพ 5.9.2.23 ผลิตภัณฑ์ต้องได้รับมาตรฐานระดับสากล NDAA, FCC, UL
5.10 ผู้ยื่นข้อเสนอสามารถใช้อุปกรณ์ที่ รฟม. จัดเตรียมไว้ให้ตามภาคผนวก ก มาใช้งานตามขอบเขตงาน ข้อ 5.8 และ 5.9 ตามที่ผู้ยื่นข้อเสนอออกแบบไว้ได้ โดยผู้ยื่นข้อเสนอจะต้องเป็นรับผิดชอบการรื้อย้ายอุปกรณ์ ด้วยตนเอง
5.11 ผู้ยื่นข้อเสนอต้องจัดหา ติดตั้ง และตั้งค่าคอมพิวเตอร์แม่ข่าย (Server) จ านวน 1 ตัว เพื่อใช้เก็บ ข้อมูล ประมวลผล และเป็นตัวกลางส่งข้อมูลไปยังส่วนอื่น ๆ ซึ่งต้องมีคุณสมบัติด้านเทคนิค อย่างน้อยดังนี้ 5.11.1 มีหน่วยประมวลผลกลาง (CPU) แบบ 16 แกนหลัก (16 core) หรือดีกว่า ส าหรับคอมพิวเตอร์ แม่ข่าย (Server) โดยเฉพาะ และมีความเร็วสัญญาณนาฬิกาพื้นฐานไม่น้อยกว่า 2.9 GHz จ านวนไม่น้อยกว่า 2 หน่วย
5.11.2 หน่วยประมวลผลกลาง (CPU) รองรับการประมวลผลแบบ 64 bit มีหน่วยความจ าแบบ Cache Memory ในระดับ (Level) เดียวกันไม่น้อยกว่า 24 MB
5.11.3 มีหน่วยความจ า (RAM) ชนิด ECC DDR4 หรือดีกว่า ขนาดไม่น้อยกว่า 32 GB 5.11.4 สนับสนุนการท างาน RAID ไม่น้อยกว่า RAID 0, 1, 5 โดยให้ท างานด้วย RAID 1 5.11.5 มีหน่วยจัดเก็บข้อมูล ชนิด SCSI หรือ SAS ที่มีความเร็วรอบไม่น้อยกว่า 10,000 รอบ
ต่อนาทีขนาดความจุไม่น้อยกว่า 2 TB หรือ ชนิด Solid State Drive หรือดีกว่า ขนาดความจุไม่น้อยกว่า 960 GB จ านวนไม่น้อยกว่า 4 หน่วย
5.11.6 มีช่องเชื่อมต่อระบบเครือข่าย (Network Interface) แบบ 10 Gb Base-T หรือดีกว่า จ านวนไม่น้อยกว่า 2 ช่อง
5.11.7 มี Power Supply แบบ Redundant หรือ Hot Swap จ านวน 2 หน่วย
5.11.8 มีโปรแกรมส าหรับบริหารจัดการและดูแลเครื่องคอมพิวเตอร์ที่มีลิขสิทธิ์ถูกต้องตามกฎหมาย 5.11.9 มีระบบป้องกันไวรัสคอมพิวเตอร์พร้อมใช้งานตามระยะเวลาการรับประกัน
5.12 ผู้ยื่นข้อเสนอมีหน้าที่จัดหา ติดตั้ง และตั้งค่าอุปกรณ์จัดเก็บข้อมูลและการประมวลผลคอมพิวเตอร์ (Edge Computer) ติดตั้งทุกสถานี เพื่อใช้เก็บข้อมูล ประมวลผล และวิเคราะห์ข้อมูล ก่อนส่งข้อมูลไปยัง คอมพิวเตอร์แม่ข่าย (Server) ซึ่งจะต้องมีคุณสมบัติด้านเทคนิค ดังนี้
5.12.1 มีหน่วยประมวลผลกลาง (CPU) แบบ 8 แกนหลัก (8 core) หรือดีกว่า และมีความเร็ว สัญญาณนาฬิกาพื้นฐานไม่น้อยกว่า 1.6 GHz
5.12.2 มีหน่วยความจ า (RAM) ขนาดไม่น้อยกว่า 8 GB
5.12.3 มีหน่วยจัดเก็บข้อมูลแบบ Solid State Drive หรือดีกว่า ขนาดความจุไม่น้อยกว่า 128 GB จ านวนไม่น้อยกว่า 1 หน่วย
/5.12.4 มีระบบ… - 12 -
5.12.4 มีระบบถอดรหัสไฟล์วิดีโอที่ถูกบีบอัดไว้ (Video Decoding) ที่ความละเอียดอย่างน้อย 1080p ที่ 30 ภาพต่อวินาที (Frame per second)
5.12.5 มีช่องเชื่อมต่อระบบเครือข่าย (Network Interface) แบบ Gigabit Ethernet หรือดีกว่า จ านวนไม่น้อยกว่า 2 ช่อง
5.12.6 มีช่องเชื่อมต่อระบบเครือข่าย (Network Interface)
5.12.7 มีระบบป้องกันไวรัสคอมพิวเตอร์พร้อมใช้งานตามระยะเวลาการรับประกัน
5.12.8 มีระบบปฏิบัติการ (OS) เครื่องคอมพิวเตอรที่มีลิขสิทธิ์ถูกต้องตามกฎหมาย
5.13 ผู้ยื่นข้อเสนอมีหน้าที่จัดหา ติดตั้ง และตั้งค่าอุปกรณ์กระจายสัญญาณ (POE Access Switch) ที่ เชื่อมต่อกับอุปกรณ์กระจายสัญญาณหลัก โดยให้มีจ านวนเหมาะสมกับต าแหน่งกล้องโทรทัศน์วงจรปิดที่ได้ ด าเนินการจัดหาในงานนี้และกล้องโทรทัศน์วงจรปิดที่ รฟม. มีอยู่ ซึ่งจะต้องมีคุณสมบัติด้านเทคนิค ดังนี้
5.13.1 อุปกรณ์กระจายสัญญาณเครือข่ายในระดับไม่น้อยกว่า Layer 2 ที่สามารถจ่ายไฟ Power Over Ethernet ได้ ที่มีขนาด Switching Capacity ไม่น้อยกว่า 20 Gbps
5.13.2 มีพ อ ร์ ต 10/100/1000 Base-T จ า น ว นไ ม่ น้ อ ย ก ว่ า 8 พ อ ร์ ต ต า ม ม า ต ร ฐ า น 802.3at,802.3af และจ่ายไฟรวมทุกพอร์ตได้เพียงพอต่ออุปกรณ์ที่ต่อใช้งาน
5.13.3 มีพอร์ต Uplink แบบ 1 Gigabit Ethernet ชนิด SFP หรือ RJ-45 ไม่น้อยกว่า 2 พอร์ต พร้อม Transceiver Module ชนิด 1 Gbps Single Mode หรือดีกว่า มาด้วย 1 โมดูล 5.13.4 มี Forwarding Rate ไม่น้อยกว่า 14 Mpps
5.13.5 รองรับการเชื่อมต่อด้วย Protocol STP, RTSP, SNMP และ LLDP ได้
5.13.6 สนับสนุนการท า VLANs ได้ไม่น้อยกว่า 128 VLANs IDs
5.13.7 สามารถบริหารหรือควบคุมอุปกรณ์ผ่านทาง GUI, Command line interface/Telnet, SSH Webpage ในรูปแบบ Remote upgrade, Default parameter recovery
5.13.8 ผ่านการรับรองมาตรฐานความปลอดภัย FCC หรือ UL
5.13.9 ผู้ยื่นข้อเสนอมีหน้าที่จัดหาและติดตั้งสายสัญญาณ UTP ชนิด Cat6 รวมถึงสาย Fiber Optic 5.14 ผู้ยื่นข้อเสนอมีหน้าที่ออกแบบ จัดหา ติดตั้ง และตั้งค่าอุปกรณ์ที่เกี่ยวข้อง โดยเป็นไปตามแผนผังภาพ ที่แสดงโครงสร้างและการเชื่อมต่อระหว่างอุปกรณ์คอมพิวเตอร์ ระบบเครือข่าย หรือ Network Diagram (แผนภาพเครือข่าย) MRTA BTN, MRTA Core Switch และ Application MRT เป็นสิ่งที่ รฟม. มีติดตั้ง ใช้งานอยู่เดิม ตามภาคผนวก ค
5.15 ผู้ยื่นข้อเสนอมีหน้าที่จัดหาและติดตั้งสายสัญญาณ UTP ชนิด Cat6 รวมถึงสาย Fiber Optic แบบ 12 Core และ 48 Core Single Mode ให้เพียงพอต่อการใช้งาน โดยฉนวนจะต้องผลิตด้วยวัสดุชนิด Low Smoke Zero Halogen (LSZH) อีกทั้งให้เลือกใช้งานประเภทของสายสัญญาณให้เหมาะสมต่อระยะ ความยาวการใช้งานหรือตามที่ รฟม. ก าหนด ส าหรับใช้งานร่วมกับอุปกรณ์
5.16 ผู้ยื่นข้อเสนอจะต้องใช้วัสดุอุปกรณ์ที่ได้มาตรฐานในการติดตั้งระบบ เช่น Rack Cabinet 15U – 42U, ท่อโลหะร้อยสาย IMC, ท่อ Flexible, ท่อ HDPE, Cable Tray, Cable tag และตู้พักอุปกรณ์ให้มีขนาด และจ านวนที่เพียงพอสอดคล้องกับจ านวนกล้องโทรทัศน์วงจรปิด รวมถึงสายไฟฟ้าและสายสัญญาณที่ติดตั้ง โดยวัสดุจะต้องได้มาตรฐานที่ใช้งานภายในโครงการรถไฟฟ้ามหานคร สายเฉลิมรัชมงคล
5.17 ผู้ยื่นข้อเสนอต้องแนบเอกสารหลักฐาน เอกสารคุณสมบัติหรือข้อก าหนดของผลิตภัณฑ์ (Datasheet or Catalog) โดยมีรายการดังต่อไปนี้
/5.17.1 กล้องโทรทัศน์… - 13 -
5.17.1 กล้องโทรทัศน์วงจรปิดแบบวิเคราะห์ภาพส าหรับอ่านข้อมูลบน Display ที่อยู่บนบริเวณ ด้านหน้าขบวนรถไฟฟ้า ตามข้อ 5.7.3
5.17.2 กล้องโทรทัศน์วงจรปิดส าหรับระบบตรวจสอบความหนาแน่นของผู้โดยสารภายในชั้น ชานชาลา ตามข้อ 5.8.3
5.17.3 กล้องโทรทัศน์วงจรปิดส าหรับระบบตรวจสอบความหนาแน่นของผู้โดยสารภายในขบวน รถไฟฟ้า ตามข้อ 5.9.2
5.17.4 คอมพิวเตอร์แม่ข่าย (Server) ตามข้อ 5.11
5.17.5 อุปกรณ์จัดเก็บข้อมูลและการประมวลผลคอมพิวเตอร์ (Edge Computer) ตามข้อ 5.12 5.17.6 อุปกรณ์กระจายสัญญาณ (POE Access Switch) ตามข้อ 5.13
5.17.7 สายสัญญาณ UTP ชนิด Cat6 รวมถึงสาย Fiber Optic แบบ 12 Core และ 48 Core Single Mode ตามข้อ 5.15
- ขอบเขตงำนด้ำนกำรพัฒนำซอฟต์แวร์ (Software Development Scope) 6.1 ระบบมีลักษณะเป็น Windows Application
6.2 ระบบรองรับการเชื่อมโยงข้อมูลกับระบบสารสนเทศที่ รฟม. ใช้งานอยู่ได้ในรูปแบบของ Web Service เช่น ระบบบริหารทรัพยากรบุคคล (HR) ในการเชื่อมโยงข้อมูลโครงสร้างองค์กร และข้อมูลพนักงาน เป็นต้น 6.3 ระบบต้องรองรับการยืนยันตัวตนผู้ใช้งาน (Authentication) ผ่านระบบ Azure Active Directory (Azure AD) ของ รฟม. และสามารถท างานร่วมกับระบบบัญชีผู้ใช้งานของ รฟม. ได้
6.4 ระบบต้องรองรับมาตรการยืนยันตัวตนแบบหลายปัจจัย (Multi-Factor Authentication: MFA) ตาม นโยบายของหน่วยงาน (ถ้ามี)
6.5 ระบบต้องตรวจสอบจ านวนครั้งที่เข้าสู่ระบบผิดพลาด พร้อมแจ้งเตือนให้ผู้ใช้งานทราบจ านวนครั้งที่ เข้าสู่ระบบผิดพลาด และหากผิดพลาดเกินกว่าที่ Azure AD ก าหนดจะไม่สามารถเข้าใช้งานได้ ซึ่งต้องให้ผู้ดูแล ระบบด าเนินการปลดล็อค
6.6 ระบบต้องไม่อนุญาตให้เข้าใช้งาน หากมีการ Login บนอุปกรณ์อื่นอยู่ พร้อมแจ้งเตือนว่ามีการเข้าสู่ ระบบค้างไว้ที่อุปกรณ์อื่น และด าเนินการออกจากระบบที่อุปกรณ์นั้นโดยอัตโนมัติ
6.7 ระบบรองรับการก าหนด Session Timout โดยผู้ดูแลระบบได้
6.8 ระบบสามารถก าหนดสิทธิ์การใช้งานตามบทบาท (Role-Based Access Control: RBAC) 6.9 ระบบสามารถก าหนดสิทธิ์การเข้าถึงข้อมูล ฟังก์ชัน และหน้าจอการใช้งานได้อย่างละเอียดตามบทบาท ของผู้ใช้งาน เช่น
6.9.1 ผู้ดูแลระบบ (Administrator)
6.9.2 ผู้ใช้งานทั่วไป (User)
6.10 ระบบต้องบันทึกเหตุการณ์ (Log) การใช้งาน อย่างน้อยดังนี้
6.10.1 การเข้าสู่ระบบ (Login / Logout)
6.10.2 การพยายามเข้าสู่ระบบที่ไม่ส าเร็จ
6.10.3 การเข้าถึงข้อมูลและฟังก์ชันส าคัญ
6.10.4 การเปลี่ยนแปลงค่าการตั้งค่า (Configuration)
6.10.5 การเพิ่ม/แก้ไข/ลบข้อมูล
6.10.6 การเปลี่ยนแปลงสิทธิ์ผู้ใช้งาน/6.11 ระบบ…
- 14 -
6.11 ระบบต้องรองรับการเชื่อมต่อกับระบบบริหารจัดการ Log หรือระบบ Security ของรฟม. เช่น SIEM เป็นต้น 6.12 ผู้ยื่นข้อเสนอต้องศึกษา วิเคราะห์ ออกแบบ กระบวนการท างานของระบบ Smart City ที่ท างาน ร่วมกับกล้องโทรทัศน์วงจรปิดที่จัดหาในโครงการนี้และที่ รฟม. มีอยู่ พร้อมทั้งให้ค าแนะน าและข้อเสนอแนะที่มี ประโยชน์ รวมถึงออกแบบและพัฒนาระบบการแสดงผลข้อมูลการให้บริการรถไฟฟ้าตามความต้องการของ รฟม. โดยมีระบบย่อยดังนี้
6.12.1 ระบบตรวจสอบการมาถึงของขบวนรถไฟฟ้า
6.12.1.1 ระบบกล้องและซอฟต์แวร์วิเคราะห์ภาพต้องสามารถใช้เหตุการณ์การตรวจพบ ข้อความหน้าขบวนรถไฟฟ้าเป็นจุดเริ่มต้น (Trigger Event) ส าหรับกระบวนการค านวณเวลาการมาถึงของ ขบวนรถ (Estimated Time of Arrival: ETA)
6.12.1.2 ระบบต้องสามารถค านวณและแสดงผลเวลาประมาณการมาถึง (ETA) ในรูปแบบ ของเวลาที่เหลืออยู่ (Countdown Time) ตั้งแต่ขบวนรถถูกตรวจพบ จนถึงจุดจอดรถไฟฟ้า 6.12.1.3 ระบบต้องรองรับการค านวณ ETA โดยใช้ข้อมูลจากระบบภายนอกเพิ่มเติมได้ 6.12.1.4 ระบบต้องสามารถแสดงสถานะการท างานของการประเมิน ETA ได้ เพื่อใช้ในการ ตรวจสอบและติดตามการท างานของระบบ เช่น
• ตรวจพบขบวนรถแล้ว
• ก าลังค านวณ ETA
• ขบวนรถถึงชานชาลาแล้ว
6.12.1.5 ระบบสามารถวิเคราะห์เวลาการมาถึง เวลาการคาดการณ์ การตรวจสอบ การมาถึงของขบวนรถไฟฟ้า การตรวจสอบสถานะเมื่อขบวนรถไฟฟ้าเข้า-ออกจากสถานี การประมาณการ ระยะเวลาการรอคอยขบวนรถไฟฟ้าขบวนถัดไปที่ก าลังจะเข้าสถานีโครงการรถไฟฟ้ามหานคร สายเฉลิมรัชมงคล แบบเรียลไทม์ (Real-time Data Analytics)
6.12.1.6 ระบบสามารถเก็บข้อมูลที่เกิดขึ้น (Data Log) ของรถไฟฟ้าทุกขบวน ในส่วนของ ข้อมูลเวลาการมาถึงของขบวนรถไฟฟ้า เวลาที่ขบวนรถไฟฟ้าเริ่มเคลื่อนที่ออกจากสถานี และหมายเลขการ ให้บริการ (Service Number) ตลอดเวลาที่ให้บริการ ซึ่งจะต้องเก็บไว้อย่างน้อย 1 ปี 6.12.2 ระบบตรวจสอบความหนาแน่นของผู้โดยสารภายในชั้นชานชาลา
6.12.2.1 ระบบจะต้องนับจ านวนผู้โดยสารในชั้นชานชาลา บริเวณที่ รฟม. ก าหนด และ ประมวลผลข้อมูลความหนาแน่นของผู้โดยสารบริเวณชานชาลาได้
6.12.2.2 ระบบจะต้องนับจ านวนผู้โดยสารที่ยืนรอขบวนรถไฟฟ้าจ านวน 3 พื้นที่ ตามตู้ ของรถไฟฟ้า (ขบวนรถไฟฟ้า 1 ขบวน จะมี 3 ตู้โดยสาร) หรือบริเวณที่ รฟม. ก าหนด 6.12.2.3 ระบบสามารถวิเคราะห์การประมาณการระยะเวลาการรอคอยขบวนรถไฟฟ้า ของผู้โดยสาร โดยตรวจจับบุคคลที่รอคอยในพื้นที่ก าหนด โดยเมื่อผู้โดยสารเข้าพื้นที่ก าหนด ให้เริ่มนับ ระยะเวลาที่ผู้โดยสารคนนั้น ๆ อยู่ในพื้นที่จนออกจากพื้นที่
6.12.3 ระบบตรวจสอบความหนาแน่นของผู้โดยสารภายในขบวนรถไฟฟ้า
6.12.3.1 ระบบสามารถตรวจสอบความหนาแน่นของผู้โดยสารภายในขบวนรถไฟฟ้า และ แจ้งเป็นข้อมูลให้ผู้โดยสารทราบส าหรับผู้ใช้บริการรถไฟฟ้าที่สถานีรถไฟฟ้าเตาปูนและสถานีรถไฟฟ้าบางซื่อ หรือสถานีที่ รฟม. ก าหนด
/6.12.3.2 ระบบ… - 15 -
6.12.3.2 ระบบสามารถวิเคราะห์ความหนาแน่นของผู้โดยสารภายในขบวนรถไฟฟ้าบริเวณ พื้นที่ด้านในประตูรถไฟฟ้าทุกประตูของขบวนรถไฟฟ้าที่ก าลังจอดในก่อนหน้าสถานี หรือ บริเวณที่ รฟม. ก าหนด
6.13 ผู้ยื่นข้อเสนอต้องออกแบบและพัฒนาหน้าจอแสดงผลภาพรวมของระบบ (Dashboard) ให้ตรงกับ ความต้องการของ รฟม. โดยมีรายงานอย่างน้อยดังนี้
6.13.1 รายงานต าแหน่งขบวนรถไฟฟ้าและการมาถึงของรถไฟฟ้าขบวนนั้น ๆ แบบเรียลไทม์ (Real-time) 6.13.2 รายงานข้อมูลเป็นจ านวนผู้โดยสารแบบเรียลไทม์ (Real-time)
6.13.3 รายงานข้อมูลเป็นจ านวนผู้โดยสารต่อชานชาลาแบบเรียลไทม์ (Real-time)
6.13.4 รายงานข้อมูลในรูปแบบของระยะเวลาของผู้โดยสารที่รอคอยนานที่สุดแบบเรียลไทม์ (Real-time)
- ก ำหนดเวลำส่งมอบพัสดุ
ผู้ยื่นข้อเสนอต้องด าเนินการจัดหา ติดตั้ง และทดสอบงานซื้อพร้อมพัฒนาระบบการแสดงผลข้อมูล การให้บริการรถไฟฟ้า (Smart City) โครงการรถไฟฟ้ามหานคร สายเฉลิมรัชมงคล ประจ าปีงบประมาณ พ.ศ. 2569 ภายใน 548 วัน นับถัดจากวันลงนามในสัญญา - สิ่งที่ต้องด ำเนินกำร และกำรก ำหนดเวลำส่งมอบพัสดุ
8.1 ผู้ยื่นข้อเสนอต้องจัดให้มีการประชุมเริ่มงาน (Kick off Meeting) เพื่อน าเสนอแผนการด าเนินงาน ในการออกแบบ ติดตั้ง และทดสอบ ให้พิจารณาก่อนการด าเนินงานติดตั้งจริงภายใน 15 วัน นัดถัดจากวันที่ ลงนามในสัญญา
8.2 ผู้ยื่นข้อเสนอต้องจัดส่งรายงานผลการด าเนินงาน และเอกสารอื่น ๆ ที่เกี่ยวข้องในรูปแบบเอกสารสี และรูปแบบ Digital Files ที่สามารถแก้ไขปรับปรุงได้ เช่น PDF, Doc, .xls, dwg, vsd. เป็นต้น รูปเล่มต้นฉบับ อย่างละ 2 ชุด และส าเนาสีจ านวนไม่น้อยกว่าจ านวนคณะกรรมการตรวจรับพัสดุ พร้อม Digital Files โดยบรรจุลงใน USB Flash Drive จ านวน 2 ชุด ไม่เกิน 30 วันหลังจากส่งมอบงาน - กำรฝึกอบรม
ผู้ยื่นข้อเสนอจะต้องจัดฝึกอบรมการใช้งาน Software การบริหารจัดการหรือการตั้งค่า Software รวมถึง การซ่อมบ ารุงและแก้ไขอุปกรณ์เบื้องต้นส าหรับผู้ใช้งาน จ านวน 2 ครั้ง ตามเวลาที่ รฟม. ก าหนด พร้อมทั้ง จัดให้มีการทดสอบและประเมินผลผู้เข้าฝึกอบรมดังกล่าว และต้องจัดท ารายงานผลการทดสอบและ ประเมินผลของผู้ที่เข้าฝึกอบรมให้ รฟม. ด้วย - วงเงินงบประมำณ
วงเงินทั้งสิ้น 28,500,000 บาท (ยี่สิบแปดล้านห้าแสนบาทถ้วน) ซึ่งเป็นราคาที่รวมภาษีมูลค่าเพิ่ม ภาษีอื่น ๆ (ถ้ามี) และค่าใช้จ่ายทั้งปวงไว้ด้วยแล้ว
/11. งวดงำน…
- 16 -
- งวดงำนและกำรจ่ำยเงิน
รฟม. จะช าระเงินตามสัญญานี้ เป็นการช าระแบบรายงวด ซึ่งได้รวมภาษีมูลค่าเพิ่ม ตลอดจนภาษีอากรอื่น ๆ และค่าใช้จ่ายทั้งปวงแล้ว โดยมีรายละเอียดการช าระเงินแบ่งเป็นจ านวน 6 งวด ดังนี้
งวดที่ 1 ช าระเป็นเงินร้อยละ 25 ของมูลค่าตามสัญญา เมื่อคณะกรรมการตรวจรับพัสดุได้ตรวจรับงาน งวดที่ 1 ถูกต้องครบถ้วนแล้ว
ล าดับ
รายการ
1
รายงานการประชุมเริ่มงาน (Kick off Meeting) และแผนรายละเอียดการด าเนินงานโครงการ
2
แผนภาพสถาปัตยกรรมระบบ (System Architecture Diagram) และรายละเอียดองค์ประกอบ ของระบบ (System Components) ในรูปแบบที่เข้าใจง่าย พร้อมค าอธิบายการท างานและการ เชื่อมต่อระหว่างองค์ประกอบต่าง ๆ อย่างครบถ้วน
3
แผนผังระบบเครือข่ายสื่อสารข้อมูล (Network Diagram) และแผนผังการติดตั้งอุปกรณ์ กล้องโทรทัศน์วงจรปิด
4
น าเสนอการแสดงผลงานต้นแบบ (Prototype) ของระบบแสดงผลข้อมูลการให้บริการรถไฟฟ้า ของ รฟม.
งวดที่ 2 ช าระเป็นเงินร้อยละ 10 ของมูลค่าตามสัญญา เมื่อ รฟม. หรือคณะกรรมการตรวจรับพัสดุ ได้ตรวจรับงานงวดที่ 2 ถูกต้องครบถ้วนแล้ว
ล าดับ
รายการ
1
ติดตั้งและส่งมอบอุปกรณ์กล้องโทรทัศน์วงจรปิด พร้อมคอมพิวเตอร์แม่ข่าย (Server) และอุปกรณ์ อื่น ๆ ที่เกี่ยวข้องจ านวนอย่างน้อย 10 สถานี
งวดที่ 3 ช าระเป็นเงินร้อยละ 10 ของมูลค่าตามสัญญา เมื่อ รฟม. หรือคณะกรรมการตรวจรับพัสดุ ได้ตรวจรับงานงวดที่ 3 ถูกต้องครบถ้วนแล้ว
ล าดับ
รายการ
1
ติดตั้งและส่งมอบอุปกรณ์กล้องโทรทัศน์วงจรปิด และอุปกรณ์อื่น ๆ ที่เกี่ยวข้องจ านวนอย่างน้อย 10 สถานี
งวดที่ 4 ช าระเป็นเงินร้อยละ 10 ของมูลค่าตามสัญญา เมื่อ รฟม. หรือคณะกรรมการตรวจรับพัสดุ ได้ตรวจรับงานงวดที่ 4 ถูกต้องครบถ้วนแล้ว
ล าดับ
รายการ
1
ติดตั้งและส่งมอบอุปกรณ์กล้องโทรทัศน์วงจรปิด และอุปกรณ์อื่น ๆ ที่เกี่ยวข้องจ านวนอย่างน้อย 10 สถานี
/งวดที่ 5…
- 17 -
งวดที่ 5 ช าระเป็นเงินร้อยละ 10 ของมูลค่าตามสัญญา เมื่อ รฟม. หรือคณะกรรมการตรวจรับพัสดุ ได้ตรวจรับงานงวดที่ 5 ถูกต้องครบถ้วนแล้ว
ล าดับ
รายการ
1
ติดตั้งและส่งมอบอุปกรณ์กล้องโทรทัศน์วงจรปิด และอุปกรณ์อื่น ๆ ที่เกี่ยวข้องครบถ้วนทั้งโครงการ
งวดที่ 6 ช าระเป็นเงินร้อยละ 35 ของมูลค่าตามสัญญา เมื่อผู้ยื่นข้อเสนอจัดฝึกอบรมการใช้งาน ให้พนักงานเรียบร้อยแล้ว และ รฟม. หรือคณะกรรมการตรวจรับพัสดุ ได้ตรวจรับงานงวดที่ 6ถูกต้องครบถ้วนแล้ว
ล าดับ
รายการ
1
ติดตั้งและส่งมอบอุปกรณ์กล้องโทรทัศน์วงจรปิด ซอฟต์แวร์ระบบปฏิบัติการ (Operating System) และซอฟต์แวร์บริหารจัดการระบบฐานข้อมูล (Database Management System) พร้อมทั้งส่งมอบเอกสารสิทธิ์ในการใช้ซอฟต์แวร์ (Software License) ครบถ้วน
2
เอกสารแผนการทดสอบระบบและอุปกรณ์ ซึ่งประกอบด้วยรายละเอียดอย่างน้อย ได้แก่ แผนการ ทดสอบ (Test Plan) รายการที่ต้องทดสอบ (Use Case) และชุดสถานการณ์ทดสอบ (Test Case/ Test Scenario) รวมถึงรายละเอียดวิธีการทดสอบ เกณฑ์การประเมินผลตามที่ รฟม. ก าหนด และ ผลลัพธ์ที่คาดหวัง เพื่อใช้เป็นแนวทางในการด าเนินการทดสอบและการตรวจรับระบบให้เป็นไปตาม ข้อก าหนดของโครงการ
3
เอกสารผลการทดสอบระบบและอุปกรณ์ ซึ่งประกอบด้วยรายละเอียดอย่างน้อย ได้แก่ รายการที่ ทดสอบ (Use Case) ชุดสถานการณ์ทดสอบ (Test Case/ Test Scenario) เงื่อนไขการทดสอบ วิธีการทดสอบ (Test Procedure) ข้อมูลอ้างอิง (Ground Truth) ผลการทดสอบ (Test Results) เกณฑ์การประเมินผลตามที่ รฟม. ก าหนด และสรุปผลการทดสอบเมื่อเทียบเกณฑ์การ
ประเมิน
4
รายงานทดสอบสมรรถภาพและประสิทธิภาพของระบบ (Performance Test)
5
ติดตั้งและส่งมอบระบบ พร้อมซอร์สโค้ดโปรแกรม (Source code) ที่ได้มีการพัฒนาขึ้นใน โครงการนี้ ซึ่งผ่านการทดสอบและพร้อมใช้งานแล้ว รวมถึงติดตั้งและส่งมอบซอฟต์แวร์อื่น ๆ ที่ เกี่ยวข้องทั้งหมดของระบบ Smart City ที่มีลิขสิทธิ์ถูกต้องตามกฎหมายและเป็นสิทธิ์การใช้งาน ของ รฟม.
6
เอกสารการออกแบบฐานข้อมูล พร้อมค าอธิบาย (Data Dictionary)
7
เอกสารการเชื่อมต่อและการใช้งานข้อมูลผ่าน API (API Integration and Usage Document)
8
คู่มือส าหรับใช้งานเป็นภาษาไทย
9
คู่มือการ Setup Backup และ Restore เพื่อใช้ในการติดตั้งระบบจัดเก็บส ารองข้อมูล และการกู้ คืนระบบ
/12. กำรก ำหนด…
- 18 -
- กำรก ำหนดระยะเวลำรับประกันควำมช ำรุดบกพร่อง
12.1 การรับประกันอุปกรณ์ช ารุดบกพร่องของอุปกรณ์ที่ติดตั้งและซอฟต์แวร์ที่ใช้ในโครงการนี้ทั้งหมด เป็นเวลา 2 ปี นับจาก รฟม. ตรวจรับมอบงานงวดสุดท้าย
12.2 การรับประกันความช ารุดบกพร่องและการบ ารุงรักษาภายหลังจากส่งมอบงาน ผู้ยื่นข้อเสนอ จะต้องมาตรวจสอบการท างานของระบบบ ารุงรักษาระบบ ทุก ๆ 6 เดือน กรณีที่ผู้ยื่นข้อเสนอไม่ด าเนินการใด ๆ ภายในก าหนดตามที่แจ้งหรือด าเนินการล่าช้าไม่เป็นไปตามที่ก าหนด รฟม. สงวนสิทธิ์ที่จะด าเนินการจัดหา บุคคลอื่นมาด าเนินการแทน โดยที่ผู้ยื่นข้อเสนอยินยอมให้ รฟม. สงวนสิทธิ์ที่คิดค่าใช้จ่ายทั้งหมดได้จริง
12.3 ผู้ยื่นข้อเสนอจะรับผิดชอบต่ออุบัติเหตุ ความเสียหาย หรือภัยอันตรายใด ๆ อันเกิดจากการ ปฏิบัติงานของผู้ยื่นข้อเสนอเอง หรือผู้ที่ได้รับมอบหมายจากผู้ยื่นข้อเสนอ หรือเกิดจากอุปกรณ์ของผู้ยื่นข้อเสนอ โดยผู้ยื่นข้อเสนอจะแก้ไขซ่อมคืนให้ดีหรือเปลี่ยนให้ใหม่ และความรับผิดชอบดังกล่าวครอบคลุมถึง รฟม. บุคลากรของ รฟม. รวมถึงบุคคลที่ 3 (Third party Liability) และลูกจ้างของ รฟม. โดยความรับผิดชอบ ดังกล่าวจะสิ้นสุดเมื่อผู้ยื่นข้อเสนอจัดส่งหนังสือส่งมอบงานมายัง รฟม. และกรรมการตรวจรับพัสดุ ได้ตรวจสอบเรียบร้อยแล้ว - อัตรำค่ำปรับ
13.1 ในกรณีผู้ยื่นข้อเสนอไม่สามารถส่งมอบงานระบบ และ/หรือ อุปกรณ์ ที่ได้ติดตั้งตามสัญญาให้ แล้วเสร็จตามเวลาที่ก าหนดในสัญญา บางรายการ หรือทั้งหมด หรือมีคุณสมบัติไม่ถูกต้องตามรายละเอียดและ คุณลักษณะที่ก าหนด หรือส่งมอบแล้วแต่ยังไม่สามารถใช้งานได้ ล่าช้าเกินกว่าก าหนดในสัญญา และ รฟม. ยังไม่ได้บอกเลิกสัญญา ให้ถือว่าผู้ยื่นข้อเสนอประพฤติผิดสัญญา และจะต้องช าระค่าปรับเป็นรายวันให้แก่ รฟม. ในอัตราร้อยละ 0.1 (ศูนย์จุดหนึ่ง) ของมูลค่าตามสัญญาต่อวัน นับแต่วันที่ครบก าหนดการส่งมอบงาน หรือ วันที่ รฟม. ได้ขยายให้จนถึงวันที่ รฟม. ได้ตรวจรับงานจนถูกต้องครบถ้วน นอกจากนี้ผู้ยื่นข้อเสนอยินยอม ชดใช้ค่าเสียหายอันเกิดจากการที่ผู้ยื่นข้อเสนอล่าช้าและค่าใช้จ่ายอื่น ๆ ทั้งหมด
13.2 ในกรณีที่มีอุปกรณ์ช ารุดบกพร่องหลังจากที่ รฟม. ตรวจรับงานงวดสุดท้ายเป็นที่เรียบร้อยแล้ว เมื่อได้รับแจ้งการซ่อมจาก รฟม. ผู้รับจ้างต้องด าเนินการตรวจสอบภายใน 3 ชั่วโมง นับแต่วันที่ได้รับแจ้ง และ ด าเนินการซ่อมแซมแก้ไขหรือซ่อมบ ารุงให้แล้วเสร็จภายใน 12 ชั่วโมง เว้นแต่ไม่สามารถเข้าพื้นที่ปฏิบัติงานได้ ให้ผู้รับจ้างเข้าด าเนินการซ่อมบ ารุงตามใบอนุมัติเข้าพื้นที่ปฏิบัติงาน (Work Permit จาก BEM) ให้แล้วเสร็จ
ภายใน 24 ชั่วโมง โดยจะมีค่าปรับในอัตราร้อยละ 0.01 ของมูลค่าสัญญา (ต่อตัวต่อวัน) - หลักเกณฑ์พิจำรณำข้อเสนอ
14.1 รฟม. จะพิจารณาตัดสินคัดเลือกเฉพาะรายที่เสนอหลักฐานเอกสารครบถ้วน ถูกต้อง และปฏิบัติ ถูกต้องตามเงื่อนไขที่ รฟม. ก าหนดเท่านั้น
14.2 ในการพิจารณาผลการยื่นข้อเสนอคัดเลือกครั้งนี้ รฟม. จะพิจารณาตัดสินโดยใช้หลักเกณฑ์ราคา ประกอบเกณฑ์อื่น ตามภาคผนวก ง
/15. กำรจัดท ำ…
- 19 -
- การจัดท าข้อเสนอโครงการ
ผู้ยื่นข้อเสนอต้องด ำเนินกำรยื่นเอกสำรเพื่อใช้ในกำรประกอบกำรพิจำรณำด้ำนเทคนิค มีรำยละเอียด ครอบคลุม ดังนี้
15.1 ส ำเนำหนังสือรับรองผลงำน หรือส ำเนำสัญญำ หรือใบสั่งซื้อ/ใบสั่งจ้ำง หรืออื่นใดที่เป็นหลักฐำน และให้เห็นว่ำเป็นคู่สัญญำ พร้อมทั้งรับรองส ำเนำถูกต้อง รวมถึงข้อก ำหนดและขอบเขตของงำน (TOR) (ถ้ำมี) ของผลงำนที่แล้วเสร็จภำยในระยะเวลำ 5 ปี นับตั้งแต่วันที่ยื่นข้อเสนอ
15.2 เอกสำรคุณสมบัติหรือข้อก ำหนดของผลิตภัณฑ์ (Datasheet or Catalog) อุปกรณ์ระบบ กล้องโทรทัศน์วงจรปิด ที่จะใช้ในกำรทดสอบระบบ (Proof of Concept (POC)) โดยจะต้องท ำกำรทดสอบ ระบบภำยใน 5 วันท ำกำร นับถัดจำกวันเสนอรำคำ ซึ่ง รฟม. จะเป็นผู้ก ำหนดวัน เวลำ และสถำนที่ โดยจะแจ้ง ให้ผู้ยื่นข้อเสนอทรำบต่อไป
ภาคผนวก ก
ภาคผนวก ก
ล าดับ
รายการ
รุ่น
สถานที่
จ านวน
1
Bullet Camera
2.0C-H4A-B1-B
สถานีรถไฟฟ้าสุทธิสาร
4
2
Dome Camera
2.0C-H4SL-DO1-IR
สถานีรถไฟฟ้าสุทธิสาร
4
3
Bullet Camera
2.0C-H4A-B1-B
สถานีรถไฟฟ้าห้วยขวาง
4
4
Dome Camera
2.0C-H4SL-DO1-IR
สถานีรถไฟฟ้าห้วยขวาง
4
5
Bullet Camera
2.0C-H4A-B1-B
สถานีรถไฟฟ้าศูนย์วัฒนธรรมแห่งประเทศไทย
4
6
Dome Camera
2.0C-H4SL-DO1-IR
สถานีรถไฟฟ้าศูนย์วัฒนธรรมแห่งประเทศไทย
5
7
Bullet Camera
2.0C-H4A-B1-B
สถานีรถไฟฟ้าพระราม 9
3
8
Dome Camera
2.0C-H4SL-DO1-IR
สถานีรถไฟฟ้าพระราม 9
4
9
Bullet Camera
2.0C-H6A-B01-IR
สถานีรถไฟฟ้าพระราม 9
5
10
POE Switch
C1300-16P-2G
สถานีรถไฟฟ้าพระราม 9
1
11
SFP Module
FINISAR-GLC-LHSMD
สถานีรถไฟฟ้าพระราม 9
2
12
Bullet Camera
2.0C-H4A-B1-B
สถานีรถไฟฟ้าเพชรบุรี
3
13
Dome Camera
2.0C-H4SL-DO1-IR
สถานีรถไฟฟ้าเพชรบุรี
4
14
Bullet Camera
2.0C-H6A-B01-IR
สถานีรถไฟฟ้าเพชรบุรี
5
15
POE Switch
C1300-16P-2G
สถานีรถไฟฟ้าเพชรบุรี
1
16
SFP Module
FINISAR-GLC-LHSMD
สถานีรถไฟฟ้าเพชรบุรี
2
17
Bullet Camera
2.0C-H4A-B1-B
สถานีรถไฟฟ้าสุขุมวิท
3
18
Dome Camera
2.0C-H4SL-DO1-IR
สถานีรถไฟฟ้าสุขุมวิท
4
19
Bullet Camera
2.0C-H6A-B01-IR
สถานีรถไฟฟ้าสุขุมวิท
1
20
POE Switch
C1300-16P-2G
สถานีรถไฟฟ้าสุขุมวิท
1
21
SFP Module
FINISAR-GLC-LHSMD
สถานีรถไฟฟ้าสุขุมวิท
2
22
Bullet Camera
2.0C-H6A-B01-IR
สถานีรถไฟฟ้าศูนย์การประชุมแห่งชาติสิริกิติ์
11
23
Server NVR
VMA-AS3X-16P12-NA
สถานีรถไฟฟ้าศูนย์การประชุมแห่งชาติสิริกิติ์
1
24
Distribution Switch
C1300-24T-4G
สถานีรถไฟฟ้าศูนย์การประชุมแห่งชาติสิริกิติ์
1
25
POE Switch
C1300-16P-2G
สถานีรถไฟฟ้าศูนย์การประชุมแห่งชาติสิริกิติ์
1
26
SFP Module
FINISAR-GLC-LHSMD
สถานีรถไฟฟ้าศูนย์การประชุมแห่งชาติสิริกิติ์
2
27
UPS 2KVA
HE-RT-2K-iot
สถานีรถไฟฟ้าศูนย์การประชุมแห่งชาติสิริกิติ์
1
28
Bullet Camera
2.0C-H6A-B01-IR
สถานีรถไฟฟ้าคลองเตย
4
29
Server NVR
VMA-AS3X-16P12-NA
สถานีรถไฟฟ้าคลองเตย
1
30
Distribution Switch
C1300-24T-4G
สถานีรถไฟฟ้าคลองเตย
1
31
POE Switch
C1300-16P-2G
สถานีรถไฟฟ้าคลองเตย
1
32
SFP Module
FINISAR-GLC-LHSMD
สถานีรถไฟฟ้าคลองเตย
2
33
UPS 2KVA
HE-RT-2K-iot
สถานีรถไฟฟ้าคลองเตย
1
34
Bullet Camera
2.0C-H6A-B01-IR
สถานีรถไฟฟ้าลุมพินี
8
ล าดับ
รายการ
รุ่น
สถานที่
จ านวน
35
Server NVR
VMA-AS3X-16P12-NA
สถานีรถไฟฟ้าลุมพินี
1
36
Distribution Switch
C1300-24T-4G
สถานีรถไฟฟ้าลุมพินี
1
37
POE Switch
C1300-16P-2G
สถานีรถไฟฟ้าลุมพินี
2
38
SFP Module
FINISAR-GLC-LHSMD
สถานีรถไฟฟ้าลุมพินี
4
39
UPS 2KVA
HE-RT-2K-iot
สถานีรถไฟฟ้าลุมพินี
1
40
Bullet Camera
2.0C-H6A-B01-IR
สถานีรถไฟฟ้าสีลม
4
41
Server NVR
VMA-AS3X-16P12-NA
สถานีรถไฟฟ้าสีลม
1
42
Distribution Switch
C1300-24T-4G
สถานีรถไฟฟ้าสีลม
1
43
POE Switch
C1300-16P-2G
สถานีรถไฟฟ้าสีลม
1
44
SFP Module
FINISAR-GLC-LHSMD
สถานีรถไฟฟ้าสีลม
2
45
UPS 2KVA
HE-RT-2K-iot
สถานีรถไฟฟ้าสีลม
1
46
Bullet Camera
2.0C-H6A-B01-IR
สถานีรถไฟฟ้าสามย่าน
9
47
Server NVR
VMA-AS3X-16P12-NA
สถานีรถไฟฟ้าสามย่าน
1
48
Distribution Switch
C1300-24T-4G
สถานีรถไฟฟ้าสามย่าน
1
49
POE Switch
C1300-16P-2G
สถานีรถไฟฟ้าสามย่าน
2
50
SFP Module
FINISAR-GLC-LHSMD
สถานีรถไฟฟ้าสามย่าน
4
51
UPS 2KVA
HE-RT-2K-iot
สถานีรถไฟฟ้าสามย่าน
1
52
Bullet Camera
2.0C-H6A-B01-IR
สถานีรถไฟฟ้าหัวล าโพง
6
53
Server NVR
VMA-AS3X-16P12-NA
สถานีรถไฟฟ้าหัวล าโพง
1
54
Distribution Switch
C1300-24T-4G
สถานีรถไฟฟ้าหัวล าโพง
1
55
POE Switch
C1300-16P-2G
สถานีรถไฟฟ้าหัวล าโพง
1
56
SFP Module
FINISAR-GLC-LHSMD
สถานีรถไฟฟ้าหัวล าโพง
2
57
UPS 2KVA
HE-RT-2K-iot
สถานีรถไฟฟ้าหัวล าโพง
1
58
Bullet Camera
2.0C-H6A-B01-IR
สถานีรถไฟฟ้าภาษีเจริญ
6
59
Server NVR
VMA-AS3X-16P12-NA
สถานีรถไฟฟ้าภาษีเจริญ
1
60
Distribution Switch
C1300-24T-4G
สถานีรถไฟฟ้าภาษีเจริญ
1
61
POE Switch
C1300-16P-2G
สถานีรถไฟฟ้าภาษีเจริญ
2
62
SFP Module
FINISAR-GLC-LHSMD
สถานีรถไฟฟ้าภาษีเจริญ
4
63
UPS 2KVA
HE-RT-2K-iot
สถานีรถไฟฟ้าภาษีเจริญ
1
64
Bullet Camera
IPC264SA-AHDX4K-I1
สถานีรถไฟฟ้าภาษีเจริญ
3
65
Edge computer
Jetson Orin Nano
สถานีรถไฟฟ้าภาษีเจริญ
1
66
Distribution Switch
S5130S-28P-PWR-EI
สถานีรถไฟฟ้าภาษีเจริญ
1
67
Bullet Camera
2.0C-H6A-B01-IR
สถานีรถไฟฟ้าบางแค
6
68
Server NVR
VMA-AS3X-16P12-NA
สถานีรถไฟฟ้าบางแค
1
69
Distribution Switch
C1300-24T-4G
สถานีรถไฟฟ้าบางแค
1
70
POE Switch
C1300-16P-2G
สถานีรถไฟฟ้าบางแค
2
ล าดับ
รายการ
รุ่น
สถานที่
จ านวน
71
SFP Module
FINISAR-GLC-LHSMD
สถานีรถไฟฟ้าบางแค
4
72
UPS 2KVA
HE-RT-2K-iot
สถานีรถไฟฟ้าบางแค
1
73
Bullet Camera
IPC264SA-AHDX4K-I1
สถานีรถไฟฟ้าภาษีเจริญ
3
74
Edge computer
Jetson Orin Nano
สถานีรถไฟฟ้าภาษีเจริญ
1
75
Distribution Switch
S5130S-28P-PWR-EI
สถานีรถไฟฟ้าภาษีเจริญ
1
76
Bullet Camera
2.0C-H6A-B01-IR
สถานีรถไฟฟ้าหลักสอง
6
77
Server NVR
VMA-AS3X-16P12-NA
สถานีรถไฟฟ้าหลักสอง
1
78
Distribution Switch
C1300-24T-4G
สถานีรถไฟฟ้าหลักสอง
1
79
UPS 2KVA
HE-RT-2K-iot
สถานีรถไฟฟ้าหลักสอง
1
80
Bullet Camera
IPC264SA-AHDX4K-I1
สถานีรถไฟฟ้าหลักสอง
6
81
Bullet Camera
IPC2325SB-DZK-I0
สถานีรถไฟฟ้าหลักสอง
1
82
Dome Camera
IPC312SB-ADF28K-l0
สถานีรถไฟฟ้าหลักสอง
1
83
Dual Dome Camera
IPC3224SS-ADF28Kl1
สถานีรถไฟฟ้าหลักสอง
2
84
Edge computer
Jetson Orin Nano
สถานีรถไฟฟ้าหลักสอง
2
85
Distribution Switch
S5130S-28P-PWR-EI
สถานีรถไฟฟ้าหลักสอง
2
ภาคผนวก ข
ภาคผนวก ข
เกณฑ์ประเมินประสิทธิภำพระบบ (AI + CCTV)
-
ตรวจจับข้อควำมบริเวณด้ำนหน้ำของขบวนรถไฟฟ้ำ
เกณฑ์
ตัวชี้วัด (KPI)
เป้าหมายใน
สภาวะปกติ
เป้าหมายใน
สภาวะฝนตก
ความแม่นย า end-to-end
อ่านถูกต้องสมบูรณ์ / ทั้งหมด
≥ 95%
≥ 85%
เวลาตอบสนอง
Latency ตั้งแต่ Frame แรกที่เห็นป้าย → alert
≤ 5วินาที
≤ 8วินาที -
ควำมหนำแน่นของผู้โดยสำรภำยในชั้นชำนชำลำ
เกณฑ์
ตัวชี้วัด (KPI)เป้าหมาย
ความแม่นย าในการนับคน
จ านวนผู้โดยสาร≤ ± 8 คน
Real-time latency
Delay: capture → dashboard≤ 5 วินาที
จ าแนก Density Zone
Zone classification accuracy (Low/Med/High)≥ 90%
ความแม่นย าตอนคนหนาแน่น
Accuracy ที่ capacity > 80%≤ 52 คน
-
กำรประมำณกำรระยะเวลำกำรรอคอยขบวนรถไฟฟ้ำของผู้โดยสำร
เกณฑ์
ตัวชี้วัด (KPI)
เป้าหมาย
ประมาณการ Waiting time
Predicted vs actual waiting time error
≤ ±2 นาที -
ควำมหนำแน่นของผู้โดยสำรภำยในขบวนรถ
เกณฑ์
ตัวชี้วัด (KPI)
เป้าหมาย
จ าแนกระดับ Density
Door-zone density classification accuracy (Low/Med/High/Full)
≥ 88%
Real-time latency
Delay: capture → dashboard
≤ 5 วินาที
ภาคผนวก ค
ภาคผนวก ค
Network Diagram (แผนภำพเครือข่ำย)
สถานีรถไฟฟ้าที่ 1 สถานีรถไฟฟ้าที่ 2 สถานีรถไฟฟ้าที่ X
AI Camera L2 Switch
AI
AI Camera L2 Switch
AI
AI Camera L2 Switch
AI
MRTA Core Switch
MRTA Core Switch MRTA Core Switch MRTA BTN
Server ตามข้อ 5.9 Dash board
Application MRT
ภาคผนวก ง
ภาคผนวก ง
หลักเกณฑ์การให้คะแนนในการพิจารณาคัดเลือกข้อเสนอ
งานซื้อพร้อมพัฒนาระบบการแสดงผลข้อมูลการให้บริการรถไฟฟ้า (Smart City) โครงการรถไฟฟ้ามหานคร สายเฉลิมรัชมงคล
ประจ าปีงบประมาณ พ.ศ. 2569
ในการพิจารณาผลการยื่นข้อเสนอประกวดราคาครั้งนี้ รฟม. จะพิจารณาตัดสินโดยใช้หลักเกณฑ์ราคา ประกอบเกณฑ์อื่น
- ราคายื่นข้อเสนอ (Price) ก้าหนดน้้าหนักเท่ากับ ร้อยละ 30 (100 คะแนน) 2. ข้อเสนอด้านเทคนิค และคุณสมบัติที่เป็นประโยชน์ต่อ รฟม. ก้าหนดน้้าหนักเท่ากับ ร้อยละ 70 (100 คะแนน)
โดยมีรายละเอียดในการพิจารณาแต่ละหัวข้อ ดังนี้ - ราคา (Price) ก าหนดน้ าหนักเท่ากับร้อยละ 30 (100 คะแนน)
หลักเกณฑ์ในการพิจารณาราคา (Price) ให้ผู้มีราคารวมต่้าสุดได้คะแนนเต็มร้อยละ 30 (100 คะแนน) โดยระบบการจัดซื้อจัดจ้างภาครัฐอย่างครบวงจร (e-GP) จะค้านวณคะแนนให้อัตโนมัติ โดยผู้ที่จะเสนอราคาต่้าสุด จะได้ 100 คะแนน - ข้อเสนอด้านเทคนิค และคุณสมบัติที่เป็นประโยชน์ต่อ รฟม. ก าหนดน้ าหนักเท่ากับร้อยละ 70 (100คะแนน) หลักเกณฑ์ในการพิจารณาด้านผลงานของผู้ยื่นข้อเสนอ มีดังนี้
2.1 ผลงานของผู้ยื่นข้อเสนอ (20 คะแนน)
พิจารณาให้คะแนนผลงานในงานติดตั้งระบบกล้องโทรทัศน์วงจรปิดแบบวิเคราะห์ภาพของ ผู้ยื่นข้อเสนอ โดยผู้ยื่นข้อเสนอจะต้องมีส้าเนาหนังสือรับรองผลงาน หรือส้าเนาสัญญา หรือใบสั่งซื้อ/ใบสั่งจ้าง หรืออื่นใดที่เป็นหลักฐานและให้เห็นว่าเป็นคู่สัญญา พร้อมทั้งรับรองส้าเนาถูกต้อง รวมถึงข้อก้าหนดและ ขอบเขตของงาน (TOR) (ถ้ามี) ของผลงานที่แล้วเสร็จภายในระยะเวลา 5 ปี นับตั้งแต่วันที่ยื่นข้อเสนอ ทั้งนี้ การประกวดราคาในครั้งนี้ ผู้ยื่นข้อเสนอจะต้องเป็นผู้มีประสบการณ์ในงานลักษณะดังกล่าว เพื่อให้งานเป็นไป ด้วยความเรียบร้อย โดย รฟม. ได้ก้าหนดหลักเกณฑ์การให้คะแนน ดังต่อไปนี้
หัวข้อ
เกณฑ์การให้คะแนน
คะแนนการตัดสิน
มูลค่าผลงานที่เสนอ
ภายในระยะเวลา 5 ปี
มูลค่าสูงสุดอันดับที่ 1
10 คะแนน
มูลค่าสูงสุดอันดับที่ 2
8 คะแนน
มูลค่าสูงสุดอันดับที่ 3
5 คะแนน
ล้าดับอื่น ๆ
0 คะแนน
หัวข้อ
เกณฑ์การให้คะแนน
คะแนนการตัดสิน
จ านวนผลงานที่มีมูลค่า เกิน 14,000,000 บาท ภายในระยะเวลา 5 ปี ณ วันที่ยื่นข้อเสนอ
จ านวนผลงานสูงสุดอันดับที่ 1
10 คะแนน
จ านวนผลงานสูงสุดอันดับที่ 2
8 คะแนน
จ านวนผลงานสูงสุดอันดับที่ 3
5 คะแนน
ล าดับอื่น ๆ หรือมูลค่าผลงานต่ ากว่าที่ก าหนดในหัวข้อนี้
0 คะแนน
2.2 บริกำรหลังกำรขำย (20 คะแนน)
หัวข้อ
รายละเอียด
เกณฑ์การให้คะแนน
คะแนน
บริการหลัง
การขาย
การรับประกันความช ารุด บกพร่องอุปกรณ์ที่ติดตั้งใหม่ ที่เกินกว่าระยะเวลา
ตามข้อก าหนด (2 ปี)
มากกว่าข้อก าหนดเป็นล าดับที่ 1
20 คะแนน
มากกว่าข้อก าหนดเป็นล าดับที่ 2
15 คะแนน
มากกว่าข้อก าหนดเป็นล าดับที่ 3
10 คะแนน
มากกว่าข้อก าหนดเป็นล าดับที่ 4
5 คะแนน
มากกว่าข้อก าหนดเป็นล าดับอื่น ๆ
3 คะแนน
ตรงตามข้อก าหนด
0 คะแนน
2.3 พิจำรณำกำรทดสอบระบบวิเครำะห์ภำพ (Proof of Concept (POC)) (60 คะแนน) 2.3.1 ผู้ยื่นข้อเสนอต้องเป็นผู้จัดหาและน าอุปกรณ์เข้าร่วมการทดสอบความสามารถของอุปกรณ์ ระบบกล้องโทรทัศน์วงจรปิดแบบวิเคราะห์ภาพ สามารถอ่านข้อมูลสถานีปลายทางที่แสดงผลบริเวณด้านหน้า ขบวนรถไฟฟ้าได้ โดยทดสอบภายในสถานีรถไฟฟ้ากับขบวนขณะรถไฟฟ้าก าลังให้บริการ โดยจะต้องแสดงข้อความ เป็นตัวอักษร หรือภาพ Auto snap shot หรือ Pop-up message จ านวน 3 ครั้ง รวมทั้งสามารถอ่านข้อมูลจ านวน ผู้โดยสารในพื้นที่ที่ก าหนดได้ จ านวน 3 ครั้ง ทั้งนี้ รฟม. จะเป็นผู้ก าหนดสถานที่ วัน และเวลาในการทดสอบของ ผู้ยื่นข้อเสนอ (40 คะแนน)
ล าดับ
เกณฑ์การให้คะแนน
คะแนน
1
ตรวจจับได้ทุกครั้ง
40 คะแนน
2
ตรวจจับได้ 2 ครั้ง จาก 3 ครั้ง
25 คะแนน
3
ตรวจจับได้ 1 ครั้ง จาก 3 ครั้ง
10 คะแนน
4
ตรวจจับไม่ได้
0 คะแนน
2.3.2 พิจารณาให้คะแนนจากความสามารถของอุปกรณ์ระบบกล้องโทรทัศน์วงจรปิดแบบ วิเคราะห์ภาพ สามารถอ่านข้อมูลจ านวนผู้โดยสารในพื้นที่ที่ก าหนดได้จ านวน 3 ครั้ง (1 ครั้งเท่ากับระยะเวลา รอขบวนรถไฟฟ้าต่อ 1 ขบวน) (20 คะแนน)
ล าดับ
เกณฑ์การให้คะแนน
คะแนน
1
ตรวจจับได้ตรงตามจ านวนผู้โดยสารจริง
20 คะแนน
2
มีความผิดพลาดน้อยกว่า 3 คน
15 คะแนน
3
มีความผิดพลาด 4 – 7 คน
10 คะแนน
4
มีความผิดพลาดเกิน 8 คน
0 คะแนน
ภาคผนวก จ
การรถไฟฟ้าขนส่งมวลชนแห่งประเทศไทย
MASS RAPID TRANSIT AUTHORITY OF THAILAND
รัฐวิสาหกิจภายใตกํากับของรัฐมนตรีวาการกระทรวงคมนาคม
A STATE ENTERPRISE UNDER SUPERVISION OF MINISTER OF TRANSPORT
ประกาศการรถไฟฟาขนสงมวลชนแหงประเทศไทย
เรื่อง นโยบายการรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศ (ฉบับปรับปรุงครั้งที่ 14)
ดวยพระราชกฤษฎีกากําหนดหลักเกณฑและวิธีการในการทําธุรกรรมทางอิเล็กทรอนิกสภาครัฐ พ.ศ. 2549 มาตรา 5 กําหนดใหหนวยงานของรัฐตองจัดทําแนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัย ดานสารสนเทศ เพื่อใหการดําเนินการใด ๆ ดวยวิธีการทางอิเล็กทรอนิกสกับหนวยงานของรัฐหรือโดยหนวยงานของรัฐ มีความมั่นคงปลอดภัยและเชื่อถือได จึงสงผลใหระบบเทคโนโลยีสารสนเทศของการรถไฟฟาขนสงมวลชนแหงประเทศไทย (รฟม.) ตองมีการรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศอยางครบถวนเพื่อธํารงไวซึ่งความลับ
(Confidentiality) ความถูกตองครบถวน (Integrity) และสภาพพรอมใชงาน (Availability) ของสารสนเทศ รวมทั้ง คุณสมบัติอื่น ไดแก ความถูกตองแทจริง (Authenticity) ความรับผิด (Accountability) การหามปฏิเสธความรับผิดชอบ (Non-repudiation) และความนาเชื่อถือ (Reliability)
ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส เรื่องแนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคง ปลอดภัยดานสารสนเทศของหนวยงานของรัฐ (ฉบับที่ 2) พ.ศ. 2556 ขอ 14 กําหนดใหหนวยงานของรัฐตองกําหนด ความรับผิดชอบที่ชัดเจน กรณีระบบคอมพิวเตอรหรือขอมูลสารสนเทศเกิดความเสียหายหรืออันตรายใด ๆ แกองคกรหรือ ผูหนึ่งผูใด อันเนื่องมาจากความบกพรอง ละเลย หรือฝาฝนการปฏิบัติตามนโยบายและแนวปฏิบัติในการรักษาความมั่นคง ปลอดภัยดานสารสนเทศ ทั้งนี้ ใหผูบริหารระดับสูงสุดของหนวยงาน (Chief Executive Officer: CEO) เปนผูรับผิดชอบ ตอความเสี่ยง ความเสียหาย หรืออันตรายที่เกิดขึ้น
อาศัยอํานาจตามความในมาตรา 25 แหงพระราชบัญญัติการรถไฟฟาขนสงมวลชนแหงประเทศไทย พ.ศ. 2543 ผูวาการการรถไฟฟาขนสงมวลชนแหงประเทศไทย จึงออกประกาศการรถไฟฟาขนสงมวลชนแหงประเทศไทย เรื่อง นโยบายการรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศ ดังตอไปนี้
- วัตถุประสงคและขอบเขต
เพื่อใหการใชงานระบบเทคโนโลยีสารสนเทศของ รฟม. เปนไปอยางเหมาะสม มีประสิทธิภาพ มีความมั่นคงปลอดภัย และสามารถดําเนินงานไดอยางตอเนื่อง รวมทั้งปองกันปญหาและลดผลกระทบจากการใชงานระบบเทคโนโลยีสารสนเทศ ในลักษณะที่ไมถูกตองหรือจากการถูกคุกคามจากภัยตาง ๆ จึงไดกําหนดนโยบายเพื่อควบคุมการรักษาความมั่นคงปลอดภัย ของระบบเทคโนโลยีสารสนเทศ ดังนี้
1.1 การเขาถึงหรือควบคุมการใชงานสารสนเทศครอบคลุม 4 ดาน คือ
1.1.1 การเขาถึงระบบสารสนเทศ (Access control) ตองตรวจสอบการอนุมัติสิทธิ์การเขาถึงระบบและ กําหนดรหัสผาน การลงทะเบียนผูใชงานเพื่อใหผูใชที่มีสิทธิ์(User authentication) เทานั้นที่สามารถ เขาถึงระบบไดรวมถึงมีการเก็บบันทึกขอมูลการเขาถึงระบบ (Access log)และขอมูลจราจรทางคอมพิวเตอร ทั้งนี้ การใหสิทธิ์การใชงานระบบสารสนเทศนั้นตองใหสิทธิ์อยางเหมาะสมและเพียงพอ (Need to know and Need to use)
/1.1.2 การเขาถึง…
175 ถนนพระราม 9 แขว งห้วยขวาง เขตห้วยขวา ง กร ุงเท พมหา น คร 103 10 โทร ศัพท 0 271
์ 6 40 00 โทร สา ร 0 271 6 40 19
175 Rama IX Ro ad, Hu ai Khwang, Bangkok 10310, Thailand, Tel .66 27 16 40 00 Fax. 66 27 16 40 19 http://www.mrta.co.th
- 2 – 2 -
1.1.2 การเขาถึงระบบเครือขาย(Networkaccesscontrol)ตองกําหนดเสนทางการเชื่อมตอระบบคอมพิวเตอร การรับ - สง หรือการไหลเวียนขอมูลหรือสารสนเทศจะตองผานระบบการรักษาความปลอดภัยที่องคกร จัดสรรไวเชน Firewall IDS/IPS Proxy หรือการตรวจสอบไวรัสคอมพิวเตอรเปนตน เพื่อควบคุมและ ปองกันภัยคุกคามอยางเปนระบบ
1.1.3 การเขาถึงระบบปฏิบัติการ (Operating system access control) เพื่อปองกันการเขาถึงระบบปฏิบัติการ โดยไมไดรับอนุญาต โดยกําหนดใหมีการยืนยันตัวตนเพื่อระบุถึงตัวตนของผูใชงาน รวมทั้งกําหนดใหมี การจํากัดระยะเวลาในการเชื่อมตอเพื่อใหมีความมั่นคงปลอดภัยมากยิ่งขึ้น
1.1.4 การเขาถึงโปรแกรมประยุกตหรือแอปพลิเคชันและสารสนเทศ (Applicationand Information access control)ตองกําหนดสิทธิ์การเขาถึงระบบเทคโนโลยีสารสนเทศโดยใหสิทธิ์เฉพาะระบบงานสารสนเทศ ที่ตองปฏิบัติตามหนาที่เทานั้น รวมทั้งมีการทบทวนสิทธิ์การเขาใชงานระบบสารสนเทศอยางสม่ําเสมอ
1.2 มีระบบสารสนเทศและระบบสํารองที่อยูในสภาพพรอมใชงาน รวมทั้งมีแผนเตรียมพรอมในกรณีฉุกเฉินหรือ กรณีที่ไมสามารถดําเนินการตามวิธีการทางอิเล็กทรอนิกสไดเพื่อใหสามารถใชงานสารสนเทศไดตามปกติ อยางตอเนื่อง
1.3 ตรวจสอบและประเมินความเสี่ยงของระบบสารสนเทศอยางสม่ําเสมอ
- แนวปฏิบัติในการรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศ รฟม.
แนวปฏิบัติในการรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศ รฟม. ใชแนวทางและกระบวนการ อางอิงตาม 1) ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส เรื่องแนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคง ปลอดภัยดานสารสนเทศของหนวยงานรัฐ พ.ศ. 2553 2) ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส เรื่อง มาตรฐาน การรักษาความมั่นคงปลอดภัยของระบบสารสนเทศตามวิธีการแบบปลอดภัย พ.ศ. 2555 และ 3) มาตรฐาน ISO/IEC 27001:2022 โดยแบงแนวปฏิบัติออกเปน 17 สวน ตามเอกสารแนบทายประกาศ ดังตอไปนี้
2.1 นโยบายการบริหารจัดการความมั่นคงปลอดภัยสําหรับผูบริหาร (สวนที่ 1)
2.2 ความมั่นคงปลอดภัยที่เกี่ยวกับบุคลากร (สวนที่ 2)
2.3 การรักษาความมั่นคงปลอดภัยทางกายภาพและสิ่งแวดลอม (สวนที่ 3)
2.4 การจัดการทรัพยสิน (สวนที่ 4)
2.5 การจัดหา การพัฒนา และการบํารุงรักษาระบบสารสนเทศ (สวนที่ 5)
2.6 การควบคุมการเขาถึงระบบเทคโนโลยีสารสนเทศ (สวนที่ 6)
2.7 การควบคุมการเขาถึงระบบเครือขายไรสาย (สวนที่ 7)
2.8 การควบคุมหนวยงานภายนอกและผูใชงาน (บุคคลภายนอก) เขาถึงระบบเทคโนโลยีสารสนเทศ (สวนที่ 8) 2.9 การใชงานเครื่องคอมพิวเตอรและอุปกรณเคลื่อนที่ของ รฟม. (สวนที่ 9)
2.10 การใชงานอินเทอรเน็ตและสื่อสังคมออนไลน(สวนที่ 10)
2.11 การใชงานจดหมายอิเล็กทรอนิกส(สวนที่ 11)
2.12 การสํารองขอมูลและการเก็บรักษาขอมูลจราจรทางคอมพิวเตอร (สวนที่ 12)
2.13 การตรวจสอบและประเมินความเสี่ยง (สวนที่ 13)
2.14 การถายโอน และการแลกเปลี่ยนขอมูลสารสนเทศ (สวนที่ 14)
2.15 การควบคุมการเขารหัส (สวนที่ 15)
2.16 การนําอุปกรณสวนตัวมาใชงาน (Bring your own device) (สวนที่ 16)
2.17 การใชบริการ Cloud (Cloud Services) (สวนที่ 17)
/แนวปฏิบัติ …
- 3 – 3 -
แนวปฏิบัติในการรักษาความมั่นคงปลอดภัยระบบเทคโนโลยีสารสนเทศตามขอ 2. จัดเปนมาตรฐานดานความมั่นคง ปลอดภัยในการใชงานระบบเทคโนโลยีสารสนเทศของ รฟม. ซึ่งบุคลากรของ รฟม. หนวยงานภายนอก รวมถึงผูใชบริการ ระบบสารสนเทศของ รฟม. ที่เกี่ยวของจะตองปฏิบัติตามอยางเครงครัด
- กรณีระบบคอมพิวเตอรหรือขอมูลสารสนเทศเกิดความเสียหาย หรืออันตรายใด ๆ แกองคกรหรือผูหนึ่งผูใด อันเนื่องมาจากความบกพรอง ละเลย หรือฝาฝนการปฏิบัติตามแนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคง ปลอดภัยดานสารสนเทศผูวาการการรถไฟฟาขนสงมวลชนแหงประเทศไทย(ChiefExecutive Officer: CEO) เปนผูรับผิดชอบ ตอความเสี่ยง ความเสียหาย หรืออันตรายที่เกิดขึ้น และดําเนินการตรวจสอบขอเท็จจริงกรณีที่ระบบคอมพิวเตอรหรือ ขอมูลสารสนเทศเกิดความเสียหายหรืออันตรายใด ๆ แกหนวยงานหรือผูหนึ่งผูใด รวมทั้งใหพิจารณาลงโทษตามเหตุอันควร
นโยบายนี้ใหใชบังคับเมื่อพนกําหนด 7 วัน นับแตวันที่ผูมีอํานาจลงนาม
15
ประกาศ ณ วันที่ กันยายน พ.ศ. 2568
(นายกาจผจญ อุดมธรรมภักดี)
ผูวาการการรถไฟฟาขนสงมวลชนแหงประเทศไทย
สารบัญ
เรื่อง หนา คํานิยาม……………………………………………………………………………………………………………………………………………………….1 สวนที่ 1 นโยบายการบริหารจัดการความมั่นคงปลอดภัยสําหรับผูบริหาร……………………………………………………………….3 สวนที่ 2 ความมั่นคงปลอดภัยที่เกี่ยวกับบุคลากร………………………………………………………………………………………………..4 สวนที่ 3 การรักษาความมั่นคงปลอดภัยทางดานกายภาพและสิ่งแวดลอม………………………………………………………………7 สวนที่ 4 การจัดการทรัพยสิน ………………………………………………………………………………………………………………………….8 สวนที่ 5 การจัดหา การพัฒนา และการบํารุงรักษาระบบสารสนเทศ…………………………………………………………………..10 สวนที่ 6 การควบคุมการเขาถึงระบบเทคโนโลยีสารสนเทศ……………………………………………………………………………….12 สวนที่ 7 การควบคุมการเขาถึงระบบเครือขายไรสาย……………………………………………………………………………………….22 สวนที่ 8 การควบคุมหนวยงานภายนอกหรือผูใชงานภายนอกเขาถึงระบบเทคโนโลยีสารสนเทศ……………………………..23 สวนที่ 9 การใชงานเครื่องคอมพิวเตอรและอุปกรณเคลื่อนที่ ของ รฟม. ………………………………………………………………25 สวนที่ 10 การใชงานอินเทอรเน็ตและสื่อสังคมออนไลน……………………………………………………………………………………28 สวนที่ 11 การใชงานจดหมายอิเล็กทรอนิกส…………………………………………………………………………………………………..32 สวนที่ 12 การสํารองขอมูลและการเก็บรักษาขอมูลจราจรทางคอมพิวเตอร…………………………………………………………33 สวนที่ 13 การตรวจสอบและประเมินความเสี่ยง………………………………………………………………………………………………35 สวนที่ 14 การถายโอน และแลกเปลี่ยนขอมูลสารสนเทศ………………………………………………………………………………….38 สวนที่ 15 การควบคุมการเขารหัส…………………………………………………………………………………………………………………39 สวนที่ 16 การนําอุปกรณสวนตัวมาใชงาน (Bring your own device)……………………………………………………………….40 สวนที่ 17 การใชบริการ Cloud (Cloud Services)………………………………………………………………………………..…………..49
1
เอกสารแนบทายประกาศ การรถไฟฟาขนสงมวลชนแหงประเทศไทย
เรื่อง นโยบายการรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศ
แนวปฏิบัติในการรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศ ของ รฟม.
คํานิยาม
คํานิยามที่ใชในนโยบายนี้ ประกอบดวย
- รฟม. หมายถึง การรถไฟฟาขนสงมวลชนแหงประเทศไทย
- ฝทท. หมายถึง ฝายเทคโนโลยีสารสนเทศ
- ฝทบ. หมายถึง ฝายทรัพยากรบุคคล
- ผูบริหารระดับสูงสุด หมายถึงผูวาการการรถไฟฟาขนสงมวลชนแหงประเทศไทย
- ผูบังคับบัญชา หมายถึง ผูมีอํานาจสั่งการตามโครงสรางการบริหารของ รฟม.
- ผูใชงาน หมายถึง บุคคลที่ไดรับอนุญาตใหสามารถเขาใชงานระบบเทคโนโลยีสารสนเทศของ รฟม. เพื่อประโยชน ในการดําเนินงานของ รฟม. ดังนี้
- ผูใชงานภายใน หมายถึง บุคลากรของ รฟม.
- ผูใชงานภายนอก หมายถึง บุคคลภายนอกที่ รฟม. อนุญาตใหเขามาใชงานระบบเทคโนโลยีสารสนเทศของ รฟม. เชน ที่ปรึกษา ผูปฏิบัติงานตามสัญญา หรือนิสิตนักศึกษาฝกงาน เปนตน
- ผูใชบริการ หมายถึงผูที่สมัครใชบริการระบบงานสารสนเทศของ รฟม. ผานเครือขายสาธารณะ (Internet) 8. หนวยงานภายนอก หมายถึง องคกรตาง ๆ รวมถึงผูรับจาง ซึ่ง รฟม. อนุญาตใหมีสิทธิ์ในการเขาถึง หรือใชขอมูล หรือสินทรัพยตาง ๆ ของ รฟม. โดยจะไดรับสิทธิ์ในการใชระบบตามประเภทงานตามอํานาจและตองรับผิดชอบ ในการรักษาความลับของขอมูล
- ผูดูแลระบบ หมายถึง พนักงานที่ไดรับมอบหมายจากผูบังคับบัญชาใหมีหนาที่รับผิดชอบในการดูแลรักษาระบบ สารสนเทศ และพนักงานของผูรับจางที่รับผิดชอบติดตั้งหรือบํารุงรักษาระบบสารสนเทศให รฟม. 10. เจาของขอมูล หมายถึง ผูไดรับมอบอํานาจจากผูบังคับบัญชาใหรับผิดชอบขอมูลของระบบงานโดยเจาของขอมูล เปนผูรับผิดชอบขอมูลนั้น ๆ หรือไดรับผลกระทบโดยตรงหากขอมูลเหลานั้นเกิดสูญหาย
- มาตรฐาน หมายถึง บรรทัดฐานที่บังคับใชในการปฏิบัติการจริงเพื่อใหไดตามวัตุประสงคหรือเปาหมาย 12. ขั้นตอนปฏิบัติ หมายถึง รายละเอียดที่บอกขั้นตอนเปนขอ ๆ ที่ตองนํามาปฏิบัติเพื่อใหไดมาซึ่งมาตรฐานตามที่ได กําหนดไวตามวัตถุประสงค
- แนวปฏิบัติ หมายถึง แนวทางที่ตองปฏิบัติตามเพื่อใหสามารถบรรลุวัตถุประสงคหรือเปาหมายไดงายขึ้น 14. ระบบเทคโนโลยีสารสนเทศ (Information technology system) หมายถึง ระบบงานของ รฟม. ที่นําเอาเทคโนโลยี สารสนเทศ ระบบคอมพิวเตอร และระบบเครือขายสื่อสารขอมูลมาชวยในการสรางสารสนเทศที่ รฟม. สามารถ นํามาใชประโยชนในการวางแผน การบริหาร การสนับสนุน การใหบริการ การพัฒนาและควบคุมการติดตอสื่อสาร ซึ่งมีองคประกอบ ไดแก ระบบคอมพิวเตอร ระบบเครือขาย โปรแกรม ขอมูลและสารสนเทศ เปนตน 15. ขอมูลคอมพิวเตอรหมายถึง ขอมูล ขอความ คําสั่ง ชุดคําสั่ง หรือสิ่งอื่นใด ที่อยูในระบบคอมพิวเตอรในสภาพที่ระบบ คอมพิวเตอรอาจประมวลผลได และใหหมายความรวมถึงขอมูลอิเล็กทรอนิกสตามกฎหมายวาดวยธุรกรรม อิเล็กทรอนิกส
- ขอมูลจราจรทางคอมพิวเตอร (Trafficlog) หมายถึง ขอมูลเกี่ยวกับการติดตอสื่อสารของระบบคอมพิวเตอร ซึ่งแสดงถึง แหลงกําเนิด ตนทาง ปลายทาง เวลา วันที่ ปริมาณ ระยะเวลา หรืออื่น ๆ ที่เกี่ยวของกับการติดตอสื่อสารของ ระบบคอมพิวเตอรนั้น
- สารสนเทศ (Information) หมายถึง ขอเท็จจริงที่ไดจากขอมูลนํามาผานการประมวลผล การจัดระเบียบใหขอมูล ซึ่งขอมูลอาจอยูในรูปของตัวเลข ขอความ หรือภาพกราฟกใหเปนระบบที่ผูใชสามารถเขาใจไดงาย และสามารถ นําไปใชประโยชนในการบริหาร การวางแผน การตัดสินใจ และอื่น ๆ
2 - ระบบคอมพิวเตอร (Computer system) หมายถึง อุปกรณหรือชุดอุปกรณของคอมพิวเตอรที่เชื่อมการทํางาน เขาดวยกันโดยไดมีการกําหนดคําสั่ง ชุดคําสั่งหรือสิ่งอื่นใด และแนวปฏิบัติงานใหอุปกรณหรือชุดอุปกรณทําหนาที่ ประมวลผลขอมูลโดยอัตโนมัติ
- ระบบเครือขายสื่อสารขอมูล (Network system) หมายถึง ระบบที่สามารถใชในการติดตอสื่อสารหรือการสงขอมูล และสารสนเทศระหวางระบบเทคโนโลยีสารสนเทศตาง ๆ ของ รฟม. เชน ระบบแลน (LAN) ระบบอินทราเน็ต (Intranet) ระบบอินเทอรเน็ต (Internet) เปนตน
- สิทธิ์ของผูใชงาน หมายถึง สิทธิ์ทั่วไป สิทธิ์จําเพาะ สิทธิพิเศษ และสิทธิ์อื่นใด ที่เกี่ยวของกับระบบสารสนเทศ ของหนวยงาน
- ความมั่นคงปลอดภัยดานสารสนเทศ หมายถึง การธํารงไวซึ่งความลับ (Confidentiality) ความถูกตองครบถวน (Integrity) และสภาพพรอมใชงาน (Availability) ของสารสนเทศ รวมทั้งคุณสมบัติอื่น ไดแก ความถูกตองแทจริง (Authenticity) ความรับผิด (Accountability) การหามปฏิเสธความรับผิด (Non-repudiation) และความนาเชื่อถือ (Reliability)
- เหตุการณดานความมั่นคงปลอดภัย หมายถึง เหตุการณที่แสดงใหเห็นความเปนไปไดที่จะเกิดการฝาฝนนโยบาย ดานความมั่นคงปลอดภัย มาตรการปองกันที่ลมเหลว หรือเหตุการณอันไมอาจรูไดวาอาจเกี่ยวของกับความมั่นคงปลอดภัย 23. สถานการณดานความมั่นคงปลอดภัยที่ไมพึงประสงคหรือไมอาจคาดคิด หมายถึง สถานการณดานความมั่นคงปลอดภัย ที่ไมพึงประสงคหรือไมอาจคาดคิด (Unwanted or unexpected) ซึ่งอาจทําใหระบบขององคกรถูกบุกรุก หรือโจมตีและความมั่นคงปลอดภัยถูกคุกคาม
- การเขาถึงหรือควบคุมการใชงานสารสนเทศ หมายถึง การอนุญาต การกําหนดสิทธิ์หรือการมอบอํานาจใหผูใชงาน เขาถึงหรือใชงานเครือขายหรือระบบสารสนเทศ ทั้งทางอิเล็กทรอนิกสและทางกายภาพ ตลอดจนอาจกําหนดขอปฏิบัติ เกี่ยวกับการเขาถึงโดยมิชอบเอาไวดวยก็ได
- สินทรัพย (Assets) หมายถึง สินทรัพยดานระบบเทคโนโลยีสารสนเทศและการสื่อสารของ รฟม. เชน อุปกรณ คอมพิวเตอร อุปกรณระบบเครือขาย ซอฟตแวรที่มีคาลิขสิทธิ์ขอมูล ระบบขอมูล ฯลฯ
- จดหมายอิเล็กทรอนิกส (Email) หมายถึง ระบบที่บุคคลใชในการรับ - สงขอความระหวางกัน โดยผานเครื่อง คอมพิวเตอรและเครือขายที่เชื่อมโยงถึงกัน ขอมูลที่สงจะเปนไดทั้งตัวอักษร ภาพถาย ภาพกราฟก ภาพเคลื่อนไหว และเสียง ผูสงสามารถสงขาวสารไปยังผูรับคนเดียวหรือหลายคนก็ได โดยขาวสารที่สงนั้นจะถูกเก็บไวในตูจดหมาย (Mail box) ที่กําหนดไวสําหรับผูใชงาน ผูรับสามารถเปดอาน พิมพลงกระดาษ หรือจะลบทิ้งก็ได
- ชุดคําสั่งไมพึงประสงค (Malicious code) หมายถึง ชุดคําสั่งที่มีผลทําใหคอมพิวเตอร หรือระบบคอมพิวเตอร หรือชุดคําสั่งอื่นเกิดความเสียหาย ถูกทําลาย ถูกแกไขเปลี่ยนแปลงหรือเพิ่มเติม ขัดของหรือปฏิบัติงานไมตรง ตามคําสั่งที่กําหนดไว
- เครื่องคอมพิวเตอรหมายถึง เครื่องคอมพิวเตอรแบบตั้งโตะ และเครื่องคอมพิวเตอรแบบพกพา 29. อุปกรณเคลื่อนที่ (Mobile device) หมายถึง อุปกรณอิเล็กทรอนิกสแบบพกพา ซึ่งมีความสามารถในการเชื่อมตอกับ อุปกรณอื่นเพื่อรับสงขอมูลผานระบบเครือขายโทรคมนาคมไรสายหรือโดยอาศัยคลื่นแมเหล็กไฟฟาเปนสื่อกลาง เชน Tablet, Smart Phone
- ทรัพยสินของ รฟม. หมายถึง ครุภัณฑ รฟม. และทรัพยสินที่ไมมีการขึ้นทะเบียนครุภัณฑที่ รฟม. จัดสรร งบประมาณเพื่อเปนคาใชจายใหทั้งหมดหรือบางสวน
- อุปกรณสวนตัว หมายถึง อุปกรณที่ไมใชทรัพยสินของ รฟม. ที่ผูใชงานนํามาเชื่อมตอกับระบบสารสนเทศของ รฟม. เชน เครื่องคอมพิวเตอรสวนบุคคล (Personal computer) เครื่องคอมพิวเตอรพกพา (Notebook) อุปกรณเคลื่อนที่ (Mobile device) Removable media หรืออุปกรณคอมพิวเตอรของโครงการรถไฟฟา เปนตน
3
สวนที่ 1
นโยบายการบริหารจัดการความมั่นคงปลอดภัยสําหรับผูบริหาร
วัตถุประสงค
▪ เพื่อใหการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศขององคกรมีความสอดคลองกับมาตรฐานสากลและ กฎหมายดานความมั่นคงปลอดภัยที่เกี่ยวของ
ผูรับผิดชอบ
▪ ผูบริหารสูงสุด
อางอิงมาตรฐาน: ISO/IEC 27001:2022
▪ มาตรการควบคุมดานองคกร (Organizational Controls)
แนวปฏิบัติ - จัดใหมีการทําและทบทวนหรือปรับปรุงนโยบายความมั่นคงปลอดภัย และแนวปฏิบัติที่สนับสนุนการทํางานตาง ๆ อยางนอยปละ 1 ครั้ง โดยพิจารณาจากปจจัยนําเขา ดังนี้
1.1 กลยุทธการดําเนินงานขององคกร
1.2 ขอมูลกฎหมาย ระเบียบ ขอบังคับตาง ๆ ที่ตองปฏิบัติตาม
1.3 การปรับปรุงนโยบายความมั่นคงปลอดภัยสําหรับปถัดไป
1.4 ผลการประเมินความเสี่ยงและแผนลดความเสี่ยง
1.5 ผลการแจงเตือนโดยระบบปองกันการบุกรุกในปที่ผานมา
1.6 ผลของการตรวจสอบขอมูลการปดชองโหว (Patch) สําหรับระบบตาง ๆ ในปที่ผานมา 1.7 การจัดทําและตอสัญญาบํารุงรักษาระบบและอุปกรณตาง ๆ
1.8 แผนการอบรมทางดานความมั่นคงปลอดภัยประจําปซึ่งรวมถึงการสรางความตระหนัก 1.9 ผลการทดสอบแผนกูคืนในปที่ผานมา
1.10 ขอมูลภัยคุกคามตาง ๆ ที่เคยเกิดขึ้นในอดีตและปจจุบัน รวมทั้งภัยคุกคามที่ไดรับแจงจากหนวยงานภายนอก 1.11 ผลการตรวจสอบการปฏิบัติตามนโยบายความมั่นคงปลอดภัยโดยผูตรวจสอบภายในหรือโดยผูตรวจสอบ อิสระดานความมั่นคงปลอดภัยจากภายนอก - จัดใหมีทรัพยากรดานบุคลากร งบประมาณ การบริหารจัดการ และวัตถุดิบที่เพียงพอตอการบริหารจัดการความ มั่นคงปลอดภัยสารสนเทศในแตละปงบประมาณ
- จัดใหมีบุคลากรดําเนินงานดานความมั่นคงปลอดภัยสารสนเทศและกําหนดหนาที่ความรับผิดชอบรวมทั้ง ปรับปรุงโครงสรางดังกลาวตามความจําเปน
- แสดงเจตนารมณหรือสื่อสารอยางสม่ําเสมอเพื่อใหผูใชงานทั้งหมดไดเห็นถึงความสําคัญของการปฏิบัติตาม นโยบายความมั่นคงปลอดภัยและนโยบายสนับสนุนตาง ๆ โดยเครงครัดและเปนผูรับผิดชอบตอความเสี่ยง ความเสียหาย หรืออันตรายที่เกิดขึ้นกับสารสนเทศขององคกร รวมถึงสรางความรวมมือระหวางหนวยงาน ที่เกี่ยวของกับความมั่นคงปลอดภัยสารสนเทศ
4
สวนที่ 2
ความมั่นคงปลอดภัยที่เกี่ยวกับบุคลากร
วัตถุประสงค
▪ เพื่อใหผูใชงานเขาใจถึงบทบาท หนาที่ความรับผิดชอบ ทั้งกอนการจางงาน ระหวางการจางงาน และสิ้นสุดหรือ เปลี่ยนแปลงการจางงาน ตลอดจนตระหนักถึงภัยคุกคามและปญหาที่เกี่ยวของกับความมั่นคงปลอดภัยของ ระบบเทคโนโลยีสารสนเทศเพื่อลดความเสี่ยงอันเกิดจากการขโมย การฉอโกง การใชงานระบบเทคโนโลยี สารสนเทศผิดวัตถุประสงคและความผิดพลาดในการปฏิบัติหนาที่ ซึ่งอาจสงผลกระทบหรือทําให รฟม.
เกิดความเสียหาย
ผูรับผิดชอบ
▪ ผูอํานวยการฝายเทคโนโลยีสารสนเทศ ผูอํานวยการฝายทรัพยากรบุคคล ผูอํานวยการฝาย/สํานัก/สํานักงาน ที่กํากับดูแลงานที่มีการวาจางหนวยงานภายนอก
อางอิงมาตรฐาน: ISO/IEC 27001:2022
▪ มาตรการควบคุมดานองคกร (Organizational Controls)
▪ มาตรการควบคุมดานบุคลากร (People Controls)
แนวปฏิบัติ - การสรางความมั่นคงปลอดภัยกอนการจางงาน (Prior to Employment) เพื่อคัดสรรบุคลากรกอนที่จะเขามา ปฏิบัติงาน และเพื่อลดความเสี่ยงจากการปฏิบัติงานผิดพลาด การขโมย การปลอมแปลง และการนําระบบ สารสนเทศหรือทรัพยากรสารสนเทศของ รฟม. ไปใชในทางที่ไมเหมาะสม รวมทั้งเพื่อใหผูใชงานเขาใจในหนาที่ ความรับผิดชอบของตนเอง
1.1 การตรวจสอบคุณสมบัติของผูสมัคร (Screening)
ฝทบ. หรือฝาย/สํานัก/สํานักงาน ที่กํากับดูแลงานที่มีการวาจางหนวยงานภายนอก/บุคคลภายนอกตองตรวจสอบ คุณสมบัติของผูสมัคร (ทั้งกรณีการจางเปนพนักงาน ลูกจาง การวาจางหนวยงานภายนอก/บุคคลภายนอก เพื่อปฏิบัติงานให รฟม. รวมทั้งนิสิตนักศึกษาฝกงาน) โดยผูสมัครตองไมเคยกระทําผิดกฎหมาย ระเบียบ ขอบังคับ หรือจริยธรรม รวมทั้งไมมีประวัติในการบุกรุก แกไข ทําลาย หรือโจรกรรมขอมูลในระบบเทคโนโลยี สารสนเทศมากอน และมีคุณสมบัติตามที่ รฟม. กําหนด
1.2 การกําหนดเงื่อนไขการจางงาน (Terms and Conditions of Employment) การวาจางใหมีเงื่อนไข การจางงานใหครอบคลุมในเรื่องดังตอไปนี้
1.2.1 กําหนดหนาที่ความรับผิดชอบดานความมั่นคงปลอดภัยดานสารสนเทศอยางเปนลายลักษณอักษร (Information Security Roles and Responsibilities) แกผูใชงาน โดยกําหนดใหสอดคลองกับ นโยบายความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศของ รฟม.
1.2.2 กําหนดใหมีการลงนามในสัญญาวาจะไมเปดเผยความลับของ รฟม. (Non-Disclosure Agreement: NDA)
1.2.3 ระบบเทคโนโลยีสารสนเทศที่สรางหรือพัฒนาโดยผูใชงานในระหวางการวาจางถือเปนสินทรัพย ของ รฟม.
1.2.4 กําหนดความรับผิดชอบหรือบทลงโทษ หากผูใชงานไมปฏิบัติตามนโยบายการรักษาความมั่นคงปลอดภัย ของระบบเทคโนโลยีสารสนเทศ รฟม. รวมทั้ง กฎหมาย ระเบียบ ขอบังคับ หรือขอกําหนดอื่น ๆ ที่เกี่ยวของกับการรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศ
5 - การสรางความมั่นคงปลอดภัยในระหวางการจางงาน (During Employment) เพื่อสรางความตระหนักแกผูใชงาน เกี่ยวกับภัยที่เกี่ยวของกับการปฏิบัติงานสารสนเทศ รวมถึงใหความรูเพื่อใหสามารถปองกันภัยดังกลาวได 2.1 หนาที่ในการบริหารจัดการทางดานความมั่นคงปลอดภัย (Management Responsibilities) ผูบริหาร รฟม. ทุกระดับชั้นมีหนาที่สนับสนุนและสงเสริมเรื่องดังตอไปนี้แกผูใชงาน
2.1.1 ประกาศนโยบายการรักษาความมั่นคงปลอดภัยดานสารสนเทศของ รฟม. เปนลายลักษณอักษรใหทุกคน รับทราบและปฏิบัติตาม
2.1.2 จูงใจใหผูใชงานปฏิบัติตามนโยบายการรักษาความมั่นคงปลอดภัยดานสารสนเทศของ รฟม. 2.1.3 สรางความตระหนักถึงความมั่นคงปลอดภัยดานสารสนเทศที่เกี่ยวของกับหนาที่ความรับผิดชอบ ของตนเองและของ รฟม.
2.2 การสรางความตระหนัก การใหความรู และการอบรมดานความมั่นคงปลอดภัยใหแกผูใชงาน (Information Security Awareness, Education and Training) การสรางความตระหนักในการรักษาความมั่นคงปลอดภัย อยางสม่ําเสมอ
2.2.1 ผูดูแลระบบตองแจงเตือนภัยคุกคาม และชองโหวที่สงผลกระทบตอความมั่นคงปลอดภัยของระบบ เทคโนโลยีสารสนเทศแกผูใชงานที่เกี่ยวของ นอกจากนี้ตองแจงเตือนใหผูใชงานเพิ่มความระมัดระวัง ความเสี่ยงตาง ๆ เชน ไวรัสคอมพิวเตอร เทคนิคการหลอกลอทางจิตวิทยา (Social Engineering) และชองโหวทางเทคนิค เปนตน
2.2.2 ฝทท. ตองดําเนินการฝกอบรม หรือประชาสัมพันธเพื่อสรางความตระหนักดานความมั่นคงปลอดภัย ของระบบเทคโนโลยีสารสนเทศแกผูใชงานเปนประจําทุกป
2.2.3 ฝทท. ตองแจงผูใชงานใหทราบ เมื่อมีการเปลี่ยนแปลงนโยบายการรักษาความมั่นคงปลอดภัย สารสนเทศของ รฟม. รวมทั้งอธิบายผลกระทบจากการเปลี่ยนแปลงดังกลาว
2.3 การแจงเหตุการณไมปกติ
ผูใชงานตองแจงเหตุการณไมปกติดานเทคโนโลยีสารสนเทศที่พบผานชองทางที่ รฟม. กําหนดโดยเร็วที่สุด 2.4 การกําหนดบทลงโทษ
2.4.1 ความรับผิดตามกฎหมาย
นโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยดานสารสนเทศนี้ไมไดกอใหเกิดสิทธิ์ ทางกฎหมายที่ทําใหผูใชงานพนผิดแมจะไดปฏิบัติตามนโยบายและแนวปฏิบัติในการรักษาความมั่นคง ปลอดภัยสารสนเทศและผูใชงานตกลงยินยอมที่จะไมดําเนินการใด ๆ ทางกฎหมายตอ รฟม. ซึ่งได ปฏิบัติตามระเบียบนี้ แตอยางไรก็ตามหากผูใชงานกระทําการละเมิดหรือกระทําผิดตามนโยบาย และแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยสารสนเทศ อาจเปนความผิดทางวินัยและเปนเหตุ ใหถูกลงโทษทางวินัยได รฟม. ไมมีสวนรับผิดชอบตอการละเมิดทรัพยสินทางปญญาที่เกิดจาก การใชระบบคอมพิวเตอร
2.4.2 การพิจารณาโทษผูกระทําผิด
ผูใชงานที่กระทําความผิด ฝทท. จะเพิกถอนสิทธิ์การใชงานและอาจเปนความผิดทางวินัย หรือ ความผิดตามกฎหมายที่เกี่ยวของ
- พนักงาน/ลูกจางที่ฝาฝนหรือละเมิดนโยบายการรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยี สารสนเทศ รฟม. ตองถูกลงโทษตามกระบวนการทางวินัยของ รฟม. รวมถึงกฎหมายที่เกี่ยวของ 2) หนวยงานภายนอก/บุคคลภายนอกที่กระทําความผิด จะมีโทษตามที่ระบุไวในสัญญาหรือ ถูกเพิกถอนสิทธิ์การใชงาน รวมถึงดําเนินการตามกฎหมายที่เกี่ยวของ
6
- การสิ้นสุดหรือการเปลี่ยนแปลงการจางงาน (Termination and Change of Employment) เพื่อกําหนดหนาที่ความรับผิดชอบเมื่อสิ้นสุดหรือเปลี่ยนแปลงการจางงาน ซึ่งรวมไปถึงการคืนทรัพยสินและ การถอดถอนสิทธิ์ในการเขาถึง
3.1 การแจงการสิ้นสุดหรือเปลี่ยนแปลงการจางงาน
3.1.1 ฝทบ. ตองแจงใหฝทท. ทราบทันทีหากพนักงานมีการลาออก โยกยาย เกษียณ หรือเสียชีวิตเพื่อ ฝทท. จะไดตรวจสอบและบริหารจัดการสิทธิ์ในการเขาถึงระบบเทคโนโลยีสารสนเทศ
3.1.2 ฝาย/สํานัก/สํานักงาน ที่กํากับดูแลงานที่มีการวาจางหนวยงานภายนอก/บุคคลภายนอก ตองแจงให ฝทท. ทราบทันทีในกรณีที่ผูรับจางภายนอกสิ้นสุดสัญญาจางหรือมีการยกเลิกสัญญาจาง เพื่อให ฝทท. ตรวจสอบการใชงานระบบสารสนเทศและถอดถอนสิทธิ์ในการเขาถึงระบบสารสนเทศของ รฟม.
3.2 การคืนสินทรัพยของ รฟม.
ผูดูแลระบบตองตรวจสอบเพื่อเรียกคืนสินทรัพยของ รฟม. จากผูใชงาน เมื่อการสิ้นสุดหรือการเปลี่ยนแปลง การจางงาน
3.3 การถอดถอนสิทธิ์ในการเขาถึง
3.3.1 ผูดูแลระบบตองถอดถอนสิทธิ์ในการเขาถึงของผูใชงาน เมื่อสิ้นสุดหรือเปลี่ยนแปลงการจางงาน 3.3.2 การถอดถอนสิทธิ์ในการเขาถึงหมายรวมถึง ทางกายภาพ (Physical) และทางตรรกะ (Logical) เชน กุญแจ บัตรแสดงตน บัตรประจําตัวผูใชงาน และบัญชีผูใชงาน เปนตน
3.3.3 ในกรณีที่ผูใชงานที่สิ้นสุดหรือเปลี่ยนแปลงการจางงาน มีการใชบัญชีผูใชงานรวมกัน (Shared User ID) กับผูใชงานอื่น ผูบังคับบัญชาตองเปลี่ยนรหัสผานทันทีหลังจากสิ้นสุดหรือเปลี่ยนแปลงการจางงาน
7
สวนที่ 3
การรักษาความมั่นคงปลอดภัยทางดานกายภาพและสิ่งแวดลอม
วัตถุประสงค
▪ เพื่อควบคุมและปองกันการรักษาความมั่นคงปลอดภัยที่เกี่ยวของกับการเขาถึงอาคารสถานที่ และพื้นที่จัดเก็บ ขอมูลคอมพิวเตอร (Data Storage Area)
ผูรับผิดชอบ
▪ ผูดูแลระบบ
▪ ผูอํานวยการฝายจัดซื้อและบริการ
อางอิงมาตรฐาน: ISO/IEC 27001:2022
▪ มาตรการควบคุมดานกายภาพ (Physical Controls)
แนวปฏิบัติ - ผูดูแลระบบ ตองออกแบบ และติดตั้งอุปกรณหรือระบบสนับสนุน (Facilities) เพื่อปองกันความมั่นคงปลอดภัย ดานกายภาพ เชน อุปกรณดับเพลิง ระบบสํารองไฟฟา เครื่องกําเนิดไฟฟา ระบบปรับอากาศและควบคุมความชื้น ระบบเตือนภัยน้ํารั่ว และตองมีการบํารุงรักษาอยางสม่ําเสมอ
- ผูดูแลระบบตองติดตั้งอุปกรณสารสนเทศในตูแร็ก (Rack) หรือสถานที่ที่มีความมั่นคงปลอดภัยและมีการปดล็อค 3. ผูดูแลระบบ ตองมีการปองกันสายเคเบิลที่ใชเพื่อการสื่อสารหรือสายไฟ มิใหมีการดักรับสัญญาณ (Interception) หรือมีความเสียหายเกิดขึ้น โดยจะตองเดินสายเคเบิลผานทอรอยสายหรือทางเดินสายที่มั่นคงปลอดภัยจากการเขาถึง และไมเดินสายผานพื้นที่ที่เขาถึงไดอยางสาธารณะ รวมทั้งสายเคเบิลสื่อสารและสายไฟฟาตองแยกจากกันโดยมี ระยะหางที่เหมาะสม
- การกําหนดบริเวณที่มีการรักษาความมั่นคงปลอดภัย
กําหนดพื้นที่ของระบบเทคโนโลยีสารสนเทศตาง ๆ อยางเหมาะสม เพื่อเปนการเฝาระวัง ควบคุม การรักษาความมั่นคง ปลอดภัยจากผูที่ไมไดรับอนุญาต รวมทั้งปองกันความเสียหายอื่น ๆ ที่อาจเกิดขึ้นไดโดยแบงแยกบริเวณพื้นที่ใชงาน ระบบเทคโนโลยีสารสนเทศออกเปน
4.1 พื้นที่ทํางาน (Working area) หมายถึง พื้นที่ติดตั้งเครื่องคอมพิวเตอรสวนบุคคลและคอมพิวเตอรพกพา ที่ประจําโตะทํางาน
4.2 พื้นที่จัดเก็บขอมูลคอมพิวเตอร (Data storage area) หมายถึง พื้นที่ศูนยของขอมูล (Data center) 5. การควบคุมการเขาออก อาคาร สถานที่
5.1 กําหนดสิทธิ์ของผูใชงานและหนวยงานภายนอกในการเขาถึงสถานที่ โดยแบงแยกได ดังนี้ 5.1.1 ผูดูแลระบบตองกําหนดสิทธิ์แกผูใชงานที่มีสิทธิ์เขา - ออก และกําหนดชวงระยะเวลาที่มีสิทธิ์ ในการเขา - ออกแตละพื้นที่ใชงานระบบเทคโนโลยีสารสนเทศอยางชัดเจน
5.1.2 เจาหนาที่รักษาความปลอดภัย (รปภ.) จะตองใหหนวยงานภายนอก/บุคคลภายนอกแลกบัตรที่สามารถ ระบุตัวตนของบุคคลนั้น ๆ กอนเขาถึงอาคารของ รฟม. เชน บัตรประจําตัวประชาชน ใบอนุญาตขับขี่ เปนตน แลวบันทึกขอมูลบัตรในสมุดบันทึกหรือระบบงานสารสนเทศ
5.1.3 หนวยงานภายนอก/บุคคลภายนอกที่มาติดตอตองติดบัตรผูติดตอ (Visitor) ตรงจุดที่สามารถเห็นได ชัดเจนตลอดเวลาที่อยูใน รฟม.และคืนบัตรผูติดตอ (Visitor) กอนออกจากอาคารของ รฟม.
5.1.4 เจาหนาที่รักษาความปลอดภัย (รปภ.) ตองตรวจสอบผูติดตอ อุปกรณ พรอมลงเวลาออกที่สมุด บันทึกหรือระบบสารสนเทศใหถูกตอง
5.2 ผูดูแลระบบ ตองควบคุมการเขา –ออกพื้นที่จัดเก็บขอมูลคอมพิวเตอร (Data Storage Area) ไมใหผูไมมีสิทธิ์ เขาถึงได โดยกําหนดพื้นที่การสงมอบสินคาและพื้นที่การเตรียมหรือประกอบอุปกรณสารสนเทศ (Unpack Area) กอนนําเขาพื้นที่จัดเก็บขอมูลคอมพิวเตอร (Data storage area) และตองควบคุม การ เขา - ออก เพื่อหลีกเลี่ยงการเขาถึงระบบสารสนเทศและขอมูลสารสนเทศโดยไมไดรับอนุญาต โดยปฏิบัติตามขั้นตอนที่ รฟม. กําหนด
8
สวนที่ 4
การจัดการทรัพยสิน
วัตถุประสงค
▪ เพื่อบริหารจัดการทรัพยสินสารสนเทศ ตั้งแตการจัดหา การใชงาน จนถึงการยกเลิกใชงาน โดยมีการระบุ ทรัพยสินขององคกรและกําหนดหนาที่ความรับผิดชอบในการปกปองทรัพยสินสารสนเทศอยางเหมาะสม ผูรับผิดชอบ
▪ ผูบังคับบัญชา
▪ ผูดูแลระบบ
▪ เจาของขอมูล
▪ ผูใชงาน
อางอิงมาตรฐาน: ISO/IEC 27001:2022
▪ มาตรการควบคุมดานองคกร (Organizational Controls)
▪ มาตรการควบคุมดานกายภาพ (Physical Controls)
▪ มาตรการควบคุมดานเทคโนโลยี (Technological Controls)
แนวปฏิบัติ - หนาที่ความรับผิดชอบตอทรัพยสินสารสนเทศ (Responsibility for Assets)
1.1 เจาของขอมูลและผูดูแลระบบ ตองรวมกันจัดทําบัญชีทรัพยสิน/ทะเบียนทรัพยสิน (Asset Inventory) และทบทวนทะเบียนทรัพยสินอยางนอยปละ 1 ครั้ง หรือเมื่อมีการเปลี่ยนแปลงที่มีนัยสําคัญ 1.2 เจาของขอมูลและผูดูแลระบบ ตองระบุเจาของทรัพยสินสารสนเทศทุกรายการ เพื่อรับผิดชอบดูแล ความมั่นคงปลอดภัยสารสนเทศตลอดวงจรอายุการใชงาน
1.3 เจาของขอมูลและผูดูแลระบบ ตองเรียกคืนทรัพยสินสารสนเทศเมื่อสิ้นสุดหรือเปลี่ยนแปลงการจางงาน 1.4 ผูใชงานตองใชทรัพยสินสารสนเทศของ รฟม. อยางระมัดระวัง และใชเพื่อปฏิบัติงานของ รฟม. เทานั้น รวมทั้งตองปฏิบัติตามกฎหมาย ระเบียบ ขอบังคับ และนโยบาย ของ รฟม. - การจําแนกประเภทของทรัพยสินสารสนเทศ (Asset Classification)
2.1 เจาของขอมูลและผูดูแลระบบ ตองจําแนกประเภททรัพยสินตามขั้นตอนที่ รฟม. กําหนด และทบทวน การจําแนกดังกลาวอยางสม่ําเสมอ
2.2 เจาของขอมูลและผูดูแลระบบ ตองจัดทําปายชื่อทรัพยสินสารสนเทศ (Labeling) ใหชัดเจน พรอมทั้งจัดใหมี มาตรการดูแลการรักษาความมั่นคงปลอดภัยสารสนเทศที่สอดคลองกับประเภททรัพยสินตามระดับชั้นความลับ ที่ รฟม. กําหนด - การจัดการสื่อบันทึกขอมูล (Media Handling)
3.1 เจาของขอมูล ผูดูแลระบบ และผูใชงานตองควบคุมการใชงานและจัดเก็บสื่อบันทึกแบบถอดหรือตอพวง กับเครื่องคอมพิวเตอรได (Removable Media) ตามที่ รฟม. กําหนด
3.2 เจาของขอมูลตองมีการเขารหัสขอมูลที่ออนไหว (Sensitive Data) ของ รฟม. ที่จัดเก็บอยูในสื่อบันทึก แบบถอดได
3.3 เจาของขอมูล ผูดูแลระบบ และผูใชงานตองทําลายขอมูลสําคัญในอุปกรณสื่อบันทึกขอมูล แฟมขอมูล ตามขั้นตอนที่ รฟม. กําหนด โดยไมสามารถกูคืนขอมูลกลับมาไดอีกกอนจะกําจัดอุปกรณดังกลาวหรือ กอนที่จะอนุญาตใหผูอื่นนําอุปกรณนั้นไปใชงานตอเพื่อปองกันไมใหมีการเขาถึงขอมูลที่สําคัญได โดยพิจารณาวิธีการทําลายขอมูลบนสื่อบันทึกขอมูลแตละประเภท ดังนี้
9
ประเภทสื่อบันทึกขอมูล
วิธีทําลาย
กระดาษ
ใหหั่นดวยเครื่องทําลายเอกสาร
Flash Drive- ทําลายขอมูลบน Flash Drive ตามมาตรฐาน DOD5220.22M ของกระทรวงกลาโหมสหรัฐอเมริกา ซึ่งเปนการเขียนทับขอมูลเดิมหลายรอบ
- ใชวิธีทุบหรือบดใหเสียหาย
แผน CD/DVD
ใหหั่นดวยเครื่องทําลายเอกสาร
เทป
ใชวิธีทุบหรือบดใหเสียหายหรือเผาทําลาย
ฮารดดิสก- ทําลายขอมูลบนฮารดดิสกตามมาตรฐาน
DOD5220.22M ของกระทรวงกลาโหมสหรัฐอเมริกา ซึ่งเปนการเขียนทับขอมูลเดิมหลายรอบ
- ทําลายขอมูลบนฮารดดิสกตามมาตรฐาน
- ใชวิธีทุบหรือบดใหเสียหาย
3.4 เจาของขอมูล ผูดูแลระบบ และผูใชงาน ตองมีการปองกันสื่อบันทึกขอมูลที่ใชจัดเก็บขอมูลสารสนเทศ ในกรณี ที่มีการเคลื่อนยายเพื่อปองกันการเขาถึงขอมูลสารสนเทศโดยไมไดรับอนุญาต ถูกนําไปใชงานผิดวัตถุประสงค รวมถึงปองกันสื่อบันทึกขอมูลไมใหไดรับความเสียหาย โดยรักษาความปลอดภัยสารสนเทศตามขั้นตอนที่ รฟม. กําหนด
4. การบริหารจัดการคาคอนฟกูเรชัน (Configuration Management)
4.1 ผูบังคับบัญชาตองกําหนดใหมีแนวทางการบริหารจัดการคาคอนฟกูเรชัน (Configuration Management) 4.2 ผูดูแลระบบตองกําหนดคา Minimum Baseline Standard เพื่อเปนมาตรฐานในการการตั้งคาของ ระบบปฏิบัติการ ระบบฐานขอมูล ระบบงาน และอุปกรณเครือขายสื่อสารตาง ๆอยางเปนลายลักษณอักษร และตองการทบทวนปรับปรุงใหเปนปจจุบันอยางนอยปละ 1 ครั้ง
4.3 ผูดูแลระบบตองควบคุมการเปลี่ยนแปลงการตั้งคาของระบบปฏิบัติการ ระบบฐานขอมูล ระบบงาน และ อุปกรณเครือขายสื่อสารตาง ๆ ตามขั้นตอนปฏิบัติการควบคุมการเปลี่ยนแปลงหรือแกไขระบบที่ รฟม. กําหนด
4.4 ผูดูแลระบบตองควบคุมเวอรชันของคาคอนฟกูเรชัน (System Configuration Version Control) 4.5 ผูดูแลระบบตองมีการสอบทานคาคอนฟกูเรชันของระบบปฏิบัติการ ระบบฐานขอมูล ระบบงาน และ อุปกรณเครือขายสื่อสารตาง ๆ อยางนอยปละ 1 ครั้ง
10
สวนที่ 5
การจัดหา การพัฒนา และการบํารุงรักษาระบบสารสนเทศ
วัตถุประสงค
▪ เพื่อควบคุมการจัดหา พัฒนา และบํารุงรักษาระบบสารสนเทศ ใหมีการกําหนดมาตรการการรักษาความมั่นคง ปลอดภัย เพื่อปองกันความผิดพลาด สูญหาย และการเปลี่ยนแปลงแกไขระบบ
ผูรับผิดชอบ
▪ ผูบังคับบัญชา
▪ ผูดูแลระบบ
อางอิงมาตรฐาน: ISO/IEC 27001:2022
▪ มาตรการควบคุมดานองคกร (Organizational Controls)
▪ มาตรการควบคุมดานเทคโนโลยี (Technological Controls)
แนวปฏิบัติ
- ผูบังคับบัญชา ตองควบคุมใหมีการกําหนดขอตกลงและความรับผิดชอบที่เกี่ยวของกับความเสี่ยงดานความมั่นคง ปลอดภัยสารสนเทศลงในสัญญากับผูใหบริการภายนอก โดยใหครอบคลุมรวมถึงผูรับจางชวงดวย 2. ผูบังคับบัญชาตองควบคุมใหมีขอตกลง (Sign Off) กอนเริ่มใชงานระบบจริง (Production) หรือกอนเริ่ม Go Live 3. ผูดูแลระบบ ตองจัดทําขอกําหนดโดยระบุถึงการควบคุมความมั่นคงปลอดภัยดานสารสนเทศที่สอดคลองกับ นโยบายและแนวปฏิบัติดานความมั่นคงปลอดภัยสารสนเทศขององคกร เชน วิธีการแบบปลอดภัยในการพัฒนา โปรแกรมตามมาตรฐาน OWASP (Open Web Application Security Project) Top 10 หรือมาตรฐาน CWE (Common Weakness Enumeration) Top 25 หรือมาตรฐานที่ยอมรับในสากล
- ผูดูแลระบบตองออกแบบโครงสรางการจัดวางระบบงานและเสนอผูบังคับบัญชาเห็นชอบกอนเริ่ม Go Live 5. ผูดูแลระบบ ตองมีการออกแบบระบบเพื่อตรวจสอบขอมูลที่จะรับเขาสูแอปพลิเคชัน ขอมูลที่เกิดจากการ ประมวลผล และขอมูลที่อยูระหวางการประมวลผล เพื่อตรวจหาและปองกันความไมถูกตองที่เกิดขึ้นกับขอมูล เชน หนวยความจําลน (Buffer Overflows) การใชตัวแปรผิดประเภท และตองมีมาตรการปองกันหรือควบคุม ความลมเหลวระหวางการประมวลผล (Rollback)
- ผูดูแลระบบตองมีการควบคุมการเขาถึงและควบคุมการเปลี่ยนแปลงหรือแกไขระบบตามขั้นตอนที่ รฟม. กําหนด เพื่อควบคุมผลกระทบที่เกิดขึ้น
- ผูดูแลระบบตองจํากัดใหมีการเปลี่ยนแปลงใด ๆ ตอซอฟตแวรที่ใชงาน (Software Package) โดยเปลี่ยนแปลง เฉพาะที่จําเปนเทานั้น และควบคุมทุก ๆ การเปลี่ยนแปลงอยางเขมงวดตามขั้นตอนที่ รฟม. กําหนด 8. ผูดูแลระบบตองจํากัดการเขาถึง Source Code ใหเขาถึงไดเฉพาะผูที่มีสิทธิ์เทานั้น
- ผูดูแลระบบตองจัดทํา Source Code Review เพื่อหาขอผิดพลาดหรือสิ่งผิดปกติและปรับปรุง Source Code ใหมีคุณภาพ
- ผูดูแลระบบตองควบคุมการจัดสง Source Code ผานชองทางที่มั่นคงปลอดภัยและเปนชองทางที่ รฟม. กําหนดใหใชงานเทานั้น
- ผูดูแลระบบตองปดบังขอมูลสวนบุคคล (Data Masking) ที่จัดเก็บอยูในระบบงานสารสนเทศดวยวิธีการที่ เหมาะสม
- ผูดูแลระบบตองแสดงขอมูลของผูใชงานอยางรัดกุม เชน การปดบังขอมูลสําคัญของผูใชงาน (Sensitive Data Masking) เปนตน
11 - กรณีของแอปพลิเคชันที่ใชงานผานอุปกรณเคลื่อนที่ (Mobile device) ใหผูดูแลระบบดําเนินการ ดังนี้ 13.1 ปดบังหนาจอเมื่อยอแอปพลิเคชัน (Application Blurring) เพื่อลดความเสี่ยงที่ขอมูลสําคัญของผูใชงาน จะรั่วไหล
13.2 ขอสิทธิ์เขาถึงทรัพยากรหรือบริการโดยแอปพลิเคชัน (Application Permission) บนอุปกรณเคลื่อนที่ ของผูใชงานเทาที่จําเปน และมีกระบวนการทบทวนการขอสิทธิ์เปนประจําเพื่อปองกันการละเมิดสิทธิ์ ความเปนสวนตัวของผูใชงาน - ผูดูแลระบบตองควบคุมขอมูลที่นํามาใชในการทดสอบระบบ (Test Data) อยางเหมาะสม โดยไมนําขอมูลจริง มาทดสอบ กรณีจําเปนตองใชขอมูลจริงตองไดรับอนุญาตขอมูลจากเจาของกอนนํามาใชงาน และทําลายขอมูล อยางเหมาะสมตามขั้นตอนที่ รฟม. กําหนด
- ผูดูแลระบบตองแยกระบบสารสนเทศสําหรับการพัฒนา ทดสอบ และใชงานจริงออกจากกันเพื่อลดความเสี่ยง ที่เกิดจากการเปลี่ยนแปลงระบบสารสนเทศโดยไมไดรับอนุญาต และตองมีการกําหนดสิทธิ์การเขาถึงระบบ สารสนเทศที่พัฒนา ทดสอบ หรือใชงานจริง ทั้งระบบสารสนเทศใหม และการปรับปรุงแกไขระบบสารสนเทศเดิม
- ผูดูแลระบบตองมีการกําหนดขั้นตอนการทดสอบระบบสารสนเทศกอนนําไปใชงานจริง ทั้งในกรณีปรับปรุงระบบ สารสนเทศเดิมและการพัฒนาระบบสารสนเทศใหม
- ผูดูแลระบบตองติดตั้งซอฟตแวรบนระบบสารสนเทศที่ใหบริการ (Production) ตามขั้นตอนที่ รฟม. กําหนด และจํากัดสิทธิ์การติดตั้งซอฟตแวรเพื่อใหระบบสารสนเทศตาง ๆ มีความถูกตองครบถวนและนาเชื่อถือ 18. ผูดูแลระบบตองนําซอฟตแวรที่ไมละเมิดลิขสิทธิ์มาติดตั้งบนระบบสารสนเทศที่ใหบริการ (Production) 19. ผูดูแลระบบตองกํากับดูแลใหผูรับจางปฏิบัติตามสัญญาหรือขอตกลงการใหบริการที่ระบุไว โดยครอบคลุมถึง ดานความมั่นคงปลอดภัยสารสนเทศ และการปฏิบัติตามขั้นตอนที่เกี่ยวของตาง ๆ ที่ รฟม. กําหนดไว 20. ผูดูแลระบบ ตองติดตาม ตรวจสอบรายงาน หรือบันทึกการใหบริการของบุคคล/หนวยงานภายนอกที่ใหบริการแก หนวยงานตามสัญญาวาจางอยางสม่ําเสมอ
- ผูดูแลระบบ ตองดูแลใหทรัพยสินสารสนเทศไดรับการบํารุงรักษาและซอมแซมตามความตองการ รวมทั้งตอง มีการบันทึกประวัติการทํางานผิดปกติ การบํารุงรักษา และการซอมแซมอุปกรณนั้น ๆ อยางสม่ําเสมอ 22. ผูดูแลระบบจะตองปดชองโหวของระบบสารสนเทศที่มีระดับความรุนแรงในระดับวิกฤติ (Critical) และระดับสูง (High) ทั้งหมดกอนนําไปใชงานจริง (Production) หรือกอนเริ่ม Go Live โดยเฉพาะระบบที่ใหบริการผานเครือขาย อินเทอรเน็ต (Internet Facing) และระบบที่มีความสําคัญตอการดําเนินงานของ รฟม.
- ผูดูแลระบบตองพิจารณาเลือกใช Version ของ Software ดังนี้
23.1 กรณีนํา Softwareเดิมมาใชในการจัดหาหรือพัฒนาระบบ จะตองนําผลการตรวจสอบชองโหวและผลการทดสอบ เจาะระบบมาประกอบการพิจารณาคัดเลือกเวอรชันของ Software ดวย เพื่อปองกันไมใหเกิดชองโหวเดิม รวมถึงเพื่อลดภาระงานในการปดชองโหวเดิมซ้ํา
23.2 กรณีเปน Software ที่ไมเคยนํามาใชงานใหเลือกใชSoftware เวอรชันลาสุด
12
สวนที่ 6
การควบคุมการเขาถึงระบบเทคโนโลยีสารสนเทศ
วัตถุประสงค
▪ เพื่อควบคุมการเขาถึงระบบเทคโนโลยีสารสนเทศตั้งแตการกําหนดสิทธิ์ กําหนดประเภทของขอมูล จัดลําดับ ความสําคัญหรือลําดับชั้นความลับของขอมูล ระดับชั้นการเขาถึง เวลาที่เขาถึงได และชองทางการเขาถึง ทั้งนี้ เพื่อควบคุมและปองกันการเขาถึง การลวงรู และการแกไขระบบสารสนเทศของ รฟม. โดยไมไดรับอนุญาต ผูรับผิดชอบ
▪ ผูดูแลระบบ
▪ เจาของขอมูล
▪ ผูใชงาน
อางอิงมาตรฐาน: ISO/IEC 27001:2022
▪ มาตรการควบคุมดานองคกร (Organizational Controls)
▪ มาตรการควบคุมดานเทคโนโลยี (Technological Controls)
แนวปฏิบัติ - การควบคุมการเขาถึงระบบสารสนเทศ (Access Control)
1.1 เจาของขอมูลและผูดูแลระบบ ตองรวมกันกําหนดสิทธิ์ในการเขาถึงระบบสารสนเทศ (Authorization Matrix) ที่เหมาะสมและสอดคลองกับหนาที่ความรับผิดชอบของผูใชงาน และทบทวนเมื่อมีการเปลี่ยนแปลง 1.2 เจาของขอมูลและผูดูแลระบบ ตองรวมกันกําหนดระดับการอนุมัติ (Authorization Level) การเขาถึงระบบ เทคโนโลยีสารสนเทศ
1.3 เจาของขอมูลและผูดูแลระบบ ตองจัดใหมีการแบงแยกหนาที่ความรับผิดชอบ (Segregation of duties) ในการเขาถึงระบบเทคโนโลยีสารสนเทศอยางเหมาะสม เชน มีการแบงแยกหนาที่ระหวางการแจงความประสงค การเขาถึงและการอนุมัติการเขาถึง เปนตน
1.4 กรณีของแอปพลิเคชันที่ใชงานผานอุปกรณเคลื่อนที่ (Mobile device) ผูดูแลระบบตองปฏิบัติ ดังนี้ 1.4.1 ไมอนุญาตใหอุปกรณเคลื่อนที่ที่ใชระบบปฏิบัติการลาสมัย (Obsolete Operating System) เขาใชงาน แอปพลิเคชัน หรือหากอนุญาตใหใชบริการไดควรมีมาตรการรองรับเพื่อลดความเสี่ยงที่ รฟม. จะไดรับ รวมถึงลดผลกระทบตอผูใชงานตามความเหมาะสม เชน การเพิ่มมาตรการยืนยันตัวตน เปนตน 1.4.2 ไมอนุญาตใหอุปกรณที่มีการปรับแตงการเขาถึงระบบปฏิบัติการ (Rooted/Jailbroken) เขาใชงาน แอปพลิเคชัน เพื่อลดความเสี่ยงที่ผูไมประสงคดีสามารถเขาถึงขอมูลสําคัญของผูใชงานและละเมิด หรือหลีกเลี่ยงมาตรการการรักษาความมั่นคงปลอดภัยที่ รฟม. กําหนดไว
1.4.3 ไมอนุญาตใหผูใชงานใชแอปพลิเคชันเวอรชันต่ํากวาที่ รฟม. กําหนด เพื่อใหแอปพลิเคชันมีการ รักษาความมั่นคงปลอดภัยเปนไปตามมาตรฐานของ รฟม.
1.5 ขั้นตอนปฏิบัติเพื่อการจัดเก็บขอมูล
เจาของขอมูล ผูดูแลระบบ และผูใชงาน ตองปฏิบัติดังนี้
1.5.1 แบงประเภทขอมูล ดังนี้
- ขอมูลและสารสนเทศสําหรับสนับสนุนการตัดสินใจของผูบริหาร ไดแก ขอมูลสารสนเทศที่มี ความสําคัญหรือมีความจําเปนเรงดวนที่ตองติดตามอยางใกลชิดเพื่อประกอบการตัดสินใจ
เชิงนโยบาย กําหนดนโยบาย และการวางแผนของผูบริหารระดับสูง
13 - ขอมูลและสารสนเทศสนับสนุนเชิงยุทธศาสตร (Strategy Data) ไดแก ขอมูลและสารสนเทศ เชิงวิชาการเพื่อสนับสนุนการดําเนินงานตามพันธกิจและยุทธศาสตรของ รฟม. ใหบรรลุเปาหมาย รวมทั้งขอมูลที่เผยแพรแกผูรับบริการภายนอก
- ขอมูลและสารสนเทศที่สนับสนุนการปฏิบัติงานประจํา (Operation Data) ไดแก ขอมูลที่ สนับสนุนการทํางานทั่วไปของ รฟม.
1.5.2 จัดแบงระดับความสําคัญของขอมูล ออกเปน 3 ระดับ คือ - ขอมูลที่มีระดับความสําคัญมาก หมายถึง ขอมูลที่ใชสําหรับสนับสนุนการตัดสินใจของผูบริหาร 2) ขอมูลที่มีระดับความสําคัญปานกลาง หมายถึง ขอมูลที่ใชปฏิบัติงานเฉพาะกลุมงาน แผนก กอง หรือฝาย/สํานัก/สํานักงาน ภายในองคกร
- ขอมูลที่มีระดับความสําคัญนอย หมายถึง ขอมูลที่พนักงาน/ลูกจางภายใน รฟม. สามารถ เขาถึงรวมกันไดหรือสามารถเผยแพรได
1.5.3 จัดแบงลําดับชั้นความลับของขอมูลตามที่ รฟม. กําหนด
1.5.4 จัดแบงระดับชั้นการเขาถึง - ระดับชั้นสําหรับผูบริหาร เขาถึงไดตามอํานาจหนาที่และภารกิจที่ไดรับมอบหมาย
- ระดับชั้นสําหรับผูปฏิบัติงานทั่วไป เขาถึงขอมูลที่ไดรับมอบหมายตามอํานาจหนาที่
- ระดับชั้นสําหรับผูดูแลระบบหรือผูที่ไดมอบหมาย มีสิทธิ์ในการบริหารจัดการระบบและเขาถึง ขอมูลที่ไดรับมอบหมายตามอํานาจหนาที่
1.6 เจาของขอมูลและผูดูแลระบบตองกําหนดเวลาการเขาถึงระบบสารสนเทศ
1.7 ผูดูแลระบบตองจํากัดชองทางการเขาถึงระบบเทคโนโลยีสารสนเทศตามชองทาง ดังนี้ 1) เครือขายภายในของ รฟม. - เครือขายภายนอก รฟม.
- เครือขายอื่นที่จัดไวให เชน ระบบเครือขายสื่อสารขอมูล GIN
1.8 ผูดูแลระบบตองกํากับดูแล Default Permission ของไฟล (File) และ โฟลเดอร (Folder) ที่สรางขึ้นใหมี การจํากัดสิทธิ์ในการเขาถึง
1.9 เจาของขอมูลและผูดูแลระบบ ตองพิจารณาขอกําหนดตาง ๆ ที่มีผลทางกฎหมายซึ่งเกี่ยวของกับการรักษา ความมั่นคงปลอดภัยสารสนเทศของ รฟม. เชน พระราชบัญญัติ ขอกําหนดทางกฎหมาย ขอกําหนดในสัญญา และขอกําหนดทางดานความมั่นคงปลอดภัยอื่น ๆ เปนตน เพื่อกําหนดสิทธิ์การเขาถึงสารสนเทศและระบบ เทคโนโลยีสารสนเทศของ รฟม.
1.10 เจาของขอมูลและผูดูแลระบบ ตองมีการสอบทานสิทธิ์ในการเขาถึงระบบเทคโนโลยีสารสนเทศอยางสม่ําเสมอ พรอมทั้งเพิกถอนสิทธิ์เมื่อพบเห็นสิทธิ์ที่ไมถูกตองตามสิทธิ์ในการเขาถึง (Authorization Matrix) 2. การบริหารจัดการการเขาถึงของผูใชงาน (User Access Management)
ใหมีการควบคุมการลงทะเบียนผูใชงาน การบริหารจัดการรหัสผาน การบริหารจัดการสิทธิ์การใชงานระบบเทคโนโลยี สารสนเทศ และการทบทวนสิทธิ์การเขาถึงของผูใชงาน
2.1 การลงทะเบียนผูใชงาน (User Registration)
2.1.1 ผูดูแลระบบตองบริหารจัดการและควบคุมบัญชีชื่อผูใชงาน (Username) มิใหมีการใชงานบัญชี ชื่อผูใชงานซ้ํากัน ทั้งนี้ ในสวนของพนักงาน/ลูกจาง รฟม. ใหกําหนดชื่อผูใชงาน (Username) ตามมาตรฐานจดหมายอิเล็กทรอนิกส (Email) ที่ใชในองคกร
2.1.2 เจาของขอมูลตองเปนผูอนุมัติการสรางบัญชีผูใชงานชั่วคราว (Temporary User) และตองจํากัด ชวงเวลาการใชงานเทาที่จําเปน
14
2.2 การบริหารจัดการรหัสผาน (User Password Management)
2.2.1 ผูดูแลระบบตองกําหนดรหัสผานแบบชั่วคราวโดยใชวิธีการสุม และบังคับใหมีการเปลี่ยนรหัสผาน เมื่อผูใชงานเขาใชงานระบบในครั้งแรก
2.2.2 ผูดูแลระบบตองกําหนดความยาวของรหัสผาน ดังนี้ - ผูดูแลระบบมีความยาวอยางนอย 16 หลัก
- ผูใชงานมีความยาวอยางนอย 12 หลัก
2.2.3 ผูดูแลระบบตองกําหนดใหมีการยืนยันตัวตนแบบหลายปจจัย (Multi-Factor Authentication) ตามความเหมาะสม
2.2.4 ผูดูแลระบบตองกําหนดใหรหัสผานมีความซับซอน โดยประกอบดวย ตัวอักษร ตัวเลข และอักขระ พิเศษ เชน (a-Z) (0-9) (@ , # , & , “ , ‘ , *, =, < , > , % , $ , + , ?) เปนตน
2.2.5 ผูดูแลระบบตองกําหนดใหมีการเปลี่ยนแปลงรหัสผาน ดังนี้ - ผูดูแลระบบตองเปลี่ยนรหัสผานทุก ๆ 3 เดือน และไมซ้ํากับรหัสผานเดิม 3 ครั้งกอนหนา 2) ผูใชงานตองเปลี่ยนรหัสผานทุก ๆ 6 เดือน และไมซ้ํากับรหัสผานเดิม 3 ครั้งกอนหนา 3) ผูใชงานเชิงระบบ (System account) ใหพิจารณาเปลี่ยนรหัสผานตามความเหมาะสม 2.2.6 ผูดูแลระบบตองกําหนดใหมีการเขารหัสขอมูลรหัสผานในระบบ
2.2.7 ผูดูแลระบบตองจัดใหมีการควบคุมรหัสผานอยางเขมงวด
2.2.8 ผูดูแลระบบตองจัดสงบัญชีชื่อผูใชงาน (Username) และรหัสผาน (Password) ดวยวิธีการที่ปลอดภัย 2.2.9 ผูดูแลระบบตองควบคุมดูแลระบบปฏิบัติการ ระบบฐานขอมูล และระบบงานสารสนเทศ (Application) ที่จัดเก็บบัญชีผูใชงานและรหัสผานอยางเขมงวด โดยใหเขาถึงไดเฉพาะผูดูแลระบบที่ไดรับอนุญาต เทานั้น
2.2.10 ผูดูแลระบบตองกําหนดวิธีการหรือกระบวนการยืนยันตัวตนที่ปลอดภัย เชน กรณีที่ลืมรหัสผาน 2.2.11 ผูดูแลระบบตองกําหนดใหผูใชบริการ ใชรหัสผานอยางมั่นคงปลอดภัย ดังนี้
กรณีแอปพลิเคชันทั่วไป - กําหนดความยาวรหัสผานอยางนอย 12 หลัก ซึ่งประกอบดวย ตัวอักษร ตัวเลข และ อักขระพิเศษ เชน (a-Z) (0-9) (@ , # , & , “ , ‘ , *, =, < , > , % , $ , + , ?) เปนตน
- รหัสผานตองไมเปนคําที่คาดเดาไดงาย เชน คําที่อยูในพจนานุกรม ชื่อ-นามสกุล วันเดือนปเกิด ที่อยู หรือเบอรโทรศัพท เปนตน
- ไมบังคับใหเปลี่ยนรหัสผาน ทั้งนี้ขึ้นอยูกับความสมัครใจในการเปลี่ยนรหัสผาน และระบบ ตองรองรับการเปลี่ยนรหัสผานในกรณีตาง ๆ ดวยวิธีการที่ปลอดภัย
กรณีแอปพลิเคชันที่ใชงานผานอุปกรณเคลื่อนที่ (Mobile device) - กําหนดรหัสผานโดยใช PIN code หรือรหัสผานที่ซับซอน (PIN/Password Complexity) โดยกรณี PIN Code ตองใชรหัสผาน 6 หลักขึ้นไป
- ไมบังคับใหเปลี่ยนรหัสผาน ทั้งนี้ขึ้นอยูกับความสมัครใจในการเปลี่ยนรหัสผาน และ ระบบตองรองรับการเปลี่ยนรหัสผานในกรณีตาง ๆ ดวยวิธีการที่ปลอดภัย
2.2.12 ผูดูแลระบบและผูใชงานตองใชรหัสผานอยางปลอดภัย ดังนี้ - ตองกําหนดรหัสผานที่ไมสามารถคาดเดาไดงาย เชน คําที่อยูในพจนานุกรม “qwerty” “abcde” “12345” ชื่อ-นามสกุล วันเดือนปเกิด ที่อยู หรือเบอรโทรศัพท เปนตน
- ตองไมใชงานรหัสผานโดยการเขาใชงานโดยอัตโนมัติ ไดแก การกําหนดคา “Remember Password” เปนตน
15 - ตองเก็บรหัสผานไวเปนความลับเฉพาะบุคคล ไมเปดเผยใหผูอื่นรับทราบ และไมพิมพ รหัสผานในลักษณะเปดเผย เชน พิมพรหัสผานตอหนาผูใชงานคนอื่น เปนตน
- ตองไมใชบัญชีชื่อผูใชงานและรหัสผานรวมกันกับผูอื่น แมวาบัญชีชื่อผูใชงานจะไดรับการ อนุญาตจากเจาของชื่อผูใชงานบุคคลนั้นก็ตาม
- ตองเปลี่ยนแปลงรหัสผานเมื่อมีการแจงเตือนจากระบบ หรือสงสัยวารหัสผานลวงรู โดยบุคคลอื่น
2.3 การบริหารจัดการสิทธิ์ (Privilege Management)
2.3.1 ผูบังคับบัญชาตองกําหนดใหมีขั้นตอนปฏิบัติสําหรับการลงทะเบียน การเพิ่มสิทธิ์การเพิกถอนสิทธิ์ การเปลี่ยนแปลงสิทธิ์ และการทบทวนสิทธิ์ของผูใชงานอยางเปนลายลักษณอักษร
2.3.2 กําหนดสิทธิ์ที่เหมาะสมกับผูใชงานตามความจําเปนและสอดคลองกับหนาที่ความรับผิดชอบและ จัดเก็บประวัติ (Log) การลงทะเบียน การเพิ่มสิทธิ์การเพิกถอนสิทธิ์ และการเปลี่ยนแปลงสิทธิ์ ของผูใชงาน
2.3.3 เจาของขอมูลและผูดูแลระบบ ตองจัดใหมีการควบคุมและจํากัดสิทธิ์ในการใชงานระบบตาม ความจําเปนในการใชงานเทานั้น - สิทธิ์ในการสรางขอมูล (Create)
- สิทธิ์ในการอานขอมูลหรือเรียกดูขอมูล (Read)
- สิทธิ์ในการปรับปรุงขอมูล (Modify / Update)
- สิทธิ์ในการลบขอมูล (Delete)
- สิทธิ์ในการมอบหมายสิทธิ์ในการดําเนินการแทน (Assign)
- สิทธิ์ในการรับรองความถูกตองครบถวนของขอมูล (Approve/Authenticate)
- ไมมีสิทธิ์
2.3.4 เจาของขอมูลและผูดูแลระบบตองเปนผูอนุมัติการใหสิทธิ์เพื่อเขาถึงสารสนเทศหรือระบบ เทคโนโลยีสารสนเทศใด ๆ อยางเปนลายลักษณอักษร
2.3.5 เจาของขอมูลและผูดูแลระบบ ตองจํากัดจํานวนผูใชงานที่ทําหนาที่เปนผูใหสิทธิ์กับผูใชงาน ใหนอยที่สุดตามความเหมาะสม
2.3.6 เจาของขอมูลและผูดูแลระบบ ตองจํากัดระยะเวลาการใชงานระบบเทคโนโลยีสารสนเทศของ รฟม. แกหนวยงานภายนอกที่เขามาปฏิบัติงานรวมกับ รฟม.
2.3.7 เจาของขอมูลและผูดูแลระบบ ตองจัดใหมีการถอดถอนสิทธิ์หรือเปลี่ยนแปลงสิทธิ์การเขาถึงทันที เมื่อผูใชงานเกษียณ เปลี่ยนแปลงหนาที่ความรับผิดชอบ เปลี่ยนแปลงการจางงาน หรือไมมีความจําเปน ในการใชงานระบบเทคโนโลยีสารสนเทศ
2.3.8 ผูดูแลระบบตองลบหรือระงับการใชงานสิทธิ์ของผูใชงานที่มากับระบบ (Default User) ในกรณีที่มี ความจําเปนตองใชงานตองกําหนดรหัสผานอยางมั่นคงปลอดภัย
2.4 การทบทวนสิทธิ์การเขาถึงของผูใชงาน (Review of User Access Rights)
2.4.1 เจาของขอมูลและผูดูแลระบบ ตองมีการสอบทานสิทธิ์การเขาถึงของผูใชงานระบบเมื่อ รฟม. มีการ เปลี่ยนแปลงระบบเทคโนโลยีสารสนเทศหรือโครงสรางองคกร
2.4.2 ผูดูแลระบบ ตองมีการสอบทานและระงับการใชงานบัญชีผูใชงานที่ไมไดใชงานนานเกิน 180 วัน หากผูใชงานตองการกลับมาใชงานจะตองยืนยันตัวตนให ฝทท. ทราบ ทั้งนี้ ระยะเวลาที่ไมไดใชงาน ของบัญชีผูใชงานอาจจะขึ้นอยูกับแตละระบบสารสนเทศ
16
- การปองกันอุปกรณที่ไมมีผูดูแล และการควบคุมการไมทิ้งสินทรัพยสารสนเทศสําคัญไวในที่ที่ไมปลอดภัย 3.1 การปองกันอุปกรณที่ไมมีผูดูแล (Unattended User Equipment)
3.1.1 ผูดูแลระบบตองจัดใหมีมาตรการสําหรับปองกันระบบคอมพิวเตอร ระบบเครือขายสื่อสารขอมูล และระบบเทคโนโลยีสารสนเทศ โดยการกําหนดคาของระบบ (Configuration) ใหมีการล็อกหนาจอ สําหรับอุปกรณที่ไมมีพนักงานดูแล หรือล็อกอุปกรณอยูเสมอ
3.1.2 ผูใชงานและหนวยงานภายนอก/บุคคลภายนอก ตองล็อกหนาจออัตโนมัติเมื่อไมมีการใชงานระบบ เทคโนโลยีสารสนเทศของ รฟม. ตามระยะเวลาที่กําหนด โดยตองพักหนาจอ(ScreenSaver)อัตโนมัติ หลังจากที่ไมมีการใชงานคอมพิวเตอรเปนระยะเวลานานกวา15 นาทีผูใชงานและหนวยงานภายนอก/ บุคคลภายนอกจะใชงานตอไดเมื่อมีการใสรหัสผานที่ถูกตอง
3.1.3 ผูใชงานตอง Logout ออกจากเครื่องคอมพิวเตอรเมื่อมีความจําเปนตองละทิ้งเครื่องคอมพิวเตอร 3.1.4 ผูใชงานตองปองกันไมใหผูอื่นใชอุปกรณ เชน กลองดิจิทัล เครื่องสําเนาเอกสาร เครื่องสแกน เอกสารโดยไมไดรับอนุญาต
3.2 การควบคุมสินทรัพยสารสนเทศและการใชงานระบบคอมพิวเตอร(Clear Desk and Clear Screen Control) 3.2.1 ผูบังคับบัญชาตองกําหนดใหมีผูรับผิดชอบในการดูแลสถานที่ที่มีการรับ - สงแฟกซหรือจดหมาย เขา – ออก
3.2.2 ผูใชงานตองออกจากระบบคอมพิวเตอร (Logout) ทันที เมื่อจําเปนตองปลอยทิ้งโดยไมมีผูดูแล 3.2.3 ผูใชงานตองจัดเก็บขอมูลสําคัญแยกตางหาก และปองกันใหมีความปลอดภัยอยางพอเพียง 3.2.4 ผูใชงานตองนําเอกสารออกจากเครื่องพิมพทันทีที่พิมพงานเสร็จ - การควบคุมการเขาถึงเครือขาย (Network Access Control)
ใหมีการควบคุมการใชงานบริการเครือขาย การควบคุมการพิสูจนตัวตนสําหรับผูใชงานที่อยูภายนอก รฟม. การควบคุม การพิสูจนตัวตนอุปกรณบนเครือขาย การปองกันพอรต (Port) ที่ใชสําหรับตรวจสอบและปรับแตงระบบ การแบงแยก เครือขาย (Segregation in networks) อยางเหมาะสม การควบคุมการเชื่อมตอทางเครือขาย และการควบคุม การกําหนดเสนทางบนเครือขาย
4.1 การใชงานบริการเครือขาย (Use of Network Services)
4.1.1 ผูดูแลระบบตองควบคุมการเผยแพรแผนผังระบบเครือขายสื่อสารขอมูล (Network Diagram) รวมถึงโครงสราง IP Address ชื่อระบบ และชื่ออุปกรณสารสนเทศแกผูที่ไมไดรับอนุญาตหรือ หนวยงานภายนอก/บุคคลภายนอก
4.1.2 ผูดูแลระบบตองควบคุมการใชงานระบบเครือขายสื่อสารขอมูลเพื่อปองกันการเขาถึงระบบเครือขาย สื่อสารขอมูลและบริการของระบบเครือขายสื่อสารขอมูลโดยไมไดรับอนุญาต
4.1.3 ผูดูแลระบบตองควบคุมการเชื่อมตอเครือขายภายนอก เพื่อใชงานอินเทอรเน็ต ซึ่งอาจเปนชองทางให หนวยงานภายนอก/บุคคลภายนอกเขาถึงสารสนเทศหรือระบบเทคโนโลยีสารสนเทศของ รฟม. โดยมิไดรับอนุญาต
4.1.4 ผูใชงานตองแจงความประสงคในการขอใชงานบริการเครือขายแก ฝทท. และสามารถใชบริการ เครือขายไดหลังจากไดรับการอนุมัติจาก ฝทท. แลว
4.1.5 ผูใชงาน ตองไมใชระบบเครือขายสื่อสารขอมูลเพื่อเปนชองทางในการเจาะระบบ (Hacking) หรือ การสแกนชองโหวของระบบโดยมิไดรับอนุญาต
4.2 การพิสูจนตัวตนของผูใชงานที่อยูภายนอก รฟม. (User Authentication for External Connections) ผูดูแลระบบตองกําหนดใหมีการพิสูจนตัวตนผานระบบ Active Directory ของ รฟม. กอนอนุญาตให ผูใชงานที่อยูภายนอก รฟม. เขาใชงานเครือขายและระบบสารสนเทศของ รฟม.
17
4.3 การพิสูจนตัวตนของอุปกรณในระบบเครือขายสื่อสารขอมูล (Equipment Identification in Networks) ผูดูแลระบบตองกําหนดใหมีการพิสูจนตัวตนของอุปกรณในระบบเครือขายสื่อสารขอมูล ไดแก การตรวจสอบ MAC Address
4.4 การปองกันพอรตที่ใชสําหรับตรวจสอบและปรับแตงระบบ (Remote Diagnostic and Configuration Port Protection)
ผูดูแลระบบตองระงับบริการและพอรต (Port) ที่ไมมีความจําเปนตองใชบนเครื่องคอมพิวเตอรหรือ อุปกรณเครือขาย
4.5 ผูดูแลระบบตองติดตั้งระบบตรวจจับการบุกรุก (Instrusion Prevention System/ Instrusion Detection System) ของระบบเครือขาย
4.6 การแบงแยกเครือขาย (Segregation in Networks)
4.6.1 ผูดูแลระบบตองจัดใหมีการแบงแยกเครือขายตามกลุมของผูใชงาน หรือกลุมของระบบเทคโนโลยี สารสนเทศ เพื่อควบคุมการใชงานในแตละเครือขายยอยอยางเหมาะสม โดยพิจารณาจากความตองการ ในการเขาถึงขอมูล ระดับความสําคัญของขอมูล รวมถึงการพิจารณาดานราคา ประสิทธิภาพ และ ผลกระทบทางดานความปลอดภัยดังตอไปนี้
- เครือขายที่อนุญาตใหเขาถึงจากภายนอกและเครือขายที่ใชภายใน รฟม.
- เครือขายแอปพลิเคชัน (Application) ที่มีความสําคัญกับเครือขายอื่น ๆ ที่มีความสําคัญ นอยกวา
- เครือขายสําหรับเครื่องใหบริการ (Server Farm) กับเครือขายของผูใชงาน ควรมีการ ติดตั้งอุปกรณที่สามารถแบงแยกเครือขายไดเชน Firewall หรือ Switch ที่สามารถ
แบง VLAN ไดเปนตน
4.6.2 ผูดูแลระบบจะกําหนดเสนทางบนเครือขายที่เขมงวด เพื่อจํากัดการเขาถึงระยะไกลไปเฉพาะเครือขาย ที่กําหนดเทานั้น
4.6.3 ผูดูแลระบบตองตั้งคา (Configuration) อุปกรณเครือขายเชน Firewall หรือ Router มิใหสามารถ บริหารจัดการจากภายนอกเครือขายไดเวนแตในกรณีฉุกเฉินซึ่งตองไดรับการอนุญาตจากผูดูแลระบบ เทานั้น
4.7 การควบคุมการเชื่อมตอทางเครือขาย (Network Connection Control)
4.7.1 ผูดูแลระบบตองจํากัดการใชงานเครือขายของผูใชงานในการเชื่อมตอกับเครือขายของ รฟม. เชน Router หรือFirewall เปนตน พรอมทั้งติดตั้งระบบควบคุมเพื่อกลั่นกรองขอมูลที่รับ -สง เชน Web Filtering, Email Filtering เปนตน เพื่อทําใหการเชื่อมตอมีความปลอดภัย
4.7.2 ผูดูแลระบบตองติดตั้ง Firewall ระหวางเครือขายของ รฟม. กับเครือขายภายนอก ทั้งนี้ การติดตั้ง Firewall ตองพิจารณาเรื่องดังตอไปนี้ - การปองกันการจราจรจากภายนอก ตองถูกกําหนดใหใชเสนทางที่ผาน First Tier Firewall ที่มีความมั่นคงปลอดภัยเพื่อปองกันทรัพยสินสารสนเทศของ รฟม. และ
โครงสรางพื้นฐานที่มีความสําคัญจากการเขาถึงที่ไมไดรับอนุญาต - Firewall ตองระบุตัวตนและพิสูจนตัวตนของผูใชงานกอนที่จะใหสิทธิ์การเขาถึง อินเทอรเฟส (Interface) เพื่อการบริหารจัดการ Firewall
- Firewall ตองตั้งคาใหระงับบัญชีผูใชงานหลังจากมีความพยายามที่จะเขาสูระบบ ไมสําเร็จ 5 ครั้ง การยกเลิกการระงับตองดําเนินการโดย ฝทท.
- ไมอนุญาตใหพิสูจนตัวตนผานทางอินเทอรเฟส (Interface) การจัดการ Firewall จากระยะไกล (Remote)
18 - ผูที่ไดรับการมอบหมายจาก ฝทท. เทานั้นที่มีสิทธิ์ที่จะเปลี่ยนการตั้งคาดานความปลอดภัย บน Firewall
- Firewall ตองตั้งคาใหบันทึกเหตุการณดานความมั่นคงปลอดภัย
- Firewall ตองไดรับการสอบทาน ทดสอบ และตรวจสอบอยางสม่ําเสมอ
- Firewall ตองถูกบริหารจัดการผานทางการติดตอสื่อสารที่มีการเขารหัส
- ตองปดบริการและพอรต (Port) ที่ไมจําเปนตองใชบน Firewall
- Firewall ประเภทซอฟตแวร(Software) ตองติดตั้งบนเครื่องคอมพิวเตอรแมขาย แยกตางหาก
- Firewall ตองสามารถปองกันตัวเองจากการโจมตีDOS (Denial of service) ได อยางเชน Ping, Sweeps หรือ TCP SYN Floods เปนตน
- ตองใชเวอรชันของซอฟตแวร (Software) Firewall และระบบปฏิบัติการที่เจาของ ผลิตภัณฑยังใหการสนับสนุน
- ผูดูแล Firewallตองติดตามขอมูลชองโหวจากผูใหบริการ (Vendor) เพื่อรับทราบขาวสาร การ Upgrade และแพ็ตช (Patch) ที่จําเปน และตองติดตั้งแพ็ตช(Patch) ทั้งหมด
ที่เกี่ยวของ
4.7.3 ผูดูแลระบบตองติดตั้ง Firewall เพื่อแบงแยก Zone ใหมีการใช DMZ (Demilitarized zone) โดยตองพิจารณาเรื่องดังตอไปนี้ - เครื่องคอมพิวเตอรแมขายที่ใหบริการผานอินเทอรเน็ต เชน FTP, Email, Web และ External DNS server เปนตน ตองติดตั้งอยูใน DMZ
- การเขาถึงจากระยะไกลตองพิสูจนตัวตนที่ Firewall หรือผานบริการที่อยูใน DMZ
- DNS Servers ตองไมอนุญาตใหมีการแลกเปลี่ยนโซน (Zone Transfers) เวนแต มีเหตุจําเปน
4.8 การควบคุมการกําหนดเสนทางบนเครือขาย (Network Routing Control)
ผูดูแลระบบตองควบคุมการกําหนดเสนทางบนเครือขายเพื่อใหมั่นใจวาการเชื่อมตอเครื่องคอมพิวเตอร และการไหลเวียนของสารสนเทศบนเครือขาย โดยมีกลไกในการตรวจสอบที่อยูปลายทางและตนทางของ การเชื่อมตอ เชน การควบคุมโดย Firewall หรือ Proxy เปนตน
- การควบคุมการเขาถึงระบบปฏิบัติการ (Operating system Access Control)
ใหมีการควบคุมการเขาถึงระบบปฏิบัติการอยางมั่นคงปลอดภัย การควบคุมการระบุและพิสูจนตัวตนของผูใชงาน การควบคุมระบบบริหารจัดการรหัสผาน การควบคุมการใชงานโปรแกรมประเภทยูทิลิตี้ (System Utilities) การควบคุมการหมดเวลาการใชงานระบบเทคโนโลยีสารสนเทศ และควบคุมการจํากัดระยะเวลาการเชื่อมตอ ระบบเทคโนโลยีสารสนเทศ
5.1 ขั้นตอนปฏิบัติในการเขาถึงระบบอยางมั่นคงปลอดภัย (Secure Logon Procedures) 5.1.1 ผูดูแลระบบ ตองจัดใหมีการควบคุมการเขาถึงระบบปฏิบัติการอยางมั่นคงปลอดภัย โดยขั้นตอน การเขาสูระบบตองเปดเผยขอมูลเกี่ยวกับระบบใหนอยที่สุดเพื่อหลีกเลี่ยงผูใชงานที่ไมไดรับอนุญาต ซึ่งขั้นตอนการ Logon ตองพิจารณา ดังนี้
- หากกระบวนการเขาสูระบบไมสําเร็จ ระบบตองไมแสดงขอมูลของระบบหรือแอปพลิเคชัน (Application) ที่ใชงานอยู
- ระบบตองแสดงขอความเตือนผูใชงานวาสามารถเขาใชงานเครื่องคอมพิวเตอรไดเฉพาะ ผูที่มีสิทธิ์เทานั้น
- หากกระบวนการเขาสูระบบไมสําเร็จ ระบบตองไมแสดงขอมูลที่สามารถระบุตัวตนของระบบ เชน เครือขายที่ใชงาน สถานที่ตั้งของระบบ หรือชื่อเครื่องคอมพิวเตอรแมขาย เปนตน
19 - ระบบตองไมแสดงขอความที่ชี้เฉพาะเหตุของการเขาสูระบบไมสําเร็จ เชน ไมแสดงขอความวา บัญชีผูใชงานผิด หรือ รหัสผานผิด เปนตน
- หามเขาสูระบบจากบัญชีผูใชงานสวนบุคคลเดียวกันมากกวาหนึ่ง Session ในระบบเดียวกัน 6) ระบบตองจํากัดจํานวนครั้งในการพยายามเขาสูระบบที่ไมสําเร็จ และตองพิจารณาเงื่อนไข ตอไปนี้
(ก) การเก็บบันทึกผลการเขาสูระบบทั้งที่สําเร็จและไมสําเร็จ
(ข) หนวงระยะเวลาในการเขาใชงานระบบครั้งตอไป
(ค) การตัดการเชื่อมตอ
(ง) การแสดงขอความเตือนที่หนาจอของผูดูแลระบบเมื่อมีการเขาสูระบบเกินจํานวนครั้ง ที่จํากัดไว - ระบบตองแสดงวัน เวลา ในการเขาสูระบบที่สําเร็จในครั้งกอน พรอมทั้งบันทึกจํานวนครั้ง ที่พยายามเขาไมสําเร็จนับแตการเขาสูระบบที่สําเร็จในครั้งกอนของผูใชงาน
- ระบบตองไมสงรหัสผานแบบ Clear Text ผานระบบเครือขายสื่อสารขอมูล
- ผูดูแลระบบตองกําหนดจํานวนครั้งที่ยอมใหใสรหัสผานผิดไดไมเกิน 5 ครั้ง
5.2 การระบุและพิสูจนตัวตนของผูใชงาน (User Identification and Authentication) ผูดูแลระบบ ตองจัดใหผูใชงานมีบัญชีผูใชงานของแตละบุคคลเพื่อใชพิสูจนตัวตนในการเขาถึงระบบเทคโนโลยี สารสนเทศ และตองใชระบบเทคโนโลยีสารสนเทศพิสูจนตัวตนผูใชงานในการเขาถึงระบบปฏิบัติการผานระบบ Active Directory (AD) หรือ Lightweight Directory Access Protocol (LDAP) ทุกครั้ง พรอมทั้งบันทึก ขอมูลการเขาถึง
5.3 การใชงานโปรแกรมประเภทยูทิลิตี้(Use of System Utilities)
ผูดูแลระบบ ตองควบคุมการใชงานโปรแกรมประเภทยูทิลิตี้บนระบบที่ใชงานจริง (Production System)ดังนี้ 5.3.1 ตองจัดทําบัญชีโปรแกรมประเภทยูทิลิตี้ (System Utilities) ที่นํามาใชงาน
5.3.2 กําหนดความรับผิดชอบในการใชโปรแกรมประเภทยูทิลิตี้ (System Utilities) แตละรายการ อยางชัดเจนและสื่อสารใหผูเกี่ยวของทราบเพื่อถือปฏิบัติ
5.3.3 ใหมีการพิสูจนตัวตน และกําหนดสิทธิ์ในการใชงานโปรแกรมประเภทยูทิลิตี้เฉพาะกลุมคนที่มี หนาที่รับผิดชอบ
5.3.4 มีการบันทึกเหตุการณ (Log) การใชงานโปรแกรมประเภทยูทิลิตี้ และตองสอบทานจากผูดูแลระบบ อยางสม่ําเสมอ
5.3.5 ตองทําการเพิกถอนหรือระงับโปรแกรมประเภทยูทิลิตี้ที่ไมจําเปน
5.4 การหมดเวลาการใชงานระบบสารสนเทศ (Session Timeout)
5.4.1 ผูดูแลระบบตองกําหนด Session Timeout ของระบบเทคโนโลยีสารสนเทศที่ไมมีการใชงานภายใน ระยะเวลา 15 นาทีหากระบบใดที่ไมสามารถกําหนด Session Timeout ภายในระยะเวลา 15 นาทีได ใหกําหนดเปนระยะเวลานอยที่สุดที่จะสามารถกําหนดไดทั้งนี้ ถาระบบที่ไมสามารถตัดการเชื่อมตอ แบบอัตโนมัติไดกําหนดใหใชโปรแกรมพักหนาจอที่ตองใสรหัสผานหรือกําหนดใหมีการล็อกหนาจอ
5.4.2 ผูดูแลระบบ และผูใชงาน ตองตั้งคาใหมีโปรแกรมพักหนาจอที่ตองใสรหัสผานสําหรับเครื่อง คอมพิวเตอรสวนบุคคล เครื่องคอมพิวเตอรแบบพกพา และเครื่องคอมพิวเตอรแมขาย ทั้งนี้ โปรแกรมพักหนาจอกําหนดใหปอนรหัสผานหลังจากที่มีการทิ้งเครื่องดังกลาวไวโดยไมมีการใชงาน เปนระยะเวลา 15 นาที
20
5.5 การจํากัดระยะเวลาการเชื่อมตอระบบสารสนเทศ (Limitation of Connection Time) 5.5.1 ผูดูแลระบบ ตองจํากัดระยะเวลาในการเชื่อมตอระบบสารสนเทศที่มีความสําคัญสูง โดยตอง คํานึงถึงระยะเวลาที่จําเปนในกระบวนการดําเนินงานทางธุรกิจ ไดแก กําหนดใหเขาใชงานได ในชวงเวลาทําการของ รฟม. 08.00 น. –17.00 น.และเชื่อมตอเพื่อใชงานไดครั้งละไมเกิน 3 ชั่วโมง 5.5.2 ผูใชงาน หากมีความจําเปนตองใชงานนอกเวลาที่กําหนดตองขออนุมัติจากผูบังคับบัญชาเทานั้น 6. การควบคุมการเขาถึงโปรแกรมประยุกตและสารสนเทศ (Application and Information Access Control) ใหมีการจํากัดการเขาถึงสารสนเทศ และการแยกระบบเทคโนโลยีสารสนเทศที่มีความสําคัญสูงไวในบริเวณที่ ควบคุมเฉพาะ
6.1 การจํากัดการเขาถึงสารสนเทศ (Information Access Restriction)
6.1.1 เจาของขอมูลและผูดูแลระบบตองกําหนดสิทธิ์การเขาถึงแกผูใชงานเทาที่จําเปนตองใชในการ ปฏิบัติงาน โดยการใหสิทธิ์ตองพิจารณาในเรื่องดังตอไปนี้ - การจํากัดไมใหใชตัวเลือก (Options) ที่ไมไดรับอนุญาต
- การจํากัดการเขาถึง Command Line
- การจํากัดการเขาถึงขอมูลและฟงกชันการใชงานของแอปพลิเคชัน (Application) ที่ไมเกี่ยวของ กับหนาที่ความรับผิดชอบ
- การจํากัดระดับสิทธิ์ในการเขาถึงไฟลเชน อานอยางเดียว เปนตน
- การควบคุมการแจกจาย การเขาถึงขอมูล การนําขอมูลออกจากระบบสารสนเทศ เชน รายงาน เปนตน
6.1.2 เจาของขอมูลและผูดูแลระบบ ควรกําหนดใหระบบสารสนเทศรองรับการกําหนดสิทธิ์ในการเขาถึง แบบกลุมได
6.2 การแยกระบบสารสนเทศที่ไวตอการรบกวน (Sensitive System Isolation) มีผลกระทบตอคนกลุมใหญ หรือระบบที่มีความสําคัญตอหนวยงาน ตองดําเนินการดังนี้
6.2.1 เจาของขอมูลและผูดูแลระบบ แยกระบบซึ่งไวตอการรบกวนออกจากระบบอื่น ๆ และควบคุม สภาพแวดลอมของระบบโดยเฉพาะ ไดแก ระบบ File Sharing ระบบสารสนเทศทางการเงิน และระบบ Active Directory (AD) โดยเขาถึงไดทั้งอุปกรณคอมพิวเตอรและสื่อสารเคลื่อนที่และ การปฏิบัติงานจากภายนอกองคกร (Mobile Computing and Teleworking)
6.2.2 ผูดูแลระบบตองควบคุมอุปกรณคอมพิวเตอรและอุปกรณเคลื่อนที่และการปฏิบัติงานจาก ภายนอกหนวยงาน (Mobile Computing and Teleworking) ที่เกี่ยวของกับระบบดังกลาว 6.2.3 เจาของขอมูลที่เปนเจาของระบบสารสนเทศที่มีความสําคัญสูงตองเปนผูอนุญาต ในกรณีที่ระบบ สารสนเทศที่มีความสําคัญสูงมีความจําเปนตองทํางานรวมกับระบบสารสนเทศอื่นที่มีความสําคัญ นอยกวา
- การควบคุมการปฏิบัติงานจากภายนอก รฟม. (Teleworking)
7.1 ผูดูแลระบบตองกําหนดใหมีการพิสูจนตัวตนกอนการใชงาน และเชื่อมตอผานชองทางที่มีความปลอดภัย ที่มีเทคโนโลยีเขารหัสปองกัน
7.2 ผูดูแลระบบตองทําการถอดถอนสิทธิ์ในการเขาถึงของผูใชงานจากภายนอกสํานักงาน เมื่อครบกําหนด ระยะเวลาที่ขออนุญาต
7.3 ผูใชงาน หากจําเปนตองมีการปฏิบัติงานจากภายนอกสํานักงานของ รฟม. ตองไดรับการอนุญาตจาก ผูบังคับบัญชาอยางเปนลายลักษณอักษร ในกรณีเรงดวนสามารถดําเนินการกอน โดยแจงใหผูบังคับบัญชา รับทราบดวย โดยผูบังคับบัญชาตองพิจารณาเงื่อนไขในการเตรียมการ ดังตอไปนี้
21
- ความมั่นคงปลอดภัยทางกายภาพและสภาพแวดลอมของการปฏิบัติงานจากภายนอก รฟม. 2) ความมั่นคงปลอดภัยทางการสื่อสาร โดยยึดจากระดับความสําคัญ (Sensitivity) ของขอมูล ที่จะถูกเขาถึงและสงผานชองทางการเชื่อมตอสื่อสาร (Communication Link) รวมถึงระดับ ความสําคัญ (Sensitivity) ของระบบภายใน รฟม.
7.4 ผูใชงานตองจัดเก็บเอกสารที่เปนความลับในอุปกรณที่ล็อกไดและมีการควบคุมการเขาถึง โดยใชหลักเกณฑ การรักษาความลับเชนเดียวกับสารสนเทศที่อยูในสํานักงานของ รฟม.
7.5 ผูใชงาน ตองติดตั้งโปรแกรมปองกันไวรัสและ Personal Firewall สําหรับอุปกรณสวนตัวที่ใชเชื่อมตอ เครือขายของ รฟม. จากภายนอก
- ผูบังคับบัญชา ตองควบคุมการใชงานขอมูลสวนบุคคลใหมีการใชงานที่สอดคลองกับกฎหมาย พระราชบัญญัติ กฎระเบียบ ขอบังคับที่เกี่ยวของ เชน พระราชบัญญัติคุมครองขอมูลสวนบุคคล พ.ศ. 2562
22
สวนที่ 7
การควบคุมการเขาถึงระบบเครือขายไรสาย
วัตถุประสงค
▪ เพื่อกําหนดมาตรการในการควบคุมการเขาถึงระบบเครือขายไรสาย (Wireless LAN) ของ รฟม. โดยการกําหนด สิทธิ์ของผูใชงานในการเขาถึงระบบใหเหมาะสมตามหนาที่ความรับผิดชอบในการปฏิบัติงาน รวมทั้งมีการทบทวน สิทธิ์การเขาถึงอยางสม่ําเสมอ
▪ เพื่อสรางความมั่นคงปลอดภัยของการใชงานระบบเครือขายไรสาย
ผูรับผิดชอบ
▪ ผูดูแลระบบ
▪ ผูใชงาน
อางอิงมาตรฐาน: ISO/IEC 27001:2022
▪ มาตรการควบคุมดานองคกร (Organizational Controls)
▪ มาตรการควบคุมดานเทคโนโลยี (Technological Controls)
แนวปฏิบัติ - ผูใชงานที่ตองการเขาถึงระบบเครือขายไรสายของ รฟม. ตองลงทะเบียนกับผูดูแลระบบ และตองไดรับการ อนุญาตจาก ฝทท. อยางเปนลายลักษณอักษร
- ผูดูแลระบบตองกําหนดมาตรฐานความปลอดภัยของระบบเครือขายไรสายไมต่ํากวามาตรฐาน WPA2 3. ผูดูแลระบบตองลงทะเบียนกําหนดสิทธิ์ผูใชงานในการเขาถึงระบบเครือขายไรสายใหเหมาะสมกับหนาที่ ความรับผิดชอบในการปฏิบัติงาน รวมทั้งมีการทบทวนสิทธิ์การเขาถึงอยางสม่ําเสมอ
- ผูดูแลระบบตองลงทะเบียนอุปกรณทุกตัวที่ใชติดตอระบบเครือขายไรสาย
- ผูดูแลระบบ ตองกําหนดตําแหนงการวางอุปกรณ Access Point (AP) ไมใหสัญญาณของอุปกรณรั่วไหลออกไป นอกบริเวณที่ใชงาน เพื่อปองกันไมใหผูโจมตีใช Access Point (AP) ของ รฟม. รับ - สงสัญญาณได 6. ผูดูแลระบบตองเลือกใชกําลังสงใหเหมาะสมกับพื้นที่ใชงานและตองสํารวจวาสัญญาณรั่วไหลออกไปภายนอก หรือไม นอกจากนี้การใชเสาอากาศพิเศษที่สามารถกําหนดทิศทางการแพรกระจายของสัญญาณอาจชวยลดการ รั่วไหลของสัญญาณใหดีขึ้น
- ผูดูแลระบบตองเปลี่ยนคา SSID (Service Set Identifier) ที่ถูกกําหนดเปนคา Default มาจากผูผลิตทันทีที่นํา Access Point (AP) มาใชงาน
- ผูดูแลระบบตองเปลี่ยนคาชื่อ Login และรหัสผานสําหรับการตั้งคาการทํางานของอุปกรณไรสาย และผูดูแลระบบ ตองเลือกใชชื่อ Login และรหัสผานที่มีความคาดเดาไดยากเพื่อปองกันผูโจมตีไมใหสามารถเดาหรือเจาะรหัส ไดโดยงาย
- ผูดูแลระบบตองควบคุม MAC address ชื่อผูใช (Username) และรหัสผาน (Password) ของผูใชงานที่มีสิทธิ์ ในการเขาใชงานระบบเครือขายไรสาย โดยอนุญาตเฉพาะผูใชงานที่ไดรับอนุญาตใหเขาใชเครือขายไรสายไดอยาง ถูกตองเทานั้น
- ผูดูแลระบบตองตรวจสอบความมั่นคงปลอดภัยของระบบเครือขายไรสายอยางสม่ําเสมอ และบันทึกเหตุการณ นาสงสัยที่เกิดขึ้นในระบบเครือขายไรสายตามขั้นตอนที่ รฟม. กําหนด
23
สวนที่8
การควบคุมหนวยงานภายนอกและผูใชงานภายนอกเขาถึงระบบเทคโนโลยีสารสนเทศ
วัตถุประสงค
▪ เพื่อควบคุมหนวยงานภายนอกและผูใชงานภายนอกที่มีการเขาใชงานระบบเทคโนโลยีสารสนเทศของ รฟม. ใหเปนไปอยางมั่นคงปลอดภัย
ผูรับผิดชอบ
▪ ผูดูแลระบบ
▪ ผูบังคับบัญชา
▪ หนวยงานภายนอก
▪ ผูใชงาน (บุคคลภายนอก)
อางอิงมาตรฐาน: ISO/IEC 27001:2022
▪ มาตรการควบคุมดานองคกร (Organizational Controls)
▪ มาตรการควบคุมดานกายภาพ (Physical Controls)
แนวปฏิบัติ - ผูดูแลระบบตองประเมินความเสี่ยงจากการเขาถึงระบบเทคโนโลยีสารสนเทศ หรืออุปกรณที่ใชในการประมวลผล โดยหนวยงานภายนอกและผูใชงานภายนอก และกําหนดมาตรการรองรับหรือแกไขที่เหมาะสมกอนที่จะอนุญาตให เขาถึงระบบเทคโนโลยีสารสนเทศของ รฟม.
- การควบคุมการเขาใชงานระบบเทคโนโลยีสารสนเทศของหนวยงานภายนอกและผูใชงานภายนอก 2.1 เจาของขอมูลตองเปนผูอนุญาตการใหสิทธิ์แกหนวยงานภายนอกและผูใชงานภายนอกที่ตองการสิทธิ์ในการ เขาใชงานระบบสารสนเทศของ รฟม. อยางเปนลายลักษณอักษร
2.2 ผูบังคับบัญชาตองกําหนดใหมีการลงนามการไมเปดเผยขอมูลที่สําคัญและเปนความลับของ รฟม. 2.3 ผูบังคับบัญชา ตองควบคุมใหมีการกําหนดขอตกลงและความรับผิดชอบที่เกี่ยวของกับความเสี่ยง ดานความมั่นคงปลอดภัยสารสนเทศลงในสัญญากับหนวยงานภายนอกที่ใหบริการดานสารสนเทศและ บริการดานการสื่อสาร โดยใหครอบคลุมรวมถึงผูรับจางชวง
2.4 ผูบังคับบัญชาตองกําหนดใหจัดทําเอกสารแบบฟอรมสําหรับใหหนวยงานภายนอกและผูใชงานภายนอก ระบุเหตุผลความจําเปนที่ตองเขาใชงานระบบเทคโนโลยีสารสนเทศ ซึ่งมีรายละเอียด ดังนี้
2.4.1 เหตุผลในการขอใช
2.4.2 ระยะเวลาในการใช
2.4.3 การตรวจสอบความปลอดภัยของอุปกรณที่เชื่อมตอเครือขาย
2.4.4 การตรวจสอบ MAC address ของเครื่องคอมพิวเตอรที่เชื่อมตอ
2.5 ผูดูแลระบบมีสิทธิ์ในการตรวจสอบการใชงานระบบเทคโนโลยีสารสนเทศของหนวยงานภายนอกและ ผูใชงานภายนอก เพื่อควบคุมการใชงานไดอยางมั่นคงปลอดภัยตามสัญญา
2.6 ผูดูแลระบบตองควบคุมใหหนวยงานภายนอกจัดทําแผนการดําเนินงาน คูมือการปฏิบัติงานและเอกสารที่ เกี่ยวของ รวมทั้งตองปรับปรุงใหทันสมัยอยูเสมอ เพื่อใชสําหรับควบคุมหรือตรวจสอบการทํางาน และ เพื่อใหมั่นใจวาการปฏิบัติงานเปนไปตามขอบเขตที่ไดกําหนดไว - ผูดูแลระบบตองแจงแนวปฏิบัติตาง ๆ ที่เกี่ยวของแกหนวยงานภายนอกและผูใชงานภายนอกเพื่อใหปฏิบัติตาม
24 - ผูดูแลระบบ ตองกํากับดูแลหนวยงานภายนอกและผูใชงานภายนอกใหปฏิบัติตามสัญญาหรือขอตกลงการ ใหบริการที่ระบุไว ซึ่งตองครอบคลุมถึงดานความมั่นคงปลอดภัย
- ผูดูแลระบบ ตองติดตาม ตรวจสอบรายงานหรือบันทึกการใหบริการของหนวยงานภายนอกตามที่วาจางอยาง สม่ําเสมอตามสัญญาวาจาง
- ผูดูแลระบบ ตองกําหนดขั้นตอนและชองทางในการติดตอกับหนวยงานภายนอกที่มีหนาที่ในการกํากับดูแล หรือ หนวยงานที่เกี่ยวของกับการบังคับใชกฎหมาย รวมทั้งหนวยงานที่ควบคุมดูแลสถานการณฉุกเฉินภายใต สถานการณตาง ๆ ไวอยางชัดเจน
- ผูดูแลระบบ ตองมีขั้นตอนและชองทางในการติดตอกับหนวยงานภายนอกที่มีความเชี่ยวชาญเฉพาะดานหรือ หนวยงานที่มีความเชี่ยวชาญดานความมั่นคงปลอดภัยดานสารสนเทศภายใตสถานการณตาง ๆ ไวอยางชัดเจน 8. ผูดูแลระบบตองควบคุมการเปลี่ยนแปลงของหนวยงานภายนอกที่สงผลกระทบตอการใหบริการขององคกร และ ตองประเมินความเสี่ยงอยางเหมาะสมเพื่อควบคุมผลกระทบอันเนื่องมาจากการเปลี่ยนแปลงนั้น 9. หนวยงานภายนอกและผูใชงานภายนอก ตองใชงานทรัพยสินสารสนเทศของ รฟม. ดวยความระมัดระวัง และ รักษาความลับของ รฟม. ไมนําไปเปดเผย และตองขออนุญาตพรอมทั้งปฏิบัติตามเงื่อนไขในการเขาถึงระบบ สารสนเทศของ รฟม. ทุกครั้ง
- หนวยงานภายนอกและผูใชงานภายนอกตองแจงเหตุการณไมปกติตาง ๆ ดานเทคโนโลยีสารสนเทศที่พบผาน ชองทางที่ รฟม. กําหนดโดยเร็วที่สุด
- หนวยงานภายนอกและผูใชงานภายนอกตองจัดเก็บบัญชีผูใชงานที่ รฟม. จัดทําไวใหใชงานเปนความลับ เฉพาะ บุคคล ไมเปดเผยใหผูอื่นรับทราบ
25
สวนที่ 9
การใชงานเครื่องคอมพิวเตอรและอุปกรณเคลื่อนที่ ของ รฟม.
วัตถุประสงค
▪ เพื่อควบคุมการใชงานทรัพยสินของ รฟม. ประเภทเครื่องคอมพิวเตอรและอุปกรณเคลื่อนที่ใหเหมาะสม ทั้งนี้ เพื่อปองกัน การสูญหาย เสียหาย หรือถูกเขาถึงขอมูลโดยไมไดรับอนุญาต
ผูรับผิดชอบ
▪ ผูดูแลระบบ
▪ ผูใชงาน
อางอิงมาตรฐาน: ISO/IEC 27001:2022
▪ มาตรการควบคุมดานองคกร (Organizational Controls)
▪ มาตรการควบคุมดานบุคลากร (People Controls)
▪ มาตรการควบคุมดานกายภาพ (Physical Controls)
▪ มาตรการควบคุมดานเทคโนโลยี (Technological Controls)
แนวปฏิบัติ - การใชงานทั่วไป
1.1 ผูดูแลระบบตองกําหนดบัญชีซอฟตแวรมาตรฐาน (Software Standard) ที่อนุญาตใหติดตั้งบนเครื่อง คอมพิวเตอรของผูใชงาน และปรับปรุงใหเปนปจจุบันเสมอ
1.2 ผูดูแลระบบตองเปนผูกําหนดการตั้งชื่อเครื่องคอมพิวเตอร (Computer Name) เทานั้น 1.3 ผูใชงานตองติดตั้งโปรแกรมสําหรับควบคุมการใชงานอุปกรณเคลื่อนที่ (Mobile Device Management: MDM) รวมถึงอุปกรณอื่น ๆ ที่ รฟม. ไมสามารถควบคุมการใชงานผานระบบ Active Directory (AD) ได 1.4 ผูใชงานตองใชงานอยางมีประสิทธิภาพเพื่องานของ รฟม.
1.5 ผูใชงานตองไมติดตั้งโปรแกรมที่ละเมิดลิขสิทธิ์บนเครื่องคอมพิวเตอรและอุปกรณเคลื่อนที่ของ รฟม. 1.6 ผูใชงานตองขอนุญาตติดตั้งโปรแกรมในเครื่องคอมพิวเตอรและอุปกรณเคลื่อนที่ตามขั้นตอนที่ รฟม. กําหนด 1.7 ผูใชงานตองไมติดตั้งและแกไขเปลี่ยนแปลงโปรแกรมในเครื่องคอมพิวเตอรและอุปกรณเคลื่อนที่ของ รฟม. การดําเนินการดังกลาวตองดําเนินการโดยผูดูแลระบบเทานั้น
1.8 ผูใชงานตองศึกษาและปฏิบัติตามคูมือการใชงานเครื่องคอมพิวเตอรและอุปกรณเคลื่อนที่อยางละเอียด เพื่อใหสามารถใชงานอยางปลอดภัยและมีประสิทธิภาพ
1.9 ผูใชงานตองไมดัดแปลงแกไขสวนประกอบตาง ๆ ของคอมพิวเตอรและอุปกรณเคลื่อนที่ และรักษาใหมีสภาพเดิม 1.10 ผูใชงานตองแจงซอมเครื่องคอมพิวเตอรและอุปกรณเคลื่อนที่ที่อยูในความรับผิดชอบของ ฝทท. ใหฝทท. เปนผูดําเนินการเทานั้น
1.11 ผูใชงานตองอัปเดต Patch และระบบปฏิบัติการใหทันสมัยอยูเสมอ
1.12 ผูใชงานตองไมสราง Shortcut ไวบน Desktop ที่เชื่อมตอไปยังขอมูลสําคัญของ รฟม. 1.13 กรณีเครื่องคอมพิวเตอรแบบพกพาและอุปกรณเคลื่อนที่ผูใชงานตองปฏิบัติเพิ่มเติม ดังนี้ 1.13.1 ตองติดตั้ง Application จาก Official Store หรือเว็บไซตที่ใหบริการผานโปรโตคอล HTTPS 1.13.2 ไมปรับแตงการเขาถึงระบบปฏิบัติการ (Rooted/Jailbroken)
1.13.3 ในกรณีที่มีการใชงานอุปกรณประเภทพกพาในที่สาธารณะ หองประชุม และพื้นที่ภายนอก อื่น ๆ ที่ไมมีการปองกัน หรือไมไดอยูในบริเวณของ รฟม. ใหปองกันการเขาถึงที่ไมไดรับอนุญาต เชน ไมเปดการเชื่อมตอแบบไรสายโดยไมมีการเขารหัสขอมูล เปนตน
26
1.13.4 ตองระมัดระวังการเคลื่อนยาย โดยตองใสกระเปาเพื่อปองกันอันตรายที่เกิดจากการกระทบกระเทือน เชน การตกจากโตะทํางานหรือหลุดมือ เปนตน
1.13.5 ไมใสในกระเปาเดินทางที่เสี่ยงตอการถูกกดทับโดยไมไดตั้งใจจากการมีของหนักทับหรืออาจถูก จับโยนได
1.13.6 การใชงานเปนระยะเวลานานเกินไป ในสภาพที่มีอากาศรอนจัดตองปดเครื่องคอมพิวเตอรเพื่อเปน การพักเครื่องสักระยะหนึ่งกอนเปดใชงานใหมอีกครั้ง
1.13.7 หลีกเลี่ยงการใชนิ้วหรือของแข็ง เชน ปลายปากกา กดสัมผัสหนาจอ LCD ใหเปนรอย ขีดขวนหรือ ทําใหจอ LCD ของเครื่องคอมพิวเตอรแบบพกพาแตกเสียหายได
1.13.8 ไมวางของทับบนหนาจอและแปนพิมพ
1.13.9 การเคลื่อนยายเครื่องขณะที่เครื่องเปดใชงานอยู ใหทําการยกจากฐานภายใตแปนพิมพ หามยายเครื่องโดยการดึงหนาจอภาพขึ้น
1.13.10 ไมคลื่อนยายเครื่องในขณะที่ Harddisk กําลังทํางาน
1.13.11 ไมใชหรือวางใกลสิ่งที่เปนของเหลว ความชื้น เชน อาหาร น้ํา กาแฟ เครื่องดื่มตาง ๆ เปนตน 1.13.12 ไมวางใกลอุปกรณที่มีสนามแมเหล็กไฟฟาแรงสูง เชน แมเหล็ก โทรทัศน ไมโครเวฟ ตูเย็น เปนตน 1.13.13 ไมติดตั้งหรือวางในที่ที่มีการสั่นสะเทือน เชน ในยานพาหนะที่กําลังเคลื่อนที่
1.13.14 การเช็ดทําความสะอาดหนาจอภาพตองเช็ดอยางเบามือที่สุด และตองเช็ดไปในแนวทาง เดียวกันหามเช็ดแบบหมุนวน เพราะจะทําใหหนาจอมีรอยขีดขวนได
1.13.15 รับผิดชอบในการปองกันการสูญหาย เชน ตองล็อกเครื่องขณะที่ไมไดใชงาน ไมวางเครื่องทิ้งไวในที่ สาธารณะ หรือในบริเวณที่มีความเสี่ยงตอการสูญหาย
1.13.16 นําติดตัวไปดวยเสมอ เชน ไมละทิ้ง อุปกรณประมวลผลประเภทพกพาในรถยนตหองพัก ในโรงแรม หรือหองประชุม เปนตน ในกรณีที่มีความจําเปนตองละทิ้งใหจัดเก็บไวในสถานที่ มั่นคงปลอดภัย
1.13.17 ไมเก็บหรือใชงานในสถานที่ที่มีความรอน ความชื้นหรือฝุนละอองสูงและตองระวังปองกันการ ตกกระทบ
1.13.18 ไมเปลี่ยนแปลงแกไขสวนประกอบยอย (Sub Component) ที่ติดตั้งอยูภายใน เชน แบตเตอรี่ หนวยความจํา - แนวปฏิบัติในการใชรหัสผาน
ใหผูใชงานปฏิบัติตามการใชงานรหัสผาน (Password Use) (สวนที่ 6) - การปองกันจากโปรแกรมชุดคําสั่งไมพึงประสงค (Malicious Code)
3.1 ผูดูแลระบบตองควบคุมการ Update ระบบปฏิบัติการ เว็บเบราวเซอรและโปรแกรมใชงานตาง ๆ อยางสม่ําเสมอ เพื่อปดชองโหว (Vulnerability) ที่เกิดขึ้นจากซอฟตแวรเปนการปองกันการโจมตีจาก ภัยคุกคามตาง ๆ
3.2 ผูดูแลระบบตองติดตั้งและปรับปรุงโปรแกรมปองกันไวรัสใหทันสมัยอยูเสมอ
3.3 ผูใชงานตองไมปดหรือยกเลิกระบบการปองกันไวรัสที่ติดตั้งอยู
3.4 ผูใชงานตองตรวจสอบหาไวรัสจากสื่อบันทึกตาง ๆ เชน Thumb drive และ Data storage อื่น ๆ กอน นํามาใชงานรวมกับเครื่องคอมพิวเตอรของ รฟม.
3.5 ผูใชงาน หากพบหรือสงสัยวาเครื่องคอมพิวเตอรและอุปกรณเคลื่อนที่ติดชุดคําสั่งไมพึงประสงค ใหรีบยกเลิก เชื่อมตอเครื่องเขากับระบบเครือขายสื่อสารขอมูลเพื่อปองกันการแพรกระจายของชุดคําสั่งที่ไมพึงประสงค ไปยังเครื่องอื่น ๆ ไดและแจง ฝทท. ทราบทันที
27 - การสํารองขอมูลและการกูคืน
4.1 ผูใชงานตองรับผิดชอบในการสํารองขอมูลจากเครื่องคอมพิวเตอรและอุปกรณเคลื่อนที่ไวบนสื่อบันทึกอื่น ๆเชน ระบบ File Sharing, CD, DVD, External harddisk เปนตน
4.2 ผูใชงานมีหนาที่เก็บรักษาสื่อขอมูลสํารอง (Backup Media) ไวในสถานที่ที่เหมาะสม ไมเสี่ยงตอการรั่วไหลของ ขอมูลและทดสอบการกูคืนขอมูลที่สํารองไวอยางสม่ําเสมอ - ผูดูแลระบบ ตองควบคุมใหเครื่องคอมพิวเตอรไดรับการปรับตั้งคาอยางเหมาะสม เพื่อปองกันการใชงานหรือ ติดตั้ง Mobile Code เชน Active X, Java จากแหลงที่ไมนาเชื่อถือ
28
สวนที่ 10
การใชงานอินเทอรเน็ตและสื่อสังคมออนไลน
วัตถุประสงค
▪ เพื่อควบคุมการใชงานอินเทอรเน็ตและการใชงานสื่อสังคมออนไลน (Social Network) ของ รฟม. ใหมีความปลอดภัย และปองกันการละเมิดพระราชบัญญัติวาดวยการกระทําความผิดเกี่ยวกับคอมพิวเตอร จนสงผลกระทบตอ รฟม. ผูรับผิดชอบ
▪ ผูดูแลระบบ
▪ ผูใชงาน
อางอิงมาตรฐาน: ISO/IEC 27001:2022
▪ มาตรการควบคุมดานองคกร (Organizational Controls)
▪ มาตรการควบคุมดานเทคโนโลยี (Technological Controls)
แนวปฏิบัติ - ผูดูแลระบบตองควบคุมการเชื่อมตอทางเครือขายสําหรับการเขาถึงอินเทอรเน็ตโดยพิจารณาเรื่องดังตอไปนี้ 1) ผูดูแลระบบตองไมอนุญาตใหใชงานอุปกรณ VideoStreaming อุปกรณ Audio streaming หรือ Download ไฟลที่มีขนาดใหญ ในกรณีที่จําเปนตองไดรับการอนุญาตจากผูบังคับบัญชากอนเทานั้น
- ผูดูแลระบบตองจํากัดการใชงานอินเทอรเน็ตเพื่อเรื่องสวนตัวหรือที่ไมใชการดําเนินงานของ รฟม. ใหนอยที่สุด เทาที่เปนไปได เชน การระงับการเขาถึง Website ที่ไมจําเป ็น การระงับการเขาถึง Website ที่มีเนื้อหาตองหาม ตามพระราชบัญญัติวาดวยการกระทําความผิดเกี่ยวกับคอมพิวเตอร
- ผูดูแลระบบตองปองกันไมใหมีการรับสงขอมูลที่ไมเหมาะสมจากภายนอก รฟม. เชน
(ก) Executable เชน .EXE .COM เปนตน
(ข) ไฟล(File) เสียง เชน AUD .WAV และ .MP3 เปนตน
(ค) ไฟล(File) วีดิทัศนเชน .MPG .MPEG .MOV และ .AVI เปนตน
(ง) Peer to Peer เชน .torrent เปนตน
ในกรณีที่มีความจําเปนตองไดรับอนุญาตจากผูบังคับบัญชา และ ฝทท. - ผูดูแลระบบตองกําหนดเสนทางการเชื่อมตอระบบคอมพิวเตอรเพื่อการเขาใชงานอินเทอรเน็ตที่ตองเชื่อมตอ ผานระบบรักษาความปลอดภัยที่ รฟม. จัดสรรไวเทานั้น เชน Proxy,Firewall เปนตน
- ผูดูแลระบบตองทดสอบเสนทางสําหรับการเชื่อมตออินเทอรเน็ตขององคกรระหวางเสนทางที่ใชงานจริงและ เสนทางสํารองอยางนอยปละ 2 ครั้ง
- ผูใชงานตองไมเชื่อมตอระบบคอมพิวเตอรผานชองทางอื่น ยกเวนมีความจําเปนและขออนุญาตจาก ฝทท. เปนลายลักษณอักษรแลว
- ผูใชงานตองขออนุญาตติดตั้งซอฟตแวร (Software) ที่ Download จากอินเทอรเน็ต และการติดตั้งตองดําเนินการ โดยผูที่ไดรับมอบหมายจากผูดูแลระบบเทานั้น
- ผูใชงานตองไมมีเจตนาปดบังหรือบิดเบือนตัวตนเมื่อมีการใชงานอินเทอรเน็ต
- ผูใชงานติดตั้งโปรแกรมปองกันไวรัส พรอมทั้งตองปรับปรุง Virus Signature ที่เครื่องคอมพิวเตอรสวนบุคคลและ เครื่องคอมพิวเตอรพกพาใหมีความทันสมัยอยูเสมอ กอนทําการเชื่อมตออินเทอรเน็ตผานเว็บเบราวเซอร (Web Browser) และตองปดชองโหวของระบบปฏิบัติการที่เว็บเบราวเซอรติดตั้งอยู
- ผูใชงานจะตองตรวจสอบไวรัส (Virus Scanning) กอนการรับ - สงขอมูลคอมพิวเตอรผานทางอินเทอรเน็ต
29 - ผูใชงานตองไมใชเครือขายอินเทอรเน็ตของ รฟม. เพื่อหาประโยชนในเชิงธุรกิจสวนตัว และทําการเขาสู เว็บไซตที่ ไมเหมาะสม เชน เว็บไซตที่ขัดตอศีลธรรม เว็บไซตที่มีเนื้อหาที่ขัดตอชาติ ศาสนา พระมหากษัตริย หรือเว็บไซตที่ เปนภัยตอสังคม เปนตน
- ผูใชงานจะถูกกําหนดสิทธิ์ในการเขาถึงแหลงขอมูลตามหนาที่ความรับผิดชอบเพื่อประสิทธิภาพของเครือขายและ ความปลอดภัยทางขอมูลของ รฟม.
- ผูใชงานตองหลีกเลี่ยงการกระทําที่สิ้นเปลืองทรัพยากรของเครือขายอินเทอรเน็ต ดังนี้ (ก) สงจดหมายอิเล็กทรอนิกสลูกโซ
(ข) ใชเวลาในการเขาถึงอินเทอรเน็ตเกินความจําเปนยกเวนเพื่อปฏิบัติงานให รฟม.
(ค) เลนเกม Online
(ง) เขาหองพูดคุย Online ที่ไมไดมีวัตถุประสงคเพื่อปฏิบัติงานให รฟม. - ผูใชงานตองไมเผยแพรขอมูลที่เปนการหาประโยชนสวนตัวหรือขอมูลที่ไมเหมาะสมทางศีลธรรม หรือขอมูลที่ ละเมิดสิทธิ์ของผูอื่น หรือขอมูลที่อาจกอความเสียหายใหกับ รฟม.
- ผูใชงานตองไมเปดเผยขอมูลสําคัญที่เปนความลับเกี่ยวกับงานของ รฟม.
- ผูใชงานตองไมนําเขาขอมูลคอมพิวเตอรใด ๆ ที่มีลักษณะอันเปนเท็จ อันเปนความผิดเกี่ยวกับความมั่นคง แหงราชอาณาจักร อันเปนความผิดเกี่ยวกับการกอการราย หรือภาพที่มีลักษณะอันลามก และไมทําการเผยแพร หรือสงตอขอมูลคอมพิวเตอรดังกลาวผานอินเทอรเน็ต
- ผูใชงานตองไมนําเขาขอมูลคอมพิวเตอรที่เปนภาพของผูอื่นและภาพนั้นเปนภาพที่เกิดจากการสรางขึ้น ตัดตอ เติมหรือดัดแปลงดวยวิธีการทางอิเล็กทรอนิกส หรือวิธีการอื่นใด ที่จะทําใหผูอื่นเสียหาย เสียชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง หรือไดรับความอับอาย
- ผูใชงานมีหนาที่ตรวจสอบความถูกตองและความนาเชื่อถือของขอมูลคอมพิวเตอรที่อยูบนอินเทอรเน็ตกอนนํา ขอมูลไปใชงาน
- ผูใชงานตองคํานึงวาขอมูลจากอินเทอรเน็ตอาจไมมีความทันสมัยหรือไมมีความถูกตอง ผูใชงานตองตรวจสอบ ความถูกตองของขอมูลจากแหลงที่นาเชื่อถือกอนที่จะเผยแพรขอมูลดังกลาว
- ผูใชงานตองระมัดระวังการดาวนโหลดโปรแกรมใชงานจากอินเทอรเน็ต ซึ่งรวมถึง Patch หรือ Fixesตาง ๆ จากผูขาย ตองเปนไปโดยไมละเมิดทรัพยสินทางปญญา
- ผูใชงานตองไมใชขอความที่ยั่วยุ ใหรายในการเสนอความคิดเห็นที่จะทําใหเกิดความเสื่อมเสียตอชื่อเสียงของ รฟม. การทําลายความสัมพันธกับเจาหนาที่ของหนวยงานอื่น ๆ
- ผูใชงานตองไมบันทึกรหัสผานใน Web Browser (Remember Password) เพื่อปองกันบุคคลอื่นที่สามารถ เขาถึงคอมพิวเตอรของผูใชงานนํารหัสผานดังกลาวไปใชงานในอินเทอรเน็ตโดยไมไดรับอนุญาต 17. ผูใชงานตองไม Download เอกสาร หรือสารสนเทศตาง ๆ เชน ขอมูล รูปภาพ วิดีโอ เสียง และซอฟตแวร (Software) ที่ละเมิดลิขสิทธิ์ หรือผิดกฎหมาย
- ผูใชงานตองปดเว็บเบราวเซอรเพื่อปองกันการเขาใชงานโดยบุคคลอื่น ๆ ภายหลังจากใชงานอินเทอรเน็ตเสร็จแลว 19. การใชงานสื่อสังคมออนไลน (Social Network)
19.1 ผูใชงานตองระมัดระวังในการนําเสนอขอมูลขาวสาร การสงขอความ หรือการแสดงความคิดเห็นผาน สื่อสังคมออนไลนเพื่อไมกอใหเกิดความเสียหายแก รฟม.
19.2 ผูใชงานตองระมัดระวังในการใชสื่อสังคมออนไลน เนื่องจากพื้นที่บนสื่อสังคมออนไลนเปนพื้นที่ สาธารณะไมใชพื้นที่สวนบุคคล ซึ่งขอมูลการใชงานตาง ๆ จะถูกบันทึกไวและอาจมีผลทางกฎหมาย ถึงแมจะเปนการแสดงความคิดเห็นในนามชื่อบัญชีสวนตัว และพึงตระหนักถึงผลกระทบที่อาจเกิดขึ้น กับ รฟม. ได
30
19.3 ผูใชงานที่ใชสื่อสังคมออนไลนเปนเครื่องมือสื่อสารขอมูลในกิจการของ รฟม. หรือชื่อบุคคลที่ทําใหเขาใจ ไดวาเปนบุคคลในสังกัด ตองแสดงภาพ และขอมูลใหถูกตองชัดเจนในขอมูล โปรไฟล (Profile) และ พึงใชดวยความสุภาพและมีวิจารณญาณ
19.4 ผูใชงานควรตั้งคําถามที่ใชในกรณีกูคืนบัญชีผูใชงานหรือกูคืนรหัสผาน (Forgot Your Password) ควรเลือกใชขอมูลหรือคําถามที่เปนสวนบุคคลและเปนขอมูลที่ผูอื่นคาดเดาไดยากเพื่อปองกันการสุมคําถาม จากผูประสงคราย
19.5 ผูใชงานตองไมใชระบบอีเมลของเว็บไซตประเภทสื่อสังคมออนไลน หากจําเปนตองใชจะตองระมัดระวัง ในการคลิกลิงกที่นาสงสัย โดยเฉพาะอีเมลแจงเตือนจากเว็บไซตตาง ๆ ในลักษณะเชื้อเชิญใหคลิกลิงก ที่แนบมาในอีเมล ผูใชงานตองสงสัยวาลิงกดังกลาวเปนลิงกที่ไมปลอดภัย (ลิงกที่ถูกสรางมาเพื่อใชขโมย ขอมูลสวนบุคคล ดวยการนําไปสูเว็บไซตที่ดูนาเชื่อถือที่ผูประสงครายสรางไวเพื่อใหผูใชงานกรอกขอมูล สวนบุคคล เชน รหัสผาน เปนตน)
19.6 ผูใชงานตองศึกษาการตั้งคาความเปนสวนตัวหรือ “Privacy Settings” ใหเขาใจเปนอยางดีและ ปรับแตงการตั้งคาความเปนสวนตัวใหเหมาะสมเพื่อปองกันการถูกละเมิดความเปนสวนตัวซึ่ง อาจจะสงผลกระทบตอตนเองหรือ รฟม.
19.7 ผูใชงานตองใชงานสื่อสังคมออนไลนอยางเหมาะสม โดยไมละเมิดกฎหมายและไมกอใหเกิดความเสียหายหรือ สงผลกระทบตอการทํางานขององคกร
19.8 ผูใชงานควรปดการใชงานระบบโพสตขอความสาธารณะทุก ๆ สวนของเว็บไซตประเภท Social Network หากจําเปนตองใชงานตองปรับคาใหมีการตรวจสอบขอความกอนเพื่อหลีกเลี่ยงโอกาสแพรกระจายลิงก ที่ไมปลอดภัยจากผูประสงคราย ซึ่งเปนหนึ่งในเทคนิคที่ใชในการโจมตีประเภท Spear Phishing
19.9 ผูใชงานตองตรวจสอบกอนจะรับเพื่อนเขากลุมในเว็บไซตประเภท Social Network โดยตองแนใจวา ขอมูลสวนตัวของเพื่อนคนนั้น เชน รูปถายและประวัติสวนตัวไมถูกแกไขเพื่อปลอมแปลงตัวตนจาก ผูประสงครายที่หวังแอบอางเพื่อคุกคามเปาหมาย
19.10 ผูใชงานตองตระหนักไวเสมอวาขอมูลตาง ๆ ที่ผูใชงานเผยแพรไวบนบริการสื่อสังคมออนไลนนั้นคงอยู ถาวรและผูอื่นอาจเขาถึงและเผยแพรขอมูลเหลานั้นได
19.11 ผูใชงานตองมีขอพิจารณาในการรับเพื่อนเขากลุมที่ชัดเจน และควรประกาศขอความปฏิเสธความ รับผิดชอบที่เกี่ยวกับเนื้อหาหรือขอความแสดงความคิดเห็นซึ่งถูกโพสตจากเพื่อนในกลุมที่อาจปรากฏใน เว็บไซตประเภท Social Network ของผูใชงานเอง
19.12 ผูใชงานตองติดตั้งซอฟตแวรปองกันไวรัส และอัปเดตฐานขอมูลไวรัสของโปรแกรมอยูเสมอ และตอง หลีกเลี่ยงการใชโปรแกรมที่ละเมิดลิขสิทธิ์เพราะอาจจะมีโปรแกรมประสงครายแฝงตัวอยูภายในเพื่อ ลักลอบ ปลอมแปลง หรือขโมยขอมูลสําคัญของผูใชงานได
19.13 ผูใชงานตองระมัดระวังการใชถอยคําและภาษาที่อาจเปนการดูหมิ่น ยุยง ทาทาย หรือเปนการละเมิดตอ บุคคลอื่น กรณีบุคคลอื่นมีความคิดเห็นที่แตกตางพึงงดเวนการโตตอบดวยถอยคํารุนแรง 19.14 ผูใชงานตองระมัดระวังกระบวนการหาขาว หรือภาพจากสื่อสังคมออนไลน โดยมีการตรวจสอบอยางถี่ถวน รอบดานและตองอางอิงแหลงที่มาเมื่อนําเสนอ เวนแตสามารถตรวจสอบและอางอิงจากแหลงขาว ไดโดยตรง
19.15 หากผูใชงานตองการใชสื่อสังคมออนไลนเปนเครื่องมือในการรายงานขาวในนามของบุคคลธรรมดาตอง แสดงใหชัดเจนวา ขอความใดเปน “ขาว” ขอความใดเปน “ความคิดเห็นสวนตัว”
19.16 การสงตอหรือเผยแพรขอมูลในสื่อสังคมออนไลน (Social Media)
31
19.16.1 ผูใชงานตองไมสงตอหรือเผยแพรขอมูลที่เปนเท็จ ขาวลือ ขาวไมปรากฏที่มา เปนเพียงการ คาดเดา หรือสงผลเสียหายกับบุคคล สังคม หรือ รฟม.
19.16.2 ผูใชงานตองไมสงตอหรือเผยแพรขอมูลเรื่องบุคคลเสียชีวิต เด็กและเยาวชน ผูสูญหาย ผูตองหา เวนเสียแตตรวจสอบขอเท็จจริงแลวและเห็นวาเปนประโยชนตอสาธารณะ
19.16.3 ผูใชงานตองไมสงตอหรือเผยแพรขอมูลที่กระทบตอสิทธิความเปนสวนตัว และศักดิ์ศรีความ เปนมนุษย
19.17 ผูใชงานตองตั้งคาความปลอดภัยของการใชงานสื่อสังคมออนไลน และระมัดระวังการถูกนําขอมูลจากชื่อบัญชี ไปใชโดยไมเหมาะสม ผิดวัตถุประสงค และลักษณะการแอบอางโดยบุคคลอื่น - ผูใชงานตองใชงานอินเทอรเน็ตและสื่อสังคมออนไลนโดยตระหนักถึงพระราชบัญญัติการกระทําความผิดเกี่ยวกับ คอมพิวเตอรที่บังคับใชอยูเสมอ
32
สวนที่ 11
การใชงานจดหมายอิเล็กทรอนิกส
วัตถุประสงค
▪ เพื่อกําหนดมาตรการการใชงานจดหมายอิเล็กทรอนิกสของ รฟม. ใหมีความปลอดภัยและมีประสิทธิภาพ ผูรับผิดชอบ
▪ ผูดูแลระบบ
▪ ผูใชงาน
อางอิงมาตรฐาน: ISO/IEC 27001:2022
▪ มาตรการควบคุมดานองคกร (Organizational Controls)
▪ มาตรการควบคุมดานเทคโนโลยี (Technological Controls)
แนวปฏิบัติ - ผูดูแลระบบตองกําหนดสิทธิ์การเขาถึงระบบจดหมายอิเล็กทรอนิกสของ รฟม. ใหเหมาะสมกับหนาที่ความ รับผิดชอบของผูใชงาน รวมทั้งทบทวนสิทธิ์การเขาใชงานอยางสม่ําเสมอ
- ผูดูแลระบบตองกําหนดบัญชีผูใชงานตามมาตรฐานจดหมายอิเล็กทรอนิกส (Email) ที่ใชในองคกร 3. ผูใชงานตองระมัดระวังในการใชจดหมายอิเล็กทรอนิกสไมใหเกิดความเสียหายตอ รฟม. ละเมิดลิขสิทธิ์สราง ความนารําคาญตอผูอื่น ผิดกฎหมาย ละเมิดศีลธรรม และไมแสวงหาประโยชน หรืออนุญาตใหผูอื่นแสวงหา ผลประโยชนในเชิงธุรกิจจากการใชจดหมายอิเล็กทรอนิกสของ รฟม.
- ผูใชงานตองไมใชที่อยูจดหมายอิเล็กทรอนิกส (Email Address) ของผูอื่นเพื่ออาน รับ - สงขอความ ยกเวนไดรับการ ยินยอมจากเจาของบัญชีและใหถือวาเจาของบัญชีจดหมายอิเล็กทรอนิกสเปนผูรับผิดชอบตอการใชงานตาง ๆ ในจดหมายอิเล็กทรอนิกสของตน
- ผูใชงานตองใชที่อยูจดหมายอิเล็กทรอนิกสของ รฟม. เพื่อปฏิบัติงาน ติดตอ และประสานงานของ รฟม. เทานั้น 6. ผูใชงานตองไมใชที่อยูจดหมายอิเล็กทรอนิกสฟรีของเอกชนในการปฏิบัติงาน ติดตอ และประสานงานของ รฟม. 7. ผูใชงานตอง Logout ออกจากระบบทุกครั้ง หลังจากใชงานระบบจดหมายอิเล็กทรอนิกสเสร็จสิ้นเพื่อปองกัน บุคคลอื่นเขาใชงานจดหมายอิเล็กทรอนิกส
- ผูใชงานตองตรวจสอบเอกสารแนบจากจดหมายอิเล็กทรอนิกสกอนเปดอาน โดยใชโปรแกรมปองกันไวรัส เพื่อตรวจสอบมัลแวรตาง ๆ
- ผูใชงานตองไมเปดหรือสงตอจดหมายอิเล็กทรอนิกสที่ไดรับจากผูสงที่ไมรูจัก
- ผูใชงานตองใชขอความที่สุภาพในการรับ –สงจดหมายอิเล็กทรอนิกสและไมสงจดหมายที่มีเนื้อหาอาจทําใหรฟม. เสียชื่อเสียงหรือทําใหเกิดความแตกแยกภายใน รฟม.
- ผูใชงานตองไมระบุความสําคัญของขอมูลลงในหัวขอจดหมายอิเล็กทรอนิกสและตองเขารหัสเพื่อปองกัน การเขาถึงขอมูลโดยผูไมเกี่ยวของเมื่อมีการสงขอมูลที่เปนความลับ
- ผูใชงานตองตรวจสอบตูเก็บจดหมายอิเล็กทรอนิกสของตนเองทุกวัน และตองจัดเก็บจดหมายอิเล็กทรอนิกสในตูของตน ใหเหลือจํานวนนอยที่สุด หากมีขอมูลที่จําเปนตองนํามาใชอางอิงในการปฏิบัติงานภายหลังใหผูใชงานโอนยาย จดหมายอิเล็กทรอนิกสมายังเครื่องคอมพิวเตอรของตน ทั้งนี้ เพื่อลดปริมาณการใชเนื้อที่ของระบบจดหมาย อิเล็กทรอนิกส
33
สวนที่ 12
การสํารองขอมูลและการเก็บรักษาขอมูลจราจรทางคอมพิวเตอร
วัตถุประสงค
▪ เพื่อใหมีขอมูลสํารองไวใชงานในกรณีที่ขอมูลหลักเกิดความเสียหายไมสามารถใชงานหรือเขาถึงไดหรือเมื่อเกิด ภาวะฉุกเฉินตาง ๆ
▪ เพื่อใหมีการปฏิบัติที่สอดคลองกับกฎหมาย พระราชบัญญัติ หรือขอบังคับภายนอกอื่น ๆ ผูรับผิดชอบ
▪ ผูบังคับบัญชา
▪ ผูดูแลระบบ
▪ เจาของขอมูล
▪ ผูใชงาน
อางอิงมาตรฐาน: ISO/IEC 27001:2022
▪ มาตรการควบคุมดานองคกร (Organizational Controls)
▪ มาตรการควบคุมดานเทคโนโลยี (Technological Controls)
แนวปฏิบัติ - การสํารองขอมูลระบบแมขาย
ขอมูลระบบแมขายและขอมูลสําคัญซึ่งเปนความลับของ รฟม. ตองไดรับการเก็บรักษาไวที่ระบบเก็บ ขอมูล สวนกลาง และสํารองขอมูลไวอยางสม่ําเสมอ เพื่อใหมีขอมูลสํารองไวใชในกรณีที่ขอมูลหลักเกิดความเสียหาย หรือไมสามารถใชงาน ความถี่ในการดําเนินการสํารองขอมูลและขั้นตอนการสํารองขอมูลระบบแมขายเปนความ รับผิดชอบของ ฝทท. โดยมีแนวปฏิบัติ ดังนี้
1.1 ผูบังคับบัญชากําหนดผูรับผิดชอบในการสํารองขอมูล
1.2 ผูดูแลระบบตองกําหนดชนิดของขอมูลของระบบที่มีความจําเปนตองสํารองขอมูลเก็บไว เชน ขอมูล คาคอนฟกกูเรชัน (Configuration) ขอมูลคูมือการปฏิบัติงานสําหรับระบบ ขอมูลในฐานขอมูลของ ระบบงาน ขอมูลซอฟตแวร เชน ซอฟตแวรระบบปฏิบัติการ ซอฟตแวรระบบงาน และซอฟตแวรอื่น ๆ เปนตน
1.3 ผูดูแลระบบตองสํารองขอมูลตามความถี่ที่กําหนดไวทั้งนี้ หากเปนขอมูลที่สนับสนุนกระบวนการทํางานที่ สําคัญของ รฟม. ใหสํารองตามความถี่ที่ รฟม. กําหนด
1.4 ผูดูแลระบบตองตรวจสอบวาการสํารองขอมูลสําเร็จครบถวนหรือไม หากไมสําเร็จใหหาสาเหตุและ ดําเนินการแกไขอีกครั้งหนึ่ง
1.5 ผูดูแลระบบตองนําขอมูลที่สํารองไวไปเก็บไวทั้งภายในและภายนอก รฟม. อยางนอยอยางละ 1 ชุด 1.6 ผูดูแลระบบทดสอบกูคืนขอมูลที่สํารองเก็บไวอยางสม่ําเสมอ อยางนอยปละ 1 ครั้ง เพื่อใหมั่นใจวาขอมูล ที่สํารองไวมีความถูกตอง ครบถวน และพรอมใชงาน - การสํารองขอมูลคอมพิวเตอรสวนบุคคล
ผูใชงานจะตองสํารองขอมูลสําคัญที่เก็บรักษาไวในเครื่องคอมพิวเตอรสวนบุคคลหรือคอมพิวเตอร หรืออุปกรณพกพา อื่น ๆ อยางสม่ําเสมอ ความถี่ในการสํารองขอมูลขึ้นอยูกับความถี่ของการเปลี่ยนแปลงของขอมูลและระดับ ความสําคัญของขอมูลหากเกิดการสูญหาย - การเก็บรักษาขอมูลจราจรคอมพิวเตอร
เพื่อใหสามารถระบุตัวบุคคลผูใชงานไดอยางถูกตอง ผูดูแลระบบตองดําเนินการ ดังนี้
3.1 เลือกใชนาฬิกาจากแหลงที่นาเชื่อถือที่มีการเชื่อมตอในลําดับชั้น Stratum 0โดยนาฬิกาจากแหลงดังกลาวจะตอง ไดรับการอนุมัติใหใชงาน
3.2 ตั้งนาฬิกาของอุปกรณที่ใหบริการทุกชนิดจาก NTP Server ของ รฟม. เทานั้น
34
3.3 ตองทบทวนนาฬิกาที่ NTP Server อยางนอยสัปดาหละ 1 ครั้ง
3.4 ตองจัดเก็บรักษาขอมูลจราจรคอมพิวเตอร โดยระยะเวลาในการเก็บตามประกาศกระทรวงเทคโนโลยี สารสนเทศและการสื่อสาร เรื่อง หลักเกณฑการเก็บรักษาขอมูลจราจรทางคอมพิวเตอรของผูใหบริการ พ.ศ. 2550 (อยางนอย 90 วัน)
3.5 เก็บรักษาขอมูลจราจรคอมพิวเตอรในสื่อที่สามารถรักษาความครบถวนถูกตองแทจริง มีการเก็บรักษา ความลับของขอมูลตามระดับชั้นความลับในการเขาถึงตามที่ รฟม. กําหนด
3.6 ประเภทของสารสนเทศที่เก็บรักษา แสดงตามตาราง
ประเภทของสารสนเทศ
กฎหมายที่เกี่ยวของ
ระยะเวลาการเก็บ
รักษา (ป)
Authentication Server Logs (RADIUS, TACACS)- พระราชบัญญัติวาดวยการกระทําความผิด เกี่ยวกับคอมพิวเตอรพ.ศ. 2550
- พระราชบัญญัติวาดวยการกระทําความผิด เกี่ยวกับคอมพิวเตอร (ฉบับที่ 2) พ.ศ. 2560 3) ประกาศกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เรื่อง หลักเกณฑการเก็บรักษาขอมูลจราจรทาง คอมพิวเตอรของผูใหบริการ พ.ศ. 2564
1
Email Server Logs
1
Web Application Server Logs
1
NTP Server Logs
1
DHCP Server Logs
1
IPS Logs
1
Firewalls Logs
1
Routers & Switches Logs
1
Active Directory Logs
1
-
การจัดเก็บบันทึกขอมูลล็อกและการเฝาระวัง (Logging and Monitoring)
4.1 ผูดูแลระบบตองมีการจัดเก็บบันทึกเหตุการณ (Event Logs) การใชงานระบบสารสนเทศ 4.2 ผูดูแลระบบตองเก็บบันทึกขอมูล Audit Logซึ่งบันทึกกิจกรรมการใชงานของผูใชงานระบบสารสนเทศและ เหตุการณเกี่ยวกับความมั่นคงปลอดภัยตาง ๆ เพื่อประโยชนในการสืบสวน สอบสวน และเพื่อการติดตาม การควบคุมการเขาถึง
4.3 ผูดูแลระบบตองมีการตรวจสอบขอมูลบันทึกเหตุการณอยางสม่ําเสมอ (Log Review) 4.4 ผูดูแลระบบตองไมลบขอมูลล็อก (Log) หรือปดการใชงานการบันทึกขอมูลล็อก (Log) 4.5 ผูดูแลระบบตองปองกันระบบสารสนเทศที่จัดเก็บล็อก(Log)และขอมูลล็อก(Log) เพื่อปองกันการเขาถึงหรือ แกไขเปลี่ยนแปลงโดยไมไดรับอนุญาต
35
สวนที่ 13
การตรวจสอบและประเมินความเสี่ยง
วัตถุประสงค
▪ เพื่อใหมีการตรวจสอบการดําเนินงานของระบบจัดการความมั่นคงปลอดภัยสารสนเทศและปรับปรุงอยางตอเนื่อง ▪ เพื่อควบคุม และติดตามการปฏิบัติงานของผูดูแลระบบสารสนเทศ ใหสอดคลองตามขอกําหนด กฎหมาย หรือ ระเบียบขอบังคับที่เกี่ยวของกับเทคโนโลยีสารสนเทศ
▪ เพื่อประเมินความเสี่ยงดานความมั่นคงปลอดภัยของสารสนเทศและบริหารจัดการความเสี่ยงใหอยูในระดับที่ องคกรยอมรับได
ผูรับผิดชอบ
▪ ผูบังคับบัญชา
▪ ผูดูแลระบบ
อางอิงมาตรฐาน: ISO/IEC 27001:2022
▪ ขอกําหนดหลัก: การวางแผน (Planning)
▪ ขอกําหนดหลัก: การตรวจประเมินภายใน (Internal Audit)
▪ มาตรการควบคุมดานองคกร (Organizational Controls)
▪ มาตรการควบคุมดานเทคโนโลยี (Technological Controls)
แนวปฏิบัติ -
ผูบังคับบัญชา ตองกําหนดใหมีแนวทางในการดําเนินงานของระบบสารสนเทศสอดคลองกับกฎหมาย พระราชบัญญัติ กฎระเบียบ ขอบังคับที่เกี่ยวของกับความมั่นคงปลอดภัยสารสนเทศโดยตองจัดทําเปน ลายลักษณอักษร และมีการปรับปรุงใหเปนปจจุบันอยูเสมอ
-
ผูบังคับบัญชา ตองกําหนดมาตรการในการควบคุมและบริหารจัดการสินทรัพยทางปญญา ไดแก ลิขสิทธิ์ในเอกสาร หรือซอฟตแวร เครื่องหมายการคา สิทธิบัตร และใบอนุญาตการใชงานซอรสโคด หรือการใชงานซอฟตแวร เพื่อใหการดําเนินงานเปนไปตามขอกําหนดทั้งในแงของขอสัญญา และดานกฎหมาย พระราชบัญญัติ กฎระเบียบ ขอบังคับดานสินทรัพยทางปญญาที่เกี่ยวของ
-
ผูบังคับบัญชา ตองควบคุมใหมีการคุมครองขอมูลสวนบุคคลโดยใหสอดคลองกับกฎหมาย พระราชบัญญัติ กฎระเบียบ ขอบังคับที่เกี่ยวของ
-
ผูบังคับบัญชา ตองกํากับดูแล และควบคุมการปฏิบัติงานของผูที่อยูใตการบังคับบัญชา เพื่อปองกันการใชงานระบบ สารสนเทศผิดวัตถุประสงค หรือละเมิดตอนโยบายและแนวทางปฏิบัติการรักษาความมั่นคงปลอดภัยของระบบ สารสนเทศของ รฟม.
-
ผูบังคับบัญชา ตองควบคุมใหมีการปองกันขอมูลสําคัญขององคกร ขอมูลสําคัญที่เกี่ยวของกับขอกําหนดทาง กฎหมาย ระเบียบ ขอบังคับ สัญญา ควรไดรับการปองกันจากการสูญหาย ถูกทําลาย และปลอมแปลง 6. ผูบังคับบัญชาตองจัดใหมีการตรวจสอบการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ โดยผูตรวจสอบ ภายใน (Internal Auditor) หรือโดยผูตรวจสอบอิสระดานความมั่นคงปลอดภัยจากภายนอก (External Auditor) ตามระยะเวลาอยางนอยปละ 1 ครั้ง
-
ผูดูแลระบบตองกําหนดกระบวนการตรวจสอบและการแจงเตือนเมื่อเกิดเหตุผิดปกติเกี่ยวกับการใชงาน ทรัพยากร (Capacity) กําหนดเกณฑการใชงานทรัพยากรและวางแผนดานทรัพยากรสารสนเทศใหรองรับการ ปฏิบัติงานในอนาคตอยางเหมาะสม รวมถึงตองติดตามผลการใชงานทรัพยากรสารสนเทศ
36 -
ผูดูแลระบบตองมีการตรวจสอบการทํางาน (Monitor) ของระบบสารสนเทศอยางสม่ําเสมอและเสนอผูบังคับบัญชา รับทราบเมื่อมีเหตุการณผิดปกติเกิดขึ้น รวมถึงแจงผูเกี่ยวของเพื่อดําเนินการแกไขโดยไมชักชา 9. ผูดูแลระบบ ตองปองกันการเขาใชงานเครื่องมือที่ใชเพื่อการตรวจสอบ เพื่อมิใหเกิดการใชงานผิดประเภทหรือถูก ละเมิดการใชงาน (Compromise) โดยควบคุมการเขาถึง และตรวจสอบการนําเครื่องมือไปใชงานอยางสม่ําเสมอ 10. ผูดูแลระบบตองประเมินความเสี่ยงของระบบเทคโนโลยีสารสนเทศอยางนอยปละ 1 ครั้ง หรือเมื่อมีการ เปลี่ยนแปลงอยางมีนัยสําคัญ
-
ผูบังคับบัญชาตองติดตามผลการดําเนินการตามแผนบริหารจัดการความเสี่ยง (Risk Treatment Plan) เปนประจําทุกไตรมาส
-
ผูดูแลระบบตองประเมินความเสี่ยงแลวจัดลําดับความสําคัญของความเสี่ยงนั้นและคนหาวิธีการเพื่อลดความเสี่ยง ตามขั้นตอนที่ รฟม. กําหนด พรอมทั้งพิจารณาขอดีขอเสียของวิธีการเหลานั้นเพื่อใหผูบริหารของ รฟม. ตัดสินใจ เลือกวิธีการเพื่อลดความเสี่ยงหรือยอมรับความเสี่ยง เมื่อเลือกวิธีการลดความเสี่ยงแลวผูบริหารตองจัดสรร ทรัพยากรอยางเพียงพอเพื่อดําเนินการ แนวทางการลดความเสี่ยง แบงไดเปน 3 รูปแบบ ไดแก
12.1 การเลือกใชเทคโนโลยี เพื่อใชในการลดความเสี่ยงและเพิ่มความมั่นคงปลอดภัยของระบบเทคโนโลยี สารสนเทศ รฟม. เปนวิธีที่จําเปนตองใชงบประมาณและทรัพยากรอยางเพียงพอในการดําเนินการ เชน การเลือกใชอุปกรณ Firewall มากกวาหนึ่งผลิตภัณฑในการปองกันการเขาถึงเครือขายที่สําคัญ การใช อุปกรณสมารทการด หรือ USB Token ในการตรวจสอบยืนยันตัวตนในการเขาใชงานระบบจากภายนอก
รฟม. เปนตน
12.2 การปรับเปลี่ยนขั้นตอนปฏิบัติ ตองออกแบบขั้นตอนปฏิบัติใหมที่รัดกุมและสามารถรักษาความมั่นคง ปลอดภัยของระบบเทคโนโลยีสารสนเทศ รฟม. ไดดีขึ้น เมื่อออกแบบขั้นตอนปฏิบัติใหมแลวตองมีการ พิจารณาหารือความเหมาะสม ความเปนไปได และผูบริหารตองเปนผูอนุมัติใหมีการบังคับใชขั้นตอน ปฏิบัติใหมนั้น
12.3 ผูดูแลระบบตองแจงขั้นตอนปฏิบัติใหผูเกี่ยวของรับรูอยางทั่วถึง รวมทั้งตองจัดฝกอบรมผูใชงาน ที่เกี่ยวของเพื่อใหสามารถปฏิบัติตามขั้นตอนปฏิบัติใหมไดอยางราบรื่นและมีประสิทธิภาพ 13. การตรวจสอบความปลอดภัยของระบบสารสนเทศ
13.1 ผูดูแลระบบ ตองวางแผนการตรวจสอบและประเมินชองโหวหรือจุดออนดานความมั่น คงปลอดภัย สารสนเทศ และแจงผูที่เกี่ยวของเพื่อแกไขในกรณีที่พบวาชองโหวหรือจุดออนนั้นอาจเปนเหตุการณดาน ความมั่นคงปลอดภัย อยางนอยปละ 1 ครั้ง
13.2 ผูดูแลระบบตองตรวจสอบระบบสารสนเทศที่จะตองมีการปรับปรุงเมื่อมีเวอรชันใหม (Patch) รวมทั้งขอมูล ที่เกี่ยวของกับชองโหวดานเทคนิคอยางสม่ําเสมอเพื่อใหทราบถึงภัยคุกคามและความเสี่ยง รวมถึงหาวิธีปองกัน และแกไขที่เหมาะสมกับชองโหวนั้น
13.3 ผูใชงาน ผูดูแลระบบ และหนวยงานภายนอก ตองบันทึกและรายงานชองโหวหรือจุดออนใด ๆ ดานความมั่นคง ปลอดภัยสารสนเทศ ที่อาจสังเกตพบระหวางการติดตามการใชงานระบบสารสนเทศ ผานชองทางบริหาร จัดการที่กําหนดไวอยางเหมาะสม และตองดําเนินการปดชองโหวที่มีการตรวจพบหรือไดรับแจง 14. การวิเคราะหขอมูลเชิงลึกของภัยคุกคาม (Threat Intelligence)
14.1 ผูดูแลระบบตองรวบรวมขอมูลที่เกี่ยวของกับภัยคุกคามทั้งจากภายในและภายนอกองคกร เชน ชองโหว หรือ เหตุการณภัยคุกคามตาง ๆ ที่เกิดขึ้น
14.2 ผูดูแลระบบตองนําขอมูลภัยคุกคามที่รวบรวมไดมาวิเคราะหเชิงลึก ไดแก Tactics, Techniques หรือ Procedures (TTPs) ที่กลุมผูไมประสงคดีนํามาใชรวมถึงแรงจูงใจ เปาหมาย และพฤติกรรมการโจมตี ของผูไมประสงคดีเพื่อใหรฟม. สามารถจัดเตรียมวิธีการปองกันหรือวิธีการรับมือกับภัยคุกคาม ไดอยางมีประสิทธิภาพและทันทวงที
37 -
ผูดูแลระบบตองมีการบริหารจัดการการเปลี่ยนแปลงเกี่ยวกับการจัดเตรียมการใหบริการ การดูแลปรับปรุง นโยบายในการรักษาความมั่นคงปลอดภัยดานสารสนเทศ ขั้นตอนปฏิบัติงาน หรือการควบคุมเกี่ยวกับความมั่นคง ปลอดภัยดานสารสนเทศ โดยคํานึงถึงระดับความสําคัญของการดําเนินธุรกิจที่เกี่ยวของและการประเมินความเสี่ยง อยางตอเนื่อง
-
การเตรียมความพรอมกรณีฉุกเฉิน
เพื่อใหมีการบริหารจัดการความตอเนื่องใหกับกระบวนการทางธุรกิจที่สําคัญขององคกร เมื่อมีเหตุการณที่ทําให เกิดการหยุดชะงักหรือติดขัดตอกระบวนการดังกลาว โดยมีแนวปฏิบัติ ดังนี้
16.1 ผูดูแลระบบตองกําหนดระบบที่มีความสําคัญทั้งหมดขององคกร และจัดทําเปนบัญชีรายชื่อระบบ ดังกลาวรวมทั้งปรับปรุงรายชื่อระบบสําคัญและบัญชีฯ ตามความเปนจริง
16.2 เจาของขอมูลและผูดูแลระบบประเมินความเสี่ยงสําหรับระบบเหลานั้น กําหนดมาตรการเพื่อลดความเสี่ยง ที่พบและจัดทํารายงานการประเมินความเสี่ยง
16.3 ผูดูแลระบบตองทบทวน/ปรับปรุงแผนบริหารความตอเนื่องทางธุรกิจ (Business Continity Plan: BCP) อยางนอยปละ 1 ครั้ง
16.4 ผูดูแลระบบจัดทําและปรับปรุงแผนกูคืนระบบอยางนอยปละ 1 ครั้ง
16.5 เจาของขอมูลและผูดูแลระบบตองทดสอบแผนบริหารความตอเนื่องทางธุรกิจและแผนกูคืนระบบอยางนอย ปละ 1 ครั้ง พรอมทั้งบันทึกผลการทดสอบรวมถึงปญหาที่พบ และนําเสนอผลการทดสอบและแนวทางแกไข ตอผูบังคับบัญชา
16.6 ผูดูแลระบบตองจัดประชุมและชี้แจงใหผูที่เกี่ยวของทั้งหมดไดรับทราบเกี่ยวกับแผนบริหารความตอเนื่อง ทางธุรกิจและแผนกูคืน และผลของการฝกซอมการกูคืนระบบและผลการทดสอบแผนบริหารความตอเนื่อง ทางธุรกิจ
38
สวนที่ 14
การถายโอน และแลกเปลี่ยนขอมูลสารสนเทศ
วัตถุประสงค
▪ เพื่อใหมีการควบคุมการถายโอนและแลกเปลี่ยนขอมูลสารสนเทศ ปองกันการรั่วไหล หรือมีการแกไขขอมูลโดยที่ ไมไดรับอนุญาต รวมถึงการปองกันสื่อบันทึกขอมูลใหมีความปลอดภัยเปนไปตามขอกําหนด
ผูรับผิดชอบ
▪ ผูบังคับบัญชา
▪ เจาของขอมูล
▪ ผูดูแลระบบ
อางอิงมาตรฐาน: ISO/IEC 27001:2022
▪ มาตรการควบคุมดานองคกร (Organizational Controls)
▪ มาตรการควบคุมดานเทคโนโลยี (Technological Controls)
แนวปฏิบัติ -
ผูบังคับบัญชา ตองควบคุมใหมีการจัดทํานโยบาย และขั้นตอนการปฏิบัติเพื่อปองกันขอมูลสารสนเทศที่มีการ สื่อสาร หรือแลกเปลี่ยนผานระบบสารสนเทศใหเหมาะสมตามระดับชั้นความลับขอมูลสารสนเทศ ตามขั้นตอนที่ รฟม. กําหนด
-
ผูบังคับบัญชา และเจาของขอมูล ตองควบคุมใหมีการจัดทําขอตกลงในการแลกเปลี่ยนขอมูลสารสนเทศระหวาง องคกรกับบุคคลหรือหนวยงานภายนอก
-
ผูดูแลระบบตองแลกเปลี่ยนขอมูลสารสนเทศตองแลกเปลี่ยนผานชองทางที่ปลอดภัย เชน Web Service ที่ใชงาน ผานโปรโตคอล HTTPS
-
ผูดูแลระบบตองปดบังขอมูล (Data Masking) ทั้งขอมูลสวนบุคคลและขอมูลออนไหวขององคกร (Sensitive Data) ที่มีการถายโอนหรือแลกเปลี่ยนขอมูล
-
ผูดูแลระบบ ตองมีการปองกันขอมูลสารสนเทศที่มีการสื่อสารกันผานขอมูลอิเล็กทรอนิกส (Electronic Messaging) เชน จดหมายอิเล็กทรอนิกส (Email) หรือ Instant Messaging ดวยวิธีการหรือมาตรการที่เหมาะสม 6. ผูดูแลระบบ ตองปองกันขอมูลสารสนเทศที่มีการแลกเปลี่ยนในการทําพาณิชยอิเล็กทรอนิกส (Electronic
Commerce) ผานเครือขายคอมพิวเตอรสาธารณะ เพื่อมิใหมีการฉอโกง ละเมิดสัญญา หรือมีการรั่วไหล หรือ ขอมูลสารสนเทศถูกแกไขโดยมิไดรับอนุญาต -
ผูดูแลระบบ ตองปองกันขอมูลสารสนเทศที่มีการสื่อสาร หรือแลกเปลี่ยนในการทําธุรกรรมทางออนไลน (Online Transaction) เพื่อมิใหมีการรับสงขอมูลที่ไมสมบูรณ สงขอมูลไปผิดที่ การรั่วไหลของขอมูล ขอมูลถูกแกไข เปลี่ยนแปลง ถูกทําซ้ําใหม หรือถูกสงซํ้าโดยมิไดรับอนุญาต
-
ผูดูแลระบบ ตองควบคุมการรับสงขอมูลสารสนเทศเพื่อปองกันความผิดพลาด ดังนี้
8.1 ความไมสมบูรณของขอมูลสารสนเทศที่รับ-สง
8.2 การสงขอมูลสารสนเทศผิดจุดหมายปลายทาง
8.3 การเปลี่ยนแปลงขอมูลสารสนเทศโดยไมไดรับอนุญาต
8.4 การเปดเผยขอมูลสารสนเทศโดยไมไดรับอนุญาต
8.5 การเขาถึงขอมูลสารสนเทศโดยไมไดรับอนุญาต
8.6 การนําขอมูลสารสนเทศกลับมาใชใหมโดยไมไดรับอนุญาต -
เจาของขอมูล และผูดูแลระบบ ตองมีการปองกันขอมูลสารสนเทศที่มีการเผยแพรตอสาธารณชน มิใหมีการแกไข เปลี่ยนแปลงโดยมิไดรับอนุญาต เพื่อรักษาความถูกตองครบถวนของขอมูลสารสนเทศ
39
สวนที่ 15
การควบคุมการเขารหัส
วัตถุประสงค
▪ เพื่อใหมีการเขารหัสขอมูลอยางเหมาะสมและมีประสิทธิผลในการปกปองความลับ ปองกัน การปลอมแปลงขอมูลและ ควบคุมความถูกตองของขอมูล
ผูรับผิดชอบ
▪ ผูดูแลระบบ
▪ เจาของขอมูล
▪ ผูใชงาน
อางอิงมาตรฐาน: ISO/IEC 27001:2022
▪ มาตรการควบคุมดานเทคโนโลยี (Technological Controls)
แนวปฏิบัติ -
เจาของขอมูล ตองเขารหัส หรือการใสรหัสผานขอมูลอิเล็กทรอนิกสขององคกรตามระดับชั้นความลับเพื่อปองกัน ผูไมมีสิทธิ์เขาถึง ตามระเบียบวาดวยการรักษาความลับของทางราชการ พ.ศ. 2544 และตามขั้นตอนที่ รฟม. กําหนด 2. เจาของขอมูล ผูดูแลระบบ และผูใชงานตองปฏิบัติตามระเบียบวาดวยการรักษาความลับของทางราชการ พ.ศ. 2544 ในการนําการเขารหัสมาใชกับขอมูลที่เปนความลับจะตองใชวิธีการเขารหัส (Encryption) ที่เปนมาตรฐานสากล 3. ผูดูแลระบบ ตองใชวิธีการเขารหัส (Encryption) ที่เปนมาตรฐานสากล หลีกเลี่ยงการใชรูปแบบการเขารหัส ที่พัฒนาขึ้นเอง เพื่อใหมั่นใจวาขั้นตอนวิธี (Algorithm) ที่ใชในการเขารหัสนั้นมีความมั่นคงปลอดภัย ดังนี้
ประเภทกุญแจ / วิธีการเขารหัส
เกณฑขั้นต่ํา
ความยาวกุญแจ (อยางนอย)
กุญแจแบบสมมาตร (Symmetric)
AES
256 bits
กุญแจแบบอสมมาตร (Asymmetric)
RSA
1024 bits
การ Hashing
BCrypt
Cost Factor 10 ขึ้นไป -
ผูดูแลระบบ ตองมีการทบทวนขั้นตอนวิธี (Algorithm) และความยาวของกุญแจที่เขารหัสอยางนอยปละ 1 ครั้ง เพื่อใหยังสามารถรักษาไวซึ่งความมั่นคงปลอดภัย
-
ผูดูแลระบบ ตองกําหนดใหมีการบริหารจัดการกุญแจที่ใชในการเขารหัส ดังนี้
5.1 การสรางกุญแจรหัสควรกระทําในสถานที่ที่มีมาตรการปองกันความปลอดภัย
5.2 เมื่อมีการสรางกุญแจรหัสที่เปนกุญแจลับ (Private key) ควรสงมอบใหกับเจาของกุญแจโดยตรง โดยวิธีการ ที่ปลอดภัย
5.3 ควรจัดใหมีการเก็บบันทึก Log เพื่อการตรวจสอบสําหรับกิจกรรมตาง ๆ ที่เกี่ยวของกับการจัดการกุญแจรหัส 6. ผูใชงาน ควรรักษาความปลอดภัยในการใชงานกุญแจ ดังนี้
6.1 เก็บกุญแจรหัสในสถานที่ที่ปลอดภัย เชน ตูนิรภัย หรือสื่อบันทึกที่ปลอดภัย และไมมีใครสามารถเขาถึงได 6.2 เมื่อมีการรับกุญแจสาธารณะ (Public Key) มาใช กอนใชงานจะตองพิสูจนความถูกตองของกุญแจสาธารณะ โดยสอบถามกับผูสงหรือตรวจสอบกับผูแทนในการรับรองความถูกตองของกุญแจสาธารณะ (Certificate Authority) ที่เชื่อถือไดเทานั้น
6.3 ควบคุมการใชงานและจัดเก็บกุญแจใหสอดคลองกับการรักษาความลับขอมูลตามที่ รฟม. กําหนด
40
สวนที่ 16
การนําอุปกรณสวนตัวมาใชงาน (Bring your own device)
วัตถุประสงค
▪ เพื่อควบคุมการนําอุปกรณสวนตัวมาเชื่อมตอหรือเขาถึงระบบสารสนเทศของ รฟม. ที่ใชในการบริหารจัดการ ระบบสารสนเทศของ รฟม. หรือปฏิบัติงานให รฟม. ทั้งนี้เพื่อปองกันภัยคุกคามที่อาจจะเกิดขึ้นกับระบบ สารสนเทศของ รฟม. รวมถึงเพื่อปองกันไมใหขอมูลของ รฟม. เกิดการรั่วไหล
ผูรับผิดชอบ
▪ ผูดูแลระบบ
▪ ผูใชงาน
อางอิงมาตรฐาน: ISO/IEC 27001:2022
▪ มาตรการควบคุมดานบุคลากร (People Controls)
▪ มาตรการควบคุมดานเทคโนโลยี (Technological Controls)
แนวปฏิบัติ -
ผูดูแลระบบตองกําหนดคุณสมบัติของระบบปฏิบัติการของอุปกรณสวนตัวที่อนุญาตใหนํามาเชื่อมตอหรือเขาถึง ระบบงานสารสนเทศของ รฟม. ได โดยตองเปนระบบปฏิบัติการที่ไมลาสมัย (Obsolete Operating System) และยังไดรับการสนับสนุนการใชงานจากเจาของผลิตภัณฑ
-
ผูดูแลระบบตองตัดการเชื่อมตอหากระบบปฏิบัติการของอุปกรณสวนตัวที่อนุญาตใหนํามาเชื่อมตอหรือเขาถึง ระบบงานสารสนเทศของ รฟม. เกิดการลาสมัย (Obsolete Operating System) หรือเจาของผลิตภัณฑ ไมสนับสนุนการใชงานแลว
-
ผูดูแลระบบตองมีมาตรการปองกันมัลแวร และตรวจสอบการอัปเดต Patch เวอรชันของระบบปฏิบัติการที่ เจาของผลิตภัณฑยังใหการสนับสนุนการใชงาน
-
ผูดูแลระบบตองไมอนุญาตใหอุปกรณที่มีการปรับแตงการเขาถึงระบบปฏิบัติการ (Rooted/Jailbroken) มาเชื่อมตอ หรือเขาถึงระบบสารสนเทศของ รฟม.
-
ผูดูแลระบบตองแบงแยกเครือขายของอุปกรณสวนตัวที่นํามาเชื่อมตอหรือเขาถึงระบบสารสนเทศของ รฟม. 6. ผูดูแลระบบตองทบทวนเวอรชันของระบบปฏิบัติการที่อนุญาตใหนํามาเชื่อมตอกับระบบสารสนเทศของ รฟม. อยางนอยปละ 2ครั้ง หากมีการเปลี่ยนแปลงเวอรชันของระบบปฏิบัติการที่อนุญาตใหเขาถึงระบบสารสนเทศของ รฟม. ผูดูและระบบตองแจงใหผูใชงานรับทราบลวงหนา 7 วัน กอนเริ่มบังคับใช
-
ผูใชงานตองติดตั้งโปรแกรมปองกันมัลแวรตามเงื่อนไขที่ รฟม. กําหนด
-
ผูใชงานตองไมนําอุปกรณสวนตัวที่ติดตั้งแอปพลิเคชันนอก Official Store มาเชื่อมตอหรือเขาถึงระบบงาน สารสนเทศของ รฟม.
-
ผูใชงานตองไมนําอุปกรณสวนตัวที่ติดตั้งโปรแกรมละเมิดลิขสิทธิ์มาเชื่อมตอหรือเขาถึงระบบงานสารสนเทศ ของ รฟม.
-
ผูใชงานตองอัปเดตPatch ของระบบปฏิบัติการที่อุปกรณสวนตัวใหเปนเวอรชันลาสุดรวมถึงตองเปนระบบปฏิบัติการ ที่เจาของผลิตภัณฑยังใหการสนับสนุนการใชงาน
-
ผูใชงานตองยืนยันตัวตนกอนเขาถึงระบบสารสนเทศของ รฟม. ทุกครั้ง
-
ผูใชงานตองติดตั้ง Network Access Control agent (NAC agent) หรือ Mobile Device Management Agent (MDM Agent) ตามที่ รฟม. กําหนด เพื่อควบคุมการใชงานเครือขายและการเขาถึงระบบสารสนเทศของ รฟม. 13. กรณีอุปกรณสวนตัวสูญหายหรือถูกขโมยผูใชงานตองแจงผูดูแลระบบโดยเร็วที่สุด เพื่อจัดการขอมูลที่จัดเก็บอยู ในอุปกรณสวนตัวของผูใชงาน
-
ผูใชงานตองเขาถึงระบบสารสนเทศของ รฟม. ผานชองทางที่ รฟม. กําหนด เชน VPN
41
สวนที่ 17
การใชบริการ Cloud (Cloud Services)
วัตถุประสงค
▪ เพื่อควบคุมการเลือกใชงาน การบริหารจัดการ และการยกเลิกการใชบริการ Cloud อยางปลอดภัย ผูรับผิดชอบ
▪ ผูบังคับบัญชา
▪ ผูดูแลระบบ
▪ เจาของระบบ/เจาของขอมูล
อางอิงมาตรฐาน: ISO/IEC 27001:2022
▪ มาตรการควบคุมดานองคกร (Organizational Controls)
แนวปฏิบัติ -
ผูบังคับบัญชาตองควบคุม กํากับ ดูแล ใหการใชงานบริการ Cloud สอดคลองตามที่กฎหมาย นโยบาย ระเบียบ หรือขอบังคับที่ภาครัฐกําหนด
-
ผูดูแลระบบตองวิเคราะหความเสี่ยงกอนเลือกบริการ Cloud มาใชงานภายในองคกร
-
ผูดูแลระบบตองเลือกใชบริการ Cloud ตามที่กฎหมาย นโยบาย ระเบียบ หรือขอบังคับที่ภาครัฐกําหนด 4. ผูดูแลระบบตองเลือกผูใหบริการ Cloud (Cloud Service Provider) ที่เหมาะสมกับการดําเนินงานองคกร 5. ผูดูแลระบบตองพิจารณาขอกําหนดหรือเงื่อนไขของผูใหบริการ Cloud (Cloud Service Provider) ใหชัดเจน กอนตัดสินใจเลือกใชบริการ
-
ผูดูแลระบบตองเลือกใชบริการ Cloud ที่เหมาะสมกับการดําเนินงานขององคกร
-
ผูดูแลระบบตองเลือกใชบริการ Cloud ที่มีการรักษาความปลอดภัย การบริหารจัดการความตอเนื่องทางธุรกิจ และการจัดใหมีระบบฉุกเฉินสํารองตามมาตรฐานสากล เชน ISO, NIST หรือ CSA STAR
-
ผูดูแลระบบตองเลือกใชบริการ Cloud ที่มีความพรอมใชงานของบริการครอบคลุมรอยละของเวลาที่พรอม ใหบริการตอป (Uptime) อยางนอยรอยละ 99.00
-
ผูดูแลระบบตองเลือกใชบริการ Cloud ที่มีการรักษาความมั่นคงปลอดภัยของขอมูลสวนบุคคลตาม พ.ร.บ. คุมครอง ขอมูลสวนบุคคล พ.ศ. 2562 หรือกฎหมายคุมครองขอมูลสวนบุคคลของสหภาพยุโรป (General Data Protection Regulation: GDPR) หรือเทียบเทา
-
ผูดูแลระบบ และเจาของระบบ/เจาของขอมูลตองพิจารณาขอมูลสารสนเทศที่จะนําไปใชงานบนระบบ Cloud ใหสอดคลองตามที่กฎหมาย นโยบาย ระเบียบ หรือขอบังคับที่ภาครัฐกําหนด
-
ผูดูแลระบบตองติดตาม ทบทวน และประเมินผลการใชบริการ Cloud อยางนอยปละ 1 ครั้ง