ประกวดราคาเช่าเครื่องคอมพิวเตอร์แม่ข่าย ประจำปีงบประมาณ 2570 - 2574
การรถไฟฟ้าขนส่งมวลชนแห่งประเทศไทย (รฟม.) ประกาศจัดหาผู้ให้บริการเช่าเครื่องคอมพิวเตอร์แม่ข่าย (Server) พร้อมซอฟต์แวร์ระบบคอมพิวเตอร์เสมือน (VMware) และบริการซอฟต์แวร์ระบบสํานักงานแบบออนไลน์ (Office 365 และ Microsoft Exchange Online) สําหรับปีงบประมาณ 2570 - 2574 โดยมีระยะเวลาเช่ารวม 60 เดือน (5 ปี) โครงการนี้มีความจำเป็นเพื่อทดแทนสัญญาเช่าปัจจุบันที่จะสิ้นสุดในวันที่ 30 กันยายน 2569 และเพื่อให้ระบบสารสนเทศของ รฟม. สามารถให้บริการได้อย่างต่อเนื่อง ลดผลกระทบจากการเปลี่ยนแปลงระบบ และรองรับโครงการในอนาคต
วัตถุประสงค์หลักคือเพื่อให้ระบบสารสนเทศมีความพร้อมใช้งาน มีประสิทธิภาพ มีความปลอดภัย และสามารถให้บริการได้อย่างต่อเนื่อง โดยประกอบด้วยการเช่าเครื่องคอมพิวเตอร์แม่ข่าย 3 ชุด, ซอฟต์แวร์ VMware 3 ชุด, ซอฟต์แวร์ Windows Server Datacenter 3 ชุด, ชุดบริการ Office 365 E3 จำนวน 20 สิทธิ, Office 365 E1 จำนวน 1,200 สิทธิ และ Microsoft Exchange Online Plan 1 จำนวน 100 สิทธิ
ขอบเขตงานครอบคลุมการจัดหา ติดตั้ง ปรับปรุงระบบ ย้ายข้อมูล การฝึกอบรม การให้บริการสนับสนุนตลอด 24 ชั่วโมง 7 วัน การบำรุงรักษาเชิงป้องกัน และการปฏิบัติตามมาตรฐานความปลอดภัยสารสนเทศของ รฟม. ผู้ยื่นข้อเสนอจะต้องมีคุณสมบัติเป็นตัวแทนจำหน่ายที่ได้รับอนุญาต มีมูลค่าสุทธิของกิจการตามเกณฑ์ และเสนอราคาต่ำสุดเป็นหลักในการพิจารณาคัดเลือก วงเงินงบประมาณโครงการอยู่ที่ 33,867,383.00 บาท (รวมภาษีมูลค่าเพิ่ม)
English summary
The Mass Rapid Transit Authority of Thailand (MRTA) is seeking a provider for the rental of server hardware, VMware virtualization software, and online office software services (Office 365 and Microsoft Exchange Online) for fiscal years 2027-2031. The rental period is 60 months (5 years). This project is necessary to replace the current expiring contract on September 30, 2026, and to ensure the continuous availability, efficiency, and security of MRTA’s information systems, as well as to support future IT projects.
The main objectives are to ensure the readiness, efficiency, security, and continuous service of MRTA’s information systems. The scope includes renting 3 server sets, 3 VMware software sets, 3 Windows Server Datacenter software sets, 20 Office 365 E3 licenses, 1,200 Office 365 E1 licenses, and 100 Microsoft Exchange Online Plan 1 licenses.
The scope of work covers procurement, installation, system updates, data migration, training, 24/7 support services, preventive maintenance, and adherence to MRTA’s information security standards. Bidders must be authorized distributors, meet net worth requirements, and the lowest price will be the primary evaluation criterion. The project budget is 33,867,383.00 Baht (inclusive of VAT).
ข้อมูลเชิงลึกของโครงการ
AI วิเคราะห์เป้าหมายโครงการ
- เช่าเครื่องคอมพิวเตอร์แม่ข่าย (Server) พร้อมซอฟต์แวร์ระบบคอมพิวเตอร์เสมือน และบริการซอฟต์แวร์ระบบสํานักงานแบบออนไลน์ มาทดแทนระบบเดิม
- เพื่อให้ระบบสารสนเทศของ รฟม. มีความพร้อมใช้งาน
- เพื่อให้ระบบสารสนเทศของ รฟม. มีประสิทธิภาพ
- เพื่อให้ระบบสารสนเทศของ รฟม. มีความปลอดภัย
- เพื่อให้ระบบสารสนเทศของ รฟม. สามารถให้บริการได้อย่างต่อเนื่อง
- เพื่อให้ระบบสารสนเทศของ รฟม. รองรับโครงการระบบสารสนเทศที่จะเกิดขึ้นในอนาคต
ขอบเขตของงาน
4.1 ข้อกําหนดทางด้านเทคนิค (Technical Requirement)
- ระบบและอุปกรณ์ที่เสนอต้องมีคุณสมบัติอย่างน้อยตามภาคผนวก ก.
- เครื่องคอมพิวเตอร์แม่ข่าย ซอฟต์แวร์ และอุปกรณ์ต่างๆ ต้องมีคุณสมบัติตรงตาม Catalog หรือ Brochure ของผู้ผลิต และเป็นรุ่นที่ยังจำหน่ายในท้องตลาด
- ซอฟต์แวร์ทุกรายการต้องเป็นรุ่นใหม่ ยังมีจำหน่าย ณ วันส่งมอบ และ รฟม. ได้รับสิทธิการใช้งานถูกต้องตามกฎหมายตลอดอายุสัญญา
- ผู้ยื่นข้อเสนอต้องเสนอเจ้าหน้าที่อย่างน้อย 1 คน ที่มีความรู้ความชํานาญด้านระบบเครื่องคอมพิวเตอร์แม่ข่าย ระบบเครื่องคอมพิวเตอร์แม่ข่ายเสมือน และอุปกรณ์ที่เกี่ยวข้อง โดยต้องมีใบรับรองคุณวุฒิ VCP - VMware vSphere Foundation Administrator (2V0-16.25) หรือดีกว่า
- ผู้ยื่นข้อเสนอต้องเสนอเจ้าหน้าที่อย่างน้อย 1 คน ที่มีความรู้ความชํานาญด้านระบบ Microsoft 365 โดยต้องมีใบรับรองคุณวุฒิ Microsoft 365 Certified: Administrator Expert หรือดีกว่า (เจ้าหน้าที่ตาม 4.1.4 และ 4.1.5 เป็นบุคคลเดียวกันได้)
4.2 ข้อกําหนดด้านการติดตั้ง
- สํารวจระบบคอมพิวเตอร์แม่ข่าย ระบบเครือข่าย ระบบ Microsoft 365 และอุปกรณ์อื่นๆ ของ รฟม. เพื่อออกแบบวางแผนการติดตั้ง ย้ายข้อมูล กำหนดนโยบาย และเริ่มใช้งาน ภายใน 15 วัน นับถัดจากวันที่ รฟม. แจ้ง
- จัดการประชุมเริ่มงาน (Kickoff Meeting) ภายใน 30 วัน เพื่อสรุปความต้องการ นำเสนอแผนการดำเนินงานและแผนผังระบบ
- จัดส่งบุคลากรตามข้อ 4.1.4 มาติดตั้งเครื่องคอมพิวเตอร์แม่ข่ายและซอฟต์แวร์ VMware ให้เป็นไปตามมาตรฐานผู้ผลิต และสามารถใช้งานฟังก์ชัน High Availability (HA), VMware vMotion, vSphere DRS, VCF Operation, และทำงานร่วมกับ Veeam Backup and Replicate, Lenovo Think System DB720S, Lenovo Think System DG5000, HP3PAR 8400, Dell SCV3020 ได้
- ติดสติกเกอร์แสดงรายละเอียดการเชื่อมต่อต้นทาง/ปลายทาง ที่สายสัญญาณทุกเส้น
- ย้ายเครื่องคอมพิวเตอร์แม่ข่ายเสมือนของระบบงาน ERP จาก Dell EMC Ready Node มายังระบบ VMware ที่เสนอ
- ย้ายเครื่องคอมพิวเตอร์แม่ข่ายเสมือนทั้งหมดของ รฟม. จาก VMware vCenter เวอร์ชัน 8 มายังระบบ VMware ที่เสนอ
- ติดตั้งและปรับปรุงระบบ Microsoft 365 ตามข้อ 2.4 ให้เป็นเวอร์ชันปัจจุบันและตั้งค่าความปลอดภัย
- ติดตั้ง KMS Server และกำหนดค่าให้เครื่องคอมพิวเตอร์แม่ข่ายเสมือนสามารถลงทะเบียนผลิตภัณฑ์ Windows Server ตามข้อ 2.3
- จัดหาและติดตั้งซอฟต์แวร์ที่สามารถตรวจสอบการใช้พลังงานของเครื่องคอมพิวเตอร์แม่ข่ายย้อนหลังได้อย่างน้อย 3 เดือน
- จัดส่งรายงานผลการดำเนินงานและเอกสารต่างๆ (แผนผังระบบ, คู่มือ) ในรูปแบบไฟล์ดิจิทัลบน SharePoint
4.3 ข้อกําหนดด้านการฝึกอบรมและคู่มือ
- จัดฝึกอบรมการใช้งานซอฟต์แวร์ระบบ VMware (ข้อ 2.2) แบบออฟไลน์ สำหรับผู้ดูแลระบบ (อย่างน้อย 3 คน) ครอบคลุมการใช้งานเบื้องต้น, Configuration, Management, Troubleshooting ให้แล้วเสร็จภายในงวดที่ 1
- จัดฝึกอบรมการใช้งานซอฟต์แวร์ระบบ VMware (ข้อ 2.2) แบบออนไลน์ สำหรับผู้ใช้งาน (อย่างน้อย 5 คน) ครอบคลุมการใช้งานเบื้องต้น ให้แล้วเสร็จภายในงวดที่ 1
- จัดฝึกอบรมการใช้งานชุดซอฟต์แวร์ระบบสํานักงาน Microsoft Office 365 แบบออนไลน์ สำหรับผู้ใช้งาน (อย่างน้อย 300 คน) อย่างน้อยปีละ 1 ครั้ง ตลอดระยะเวลาสัญญา โดยครั้งแรกต้องมีเนื้อหาเกี่ยวกับ Microsoft Copilot, Microsoft Team, Microsoft OneDrive
4.4 ข้อกําหนดด้านการให้บริการ
- จัดเตรียมช่องทางสื่อสารสำหรับแจ้งเหตุ (helpdesk, call center, E-mail, โทรศัพท์) ตลอด 24 ชั่วโมง 7 วัน
- เฝ้าระวังภัยคุกคามและเหตุการณ์ไม่ปกติจากระบบ/อุปกรณ์ที่ติดตั้งตลอดอายุสัญญา และแจ้ง รฟม. พร้อมดำเนินการป้องกันแก้ไข
- สร้างหรือปรับปรุงแก้ไขนโยบายของระบบ/อุปกรณ์ตามที่ รฟม. แจ้ง เพื่อลดผลกระทบหรือป้องกันเหตุการณ์
- ดำเนินการเคลื่อนย้าย หรือเปลี่ยนแปลงค่า (Reconfigure) ของระบบ/อุปกรณ์ตามที่ รฟม. แจ้ง โดยไม่มีค่าใช้จ่ายเพิ่มเติม
- ส่งเจ้าหน้าที่เข้าร่วมปฏิบัติงานในส่วนที่เกี่ยวข้องกับการดำเนินการของ รฟม. (เช่น ปิดระบบบำรุงรักษา, ทดสอบความปลอดภัย, ซ้อมแผน BCP) โดยไม่มีค่าใช้จ่ายเพิ่มเติม
4.5 ข้อกําหนดด้านการบํารุงรักษา
- ตรวจสอบระบบ/อุปกรณ์เป็นประจำทุกเดือน เพื่อให้เป็นปัจจุบัน พร้อมใช้งาน ปลอดภัย หากพบความเสียหาย/ช่องโหว่ ต้องรายงานและแก้ไขทันที พร้อมส่งรายงานการตรวจสอบและบำรุงรักษาบน SharePoint
- สำเนาการตั้งค่าระบบ/อุปกรณ์ทุกครั้งที่มีการแก้ไข หรือเป็นประจำทุกเดือน จัดเก็บไว้ยังอุปกรณ์/ระบบที่ รฟม. จัดเตรียมไว้ให้
- ทำความสะอาดเครื่องคอมพิวเตอร์แม่ข่ายอย่างน้อย 2 ครั้งต่อปี (ทุก 6 เดือน) พร้อมส่งรายงานสรุปปัญหา, การแก้ไข, การเปลี่ยนแปลง VM, เหตุการณ์ภัยคุกคาม, การใช้งาน Microsoft 365 (จำนวนการประชุม, พื้นที่ OneDrive/SharePoint) ภายใน 20 วันหลังบำรุงรักษาเสร็จสิ้น
4.6 ข้อกําหนดพื้นฐานด้านมาตรฐานและความปลอดภัยระบบเทคโนโลยีสารสนเทศ
- จัดทำหรือปรับปรุง Asset Inventory และ User Role Matrix
- ปรับปรุงซอฟต์แวร์ต่างๆ ให้เป็นปัจจุบัน เพื่อปิดช่องโหว่ก่อนเริ่มใช้งาน
- ตั้งค่าตาม Standard - Security Configuration Baseline ของ รฟม. และจัดทำ/ปรับปรุง Baseline ของระบบ/อุปกรณ์ในสัญญา
- ตั้งค่าให้สามารถเข้าสู่ระบบโดยใช้ Multi Factor Authentication (MFA) หรือ Microsoft Active Directory ของ รฟม.
- ตั้งค่าให้สามารถเข้าใช้งานผ่านระบบ CyberArk ของ รฟม.
- ตั้งค่าให้ส่ง Event Log ไปจัดเก็บยังระบบ SIEM ของ รฟม.
- ตั้งค่าให้ส่ง E-mail เมื่อเกิดเหตุการณ์ไม่ปกติไปแจ้งเตือนผู้ดูแลระบบของ รฟม. ผู้ดูแลระบบของผู้ให้เช่า หรือระบบเฝ้าระวังของผู้ผลิต
- ตั้งค่าให้ใช้ SSL Certificate ของ รฟม. ที่ออกโดยผู้ให้บริการที่น่าเชื่อถือ และปรับปรุงเป็นประจำทุก 1 ปี
- ดำเนินการตามข้อ 4.6 ให้เสร็จสิ้นภายในงวดที่ 1 พร้อมส่งเอกสารอิเล็กทรอนิกส์ที่แก้ไขได้บน SharePoint
สิ่งที่ต้องส่งมอบ
- เครื่องคอมพิวเตอร์แม่ข่ายสําหรับระบบคอมพิวเตอร์แม่ข่ายเสมือน (Virtual Machine) จำนวน 3 ชุด
- ซอฟต์แวร์ระบบ VMware จำนวน 3 ชุด
- ซอฟต์แวร์ระบบปฏิบัติการ Window Server Datacenter จำนวน 3 ชุด
- ชุดบริการระบบสํานักงานแบบออนไลน์ (Office 365 แบบ E3) จำนวน 20 สิทธิ
- ชุดบริการระบบสํานักงานแบบออนไลน์ (Office 365 แบบ E1) จำนวน 1,200 สิทธิ
- บริการระบบจดหมายอิเล็กทรอนิกส์แบบออนไลน์ (Microsoft Exchange Online Plan 1) จำนวน 100 สิทธิ
- รายงานผลการดำเนินงานและเอกสารต่างๆ (แผนผังระบบ, คู่มือ) ในรูปแบบไฟล์ดิจิทัล
- การฝึกอบรมการใช้งานซอฟต์แวร์ระบบ VMware สำหรับผู้ดูแลระบบและผู้ใช้งาน
- การฝึกอบรมการใช้งานชุดซอฟต์แวร์ระบบสํานักงาน Microsoft Office 365 สำหรับผู้ใช้งาน
ระยะเวลาดำเนินการ
- กำหนดเวลาส่งมอบพัสดุ: ผู้ให้เช่าต้องติดตั้งและส่งมอบซอฟต์แวร์ ระบบ และอุปกรณ์ทั้งหมดตามที่ระบุไว้ในข้อ 2 ให้แล้วเสร็จภายในวันที่ 30 กันยายน 2569
- ระยะเวลาการเช่า: รวมทั้งสิ้น 60 เดือน นับถัดจากวันที่คณะกรรมการตรวจรับพัสดุได้ดำเนินการตรวจรับพัสดุตามข้อ 2 ครบถ้วนตามสัญญา
คุณสมบัติผู้เสนอราคา
- อาชีพ: เป็นนิติบุคคลผู้มีอาชีพขายหรือให้เช่าพัสดุที่ประกวดราคาเช่าด้วยวิธีประกวดราคาอิเล็กทรอนิกส์ดังกล่าว
- มูลค่าสุทธิของกิจการ: ต้องมีมูลค่าสุทธิของกิจการเป็นไปตามหนังสือคณะกรรมการวินิจฉัยปัญหาการจัดซื้อจัดจ้างและการบริหารพัสดุภาครัฐ ตามหนังสือด่วนที่สุด ที่ กค (กวจ) 0405.2/ว124 ลงวันที่ 1 มีนาคม 2566, ที่ กค (กวจ) 0405.2/ว814 ลงวันที่ 26 ธันวาคม 2567 และ ที่ กค (กวจ) 0405.2/ว48 ลงวันที่ 20 มกราคม 2568
- หนังสือรับรองการเป็นตัวแทนจำหน่าย: ต้องมีหนังสือรับรองการเป็นตัวแทนจำหน่ายเครื่องคอมพิวเตอร์แม่ข่ายตามข้อ 2.1 ที่มีอายุไม่เกิน 90 วันนับจากวันที่ออกหนังสือจนถึงวันที่ยื่นข้อเสนอนี้ จากบริษัทผู้ผลิต หรือบริษัทสาขาของผู้ผลิตในต่างประเทศ หรือบริษัทสาขาของผู้ผลิตในประเทศไทย หรือตัวแทนจำหน่ายในประเทศไทย โดยต้องออกให้เพื่อมายื่นข้อเสนอนี้
- บุคลากร:
- เจ้าหน้าที่อย่างน้อย 1 คน ที่มีความรู้ความชํานาญด้านระบบเครื่องคอมพิวเตอร์แม่ข่าย ระบบเครื่องคอมพิวเตอร์แม่ข่ายเสมือน และอุปกรณ์ที่เกี่ยวข้อง โดยต้องมีใบรับรองคุณวุฒิ VCP - VMware vSphere Foundation Administrator (2V0-16.25) หรือดีกว่า
- เจ้าหน้าที่อย่างน้อย 1 คน ที่มีความรู้ความชํานาญด้านระบบ Microsoft 365 โดยต้องมีใบรับรองคุณวุฒิ Microsoft 365 Certified: Administrator Expert หรือดีกว่า ที่มีอายุไม่เกิน 2 ปีนับจากวันที่ออกใบรับรอง (เจ้าหน้าที่ 2 ตำแหน่งนี้เป็นบุคคลเดียวกันได้)
เกณฑ์การพิจารณา
รฟม. จะพิจารณาตัดสินโดยใช้หลักเกณฑ์ราคาในการคัดเลือกผู้ที่เสนอราคาต่ำสุดเป็นผู้ชนะการเช่าหรือเป็นผู้ได้รับการคัดเลือก
ข้อกำหนดทางเทคนิค
1. เครื่องคอมพิวเตอร์แม่ข่าย (Rack Server) สำหรับระบบคอมพิวเตอร์แม่ข่ายเสมือน (จำนวนอย่างน้อย 3 เครื่อง)
- รองรับการติดตั้งระบบปฏิบัติการ VMware vSphere ESX 9.0 หรือดีกว่า
- เป็น Rack Server ขนาด 2U
- มีหน่วยประมวลผลกลาง (Intel Xeon 6 Processor) จำนวน 2 หน่วย แต่ละหน่วยมี Core ไม่น้อยกว่า 16 Core ความเร็วสัญญาณนาฬิกาไม่น้อยกว่า 2.2 GHz
- มีหน่วยความจำหลัก (Main Memory) แบบ DDR5-6400 หรือดีกว่า ปริมาณไม่น้อยกว่า 1500 GB
- มี Hard Disk Controller ที่รองรับ RAID 0, 1, 5
- มี Hot Plug Hard Disk แบบ Serial Attached SCSI (SAS 12G) ความจุไม่น้อยกว่า 300 GB ความเร็วรอบอย่างน้อย 10,000 rpm จำนวนอย่างน้อย 3 หน่วย
- มี Network Interface Adapter แบบ 10GB SFP+ จำนวน 2 หน่วย แต่ละหน่วยมีอย่างน้อย 2 Ports ความเร็วไม่น้อยกว่า 10 Gbps พร้อม Module จำนวน 4 Modules
- มี Fiber Channel Interface Adapter จำนวน 2 หน่วย แต่ละหน่วยมีอย่างน้อย 2 Ports ความเร็วไม่น้อยกว่า 16 Gbps
- มี Management Port แบบ Gigabit Ethernet หรือดีกว่า จำนวนอย่างน้อย 1 Port
- มีโปรแกรมในการควบคุมระบบ (Management Software) ที่มีเครื่องหมายการค้าเดียวกับเครื่องคอมพิวเตอร์ รองรับ HTML5 Web UI, TLS1.2, Microsoft Active Directory, MFA, Virtual Media, Virtual Console, แจ้งเตือนเหตุการณ์ผิดปกติผ่าน E-mail, ตรวจสอบการใช้พลังงานย้อนหลังได้อย่างน้อย 24 ชั่วโมง, ส่ง Event Log ไปยัง Log Server ได้
- มี Power Supply แบบ Hot Swap จำนวน 2 ชุด ทำงานแบบ Redundant
- รับประกันความชำรุดบกพร่องของเครื่องคอมพิวเตอร์ทุกชิ้นส่วน จากผู้ผลิต ตลอดอายุสัญญาเช่าแบบ 24 ชั่วโมง 7 วัน On-Site Service
- อุปกรณ์ทุกรายการต้องใช้งานกับระบบไฟฟ้า 220V AC 50Hz และปลั๊ก 3 ขา
- อุปกรณ์ทุกรายการต้องติดตั้งบนตู้ Rack ขนาด 19 นิ้วได้
2. ซอฟต์แวร์ระบบ VMware
- มีสิทธิการใช้งานซอฟต์แวร์ระบบ VMware รุ่น vSphere Foundation หรือดีกว่า
- มีสิทธิการใช้งานครบถ้วนตามจำนวน Core ของเครื่องคอมพิวเตอร์แม่ข่าย
- มีสิทธิการปรับปรุงรุ่นของซอฟต์แวร์ตลอดอายุของสัญญา
- มีสิทธิการแจ้งปัญหาการใช้งานกับเจ้าของผลิตภัณฑ์โดยตรงแบบ 24 ชั่วโมง 7 วันตลอดอายุของสัญญา
3. ซอฟต์แวร์ระบบปฏิบัติการ Windows Server Datacenter
- เป็นระบบปฏิบัติการ Microsoft Windows Server Datacenter 2025 หรือรุ่นล่าสุดที่มีขายตามท้องตลาด
- มีสิทธิการใช้งานครบถ้วนตามจำนวน Core ของเครื่องคอมพิวเตอร์แม่ข่าย
- มีสิทธิการปรับปรุงรุ่นของซอฟต์แวร์ตลอดอายุของสัญญา (SA)
- สิทธิการใช้งานเป็นของ รฟม. เมื่อสิ้นสุดสัญญาแล้ว
4. บริการระบบ E-mail และชุดซอฟต์แวร์ระบบสํานักงานแบบออนไลน์
4.1 ชุดบริการระบบสํานักงานแบบออนไลน์ (Office 365 แบบ E3)
- พื้นที่เก็บข้อมูลไฟล์เอกสารอิเล็กทรอนิกส์อย่างน้อย 5 TB ต่อผู้ใช้งาน (ไม่รวม E-mail) และขอเพิ่มได้
- มีระบบสำรองข้อมูล สามารถเรียกคืนไฟล์เอกสารที่ถูกลบได้ภายใน 15 วัน
- ผู้ให้บริการมีนโยบายรักษาความปลอดภัยข้อมูลตามประกาศ กก.ธุรกรรมอิเล็กทรอนิกส์ พ.ศ. 2562
- ผู้ให้บริการมีนโยบายบริหารจัดการข้อมูลส่วนบุคคลตาม PDPA หรือเทียบเท่า GDPR
- มีระบบจัดเก็บ Log การใช้งานได้อย่างน้อย 90 วัน
- ระบบมีความพร้อมใช้งาน (Uptime) ไม่ต่ำกว่า 99.9%
4.2 ชุดบริการระบบสํานักงานแบบออนไลน์ (Office 365 แบบ E1)
- มีระบบ E-mail สำหรับองค์กร พื้นที่จัดเก็บ E-mail อย่างน้อย 50 GB ต่อผู้ใช้งาน
- พื้นที่เก็บข้อมูลไฟล์เอกสารอิเล็กทรอนิกส์อย่างน้อย 1 TB ต่อผู้ใช้งาน (ไม่รวม E-mail)
- มีซอฟต์แวร์แบบ Web Application อย่างน้อย Word, Excel, PowerPoint, Microsoft Team, Microsoft Outlook, Microsoft OneDrive, Microsoft Planner, Microsoft Booking, Microsoft Form, Microsoft SharePoint, Microsoft OneNote, Microsoft Calendar, Microsoft List, Microsoft To Do
- มีระบบสำรองข้อมูล สามารถเรียกคืนข้อมูลจดหมาย/ไฟล์เอกสารที่ถูกลบได้ภายใน 15 วัน
- กล่องจดหมายทั้งหมดได้รับการปกป้องด้วยระบบป้องกันมัลแวร์และสแปม
- ผู้ให้บริการมีนโยบายรักษาความปลอดภัยข้อมูลตามประกาศ กก.ธุรกรรมอิเล็กทรอนิกส์ พ.ศ. 2562
- ผู้ให้บริการมีนโยบายบริหารจัดการข้อมูลส่วนบุคคลตาม PDPA หรือเทียบเท่า GDPR
- มีระบบจัดเก็บ Log การใช้งานได้อย่างน้อย 90 วัน
- ระบบมีความพร้อมใช้งาน (Uptime) ไม่ต่ำกว่า 99.9%
4.3 บริการระบบ E-mail แบบออนไลน์ (Microsoft Exchange Online Plan 1)
- มีระบบ E-mail สำหรับองค์กร พื้นที่จัดเก็บ E-mail อย่างน้อย 50 GB ต่อผู้ใช้งาน
- มีซอฟต์แวร์แบบ Web Application ที่สามารถใช้งานระบบบริหารจัดการ E-mail, ตารางนัดหมาย, กิจกรรม, การประชุม, รายชื่อผู้ติดต่อได้ หรือทำผ่านโปรแกรมที่เชื่อมต่อ เช่น Microsoft Outlook
- มีระบบสำรองข้อมูล สามารถเรียกคืนข้อมูลจดหมาย/ไฟล์เอกสารที่ถูกลบได้ภายใน 15 วัน
- กล่องจดหมายทั้งหมดได้รับการปกป้องด้วยระบบป้องกันมัลแวร์และสแปม
- ผู้ให้บริการมีนโยบายรักษาความปลอดภัยข้อมูลตามประกาศ กก.ธุรกรรมอิเล็กทรอนิกส์ พ.ศ. 2562
- ผู้ให้บริการมีนโยบายบริหารจัดการข้อมูลส่วนบุคคลตาม PDPA หรือเทียบเท่า GDPR
- มีระบบจัดเก็บ Log การใช้งานได้อย่างน้อย 90 วัน
- ระบบมีความพร้อมใช้งาน (Uptime) ไม่ต่ำกว่า 99.9%
เงื่อนไขสัญญา
- วงเงินงบประมาณ: 33,867,383.00 บาท (สามสิบสามล้านแปดแสนหกหมื่นเจ็ดพันสามร้อยแปดสิบสามบาทถ้วน) (รวมภาษีมูลค่าเพิ่ม)
- งวดงานและการจ่ายเงิน: รฟม. จะชำระเงินค่าเช่าทุกๆ 3 เดือน (รายไตรมาส) เมื่อผู้ขายได้ดำเนินการตามขอบเขตของงานเสร็จสิ้นและคณะกรรมการตรวจรับพัสดุได้ตรวจรับงานถูกต้องครบถ้วนแล้ว
- อัตราค่าปรับ:
- กรณีส่งมอบพัสดุตามข้อ 2.1 - 2.2 (เครื่องคอมพิวเตอร์แม่ข่าย, VMware) ล่าช้า/ไม่ถูกต้อง/ใช้งานไม่ได้: ปรับร้อยละ 0.1 ของมูลค่าพัสดุตามข้อ 2.1 - 2.2 ต่อวัน (รฟม. มีสิทธิบอกเลิกสัญญาได้)
- กรณีเหตุสุดวิสัยสำหรับข้อ 2.1 - 2.2: ผู้ให้เช่าต้องจัดหาเครื่องคอมพิวเตอร์แม่ข่ายพร้อมซอฟต์แวร์ VMware ที่มีประสิทธิภาพเทียบเท่ามาให้ รฟม. ใช้งานชั่วคราว (1 ต.ค. 2569 - วันส่งมอบจริง) หากไม่จัดหาจะคิดค่าปรับตามข้อ 10.1 หากล่าช้าเกิน 31 ธ.ค. 2569 จะปรับร้อยละ 0.1 ของมูลค่าพัสดุที่ยังไม่ได้ส่งมอบต่อวัน (รฟม. มีสิทธิบอกเลิกสัญญาได้)
- กรณีส่งมอบพัสดุตามข้อ 2.3 - 2.4 (Windows Server, บริการออนไลน์) ล่าช้า/ไม่ถูกต้อง/ใช้งานไม่ได้: ปรับร้อยละ 0.1 ของมูลค่าพัสดุตามข้อ 2.3 - 2.4 ต่อวัน (รฟม. มีสิทธิบอกเลิกสัญญาได้)
- กรณี รฟม. ใช้สิทธิบอกเลิกสัญญา: ผู้ให้เช่ายินยอมให้ รฟม. ริบหลักประกันสัญญาทั้งหมดหรือบางส่วน
- กรณีไม่สามารถปฏิบัติตามเงื่อนไขข้อ 11.2 (การแก้ไขความชำรุดบกพร่อง) : ปรับวันละ 5,000 บาท
- กรณี รฟม. ไม่สามารถใช้บริการตามข้อ 2.4 (บริการออนไลน์) ได้รวมกันเกิน 44 นาทีต่อเดือน (SLA < 99.9%): ปรับรายเดือนในอัตราร้อยละ 0.2 ของมูลค่ารายการหรือพัสดุตามข้อ 2.4
- การรับประกันความชํารุดบกพร่อง (Warranty):
- รับประกันสิทธิการใช้งานต่างๆ ตลอดอายุสัญญา รฟม. ต้องสามารถใช้งาน ปรับปรุงระบบ แจ้งเหตุขัดข้องกับผู้ผลิตได้
- รับประกันความชำรุดบกพร่องของซอฟต์แวร์ ระบบ และอุปกรณ์เครื่องคอมพิวเตอร์แม่ข่ายและเครือข่ายทุกรายการตลอดอายุสัญญา
- กรณีชำรุดบกพร่อง/ใช้งานไม่ได้ทั้งหมดหรือบางส่วน ผู้ให้เช่าต้องจัดเจ้าหน้าที่เริ่มดำเนินการแก้ไขภายใน 2 ชั่วโมง และแก้ไขให้ใช้งานได้ภายใน 8 ชั่วโมง (On-Site Service 24 ชั่วโมง 7 วัน)
- กรณีไม่สามารถซ่อมแซมรายการ 2.1 ได้ทันเวลา ต้องจัดหาอะไหล่/อุปกรณ์/ซอฟต์แวร์ที่มีคุณสมบัติไม่ต่ำกว่าเดิมมาใช้งานทดแทน
- วัสดุอุปกรณ์ที่เปลี่ยนใหม่ต้องมีคุณสมบัติไม่ต่ำกว่าของเดิม เป็นของใหม่ ไม่เคยถูกใช้งานมาก่อน
- รับประกันคุณภาพการใช้บริการ (SLA) ของบริการระบบ E-mail และชุดซอฟต์แวร์ระบบสํานักงานแบบออนไลน์ (ข้อ 2.4) โดย รฟม. สามารถใช้งานระบบได้ไม่ต่ำกว่าร้อยละ 99.9 ต่อเดือน
- กรณีซอฟต์แวร์/ระบบทำงานบกพร่องและทำให้ระบบของ รฟม. เสียหาย ผู้ให้เช่าต้องรับผิดชอบค่าใช้จ่ายทั้งหมดในการกู้คืนระบบ
- ข้อสงวนสิทธิ์:
- เมื่อสิ้นสุดสัญญาเช่า ผู้ให้เช่าต้องส่งมอบเครื่องคอมพิวเตอร์แม่ข่าย (ข้อ 2.1) และอุปกรณ์ทั้งหมดในสัญญาให้แก่ รฟม. โดยไม่เสียค่าใช้จ่ายเพิ่มเติม
- ผู้ให้เช่าและ/หรือเจ้าหน้าที่ต้องปฏิบัติตามนโยบายความมั่นคงปลอดภัยสารสนเทศของ รฟม. และลงนามในสัญญาการเก็บรักษาข้อมูลไว้เป็นความลับ (Non-Disclosure Agreement - NDA)
- ผู้ให้เช่าต้องส่งบุคลากรเข้าร่วมการฝึกอบรมด้านความมั่นคงปลอดภัยสารสนเทศตามที่ รฟม. กำหนด
- เมื่อสิ้นสุดสัญญาเช่า หาก รฟม. ยังจัดหาสิทธิการใช้งานระบบตามข้อ 2.4 ไม่เรียบร้อย ผู้ให้เช่าต้องย้ายข้อมูลทั้งหมดของ รฟม. ไปยังระบบ/อุปกรณ์ที่ รฟม. กำหนด โดยถือเป็นค่าใช้จ่ายของผู้ให้เช่าเอง
- รฟม. เป็นเจ้าของเอกสารสิทธิ (Software License) ทั้งหมดสำหรับระบบปฏิบัติการและซอฟต์แวร์ที่จัดหา
- รฟม. มีสิทธิในการตรวจสอบการเข้าถึงข้อมูลและยกเลิกสิทธิแก่เจ้าหน้าที่ของผู้ให้เช่า
- กรณีมีการละเมิดลิขสิทธิ์/สิทธิบัตร ผู้ให้เช่าต้องรับผิดชอบค่าเสียหายและค่าใช้จ่ายทั้งหมด
- การใช้ประโยชน์จากระบบ/อุปกรณ์อยู่ภายใต้การจัดการและการควบคุมดูแลของ รฟม. โดยสิ้นเชิง
- ราคาเช่าที่เสนอต้องรวมค่าเช่าฮาร์ดแวร์ ซอฟต์แวร์ ค่าบำรุงรักษา ซ่อมแซม ขนย้าย ติดตั้ง ฝึกอบรม และอื่นๆ ที่เกี่ยวข้องทั้งหมด
เอกสารขอบเขตงาน (TOR) ฉบับเต็ม
บอบเขตของงานเช่าเครื่องคอมพิวเตอร์แม่ข่าย
ประจําปีงบประมาณ 2570 - 2574
- เหตุผลและความจําเป็น
การรถไฟฟ้าขนส่งมวลชนแห่งประเทศไทย (รฟม.) ได้มีการจัดหาเครื่องคอมพิวเตอร์แม่ข่าย (Server) และซอฟต์แวร์ระบบเครื่องคอมพิวเตอร์แม่ข่ายเสมือนของบริษัท VMware มาใช้ในการติดตั้งระบบ สารสนเทศต่างๆ ตั้งแต่ปีงบประมาณ 2555 ทําให้ในปัจจุบันมีเครื่องคอมพิวเตอร์แม่ข่ายเสมือนจํานวน ทั้งสิ้น 200 เครื่อง เพื่อให้ระบบสารสนเทศสามารถให้บริการได้อย่างต่อเนื่อง และลดผลกระทบจากการ เปลี่ยนแปลงระบบ จึงมีความจําเป็นต้องจัดหาและติดตั้งเครื่องคอมพิวเตอร์แม่ข่ายและซอฟต์แวร์ระบบ
เครื่องคอมพิวเตอร์แม่ข่ายเสมือนของบริษัท VMware มาใช้งานทดแทนสัญญาเช่าในปัจจุบันที่จะสิ้นสุด สัญญาในวันที่ 30 กันยายน 2569 - วัตถุประสงค์
รฟม. มีความประสงค์จะเช่าเครื่องคอมพิวเตอร์แม่ข่าย (Server) พร้อมซอฟต์แวร์ระบบคอมพิวเตอร์เสมือน และบริการซอฟต์แวร์ระบบสํานักงานแบบออนไลน์ มาทดแทนระบบเดิมเพื่อให้ระบบสารสนเทศของ รฟม. มีความพร้อมใช้งาน มีประสิทธิภาพ มีความปลอดภัย สามารถให้บริการได้อย่างต่อเนื่อง และรองรับโครงการ ระบบสารสนเทศที่จะเกิดขึ้นในอนาคต โดยมีรายการอุปกรณ์คอมพิวเตอร์และซอฟต์แวร์ที่จัดหาดังนี้
2.1 เครื่องคอมพิวเตอร์แม่ข่ายสําหรับ
ระบบคอมพิวเตอร์แม่ข่ายเสมือน (Virtual Machine)
2.2 ซอฟต์แวร์ระบบ VMware
2.3 ซอฟต์แวร์ระบบปฏิบัติการ Window Server Datacenter 2.4 บริการระบบ E-mail และชุดซอฟต์แวร์ระบบสํานักงานแบบออนไลน์ 2.4.1 ชุดบริการระบบสํานักงานแบบออนไลน์ (Office 365 แบบ E3) 2.4.2 ชุดบริการระบบสํานักงานแบบออนไลน์ (Office 365 แบบ E1) 2.4.3 บริการระบบจดหมายอิเล็กทรอนิกส์แบบออนไลน์
(Microsoft Exchange Online Uu Plan 1)
จํานวน 3 ชุด
จํานวน 3 ชุด
จํานวน 3 ชุด
จํานวน 20 สิทธิ
จํานวน 1,200 สิทธิ
จํานวน 100 สิทธิ
ve - คุณสมบัติของผู้ยื่นข้อเสนอ
3.1
มีความสามารถตามกฎหมาย
3.2 ไม่เป็นบุคคลล้มละลาย
3.3 ไม่อยู่ระหว่างเลิกกิจการ
3.4 ไม่เป็นบุคคลซึ่งอยู่ระหว่างถูกระงับการยื่นข้อเสนอหรือทําสัญญากับหน่วยงานของรัฐตาม มาตรา 106 วรรคสาม (หมายถึง ไม่เป็นบุคคลซึ่งอยู่ระหว่างถูกระงับการยื่นข้อเสนอหรือทําสัญญากับ หน่วยงานของรัฐไว้ชั่วคราว เนื่องจากเป็นผู้ที่ไม่ผ่านเกณฑ์การประเมินผลการปฏิบัติงานของผู้ประกอบการ
ตามระเบียบที่รัฐมนตรีว่าการกระทรวงการคลังกําหนดตามที่ประกาศเผยแพร่ในระบบเครือข่ายสารสนเทศ
ของกรมบัญชีกลาง)
3.5 ไม่เป็นบุคคลซึ่งถูกแจ้งเวียนชื่อให้เป็นผู้ทิ้งงานของหน่วยงานของรัฐตามมาตรา 109 หมายถึง ไม่เป็นบุคคลซึ่งถูกระบุชื่อไว้ในบัญชีรายชื่อผู้ทิ้งงานและได้แจ้งเวียนชื่อให้เป็นผู้ทิ้งงานของหน่วยงานของรัฐ
/ในระบบ…
we h
།
- 2 -
ในระบบเครือข่ายสารสนเทศของกรมบัญชีกลาง ซึ่งรวมถึงนิติบุคคลที่ผู้ทิ้งงานเป็นหุ้นส่วนผู้จัดการกรรมการ ผู้จัดการ ผู้บริหาร หรือผู้มีอํานาจในการดําเนินงานในกิจการของนิติบุคคลนั้นด้วย)
3.6 คุณสมบัติและไม่มีลักษณะต้องห้ามตามที่คณะกรรมการนโยบายการจัดซื้อจัดจ้างและการ
บริหารพัสดุภาครัฐกําหนดในราชกิจจานุเบกษา
3.7 เป็นนิติบุคคลผู้มีอาชีพขายหรือให้เช่าพัสดุที่ประกวดราคาเช่าด้วยวิธีประกวดราคา อิเล็กทรอนิกส์ ดังกล่าว
3.8 ไม่เป็นผู้มีผลประโยชน์ร่วมกันกับผู้ยื่นข้อเสนอรายอื่นที่เข้ายื่นข้อเสนอให้แก่การรถไฟฟ้าขนส่ง มวลชนแห่งประเทศไทย ณ วันประกาศประกวดราคาอิเล็กทรอนิกส์ หรือไม่เป็นผู้กระทําการอันเป็นการ
ขัดขวางการแข่งขันอย่างเป็นธรรมในการประกวดราคาอิเล็กทรอนิกส์ครั้งนี้
3.9 ไม่เป็นผู้ได้รับเอกสิทธิ์หรือความคุ้มกันซึ่งอาจปฏิเสธไม่ยอมขึ้นศาลไทย เว้นแต่ รัฐบาลของผู้ยื่น
ข้อเสนอได้มีคําสั่งให้สละเอกสิทธิ์และความคุ้มกันเช่นว่านั้น
3.10 ผู้ยื่นข้อเสนอที่ยื่นข้อเสนอในรูปแบบของ “กิจการร่วมค้า” (1) การกําาหนดสัดส่วนในการเข้าร่วมค้าของคู่สัญญา
ต้องมีคุณสมบัติดังนี้
กรณีที่ข้อตกลงระหว่างผู้เข้าร่วมค้ากําหนดให้ผู้เข้าร่วมค้ารายใดรายหนึ่งเป็นผู้เข้าร่วมค้า หลักข้อตกลงระหว่างผู้เข้าร่วมค้าจะต้องมีการกําหนดสัดส่วนหน้าที่และความรับผิดชอบในปริมาณงาน
สิ่งของหรือมูลค่าตามสัญญาของผู้เข้าร่วมค้าหลักมากกว่าผู้เข้าร่วมค้ารายอื่นทุกราย
(2) กรณีที่ข้อตกลงระหว่างผู้เข้าร่วมค้ากําหนดให้ผู้เข้าร่วมค้ารายใดรายหนึ่งเป็นผู้เข้าร่วมค้า หลักกิจการร่วมค้านั้นต้องใช้ผลงานของผู้เข้าร่วมค้าหลักรายเดียวเป็นผลงานของกิจการร่วมค้าที่ยื่นข้อเสนอ
สําหรับข้อตกลงระหว่างผู้เข้าร่วมค้าที่ไม่ได้กําหนดให้ผู้เข้าร่วมค้ารายใดเป็นผู้เข้าร่วมค้าหลัก
ผู้เข้าร่วมค้าทุกรายจะต้องมีคุณสมบัติครบถ้วนตามเงื่อนไขที่กําหนดไว้ในเอกสารเชิญชวน
(3) การยื่นข้อเสนอของกิจการร่วมค้า
(3.1) กรณีที่ข้อตกลงระหว่างผู้เข้าร่วมค้ากําหนดให้มีการมอบหมายผู้เข้าร่วมค้ารายใดราย
หนึ่งเป็นผู้ยื่นข้อเสนอในนามกิจการร่วมค้าการยื่นข้อเสนอดังกล่าวไม่ต้องมีหนังสือมอบอํานาจ
สําหรับข้อตกลงระหว่างผู้เข้าร่วมค้าที่ไม่ได้กําหนดให้ผู้เข้าร่วมค้ารายใดเป็นผู้ยื่น
ข้อเสนอผู้เข้าร่วมค้าทุกรายจะต้องลงลายมือชื่อในหนังสือมอบอํานาจให้ผู้เข้าร่วมค้ารายใดรายหนึ่งเป็นผู้ยื่น
ข้อเสนอในนามกิจการร่วมค้า
(3.2) การยื่นข้อเสนอด้วยวิธีประกวดราคาอิเล็กทรอนิกส์ (e - bidding) ให้ผู้เข้าร่วมค้าที่ ได้รับมอบหมายหรือมอบอํานาจตามข้อ (3.1) ดําเนินการซื้อและดาวน์โหลดเอกสารประกวดราคา
อิเล็กทรอนิกส์ กรณีที่มีการจําหน่ายเอกสารซื้อหรือจ้าง
3.11 ผู้ยื่นข้อเสนอต้องลงทะเบียนในระบบจัดซื้อจัดจ้างภาครัฐด้วยอิเล็กทรอนิกส์ (Electronic Government Procurement : e-GP) ของกรมบัญชีกลาง
3.12 ผู้ยื่นข้อเสนอต้องมีมูลค่าสุทธิของกิจการเป็นไปตามหนังสือคณะกรรมการวินิจฉัยปัญหาการ จัดซื้อจัดจ้างและการบริหารพัสดุภาครัฐ ตามหนังสือด่วนที่สุด ที่ กค (กวจ) 0405.2/ว124 ลงวันที่ 1 มีนาคม 2566 หนังสือด่วนที่สุด ที่ กค (กวจ) 0405.2/ว814 ลงวันที่ 26 ธันวาคม 2567 และหนังสือ ด่วนที่สุด ที่ กค (กวจ) 0405.2/ว48 ลงวันที่ 20 มกราคม 2568
3.13 ผู้ยื่นข้อเสนอต้องมีหนังสือรับรองการเป็นตัวแทนจําหน่ายเครื่องคอมพิวเตอร์แม่ข่ายตามข้อ 2.1 ที่มีอายุไม่เกิน 90 วันนับจากวันที่ออกหนังสือจนถึงวันที่ยื่นข้อเสนอนี้ จากบริษัทผู้ผลิต หรือบริษัทสาขาของ ผู้ผลิตในต่างประเทศ หรือบริษัทสาขาของผู้ผลิตในประเทศไทย หรือตัวแทนจําหน่ายในประเทศไทย โดยต้องออกให้เพื่อมายื่นข้อเสนอนี้ ทั้งนี้ ผู้ยื่นข้อเสนอจะต้องแนบหนังสือรับรองดังกล่าวเพื่อประกอบการพิจารณา
A
/4. ขอบเขต…
DANG
an - 3 -
ขอบเขตของงาน
4.1 ข้อกําหนดทางด้านเทคนิค (Technical Requirement)
ผู้ยื่นข้อเสนอจะต้องแนบสําเนาเอกสารพร้อมกับการยื่นข้อเสนอในครั้งนี้
4.1.1 ระบบและอุปกรณ์ที่เสนอ จะต้องมีคุณสมบัติอย่างน้อยตาม ภาคผนวก ก.
4.1.2 เครื่องคอมพิวเตอร์แม่ข่าย ซอฟต์แวร์ และอุปกรณ์ต่างๆ ที่เสนอต้องมีคุณสมบัติตรงตาม Catalog หรือ Brochure ของบริษัทผู้ผลิต ที่เสนอขายตามท้องตลาด โดยมีระบบหลัก และ/หรือ องค์ประกอบหลัก ที่มิได้ประกอบ และ/หรือดัดแปลง เพื่อใช้เฉพาะการประกวดราคาครั้งนี้ โดยผู้ยื่น ข้อเสนอจะต้องระบุรุ่นของผลิตภัณฑ์ที่เสนอ พร้อมทั้งต้องมี Catalog หรือ Brochure หรือหนังสือรับรอง จากบริษัทผู้ผลิต หรือตัวแทนจําหน่ายของผู้ผลิตในประเทศไทย ที่ขีดเส้นใต้หรือทําเครื่องหมาย พร้อมหัวข้อ
กํากับรายการที่เสนอไว้อย่างชัดเจน
4.1.3 ซอฟต์แวร์ทุกรายการที่เสนอต้องเป็นรุ่นใหม่และยังมีจําหน่ายอยู่ ณ วันที่ส่งมอบ เป็นซอฟต์แวร์ที่ รฟม. ได้รับสิทธิการใช้งานถูกต้องตามกฎหมายตลอดอายุของสัญญา โดยต้องมีเอกสาร แสดงสิทธิจากผู้ผลิต หรือสามารถตรวจสอบสิทธิ์จากหน้าเว็บของผู้ผลิตได้ สามารถแจ้งปัญหา และปรับปรุง (Upgrade) ผลิตภัณฑ์ให้เป็นรุ่นปัจจุบันได้
4.1.4 ผู้ยื่นข้อเสนอต้องเสนอเจ้าหน้าที่อย่างน้อย 1 คน ที่มีความรู้ความชํานาญด้านระบบเครื่อง คอมพิวเตอร์แม่ข่าย ระบบเครื่องคอมพิวเตอร์แม่ข่ายเสมือน และอุปกรณ์ที่เกี่ยวข้องกับงานนี้ โดยจะต้องมี เอกสารใบรับรองคุณวุฒิ VCP - VMware vSphere Foundation Administrator (2V0-16.25) หรือดีกว่า และต้องแนบสําเนาหนังสือรับรองดังกล่าวเพื่อประกอบการพิจารณา
4.1.5 ผู้ยื่นข้อเสนอต้องเสนอเจ้าหน้าที่อย่างน้อย 1 คน ที่มีความรู้ความชํานาญด้านระบบ Microsoft 365 โดยจะต้องมีเอกสารใบรับรองคุณวุฒิ Microsoft 365 Certified: Administrator Expert หรือดีกว่าที่มีอายุไม่เกิน 2 ปีนับจากวันที่ออกใบรับรอง โดยเจ้าหน้าที่ตามข้อ 4.1.4 และ 4.1.5 เป็นบุคคล
2 เดียวกันได้ และต้องแนบสําเนาหนังสือรับรองดังกล่าวเพื่อประกอบการพิจารณา
4.2 ข้อกําหนดด้านการติดตั้ง
4.2.1 ผู้ให้เช่าต้องสํารวจระบบคอมพิวเตอร์แม่ข่าย ระบบเครือข่าย ระบบ Microsoft 365 ระบบและอุปกรณ์อื่นๆ รวมทั้งเอกสาร มาตรฐาน ระเบียบข้อบังคับและขั้นตอนการดําเนินงานต่างๆ ของ รฟม. ที่เกี่ยวข้องกับงานนี้ เพื่อทําความเข้าใจ กําหนดขั้นตอนการดําเนินงาน ออกแบบวางแผนการติดตั้ง แผนการ ย้ายข้อมูล แผนการกําหนดนโยบาย และแผนการเริ่มใช้งาน ภายใน 15 วัน นับถัดจากวันที่ รฟม. แจ้งให้เริ่ม
นําเนินการ
ย
4.2.2 ผู้ให้เช่าต้องจัดการประชุมเริ่มงาน (Kickoff Meeting) ภายใน 30 วัน นับถัดจากวันที่ รฟม. แจ้งให้เริ่มดําเนินการ เพื่อสรุปความต้องการ แนะนําผู้ปฏิบัติงาน นําเสนอรายการอุปกรณ์ แผนการ ดําเนินงาน แผนการติดตั้งและการย้ายข้อมูล รายละเอียดการติดตั้งระบบ แผนผังระบบเครือข่ายสื่อสารข้อมูล (Network Diagram) และแผนผังการติดตั้งอุปกรณ์ (Rack Diagram) แผนผังการเชื่อมต่อสาย (Wiring Diagram) แผนผังการเชื่อมโยงระบบใหม่ที่เสนอเข้ากับระบบเดิมของ รฟม. (System Diagram)
4.2.3 ผู้ให้เช่าต้องจัดส่งบุคลากรที่ได้เสนอไว้ตามข้อ 4.1.4 มาติดตั้งเครื่องคอมพิวเตอร์แม่ข่าย ตามข้อ 2.1 ซอฟต์แวร์ระบบ VMware ตามข้อ 2.2 ให้เป็นไปตามมาตรฐานและคําแนะนําของผู้ผลิต สามารถใช้งานความสามารถของซอฟแวร์รุ่นที่เสนอได้ทุกฟังก์ชันหรือตามความต้องการของ รฟม. โดยต้อง
มีความสามารถอย่างน้อยดังนี้
น
کشید
/1) สามารถ…
a
ཀཀ་ཝཝིཏེ།
- 4 -
- สามารถทํางานได้แบบ High Availability (HA)
- สามารถใช้งานฟังก์ชัน VMware vMotion และ vSphere DRS 3) สามารถใช้งานฟังก์ชัน VCF Operation ได้
- สามารถทํางานร่วมกับระบบ Veeam Backup and Replicate
- สามารถทํางานร่วมกับอุปกรณ์ Lenovo Think System DB720S (SAN Switch), Lenovo Think System DG5000, HP3PAR 8400, Dell SCV3020 ได้เป็นอย่างน้อย
4.2.4 ผู้ให้เช่าต้องติดสติกเกอร์แสดงรายละเอียดการเชื่อมต่อต้นทาง/ปลายทาง ที่สายสัญญาณทุกเส้น
ผู้ให้เช่าต้องย้ายเครื่องคอมพิวเตอร์แม่ข่ายเสมือนของระบบงาน ERP จากที่ทํางานอยู่บนระบบ
4.2.5
Dell EMC Ready Node มายังระบบ VMware ที่เสนอ
4.2.6
ผู้ให้เช่าต้องย้ายเครื่องคอมพิวเตอร์แม่ข่ายเสมือนทั้งหมดของ รฟม. จากที่ทํางานอยู่บนระบบ VMware vCenter เวอร์ชัน 8 มายังระบบ VMware ที่เสนอ
4.2.7 ผู้ให้เช่าต้องติดตั้งและปรับปรุงระบบและส่วนประกอบของระบบ Microsoft 365 ตามข้อ 2.4 ให้เป็นเวอร์ชันปัจจุบัน และตั้งค่าระบบให้มีความปลอดภัย ตามคําแนะนําของผู้ผลิต และตามความ
ต้องการของ รฟม.
4.2.8 ผู้ให้เช่าต้องทําการติดตั้ง KMS Server และกําหนดค่าให้เครื่องคอมพิวเตอร์แม่ข่ายเสมือน สามารถลงทะเบียนผลิตภัณฑ์โดยใช้หมายเลขผลิตภัณฑ์ของซอฟต์แวร์ Windows Server ตามที่เสนอในข้อ 2.3
4.2.9 ผู้ให้เช่าต้องจัดหาและติดตั้งซอฟแวร์ที่ทําให้สามารถตรวจสอบการใช้พลังงานของเครื่อง
คอมพิวเตอร์แม่ข่ายย้อนหลังได้อย่างน้อย 3 เดือน
4.2.10 หลังจากที่ผู้ให้เช่าได้ดําเนินงานต่างๆ เรียบร้อยแล้ว ผู้ให้เช่าต้องจัดส่งรายงานผลการ ดําเนินงาน และเอกสารอื่นๆ อย่างน้อยดังนี้ แผนผังระบบเครือข่ายสื่อสารข้อมูล (Network Diagram) และ แผนผังการติดตั้งอุปกรณ์ (Rack Diagram) แผนผังการเชื่อมต่อสาย (Wiring Diagram) แผนผังการ เชื่อมโยงระบบ (System Diagram) คู่มือขั้นตอนการเปิดปิดระบบ คู่มือการติดตั้งระบบ ในรูปแบบไฟล์ดิจิทัล
โดยสําเนาเอกสารไว้ที่ระบบ SharePoint ที่ รฟม. จัดเตรียมไว้ให้
4.3 ข้อกําหนดด้านการฝึกอบรมและคู่มือ
ผู้ให้เช่าต้องทําหนังสือแจ้งหัวข้อการฝึกอบรม วันเวลาที่จะทําการฝึกอบรม ให้คณะกรรมการ ตรวจรับพัสดุรับทราบก่อนถึงวันที่จะฝึกอบรมไม่น้อยกว่า 10 วันทําการโดยมีรายละเอียดการฝึกอบรมดังนี้
4.3.1 ผู้ให้เช่าต้องจัดให้มีการฝึกอบรมการใช้งานซอฟต์แวร์ระบบ VMware ตามข้อ 2.2 แบบออฟไลน์ สําหรับผู้ดูแลระบบ มีเนื้อหาการฝึกอบรมครอบคลุมการใช้งานเบื้องต้น กําหนดค่า การบริหารจัดการ และ การแก้ไขปัญหา (Configuration, Management, Troubleshooting) โดยอบรมให้แก่เจ้าหน้าที่ผู้ดูแลระบบ จํานวนอย่างน้อย 3 คน ให้แล้วเสร็จภายในงานงวดที่ 1
4.3.2 ผู้ให้เช่าต้องจัดให้มีการฝึกอบรมการใช้งานซอฟต์แวร์ระบบ VMware ตามข้อ 2.2 แบบออนไลน์สําหรับผู้ใช้งาน มีเนื้อหาการฝึกอบรมครอบคลุมการใช้งานเบื้องต้น โดยอบรมให้แก่เจ้าหน้าที่ ของ ฝทท. จํานวนอย่างน้อย 5 คน ให้แล้วเสร็จภายในงานงวดที่ 1
4.3.3 ผู้ให้เช่าต้องจัดให้มีการฝึกอบรมการใช้งานชุดซอฟต์แวร์ระบบสํานักงาน Microsoft Office 365 แบบออนไลน์สําหรับผู้ใช้งานจํานวนอย่างน้อยปีละ 1 ครั้ง เป็นประจําทุกปี หรือเมื่อมีการใช้งาน
ที่เปลี่ยนไป หรือมีฟังก์ชันใหม่ที่ รฟม. สามารถใช้งานได้และเห็นว่าเป็นประโยชน์กับเจ้าหน้าที่ของ รฟม. โดยในครั้งที่ 1 จะต้องมีเนื้อหาเกี่ยวกับ การใช้งาน Microsoft Copilot, Microsoft Team, Microsoft OneDrive โดยอบรมให้แก่เจ้าหน้าที่ของ รฟม. จํานวนอย่างน้อย 300 คน ให้แล้วเสร็จภายในระยะเวลาของสัญญา
Am
- mee
/4.4 ข้อกําหนด… - 5-
4.4 ข้อกําหนดด้านการให้บริการ
4.4.1 ผู้ให้เช่าต้องจัดเตรียมช่องทางสื่อสารสําหรับแจ้งเหตุผ่านทางระบบ helpdesk หรือ call center หรือ E-mail หรือทางโทรศัพท์ โดยจะต้องสามารถแจ้งเหตุได้ตลอดระยะเวลา (24 ชั่วโมง 7 วัน)
4.4.2 ผู้ให้เช่าต้องเฝ้าระวังภัยคุกคามและเหตุการณ์ความไม่ปกติที่เกิดขึ้นจากการแจ้งเตือนของระบบ และ/หรืออุปกรณ์ ที่ได้ติดตั้งตามสัญญานี้ตลอดระยะเวลาของสัญญา เมื่อตรวจพบจะต้องแจ้งให้ รฟม. ทราบ
และ าเนินการป้องกัน แก้ไข ตามที่ รฟม. แจ้ง
4.4.3 กรณี รฟม. ตรวจพบเหตุการณ์ซึ่งอาจจะเป็นภัยคุกคามต่อระบบสารสนเทศ รฟม. สามารถแจ้งผู้ให้เช่า ให้ทําการสร้างหรือปรับปรุงแก้ไขนโยบายของระบบและ/หรืออุปกรณ์ ที่ได้ติดตั้ง ตามสัญญานี้ เพื่อลดผลกระทบหรือป้องกันเหตุต่างๆ ที่อาจเกิดขึ้นได้
4.4.4 กรณีมีการเคลื่อนย้าย หรือเปลี่ยนแปลงค่า (Reconfigure) ของระบบและ/หรืออุปกรณ์ ที่ได้ติดตั้งตามสัญญานี้ รฟม. มีสิทธิที่จะแจ้งให้ผู้ให้เช่ามาดําเนินการให้ รฟม. ได้ตลอดอายุสัญญา โดย รฟม. ไม่เสียค่าใช้จ่ายใดๆ เพิ่มเติมทั้งสิ้น
4.4.5 กรณี รฟม. มีการดําเนินการใดๆ ที่ รฟม. เห็นว่าเกี่ยวข้องกับระบบและ/หรืออุปกรณ์ ที่ได้ติดตั้ง ตามสัญญานี้ เช่น การปิดระบบเพื่อบํารุงรักษาระบบไฟฟ้า การทดสอบความปลอดภัยของระบบ การซ้อม แผน BCP เป็นต้น ผู้ให้เช่าจะต้องส่งเจ้าหน้าที่ที่มีความรู้ความสามารถเข้ามาปฏิบัติงานในส่วนที่เกี่ยวข้อง โดย รฟม. ไม่เสียค่าใช้จ่ายใดๆ เพิ่มเติมทั้งสิ้น
4.5 ข้อกําหนดด้านการบํารุงรักษา
4.5.1 ผู้ให้เช่าจะต้องตรวจสอบระบบและ/หรืออุปกรณ์ ที่ได้ติดตั้งตามสัญญานี้เป็นประจําทุกเดือน ให้เป็นปัจจุบัน มีความพร้อมใช้งาน มีความปลอดภัย หากพบว่าเครื่องคอมพิวเตอร์แม่ข่ายหรือระบบมีความเสียหาย มีช่องโหว่ จะต้องรายงานให้ รฟม. ทราบ และขออนุมัติดําเนินการแก้ไขเปลี่ยแปลงในทันที และส่งรายงาน การตรวจสอบและบํารุงรักษาให้ รฟม. ทางระบบ SharePoint ที่ รฟม. จัดเตรียมไว้ให้
4.5.2 ผู้ให้เช่าต้องสําเนาการตั้งค่าระบบและ/หรืออุปกรณ์ ที่ได้ติดตั้งตามสัญญานี้ ทุกครั้งที่มี การแก้ไขเปลี่ยแปลง หรือเป็นประจําทุกเดือนโดยจัดเก็บไว้ยังอุปกรณ์หรือระบบที่ รฟม. จัดเตรียมไว้ให้
4.5.3 ผู้ให้เช่าจะต้องทําความสะอาดเครื่องคอมพิวเตอร์แม่ข่ายอย่างน้อย 2 ครั้งต่อปี เป็นประจํา ทุกๆ 6 เดือน พร้อมทั้งส่งรายงานสรุปการแจ้งปัญหา สรุปการแก้ไขเปลี่ยนแปลง สรุปการเพิ่มขึ้นลดลงของ เครื่องคอมพิวเตอร์แม่ข่ายเสมือน สรุปเหตุการณ์ภัยคุกคามของระบบป้องกันภัยคุกคามที่เสนอ สรุปการใช้งาน ระบบ Microsoft 365 เช่น จํานวนการประชุม จํานวนพื้นที่จัดเก็บระบบ OneDrive SharePoint รายงานการ บํารุงรักษาทั้งหมดจะผู้ให้เช่าจะต้องส่งให้ รฟม. ภายใน 20 วันทางระบบ SharePoint ที่ รฟม. จัดเตรียมไว้ให้ หลังจากที่ผู้ให้เช่าได้ทําการบํารุงรักษาเสร็จเรียบร้อยแล้ว และต้องมีหนังสือแจ้งให้คณะกรรมการตรวจรับพัสดุ
รับทราบเป็นลายลักษณ์อักษร
4.6 ข้อกําหนดพื้นฐานด้านมาตรฐานและความปลอดภัยระบบเทคโนโลยีสารสนเทศ
ผู้ให้เช่าต้องตั้งค่าระบบและ/หรืออุปกรณ์ที่ได้ติดตั้งตามสัญญา และดําเนินการดังต่อไปนี้ 4.6.1 จัดทําหรือปรับปรุง Asset Inventory 4.6.2 จัดทําหรือปรับปรุง User Role Matrix
4.6.3 ปรับปรุงซอฟต์แวร์ต่างๆ ให้เป็นปัจจุบัน เพื่อปิดช่องโหว่และแก้ไขปัญหาก่อนประกาศให้
เริ่มการใช้งาน
Toom
شيد
/4.6.4 ตั้งค่า….
In wave no - 6-
4.6.4 ตั้งค่าตาม Standard - Security Configuration Baseline ของ รฟม.
4.6.5 จัดทําหรือปรับปรุง Standard - Security Configuration Baseline ของระบบหรืออุปกรณ์ ที่อยู่ในสัญญา
4.6.6 ตั้งค่าให้สามารถเข้าสู่ระบบโดยใช้การยืนยันตัวตนแบบหลายชั้น (Multi Factor Authentication – MFA) หรือใช้ Microsoft Active Directory ของ รฟม. ได้
4.6.7 ตั้งค่าให้สามารถเข้าใช้งานผ่านระบบ CyberArk ของ รฟม. ได้
พ
4.6.8 ตั้งค่าให้ส่ง Event Log ไปจัดเก็บยังระบบ SIEM ของ รฟม. ได้ 4.6.9 ตั้งค่าให้ส่ง E-mail เมื่อเกิดเหตุการณ์ไม่ปกติไปแจ้งเตือนผู้ดูแลระบบของ รฟม. ผู้ดูแลระบบ ของผู้ให้เช่า หรือระบบเฝ้าระวังของผู้ผลิตได้
4.6.10 ตั้งค่าให้ใช้ SSL Certificate ของ รฟม. ที่ออกให้โดยผู้ให้บริการที่น่าเชื่อถือ และปรับปรุง เป็นประจําทุก 1 ปี
ผู้ให้เช่าต้องดําเนินการตามข้อ 4.6 นี้ให้เสร็จสิ้นภายในการเบิกจ่ายเงินค่าเช่างวดที่ 1 พร้อมทั้งทํา หนังสือแจ้งให้คณะกรรมการตรวจรับพัสดุรับทราบและทําการส่งสําเนาเอกสารทั้งหมดที่เกิดขึ้นระหว่าง
โครงการในรูปแบบเอกสารอิเล็กทรอนิกส์ที่สามารถแก้ไขปรับปรุงได้ เช่น .doc, .xls, .vsd ทางระบบ SharePoint ที่ รฟม. จัดเตรียมไว้ให้
- กําหนดเวลาส่งมอบพัสดุ
ผู้ให้เช่าต้องติดตั้งและส่งมอบซอฟต์แวร์ ระบบ และอุปกรณ์ทั้งหมดตามที่ระบุไว้ในข้อ 2. ให้แล้วเสร็จ ภายในวันที่ 30 กันยายน 2569 โดยสิ่งที่ส่งมอบทั้งหมดต้องสามารถใช้งานร่วมกับระบบสารสนเทศของ รฟม. ได้อย่างมีประสิทธิภาพ มีรายละเอียดการติดตั้งให้เป็นไปตามที่กําหนดไว้ในข้อ 4.2 ทั้งนี้ เมื่อผู้ให้เช่า ดําเนินการติดตั้งและปฏิบัติงานตามขอบเขตที่กําหนดเสร็จสิ้นครบถ้วนแล้ว ให้ผู้ให้เช่าจัดทําหนังสือ แจ้งคณะกรรมการตรวจรับพัสดุล่วงหน้าไม่น้อยกว่า 5 วันทําการ ก่อนวันส่งมอบและตรวจรับงาน โดยคณะกรรมการตรวจรับพัสดุจะดําเนินการทดสอบและตรวจรับพัสดุตามสัญญาต่อเมื่อได้รับหนังสือแจ้ง ดังกล่าวแล้วเท่านั้น นอกจากนี้ผู้ให้เช่าต้องจัดส่งสําเนาเอกสารทั้งหมดที่เกิดขึ้นระหว่างโครงการในรูปแบบ
น
ไฟล์อิเล็กทรอนิกส์ที่สามารถแก้ไขและปรับปรุงได้ พร้อมกับการส่งมอบงานด้วย เช่น .doc, .xls, .vsd ทาง ระบบ SharePoint ที่ รฟม. จัดเตรียมไว้ให้ - ระยะเวลาการเช่า
ระยะเวลาการเช่ารวมทั้งสิ้น 60 เดือน นับถัดจากวันที่คณะกรรมการตรวจรับพัสดุ ได้ดําเนินการ ตรวจรับพัสดุตามข้อ 2 ครบถ้วนตามสัญญา - หลักเกณฑ์และการพิจารณาคัดเลือกข้อเสนอ
ในการพิจารณาผลการยื่นข้อเสนอประกวดราคาอิเล็กทรอนิกส์ครั้งนี้ รฟม. จะพิจารณาตัดสินโดยใช้ หลักเกณฑ์ราคาในการคัดเลือกผู้ที่เสนอราคาต่ําสุด เป็นผู้ชนะการเช่าหรือเป็นผู้ได้รับการคัดเลือก - วงเงินงบประมาณ/วงเงินที่ได้รับจัดสรร
33,867,383.00 บาท (สามสิบสามล้านแปดแสนหกหมื่นเจ็ดพันสามร้อยแปดสิบสามบาทถ้วน) (รวมภาษีมูลค่าเพิ่ม)
/9 งวดงาน …
- 7 -
- งวดงานและการจ่ายเงิน
รฟม. จะชําระเงินค่าเช่าทุกๆ 3 เดือน ซึ่งเป็นราคารวมภาษีมูลค่าเพิ่มตลอดจนภาษีอากรอื่นๆ และ ค่าใช้จ่ายทั้งปวงด้วยแล้ว เมื่อผู้ขายได้ดําเนินการตามขอบเขตของงานเสร็จสิ้น และคณะกรรมการตรวจรับ พัสดุได้ตรวจรับงานถูกต้องครบถ้วนแล้ว
หากการเช่าในเดือนแรกไม่ครบเดือนนั้น ให้คํานวณค่าเช่าเริ่มตั้งแต่วันถัดจากวันที่ รฟม. ได้ตรวจรับ งานตามสัญญานี้ จนถึงวันสุดท้ายของเดือนนั้น ส่วนการเช่าเดือนสุดท้าย ให้คํานวณค่าเช่าตั้งแต่วันแรกของ เดือนนั้นจนถึงวันสิ้นสุดสัญญา
การคํานวณค่าเช่าตามวรรคสอง ให้คํานวณค่าเช่าต่อวันจากอัตราค่าเช่าต่อเดือนหารด้วย 30 - อัตราค่าปรับ
10.1 กรณีส่งมอบพัสดุตามข้อ 2.1 - 2.2 ล่าช้าเกินกว่ากําหนดไว้ในข้อ 5. บางรายการหรือทั้งหมด หรือมีคุณสมบัติไม่ถูกต้องตามรายละเอียดและคุณลักษณะที่กําหนด หรือส่งมอบแล้วแต่ไม่สามารถใช้งานได้ รฟม. มีสิทธิบอกเลิกสัญญาได้ ในกรณีที่ รฟม. ไม่ใช้สิทธิบอกเลิกสัญญา ผู้ให้เช่าจะต้องชําระค่าปรับให้ รฟม. เป็นรายวัน (เศษของวันให้นับเป็นหนึ่งวัน) ในอัตราร้อยละ 0.1 (ศูนย์จุดหนึ่ง) ของมูลค่าพัสดุตามข้อ 2.1 - 2.2 โดยนับถัดจากวันครบกําหนดส่งมอบตามข้อ 5. จนถึงวันที่ผู้ให้เช่าได้ติดตั้งและส่งมอบระบบและ/หรือ อุปกรณ์ ที่ได้มาตามสัญญาให้แก่ รฟม. ถูกต้องครบถ้วน
10.2 กรณีที่มีเหตุสุดวิสัย อันเป็นเหตุให้ผู้ให้เช่าไม่สามารถส่งมอบระบบและ/หรืออุปกรณ์ ตามข้อ 2.1 - 2.2 ตามกําหนดเวลาในข้อ 5. บางรายการหรือทั้งหมด โดยไม่ใช่เหตุที่เกิดจากข้อบกพร่องหรือความผิดพลาด ของผู้ให้เช่าเอง ผู้ให้เช่าจะต้องรีบแจ้งเหตุดังกล่าวพร้อมหลักฐานเป็นเอกสารให้ รฟม. ทราบก่อนถึง กําหนดเวลาส่งมอบอย่างน้อย 30 วัน โดยที่ รฟม. จะไม่คิดค่าปรับตามข้อ 10.1 แต่ผู้ให้เช่าจะต้องจัดหา และติดตั้งเครื่องคอมพิวเตอร์แม่ข่ายพร้อมซอฟต์แวร์ระบบ VMware ที่มีประสิทธิภาพ มีคุณสมบัติ เทียบเท่าหรือไม่น้อยกว่าระบบ VMware ที่ รฟม. ใช้งานอยู่ (ด้วยค่าใช้จ่ายของผู้ให้เช่าเอง) มาให้ รฟม. ใช้งานเป็นการชั่วคราว ตั้งแต่วันที่ 1 ตุลาคม 2569 จนถึงวันที่ผู้ให้เช่าได้ติดตั้งและส่งมอบระบบและ/หรือ อุปกรณ์ ที่ได้เสนอตามสัญญานี้ให้แก่ รฟม. จนถูกต้องครบถ้วน หากผู้ให้เช่าไม่จัดหา และติดตั้งเครื่อง คอมพิวเตอร์แม่ข่ายพร้อมซอฟต์แวร์ระบบ VMware ให้ รฟม. ใช้งานเป็นการชั่วคราว รฟม. จะคิดค่าปรับ ตามข้อ 10.1 ทั้งนี้ รฟม. สงวนสิทธิ์ที่จะอนุญาตให้ขยายระยะเวลาในการดําเนินการหรือไม่ก็ได้
หากเหตุสุดวิสัยดังกล่าว เป็นเหตุให้เกิดความล่าช้าเกินกว่าวันที่ 31 ธันวาคม 2569 รฟม. มีสิทธิบอกเลิก สัญญาได้ ในกรณีที่ รฟม. ไม่ใช้สิทธิบอกเลิกสัญญา ผู้ให้เช่าจะต้องชําระค่าปรับให้ รฟม. เป็นรายวัน (เศษของวันให้นับเป็นหนึ่งวัน) ในอัตราร้อยละ 0.1 (ศูนย์จุดหนึ่ง) ของมูลค่าพัสดุที่ยังไม่ได้ส่งมอบโดยนับ จากวันที่ 1 มกราคม 2570 จนถึงวันที่ผู้ให้เช่าได้ติดตั้งและส่งมอบระบบและ/หรืออุปกรณ์ ที่ได้มาตามสัญญา ให้แก่ รฟม. จนถูกต้องครบถ้วน
10.3 กรณีส่งมอบพัสดุตามข้อ 2.3 - 2.4 (บริการระบบ E-mail และชุดซอฟต์แวร์ระบบสํานักงาน แบบออนไลน์) ล่าช้าเกินกว่ากําหนดไว้ในข้อ 5 บางรายการหรือทั้งหมด หรือมีคุณสมบัติไม่ถูกต้องตาม รายละเอียดและคุณลักษณะที่กําหนด หรือส่งมอบแล้วแต่ยังไม่สามารถใช้งานได้ รฟม. มีสิทธิบอกเลิก สัญญาได้ ในกรณีที่ รฟม. ไม่ใช้สิทธิบอกเลิกสัญญา ผู้ให้เช่าจะต้องชําระค่าปรับให้ รฟม. เป็นรายวัน (เศษของวันให้นับเป็นหนึ่งวัน) ในอัตราร้อยละ 0.1 (ศูนย์จุดหนึ่ง) ของมูลค่าพัสดุตามข้อ 2.3 - 2.4 โดยนับ ถัดจากวันครบกําหนดส่งมอบตามข้อ 5. จนถึงวันที่ผู้ให้เช่าได้ติดตั้งและส่งมอบระบบและ/หรืออุปกรณ์ ที่ได้มาตามสัญญาให้แก่ รฟม. จนถูกต้องครบถ้วน
/10.4 กรณี…
น
คุณ
- 8 -
10.4 กรณีที่ รฟม. ใช้สิทธิบอกเลิกสัญญา นอกจากยินยอมให้ รฟม. คิดค่าปรับตามข้อ 10.1 – 10.3 นับแต่วันผิดสัญญาจนถึงวันบอกเลิกสัญญาแล้ว ผู้ให้เช่ายินยอมให้ รฟม. ริบหลักประกันสัญญาเป็นจํานวน ทั้งหมด หรือแต่บางส่วนก็ได้ แล้วแต่ รฟม. จะเห็นสมควร
10.5 กรณีที่ผู้ให้เช่าไม่สามารถปฏิบัติตามเงื่อนไขข้อ 11.2 ผู้ให้เช่าจะต้องชําระค่าปรับให้ รฟม เป็นรายวัน (เศษของวันให้ปรับเป็นหนึ่งวัน) ในอัตราวันละ 5,000 บาท (ห้าพันบาทถ้วน)
10.6 กรณีที่ รฟม. ไม่สามารถใช้บริการตามระยะเวลาการรับประกันในข้อ 11.5 โดยเหตุนั้นไม่ได้เกิดจาก ระบบเครือข่ายของ รฟม. เมื่อนับจํานวนนาทีที่ไม่สามารถใช้งานได้รวมกันแล้วเป็นจํานวนมากกว่า 44 นาที ต่อเดือน ผู้ให้เช่าจะต้องชําระค่าปรับให้ รฟม. เป็นรายเดือนในอัตราร้อยละ 0.2 (ศูนย์จุดสอง) ของมูลค่า รายการหรือพัสดุตามข้อ 2.4
- การกําหนดระยะเวลารับประกันความชํารุดบกพร่อง
11.1 ผู้ให้เช่าต้องรับประกันสิทธิการใช้งานต่างๆ ได้มาพร้อมกับสัญญานี้ตลอดอายุสัญญา โดย รฟม. ต้องสามารถใช้งาน ปรับปรุงระบบ แจ้งเหตุขัดข้องกับผู้ผลิตได้
11.2 ผู้ให้เช่าจะต้องรับประกันความชํารุดบกพร่องของซอฟต์แวร์ ระบบ และอุปกรณ์เครื่อง คอมพิวเตอร์แม่ข่ายและเครือข่ายทุกรายการที่ได้มาพร้อมกับสัญญานี้ตลอดอายุสัญญา ถ้าภายในระยะเวลา ดังกล่าวระบบคอมพิวเตอร์หรือซอฟต์แวร์ชํารุดบกพร่อง หรือใช้งานไม่ได้ทั้งหมดหรือแต่บางส่วน ผู้ให้เช่า
จะต้องจัดให้มีเจ้าหน้าที่ที่มีความเชี่ยวชาญและมีประสบการณ์เพื่อเริ่มดําเนินการแก้ไขความชํารุดบกพร่อง ภายใน 2 ชั่วโมง และจัดการซ่อมแซมแก้ไขให้สามารถใช้งานได้ภายใน 8 ชั่วโมง นับตั้งแต่เวลาที่ รฟม. ได้แจ้งความชํารุดบกพร่องให้ผู้ให้เช่าทราบทางโทรศัพท์ โทรศัพท์เคลื่อนที่ หรือ E-mail โดยเข้ามาทําการ แก้ไข /ซ่อมแซม ณ สถานที่ติดตั้ง หรือสถานที่ตามที่ รฟม. กําหนด (On-Site Service) แบบ 24 ชั่วโมง 7 วัน 11.3 กรณีที่ไม่สามารถซ่อมแซมรายการ 2.1 ให้แล้วเสร็จภายในระยะเวลาที่กําหนด ผู้ให้เช่าต้อง จัดหาอะไหล่หรือวัสดุอุปกรณ์หรือซอฟต์แวร์ที่มีคุณสมบัติไม่ต่ํากว่าของเดิมหรือดีกว่ามาให้ รฟม. ใช้งาน
ทดแทนเพื่อให้ระบบคอมพิวเตอร์ตามสัญญา สามารถทํางานได้จนกว่าจะซ่อมแซมระบบคอมพิวเตอร์ที่ชํารุด แล้วเสร็จสามารถใช้งานได้ดีดังเดิม และในกรณีที่ผู้ให้เช่าต้องนําอุปกรณ์ที่เสียหรือชํารุดไปซ่อมแซมแก้ไข
ภายนอก ผู้ให้เช่าต้องนําอุปกรณ์ดังกล่าวกลับมาคืนโดยเร็ว
11.4 กรณีการเปลี่ยนวัสดุอุปกรณ์ให้ใหม่ วัสดุอุปกรณ์นั้นจะต้องมีคุณสมบัติไม่ต่ํากว่าของเดิม เป็นของใหม่ที่ไม่เคยถูกใช้งานมาก่อน และไม่เป็นของเก่าเก็บ
11.5 ผู้ให้เช่าจะต้องรับประกันคุณภาพการใช้บริการ (Service Level Agreement : SLA) ของบริการระบบ E-mail และชุดซอฟต์แวร์ระบบสํานักงานแบบออนไลน์ตามข้อ 2.4 โดย รฟม. สามารถใช้ งานระบบได้ไม่ต่ํากว่าร้อยละ 99.9 ต่อเดือน
11.6 กรณีที่ซอฟต์แวร์หรือระบบที่ได้มาพร้อมกับสัญญานี้ ทํางานบกพร่อง และมีผลให้อุปกรณ์ ซอฟต์แวร์ หรือระบบของ รฟม. เสียหายไม่สามารถใช้งานได้บางส่วนหรือทั้งหมด ผู้ให้เช่าจะต้องรับผิดชอบ ค่าใช้จ่ายที่เกิดขึ้นทั้งหมดในการทําให้อุปกรณ์ ซอฟต์แวร์ หรือระบบที่เสียหายกลับมาใช้งานได้ดีดังเดิม - ข้อสงวนสิทธิ์
12.1 เมื่อสิ้นสุดสัญญาเช่า ตามข้อ 6 แล้วผู้ให้เช่าต้องส่งมอบเครื่องคอมพิวเตอร์แม่ข่ายตามข้อ 2.1 และอุปกรณ์ทั้งหมดในสัญญานี้ ให้แก่ รฟม. โดยไม่เสียค่าใช้จ่ายใดๆ เพิ่มเติมทั้งสิ้น
12.2 ผู้ให้เช่าและ/หรือเจ้าหน้าที่ของผู้ให้เช่า ที่เข้าถึงระบบเทคโนโลยีสารสนเทศของ รฟม. ต้อง รับทราบและปฏิบัติตามนโยบายการรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศของ รฟม.
/ตามภาคผนวก…
- นพ.ณ
} - 9 -
ตามภาคผนวก ข. และจะต้องรักษาความลับต่าง ๆ ที่ได้จากการปฏิบัติงาน โดยห้ามมิให้ผู้ให้เช่า และ/หรือ เจ้าหน้าที่ของผู้ให้เช่านําข้อมูลส่วนหนึ่งส่วนใดหรือทั้งหมดที่ได้จากการปฏิบัติงานใน รฟม. ไปทําซ้ํา
เผยแพร่ หรือวิเคราะห์ประมวลผลเพื่อการอื่นใด ไม่ว่าการกระทําดังกล่าวจะเป็นการหาผลประโยชน์หรือไม่ ก็ตาม หาก รฟม. ตรวจพบผู้ให้เช่าต้องชดใช้ค่าเสียหายเป็นจํานวนเงินไม่น้อยกว่ามูลค่าสัญญา ทั้งนี้ ผู้ให้เช่า และ/หรือเจ้าหน้าที่ของผู้ให้เช่าต้องลงนามในสัญญาการเก็บรักษาข้อมูลไว้เป็นความลับ (Non-Disclosure Agreement) ตามภาคผนวก ค. ก่อนเริ่มปฏิบัติงานตามรูปแบบที่ รฟม. กําหนด
12.3 ผู้ให้เช่าจะต้องส่งบุคลากรเข้าร่วมการฝึกอบรมด้านความมั่นคงปลอดภัยสารสนเทศ (Information Security Awareness) เพื่อสร้างความตระหนักที่เหมาะสม ทบทวนนโยบายการรักษาความ มั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศ และขั้นตอนปฏิบัติของ รฟม. ตามที่ รฟม. กําหนด
12.4 เมื่อสิ้นสุดสัญญาเช่า ตามข้อ 6. แล้ว แต่ รฟม. ยังดําเนินการจัดหาสิทธิการใช้งานระบบตามข้อ 2.4 ไม่เรียบร้อย ผู้ให้เช่าต้องย้ายข้อมูลทั้งหมดของ รฟม. จากผู้ให้บริการไปยังระบบหรืออุปกรณ์ที่ รฟม. กําหนด โดยการย้ายข้อมูลนี้ให้ถือเป็นค่าใช้จ่ายของผู้ให้เช่าเอง
12.5 ระบบปฏิบัติการและซอฟต์แวร์ที่ผู้ให้เช่าจัดหาเพื่อใช้ในโครงการนี้ทั้งหมด รฟม. ต้องได้รับ เอกสารสิทธิ (Software License) และ/หรือ สิทธิการใช้งานได้อย่างถูกต้องตามกฎหมาย โดยเอกสารสิทธิ ดังกล่าว รฟม. จะเป็นเจ้าของเอกสารสิทธิทั้งหมด
12.6 รฟม. มีสิทธิในการตรวจสอบการเข้าถึงข้อมูล และมีสิทธิในการยกเลิกการให้สิทธิต่างๆ แก่เจ้าหน้าที่ที่ผู้ให้เช่าส่งเข้ามาปฏิบัติงาน
12.7 ในกรณีบุคคลภายนอกกล่าวอ้างหรือใช้สิทธิเรียกร้องใดๆ ว่ามีการละเมิดลิขสิทธิ์หรือสิทธิบัตร เกี่ยวกับคอมพิวเตอร์ตามสัญญานี้ หรือมีการปลอมแปลงเอกสาร หรือมีการแจ้งเอกสารอันเป็นเท็จ โดย รฟม. มิได้แก้ไขดัดแปลงไปจากเดิม ผู้ให้เช่าจะต้องดําเนินการทั้งปวงเพื่อให้การกล่าวอ้างหรือการเรียกร้อง ดังกล่าวระงับสิ้นไปโดยเร็ว หากผู้ให้เช่ามิอาจกระทําได้และ รฟม. ต้องรับผิดชดใช้ค่าเสียหายต่อ บุคคลภายนอก เนื่องจากผลแห่งการละเมิดลิขสิทธิ์หรือสิทธิบัตรดังกล่าว ผู้ให้เช่าต้องเป็นผู้ชําระค่าเสียหาย และค่าใช้จ่ายทั้งฤชาธรรมเนียมและค่าทนายความแทน รฟม. ทั้งนี้ รฟม. จะแจ้งให้ผู้ให้เช่าทราบ
เป็นลายลักษณ์อักษรเมื่อได้มีการกล่าวอ้าง หรือใช้สิทธิเรียกร้องดังกล่าวโดยไม่ชักช้า ทั้งสิ้น หากไม่
ดําเนินการ รฟม. มีสิทธิบอกเลิกสัญญาได้ตามเห็นสมควร
12.8 การใช้ประโยชน์จากระบบและ/หรืออุปกรณ์ตามสัญญานี้ ผู้ให้เช่ายินยอมให้อยู่ภายใต้ การจัดการและการควบคุมดูแลของ รฟม. โดยสิ้นเชิง นอกจาก รฟม. จะใช้ในการปฏิบัติงานของ รฟม. เองแล้ว รฟม. อาจให้ผู้อื่นมาใช้ระบบและ/หรืออุปกรณ์นี้ได้โดยอยู่ภายใต้การควบคุมดูแลของ รฟม.
12.9 ในกรณีที่มีการส่งมอบเครื่องคอมพิวเตอร์แม่ข่าย อุปกรณ์ต่างๆ และซอฟต์แวร์ต่างไปจากที่ กําหนดไว้หรือที่เสนอมา จะต้องมีเอกสารยืนยันจากผู้ผลิต หรือสาขาของผู้ผลิตในต่างประเทศ หรือสาขา ของผู้ผลิตหรือตัวแทนจําหน่ายในประเทศไทย ว่าเป็นรุ่นใหม่และจะต้องมีคุณสมบัติไม่ต่ํากว่าที่กําหนดไว้ หรือที่เสนอมา ทั้งนี้ รฟม. สงวนสิทธิ์ที่จะรับมอบหรือไม่ก็ได้
12.10 ราคาเช่าที่เสนอให้รวมถึง ค่าเช่าใช้ทั้ง ฮาร์ดแวร์ ซอฟต์แวร์ ค่าใช้จ่ายในการบํารุงรักษาและ ซ่อมแซมแก้ไข ค่าขนย้าย ค่าดําเนินการติดตั้ง ค่าดําเนินการจัดฝึกอบรม และอื่นใดที่เกี่ยวข้อง เพื่อให้ สามารถใช้งานเข้ากับระบบคอมพิวเตอร์และระบบเครือข่ายสื่อสารข้อมูลของ รฟม. ที่มีและใช้งานอยู่ได้ อย่างมีประสิทธิภาพ กรณีมีรายการใด ประมาณการผิดพลาด หรือตกหล่น ในส่วนของอุปกรณ์ใดๆ ส่งผลให้ อุปกรณ์นั้น หรือระบบโดยภาพรวม ไม่สามารถทํางานได้ตามความต้องการของ รฟม. ให้ถือเป็นความ รับผิดชอบของผู้ให้เช่าจัดหาเพิ่มเติม เพื่อให้ระบบสามารถทํางานได้ตามที่ทาง รฟม. ได้กําหนดไว้ โดยไม่คิด ค่าใช้จ่ายอื่นใดเพิ่มเติม
كميل
/12.11 การเปลี่ยน….
——
46200 Am - 10 -
12.11 การเปลี่ยนแปลงเจ้าหน้าที่ตามข้อ 4.14 และ 4.15 ผู้รับจ้างจะต้องมีหนังสือแจ้งให้ รฟม. รับทราบก่อน โดยจะต้องแนบใบรับรองคุณวุฒิของเจ้าหน้าที่มาให้ รฟม. พิจารณาด้วย
- หลักฐานการยื่นข้อเสนอ
ผู้ยื่นข้อเสนอจะต้องยื่นเอกสารหลักฐานพร้อมกับรับรองสําเนาถูกต้องมาพร้อมกับการเสนอราคาดังนี้
13.1 สําเนาหนังสือรับรองการจดทะเบียนนิติบุคคล
13.2 สําเนาหนังสือบริคณห์สนธิ
13.3 บัญชีรายชื่อกรรมการผู้จัดการ 13.4 บัญชีผู้ถือหุ้นรายใหญ่ (ถ้ามี)
13.5 ผู้มีอํานาจควบคุม (ถ้ามี)
13.6 หนังสือรับรองการเป็นตัวแทนจําหน่ายตามข้อ 3.13
13.7 แค็ตตาล็อกและ/หรือแบบรูปรายการละเอียดคุณลักษณะเฉพาะ ตามข้อ 4.1.2
13.8 ตารางสรุปรายชื่อ ประวัติ และประสบการณ์ ของบุคลากรในโครงการที่เสนอ และตารางประวัติ
คุณสมบัติ และประสบการณ์ ของบุคลากร รวมทั้งสําเนาวุฒิการศึกษาของบุคลากรในโครงการ ทุกคนทุกตําแหน่ง ตามข้อ 4.1.4 - 4.1.5
hop
/ภาคผนวก…
AGAN OF TH
- 11 -
ภาคผนวก ก.
ข้อกําหนดคุณลักษณะของพัสดุ
- เครื่องคอมพิวเตอร์แม่ข่าย (Rack Server) สําหรับระบบคอมพิวเตอร์แม่ข่ายเสมือนจํานวนอย่างน้อย 3 เครื่อง แต่ละเครื่องมีคุณสมบัติอย่างน้อยหรือดีกว่าดังนี้
1.1 รองรับการติดตั้งระบบปฏิบัติการ VMware vSphere ESX 9.0 ได้เป็นอย่างน้อย
1.2
1.3
เป็นเครื่องคอมพิวเตอร์แม่ข่ายแบบ Rack Server ขนาด 2U
มีหน่วยประมวลผลกลาง (Intel Xeon 6 Processor) จํานวน 2 หน่วย แต่ละหน่วยมีแกน
ประมวลผล (Core) ไม่น้อยกว่า 16 แกน มีความเร็วสัญญาณนาฬิกาไม่น้อยกว่า 2.2 GHz
1500 GB
1.4
มีหน่วยความจําหลัก (Main Memory) แบบ DDR5-6400 หรือดีกว่าปริมาณไม่น้อยกว่า
1.5 มีหน่วยควบคุม Hard Disk Controller ที่รองรับการทํางาน RAID 0, 1, 5,
1.6 มี Hot Plug Hard Disk แบบ Serial Attached SCSI (SAS 12G) ความจุไม่น้อยกว่า 300 GB ความเร็วรอบอย่างน้อย 10,000 rpm จํานวนอย่างน้อย 3 หน่วย
1.7 มี Network Interface Adapter แบบ 10GB SFP+ จํานวน 2 หน่วย แต่ละหน่วยมีจํานวน อย่างน้อย 2 Ports แต่ละ Port มีความเร็วไม่น้อยกว่า 10 Gbps พร้อม Module จํานวน 4 Modules สําหรับเชื่อมต่อกับอุปกรณ์กระจายสัญญาณหลัก (Core Switch) ของ รฟม. ได้ และสายสัญญาณต่างๆ
ครบตามที่ต้องใช้งาน
1.8 มี Fiber Channel Interface Adapter จํานวน 2 หน่วย แต่ละหน่วยมีจํานวนอย่างน้อย 2 Ports แต่ละ Port มีความเร็วไม่น้อยกว่า 16 Gbps สําหรับเชื่อมต่อกับ SAN Switch ของ รฟม. พร้อมทั้งอุปกรณ์ และสายสัญญาณต่างๆ ครบตามที่ต้องใช้งาน
1.9 มี Management Port แบบ Gigabit Ethernet หรือดีกว่า จํานวนอย่างน้อย 1 port 1.10 มีโปรแกรมในการควบคุมระบบ (Management Software) ซึ่งมีเครื่องหมายการค้า เดียวกับเครื่องคอมพิวเตอร์ ที่มีความสามารถอย่างน้อยดังนี้
- เป็นระบบแบบ HTML5 Web UI
- สามารถใช้งาน TLS1.2 ได้เป็นอย่างน้อย
- สามารถใช้การยืนยันตัวตนกับระบบ Microsoft Active Directory ได้ 4) สามารถใช้การยืนยันตัวตนแบบ Multi-Factor Authentication ได้ 5) สามารถใช้งาน CD/DVD, USB Flash Drive แบบ Virtual Media ได้
- สามารถควบคุมหน้าจอ เมา คีย์บอร์ดจากระยะไกล แบบ Virtual Console
- สามารถแจ้งเตือนเหตุการณ์ผิดปกติของอุปกรณ์ หน่วยประมวลกลาง (CPU) หน่วยความจํา (Memory) หน่วยจัดเก็บข้อมูล (Hard disk) และแหล่งจ่ายไฟ (Power Supply) ผ่าน E-mail
- สามารถตรวจสอบการใช้พลังงานย้อนหลังได้อย่างน้อย 24 ชั่วโมง
- ส่งบันทึกเหตุการณ์ที่เกิดขึ้นไปยังอุปกรณ์บันทึกเหตุการณ์ ภายนอก (Log Server) ได้ 1.11 มี Power Supply แบบ Hot Swap จํานวน 2 ชุด ทํางานแบบ Redundant ซึ่งสามารถ ถอดเปลี่ยน Power Supply ตัวใดตัวหนึ่งได้โดยไม่ต้องปิดเครื่อง
كميل
/1.12…
- 12 -
1.12 มีการรับประกันความชํารุดบกพร่องของเครื่องคอมพิวเตอร์ทุกชิ้นส่วน จากบริษัทผู้ผลิต ตลอดอายุสัญญาเช่าแบบ 24 ชั่วโมง 7 วัน ทั้งนี้ในส่วนของการแก้ไข ซ่อมแซม และบํารุงรักษาผู้ให้เช่าต้อง รับผิดชอบ ทั้งค่าแรง อะไหล่ โดยเข้าดําเนินการ ณ ที่ติดตั้งเครื่อง (On-Site Service)
1.13 อุปกรณ์ทุกรายการที่เสนอต้องสามารถใช้งานกับระบบไฟฟ้า 220V AC 50Hz ตามมาตรฐาน ของประเทศไทยได้โดยไม่ต้องใช้อุปกรณ์แปลงระบบไฟฟ้า และปลั๊กไฟฟ้าของอุปกรณ์ทุกรายการจะต้องเป็น ชนิด 3 ขา (มีขาสาหรับสายดิน)
1.14 อุปกรณ์ทุกรายการที่เสนอต้องสามารถติดตั้งบนตู้ Rack ที่มีความกว้างขนาด 19 นิ้วได้ พร้อมอุปกรณ์ต่างๆ สําหรับการติดตั้ง
- ซอฟต์แวร์ระบบ VMware
2.1 มีสิทธิการใช้งานซอฟต์แวร์ระบบ VMware รุ่น vSphere Foundation หรือดีกว่า
2.2 มีสิทธิการใช้งานครบถ้วนตามจํานวนของแกนประมวลผลของเครื่องคอมพิวเตอร์แม่ข่าย ตามข้อ 1 หรือตามที่เสนอ
2.3 มีสิทธิการปรับปรุงรุ่นของซอฟต์แวร์ตลอดอายุของสัญญา
2.4 มีสิทธิการแจ้งปัญหาการใช้งานกับเจ้าของผลิตภัณฑ์โดยตรงแบบ 24 ชั่วโมง 7 วันตลอดอายุ ของสัญญา - ซอฟต์แวร์ระบบปฏิบัติการ Windows Server Datacenter
3.1 เป็นระบบปฏิบัติการ Microsoft Windows Server Datacenter 2025 หรือรุ่นล่าสุดที่มีขาย ตามท้องตลาด
3.2 มีสิทธิการใช้งานครบถ้วนตามจํานวนของแกนประมวลผลของเครื่องคอมพิวเตอร์แม่ข่ายตามข้อ 1 หรือตามที่เสนอ
3.3 มีสิทธิการปรับปรุงรุ่นของซอฟต์แวร์ตลอดอายุของสัญญา (SA)
3.4 สิทธิการใช้งานเป็นของ รฟม. เมื่อสิ้นสุดสัญญาแล้ว
4 บริการระบบ E-mail และชุดซอฟต์แวร์ระบบสํานักงานแบบออนไลน์
4.1 ชุดบริการระบบสํานักงานแบบออนไลน์ (Office 365 แบบ E3)
4.1.1 มีพื้นที่เก็บข้อมูลไฟล์เอกสารอิเล็กทรอนิกส์อย่างน้อย 5 TB ต่อผู้ใช้งานโดยไม่นับรวม พื้นที่การใช้งานระบบจดหมายอิเล็กทรอนิกส์ และสามารถขอที่เก็บข้อมูลเพิ่มเติมได้
4.1.2 มีระบบสํารองข้อมูลโดยต้องสามารถเรียกคืน (Restore) ไฟล์เอกสารที่ถูกลบได้ ภายใน 15 วันนับจากวันที่ทําการลบ
4.1.3 ผู้ให้บริการมีนโยบายการรักษาความปลอดภัยของข้อมูล ตามประกาศของ คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ เรื่อง แนวทางการใช้บริการคลาวด์ พ.ศ. 2562
4.1.4 ผู้ให้บริการมีนโยบายการบริหารจัดการข้อมูลส่วนบุคคลตามมาตรฐาน PDPA ของ ประเทศไทยหรือเทียบเท่าเช่น GDPR (General Data Protection Regulation )
4.1.5 มีระบบการจัดเก็บ Log การใช้งานได้อย่างน้อย 90 วัน
4.1.6 ระบบจะต้องมีความพร้อมใช้งาน (Uptime) ไม่ต่ํากว่าร้อยละ 99.9 4.1.7 ระบบจะต้องมีความพร้อมใช้งาน (Uptime) ไม่ต่ํากว่าร้อยละ 99.9
/4.2….
ohm gere น
- 13 -
4.2 ชุดบริการระบบสํานักงานแบบออนไลน์ (Office 365 แบบ E1)
4.2.1 มีระบบ E-mail สําหรับองค์กรที่มีพื้นที่จัดเก็บ E-mail อย่างน้อย 50 GB ต่อผู้ใช้งาน 4.2.2 มีพื้นที่เก็บข้อมูลไฟล์เอกสารอิเล็กทรอนิกส์อย่างน้อย 1 TB ต่อผู้ใช้งานโดยไม่นับรวม พื้นที่การใช้งานระบบจดหมายอิเล็กทรอนิกส์
4.2.3 มีซอฟต์แวร์แบบ Web Application อย่างน้อยดังนี้
- Word Excel PowerPoint
- Microsoft Team
- Microsoft Outlook
- Microsoft OneDrive
- Microsoft Planner
- Microsoft Booking 7) Microsoft Form
- Microsoft SharePoint
- Microsoft OneNote
- Microsoft Calendar
- Microsoft List
- Microsoft To Do
4.2.4 มีระบบสํารองข้อมูลโดยต้องสามารถเรียกคืน (Restore) ข้อมูลจดหมาย หรือไฟล์ เอกสารที่ถูกลบได้ภายใน 15 วันนับจากวันที่ทําการลบ
4.2.5 กล่องจดหมายทั้งหมดจะต้องได้รับการปกป้องด้วยระบบป้องกันมัลแวร์และสแปม 4.2.6 ผู้ให้บริการมีนโยบายการรักษาความปลอดภัยของข้อมูล ตามประกาศของ คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ เรื่อง แนวทางการใช้บริการคลาวด์ พ.ศ. 2562
4.2.7 ผู้ให้บริการมีนโยบายการบริหารจัดการข้อมูลส่วนบุคคลตามมาตรฐาน PDPA ของประเทศไทยหรือเทียบเท่าเช่น GDPR (General Data Protection Regulation )
4.2.8 มีระบบการจัดเก็บ Log การใช้งานได้อย่างน้อย 90 วัน
4.2.9 ระบบจะต้องมีความพร้อมใช้งาน (Uptime) ไม่ต่ํากว่าร้อยละ 99.9 4.3 บริการระบบ E-mail แบบออนไลน์
4.3.1 มีระบบ E-mail สําหรับองค์กรที่มีพื้นที่จัดเก็บ E-mail อย่างน้อย 50 GB ต่อผู้ใช้งาน 4.3.2 มีซอฟต์แวร์แบบ Web Application ที่สามารถใช้งานระบบบริหารจัดการ E-mail ตารางนัดหมาย กิจกรรม การประชุม รายชื่อผู้ติดต่อได้ หรือทําผ่านโปรแกรมที่เชื่อมต่อ เช่น Microsoft Outlook 4.3.3 มีระบบสํารองข้อมูลโดยต้องสามารถเรียกคืน (Restore) ข้อมูลจดหมาย หรือไฟล์ เอกสารที่ถูกลบได้ภายใน 15 วันนับจากวันที่ทําการลบ
4.3.4
กล่องจดหมายทั้งหมดจะต้องได้รับการปกป้องด้วยระบบป้องกันมัลแวร์และสแปม
4.3.5 ผู้ให้บริการมีนโยบายการรักษาความปลอดภัยของข้อมูล ตามประกาศของ คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ เรื่อง แนวทางการใช้บริการคลาวด์ พ.ศ. 2562
4.3.6 ผู้ให้บริการมีนโยบายการบริหารจัดการข้อมูลส่วนบุคคลตามมาตรฐาน PDPA ของประเทศไทยหรือเทียบเท่าเช่น GDPR (General Data Protection Regulation )
4.3.7 มีระบบการจัดเก็บ Log การใช้งานได้อย่างน้อย 90 วัน
4.3.8 ระบบจะต้องมีความพร้อมใช้งาน (Uptime) ไม่ต่ํากว่าร้อยละ 99.9
كثيل
/ภาคผนวก ข….
An
นพคุณ
- 14 -
ภาคผนวก ข.
เรื่อง นโยบายการรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศ (ฉบับปรับปรุงครั้งที่ 14)
การรถไฟฟ้าขนส่งมวลชนแห่งประเทศไทย
MASS RAPID TRANSIT AUTHORITY OF THAILAND
รัฐวิสาหกิจภายใต้กํากับของรัฐมนตรีว่าการกระทรวงคมนาคม
A STATE ENTERPRISE UNDER SUPERVISION OF MINISTER OF TRANSPOR
ประกาศการรถไฟฟ้าขนส่งมวลชนแห่งประเทศไทย
เรื่อง นโยบายการรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศ (ฉบับปรับปรุงครั้งที่ 14)
ด้วยพระราชกฤษฎีกากําหนดหลักเกณฑ์และวิธีการในการทําธุรกรรมทางอิเล็กทรอนิกส์ภาครัฐ พ.ศ. 2549 มาตรา 5 กําหนดให้หน่วยงานของรัฐต้องจัดทําแนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัย ด้านสารสนเทศ เพื่อให้การดําเนินการใด ๆ ด้วยวิธีการทางอิเล็กทรอนิกส์กับหน่วยงานของรัฐหรือโดยหน่วยงานของรัฐ มีความมั่นคงปลอดภัยและเชื่อถือได้ จึงส่งผลให้ระบบเทคโนโลยีสารสนเทศของการรถไฟฟ้าขนส่งมวลชนแห่งประเทศไทย
(รฟม.) ต้องมีการรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศอย่างครบถ้วนเพื่อธํารงไว้ซึ่งความลับ (Confidentiality) ความถูกต้องครบถ้วน (Integrity) และสภาพพร้อมใช้งาน (Availability) ของสารสนเทศ รวมทั้ง คุณสมบัติอื่น ได้แก่ ความถูกต้องแท้จริง (Authenticity) ความรับผิด (Accountability) การห้ามปฏิเสธความรับผิดชอบ (Non-repudiation) และความน่าเชื่อถือ (Reliability)
ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ เรื่องแนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคง ปลอดภัยด้านสารสนเทศของหน่วยงานของรัฐ (ฉบับที่ 2) พ.ศ. 2556 ข้อ 14 กําหนดให้หน่วยงานของรัฐต้องกําหนด ความรับผิดชอบที่ชัดเจน กรณีระบบคอมพิวเตอร์หรือข้อมูลสารสนเทศเกิดความเสียหายหรืออันตรายใด ๆ แก่องค์กรหรือ ผู้หนึ่งผู้ใด อันเนื่องมาจากความบกพร่อง ละเลย หรือฝ่าฝืนการปฏิบัติตามนโยบายและแนวปฏิบัติในการรักษาความมั่นคง ปลอดภัยด้านสารสนเทศ ทั้งนี้ ให้ผู้บริหารระดับสูงสุดของหน่วยงาน (Chief Executive Officer: CEO) เป็นผู้รับผิดชอบ ต่อความเสี่ยง ความเสียหาย หรืออันตรายที่เกิดขึ้น
อาศัยอํานาจตามความในมาตรา 25 แห่งพระราชบัญญัติการรถไฟฟ้าขนส่งมวลชนแห่งประเทศไทย พ.ศ. 2543 ผู้ว่าการการรถไฟฟ้าขนส่งมวลชนแห่งประเทศไทย จึงออกประกาศการรถไฟฟ้าขนส่งมวลชนแห่งประเทศไทย เรื่อง นโยบายการรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศ ดังต่อไปนี้
- วัตถุประสงค์และขอบเขต
เพื่อให้การใช้งานระบบเทคโนโลยีสารสนเทศของ รฟม. เป็นไปอย่างเหมาะสม มีประสิทธิภาพ มีความมั่นคงปลอดภัย
และสามารถดําเนินงานได้อย่างต่อเนื่อง รวมทั้งป้องกันปัญหาและลดผลกระทบจากการใช้งานระบบเทคโนโลยีสารสนเทศ ในลักษณะที่ไม่ถูกต้องหรือจากการถูกคุกคามจากภัยต่าง ๆ จึงได้กําหนดนโยบายเพื่อควบคุมการรักษาความมั่นคงปลอดภัย ของระบบเทคโนโลยีสารสนเทศ ดังนี้
ๆ
1.1 การเข้าถึงหรือควบคุมการใช้งานสารสนเทศครอบคลุม 4 ด้าน คือ
1.1.1 การเข้าถึงระบบสารสนเทศ (Access control) ต้องตรวจสอบการอนุมัติสิทธิ์การเข้าถึงระบบและ กําหนดรหัสผ่าน การลงทะเบียนผู้ใช้งานเพื่อให้ผู้ใช้ที่มีสิทธิ์ (User authentication) เท่านั้นที่สามารถ เข้าถึงระบบได้ รวมถึงมีการเก็บบันทึกข้อมูลการเข้าถึงระบบ (Access log) และข้อมูลจราจรทางคอมพิวเตอร์ ทั้งนี้ การให้สิทธิ์การใช้งานระบบสารสนเทศนั้นต้องให้สิทธิ์อย่างเหมาะสมและเพียงพอ (Need to know
and Need to use)
/1.1.2 การเข้าถึง
175 ถนนพระราม 9 แขวงห้วยขวาง เขตห้วยขวาง กรุงเทพมหานคร 10310 โทรศัพท์ 0 2716 4000 โทรสาร 0 2716 4019 175 Rama IX Road, Hual Khwang, Bangkok 10310, Thailand, Tel.66 2716 4000 Fax.66 2716 4019 http://www.mrta.co.th
- 2 -
1.1.2 การเข้าถึงระบบเครือข่าย (Network access control) ต้องกําหนดเส้นทางการเชื่อมต่อระบบคอมพิวเตอร์ การรับ - ส่ง หรือการไหลเวียนข้อมูลหรือสารสนเทศจะต้องผ่านระบบการรักษาความปลอดภัยที่องค์กร จัดสรรไว้ เช่น Firewall IDS/IPS Proxy หรือการตรวจสอบไวรัสคอมพิวเตอร์ เป็นต้น เพื่อควบคุมและ ป้องกันภัยคุกคามอย่างเป็นระบบ
1.1.3 การเข้าถึงระบบปฏิบัติการ (Operating system access control) เพื่อป้องกันการเข้าถึงระบบปฏิบัติการ โดยไม่ได้รับอนุญาต โดยกําหนดให้มีการยืนยันตัวตนเพื่อระบุถึงตัวตนของผู้ใช้งาน รวมทั้งกําหนดให้มี
การจํากัดระยะเวลาในการเชื่อมต่อเพื่อให้มีความมั่นคงปลอดภัยมากยิ่งขึ้น
1.1.4 การเข้าถึงโปรแกรมประยุกต์หรือแอปพลิเคชันและสารสนเทศ (Application and Information access
Control) ต้องกําหนดสิทธิ์การเข้าถึงระบบเทคโนโลยีสารสนเทศ โดยให้สิทธิ์เฉพาะระบบงานสารสนเทศ ที่ต้องปฏิบัติตามหน้าที่เท่านั้น รวมทั้งมีการทบทวนสิทธิ์การเข้าใช้งานระบบสารสนเทศอย่างสม่ําเสมอ 1.2 มีระบบสารสนเทศและระบบสํารองที่อยู่ในสภาพพร้อมใช้งาน รวมทั้งมีแผนเตรียมพร้อมในกรณีฉุกเฉินหรือ กรณีที่ไม่สามารถดําเนินการตามวิธีการทางอิเล็กทรอนิกส์ได้ เพื่อให้สามารถใช้งานสารสนเทศได้ตามปกติ
อย่างต่อเนื่อง
1.3 ตรวจสอบและประเมินความเสี่ยงของระบบสารสนเทศอย่างสม่ําเสมอ
- แนวปฏิบัติในการรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศ รฟม.
แนวปฏิบัติในการรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศ รฟม. ใช้แนวทางและกระบวนการ อ้างอิงตาม 1) ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ เรื่องแนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคง ปลอดภัยด้านสารสนเทศของหน่วยงานรัฐ พ.ศ. 2553 2) ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ เรื่อง มาตรฐาน การรักษาความมั่นคงปลอดภัยของระบบสารสนเทศตามวิธีการแบบปลอดภัย พ.ศ. 2555 และ 3) มาตรฐาน ISO/IEC
27001:2022 โดยแบ่งแนวปฏิบัติออกเป็น 17 ส่วน ตามเอกสารแนบท้ายประกาศ ดังต่อไปนี้
2.1 นโยบายการบริหารจัดการความมั่นคงปลอดภัยสําหรับผู้บริหาร (ส่วนที่ 1)
2.2 ความมั่นคงปลอดภัยที่เกี่ยวกับบุคลากร (ส่วนที่ 2)
2.3 การรักษาความมั่นคงปลอดภัยทางกายภาพและสิ่งแวดล้อม (ส่วนที่ 3)
2.4 การจัดการทรัพย์สิน (ส่วนที่ 4)
2.5 การจัดหา การพัฒนา และการบํารุงรักษาระบบสารสนเทศ (ส่วนที่ 5)
2.6 การควบคุมการเข้าถึงระบบเทคโนโลยีสารสนเทศ (ส่วนที่ 6)
2.7 การควบคุมการเข้าถึงระบบเครือข่ายไร้สาย (ส่วนที่ 7)
2.8 การควบคุมหน่วยงานภายนอกและผู้ใช้งาน (บุคคลภายนอก) เข้าถึงระบบเทคโนโลยีสารสนเทศ (ส่วนที่ 8) 2.9 การใช้งานเครื่องคอมพิวเตอร์และอุปกรณ์เคลื่อนที่ของ รฟม. (ส่วนที่ 9)
2.10 การใช้งานอินเทอร์เน็ตและสื่อสังคมออนไลน์ (ส่วนที่ 10)
2.11 การใช้งานจดหมายอิเล็กทรอนิกส์ (ส่วนที่ 11)
2.12 การสํารองข้อมูลและการเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ (ส่วนที่ 12) 2.13 การตรวจสอบและประเมินความเสี่ยง (ส่วนที่ 13)
2.14 การถ่ายโอน และการแลกเปลี่ยนข้อมูลสารสนเทศ (ส่วนที่ 14)
2.15 การควบคุมการเข้ารหัส (ส่วนที่ 15)
2.16 การนําอุปกรณ์ส่วนตัวมาใช้งาน (Bring your own device) (ส่วนที่ 16) 2.17 การใช้บริการ Cloud (Cloud Services) (ส่วนที่ 17)
/แนวปฏิบัติ….
ina
- 3 -
แนวปฏิบัติในการรักษาความมั่นคงปลอดภัยระบบเทคโนโลยีสารสนเทศตามข้อ 2. จัดเป็นมาตรฐานด้านความมั่นคง ปลอดภัยในการใช้งานระบบเทคโนโลยีสารสนเทศของ รฟม. ซึ่งบุคลากรของ รฟม. หน่วยงานภายนอก รวมถึงผู้ใช้บริการ ระบบสารสนเทศของ รฟม. ที่เกี่ยวข้องจะต้องปฏิบัติตามอย่างเคร่งครัด
- กรณีระบบคอมพิวเตอร์หรือข้อมูลสารสนเทศเกิดความเสียหาย หรืออันตรายใด ๆ แก่องค์กรหรือผู้หนึ่งผู้ใด อันเนื่องมาจากความบกพร่อง ละเลย หรือฝ่าฝืนการปฏิบัติตามแนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคง ปลอดภัยด้านสารสนเทศ ผู้ว่าการการรถไฟฟ้าขนส่งมวลชนแห่งประเทศไทย (Chief Executive Officer: CEO) เป็นผู้รับผิดชอบ ต่อความเสี่ยง ความเสียหาย หรืออันตรายที่เกิดขึ้น และดําเนินการตรวจสอบข้อเท็จจริงกรณีที่ระบบคอมพิวเตอร์หรือ ข้อมูลสารสนเทศเกิดความเสียหายหรืออันตรายใด ๆ แก่หน่วยงานหรือผู้หนึ่งผู้ใด รวมทั้งให้พิจารณาลงโทษตามเหตุอันควร
ๆ
นโยบายนี้ให้ใช้บังคับเมื่อพ้นกําหนด 7 วัน นับแต่วันที่ผู้มีอํานาจลงนาม
ประกาศ ณ วันที่ 15 กันยายน พ.ศ. 2568
Max gamed.
(นายกาจผจญ อุดมธรรมภักดี) ผู้ว่าการการรถไฟฟ้าขนส่งมวลชนแห่งประเทศไทย
เรอง
คํานิยาม…….
ส่วนที่ 1 นโยบายการบริหารจัดการความมั่นคงปลอดภัยสําหรับผู้บริหาร ส่วนที่ 2 ความมั่นคงปลอดภัยที่เกี่ยวกับบุคลากร
ส่วนที่ 3 การรักษาความมั่นคงปลอดภัยทางด้านกายภาพและสิ่งแวดล้อม
ส่วนที่ 4 การจัดการทรัพย์สิน
ส่วนที่ 5 การจัดหา การพัฒนา และการบํารุงรักษาระบบสารสนเทศ
ส่วนที่ 6 การควบคุมการเข้าถึงระบบเทคโนโลยีสารสนเทศ
ส่วนที่ 7 การควบคุมการเข้าถึงระบบเครือข่ายไร้สาย
7
สารบัญ
หน้า
1
3
4
..7
8
10
12
…..22
23
….. 25
28
32
…..33
35
38
39
….. 40
.49
ส่วนที่ 8 การควบคุมหน่วยงานภายนอกหรือผู้ใช้งานภายนอกเข้าถึงระบบเทคโนโลยีสารสนเทศ
ส่วนที่ 9 การใช้งานเครื่องคอมพิวเตอร์และอุปกรณ์เคลื่อนที่ ของ รฟม.
ส่วนที่ 10 การใช้งานอินเทอร์เน็ตและสื่อสังคมออนไลน์
ส่วนที่ 11 การใช้งานจดหมายอิเล็กทรอนิกส์
ส่วนที่ 12 การสํารองข้อมูลและการเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์
ส่วนที่ 13 การตรวจสอบและประเมินความเสี่ยง
ส่วนที่ 14 การถ่ายโอน และแลกเปลี่ยนข้อมูลสารสนเทศ
ส่วนที่ 15 การควบคุมการเข้ารหัส
ส่วนที่ 16 การนําอุปกรณ์ส่วนตัวมาใช้งาน (Bring your own device) ส่วนที่ 17 การใช้บริการ Cloud (Cloud Services).
1
เอกสารแนบท้ายประกาศ การรถไฟฟ้าขนส่งมวลชนแห่งประเทศไทย
เรื่อง นโยบายการรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศ แนวปฏิบัติในการรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศ ของ รฟม.
ค่านิยาม
คํานิยามที่ใช้ในนโยบายนี้ ประกอบด้วย - รฟม. หมายถึง การรถไฟฟ้าขนส่งมวลชนแห่งประเทศไทย
- ฝทท. หมายถึง ฝ่ายเทคโนโลยีสารสนเทศ
- ฝทบ. หมายถึง ฝ่ายทรัพยากรบุคคล
- ผู้บริหารระดับสูงสุด หมายถึง ผู้ว่าการการรถไฟฟ้าขนส่งมวลชนแห่งประเทศไทย
- ผู้บังคับบัญชา หมายถึง ผู้มีอํานาจสั่งการตามโครงสร้างการบริหารของ รฟม.
- ผู้ใช้งาน หมายถึง บุคคลที่ได้รับอนุญาตให้สามารถเข้าใช้งานระบบเทคโนโลยีสารสนเทศของ รฟม. เพื่อประโยชน์
ในการดําเนินงานของ รฟม. ดังนี้
ผู้ใช้งานภายใน หมายถึง บุคลากรของ รฟม.
ผู้ใช้งานภายนอก หมายถึง บุคคลภายนอกที่ รฟม. อนุญาตให้เข้ามาใช้งานระบบเทคโนโลยีสารสนเทศของ รฟม. เช่น ที่ปรึกษา ผู้ปฏิบัติงานตามสัญญา หรือนิสิตนักศึกษาฝึกงาน เป็นต้น
7. ผู้ใช้บริการ หมายถึง ผู้ที่สมัครใช้บริการระบบงานสารสนเทศของ รฟม. ผ่านเครือข่ายสาธารณะ (Internet) 8. หน่วยงานภายนอก หมายถึง องค์กรต่าง ๆ รวมถึงผู้รับจ้าง ซึ่ง รฟม. อนุญาตให้มีสิทธิ์ในการเข้าถึง หรือใช้ข้อมูล หรือสินทรัพย์ต่าง ๆ ของ รฟม. โดยจะได้รับสิทธิ์ในการใช้ระบบตามประเภทงานตามอํานาจและต้องรับผิดชอบ ในการรักษาความลับของข้อมูล
9. ผู้ดูแลระบบ หมายถึง พนักงานที่ได้รับมอบหมายจากผู้บังคับบัญชาให้มีหน้าที่รับผิดชอบในการดูแลรักษาระบบ
สารสนเทศ และพนักงานของผู้รับจ้างที่รับผิดชอบติดตั้งหรือบํารุงรักษาระบบสารสนเทศให้ รฟม
10. เจ้าของข้อมูล หมายถึง ผู้ได้รับมอบอํานาจจากผู้บังคับบัญชาให้รับผิดชอบข้อมูลของระบบงานโดยเจ้าของข้อมูล
เป็นผู้รับผิดชอบข้อมูลนั้น ๆ หรือได้รับผลกระทบโดยตรงหากข้อมูลเหล่านั้นเกิดสูญหาย
11. มาตรฐาน หมายถึง บรรทัดฐานที่บังคับใช้ในการปฏิบัติการจริงเพื่อให้ได้ตามวัตุประสงค์หรือเป้าหมาย
12. ขั้นตอนปฏิบัติ หมายถึง รายละเอียดที่บอกขั้นตอนเป็นข้อ ๆ ที่ต้องนํามาปฏิบัติเพื่อให้ได้มาซึ่งมาตรฐานตามที่ได้
กําหนดไว้ตามวัตถุประสงค์
13. แนวปฏิบัติ หมายถึง แนวทางที่ต้องปฏิบัติตามเพื่อให้สามารถบรรลุวัตถุประสงค์หรือเป้าหมายได้ง่ายขึ้น 14. ระบบเทคโนโลยีสารสนเทศ (Infomation technology system) หมายถึง ระบบงานของ รฟม. ที่นําเอาเทคโนโลยี สารสนเทศ ระบบคอมพิวเตอร์ และระบบเครือข่ายสื่อสารข้อมูลมาช่วยในการสร้างสารสนเทศที่ รฟม. สามารถ นํามาใช้ประโยชน์ในการวางแผน การบริหาร การสนับสนุน การให้บริการ การพัฒนาและควบคุมการติดต่อสื่อสาร ซึ่งมีองค์ประกอบ ได้แก่ ระบบคอมพิวเตอร์ ระบบเครือข่าย โปรแกรม ข้อมูลและสารสนเทศ เป็นต้น
15. ข้อมูลคอมพิวเตอร์ หมายถึง ข้อมูล ข้อความ คําสั่ง ชุดคําสั่ง หรือสิ่งอื่นใด ที่อยู่ในระบบคอมพิวเตอร์ในสภาพที่ระบบ คอมพิวเตอร์อาจประมวลผลได้ และให้หมายความรวมถึงข้อมูลอิเล็กทรอนิกส์ตามกฎหมายว่าด้วยธุรกรรม
อิเล็กทรอนิกส์
16. ข้อมูลจราจรทางคอมพิวเตอร์ (Traffic log) หมายถึง ข้อมูลเกี่ยวกับการติดต่อสื่อสารของระบบคอมพิวเตอร์ ซึ่งแสดงถึง แหล่งกําเนิด ต้นทาง ปลายทาง เวลา วันที่ ปริมาณ ระยะเวลา หรืออื่น ๆ ที่เกี่ยวข้องกับการติดต่อสื่อสารของ ระบบคอมพิวเตอร์นั้น
17. สารสนเทศ (Infomation) หมายถึง ข้อเท็จจริงที่ได้จากข้อมูลนํามาผ่านการประมวลผล การจัดระเบียบให้ข้อมูล ซึ่งข้อมูลอาจอยู่ในรูปของตัวเลข ข้อความ หรือภาพกราฟิกให้เป็นระบบที่ผู้ใช้สามารถเข้าใจได้ง่าย และสามารถ นําไปใช้ประโยชน์ในการบริหาร การวางแผน การตัดสินใจ และอื่น ๆ
ๆ
2
18. ระบบคอมพิวเตอร์ (Computer System) หมายถึง อุปกรณ์หรือชุดอุปกรณ์ของคอมพิวเตอร์ที่เชื่อมการทํางาน เข้าด้วยกันโดยได้มีการกําหนดคําสั่ง ชุดคําสั่งหรือสิ่งอื่นใด และแนวปฏิบัติงานให้อุปกรณ์หรือชุดอุปกรณ์ทําหน้าที่ ประมวลผลข้อมูลโดยอัตโนมัติ
19. ระบบเครือข่ายสื่อสารข้อมูล (Network system) หมายถึง ระบบที่สามารถใช้ในการติดต่อสื่อสารหรือการส่งข้อมูล และสารสนเทศระหว่างระบบเทคโนโลยีสารสนเทศต่าง ๆ ของ รฟม. เช่น ระบบแลน (LAN) ระบบอินทราเน็ต (Intranet) ระบบอินเทอร์เน็ต (Internet) เป็นต้น
20. สิทธิ์ของผู้ใช้งาน หมายถึง สิทธิ์ทั่วไป สิทธิ์จําเพาะ สิทธิพิเศษ และสิทธิ์อื่นใด ที่เกี่ยวข้องกับระบบสารสนเทศ
ของหน่วยงาน
21. ความมั่นคงปลอดภัยด้านสารสนเทศ หมายถึง การธํารงไว้ซึ่งความลับ (Confidentiality) ความถูกต้องครบถ้วน (Integrity) และสภาพพร้อมใช้งาน (Availability) ของสารสนเทศ รวมทั้งคุณสมบัติอื่น ได้แก่ ความถูกต้องแท้จริง (Authenticity) ความรับผิด (Accountability) การห้ามปฏิเสธความรับผิด (Non-repudiation) และความน่าเชื่อถือ (Reliability)
22. เหตุการณ์ด้านความมั่นคงปลอดภัย หมายถึง เหตุการณ์ที่แสดงให้เห็นความเป็นไปได้ที่จะเกิดการฝ่าฝืนนโยบาย
ด้านความมั่นคงปลอดภัย มาตรการป้องกันที่ล้มเหลว หรือเหตุการณ์อันไม่อาจรู้ได้ว่าอาจเกี่ยวข้องกับความมั่นคงปลอดภัย 23. สถานการณ์ด้านความมั่นคงปลอดภัยที่ไม่พึงประสงค์หรือไม่อาจคาดคิด หมายถึง สถานการณ์ด้านความมั่นคงปลอดภัย ที่ไม่พึงประสงค์หรือไม่อาจคาดคิด (Unwanted or unexpected) ซึ่งอาจทําให้ระบบขององค์กรถูกบุกรุก หรือโจมตีและความมั่นคงปลอดภัยถูกคุกคาม
24. การเข้าถึงหรือควบคุมการใช้งานสารสนเทศ หมายถึง การอนุญาต การกําหนดสิทธิ์ หรือการมอบอํานาจให้ผู้ใช้งาน เข้าถึงหรือใช้งานเครือข่ายหรือระบบสารสนเทศ ทั้งทางอิเล็กทรอนิกส์และทางกายภาพ ตลอดจนอาจกําหนดข้อปฏิบัติ เกี่ยวกับการเข้าถึงโดยมิชอบเอาไว้ด้วยก็ได้
25. สินทรัพย์ (Assets) หมายถึง สินทรัพย์ด้านระบบเทคโนโลยีสารสนเทศและการสื่อสารของ รฟม. เช่น อุปกรณ์
คอมพิวเตอร์ อุปกรณ์ระบบเครือข่าย ซอฟต์แวร์ที่มีค่าลิขสิทธิ์ ข้อมูล ระบบข้อมูล ฯลฯ
26. จดหมายอิเล็กทรอนิกส์ (Email) หมายถึง ระบบที่บุคคลใช้ในการรับ - ส่งข้อความระหว่างกัน โดยผ่านเครื่อง คอมพิวเตอร์และเครือข่ายที่เชื่อมโยงถึงกัน ข้อมูลที่ส่งจะเป็นได้ทั้งตัวอักษร ภาพถ่าย ภาพกราฟิก ภาพเคลื่อนไหว และเสียง ผู้ส่งสามารถส่งข่าวสารไปยังผู้รับคนเดียวหรือหลายคนก็ได้ โดยข่าวสารที่ส่งนั้นจะถูกเก็บไว้ในตู้จดหมาย (Mail box) ที่กําหนดไว้สําหรับผู้ใช้งาน ผู้รับสามารถเปิดอ่าน พิมพ์ลงกระดาษ หรือจะลบทิ้งก็ได้
27. ชุดคําสั่งไม่พึงประสงค์ (Malicious code) หมายถึง ชุดคําสั่งที่มีผลทําให้คอมพิวเตอร์ หรือระบบคอมพิวเตอร์ หรือชุดคําสั่งอื่นเกิดความเสียหาย ถูกทําลาย ถูกแก้ไขเปลี่ยนแปลงหรือเพิ่มเติม ขัดข้องหรือปฏิบัติงานไม่ตรง ตามคําสั่งที่กําหนดไว้
28. เครื่องคอมพิวเตอร์ หมายถึง เครื่องคอมพิวเตอร์แบบตั้งโต๊ะ และเครื่องคอมพิวเตอร์แบบพกพา
29. อุปกรณ์เคลื่อนที่ (Mobile device) หมายถึง อุปกรณ์อิเล็กทรอนิกส์แบบพกพา ซึ่งมีความสามารถในการเชื่อมต่อกับ อุปกรณ์อื่นเพื่อรับส่งข้อมูลผ่านระบบเครือข่ายโทรคมนาคมไร้สายหรือโดยอาศัยคลื่นแม่เหล็กไฟฟ้าเป็นสื่อกลาง
เช่น Tablet, Smart Phone
30. ทรัพย์สินของ รฟม. หมายถึง ครุภัณฑ์ รฟม. และทรัพย์สินที่ไม่มีการขึ้นทะเบียนครุภัณฑ์ที่ รฟม. จัดสรร
งบประมาณเพื่อเป็นค่าใช้จ่ายให้ทั้งหมดหรือบางส่วน
31. อุปกรณ์ส่วนตัว หมายถึง อุปกรณ์ที่ไม่ใช่ทรัพย์สินของ รฟม. ที่ผู้ใช้งานนํามาเชื่อมต่อกับระบบสารสนเทศของ รฟม. เช่น เครื่องคอมพิวเตอร์ส่วนบุคคล (Personal computer) เครื่องคอมพิวเตอร์พกพา (Notebook) อุปกรณ์เคลื่อนที่ (Mobile device) Removable media หรืออุปกรณ์คอมพิวเตอร์ของโครงการรถไฟฟ้า เป็นต้น
3
ส่วนที่ 1
นโยบายการบริหารจัดการความมั่นคงปลอดภัยสําหรับผู้บริหาร
เพื่อให้การบริหารจัดการความมั่นคงปลอดภัยสารสนเทศขององค์กรมีความสอดคล้องกับมาตรฐานสากลและ
กฎหมายด้านความมั่นคงปลอดภัยที่เกี่ยวข้อง
วัตถุประสงค์
ผู้รับผิดชอบ
ผู้บริหารสูงสุด
อ้างอิงมาตรฐาน: ISO/IEC 27001:2022
มาตรการควบคุมด้านองค์กร (Organizational Controls)
แนวปฏิบัติ
จัดให้มีการทําและทบทวนหรือปรับปรุงนโยบายความมั่นคงปลอดภัย และแนวปฏิบัติที่สนับสนุนการทํางานต่าง ๆ อย่างน้อยปีละ 1 ครั้ง โดยพิจารณาจากปัจจัยนําเข้า ดังนี้
1.1 กลยุทธ์การดําเนินงานขององค์กร
1.2 ข้อมูลกฎหมาย ระเบียบ ข้อบังคับต่าง ๆ ที่ต้องปฏิบัติตาม 1.3 การปรับปรุงนโยบายความมั่นคงปลอดภัยสําหรับปีถัดไป
1.4 ผลการประเมินความเสี่ยงและแผนลดความเสี่ยง
1.5 ผลการแจ้งเตือนโดยระบบป้องกันการบุกรุกในปีที่ผ่านมา
1.6 ผลของการตรวจสอบข้อมูลการปิดช่องโหว่ (Patch) สําหรับระบบต่าง ๆ ในปีที่ผ่านมา 1.7 การจัดทําและต่อสัญญาบํารุงรักษาระบบและอุปกรณ์ต่าง ๆ
1.8 แผนการอบรมทางด้านความมั่นคงปลอดภัยประจําปีซึ่งรวมถึงการสร้างความตระหนัก
1.9 ผลการทดสอบแผนกู้คืนในปีที่ผ่านมา
1.10 ข้อมูลภัยคุกคามต่าง ๆ ที่เคยเกิดขึ้นในอดีตและปัจจุบัน รวมทั้งภัยคุกคามที่ได้รับแจ้งจากหน่วยงานภายนอก 1.11 ผลการตรวจสอบการปฏิบัติตามนโยบายความมั่นคงปลอดภัยโดยผู้ตรวจสอบภายในหรือโดยผู้ตรวจสอบ
อิสระด้านความมั่นคงปลอดภัยจากภายนอก
2. จัดให้มีทรัพยากรด้านบุคลากร งบประมาณ การบริหารจัดการ และวัตถุดิบที่เพียงพอต่อการบริหารจัดการความ
มั่นคงปลอดภัยสารสนเทศในแต่ละปีงบประมาณ
3. จัดให้มีบุคลากรดําเนินงานด้านความมั่นคงปลอดภัยสารสนเทศและกําหนดหน้าที่ความรับผิดชอบรวมทั้ง
ปรับปรุงโครงสร้างดังกล่าวตามความจําเป็น
4. แสดงเจตนารมณ์หรือสื่อสารอย่างสม่ําเสมอเพื่อให้ผู้ใช้งานทั้งหมดได้เห็นถึงความสําคัญของการปฏิบัติตาม นโยบายความมั่นคงปลอดภัยและนโยบายสนับสนุนต่าง ๆ โดยเคร่งครัดและเป็นผู้รับผิดชอบต่อความเสี่ยง ความเสียหาย หรืออันตรายที่เกิดขึ้นกับสารสนเทศขององค์กร รวมถึงสร้างความร่วมมือระหว่างหน่วยงาน
ที่เกี่ยวข้องกับความมั่นคงปลอดภัยสารสนเทศ
ๆ
4
วัตถุประสงค์
ส่วนที่ 2 ความมั่นคงปลอดภัยที่เกี่ยวกับบุคลากร
เพื่อให้ผู้ใช้งานเข้าใจถึงบทบาท หน้าที่ความรับผิดชอบ ทั้งก่อนการจ้างงาน ระหว่างการจ้างงาน และสิ้นสุดหรือ เปลี่ยนแปลงการจ้างงาน ตลอดจนตระหนักถึงภัยคุกคามและปัญหาที่เกี่ยวข้องกับความมั่นคงปลอดภัยของ ระบบเทคโนโลยีสารสนเทศเพื่อลดความเสี่ยงอันเกิดจากการขโมย การฉ้อโกง การใช้งานระบบเทคโนโลยี สารสนเทศผิดวัตถุประสงค์และความผิดพลาดในการปฏิบัติหน้าที่ ซึ่งอาจส่งผลกระทบหรือทําให้ รฟม.
เกิดความเสียหาย
ผู้รับผิดชอบ
ผู้อํานวยการฝ่ายเทคโนโลยีสารสนเทศ ผู้อํานวยการฝ่ายทรัพยากรบุคคล ผู้อํานวยการฝ่าย/สํานัก/สํานักงาน ที่กํากับดูแลงานที่มีการว่าจ้างหน่วยงานภายนอก
อ้างอิงมาตรฐาน: ISO/IEC 27001:2022
มาตรการควบคุมด้านองค์กร (Organizational Controls) มาตรการควบคุมด้านบุคลากร (People Controls)
แนวปฏิบัติ
- การสร้างความมั่นคงปลอดภัยก่อนการจ้างงาน (Prior to Employment) เพื่อคัดสรรบุคลากรก่อนที่จะเข้ามา ปฏิบัติงาน และเพื่อลดความเสี่ยงจากการปฏิบัติงานผิดพลาด การขโมย การปลอมแปลง และการนําระบบ สารสนเทศหรือทรัพยากรสารสนเทศของ รฟม. ไปใช้ในทางที่ไม่เหมาะสม รวมทั้งเพื่อให้ผู้ใช้งานเข้าใจในหน้าที่
ความรับผิดชอบของตนเอง
1.1 การตรวจสอบคุณสมบัติของผู้สมัคร (Screening)
น
ฝทบ. หรือฝ่าย/สํานัก/สํานักงาน ที่กํากับดูแลงานที่มีการว่าจ้างหน่วยงานภายนอก/บุคคลภายนอกต้องตรวจสอบ คุณสมบัติของผู้สมัคร (ทั้งกรณีการจ้างเป็นพนักงาน ลูกจ้าง การว่าจ้างหน่วยงานภายนอก/บุคคลภายนอก เพื่อปฏิบัติงานให้ รฟม. รวมทั้งนิสิตนักศึกษาฝึกงาน) โดยผู้สมัครต้องไม่เคยกระทําผิดกฎหมาย ระเบียบ ข้อบังคับ หรือจริยธรรม รวมทั้งไม่มีประวัติในการบุกรุก แก้ไข ทําลาย หรือโจรกรรมข้อมูลในระบบเทคโนโลยี สารสนเทศมาก่อน และมีคุณสมบัติตามที่ รฟม. กําหนด
การกําหนดเงื่อนไขการจ้างงาน (Terms and Conditions of Employment) การว่าจ้างให้มีเงื่อนไข การจ้างงานให้ครอบคลุมในเรื่องดังต่อไปนี้
1.2.1 กําหนดหน้าที่ความรับผิดชอบด้านความมั่นคงปลอดภัยด้านสารสนเทศอย่างเป็นลายลักษณ์อักษร (Information Security Roles and Responsibilities) แก่ผู้ใช้งาน โดยกําหนดให้สอดคล้องกับ นโยบายความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศของ รฟม.
1.2.2 กําหนดให้มีการลงนามในสัญญาว่าจะไม่เปิดเผยความลับของ รฟม. (Non-Disclosure Agreement:
NDA)
1.2.3 ระบบเทคโนโลยีสารสนเทศที่สร้างหรือพัฒนาโดยผู้ใช้งานในระหว่างการว่าจ้างถือเป็นสินทรัพย์
ของ รฟม.
1.2.4 กําหนดความรับผิดชอบหรือบทลงโทษ หากผู้ใช้งานไม่ปฏิบัติตามนโยบายการรักษาความมั่นคงปลอดภัย ของระบบเทคโนโลยีสารสนเทศ รฟม. รวมทั้ง กฎหมาย ระเบียบ ข้อบังคับ หรือข้อกําหนดอื่น ๆ ที่เกี่ยวข้องกับการรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศ
5 - การสร้างความมั่นคงปลอดภัยในระหว่างการจ้างงาน (During Employment) เพื่อสร้างความตระหนักแก่ผู้ใช้งาน
เกี่ยวกับภัยที่เกี่ยวข้องกับการปฏิบัติงานสารสนเทศ รวมถึงให้ความรู้เพื่อให้สามารถป้องกันภัยดังกล่าวได้
หน้าที่ในการบริหารจัดการทางด้านความมั่นคงปลอดภัย (Management Responsibilities) ผู้บริหาร รฟม. ทุกระดับชั้นมีหน้าที่สนับสนุนและส่งเสริมเรื่องดังต่อไปนี้ แก่ผู้ใช้งาน 2.1.1 ประกาศนโยบายการรักษาความมั่นคงปลอดภัยด้านสารสนเทศของ รฟม. เป็นลายลักษณ์อักษรให้ทุกคน
รับทราบและปฏิบัติตาม
2.1.2 จูงใจให้ผู้ใช้งานปฏิบัติตามนโยบายการรักษาความมั่นคงปลอดภัยด้านสารสนเทศของ รฟม. 2.1.3 สร้างความตระหนักถึงความมั่นคงปลอดภัยด้านสารสนเทศที่เกี่ยวข้องกับหน้าที่ความรับผิดชอบ
ของตนเองและของ รฟม.
การสร้างความตระหนัก การให้ความรู้ และการอบรมด้านความมั่นคงปลอดภัยให้แก่ผู้ใช้งาน (Information Security Awareness, Education and Training)
อย่างสม่าเสมอ
การสร้างความตระหนักในการรักษาความมั่นคงปลอดภัย
2.2.1 ผู้ดูแลระบบต้องแจ้งเตือนภัยคุกคาม และช่องโหว่ที่ส่งผลกระทบต่อความมั่นคงปลอดภัยของระบบ เทคโนโลยีสารสนเทศแก่ผู้ใช้งานที่เกี่ยวข้อง นอกจากนี้ต้องแจ้งเตือนให้ผู้ใช้งานเพิ่มความระมัดระวัง ความเสี่ยงต่าง ๆ เช่น ไวรัสคอมพิวเตอร์ เทคนิคการหลอกล่อทางจิตวิทยา (Social Engineering)
ๆ และช่องโหว่ทางเทคนิค เป็นต้น
2.2.2 ฝทท. ต้องดําเนินการฝึกอบรม หรือประชาสัมพันธ์เพื่อสร้างความตระหนักด้านความมั่นคงปลอดภัย
ของระบบเทคโนโลยีสารสนเทศแก่ผู้ใช้งานเป็นประจําทุกปี
2.2.3 ฝทท. ต้องแจ้งผู้ใช้งานให้ทราบ เมื่อมีการเปลี่ยนแปลงนโยบายการรักษาความมั่นคงปลอดภัย
สารสนเทศของ รฟม. รวมทั้งอธิบายผลกระทบจากการเปลี่ยนแปลงดังกล่าว
2.3 การแจ้งเหตุการณ์ไม่ปกติ
ผู้ใช้งานต้องแจ้งเหตุการณ์ไม่ปกติด้านเทคโนโลยีสารสนเทศที่พบผ่านช่องทางที่ รฟม. กําหนดโดยเร็วที่สุด
2.4 การกําหนดบทลงโทษ
2.4.1 ความรับผิดตามกฎหมาย
นโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศนี้ไม่ได้ก่อให้เกิดสิทธิ์ ทางกฎหมายที่ทําให้ผู้ใช้งานพ้นผิดแม้จะได้ปฏิบัติตามนโยบายและแนวปฏิบัติในการรักษาความมั่นคง ปลอดภัยสารสนเทศ และผู้ใช้งานตกลงยินยอมที่จะไม่ดําเนินการใด ๆ ทางกฎหมายต่อ รฟม. ซึ่งได้ ปฏิบัติตามระเบียบนี้ แต่อย่างไรก็ตามหากผู้ใช้งานกระทําการละเมิดหรือกระทําผิดตามนโยบาย
และแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยสารสนเทศ อาจเป็นความผิดทางวินัยและเป็นเหตุ ให้ถูกลงโทษทางวินัยได้ รฟม. ไม่มีส่วนรับผิดชอบต่อการละเมิดทรัพย์สินทางปัญญาที่เกิดจาก การใช้ระบบคอมพิวเตอร์
2.4.2 การพิจารณาโทษผู้กระทําผิด
ผู้ใช้งานที่กระทําความผิด ฝทท. จะเพิกถอนสิทธิ์การใช้งานและอาจเป็นความผิดทางวินัย หรือ ความผิดตามกฎหมายที่เกี่ยวข้อง
- พนักงาน/ลูกจ้างที่ฝ่าฝืนหรือละเมิดนโยบายการรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยี สารสนเทศ รฟม. ต้องถูกลงโทษตามกระบวนการทางวินัยของ รฟม. รวมถึงกฎหมายที่เกี่ยวข้อง 2) หน่วยงานภายนอก/บุคคลภายนอกที่กระทําความผิด จะมีโทษตามที่ระบุไว้ในสัญญาหรือ
ถูกเพิกถอนสิทธิ์การใช้งาน รวมถึงดําเนินการตามกฎหมายที่เกี่ยวข้อง
6
- การสิ้นสุดหรือการเปลี่ยนแปลงการจ้างงาน (Termination and Change of Employment)
เพื่อกําหนดหน้าที่ความรับผิดชอบเมื่อสิ้นสุดหรือเปลี่ยนแปลงการจ้างงาน ซึ่งรวมไปถึงการคืนทรัพย์สินและ
การถอดถอนสิทธิ์ในการเข้าถึง
3.1 การแจ้งการสิ้นสุดหรือเปลี่ยนแปลงการจ้างงาน
3.1.1 ฝทบ. ต้องแจ้งให้ ฝทท. ทราบทันทีหากพนักงานมีการลาออก โยกย้าย เกษียณ หรือเสียชีวิต เพื่อ
ฝทท. จะได้ตรวจสอบและบริหารจัดการสิทธิ์ในการเข้าถึงระบบเทคโนโลยีสารสนเทศ
3.1.2 ฝ่าย/สํานัก/สํานักงาน ที่กํากับดูแลงานที่มีการว่าจ้างหน่วยงานภายนอก/บุคคลภายนอก ต้องแจ้งให้ ฝทท. ทราบทันทีในกรณีที่ผู้รับจ้างภายนอกสิ้นสุดสัญญาจ้างหรือมีการยกเลิกสัญญาจ้าง เพื่อให้ ฝทท. ตรวจสอบการใช้งานระบบสารสนเทศและถอดถอนสิทธิ์ในการเข้าถึงระบบสารสนเทศของ
รฟม.
3.2 การคืนสินทรัพย์ของ รฟม.
ผู้ดูแลระบบต้องตรวจสอบเพื่อเรียกคืนสินทรัพย์ของ รฟม. จากผู้ใช้งาน เมื่อการสิ้นสุดหรือการเปลี่ยนแปลง
การจ้างงาน
3.3 การถอดถอนสิทธิ์ในการเข้าถึง
3.3.1 ผู้ดูแลระบบต้องถอดถอนสิทธิ์ในการเข้าถึงของผู้ใช้งาน เมื่อสิ้นสุดหรือเปลี่ยนแปลงการจ้างงาน 3.3.2 การถอดถอนสิทธิ์ในการเข้าถึงหมายรวมถึง ทางกายภาพ (Physical) และทางตรรกะ (Logical)
เช่น กุญแจ บัตรแสดงตน บัตรประจําตัวผู้ใช้งาน และบัญชีผู้ใช้งาน เป็นต้น
3.3.3 ในกรณีที่ผู้ใช้งานที่สิ้นสุดหรือเปลี่ยนแปลงการจ้างงาน มีการใช้บัญชีผู้ใช้งานร่วมกัน (Shared User ID) กับผู้ใช้งานอื่น ผู้บังคับบัญชาต้องเปลี่ยนรหัสผ่านทันทีหลังจากสิ้นสุดหรือเปลี่ยนแปลงการจ้างงาน
7
ส่วนที่ 3
วัตถุประสงค์
การรักษาความมั่นคงปลอดภัยทางด้านกายภาพและสิ่งแวดล้อม
- เพื่อควบคุมและป้องกันการรักษาความมั่นคงปลอดภัยที่เกี่ยวข้องกับการเข้าถึงอาคารสถานที่ และพื้นที่จัดเก็บ
ข้อมูลคอมพิวเตอร์ (Data Storage Area)
ผู้รับผิดชอบ
ผู้ดูแลระบบ
ผู้อํานวยการฝ่ายจัดซื้อและบริการ
อ้างอิงมาตรฐาน: ISO/IEC 27001:2022
มาตรการควบคุมด้านกายภาพ (Physical Controls)
แนวปฏิบัติ
- ผู้ดูแลระบบ ต้องออกแบบ และติดตั้งอุปกรณ์หรือระบบสนับสนุน (Facilities) เพื่อป้องกันความมั่นคงปลอดภัย ด้านกายภาพ เช่น อุปกรณ์ดับเพลิง ระบบสํารองไฟฟ้า เครื่องกําเนิดไฟฟ้า ระบบปรับอากาศและควบคุมความชื้น ระบบเตือนภัยน้ํารั่ว และต้องมีการบํารุงรักษาอย่างสม่ําเสมอ 2. ผู้ดูแลระบบต้องติดตั้งอุปกรณ์สารสนเทศในตู้แร็ก (Rack) หรือสถานที่ที่มีความมั่นคงปลอดภัยและมีการปิดล็อค 3. ผู้ดูแลระบบ ต้องมีการป้องกันสายเคเบิลที่ใช้เพื่อการสื่อสารหรือสายไฟ มิให้มีการดักรับสัญญาณ (Interception) หรือมีความเสียหายเกิดขึ้น โดยจะต้องเดินสายเคเบิลผ่านท่อร้อยสายหรือทางเดินสายที่มั่นคงปลอดภัยจากการเข้าถึง
และไม่เดินสายผ่านพื้นที่ที่เข้าถึงได้อย่างสาธารณะ รวมทั้งสายเคเบิลสื่อสารและสายไฟฟ้าต้องแยกจากกันโดยมี
ระยะห่างที่เหมาะสม - การกําหนดบริเวณที่มีการรักษาความมั่นคงปลอดภัย
กําหนดพื้นที่ของระบบเทคโนโลยีสารสนเทศต่าง ๆ อย่างเหมาะสม เพื่อเป็นการเฝ้าระวัง ควบคุม การรักษาความมั่นคง ปลอดภัยจากผู้ที่ไม่ได้รับอนุญาต รวมทั้งป้องกันความเสียหายอื่น ๆ ที่อาจเกิดขึ้นได้ โดยแบ่งแยกบริเวณพื้นที่ใช้งาน
ระบบเทคโนโลยีสารสนเทศออกเป็น
น
4.1 พื้นที่ทํางาน (Working area) หมายถึง พื้นที่ติดตั้งเครื่องคอมพิวเตอร์ส่วนบุคคลและคอมพิวเตอร์พกพา
ที่ประจําโต๊ะทํางาน 4.2 พื้นที่จัดเก็บข้อมูลคอมพิวเตอร์ (Data storage area) หมายถึง พื้นที่ศูนย์ของข้อมูล (Data Center) 5. การควบคุมการเข้าออก อาคาร สถานที่
5.1 กําหนดสิทธิ์ของผู้ใช้งานและหน่วยงานภายนอกในการเข้าถึงสถานที่ โดยแบ่งแยกได้ ดังนี้
5.1.1 ผู้ดูแลระบบต้องกําหนดสิทธิ์แก่ผู้ใช้งานที่มีสิทธิ์เข้า - ออก และกําหนดช่วงระยะเวลาที่มีสิทธิ์
ในการเข้า - ออกแต่ละพื้นที่ใช้งานระบบเทคโนโลยีสารสนเทศอย่างชัดเจน
5.1.2 เจ้าหน้าที่รักษาความปลอดภัย (รปภ.) จะต้องให้หน่วยงานภายนอก/บุคคลภายนอกแลกบัตรที่สามารถ ระบุตัวตนของบุคคลนั้น ๆ ก่อนเข้าถึงอาคารของ รฟม. เช่น บัตรประจําตัวประชาชน ใบอนุญาตขับขี่ เป็นต้น แล้วบันทึกข้อมูลบัตรในสมุดบันทึกหรือระบบงานสารสนเทศ
5.1.3 หน่วยงานภายนอก/บุคคลภายนอกที่มาติดต่อต้องติดบัตรผู้ติดต่อ (Visitor) ตรงจุดที่สามารถเห็นได้ ชัดเจนตลอดเวลาที่อยู่ใน รฟม. และคืนบัตรผู้ติดต่อ (Visitor) ก่อนออกจากอาคารของ รฟม. 5.1.4 เจ้าหน้าที่รักษาความปลอดภัย (รปภ.) ต้องตรวจสอบผู้ติดต่อ อุปกรณ์ พร้อมลงเวลาออกที่สมุด
บันทึกหรือระบบสารสนเทศให้ถูกต้อง
ม
5.2 ผู้ดูแลระบบ ต้องควบคุมการเข้า – ออกพื้นที่จัดเก็บข้อมูลคอมพิวเตอร์ (Data Storage Area) ไม่ให้ผู้ไม่มีสิทธิ์ เข้าถึงได้ โดยกําหนดพื้นที่การส่งมอบสินค้าและพื้นที่การเตรียมหรือประกอบอุปกรณ์สารสนเทศ (Unpack Area) ก่อนนําเข้าพื้นที่จัดเก็บข้อมูลคอมพิวเตอร์ (Data storage area) และต้องควบคุม การ เข้า - ออก เพื่อหลีกเลี่ยงการเข้าถึงระบบสารสนเทศและข้อมูลสารสนเทศโดยไม่ได้รับอนุญาต โดยปฏิบัติตามขั้นตอนที่ รฟม. กําหนด
8
ส่วนที่ 4
การจัดการทรัพย์สิน
วัตถุประสงค์
เพื่อบริหารจัดการทรัพย์สินสารสนเทศ ตั้งแต่การจัดหา การใช้งาน จนถึงการยกเลิกใช้งาน โดยมีการระบุ ทรัพย์สินขององค์กรและกําหนดหน้าที่ความรับผิดชอบในการปกป้องทรัพย์สินสารสนเทศอย่างเหมาะสม
ผู้รับผิดชอบ
ผู้บังคับบัญชา
ผู้ดูแลระบบ
เจ้าของข้อมูล
ผู้ใช้งาน
อ้างอิงมาตรฐาน: ISO/IEC 27001:2022
- มาตรการควบคุมด้านองค์กร (Organizational Controls)
·
มาตรการควบคุมด้านกายภาพ (Physical Controls) มาตรการควบคุมด้านเทคโนโลยี (Technological Controls)
แนวปฏิบัติ
- หน้าที่ความรับผิดชอบต่อทรัพย์สินสารสนเทศ (Responsibility for Assets)
1.1 เจ้าของข้อมูลและผู้ดูแลระบบ ต้องร่วมกันจัดทําบัญชีทรัพย์สิน/ทะเบียนทรัพย์สิน (Asset Inventory)
และทบทวนทะเบียนทรัพย์สินอย่างน้อยปีละ 1 ครั้ง หรือเมื่อมีการเปลี่ยนแปลงที่มีนัยสําคัญ
1.2 เจ้าของข้อมูลและผู้ดูแลระบบ ต้องระบุเจ้าของทรัพย์สินสารสนเทศทุกรายการ เพื่อรับผิดชอบดูแล
ความมั่นคงปลอดภัยสารสนเทศตลอดวงจรอายุการใช้งาน
1.3 เจ้าของข้อมูลและผู้ดูแลระบบ ต้องเรียกคืนทรัพย์สินสารสนเทศเมื่อสิ้นสุดหรือเปลี่ยนแปลงการจ้างงาน 1.4 ผู้ใช้งานต้องใช้ทรัพย์สินสารสนเทศของ รฟม. อย่างระมัดระวัง และใช้เพื่อปฏิบัติงานของ รฟม. เท่านั้น
รวมทั้งต้องปฏิบัติตามกฎหมาย ระเบียบ ข้อบังคับ และนโยบาย ของ รฟม. - การจําแนกประเภทของทรัพย์สินสารสนเทศ (Asset Classification)
2.1 เจ้าของข้อมูลและผู้ดูแลระบบ ต้องจําแนกประเภททรัพย์สินตามขั้นตอนที่ รฟม. กําหนด และทบทวน
การจําแนกดังกล่าวอย่างสม่ําเสมอ
2.2 เจ้าของข้อมูลและผู้ดูแลระบบ ต้องจัดทําป้ายชื่อทรัพย์สินสารสนเทศ (Labeling) ให้ชัดเจน พร้อมทั้งจัดให้มี มาตรการดูแลการรักษาความมั่นคงปลอดภัยสารสนเทศที่สอดคล้องกับประเภททรัพย์สินตามระดับชั้นความลับ
ที่ รฟม. กําหนด - การจัดการสื่อบันทึกข้อมูล (Media Handling)
3.1 เจ้าของข้อมูล ผู้ดูแลระบบ และผู้ใช้งานต้องควบคุมการใช้งานและจัดเก็บสื่อบันทึกแบบถอดหรือต่อพ่วง
กับเครื่องคอมพิวเตอร์ได้ (Removable Media) ตามที่ รฟม. กําหนด
3.2 เจ้าของข้อมูลต้องมีการเข้ารหัสข้อมูลที่อ่อนไหว (Sensitive Data) ของ รฟม. ที่จัดเก็บอยู่ในสื่อบันทึก
แบบถอดได้
3.3 เจ้าของข้อมูล ผู้ดูแลระบบ และผู้ใช้งานต้องทําลายข้อมูลสําคัญในอุปกรณ์สื่อบันทึกข้อมูล แฟ้มข้อมูล ตามขั้นตอนที่ รฟม. กําหนด โดยไม่สามารถกู้คืนข้อมูลกลับมาได้อีกก่อนจะกําจัดอุปกรณ์ดังกล่าวหรือ
ก่อนที่จะอนุญาตให้ผู้อื่นนําอุปกรณ์นั้นไปใช้งานต่อเพื่อป้องกันไม่ให้มีการเข้าถึงข้อมูลที่สําคัญได้
โดยพิจารณาวิธีการทําลายข้อมูลบนสื่อบันทึกข้อมูลแต่ละประเภท ดังนี้
9
ประเภทสื่อบันทึกข้อมูล
กระดาษ
Flash Drive
แผ่น CD/DVD
เทป
ฮาร์ดดิสก์
วิธีทําลาย
ให้หันด้วยเครื่องทําลายเอกสาร
- ทําลายข้อมูลบน Flash Drive ตามมาตรฐาน
DOD5220.22M ของกระทรวงกลาโหมสหรัฐอเมริกา
ซึ่งเป็นการเขียนทับข้อมูลเดิมหลายรอบ - ใช้วิธีทุบหรือบดให้เสียหาย ให้หั่นด้วยเครื่องทําลายเอกสาร ใช้วิธีทุบหรือบดให้เสียหายหรือเผาทําลาย 1) ทําลายข้อมูลบนฮาร์ดดิสก์ตามมาตรฐาน
DOD5220.22M ของกระทรวงกลาโหมสหรัฐอเมริกา
ซึ่งเป็นการเขียนทับข้อมูลเดิมหลายรอบ - ใช้วิธีทุบหรือบดให้เสียหาย
3.4 เจ้าของข้อมูล ผู้ดูแลระบบ และผู้ใช้งาน ต้องมีการป้องกันสื่อบันทึกข้อมูลที่ใช้จัดเก็บข้อมูลสารสนเทศ ในกรณี ที่มีการเคลื่อนย้ายเพื่อป้องกันการเข้าถึงข้อมูลสารสนเทศโดยไม่ได้รับอนุญาต ถูกนําไปใช้งานผิดวัตถุประสงค์ รวมถึงป้องกันสื่อบันทึกข้อมูลไม่ให้ได้รับความเสียหาย โดยรักษาความปลอดภัยสารสนเทศตามขั้นตอนที่
รฟม. กําหนด
- การบริหารจัดการค่าคอนฟิกูเรชัน (Configuration Management)
4.1 ผู้บังคับบัญชาต้องกําหนดให้มีแนวทางการบริหารจัดการค่าคอนฟิกูเรชัน (Configuration Management) 4.2 ผู้ดูแลระบบต้องกําหนดค่า Minimum Baseline Standard เพื่อเป็นมาตรฐานในการการตั้งค่าของ ระบบปฏิบัติการ ระบบฐานข้อมูล ระบบงาน และอุปกรณ์เครือข่ายสื่อสารต่าง ๆ อย่างเป็นลายลักษณ์อักษร และต้องการทบทวนปรับปรุงให้เป็นปัจจุบันอย่างน้อยปีละ 1 ครั้ง
4.3 ผู้ดูแลระบบต้องควบคุมการเปลี่ยนแปลงการตั้งค่าของระบบปฏิบัติการ ระบบฐานข้อมูล ระบบงาน และ อุปกรณ์เครือข่ายสื่อสารต่าง ๆ ตามขั้นตอนปฏิบัติการควบคุมการเปลี่ยนแปลงหรือแก้ไขระบบที่ รฟม.
กําหนด
4.4 ผู้ดูแลระบบต้องควบคุมเวอร์ชันของค่าคอนฟิกูเรชัน (System Configuration Version Control)
4.5 ผู้ดูแลระบบต้องมีการสอบทานค่าคอนฟิกูเรชั่นของระบบปฏิบัติการ ระบบฐานข้อมูล ระบบงาน และ
อุปกรณ์เครือข่ายสื่อสารต่าง ๆ อย่างน้อยปีละ 1 ครั้ง
ๆ
10
ส่วนที่ 5
วัตถุประสงค์
การจัดหา การพัฒนา และการบํารุงรักษาระบบสารสนเทศ
- เพื่อควบคุมการจัดหา พัฒนา และบํารุงรักษาระบบสารสนเทศ ให้มีการกําหนดมาตรการการรักษาความมั่นคง
ปลอดภัย เพื่อป้องกันความผิดพลาด สูญหาย และการเปลี่ยนแปลงแก้ไขระบบ
ผู้รับผิดชอบ
ผู้บังคับบัญชา
ผู้ดูแลระบบ
อ้างอิงมาตรฐาน: ISO/IEC 27001:2022
มาตรการควบคุมด้านองค์กร (Organizational Controls) มาตรการควบคุมด้านเทคโนโลยี (Technological Controls)
แนวปฏิบัติ
- ผู้บังคับบัญชา ต้องควบคุมให้มีการกําหนดข้อตกลงและความรับผิดชอบที่เกี่ยวข้องกับความเสี่ยงด้านความมั่นคง
ปลอดภัยสารสนเทศลงในสัญญากับผู้ให้บริการภายนอก โดยให้ครอบคลุมรวมถึงผู้รับจ้างช่วงด้วย - ผู้บังคับบัญชาต้องควบคุมให้มีข้อตกลง (Sign Off) ก่อนเริ่มใช้งานระบบจริง (Production) หรือก่อนเริ่ม Go Live 3. ผู้ดูแลระบบ ต้องจัดทําข้อกําหนดโดยระบุถึงการควบคุมความมั่นคงปลอดภัยด้านสารสนเทศที่สอดคล้องกับ
สู่ เก่
นโยบายและแนวปฏิบัติด้านความมั่นคงปลอดภัยสารสนเทศขององค์กร เช่น วิธีการแบบปลอดภัยในการพัฒนา โปรแกรมตามมาตรฐาน OWASP (Open Web Application Security Project) Top 10 หรือมาตรฐาน CWE (Common Weakness Enumeration) Top 25 หรือมาตรฐานที่ยอมรับในสากล - ผู้ดูแลระบบต้องออกแบบโครงสร้างการจัดวางระบบงานและเสนอผู้บังคับบัญชาเห็นชอบก่อนเริ่ม Go Live 5. ผู้ดูแลระบบ ต้องมีการออกแบบระบบเพื่อตรวจสอบข้อมูลที่จะรับเข้าสู่แอปพลิเคชัน ข้อมูลที่เกิดจากการ ประมวลผล และข้อมูลที่อยู่ระหว่างการประมวลผล เพื่อตรวจหาและป้องกันความไม่ถูกต้องที่เกิดขึ้นกับข้อมูล เช่น หน่วยความจําล้น (Buffer Overflows) การใช้ตัวแปรผิดประเภท และต้องมีมาตรการป้องกันหรือควบคุม ความล้มเหลวระหว่างการประมวลผล (Rollback)
- ผู้ดูแลระบบต้องมีการควบคุมการเข้าถึงและควบคุมการเปลี่ยนแปลงหรือแก้ไขระบบตามขั้นตอนที่ รฟม. กําหนด
เพื่อควบคุมผลกระทบที่เกิดขึ้น - ผู้ดูแลระบบต้องจํากัดให้มีการเปลี่ยนแปลงใด ๆ ต่อซอฟต์แวร์ที่ใช้งาน (Software Package) โดยเปลี่ยนแปลง
เฉพาะที่จําเป็นเท่านั้น และควบคุมทุก ๆ การเปลี่ยนแปลงอย่างเข้มงวดตามขั้นตอนที่ รฟม. กําหนด
ๆ - ผู้ดูแลระบบต้องจํากัดการเข้าถึง Source Code ให้เข้าถึงได้เฉพาะผู้ที่มีสิทธิ์เท่านั้น
- ผู้ดูแลระบบต้องจัดทํา Source Code Review เพื่อหาข้อผิดพลาดหรือสิ่งผิดปกติและปรับปรุง Source Code
ให้มีคุณภาพ - ผู้ดูแลระบบต้องควบคุมการจัดส่ง Source Code ผ่านช่องทางที่มั่นคงปลอดภัยและเป็นช่องทางที่ รฟม.
กําหนดให้ใช้งานเท่านั้น - ผู้ดูแลระบบต้องปิดบังข้อมูลส่วนบุคคล (Data Masking) ที่จัดเก็บอยู่ในระบบงานสารสนเทศด้วยวิธีการที่
เหมาะสม - ผู้ดูแลระบบต้องแสดงข้อมูลของผู้ใช้งานอย่างรัดกุม เช่น การปิดบังข้อมูลสําคัญของผู้ใช้งาน (Sensitive Data
Masking) เป็นต้น
11 - กรณีของแอปพลิเคชันที่ใช้งานผ่านอุปกรณ์เคลื่อนที่ (Mobile device) ให้ผู้ดูแลระบบดําเนินการ ดังนี้
13.1 ปิดบังหน้าจอเมื่อย่อแอปพลิเคชัน (Application Blurring) เพื่อลดความเสี่ยงที่ข้อมูลสําคัญของผู้ใช้งาน
จะรั่วไหล
13.2 ขอสิทธิ์เข้าถึงทรัพยากรหรือบริการโดยแอปพลิเคชัน (Application Permission) บนอุปกรณ์เคลื่อนที่ และมีกระบวนการทบทวนการขอสิทธิ์เป็นประจําเพื่อป้องกันการละเมิดสิทธิ์
ของผู้ใช้งานเท่าที่จําเป็น ความเป็นส่วนตัวของผู้ใช้งาน - ผู้ดูแลระบบต้องควบคุมข้อมูลที่นํามาใช้ในการทดสอบระบบ (Test Data) อย่างเหมาะสม โดยไม่นําข้อมูลจริง มาทดสอบ กรณีจําเป็นต้องใช้ข้อมูลจริงต้องได้รับอนุญาตข้อมูลจากเจ้าของก่อนนํามาใช้งาน และทําลายข้อมูล อย่างเหมาะสมตามขั้นตอนที่ รฟม. กําหนด
- ผู้ดูแลระบบต้องแยกระบบสารสนเทศสําหรับการพัฒนา ทดสอบ และใช้งานจริงออกจากกันเพื่อลดความเสี่ยง ที่เกิดจากการเปลี่ยนแปลงระบบสารสนเทศโดยไม่ได้รับอนุญาต และต้องมีการกําหนดสิทธิ์การเข้าถึงระบบ สารสนเทศที่พัฒนา ทดสอบ หรือใช้งานจริง ทั้งระบบสารสนเทศใหม่ และการปรับปรุงแก้ไขระบบสารสนเทศเดิม 16. ผู้ดูแลระบบต้องมีการกําหนดขั้นตอนการทดสอบระบบสารสนเทศก่อนนําไปใช้งานจริง ทั้งในกรณีปรับปรุงระบบ
สารสนเทศเดิมและการพัฒนาระบบสารสนเทศใหม่ - ผู้ดูแลระบบต้องติดตั้งซอฟต์แวร์บนระบบสารสนเทศที่ให้บริการ (Production) ตามขั้นตอนที่ รฟม. กําหนด
และจํากัดสิทธิ์การติดตั้งซอฟต์แวร์เพื่อให้ระบบสารสนเทศต่าง ๆ มีความถูกต้องครบถ้วนและน่าเชื่อถือ - ผู้ดูแลระบบต้องนําซอฟต์แวร์ที่ไม่ละเมิดลิขสิทธิ์มาติดตั้งบนระบบสารสนเทศที่ให้บริการ (Production) 19. ผู้ดูแลระบบต้องกํากับดูแลให้ผู้รับจ้างปฏิบัติตามสัญญาหรือข้อตกลงการให้บริการที่ระบุไว้ โดยครอบคลุมถึง
ด้านความมั่นคงปลอดภัยสารสนเทศ และการปฏิบัติตามขั้นตอนที่เกี่ยวข้องต่าง ๆ ที่ รฟม. กําหนดไว้ - ผู้ดูแลระบบ ต้องติดตาม ตรวจสอบรายงาน หรือบันทึกการให้บริการของบุคคล/หน่วยงานภายนอกที่ให้บริการแก่
หน่วยงานตามสัญญาว่าจ้างอย่างสม่ําเสมอ - ผู้ดูแลระบบ ต้องดูแลให้ทรัพย์สินสารสนเทศได้รับการบํารุงรักษาและซ่อมแซมตามความต้องการ รวมทั้งต้อง
มีการบันทึกประวัติการทํางานผิดปกติ การบํารุงรักษา และการซ่อมแซมอุปกรณ์นั้น ๆ อย่างสม่ําเสมอ
ໆ - ผู้ดูแลระบบจะต้องปิดช่องโหว่ของระบบสารสนเทศที่มีระดับความรุนแรงในระดับวิกฤติ (Critical) และระดับสูง (High) ทั้งหมดก่อนนําไปใช้งานจริง (Production) หรือก่อนเริ่ม Go Live โดยเฉพาะระบบที่ให้บริการผ่านเครือข่าย อินเทอร์เน็ต (Internet Facing) และระบบที่มีความสําคัญต่อการดําเนินงานของ รฟม.
- ผู้ดูแลระบบต้องพิจารณาเลือกใช้ Version ของ Software ดังนี้
23.1 กรณีน่า Software เดิมมาใช้ในการจัดหาหรือพัฒนาระบบ จะต้องนําผลการตรวจสอบช่องโหว่และผลการทดสอบ
เจาะระบบมาประกอบการพิจารณาคัดเลือกเวอร์ชันของ Software ด้วย เพื่อป้องกันไม่ให้เกิดช่องโหว่เดิม รวมถึงเพื่อลดภาระงานในการปิดช่องโหว่เดิมซ้ํา
23.2 กรณีเป็น Software ที่ไม่เคยนํามาใช้งานให้เลือกใช้ Software เวอร์ชันล่าสุด
12
วัตถุประสงค์
ส่วนที่ 6 การควบคุมการเข้าถึงระบบเทคโนโลยีสารสนเทศ
- เพื่อควบคุมการเข้าถึงระบบเทคโนโลยีสารสนเทศตั้งแต่การกําหนดสิทธิ์ กําหนดประเภทของข้อมูล จัดลําดับ ความสําคัญหรือลําดับชั้นความลับของข้อมูล ระดับชั้นการเข้าถึง เวลาที่เข้าถึงได้ และช่องทางการเข้าถึง ทั้งนี้ เพื่อควบคุมและป้องกันการเข้าถึง การล่วงรู้ และการแก้ไขระบบสารสนเทศของ รฟม. โดยไม่ได้รับอนุญาต
ผู้รับผิดชอบ - ผู้ดูแลระบบ
เจ้าของข้อมูล - ผู้ใช้งาน
อ้างอิงมาตรฐาน: ISO/IEC 27001:2022
มาตรการควบคุมด้านองค์กร (Organizational Controls) มาตรการควบคุมด้านเทคโนโลยี (Technological Controls)
แนวปฏิบัติ
- การควบคุมการเข้าถึงระบบสารสนเทศ (Access Control)
1.1 เจ้าของข้อมูลและผู้ดูแลระบบ ต้องร่วมกันกําหนดสิทธิ์ในการเข้าถึงระบบสารสนเทศ (Authorization Matrix) ที่เหมาะสมและสอดคล้องกับหน้าที่ความรับผิดชอบของผู้ใช้งาน และทบทวนเมื่อมีการเปลี่ยนแปลง 1.2 เจ้าของข้อมูลและผู้ดูแลระบบ ต้องร่วมกันกําหนดระดับการอนุมัติ (Authorization Level) การเข้าถึงระบบ
เทคโนโลยีสารสนเทศ
1.3 เจ้าของข้อมูลและผู้ดูแลระบบ ต้องจัดให้มีการแบ่งแยกหน้าที่ความรับผิดชอบ (Segregation of duties) ในการเข้าถึงระบบเทคโนโลยีสารสนเทศอย่างเหมาะสม เช่น มีการแบ่งแยกหน้าที่ระหว่างการแจ้งความประสงค์
การเข้าถึงและการอนุมัติการเข้าถึง เป็นต้น
1.4 กรณีของแอปพลิเคชันที่ใช้งานผ่านอุปกรณ์เคลื่อนที่ (Mobile device) ผู้ดูแลระบบต้องปฏิบัติ ดังนี้
1.4.1 ไม่อนุญาตให้อุปกรณ์เคลื่อนที่ที่ใช้ระบบปฏิบัติการล้าสมัย (Obsolete Operating System) เข้าใช้งาน แอปพลิเคชัน หรือหากอนุญาตให้ใช้บริการได้ควรมีมาตรการรองรับเพื่อลดความเสี่ยงที่ รฟม. จะได้รับ รวมถึงลดผลกระทบต่อผู้ใช้งานตามความเหมาะสม เช่น การเพิ่มมาตรการยืนยันตัวตน เป็นต้น 1.4.2 ไม่อนุญาตให้อุปกรณ์ที่มีการปรับแต่งการเข้าถึงระบบปฏิบัติการ (Rooted/Jailbroker) เข้าใช้งาน
แอปพลิเคชัน เพื่อลดความเสี่ยงที่ผู้ไม่ประสงค์ดีสามารถเข้าถึงข้อมูลสําคัญของผู้ใช้งานและละเมิด หรือหลีกเลี่ยงมาตรการการรักษาความมั่นคงปลอดภัยที่ รฟม. กําหนดไว้
1.4.3 ไม่อนุญาตให้ผู้ใช้งานใช้แอปพลิเคชันเวอร์ชันต่ํากว่าที่ รฟม. กําหนด เพื่อให้แอปพลิเคชันมีการ
รักษาความมั่นคงปลอดภัยเป็นไปตามมาตรฐานของ รฟม.
1.5 ขั้นตอนปฏิบัติเพื่อการจัดเก็บข้อมูล
เจ้าของข้อมูล ผู้ดูแลระบบ และผู้ใช้งาน ต้องปฏิบัติ ดังนี้
1.5.1 แบ่งประเภทข้อมูล ดังนี้
- ข้อมูลและสารสนเทศสําหรับสนับสนุนการตัดสินใจของผู้บริหาร ได้แก่ ข้อมูลสารสนเทศที่มี
ความสําคัญหรือมีความจําเป็นเร่งด่วนที่ต้องติดตามอย่างใกล้ชิดเพื่อประกอบการตัดสินใจ เชิงนโยบาย กําหนดนโยบาย และการวางแผนของผู้บริหารระดับสูง
13 - ข้อมูลและสารสนเทศสนับสนุนเชิงยุทธศาสตร์ (Strategy Data) ได้แก่ ข้อมูลและสารสนเทศ เชิงวิชาการเพื่อสนับสนุนการดําเนินงานตามพันธกิจและยุทธศาสตร์ของ รฟม. ให้บรรลุเป้าหมาย รวมทั้งข้อมูลที่เผยแพร่แก่ผู้รับบริการภายนอก
- ข้อมูลและสารสนเทศที่สนับสนุนการปฏิบัติงานประจํา (Operation Data) ได้แก่ ข้อมูลที่
สนับสนุนการทํางานทั่วไปของ รฟม.
1.5.2 จัดแบ่งระดับความสําคัญของข้อมูล ออกเป็น 3 ระดับ คือ - ข้อมูลที่มีระดับความสําคัญมาก หมายถึง ข้อมูลที่ใช้สําหรับสนับสนุนการตัดสินใจของผู้บริหาร 2) ข้อมูลที่มีระดับความสําคัญปานกลาง หมายถึง ข้อมูลที่ใช้ปฏิบัติงานเฉพาะกลุ่มงาน แผนก กอง
หรือฝ่าย/สํานัก/สํานักงาน ภายในองค์กร - ข้อมูลที่มีระดับความสําคัญน้อย หมายถึง ข้อมูลที่พนักงาน/ลูกจ้างภายใน รฟม. สามารถ
เข้าถึงร่วมกันได้หรือสามารถเผยแพร่ได้
1.5.3 จัดแบ่งลําดับชั้นความลับของข้อมูลตามที่ รฟม. กําหนด
1.5.4 จัดแบ่งระดับชั้นการเข้าถึง - ระดับชั้นสําหรับผู้บริหาร เข้าถึงได้ตามอํานาจหน้าที่และภารกิจที่ได้รับมอบหมาย 2) ระดับชั้นสําหรับผู้ปฏิบัติงานทั่วไป เข้าถึงข้อมูลที่ได้รับมอบหมายตามอํานาจหน้าที่
- ระดับขั้นสําหรับผู้ดูแลระบบหรือผู้ที่ได้มอบหมาย มีสิทธิ์ในการบริหารจัดการระบบและเข้าถึง
ข้อมูลที่ได้รับมอบหมายตามอํานาจหน้าที่
1.6 เจ้าของข้อมูลและผู้ดูแลระบบต้องกําหนดเวลาการเข้าถึงระบบสารสนเทศ
1.7 ผู้ดูแลระบบต้องจํากัดช่องทางการเข้าถึงระบบเทคโนโลยีสารสนเทศตามช่องทาง ดังนี้ - เครือข่ายภายในของ รฟม.
- เครือข่ายภายนอก รฟม.
- เครือข่ายอื่นที่จัดไว้ให้ เช่น ระบบเครือข่ายสื่อสารข้อมูล GIN
1.8 ผู้ดูแลระบบต้องกํากับดูแล Default Permission ของไฟล์ (File) และ โฟลเดอร์ (Folder) ที่สร้างขึ้นให้มี
การจํากัดสิทธิ์ในการเข้าถึง
1.9 เจ้าของข้อมูลและผู้ดูแลระบบ ต้องพิจารณาข้อกําหนดต่าง ๆ ที่มีผลทางกฎหมายซึ่งเกี่ยวข้องกับการรักษา ความมั่นคงปลอดภัยสารสนเทศของ รฟม. เช่น พระราชบัญญัติ ข้อกําหนดทางกฎหมาย ข้อกําหนดในสัญญา และข้อกําหนดทางด้านความมั่นคงปลอดภัยอื่น ๆ เป็นต้น เพื่อกําหนดสิทธิ์การเข้าถึงสารสนเทศและระบบ เทคโนโลยีสารสนเทศของ รฟม.
ๆ
1.10 เจ้าของข้อมูลและผู้ดูแลระบบ ต้องมีการสอบทานสิทธิ์ในการเข้าถึงระบบเทคโนโลยีสารสนเทศอย่างสม่ําเสมอ
พร้อมทั้งเพิกถอนสิทธิ์เมื่อพบเห็นสิทธิ์ที่ไม่ถูกต้องตามสิทธิ์ในการเข้าถึง (Authorization Matrix)
- การบริหารจัดการการเข้าถึงของผู้ใช้งาน (User Access Management)
ให้มีการควบคุมการลงทะเบียนผู้ใช้งาน การบริหารจัดการรหัสผ่าน การบริหารจัดการสิทธิ์การใช้งานระบบเทคโนโลยี
สารสนเทศ และการทบทวนสิทธิ์การเข้าถึงของผู้ใช้งาน
2.1 การลงทะเบียนผู้ใช้งาน (User Registration)
2.1.1 ผู้ดูแลระบบต้องบริหารจัดการและควบคุมบัญชีชื่อผู้ใช้งาน (Username) มิให้มีการใช้งานบัญชี ชื่อผู้ใช้งานซ้ํากัน ทั้งนี้ ในส่วนของพนักงาน/ลูกจ้าง รฟม. ให้กําหนดชื่อผู้ใช้งาน (Username) ตามมาตรฐานจดหมายอิเล็กทรอนิกส์ (Email) ที่ใช้ในองค์กร
2.1.2 เจ้าของข้อมูลต้องเป็นผู้อนุมัติการสร้างบัญชีผู้ใช้งานชั่วคราว (Temporary User) และต้องจํากัด
ช่วงเวลาการใช้งานเท่าที่จําเป็น
14
2.2 การบริหารจัดการรหัสผ่าน (User Password Management)
2.2.1 ผู้ดูแลระบบต้องกําหนดรหัสผ่านแบบชั่วคราวโดยใช้วิธีการสุ่ม และบังคับให้มีการเปลี่ยนรหัสผ่าน
เมื่อผู้ใช้งานเข้าใช้งานระบบในครั้งแรก
2.2.2 ผู้ดูแลระบบต้องกําหนดความยาวของรหัสผ่าน ดังนี้
- ผู้ดูแลระบบมีความยาวอย่างน้อย 16 หลัก
- ผู้ใช้งานมีความยาวอย่างน้อย 12 หลัก
2.2.3 ผู้ดูแลระบบต้องกําหนดให้มีการยืนยันตัวตนแบบหลายปัจจัย (Multi-Factor Authentication)
ตามความเหมาะสม
2.2.4 ผู้ดูแลระบบต้องกําหนดให้รหัสผ่านมีความซับซ้อน โดยประกอบด้วย ตัวอักษร ตัวเลข และอักขระ
พิเศษ เช่น (a-Z) (0-9) (a, #, &, “
= <, >, %, $, +, ?) เป็นต้น 2.2.5 ผู้ดูแลระบบต้องกําหนดให้มีการเปลี่ยนแปลงรหัสผ่าน ดังนี้
- ผู้ดูแลระบบต้องเปลี่ยนรหัสผ่านทุก ๆ 3 เดือน และไม่ซ้ํากับรหัสผ่านเดิม 3 ครั้งก่อนหน้า 2) ผู้ใช้งานต้องเปลี่ยนรหัสผ่านทุก ๆ 6 เดือน และไม่ซ้ํากับรหัสผ่านเดิม 3 ครั้งก่อนหน้า 3) ผู้ใช้งานเชิงระบบ (System account) ให้พิจารณาเปลี่ยนรหัสผ่านตามความเหมาะสม 2.2.6 ผู้ดูแลระบบต้องกําหนดให้มีการเข้ารหัสข้อมูลรหัสผ่านในระบบ
2.2.7 ผู้ดูแลระบบต้องจัดให้มีการควบคุมรหัสผ่านอย่างเข้มงวด
2.2.8 ผู้ดูแลระบบต้องจัดส่งบัญชีชื่อผู้ใช้งาน (Username) และรหัสผ่าน (Password) ด้วยวิธีการที่ปลอดภัย 2.2.9 ผู้ดูแลระบบต้องควบคุมดูแลระบบปฏิบัติการ ระบบฐานข้อมูล และระบบงานสารสนเทศ (Application) ที่จัดเก็บบัญชีผู้ใช้งานและรหัสผ่านอย่างเข้มงวด โดยให้เข้าถึงได้เฉพาะผู้ดูแลระบบที่ได้รับอนุญาต
เท่านั้น
2.2.10 ผู้ดูแลระบบต้องกําหนดวิธีการหรือกระบวนการยืนยันตัวตนที่ปลอดภัย เช่น กรณีที่ลืมรหัสผ่าน 2.2.11 ผู้ดูแลระบบต้องกําหนดให้ผู้ใช้บริการ ใช้รหัสผ่านอย่างมั่นคงปลอดภัย ดังนี้
กรณีแอปพลิเคชันทั่วไป
14 - กําาหนดความยาวรหัสผ่านอย่างน้อย 12 หลัก ซึ่งประกอบด้วย ตัวอักษร ตัวเลข และ
อักขระพิเศษ เช่น (a-Z) (0-9) (@, #, &, *, *, *, *, *, *, *% $, +, ?) เป็นต้น
, %, 2) รหัสผ่านต้องไม่เป็นคําที่คาดเดาได้ง่าย เช่น คําที่อยู่ในพจนานุกรม ชื่อ-นามสกุล
วันเดือนปีเกิด ที่อยู่ หรือเบอร์โทรศัพท์ เป็นต้น
- ไม่บังคับให้เปลี่ยนรหัสผ่าน ทั้งนี้ขึ้นอยู่กับความสมัครใจในการเปลี่ยนรหัสผ่าน และระบบ
ต้องรองรับการเปลี่ยนรหัสผ่านในกรณีต่าง ๆ ด้วยวิธีการที่ปลอดภัย
າ กรณีแอปพลิเคชันที่ใช้งานผ่านอุปกรณ์เคลื่อนที่ (Mobile device) - กําาหนดรหัสผ่านโดยใช้ PIN code หรือรหัสผ่านที่ซับซ้อน (PIN/Password Complexity)
โดยกรณี PIN Code ต้องใช้รหัสผ่าน 6 หลักขึ้นไป - ไม่บังคับให้เปลี่ยนรหัสผ่าน ทั้งนี้ขึ้นอยู่กับความสมัครใจในการเปลี่ยนรหัสผ่าน และ
ระบบต้องรองรับการเปลี่ยนรหัสผ่านในกรณีต่าง ๆ ด้วยวิธีการที่ปลอดภัย
2.2.12 ผู้ดูแลระบบและผู้ใช้งานต้องใช้รหัสผ่านอย่างปลอดภัย ดังนี้ - ต้องกําหนดรหัสผ่านที่ไม่สามารถคาดเดาได้ง่าย เช่น คําที่อยู่ในพจนานุกรม “qwerty” “abcde” “12345” ชื่อ-นามสกุล วันเดือนปีเกิด ที่อยู่ หรือเบอร์โทรศัพท์ เป็นต้น
- ต้องไม่ใช้งานรหัสผ่านโดยการเข้าใช้งานโดยอัตโนมัติ ได้แก่ การกําหนดค่า “Remember
Password” เป็นต้น
15
2.3 - ต้องเก็บรหัสผ่านไว้เป็นความลับเฉพาะบุคคล ไม่เปิดเผยให้ผู้อื่นรับทราบ และไม่พิมพ์
รหัสผ่านในลักษณะเปิดเผย เช่น พิมพ์รหัสผ่านต่อหน้าผู้ใช้งานคนอื่น เป็นต้น - ต้องไม่ใช้บัญชีชื่อผู้ใช้งานและรหัสผ่านร่วมกันกับผู้อื่น แม้ว่าบัญชีชื่อผู้ใช้งานจะได้รับการ
อนุญาตจากเจ้าของชื่อผู้ใช้งานบุคคลนั้นก็ตาม - ต้องเปลี่ยนแปลงรหัสผ่านเมื่อมีการแจ้งเตือนจากระบบ หรือสงสัยว่ารหัสผ่านล่วงรู้
โดยบุคคลอื่น
การบริหารจัดการสิทธิ์ (Privilege Management)
2.3.1 ผู้บังคับบัญชาต้องกําหนดให้มีขั้นตอนปฏิบัติสําหรับการลงทะเบียน การเพิ่มสิทธิ์ การเพิกถอนสิทธิ์
การเปลี่ยนแปลงสิทธิ์ และการทบทวนสิทธิ์ของผู้ใช้งานอย่างเป็นลายลักษณ์อักษร
2.3.2 กําหนดสิทธิ์ที่เหมาะสมกับผู้ใช้งานตามความจําเป็นและสอดคล้องกับหน้าที่ความรับผิดชอบและ จัดเก็บประวัติ (Log) การลงทะเบียน การเพิ่มสิทธิ์ การเพิกถอนสิทธิ์ และการเปลี่ยนแปลงสิทธิ์ ของผู้ใช้งาน
2.3.3 เจ้าของข้อมูลและผู้ดูแลระบบ ต้องจัดให้มีการควบคุมและจํากัดสิทธิ์ในการใช้งานระบบตาม
ความจําเป็นในการใช้งานเท่านั้น - สิทธิ์ในการสร้างข้อมูล (Create)
- สิทธิ์ในการอ่านข้อมูลหรือเรียกดูข้อมูล (Read)
- สิทธิ์ในการปรับปรุงข้อมูล (Modify / Update) 4) สิทธิ์ในการลบข้อมูล (Delete)
- สิทธิ์ในการมอบหมายสิทธิ์ในการดําเนินการแทน (Assign)
- สิทธิ์ในการรับรองความถูกต้องครบถ้วนของข้อมูล (Approve/Authenticate)
- ไม่มีสิทธิ์
2.3.4 เจ้าของข้อมูลและผู้ดูแลระบบต้องเป็นผู้อนุมัติการให้สิทธิ์เพื่อเข้าถึงสารสนเทศหรือระบบ
เทคโนโลยีสารสนเทศใด ๆ อย่างเป็นลายลักษณ์อักษร
2.3.5 เจ้าของข้อมูลและผู้ดูแลระบบ ต้องจํากัดจํานวนผู้ใช้งานที่ทําหน้าที่เป็นผู้ให้สิทธิ์กับผู้ใช้งาน
ให้น้อยที่สุดตามความเหมาะสม
2.3.6 เจ้าของข้อมูลและผู้ดูแลระบบ ต้องจํากัดระยะเวลาการใช้งานระบบเทคโนโลยีสารสนเทศของ
รฟม. แก่หน่วยงานภายนอกที่เข้ามาปฏิบัติงานร่วมกับ รฟม.
2.3.7 เจ้าของข้อมูลและผู้ดูแลระบบ ต้องจัดให้มีการถอดถอนสิทธิ์หรือเปลี่ยนแปลงสิทธิ์การเข้าถึงทันที เมื่อผู้ใช้งานเกษียณ เปลี่ยนแปลงหน้าที่ความรับผิดชอบ เปลี่ยนแปลงการจ้างงาน หรือไม่มีความจําเป็น
ในการใช้งานระบบเทคโนโลยีสารสนเทศ
2.3.8 ผู้ดูแลระบบต้องลบหรือระงับการใช้งานสิทธิ์ของผู้ใช้งานที่มากับระบบ (Default User) ในกรณีที่มี
ความจําเป็นต้องใช้งานต้องกําหนดรหัสผ่านอย่างมั่นคงปลอดภัย
2.4 การทบทวนสิทธิ์การเข้าถึงของผู้ใช้งาน (Review of User Access Rights)
2.4.1 เจ้าของข้อมูลและผู้ดูแลระบบ ต้องมีการสอบทานสิทธิ์การเข้าถึงของผู้ใช้งานระบบเมื่อ รฟม. มีการ
เปลี่ยนแปลงระบบเทคโนโลยีสารสนเทศหรือโครงสร้างองค์กร
2.4.2 ผู้ดูแลระบบ ต้องมีการสอบทานและระงับการใช้งานบัญชีผู้ใช้งานที่ไม่ได้ใช้งานนานเกิน 180 วัน หากผู้ใช้งานต้องการกลับมาใช้งานจะต้องยืนยันตัวตนให้ ฝทท. ทราบ ทั้งนี้ ระยะเวลาที่ไม่ได้ใช้งาน ของบัญชีผู้ใช้งานอาจจะขึ้นอยู่กับแต่ละระบบสารสนเทศ
16
- การป้องกันอุปกรณ์ที่ไม่มีผู้ดูแล
และการควบคุมการไม่ทิ้งสินทรัพย์สารสนเทศสําคัญไว้ในที่ที่ไม่ปลอดภัย
3.1 การป้องกันอุปกรณ์ที่ไม่มีผู้ดูแล (Unattended User Equipment)
3.2
3.1.1 ผู้ดูแลระบบต้องจัดให้มีมาตรการสําหรับป้องกันระบบคอมพิวเตอร์ ระบบเครือข่ายสื่อสารข้อมูล และระบบเทคโนโลยีสารสนเทศ โดยการกําหนดค่าของระบบ (Configuration) ให้มีการล็อกหน้าจอ สําหรับอุปกรณ์ที่ไม่มีพนักงานดูแล หรือล็อกอุปกรณ์อยู่เสมอ
3.1.2 ผู้ใช้งานและหน่วยงานภายนอก/บุคคลภายนอก ต้องล็อกหน้าจออัตโนมัติเมื่อไม่มีการใช้งานระบบ เทคโนโลยีสารสนเทศของ รฟม. ตามระยะเวลาที่กําหนด โดยต้องพักหน้าจอ (Screen Saver) อัตโนมัติ หลังจากที่ไม่มีการใช้งานคอมพิวเตอร์เป็นระยะเวลานานกว่า 15 นาที ผู้ใช้งานและหน่วยงานภายนอก/ บุคคลภายนอกจะใช้งานต่อได้เมื่อมีการใส่รหัสผ่านที่ถูกต้อง
3.1.3 ผู้ใช้งานต้อง Logout ออกจากเครื่องคอมพิวเตอร์เมื่อมีความจําเป็นต้องละทิ้งเครื่องคอมพิวเตอร์ 3.1.4 ผู้ใช้งานต้องป้องกันไม่ให้ผู้อื่นใช้อุปกรณ์ เช่น กล้องดิจิทัล เครื่องสําเนาเอกสาร เครื่องสแกน
เอกสารโดยไม่ได้รับอนุญาต
การควบคุมสินทรัพย์สารสนเทศและการใช้งานระบบคอมพิวเตอร์ (Clear Desk and Clear Screen Control) 3.2.1 ผู้บังคับบัญชาต้องกําหนดให้มีผู้รับผิดชอบในการดูแลสถานที่ที่มีการรับ - ส่งแฟกซ์ หรือจดหมาย
เข้า – ออก
3.2.2 ผู้ใช้งานต้องออกจากระบบคอมพิวเตอร์ (Logout) ทันที เมื่อจําเป็นต้องปล่อยทิ้งโดยไม่มีผู้ดูแล 3.2.3 ผู้ใช้งานต้องจัดเก็บข้อมูลสําคัญแยกต่างหาก และป้องกันให้มีความปลอดภัยอย่างพอเพียง 3.2.4 ผู้ใช้งานต้องนําเอกสารออกจากเครื่องพิมพ์ทันทีที่พิมพ์งานเสร็จ - การควบคุมการเข้าถึงเครือข่าย (Network Access Control)
ให้มีการควบคุมการใช้งานบริการเครือข่าย การควบคุมการพิสูจน์ตัวตนสําหรับผู้ใช้งานที่อยู่ภายนอก รฟม. การควบคุม การพิสูจน์ตัวตนอุปกรณ์บนเครือข่าย การป้องกันพอร์ต (Port) ที่ใช้สําหรับตรวจสอบและปรับแต่งระบบ การแบ่งแยก เครือข่าย (Segregation in networks) อย่างเหมาะสม การควบคุมการเชื่อมต่อทางเครือข่าย และการควบคุม
การกําาหนดเส้นทางบนเครือข่าย
4.1
การใช้งานบริการเครือข่าย (Use of Network Services)
4.1.1 ผู้ดูแลระบบต้องควบคุมการเผยแพร่แผนผังระบบเครือข่ายสื่อสารข้อมูล (Network Diagram) รวมถึงโครงสร้าง IP Address ชื่อระบบ และชื่ออุปกรณ์สารสนเทศแก่ผู้ที่ไม่ได้รับอนุญาตหรือ หน่วยงานภายนอก/บุคคลภายนอก
4.1.2 ผู้ดูแลระบบต้องควบคุมการใช้งานระบบเครือข่ายสื่อสารข้อมูล เพื่อป้องกันการเข้าถึงระบบเครือข่าย
สื่อสารข้อมูลและบริการของระบบเครือข่ายสื่อสารข้อมูลโดยไม่ได้รับอนุญาต
4.1.3 ผู้ดูแลระบบต้องควบคุมการเชื่อมต่อเครือข่ายภายนอก เพื่อใช้งานอินเทอร์เน็ต ซึ่งอาจเป็นช่องทางให้ หน่วยงานภายนอก/บุคคลภายนอกเข้าถึงสารสนเทศหรือระบบเทคโนโลยีสารสนเทศของ รฟม.
โดยมิได้รับอนุญาต
4.1.4 ผู้ใช้งานต้องแจ้งความประสงค์ในการขอใช้งานบริการเครือข่ายแก่ ฝทท. และสามารถใช้บริการ
เครือข่ายได้หลังจากได้รับการอนุมัติจาก ฝทท. แล้ว
4.1.5 ผู้ใช้งาน ต้องไม่ใช้ระบบเครือข่ายสื่อสารข้อมูลเพื่อเป็นช่องทางในการเจาะระบบ (Hacking) หรือ
การสแกนช่องโหว่ของระบบโดยมิได้รับอนุญาต
4.2 การพิสูจน์ตัวตนของผู้ใช้งานที่อยู่ภายนอก รฟม. (User Authentication for External Connections)
ผู้ดูแลระบบต้องกําหนดให้มีการพิสูจน์ตัวตนผ่านระบบ Active Directory ของ รฟม. ก่อนอนุญาตให้ ผู้ใช้งานที่อยู่ภายนอก รฟม. เข้าใช้งานเครือข่ายและระบบสารสนเทศของ รฟม.
17
4.3 การพิสูจน์ตัวตนของอุปกรณ์ในระบบเครือข่ายสื่อสารข้อมูล (Equipment Identification in Networks) ผู้ดูแลระบบต้องกําหนดให้มีการพิสูจน์ตัวตนของอุปกรณ์ในระบบเครือข่ายสื่อสารข้อมูล ได้แก่ การตรวจสอบ
4.4
MAC Address
การป้องกันพอร์ตที่ใช้สําหรับตรวจสอบและปรับแต่งระบบ (Remote Diagnostic and Configuration
Port Protection)
ผู้ดูแลระบบต้องระงับบริการและพอร์ต (Port) ที่ไม่มีความจําเป็นต้องใช้บนเครื่องคอมพิวเตอร์หรือ
อุปกรณ์เครือข่าย
4.5 ผู้ดูแลระบบต้องติดตั้งระบบตรวจจับการบุกรุก (Instrusion Prevention System/ Instrusion Detection
System) ของระบบเครือข่าย
การแบ่งแยกเครือข่าย (Segregation in Networks)
4.6.1 ผู้ดูแลระบบต้องจัดให้มีการแบ่งแยกเครือข่ายตามกลุ่มของผู้ใช้งาน หรือกลุ่มของระบบเทคโนโลยี สารสนเทศ เพื่อควบคุมการใช้งานในแต่ละเครือข่ายย่อยอย่างเหมาะสม โดยพิจารณาจากความต้องการ ในการเข้าถึงข้อมูล ระดับความสําคัญของข้อมูล รวมถึงการพิจารณาด้านราคา ประสิทธิภาพ และ
ผลกระทบทางด้านความปลอดภัยดังต่อไปนี้
- เครือข่ายที่อนุญาตให้เข้าถึงจากภายนอกและเครือข่ายที่ใช้ภายใน รฟม.
- เครือข่ายแอปพลิเคชัน (Application) ที่มีความสําคัญกับเครือข่ายอื่น ๆ ที่มีความสําคัญ
น้อยกว่า - เครือข่ายสําหรับเครื่องให้บริการ (Server Farm) กับเครือข่ายของผู้ใช้งาน ควรมีการ ติดตั้งอุปกรณ์ที่สามารถแบ่งแยกเครือข่ายได้ เช่น Firewall หรือ Switch ที่สามารถ
แบ่ง VLAN ได้ เป็นต้น
4.6.2 ผู้ดูแลระบบจะกําหนดเส้นทางบนเครือข่ายที่เข้มงวด เพื่อจํากัดการเข้าถึงระยะไกลไปเฉพาะเครือข่าย
ที่กําหนดเท่านั้น
4.6.3 ผู้ดูแลระบบต้องตั้งค่า (Configuration) อุปกรณ์เครือข่าย เช่น Firewall หรือ Router มิให้สามารถ บริหารจัดการจากภายนอกเครือข่ายได้ เว้นแต่ในกรณีฉุกเฉินซึ่งต้องได้รับการอนุญาตจากผู้ดูแลระบบ
เท่านั้น
4.7 การควบคุมการเชื่อมต่อทางเครือข่าย (Network Connection Control)
4.7.1
ผู้ดูแลระบบต้องจํากัดการใช้งานเครือข่ายของผู้ใช้งานในการเชื่อมต่อกับเครือข่ายของ รฟม. เช่น Router หรือ Firewall เป็นต้น พร้อมทั้งติดตั้งระบบควบคุมเพื่อกลั่นกรองข้อมูลที่รับ - ส่ง เช่น Web Filtering, Email Filtering เป็นต้น เพื่อทําให้การเชื่อมต่อมีความปลอดภัย
4.7.2 ผู้ดูแลระบบต้องติดตั้ง Firewall ระหว่างเครือข่ายของ รฟม. กับเครือข่ายภายนอก ทั้งนี้ การติดตั้ง
Firewall ต้องพิจารณาเรื่องดังต่อไปนี้ - การป้องกันการจราจรจากภายนอก ต้องถูกกําหนดให้ใช้เส้นทางที่ผ่าน First Tier Firewall ที่มีความมั่นคงปลอดภัยเพื่อป้องกันทรัพย์สินสารสนเทศของ รฟม. และ โครงสร้างพื้นฐานที่มีความสําคัญจากการเข้าถึงที่ไม่ได้รับอนุญาต
- Firewall ต้องระบุตัวตนและพิสูจน์ตัวตนของผู้ใช้งานก่อนที่จะให้สิทธิ์การเข้าถึง
อินเทอร์เฟส (Interface) เพื่อการบริหารจัดการ Firewall - Firewall ต้องตั้งค่าให้ระงับบัญชีผู้ใช้งานหลังจากมีความพยายามที่จะเข้าสู่ระบบ
ไม่สําเร็จ 5 ครั้ง การยกเลิกการระงับต้องดําเนินการโดย ฝทท. - ไม่อนุญาตให้พิสูจน์ตัวตนผ่านทางอินเทอร์เฟส (Interface) การจัดการ Firewall
จากระยะไกล (Remote)
18 - ผู้ที่ได้รับการมอบหมายจาก ฝทท. เท่านั้นที่มีสิทธิ์ที่จะเปลี่ยนการตั้งค่าด้านความปลอดภัย
บน Firewall - Firewall ต้องตั้งค่าให้บันทึกเหตุการณ์ด้านความมั่นคงปลอดภัย
Firewall ต้องได้รับการสอบทาน ทดสอบ และตรวจสอบอย่างสม่ําเสมอ
8) Firewall ต้องถูกบริหารจัดการผ่านทางการติดต่อสื่อสารที่มีการเข้ารหัส
9)
ต้องปิดบริการและพอร์ต (Port) ที่ไม่จําเป็นต้องใช้บน Firewall
10) Firewall ประเภทซอฟต์แวร์ (Software) ต้องติดตั้งบนเครื่องคอมพิวเตอร์แม่ข่าย
แยกต่างหาก
11) Firewall ต้องสามารถป้องกันตัวเองจากการโจมตี DOS (Denial of service) ได้
อย่างเช่น Ping, Sweeps หรือ TCP SYN Floods เป็นต้น
12) ต้องใช้เวอร์ชันของซอฟต์แวร์ (Software) Firewall และระบบปฏิบัติการที่เจ้าของ
ผลิตภัณฑ์ยังให้การสนับสนุน
13) ผู้ดูแล Firewall ต้องติดตามข้อมูลช่องโหว่จากผู้ให้บริการ (Vendor) เพื่อรับทราบข่าวสาร การ Upgrade และแพ็ตซ์ (Patch) ที่จําเป็น และต้องติดตั้งแพ็ตช์ (Patch) ทั้งหมด ที่เกี่ยวข้อง
4.7.3 ผู้ดูแลระบบต้องติดตั้ง Firewall เพื่อแบ่งแยก Zone ให้มีการใช้ DMZ (Demilitarized Zone)
โดยต้องพิจารณาเรื่องดังต่อไปนี้
- เครื่องคอมพิวเตอร์แม่ข่ายที่ให้บริการผ่านอินเทอร์เน็ต เช่น FTP, Email, Web และ
External DNS server เป็นต้น ต้องติดตั้งอยู่ใน DMZ - การเข้าถึงจากระยะไกลต้องพิสูจน์ตัวตนที่ Firewall หรือผ่านบริการที่อยู่ใน DMZ 3) DNS Servers ต้องไม่อนุญาตให้มีการแลกเปลี่ยนโซน (Zone Transfers) เว้นแต่
มีเหตุจําเป็น
การควบคุมการกําหนดเส้นทางบนเครือข่าย (Network Routing Control) ผู้ดูแลระบบต้องควบคุมการกําหนดเส้นทางบนเครือข่ายเพื่อให้มั่นใจว่าการเชื่อมต่อเครื่องคอมพิวเตอร์
และการไหลเวียนของสารสนเทศบนเครือข่าย โดยมีกลไกในการตรวจสอบที่อยู่ปลายทางและต้นทางของ การเชื่อมต่อ เช่น การควบคุมโดย Firewall หรือ Proxy เป็นต้น
- การควบคุมการเข้าถึงระบบปฏิบัติการ (Operating system Access Control)
ให้มีการควบคุมการเข้าถึงระบบปฏิบัติการอย่างมั่นคงปลอดภัย การควบคุมการระบุและพิสูจน์ตัวตนของผู้ใช้งาน การควบคุมระบบบริหารจัดการรหัสผ่าน การควบคุมการใช้งานโปรแกรมประเภทยูทิลิตี้ (System Utilities) การควบคุมการหมดเวลาการใช้งานระบบเทคโนโลยีสารสนเทศ และควบคุมการจํากัดระยะเวลาการเชื่อมต่อ
ระบบเทคโนโลยีสารสนเทศ
5.1 ขั้นตอนปฏิบัติในการเข้าถึงระบบอย่างมั่นคงปลอดภัย (Secure Logon Procedures)
5.1.1 ผู้ดูแลระบบ ต้องจัดให้มีการควบคุมการเข้าถึงระบบปฏิบัติการอย่างมั่นคงปลอดภัย โดยขั้นตอน การเข้าสู่ระบบต้องเปิดเผยข้อมูลเกี่ยวกับระบบให้น้อยที่สุดเพื่อหลีกเลี่ยงผู้ใช้งานที่ไม่ได้รับอนุญาต ซึ่งขั้นตอนการ Logon ต้องพิจารณา ดังนี้
- หากกระบวนการเข้าสู่ระบบไม่สําเร็จ ระบบต้องไม่แสดงข้อมูลของระบบหรือแอปพลิเคชัน
(Application) ที่ใช้งานอยู่ - ระบบต้องแสดงข้อความเตือนผู้ใช้งานว่าสามารถเข้าใช้งานเครื่องคอมพิวเตอร์ได้เฉพาะ
ผู้ที่มีสิทธิ์เท่านั้น - หากกระบวนการเข้าสู่ระบบไม่สําเร็จ ระบบต้องไม่แสดงข้อมูลที่สามารถระบุตัวตนของระบบ เช่น เครือข่ายที่ใช้งาน สถานที่ตั้งของระบบ หรือชื่อเครื่องคอมพิวเตอร์แม่ข่าย เป็นต้น
19 - ระบบต้องไม่แสดงข้อความที่ชี้เฉพาะเหตุของการเข้าสู่ระบบไม่สําเร็จ เช่น ไม่แสดงข้อความว่า
บัญชีผู้ใช้งานผิด หรือ รหัสผ่านผิด เป็นต้น - ห้ามเข้าสู่ระบบจากบัญชีผู้ใช้งานส่วนบุคคลเดียวกันมากกว่าหนึ่ง Session ในระบบเดียวกัน 6) ระบบต้องจํากัดจํานวนครั้งในการพยายามเข้าสู่ระบบที่ไม่สําเร็จ และต้องพิจารณาเงื่อนไข
ต่อไปนี้
(ก) การเก็บบันทึกผลการเข้าสู่ระบบทั้งที่สําเร็จและไม่สําเร็จ
(ข) หน่วงระยะเวลาในการเข้าใช้งานระบบครั้งต่อไป (ค) การตัดการเชื่อมต่อ
(ง) การแสดงข้อความเตือนที่หน้าจอของผู้ดูแลระบบเมื่อมีการเข้าสู่ระบบเกินจํานวนครั้ง
ที่จํากัดไว้ - ระบบต้องแสดงวัน เวลา ในการเข้าสู่ระบบที่สําเร็จในครั้งก่อน พร้อมทั้งบันทึกจํานวนครั้ง
ที่พยายามเข้าไม่สําเร็จนับแต่การเข้าสู่ระบบที่สําเร็จในครั้งก่อนของผู้ใช้งาน - ระบบต้องไม่ส่งรหัสผ่านแบบ Clear Text ผ่านระบบเครือข่ายสื่อสารข้อมูล 9) ผู้ดูแลระบบต้องกําหนดจํานวนครั้งที่ยอมให้ใส่รหัสผ่านผิดได้ไม่เกิน 5 ครั้ง 5.2 การระบุและพิสูจน์ตัวตนของผู้ใช้งาน (User Identification and Authentication)
ผู้ดูแลระบบ ต้องจัดให้ผู้ใช้งานมีบัญชีผู้ใช้งานของแต่ละบุคคลเพื่อใช้พิสูจน์ตัวตนในการเข้าถึงระบบเทคโนโลยี สารสนเทศ และต้องใช้ระบบเทคโนโลยีสารสนเทศพิสูจน์ตัวตนผู้ใช้งานในการเข้าถึงระบบปฏิบัติการผ่านระบบ Active Directory (AD) หรือ Lightweight Directory Access Protocol (LDAP) ทุกครั้ง พร้อมทั้งบันทึก ข้อมูลการเข้าถึง
5.3 การใช้งานโปรแกรมประเภทยูทิลิตี้ (Use of System Utilities)
5.4
ผู้ดูแลระบบ ต้องควบคุมการใช้งานโปรแกรมประเภทยูทิลิตี้บนระบบที่ใช้งานจริง (Production System) ดังนี้ 5.3.1 ต้องจัดทําบัญชีโปรแกรมประเภทยูทิลิตี้ (System Utilities) ที่นํามาใช้งาน
5.3.2 กําหนดความรับผิดชอบในการใช้โปรแกรมประเภทยูทิลิตี้ (System Utilities) แต่ละรายการ
อย่างชัดเจนและสื่อสารให้ผู้เกี่ยวข้องทราบเพื่อถือปฏิบัติ
5.3.3 ให้มีการพิสูจน์ตัวตน และกําหนดสิทธิ์ในการใช้งานโปรแกรมประเภทยูทิลิตี้เฉพาะกลุ่มคนที่มี
หน้าที่รับผิดชอบ
5.3.4 มีการบันทึกเหตุการณ์ (Log) การใช้งานโปรแกรมประเภทยูทิลิตี้ และต้องสอบทานจากผู้ดูแลระบบ
อย่างสม่ําเสมอ
5.3.5 ต้องทําการเพิกถอนหรือระงับโปรแกรมประเภทยูทิลิตี้ที่ไม่จําเป็น
การหมดเวลาการใช้งานระบบสารสนเทศ (Session Timeout)
5.4.1 ผู้ดูแลระบบต้องกําหนด Session Timeout ของระบบเทคโนโลยีสารสนเทศที่ไม่มีการใช้งานภายใน ระยะเวลา 15 นาที หากระบบใดที่ไม่สามารถกําาหนด Session Timeout ภายในระยะเวลา 15 นาทีได้ ให้กําหนดเป็นระยะเวลาน้อยที่สุดที่จะสามารถกําหนดได้ ทั้งนี้ ถ้าระบบที่ไม่สามารถตัดการเชื่อมต่อ แบบอัตโนมัติได้ กําาหนดให้ใช้โปรแกรมพักหน้าจอที่ต้องใส่รหัสผ่านหรือกําหนดให้มีการล็อกหน้าจอ 5.4.2 ผู้ดูแลระบบ และผู้ใช้งาน ต้องตั้งค่าให้มีโปรแกรมพักหน้าจอที่ต้องใส่รหัสผ่านสําหรับเครื่อง คอมพิวเตอร์ส่วนบุคคล เครื่องคอมพิวเตอร์แบบพกพา และเครื่องคอมพิวเตอร์แม่ข่าย ทั้งนี้ โปรแกรมพักหน้าจอกําหนดให้ป้อนรหัสผ่านหลังจากที่มีการทิ้งเครื่องดังกล่าวไว้โดยไม่มีการใช้งาน
เป็นระยะเวลา 15 นาที
20
การจํากัดระยะเวลาการเชือมต่อระบบสารสนเทศ (Limitation of Connection Time) 5.5.1 ผู้ดูแลระบบ ต้องจํากัดระยะเวลาในการเชื่อมต่อระบบสารสนเทศที่มีความสําคัญสูง โดยต้อง คํานึงถึงระยะเวลาที่จําเป็นในกระบวนการดําเนินงานทางธุรกิจ ได้แก่ กําหนดให้เข้าใช้งานได้ ในช่วงเวลาทําการของ รฟม. 08.00 น. – 17.00 น. และเชื่อมต่อเพื่อใช้งานได้ครั้งละไม่เกิน 3 ชั่วโมง 5.5.2 ผู้ใช้งาน หากมีความจําเป็นต้องใช้งานนอกเวลาที่กําหนดต้องขออนุมัติจากผู้บังคับบัญชาเท่านั้น 6. การควบคุมการเข้าถึงโปรแกรมประยุกต์และสารสนเทศ (Application and Information Access Control)
ให้มีการจํากัดการเข้าถึงสารสนเทศ และการแยกระบบเทคโนโลยีสารสนเทศที่มีความสําคัญสูงไว้ในบริเวณที่
ควบคุมเฉพาะ
6.1 การจํากัดการเข้าถึงสารสนเทศ (Information Access Restriction)
6.1.1 เจ้าของข้อมูลและผู้ดูแลระบบต้องกําหนดสิทธิ์การเข้าถึงแก่ผู้ใช้งานเท่าที่จําเป็นต้องใช้ในการ
ปฏิบัติงาน โดยการให้สิทธิ์ต้องพิจารณาในเรื่องดังต่อไปนี้ - การจํากัดไม่ให้ใช้ตัวเลือก (Options) ที่ไม่ได้รับอนุญาต
- การจํากัดการเข้าถึง Command Line
- การจํากัดการเข้าถึงข้อมูลและฟังก์ชันการใช้งานของแอปพลิเคชัน (Application) ที่ไม่เกี่ยวข้อง
กับหน้าที่ความรับผิดชอบ - การจํากัดระดับสิทธิ์ในการเข้าถึงไฟล์ เช่น อ่านอย่างเดียว เป็นต้น
- การควบคุมการแจกจ่าย การเข้าถึงข้อมูล การนําข้อมูลออกจากระบบสารสนเทศ เช่น
รายงาน เป็นต้น
6.1.2 เจ้าของข้อมูลและผู้ดูแลระบบ ควรกําหนดให้ระบบสารสนเทศรองรับการกําหนดสิทธิ์ในการเข้าถึง
แบบกลุ่มได้
การแยกระบบสารสนเทศที่ไวต่อการรบกวน (Sensitive System Isolation) มีผลกระทบต่อคนกลุ่มใหญ่ หรือระบบที่มีความสําคัญต่อหน่วยงาน ต้องดําเนินการดังนี้
6.2.1 เจ้าของข้อมูลและผู้ดูแลระบบ แยกระบบซึ่งไวต่อการรบกวนออกจากระบบอื่น ๆ และควบคุม สภาพแวดล้อมของระบบโดยเฉพาะ ได้แก่ ระบบ File Sharing ระบบสารสนเทศทางการเงิน และระบบ Active Directory (AD) โดยเข้าถึงได้ทั้งอุปกรณ์คอมพิวเตอร์และสื่อสารเคลื่อนที่และ การปฏิบัติงานจากภายนอกองค์กร (Mobile Computing and Teleworking)
6.2.2 ผู้ดูแลระบบต้องควบคุมอุปกรณ์คอมพิวเตอร์และอุปกรณ์เคลื่อนที่และการปฏิบัติงานจาก
ภายนอกหน่วยงาน (Mobile Computing and Teleworking) ที่เกี่ยวข้องกับระบบดังกล่าว 6.2.3 เจ้าของข้อมูลที่เป็นเจ้าของระบบสารสนเทศที่มีความสําคัญสูงต้องเป็นผู้อนุญาต ในกรณีที่ระบบ สารสนเทศที่มีความสําคัญสูงมีความจําเป็นต้องทํางานร่วมกับระบบสารสนเทศอื่นที่มีความสําคัญ
น้อยกว่า
- การควบคุมการปฏิบัติงานจากภายนอก รฟม. (Teleworking)
7.1 ผู้ดูแลระบบต้องกําหนดให้มีการพิสูจน์ตัวตนก่อนการใช้งาน และเชื่อมต่อผ่านช่องทางที่มีความปลอดภัย
ที่มีเทคโนโลยีเข้ารหัสป้องกัน
7.2 ผู้ดูแลระบบต้องทําการถอดถอนสิทธิ์ในการเข้าถึงของผู้ใช้งานจากภายนอกสํานักงาน เมื่อครบกําหนด
ระยะเวลาที่ขออนุญาต
7.3 ผู้ใช้งาน หากจําเป็นต้องมีการปฏิบัติงานจากภายนอกสํานักงานของ รฟม. ต้องได้รับการอนุญาตจาก ผู้บังคับบัญชาอย่างเป็นลายลักษณ์อักษร ในกรณีเร่งด่วนสามารถดําเนินการก่อน โดยแจ้งให้ผู้บังคับบัญชา
รับทราบด้วย โดยผู้บังคับบัญชาต้องพิจารณาเงื่อนไขในการเตรียมการ ดังต่อไปนี้
21
- ความมั่นคงปลอดภัยทางกายภาพและสภาพแวดล้อมของการปฏิบัติงานจากภายนอก รฟม. 2) ความมั่นคงปลอดภัยทางการสื่อสาร โดยยึดจากระดับความสําคัญ (Sensitivity) ของข้อมูล ที่จะถูกเข้าถึงและส่งผ่านช่องทางการเชื่อมต่อสื่อสาร (Communication Link) รวมถึงระดับ ความสําคัญ (Sensitivity) ของระบบภายใน รฟม.
7.4 ผู้ใช้งานต้องจัดเก็บเอกสารที่เป็นความลับในอุปกรณ์ที่ล็อกได้และมีการควบคุมการเข้าถึง โดยใช้หลักเกณฑ์
การรักษาความลับเช่นเดียวกับสารสนเทศที่อยู่ในสํานักงานของ รฟม.
7.5 ผู้ใช้งาน ต้องติดตั้งโปรแกรมป้องกันไวรัสและ Personal Firewall สําหรับอุปกรณ์ส่วนตัวที่ใช้เชื่อมต่อ
เครือข่ายของ รฟม. จากภายนอก
- ผู้บังคับบัญชา ต้องควบคุมการใช้งานข้อมูลส่วนบุคคลให้มีการใช้งานที่สอดคล้องกับกฎหมาย พระราชบัญญัติ
กฎระเบียบ ข้อบังคับที่เกี่ยวข้อง เช่น พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
วัตถุประสงค์
22
ส่วนที่ 7 การควบคุมการเข้าถึงระบบเครือข่ายไร้สาย
เพื่อกําหนดมาตรการในการควบคุมการเข้าถึงระบบเครือข่ายไร้สาย (Wireless LAN) ของ รฟม. โดยการกําหนด
สิทธิ์ของผู้ใช้งานในการเข้าถึงระบบให้เหมาะสมตามหน้าที่ความรับผิดชอบในการปฏิบัติงาน
สิทธิ์การเข้าถึงอย่างสม่ําเสมอ
เพื่อสร้างความมั่นคงปลอดภัยของการใช้งานระบบเครือข่ายไร้สาย
ผู้รับผิดชอบ
ผู้ดูแลระบบ
ผู้ใช้งาน
อ้างอิงมาตรฐาน: ISO/IEC 27001:2022
- มาตรการควบคุมด้านองค์กร (Organizational Controls) - มาตรการควบคุมด้านเทคโนโลยี (Technological Controls)
แนวปฏิบัติ
รวมทั้งมีการทบทวน
- ผู้ใช้งานที่ต้องการเข้าถึงระบบเครือข่ายไร้สายของ รฟม. ต้องลงทะเบียนกับผู้ดูแลระบบ และต้องได้รับการ
อนุญาตจาก ฝทท. อย่างเป็นลายลักษณ์อักษร - ผู้ดูแลระบบต้องกําหนดมาตรฐานความปลอดภัยของระบบเครือข่ายไร้สายไม่ต่ํากว่ามาตรฐาน WPA2 3. ผู้ดูแลระบบต้องลงทะเบียนกําหนดสิทธิ์ผู้ใช้งานในการเข้าถึงระบบเครือข่ายไร้สายให้เหมาะสมกับหน้าที่
ความรับผิดชอบในการปฏิบัติงาน รวมทั้งมีการทบทวนสิทธิ์การเข้าถึงอย่างสม่ําเสมอ - ผู้ดูแลระบบต้องลงทะเบียนอุปกรณ์ทุกตัวที่ใช้ติดต่อระบบเครือข่ายไร้สาย
- ผู้ดูแลระบบ ต้องกําหนดตําแหน่งการวางอุปกรณ์ Access Point (AP) ไม่ให้สัญญาณของอุปกรณ์รั่วไหลออกไป
นอกบริเวณที่ใช้งาน เพื่อป้องกันไม่ให้ผู้โจมตีใช้ Access Point (AP) ของ รฟม. รับ - ส่งสัญญาณได้ - ผู้ดูแลระบบต้องเลือกใช้กําลังส่งให้เหมาะสมกับพื้นที่ใช้งานและต้องสํารวจว่าสัญญาณรั่วไหลออกไปภายนอก หรือไม่ นอกจากนี้การใช้เสาอากาศพิเศษที่สามารถกําหนดทิศทางการแพร่กระจายของสัญญาณอาจช่วยลดการ รั่วไหลของสัญญาณให้ดีขึ้น
- ผู้ดูแลระบบต้องเปลี่ยนค่า SSID (Service Set Identifier) ที่ถูกกําหนดเป็นค่า Default มาจากผู้ผลิตทันทีที่นํา
Access Point (AP) มาใช้งาน
ได้โดยง่าย - ผู้ดูแลระบบต้องเปลี่ยนค่าชื่อ Login และรหัสผ่านสําหรับการตั้งค่าการทํางานของอุปกรณ์ไร้สาย และผู้ดูแลระบบ ต้องเลือกใช้ชื่อ Login และรหัสผ่านที่มีความคาดเดาได้ยากเพื่อป้องกันผู้โจมตีไม่ให้สามารถเดาหรือเจาะรหัส
- ผู้ดูแลระบบต้องควบคุม MAC address ชื่อผู้ใช้ (Username) และรหัสผ่าน (Password) ของผู้ใช้งานที่มีสิทธิ์ ในการเข้าใช้งานระบบเครือข่ายไร้สาย โดยอนุญาตเฉพาะผู้ใช้งานที่ได้รับอนุญาตให้เข้าใช้เครือข่ายไร้สายได้อย่าง ถูกต้องเท่านั้น
- ผู้ดูแลระบบต้องตรวจสอบความมั่นคงปลอดภัยของระบบเครือข่ายไร้สายอย่างสม่ําเสมอ และบันทึกเหตุการณ์
น่าสงสัยที่เกิดขึ้นในระบบเครือข่ายไร้สายตามขั้นตอนที่ รฟม. กําาหนด
23
ส่วนที่ 8
การควบคุมหน่วยงานภายนอกและผู้ใช้งานภายนอกเข้าถึงระบบเทคโนโลยีสารสนเทศ
เพื่อควบคุมหน่วยงานภายนอกและผู้ใช้งานภายนอกที่มีการเข้าใช้งานระบบเทคโนโลยีสารสนเทศของ รฟม.
ให้เป็นไปอย่างมั่นคงปลอดภัย
วัตถุประสงค์
ผู้รับผิดชอบ
ผู้ดูแลระบบ
·
ผู้บังคับบัญชา
หน่วยงานภายนอก
ผู้ใช้งาน (บุคคลภายนอก)
อ้างอิงมาตรฐาน: ISO/IEC 27001:2022
มาตรการควบคุมด้านองค์กร (Organizational Controls) มาตรการควบคุมด้านกายภาพ (Physical Controls)
แนวปฏิบัติ - ผู้ดูแลระบบต้องประเมินความเสี่ยงจากการเข้าถึงระบบเทคโนโลยีสารสนเทศ หรืออุปกรณ์ที่ใช้ในการประมวลผล
โดยหน่วยงานภายนอกและผู้ใช้งานภายนอก และกําหนดมาตรการรองรับหรือแก้ไขที่เหมาะสมก่อนที่จะอนุญาตให้ เข้าถึงระบบเทคโนโลยีสารสนเทศของ รฟม. - การควบคุมการเข้าใช้งานระบบเทคโนโลยีสารสนเทศของหน่วยงานภายนอกและผู้ใช้งานภายนอก
2.1 เจ้าของข้อมูลต้องเป็นผู้อนุญาตการให้สิทธิ์แก่หน่วยงานภายนอกและผู้ใช้งานภายนอกที่ต้องการสิทธิ์ในการ
เข้าใช้งานระบบสารสนเทศของ รฟม. อย่างเป็นลายลักษณ์อักษร
2.2 ผู้บังคับบัญชาต้องกําหนดให้มีการลงนามการไม่เปิดเผยข้อมูลที่สําคัญและเป็นความลับของ รฟม. 2.3 ผู้บังคับบัญชา ต้องควบคุมให้มีการกําหนดข้อตกลงและความรับผิดชอบที่เกี่ยวข้องกับความเสี่ยง ด้านความมั่นคงปลอดภัยสารสนเทศลงในสัญญากับหน่วยงานภายนอกที่ให้บริการด้านสารสนเทศและ
บริการด้านการสื่อสาร โดยให้ครอบคลุมรวมถึงผู้รับจ้างช่วง
2.4 ผู้บังคับบัญชาต้องกําหนดให้จัดทําเอกสารแบบฟอร์มสําหรับให้หน่วยงานภายนอกและผู้ใช้งานภายนอก
ระบุเหตุผลความจําเป็นที่ต้องเข้าใช้งานระบบเทคโนโลยีสารสนเทศ ซึ่งมีรายละเอียด ดังนี้
2.4.1 เหตุผลในการขอใช้
2.4.2 ระยะเวลาในการใช้
2.4.3 การตรวจสอบความปลอดภัยของอุปกรณ์ที่เชื่อมต่อเครือข่าย
2.4.4 การตรวจสอบ MAC address ของเครื่องคอมพิวเตอร์ที่เชื่อมต่อ
2.5 ผู้ดูแลระบบมีสิทธิ์ในการตรวจสอบการใช้งานระบบเทคโนโลยีสารสนเทศของหน่วยงานภายนอกและ
ผู้ใช้งานภายนอก เพื่อควบคุมการใช้งานได้อย่างมั่นคงปลอดภัยตามสัญญา
2.6 ผู้ดูแลระบบต้องควบคุมให้หน่วยงานภายนอกจัดทําแผนการดําเนินงาน คู่มือการปฏิบัติงานและเอกสารที่ เกี่ยวข้อง รวมทั้งต้องปรับปรุงให้ทันสมัยอยู่เสมอ เพื่อใช้สําหรับควบคุมหรือตรวจสอบการทํางาน และ เพื่อให้มั่นใจว่าการปฏิบัติงานเป็นไปตามขอบเขตที่ได้กําหนดไว้ - ผู้ดูแลระบบต้องแจ้งแนวปฏิบัติต่าง ๆ ที่เกี่ยวข้องแก่หน่วยงานภายนอกและผู้ใช้งานภายนอกเพื่อให้ปฏิบัติตาม
ๆ
24 - ผู้ดูแลระบบ ต้องกํากับดูแลหน่วยงานภายนอกและผู้ใช้งานภายนอกให้ปฏิบัติตามสัญญาหรือข้อตกลงการ
ให้บริการที่ระบุไว้ ซึ่งต้องครอบคลุมถึงด้านความมั่นคงปลอดภัย - ผู้ดูแลระบบ ต้องติดตาม ตรวจสอบรายงานหรือบันทึกการให้บริการของหน่วยงานภายนอกตามที่ว่าจ้างอย่าง
สม่ําเสมอตามสัญญาว่าจ้าง - ผู้ดูแลระบบ ต้องกําหนดขั้นตอนและช่องทางในการติดต่อกับหน่วยงานภายนอกที่มีหน้าที่ในการกํากับดูแล หรือ
หน่วยงานที่เกี่ยวข้องกับการบังคับใช้กฎหมาย รวมทั้งหน่วยงานที่ควบคุมดูแลสถานการณ์ฉุกเฉินภายใต้
สถานการณ์ต่าง ๆ ไว้อย่างชัดเจน - ผู้ดูแลระบบ ต้องมีขั้นตอนและช่องทางในการติดต่อกับหน่วยงานภายนอกที่มีความเชี่ยวชาญเฉพาะด้านหรือ
หน่วยงานที่มีความเชี่ยวชาญด้านความมั่นคงปลอดภัยด้านสารสนเทศภายใต้สถานการณ์ต่าง ๆ ไว้อย่างชัดเจน 8. ผู้ดูแลระบบต้องควบคุมการเปลี่ยนแปลงของหน่วยงานภายนอกที่ส่งผลกระทบต่อการให้บริการขององค์กร และ
ต้องประเมินความเสี่ยงอย่างเหมาะสมเพื่อควบคุมผลกระทบอันเนื่องมาจากการเปลี่ยนแปลงนั้น - หน่วยงานภายนอกและผู้ใช้งานภายนอก ต้องใช้งานทรัพย์สินสารสนเทศของ รฟม. ด้วยความระมัดระวัง และ รักษาความลับของ รฟม. ไม่นําไปเปิดเผย และต้องขออนุญาตพร้อมทั้งปฏิบัติตามเงื่อนไขในการเข้าถึงระบบ สารสนเทศของ รฟม. ทุกครั้ง
- หน่วยงานภายนอกและผู้ใช้งานภายนอกต้องแจ้งเหตุการณ์ไม่ปกติต่าง ๆ ด้านเทคโนโลยีสารสนเทศที่พบผ่าน
ช่องทางที่ รฟม. กําหนดโดยเร็วที่สุด - หน่วยงานภายนอกและผู้ใช้งานภายนอกต้องจัดเก็บบัญชีผู้ใช้งานที่ รฟม. จัดทําไว้ให้ใช้งานเป็นความลับ เฉพาะ
บุคคล ไม่เปิดเผยให้ผู้อื่นรับทราบ
25
ส่วนที่ 9
วัตถุประสงค์
การใช้งานเครื่องคอมพิวเตอร์และอุปกรณ์เคลื่อนที่ ของ รฟม.
- เพื่อควบคุมการใช้งานทรัพย์สินของ รฟม. ประเภทเครื่องคอมพิวเตอร์และอุปกรณ์เคลื่อนที่ให้เหมาะสม ทั้งนี้ เพื่อป้องกัน
การสูญหาย เสียหาย หรือถูกเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต
ผู้รับผิดชอบ
ผู้ดูแลระบบ
ผู้ใช้งาน
อ้างอิงมาตรฐาน: ISO/IEC 27001:2022
·
มาตรการควบคุมด้านองค์กร (Organizational Controls) มาตรการควบคุมด้านบุคลากร (People Controls)
มาตรการควบคุมด้านกายภาพ (Physical Controls) มาตรการควบคุมด้านเทคโนโลยี (Technological Controls)
แนวปฏิบัติ
- การใช้งานทั่วไป
1.1 ผู้ดูแลระบบต้องกําหนดบัญชีซอฟต์แวร์มาตรฐาน (Software Standard) ที่อนุญาตให้ติดตั้งบนเครื่อง
คอมพิวเตอร์ของผู้ใช้งาน และปรับปรุงให้เป็นปัจจุบันเสมอ
1.2 ผู้ดูแลระบบต้องเป็นผู้กําหนดการตั้งชื่อเครื่องคอมพิวเตอร์ (Computer Name) เท่านั้น
1.3 ผู้ใช้งานต้องติดตั้งโปรแกรมสําหรับควบคุมการใช้งานอุปกรณ์เคลื่อนที่ (Mobile Device Management: MDM) รวมถึงอุปกรณ์อื่น ๆ ที่ รฟม. ไม่สามารถควบคุมการใช้งานผ่านระบบ Active Directory (AD) ได้ 1.4 ผู้ใช้งานต้องใช้งานอย่างมีประสิทธิภาพเพื่องานของ รฟม.
1.5 ผู้ใช้งานต้องไม่ติดตั้งโปรแกรมที่ละเมิดลิขสิทธิ์บนเครื่องคอมพิวเตอร์และอุปกรณ์เคลื่อนที่ของ รฟม. 1.6 ผู้ใช้งานต้องขอนุญาตติดตั้งโปรแกรมในเครื่องคอมพิวเตอร์และอุปกรณ์เคลื่อนที่ตามขั้นตอนที่ รฟม. กําหนด 1.7 ผู้ใช้งานต้องไม่ติดตั้งและแก้ไขเปลี่ยนแปลงโปรแกรมในเครื่องคอมพิวเตอร์และอุปกรณ์เคลื่อนที่ของ รฟม.
การดําเนินการดังกล่าวต้องดําเนินการโดยผู้ดูแลระบบเท่านั้น
1.8 ผู้ใช้งานต้องศึกษาและปฏิบัติตามคู่มือการใช้งานเครื่องคอมพิวเตอร์และอุปกรณ์เคลื่อนที่อย่างละเอียด
1.9
เพื่อให้สามารถใช้งานอย่างปลอดภัยและมีประสิทธิภาพ
ผู้ใช้งานต้องไม่ดัดแปลงแก้ไขส่วนประกอบต่าง ๆ ของคอมพิวเตอร์และอุปกรณ์เคลื่อนที่ และรักษาให้มีสภาพเดิม 1.10 ผู้ใช้งานต้องแจ้งซ่อมเครื่องคอมพิวเตอร์และอุปกรณ์เคลื่อนที่ที่อยู่ในความรับผิดชอบของ ฝทท. ให้ ฝทท.
เป็นผู้ดําเนินการเท่านั้น
1.11 ผู้ใช้งานต้องอัปเดต Patch และระบบปฏิบัติการให้ทันสมัยอยู่เสมอ
1.12 ผู้ใช้งานต้องไม่สร้าง Shortcut ไว้บน Desktop ที่เชื่อมต่อไปยังข้อมูลสําคัญของ รฟม. 1.13 กรณีเครื่องคอมพิวเตอร์แบบพกพาและอุปกรณ์เคลื่อนที่ ผู้ใช้งานต้องปฏิบัติเพิ่มเติม ดังนี้
1.13.1 ต้องติดตั้ง Application จาก Official Store หรือเว็บไซต์ที่ให้บริการผ่านโปรโตคอล HTTPS 1.13.2 ไม่ปรับแต่งการเข้าถึงระบบปฏิบัติการ (Rooted/Jailbroken)
1.13.3 ในกรณีที่มีการใช้งานอุปกรณ์ประเภทพกพาในที่สาธารณะ ห้องประชุม และพื้นที่ภายนอก อื่น ๆ ที่ไม่มีการป้องกัน หรือไม่ได้อยู่ในบริเวณของ รฟม. ให้ป้องกันการเข้าถึงที่ไม่ได้รับอนุญาต เช่น ไม่เปิดการเชื่อมต่อแบบไร้สายโดยไม่มีการเข้ารหัสข้อมูล เป็นต้น
26
1.13.4 ต้องระมัดระวังการเคลื่อนย้าย
โดยต้องใส่กระเป๋าเพื่อป้องกันอันตรายที่เกิดจากการกระทบกระเทือน
เช่น การตกจากโต๊ะทํางานหรือหลุดมือ เป็นต้น
1.13.5 ไม่ใส่ในกระเป๋าเดินทางที่เสี่ยงต่อการถูกกดทับโดยไม่ได้ตั้งใจจากการมีของหนักทับหรืออาจถูก
จับโยนได้
1.13.6 การใช้งานเป็นระยะเวลานานเกินไป ในสภาพที่มีอากาศร้อนจัดต้องปิดเครื่องคอมพิวเตอร์เพื่อเป็น
การพักเครื่องสักระยะหนึ่งก่อนเปิดใช้งานใหม่อีกครั้ง
1.13.7 หลีกเลี่ยงการใช้นิ้วหรือของแข็ง เช่น ปลายปากกา กดสัมผัสหน้าจอ LCD ให้เป็นรอย ขีดข่วนหรือ
ทําให้จอ LCD ของเครื่องคอมพิวเตอร์แบบพกพาแตกเสียหายได้
1.13.8 ไม่วางของทับบนหน้าจอและแป้นพิมพ์
1.13.9 การเคลื่อนย้ายเครื่องขณะที่เครื่องเปิดใช้งานอยู่ ให้ทําการยกจากฐานภายใต้แป้นพิมพ์
ห้ามย้ายเครื่องโดยการดึงหน้าจอภาพขึ้น
1.13.10 ไม่คลื่อนย้ายเครื่องในขณะที่ Harddisk กําลังทํางาน
ๆ
1.13.11 ไม่ใช้หรือวางใกล้สิ่งที่เป็นของเหลว ความชื้น เช่น อาหาร น้ํา กาแฟ เครื่องดื่มต่าง ๆ เป็นต้น 1.13.12 ไม่วางใกล้อุปกรณ์ที่มีสนามแม่เหล็กไฟฟ้าแรงสูง เช่น แม่เหล็ก โทรทัศน์ ไมโครเวฟ ตู้เย็น เป็นต้น 1.13.13 ไม่ติดตั้งหรือวางในที่ที่มีการสั่นสะเทือน เช่น ในยานพาหนะที่กําลังเคลื่อนที่
1.13.14 การเช็ดทําความสะอาดหน้าจอภาพต้องเช็ดอย่างเบามือที่สุด และต้องเช็ดไปในแนวทาง
เดียวกันห้ามเช็ดแบบหมุนวน เพราะจะทําให้หน้าจอมีรอยขีดข่วนได้
ม
1.13.15 รับผิดชอบในการป้องกันการสูญหาย เช่น ต้องล็อกเครื่องขณะที่ไม่ได้ใช้งาน ไม่วางเครื่องทิ้งไว้ในที่
สาธารณะ หรือในบริเวณที่มีความเสี่ยงต่อการสูญหาย
1.13.16 นําติดตัวไปด้วยเสมอ เช่น ไม่ละทิ้ง อุปกรณ์ประมวลผลประเภทพกพาในรถยนต์ ห้องพัก ในโรงแรม หรือห้องประชุม เป็นต้น ในกรณีที่มีความจําเป็นต้องละทิ้งให้จัดเก็บไว้ในสถานที่ มั่นคงปลอดภัย
1.13.17 ไม่เก็บหรือใช้งานในสถานที่ที่มีความร้อน ความชื้นหรือฝุ่นละอองสูงและต้องระวังป้องกันการ
ตกกระทบ
1.13.18 ไม่เปลี่ยนแปลงแก้ไขส่วนประกอบย่อย (Sub Component) ที่ติดตั้งอยู่ภายใน เช่น แบตเตอรี่
หน่วยความจํา - แนวปฏิบัติในการใช้รหัสผ่าน
ให้ผู้ใช้งานปฏิบัติตามการใช้งานรหัสผ่าน (Password Use) (ส่วนที่ 6) - การป้องกันจากโปรแกรมชุดคําสั่งไม่พึงประสงค์ (Malicious Code)
3.1 ผู้ดูแลระบบต้องควบคุมการ Update ระบบปฏิบัติการ เว็บเบราว์เซอร์ และโปรแกรมใช้งานต่าง ๆ อย่างสม่ําเสมอ เพื่อปิดช่องโหว่ (Vulnerability) ที่เกิดขึ้นจากซอฟต์แวร์เป็นการป้องกันการโจมตีจาก ภัยคุกคามต่าง ๆ
3.2 ผู้ดูแลระบบต้องติดตั้งและปรับปรุงโปรแกรมป้องกันไวรัสให้ทันสมัยอยู่เสมอ
3.3 ผู้ใช้งานต้องไม่ปิดหรือยกเลิกระบบการป้องกันไวรัสที่ติดตั้งอยู่
3.4 ผู้ใช้งานต้องตรวจสอบหาไวรัสจากสื่อบันทึกต่าง ๆ เช่น Thumb drive และ Data storage
นํามาใช้งานร่วมกับเครื่องคอมพิวเตอร์ของ รฟม.
อื่น ๆ ก่อน
ๆ
3.5 ผู้ใช้งาน หากพบหรือสงสัยว่าเครื่องคอมพิวเตอร์และอุปกรณ์เคลื่อนที่ติดชุดคําสั่งไม่พึงประสงค์ ให้รีบยกเลิก เชื่อมต่อเครื่องเข้ากับระบบเครือข่ายสื่อสารข้อมูลเพื่อป้องกันการแพร่กระจายของชุดคําสั่งที่ไม่พึงประสงค์
ไปยังเครื่องอื่น ๆ ได้ และแจ้ง ฝทท. ทราบทันที
27 - การสํารองข้อมูลและการกู้คืน
4.1
ผู้ใช้งานต้องรับผิดชอบในการสํารองข้อมูลจากเครื่องคอมพิวเตอร์และอุปกรณ์เคลื่อนที่ไว้บนสื่อบันทึกอื่น ๆ เช่น
ระบบ File Sharing, CD, DVD, External harddisk เป็นต้น
4.2 ผู้ใช้งานมีหน้าที่เก็บรักษาสื่อข้อมูลสํารอง (Backup Media) ไว้ในสถานที่ที่เหมาะสม ไม่เสี่ยงต่อการรั่วไหลของ
ข้อมูลและทดสอบการกู้คืนข้อมูลที่สํารองไว้อย่างสม่ําเสมอ - ผู้ดูแลระบบ ต้องควบคุมให้เครื่องคอมพิวเตอร์ได้รับการปรับตั้งค่าอย่างเหมาะสม เพื่อป้องกันการใช้งานหรือ
ติดตั้ง Mobile Code เช่น Active X, Java จากแหล่งที่ไม่น่าเชื่อถือ
วัตถุประสงค์
28
ส่วนที่ 10 การใช้งานอินเทอร์เน็ตและสื่อสังคมออนไลน์
เพื่อควบคุมการใช้งานอินเทอร์เน็ตและการใช้งานสื่อสังคมออนไลน์ (Social Network) ของ รฟม. ให้มีความปลอดภัย และป้องกันการละเมิดพระราชบัญญัติว่าด้วยการกระทําความผิดเกี่ยวกับคอมพิวเตอร์ จนส่งผลกระทบต่อ รฟม.
ผู้รับผิดชอบ
ผู้ดูแลระบบ
ผู้ใช้งาน
อ้างอิงมาตรฐาน: ISO/IEC 27001:2022
มาตรการควบคุมด้านองค์กร (Organizational Controls) มาตรการควบคุมด้านเทคโนโลยี (Technological Controls)
แนวปฏิบัติ - ผู้ดูแลระบบต้องควบคุมการเชื่อมต่อทางเครือข่ายสําหรับการเข้าถึงอินเทอร์เน็ตโดยพิจารณาเรื่องดังต่อไปนี้
- ผู้ดูแลระบบต้องไม่อนุญาตให้ใช้งานอุปกรณ์ Video Streaming อุปกรณ์ Audio streaming หรือ Download
ไฟล์ที่มีขนาดใหญ่ ในกรณีที่จําเป็นต้องได้รับการอนุญาตจากผู้บังคับบัญชาก่อนเท่านั้น - ผู้ดูแลระบบต้องจํากัดการใช้งานอินเทอร์เน็ตเพื่อเรื่องส่วนตัวหรือที่ไม่ใช่การดําเนินงานของ รฟม. ให้น้อยที่สุด เท่าที่เป็นไปได้ เช่น การระงับการเข้าถึง Website ที่ไม่จําเป็น การระงับการเข้าถึง Website ที่มีเนื้อหาต้องห้าม ตามพระราชบัญญัติว่าด้วยการกระทําความผิดเกี่ยวกับคอมพิวเตอร์
- ผู้ดูแลระบบต้องป้องกันไม่ให้มีการรับส่งข้อมูลที่ไม่เหมาะสมจากภายนอก รฟม. เช่น
(ก) Executable เช่น .EXE.COM เป็นต้น
(ข) ไฟล์ (File) เสียง เช่น AUD WAV และ MP3 เป็นต้น
(ค) ไฟล์ (File) วีดิทัศน์ เช่น .MPG MPEG .MOV และ AVI เป็นต้น
(ง) Peer to Peer เช่น torrent เป็นต้น
ในกรณีที่มีความจําเป็นต้องได้รับอนุญาตจากผู้บังคับบัญชา และ ฝทท. - ผู้ดูแลระบบต้องกําหนดเส้นทางการเชื่อมต่อระบบคอมพิวเตอร์เพื่อการเข้าใช้งานอินเทอร์เน็ตที่ต้องเชื่อมต่อ
ผ่านระบบรักษาความปลอดภัยที่ รฟม. จัดสรรไว้เท่านั้น เช่น Proxy, Firewall เป็นต้น - ผู้ดูแลระบบต้องทดสอบเส้นทางสําหรับการเชื่อมต่ออินเทอร์เน็ตขององค์กรระหว่างเส้นทางที่ใช้งานจริงและ
เส้นทางสํารองอย่างน้อยปีละ 2 ครั้ง - ผู้ใช้งานต้องไม่เชื่อมต่อระบบคอมพิวเตอร์ผ่านช่องทางอื่น ยกเว้นมีความจําเป็นและขออนุญาตจาก ฝทท.
เป็นลายลักษณ์อักษรแล้ว - ผู้ใช้งานต้องขออนุญาตติดตั้งซอฟต์แวร์ (Software) ที่ Download จากอินเทอร์เน็ต และการติดตั้งต้องดําเนินการ
โดยผู้ที่ได้รับมอบหมายจากผู้ดูแลระบบเท่านั้น
- ผู้ใช้งานต้องไม่มีเจตนาปิดบังหรือบิดเบือนตัวตนเมื่อมีการใช้งานอินเทอร์เน็ต
- ผู้ใช้งานติดตั้งโปรแกรมป้องกันไวรัส พร้อมทั้งต้องปรับปรุง Virus Signature ที่เครื่องคอมพิวเตอร์ส่วนบุคคลและ เครื่องคอมพิวเตอร์พกพาให้มีความทันสมัยอยู่เสมอ ก่อนทําการเชื่อมต่ออินเทอร์เน็ตผ่านเว็บเบราว์เซอร์ (Web
Browser) และต้องปิดช่องโหว่ของระบบปฏิบัติการที่เว็บเบราว์เซอร์ติดตั้งอยู่ - ผู้ใช้งานจะต้องตรวจสอบไวรัส (Virus Scanning) ก่อนการรับ - ส่งข้อมูลคอมพิวเตอร์ผ่านทางอินเทอร์เน็ต
29 - ผู้ใช้งานต้องไม่ใช้เครือข่ายอินเทอร์เน็ตของ รฟม. เพื่อหาประโยชน์ในเชิงธุรกิจส่วนตัว และทําการเข้าสู่เว็บไซต์ที่ ไม่เหมาะสม เช่น เว็บไซต์ที่ขัดต่อศีลธรรม เว็บไซต์ที่มีเนื้อหาที่ขัดต่อชาติ ศาสนา พระมหากษัตริย์ หรือเว็บไซต์ที่ เป็นภัยต่อสังคม เป็นต้น
- ผู้ใช้งานจะถูกกําหนดสิทธิ์ในการเข้าถึงแหล่งข้อมูลตามหน้าที่ความรับผิดชอบเพื่อประสิทธิภาพของเครือข่ายและ
ความปลอดภัยทางข้อมูลของ รฟม. - ผู้ใช้งานต้องหลีกเลี่ยงการกระทําที่สิ้นเปลืองทรัพยากรของเครือข่ายอินเทอร์เน็ต ดังนี้
(ก) ส่งจดหมายอิเล็กทรอนิกส์ลูกโซ่
(ข) ใช้เวลาในการเข้าถึงอินเทอร์เน็ตเกินความจําเป็นยกเว้นเพื่อปฏิบัติงานให้ รฟม.
(ค) เล่นเกม Online
(ง) เข้าห้องพูดคุย Online ที่ไม่ได้มีวัตถุประสงค์เพื่อปฏิบัติงานให้ รฟม. - ผู้ใช้งานต้องไม่เผยแพร่ข้อมูลที่เป็นการหาประโยชน์ส่วนตัวหรือข้อมูลที่ไม่เหมาะสมทางศีลธรรม หรือข้อมูลที่
ละเมิดสิทธิ์ของผู้อื่น หรือข้อมูลที่อาจก่อความเสียหายให้กับ รฟม. - ผู้ใช้งานต้องไม่เปิดเผยข้อมูลสําคัญที่เป็นความลับเกี่ยวกับงานของ รฟม.
- ผู้ใช้งานต้องไม่นําเข้าข้อมูลคอมพิวเตอร์ใด ๆ ที่มีลักษณะอันเป็นเท็จ อันเป็นความผิดเกี่ยวกับความมั่นคง แห่งราชอาณาจักร อันเป็นความผิดเกี่ยวกับการก่อการร้าย หรือภาพที่มีลักษณะอันลามก และไม่ทําการเผยแพร่
หรือส่งต่อข้อมูลคอมพิวเตอร์ดังกล่าวผ่านอินเทอร์เน็ต - ผู้ใช้งานต้องไม่นําเข้าข้อมูลคอมพิวเตอร์ที่เป็นภาพของผู้อื่นและภาพนั้นเป็นภาพที่เกิดจากการสร้างขึ้น ตัดต่อ เติมหรือดัดแปลงด้วยวิธีการทางอิเล็กทรอนิกส์ หรือวิธีการอื่นใด ที่จะทําให้ผู้อื่นเสียหาย เสียชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง หรือได้รับความอับอาย
- ผู้ใช้งานมีหน้าที่ตรวจสอบความถูกต้องและความน่าเชื่อถือของข้อมูลคอมพิวเตอร์ที่อยู่บนอินเทอร์เน็ตก่อนนํา
ข้อมูลไปใช้งาน - ผู้ใช้งานต้องคํานึงว่าข้อมูลจากอินเทอร์เน็ตอาจไม่มีความทันสมัยหรือไม่มีความถูกต้อง ผู้ใช้งานต้องตรวจสอบ
ความถูกต้องของข้อมูลจากแหล่งที่น่าเชื่อถือก่อนที่จะเผยแพร่ข้อมูลดังกล่าว - ผู้ใช้งานต้องระมัดระวังการดาวน์โหลดโปรแกรมใช้งานจากอินเทอร์เน็ต ซึ่งรวมถึง Patch หรือ Fixes ต่าง ๆ จากผู้ขาย
ต้องเป็นไปโดยไม่ละเมิดทรัพย์สินทางปัญญา - ผู้ใช้งานต้องไม่ใช้ข้อความที่ยั่วยุ ให้ร้ายในการเสนอความคิดเห็นที่จะทําให้เกิดความเสื่อมเสียต่อชื่อเสียงของ รฟม.
การทําลายความสัมพันธ์กับเจ้าหน้าที่ของหน่วยงานอื่น ๆ
ๆ - ผู้ใช้งานต้องไม่บันทึกรหัสผ่านใน Web Browser (Remember Password) เพื่อป้องกันบุคคลอื่นที่สามารถ
เข้าถึงคอมพิวเตอร์ของผู้ใช้งานนํารหัสผ่านดังกล่าวไปใช้งานในอินเทอร์เน็ตโดยไม่ได้รับอนุญาต - ผู้ใช้งานต้องไม่ Download เอกสาร หรือสารสนเทศต่าง ๆ เช่น ข้อมูล รูปภาพ วิดีโอ เสียง และซอฟต์แวร์
(Software) ที่ละเมิดลิขสิทธิ์ หรือผิดกฎหมาย
ๆ - ผู้ใช้งานต้องปิดเว็บเบราว์เซอร์เพื่อป้องกันการเข้าใช้งานโดยบุคคลอื่น ๆ ภายหลังจากใช้งานอินเทอร์เน็ตเสร็จแล้ว 19. การใช้งานสื่อสังคมออนไลน์ (Social Network)
19.1 ผู้ใช้งานต้องระมัดระวังในการนําเสนอข้อมูลข่าวสาร การส่งข้อความ หรือการแสดงความคิดเห็นผ่าน
สื่อสังคมออนไลน์เพื่อไม่ก่อให้เกิดความเสียหายแก่ รฟม.
19.2
4
ผู้ใช้งานต้องระมัดระวังในการใช้สื่อสังคมออนไลน์ เนื่องจากพื้นที่บนสื่อสังคมออนไลน์เป็นพื้นที่ สาธารณะไม่ใช่พื้นที่ส่วนบุคคล ซึ่งข้อมูลการใช้งานต่าง ๆ จะถูกบันทึกไว้และอาจมีผลทางกฎหมาย ถึงแม้จะเป็นการแสดงความคิดเห็นในนามชื่อบัญชีส่วนตัว และพึงตระหนักถึงผลกระทบที่อาจเกิดขึ้น
กับ รฟม. ได้
30
19.3 ผู้ใช้งานที่ใช้สื่อสังคมออนไลน์เป็นเครื่องมือสื่อสารข้อมูลในกิจการของ รฟม. หรือชื่อบุคคลที่ทําให้เข้าใจ ได้ว่าเป็นบุคคลในสังกัด ต้องแสดงภาพ และข้อมูลให้ถูกต้องชัดเจนในข้อมูล โปรไฟล์ (Profile) และ จึงใช้ด้วยความสุภาพและมีวิจารณญาณ
19.4 ผู้ใช้งานควรตั้งคําถามที่ใช้ในกรณีกู้คืนบัญชีผู้ใช้งานหรือกู้คืนรหัสผ่าน (Forgot Your Password)
ควรเลือกใช้ข้อมูลหรือคําถามที่เป็นส่วนบุคคลและเป็นข้อมูลที่ผู้อื่นคาดเดาได้ยากเพื่อป้องกันการสุ่มคําถาม
จากผู้ประสงค์ร้าย
19.5 ผู้ใช้งานต้องไม่ใช้ระบบอีเมลของเว็บไซต์ประเภทสื่อสังคมออนไลน์ หากจําเป็นต้องใช้จะต้องระมัดระวัง ในการคลิกลิงก์ที่น่าสงสัย โดยเฉพาะอีเมลแจ้งเตือนจากเว็บไซต์ต่าง ๆ ในลักษณะเชื้อเชิญให้คลิกลิงก์ ที่แนบมาในอีเมล ผู้ใช้งานต้องสงสัยว่าลิงก์ดังกล่าวเป็นลิงก์ที่ไม่ปลอดภัย (ลิงก์ที่ถูกสร้างมาเพื่อใช้ขโมย ข้อมูลส่วนบุคคล ด้วยการนําไปสู่เว็บไซต์ที่ดูน่าเชื่อถือที่ผู้ประสงค์ร้ายสร้างไว้เพื่อให้ผู้ใช้งานกรอกข้อมูล ส่วนบุคคล เช่น รหัสผ่าน เป็นต้น)
19.6 ผู้ใช้งานต้องศึกษาการตั้งค่าความเป็นส่วนตัวหรือ “Privacy Settings” ให้เข้าใจเป็นอย่างดีและ ปรับแต่งการตั้งค่าความเป็นส่วนตัวให้เหมาะสมเพื่อป้องกันการถูกละเมิดความเป็นส่วนตัวซึ่ง
19.7
อาจจะส่งผลกระทบต่อตนเองหรือ รฟม.
ผู้ใช้งานต้องใช้งานสื่อสังคมออนไลน์อย่างเหมาะสม โดยไม่ละเมิดกฎหมายและไม่ก่อให้เกิดความเสียหายหรือ ส่งผลกระทบต่อการทํางานขององค์กร
19.8 ผู้ใช้งานควรปิดการใช้งานระบบโพสต์ข้อความสาธารณะทุก ๆ ส่วนของเว็บไซต์ประเภท Social Network
หากจําเป็นต้องใช้งานต้องปรับค่าให้มีการตรวจสอบข้อความก่อนเพื่อหลีกเลี่ยงโอกาสแพร่กระจายลิงก์ ที่ไม่ปลอดภัยจากผู้ประสงค์ร้าย ซึ่งเป็นหนึ่งในเทคนิคที่ใช้ในการโจมตีประเภท Spear Phishing 19.9 ผู้ใช้งานต้องตรวจสอบก่อนจะรับเพื่อนเข้ากลุ่มในเว็บไซต์ประเภท Social Network โดยต้องแน่ใจว่า ข้อมูลส่วนตัวของเพื่อนคนนั้น เช่น รูปถ่ายและประวัติส่วนตัวไม่ถูกแก้ไขเพื่อปลอมแปลงตัวตนจาก ผู้ประสงค์ร้ายที่หวังแอบอ้างเพื่อคุกคามเป้าหมาย
19.10 ผู้ใช้งานต้องตระหนักไว้เสมอว่าข้อมูลต่าง ๆ ที่ผู้ใช้งานเผยแพร่ไว้บนบริการสื่อสังคมออนไลน์นั้นคงอยู่
ถาวรและผู้อื่นอาจเข้าถึงและเผยแพร่ข้อมูลเหล่านั้นได้
19.11 ผู้ใช้งานต้องมีข้อพิจารณาในการรับเพื่อนเข้ากลุ่มที่ชัดเจน และควรประกาศข้อความปฏิเสธความ
รับผิดชอบที่เกี่ยวกับเนื้อหาหรือข้อความแสดงความคิดเห็นซึ่งถูกโพสต์จากเพื่อนในกลุ่มที่อาจปรากฏใน เว็บไซต์ประเภท Social Network ของผู้ใช้งานเอง
19.12 ผู้ใช้งานต้องติดตั้งซอฟต์แวร์ป้องกันไวรัส และอัปเดตฐานข้อมูลไวรัสของโปรแกรมอยู่เสมอ และต้อง
หลีกเลี่ยงการใช้โปรแกรมที่ละเมิดลิขสิทธิ์เพราะอาจจะมีโปรแกรมประสงค์ร้ายแฝงตัวอยู่ภายในเพื่อ
ลักลอบ ปลอมแปลง หรือขโมยข้อมูลสําคัญของผู้ใช้งานได้
19.13 ผู้ใช้งานต้องระมัดระวังการใช้ถ้อยคําและภาษาที่อาจเป็นการดูหมิ่น ยุยง ท้าทาย หรือเป็นการละเมิดต่อ
บุคคลอื่น กรณีบุคคลอื่นมีความคิดเห็นที่แตกต่างพึงงดเว้นการโต้ตอบด้วยถ้อยคํารุนแรง
19.14 ผู้ใช้งานต้องระมัดระวังกระบวนการหาข่าว หรือภาพจากสื่อสังคมออนไลน์ โดยมีการตรวจสอบอย่างถี่ถ้วน รอบด้านและต้องอ้างอิงแหล่งที่มาเมื่อนําเสนอ เว้นแต่สามารถตรวจสอบและอ้างอิงจากแหล่งข่าว
ได้โดยตรง
19.15 หากผู้ใช้งานต้องการใช้สื่อสังคมออนไลน์เป็นเครื่องมือในการรายงานข่าวในนามของบุคคลธรรมดาต้อง
แสดงให้ชัดเจนว่า ข้อความใดเป็น “ข่าว” ข้อความใดเป็น “ความคิดเห็นส่วนตัว”
19.16 การส่งต่อหรือเผยแพร่ข้อมูลในสื่อสังคมออนไลน์ (Social Media)
31
19.16.1 ผู้ใช้งานต้องไม่ส่งต่อหรือเผยแพร่ข้อมูลที่เป็นเท็จ ข่าวลือ ข่าวไม่ปรากฏที่มา เป็นเพียงการ
คาดเดา หรือส่งผลเสียหายกับบุคคล สังคม หรือ รฟม.
19.16.2 ผู้ใช้งานต้องไม่ส่งต่อหรือเผยแพร่ข้อมูลเรื่องบุคคลเสียชีวิต เด็กและเยาวชน ผู้สูญหาย
19.16.3
ผู้ต้องหา เว้นเสียแต่ตรวจสอบข้อเท็จจริงแล้วและเห็นว่าเป็นประโยชน์ต่อสาธารณะ
ผู้ใช้งานต้องไม่ส่งต่อหรือเผยแพร่ข้อมูลที่กระทบต่อสิทธิความเป็นส่วนตัว และศักดิ์ศรีความ
เป็นมนุษย์
19.17 ผู้ใช้งานต้องตั้งค่าความปลอดภัยของการใช้งานสื่อสังคมออนไลน์ และระมัดระวังการถูกนําข้อมูลจากชื่อบัญชี
ไปใช้โดยไม่เหมาะสม ผิดวัตถุประสงค์ และลักษณะการแอบอ้างโดยบุคคลอื่น - ผู้ใช้งานต้องใช้งานอินเทอร์เน็ตและสื่อสังคมออนไลน์โดยตระหนักถึงพระราชบัญญัติการกระทําความผิดเกี่ยวกับ
คอมพิวเตอร์ที่บังคับใช้อยู่เสมอ
32
ส่วนที่ 11
การใช้งานจดหมายอิเล็กทรอนิกส์
วัตถุประสงค์
เพื่อกําหนดมาตรการการใช้งานจดหมายอิเล็กทรอนิกส์ของ รฟม. ให้มีความปลอดภัยและมีประสิทธิภาพ
ผู้รับผิดชอบ
ผู้ดูแลระบบ
ผู้ใช้งาน
อ้างอิงมาตรฐาน: ISO/IEC 27001:2022
มาตรการควบคุมด้านองค์กร (Organizational Controls) มาตรการควบคุมด้านเทคโนโลยี (Technological Controls)
แนวปฏิบัติ - ผู้ดูแลระบบต้องกําหนดสิทธิ์การเข้าถึงระบบจดหมายอิเล็กทรอนิกส์ของ รฟม. ให้เหมาะสมกับหน้าที่ความ
รับผิดชอบของผู้ใช้งาน รวมทั้งทบทวนสิทธิ์การเข้าใช้งานอย่างสม่ําเสมอ - ผู้ดูแลระบบต้องกําหนดบัญชีผู้ใช้งานตามมาตรฐานจดหมายอิเล็กทรอนิกส์ (Email) ที่ใช้ในองค์กร
- ผู้ใช้งานต้องระมัดระวังในการใช้จดหมายอิเล็กทรอนิกส์ไม่ให้เกิดความเสียหายต่อ รฟม. ละเมิดลิขสิทธิ์ สร้าง ความน่ารําคาญต่อผู้อื่น ผิดกฎหมาย ละเมิดศีลธรรม และไม่แสวงหาประโยชน์ หรืออนุญาตให้ผู้อื่นแสวงหา ผลประโยชน์ในเชิงธุรกิจจากการใช้จดหมายอิเล็กทรอนิกส์ของ รฟม.
- ผู้ใช้งานต้องไม่ใช้ที่อยู่จดหมายอิเล็กทรอนิกส์ (Email Address) ของผู้อื่นเพื่ออ่าน รับ - ส่งข้อความ ยกเว้นได้รับการ ยินยอมจากเจ้าของบัญชีและให้ถือว่าเจ้าของบัญชีจดหมายอิเล็กทรอนิกส์เป็นผู้รับผิดชอบต่อการใช้งานต่าง ๆ
ในจดหมายอิเล็กทรอนิกส์ของตน - ผู้ใช้งานต้องใช้ที่อยู่จดหมายอิเล็กทรอนิกส์ของ รฟม. เพื่อปฏิบัติงาน ติดต่อ และประสานงานของ รฟม. เท่านั้น 6. ผู้ใช้งานต้องไม่ใช้ที่อยู่จดหมายอิเล็กทรอนิกส์ฟรีของเอกชนในการปฏิบัติงาน ติดต่อ และประสานงานของ รฟม. 7. ผู้ใช้งานต้อง Logout ออกจากระบบทุกครั้ง หลังจากใช้งานระบบจดหมายอิเล็กทรอนิกส์เสร็จสิ้นเพื่อป้องกัน
บุคคลอื่นเข้าใช้งานจดหมายอิเล็กทรอนิกส์
ใช้งานต้องตรวจสอบเอกสารแนบจากจดหมายอิเล็กทรอนิกส์ก่อนเปิดอ่าน โดยใช้โปรแกรมป้องกันไวรัส
เพื่อตรวจสอบมัลแวร์ต่าง ๆ
9. ผู้ใช้งานต้องไม่เปิดหรือส่งต่อจดหมายอิเล็กทรอนิกส์ที่ได้รับจากผู้ส่งที่ไม่รู้จัก
10. ผู้ใช้งานต้องใช้ข้อความที่สุภาพในการรับ – ส่งจดหมายอิเล็กทรอนิกส์ และไม่ส่งจดหมายที่มีเนื้อหาอาจทําให้ รฟม.
เสียชื่อเสียงหรือทําให้เกิดความแตกแยกภายใน รฟม.
11. ผู้ใช้งานต้องไม่ระบุความสําคัญของข้อมูลลงในหัวข้อจดหมายอิเล็กทรอนิกส์และต้องเข้ารหัสเพื่อป้องกัน
การเข้าถึงข้อมูลโดยผู้ไม่เกี่ยวข้องเมื่อมีการส่งข้อมูลที่เป็นความลับ
12. ผู้ใช้งานต้องตรวจสอบตู้เก็บจดหมายอิเล็กทรอนิกส์ของตนเองทุกวัน และต้องจัดเก็บจดหมายอิเล็กทรอนิกส์ในตู้ของตน
ให้เหลือจํานวนน้อยที่สุด หากมีข้อมูลที่จําเป็นต้องนํามาใช้อ้างอิงในการปฏิบัติงานภายหลังให้ผู้ใช้งานโอนย้าย จดหมายอิเล็กทรอนิกส์มายังเครื่องคอมพิวเตอร์ของตน ทั้งนี้ เพื่อลดปริมาณการใช้เนื้อที่ของระบบจดหมาย
อิเล็กทรอนิกส์
วัตถุประสงค์
33
ส่วนที่ 12
การสํารองข้อมูลและการเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์
- เพื่อให้มีข้อมูลสํารองไว้ใช้งานในกรณีที่ข้อมูลหลักเกิดความเสียหายไม่สามารถใช้งานหรือเข้าถึงได้ หรือเมื่อเกิด
ภาวะฉุกเฉินต่าง ๆ - เพื่อให้มีการปฏิบัติที่สอดคล้องกับกฎหมาย พระราชบัญญัติ หรือข้อบังคับภายนอกอื่น ๆ
ผู้รับผิดชอบ
ผู้บังคับบัญชา ผู้ดูแลระบบ
เจ้าของข้อมูล - ผู้ใช้งาน
อ้างอิงมาตรฐาน: ISO/IEC 27001:2022
มาตรการควบคุมด้านองค์กร (Organizational Controls) มาตรการควบคุมด้านเทคโนโลยี (Technological Controls)
แนวปฏิบัติ
- การสํารองข้อมูลระบบแม่ข่าย
ข้อมูลระบบแม่ข่ายและข้อมูลสําคัญซึ่งเป็นความลับของ รฟม. ต้องได้รับการเก็บรักษาไว้ที่ระบบเก็บข้อมูล ส่วนกลาง และสํารองข้อมูลไว้อย่างสม่ําเสมอ เพื่อให้มีข้อมูลสํารองไว้ใช้ ในกรณีที่ข้อมูลหลักเกิดความเสียหาย หรือไม่สามารถใช้งาน ความถี่ในการดําเนินการสํารองข้อมูลและขั้นตอนการสํารองข้อมูลระบบแม่ข่ายเป็นความ รับผิดชอบของ ฝทท. โดยมีแนวปฏิบัติ
ดังนี้
1.1 ผู้บังคับบัญชากําหนดผู้รับผิดชอบในการสํารองข้อมูล
1.2 ผู้ดูแลระบบต้องกําหนดชนิดของข้อมูลของระบบที่มีความจําเป็นต้องสํารองข้อมูลเก็บไว้ เช่น ข้อมูล ค่าคอนฟิกกูเรชัน (Configuration) ข้อมูลคู่มือการปฏิบัติงานสําหรับระบบ ข้อมูลในฐานข้อมูลของ ระบบงาน ข้อมูลซอฟต์แวร์ เช่น ซอฟต์แวร์ระบบปฏิบัติการ ซอฟต์แวร์ระบบงาน และซอฟต์แวร์อื่น ๆ เป็นต้น 1.3 ผู้ดูแลระบบต้องสํารองข้อมูลตามความถี่ที่กําหนดไว้ ทั้งนี้ หากเป็นข้อมูลที่สนับสนุนกระบวนการทํางานที่
สําคัญของ รฟม. ให้สํารองตามความถี่ที่ รฟม. กําหนด
1.4 ผู้ดูแลระบบต้องตรวจสอบว่าการสํารองข้อมูลสําเร็จครบถ้วนหรือไม่ หากไม่สําเร็จให้หาสาเหตุและ
ดําเนินการแก้ไขอีกครั้งหนึ่ง
1.5 ผู้ดูแลระบบต้องนําข้อมูลที่สํารองไว้ไปเก็บไว้ทั้งภายในและภายนอก รฟม. อย่างน้อยอย่างละ 1 ชุด 1.6 ผู้ดูแลระบบทดสอบกู้คืนข้อมูลที่สํารองเก็บไว้อย่างสม่ําเสมอ อย่างน้อยปีละ 1 ครั้ง เพื่อให้มั่นใจว่าข้อมูล
ที่สํารองไว้มีความถูกต้อง ครบถ้วน และพร้อมใช้งาน - การสํารองข้อมูลคอมพิวเตอร์ส่วนบุคคล
ผู้ใช้งานจะต้องสํารองข้อมูลสําคัญที่เก็บรักษาไว้ในเครื่องคอมพิวเตอร์ส่วนบุคคลหรือคอมพิวเตอร์ หรืออุปกรณ์พกพา
อื่น ๆ อย่างสม่ําเสมอ ความถี่ในการสํารองข้อมูลขึ้นอยู่กับความถี่ของการเปลี่ยนแปลงของข้อมูลและระดับ ความสําคัญของข้อมูลหากเกิดการสูญหาย - การเก็บรักษาข้อมูลจราจรคอมพิวเตอร์
เพื่อให้สามารถระบุตัวบุคคลผู้ใช้งานได้อย่างถูกต้อง ผู้ดูแลระบบต้องดําเนินการ ดังนี้
3.1 เลือกใช้นาฬิกาจากแหล่งที่น่าเชื่อถือที่มีการเชื่อมต่อในลําดับชั้น Stratum 0 โดยนาฬิกาจากแหล่งดังกล่าวจะต้อง
ได้รับการอนุมัติให้ใช้งาน
3.2 ตั้งนาฬิกาของอุปกรณ์ที่ให้บริการทุกชนิดจาก NTP Server ของ รฟม. เท่านั้น
34
3.3 ต้องทบทวนนาฬิกาที่ NTP Server อย่างน้อยสัปดาห์ละ 1 ครั้ง
1
3.4 ต้องจัดเก็บรักษาข้อมูลจราจรคอมพิวเตอร์ โดยระยะเวลาในการเก็บตามประกาศกระทรวงเทคโนโลยี สารสนเทศและการสื่อสาร เรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ. 2550 (อย่างน้อย 90 วัน)
3.5 เก็บรักษาข้อมูลจราจรคอมพิวเตอร์ในสื่อที่สามารถรักษาความครบถ้วนถูกต้องแท้จริง มีการเก็บรักษา
ความลับของข้อมูลตามระดับชั้นความลับในการเข้าถึงตามที่ รฟม. กําหนด
3.6 ประเภทของสารสนเทศที่เก็บรักษา แสดงตามตาราง
ประเภทของสารสนเทศ
Authentication Server Logs
(RADIUS, TACACS)
Email Server Logs
Web Application Server Logs
NTP Server Logs
DHCP Server Logs
IPS Logs
Firewalls Logs
Routers & Switches Logs
Active Directory Logs
กฎหมายที่เกี่ยวข้อง
- พระราชบัญญัติว่าด้วยการกระทําความผิด
เกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 - พระราชบัญญัติว่าด้วยการกระทําความผิด
เกี่ยวกับคอมพิวเตอร์ (ฉบับที่ 2) พ.ศ. 2560 3) ประกาศกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม
เรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทาง คอมพิวเตอร์ของผู้ให้บริการ พ.ศ. 2564
- การจัดเก็บบันทึกข้อมูลล็อกและการเฝ้าระวัง (Logging and Monitoring)
ระยะเวลาการเก็บ รักษา (ปี)
4.1 ผู้ดูแลระบบต้องมีการจัดเก็บบันทึกเหตุการณ์ (Event Logs) การใช้งานระบบสารสนเทศ
1
1
1
1
1
1
1
1
1
4.2 ผู้ดูแลระบบต้องเก็บบันทึกข้อมูล Audit Log ซึ่งบันทึกกิจกรรมการใช้งานของผู้ใช้งานระบบสารสนเทศและ เหตุการณ์เกี่ยวกับความมั่นคงปลอดภัยต่าง ๆ เพื่อประโยชน์ในการสืบสวน สอบสวน และเพื่อการติดตาม
การควบคุมการเข้าถึง
ๆ
4.3 ผู้ดูแลระบบต้องมีการตรวจสอบข้อมูลบันทึกเหตุการณ์อย่างสม่ําเสมอ (Log Review)
4.4 ผู้ดูแลระบบต้องไม่ลบข้อมูลล็อก (Log) หรือปิดการใช้งานการบันทึกข้อมูลล็อก (Log)
4.5 ผู้ดูแลระบบต้องป้องกันระบบสารสนเทศที่จัดเก็บล็อก (Log) และข้อมูลล็อก (Log) เพื่อป้องกันการเข้าถึงหรือ
แก้ไขเปลี่ยนแปลงโดยไม่ได้รับอนุญาต
35
ส่วนที่ 13 การตรวจสอบและประเมินความเสี่ยง
วัตถุประสงค์
เพื่อให้มีการตรวจสอบการดําเนินงานของระบบจัดการความมั่นคงปลอดภัยสารสนเทศ และปรับปรุงอย่างต่อเนื่อง เพื่อควบคุม และติดตามการปฏิบัติงานของผู้ดูแลระบบสารสนเทศ ให้สอดคล้องตามข้อกําหนด กฎหมาย หรือ
ระเบียบข้อบังคับที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ
- เพื่อประเมินความเสี่ยงด้านความมั่นคงปลอดภัยของสารสนเทศและบริหารจัดการความเสี่ยงให้อยู่ในระดับที่
องค์กรยอมรับได้
ผู้รับผิดชอบ
ผู้บังคับบัญชา
ผู้ดูแลระบบ
อ้างอิงมาตรฐาน: ISO/IEC 27001:2022
ข้อก้าหนดหลัก: การวางแผน (Planning)
ข้อก้าหนดหลัก: การตรวจประเมินภายใน (Internal Audit) มาตรการควบคุมด้านองค์กร (Organizational Controls) มาตรการควบคุมด้านเทคโนโลยี (Technological Controls)
แนวปฏิบัติ
- ผู้บังคับบัญชา ต้องกําหนดให้มีแนวทางในการดําเนินงานของระบบสารสนเทศสอดคล้องกับกฎหมาย พระราชบัญญัติ กฎระเบียบ ข้อบังคับที่เกี่ยวข้องกับความมั่นคงปลอดภัยสารสนเทศโดยต้องจัดทําเป็น ลายลักษณ์อักษร และมีการปรับปรุงให้เป็นปัจจุบันอยู่เสมอ
- ผู้บังคับบัญชา ต้องกําหนดมาตรการในการควบคุมและบริหารจัดการสินทรัพย์ทางปัญญา ได้แก่ ลิขสิทธิ์ในเอกสาร หรือซอฟต์แวร์ เครื่องหมายการค้า สิทธิบัตร และใบอนุญาตการใช้งานซอร์สโค้ด หรือการใช้งานซอฟต์แวร์ เพื่อให้การดําเนินงานเป็นไปตามข้อกําหนดทั้งในแง่ของข้อสัญญา และด้านกฎหมาย พระราชบัญญัติ กฎระเบียบ ข้อบังคับด้านสินทรัพย์ทางปัญญาที่เกี่ยวข้อง
- ผู้บังคับบัญชา ต้องควบคุมให้มีการคุ้มครองข้อมูลส่วนบุคคลโดยให้สอดคล้องกับกฎหมาย พระราชบัญญัติ
กฎระเบียบ ข้อบังคับที่เกี่ยวข้อง - ผู้บังคับบัญชา ต้องกํากับดูแล และควบคุมการปฏิบัติงานของผู้ที่อยู่ใต้การบังคับบัญชา เพื่อป้องกันการใช้งานระบบ สารสนเทศผิดวัตถุประสงค์ หรือละเมิดต่อนโยบายและแนวทางปฏิบัติการรักษาความมั่นคงปลอดภัยของระบบ
สารสนเทศของ รฟม. - ผู้บังคับบัญชา ต้องควบคุมให้มีการป้องกันข้อมูลสําคัญขององค์กร ข้อมูลสําคัญที่เกี่ยวข้องกับข้อกําหนดทาง
กฎหมาย ระเบียบ ข้อบังคับ สัญญา ควรได้รับการป้องกันจากการสูญหาย ถูกทําลาย และปลอมแปลง ผู้บังคับบัญชาต้องจัดให้มีการตรวจสอบการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ โดยผู้ตรวจสอบ ภายใน (Internal Auditor) หรือโดยผู้ตรวจสอบอิสระด้านความมั่นคงปลอดภัยจากภายนอก (External Auditor) ตามระยะเวลาอย่างน้อยปีละ 1 ครั้ง - ผู้ดูแลระบบต้องกําหนดกระบวนการตรวจสอบและการแจ้งเตือนเมื่อเกิดเหตุผิดปกติเกี่ยวกับการใช้งาน
ทรัพยากร (Capacity) กําหนดเกณฑ์การใช้งานทรัพยากรและวางแผนด้านทรัพยากรสารสนเทศให้รองรับการ ปฏิบัติงานในอนาคตอย่างเหมาะสม รวมถึงต้องติดตามผลการใช้งานทรัพยากรสารสนเทศ
36 - ผู้ดูแลระบบต้องมีการตรวจสอบการทํางาน (Monitor) ของระบบสารสนเทศอย่างสม่ําเสมอและเสนอผู้บังคับบัญชา
รับทราบเมื่อมีเหตุการณ์ผิดปกติเกิดขึ้น รวมถึงแจ้งผู้เกี่ยวข้องเพื่อดําเนินการแก้ไขโดยไม่ชักช้า - ผู้ดูแลระบบ ต้องป้องกันการเข้าใช้งานเครื่องมือที่ใช้เพื่อการตรวจสอบ เพื่อมิให้เกิดการใช้งานผิดประเภทหรือถูก ละเมิดการใช้งาน (Compromise) โดยควบคุมการเข้าถึง และตรวจสอบการนําเครื่องมือไปใช้งานอย่างสม่ําเสมอ ผู้ดูแลระบบต้องประเมินความเสี่ยงของระบบเทคโนโลยีสารสนเทศอย่างน้อยปีละ 1 ครั้ง หรือเมื่อมีการ
เปลี่ยนแปลงอย่างมีนัยสําคัญ
11. ผู้บังคับบัญชาต้องติดตามผลการดําเนินการตามแผนบริหารจัดการความเสี่ยง (Risk Treatment Plan)
เป็นประจําทุกไตรมาส
12. ผู้ดูแลระบบต้องประเมินความเสี่ยงแล้วจัดลําดับความสําคัญของความเสี่ยงนั้นและค้นหาวิธีการเพื่อลดความเสี่ยง ตามขั้นตอนที่ รฟม. กําหนด พร้อมทั้งพิจารณาข้อดีข้อเสียของวิธีการเหล่านั้นเพื่อให้ผู้บริหารของ รฟม. ตัดสินใจ เลือกวิธีการเพื่อลดความเสี่ยงหรือยอมรับความเสี่ยง เมื่อเลือกวิธีการลดความเสี่ยงแล้วผู้บริหารต้องจัดสรร ทรัพยากรอย่างเพียงพอเพื่อดําเนินการ แนวทางการลดความเสี่ยง แบ่งได้เป็น 3 รูปแบบ ได้แก่
12.1 การเลือกใช้เทคโนโลยี เพื่อใช้ในการลดความเสี่ยงและเพิ่มความมั่นคงปลอดภัยของระบบเทคโนโลยี สารสนเทศ รฟม. เป็นวิธีที่จําเป็นต้องใช้งบประมาณและทรัพยากรอย่างเพียงพอในการดําเนินการ เช่น การเลือกใช้อุปกรณ์ Firewall มากกว่าหนึ่งผลิตภัณฑ์ในการป้องกันการเข้าถึงเครือข่ายที่สําคัญ การใช้ อุปกรณ์สมาร์ทการ์ด หรือ USB Token ในการตรวจสอบยืนยันตัวตนในการเข้าใช้งานระบบจากภายนอก
รฟม. เป็นต้น
12.2 การปรับเปลี่ยนขั้นตอนปฏิบัติ ต้องออกแบบขั้นตอนปฏิบัติใหม่ที่รัดกุมและสามารถรักษาความมั่นคง ปลอดภัยของระบบเทคโนโลยีสารสนเทศ รฟม. ได้ดีขึ้น เมื่อออกแบบขั้นตอนปฏิบัติใหม่แล้วต้องมีการ พิจารณาหารือความเหมาะสม ความเป็นไปได้ และผู้บริหารต้องเป็นผู้อนุมัติให้มีการบังคับใช้ขั้นตอน ปฏิบัติใหม่นั้น 12.3 ผู้ดูแลระบบต้องแจ้งขั้นตอนปฏิบัติให้ผู้เกี่ยวข้องรับรู้อย่างทั่วถึง รวมทั้งต้องจัดฝึกอบรมผู้ใช้งาน
ที่เกี่ยวข้องเพื่อให้สามารถปฏิบัติตามขั้นตอนปฏิบัติใหม่ได้อย่างราบรื่นและมีประสิทธิภาพ
13. การตรวจสอบความปลอดภัยของระบบสารสนเทศ
13.1 ผู้ดูแลระบบ ต้องวางแผนการตรวจสอบและประเมินช่องโหว่หรือจุดอ่อนด้านความมั่นคงปลอดภัย สารสนเทศ และแจ้งผู้ที่เกี่ยวข้องเพื่อแก้ไขในกรณีที่พบว่าช่องโหว่หรือจุดอ่อนนั้นอาจเป็นเหตุการณ์ด้าน ความมั่นคงปลอดภัย อย่างน้อยปีละ 1 ครั้ง 13.2 ผู้ดูแลระบบต้องตรวจสอบระบบสารสนเทศที่จะต้องมีการปรับปรุงเมื่อมีเวอร์ชันใหม่ (Patch) รวมทั้งข้อมูล ที่เกี่ยวข้องกับช่องโหว่ด้านเทคนิคอย่างสม่ําเสมอเพื่อให้ทราบถึงภัยคุกคามและความเสี่ยง รวมถึงหาวิธีป้องกัน
และแก้ไขที่เหมาะสมกับช่องโหว่นั้น
13.3 ผู้ใช้งาน ผู้ดูแลระบบ และหน่วยงานภายนอก ต้องบันทึกและรายงานช่องโหว่หรือจุดอ่อนใด ๆ ด้านความมั่นคง ปลอดภัยสารสนเทศ ที่อาจสังเกตพบระหว่างการติดตามการใช้งานระบบสารสนเทศ ผ่านช่องทางบริหาร จัดการที่กําหนดไว้อย่างเหมาะสม และต้องดําเนินการปิดช่องโหว่ที่มีการตรวจพบหรือได้รับแจ้ง
14. การวิเคราะห์ข้อมูลเชิงลึกของภัยคุกคาม (Threat Intelligence)
14.1 ผู้ดูแลระบบต้องรวบรวมข้อมูลที่เกี่ยวข้องกับภัยคุกคามทั้งจากภายในและภายนอกองค์กร เช่น ช่องโหว่ หรือ
เหตุการณ์ภัยคุกคามต่าง ๆ ที่เกิดขึ้น
14.2 ผู้ดูแลระบบต้องนําข้อมูลภัยคุกคามที่รวบรวมได้มาวิเคราะห์เชิงลึก ได้แก่ Tactics, Techniques หรือ Procedures (TTPs) ที่กลุ่มผู้ไม่ประสงค์ดีนํามาใช้ รวมถึงแรงจูงใจ เป้าหมาย และพฤติกรรมการโจมตี ของผู้ไม่ประสงค์ดี เพื่อให้ รฟม. สามารถจัดเตรียมวิธีการป้องกันหรือวิธีการรับมือกับภัยคุกคาม
ได้อย่างมีประสิทธิภาพและทันท่วงที
37
15. ผู้ดูแลระบบต้องมีการบริหารจัดการการเปลี่ยนแปลงเกี่ยวกับการจัดเตรียมการให้บริการ การดูแลปรับปรุง นโยบายในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ ขั้นตอนปฏิบัติงาน หรือการควบคุมเกี่ยวกับความมั่นคง ปลอดภัยด้านสารสนเทศ โดยคํานึงถึงระดับความสําคัญของการดําเนินธุรกิจที่เกี่ยวข้องและการประเมินความเสี่ยง
อย่างต่อเนื่อง
16. การเตรียมความพร้อมกรณีฉุกเฉิน
เพื่อให้มีการบริหารจัดการความต่อเนื่องให้กับกระบวนการทางธุรกิจที่สําคัญขององค์กร เมื่อมีเหตุการณ์ที่ทําให้
เกิดการหยุดชะงักหรือติดขัดต่อกระบวนการดังกล่าว โดยมีแนวปฏิบัติ
ดังนี้
16.1 ผู้ดูแลระบบต้องกําหนดระบบที่มีความสําคัญทั้งหมดขององค์กร และจัดทําเป็นบัญชีรายชื่อระบบ
ดังกล่าวรวมทั้งปรับปรุงรายชื่อระบบสําคัญและบัญชีฯ ตามความเป็นจริง
16.2 เจ้าของข้อมูลและผู้ดูแลระบบประเมินความเสี่ยงสําหรับระบบเหล่านั้น กําหนดมาตรการเพื่อลดความเสี่ยง
16.3
ที่พบและจัดทํารายงานการประเมินความเสี่ยง
ผู้ดูแลระบบต้องทบทวน/ปรับปรุงแผนบริหารความต่อเนื่องทางธุรกิจ (Business Continity Plan: BCP)
อย่างน้อยปีละ 1 ครั้ง
16.4 ผู้ดูแลระบบจัดทําและปรับปรุงแผนกู้คืนระบบอย่างน้อยปีละ 1 ครั้ง
16.5 เจ้าของข้อมูลและผู้ดูแลระบบต้องทดสอบแผนบริหารความต่อเนื่องทางธุรกิจและแผนกู้คืนระบบอย่างน้อย ปีละ 1 ครั้ง พร้อมทั้งบันทึกผลการทดสอบรวมถึงปัญหาที่พบ และนําเสนอผลการทดสอบและแนวทางแก้ไข ต่อผู้บังคับบัญชา
16.6 ผู้ดูแลระบบต้องจัดประชุมและชี้แจงให้ผู้ที่เกี่ยวข้องทั้งหมดได้รับทราบเกี่ยวกับแผนบริหารความต่อเนื่อง
ทางธุรกิจและแผนกู้คืน และผลของการฝึกซ้อมการกู้คืนระบบและผลการทดสอบแผนบริหารความต่อเนื่อง ทางธุรกิจ
วัตถุประสงค์
38
ส่วนที่ 14
การถ่ายโอน และแลกเปลี่ยนข้อมูลสารสนเทศ
เพื่อให้มีการควบคุมการถ่ายโอนและแลกเปลี่ยนข้อมูลสารสนเทศ ป้องกันการรั่วไหล หรือมีการแก้ไขข้อมูลโดยที่
ไม่ได้รับอนุญาต รวมถึงการป้องกันสื่อบันทึกข้อมูลให้มีความปลอดภัยเป็นไปตามข้อกําหนด
ผู้รับผิดชอบ
ผู้บังคับบัญชา
- เจ้าของข้อมูล
ผู้ดูแลระบบ
อ้างอิงมาตรฐาน: ISO/IEC 27001:2022 - มาตรการควบคุมด้านองค์กร (Organizational Controls) - มาตรการควบคุมด้านเทคโนโลยี (Technological Controls)
แนวปฏิบัติ
- ผู้บังคับบัญชา ต้องควบคุมให้มีการจัดทํานโยบาย และขั้นตอนการปฏิบัติเพื่อป้องกันข้อมูลสารสนเทศที่มีการ สื่อสาร หรือแลกเปลี่ยนผ่านระบบสารสนเทศให้เหมาะสมตามระดับชั้นความลับข้อมูลสารสนเทศ ตามขั้นตอนที่
รฟม. กําหนด - ผู้บังคับบัญชา และเจ้าของข้อมูล ต้องควบคุมให้มีการจัดทําข้อตกลงในการแลกเปลี่ยนข้อมูลสารสนเทศระหว่าง
องค์กรกับบุคคลหรือหน่วยงานภายนอก - ผู้ดูแลระบบต้องแลกเปลี่ยนข้อมูลสารสนเทศต้องแลกเปลี่ยนผ่านช่องทางที่ปลอดภัย เช่น Web Service ที่ใช้งาน
ผ่านโปรโตคอล HTTPS - ผู้ดูแลระบบต้องปิดบังข้อมูล (Data Masking) ทั้งข้อมูลส่วนบุคคลและข้อมูลอ่อนไหวขององค์กร (Sensitive Data)
ที่มีการถ่ายโอนหรือแลกเปลี่ยนข้อมูล - ผู้ดูแลระบบ ต้องมีการป้องกันข้อมูลสารสนเทศที่มีการสื่อสารกันผ่านข้อมูลอิเล็กทรอนิกส์ (Electronic Messaging) เช่น จดหมายอิเล็กทรอนิกส์ (Email) หรือ Instant Messaging ด้วยวิธีการหรือมาตรการที่เหมาะสม 6. ผู้ดูแลระบบ ต้องป้องกันข้อมูลสารสนเทศที่มีการแลกเปลี่ยนในการทําพาณิชย์อิเล็กทรอนิกส์ (Electronic Commerce) ผ่านเครือข่ายคอมพิวเตอร์สาธารณะ เพื่อมิให้มีการฉ้อโกง ละเมิดสัญญา หรือมีการรั่วไหล หรือ
ข้อมูลสารสนเทศถูกแก้ไขโดยมิได้รับอนุญาต - ผู้ดูแลระบบ ต้องป้องกันข้อมูลสารสนเทศที่มีการสื่อสาร หรือแลกเปลี่ยนในการทําธุรกรรมทางออนไลน์ (Online Transaction) เพื่อมิให้มีการรับส่งข้อมูลที่ไม่สมบูรณ์ ส่งข้อมูลไปผิดที่ การรั่วไหลของข้อมูล ข้อมูลถูกแก้ไข เปลี่ยนแปลง ถูกทําซ้ําใหม่ หรือถูกส่งโดยมิได้รับอนุญาต
- ผู้ดูแลระบบ ต้องควบคุมการรับส่งข้อมูลสารสนเทศเพื่อป้องกันความผิดพลาด ดังนี้
8.1 ความไม่สมบูรณ์ของข้อมูลสารสนเทศที่รับ-ส่ง
8.2 การส่งข้อมูลสารสนเทศผิดจุดหมายปลายทาง
8.3 การเปลี่ยนแปลงข้อมูลสารสนเทศโดยไม่ได้รับอนุญาต 8.4 การเปิดเผยข้อมูลสารสนเทศโดยไม่ได้รับอนุญาต
8.5 การเข้าถึงข้อมูลสารสนเทศโดยไม่ได้รับอนุญาต
8.6 การนําข้อมูลสารสนเทศกลับมาใช้ใหม่โดยไม่ได้รับอนุญาต - เจ้าของข้อมูล และผู้ดูแลระบบ ต้องมีการป้องกันข้อมูลสารสนเทศที่มีการเผยแพร่ต่อสาธารณชน มิให้มีการแก้ไข
เปลี่ยนแปลงโดยมิได้รับอนุญาต เพื่อรักษาความถูกต้องครบถ้วนของข้อมูลสารสนเทศ
39
ส่วนที่ 15 การควบคุมการเข้ารหัส
เพื่อให้มีการเข้ารหัสข้อมูลอย่างเหมาะสมและมีประสิทธิผลในการปกป้องความลับ ป้องกัน การปลอมแปลงข้อมูล และ
ควบคุมความถูกต้องของข้อมูล
วัตถุประสงค์
ผู้รับผิดชอบ
ผู้ดูแลระบบ
เจ้าของข้อมูล
ผู้ใช้งาน
อ้างอิงมาตรฐาน: ISO/IEC 27001:2022
มาตรการควบคุมด้านเทคโนโลยี (Technological Controls)
แนวปฏิบัติ - เจ้าของข้อมูล ต้องเข้ารหัส หรือการใส่รหัสผ่านข้อมูลอิเล็กทรอนิกส์ขององค์กรตามระดับชั้นความลับเพื่อป้องกัน
ผู้ไม่มีสิทธิ์เข้าถึง ตามระเบียบว่าด้วยการรักษาความลับของทางราชการ พ.ศ. 2544 และตามขั้นตอนที่ รฟม. กําหนด 2. เจ้าของข้อมูล ผู้ดูแลระบบ และผู้ใช้งานต้องปฏิบัติตามระเบียบว่าด้วยการรักษาความลับของทางราชการ พ.ศ. 2544
ในการนําการเข้ารหัสมาใช้กับข้อมูลที่เป็นความลับจะต้องใช้วิธีการเข้ารหัส (Encryption) ที่เป็นมาตรฐานสากล 3. ผู้ดูแลระบบ ต้องใช้วิธีการเข้ารหัส (Encryption) ที่เป็นมาตรฐานสากล หลีกเลี่ยงการใช้รูปแบบการเข้ารหัส
ที่พัฒนาขึ้นเอง เพื่อให้มั่นใจว่าขั้นตอนวิธี (Algorithm) ที่ใช้ในการเข้ารหัสนั้นมีความมั่นคงปลอดภัย ดังนี้
ประเภทกุญแจ / วิธีการเข้ารหัส
กุญแจแบบสมมาตร (Symmetric)
ความยาวกุญแจ (อย่างน้อย) 256 bits
เกณฑ์ขั้นต่ํา
AES
RSA
1024 bits
BCrypt
Cost Factor 10 ขึ้นไป
กุญแจแบบอสมมาตร (Asymmetric)
การ Hashing - ผู้ดูแลระบบ ต้องมีการทบทวนขั้นตอนวิธี (Algorithm) และความยาวของกุญแจที่เข้ารหัสอย่างน้อยปีละ 1 ครั้ง
เพื่อให้ยังสามารถรักษาไว้ซึ่งความมั่นคงปลอดภัย - ผู้ดูแลระบบ ต้องกําหนดให้มีการบริหารจัดการกุญแจที่ใช้ในการเข้ารหัส ดังนี้
5.1 การสร้างกุญแจรหัสควรกระทําในสถานที่ที่มีมาตรการป้องกันความปลอดภัย
5.2 เมื่อมีการสร้างกุญแจรหัสที่เป็นกุญแจลับ (Private key) ควรส่งมอบให้กับเจ้าของกุญแจโดยตรง โดยวิธีการ
ที่ปลอดภัย
ๆ
5.3 ควรจัดให้มีการเก็บบันทึก Log เพื่อการตรวจสอบสําหรับกิจกรรมต่าง ๆ ที่เกี่ยวข้องกับการจัดการกุญแจรหัส 6. ผู้ใช้งาน ควรรักษาความปลอดภัยในการใช้งานกุญแจ ดังนี้
6.1 เก็บกุญแจรหัสในสถานที่ที่ปลอดภัย เช่น ตู้นิรภัย หรือสื่อบันทึกที่ปลอดภัย และไม่มีใครสามารถเข้าถึงได้ 6.2 เมื่อมีการรับกุญแจสาธารณะ (Public Key) มาใช้ ก่อนใช้งานจะต้องพิสูจน์ความถูกต้องของกุญแจสาธารณะ โดยสอบถามกับผู้ส่งหรือตรวจสอบกับผู้แทนในการรับรองความถูกต้องของกุญแจสาธารณะ (Certificate
Authority) ที่เชื่อถือได้เท่านั้น
6.3 ควบคุมการใช้งานและจัดเก็บกุญแจให้สอดคล้องกับการรักษาความลับข้อมูลตามที่ รฟม. กําหนด
วัตถุประสงค์
40
ส่วนที่ 16
การนําอุปกรณ์ส่วนตัวมาใช้งาน (Bring your own device)
เพื่อควบคุมการนําอุปกรณ์ส่วนตัวมาเชื่อมต่อหรือเข้าถึงระบบสารสนเทศของ รฟม. ที่ใช้ในการบริหารจัดการ ระบบสารสนเทศของ รฟม. หรือปฏิบัติงานให้ รฟม. ทั้งนี้เพื่อป้องกันภัยคุกคามที่อาจจะเกิดขึ้นกับระบบ สารสนเทศของ รฟม. รวมถึงเพื่อป้องกันไม่ให้ข้อมูลของ รฟม. เกิดการรั่วไหล
ผู้รับผิดชอบ
ผู้ดูแลระบบ
ผู้ใช้งาน
อ้างอิงมาตรฐาน: ISO/IEC 27001:2022
มาตรการควบคุมด้านบุคลากร (People Controls) มาตรการควบคุมด้านเทคโนโลยี (Technological Controls)
แนวปฏิบัติ - ผู้ดูแลระบบต้องกําหนดคุณสมบัติของระบบปฏิบัติการของอุปกรณ์ส่วนตัวที่อนุญาตให้นํามาเชื่อมต่อหรือเข้าถึง ระบบงานสารสนเทศของ รฟม. ได้ โดยต้องเป็นระบบปฏิบัติการที่ไม่ล้าสมัย (Obsolete Operating System) และยังได้รับการสนับสนุนการใช้งานจากเจ้าของผลิตภัณฑ์
- ผู้ดูแลระบบต้องตัดการเชื่อมต่อหากระบบปฏิบัติการของอุปกรณ์ส่วนตัวที่อนุญาตให้นํามาเชื่อมต่อหรือเข้าถึง ระบบงานสารสนเทศของ รฟม. เกิดการล้าสมัย (Obsolete Operating System) หรือเจ้าของผลิตภัณฑ์ ไม่สนับสนุนการใช้งานแล้ว
- ผู้ดูแลระบบต้องมีมาตรการป้องกันมัลแวร์ และตรวจสอบการอัปเดต Patch เวอร์ชันของระบบปฏิบัติการที่
เจ้าของผลิตภัณฑ์ยังให้การสนับสนุนการใช้งาน - ผู้ดูแลระบบต้องไม่อนุญาตให้อุปกรณ์ที่มีการปรับแต่งการเข้าถึงระบบปฏิบัติการ (Rooted/Jailbroker) มาเชื่อมต่อ
หรือเข้าถึงระบบสารสนเทศของ รฟม.
รฟม. - ผู้ดูแลระบบต้องแบ่งแยกเครือข่ายของอุปกรณ์ส่วนตัวที่นํามาเชื่อมต่อหรือเข้าถึงระบบสารสนเทศของ 6. ผู้ดูแลระบบต้องทบทวนเวอร์ชันของระบบปฏิบัติการที่อนุญาตให้นํามาเชื่อมต่อกับระบบสารสนเทศของ รฟม. อย่างน้อยปีละ 2 ครั้ง หากมีการเปลี่ยนแปลงเวอร์ชันของระบบปฏิบัติการที่อนุญาตให้เข้าถึงระบบสารสนเทศของ รฟม. ผู้ดูและระบบต้องแจ้งให้ผู้ใช้งานรับทราบล่วงหน้า 7 วัน ก่อนเริ่มบังคับใช้
- ผู้ใช้งานต้องติดตั้งโปรแกรมป้องกันมัลแวร์ตามเงื่อนไขที่ รฟม. กําหนด
- ผู้ใช้งานต้องไม่นําอุปกรณ์ส่วนตัวที่ติดตั้งแอปพลิเคชันนอก Official Store มาเชื่อมต่อหรือเข้าถึงระบบงาน
สารสนเทศของ รฟม. - ผู้ใช้งานต้องไม่นําอุปกรณ์ส่วนตัวที่ติดตั้งโปรแกรมละเมิดลิขสิทธิ์มาเชื่อมต่อหรือเข้าถึงระบบงานสารสนเทศ
ของ รฟม. - ผู้ใช้งานต้องอัปเดต Patch ของระบบปฏิบัติการที่อุปกรณ์ส่วนตัวให้เป็นเวอร์ชันล่าสุด รวมถึงต้องเป็นระบบปฏิบัติการ
ที่เจ้าของผลิตภัณฑ์ยังให้การสนับสนุนการใช้งาน - ผู้ใช้งานต้องยืนยันตัวตนก่อนเข้าถึงระบบสารสนเทศของ รฟม. ทุกครั้ง
- ผู้ใช้งานต้องติดตั้ง Network Access Control agent (NAC agent) หรือ Mobile Device Management Agent
(MDM Agent) ตามที่ รฟม. กําหนด เพื่อควบคุมการใช้งานเครือข่ายและการเข้าถึงระบบสารสนเทศของ รฟม. กรณีอุปกรณ์ส่วนตัวสูญหายหรือถูกขโมยผู้ใช้งานต้องแจ้งผู้ดูแลระบบโดยเร็วที่สุด เพื่อจัดการข้อมูลที่จัดเก็บอยู่
ในอุปกรณ์ส่วนตัวของผู้ใช้งาน
14. ผู้ใช้งานต้องเข้าถึงระบบสารสนเทศของ รฟม. ผ่านช่องทางที่ รฟม. กําหนด เช่น VPN
41
ส่วนที่ 17
การใช้บริการ Cloud (Cloud Services)
วัตถุประสงค์
- เพื่อควบคุมการเลือกใช้งาน การบริหารจัดการ และการยกเลิกการใช้บริการ Cloud อย่างปลอดภัย
ผู้รับผิดชอบ
ผู้บังคับบัญชา
ผู้ดูแลระบบ
เจ้าของระบบ/เจ้าของข้อมูล
อ้างอิงมาตรฐาน: ISO/IEC 27001:2022
มาตรการควบคุมด้านองค์กร (Organizational Controls)
แนวปฏิบัติ
- ผู้บังคับบัญชาต้องควบคุม กํากับ ดูแล ให้การใช้งานบริการ Cloud สอดคล้องตามที่กฎหมาย นโยบาย ระเบียบ
หรือข้อบังคับที่ภาครัฐกําหนด - ผู้ดูแลระบบต้องวิเคราะห์ความเสี่ยงก่อนเลือกบริการ Cloud มาใช้งานภายในองค์กร
- ผู้ดูแลระบบต้องเลือกใช้บริการ Cloud ตามที่กฎหมาย นโยบาย ระเบียบ หรือข้อบังคับที่ภาครัฐกําหนด 4. ผู้ดูแลระบบต้องเลือกผู้ให้บริการ Cloud (Cloud Service Provider) ที่เหมาะสมกับการดําเนินงานองค์กร 5. ผู้ดูแลระบบต้องพิจารณาข้อกําหนดหรือเงื่อนไขของผู้ให้บริการ Cloud (Cloud Service Provider) ให้ชัดเจน
ก่อนตัดสินใจเลือกใช้บริการ - ผู้ดูแลระบบต้องเลือกใช้บริการ Cloud ที่เหมาะสมกับการดําเนินงานขององค์กร
- ผู้ดูแลระบบต้องเลือกใช้บริการ Cloud ที่มีการรักษาความปลอดภัย การบริหารจัดการความต่อเนื่องทางธุรกิจ
และการจัดให้มีระบบฉุกเฉินสํารองตามมาตรฐานสากล เช่น ISO, NIST หรือ CSA STAR - ผู้ดูแลระบบต้องเลือกใช้บริการ Cloud ที่มีความพร้อมใช้งานของบริการครอบคลุมร้อยละของเวลาที่พร้อม
ให้บริการต่อปี (Uptime) อย่างน้อยร้อยละ 99.00 - ผู้ดูแลระบบต้องเลือกใช้บริการ Cloud ที่มีการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลตาม พ.ร.บ. คุ้มครอง ข้อมูลส่วนบุคคล พ.ศ. 2562 หรือกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป (General Data Protection Regulation: GDPR) หรือเทียบเท่า
- ผู้ดูแลระบบ และเจ้าของระบบ/เจ้าของข้อมูลต้องพิจารณาข้อมูลสารสนเทศที่จะนําไปใช้งานบนระบบ Cloud
ให้สอดคล้องตามที่กฎหมาย นโยบาย ระเบียบ หรือข้อบังคับที่ภาครัฐกําหนด - ผู้ดูแลระบบต้องติดตาม ทบทวน และประเมินผลการใช้บริการ Cloud อย่างน้อยปีละ 1 ครั้ง
ภาคผนวก ค.
สัญญาการเก็บรักษาข้อมูลไว้เป็นความลับ(Non-DisclosureAgreement)