สภาอุตสาหกรรมแหงประเทศไทย THE FEDERATION OF THAI INDUSTRIES
นโยบายความปลอดภัย ระบบคอมพิวเตอรเทคโนโลยีสารสนเทศ
ฝายระบบขอมูลและสารสนเทศ สภาอุตสาหกรรมแหงประเทศไทย
ระเบียบ สภาอุตสาหกรรมแหงประเทศไทย เรื่อง นโยบายความปลอดภัยระบบคอมพิวเตอรเทคโนโลยีสารสนเทศ พ.ศ. 2553 ________________________________________ อาศัยอํานาจตามความในมาตรา 21 (10) แหงพระราชบัญญัติสภาอุตสาหกรรมแหงประเทศไทย พ.ศ. 2530 และขอ 4 ของข อบั งคับสภาอุตสาหกรรมแหงประเทศไทย ฉบั บที่ 12 วาดว ย การออก ระเบียบของสภาอุตสาหกรรมแหงประเทศไทย พ.ศ. 2543 คณะกรรมการสภาอุตสาหกรรมแหงประเทศ ไทย มีมติเมื่อวันที่ 28 มิถุนายน พ.ศ. 2553 ใหออกระเบียบ สภาอุตสาหกรรมแหงประเทศไทย เรื่อง นโยบายความปลอดภัยระบบคอมพิวเตอรเทคโนโลยีสารสนเทศ พ.ศ. 2553 ไวดังนี้ ขอ 1. ระเบียบนี้เรียกวา “ระเบียบสภาอุตสาหกรรมแหงประเทศไทย เรื่อง นโยบายความ ปลอดภัยระบบคอมพิวเตอรเทคโนโลยีสารสนเทศ พ.ศ. 2553” ขอ 2. ระเบียบนี้มีผลใชบังคับตั้งแตวันที่ 28 มิถุนายน 2553 คํานิยาม ขอ 3 ในระเบียบฉบับนี้ "องคกร" หมายความถึง สภาอุตสาหกรรมแหงประเทศไทย "ผูอํานวยการบริหาร" หมายความถึ ง ผู อํ า นวยการบริ ห ารสภาอุ ต สาหกรรมแห ง ประเทศไทย "ผู บั ง คั บ บั ญ ชา" หมายความถึ ง ผู อํ า นวยการฝ า ยหรื อ ผู อํ า นวยการสถาบั น ต า งๆ ภายในสภาอุตสาหกรรมแหงประเทศไทย "ผูอํานวยการ " หมายความถึง ผูอํานวยการฝายระบบขอมูลและสารสนเทศ ที่ไดรับ มอบหมายจากผูอํานวยการบริหารใหมีหนาที่รับผิดชอบในการดูแลรักษาเครือขายระบบเทคโนโลยี สารสนเทศ และโปรแกรมเครือขายระบบเทคโนโลยีสารสนเทศ “เจาหนาที่” หมายความถึง พนักงานฝายระบบขอมูลและสารสนเทศ รวมถึงบุคคล อื่นที่ผูอํานวยการมอบหมาย เจาหนาที่พัฒนาระบบ เจาหนาที่ดูแลเครือขายระบบเทคโนโลยีสารสนเทศ และเจาหนาที่เครือขายระบบคอมพิวเตอร "พนักงาน" หมายความถึง พนักงานตามขอบังคับสภาอุตสาหกรรมแหงประเทศไทย ฉบับที่ 8 พ.ศ. 2545 "สมาชิก" หมายความวา สมาชิกของสภาอุตสาหกรรมแหงประเทศไทย “อุปกรณคอมพิวเตอร” หมายความถึ ง เครื่ อ งคอมพิ ว เตอร ปริ้ น เตอร สแกนเนอร โมเด็ม อินเตอรเน็ต ฮับ สวิทชชิ่ง เราทเตอร และอุปกรณตอพวงอื่นๆ อันเกี่ยวของ "เครือขายระบบคอมพิวเตอร" หมายความถึ ง เครื อ ข า ยอุ ป กรณ ค อมพิ ว เตอร แ ละ ระบบเทคโนโลยีสารสนเทศ 1/14
"ขอมูล" หมายความถึง สิ่งที่สื่อความหมายใหรูเรื่องราว ขอเท็จจริง ขอมูล หรือสิ่งใดๆ ไมวาการสื่อความหมายนั้นจะทําไดโดยสภาพของสิ่งนั้นเองหรือโดยผานวิธีการใด ๆ และไมวาจะได จัดทําไวในรูปแบบใดๆ ก็ตาม หรือวิธีอื่นใดที่ทําใหสิ่งที่บันทึกไวปรากฏได เชน เอกสาร แฟม รายงาน หนั ง สื อ แผนผั ง แผนที่ ภาพวาด ภาพถ า ย ฟ ล ม การบั น ทึ ก ภาพหรื อ เสี ย ง การบั น ทึ ก โดยเครื่ อ ง คอมพิวเตอร เปนตน " ระบบเทคโนโลยีสารสนเทศ " หมายความถึ ง ระบบข อ มู ล หรื อ ข า วสารที่ นํ า เอา เทคโนโลยีระบบคอมพิวเตอรและระบบสื่อสาร มาใชสรางสารสนเทศ " เครือขายระบบเทคโนโลยีสารสนเทศ " หมายความถึง การนําเอาระบบเทคโนโลยี สารสนเทศ มาใชในการติดตอสื่อสารหรือการสงขอมูลระหวางกัน เชน ระบบสารสนเทศเพื่อการจัดการ ระบบสารสนเทศสําหรับผูบริหารระดับสูง ระบบอีเมล ระบบอินทราเน็ท ระบบอินเตอรเน็ท เปนตน " ความลับ " หมายความถึง ขอมูลที่จัดเก็บใหอยูในรูปแบบใด ๆ โดยมีการจัดลําดับ และความสําคัญของเนื้อหาและจํากัดการเขาถึง หรือจํากัดใหทราบเทาที่จําเปน และใหรวมถึงสื่อบันทึก ตาง ๆ รหัสผาน บัญชีเขาใช หรือเอกสารทุกเรื่องที่บันทึกเรื่องดังกลาว “ขอมูลสวนบุคคล” หมายความถึง ขอมูลเกี่ยวกับสิ่งเฉพาะตัวของบุคคล เชน การศึกษา ฐานะการเงิน ประวัติสุขภาพ ประวัติอาชญากรรม ประวัติการทํางาน หรือประวัติกิจกรรม บรรดาที่มีชื่อ ของบุคคลนั้นหรือมีหมายเลข รหัส หรือสิ่งบอกลักษณะอื่นที่ทําใหรูตัวบุคคลนั้นได เชน ลายนิ้วมือ แผน บันทึกลักษณะเสียงของคน หรือรูปถาย และใหมายความรวมถึงขอมูลเกี่ยวกับสิ่งเฉพาะตัวของผูถึงแก ความตายแลวดวย
อํานาจและหนาที่ ขอ 4. อํานาจและหนาที่ 4.1 ผูอํานวยการ มีอํานาจหนาที่ดังตอไปนี้ 4.1.1. กํากับดูแล ใหคําแนะนําเกี่ยวกับการปฏิบัติงานของเจาหนาที่ 4.1.2. ให ข อ เสนอแนะต อผู อํ า นวยการบริ ห าร ในการกํ า หนดนโยบายและ มาตรการเกี่ยวกับการรักษาความปลอดภัยขององคกร 4.1.3. จัดทํารายงานเกี่ยวกับการปฏิบัติตามระเบียบนี้ เสนอตอคณะกรรมการ สายงานเทคโนโลยีสารสนเทศ และผูอํานวยการบริหาร 4.1.4. แตงตั้งเจาหนาที่เพื่อปฏิบัติงานตามระเบียบนี้ 4.1.5. กําหนดหนาที่ความรับผิดชอบเกี่ยวกับการรักษาความปลอดภัยตาม ระเบียบนี้ 4.1.6. พัฒนาหลักและกระบวนการดานการรักษาความปลอดภัย
2/14
4.1.7. ปฏิ บั ติ ห น า ที่ อื่ น คณะกรรมการสายงานเทคโนโลยี ส ารสนเทศหรื อ ผูอํานวยการบริหารมอบหมาย 4.2 เจาหนาที่พัฒนาโปรแกรม มีอํานาจหนาที่ดังตอไปนี้ 4.2.1. เขียน ทดสอบ และพัฒนาโปรแกรมที่ไดรับมอบหมาย 4.2.2. จัดหาขอมูลเพื่อการทดสอบโปรแกรม 4.2.3. ดูแลและบํารุงรักษาโปรแกรมที่พัฒนา ใหคงสภาพและความพรอมใหใชงาน 4.3 เจาหนาที่ดูแลเครือขายระบบเทคโนโลยีสารสนเทศ มีอํานาจหนาที่ดังตอไปนี้ 4.3.1. ดูแลการใชเครือขายระบบเทคโนโลยีสารสนเทศ 4.3.2. ดูแลโครงสรางพื้นฐานและอุปกรณที่เกี่ยวกับเครือขายระบบเทคโนโลยี สารสนเทศ 4.3.3. กําหนดบัญชีผูเขาใชงานเครือขายระบบเทคโนโลยีสารสนเทศ 4.3.4. รักษาความปลอดภัยเครือขายระบบเทคโนโลยีสารสนเทศ 4.4 เจาหนาที่เครือขายระบบคอมพิวเตอร มีอํานาจหนาที่ดังตอไปนี้ 4.4.1 ควบคุม ดูแล การใชงานอุปกรณ คอมพิวเตอรทั้งหมดขององคกร 4.4.2 ควบคุ ม และตรวจสอบการติ ด ตั้ ง โปรแกรมเข า สู ร ะบบเทคโนโลยี สารสนเทศใหเปนไปตามวัตถุประสงคขององคกร 4.4.3 รับผิดชอบงานบริการเครือขายระบบคอมพิวเตอร เชน ตรวจสอบไวรัส การเขาใชงานอุปกรณ เปนตน 4.4.4 ใหคําแนะนําและสงเสริมใหพนักงานในองคกร ใหมีความรูและปฏิบัติ ตามกระบวนการเขาใชงานระบบเทคโนโลยีสารสนเทศขององคกรอยางถูกตอง 4.4.5 จัดทํารายการอุปกรณ สถานะการใชงาน ตลอดจนการใชงานอุปกรณ เพื่อรายงานตอผูอํานวยการฝายระบบขอมูลและสารสนเทศ 4.4.6 ดูแล บํารุง รักษา ตรวจสอบสภาพความพรอมใชงาน ตลอดจนควบคุม การใชงานของอุปกรณใหเปนไปตามที่องคกร กําหนดไว การรักษาความปลอดภัยของระบบเครือขายทั้งกายภาพและสภาพแวดลอม ขอ 5. การรักษาความปลอดภัยของระบบเครือขายทั้งกายภาพและสภาพแวดลอม 5.1 หองเซิรฟเวอร ใชเปนที่ตั้งของโครงสรางพื้นฐานระบบคอมพิวเตอรเครือขายของ องคกร อุปกรณเชื่อมเน็ทเวิรค และระบบบริหารจัดการคอมพิวเตอรเครือขาย ไฟล และ ปริ้นทเตอร เซิรฟเวอร ถือเปนหองปฏิบัติการหัวใจหลักขององคกร ซึ่งตองมีอุปกรณตางๆ ที่เกี่ยวของกับการรักษา ความปลอดภัยของระบบขอมูลเครือขาย 5.1.1 หองเซิรฟเวอรมีทางเขาอยูทิศทางเดียว ซึ่งอยูในสภาพที่ปดลอคตลอด เวลา และจัดใหมีระบบรักษาความปลอดภัย
3/14
5.1.2 ผู เ ข า ใช ห อ งเซิ ร ฟ เวอร ต อ งเป น ผู มี สิ ท ธิ เ ข า ปฏิ บั ติ ง านเท า นั้ น ( ผูอํานวยการฝายระบบขอมูลและสารสนเทศ อาจมอบหมายใหเจาหนาที่ดําเนินการแทน โดยระบุตัว บุคคลผูที่มีหนาที่ความรับผิดชอบดูแลระบบเปนการเฉพาะ หรือผูที่ไดรับอนุญาตจากผูอํานวยการฝาย ระบบขอมูลและสารสนเทศ ) 5.1.3 การเขาใชงานตองมีการตรวจสอบการเขาใชโดยรหัสผาน กุญแจ คีย การ ด หรื อ อื่ น ใดอั น เกี่ ย วเนื่ อ งกั บ ระบบรั ก ษาความปลอดภั ย โดยจั ด ให มี ผู ที่ รั บ ผิ ด ชอบดู แ ลห อ ง เซิรฟเวอร 5.1.4 จัดใหมีระบบไฟฟาสํารอง และระบบกันไฟกระชาก 5.1.5 จัดใหมีระบบปองกันอัคคีภัย 5.2 เครื่องคอมพิวเตอรสวนบุคคล พนักงานและสมาชิกที่มีเครื่องคอมพิวเตอรสวน บุคคลที่องคกรจัดให ใหปฏิบัติดังตอไปนี้ 5.2.1 เขาใชงานเครือขายระบบคอมพิวเตอร หรือเครือขายระบบเทคโนโลยี สารสนเทศขององคกร ใหใชบัญชีเขาใชงานพรอมรหัสผานสวนบุคคลของตนทุกครั้ง 5.2.2 ดูแลและรักษาเครื่องคอมพิวเตอร อุปกรณตอพวงอันเปนทรัพยสินของ องค ก รให อ ยู ใ นสภาพที่ ดี พ ร อ มใช ง าน ไม ก อ ให เ กิ ด ความเสี ย หายต อ อุ ป กรณ และใช ง านอย า งมี ประสิทธิภาพ 5.2.3 ข อ มู ล ที่ มี ค วามสํ า คั ญ ที่ เ ก็ บ บนสื่ อ ที่ เ คลื่ อ นย า ยได เช น Diskettes, CD ,Thumb Drive จะตองจัดเก็บในที่ปลอดภัยหรือปองกันการเขาถึงโดยงาย 5.2.4 ห า มทํ า การดั ด แปลง แก ไ ข หรื อ เพิ่ ม เติ ม อุ ป กรณ ต อ พ ว งในระบบ เครือขายหรือโปรแกรม นอกเหนือจากอุปกรณปกติที่องคกรจัดให โดยไมไดรับอนุญาต และหากมีความ จําเปนตองทําโดยเจาหนาที่เทานั้น 5.2.5 หามมิใหนําทรัพยสินขององคกร เชน เครื่องคอมพิวเตอร อุปกรณตอ พวง หรืออื่นใดอันเกี่ยวเนื่องกับเทคโนโลยีสารสนเทศออกจากหนวยงานหรืออาคาร โดยไมไดรับการ เห็นชอบจากผูบังคับบัญชาและฝายระบบขอมูลและสารสนเทศ 5.2.6 หามมิใหบุคคลภายนอกใชงานอุปกรณคอมพิวเตอรขององคกร หาก จําเปนใหทําการรองขอฝายระบบขอมูลและสารสนเทศเพื่อใหบริการดังกลาว สิทธิและความปลอดภัยในการเขาถึงระบบ ขอ 6. สิทธิและความปลอดภัยในการเขาถึงระบบ จะกลาวถึงขอตกลงรวมในระบบรักษาความ ปลอดภัย ซึ่งหมายความถึง ขอควรปฏิบัติของพนักงานในการใชงานเครือขายระบบคอมพิวเตอร และ เครื อ ข า ยระบบเทคโนโลยี ส ารสนเทศขององค กร จะต อ งเปน ไปตามความจํ า เป น ในการปฏิบั ติ ง าน
4/14
ประจําวันหรือประโยชนในการดําเนินกิจการขององคกร การกระทําการเปลี่ยนแปลงอื่นใดจําเปนตองมี ผูบังคับบัญชาตนสังกัดอนุญาตเปนลายลักษณอักษรกอน จึงมีสิทธิใชไดและใหใชงานเฉพาะเทาที่จําเปน 6.1 รหัสบัญชีผูใชงาน กระบวนการสรางบัญชีผูใชงานจะถูกกําหนดตามคํารองขอ และลําดับขั้นของความจําเปนในการใชทรัพยากรสารสนเทศขององคกร ซึ่งอยูในดุลยพินิจของผูดูแล ระบบเทคโนโลยีสารสนเทศ และสิทธิของผูใชงาน แตสามารถเปลี่ยนแปลงไดตามความจําเปนในการ ดําเนินกิจกรรมซึ่งเอื้อประโยชนตอการดําเนินกิจการขององคกร หมายความรวมถึงการตั้งคาในระบบ เครือขาย การใชฐานขอมูล หรือทรัพยากรขององคกรรวมกัน 6.2 เจาหนาที่ดูแลระบบและเครือขายคอมพิวเตอรและเทคโนโลยีสารสนเทศ การตั้ง คาตางๆ ของบัญชีผูใชงาน จําเปนตองผานการกลั่นกรองและไดรับอนุญาตจากผูอํานวยการ เจาหนาที่มี หนาที่เพียงตั้งคาใชงาน การรองขอใชงานตางๆ บนระบบหรือเครือขาย เพิ่มเติมจากนี้จะกระทําได หาก การดําเนินกิจกรรมนั้นเอื้อประโยชนตอการดําเนินกิจการขององคกร ซึ่งในการเปลี่ยนแปลงคาตางๆ ใน ระบบตองผานการดูแลและไดรับอนุญาตจากผูอํานวยการฝายระบบขอมูลและสารสนเทศ 6.3 ขอพึงปฏิบัติ 6.3.1 พนักงานพึงใชทรัพยากรเครือขายอยางเหมาะสมและมีประสิทธิภาพ การใชงานอื่นๆ ผานระบบอินเตอรเน็ทและอินทราเน็ท ใหใชไดเฉพาะที่เกี่ยวของกับการปฏิบัติงาน เทานั้น 6.3.2 พนักงานตองใชขอความสุภาพในการติดตอสื่อสาร และถูกตองตาม ธรรมเนียมปฏิบัติในการใชระบบและเครือขาย สําหรับการสงอีเมลแบบกระจายถึงทุกคนใหใชไดเฉพาะที่ เกี่ยวของกับการปฏิบัติงานเทานั้น 6.3.3 พนักงานมีหนาที่ระมัดระวังความปลอดภัยในการใชเครือขาย รหัสผานสวนบุคคล การใชรหัสผานสวนบุคคลใหพนักงานปฏิบัติดังตอไปนี้ 6.4.1 การกําหนดรหัสผานสวนบุคคล ตองมีความยาวไมนอยกวา 6 ตัวอักษร มีการผสมกันระหวางตัวอักษร ตัวพิมพปกติ-ตัวพิมพใหญ ตัวเลข และสัญลักษณเขาดวยกัน แตไมควร กํ า หนดรหั ส ผ า นส ว นบุ ค คลจากชื่ อ หรื อ นามสกุ ล ของตนเอง หรื อ บุ ค คลในครอบครั ว หรื อ บุ ค คลที่ มี ความสัมพันธใกลชิดกับตน หรือจากคําศัพทที่ใชในพจนานุกรม 6.4.2 กรณีใชแฟมขอมูลรวมกับบุคคลอื่น ผานเครือขายคอมพิวเตอร ตองใช รหัสผานสวนบุคคลเทานั้น ไมอนุญาตใหใชโปรแกรมคอมพิวเตอรชวยในการจํารหัสผานสวนบุคคล อัตโนมัติ (Save Password) 6.4.3 หามมิ ใ หพนักงานเปดเผยรหั สสว นบุคคลแกพนักงานหรือบุค คลอื่ น ทราบ และไมจดหรือบันทึกรหัสผานสวนบุคคลไวในสถานที่ที่งายตอการสังเกตเห็นของบุคคลอื่น 6.4.4 ตั้ ง ค า ให มี ก ารเปลี่ ย นรหั ส ผ า นส ว นบุ ค คลในการเข า ใช ง านระบบ เครือขายทุกๆ 90 วัน 6.4.5 ตั้งคาใหมีการเปลี่ยนรหัสผานสวนบุคคลในการเขาใชงานระบบงาน ERP (Enterprise Resource Planning or Oracle Application System ) และ HRMS ทุก 60 วัน 6.4
5/14
6.4.6 กรณีที่พนักงานลืมรหัสผานสวนบุคคล ใหรองขอรหัสผานสวนบุคคล ใหมใหแจงเจาหนาที่เปนผูดําเนินการ โดยทําหนังสือนําเรียนเพื่อขออนุมัติโดยผูบังคับบัญชาในสายงาน 6.4.7 เมื่อมีการเปลี่ยนแปลงตําแหนงงาน โอน ยาย ลาออก เจาหนาที่จะตอง เปนผูดําเนินการแกไขบัญชีผูเขาใชงานระบบและรหัสผานสวนบุคคล ใหกับพนักงานที่มาปฏิบัติงานใหม ภายในกําหนด 7 วันนับแตวันที่พนักงานใหมเริ่มปฏิบัติหนาที่ 6.4.8 เมื่อมีการเปลี่ยนแปลงตําแหนงงาน โอน ยาย ลาออก พนักงานจะตอง ขอรับขอมูลสวนบุคคลที่อยูบนเครือขายระบบคอมพิวเตอรคืนจากองคกร ภายในกําหนด 7 วัน กอนวัน พนสภาพการเปนพนักงาน 6.5 การใช ง านเครื อ ข า ยคอมพิ ว เตอร แ ละเทคโนโลยี ส ารสนเทศจากพื้ น ที่ น อก สํานักงาน การเขาใชงานระบบเครือขายจากพื้นที่นอกสํานักงานหรือที่อื่นใด จะเขาถึงระบบไดเฉพาะผูที่ มีความจําเปนเขาใชงาน และไดรับอนุญาตจากเจาหนาที่ดูแลระบบเครือขายเทานั้น โดย 6.5.1 การเขาใชงานจะกําหนดใหใชผานบริการ RAS ( Remote Access System ) หรือ VPN ( Virtual Private Network ) 6.5.2 พนั ก งานเข า ใช ง านจะต องใช ชื่ อบั ญชี แ ละรหั สผา นส ว นบุ ค คล เพื่ อ ยืนยันตัวบุคคลกอนใชงานทุกครั้ง 6.5.3 คํานึงถึงความปลอดภัยในการเขารหัสที่เหมาะสม นโยบายการปองกันขอมูล ขอ 7. การปองกันขอมูล ในการใชงานขอมูลและทรัพยากรสารสนเทศขององคกร พนักงานและ สมาชิกจําเปนตองเขาใชงานเครือขายระบบคอมพิวเตอร และเครือขายระบบเทคโนโลยีสารสนเทศ โดย ผานกระบวนการตรวจสอบของผูดูแลระบบ (Authenticated) เพื่อยืนยันตัวบุคคล พนักงานและสมาชิก ตองไมใชเครือขายระบบคอมพิวเตอร และเครือขายระบบเทคโนโลยีสารสนเทศ โดยมีวัตถุประสงค ดังตอไปนี้ 7.1 เพื่อการกระทําผิดกฎหมาย หรือเพื่อกอใหเกิดความเสียหายแกบุคคลอื่น 7.2 เพื่อการกระทําที่ขัดตอความสงบเรียบรอยหรือศีลธรรมอันดีของประชาชน 7.3 เพื่อการพาณิชย 7.4 เพื่อการเปดเผยขอมูลที่เปนความลับซึ่งไดมาจากการปฏิบัติใหแกองคกร ไมวา จะเปนขอมูลขององคกร หรือบุคคลภายนอกก็ตาม 7.5 เพื่อกระทําการอันมีลักษณะเปนการละเมิดทรัพยสินทางปญญาขององคกร หรือ ของบุคคลอื่น 7.6 เพื่อใหทราบขอมูลขาวสารของบุคคลอื่น โดยไมไดรับอนุญาตจากผูเปนเจาของ หรือผูที่มีสิทธิในขอมูลดังกลาว
6/14
7.7 เพื่อการรับหรือสงขอมูล ซึ่งกอหรืออาจกอใหเกิดความเสียหายใหแกองคกร เช น การรั บ หรื อ ส ง ข อ มู ล ที่ มี ลั ก ษณะเป น จดหมายลู ก โซ หรื อ การรั บ หรื อ ส ง ข อ มู ล ที่ ไ ด รั บ จาก บุคคลภายนอกอันมีลักษณะเปนการละเมิดตอกฎหมาย หรือสิทธิของบุคคลอื่นไปยังพนักงานหรือบุคคล อื่น เปนตน 7.8 เพื่ อ ขั ด ขวางการใช ง านเครื อ ข า ยระบบคอมพิ ว เตอร ข ององค ก ร หรื อ ของ พนักงานอื่นขององคกร หรือเพื่อใหเครือขายระบบคอมพิวเตอรขององคกร ไมสามารถใชงานไดตามปกติ 7.9 เพื่อแสดงความคิ ดเห็นสว นบุคคลในเรื่องที่เกี่ยวของกั บ การดํา เนินงานของ องคกร ไปยังที่อยูเว็บ (web site) ใดๆ ในลักษณะที่จะกอหรืออาจกอใหเกิดความเขาใจที่คลาดเคลื่อนไป จากความเปนจริง 7.10 เพื่ อการอื่นใดที่ อาจขัดต อผลประโยชนขององคกร หรืออาจกอให เ กิ ดความ ขัดแยงหรือความเสียหายแกองคกร 7.11 เพื่อทําใหเสียหาย ทําลาย แกไข เปลี่ยนแปลง หรือเพิ่มเติมไมวาทั้งหมดหรือ บางสวน ซึ่งขอมูลคอมพิวเตอรสวนบุคคลของผูอื่นโดยมิชอบ 7.12 เพื่ อ เข า ถึ ง โดยมิ ช อบซึ่ ง ข อ มู ล คอมพิ ว เตอร ที่ มี ม าตรการป อ งกั น การเข า ถึ ง โดยเฉพาะและมาตรการนั้นมิไดมีไวสําหรับตน 7.13 เพื่อกระทําดวยประการใดโดยมิชอบดวยวิธีการทางอิเล็กทรอนิกสเพื่อดักรับไว ซึ่งขอมูลคอมพิวเตอรของผูอื่นที่อยูระหวางการสงในระบบคอมพิวเตอร และขอมูลคอมพิวเตอรนั้น มิไดมีไวเพื่อประโยชนสาธารณะหรือเพื่อใหบุคคลทั่วไปใชประโยชน ขั้นตอนในการปฏิบัติเพือ่ ความปลอดภัย ขอ 8. ขั้นตอนในการปฏิบัติเพื่อความปลอดภัย เพื่อความปลอดภัยในการใชเครือขายระบบ คอมพิวเตอรโดยสวนรวม พนักงานจะตองปฏิบัติดังตอไปนี้ 8.1 ห า มมิ ใ ห ติ ด ตั้ ง โปรแกรมคอมพิ ว เตอร ที่ มี ลั ก ษณะเป น การละเมิ ด สิ ท ธิ ใ น ทรัพยสินทางปญญาของบุคคลอื่น 8.2 หามมิใหติดตั้งโปรแกรมคอมพิวเตอรที่สามารถใชในการตรวจสอบขอมูลบน เครือขายคอมพิวเตอร เวนแตจะไดรับอนุญาตจากเจาหนาที่กอน 8.3 หามมิใหติดตั้งโปรแกรมคอมพิวเตอรหรืออุปกรณคอมพิวเตอรอื่นใดเพิ่มเติมใน เครื่องคอมพิวเตอรสวนบุคคลขององคกร เพื่อใหบุคคลอื่นสามารถใชงานเครื่องคอมพิวเตอรสวนบุคคล นั้นหรือเครือขายคอมพิวเตอรขององคกรได 8.4 ป ด เครื่ อ งคอมพิ ว เตอร ส ว นบุ ค คลที่ ต นเองครอบครองใช ง านอยู เ มื่ อ ใช ง าน ประจําวันเสร็จสิ้น หรือเมื่อมีการยุติการใชงาน เวนแตเครื่องคอมพิวเตอรนั้นเปนเครื่องบริการ (server) ที่ตองใชงานตลอด 24 ชั่วโมง
7/14
8.5 ตรวจสอบขอมูลที่ไดรับจากภายนอกองคกร ทุกครั้งดวยโปรแกรมคอมพิวเตอร สําหรับตรวจสอบและกําจัดไวรัสคอมพิวเตอรที่องคกรจัดให และหากตรวจพบไวรัสคอมพิวเตอรฝงตัวอยู ในขอมูลสวนใดจะตองรีบจัดการทําลายไวรัสคอมพิวเตอรหรือขอมูลนั้นโดยเร็วที่สุด หรือแจงเจาหนาที่ เปนผูดําเนินการให 8.6 ลบขอมูลที่ไมจําเปนตอการใชงานออกจากเครื่องคอมพิวเตอรสวนบุคคลของตน เพื่อเปนการประหยัดปริมาณหนวยความจําบนสื่อบันทึกขอมูล 8.7 ใชโปรแกรมคอมพิวเตอรที่มีการเขารหัสขอมูลซึ่งองคกร จัดใหสําหรับใชในการ ติดตอกับเครือขายระบบคอมพิวเตอรจากภายนอกสถานที่ทําการขององคกร 8.8 ใหความรวมมือและอํานวยความสะดวกแกผูอํานวยการบริหาร และเจาหนาที่ใน การตรวจสอบระบบความปลอดภัยของเครื่องคอมพิวเตอรสวนบุคคลของพนักงาน และเครือขายระบบ คอมพิวเตอร 8.9 ระมั ด ระวั ง การใช ง านและสงวนรั ก ษาเครื่ อ งคอมพิ ว เตอร ส ว นบุ ค คล และ เครือขายระบบคอมพิวเตอร เหมือนเชนบุคคลทั่วไปจะพึงปฏิบัติในการใชงานเครื่องคอมพิวเตอรสวน บุคคล และเครือขายระบบคอมพิวเตอร แลวแตกรณี 8.10 ห า มมิ ใ ห เ ข า ไปในห อ งปฏิ บั ติ ก ารระบบเครื อ ข า ยระบบคอมพิ ว เตอร และ เครือขายระบบเทคโนโลยีสารสนเทศกอนไดรับอนุญาต 8.11 คืนทรัพยสินอันเกี่ยวของกับการใชงานเครือขายระบบคอมพิวเตอร ที่เปนของ องคกร เชน ขอมูลและสําเนาของขอมูล กุญแจ บัตรประจําตัว บัตรผานเขาหรือออก ฯลฯ ใหแกองคกร รวมทั้ง ขอรับขอมูลสวนบุคคลที่อยูบนเครือขายระบบคอมพิวเตอรคืนจากองคกร ภายในกําหนด 7 วัน กอนวันพนสภาพการเปนพนักงาน 8.12 ในการบันทึกขอมูลหรือจัดเก็บไฟลลงใน CD หรืออุปกรณเชื่อมตอในการจัดเก็บ อื่นๆ ใหพนักงานพึงระวังและรักษา ดิสกหรืออุปกรณเชื่อมตอที่เก็บขอมูลสําคัญขององคกรไวสูงสุด 8.13 การจัดสงขอมูลสําคัญขององคกร ผานระบบเชื่อมตออินเตอรเน็ท ใหพนักงาน ทําการเขารหัสขอมูลทุกครั้ง 8.14 การพิมพหรือสําเนาเอกสาร ( Printing and Hardcopy ) พึงระวังและรักษา ความลับของขอมูล และควรจัดเก็บไวในแฟมขอมูลเอกสารที่อยูในสถานที่ๆ มีการจัดเก็บที่ปลอดภัย 8.15 การจัดสงเครื่องคอมพิวเตอรสํานักงานหรืออุปกรณจัดเก็บขอมูล ใหเจาหนาที่ ทําการสํารองขอมูลทั้งหมดที่มีอยู และจัดเก็บไวในที่ปลอดภัยกอนทําการสงซอมทุกครั้ง เพื่อปองกันการ สูญหายของขอมูล การใชงานอินเตอรเน็ตและอีเมล ขอ 9. การใชงานอินเตอรเน็ตและอีเมล เพื่อความปลอดภัยในการใชเครือขายคอมพิวเตอรโดย สวนรวม พนักงานและสมาชิกจะตองปฏิบัติดังตอไปนี้
8/14
9.1
อินเตอรเน็ต 9.1.1 พนักงานและสมาชิกพึงระลึกและใชงานอินเตอรเน็ตในสวนที่เกี่ยวของ กับการปฏิบัติงานเทานั้น 9.1.2 หามมิใหใชชื่อบัญชีเขาใชของผูอื่นในการใชงานอินเตอรเน็ต 9.1.3 ห า มิ ใ ห ด าวน โ หลดโปรแกรม เกมส รู ป ภาพ หรื อ ข อ มู ล อื่ น ใดที่ ไ ม เกี่ยวของกับการปฏิบัติงานลงบนเครื่องคอมพิวเตอรสํานักงาน 9.1.4 หามมิใหใชโปรแกรมการสนทนาออนไลนตางๆ หรืออื่นใดอันมีลักษณะ ใกลเคียงกันนี้ 9.1.5 หามมิใหเปดรูปภาพสวนตัว เว็บไซต หรืออื่นใดที่มีรูปภาพ ขอความ ที่มีหรือสอไปในทางลามกอนาจาร อันเปนสิ่งซึ่งขัดตอศีลธรรมจรรยาอันดีงามของสังคม 9.1.6 หามมิใหเลนเกมสออนไลนหรือเขาใชบริการอื่นใดอันเกี่ยวเนื่องกัน 9.1.7 หามมิใหสงรูป ขอความ หรืออื่นใดที่กอหรืออาจกอใหเกิดความเสื่อม เสียกับองคกร สถาบันอันเปนที่เคารพ หรือบุคคลที่สาม 9.1.8 พนักงานและสมาชิกพึงระวังในการรับหรือสง อีเมล ที่มีการแนบไฟล โดยมีการตรวจสอบที่มาและทําการตรวจสอบไวรัสกอนเขาใชงานทุกครั้ง 9.1.9 หามมิใหใชงานอินเตอรเน็ตในการสืบคนขอมูลที่ผิดศีลธรรมจรรยา หรือ ภาพลามกอนาจาร 9.2 อีเมลขององคกรจัดใหกับพนักงานและสมาชิกที่มีความจําเปนในการปฏิบัติงาน มีอีเมล ในการติดตอสื่อสาร โดยมีอีเมลเซิรฟเวอรรองรับการใชงาน พนักงานจะตองปฏิบัติดังตอไปนี้ 9.2.1 พนักงานและสมาชิกพึงใชงานอีเมลโดยใชบัญชีอีเมลของตนเทานั้น 9.2.2 เจาหนาที่กําหนดขนาดของกลองรับจดหมาย สําหรับพนักงาน และ ผูบริหาร และสมาชิก เจาหนาที่จะเปนกําหนดให ในกรณีที่มีความจําเปนในการปฏิบัติงานที่ตองการ พื้นที่ในการจัดเก็บขอมูลมากกวาที่กําหนดให ใหทําเรื่องขออนุมัติจากผูบังคับบัญชาตนสังกัด เสนอฝาย ระบบขอมูลและสารสนเทศเพื่อดําเนินการเปนกรณีไป 9.2.3 การรับสงและแนบไฟลขอมูลไมควรเกิน 3 MB สําหรับการสงจดหมาย ภายในและขนาด 3 MB สําหรับสงออกภายนอกองคกร กรณีที่มีความจําเปนในการปฏิบัติงานตองการ แนบไฟลขอมูลที่มีขนาดของไฟลมากกวาที่กําหนดไว ใหทําเรื่องขออนุมัติจากผูบังคับบัญชาตนสังกัด เสนอฝายระบบขอมูลและสารสนเทศเพื่อดําเนินการเปนกรณีไป 9.2.4 ใหใชอีเมลขององคกร ในสวนที่เกี่ยวของกับการปฏิบัติงานเทานั้น 9.2.5 พึ ง ระวั ง และรั ก ษาชื่ อ บั ญ ชี ผู ใ ช ง านและรหั ส ผ า นส ว นบุ ค คลไว ใ นที่ ปลอดภัย 9.2.6 ห า มมิ ใ ห ใ ช อี เ มล อ งค ก ร ในการส ง เมล แ บบกระจาย ในกรณี ซึ่ ง ไม เกี่ยวกับการปฏิบัติงาน
9/14
การบริหารและการปองกันความปลอดภัย ระบบและเครือขาย คอมพิวเตอรและเทคโนโลยีสารสนเทศ ขอ 10. การบริ ห ารและการป อ งกั น ความปลอดภั ย ระบบและเครื อ ข า ย คอมพิ ว เตอร แ ละ เทคโนโลยีสารสนเทศ นับเปนสิ่งสําคัญหรืออาจกลาวไดวาเปนหัวใจขององคกร เพื่อใหเกิดการใชให เปนไปอยางเหมาะสมมีประสิทธิภาพ ลดความเสี่ยงที่อาจจะเกิดขึ้นจากการปฏิบัติงาน อีกทั้งเปนการ บริหารระบบและเครือขายขององคกร ใหเปนไปอยางเหมาะสมและมีประสิทธิภาพ เห็นสมควรมีขอ ปฏิบัติ โดยมีรายละเอียดดังตอไปนี้ 10.1 การสํารองขอมูล หนาที่หลักของระบบสํารองขอมูลคือเปนตัวจัดเก็บ สําเนา ขอมูลที่มีอยูลงในสื่อบันทึกขอมูล เพื่อปองกันความเสียหายที่อาจจะเกิดขึ้น จากการเขาทําลายขอมูล ของกลุมผูไมหวังดี ซึ่งเจาะเขาสูระบบเครือขาย รวมถึงการกูคืนสูระบบปฏิบัติงานตามปกติ โดยมีการ ปฏิบัติดังนี้ 10.1.1 ใหผูมีสวนเกี่ยวของทําการจัดเก็บขอมูลลงบนสื่อบันทึกขอมูลสํารอง (Tape Backup) และควรจัดเก็บไวในที่ปลอดภัย กอนสงเขาสูสถานที่ๆ องคกรกําหนดไว 10.1.2 ในการเคลื่อนยาย เปลี่ยน สถานที่จัดเก็บคลังขอมูลสํารอง จะตองมี การแจงอยางเปนลายลักษณอักษร โดยพนักงานจะตองแจงตอผูอํานวยการบริหารโดยเร็วที่สุด 10.1.3 ผูจัดเก็บและผูทําการบันทึกขอมูลสํารองจะตองเปนผูดูแลระบบที่ไดรับ มอบหมายจากผูอํานวยการบริหารเทานั้น 10.1.4 ผูดูแลระบบจะตองนําสื่อบันทึกขอมูลสํารองมาจากสถานที่ๆ จัดเก็บได ทันและกูกลับคืนในระยะเวลาที่รวดเร็ว หากเกิดเหตุการณที่ไมคาดคิดขึ้นกับระบบขอมูลขององคกร 10.2 การรายงานสถานะของระบบ โดยมีวัตถุประสงคเพื่อ 10.2.1 จัดเก็บรายงานระบบรักษาความปลอดภัย และเครือขายคอมพิวเตอร และเทคโนโลยีสารสนเทศ 10.2.2 เปนการเฝาระวังและติดตามผลของการใชงานระบบจากผูใชงาน 10.2.3 สิ่งที่ผูดูแลระบบเครือขายตองจัดเก็บมี Internet Traffic, E-mail Traffic, คาที่ไดจากรายงานของระบบ 10.2.4 จัดเก็บ Log file เชน Firewall, System error, Backup& Recovery Log เปนตน 10.2.5 ใหผูดูแลระบบตรวจสอบสถานะ การบุกรุก สิทธิและการเขาถึงระบบ รหัสผาน การใชขอ มูลรวม แสดงรายงานตอผูอํานวยการบริหารตามระยะเวลาที่กําหนดไว
10/14
10.3 การปองกันการบุกรุก องคกรจะจัดใหมีอุปกรณปองกันความปลอดภัยที่ เหมาะสม โดยมีเจาหนาที่รับผิดชอบในการดูแลรักษาเครือขายระบบคอมพิวเตอร และเครือขายระบบ เทคโนโลยีสารสนเทศขององคกร โดยมีหนาที่ดังนี้ 10.3.1 ติดตั้งและดูแล Firewall เพื่อปองกันการบุกรุกผานทางอินเตอรเน็ต 10.3.2 ปรับปรุงเวอรชั่น (Update Pattern) ของโปรแกรมปองกันไวรัส (Virus Protection Program) ใหมีความทันสมัยอยูตลอดเวลา 10.3.3 การรับหรือสงอีเมลทุกฉบับจะตองถูกตรวจสอบ (Scan) จากโปรแกรม ตรวจสอบไวรัส 10.3.4 ระบบปฏิบัติการคอมพิวเตอรจะตองไดรับการปรับปรุงเวอรชั่น (OS Update) ใหมีความทันสมัยอยูตลอดเวลา 10.3.5 เครื่องคอมพิวเตอรที่เชื่อมตอระบบและเครือขายจําเปนตองไดรับการ ตรวจสอบบัญชีผูใชงาน และทําลายไวรัสคอมพิวเตอรกอนเขาสูการใชงานระบบหรือเครือขาย 10.4 การใหบริการ การรักษาความปลอดภัยและการควบคุมอุปกรณคอมพิวเตอร 10.4.1 กํ า หนดให มี ม าตรการป อ งกั น การเข า ถึ ง อุ ป กรณ ค อมพิ ว เตอร การ รั่วไหล และการเสียหายของขอมูล ที่เกิดจากจุดออนหรือขอบกพรองของอุปกรณคอมพิวเตอร หรือ ซอฟทแวรที่เกี่ยวของ รวมทั้งสรางสภาพความพรอมใชงานของอุปกรณคอมพิวเตอร 10.4.2 ผูอํานวยการมีหนาที่ใหขอเสนอแนะ คําแนะนํา รวมทั้งความคิดเห็น เกี่ยวกับ IT Hardware และ IT Software ที่มีการตัดจําหนาย โดยมีการจัดการที่ถูกตองและเหมาะสม 10.4.3 ฝ า ยระบบข อ มู ล และสารสนเทศมี ห น าที่ ค วบคุม เครื่ อ งคอมพิว เตอร ตลอดจนอุปกรณเทคโนโลยีสารสนเทศ ที่ใชในการปฏิบัติงานขององคกรใหเปนไปดวยความเหมาะสม 10.4.4 การซ อมบํารุง เครื่ องคอมพิว เตอร อุ ปกรณคอมพิว เตอร ตลอดจน อุปกรณเทคโนโลยีสารสนเทศขององคกร จะตองไดรับความเห็นชอบจากผูอํานวยการฝายระบบขอมูล และสารสนเทศ 10.4.5 การเปลี่ ย นและโยกย า ยสถานที่ ใ ช ง านเครื่อ งคอมพิ ว เตอร ต ลอดจน อุปกรณเทคโนโลยีสารสนเทศ ( IT Hardware และ IT Software ) จะตองไดรับความเห็นชอบจาก ผูอํานวยการ 10.4.6 การจั ด ซื้ อ เครื่ อ งคอมพิ ว เตอร แ ละอุ ป กรณ เ ทคโนโลยี ส ารสนเทศ ( IT Hardware และ IT Software ) ใหผานกระบวนการจัดซื้อตามระเบียบการจัดซื้อขององคกร โดย จะตองหารือผูอํานวยการดวย 10.4.7 เมื่ อ ผ า นการจั ด ซื้ อ แล ว ฝ า ยระบบข อ มู ล และสารสนเทศมี ห น า ที่ ขึ้ น ทะเบียนทรัพยสินทั้งในสวน IT Hardware และ IT Software โดยจัดใหมีบัญชีคุม กําหนดหมายเลข ประจําเครื่อง หรือรายละเอียดที่จําเปน 10.4.8 ฝายระบบขอมูลและสารสนเทศมีหนาที่ในการจัดเก็บประวัติการซอม บํารุงของ IT Hardware 11/14
10.4.9 ฝายระบบขอมูลและสารสนเทศมีหนาที่สนับสนุนหนวยงานและซอม บํารุง ( Support & Maintenance ) IT Hardware ตามคํารองขอของผูใชบริการในองคกร โดยมีการ ดําเนินการอยางรวดเร็วและเหมาะสม 10.4.10 การใหบริการจากฝายระบบขอมูลและสารสนเทศ กรณีที่จําเปนตอง เขาถึงเครื่องคอมพิวเตอรสวนบุคคลของพนักงาน ตองไดรับการยืนยันการเขาถึง เพื่อการซอมบํารุง ปรับปรุงโปรแกรม ติดตั้ง จากพนักงานผูดูแลเครื่องคอมพิวเตอรสํานักงานนั้น ๆ เพื่อปองกันการสูญ หายของขอมูลและรักษาความปลอดภัย 10.5
การรักษาความปลอดภัยในการพัฒนาและและการใชงานโปรแกรม 10.5.1 การพัฒนาโปรแกรมจะตองคํานึงถึงและปองกันการใชประโยชนจาก จุดออนหรือขอบกพรองของโปรแกรมในการทําอันตรายระบบเทคโนโลยีสารสนเทศองคกร 10.5.2 เจ า หน า ที่ พั ฒ นาโปรแกรมเพื่ อ นํ า ไปใช ง านในระบบเทคโนโลยี สารสนเทศขององคกร ตองพัฒนาโปรแกรมตามหลักวิชาการที่ยอมรับโดยทั่วไปและยินยอมใหตรวจสอบ ไดตลอดเวลา รวมทั้งแสดงรายละเอียดที่จําเปนตาง ๆ ที่จําเปนตอการรักษาความปลอดภัย และรหัส โปรแกรม ( Source Code ) และรายละเอียดอื่น ๆ เชน ชื่อผูเขียนโปรแกรม การปรับปรุง วัตถุประสงค คูมือประกอบการพัฒนา คูมือการใชงาน รวมถึงขอมูลตาง ๆ ที่จําเปนในการพัฒนา เชน ความสัมพันธ ที่สามารถเชื่อมโยงไปยังโปรแกรมหรือขอมูลอื่นๆ หรือผูที่ไดรับอนุญาตใหนําโปรแกรมไปใชงานไดให เพิ่มเติมไวในเอกสารคูมือ 10.5.3 การพัฒนาโปรแกรมประยุกตใหกับองคกร ฝายระบบขอมูลและ สารสนเทศจะเปนผูพิจารณาและกําหนดคุณสมบัติของผูที่สามารถใชงานโปรแกรมดังกลาวไดตามสิทธิ 10.5.4 โปรแกรมประยุกตที่พัฒนาหรือปรับปรุงเพื่อใชงาน จะตองไดรับการ ทดสอบการทํางานของโปรแกรมและลงนามตรวจรับความถูกตองตามความตองการโดยผูบังคับบัญชา หนวยงานตนสังกัดที่รองขอ 10.5.5 การพั ฒนาโปรแกรมที่ตองเข าถึ งฐานขอมูล สวนกลาง จะตองทํ าบน ฐานขอมูลทดสอบ ( Test Instance) โดยหลีกเลี่ยงการทํางานบนฐานขอมูลหลัก เพื่อปองกันขอผิดพลาด และรักษาความปลอดภัยของขอมูล 10.5.6 โปรแกรมที่ไดรับการพัฒนาที่จําเปนตองติดตั้งและใชงานในระบบและ เครือขาย ( กรณีใชงานรวมกันในระบบและเครือขายขององคกร ) จะดําเนินการติดตั้งโดยผูดูแลระบบ เครือขายเทานั้น สวนการติดตั้งใชงานเฉพาะสวนใหดําเนินการโดยเจาหนาที่ 10.5.7 กรณีที่เจาหนาที่พัฒนาโปรแกรมมีความจําเปนตองเขาแกไขโปรแกรม ที่ประยุกตบนระบบและเครือขาย ใหเจาหนาที่เปดสิทธิใหกับเจาหนาที่พัฒนาโปรแกรมเปนกรณี ๆ ไป และควบคุมการเขาใชงานของเจาหนาที่พัฒนาโปรแกรมจนเสร็จสิ้นกระบวนการแกไขหรือเปลี่ยนแปลง โปรแกรม
12/14
10.6 การรักษาความปลอดภัยฐานขอมูล เพื่อกําหนดเปนมาตรฐานการปองกัน ฐานขอมูลจากการเขาถึง การเปลี่ยนแปลง การโอนยายขอมูล หรือการกระทําใด ๆ โดยผูที่ไมมีสวน เกี่ยวของ ตลอดจนการเตรียมระบบสํารองและการฟนฟูระบบ ฝายระบบขอมูลและสารสนเทศตอง ปฏิบัติดังตอไปนี้ 10.6.1 ฐานข อ มู ล ต อ งได รั บ การจั ด การและการป อ งกั น ผู มี สิ ท ธิ เ ข า ใช ห รื อ ดําเนินการ รวมทั้งรายละเอียดอื่น ๆ ที่จําเปนตอมาตรฐานความปลอดภัย 10.6.2 ฝายระบบขอมูลและสารสนเทศ มีหนาที่ในการดําเนินการเปดสิทธิและ กําหนดลําดับการเขาถึงฐานขอมูลขององคกร ตามคุณสมบัติของผูเขาใชงานโปรแกรมซึ่งตองเชื่อมตอ ฐานขอมูล การดําเนินการดังกลาวหนวยงานเจาของฐานขอมูลจะเปนผูกําหนดตัวบุคคล สิทธิและความ จําเปนในการเขาถึงชั้นของฐานขอมูลเพื่อการปฏิบัติงาน ซึ่งผูบังคับบัญชาผูมีอํานาจในสายงานจะเปนผู พิจารณาคุณสมบัติของตัวบุคคล โดยผูใชงานโปรแกรมจะไดรับอนุญาตใหกระทําการใด ๆ กับขอมูลนั้น ๆ ไดตามสิทธิและจัดใหมีการเขาใชงานบนฐานขอมูลเพื่อการปฏิบัติงานเทาที่จําเปน เพื่อประโยชนใน การตรวจสอบความถูกตอง ของการใชงานฐานขอมูล 10.6.3 ในการใชงานฐานขอมูลรวมกันควรจัดใหมีการกําหนดขอตกลงรวมเพื่อ การบํารุงรักษาและคงไวซึ่งฐานขอมูลที่ถูกตองสมบูรณ การปองกันและดูแลเหตุการณฉุกเฉิน ขอ 11. การปองกันและดูแลเมื่อเกิดเหตุการณไมคาดคิด เพื่อใหระบบบริหารงานเทคโนโลยี สารสนเทศขององคกร มีมาตรฐานและเปนที่นาเชื่อถือและวางใจได อีกทั้งเปนการปองกันปญหาที่อาจ กอหรือกอใหเกิดกับขอมูลหรือระบบงานอันเนื่องจากขอผิดพลาดหรือความเสียหายจากภัยตางๆ ฝาย ระบบขอมูลและสารสนเทศตองจัดใหมีการสําเนาขอมูลและระบบงานที่เหมาะสม ทั้งนี้รวมถึงวิธีการกูคืน ขอมูลและระบบงานที่สําคัญ เพื่อมิใหมีผลกระทบตอการดําเนินกิจการขององคกรอยางมีนัยสําคัญ โดยใหเปนไปตามแนวทางปฏิบัติเรื่อง การสําเนาและกูคืน ขอปฏิบัติของเจาหนาที่ ขอ 12. ขอปฏิบัติของเจาหนาที่ผูดูแลเครือขายระบบคอมพิวเตอร 12.1 เจาหนาที่ผูดูแลเครือขายระบบคอมพิวเตอรจะตองดูแล รักษา และปรับปรุง เครือขายระบบคอมพิวเตอร เพื่อใหสามารถใชงานไดดีอยูเสมอ รวมทั้งจะตองสอดสอง ดูแลพนักงานให ใชเครือขายระบบคอมพิวเตอรใหเปนไปตามระเบียบนี้อยางเครงครัด หากเจาหนาที่ผูดูแลเครือขาย ระบบคอมพิวเตอรพบวาพนักงานผูใด มีพฤติการณสอไปในทางที่จะกระทําผิดระเบียบ เจาหนาที่ผูดูแล เครือขายระบบคอมพิวเตอรตองแจงใหผูบังคับบัญชาตนสังกัดทราบโดยเร็วที่สุด
13/14
12.2 หากพบวาเหตุที่เกิดขึ้นอาจมีผลกอใหเกิดความเสียหายขึ้นแกองคกร เจาหนาที่ ผูดูแลเครือขายระบบคอมพิวเตอรมีอํานาจระงับการใชงานเครือขายระบบคอมพิวเตอรของพนักงาน ดังกลาวไดทันที 12.3 เจาหนาที่ผูดูแลเครือขายระบบคอมพิวเตอรมีหนาที่ในการเสนอความคิดเห็น และขอสังเกตตอผูอํานวยการบริหาร เพื่อพิจารณาสั่งการปรับปรุงประสิทธิภาพและการบริหารเครือขาย ระบบคอมพิวเตอรหรือปฏิบัติหนาที่อื่น ๆ ที่เกี่ยวกับเครือขายระบบคอมพิวเตอร ตามที่ผูอํานวยการ บริหารมอบหมาย 12.4 เจ า หน า ที่ ผู ดู แ ลเครื อ ข า ยระบบคอมพิ ว เตอร มี ห น า ที่ ใ นการติ ด ตั้ ง อุ ป กรณ ซอฟตแวร ระบบการเขารหัสขอมูลอัตโนมัติหรือระบบอื่นใดที่เกี่ยวของกับเครือขายระบบคอมพิวเตอร ตลอดจนบํารุงรักษาสิ่งตาง ๆ ดังกลาวใหใชงานไดดีอยูเสมอ 12.5 ผูเจาหนาที่ดูแลเครือขายระบบคอมพิวเตอรหรือผูที่ไดรับมอบหมายตองคืน ทรัพยสินอันเกี่ยวของกับการปฏิบัติหนาที่ของตนใหแกผูอํานวยการบริหารทันที เมื่อพนจากหนาที่เพื่อ ความปลอดภัยของขอมูลและเครือขายระบบคอมพิวเตอร เชน ขอมูลและสําเนาของขอมูล กุญแจ บัตร ประจําตัว บัตรผานเขา-ออก ฯลฯ ขอ 13 หามมิใหเจาหนาที่กระทําการอันใดอันเปนการละเมิดขอมูลสวนบุคคลของบุคคลอื่น เวนเสี ยแต ก ระทําไปเพื่ อความปลอดภัยของเครื อขายระบบคอมพิว เตอร ทั้งนี้ตองไดรับอนุมัติจาก ผูอํานวยการโดยความเห็นชอบจากผูอํานวยการบริหาร บทลงโทษและการบังคับใช ขอ 13. บทลงโทษและการบังคับใช 13.1 เจาหนาที่ผูดูแลเครือขายระบบคอมพิวเตอรหรือผูที่ไดรับมอบหมาย พนักงาน ที่ฝาฝนขอกําหนดดังกลาวขางตนที่กําหนดในระเบียบนี้ ซึ่งกอหรืออาจกอใหเกิดความเสียหายแกองคกร หรือบุ ค คลหนึ่ งบุค คลใด องค ก รจะพิ จารณาดํา เนิน การทางวิ นัย และดํ า เนิน การตามกฎหมายแก เจาหนาที่ผูดูแลเครือขายระบบคอมพิวเตอร หรือผูที่ไดรับมอบ พนักงาน นั้นตามความเหมาะสมตอไป 13.2 ใหผูอํานวยการดูแลการปฏิบัติใหเปนไปตามระเบียบนี้อยางเครงครัด ประกาศ ณ วันที่ 28 มิถุนายน 2553
(นายพยุงศักดิ์ ชาติสุทธิผล) ประธานสภาอุตสาหกรรมแหงประเทศไทย
14/14