นโยบายความมั่นคงปลอดภัยสารสนเทศ

การรักษาความมั่นคงปลอดภัยด้านสารสนเทศของสำนักงานใช้กรอบการดำเนินการในรูปแบบวงจรควบคุมคุณภาพ (PDCA Cycle) ซึ่งเป็นการจัดการเชิงกระบวนการ (Process Approach) โดยคำนึงถึงกลไกการควบคุมที่สอดคล้องกับความเสี่ยงของสินทรัพย์ เพื่อตรวจสอบ ประเมินผล ทบทวน และปรับปรุงนโยบายและแนวปฏิบัติการรักษาความมั่นคงปลอดภัยด้านสารสนเทศของสำนักงาน และเอกสารที่เกี่ยวข้องให้ดีขึ้นอย่างต่อเนื่อง และสอดคล้องกับยุทธศาสตร์ของสำนักงาน อย่างน้อยปีละ 1 ครั้ง หรือเมื่อมีเหตุการณ์ที่สำคัญ

1. สำนักงานต้องแบ่งแยกหน้าที่และความรับผิดชอบให้ชัดเจนในการปฏิบัติงานเพื่อลดโอกาสที่จะทำให้มีการเปลี่ยนแปลงแก้ไขระบบการรักษาความมั่นคงปลอดภัยสารสนเทศ การเปลี่ยนแปลงทรัพย์สินของสำนักงาน หรือมีการนำทรัพย์สินไปใช้ผิดวัตถุประสงค์ โดยไม่ได้รับอนุญาตหรือโดยไม่ได้เจตนา
2. บทบาท หน้าที่ และความรับผิดชอบ 
        (1) ผู้อำนวยการ มีหน้าที่ดูแล ให้การสนับสนุนด้านทรัพยากรที่จำเป็นต่อระบบความมั่นคงปลอดภัยสารสนเทศ ประกาศ และสื่อสารให้มีการปฏิบัติตามนโยบายและแนวปฏิบัติด้านการรักษาความมั่นคงปลอดภัยสารสนเทศที่สำนักงานกำหนด 
   กรณีระบบคอมพิวเตอร์หรือข้อมูลสารสนเทศเกิดความเสียหายหรืออันตรายใด ๆ ต่อสำนักงานหรือผู้หนึ่งผู้ใดอันเนื่องมาจากความบกพร่องละเลย หรือฝ่าฝืนการปฏิบัติตามแนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยสารสนเทศ ผู้อำนวยการมีหน้าที่รับผิดชอบต่อความเสียหายที่เกิดขึ้นทั้งหมดโดยตรง 
        (2) ผู้บริหารเทคโนโลยีสารสนเทศระดับสูง (Chief Information Officer:CIO) มีหน้าที่อนุมัติการใช้งานนโยบายและแนวปฏิบัติด้านการรักษาความมั่นคงปลอดภัยสารสนเทศ ในกรณีพบความเสี่ยงด้านเทคโนโลยีสารสนเทศที่อยู่ในระดับที่สำนักงานยอมรับไม่ได้ และมีข้อจำกัดหรือเหตุผลทำให้ไม่สามารถแก้ไขและควบคุมความเสี่ยงนั้นได้ ให้ผู้บริหารเทคโนโลยีสารสนเทศระดับสูงเป็นผู้พิจารณายอมรับความเสี่ยงนั้น หรือเสนอแนะแนวทางอื่นในการแก้ไข โดยคำนึงถึงผลกระทบที่อาจจะเกิดขึ้น 
   กรณีมีผู้ปฏิบัติงานฝ่าฝืนนโยบายและแนวปฏิบัติด้านการรักษาความมั่นคงปลอดภัยสารสนเทศ ละเมิดทรัพย์สินทางปัญญาหรือกฎหมายลิขสิทธิ์ ให้ผู้บริหารเทคโนโลยีสารสนเทศระดับสูงพิจารณาดำเนินการทางวินัย เรียกค่าเสียหาย หรือดำเนินคดีตามกฎหมาย
   กรณีพบผู้ปฏิบัติงานกระทำการด้านสารสนเทศในลักษณะอันอาจก่อให้เกิดความเข้าใจผิดต่อภาพลักษณ์หรือความเสียหายต่อสำนักงาน ให้ผู้บริหารเทคโนโลยีสารสนเทศระดับสูงพิจารณาสั่งการระงับ ยกเลิก หรือดำเนินการใด ๆ 
        (3) ผู้บริหารความมั่นคงปลอดภัยสารสนเทศ (Chief Information Security Officer : CISO) มีหน้าที่กำกับ ดูแลติดตาม ให้คำแนะนำในการจัดทำและทบทวนนโยบายและแนวปฏิบัติด้านการรักษาความมั่นคงปลอดภัยสารสนเทศ 
        (4) คณะกรรมการบริหารเทคโนโลยีสารสนเทศ มีหน้าที่กำกับ ดูแล ติดตามให้คำแนะนำในการจัดทำและเห็นชอบนโยบายและแนวปฏิบัติด้านการรักษาความมั่นคงปลอดภัยสารสนเทศ
        (5) คณะทำงานย่อยระบบมาตรฐาน ISO 27001:2013 มีหน้าที่จัดทำทบทวน และดำเนินงานที่เกี่ยวข้องกับการบริหารความมั่นคงปลอดภัยสารสนเทศของสำนักงาน เป็นไปด้วยความเรียบร้อยและมีประสิทธิภาพ
        (6) คณะทำงานย่อยระบบมาตรฐาน ISO 22301:2012 มีหน้าที่จัดทำทบทวน และดำเนินงานที่เกี่ยวข้องกับระบบบริหารความต่อเนื่องทางธุรกิจของสำนักงานเป็นไปด้วยความเหมาะสม
        (7) ส่วนงานประกันคุณภาพ ภายใต้สำนักพัฒนาองค์กร มีหน้าที่เผยแพร่นโยบายและแนวปฏิบัติด้านการรักษาความมั่นคงปลอดภัยสารสนเทศผ่านทางIntranet ของสำนักงาน เพื่อสื่อสารให้ผู้ปฏิบัติงานภายในสำนักงาน และเผยแพร่นโยบายผ่านหน้าเว็บไซต์ของ สพธอ. เพื่อสื่อสารให้บุคคลภายนอกที่เกี่ยวข้องรับทราบ รวมถึงสามารถเข้าถึงได้อย่างสะดวก
        (8) ส่วนงานกำกับการปฏิบัติตามข้อกำหนด ภายใต้สำนักพัฒนาองค์กรมีหน้าที่ศึกษา เผยแพร่ กำกับ และติดตามการดำเนินงานให้เป็นไปตามกฎหมายข้อกำหนด ข้อบังคับ ระเบียบ ประกาศ คำสั่งหรือมติต่าง ๆ ที่เกี่ยวข้อง
        (9) ผู้ตรวจประเมินระบบมาตรฐานภายใน (Internal Auditor) ระบบบริหารความมั่นคงปลอดภัยสารสนเทศ มีหน้าที่วางแผน ประสานงานการตรวจประเมินภายใน รายงานผลการตรวจประเมินภายใน รวมถึงติดตามและตรวจสอบการดำเนินการแก้ไขหรือป้องกันข้อบกพร่องที่พบจากการตรวจประเมินภายใน
        (10) ผู้ดูแลสินทรัพย์ มีหน้าที่บริหารจัดการสินทรัพย์ที่ได้รับมอบหมายประกอบด้วย การบำรุงรักษา การปรับปรุงทะเบียนสินทรัพย์ การประเมินความเสี่ยงต่อสินทรัพย์จากการดำเนินกิจกรรมที่เกี่ยวข้องทั้งภายในและภายนอกหน่วยงาน โดยคำนึงถึงเงื่อนไขในการรักษาความมั่นคงปลอดภัย และกำหนดมาตรการรองรับก่อนดำเนินกิจกรรมนั้น และนำมาตรการดังกล่าวในส่วนที่หน่วยงานภายนอกต้องรับทราบมาทำเป็นข้อตกลงระหว่างสำนักงานและหน่วยงานภายนอก
        (11) ผู้ปฏิบัติงาน มีหน้าที่ปฏิบัติตามนโยบายและแนวปฏิบัติด้านการรักษาความมั่นคงปลอดภัยสารสนเทศ รวมถึงดูแลรักษาและระมัดระวังการใช้สินทรัพย์ของสำนักงาน โดยต้องมีความตระหนักรู้ด้านความมั่นคงปลอดภัยสารสนเทศ
3. สำนักงานต้องกำหนดรายชื่อและข้อมูลสำหรับติดต่อกับหน่วยงานที่เกี่ยวข้อง เพื่อใช้งานในการติดต่อประสานงานด้านความมั่นคงปลอดภัยสารสนเทศและต้องทบทวนรายชื่อและข้อมูลสำหรับติดต่ออย่างน้อยปีละ 1 ครั้ง หรือเมื่อมีการเปลี่ยนแปลง
4. สำนักงานต้องกำหนดรายชื่อและข้อมูลสำหรับติดต่อกับกลุ่มต่าง ๆ ที่มีความสนใจพิเศษในเรื่องเดียวกัน กลุ่มที่มีความสนในด้านความมั่นคงปลอดภัยสารสนเทศ หรือ หน่วยงาน สมาคม บริษัท ในอุตสาหกรรมที่สำนักงานมีส่วนร่วม และต้องทบทวนรายชื่อและข้อมูลสำหรับติดต่ออย่างน้อยปีละ 1 ครั้ง หรือเมื่อมีการเปลี่ยนแปลง

สำนักงานมีนโยบายการบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศโดยมีแผนการจัดการความเสี่ยง ซึ่งกำหนดเกณฑ์ในการประเมิน การแก้ไข และยอมรับความเสี่ยง เพื่อลดโอกาสในการสูญเสียความลับ ความถูกต้องครบถ้วน และความพร้อมใช้งานของสินทรัพย์ของสำนักงาน

สำนักงานต้องสร้างความรู้และความตระหนักในการใช้งานระบบสารสนเทศอย่างมั่นคงปลอดภัยแก่ผู้ใช้งาน ผู้ปฏิบัติงาน โดยการจัดทำคู่มือ จัดฝึกอบรม และเผยแพร่เอกสารที่เกี่ยวข้องผ่านระบบเว็บไซต์ภายในของสำนักงาน รวมถึงสื่อสารนโยบายด้านความมั่นคงปลอดภัยสารสนเทศให้ผู้ให้บริการภายนอกทราบในเรื่องที่เกี่ยวข้อง

สำนักงานมีนโยบายการบริหารจัดการสินทรัพย์ โดยการจัดทำมาตรการควบคมุ การใช้งานนสินทรัพย์ที่เหมาะสมตลอดวงจรชีวิตของสินทรพัย์ตั้งแต่การจัดหาการลงทะเบียน การบำรุงรักษา การจำหน่าย และการทำลายสินทรัพย์ ตามลำดับชั้นความลับของข้อมูลที่อยู่ในสินทรัพย์นั้น ๆ

สำนักงานมีนโยบายการบริหารจัดการเอกสารที่เกี่ยวข้องกับการปฏิบัติงานภายในของสำนักงาน ได้แก่ นโยบายและแนวปฏิบัติด้านการรักษาความมั่นคงปลอดภัยสารสนเทศ ขั้นตอนการปฏิบัติงาน วิธีปฏิบัติงาน เอกสารสนับสนุนการทำงาน คู่มือการตั้งค่าระบบสารสนเทศ และบันทึกต่าง ๆ โดยเอกสารจะถูกกำหนดรหัสและควบคุม ตั้งแต่การขึ้นทะเบียนเอกสารใหม่ การทบทวนและอนุมัติก่อนการใช้งานการแก้ไขเอกสาร การเผยแพร่เอกสาร การยกเลิกเอกสาร และการทำลายเอกสารที่เลิกใช้งาน

สำนักงานมีนโยบายการควบคุมการเข้าถึงระบบสารสนเทศแก่ผู้ใช้งาน ตั้งแต่การลงทะเบียน การกำหนดสิทธิ การเพิกถอนสิทธิ การทบทวนสิทธิการใช้งาน และการใช้งานอุปกรณ์พกพาอื่น ๆ (Mobile Device) รวมถึงการให้ความคุ้มครองข้อมูลส่วนบุคคลในส่วนที่ไม่พึงเปิดเผยภายใต้บทบัญญัติของกฎหมาย

สำนักงานมีนโยบายการบริหารจัดการกุญแจสำหรับการเข้ารหัสลับ โดยมีการกำหนดวิธีการสร้าง อายุของกุญแจ การเก็บ การสำรอง การส่งต่อ การทำลาย การเข้าถึง และการปฏิบัติเมื่อเกิดเหตุการณ์ที่มีผู้ล่วงรู้ข้อมูลกุญแจเข้ารหัส

สำนักงานมีนโยบายการรักษาความมั่นคงปลอดภัยในการปฏิบัติงานครอบคลุมในเรื่องดังนี้ การจัดทำขั้นตอนปฏิบัติงาน การป้องกันมัลแวร์ การควบคุมการใช้งานซอฟต์แวร์ การบริหารจัดการช่องโหว่ และการตรวจสอบระบบสารสนเทศ

สำนักงานมีนโยบายการสร้างความมั่นคงปลอดภัยด้านกายภาพและสภาพแวดล้อม และมาตรการเกี่ยวกับการเข้าถึงทางกายภาพและสภาพแวดล้อมสำหรับพื้นที่สำนักงาน พื้นที่จัดส่งและรับของ พื้นที่มั่นคงปลอดภัย รวมถึงพื้นที่ศูนย์ข้อมูลที่สำนักงานใช้บริการ (Data Center)

สำนักงานมีนโยบายการบริหารจัดการการเปลี่ยนแปลงขององค์กรกระบวนการทางธุรกิจ สินทรัพย์ และระบบประมวลผลข้อมูลสารสนเทศ ที่มีผลกระทบต่อความมั่นคงปลอดภัยสารสนเทศ เพื่อให้มั่นใจว่าการเปลี่ยนแปลงได้รับการวางแผน การจัดลำดับความสำคัญ ประเมินผลกระทบ การอนุมัติจากผู้มีอำนาจ การมอบหมาย ทดสอบ บันทึก และดำเนินการอย่างเหมาะสม เพื่อลดโอกาสหรือผลกระทบของความเสียหายอันเกิดจากการเปลี่ยนแปลงนั้น และรักษาไว้ซึ่งความมั่นคงปลอดภัยของข้อมูล

สำนักงานมีนโยบายการบริหารจัดการขีดความสามารถสารสนเทศ เพื่อตรวจสอบการใช้งานให้มีทรัพยากรเพียงพอต่อความต้องการใช้งานของสำนักงานและระบบสารสนเทศของสำนักงานสามารถให้บริการได้อย่างต่อเนื่อง

สำนักงานมีนโยบายการบริหารจัดการการสำ รองข้อมูลสำ หรับระบบสารสนเทศ เพื่อป้องกันข้อมูลจากการสูญหาย ถูกทำลาย จากเหตุการณ์ไม่พึงประสงค์หรือเหตุการณ์ที่ไม่คาดคิด เพื่อให้ระบบสารสนเทศของสำนักงานสามารถให้บริการได้อย่างต่อเนื่อง

สำนักงานมีนโยบายการบันทึกเหตุการณ์ที่เกิดขึ้นในระบบสารสนเทศ เช่นกิจกรรมของผู้ดูแลระบบและผู้ใช้งาน ความผิดปกติหรือข้อผิดพลาดของระบบสารสนเทศ การใช้งานต่าง ๆ เป็นต้น ทั้งนี้ เหตุการณ์ที่บันทึกต้องได้รับการปกป้องจากการเปลี่ยนแปลงเพื่อทำลายและการเข้าถึงโดยไม่ได้รับอนุญาต โดยต้องมีการตรวจสอบและวิเคราะห์เหตุการณ์ที่บันทึกอย่างสมํ่าเสมอ เพื่อป้องกันเหตุการณ์ไม่พึงประสงค์หรือภัยคุกคามที่อาจส่งผลกระทบต่อสำนักงาน

สำนักงานมีนโยบายการควบคุมการสื่อสาร และการส่งข้อมูลผ่านระบบเครือข่ายของสำนักงาน เพื่อป้องกันการเข้าถึงระบบสารสนเทศของสำนักงานจากผู้ที่ไม่ได้รับอนุญาต ป้องกันภัยคุกคามที่อาจก่อให้เกิดผลกระทบต่อสำนักงาน รวมถึงควบคุมการเข้าถึงการใช้งานระบบเครือข่ายเพื่อปฏิบัติงานจากภายนอกสำนักงานให้มีความมั่นคงปลอดภัย

สำนักงานมีนโยบายด้านความมั่นคงปลอดภัยสารสนเทศในกระบวนการจัดหาการพัฒนา และการบำรุงรักษาระบบสารสนเทศ โดยมีการศึกษาความเป็นไปได้ การวิเคราะห์ผลกระทบ และการตรวจสอบระบบสารสนเทศให้มั่นใจว่าเป็นไปตามข้อกำหนดก่อนการโอนย้ายขึ้นสู่สภาพแวดล้อมการใช้งานจริง เพื่อป้องกันผลกระทบต่อการปฏิบัติงานหรือต่อภารกิจของสำนักงาน

สำนักงานมีนโยบายการบริหารจัดการการให้บริการโดยหน่วยงานภายนอกโดยกำหนดระเบียบ ข้อบังคับ หลักเกณฑ์ และแนวปฏิบัติในการดำเนินงาน เพื่อใช้ในการติดตาม ทบทวน บริหารจัดการการเปลี่ยนแปลงการให้บริการ และตรวจประเมินการส่งมอบบริการของหน่วยงานภายนอกอย่างสมํ่าเสมอ เพื่อควบคุมการเข้าถึงหรือใช้งานข้อมูลและระบบสารสนเทศของสำนักงาน ให้เป็นไปอย่างถูกต้องและมีความมั่นคงปลอดภัย

สำนักงานมีนโยบายในการบริหารจัดการเหตุการณ์ด้านความมั่นคงปลอดภัยสารสนเทศ และสถานการณ์ด้านความมั่นคงปลอดภัยที่ไม่พึงประสงค์หรือไม่อาจคาดคิด โดยมีการกำหนดหน้าที่ของผู้ที่เกี่ยวข้องและขั้นตอนปฏิบัติในการเฝ้าระวังการรายงานเหตุการณ์ การวิเคราะห์ การเก็บรวบรวมหลักฐาน การแก้ปัญหา และการบันทึกเหตุการณ์ด้านความมั่นคงปลอดภัยที่เกิดขึ้น เพื่อให้เกิดการตอบสนองอย่างรวดเร็ว มีประสิทธิภาพและประสิทธิผล เป็นระเบียบแบบแผน และนำความรู้ที่ได้รับจากการวิเคราะห์และแก้ปัญหาไปใช้เพื่อลดโอกาสหรือผลกระทบของเหตุการณ์ในอนาคต

สำนักงานมีนโยบายการบริหารความต่อเนื่องด้านความมั่นคงปลอดภัยระบบสารสนเทศและการดำเนินธุรกิจของสำนักงาน โดยคณะทำงานย่อยระบบมาตรฐาน ISO 22301:2012 มีหน้าที่ในการวิเคราะห์ผลกระทบทางธุรกิจ (Business Impact Analysis: BIA) จัดลำดับความสำคัญของข้อมูลและระบบสารสนเทศที่จำเป็นต้องมีความต่อเนื่องในการใช้งาน กำหนดกระบวนการ กิจกรรมและทรัพยากรที่จำเป็นจัดทำเอกสารที่เกี่ยวข้อง สื่อสารให้ผู้ที่เกี่ยวข้องทราบและตระหนักถึงหน้าที่ของตนตลอดจนจัดให้มีการซ้อมแผนบริหารความต่อเนื่องด้านความมั่นคงปลอดภัยสารสนเทศ อย่างน้อยปีละ 1 ครั้ง

สำนักงานมีนโยบายการปฏิบัติตามข้อกฎหมาย ระเบียบข้อบังคับ ข้อผูกพันตามสัญญาที่เกี่ยวข้องกับความมั่นคงปลอดภัยสารสนเทศ มาตรฐาน และข้อกำหนดด้านความมั่นคงปลอดภัยที่สำนักงานกำหนด โดยมีการสื่อสารกับผู้ปฏิบัติงานให้รับทราบและเข้าใจ รวมทั้งมีการทบทวนและตรวจสอบการปฏิบัติตามนโยบายที่สำนักงานกำหนด

สำนักงานมีนโยบายการประเมินผลการปฏิบัติงานและการตรวจประเมินระบบมาตรฐานภายใน โดยกำหนดให้มีการตรวจประเมินและวัดผลการปฏิบัติงานตามกฎหมาย ระเบียบ ข้อบังคับที่สำนักงานกำหนด รวมถึงมาตรฐานต่าง ๆ ที่จำเป็นต่อการดำเนินงานของสำนักงาน เพื่อมั่นใจถึงประสิทธิภาพในการปฏิบัติงานและความมั่นคงปลอดภัยในข้อมูล รวมถึงระบบสารสนเทศของสำนักงาน

ผู้บริหารความมั่นคงปลอดภัยสารสนเทศทบทวนระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศของสำนักงานตามรอบเวลาที่กำหนดไว้ อย่างน้อยปีละ 1 ครั้ง หรือเมื่อมีการเปลี่ยนแปลงที่สำคัญ

สำนักงานมีนโยบายการแก้ไขและปรับปรุงการปฏิบัติงานที่ไม่สอดคล้องด้านความมั่นคงปลอดภัยสารสนเทศ โดยมีการกำหนดกระบวนการในการทบทวน การระบุสาเหตุ การแก้ไขหรือเปลี่ยนแปลงระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ การทบทวนประสิทธิผลของปฏิบัติการแก้ไข รวมถึงการจัดเก็บเอกสารที่เกี่ยวข้อง เพื่อให้เกิดการพัฒนาอย่างต่อเนื่องและมีประสิทธิภาพ

          สำนักงานอาจปรับปรุงนโยบายความมั่นคงปลอดภัยสารสนเทศนี้เป็นครั้งคราวเพื่อให้สอดคล้องกับการเปลี่ยนแปลงของการให้บริการ การดำเนินงานของสำนักงาน และข้อเสนอแนะ ความคิดเห็นจากท่าน สำนักงานจะประกาศแจ้งการเปลี่ยนแปลงให้ทราบอย่างชัดเจนก่อนจะเริ่มดำเนินการเปลี่ยนแปลง หรืออาจส่งประกาศแจ้งเตือนให้ท่านทราบโดยตรง
          สำหรับข้อมูลเพิ่มเติมเกี่ยวกับนโยบายและแนวปฏิบัติการรักษาความมั่นคงปลอดภัยสารสนเทศ โปรดศึกษาจากนโยบายและแนวปฏิบัติการรักษาความมั่นคงปลอดภัยสารสนเทศฉบับเต็ม หากท่านมีข้อสงสัยเพิ่มเติม โปรดติดต่อสำนักงานได้ที่:                 

                 สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์
                 ศูนย์ราชการเฉลิมพระเกียรติ 80 พรรษา (อาคารบี)
                 ชั้นที่ 6 เลขที่ 120 หมู่ที่ 3 ถนนแจ้งวัฒนะ
                 แขวงทุ่งสองห้อง เขตหลักสี่ กรุงเทพมหานคร 10210

                 หมายเลขโทรศัพท์ 0 2123 1234
                 หมายเลขโทรสาร 0 2123 1200
                 เว็บไซต์ https://www.etda.or.th