TOP

Sitemap

Sitemap Descriptions

เกี่ยวกับ สพธอ.

นโยบายส่วนบุคคล

นโยบายความมั่นคงปลอดภัยสารสนเทศ นโยบายความมั่นคงปลอดภัยสารสนเทศ

นโยบายความมั่นคงปลอดภัยสารสนเทศ

นโยบายความมั่นคงปลอดภัยสารสนเทศ

สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (“สำนักงาน”) ขอแนะนำให้ท่านทำความเข้าใจนโยบายความมั่นคงปลอดภัยสารสนเทศ (Information Security Policy) นี้ เนื่องจาก นโยบายนี้อธิบายถึงวิธีการที่สำนักงานดำเนินการปกป้องความลับและความถูกต้องครบถ้วนของข้อมูล ทำให้เกิดความพร้อมใช้งานอย่างต่อเนื่องสำหรับระบบสารสนเทศของสำนักงาน สร้างความเชื่อมั่นให้แก่ผู้มีส่วนเกี่ยวข้องในทุกระดับ รวมถึงทำให้เกิดการพัฒนาและยกระดับคุณภาพของการรักษาความมั่นคงปลอดภัยอย่างต่อเนื่อง เพื่อให้ท่านได้รับทราบถึงนโยบายในการรักษาความมั่นคงปลอดภัยสารสนเทศของสำนักงาน สำนักงานจึงประกาศนโยบายนโยบายความมั่นคงปลอดภัยสารสนเทศ ดังต่อไปนี้

ทั่วไป

การรักษาความมั่นคงปลอดภัยด้านสารสนเทศของสำนักงานใช้กรอบการดำเนินการในรูปแบบวงจรควบคุมคุณภาพ (PDCA Cycle) ซึ่งเป็นการจัดการเชิงกระบวนการ (Process Approach) โดยคำนึงถึงกลไกการควบคุมที่สอดคล้องกับความเสี่ยงของสินทรัพย์ เพื่อตรวจสอบ ประเมินผล ทบทวน และปรับปรุงนโยบายและแนวปฏิบัติการรักษาความมั่นคงปลอดภัยด้านสารสนเทศของสำนักงาน และเอกสารที่เกี่ยวข้องให้ดีขึ้นอย่างต่อเนื่อง และสอดคล้องกับยุทธศาสตร์ของสำนักงาน อย่างน้อยปีละ 1 ครั้ง หรือเมื่อมีเหตุการณ์ที่สำคัญ

โครงสร้าง บทบาท หน้าที่ และความรับผิดชอบ ในการรักษาความมั่นคงปลอดภัย สารสนเทศ

  1. สำนักงานต้องแบ่งแยกหน้าที่และความรับผิดชอบให้ชัดเจนในการปฏิบัติงานเพื่อลดโอกาสที่จะทำให้มีการเปลี่ยนแปลงแก้ไขระบบการรักษาความมั่นคงปลอดภัยสารสนเทศ การเปลี่ยนแปลงทรัพย์สินของสำนักงาน หรือมีการนำทรัพย์สินไปใช้ผิดวัตถุประสงค์ โดยไม่ได้รับอนุญาตหรือโดยไม่ได้เจตนา
    บทบาท หน้าที่ และความรับผิดชอบ
         (1) ผู้อำนวยการ มีหน้าที่ดูแล ให้การสนับสนุนด้านทรัพยากรที่จำเป็นต่อระบบความมั่นคงปลอดภัยสารสนเทศ ประกาศ และสื่อสารให้มีการปฏิบัติตามนโยบายและแนวปฏิบัติด้านการรักษาความมั่นคงปลอดภัยสารสนเทศที่สำนักงานกำหนด รวมถึงอนุมัติการใช้งานนโยบายและแนวปฏิบัติด้านการรักษาความมั่นคงปลอดภัยสารสนเทศ และกำกับ ดูแล ติดตาม ให้คำแนะนำในการจัดทำและทบทวนนโยบายและแนวปฏิบัติด้านการรักษาความมั่นคงปลอดภัยสารสนเทศ
    กรณีระบบคอมพิวเตอร์หรือข้อมูลสารสนเทศเกิดความเสียหายหรืออันตรายใด ๆ ต่อสำนักงานหรือผู้หนึ่งผู้ใดอันเนื่องมาจากความบกพร่องละเลย หรือฝ่าฝืนการปฏิบัติตามแนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยสารสนเทศ ผู้อำนวยการมีหน้าที่รับผิดชอบต่อความเสียหายที่เกิดขึ้นทั้งหมดโดยตรง
         (2) ผู้บริหารเทคโนโลยีสารสนเทศระดับสูง (Chief Information Officer: CIO) มีหน้าที่กำกับ ดูแล ติดตาม ให้คำแนะนำในการจัดทำและทบทวนนโยบายและแนวปฏิบัติด้านการรักษาความมั่นคงปลอดภัยสารสนเทศ ในกรณีพบความเสี่ยงด้านเทคโนโลยีสารสนเทศที่อยู่ในระดับที่สำนักงานยอมรับไม่ได้ และมีข้อจำกัดหรือเหตุผลทำให้ไม่สามารถแก้ไขและควบคุมความเสี่ยงนั้นได้ ให้ผู้บริหารเทคโนโลยีสารสนเทศระดับสูงเป็นผู้พิจารณายอมรับความเสี่ยงนั้น หรือเสนอแนะแนวทางอื่นในการแก้ไข โดยคำนึงถึงผลกระทบที่อาจจะเกิดขึ้น
    กรณีมีผู้ปฏิบัติงานฝ่าฝืนนโยบายและแนวปฏิบัติด้านการรักษาความมั่นคงปลอดภัยสารสนเทศ ละเมิดทรัพย์สินทางปัญญาหรือกฎหมายลิขสิทธิ์ ให้ผู้บริหารเทคโนโลยีสารสนเทศระดับสูงพิจารณาดำเนินการทางวินัย เรียกค่าเสียหาย หรือดำเนินคดีตามกฎหมาย
    กรณีพบผู้ปฏิบัติงานกระทำการด้านสารสนเทศในลักษณะอันอาจก่อให้เกิดความเข้าใจผิดต่อภาพลักษณ์หรือความเสียหายต่อสำนักงาน ให้ผู้บริหารเทคโนโลยีสารสนเทศระดับสูงพิจารณาสั่งการระงับ ยกเลิก หรือดำเนินการใด ๆ
         (3) ตัวแทนฝ่ายบริหารความมั่นคงปลอดภัยสารสนเทศ (Information Security Management Representative : ISMR) มีหน้าที่จัดตั้งและพัฒนาระบบบริหารความมั่นคงปลอดภัยสารสนเทศ (Information Security Management System: ISMS) ของสำนักงาน รวมถึงการแต่งตั้งผู้ตรวจประเมินระบบมาตรฐานภายใน (Internal Auditor)
         (4) คณะกรรมการบริหารเทคโนโลยีสารสนเทศ มีหน้าที่กำกับ ดูแล ติดตามให้คำแนะนำในการจัดทำและเห็นชอบนโยบายและแนวปฏิบัติด้านการรักษาความมั่นคงปลอดภัยสารสนเทศ
         (5) คณะทำงานย่อยระบบมาตรฐาน ISO 27001 มีหน้าที่จัดทำทบทวน และดำเนินงานที่เกี่ยวข้องกับการบริหารความมั่นคงปลอดภัยสารสนเทศของสำนักงาน เป็นไปด้วยความเรียบร้อยและมีประสิทธิภาพ
         (6) คณะทำงานบริหารความต่อเนื่องในการทำงาน (Business Continuity Management : BCM) มีหน้าที่จัดทำ ทบทวน และดำเนินงานที่เกี่ยวข้องกับระบบบริหารความต่อเนื่องทางธุรกิจของสำนักงานเป็นไปด้วยความเหมาะสม
         (7) ผู้ตรวจประเมินระบบมาตรฐานภายใน (Internal Auditor) ระบบบริหารความมั่นคงปลอดภัยสารสนเทศ มีหน้าที่วางแผน ประสานงานการตรวจประเมินภายใน รายงานผลการตรวจประเมินภายใน รวมถึงติดตามและตรวจสอบการดำเนินการแก้ไขหรือป้องกันข้อบกพร่องที่พบจากการตรวจประเมินภายใน
         (8) ผู้ครอบครอง มีหน้าที่ดังนี้
  2. บริหารจัดการสินทรัพย์ที่ได้รับมอบหมาย ประกอบด้วย การบำรุงรักษา การปรับปรุงทะเบียนสินทรัพย์ การประเมินความเสี่ยงต่อสินทรัพย์จากการดำเนินกิจกรรมที่เกี่ยวข้องทั้งภายในและภายนอกหน่วยงาน โดยคำนึงถึงเงื่อนไขในการรักษาความมั่นคงปลอดภัย และกำหนดมาตรการรองรับก่อนดำเนินกิจกรรมนั้น และนำมาตรการดังกล่าวในส่วนที่หน่วยงานภายนอกต้องรับทราบมาทำเป็นข้อตกลงระหว่างสำนักงานและหน่วยงานภายนอก
  3. กำหนดรายชื่อและข้อมูลสำหรับติดต่อกับหน่วยงานที่เกี่ยวข้อง เพื่อใช้งานในการติดต่อประสานงานด้านความมั่นคงปลอดภัยสารสนเทศ  และต้องทบทวนรายชื่อและข้อมูลสำหรับติดต่ออย่างน้อยปีละ 1 ครั้ง หรือเมื่อมีการเปลี่ยนแปลง
  4. กำหนดรายชื่อและข้อมูลสำหรับติดต่อกับกลุ่มต่าง ๆ ที่มีความสนใจพิเศษในเรื่องเดียวกัน กลุ่มที่มีความสนในด้านความมั่นคงปลอดภัยสารสนเทศ หรือ หน่วยงาน สมาคม บริษัท ในอุตสาหกรรมที่สำนักงานมีส่วนร่วม และต้องทบทวนรายชื่อและข้อมูลสำหรับติดต่ออย่างน้อยปีละ 1 ครั้ง หรือเมื่อมีการเปลี่ยนแปลง
  5.      (9) ผู้ปฏิบัติงาน มีหน้าที่ปฏิบัติตามนโยบายและแนวปฏิบัติด้านการรักษาความมั่นคงปลอดภัยสารสนเทศ รวมถึงดูแลรักษาและระมัดระวังการใช้สินทรัพย์ของสำนักงาน โดยต้องมีความตระหนักรู้ด้านความมั่นคงปลอดภัยสารสนเทศ

การบริหารจัดการความเสี่ยง

สำนักงานมีการบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศ โดยมีแผนการจัดการความเสี่ยง ซึ่งกำหนดเกณฑ์ในการประเมิน การแก้ไข และยอมรับความเสี่ยง เพื่อลดโอกาสในการสูญเสียความลับ ความถูกต้องครบถ้วน และความพร้อมใช้งานของสินทรัพย์ของสำนักงาน ซึ่งมีการจัดแบ่งระดับความเสี่ยงเป็น 4 ระดับ คือ Extreme, High, Medium และ Low โดยระดับความเสี่ยงที่สำนักงาน สามารถยอมรับได้โดยไม่จำเป็นต้องดำเนินการแก้ไขและควบคุมความเสี่ยงคือ ระดับ Low เท่านั้น การยอมรับความเสี่ยงระดับที่สูงกว่า Low ต้องดำเนินการอย่างเป็นลายลักษณ์อักษรและต้องได้รับความเห็นชอบจากผู้บริหารเทคโนโลยีสารสนเทศระดับสูง
 

การสร้างความมั่นคงปลอดภัยสารสนเทศด้านบุคลากร

สำนักงานมีการสร้างความรู้และความตระหนักในการใช้งานระบบสารสนเทศอย่างมั่นคงปลอดภัยแก่ผู้ใช้งาน ผู้ปฏิบัติงาน โดยการจัดทำคู่มือ จัดฝึกอบรม และเผยแพร่เอกสารที่เกี่ยวข้องผ่านระบบเว็บไซต์ภายในของสำนักงาน รวมถึงสื่อสารนโยบายด้านความมั่นคงปลอดภัยสารสนเทศให้ผู้ให้บริการภายนอกทราบในเรื่องที่เกี่ยวข้อง รวมถึงการสรรหาบุคลากร ต้องเป็นไปตามเกณฑ์ที่กำหนด และมีการตรวจสอบคุณสมบัติ (Screening) ของผู้สมัครงานทุกคนเป็นไปตามเกณฑ์ที่กำหนด และตรวจสอบประวัติอาชญากรรมจากสำนักงานตำรวจแห่งชาติ ตลอดจนจัดทำข้อตกลงและเงื่อนไขการจ้างงาน (Terms and conditions of employment) เป็นไปตามเกณฑ์ที่กำหนด

การสื่อสารในสำนักงาน

สำนักงานมีการเผยแพร่นโยบายและแนวปฏิบัติด้านการรักษาความมั่นคงปลอดภัยสารสนเทศผ่านระบบเว็บไซต์ภายใน และระบบจัดเก็บเอกสารของสำนักงาน เพื่อสื่อสารให้ผู้ปฏิบัติงานภายในสำนักงาน และเผยแพร่นโยบายผ่านหน้าเว็บไซต์ของ สพธอ. เพื่อสื่อสารให้บุคคลภายนอกที่เกี่ยวข้องรับทราบ รวมถึงสามารถเข้าถึงได้อย่างสะดวก

การจัดการเอกสารสารสนเทศ

สำนักงานมีการบริหารจัดการเอกสารที่เกี่ยวข้องกับการปฏิบัติงานภายในของสำนักงาน ได้แก่ นโยบายและแนวปฏิบัติด้านการรักษาความมั่นคงปลอดภัยสารสนเทศ ขั้นตอนการปฏิบัติงาน วิธีปฏิบัติงาน เอกสารสนับสนุนการทำงาน คู่มือการตั้งค่าระบบสารสนเทศ และบันทึกต่าง ๆ โดยเอกสารจะถูกกำหนดรหัสและควบคุม ตั้งแต่การขึ้นทะเบียนเอกสารใหม่ การทบทวนและอนุมัติก่อนการใช้งาน การแก้ไขเอกสาร การเผยแพร่เอกสาร การยกเลิกเอกสาร และการทำลายเอกสารที่เลิกใช้งาน

การทบทวนการบริหารระบบมาตรฐาน

สำนักงานมีการทบทวนการดำเนินงานด้านการรักษาความมั่นคงปลอดภัยสารสนเทศของสำนักงาน เพื่อให้มั่นใจว่าการดำเนินงานมีความเหมาะสม และมีประสิทธิผล ทั้งนี้ การทบทวนดังกล่าวต้องพิจารณาถึงโอกาสในการปรับปรุงและพัฒนาอย่างต่อเนื่องเพื่อบรรลุวัตถุประสงค์ในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศของสำนักงาน โดยมีการรายงานต่อคณะทำงานบริหารระบบมาตรฐานในการประชุมทบทวนการบริหารระบบมาตรฐาน (Management Review) อย่างน้อยปีละ 1 ครั้ง หรือเมื่อมีการเปลี่ยนแปลงที่สำคัญ

การปรับปรุงพัฒนา

สำนักงานมีการแก้ไขและปรับปรุงการปฏิบัติงานที่ไม่สอดคล้องด้านความมั่นคงปลอดภัยสารสนเทศ โดยมีการกำหนดกระบวนการในการทบทวน การระบุสาเหตุ การแก้ไขหรือเปลี่ยนแปลงระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ การทบทวนประสิทธิผลของปฏิบัติการแก้ไข รวมถึงการจัดเก็บเอกสารที่เกี่ยวข้อง เพื่อให้เกิดการพัฒนาอย่างต่อเนื่องและมีประสิทธิภาพ

การบริหารจัดการสินทรัพย์

สำนักงานมีการบริหารจัดการสินทรัพย์ เกี่ยวกับเทคโนโลยีสารสนเทศของสำนักงานประเภทข้อมูล (Information) อุปกรณ์ (Physical) ซอฟต์แวร์ (Software) บุคลากร (Personal) บริการ (Service) โดเมน (Domain) เครื่องเสมือน (Logical) และสื่อสังคมออนไลน์ (Social Media) โดยการจัดทำมาตรการควบคุมการใช้งานสินทรัพย์ที่เหมาะสมตลอดวงจรชีวิตของสินทรัพย์ ตั้งแต่การจัดหา การลงทะเบียน การบำรุงรักษา การจำหน่าย และการทำลายสินทรัพย์ ตามลำดับชั้นความลับของข้อมูลที่อยู่ในสินทรัพย์นั้น ๆ โดยมีตรวจสอบและทบทวนทะเบียนสินทรัพย์อย่างน้อยปีละ 1 ครั้ง หรือเมื่อมีการเปลี่ยนแปลงที่สำคัญเกิดขึ้น เพื่อให้มั่นใจว่าทะเบียนสินทรัพย์เป็นปัจจุบันอยู่เสมอ

การแบ่งประเภทของข้อมูล และการจัดการสื่อที่ใช้ในการบันทึกข้อมูล

สำนักงานมีการแบ่งประเภทของข้อมูล (Data Classification) ทั้งที่อยู่ในรูปแบบกระดาษและอิเล็กทรอนิกส์ แบ่งออกเป็น 3 ประเภท คือ

(1)      เผยแพร่ หมายถึง ข้อมูลที่เปิดเผยให้ทุกคนสามารถเข้าถึงได้ โดยเข้าถึงได้จากที่ใดก็ได้ ได้แก่ นโยบายและแนวปฏิบัติด้านความมั่นคงปลอดภัยสารสนเทศ และข้อมูลอื่นที่เผยแพร่ในเว็บไซต์ ภายใต้สังกัดของสำนักงาน

(2)      ใช้ภายใน หมายถึง ข้อมูลที่เปิดเผยให้เฉพาะผู้ปฏิบัติงานสามารถเข้าถึงได้ โดยเข้าถึงด้วยระบบเครือข่ายภายในสำนักงาน ได้แก่ เอกสารขั้นตอนปฏิบัติงาน ข้อมูลประกอบการเบิกค่าใช้จ่ายสำนักงาน

ลับ หมายถึง ข้อมูลข่าวสารตามมาตรา ๑๔ หรือมาตรา ๑๕ (ตามพระราชบัญญัติข้อมูลข่าวสารของทางราชการ พ.ศ. ๒๕๔๐) ที่มีคําสั่งไม่ให้เปิดเผยและอยู่ในความครอบครองหรือควบคุมดูแลของหน่วยงานของรัฐ ไม่ว่าจะเป็นเรื่องที่เกี่ยวกับการดําเนินงานของรัฐหรือที่เกี่ยวกับเอกชน รวมถึงข้อมูลส่วนบุคคลที่อ่อนไหว (Sensitive Personal Data) มาตรา ๒๖ (ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.๒๕๖๒)

การสร้างความมั่นคงปลอดภัยด้านกายภาพและสภาพแวดล้อม

สํานักงานมีการกําหนดมาตรการเกี่ยวกับการเข้าถึงทางกายภาพและสภาพแวดล้อมของของสํานักงานสําหรับพื้นที่ทั่วไปของสํานักงานพื้นที่มั่นคงปลอดภัยรวมถึงพื้นที่ศูนย์ข้อมูลที่สํานักงานใช้บริการ (Data Center)

การบริหารจัดการการให้บริการโดยหน่วยงานภายนอก

สำนักงานมีการบริหารจัดการการให้บริการโดยหน่วยงานภายนอก โดยกำหนดระเบียบ ข้อบังคับ  หลักเกณฑ์ และแนวปฏิบัติในการดำเนินงาน เพื่อใช้ในการติดตาม ทบทวน บริหารจัดการการเปลี่ยนแปลงการให้บริการ และตรวจประเมินการส่งมอบบริการของหน่วยงานภายนอกอย่างสม่ำเสมอ เพื่อควบคุมการเข้าถึงหรือใช้งานข้อมูลและระบบสารสนเทศของสำนักงาน ให้เป็นไปอย่างถูกต้องและมีความมั่นคงปลอดภัย

การปฏิบัติตามข้อกำหนด

สำนักงานมีการปฏิบัติตามข้อกฎหมาย ระเบียบข้อบังคับ ข้อผูกพันตามสัญญาที่เกี่ยวข้องกับความมั่นคงปลอดภัยสารสนเทศ มาตรฐาน และข้อกำหนดด้านความมั่นคงปลอดภัยที่สำนักงานกำหนด โดยมีการสื่อสารกับผู้ปฏิบัติงานให้รับทราบและเข้าใจ รวมทั้งมีการทบทวนและตรวจสอบการปฏิบัติตามนโยบายที่สำนักงานกำหนด

การบริหารความต่อเนื่องในการดําเนินงานของสำนักงาน

สำนักงานมีการบริหารความต่อเนื่องด้านความมั่นคงปลอดภัยระบบสารสนเทศและการดำเนินธุรกิจของสำนักงาน โดยคณะทำงานย่อยบริหารความต่อเนื่องในการทำงาน (Business Continuity Management : BCM) มีหน้าที่ในการวิเคราะห์ผลกระทบทางธุรกิจ (Business Impact Analysis: BIA) จัดลำดับความสำคัญของข้อมูลและระบบสารสนเทศที่จำเป็นต้องมีความต่อเนื่องในการใช้งาน กำหนดกระบวนการ กิจกรรมและทรัพยากรที่จำเป็น จัดทำเอกสารที่เกี่ยวข้อง สื่อสารให้ผู้ที่เกี่ยวข้องทราบและตระหนักถึงหน้าที่ของตน ตลอดจนจัดให้มีการซ้อมแผนบริหารความต่อเนื่องด้านความมั่นคงปลอดภัยสารสนเทศ อย่างน้อยปีละ 1 ครั้ง

การควบคุมการเข้าถึงและการใช้งานระบบสารสนเทศ

สำนักงานมีการควบคุมการเข้าถึงระบบสารสนเทศแก่ผู้ใช้งาน ตั้งแต่การลงทะเบียน การกำหนดสิทธิ
การเพิกถอนสิทธิ การทบทวนสิทธิการใช้งาน และการใช้งานอุปกรณ์พกพาอื่น ๆ  (Mobile Device) รวมถึงการให้ความคุ้มครองข้อมูลส่วนบุคคลในส่วนที่ไม่พึงเปิดเผยภายใต้บทบัญญัติของกฎหมาย

การจัดการการเข้ารหัสลับ

สำนักงานมีการเข้ารหัสลับข้อมูลที่มีระดับชั้นความลับเป็น ลับ ลับมาก และลับที่สุด ของสำนักงาน โดยแบ่งตามการจัดการสื่อที่ใช้ในการบันทึกข้อมูล ประกอบด้วย ข้อมูลที่ถูกจัดเก็บอยู่ในเครื่องคอมพิวเตอร์ส่วนบุคคลของสำนักงาน ข้อมูลที่ถูกจัดเก็บอยู่ในเซิร์ฟเวอร์ หรืออยู่ในคลาวด์ของสำนักงาน ข้อมูลที่ถูกส่งผ่านเครือข่าย

การบริหารจัดการการเปลี่ยนแปลง

สำนักงานมีการบริหารจัดการการเปลี่ยนแปลงขององค์กร กระบวนการทางธุรกิจ สินทรัพย์ และระบบประมวลผลข้อมูลสารสนเทศ ที่มีผลกระทบต่อความมั่นคงปลอดภัยสารสนเทศ เพื่อให้มั่นใจว่าการเปลี่ยนแปลงได้รับการ วางแผน การจัดลำดับความสำคัญ ประเมินผลกระทบ การอนุมัติจากผู้มีอำนาจ การมอบหมาย ทดสอบ บันทึก และดำเนินการอย่างเหมาะสม เพื่อลดโอกาสหรือผลกระทบของความเสียหายอันเกิดจากการเปลี่ยนแปลงนั้น และรักษาไว้ซึ่งความมั่นคงปลอดภัยของข้อมูล

การบริหารจัดการขีดความสามารถสารสนเทศ

สำนักงานมีการบริหารจัดการขีดความสามารถสารสนเทศ เพื่อตรวจสอบการใช้งานให้มีทรัพยากรเพียงพอต่อความต้องการใช้งานของสำนักงาน และระบบสารสนเทศของสำนักงานสามารถให้บริการได้อย่างต่อเนื่อง

การควบคุมการติดตั้งซอฟต์แวร์ และการบริหารจัดการช่องโหว่ทางเทคนิค

สำนักงานมีรักษาความมั่นคงปลอดภัยในการปฏิบัติงาน ครอบคลุมในการจัดทำขั้นตอนปฏิบัติงาน
การป้องกันมัลแวร์  การควบคุมการใช้งานซอฟต์แวร์ การบริหารจัดการช่องโหว่ และการตรวจสอบระบบสารสนเทศ

การสำรองข้อมูลและการกู้คืนระบบสารสนเทศ

สำนักงานมีการบริหารจัดการการสำรองข้อมูลสำหรับระบบสารสนเทศ เพื่อป้องกันข้อมูลจากการสูญหาย ถูกทำลาย จากเหตุการณ์ไม่พึงประสงค์หรือเหตุการณ์ที่ไม่คาดคิด เพื่อให้ระบบสารสนเทศของสำนักงานสามารถให้บริการได้อย่างต่อเนื่อง

การบันทึกข้อมูลล็อก และเฝ้าระวัง

สำนักงานมีการบันทึกเหตุการณ์ที่เกิดขึ้นในระบบสารสนเทศ เช่น กิจกรรมของผู้ดูแลระบบและผู้ใช้งาน ความผิดปกติหรือข้อผิดพลาดของระบบสารสนเทศ การใช้งานต่าง ๆ เป็นต้น ทั้งนี้ เหตุการณ์ที่บันทึกต้องได้รับการปกป้องจากการเปลี่ยนแปลงเพื่อทำลายและการเข้าถึงโดยไม่ได้รับอนุญาต โดยต้องมีการตรวจสอบและวิเคราะห์เหตุการณ์ที่บันทึกอย่างสม่ำเสมอ เพื่อป้องกันเหตุการณ์ไม่พึงประสงค์หรือภัยคุกคามที่อาจส่งผลกระทบต่อสำนักงาน

การบริหารจัดการการสื่อสารและการใช้งานระบบเครือข่าย

สำนักงานมีการควบคุมการสื่อสาร และการส่งข้อมูลผ่านระบบเครือข่ายของสำนักงาน เพื่อป้องกันการเข้าถึงระบบสารสนเทศของสำนักงานจากผู้ที่ไม่ได้รับอนุญาต ป้องกันภัยคุกคามที่อาจก่อให้เกิดผลกระทบต่อสำนักงาน รวมถึงควบคุมการเข้าถึงการใช้งานระบบเครือข่ายเพื่อปฏิบัติงานจากภายนอกสำนักงานให้มีความมั่นคงปลอดภัย

การจัดหา พัฒนา และการบำรุงรักษาระบบสารสนเทศ

สำนักงานมีกระบวนการจัดหา การพัฒนา และการบำรุงรักษาระบบสารสนเทศ โดยมีการศึกษาความเป็นไปได้
การวิเคราะห์ผลกระทบ และการตรวจสอบระบบสารสนเทศให้มั่นใจว่าเป็นไปตามข้อกำหนดก่อนการโอนย้ายขึ้นสู่สภาพแวดล้อมการใช้งานจริง เพื่อป้องกันผลกระทบต่อการปฏิบัติงานหรือต่อภารกิจของสำนักงาน

การบริหารจัดการเหตุการณ์ด้านความมั่นคงปลอดภัยสารสนเทศ

สำนักงานมีการบริหารจัดการเหตุการณ์ด้านความมั่นคงปลอดภัยสารสนเทศ โดยมีการกำหนดหน้าที่ของ
ผู้ที่เกี่ยวข้องและขั้นตอนปฏิบัติในการเฝ้าระวัง การรายงานเหตุการณ์ การวิเคราะห์ การเก็บรวบรวมหลักฐาน การแก้ปัญหา และการบันทึกเหตุการณ์ด้านความมั่นคงปลอดภัยสารสนเทศที่เกิดขึ้น เพื่อให้เกิดการตอบสนองอย่างรวดเร็ว มีประสิทธิภาพและประสิทธิผล เป็นระเบียบแบบแผน และนำความรู้ที่ได้รับจากการวิเคราะห์และแก้ปัญหาไปใช้เพื่อลดโอกาสหรือผลกระทบของเหตุการณ์ในอนาคต

การประเมินผลการปฏิบัติงาน

สำนักงานมีการประเมินผลการปฏิบัติงาน เพื่อทบทวนการดำเนินงานด้านการรักษาความมั่นคงปลอดภัยสารสนเทศของสำนักงาน อย่างน้อยปีละ 1 ครั้ง เพื่อให้มั่นใจว่าการดำเนินงานมีความเหมาะสม และมีประสิทธิผล ทั้งนี้ การทบทวนดังกล่าวต้องพิจารณาถึงโอกาสในการปรับปรุงและพัฒนาอย่างต่อเนื่องเพื่อบรรลุวัตถุประสงค์ในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศของสำนักงาน

การเปลี่ยนแปลงนโยบายความมั่นคงปลอดภัยสารสนเทศ

          สำนักงานอาจปรับปรุงนโยบายความมั่นคงปลอดภัยสารสนเทศนี้เป็นครั้งคราวเพื่อให้สอดคล้องกับการเปลี่ยนแปลงของการให้บริการ การดำเนินงานของสำนักงาน และข้อเสนอแนะ ความคิดเห็นจากท่าน สำนักงานจะประกาศแจ้งการเปลี่ยนแปลงให้ทราบอย่างชัดเจนก่อนจะเริ่มดำเนินการเปลี่ยนแปลง หรืออาจส่งประกาศแจ้งเตือนให้ท่านทราบโดยตรง
          สำหรับข้อมูลเพิ่มเติมเกี่ยวกับนโยบายและแนวปฏิบัติการรักษาความมั่นคงปลอดภัยสารสนเทศ โปรดศึกษาจากนโยบายและแนวปฏิบัติการรักษาความมั่นคงปลอดภัยสารสนเทศฉบับเต็ม หากท่านมีข้อสงสัยเพิ่มเติม โปรดติดต่อสำนักงานได้ที่:                
 
                 สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์
                 อาคารเดอะ ไนน์ ทาวเวอร์ แกรนด์ พระรามเก้า (อาคารบี)
                 ชั้น 21 เลขที่ 33/4 ถนนพระราม 9
                 แขวงห้วยขวาง เขตห้วยขวาง
                 กรุงเทพมหานคร 10310
 
                 หมายเลขโทรศัพท์ 0 2123 1234
                 หมายเลขโทรสาร 0 2123 1200
                 เว็บไซต์ https://www.etda.or.th