ข้อเสนอแนะมาตรฐานด้าน ......ข...

ขอเสนอแนะมาตรฐานดานเทคโนโลยสารสนเทศ และการสอสารทจ าเปนตอธรกรรมทางอเลกทรอนกส

ETDA Recommendation on ICT Standard

for Electronic Transactions

ขมธอ. 21-2562

วาดวยการรกษาความมนคงปลอดภยสารสนเทศส าหรบ ผใหบรการจดท า สงมอบ และเกบรกษาขอมลอเลกทรอนกส INFORMATION SECURITY FOR DATA MESSAGE GENERATION, TRANSFER AND STORAGE SERVICE PROVIDERS

เวอรชน 1.0

ส านกงานพฒนาธรกรรมทางอเลกทรอนกส (องคการมหาชน) กระทรวงดจทลเพอเศรษฐกจและสงคม ICS 35.030

ขอเสนอแนะมาตรฐานดานเทคโนโลยสารสนเทศและการสอสาร ทจ าเปนตอธรกรรมทางอเลกทรอนกส

วาดวยการรกษาความมนคงปลอดภยสารสนเทศส าหรบ ผใหบรการจดท า สงมอบ และเกบรกษาขอมลอเลกทรอนกส

ขมธอ. 21-2562

ส านกงานพฒนาธรกรรมทางอเลกทรอนกส (องคการมหาชน) อาคารเดอะ ไนน ทาวเวอร แกรนด พระรามเกา (อาคารบ) ชน 21

เลขท 33/4 ถนนพระราม 9 แขวงหวยขวาง เขตหวยขวาง กรงเทพมหานคร 10310 หมายเลขโทรศพท: 0 2123 1234 หมายเลขโทรสาร: 0 2123 1200

ประกาศโดย

ส านกงานพฒนาธรกรรมทางอเลกทรอนกส (องคการมหาชน) กระทรวงดจทลเพอเศรษฐกจและสงคม

วนท 11 มกราคม พ.ศ. 2562

(2)

คณะท างานจดท ารางขอเสนอแนะเกยวกบการจดท าหรอแปลงเอกสารและขอความ ใหอยในรปของขอมลอเลกทรอนกส

ประธานคณะท างาน นางสาวอรชฎา เกตพรหม ผอ านวยการส านกมาตรฐาน ส านกงานพฒนาธรกรรมทางอเลกทรอนกส (องคการมหาชน)

ผท างาน นายก าชย จตตานนท ผแทนกรมศลกากร นางสาวขนษฐา สหเมธาพฒน ผแทนกรมสรรพากร นายธานนทร ตนกตบตร ผแทนบรษท ไทยเทรดเนท จ ากด นางสาวพชราภรณ ลธนะรง ผแทนส านกงานคณะกรรมการธรกรรมทางอเลกทรอนกส นางสาวขนษฐ ผาทอง ผแทนส านกพฒนาดจทลเพอธรกจ ส านกงานพฒนาธรกรรมทางอเลกทรอนกส (องคการมหาชน) นายนธ อมรพพธกล ผแทนส านกบรการโครงสรางพนฐาน ส านกงานพฒนาธรกรรมทางอเลกทรอนกส (องคการมหาชน)

ผท างานและเลขานการ นายสมบต ชนอนทรงาม ส านกมาตรฐาน ส านกงานพฒนาธรกรรมทางอเลกทรอนกส (องคการมหาชน)

(3)

ขอเสนอแนะมาตรฐานดานเทคโนโลยสารสนเทศและการสอสารทจ าเปนตอธรกรรมทางอเลกทรอนกส วาดวย การรกษาความมนคงปลอดภยสารสนเทศส าหรบ ผใหบรการจดท า สงมอบ และเกบรกษาขอมลอเลกทรอนกส ฉบบน จ ดท าข น เ พออธบายแนวทางการร กษาความม นคงปลอดภ ยสารสน เทศส าหร บผ ให บร การจ ดท า สงมอบ และเกบรกษาใบก ากบภาษอเลกทรอนกส และใบรบอเลกทรอนกส หรอหนวยงานอน ๆ ทใหความส าคญ กบการรกษาความมนคงปลอดภยดานสารสนเทศน าไปใชเปนแนวปฏบตเพอชวยใหบรการมความมนคงปลอดภย และสรางความนาเชอถอใหกบผใหบรการ โดยขอเสนอแนะมาตรฐานฉบบนไดพฒนาตามแนวมาตรฐานของ

1. European Union Agency for Network and Information Security ( ENISA) , Technical guidelines for the implementation of minimum security measures for Digital Service providers, December, 2016.

2. ISO/IEC 27001:2013, Information technology - Security techniques – Information security management systems - Requirements, 2013.

3. ISO/IEC 27002:2013, Information technology - Security techniques – Code of practice for Information security Controls, 2013.

4. ประกาศคณะกรรมการธรกรรมทางอเลกทรอนกส เรอง ประเภทของธรกรรมทางอ เลกทรอนกส และหลกเกณฑการประเมนระดบผลกระทบของธรกรรมทางอเลกทรอนกสตามวธการแบบปลอดภย พ.ศ.2555

และไดมการน าเสนอเพอรบฟงความคดเหนเปนการทวไป เพอน าขอมล ขอสงเกต ขอคดเหนจากผทรงคณวฒและจากหนวยงานทเกยวของ เพอใหขอเสนอแนะเกยวกบมาตรฐานฉบบนมความสมบรณครบถวน และสามารถน าไปปรบใชในทางปฏบตไดอยางมประสทธภาพ

ขอเสนอแนะมาตรฐานดานเทคโนโลยสารสนเทศและการสอสารทจ าเปนตอธรกรรมทางอเลกทรอนกส วาดวย

การรกษาความมนคงปลอดภยสารสนเทศส าหรบ ผใหบรการจดท า สงมอบ และเกบรกษาขอมลอเลกทรอนกส ฉบบน จดท าขนโดยส านกมาตรฐาน ภายใตส านกงานพฒนาธรกรรมทางอเลกทรอนกส (องคการมหาชน) กระทรวงดจทลเพอเศรษฐกจและสงคม .

ส านกงานพฒนาธรกรรมทางอเลกทรอนกส (องคการมหาชน) อาคารเดอะ ไนน ทาวเวอร แกรนด พระรามเกา (อาคารบ) ชน 21 เลขท 33/4 ถนนพระราม 9 แขวงหวยขวาง เขตหวยขวาง กรงเทพมหานคร 10310 โทรศพท: 0 2123 1234 โทรสาร: 0 2123 1200 E-mail: [email protected] Website: www.etda.or.th

(4)

ค าน า ปจจบนธรกรรมทางอเลกทรอนกสมบทบาทส าคญในการด าเนนธรกจในระบบเศรษฐกจยคใหม ท าให

ผประกอบการตาง ๆ ตองพฒนาโครงสรางพนฐานดานเทคโนโลยสารสนเทศส าหรบการท าธรกรรมทางอเลกทรอนกสใหมความสะดวก รวดเรว และมประสทธภาพ แตเนองจากในการพฒนานนมระยะเวลาและตนทนทสง ผประกอบการหลายแหงจงมแนวคดทจะลดระยะเวลาและตนทนในการพฒนาโครงสรางพนฐานดานเทคโนโลยสารสนเทศ จงหนมาใชบรการจาก “ผใหบรการจดท า สงมอบ และเกบรกษาขอมลอเลกทรอนกส” หรอ “ผใหบรการ” ทท าหนาทเสมอนเปนตวกลางท าธรกรรมทางอเลกทรอนกสแทนผประกอบการกบภาครฐ หรอผประกอบการรายอน ในการจดท า สงมอบ และเกบรกษาขอมลอเลกทรอนกส ผใหบรการดงกลาวจงมบทบาทส าคญตอการสนบสนนการท าธรกรรม ทางอเลกทรอนกสทใหมการเชอมโยงเครอขายเขาดวยกน มการใชทรพยากรรวมกน มการประมวลผลและกระจายขอมลไปตามหนวยงานตาง ๆ ท าใหตองมการรกษาความมนคงปลอดภยดานสารสนเทศและขอมลอเลกทรอนกส ใหมความถกตองครบถวน พรอมใชงาน และนาเชอถอ

ส านกงานพฒนาธรกรรมทางอเลกทรอนกส (องคการมหาชน) จงไดจดท ามาตรฐานการรกษาความมนคงปลอดภยสารสนเทศส าหรบผใหบรการจดท า สงมอบ และเกบรกษาขอมลอเลกทรอนกส ฉบบนขนเพอก าหนดวตถประสงค ขอก าหนด และแนวทางปฏบตดานความมนคงปลอดภยดานสารสนเทศ เพอชวยใหบรการ ของผใหบรการมความมนคงปลอดภย สอดคลองกบมาตรฐานสากล และสรางความนาเชอถอใหกบผใหบรการ

(5)

สารบญ หนา 1. ขอบขาย 1

2. บทนยาม 1

3. การพจารณาระดบความมนคงปลอดภย 2

3.1 ระดบความมนคงปลอดภย 2

3.2 การประเมนระดบผลกระทบ 3

3.3 การพจารณาผลการประเมนระดบผลกระทบกบระดบความมนคงปลอดภย 3

4. โครงสรางของวตถประสงคและขอก าหนดดานความมนคงปลอดภย 4

4.1 วตถประสงคดานความมนคงปลอดภย (security objectives) 5

4.2 ขอก าหนดดานความมนคงปลอดภย (security requirements) 6

5. วตถประสงคและขอก าหนดดานความมนคงปลอดภยส าหรบผใหบรการ 7

5.1 วตถประสงคท 1: การก าหนดนโยบายความมนคงปลอดภยดานสารสนเทศ (information security policy) 7

5.2 วตถประสงคท 2: การบรหารจดการความเสยง (risk management) 8

5.3 วตถประสงคท 3: การก าหนดบทบาทและหนาทความรบผดชอบดานความมนคงปลอดภย (security roles) 9

5.4 วตถประสงคท 4: การบรหารจดการบคคลทสาม (third party management) 10

5.5 วตถประสงคท 5: การตรวจสอบประวตบคลากร (background checks) 13

5.6 วตถประสงคท 6: การสรางความตระหนกดานความมนคงปลอดภย (security awareness) 14

5.7 วตถประสงคท 7: การเปลยนแปลงบคลากร (personnel changes) 15

5.8 วตถประสงคท 8: การรกษาความมนคงปลอดภยทางกายภาพและสภาพแวดลอม (physical and environmental security) 16

5.9 วตถประสงคท 9: การรกษาความมนคงปลอดภยของระบบสนบสนนการด าเนนงาน (security of supporting utilities) 19

5.10 วตถประสงคท 10: การควบคมการเขาถงระบบเครอขาย และระบบสารสนเทศ (access control to network and information system) 20

5.11 วตถประสงคท 11: การควบคมความถกตองขององคประกอบระบบเครอขายและระบบสารสนเทศ (integrity of network components and information system) 23

5.12 วตถประสงคท 12: การก าหนดขนตอนการปฏบตงาน (operating procedures) 25

5.13 วตถประสงคท 13: การบรหารจดการการเปลยนแปลง (change management) 26

5.14 วตถประสงคท 14: การบรหารจดการสนทรพย (asset management) 28

5.15 วตถประสงคท 15: การตรวจพบและตอบสนองตอสถานการณดานความมนคงปลอดภย (security incident detection and response) 29

5.16 วตถประสงคท 16: การรายงานสถานการณดานความมนคงปลอดภย (security incident reporting) 31

5.17 วตถประสงคท 17: การด าเนนธรกจอยางตอเนอง (business continuity) 33

5.18 วตถประสงคท 18: การกคนเมอเกดภยพบต (disaster recovery capabilities) 35

5.19 วตถประสงคท 19: การเฝาตดตามและการบนทกเหตการณ (monitoring and logging) 36

(6)

5.20 วตถประสงคท 20: การทดสอบระบบ (system test) 38

5.21 วตถประสงคท 21: การประเมนการรกษาความมนคงปลอดภย (security assessments) 39

5.22 วตถประสงคท 22: การปฏบตตามขอก าหนด (compliance) 41

5.23 วตถประสงคท 23: การรกษาความมนคงปลอดภยของขอมลทจดเกบ (security of data at rest) 42

5.24 วตถประสงคท 24: การรกษาความมนคงปลอดภยของสวนเชอมตอบรการ (interface security) 45

5.25 วตถประสงคท 25: การรกษาความมนคงปลอดภยของซอฟตแวร (software security) 46

5.26 วตถประสงคท 26: การท างานรวมกนและการโอนยายบรการ (interoperability and portability) 48

6. ภาคผนวก 50

สารบญรป

หนา รปท 1 โครงสรางของวตถประสงคและขอก าหนดดานความมนคงปลอดภย ............................................................... 5

สารบญตาราง

หนา ตารางท 1 ระดบความมนคงปลอดภย ......................................................................................................................... 2

ตารางท 2 เกณฑประเมนระดบผลกระทบ .................................................................................................................. 3

ตารางท 3 วตถประสงคดานความมนคงปลอดภยส าหรบผใหบรการ ........................................................................... 5

ตารางท 4 เปรยบเทยบวตถประสงคดานความมนคงปลอดภยกบมาตรฐานสากล .................................................... 50

ขมธอ. 21-2562

-1-

ขอเสนอแนะมาตรฐานดานเทคโนโลยสารสนเทศและการสอสาร ทจ าเปนตอธรกรรมทางอเลกทรอนกส

วาดวยการรกษาความมนคงปลอดภยสารสนเทศส าหรบ ผใหบรการจดท า สงมอบ และเกบรกษาขอมลอเลกทรอนกส

1. ขอบขาย ขอเสนอแนะมาตรฐานฯ ฉบบน เปนขอก าหนดและแนวทางปฏบตส าหรบผใหบรการจดท า สงมอบ และเกบ

รกษาใบก ากบภาษอเลกทรอนกสและใบรบอเลกทรอนกส โดยครอบคลมการพจารณาระดบความมนคงปลอดภย ของผใหบรการ ตามวตถประสงคและขอก าหนดดานความมนคงปลอดภย เพอใหผใหบรการมแนวทางในการรกษาความมนคงปลอดภยดานสารสนเทศทเปนมาตรฐานเดยวกน

ในขอเสนอแนะมาตรฐานฯ ฉบบน มรปแบบของค าทใชแสดงออกถงคณลกษณะของเนอหาเชงบรรทดฐาน (normative) และเนอหาเชงใหขอมล (informative) มดงตอไปน

– “ตอง” (shall) ใชระบสงทเปนขอก าหนด (requirement) ซงตองปฏบตตาม – “ควร” (should) ใชระบสงทเปนขอแนะน า (recommendation) – “อาจ” (may) ใชระบสงทยนยอมหรออนญาตใหท าได (permission)

2. บทนยาม ความหมายของค าทใชในขอเสนอแนะมาตรฐานฉบบน มดงตอไปน

2.1 ผใหบรการ (service providers) หมายถง บคคลทท าหนาทเปนผใหบรการจดท า สงมอบ และเกบรกษาใบก ากบภาษอเลกทรอนกสและใบรบอเลกทรอนกสแทนหนวยธรกจ บคคล ตลอดจนองคกรเอกชน หรอองคกรของรฐใด ๆ

2.2 ความมนคงปลอดภยด านสารสนเทศ ( information security) หมายถง การธ ารงไว ซ งความลบ (confidentiality) ความถกตองครบถวน (integrity) และสภาพพรอมใชงาน (availability) ของสารสนเทศ รวมทงคณสมบตอน ไดแก ความถกตองแทจรง (authenticity) ความรบผด (accountability) การหามปฏเสธความรบผด (non-repudiation) และความนาเชอถอ (reliability)

2.3 บคลากรหลก (key personnel) หมายถง บคคลทมบทบาทส าคญเกยวกบวตถประสงคดานความมนคงปลอดภยทอยภายใตขอบเขตการใหบรการจดท า สงมอบ และเกบรกษาขอมลอเลกทรอนกส เชน ผบรหารระดบสง (CEO CIO หรอ CISO) ผจดการความตอเนองทางธรกจ ผดแลระบบของระบบสารสนเทศทส าคญ หรอบคคลทสามทเกยวของกบขอมลและระบบสารสนเทศทส าคญ เปนตน

2.4 บคลากรทเกยวของ หมายถง บคคลท เกยวกบวตถประสงคดานความมนคงปลอดภยในองคกรทกคน และบคคลทสามทอยภายใตขอบเขตการใหบรการจดท า สงมอบ และเกบรกษาขอมลอเลกทรอนกส

ขมธอ. 21-2562

-2-

2.5 บคคลทสาม (third party) หมายถง บคคลทท างานรวมกบผใหบรการ เชน ผขาย ผผลตซอฟตแวร ผผลตฮารดแวร ทปรกษา ผตรวจสอบบญช บรษทผใหบรการภายนอก และอน ๆ เปนตน ซงค าวา บคคลทสาม ในเอกสารนไมไดหมายถงผใชบรการ หรอ รฐบาล หรอหนวยงานก ากบดแล

2.6 ผใชบรการ หมายถง บคคลทไดรบบรการจากผใหบรการจดท า สงมอบ และเกบรกษาใบก ากบภาษอเลกทรอนกสและใบรบอเลกทรอนกส

2.7 สนทรพย (asset) หมายถง สงใดกตามทมคณคาส าหรบองคกร

2.8 ทรพยสนสารสนเทศ หมายถง (1) ระบบเครอขายคอมพวเตอร ระบบคอมพวเตอร ระบบงานคอมพวเตอร และระบบสารสนเทศ (2) ตวเครองคอมพวเตอร อปกรณคอมพวเตอร เครองบนทกขอมล และอปกรณอนใด (3) ขอมลสารสนเทศ ขอมลอเลกทรอนกส และขอมลคอมพวเตอร

2.9 เหตการณดานความมนคงปลอดภย (information security event) หมายถง กรณทระบการเกดเหตการณ สภาพของบรการหรอเครอขายทแสดงใหเหนความเปนไปไดทจะเกดการฝาฝนนโยบายดานความมนคงปลอดภยหรอมาตรการปองกนทลมเหลว หรอเหตการณอนไมอาจรไดวาอาจเกยวของกบความมนคงปลอดภย

2.10 สถานการณดานความมนคงปลอดภย (security incident) หมายถง เหตการณดานความมนคงปลอดภย ทไมพงประสงคหรอไมอาจคาดคด (unwanted or unexpected) ซงอาจท าใหระบบขององคกรถกบกรก หรอโจมตและความมนคงปลอดภยถกคกคาม

3. การพจารณาระดบความมนคงปลอดภย ระดบความมนคงปลอดภยสามารถพจารณาไดจากการประเมนระดบผลกระทบทอาจเกดขนจากการใหบรการ

โดยมรายละเอยดดงน

ระดบความมนคงปลอดภย

ระดบความมนคงปลอดภยส าหรบผใหบรการ แบงออกเปน 2 ระดบ ไดแก ระดบพนฐาน และระดบสง (รายละเอยดดงตารางท 1) โดยแตละระดบมขอก าหนดและแนวทาง (clauses and guidelines) รวมถงหลกฐานทใชแสดงถงการปฏบตตามขอก าหนดและแนวทางปฏบตดงกลาว

ตารางท 1 ระดบความมนคงปลอดภย

ระดบ ค าอธบาย ระดบพนฐาน

(Basic) ขอก าหนดดานความมนคงปลอดภยขนพนฐานทสามารถน ามาใชเพอบรรลวตถประสงคการรกษาความมนคงปลอดภยทก าหนดไว

ระดบสง (Advanced)

ขอก าหนดดานความมนคงปลอดภยทมการตรวจสอบและทบทวนการด าเนนงานอยางตอเนอง โดยค านงถงการเปลยนแปลง สถานการณดานความมนคงปลอดภย และการทดสอบ เพอเพมประสทธภาพของการรกษาความมนคงปลอดภยในเชงรก

ผใหบรการสามารถพจารณาระดบความมนคงปลอดภยทเหมาะสมกบการใหบรการของตนจากการประเมนระดบผลกระทบทอาจเกดขนจากการใหบรการ โดยรายละเอยดการประเมนระดบผลกระทบจะกลาวถงในหวขอ 3.2

ขมธอ. 21-2562

-3-

การประเมนระดบผลกระทบ

ขอเสนอแนะมาตรฐานฯ ฉบบน ก าหนดใหผใหบรการใชแนวทางการประเมนระดบผลกระทบทอาจเกดขน ตามประกาศคณะกรรมการธรกรรมทางอเลกทรอนกส เรอง ประเภทของธรกรรมทางอเลกทรอนกส และหลกเกณฑการประเมนระดบผลกระทบของธรกรรมทางอเลกทรอนกสตามวธการแบบปลอดภย พ.ศ. 2555 ขอ 4 ถง ขอ 8 โดยการประเมนระดบผลกระทบทอาจเกดขนจากการใหบรการจะตองประเมนผลกระทบในดานตอไปน

(1) ผลกระทบดานมลคาความเสยหายทางการเงน (2) ผลกระทบตอจ านวนผใชบรการหรอผมสวนไดเสยทอาจไดรบอนตรายตอชวต รางกาย หรออนามย (3) ผลกระทบตอจ านวนผใชบรการหรอผมสวนไดเสยทอาจไดรบความเสยหายอนใดนอกจาก จากขอ (2) (4) ผลกระทบดานความมนคงของรฐ (การประเมนโดยมงเฉพาะปจจยทส าคญเปนหลกและเนนไปทปจจย

ภายในประเทศเปนสวนใหญ เชน ดานการเมอง เศรษฐกจ สงคม การทหาร และดานอน ๆ)

ในการประเมนระดบผลกระทบทอาจเกดขนจากการใหบรการ ใหหนวยงานหรอองคกรยดหลกการประเมนความเสยงตามเกณฑประเมนระดบผลกระทบดงตารางท 2

ตารางท 2 เกณฑประเมนระดบผลกระทบ

ดานของผลกระทบ ระดบผลกระทบ

ต า กลาง สง ดานมลคาความเสยหายทางการเงน ความเสยหายไมเกน

1 ลานบาท ความเสยหายเกน 1 ล านบาทแต ไม เกน 100 ลานบาท

ความเสยหายเกนกวา 100 ลานบาท

จ านวนผใชบรการหรอผมสวนไดเสยทอาจไดรบอนตรายตอชวต

ไมไดรบผลกระทบตอช ว ต ร า ง ก า ย ห ร ออนามย

ไดรบผลกระทบตอช ว ต ร า ง ก า ย ห ร ออนามยต งแต 1 คน แตไมเกน 1,000 คน

ไดรบผลกระทบตอรางกายหรออนามยเก นกว า 1,000 คน หรอตอชวตตงแต 1 คน

จ านวนผใชบรการหรอผมสวนไดเสยทอาจไดรบความเสยหายอน ๆ

ได รบผลกระทบไมเกน 10,000 คน

ไดรบผลกระทบเกน 10,000 คน แตไมเกน 100,000 คน

ไดรบผลกระทบเกนกวา 100,000 คน

ผลกระทบดานความมนคงของรฐ ไม ม ผลกระทบต อความมนคงของรฐ

- มผลกระทบตอความมนคงของรฐ

การพจารณาผลการประเมนระดบผลกระทบกบระดบความมนคงปลอดภย

ผลลพธทไดจากการประเมนระดบผลกระทบแตละดานในหวขอ 3.2 จะถกน ามาใชพจารณาระดบความมนคงปลอดภย ดงน

(1) ผลลพธทไดจากการประเมนระดบผลกระทบเปนระดบสงดานหนงดานใด หรอระดบกลางอยางนอย 2 ดานขนไป ผใหบรการจะตองปฏบตตามระดบความมนคงปลอดภยในระดบสง

ขมธอ. 21-2562

-4-

(2) หากผลลพธทไดจากการประเมนระดบผลกระทบในกรณอน ผใหบรการจะตองปฏบตตามระดบ ความมนคงปลอดภยใน ระดบพนฐานขนไป

ตวอยางท 1


ระดบ ความมนคงปลอดภย

มลคาความเสยหายทางการเงน สง

ระดบสง จ านวนผใชบรการหรอผมสวนไดเสยทอาจไดรบอนตรายตอชวต ต า จ านวนผใชบรการหรอผมสวนไดเสยทอาจไดรบความเสยหายอน ๆ กลาง ความมนคงของรฐ ต า

จะเหนไดวา ผลลพธทไดจากการประเมนระดบผลกระทบ อยในระดบสง 1 ดาน ระดบกลาง 1 ดาน และระดบต า 2 ดาน ดงนนผใหบรการจะตองปฏบตตามระดบความมนคงปลอดภยในระดบสง

ตวอยางท 2


ระดบ ความมนคงปลอดภย

มลคาความเสยหายทางการเงน กลาง

ระดบพนฐาน จ านวนผใชบรการหรอผมสวนไดเสยทอาจไดรบอนตรายตอชวต ต า จ านวนผใชบรการหรอผมสวนไดเสยทอาจไดรบความเสยหายอน ๆ ต า ความมนคงของรฐ ต า

จะเหนไดวา ผลลพธทไดจากการประเมนระดบผลกระทบ อยในระดบกลาง 1 ดาน และระดบต า 3 ดาน ดงนนผใหบรการจะตองปฏบตตามระดบความมนคงปลอดภยในระดบพนฐาน

ผใหบรการสามารถน าระดบความมนคงปลอดภยทไดจากการประเมนระดบผลกระทบไปประยกตใช กบการใหบรการ โดยปฏบตตามวตถประสงคและขอก าหนดดานความมนคงปลอดภยส าหรบผใหบรการ หวขอ 5 ซงผใหบรการทมระดบความมนคงปลอดภยอยในระดบสงจะตองปฏบตตามขอก าหนดดานความมนคงปลอดภยระดบพนฐาน เพอแสดงใหผใชบรการและผมสวนไดเสยเหนถงการปฏบตทมการรกษาความมนคงปลอดภยในระดบสง

ทงน ระดบความมนคงปลอดภยของผใหบรการอาจขนอยกบการประเมนระดบผลกระทบของหนวยงาน หรอองคกรทน าขอเสนอแนะมาตรฐานฯ ฉบบนไปเปนขอก าหนดและแนวทางปฏบตกบผใหบรการ

4. โครงสรางของวตถประสงคและขอก าหนดดานความมนคงปลอดภย ขอเสนอแนะมาตรฐานฯ ฉบบน ก าหนดวตถประสงคดานความมนคงปลอดภยส าหรบผใหบรการ ซงภายใต

วตถประสงคสามารถแบงระดบความมนคงปลอดภยออกเปน 2 ระดบ ตามการพจารณาระดบความมนคงปลอดภย ในหวขอ 3 แตละระดบจะแสดงรายการขอก าหนดดานความมนคงปลอดภย และแนวทางปฏบตทมความเขมงวดตางกน โดยผใหบรการทมระดบความมนคงปลอดภยอยในระดบสงจะตองปฏบตตามขอก าหนดดานความมนคงปลอดภยในระดบพนฐานดวย รายละเอยดตามรปท 1

ขมธอ. 21-2562

-5-

รปท 1 โครงสรางของวตถประสงคและขอก าหนดดานความมนคงปลอดภย

วตถประสงคดานความมนคงปลอดภย (security objectives)

วตถประสงคดานความมนคงปลอดภยประกอบดวย 26 วตถประสงค และ 129 ขอก าหนด ซงแบงเปนขอก าหนดดานความมนคงปลอดภยระดบพนฐาน 58 ขอ และระดบสง 71 ขอ รายละเอยดดงตารางท 3

ตารางท 3 วตถประสงคดานความมนคงปลอดภยส าหรบผใหบรการ

วตถประสงคดานความมนคงปลอดภย จ านวนขอก าหนดดานความมนคงปลอดภย

ระดบพนฐาน ระดบสง 1. การก าหนดนโยบายความมนคงปลอดภยดานสารสนเทศ

(information security policy) 2 2

2. การบรหารจดการความเสยง (risk management) 3 3 3. การก าหนดบทบาทและหนาทความรบผดชอบดานความมนคง

ปลอดภย (security roles) 1 3

4. การบรหารจดการบคคลทสาม (third party management) 4 5 5. การตรวจสอบประวตบคลากร (background checks) 1 3 6. การสรางความตระหนกดานความมนคงปลอดภย

(security awareness) 2 2

7. การเปลยนแปลงบคลากร (personnel changes) 2 3 8. การรกษาความมนคงปลอดภยทางกายภาพและสภาพแวดลอม

(physical and environmental security) 4 7

9. การรกษาความมนคงปลอดภยของระบบสนบสนนการด าเนนงาน (security of supporting utilities)

1 2

10. การควบคมการเขาถงระบบเครอขาย และระบบสารสนเทศ (access control to network and information system)

2 6

ขมธอ. 21-2562

-6-

วตถประสงคดานความมนคงปลอดภย จ านวนขอก าหนดดานความมนคงปลอดภย

ระดบพนฐาน ระดบสง 11. การควบคมความถกตองขององคประกอบระบบเครอขาย

และระบบสารสนเทศ (integrity of network components and information system)

3 4

12. การก าหนดขนตอนการปฏบตงาน (operating procedures) 1 2 13. การบรหารจดการการเปลยนแปลง (change management) 2 3 14. การบรหารจดการสนทรพย (asset management) 2 1 15. การตรวจพบและตอบสนองตอสถานการณดานความมนคง

ปลอดภย (security incident detection and response) 2 2

16. การรายงานสถานการณดานความมนคงปลอดภย (security incident reporting)

1 1

17. การด าเนนธรกจอยางตอเนอง (business continuity) 3 2 18. การกคนเมอเกดภยพบต (disaster recovery capabilities) 2 2 19. การเฝาตดตามและการบนทกเหตการณ

(monitoring and logging) 3 2

20. การทดสอบระบบ (system test) 2 1 21. การประเมนการรกษาความมนคงปลอดภย

(security assessments) 2 2

22. การปฏบตตามขอก าหนด (compliance) 1 2 23. การรกษาความมนคงปลอดภยของขอมลทจดเกบ

(security of data at rest) 5 6

24. การรกษาความมนคงปลอดภยของสวนเชอมตอบรการ (interface security)

3 2

25. การรกษาความมนคงปลอดภยของซอฟตแวร (software security)

1 2

26. การท างานรวมกนและการโอนยายบรการ (interoperability and portability)

3 1

รวม 58 71

ล าดบของวตถประสงคดานความมนคงปลอดภยขางตนไมมจดประสงคเพอแสดงความส าคญใด ๆ ผใหบรการตองปฏบตตามขอก าหนดในแตละวตถประสงคตามระดบความมนคงปลอดภยของตน

ขอก าหนดดานความมนคงปลอดภย (security requirements)

ขอก าหนดดานความมนคงปลอดภยทอยภายใตวตถประสงคดานความมนคงปลอดภยแตละวตถประสงค ทผใหบรการควรน ามาปฏบตเพอใหบรรลวตถประสงคทก าหนดไว ซงแตละขอก าหนดมโครงสรางการอธบายดงน

ขมธอ. 21-2562

-7-

ขอก าหนด

อธบายสงทตองปฏบตตามเพอใหบรรลวตถประสงคดานความมนคงปลอดภยทก าหนดไว

แนวทางปฏบต

อธบายสงทควรปฏบตเพอใหสอดคลองกบวตถประสงคและขอก าหนดดานความมนคงปลอดภยทก าหนดไว

5. วตถประสงคและขอก าหนดดานความมนคงปลอดภยส าหรบผใหบรการ

วตถประสงคท 1: การก าหนดนโยบายความมนคงปลอดภยดานสารสนเทศ (information security policy)

เพอก าหนดทศทางและใหการสนบสนนการด าเนนงานเกยวกบความมนคงปลอดภยดานสารสนเทศขององคกรใหสอดคลองกบวตถประสงค กฎหมาย และระเบยบขอบงคบทเกยวของ

ขอก าหนด แนวทางปฏบต

5.1.1 ระดบพนฐาน (ก) ผ ให บร การต องก าหนดนโยบาย

ความมนคงปลอดภยดานสารสนเทศ ใหมความสอดคลองกบวตถประสงคขององคกร กฎหมาย และระเบยบขอบงคบทเกยวของ

ควรจดท านโยบายความมนคงปลอดภยดานสารสนเทศ ทไดรบการอนมตจากผบรหารระดบสงกอนน าไปใชงาน และเผยแพรใหบคลากรทเกยวของรบทราบ ซงนโยบาย ฯ ควรอธบายภาพรวมของหวขอดงน

– การบรหารจดการบคคลทสาม – การเปลยนแปลงบคลากร – ความมนคงปลอดภยทางกายภาพและสงแวดลอม – ความม นคงปลอดภยของระบบสนบสนนการ

ด าเนนงาน – การควบคมการเขาถง – การบรหารจดการระบบเครอขาย – การบรหารจดการสนทรพย – การตรวจพบและการตอบสนองตอสถานการณ

ดานความมนคงปลอดภย – การเฝาตดตามและบนทกเหตการณ – การทดสอบระบบ – การประเมนผลและการทดสอบความมนคงปลอดภย – การปฏบตตามขอก าหนด – การเขารหสลบ – การบรหารจดการขอมลทจดเกบ – ความมนคงปลอดภยของสวนเชอมตอบรการ – ความมนคงปลอดภยของการพฒนาซอฟตแวร

ขมธอ. 21-2562

-8-


(ข) ผใหบรการตองสรางความตระหนกใหแกบคลากรหลกทราบถงนโยบายความมนคงปลอดภยดานสารสนเทศ

ควรสรางความตระหนกใหแกบคลากรหลกทราบถงหนาทความรบผดชอบของตนเอง และนโยบายความมนคงปลอดภยดานสารสนเทศ

5.1.2 ระดบสง (ก) ผใหบรการตองสรางความตระหนก

ใหแกบคลากรท เก ยวของทราบถงความส าคญของนโยบายความมนคงปลอดภยดานสารสนเทศ

ควรสรางความตระหนกใหแกบคลากรทเกยวของทราบถงนโยบายความมนคงปลอดภยดานสารสนเทศและความส าคญของหนาทความรบผดชอบทไดรบมอบหมาย

(ข) ผใหบรการตองทบทวนนโยบายความมนคงปลอดภยดานสารสนเทศอยางสม าเสมอ

ควรทบทวนนโยบายความมนคงปลอดภยดานสารสนเทศ และด าเนนการทบทวนตามระยะเวลาทก าหนด หรอเมอ มการเปลยนแปลงการด าเนนงานใด ๆ ภายในองคกร

วตถประสงคท 2: การบรหารจดการความเสยง (risk management)

เพอก าหนดกรอบการบรหารจดการความเสยงและการก ากบดแล (governance) ทเหมาะสม รวมถงขนตอนการบรหารจดการความเสยง เชน การระบความเสยง การประเมนความเสยง และการใชเครองมอชวยในการประเมนความเสยง เปนตน


5.2.1 ระดบพนฐาน (ก) ใหบรการตองประเมนความเส ยง

เ ก ย ว ก บ ค ว า ม ม น ค ง ป ล อ ด ภ ย ดานสารสนเทศของระบบเครอขายและระบบสารสนเทศรวมถงสนทรพยท ส า ค ญ ( critical asset) ใ น ก า รใหบรการ

ควรมวธการประเมนความเสยงเกยวกบความมนคงปลอดภยดานสารสนเทศส าหรบสนทรพยทส าคญ ซงประกอบดวยประเดนส าคญดงน

– การก าหนดเกณฑการประเมนความเสยงทรวมถงเกณฑการยอมรบความเสยงดานความมนคงปลอดภย

– การระบความเส ย งด านความม นคงปลอดภ ย ทเกยวกบการถกเปดเผยขอมล ความถกตองครบถวน และความพรอมใชงานของระบบสารสนเทศ และระบผเปนเจาของความเสยง

– การวเคราะหความเสยงดานความมนคงปลอดภย โดยการประเมนผลกระทบและโอกาสทจะเกดขน รวมถงการก าหนดระดบคาความเสยง

(ข) ผ ใหบรการตองก าหนดแผนจดการความเส ย ง ( risk treatment plan) เ ก ย ว ก บ ค ว า ม ม น ค ง ป ล อ ด ภ ย ดานสารสนเทศ

ควรจดท าแผนจดการความเสยงทประกอบดวยประเดนส าคญดงน

– การเลอกวธจดการความเสยง และประโยชนทคาดวาจะไดรบ

– การระบผรบผดชอบและผอนมตแผนในการน าแผน

ขมธอ. 21-2562

-9-


จดการความเสยงไปใช – การระบกจกรรมทจะด าเนนการ – การระบทรพยากรทตองการรวมถงทรพยากรส ารอง

ทใช – การวดผลการปฏบตงานและขอจ ากด – การรายงานผลและการตดตามตรวจสอบ – การระบระยะเวลาและก าหนดการ

(ค) ผใหบรการตองสรางความตระหนก ใหบคลากรหลกทราบถงการบรหารจดการความเสยง

ควรสรางความตระหนกใหกบบคลากรหลกทราบถงความเสยงทส าคญ และวธการจดการความเสยงขององคกร และสามารถน าไปปฏบตไดอยางถกตอง

5.2.2 ระดบสง

(ก) ผใหบรการตองก าหนดวธการบรหารจดการความเสยงตามมาตรฐานสากลหรอตามความเหมาะสมขององคกร

ควรก าหนดวธการบรหารจดการความเสยง ทประกอบดวยหวขออยางนอยดงน

– วตถประสงค บทบาทและหนาท – ขอบเขตของวธการบรหารจดการความเสยง – ขนตอนการประเมนความเสยง – การประเมนผลกระทบ และโอกาสทจะเกดขน รวมถง

ผลกระทบทอาจสงผลตอการใหบรการ หมายเหต : ผ ใหบรการอาจน าว ธการบรหารจดการ ความเสยงตามมาตรฐานสากลมาประยกตใชตามความเ ห ม า ะส ม ข อ ง อ ง ค ก ร เ ช น ม า ต ร ฐ า น ISO 31000 หรอมาตรฐาน ISO/IEC 27005

(ข) ผใหบรการตองสรางความตระหนกใหบคลากรทเกยวของทราบถงความเสยงในการปฏบตงาน

ควรสรางความตระหนกใหแกบคลากรทเกยวของทราบเกยวกบความเสยงขององคกร และสามารถปฏบตไดอยางถกตอง

(ค) ผใหบรการตองทบทวนวธการบรหารจดการความเสยงอยางสม าเสมอ

ควรก าหนดระยะเวลาทบทวนวธการบรหารจดการความเสยงและวธการประเมนความเสยงขององคกรพรอมด าเนนการทบทวนตามระยะเวลาทก าหนด หรอเมอมการเปลยนแปลงการด าเนนงานใด ๆ ภายในองคกร

วตถประสงคท 3: การก าหนดบทบาทและหนาทความรบผดชอบดานความมนคงปลอดภย (security roles)

เพอก าหนดบทบาทและหนาทความรบผดชอบใหแกบคลากรทเกยวของในการบรหารจดการความมนคงปลอดภยขององคกร

ขมธอ. 21-2562

-10-


5.3.1 ระดบพนฐาน (ก) ผ ใ ห บ ร ก า ร ต อ งก าหนดบทบาท

และหนาทความรบผดชอบดานความม น ค ง ป ล อ ด ภ ย ใ ห ก บ บ ค ล า ก ร ท เกยวของโดยมนใจไดว าบทบาท และหนาทดงกลาวสามารถเขาถงไดเมอเกดสถานการณดานความมนคงปลอดภย

ควรก าหนดบทบาทและหนาทความรบผดชอบดานความมนคงปลอดภยโดยจดท ารายการหนาทความรบผดชอบ ของแตละหนาท และขอมลการตดตอใหกบบคลากร ทเกยวของ เชน ผบรหารระดบสงดานความมนคงปลอดภย (CISO) ผบรหารระดบสงดานเทคโนโลยสารสนเทศ (CIO) ผจดการความตอเนองทางธรกจ


(ก) ผ ใหบรการตองประกาศอยางเปนทางการใหบคลากรทเกยวของทราบถงบทบาทและหนาทความรบผดชอบดานความมนคงปลอดภย

ควรจดท ารายชอบคลากรทเกยวของทไดรบการแตงตง และอธบายรายละ เ อยดเก ยวกบบทบาทและหน าท ความรบผดชอบดานความมนคงปลอดภย เชน ผบรหารระดบสงดานความมนคงปลอดภย (CISO) ผบรหารระดบสงดานเทคโนโลยสารสนเทศ (CIO) ผจดการความตอเนอง ทางธรกจ

(ข) ผใหบรการตองสรางความตระหนก ให บ คลากรท เ ก ย วข อ งร บทราบ ถงบทบาทและหนาทความรบผดชอบทไดรบมอบหมาย

ควรสรางความตระหนกถงบทบาทและหนาทความรบผดชอบดานความมนคงปลอดภย และชองทางการตดตอบคคล หรอหนวยงานทเกยวกบดานความมนคงปลอดภย ใหแกบคลากรทเกยวของทราบ

(ค) ผ ให บร การต อ งทบทวนบทบาท และหนาทความรบผดชอบดานความมนคงปลอดภยอยางสม าเสมอ

ควรทบทวนบทบาทและหนาทความรบผดชอบดานความมนคงปลอดภยอยางสม าเสมอหรอเมอมการเปลยนแปลงใด ๆ ตอการด าเนนงานภายในองคกร

วตถประสงคท 4: การบรหารจดการบคคลทสาม (third party management)

เพอก าหนดนโยบายและขอก าหนดดานความมนคงปลอดภยในการท าสญญากบบคคลทสาม ตวอยางเชน ระบขอตกลงระดบการใหบรการ (SLAs) ระบขอก าหนดดานความมนคงปลอดภยภายในสญญา และจดท าสญญาเมอจางงานกบบคคลทสาม เพอใหมนใจวาการใชบรการจากบคคลทสามและความเสยงทเหลอ (residual risks) จะไมสงผลกระทบหรอสงผลเสยตอการใหบรการขององคกร


5.4.1 ระดบพนฐาน (ก) ผใหบรการตองก าหนดขอตกลงรวมกน

กบบคคลทสามเมอมการตกลงตดตอซอขายสนคา และ/หรอ บรการ

1. ควรจดท าขอตกลงกบบคคลทสามอยางเปนทางการ โดยมรายละเอยดชดเจน

2. ควรมรายการขอตกลงของบคคลทสามท เกยวของ กบการใหบรการ

ขมธอ. 21-2562

-11-


(ข) ผใหบรการตองมขอก าหนดดานความมนคงปลอดภยและขอก าหนดอน ๆ ทเกยวของกบการใหบรการภายในขอตกลงทไดจดท าขนกบบคคลทสาม

คว ร ม ข อ ก า หนด ด า นคว ามม น ค งปลอดภ ย ส า ห ร บ การใหบรการ ระบไวภายในขอตกลงทจดท าขนกบบคคล ทสาม ซงควรประกอบดวยหวขอดงน

– รายละเอยดของการใหบรการ – ขอก าหนดดานความมนคงปลอดภย เชน ระบบพสจน

ตวตนทน ามาใชในการปฏบตงาน การพฒนาซอฟตแวรและขนตอนการปฏบตงานตาง ๆ ของบรการทมใหแกองคกร

– ขอตกลงการไมเปดเผยขอมลหรอความลบขององคกร (non-disclosure agreement: NDA)

– บทบาท และหนาทความรบผดชอบ – ข อตกล ง ร ะด บ ก า ร ให บ ร ก า ร ( service level

agreement) – ชองทางการตดตอประสานงานและรายงานผล

การด าเนนงาน – ขอก าหนดอน ๆ ทเกยวของ

(ค) ผ ใ ห บ ร ก า ร ต อ ง ก า ห น ด ส ท ธ ในการตรวจสอบ ไว ใ น ข อ ตกล ง กบบคคลทสาม

ควรก าหนดสทธ ไว ในขอตกลงกบบคคลท สามเ พอให ผตรวจสอบสามารถเขาด าเนนการตรวจสอบในกรณทพบประเดนหรอขอสงสยทมนยส าคญ

(ง) ผ ใหบรการตองก าหนดหนาท และค ว า ม ร บ ผ ด ช อ บ เ ก ย ว ก บ ก า รบ ารงรกษาอปกรณ การปฏบตงาน และความ เป น เจ าของทร พย ส นสารสนเทศไวในขอตกลงกบบคคลทสาม

ควรก าหนดหน าท และความรบผดชอบ เก ยวกบการบ ารงรกษาอปกรณ การปฏบตงาน และความเปนเจาของทรพยสนสารสนเทศทระบในขอตกลง เชน การจดหาอปกรณสารสนเทศ การใหบรการด านเทคโนโลยสารสนเทศ การมอบหมายงานขององคกรใหบคคลทสามรบผดชอบ การใหค าแนะน าหรอความชวยเหลอในการปฏบตงาน (help desk) ศนยกลางการใหบรการขอมล (call center) การเชอมตอระบบเครอขายเขาดวยกน การใชสงอ านวยความสะดวกรวมกน (shared facilities) และอน ๆ เปนตน


(ก) ผใหบรการตองก าหนดนโยบายส าหรบการบรหารจดการกบบคคลทสาม

ควรจดท านโยบายส าหรบการบรหารจดการบคคลทสาม ทประกอบดวยประเดนส าคญ ดงน

– การระบ ประเภทของบ คคลท สามท ให บร การ แกองคกร เชน ผใหบรการทางดานเทคโนโลยสารสนเทศ (IT service) ผ ใหบรการทางดานโครงสรางพนฐาน ของระบบสารสนเทศ (IT infrastructure) หรอผใหบรการดานการเงน (financial service) เปนตน

ขมธอ. 21-2562

-12-


– การระบชนดขอมลทอนญาตใหบคคลทสามสามารถเขาถงได รวมถงการเฝาตดตามและการควบคม การเขาถง

– การระบขอก าหนดขนต าดานความมนคงปลอดภยส าหรบขอมลแตละประเภทโดยขนอยกบความตองการทางธรกจขององคกรและความเสยงทมอย

– การก าหนดกระบวนการและขนตอนการตรวจสอบ การปฏบตงานใหเปนไปตามขอก าหนดดานความมนคงปลอดภยของขอมลในแตละชนด

– การควบคมความถกตองและครบถวนของขอมลเพอใหมนใจวาขอมลทจดท าขนมความถกตอง

– กา ร ร ะบ ข อ ตกล ง ท บ ง ค บ ใ ช ก บบ ค ค ล ท ส า ม เพอปกปองขอมลขององคกร

– การจดการสถานการณดานความมนคงปลอดภย และหนาท ของบคคลท สามรวมถงหนาท ความรบผดชอบขององคกร

– การสรางความตระหนกใหบคลากรทเกยวของทราบถงนโยบายและขนตอนการปฏบตงานทบงคบใช พรอมระดบการเขาถงระบบหรอขอมล

– เงอนไขทอยภายใตขอก าหนดและการควบคมความมนคงปลอดภยของขอมลควรไดรบการระบ ไว ในขอตกลงทไดรบการลงนามรวมกน

– การบรหารจดการการเปลยนแปลงขอมลทจ าเปน และสงอ านวยความสะดวกส าหรบการประมวลผลขอมลทตองใชเมอเกดสถานการณดานความมนคงปลอดภย

(ข) ผใหบรการตองมกระบวนการตดตามตรวจสอบการด าเนนงานเพอใหมนใจวาบคคลทสามสามารถด าเนนงานใหเปนไปตามขอตกลง และนโยบายทก าหนดไว

1. ควรก าหนดใหบคคลทสามรายงานสถานการณดานความมนคงปลอดภยใหกบองคกรทกครงทตรวจพบ

2. ค ว ร ก า ห น ด ใ ห บ ค ค ลท ส า ม ต อ ง จ ด ท า ร า ย ง าน การด าเนนการอยางสม าเสมอ

3. ควรก าหนดใหบคคลทสามตองรายงานการเปลยนแปลงตาง ๆ ทเกดขนตอระบบสารสนเทศ

4. ควรมขอก าหนดเกยวกบสถานการณดานความมนคงปลอดภยระบไวในขอตกลงกบบคคลทสามในกรณเกดเหตการณ เชน – กระแสไฟฟาดบ

ขมธอ. 21-2562

-13-


– ความตานทานของกระแสไฟฟาไมเทากน – ภยพบตทางธรรมชาต – อบตเหต หรอเหตฉกเฉนอน ๆ ทสามารถเกดขนได

(ค) ผใหบรการตองวเคราะหความเสยงกอนการท าขอตกลงกบบคคลทสาม

ควรจดท ารายงานผลการวเคราะหความเสยงของการใชบรการบคคลทสามกอนมการจดท าขอตกลงรวมกน

(ง) ผใหบรการตองตดตามและลดความเสยงจากการใชบรการบคคลทสาม ใหอยในระดบทยอมรบได

ควรระบความเสยงทเหลออยจากการใชบรการบคคลทสาม และความเสยงทเหลออยนนองคกรตองจดการความเสยงเพอใหอยในระดบทองคกรยอมรบได

(จ) ผใหบรการตองทบทวนนโยบายส าหรบการบรหารจดการกบบคคลทสามอยางสม าเสมอ หรอเมอมสถานการณดานความมนคงปลอดภยทไมคาดคดหรอมการเปลยนแปลงเกดขน

ควรทบทวนนโยบายการบรหารจดการบคคลท ส าม โดยค านงถงสถานการณดานความมนคงปลอดภยทเกดขน หรอเมอมการเปลยนแปลงใด ๆ ทมผลตอการด าเนนงานภายในองคกร

วตถประสงคท 5: การตรวจสอบประวตบคลากร (background checks)

เพอก าหนดขนตอนและนโยบายการตรวจสอบประวตบคลากร เชน ลกจาง พนกงานสญญาจาง และบคคล ทสามซงเกยวของกบการปฏบตงานภายในองคกรกอนการจางงาน เพอใหเปนไปตามขอก าหนดหรอ กฎหมายทไดก าหนดไว การตรวจสอบประวตบคลากรอาจรวมถงการตรวจสอบการปฏบตงานทผานมา การตรวจสอบเอกสารทใชอางองทางวชาชพ และการตรวจสอบอน ๆ ทมความเหมาะสมไมขดตอกฎหมาย หรอละเมดสทธสวนบคคล


5.5.1 ระดบพนฐาน (ก) ผ ใหบรการตองตรวจสอบประวต

บ ค ล า ก ร ห ล ก ใ ห ส อ ด ค ล อ ง ก บ ข อกฎหมาย ระ เบ ยบ ข อบ งค บ ทองคกรตองปฏบตตาม

ควรตรวจสอบประวตบ คลากรหลก โดยไมละเม ดต อ ขอกฎหมาย ระเบยบ หรอละเมดขอมลสวนบคคล


(ก) ผ ให บร การต องก าหนดนโยบาย และขนตอนการปฏบตงานส าหรบการตรวจสอบประวตบคลากรหลก

ควรจดท านโยบายและขนตอนการปฏบต งานส าหรบ การตรวจสอบประวตบคลากรหลก โดยค านงถงระดบชนความลบของขอมลทเขาถง รวมถงระบขอกฎหมาย ระเบยบ ทเกยวกบการตรวจสอบประวตบคลากร

(ข) ผใหบรการตองก าหนดเกณฑส าหรบการตรวจสอบประวตบคลากรหลก

ควรก าหนดเกณฑส าหรบตรวจสอบประวตบคลากรหลก เ พอ เปนการยนยนความถกตองของ เอกสาร ขอม ล หรอบคคลทใชอางอง ซงประกอบดวยเอกสารหรอขอมล ทส าคญอยางนอยดงน

– ประสบการณท างาน

ขมธอ. 21-2562

-14-


– เอกสารรบรองทางการศกษา – ใบรบรองหรอประกาศนยบตรทางดานวชาชพตาง ๆ – ขอมลหรอหลกฐานประกอบการแสดงตน เชน บตร

ประชาชน ใบอนญาตขบข ทะเบยนบาน – ประวตอาชญากรรม

(ค) ผ ให บร การต องทบทวนนโยบาย และข น ตอนการปฏ บ ต ง า น ก า รตรวจสอบประวตบคลากรหลกอยางสม าเสมอ

ควรทบทวนนโยบายและขนตอนการปฏบตงานการตรวจสอบประวตบคลากรหลกอยางสม า เสมอหรอเม อ เกดการเปลยนแปลงใด ๆ ทมผลตอการด าเนนงานภายในองคกร

วตถประสงคท 6: การสรางความตระหนกดานความมนคงปลอดภย (security awareness)

เพอก าหนดใหบคลากรทเกยวของมความตระหนกถงภยคกคามและปญหาทเกยวกบความมนคงปลอดภย และเขาใจหนาทความรบผดชอบของตนเองเพอใหสามารถปฏบตงานไดอยางถกตอง และลดความเสยงจากความผดพลาดในการปฏบตงาน


5.6.1 ระดบพนฐาน (ก) ผใหบรการตองสรางความตระหนกแก

บคลากรหลกทราบถงความมนคงปลอดภย ภยคกคามและปญหาอน ๆ ทเกยวของกบความมนคงปลอดภยดานสารสนเทศ

ควรสรางความตระหนกแกบคลากรหลกทราบและท าความเข า ใจนโยบายความม นคงปลอดภย ด านสารสนเทศ ภยคกคาม รวมถงบทบาทและหนาทความรบผดชอบดานความมนคงปลอดภยใหครอบคลมประเดนส าคญดงน

– การระบความมงมนของผบรหารในการรกษาความมนคงปลอดภยดานสารสนเทศ

– การปฏบตตามกฎระเบยบทก าหนดไวในนโยบายความมนคงปลอดภยดานสารสนเทศ

– การรบผดชอบตอการกระท าของตนเองเมอไมปฏบตตามขอก าหนดหรอระเบยบขององคกร

– ขนตอนการรกษาความมนคงปลอดภยของขอมลขนพนฐาน เชน การรายงานสถานการณดานความมนคงปลอดภย รวมถ งการควบคมข น พนฐาน เชน การควบคมความมนคงปลอดภยของรหสผาน

– ชองทางตดตอส าหรบรบทราบขอมลและค าแนะน าเกยวกบความมนคงปลอดภย

(ข) ผใหบรการตองตรวจสอบบคคลทสามทปฏบตงานภายในองคกรเพอใหมนใจ

ควรตรวจสอบบคคลทสามทปฏบตงานภายในองคกรวาไดรบการสรางความตระหนกดานความมนคงปลอดภย

ขมธอ. 21-2562

-15-


วาไดรบการใหความรและสรางความตระหนกดานความมนคงปลอดภย


(ก) ผ ใหบรการตองก าหนดแผนการใหความรและสรางความตระหนกดานความมนคงปลอดภยแกบ คลากร ทเกยวของ

ควรจดท าแผนการใหความรและสรางความตระหนกดานความมนคงปลอดภยแกบคลากรทเกยวของ ซงควรสอดคลองกบนโยบายความมนคงปลอดภยดานสารสนเทศขององคกรและไดรบการอนมตจากผบรหารระดบสง

(ข) ผใหบรการตองสรางความตระหนกใหแกบคลากรท เกยวของทราบถงความมนคงปลอดภย ภยคกคามและปญหาท เก ยวของกบความม นคงปลอดภย

1. ควรสรางความตระหนกดานความมนคงปลอดภยใหแกบคลากรทเกยวของมความตระหนกถงการรกษาความมนคงปลอดภย

2. ควรรวบรวมหลกฐาน หรอบนทกขอมลของบคลากร ทเกยวของซงไดรบการสรางความตระหนกดานความมนคงปลอดภย

วตถประสงคท 7: การเปลยนแปลงบคลากร (personnel changes)

เพอก าหนดกระบวนการและขนตอนการบรหารจดการการเปลยนแปลงบคลากรเมอสนสดหรอเปลยนแปลง การจางงาน การเปลยนแปลงบทบาทและหนาทปฏบตงาน การก าหนดสทธและการเพกถอนสทธใหมความเหมาะสม


5.7.1 ระดบพนฐาน (ก) ผใหบรการตองเพกถอนสทธการเขาใช

ง า น อ ปกรณ บ ต รท ใ ช ร ะบ ส ท ธ การเขาถง และอปกรณอน ๆ หลงจากการเปลยนแปลงบคลากรหรอเมอบ คล ากร พ นสภ าพจ ากกา ร เ ป นพนกงานขององคกรแลว

1. ควรมขนตอนการเพกถอนสทธการเขาใชงานอปกรณ เชน บตรผานประต หรออปกรณทใชก าหนดสทธการเขาถงตาง ๆ ทนทเมอพนกงานหรอบคคลทสามสนสดการจาง หรอเปลยนแปลงหนาทในการปฏบตงาน

2. ควรมขนตอนเรยกคนสนทรพยเมอบคลากรทเกยวของสนสดสถานะการเปนพนกงาน หรอสนสดสญญาขอตกลง

3. ควรรวบรวมหลกฐานในกรณทมการเปลยนแปลงบคลากร และมการเพกถอนสทธอปกรณทใชปฏบตงานและอปกรณอน ๆ ทบคลากรเคยไดสทธในการเขาใชงาน

(ข) ผใหบรการตองใหความรเกยวกบการปฏบตงานเบองตนแกบคลากรใหม เพอใหรบทราบเกยวกบนโยบายความม น ค งปลอดภ ย ด านสารสน เท ศ และขนตอนการปฏบตงานขององคกร

ควรรวบรวมหลกฐานเ พอยนยนวาบคลากรใหมไดรบ การใหความร เกยวกบนโยบายความมนคงปลอดภยดานสารสนเทศ และขนตอนในการปฏบตงานเบองตน

ขมธอ. 21-2562

-16-



(ก) ผใหบรการตองก าหนดนโยบายหรอข น ต อ น ก า ร ป ฏ บ ต ง า น ส า ห ร บกระบวนการเปลยนแปลงบคลากร และกระบวนการเพกถอนสทธการเขาใชงานอปกรณสารสนเทศและอปกรณอน ๆ ทก าหนดสทธการเขาใชงานใหแกบคลากร

ค ว ร จ ด ท า น โ ย บ า ย ห ร อ ข น ต อ น ก า ร ป ฏ บ ต ง า น การเปลยนแปลงบคลากรควรประกอบดวยประเดนส าคญดงน

– หนาทความรบผดชอบเมอสนสดหรอเปลยนแปลงการจางงาน

– การบรหารจดการทรพยสนสารสนเทศ – การเพกถอนสทธการเขาถง – ขอตกลงการรกษาความลบ

(ข) ผ ใ ห บ ร ก า ร ต อ ง จ ด ท า น โ ย บ า ย หรอขนตอนการปฏบตงานส าหรบ การอบรมใหความรบคลากรทไดรบบทบาทหนาทใหม

ควรจดท านโยบายหรอขนตอนการปฏบต ง านส าหรบ การอบรมใหความรบคลากรท ไดรบบทบาทหนาท ใหม ประกอบดวยหวขอดงน

– การสรางความตระหนกและการอบรมใหความร – สญญาและเงอนไขการจางงาน – การปองกนสทธและทรพยสนทางปญญา – การปองกนขอมลสวนบคคล – การลงโทษทางวนย

(ค) ผ ให บร การต องทบทวนนโยบาย หร อข น ตอนการปฏ บ ต ง าน กา รเปลยนแปลงบคลากรอยางสม าเสมอ

ควรพจารณาทบทวนนโยบายและขนตอนการปฏบตงานการเปลยนแปลงบคลากร และการเพกถอนสทธการเขาใชงานอปกรณสารสนเทศอยางสม าเสมอตามระยะเวลาทเหมาะสม หรอเมอมการเปลยนแปลงใด ๆ ตอการด าเนนงานภายในองคกร

วตถประสงคท 8: การรกษาความมนคงปลอดภยทางกายภาพและสภาพแวดลอม (physical and environmental security)

เพอก าหนดนโยบาย และขอก าหนดส าหรบการรกษาความมนคงปลอดภยทางกายภาพและสภาพแวดลอม ของศนยคอมพวเตอร เชน มการควบคมการเขาถงทางกายภาพ ระบบแจงเตอน การควบคมดานสภาพแวดลอม ระบบดบเพลงแบบอตโนมต และระบบอน ๆ ทเกยวของกบการรกษาความมนคงปลอดภยดานสารสนเทศของศนยคอมพวเตอร


5.8.1 ระดบพนฐาน (ก) ผ ใหบรการตองปองกนการเข าถ ง

บรเวณทตองมการรกษาความมนคงปลอดภย, โครงสรางพนฐานระบบบรหารจ ดการศนย คอมพว เตอร

ค ว ร มกา ร ร กษาคว ามม น ค งปลอดภ ย ทา งกายภ า พ และสภาพแวดลอมขนพนฐาน เชน ระบบลอคประต ระบบสญญาณกนขโมย สญญาณแจงเตอนเมอเกดเหตเพลงไหม

ขมธอ. 21-2562

-17-


( infrastructure) และต ดต ง ร ะบบควบคมสภาพแวดลอม

ถงดบเพลงแบบพกพา ระบบกลองวงจรปด ระบบปองกนน าทวม และอน ๆ เปนตน

(ข) ผใหบรการตองก าหนดรายชอบคคล ทมสทธเขาถงบรเวณทตองมการรกษาความมนคงปลอดภย และก าหนด สงทใชยนยนตวตนส าหรบเขาถง

1. ควรจดท าทะเบยนรายชอบคคลทไดรบสทธเขาถงบรเวณทตองมการรกษาความมนคงปลอดภย

2. ควรก าหนดสงทใชยนยนตวตนส าหรบเขาถง เชน ปาย บตรประจ าตวพนกงาน ซ งองคกรเปนผ เกบรกษา และทบทวนสทธผใชงานอยางสม าเสมอ หรอเมอมการเปลยนแปลงบทบาทและหนาทการปฏบตงาน

(ค) ผใหบรการตองตรวจสอบสทธของผเขาเยยมชม (visitors) กอนอนญาต ใหเขาถงบรเวณทตองมการรกษาความมนคงปลอดภย

1. ควรจดท าทะเบยนรายชอผเขาเยยมชมบรเวณทตองมการรกษาความมนคงปลอดภย

2. ควรก าหนดใหผ เขา เย ยมชมตดบตรผ เขา เย ยมชม ใหเดนชดตลอดระยะเวลาทอยภายในบรเวณทมการรกษาความมนคงปลอดภย

(ง) ผใหบรการตองตรวจสอบดแลรกษาความมนคงปลอดภยดานสารสนเทศของ อปกรณ ส า รสน เทศ ใ น ศ น ยคอมพวเตอร เพอใหมนใจวาอปกรณดงกลาวสามารถปฏบตงานไดอยางปกต และมประสทธภาพ

ควรมระบบควบคมสภาพแวดลอมของศนยคอมพวเตอรขนพนฐาน เชน ระบบน าประปา ระบบไฟฟาส ารอง ระบบควบคมอณหภมและความชน ระบบตรวจจบควนไฟ ระบบตรวจจบเพลงไหม ซงตองไดรบการดแลรกษา และทดสอบเพอใหมนใจวาสามารถปฏบตงานไดปกต


(ก) ผใหบรการตองก าหนดนโยบายความม น ค ง ป ล อ ด ภ ย ท า ง ก า ย ภ า พ และสภาพแวดลอม

ควรก าหนดนโยบายความมนคงปลอดภยทางกายภาพ และสภาพแวดลอมซงควรประกอบดวยประเดนส าคญดงน

– การก าหนดขอบเขตการรกษาความมนคงปลอดภยทางกายภาพ

– การก าหนดสทธเพอเขาออกบรเวณทตองมการรกษาความมนคงปลอดภย

– การจดเกบอปกรณสารสนเทศภายในบรเวณทตองมการรกษาความมนคงปลอดภย

– การควบคมทางกายภาพของทางเขา – การรกษาความมนคงปลอดภยพนทปฏบต งาน

และสงอ านวยความสะดวกตาง ๆ – การดแลรกษาอปกรณและการปองกนการเขาถงพนท

โดยไมไดรบอนญาต – การปองกนภยคกคามจากภายนอก – การปฏบตเมอเขาถงบรเวณทตองรกษาความมนคง

ปลอดภย

ขมธอ. 21-2562

-18-


– การควบคมบรเวณพนทจดสงและรบของเพอปองกนการเขาถงโดยไมไดรบอนญาต

(ข) ผ ใ ห บ ร ก า ร ต อ งก าหน ดข น ต อน การปฏบต งานกรณ เกดเหตการณฉกเฉน

ควรมขนตอนการปฏบตงานกรณเกดเหตการณฉกเฉน เชน อทกภย อคคภย แผนดนไหว เหตการณประทวงจนท าให ไมสามารถเขาพนทปฏบตงานได เปนตน และมวธปฏบต ใหบคลากรทเกยวของสามารถปฏบตตามไดเมอเกดเหตการณฉกเฉนดงกลาว

(ค) ผ ใหบรการตองทบทวนและอนมตรายชอบคลากรทมสทธเขาถงบรเวณ ทตองมการรกษาความมนคงปลอดภยจากผทมอ านาจ

1. ควรก าหนดใหมการทบทวนสทธการเขาถงบรเวณทตองมการรกษาความมนคงปลอดภยของบคลากรภายในองคกร

2. ควรทบทวนสทธหรอสรางสทธส าหรบบคลากรเมอมการเปลยนแปลงบทบาทหนาทความรบผดชอบ

3. ควรตรวจสอบกระบวนการก าหนดสทธเพอใหมนใจวาการก าหนดสทธไมไดถกก าหนดใหแกผทไมไดรบอนญาต

4. ควรมการบนทกขอมลการเปลยนแปลงสทธของผทไดรบสทธระดบสงเพอใชตรวจสอบในภายหลง

(ง) ผใหบรการตองมขอก าหนดใหผ เขาเย ยมชมรบทราบและปฏบต ตามนโยบาย และขนตอนการปฏบตงานขององคกร

1. ควรสรางความตระหนกใหผเขาเยยมชมมความเขาใจ ในหลกเกณฑหรอขอก าหนดตาง ๆ ทตองปฏบตตามระหวางทอยในบรเวณทตองมการรกษาความมนคงปลอดภย

2. ควรแสดงขอก าหนดหรอขอหามเพอใหผเขาเยยมชมรบทราบและปฏบตตามอยางเครงครดเมอเขาถงบรเวณ ทตองรกษาความมนคงปลอดภย

(จ) ผ ใหบร การตองด แลร กษาบ นท กเหตการณของผเขาเยยมชมทเขาถงบรเวณทตองมการรกษาความมนคงปลอดภย

1. ควรจดท าบนทกเหตการณของผ เขาเยยมชมทกคน ทไดรบอนญาตใหเขาถงบรเวณทตองมการรกษาความมนคงปลอดภย

2. ควรมรายละเอยดในบนทกเหตการณของผเขาเยยมชม เชน – ชอ – นามสกลของผเขาเยยมชม – วน เวลาเขา – ออกบรเวณทตองมการรกษาความ

มนคงปลอดภย – เหตผลในการเขาเยยมชม – ลายมอชอผเขาเยยมชม

(ฉ) ผ ใหบรการตองตดตามตรวจสอบ ทกครงทมการเขาถงบรเวณทตองมการรกษาความมนคงปลอดภย

ควรมบคลากรตดตามผเขาเยยมชมตลอดเวลาทอยในบรเวณทตองมการรกษาความมนคงปลอดภยหรอจนกวาจะเสรจภารกจและออกมาจากบรเวณทตองมการรกษาความมนคงปลอดภย

ขมธอ. 21-2562

-19-


(ช) ผใหบรการตองทบทวนนโยบายความม นคงปลอดภยทางกายภาพและสภาพแวดลอมอยางสม าเสมอ

ควร พจารณาทบทวนนโยบายความม นคงปลอดภ ย ทางกายภาพ และสภาพแวดลอมอยางสม าเสมอตามระยะเวลาทเหมาะสม หรอเมอมการเปลยนแปลงใด ๆ ตอการปฏบตงานภายในองคกร

วตถประสงคท 9: การรกษาความมนคงปลอดภยของระบบสนบสนนการด าเนนงาน (security of supporting utilities)

เพอก าหนดและบ ารงรกษาอปกรณสนบสนนการด าเนนงานทเหมาะสม รวมถงมการรกษาความมนคงปลอดภยของอปกรณสนบสนนการด าเนนงาน เชน ระบบไฟฟา ระบบระบายอากาศ เปนตน


5.9.1 ระดบพนฐาน (ก) ผใหบรการตองก าหนดกระบวนการ

ปองกน ดแลรกษาระบบสนบสนน การด าเนนงาน

ควรตดต งระบบสนบสนนการด า เนนงานเ พอปองกน การหยดชะงกของกระแสไฟฟา เชน เครองก าเนดไฟฟาส ารอง (generator) และน ามนเชอเพลง เครองส ารองไฟฟาและปรบแรงดนไฟฟา (UPS) ระบบควบคมอณหภมความชน ระบบระบายอากาศ ระบบสายไฟฟา และสายสญญาณ และระบบอน ๆ ทเกยวของ เปนตน


(ก) ผใหบรการตองก าหนดนโยบายความม น ค งปลอดภ ย ด านสารสน เท ศ ของระบบสนบสนนการด าเนนงาน และมขอก าหนดในการดแลรกษาระบบสนบสนนการด าเนนงาน

1. ควรจดท านโยบายความมนคงปลอดภยดานสารสนเทศของระบบสนบสนนการด าเนนงาน โดยนโยบายดงกลาวมรายละเอยดเกยวกบการดแลรกษาอปกรณสารสนเทศ และมขอก าหนดดานความมนคงปลอดภยของระบบสนบสนนการด าเนนงาน เชน – ระบบกระแสไฟฟา – เครองส ารองไฟฟาและปรบแรงดนไฟฟา – เครองก าเนดไฟฟาส ารอง และน ามนเชอเพลงส ารอง – ระบบควบคมอณหภมความชน – ระบบระบายอากาศ – การเดนสายไฟ สายสอสาร และสายสญญาณอน ๆ – ระบบอน ๆ ทเกยวของกบการรกษาความมนคง

ปลอดภยของระบบสนบสนนการด าเนนงาน 2. ควรมระบบแจงเตอนเมอระบบสนบสนนการด าเนนงาน

ปฏบตงานไมปกตหรอหยดการปฏบตงาน 3. ควรมการบ ารงรกษาระบบสนบสนนการด าเนนงาน

ตามระยะเวลาทเหมาะสมหรอตามค าแนะน าของผผลต

ขมธอ. 21-2562

-20-


4. ควรจด เกบบนทกการบ าร งรกษาระบบสนบสนน การด าเนนงาน เพอใชในการตรวจสอบและประเมนผลการด าเนนงานของอปกรณสารสนเทศ

5. ควรทดสอบระบบสนบสนนการด า เนนงานอย างสม าเสมอเพอใหมนใจวา ระบบสนบสนนการด าเนนงานยงคงสามารถปฏบตงานไดอยางปกต

6. ควรอนญาตใหเฉพาะเจาหนาทซอมบ ารงทสามารถ เขาบ ารงซอมแซมระบบสนบสนนการด าเนนงานได

7. ควรตรวจสอบระบบสนบสนนการด าเนนงานทไดรบ การซอมแซมเพอใหแนใจวาอปกรณไมไดรบการดดแปลง

8. ควรตดตงสายสญญาณและสายไฟฟาแยกออกจากกน เพอปองกนสญญาณรบกวนซงกนและกน

9. ควรปดลอคหองทมสายสญญาณตาง ๆ เพอปองกน การเขาถงจากบคคลภายนอก

10. ควรมขนตอนการควบคมและการจดท าบนทกรายการอปกรณสารสนเทศทน าไปใชงานนอกสถานท ควรไดรบอนญาตจากผ ม อ านาจและปฏบต ตามค าแนะน า ของผผลต

(ข) ผใหบรการตองทบทวนนโยบายความมนคงปลอดภยดานสารสนเทศของระบบสนบสนนการปฏบตงาน อยางสม าเสมอ

ควรก าหนดใหมการทบทวนนโยบายส าหรบระบบสนบสนนการด าเนนงานอยางสม าเสมอ หรอเมอมการเปลยนแปลงใด ๆ ตอการด าเนนงานภายในองคกร

วตถประสงคท 10: การควบคมการเขาถงระบบเครอขาย และระบบสารสนเทศ (access control to network and information system)

เพอก าหนดนโยบายและขอก าหนดส าหรบการเขาถงแหลงขอมลขององคกร เชน ระบบเครอขาย ระบบบรหารจดการชอผใช ระบบการตรวจสอบผใชงาน ระบบควบคมการเขาถง ระบบไฟรวอลล และความมนคงปลอดภย ดานสารสนเทศของระบบเครอขาย


5.10.1 ระดบพนฐาน (ก) ผ ใหบรการตองระบขอมลผ ใช งาน

ท แตกต า งก น (unique identifier) และตรวจสอบสทธกอนเขาใชงานระบบสารสนเทศหรอบรการ

1. ควรมขนตอนการลงทะเบยนบญชผ ใช งานระบบสารสนเทศ เมอมผขอใชงานระบบสารสนเทศขององคกร

2. ควรก าหนดบญชผใชงานทไมซ ากนเพอเปนการระบตวตนและเชอมโยงไปถงความรบผดชอบตอการกระท าของตนได

ขมธอ. 21-2562

-21-


3. ควรก าหนดให ม การ เ พกถอนบญช ผ ใ ช ง านทนท เมอผ ใชงานนนพนสภาพการเปนพนกงาน เปลยนต าแหนงงาน

4. ควรทบทวนบญชผใชงานเปนประจ า เพอลบหรอปด การใชงานบญชผใชทมความซ าซอน

(ข) ผใหบรการตองก าหนดกลไกควบคมการเขาถงระบบเครอขายและระบบสารสนเทศ เพออนญาตให เฉพาะผใชงานทไดรบสทธแลวเทานน

ควรก าหนดวธการหรอกลไกส าหรบการควบคมการเขาถงระบบเครอขายและระบบสารสนเทศซงประกอบดวยลกษณะดงน

– ผใชงานควรดแลรกษาอปกรณสารสนเทศทอยภายใตความรบผดชอบในระหวางทไมมการใชงาน

– ไมมการแสดงตวหรอระบชอระบบสารสนเทศจนกวาจะเขาสระบบไดส าเรจ

– แสดงค าเตอนใหทราบวาคอมพวเตอรควรเขาถงไดเฉพาะผมอ านาจเทานน

– ไมควรแสดงขอความหรอวธการชวยเหลอใด ๆ ขณะอยในขนตอนการเขาสระบบ

– มการตรวจสอบขอมลการเขาสระบบ และหากเกดความผดพลาดขณะเขาสระบบไมควรมขอความแสดงวาความผดพลาดนนเกดขนจากทใด

– ก าหนดจ านวนครงของความผดพลาดในขนตอนการเขาสระบบ เชน กรอกรหสผดพลาดไดไมเกนสามครง เปนตน

– ไมแสดงรหสผานทปอนระหวางขนตอนการเขาสระบบ

– จ ากดระยะเวลาการเชอมตอกบระบบสารสนเทศ ทส าคญ

– ยตการใชงานระบบหากไมมการใชงานเปนระยะเวลาตามทก าหนดไว

– จ ากดจ านวนผใชงานทสามารถเขาถงระบบเครอขายไดจากภายนอก

– ก าหนดคณสมบตของรหสผานใหมความซบซอนยากตอการคาดเดา


(ก) ผใหบรการตองก าหนดนโยบายควบคมการเขาถงระบบเครอขายและระบบสารสนเทศ

ควรมการจดท านโยบายควบคมการเขาถงระบบเครอขาย และระบบสารสนเทศซงประกอบดวยประเดนส าคญดงน

ขมธอ. 21-2562

-22-


– การก าหนดกฎ เกณฑ ข อก าหนดท เ ก ย ว ข อ ง และขอปฏบตทผใชงานตองปฏบตตาม

– การก าหนดมาตรการในการควบคมการเขาถง ระบบเครอขาย และระบบสารสนเทศ และระบบปฏบตการ

– การควบคมการเขาถงใหเหมาะสมกบชนความลบ และความส าคญตอขอมลในระบบ

– การแบงแยกระบบเครอขาย – การควบคมการเขาถงทรพยสนสารสนเทศทส าคญ

ใหมความมนคงปลอดภย และหนาจอคอมพวเตอรไมใหมขอมลส าคญปรากฏอยขณะทไมใชงาน (clear desk and clear screen)

– การอนมตการเขาถงระบบเครอขาย และระบบสารสนเทศตามหนาทความรบผดชอบและความจ าเปนในการใชงาน

– การจ ากดการเขาถงโปรแกรมอรรถประโยชน (utility) – การทบทวนหรอเพกถอนสทธการเข าถง ระบบ

เครอขายและระบบสารสนเทศ – การก าหนดประเภทของการเชอมตอเพอเขาสระบบ

เครอขาย และระบบสารสนเทศ เชน การเชอมตอจากระยะไกล การเชอมตอผานระบบเครอขายไรสาย เปนตน

– การก าหนดใหบคคลทสามตระหนก เขาใจ และปฏบตตามนโยบายควบคมการเขาถงระบบเครอขาย และระบบสารสนเทศขององคกร

– การจดเกบบนทกขอมลการเขาถงของผใชงาน – การเปลยนแปลงสทธการเขาถงขอมลของผใชงาน

(ข) ผ ใหบรการตองเลอกกลไกส าหรบตรวจสอบและการย นย นต ว ตน ของผใชงานจากผลของการวเคราะหความเสยง

ควรก าหนดกลไกยนยนตวตนผใชงานทแตกตางกน เชน วธการยนยนตวตนแบบปจจยเดยว (single-sign-on) วธการยนยนตวตนแบบหลายปจจย (multi-factor authentication) แ ล ะ ก า ร ย น ย น ต ว ต น จ า ก ร ะ ย ะ ไ ก ล ( teleworking authentication)

(ค) ผ ใหบรการตองตดตามตรวจสอบ การเขาถงระบบเครอขาย และระบบสารสนเทศโดยก าหนดกระบวนการอนมตและลงทะเบยน เพอปองกน

1. ควรเกบบนทกขอมลขณะเขาสระบบไดส าเรจ หรอไมส าเรจ

2. ควรก าหนดใหผใชงานสามารถเขาถงไดเฉพาะระบบเครอขายทไดรบไดรบอนญาตเทานน

ขมธอ. 21-2562

-23-


การละเมดการเขาถงและเขาใชงาน โดยไมไดรบอนญาต

3. ควรจดท ารายชอของผทมสทธเขาถงระบบเครอขาย และระบบสารสนเทศ

4. ควรบนทกขอมลการใชงานสทธระดบสง (ง) ผใหบรการตองจ ากดจ านวนผใชงาน

ท เ ข าถ ง ฟ งก ช นด านความ ม น คงปลอดภยใหกบผ ท ม ความจ า เปน เ พ อ ใ ห ม ค ว า ม ม น ค ง ป ล อ ด ภ ย ของระบบขอมล

1. ควรจดท ารายชอของผใชทมสทธเขาถงฟงกชนดานความมนคงปลอดภยของระบบเครอขาย และระบบสารสนเทศ

2. ควรแบงเมนการใชงานเพอควบคมการเขาถงขอมล และฟงกชนตาง ๆ ของระบบเครอขาย และระบบสารสนเทศ

3. ควรควบคมสทธของผใช เชน สทธในการ อาน เขยน และลบขอมล

(จ) ผ ใ ห บ ร ก า ร ต อ ง ม ก ร ะบ ว น ก า รตรวจสอบการใชงานสทธระดบสง (privileged account) โดยพจารณาตงแตกระบวนการสรางบญชผใชงาน การรบรองสทธผ ใช งาน และการทบทวนสทธผใชงาน

1. ควรตดตามตรวจสอบการใชงานสทธระดบสงอยางสม าเสมอ เชน ดจากการบนทกเหตการณการเขาใชงานระบบเครอขาย และระบบสารสนเทศ

2. ควรเพมความถส าหรบตรวจสอบสทธของบคลากรทมสทธระดบสงใหมากกวาสทธของผใชงานทวไป

(ฉ) ผ ใ ห บ ร ก า ร ต อ ง แบ ง แ ย ก ร ะ บ บเคร อข าย และระบบสารสนเทศ ตามข อก าหนดด านคว ามม น ค งปลอดภยดานสารสนเทศ

1. ควรแบงแยกระบบเครอขายเพอใหจ ากดผลกระทบ จากการโจมตของโปรแกรมไมพงประสงค (malware)

2. ควรแบงแยกระบบเครอขายออกเปนระบบเครอขายภายในและระบบเครอขายภายนอก

3. ควร มข อก าหนด เ พอร กษาความม นคงปลอดภย ดานสารสนเทศของระบบเครอขาย เชน ตดตง firewall เพอปองกนการบกรกหรอเขาถงโดยไมไดรบอนญาต

4. ควรมขอมลแสดงความสมพนธของการแบงแยกหนาท (segregation of duties control matrix)

วตถประสงคท 11: การควบคมความถกตองขององคประกอบระบบเครอขายและระบบสารสนเทศ (integrity of network components and information system)

เพอก าหนดวธการควบคมปองกนและดแลรกษาระบบเครอขายขององคกรใหสามารถปฏบตงานไดอยางถกตองโดยก าหนดขนตอนเพอปองกนเหตการณดานความมนคงปลอดภย ตวอยางเชน ปองกนการโจมตจากโปรแกรมไมพงประสงค เปนตน

ขมธอ. 21-2562

-24-


5.11.1 ระดบพนฐาน (ก) ผใหบรการตองตรวจสอบเพอใหมนใจ

วาซอฟตแวรทตดตงบนระบบเครอขาย และระบบสารสนเทศไมไดถกดดแปลงหรอมการเปลยนแปลง

1. ควรปองกนซอฟตแวรและขอมลในระบบเครอขายโดยใชวธการควบคมปองกน เชน ควบคมการน าเขาขอมล การตดตงไฟรวอลล การเขารหสลบ

2. ควรก าหนดสทธระดบสงใหผทมหนาท ในการตดต งซอฟตแวรในระบบเครอขาย

3. ควรระบประเภทของซอฟตแวรทไดรบอนญาตใหสามารถตดตงได หรอตดตงไมได

(ข) ผใหบรการตองปองกนขอมลทส าคญ เพอปองกนการถกเปดเผยหรอการแกไขดดแปลงขอมล

ควรปองกนความมนคงปลอดภยดานสารสนเทศของขอมลโดยการใชกลไกปองกน เชน การแยกสวนจดเกบขอมล การเขารหสลบ และการแฮชขอมล และวธการอน ๆ เปนตน

(ค) ผ ใหบรการตองปองกนการตดต งโปรแกรมไมพงประสงค หรอซอฟตแวรท ไ ม ไ ด ร บ อนญ าต ภ าย ใน ร ะบบเครอขายและระบบสารสนเทศ

1. ควรตดตงระบบตรวจจบไวรส โปรแกรมไมพงประสงค และมการปรบปรงฐานขอมลไวรสใหมความทนสมยอยางสม าเสมอ

2. ควรจ ด เ ก บบ นท กการปร บปร ง ฐ านข อม ล ไ ว ร ส และโปรแกรมไมพงประสงค

3. ควรจดเกบบนทกการตรวจสอบหรอการสแกนไวรส และโปรแกรมไมพงประสงค


(ก) ผ ใ ห บ ร ก า ร ต อ ง ก าหนด ข น ต อน การปฏบตงานการรกษาความมนคงปลอดภยดานสารสนเทศของระบบเครอขายและระบบสารสนเทศ

ควรจดท าขนตอนการปฏบตงานการบรหารจดการความมนคงปลอดภยดานสารสนเทศของระบบเครอขายและระบบสารสนเทศ ซงประกอบดวยประเดนส าคญดงน

– การปองกนการเขาถงขอมลในระบบเครอข าย และระบบสารสนเทศโดยไมไดรบอนญาต

– การก าหนดบทบาทและหนาทความรบผดชอบ การดแลระบบเครอขายและระบบสารสนเทศ

– การบรหารจดการบญชผใชงานทสามารถใชระบบสารสนเทศไดจากระยะไกล

– การปองกนขอมลรวไหล และความถกตองของขอมลทตองสงผานระบบเครอขาย เชน การสงขอมลผานระบบอนเทอรเนต หรอการสงขอมลผานจดหมายอเลกทรอนกส

– การปองกนการเชอมตอกบระบบเครอขายภายนอก เชน ก าหนดใหตดตงไฟรวอลล และตดตงซอฟตแวรดกจบโปรแกรมไมพงประสงค

ขมธอ. 21-2562

-25-


– การตดตามตรวจสอบการปฏบตงานระบบเครอขายและระบบสารสนเทศเพอใหสามารถด าเนนงานไดอยางตอเนอง

– การจ ด เ ก บบ นท ก เหต ก า รณ ก า รด า เ น น ง าน ของอปกรณสารสนเทศ เพอใชตรวจสอบในภายหลง

– การแบงแยกระบบเครอขาย (ข) ผ ใหบรการตองมกลไกหรอระบบ

ป องกน โปรแกรมไม พ งประสงค ท สามารถควบค มและบร ห าร ได จากสวนกลาง

ควรมวธปฏบตหรอระบบตรวจสอบโปรแกรมไมพงประสงคเพอตรวจสอบขอมลทมการแลกเปลยนกนทางระบบเครอขายรวมถงการสง – รบขอมลหรอไฟลแนบทมการสงผ าน ทางจดหมายอเลกทรอนกส

(ค) ผใหบรการตองมกลไกปองกนไมใหผ ใชงานหลกเลยงการใชงานระบบปองกนโปรแกรมไมพงประสงค

1. ควรมวธปฏบตหรอระบบตรวจสอบการปฏบตงาน และกจกรรมของผใชงานอยางสม าเสมอ

2. ควรมระบบตรวจจบการบกรกเพอตรวจจบพฤตกรรม การใชงานทผดปกตของระบบเครอขายและระบบสารสนเทศ

(ง) ผใหบรการตองมกลไกส าหรบปองกน spam ในจดทสามารถเขาถงระบบเครอขายได เชน ทเครองคอมพวเตอรแ ม ข า ย ( server) ห ร อ อ ป ก ร ณประมวลผลแบบพกพา (mobile computing) ทอยบนระบบเครอขาย

1. ควรก าหนดรายชอของอปกรณ ซอฟตแวร ท ไดรบอนญาตใหสามารถเขาถงระบบเครอขาย เพอปองกน การใชงานซอฟตแวรทไมไดรบอนญาต

2. ควรตรวจสอบการใชทรพยากรสารสนเทศขององคกรอย า งสม า เ สมอ เ พอป องกนการ ใช ง านอย า งผ ดวตถประสงค

3. ควรจ ากดการใชงานผทไมไดรบอนญาตหรอผท ไมไดลงทะเบยนใหเขาใชงานระบบสารสนเทศ

วตถประสงคท 12: การก าหนดขนตอนการปฏบตงาน (operating procedures)

เพอก าหนดขนตอนการปฏบตงานกบระบบเครอขายและระบบสารสนเทศทส าคญตอการด าเนนงานขององคกร เชน เอกสารขนตอนการปฏบตงาน คมอการปฏบตงาน ขนตอนการปฏบตงานส าหรบผดแลระบบสารสนเทศและระบบเครอขาย


5.12.1 ระดบพนฐาน (ก) ผ ใ ห บ ร ก า ร ต อ ง ก าหนดข น ต อน

การปฏบตงาน และมอบหมายหนาทความรบผดชอบส าหรบการปฏบตงานระบบเครอข ายระบบสารสนเทศ ทส าคญ

ควรจดท าขนตอนการปฏบตงานและก าหนดหนาทความรบผดชอบส าหรบระบบเครอขายและระบบสารสนเทศ ทส าคญซงประกอบดวยประเดนส าคญดงน

– การตดตงและการตงคาเรมตนของระบบสารสนเทศ

ขมธอ. 21-2562

-26-


– การประมวลผลและการบรหารจดการขอมลทงแบบอตโนมตและแบบด าเนนการเอง

– การส ารองขอมล – วธปฏบตส าหรบการบรหารจดการความผดพลาด

ซงอาจเกดขนระหวางการปฏบตงาน รวมถงขอจ ากด การใชงานระบบสนบสนนการด าเนนงาน

– การสนบสนนการปฏบตงาน และรายชอผตดตอ ของบคคลทสามในกรณทเกดเหตไมคาดคดหรอมปญหาดานการปฏบตงานและทางเทคนค

– การบรหารจดการสอบนทกขอมล การลบขอมลในสอบนทกขอมล

– ขนตอนการเร มระบบใหม และการกคนระบบสารสนเทศในกรณทระบบเกดความลมเหลว

– การบรหารจดการขอมลส าหรบการตรวจสอบ และระบบบนทกเหตการณของระบบสารสนเทศ

– ขนตอนการปฏบตงานการตรวจตดตาม และการเฝาระวง

– ขนตอนการปฏบตงานอน ๆ ท เกยวขอ งกบการปฏบตงานดานความมนคงปลอดภย


(ก) ผ ให บร การต องก าหนดนโยบาย ด านการปฏบต งานส าหรบระบบเครอขายและระบบสารสนเทศเพอใหมนใจวาการปฏบตงานเปนไปตามขนตอนการปฏบตงานทไดก าหนดไว

ควรจดท านโยบายส าหรบการปฏบตงานของระบบเครอขายและระบบสารสนเทศทส าคญรวมถงระบบระบบอน ๆ ทอย ในขอบเขตหรอเกยวของกบการปฏบตงาน

(ข) ผ ให บร การต องทบทวนนโยบาย หรอข นตอนการปฏบต งานอย างสม าเสมอ

ควรทบทวนนโยบายหรอขนตอนการปฏบต งานอยางสม า เ สมอ หร อ เม อม ก าร เปล ยนแปลง ใด ๆ ท ม ผล ตอการด าเนนงานขององคกร

วตถประสงคท 13: การบรหารจดการการเปลยนแปลง (change management)

เพอก าหนดวธควบคมการปฏบตงานการบรหารจดการเปลยนแปลงขององคกร ตวอยางเชน กระบวนการ ทางธรกจ อปกรณประมวลผลสารสนเทศ และทรพยสนสารสนเทศ ทส าคญตอการใหบรการซงมผลตอความมนคงปลอดภยดานสารสนเทศ เปนตน รวมถงเพอใหบคลากรทเกยวของสามารถปฏบตงานไดอยางถกตอง และลดความเสยงจากการปฏบตงานทผดพลาด

ขมธอ. 21-2562

-27-


5.13.1 ระดบพนฐาน (ก) ผ ใ ห บ ร ก า ร ต อ ง ก าหนดข น ต อน

การปฏบต งานการบรหารจดการ การเปลยนแปลงระบบสารสนเทศ ทส าคญ

ควรมขนตอนการบรหารจดการการเปลยนแปลงส าหรบระบบสารสนเทศทส าคญซงประกอบดวยประเดนส าคญดงน

– การประเมนความเส ย งและการวางแผนกอน การเปลยนแปลงระบบสารสนเทศ

– การเปลยนแปลงระบบสารสนเทศโดยผช านาญ และผานการอนมตจากผมอ านาจ

– การทดสอบระบบสารสนเทศท งกอนและหล ง การตดตง เพอตรวจสอบวามผลกระทบตอระบบอน ๆ หรอไม

– ควรจดเกบซอฟตแวรเวอรชนกอนหนาพรอมกบขนตอนรายละเอยดการก าหนดคาพาราม เตอร และซอฟตแวรสนบสนนไวใชเมอเกดสถานการณ ดานความมนคงปลอดภยหรอกรณทไมสามาถตดตงซอฟตแวรเวอรชนใหมได

(ข) ผใหบรการตองแจงใหผใชบรการทราบถ ง ก า ร เ ป ล ย น แ ป ล ง ข อ ง ร ะ บ บสารสนเทศทส าคญซงอาจสงผลกระทบตอการใหบรการ

ควรแจ ง ข า ว ส า ร เก ย วก บการ เปล ย นแปลงท ส า คญ ใหผใชบรการรบทราบเมอเกดการเปลยนแปลงกบระบบสารสนเทศ


(ก) ผ ให บร การต องก าหนดนโยบาย หรอขนตอนการปฏบตงานการบรหารจดการการเปล ยนแปลงเ พอ เป นแนวทางส าหรบปฏบตงานและมนใจไดวาการปฏบตงานเปนไปตามขนตอนการปฏบตทไดก าหนดไว

ควรก าหนดนโยบายหรอขนตอนการปฏบตงานการบรหารจดการการเปลยนแปลง ซงประกอบดวยประเดนส าคญดงน

– ระบความเรงดวนของการเปลยนแปลง เชน เรงดวนมาก เรงดวนนอย หรอปกต

– ระบวตถประสงคของการเปลยนแปลง – บนทกรายละเอยดของการด าเนนงานทเกยวของกบ

การเปลยนแปลง – การวางแผนการปฏบตงานการเปลยนแปลง – การประเมนผลกระทบทอาจเกดขน รวมถงผลกระทบ

ดานความมนคงปลอดภยของการเปลยนแปลง – การทดสอบการเปลยนแปลงท งกอน และหลง

การเปลยนแปลง – การแจงผท เกยวของกบการปฏบต งานเมอเกด

การเปลยนแปลง – การก าหนดแผนส าหรบการถอยกลบสสภาพเดมกรณ

ทการเปลยนแปลงไมส าเรจ

ขมธอ. 21-2562

-28-


(ข) ผใหบรการตองบนทกการเปลยนแปลงใ น แ ต ล ะ ข น ต อ น ต า ม ข น ต อ น การปฏบตงานทไดก าหนดไว

ควรจดท ารายงานการเปลยนแปลงทอธบายถงขนตอน ในแตละขน และผลลพธของกระบวนการเปลยนแปลง

(ค) ผ ให บร การต องทบทวนนโยบาย หรอขนตอนการปฏบตงานการบรหารจดการการเปลยนแปลงอยางสม าเสมอ

ควรทบทวนขนตอนการปฏบต งานการบรหารจดการ การเปลยนแปลงอยางสม าเสมอ หรอเมอมการเปลยนแปลงใด ๆ ตอการด าเนนงานขององคกร

วตถประสงคท 14: การบรหารจดการสนทรพย (asset management)

เพอก าหนดใหมการบรหารจดการสนทรพยและการควบคมการก าหนดคาของระบบเครอขายและระบบสารสนเทศทส าคญ รวมถงการระบทรพยสนสารสนเทศและก าหนดหนาทความรบผดชอบในการปองกนทรพยสนสารสนเทศทเหมาะสม


5.14.1 ระดบพนฐาน (ก) ผใหบรการตองก าหนดคาความมนคง

ปลอดภยพนฐาน (secure baseline configurations) ของระบบสารสนเทศและส วนประกอบต าง ๆ ท ม การพฒนาขน

1. ควรจดท าเอกสารก าหนดคาความมนคงปลอดภยพนฐานของระบบเครอขายและระบบสารสนเทศ ทมคณสมบตอยางนอยดงน – ขดความสามารถส าคญในการด าเนนงาน – ขอจ ากดการใชงาน – ก าหนดคาความมนคงปลอดภยเรมตน – พอรต โพรโทคอล และ/หรอบรการทไดรบการ

อนญาต 2. ควรทบทวนการก าหนดคาความมนคงปลอดภยพนฐาน

ของระบบเครอขายและระบบสารสนเทศอยางสม าเสมอ (ข) ผใหบรการตองมการบรหารจดการ

สนทรพยทส าคญ 1. ควรรวบรวมและจดท าบญชทรพยสนสารสนเทศทส าคญ

ขององคกร รวมถงสนทรพยทส าคญ เชนบคลากร (บคลากรหลกและบคลากรทเกยวของ) เปนตน

2. ควรทบทวนบญชทรพยสนสารสนเทศ อยางสม าเสมอ 5.14.2 ระดบสง

(ก) ผ ให บร การต องก าหนดนโยบาย หรอขนตอนการปฏบตงานเกยวกบการบรหารจดการสนทรพยและการควบคมการก าหนดคาความมนคงปลอดภย

1. นโยบายหรอขนตอนการปฏบตงานส าหรบการบรหารจดการทรพยสนสารสนเทศควรประกอบดวยหวขออยางนอย ดงน – บทบาทหนาทความรบผดชอบตอทรพยสนสารสนเทศ – การก าหนดคาความมนคงปลอดภยของทรพยสน

สารสนเทศ

ขมธอ. 21-2562

-29-


– การใชงานทรพยสนสารสนเทศ ตวอยางเชน การใชงานจดหมายอเลกทรอนกส อนเทอรเนต เครองคอมพวเตอร และอปกรณพกพาอน ๆ เปนตน

2. ควรใหบคลากรทเกยวของและผใชงานภายนอกทมสทธเ ข า ถ ง ร ะบบสารสน เทศขององค ก ร ได ร บทราบ ถงขอก าหนดการใชงานทรพยสนสารสนเทศทก าหนดไว

3. ควรจดท ารายการการควบคมการก าหนดคาความมนคงปลอดภยของระบบเครอขายและระบบสารสนเทศ ทส าคญ

4. ควรระบผรบผดชอบของทรพยสนสารสนเทศแตละรายการในบญชทรพยสนสารสนเทศและความผกพนระหวางทรพยสนสารสนเทศ

5. ควรทบทวนนโยบายหรอขนตอนการปฏบตงานส าหรบก า ร บ ร ห า ร จ ด ก า ร ส น ท ร พ ย แ ล ะ ก า ร ค ว บ ค ม การก าหนดคาความมนคงปลอดภยอยางสม า เสมอ โ ด ย ค า น ง ถ ง ก า ร เ ป ล ย น แ ป ล ง ใ ด ๆ ท ม ผ ล ต อ การด าเนนงานขององคกร

6. ควรจ าแนกประเภททรพยสนสารสนเทศตามขอก าหนดทางกฎหมาย มลคา ความส าคญ และความออนไหว ตอการถกเปดเผยหรอเปลยนแปลงโดยไมไดรบอนญาต

วตถประสงคท 15: การตรวจพบและตอบสนองตอสถานการณดานความมนคงปลอดภย (security incident detection and response)

เพอก าหนดกระบวนการตรวจพบและตอบสนองตอสถานการณดานความมนคงปลอดภย รวมถง การพจารณาการตรวจพบสถานการณ การตอบสนองตอสถานการณ การบรรเทาสถานการณ การกคน และการฟนฟจากสถานการณ และน าบทเรยนทไดรบมาประยกตใช



หรอระบบสารสนเทศส าหรบตรวจพบแ ล ะต อบ ส น อ ง ต อ ส ถ า น ก า ร ณ ดานความมนคงปลอดภย

1. ควรก าหนดกระบวนการหรอม ระบบสารสน เทศ ทสามารถจดการกบสถานการณดานความมนคงปลอดภยทตรวจพบไดทนเวลาโดยบคคลทเหมาะสม

2. ควรมทะเบยนรายการสถานการณดานความมนคงปลอดภยทส าคญ และในแตละสถานการณ

3. ควรมรายละเอยดของ ผลกระทบ สาเหต การด าเนนการแกไข และบทเรยนทไดรบ

ขมธอ. 21-2562

-30-


(ข) ผ ใหบรการตองก าหนดใหบคลากร มความพรอมในการจดการสถานการณดานความมนคงปลอดภย

1. ควรสร า งคว ามตระหน ก ให แ ก บ คล าก รหล ก ถ งกระบวนการและวธการจดการและรายงานสถานการณดานความมนคงปลอดภยทเกดขน

2. ควรก าหนดหนาทความรบผดชอบใหชดเจน เพอใหมนใจไดวาการรบมอกบสถานการณทเกดขนจะเปนไปอยางรวดเรว ไดผล และมล าดบการด าเนนการทเหมาะสม


(ก) ผ ใ ห บ ร ก า ร ต อ ง ก าหนด ข น ต อน การปฏบตงานส าหรบการตรวจพบและตอบสนองตอสถานการณดานความมนคงปลอดภย

1. ควรจดท าขนตอนการปฏบตงานส าหรบการตรวจพบ และการตอบสนองตอสถานการณด านความม นคงปลอดภยทผานการอนมตจากผมอ านาจ และมรายละเอยดเก ย วก บประ เภทของสถานการณ ท อ าจ เ ก ดข น วตถประสงค บทบาทหนาทและความรบผดชอบ ค าอธบายโดยละเอยดของสถานการณดานความมนคงปลอดภย และวธการจดการสถานการณดานความมนคงปลอดภย เพอเปนขอมลส าหรบรายงานใหกบผบรหารระดบสง (CISO)

2. ควรน าเครองมอหรอขนตอนการปฏบตงานตาง ๆ มาใช ในการตรวจจ บ เช น ระบบบร หารจ ดการข อม ล และเหต การณด านความม นคงปลอดภ ย (security information and event management: SIEM) ระบบชวยเหลอการท างานดานความมนคงปลอดภย (security helpdesk) ส าหรบบคลากรและผใชบรการ การรายงานและค าแนะน าต าง ๆ จากทม computer security incident response team ( CSIRT) ท ท า ห น า ทประสานงานและจดการภยคกคามท เกดขนกบระบบสารสนเทศหรอขอบเขตเครอขายทก าหนด และเครองมอเพอตรวจจบความผดปกตอน ๆ เปนตน

3. ควรมการฝกอบรมบคลากรทเกยวของถงการตรวจพบและตอบสนองตอสถานการณดานความมนคงปลอดภยและควรบนทกประวตการฝกอบรมเปนรายบคคล

4. ควรทบทวนขนตอนการปฏบตงานส าหรบการตรวจพบและการตอบสนองตอสถานการณดานความมนคงปลอดภยอยางสม าเสมอ โดยค านงถงสถานการณ ดานความมนคงปลอดภยทผานมา และการเปลยนแปลงใด ๆ ทมผลตอการด าเนนงานขององคกร

ขมธอ. 21-2562

-31-


(ข) ผใหบรการตองก าหนดกระบวนการบนทกและน าส งสถานการณด าน ความมนคงปลอดภยไปยงผท ไดรบมอบหมายไดทนเวลา

1. สถานการณดานความมนคงปลอดภยควรตอบสนองโดยผทไดรบมอบหมาย และบคลากรขององคกรหรอบคคล ทสามทเกยวของ ซงการตอบสนองควรจะรวมถง – การรวบรวมหลกฐานโดยเรวทสดหลงจากเกดเหต – การวเคราะหขอมลพยานหลกฐานเพอความมนคง

ปลอดภยดานสารสนเทศตามทก าหนด – การสอสารถงสถานการณดานความมนคงปลอดภย

หรอรายละเอยดทเกยวของใด ๆ ตอบคคลทสาม ทจ าเปนตองร

– การจดการกบจดออนดานความมนคงปลอดภย ข อ ง ข อ ม ล ท พ บ ว า ก อ ใ ห เ ก ด ห ร อ ม ส ว น ร ว ม ในสถานการณดานความมนคงปลอดภย

– การบนทกรายละเอยดของการด าเนนการตาง ๆ เมอมการจดการกบสถานการณดานความมนคงปลอดภ ย ต ง แต ต นจนจบ เ พอการว เ คราะห ในภายหลง

– การรายงานใหกบผบรหารระดบสงเมอมความจ าเปน 2. ควรตรวจสอบและวเคราะหสถานการณดานความมนคง

ปลอดภยท ส าคญและเตรยมรายงานสถานการณ ทประกอบดวย การด าเนนการ ค าแนะน าเพอบรรเทา เพอเปนการลดเวลาในการตอบสนองตอสถานการณประเภทเดยวกนทจะเกดขนในอนาคต

วตถประสงคท 16: การรายงานสถานการณดานความมนคงปลอดภย (security incident reporting)

เพอก าหนดขนตอนการสอสารและการรายงานเกยวกบสถานการณดานความมนคงปลอดภย และวธการแกไขอยางเหมาะสม


5.16.1 ระดบพนฐาน (ก) ผใหบรการตองสอสารและรายงาน

สถานการณดานความมนคงปลอดภย ทก าล งเกดขนหรอทผ านมาให กบบคคลทสาม ผใชบรการ หรอหนวยงานภาครฐเมอมความจ าเปน

1. คว ร จ ดท า บ ญช ร า ยช อ แล ะช อ ง ท า ง ก า ร ต ด ต อ ของหนวยงานก ากบดแลหรอหนวยงานท เกยวของส าหรบการรายงานสถานการณดานความมนคงปลอดภย เชน ศนยเตอนภยพบตและทมงานภยพบต บคคลทสาม และผใชบรการ เปนตน

2. ควรรวบรวมหลกฐานของการสอสาร และการรายงานสถานการณดานความมนคงปลอดภยทผานมา

ขมธอ. 21-2562

-32-



(ก) ผ ให บร การต อ งก าหนดนโยบาย หรอขนตอนการปฏบตงานส าหรบการส อสารและรายงานสถานการณ ดานความมนคงปลอดภย

1. ควรก าหนดใหมผรบผดชอบในการรบแจงสถานการณดานความมนคงปลอดภยทเกดขน รวมทงขอมลส าหรบตดตอผรบแจงเหต ซงขอมลส าหรบการตดตอควรเปน ททราบกนเปนอยางดภายในองคกร

2. รายงานสถานการณดานความมนคงปลอดภย ควรมรายละเอยดทอธบายถงเหตผลในการสอสารหรอรายงาน (เหตผลทางธรกจ เหตผลทางกฎหมาย ฯลฯ) ประเภทของสถานการณดานความมนคงปลอดภยในขอบขาย เนอหาทจ าเปนในการตดตอสอสาร ชองทางทจ าเปน ในการแจ ง เตอนหรอรายงาน และบทบาทหนาทรบผดชอบ เพอใชในการสอสารและรายงาน

3. ผทท าหนาทในการจดการสถานการณดานความมนคงปลอดภยควรมความร และทกษะทด ในการรบมอ และจดการกบสถานการณทเกดขนไดอยางเหมาะสม

4. สถานการณทควรพจารณาส าหรบการรายงาน มดงน – การควบคมความมนคงปลอดภยทไมไดผล – การละเมดความถกตองครบถวนของขอมลลบ

หรอความพรอมใชงาน – ขอผดพลาดของบคลากร – การไมปฏบตตามนโยบายหรอหลกเกณฑ – การละเมดขอตกลงดานความมนคงทางกายภาพ – การเปลยนแปลงระบบสารสนเทศท ไมสามารถ

ควบคมได – ความผดปกตของซอฟตแวรหรอฮารดแวร – การละเมดการเขาถง

5. ขนตอนการปฏบตงานส าหรบการรายงานสถานการณ ดานความมนคงปลอดภยควรประกอบดวย – แบบฟอร ม ส า ห ร บ ก า ร ร า ย ง าน สถ าน ก า ร ณ

ดานความมนคงปลอดภย – การด าเนนงานเมอเกดสถานการณดานความมนคง

ปลอดภย เชน ก าหนดใหมการสงเกตรายละเอยด ทส าคญทงหมดของเหตการณทพบ และรายงานไปยงชองทางตดตอรบแจงเหต เปนตน

– กระบวนการตอบสนองตอสถานการณดานความมนคงปลอดภยตงแตรบแจงเหตจนจบการแกไข

ขมธอ. 21-2562

-33-


– กระบวนการทางวนยส าหรบพนกงานทกระท าการละเมดความมนคงปลอดภยขององคกร

6. ควรทบทวนนโยบายและข นตอนการปฏบ ต ง าน การสอสาร และการรายงานสถานการณดานความมนคงปลอดภยอยางสม าเสมอ หรอเมอมการเปลยนแปลงใด ๆ ทมผลตอการด าเนนงานขององคกร

วตถประสงคท 17: การด าเนนธรกจอยางตอเนอง (business continuity)

เพอก าหนดแผนความตอเนองทางธรกจส าหรบรองรบการหยดชะงกของกระบวนการทางธรกจทส าคญอนเปนผลมาจากการลมเหลวหรอภยพบตทเกดขนเพอใหการบรการด าเนนงานไดอยางตอเนอง


5.17.1 ระดบพนฐาน (ก) ผ ให บร การต อ งจ ดท า แผนความ

ต อ เน อ งทางธ รก จ ส าหร บระบบสารสนเทศทส าคญ

1. ควรจดท าแผนความตอเนองทางธรกจส าหรบระบบสารสนเทศทใหบรการเพอรองรบภยคกคามตาง ๆ เชน อคคภย อทกภย แผนดนไหว การชมนมทางการเมอง การโจมตทางไซเบอร เปนตน แผนความตอเนอง ทางธรกจ ควรประกอบดวยประเดนส าคญ ดงน – บทบาทหนาทความรบผดชอบ – กระบวนการประกาศใชแผน – รายละเอยดการจดการจากเหตการณดานความมนคง

ปลอดภยทเกดขน – ขนตอนการกคนกจกรรมทมการจดล าดบความส าคญ

ตามระยะเวลาทก าหนดไว – รายละเอยดเกยวกบการตอบสนองตอเหตกรณ เชน

วธการสอสาร วธการแจงผใชบรการ ผแจง เปนตน – กระบวนการกลบสภาวะปกตหลงจากเหตการณ

สนสด 2. แผนความตอเน องทางธ รกจ ควรได รบการอน มต

จากผบรหารหรอผมอ านาจทเกยวของ 3. ผใหบรการควรตรวจสอบวา

– มการบรหารจดการท เพยงพอ เพอเตรยมพรอมส าหรบการบรรเทาและตอบสนองตอสถานการณ ด านความม นคงปลอดภย โดยใชบ คลากรท มประสบการณ และความสามารถทเกยวของ

ขมธอ. 21-2562

-34-


– ม บ คล ากรตอบสนองต อ เหต ก า รณท ม ห น า ทรบผดชอบและความสามารถในการจดการเหตการณทเกดขน

(ข) ผ ใหบรการตองทดสอบแผนความตอเนองทางธรกจ และปรบปรงอยางสม าเสมอ

1. ควรตรวจสอบ ทบทวน และประเมนแผนความตอเนองทางธรกจทไดเตรยมไวตามระยะเวลาทก าหนดไว เพอใหมนใจวาแผนนนยงถกตองและไดผลเมอมเหตฉกเฉนเกดขน

2. ควรจดท าแผนการทดสอบเพอทดสอบหรอซกซอมความพรอมในการกคนกระบวนการทางธรกจทส าคญ แผนการทดสอบควรระบถงวตถประสงคและเปาหมายในการทดสอบ ก าหนดการในการทดสอบ สถานการณทจะใช ในการทดสอบ เปนตน

3. ควรพจารณาเลอกรปแบบในการทดสอบหรอซกซอม ใหสอดคลองกบสถานการณ รวมถงพจารณาความเพยงพอของทรพยากรทมอย เชน การฝกซอมแผนบนโตะ (table top exercise) การทดสอบแบบจ าลองสถานการณ หรอการทดสอบแบบเตมรปแบบซ งจะด าเนนการใกลเคยงกบสถานการณจรงกบองคประกอบทงหมดของแผนความตอเนองทางธรกจ เปนตน

4. ควรบนทกผลการทดสอบ เ พอใช ในการประเมน และปรบปรงแผนความตอเนองทางธรกจใหดยงขน

(ค) ผ ใ ห บ ร ก า ร ต อ ง ต ด ต า ม ผ ล เ ม อประกาศใช แผนและด า เน น ก าร ตามแผนความตอเน องทางธ รก จ รวมถงการบนทกระยะเวลาการกคน ทด าเนนการส าเรจและไมส าเรจ

1. ควรมกระบวนการตดสนใจส าหรบการประกาศใชแผนความตอเนองทางธรกจ

2. ควรบนทกการประกาศใชแผนและการด าเนนการ ตามแผนความตอเนองทางธรกจ รวมทงการด าเนนการตามขนตอนการกคนและเวลาสนสดของการกคน การใหบรการ


(ก) ผ ใหบรการตองทบทวนแผนความตอเนองทางธรกจอยางสม าเสมอ

ควรทบทวนแผนความตอเนองทางธรกจอยางสม าเสมอ โดยค านงถงขอคดเหน ผลการทดสอบและการเปลยนแปลงใด ๆ ทมผลตอการด าเนนงานขององคกร

(ข) ผใหบรการตองสรางความตระหนกใหแกบคลากรท เกยวของทราบถงบทบาทหนาทและความรบผดชอบเกยวกบแผนความตอเนองทางธรกจ

ควรสรางความตระหนกหรอจดฝกอบรมเกยวกบบทบาทหนาทและความรบผดชอบตามแผนความตอเนองทางธรกจใหกบบคลากรทเกยวของ

ขมธอ. 21-2562

-35-

วตถประสงคท 18: การกคนเมอเกดภยพบต (disaster recovery capabilities)

เพอก าหนดความสามารถในการกคนระบบสารสนเทศเมอเกดภยพบตส าหรบการใหบรการ ในกรณเกดเหตการณความเสยหายขน


5.18.1 ระดบพนฐาน (ก) ผ ให บร การต อ งก าหนดนโยบาย

หรอขนตอนการปฏบตงานส าหรบ การกคนระบบสารสนเทศเมอเกดภยพบต

1. นโยบายหรอขนตอนการปฎบตงานส าหรบการกคนระบบสารสนเทศเมอเกดภยพบต ควรประกอบดวยรายละเอยดของภยพบตทส าคญทอาจสงผลกระทบตอการใหบรการ กระบวนการทางธรกจทส าคญ รายชอผทเกยวของในการกคน (ทงทมอยภายในหรอใชบรการจากผใหบรการภายนอก) บทบาทหนาทความรบผดชอบ และระยะเวลาเปาหมายในการกคน

2. ควรมกระบวนการในการจดการกบภยพบต ตวอยางเชน มสถานทตงส าหรบระบบสารสนเทศส ารองซงท าหนาทแทนในกรณทระบบสารสนเทศหลกหยดท างาน มการส ารองขอมลส าคญไปยงสถานท อนทมความมนคงปลอดภย หรอมศนยส ารองขอมลและกคนส าหรบบรการระบบคลาวด เปนตน

3. ระบบสารสนเทศและโครงสรางพนฐานของศนยขอมล ทใหบรการ ควรออกแบบมาเพอความพรอมใชงาน โดยสามารถท างานทดแทนซงกนและกนไดอยางมประสทธภาพ ตวอยางเชน อปกรณใดอปกรณหนงไมสามารถใชงานได เปนตน โดยขอมลควรถกถายโอน ไปจดเกบแบบทนท หรอระบบสารสนเทศส ารองอน ๆ ทดกวา

(ข) ผ ใหบรการตองจดท าและทดสอบแผนกา รก ค น ร ะบบ ส า รสน เทศ ต า ม น โ ย บ า ย ห ร อ ข น ต อ น ก า รปฏบตงานอยางสม าเสมอ

1. ควรจดท าแผนการกคนระบบสารสนเทศและก าหนดระยะเวลาการตรวจสอบ ทบทวน และประเมนแผนการกคนระบบสารสนเทศทไดเตรยมไว เพอใหมนใจวาแผนนนยงถกตองและไดผลเมอมเหตฉกเฉนเกดขน

2. ควรจดท าแผนการทดสอบเพอทดสอบหรอซกซอมความพรอมในการกคนระบบสารสนเทศ แผนการทดสอบ ควรระบถงวตถประสงคและเปาหมายในการทดสอบ ก าหนดการในการทดสอบ สถานการณทจะใชในการทดสอบ เปนตน

3. ควรพจารณาเลอกรปแบบในการทดสอบ ตามขอ 5.17.1 (ข)

ขมธอ. 21-2562

-36-


4. ควรก าหนดใหมการบนทกผลการทดสอบ เพอเอาไวใช ในการประเมนและปรบปรงแผนใหดยงขน


(ก) ผใหบรการตองทบทวนแผนการกคนระบบสารสนเทศอยางสม าเสมอ

ควรทบทวนแผนการกคนระบบสารสนเทศอยางสม าเสมอ โดยค านงถงขอคดเหน ผลการทดสอบ และการเปลยนแปลงใด ๆ ทมผลตอการด าเนนงานขององคกร

(ข) ผใหบรการตองสรางความตระหนกให แก บ คลากรท เ ก ย วข อ งทราบ ถงบทบาทหนาทและความรบผดชอบเกยวกบแผนการกคนระบบสารสนเทศ

ควรสรางความตระหนกหรอจดฝกอบรมเกยวกบบทบาทหนาทและความรบผดชอบตามแผนการกคนระบบสารสนเทศใหกบบคลากรทเกยวของ

วตถประสงคท 19: การเฝาตดตามและการบนทกเหตการณ (monitoring and logging)

เพอก าหนดขนตอนการเฝาตดตามและการบนทกเหตการณของการใหบรการ ส าหรบตรวจสอบปญหา หรอสถานการณดานความมนคงปลอดภยทอาจเกดขน


5.19.1 ระดบพนฐาน (ก) ผใหบรการตองเฝาตดตามและบนทก

เ ห ต ก า ร ณ ข อ ง ร ะบ บ เ ค ร อ ข า ย และระบบสารสนเทศทส าคญ

1. ควรบนทกเหตการณแสดงการเขาถงหรอทเกยวของ กบระบบเครอขายและระบบสารสนเทศทใหบรการ ดงน – ชอบญชผใชงาน – กจกรรมการใชงานระบบสารสนเทศ – วนท และเวลาและรายละเ อยดของเหต การณ

(เชน การ log-on, log-off ผดพลาด) – ขอมลประจ าตวของอปกรณหรอต าแหนง – การเขาถงระบบสารสนเทศทส าเรจและไมส าเรจ – ขอมลความพยายามในการเขาถงทรพยากรของระบบ

สารสนเทศทงทส าเรจและไมส าเรจ เชน การเขาถ งไฟลตาง ๆ ในระบบ

– การเปลยนแปลงการก าหนดคาของระบบสารสนเทศ – การใชสทธพเศษ – การเขาถงระบบสารสนเทศทส าเรจและไมส าเรจ – การเขาถงไฟลและชนดของการเขาถง – การแจงเตอนของระบบสารสนเทศ – ทอยเครอขายและโพรโทคอล เปนตน

ขมธอ. 21-2562

-37-


2. ควรก าหนดใหผดแลระบบไมสามารถลบหรอยกเลกขอมลบนทกเหตการณทแสดงถงกจกรรมทเกยวของ กบตนเอง

3. ควรก าหนดใหมการตดตามตรวจสอบการแจงเตอน หรอการลมเหลวในการท างานของระบบสารสนเทศ ซงสามารถตรวจสอบไดจากขอมลบนทกเหตการณ เชน – การแจงเตอนจากคอนโซล (console) ของผดแล

ระบบ – การแจงเตอนเมอระบบท างานผดปกต เชน ฮารดดสก

เตม เปนตน – การแจงเตอนจากโปรแกรมบรหารจดการเครอขาย – การแจงเตอนจากระบบควบคมการเขาถง – การแจงเตอนจากระบบปองกนการบกรก – การแจงเตอนการท างานของระบบเกดการลมเหลว

หรอหยดชะงก (ข) ผใหบรการตองเฝาตดตามและบนทก

เหตการณการใชงานของผใชบรการอยางสม าเสมอ

1. ควรบนทกเหตการณท เกยวของกบขอมลผใชบรการ ตวอยางเชน รหสผใชงาน กจกรรมของผใช วนทและเวลาของเหตการณ การเขาถงระบบสารสนเทศทส าเรจและไมส า เ ร จ ก า ร เ ข า ถ ง ไฟล แล ะชน ดขอ งก าร เ ข า ถ ง การเปลยนแปลงการก าหนดคาของระบบสารสนเทศ การบกรก ทอยเครอขายและโพรโทคอล เปนตน

2. คว ร ร าย ง าน กา รบ นท ก เหต ก า รณ แ ละ ร าย ง าน การเฝาตดตามขอมลทเกยวของใหกบผใชบรการเมอมเหตจ าเปนหรอเหตสงสย

3. ควรปองกนการเปลยนแปลงขอมลบนทกเหตการณ ทงหมดและบนทกการด าเนนงานทไมไดรบอนญาต ตวอยางเชน การปรบเปลยนประเภทของขอความ ทบนทกไว ขอมลการบนทกเหตการณถกแกไข หรอลบ เปนตน

(ค) ผ ใหบรการตองต งค า เวลาใหตรง และถกตองเทยบกบแหลงอางองทนาเชอถอ

ระบบเวลาของระบบสารสนเทศตางๆ ทเกยวของกบอปกรณประมวลผลขอมลภายในองคกร ควรไดรบการตงคาเวลา จากแหลงเวลาทนาเชอถอ


(ก) ผ ให บร การต อ งก าหนดนโยบาย หรอขนตอนการปฏบตงานเกยวกบ

1. นโยบายหรอขนตอนการปฏบตงานส าหรบการเฝาตดตามและการบนทกเหตการณควรรวมถงความตองการ

ขมธอ. 21-2562

-38-


การ เฝ า ต ดตาม และการบ นท กเ ห ต ก า ร ณ ข อ ง ร ะบ บ เ ค ร อ ข า ย และระบบสารสนเทศทส าคญ

ขนต า ในการเฝาตดตามและการบนทกเหตการณ ระยะเวลาเกบรกษา และวตถประสงคโดยรวมของการจดเกบขอมลการเฝาตดตามและการบนทก

2. ควรบนทกเหตการณทเกดขนเพอรองรบการตรวจสอบ ทประกอบดวยประเดนส าคญ ดงน – วนทและเวลาของเหตการณ – ระบบสารสนเทศทเกดเหตการณขน – ประเภทของเหตการณ – ขอมลผใชงาน – ผลลพธของเหตการณ

3. ควรทบทวนนโยบายหรอขนตอนการปฏบตงานเกยวกบการเฝาตดตามและการบนทกเหตการณอยางสม าเสมอ โดยค านงถงขอคดเหน การเปลยนแปลง และสถานการณดานความมนคงปลอดภยทเกดขน

(ข) ผใหบรการตองน าเครองมอส าหรบใชใ น ก า ร เ ฝ า ต ด ต า ม ( monitoring systems) และรวบรวมขอมลการบนทกเหตการณ (collecting logs) ของระบบสารสนเทศและข อม ลผใชบรการทใหบรการ

1. ควรน าเครองมอส าหรบระบบการเฝาตดตามและรวบรวมข อ ม ล ก า ร บ น ท ก เ ห ต ก า ร ณ ม า ช ว ย ส น บ ส น น การปฏบตงานขององคกร

2. ควรแสดงรายการขอมลการเฝาตดตาม และขอมล การบนทกเหตการณไดตามนโยบายทก าหนดไว

3. ควรทบทวนขอมลบนทกเหตการณประเภทตาง ๆ ทกลาวถงในหวขอน โดยก าหนดระยะเวลาการทบทวนตามระดบความเสยงหรอระดบความส าคญของระบบสารสนเทศทมตอองคกร

วตถประสงคท 20: การทดสอบระบบ (system test)

เพอก าหนดขนตอนการทดสอบระบบเครอขายและระบบสารสนเทศทสนบสนนการใหบรการอยางเหมาะสม


5.20.1 ระดบพนฐาน (ก) ผใหบรการตองทดสอบระบบเครอขาย

และระบบสารสนเทศกอนน าไปใชงานหรอเชอมตอกบระบบสารสนเทศทมการใชงานอย

1. ควรทดสอบระบบเครอขายและระบบสารสนเทศ เมอมการเปลยนแปลงทส าคญหรอมระบบสารสนเทศใหม

2. ควรจดท ารายงานผลการทดสอบของระบบเครอขาย และระบบสารสนเทศ เพอเปนหลกฐานในการตรวจสอบและความถกตองของระบบสารสนเทศ

ขมธอ. 21-2562

-39-


3. ระบบสารสนเทศใหมและระบบสารสนเทศทมการปรบปรงใหมควรไดรบการทดสอบและการตรวจสอบอยางละเอยดในระหวางกระบวนการพฒนา

(ข) ผใหบรการตองมกระบวนการ ตดตง หรอการถอนการตดต ง โปรแกรมส าหรบแกไขขอบกพรอง (patch)

1. ควรตรวจสอบและปรบปรง patch ใหเปนเวอรชนลาสดอยางสม าเสมอ

2. ควรไดรบการทดสอบและประเมน patch กอนตดตงเพอใหมนใจวามประสทธภาพและยอมรบได

3. ควรไดรบความเหนชอบหรอการอนมตจากผมอ านาจกอนด าเนนการตดตงหรอถอนการตดตง patch ทกครง


(ก) ผ ให บร การต อ งก าหนดนโยบาย หรอขนตอนการปฏบตงานส าหรบการทดสอบระบบเครอขายและระบบสารสนเทศ

1. ควรจดท านโยบายหรอขนตอนการปฏบตงานส าหรบการทดสอบระบบเครอขายและระบบสารสนเทศ และเมอมการทดสอบควรจดท าแผนการทดสอบ กรณทดสอบ (test cases) และรายงานผลการทดสอบ

2. เอกสารกจกรรมการทดสอบ ควรประกอบดวยหวขออยางนอย ดงน – วตถประสงค บทบาทและความรบผดชอบ – ขอบขายของแผนการทดสอบ – รายละเอยดของผลการทดสอบทเปนไปตามแผน – ความถในการทดสอบ

3. ควรทบทวนนโยบายหรอขนตอนการปฏบตงานเกยวกบการทดสอบระบบเครอขายและระบบสารสนเทศอยางสม าเสมอ โดยค านงถงสถานการณดานความมนคงปลอดภย และการเปลยนแปลงใด ๆ ทมผลตอการด าเนนงานขององคกร

4. อาจน าเครองมอในการทดสอบอตโนมตมาใชในการทดสอบเพอชวยลดความผดพลาด ตวอยางเชน เครองมอทดสอบฟงกชนการท างานของระบบและทดสอบสมรรถนะการท างานของระบบ เปนตน

วตถประสงคท 21: การประเมนการรกษาความมนคงปลอดภย (security assessments)

เพอก าหนดใหมการประเมนดานความมนคงปลอดภยของทรพยสนสารสนเทศทส าคญอยางเหมาะสม

ขมธอ. 21-2562

-40-


5.21.1 ระดบพนฐาน (ก) ผใหบรการตองไดรบการตรวจสอบ

ความมนคงปลอดภย (security scan) และทดสอบความมนคงปลอดภย (security testing) ระบบสารสนเทศ ท ม ค ว ามส า ค ญอย า ง สม า เ ส ม อ โ ดย เ ฉพาะอย า ง ย ง เ ม อ ม ร ะบบสารสนเทศใหม หรอมการเปลยนแปลงเกดขน

1. ควรก าหนดกระบวนการบรหารจดการชองโหวของระบบสารสนเทศขององคกร รวมทงก าหนดผมหนาทรบผดชอบในการด าเนนการ

2. ควรรายงานผลการตรวจสอบความมนคงปลอดภย และทดสอบความมนคงปลอดภยรวมถงผลลพธการแกไขเพอปดชองโหวทพบ

3. ควรจดท ารายงานการตรวจสอบความมนคงปลอดภย

(ข) ผใหบรการตองมการตดตาม ตรวจสอบ และประเมนผลชองโหวทตรวจพบ

1. ควรระบระยะเวลาท จะด า เนนการแก ไขชองโหว เมอไดรบแจงหรอทราบชองโหวนน

2. ขอมลเกยวกบชองโหวของระบบสารสนเทศ ควรไดรบการตดตาม การตรวจสอบ การประเมนผลและระบวธการควบคมเพอจดการความเสยงทเกยวของ

3. ควรมวธการแกไขโดยเรวส าหรบชองโหวทมระดบความส าคญสงหรอหาแนวทางท เหมาะสมเ พอลด ความเสยงทพบนน ส าหรบกรณทยงไมมโปรแกรมแกไขชองโหว ควรมการควบคมอน ๆ เชน – ท าการปดบรการหรอปดฟงกชนทมชองโหวนนไว

ชวคราว – ด าเนนการปรบหรอเพมการควบคมการเขาถงระบบ

สารสนเทศทมชองโหวนน – เพมการตรวจสอบเพอตรวจหาการโจมตทเกดขน – เพมความตระหนกถงภยคกคามจากชองโหวนน

4. ควรเฝาตดตามและประเมนระบบสารสนเทศหลงจาก ทไดด าเนนการแกไขชองโหว เพอดวาระบบท างานสมบรณตามปกตหรอไม


(ก) ผ ให บร การต อ งก าหนดนโยบาย หรอขนตอนการปฏบตงานส าหรบการประเมนและการทดสอบดานความมนคงปลอดภย

1. นโยบายหรอขนตอนการปฏบตงานส าหรบการประเมนและการทดสอบดานความมนคงปลอดภย ควรมรายละเอยดของทรพยสนสารสนเทศทส าคญ ประเภทของการประเมนและทดสอบดานความมนคงปลอดภย บทบาทหนาทและความรบผดชอบทเกยวกบการจดการชองโหว การประเมนความเสยงของชองโหว ความถ ในการประเมนและทดสอบ หนวยงานในการอนมต (ภายในหรอภายนอก) ระดบการรกษาความลบส าหรบ

ขมธอ. 21-2562

-41-


การประเมนและผลการทดสอบ และวตถประสงค การประเมนและการทดสอบดานความมนคงปลอดภย

2. ควรทบทวนนโยบายหรอขนตอนการปฏบตงานส าหรบการประเมนและการทดสอบดานความมนคงปลอดภยอยางสม าเสมอ โดยค านงถงการขอคดเหนและการเปลยนแปลงใด ๆ ทมผลตอการด าเนนงานขององคกร

(ข) ผใหบรการตองก าหนดผประสานงาน และชองทางการตดตอสอสารส าหรบปญหาดานความมนคงปลอดภยของผทเกยวของ

ควรจดท าบญชรายชอและชองทางในการตดตอบคคลทสามหรอผเกยวของกบความมนคงปลอดภยขององคกร เชน ผผลต (manufacturers) หรอผจ าหนาย (vendors) เปนตน

วตถประสงคท 22: การปฏบตตามขอก าหนด (compliance)

เพอก าหนดใหมการตดตามและตรวจสอบการปฏบตงานทสอดคลองกบนโยบายหรอแนวปฏบตภายในรวมถงขอก าหนดทางกฎหมายและมาตรฐานสากล เพอเปนการหลกเลยงการละเมดกฎหมาย ระเบยบขอบงคบ หรอขอผกพนตามสญญาทเกยวกบความมนคงปลอดภย


5.22.1 ระดบพนฐาน (ก) ผใหบรการตองปฏบตตามมาตรฐาน

ร ะ เ บ ย บ ข อ บ ง ค บ ข อ ก า ห น ด ทางกฎหมายทเกยวของ

1. ควรระบกฎหมาย ระเบยบ ขอบ งคบ ขอก าหนด ตามขอตกลง และขอก าหนดอน ๆ ทตองปฏบตตาม

2. ควรตดตามและทบทวนขอมลทเกยวของกบกฎหมาย ร ะ เ บ ย บ ข อ บ ง ค บ ข อ ก า ห น ด ต า ม ข อ ต ก ล ง และขอก าหนดอน ๆ ทควรปฏบตตามอยางสม าเสมอ

3. ควรจดท ารายงานทอธบายถงผลการตรวจตดตาม การปฏบตตามขอก าหนดทเกยวของ

4. ควรมกระบวนการทสอดคลองกบกฎหมาย ระเบยบขอบงคบ และขอผกพนตามขอตกลงทเกยวกบสทธ ในทรพยสนทางปญญาและการใชซอฟตแวรทมลขสทธ

5. การคมครองขอมลสวนบคคลควรสอดคลองกบกฎหมายและขอก าหนดตามขอตกลงตาง ๆ ของหนวยงาน


(ก) ผ ให บร การต องก าหนดนโยบาย หรอขนตอนการปฏบตงานส าหรบการตดตามและตรวจสอบการปฏบต ตามขอก าหนด

1. ควรจดท านโยบายหรอขนตอนการปฏบตงานส าหรบ การตดตามและตรวจสอบการปฏบตตามขอก าหนด ทเกยวของกบการด าเนนงานดานทรพยสนสารสนเทศ กระบวนการและโครงสรางพนฐาน ซงประกอบดวยการก าหนดระยะเวลาในการตรวจสอบ แนวทางการตรวจสอบ

ขมธอ. 21-2562

-42-


(ภายในหรอภายนอก) นโยบายความมนคงปลอดภย ดานสารสนเทศทอยภายใตการตรวจสอบตามวตถประสงค วธการตรวจสอบตามขอก าหนด และรปแบบรายงาน การตรวจสอบ เปนตน

2. ควรจดท าแผนการตรวจสอบอยางละเอยด รวมถงวตถประสงคและการวางแผนในระยะยาว

(ข) ผ ใหบรการตองท าการตรวจสอบ การปฏบตตามขอก าหนดใหเปนไป ตามนโยบายหรอขนตอนการปฏบตงาน และแผนการตรวจสอบทก าหนดไว

1. ควรเลอกผตรวจสอบและด าเนนการตรวจสอบซงเปนไปตามขอเทจจรง และมความเปนกลางของกระบวนการตรวจสอบ

2. ควรวเคราะหสาเหต เมอมความไมสอดคลองเกดขน และวางแผนการด าเนนการแกไข รวมถงทบทวนประส ทธ ผ ลของการด า เ น นการแก ไ ข ให เ ป น ไป ตามนโยบายหรอขนตอนการปฏบตงาน และขอก าหนด ทเกยวของ

3. ควรจดท ารายงานและน าเสนอผลการตรวจสอบใหกบผบรหารหรอผทเกยวของรบทราบ

วตถประสงคท 23: การรกษาความมนคงปลอดภยของขอมลทจดเกบ (security of data at rest)

เพอก าหนดวธการรกษาความมนคงปลอดภยของขอมลทถกจดเกบอยางมประสทธผลและเหมาะสม เพอปองกนความลบ การพสจนตวตนและความถกตองครบถวนของขอมล เชน ขอมลองคกร ฐานขอมล และขอมล ทจดเกบอยในสอบนทกขอมลประเภทตาง ๆ เปนตน


5.23.1 ระดบพนฐาน (ก) ผใหบรการตองระบขอมลทส าคญทอย

ในความรบผดชอบขององคกร โดยตองค าน งถ งความต องการทางธ รก จ ทเกยวของและภาระผกพนทางกฎหมาย

ควรมวธการควบคมการเขาถงขอมล การใชงานรวมกน การคดลอก การสงและการแจกจาย ส าหรบขอมลทส าคญและขอมลลบ

(ข) ผใหบรการตองเกบรกษาขอมลทส าคญไวตามระยะเวลาทก าหนด โดยขนอยกบชนดของขอมลและความส าคญ ของขอมล

1. ควรเกบรกษาขอมลทส าคญไวชวงระยะเวลาหน ง ใหสอดคลองกบกฎหมายหรอขอตกลงทก าหนด เพอเปนหลกฐานทางกฎหมายและการด าเนนการใหบรการ

2. ควรมวธการเกบรกษาขอมลทมความมนคงปลอดภยเพอใหมนใจวาสามารถเขาถงขอมลไดตลอดระยะเวลาเกบรกษา

(ค) ผใหบรการตองมกลไกการเขารหสลบ (cryptographic) เพอปกปองขอมลลบ

1. ควรบนทกเหตการณและตรวจสอบกจกรรมทเกยวกบการรบหรอสงขอมลทงภายในและภายนอกองคกร

ขมธอ. 21-2562

-43-


และความถกตองครบถวนของขอมล ทจดเกบอยในสอบนทกขอมลระหวางการสงออกนอกพนททมการควบคม และในการรบหรอสงขอมลภายใน และระหวางองคกร

2. ควรก าหนดใหมการใชเทคนคการเขารหสลบ ทสอดคลองกบกฎหมายและข อก าหนดตามข อตกลงต า ง ๆ ขององคกร เพอปองกนขอมลทส าคญและขอมลลบ

3. ควรมแนวทางการบรหารจดการกญแจเขารหสลบ (cryptographic key) เ พอรองรบการใชงานเทคนค ทเกยวของกบการเขารหสลบขององคกร ตวอยางเชน ก าหนดบทบาทและหนาท การจดเกบ การเปลยนเปลง การยกเลกการใชงาน การบนทกและตรวจสอบกจกรรมการจดการทส าคญ เปนตน

(ง) ผ ใหบรการตองมกลไกการปองกน การแกไขเปลยนแปลงขอมลส าคญ ทถกจดเกบ โดยไมไดรบอนญาต

ควรปองกนการแกไขเปลยนแปลงขอมลส าคญทจดเกบ ตวอยางเชน การลงลายมอชออเลกทรอนกส และการใชฟงกชนแฮช (hash function) เปนตน เพอใชตรวจสอบความถกตองครบถวนของขอมล

(จ) ผ ใหบรการตองมกลไกการท าลายข อม ลด วยว ธ การท ม ความม นคงปลอดภยไปปฏบตหลงจากใชขอมลถกตองตามกฎหมาย

1. ควรมหลกฐานการตรวจสอบอปกรณหรอสอบนทกขอมล เพอตรวจสอบวาขอมลถกน าออกหรอถกแทนทอยางปลอดภยกอนท าลายขอมล

2. ควรมวธการท าลายขอมลทไมไดใชงานดวยวธการท มความมนคงปลอดภย เชน การลบดวยโปรแกรมประยกตและมผรบผดชอบในการท าหนาทควบคมการท าลายสอบนทกขอมล เปนตน


(ก) ผใหบรการตองจ าแนกประเภทขอมลสารสนเทศใหสอดคลองกบหลกเกณฑการจ าแนกประเภททค านงถงมลคาของขอมล ขอก าหนดทางกฎหมาย ระดบชนความลบ และความส าคญ ตอองคกร

ควรมกระบวนการส าหรบการจ าแนกประเภทขอมลสารสนเทศ เพอใชจดการกบขอมลสารสนเทศขององคกรใหมการรกษาความลบ ความถกตองครบถวน และความพรอมใชงาน (ต วอย า งการจ าแนกประเภทขอมล สารสนเทศ ตามระดบชนความลบ ไดแก ขอมลเผยแพร ขอมลใชภายใน ขอมลลบ ขอมลลบมาก)

(ข) ผใหบรการตองไมใชสอบนทกขอมล ทเคลอนยายได (removable media) ยกเวนกรณทจ าเปน ตองไดรบอนญาตจากผบรหารกอนใชงาน

1. ควรก าหนดขนตอนการปฏบตงานส าหรบการบรหารจดการสอบนทกขอมลทสามารถเคลอนยายได ทควรประกอบดวยรายละเอยดของการลบหรอท าลายขอมล การจดเกบ การน าสอบนทกขอมลส าคญออกนอกองคกร การสงสอบนทกขอมลไปยงอกสถานทหนง การปองกนการเสอมอาย การขออนญาตใชงาน เปนตน

2. ควรมหลกฐานในการอนญาตให ใชส อบนทกขอมล ทเคลอนยายไดจากผมอ านาจ หรออาจก าหนดแบบฟอรมในการขอใชสอบนทกขอมล

ขมธอ. 21-2562

-44-


(ค) ผ ใ ห บ ร ก า ร ต อ ง ร ก ษ า ค ว า ม ล บ และความถกตองครบถวนของขอมล ทจดเกบ และใหเปนไปตามการจ าแนกประเภทขอมลสารสนเทศทก าหนดไว

1. ควรก าหนดมาตรฐานการเขารหสลบทใชงาน เพอควบคมและปองกนการรบสงขอมลทางอเลกทรอนกส ซงการเขารหสลบจะถกบงคบใชกบสออเลกทรอนกสทมขอมลลบ

2. ควรมกลไกทสนบสนนการรกษาความลบและความถกตองครบถวนของขอมลทจดเกบ ตวอยางเชน กลไกการ เข า รห สลบ การจ ด เกบข อม ลแบบออฟไลน ทปลอดภย และการลบขอมลส าคญจากสอบนทกขอมล และอน ๆ ท เปนไปตามหลกเกณฑการจ าแนกขอมลสารสนเทศ

3. ควรมกลไกการสรางและการบรหารจดการกญแจเขารหสลบ (เฉพาะกรณทใชงานการเขารหสลบ)

(ง) ผ ให บร การต องก าหนดนโยบาย ห ร อ ข น ต อ น ก า ร ป ฏ บ ต ง า น ทครอบคลมถงการรกษาความลบ และความถกตองครบถวนของขอมล ท จ ด เก บ การ เข า รห ส ล บ ข อม ล ทจดเกบ และการเกบรกษาขอมล ทจดเกบ รวมถงใหบคลากรทเกยวของม ค ว า ม ต ร ะ ห น ก ถ ง น โ ย บ า ย หรอขนตอนการปฏบตงานดงกลาว

1. นโยบายการรกษาความลบและความถกตองครบถวน ของขอมลทจดเกบ ควรครอบคลมถงการปองกนขอมลส าคญหรอขอมลลบ โดยจดท าขอตกลงการรกษาความลบระหวางผใหบรการกบผใชบรการหรอบคคล ทสามทจ าเปนตองเขาถงขอมลของผใชบรการ ซงควรประกอบดวยประเดนส าคญ ดงน – ชวงระยะเวลาของขอตกลงการรกษาความลบ

(เชน ชวงระยะเวลาทขอตกลงนเปนผล) – สงทตองปฏบตเมอขอตกลงสนสดหรอจบลง – หนาทความรบผดชอบทตองปฏบตกบขอมลส าคญ

หรอขอมลลบ – ผเปนเจาของขอมลส าคญหรอขอมลลบ – เงอนไขการใชขอมลส าคญหรอขอมลลบ – การสงวนสทธ ในการตรวจสอบกจกรรมตาง ๆ

ทเกยวของกบขอมลส าคญหรอขอมลลบ – การด าเนนการทางกฎหมายหากมการละเมดขอตกลง

2. นโยบายหรอขนตอนการปฏบตงานส าหรบการเขารหสลบขอมลทจดเกบ ควรประกอบดวยประเดนส าคญ ดงน – หลกการท ว ไปส าหรบการปองกนขอมลโดยใช

การเขารหสลบ – มาตรฐานการเขารหสลบทใชในองคกร – การเข ารหสลบขอมลท ส งผ านส อบนทกขอมล

ทเคลอนยายไดหรอผานสายสอสาร – วธการบรหารจดการกญแจเขารหสลบ

ขมธอ. 21-2562

-45-


– บทบาทและผมหนาทรบผดชอบทเกยวของกบการเขารหสลบ

– การปฏ บ ต ต ามกฎหมาย ระ เบ ยบ ข อบ ง ค บ หรอขอก าหนดอน ๆ ทเกยวของกบการเขารหสลบ ทองคกรตองปฏบตตาม

3. ควรก าหนดระยะเวลาการเกบรกษาขอมลแตละประเภทตามระยะเวลาทกฎหมายหรอระเบยบขอบงคบทก าหนดไว

4. ควรสรางความตระหนกเกยวกบนโยบายหรอขนตอนเกยวกบการรกษาความลบและความถกตองครบถวน ของขอมลทจดเกบใหบคลากรทเกยวของเพอใหเขาใจถงหนาทของตนเอง

(จ) ผใหบรการตองก าหนดขนตอนในการปฏบตงานส าหรบการท าลายสนทรพยทางกายภาพ (physical asset) ท มความมนคงปลอดภย

1. ควรมวธการท าลายสอบนทกขอมลทมขอมลความลบ และไมไดใชงานไดรบการท าลายดวยวธการทมความมนคงปลอดภย

2. ควรมหลกฐานในการอนญาตใหมการท าลายสนทรพยจากผมอ านาจ หรออาจก าหนดแบบฟอรมในการท าลายสนทรพย

(ฉ) ผ ใ ห บ ร ก า ร ต อ งก าหนดข น ต อน การปฏบตงานส าหรบการท าปายบงชสารสนเทศใหสอดคลองกบหลกเกณฑการจ าแนกขอมลสารสนเทศ

ควร มข นตอนการปฏบต ง านส าหรบการท าป ายบ งช ทครอบคลมถงทรพยสนสารสนเทศท เกยวของท งแบบกายภาพและอเลกทรอนกส ใหสอดคลองกบหลกเกณฑ การจ าแนกประเภทขอมลสารสนเทศ

วตถประสงคท 24: การรกษาความมนคงปลอดภยของสวนเชอมตอบรการ (interface security)

เพอก าหนดนโยบายการความมนคงปลอดภยดานสารสนเทศส าหรบสวนเชอมตอบรการระหวางองคกรทใชขอมลอเลกทรอนกส


5.24.1 ระดบพนฐาน (ก) ผใหบรการตองก าหนดนโยบายความ

ม น ค งปลอดภ ย ด านสารสน เท ศ ทครอบคลมถงสวนเชอมตอบรการระหวางองคกร

นโยบายความมนคงปลอดภยดานสารสนเทศส าหรบสวนเชอมตอบรการระหวางองคกร ควรประกอบดวย ขอบขายของบรการ วตถประสงคดานความมนคงปลอดภย ทรพยสนสารสนเทศส าคญทสนบสนนการบรการ และการแลกเปลยนขอมลอเลกทรอนกส เพอควบคมการใชขอมลรวมกน และการรกษาความมนคงปลอดภยในสวนเชอมตอระบบสารสนเทศหรอระบบเครอขายของผใชบรการ

ขมธอ. 21-2562

-46-


(ข) ผ ใหบรการตองมกระบวนการรบ และสงขอมลทมความมนคงปลอดภย

1. ควรมวธการปกปองขอมลดวยการสงขอมลผานชองทาง ทเขารหสลบ เชน การใช TLS 1.2 หรอเวอรชนทสงกวา

2. ควรมวธการควบคมทางเครอขายเพอรกษาความลบ และความถกตองครบถวนของขอมลส าคญทมการรบสงผานทางเครอขายสาธารณะหรอผานเครอขายไรสาย หรอระบบสารสนเทศทมการเชอมตอกบเครอขายสาธารณะ

(ค) ผใหบรการตองระบขอมลทแตกตางกน(unique identifier) ส าหรบผใชบรการแตละราย เพอใช ในการระบตวตนผใชงาน

ควรระบตวตนส าหรบผใชบรการ ตวอยางเชน ก าหนดเลขทหรอรหสประจ าตวหรอชอผใชบรการ (ภาษาองกฤษ) หรอชออน ๆ ทระบบรองรบได และสามารถสอความหมายถงขอมลผใชบรการไดอยางชดเจน


(ก) ผ ให บร การต องก าหนดนโยบาย ความมนคงปลอดภยดานสารสนเทศส าหรบขอมล (data security) รวมถงวธการปองกนขอมลผใชบรการทมการเช อมต อ ไปย ง ร ะบบสารสน เทศ หรอระบบเครอขาย

1. นโยบายความมนคงปลอดภยดานสารสนเทศส าหรบขอมลควรประกอบด วย เง อน ไขการ ใช ทร พย ส นสารสนเทศทเกยวของ ตวอยางเชน การจดการรหสผาน การใชงานอนเทอรเนต การใชงานอเมล การจดการอปกรณพกพาขององคกรและของพนกงาน การใชงานซอฟตแวรลขสทธ รวมถงการคมครองขอมลสวนบคคล เปนตน

2. ควรก าหนดวธการปองกนขอมลผใชบรการท เชอมตอระหวางองคกรหรอบรการ ตวอยางเชน วธการเขารหสลบ หรอ วธการยนยนตวตนแบบหลายปจจย เปนตน

3. ควรสรางความตระหนกเกยวกบนโยบายความมนคงปลอดภยดานสารสนเทศส าหรบขอมล และวธการปองกนขอมลผใชบรการ ใหกบบคลากรทเกยวของเพอเขาใจถงบทบาทและหนาทความรบผดชอบของตนเองทเกยวกบ การบรการและการใชขอมลของผใชบรการ

(ข) ผ ให บร การต องทบทวนนโยบาย ความมนคงปลอดภยดานสารสนเทศส าหรบขอมลและการเชอมตอบรการ รวมถงวธการปองกนขอมลผใชบรการทมการเชอมตอไปยงระบบสารสนเทศหรอระบบเครอขาย

ควรทบทวนนโยบายความมนคงปลอดภยดานสารสนเทศส าหรบขอมลและการเชอมตอบรการ รวมถงวธการปองกนขอมลผใชบรการอยางสม าเสมอ โดยค านงถงขอคดเหน การเปลยนแปลงท เกดขน สถานการณดานความมนคงปลอดภย ขอยกเวน ผลการทดสอบ และเหตการณดานความมนคงปลอดภยทสงผลตอองคกรหรอผใชบรการ

วตถประสงคท 25: การรกษาความมนคงปลอดภยของซอฟตแวร (software security)

เพอก าหนดแนวทางทท าใหมนใจวาซอฟตแวรทใหบรการมการรกษาความมนคงปลอดภยอยางเหมาะสม

ขมธอ. 21-2562

-47-


5.25.1 ระดบพนฐาน (ก) ผใหบรการตองก าหนดแนวทางส าหรบ

การ ร กษาคว ามม น ค งปล อ ดภ ย ของซอฟตแวร

1. แนวทางการรกษาความมนคงปลอดภยส าหรบซอฟตแวรทจดหาหรอพฒนาขนมาใชงาน ควรพจารณาประเดนตอไปน – การรกษาความมนคงปลอดภยของสภาพแวดลอม

การพฒนา – ค าแนะน าเกยวกบความมนคงปลอดภยในวงจร

การพฒนาซอฟตแวร เชน การรกษาความมนคงปลอดภยในวธการพฒนาซอฟตแวร และแนวทาง การเขยนโปรแกรมอยางปลอดภย

– ขอก าหนดดานความมนคงปลอดภยในขนตอน การออกแบบ

– การเกบรกษาทมความมนคงปลอดภย – การควบคมเวอรชน – ความมนคงปลอดภยของซอฟตแวรทตองการ – คว ามส ามา รถขอ งบ ค ล าก ร ในกา รต ร ว จพบ

และแกปญหาชองโหวดานความมนคงปลอดภย 2. ควรสรางความตระหนกเกยวกบแนวทางการรกษา

ความมนคงปลอดภยของซอฟตแวรใหกบบคลากรหลก 5.25.2 ระดบสง

(ก) ผใหบรการตองมกระบวนการรกษาค ว า ม ม น ค ง ป ล อ ด ภ ย เ ก ย ว ก บสภาพแวดลอมส าหรบการพฒนาซอฟตแวรทมความมนคงปลอดภย (secure development environment) และการปองกนชดขอมลส าหรบใช ในการทดสอบ (test data) รวมถงวธหรอเทคนคการทดสอบซอฟตแวร

1. ควรจดท าขนตอนการปฏบตงานหรอแนวทางรกษาความมนคงปลอดภยเกยวกบสภาพแวดลอมส าหรบการพฒนาซอฟตแวรทมความมนคงปลอดภย และการปองกนชดขอมลส าหรบใชในการทดสอบ

2. ค ว ร ม ผ ล ก า ร ท ด ส อ บ ก า ร ใ ช ง า น ซ อ ฟ ต แ ว ร บนสภาพแวดลอมส าหรบการพฒนาซอฟตแวรทมความมนคงปลอดภยและมาตรการควบคมส าหรบการปองกนชดขอมลทดสอบ

3. ควรแสดงถงวธการทดสอบซอฟตแวรทเลอกไวส าหรบสถานการณการทดสอบ และค าอธบาย เก ยวกบสถานการณนน เชน white box testing เปนตน

4. ขอมลทน ามาใชในการทดสอบ ตวอยางเชน ขอมลลบ ขอมลสวนบคคล ควรเลอกขนมาใชงานอยางระมดระวง และไดรบการปองกนและควบคมอยาง เหมาะสม เพอปองกนขอมลส าคญรวไหลหรอเขาถงโดยไมไดรบอนญาต เชน ไมอนญาตใหใชขอมลส าคญใชในการ

ขมธอ. 21-2562

-48-


ทดสอบกบระบบสารสนเทศ ก าหนดใหมการอนมตกอนทกครงกอนทจะน าขอมลไปใชในการทดสอบ

5. ควรจ ากดการเขาถง source code ของระบบสารสนเทศและขอมลอน ๆ ทเกยวของ

(ข) ผใหบรการตองแบงแยกสภาพแวดลอมของระบบสารสนเทศส าหรบการพฒนา (development) การทดสอบ (testing) และกา ร ให บ ร ก า ร (production) ออกจากกน

1. ควรแยกสภาพแวดลอมของระบบสารสนเทศส าคญส าหรบการพฒนา การทดสอบ และการใหบรการ ออกจากกน เ พอปองกนผลกระทบจากการท างาน ของระบบสารสนเทศหนงทมตออกระบบสารสนเทศหนง และปองกนการเขาถงขอมลบนสภาพแวดลอมของระบบสารสนเทศส าคญใหบรการโดยไมไดรบอนญาต

2. ควรควบค มการ ถ า ย โ อนร ะบบ ส ารสน เท ศ จ า กสภาพแวดลอมทใชส าหรบการพฒนาไปส เครองทใชส าหรบการใหบรการ

3. ควรมสภาพแวดลอมส าหรบการทดสอบเมอมการเปลยนแปลงระบบสารสนเทศ

4. ควรแยกบญช ผ ใช ง านออกจากกนส าหรบระบบสารสนเทศทใชในการพฒนา การทดสอบ และการใหบรการ เชน บญชผใชงานของผ พฒนาระบบ ผดแลระบบ เปนตน เพอลดความเสยงในการเกดขอผดพลาด

วตถประสงคท 26: การท างานรวมกนและการโอนยายบรการ (interoperability and portability)

เพอก าหนดกระบวนการหรอขนตอนการท างานรวมกนระหวางผใหบรการกบผใชบรการและมนใจไดวาผใหบรการไดออกแบบระบบทสามารถท างานรวมกนกบผใชบรการได และ รองรบการยายไปยงผใหบรการรายอน ๆ ทมการบรการทคลายกนได



และขนตอนการปฏบตงานส าหรบการท างานรวมกนและการโอนยายบรการไปยงผ ใหบรการรายอนทมบรการ ในลกษณะทคลายกน

ควรจดท ากระบวนการและขนตอนการปฏบตงานส าหรบการท างานรวมกนและการยายการใชบรการ เพอใหผใชบรการสามารถยายการใชบรการไปยงผใหบรการรายอน ๆ ได

(ข) ผ ใ ห บ ร ก า ร ต อ ง น า ม า ต ร ฐ า นอตสาหกรรมหรอมาตรฐานท เป น ทยอมรบมาชวยสงเสรมการท างานรวมกนและการโอนยายบรการ

ควรน ามาตรฐานอตสาหกรรมมาใชในการท างานรวมกน ตวอยางเชน

– ขอเสนอแนะมาตรฐานดานเทคโนโลยสารสนเทศ และการสอสารทจ าเปนตอธรกรรมทางอเลกทรอนกส

ขมธอ. 21-2562

-49-


วาดวยการใชขอความ XML ส าหรบการแลกเปลยนขอมลอเลกทรอนกสระหวางหนวยงาน ทเปนแนวทางการจดท าเอกสารและขอความใหอย ในรป ของ XML File การสรางและการตรวจสอบความถกตองของลายมอชออเลกทรอนกส และใชเปนแนวทางการแลกเปลยนขอมลอเลกทรอนกส

– ขอเสนอแนะมาตรฐานดานเทคโนโลยสารสนเทศ และการสอสารทจ าเปนตอธรกรรมทางอเลกทรอนกส วาดวยขอความอเลกทรอนกส ส าหรบการซอขายสนคาและบรการ เปนมาตรฐานทก าหนดรปแบบโครงสรางขอมล XML ส าหรบการซอขายสนคา และบร ก า ร เ พ อสน บสน น ก า รท า ธ ร ก ร รม ทางอเลกทรอนกส

– การใชงาน openID ทเปนโพรโทคอลทใชยนยนตวตนและการตรวจสอบผใชงานระหวางผใชงานและผใหบรการ เปนตน

(ค) ผใหบรการตองก าหนดขอตกลงรวมกนกบผ ใชบรการส าหรบการท างานรวมกนและการโอนยายบรการ

1. ควรจดท าขอตกลงร วมกนระหวางผ ใหบรการกบผใชบรการส าหรบการท างานรวมกนและการโอนยายบรการใหชดเจน เชน การพฒนาระบบ การแลกเปลยนขอมล การใชงานระบบสารสนเทศ ความถกตองครบถวนของขอมล การโอนยายการใชบรการไปยงผใหบรการ รายอน และสทธในทรพยสนทางปญญาหรอสทธอนใด ทไดสรางสรรคขนมาจากการใหบรการภายใตขอตกลง เปนตน

2. ควรรองรบการจดท าขอมลท งหมดในรปแบบท มโครงสรางและไมมโครงสรางใหแกผใชบรการหากมการโอนยายบรการหรอมการรองขอ เชน ไฟลชนด .doc, .xls, .pdf, log และ flat file เปนตน


(ก) ผ ให บร ก าร ต อ งก าหนดข น ตอน การปฏบตงานส าหรบการถอยกลบสส ภ า พ เ ด ม ( fallback procedure) ส าหรบการท างานรวมกนและการโอนยายบรการ

ควรมขนตอนการปฏบตงานส าหรบการถอยกลบสสภาพเดม ทอธบายไวอยางชดเจนในกรณยายบรการไปยงผใหบรการรายอนไมส าเรจ หรอท าการเปลยนแปลงไมส าเรจ

ขมธอ. 21-2562

-50-

6. ภาคผนวก ตารางท 4 เปรยบเทยบวตถประสงคดานความมนคงปลอดภยกบมาตรฐานสากล

วตถประสงคดานความมนคงปลอดภย ENISA ISO27001 1. การก าหนดนโยบายความมนคงปลอดภยดานสารสนเทศ

(information security policy)

2. การบรหารจดการความเสยง (risk management)

3. การก าหนดบทบาทและหนาทความรบผดชอบดานความมนคงปลอดภย (security roles)

4. การบรหารจดการบคคลทสาม (third party management) 5. การตรวจสอบประวตบคลากร (background checks) 6. การสรางความตระหนกดานความมนคงปลอดภย (security awareness)

7. การเปลยนแปลงบคลากร (personnel changes)

8. การรกษาความมนคงปลอดภยทางกายภาพและสภาพแวดลอม (physical and environmental security)

9. การรกษาความมนคงปลอดภยของระบบสนบสนนการด าเนนงาน (security of supporting utilities)

10. การควบคมการเขาถงระบบเครอขาย และระบบสารสนเทศ (access control to network and information system)

11. การควบคมความถกตองขององคประกอบระบบเครอขาย และระบบสารสนเทศ (integrity of network components and information system)

12. การก าหนดขนตอนการปฏบตงาน (operating procedures)

13. การบรหารจดการการเปลยนแปลง (change management)

14. การบรหารจดการสนทรพย (asset management) 15. การตรวจพบและตอบสนองตอสถานการณดานความมนคงปลอดภย

(security incident detection and response)

16. การรายงานสถานการณดานความมนคงปลอดภย (security incident reporting)

17. การด าเนนธรกจอยางตอเนอง (business continuity)

18. การกคนเมอเกดภยพบต (disaster recovery capabilities) 19. การเฝาตดตามและการบนทกเหตการณ (monitoring and logging) 20. การทดสอบระบบ (system test)

21. การประเมนการรกษาความมนคงปลอดภย (security assessments)

22. การปฏบตตามขอก าหนด (compliance)

23. การรกษาความมนคงปลอดภยของขอมลทจดเกบ (security of data at rest)

24. การรกษาความมนคงปลอดภยของสวนเชอมตอบรการ (interface security) - 25. การรกษาความมนคงปลอดภยของซอฟตแวร (software security) - 26. การท างานรวมกนและการโอนยายบรการ (interoperability and portability) -

ข้อเสนอแนะมาตรฐานด้าน ......ข...

Documents