ค ำน ำ - fisheriesค ำน ำ คูมือ...

ค ำน ำ

คมอ นโยบำยและแนวปฏบตในกำรรกษำควำมมนคงปลอดภยดำนสำรสนเทศ กรมประมง หนำ 2

ปจจบนระบบเทคโนโลยสารสนเทศเปนสงส าคญส าหรบหนวยงานในอ านวยความสะดวกในการปฏบตงาน การเขาถงขอมล การตดตอสอสาร และชวยประหยดตนทนในการด าเนนการตางๆ แตในขณะเดยวกนกมความเสยงสงและอาจกอใหเกดภยอนตรายหรอสรางความเสยหายตอการปฏบตราชการไดเชนกน เพราะการใชงานระบบเทคโนโลยสารสนเทศเชอมโยงขอมลไปยงหนวยงานตางๆ ท าใหมโอกาสถกบกรกได ซงอาจกอใหเกดอาชญากรรมทางคอมพวเตอร เชน การบกรกโจมตผานระบบเครอขายอนเทอรเนต เพอกอกวนใหระบบใชงานไมได รวมถงการขโมยขอมลหรอความลบทางราชการ ซงสงเหลานเปนการสรางความเสยหายดานระบบสารสนเทศ และท าใหสญเสยชอเสยงหรอภาพพจนของหนวยงาน ดงนน ผใชบรการและผดแลระบบงานดานเทคโนโลยสารสนเทศ จงมความจ าเปนจะตองตระหนกถงการใหการดแลบ ารงรกษา และการควบคมรกษาความมนคงปลอดภยดานสารสนเทศเปนอยางยง

ศนยเทคโนโลยสารสนเทศและการสอสารไดก าหนดนโยบายและแนวปฏบตใ น ก า ร ร ก ษ าค ว ามม น ค ง ปล อดภ ย ด า นส า รสน เ ท ศ ซ ง ส อด คล อ ง ก บ พระราชกฤษฎกาก าหนดหลกเกณฑและวธการในการท าธรกรรมทางอเลกทรอนกสภาครฐ พ.ศ. 2549 มาตรา 5 หนวยงานของรฐตองจดท าแนวนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ เพอใหการด าเนนงานใดๆ ดวยวธการทางอเลกทรอนกสกบหนวยงานของรฐหรอโดยหนวยงานของรฐมความมนคงปลอดภยและเชอถอได

หวงเปนอยางยงวา คมอ “นโยบายและแนวทางปฏบตในการรกษาความมนคงปลอดภย ดานสารสนเทศ กรมประมง” ฉบบนจะเปนประโยชนแกผบรหาร เจาหนาท ผดแลระบบและบคคลภายนอกทปฏบตงานทเกยวของกบระบบสารสนเทศ เพอความมนคงปลอดภยดานสารสนเทศของกรมประมงตอไป

คณะผจดท า

ศนยเทคโนโลยสารสนเทศและการสอสาร

สำรบญ หนา

สวนท 1 นโยบายการรกษาความมนคงปลอดภยทางดานกายภาพและสงแวดลอม 4 สวนท 2 นโยบายการควบคมการเขา-ออกหองควบคมระบบเครอขาย 5 สวนท 3 นโยบายการควบคมการเขาถงระบบเทคโนโลยสารสนเทศ 6 สวนท 4 นโยบายการควบคมหนวยงานภายนอกเขาถงระบบเทคโนโลยสารสนเทศ 7 สวนท 5 นโยบายการควบคมการเขาถงและใชบรการระบบเครอขาย 8 สวนท 6 นโยบายการควบคมการเขาถงระบบปฏบตการ 9 สวนท 7 นโยบายการควบคมการเขาถงโปรแกรมประยกตหรอแอพพลเคชน 10 และสารสนเทศ สวนท 8 นโยบายการใชงานเครองคอมพวเตอรสวนบคคล 11 สวนท 9 นโยบายการใชงานเครองคอมพวเตอรแบบพกพา 12 สวนท 10 นโยบายการใชงานอนเทอรเนต 13 สวนท 11 นโยบายการใชงานจดหมายอเลกทรอนกส 14 สวนท 12 นโยบายการควบคมการเขาถงระบบเครอขายไรสาย 15 สวนท 13 นโยบายปองกนไวรส และซอฟตแวรทไมประสงคด 16 สวนท 14 นโยบายปองกนระบบเครอขายและตรวจจบการบกรก 17 สวนท 15 นโยบายการส ารองและกคนขอมล 18 สวนท 16 นโยบายการใชงานอปกรณสอสารแบบพกพา 19 สวนท 17 นโยบายการประชมผานสออเลกทรอนกส 20 สวนท 18 นโยบายการสอบทานการปฏบตตามนโยบายและแนวปฏบต 21 ในการรกษาความมนคงปลอดภยดานสารสนเทศ สวนท 19 นโยบายดานการปฏบตตามขอบงคบ 22 สวนท 20 นโยบายการสรางความตระหนกในเรองการรกษาความมนคงปลอดภย 23 ดานสารสนเทศ ภาคผนวก นโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ 25

คมอ นโยบำยและแนวปฏบตในกำรรกษำควำมมนคงปลอดภยดำนสำรสนเทศ กรมประมง หนำ 3

สวนท 1

จดใหมเวรยำมรกษำอำคำรและหองควบคมระบบเครอขำย

ก ำหนดบรเวณพนทใชงำนระบบเทคโนโลยสำรสนเทศใหชดเจน รวมทงจดท ำแผนผงแสดงต ำแหนงของพนทใชงำนและประกำศใหรบทรำบทวกน

ผทมำตดตอจะตองแลกบตรทใชระบตวตนของบคคลนนๆ เชน บตรประจ ำตวประชำชน ใบอนญำตขบข เปนตน

ผทมำตดตอตองตดบตรผตดตอ(Visitor) ตรงจดทสำมำรถเหนไดชดเจนตลอดเวลำทอยในองคกร

ผทมำตดตอจะไดรบสทธใหเขำ-ออกสถำนทท ำงำนไดเฉพำะบรเวณพนททถกก ำหนดเพอใชในกำรท ำงำนเทำนน

นโยบายการรกษาความมนคงปลอดภย ทางดานกายภาพและสงแวดลอม

4 คมอ นโยบำยและแนวปฏบตในกำรรกษำควำมมนคงปลอดภยดำนสำรสนเทศ กรมประมง หนำ

สวนท 2 นโยบายการควบคมการเขา-ออก

หองควบคมระบบเครอขาย

ผดแลระบบหองควบคมระบบเครอขาย และเจาหนาทองคกร มแนวทางปฏบต ดงน

ควรจดระบบเทคโนโลยสำรสนเทศใหเปนสดสวนชดเจน เชน สวนระบบเครอขำย สวนเครองแมขำย เปนตน

ตองก ำหนดสทธบคคลในกำรเขำ-ออกหองควบคมระบบเครอขำย โดยเฉพำะบคคลทปฏบตหนำท

ก ำหนดสทธในกำรเขำ-ออกหองควบคมระบบเครอขำยของเจำหนำทแตละคนขนอยกบหนำทกำรปฏบตงำน

ผมำตดตอทกคนตองท ำกำรแลกบตรทใชระบตวตน เชน บตรประจ ำตวประชำชน หรอใบอนญำตขบข ฯลฯ

ตองตดบตรผมำตดตอ “Visitor” ตรงจดทสำมำรถเหนไดชดเจนตลอดเวลำทอยในหองควบคมระบบเครอขำย

ผตดตอจากหนวยงานภายนอก มแนวทางปฏบต ดงน

กำรน ำอปกรณคอมพวเตอรหรออปกรณทใชในกำรปฏบตงำนภำยในองคกร จะตองลงบนทกรำยกำรอปกรณในแบบฟอรมกำรขออนญำตเขำ-ออกตำมทระบไวในเอกสำร


สวนท 3 นโยบายการควบคมการเขาถงระบบ

เทคโนโลยสารสนเทศ

กรอกขอมลค ำขอใชบรกำร

ทบทวนสทธกำรเขำถงขอมลของผใชงำนทกๆ 6 เดอน และทกครงทมกำรปรบเปลยน เชน

o กำรยำยหนวยงำน o กำรเลอนต ำแหนง o กำรเปลยนหนำทรบผดชอบ o กำรยกเลกกำรจำง

ผใชงำนตองเปลยนรหสผำนทกครงทไดรบรหสผำนครงแรก หรอไดรบรหสผำนใหม

ไมจด หรอบนทกรหสผำนไวในทงำยตอกำรสงเกตเหน

ยนค ำขอกบผอ ำนวยกำรศนยเทคโนโลยสำรสนเทศและกำรสอสำร

ไมใชโปรแกรมคอมพวเตอรชวยในกำรจ ำรหสผำนอตโนมต

การทบทวนสทธการเขาถงของผใชงาน

การลงทะเบยน

การบรหารจดการชอผใชงานและรหสผาน


ในกรณทไมใชระบบสำรสนเทศใหผใชออกจำกระบบทนท

ผดแลระบบตรวจสอบและใหสทธในกำรเขำถงทเหมำะสม

สวนท 4 นโยบายการควบคมหนวยงานภายนอกเขาถงระบบ

เทคโนโลยสารสนเทศ

ตองท ำเรองขออนญำตในกำรเขำใชงำนระบบเทคโนโลยสำรสนเทศขององคกร

องคกรมสทธในกำรตรวจสอบตำมสญญำกำรใชงำน ระบบเทคโนโลยสำรสนเทศ

หนวยงำนภำยนอกทตองกำรจะเขำถงขอมลทมควำมส ำคญขององคกร ผดแลระบบตองควบคมกำรปฏบตงำนนนๆ ใหมควำมมนคงปลอดภยทง 3 ดำน คอ

หนวยงำนภำยนอกทท ำงำนใหกบองคกรตองไมเปดเผย

ขอมลขององคกร

ผใหบรกำรหนวยงำนภำยนอกควรจดท ำแผน กำรด ำเนนงำน คมอกำรปฏบตงำน และเอกสำรทเกยวของ รวมทงมกำรปรบปรงใหทนสมยอยเสมอ

กำรรกษำควำมพรอมทจะใหบรกำร (Availability)

กำรรกษำควำมลบ (Confidentiality)

กำรรกษำควำมถกตองของขอมล (Integrity)


สวนท 5 นโยบายการควบคมการเขาถงและใชบรการ

ระบบเครอขาย

หำมผใชงำนกระท ำกำรใดๆ เกยวกบขอมลทเปน

กำรขดตอกฎหมำยหรอศลธรรมอนดแหงสำธำรณชน

ผใชงำนตองไมละเมดตอผอน เชน

กำรบกรก (Hack) เขำสบญชผใชงำนของผอน กำรแชรหรอสงตอขอมลทขดตอกฎหมำยหรอ

ศลธรรมอนด กำรตดตอรปภำพทท ำใหผอนเสยหำย

บญชผใชงำน (User Account) เปนกำรเฉพำะบคคลเทำนน

หำมโอนหรอจำยแจกสทธนใหกบผอน

ผใชงำนทจะเขำใชงำนระบบตองแสดงตวตน (Identification) ดวยชอผใชงำน (Username) ทกครง

หำมเปดหรอใชงำนโปรแกรมออนไลนทกประเภทเพอควำมบนเทงในระหวำงปฏบตงำน


สวนท 6 นโยบายการควบคมการเขาถงระบบปฏบตการ

ผใชงำนตองก ำหนดรหสผำน

กำรใชงำนเครองคอมพวเตอรทรบผดชอบ

ผใชงำนตองออกจำกระบบทนท เมอเลกใชงำนหรอไมอยทหนำจอ เปนเวลำนำน

ผใชงำนตองตงคำกำรใชงำนโปรแกรมถนอมหนำจอ เพอท ำกำรลอคหนำจอภำพเมอไมมกำรใชงำน

ผใชงำนตองไมอนญำตใหผอนใชชอบญชผใชและ

รหสผำนของตน ในกำรเขำใชงำนเครองคอมพวเตอรของหนวยงำนรวมกน

หำมท ำกำรตดตงหรอใชงำนซอฟตแวรอนทไมมลขสทธ

หำมตดตง เปลยนแปลง แกไขซอฟตแวร หรอท ำส ำเนำ เพอน ำไปใชงำนอน

หำมน ำเสนอขอมลทผดกฎหมำย และขอควำมหรอรปภำพทไมเหมำะสม


สวนท 7 นโยบายการควบคมการเขาถงโปรแกรมประยกต

หรอแอพพลเคชนและสารสนเทศ

ผดแลระบบ (System Administrator)

ก ำหนดขนตอนปฏบตใน กำรลงทะเบยนบคลำกรใหมขององคกร หรอกำรยกเลกสทธ กำรใชงำน

ก ำหนดสทธกำรใชงำนระบบเทคโนโลยสำรสนเทศทส ำคญ เชน ระบบอนเทอรเนต จดหมำยอเลกทรอนกส เปนตน

ก ำหนดระยะเวลำในกำรเชอมตอระบบสำรสนเทศ เมอไมมกำรใชงำนระบบเกนกวำ 45 นำท หรอแลวแตควำมเหมำะสมของระบบสำรสนเทศ ระบบจะยตกำรใชงำน ผใชงำนตองท ำกำร Login อกครง

ก ำหนดกำรเปลยนแปลงและกำรยกเลกรหสผำน เมอผใชงำน ลำออก หรอพนจำกต ำแหนง หรอยกเลกกำรใชงำน

สงมอบรหสผำนชวครำวใหกบผใชบรกำรดวยวธทปลอดภย

ก ำหนดชอผใชงำนหรอรหสผำนตองไมซ ำกน

กำรบรหำรจดกำรสทธกำรใชงำนระบบและรหสผำนของบคลำกร


สวนท 8 นโยบายการใชงานเครองคอมพวเตอรสวนบคคล

โปรแกรมทตดตงลงบนเครองคอมพวเตอรขององคกรตองเปนโปรแกรมทไดซอลขสทธมำอยำงถกตองตำมกฎหมำย

ไมอนญำตใหตดตงและแกไข เปลยนแปลงโปรแกรม

ในเครองคอมพวเตอรสวนบคคลขององคกร

ผใชตองก ำหนดชอผใชงำนและรหสผำนในกำรเขำใชงำนระบบปฏบตกำร

ผใชงำนตองส ำรองขอมลจำกเครองคอมพวเตอรไวบนสอบนทกอนๆ เชน CD DVD External Hard Disk เปนตน


สวนท 9 นโยบายการใชงานเครองคอมพวเตอรพกพา

โปรแกรมทไดถกตดตงลงบนเครองคอมพวเตอรแบบพกพำขององคกร ตองเปนโปรแกรมทองคกรไดซอลขสทธถกตองตำมกฎหมำย

ไมดดแปลงแกไขสวนประกอบตำงๆ ของคอมพวเตอร และรกษำสภำพของคอมพวเตอรใหมสภำพเดม

ผใชมหนำทรบผดชอบในกำรปองกนกำรสญหำย เชน ควรลอคเครองขณะทไมไดใชงำน ไมวำงเครองทงไวในทสำธำรณะหรอในบรเวณทมควำมเสยงตอกำรสญหำย

ไมควรใชหรอวำงเครองคอมพวเตอรแบบพกพำใกลสงทเปนของเหลว ควำมชน เชน อำหำร น ำ กำแฟ เครองดมตำงๆ

หำมปดหรอยกเลกระบบปองกนไวรสทตดตงอยบน

เครองคอมพวเตอรแบบพกพำ

ผใชควรท ำกำรส ำรองขอมลจำกเครองคอมพวเตอรแบบพกพำลงบนสอตำงๆ

ผใชตองก ำหนดชอผใชงำนและรหสผำนในกำรเขำใชงำนระบบปฏบตกำร

ผใชตองออกจำกระบบทนท เมอเลกใชงำน หรอไมอยทหนำจอเปนเวลำนำน


สวนท 10 นโยบายการใชงานอนเทอรเนต

กอนท ำกำรเชอมตออนเทอรเนต

ควรตดตงโปรแกรมปองกนไวรส

ผใชมหนำทตรวจสอบ ควำมถกตอง

และควำมนำเชอถอของขอมลคอมพวเตอร ทอยบนอนเทอรเนต กอนน ำขอมลไปใชงำน

ผใชตองไมเปดเผยขอมลส ำคญทเปนควำมลบขององคกร

ผใชตองระมดระวง กำรดำวนโหลดโปรแกรมใชงำนจำกอนเทอรเนต

ตองเปนไปโดยไมละเมดทรพยสนทำงปญญำ


สวนท 11 นโยบายการใชงานจดหมายอเลกทรอนกส

ไมควรตงคำจดจ ำรหสผำนอตโนมต ของอเมล

ผใชงำนควรออกจำกระบบ ทกครง เมอไมไดใชงำนอเมล

หำกสงขอมลทเปนควำมลบ ตองไมระบควำมส ำคญ ลงหวขออเมล

ตรวจสอบเอกสำรแนบจำกอเมล โดยใชโปรแกรมปองกนไวรส


ไมควรตงคำจดจ ำ

รหสผำนอตโนมต ของอเมล

ผใชงำนควรออกจำกระบบ

ทกครง เมอไมไดใชงำนอเมล

หำกสงขอมลทเปนควำมลบ

ตองไมระบควำมส ำคญ ลงหวขออเมล

ตรวจสอบเอกสำรแนบจำกอเมล โดยใชโปรแกรมปองกนไวรส

สวนท 12 นโยบายการควบคมการเขาถงระบบเครอขายไรสาย


ผใชงำนตองมบญชผใชงำนระบบเครอขำยขององคกร จงสำมำรถใชงำนระบบเครอขำยไรสำยนได

กำรตรวจสอบยนยนตวตน กำรเขำใชเครอขำยไรสำย

ของกรมประมง

แบงเปน กลม

การเขาใชงานจะจ ากดเพยง 1 session ตอ 1 อปกรณเทานน ไมสามารถใช Username เดยวกนเขาใชพรอมกนได

กลมผบรหำรกรมประมง (DOF-VIP)

ลงทะเบยนหมำยเลขจำก Mac Address ของเครอง

กลมเจำหนำท กรมประมงสวนกลำง

(DOF-Officer)

ยนยนตวตนผำน Username และ Password

ตด Session ทก 3 ชวโมง

กลมผใชงำนชวครำว (DOF-Guest)

ยนยนตวตนโดยปอน Username และ Password ทแจกใหรำยครง

มระยะเวลำกำรใช 1 วน

สวนท 13 นโยบายปองกนไวรสและซอฟตแวรทไมประสงคด

กอนน ำซอฟตแวรจำกภำยนอกมำใช

ตองตรวจสอบวำซอฟตแวรไมมไวรสคอมพวเตอร

ผใชงำนตองตรวจสอบหรอสแกนไวรสคอมพวเตอรจำก สอบนทกกอนใชงำนทกครง

หำมผใชงำนด ำเนนกำรถอนโปรแกรมปองกนไวรส

โดยพละกำร หำกจ ำเปนตองใหแจงผดแลระบบ

ถำไมตดตงโปรแกรมปองกนไวรส จะไมสำมำรถเขำใชงำน

ระบบอนเทอรเนตของ กรมประมงได

ผใชงำนจะตองตรวจสอบกำรท ำงำนของโปรแกรมปองกนไวรสอยำงสม ำเสมอ หำกพบวำโปรแกรม

ไมท ำงำนตำมปกตใหแจงผดแลระบบ


สวนท 14 นโยบายปองกนระบบเครอขายและตรวจจบ

การบกรก

ตรวจสอบและตดตงโปรแกรมอดชองโหว ส ำหรบระบบปฏบตกำรของไฟรวอลลอยำงสม ำเสมอ

สรำงควำมแขงแกรงใหระบบปฏบตกำรของไฟรวอลล โดยกำร Update Patch อยเสมอ

ควรใชระบบอนท ำงำนรวมกบไฟรวอลล เชน

ไมอนญำตใหเขำถงไฟรวอลลจำกทำงไกล

โดยโปรแกรมประเภท Telnet หรอแมแต Secure Shell (SSH) ซงเปนบรกำรทเชอมตอคอมพวเตอรอกเครองหนงจำกภำยนอกได


ระบบปองกนกำรบกรก (IPS) โปรแกรมปองกนไวรส (Antivirus) โปรแกรมกรองอเมล กรองเวบ (Anti Spam)

สวนท 15 นโยบายการส ารองและกคนขอมล

คดเลอกระบบสำรสนเทศทส ำคญ และจดท ำระบบส ำรองทเหมำะสมใหพรอมใชงำน

จดท ำแผนเตรยมควำมพรอมกรณฉกเฉนทไมสำมำรถด ำเนนกำรดวยวธกำรทำงอเลกทรอนกส

ผใชงำนตองส ำรองขอมลในเครองคอมพวเตอรของตนเองอยำงนอย 1 ครงตอเดอน

ขอมลใดทเปนขอมลส ำคญใหพมพเกบส ำรองไวในรปของเอกสำร

ผใชงำนตองเปดใชงำนกำรกคนของระบบปฏบตกำรตลอดเวลำ

ผดแลระบบตองบ ำรงรกษำระบบคอมพวเตอรและอปกรณสนบสนน


กำรส ำรองขอมล

กำรกคนขอมล

ตองเกบรกษำขอมลส ำรองไวในสถำนท ทเหมำะสม ไมเสยงตอกำรรวไหลของขอมล

ทดสอบกำรกคนขอมลทส ำรองไวอยำงสม ำเสมอ

สวนท 16 นโยบายการใชงานอปกรณสอสารแบบพกพา

ไมดดแปลง/แกไข สวนประกอบตำงๆ ของอปกรณ

ไมดดแปลง/ตดตงซอฟตแวร ทผดกฏหมำยบนอปกรณ

ผใชตองดแลปองกน

ไมใหเกดกำรสญหำย

ไมวำงของทบบนอปกรณ

ไมควรน ำอำหำรหรอเครองดม

วำงใกลอปกรณ


สวนท 17 นโยบายการประชมผานสออเลกทรอนกส

กำรประชมผำนสออเลกทรอนกส คอ การตดตอสอสารระหวางบคคลหรอกลมบคคลทอยตางสถานทกนไดทงภาพ เสยง และขอมลในเวลาเดยวกน

มหนงสอแจงขอใชบรกำรเปน

ลำยลกษณอกษร

ตองมกำรทดสอบระบบ กอนกำรประชมทกครง

ท ำใหผรวมประชมสำมำรถสอสำรถงกนได

ตดสญญำณเสยง/ภำพ หรอหยดกำรสงขอมลไดทนท หำกมเหตจ ำเปนหรอ

มกรณฉกเฉน

มกำรบนทกเสยงหรอทงเสยงและภำพดวยระบบควบคมกำรประชม โดยผมสทธในกำรเขำถงเทำนน


สวนท 18 นโยบายการสอบทานการปฏบตตามนโยบาย

และแนวปฏบตในการรกษาความมนคงปลอดภย ดานสารสนเทศ

ตงคณะท ำงำนสอบทำน

รำยงำนสรปผลให CIO ทรำบ

หวหนำงำนในแตละหนวยงำน ตองมกำรสอบทำนอยำงสม ำเสมอ

ตรวจสอบและประเมนควำมเสยง

อยำงนอยปละ 1 ครง

รำยกำรทสอบทำน • การปองกนการบกรกระบบ • การส ารองขอมล • การควบคมการเขาหองควบคมระบบ เครอขาย • การควบคมผเขา-ออกอาคาร • การซอมรบสถานการณฉกเฉน

ศนยเทคโนโลยสำรสนเทศและกำรสอสำร ใหกำรสนบสนนดำนกำรใหค ำแนะน ำ ในกำรปฏบตตำมขอก ำหนด


สวนท 19 นโยบายดานการปฏบตตามขอบงคบ

ตองยดถอและปฏบตตำมกฎหมำยลขสทธและ

ขอก ำหนดอยำงเครงครด

บรษท ก.

นาย ข. สงกด ประมง

ซอฟตแวรทพฒนำภำยในองคกร ถอวำเปนทรพยสน

ขององคกร

หำมน ำซอฟตแวรภำยนอกมำใชในระบบประมวลผลขององคกร โดยมไดรบอนญำต

เจำหนำททฝำฝนละเมดขอตกลงดำนลขสทธของเจำของซอฟตแวร จะตองรบผดชอบผลเสยหำยทงหมด

ละเมดกฎครงท 1 -> สงหนงสอแจงเตอน ละเมดกฎครงท 2 ซ ำ -> สงหนงสอแจงเตอน ระงบ User ชวครำว 1 เดอน ละเมดกฎครงท 3 ซ ำ -> สงหนงสอแจงเตอน ระงบ User ชวครำว 2 เดอน ละเมดกฎซ ำมำกกวำ 3 ครง -> สงหนงสอแจงเตอน ยกเลก User ถำวร


บทลงโทษ

หำมท ำส ำเนำหรอเผยแพรซอฟตแวรทองคกรไดจดซอ

ลขสทธเพอกำรใชงำน

สวนท 20 นโยบายการสรางความตระหนกในเรอง

การรกษาความมนคงปลอดภยดานสารสนเทศ

เพอเผยแพรนโยบายและแนวปฏบตใหกบบคลากรและบคคลทเกยวของไดมความรความเขาใจและตระหนกถงความส าคญของการรกษาความมนคงปลอดภยดานสารสนเทศตลอดจนสามารถน าไปปฏบตไดอยางถกตอง

จดฝกอบรมแนวปฏบตตำมนโยบำยอยำงสม ำเสมอ

จดท ำคมอกำรใชงำนระบบสำรสนเทศและเผยแพรผำนเวบไซต

ใหเกรดควำมรหรอขอระวงในรปแบบทสำมำรถเขำใจงำย และประชำสมพนธ

สนบสนนใหมสวนรวมในกำรปฏบต ตลอดจนตดตำมประเมนผลและส ำรวจควำมตองกำรของผใชบรกำร



ภาคผนวก


นโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ กรมประมง

(Information Security Policy)

1. วตถประสงคและขอบเขต เพอใหระบบเทคโนโลยสารสนเทศของกรมประมง หรอตอไปนเรยกวา “องคกร” เปนไป

อยางเหมาะสม มประสทธภาพ มความมนคงปลอดภยและสามารถด าเนนงานไดอยางตอเนอง รวมทงปองกนปญหาทอาจจะเกดขนจากการใชงานระบบเทคโนโลยสารสนเทศในลกษณะท ไมถกตองและการถกคกคามจากภยตางๆ ซงอาจกอใหเกดความเสยหายแกองคกรและหนวยงาน ในสงกด อกทงเปนการด าเนนงานตามพระราชกฤษฎกาก าหนดหลกเกณฑและวธการในการท าธรกรรมทางอเลกทรอนกสภาครฐ พ.ศ. 2549 มาตรา 5 หนวยงานของรฐตองจดท าแนวนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ เพอใหการด าเนนงานใดๆ ดวยวธการทางอเลกทรอนกสกบหนวยงานของรฐหรอโดยหนวยงานของรฐมความมนคงปลอดภยและเชอถอได องคกรจงเหนสมควรก าหนดนโยบายการรกษาความมนคงปลอดภยดานสารสนเทศใหมมาตรฐาน (Standard) แนวปฏบต (Guideline) ขนตอนปฏบต (Procedure) ครอบคลมดานการรกษาความมนคงปลอดภยระบบเทคโนโลยสารสนเทศและปองกนภยคกคามตางๆ โดยมวตถประสงค ดงน

1.1*เพอใหเกดความเชอมนและมความมนคงปลอดภยในการใชงานระบบเทคโนโลยสารสนเทศหรอเครอขายคอมพวเตอรขององคกร ท าใหด าเนนงานไดอยางมประสทธภาพและประสทธผล

1.2*เพอใหองคกรมการก าหนดขอบเขตของการบรหารจดการความมนคงปลอดภยระบบเทคโนโลยสารสนเทศ โดยอางองตามมาตรฐาน ISO/IEC 27001 Annex A และศกษารายละเอยดวธปฏบตทางเทคนค จาก ISO/IEC 17799:2005 รวมทงมการปรบปรงอยางตอเนอง

1.3*เพอเผยแพรใหเจาหนาททกระดบในองคกรไดรบทราบและเจาหนาททกคนตอง ถอปฏบตตามนโยบายนอยางเครงครด

1.4*เพอก าหนดมาตรฐาน แนวทางปฏบตใหผบรหาร เจาหนาท ผดแลระบบและบคคลภายนอกทปฏบตงานใหกบองคกร ตระหนกถงความส าคญของการรกษาความมนคงปลอดภยในการใชงานระบบเทคโนโลยสารสนเทศขององคกรส าหรบการด าเนนงานและปฏบตตามอยางเครงครด

1.5*การก าหนดความรบผดชอบกรณระบบคอมพวเตอรหรอขอมลสารสนเทศเกด ความเสยหายหรออนตรายใดๆ แกองคกรหรอผหนงผใด อนเนองมาจากความบกพรอง ละเลยหรอฝาฝนการปฏบตตามนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ ก าหนดใหผบรหารระดบสงสดของหนวยงาน (Chief Executive Officer : CEO) เปนผรบผดชอบตอความเสยงความเสยหาย หรออนตรายทเกดขน

1.6*นโยบายนตองมการด าเนนการตรวจสอบ ประเมน รวมทงปรบปรงนโยบายและ ขอปฏบตตามระยะเวลา 1 ครงตอป


2. องคประกอบของนโยบาย ค านยาม สวนท 1 นโยบายการรกษาความมนคงปลอดภยทางกายภาพและสงแวดลอม (Physical and Environment Security Policy) สวนท 2 นโยบายการควบคมการเขา-ออกหองควบคมระบบเครอขาย (Network System Control Room Policy) สวนท 3 นโยบายการควบคมการเขาถงระบบเทคโนโลยสารสนเทศ (Access Control Policy) สวนท 4 นโยบายการควบคมหนวยงานภายนอกเขาถงระบบเทคโนโลยสารสนเทศ (Third Party Access Control Policy) สวนท 5 นโยบายการควบคมการเขาถงและใชบรการระบบเครอขาย (Network Access Control) สวนท 6 นโยบายการควบคมการเขาถงระบบปฏบตการ (Operating System Access Control) สวนท 7 นโยบายการควบคมการเขาถงโปรแกรมประยกตหรอแอพพลเคชนและสารสนเทศ (Application Information Access Control) สวนท 8 นโยบายการใชงานเครองคอมพวเตอรสวนบคคล (Use of Personal Computer Policy) สวนท 9 นโยบายการใชงานเครองคอมพวเตอรพกพา(Use of Notebook Computer Policy) สวนท 10 นโยบายการใชงานอนเทอรเนต (Internet Security Policy) สวนท 11 นโยบายการใชงานจดหมายอเลกทรอนกส (E-mail Policy) สวนท 12 นโยบายการควบคมการเขาถงระบบเครอขายไรสาย (Wireless Policy) สวนท 13 นโยบายปองกนไวรส และซอฟตแวรทไมประสงคด (Virus and Malicious software Protection Policy) สวนท 14 นโยบายปองกนระบบเครอขายและตรวจจบการบกรก (Firewall & IPS Policy) สวนท 15 นโยบายการส ารองและกคนขอมล (Backup and Recovery Policy) สวนท 16 นโยบายการใชงานอปกรณสอสารแบบพกพา (Smart Device Policy) สวนท 17 นโยบายการประชมผานสออเลกทรอนกส (Conference Policy) สวนท 18 นโยบายดานการปฏบตตามขอบงคบ (Compliance Policy) สวนท 19 นโยบายการสอบทานการปฏบตตามนโยบายและแนวปฏบตในการรกษาความมนคง ปลอดภยดานสารสนเทศ สวนท 20 นโยบายการสรางความตระหนกในเรองการรกษาความมนคงปลอดภยดานสารสนเทศ (information Security Awareness policy)

องคประกอบของนโยบายการรกษาความมนคงปลอดภยดานสารสนเทศขององคกร แตละสวนทกลาวขางตนจะประกอบดวยวตถประสงค รายละเอยดของมาตรฐาน (Standard) แนวทางปฏบต (Guideline) และขนตอนวธการปฏบต (Procedure) ในการรกษาความมนคงปลอดภยระบบเทคโนโลยสารสนเทศขององคกร เพอทจะท าใหองคกรมมาตรการในการรกษาความมนคงปลอดภยระบบเทคโนโลยสารสนเทศอยในระดบทปลอดภย ชวยลดความเสยหายตอการด าเนนงาน สนทรพย บคลากร ขององคกร ท าใหสามารถด าเนนงานไดอยางมนคงปลอดภย


นโยบายการเขาใชงานระบบเทคโนโลยสารสนเทศขององคกรน จดเปนมาตรฐานดานความปลอดภยในการใชงานระบบเทคโนโลยสารสนเทศขององคกร ซงเจาหนาทขององคกรและหนวยงานภายนอกจะตองปฏบตตามอยางเครงครด

ค านยาม

ค านยามทใชในนโยบายน ประกอบดวย • องคกร หมายถง กรมประมง • ผบรหารระดบสงสด หมายถง อธบดกรมประมง • ผบงคบบญชา หมายถง ผมอ านาจสงการตามโครงสรางการบรหารขององคกร • ศนยเทคโนโลยสารสนเทศและการสอสาร หมายถง ศนยเทคโนโลยสารสนเทศและ

การสอสารเปนหนวยงานทใหบรการดานเทคโนโลยสารสนเทศและการสอสาร ใหค าปรกษา พฒนาปรบปรง บ ารงรกษา ระบบคอมพวเตอรและเครอขายภายในองคกร

• ผอ านวยการศนยเทคโนโลยสารสนเทศและการสอสาร หมายถง ผมอ านาจในดานเทคโนโลยสารสนเทศและการสอสารขององคกร ซงบทบาทหนาทและความรบผดชอบในสวนของการก าหนดนโยบายมาตรฐาน การควบคมดแลการใชงานระบบเทคโนโลยสารสนเทศ

• การรกษาความมนคงปลอดภย หมายถง การรกษาความมนคงปลอดภยส าหรบระบบเทคโนโลยสารสนเทศขององคกร

• มาตรฐาน (Standard) หมายถง บรรทดฐานทบงคบใชในการปฏบตการจรงเพอใหไดตามวตถประสงคหรอเปาหมาย

• วธการปฏบต (Procedure) หมายถง รายละเอยดทบอกขนตอนเปนขอๆ ทตองน ามาปฏบต เพอใหไดมาซงมาตรฐานทไดก าหนดไวตามวตถประสงค

• แนวทางปฏบต (Guideline) หมายถง แนวทางทไมไดบงคบใหปฏบต แตแนะน าใหปฏบตตาม เพอใหสามารถบรรลเปาหมายไดงายขน

• ผใชงาน หมายถง บคคลทไดรบอนญาต (Authorized User) ใหสามารถเขาใชงานบรหาร หรอดแลรกษาระบบเทคโนโลยสารสนเทศขององคกร โดยมสทธและหนาทขนอยกบบทบาท (Role) ซงองคกรก าหนดไว ดงน

- ผบรหาร หมายถง อธบด รองอธบด ผ เชยวชาญ ผตรวจราชการกรมประมง ผอ านวยการกองฯ ศนยฯ สถานฯ ประมงจงหวด หวหนาหนวยงานราชการ

- ผดแลระบบ (System..Administrator) หมายถง เจาหนาททไดรบมอบหมายจากผบงคบบญชาใหมหนาทรบผดชอบในการดแลรกษาระบบและเครอขายคอมพวเตอรซงสามารถเขาถงโปรแกรมเครอขายคอมพวเตอร เพอการจดการฐานขอมลของเครอขายคอมพวเตอร

- เจาหนาท หมายถง ขาราชการ พนกงานราชการ ลกจางชวคราว ลกจางประจ า และเจาหนาทประจ าโครงการขององคกร

• สทธของผใชงาน หมายถง สทธทวไปสทธจ าเพาะสทธพเศษและสทธอนใดทเกยวของกบระบบสารสนเทศของหนวยงาน


• หนวยงานภายนอก หมายถง องคกรหรอหนวยงานภายนอก ทกรมประมงอนญาตใหมสทธในการเขาถงและใชงานขอมลหรอทรพยสนตางๆ ของหนวยงาน โดยจะไดรบสทธในการใชระบบตามอ านาจหนาทและตองรบผดชอบในการรกษาความลบของขอมล

• ขอมลคอมพวเตอร หมายถง ขอมล ขอความ ค าสง ชดค าสง หรอสงอนใดบรรดาทอยในระบบคอมพวเตอรในสภาพทระบบคอมพวเตอรอาจประมวลผลได และใหหมายความรวมถงขอมลอเลกทรอนกสตามกฎหมายวาดวยธรกรรมอเลกทรอนกส

• สารสนเทศ ( Information) หมายถ ง ขอ เทจจร งท ได จากข อม ลน ามา ผ าน การประมวลผล การจดระเบยบใหขอมลซงอาจอยในรปของตวเลข ขอความ หรอภาพกราฟฟก ใหเปนระบบทผใชสามารถเขาใจไดงาย และสามารถน าไปใชประโยชนในการบรหาร การวางแผน การตดสนใจ และอน ๆ

• ระบบคอมพวเตอร หมายถง อปกรณหรอชดอปกรณของคอมพวเตอรทเชอมการท างานเขาดวยกนโดยไดมการก าหนดค าสง ชดค าสง หรอสงอนใด และแนวทางปฏบตงานใหอปกรณหรอชดอปกรณท าหนาทประมวลผลขอมลโดยอตโนมต

• ระบบเครอขาย (Network System) หมายถง ระบบทสามารถใชในการตดตอสอสารหรอการสงขอมลและสารสนเทศระหวางระบบเทคโนโลยสารสนเทศตาง ๆ ขององคกรได เชน ระบบ LAN ระบบ Intranet ระบบ Internet เปนตน

- ระบบ LAN และระบบ Intranet หมายถง ระบบเครอขายอเลกทรอนกสทเชอมตอระบบคอมพวเตอรตาง ๆ ภายในหนวยงานเขาดวยกน เปนเครอขายทมจดประสงคเพอการตดตอ สอสารแลกเปลยนขอมลและสารสนเทศภายในหนวยงาน

- ระบบ Internet หมายถง ระบบเครอขายอเลกทรอนกสทเชอมตอระบบเครอขายคอมพวเตอรตาง ๆ ของหนวยงานเขากบเครอขายอนเทอรเนตทวโลก

• ระบบเทคโนโลยสารสนเทศ ( Information Technology System) หมายถง ระบบงานของหนวยงานทน าเอาเทคโนโลยสารสนเทศ ระบบคอมพวเตอร และระบบเครอขายมาชวยในการสรางสารสนเทศทหนวยงานสามารถน ามาใชประโยชนในการวางแผน การบรหาร การสนบสนนการใหบรการ การพฒนาและควบคมการตดตอสอสาร ซงมองคประกอบ เชน ระบบคอมพวเตอร ระบบเครอขาย โปรแกรม ขอมล และสารสนเทศ เปนตน

• พนทใชงานระบบเทคโนโลยสารสนเทศ ( Information System Workspace) หมายถง พนททหนวยงานอนญาตใหมการใชงานระบบเทคโนโลยสารสนเทศ โดยแบงเปน

- พนทท างานทวไป (General Working Area) หมายถง พนทตดตงเครองคอมพวเตอรสวนบคคล และคอมพวเตอรพกพาทประจ าโตะท างาน

- พนทท างานของผดแลระบบ (System Administrator Area) - พนทตดตงอปกรณระบบเทคโนโลยสารสนเทศหรอระบบเครอขาย (IT Equipment or

Network Area) - พนทจดเกบขอมลคอมพวเตอร (Data Storage Area) - พนทใชงานระบบเครอขายไรสาย (Wireless LAN Coverage Area)


• เจาของขอมล หมายถง ผไดรบมอบอ านาจจากผบงคบบญชาใหรบผดชอบขอมลของระบบงาน โดยเจาของขอมลเปนผรบผดชอบขอมลนน ๆ หรอไดรบผลกระทบโดยตรงหากขอมลเหลานนเกดสญหาย

• สนทรพย หมายถง ขอมล ระบบขอมล และสนทรพยดานเทคโนโลยสารสนเทศและ การสอสารของหนวยงาน เชน อปกรณระบบเครอขาย ซอฟตแวรทมลขสทธ เปนตน

• จดหมายอเลกทรอนกส (E-mail) หมายถง ระบบทบคคลใชในการรบ-สงขอความระหวางกนโดยผานเครองคอมพวเตอรและเครอขายทเชอมโยงถงกน ขอมลทสงเปนไดทงตวอกษร ภาพถาย ภาพกราฟฟกภาพเคลอนไหว และเสยง โดยผสงสามารถสงขาวสารไปยงผรบคนเดยวหรอหลายคน มาตรฐานทใชในการรบ-สงขอมลชนดน ไดแก SMTP POP3 และ IMAP

• รหสผาน (Password) หมายถง ตวอกษรหรออกขระหรอตวเลข ทใชเปนเครองมอ ในการตรวจสอบยนยนตวบคคล เพอควบคมการเขาถงขอมลและระบบขอมลในการรกษา ความมนคงปลอดภยของขอมลและระบบเทคโนโลยสารสนเทศ

• ชดค าสงไมพงประสงค หมายถง ชดค าสงทมผลท าใหคอมพวเตอร หรอระบบคอมพวเตอรหรอชดค าสงอนเกดความเสยหาย ถกท าลาย ถกแกไขเปลยนแปลงหรอเพมเตม ขดของหรอปฏบตงานไมตรงตามค าสงทก าหนดไว

• การเขาถงหรอควบคมการใชงานสารสนเทศ หมายถง การอนญาตการก าหนดสทธหรอการมอบอ านาจใหผใชงานเขาถงหรอใชงานเครอขายหรอระบบสารสนเทศทงทางอเลกทรอนกสและทางกายภาพรวมทงการอนญาตเชนวานนส าหรบบคคลภายนอกตลอดจนอาจก าหนดขอปฏบตเกยวกบการเขาถงโดยมชอบเอาไวดวย

• ความ มนคงปลอดภ ยด านสารสน เทศ หมายถ ง ก ารธ า ร ง ไว ซ ง ความล บ . (Confidentiality) ความถกตองครบถวน ( Integrity) และสภาพพรอมใชงาน (Availability) ของสารสนเทศรวมทงคณสมบต อน ไดแก ความถกตองแทจรง (Authenticity) ความรบผด (Accountability) การห ามปฏ เสธความรบผด (Non-Repudiation) และความน า เช อถ อ (Reliability)

• เหตการณดานความมนคงปลอดภย หมายถง กรณทระบการเกดเหตการณสภาพของบรการหรอเครอขายทแสดงใหเหนความเปนไปไดทจะเกดการฝาฝนนโยบายดานความมนคงปลอดภย หรอมาตรการปองกนทลมเหลวหรอเหตการณอนไมอาจรไดวาอาจเกยวของกบความมนคงปลอดภย

• สถานการณดานความมนคงปลอดภยทไมพงประสงคหรอไมอาจคาดคด หมายถงสถานการณดานความมนคงปลอดภยทไมพงประสงคหรอไมอาจคาดคด (Unwanted or Unexpected) ซงอาจท าใหระบบขององคกรถกบกรกหรอโจมตและความมนคงปลอดภยถกคกคาม


สวนท 1 นโยบายการรกษาความมนคงปลอดภยทางดานกายภาพและสงแวดลอม

(Physical and Environment Security Policy)

1. วตถประสงค ก าหนดเปนมาตรการควบคมและปองกนเพอการรกษาความมนคงปลอดภยทเกยวของกบ

การเขาใชงานหรอการเขาถงอาคาร สถานท และพนทใชงานระบบเทคโนโลยสารสนเทศ โดยพจารณาตามความส าคญของอปกรณระบบเทคโนโลยสารสนเทศ ขอมลซงเปนทรพยสนทมคาและอาจจ าเปนตองรกษาความลบ โดยมาตรการนจะมผลบงคบใชกบผใชและหนวยงานภายนอก ซงมสวนเกยวของกบการใชงานระบบเทคโนโลยสารสนเทศของหนวยงาน

2. ผรบผดชอบ 1. ศนยเทคโนโลยสารสนเทศและการสอสาร 2. หนวยงานภายในกรมประมง 3. ผดแลระบบทไดรบมอบหมาย

3. แนวปฏบตการก าหนดบรเวณทตองมการรกษาความมนคงปลอดภย 3.1 ภายในองคกร ควรมการจ าแนกและก าหนดพนทของระบบเทคโนโลยสารสนเทศ

ตางๆ อยางเหมาะสม โดยจดท าเปนเอกสาร “การก าหนดพนทเพอการรกษาความมนคงปลอดภยของระบบสารสนเทศ” เพอจดประสงคในการเฝาระวง ควบคม การรกษาความมนคงปลอดภยจาก ผทไมไดรบอนญาต รวมทงปองกนความเสยหายอนๆ ทอาจเกดขนได

3.2 จดใหมเวรยาม รกษาอาคารและหองควบคมระบบเครอขายและอปกรณเชอมโยงเครอขายภายในอาคาร เพอปองกนการแอบลกลอบเขาสพนทปฏบตงานภายในเพอการลกลอบ กอวนาศกรรม การโจรกรรม หรอการท าลายอปกรณ ระบบประมวลผล ระบบฐานขอมลและระบบเครอขาย

3.3 ผบรหาร ควรก าหนดและแบงแยกบรเวณพนทใชงานระบบเทคโนโลยสารสนเทศใหชดเจน รวมทงจดท าแผนผงแสดงต าแหนงของพนทใชงานและประกาศใหรบทราบทวกน โดยการก าหนดพนทดงกลาวอาจแบงออกไดเปน พนทท างานทวไป (General Working Area) พนทท างานของผดแลระบบ (System Administrator Area) พนทตดตงอปกรณระบบเทคโนโลยสารสนเทศ (IT Equipment Area) พนทจดเกบขอมลคอมพวเตอร (Data Storage Area) และพนทใชงานเครอขายไรสาย (Wireless LAN Coverage area) เปนตน

3.4 ผบรหารตองก าหนดสทธใหกบเจาหนาทใหสามารถมสทธในการเขาถงพนทใชงานระบบเทคโนโลยสารสนเทศ เพอปฏบตหนาทตามทไดรบมอบหมายอยางครบถวน ประกอบดวย

3.4.1 จดท า “ทะเบยนผมสทธเขา-ออกพนท” เพอใชงานระบบเทคโนโลยสารสนเทศ 3.4.2 ท าการบนทกการเขา-ออกพนทใชงาน และก าหนดผมหนาท รบผดชอบ

การบนทกการเขา-ออกดงกลาว โดยจดท าเปนเอกสาร “บนทกการเขา-ออกพนท”


3.4.3 จดใหมเจาหนาทท าหนาทตรวจสอบประวตการเขา -ออกพนทใชงานระบบเทคโนโลยสารสนเทศเปนประจ าทกวน และใหมการปรบปรงรายการผมสทธเขา -ออกพนทใชงานระบบสารสนเทศและการสอสารอยางนอยปละ 1 ครง

4. แนวปฏบตการควบคมการเขา-ออก อาคาร สถานท 4.1 จดท าเอกสารระบสทธของผใช และ “หนวยงานภายนอก” ในการเขาถงสถานท

โดยแบงแยกได ดงน 4.1.1 องคกรตองก าหนดสทธผใชทมสทธผานเขา-ออก และชวงเวลาทมสทธ ใน

การผานเขา-ออกในแตละ “พนทใชงานระบบ” อยางชดเจน 4.1.2 รณรงคหรอออกกฎใหเจาหนาทองคกรแขวนบตรพนกงานเพอใชระบตวตน

กอนเขาอาคารหรอสถานทส าคญของหนวยงาน 4.1.3 การเขาถงอาคารของหนวยงาน ของบคคลภายนอกหรอผมาตดตอ เจาหนาท

รกษาความปลอดภย จะตองใหมการแลกบตรทใชระบตวตนของบคคลนน ๆ เชน บตรประจ าตวประชาชน ใบอนญาตขบข เปนตน แลวท าการลงบนทกขอมลบตรในสมดบนทกและรบแบบฟอรมการเขา-ออกพรอมกบบตรผตดตอ (Visitor)

4.1.4 บคคลทมาตดตอตองตดบตรผตดตอ (Visitor) ตรงจดทสามารถเหนไดชดเจน ตลอดเวลาทอยในองคกร

4.1.5 กรณทบคคลภายนอกหรอผตดตอ ตองการน าอปกรณตาง ๆ เชน คอมพวเตอรสวนบคคล หรอคอมพวเตอรพกพา หรออปกรณเครอขายเขาบรเวณอาคาร เจาหนาท รกษา ความปลอดภยจะตองลงบนทกในแบบฟอรมการเขา-ออกในรายการอปกรณทน าเขามาใหถกตอง

4.1.6 กรณทบคคลภายนอกเขามาตดตอ เจาหนาทจะตองลงชออนญาตการเขา-ออกในแบบฟอรมการเขา-ออกใหถกตอง

4.1.7 บคคลภายนอกหรอผตดตอตองคนแบบฟอรมการเขา-ออก และบตรผตดตอ(Visitor) กบเจาหนาทรกษาความปลอดภยกอนออกจากอาคาร และ รปภ. ตองตรวจสอบผตดตอ อปกรณ พรอมลงเวลาออกทสมดบนทกใหถกตอง

4.2 ผใชจะไดรบสทธใหเขา-ออกสถานทท างานไดเฉพาะบรเวณพนททถกก าหนดเพอใช ในการท างานเทานน

4.3 หากมบคคลอนใดทไมใชผใช ขอเขาพนทโดยมไดขอสทธในการเขาพนทนนไว เปน การลวงหนา หนวยงานเจาของพนท ตองตรวจสอบเหตผลและความจ าเปน กอนทจะอนญาต ทงน จะตองแสดงบตรประจ าตวทองคกรออกให โดยหนวยงานเจาของพนทตองจดบนทกบคคลและ การขอเขา-ออกไวเปนหลกฐาน ทงในกรณทอนญาตและไมอนญาตใหเขาพนท

5. แนวปฏบตการควบคมสนทรพยสารสนเทศและการใชงานระบบคอมพวเตอร (Clear Desk and Clear Screen Policy )

ตองควบคมไมใหสนทรพยสารสนเทศ เชน เอกสารสอบนทกขอมลคอมพวเตอรหรอสารสนเทศอยในภาวะซงเสยงตอการเขาถงโดยผซงไมมสทธและตองก าหนดใหผใชงานออกจากระบบสารสนเทศเมอวางเวนจากการใชงาน


5.1 การจดท าบรเวณลอมรอบ (Physical Security Perimeter) 5.1.1 มการจดสภาพแวดลอมทางกายภาพเพอปองกนบคคลภายนอกบกรกเขาสพนท

ภายในองคกร 5.1.2 มการประเมนความเสยงทางกายภาพและก าหนดมาตรการลดความเสยง 5.1.3 ผนงลอมรอบของส านกงานหรอพนททมระบบเทคโนโลยสารสนเทศอยภายใน

ควรสรางเปนผนงทบ 5.1.4 ประตหรอทางเขาส านกงานหรออาคารออกแบบเพอปองกนการบกรก

ทางกายภาพ 5.1.5 ประตหรอทางเขาของหองควบคมระบบเครอขายและเครองคอมพวเตอร

แมขายตองมระบบทสามารถลอคไดเพอปองกนการบกรกทางกายภาพ 5.1.6 บคลากรทปฏบตงานภายในศนยเทคโนโลยสารสนเทศและการสอสารตองปด

ประตและหนาตางใหลอคอยเสมอภายหลงเลกงานและนอกเวลาราชการ 5.1.7 มการจดระบบการรกษาความปลอดภยโดยมพนกงานรกษาความปลอดภย

(รปภ.) และควรมการตดตงกลองวงจรปดภายในลฟตเพอควบคมการเขาถงของบคคลภายนอก 5.1.8 ประตหนไฟและผนงในบรเวณขางเคยงตองมการกอสรางใหมความทนทานตอ

ความรอนอยางเพยงพอ 5.1.9 ตองแยกพนทส าหรบระบบเทคโนโลยสารสนเทศขององคกรออกจากพนททม

การดแล หรอบรหารจดการโดยผใหบรการภายนอก 5.2 การจดบรเวณส าหรบการเขาถงหรอการสงมอบผลตภณฑโดยบคคลภายนอก (Public

Access Delivery and Loading Areas) 5.2.1 จ ากดการเขาถงพนทหรอบรเวณทมการสงมอบหรอขนถายผลตภณฑเพอปองกน

การเขาถงโดยไมไดรบอนญาต 5.2.2 จ ากดบคลากรซงสามารถเขาถงพนทหรอบรเวณสงมอบนน 5.2.3 ควรจดพนทหรอบรเวณสงมอบไวในบรเวณตางหากเพอหลกเลยงการเขาถง

พนทอนๆภายในองคกร 5.2.4 ตองตรวจสอบวสดหรอปจจยการผลตทเปนอนตรายกอนทจะโอนยายวสดนน

ไปยงพนททมการใชงาน 5.2.5 ก าหนดใหมการลงทะเบยนและตรวจนบผลตภณฑทสงมอบโดยผขายหรอ

ผใหบรการภายนอกโดยใหสอดคลองกบระเบยบพสดหรอขนตอนปฏบตส าหรบการบรหารจดการทรพยสนขององคกร

5.3 การจดวางและการปองกนอปกรณ (Equipment Siting and Protection) 5.3.1 ตองจดวางอปกรณในพนทหรอบรเวณทเหมาะสมเพอหลกเลยงการเขาถงพนท

ของผปฏบตงานในหนวยงานหรอส านกงานใหนอยทสด


5.3.2 ตองจดวางระบบเทคโนโลยสารสนเทศในต าแหนงท เหมาะสมเพอหลกเลยง การมองเหนขอมลส าคญจากบคคลภายนอกโดยการหนหนาจอเขามาภายในโดยไมใหบคคลผซงไมมสทธสามารถมองเหนหนาจอนนได

5.3.3 ตองแยกเกบอปกรณทมความส าคญไวตางหากอกพนทหนงเพอดแลความมนคงปลอดภย

5.3.4 หามไมใหมการน าอาหาร เครองดมและสบบหรในบรเวณหรอพนทหองควบคมระบบเครอขาย/ระบบคอมพวเตอร/ระบบเครองคอมพวเตอรแมขาย

5.3.5 ด าเนนการตรวจสอบสอดสองระดบอณหภม และดแลสภาพแวดลอมภายในบรเวณหองควบคมระบบเครอขาย/ระบบคอมพวเตอร/ระบบเครองคอมพวเตอรแมขาย เพอปองกนความเสยหายตออปกรณทอยในบรเวณดงกลาว

5.3.6 มมาตรการปองกนอปกรณไฟฟาเสยหายจากการทกระแสไฟฟาไมแนนอนหรอไฟฟากระชาก

5.4 ระบบและอปกรณสนบสนนการท างาน (Supporting Utilities) 5.4.1 ตองมระบบสนบสนนการท างานของระบบเทคโนโลยสารสนเทศขององคกรท

เพยงพอตอความตองการใชงาน เชน ระบบปรบอากาศ ระบบระบายอากาศ ระบบกระแสไฟฟาส ารอง เปนตน และตองมการตรวจสอบหรอทดสอบระบบสนบสนนดงกลาวอยางสม าเสมอ เพอใหมนใจไดวาระบบท างานตามปกตและลดความเสยงจากการลมเหลวในการท างานของระบบ

5.4.2 ตองมการใชระบบยพเอสกบระบบเทคโนโลยสารสนเทศเพอปองกนอปกรณไฟฟาเสยหายจากความไมสม าเสมอของกระแสไฟฟาและตองทดสอบระบบยพเอสอยางสม าเสมอโดยทดสอบใหตรงตามค าแนะน าทผผลตไดระบไว

5.5 การรกษาความมนคงปลอดภยส าหรบหองท างานและทรพยสนอนๆ 5.5.1 เจาหนาททกคนตองปฏบตการปองกนทรพยสน 5.5.2 เจาหนาทตองออกจากระบบทนทเมอจ าเปนตองปลอยทงโดยไมมผดแล 5.5.3 ตองมการจดเกบขอมลส าคญในสถานททมความปลอดภย เชน ในตเอกสารทม

กญแจลอคและไมทงเอกสารทส าคญไวบนโตะเพอความปลอดภยของทรพยสนของราชการ 5.5.4 ตองปองกนเครองโทรสารเมอไมมผใชงานและปองกนตหรอบรเวณทใช ใน

การรบ-สงเอกสารไปรษณยเพอความปลอดภยของขอมล 5.5.5 ตองไมใหผทไมไดรบอนญาตใชอปกรณคอมพวเตอรตางๆ เชน เครองคอมพวเตอร

กลองดจตอล เครองพมพ เครองส าเนาเอกสาร เครองสแกนเอกสาร เปนตน โดยไมไดรบอนญาต 5.5.6 น าเอกสารออกจากเครองพมพทนททพมพงานเสรจ

5.6 มาตรฐานการท าลายสอบนทกขอมลและขอมลอเลกทรอนกส 5.6.1 ตองท าการเคลยรขอมลทบนทกอยในอปกรณฮารดดสกหรอสอบนทกขอมล

กอนท าการเปลยนหรอทดแทนอปกรณ


5.6.2 ตองท าการลบขอมลทบนทกอยในอปกรณฮารดดสกหรอสอบนทกขอมลกอนท าการท าลายหรอจ าหนาย

5.6.3 ตองท าการฟอรแมต (Format) ฮารดดสก เพอปองกนการกคนขอมลในฮารดดสก โดยการใชวธแบบเขยนทบซ าจ านวน 1 ครง ตามมาตรฐาน NIST 800-88 ส าหรบขอมลทมความลบระดบต า หรอแบบเขยนทบซ าจ านวน 3 ครง ตามมาตรฐาน DoD 5220.22 - M ส าหรบขอมลทมความลบระดบปานกลางหรอแบบเขยนทบซ าจ านวน 7 ครง ตามมาตรฐาน NSA ส าหรบขอมลทมความลบระดบสง

5.6.4 ควรลบขอมลออกจากฐานขอมลทมอายตงแต 5 ปขนไป และส ารองขอมล ลงฮารดดสกภายนอก (External Hard Disk) หรอสอขอมลส ารอง (Backup Media) และจดเกบไวในสถานททเหมาะสม ไมเสยงตอการรวไหลของขอมล

5.6.5 ตองไดรบความเหนชอบจากผมอ านาจอนมตในการท าลายสอบนทกขอมลหรอลบขอมลอเลกทรอนกสออกจากฐานขอมล


สวนท 2 นโยบายการควบคมการเขา-ออกหองควบคมระบบเครอขาย

(Network System Control Room Policy)

1. วตถประสงค เพอก าหนดมาตรการควบคม ปองกนมใหบคคลทไมมอ านาจหนาทเกยวของในการปฏบต

หนาทเขาถง ลวงร แกไข เปลยนแปลงระบบเทคโนโลยสารสนเทศทส าคญ ซงจะท าใหเกดความเสยหายตอขอมลและระบบขอมลขององคกร โดยมการก าหนดกระบวนการควบคมการเขา -ออกทแตกตางกนของกลมบคคลตางๆ ทมความจ าเปนตองเขา-ออกหองควบคมระบบเครอขาย

2. ผรบผดชอบ 1. ศนยเทคโนโลยสารสนเทศและการสอสาร 2. กองบรหารจดการเรอประมงและการท าการประมง 3. กองวจยและพฒนาสขภาพสตวน า 4. และหนวยงานทม Data Center 5. ผดแลระบบทไดรบมอบหมาย

3. ค าจ ากดความของผเกยวของ 3.1 ผดแลระบบ หมายถง เจาหนาททกคนทท างานเกยวของโดยตรงกบงานปฏบตการ

และบ ารงดแลรกษาระบบเทคโนโลยสารสนเทศภายในหองควบคมระบบเครอขาย 3.2 เจาหนาท หมายถง เจาหนาทองคกรทมสทธในการเขา-ออกสถานท อาคาร หอง

ตามทก าหนดในทะเบยนผมสทธเขา-ออกพนท 3.3 ผตดตอจากหนวยงานภายนอก หมายถง บคคลจากหนวยงานภายนอกทมาท า

การตดตอขอเขาถงหรอใชขอมลหรอทรพยสนตางๆ ของหองควบคมระบบเครอขาย

4. บทบาทและความรบผดชอบ 4.1 ผอ านวยการศนยเทคโนโลยสารสนเทศและการสอสาร

4.1.1 อนมตสทธเขา-ออกพนทใชงานระบบเทคโนโลยสารสนเทศ 4.1.2 อนมตกระบวนการควบคมการเขา-ออก หองควบคมระบบเครอขาย

4.2 ผดแลระบบ หองควบคมระบบเครอขาย 4.2.1 ตรวจสอบดแลบคคลทขออนญาตเขามาภายในหองควบคมระบบเครอขาย

ใหปฏบตตามระเบยบและกฎเกณฑของหองควบคมระบบเครอขายอยางเครงครด 4.2.2 ตรวจสอบใหมนใจวาบคคลทไดผานเขา-ออกหองควบคมระบบเครอขาย

ตองตดบตรผตดตอ (Visitor) หรอบตรประจ าตวขององคกรเทานน


5. แนวปฏบตการควบคมการเขา-ออกหองควบคมระบบเครอขาย 5.1 ผดแลระบบหองควบคมระบบเครอขาย และเจาหนาทองคกร มแนวทางปฏบต ดงน

5.1.1 ผดแลระบบหองควบคมระบบเครอขาย ควรจดระบบเทคโนโลยสารสนเทศ ใหเปนสดสวนชดเจน เชน สวนระบบเครอขาย (Network Zone) สวนเครองแมขาย (Server Zone) เปนตน เพอสะดวกในการปฏบตงานและยงท าใหการควบคมการเขาถงหรอเขาใชงานอปกรณคอมพวเตอรส าคญตางๆ มประสทธภาพมากขน

5.1.2 ผดแลระบบหองควบคมระบบเครอขาย ตองท าการก าหนดสทธบคคลใน การเขา-ออกหองควบคมระบบเครอขาย โดยเฉพาะบคคลทปฏบตหนาทเกยวของภายใน และม การบนทก “ทะเบยนผมสทธเขา-ออกพนท” เชน เจาหนาทปฏบตงานคอมพวเตอร (Computer Operator) เจาหนาทผดแลระบบ (System Administrator) เปนตน

5.1.3 สทธในการเขา-ออกหองควบคมระบบเครอขายของเจาหนาทแตละคนขนอยกบหนาทการปฏบตงานภายในหองควบคมระบบเครอขาย

5.1.4 เจาหนาททกคนตองท าบตรผาน (Key Card) เพอใชในการเขา-ออกหองควบคมระบบเครอขาย*ตามกระบวนการทระบใน ขอ 6 (6.4) “การบรหารจดการสทธการใชงานระบบและรหสผาน” ในนโยบายการควบคมการเขาถงระบบเทคโนโลยสารสนเทศ

5.1.5 ตองจดท าระบบเกบบนทกการเขา -ออกหองควบคมระบบเครอขาย ตามกระบวนการทระบไวในเอกสาร “บนทกการเขา-ออกพนท”

5.1.6 กรณเจาหนาททไมมหนาทเกยวของประจ า อาจมความจ าเปนตองเขา -ออกหองควบคมระบบเครอขาย กตองมการควบคมอยางรดกม

5.1.7 การเขาถงหองควบคมระบบเครอขาย ตองมการลงบนทกตามแบบฟอรมทระบไวในเอกสาร “บนทกการเขา-ออกพนท” และตองตรวจสอบใหมนใจวาบคคลทผานเขา-ออก ทกคนตองกรอกแบบฟอรมดงกลาว

5.1.8 กรณผตดตอจากหนวยงานภายนอก มความจ าเปนตองเขาหองควบคมระบบเครอขาย เจาหนาทผดแลระบบขององคกรจะตองเปนผน าพาเขาไป และคอยสอดสอง ก ากบดแลตลอดการปฏบตงาน

5.2 ผตดตอจากหนวยงานภายนอก มแนวทางปฏบต ดงน 5.2.1 ผตดตอจากหนวยงานภายนอก ทกคนตองท าการแลกบตรทใชระบตวตน เชน

บตรประจ าตวประชาชน หรอใบอนญาตขบข กบเจาหนาทรกษาความปลอดภย เพอรบบตรผตดตอ “Visitor” แลวท าการลงบนทกขอมลในสมดบนทกตามทระบไวในเอกสาร “บนทกการเขา-ออกพนท”

5.2.2 ผตดตอจากหนวยงานภายนอก ทน าอปกรณคอมพวเตอรหรออปกรณทใชในการปฏบตงานภายในองคกร จะตองลงบนทกรายการอปกรณในแบบฟอรมการขออนญาตเขา-ออกตามทระบไวในเอกสาร “บนทกการเขา-ออกพนท” ใหถกตองชดเจน

5.2.3 ผตดตอจากหนวยงานภายนอก ตองตดบตรผานตรงจดทสามารถเหนไดชดเจนตลอดเวลาทอยในหองควบคมระบบเครอขายหรอศนยเทคโนโลยสารสนเทศและการสอสาร


5.2.4 พนททผตดตอจากหนวยงานภายนอก สามารถเขาไดตามทระบไวในแบบฟอรมการขออนญาตเขา-ออก และตองมเจาหนาทคอยสอดสองดแลตลอดเวลา

5.2.5 ผตดตอจากหนวยงานภายนอก ตองคนบตรผตดตอกบเจาหนาท รกษา ความปลอดภย ซงเจาหนาทรกษาความปลอดภยตองตรวจสอบการคนบตรและตรวจสอบแบบฟอรมการขออนญาตเขา-ออกวามเจาหนาทลงนามอนญาตแลวทกครง

5.2.6 เจาหนาทรกษาความปลอดภย ตองตรวจสอบรายการอปกรณทลงบนทกไวในแบบฟอรมการขออนญาตเขา-ออกและตรวจสอบอปกรณทน าออกมาใหถกตอง

5.2.7 เจาหนาทควรตรวจสอบความถกตองของขอมลในสมดบนทกและแบบฟอรมการขออนญาตเขา-ออกกบเจาหนาทรกษาความปลอดภยเปนประจ าทกเดอน


สวนท 3 นโยบายการควบคมการเขาถงระบบเทคโนโลยสารสนเทศ

(Access Control Policy)

1. วตถประสงค เพอก าหนดมาตรการควบคมบคคลทไมไดรบอนญาตเขาถงระบบเทคโนโลยสารสนเทศ

ขององคกร และปองกนการบกรกผานระบบเครอขายจากผบกรกจากโปรแกรมชดค าสงไมพงประสงค ทจะสรางความเสยหายแกขอมล หรอการท างานของระบบเทคโนโลยสารสนเทศใหหยดชะงก และท าใหสามารถตรวจสอบตดตามพสจนตวบคคลทเขาใชงานระบบเทคโนโลยสารสนเทศขององคกร ไดอยางถกตอง

2. ผรบผดชอบ 1. ศนยเทคโนโลยสารสนเทศและการสอสาร 2. ส านกงานเลขานการกรม 3. กองคลง 4. กองควบคมการคาสตวน าและปจจยการผลต 5. กองตรวจสอบคณภาพสนคาประมง 6. กองนโยบายและยทธศาสตรพฒนาการประมง 7. กองบรหารจดการทรพยากรและก าหนดมาตรการ 8. กองบรหารจดการเรอประมงและการท าการประมง 9. กองแผนงาน 10. กองพฒนาระบบการรบรองมาตรฐานสนคาประมงและหลกฐานเพอการสบคน 11. กองวจยและพฒนาการเพาะเลยงสตวน าชายฝง 12. กองวจยและพฒนาประมงทะเล 13. กองวจยและพฒนาประมงน าจด 14. หนวยงานทโปรแกรมประยกตหรอแอพพลเคชน 15. ผดแลระบบทไดรบมอบหมาย 16. เจาหนาทประจ าโครงการขององคกร

3. ขอก าหนดเกยวกบประเภทขอมลล าดบชนความลบของขอมลเวลาทไดเขาถง และชองทางการเขาถง

3.1 ประเภทขอมลขององคกร แบงไดดงน 3.1.1 ขอมลสารสนเทศดานการบรหาร

• นโยบาย • ขอมลยทธศาสตร • ขอมลค ารบรองการปฏบตราชการ • ขอมลบคลากร • ขอมลงบประมาณการเงนและบญช


3.1.2 ขอมลสารสนเทศดานการจดการและปฏบตงาน • ขอมลการด าเนนงานตามภารกจของกรมประมง • ขอมลกฎ ระเบยบ กฎหมายประมง • ขอมลการตดตอสอสารภายในกรมประมง • ขอมลตดตามการด าเนนงานตามภารกจของกรมประมง • ขอมลตดตามการใชจายงบประมาณ • ขอมลรายงานผลการปฏบตงาน

3.1.3 ขอมลสารสนเทศดานการใหบรการประชาชน • ขอมลทะเบยนเกษตรกรผเพาะเลยงสตวน า • ขอมลทะเบยนผประกอบการดานการประมง • ขอมลทะเบยนเรอ • ขอมลใบอนญาตและใบรบรองดานการประมง • ขอมลวชาการและองคความรดานการประมง • ขอมลดานการวจย • ขอมลภมสารสนเทศดานการประมง • ขอมลสถตการประมง • ขอมลการแจงเรอประมงตางประเทศเขาเทยบทา • ขอมลใบรบรองการแปรรปสตวน า • ขอมลแรงงานตางดาว • ขอมลการแจงเขา-ออก เรอประมงไทย • ขอมลพกดเรอ • ขอมลฟารมเพาะเลยงสตวน า • ขอมลดานการประมงอน ๆ ทใหบรการประชาชน

3.2 ล าดบความส าคญ หรอล าดบชนความลบของขอมล ใชแนวทางตามระเบยบวาดวยการรกษาความลบของทางราชการ พ.ศ.2544

ซงระเบยบดงกลาวเปนมาตรการทละเอยดรอบคอบถอวาเปนแนวทางทเหมาะสมในการจดการเอกสารอเลกทรอนกส และในการรกษาความปลอดภยของเอกสารอเลกทรอนกสโดยไดก าหนดกระบวนการและกรรมวธตอเอกสารทส าคญไวดงน

3.2.1 การก าหนดชนความลบตามความส าคญของขอมลในเอกสารก าหนดไว 3 ระดบ ไดแก ลบ ลบมาก ลบทสด และมการก าหนดความรบผดชอบใหแกผมอ านาจก าหนดชนความลบเปนผพจารณาก าหนดระดบชนความลบของเอกสารและการยกเลกหรอปรบระดบชนความลบของเอกสารตามความจ าเปน

3.2.2 การควบคมเอกสารโดยก าหนดใหมมาตรการควบคมตางๆ คอ การจดท าทะเบยนการตรวจสอบ การจดท าเอกสารการส าเนา และการแปลการโอนการสงและการรบ การเกบรกษาการยมการท าลายการปฏบตในเวลาฉกเฉนเวลาสญหายรวมถงการเปดเผยขอมลในเอกสาร


3.3 เวลาทไดเขาถง 3.3.1 การเขาถงสารสนเทศในเวลาราชการ (08.30 - 16.30 น.) 3.3.2 การเขาถงสารสนเทศนอกเวลาราชการ (นอกชวงเวลา 08.30 - 16.30 น.) 3.3.3 การเขาถงสารสนเทศในชวงเวลาวนหยดราชการ (วนหยดราชการ และวนหยด

นกขตฤกษ) 3.3.4 การเขาถงในชวงเวลาพเศษเปนรายครงตองระบชวงเวลาและจ านวนระยะเวลา

การเขาถง ระยะเวลาการเขาถง ไดแก • 1 - 3 วน • 1 สปดาห • 1 เดอน • 3 เดอน • ครงปงบประมาณ • ตามเวลาทรองขอ

3.4 ชองทางการเขาถง 3.4.1 ตดตอดวยตนเอง (เขาถงไดในเวลาราชการ) 3.4.2 เคานเตอรบรการ (เขาถงไดในเวลาราชการ) 3.4.3 โทรศพทหรอโทรสาร (เขาถงไดในเวลาราชการ) 3.4.4 หนงสอหรอบนทกขอความ (เขาถงไดในเวลาราชการ) 3.4.5 ระบบแลน (เขาถงไดทงในและนอกเวลาราชการ) 3.4.6 ระบบอนทราเนต (เขาถงไดทงในและนอกเวลาราชการ) 3.4.7 ระบบอนเทอรเนต (เขาถงไดทกชวงเวลา) 3.4.8 ระบบจดหมายอเลกทรอนกส (เขาถงไดทกชวงเวลา) 3.4.9 เวบไซต (เขาถงไดทกชวงเวลาหรอ ในชวงเวลาพเศษทก าหนด) 3.4.10 การประชมทางไกล (เขาถงไดในเวลาราชการ และในชวงเวลาพเศษเปนรายครง)

4. แนวปฏบตในการควบคมการเขาถงระบบ 4.1 สถานทตงของระบบเทคโนโลยสารสนเทศทส าคญตองมการควบคมการเขา-ออกทรดกม

และอนญาตใหเฉพาะบคคลทไดรบสทธและมความจ าเปนผานเขาใชงานไดเทานน 4.2 ผดแลระบบตองก าหนดสทธการเขาถงขอมลและระบบขอมลใหเหมาะสมกบการเขาใช

งานของผใชระบบและหนาทความรบผดชอบของเจาหนาทในการปฏบตงานกอนเขาใชระบบเทคโนโลยสารสนเทศ รวมทงมการทบทวนสทธการเขาถงอยางสม าเสมอ ทก 6 เดอนเปนอยางนอย ทงน ผใชระบบจะตองไดรบอนญาตจากผดแลระบบตามความจ าเปนในการใชงาน

4.3 ผดแลระบบหรอผทไดรบมอบหมายเทานนทสามารถแกไขเปลยนแปลงสทธการเขาถงขอมลและระบบขอมลได

4.4 ผดแลระบบควรจดใหมการตดตงระบบบนทกและตดตามการใชงานระบบเทคโนโลยสารสนเทศขององคกรและตรวจตราการละเมดความปลอดภยทมตอระบบขอมลส าคญ


4.5 ผดแลระบบตองจดใหมการบนทกรายละเอยดการเขาถงระบบ การแกไขเปลยนแปลงสทธตาง ๆ และการผานเขา-ออกสถานทตงของระบบ ของทงผทไดรบอนญาตและไมไดรบอนญาต เพอเปนหลกฐานในการตรวจสอบหากมปญหาเกดขน

5. แนวปฏบตการควบคมการเขาถงระบบเทคโนโลยสารสนเทศ 5.1 ผดแลระบบมหนาทในการตรวจสอบการอนมตและก าหนดสทธในการผานเขาสระบบ

ไดแก ผใชในการขออนญาตเขาระบบงานนน จะตองมการท าเปนเอกสารเพอขอสทธในการเขาสระบบและก าหนดใหมการลงนามอนมต เอกสารดงกลาวตองมการจดเกบไวเปนหลกฐาน

5.2 เจาของขอมล และ “เจาของระบบงาน” จะอนญาตใหผใชงานเขาสระบบเฉพาะ ในสวนทจ าเปนตองรตามหนาทงานเทานน เนองจากการใหสทธเกนความจ าเปนในการใชงาน จะน าไปสความเสยงในการใชงานเกนอ านาจหนาท ดงนนการก าหนดสทธในการเขาถงระบบงานตองก าหนดตามความจ าเปนขนต าในการใชงานตามภารกจเทานน

5.3 ผใชงานจะตองไดรบอนญาตจากเจาหนาททรบผดชอบขอมลและระบบงานตาม ความจ าเปนตอการใชงานระบบเทคโนโลยสารสนเทศ

6. แนวปฏบตการบรหารจดการการเขาถงของผใช 6.1 การลงทะเบยนเจาหนาทใหมขององคกร

6.1.1 จดท าแบบฟอรมการลงทะเบยนผใชงานส าหรบระบบเทคโนโลยสารสนเทศขององคกร

6.1.2 ผดแลระบบตองตรวจสอบวาผใชไดรบมอบหมายสทธจากเจาของระบบ ส าหรบการใชงานระบบสารสนเทศและบรการอยางถกตอง ตองมการอนมตรบรองการไดสทธจากผบรหารอยางชดเจน

6.1.3 ผดแลระบบตองตรวจสอบบญชผใชงานโดยไมมการลงทะเบยนผใชงานมากอน 6.1.4 ผดแลระบบตองตรวจสอบและใหสทธในการเขาถงท เหมาะสมตอหนาท

ความรบผดชอบและมความสอดคลองกบนโยบายความมนคงปลอดภยขององคกร 6.1.5 ผดแลระบบตองมอบเอกสารรบรองสทธการเขาถงแกผใช เพอแสดงถงสทธและ

หนาทความรบผดชอบของผใชงานในการเขาถงระบบเทคโนโลยสารสนเทศรวมทงก าหนดใหผใชงานท าการลงนามในเอกสารดงกลาวหลงจากทไดท าความเขาใจแลว

6.1.6 ผดแลระบบตองก าหนดใหมการถอดถอนสทธการเขาถงระบบเทคโนโลยสารสนเทศโดยทนทเมอผใชงานนนท าการลาออกหรอเปลยนต าแหนงงาน

6.1.7 การลงทะเบยนผใชงานผดแลระบบตองท าการตรวจสอบหรอทบทวนบญชผใชงานทงหมดเพอปองกนการเขาถงระบบเทคโนโลยสารสนเทศโดยไมไดรบอนญาต

6.1.8 การลงทะเบยนผใชงานระบบเทคโนโลยสารสนเทศ 6.1.8.1 เจาหนาท ใหมขององคกรกรอกขอมลค าขอใชบรการลงแบบฟอรม

ลงทะเบยนผใชงานระบบเทคโนโลยสารสนเทศ เชน ค าขอใชอนเทอรเนต ระบบอเมล หรอระบบงานตาง ๆ

6.1.8.2 ยนค าขอกบผอ านวยการศนยเทคโนโลยสารสนเทศและการสอสาร หรอเจาหนาทศนยเทคโนโลยสารสนเทศและการสอสารผทไดรบมอบหมาย


6.1.9 การใหสทธการใชงานระบบเทคโนโลยสารสนเทศ 6.1.9.1 ผดแลระบบตรวจสอบขอมลในแบบฟอรม ซงขอมลจะตองครบถวน

ทงหมดพรอมทงตองมลายเซนของผขอเขาใชงานระบบ ลายเซนของบคคลผมสทธอนญาต ใน การลงทะเบยนผใชงานระบบเทคโนโลยสารสนเทศ

6.1.9.2 ผดแลระบบตรวจสอบความซ าซอนของบญชผใชงาน 6.1.9.3 ผดแลระบบใหสทธการใชงานระบบตามค าขอในแบบฟอรม 6.1.10 การแจงยกเลกสทธการใชงานระบบเทคโนโลยสารสนเทศ 6.1.10.1 หวหนางานหรอผบงคบบญชา กรอกขอมลลงในแบบฟอรม และยน

ค าขอกบผอ านวยการศนยเทคโนโลยสารสนเทศและการสอสาร 6.1.10.2 ผดแลระบบยกเลกสทธการใชงานระบบตามค าขอในแบบฟอรม และ

ลบชอผใชงานออกจากระบบงานทเกยวของทงหมด 6.2 ก าหนดสทธการใชระบบเทคโนโลยสารสนเทศทส าคญ เชน ระบบคอมพวเตอร

โปรแกรมประยกต (Application) จดหมายอเลกทรอนกส (E-mail) ระบบเครอขายไรสาย (Wireless LAN) ระบบอนเทอรเนต เปนตน โดยตองใหสทธเฉพาะการปฏบตงานในหนาทและตองไดรบความเหนชอบจากผดแลระบบเปนลายลกษณอกษร รวมทงตองทบทวนสทธ ดงกลาว อยางสม าเสมอ

6.3 ผใชตองลงนามรบทราบสทธและหนาทเกยวกบการใชงานระบบเทคโนโลยสารสนเทศเปนลายลกษณอกษร และตองปฏบตตามอยางเครงครด

6.4 การบรหารจดการสทธการใชงานระบบและรหสผาน 6.4.1 ผดแลระบบทรบผดชอบระบบงานนน ๆ ตองก าหนดสทธของเจาหนาท ใน

การเขาถงระบบเทคโนโลยสารสนเทศแตละระบบ รวมทงก าหนดสทธแยกตามหนาททรบผดชอบ 6.4.2 การก าหนดการเปลยนแปลงและการยกเลกรหสผาน ตองปฏบตตาม “การบรหาร

จดการสทธการใชงานระบบและรหสผาน” 6.4.3 การสงรหสผานชวคราวใหกบผใชควรใชวธการทปลอดภยควรหลกเลยงการใช

บคคลทสามหรอการสงจดหมายอเลกทรอนกสทไมมการปองกนในการสงรหสผาน 6.4.4 ควรก าหนดใหผใชตอบยนยนการไดรบรหสผาน 6.4.5 ควรก าหนดใหผใชงานไมบนทกหรอเกบรหสผานไว ในระบบคอมพวเตอร

ในรปแบบทไมไดปองกนการเขาถง 6.4.6 การก าหนดชอผใชหรอรหส ID ตองเปนหนงเดยวคอไมซ ากน 6.4.7 กรณมความจ าเปนตองใหสทธพเศษกบผใช หมายถง ผใชทมสทธสงสดตองม

การพจารณาการควบคมผใชทมสทธพเศษนนอยางรดกมเพยงพอโดยใชปจจยตอไปน ประกอบ การพจารณา

6.4.7.1 ควรไดรบความเหนชอบและอนมตจากผดแลระบบงานนนๆ 6.4.7.2 ควรควบคมการใชงานอยางเขมงวด เชน ก าหนดใหมการควบคมการใชงาน

เฉพาะกรณจ าเปนเทานน


6.4.7.3 ควรก าหนดระยะเวลาการใชงานและระงบการใชงานทนทเมอพนระยะเวลาดงกลาว

6.4.7.4 ควรมการเปลยนรหสผานอยางเครงครด เชน ทกครงหลงหมด ความจ าเปนในการใชงาน หรอในกรณทมความจ าเปนตองใชงานเปนระยะเวลานานควรเปลยนรหสผานทก 3 เดอน เปนตน

6.4.8 สทธพเศษควรไดรบการมอบหมายใหกบรหสผใชทตางจากรหสผใชทใชงานตามปกต

6.5 การบรหารจดการการเขาถงขอมลตามระดบชนความลบ 6.5.1 ผดแลระบบตองบรหารจดการการเขาถงขอมลตามประเภทชนความลบใน

การควบคมการเขาถงขอมลแตละประเภทชนความลบ ทงการเขาถงโดยตรงและการเขาถงผานระบบงานระยะเวลาในการเขาถง ชองทางในการเขาถง รวมถงวธการท าลายขอมลแตละประเภทชนความลบดงตอไปน

6.5.1.1 ตองควบคมการเขาถงขอมลแตละประเภทชนความลบทงการเขาถงโดยตรงและการเขาถงผานระบบงาน

6.5.1.2 ตองก าหนดรายชอผใช (Username) และรหสผาน (Password) เพอใชในการตรวจสอบตวตนจรงของผใชขอมลในแตละชนความลบของขอมล

6.5.1.3 ควรก าหนดระยะเวลาการใชงานและระงบการใชงานทนทเมอพนระยะเวลาดงกลาว

6.5.1.4 การรบ-สงขอมลส าคญผานระบบเครอขายสาธารณะควร ไดรบ การเขารหส (Encryption) ทเปนมาตรฐานสากลเชน SSL VPN หรอ XML Encryption เปนตน

6.5.1.5 ควรก าหนดการเปลยนรหสผานตามระยะเวลาทก าหนดของระดบความส าคญของขอมล

6.5.1.6 ควรก าหนดมาตรการรกษาความมนคงปลอดภยของขอมลในกรณทน าเครองคอมพวเตอรออกนอกพนทของหนวยงาน เชน สงเครองคอมพวเตอรไปตรวจซอมควรส ารองและลบขอมลทเกบอยในสอบนทกกอน เปนตน

6.5.2 ผใชสามารถน าการเขารหสมาใชกบขอมลทเปนความลบ โดยใหปฏบตตามระเบยบการรกษาความลบทางราชการ พ.ศ. 2544

6.5.3 เจาของขอมลจะตองมการสอบทานความเหมาะสมของสทธในการเขาถงขอมลอยางนอยปละ 4 ครง เพอใหมนใจไดวาสทธตางๆ ทใหไวยงคงมความเหมาะสม

6.6 การบรหารจดการชอผใชงานและรหสผาน 6.6.1 ผดแลระบบตองก าหนดรหสผานเรมตนใหกบผใชงานหรอใชระบบการก าหนด

รหสผานอตโนมต 6.6.2 ผดแลระบบมการก าหนดระยะเวลาการเปลยนรหสผานโดยพจารณาจากล าดบ

ชนความลบของขอมลหรอความส าคญตามภารกจและรหสผานทก าหนดใหมตองไมซ ากบรหสผานเดม


6.6.3 ผใชงานทไดรบรหสผานในครงแรกหรอไดรบรหสผานใหมควรเปลยนรหสผาน ทไดรบโดยทนท

6.6.4 ผใชงานตองก าหนดรหสผานและเปลยนรหสผานของตนเองในการใช งาน ตามหลกเกณฑซงผดแลระบบก าหนดและตองยนยอมใหผดแลระบบด าเนนการใดๆ เพอให เกด ความมนคงปลอดภยของระบบเทคโนโลยสารสนเทศ

6.6.5 ผใชงานตองเกบรกษารหสผานใหเปนความลบและระมดระวงปองกนรหสผานของตนเองในการใชงานไมใหรวไหลไปยงผอนและไมมอบใหผอนน าไปใชไมวาดวยเหตใดๆ ทงสน เวนแตกรณผใชงานทมอ านาจอนมตใดๆ ในระบบเทคโนโลยสารสนเทศไมสามารถปฏบต ราชการ อนจะเปนเหตใหระบบเทคโนโลยสารสนเทศไมสามารถด าเนนการตอไปไดใหแตงตงผปฏบตงานแทนในชวงเวลาดงกลาวเพอใชเปนหลกฐานในการตรวจสอบการใชสทธและหลงจากผปฏบตงานแทนด าเนนการเรยบรอยแลวใหผใชงานซงเปนเจาของรหสผานท าการเปลยนรหสผานโดยทนท

6.6.6 ก าหนดใหรหสผานตองมมากกวาหรอเทากบ ๘ ตวอกษร (โดยมการผสมกนระหวางตวอกษรทเปนตวพมพปกตตวเลขและสญลกษณเขาดวยกน)

6.6.7 ไมควรก าหนดรหสผานอยางเปนแบบแผนเชน “abcdef” “aaaaaa” “๑๒๓๔๕” 6.6.8 ไมควรก าหนดรหสผานทเกยวของกบผใชงาน เชน ชอสกล วนเดอนปเกด ทอย 6.6.9 ไมควรก าหนดรหสผานเปนค าศพททอยในพจนานกรม 6.6.10 ก าหนดจ านวนครงทยอมใหผใชงานใสรหสผานผดไมเกน ๓ ครง 6.6.11 ไมใชรหสผานสวนบคคลส าหรบการใชแฟมขอมลรวมกบบคคลอนผาน

เครอขายคอมพวเตอร 6.6.12 ไมใชโปรแกรมคอมพวเตอรชวยในการจ ารหสผานสวนบคคลอตโนมต 6.6.13 ไมจดหรอบนทกรหสผานสวนบคคลไวในสถานททงายตอการสงเกตเหนของ

บคคลอน 6.6.14 ในกรณทไมใชระบบเทคโนโลยสารสนเทศใหผใชงานออกจากระบบ (Log off)

ทนทเพอปองกนบคคลอนมาใชระบบเทคโนโลยสารสนเทศตอเนอง และหากสงสยวารหสผานเกดการรวไหลตองเปลยนรหสผานทนท

6.6.15 เมอมปญหาการใชงานชอผใชงานและรหสผาน ใหตดตอผดแลระบบ เชน ลมชอผใชงานหรอรหสผาน

6.6.16 การสงมอบรหสผานใหกบผใชงานตองเปนไปอยางปลอดภยโดยใสซองปดผนกและประทบตรา“ลบ” และสงไปยงผใชงานและแนบเอกสาร “แนวปฏบตส าหรบการบรหารจดการชอผใชงานและรหสผาน” รวมทงแจงใหผใชงานปฏบตตามระเบยบดงกลาวโดยเครงครด

6.7 การใชงานรหสผาน 6.7.1 เกบรหสผานไวเปนความลบ 6.7.2 หลกเลยงการบนทกรหสผาน (เชน บนทกลงในกระดาษในแฟมขอมลหรอ

ในอปกรณพกพกตางๆ ) นอกจากวาจะเปนการบนทกอยางปลอดภยและวธการในการบนทกไดรบการอนมตแลว


6.7.3 เปลยนรหสผานทกครงทมสญญาณบอกเหตวารหสผานอาจรวไหลได 6.7.4 ก าหนดรหสผานทมคณภาพและมความยาวเพยงพอส าหรบ

6.7.4.1 งายส าหรบจดจ า 6.7.4.2 ไมอยบนพนฐานของสงทคนอนสามารถคาดเดาไดงายหรอสามารถหา

ไดจากขอมลเกยวกบตน เชน ชอ หมายเลขโทรศพท และวนเกด เปนตน 6.7.4.3 ไมสรางจดออนโดยการใชค าทอยในพจนานกรม 6.7.4.4 ไมมค าซ าหรอตวอกษรซ า ไมควรเปนตวเลขทงหมดหรอไมควรเปน

ตวอกษรทงหมด 6.7.5 เปลยนรหสผานอยางสม าเสมออยางนอยตามชวงเวลาทก าหนดหรอขนอยกบ

จ านวนการเขาถงระบบ (รหสผานส าหรบผใชทไดสทธพเศษควรไดรบการเปลยนแปลงบอยกวาปกต) และหลกเลยงการวนใชรหสผานเดมทเคยใชแลว

6.7.6 ก าหนดใหเปลยนแปลงรหสผานชวคราวทนททเขาใชงานเปนครงแรก 6.7.7 ไมเกบรหสผานไวในโปรแกรมหรอกระบวนการ Login อตโนมต 6.7.8 ไมใชรหสผานรวมกบผอน 6.7.9 ไมใชรหสผานเดยวกนในกรณใชในการปฏบตงานและในกรณใชสวนตว 6.7.10 ถาผใชจ าเปนตองเขาถงขอมลหรอบรการจากหลายระบบและจ าเปนตองดแล

จดจ ารหสผานหลายตวควรแนะน าใหใชรหสผานเดยวกนทมคณภาพขางตนส าหรบการ เขาถง ทกระบบ ซงระบบเหลานนควรมการรกษาความมนคงปลอดภยในระดบทเชอถอได

6.8 การทบทวนสทธการเขาถงของผใชงาน 6.8.1 สทธการเขาถงขอมลของผใชควรไดรบการพจารณาทบทวนอยางสม าเสมอตาม

ชวงระยะเวลาทก าหนด เชน ทกๆ 6 เดอนและทกครงทมการปรบเปลยน เชน การยายหนวยงาน การเลอนต าแหนง การเปลยนหนาทรบผดชอบ หรอการยกเลกการจาง เปนตน

6.8.2 สทธการเขาถงขอมลควรไดรบการทบทวนและจดสรรใหมเมอมการเคลอนยายบคลากรภายในองคกร

6.8.3 การใหอ านาจส าหรบสทธการเขาถงพเศษควรมการทบทวนบอยกวา เชน ท าทก 3 เดอน เปนตน

6.8.4 การจดสรรสทธพเศษควรไดรบการตรวจสอบอยางสม าเสมอตามชวงระยะเวลาทก าหนดเพอใหมนใจไดวาไมมการไดสทธพเศษกบผใชทไมไดรบมอบอ านาจ

6.8.5 ความเปลยนแปลงของผใชทไดรบสทธพเศษควรถกบนทกเพอการทบทวน 6.9 การปองกนอปกรณในขณะทไมมผใชงานทอปกรณ

6.9.1 ผดแลระบบตองก าหนดใหผใชงานออกจากระบบเทคโนโลยสารสนเทศ ระบบงานเครองคอมพวเตอรทใชงานหรอเครองคอมพวเตอรพกพาโดยทนทเมอเสรจสนงาน

6.9.2 ผใชงานตองลอคอปกรณทส าคญเมอไมไดใชงานหรอปลอยทงไวโดยไมไดดแลชวคราว 6.9.3 ผดแลระบบตองก าหนดใหพนกงานปองกนผอนเขาใชเครองคอมพวเตอรหรอ

ระบบเทคโนโลยสารสนเทศของตนโดยใสรหสผานไดถกตองกอนเขาใชงานเครองคอมพวเตอร


7. แนวปฏบตการบรหารจดการการเขาถงระบบเครอขาย 7.1 ผดแลระบบตองมการออกแบบระบบเครอขายตามกลมของบรการระบบเทคโนโลย

สารสนเทศทมการใชงาน กลมของผใช และกลมของระบบสารสนเทศ เชน โซนภายใน (Internal Zone) โซนภายนอก (External Zone) เปนตน เพอท าใหการควบคม และปองกนการบกรกไดอยางเปนระบบ

7.2 การเขาสระบบเครอขายภายในขององคกร โดยผานทางอนเทอรเนตหรออนทราเนต จะตองไดรบการอนมตเปนลายลกษณอกษรจากผอ านวยการศนยเทคโนโลยสารสนเทศและ การสอสาร กอนทจะสามารถใชงานไดในทกกรณ

7.3 ผดแลระบบตองมวธการจ ากดสทธการใชงานเพอควบคมผใชใหสามารถใชงานเฉพาะเครอขายทไดรบอนญาตเทานน

7.4 ผดแลระบบควรมวธการจ ากดเสนทางการเขาถงเครอขายทมการใชงานรวมกน 7.5 ผดแลระบบควรจดใหมวธเพอจ ากดการใชเสนทางบนเครอขาย (Enforced Path) จาก

เครองลกขายไปยงเครองแมขาย เพอไมใหผใชสามารถใชเสนทางอนๆ ได 7.6 ตองก าหนดบคคลทรบผดชอบในการก าหนด แกไข หรอเปลยนแปลงคา Parameter

ตางๆ ของระบบเครอขายและอปกรณตางๆ ทเชอมตอกบระบบเครอขายอยางชดเจน และควรมการทบทวนการก าหนดคา parameter ตางๆ อยางนอยปละครง นอกจากนการก าหนดแกไขหรอเปลยนแปลงคา Parameter ควรแจงบคคลทเกยวของใหรบทราบทกครง

7.7 ระบบเครอขายทงหมดขององคกรทมการเชอมตอไปยงระบบเครอขายอน ๆ ภายนอกองคกรควรเชอมตอผานอปกรณปองกนการบกรกหรอโปรแกรมในการท า Packet Filtering เชน การใช Firewall หรอ Hardware อนๆ รวมทงตองมความสามารถในการตรวจมลแวร (Malware) ดวย

7.8 ตองมการตดตงระบบตรวจจบการบกรก (IPS/IDS) เพอตรวจสอบการใชงานของบคคลทเขาใชงานระบบเครอขายขององคกรในลกษณะทผดปกตผานระบบเครอขาย โดย ม การตรวจสอบการบกรกผานระบบเครอขาย การใชงานในลกษณะทผดปกตและการแกไขเปลยนแปลงระบบเครอขายโดยบคคลทไมมอ านาจหนาทเกยวของ

7.9 การเขาสระบบงานเครอขายภายในองคกร โดยผานทางอนเทอรเนตจ าเปนตองม การ Login และตองมการพสจนยนยนตวตน (Authentication) เพอตรวจสอบความถกตอง

7.10 IP address ภายในของระบบงานเครอขายภายในขององคกร จ าเปนตองมการปองกนมใหหนวยงานภายนอกทเชอมตอสามารถมองเหนได เพอเปนการปองกนไมใหบคคลภายนอกสามารถรขอมลเกยวกบโครงสรางของระบบเครอขายและสวนประกอบของศนย เทคโนโลยสารสนเทศและการสอสารไดโดยงาย

7.11 ตองจดท าแผนผงระบบเครอขาย (Network Diagram) ซงมรายละเอยดเกยวกบขอบเขตของเครอขายภายในและเครอขายภายนอก และอปกรณตาง ๆ พรอมทงปรบปรงใหเปนปจจบนอยเสมอ

7.12 การใชเครองมอตางๆ (Tools) เพอการตรวจสอบระบบเครอขาย ควรไดรบ การอนมตจากผดแลระบบ และจ ากดการใชงานเฉพาะเทาทจ าเปน

7.13 การตดตงและการเชอมตออปกรณเครอขายจะตองด าเนนการโดย เจาหนาท ศนยเทคโนโลยสารสนเทศและการสอสารเทานน


8. แนวปฏบตการบรหารจดการระบบคอมพวเตอรแมขาย 8.1 ควรก าหนดบคคลทรบผดชอบในการดแลระบบคอมพวเตอรแมขาย (Server) ใน

การก าหนดแกไข หรอเปลยนแปลงคาตางๆ ของโปรแกรมระบบ (System Software) อยางชดเจน 8.2 ตองมขนตอนหรอวธปฏบตในการตรวจสอบระบบคอมพวเตอรแมขายและในกรณท

พบวามการใชงานหรอเปลยนแปลงคาในลกษณะผดปกต จะตองด าเนนการแกไข รวมทง ม การรายงานโดยทนท

8.3 ตองเปดใชบรการ (Service) เทาทจ าเปนเทานน เชน บรการ Telnet Ftp หรอ Ping เปนตน ทงนหากบรการทจ าเปนตองใชมความเสยงตอระบบรกษาความปลอดภยแลว ตองมมาตรการปองกนเพมเตมดวย

8.4 ควรด าเนนการตดตงอพเดตระบบซอฟตแวรใหเปนปจจบน เพออดชองโหวตางๆ ของโปรแกรมระบบ (System Software) อยางสม าเสมอ เชน Web Server เปนตน

8.5 ควรมการทดสอบโปรแกรมระบบ (System..Software) เกยวกบการรกษา ความปลอดภยและประสทธภาพการใชงานโดยทวไปกอนตดตงและหลงจากการแกไขหรอบ ารงรกษา

8.6 การตดตงและการเชอมตอระบบคอมพวเตอรแมขายจะตองด าเนนการโดยเจาหนาทศนยเทคโนโลยสารสนเทศและการสอสารเทานน

9. แนวปฏบตการบรหารจดการการบนทกและตรวจสอบ 9.1 ควรก าหนดใหมการบนทกการท างานของระบบคอมพวเตอรแมขายและเครอขาย

บนทกการปฏบตงานของผใชงาน (Application Logs) และบนทกรายละเอยดของระบบปองกน การบกรก เชน บนทกการเขา-ออกระบบ บนทกการพยายามเขาสระบบ บนทกการใชงาน Command Line และ Firewall.Log เปนตน เพอประโยชนในการใชตรวจสอบและตองเกบบนทกดงกลาวไวอยางนอย 3 เดอน

9.2 ควรมการตรวจสอบบนทกการปฏบตงานของผใชงานอยางสม าเสมอ 9.3 ตองมวธการปองกนการแกไขเปลยนแปลงบนทกตางๆ และจ ากดสทธการเขาถงบนทก

เหลานนใหเฉพาะบคคลทเกยวของเทานน

10. แนวปฏบตการควบคมการเขาใชงานระบบจากภายนอกศนยเทคโนโลยสารสนเทศและการสอสาร ตองก าหนดใหมการควบคมการใชงานระบบทผดแลระบบไดตดตงไวภายในองคกร เพอดแล

รกษาความปลอดภยของระบบจากภายนอก โดยมแนวทางปฏบต ดงน 10.1 การเขาสระบบจากระยะไกล (Remote...Access) สระบบเครอขายคอมพวเตอรของ

องคกร กอใหเกดชองทางทมความเสยงสงตอความปลอดภยของขอมลและทรพยากรขององคกร การควบคมบคคลทเขาสระบบขององคกรจากระยะไกลจงตองมการก าหนดมาตรการการรกษา ความปลอดภยทเพมขนจากมาตรฐานการเขาสระบบภายใน

10.2 วธการใดๆ กตามทสามารถเขาสขอมลหรอระบบขอมลไดจากระยะไกลตองไดรบ การอนมตจากผอ านวยการศนยเทคโนโลยสารสนเทศและการสอสารกอน และมการควบคมอยางเขมงวดกอนน ามาใชและผใชตองปฏบตตามขอก าหนดของการเขาสระบบและขอมลอยางเครงครด


10.3 กอนท าการใหสทธในการเขาสระบบจากระยะไกล ผใชตองแสดงหลกฐานระบเหตผล หรอความจ าเปนในการด าเนนงานกบองคกรอยางเพยงพอและตองไดรบอนมตจากผมอ านาจอยางเปนทางการ

10.4 ตองมการควบคมพอรต (Port) ทใชในการเขาสระบบอยางรดกม 10.5 การอนญาตใหผใชเขาสระบบจากระยะไกล ตองอยบนพนฐานของความจ าเปนเทานน

และไมควรเปด Port และ Modem ทใชทงเอาไวโดยไมจ าเปน ชองทางดงกลาวควรตดการเชอมตอเมอไมไดใชงานแลว และจะเปดใหใชไดตอเมอมการรองขอทจ าเปนเทานน

11. แนวปฏบตการพสจนตวตนส าหรบผใชทอยภายนอก ผ ใชระบบทกคนเมอจะเขาใชงานระบบ ไมว าจะเปนการเขาส ระบบ สารสนเทศ

ทางอนเทอรเนต หรอการเขาสระบบจากระยะไกล (Remote Access) จะตองผานการพสจนตวตน จากระบบขององคกร อยางนอย 1 วธ ส าหรบในทางปฏบตจะแบงออกเปนสองขนตอน คอ

1. การแสดงตวตน (Identification) คอ ขนตอนปอนชอผใช (Username) 2. การพสจนยนยนตวตน (Authentication) คอ ขนตอนปอนรหสผาน (Password)


สวนท 4 นโยบายการควบคมหนวยงานภายนอกเขาถงระบบเทคโนโลยสารสนเทศ

(Third Party Access Control Policy)

1. วตถประสงค การใชบรการจากหนวยภายนอกอาจกอใหเกดความเสยงได เชน ความเสยงตอการเขาถง

ขอมล ความเสยงตอการถกแกไขขอมลอยางไมถกตอง และการประมวลผลของระบบงานโดยไมได รบอนญาต เปนตน เพอใหการควบคมหนวยงานภายนอกทมการเขาใชงานระบบเทคโนโลยสารสนเทศขององคกรใหเปนไปอยางมนคงปลอดภยและก าหนดแนวทางในการคดเลอก ควบคมการปฏบตงานของหนวยงานภายนอก เชน การพฒนาระบบการใชบรการของทปรกษา การใชบรการดานระบบเทคโนโลยสารสนเทศจากหนวยงานภายนอก เปนตน

2. ผรบผดชอบ 1. ศนยเทคโนโลยสารสนเทศและการสอสาร 2. ส านกงานเลขานการกรม 3. กองคลง 4. กองควบคมการคาสตวน าและปจจยการผลต 5. กองตรวจสอบคณภาพสนคาประมง 6. กองนโยบายและยทธศาสตรพฒนาการประมง 7. กองบรหารจดการทรพยากรและก าหนดมาตรการ 8. กองบรหารจดการเรอประมงและการท าการประมง 9. กองแผนงาน 10. กองพฒนาระบบการรบรองมาตรฐานสนคาประมงและหลกฐานเพอการสบคน 11. กองวจยและพฒนาการเพาะเลยงสตวน าชายฝง 12. กองวจยและพฒนาประมงทะเล 13. กองวจยและพฒนาประมงน าจด 14. และหนวยงานทโปรแกรมประยกตหรอแอพพลเคชน 15. ผดแลระบบทไดรบมอบหมาย 16. เจาหนาทประจ าโครงการขององคกร

3. แนวปฏบตทวไป 3.1 ผอ านวยการศนยเทคโนโลยสารสนเทศและการสอสารตองก าหนดใหมการประเมน

ความเสยงจากการเขาถงระบบเทคโนโลยสารสนเทศ หรออปกรณทใชในการประมวลผลโดยหนวยงานภายนอก และก าหนดมาตรการรองรบหรอแกไขทเหมาะสมกอนทจะอนญาตใหเขาถงระบบเทคโนโลยสารสนเทศได


3.2 การควบคมการเขาใชงานระบบเทคโนโลยสารสนเทศของหนวยงานภายนอก 3.2.1 บคคลภายนอกทตองการสทธในการเขาใชงานระบบเทคโนโลยสารสนเทศของ

องคกรจะตองท าเรองขออนญาตเปนลายลกษณอกษร เพอขออนมตจากผอ านวยการศนยเทคโนโลยสารสนเทศและการสอสาร

3.2.2 จดท าเอกสารแบบฟอรมส าหรบใหหนวยงานภายนอกท าการระบ เหตผล ความจ าเปนทตองเขาใชงานระบบเทคโนโลยสารสนเทศ ซงตองมรายละเอยดอยางนอย ดงน

3.2.2.1 เหตผลในการขอใช 3.2.2.2 ระยะเวลาในการใช 3.2.2.3 การตรวจสอบความปลอดภยของอปกรณทเชอมตอเครอขาย 3.2.2.4 การตรวจสอบ MAC Address ของเครองคอมพวเตอรทเชอมตอ 3.2.2.5 การก าหนดการปองกนในเรองการเปดเผยขอมล

3.2.3 หนวยงานภายนอกทท างานใหกบองคกรทกหนวยงาน ไมวาจะท างานอยภายในองคกรหรอนอกสถานท จ าเปนตองลงนามในสญญาการไมเปดเผยขอมลขององคกร โดยสญญาตองจดท าใหเสรจกอนใหสทธในการเขาสระบบเทคโนโลยสารสนเทศ

3.2.4 องคกรควรพจารณาการเขาไปประเมนความเสยงหรอจดท าการควบคมภายในของหนวยงานภายนอก ทงน ขนอยกบความส าคญของระบบเทคโนโลยสารสนเทศทเขาไปปฏบตงาน

3.2.5 เจาของโครงการซงรบผดชอบตอโครงการทมการเขาถงขอมลโดยหนวยงานภายนอกตองก าหนดการเขาใชงานเฉพาะบคคลทจ าเปนเทานนและใหหนวยงานภายนอกลงนาม ในสญญาไมเปดเผยขอมล

3.2.6 ส าหรบโครงการขนาดใหญ หนวยงานภายนอกทสามารถเขาถงขอมลทมความส าคญขององคกร ผดแลระบบตองควบคมการปฏบตงานนนๆ ใหมความมนคงปลอดภยทง 3 ดาน คอ การรกษาความลบ (Confidentially) การรกษาความถกตองของขอมล (Integrity) และการรกษาความพรอมทจะใหบรการ (Availability)

3.2.7 องคกรมสทธในการตรวจสอบตามสญญาการใชงานระบบเทคโนโลยสารสนเทศเพอใหมนใจวา องคกรสามารถควบคมการใชงานไดอยางทวถงตามสญญานน

3.2.8 ควรด าเนนการใหผใหบรการหนวยงานภายนอกจดท าแผนการด าเนนงาน คมอ การปฏบตงานและเอกสารทเกยวของ รวมทงมการปรบปรงใหทนสมยอยเสมอเพอควบคมหรอตรวจสอบการใหบรการของผใหบรการไดอยางเขมงวด เพอใหมนใจไดวาเปนไปตามขอบเขตทไดก าหนดไว


สวนท 5 นโยบายการควบคมการเขาถงและใชบรการระบบเครอขาย

(Network Access Control)

1. วตถประสงค เพอก าหนดมาตรการควบคมปองกนมใหบคคลทไมมอ านาจหนาทเกยวของในการปฏบต

หนาทเขาถงลวงรแกไข เปลยนแปลงระบบเครอขายและการสอสารทส าคญ ซงจะท าใหเกดความเสยหายตอขอมลและระบบสารสนเทศขององคกร โดยมการก าหนดนโยบายและแนวปฏบตควบคมการเขาใชงานเครอขายทแตกตางกนของกลมเครอขายตางๆ ตามการแบงแยกเครอขายเปน VLAN

2. ผรบผดชอบ 1. ศนยเทคโนโลยสารสนเทศและการสอสาร 2. ผดแลระบบทไดรบมอบหมาย

3. แนวปฏบตการควบคมการเขาถงและใชบรการระบบเครอขาย 3.1 การใชงานบรการเครอขาย

3.1.1 หามผใชงานกระท าการใดๆ เกยวกบขอมลทเปนการขดตอกฎหมายหรอศลธรรมอนดแหงสาธารณชนโดยผใชงานรบรองวาหากมการกระท าการใดๆ ดงกลาวยอมถอวาอยนอกเหนอ ความรบผดชอบขององคกร

3.1.2 องคกรไมอนญาตใหผใชงานกระท าการใดๆ ทเขาขายลกษณะเพอการคาหรอ การแสวงหาผลก าไรผานเครองคอมพวเตอรและเครอขาย เชน การประกาศแจงความ การซอ หรอ การจ าหนายสนคา การน าขอมลไปซอขาย การรบบรการคนหาขอมล โดยคดคาบรการการใหบรการโฆษณาสนคา หรอการเปดบรการอนเทอรเนตแกบคคลทวไปเพอแสวงหาก าไร

3.1.3 ผใชงานตองไมละเมดตอผอน คอ ผใชงานตองไมอานเขยนลบเปลยนแปลงหรอแกไขใดๆ ในสวนทมใชของตนโดยไมไดรบอนญาตการบกรก (Hack) เขาสบญชผใชงาน (User Account) ของผอนการเผยแพรขอความใดๆ ทกอใหเกดความเสยหายเสอมเสยแกผอนการใชภาษาไมสภาพหรอการเขยนขอความทท าใหผอนเสยหายถอเปนการละเมดสทธของผอนทงสน ผใชงานตองรบผดชอบ แตเพยงฝายเดยวองคกรไมมสวนรวมรบผดชอบความเสยหายดงกลาว

3.1.4 หามมใหผใดเขาใชงานโดยมไดรบอนญาตการบกรกหรอพยายามบกรกเขาสระบบถอวาเปนการพยายามรกล าเขตหวงหามของทางราชการ

3.1.5 องคกรใหบญชผใชงาน (User Account) เปนการเฉพาะบคคลเทานนผใชงานจะ โอนหรอจายแจกสทธนใหกบผอนไมได

3.1.6 บญชผใชงาน (User Account) ทองคกรใหกบผใชงานนน ผใชงานตองเปนผรบ ผดชอบผลตางๆ อนอาจจะเกดมขนรวมถงผลเสยหายตางๆ ทเกดจากบญชผใชงาน (User Account) นนๆ เวนแตจะพสจนไดวาผลเสยหายนนเกดจากการกระท าของผอน

3.1.7 ก าหนดใหผใชงานสามารถเขาถงระบบสารสนเทศไดแตเพยงบรการท ได รบอนญาตใหเขาถงเทานน


3.1.8 หามเปดหรอใชงานโปรแกรมประเภท Peer-to-Peer หรอโปรแกรมท ม ความเสยงเวนแตจะไดรบอนญาตจากผบงคบบญชา

3.1.9 หามเปดหรอใชงานโปรแกรมออนไลนทกประเภทเพอความบนเทงในระหวางปฏบตงาน

3.2 การยนยนตวบคคลส าหรบผใชงานทอยภายนอกหนวยงาน จะตองมขอปฏบตหรอกระบวนการใหมการยนยนตวบคคลกอนทจะอนญาตใหผใชงานท

อยภายนอกหนวยงานสามารถเขาใชงานเครอขายและระบบสารสนเทศของหนวยงานได ดงน 3.2.1 ผใชงานทจะเขาใชงานระบบตองแสดงตวตน (Identification) ดวยชอผใชงาน

(Username) ทกครง 3.2.2 ใหมการตรวจสอบผใชงานทกครงกอนทจะอนญาตใหเขาถงระบบขอมลโดย

จะตองมวธการยนยนตวบคคล (Authentication) เพอแสดงวาเปนผใชงานตวจรง เชน การใชรหสผาน (Password) หรอการใชสมารทการด เปนตน

3.2.3 จะตองมวธการในการตรวจสอบเพอพสจนตวตนส าหรบการเขาสระบบสารสนเทศของหนวยงานอยางนอย 1 วธ

3.2.4 ตองมการตรวจสอบผใชงานเมอมเขาสระบบสารสนเทศของหนวยงานจากอนเทอรเนต

3.3 ผดแลระบบหองควบคมระบบเครอขายและเจาหนาทองคกรมแนวทางปฏบต ดงน 3.3.1 ผดแลระบบหองควบคมระบบเครอขายตองท าการก าหนดสทธบคคลใน

การเขา-ออกหองควบคมระบบเครอขายโดยเฉพาะบคคลทปฏบตหนาทเกยวของภายใน เชน เจาหนาทปฏบตงานคอมพวเตอรและเจาหนาทผดแลระบบ เปนตน

3.3.2 สทธในการเขา-ออกหองตางๆ ภายในหองควบคมระบบเครอขายของเจาหนาทแตละคนตองไดรบการอนมตจากหวหนากลมบรหารจดการระบบเครอขายและความปลอดภยเทคโนโลยสารสนเทศเปนลายลกษณอกษร โดยสทธของเจาหนาทแตละคนขนอยกบหนาท การปฏบตงานภายหองควบคมระบบเครอขาย

3.3.3 ตองจดท าระบบเกบบนทกการเขา-ออกองคกร ตามกระบวนการทระบไวในเอกสาร“แบบฟอรมการเขา-ออกพนท”

3.3.4 กรณเจาหนาททไมมหนาทเกยวของประจ ามความจ าเปนตองเขา -ออกหองควบคมระบบเครอขายกตองมการควบคมอยางรดกม

3.3.5 การเขาถงหองควบคมระบบเครอขายตองมการลงบนทกตามแบบฟอรมทระบไวในเอกสาร “แบบฟอรมการเขา-ออกพนท”

3.4 ผตดตอจากหนวยงานภายนอกมแนวทางปฏบต ดงน 3.4.1 ผตดตอจากหนวยงานภายนอกทกคนตองท าการลงบนทกขอมลลงในสมด

บนทกตามทระบไวในเอกสาร “แบบฟอรมการเขา-ออกพนท”


3.4.2 ผตดตอจากหนวยงานภายนอกทน าอปกรณคอมพวเตอรหรออปกรณทใช ใน การปฏบตงานภายในองคกรมาปฏบตงานทหองควบคมระบบเครอขาย ตองลงบนทกรายการอปกรณในแบบฟอรมการขออนญาตเขา-ออก ตามทระบไวในเอกสาร “แบบฟอรมการเขา-ออกพนท” ใหถกตองชดเจน

3.4.3 เจาหนาทควรตรวจสอบความถกตองของขอมลในสมดบนทกเปนประจ าทกเดอน 3.5 การระบอปกรณบนเครอขาย

3.5.1 ผดแลระบบมการเกบบญชการขอเชอมตอเครอขาย ไดแก รายชอผขอใชบรการรายละเอยดเครองคอมพวเตอรทขอใชบรการ IP Address และสถานทตดตง

3.5.2 กรณอปกรณทมการเชอมตอจากเครอขายภายนอกตองมการระบหมายเลขอปกรณวาสามารถเขาเชอมตอกบเครอขายภายในไดหรอไมสามารถเชอมตอได

3.5.3 อปกรณเครอขายตองสามารถตรวจสอบ IP Address ของทงตนทางและปลายทางได 3 .5 .4 ผ ขอใชบรการตองท าหน งสอเปนลายลกษณ อกษรถ ง ผ อ านวยการ

ศนยเทคโนโลยสารสนเทศและการสอสาร เรอง “การขอเชอมตอเครอขาย” และตองไดรบการอนมตจากผบงคบบญชาตามล าดบชน

3.6 การปองกนพอรตทใชส าหรบตรวจสอบและปรบแตงระบบ 3.6.1 ผดแลระบบตองก าหนดการเปด-ปดพอรตของอปกรณเครอขาย เพอควบคม

การเขาถงตอพอรตของอปกรณเครอขายตางๆ โดยจะปดพอรตทเสยงทจะกอใหเกดความเสยหายตอระบบเครอขาย

3.6.2 บคคลภายนอกเขามาตดตอหรอเขามาด าเนนการใดๆ ในหองควบคมระบบเครอขาย/ระบบคอมพวเตอร จะตองลงชอเขา-ออกใน “แบบฟอรมการเขา-ออกพนท” ใหถกตองและไดรบการอนมตจากหวหนากลมบรหารจดการระบบเครอขายและความปลอดภยเทคโนโลยสารสนเทศกอนซงตองมเจาหนาทอยกบบคคลทมาตดตอตลอดเวลา

3.6.3 บคคลภายนอกเขามาด าเนนการบ ารงรกษาบรหารจดการพอรตของอปกรณเครอขายหรอบรหารจดการผานระบบเครอขาย ตองไดรบการอนมตจากผบงคบบญชาตามล าดบชน

3.6.4 ตองยกเลกหรอปดพอรตและบรการบนอปกรณเครอขายทไมมความจ าเปน ในการใชงาน

3.7 การแบงแยกเครอขาย 3.7.1 องคกรแบงแยกเครอขายเปนเครอขายยอยๆ ตามอาคารตางๆ เพอควบคม

การเขาถงเครอขายโดยไมไดรบอนญาต 3.7.2 องคกรจดแบงเครอขายภายในและเครอขายภายนอกเพอความปลอดภยใน

การใชงานระบบสารสนเทศ 3.7.3 องคกรตดตง Firewall เพอปองกนทางเขาเครอขายจากผไมหวงด


3.8 การควบคมการเชอมตอทางเครอขาย ตองควบคมการเขาถงหรอใชงานเครอขายทมการใชรวมกนหรอเชอมตอระหวางให

สอดคลองกบแนวปฏบตการควบคมการเขาถง ดงน 3.8.1 มการตรวจสอบการเชอมตอเครอขาย 3.8.2 จ ากดสทธความสามารถของผใชในการเชอมตอเขาสเครอขาย 3.8.3 ระบอปกรณเครองมอทใชควบคมการเชอมตอเครอขาย 3.8.4 มระบบการตรวจจบผบกรกทงในระดบเครอขายและระดบเครองคอมพวเตอร

แมขาย 3.8.5 ควบคมไมใหมการเปดใหบรการบนเครอขายโดยไมไดรบอนญาต

3.9 การควบคมการจดเสนทางบนเครอขาย ตองควบคมการจดเสนทางบนเครอขายเพอใหการเชอมตอของคอมพวเตอรและ

การสงผานหรอไหลเวยนของขอมลหรอสารสนเทศสอดคลองกบแนวปฏบตการควบคมการเขาถงหรอการประยกตใชงานตามภารกจ ดงน

3.9.1 ควบคมไมใหมการเปดเผยแผนการใชหมายเลขเครอขาย (IP Address) 3.9.2 ก าหนดใหมการแปลงหมายเลขเครอขายเพอแยกเครอขายยอย 3.9.3 ก าหนดมาตรการการบงคบใชเสนทางเครอขายสามารถเชอม เครอขาย

ปลายทางผานทางทก าหนดไวหรอจ ากดสทธในการใชบรการเครอขาย


สวนท 6 นโยบายการควบคมการเขาถงระบบปฏบตการ

(Operating System Access Control)

1. วตถประสงค เพอใหผใชงานไดรบทราบถงหนาทและความรบผดชอบในการใชระบบปฏบตการรวมทง

ท าความเขาใจตลอดจนปฏบตตามอยางเครงครดอนจะเปนการปองกนทรพยากรและขอมลของหนวยงานใหมความลบ (Confidentiality) ความถกตองสมบรณ (Integrity) และมความพรอมใชงานอยเสมอ (Availability)

2. ผรบผดชอบ 1. ศนยเทคโนโลยสารสนเทศและการสอสาร 2. หนวยงานภายในกรมประมง 3. ผดแลระบบทไดรบมอบหมาย

3. แนวปฏบตเพอการเขาใชงานทมนคงปลอดภย 3.1 ผใชงานตองก าหนดรหสผานในการใชงานเครองคอมพวเตอรทรบผดชอบ 3.2 ผใชงานตองตงคาการใชงานโปรแกรมถนอมหนาจอ (Screen Saver) เพอท าการลอค

หนาจอภาพเมอไมมการใชงาน หลงจากนนเมอตองการใชงานผ ใชบรการตองใสรหสผาน (Password) เพอเขาใชงาน

3.3 กอนการเขาใชระบบปฏบตการตองใส User และ Password ทกครง 3.4 ผใชงานตองไมอนญาตใหผ อนใชชอผใช (Username) และรหสผาน (Password)

ของตนในการเขาใชงานเครองคอมพวเตอรของหนวยงานรวมกน 3.5 ผใชงานตองท าการลงบนทกออก (Logout) ทนท เมอเลกใชงานหรอไมอยทหนาจอ

เปนเวลานาน 3.6 หามเปดหรอใชงานโปรแกรมประเภท Peer-to-Peer หรอโปรแกรมทมความเสยง

เวนแตจะไดรบอนญาตจากผบงคบบญชา 3.7 ซอฟตแวรทองคกรใชมลขสทธผใชงานสามารถขอใชงานไดตามหนาทความจ าเปน

และหามไมใหผใชงานท าการตดตงหรอใชงานซอฟตแวรอนใดทไมมลขสทธ หากตรวจพบถอวาเปนความผดสวนบคคลผใชงานรบผดชอบแตเพยงผเดยว

3.8 ซอฟตแวรทองคกรจดเตรยมไวใหผ ใชงานถอเปนสงจ าเปนหามมให ผ ใชงาน ท าการตดตงถอดถอนเปลยนแปลงแกไขหรอท าส าเนาเพอน าไปใชงานทอน

3.9 หามใชทรพยากรทกประเภททเปนขององคกรเพอประโยชนทางการคา 3.10 หามผใชงานน าเสนอขอมลทผดกฎหมายละเมดลขสทธ แสดงขอความรปภาพ

ไมเหมาะสมหรอขดตอศลธรรม กรณผใชสรางเวบเพจบนเครอขายคอมพวเตอร 3.11 หามผใชระบบสารสนเทศขององคกร เพอควบคมคอมพวเตอรหรอระบบสารสนเทศ

ภายนอกโดยไมไดรบอนญาตจากผมอ านาจ


4. แนวปฏบตการระบและยนยนตวตนของผใชงาน (User Identification and Authentication) 4.1 ผใชงานตองท าการพสจนตวตนทกครงกอนใชระบบเทคโนโลยสารสนเทศเพอปองกน

ผไมมสทธเขาใชงานระบบเทคโนโลยสารสนเทศ หากการระบและยนยนตวตนของผใชงานมปญหาหรอเกดความผดพลาดผใชงานแจงใหผดแลระบบท าการแกไข

4.2 ผใชงานทเปนเจาของบญชผใชบรการ (Account) ตองเปนผรบผดชอบในผลตางๆ อนจะเกดขนจากการใชบญชผใชบรการ (Account) ของเครองคอมพวเตอรและระบบเครอขาย เวนแตจะพสจนไดวาผลเสยหายนนเกดจากการกระท าของผอน

4.3 ผใชงานตองเกบรกษาบญชผใชบรการ (Account) ไวเปนความลบและหามเปดเผยตอบคคลอนหามโอนจ าหนายหรอจายแจกใหผอนโดยไมไดรบอนญาตจากผบงคบบญชา

4.4 ผใชงานตองลงบนทกเขา (Login) โดยใชบญชผใชบรการ (Account) ของตนเองและท าการลงบนทกออก (Logout) ทกครงเมอสนสดการใชงานหรอหยดการใชงานชวคราว

5. แนวปฏบตการใชงานโปรแกรมประเภทยทลต (Use of System Utilities) 5.1 มการก าหนดขนตอนปฏบตส าหรบการขออนมตการใชงานโปรแกรมยทลตระดบสทธ

ของผขออนมต และการระบและพสจนตวตนส าหรบการเขาไปใชงานโปรแกรมยทลต เพอจ ากดและควบคมการใชงาน

5.2 ตองจดเกบโปรแกรมยทลตออกจากซอฟตแวรส าหรบระบบงาน 5.3 มการจ ากดผทไดรบอนญาตใหใชงานโปรแกรมยทลต 5.4 ตองยกเลกหรอลบทงโปรแกรมยทลตและซอฟตแวรทเกยวของกบระบบงานทไมม

ความจ าเปนในการใชงานรวมทงตองปองกนไมใหผใชงานสามารถเขาถงหรอใชงานโปรแกรมยทลตได

6. แนวปฏบตการหมดเวลาใชงานระบบสารสนเทศ (Session Time-out) 6.1 ตองก าหนดใหระบบเทคโนโลยสารสนเทศ เชน ระบบงานอปกรณเครอขาย เปนตน

มการตดและหมดเวลาการใชงาน รวมถงปดการใชงานดวยหลงจากทไมมกจกรรมการใชงานชวงระยะเวลา 45 นาท หรอตามความเหมาะสมของระบบสารสนเทศ

6.2 ตองก าหนดใหระบบเทคโนโลยสารสนเทศท าการลางหนาจอหลงจากทไมมกจกรรมการใชงานชวงระยะเวลา 45 นาท หรอตามความเหมาะสมของระบบสารสนเทศ เพอปองกนผอนเหนขอมลบนหนาจอ

6.3 ตองก าหนดใหระบบเทคโนโลยสารสนเทศมการตดและหมดเวลาการใชงานทสนขน ส าหรบระบบเทคโนโลยสารสนเทศทมความเสยงสง เชน ระบบงบประมาณการเงน ระบบงานเงนเดอน เพอปองกนการเขาถงขอมลโดยไมไดรบอนญาต


สวนท 7 นโยบายการควบคมการเขาถงโปรแกรมประยกตหรอแอพพลเคชนและสารสนเทศ

(Application Information Access Control)

1. วตถประสงค เพอก าหนดมาตรการควบคมบคคลทไมไดรบอนญาตเขาถงระบบสารสนเทศขององคกร

และปองกนการบกรกผานระบบเครอขายจากผบกรกจากโปรแกรมชดค าสงไมพงประสงคทจะสรางความเสยหายแกขอมลหรอการท างานของระบบเทคโนโลยสารสนเทศและการสอสารใหหยดชะงก และท าใหสามารถตรวจสอบตดตามพสจนตวบคคลทเขาใชงานระบบเทคโนโลยสารสนเทศและ การสอสารขององคกรไดอยางถกตอง

2. ผรบผดชอบ 1. ศนยเทคโนโลยสารสนเทศและการสอสาร 2. ส านกงานเลขานการกรม 3. กองคลง 4. กองควบคมการคาสตวน าและปจจยการผลต 5. กองตรวจสอบคณภาพสนคาประมง 6. กองนโยบายและยทธศาสตรพฒนาการประมง 7. กองบรหารจดการทรพยากรและก าหนดมาตรการ 8. กองบรหารจดการเรอประมงและการท าการประมง 9. กองแผนงาน 10. กองพฒนาระบบการรบรองมาตรฐานสนคาประมงและหลกฐานเพอการสบคน 11. กองวจยและพฒนาการเพาะเลยงสตวน าชายฝง 12. กองวจยและพฒนาประมงทะเล 13. กองวจยและพฒนาประมงน าจด 14. หนวยงานทโปรแกรมประยกตหรอแอพพลเคชน 15. ผดแลระบบทไดรบมอบหมาย 16. เจาหนาทประจ าโครงการขององคกร

3. แนวปฏบตการจ ากดการเขาถงสารสนเทศ (Information Access Control) 3.1 ดแลระบบ (System Administrator) ตองก าหนดการลงทะเบยนบคลากรใหมของ

องคกรควรก าหนดใหมขนตอนปฏบตอยางเปนทางการ เพอใหมสทธตางๆ ในการใชงานตามความจ าเปนรวมทงขนตอนปฏบตส าหรบการยกเลกสทธการใชงาน เชน การลาออกหรอการเปลยนต าแหนงงานภายในหนวยงาน เปนตน


3.2 ผดแลระบบ (System”Administrator) ตองก าหนดสทธการใชงานระบบเทคโนโลย สารสนเทศทส าคญ เชน ระบบคอมพวเตอรโปรแกรมประยกต (Application) จดหมายอเลกทรอนกส(E-mail) ระบบอนเทอรเนต (Internet) ระบบเครอขายไรสาย (Wireless LAN) เปนตน โดยตองใหสทธเฉพาะการปฏบตงานในหนาทและตองไดรบความเหนชอบจากผบงคบบญชาเปนลายลกษณอกษรรวมทงตองทบทวนสทธดงกลาวอยางสม าเสมอ

3.3 ผดแลระบบ (System Administrator) ตองก าหนดระยะเวลาในการเชอมตอระบบสารสนเทศ (Limitation of Connection Time) ทใชในการปฏบตงานระบบสารสนเทศตางๆ เมอผใชงานไมมการใชงานระบบสารสนเทศเกนกวา 45 นาท หรอตามความเหมาะสมของระบบสารสนเทศ ระบบจะยตการใชงาน (Session Time-out) ผใชงานตองท าการ Login เขาระบบสารสนเทศอกครง

3.4 ผดแลระบบ (System Administrator) ตองบรหารจดการสทธการใชงานระบบและรหสผานของบคลากรดงตอไปน

3.4.1 ก าหนดการเปลยนแปลงและการยกเลกรหสผาน (Password) เมอผใชงานระบบลาออกหรอพนจากต าแหนงหรอยกเลกการใชงาน

3.4.2 สงมอบรหสผาน (Password) ชวคราวใหกบผใชบรการดวยวธการทปลอดภยควรหลกเลยงการใชบคคลอน หรอการสงจดหมายอเลกทรอนกส (E-mail) ทไมมการปองกนใน การสงรหสผาน (Password)

3.4.3 ก าหนดใหผใชบรการตอบยนยนการไดรบรหสผาน (Password) 3.4.4 ก าหนดใหผ ใช งานไมบนทกหรอเ กบรหสผาน (Password) ไว ในระบบ

คอมพวเตอรในรปแบบทไมไดปองกนการเขาถง 3.4.5 ก าหนดชอผใชหรอรหสผใชงานตองไมซ ากน 3.4.6 ในกรณมความจ าเปนตองใหสทธพเศษกบผใชงานทมสทธสงสดผใชงานนน

จะตองไดรบความเหนชอบและอนมตจากผบงคบบญชา โดยมการก าหนดระยะเวลาการใชงานและระงบการใชงานทนทเมอพนระยะเวลาดงกลาวหรอพนจากต าแหนงและมการก าหนดสทธ พเศษ ทไดรบวาเขาถงไดถงระดบใดไดบางและตองก าหนดใหรหสผใชงานตางจากรหสผใชงานตามปกต

3.5 เพอเปนการรกษาความปลอดภยของขอมลอเลกทรอนกสองคกรใหก าหนดชองทางการเขาถงระบบเทคโนโลยสารสนเทศทส าคญทองคกรพฒนาในรปแบบของ Webbase Application โดยเขาถงไดผานระบบเครอขายภายในซงสามารถใชงานไดเฉพาะส านกงานท เปน จดเชอมโยงเครอขายดงกลาว

3.6 ผดแลระบบ (System Administrator) ตองบรหารจดการการเขาถงขอมลตามประเภทชนความลบในการควบคมการเขาถงขอมลแตละประเภทชนความลบ ทงการเขาถงโดยตรงและ การเขาถงผานระบบงานรวมถงวธการท าลายขอมลแตละประเภทชนความลบ ดงตอไปน

3.6.1 ตองควบคมการเขาถงขอมลแตละประเภทชนความลบทงการเขาถงโดยตรงและการเขาถงผานระบบงาน

3.6.2 ตองก าหนดรายชอผใช (Username) และรหสผาน (Password) เพอใชใน การตรวจสอบตวตนจรงของผใชขอมลในแตละชนความลบของขอมล


3.6.3 ก าหนดระยะเวลาการใชงานและระงบการใชงานทนทเมอพนระยะเวลาดงกลาว 3.6.4 การรบ-สงขอมลส าคญผานระบบเครอขายสาธารณะควรไดรบการเขารหส

(Encryption) ทเปนมาตรฐานสากล เชน SSL VPN หรอ XML Encryption เปนตน 3.6.5 ก าหนดการเปลยนรหสผาน (Password) ตามระยะเวลาทก าหนดของระดบ

ความส าคญของขอมล 3.6.6 ก าหนดมาตรการรกษาความมนคงปลอดภยของขอมลในกรณทน าเครองคอมพวเตอร

ออกนอกพนทของหนวยงาน เชน สงเครองคอมพวเตอรไปตรวจซอมตองส ารองและลบขอมลทเกบอยในสอบนทกกอน เปนตน

4. แนวปฏบตการจ ากดระยะเวลาการเชอมตอระบบเทคโนโลยสารสนเทศ (Limitation of Connection Time)

4.1 ตองก าหนดใหระบบเทคโนโลยสารสนเทศมการจ ากดระยะเวลาการเชอมตอส าหรบการใชงานเพอใหผใชงานสามารถใชงานไดนานทสดภายในระยะเวลาทก าหนดเทานน โดยก าหนดใหใชงานได 45 นาท หรอตามความเหมาะสมของระบบสารสนเทศ ตอการเชอมตอหนงครง

4.2 ตองก าหนดใหระบบเทคโนโลยสารสนเทศ เชน ระบบงานทมความส าคญสงระบบงานทมการใชงานในสถานททมความเสยง (ในทสาธารณะหรอพนทภายนอกองคกร) เปนตน มการจ ากดชวงระยะเวลาการเชอมตอ

4.3 ตองก าหนดใหระบบเทคโนโลยสารสนเทศทตองมการจ ากดชวงระยะเวลาการใช งาน มการระบและพสจนตวตนเพอเขาใชงานใหมตามชวงระยะเวลาทก าหนดไวทกๆ 45 นาท หรอ ตามความเหมาะสมของระบบสารสนเทศ

5. แนวปฏบตการจดการกบระบบซงไวตอการรบกวน 5.1 ระบบซงไวตอการรบกวนมผลกระทบและมความส าคญสงตอองคกร ไดแก ระบบ

GFMIS หรอระบบการบรหารการเงนการคลงภาครฐแบบอเลกทรอนกส เปนระบบทใช ใน การปฏบตงานดานการงบประมาณการบญชการจดซอจดจางการเบกจายและการบรหารทรพยากร ซงดแลรบผดชอบโดยกรมบญชกลางจะไดรบการแยกออกจากระบบงานอนๆ ขององคกร

5.2 ระบบซงไวตอการรบกวนตองมการควบคมสภาพแวดลอมของตนเองโดยเฉพาะ โดยมหองปฏบตงานแยกเปนสดสวนและตองมการก าหนดสทธใหเฉพาะผทมสทธใชระบบเทานนเขาไปปฏบตงานในหองควบคมดงกลาว

6. แนวปฏบตงานจากภายนอกส านกงาน (Teleworking) 6.1 ตองมการก าหนดมาตรการและการเตรยมการตางๆ ทจ าเปนกอนซงรวมถงการเตรยม

การปองกนทางกายภาพส าหรบสถานททจะอนญาตการปฏบตงานของผใชงานจากระยะไกล กอนทจะอนญาตใหเรมปฏบตงานจากระยะไกล

6.2 ตองมการก าหนดมาตรการทมความมนคงปลอดภยส าหรบระบบสอสารขอมลระหวางสถานททจะมการปฏบตงานจากระยะไกลและระบบงานตางๆ ภายในองคกรกอนทจะอนญาตใหเรมปฏบตงานจากระยะไกล


6.3 ตองก าหนดมาตรการการรกษาความมนคงปลอดภยทางกายภาพส าหรบสถานททจะมการปฏบตงานของผใชงานจากระยะไกล (ซงรวมถงตกอาคารส านกงานและสงแวดลอมภายนอก) เพอปองกนการขโมยอปกรณการเขาถงขอมลโดยไมไดรบอนญาตและการเชอมตอจากระยะไกลโดยผไมประสงคดเพอเขาสระบบงานขององคกร

6.4 ตองก าหนดใหผปฏบตงานจากระยะไกลไมอนญาตใหครอบครวหรอเพอนของตนเขาถงระบบเทคโนโลยสารสนเทศขององคกรในสถานทดงกลาว

6.5 ตองมการก าหนดมาตรการควบคมส าหรบการใชเครอขายจากทบานเพอเขาถงระบบเทคโนโลยสารสนเทศขององคกรรวมทงมาตรการควบคมการใชเครอขายไรสายทบาน

6.6 ตองมการตรวจสอบวาอปกรณทเปนของสวนตวซงใชในการเขาถงระบบเทคโนโลยสารสนเทศขององคกรจากระยะไกลมการปองกนไวรสและการใชงานไฟรวอลลตามทองคกรตองการ

6.7 ตองมการจดเตรยมอปกรณส าหรบการปฏบตงานจากระยะไกลการจดเกบขอมลและอปกรณสอสารไวใหกบผปฏบตงานจากระยะไกล

6.8 องคกรไมอนญาตใหใชงานอปกรณทเปนของสวนตวเพอเขาถงระบบเทคโนโลยสารสนเทศขององคกรจากระยะไกล ถาอปกรณดงกลาวไมอยภายใตการควบคมหรอดแลโดยองคกร

6.9 องคกรตองก าหนดชนดของงานทอนญาตและไมอนญาตใหท าส าหรบการปฏบตงานจากระยะไกลชวโมงการท างานในสถานทดงกลาว ชนความลบของขอมลทอนญาตใหใชงาน ไดและระบบงานและบรการตางๆ ขององคกรทอนญาตใหเขาถงไดจากระยะไกล

6.10 องคกรตองก าหนดขนตอนปฏบตส าหรบการขออนมตและการยกเลกการปฏบตงานจากระยะไกลการก าหนดหรอปรบปรงสทธการเขาถงระบบงานและการคนอปกรณทใชงาน เมอมการยกเลกการปฏบตงาน

7. แนวปฏบตการหมดเวลาใชงานระบบสารสนเทศ (Session Time-out) 7.1 ตองก าหนดใหระบบเทคโนโลยสารสนเทศ มการตดและหมดเวลาการใชงาน รวมถง

ปดการใชงานดวยหลงจากทไมมกจกรรมการใชงานชวงระยะเวลา 45 นาท หรอตามความเหมาะสมของระบบสารสนเทศ

7.2 ตองก าหนดใหระบบเทคโนโลยสารสนเทศท าการลางหนาจอหลงจากทไมมกจกรรมการใชงานชวงระยะเวลา 45 นาท หรอตามความเหมาะสมของระบบสารสนเทศ เพอปองกนผอนเหนขอมลบนหนาจอ

7.3 ตองก าหนดใหระบบเทคโนโลยสารสนเทศมการตดและหมดเวลาการใชงานทสนขน ส าหรบระบบเทคโนโลยสารสนเทศทมความเสยงสง เชน ระบบงบประมาณการเงน ระบบงานเงนเดอน เพอปองกนการเขาถงขอมลโดยไมไดรบอนญาต


สวนท 8 นโยบายการใชงานเครองคอมพวเตอรสวนบคคล

(Use of Personal Computer Policy)

1. วตถประสงค ขอก าหนดมาตรฐานการใชงานเครองคอมพวเตอรสวนบคคลนจดท าขนเพอชวยใหผใช

ทราบถงหนาทและความรบผดชอบในการใชงานเครองคอมพวเตอรสวนบคคลและผใชควรท า ความเขาใจและปฏบตตามอยางเครงครด เพอปองกนทรพยากรและขอมลทมคาขององคกร ใหเปนความลบ มความถกตอง และมความพรอมใชงานอยเสมอ

2. ผรบผดชอบ 1. ศนยเทคโนโลยสารสนเทศและการสอสาร 2. หนวยงานภายในกรมประมง 3. ผใชงาน

3. แนวปฏบตทวไป 3.1 เครองคอมพวเตอรทองคกรอนญาตใหผใชใชงานเปนทรพยสนขององคกร ดงนน ผใช

จงควรใชงานเครองคอมพวเตอรอยางมประสทธภาพเพองานขององคกร 3.2 โปรแกรมทไดถกตดตงลงบนเครองคอมพวเตอรขององคกร ตองเปนโปรแกรมท

องคกรไดซอลขสทธมาอยางถกตองตามกฎหมาย ดงนน หามผใชคดลอกโปรแกรมตางๆ และน าไปตดตงบนเครองคอมพวเตอรสวนตว หรอแกไข หรอน าไปใหผอนใชงานโดยผดกฎหมาย

3.3 ไมอนญาตใหผใชท าการตดตงและแกไขเปลยนแปลงโปรแกรมในเครองคอมพวเตอรสวนบคคลขององคกร

3.4 การตงชอเครองคอมพวเตอร (Computer name) สวนบคคลจะตองก าหนดโดยเจาหนาทขององคกรเทานน

3.5 การเคลอนยาย หรอสงเครองคอมพวเตอรสวนบคคลตรวจซอมจะตองด าเนนการโดยเจาหนาทของศนยเทคโนโลยสารสนเทศและการสอสารเทานน

3.6 กอนการใชงานสอบนทกพกพาตางๆ ควรมการตรวจสอบเพอหาไวรสโดยโปรแกรมปองกนไวรส

3.7 ไมควรเกบขอมลส าคญขององคกรไวบนเครองคอมพวเตอรสวนบคคลททานใชงานอย 3.8 ไมควรสราง Short-cut หรอปมกดงายบน Desktop ทเชอมตอไปยงขอมลส าคญของ

องคกร 3.9 ผใชมหนาทและรบผดชอบตอการดแลรกษาความปลอดภยของเครองคอมพวเตอร

โดยควรปฏบต ดงน 3.9.1 ไมควรน าอาหารหรอเครองดมอยใกลบรเวณเครองคอมพวเตอร 3.9.2 ไมควรวางสอแมเหลกไวใกลหนาจอเครองคอมพวเตอรหรอ Disk Drive


4. แนวปฏบตการควบคมการเขาถงระบบปฏบตการ 4.1 ผใชตองก าหนดชอผใชงาน (Username) และรหสผาน (Password) ในการเขาใชงาน

ระบบปฏบตการ 4.2 ผใชไมควรอนญาตใหผอนใชชอผใชงาน (Username) และรหสผาน (Password) ของ

ตนในการเขาใชเครองคอมพวเตอรรวมกน 4.3 ในระหวางเวลาพกกลางวนและหลงเลกงาน ผใชควร Logout ออกจากเครองคอมพวเตอร

หรอลอคหนาจอดวยโปรแกรม Screen Saver เมอไมมการใชงานโดยตงเวลาประมาณ 10 นาท 4.4 มการก าหนดระยะเวลาการเชอมตอระบบสารสนเทศ เมอไมมการใชงานในระยะเวลา

หนงใหยตการใชงานระบบสารสนเทศนน (Session Time-out)

5. แนวปฏบตในการใชรหสผาน ใหผใชปฏบตตามแนวทางการใชรหสผานตาม ขอ 5 (5.7) “การใชงานรหสผาน” ในนโยบาย

การควบคมการเขาถงระบบเทคโนโลยสารสนเทศ

6. แนวปฏบตการปองกนจากโปรแกรมชดค าสงไมพงประสงค (Malware) 6.1 ผใชตองท าการ Update ระบบปฏบตการ เวบบราวเซอรและโปรแกรมใชงานตางๆ

อยางสม าเสมอ เพอปดชองโหว (Vulnerability) ทเกดขนจากซอฟตแวรเปนการปองกนการโจมตจากภยคกคามตางๆ

6.2 ผใชมหนาทรบผดชอบในการตดตงโปรแกรมปองกนไวรส (Antivirus) ใหกบเครองคอมพวเตอร

6.3 ผใชควรตรวจสอบหาไวรสจากสอตางๆ เชน Floppy Disk Thumb Drive และ Data Storage อนๆ กอนน ามาใชงานรวมกบเครองคอมพวเตอร

6.4 ผใชควรตรวจสอบไฟลทแนบมากบจดหมายอเลกทรอนกสหรอไฟลทดาวน โหลด มาจากอนเทอรเนตดวยโปรแกรมปองกนไวรสกอนใชงาน

6.5 ผใชควรตรวจสอบขอมลคอมพวเตอรใดทมชดค าสงไมพงประสงครวมอยดวย ซงมผลท าใหขอมลคอมพวเตอร หรอระบบคอมพวเตอรหรอชดค าสงอนเกดความเสยหาย ถกท าลาย ถกแกไขเปลยนแปลง หรอปฏบตงานไมตรงตามค าสงทก าหนดไว

7. แนวปฏบตการส ารองขอมลและการกคน 7.1 ผใชตองรบผดชอบในการส ารองขอมลจากเครองคอมพวเตอรไวบนสอบนทกอนๆ

เชน CD DVD External Hard Disk เปนตน 7.2 ผใชมหนาทเกบรกษาสอขอมลส ารอง (Backup Media) ไวในสถานททเหมาะสม ไม

เสยงตอการรวไหลของขอมลและทดสอบการกคนขอมลทส ารองไวอยางสม าเสมอ 7.3 ผใชควรประเมนความเสยงวาขอมลทเกบไวบน Hard Disk ไมควรจะเปนขอมลส าคญ

เกยวของกบการท างาน เพราะหาก Hard Disk เสยไป กไมกระทบตอการด าเนนการขององคกร


สวนท 9 นโยบายการใชงานเครองคอมพวเตอรแบบพกพา

(Use of Notebook Computer Policy)

1. วตถประสงค เพอสรางความมนคงปลอดภยส าหรบอปกรณเครองคอมพวเตอรแบบพกพาและการน าไป

ปฏบตงานภายนอกองคกร เพอเปนการปองกนขอมลและอปกรณขององคกรใหเกดความปลอดภยผใชจงควรรบทราบถงขอก าหนดและมาตรฐานในการใชงาน การบ ารงรกษาและสงทควรหลกเลยง ในการใชเครองคอมพวเตอรแบบพกพาใหมประสทธภาพสงสด 2. ผรบผดชอบ

1. ศนยเทคโนโลยสารสนเทศและการสอสาร 2. หนวยงานภายในกรมประมง 3. ผใชงาน

3. แนวปฏบตทวไป 3.1 เครองคอมพวเตอรแบบพกพาทองคกรอนญาตใหผใชใชงานเปนทรพยสนขององคกร

ดงนน ผใชจงควรใชงานเครองคอมพวเตอรแบบพกพาอยางมประสทธภาพเพองานขององคกร 3.2 โปรแกรมทไดถกตดตงลงบนเครองคอมพวเตอรแบบพกพาขององคกรตองเปน

โปรแกรมทองคกรไดซอลขสทธถกตองตามกฎหมาย ดงนน หามผใชคดลอกโปรแกรมตางๆ และน าไปตดตงบนเครองคอมพวเตอรแบบพกพา หรอแกไข หรอน าไปใหผอนใชงานโดยผดกฎหมาย

3.3 การตงชอเครองคอมพวเตอร (Computer name) แบบพกพาจะตองก าหนดโดยเจาหนาทของศนยเทคโนโลยสารสนเทศและการสอสารเทานน

3.4 การเคลอนยาย หรอสงเครองคอมพวเตอรแบบพกพาตรวจซอมจะตองด าเนนการโดยเจาหนาทของศนยเทคโนโลยสารสนเทศและการสอสารเทานน

3.5 ผใชควรศกษาและปฏบตตามคมอการใชงานอยางละเอยด เพอการใชงานอยางปลอดภยและมประสทธภาพ

3.6 ไมดดแปลงแกไขสวนประกอบตางๆ ของคอมพวเตอรและรกษาสภาพของคอมพวเตอรใหมสภาพเดม

3.7 ในกรณทตองการเคลอนยายเครองคอมพวเตอรแบบพกพา ควรใสกระเปาส าหรบเครองคอมพวเตอรแบบพกพา เพอปองกนอนตรายทเกดจากการกระทบกระเทอน เชน การตกจากโตะท างานหรอหลดมอ เปนตน

3.8 ไมควรใสเครองคอมพวเตอรแบบพกพาไปในกระเปาเดนทางทเสยงตอการถกกดทบโดยไมไดตงใจจากการมของหนกทบบนเครอง หรออาจถกจบโยนได

3.9 การใชเครองคอมพวเตอรแบบพกพาเปนระยะเวลานานเกนไป ในสภาพทมอากาศรอนจด ควรปดเครองคอมพวเตอรเพอเปนการพกเครองสกระยะหนงกอนเปดใชงานใหมอกครง

3.10 หลกเลยงการใชนวหรอของแขง เชน ปลายปากกา กดสมผสหนาจอ LCD ใหเปนรอยขดขวนหรอท าใหจอ LCD ของเครองคอมพวเตอรแบบพกพาแตกเสยหายได


3.11 ไมควรวางของทบบนหนาจอและแปนพมพ 3.12 การเคลอนยายเครองขณะทเครองเปดใชงานอยใหท าการยกจากฐานภายใต

แปนพมพ หามยายเครองโดยการดงหนาจอภาพขน 3.13 ไมควรเคลอนยายเครองในขณะท Hard Disk ก าลงท างาน 3.14 ไมควรใชหรอวางเครองคอมพวเตอรแบบพกพาใกลสงทเปนของเหลว ความชน เชน

อาหาร น า กาแฟ เครองดมตางๆ เปนตน 3.15 ไมควรใชหรอวางเครองคอมพวเตอรแบบพกพาในสภาพแวดลอมทมอณหภมสงกวา

35 องศาเซลเชยส 3.16 ไมควรวางเครองคอมพวเตอรแบบพกพาไวใกล อปกรณทมสนามแมเหลก

ไฟฟาแรงสงในระยะใกล เชน แมเหลก โทรทศน ไมโครเวฟ ตเยน เปนตน 3.17 ไมควรตดตงหรอวางคอมพวเตอรแบบพกพาในทมการสนสะเทอน เชน ในยานพาหนะ

ทก าลงเคลอนท 3.18 การเชดท าความสะอาดหนาจอภาพควรเชดอยาเบามอทสด และควรเชดไปใน

แนวทางเดยวกนหามเชดแบบหมนวน เพราะจะท าใหหนาจอมรอยขดขวนได

4. แนวปฏบตการปองกนความปลอดภยทางดานกายภาพ 4.1 ผใชมหนาทรบผดชอบในการปองกนการสญหาย เชน ควรลอคเครองขณะท ไมได

ใชงาน ไมวางเครองทงไวในทสาธารณะ หรอในบรเวณทมความเสยงตอการสญหาย 4.2 ผใชไมควรเกบหรอใชงานคอมพวเตอรแบบพกพาในสถานททมความรอนหรอ

ความชนหรอฝนละอองสงและตองระวงปองกนการตกกระทบ 4.3 หามมใหผใชท าการเปลยนแปลงแกไขสวนประกอบยอย (Sub component) ทตดตง

อยภายในรวมถงแบตเตอร

5. แนวปฏบตการควบคมการเขาถงระบบปฏบตการ 5.1 ผใชตองก าหนดชอผใชงาน (Username) และรหสผาน (Password) ในการเขาใชงาน

ระบบปฏบตการของเครองคอมพวเตอรแบบพกพา 5.2 ผใชควรก าหนดรหสผานใหมคณภาพดอยางนอยตามทระบไวในขอ 5 (5.7) “การใช

งานรหสผาน” ในนโยบายการควบคมการเขาถงระบบเทคโนโลยสารสนเทศ 5.3 ผใชควรตงการใชงานโปรแกรมรกษาจอภาพ (Screen Saver) โดยตงเวลาประมาณ 10 นาท

ใหท าการลอคหนาจอเมอไมมการใชงาน หลงจากนนเมอตองการใชงานผใชตองใสรหสผาน 5.4 ผใชตองท าการ Logout ออกจากระบบทนทเมอเลกใชงานหรอไมอยทหนาจอ

เปนเวลานาน

6. แนวปฏบตในการใชรหสผาน ใหผ ใชปฏบตตามแนวทางการใชรหสผานตาม ขอ 5 (5.7) “การใชงานรหสผาน”

ในนโยบายการควบคมการเขาถงระบบเทคโนโลยสารสนเทศ


7. แนวปฏบตการปองกนจากโปรแกรมชดค าสงไมพงประสงค (Malware) 7.1 ผใชตองท าการ Update ระบบปฏบตการ เวบบราวเซอร และโปรแกรมการใชงาน

ตางๆ อยางสม าเสมอเพอปดชองโหว (Vulnerability) ทเกดขนจากซอฟตแวรเปนการปองกน การโจมตจากภยคกคามตางๆ

7.2 หามมใหผใชท าการปดหรอยกเลกระบบการปองกนไวรส ทตดตงอยบนเครองคอมพวเตอรแบบพกพา

7.3 หากผใชพบหรอสงสยวาเครองคอมพวเตอรแบบพกพาตดชดค าสงไมพงประสงค (Malware) หามมใหผใชเชอมตอเครองเขากบระบบเครอขาย เพอปองกนการแพรกระจายของ ชดค าสงทไมพงประสงคไปยงเครองอนๆ ได

8. แนวปฏบตการส ารองขอมลและการกคน 8.1 ผใชควรท าการส ารองขอมลจากเครองคอมพวเตอรแบบพกพา โดยวธการและ

สอตางๆ เพอปองกนการสญหายของขอมล 8.2 ผใชควรจะเกบรกษาสอส ารองขอมล (Backup Media) ไวในสถานททเหมาะสม ไมเสยง

ตอการรวไหลของขอมล 8.3 แผนสอส ารองขอมลตางๆ ทเกบขอมลไวจะตองท าการทดสอบการกคนอยางสม าเสมอ 8.4 แผนสอส ารองขอมลทไมใชงานแลว ควรท าลายไมใหสามารถน าไปใชงานไดอก


สวนท 10 นโยบายการใชงานอนเทอรเนต (Internet Security Policy)

1. วตถประสงค เพอใหผใชรบทราบกฎเกณฑแนวทางปฏบตในการใชงานอนเทอรเนตอยางปลอดภยและ

เปนการปองกนไมใหละเมดพระราชบญญตวาดวยการกระท าผดเกยวกบคอมพวเตอร พ .ศ. 2550 เชน การสงขอมล ขอความ ค าสง ชดค าสง หรอสงอนใดทอยในระบบคอมพวเตอรแกบคคลอน อนเปนการรบกวนการใชระบบคอมพวเตอรของบคคลอนโดยปกตสข ท าใหระบบคอมพวเตอรขององคกรถกระงบ ชะลอ ขดขวาง หรอถกรบกวนจนไมสามารถท างานตามปกตได

2. ผรบผดชอบ 1. ศนยเทคโนโลยสารสนเทศและการสอสาร 2. หนวยงานภายในกรมประมง 3. ผดแลระบบทไดรบมอบหมาย 4. ผใชงาน

3. แนวปฏบตในการใชงานอนเทอรเนต 3.1 ผดแลระบบควรก าหนดเสนทางการเชอมตอระบบคอมพวเตอรเพอการเขาใช งาน

อนเทอรเนต ทตองเชอมตอผานระบบรกษาความปลอดภยทองคกรจดสรรไวเทานน เชน Proxy Firewall IPS/IDS เปนตน หามผใชท าการเชอมตอระบบคอมพวเตอรผานชองทางอน เชน Dial-Up Modem ยกเวนแตวามเหตผลความจ าเปนและท าการขออนญาตจากผอ านวยการศนยเทคโนโลยสารสนเทศและการสอสาร เปนลายลกษณอกษรแลว

3.2 เครองคอมพวเตอรสวนบคคลและเครองคอมพวเตอรพกพา กอนท าการเชอมตออนเทอรเนตผานเวบบราวเซอร (Web Browser) ตองมการตดตงโปรแกรมปองกนไวรส และท าการอดชองโหวของระบบปฏบตการทเวบบราวเซอรตดตงอย

3.3 ในการรบ-สงขอมลคอมพวเตอรผานทางอนเทอรเนตจะตองมการสแกนไวรส (Virus Scanning) โดยโปรแกรมปองกนไวรสกอนการรบ-สงขอมลทกครง

3.4 ผใชตองไมใชเครอขายอนเทอรเนตขององคกร เพอหาประโยชนในเชงธรกจสวนตว และท าการเขาสเวบไซตทไมเหมาะสม เชน เวบไซตทขดตอศลธรรม เวบไซตทมเนอหาทขดตอชาต ศาสนา พระมหากษตรย หรอเวบไซตทเปนภยตอสงคม เปนตน

3.5 ผ ใชจะถกก าหนดสทธ ในการเขาถงแหลงขอมลตามหนาทความรบผดชอบ เพอประสทธภาพของเครอขายและความปลอดภยทางขอมลขององคกร

3.6 ผใชตองไมเผยแพรขอมลทเปนการหาประโยชนสวนตวหรอขอมลทไม เหมาะสม ทางศลธรรมหรอขอมลทละเมดสทธของผอน หรอขอมลทอาจกอความเสยหายใหกบองคกร

3.7 หามผใชเปดเผยขอมลส าคญทเปนความลบเกยวกบงานขององคกร ทยงไมไดประกาศอยางเปนทางการผานอนเทอรเนต


3.8 ผใชไมน าเขาขอมลคอมพวเตอรใดๆ ทมลกษณะอนเปนเทจ อนเปนความผดเกยวกบความมนคงแหงราชอาณาจกร อนเปนความผดเกยวกบการกอการราย หรอภาพทมลกษณะอนลามก และไมท าการเผยแพรหรอสงตอขอมลคอมพวเตอรดงกลาวผานอนเทอรเนต

3.9 ผใชไมน าเขาขอมลคอมพวเตอรทเปนภาพของผอนและภาพนนเปนภาพทเกดจาก การสรางขนตดตอ เตมหรอดดแปลงดวยวธการทางอเลกทรอนกส หรอวธการอนใด ทงนจะท าใหผอนนนเสยชอเสยง ถกดหมน ถกเกลยดชง หรอไดรบความอบอาย

3.10 ผใชมหนาทตรวจสอบความถกตองและความนาเชอถอของขอมลคอมพวเตอรทอยบนอนเทอรเนตกอนน าขอมลไปใชงาน

3.11 ผใชตองระมดระวงการดาวนโหลดโปรแกรมใชงานจากอนเทอรเนต ซงรวมถง Patch หรอ Fixes ตางๆ จากผขาย ตองเปนไปโดยไมละเมดทรพยสนทางปญญา

3.12 ในการเสนอความคดเหนผานเวบบอรด (Webboard) ผใชตองไมเปดเผยขอมล ทส าคญและเปนความลบขององคกร และตองไมใชขอความทยวย ใหราย ทจะท าใหเกดความเสอมเสยตอชอเสยงขององคกร การท าลายความสมพนธกบเจาหนาทของหนวยงานอนๆ

3.13 หลงจากใชงานอนเทอรเนตเสรจแลวใหท าการปดเวบบราวเซอรเพอปองกนการเขาใชงานโดยบคคลอน


สวนท 11 นโยบายการใชงานจดหมายอเลกทรอนกส

(E-mail Policy)

1. วตถประสงค ก าหนดมาตรการการใชงานจดหมายอเลกทรอนกสผานระบบเครอขายขององคกร ซงผใช

จะตองใหความส าคญและตระหนกถงปญหาทเกดขนจากการใชบรการจดหมาย อเลกทรอนกส บนเครอขายอนเทอรเนต ผใชจะตองเขาใจกฎเกณฑตางๆ ทผดแลระบบเครอขายวางไว ไมละเมดสทธหรอกระท าการใดๆ ทจะสรางปญหา หรอไมเคารพกฎเกณฑทวางไว และจะตองปฏบตตามค าแนะน าของผดแลระบบเครอขายนนอยางเครงครด จะท าใหการใชงานจดหมายอเลกทรอนกสผานระบบเครอขายเปนไปอยางปลอดภยและมประสทธภาพ


3. แนวปฏบตในการสงจดหมายอเลกทรอนกส 3.1 ผดแลระบบตองก าหนดสทธการเขาถงระบบจดหมายอเลกทรอนกสขององคกร

ใหเหมาะสมกบการเขาใชบรการของผใชระบบและหนาทความรบผดชอบของผใช รวมทง ม การทบทวนสทธการเขาใชงานอยางสม าเสมอ เชน การลาออก เปนตน

3.2 ผดแลระบบตองก าหนดสทธบญชรายชอผใชรายใหมและรหสผานส าหรบการใชงานครงแรก เพอใชในการตรวจสอบตวตนจรงของผใชระบบจดหมายอเลกทรอนกสขององคกร

3.3 ส าหรบผใชรายใหมจะไดรบรหสผานครงแรก (Default Password) ในการผานเขาระบบจดหมายอเลกทรอนกสและเมอมการเขาสระบบในครงแรกนน ระบบจะตองมการบงคบใหเปลยนรหสผานโดยทนท

3.4 การก าหนดรหสผานทด (Good Password) มแนวทางปฏบตตามขอ 5 (5.7) “การใชงานรหสผาน” ในนโยบายการควบคมการเขาถงระบบเทคโนโลยสารสนเทศ

3.5 รหสจดหมายอเลกทรอนกส เวลาใสรหสผานตองไมปรากฏหรอแสดงรหสผานออกมา แตตองแสดงออกมาในรปของสญลกษณแทนตวอกษรนน เชน “x” หรอ “O” ในการพมพแตละตวอกษร

3.6 ผดแลระบบควรก าหนดใหระบบจดหมายอเลกทรอนกส ควรมการ Logout ออกจากหนาจอ ตดการใชงานผใชเมอผใชไมไดใชงานระบบเปนระยะเวลาตามทก าหนดไว เชน 15 นาท เมอตองการเขาใชงานตอตองใสชอผใชและรหสผานอกครง

3.7 ผใชไมควรตงคาการใชโปรแกรมชวยจ ารหสผานสวนบคคลอตโนมต (Save Password) ของระบบจดหมายอเลกทรอนกส


3.8 ผใชควรมการเปลยนรหสผานอยางเครงครด เชน ควรเปลยนรหสผานทก 3 - 6 เดอน 3.9 ผใชควรระมดระวงในการใชจดหมายอเลกทรอนกสเพอไมใหเกดความ เสยหาย

ตอองคกรหรอละเมดลขสทธ สรางความนาร าคาญตอผอน หรอผดกฎหมาย หรอละเมดศลธรรม และไมแสวงหาประโยชน หรออนญาตใหผอนแสวงหาผลประโยชนในเชงธรกจจากการใชจดหมายอเลกทรอนกสผานระบบเครอขายขององคกร

3.10 ผใชไมควรใชทอยจดหมายอเลกทรอนกส (E-mail Address) ของผอนเพออาน รบ-สงขอความ ยกเวนแตจะไดรบการยนยอมจากเจาของผใชและใหถอวาเจาของจดหมายอเลกทรอนกสเปนผรบผดชอบตอการใชงานตางๆ ในจดหมายอเลกทรอนกสของตน

3.11 ผใชควรใชทอยจดหมายอเลกทรอนกสขององคกร เพอการท างานขององคกรเทานน 3.12 หลงจากการใชงานระบบจดหมายอเลกทรอนกสเสรจสน ควรท าการ Logout

ออกจากระบบทกครง เพอปองกนบคคลอนเขาใชงานจดหมายอเลกทรอนกส 3.13 ผใชควรท าการตรวจสอบเอกสารแนบจากจดหมายอเลกทรอนกสกอนท าการเปด

เพอท าการตรวจสอบไฟลโดยใชโปรแกรมปองกนไวรส เปนการปองกนในการเปดไฟลทเปน Executable File เชน .exe .com เปนตน

3.14 ผใชไมเปดหรอสงจดหมายอเลกทรอนกสหรอขอความทไดรบจากผสงทไมรจก 3.15 ผใชไมควรใชขอความทไมสภาพ หรอรบ-สงจดหมายอเลกทรอนกสทไมเหมาะสม

ขอมลอนอาจท าใหเสยชอเสยงขององคกร ท าใหเกดความแตกแยกระหวางองคกรผานทางจดหมายอเลกทรอนกส

3.16 ในกรณทตองการสงขอมลทเปนความลบ ไมควรระบความส าคญของขอมลลงในหวขอจดหมายอเลกทรอนกส

3.17 ผใชควรตรวจสอบตเกบจดหมายอเลกทรอนกสของตนเองทกวน และควรจดเกบแฟมขอมลและจดหมายอเลกทรอนกสของตนใหเหลอจ านวนนอยทสด

3.18 ผใชควรลบจดหมายอเลกทรอนกสทไมตองการออกจากระบบเพอลดปรมาณการใชเนอทระบบจดหมายอเลกทรอนกส

3.19 ผใชไมควรโอนยายจดหมายอเลกทรอนกสทจะใชอางองภายหลง มายงเครองคอมพวเตอรของตน เพอเปนการปองกนผอนแอบอานจดหมายได ดงนน ไมควรจดเกบขอมลหรอจดหมายอเลกทรอนกสทไมไดใชแลวไวในตจดหมายอเลกทรอนกส


สวนท 12 นโยบายการควบคมการเขาถงระบบเครอขายไรสาย

(Wireless Policy)

1. วตถประสงค เพอก าหนดมาตรฐานการควบคมการเขาถงระบบเครอขายไรสาย (Wireless LAN) ขององคกร

โดยการก าหนดสทธของผใชในการเขาถงระบบใหเหมาะสมตามหนาทความรบผดชอบในการปฏบตงาน รวมทงมการทบทวนสทธการเขาถงอยางสม าเสมอ ทงนผใชระบบตองผานการพสจนตวตนจรงจากระบบวาไดรบอนญาตจากผดแลระบบ เพอสรางความมนคงปลอดภยของการใชงานระบบเครอขายไรสาย


3. แนวปฏบตในการควบคมการเขาถงระบบเครอขายไรสาย 3.1 ผใชงานจะตองมบญชผใชงานระบบเครอขายขององคกร จงจะสามารถใชงานระบบ

เครอขายไรสายนได กรณทองคกรมนโยบายในการใชชอผใชกลาง ใหผใชงานตดตอเจาหนาทศนยเทคโนโลยสารสนเทศและการสอสาร เพอรบ คา SSID (Service Set Identifier) และ Network Key ในการระบตวตนกอนเขาใชงานระบบเครอขายไรสาย

3.2 ผดแลระบบตองก าหนดต าแหนงการวางอปกรณ Access Point (AP) ใหเหมาะสมเปนการควบคมไมใหสญญาณของอปกรณรวไหลออกไปนอกบรเวณทใชงาน เพอปองกนไมใหผโจมตสามารถรบ-สงสญญาณจากภายนอกอาคารหรอบรเวณขอบเขตทควบคมได

3.3 ผดแลระบบตองเลอกใชก าลงสงใหเหมาะสมกบพนทใชงานและควรส ารวจวาสญญาณรวไหลออกไป ภายนอกหรอไม นอกจากนการใชเสาอากาศพเศษทสามารถก าหนดทศทาง การแพรกระจายของสญญาณอาจชวยลดการรวไหลของสญญาณใหดขน

3.4 ผดแลระบบตองท าการเปลยนคา SSID (Service Set Identifier) ทถกก าหนดเปนคา Default มาจากผผลตทนททน า AP มาใชงาน

3.5 ผดแลระบบตองเปลยนคาชอ Login และรหสผานส าหรบการตงคาการท างานของอปกรณไรสาย และผดแลระบบตองเลอกใชชอ Login และรหสผานทมการคาดเดาไดยาก เพอปองกนผโจมตไมใหสามารถเดาหรอเจาะรหสไดโดยงาย

3.6 ผดแลระบบตองก าหนดคาใช WEP หรอ WPA ในการเขารหสหรอขอมลระหวาง Wireless LAN Client และ AP เพอใหยากตอการดกจบ จะชวยใหปลอดภยมากขน

3.7 ผดแลระบบตองจะมการตดตง Firewall ระหวางเครอขายไรสายกบเครอขายภายในองคกร


3.8 ผดแลระบบตองใชซอฟตแวรหรอฮารดแวรตรวจสอบความมนคงปลอดภยของระบบเครอขายไรสายอยางสม าเสมอ เพอคอยตรวจสอบและบนทกเหตการณทนาสงสยเกดขนในระบบเครอขายไรสาย

3.9 ในการใชงานเครอขายไรสายผใชงานตองปฏบตตามนโยบายความปลอดภยระบบเทคโนโลยสารสนเทศอยางเครงครด ทางองคกรสงวนสทธในการยกเลกสทธในการเขาใช เครอขาย ไรสาย โดยไมตองแจงใหผใชทราบลวงหนา

4. แนวปฏบตในการเขาใชเครอขายไรสายกรมประมง 4.1 การตรวจสอบยนยนตวตนการเขาใชเครอขายไรสายกรมประมง สามารถแบงเปน

3 กลม ดงน 4.1.1 กลมผบรหารกรมประมง (DOF-VIP) ส าหรบผบรหารกรมประมง และ

ผอ านวยการกองระดบสงหรอเทยบเทา ยนยนตวตนโดยการลงทะเบยนหมายเลข Mac..Address ของอปกรณ (Notebook, Tablet, Smartphone) เพยง 1 ครงตอ 1 อปกรณ สามารถเชอมตอ Wifi ชอ DOF-VIP ไดทกหองประชม

4.1.2 กลมเจาหนาทกรมประมงสวนกลาง (DOF-Officer) ส าหรบเจาหนาทกรมประมงสวนกลางทงขาราชการ พนกงานราชการ ลกจางประจ า ลกจางชวคราว จางเหมา ยนยนตวตนโดยปอน Username และ Password เขาใช Internet กรมประมง ผานหนาเวบไซตยนยนตวตนและตองท าการยนยนตวตนทกครงทเขาใชงาน สามารถเชอมตอ Wifi ชอ DOF-Officer ไดทกหองประชมก าหนดตด session ทก 3 ชวโมง

4.1.3 กลมผใชงานชวคราว (DOF-Guest) ส าหรบเจาหนาทกรมประมงสวนภมภาค บคคลภายนอกทมาประชมผมาตดตอขอรบบรการจากหนวยงานกรมประมง ยนยนตวตนโดยปอน Username และ Password ทแจกใหรายครงผานหนาเวบไซตยนยนตวตน ซงจะมการจดเกบ เลขบตรประจ าตวประชาชนของผใชงาน สามารถใชงานไดตามระยะเวลาทก าหนดโดยประมาณ 1 วน และสามารถเชอมตอ Wifi ชอ DOF-Guest ไดทกหองประชม

4.2 การเขาใชงานจะจ ากดเพยง 1 Session ตอ 1 อปกรณเทานน ไมสามารถใช Username เดยวกนเขาใชพรอมกนได


สวนท 13 นโยบายปองกนไวรส และซอฟตแวรทไมประสงคด

(Virus and Malicious Software Protection Policy) 1. วตถประสงค

เพอควบคมและปองกนซอฟตแวรและขอมลขององคกร จากซอฟตแวรอนตรายหรอไวรสคอมพวเตอร 2. ผรบผดชอบ

1. ศนยเทคโนโลยสารสนเทศและการสอสาร 2. หนวยงานภายในกรมประมง 3. ผดแลระบบทไดรบมอบหมาย 4. ผใชงาน

3. แนวปฏบตในการปองกนไวรส และซอฟตแวรทไมประสงคด 3.1 กอนน าซอฟตแวรจากภายนอกมาใชงานภายในองคกร ผใชงานตองท าการตรวจสอบ

ซอฟแวรดงกลาวใหแนใจวาซอฟตแวรนนๆ ไมมไวรสคอมพวเตอรหรอซอฟตแวรอนตรายแฝงอย 3.2 ผดแลระบบตองจดใหมการตดตงโปรแกรมปองกนไวรสเวอรชนลาสดในระดบ

ระบบปฏบตการบนเครองคอมพวเตอรและเครองเซรฟเวอร 3.3 ผดแลระบบตองก าหนดใหโปรแกรมคนหาไวรสท างานพรอมกนกบการเรมท างานของ

ระบบประมวลผล และโปรแกรมดงกลาวตองท างานในขณะทมการใชระบบดวย นอกจากนผดแลระบบตองมการปรบปรงโปรแกรมปองกนไวรสใหทนสมยอยเสมอ

3.4 ผดแลระบบตองท าการตรวจทานระบบขอมลเพอตรวจหาไวรสและซอฟตแวรอนตรายอยเปนประจ า

3.5 ผใชงานตองตรวจหาไวรสของไฟลทแนบมากบจดหมายอเลกทรอนกสหรอไฟลท ดาวนโหลดมาจากอนเทอรเนตกอนน าไปใชงาน

3.6 หามมใหเจาหนาทด าเนนการใดๆ ทเกยวกบการพฒนาไวรสหรอซอฟตแวรอนตรายหรอเกบไวเปนเจาของ

3.7 ในกรณทมการน าสอบนทกขอมลจากหนวยงานภายนอกองคกรมาใช ผใชงานสอขอมลนนตองตรวจสอบไวรสคอมพวเตอรกอนใชงานทกครง

3.8 ผใชงานจะตองตรวจสอบการท างานของโปรแกรมปองกนไวรสอยางสม าเสมอ หากพบวาโปรแกรมไมท างานตามปกต ใหแจงผดแลระบบเพอด าเนนการแกไข

3.9 หามมใหผใชงานด าเนนการถอดถอนโปรแกรมปองกนไวรสโดยพละการ หากมความจ าเปนใหแจงผดแลระบบเปนผด าเนนการ

3.10 หากเครองคอมพวเตอรไมตดตงโปรแกรมปองกนไวรส ตามทหนวยงานก าหนดจะ ไมสามารถเขาใชงานระบบอนเทอรเนตของกรมประมงได

3.11 คอมพวเตอรของผใชงานจะตองตดตงโปรแกรมปองกนไวรส ตามทหนวยงานก าหนด เวนแตมเหตจ าเปนทไมสามารถตดตงโปรแกรมปองกนไวรสของกรมฯ ได เชน เครองไม รองรบ การตดตงโปรแกรมฯ เปนตน โดยตองไดรบอนญาตจากผบงคบบญชา


สวนท 14 นโยบายปองกนระบบเครอขายและตรวจจบการบกรก

(Firewall & Intrusion Prevention System Policy)

1. วตถประสงค เพอควบคมการใชงานเครอขายและกรองแพกเกตทผานเขามาในเครอขายองคกร


3. แนวปฏบตในการปองกนระบบเครอขายและตรวจจบการบกรก 3.1 อนญาตเฉพาะบรการเครอขายทจ าเปนตอการใชงานบรการเครอขายอนๆ ท เหลอ

ปดใหหมด 3.2 ไมอนญาตใหสแกนเพอตรวจสอบเครอขายดวยโปรแกรมประเภท Network

Scanning Tools เชน Nmap เปนตน 3.3 ปดบรการรวมทงซอฟตแวรทไมจ าเปนบนไฟรวอลล 3.4 จ ากดบรการเครอขายทท างานบนไฟรวอลลใหมนอยทสดโดยใหแยกบรการอนๆ

เหลานนไปท างานบนเครองอน 3.5 จ ากดชอบญชผใชบนเครองไฟรวอลลใหมนอยทสดและไมรนไฟรวอลลโดยใชชอบญช

ผใชทเปน Root หรอ Administrator 3.6 เปลยนรหสผานส าหรบ Root หรอ Administrator ทผขายก าหนดมาใหใหเปนรหส

อนทยากตอการเดา 3.7 ควรใชไฟรวอลลหลายชนดรวมกน เชน ไฟรวอลลแบบกรองแพกเกต ไฟรวอลลแบบ

พรอกซ เพอเปนการเสรมความมนคงปลอดภยในแงมมทตางกน 3.8 ควรใชระบบอนท างานรวมกบไฟรวอลล ไดแก ระบบปองกนการบกรก ( IPS)

ไฟรวอลลสวนตว (Personal Firewall) โปรแกรมปองกนไวรส (Antivirus) โปรแกรมกรองอเมลและกรองเวบ (Anti Spam) ซงเปนการเสรมการรกษาความมนคงปลอดภยภาพรวมไดสงขน

3.9 ก าหนดกฎในไฟรวอลลใหกรองทงแพกเกตทไมประสงคดตามรายการชองโหวท แพรระบาดอยในปจจบนเสมอ

3.10 ปองกนการเขาถงทางกายภาพตอไฟรวอลลใหมความแขงแกรง เชน จดท าเปนหอง ทมการควบคมการเขา-ออกอยางเขมงวด

3.11 หมนตรวจสอบกฎของไฟรวอลล เพอก าจดกฎทไมมความจ าเปนทงไป เพอเพมประสทธภาพของการประมวลผลกฎทก าหนดไวของไฟรวอลล

3.12 เมอเพมกฎขอใหมเขาไปในไฟรวอลลตรวจสอบวากฎทใสเขาไปนนไมขดแยงกบกฎ ทมอยแลวเดมรวมทงทดสอบดวยวาไฟรวอลลสามารถปองกนไดจรงตามกฎขอใหมนน


3.13 ตรวจสอบวากฎทก าหนดไวบนไฟรวอลลไมมขอใดขดแยงกบนโยบายความมนคงปลอดภยขององคกรอยางนอยควรท าปละครง

3.14 ไมอนญาตใหเขาถงไฟรวอลลจากทางไกลโดยโปรแกรมประเภท Telnet หรอแมแต SSH โดยการเขาถงใหท าไดจากตวเครองไฟรวอลลโดยตรง

3.15 สรางความแขงแกรงใหกบระบบปฏบตการของไฟรวอลล โดยการ Update Patch อยเสมอ

3.16 ตรวจสอบและตดตงโปรแกรมอดชองโหวส าหรบระบบปฏบตการของไฟรวอลลอยางสม าเสมอ

3.17 กอนการอพเกรดหรอแกไขชองโหวของไฟรวอลลใหท าส ารองขอมลแบบ Full Backup ของเครองไฟรวอลลนนเกบไวกอน หากมปญหาจะไดน ากลบมาตดตงและใชงานไดอยางรวดเรว

3.18 ใชไฟรวอลลรวมกบเราทเตอร เพอปองกนปญหา DoS (Denial of Service) และปญหาการเจาะระบบเขาสไฟรวอลลไดโดยตรง

3.19 ใชไฟรวอลลเพอกนเครอขายภายใน ในกรณทมความจ าเปน เชน เครอขายสวนนนอนญาตใหเฉพาะผใชทมสทธเทานนในการเขาถง

3.20 บนทกขอมล Log ของการเขาถงไฟรวอลล เกบไว รวมทงหากไฟร วอลล ม ขดความสามารถในการแจงเตอนใหเปดใชขดความสามารถนดวย

3.21 ใชเซรฟเวอร เชน Syslog แยกตางหากอกเครองหนงจากเครองของไฟรวอลล เพอเกบบนทกขอมล Log ของการเขาถงไฟรวอลลไวบนเซรฟเวอรนน ซงจะท าใหการเปลยนแปลงแกไขขอมล Log โดยผบกรกท าไดยากขน

3.22 หากหนวยงานอนตองการน าระบบขน จะตองท าเปนหนงสอผานผอ านวยการ ศนยเทคโนโลยสารสนเทศและการสอสาร แจงเจาหนาทใหด าเนนการเปนกรณไป


สวนท 15 นโยบายการส ารองและกคนขอมล (Backup and Recovery Policy)

1. วตถประสงค เพอปองกนความเสยหายทอาจจะเกดขน เมอขอมลเสยหายหรอถกท าลายจากไวรส

คอมพวเตอร ผบกรกท าลายหรอเปลยนแปลงขอมล โดยสามารถน าขอมลทมปญหากลบมาใชงานได


3. แนวปฏบตในการคดเลอกการส ารองขอมล ตองพจารณาคดเลอกระบบสารสนเทศทส าคญและจดท าระบบส ารองทเหมาะสมใหอยใน

สภาพพรอมใชงานตามแนวทางตอไปน 3.1 มการจดท าบญชระบบสารสนเทศทมความส าคญทงหมดของหนวยงาน พรอมทง

ก าหนดระบบสารสนเทศทจะจดท าระบบส ารองและจดท าระบบแผนเตรยมพรอมกรณ ฉกเฉน อยางนอยปละ 1 ครง

3.2 ก าหนดใหมการส ารองขอมลของระบบสารสนเทศแตละระบบและก าหนดความถ ในการส ารองขอมลหากระบบใดทมการเปลยนแปลงบอยควรก าหนดใหมความถในการส ารองขอมลมากขน

3.3 ก าหนดประเภทของขอมลทตองท าการส ารองเกบไวและความถในการส ารอง 3.4 ก าหนดรปแบบการส ารองขอมลใหเหมาะสมกบขอมลทจะท าการส ารอง เชน การส ารอง

ขอมลแบบเตม (Full Backup) หรอการส ารองขอมลแบบสวนตาง (Incremental Backup) 3.5 บนทกขอมลทเกยวของกบกจกรรมการส ารองขอมล ไดแก ผด าเนนการ วน/เวลา

ชอขอมลทส ารองส าเรจ/ไมส าเรจ เปนตน 3.6 ตรวจสอบขอมลทงหมดของระบบวามการส ารองขอมลไวอยางครบถวน เชน

ซอฟตแวรตางๆ ทเกยวของกบระบบสารสนเทศขอมล Configuration ขอมลในฐานขอมล เปนตน 3.7 จดเกบขอมลทส ารองนนในสอเกบขอมล โดยมการพมพชอบนสอเกบขอมลนนให

สามารถแสดงถงระบบซอฟตแวร วนท เวลาทส ารองขอมลและผรบผดชอบในการส ารองขอมลไวอยางชดเจน

3.8 จดเกบขอมลทส ารองไวนอกสถานทระยะทางระหวางสถานททจดเกบขอมลส ารองกบหนวยงานควรหางกนเพยงพอ เพอไมใหสงผลกระทบตอขอมลทจดเกบไวนอกสถานทนน ในกรณ ทเกดภยพบตกบหนวยงาน เชน ไฟไหม เปนตน


3.9 ด าเนนการปองกนทางกายภาพอยางเพยงพอตอสถานทส ารองทใชจดเกบขอมล นอกสถานท

3.10 ทดสอบบนทกขอมลส ารองอยางสม าเสมอ เพอตรวจสอบวายงคงสามารถเขาถงขอมลไดตามปกต

3.11 จดท าขนตอนปฏบตส าหรบการกคนขอมลทเสยหายจากขอมลทไดส ารองเกบไว ตรวจสอบ และทดสอบประสทธภาพและประสทธผลของขนตอนปฏบตในการกคน ขอมล อยางสม าเสมอ

3.12 ก าหนดใหมการใชงานการเขารหสขอมลกบขอมลลบทไดส ารองเกบไว

4. แนวปฏบตในการจดท าแผนเตรยมความพรอมกรณฉกเฉนในกรณทไมสามารถด าเนนการดวยวธการทางอเลกทรอนกส

ตองจดท าแผนเตรยมความพรอมกรณฉกเฉนในกรณทไมสามารถด าเนนการดวยวธการทางอเลกทรอนกส เพอใหสามารถใชงานสารสนเทศไดตามปกตอยางตอเนอง โดยตองปรบปรง แผนเตรยมความพรอมกรณฉกเฉนดงกลาวใหสามารถปรบใชไดอยางเหมาะสมและสอดคลองกบ การใชงานตามภารกจตามแนวทางตอไปน

4.1 มการจดท าแผนเตรยมความพรอมกรณฉกเฉนในกรณทไมสามารถด าเนนการดวยวธการทางอเลกทรอนกสโดยมรายละเอยดอยางนอย ดงน

4.1.1 มการก าหนดหนาทและความรบผดชอบของผทเกยวของทงหมด 4.1.2 มการประเมนความเสยงส าหรบระบบทมความส าคญเหลานนและก าหนด

มาตรการเพอลดความเสยงเหลานน เชน ไฟดบเปนระยะเวลานาน ไฟไหม แผนดนไหว การชมนมประทวงท าใหไมสามารถเขามาใชระบบงานได เปนตน

4.1.3 มการก าหนดขนตอนปฏบตในการกคนระบบสารสนเทศ 4.1.4 มการก าหนดขนตอนปฏบตในการส ารองขอมลและทดสอบกคนขอมลทส ารองไว 4.1.5 มการก าหนดชองทางในการตดตอกบผใหบรการภายนอก เชน ผใหบรการ

เครอขายฮารดแวร ซอฟตแวร เปนตน เมอเกดเหตจ าเปนทจะตองตดตอ 4.1.6 การสรางความตระหนกหรอใหความรแกเจาหนาทผทเกยวของกบขนตอน

การปฏบตหรอสงทตองท าเมอเกดเหตเรงดวน 4.2 มการทบทวนเพอปรบปรงแผนเตรยมความพรอมกรณฉกเฉนดงกลาวใหสามารถ

ปรบใชไดอยางเหมาะสมและสอดคลองกบการใชงานตามภารกจอยางนอยปละ 1 ครง

5. แนวปฏบตในการส ารองและกคนขอมล เพอลดความเสยงทอาจจะเกดขนกบขอมล และสามารถน าขอมลกลบมาใชงานได ในกรณ

ทฮารดดสกเสยหาย ไวรสคอมพวเตอรท าลายขอมล ผบกรกท าการลบขอมลหรอเปลยนแปลงขอมล การเผลอลบขอมลหรอเปลยนแปลงขอมลโดยผใชงานเอง โดยมมาตรการ ดงน


5.1 การส ารองขอมล 5.1.1 ผดแลระบบตองตงคาระบบใหมการส ารองขอมลโดยอตโนมต หรอท าการ

ส ารองขอมลของระบบซงอยในความรบผดชอบของตนเองตามความเหมาะสมของแตละระบบ ไมต ากวา 1 ครงตอเดอน

5.1.2 ผดแลระบบตองตงคาส ารองขอมลอตโนมตส าหรบเครองคอมพวเตอรแมขายของเวบไซต(Web Server)

5.1.3 ผใชงานเครองคอมพวเตอรทวไป จะตองท าการส ารองขอมลในเครองคอมพวเตอร ของตนเองตามความเหมาะสม ไมต ากวา 1 ครงตอเดอน

5.1.4 เมอองคกรประกาศใหมการส ารองขอมลเนองจากจะไดมการด าเนนการทอาจสงผลตอขอมลในเครองคอมพวเตอรของผใช ผใชจะตองท าการส ารองขอมลดงกลาวภายในระยะเวลาทก าหนด

5.1.5 หากผดแลระบบหรอผใชงานเครองคอมพวเตอรเหนวาขอมลใดเปนขอมลส าคญใหพมพ (Print) ออกมาเกบส ารองไวในรปของเอกสารกระดาษ (Hard Copy)

5.1.6 แผนกผดแลระบบตองท าการทดสอบกขอมลส ารองในทกระบบ โดยตองม การทดสอบอยางนอยปละ 1 ครง ซงการทดสอบดงกลาวตองใชขอมลส ารองจากระบบทใชงานจรง แตทดสอบบนระบบทดสอบ

5.1.7 ผดแลระบบตองท าการส ารองขอมลอเลกทรอนกสขององคกร และเกบรกษาไวตามแนวทางปฏบตการเกบรกษาขอมลขององคกร โดยตองมการก าหนดระยะเวลาในการเกบรกษาขอมลทส าคญดวย

5.2 การกคนขอมล เพอใหการฟนฟระบบ/ขอมลจากความเสยหายทอาจเกดขนจากการหยดท างานของ

การประมวลผลโปรแกรม (Hang) หรอไฟฟาดบ ตลอดจนเหตการณอนใดซงสงผลตอเครองคอมพวเตอร หรอการประมวลผลของคอมพวเตอรหยดท างานอยางกะทนหน หรอเปลยนการท างานไปจากเดม ท าใหไมสามารถบนทกขอมลไดทนเวลา หรอไมสามารถใชงานคอมพวเตอรไดตามปกต มมาตรการในการกคนขอมล ดงน

5.2.1 ผใชงานจะตองเปดใชงานการกคน (Recovery) ของระบบปฏบตการตลอดเวลา 5.2.2 ผดแลระบบจะตองจดหาเครองคอมพวเตอร/อปกรณ และการตดตงซอฟตแวร

ใหม เพอทดแทนของเดมทเสยหาย 5.2.3 ผดแลระบบจะตองท าการบ ารงรกษาระบบคอมพวเตอรและอปกรณสนบสนน

เพอปองกนความเสยหายทอาจเกดขนกบระบบ


สวนท 16 นโยบายการใชงานอปกรณสอสารแบบพกพา

(Smart Device Policy)

1. วตถประสงค เพอสรางความมนคงปลอดภยส าหรบอปกรณสอสารแบบพกพาทเปนทรพยสนของ

ทางราชการ ไดแก แทปเลต (Tablet) หรอ สมารทโฟน (Smartphone) เพอใหการใชงานอยางเปนระบบ มแบบแผนและสามารถจดการปญหาความปลอดภยทอาจจะเกดขน ไดอยางรวดเรว ในการเชอมตอเครอขาย ซงอาจมการถกโจมตและเขาถงขอมลโดยไมไดรบอนญาต 2. ผรบผดชอบ

1. ศนยเทคโนโลยสารสนเทศและการสอสาร 2. หนวยงานภายในกรมประมง 3. ผใชงาน

3. แนวปฏบตทวไป 3.1 ผใชควรศกษาและปฏบตตามคมอการใชงานอยางละเอยด เพอการใชงานอยางปลอดภย

และมประสทธภาพ 3.2 ไมดดแปลงแกไขสวนประกอบตางๆ ของอปกรณสอสารแบบพกพาทเปนขององคกร

และรกษาสภาพใหมสภาพเดม 3.3 ไมควรใสอปกรณสอสารแบบพกพาทเปนขององคกรในกระเปาทเสยงตอการถกกดทบ

โดยไมไดตงใจจากการมของหนกทบบนเครอง หรออาจถกจบโยนได 3.4 หลกเลยงการใชนวหรอของแขง เชน ปลายปากกา กดสมผสหนาจอใหเปนรอย

ขดขวนหรอท าใหจอแตกเสยหายได 3.5 ไมควรใชหรอวางอปกรณสอสารแบบพกพาใกลสงทเปนของเหลว ความชน เชน

อาหาร น า กาแฟ เครองดมตางๆ เปนตน 3.6 ไมควรวางอปกรณสอสารแบบพกพาไวใกลอปกรณทมสนามแมเหลกไฟฟาแรงสง

ในระยะใกล เชน แมเหลก โทรทศน ไมโครเวฟ ตเยน เปนตน 3.7 การเชดท าความสะอาดหนาจอภาพควรเชดอยางเบามอทสด และควรเชดไปใน

แนวทางเดยวกนหามเชดแบบหมนวน เพราะจะท าใหหนาจอมรอยขดขวนได 4. แนวปฏบตการปองกนความปลอดภยทางดานกายภาพ

4.1 ผใชมหนาทรบผดชอบในการปองกนการสญหาย เชน ควรลอคเครองขณะท ไมได ใชงาน ไมวางเครองทงไวในทสาธารณะ หรอในบรเวณทมความเสยงตอการสญหาย

4.2 ผใชไมควรเกบหรอใชงานอปกรณสอสารแบบพกพาในสถานททมความรอน /ความชน/ฝนละอองสงและตองระวงปองกนการตกกระทบ

4.3 หามมใหผใชท าการเปลยนแปลงแกไขสวนประกอบยอย (Sub component) ทตดตงอยภายในรวมถงแบตเตอร

4.4 หามมใหผใชตดตงหรอเปลยนแปลงแกไขซอฟตแวรผดกฎหมายบนอปกรณสอสารแบบพกพา (Jailbreak)


5. แนวปฏบตในการควบคมการเขาถงระบบเครอขายและระบบสารสนเทศ 5.1กรณทตองการเชอมตอระบบเครอขายตองปฏบตตามนโยบายสวนท 12 นโยบาย

การควบคมการเขาถงระบบเครอขายไรสาย (Wireless Policy) 5.2กรณทตองการเขาถงระบบสารสนเทศตองปฏบตตามนโยบายสวนท 3 นโยบาย

การควบคมการเขาถงระบบเทคโนโลยสารสนเทศ


สวนท 17 นโยบายการการประชมผานสออเลกทรอนกส

(Conference Policy)

1. วตถประสงค เพอก าหนดมาตรการควบคมและแนวทางในการประชมผานสออเลกทรอนกสขององคกร

ใหกระท าผานระบบควบคมการประชมทมกระบวนการรกษาความมนคงปลอดภยดานสารสนเทศ เพอใหการประชมผานสออเลกทรอนกสสามารถด าเนนการไดอยางมประสทธภาพ

2. ผรบผดชอบ 1. ศนยเทคโนโลยสารสนเทศและการสอสาร 2. ผดแลระบบทไดรบมอบหมาย 3. ผควบคมระบบ

3. ค าจ ากดความ 3.1 ระบบควบคมการประชม หมายความวา ระบบเครอขายคอมพวเตอรหรออปกรณ

สอสารอเลกทรอนกสใดๆ ทงฮารดแวรและซอฟตแวรทเชอมโยงกนเปนเครอขาย และมการสอสารขอมลกน โดยใชเทคโนโลยสารสนเทศและการสอสารหรอการโทรคมนาคม เพอใหผรวมประชมสามารถเขาถงและใชงานส าหรบการประชมผานสออเลกทรอนกสไมวาจะเปนการประชมดวยเสยงหรอทงเสยงและภาพ

3.2 การประชมผานสออเลกทรอนกส หมายความวา การประชมของกรมประมงทกระท าผานสออเลกทรอนกสโดยผรวมประชมมไดอยในสถานทเดยวกนและสามารถประชมปรกษาหารอและแสดงความคดเหนระหวางกนไดผานสออเลกทรอนกส

3.3 ผควบคมระบบ หมายความวา ผท าหนาทดแลและบรหารจดการระบบการประชมผานสอ อเลกทรอนกส ตงแตเรมท าการประชมจนกระทงเสรจสนการประชมในแตละครง

4. บทบาทและความรบผดชอบของผควบคมระบบ 4.1 ท าใหผรวมประชมสามารถสอสารถงกนไดดวยเสยงหรอทงเสยงและภาพ โดยผาน

เทคโนโลยสารสนเทศและการสอสารหรอการโทรคมนาคม ทงประเภททใชสายและไรสาย ไดแก เครอขายโทรศพท เครอขายคอมพวเตอรภายในองคกรหรอแลน (Local Area Network : LAN) อนเทอรเนตความเรวสงแบบวงจรเชา (Leased Line) เครอขายบรการสอสารรวมระบบดจทลหรอไอเอสดเอน (Integrated Services Digital Network : ISDN หรอเครอขายแบบ Wide Area Network : WAN) เครอขายอนเทอรเนต เครอขายไมโครเวฟ เครอขายวทยโทรคมนาคม เครอขายการสอสารโดยใชดาวเทยม

4.2 เชอมโยงสถานทประชมตงแตสองแหงขนไปเขาดวยกน 4.3 ท าใหผรวมประชมสามารถสอสารหรอมปฏสมพนธกนไดสองทาง 4.4 มอปกรณน าเขาขอมลจากทหนงไปยงอกทหนงโดยผานเทคโนโลยสารสนเทศและ

การสอสาร หรอการโทรคมนาคม ไดแก โทรศพท ไมโครโฟน เครองคอมพวเตอร เครองโทรสาร


4.5 มอปกรณเพอท าหนาทเชอมโยงหรอแปลงสญญาณเสยงหรอทงเสยงและภาพ ทเหมาะสมกบ เทคโนโลยสารสนเทศและการสอสาร หรอการโทรคมนาคมทเอออ านวยตอการรบซมและรบฟง ของผรวมประชม แลวแตกรณ

5. แนวปฏบตทวไปในการประชมของผรวมประชม 5.1 มอปกรณแสดงผลขอมลทถกสงผานมาจากระบบเทคโนโลยสารสนเทศและ

การสอสาร และ/หรอการโทรคมนาคมใหเปนขอมลทผรวมประชมสามารถรบรได เชน ล าโพง จอภาพ เครองฉายภาพวดทศน (video projector) อปกรณแสดงผลทเปนเอกสาร (hard copy) เปนตน

5.2 กรณมการประชมในหองประชมจะตองมการตดตงวสดเพอท าหนาทซบ เสยง ทเหมาะสมกบสภาพของหองประชม เพอปองกนเสยงกองหรอเสยงสะทอน

5.3 เมอผท าหนาทประธานในทประชมก าหนดใหจดการประชมผานสออเลกทรอนกส ในการประชมครงใดแลว ผมหนาทจดการประชมตองด าเนนการเพอใหมการใชระบบควบคม การประชมเปนลายลกษณอกษรหรอจดหมายอเลกทรอนกสหรอโดยวธการใดๆ กอนจดการประชม โดยจะตองจดใหมผควบคมระบบทสามารถบรหารจดระบบเพอตรวจสอบการท างานและแกไขปญหาใหกบผรวมประชมโดยการเขาถงระบบแบบระยะไกล (remote access) ไดดวย ทงน ระบบควบคมการประชมจะตองพรอมท างานกอนการประชมและจะตองมการทดสอบระบบเสยง ภาพกบผเขารวมประชมกอนการประชมทกครง

5.4 ในการบรหารจดการระบบตามขอ 5.3 ประธานในทประชม และ/หรอผควบคมระบบจะตองสามารถตดสญญาณเสยงหรอสญญาณภาพหรอทงสญญาณเสยงและสญญาณภาพ หรอหยดการสงขอมลใหเครองหรออปกรณสอสารของผรวมประชมเครองใดเครองหนงภายในระบบไดทนทหากมเหตจ าเปนหรอมกรณฉกเฉน

5.5 ในระหวางการประชมผรวมประชมทกคนตองสามารถดขอมลการประชมทก าลงน าเสนอในทประชมผานเครองหรออปกรณสอสารของตนเองไดตลอดระยะเวลาการประชม เวนแตจะมการตดสญญาณเสยงหรอสญญาณภาพหรอทงสญญาณเสยงและสญญาณภาพ หรอหยดการสงขอมลใหเครองหรออปกรณสอสารของผรวมประชมนน โดยมเหตจ าเปนหรอมกรณฉกเฉนตามขอ 5.4

6. แนวปฏบตทวไปของการบนทกเสยงหรอทงเสยงและภาพของผรวมประชม 6.1 มเทคโนโลยหรอมาตรการปองกนมใหมการเปลยนแปลงหรอแกไขเกดขนกบขอมลนน

เวนแตการรบรองหรอบนทกเพมเตม หรอการเปลยนแปลงใดๆ ทอาจจะเกดขนไดตามปกต ใน การตดตอสอสาร การเกบรกษา หรอการแสดงซงไมมผลตอความหมายของขอมลนน เพอใหสามารถยนยนไดวาไดใชวธการทเชอถอไดในการรกษาความถกตองของขอมลตงแตการสรางจนเสรจสมบรณและสามารถแสดงขอมลนนในภายหลงได


6.2 ในกรณทมการบนทกเสยงหรอทงเสยงและภาพดวยระบบควบคมการประชมใหมวธการทเชอถอไดในการระบตวตนผทเกยวของกบระบบควบคมการประชม เพอใหสามารถยนยน ไดวาขอมลทไดบนทกไวไดด าเนนการโดยผมสทธในการเขาถงเทานน โดยอยางนอยตองครอบคลมเรอง ดงตอไปน

6.2.1 การระบตวตน (Identification) 6.2.2 การยนยนตวตน (Authentication) 6.2.3 การอนญาตเฉพาะผมสทธเขาถง (Authorization) 6.2.4 ความรบผดชอบตอผลของการกระท า (Accountability)

7. แนวปฏบตในการควบคมการเขาถงระบบเครอขายและระบบสารสนเทศ 7.1 กรณทตองการเชอมตอระบบเครอขายตองปฏบตตามนโยบาย สวนท 5 นโยบาย

การควบคมการเขาถงและใชบรการระบบเครอขาย (Network Access Control) หรอ สวนท 12 นโยบายการควบคมการเขาถงระบบเครอขายไรสาย (Wireless Policy)

7.2 กรณทตองการเขาถงระบบสารสนเทศตองปฏบตตามนโยบายสวนท 3 นโยบาย การควบคมการเขาถงระบบเทคโนโลยสารสนเทศ


สวนท 18 นโยบายการสอบทานการปฏบตตามนโยบายและแนวปฏบต

ในการรกษาความมนคงปลอดภยดานสารสนเทศ

1. วตถประสงค การสอบทานการปฏบตตามนโยบายการรกษาความมนคงปลอดภยดานสารสนเทศ เพอให

มนใจวานโยบายและมาตรฐานตางๆ ดานความปลอดภยสารสนเทศมการปฏบตตามอยางมประสทธผลในทางปฏบตองคกรจ าเปนตองมการตรวจสอบอยางสม าเสมอ ทงทางดานกระบวนการท างานรวมถงดานเทคนค ทงนการตรวจสอบมไดจ ากดเฉพาะหนวยงานตรวจสอบหรอคณะท างานสอบทาน แตยงรวมถงการตรวจสอบภายในโดยหนวยงานของตนเอง

2. ผรบผดชอบ 1. ศนยเทคโนโลยสารสนเทศและการสอสาร 2. กองบรหารจดการเรอประมงและการท าการประมง 3. กองวจยและพฒนาสขภาพสตวน า 4. ผตรวจสอบภายใน (Internal Auditor) หรอผตรวจสอบจากภายนอก (External Auditor) 5. ผดแลระบบทไดรบมอบหมาย

3. แนวทางปฏบตในการสอบทาน 3.1 การปฏบตตามนโยบายและแนวปฏบต ในการรกษาความมนคง ปลอดภย

ดานสารสนเทศ 3.1.1 ก าหนดใหมคณะท างานสอบทาน ระบบการรกษาความมนคงปลอดภยของ

ระบบเทคโนโลยสารสนเทศ 3.1.2 ด าเนนการสอบทานระบบการรกษาความมนคงปลอดภยของระบบเทคโนโลย

สารสนเทศ รวมถงการปฏบตงาน ขนตอน และกระบวนการทเกยวของดานความปลอดภยสารสนเทศ วาสอดคลองกบนโยบายหรอไม โดยรายงานสรปผลเปนรายไตรมาสหรออยางนอยทก 6 เดอน ให CIO ทราบพรอมเสนอแนะแนวทางปรบปรงแกไขในกรณทพบวาระบบการรกษา ความมนคงปลอดภยของระบบเทคโนโลยสารสนเทศมจดบกพรอง

3.1.3 หวหนางานในแตละหนวยงานตองรบผดชอบในการสอบทานอยางสม าเสมอ ถงการปฏบตงานวาสอดคลองกบนโยบาย และกระบวนการทเกยวของดานความปลอดภยสารสนเทศ โดยศนยเทคโนโลยสารสนเทศและการสอสารรบผดชอบในการสนบสนนดานการใหค าแนะน าในการปฏบตตามขอก าหนดดานความปลอดภยสารสนเทศทเกยวของกบการปฏบตงานดงกลาว

3.1.4 ก าหนดใหมการตรวจสอบและประเมนความเสยง โดยผตรวจสอบภายในหนวยงานภาครฐ (Internal Auditor) หรอโดยผตรวจสอบอสระดานความมนคงปลอดภยจากภายนอก (External Auditor) อยางนอยปละ 1 ครง


3.1.5 รายการทสอบทาน 3.1.5.1 การปองกนการบกรกระบบ 3.1.5.2 การส ารองขอมล 3.1.5.3 การควบคมการเขาหองควบคมระบบเครอขาย 3.1.5.4 การควบคมผเขา-ออกอาคาร 3.1.5.5 การซอมรบสถานการณฉกเฉน

3.2 การก ากบดแลการปฏบตตามดานเทคนค 3.2.1 ผบรหารตองก ากบดแลเพอใหมนใจวาเจาหนาททราบถงความรบผดชอบดาน

การรกษาความปลอดภยสารสนเทศและไดมการปฏบตในทางทเหมาะสม ซงอาจรวมถงการจดใหมมาตรการในการวดผลการปฏบตงานของเจาหนาทจากการปฏบตตามมาตรฐานความปลอดภยของสารสนเทศ

3.2.2 แผนกดานตรวจสอบภายในหรอคณะท างานสอบทานตองตรวจสอบการควบคมทางดานเทคนคของระบบสารสนเทศ เพอตรวจสอบวามความเพยงพอและเหมาะสมหรอไม รวมทงการปฏบตตามการควบคมเหลานน

3.2.3 ในระบบสารสนเทศโดยเฉพาะระบบทส าคญและมความเสยงสง ตอง ม การทดสอบระดบมาตรฐานความปลอดภยของระบบสารสนเทศอยางสม าเสมอ เชน การทดสอบ การเจาะระบบ เปนตน เพอตรวจสอบถงจดเปราะบางของระบบและประสทธผลของการควบคมดานความปลอดภย

3.2.4 เครองมอทใชในการตรวจสอบระบบคอมพวเตอรทงหมด ซงรวมถงซอฟตแวร ระบบงาน และเอกสารทจ าเปนส าหรบงานตรวจสอบระบบคอมพวเตอร ตองไดรบการปกปองจากการลกลอบใชงานหรอใชในทางทผดวตถประสงค และการควบคมจ ากดการเขาใชงานใหเฉพาะแผนกทเกยวของกบการตรวจสอบเทานน


สวนท 19 นโยบายดานการปฏบตตามขอบงคบ

(Compliance Policy)

1. วตถประสงค การปฏบตตามขอบงคบดานกฎหมาย เพอลดความเสยงทเกดจากการละเมดขอบงคบ

ทางกฎหมายทเกยวของกบการด าเนนงานขององคกร การทองคกรทราบถงขอก าหนดตางๆ ทเกยวของจะสามารถท าใหองคกรมความตระหนกถงความเสยงทเกดขนรวมทงวางมาตรการควบคม ทเหมาะสมได เพอปองกนความเสยหายทอาจเกดขนจากการละเมดดงกลาว

2. ผรบผดชอบ 1. ศนยเทคโนโลยสารสนเทศและการสอสาร 2. กองกฎหมาย 3. ผดแลระบบทไดรบมอบหมาย 4. เจาหนาททไดรบมอบหมาย 5. ผใชงาน

3. แนวปฏบตในการปฏบตตามขอบงคบ 3.1 การปฏบตตามขอบงคบดานกฎหมาย

บรรดากฎหมายใดๆ ทไดประกาศใชในประเทศไทย ถอเปนสงส าคญทผใชงานคอมพวเตอรจะตองตระหนกและปฏบตตามอยางเครงครด และไมกระท าความผดนน ดงนน หากผใชงานคอมพวเตอรกระท าผดตามกฎหมายดงกลาว องคกรถอวาความผดนนเปนความผด สวนบคคล

3.2 การปกปองขอมลสวนบคคล 3.2.1 ขอมลรายละเอยดทเกยวกบการด าเนนงานขององคกร ถอวาเปนขอมลทม

ความส าคญ เฉพาะเจาหนาททไดรบมอบหมายตามหนาทงานหรอไดรบอนญาตจากผบรหารเทานนทสามารถเปลยนแปลงแกไขขอมลดงกลาวได

3.2.2 ขอมลสวนตวของเจาหนาทถอวาเปนขอมลลบ และสามารถเปดเผยไดเฉพาะผทมสทธ เชน เจาหนาทเองหรอผท างานทมความเกยวของเทานน อยางไรกดองคกรสงวนสทธใน การเขาถงขอมลทงหมดทสรางและเกบอยในระบบสารสนเทศขององคกร

3.3 ลขสทธซอฟตแวร 3.3.1 หามมใหเจาหนาทน าซอฟตแวรภายนอกมาใชในระบบประมวลผลขององคกร

โดยมไดรบอนญาตเปนลายลกษณอกษรจากผบงคบบญชาในหนวยงาน โดยผบงคบบญชาฯ ตองสอบทานกบศนยเทคโนโลยสารสนเทศและการสอสาร ในเรองลขสทธขององคกรและความเสยงดานความปลอดภยสารสนเทศในการน าซอฟตแวรดงกลาวมาใชตามล าดบ

3.3.2 เจาหนาทตองไมท าส าเนา หรอเผยแพรซอฟตแวรทองคกรไดจดซอลขสทธเพอการใชงาน ยกเวนการท าส าเนานนเพยงแตเพอไวใชส าหรบเหตฉกเฉนหรอเพอเปนส าเนาไวใชแทนซอฟตแวรตนฉบบเทานน


3.3.3 ซอฟตแวรทพฒนาภายในองคกร ทงโดยบคคลอนหรอเจาหนาทขององคกร ถอวาเปนทรพยสนขององคกร องคกรไมอนญาตใหเจาหนาทท าส าเนาหรอเผยแพรซอฟตแวรทเปนทรพยสนขององคกร โดยไมไดรบการอนญาตจากผบรหารเปนลายลกษณอกษร

3.3.4 ผทใชงานซอฟตแวรบนระบบสารสนเทศขององคกรทงหมด ตองยดถอและปฏบตตามกฎหมายลขสทธและขอก าหนดของผผลตซอฟตแวรอยางเครงครด

3.3.5 ซอฟตแวรทไดจดซอจากภายนอกอาจมเงอนไขในเรองลขสทธดานการใชงานทแตกตางกน หนวยงานทรบผดชอบดานการจดซอตองรบผดชอบในการศกษาถงเงอนไขดงกลาว จากศนยเทคโนโลยสารสนเทศและการสอสาร ตองสรางความตระหนกถงผใชงานซอฟตแวรดงกลาวไดทราบถงเงอนไขตางๆ และขอหามทเกยวของ

3.3.6 การจดซอหรอใชซอฟตแวรของบคคลอนตองปฏบตใหสอดคลองกบขอตกลงดานลขสทธ หามน าซอฟตแวรทซอไปตดตงทคอมพวเตอรเครองอนนอกเหนอจากเครองทได ม การตดตงแลวตามขอตกลงเรองลขสทธซอฟตแวร

3.3.7 ท าการตรวจสอบการใชงานคอมพวเตอรขององคกรอยางสม าเสมอ เพอใหมนใจวาการใชงานอปกรณคอมพวเตอรทกชนดเปนไปตามขอตกลงดานลขสทธซอฟตแวร

3.3.8 เจาหนาททฝาฝนละเมดขอตกลงดานลขสทธของเจาของซอฟตแวรถอวาเปนการละเมดนโยบายความปลอดภยสารสนเทศขององคกร ถงแมการละเมดนนจะเปนไป เพอ การปฏบตงานขององคกรกตาม เจาหนาทตองรบผดชอบผลเสยหายทงหมด

4. แนวปฏบตในการบงคบใชส าหรบการฝาฝนและบทลงโทษ 4.1 กรณทองคกรตรวจสอบแลวพบวาบญชผใชงานระบบเครอขายใดมพฤตกรรมสมเสยง

ฝาฝนนโยบาย หรอประพฤตโดยมชอบ เชน โหลดบต การสรางโปรเซสทกนก าลงระบบ การขโมยขอมล การเจาะระบบ การเขาถงระบบโดยปราศจากความยนยอมหรอการอนญาตของผดแลระบบ เปนตน องคกรขอสงวนสทธในการระงบ และ/หรอยกเลกบญชผใชงานอนเทอรเนต และ/หรอหยดใหบรการแกผใชงานนนดงน

4.1.1 ละเมดกฎครงแรก ท าหนงสอตกเตอน 4.1.2 ละเมดกฎครงท 2 ซ าโดยเจตนา ท าหนงสอตกเตอน ระงบ User ชวคราว 1 เดอน 4.1.3 ละเมดกฎครงท 3 ซ าโดยเจตนา ท าหนงสอตกเตอน ระงบ User ชวคราว 2 เดอน 4.2.4 ละเมดกฎซ ามากกวา 3 ครงโดยเจตนา ท าหนงสอตกเตอน ยกเลก User ถาวร

4.2 องคกรขอสงวนสทธในการจดสรรแบนดวดท (Bandwidth Quota) ของผใชงานแตละคนเพอการจดการทรพยากรแบนดวดททเหมาะสม

4.3 หากการกระท าอนฝาฝนตอนโยบายนเปนความผดตามกฎหมายใหองคกรด าเนนคดตามกฎหมายโดยล าดบตอไป และองคกรไมรบผดชอบตอผลของการกระท าทเกดจากผใชงานและ/หรอบญชผใชงานทฝาฝนตอนโยบายน


สวนท 20 นโยบายการสรางความตระหนกในเรองการรกษาความมนคงปลอดภยดานสารสนเทศ

(Information Security Awareness Policy)

1. วตถประสงค เพอเผยแพรนโยบายและแนวปฏบตใหกบบคลากรและบคคลทเกยวของไดม ความร

ความเขาใจและตระหนกถงความส าคญของการรกษาความมนคงปลอดภยดานสารสนเทศตลอดจนสามารถน าไปปฏบตไดอยางถกตอง

2. ผรบผดชอบ 1. ศนยเทคโนโลยสารสนเทศและการสอสาร 2. กลมพฒนาทรพยากรบคคลกองการเจาหนาท 3. กลมเผยแพรและประชาสมพนธ ส านกงานเลขานการกรม 4. หนวยงานทไดรบมอบหมายในการจดฝกอบรม 5. ผดแลระบบทไดรบมอบหมาย 6. เจาหนาททไดรบมอบหมาย

3. แนวปฏบตการสรางความตระหนกในเรองการรกษาความมนคงปลอดภยดานสารสนเทศ 3.1 จดฝกอบรมแนวปฏบตตามนโยบายอยางสม าเสมอโดยการจดฝกอบรมอาจใชวธการ

เสรมเนอหาแนวปฏบตตามนโยบายเขากบหลกสตรอบรมตางๆ ตามแผนการฝกอบรมของหนวยงาน 3.2 จดท าคมอการใชงานระบบสารสนเทศอยางปลอดภยและมการเผยแพรทางเวบไซต

ของหนวยงาน 3.3 ใหความรเกยวกบแนวปฏบตในลกษณะเกรดความรหรอขอระวงในรปแบบทสามารถ

เขาใจและน าไปปฏบตไดงายซงมการปรบเปลยนเกรดความรอย เสมอ โดยการตดประกาศ ประชาสมพนธแผนพบ เผยแพรผานเวบไซต

3.4 สนบสนนใหมสวนรวม และน าสการปฏบตตลอดจนตดตามประเมนผลและส ารวจความตองการของผใชบรการ


หนวยงานภายในกรมประมง

1. ส านกงานเลขานการกรม 2. กองกฎหมาย 3. กองการเจาหนาท 4. กองคลง 5. กองควบคมการคาสตวน าและปจจยการผลต 6. กองโครงการอนเนองมาจากพระราชด ารและกจกรรมพเศษ 7. กองตรวจการประมง 8. กองตรวจสอบคณภาพสนคาประมง 9. กองนโยบายและยทธศาสตรพฒนาการประมง 10. กองบรหารจดการทรพยากรและก าหนดมาตรการ 11. กองบรหารจดการเรอประมงและการท าการประมง 12. กองประมงตางประเทศ 13. กองแผนงาน 14. กองพฒนาระบบการรบรองมาตรฐานสนคาประมงและหลกฐานเพอการสบคน 15. กองวจยและพฒนาการเพาะเลยงสตวน าจด 16. กองวจยและพฒนาการเพาะเลยงสตวน าชายฝง 17. กองวจยและพฒนาเทคโนโลยอตสาหกรรมสตวน า 18. กองวจยและพฒนาประมงทะเล 19. กองวจยและพฒนาประมงน าจด 20. กองวจยและพฒนาพนธกรรมสตวน า 21. กองวจยและพฒนาสขภาพสตวน า 22. กองวจยและพฒนาอาหารสตวน า 23. กองควบคมการประมงนอกนานน าและการขนถายสตวน า 24. ส านกงานประมงพนทกรงเทพมหานคร 25. กลมตรวจสอบภายใน 26. กลมพฒนาระบบบรหาร

ค ำน ำ - fisheriesค ำน ำ คูมือ...

Documents