ลำดับที่ | รายการ |
| 1 | ด้านนโยบาย |
| ✅ | 1.1 จัดทำนโยบายเป็นลายลักษณ์และลงนามโดยผู้บริหารของหน่อยงาน |
| 1.2 จัดทำนโยบายเกี่ยวกับการเข้าหรือควบคุมการใช้งานสารสนเทศ | |
| คลอบคลุมทุกระดับ ได้แก่ | |
| ❌ | -การเข้าถึงระบบสารสนเทศ |
| ❌ | -การเข้้าถึงระบบเครือข่าย |
| ❌ | -การเข้าถึงระบบปฏิบัติการ |
| ❌ | -การเข้าถึงโปรแกรมประยุกต์หรือ Application |
| ❌ | 1.3 กำหนดนโยบายเกี่ยวข้องกับการจัดทำระบบสำรองข้อมูล |
| ❌ | 1.4 จัดทำแผนบริหารความเสี่ยงทางด้านสารสนเทศของหน่วยงาน |
| ✅ | 1.5 ค่ำสั่งแต่ตั้งคณะกรรมการบริหารความเสี่ยงทางด้านสารสนเทศ |
| ของหน่วยงาน | |
| ❌ | 1.6 การประกาศเผยแพร่นโยบายและขเฃ้อปฏิบัติให้กับผู้ใช้งานทราบ |
| เช่น website หนังสือเวียน | |
| ❌ | 1.7 หน่วยงานมีการกำหนดผู้รับผิดชอบตามนโยบายที่ชัดเจน |
| เป็นลายลักษณ์อักษร | |
| 2 | ด้้านการควบคุมการเข้าถึงและควบคุมการใช้งาน |
| 2.1 กำหนดการเข้าถึงเป็นลายลักษณ์อักษรที่ชัดเจน | |
| 2.2 ห้องปฏิบัติงานฝ่ายสารสนเทศเป็นพื้นที่เฉพะบุคคลที่ได้รับอนุญาตเท่านั้น | |
| 2.3 สถานที่เก็บอุปกรณ์ที่เกี่ยวข้องกับสารสนเทศภายในมีการล็อคกุญแจ | |
| เมื่อไม่มีการใฃ้งาน | |
| 2.4 มีระบบป้องกันกรณีฉุกเฉิน เช่น อัคคีภัย โจรกรรม และอุทกภัย | |
| 2.5 มีกฏข้อบังคับการปฏิบัติตนของเจ้าหน้าที่ขณะปฏิบัติงานที่ชัดเจน เช่น | |
| ห้ามสูบบุหรี่หรือห้ามรับประทานอาหารเครื่องดื่มภายในห้องปฏิบัติการ | |
| 2.6 เครื่อง UPS (เครื่องสำรองไฟ) มีเพียงพอ อยูในสถานะพร้อมใช้งาน | |
| เพือป้องกันข้อมูลสารสนเทศเสียหายกรณีไฟฟฟ้าดับ/ไฟฟ้าตก | |
| 2.7 มีแผนและระบบการตรวจสอบ บำรุงรักษาสายไฟฟ้าภายในห้องปฏิบัติงาน, | |
| สายเคเบิล และอุปกรณ์คอมพิวเตอร์ Hardware ของหน่วยงานอยู่สม่ำเสมอ | |
| 3 | การเข้าถึงผู้ใช้งาน |
| 3.1 หน่วยงานจัดทำคู่มือการปฏิบัติงานให้กับผู้ใช้ (User) | |
| 3.2 หน่วยงานจัดให้มีการให้ความรู้ ความเข้าใจกับผู้ปฏิบัติงานอย่างต่อเนื่อง | |
| เช่่น การเผยแพร่ทาง Website, จัดอบรม | |
| 3.3 มีข้อกำหนดในการลงทะเบียนการเข้าใช้งานที่ชัดเจน | |
| 3.4 มีการกำหนดหลักเกณฑ์ในการอนุมัติการใช้งาน | |
| 3.5 มีเกณฑ์ในการยกเลิก/เพิกถอนการอนุญาตให้เข้าใช้งานในระบบ | |
| 3.6 การใช้งาน 1 คนต่อ 1 User ไม่มีการใช้ร่วมกัน | |
| 3.7 กำหนดสิทธฺในการใช้งานของ User แต่ละระดับชัดเจน | |
| 4 | การเข้าถึงระบบเครือข่าย |
| 4.1 กำหนดสิทธิการเข้าใช้งานเฉพาะบริการที่ได้รับสิทธิเท่านั้น | |
| 4.2 หน่วยงานกำหนดข้อปฏิบัติการเข้าถึงให้ผู้ใช้งานมราบ | |
| 4.3 หน่วยงานมีการควบคุมการเชื่อมต่อ Terminal | |
| กับระบบคอมพิวเตอร์หลัก อย่างรัดกุม | |
| 4.4 ผู้ใช้งานรับทราบแนวปฏิบัติเกี่ยวกับการเข้าถึงบริการผ่านช่องทาง | |
| 1)Website | |
| 2)บันทึกแจ้งเวียน | |
| 3)อื่นๆ ระบุ.................................................................... | |
| 4.5 มีข้อกำหนดการยืนยันตัวบุคคลก่อนอนุญาตให้ผู้ใช้งานเชื่อมต่อเข้าระบบ | |
| เครือข่ายของหน่วยงาน | |
| 5 | การเข้้าถึงระบบปฏิบัติการ |
| 5.1 หน่วยงานกำหนดขั้นตอนการเข้าถึงการใช้งานของระบบปฏิบัติการ | |
| 5.2 หน่วยงานนกำหนดให้ผู้ใช้งานแสดงข้อมูลในการยืนยันตัวตนของผู้ใช้งาน | |
| 5.3 หน่วยงานกำหนดขั้นตอนการยืนยันตัวตนของผู้ใช้งาน (ถ้ามี) | |
| 5.4 หน่วยงานกำหนดรหัสผ่านที่สามารถทำงานอัตโนมัติได้ | |
| 5.5 หน่วยงานมีการจำกัดหรือควบคุมการใช้โปรแกรม อรรถประโยชน์ | |
| 5.6หน่วยงานจำกัดเวลาเชื่อมต่อระบบสารสนเทศหรือโปรแกรมต่างๆ | |
| 6 | การเข้าถึง Application และสารสนเทศ |
| 6.1 หน่วยงานกำหนดแนวปฏิบัติ ในการเข้าถึงสารสนเทศ Applicationต่างๆ | |
| 6.2 ข้อจำกัดที่กำหนดเป็นไปตามนโยบายและข้อปฏิบัติในการรักษาความมั่นคง | |
| ปลอดถัยของหน่วยงาน | |
| 6.3 หน่วยงานมีข้อกำหนดในการควบคุมคอมพิวเตอร์เคลื่อนที่ | |
| กัารเข้าถึงสารสนเทศของหน่วยงาน | |
| 6.4 หน่วยงานกำหนดมาตรการเพื่อป้องกันความเสี่งจากการใช้คอมพิวเตอร์ | |
| เคลื่อนที่และโทรศัพท์เคลื่อนที่ | |
| 7 | การจัดระบบสำรองกรณีฉุกเฉิน |
| 7.1 หน่วยงานมีข้อปฏิบัติหรือหลักเกณฑ์ในการจัดทำระบบสำรองที่ชัดเจน | |
| 7.2 ทุกระบบที่จัดสำรองมีการรายงานผลการสำรอง | |
| 7.3 หน่วยงานมีการเตรียมแผนการเตรียมพร้อมกรณีฉุกเฉิน | |
| 7.4 หน่วยงานกำหนดหน้าที่ความรับผิดชอบของบุคลากรที่ชัดเจน | |
| 7.5 หน่วยงานจัดให้มีการทดสอบระบบให้อยู่สภาพพร้อมใช้งาน | |
No comments:
Post a Comment