เอกสารการดำเนนงานตามแนวนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยของหนวยงานของรฐ

มหาวทยาลยราชภฏเพชรบรณ

สานกวทยบรการและเทคโนโลยสารสนเทศ

สารบญ

หนา นโยบายการรกษาความมนคงปลอดภยของเทคโนโลยสารสนเทศและการสอสาร 1 แนวปฏบตการควบคมการเขาถงและการใชงานระบบสารสนเทศ 10 แนวปฏบตระบบสารสนเทศและระบบส ารองของสารสนเทศ 34 แนวปฏบตการตรวจสอบและประเมนความเสยงดานสารสนเทศ 39 แนวปฏบตการสรางความรความเขาใจในการใชระบบสารสนเทศและระบบคอมพวเตอร 41 แผนเตรยมความพรอมฉกเฉน (IT Contingency Plan) 42

ประกาศมหาวทยาลยราชภฏเพชรบรณ

เรอง นโยบายการรกษาความมนคงปลอดภยของเทคโนโลยสารสนเทศและการสอสาร ..............................................................

เพอใหการด าเนนการเกยวกบการรกษาความมนคงปลอดภยของเทคโนโลยสารสนเทศและการสอสารของมหาวทยาลยราชภฏเพชรบรณ เปนไปตามมาตรฐานสากล

อาศยอ านาจตามความในมาตรา 31 (1) (2) และ (9) แหงพระราชบญญตมหาวทยาลย ราชภฏ พ.ศ. 2547 ประกอบ มาตรา 5 และมาตรา 7 แหงพระราชกฤษฎกา ก าหนดหลกเกณฑและวธการในการท าธรกรรม ทางอเลกทรอนกสภาครฐ พ.ศ. 2549 จงออกประกาศมหาวทยาลยราชภฏเพชรบรณ เรอง นโยบายการรกษาความปลอดภยของเทคโนโลยสารสนเทศและการสอสาร ความดงตอไปน

ขอ 1 ประกาศนเรยกวา “ประกาศมหาวทยาลยราชภฏเพชรบรณ เรอง นโยบายการรกษาความมนคงปลอดภยของเทคโนโลยสารสนเทศและการสอสาร”

ขอ 2 ประกาศน ใหใชบงคบเมอพนก าหนดเกาสบวน นบตงแตวนประกาศฉบบน เปนตนไป

ขอ 3 ในประกาศน “มหาวทยาลย” หมายความวา มหาวทยาลยราชภฏเพชรบรณ “หนวยงาน” หมายความวา คณะ ส านก สถาบน ตามกฎกระทรวงจดตงสวนราชการ ในมหาวทยาลยหรอจดตงเปนสวนงานภายในมหาวทยาลย

“ผใชงาน” หมายความวา บคลากร นกศกษา ลกจาง ผดแลระบบหรอผทมหาวทยาลยอนญาตใหใชสนทรพยของมหาวทยาลย

“สทธของผใชงาน” หมายความวา สทธจ าเพาะ สทธพเศษ และสทธอนใด ทเกยวของกบระบบสารสนเทศของมหาวทยาลย หรอ เพอการเขาถงเขาใชสารสนเทศและทรพยสนสารสนเทศของมหาวทยาลย

“สนทรพย” หมายความวา เครองคอมพวเตอรของมหาวทยาลย เครอขายยอย และระบบสารสนเทศตาง ๆ ทมหาวทยาลยพฒนาขนหรอจดหาเพอใชในการด าเนนการของมหาวทยาลย

“เครองคอมพวเตอร” หมายความวา อปกรณหรอชดอปกรณทเชอมการท างานเขาดวยกน โดยไดมการก าหนดค าสง ชดค าสงซงท าหนาทประมวลผลขอมลโดยอตโนมต

“หองคอมพวเตอรแมขาย” หมายความวา สถานทตดตงอปกรณแมขายหรออปกรณเครอขายของมหาวทยาลยภายในมหาวทยาลย

“การเขาถงหรอควบคมการใชงานสารสนเทศ” หมายความวา ความสามารถในการเขาถงระบบสารสนเทศทไดรบการอนญาต จากการก าหนดสทธหรอไดรบมอบอ านาจในการเขาถงระบบ ใน

๒ การอาน สราง ส าเนา และแกไขสารสนเทศ ทงโดยการเขาถงดวยวธการทางอเลกทรอนกสหรอวธการทางกายภาพ

“ความมนคงปลอดภยดานสารสนเทศ” หมายความวา การรกษาไว ซงความลบ (confidentiality) ความครบถวนถกตอง ( integrity) และความพร อมใช (availability) ของสารสนเทศ และระบบเครอขาย รวมทง คณสมบตอน ไดแกความถกตองแทจรง (authenticity) ความรบผดชอบ (accountability) การหามปฏเสธความรบผดชอบ (non-repudiation) และความนาเชอถอ (reliability)

“เหตการณดานความมนคงปลอดภย” หมายความวา กรณทระบการเกดเหตการณ สภาพใชงานการใหบรการเครอขายสารสนเทศมหาวทยาลยทแสดงใหเหนความเปนไปได ทจะเกด การฝาฝนนโยบายดานความมนคงปลอดภย หรอมาตรการปองกนทลมเหลว หรอเหตการณอนไมอาจรไดวาอาจเกยวของกบความมนคงปลอดภย

“สถานการณดานความมนคงปลอดภยทไมพงประสงคหรอไมอาจคาดคด” หมายความวา สถานการณดานความมนคงปลอดภยทไมพงประสงคหรอไมอาจคาดคด ซงอาจท าใหระบบขององคกร ถกบกรกหรอโจมต และความมนคงปลอดภยถกคกคาม

“เครอขายสารสนเทศมหาวทยาลย” หมายความวา ระบบเครอขายเทคโนโลยสารสนเทศและการสอสารของมหาวทยาลย โดยมวตถประสงคการเขาใชงานเพอการบรหารงาน การบรการวชาการการศกษาและงานวจยทเปนพนธกจของมหาวทยาลย

“ผดแลเครอขายสารสนเทศมหาวทยาลย” หมายความวา บคลากรทไดรบมอบหมาย จากมหาวทยาลยเพอปฏบตงานใหดแลบรหารจดการระบบเครอขายสารสนเทศ ใหพรอมส าหรบการใชงานของมหาวทยาลย

“ผปฏบตงานระบบสารสนเทศ” หมายความวา บคลากรทไดรบมอบหมายจากหนวยงาน เพอท าการปอนขอมล และแกไขขอมลของระบบสารสนเทศของมหาวทยาลย

“เครอขายยอย” หมายความวา อปกรณตอพวงตาง ๆ รวมถงอปกรณเครอขายทเชอมโยงเครองคอมพวเตอรตาง ๆ ภายในเครอขายสารสนเทศมหาวทยาลย ตลอดจนถงโปรแกรมและขอมลตาง ๆ

“ผดแลระบบเครอขายยอย” หมายความวา บคลากรหรอลกจางไดรบมอบหมายจากหวหนาหนวยงาน เพอปฏบตงานใหระบบเครอขายของหนวยงานพรอมส าหรบการใชงานของมหาวทยาลย

“ผใชบรการเครอขาย” หมายความวา บคคล หนวยงานทตอเชอมและรบบรการจากเครอขายสารสนเทศของมหาวทยาลย

“ผบรหารระดบสงสด” หมายความวา อธการบดมหาวทยาลยราชภฏเพชรบรณ (Chief Executive Officer : CEO)

“ผบรหารเทคโนโลยสารสนเทศระดบสง” หมายความวา ผไดรบการแตงตงโดยผบรหารระดบสงสดใหเปนผบรหารเทคโนโลยสารสนเทศระดบสง (Chief Information Officer : CIO) ใหมหนาทดแลดานความมนคงปลอดภยดานสารสนเทศ

“คณะกรรมการนโยบายการรกษาความมนคงปลอดภยของเทคโนโลยสารสนเทศและ การสอสาร” หมายความวา คณะกรรมการทไดรบการแตงตงจากมหาวทยาลย เพอท าหนาทในการ

๓ ก าหนด ตรวจสอบ ทบทวน ปรบปรงนโยบายการรกษาความมนคงปลอดภยของเทคโนโลยสารสนเทศ และการสอสาร รวมทงตรวจสอบและประเมนความเสยงของระบบเทคโนโลยสารสนเทศและการสอสารของมหาวทยาลย

“ผตรวจสอบภายใน” หมายความวา บคลากรภายในมหาวทยาลยทไดรบการแตงตงจากมหาวทยาลยเพอท าหนาทตรวจสอบและประเมนความเสยงดานสารสนเทศของมหาวทยาลย

“ผตรวจสอบจากภายนอก” หมายความวา เปนบคคลภายนอกทมความร ความสามารถทางดานเทคโนโลยสารสนเทศทไดรบเชญเปนผตรวจสอบและประเมนความเสยงดานสารสนเทศของมหาวทยาลย

“บทลงโทษ” หมายความวา บทลงโทษทมหาวทยาลยเปนผก าหนดหรอบทลงโทษตามกฎหมายทเกยวของ ขอ 4 การรกษาความมนคงปลอดภยดานสารสนเทศในการท าธรกรรมทางอเลกทรอนกส ตามประกาศน ม 2 สวน ดงน

4.1 นโยบายในการรกษาความมนคงปลอดภยดานสารสนเทศ ตองมเนอหาอยางนอยครอบคลม ตามขอ 5

4.2 แนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ ตองมเนอหาอยางนอยครอบคลม ตามขอ 6-14

ขอ 5 นโยบายในการรกษาความมนคงปลอดภยดานสารสนเทศ ตามประกาศน ม 2 สวน ดงน

5.1 สวนทเกยวของกบการจดท านโยบาย 5.1.1 ผบรหาร บคลากรทางดานคอมพวเตอร และผใชงานไดมสวนรวมในการ

จดท าขอปฏบตทสอดคลองกบนโยบายการรกษาความมนคงปลอดภยดานสารสนเทศของมหาวทยาลย 5.1.2 จดท าขอปฏบตทสอดคลองกบนโยบายการรกษาความมนคง โดยอางองรายละเอยดแนวปฏบตจากเอกสารแนบทายประกาศ และประกาศใหผใชงานทราบรวมทงสามารถเขาถงไดอยางสะดวกผานทางเวบไซตของมหาวทยาลย ซงตองยดถอปฏบตตามอยางเครงครดตอไป

5.1.3 ก าหนดผรบผดชอบตามนโยบายและแนวปฏบตดงกลาวใหชดเจน 5.1.4 ทบทวนและปรบปรงนโยบายอยางนอยปละ 1 ครง

5.2 สวนทเกยวของกบรายละเอยดของนโยบาย 5.2.1 การเขาถงหรอควบคมการใชงานสารสนเทศ มนโยบายทจะใหบรการ

เทคโนโลยสารสนเทศแกผใชงานและประชาชนอยางทวถง โดยใหผใชงานและประชาชนสามารถเขาถงและใชงานระบบสารสนเทศไดอยางสะดวกและรวดเรว รวมทง มการใหความคมครองขอมลทไมพงเปดเผย

5.2.2 มระบบสารสนเทศและระบบส ารองของสารสนเทศ มนโยบายในการบรหารจดการระบบสารสนเทศทไดมาตรฐาน โดยมการแยกประเภทและจดเกบเทคโนโลยสารสนเทศเปนหมวดหมมระบบส ารองระบบสารสนเทศและระบบคอมพวเตอรทสมบรณพรอมใชงาน รวมทงมแผนฉกเฉนในการใชงานเพอใหสามารถท างานไดอยางตอเนอง

๔

5.2.3 ตรวจสอบและประเมนความเสยงดานสารสนเทศ มนโยบายในการตรวจสอบและประเมนความเสยง รวมถงก าหนดมาตรการในการควบคมความเสยงดานสารสนเทศอยางนอยปละ 1 ครง

5.2.4 การสรางความรความเขาใจในการใชระบบสารสนเทศและระบบคอมพวเตอรมนโยบายในการสรางความรความเขาใจ โดยการจดท าคมอ จดฝกอบรม และเผยแพรการใชงานระบบสารสนเทศและระบบคอมพวเตอรใหแกผใชงานทงภายในและภายนอก

ขอ 6 มขอก าหนดการเขาถงหรอควบคมการใชงานระบบสารสนเทศ (Access Control) อยางนอย ดงน

6.1 ควบคมการเขาถงขอมลและอปกรณในการประมวลผลขอมล เพอค านงถงการใชงานและความมนคงปลอดภย โดยการก าหนดขนตอนการลงทะเบยนผใชงานในระบบ (user registration) การตรวจสอบสทธในการเขาถงขอมลตามหนาทและความรบผดชอบ การทบทวนสทธของผใชงานระบบสารสนเทศ เมอมการเปลยนแปลงสถานะของผใชงาน

6.2 ก าหนดกฎเกณฑเกยวกบการอนญาตใหเขาถง ตองก าหนดตามนโยบายทเกยวของกบการอนญาต การก าหนดสทธ หรอการมอบอ านาจของหนวยงาน

6.3 ก าหนดประเภทของขอมล ล าดบความส าคญ หรอล าดบชนความลบ ของขอมล รวมทงระดบชนการเขาถง เวลาทไดเขาถง และชองทางการเขาถง ขอ 7. การบรหารจดการการเขาถงของผใชงาน (User Access Management) เพอควบคม การเขาถงระบบสารสนเทศเฉพาะผทไดรบอนญาตแลว และผานการฝกอบรมหลกสตรการสราง ความตระหนกเรองความมนคงปลอดภยสารสนเทศ (Information Security Awareness Training) เพอปองกนการเขาถงจากผซงไมไดรบอนญาตอยางนอย ดงน

7.1 สรางความรความเขาใจใหกบผใชงาน เพอใหเกดความตระหนก ความเขาใจถงภยและผลกระทบทเกดจากการใชงานระบบสารสนเทศโดยไมระมดระวงหรอรเทาไมถงการณ รวมถงก าหนดใหมมาตรการเชงปองกนตามความเหมาะสม

7.2 การลงทะเบยนผใชงาน (User Registration) ตองก าหนดใหมขนตอนการปฏบตส าหรบการลงทะเบยนผใชงานเมอมการอนญาตใหเขาถงระบบสารสนเทศและการตดออกจากทะเบยนของผใชงานเมอมการยกเลกเพกถอนการอนญาตดงกลาว

7.3 การบรหารจดการสทธของผใชงาน (User Management) ตองจดใหมการควบคมและจ ากดสทธเพอเขาถงและใชงานระบบสารสนเทศแตละชนดตามความเหมาะสม ทงน รวมถงสทธจ าเพาะ สทธพเศษ และสทธอน ๆ ทเกยวของกบการเขาถง

7.4 การบรหารจดการรหสผานส าหรบผใชงาน (User Password Management) ตองจดใหมกระบวนการบรหารจดการรหสผานส าหรบผใชงานอยางรดกม

7.5 การทบทวนสทธการเขาถงของผใชงาน (Review of User Access Rights) ตองจดใหมกระบวนการทบทวนสทธการเขาถงของผใชงานระบบสารสนเทศตามระยะเวลาทก าหนดไว

ขอ 8. ก าหนดหนาทความรบผดชอบของผใชงาน (User Responsibilities) เพอปองกน การเขาถงโดยไมไดรบอนญาต การเปดเผย การลวงร หรอการลกลอบท าส าเนาขอมลสารสนเทศและ การลกขโมยอปกรณประมวลผลสารสนเทศ มเนอหาอยางนอย ดงน

๕

8.1 การใชงานรหสผาน (Password Usage) ก าหนดแนวปฏบตทดส าหรบผใชงานในการก าหนดรหสผาน การใชงานรหสผาน และการเปลยนรหสผานทมคณภาพ

8.2 การปองกนอปกรณในขณะทไมมผใชงานทอปกรณ ก าหนดแนวปฏบตทเหมาะสมเพอปองกนไมใหผไมมสทธสามารถเขาถงอปกรณของหนวยงานในขณะทไมมผดแล

8.3 การควบคมสนทรพยสารสนเทศและการใชงานระบบคอมพวเตอร (Clear Desk and Clear Screen Policy) ตองควบคมไมใหสนทรพยสารสนเทศ อนไดแก เอกสาร สอบนทกขอมล คอมพวเตอรหรอสารสนเทศ อยในภาวะเสยงตอการเขาถงโดยผซงไมมสทธ และตองก าหนดใหผใชงานออกจากระบบ

8.4 ผใชงานอาจน าการเขารหส มาใชกบขอมลทเปนความลบ โดยใหปฏบตตามระเบยบการรกษาความลบทางราชการ พ.ศ. 2544

ขอ 9. ควบคมการเขาถงเครอขาย (Network Access Control) เพอปองกนการเขาถงบรการทางเครอขายโดยไมไดรบอนญาต อยางนอยดงน

9.1 การใชบรการเครอขาย ตองก าหนดใหผใชงานสามารถเขาถงระบบสารสนเทศไดแตเพยงบรการทไดรบอนญาตใหเขาถงเทานน

9 .2 การยนยนตวบคคลส าหรบผ ใช งานท อย ภายนอกหน วยงาน (User Authentication for External Connections) ตองก าหนดใหมการยนยนตวบคคลกอนทจะอนญาตใหผใชงานทอยภายนอกหนวยงานสามารถเขาใชงานเครอขายและระบบสารสนเทศของหนวยงานได

9.3 การระบอปกรณบนเครอขาย (Equipment Identification in Networks) ตองมวธการทสามารถระบอปกรณบนเครอขายได และใชการระบอปกรณบนเครอขายเปนการยนยน

9.4 การปองกนพอรตท ใชส าหรบตรวจสอบและปรบแตงระบบ (Remote Diagnostic and Configuration Port Protection) ต องควบคมการเข าถ งพอรตท ใช ส า หรบตรวจสอบและปรบแตงระบบทงการเขาถงทางกายภาพและทางเครอขาย

9.5 การแบงแยกเครอขาย (Segregation in Networks) ตองท าการแบงแยกเครอขายตามกลมของบรการสารสนเทศ กลมผใชงาน และกลมของระบบสารสนเทศ

9.6 การควบคมการเชอมตอทางเครอขาย (Network Connection Control) ตองควบคมการเข ถงหรอใชงานเครอขายทมการใชรวมกนหรอเชอมตอระหวางใหสอดคลองกบแนวปฏบตการควบคมการเขาถง

9.7 การควบคมการจดเสนทางบนเครอขาย (Network Routing Control) ตองควบคมการจดเสนทางบนเครอขายเพอใหการเชอมตอของคอมพวเตอรและการสงผานหรอไหลเวยนของขอมลหรอสารสนเทศสอดคลองกบแนวปฏบตการควบคมการเขาถงหรอการประยกตใชงานตามภารกจ

ขอ 10. ควบคมการเขาถงระบบปฏบตการ (Operating System Access Control) เพอปองกนการเขาถงระบบปฏบตการโดยไมไดรบอนญาต อยางนอยดงน

10.1 ก าหนดขนตอนปฏบตเพอการเขาใชงานทมนคงปลอดภย การเขาถงระบบปฏบตการจะตองควบคมโดยวธการยนยนตวตนทมนคงปลอดภย

1 0 . 2 ร ะ บ แ ล ะ ย น ย น ต ว ต น ข อ ง ผ ใ ช ง า น ( User Identification and Authentication) ตองก าหนดใหผใชงานมขอมลเฉพาะเจาะจงซงสามารถระบตวตนของผใชงาน และ

๖ เลอกใชขนตอนทางเทคนคในการยนยนตวตนทเหมาะสมเพอรองรบการกลาวอางวาเปนผใชงานทระบถง

10.3 การบรหารจดการรหสผาน (Password Management System) ตองจดท าหรอจดใหมระบบบรหารจดการรหสผานทสามารถท างานเชงโตตอบ (Interactive) หรอมการท างานในลกษณะอตโนมต ซงเออตอการก าหนดรหสผานทมคณภาพ

10.4 การใชงานโปรแกรมอรรถประโยชน (Use of System Utilities) ตองจ ากดและควบคมการใชงานโปรแกรมประเภทอรรถประโยชน เพอปองกนการละเมดหรอหลกเลยงมาตรการความมนคงปลอดภยทไดก าหนดไวหรอทมอยแลว

10.5 เมอมการวางเวนจากการใชงานในระยะเวลาหนงใหยตการใชงานระบบสารสนเทศนน (Session Time-out)

10.6 การจ ากดระยะเวลาการเชอมตอระบบสารสนเทศ (Limitation of Connection Time) ตองจ ากดระยะเวลาในการเชอมตอเพอใหมความมนคงปลอดภยมากยงขนส าหรบระบบสารสนเทศหรอโปรแกรมทมความเสยงหรอมความส าคญสง

ขอ 11. ควบคมการเขาถงโปรแกรมประยกต หรอแอพพล เคชน และสารสนเทศ (Application and Information Access Control) โดยตองมการควบคม อยางนอยดงน

11.1 การจ ากดการเขาถงสารสนเทศ (Information Access Restriction) ตองจ ากดหรอควบคมการเขาถงหรอเขาใชงานของผใชงานและบคลากรฝายสนบสนนการเขาใชงานในการเขาถงสารสนเทศและฟงกชน (Functions) ตาง ๆ ของโปรแกรมประยกตหรอแอพพลเคชน ทงน โดยใหสอดคลองตามนโยบายควบคมการเขาถงสารสนเทศทไดก าหนดไว

11.2 ระบบซงไวตอการรบกวน มผลกระทบและมความส าคญสงตอหนวยงาน ตองไดรบการแยกออกจากระบบอน ๆ และมการควบคมสภาพแวดลอมของตนเองโดยเฉพาะ ใหมการควบคมอปกรณคอมพวเตอรและอปกรณสอสารเคลอนท และการปฏบตงานจากภายนอกหนวยงาน

11.3 การควบคมอปกรณคอมพวเตอรและอปกรณสอสารเคลอนท ตองก าหนดแนวปฏบตและมาตรการทเหมาะสมเพอปกปองสารสนเทศจากความเสยงของการใชอปกรณคอมพวเตอรและอปกรณสอสารเคลอนท

11.4 การปฏบตงานจากภายนอกหนวยงาน ตองก าหนดแนวปฏบต แผนงานและขนตอนปฏบตเพอปรบใชส าหรบการปฏบตงานของหนวยงานจากภายนอกหนวยงาน

ขอ 12. จดใหมระบบสารสนเทศและระบบส ารองของสารสนเทศซงอยในสภาพพรอมใชงานและจดท าแผนเตรยมความพรอมกรณฉกเฉนในกรณทไมสามารถด าเนนการดวยวธการทางอเลกทรอนกสเพอใหสามารถใชงานสารสนเทศไดตามปกตอยางตอเนอง

12.1 ตองพจารณาคดเลอกและจดท าระบบส ารองทเหมาะสมใหอยในสภาพพรอมใชงาน

12.2 ตองจดท าแผนเตรยมความพรอมกรณฉกเฉน ในกรณทไมสามารถด าเนนการดวยวธการทางอเลกทรอนกส เพอใหสามารถใชงานสารสนเทศไดตามปกตอยางตอเนอง โดยตองปรบปรงแผนเตรยมความพรอมกรณฉกเฉนดงกลาวใหสามารถปรบใชไดอยางเหมาะสมและสอดคลองกบการใชงานตามภารกจ

๗

12.3 ตองมการก าหนดหนาทและความรบผดชอบของบคลากรซงท าหนาทดแลรบผดชอบระบบสารสนเทศ ระบบส ารอง และการจดท าแผนเตรยมพรอมกรณฉกเฉน ในกรณทไมสามารถด าเนนการดวยวธการทางอเลกทรอนกส

12.4 ตองมการทดสอบสภาพพรอมใชงานของระบบสารสนเทศ ระบบส ารอง และแผนเตรยมพรอมกรณฉกเฉนอยางสม าเสมอ อยางนอยปละ 1 ครง

12.5 ปฏบตและทบทวนแนวทางจดท าระบบส ารอง อยางนอยปละ 1 ครง ขอ 13. ตรวจสอบและประเมนความเสยงดานสารสนเทศอยางสม าเสมอ ดงน

13.1 ตองจดใหมการตรวจสอบและประเมนความเสยงดานสารสนเทศทอาจเกดขนกบระบบสารสนเทศ (Information Security Audit and Assessment) เปนประจ าอยางนอย ปละ 1 ครง

13.2 ในการตรวจสอบและประเมนความเสยง จะตองด าเนนการโดยผตรวจสอบภายในของหนวยงาน (Internal Auditor) หรอโดยผตรวจสอบอสระดานความมนคงปลอดภยจากภายนอก (External Auditor) เพอใหหนวยงานไดทราบถงระดบความเสยงและระดบความมนคงปลอดภยสารสนเทศ

ขอ 14. ตองก าหนดความรบผดชอบทชดเจน กรณระบบคอมพวเตอรหรอขอมลสารสนเทศ เกดความเสยหาย หรออนตรายใด ๆ แกหนวยงานหรอผหนงผใด อนเนองมาจากความบกพรองละเลย หรอฝาฝนการปฏบตตามนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ ทงน ใหผบรหารระดบสงสดของหนวยงาน (Chief Executive Office : CEO) เปนผรบผดชอบตอความเสยง ความเสยหาย หรออนตรายทเกดขน ดงน

14.1 ระดบนโยบาย 14.1.1 ใหผบรหารระดบสงสด (CEO) เปนผรบผดชอบในการก าหนด

นโยบายและแนวปฏบตการรกษาความมนคงปลอดภยดานสารสนเทศของมหาวทยาลย โดยมหนาทก ากบ ดแล รบผดชอบตอความเสยง ความเสยหาย หรออนตรายทเกดขน อนเนองมาจากความบกพรอง ละเลย หรอฝาฝนการปฏบตตามแนวนโยบายและแนวปฏบต ในการรกษาความมนคงปลอดภยดานสารสนเทศ ใหการสนบสนนและสงเสรมการด าเนนงานดานสารสนเทศอยางมประสทธภาพ

14.1.2 ผบรหารเทคโนโลยสารสนเทศระดบสง(CIO) ท าหนาทตดตาม ก ากบดแล ควบคม ตรวจสอบ และประเมนผลการด าเนนงานผรบผดชอบระดบปฏบตงาน ก ากบดแลใหมการปฏบต และด าเนนการตามประกาศ ฉบบน

14.2 ระดบปฏบตงาน ผดแลระบบสารสนเทศและระบบเครอขายของมหาวทยาลย รบผดชอบ

งานพฒนาระบบเครอขายและสารสนเทศ ใหความคดเหน เสนอแนะวธการ และแนวทางแกไขปญหาจากสถานการณ ความเสยงของระบบฐานขอมลและสารสนเทศ วางแผนการปฏบตงาน ตดตาม การปฏบตงานตามแผน การบรหารความเสยงและตรวจสอบระบบความมนคงและความปลอดภยของฐานขอมลและสารสนเทศ พรอมรายงานผลการด าเนนการ ดงน

14.2.1 ควบคมการเขา - ออก หองคอมพวเตอรแมขาย (Server) ตามการก าหนดสทธการเขาถง คอมพวเตอรแมขาย (Server)

๘

14.2.2 ตรวจสอบ บ ารงรกษาอปกรณ และอปกรณเชอมโยงเครอขาย (Network) ของระบบการเชอมโยงเครอขายฐานขอมลทงหมดทใหบรการในมหาวทยาลยใหสามารถใชงานไดตามปกตตลอด 24 ชวโมง

14.2.3 การตดตง รอถอน ตรวจสอบการเชอมโยงการสอสารผานเครอขายทางระบบ LAN, Internet, Intranet ทใหบรการในมหาวทยาลย

14.2.4 ดแลรกษาการท างานระบบดบเพลงของหองคอมพวเตอร แมขาย (Server) ใหอยในสภาพพรอมใชงาน สามารถท างานไดตลอดเวลาเมอเกดสถานการณไฟไหม

14.2.5 แกไขปญหาทเกดขนกบระบบเชอมโยงเครอขายของระบบฐานขอมลสารสนเทศ

14.2.6 เฝาระวงตดตาม ตรวจสอบ วเคราะห การเขาใชงานและการเขาถงระบบการท างานของระบบสารสนเทศและระบบเครอขายตามสทธการเขาถงระบบ

14.2.7 ปองกนและแกไขปญหาการถกเจาะเขาระบบสารสนเทศและระบบเครอขายโดยไมไดรบอนญาต และรายงานสภาพปญหา ใหแกผบรหารเทคโนโลยสารสนเทศระดบสงทราบ

14.2.8 ตรวจสอบ ปองกนการถกเจาะระบบ จากบคคลภายนอก (Firewall) และโปรแกรมปฏบตการทงหมดทตดตงอยในเครองคอมพวเตอรแมขาย (Server) ของระบบสารสนเทศและระบบเครอขายทงหมดทใหบรการใหสามารถใชงานไดตามปกตตลอด 24 ชวโมง

14.2.9 ตรวจสอบอปกรณเชอมโยงเครอขาย (Network) ของระบบการเชอมโยงเครอขายฐานขอมลทงหมดทใหบรการในมหาวทยาลย ใหสามารถใชงานไดตามปกตตลอด 24 ชวโมง

14.2.10 ก าหนดและแกไข หรอเปลยนแปลงคาคอนฟกระบบ (Configuration) ระบบสารสนเทศ ระบบเครอขายและอปกรณตาง ๆ ทเชอมตอกบระบบเครอขาย

14.2.11 ประสานหนวยงานทเกยวของกบการปฏบตงานตามแผนปองกนและแกไขปญหาระบบความมนคง ปลอดภยของฐานขอมลและสารสนเทศจากสถานการณความไมแนนอนและภยพบต

14.2.12 แกไขปญหา อปสรรค จากสถานการณความเสยงและความเสยหายทเกดขนกบระบบฐานขอมลและสารสนเทศทเกดจากการถกเจาะระบบ และการถกท าลายจากภยคกคาม และรายงานผลการปฏบตงานตามแผนการบรหารความเสยงฯ ใหผบรหารเทคโนโลยสารสนเทศระดบสง

14.2.13 ส ารองขอมลและเรยกคนขอมล (Backup and Recovery) ตามรอบระยะเวลาทก าหนด

14.2.14 บรหารจดการสทธการเขาถงของผใชงาน (User Access Management) ระบบสารสนเทศแตละระบบของมหาวทยาลย เพอควบคมการเ ขาถงระบบสารสนเทศ เพอปองกนการเขาถงจากผซงไมไดรบอนญาต

14.2.15 รายงานผลการปฏบตงาน สถานการณทเกดขนกบระบบเครอขายและ ระบบฐานขอมลและสารสนเทศ ใหแกผบรหารเทคโนโลยสารสนเทศระดบสง

๙

ขอ 15. ใหผบรหารระดบสงสดเปนผรกษาการตามประกาศน พรอมกบมอ านาจออกค าสง และในกรณมปญหาเกยวกบการปฏบต ใหผบรหารสงสดเปนผวนจฉยชขาด และค าวนจฉยชขาดใหถอเปนทสด

ทงน ตงแตบดนเปนตนไป

ประกาศ ณ วนท 14 มถนายน พ.ศ. ๒๕60

(ผชวยศาสตราจารย ดร.ประยร ลมสข)

รกษาราชการแทนอธการบด

๑๐

แนวปฏบตการควบคมการเขาถงและการใชงานระบบสารสนเทศ

1. การควบคมการเขาถงและใชงานสารสนเทศ (Access Control) 1.1 แตละหนวยงานภายในมหาวทยาลยจะตองจดท าบญชทรพยสนหรอทะเบยนทรพยสน

มการระบหมายเลขทรพยสนตามทกองพสดกลางเปนผก าหนด และก าหนดขนตอนปฏบตในการลงทะเบยนผใชงาน (user registration) โดยจดท าแบบฟอรมขอใชระบบงานสารสนเทศ เพอตรวจสอบสทธ มอบหมายสทธในการเขาถงทเหมาะสมตอหนาทความรบผดชอบ พรอมทงทบทวนสทธการเขาถงระบบสารสนเทศของผใชงาน (review of user access rights) โดยมกระบวนการทบทวนสทธการเขาถงของผใชงานระบบสารสนเทศ เมอมการเปลยนแปลง เชน มการลาออก เปลยน ต าแหนง โอน ยาย หรอสนสดการจาง

1.2 ก าหนดเกณฑในการอนญาตใหเขาถงการใชงานสารสนเทศทเกยวของกบการอนญาต การก าหนดสทธ หรอการมอบอ านาจ ๑.2.1 การก าหนดสทธของผใชงานแตละกลมทเกยวของ ตองก าหนดสทธทสามารถใชงานในขอบเขตดงน (1) อานอยางเดยว (2) สรางขอมล (3) ลบขอมล (4) แกไขขอมล (5) อนมต (6) ไมมสทธ 1.2.2 ก าหนดเกณฑการระงบสทธ มอบอ านาจ ใหเปนไปตามการบรหารจดการการเขาถงของผใชงาน (User Access Management) ทไดก าหนดไว 1.2.3 ผใชงานทตองการเขาใชงานระบบสารสนเทศของหนวยงานจะตองขออนญาตเปนลายลกษณอกษรและไดรบการพจารณาอนญาตจากผบรหารเทคโนโลยสารสนเทศระดบสงหรอผดแลระบบทไดรบมอบหมาย 1.3 มขนตอนในการเกบปฏบตเพอการจดเกบขอมลโดยจดแบงประเภท ความส าคญ ล าดบชนความลบ และการเขาถงขอมล มการจดแบงดงน 1.3.1 จดแบงประเภทของขอมล ออกเปน

(1) ขอมลสารสนเทศดานบรหารจดการ (2) ขอมลสารสนเทศดานการเรยนการสอน (3) ขอมลสารสนเทศดานการวจย 1.3.2 จดแบงระดบความส าคญของขอมล ออกเปน 3 ระดบ คอ (1) ขอมลทมระดบความส าคญมากทสด (2) ขอมลทมระดบความส าคญปานกลาง (3) ขอมลทมระดบความส าคญนอย

1.3.3 จดแบงล าดบชนความลบของขอมล

๑๑ (1) ขอมลลบทสด หมายถง หากเปดเผยทงหมดหรอเพยงบางสวนจะกอใหเกดความเสยหายอยางรายแรงทสด

(2) ขอมลลบมาก หมายถง หากเปดเผยทงหมดหรอเพยงบางสวนจะกอใหเกดความเสยหายอยางรายแรง

(3) ขอมลลบ หมายถง หากเปดเผยทงหมดหรอเพยงบางสวนจะกอใหเกดความเสยหาย

(4) ขอมลทวไป หมายถง ขอมลทสามารถเปดเผยหรอเผยแพรทวไปได 1.3.4 จดแบงระดบชนการเขาถง

(1) ระดบชนส าหรบผบรหาร เขาถงขอมลดานการบรหารจดการ/ควบคม/ก าหนดนโยบาย และมาตรฐานของระบบสารสนเทศของมหาวทยาลย

(2) ระดบชนส าหรบผดแลระบบหรอผทไดมอบหมาย เขาถงขอมลดานการควบคมการเขาถงขอมลแตละประเภททงการเขาถงโดยตรงและเขาถงผานระบบงาน ภายใตมหาวทยาลยก าหนด

(3) ระดบชนส าหรบผปฏบตงาน เขาถงชนขอมลระดบการบนทกขอมล ตรวจสอบขอมล ปรบปรงขอมล และรายงานขอมล ภายใตมหาวทยาลยก าหนด

(4) ระดบชนส าหรบผใชงานทวไป เขาถงชนขอมลระดบการอานขอมลและใชขอมลภายใตมหาวทยาลยก าหนด 1.3.5 การก าหนดเวลาทไดเขาถง

(1) การใชงานระบบสามารถเขาใชงานได 24 ชวโมง 7 วน (2) ก าหนดใหระบบสารสนเทศ มการยตการใชงานโดยการออกจากระบบโดย

อตโนมต เมอไมมการใชงานหรอพกหนาจอในชวงระยะเวลา 10 นาท เพอปองกนการเขาถงขอมลโดยไมไดรบอนญาต 1.3.6 การก าหนดจ านวนชองทางทสามารถเขาถง

(1) ผานระบบยนยนตวตนบนโปรแกรมบราวเซอรเครอขายอนเตอรเนต 1.4 ขอก าหนดการใชงานตามภารกจ เพอควบคมการเขาถงสารสนเทศ (Business

Requirements for Access Control) โดยแบงการจดท าขอปฏบตเปน 2 สวน คอ 1.4.1 มการควบคมการเขาถงสารสนเทศ โดยใหก าหนดแนวทางการควบคมการเขาถงระบบสารสนเทศ และสทธทเกยวของกบระบบสารสนเทศ 1.4.2 แนวทางการควบคมการเขาถง โดยมการแบงระดบชนและสทธการเขาถงดงน

(1) ระดบผดแลระบบ มหนาทในการควบคมการเขาถงขอมลแตละประเภททงการเขาถงโดยตรงและเขาถงผานระบบงาน รวมไปถงวธการท าลายขอมล

(2) ระดบเจาของขอมล มหนาทตรวจสอบความเหมาะสมของสทธในการเขาถงขอมลของผใชงานอยางนอยปละ 1 ครง

(3) ระดบผปฏบตงาน มหนาทในการบนทกขอมล ตรวจสอบขอมล ปรบปรงขอมลและรายงานขอมลตามตองการของมหาวทยาลย

(4) ระดบชนส าหรบผ ใช งานท ว ไป มสทธ ในการใชขอมลตามสทธทมหาวทยาลยมอบใหเทานน

๑๒ (5) มการปรบปรงใหสอดคลองกบขอก าหนดการใชงานตามภารกจและขอก าหนดดานความมนคงปลอดภย

(6) ตรวจสอบและประเมนผลการใชงานระบบสารสนเทศ (7) มรายงานปญหาและขอเสนอแนะการใชงานระบบสารสนเทศตอ

มหาวทยาลยอยางนอยปละ 1 ครง (8) ทบทวนและปรบปรงการใชงานใหเหมาะสมกบภาระงานในปจจบน

2. การบรหารจดการการเขาถงของผใชงาน (User Access Management) 2.1 มการก าหนดหลกสตรฝกอบรมเกยวกบการสรางความตระหนกเรองความมนคงปลอดภยสารสนเทศ (Information Security Awareness Training) 2.2 ฝกอบรมใหความรความเขาใจกบผใชงาน เพอใหเกดความตระหนก ความเขาใจถงภยและผลกระทบทเกดจากการใชงานระบบสารสนเทศโดยไมระมดระวงหรอรเทาไมถงการณ รวมถงก าหนดใหมมาตรการเชงปองกนตามความเหมาะสม 2.3 ก าหนดขนตอนปฏบตในการลงทะเบยนผใชงาน (User Registration) ครอบคลมในเรองตอไปน 2.3.1 จดท าแบบฟอรมขอใชระบบงานสารสนเทศ และใหผใชงานกรอกขอมลลงในแบบฟอรม เพอตรวจสอบสทธและด าเนนการตามขนตอนการลงทะเบยนผใชงาน

2.3.2 มการระบชอบญชผใชงานแยกกนเปนรายบคคล ไมซ าซอนกน โดยก าหนดเปนชอภาษาองกฤษ และตวเลข หากซ ากนใหเพมตวอกษรหรอตวเลขจนกวาจะไมซ ากบซอผอน

2.3.3 มการตรวจสอบและมอบหมายสทธในการเขาถงทเหมาะสมตอหนาทความรบผดชอบ และ/หรอความตองการทางการศกษา 2.3.4 จดท าเอกสารแสดงถงสทธและหนาทความรบผดชอบของผใชงาน ซงตองลงนามรบทราบดวย 2.3.5 มการท าบนทกและจดเกบขอมลการขออนมตเขาใชระบบสารสนเทศ

2.3.6 มหลกเกณฑในการอนญาตใหเขาถงระบบสารสนเทศ และไดรบการพจารณาอนญาตจากผบรหารเทคโนโลยสารสนเทศระดบสง หรอผดแลระบบทไดรบมอบหมาย

2.3.7 มหลกเกณฑในการยกเลกเพกถอนการอนญาตใหเขาถงระบบสารสนเทศและการตดออกจากทะเบยนของผใชงาน เมอมการลาออก เปลยนต าแหนง โอน ยาย หรอสนสดการจาง เปนตน 2.4 การบรหารจดการสทธของผใชงาน (User Management) โดยก าหนดรายละเอยดทเกยวกบการควบคมและจ ากดสทธเพอใหสามารถเขาถงและใชงานระบบสารสนเทศแตละชนดตามความเหมาะสม ทงนรวมถงสทธจ าเพาะ สทธพเศษ และสทธอน ๆ ทเกยวของกบการเขาถง ดงน 2.4.1 ก าหนดระดบสทธในการเขาถงระบบสารสนเทศทเหมาะสมตามหนาทความรบผดชอบ และตามความจ าเปนในการใชงาน 2.4.2 การมอบหมายสทธ ตองสอดคลองกบนโยบายควบคมการเขาถงระบบสารสนเทศ 2.4.3 ท าการบนทกและจดเกบขอมลการมอบหมายสทธใหแกผใชงาน

๑๓ 2.5 มการบรหารจดการรหสผานส าหรบผใชงาน (User Password Management) โดยจดท ากระบวนการบรหารจดการรหสผานส าหรบผใชงานอยางรดกม ดงน 2.5.1 มขนตอนปฏบตส าหรบการตงหรอเปลยนรหสผานทมความมนคงปลอดภย ดงน (1) ก าหนดใหรหสผานตองมมากกวาหรอเทากบ 8 ตวอกษร โดยมการผสมกนระหวางตวอกษรภาษาองกฤษ และตวเลข เขาดวยกน (2) ไมก าหนดรหสผานในสวนบคคลจากชอหรอนามสกลของตนเองหรอบคคลในครอบครว หรอบคคลทมความสมพนธใกลชดตน หรอวน เดอน ปเกด หรอเบอรโทรศพท หรอจากค าศพททใชในพจนานกรม 2.5.2 การตงรหสผานชวคราว ตองยากตอการเดา และตองมความแตกตางกน 2.5.3 สงมอบรหสผาน (Password) ชวคราวใหกบผใชงานดวยวธการทปลอดภย โดยหลกเลยงการใชบคคลอนหรอการสงจดหมายอเลกทรอนกส (e-mail) ในการจดสงรหสผาน 2.5.4 ผใชงานตองเปลยนรหสผานทนทหลงจากไดรบรหสผานชวคราว และตองตงรหสผานใหเกดความปลอดภย ยากแกการคาดเดา 2.5.5 ผใชงานมหนาทในการปองกน ดแล รกษาขอมลบญชชอผใชงาน (Username) และรหสผาน (Password) โดยผใชงานแตละคนตองมบญชชอผใชงาน (Username) ของตนเอง หามใชรวมกบผอน รวมทงหามท าการเผยแพร แจกจาย ท าใหผอนลวงรรหสผาน (Password) 2.5.6 ตองมการลงนามการรบรหสผานเพอปองกนการเปดเผยขอมลรหสผานของตน 2.5.7 การเปลยนรหสผานตองตรวจสอบบญชชอผใชงานและรหสผานปจจบนใหถกตองกอนทจะอนญาตใหเปลยนรหสใหม 2.5.8 ในกรณมความจ าเปนตองใหสทธพเศษกบผใชงานทมสทธสงสด ผใชงานนนจะตองไดรบความเหนชอบและอนมตจากผบงคบบญชา โดยมการก าหนดระยะเวลาการใชงานและระงบการใชงานทนทเมอพนระยะเวลาดงกลาวหรอพนจากต าแหนง และมการก าหนดสทธพเศษทไดรบวาเขาถงไดถงระดบใดไดบาง และตองก าหนดใหรหสผใชงานตางจากรหสผใชงานตามปกต

2.6 การทบทวนสทธการเขาถงของผใชงาน (Review of User Access Rights) ตองมกระบวนการทบทวนสทธการเขาถงของผใชงานระบบสารสนเทศและปรบปรงบญชผใชงาน อยางนอย ปละ 1 ครง หรอเมอมการเปลยนแปลงสถานะภาพของผใชงาน 3. การก าหนดหนาทความรบผดชอบของผใชงาน (User Responsibilities) 3.1 มการก าหนดวธปฏบตการใชงานรหสผาน (Password User) ส าหรบผใชงาน เพอใหสามารถก าหนดรหสผาน การใชงานรหสผาน และการเปลยนหสผานทมคณภาพ ดงน 3.1.1 เปลยนรหสผานชวคราวทนทเมอลอกอนเขาใชงานระบบครงแรก

3.1.2 ตงรหสผานทยากตอการคาดเดา 3.1.3 การก าหนดรหสผาน ใหมตวอกษรจ านวนมากกวาหรอเทากบ 8 ตวอกษร โดยมการผสมกนระหวางตวอกษร และตวเลข เขาดวยกน 3.1.4 ไมก าหนดรหสผานสวนบคคลจากชอหรอนามสกลของตนเองหรอบคคลในครอบครวหรอบคคลทมความสมพนธใกลชดกบตน หรอจากค าศพททใชในพจนานกรม 3.1.5 ไมตงรหสผานจากอกขระทเรยงกน หรอกลมเหมอนกน

๑๔ 3.1.6 ไมตงรหสผานเปนวนเกด ปทเกด ซงงายตอการคาดเดา 3.1.7 ไมใชรหสผานสวนบคคลส าหรบการใชแฟมขอมลรวมกบบคคลอนผานเครอขายคอมพวเตอร 3.1.8 เกบรกษารหสผานทงของตนเองและของกลมไวเปนความลบ 3.1.9 ไมจดหรอบนทกรหสผานสวนบคคลไวในสถานททงายตอการสงเกตเหนของบคคลอน หรอเกบไวในระบบคอมพวเตอร 3.1.10 ตองไมก าหนดใหมการบนทกหรอชวยจ ารหสผานสวนบคคล (Save Password) ไมใชรหสผานของตนเองรวมกบผอน 3.1.11 กรณทมความจ าเปนตองบอกรหสผานแกผ อนเนองจากงาน หลงจากด าเนนการเรยบรอย ใหท าการเปลยนรหสผานโดยทนท 3.1.12 ผใชงานตองเปลยนรหสผาน (Password) ทก ๆ 180 วน หรอทกครงทไดรบการแจงเตอนใหเปลยนรหสผานจากผดแลเครอขายสารสนเทศมหาวทยาลยราชภฏเพชรบรณ 3.1.13 หลกเลยงการใชรหสผานเดยวกนส าหรบระบบงานตาง ๆ ทตนใชงาน 3.1.14 หลกเลยงการใชรหสผานเดม 3.1.15 ผดแลระบบตองเปลยนรหสผาน ถกวาผใชงานทวไป 3.2 การปองกนอปกรณในขณะทไมมผใชงานทอปกรณ ใหก าหนดแนวปฏบตทเหมาะสมเพอปองกนไมใหผไมมสทธสามารถเขาถงอปกรณของหนวยงานในขณะทไมมผดแล ดงน 3.2.1 มบญชควบคมอปกรณคอมพวเตอรทใชงาน เพอปองกนการสญหาย หรอการเขาถงโดยไมไดรบอนญาต 3.2.2 อปกรณทไมมการใชงานจะตองน ามาเกบไวในสถานททปลอดภย เพอปองกนการสญหาย หรอการเขาถงโดยไมไดรบอนญาต 3.2.3 สรางความตระหนกใหเกดความเขาใจในมาตรการปองกน 3.2.4 ตองออกจากระบบสารสนเทศทนททเสรจสนการใชงาน 3.2.5 ตงใหเครองคอมพวเตอรลอคหนาจอหลงจากทไมไดใชงานเปนเวลา 10 นาท และตองใสรหสผานใหถกตองจงจะสามารถเปดหนาจอได 3.2.6 ตองลอคอปกรณและเครองคอมพวเตอรทส าคญ เมอไมไดถกใชงานหรอตองปลอยทง โดยไมไดดแลชวคราว 3.3 การควบคมทรพยสนสารสนเทศและการใชงานระบบคอมพวเตอร (Clear Desk and Clear Screen Policy) ตองควบคมไมใหทรพยสนสารสนเทศ อยในภาวะเสยงตอการเขาถงโดยผซงไมมสทธ และตองก าหนดใหผใชงานออกจากระบบสารสนเทศเมอไมมการใชงาน ดงน 3.3.1 มมาตรการปองกนทรพยสนขององคกร และควบคมไมใหมการทงหรอปลอยทรพยสนสารสนเทศทส าคญใหอยในสถานททไมปลอดภย ดงน คอ (1) พนททมระบบเทคโนโลยสารสนเทศอยภายในใหตดตงสญญาณเตอนภย เพอแจงเตอนเมอมการบกรกเกดขน (2) มระบบปองกนการบกรกทตดตงใหครอบคลมพนทหรอบรเวณทมความส าคญ

๑๕ (3) ด าเนนการทดสอบระบบปองกนการบกรกทางกายภาพเพอตรวจสอบวายงใชงานไดตามปกต (4) ใหมการบนทกวนและเวลาเขา-ออก พนทหรอบรเวณทมความส าคญของ ผทมาเยอน (5) ไมอนญาตใหผไมมกจเขาไปในพนทหรอบรเวณทมความส าคญเวนแตไดรบ การอนญาต (6) จดเกบบนทกการเขา-ออก ส าหรบพนทหรอบรเวณทมความส าคญ เพอใชในการตรวจสอบภายหลงเมอมความจ าเปน (7) ผมาเยอนตองตดบตรใหเหนชดตลอดระยะเวลาทอยบรเวณพนทใชงานระบบ (8) ลงทะเบยนและตรวจนบผลตภณฑทสงมอบโดยผขายหรอผใหบรการภายนอกใหสอดคลองกบระเบยบพสด หรอขนตอนปฏบตส าหรบการบรหารจดการทรพยสนของมหาวทยาลย (9) จดวางอปกรณในพนทหรอบรเวณทเหมาะสม เพอหลกเลยงการเขาถงพนทในหองทมความส าคญใหนอยทสด 3.3.2 การปองกนตองมความสอดคลองกบเรองตาง ๆ ดงน (1) แนวทางการจดหมวดหมสารสนเทศและการจดการกบสารสนเทศ (2) กฎหมาย ระเบยบ ขอบงคบ หรอขอก าหนดอน ๆ (3) วฒนธรรมองคกร 3.3.3 มการปองกนเครองคอมพวเตอร โดยใชกลไกการพสจนตวตนทเหมาะสมกอนเขาใชงาน 3.3.4 มการก าหนดขอบเขตของการปองกน ดงน (1) ทกคนตองตระหนกและปฏบตการใดๆ เพอปองกนทรพยสนของหนวยงาน (2) ลงชอออกจากระบบทนท เมอจ าเปนตองปลอยทงโดยไมมผดแล (3) จดเกบขอมลส าคญในสถานททมความปลอดภย (4) ลอคเครองคอมพวเตอร เมอไมไดใชงาน (5) ปองกนเครองโทรสาร เมอไมมผใชงาน (6) ปองกนตหรอบรเวณทใชในการรบสงเอกสารไปรษณย (7) ปองกนไมใหผอนใชอปกรณดงตอไปนโดยไมไดรบอนญาต ไดแก กลองดจทล เครองส าเนาเอกสาร เครองสแกนเอกสาร เปนตน (8) น าเอกสารออกจากเครองพมพทนททพมพงานเสรจ 3.3.5 ก าหนดมาตรการท าลายสอบนทกขอมล/ขอมลอเลกทรอนกส ดงน อปกรณหรอการน าอปกรณกลบมาใชงานอกครง มขอปฏบตดงน

(1) ตองท าลายขอมลส าคญภายในอปกรณบนทกขอมลหรอสอทใชส าหรบบนทกขอมลกอนทจะก าจดอปกรณดงกลาว

๑๖

(2) สอบนทกขอมลทเปนประเภทจานแมเหลกใหท าการ Format อปกรณดงกลาว โดยไมสามารถเรยกคนกลบมาไดตามมาตรฐาน DOD 5220.00 M หรอวธบดขยตามมาตรฐาน ISO/IEC 27002 : 2005

(3) สอบนทกขอมลประเภท Optical Disk ท าลาย โดยวธบดขย การหก หรอเจาะรโดยไมสามารถเรยกขอมลกลบมาไดตามมาตรฐาน ISO/IEC 27002 : 2005

(4) สอบนทกขอมลขนาดเลกแบบพกพา (Flash Drive) ใหท าการ Format อปกรณดงกลาว โดยไมสามารถเรยกคนกลบมาไดตามมาตรฐาน DOD 5220.00 M

(5) มกระบวนการในการลบหรอเขยนขอมลทบบนขอมลทมความส าคญในอปกรณส าหรบจดเกบขอมลกอนทจะอนญาตใหผอนน าอปกรณนนไปใชงานตอเพอปองกนไมใหม การเขาถงขอมลส าคญนนไดตามมาตรฐาน NSA

3.4 ผใชงานอาจน าการเขารหส มาใชกบขอมลทเปนความลบ โดยใหปฏบตตามระเบยบ การรกษาความลบทางราชการ พ.ศ. 2544 ตามแนวปฏบตขอ 5(3) 4. การควบคมการเขาถงเครอขาย (Network Access Control) เพอปองกนการเขาถงบรการทางเครอขายโดยไมไดรบอนญาต อยางนอยดงน 4.1 การใชบรการเครอขาย ตองก าหนดใหผใชงานสามารถเขาถงระบบสารสนเทศไดแตเพยงบรการทไดรบอนญาตใหเขาถงเทานน 4.1.1 ก าหนดระบบสารสนเทศทตองมการควบคมการเขาถง โดยระบเครอขาย หรอบรการทอนญาตใหมการใชงานได 4.1.2 ผใชงานใหสามารถเขาถงระบบสารสนเทศไดแตเพยงบรการทไดรบอนญาตใหเขาถงเทานน 4.1.3 การใชงานระบบสารสนเทศทส าคญ ไมวาจะเปนระบบคอมพวเตอรโปรแกรมประยกต (Application) จดหมายอเลกทรอนกส (E-mail) ระบบเครอขายไรสาย (Wireless LAN) ระบบอนเทอรเนต (Internet) ตองใหสทธเฉพาะการปฏบตงานในหนาทและตองไดรบความเหนชอบจากผบงคบบญชาเปนลายลกษณอกษร รวมทงตองทบทวนสทธดงกลาวอยางนอยปละ 1 ครง 4.1.4 การใชงานระบบเครอขายไรสายจะตองมการลงทะเบยนตาม ใชงานชอผใชรหสผานและสทธตามแนวปฏบตการเขาถงของผใชงาน 4.2 การยนยนตวบคคลส าหรบผใชงานทอยภายนอกหนวยงาน (User Authentication for External Connections) จะตองมขอปฏบตหรอกระบวนการใหมการยนยนตวบคคลกอนทจะอนญาตใหผใชงานทอยภายนอกหนวยงานสามารถเขาใชงานเครอขายและระบบสารสนเทศของหนวยงานได ดงน 4 .2 .1 ผ ใช งานท จะเข า ใช งานระบบ ตองขออนญาตและตองแสดงต วตน (Identification) ดวยชอผใชงาน (Username) และ รหสผาน (Password) ซงไดจากการลงทะเบยนผานเจาหนาท 4.2.2 การลงทะเบยนเพอยนยนตวตนของผใชงาน ตองใชเอกสารบตรประชาชนหรอเอกสารอนททางราชการเปนผออกใหเทานน และตองมก าหนดระยะเวลาการเขาใชงาน

๑๗ 4.2.3 การพสจนตวตน (Authentication) ใหมการตรวจสอบผใชงานทกครงกอนทจะอนญาตให เขาถงระบบ โดยผ ใช งานตองกรอกรหสผาน( password ) เ พอยนยนตวบคคล (authentication) วาเปนผใชงานตวจรง 4.3 การน าอปกรณมาใชบนระบบเครอขายของมหาวทยาลยตองระบอปกรณบนเครอขาย (Equipment Identification in Networks) ได โดยสามารถใชการระบอปกรณบนเครอขายเปนการยนยนการเขาถงดงน 4.3.1 การระบอปกรณและการจดเกบขอมล (1) ใชหมายเลข IP Address ในการระบอปกรณ โดยก าหนดเปนชวงของหมายเลข IP แยกตามประเภทของอปกรณ (2) จดเกบขอมล อปกรณบนเครอขายโดยระบชนดของอปกรณการใชงาน และเกบบนทกในรปแบบสออเลกทรอนกส และเอกสารแลวน าไปเกบไวในตนรภย 4.3.2 มการพสจนตวตนทกครงทใชอปกรณ ดงน (1) ก าหนดบญชผใชและสทธการเขาถงอปกรณบนอปกรณเครอขาย (2) ใหใชโปรแกรมประเภท terminal ในการเขาถงอปกรณ (3) ตงคาความเรวของการเขาถงตามคณลกษณะของอปกรณนน (สามารถดไดจากคมอของอปกรณ) (4) เมอเขาสอปกรณแลวระบบจะใหกรอกชอผใชและรหสผาน (5) เมอกรอกชอผใชและรหสผานทถกตองระบบจะยอมใหใชงานอปกรณตามสทธทไดก าหนดไว (6) เมอกรอกชอผใชและรหสผานทไมถกตองระบบจะไมยอมใหเขาใชงานอปกรณ (7) ระบบจะใหกรอกชอผใชและรหสผานไมเกน 3 ครง มฉะนนระบบจะลอค การเขาใชงานอปกรณ เปนเวลา 30 นาท 4.3.3 ควบคมการใชงานอยางเหมาะสม 4.3.4 จ ากดผใชงานทสามารถเขาใชอปกรณได 4.4 การปองกนพอรตทใชส าหรบตรวจสอบและปรบแตงระบบ (Remote Diagnostic and Configuration Port Protection) ตองควบคมการเขาถงพอรตทใชส าหรบตรวจสอบและปรบแตงระบบทงการเขาถงทางกายภาพและทางเครอขาย 4.4.1 การปรบเปลยนหรอควบคมการเขาถงพอรตตองท าหนงสอขออนญาตจากผบรหารเทคโนโลยสารสนเทศระดบสง เปนลายลกษณอกษร 4.4.2 บนทกและควบคมการเขาถงพอรตทใชส าหรบตรวจสอบและปรบแตงระบบ ส าหรบการเขาถงทางกายภาพและการเขาถงทางเครอขาย 4.4.3 ปดการใชงานหรอควบคมการเขาถงพอรตทใชส าหรบตรวจสอบและปรบแตงระบบใหใชงานไดอยางจ ากดระยะเวลาเทาทจ าเปน โดยตองไดรบการอนญาตจากผรบผดชอบเปนลายลกษณอกษร

๑๘ 4.5 การแบงแยกเครอขาย (Segregation in Networks) ตองท าการแบงแยกเครอขายส าหรบกลมผใชงาน โดยแบงออกเปน 2 เครอขาย คอ เครอขายส าหรบผใชงานภายใน และเครอขายส าหรบผใชงานภายนอกและมการแบงแยกเครอขายตามแตละหนวยงานและการใชงาน (VLAN) 4.6 การควบคมการเชอมตอทางเครอขาย (Network Connection Control) ตองควบคมการเขาถงหรอใชงานเครอขายทมการใชรวมกนหรอเชอมตอระหวางใหสอดคลองกบแนวปฏบตการควบคมการเขาถง ดงน 4.6.1 มการตรวจสอบการเชอมตอเครอขาย เปนประจ าเพอตรวจหาการเชอมตอทไมไดรบอนญาต 4.6.2 จ ากดสทธ ความสามารถของผใชในการเชอมตอเขาสเครอขาย และกลนกรองขอมลทรบ-สง โดยอาศยกฎเกณฑตาง ๆ ทก าหนดไวลวงหนา 4.6.3 ระบอปกรณ เครองมอทใชควบคมการเชอมตอเครอขาย ตองกระท าผานไฟรวอลล โดยก าหนดใหไฟรวอลลอนญาตเฉพาะการเชอมตอจากภายในออกไปยงปลายทางภายนอกไดเทานน 4.6.4 มระบบการตรวจจบผบกรกทงในระดบเครอขาย และระดบเครองคอมพวเตอรแมขาย จากผไมหวงดดวยระบบตรวจจบผบกรก (IDS/IPS) และตรวจทาน 4.6.5 ควบคมไมใหมการเปดใหบรการบนเครอขาย โดยไมไดรบอนญาต 4.7 การควบคมการจดเสนทางบนเครอขาย (Network Routing Control) ตองควบคมการจดเสนทางบนเครอขายเพอใหการเชอมตอของคอมพวเตอรและการสงผานหรอไหลเวยนของขอมลหรอสารสนเทศสอดคลองกบแนวปฏบตการควบคมการเขาถงหรอการประยกตใชงานตามภารกจ ดงน 4.7.1 ควบคมไมใหมการเปดเผยแผนการใชหมายเลขเครอขาย (IP Address) 4.7.2 ก าหนดใหมการแปลงหมายเลขเครอขาย เพอแยกเครอขายยอย 4.7.3 ก าหนดมาตรการการบงคบใชเสนทางเครอขาย สามารถเชอมเครอขายปลายทางผานชองทางทก าหนดไว หรอจ ากดสทธในการใชบรการเครอขาย 4.8 การควบคมการเขาใชงานระบบจากภายนอก จะตองสอดคลองตามแนวปฏบตการควบคมการเขาถงดงน 4.8.1 การเขาสระบบจากระยะไกล (Remote Access) สระบบสารสนเทศและเครอขายของหนวยงาน ตองมการก าหนดมาตรการรกษาความปลอดภยทเพมขนจากมาตรฐานการเขาสระบบภายใน 4.8.2 การเขาสระบบจากระยะไกล (Remote access) สระบบเครอขายขององคกร ตองควบคมบคคลทจะเขาสระบบขององคกรจากระยะไกลโดยก าหนดมาตรการการรกษาความปลอดภยทเพมขนจากมาตรฐานการเขาสระบบภายใน 4.8.3 วธการใด ๆ กตามทสามารถเขาถงขอมลหรอระบบขอมลจากระยะไกลตองไดรบการอนมตจากผบรหารเทคโนโลยสารสนเทศระดบสง หรอบคคลทไดรบมอบหมายจากมหาวทยาลยกอน และมการควบคมอยางเขมงวดกอนน ามาใชและผใชตองปฏบตตามขอก าหนดของกรมในการเขาสระบบและขอมลอยางเครงครด

๑๙ 4.8.4 การใหสทธในการเขาสระบบจากระยะไกล ผใชตองแสดงหลกฐานระบเหตผลหรอความจ าเปนในการด าเนนงานกบองคกรอยางเพยงพอและตองไดรบอนมตจากผมอ านาจอยางเปนทางการ 4.8.5 มการควบคม Port ทใชในการเขาสระบบอยางรดกม 4.8.6 การอนญาตใหผใชเขาสระบบขอมลจากระยะไกลตองอยบนพนฐานของ ความจ าเปนเทานน และไมควรเปดพอรตทงไวโดยไมจ าเปน ชองทางดงกลาวใหตดการเชอมตอเมอไมไดงานแลว และจะเปดใหใชไดเมอมการรองขอทจ าเปนเทานน 5. การควบคมการเขาถงระบบปฏบตการ (Operating System Access control) เพอปองกนการเขาถงระบบปฏบตการโดยไมไดรบอนญาต โดยมแนวปฏบต ดงน 5.1 ผดแลระบบ (System Administrator) ตองตดตงโปรแกรมชวยบรหารจดการ (Domain Controller) เพอบรหารจดการเครองคอมพวเตอรทกเครองของหนวยงานและก าหนดชอผใชงาน (Username) และรหสผาน (Password) ใหกบผใชงานเพอเขาใชงานระบบปฏบตการของเครองคอมพวเตอรของหนวยงาน 5.2 การเขาถงระบบปฏบตการจะตองควบคมโดยแสดงวธการยนยนตวตนทมนคงปลอดภยโดยมแนวปฏบต ดงน 5.2.1 ตองจดไมใหระบบแสดงรายละเอยดส าคญหรอความผดพลาดตาง ๆ ของระบบกอนทการเขาสระบบจะเสรจสมบรณ 5.2.2 ระบบสามารถยตการเชอมตอจากเครองปลายทางได เมอพบวามการพยายามคาดเดารหสผานจากเครองปลายทาง 5.2.3 จ ากดระยะเวลาส าหรบใชในการปอนรหสผาน 5.2.4 จ ากดการเชอมตอโดยตรงสระบบปฏบตการผานทาง Command Line เนองจากอาจสรางความเสยหายใหกบระบบได 5.3 ระบบยนยนตวตนของผใชงาน (User Identification and Authentication) ตองก าหนดใหผเขาใชงานระบบ มแนวปฏบต ดงน 5.3.1 ผใชงานตองมชอผใชงาน (Username) และรหสผาน (Password) ส าหรบเขาใชงานระบบสารสนเทศของหนวยงาน 5.3.2 หากอนญาตใหใชชอผใชงาน (Username) และรหสผาน (Password) รวมกน ตองขนอยกบความจ าเปนทางดานการศกษาและงานทตองท า 5.3.3 สามารถใชอปกรณควบคมความปลอดภยเพมเตม 5.4 การบรหารจดการรหสผาน (Password Management System) มระบบบรหารจดการรหสผานทสามารถท างานเชงโตตอบ (Interactive) หรอมการท างานในลกษณะอตโนมต ซงเออตอการก าหนดรหสผานทมคณภาพ โดยมแนวปฏบตดงน 5.4.1 มระบบบรหารจดการรหสผาน ผานระบบเครอขายสารสนเทศของมหาวทยาลย 5.4.2 ผใชงานตองเปลยนรหสผานของตนเองในครงแรกทมการเขาสระบบ 5.5 การใชงานโปรแกรมอรรถประโยชน (Use of System Utilities) ใหจ ากดและควบคมการใชงานโปรแกรมอรรถประโยชนส าหรบโปรแกรมคอมพวเตอรทส าคญ เนองจากการใชงาน

๒๐ โปรแกรมอรรถประโยชนบางชนดสามารถท าใหผใชหลกเลยงมาตรการปองกนทางดานความมนคงปลอดภยของระบบได เพอปองกนการละเมดหรอหลกเลยงมาตรการความมนคงปลอดภยทไดก าหนดไวหรอทมอยแลว ใหด าเนนการดงน 5.5.1 จ ากดสทธการเขาถง และก าหนดสทธอยางรดกมในการอนญาตใหใชโปรแกรมอรรถประโยชน และควบคมไมใหใชงานโปรแกรมทละเมดลขสทธ 5.5.2 ก าหนดใหอนญาตใชงานโปรแกรมอรรถประโยชนเปนรายครงไป 5.5.3 จดเกบโปรแกรมอรรถประโยชนไวในสอภายนอก ถาไมตองใชงานเปนประจ า 5.5.4 มการเกบบนทกการเรยกใชงานโปรแกรมเหลาน 5.5.5 ก าหนดใหมการถอดถอนโปรแกรมอรรถประโยชนทไมจ าเปนออกจากระบบ 5.6 เมอไมมการใชงานระบบสารสนเทศในระยะเวลาทก าหนดใหยตการใชงานระบบสารสนเทศนน (Session Time-out) ดงน 5.6.1 ใหระบบสารสนเทศท าการยตหรอออกจากระบบโดยอตโนมต เมอไมมการใชงานเกนระยะเวลา 15 นาท 5.6.๒ ระบบสารสนเทศใดทมความเสยงสง ใหระบบยตหรอออกจากระบบโดยอตโนมต เมอไมมการใชงานใหสนลงเหลอ 10 นาท เพอปองกนการเขาถงขอมลส าคญโดยไมไดรบอนญาต 5.7 การจ ากดระยะเวลาการเชอมตอระบบเครอขาย (Limitation of Connection time) ตองจ ากดระยะเวลาในการเชอมตอเพอใหมความมนคงปลอดภยมากยงขนส าหรบระบบสารสนเทศหรอโปรแกรมทมความเสยงหรอมความส าคญสงดงน 5.7.1 จ ากดระยะเวลาการเชอมตอกบระบบเครอขาย เพอใหระบบสารสนเทศหรอแอพพลเคชนทมความเสยงหรอมความส าคญสง โดยใหผใชงานระบบเครอขายสามารถใชงานไดนานทสดภายในระยะเวลาทก าหนดไดไมเกนครงละ 2 ชวโมง 5.7.2 การก าหนดชวงเวลาการเชอมตอระบบเครอขายจากเครองปลายทาง จะตองพจารณาถงระดบความเสยงของทตงของเครองปลายทางดวย 6. การควบคมการเขาถงโปรแกรมประยกตหรอแอพพลเคชนและสารสนเทศ (Application and Information Access Control) โดยตองมการควบคม อยางนอยดงน 6.1 การจ ากดการเขาถงสารสนเทศ (Information Access Restriction) ตองจ ากดหรอควบคมการเขาถงหรอเขาใชงานของผใชงานและผสนบสนนการเขาใชงานในการเขาถงสารสนเทศและฟงกชน (Functions) ตาง ๆ ของโปรแกรมประยกตหรอแอพพลเคชน โดยสอดคลองตามนโยบายควบคมการเขาถงสารสนเทศทไดก าหนดไว โดยมแนวปฏบตดงน 6.1.1 กรณมการจางเหมาพฒนาซอฟตแวรโดยหนวยงานภายนอก (Outsourced software development) มมาตรการควบคม Outsource ดงน (1) การคดเลอกผใหบรการ - ก าหนดเกณฑในการคดเลอกผใหบรการ และคดเลอกผใหบรการทมขนตอนการปฏบตงานทรอบคอบรดกมและเปนทนาเชอถอ

๒๑ - สญญาต องระบ เ ก ย วกบการร กษาความลบของข อม ล ( Data confidentiality) และขอบเขตงานและเงอนไขในการใหบรการ (service level agreement) อยางชดเจน (2) การควบคมผใหบรการ - จดใหมการควบคมโครงการพฒนาซอฟตแวรโดยผรบจางใหบรการจากภายนอก - มหาวทยาลยเปนผมสทธในทรพยสนทางปญญาส าหรบ Source Code ในการพฒนาซอฟตแวร โดยผรบจางใหบรการจากภายนอก - ใหก าหนดเรองการสงวนสทธทจะตรวจสอบดานคณภาพและความถกตองของซอฟตแวรทจะมการพฒนาโดยผใหบรการภายนอกโดยระบไวในสญญาจางทท ากบผใหบรการภายนอกนน - ใหมการตรวจสอบโปรแกรมไมประสงคด ในซอฟตแวรตาง ๆ ทจะท าการตดตงกอนด าเนนการตดตง - กรณผรบจางใหบรการจากภายนอก ตองการพฒนาระบบงานหรอใหบรการจากภายนอก ตองใหเจาหนาทตรวจสอบการท างานของผใหบรการอยางละเอยดในกรณทเปนการใหบรการในลกษณะการเปดพอรต remote access และปดพอรต remote access ทนททการใหบรการเสรจสน 6.1.2 กรณบรหารจดการการเขาถงผใชงานและผสนบสนนการเขาใชงานระบบสารสนเทศ (1) มการก าหนดขนตอนปฏบตในการลงทะเบยนผใชงาน (User registration) ครอบคลมในเรองตอไปน - จดท าแบบฟอรมขอใชระบบสารสนเทศ และใหผใชงานกรอกขอมลลงในแบบฟอรมเพอ ตรวจสอบสทธและด าเนนการตามขนตอนการลงทะเบยนผใชงาน - มการระบชอ นามสกล ของผใชงาน - มการระบรหสบญชผใชระบบสารสนเทศของผใชงาน

- มการระบ ต าแหนง หนวยงานทสงกด และหมายเลขโทรศพทตดตอ - มการลงนามของผบงคบบญชาของผใชงาน

- มการตรวจสอบและมอบหมายสทธในการเขาถงทเหมาะสมตอหนาทความรบผดชอบ - จดท าเอกสารแสดงถงสทธและหนาทความรบผดชอบของผใชงาน ซงตองลงนามรบทราบดวย - มการท าบนทกและจดเกบขอมลการขออนมตเขาใชระบบสารสนเทศ - มหลกเกณฑในการอนญาตใหเขาถงระบบสารสนเทศ และการตดออกจากทะเบยนของผใชงาน เมอมการลาออก เปลยนต าแหนง โอน ยาย หรอสนสดการจาง (2) การทบทวนสทธการเขาใชงาน ตองมกระบวนการทบทวนสทธการเขาถงของผใชระบบสารสนเทศและ ปรบปรงบญชผใช อยางนอยปละ 1 ครง หรอเมอมการเปลยนแปลง เชน มการลาออก เปลยน ต าแหนง โอน ยาย หรอสนสดการจาง

๒๒ (3) การบรหารจดการการเขาถงขอมลตามระดบชนความลบ - ผดแลระบบ ตองก าหนดชนความลบของขอมล วธปฏบตในการจดเกบขอมลและวธปฏบตในการควบคมการเขาถงขอมลแตละประเภทชนความลบทงการเขาถงโดยตรงและการเขาถงผานระบบสารสนเทศ รวมถงวธการท าลายขอมลแตละประเภทชนความลบ - เจาของขอมล จะตองทบทวนความเหมาะสมของสทธในการเขาถงขอมลของผใชงานอยางนอยปละ 1 ครง เพอใหมนใจไดวาสทธตางๆทใหไวยงคงมความเหมาะสม - วธปฏบตในการควบคมการเขาถงขอมลแตละประเภทชนความลบทงการเขาถงโดยตรงและการเขาถงผานระบบสารสนเทศ ผดแลระบบตองก าหนดชอผใชงาน (User name) และรหสผาน (Password) เพอใชในการตรวจสอบตวตนจรงของผใชขอมลแตละชนความลบขอมล - การรบสงขอมลส าคญผานเครอขายสาธารณะ ควรไดรบการเขารหส (Encryption) ทเปนมาตรฐานสากล เชน SSL, VPN หรอ EML Encryption - ควรมมาตรการรกษาความมนคงปลอดภยของขอมลในกรณทบ ารงรกษาเครองคอมพวเตอร หรอน าเครองคอมพวเตอรออกนอกพนทของหนวยงาน เชน สงเครองคอมพวเตอรไปตรวจซอม ควรส ารองและลบขอมลทเกบอยในสอบนทกกอน 6.2 ระบบซงไวตอการรบกวน ทมผลกระทบและมความส าคญสงตอหนวยงาน จะตองด าเนนการดงน 6.2.1 ตองแยกระบบซงไวตอการรบกวนดงกลาวออกจากระบบอน ๆ และแสดงใหเหนถงผลกระทบและระดบความส าคญตอหนวยงาน ไดแก ระบบสารสนเทศเพอการบรหาร ระบบทะเบยนและวดผลนกศกษา ระบบสารบรรณอเลกทรอนกส ซงตองไดรบการดแลเปนพเศษ 6.2.2 มการควบคมสภาพแวดลอมของระบบดงกลาวโดยเฉพาะ โดยมหองปฏบตงานเปนสดสวน และก าหนดสทธเฉพาะผมสทธใชงานเทานน 6.2.3 มการควบคมอปกรณคอมพวเตอร ระบบสอสารและการปฏบตงานจากภายนอกหนวยงานทเกยวของกบระบบดงกลาว ดวยขอก าหนดทสามารถตงคาไดบน Firewall 6.2.4 มการควบคมในเรองของ ควบคมการเขาถงทางกายภาพ ระบบดบเพลงในหองแมขาย รวมถงระบบควบคมความชน หรอ ระบบตาง ๆ ภายในหองแมขาย 6.3 การควบคมอปกรณคอมพวเตอรและระบบการสอสาร ตองก าหนดแนวปฏบตและมาตรการทเหมาะสมในการควบคมการใชอปกรณคอมพวเตอรและระบบการสอสาร เพอปกปองสารสนเทศจากความเสยงของการใชอปกรณคอมพวเตอรและระบบการสอสาร โดยมแนวทางในการปฏบตแบงออกเปน 2 กลม ดงน 6.3.1 อปกรณคอมพวเตอร

(1) เครองคอมพวเตอรทมหาวทยาลยอนญาตใหผใชงานเปนทรพยสนของมหาวทยาลย ดงนน ผ ใชจงตองใชงานเครองคอมพวเตอรอยางมประสทธภาพเพองานของมหาวทยาลย

(2) โปรแกรมทไดถกตดตงลงบนเครองคอมพวเตอรของมหาวทยาลย ตองเปนโปรแกรมทมหาวทยาลย ไดซอลขสทธมาอยางถกกฎหมาย ดงนน หามผใชคดลอกโปรแกรมตาง ๆ เพอน าไปตดตงบนเครองคอมพวเตอรสวนตว หรอแกไข หรอน าไปใหผอนใชงานโดยผดกฎหมาย

๒๓

(3) ไมอนญาตใหผใช ท าการตดตงและแกไขเปลยนแปลงโปรแกรมในเครองคอมพวเตอรสวนบคคลของมหาวทยาลย

(4) การเคลอนยายหรอสงเครองคอมพวเตอรสวนบคคลตรวจซอมจะตองด าเนนการโดยพนกงานปฏบตการคอมพวเตอรหรอนกวชาการคอมพวเตอรของแตละหนวยงาน หรอผรบจางเหมาบ ารงรกษาเครองคอมพวเตอรและอปกรณทไดท าสญญากบมหาวทยาลยเทานน

(5) กอนการใชงานสอบนทกพกพาตาง ๆ ตองมการตรวจสอบเพอหาไวรสโดยโปรแกรมปองกนไวรส

(6) ผใชมหนาทและรบผดชอบตอการดแลรกษาความปลอดภยของเครองคอมพวเตอร

(7) ปดเครองคอมพวเตอรสวนบคคลทตนเองครอบครองใชงานอยเมอใชงานประจ าวนเสรจสน หรอเมอมการยตการใชงานเกนกวา 1 ชวโมง

(8) ท าการลอคหนาจอเครองคอมพวเตอรหลงจากทไมไดใชงานเกนกวา 30 นาท เพอปองกนบคคลอนมาใชงานทเครองคอมพวเตอร

(9) การน าเครองคอมพวเตอรมาใชกบระบบเครอขายของมหาวทยาลย ตองยนยนตวตนผานระบบกอนเขาใชงานทกครง

6.3.2 อปกรณสอสารเคลอนท (1) เครองคอมพวเตอรแบบพกพาและอปกรณสอสารเคลอนท จะตองยนยน

ตวตนกอนเขาใชงานระบบเครอขายอนเทอรเนต (2) เครองคอมพวเตอรแบบพกพาและอปกรณสอสารเคลอนท เมอเลกใชงาน

ระบบเครอขายตองออกจากระบบการยนยนตวตน ทกครง (3) ไมอนญาตใหเขาใชงานเวบไซตทไมเหมาะสม หากผดแลระบบตรวจพบจะ

ระงบสทธการเขาใชงาน (4) ไมอนญาตใหผใชงานผานอปกรณสอสารกระท าผด พ.ร.บ.วาดวยการ

กระท าผดเกยวกบคอมพวเตอร พ.ศ. 2550 และกฎหมายเทคโนโลยสารสนเทศ 6.4 การปฏบตงานจากภายนอกหนวยงาน มแนวปฏบต ดงน 6.4.1 บคคลภายนอกทตองการสทธในการเขาใชงานระบบสารสนเทศของมหาวทยาลย จะตองท าเรองขออนญาตเปนลายลกษณอกษร เพอขออนมตจากผบรหารเทคโนโลยสารสนเทศระดบสง 6.4.2 จดท าเอกสารแบบฟอรมส าหรบใหหนวยงานภายนอกท าการระบเหตผลความจ าเปนทตองเขาใชระบบสารสนเทศซงตองมรายละเอยดอยางนอย ดงน (1) เหตผลในการขอใช (2) ระยะเวลาในการใช (3) การตรวจสอบความปลอดภยของอปกรณทเชอมตอเครอขาย (4) การตรวจสอบ MAC Address ของเครองคอมพวเตอรทเชอมตอ 6.4.3 การก าหนดการปองกนในเรองการเปดเผยขอมล (1) หนวยงานภายนอกทท างานใหกบมหาวทยาลยทกหนวยงานไมวาจะท างานอยภายในมหาวทยาลยหรอนอกสถานทจ าเปนตองลงนามในสญญาการไมเปดเผยขอมลของ

๒๔ มหาวทยาลย โดยสญญาตองจดท าใหเสรจกอนใหสทธในการเขาสระบบสารสนเทศ (2) เจาของโครงการซงรบผดชอบตอโครงการทมการเขาถงขอมลโดยหนวยงานภายนอก ตองก าหนดการเขาใชงานเฉพาะบคคลทจ าเปนเทานนและใหหนวยงานภายนอกลงนามในสญญาไมเปดเผยขอมล (3) ส าหรบโครงการขนาดใหญ หนวยงานภายนอกทสามารถเขาถงขอมลทมความส าคญของมหาวทยาลย ผดแลระบบตองควบคมการปฏบตงานนน ๆ ใหมความมนคงปลอดภย ทง 3 ดาน คอ การรกษาความลบ (Confidentiality) การรกษาความถกตองของขอมล ( Integrity) และการรกษาความพรอมทจะใหบรการ (Availability) (4) มหาวทยาลยมสทธในการตรวจสอบตามสญญาการใชระบบสารสนเทศเพอใหมนใจไดวามหาวทยาลยสามารถควบคมการใชงานไดอยางทวถงตามสญญานน (5) ก าหนดใหผใหบรการหนวยงานภายนอก จดท าแผนการด าเนนงาน คมอการปฏบตงาน และเอกสารทเกยวของ รวมทงมการปรบปรงใหทนสมยอยเสมอ เพอควบคมหรอตรวจสอบ การใหบรการของผใหบรการไดอยางเขมงวด เพอใหมนใจไดวาเปนไปตามขอบเขตทไดก าหนดไว 7. การควบคมการเขาถงระบบเครอขายไรสาย (Wireless LAN Access Control) 7.1 ผใชงานทตองการเขาถงระบบเครอขายไรสายของหนวยงาน จะตองท าการลงทะเบยนกบผดแลระบบ โดยจะตองขออนญาตเปนลายลกษณอกษรและไดรบการพจารณาอนญาตจากผบรหารเทคโนโลยสารสนเทศระดบสงหรอผดแลระบบเครอขายสารสนเทศมหาวทยาลยทไดรบมอบหมาย 7.2 ผดแลระบบเครอขายมหาวทยาลย ตองด าเนนการดงตอไปน ตองก าหนดต าแหนงการวางอปกรณกระจายสญญาณ (Access point) ใหเหมาะสม เพอปองกนการเขาใชงานจากบคคลทไมไดรบอนญาตเขาใชระบบ 7.2.1 ท าการเปลยนคา SSID (Service Set Identifier) ทถกก าหนดเปนคาเรมตน (Default) มาจากผผลตทนททน าอปกรณกระจายสญญาณ (Access Point) มาใชงาน 7.2.2 ตองท าการเปลยนคาชอลอกอนและรหสผานส าหรบการตงคาการท างานของอปกรณไรสายและผดแลระบบ ใหเลอกใชชอลอกอนและรหสผานทมความคาดเดาไดยากเพอปองกน ผโจมตไมใหสามารถเดาหรอเจาะรหสไดโดยงาย 7.2.3 ตองท าการลงทะเบยนก าหนดสทธผใชงานการเขาถงระบบเครอขายไรสายใหเหมาะสมกบหนาทความรบผดชอบในการปฏบตงานกอนเขาใชระบบเครอขายไรสาย รวมทงม การทบทวนสทธการเขาถงอยางสม าเสมอ ทงนระบบจะตองไดรบอนญาตจากผดแลระบบตาม ความจ าเปนในการใชงาน 7.2.4 ตองท าการลงทะเบยนอปกรณทกตวทใชตดตอระบบเครอขายไรสาย 7.2.5 ตองควบคมสญญาณของอปกรณกระจายสญญาณ (Access Point) เพอปองกนไมใหสญญาณของอปกรณรวไหลออกนอกพนทใชงานระบบเครอขายไรสาย และปองกนไมใหผโจมตสามารถรบสงสญญาณจากภายนอกอาคารหรอบรเวณขอบเขตทควบคมได

๒๕ 7.2.6 เลอกใชวธการควบคมชอผใช (Username) รหสผาน (Password) ของผใชงานทมสทธในการเขาใชงานระบบเครอขายไรสาย โดยจะอนญาตเฉพาะอปกรณทม ชอผใช (Username) รหสผาน (Password) ตามทก าหนดไวเทานนใหเขาใชระบบเครอขายไรสายไดอยางถกตอง 7.2.7 มการตดตงอปกรณปองกนการบกรก (Firewall) ระหวางเครอขายไรสายกบเครอขายภายในหนวยงาน 7.2.8 ใชซอฟตแวรหรอฮารดแวรตรวจสอบความมนคงปลอดภยของระบบเครอขายไรสายอยางสม าเสมอ เพอคอยตรวจสอบและบนทกเหตการณทนาสงสยทเกดขนในระบบเครอขายไรสาย และเมอตรวจสอบพบการใชงานระบบเครอขายไรสายทผดปกตใหรายงานตอผบรหารเทคโนโลยสารสนเทศระดบสงทราบโดยทนท 8. การรกษาความมนคงปลอดภยทางดานกายภาพตอระบบเครอขาย 8.1 ผดแลระบบเครอขายสารสนเทศมหาวทยาลย 8.1.1 ก าหนด และจดท าแผนผงแสดงต าแหนงของพนทใชงาน พนทควบคมใหชดเจน และประกาศใหรบทราบทวกน โดยการก าหนดพนท แบงออกไดเปน พนทท างานทวไป (General Working Area) พนทท างานของผดแลระบบ (System Administrator Area) พนทตดตงอปกรณระบบเทคโนโลยสารสนเทศ (IT Equipment area) พนทจดเกบขอมลคอมพวเตอร (Data Storage Area) และพนทใชงานเครอขายไรสาย (Wireless LAN Coverage Area) เปนตน 8.1.2 ก าหนดสทธในการเขาถงพนทใชงาน โดยแบงสทธในการใชงาน ดงน ผดแลระบบเครอขาย ผใชงาน ผปฏบตงาน และผใชบรการเครอขายหรอบคคลภายนอก 8.1.3 ตรวจสอบระบบรกษาความมนคงปลอดภยทก าหนดไว สามารถควบคมรกษาความปลอดภยไดครอบคลมระบบงาน รวมถงวเคราะหความเสยงทอาจจะเกดขนในสถานการณปจจบนนน ๆ อยางนอยปละ 1 ครง และน าเสนอรายงานผบรหารมหาวทยาลย 8.1.4 มหาวทยาลยมการควบคมการเขาออก อาคารสถานท โดยมการจดการและจดท าเอกสารระบสทธของบคลากร และบคคลภายนอก ในการเขาถงสถานทโดยแบงแยกได ดงน (1) ก าหนดสทธผใชทมสทธผานเขาออกและลงเวลาทมสทธในการผานเขาออก ในแตละ “พนทใชงานระบบ” อยางชดเจน (2) การเขาถงอาคารของหนวยงานของบคคลภายนอกหรอผมาตดตอ ตองไดรบอนญาตจาก ผดแลเครอขายสารสนเทศมหาวทยาลย และตองใหมการแลกบตรทใชระบตวตนของบคคลนน ๆ ไมวาจะเปนบตรประชาชน บตรทหนวยงานรฐออกใหทมหมายเลขบตรประชาชน หรอหนงสอเดนทาง แลวท าการลงบนทกขอมลบตรในสมดบนทกและรบแบบฟอรมการเขาออกพรอมกบบตรผตดตอ (Visitor) (3) บคคลทมาตดตอตองตดบตรผตดตอ (Visitor) ตรงจดทสามารถเหนไดชดเจนตลอดเวลาทอยในสถานทนน ๆ (4) เจาหนาทหรอบคคลภายนอกเขามาตดตอจะตองลงชออนญาตการเขาออกในแบบฟอรมการเขาออกใหถกตอง และจะตองอยกบบคคลทมาตดตอตลอดเวลา (5) บคคลภายนอกหรอผตดตอตองคนแบบฟอรมการเขาออกและบตรผตดตอ (Visitor) กบผดแลเครอขายสารสนเทศมหาวทยาลย กอนออกจากอาคารผดแลเครอขายสารสนเทศ

๒๖ ตองตรวจสอบผตดตอ และสมภาระ พรอมลงเวลาออกทสมดบนทกใหถกตอง ผใชจะไดรบสทธใหเขาออกสถานทท างานไดเฉพาะบรเวณพนท ทถกก าหนดเพอใชในการท างานเทานน (6) หากมบคคลอนทไมใชผใชขอเขาพนทโดยมไดขอสทธในการเขาพนทนนไวเปนการลวงหนาหนวยงานเจาของพนทตองตรวจสอบเหตผลและความจ าเปนกอนทจะอนญาต ทงนจะตองแสดงบตรประจ าตวทองคกรออกให โดยหนวยงานเจาของพนทตองจดบนทกบคคลและการเขาออกไวเปนหลกฐาน ทงในกรณทอนญาตและไมอนญาตใหเขาพนท (7) ผใชบรการเครอขายหรอบคคลภายนอกทน าเครองคอมพวเตอรหรออปกรณทใชในการปฏบตงานระบบเครอขายภายในหนวยงาน จะตองลงบนทกในแบบฟอรมการขออนญาตใชงานเครองคอมพวเตอรหรออปกรณและตองเปนเจาหนาท ทไดรบมอบหมายจากผบงคบบญชาลงนาม (๘) ตดตงระบบแจงเตอนเพอแจงเตอนกรณทระบบสนบสนนการท างานภายในหองท างานผดปกตหรอหยดการท างาน 8.2 การเดนสายไฟ สายสอสาร และสายเคเบลอน ๆ (Cabling Security) 8.2.1 หลกเลยงการเดนสายสญญาณเครอขายของหนวยงานในลกษณะทตองผานเขาไปในบรเวณทมบคคลภายนอกเขาถงได 8.2.2 ใหมการรอยทอสายสญญาณตาง ๆ เพอปองกนการดกจบสญญาณ หรอการตดสายสญญาณเพอท าใหเกดความเสยหาย 8.2.3 ใหเดนสายสญญาณสอสารและสายไฟฟาแยกออกจากกน เพอปองกนการแทรกแซงรบกวนของสญญาณซงกนและกน 8.2.4 ท าปายชอส าหรบสายสญญาณและบนอปกรณเพอปองกนการตดตอสญญาณผดเสน 8.2.5 จดท าผงสายสญญาณสอสารตาง ๆ ใหครบถวนและถกตอง 8.2.6 หองทมสายสญญาณสอสารตาง ๆ ปดใสสลกใหสนท เพอปองกนการเขาถงของบคคลภายนอก 8.2.7 พจารณาใชงานสายไฟเบอรออฟตก แทนสายสญญาณสอสารแบบเดม ส าหรบระบบสารสนเทศทส าคญ 8.2.8 ด าเนนการส ารวจระบบสายสญญาณสอสารทงหมดเพอตรวจหาการตดตงอปกรณดกจบสญญาณโดยผไมประสงคด 8.3 การบ ารงรกษาอปกรณ (Equipment Maintenance) 8.3.1 ใหมก าหนดการบ ารงรกษาอปกรณตามรอบระยะเวลาทแนะน าโดยผผลต 8.3.2 ปฏบตตามค าแนะน าในการบ ารงรกษาตามทผผลตแนะน า 8.3.3 จดเกบบนทกกจกรรมการบ ารงรกษาอปกรณส าหรบการใหบรการทกครง เพอใชในการตรวจสอบหรอประเมนในภายหลง 8.3.4 จดเกบบนทกปญหาและขอบกพรองของอปกรณทพบ เพอใชในการประเมนและปรบปรงอปกรณดงกลาว 8.3.5 ควบคมและสอดสองดแลการปฏบตงานของผใหบรการภายนอกทมาท า การบ ารงรกษาอปกรณภายในหนวยงาน

๒๗ 8.3.6 จดใหมการอนมตสทธการเขาถงอปกรณทมขอมลส าคญโดยผรบจางใหบรการจากภายนอก (ทมาท าการบ ารงรกษาอปกรณ) เพอปองกนการเขาถงขอมลโดยไมไดรบอนญาต 8.4 การน าทรพยสนของหนวยงานออกนอกหนวยงาน (Removal of Property) 8.4.1 ใหมการขออนญาตกอนน าอปกรณหรอทรพยสนนนออกไปใชงานนอกหนวยงาน 8.4.2 ก าหนดผมอ านาจในการเคลอนยายหรอน าอปกรณออกนอกหนวยงาน 8.4.3 ก าหนดระยะเวลาของการน าอปกรณออกไปใชงานนอกหนวยงาน 8.4.4 เมอมการน าอปกรณสงคน ใหตรวจสอบวาสอดคลองกบระยะเวลาทอนญาต และตรวจสอบการช ารดเสยหายของอปกรณดวย 8.4.5 บนทกขอมลการน าอปกรณของหนวยงานออกไปใชงานนอกหนวยงาน เพอเอาไวเปนหลกฐานปองกนการสญหาย รวมทง บนทกขอมลเพมเตมเมอน าอปกรณสงคน 8.5 การปองกนอปกรณทใชงานอยนอกหนวยงาน (Security of Equipment off-premises) 8.5.1 ก าหนดมาตรการความปลอดภยเพอปองกนความเสยงจากการน าอปกรณหรอทรพยสนของหนวยงานออกไปใชงาน 8.5.2 ไมทงอปกรณหรอทรพยสนของหนวยงานไวโดยล าพงในทสาธารณะ 8.5.3 เจาหนาทมความรบผดชอบดแลอปกรณหรอทรพยสนเสมอนเปนทรพยสนของตนเอง

8.6 การท าลายอปกรณหรอการน าอปกรณกลบมาใชงานอกครง (Secure Disposal or Re-use of Equipment) 8.6.1 ใหท าลายขอมลส าคญในอปกรณกอนทจะท าลายอปกรณดงกลาว 8.6.2 มมาตรการหรอเทคนคในการลบหรอเขยนขอมลทบบนขอมลทมความส าคญในอปกรณส าหรบจดเกบขอมลกอนทจะอนญาตใหผอนน าอปกรณนนไปใชงานตอ เพอปองกนไมใหมการเขาถงขอมลส าคญนนได 8.7 การรกษาความมนคงปลอดภยส าหรบเอกสารระบบสารสนเทศ 8.7.1 จดเกบเอกสารทเกยวของกบระบบสารสนเทศไวในสถานททมนคงปลอดภย 8.7.2 ใหมการควบคมการเขาถงเอกสารทเกยวของกบระบบสารสนเทศโดยผเปนเจาของระบบนน 8.7.3 ควบคมการเขาถงเอกสารทเกยวของกบระบบสารสนเทศทจดเกบหรอเผยแพรอยบนเครอขายสาธารณะ 9. การเขาถงเครองคอมพวเตอรแมขาย 9.1 ควบคมการตดตงซอฟตแวรในระบบเครองคอมพวเตอรแมขายทใหบรการ 9.1.1 ใหมการควบคมการเปลยนแปลงตอระบบสารสนเทศของหนวยงานเพอปองกนความเสยหายหรอการหยดชะงกทมตอระบบสารสนเทศนน 9.1.2 ใหผดแลระบบสารสนเทศทไดรบการอบรมแลว หรอมความช านาญเทานน ทจะเปนผท าหนาทด าเนนการเปลยนแปลงตอระบบสารสนเทศของหนวยงาน

๒๘ ๙.๑.๓ การตดตงหรอปรบปรงซอฟตแวรของระบบสารสนเทศตองมการขออนมตใหตดตงกอนด าเนนการ 9.1.4 ไมควรตดตงซอรสโคด คอมไพเลอร (Complier) ของระบบสารสนเทศในเครองคอมพวเตอรแมขายทใหบรการนนๆ 9.1.5 ก าหนดใหมการจดเกบซอรสโคดและไลบรารส าหรบซอฟตแวรของระบบสารสนเทศไวในสถานททมความมนคงปลอดภย 9.1.6 ก าหนดใหผใชงานหรอผทเกยวของตองท าการทดสอบระบบสารสนเทศตามจดประสงคทก าหนดไวอยางครบถวน เพยงพอ กอนด าเนนการตดตงบนเครองคอมพวเตอรแมขายทใหบรการ 9.1.7 ใหผท เกยวของตองท าการทดสอบดานความมนคงปลอดภยของระบบสารสนเทศอยางครบถวน กอนด าเนนการตดตงบนเครองใหบรการระบบสารสนเทศ 9.1.8 ใหมการจดเกบซอฟตแวรเวอรชนเกา ขอมลทเกยวของกบระบบสารสนเทศเดม ขนตอนปฏบตทเกยวของของระบบสารสนเทศในกรณทจ าเปนตองกลบไปใชเวอรชนเกาเหลานน ตามระยะเวลาทเหมาะสม 9.1.9 ใหมการระบความตองการทางสารสนเทศส าหรบระบบสารสนเทศทตองการปรบปรง กอนทจะเรมตนท าการพฒนา 9.2 ใหมการทบทวนการท างานของระบบสารสนเทศภายหลงจากทเปลยนแปลงระบบปฏบตการ 9.2.1 แจงใหผทเกยวของกบระบบสารสนเทศไดรบทราบเกยวกบการเปลยนแปลงระบบปฏบตการเพอใหบคคลเหลานนมเวลาเพยงพอในการด าเนนการทดสอบและทบทวนกอนทจะด าเนนการเปลยนแปลงระบบปฏบตการ 9.2.2 พจารณาวางแผนด าเนนการเปลยนแปลงระบบปฏบตการของระบบสารสนเทศ รวมทงวางแผนดานงบประมาณทจ าเปนตองใช ในกรณทหนวยงานตองเปลยนไปใชระบบปฏบตการใหม 9.3 การพฒนาซอฟตแวรโดยหนวยงานภายนอก 9.3.1 จดใหมการควบคมโครงการพฒนาซอฟตแวรโดยผรบจางจากภายนอก 9.3.2 ใหระบวาใครจะเปนผมสทธในทรพยสนทางปญญาส าหรบซอรสโคด ใน การพฒนาซอฟตแวรโดยผรบจางใหบรการจากภายนอก 9.3.3 ใหก าหนดเรองการสงวนสทธทจะตรวจสอบดานคณภาพและความถกตองของซอฟตแวรทจะมการพฒนาโดยผใหบรการภายนอกโดยระบไวในสญญาจางทท ากบผ ใหบรการภายนอกนน 9.3.4 ใหมการตรวจสอบโปรแกรมไมประสงคด ในซอฟตแวรตาง ๆ ทจะท าการตดตงกอนด าเนนการตดตง 9.4 มาตรการควบคมชองโหวทางเทคนค 9.4.1 ก าหนดใหมการจดท าบญชของระบบสารสนเทศเพอใชส าหรบกระบวนการบรหารจดการชองโหวของระบบเหลานน ใหมการบนทกดงตอไปน (1) ชอซอฟตแวรและเวอรชนทใชงาน

๒๙ (2) สถานททตดตง (3) เครองทตดตง (4) ผผลตซอฟตแวร (5) ขอมลส าหรบตดตอผผลตหรอผพฒนาซอฟแวรนน ๆ 9.4.2 ก าหนดใหมการจดการกบชองโหวส าคญของระบบสารสนเทศอยางเหมาะสมโดยทนท 9.4.3 กระบวนการบรหารจดการชองโหวของระบบสารสนเทศ ใหผดแลระบบ ด าเนนการ ดงน (1) มการเฝาระวงและตดตาม ประเมนความเสยงส าหรบชองโหวของระบบสารสนเทศรวมทงการประสานงานเพอใหผทเกยวของด าเนนการแกไขชองโหวตามความเหมาะสม (2) ใหก าหนดแหลงขอมลขาวสารเพอใชในการตดตามชองโหวของระบบสารสนเทศของหนวยงาน (3) ก าหนดใหผทเกยวของด าเนนการประเมนความเสยงเมอไดรบแจงหรอทราบเกยวกบชองโหวนน 9.4.4 ปดการใชงานหรอควบคมการเขาถงพอรตทใชส าหรบตรวจสอบและปรบแตงระบบใหใชงานไดอยางจ ากดระยะเวลาเทาทจ าเปน โดยตองไดรบการอนญาตจากผรบผดชอบเปน ลายลกษณอกษร

9.5 การบนทกเหตการณทเกยวของกบการใชงานระบบสารสนเทศ (Audit Logging) มการบนทกพฤตกรรมการใชงาน (Log) การเขาถงระบบสารสนเทศ ดงน 9.5.1 ขอมลชอบญชผใชงาน 9.5.2 ขอมลวนเวลาทเขาถงระบบ 9.5.3 ขอมลวนเวลาทออกจากระบบ 9.5.4 ขอมลเหตการณส าคญทเกดขน 9.5.5 ขอมลการลอกอน ทงทส าเรจและไมส าเรจ 9.5.6 ขอมลความพยายามในการเขาถงทรพยากรทงทส าเรจและไมส าเรจ 9.5.7 ขอมลการเปลยนคอนฟกกเรชนของระบบ 9.5.8 ขอมลแสดงการใชงานแอพพลเคชน 9.5.9 ขอมลแสดงการเขาถงไฟลและการกระท ากบไฟล 9.5.10 ขอมลไอพแอดเดรสทเขาถง 9.5.11 ขอมลโพรโตคอลเครอขายทใช 9.5.12 ขอมลแสดงการหยดการท างานของระบบปองกนไวรสคอมพวเตอร 9.5.13 ขอมลแสดงการส ารองขอมลไมส าเรจ 10. การใชงานเครองคอมพวเตอรสวนบคคลและเครองคอมพวเตอรแบบพกพา 10.1 การใชงานทวไป 10.1.1 เครองคอมพวเตอรทหนวยงานอนญาตใหผใชงาน น าไปใชงานเปนทรพยสน

๓๐ ของหนวยงาน ดงนน ผใชงานจงตองใชงานเครองคอมพวเตอรอยางมประสทธภาพเพองานของหนวยงาน 10.1.2 โปรแกรมทไดถกตดตงลงบนเครองคอมพวเตอรของหนวยงาน ตองเปนโปรแกรมทหนวยงานไดซอลขสทธมาอยางถกตองตามกฎหมาย ดงนนหามผใชงานคดลอกโปรแกรมตาง ๆ และน าไปตดตงบนเครองคอมพวเตอรสวนตว หรอแกไข หรอน าไปใหผ อนใชงานโดยผดกฎหมาย 10.1.3 ไมอนญาตใหผใชงานท าการตดตงและแกไขเปลยนแปลงโปรแกรมในเครองคอมพวเตอรของหนวยงาน 10.1.4 การเคลอนยายหรอสงเครองคอมพวเตอรไปตรวจซอมจะตองด าเนนการโดยเจาหนาทของหนวยงานหรอผรบจางในการบ ารงรกษาเครองคอมพวเตอรและอปกรณทไดท าสญญากบหนวยงานเทานน 10.1.5 กอนการใชงานสอบนทกพกพาตาง ๆ ตองมการตรวจสอบเพอหาไวรสโดยโปรแกรมปองกนไวรส 10.1.6 ไมเกบขอมลส าคญของหนวยงานไวบนเครองคอมพวเตอรทใชงานอย 10.1.7 ไมน าอาหารหรอเครองดมอยใกลบรเวณเครองคอมพวเตอร 10.1.8 ไมวางสอแมเหลกไวใกลหนาจอเครองคอมพวเตอรหรอ Disk Drive 10.1.9 ในกรณทตองการเคลอนยายเครองคอมพวเตอรแบบพกพา ใหใสกระเปาส าหรบเครองคอมพวเตอรแบบพกพา เพอปองกนอนตรายทเกดจากการกระทบกระเทอน 10.1.10 การใชเครองคอมพวเตอรแบบพกพาเปนระยะเวลานานเกนไป ในสภาพทมอากาศรอนจดใหปดเครองคอมพวเตอรเพอเปนการพกเครองสกระยะหนงกอนเปดใชงานใหมอกครง 10.1.11 หลกเลยงการใชนวหรอของแขง กดสมผสหนาจอ LCD ใหเปนรอยขดขวนหรอท าใหจอ LCD ของเครองคอมพวเตอรแบบพกพาแตกเสยหายได 10.1.12 ไมวางของทบบนหนาจอและแปนพมพ 10.1.13 การเคลอนยายเครอง ขณะทเครองเปดใชงานอย ใหท าการยกจากฐานภายใตแปนพมพ หามยายเครองโดยการดงหนาจอภาพขน 10.1.14 ไมใชหรอวางเครองคอมพวเตอรแบบพกพาใกลสงทเปนของเหลว และในทมความชน

10.1.15 ผใชงานมหนาทรบผดชอบในการปองกนการสญหาย 10.1.16 หามมใหผ ใชงานท าการเปลยนแปลงแกไขสวนประกอบยอย (Sub Component) ทตดตงอยภายในรวมถงแบตเตอร 10.2 การส ารองขอมลและการกคน 10.2.1 ผใชงานตองรบผดชอบในการส ารองขอมลจากเครองคอมพวเตอรไวบนสอบนทกอน ๆ 10.2.2 ผใชงานมหนาทเกบรกษาสอขอมลส ารอง (Backup Media) ไวในสถานททเหมาะสม ไมเสยงตอการรวไหลของขอมลและทดสอบการกคนขอมลทส ารองไวอยางสม าเสมอ

๓๑

11. การบรหารจดการการเขาถงขอมลตามระดบชนความลบ 11.1 ผดแลระบบเครอขายสารสนเทศของมหาวทยาลย ตองก าหนดชนความลบของขอมล วธปฏบตในการจดเกบขอมลและวธปฏบตในการควบคมการเขาถงขอมลแตละประเภทชนความลบทงการเขาถงโดยตรงและการเขาถงผานระบบสารสนเทศ รวมถงวธการท าลายขอมลแตละประเภทชนความลบ 11.2 เจาของขอมล จะตองมการทบทวนความเหมาะสมของของสทธในการเขาถงขอมลของผใชงานเหลานอยางนอยปละ 1 ครง เพอใหมนใจไดวาสทธตาง ๆ ทใหไวยงคงมความเหมาะสม 11.3 วธปฏบตในการควบคมการเขาถงขอมลแตละประเภทชนความลบทงการเขาถงโดยตรงและการเขาถงผานระบบสารสนเทศ ผดแลระบบตองก าหนดชอผใชงาน (Username) และรหสผาน (Password) เพอใชในการตรวจสอบตวตนจรงของผใชขอมลในแตละชนความลบขอมล 11.4 การรบสงขอมลส าคญผานเครอขายสาธารณะ ตองไดรบการเขารหส (Encryption) ทเปนมาตรฐานสากล 11.5 มมาตรการรกษาความมนคงปลอดภยของขอมลในกรณทน าเครองคอมพวเตอรออกนอกพนทของหนวยงาน ไมวาจะเปนการสงเครองคอมพวเตอรไปตรวจซอม หรอการส ารองและลบขอมลทเกบอยในสอบนทก 12. การควบคมการใชงานระบบจดหมายอเลกทรอนกส (E-mail) 12.1 มการก าหนดสทธการเขาถงระบบจดหมายอเลกทรอนกสของมหาวทยาลยดงน 12.1.1 ผทตองการใชงาน E-mail ของมหาวทยาลย ตองกรอกแบบค าขอใชงานเพอใหผดแลระบบท าการเพมบญชและก าหนดสทธการเขาใชงาน 12.1.2 ผใชงานจะตองรกษาชอผใช (Username) และรหสผาน (Password) เปนความลบไมใหรวไหลไปถงบคคลอน 12.1.3 หามเขาถง E-mail ของผอนเพออาน หรอรบสงขอความ ยกเวนแตจะไดรบการยนยอมจากเจาของ E-mail และใหถอวาเจาของ e-mail เปนผรบผดชอบตอการใชงานตาง ๆ ใน E-mail ของตน 12.1.4 หลงการใชงานใหออกจากระบบทกครง เพอปองกนบคคลอนเขาใชงานระบบ 12.1.5 ผใชงานจะตองรบผดชอบผลกระทบทเกดจากการใชงานไมถกตอง 12.2 แนวทางการควบคมการใชงานส าหรบผดแลระบบ 12.2.1 ก าหนดสทธการเขาถงระบบของจดหมายอเลกทรอนกส 12.2.2 ก าหนดจ านวนครงทยอมใหผใชงานใสรหสผานผด (Password)

12.2.3 มหาวทยาลยขอสงวนสทธในการระงบ เปลยนแปลง หรอยกเลก การใชงาน ตามเหตอนสมควร

๓๒

13. การใชงานระบบอนเทอรเนต (Internet) 13.1 ก าหนดเสนทางการเชอมตอระบบคอมพวเตอรเพอการเขาใชงานระบบอนเทอรเนตทเชอมตอผานระบบรกษาความปลอดภยทหนวยงานจดสรรไวเทานน หามผใชงานท าการเชอมตอระบบคอมพวเตอรผานชองทางอน ยกเวนแตวามเหตผลความจ าเปนและไดรบการอนมตจากผบรหารเทคโนโลยสารสนเทศระดบสงหรอผดแลระบบเครอขายของมหาวทยาลยทไดรบมอบหมายแลวเทานน 13.2 การใชงานเครองคอมพวเตอร จะตองมการตดตงโปรแกรมปองกนไวรสและท าการอดชองโหวกอนทจะท าการเชอมตอระบบอนเทอรเนตผานเวบบราวเซอรของระบบปฏบตการ 13.3 ผใชงานตองเขาถงแหลงขอมลตามสทธทไดรบตามหนาทความรบผดชอบเพอประสทธภาพของระบบเครอขายและความปลอดภยทางขอมลของมหาวทยาลย และตองไมใชระบบอนเทอรเนตของมหาวทยาลย เพอหาประโยชนในเชงพาณชยเปนการสวนบคคล และท าการเขาสเวบไซตทไมเหมาะสม 13.4 หามผใชงานเปดเผยขอมลส าคญทเปนความลบเกยวกบงานของหนวยงานทยงไมไดประกาศอยางเปนทางการผานระบบอนเทอรเนต 13.5 ผใชงานตองระมดระวงการดาวนโหลดโปรแกรมใชงานจากระบบอนเทอรเนต ซงรวมถงการดาวนโหลดการปรบปรงโปรแกรมตาง ๆ ตองเปนไปโดยไมละเมดลขสทธหรอทรพยสนทางปญญา 13.6 ในการใชงานกระดานสนทนาอเลกทรอนกส ผใชงานตองไมเปดเผยขอมลทส าคญและเปนความลบของหนวยงาน ไมเสนอความคดเหน หรอใชขอความทยวย ใหราย ทจะท าใหเกดความเสอมเสยตอชอเสยงของหนวยงาน การท าลายความสมพนธกบบคลากรของหนวยงานอนๆ 13.7 หลงการใชงานระบบอนเทอรเนตทกครง ใหผใชงานท าการออกจากอนเตอรเนต(Logout) และปดเวบบราวเซอรทกครงเพอปองกนการเขาใชงานโดยบคคลอน ๆ 14. การใชงานเครอขายสงคมออนไลน (Social Network) 14.1 อนญาตใหใชงานเครอขายสงคมออนไลนในรปแบบและลกษณะตามทมหาวทยาลยไดก าหนดไวเทานน 14.2 ผใชงานเครอขายสงคมออนไลนตองตระหนกถงความมนคงปลอดภยในการใชงาน และตองรบผดชอบหากเกดความเสยหายใด ๆ ทมผลกระทบกบมหาวทยาลย อนเกดจากการใชงานเครอขายสงคมออนไลน 14.3 ไมอนญาตใหใชงานเครอขายสงคมออนไลนเพอเผยแพรขอมลทเปนความลบ และมผลกระทบดานชอเสยงตอบคคลอนหรอมหาวทยาลย 14.4 ใหใชงานเครอขายสงคมออนไลนไดเทาทจ าเปนโดยไมเบยดบงเวลาปฏบตงาน 14.5 หากเกดปญหาจากการใชงานเครอขายสงคมออนไลนทอาจมผลกระทบกบบคคลอนหรอมหาวทยาลย ผใชงานตองแจงตอผดแลระบบโดยเรวทสดเพอด าเนนการตามความเหมาะสม

๓๓

15. การจดเกบขอมลจราจรคอมพวเตอร (Log) เพอใหขอมลจราจรทางคอมพวเตอร (Log) มความถกตองและสามารถระบถงตวบคคลได ใหปฏบต ดงตอไปน 15.1 จดเกบขอมลจราจรทางคอมพวเตอร (Log) ไวในสอเกบขอมลทสามารถรกษาความครบถวน ถกตอง แทจรง ระบตวบคคลทเขาถงสอดงกลาวได และขอมลทใชในการจดเกบ ตองก าหนดชนความลบในการเขาถง 15.2 หามผดแลระบบแกไขขอมลทเกบรกษาไว ยกเวนผตรวจสอบระบบสารสนเทศของหนวยงาน (IT Auditor) หรอบคคลทหนวยงานมอบหมาย 15.3 ก าหนดใหมการบนทกการท างานของระบบบนทกการปฏบตงานของผใชงาน (Application Logs) และบนทกรายละเอยดของระบบปองกนการบกรก เพอประโยชนในการใชตรวจสอบและตองเกบบนทกไวอยางนอย 90 วน นบตงแตการใชงานสนสดลง 15.4 ตองมวธการปองกนการแกไขเปลยนแปลงบนทกตาง ๆ และจ ากดสทธการเขาถงบนทกเหลานนใหเฉพาะบคคลทเกยวของเทานน

๓๔

แนวปฏบตระบบสารสนเทศและระบบส ารองของสารสนเทศ

1. หนวยงานภายในมหาวทยาลย ตองใหผรบผดชอบระบบสารสนเทศทกระบบ จดท าแนวทางปฏบตในการส ารองและกคนขอมล โดยจดระบบส ารองทเหมาะสมใหอยในสภาพพรอมใชงาน ตามแนวทางตอไปน 1.1 มการจดท าบญชระบบสารสนเทศทงหมดของหนวยงาน พรอมจดท าระบบส ารอง และจดท าระบบแผนเตรยมพรอมกรณฉกเฉน อยางนอยปละ 1 ครง 1.2 ก าหนดใหมการส ารองขอมลของระบบสารสนเทศแตละระบบ และก าหนดความถในการส ารองขอมล หากระบบใดทมการเปลยนแปลงบอย ควรก าหนดใหมความถในการส ารองขอมลมากขน โดยใหมวธการส ารองขอมล ดงน

(1) ก าหนดประเภทของขอมลทตองท าการส ารองเกบไว และความถในการส ารอง (2) ก าหนดรปแบบการส ารองขอมลใหเหมาะสมกบขอมลทจะท าการส ารอง ไดแก

การส ารองขอมลแบบเตม (Full Backup) หรอการส ารองขอมลแบบสวนตาง ( Incremental Backup)

(3) บนทกขอมลทเกยวของกบกจกรรมการส ารองขอมล ไดแก ผด าเนนการ วน/เวลาชอขอมลทส ารอง ส าเรจ/ไมส าเรจ เปนตน

(4) ตรวจสอบขอมลทงหมดของระบบวามการส ารองขอมลไวอยางครบถวน ไดแก ซอฟตแวรตาง ๆ ทเกยวของกบระบบสารสนเทศ ขอมลคอนฟกกเรชน ขอมลในฐานขอมล เปนตน

(5) จดเกบขอมลทส ารองนนในสอเกบขอมล โดยมการพมพชอบนสอเกบขอมลนนใหสามารถแสดงถงระบบซอฟตแวร วนท เวลาทส ารองขอมล และผรบผดชอบในการส ารองขอมลไวอยางชดเจน

(6) จดเกบขอมลทส ารองไวนอกสถานท ระยะทางระหวางสถานททจดเกบขอมลส ารองกบหนวยงานควรหางกนเพยงพอเพอไมใหสงผลกระทบตอขอมลทจดเกบไวนอกสถานทนนในกรณทเกดภยพบตกบหนวยงาน

(7) ด าเนนการปองกนทางกายภาพอยางเพยงพอตอสถานทส ารองทใชจดเกบขอมลนอกสถานท

(8) ทดสอบบนทกขอมลส ารองอยางสม าเสมอ เพอตรวจสอบวายงคงสามารถเขาถงขอมลไดตามปกต

(9) จดท าขนตอนปฏบตส าหรบการกคนขอมลทเสยหายจากขอมลทไดส ารองเกบไว (10) ตรวจสอบและทดสอบประสทธภาพและประสทธผลของขนตอนปฏบตในการ

กคนขอมลอยางสม าเสมอ (11) ก าหนดใหมการใชงานการเขารหสขอมลกบขอมลลบทไดส ารองเกบไว

2. หนวยงานภายในมหาวทยาลย ตองจดท าแผนเตรยมความพรอมกรณฉกเฉนในกรณทไมสามารถด าเนนการดวยวธการทางอเลกทรอนกส เพอใหสามารถใชงานสารสนเทศไดตามปกตอยางตอเนอง โดยตองปรบปรงแผนเตรยมความพรอมกรณฉกเฉนดงกลาวใหสามารถปรบใชไดอยางเหมาะสมและสอดคลองกบการใชงานตามภารกจ ตามแนวทางตอไปน

๓๕ 2.1 มการจดท าแผนเตรยมความพรอมกรณฉกเฉนในกรณทไมสามารถด าเนนการดวยวธการทางอเลกทรอนกส โดยมรายละเอยดอยางนอย ดงน

(1) มการก าหนดหนาท และความรบผดชอบของผทเกยวของทงหมด (2) มการประเมนความเสยงส าหรบระบบทมความส าคญเหลานน และก าหนด

มาตรการ เพอลดความเสยงเหลานน (3) มการก าหนดขนตอนปฏบตในการกคนระบบสารสนเทศ (4) มการก าหนดขนตอนปฏบตในการส ารองขอมล และทดสอบกคนขอมลทส ารอง

ไว (5) มการก าหนดชองทางในการตดตอกบผใหบรการภายนอก เมอเกดเหตจ าเปนท

จะตองตดตอ (6) การสรางความตระหนก หรอใหความรแกเจาหนาทผทเกยวของกบขนตอนการ

ปฏบต หรอ สงทตองท าเมอเกดเหตเรงดวน (7) ก าหนดเปนแผนการส ารองระบบสารสนเทศ ดงน

มรภ.เพชรบรณ

ขนตอนการปฏบตงาน (Work Procedure)

ขนตอนการส ารองระบบสารสนเทศ

เขยนโดย นายไพบลย กนยา ต าแหนง นกวชาการคอมพวเตอร โทรศพท 056-717100 ตอ 2831-2833 โทรศพทมอถอ 0860772846 อนมตโดย งานวจยและพฒนาซอฟตแวร ส านกวทยบรการและเทคโนโลยสารสนเทศ

ผรบผดชอบ กจกรรม ผเกยวของ นายไพบลย กนยา

งานวจยและพฒนาซอฟตแวรคอมพวเตอรและเครอขาย โทรศพท 056-717100 ตอ 2831 - 33 โทรศพทมอถอ 086-077-2846 PMISVMHost1

(Primary Active)

PMIS ขดของ

เรม

รายงานผบรหาร

สนสด

PMISVMHost2 (Stand By)

Y N

๓๖

รายละเอยดขนตอนการส ารองระบบสารสนเทศ ขนตอนท การปฏบต เวลาทปฏบต

1.ระบบ PMIS ท างาน ระบบสารสนเทศท างานเปนปกตระบบสารสนเทศจะท างานอยในกลม Primary Active

2. ระบบ PMIS ท างานไมเปนปกต

ระบบส ารองจะท าการยาย Virtualization มายงชดเครอง Stand By

ระบบยายโดยอตโนมต

3. รายงานผล รายงานผลการท างานของระบบ PMIS ตอผบรหาร

10 นาท

2.2 มการทบทวนเพอปรบปรงแผนเตรยมความพรอมกรณฉกเฉนดงกลาวใหสามารถปรบใชไดอยางเหมาะสมและสอดคลองกบการใชงานตามภารกจ อยางนอยปละ 1 ครง

3. ตองมการก าหนดหนาทและความรบผดชอบของบคลากร ซงดแลรบผดชอบระบบสารสนเทศ ระบบส ารอง และการจดท าแผนเตรยมพรอมกรณฉกเฉนในกรณทไมสามารถด าเนนการดวยวธการทางอเลกทรอนกส ดงน

มรภ.เพชรบรณ

ขนตอนการปฏบตงาน (Work Procedure)

ขนตอนการส ารองระบบฐานขอมลสารสนเทศ

เขยนโดย นายไพบลย กนยา ต าแหนง นกวชาการคอมพวเตอร โทรศพท 056-717100 ตอ 2831-33 โทรศพทมอถอ 086-077-2846 อนมตโดย งานวจยและพฒนาซอฟตแวร ส านกวทยบรการและเทคโนโลยสารสนเทศ

ผรบผดชอบ กจกรรม ผเกยวของ นายไพบลย กนยา

งานวจยและพฒนาซอฟตแวรคอมพวเตอรและเครอขาย โทรศพท 056-717100 ตอ 2831 - 33 โทรศพทมอถอ 086-077-2846 ประมวลการส ารอง

ส ารองไฟล ฐานขอมลส าเรจ

เรม

รายงานผบรหาร

สนสด

ประมวลผล การส ารอง

Y N

๓๗

การก าหนดหนาทและความรบผดชอบของบคลากรซงท าหนาทดแลรบผดชอบระบบสารสนเทศ ระบบส ารอง และการจดท าแผนเตรยมพรอมกรณฉกเฉน ในกรณทไมสามารถด าเนนการดวยวธการทางอเลกทรอนกส ดงน

ต าแหนง รบผดชอบ หมายเลขโทรศพท ผบรหารระดบสงสด (CEO) อธการบดมหาวทยาลยราชภฏเพชรบรณ

ก าหนดนโยบายและแนวปฏบตการรกษาความมนคงปลอดภยดานสารสนเทศของมหาวทยาลย

ทท างาน 056717101

ผบรหารเทคโนโลยสารสนเทศระดบสง (CIO) รองอธการบดฝายบรหาร

ท าหนาทตดตามก ากบดแล ควบคม ตรวจสอบ และประเมนผลการด าเนนงาน

ทท างาน 056717102

ผอ านวยการส านกวทยบรการและเทคโนโลยสารสนเทศ ท าหนาทตดตามก ากบดแล ควบคม ตรวจสอบ และประเมนผลการด าเนนงาน

ทท างาน 056717100 ตอ 2805

รองผอ านวยการส านกวทยบรการและเทคโนโลยสารสนเทศ ฝายงานวจยและพฒนาซอฟตแวร

รบผดชอบงานพฒนาระบบสารสนเทศ ก ากบดแล ควบคม ตรวจสอบ และประเมนผลการด าเนนงาน

ทท างาน 056717100 ตอ 4551 มอถอ 0864028927

รองผอ านวยการส านกวทยบรการและเทคโนโลยสารสนเทศ ฝายงานบรการคอมพวเตอร

รบผดชอบงานพฒนาระบบเครอขาย ก ากบดแล ควบคม ตรวจสอบ และประเมนผลการด าเนนงาน

ทท างาน 056717100 ตอ 4503,2802 มอถอ 0818277944

หวหนางานบรการคอมพวเตอร ผดแลระบบเครอขาย ปฏบตงานตามแผน และรายงานผลการด าเนนการ

ทท างาน 056717100 ตอ 2841-4 มอถอ 0881519978

หวหนางานงานวจยและพฒนาซอฟตแวร ผดแลระบบสารสนเทศ ปฏบตงานตามแผน และรายงานผลการด าเนนการ

ทท างาน 056717100 ตอ 2831-3 มอถอ 0821606990

นกวชาการคอมพวเตอร ปฏบตหนาทดแลและควบคมการใชงานระบบเครอขาย

ทท างาน 056717100 ตอ 2843 มอถอ 0862023838

๓๘

ต าแหนง รบผดชอบ หมายเลขโทรศพท นกวชาการคอมพวเตอร ปฏบตหนาทดแลและ

ควบคมการใชงานระบบสารสนเทศ

ทท างาน 056717100 ตอ 2833 มอถอ 0860772846

4. ตองมการทดสอบสภาพพรอมใชงานของระบบสารสนเทศ ระบบส ารอง และระบบแผนเตรยมพรอมกรณฉกเฉน อยางนอยปละ 1 ครง 5. มการทบทวนระบบสารสนเทศ ระบบส ารอง และระบบแผนเตรยมพรอมกรณฉกเฉนทเพยงพอตอสภาพความเสยงทยอมรบไดของแตละหนวยงาน อยางนอยปละ 1 ครง

๓๙

แนวปฏบตการตรวจสอบและประเมนความเสยงดานสารสนเทศ

1. จดท าแผนบรหารความเสยงดานสารสนเทศของมหาวทยาลย เพอตรวจสอบและประเมนความเสยงดานสารสนเทศ ดงน

1.1 แตงตงคณะกรรมการตรวจสอบและประเมนความเสยงดานสารสนเทศจากผเชยวชาญทงภายในและภายนอกมหาวทยาลย

1.2 มการตรวจสอบและประเมนความเสยงดานสารสนเทศทอาจเกดขนกบระบบสารสนเทศ จากคณะกรรมการในขอ 1.1 อยางนอยปละ 1 ครง เพอใหทราบถงระดบความเสยงและระดบความมนคงปลอดภยดานสารสนเทศ

2. แนวทางในการตรวจสอบและประเมนความเสยงทตองค านงอยางนอยดงน 2.1 ระบความเสยงและผลกระทบของความเสยงใหสอดคลองตามแผนบรหารความ

เสยงของหนวยงาน 2.2 ด าเนนการทบทวนแผนแกไขปญหาจากสถานการณความไมแนนอนและภยพบตท

อาจจะเกดขนกบระบบสารสนเทศ อยางนอยปละ 1 ครง 2.3 การประเมนความเสยงใหค านงถงองคประกอบดงตอไปน (1) ความรนแรงของผลกระทบทเกดจากความเสยงทระบ (2) ภยคกคามหรอสงทอาจกอใหเกดเหตการณทระบรวมถงความเปนไปไดทจะ

เกดขน (3) จดออนหรอชองโหวทอาจถกใชในการกอใหเกดเหตการณทระบ 2.4 ก าหนดมาตรการจดการความเสยงดานสารสนเทศ อยางนอย ดงน

(1) ก าหนดใหผตรวจสอบสามารถเขาถงขอมลทจ าเปนตองตรวจสอบไดแบบอานไดอยางเดยว (2) ในกรณทจ าเปนตองเขาถงขอมลในแบบอน ๆ ใหสรางส าเนาส าหรบขอมลนน เพอใหผตรวจสอบใชงาน รวมทงท าลายหรอลบโดยทนททตรวจสอบเสรจ หรอตองจดเกบไวโดยมการปองกนเปนอยางด (3) ก าหนดใหมการระบและจดสรรทรพยากรทจ าเปนตองใชในการตรวจสอบระบบบรหารจดการความมนคงปลอดภย (4) ก าหนดใหมการเฝาระวงการเขาถงระบบโดยผตรวจสอบ รวมทงบนทกขอมล ลอคแสดงการเขาถงนน ซงรวมถงวนและเวลาทเขาถงระบบงานทส าคญ ๆ

(5) ก าหนดหนาทและความรบผดชอบของบคลากรซงดแลรบผดชอบระบบสารสนเทศ ระบบส ารอง และการจดท าแผนเตรยมพรอมกรณฉกเฉนในกรณทไมสามารถด าเนนการดวยวธการทางอเลกทรอนกส

2.5 ผดแลระบบจดท าแผนเตรยมความพรอมกรณฉกเฉนในกรณท ไมสามารถด าเนนการดวยวธการทางอเลกทรอนกส เพอใหสามารถใชงานสารสนเทศไดตามปกตอยางตอเนอง โดยระบผรบผดชอบและหนาทความรบผดชอบอยางชดเจน โดยตองปรบปรงแผนเตรยมความพรอมกรณฉกเฉนดงกลาวใหสามารถปรบใชไดอยางเหมาะสมและสอดคลองกบการใชงานตามภารกจ

๔๐

2.6 ผดแลระบบทดสอบและปรบปรงแผนเตรยมความพรอมฉกเฉนอยเสมอ เพอใหแผนมความทนสมยและสามารถใชงานไดหากเกดเหตการณขนจรง

2.7 ผดแลระบบตองบนทกเหตการณทเกยวกบการรกษาความมนคงปลอดภยระบบเทคโนโลยสารสนเทศและการสอสารทเกดขน โดยพจารณาถงประเภท ปรมาณ และหลกฐานส าหรบอางอง เพอกรณทเหตการณทเกดขนมความเกยวของกบการด าเนนการทางกฎหมาย

๔๑

แนวปฏบตการสรางความรความเขาใจในการใชระบบสารสนเทศและระบบคอมพวเตอร

1. จดใหมการฝกอบรมการใชงานระบบสารสนเทศของแตละหนวยงาน เมอมการปรบปรงและเปลยนแปลงการใชงานระบบสารสนเทศ 2. จดใหมการทบทวนการใชงานระบบสารสนเทศของแตละหนวยงาน อยางนอยปละ 1 ครง 3. จดท าคมอและแนวปฏบตงานระบบสารสนเทศของแตละหนวยงานทงในรปแบบเอกสารและรปแบบอเลกทรอนกส 4. มการเผยแพรนโยบายและแนวปฏบตในการใชระบบสารสนเทศ ระบบคอมพวเตอร และนโยบายความมนคงปลอดภยดานสารสนเทศ

๔๒

แผนเตรยมความพรอมฉกเฉน (IT Contingency Plan)

สารบญ

หนา หลกการและเหตผล………………………………………………………………………………………………….... ๑ วตถประสงค………………………………………………………………………………………………………………. ๑ นยามศพทเฉพาะ…………………………………………………………………………………………………………. ๑ การวเคราะหภยพบตและสถานการณฉกเฉน.......................................................................... ๒ แผนเตรยมความพรอมฉกเฉน ๑. แผนรองรบกรณไฟฟาดบ............................................................................................... ๓ ๒. แผนการปองกนและระงบอคคภย.................................................................................. ๔ ๓. แผนรองรบภยพบตระบบเทคโนโลยสารสนเทศ…………………………………………………… ๘ การตดตาม/รายงานผล…………………………………………………………………………………..…….. 9

แผนเตรยมความพรอมฉกเฉน หลกการและเหตผล

ปจจบนเทคโนโลยสารสนเทศไดเขามามบทบาทส าคญในการปฏบตงานราชการ ทงในสวนของการบรหารจดการ การจดเกบและรวบรวมขอมล รวมไปถงการประมวลผลระบบงานทส าคญ มหาวทยาลย ราชภฏเพชรบรณไดมการน าเทคโนโลยสารสนเทศมาใชในการบรหารจดการภายในองคการและสนบสนนการปฏบตงานมากขน ประกอบกบการพฒนาเทคโนโลยสารสนเทศเพอความสะดวกในการใชงานและความสะดวกในการสรางขอมลสารสนเทศ อนมประโยชนตอการวางแผนพฒนาองคการ การบรหารจดการองคการ และการปฏบตงานของบคลาการ ซงเมอมการใชงานระบบเหลานท างานรวมกนมากขน อาจท าใหเกดความเสยงหรอโอกาสทเกดความเสยหาย หรอถกรบกวนจากสถานการณทคาดไมถงได หรออาจเกดจากสถานการณทเกดขนโดยบงเอญและโดยธรรมชาต ซงสถานการณเหลาน เรยกวา “สถานการณฉกเฉน (Contingency)”

มหาวทยาลยราชภฏเพชรบรณจ าเปนจะตองมการจดท าแผนเตรยมความพรอมฉกเฉน เพอเปนการเฝาระวง การจดเกบและการดแลรกษาขอมลสารสนเทศ และเพอใหเกดความมนคงปลอดภยและมความพรอมในการทจะน าขอมลสารสนเทศดงกลาวไปใชงานได อยางเตมประสทธภาพตลอดเวลา

วตถประสงค ๑. เพอเปนแนวทางในการดแลรกษาระบบความมนคงปลอดภยของฐานขอมลและเทคโนโลยสารสนเทศใหมเสถยรภาพและมความพรอมส าหรบการใชงาน ๒. เพอลดความเสยหายทจะอาจเกดแกระบบเทคโนโลยสารสนเทศ ๓. เพอใหระบบเทคโนโลยสารสนเทศสามารถด าเนนการไดอยางตอเนอง และมประสทธภาพ สามารถแกไขสถานการณไดอยางทนทวงท ๔. เพอเตรยมความพรอมรบสถานการณฉกเฉนทอาจจะเกดขนกบระบบเทคโนโลยสารสนเทศของหนวยงาน ๕. เพอเปนแนวทางการด าเนนการ ก ากบขอมล ตรวจสอบเกยวกบการบรหารจดการ และเผยแพรความรความเขาใจเกยวกบการบรหารความเสยงของระบบฐานขอมลดานเทคโนโลยสารสนเทศของมหาวทยาลยราชภฏเพชรบรณใหเจาหนาททเกยวของน าไปใชประโยชน นยามศพทเฉพาะ

ภยพบต หมายถง เหตการณทอาจเกดจากธรรมชาต หรอเกดจากการกระท าของมนษยทอาจเกดขนปจจบนทนดวนหรอคอย ๆ เกด มผลตอชมชนหรอประเทศชาต ภยพบตอาจเปนไดทงเหตการณทเกดขนตามธรรมชาต เชน อทกภย หรอเปนเหตการณทมนษยกระท าขน เชน การจลาจล หรอการชมนมทางการเมอง เปนตน

สถานการณฉกเฉน หมายถง สถานการณทกชนดทเปนภยตอความมนคงของรฐ กระทบกระเทอนตอความสงบของประชาชน รวมไปถงภยธรรมชาตทกระทบตอสาธารณชน ซงจะครอบคลมตงแตเกดการกบฏ จลาจล เกดภยธรรมชาต รวมทงเกดสถานการณสงคราม

๒ การวเคราะหภยพบตและสถานการณฉกเฉน

ปจจบนเทคโนโลยสารสนเทศไดเขามามบทบาทส าคญในการด าเนนงานของทกหนวยงานภายในมหาวทยาลยราชภฏเพชรบรณทงในสวนของการบรหารจดการ การจดเกบขอมล การใชเครองคอมพวเตอร ระบบเครอขายและวธการปฏบตงานระบบเทคโนโลยสารสนเทศตางๆการจดท าและพฒนาระบบเทคโนโลยสารสนเทศในภาพรวม มงหวงใหระบบสารสนเทศชวยในการด าเนนงานของหนวยงานมความสะดวกรวดเรวและมประสทธภาพมากยงขน แตการน าเทคโนโลยสารสนเทศมาใชยอมมความเสยงหลายประการดวยกน โดยเฉพาะสถานการณทไมไดคาดคดมากอนเชน ภยธรรมชาต อคคภย ซงการวางแผนเตรยมความพรอมฉกเฉนของระบบเทคโนโลยสารสนเทศจงเปนเรองส าคญและควรมการเตรยมการทด โดยหากหนวยงานไมมการวางแผนเตรยมความพรอมฉกเฉนรกษาความปลอดภยดานเทคโนโลยสารสนเทศทรดกมเพยงพอ กอาจสงผลกระทบตอการด าเนนงานและสรางความเสยหายตอหนวยงานได ทงในดานการพฒนาระบบราชการ บคลากร ความคมคาทางงบประมาณ ดงนนเพอหาวธการปองกนปญหา และลดโอกาสความเสยหายทอาจเกดขน รวมไปถงแนวทางในการตรวจสอบและประเมนผลกระทบทอาจจะเกดขน อนจะสงผลกระทบตอระบบเทคโนโลยสารสนเทศ เพอใหระบบเทคโนโลยสารสนเทศของมหาวทยาลยราชภฏเพชรบรณเปนไปอยางเหมาะสม มประสทธภาพ มความมนคงปลอดภย และเพอใหการน าเทคโนโลยสารสนเทศมาสนบสนนการปฏบตงานใหเกดประโยชนสงสด จากการวเคราะหภยพบตและสถานการณฉกเฉนของมหาวทยาลยราชภฏเพชรบรณ ไดระบเหตการณทจะเกดและผลกระทบดงตอไปน

ภยพบตและสถานการณฉกเฉน ผลกระทบ ๑. อคคภย ท าลายระบบฐานขอมล/เอกสาร อาคาร/สถานท ทรพยสนของ

ทางราชการและความปลอดภยของบคลากร ๒. ไฟฟาดบ ผปฏบตงานและผรบบรการไมสามารถเขาถงขอมลได อาจเกด

ความเสยหายตอฐานขอมลและระบบเทคโนโลยสารสนเทศซงเปนเหตการณทมโอกาสเกดขนบอยครง

๓. อทกภย กระบวนการหยดชะงกผปฏบตงานและผรบบรการไมสามารถด าเนนกจกรรมไดท าใหไมสามารถบรรลเปาหมายตามเวลาทก าหนดไดอาจเกดความเสยหายตอฐานขอมล และระบบเทคโนโลยสารสนเทศ

๔. พาย ๕. แผนดนไหว

๖. การปดลอมโดยกลมผชมนม สานกงานถกปดกนชองทางเขา-ออก ทาใหเจาหนาท ไมสามารถปฏบตงานไดและสงผลตอความปลอดภยของเจาหนาทและความเสยหายตอทรพยสนของทางราชการ

จากตารางภยพบตและสถานการณฉกเฉนและผลกระทบทจะเกดขนไดน าเอามาประเมนความ

รนแรงและโอกาสทจะเกดและจดล าดบไดดงน

๓

ภยพบตและสถานการณฉกเฉน ระดบคะแนน (๕) คะแนน

รวม เรยงล าดบความส าคญ โอกาส ผลกระทบ

๑. อคคภย ๒ ๕ ๑๐ ๒ ๒. ไฟฟาดบ ๔ ๓ ๑๒ ๑ ๓. อทกภย ๑ ๓ ๓ ๓ ๔. พาย ๑ ๓ ๓ ๓ ๕. แผนดนไหว ๑ ๓ ๓ ๓ ๖. การปดลอมโดยกลมผชมนม ๑ ๓ ๓ ๓

จากการวเคราะหผลกระทบและโอกาสทจะเกดขนสามารถเรยงล าดบความส าคญไดดงน ไฟฟาดบ และอคคภย แผนเตรยมความพรอมฉกเฉน

๑. แผนเตรยมความพรอมฉกเฉนรองรบกรณไฟฟาดบ การด าเนนการ ณ อาคารบรรณราชนครนทร ๑.๑ กอนเกดเหต ๑.๑.๑ ก าหนดและจดหาอปกรณ เชน เครองส ารองไฟฟา (UPS) รองรบกรณไฟฟาดบของหองบรการเครองแมขายคอมพวเตอร ๑.๑.๒ ก าหนดบคลากรผรบผดชอบในการควบคมภาวะฉกเฉนกรณไฟฟาดบ

ผรบผดชอบ บทบาทหนาท

เจาหนาทซอมบ ารงประจ าอาคาร (นายไพโรจน ใจใหญ) (นายประสงค อนค าย)

- ทดสอบระบบรองรบกรณไฟฟาดบ เชน ไฟฉกเฉน และบนทกเหตการณไวทกครง

เจาหนาทปฏบตงานบรหารส านกงาน (นายประสงค อนค าย) (นางรตนา ชมมย)

- แจงการไฟฟาเพอเขามาตรวจสอบและแกไข

ฝายพฒนาระบบเครอขาย (นายธนวฒน เฉลมพงษ) (นายวเศษ เกตด)

- ท าการส ารองขอมลเครองแมขาย

๑.๑.๓ คณะ/สถาบน/ ส านก/ พจารณาและจดหาระบบส ารองไฟฉกเฉนส าหรบ

คอมพวเตอรแมขายและเครองคอมพวเตอรสวนบคคล ตามความจ าเปน

๔

๑.๒ ขณะเกดเหต ๑.๒.๑ เมอเกดไฟดบหรอไฟตกจนท าใหเครองตดไฟ (เบรกเกอร) หลง เครองส ารองไฟฟา

(UPS) จะท างานอตโนมต จะท าการจายไฟส ารองให เครองคอมพวเตอรแมขาย ๑.๒.๑ โทรแจงเหตไฟฟาดบใหเจาหนาทฝายอาคารสถานททราบ พรอมจดท าบนทก

น าสงในการแจงเหต ๑.๒.๓ เจาหนาทฝายอาคารสถานททไดรบแจงเหต เขาท าการตรวจสอบเบองตนและท าการแกไข หากไมสามารถด าเนนการแกไขได โทรแจงการไฟฟาเพชรบรณ ๑.๒.๔. เจาหนาทซอมบ ารงคอยอ านวยความสะดวกในการแกไข และบอกขอมลแผนผงไฟฟาในอาคาร ๑.๓ หลงเกดเหต ผรบผดชอบท าการเปดเครองตดไฟ (เบรกเกอร) หลกเพอใชงานตามระบบปกต และบนทกการท างานของระบบทกครงทเกดเหตไฟฟาดบ ๑.๔ การตดตามและรายงานผล

๑.๔.๑ ใหมตรวจสอบความพรอมการท างานของเครองส ารองไฟฟา (UPS) ทก 3 เดอน ๑.๔.๒ ใหเจาหนาทผรบผดชอบรายงานผลการตรวจสอบใหผก ากบดแลทราบ

๒. แผนการปองกนและระงบอคคภย

๒.๑ การปองกนอคคภย ก าหนดใหมผรบผดชอบ โดยแบงบทบาทหนาทในการด าเนนการ ดงน

ผรบผดชอบ บทบาทหนาท หวหนาส านกงาน (นางสาวหนงฤทย บญม)

ดแลเกยวกบอาคารสถานท

เจาหนาททกคน การปฏบตและการละเวนการปฏบตเพอปองกนและหลกเลยงเหตทกอใหเกดอคคภย

ฝายอาคารสถานท (นางสาวหนงฤทย บญม)

ตรวจสอบและก ากบ ดแล การปองกนอคคภย

รายละเอยดบทบาทหนาทของผรบผดชอบแตละกลม คอ

๒.๑.๑ หวหนาส านกงาน (๑) จดผงอาคารใหค านงถงการเกดอคคภย (๒) ก าหนดพนทควบคมทอาจเกดอคคภย (๓) ก าหนดมาตรฐานการปฏบตงานใหปลอดภยจากอคคภย (๔) ควบคมการใชไฟ การกอเกดไฟ เปลวไฟ ประกายไฟ ไฟฟา ความรอน ไฟฟา

สถต หรอวธการทางานอนใดทท าใหเกดอคคภย เชน การเชอม การตด การขด ตลอดจน การขนยายขนสง เคลอนยายสารไวไฟ ผอนญาตใหมการท างานดงกลาวตองเปนผทไดรบมอบหมาย

๕

(๕) มอบหมายใหมคณะกรรมการความปลอดภย ก าหนดแผนและการด าเนนการปองกนและระงบอคคภย เชน การฝกอบรม การตรวจสอบ และการปรบปรงสภาพของงาน เปนตน

(๖) ตดตามตรวจสอบกจกรรมตาง ๆ ทเกยวกบการปองกนอคคภย (๗) วางแผนระยะยาวเกยวกบการปองกนอคคภย เชน ในเรองการตดตงระบบ

ตรวจสอบสารไวไฟหรอควนไฟ ระบบสญญาณเตอนภย ระบบดบเพลงอตโนมตในจดทมสารไวไฟหรอสารตดไฟ ไดงาย

(๘) ก าหนดระเบยบและการควบคมผรบเหมาหรอบคคลภายนอกทปฏบตงานเกยวกบการน าไฟมาใช หรอกอใหเกดเปลวไฟ ประกายไฟและความรอน ๒.๑.๒ เจาหนาททกคน

(๑) หามกอไฟในบรเวณทหวงหามหรอในบรเวณควบคมกอนไดรบอนญาตจาก ผมหนาทรบผดชอบ

(๒) หามสบบหรในบรเวณทมปาย “อนตรายจากสารไวไฟหรอวตถระเบด” หรอ “บรเวณทหามสบบหร” นอกจากสถานทจดไวเทานน

(๓) หามท าการซอมแซมเครองจกรเครองมอในบรเวณทมสารไวไฟหรอวสดตดไฟ ไดงายโดยพละการกอนทชางซอมและเจาหนาทความปลอดภยจะรวมกนจดท าใบแจงซอมตามขนตอนและวธการทก าหนด

(๔) การควบคมพนททมสารไวไฟหรอวสดตดไฟไดงาย การน าไฟมาใชหรอกอใหเกดไฟในพนทใด ๆ ตองหางจากบรเวณทมสารไวไฟหรอวสดตดไฟไดงายอยางนอยในรศม ๑๐ เมตร กรณทไมอาจท าไดตองท าการปองกนสารไวไฟหรอวสดตดไฟไดงายอยางปลอดภย ภายใตการควบคมของเจาหนาทความปลอดภย/ฝายชางอาคาร

(๕) การปองกนการรวไหลของเชอเพลงและสารไวไฟตาง ๆ เจาหนาททพบเหนภาชนะทใสสารไวไฟหรอเชอเพลงตาง ๆ อยในสภาพทช ารด หรออาจเกดการรวไหล ใหรบรายงานผมหนาทรบผดชอบ และกรณทพบวาการรวไหลนนอาจกอใหเกดอนตรายรายแรงหากไมแกไข ใหรบท าการแกไขและ/หรอรายงานผมหนาทรบผดชอบแกไขทนท

(๖) การก าจดขยะหรอเศษวสดทตดไฟไดงาย เจาหนาทจะตองเกบรวบรวมขยะหรอเศษวสดทตดไฟไดงายไวในภาชนะทไมตดไฟไดงายและใหน าออกจากบรเวณทท างานไปเกบไวในสถานทปลอดภย อยางนอยวนละ ๑ ครง

(๗) การปองกนอคคภยจากยานพาหนะ พนกงานทใชยานพาหนะขนถายสงของในบรเวณทมสารไวไฟ หรอถงแกส จะตองระมดระวงการชน การกระแทก หรอการกอใหเกดอคคภย

(๘) การปองกนอนตรายจากไฟฟา สายไฟ หลอดไฟ สวทซมอเตอรไฟฟาพดลม เครองมอเครองจกรทใชไฟฟาทมหรอใชอยในบรเวณสารไวไฟหรอวสดตดไฟไดงายจะตองตรวจตราเปนประจ าในเรองสภาพทช ารดการตอสายไฟ ปลกไฟ การตอสายดนหรอกรณอนใดทอาจเปนสาเหตของอคคภย ๒.๑.๓ ฝายอาคารสถานท

(๑) ก าหนดเขตพนทเสยงตอการเกดอคคภย (๒) ตรวจสอบสถานทลอแหลมตอการเกดอคคภยเปนประจ า

๖

(๓) ก าหนดรายละเอยดของแผนปองกนและระงบอคคภย ตลอดจนจดใหมการอบรมและฝกปฏบตเปนระยะ ๆ

(๔) จดหา ซอมบ ารง และตรวจสอบเครองดบเพลงและอปกรณดบเพลงใหอยในสภาพทพรอมตอการใชงานไดตลอดเวลา

(๕) ควบคมการท างานของผรบเหมาหรอบคคลภายนอกในเรองทเกยวกบอคคภย ๒.๒ การฝกอบรม

จดท าเพอเปนแนวทางปองกนอคคภยในอาคารกรมสงเสรมคณภาพสงแวดลอมและอาคารศนยวจยและฝกอบรมดานสงแวดลอม โดยก าหนดใหมการอบรมพนกงานหรอเจาหนาทผปฏบตงานทกคนทกระดบในเรองการดบเพลงและการหนไฟ ๒.๒.๑ วตถประสงค

เพอใหผเขารบการฝกอบรมมความรความเขาใจเกยวกบวธการดบเพลงขนตนและสามารถใชถงดบเพลง รวมทงสายดบเพลงและหวฉดดบเพลงไดอยางถกตองเหมาะสม

๒.๒.๒ หวขอการฝกอบรม (1) ทฤษฎในการเกดเพลงไหม (2) การแบงประเภทของเพลง (3) จตวทยาเมอเกดอคคภย (4) การปองกนแหลงก าเนดเพลง (5) การใชเครองมอดบเพลง และวธดบเพลงประเภทตาง ๆ (6) การอพยพเมอเกดเหตเพลงไหม (7) การคนหาและชวยเหลอผประสบภย ๒.๓ การรณรงคปองกนอคคภย เปนแผนทจดท าขนเพอปองกนการเกดอคคภยในอาคารและเปนการสรางความสนใจ

รวมทงสงเสรมในเรองของการปองกนอคคภยใหเกดขนกบผปฏบตงานทกคนทกระดบในอาคาร การจดท าแผนการรณรงคปองกนอคคภย ดงน

๒.๓.๑ ก าหนดบคคลผรบผดชอบในการจดการรณรงค ๒.๓.๒ ก าหนดเรอง หรอหวขอทจะท าการรณรงคไดแก (1) องคประกอบของการเกดเพลงไหม (2) การจดเกบวสดไวไฟ (3) การลดการสบบหร (4) ผลทเกดขนจากอคคภย (5) การท าความสะอาด ๒.๓.๓ เลอกวธการหรอรปแบบการรณรงคทเหมาะสม เชน (1) การประกวด (2) การจดท าโปสเตอรและปายตาง ๆ (3) การจดนทรรศการ (4) การใชสอตาง ๆ ๒.๓.๔ ก าหนดระยะเวลาทใชในการรณรงค

๗

๒.๓.๕ ก าหนดบคคลหรอกลมเปาหมายทใชในการรณรงค ๒.๓.๖ ประเมนผลจากการรณรงคทกครง ๒.๔ การตรวจตรา เพอปองกนอคคภย โดยก าหนดใหตรวจเกยวกบวตถทเปนเชอเพลงของเสยทตดไฟงาย

แหลงความรอน อปกรณดบเพลง การจดท าแผน มดงน ๒.๔.๑ ก าหนดบคคลและพนททรบผดชอบในการตรวจตราอยางชดเจนโดยก าหนดบคคล

ทจะท าหนาทแทนไดดวย ๒.๔.๒ ก าหนดเรองทตองการในแตละพนทเปนการเฉพาะโดยจดท าเปนแบบรายงานผล

การตรวจทสะดวกตอการรายงาน ๒.๔.๓ ก าหนดระยะเวลาทตรวจและสงแบบรายงาน ๒.๔.๔ ก าหนดบคคลตรวจสอบแบบรายงานแลวสรปขอบกพรองใหผบรหารในแตละฝาย

ปรบปรงแกไข เชน หวหนาฝาย ฯลฯ แลวสรปรายงานผอ านวยการฝายฯ ทกเดอน ๒.๔.๕ ควรใหมการตรวจตราทกวน

๒.๕ อพยพหนไฟ ก าหนดขนเพอความปลอดภยของชวตและทรพยสนของพนกงานและอาคารในขณะเกด

เหตเพลงไหม จงไดก าหนดการด าเนนการของแผนอพยพ ดงน ๒.๕.๑ ก าหนดผรบผดชอบแตละหนวยงานโดยขนตรงตอผอ านวยการอพยพหนไฟหรอ

อ านวยการดบเพลง (รายละเอยดการก าหนดผรบผดชอบ ดงภาคผนวก ๑) ๒.๕.๒ ตรวจนบจ านวนพนกงานวาไดอพยพหนไฟ ออกมาภายนอกบรเวณทปลอดภยครบ

ทกคนหรอไม ๒.๕.๓ มผน าทางพนกงานอพยพหนไฟตามทางออกทจดไว ๒.๕.๔ ก าหนดจดรวมพล จะเปนสถานททปลอดภยซงพนกงานทจะสามารถมารายงานตว

และท าการตรวจนบจ านวนได หากพบวาพนกงานอพยพหนไฟออกมาไมครบตามจ านวนจรง ซงหมายถงมพนกงานตดอยในพนททเกดอคคภย

๒.๕.๕ ท าการคนหาและท าการชวยชวตพนกงานทยงตดคางอยในอาคารหรอในพนททไดเกดอคคภย รวมถงกรณของพนกงานทออกมาอยทจดรวมพลแลวมอาการเปนลม ชอคหมดสตหรอบาดเจบ เปนตน หนวยชวยชวตและยานพาหนะจะท าการปฐมพยาบาลเบองตนและตดตอหนวยยานพาหนะให ในกรณทพยาบาลหรอแพทยพจารณาแลวตองน าสงโรงพยาบาล ๒.๖ การยกเลกภาวะฉกเฉน

หลงจากควบคมสถานการณทงหมดไดแลว ใหผควบคมเหตฉกเฉน/ผประสานงานเหตฉกเฉน รวมกนพจารณา เพอยกเลกภาวะฉกเฉนแลวเสนอใหผอ านวยการเหตฉกเฉน พจารณาสงการยกเลกภาวะฉกเฉน ทงน ทกฝายตองมนใจวาจะไมเกดอนตรายใด ๆ ขนอกในพนทเกดเหตหรอพนทขางเคยง แตถาพจารณาเหนวา ควรมทมฉกเฉนบางทม เตรยมพรอมรบสถานการณทอาจเกดขนอกใหปดลอมกนผไมเกยวของออกจากจดเกดเหตแลวใหทมฉกเฉนเทาทจ าเปนเตรยมพรอมรองรบเหตฉกเฉนจนกวาจะเหนวาปลอดภย

๘ ๒.๗ การบรรเทาทกข

หลงจากระงบเหตหรอควบคมสถานการณ และยกเลกภาวะฉกเฉนแลว ใหด าเนนการบรรเทาทกข จากความเสยหายทเกดขน ดงน

๒.๗.๑ ประสานงานกบหนวยงานของรฐ ๒.๗.๒ การส ารวจความเสยหาย ๒.๗.๓ การรายงานตวของเจาหนาททกฝายและก าหนดจดนดพบเพอรอรบค าสง ๒.๗.๔ การชวยชวตและการคนหาผเสยชวต ๒.๗.๕ การเคลอนยายผประสบภย ทรพยสนและผเสยชวต ๒.๗.๖ การประเมนความเสยหายผลการปฏบตงานและรายงานสถานการณเพลงไหม ๒.๗.๗ การชวยเหลอสงเคราะหผประสบภย ๒.๗.๘ การปรบปรงแกไขเฉพาะหนาเพอใหภารกจสามารถด าเนนการไดโดยเรวทสด

๒.๘ การปรบปรงและฟนฟ แผนปฏรปฟนฟ ไดแก การน ารายงานผลการประเมนจากทกดานจากสถานการณจรงมา

ปรบปรง โดยเฉพาะแผนการปองกนอคคภย (กอนเกดเหต) และแผนระงบเมอเกดเพลงไหม แผนบรรเทาทกข (ทนททเพลงสงบ) รวมทงการปรบปรงแกไขตวบคลากรตาง ๆ ทบกพรอง นอกจากน ยงมโครงการเพอรบรองแผนปฏรปฟนฟ ไดแก

๒.๘.๑ โครงการประชาสมพนธชแจง สาเหตการเกดอคคภยและแนวทางปองกนในรปแบบตาง ๆ

๒.๘.๒ โครงการสงเคราะหผปวย/บาดเจบเรอรง ทพลภาพ จากเหตอคคภย ๒.๘.๓ โครงการปรบปรงซอมแซมและสรรหาสงทสญเสยใหกลบคนสภาพปกต ๓. แผนรองรบภยพบตระบบเทคโนโลยสารสนเทศ

การด าเนนงานของกระบวนการตาง ๆ ของมหาวทยาลยราชภฏเพชรบรณ มการใชระบบเทคโนโลยสารสนเทศ เปนสอกลางในการใหบรการ เกบขอมลและโปรแกรม เพอการด าเนนงาน ทางมหาวทยาลยจงไดประเมนสถานการณความเสยงในดานความเสยหายตอระบบคอมพวเตอร ฐานขอมลและเครอขาย เพอจดท าแผนรองรบภยพบตตอระบบเทคโนโลยสารสนเทศ (IT) ในภาพรวมของมหาวทยาลยในรปแบบตาง ๆ ๓.๑ กอนเกดเหต

การเตรยมการเบองตน โดยมขนตอนดงน ๓.๒.๑ ก าหนดผทมหนาทรบผดชอบและผทเกยวของ

ผรบผดชอบ บทบาทหนาท ผอานวยการส านก/ศนย ก าหนดนโยบาย ใหขอเสนอแนะ ค าปรกษา และก ากบดแล

ควบคม ตรวจสอบการปฏบตงานของเจาหนาทผทดแลระบบเครอขาย

ผดแลระบบเครอขาย ก ากบดแล การบ ารงรกษา การตรวจสอบแกไขขอบกพรองของระบบ ดแลบ ารงรกษาเครองคอมพวเตอรแมขาย ส ารองขอมล

๙

ผรบผดชอบ บทบาทหนาท ตรวจสอบการท างาน/การใหบรการของระบบอยางสม าเสมอ และด าเนนการตามแผนเมอเกดเหตภยพบต

๓.๑.๒ จดท าแผนผงการตดตอฉกเฉน (Emergency Call Tree) ๓.๑.๓ ท าการส ารองขอมล ทงทอยในรปแบบเอกสารและอเลกทรอนกส รวมถงการ

ส ารองระบบเวบไซต และเตรยมสถานทจดเกบทปลอดภย ๓.๑.๔ การปองกนและแกไขปญหาทเกดจากกระแสไฟฟาขดของ ซงอาจท าความเสยหาย

แกเครองคอมพวเตอรแมขาย (Server) ไดแก ตดตง UPS ดแลใหใชงานไดตลอดเวลา ๓.๑.๕ จดเตรยมอปกรณและเครองมอทจ าเปน เชน แผน Boot disk แผนตดตงระบบ

แผน Driver อปกรณตาง ๆ แผนส ารองขอมล ฯลฯ ๓.๑.๖ ทดสอบ/ทบทวน และปรบปรงแผนรองรบ รวมทงจดฝกอบรมและใหความรแก

บคลากรใหสามารถปฏบตตามขนตอนตามทระบในแผนไดถกตอง ๓.๒ ขณะเกดเหต การแกไขปญหาภยพบตตอระบบเครอขาย จากดานตาง ๆ คอ ๓.๒.๑ ภยพบตดานกายภาพและสงแวดลอม อาจเกดจากเหตแผนดนไหว แหลงก าเนด

ไฟฟาขดของหรอแรงดนไฟฟากระเพอม ไฟไหม พาย หรอสตวกดแทะ มขอปฏบต ดงน (๑) ปดเครองคอมพวเตอร คอมพวเตอรแมขาย (๒) น าอปกรณจดเกบขอมลส ารองตดตวไปดวยขณะหนภย (๓) กรณสตวกดแทะใหหมสายปองกน หยอดเจลฆาแมลง (๔) ปฏบตตนตามขนตอนหนภยในแตละกรณ ๓.๒.๒ ภยพบตดานระบบ (Systems Threats) อาจเกดจากการท าลายระบบและขอมล

โดยเจตนา การโจมตเพอหามการบรการ การกอกวนระบบดวยโปรแกรม มขอปฏบต ดงน (๑) ปดการเขาถงระบบ/คอมพวเตอร/เวบไซต (๒) ตรวจสอบความเสยหายทเกดขน (๓) ตรวจสอบแหลงทมา (๔) ใชโปรแกรมตอตานไวรส ฯลฯ (๕) ด าเนนการแกไขความเสยหาย เชน การตดตงระบบปฏบตการใหม ปรบปรง

ระบบความมนคงปลอดภย ลบแฟมขอมลทตดไวรส ๓.๒.๓ ภยพบตดานบรหารจดการ (Administrative Threats) อาจเกดจากการแทรกแซง

เวบไซต การกอวนาศกรรม ความผดพลาดของซอฟแวร หรอฮารดแวร มขอปฏบต ดงน (๑) ปดกนการเขาถงเครองทใหบรการ (๒) ตรวจสอบความเปลยนแปลงของขอมล (๓) ส ารองขอมลลาสด เพอเตรยมความพรอมในสถานการณการกคน (๔) ตรวจสอบปญหา ปดชองโหว

๓.๓ หลงเกดเหต ๓.๓.๑ ท าการกคนระบบ เครองแมขายใหบรการเวบกลบสสภาวะปกต

๑๐

๓.๓.๒ น า CD-ROM, Hard disk, Tape ทส ารองขอมลไวมา Restore กระบบคนโดยเรว ๓.๓.๓ ตรวจสอบระบบ ความถกตองของขอมลใหการท างานกลบสสภาพเดม

การตดตาม/รายงานผล มหาวทยาลยราชภฏเพชรบรณ ก าหนดการตดตามและรายงานผล ในการเตรยมความพรอม

รองรบภยพบตและสถานการณฉกเฉน และการตดตาม/รายงานผลกรณเกดภยพบตและสถานการณฉกเฉน และการดแลแกไขใหกลบสสภาพเดม ดงตอไปน

1. การซกซอมและทดสอบแผน อยางนอยปละ ๑ ครง 2. รายงานสถานการณ และผลการปฏบตงาน โดยเจาหนาทผรบผดชอบใหผก ากบดแลทราบ

รวมทงรายงานปญหาและผลการแกไขใหทราบ