ทั่วไป การรักษาความมั่นคงปลอดภัยด้านสารสนเทศของสำนักงานใช้กรอบการดำเนินการในรูปแบบวงจรควบคุมคุณภาพ (PDCA Cycle) ซึ่งเป็นการจัดการเชิงกระบวนการ (Process Approach) โดยคำนึงถึงกลไกการควบคุมที่สอดคล้องกับความเสี่ยงของสินทรัพย์ เพื่อตรวจสอบ ประเมินผล ทบทวน และปรับปรุงนโยบายและแนวปฏิบัติการรักษาความมั่นคงปลอดภัยด้านสารสนเทศของสำนักงาน และเอกสารที่เกี่ยวข้องให้ดีขึ้นอย่างต่อเนื่อง และสอดคล้องกับยุทธศาสตร์ของสำนักงาน อย่างน้อยปีละ 1 ครั้ง หรือเมื่อมีเหตุการณ์ที่สำคัญ โครงสร้าง บทบาท หน้าที่ และความรับผิดชอบ ในการรักษาความมั่นคงปลอดภัย สารสนเทศ
การบริหารจัดการความเสี่ยง สำนักงานมีนโยบายการบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศโดยมีแผนการจัดการความเสี่ยง ซึ่งกำหนดเกณฑ์ในการประเมิน การแก้ไข และยอมรับความเสี่ยง เพื่อลดโอกาสในการสูญเสียความลับ ความถูกต้องครบถ้วน และความพร้อมใช้งานของสินทรัพย์ของสำนักงาน การสร้างความมั่นคงปลอดภัยสารสนเทศด้านบุคลากร สำนักงานต้องสร้างความรู้และความตระหนักในการใช้งานระบบสารสนเทศอย่างมั่นคงปลอดภัยแก่ผู้ใช้งาน ผู้ปฏิบัติงาน โดยการจัดทำคู่มือ จัดฝึกอบรม และเผยแพร่เอกสารที่เกี่ยวข้องผ่านระบบเว็บไซต์ภายในของสำนักงาน รวมถึงสื่อสารนโยบายด้านความมั่นคงปลอดภัยสารสนเทศให้ผู้ให้บริการภายนอกทราบในเรื่องที่เกี่ยวข้อง การบริหารจัดการสินทรัพย์ สำนักงานมีนโยบายการบริหารจัดการสินทรัพย์ โดยการจัดทำมาตรการควบคมุ การใช้งานนสินทรัพย์ที่เหมาะสมตลอดวงจรชีวิตของสินทรพัย์ตั้งแต่การจัดหาการลงทะเบียน การบำรุงรักษา การจำหน่าย และการทำลายสินทรัพย์ ตามลำดับชั้นความลับของข้อมูลที่อยู่ในสินทรัพย์นั้น ๆ การจัดการเอกสารสารสนเทศ สำนักงานมีนโยบายการบริหารจัดการเอกสารที่เกี่ยวข้องกับการปฏิบัติงานภายในของสำนักงาน ได้แก่ นโยบายและแนวปฏิบัติด้านการรักษาความมั่นคงปลอดภัยสารสนเทศ ขั้นตอนการปฏิบัติงาน วิธีปฏิบัติงาน เอกสารสนับสนุนการทำงาน คู่มือการตั้งค่าระบบสารสนเทศ และบันทึกต่าง ๆ โดยเอกสารจะถูกกำหนดรหัสและควบคุม ตั้งแต่การขึ้นทะเบียนเอกสารใหม่ การทบทวนและอนุมัติก่อนการใช้งานการแก้ไขเอกสาร การเผยแพร่เอกสาร การยกเลิกเอกสาร และการทำลายเอกสารที่เลิกใช้งาน การควบคุมการเข้าถึงและการใช้งานระบบสารสนเทศ สำนักงานมีนโยบายการควบคุมการเข้าถึงระบบสารสนเทศแก่ผู้ใช้งาน ตั้งแต่การลงทะเบียน การกำหนดสิทธิ การเพิกถอนสิทธิ การทบทวนสิทธิการใช้งาน และการใช้งานอุปกรณ์พกพาอื่น ๆ (Mobile Device) รวมถึงการให้ความคุ้มครองข้อมูลส่วนบุคคลในส่วนที่ไม่พึงเปิดเผยภายใต้บทบัญญัติของกฎหมาย การจัดการการเข้ารหัสลับ สำนักงานมีนโยบายการบริหารจัดการกุญแจสำหรับการเข้ารหัสลับ โดยมีการกำหนดวิธีการสร้าง อายุของกุญแจ การเก็บ การสำรอง การส่งต่อ การทำลาย การเข้าถึง และการปฏิบัติเมื่อเกิดเหตุการณ์ที่มีผู้ล่วงรู้ข้อมูลกุญแจเข้ารหัส การรักษาความมั่นคงปลอดภัยในการปฏิบัติงาน สำนักงานมีนโยบายการรักษาความมั่นคงปลอดภัยในการปฏิบัติงานครอบคลุมในเรื่องดังนี้ การจัดทำขั้นตอนปฏิบัติงาน การป้องกันมัลแวร์ การควบคุมการใช้งานซอฟต์แวร์ การบริหารจัดการช่องโหว่ และการตรวจสอบระบบสารสนเทศ การสร้างความมั่นคงปลอดภัยด้านกายภาพและสภาพแวดล้อม สำหรับพื้นที่สำนักงานและพื้นที่มั่นคงปลอดภัย สำนักงานมีนโยบายการสร้างความมั่นคงปลอดภัยด้านกายภาพและสภาพแวดล้อม และมาตรการเกี่ยวกับการเข้าถึงทางกายภาพและสภาพแวดล้อมสำหรับพื้นที่สำนักงาน พื้นที่จัดส่งและรับของ พื้นที่มั่นคงปลอดภัย รวมถึงพื้นที่ศูนย์ข้อมูลที่สำนักงานใช้บริการ (Data Center) การบริหารจัดการการเปลี่ยนแปลง สำนักงานมีนโยบายการบริหารจัดการการเปลี่ยนแปลงขององค์กรกระบวนการทางธุรกิจ สินทรัพย์ และระบบประมวลผลข้อมูลสารสนเทศ ที่มีผลกระทบต่อความมั่นคงปลอดภัยสารสนเทศ เพื่อให้มั่นใจว่าการเปลี่ยนแปลงได้รับการวางแผน การจัดลำดับความสำคัญ ประเมินผลกระทบ การอนุมัติจากผู้มีอำนาจ การมอบหมาย ทดสอบ บันทึก และดำเนินการอย่างเหมาะสม เพื่อลดโอกาสหรือผลกระทบของความเสียหายอันเกิดจากการเปลี่ยนแปลงนั้น และรักษาไว้ซึ่งความมั่นคงปลอดภัยของข้อมูล การบริหารจัดการขีดความสามารถสารสนเทศ สำนักงานมีนโยบายการบริหารจัดการขีดความสามารถสารสนเทศ เพื่อตรวจสอบการใช้งานให้มีทรัพยากรเพียงพอต่อความต้องการใช้งานของสำนักงานและระบบสารสนเทศของสำนักงานสามารถให้บริการได้อย่างต่อเนื่อง การสำรองข้อมูลและการกู้คืนระบบสารสนเทศ สำนักงานมีนโยบายการบริหารจัดการการสำ รองข้อมูลสำ หรับระบบสารสนเทศ เพื่อป้องกันข้อมูลจากการสูญหาย ถูกทำลาย จากเหตุการณ์ไม่พึงประสงค์หรือเหตุการณ์ที่ไม่คาดคิด เพื่อให้ระบบสารสนเทศของสำนักงานสามารถให้บริการได้อย่างต่อเนื่อง การบันทึกและการเฝ้าระวัง สำนักงานมีนโยบายการบันทึกเหตุการณ์ที่เกิดขึ้นในระบบสารสนเทศ เช่นกิจกรรมของผู้ดูแลระบบและผู้ใช้งาน ความผิดปกติหรือข้อผิดพลาดของระบบสารสนเทศ การใช้งานต่าง ๆ เป็นต้น ทั้งนี้ เหตุการณ์ที่บันทึกต้องได้รับการปกป้องจากการเปลี่ยนแปลงเพื่อทำลายและการเข้าถึงโดยไม่ได้รับอนุญาต โดยต้องมีการตรวจสอบและวิเคราะห์เหตุการณ์ที่บันทึกอย่างสมํ่าเสมอ เพื่อป้องกันเหตุการณ์ไม่พึงประสงค์หรือภัยคุกคามที่อาจส่งผลกระทบต่อสำนักงาน การบริหารจัดการการสื่อสารและการใช้งานระบบเครือข่าย สำนักงานมีนโยบายการควบคุมการสื่อสาร และการส่งข้อมูลผ่านระบบเครือข่ายของสำนักงาน เพื่อป้องกันการเข้าถึงระบบสารสนเทศของสำนักงานจากผู้ที่ไม่ได้รับอนุญาต ป้องกันภัยคุกคามที่อาจก่อให้เกิดผลกระทบต่อสำนักงาน รวมถึงควบคุมการเข้าถึงการใช้งานระบบเครือข่ายเพื่อปฏิบัติงานจากภายนอกสำนักงานให้มีความมั่นคงปลอดภัย การจัดหา การพัฒนา และการบำรุงรักษาระบบ สำนักงานมีนโยบายด้านความมั่นคงปลอดภัยสารสนเทศในกระบวนการจัดหาการพัฒนา และการบำรุงรักษาระบบสารสนเทศ โดยมีการศึกษาความเป็นไปได้ การวิเคราะห์ผลกระทบ และการตรวจสอบระบบสารสนเทศให้มั่นใจว่าเป็นไปตามข้อกำหนดก่อนการโอนย้ายขึ้นสู่สภาพแวดล้อมการใช้งานจริง เพื่อป้องกันผลกระทบต่อการปฏิบัติงานหรือต่อภารกิจของสำนักงาน การบริหารจัดการการให้บริการโดยหน่วยงานภายนอก สำนักงานมีนโยบายการบริหารจัดการการให้บริการโดยหน่วยงานภายนอกโดยกำหนดระเบียบ ข้อบังคับ หลักเกณฑ์ และแนวปฏิบัติในการดำเนินงาน เพื่อใช้ในการติดตาม ทบทวน บริหารจัดการการเปลี่ยนแปลงการให้บริการ และตรวจประเมินการส่งมอบบริการของหน่วยงานภายนอกอย่างสมํ่าเสมอ เพื่อควบคุมการเข้าถึงหรือใช้งานข้อมูลและระบบสารสนเทศของสำนักงาน ให้เป็นไปอย่างถูกต้องและมีความมั่นคงปลอดภัย การบริหารจัดการเหตุการณ์ด้านความมั่นคงปลอดภัยสำหรับสารสนเทศ สำนักงานมีนโยบายในการบริหารจัดการเหตุการณ์ด้านความมั่นคงปลอดภัยสารสนเทศ และสถานการณ์ด้านความมั่นคงปลอดภัยที่ไม่พึงประสงค์หรือไม่อาจคาดคิด โดยมีการกำหนดหน้าที่ของผู้ที่เกี่ยวข้องและขั้นตอนปฏิบัติในการเฝ้าระวังการรายงานเหตุการณ์ การวิเคราะห์ การเก็บรวบรวมหลักฐาน การแก้ปัญหา และการบันทึกเหตุการณ์ด้านความมั่นคงปลอดภัยที่เกิดขึ้น เพื่อให้เกิดการตอบสนองอย่างรวดเร็ว มีประสิทธิภาพและประสิทธิผล เป็นระเบียบแบบแผน และนำความรู้ที่ได้รับจากการวิเคราะห์และแก้ปัญหาไปใช้เพื่อลดโอกาสหรือผลกระทบของเหตุการณ์ในอนาคต การบริหารความต่อเนื่องในการดำเนินงานของสำนักงาน สำนักงานมีนโยบายการบริหารความต่อเนื่องด้านความมั่นคงปลอดภัยระบบสารสนเทศและการดำเนินธุรกิจของสำนักงาน โดยคณะทำงานย่อยระบบมาตรฐาน ISO 22301:2012 มีหน้าที่ในการวิเคราะห์ผลกระทบทางธุรกิจ (Business Impact Analysis: BIA) จัดลำดับความสำคัญของข้อมูลและระบบสารสนเทศที่จำเป็นต้องมีความต่อเนื่องในการใช้งาน กำหนดกระบวนการ กิจกรรมและทรัพยากรที่จำเป็นจัดทำเอกสารที่เกี่ยวข้อง สื่อสารให้ผู้ที่เกี่ยวข้องทราบและตระหนักถึงหน้าที่ของตนตลอดจนจัดให้มีการซ้อมแผนบริหารความต่อเนื่องด้านความมั่นคงปลอดภัยสารสนเทศ อย่างน้อยปีละ 1 ครั้ง การปฏิบัติตามข้อกำหนด สำนักงานมีนโยบายการปฏิบัติตามข้อกฎหมาย ระเบียบข้อบังคับ ข้อผูกพันตามสัญญาที่เกี่ยวข้องกับความมั่นคงปลอดภัยสารสนเทศ มาตรฐาน และข้อกำหนดด้านความมั่นคงปลอดภัยที่สำนักงานกำหนด โดยมีการสื่อสารกับผู้ปฏิบัติงานให้รับทราบและเข้าใจ รวมทั้งมีการทบทวนและตรวจสอบการปฏิบัติตามนโยบายที่สำนักงานกำหนด การประเมินผลการปฏิบัติงานและการตรวจประเมินระบบมาตรฐานภายใน สำนักงานมีนโยบายการประเมินผลการปฏิบัติงานและการตรวจประเมินระบบมาตรฐานภายใน โดยกำหนดให้มีการตรวจประเมินและวัดผลการปฏิบัติงานตามกฎหมาย ระเบียบ ข้อบังคับที่สำนักงานกำหนด รวมถึงมาตรฐานต่าง ๆ ที่จำเป็นต่อการดำเนินงานของสำนักงาน เพื่อมั่นใจถึงประสิทธิภาพในการปฏิบัติงานและความมั่นคงปลอดภัยในข้อมูล รวมถึงระบบสารสนเทศของสำนักงาน การทบทวนของผู้บริหาร ผู้บริหารความมั่นคงปลอดภัยสารสนเทศทบทวนระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศของสำนักงานตามรอบเวลาที่กำหนดไว้ อย่างน้อยปีละ 1 ครั้ง หรือเมื่อมีการเปลี่ยนแปลงที่สำคัญ การปรับปรุงพัฒนา สำนักงานมีนโยบายการแก้ไขและปรับปรุงการปฏิบัติงานที่ไม่สอดคล้องด้านความมั่นคงปลอดภัยสารสนเทศ โดยมีการกำหนดกระบวนการในการทบทวน การระบุสาเหตุ การแก้ไขหรือเปลี่ยนแปลงระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ การทบทวนประสิทธิผลของปฏิบัติการแก้ไข รวมถึงการจัดเก็บเอกสารที่เกี่ยวข้อง เพื่อให้เกิดการพัฒนาอย่างต่อเนื่องและมีประสิทธิภาพ การเปลี่ยนแปลงนโยบายความมั่นคงปลอดภัยสารสนเทศ
สำนักงานอาจปรับปรุงนโยบายความมั่นคงปลอดภัยสารสนเทศนี้เป็นครั้งคราวเพื่อให้สอดคล้องกับการเปลี่ยนแปลงของการให้บริการ การดำเนินงานของสำนักงาน และข้อเสนอแนะ
ความคิดเห็นจากท่าน สำนักงานจะประกาศแจ้งการเปลี่ยนแปลงให้ทราบอย่างชัดเจนก่อนจะเริ่มดำเนินการเปลี่ยนแปลง หรืออาจส่งประกาศแจ้งเตือนให้ท่านทราบโดยตรง สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ หมายเลขโทรศัพท์ 0 2123 1234 |